WO2019235450A1

WO2019235450A1 - 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム

Info

Publication number: WO2019235450A1
Application number: PCT/JP2019/022067
Authority: WO
Inventors: 登志夫道具; 松本　卓也; 猪俣　清人
Original assignee: デジタルアーツ株式会社
Priority date: 2018-06-05
Filing date: 2019-06-04
Publication date: 2019-12-12
Also published as: US20210209240A1; TW202013235A; JP2019212061A; CN112437923A; EP3805971A4; JP6464544B1; EP3805971A1; TWI807041B

Abstract

情報処理装置１０は、管理者端末１３により作成されたコンテンツを保存するデータベース１２と、コンテンツと管理者端末１３とを対応させて関連付け情報として保存して、この関連付け情報に基づいてコンテンツへのアクセス権限の設定を実行する制御装置１１と、を備える。

Description

情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム

　本発明の実施形態は、情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システムに関する。

　Ｗｅｂサーバは、サーバを管理する管理者により作成、更新されたコンテンツを保存して、クライアント端末からのリクエストに応じてコンテンツを返す動作を実行する。

　ところで、Ｗｅｂサーバには、ＯＳを含む各種のソフトウェアがインストールされており、これらのソフトウェアにより、コンテンツの作成、更新の支援やクライアント端末との通信などが実行されている。これらのソフトウェアに脆弱性（セキュリティ上の弱点）が存在すると、悪意の第三者がこの脆弱性を利用してサーバへの攻撃（例えば、ＳＱＬインジェクション）を実行するおそれがある。そして、第三者による攻撃が成功した場合、サーバ内への第三者の侵入を許して、サーバ内で保存されているコンテンツの内容が意図的に書き換えられるおそれがある。

　従来では、第三者によるＷｅｂサーバへの不正侵入を防止するために、Ｗｅｂサーバに接続される外部端末からの攻撃パターンを予め登録しておき、登録した攻撃パターンに基づいてサーバへの不正な入力を検知して改ざん行為を防止する技術が開示されている。

特開２００５－０１１０６１号公報

　しかしながら、Ｗｅｂサーバにインストールされているアプリケーションの脆弱性の全てを予め検出して対応することは難しく、また管理者端末へのログインパスワードの不正窃取などの方法によりサーバへの不正侵入を許す場合もある。このため、サーバ内のコンテンツに対する改ざん行為を未然に防止することは容易ではなく、サーバ内のコンテンツが改ざんされた場合に、その改ざん行為を早期に発見することは困難であった。

　本発明はこのような事情を考慮してなされたもので、第三者端末によりＷｅｂサーバに侵入された場合であっても、サーバ内のコンテンツの改ざんを未然に防止できる情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システムを提供することを目的とする。

　本発明の実施形態に係る情報処理装置は、クライアント端末からの要求に応じてコンテンツを返す情報処理装置であって、管理者端末により作成された前記コンテンツを保存するデータベースと、前記コンテンツと前記管理者端末を識別する識別情報とを対応させて関連付け情報として保存して、この関連付け情報に基づいて前記コンテンツへのアクセス権限の設定を実行する制御装置を備えて、前記制御装置は、前記管理者端末により作成された前記コンテンツを暗号化して、暗号化された前記コンテンツに関連付けられた前記管理者端末に対して、前記コンテンツを復号してアクセスするアクセス権限を設定するアクセス権限設定部と、前記コンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末が前記コンテンツに対する前記アクセス権限を有するか否かを判定するアクセス権検査部と、を有する、ことを特徴とする。

　本発明の実施形態により、第三者端末によりＷｅｂサーバに侵入された場合であっても、サーバ内のコンテンツの改ざんを未然に防止できる情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システムが提供される。

第１実施形態に係る情報処理装置が適用される情報処理システムの一例を示す構成図。第１実施形態に係る情報処理装置における制御装置の構成を示す構成図。管理者端末に対応してコンテンツが関連付けられた関連付け情報の一例を示す説明図。管理者端末に対応してコンテンツを関連付けるフローの一例を示すフローチャート。第１実施形態に係る情報処理方法の一例を示すフローチャート。第１実施形態に係る情報処理装置の変形例が適用されるネットワークの一例を示す構成図。第２実施形態に係る情報処理装置が適用される情報処理システムの一例を示す構成図。第２実施形態に係る情報処理装置における制御装置の構成を示す構成図。管理者端末にアクセス権限が付与された関連付け情報の一例を示す説明図。管理者端末に対応してアクセス権限を付与するフローの一例を示すフローチャート。第２実施形態に係る情報処理方法の一例を示すフローチャート。第２実施形態に係る情報処理装置の変形例を示す構成図。第２実施形態に係る情報処理装置の変形例を示す構成図。

（第１実施形態）
　以下、本発明の実施形態を添付図面に基づいて説明する。
　図１は、第１実施形態に係る情報処理装置１０が適用される情報処理システム１００の一例を示す構成図である。

　第１実施形態に係る情報処理システム１００は、情報処理装置１０と、管理者端末１３と、比較データ保存部１５と、を備えている。

　情報処理装置１０は、管理者端末１３によって作成、更新されたコンテンツを保存して、クライアント端末１６から要求されたコンテンツをクライアント端末１６に返す装置である。コンテンツとしては、ｈｔｍｌデータ、画像データ、ｐｄｆファイル等の種々のデータが例示される。図１では、コンテンツとしてｈｔｍｌデータを例示している。

　情報処理装置１０は、例えばインターネットからの接続が制限される内部ネットワークとインターネットと任意に接続可能な外部ネットワークとの境界（DMZ:DeMilitarized Zone）に設けられる。また、情報処理装置１０は、外部ネットワークに設けられてもよい。

　クライアント端末１６は、インターネットを介して情報処理装置１０と接続されており、情報処理装置１０から取得したコンテンツを、ブラウザを介して表示させるコンピュータである。

　管理者端末１３は、情報処理装置１０に接続可能なコンピュータであり、管理者によりコンテンツの作成、更新が実行される。管理者端末１３は、インターネットからの接続が制限される内部ネットワークに設けられる。また、管理者端末１３は、インターネットと任意に接続可能な外部のネットワークに設けられてもよく、情報処理装置１０と一体として構成されてもよい。

　第１実施形態に係る情報処理装置１０の具体的な構成について説明する。
　第１実施形態に係る情報処理装置１０は、制御装置（Ｗｅｂサーバ）１１と、データベース１２と、を備えている。

　制御装置１１は、ログイン認証を受けた管理者端末１３によって作成、更新されたコンテンツを受け付ける。データベース１２は、作成、更新されたコンテンツを保存する。なお、制御装置１１とデータベース１２とは、図１に示すように一体に構成してもよいし、制御装置１１とデータベース１２とを同一ネットワーク内に別個独立して配置して、データベース１２と管理者端末１３との間でコンテンツを含むデータを送受信する構成としてもよい。

　制御装置１１は、作成されたコンテンツと、コンテンツの作成に係る管理者端末１３とを対応付けた関連付け情報を作成する。そして、制御装置１１は、この関連付け情報に基づいて管理者端末１３とは異なる端末による、コンテンツの改ざんの有無の判定、及び、コンテンツへのアクセス権限の設定の少なくとも一方を実行する。管理者端末１３と、作成されたコンテンツとを関連付けることで、正しい管理者端末１３により実行されたコンテンツの更新を識別することができる。なお、コンテンツの改ざんの有無の判定、及び、コンテンツへのアクセス権限の設定についての具体的な構成については後述する。

　図２は、第１実施形態に係る情報処理装置１０における制御装置１１の構成を示す構成図である。

　制御装置１１は、データ送受信部２０と、ログイン認証部２１と、端末関連付け部２２と、比較データ出力部２３と、比較検査部２４と、を有している。

　なお、制御装置１１を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ＡＳＩＣ等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。

　データ送受信部２０は、クライアント端末１６からコンテンツの要求を受け付けて、クライアント端末１６に要求されたコンテンツを返す。

　ログイン認証部２１は、ログイン用の認証情報（例えば、ユーザＩＤ及びパスワード）の入力を管理者端末１３から受け付けて、当該管理者における制御装置１１へのアクセスの妥当性を識別する。なお、ログイン認証に必要な管理者の認証情報は、データベース１２に保存される。

　端末関連付け部２２は、管理者端末１３によりコンテンツが新規で作成された際、コンテンツと、作成した管理者端末１３を識別する識別情報とを対応付けた関連付け情報を作成する。作成された関連付け情報は、データベース１２に保存される。

　具体的には、端末関連付け部２２は、情報処理装置１０に接続された管理者端末１３を識別するための識別情報を管理者端末１３から取得する。識別情報は、端末固有の情報であり、管理者端末１３のＭＡＣアドレス、ハードディスクのシリアル番号、実装されているＣＰＵのシリアル番号、ＯＳのセキュリティ識別子（SID:Security Identifier）が例示される。この識別情報を、管理者端末１３により作成されたコンテンツと関連付けて関連付け情報とする。なお、情報処理装置１０に複数の管理者端末１３が接続される場合には、管理者端末１３のそれぞれに、対応するコンテンツを関連付ける。また、コンテンツを作成した管理者端末１３からの設定により、同一のコンテンツに対して、複数の管理者端末１３を関連付けてもよい。

　図３は、管理者端末１３に対応してコンテンツが関連付けられた関連付け情報の一例を示す説明図である。

　管理者端末１３を識別する識別情報に対応させてｈｔｍｌデータのそれぞれが関連付けられている。例えば、識別情報が「AA-AA-xx-xx-x1」となる管理者端末１３に対して「aaa.html」及び「bbb.html」の２つのｈｔｍｌデータが対応付けられている。このように、データベース１２で保存されるコンテンツは、管理者端末１３と紐付けられる。また、図３の例では、識別情報が「AA-AA-xx-xx-x2」となる管理者端末１３に対して「ccc.html」及び「aaa.html」の２つのｈｔｍｌデータが対応付けられている。すなわち「aaa.html」については２つの管理者端末１３が関連付けられている。このように、同一のコンテンツに対して、複数の管理者端末１３に紐付けてもよい。

　比較データ出力部２３は、内部ネットワーク１４に設けられた比較データ保存部１５に、管理者端末１３により作成されたコンテンツを比較データとして出力する。

　比較データ保存部１５は、インターネットからの接続が制限された内部ネットワーク１４に配置される。管理者端末１３を含む他の端末からは、比較データ保存部１５に対してインターネットを経由して接続することはできないため、比較データ保存部１５内の比較データは変更されることなく保持される。このため、比較データ保存部１５内の比較データは、改ざんのおそれが無い原本データとしての機能を有する。

　また、比較データ出力部２３は、コンテンツが更新された際、端末関連付け部２２で作成された関連付け情報に基づいて当該コンテンツに対応する管理者端末１３による更新が確認されたとき、コンテンツを比較データとして比較データ保存部１５に出力する。このとき、比較データ保存部１５に同じ名称で既に保存されているコンテンツについては上書き保存される。これにより、比較データ保存部１５内には、コンテンツの更新に対応した原本データが保存される。

　比較検査部２４は、データベース１２に保存されたコンテンツと比較データとを比較して、比較結果に基づいてコンテンツの改ざんの有無を判定する。

　具体的には、比較検査部２４は、クライアント端末１６からコンテンツの要求があったとき、要求されたコンテンツに対応するデータをデータベース１２から取得する。さらに、要求されたコンテンツに対応する比較データを比較データ保存部１５から取得する。そして、データベース１２から取得したコンテンツと比較データとを比較して変更の有無を検査する。変更の有無の検査方法は、コンテンツと比較データとの差分を計算して、差分の有無により判定してもよいし、データベース１２から取得したコンテンツ及び比較データのそれぞれのハッシュ値を求めておき、ハッシュ値を比較することで変更の有無を判定してもよい。

　比較検査部２４は、データベース１２から取得したコンテンツと比較データとを比較してデータが一致しなかった場合、管理者端末１３とは異なる端末によるコンテンツの更新行為があった、すなわち改ざんが実行された判定する。改ざんが実行されたと判定した場合、クライアント端末１６にコンテンツを返さず、このコンテンツに関連付けられた管理者端末１３に改ざんの旨を通知する。一方、比較検査部２４は、両データを比較してデータが一致した場合、正常と判定して、クライアント端末１６にコンテンツを返す。なお、比較検査部２４は、比較検査を実行するごとに、比較検査の実行時間を記録してもよい。

　なお、比較検査部２４による、データベース１２から取得したコンテンツと比較データとの比較検査は、クライアントからコンテンツの要求があったときに限らず、一定時間ごとに（例えば、１時間ごと）に比較検査を実行してもよい。また、一定時間ごとに比較検査して検査の実行時間を記録することで、改ざんを検知した場合、改ざんを検知した時間とコンテンツが正常であった時間とに基づき改ざん行為がいつ発生したのかを絞りこむことができる。

　続いて、第１実施形態に係る情報処理装置１０の動作について説明する。
　まず、図４を用いて管理者端末１３に対応してコンテンツを関連付けるフローを説明する（適宜、図２参照）。

　ログイン認証部２１は、ログイン用の認証情報（例えば、ユーザＩＤ及びパスワード）を管理者端末１３から受け付けて、制御装置１１へのアクセスの妥当性を識別する（Ｓ１０）。なお、管理者端末１３の制御装置１１へのアクセスは、管理者に対して管理者端末１３の識別情報（例えば、ＭＡＣアドレス）の登録を予め求めておき、登録された識別情報を有する管理者端末１３のみに制御装置１１へのアクセスの認証を許可する構成にしてもよい。また、複数の管理者端末１３における識別情報の登録を管理者のそれぞれに予め求めておき、識別情報が登録された１つの管理者端末１３から情報処理装置１０へのアクセスがあった場合、識別情報が登録されている他の管理者端末１３に承認を求めて、承認が得られたときに制御装置１１へのアクセスの認証を許可する構成にしてもよい。

　そして、管理者は、管理者端末１３において作成したコンテンツを制御装置１１に送信して、データベース１２に登録する（Ｓ１１）。

　端末関連付け部２２は、管理者端末１３においてコンテンツの作成があった際、コンテンツと、作成した管理者端末１３を識別する識別情報との関連付けを行い関連付け情報として保存する（Ｓ１２）。

　比較データ出力部２３は、内部ネットワーク１４に設けられた比較データ保存部１５に、管理者端末１３により作成されたコンテンツを比較データ（原本データ）として出力する（Ｓ１３）。なお、コンテンツが更新された際には、端末関連付け部２２で作成された関連付け情報に基づいて当該コンテンツに対応する管理者端末１３による更新が確認されたとき、コンテンツを比較データとして比較データ保存部１５に出力する。

　続いて、図５に示す第１実施形態に係る情報処理方法のフローチャートを用いて、データベース１２内のコンテンツと比較データとを比較することでコンテンツに対する改ざんの有無を判定する方法について説明する（適宜、図２参照）。

　情報処理装置１０のデータ送受信部２０は、クライアント端末１６からコンテンツ要求を受け付ける（Ｓ１５）。

　比較検査部２４は、データベース１２からコンテンツを取得する（Ｓ１６）。さらに、比較検査部２４は、コンテンツに対応する（コンテンツとファイル名が一致する）比較データを比較データ保存部１５から取得する（Ｓ１７）。

　比較検査部２４は、データベース１２から取得したコンテンツと比較データとが一致する場合には、管理者端末１３とは異なる端末によるコンテンツの更新行為は無いとしてクライアント端末１６にコンテンツを返す（Ｓ１８：ＹＥＳ、Ｓ１９）。一方、比較検査部２４は、両データが一致しない場合には、改ざん行為が生じていると判定して、クライアント端末１６にコンテンツを返さず、管理者端末１３に通知する（Ｓ１８：ＮＯ、Ｓ２０）。

　このように、作成されたコンテンツとコンテンツの作成に係る管理者端末１３とを対応付けた関連付け情報を作成して、管理者端末１３により作成、更新されるコンテンツの原本データとデータベース１２内のコンテンツと比較することにより、第三者端末から情報処理装置１０に侵入された場合であっても、情報処理装置内のコンテンツへの改ざん行為を早期に検知できる。

　なお、上記の第１実施形態では、情報処理装置１０の制御装置１１において、作成されたコンテンツと、コンテンツの作成に係る管理者端末１３とを対応付けた関連付け情報を作成とする構成を示したが、コンテンツを作成する管理者端末１３において、コンテンツと、コンテンツの作成に係る管理者端末１３の識別情報とを対応付けた関連付け情報を作成して、作成した関連付け情報を制御装置１１に送信する構成としてもよい。

　また、管理者端末１３によるコンテンツの更新がなされない場合、コンテンツとコンテンツの作成に係る管理者端末１３とを対応付けた関連付け情報を作成すること無く、管理者端末１３によって作成されて、データベース１２に保存されたコンテンツとそのコンテンツの原本データとを比較することで、コンテンツに対する改ざんの有無を検知することができる。すなわち、比較データ保存部１５において、作成されたコンテンツを比較データ（原本データ）として保存しておき、この比較データとをデータベース１２に保存されたコンテンツとを比較することで、コンテンツの改ざんの有無を判定することができる。

　また、図６は第１実施形態に係る情報処理装置１０の変形例が適用されるネットワークの一例を示す構成図を示している。この変形例では、管理者端末１３で作成または更新されるコンテンツを、比較データ保存部１５に直接転送して、比較データ（原本データ）として比較データ保存部１５に保存させる。

　そして、制御装置１１は、データベース１２に保存されたコンテンツと比較データとを比較して、比較結果に基づいてコンテンツの改ざんの有無を判定する。このように、管理者端末１３において作成されたコンテンツを、比較データ保存部１５に直接原本データとして保存して、データベース１２に保存されているコンテンツと比較することで、情報処理装置内のコンテンツへの改ざん行為を検知できる。

（第２実施形態）
　図７は、第２実施形態に係る情報処理装置１０が適用される情報処理システム１００の一例を示す構成図である。第１実施形態では、管理者端末１３で作成、更新されるコンテンツの原本データを保存しておき、データベース１２内のコンテンツと比較することで、コンテンツに対する改ざんの有無を判定した。一方、第２実施形態では、データベース１２内に保存されるコンテンツを暗号化して、コンテンツに関連付けられた管理者端末１３にアクセス権限を付与することで、コンテンツに対する改ざんの防止を行う。

　図８は、第２実施形態に係る情報処理装置１０における制御装置１１の構成を示す構成図である。なお、図８では、第１実施形態で示した比較データ出力部２３、比較検査部２４などの一部の構成を省略しているが、これらの構成を組み合わせてもよい。

　第２実施形態に係る情報処理装置１０の制御装置１１は、アクセス権限設定部２５と、アクセス権検査部２６と、を有している。なお、図８において第１実施形態（図２）と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。

　端末関連付け部２２は、管理者端末１３によりコンテンツが新規で作成された際、コンテンツと、作成した管理者端末１３を識別する識別情報とを対応付けて関連付け情報を作成する。

　アクセス権限設定部２５は、コンテンツを暗号化して、暗号化されたコンテンツをデータベース１２に保存する。そして、アクセス権限設定部２５は、暗号化されたコンテンツに関連付けられた管理者端末１３に対して、コンテンツを復号してアクセスするアクセス権限を設定する。アクセス権限とは、コンテンツを閲覧、編集（内容の変更）、削除などのファイルを制御する権限を意味する。これにより、コンテンツは特定の管理者端末１３にのみアクセス可能に設定される。また、１つのコンテンツに対して複数の管理者端末１３を関連付けて、管理者端末１３のそれぞれにアクセス権限を設定してよい。このアクセス権限を設定は、コンテンツを作成した管理者の管理者端末１３を介して設定される。

　図９は、管理者端末１３にアクセス権限が付与される構成の一例を示す説明図である。
　管理者端末１３を識別する識別情報に対応させて暗号化されたｈｔｍｌデータのそれぞれが関連付けられている。管理者端末１３には、ｈｔｍｌデータに対して復号してアクセスするためのアクセス権限が設定される。例えば、識別情報が「AA-AA-xx-xx-x1」となる管理者端末１３に対して、暗号化された「aaa.html.xxx」及び「bbb.html.xxx」の２つのｈｔｍｌデータが対応付けられている。この管理者端末１３は、２つのｈｔｍｌデータを復号してアクセスする権限を有する。このように、データベース１２で保存される暗号化されたコンテンツは、アクセス権限を有する管理者端末１３と紐付けられる。また、図９の例では、識別情報が「AA-AA-xx-xx-x2」となる管理者端末１３に対して、暗号化された「ccc.html.xxx」及び「aaa.html.xxx」の２つのｈｔｍｌデータが対応付けられている。すなわち「aaa.html.xxx」については２つの管理者端末１３が、復号してアクセスする権限を有している。このように、同一のコンテンツに対して、アクセス権限を有する複数の管理者端末１３に紐付けてもよい。

　アクセス権検査部２６は、端末からコンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末がコンテンツに対するアクセス権限を有するか否かを判定する。コンテンツに対応する管理者端末１３からアクセス（例えば、コンテンツを開く動作）された場合、管理者端末１３はアクセス権限を有するため、コンテンツは復号されて開かれる。一方、管理者端末１３とは異なる端末からアクセスされた場合、アクセス権限を有しないため、コンテンツは復号されずファイルは開かれない。

　このように、コンテンツに関連付けられた、アクセス権限を有する管理者端末１３のみがコンテンツにアクセスすることができる。

　また、アクセス権限設定部２５により設定されるアクセス権限は、管理者端末１３により作成されたコンテンツのファイルごとに設定してもよいし、ファイルを格納するフォルダごとに設定してもよい。ファルダ単位でアクセス権限を付与することで、複数のファイルに対して一括してアクセス権限を設定できる。

　データ送受信部２０は、クライアント端末１６からコンテンツの要求があった際に、コンテンツを復号してクライアント端末に返す。なお、暗号化したままのコンテンツをクライアントに返して、クライアント端末側で復号する構成にしてもよい。

　続いて、第２実施形態に係る情報処理装置１０の動作について説明する。
　図１０は、管理者端末１３に対応してアクセス権限を付与するフローの一例を示すフローチャートである（適宜、図７参照）。

　ログイン認証部２１は、ログイン用の認証情報の入力を管理者端末１３から受け付けて、制御装置１１（サーバ）へのアクセスの妥当性を識別する（Ｓ２５）。そして、管理者は、管理者端末１３において作成したコンテンツを制御装置１１に送信して、データベース１２に登録する（Ｓ２６）。

　端末関連付け部２２は、管理者端末１３においてコンテンツの作成があった際、コンテンツと、作成した管理者端末１３を識別する識別情報とを関連付けを行い関連付け情報を作成する（Ｓ２７）。

　アクセス権限設定部２５は、コンテンツを暗号化して、データベース１２に保存する。アクセス権限設定部２５は、暗号化されたコンテンツに関連付けられた管理者端末１３に対して、コンテンツを復号してアクセスするアクセス権限を設定する（Ｓ２８）。

　続いて、図１１に示す第２実施形態に係る情報処理方法のフローチャートを用いて、データベース１２内のコンテンツに対する改ざん行為を未然に防止する方法について説明する（適宜、図７参照）。

　ログイン認証部２１は、ログイン用の認証情報の入力を管理者端末１３から受け付けて、制御装置１１へのアクセスの妥当性を識別する（Ｓ３０）。

　アクセス権検査部２６は、端末からコンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末がコンテンツに対するアクセス権限を有するか否かを判定する（Ｓ３１）。

　アクセス権検査部２６は、コンテンツに対する端末のアクセス権限が確認できた場合、コンテンツを復号する（Ｓ３２：ＹＥＳ、Ｓ３３）。そして、管理者は、管理者端末１３を介してコンテンツを編集して更新する（Ｓ３４）。一方、端末がアクセス権限を有しない場合には、コンテンツへのアクセスを拒否して、管理者端末１３に通知する（Ｓ３２：ＮＯ、Ｓ３５）。つまり、ログイン用の認証情報を不正に窃取した場合であっても、コンテンツへのアクセス権限を有しない端末は、コンテンツへのアクセスが拒否される。

　このように、情報処理装置１０で管理されるコンテンツを暗号化して、情報処理装置１０によって権限が付与された管理者端末１３のみで復号、更新可能に設定する。これにより、第三者が情報処理装置１０内に侵入した場合であっても、コンテンツの改ざんを未然に防止することができ、コンテンツを安全に保持できる。

　なお、上記の第２実施形態では、情報処理装置１０の制御装置１１において、暗号化されたコンテンツに関連付けられた管理者端末１３に対して、コンテンツを復号してアクセスするアクセス権限を設定する構成を示したが、コンテンツを作成する管理者端末１３において、コンテンツと、コンテンツの作成に係る管理者端末１３の識別情報とを対応付けた関連付け情報を作成し、暗号化されたコンテンツに関連付けられた管理者端末１３に対して、コンテンツを復号してアクセスするアクセス権限を設定する構成としてもよい。

　また、１つのコンテンツに対して複数の管理者端末１３を関連付けた場合において、コンテンツが更新されるときに、制御装置１１は全ての管理者端末１３に承認を求めて、承認が得られたときにデータベース１２内のコンテンツが更新される構成としてもよい。

　図１２は、第２実施形態に係る情報処理装置１０の変形例を示す説明図である。
　この変形例では、第２実施形態に係る情報処理装置１０に、第１実施形態で示した構成が加えられている。

　ここでは、悪意の第三者が第三者端末５０を用いて、パスワードの不正窃取などにより情報処理装置１０に侵入した場合について検討する。データベース１２に保存されているコンテンツに対して、アクセス権限を有しない第三者端末５０からはアクセスができない。このため、第三者端末５０は、コンテンツの内容を書き換えることはできず改ざんすることはできない。そして、万が一ファイルが書き換わった場合であっても、管理者端末１３で作成または更新されたコンテンツが比較データとして比較データ保存部１５に保存されているため、データベース１２内のコンテンツと比較データとの比較によりコンテンツの改ざんを検知することができる。

　さらに、図１３は、第２実施形態に係る情報処理装置１０の変形例を示す説明図である。この変形例では、管理者端末１３で作成された比較データ（原本データ）を比較データ保存部１５に直接転送する。図１２に示す変形例と同様に、万が一ファイルが書き換わった場合であっても、データベース１２内のコンテンツと比較データとの比較によりコンテンツの改ざんを検知することができる。加えて、盗難などにより管理者が管理者端末１３を失うことがあっても、原本データは保持されるため、コンテンツの改ざんの検知を継続できる。

　以上述べた各実施形態の情報処理装置によれば、管理者端末により作成されたコンテンツと、管理者端末とを関連付けることにより、第三者端末によりＷｅｂサーバに侵入された場合であっても、サーバ内のコンテンツの改ざんを早期に検知できるとともに、改ざん行為を未然に防止できる。

　なお、制御装置１１で実行されるプログラムは、ＲＯＭ等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでＣＤ－ＲＯＭ、ＣＤ－Ｒ、メモリカード、ＤＶＤ、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、制御装置１１で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

　１０…情報処理装置、１１…制御装置（Ｗｅｂサーバ）、１２…データベース、１３…管理者端末、１４…内部ネットワーク、１５…比較データ保存部、１６…クライアント端末、２０…データ送受信部、２１…ログイン認証部、２２…端末関連付け部、２３…比較データ出力部、２４…比較検査部、２５…アクセス権限設定部、２６…アクセス権検査部、５０…第三者端末、１００…情報処理システム。

Claims

　クライアント端末からの要求に応じてコンテンツを返す情報処理装置であって、
　管理者端末により作成された前記コンテンツを保存するデータベースと、
　前記コンテンツと前記管理者端末を識別する識別情報とを対応させて関連付け情報として保存して、この関連付け情報に基づいて前記コンテンツへのアクセス権限の設定を実行する制御装置を備えて、
　前記制御装置は、
　前記管理者端末により作成された前記コンテンツを暗号化して、暗号化された前記コンテンツに関連付けられた前記管理者端末に対して、前記コンテンツを復号してアクセスするアクセス権限を設定するアクセス権限設定部と、
　前記コンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末が前記コンテンツに対する前記アクセス権限を有するか否かを判定するアクセス権検査部と、を有する、ことを特徴とする情報処理装置。
　前記制御装置は、
　内部ネットワークに設けられた比較データ保存部に、前記コンテンツに関連付けられた前記管理者端末が作成または更新したデータを比較データとして出力する比較データ出力部と、
　前記データベースに保存された前記コンテンツと前記比較データとを比較して、比較結果に基づいて前記コンテンツの改ざんの有無を判定する比較検査部と、
を有する請求項１に記載の情報処理装置。
　前記制御装置は、
　前記クライアント端末から要求された場合に、暗号化された前記コンテンツを前記復号して返す、
請求項１または２に記載の情報処理装置。
　前記アクセス権限は、前記管理者端末により作成された前記コンテンツのファイルごと、または、ファイルを格納するフォルダごとに設定される、
請求項１から請求項３のいずれか一項に記載の情報処理装置。
　複数の前記管理者端末に、１つの前記コンテンツに対する前記アクセス権限が設定されて、
　前記コンテンツの更新時に、前記管理者端末に承認を求める通知がされて、
　前記データベースは、前記管理者端末のそれぞれで承認されたときに前記コンテンツを更新する、
請求項１から請求項４のいずれか一項に記載の情報処理装置。
　前記制御装置は、
　前記管理者端末とは異なる端末による、前記コンテンツの改ざん、及び、前記コンテンツへのアクセスの少なくとも一方を検知したときに、前記管理者端末に通知する、
請求項２から請求項５のいずれか一項に記載の情報処理装置。
　クライアント端末からの要求に応じてコンテンツを返す情報処理装置であって、
　管理者端末により作成され、更新される前記コンテンツを保存するデータベースと、
　前記コンテンツと前記管理者端末を識別する識別情報とを対応させて関連付け情報として保存する制御装置と、を備えて、
　前記制御装置は、
　内部ネットワークに設けられた比較データ保存部に、前記コンテンツに関連付けられた前記管理者端末が作成または更新したデータを比較データとして出力する比較データ出力部と、
　前記データベースに保存された前記コンテンツと前記コンテンツに対応する前記比較データとを比較して、比較結果に基づいて前記コンテンツの改ざんの有無を判定する比較検査部と、を有する、ことを特徴とする情報処理装置。
　クライアント端末からの要求に応じてコンテンツを返す情報処理方法であって、
　管理者端末により作成された前記コンテンツを保存するステップと、
　制御装置において、前記コンテンツと前記管理者端末を識別する識別情報とを対応させて関連付け情報として保存して、この関連付け情報に基づいて前記コンテンツへのアクセス権限の設定を実行するステップと、
　前記管理者端末により作成された前記コンテンツを暗号化して、暗号化された前記コンテンツに関連付けられた前記管理者端末に対して、前記コンテンツを復号してアクセスするアクセス権限を設定するステップと、
　前記コンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末が前記コンテンツに対する前記アクセス権限を有するか否かを判定するステップと、
を含むことを特徴とする情報処理方法。
　コンピュータを、
　管理者端末により作成されたコンテンツを保存する手段、
　制御装置において、前記コンテンツと前記管理者端末を識別する識別情報とを対応させて関連付け情報として保存して、この関連付け情報に基づいて前記コンテンツへのアクセス権限の設定を実行する手段、
　前記管理者端末により作成された前記コンテンツを暗号化して、暗号化された前記コンテンツに関連付けられた前記管理者端末に対して、前記コンテンツを復号してアクセスするアクセス権限を設定する手段、
　前記コンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末が前記コンテンツに対する前記アクセス権限を有するか否かを判定する手段、
として機能させることを特徴とする情報処理プログラム。
　コンテンツを作成する管理者端末と、
　前記管理者端末により作成された前記コンテンツを保存するデータベースと、
　前記管理者端末において前記コンテンツと前記管理者端末を識別する識別情報とを対応させて作成された関連付け情報を受け付けて、この関連付け情報に基づいて前記コンテンツへのアクセス権限の設定を実行する制御装置と、を備えて、
　前記制御装置は、
　前記管理者端末により作成された前記コンテンツを暗号化して、暗号化された前記コンテンツに関連付けられた前記管理者端末に対して、前記コンテンツを復号してアクセスするアクセス権限を設定するアクセス権限設定部と、
　前記コンテンツにアクセスがあったときに、設定されたアクセス権限に基づいて当該端末が前記コンテンツに対する前記アクセス権限を有するか否かを判定するアクセス権検査部と、を有する、ことを特徴とする情報処理システム。