図面 (/)

技術 電子データの管理方法、管理プログラム、及びプログラムの記録媒体

出願人 サイエンスパーク株式会社
発明者 小路幸市郎
出願日 2015年10月28日 (5年8ヶ月経過) 出願番号 2015-212397
公開日 2017年5月18日 (4年2ヶ月経過) 公開番号 2017-084141
状態 特許登録済
技術分野 計算機におけるファイル管理 記憶装置の機密保護
主要キーワード データ管理ソフトウェア SOHO 技術知識 クラウドネットワーク 一時休止 物理コネクタ ハードウェア抽象化層 原子力関連
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年5月18日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (7)

課題

重要な電子データへアクセスしたとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法プログラム、及びプログラムの記録媒体を提供する。

解決手段

ユーザ端末2又はサーバ4で動作する管理プログラム15は、電子データ16をユーザ端末2上に利用する環境を提供するためのアプリケーションプログラムである。管理プログラム15は、電子データ16が重要度の高い重要データ16mである場合、LAN5とユーザ端末2のネットワーク通信機能を停止又は一時停止させ、そのアクセス要求を詳細に分析する。管理プログラム15は、アクセス要求が所定の手順をクリアしたとき、アクセス要求を許可し、実行してから、停止又は一時停止させていた機能を再開させる。

概要

背景

個人情報ビジネスノウハウは、電子データの形式ファイルとして電子計算機記憶装置記録媒体に保存されることが多い。電子データが保存された電子計算機、記憶装置は、ネットワークに接続されて利用されることが多い。ネットワークは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワークWAN)、インターネットクラウドネットワーク等のように様々な形態があり、個人利用から商業利用まで日常的に利用されている。

ユーザは、電子計算機を操作して、電子データのファイルにアクセスし、それを開いて操作中の電子計算機の画面に表示して閲覧する。また、ユーザは、このファイルを印刷装置印刷して、又は、記録媒体に記録して複製することができる。更に、ユーザは、このファイルを電子メールに添付して他者、他の電子計算機、ネットワーク上のメールアドレスに送信することも、ネットワーク上のサービスを利用してこのファイルを外部へ送信又は提供することもできる。

このようにファイルにアクセスした履歴、特にファイルの閲覧、編集複写、印刷、送信等の履歴を取得して緊密に管理することは、電子データのトレーサビリティを実現する上で、又、ビジネスのノウハウを守る上で大事である。例えば、顧客データ、個人データ、財務データ製品設計書等の厳重に管理しなければならない重要データは、その組織から外部へ流出又は漏洩する。組織の内部の人間が複製して持ち出すことも、外部からネットワークを経由で重要データのファイルにアクセスして持ち出すこともある。

電子データの外部流出を防止することを実現するためには、コンピュータウィルスを検知して、そのウィルスの実行を停止又は遮断することが従来から行われている。また、悪意のあるプログラムであるマルウェアに感染した端末をネットワークから遮断するシステムが提案されている。更に、従来から電子データの形式で保存されているファイルの管理を行う管理システムが様々な方式で提案されている。ウィルス対策ソフトウェアから機密情報漏洩対策システムを導入して、電子計算機の電子データを保護している。

これらのシステムでは、電子データへのアクセスを拒否又はこのアクセスの行為を特定し、電子データの漏洩を未然に防ぐ対策をとっている。このような対策をとっても、電子データの漏洩を完全に防ぐことが実現されていない。電子データを漏洩させようとする悪意のあるユーザは、最先端の様々な方法で電子計算機を攻撃している。更に、電子計算機を利用するユーザグループ内から電子データを漏洩させる内部漏洩もある。電子データの漏洩対策について様々な方法とシステムが開示されており、いくつかを例示する。

例えば、特許文献1には、ネットワークシステムを介して送受信される印刷データの機密性総合的に図ると共に、印刷される文書データのトレーサビリティの向上を図る文書総合管理システムを開示している。この文書総合管理システムは、アクセス権管理者の認証と、アクセス権の設定と、文書にアクセスするユーザの認証を行う。また、文書の管理情報を保持する文書管理サーバと、ユーザが用いるPC等の情報処理装置であって、ユーザの認証とユーザが文書の印刷を指定するとき認証を行う。

これと同時に、印刷ウォーターマークの生成と、印刷ログの管理を行うプリンタサーバと、印刷物受取者の認証を行い、プリンタサーバから送られる文書を印刷するプリンタを備えている。また、コピーログの管理とコピーウォーターマークの管理を行い、コピー文書の管理をするコピーサーバと、ウォーターマークの抽出及びコピーをする者の認証を行うと共に、文書をコピーするコピー機を備えている。

また、クライアントに提供されたユーザデータを複製して目的以外に利用できないように監視するためのデータ管理方法が開示されている(特許文献2を参照)。この方法では、管理プログラムを利用して、ユーザデータへのアクセスを監視して、予め用意されたプロセス制御リストに従って、そのアクセスを許可するか否かの制御を行っている。この管理プログラムは、オペレーティングシステムカーネルモードで動作し、デバイスドライバアプリケーションプログラム通信に共通のインターフェースを提供するためのドライバウェアを内蔵するものである。

ユーザデータを格納した記憶装置がクライアントコンピュータに接続されたとき、データ管理プログラムは、全ての外部記憶装置への書き込みを禁止し、ネットワークの使用を禁止する設定をし、実行ファイルのファイル名、フォルダ名、属性データ、実行しているプロセスのプロセス名とプロセスIDを取得している。ドライバウェアは、カーネルモードで動作し、デバイスドライバを制御しているため、他のアプリケーションプログラムやプロセスに影響がなく、高い秘密性が実現できる。

概要

重要な電子データへアクセスしたとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、プログラム、及びプログラムの記録媒体を提供する。ユーザ端末2又はサーバ4で動作する管理プログラム15は、電子データ16をユーザ端末2上に利用する環境を提供するためのアプリケーションプログラムである。管理プログラム15は、電子データ16が重要度の高い重要データ16mである場合、LAN5とユーザ端末2のネットワーク通信機能を停止又は一時停止させ、そのアクセス要求を詳細に分析する。管理プログラム15は、アクセス要求が所定の手順をクリアしたとき、アクセス要求を許可し、実行してから、停止又は一時停止させていた機能を再開させる。

目的

更に、ユーザは、このファイルを電子メールに添付して他者、他の電子計算機、ネットワーク上のメールアドレスに送信することも、ネットワーク上のサービスを利用してこのファイルを外部へ送信又は提供する

効果

実績

技術文献被引用数
0件
牽制数
2件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

電子計算機電子データへのアクセス監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラム実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、前記制御データを前記電子データ管理データベースの値と比較して、(a)前記電子データの重要度が高いレベルの場合、前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御、及び、(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可することを特徴とする電子データの管理方法。

請求項2

電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイス直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部とからなるドライバウェア手段を内蔵した前記電子計算機において、前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記記憶装置から読み取り、又は前記外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、(c)前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認し、前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第4制御、及び、前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第5制御を行い、(d)前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可することを特徴とする電子データの管理方法。

請求項3

請求項1又は2に記載の電子データの管理方法において、前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセスを一時休止した状態のサスペンドモードで動作させて、前記プロセス名、前記プロセスIDを取得し、前記アプリケーションプログラムインターフェース部に送信することを特徴とする電子計算機のデータ管理方法

請求項4

請求項1乃至3の中から選択される1項に記載の電子データの管理方法において、前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを許可することを特徴とする電子計算機のデータ管理方法。

請求項5

請求項1乃至3の中から選択される1項に記載の電子データの管理方法において、前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させることを特徴とする電子計算機のデータ管理方法。

請求項6

電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ、前記アクセスを受信するステップ、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、前記制御データを前記電子データ管理データベースの値と比較するステップ、(a)前記電子データの重要度が高いレベルの場合、前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御を行うステップ、前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御を行うステップ、前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御を行うステップ、前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御を行うステップ、及び、(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較するステップ、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを前記電子計算機に実行させることを特徴とする電子データ管理プログラム。

請求項7

電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部とからなるドライバウェア手段を内蔵した前記電子計算機において、前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記記憶装置から読み取り、又は前記外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、前記ドライバウェア手段は、前記アクセスを受信するステップ、前記アクセスを解析するステップ、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、制御データを前記電子データ管理データベースの値と比較するステップ、(a)前記比較で、前記電子データの重要度が高いレベルと判定された場合、前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御をするステップ、前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御をするステップ、前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、前記許可した後、前記第1制御及び前記第2制御を解除する第3制御するステップ、前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、前記第1制御及び前記第2制御を解除する第4制御をするステップ、及び、前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、前記第1制御及び前記第2制御を解除する第5制御を行うステップ、(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップからなることを特徴とする電子データ管理プログラム。

請求項8

請求項6又は7に記載の電子データ管理プログラムにおいて、前記電子データ管理プログラムは、前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムとを有し、前記アプリケーションプラットフォームプログラムは、前記プロセスをサスペンドモードで動作させるステップと、前記サスペンドモードで動作している前記プロセスのハンドル、前記プロセス名、前記プロセスIDを取得するプロセス取得ステップと、前記プロセス取得ステップで取得した前記プロセス名と前記プロセスIDを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させることを特徴とする電子データ管理プログラム。

請求項9

請求項7又は8に記載の電子データ管理プログラムにおいて、前記ドライバウェアプログラムは、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、前記制御部は、前記アプリケーションプログラムの終了イベント待機するステップと、前記終了イベントが発生したとき、前記プロセスIDを取得するステップと、前記ファイルシステム制御部へプロセスIDからファイルアクセス禁止設定を解除するステップと、前記インターフェース制御部へ通信の禁止設定を解除するステップと、前記ネットワーク制御部へ通信の禁止設定を解除するステップとを有することを特徴とする電子計算機のデータ管理プログラム

請求項10

請求項6乃至9の中から選択される1項に記載の電子データ管理プログラムにおいて、前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させることを特徴とする電子計算機のデータ管理プログラム。

請求項11

請求項6乃至10の中から選択される1項に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体

技術分野

0001

本発明は、電子データの管理を行うための電子データの管理システムに関する。詳しくは、電子データのファイルアクセスするとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法管理プログラム、及びプログラム記録媒体に関する。

背景技術

0002

個人情報ビジネスノウハウは、電子データの形式でファイルとして電子計算機、記憶装置、記録媒体に保存されることが多い。電子データが保存された電子計算機、記憶装置は、ネットワークに接続されて利用されることが多い。ネットワークは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワークWAN)、インターネットクラウドネットワーク等のように様々な形態があり、個人利用から商業利用まで日常的に利用されている。

0003

ユーザは、電子計算機を操作して、電子データのファイルにアクセスし、それを開いて操作中の電子計算機の画面に表示して閲覧する。また、ユーザは、このファイルを印刷装置印刷して、又は、記録媒体に記録して複製することができる。更に、ユーザは、このファイルを電子メールに添付して他者、他の電子計算機、ネットワーク上のメールアドレスに送信することも、ネットワーク上のサービスを利用してこのファイルを外部へ送信又は提供することもできる。

0004

このようにファイルにアクセスした履歴、特にファイルの閲覧、編集複写、印刷、送信等の履歴を取得して緊密に管理することは、電子データのトレーサビリティを実現する上で、又、ビジネスのノウハウを守る上で大事である。例えば、顧客データ、個人データ、財務データ製品設計書等の厳重に管理しなければならない重要データは、その組織から外部へ流出又は漏洩する。組織の内部の人間が複製して持ち出すことも、外部からネットワークを経由で重要データのファイルにアクセスして持ち出すこともある。

0005

電子データの外部流出を防止することを実現するためには、コンピュータウィルスを検知して、そのウィルスの実行を停止又は遮断することが従来から行われている。また、悪意のあるプログラムであるマルウェアに感染した端末をネットワークから遮断するシステムが提案されている。更に、従来から電子データの形式で保存されているファイルの管理を行う管理システムが様々な方式で提案されている。ウィルス対策ソフトウェアから機密情報漏洩対策システムを導入して、電子計算機の電子データを保護している。

0006

これらのシステムでは、電子データへのアクセスを拒否又はこのアクセスの行為を特定し、電子データの漏洩を未然に防ぐ対策をとっている。このような対策をとっても、電子データの漏洩を完全に防ぐことが実現されていない。電子データを漏洩させようとする悪意のあるユーザは、最先端の様々な方法で電子計算機を攻撃している。更に、電子計算機を利用するユーザグループ内から電子データを漏洩させる内部漏洩もある。電子データの漏洩対策について様々な方法とシステムが開示されており、いくつかを例示する。

0007

例えば、特許文献1には、ネットワークシステムを介して送受信される印刷データの機密性総合的に図ると共に、印刷される文書データのトレーサビリティの向上を図る文書総合管理システムを開示している。この文書総合管理システムは、アクセス権管理者の認証と、アクセス権の設定と、文書にアクセスするユーザの認証を行う。また、文書の管理情報を保持する文書管理サーバと、ユーザが用いるPC等の情報処理装置であって、ユーザの認証とユーザが文書の印刷を指定するとき認証を行う。

0008

これと同時に、印刷ウォーターマークの生成と、印刷ログの管理を行うプリンタサーバと、印刷物受取者の認証を行い、プリンタサーバから送られる文書を印刷するプリンタを備えている。また、コピーログの管理とコピーウォーターマークの管理を行い、コピー文書の管理をするコピーサーバと、ウォーターマークの抽出及びコピーをする者の認証を行うと共に、文書をコピーするコピー機を備えている。

0009

また、クライアントに提供されたユーザデータを複製して目的以外に利用できないように監視するためのデータ管理方法が開示されている(特許文献2を参照)。この方法では、管理プログラムを利用して、ユーザデータへのアクセスを監視して、予め用意されたプロセス制御リストに従って、そのアクセスを許可するか否かの制御を行っている。この管理プログラムは、オペレーティングシステムカーネルモードで動作し、デバイスドライバアプリケーションプログラム通信に共通のインターフェースを提供するためのドライバウェアを内蔵するものである。

0010

ユーザデータを格納した記憶装置がクライアントコンピュータに接続されたとき、データ管理プログラムは、全ての外部記憶装置への書き込みを禁止し、ネットワークの使用を禁止する設定をし、実行ファイルのファイル名、フォルダ名、属性データ、実行しているプロセスのプロセス名とプロセスIDを取得している。ドライバウェアは、カーネルモードで動作し、デバイスドライバを制御しているため、他のアプリケーションプログラムやプロセスに影響がなく、高い秘密性が実現できる。

先行技術

0011

特開2004−280227号公報
国際公開WO2007/049625号広報

発明が解決しようとする課題

0012

しかしながら、このようにウィルス対策ソフトウェアや電子データ管理システム運用されていても、電子データの漏洩が様々な方法で行われているのが現状である。例えば、ユーザは、携帯用の記憶装置又は記録媒体にユーザデータを記録して、クライアントに提供することがよくある。このユーザデータはクライアントのシステムから外部へ流出することがある。

0013

また、ユーザは、電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザの電子計算機、又は、ユーザが接続されているネットワーク内の電子計算機から電子データを取得して外部へ流出させることがある。更に、ユーザが電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザが接続されているネットワーク内の電子計算機に感染し、同じく電子データを取得して外部へ流出させることがある。

0014

従来の対策は、コンピュータウィルス、マルウェアの実行を検知し、それを解析し、コンピュータウィルスやマルウェアの動作を停止又は遮断するものである。コンピュータウィルスとマルウェアは、常時、新しい種類、新しい機能を備えたものが作成され、様々な方法や系統で出回っている。これらのコンピュータウィルスとマルウェアの種類と機能を特定してから、それに対する対策を行う従来の方法では、後手になるので、情報漏洩の対策に限界がある。

0015

更に、重要データが格納されている電子計算機をネットワークから遮断してスタンドアローン状態で利用する手法があるが、この場合、ウィルス対策ソフトウェア、アプリケーションソフトウェア、オペレーティングシステム等のアップデートができない状態になり、システムの最新状態を保つことができない。そして、携帯メモリ等を利用して、電子データをこの電子計算機に複製し格納して利用し、また、この電子計算機から持ち出すことが行われる。携帯メモリにマルウェアやコンピュータウィルスが介在することがあり、特に、アップデートして最新状態を保っていない電子計算機が狙われやすい。

0016

このように、厳重に管理しなければならない重要な電子ファイルに対して、その漏洩が防止でき、電子データのファイルに焦点を当てたセキュリティ対策が求められている。
本発明は上述のような技術背景のもとになされたものであり、下記の目的を達成する。
本発明の目的は、重要な電子データへアクセスしたとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。

0017

本発明の他の目的は、重要な電子データへのアクセスが予め想定されていない場合、そのアクセスが解明されるまでに、電子データへのアクセスを遮断し、電子データが流出する系統を遮断して、セキュリティ対策を講じる電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。

課題を解決するための手段

0018

本発明は、前記目的を達成するため、次の手段を採る。
本発明の発明1の電子データの管理方法は、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、
前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記制御データを前記電子データ管理データベースの値と比較して、
(a)前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御、及び、
(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。

0019

本発明の発明2の電子データの管理方法は、発明1において、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイス直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記記憶装置から読み取り、又は前記外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、
前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、
(c)前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第4制御、及び、
前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第5制御を行い、
(d)前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。

0020

本発明の発明3の電子データの管理方法は、発明1又は2において、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセスを一時休止した状態のサスペンドモードで動作させて、前記プロセス名、前記プロセスIDを取得し、
前記アプリケーションプログラムインターフェース部に送信する
ことを特徴とする。

0021

本発明の発明4の電子データの管理方法は、発明1乃至3において、
前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、
前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、
前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを不許可する
ことを特徴とする。

0022

本発明の発明5の電子データの管理方法は、発明1乃至3において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。

0023

本発明の発明6の電子データ管理プログラムは、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、
前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ
前記アクセスを受信するステップ、
前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
(a)前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御を行うステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御を行うステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御を行うステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御を行うステップ、及び、
(b)前記電子データの重要度が高いレベルに該当しない場合、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを
前記電子計算機に実行させることを特徴とする。

0024

本発明の発明7の電子データ管理プログラムは、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記記憶装置から読み取り、又は前記外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、
前記ドライバウェア手段は、
前記アクセスを受信するステップ、
前記アクセスを解析するステップ、
前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
制御データを前記電子データ管理データベースの値と比較するステップ、
(a)前記比較で、前記電子データの重要度が高いレベルと判定された場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御をするステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御をするステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、
前記許可した後、前記第1制御及び前記第2制御を解除する第3制御するステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、
前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、
前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、
前記第1制御及び前記第2制御を解除する第4制御をするステップ、及び、
前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、
前記第1制御及び前記第2制御を解除する第5制御を行うステップ、
(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップ
からなることを特徴とする。

0025

本発明の発明8の電子データ管理プログラムは、発明6又は7において、
前記電子データ管理プログラムは、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムと
を有し、
前記アプリケーションプラットフォームプログラムは、
前記プロセスをサスペンドモードで動作させるステップと、
前記サスペンドモードで動作している前記プロセスのハンドル、前記プロセス名、前記プロセスIDを取得するプロセス取得ステップと、
前記プロセス取得ステップで取得した前記プロセス名と前記プロセスIDを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させる
ことを特徴とする電子データ管理プログラム。

0026

本発明の発明9の電子データ管理プログラムは、発明7又は8において、
前記ドライバウェアプログラムは、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、
前記制御部は、
前記アプリケーションプログラムの終了イベント待機するステップと、
前記終了イベントが発生したとき、前記プロセスIDを取得するステップと、
前記ファイルシステム制御部へプロセスIDからファイルアクセス禁止設定を解除するステップと、
前記インターフェース制御部へ通信の禁止設定を解除するステップと、
前記ネットワーク制御部へ通信の禁止設定を解除するステップと
を有することを特徴とする。

0027

本発明の発明10の電子データ管理プログラムは、発明6乃至9において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。

0028

本発明の発明11のデータ管理プログラムを記録した記録媒体は、発明6乃至10に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体である。

発明の効果

0029

本発明によると、次の効果が奏される。
本発明によると、重要な電子データへアクセスしたとき、この電子データが保存されている電子計算機又はネットワークの通信機能を停止又は一時停止することで、電子データが流出する系統を遮断してから、そのアクセスを分析し制御する。これにより、電子データの漏洩を防ぐことができる。

0030

また、本発明によると、重要な電子データへアクセスしたとき、そのアクセスを分析し、そのアクセスが予め想定され、許可されたアクセスの場合にのみ、そのアクセスを許可する。これによって、重要な電子データへアクセスするコンピュータウィルスやマルウェアの種類、機能によらず、重要な電子データを適切に管理することが可能になった。

図面の簡単な説明

0031

図1は、本発明の第1の実施の形態の概要を図示している概念図である。
図2は、本発明の第1の実施の形態の電子データ16の制御を行う手順の概要を示すフローチャートである。
図3は、本発明の第2の実施の形態の電子データ管理システム1の概要を図示している図である。
図4は、本発明の第2の実施の形態の電子データ管理システム1のユーザ端末2上に動作するソフトウェアの概要を図示している図である。
図5は、本発明の第2の実施の形態において、ユーザ端末2内で、アクセス要求を処理する手順を示すフローチャートである。
図6は、本発明の第2の実施の形態において、ユーザ端末2内で、重要度が高い電子データ16へのアクセス要求を処理する手順を示すフローチャートである。

実施例

0032

以下、本発明の実施するための形態を図に基づいて説明する。
(本発明の第1の実施の形態の概要)
図1には、本発明の第1の実施の形態の電子データ管理システム1の概要を図示している。電子データ管理システム1は、電子データ16を管理するためのシステムであり、特に、重要データ16mへアクセスするとき、ユーザ端末2の通信機能を停止又は一時停止、ローカルエリアネットワーク(以下、略して「LAN」という。)5等のネットワークを遮断し、電子データ16及び重要データ16mの漏洩等の不正利用を防止するためのシステムである。

0033

電子データ管理システム1は、ユーザ端末2、サーバ4、ゲートウェイ9等からなるLAN5である。ゲートウェイ9は、LAN5をインターネット20に接続するための装置である。ユーザは、基本的に、ユーザ端末2を操作して、電子データ16の作成・閲覧・加工を行う。ユーザは、ユーザ端末2上に動作している電子メールのアプリケーションプログラム、ファイル転送プログラムファイル送信プロトコル等を利用して、電子データ16を、インターネット20又は他の電子計算機へ送信する。

0034

電子データの不正利用又は不正取得のとき、これらのプログラムや通信プロトコルが利用されることが多い。無論、ユーザ端末2の補助記憶装置ディスク装置等の内蔵機器、ユーザ端末2に接続されたフラッシュメモリ等の補助記憶装置に、ユーザ端末2から重要データ16mが記録されて、持ち出され漏洩することもある。どちらにしても、ユーザ端末2に格納されている電子データ16又は重要データ16mへアクセスする必要がある。

0035

このように重要データ16mへアクセスしたことをユーザ端末2で検知し、重要データ16mの漏洩を防ぐことを本発明の電子データ管理システム1で実現する。サーバ4は、LAN5に接続された端末に共通のサービスと電子データ16を提供する端末である。サーバ4は、電子データ16を格納するために補助記憶装置6を備える。ユーザ端末2は電子データ16をサーバ4から読み込んで作業をし、保存するとき元の場所に保存する。また、ユーザは、サーバ4から電子データ16を取得して、ユーザ端末2に保存して、利用することができる。

0036

このように、電子データ16は、サーバ4とユーザ端末2に必要に応じて分散して格納される。電子データ16を管理するために、その名称保存先、アクセス権を示した管理データベースが作成される。その一例は、サーバ4に格納されている電子データ管理データベース17である。ユーザ端末2とサーバ4は、中央処理ユニット入力装置出力装置、ROM、RAM等の内蔵メモリSSD、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。

0037

電子データ16は、テキストファイル画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。この中で、ユーザにとって管理が必要な重要なファイル、例えば、個人情報や顧客情報、設計データ、機密データ等の重要なファイルは、重要データ16mとする。重要データ16mは、データのセキュリティ上、厳密な管理が必要であり、その利用状況を追跡し、外部へ漏洩させない措置を取らなければならないデータである。

0038

電子データ管理システム1は、この電子データ16mを作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、その利用の履歴を記録して残す。電子データ管理システム1は、電子データ16と重要データ16mへアクセスしたとき、そのアクセスを追跡し制御するためのシステムである。詳しくは、電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合うとき、そのアクセスを許可し、実行する。

0039

電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時停止又は一時保留し、そのアクセスを追跡し分析する。特に、重要データ16mへアクセスする場合、電子データ管理システム1は、ユーザ端末2、サーバ4を始めLAN5の通信機能を全部又は一部を停止又は一時停止する。電子データ管理システム1は、電子データ16に関するデータベースを作成して、電子データ16の管理を行う。

0040

例えば、電子データ16のファイル一覧、各ファイルの属性、各ファイルへのアクセス権を示す電子データ管理データベース17を作成して管理を行う。電子データ管理システム1は、管理プログラム15を用いて、電子データ16の追跡と管理を行い、電子データ16へのアクセスを許可又は不許可にする。管理プログラム15は、電子データ16をユーザ端末2上に利用する環境を提供するためのアプリケーションプログラムである。

0041

図1に図示した管理プログラム15は、オペレーティングシステム21のカーネルモード34で動作するドライバウェア50からなる。カーネルモード34は、オペレーティングシステム21の動作モードの一つで、制限を受けないでオペレーティングシステム21の全ての命令が実行できる動作モードである。これに対して、オペレーティングシステム21の動作モードの一つであるユーザモード33は、オペレーティングシステム21の命令の一部の実行をユーザやアプリケーションプログラム22に対して制限している。

0042

ユーザ端末2上で動作するアプリケーションプログラム22から電子データ16へアクセスするとき、オペレーティングシステム21が提供するサービスを経由する。管理プログラム15は、オペレーティングシステム21の入出力機能を監視するプログラムである。特に、管理プログラム15の構成であるドライバウェア50は、デバイスドライバを制御するもので、電子データ16へのアクセスを全て監視し、制御する。

0043

ドライバウェア50は、ユーザ端末2の補助記憶装置、ネットワークカード等のデバイスを制御するデバイスドライバを監視するので、アプリケーションプログラム22とオペレーティングシステム21のサービスからこれらのデバイスへのアクセスを自由自在に制御することができる。電子データ16は、基本的に、暗号化されている。ユーザ端末2に管理プログラム15が実行されており、特に制御モードで動作している。

0044

この制御モードにおいて、管理プログラム15は、ユーザ端末2から外部へ送受信される通信とそのデータ、ユーザ端末2の補助記憶装置からデータを読み込みするアクセス、ユーザ端末2の補助記憶装置へデータを書き込みするアクセスの全てを監視している。また、管理プログラム15はこの制御モードになると、電子データ16がユーザ端末2から外部へ流出する全ての手段を停止する。例えば、ユーザ端末2に接続された記憶装置、記録装置へ電子データ16を書き込む動作を停止し、ネットワークへ電子データ16を送信する機能を停止している。

0045

しかし、管理者等の特定のユーザがユーザ端末2に接続された記憶装置、記録装置へ電子データ16を書き込み、ネットワークへ電子データ16を送信することができるように例外設定例外処理をこの制御モードで行うことができる。また、一般のユーザにとっても、ネットワーク機能を常時停止すると、アプリケーションプログラム22のアップデート、ウィルス対策ソフトウェアのアップデート、ネットワークへデータを送信することが必要な場合がある。

0046

ネットワーク機能を例外設定することで、このような状況でネットワーク機能が利用できるようにすることが多い。ユーザ端末2で動作しているアプリケーションプログラム22から電子データ16へアクセスする。このアクセスのアクセス要求は、管理プログラム15を経由する。詳しくは、管理プログラム15はアプリケーションプログラム22のアクセス要求を常時監視しており、ドライバウェア50がこの要求を受信して、デバイスドライバへのアクセスを制御する。よって、ドライバウェア50はすべてのアクセス要求を自在に制御することができる。

0047

以下、電子データ16と重要データ16mへのアクセスを制御する手順の一例を、図2のフローチャートを参照しながら説明する。管理プログラム15は、このアクセス要求を受信し、その解析を行う(ステップ1)。まず、アクセス要求された電子データ16が重要データ16mであるか否かを確認するための電子データ確認を行う(ステップ2)。この電子データ確認のとき、管理プログラム15は、サーバ4に格納されている電子データ管理データベース17を参照して、該当する電子データ16の属性情報等を参照する。

0048

この参照の結果、電子データ16が重要データ16mであると判定された場合、LAN5とユーザ端末2のネットワーク通信機能を停止又は一時停止させる(ステップ2、3)。そして、アクセス要求を出したアプリケーションプログラム22又はユーザは電子データ16へのアクセス権限を有するか否かを確認する(ステップ4)。ステップ2の参照の結果、電子データ16が重要データ16mであると判定されない場合、アクセス要求を出したアプリケーションプログラム22又はユーザは、電子データ16へのアクセス権限を有するか否かを確認する(ステップ4)。

0049

このアクセス権限の確認のとき、管理プログラム15は、サーバ4に格納されている電子データ管理データベース17を参照して、該当する電子データ16の属性情報等を参照する。ユーザ端末2のネットワーク機能が停止されている場合は、前回の電子データ確認時の属性情報を利用することができる(ステップ4)。続いて、アクセス要求が不正アクセスである可能性について調査する。

0050

例えば、自動起動のアプリケーションプログラム22からのアクセス要求であるか、電子メールに添付された実行型のアプリケーションプログラム22からアクセス要求であるか、ウェブページ閲覧中ウェブアプリケーションから出されたアクセス要求であるか、ユーザ端末2を中継するアクセス要求であるか等を調査する。この調査では、これらの要求に該当する場合、不正アクセスである可能性があると判定される。これらのアクセス権限の確認で電子データ16に正当権限を有するユーザからのアクセス要求であることが確認され、不正アクセスの可能性がないことが確認された場合、管理プログラム15はアクセス要求を許可し、実行する(ステップ5,6)。

0051

アクセス権限の確認で電子データ16に正当な権限を有するユーザからのアクセス要求ではないことが確認され、及び/又は、不正アクセスの可能性があることが確認された場合、管理プログラム15はアクセス要求を破棄する(ステップ5,7)。このようにアクセス要求を破棄したとき、アクセス要求を出したユーザ又はアプリケーションプログラムに対して、アクセス要求を破棄した旨の通知をする(ステップ7)。そして、管理プログラム15は停止又は一時停止した機能を再開し、正常な動作に戻る(ステップ8)。

0052

上述のように、管理プログラム15は、電子データ16へのアクセス要求があるとき、これを取得して、電子データ16へのアクセス要求を分析し確認している。特に、重要データ16mの場合、管理プログラム15は、ネットワーク機能を始め、電子データ16が漏洩する可能性が手段をシャットしている(ステップ3)。ネットワーク機能のシャットは、停止、一時停止、切断、及び遮断の内の1制御を行う。この制御をする箇所は、図1の中に、「×」の印14a、14b、14cで示しているユーザ端末2のネットワークの出入力、ゲートウェイ9の前後である。

0053

ここで言う停止と一時停止は、データを送受信する通信機能を停止と一時停止するものであり、通信機能を完全に停止させるものではない。通信機能を停止と一時停止と言うのは、制御命令や通信プロトコルの中で命令を送受信する機能、通信プロトコルのレイヤに応じて通信線接続確立が機能することとする。通信機能を切断と遮断すると言うのは、基本的に、通信プロトコルを利用してデータを送受信する機能停止、更に、プロトコルに沿って通信命令の送受信も停止することを言う。

0054

通信機能を切断と遮断すると言うのは、通信プロトコルのレイヤに応じて接続確立が解除され、通信できない状況になることを言う。ネットワーク機能の遮断としては、ユーザ端末2がLAN5へ接続する通信機能、LAN5からインターネット20への出口であるゲートウェイ9のデータ通信機能を停止又は一時停止である。特に、重要データ16mの情報漏洩を防ぐ上では、重要データ16mへアクセス要求があった時点で、通信機能を停止、一時停止、遮断又は切断させて、アクセス要求が許可されても、そのアクセス要求が実行され完了されるまで、継続する。

0055

これは、重要データ16mの外部流出、情報漏洩に対して大きく貢献する。管理プログラム15は、アンチウィルスソフトウェアマルウェア検知ソフトウェア、他の情報漏洩対策ソフトウェアデータ管理ソフトウェア等の他のアプリケーションプログラムから送信された通知を受信する機能を有する。

0056

管理プログラム15は、ユーザ端末2がコンピュータウィルス、マルウェア等に感染したことを示す通知を、アンチウィルスソフトウェア、マルウェア検知ソフトウェア等から受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。管理プログラム15は、重要データ16mにアクセス、重要データ16mを持ち出すことを検知した他の情報漏洩対策ソフトウェアやデータ管理ソフトウェアから通知を受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。

0057

(本発明の第2の実施の形態)
図3には、本発明の第2の実施の形態の電子データ管理システム1の概要を図示している。以下、本発明の第2の実施の形態の電子データ管理システム1は、上述の本発明の第1の実施の形態の電子データ管理システム1と基本的に同じである。電子データ管理システム1は、電子データ16を管理するためのシステムであり、詳しくは電子データ16へのアクセスを追跡し、電子データ16の不正利用(漏洩、流出等)を防止するためのシステムである。

0058

図3は、企業、公共自治体SOHO(Small Office Home Office)、学校等の汎用の組織(以下、単に「組織」という。)で利用されている一般的なネットワークシステムの一例を概念的に図示した図である。電子データ管理システム1は、ユーザ端末2、管理端末3、サーバ4等が接続されたLAN5である。LAN5には、複合機7、無線ルータ8、タブレット端末10、ゲートウェイ9等が接続されている。LAN5は、図3に示すように、代表的な端末と装置を1つずつ例示した。

0059

ゲートウェイ9は、LAN5を他のネットワークに接続するための装置である。この他のネットワークとしては、他のLAN、ワイドエリアネットワーク(Wide Area Network)、インターネット等が例示できる。本例では、これに限定されないが、他のネットワークはインターネット20を例に説明する。図3のLAN5は、組織に利用される代表的な例としているが、組織は2以上のLAN5を利用し、互いに直接又は他のネットワークを介して接続されることが可能である。

0060

LAN5は、2以上の端末を互いにデータ通信できるように、無線又は有線の通信プロトコルで接続した通信ネットワークである。本実施の形態では、LAN5は、有線ルータ(図示せず。)又は無線ルータ8にユーザ端末2、管理端末3、サーバ4、タブレット端末10等の端末を有線又は無線で接続し、互いに通信できるようにしたネットワークである。ゲートウェイ9がこのルータを兼ねることもできる。LAN5には、一般的に、複数台のユーザ端末2、複合機7、タブレット端末10が接続される。

0061

ユーザは、基本的に、ユーザ端末2を操作して、文書を書き、電子データ16を作成・閲覧・加工を行う。ユーザは、電子データ16を持ち出すとき、ユーザ端末2から記録媒体に電子データ16を複製又は移動させて保存する。また、ユーザは、ユーザ端末2上に動作している電子メール、ファイル転送プログラム、ファイル送信プロトコル等を利用して、電子データ16を、インターネット20又は他の電子計算機へ送信する。管理端末3は、基本的にLAN5の管理者が利用する端末であり、LAN5全体の監視と管理をするための端末である。

0062

管理端末3では、文書の閲覧・作成等の組織の通常業務を行うことができるが、LAN5の管理者に利用される。特に、LAN5をメンテナンス、監視して管理するための業務を行うために管理者が管理端末3を主に利用する。よって、管理端末3からは、LAN5に接続された各端末と装置を制御することができる。サーバ4は、LAN5に接続された端末に共通のサービスと電子データ16を提供する端末で、サーバ4に内蔵又は外付けで接続された補助記憶装置6に電子データ16を格納する。

0063

このように電子データ16はサーバ4とユーザ端末2に保存されるが、組織の方針によって、様々な形で運用管理される。一例では、サーバ4の補助記憶装置6は、電子データ16を格納することができる。ユーザ端末2はこの電子データ16をサーバ4から読み込んで作業をし、保存するとき元の場所に保存する。また、一例では、サーバ4の補助記憶装置6は、電子データ16を格納し、ユーザ端末2が利用する電子データ16は、サーバ4から取得してユーザ端末2に保存する。

0064

ユーザ端末2のこの電子データ16は、常にサーバ4と同期をとっている。このとき、ユーザ端末2は、この電子データ16をユーザ端末2から読み込んで作業をし、保存するときは、ユーザ端末2に作業済の電子データ16が保存され、サーバ4と同期する。また、別の一例では、電子データ16は、サーバ4とユーザ端末2に必要に応じて分散して格納されていて、電子データ16について、その名称、保存先、アクセス権を示した管理データベースが作成されることがある。

0065

また、電子データ16は、ユーザ端末2のみ分散して保存されることも、インターネット20上に保存され、ユーザ端末2からLAN5、インターネット20を経由してアクセスされることもある。このように、電子データ16は、様々な形で管理されるので、一意的に決められない。本発明は、電子データ16を保存する方法に関する発明ではないので、詳細については、これ以上は省略する。

0066

複合機7は、電子データ16を紙に印刷して複製するための印刷機能、電子データ16や紙媒体のデータをファックスするためのファックス機能、紙媒体のデータをスキャンディジタル化して電子データ16を作成するためのスキャナー機能等を備えた装置である。複合機7は、LAN5内の装置の一例と例示したが、印刷装置、スキャナー等のように個別の装置であっても良い。ユーザは、ユーザ端末2に記録媒体を接続又は挿入し、この記録媒体に電子データ16を複製又は移動させて、利用する。

0067

管理端末3、サーバ4、タブレット端末10についても同様に電子データ16の複製を行うことができるが、その説明は省略する。ユーザは、電子データ16が格納された記録媒体を、他の電子計算機に接続又は挿入して、その電子計算機で、電子データ16を利用することができる。また、管理者等は、電子データ16を記録媒体に格納し、これをユーザに渡し、ユーザは、この記録媒体をユーザ端末2又は他の電子計算機で利用することができる。

0068

記録媒体としては、図示しないが、CD(Compact Disk)、USB(Universal Serial Bus)メモリ、外付けハードディスク、フレキシブルディスク、フラッシュメモリ、光磁気ディスク装置、DVD(Digital Versatile Disks)、ポータブルデバイス等が利用できる。タブレット端末10は、携帯可能でタッチパネルを備えた端末であり、本例では、無線ルータ8に無線通信で接続される。ユーザ端末2、管理端末3、サーバ4、タブレット端末10は、中央処理ユニット、入力装置、出力装置、ROM、RAM等の内蔵メモリ、SSD、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。

0069

[電子データ16について]
電子データ16は、テキストファイル、画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。電子データ16は、組織のノウハウが蓄積されたデータでもある。例えば、電子データ16は、災害時に使用するための保険会社復旧マニュアル、メーカが利用するための製品の仕様書や設計書、出版物写真等の画像データの校正時に使うための原本の電子データ16である。

0070

また、電子データ16は、個人情報や顧客情報等が格納されたデータファイルである。個人情報としては、氏名、住所連絡先生年月日、公共団体が利用する個人管理用の特別番号、保険若しくは年金の管理番号等のように、個人を特定し、管理するための情報を意味する。個人情報の例としては、住民住民票に係る者を識別するための個人番号言い換えるとマイナンバーを例示できる。顧客情報としては、例えば、顧客の氏名、名称、住所、連絡先、取引の内容等の情報である。以後は、このような個人情報や顧客情報等のデータは、単に電子データ16と記載する。

0071

電子データ16は、データのセキュリティ上、厳密な管理が必要であり、電子データ16を作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、記録して残す。電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合うとき、そのアクセスを許可する。電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時保留し、そのアクセスの条件が明確になるまでに、そのアクセスを追跡し分析する。

0072

このとき、電子データ管理システム1は、ユーザ端末2、サーバ4を始めLAN5の通信機能を全部又は一部を停止又は一時停止する。電子データ16は、その種類と内容の重要度によって複数のレベルに分けられて管理される。レベル分けは、数字文字記号特定単語、これらの組み合わせ等を割り当てるという様々なやり方がある。本例では、これに限定されないが、単純な方法を採用する。

0073

本例では、重要度が一番高い電子データ16をレベル1とし、重要度が下がるに連れてレベル2、3とレベルを表す数字を増やしていき、重要度が一番低い電子データ16はレベルnとする。nは数字であり、組織の中で電子データ16をレベル分けする最大数になる。例えば、次の表1に一例を示す。

0074

このように組織の電子データ16は、レベル1〜nにレベル分けされ、又は、属性が与えられて補助記憶装置6に格納される。電子データ16をレベル分けして管理するとき、様々な方法で行うことができ、これらに限定しないが、ここでいくつかの例を示す。第1の例としては、電子データ16に関するデータベースを作成して、電子データ16の管理を行うことができる。例えば、電子データ16のファイル一覧と各ファイルの属性を示す電子データ管理データベース17(図3を参照。)を作成して管理を行うことができる。

0075

この電子データ管理データベース17を参照することで、電子データ16へアクセスができる許可を持っているユーザを特定することができる。第2の例としては、電子データ16のファイルにヘッダー情報を付加することで、電子データ16の管理を行うことができる。電子データ16は、特定のフォーマットのファイルになっており、このファイルの先頭、又は、特定の位置に、電子データ16の属性を示すデータを挿入する。この属性を参照することで、電子データ16のファイルへアクセスできる許可を持っているユーザを特定することができる。

0076

第3の例としては、電子データ16の保存場所で、電子データ16の管理を行うことができる。電子データ16は、そのレベルや重要度に応じて特定のフォルダに保存する。このフォルダは、秘密のフォルダであったり、公開フォルダであったり、暗号化された暗号フォルダであったりすることができる。これらのフォルダにそれにアクセスできる権限をユーザごとに設定しておき、許可されたユーザのみが電子データ16のフォルダにアクセスし、電子データ16を参照、編集することができる。

0077

無論、上述した第1〜第3の例を1以上組み合わせて利用することもできる。また、ユーザ端末2、タブレット端末8にもレベル1〜nの電子データ16が保存されることがある。電子データ管理システム1は、電子データ16を監視し、その電子データ16へのアクセスが該当するレベルに合致しない端末又はユーザからのアクセスか否かを監視する。電子データ16へはユーザ端末2、インターネット20等からアクセスすることができる。また、電子データ16へのアクセスは、ユーザが直接操作しているアプリケーションプログラムやプロセスから直接アクセスすることがある。

0078

また、サーバ4、ユーザ端末2、タブレット端末8、管理端末3で常駐して動作し、ユーザが直接操作していないアプリケーションプログラムやプロセスから自動アクセスすることがある。電子データ管理システム1は、このように直接アクセスと自動アクセスの両方を監視し、電子データ16の管理を行う。また、ユーザは、電子データ16を記録媒体に記録して持ち出し、LAN5に接続されていない電子計算機で利用することもある。

0079

[ユーザ端末2について]
図4は、本発明の第2の実施の形態の概要を図示している。図4は、ユーザ端末2の概要を図示している。ユーザ端末2は、マウスキーボード等の周辺機器外部デバイス26を接続するコネクタ25を有し、コネクタ25はそのデバイスドライバであるインターフェースドライバ63によって制御される。コネクタ25は、RS—232C、IrDA、USB、IEEE1394、Bluetooth(登録商標)等のシリアルポート、IEEE1284、SCSI、IDE等のパラレルポートであることが好ましい。

0080

ユーザ端末2は、コンピュータネットワーク、通信ネットワーク、インターネット等のネットワークに接続するためのネットワークカード27を備えており、ネットワークの例としてLAN5で図示している。ネットワークカード27は、有線通信用のネットワークに接続するためのネットワークアダプタで例示しているが、無線通信用送受信器であっても良い。ユーザ端末2は、USBメモリ13等のUSB規格準拠機器を接続するためのUSBポート28を備えている。

0081

ユーザ端末2は、内蔵ハードディスク29を有する。ネットワークカード27、USBポート28、内蔵ハードディスク29は、そのデバイスドライバであるネットワークドライバ64、ファイルシステムドライバ65から制御される。ユーザ端末2は、オペレーティングシステム21によって制御されて動作する。オペレーティングシステム21は、キーボードからの入力、マウス操作の入力や画面出力等のような入出力装置からの入出力機能、補助記憶装置やメモリの管理等の基本的な機能を提供し、ユーザ端末2全体を制御し動作させて管理するためのソフトウェアである。

0082

オペレーティングシステム21は、その提供する機能を実現するために多数の実行可能なプログラムから構成されるものである。オペレーティングシステム21、特に本実施の形態に用いているWindows(登録商標)系のオペレーティングシステムについては、多数の書籍があり、その一部から紹介する。本発明を再現するためには、これらの書籍に記述されている技術知識、特に、デバイスドライバ開発に関する知識が必要である。

0083

Windows系のオペレーティングシステムの内部構成、その動作についての書籍一覧:
− Inside Windows Nt by Helen Custer (Microsoft Press, 1992)
− Inside the Windows Nt File System by Helen Custer (Microsoft Press, 1994)
− Inside Microsoft Windows 2000, Third Edition by David A. Solomon, Mark E. Russinovich (Microsoft Press, 2000)

0084

デバイスドライバの基礎知識からその開発に関する知識ついての書籍一覧:
− Programming the Microsoft Windows Driver Model by Walter Oney (Microsoft Press, 1999)
− Programming the Microsoft Windows Driver Model, Second Edition by Walter Oney (Microsoft Press, 2002)。
− Windows Vistaデバイスドライバプログラミング田 憲一郎 (著)、ソフトバンククリエイティブ出版(2007)

0085

ここで、オペレーティングシステム21は、図示しないが、サブシステム、エグゼキュティブ、カーネル、各種デバイスドライバ、ハードウェア抽象化層HAL)から構成される。エグゼキュティブは、メモリの管理、プロセスとスレッドの管理、セキュリティ、I/O(入出力機能)、ネットワーク、及びプロセス間通信等のオペレーティングシステム21の基本的なサービスを提供するものである。カーネルは、スレッドスケジューリング、割り込み、例外通知マルチプロセッサの同期等の低レベル関数を提供し、エグゼキュティブの内部で使用するルーチンセットと基本オブジェクトを提供する。

0086

〔ドライバウェア50〕
ドライバウェア50は、管理プログラム15の中核部である。ドライバウェア50は、インターフェースドライバ63、ネットワークドライバ64、ファイルシステムドライバ65等のデバイスドライバの間のデータの送受信をカーネルモードで実現するためのものである。ドライバウェア50は、アプリケーションプログラム22からデバイスドライバへアクセスするとき、また、デバイスドライバからアプリケーションプログラム22へデータを送信するときに、共通のインターフェースを提供する。

0087

ドライバウェア50は、オペレーティングシステム21のカーネルモード34で動作する。ドライバウェア50は、デバイスドライバ間だけではなく、オペレーティングシステム21と複数のデバイスドライバとのデータの送受信を提供する機能を有する。ドライバウェア50のインターフェース制御部43、ネットワーク制御部44、ファイルシステム制御部45は、ユーザ端末2のデバイスドライバ63〜65を制御することで、最終的には、ユーザ端末2に接続又は内蔵されているデバイスを制御するものと理解することができる。

0088

ドライバウェア50の例としては、電子計算機のインターフェースドライバプログラムとしてWO02/091195号公報等に開示されている周知の技術である。また、ドライバウェア50の技術を利用した電子計算機のデータ管理方法がWO2007/049625号公報に開示されている。これらの公報に記載された技術内容は本発明の不可欠である。ドライバウェア50は、アプリケーションプログラム22からの命令やデータ等を受信し、アプリケーションプログラム22へのデータを送信するためのアプリケーションプログラムインターフェース部51を有する。

0089

ドライバウェア50は、ドライバウェア50の全体の動作を制御するための制御部52を有する。また、ドライバウェア50の動作の履歴を取得するためのログ取得部53も有する。更に、ドライバウェア50は、デバイスドライバを制御するためのデバイスドライバ制御部を有する。本例では、デバイスドライバ制御部として、インターフェースドライバ63、ネットワークドライバ64、ファイルシステムドライバ65を制御するためのインターフェース制御部43、ネットワーク制御部44、ファイルシステム制御部45を例示している。

0090

ドライバウェア50は、通信するデータを暗号化するための暗号化部54、暗号化されたデータを復号化するための復号化部55を有する。暗号化は、公開鍵秘密鍵ペアを用いる公開鍵暗号方式を採用することが好ましい。しかし、これは、暗号化する方式を限定するものではない。暗号化と復号化は、本発明の趣旨ではないので詳細な説明は省略する。

0091

制御部52は、デバイスドライバ制御部43〜45、アプリケーションプログラムインターフェース部51、ログ取得部53、暗号化部54、復号化部55等のドライバウェア50の他の構成部を制御し、監視するためのもので、ドライバウェア50の中核部である。デバイスドライバ制御部43〜45は、アプリケーションプログラム22やオペレーティングシステム21のエグゼキュティブからデバイスドライバへデータ又は要求を送信するとき、これらのデータ又は要求を、アプリケーションインターフェース部51で受信し、制御部52で分析し、必要であれば、データ又は要求の変更等をして制御し、デバイスドライバ制御部43〜45へ送信する。

0092

デバイスドライバ制御部43〜45は、制御部52から受信したデータ又は要求を、デバイスドライバ63〜65へ送信する。このように、デバイスドライバ63〜65からデータを取得し、アプリケーションプログラム22やエグゼキュティブへ送信するとき、逆の手順で行う。デバイスドライバ63〜65の間にデータを送受信するとき、デバイスドライバ制御部43〜45の間に直接転送することで、実現できる。このように転送すると、カーネルモード34で実行されるので、非常に高速で実現でき、かつ、セキュリティ上は安全である。

0093

〔アプリケーションプラットフォームプログラム23〕
アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22と、オペレーティングシステム21との間に位置し、これらの間に命令やデータの送受信を仲介し制御するためのアプリケーションプログラムである。アプリケーションプラットフォームプログラム23は、オペレーティングシステム21のユーザモード33で動作する。アプリケーションプラットフォームプログラム23は、オペレーティングシステム21のファイルシステムにアクセスするためのユーザインターフェースを提供する機能を有する。

0094

アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22の起動、これに伴うプロセスの起動を監視し、これらの属性情報を取得する機能を有する。例えば、アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22が起動し実行するとき、開始されたプロセスのプロセスID、プロセス名、プロセスを実行したユーザ名等の情報を取得し、監視する。アプリケーションプラットフォームプログラム23は、Windowsエクスプローラ互換性があるアプリケーションプログラム又はツールであることが好ましい。

0095

[電子データ16へのアクセスの追跡]
重要な電子データ16へのアクセスの追跡について説明する。このときの手順を示すフローチャートを、図5図6に示しており、これらのフローチャートを参照しながら説明をする。まず、サーバ4には、補助記憶装置6が内蔵されており、この補助記憶装置6に電子データ16へのアクセス権等を示す電子データ管理データベース17が格納されている(図3を参照。)。

0096

この電子データ16は、重要度に応じてレベル分けされている(表1を参照。)。重要度が通常以下の場合は、上述の通り、電子データ16へのアクセスを制御する。ユーザ端末2の電子データ16を利用するとき、ユーザ端末2上に動作するアプリケーションプログラム22からアクセス要求がファイルシステムドライバ65へ出される。このアクセス要求を管理プログラム15が取得し、このアクセス要求を解析し始める(ステップ20,21)。

0097

管理プログラム15は、アクセス要求を解析するとき、アクセス要求の中から、アクセス要求されているファイルのファイル名と、アクセス要求を送信したアプリケーションプログラムのプロセス名を取得する(ステップ22、23)。管理プログラム15は、電子データ管理データベース17を参照して、そのアプリケーションプログラム22の制御情報を取得して確認をする。詳しくは、管理プログラム15は、まず、要求された電子データ16のファイルのレベルを確認する(ステップ24)。

0098

レベルを確認するとき、管理プログラム15は、サーバ4へアクセスし、電子データ管理データベース17を参照して、取得したファイル名に該当する電子データ16のレベルを確認する。電子データ管理データベース17は、電子データ16のファイル毎にその重要度を示すレベルデータと、それにアクセスできるユーザ、ユーザ端末2、アプリケーションプログラム、プロセス等を対応させて記載したデータベースである。

0099

電子データ16の重要度が高くない、言い換えると普通以下、と判定された場合(ステップ26)、管理プログラム15は通常の処理を行う。電子データ16の重要度が高いと判定された場合(ステップ25)、管理プログラム15から命令が送信され、電子データ16の入出力するためのLAN5の機能が全部又は一時停止される(ステップ25→図6のステップ30へ)。そして、ユーザ端末2の通信ポートも停止又は一時停止されることが好ましい(ステップ30)。

0100

このように、電子データ16がLAN5から外部へ漏洩又は外部へ流出するチャネルを基本的に全て遮断する。そして、アクセス要求については、詳細な分析をする。管理プログラム15は、アクセス要求を出したアプリケーションプログラム22を、電子データ管理データベース17を参照して確認し、アクセス要求のファイル名の電子データ16にアクセスできる権限を有しているか否かを確認する(ステップ31,32)。この確認作業で、アクセス要求が許可されていないアプリケーションプログラムの場合は、管理者へ報告し、返事を待機する(ステップ41)。

0101

管理者から返事がある場合は、後述のステップ39へ進む。この確認作業で、アクセス要求が許可されているアプリケーションプログラムの場合は、成り済まし等の不正行為を確認する作業を始める(ステップ33)。この確認の作業は、ユーザ端末2を利用しているユーザの確認、ユーザ端末2を利用しているユーザの個人認証、アクセス要求を出したアプリケーションプログラムの認証、アクセス要求を出したプロセスの認証等である(ステップ34)。

0102

管理プログラム15は、これらの事項を、解析し、アクセス要求を承認するか否かを判断する(ステップ34,35)。確認要求解析処理結果(確認作業結果)で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース17に登録された要件を満たす場合は、管理プログラム15は、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる(ステップ36,37)。

0103

電子データ16が最重要で、遮断された環境で作業を行わなければならないという指定がある場合、LAN5のネットワーク機能を、作業が終わるまで、停止又は一時停止した状態にしても良い(図示せず。)。確認要求の解析(確認作業結果)で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース17に登録された要件を満たさない場合は、管理プログラム15は、管理者にこの旨を示す警告を送信し、その結果を待機する(ステップ35→ステップ38)。

0104

よって、管理者は、この警告を受けた場合は、不正アクセスの疑いがあると見て、LAN5の状態、ユーザ端末2の状態を調査し、最終判断をする。管理者の最終判断を示す指示は、サーバ4、管理端末3、ユーザ端末2等のいずれかの入力手段から管理者によって入力され、管理プログラム15は、この指示を受信する(ステップ39)。管理者の最終判断で、アクセス要求を認めると判断した場合は、管理プログラム15は、その指示を受信して、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる(ステップ40→ステップ36、37)。

0105

管理者の最終判断で、アクセス要求を認めないと判断した場合は、管理プログラム15は、その指示を受信して、アクセス要求を破棄し、停止又は一時停止していた各機能を再開させる(ステップ40→ステップ42、43)。この場合は、管理プログラム15でアクセス要求が中断され破棄されるので、次のようなメッセージが表示手段に送信される(ステップ44)。

0106

ユーザ端末2の表示手段には、アクセス要求を破棄した旨のメッセージ、アクセス要求を拒否したメッセージ、アクセス要求に指定した電子データ16にアクセスできない旨のメッセージ、アクセス要求に指定した電子データ16が存在しない旨のメッセージ、及び、アクセス要求に指定した電子データ16にアクセスできる権限がない旨のメッセージの内1以上の適当なメッセージが表示される。

0107

管理プログラム15は、アクセス要求が中断し破棄した後、アクセス要求を出したアプリケーションプログラム又はプロセスを、停止又は終了又は強制終了させる(ステップ45)。また、管理プログラム15は、更に細かく追跡するために、アクセス要求を出しアプリケーションプログラム又はプロセスを隔離してその動作ログを取得する。これらの情報をもとに、管理者、又は予め用意された手順で、確認作業をし、全ての確認作業が成功した場合は、管理プログラム15は、停止又は一時停止していた各機能を再開させる(ステップ46)。

0108

無論、管理者は、ユーザ端末2を直接操作して、アプリケーションプログラム又はプロセスを終了させる等の処理を行うことで解決することができる。この一連の処理が終了すると、サーバ4の管理プログラム15は、次の要求を待機する(ステップ47)。このように、管理プログラム15は、電子データ16へのアクセス要求を受信したとき、電子データ管理データベース17を参照して、電子データ16を確認すると共に、アクセス要求を承認するか否か、電子データ16へアクセス権限があるか否かを判定している。

0109

また、同時に、管理プログラム15は、アクセス要求を出したアプリケーションプログラムとプロセスを特定し、確認している。このようにユーザ端末2の状態を把握するので、ハッキングや成り済まし等の不正行為に対して、効果がある。許可されたアプリケーションプログラム、プロセス、ユーザ、ユーザ端末のみからのアクセス要求を許可するので、未知の方法で不正行為をしても、それに応じることはない。

0110

解決できない状況になっても、管理者の最終判断を待ち、かつ、その間は、ユーザ端末2とLAN5のネットワーク機能、電子データ16の複製機能等が停止、一時停止、又は中断されているので、電子データ16の漏洩、流出を抑えることができる。このような制御は、重要度が高い電子データ16の場合、セキュリティ上非常に有効である。管理プログラム15は、他のアプリケーションプログラムから送信された通知を受信する。

0111

ドライバウェア50は、特定のアプリケーションプログラムの出力を監視し、通知を受信し、通知が所定の条件を満たすと、ユーザ端末2のネットワーク機能を停止、一時停止、遮断する制御を行う。例えば、コンピュータウィルス、マルウェアを監視しているアンチウィルスソフトウェア、マルウェア検知ソフトウェア等のセキュリティソフトウェアから、ユーザ端末2がコンピュータウィルスやマルウェア等に感染した通知をドライバウェア50が受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。

0112

本発明は、電子データの緊密な管理が必要な分野に利用すると良い。特に、高度なデータ管理が要求される分野、例えば、印刷業界、保険会社、販売店金融機関原子力関連施設、個人データを扱う端末等の分野に利用されると良い。

0113

1…電子データ管理システム
2…ユーザ端末
3…管理端末
4…サーバ
5…LAN
6…補助記憶装置
7…複合機
8…無線ルータ
9…ゲートウェイ
10…タブレット端末
15…管理プログラム
16…電子データ
17…電子データ管理データベース
20…インターネット
21…オペレーティングシステム
22…アプリケーションプログラム
23…アプリケーションプラットフォームプラグラム
33…ユーザモード
34…カーネルモード
43…インターフェース制御部
44…ネットワーク制御部
45…ファイルシステム制御部
50…ドライバウェア
51…アプリケーションプログラムインターフェース部
52…制御部
53…ログ取得部
54…暗号化部
55…復号化部
63…インターフェースドライバ
64…ネットワークドライバ
65…ファイルシステムドライバ

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ