JP2002304318A - コンピュータシステムおよびその使用制御方法 - Google Patents
コンピュータシステムおよびその使用制御方法Info
- Publication number
- JP2002304318A JP2002304318A JP2001108716A JP2001108716A JP2002304318A JP 2002304318 A JP2002304318 A JP 2002304318A JP 2001108716 A JP2001108716 A JP 2001108716A JP 2001108716 A JP2001108716 A JP 2001108716A JP 2002304318 A JP2002304318 A JP 2002304318A
- Authority
- JP
- Japan
- Prior art keywords
- execution
- computer system
- user
- request
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
【課題】不正使用を防ぎ、本来の処理を効率よく行なう
コンピュータシステムを提供する。 【解決手段】OSとアプリケーションの間の通信を監査
証跡処理ソフトウエアにより全て管理する。たとえば、
アプリケーションの実行は、予め管理者により登録され
たアプリケーションのみ可能とする。また、使用者ごと
にアクセス可能なドライブも予め設定して管理する。ド
ライブの表示すら禁止した時には、その使用者からはそ
のドライブの存在自体が確認できない状態となる。これ
により、ゲームや、私的メールの送受信というような、
パーソナルコンピュータの日常的に行なわれている不正
使用を防ぐことができる。管理者は、ICカードを保持
し、これにより認証を受けて、種々の設定を行なう。
コンピュータシステムを提供する。 【解決手段】OSとアプリケーションの間の通信を監査
証跡処理ソフトウエアにより全て管理する。たとえば、
アプリケーションの実行は、予め管理者により登録され
たアプリケーションのみ可能とする。また、使用者ごと
にアクセス可能なドライブも予め設定して管理する。ド
ライブの表示すら禁止した時には、その使用者からはそ
のドライブの存在自体が確認できない状態となる。これ
により、ゲームや、私的メールの送受信というような、
パーソナルコンピュータの日常的に行なわれている不正
使用を防ぐことができる。管理者は、ICカードを保持
し、これにより認証を受けて、種々の設定を行なう。
Description
【0001】
【発明の属する技術分野】本発明は、汎用のコンピュー
タシステムにおいて、コンピュータリソースを、たとえ
ば業務などの所望の目的のために適切に使用することが
できるコンピュータシステムおよびその使用制御方法に
関する。
タシステムにおいて、コンピュータリソースを、たとえ
ば業務などの所望の目的のために適切に使用することが
できるコンピュータシステムおよびその使用制御方法に
関する。
【0002】
【従来の技術】コンピュータ技術の進展および通信ネッ
トワークの普及などにより、種々の業務のコンピュータ
処理化およびネットワーク化(オンライン化)が進んで
いる。これは、単に情報処理に係わる業務に限られず、
生産管理や受発注、さらには資材の調達などと言った業
務を含む、ほとんど全ての業務に及んでいる。そのよう
なコンピュータシステムを用いて業務を適切かつ効率よ
く行なうためには、業務の処理システムが不正使用され
たり、あるいはコンピュータリソース本来の目的以外の
他用途に流用されたりするなどの事態が発生しないよう
に、システムの管理を適正に行なう必要がある。特に、
近年主流となっている構成であって、標準的なパーソナ
ルコンピュータが端末装置として使用されインターネッ
トなどの汎用のネットワークにより各端末装置が接続さ
れた構成のシステムにおいては、そのような事態が生じ
る可能性が高いと言うことができ、より厳格な管理を行
なうことが望ましい。
トワークの普及などにより、種々の業務のコンピュータ
処理化およびネットワーク化(オンライン化)が進んで
いる。これは、単に情報処理に係わる業務に限られず、
生産管理や受発注、さらには資材の調達などと言った業
務を含む、ほとんど全ての業務に及んでいる。そのよう
なコンピュータシステムを用いて業務を適切かつ効率よ
く行なうためには、業務の処理システムが不正使用され
たり、あるいはコンピュータリソース本来の目的以外の
他用途に流用されたりするなどの事態が発生しないよう
に、システムの管理を適正に行なう必要がある。特に、
近年主流となっている構成であって、標準的なパーソナ
ルコンピュータが端末装置として使用されインターネッ
トなどの汎用のネットワークにより各端末装置が接続さ
れた構成のシステムにおいては、そのような事態が生じ
る可能性が高いと言うことができ、より厳格な管理を行
なうことが望ましい。
【0003】従来、そのようなコンピュータシステムを
管理する方法としては、IDおよびパスワードにより使
用者を限定し、端末装置へのアクセスを直接コントロー
ルする方法が主である。また必要に応じて、使用者ある
いは使用者の権限に応じて、特定のファイルへのアクセ
スや、特定のプログラム、処理の実行を限定するなどの
方法も採られている。さらに、操作履歴やプログラムの
実行履歴をログファイルとして収集しておき、これをチ
ェックすることにより使用実態を管理する方法が採られ
ている場合もある。
管理する方法としては、IDおよびパスワードにより使
用者を限定し、端末装置へのアクセスを直接コントロー
ルする方法が主である。また必要に応じて、使用者ある
いは使用者の権限に応じて、特定のファイルへのアクセ
スや、特定のプログラム、処理の実行を限定するなどの
方法も採られている。さらに、操作履歴やプログラムの
実行履歴をログファイルとして収集しておき、これをチ
ェックすることにより使用実態を管理する方法が採られ
ている場合もある。
【0004】
【発明が解決しようとする課題】しかしながら、前述し
た従来の方法では十分ではなく、より厳格にコンピュー
タシステムの使用をコントロールしたいという要望があ
る。たとえば、本来コンピュータを業務目的で使用する
権限のある作業者が、たとえばそのコンピュータを用い
てゲームを行なったり私用メールの送受信を行なうな
ど、コンピュータリソースを私用に使用する場合があ
る。このような使用は、一見被害が少なく認められてよ
いように見えるが、本来の処理の実行が遅くなったり、
必要なデータを消去したりウィルスに感染する可能性が
高まるなどの被害が実際に生じるものであり、重大な不
正使用である。しかしながら、これまではこのような不
正使用を厳格に制限したり、効果的に抑止したりするこ
とができなかった。
た従来の方法では十分ではなく、より厳格にコンピュー
タシステムの使用をコントロールしたいという要望があ
る。たとえば、本来コンピュータを業務目的で使用する
権限のある作業者が、たとえばそのコンピュータを用い
てゲームを行なったり私用メールの送受信を行なうな
ど、コンピュータリソースを私用に使用する場合があ
る。このような使用は、一見被害が少なく認められてよ
いように見えるが、本来の処理の実行が遅くなったり、
必要なデータを消去したりウィルスに感染する可能性が
高まるなどの被害が実際に生じるものであり、重大な不
正使用である。しかしながら、これまではこのような不
正使用を厳格に制限したり、効果的に抑止したりするこ
とができなかった。
【0005】このような使用者は、コンピュータをアク
セスする権限を適正に有する者であるから、端末装置た
るパーソナルコンピュータへのアクセスコントロールの
みでは、その不正使用を制限することができない。ま
た、従来のOSなどに用意されている管理手段を用い
て、より権限の強い管理者がその使用者に対してファイ
ルのダウンロードやあらゆるファイルの実行を制限する
ような設定を行なうとすれば、その設定は実質的にその
使用者にコンピュータの使用を禁止する設定に等しいも
のとなり、その使用者が本来行なうべき業務の遂行にも
支障が出る可能性が高い。すなわち、従来の方法では、
特定の処理、ファイルへのアクセスを使用者ごとに制限
することはできても、その使用者が新しく読み込んだゲ
ームやソフトウエアに基づく処理を全て制限することは
難しい。さらに、使用状態やアクセスファイルを記録し
たログファイルは、ある程度の権限を有する使用者であ
れば容易に更新、すなわち改ざんすることができ、前述
したような不正使用を抑止するという効果が十分ではな
かった。
セスする権限を適正に有する者であるから、端末装置た
るパーソナルコンピュータへのアクセスコントロールの
みでは、その不正使用を制限することができない。ま
た、従来のOSなどに用意されている管理手段を用い
て、より権限の強い管理者がその使用者に対してファイ
ルのダウンロードやあらゆるファイルの実行を制限する
ような設定を行なうとすれば、その設定は実質的にその
使用者にコンピュータの使用を禁止する設定に等しいも
のとなり、その使用者が本来行なうべき業務の遂行にも
支障が出る可能性が高い。すなわち、従来の方法では、
特定の処理、ファイルへのアクセスを使用者ごとに制限
することはできても、その使用者が新しく読み込んだゲ
ームやソフトウエアに基づく処理を全て制限することは
難しい。さらに、使用状態やアクセスファイルを記録し
たログファイルは、ある程度の権限を有する使用者であ
れば容易に更新、すなわち改ざんすることができ、前述
したような不正使用を抑止するという効果が十分ではな
かった。
【0006】したがって本発明の目的は、適正な処理以
外の処理は実行できないようにすることにより不正使用
を防ぐことのできるコンピュータシステムを提供するこ
とにある。また本発明の他の目的は、適正な処理以外の
処理は実行できないようにするようなコンピュータシス
テムの使用制御方法を提供することにある。
外の処理は実行できないようにすることにより不正使用
を防ぐことのできるコンピュータシステムを提供するこ
とにある。また本発明の他の目的は、適正な処理以外の
処理は実行できないようにするようなコンピュータシス
テムの使用制御方法を提供することにある。
【0007】
【課題を解決するための手段】前記課題を解決するため
に本発明に関わるコンピュータシステムは、要求に基づ
いて、ファイルの中から実行を許可するファイルを登録
する実行許可ファイル登録手段と、任意の処理の実行が
要求された場合に、当該処理の実行に係わるファイルが
前記実行許可ファイル登録手段に登録されているか否か
を検査し、登録されていた場合にのみ前記処理を実質的
に実行する実行制御手段とを有する。
に本発明に関わるコンピュータシステムは、要求に基づ
いて、ファイルの中から実行を許可するファイルを登録
する実行許可ファイル登録手段と、任意の処理の実行が
要求された場合に、当該処理の実行に係わるファイルが
前記実行許可ファイル登録手段に登録されているか否か
を検査し、登録されていた場合にのみ前記処理を実質的
に実行する実行制御手段とを有する。
【0008】好適には、ユーザごとあるいはユーザグル
ープごとに、使用を許可または禁止する外部記憶装置お
よび周辺装置を設定するアクセス許可設定手段と、任意
の外部記憶装置および周辺装置の使用が要求された場
合、当該装置の使用が前記アクセス許可設定手段におい
て当該要求の元のユーザに対して許可されているか否か
を検査し、許可されていた場合にのみ前記使用を実質的
に実行するアクセス制御手段とをさらに有し、前記実行
制御手段は、前記処理の実行に伴う前記外部記憶装置お
よび周辺装置の使用が前記アクセス制御手段において許
可されなかった場合には、前記処理の実行を中止する。
また好適には、前記アクセス制御手段は、前記設定によ
り使用が禁止された装置は、当該ユーザの操作に対し
て、当該装置の存在自体が検索できない状態とする。
ープごとに、使用を許可または禁止する外部記憶装置お
よび周辺装置を設定するアクセス許可設定手段と、任意
の外部記憶装置および周辺装置の使用が要求された場
合、当該装置の使用が前記アクセス許可設定手段におい
て当該要求の元のユーザに対して許可されているか否か
を検査し、許可されていた場合にのみ前記使用を実質的
に実行するアクセス制御手段とをさらに有し、前記実行
制御手段は、前記処理の実行に伴う前記外部記憶装置お
よび周辺装置の使用が前記アクセス制御手段において許
可されなかった場合には、前記処理の実行を中止する。
また好適には、前記アクセス制御手段は、前記設定によ
り使用が禁止された装置は、当該ユーザの操作に対し
て、当該装置の存在自体が検索できない状態とする。
【0009】さらに好適には、少なくとも前記任意の処
理の実行の要求および当該要求に対する処理の実行また
は不実行の状態をログ情報として記憶するログ情報取得
手段と、特定の権限者からの要求に対してのみ、前記ロ
グ情報を公開するログ情報アクセス処理手段とをさらに
有する。また好適には、装着されたICカードを用いて
所定の処理を行ない、当該ICカードの所有者が前記特
定の権限者か否かを認証するICカード処理手段をさら
に有し、前記ログ情報アクセス処理手段は、前記ICカ
ード処理手段において適正に認証された前記権限者に対
してのみ、前記ログ情報を公開する。
理の実行の要求および当該要求に対する処理の実行また
は不実行の状態をログ情報として記憶するログ情報取得
手段と、特定の権限者からの要求に対してのみ、前記ロ
グ情報を公開するログ情報アクセス処理手段とをさらに
有する。また好適には、装着されたICカードを用いて
所定の処理を行ない、当該ICカードの所有者が前記特
定の権限者か否かを認証するICカード処理手段をさら
に有し、前記ログ情報アクセス処理手段は、前記ICカ
ード処理手段において適正に認証された前記権限者に対
してのみ、前記ログ情報を公開する。
【0010】また、本発明に係わるコンピュータシステ
ムの使用制御方法は、要求に基づいて、処理対象のファ
イルの中から実行を許可するファイルを登録し、任意の
処理の実行が要求された場合、当該処理の実行に係わる
ファイルが前記登録されているか否かを検査し、前記検
査の結果、前記処理の実行に係わるファイルが前記登録
されていた場合に、前記処理を実質的に実行する。
ムの使用制御方法は、要求に基づいて、処理対象のファ
イルの中から実行を許可するファイルを登録し、任意の
処理の実行が要求された場合、当該処理の実行に係わる
ファイルが前記登録されているか否かを検査し、前記検
査の結果、前記処理の実行に係わるファイルが前記登録
されていた場合に、前記処理を実質的に実行する。
【0011】
【発明の実施の形態】本発明の一実施の形態について、
図1〜図13を参照して説明する。本実施の形態におい
ては、複数のコンピュータがネットワークを介して接続
された形態のコンピュータシステムにおいて1つのノー
ド装置を構成するパーソナルコンピュータシステムを例
示し、本発明を説明する。
図1〜図13を参照して説明する。本実施の形態におい
ては、複数のコンピュータがネットワークを介して接続
された形態のコンピュータシステムにおいて1つのノー
ド装置を構成するパーソナルコンピュータシステムを例
示し、本発明を説明する。
【0012】まず、そのパーソナルコンピュータシステ
ムのハードウェア構成について図1を参照して説明す
る。図1は、本実施の形態のパーソナルコンピュータシ
ステム1のハードウェア構成を示すブロック図である。
パーソナルコンピュータシステム1は、パーソナルコン
ピュータ本体10、キーボード15、ディスプレイ16
およびICカードリーダ/ライタ17を有する。
ムのハードウェア構成について図1を参照して説明す
る。図1は、本実施の形態のパーソナルコンピュータシ
ステム1のハードウェア構成を示すブロック図である。
パーソナルコンピュータシステム1は、パーソナルコン
ピュータ本体10、キーボード15、ディスプレイ16
およびICカードリーダ/ライタ17を有する。
【0013】パーソナルコンピュータ本体10は、搭載
されたソフトウエアに基づいて所望の処理を行なう。図
示のごとく、パーソナルコンピュータ本体10は、CP
U部11、ハードディスク装置(HDD)12、フロッ
ピィーディスク装置(FDD)13およびコンパクトデ
ィスク装置(CDD)14を有する。CPU部11は、
CPU、RAM、ROM、種々のインターフェイス部な
どがバスを介して接続され、実際に所望の処理を行なう
処理部である。このCPU部11に所望のソフトウエア
が搭載され、パーソナルコンピュータシステム1全体が
所望の処理を行なうように、種々の処理が行なわれる。
HDD12、FDD13およびCDD14は、各々、ハ
ード磁気ディスク、フロッピー(登録商標)ディスク、
コンパクトディスクを記録媒体とする外部記録装置であ
り、CPU部11からの制御により各々所望のデータが
記録される。
されたソフトウエアに基づいて所望の処理を行なう。図
示のごとく、パーソナルコンピュータ本体10は、CP
U部11、ハードディスク装置(HDD)12、フロッ
ピィーディスク装置(FDD)13およびコンパクトデ
ィスク装置(CDD)14を有する。CPU部11は、
CPU、RAM、ROM、種々のインターフェイス部な
どがバスを介して接続され、実際に所望の処理を行なう
処理部である。このCPU部11に所望のソフトウエア
が搭載され、パーソナルコンピュータシステム1全体が
所望の処理を行なうように、種々の処理が行なわれる。
HDD12、FDD13およびCDD14は、各々、ハ
ード磁気ディスク、フロッピー(登録商標)ディスク、
コンパクトディスクを記録媒体とする外部記録装置であ
り、CPU部11からの制御により各々所望のデータが
記録される。
【0014】キーボード15は、パーソナルコンピュー
タシステム1の使用者が所望の処理、操作あるいはデー
タの入力などを行なうための入力手段である。ディスプ
レイ16は、パーソナルコンピュータシステム1の使用
者に対して所望の情報を表示するためのモニタである。
ICカードリーダ/ライタ17は、ICカード18を用
いてパーソナルコンピュータシステム1の使用者の認証
を行なうための、そのICカード18に対してデータを
送受信するための装置である。このように、パーソナル
コンピュータ本体10は、ハードウェア的には通常の一
般的なパーソナルコンピュータにより構成されている。
タシステム1の使用者が所望の処理、操作あるいはデー
タの入力などを行なうための入力手段である。ディスプ
レイ16は、パーソナルコンピュータシステム1の使用
者に対して所望の情報を表示するためのモニタである。
ICカードリーダ/ライタ17は、ICカード18を用
いてパーソナルコンピュータシステム1の使用者の認証
を行なうための、そのICカード18に対してデータを
送受信するための装置である。このように、パーソナル
コンピュータ本体10は、ハードウェア的には通常の一
般的なパーソナルコンピュータにより構成されている。
【0015】次に、このようなハードウェア構成のパー
ソナルコンピュータシステム1に搭載されるソフトウエ
アの構成について図2を参照して説明する。図2は、パ
ーソナルコンピュータシステム1に搭載されるソフトウ
エアの構造を説明するための図である。図2に示すよう
にパーソナルコンピュータシステム1においては、ハー
ドウェアを直接制御するソフトウエアとしてOS21が
搭載され、また、業務に係わる処理などの所望の処理を
実際に実行するアプリケーションソフトウエア(AP)
23が、通常の通り最上位のソフトウエアとして搭載さ
れる。そして、このOS21とアプリケーションソフト
ウエア23の間に、本発明に係わる監査証跡処理部22
が搭載される。
ソナルコンピュータシステム1に搭載されるソフトウエ
アの構成について図2を参照して説明する。図2は、パ
ーソナルコンピュータシステム1に搭載されるソフトウ
エアの構造を説明するための図である。図2に示すよう
にパーソナルコンピュータシステム1においては、ハー
ドウェアを直接制御するソフトウエアとしてOS21が
搭載され、また、業務に係わる処理などの所望の処理を
実際に実行するアプリケーションソフトウエア(AP)
23が、通常の通り最上位のソフトウエアとして搭載さ
れる。そして、このOS21とアプリケーションソフト
ウエア23の間に、本発明に係わる監査証跡処理部22
が搭載される。
【0016】これにより監査証跡処理部22は、OS2
1の機能に加えてさらに所望の形態でアプリケーション
ソフトウエア23を管理する。すなわち、全てのアプリ
ケーションソフトウエア23からの要求をフィルタリン
グしてOS21に伝達することにより、アプリケーショ
ンソフトウエア23の実行を制御する。また、各アプリ
ケーションソフトウエア23の状態を所望の状態に管理
することにより、コンピュータリソースの使用状態など
を適切な状態に管理する。
1の機能に加えてさらに所望の形態でアプリケーション
ソフトウエア23を管理する。すなわち、全てのアプリ
ケーションソフトウエア23からの要求をフィルタリン
グしてOS21に伝達することにより、アプリケーショ
ンソフトウエア23の実行を制御する。また、各アプリ
ケーションソフトウエア23の状態を所望の状態に管理
することにより、コンピュータリソースの使用状態など
を適切な状態に管理する。
【0017】以下、この監査証跡処理部22によりパー
ソナルコンピュータシステム1上で実現される、パーソ
ナルコンピュータシステム1上でのアプリケーションソ
フトウエア23の実行を管理するための機能について図
3〜図13を参照して説明する。図3は、その監査証跡
処理部22により実現される機能を説明するための図で
ある。換言すれば、パーソナルコンピュータシステム1
のアプリケーションソフトウエア23を管理する仕組み
の構成を示すブロック図である。以下このような観点か
ら説明する。
ソナルコンピュータシステム1上で実現される、パーソ
ナルコンピュータシステム1上でのアプリケーションソ
フトウエア23の実行を管理するための機能について図
3〜図13を参照して説明する。図3は、その監査証跡
処理部22により実現される機能を説明するための図で
ある。換言すれば、パーソナルコンピュータシステム1
のアプリケーションソフトウエア23を管理する仕組み
の構成を示すブロック図である。以下このような観点か
ら説明する。
【0018】図3に示すように、パーソナルコンピュー
タシステム1は、ICカード処理部31、ログ情報取得
部32、ログ情報アクセス処理部33、実行許可ファイ
ル登録部34、実行制御部35、ドライブアクセス許可
設定部36およびドライブアクセス制御部37を有す
る。
タシステム1は、ICカード処理部31、ログ情報取得
部32、ログ情報アクセス処理部33、実行許可ファイ
ル登録部34、実行制御部35、ドライブアクセス許可
設定部36およびドライブアクセス制御部37を有す
る。
【0019】ICカード処理部31は、ICカードリー
ダ/ライタ17に装着された使用者のICカード18と
所望の通信を行ない、そのICカード18の所有者たる
使用者の認証を行なう。特に、本発明に係わる処理とし
てICカード処理部31は、その使用者がパーソナルコ
ンピュータシステム1を管理する管理者か否かを認証す
る。そして、使用者が管理者であった場合には、その旨
が後述するログ情報アクセス処理部33、実行許可ファ
イル登録部34およびドライブアクセス許可設定部36
などに通知され、その使用者によるパーソナルコンピュ
ータシステム1に対する種々の特権的設定が可能とな
る。なお、ICカード処理部31における認証の方法
は、標準的な任意の方法でよい。たとえば、使用者の入
力するパスワードとICカード18に記録されているパ
スワードを照合して使用者がICカード18の適正な所
有者か否かを検出し、適正な所有者であれば、その所有
者のIDとパーソナルコンピュータシステム1に設定さ
れている管理者のIDと比較することなどにより行なえ
る。
ダ/ライタ17に装着された使用者のICカード18と
所望の通信を行ない、そのICカード18の所有者たる
使用者の認証を行なう。特に、本発明に係わる処理とし
てICカード処理部31は、その使用者がパーソナルコ
ンピュータシステム1を管理する管理者か否かを認証す
る。そして、使用者が管理者であった場合には、その旨
が後述するログ情報アクセス処理部33、実行許可ファ
イル登録部34およびドライブアクセス許可設定部36
などに通知され、その使用者によるパーソナルコンピュ
ータシステム1に対する種々の特権的設定が可能とな
る。なお、ICカード処理部31における認証の方法
は、標準的な任意の方法でよい。たとえば、使用者の入
力するパスワードとICカード18に記録されているパ
スワードを照合して使用者がICカード18の適正な所
有者か否かを検出し、適正な所有者であれば、その所有
者のIDとパーソナルコンピュータシステム1に設定さ
れている管理者のIDと比較することなどにより行なえ
る。
【0020】ログ情報取得部32は、パーソナルコンピ
ュータシステム1に対して行なわれるあらゆる処理の履
歴を習得して、ログ情報として記憶する。ログ情報取得
部32は、パーソナルコンピュータシステム1のCPU
部11のCPU(以後、これを単にパーソナルコンピュ
ータと言う。)で生じるあらゆるプロセスに係わる情
報、キーボード15などを介した使用者の操作履歴を示
す情報、HDD12、FDD13およびCDD14など
の各外部記憶装置に対するアクセス履歴を示す情報、お
よび、ICカードリーダ/ライタ17における操作およ
びICカードリーダ/ライタ17に装着されたICカー
ド18に対する認証処理の履歴など、あらゆる処理、操
作の履歴をログ情報として取得し記録する。たとえば、
使用者が、図4に示すようにパーソナルコンピュータシ
ステム1上で稼働するワードプロセッサソフトウエアに
対して文字を入力したとすると、これらの操作の全てが
ログ情報として記憶される。
ュータシステム1に対して行なわれるあらゆる処理の履
歴を習得して、ログ情報として記憶する。ログ情報取得
部32は、パーソナルコンピュータシステム1のCPU
部11のCPU(以後、これを単にパーソナルコンピュ
ータと言う。)で生じるあらゆるプロセスに係わる情
報、キーボード15などを介した使用者の操作履歴を示
す情報、HDD12、FDD13およびCDD14など
の各外部記憶装置に対するアクセス履歴を示す情報、お
よび、ICカードリーダ/ライタ17における操作およ
びICカードリーダ/ライタ17に装着されたICカー
ド18に対する認証処理の履歴など、あらゆる処理、操
作の履歴をログ情報として取得し記録する。たとえば、
使用者が、図4に示すようにパーソナルコンピュータシ
ステム1上で稼働するワードプロセッサソフトウエアに
対して文字を入力したとすると、これらの操作の全てが
ログ情報として記憶される。
【0021】ログ情報アクセス処理部33は、ログ情報
取得部32により記憶されたログ情報を表示する。ログ
情報取得部32により記憶されたログ情報は、特定の権
限を有するパーソナルコンピュータシステム1の管理者
のみに閲覧が許される。そのためログ情報アクセス処理
部33は、ログ情報の閲覧要求があった場合に、ICカ
ード処理部31において、現在のパーソナルコンピュー
タシステム1の使用者が管理者であることが認証されて
いるか否かをチェックする。そして、使用者が管理者で
ない場合には、一切の閲覧要求には応えず、また記録し
たログ情報に対するファイル操作も拒絶する。
取得部32により記憶されたログ情報を表示する。ログ
情報取得部32により記憶されたログ情報は、特定の権
限を有するパーソナルコンピュータシステム1の管理者
のみに閲覧が許される。そのためログ情報アクセス処理
部33は、ログ情報の閲覧要求があった場合に、ICカ
ード処理部31において、現在のパーソナルコンピュー
タシステム1の使用者が管理者であることが認証されて
いるか否かをチェックする。そして、使用者が管理者で
ない場合には、一切の閲覧要求には応えず、また記録し
たログ情報に対するファイル操作も拒絶する。
【0022】ログ情報の閲覧を要求するものが管理者で
あった場合には、ログ情報取得部32は要求される任意
のログ情報を読み出し、所定の形式で表示する。たとえ
ば、ワードプロセッサ使用中の使用者の操作は、そのワ
ードプロセッサの実行形式ファイルに対する操作ログと
して記憶されており、この閲覧が要求された場合には、
ログ情報アクセス処理部33は、たとえば図5に示すよ
うな形態で、使用者の全てのキーボード15に対する全
ての操作を表示する。すなわち、使用者が図4に示した
ようなワードプロセッサ入力を行なった場合、図5に示
すように各入力操作に対するログが記録される。
あった場合には、ログ情報取得部32は要求される任意
のログ情報を読み出し、所定の形式で表示する。たとえ
ば、ワードプロセッサ使用中の使用者の操作は、そのワ
ードプロセッサの実行形式ファイルに対する操作ログと
して記憶されており、この閲覧が要求された場合には、
ログ情報アクセス処理部33は、たとえば図5に示すよ
うな形態で、使用者の全てのキーボード15に対する全
ての操作を表示する。すなわち、使用者が図4に示した
ようなワードプロセッサ入力を行なった場合、図5に示
すように各入力操作に対するログが記録される。
【0023】その他ログ情報アクセス処理部33は、管
理者がたとえば各ターミナル、プロセスなどの実行状態
のログの閲覧を要求した場合には、図6に示すような表
示を行なう。すなわち、各プロセスに対しては実行時間
を、各エントリに対してはログイン日時、PC名(ター
ミナル名)、Macアドレスなどが表示される。また、
管理者が各ドライブ、周辺装置などのアクセス状態のロ
グの閲覧を要求した場合には、ログ情報アクセス処理部
33は、たとえば図7に示すような表示を行なう。すな
わち、時間、アクセス種類、ドライブ名などを表示す
る。
理者がたとえば各ターミナル、プロセスなどの実行状態
のログの閲覧を要求した場合には、図6に示すような表
示を行なう。すなわち、各プロセスに対しては実行時間
を、各エントリに対してはログイン日時、PC名(ター
ミナル名)、Macアドレスなどが表示される。また、
管理者が各ドライブ、周辺装置などのアクセス状態のロ
グの閲覧を要求した場合には、ログ情報アクセス処理部
33は、たとえば図7に示すような表示を行なう。すな
わち、時間、アクセス種類、ドライブ名などを表示す
る。
【0024】実行許可ファイル登録部34は、パーソナ
ルコンピュータシステム1上で実行を許可するアプリケ
ーションソフトウエア23を登録する。実行許可ファイ
ル登録部34は、管理者より要求があった場合には、O
S21により管理されている全てのファイルをアクセス
し、実行ファイルを探索する。そして、たとえば図8に
示すようなウィンドウをディスプレイ16に表示し、探
索した実行ファイルより実行を許可するファイルを選択
するように管理者に要求する。管理者は、このウィンド
ウを介して、所望の実行ファイルを選択し、実行を許可
する旨の設定を行なう。設定された各実行ファイルに対
する実行の許可あるいは禁止を示す情報は、所望の記録
媒体に記録される。なお、実行許可ファイル登録部34
は、探索した各ファイルは基本的に実行不可能なファイ
ルとして管理する。そして、管理者により実行許可の設
定がなされた時のみ、そのファイルを実行可能な状態と
する。
ルコンピュータシステム1上で実行を許可するアプリケ
ーションソフトウエア23を登録する。実行許可ファイ
ル登録部34は、管理者より要求があった場合には、O
S21により管理されている全てのファイルをアクセス
し、実行ファイルを探索する。そして、たとえば図8に
示すようなウィンドウをディスプレイ16に表示し、探
索した実行ファイルより実行を許可するファイルを選択
するように管理者に要求する。管理者は、このウィンド
ウを介して、所望の実行ファイルを選択し、実行を許可
する旨の設定を行なう。設定された各実行ファイルに対
する実行の許可あるいは禁止を示す情報は、所望の記録
媒体に記録される。なお、実行許可ファイル登録部34
は、探索した各ファイルは基本的に実行不可能なファイ
ルとして管理する。そして、管理者により実行許可の設
定がなされた時のみ、そのファイルを実行可能な状態と
する。
【0025】実行制御部35は、パーソナルコンピュー
タシステム1の使用者から所望のアプリケーションソフ
トウエア23の実行が要求された場合、実行許可ファイ
ル登録部34により設定され記録された実行制御情報を
参照して、その実行を制御する。すなわち、実行制御部
35は、そのアプリケーションソフトウエア23の実行
が許可されている場合には直ちに実行する。また、実行
が禁止されている場合には、たとえば図9に示すような
メッセージを表示してその実行を制限する。なお、この
ような要求されたソフトウエアの実行を拒否するような
処理が行なわれた場合には、プロセスの状態を記録する
ログには、図10に示すように、実行を抑制した旨の情
報が記録される。
タシステム1の使用者から所望のアプリケーションソフ
トウエア23の実行が要求された場合、実行許可ファイ
ル登録部34により設定され記録された実行制御情報を
参照して、その実行を制御する。すなわち、実行制御部
35は、そのアプリケーションソフトウエア23の実行
が許可されている場合には直ちに実行する。また、実行
が禁止されている場合には、たとえば図9に示すような
メッセージを表示してその実行を制限する。なお、この
ような要求されたソフトウエアの実行を拒否するような
処理が行なわれた場合には、プロセスの状態を記録する
ログには、図10に示すように、実行を抑制した旨の情
報が記録される。
【0026】ドライブアクセス許可設定部36は、パー
ソナルコンピュータシステム1の利用者ごとに、使用可
能な外部記憶装置およびI/O装置(以後、簡単にドラ
イブと言う。)を設定する。ドライブアクセス許可設定
部36は、管理者より要求があった場合には、OS21
により管理されているハードウェア構成をチェックし、
制御対象のドライブを探索する。そして、たとえば図1
1に示すようなウィンドウをディスプレイ16に表示
し、アクセスを許可するドライブを選択するように管理
者に要求する。この時ドライブアクセス許可設定部36
は、アクセスを禁止する場合、単にアクセスを禁止する
のみならず、そのドライブの存在自体を使用者に知らせ
ないように、その表示すらを禁止する設定も受け付け
る。管理者は、このウィンドウを介して、各ドライブの
状態を所望の状態とする設定を行なう。その結果、設定
された各ドライブに対する実行の許可あるいは禁止を示
すドライブアクセス許可情報は、所望の記録媒体に記録
される。
ソナルコンピュータシステム1の利用者ごとに、使用可
能な外部記憶装置およびI/O装置(以後、簡単にドラ
イブと言う。)を設定する。ドライブアクセス許可設定
部36は、管理者より要求があった場合には、OS21
により管理されているハードウェア構成をチェックし、
制御対象のドライブを探索する。そして、たとえば図1
1に示すようなウィンドウをディスプレイ16に表示
し、アクセスを許可するドライブを選択するように管理
者に要求する。この時ドライブアクセス許可設定部36
は、アクセスを禁止する場合、単にアクセスを禁止する
のみならず、そのドライブの存在自体を使用者に知らせ
ないように、その表示すらを禁止する設定も受け付け
る。管理者は、このウィンドウを介して、各ドライブの
状態を所望の状態とする設定を行なう。その結果、設定
された各ドライブに対する実行の許可あるいは禁止を示
すドライブアクセス許可情報は、所望の記録媒体に記録
される。
【0027】ドライブアクセス制御部37は、パーソナ
ルコンピュータシステム1の使用者や、実行中のアプリ
ケーションソフトウエア23より、特定のドライブのア
クセス要求がなされた場合、ドライブアクセス許可設定
部36により設定され記録されたドライブアクセス許可
情報を参照して、アクセスの実行を制御する。すなわ
ち、ドライブアクセス制御部37は、そのドライブのア
クセスが許可されている場合には直ちにアクセスを許可
する。また、アクセスが禁止されている場合には、その
旨のメッセージを表示してアクセスを禁止する。なお、
アクセスを禁止された場合の各アプリケーションソフト
ウエア23の動作は、各アプリケーションソフトウエア
23の記述に従う。
ルコンピュータシステム1の使用者や、実行中のアプリ
ケーションソフトウエア23より、特定のドライブのア
クセス要求がなされた場合、ドライブアクセス許可設定
部36により設定され記録されたドライブアクセス許可
情報を参照して、アクセスの実行を制御する。すなわ
ち、ドライブアクセス制御部37は、そのドライブのア
クセスが許可されている場合には直ちにアクセスを許可
する。また、アクセスが禁止されている場合には、その
旨のメッセージを表示してアクセスを禁止する。なお、
アクセスを禁止された場合の各アプリケーションソフト
ウエア23の動作は、各アプリケーションソフトウエア
23の記述に従う。
【0028】具体的には、たとえばあるアプリケーショ
ンソフトウエア23が、CDD14に記録されている動
画像データをアクセスしようとしたが、CDD14のア
クセスがその使用者に対して許可されていなかった場
合、ドライブアクセス制御部37は図12に示すような
メッセージを表示する。なお、このような場合、ドライ
ブアクセス制御部37は、場合によっては、同じく図1
2に示すような、全く無意味な画像データをダミーデー
タとしてアプリケーションソフトウエア23に返すよう
にしてもよい。また、設定によりFDD13やCDD1
4に対して、その表示自体を禁止されている場合には、
たとえばOS21の機能によりドライブやフォルダ(デ
ィレクトリ)を表示させた場合においても、図13に示
すように、FDD13やCDD14は表示されない。す
なわち、その存在自体を利用者に知られないようにする
ことができる。
ンソフトウエア23が、CDD14に記録されている動
画像データをアクセスしようとしたが、CDD14のア
クセスがその使用者に対して許可されていなかった場
合、ドライブアクセス制御部37は図12に示すような
メッセージを表示する。なお、このような場合、ドライ
ブアクセス制御部37は、場合によっては、同じく図1
2に示すような、全く無意味な画像データをダミーデー
タとしてアプリケーションソフトウエア23に返すよう
にしてもよい。また、設定によりFDD13やCDD1
4に対して、その表示自体を禁止されている場合には、
たとえばOS21の機能によりドライブやフォルダ(デ
ィレクトリ)を表示させた場合においても、図13に示
すように、FDD13やCDD14は表示されない。す
なわち、その存在自体を利用者に知られないようにする
ことができる。
【0029】最後に、このような構成のパーソナルコン
ピュータシステム1の動作についてまとめて説明する。
まず、パーソナルコンピュータシステム1には、通常の
パーソナルコンピュータと同様に、種々のアプリケーシ
ョンソフトウエア23が搭載されるが、これらは実行制
御部35の機能により基本的に実行禁止の状態で搭載さ
れる。このような状態で、パーソナルコンピュータシス
テム1の管理者は、実行許可ファイル登録部34による
図8に示すような画面を介して、実行を許可するアプリ
ケーションソフトウエア23のみを順次設定してゆく。
また、管理者は、ドライブアクセス許可設定部36によ
る図11に示すような画面を介して、各利用者ごとにア
クセスを許可するドライブ、あるいは、禁止するドライ
ブを設定しておく。
ピュータシステム1の動作についてまとめて説明する。
まず、パーソナルコンピュータシステム1には、通常の
パーソナルコンピュータと同様に、種々のアプリケーシ
ョンソフトウエア23が搭載されるが、これらは実行制
御部35の機能により基本的に実行禁止の状態で搭載さ
れる。このような状態で、パーソナルコンピュータシス
テム1の管理者は、実行許可ファイル登録部34による
図8に示すような画面を介して、実行を許可するアプリ
ケーションソフトウエア23のみを順次設定してゆく。
また、管理者は、ドライブアクセス許可設定部36によ
る図11に示すような画面を介して、各利用者ごとにア
クセスを許可するドライブ、あるいは、禁止するドライ
ブを設定しておく。
【0030】このような状態にしておけば、たとえばあ
る使用者が許可されていないアプリケーションソフトウ
エア23を実行させようとすると、図9に示すようなメ
ッセージが表示され、その実行は阻止される。また、ア
プリケーションソフトウエア23の実行中に、アクセス
が許可されていないドライブを使用しようとした時に
は、たとえばウィンドウは図12に示すような状態とな
り、その実行は阻止される。さらに、その表示すら禁止
されているドライブは、図13に示すように、そのフォ
ルダを確認しようとしても表示すらされない状態とな
る。
る使用者が許可されていないアプリケーションソフトウ
エア23を実行させようとすると、図9に示すようなメ
ッセージが表示され、その実行は阻止される。また、ア
プリケーションソフトウエア23の実行中に、アクセス
が許可されていないドライブを使用しようとした時に
は、たとえばウィンドウは図12に示すような状態とな
り、その実行は阻止される。さらに、その表示すら禁止
されているドライブは、図13に示すように、そのフォ
ルダを確認しようとしても表示すらされない状態とな
る。
【0031】そして、このような利用者の種々の操作、
処理は、ログ情報取得部32により全て記録され、管理
者により閲覧される。これにより管理者は、たとえば、
ログインの状態や各プロセスや各ターミナルの稼働状態
などは図6に示すような状態で、禁止されているアプリ
ケーションソフトウエア23を実行した状態は図7に示
すような状態で、さらには図4に示すようなワードプロ
セッサなどによるキー操作の履歴は図5に示すような状
態で、各々チェックすることができる。したがって、た
とえばパーソナルコンピュータシステム1の不正使用や
データの不正アクセスなどの何らかの問題が起きた時に
は、管理者はログ情報アクセス処理部33の機能により
これらのログ情報をチェックすることにより、その不正
使用を行なった利用者、アプリケーションソフトウエア
23を特定することができる。
処理は、ログ情報取得部32により全て記録され、管理
者により閲覧される。これにより管理者は、たとえば、
ログインの状態や各プロセスや各ターミナルの稼働状態
などは図6に示すような状態で、禁止されているアプリ
ケーションソフトウエア23を実行した状態は図7に示
すような状態で、さらには図4に示すようなワードプロ
セッサなどによるキー操作の履歴は図5に示すような状
態で、各々チェックすることができる。したがって、た
とえばパーソナルコンピュータシステム1の不正使用や
データの不正アクセスなどの何らかの問題が起きた時に
は、管理者はログ情報アクセス処理部33の機能により
これらのログ情報をチェックすることにより、その不正
使用を行なった利用者、アプリケーションソフトウエア
23を特定することができる。
【0032】なお、これらの特権的操作、すなわち、ロ
グ情報アクセス処理部33を介したログ情報の閲覧、実
行許可ファイル登録部34を介したアプリケーションソ
フトウエア23の実行許可、禁止の設定、および、ドラ
イブアクセス許可設定部36を介した各ドライブに対す
るアクセスおよび表示の許可、禁止の設定などは、いず
れもICカード処理部31を介して、ICカード18を
用いて認証された管理者のみにより行なえる。すなわ
ち、一般の使用者は、これらの機能を実行することはで
きない。その結果、前述した各処理が適正に運用され
る。
グ情報アクセス処理部33を介したログ情報の閲覧、実
行許可ファイル登録部34を介したアプリケーションソ
フトウエア23の実行許可、禁止の設定、および、ドラ
イブアクセス許可設定部36を介した各ドライブに対す
るアクセスおよび表示の許可、禁止の設定などは、いず
れもICカード処理部31を介して、ICカード18を
用いて認証された管理者のみにより行なえる。すなわ
ち、一般の使用者は、これらの機能を実行することはで
きない。その結果、前述した各処理が適正に運用され
る。
【0033】このように、本実施の形態のパーソナルコ
ンピュータシステム1においては、汎用のパーソナルコ
ンピュータ上において、アプリケーションソフトウエア
23の実行、ドライブなどのコンピュータリソースの使
用などが厳密に管理される。その結果、コンピュータリ
ソースをたとえばゲームや私的な処理に使用するような
不正使用を防止することができ、コンピュータリソース
を業務などの本来の目的のために適切に運用することが
できる。そして、パーソナルコンピュータシステム1が
このような機能を有することで、使用者が不正な使用を
試みることを基本的に抑止することができ、効果がより
上がる。
ンピュータシステム1においては、汎用のパーソナルコ
ンピュータ上において、アプリケーションソフトウエア
23の実行、ドライブなどのコンピュータリソースの使
用などが厳密に管理される。その結果、コンピュータリ
ソースをたとえばゲームや私的な処理に使用するような
不正使用を防止することができ、コンピュータリソース
を業務などの本来の目的のために適切に運用することが
できる。そして、パーソナルコンピュータシステム1が
このような機能を有することで、使用者が不正な使用を
試みることを基本的に抑止することができ、効果がより
上がる。
【0034】また、このようなパーソナルコンピュータ
システム1を管理する権利者は、ICカード18を用い
てその認証処理を行なうため、使用者が管理者になりす
ますなどの不正を防ぐことができ、より適正にシステム
が運用される。
システム1を管理する権利者は、ICカード18を用い
てその認証処理を行なうため、使用者が管理者になりす
ますなどの不正を防ぐことができ、より適正にシステム
が運用される。
【0035】なお、本発明は本実施の形態に限られるも
のではなく、種々の改変が可能である。たとえば、監査
証跡処理部22のソフトウエアとしての構成は、本実施
の形態においては、図2に示したように、OS21とア
プリケーションソフトウエア23の間に位置するものと
した。しかしながら、たとえば図14に示すように、O
S内の機能として構成するようにしてもよい。このよう
にすれば、ソフトウエアの構成としては単純となり、ま
たOS21との適合性がより好ましい状態となる。ただ
し、既存のOS21に対して本発明を適用する場合に
は、図2に示したような構成のソフトウエアを搭載する
のが好ましい。
のではなく、種々の改変が可能である。たとえば、監査
証跡処理部22のソフトウエアとしての構成は、本実施
の形態においては、図2に示したように、OS21とア
プリケーションソフトウエア23の間に位置するものと
した。しかしながら、たとえば図14に示すように、O
S内の機能として構成するようにしてもよい。このよう
にすれば、ソフトウエアの構成としては単純となり、ま
たOS21との適合性がより好ましい状態となる。ただ
し、既存のOS21に対して本発明を適用する場合に
は、図2に示したような構成のソフトウエアを搭載する
のが好ましい。
【0036】
【発明の効果】このように、本発明によれば、適正な処
理以外の処理は実行できないようにすることにより不正
使用を防ぐことのできるコンピュータシステムを提供す
ることができる。また、適正な処理以外の処理は実行で
きないようにするようなコンピュータシステムの使用制
御方法を提供することができる。
理以外の処理は実行できないようにすることにより不正
使用を防ぐことのできるコンピュータシステムを提供す
ることができる。また、適正な処理以外の処理は実行で
きないようにするようなコンピュータシステムの使用制
御方法を提供することができる。
【図1】図1は、本発明の一実施の形態のパーソナルコ
ンピュータシステムの構成を示すブロック図である。
ンピュータシステムの構成を示すブロック図である。
【図2】図2は、図1に示したパーソナルコンピュータ
システムに搭載されるソフトウエアの構成を説明するた
めの図である。
システムに搭載されるソフトウエアの構成を説明するた
めの図である。
【図3】図3は、図2に示したソフトウエアの本発明に
係わる監査証跡処理部の構成を示すブロック図である。
係わる監査証跡処理部の構成を示すブロック図である。
【図4】図4は、図1に示したパーソナルコンピュータ
システムにおいてワードプロセッサにより入力を行なっ
ている状態を示す図である。
システムにおいてワードプロセッサにより入力を行なっ
ている状態を示す図である。
【図5】図5は、図4に示したワードプロセッサによる
入力に対するログ情報を説明するための図である。
入力に対するログ情報を説明するための図である。
【図6】図6は、図1に示したパーソナルコンピュータ
システムにおけるプロセスの稼働状態を示すログ情報を
説明するための図である。
システムにおけるプロセスの稼働状態を示すログ情報を
説明するための図である。
【図7】図7は、図1に示したパーソナルコンピュータ
システムにおける、アクセスファイルの状態を示すログ
情報を説明するための図である。
システムにおける、アクセスファイルの状態を示すログ
情報を説明するための図である。
【図8】図8は、図3に示した実行許可ファイル登録部
によりアプリケーションソフトウエアの実行の許可ある
いは禁止を設定する処理を説明するための図である。
によりアプリケーションソフトウエアの実行の許可ある
いは禁止を設定する処理を説明するための図である。
【図9】図9は、図3に示した実行制御部により、アプ
リケーションソフトウエアの実行が禁止された時に表示
されるメッセージを示す図である。
リケーションソフトウエアの実行が禁止された時に表示
されるメッセージを示す図である。
【図10】図10は、図3に示した実行制御部により、
アプリケーションソフトウエアの実行が禁止された時の
ログ情報を説明するための図である。
アプリケーションソフトウエアの実行が禁止された時の
ログ情報を説明するための図である。
【図11】図11は、図3に示したドライブアクセス許
可設定部によりドライブのアクセスの許可あるいは禁止
を設定する処理を説明するための図である。
可設定部によりドライブのアクセスの許可あるいは禁止
を設定する処理を説明するための図である。
【図12】図12は、図3に示したドライブアクセス制
御部により、ドライブのアクセスが禁止された時に表示
されるメッセージを示す図である。
御部により、ドライブのアクセスが禁止された時に表示
されるメッセージを示す図である。
【図13】図13は、図3に示したドライブアクセス制
御部により、ドライブの表示が禁止された時に表示され
るフォルダ情報を示す図である。
御部により、ドライブの表示が禁止された時に表示され
るフォルダ情報を示す図である。
【図14】図14は、図1に示したパーソナルコンピュ
ータシステムに搭載されるソフトウエアの他の構成を説
明するための図である。
ータシステムに搭載されるソフトウエアの他の構成を説
明するための図である。
1…パーソナルコンピュータシステム 10…パーソナルコンピュータ本体 11…CPU部 12…HDD 13…FDD 14…CDD 15…キーボード 16…ディスプレイ 17…ICカードリーダ/ライタ 21…OS 22…監査証跡処理部 31…ICカード処理部 32…ログ情報取得部 33…ログ情報アクセス処理部 34…実行許可ファイル登録部 35…実行制御部 36…ドライブアクセス許可設定部 37…ドライブアクセス制御部 23…アプリケーションソフトウエア 18…ICカード
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06K 17/00 G06F 9/06 660E 5B085 660H Fターム(参考) 5B017 AA07 BA06 BB10 CA15 5B042 GA12 MC40 5B058 CA27 KA02 KA04 KA33 YA13 5B076 FB05 FB10 FD08 5B082 EA11 GA13 5B085 AC14 AE12
Claims (10)
- 【請求項1】要求に基づいて、ファイルの中から実行を
許可するファイルを登録する実行許可ファイル登録手段
と、 任意の処理の実行が要求された場合に、当該処理の実行
に係わるファイルが前記実行許可ファイル登録手段に登
録されているか否かを検査し、登録されていた場合にの
み前記処理を実質的に実行する実行制御手段とを有する
コンピュータシステム。 - 【請求項2】ユーザごとあるいはユーザグループごと
に、使用を許可または禁止する外部記憶装置および周辺
装置を設定するアクセス許可設定手段と、 任意の外部記憶装置および周辺装置の使用が要求された
場合、当該装置の使用が前記アクセス許可設定手段にお
いて当該要求の元のユーザに対して許可されているか否
かを検査し、許可されていた場合にのみ前記使用を実質
的に実行するアクセス制御手段とをさらに有し、 前記実行制御手段は、前記処理の実行に伴う前記外部記
憶装置および周辺装置の使用が前記アクセス制御手段に
おいて許可されなかった場合には、前記処理の実行を中
止する請求項1に記載のコンピュータシステム。 - 【請求項3】前記アクセス制御手段は、前記設定により
使用が禁止された装置は、当該ユーザの操作に対して、
当該装置の存在自体が検索できない状態とする請求項2
に記載のコンピュータシステム。 - 【請求項4】少なくとも前記任意の処理の実行の要求お
よび当該要求に対する処理の実行または不実行の状態を
ログ情報として記憶するログ情報取得手段と、 特定の権限者からの要求に対してのみ、前記ログ情報を
公開するログ情報アクセス処理手段とをさらに有する請
求項1〜3に記載のコンピュータシステム。 - 【請求項5】装着されたICカードを用いて所定の処理
を行ない、当該ICカードの所有者が前記特定の権限者
か否かを認証するICカード処理手段をさらに有し、 前記ログ情報アクセス処理手段は、前記ICカード処理
手段において適正に認証された前記権限者に対しての
み、前記ログ情報を公開する請求項4に記載のコンピュ
ータシステム。 - 【請求項6】要求に基づいて、処理対象のファイルの中
から実行を許可するファイルを登録し、 任意の処理の実行が要求された場合、当該処理の実行に
係わるファイルが前記登録されているか否かを検査し、 前記検査の結果、前記処理の実行に係わるファイルが前
記登録されていた場合に、前記処理を実質的に実行する
コンピュータシステムの使用制御方法。 - 【請求項7】ユーザごとあるいはグループごとに、使用
を許可または禁止する外部記憶装置および周辺装置を設
定しておき、 ユーザから前記任意の処理の実行が要求された場合、当
該処理の実行に関わる前記装置の使用が当該ユーザに対
して許可されているか否かを検査し、 前記検査の結果、前記処理の実行に係わる前記装置の使
用が当該ユーザに対して許可されていた場合に、前記処
理を実質的に実行する請求項6に記載のコンピュータシ
ステムの使用制御方法。 - 【請求項8】前記設定により使用が禁止された装置は、
当該ユーザの操作に対して、当該装置の存在自体が検索
できない状態とする請求項7に記載のコンピュータシス
テムの使用制御方法。 - 【請求項9】前記任意の処理の実行の要求および当該要
求に対する処理の実行または不実行の状態をログとして
記憶し、 特定の権限者からの要求に対して、前記ログを公開する
請求項6〜8に記載のコンピュータシステムの使用制御
方法。 - 【請求項10】装着されたICカードを用いて所定の処
理を行ない、当該ICカードの所有者が前記特定の権限
者か否かを認証し、 前記ICカードの所有者が前記特定の権限者であった場
合に、当該権限者からの要求に対して前記ログの公開を
行なう請求項9に記載のコンピュータシステムの使用制
御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001108716A JP4752125B2 (ja) | 2001-04-06 | 2001-04-06 | コンピュータシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001108716A JP4752125B2 (ja) | 2001-04-06 | 2001-04-06 | コンピュータシステム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008164017A Division JP2008276797A (ja) | 2008-06-24 | 2008-06-24 | コンピュータシステムおよびその使用制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002304318A true JP2002304318A (ja) | 2002-10-18 |
| JP4752125B2 JP4752125B2 (ja) | 2011-08-17 |
Family
ID=18960802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001108716A Expired - Fee Related JP4752125B2 (ja) | 2001-04-06 | 2001-04-06 | コンピュータシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4752125B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005050436A1 (ja) * | 2003-11-20 | 2005-06-02 | Dai Nippon Printing Co., Ltd. | 情報処理装置、情報処理システム及びプログラム |
| JP2005316709A (ja) * | 2004-04-28 | 2005-11-10 | Sharp Corp | 記録再生装置及びコンテンツ管理方法 |
| JP2006164092A (ja) * | 2004-12-10 | 2006-06-22 | Hitachi Ltd | 表示システム及び通信情報設定方法 |
| JP2009501386A (ja) * | 2005-07-12 | 2009-01-15 | ヴィジブル メジャーズ,インク. | 動的なアプリケーションの利用情報の分散取得および集約 |
| JP2016218984A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62285161A (ja) * | 1986-06-04 | 1987-12-11 | Hitachi Ltd | デ−タ保護方式 |
| JPS63317861A (ja) * | 1987-06-22 | 1988-12-26 | Hitachi Ltd | 記憶装置 |
| JPH01106245A (ja) * | 1987-10-20 | 1989-04-24 | Nec Corp | ボリュームマップ表示方式 |
| JPH04280317A (ja) * | 1991-03-08 | 1992-10-06 | Matsushita Electric Ind Co Ltd | ファイル管理装置 |
| JPH0736768A (ja) * | 1993-07-15 | 1995-02-07 | Matsushita Electric Ind Co Ltd | 電子ファイル装置 |
| JPH0793241A (ja) * | 1993-09-24 | 1995-04-07 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH0844630A (ja) * | 1994-08-03 | 1996-02-16 | Nri & Ncc Co Ltd | ファイルアクセス制御装置およびその制御方法 |
| JPH10312323A (ja) * | 1997-05-12 | 1998-11-24 | Nippon Telegr & Teleph Corp <Ntt> | ログ情報の統計処理装置 |
| JPH1173373A (ja) * | 1997-08-29 | 1999-03-16 | Casio Comput Co Ltd | データ処理装置及びデータセキュリティ制御プログラムを記録した記録媒体 |
| JPH11161536A (ja) * | 1997-11-26 | 1999-06-18 | Nec Inf Service Ltd | 利用者制限装置およびその方法 |
| JP2000099234A (ja) * | 1998-09-24 | 2000-04-07 | Canon Inc | 画像検索装置及びその方法、コンピュータ可読メモリ |
| JP2000227870A (ja) * | 1998-12-23 | 2000-08-15 | Internatl Business Mach Corp <Ibm> | 電子デ―タ・ファイルを検索するシステムおよびその維持方法 |
| JP2000267998A (ja) * | 1999-03-16 | 2000-09-29 | Fuji Xerox Co Ltd | サービス一覧表示装置 |
| JP2001056761A (ja) * | 1999-08-19 | 2001-02-27 | Hitachi Ltd | カードを用いたセキュリティ管理システム |
-
2001
- 2001-04-06 JP JP2001108716A patent/JP4752125B2/ja not_active Expired - Fee Related
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62285161A (ja) * | 1986-06-04 | 1987-12-11 | Hitachi Ltd | デ−タ保護方式 |
| JPS63317861A (ja) * | 1987-06-22 | 1988-12-26 | Hitachi Ltd | 記憶装置 |
| JPH01106245A (ja) * | 1987-10-20 | 1989-04-24 | Nec Corp | ボリュームマップ表示方式 |
| JPH04280317A (ja) * | 1991-03-08 | 1992-10-06 | Matsushita Electric Ind Co Ltd | ファイル管理装置 |
| JPH0736768A (ja) * | 1993-07-15 | 1995-02-07 | Matsushita Electric Ind Co Ltd | 電子ファイル装置 |
| JPH0793241A (ja) * | 1993-09-24 | 1995-04-07 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH0844630A (ja) * | 1994-08-03 | 1996-02-16 | Nri & Ncc Co Ltd | ファイルアクセス制御装置およびその制御方法 |
| JPH10312323A (ja) * | 1997-05-12 | 1998-11-24 | Nippon Telegr & Teleph Corp <Ntt> | ログ情報の統計処理装置 |
| JPH1173373A (ja) * | 1997-08-29 | 1999-03-16 | Casio Comput Co Ltd | データ処理装置及びデータセキュリティ制御プログラムを記録した記録媒体 |
| JPH11161536A (ja) * | 1997-11-26 | 1999-06-18 | Nec Inf Service Ltd | 利用者制限装置およびその方法 |
| JP2000099234A (ja) * | 1998-09-24 | 2000-04-07 | Canon Inc | 画像検索装置及びその方法、コンピュータ可読メモリ |
| JP2000227870A (ja) * | 1998-12-23 | 2000-08-15 | Internatl Business Mach Corp <Ibm> | 電子デ―タ・ファイルを検索するシステムおよびその維持方法 |
| JP2000267998A (ja) * | 1999-03-16 | 2000-09-29 | Fuji Xerox Co Ltd | サービス一覧表示装置 |
| JP2001056761A (ja) * | 1999-08-19 | 2001-02-27 | Hitachi Ltd | カードを用いたセキュリティ管理システム |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005050436A1 (ja) * | 2003-11-20 | 2005-06-02 | Dai Nippon Printing Co., Ltd. | 情報処理装置、情報処理システム及びプログラム |
| US7810074B2 (en) | 2003-11-20 | 2010-10-05 | Dai Nippon Printing Co., Ltd. | Information processing device, information processing system, and program |
| JP2005316709A (ja) * | 2004-04-28 | 2005-11-10 | Sharp Corp | 記録再生装置及びコンテンツ管理方法 |
| JP2006164092A (ja) * | 2004-12-10 | 2006-06-22 | Hitachi Ltd | 表示システム及び通信情報設定方法 |
| JP4548107B2 (ja) * | 2004-12-10 | 2010-09-22 | 株式会社日立製作所 | 表示システム及び通信情報設定方法 |
| JP2009501386A (ja) * | 2005-07-12 | 2009-01-15 | ヴィジブル メジャーズ,インク. | 動的なアプリケーションの利用情報の分散取得および集約 |
| JP2016218984A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4752125B2 (ja) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5992457B2 (ja) | オペレーティングシステムのコンフィグレーション値の保護 | |
| US8015417B2 (en) | Remote access system, gateway, client device, program, and storage medium | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| JP4982825B2 (ja) | コンピュータおよび共有パスワードの管理方法 | |
| JP4781692B2 (ja) | クライアントのi/oアクセスを制限する方法、プログラム、システム | |
| US7246374B1 (en) | Enhancing computer system security via multiple user desktops | |
| US7975288B2 (en) | Method and apparatus for imposing quorum-based access control in a computer system | |
| US9336369B2 (en) | Methods of licensing software programs and protecting them from unauthorized use | |
| US10979450B2 (en) | Method and system for blocking phishing or ransomware attack | |
| JP2008171389A (ja) | ドメイン・ログオンの方法、およびコンピュータ | |
| US8245054B2 (en) | Secure and convenient access control for storage devices supporting passwords for individual partitions | |
| CN112805708A (zh) | 保护计算机***上的选定磁盘 | |
| US20090193504A1 (en) | Device Controller, System, and Method for Authenticated Printing | |
| CN115329351A (zh) | 一种面向Windows***的文件保护***及方法 | |
| US7150041B2 (en) | Disk management interface | |
| JP2002304231A (ja) | コンピュータシステム | |
| JP4830576B2 (ja) | 情報処理装置、データ管理方法、プログラム | |
| JP4752125B2 (ja) | コンピュータシステム | |
| KR101056423B1 (ko) | 로그인된 계정권한 제어를 이용한 프로그램 실행관리 방법 및 기록매체 | |
| JP4769241B2 (ja) | アクセス権限制御システム | |
| CN115396140A (zh) | 应用访问控制方法、装置、存储介质及计算机设备 | |
| US20060206930A1 (en) | Method and system for rendering single sign on | |
| KR20030090568A (ko) | 단말기 내의 자원 보호 시스템 및 방법 | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| JP2022094009A (ja) | 認証装置、認証方法及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080327 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110408 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110426 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110509 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4752125 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |