WO2021250867A1

WO2021250867A1 - コンピュータ可読媒体、ユーザ装置、アクセス制御方法、及びアクセス制御システム

Info

Publication number: WO2021250867A1
Application number: PCT/JP2020/023092
Authority: WO
Inventors: 匠廣田; 秀之安岡
Original assignee: 日本電気株式会社; Ｎｅｃソリューションイノベータ株式会社
Priority date: 2020-06-11
Filing date: 2020-06-11
Publication date: 2021-12-16
Also published as: US20230252175A1; JPWO2021250867A1; JP7485456B2

Abstract

ユーザ装置（２０００）は、第１サーバ装置（３０００）からアクセス権限情報（２０）を取得して、対象ユーザ（４０）が対象ファイル（１０）に対するアクセス権限を有するか否かを判定する。ユーザ装置（２０００）は、対象ユーザ（４０）が対象ファイル（１０）に対するアクセス権限を有する場合に、第２サーバ装置（４０００）から、対象ファイル（１０）についての鍵情報（３０）を取得する。ユーザ装置（２０００）は、鍵情報（３０）を利用して対象ファイル（１０）を復号する。

Description

コンピュータ可読媒体、ユーザ装置、アクセス制御方法、及びアクセス制御システム

　本発明は、ファイルのアクセス制御に関する。

　ネットワークを介し、複数のユーザの間でファイルを共有する技術が開発されている。そして、このようなファイル共有では、ファイルの不正利用等を防止するために、ファイルの暗号化や、アクセス権限に基づくアクセス制御などが行われている。

　このような共有ファイルの管理を実現する技術について開示する先行技術文献としては、例えば、特許文献１がある。特許文献１は、ユーザ装置によるファイルのアクセスを制御するシステムを開示している。ユーザ装置は、暗号化された共有ファイルにアクセスする際、管理サーバに対して復号鍵を要求する。この要求を受け付けた管理サーバは、連携サーバから、共有ファイルが格納されている共有フォルダのアクセス権情報を取得する。管理サーバは、復号鍵とアクセス権情報をユーザ装置に送信する。ユーザ装置は、取得したアクセス権情報に示されているアクセス権に従い、取得した復号鍵を用いて、共有ファイルを利用する。

国際公開第２０１７／０６４７８０号

　特許文献１のシステムでは、アクセス権の情報と復号鍵の取得が、管理サーバという１つのサーバを介して行われる。そのため、管理サーバに負荷が集中してしまい、管理サーバにかかる負荷が大きくなってしまう。

　本発明は上記の課題に鑑みてなされたものであり、その目的の一つは、サーバを利用してファイルを共有する環境において、１つのサーバに負荷が集中することを避ける技術を提供することである。

　本発明のユーザ装置は、第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得部と、前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有する。

　本発明のアクセス制御方法は、コンピュータによって実行される。当該アクセス制御方法は、第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定ステップと、前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得ステップと、前記取得した鍵情報を利用して前記対象ファイルを復号する復号ステップと、を有する。前記コンピュータは、前記第１サーバ装置ではなく、前記第２サーバ装置でもない。

　本発明のコンピュータ可読媒体は、コンピュータに本発明のアクセス制御方法を実行させるプログラムを格納している。

　本発明のアクセス制御システムは、ユーザ装置、第１サーバ装置、及び第２サーバ装置を有する。前記ユーザ装置は、第１サーバ装置に対し、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を要求する第１リクエストを送信し、前記第１サーバ装置から取得した前記アクセス権限情報を利用して、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置に対し、前記対象ファイルの復号に利用する鍵情報を要求する第２リクエストを送信し、前記第２サーバ装置から前記鍵情報を取得する取得部と、前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有する。
　前記第１サーバ装置は、前記第１リクエストに応じて、前記アクセス権限情報を前記ユーザ装置へ提供する。
　前記第２サーバ装置は、前記第２リクエストに応じて、前記鍵情報を前記ユーザ装置へ提供する。

　サーバを利用してファイルを共有する環境において、１つのサーバに負荷が集中することを避ける技術が提供される。

実施形態１のユーザ装置の動作の概要を例示する図である。実施形態１のアクセス制御システムの機能構成を例示するブロック図である。ユーザ装置を実現するコンピュータのハードウエア構成を例示するブロック図である。実施形態１のユーザ装置によって実行される処理の流れを例示するフローチャートである。基準位置に基づくアクセス制御を概念的に説明する図である。アクセス制御システムの具体的な実現例を示す図である。実現例のアクセス制御システムにおけるアクセス制御の流れを例示する図である。

　以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。

　図１は、実施形態１のユーザ装置２０００の動作の概要を例示する図である。ここで、図１は、ユーザ装置２０００の概要の理解を容易にするための図であり、ユーザ装置２０００の動作は、図１に示したものに限定されない。

　ユーザ装置２０００は、第１サーバ装置３０００と第２サーバ装置４０００と共に、アクセス制御システム５０００を構成している。アクセス制御システム５０００では、ユーザ装置２０００によるファイルアクセスについて、アクセス権限に基づくアクセス制御が行われる。

　ここで、ユーザ装置２０００によってアクセスされるファイルのうち、アクセス制御システム５０００を利用したアクセス制御が行われるファイルを、対象ファイル１０と呼ぶ。対象ファイル１０が格納されている記憶装置は、ユーザ装置２０００からアクセス可能な任意の記憶装置でよく、ユーザ装置２０００の内部と外部のどちらに設けられていてもよい。

　また、対象ファイル１０は、暗号化された状態で記憶装置に格納されている。そのため、アクセス制御システム５０００では、対象ファイル１０に対するアクセス制御に加え、対象ファイル１０の復号も行われる。

　ユーザ装置２０００は、ユーザによって利用される装置であり、対象ファイル１０に対してアクセスする。ここで、ユーザ装置２０００を利用するユーザを、対象ユーザ４０と呼ぶ。対象ファイル１０に対するアクセスは、対象ユーザ４０による操作に応じて行われてもよいし、ユーザ装置２０００上で動作しているソフトウエアによって自動的に行われてもよい。図１では、対象ユーザ４０による操作に応じて対象ファイル１０へのアクセスが行われるケースを例示している。第１サーバ装置３０００は、対象ファイル１０のアクセス権限に関する情報を管理する装置である。第２サーバ装置４０００は、対象ファイル１０を復号するために必要な情報を管理するサーバ装置である。

　ユーザ装置２０００において対象ファイル１０を利用する際、ユーザ装置２０００は、第１サーバ装置３０００にアクセスして、対象ユーザ４０が対象ファイル１０に対してアクセスする権限（対象ファイル１０に対するアクセス権限）を有するか否かを判定する。より具体的には、ユーザ装置２０００は、第１サーバ装置３０００から、対象ファイル１０について、アクセス権限に関する情報（以下、アクセス権限情報２０）を取得し、取得したアクセス権限情報２０を利用して、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定する。

　対象ユーザ４０が対象ファイル１０に対するアクセス権限を有する場合、ユーザ装置２０００は、第２サーバ装置４０００にアクセスして、対象ファイル１０の復号を行う。より具体的には、ユーザ装置２０００は、第２サーバ装置４０００から、対象ファイル１０の復号に必要な情報（以下、鍵情報３０）を取得する。そして、ユーザ装置２０００は、鍵情報３０を利用して対象ファイル１０を復号する。例えば鍵情報３０には、対象ファイル１０を復号するための復号鍵が含まれる。この場合、ユーザ装置２０００は、鍵情報３０に含まれる復号鍵で対象ファイル１０を復号する。ただし、鍵情報３０に含まれるデータは、復号鍵に限定されない。

＜作用効果の一例＞
　本実施形態のアクセス制御システム５０００によれば、アクセス制御の対象であり、なおかつ暗号化が施されている対象ファイル１０について、アクセス制御とファイルの復号とが、別々のサーバを利用して行われる。より具体的には、アクセス制御は第１サーバ装置３０００を利用して行われ、対象ファイル１０の復号は第２サーバ装置４０００を利用して行われる。よって、アクセス制御と復号の双方が必要なファイルへのアクセスについて、処理負荷が一種類のサーバに集中してしまうことを防ぐことができる。

　以下、本実施形態のユーザ装置２０００について、より詳細に説明する。

＜機能構成の例＞
　図２は、実施形態１のユーザ装置２０００の機能構成を例示するブロック図である。前述した様に、ユーザ装置２０００は、第１サーバ装置３０００及び第２サーバ装置４０００と共に、アクセス制御システム５０００を構成する。ユーザ装置２０００は、判定部２０２０、取得部２０４０、及び復号部２０６０を有する。判定部２０２０は、第１サーバ装置３０００からアクセス権限情報２０を取得して、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定する。取得部２０４０は、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有する場合に、第２サーバ装置４０００から、対象ファイル１０についての鍵情報３０を取得する。復号部２０６０は、鍵情報３０を利用して対象ファイル１０を復号する。

＜ハードウエア構成の例＞
　ユーザ装置２０００の各機能構成部は、各機能構成部を実現するハードウエア（例：ハードワイヤードされた電子回路など）で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ（例：電子回路とそれを制御するプログラムの組み合わせなど）で実現されてもよい。以下、ユーザ装置２０００の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。

　図３は、ユーザ装置２０００を実現するコンピュータ５００のハードウエア構成を例示するブロック図である。コンピュータ５００は、任意のコンピュータである。例えばコンピュータ５００は、PC（Personal Computer）やサーバマシンなどといった、据え置き型のコンピュータである。その他にも例えば、コンピュータ５００は、スマートフォンやタブレット端末などといった可搬型のコンピュータである。コンピュータ５００は、ユーザ装置２０００を実現するために設計された専用のコンピュータであってもよいし、汎用のコンピュータであってもよい。

　例えば、コンピュータ５００に対して所定のアプリケーションをインストールすることにより、コンピュータ５００で、ユーザ装置２０００の各機能が実現される。上記アプリケーションは、ユーザ装置２０００の機能構成部を実現するためのプログラムで構成される。

　コンピュータ５００は、バス５０２、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース５１０、及びネットワークインタフェース５１２を有する。バス５０２は、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース５１０、及びネットワークインタフェース５１２が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ５０４などを互いに接続する方法は、バス接続に限定されない。

　プロセッサ５０４は、CPU（Central Processing Unit）、GPU（Graphics Processing Unit）、又は FPGA（Field－Programmable Gate Array）などの種々のプロセッサである。メモリ５０６は、RAM（Random Access Memory）などを用いて実現される主記憶装置である。ストレージデバイス５０８は、ハードディスク、SSD（Solid State Drive）、メモリカード、又は ROM（Read Only Memory）などを用いて実現される補助記憶装置である。

　入出力インタフェース５１０は、コンピュータ５００と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース５１０には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。

　ネットワークインタフェース５１２は、コンピュータ５００をネットワークに接続するためのインタフェースである。このネットワークは、LAN（Local Area Network）であってもよいし、WAN（Wide Area Network）であってもよい。

　ストレージデバイス５０８は、ユーザ装置２０００の各機能構成部を実現するプログラム（前述したアプリケーションを実現するプログラム）を記憶している。プロセッサ５０４は、このプログラムをメモリ５０６に読み出して実行することで、ユーザ装置２０００の各機能構成部を実現する。また、ストレージデバイス５０８には、対象ファイル１０が格納されていてもよい。

　ユーザ装置２０００は、１つのコンピュータ５００で実現されてもよいし、複数のコンピュータ５００で実現されてもよい。後者の場合において、各コンピュータ５００の構成は同一である必要はなく、それぞれ異なるものとすることができる。

　ユーザ装置２０００と同様に、第１サーバ装置３０００と第２サーバ装置４０００も、種々のコンピュータによって実現される。第１サーバ装置３０００を実現するコンピュータや、第２サーバ装置４０００を実現するコンピュータは、例えばユーザ装置２０００を実現するコンピュータ５００と同様に、図３に示すハードウエア構成を有する。ただし、ユーザ装置２０００、第１サーバ装置３０００、及び第２サーバ装置４０００を実現するコンピュータのハードウエア構成は、互いに異なっていてもよい。また、第１サーバ装置３０００と第２サーバ装置４０００はそれぞれ、複数のコンピュータで実現されてもよい。

　ユーザ装置２０００、第１サーバ装置３０００、及び第２サーバ装置４０００を実現するコンピュータは、ネットワークを介して通信可能に接続されている。これらを互いに接続するネットワークは、LAN であってもよいし、WAN であってもよい。また、これら３つのうちの２つが互いに LAN で接続されており、残りの１つとは WAN を介して接続されるようにしてもよい。例えば、第１サーバ装置３０００と第２サーバ装置４０００が同一の LAN 内に設けられ、ユーザ装置２０００が WAN を介して第１サーバ装置３０００及び第２サーバ装置４０００と接続される。

＜処理の流れ＞
　図４は、実施形態１のユーザ装置２０００によって実行される処理の流れを例示するフローチャートである。判定部２０２０は、対象ファイル１０に対するアクセスを検出する（Ｓ１０２）。判定部２０２０は、第１サーバ装置３０００からアクセス権限情報２０を取得する（Ｓ１０４）。判定部２０２０は、アクセス権限情報２０を利用して、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定する（Ｓ１０６）。対象ユーザ４０が対象ファイル１０に対するアクセス権限を有する場合（Ｓ１０６：ＹＥＳ）、取得部２０４０は、第２サーバ装置４０００から鍵情報３０を取得する（Ｓ１０８）。復号部２０６０は、鍵情報３０を利用して対象ファイル１０を復号する（Ｓ１１０）。

　なお、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有さないと判定された場合（Ｓ１０６：ＮＯ）に行われる処理は任意である。ユーザ操作に応じて対象ファイル１０へのアクセスが行われた場合、例えばユーザ装置２０００は、対象ユーザ４０によって閲覧されるディスプレイ装置などに、アクセス権限が無いため対象ファイル１０へアクセスできない旨のエラーメッセージなどを出力する。また、ユーザ装置２０００上で動作しているソフトウエアによって対象ファイル１０に対するアクセスが行われた場合、例えばユーザ装置２０００は、上記ソフトウエアに対して、対象ファイル１０にアクセスする権限がない旨のエラーを通知する。

＜対象ファイル１０に対するアクセスの検出：Ｓ１０２＞
　対象ファイル１０に対するアクセスが行われたら、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かについての判定が行われる。そのため、判定部２０２０は、対象ファイル１０に対するアクセスを検出する（Ｓ１０２）。ここで、特定の制御の対象となっているファイルへのアクセスを検出する技術には、既存の種々の技術を利用することができる。

　例えばユーザ装置２０００は、任意のファイルへのアクセスを検出し、そのファイルが対象ファイル１０であるか否かを判定する。この判定は、例えば、アクセスされたファイルのメタデータを参照することで実現できる。例えば、対象ファイル１０のメタデータ（すなわち、アクセス制御システム５０００によってアクセス制御が行われるファイルのメタデータ）には、特定のフラグを設けておく。判定部２０２０は、ファイルに対するアクセスが検出されたら、そのファイルのメタデータに上記フラグが含まれているか否かを判定する。アクセスされたファイルのメタデータに上記フラグが含まれていたら、判定部２０２０は、アクセスされたファイルが対象ファイル１０であると判定する。一方、アクセスされたファイルのメタデータに上記フラグが含まれていなかったら、判定部２０２０は、アクセスされたファイルが対象ファイル１０でないと判定する。

　また、上述したフラグ以外のメタデータを用いて、アクセスされたファイルが対象ファイル１０であるか否かを判定してもよい。例えば、対象ファイル１０のメタデータに後述する基準位置を示す情報や、対象ファイル１０の暗号化に利用された暗号鍵などを含めるようにする。こうすることで、これらの情報を前述したフラグと同様に利用することができる。

　その他にも例えば、対象ファイル１０を格納できるディレクトリが、特定のディレクトリ（以下、対象ディレクトリ）のみに限定されるようにしておく。この場合、判定部２０２０は、ファイルへのアクセスが検出されたら、そのファイルが対象ディレクトリに格納されているか否かを判定する。アクセスされたファイルが対象ディレクトリに格納されている場合、判定部２０２０は、そのファイルが対象ファイル１０であると判定する。一方、アクセスされたファイルが対象ディレクトリに格納されていない場合、判定部２０２０は、そのファイルが対象ファイル１０でないと判定する。なお、対象ディレクトリは複数あってもよい。

　対象ディレクトリを定義した情報は、例えば、ユーザ装置２０００からアクセス可能な記憶装置に格納しておく。その他にも例えば、ディレクトリのメタデータに、対象ディレクトリであることを表すフラグを設けてもよい。

＜アクセス権限について＞
　ここで、第１サーバ装置３０００によって管理されるアクセス権限について説明する。アクセス権限は、ユーザごとに設定されてもよいし、ユーザのグループごとに設定されてもよい。また、アクセス権限は、ファイルに対する種々の操作それぞれについて個別に設定されてもよいし、全ての操作について一括で設定されてもよい。

　アクセス権限は、ファイルごとに設定されてもよいし、ファイルのグループごとに設定されてもよい。後者の場合、例えば、ファイルが格納されている位置（ディレクトリ）に対してアクセス権限が設定される。すなわち、同一のディレクトリに格納されている対象ファイル１０に対し、同一のアクセス権限が設定される。なお、アクセス権限が設定されたディレクトリの中にサブディレクトリが格納されている場合、そのサブディレクトリの中に格納されているファイルやサブディレクトリに対しても、同じアクセス権限が再帰的に設定されることが好適である。

　なお、あるファイルについて、当該ファイルに対して個別に設定されたアクセス権限と、当該ファイルが属するグループに対して設定されたアクセス権限の双方が存在する場合の扱い方については、任意である。例えば、それら２種類のいずれか一方のみが適用されるようにする。

　なお、ディレクトリに対してアクセス権限が設定される場合、あるファイルに対するアクセス権限は、そのファイルが現在格納されているディレクトリではなく、そのファイルが過去に格納されていたディレクトリ（以下、基準位置）に対して設定されたアクセス権限であってもよい。例えば、ファイルサーバに格納されている対象ファイル１０が、ユーザ装置２０００へコピーされたとする。そしてその後に、ユーザ装置２０００が、ユーザ装置２０００に格納されている対象ファイル１０に対してアクセスしたとする。この場合、対象ファイル１０の基準位置として、ファイルサーバ上の格納位置を設定することが考えられる。このような状況において、基準位置に対して設定されたアクセス権限を利用すると、対象ファイル１０がユーザ装置２０００へコピーされた後も、ファイルサーバ上の格納位置に対して設定されたアクセス権限に基づくアクセス制御を実現できる。

　図５は、基準位置に基づくアクセス制御を概念的に説明する図である。図５において、ファイルサーバ５０に設けられているディレクトリ /dir1/dir2/dir3 には、ファイル f1 が格納されている。そして、ファイル f1 の基準位置として、ファイルサーバ５０の /dir1/dir2/dir3 が設定されている。

　さらに、図５において、ファイル f1 は、ファイルサーバ５０の /dir1/dir2/dir3 から、ユーザ装置２０００の /dir4/dir5 へコピーされている。この場合において、ユーザ装置２０００にコピーされた対象ファイル１０へアクセスすると、現在位置である「ユーザ装置２０００の /dir4/dir5」ではなく、基準位置である「ファイルサーバ５０の /dir1/dir2/dir3」に対して設定されたアクセス権限に基づいて、対象ファイル１０へのアクセスが制御される。そのため例えば、ユーザ装置２０００を操作している対象ユーザ４０が、/dir4/dir5 に格納されているファイルへのアクセス権限を有していたとしても、/dir1/dir2/dir3 に対するアクセス権限を有していなければ、/dir4/dir5 に格納されている対象ファイル１０に対してアクセスすることができない。

　また、ファイルサーバ５０においてファイル f1 が削除されたとする。この場合、ユーザ装置２０００にコピーされたファイル f1 は、ファイル f1 の基準位置に対するアクセス権限を有している対象ユーザ４０であってもアクセスできないようにしてもよい。この動作を実現する場合、ユーザ装置２０００にコピーされたファイルが、ファイルサーバ５０上のどのファイルに該当するのかを把握できる必要がある。当該把握を実現する方法には、既存の種々の方法を採用できる。例えば、ユーザ装置２０００にコピーされたファイルのメタデータに、当該ファイルの元データであるファイルサーバ５０上のファイルのパスを含めておく。また、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有しているか否かを判定する際には、対象ファイル１０の元データであるファイルサーバ５０上のファイルが削除されていないかどうかも判定し、削除されている場合には、アクセス権限を有しないと判定するようにする。

　なお、対象ファイル１０の基準位置は、更新可能であってもよい。例えば、特定のユーザに対し、対象ファイル１０の基準位置を変更する権限を与えるようにする。この場合において、当該ユーザにより、ファイルサーバ５０に格納されている対象ファイル１０が、ファイルサーバ５０内の別のディレクトリに移動されたとする。この際、例えばファイルサーバ５０は、移動された対象ファイル１０について、基準位置を移動先のディレクトリに変更するか否かを、ユーザに選択させる。基準位置を変更することが選択された場合、第１サーバ装置３０００は、当該移動先のディレクトリを、移動された対象ファイル１０の新たな基準位置に設定する。一方、基準位置を変更しないことが選択された場合には、基準位置の変更が行われない。なお、第１サーバ装置３０００は、ユーザに選択を求めなくてもよい。この場合、基準位置を変更する権限を有するユーザによって対象ファイル１０が移動された場合、自動的に、その対象ファイル１０の基準位置が変更される。

　なお、通常の移動とは別に、基準位置の変更を伴う移動の操作ができるようにしてもよい。この場合、対象ファイル１０について通常の移動の操作が行われた場合には、当該対象ファイル１０の基準位置は変更されない。一方、基準位置の変更を伴う移動の操作が行われた場合には、対象ファイル１０の基準位置が、移動先のディレクトリに変更される。

　なお、通常の移動と基準位置の変更を伴う移動という２つの移動操作を可能にする方法には、任意の方法を採用できる。例えば、マウスの左ボタンで行われた移動操作は通常の移動操作として扱い、マウスの右ボタンで行われた移動操作は基準位置の変更を伴う移動操作として扱うといった方法が考えられる。

　なお、上述の説明ではファイルの移動に応じて基準位置を更新するケースについて説明したが、同様の方法で、ファイルのコピーに応じて基準位置が更新されるようにしてもよい。この場合、同一内容の２つのファイルに対し、それぞれ異なる基準位置が設定されることとなる。すなわち、コピー元のファイルについては、基準位置が変更されず、コピーによって生成されたファイルについては、コピー先のディレクトリが基準位置として設定される。

＜アクセス権限の判定：Ｓ１０４、Ｓ１０６＞
　判定部２０２０は、アクセス権限情報２０を取得する（Ｓ１０４）。より具体的には、判定部２０２０は、第１サーバ装置３０００に対して、アクセス権限情報２０を要求するリクエストを送信する。そして、判定部２０２０は、上記リクエストに応じて第１サーバ装置３０００から送信されたレスポンスとして、アクセス権限情報２０を受信する。そして、判定部２０２０は、アクセス権限情報２０を利用して、対象ユーザ４０がアクセス権限を有するか否かを判定する。

　ここで、アクセス権限情報２０は、１）対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定した結果を示す情報であってもよいし、２）対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定するために利用可能な情報であってもよい。以下、それぞれのケースについて具体的に説明する。

＜＜１）のケース＞＞
　このケースにおいて、第１サーバ装置３０００は、判定部２０２０から必要な情報を取得して、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定する。このようにアクセス権限の判定が第１サーバ装置３０００によって行われるようにすることで、ユーザ装置２０００によって扱われるアクセス権限に関する情報を少なくすることができる。

　例えば、第１サーバ装置３０００からアクセス可能な記憶装置（以下、第１記憶装置）に、ユーザの識別情報と、その識別情報によって特定されるユーザがアクセス可能なファイルやディレクトリの識別情報（例えばパス）と、それらのファイルやディレクトリについてそのユーザが許可されているアクセスの種類（リード、ライト、実行など）とを対応づけた情報が格納されている。なお、ユーザの代わりにユーザグループが利用されてもよい。

　判定部２０２０は、第１サーバ装置３０００に対し、対象ファイル１０の識別情報、対象ユーザ４０の識別情報、及び検出したアクセスの種類を示すリクエストを送信する。第１サーバ装置３０００は、上記リクエストを受信し、そのリクエストに示されている対象ファイル１０の識別情報、対象ユーザ４０の識別情報、及びアクセスの種類を用いて、アクセス権限の判定を行う。例えば第１サーバ装置３０００は、リクエストに示されている「対象ユーザ４０の識別情報、対象ファイル１０の識別情報、アクセスの種類」という対応付けと、第１記憶装置に格納されている「ユーザの識別情報、ファイルやディレクトリの識別情報、許可されているアクセスの種類」という対応付けとの比較を行うことで、対象ユーザ４０による対象ファイル１０に対するアクセスが許可されているか否かを判定する。

　上記比較を実現する具体的な方法は任意である。例えば第１サーバ装置３０００は、リクエストに示されている「対象ユーザ４０の識別情報、対象ファイル１０の識別情報」の組み合わせで第１記憶装置に格納されている情報を検索することにより、対象ユーザ４０が対象ファイル１０に対して許可されているアクセスの種類を特定する。そして、第１サーバ装置３０００は、対象ユーザ４０が対象ファイル１０に対して許可されているアクセスの種類の中に、リクエストに示されているアクセスの種類が含まれているか否かを判定する。許可されているアクセスの種類の中に、リクエストに示されているアクセスの種類が含まれている場合、第１サーバ装置３０００は、「対象ユーザ４０はアクセス権限を有する」と判定する。一方、許可されているアクセスの種類の中に、リクエストに示されているアクセスの種類が含まれていない場合、第１サーバ装置３０００は、「対象ユーザ４０はアクセス権限を有さない」と判定する。そして、第１サーバ装置３０００は、判定の結果を示すアクセス権限情報２０を生成し、判定部２０２０へ送信する。

　判定部２０２０は、受信したアクセス権限情報２０に示されている判定結果が、「対象ファイル１０はアクセス権限を有する」という旨の判定結果であるか否かを判定する。「対象ファイル１０はアクセス権限を有する」という旨の判定結果が示されている場合、判定部２０２０は、「対象ユーザ４０はアクセス権限を有する」と判定する。一方、「対象ファイル１０はアクセス権限を有する」という旨の判定結果が示されていない場合、判定部２０２０は、「対象ユーザ４０はアクセス権限を有さない」と判定する。

　なお、前述したように、アクセス権限の判定に基準位置を利用するケースもある。この場合、前述した方法において、対象ファイル１０の識別情報の代わりに、基準位置を利用する。例えば判定部２０２０は、第１サーバ装置３０００に対し、「対象ユーザ４０の識別情報、基準位置、アクセスの種類」という組み合わせを含むリクエストを送信する。第１サーバ装置３０００は、リクエストに示されている「対象ユーザ４０の識別情報、基準位置」という組み合わせで第１記憶装置を検索することにより、対象ユーザ４０が基準位置に対して許可されているアクセスの種類を特定する。対象ユーザ４０が基準位置に対して許可されているアクセスの種類の中に、リクエストに示されているアクセスの種類が含まれていれば、「対象ユーザ４０はアクセス権限を有する」という判定結果となる。一方、対象ユーザ４０が基準位置に対して許可されているアクセスの種類の中に、リクエストに示されているアクセスの種類が含まれていない場合、「対象ユーザ４０はアクセス権限を有さない」という判定結果となる。

＜＜２）のケース＞＞
　このケースにおいて、例えばアクセス権限情報２０は、対象ユーザ４０がアクセス可能なファイルやディレクトリを示す情報などである。例えば判定部２０２０は、第１サーバ装置３０００に対し、対象ユーザ４０の識別情報を示すリクエストを送信する。第１サーバ装置３０００は、リクエストに示されている対象ユーザ４０の識別情報で第１記憶装置を検索することで、「対象ユーザ４０がアクセス可能なファイル又はディレクトリ、当該ファイル又はディレクトリに対して許可されているアクセスの種類」という組み合わせを１つ以上特定する。そして、第１サーバ装置３０００は、アクセス権限情報２０として、上記特定した組み合わせを示す情報をユーザ装置２０００へ送信する。

　ユーザ装置２０００は、「対象ファイル１０の識別情報、対象ファイル１０に対して行われたアクセスの種類」という組み合わせと、アクセス権限情報２０とを比較することで、対象ファイル１０に対して行われたアクセスが対象ユーザ４０に対して許可されているか否かを判定する。例えば判定部２０２０は、アクセス権限情報２０に示されているファイル又はディレクトリの識別情報の中に、対象ファイル１０の識別情報に対応するものがあるか否かを判定する。ここで、「ディレクトリの識別情報が対象ファイル１０の識別情報に対応する」とは、対象ファイル１０が当該ディレクトリの配下に格納されていることを意味する。

　アクセス権限情報２０に示されているファイル又はディレクトリの識別情報の中に、対象ファイル１０の識別情報に対応するものがない場合、判定部２０２０は、「対象ユーザ４０はアクセス権限を有さない」と判定する。一方、アクセス権限情報２０に示されているファイル又はディレクトリの識別情報の中に、対象ファイル１０の識別情報に対応するものがある場合、判定部２０２０は、当該ファイル又はディレクトリに対応づけられているアクセスの種類（すなわち、許可されているアクセスの種類）に、対象ファイル１０に対して行われたアクセスの種類が含まれているか否かを判定する。含まれている場合、判定部２０２０は、「対象ユーザ４０はアクセス権限を有する」と判定する。一方、含まれていない場合、判定部２０２０は、「対象ユーザ４０はアクセス権限を有さない」と判定する。

　その他にも例えば、判定部２０２０は、第１サーバ装置３０００に対し、対象ファイル１０の識別情報を示すリクエストを送信してもよい。この場合、第１サーバ装置３０００は、リクエストに示されている対象ファイル１０の識別情報で第１記憶装置を検索することで、「ユーザの識別情報、そのユーザが対象ファイル１０に対して許可されているアクセスの種類」という組み合わせを１つ以上特定する。すなわち、対象ファイル１０に対して何らかのアクセスが許可されている各ユーザについて、ユーザの識別情報と、そのユーザが許可されているアクセスの種類との対応づけが得られる。

　第１サーバ装置３０００は、アクセス権限情報２０として、上記特定した組み合わせを示す情報をユーザ装置２０００へ送信する。ユーザ装置２０００は、「対象ユーザ４０の識別情報、対象ファイル１０に対して行われたアクセスの種類」という組み合わせと、アクセス権限情報２０とを比較することで、対象ファイル１０に対して行われたアクセスが対象ユーザ４０に対して許可されているか否かを判定する。

　なお、２）のケースにおいても、前述したように、アクセス権限の判定に基準位置を利用することがありうる。この場合、前述した方法において、対象ファイル１０の識別情報の代わりに、基準位置を利用する。例えば判定部２０２０が第１サーバ装置３０００に対して対象ユーザ４０の識別情報を送信することで、「対象ユーザ４０がアクセス可能なファイル又はディレクトリ、許可されているアクセスの種類」という組み合わせを示すアクセス権限情報２０を取得するとする。この場合、アクセス権限情報２０の中に示されているファイル又はディレクトリの識別情報の中に基準位置に対応するものがあり、なおかつ、そのファイル又はディレクトリの識別情報に対応づけられているアクセスの種類の中に、対象ファイル１０に対して行われたアクセスの種類が含まれていれば、「対象ユーザ４０はアクセス権限を有する」と判定される。一方、アクセス権限情報２０の中に示されているファイル又はディレクトリの識別情報の中に基準位置に対応するものがない場合や、基準位置に対応するファイル又はディレクトリに対応づけられているアクセスの種類の中に、対象ファイル１０に対して行われたアクセスの種類が含まれていない場合には、「対象ファイル１０はアクセス権限を有さない」と判定される。

＜対象ファイル１０の復号：Ｓ１０８、Ｓ１１０＞
　対象ユーザ４０がアクセス権限を有すると判定された場合、取得部２０４０は、第２サーバ装置４０００から鍵情報３０を取得する（Ｓ１０８）。そして、復号部２０６０は、鍵情報３０を利用して対象ファイル１０を復号する。

　鍵情報３０は、１）対象ファイル１０を復号するために利用する復号鍵であってもよいし、２）当該復号鍵の生成に利用できる情報であってもよい。以下、それぞれの場合について具体的に例示する。

＜＜１）のケース＞＞
　このケースにおいて、第２サーバ装置４０００は、取得部２０４０からのリクエストに応じて、ユーザ装置２０００に対して、対象ファイル１０を復号するための復号鍵を含む鍵情報３０を送信する。例えば対象ファイル１０を復号するための復号鍵が、対象ファイル１０の暗号化に利用された暗号鍵から生成可能であるとする。この場合、取得部２０４０は、対象ファイル１０の暗号化に利用された暗号鍵を含むリクエストを、第２サーバ装置４０００へ送信する。第２サーバ装置４０００は、リクエストに含まれる暗号鍵から、復号鍵を生成する。そして、第２サーバ装置４０００は、生成した復号鍵を含む鍵情報３０を生成し、ユーザ装置２０００へ送信する。

　対象ファイル１０の暗号化に利用された暗号鍵をユーザ装置２０００が取得する方法は任意である。例えば対象ファイル１０の暗号化に利用された暗号鍵は、その対象ファイル１０と共に、ユーザ装置２０００からアクセス可能な記憶装置に格納されている（例えば、対象ファイル１０のメタデータの１つとして格納されている）。

　なお、復号鍵の生成に利用されるデータは暗号鍵に限定されず、任意のデータとすることができる。

　また、暗号鍵に対応する復号鍵は、第２サーバ装置４０００からアクセス可能な記憶装置に予め格納されていてもよい。この場合、第２サーバ装置４０００は、リクエストに含まれる暗号鍵で上記記憶装置を検索することによって復号鍵を取得し、その復号鍵を含む鍵情報３０をユーザ装置２０００へ送信する。

　復号部２０６０は、上述した種々の方法で取得した鍵情報３０に含まれる復号鍵で、対象ファイル１０を復号する。なお、暗号化されたファイルを復号鍵で復号する技術には、既存の技術を利用することができる。

＜＜２）のケース＞＞
　このケースでは、復号部２０６０が、鍵情報３０を利用して復号鍵を得る機能を有する。例えば前述したように、暗号鍵から復号鍵が生成できるとする。例えばこの場合、第２サーバ装置４０００からアクセス可能な記憶装置に、対象ファイル１０の識別情報と、対象ファイル１０の暗号化に利用された暗号鍵とを対応づけて格納しておく。

　取得部２０４０は、第２サーバ装置４０００に対し、対象ファイル１０の識別情報を示すリクエストを送信する。第２サーバ装置４０００は、受信した対象ファイル１０の識別情報に対応する暗号鍵を記憶装置から取得して、その暗号鍵を含む鍵情報３０を生成する。そして、第２サーバ装置４０００は、生成した鍵情報３０をユーザ装置２０００へ送信する。

　復号部２０６０は、鍵情報３０に含まれる暗号鍵から、復号鍵を生成する。そして、復号部２０６０は、生成した復号鍵で対象ファイル１０を復号する。

＜復号後の処理＞
　ユーザ装置２０００は、Ｓ１０２で検出された種類のアクセスを、復号された対象ファイル１０に対して行うことができる。例えば対象ファイル１０に対して行われた操作がリードである場合、ユーザ装置２０００は、復号された対象ファイル１０の中身を読み出すことができる。その他にも例えば、対象ファイル１０に対して行われた操作がライトである場合、ユーザ装置２０００は、復号された対象ファイル１０の内容に変更を加えることができる。

＜アクセス制御システム５０００の具体的な実現例＞
　ここで、アクセス制御システム５０００の理解をさらに容易にするため、アクセス制御システム５０００の具体的な実現例について説明する。ただし、ここで説明する実現例は、アクセス制御システム５０００の具体的な実現形態の一例であり、アクセス制御システム５０００の具体的な実現方法はここで説明する例に限定されない。

　図６は、アクセス制御システム５０００の具体的な実現例を示す図である。本実現例では、第１サーバ装置３０００及び第２サーバ装置４０００として機能する装置としてそれぞれ、ファイルサーバ５０と管理サーバ６０が設けられている。ここで示す例において、対象ファイル１０に対するアクセス制御は、対象ファイル１０に対して設定された基準位置に基づいて行われる。また、対象ファイル１０の復号鍵の生成は、対象ファイル１０の暗号化に利用された暗号鍵を用いて行われる。

　ファイルサーバ５０は、ファイルのアップロードを受け付ける。ファイルサーバ５０に対してアップロードされたファイルは、アクセス制御システム５０００によるアクセス制御の対象となる（すなわち、対象ファイル１０として扱われる）。例えば対象ファイル１０は、ユーザ装置２０００からアップロードされる。

　ファイルサーバ５０に対してアップロードされた対象ファイル１０は記憶装置５２に格納される。ただし、記憶装置５２に格納される対象ファイル１０は、管理サーバ６０によって暗号化される。例えば、管理サーバ６０は、ユーザ装置２０００からファイルサーバ５０に対してアップロードされた対象ファイル１０を取得し、その対象ファイル１０を暗号化する。この際、管理サーバ６０は、ファイルのメタデータに暗号鍵を加える。管理サーバ６０は、暗号化した対象ファイル１０をファイルサーバ５０へ送信する。

　ファイルサーバ５０は、管理サーバ６０から受信した対象ファイル１０を記憶装置５２に格納する。ここで、対象ファイル１０を格納すべきディレクトリは、対象ファイル１０をアップロードしたユーザ装置２０００によって指定される。ファイルサーバ５０は、記憶装置５２に格納する対象ファイル１０のメタデータに、基準位置を表すデータを加える。この際の基準位置は、対象ファイル１０が格納されるディレクトリのパスを表す。

　ユーザ装置２０００は、ファイルサーバ５０によって管理されている（すなわち、記憶装置５２に格納されている）対象ファイル１０に対してアクセスすることができる。また、ユーザ装置２０００は、ファイルサーバ５０によって管理されている対象ファイル１０をダウンロードして、ユーザ装置２０００からアクセス可能な記憶装置７０に格納することもできる。ただし、前述したように、アクセス制御は基準位置に基づいて行われるため、ダウンロードした対象ファイル１０についても、基準位置に基づくアクセス制御が可能となる。

　例えばアクセス制御は、以下の流れで行われる。図７は、実現例のアクセス制御システム５０００におけるアクセス制御の流れを例示する図である。ユーザ装置２０００は、対象ファイル１０に対するアクセスを検出する（Ｓ２０２）。ユーザ装置２０００は、「対象ユーザ４０の識別情報、対象ファイル１０のメタデータに格納されている基準位置、検出されたアクセスの種類」を示すリクエストをファイルサーバ５０へ送信する（Ｓ２０４）。

　ファイルサーバ５０は、リクエストに応じて、対象ユーザ４０が対象ファイル１０に対するアクセス権限を有するか否かを判定する（Ｓ２０６）。ファイルサーバ５０は、その判定結果を示すアクセス権限情報２０をユーザ装置２０００へ送信する（Ｓ２０８）。ここで、記憶装置５２には、「ユーザの識別情報、ファイルやディレクトリの識別情報、許可されているアクセスの種類」という対応付けが予め格納されている。ファイルサーバ５０は、ユーザ装置２０００から受信したリクエストと、記憶装置５２に格納されている上記対応付けとを比較することで、対象ユーザ４０がアクセス権限を有するか否かを判定する。具体的な判定の方法については前述した通りである。

　ユーザ装置２０００は、ファイルサーバ５０から受信したアクセス権限情報２０を用いて、対象ファイル１０がアクセス権限を有するか否かを判定する（Ｓ２１０）。対象ファイル１０がアクセス権限を有さない場合（Ｓ２１０：ＮＯ）、ユーザ装置２０００は、エラーの通知を行う（Ｓ２１２）。一方、対象ファイル１０がアクセス権限を有する場合（Ｓ２１０：ＹＥＳ）、ユーザ装置２０００は、管理サーバ６０に対し、対象ファイル１０のメタデータに格納されている暗号鍵を含むリクエストを送信する（Ｓ２１４）。

　管理サーバ６０は、ユーザ装置２０００から受信したリクエストに含まれる暗号鍵から、復号鍵を生成する（Ｓ２１６）。そして、管理サーバ６０は、生成した復号鍵を含む鍵情報３０をユーザ装置２０００へ送信する（Ｓ２１８）。ユーザ装置２０００は、受信した鍵情報３０を利用して、対象ファイル１０を復号する（Ｓ２２０）。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　なお、上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに提供することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば、光磁気ディスク）、CD-ROM、CD-R、CD-R/W、半導体メモリ（例えば、マスク ROM、PROM（Programmable ROM）、EPROM（Erasable PROM）、フラッシュROM、RAM）を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに提供されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　コンピュータに、
　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定ステップと、
　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得ステップと、
　前記取得した鍵情報を利用して前記対象ファイルを復号する復号ステップと、を実行させ、
　前記コンピュータは、前記第１サーバ装置ではなく、前記第２サーバ装置でもない、プログラム。
　（付記２）
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定ステップにおいて、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、付記１に記載のプログラム。
　（付記３）
　前記判定ステップにおいて、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、付記２に記載のプログラム。
　（付記４）
　前記対象ファイルは、前記判定ステップが実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、前記コンピュータの記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、付記２又は３に記載のプログラム。
　（付記５）
　前記第１サーバ装置は前記ファイルサーバである、付記４に記載のプログラム。
　（付記６）
　前記取得ステップにおいて、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号ステップにおいて、前記対象ファイルを前記復号鍵で復号する、付記１から５いずれか一項に記載のプログラム。
　（付記７）
　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、
　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得部と、
　前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有するユーザ装置。
　（付記８）
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定部は、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、付記７に記載のユーザ装置。
　（付記９）
　前記判定部は、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、付記８に記載のユーザ装置。
　（付記１０）
　前記対象ファイルは、前記判定部による判定が実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、当該ユーザ装置の記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、付記８又は９に記載のユーザ装置。
　（付記１１）
　前記第１サーバ装置は前記ファイルサーバである、付記１０に記載のユーザ装置。
　（付記１２）
　前記取得部は、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号部は、前記対象ファイルを前記復号鍵で復号する、付記７から１１いずれか一項に記載のユーザ装置。
　（付記１３）
　コンピュータによって実行されるアクセス制御方法であって、
　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定ステップと、
　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得ステップと、
　前記取得した鍵情報を利用して前記対象ファイルを復号する復号ステップと、を有し、
　前記コンピュータは、前記第１サーバ装置ではなく、前記第２サーバ装置でもない、アクセス制御方法。
　（付記１４）
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定ステップにおいて、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、付記１３に記載のアクセス制御方法。
　（付記１５）
　前記判定ステップにおいて、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、付記１４に記載のアクセス制御方法。
　（付記１６）
　前記対象ファイルは、前記判定ステップが実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、前記コンピュータの記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、付記１４又は１５に記載のアクセス制御方法。
　（付記１７）
　前記第１サーバ装置は前記ファイルサーバである、付記１６に記載のアクセス制御方法。
　（付記１８）
　前記取得ステップにおいて、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号ステップにおいて、前記対象ファイルを前記復号鍵で復号する、付記１３から１７いずれか一項に記載のアクセス制御方法。
　（付記１９）
　ユーザ装置、第１サーバ装置、及び第２サーバ装置を有するアクセス制御システムであって、
　前記ユーザ装置は、
　　第１サーバ装置に対し、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を要求する第１リクエストを送信し、前記第１サーバ装置から取得した前記アクセス権限情報を利用して、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、
　　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置に対し、前記対象ファイルの復号に利用する鍵情報を要求する第２リクエストを送信し、前記第２サーバ装置から前記鍵情報を取得する取得部と、
　　前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有し、
　前記第１サーバ装置は、前記第１リクエストに応じて、前記アクセス権限情報を前記ユーザ装置へ提供し、
　前記第２サーバ装置は、前記第２リクエストに応じて、前記鍵情報を前記ユーザ装置へ提供する、アクセス制御システム。
　（付記２０）
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記第１リクエストは、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを含み、
　前記第１サーバ装置は、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定し、当該判定の結果を示す前記アクセス権限情報を前記ユーザ装置へ提供する、付記１９に記載のアクセス制御システム。
　（付記２１）
　前記第２リクエストは、前記対象ファイルの暗号化に利用された暗号鍵を含み、
　前記第２サーバ装置は、前記第２リクエストに含まれる暗号鍵から前記対象ファイルの復号鍵を生成し、前記生成した復号鍵を含む前記鍵情報を前記ユーザ装置へ提供する、付記１９又は２０に記載のアクセス制御システム。

１０　対象ファイル
２０　アクセス権限情報
３０　鍵情報
４０　対象ユーザ
５０　ファイルサーバ
５２　記憶装置
６０　管理サーバ
７０　記憶装置
５００　コンピュータ
５０２　バス
５０４　プロセッサ
５０６　メモリ
５０８　ストレージデバイス
５１０　入出力インタフェース
５１２　ネットワークインタフェース
２０００　ユーザ装置
２０２０　判定部
２０４０　取得部
２０６０　復号部
３０００　第１サーバ装置
４０００　第２サーバ装置
５０００　アクセス制御システム

Claims

　プログラムが格納されているコンピュータ可読媒体であって、
　前記プログラムは、コンピュータに、
　　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定ステップと、
　　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得ステップと、
　　前記取得した鍵情報を利用して前記対象ファイルを復号する復号ステップと、を実行させ、
　前記コンピュータは、前記第１サーバ装置ではなく、前記第２サーバ装置でもない、コンピュータ可読媒体。
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定ステップにおいて、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、請求項１に記載のコンピュータ可読媒体。
　前記判定ステップにおいて、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、請求項２に記載のコンピュータ可読媒体。
　前記対象ファイルは、前記判定ステップが実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、前記コンピュータの記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、請求項２又は３に記載のコンピュータ可読媒体。
　前記第１サーバ装置は前記ファイルサーバである、請求項４に記載のコンピュータ可読媒体。
　前記取得ステップにおいて、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号ステップにおいて、前記対象ファイルを前記復号鍵で復号する、請求項１から５いずれか一項に記載のコンピュータ可読媒体。
　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、
　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得部と、
　前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有するユーザ装置。
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定部は、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、請求項７に記載のユーザ装置。
　前記判定部は、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、請求項８に記載のユーザ装置。
　前記対象ファイルは、前記判定部による判定が実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、当該ユーザ装置の記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、請求項８又は９に記載のユーザ装置。
　前記第１サーバ装置は前記ファイルサーバである、請求項１０に記載のユーザ装置。
　前記取得部は、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号部は、前記対象ファイルを前記復号鍵で復号する、請求項７から１１いずれか一項に記載のユーザ装置。
　コンピュータによって実行されるアクセス制御方法であって、
　第１サーバ装置から、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を取得することで、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定ステップと、
　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置から前記対象ファイルの復号に利用する鍵情報を取得する取得ステップと、
　前記取得した鍵情報を利用して前記対象ファイルを復号する復号ステップと、を有し、
　前記コンピュータは、前記第１サーバ装置ではなく、前記第２サーバ装置でもない、アクセス制御方法。
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記判定ステップにおいて、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する、請求項１３に記載のアクセス制御方法。
　前記判定ステップにおいて、前記第１サーバ装置に対し、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを示す情報を送信し、
　前記アクセス権限情報は、前記基準位置に対して前記対象ユーザがアクセス権限を有するか否かについて、前記第１サーバ装置が判定した結果を示す、請求項１４に記載のアクセス制御方法。
　前記対象ファイルは、前記判定ステップが実行される前の時点において、ファイルサーバの記憶装置に設けられている第１ディレクトリから、前記コンピュータの記憶装置に設けられている第２ディレクトリにコピー又は移動されており、
　前記対象ファイルの前記基準位置は前記第１ディレクトリに設定されている、請求項１４又は１５に記載のアクセス制御方法。
　前記第１サーバ装置は前記ファイルサーバである、請求項１６に記載のアクセス制御方法。
　前記取得ステップにおいて、
　　前記対象ファイルの暗号化に利用された暗号鍵を前記第２サーバ装置へ提供し、
　　前記暗号鍵から生成された前記対象ファイルの復号鍵を前記鍵情報として取得し、
　前記復号ステップにおいて、前記対象ファイルを前記復号鍵で復号する、請求項１３から１７いずれか一項に記載のアクセス制御方法。
　ユーザ装置、第１サーバ装置、及び第２サーバ装置を有するアクセス制御システムであって、
　前記ユーザ装置は、
　　第１サーバ装置に対し、暗号化されている対象ファイルについて、対象ユーザのアクセス権限に関するアクセス権限情報を要求する第１リクエストを送信し、前記第１サーバ装置から取得した前記アクセス権限情報を利用して、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定する判定部と、
　　前記対象ユーザが前記対象ファイルに対するアクセス権限を有すると判定された場合に、第２サーバ装置に対し、前記対象ファイルの復号に利用する鍵情報を要求する第２リクエストを送信し、前記第２サーバ装置から前記鍵情報を取得する取得部と、
　　前記取得した鍵情報を利用して前記対象ファイルを復号する復号部と、を有し、
　前記第１サーバ装置は、前記第１リクエストに応じて、前記アクセス権限情報を前記ユーザ装置へ提供し、
　前記第２サーバ装置は、前記第２リクエストに応じて、前記鍵情報を前記ユーザ装置へ提供する、アクセス制御システム。
　前記対象ファイルに対する前記対象ユーザのアクセス権限は、過去に前記対象ファイルが格納されていた位置である基準位置に対応づけて定められており、
　前記第１リクエストは、前記対象ユーザの識別情報と、前記対象ファイルの前記基準位置とを含み、
　前記第１サーバ装置は、前記対象ファイルの前記基準位置に対応づけられているアクセス権限に基づいて、前記対象ユーザが前記対象ファイルに対するアクセス権限を有するか否かを判定し、当該判定の結果を示す前記アクセス権限情報を前記ユーザ装置へ提供する、請求項１９に記載のアクセス制御システム。
　前記第２リクエストは、前記対象ファイルの暗号化に利用された暗号鍵を含み、
　前記第２サーバ装置は、前記第２リクエストに含まれる暗号鍵から前記対象ファイルの復号鍵を生成し、前記生成した復号鍵を含む前記鍵情報を前記ユーザ装置へ提供する、請求項１９又は２０に記載のアクセス制御システム。