WO2022070318A1

WO2022070318A1 - 制御方法、情報処理装置、制御プログラム及び情報処理システム

Info

Publication number: WO2022070318A1
Application number: PCT/JP2020/037182
Authority: WO
Inventors: 孝一矢崎; 大山本; 洋介中村; 忠信角田; 陸大小嶋; 和明二村
Original assignee: 富士通株式会社
Priority date: 2020-09-30
Filing date: 2020-09-30
Publication date: 2022-04-07
Also published as: EP4224347A4; US20230195339A1; EP4224347A1; JPWO2022070318A1

Abstract

情報処理システムは、データを格納する第１のストレージと、第１のストレージから隔離された第２のストレージと、第１のストレージに格納中のデータにアクセス可能となる第１の情報処理装置と、第２のストレージを管理する第２の情報処理装置とを有する。第２の情報処理装置は、第１の情報処理装置から隔離先の第２のストレージの要求を受け付けると、隔離先の第２のストレージを第１の情報処理装置に通知する。第１の情報処理装置は、第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定されたデータを、第２の情報処理装置から通知された隔離先の第２のストレージに格納する指示を出力する。特定サービスによる情報漏洩のリスクを低減できる。

Description

制御方法、情報処理装置、制御プログラム及び情報処理システム

　本発明は、制御方法、情報処理装置、制御プログラム及び情報処理システムに関する。

　近年、例えば、大企業や中小企業を問わず多くの企業が、オンラインストレージ（クラウドストレージ）を採用している。また、オンラインストレージと電子署名等の他社の特定サービスとの連携を図れる連携サービスも広く普及している。

　図１３は、従来の連携サービスに関わる情報処理システム２００全体の動作の一例を示す説明図である。図１３に示す情報処理システム２００は、オンラインストレージ２０１と、利用者の情報処理装置２０２と、特定サービスの端末装置２０３とを有する。オンラインストレージ２０１には、利用者の情報処理装置２０２で生成したデータが格納されているものとする。利用者の情報処理装置２０２は、特定サービスの端末装置２０３から対象データへの権限要求を検出した場合（ステップＳ２０１）、対象データへの権限要求に同意できる場合に同意操作を検出することになる（ステップＳ２０２）。尚、同意操作は、オンラインストレージ２０１内の複数のデータの内、特定サービスによる対象データへのアクセスを許容する権限要求に同意する利用者の操作である。利用者の情報処理装置２０２は、同意操作を検出した場合、対象データへのアクセス権限を特定サービスの端末装置２０３に送信することになる（ステップＳ２０３）。

　特定サービスの端末装置２０３は、利用者の情報処理装置２０２からのアクセス権限の付与を検出した場合、オンラインストレージ２０１上の対象データにアクセスする。そして、端末装置２０３は、そのデータを加工した後、加工後のデータをオンラインストレージ２０１に書き戻すことができる。

　つまり、連携サービスでは、オンラインストレージ２０１上に置かれたデータに関わる利用者の同意の下、特定サービスの端末装置２０３がオンラインストレージ２０１に置かれているデータを加工した後、加工後のデータをオンラインストレージ２０１に書き戻すことができる。

　利用者は、オンラインストレージ２０１上に置かれたデータの内、特定サービスの端末装置２０３からのアクセスを許容するデータを指定し、その指定範囲を同意のアクセス権限として特定サービスの端末装置２０３に通知する。同意のアクセス権限に関しては、利用者個人の判断に大きく依存し、特定サービスの端末装置２０３に対して利用者が意図しないアクセス権限を与えているかどうかは、利用者のリテラシに大きく依存することになる。

特開２０１７－１３８９６２号公報

　従来の連携サービスに関わる情報処理システム２００では、利用者から特定サービスに必要以上のアクセス権限が付与されてしまうと、特定サービスから利用者が同意したデータへのアクセスは勿論のこと、同意していないデータへのアクセスも可能になる。その結果、特定サービスによる情報漏洩につながる。そこで、利用者が所属する企業によっては、特定サービスとオンラインストレージとの連携サービスを禁止している企業もある。

　一つの側面では、特定サービスによる情報漏洩のリスクを低減できる制御方法等を提供することにある。

　１つの側面の制御方法は、第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定された前記データを、前記第１のストレージから隔離された第２のストレージに格納する指示を前記第１のストレージに出力する、処理をコンピュータが実行する。

　１つの側面によれば、特定サービスによる情報漏洩のリスクを低減できる。

図１は、本実施例の連携サービスによる情報処理システムの一例を示す説明図である。図２は、第１の情報処理装置の一例を示すブロック図である。図３は、第２の情報処理装置の一例を示すブロック図である。図４は、オンラインストレージの一例を示す説明図である。図５は、特定サービスに権限を同意する際の処理動作の一例を示す説明図である。図６は、情報処理システム全体の動作の一例を示す説明図である。図７は、情報処理システム全体のデータ移動処理に関わる処理動作の一例を示すシーケンス図である。図８は、エージェント処理に関わるエージェントの処理動作の一例を示すフローチャートである。図９は、マネージャ処理に関わるマネージャの処理動作の一例を示すフローチャートである。図１０は、移動処理に関わるストレージマネージャの処理動作の一例を示すフローチャートである。図１１は、他の実施例の情報処理システム全体の動作の一例を示す説明図である。図１２は、制御プログラムを実行するコンピュータの一例を示す説明図である。図１３は、従来の連携サービスによる情報処理システム全体の動作の一例を示す説明図である。

　以下、図面に基づいて、本願の開示する制御方法等の実施例を詳細に説明する。尚、各実施例により、開示技術が限定されるものではない。また、以下に示す各実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。

　図１は、本実施例の連携サービスによる情報処理システム１の一例を示す説明図である。連携サービスによる情報処理システム１は、オンラインストレージ４上に置かれたデータに関わる利用者の同意の下、電子署名等の特定サービスの端末装置５がオンラインストレージ４に置かれているデータにアクセスできるシステムである。図１に示す情報処理システム１は、第１の情報処理装置２と、第２の情報処理装置３と、オンラインストレージ４と、特定サービスの端末装置５と、通信網６とを有する。第１の情報処理装置２は、例えば、スマホ端末、タブレット端末やパーソナルコンピュータ等の利用者が使用する情報処理装置である。第２の情報処理装置３は、オンラインストレージ４を管理する、例えば、サーバ装置等の情報処理装置である。オンラインストレージ４は、例えば、第１の情報処理装置２で生成したデータをクラウド上で格納する、例えば、クラウドストレージである。特定サービスの端末装置５は、書類等のデータを加工、例えば、電子署名する電子署名サービス等を提供する特定サービス側の端末装置である。特定サービスには、例えば、電子署名の他に、翻訳、ＯＣＲ、文字列の検索サービス等の各種サービスがある。通信網６は、第１の情報処理装置２、第２の情報処理装置３、オンラインストレージ４及び他社サービスの端末装置５の間で相互に通信接続する、例えば、インターネットやＬＡＮ（Local　Area　Network）等の通信網である。

　図２は、第１の情報処理装置２の一例を示すブロック図である。図２に示す第１の情報処理装置２は、通信部１１と、操作部１２と、表示部１３と、記憶部１４と、制御部１５とを有する。通信部１１は、通信網６と通信する通信インタフェースである。操作部１２は、各種コマンド等を入力する入力インタフェースである。表示部１３は、各種情報を表示する出力インタフェースである。記憶部１４は、各種情報を記憶する領域である。制御部１５は、第１の情報処理装置２全体を制御する、例えば、ＣＰＵ（Central　Processing　Unit）やプロセッサ等である。

　制御部１５は、記憶部１４に記憶中のプログラムを読み出し、読み出したプログラムに基づき、機能としてのプロセスを実行する。制御部１５は、機能として、ブラウザ１５Ａと、エージェント１５Ｂとを有する。ブラウザ１５Ａは、例えば、オンラインストレージ４内のデータにアクセスするためのアプリ機能である。エージェント１５Ｂは、オンラインストレージ４又は第２の情報処理装置３と通信する利用者側のアプリ機能である。

　図３は、第２の情報処理装置３の一例を示すブロック図である。図３に示す第２の情報処理装置３は、通信部２１と、操作部２２と、表示部２３と、記憶部２４と、制御部２５とを有する。通信部２１は、通信網６と通信する通信インタフェースである。操作部２２は、各種コマンド等を入力する入力インタフェースである。表示部２３は、各種情報を表示する出力インタフェースである。記憶部２４は、各種情報を記憶する領域である。制御部２５は、第２の情報処理装置３全体を制御する、例えば、ＣＰＵやプロセッサ等である。

　記憶部２４は、隔離先アカウント管理テーブル２４Ａを記憶する。隔離先アカウント管理テーブル２４Ａは、隔離先アカウントを識別するアカウントＩＤ毎に、隔離先アカウントに対応する第２のストレージ４２Ａに格納したデータを識別するデータＩＤを対応付けて管理するテーブルである。隔離先アカウントは、オンラインストレージ４上に一時的に割り当てるアカウントである。尚、隔離先アカウントは、事前に所定個準備するようにしたが、その都度、隔離先アカウントを生成してもよい。

　制御部２５は、記憶部２４に記憶中のプログラムを読み出し、読み出したプログラムに基づき、機能としてのプロセスを実行する。制御部２５は、機能として、ブラウザエンジン２５Ａと、マネージャ２５Ｂとを有する。ブラウザエンジン２５Ａは、オンラインストレージ４内の後述する隔離先アカウントの第２のストレージ４２Ａ毎に備え、第２のストレージ４２Ａを監視するアプリ機能である。マネージャ２５Ｂは、ブラウザエンジン２５Ａを管理すると共に、第１の情報処理装置２内のエージェント１５Ｂと通信するサーバ側のアプリ機能である。

　図４は、オンラインストレージ４の一例を示す説明図である。図４に示すオンラインストレージ４は、本ストレージ４１と、隔離ストレージ４２と、ストレージマネージャ４３とを有する。本ストレージ４１は、例えば、第１の情報処理装置２の利用者のアカウント毎に割り当てられた第１のストレージ４１Ａを有する。第１のストレージ４１Ａは、利用者の第１の情報処理装置２が生成したデータを格納する領域である。隔離ストレージ４２は、隔離先アカウント毎に割り当てられた第２のストレージ４２Ａを有する。第２のストレージ４２Ａは、本ストレージ４１内の複数のデータの内、利用者が特定サービスにアクセス権限を付与したデータを格納する隔離先の領域である。ストレージマネージャ４３は、オンラインストレージ４を管理し、本ストレージ４１及び隔離ストレージ４２を制御する第３の情報処理装置である。ストレージマネージャ４３は、エージェント１５Ｂからの対象データの移動指示に応じて、本ストレージ４１内の第１のストレージ４１Ａに格納中の対象データを隔離ストレージ４２内の第２のストレージ４２Ａに移動して格納する。

　図５は、特定サービスに権限を同意する際の処理動作の一例を示す説明図である。尚、エージェント１５Ｂは、特定サービスの端末装置５に対してアクセスを許容できる対象データを本ストレージ４１内の第１のストレージ４１Ａから隔離ストレージ４２内の第２のストレージ４２Ａ内に事前に移動させて格納しておくものとする。

　特定サービスの端末装置５は、権限要求をエージェント１５Ｂに送信する（ステップＳ１）。尚、権限要求は、オンラインストレージ４上に格納されたデータへのアクセス権限を要求するコマンドである。エージェント１５Ｂは、権限要求に対する、利用者の権限同意操作を検出した場合（ステップＳ２）、対象データのアクセス権限を特定サービスの端末装置５に付与する（ステップＳ３）。権限同意操作は、第２のストレージ４２Ａに格納中のデータの内、特定サービスの端末装置５からアクセスできる権限を利用者が同意した対象データを指定する操作である。アクセス権限は、利用者のリテラシに依存し、利用者が同意した対象データを識別するデータＩＤを含むものとする。その結果、特定サービスの端末装置５は、アクセス権限内のデータＩＤに基づき、本ストレージ４１ではなく、隔離ストレージ４２に格納中の対象データへのアクセスが可能になる。

　図６は、情報処理システム１全体の動作の一例を示す説明図である。第１の情報処理装置２内のブラウザ１５Ａは、ＵＲＬバーに対象データの格納先のＵＲＬを入力した場合、対象データの閲覧要求をストレージマネージャ４３に通知する（ステップＳ１１）。格納先のＵＲＬは、例えば、オンラインストレージ４内の利用者のアカウント対応の第１のストレージ４１Ａの閲覧対象のデータを格納するＵＲＬである。ストレージマネージャ４３は、ブラウザ１５Ａからの対象データの閲覧要求を検出した場合、本ストレージ４１内の第１のストレージ４１Ａに格納中の対象データを第１の情報処理装置２に送信する。その結果、第１の情報処理装置２内のブラウザ１５Ａは、ストレージマネージャ４３から閲覧対象の対象データを検出した場合、対象データを表示部１３に表示する。

　第１の情報処理装置２内のエージェント１５Ｂは、対象データの表示中に連携サービスリストをマネージャ２５Ｂから取得した場合（ステップＳ１２）、連携サービスリストを表示部１３に表示する。尚、連携サービスリストは、オンラインストレージ４に連携可能なサービスの一覧である。更に、エージェント１５Ｂは、表示中の連携サービスリストから所望のサービスの選択操作を検出した場合（ステップＳ１３）、マネージャ２５Ｂから隔離先アカウントを取得する（ステップＳ１４）。尚、隔離先アカウントは、対象データの移動先である隔離ストレージ４２内の第２のストレージ４２Ａに対応するアカウントである。

　エージェント１５Ｂは、隔離先アカウントを取得した場合、本ストレージ４１の第１のストレージ４１Ａに格納中の対象データを隔離先アカウントに対応の第２のストレージ４２Ａに移動させる移動指示をストレージマネージャ４３に通知する（ステップＳ１５）。ストレージマネージャ４３は、移動指示を検出した場合、本ストレージ４１内の第１のストレージ４１Ａに格納中の対象データを隔離ストレージ４２内の隔離先アカウントに対応した第２のストレージ４２Ａに移動する（ステップＳ１６）。第２のストレージ４２Ａは、対象データを格納することになる。

　エージェント１５Ｂは、特定サービスの端末装置５から対象データの権限要求を検出した場合（ステップＳ１７Ａ）、特定サービスからの権限要求を表示部１３に表示する。その結果、利用者は、表示内容を見て特定サービスの端末装置５からの権限要求を認識できる。エージェント１５Ｂは、権限要求に対する利用者の権限同意操作を検出した場合（ステップＳ１７Ｂ）、特定サービスによる連携サービス開始をマネージャ２５Ｂに通知する（ステップＳ１７）。マネージャ２５Ｂは、連携サービス開始を検出した場合、ブラウザエンジン２５Ａを通じて特定サービスの端末装置５に対して対象データのアクセス権限を付与する（ステップＳ１７Ｃ）。尚、アクセス権限は、利用者が同意した対象データを識別するデータＩＤを含むものとする。

　特定サービスの端末装置５は、アクセス権限の付与を検出した場合、アクセス権限内のデータＩＤに基づき、隔離ストレージ４２内の第２のストレージ４２Ａに格納中の対象データを読み出し、読み出した対象データを加工できる（ステップＳ１８）。そして、特定サービスの端末装置５は、加工後のデータを第２のストレージ４２Ａに書き戻すことができる。

　図７は、情報処理システム１全体のデータ移動処理に関わる処理動作の一例を示すシーケンス図である。図７において第１の情報処理装置２内のエージェント１５Ｂは、ストレージマネージャ４３から本ストレージ４１の権限付与を検出する（ステップＳ２１）。その結果、第１の情報処理装置２は、本ストレージ４１内の利用者のアカウント対応の第１のストレージ４１Ａのデータが閲覧可能になる。第１の情報処理装置２内のブラウザ１５Ａは、利用者による対象データの閲覧要求を検出した場合（ステップＳ２２）、対象データを識別するデータＩＤを含む閲覧要求をストレージマネージャ４３に通知する（ステップＳ２３）。ストレージマネージャ４３は、閲覧要求を検出した場合、閲覧要求内のデータＩＤに対応する閲覧対象の対象データを本ストレージ４１から読み出し、読み出した対象データをブラウザ１５Ａに送信する（ステップＳ２４）。その結果、第１の情報処理装置２内のブラウザ１５Ａは、対象データを表示部１３に表示する。

　第１の情報処理装置２内のエージェント１５Ｂは、対象データの表示中に連携サービスリスト要求を第２の情報処理装置３内のマネージャ２５Ｂに通知する（ステップＳ２５）。マネージャ２５Ｂは、連携サービスリスト要求に応じて連携サービスリストをエージェント１５Ｂに通知する（ステップＳ２６）。その結果、第１の情報処理装置２は、連携サービスリストを検出した場合、連携サービスリストを表示部１３に表示する。

　エージェント１５Ｂは、連携サービスリストから利用者が所望のサービス選択操作を検出した場合（ステップＳ２７）、隔離先アカウント要求をマネージャ２５Ｂに通知する（ステップＳ２８）。マネージャ２５Ｂは、隔離先アカウント要求を検出した場合、利用者が許可した対象データを格納する隔離先アカウントをエージェント１５Ｂに通知する（ステップＳ２９）。

　エージェント１５Ｂは、隔離先アカウントを検出した場合、隔離先アカウントに対応した第２のストレージ４２Ａに第１のストレージ４１Ａに格納中の対象データを移動させる移動指示をストレージマネージャ４３に通知する（ステップＳ３０）。ストレージマネージャ４３は、エージェント１５Ｂから移動指示を検出した場合、移動指示内の対象データのデータＩＤ及び隔離先アカウントを抽出する。ストレージマネージャ４３は、データＩＤ及び隔離先アカウントに基づき、本ストレージ４１内の第１のストレージ４１Ａに格納した対象データを隔離先の第２のストレージ４２Ａに移動する（ステップＳ３１）。

　エージェント１５Ｂは、特定サービスの端末装置５から権限要求を検出した場合（ステップＳ３１Ａ）、権限要求を表示部１３に表示する。尚、権限要求は、権限対象のサービス内容及び権限要求者等を含む情報である。エージェント１５Ｂは、利用者の権限同意操作を検出した場合（ステップＳ３１Ｂ）、連携開始指示をマネージャ２５Ｂに通知する（ステップＳ３２）。エージェント１５Ｂは、連携開始指示を検出した場合、連携スクリプト指示を、対象データを格納した隔離先の第２のストレージ４２Ａを管理するブラウザエンジン２５Ａに通知する（ステップＳ３３）。ブラウザエンジン２５Ａは、連携スクリプト指示を検出した場合、特定サービスの端末装置５に対象データへのアクセスから第２のストレージ４２Ａに格納中の対象データにアクセス可能にする連携スクリプトを実行する（ステップＳ３４）。

　ブラウザエンジン２５Ａは、連携スクリプトを実行した場合、特定サービスの端末装置５に対して隔離先の第２のストレージ４２Ａに格納中の対象データのアクセス権限を付与する（ステップＳ３５）。特定サービスの端末装置５は、アクセス権限の付与を検出した場合、隔離先の第２のストレージ４２Ａに格納中の対象データを読み出し、読み出した対象データを加工する（ステップＳ３６）。そして、特定サービスの端末装置５は、加工後の対象データを隔離先の第２のストレージ４２Ａに書き戻す。

　ストレージマネージャ４３は、隔離先の第２のストレージ４２Ａへの対象データの書き戻しを検出すると、対象データの隔離先の第２のストレージ４２Ａを管理するブラウザエンジン２５Ａに連携完了を通知する（ステップＳ３７）。ブラウザエンジン２５Ａは、隔離先の第２のストレージ４２Ａから連携完了を検出した場合、対象データの連携完了をマネージャ２５Ｂに通知する（ステップＳ３８）。

　マネージャ２５Ｂは、連携完了を検出した場合、連携完了をエージェント１５Ｂに通知する（ステップＳ３９）。エージェント１５Ｂは、連携完了を検出した場合、対象データの書き戻し指示をストレージマネージャ４３に通知する（ステップＳ４０）。尚、書き戻し指示は、対象データのデータＩＤ、対象データの隔離先である第２のストレージ４２Ａに対応した隔離先アカウント、対象データの隔離元である第１のストレージ４１Ａに対応したアカウント等を含む。

　ストレージマネージャ４３は、書き戻し指示を検出した場合、書き戻し指示内の対象データのデータＩＤ、隔離先アカウント及び隔離元アカウントを抽出する。ストレージマネージャ４３は、データＩＤ、隔離先アカウント及び隔離元アカウントに基づき、隔離先アカウントの第２のストレージ４２Ａから加工後の対象データを本ストレージ４１の隔離元アカウントの第１のストレージ４１Ａに移動する（ステップＳ４１）。そして、ストレージマネージャ４３は、図７に示す処理動作を終了する。その結果、ストレージマネージャ４３は、隔離先の第２のストレージ４２Ａに格納中の加工後の対象データを隔離元の第１のストレージ４１Ａに戻すことができる。

　マネージャ２５Ｂは、エージェント１５Ｂから隔離先アカウント要求を検出すると、空きの隔離先アカウントを選択し、空きの隔離先アカウントを含む隔離先アカウントをエージェント１５Ｂに通知する。その結果、エージェント１５Ｂは、対象データの隔離先に使用する隔離先アカウントに対応した第２のストレージ４２Ａを得ることができる。

　ストレージマネージャ４３は、エージェント１５Ｂからの隔離先アカウント及びで対象データのデータＩＤを含む移動指示を検出した場合、データＩＤに基づき、第１のストレージ４１Ａに格納中の対象データを読み出す。ストレージマネージャ４３は、読み出した対象データを隔離先アカウントに対応した第２のストレージ４２Ａに移動する。その結果、エージェント１５Ｂは、特定サービスの端末装置５に対してアクセス可能にする第２のストレージ４２Ａに対象データを格納できる。

　特定サービスの端末装置５は、アクセス権限が付与された対象データを格納する、アクセス可能な第２のストレージ４２Ａに格納中の対象データを読み出し、読み出した対象データを加工し、加工後の対象データを第２のストレージ４２Ａに書き戻す。その結果、第１の情報処理装置２の利用者は、特定サービスの端末装置５からアクセス可能な範囲、アクセス権限が付与された対象データを格納する第２のストレージ４２Ａに限定しているので、特定サービスの端末装置５による情報漏洩のリスクを低減できる。

　エージェント１５Ｂは、連携完了を検出した場合、連携完了の対象データのデータＩＤ、隔離先アカウント及び隔離元アカウントを含む書き戻し指示をストレージマネージャ４３に通知する。ストレージマネージャ４３は、書き戻し指示内の隔離先アカウントに対応する第２のストレージ４２Ａから対象データを読み出し、読み出した対象データを隔離元アカウントに対応する第１のストレージ４１Ａに書き戻す。その結果、連携完了後は第２のストレージ４２Ａに格納中の対象データを第１のストレージ４１Ａに書き戻すことで、連携完了後による特定サービスの端末装置５による対象データへの再度のアクセスを防止し、端末装置５による情報漏洩のリスクを低減できる。

　図８は、エージェント処理に関わるエージェント１５Ｂの処理動作の一例を示すフローチャートである。図８においてエージェント１５Ｂは、起動を検出したか否かを判定する（ステップＳ５１）。尚、起動とは、例えば、第１の情報処理装置２の電力供給開始やエージェント１５Ｂの起動開始操作に応じたエージェント１５Ｂの起動である。エージェント１５Ｂは、起動を検出した場合（ステップＳ５１：Ｙｅｓ）、連携サービスリスト要求をマネージャ２５Ｂに通知する（ステップＳ５２）。エージェント１５Ｂは、マネージャ２５Ｂから連携サービスリストを取得したか否かを判定する（ステップＳ５３）。

　エージェント１５Ｂは、連携サービスリストを取得した場合（ステップＳ５３：Ｙｅｓ）、連携サービスリストを表示部１３に表示する（ステップＳ５４）。エージェント１５Ｂは、対象データに対するサービスの選択操作を検出したか否かを判定する（ステップＳ５５）。エージェント１５Ｂは、サービスの選択操作を検出した場合（ステップＳ５５：Ｙｅｓ）、選択サービスに対する離隔先アカウント要求をマネージャ２５Ｂに通知する（ステップＳ５６）。

　エージェント１５Ｂは、マネージャ２５Ｂから隔離先アカウントを取得したか否かを判定する（ステップＳ５７）。エージェント１５Ｂは、隔離先アカウントを取得した場合（ステップＳ５７：Ｙｅｓ）、対象データのデータＩＤ及び隔離先アカウントを含む移動指示を生成する（ステップＳ５８）。

　エージェント１５Ｂは、生成した移動指示をオンラインストレージ４内のストレージマネージャ４３に通知する（ステップＳ５９）。エージェント１５Ｂは、ストレージマネージャ４３から対象データの隔離先アカウントの第２のストレージ４２Ａへの移動完了を検出したか否かを判定する（ステップＳ６０）。

　エージェント１５Ｂは、ストレージマネージャ４３から対象データの隔離先の第２のストレージ４２Ａへの移動完了を検出した場合（ステップＳ６０：Ｙｅｓ）、対象データの連携開始指示をマネージャ２５Ｂに通知する（ステップＳ６１）。

　エージェント１５Ｂは、マネージャ２５Ｂから連携完了を検出したか否かを判定する（ステップＳ６２）。エージェント１５Ｂは、マネージャ２５Ｂから連携完了を検出した場合（ステップＳ６２：Ｙｅｓ）、書き戻し指示をストレージマネージャ４３に通知する（ステップＳ６３）。尚、書き戻し指示は、連携完了の隔離先の第２のストレージ４２Ａの対象データを隔離元の第１のストレージ４１Ａに書き戻す指示である。

　エージェント１５Ｂは、ストレージマネージャ４３から対象データの隔離元の第１のストレージ４１Ａへの書き戻し完了を検出したか否かを判定する（ステップＳ６４）。エージェント１５Ｂは、書き戻し完了を検出した場合（ステップＳ６４：Ｙｅｓ）、対象データの連携完了を表示部１３に表示し（ステップＳ６５）、図８に示す処理動作を終了する。

　エージェント１５Ｂは、起動を検出したのでない場合（ステップＳ５１：Ｎｏ）、図８に示す処理動作を終了する。エージェント１５Ｂは、連携サービスリストを取得したのでない場合（ステップＳ５３：Ｎｏ）、マネージャ２５Ｂから連携サービスリストを取得したか否かを判定すべく、ステップＳ５３に戻る。エージェント１５Ｂは、サービスの選択操作を検出したのでない場合（ステップＳ５５：Ｎｏ）、サービスの選択操作を検出したか否かを判定すべく、ステップＳ５５に戻る。エージェント１５Ｂは、隔離先アカウントを取得したのでない場合（ステップＳ５７：Ｎｏ）、隔離先アカウントを取得したか否かを判定すべく、ステップＳ５７に戻る。エージェント１５Ｂは、移動完了を検出したのでない場合（ステップＳ６０：Ｎｏ）、移動完了を検出したか否かを判定すべく、ステップＳ６０に戻る。エージェント１５Ｂは、連携完了を検出したのでない場合（ステップＳ６２：Ｎｏ）、連携完了を検出したか否かを判定すべく、ステップＳ６２に戻る。エージェント１５Ｂは、書き戻し完了を検出したのでない場合（ステップＳ６４：Ｎｏ）、書き戻し完了を検出したか否かを判定すべく、ステップＳ６４に戻る。

　エージェント１５Ｂは、第１のストレージ４１Ａに格納中の対象データの隔離先のアカウントを要求する隔離先アカウント要求をマネージャ２５Ｂに通知する。その結果、エージェント１５Ｂは、対象データの隔離先に使用する隔離先アカウントに対応した第２のストレージ４２Ａを得ることができる。

　エージェント１５Ｂは、隔離先アカウント及びで対象データのデータＩＤを含む移動指示をマネージャ２５Ｂに通知する。その結果、エージェント１５Ｂは、第１のストレージ４１Ａに格納中の対象データを特定サービスの端末装置５に対してアクセス可能にする第２のストレージ４２Ａに格納できる。

　エージェント１５Ｂは、連携完了を検出した場合、連携完了の対象データのデータＩＤ、隔離先アカウント及び隔離元アカウントを含む書き戻し指示をストレージマネージャ４３に通知する。その結果、ストレージマネージャ４３が連携完了後に第２のストレージ４２Ａに格納中の対象データを第１のストレージ４１Ａに書き戻す。そして、連携完了後に特定サービスの端末装置５による対象データへの再度のアクセスを防止し、端末装置５による情報漏洩のリスクを低減できる。

　図９は、マネージャ処理に関わるマネージャ２５Ｂの処理動作の一例を示すフローチャートである。図９において第２の情報処理装置３内のマネージャ２５Ｂは、エージェント１５Ｂから連携サービスリスト要求を検出したか否かを判定する（ステップＳ７１）。マネージャ２５Ｂは、連携サービスリスト要求を検出した場合（ステップＳ７１：Ｙｅｓ）、利用者対応の連携サービスリストを抽出する（ステップＳ７２）。

　マネージャ２５Ｂは、利用者対応の連携サービスリストを抽出した場合、抽出した連携サービスリストをエージェント１５Ｂに通知する（ステップＳ７３）。マネージャ２５Ｂは、エージェント１５Ｂから隔離先アカウント要求を検出したか否かを判定する（ステップＳ７４）。

　マネージャ２５Ｂは、隔離先アカウント要求を検出した場合（ステップＳ７４：Ｙｅｓ）、空きの隔離先アカウントがあるか否かを判定する（ステップＳ７５）。尚、隔離ストレージ４２には、所定数の空きの隔離先アカウントが準備されているものとする。マネージャ２５Ｂは、空きの隔離先アカウントがある場合（ステップＳ７５：Ｙｅｓ）、空きの隔離先アカウントをエージェント１５Ｂに通知する（ステップＳ７６）。

　マネージャ２５Ｂは、エージェント１５Ｂから対象データの連携開始要求を検出したか否かを判定する（ステップＳ７７）。マネージャ２５Ｂは、対象データの連携開始要求を検出した場合（ステップＳ７７：Ｙｅｓ）、対象データの隔離先である第２のストレージ４２Ａを監視するブラウザエンジン２５Ａに対して連携スクリプトを指示する（ステップＳ７８）。

　マネージャ２５Ｂは、対象データの隔離先である第２のストレージ４２Ａを監視するブラウザエンジン２５Ａを通じて対象データを監視する（ステップＳ７９）。マネージャ２５Ｂは、ブラウザエンジン２５Ａから隔離先の対象データの連携完了を検出したか否かを判定する（ステップＳ８０）。マネージャ２５Ｂは、隔離先の対象データの連携完了を検出した場合（ステップＳ８０：Ｙｅｓ）、隔離先の対象データの連携完了をエージェント１５Ｂに通知し（ステップＳ８１）、図９に示す処理動作を終了する。

　また、マネージャ２５Ｂは、連携サービスリスト要求を検出したのでない場合（ステップＳ７１：Ｎｏ）、図９に示す処理動作を終了する。マネージャ２５Ｂは、隔離先アカウント要求を検出したのでない場合（ステップＳ７４：Ｎｏ）、隔離先アカウント要求を検出したか否かを判定すべく、ステップＳ７４に戻る。マネージャ２５Ｂは、空きの隔離先アカウントがない場合（ステップＳ７５：Ｎｏ）、隔離先がないものと判断し、図９に示す処理動作を終了する。マネージャ２５Ｂは、連携開始指示を検出したのでない場合（ステップＳ７７：Ｎｏ）、連携開始指示を検出したか否かを判定すべく、ステップＳ７７に戻る。マネージャ２５Ｂは、対象データの連携が完了したのでない場合（ステップＳ８０：Ｎｏ）、対象データの連携が完了したか否かを判定すべく、ステップＳ８０に戻る。

　マネージャ２５Ｂは、ブラウザエンジン２５Ａから隔離先の対象データに対する特定サービスの端末装置５による連携完了を検出した場合、隔離先の対象データの連携完了をエージェント１５Ｂに通知する。その結果、エージェント１５Ｂは、特定サービスの端末装置５による連携完了を認識できる。

　図１０は、移動処理に関わるストレージマネージャ４３の処理動作の一例を示すフローチャートである。図１０においてオンラインストレージ４内のストレージマネージャ４３は、エージェント１５Ｂから移動指示を検出したか否かを判定する（ステップＳ９１）。ストレージマネージャ４３は、移動指示を検出した場合（ステップＳ９１：Ｙｅｓ）、移動指示から対象データのデータＩＤ及び隔離先アカウントを抽出する（ステップＳ９２）。

　ストレージマネージャ４３は、本ストレージ４１内の第１のストレージ４１Ａの対象データを隔離ストレージ４２内の隔離先の第２のストレージ４２Ａに移動させる（ステップＳ９３）。その結果、対象データを隔離先の第２のストレージ４２Ａに移動し、特定サービスの端末装置５がアクセスできる範囲を利用者が同意した隔離先アカウントの第２のストレージ４２Ａに限定することで、第１のストレージ４１Ａへの不正アクセスを抑制できる。ストレージマネージャ４３は、対象データの隔離先の第２のストレージ４３Ａへの移動完了を検出したか否かを判定する（ステップＳ９４）。ストレージマネージャ４３は、移動完了を検出した場合（ステップＳ９４：Ｙｅｓ）、移動完了をエージェント１５Ｂに通知する（ステップＳ９５）。

　ストレージマネージャ４３は、対象データの書き戻し指示を検出したか否かを判定する（ステップＳ９６）。ストレージマネージャ４３は、書き戻し指示を検出した場合（ステップＳ９６：Ｙｅｓ）、書き戻し指示から対象データのデータＩＤ及び隔離元アカウントを抽出する（ステップＳ９７）。

　ストレージマネージャ４３は、抽出したデータＩＤ及び隔離元アカウントに基づき、隔離先の第２のストレージ４２Ａ内の対象データを隔離元の第１のストレージ４１Ａに移動させる（ステップＳ９８）。その結果、対象データを隔離元の第１のストレージ４１Ａに書き戻しすることで、特定サービスの端末装置５による連携完了後の対象データへのアクセスを防止できる。そして、ストレージマネージャ４３は、隔離元の第１のストレージ４１Ａへの対象データの移動完了を検出したか否かを判定する（ステップＳ９９）。

　ストレージマネージャ４３は、離前の格納先への対象データの移動完了を検出した場合（ステップＳ９９：Ｙｅｓ）、対象データの書き戻し完了をエージェント１５Ｂに通知し（ステップＳ１００）、図１０に示す処理動作を終了する。

　また、ストレージマネージャ４３は、移動指示を検出したのでない場合（ステップＳ９１：Ｎｏ）、図１０に示す処理動作を終了する。ストレージマネージャ４３は、移動完了を検出したのでない場合（ステップＳ９４：Ｎｏ）、移動完了を検出したか否かを判定すべく、ステップＳ９４に戻る。ストレージマネージャ４３は、書き戻し指示を検出したのでない場合（ステップＳ９６：Ｎｏ）、書き戻し指示を検出したか否かを判定すべく、ステップＳ９６に戻る。ストレージマネージャ４３は、移動完了を検出したのでない場合（ステップＳ９９：Ｎｏ）、移動完了を検出したか否かを判定すべく、ステップＳ９９に戻る。

　マネージャ２５Ｂは、連携完了の対象データのデータＩＤ、隔離先アカウント及び隔離元アカウントを含む書き戻し指示をエージェント１５Ｂから検出する。ストレージマネージャ４３は、書き戻し指示を検出した場合、書き戻し指示内の隔離先アカウントに対応する第２のストレージ４２Ａから対象データを読み出し、読み出した対象データを隔離元アカウントに対応する第１のストレージ４１Ａに書き戻す。その結果、連携完了後は第２のストレージ４２Ａに格納中の対象データを第１のストレージ４１Ａに書き戻すことで、連携完了後に特定サービスの端末装置５による対象データへの再度のアクセスを防止し、端末装置５による情報漏洩のリスクを低減できる。

　本実施例の第２の情報処理装置３は、第１の情報処理装置２から第２のストレージ４２Ａの隔離先アカウントの要求を受け付けると、第２のストレージ４２Ａ内の隔離先アカウントを第１の情報処理装置２に通知する。第１の情報処理装置２は、第１のストレージ４１Ａに格納されたデータのうち、特定のサービスの端末装置５によるアクセスが許容される対象データの指定を受け付ける。第１の情報処理装置２は、指定された対象データを、第２の情報処理装置３から通知された第２のストレージ４２Ａ内の隔離先アカウントに対応した第２のストレージ４２Ａに格納する移動指示をストレージマネージャ４３に通知する。ストレージマネージャ４３は、第１の情報処理装置２からの移動指示を受け付けると、第１のストレージ４１Ａ内の指定された対象データを第２のストレージ４２Ａの隔離先に格納する。その結果、特定サービスによる端末装置５からアクセスできる範囲を第２のストレージ４２Ａの対象データに限定することで、特定サービスによる情報漏洩のリスクを低減できる。

　第１の情報処理装置２は、第２のストレージ４２Ａに格納されたデータのうち、端末装置５によるアクセスが完了した対象データを、第２のストレージ４２Ａから隔離元の第１のストレージ４１Ａに書き戻す指示をストレージマネージャ４３に出力する。その結果、連携完了後は第２のストレージ４２Ａに格納中の対象データを第１のストレージ４１Ａに書き戻すことで、連携完了後による特定サービスの端末装置５による対象データへの再度のアクセスを防止し、端末装置５による情報漏洩のリスクを低減できる。

　情報処理システム１では、特定サービスの端末装置５にアクセス可能な対象データを第１のストレージ４１Ａから第２のストレージ４２Ａに移動させた。その結果、特定サービスによる端末装置５からアクセスできる範囲を第２のストレージ４２Ａの対象データに限定する。例えば、オンラインストレージ上に置かれた対象データのデータＩＤがルートフォルダとする。この場合に、端末装置からアクセスできるルートフォルダから下位のフォルダ内のデータを順番に検索されて利用者が意図しない全てのデータにアクセスされてしまうような事態を、本実施例では確実に回避できる。

　従来、利用者が判断ミスをすると、利用者が意図しないデータまでも情報漏洩リスクにさらされていた。しかしながら、本実施例では、利用者が判断ミスをしたとしても、その影響範囲を第２のストレージ４２Ａ内の最小限に抑え、利用者が意図しないデータへの情報漏洩のリスクを低減できる。しかも、利用者が同意したデータのみを隔離ストレージ４２（第２のストレージ４２Ａ）に移動させることでオンラインストレージ４上の利用者が同意していないデータへのアクセスを防止して情報漏洩のリスクを低減できる。

　第１の情報処理装置２は、第１のストレージ４１Ａに格納されたデータのうち、特定のサービスの端末装置５によるアクセスが許容されるデータの指定を受け付ける。第１の情報処理装置２は、指定されたデータを、第１のストレージ４１Ａから隔離された第２のストレージ４２Ａに格納する指示を出力する。その結果、特定サービスによる端末装置５からアクセスできる範囲を第２のストレージ４２Ａの対象データに限定することで、特定サービスによる情報漏洩のリスクを低減できる。

　尚、上記実施例の情報処理システム１では、オンラインストレージ４上のデータの内、利用者の同意操作に応じて特定サービスによる端末装置５にアクセス権限を付与する対象データを指定する場合を例示した。しかしながら、対象データの指定には利用者のリテラシが大きく依存する。そこで、利用者が属する会社側で利用者が同意する対象データの範囲を制限するポリシ機能を設けてもよく、その実施の形態につき、以下に説明する。

　図１１は、他の実施例の情報処理システム１Ａ全体の動作の一例を示す説明図である。尚、図１に示す情報処理システム１と同一の構成には同一符号を付すことで、その重複する構成及び動作の説明にいては省略する。図１１に示す情報処理システム１Ａと図１に示す情報処理システム１とが異なるところは、特定サービスの端末装置５による利用者の第１の情報処理装置２への権限要求に同意する際の条件を利用者のリテラシの他に、会社ポリシ７を備えた点にある。会社ポリシ７は、利用者が所属する会社側のアクセス権限を付与するポリシ条件を管理するテーブルである。会社ポリシ７のポリシ条件は、例えば、オンラインストレージ４上のデータにレベル１～５までの５段階のセキュリティレベルを設定しているものとする。ポリシ条件は、レベル２以下のデータのみ利用者の同意を得た端末装置５へのアクセス権限を付与し、レベル３以上のデータについては利用者の同意を得たとしても端末装置５へのアクセス権限の付与を禁止する条件である。ポリシ条件は、適宜変更可能である。

　第１の情報処理装置２内のエージェント１５Ｂは、特定サービスの端末装置５からの権限要求を検出した場合、利用者のリテラシに基づき、利用者がアクセス権限を含む同意操作を検出する。

　エージェント１５Ｂは、同意操作を検出した場合、アクセス権限内の権限内容が会社ポリシ７のポリシ条件と照合する。権限内容は、例えば、対象データのセキュリティレベル等を含む。エージェント１５Ｂは、権限内容が会社ポリシ７の許容範囲内の場合、例えば、対象データのセキュリティレベルがレベル２以下の場合、権限内容を含むアクセス権限を特定サービスの端末装置５に送信する。これに対して、エージェント１５Ｂは、権限内容が会社ポリシ７の許容範囲外の場合、例えば、対象データのセキュリティレベルがレベル３以上の場合、アクセス権限を付与することなく、会社ポリシ違反として表示部１３に表示する。その結果、利用者は、表示部１３の権限範囲違反の警告を見て権限範囲違反を認識できる。更に、特定サービスの端末装置５に対する会社ポリシ違反の対象データの情報漏洩のリスクを低減できる。

　情報処理システム１Ａでは、会社ポリシで利用者のリテラシを制限することで、会社ガバナンスを効かせながら、オンラインストレージ４と特定サービスとの連携サービスを実現できる。

　尚、本実施例では、エージェント１５Ｂを第１の情報処理装置２で実行する場合を例示したが、エージェント１５Ｂをクラウドで実行してもよく、適宜変更可能である。また、マネージャ２５Ｂ及びブラウザエンジン２５Ａも第２の情報処理装置３で実行する場合を例示したが、マネージャ２５Ｂ及びブラウザエンジン２５Ａをクラウドで実行してもよく、適宜変更可能である。

　また、図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。

　更に、各装置で行われる各種処理機能は、ＣＰＵ（Central　Processing　Unit）、ＤＳＰ（Digital　Signal　Processor）やＦＰＧＡ（Field　Programmable　Gate　Array）等上で、その全部又は任意の一部を実行するようにしても良い。また、各種処理機能は、ＣＰＵ等で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしても良い。

　各種情報を記憶する領域は、例えば、ＲＯＭ（Read　Only　Memory）や、ＳＤＲＡＭ（Synchronous　Dynamic　Random　Access　Memory）、ＭＲＡＭ（Magnetoresistive　Random　Access　Memory）やＮＶＲＡＭ（Non-Volatile　Random　Access　Memory）等のＲＡＭ（Random　Access　Memory）で構成しても良い。

　ところで、本実施例で説明した各種の処理は、予め用意されたプログラムをコンピュータ内のＣＰＵ等のプロセッサで実行させることによって実現できる。そこで、以下では、上記実施例と同様の機能を有するプログラムを実行するコンピュータ１００の一例を説明する。　図１２は、制御プログラムを実行するコンピュータの一例を示す説明図である。

　図１２に示す制御プログラムを実行するコンピュータ１００は、通信装置１１０と、入力装置１２０と、表示装置１３０と、ＲＯＭ１４０と、ＲＡＭ１５０と、プロセッサ１６０と、バス１７０とを有する。通信装置１１０、入力装置１２０、表示装置１３０、ＲＯＭ１４０、ＲＡＭ１５０及びプロセッサ１６０は、バス１７０を介して接続される。通信装置１１０は、オンラインストレージ上の第１のストレージ及び第２のストレージと接続するネットワークとの通信を司る。

　そして、ＲＯＭ１４０には、上記実施例と同様の機能を発揮する制御プログラムが予め記憶されている。ＲＯＭ１４０は、制御プログラムとして受付プログラム１４０Ａ及び出力プログラム１４０Ｂが記憶されている。尚、ＲＯＭ１４０ではなく、図示せぬドライブでコンピュータ読取可能な記録媒体に制御プログラムが記録されていても良い。また、記録媒体としては、例えば、ＣＤ－ＲＯＭ、ＤＶＤディスク、ＵＳＢメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ等でも良い。

　そして、プロセッサ１６０は、受付プログラム１４０ＡをＲＯＭ１４０から読み出し、ＲＡＭ１５０上で受付プロセス１６０Ａとして機能させる。更に、プロセッサ１６０は、出力プログラム１４０ＢをＲＯＭ１４０から読み出し、ＲＡＭ１５０上で出力プロセス１６０Ｂとして機能させる。

　プロセッサ１６０は、第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付ける。プロセッサ１６０は、データの指定を受け付けると、指定された前記データを、前記第１のストレージから隔離された第２のストレージに格納する指示を出力する。その結果、特定サービスによる情報漏洩のリスクを低減できる。

　１　情報処理システム
　２　第１の情報処理装置
　３　第２の情報処理装置
　４　オンラインストレージ
　５　端末装置
　１５Ｂ　エージェント
　２５Ｂ　マネージャ
　４１　本ストレージ
　４１Ａ　第１のストレージ
　４２　隔離ストレージ
　４２Ａ　第２のストレージ
　４３　ストレージマネージャ

Claims

　コンピュータが、
　第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定された前記データを、前記第１のストレージから隔離された第２のストレージに格納する指示を出力する、
　処理を実行することを特徴とする制御方法。
　前記コンピュータが、
　前記第２のストレージに格納されたデータのうち、特定サービスによるアクセスが完了したデータを、前記第２のストレージから隔離元の前記第１のストレージに書き戻す指示を出力する、
　処理を実行すること特徴とする請求項１に記載の制御方法。
　第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定された前記データを、前記第１のストレージから隔離された第２のストレージに格納する指示を出力する、
　ことを特徴とする情報処理装置。
　第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定された前記データを、前記第１のストレージから隔離された第２のストレージに格納する指示を出力する、
　処理をコンピュータに実行させることを特徴とする制御プログラム。
　データを格納する第１のストレージと、前記第１のストレージから隔離された第２のストレージと、前記第１のストレージに格納されたデータに対してアクセス可能となる第１の情報処理装置と、前記第２のストレージを管理する第２の情報処理装置とを有する情報処理システムであって、
　前記第２の情報処理装置は、
　前記第１の情報処理装置から隔離先の前記第２のストレージの要求を受け付けると、前記隔離先の第２のストレージを前記第１の情報処理装置に通知し、
　前記第１の情報処理装置は、
　前記第１のストレージに格納されたデータのうち、特定のサービスによるアクセスが許容されるデータの指定を受け付けると、指定されたデータを、前記第２の情報処理装置から通知された前記隔離先の前記第２のストレージに格納する指示を出力する
　ことを特徴とする情報処理システム。
　前記第１のストレージ及び前記第２のストレージを管理する第３の情報処理装置を有し、
　前記第１の情報処理装置は、
　指定されたデータを、前記第２の情報処理装置から通知された前記隔離先の前記第２のストレージに格納する指示を前記第３の情報処理装置に出力し、
　前記第３の情報処理装置は、
　前記第１の情報処理装置からの前記指示を受け付けると、前記第１のストレージに格納する前記指定された前記データを前記隔離先の前記第２のストレージに格納する
　ことを特徴とする請求項５に記載の情報処理システム。
　前記第１の情報処理装置は、
　前記第２のストレージに格納されたデータのうち、特定サービスによるアクセスが完了したデータを、前記第２のストレージから隔離元の前記第１のストレージに書き戻す書き戻し指示を出力し、
　前記第３の情報処理装置は、
　前記第１の情報処理装置からの前記書き戻し指示を受け付けると、前記第２のストレージに格納する前記アクセスが完了した前記データを前記隔離元の前記第１のストレージに格納する、
　ことを特徴とする請求項６に記載の情報処理システム。