JP2006127127A - 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム - Google Patents

機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム Download PDF

Info

Publication number
JP2006127127A
JP2006127127A JP2004314070A JP2004314070A JP2006127127A JP 2006127127 A JP2006127127 A JP 2006127127A JP 2004314070 A JP2004314070 A JP 2004314070A JP 2004314070 A JP2004314070 A JP 2004314070A JP 2006127127 A JP2006127127 A JP 2006127127A
Authority
JP
Japan
Prior art keywords
file
confidential
folder
application
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004314070A
Other languages
English (en)
Other versions
JP4501156B2 (ja
JP2006127127A5 (ja
Inventor
Masahiro Hosokawa
正広 細川
Kazuo Yanoo
一男 矢野尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004314070A priority Critical patent/JP4501156B2/ja
Priority to TW094137168A priority patent/TWI291629B/zh
Priority to US11/257,124 priority patent/US7673138B2/en
Priority to CNB2005101180572A priority patent/CN100570601C/zh
Publication of JP2006127127A publication Critical patent/JP2006127127A/ja
Publication of JP2006127127A5 publication Critical patent/JP2006127127A5/ja
Application granted granted Critical
Publication of JP4501156B2 publication Critical patent/JP4501156B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】既存のファイルシステムを用いて、機密レベルに応じたファイルアクセスを強制する。
【解決手段】 機能モードに応じたアクセスフォルダ切り替え方法は、アプリケーションからディスク装置へのファイルアクセス要求を受けたときに、アプリケーションが機密モードのプロセスとして動作している場合、指定されたファイルパス名を機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、これで指定される機密フォルダ内の機密ファイルに対するファイルアクセスをカーネルを介して実行させるステップ(A1:YES、A2〜A6)と、アプリケーションが通常モードのプロセスとして動作している場合、機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップ(A1:NO、A5〜A7)とを有する。
【選択図】 図2

Description

本発明は、機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステムに係り、とくに機密レベルに応じたファイルアクセス制御方式に関する。
コンピュータ上でファイル等のアクセス制御を強化する方式として、「機密」及び「通常」という機密レベルを、ファイルなどのアクセス対象(オブジェクト)と、ユーザ・プロセスなどのアクセス主体(サブジェクト)とにそれぞれ割り当てておき、サブジェクトからオブジェクトへのアクセス可否をサブジェクト及びオブジェクト双方の機密レベルの比較によって決定するアクセス制御方式が知られている。この方式は、一般に「マルチレベルセキュリティ(MLS)」と呼ばれる。
このようなMLSの考え方は、例えばセキュリティ機能を強化したOS(Operating System)として近年脚光を浴びている各種「トラステッドOS」の中で、強制アクセス制御(MAC:Mandatory Access Control)として実装されている。この強制アクセス制御下では、ユーザのプロセスは自分より機密レベルの低いファイルへの書き込みができず(このことを「NWD原則:No Write-Down Principle」と呼ぶ)、逆に自分よりも機密レベルの高いファイルを読み出すことができない(このことを「NRU原則:No Read-Up Principle」と呼ぶ)。これによって、機密レベルの高い情報が低い機密レベルしか持たないユーザに渡ることを厳格に防いでいる。なお、NWD原則の代わりに、ユーザのプロセスは自分と同じ機密レベルの書き込みしかできない、という原則が用いられることも多い。これによって、柔軟性は損なわれるが、意図しない機密レベルへの昇格を防止することができる。
このような機密レベルに応じたファイルアクセス制御の実装方式には、従来次のような二つの実装方式が知られている。
(既存技術1)
本方式は、個々のファイルに機密レベルに関する属性情報を待たせ、ファイルI/O(入出力)時にこの属性情報と現在のプロセスの機密レベルとを比較するものである。その結果、アクセスがNWD原則やNRU原則を満たさない場合、そのファイルアクセスはブロックされる。これを特別に作られた専用のファイルシステムを用いて行う。また、プロセスの機密レベルより低い機密レベルのファイルにアクセスする場合、そのファイルはプロセスと同じ機密レベルに引き上げられる。
(既存技術2)
本方式は、トラステッドOSとして製品化されているサン・マイクロシステムズ社のTrusted Solaris(製品名)で実装されているものである。これは、機密モードに応じて、マルチレベルディレクトリ(MLD)と、シングルレベルディレクトリ(SLD)という2種類の特殊ディレクトリを有している。MLDは、その直下に複数のSLDを配置できる特殊ディレクトリであり、SLDは、特定の機密レベルと1対1で対応する特殊ディレクトリである。これらの特殊ディレクトリを組み合わせることで、ユーザの機密レベルに応じてユーザから見えるディレクトリを機密レベルにあったものとしている。
なお、本発明に関連する先行技術文献としては、次のものがある。
特開2002−288030号公報 特開2004−126634号公報 特開平08−249238号公報 特開平10−312335号公報
上述したように、MLSを実現する従来技術として、ファイルに機密レベルの属性を持たせて管理するもの(既存技術1)や、ディレクトリを機密レベル毎に分けて構成するもの(既存技術2)が既に知られているが、いずれも既存のファイルシステムを拡張する方法を採用している。このため、次のような問題点があった。
第一の問題点は、一つのアプリケーション(AP)に対して通常モードと機密モードでプロセスを同時にユーザが動かして作業することが困難な点である。その理由は、既存技術1では、両方のAPが出力する一時ファイルが同じファイルの場合、機密レベルがコンフリクトするため、同時に存在することができず、APの動作に制限が生じるためである。
第二の問題点は、通常モードと機密モードで異なる設定ファイルを用いざるを得ず、動作環境のモードによる設定の違いからユーザが混乱する点である。その理由は、既存技術1では、機密モードで設定ファイルの更新をおこなった場合、ファイルは機密レベルが昇格し、通常レベルのプロセスからは参照できなくなるためである。また、既存技術2では、そもそも設定ファイルが置かれるべきディレクトリが異なるシングルレベルディレクトリに置かれることになるためである。
第三の問題点は、既存のファイルシステムと互換性がない点である。そのため、既存のファイルシステムで管理されているアクセス権管理の存在を前提に作られたアプリケーションの移植が困難であるという問題が生じる。その理由は、個々のファイルに対して属性の情報を拡張してもたせているか、独自のディレクトリの属性を持たせることでファイルシステムを拡張しているためである。
本発明は、機密レベルに応じたファイルアクセス制御方式において、一つのアプリケーションに対して通常モードと機密モードでプロセスを同時にユーザが動かして作業することを可能にすることを目的とする。
また、本発明は、動作環境のモードによる設定の違いからユーザが混乱する事態を解消することを目的とする。
さらに、本発明は、既存のファイルシステムで管理されているアクセス権管理の存在を前提に作られたアプリケーションでも動作することを可能にすることを目的とする。
上記目的を達成するため、本発明は、機密情報が扱えるプロセスと扱えないプロセスを分け、機密情報が扱えるプロセスからのみアクセス可能なフォルダを構築し、通常のプロセスに対しては機密情報ファイルを隠蔽するとともに、機密情報を扱うプロセスからは機密情報及び非機密情報の両方に透過的なアクセスを可能とするものである。例えば、任意のアプリケーションからファイルアクセス要求があった場合、そのアプリケーションが機密プロセスであれば、ファイルパス書き換え機能によりアクセスを要求されたファイルのパスを、予め決められた機密フォルダ下のファイル名に置き換え、カーネルに伝える一方、そのアプリケーションが機密ファイルを扱えない通常のプロセスであれば、機密フォルダ下へのファイルアクセスを防止するようにアクセスフォルダの切り替えを制御する。これにより、既存のファイルシステムを用いて、機密レベルに応じたファイルアクセスを強制することが可能となる。
本発明は、このような着想の元に完成されたものである。
即ち、本発明に係る機密モードに応じたアクセスフォルダ切り替え方法は、ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いるアクセスフォルダ切り替え方法であって、前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定するステップと、前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを有することを特徴とする。
また、本発明に係るプログラムは、ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いるプログラムであって、前記コンピュータに、前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定するステップと、前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを実行させることを特徴とする。
さらに、本発明に係るコンピュータシステムは、ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータシステムであって、前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定する手段と、任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定する手段と、前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断する手段と、前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段と、前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しない手段とを有することを特徴とする。
本発明によれば、既存のファイルシステムを用いて、機密レベルに応じたファイルアクセスを強制することが可能となるため、一つのアプリケーションに対して通常モードと機密モードでプロセスを同時にユーザが動かして作業することが可能となる。また、動作環境のモードによる設定の違いからユーザが混乱する事態も解消することができる。さらに、既存のファイルシステムで管理されているアクセス権管理の存在を前提に作られたアプリケーションでも、そのまま動作することが可能になる。
次に、本発明に係る機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステムを実施するための最良の形態について図面を参照して詳細に説明する。
図1は、本実施例に係るコンピュータシステムの全体構成を示す図である。
図1を参照すると、本実施例のコンピュータシステムには、ハードウェア構成上、予め設定されたソフトウェア(プログラム)1を実行することでその機能を実現させるCPU(Central Processing Unit)2と、このCPU2にバスを介して電気的に接続されるハードディスク駆動装置等のディスク装置103とが含まれる(図1中の例では、ディスク装置103以外の入出力(I/O)装置は省略している)。
ソフトウェア1には、アプリケーションプログラム(以下、単に「アプリケーション」と呼ぶ。)101と、ディスク装置103に対する各種ファイルアクセスを制御するファイルシステム102を有するカーネル10のほか、本実施例では、ファイルパス書き換え機能104及びAP(アプリケーション)起動検知機能105が含まれている。なお、アプリケーション101、ファイルシステム102を有するカーネル10については、通常のコンピュータ及びそのOSが提供するものが用いられるので、その構成及び機能の詳細は省略する。ファイルパス書き換え機能104及びAP起動検知機能105は、本発明のアクセスフォルダ切り替え方法及びプログラムの各処理ステップ並びにコンピュータシステムの各手段の主要部を成すものであり、カーネル10及びアプリケーション101と共に、CPU2により実行される制御プログラムとして実装されている。
ファイルパス書き換え機能104は、例えばダイナミックリンクライブラリ(DLL)で実装され、アプリケーション101から前記ディスク装置103に対するファイルアクセス関連のシステムコールが呼ばれた場合に呼び出されて動作可能となっている。
AP検知機能105は、アプリケーション101の起動を監視し、任意のアプリケーション101が起動された場合、ファイルアクセス時にファイルパス書き換え機能104が呼び出されるように、アプリケーション101の関数ポインタを置き換える機能を持つ。
次に、図1〜図3を参照して、本実施例の動作について詳細に説明する。
図2は、ファイルパス書き換え機能の動作を表すフローチャート、図3はディスク装置103内のディレクトリ構成を表すものである。
まず、図3に示すように、ディスク装置103内のディレクトリ構成として、機密ルートディレクトリ「sec_root」下で機密情報である機密ファイルを書き込むための機密フォルダのパスを予め定義しておく。ここで、機密ルートディレクトリ「sec_root」は、通常のルートディレクトリ「\」下に配置されている。また、機密ルートディレクトリ「sec_root」下の機密フォルダ「bin」、「doc」、「tmp」、…のディレクトリ構造は、通常のルートディレクト下の非機密情報である通常ファイルを書き込むための通常フォルダ「bin」、「doc」、「tmp」、…のディレクトリ構造と同一に設定されている。
次いで、アプリケーション101を起動させる時に、利用者は、そのプロセスを、機密情報を扱える機密モードのプロセスとして起動するのか、機密情報を扱えない通常プロセスのプロセスとして起動するのかの機能レベルを予め指定しておく。この機密レベルの指定は、例えば環境変数などに設定することでファイルパス書き換え機能104に渡される。
次いで、AP起動検知機能105は、任意のアプリケーション101の起動を検知し、アプリケーション101によるファイルアクセスにおけるシステムコールの関数ポインタを書き換えて、ファイルアクセス時にファイルパス書き換え機能104の対応する関数が呼び出されるようにする。
次いで、ファイルパス書き換え機能104では、アプリケーション101から渡されるプロセスの機密モードとアクセスを要求されているファイルのパス名及びアクセス要求内容に基づいて、以下の処理(図2参照)を行う。
図2において、まず、ファイルパス書き換え機能104は、プロセスが機密モードか否かを判断する(ステップA1)。その結果、機密モードであった場合(YES)は、ファイルアクセス要求が書き込み命令であるか否かを判断する(ステップA2)。
その結果、書き込み命令であった場合(YES)、ファイルパスを書き換える(ステップA4)。ここでは、フルパスで書かれたファイル名の先頭に機密ルートディレクトリである「\sec_root」を書き足すことで、「\sec_root」をルートディレクトリとして見たパスに書き換える。例えば、与えられたファイルが「\doc\file1」というパスファイル名であった場合、このファイルパス名の書き換えによって、「\sec_root\doc\file1」というパス名に置き換えられる。次いで、このパス名に対して書き込み命令を実行する(ステップA6)。
一方、上記ステップA2でファイルアクセス要求が書き込み命令以外、例えば読み込みの命令である場合(NO)は、与えられたファイルパスの先頭に「\sec_root」を足したパスにファイルが存在するか否かを確認する(ステップA3)。その結果、存在する場合は、書き込み命令と同様にファイルパス名を書き換え(ステップA4)、存在しない場合は、書き換えを行わない。次いで、このパス名に対して読み込みの命令を実行する(ステップA6)。
また、上記ステップA1において、プロセスが通常モードであった場合は、与えられたファイルパスが「\sec_root」以下にあるファイル名であるかを確認する(ステップA5)。その結果、「\sec_root」以下のファイルであった場合は、アクセス不能である旨のエラーを返し(ステップA7)、「\sec_root」以外であった場合は、通常通りのファイルアクセス命令を実行する(ステップA6)。
従って、本実施例によれば、以下の効果を得ることができる。
第一の効果は、機密モードに応じてアクセスするファイルのフォルダを切り替え、通常モードのプロセスが機密フォルダ内のファイルをアクセスしたり、機密モードのプロセスが機密フォルダ以外にファイルを書き出したりすることを防ぐことができる点である。その理由は、ファイルパスを書き換えることにより、機密プロセスが書き出すファイルは全て機密フォルダ以下に置かれるようにするためである。また、通常モードのプロセスが機密フォルダ配下のファイルへアクセスに対してはエラーリターンするためである。
第二の効果は、アプリケーションからは機密モード/通常モードで同じファイル名で透過的にファイルを参照することができる点である。その理由は、機密フォルダ配下に通常のルート以下の全てのディレクトリ構成をそのまま対応させて持てる構造になっており、またパスの書き換えをおこなうため、アプリケーションからはどちらのモードでも同じファイル名を指定してアクセスするためである。これにより、機密モード/通常モードで同じ名前の一時ファイルをアプリケーションが意識せずに異なるディレクトリに置くことができ、機密モードと通常モードのプロセスが同時に動かした場合の一時ファイルの機密レベルのコンフリクトの問題を解決することができる。
第三の効果は、機密モードのプロセスが通常ファイルを読み込み、それを書き出した場合でも、元のファイルは通常ファイルのまま残るため、別の通常モードのアプリケーションからアクセス可能なことである。
第四の効果は、既存のファイルシステムを変更しないことである。その理由は、機密モードによるアクセス制御をカーネル内のファイルシステムの拡張によっておこなうのではなく、より上位でファイルパスを書き換えることで実現しているため、ファイルシステムは既存のものが使えるためである。
なお、本実施例では、通常モードでは機密フォルダへの読み込みも書き込みも禁止しているが、前述したNWD原則を厳密に適用して、機密フォルダへの書き込みを許可するように構成することも可能である。
また、本実施例では、機密モードのアプリケーション101が出力するファイルは全て機密フォルダ内に出力されることとしたが、アプリケーション101毎に個別に通常フォルダへ出力可能な例外ファイルのリストをファイルパス書き換え機能104に持たせるように構成してもよい。この場合、例外ファイルリストの例外ファイルとして、アプリケーション固有の設定ファイル(機密情報は含まない)のパスを書いておくことで、機密モードのプロセスにおいて、ユーザが設定変更をおこなった場合でも、この設定ファイルの機密レベルを昇格させることなく、通常のファイルパスのフォルダに書き込むことができ、通常モードと機密モードによって共通の設定ファイルを使い続けることができるようになる。
図4は、本実施例のコンピュータシステムの全体構成を示す図である。
上記実施例1では、ファイルパス書き換え機能104(図1)によって機密モードでのファイル入出力を透過的に機密ルートディレクトリ「sec_root」に置き換えているが、本実施例では、図4に示すように、環境変数書き換え機能106とファイルアクセス強制機能107によってファイルパス書き換え機能104と類似の機能を実現するものである。その他の構成は上記実施例1と同様であるため、その説明を省略する。
AP検知機能105は、アプリケーション101の起動を監視し、任意のアプリケーション101が起動された場合、環境変数書き換え機能106とファイルアクセス強制機能107が呼び出されるように、アプリケーションの関数ポインタを置き換える機能を持つ。
環境変数書き換え機能106は、例えばダイナミックリンクライブラリ(DLL)として実装され、アプリケーション101が環境変数やレジストリなど、プログラムの動作環境を取得するシステムコールの呼び出す際に、呼び出される。
この環境変数書き換え機能106は、プロセスが機密モードで動作している場合、テンポラリディレクトリを指定する環境変数や、キャッシュフォルダを指定するレジストリの値が、「\sec_root」以下にあるかのように書き換える。例えば、テンポラリディレクトリを指定する環境変数TEMPが「\tmp」と設定されている場合、機密モードではこれが「\sec_root\tmp」と設定されているかのように書き換えられる。
ファイルアクセス強制機能107は、例えばダイナミックリンクライブラリで実装され、アプリケーション101がファイル操作のシステムコールの呼び出す際に、呼び出される。このファイルアクセス強制機能107は、アプリケーション101毎に個別に通常フォルダへ出力可能な例外ファイルリスト(前述参照)を保持している。
次に、図5を参照して、ファイルアクセス強制機能107の動作について説明する。
まず、プロセスが機密モードか判断し(ステップB1)、機密モードであった場合(YES)は、続いてファイルアクセス要求が書き込み命令であるかを判断する(ステップB2)。その結果、書き込み命令であった場合(YES)は、指定パスが機密フォルダ配下のものか否か、即ち与えられたファイルパスが「\sec_root」以下にあるファイル名であるかを確認し(ステップB3)、「\sec_root」以下のファイルである、即ち機密フォルダ配下のものである場合(YES)は、書き込みを許可する。また、「\sec_root」以下のファイルでない、即ち機密フォルダ配下のものでない場合(NO)は、例外ファイルかどうかを調べ(ステップB4)、例外ファイルであれば(YES)、そのアクセスを許可し、そうでなければ(NO)、アクセス不能である旨のエラーを返す(ステップB7)。
また、上記ステップB1にてプロセスが機密モードでない、即ち通常モードであった場合(NO)は、指定パスが機密フォルダ配下の機密ファイルを指しているか否か、即ち与えられたファイルパスが「\sec_root」以下にあるファイル名であるかを確認する(ステップB5)。その結果、「\sec_root」以下のファイル名であった場合(YES)は、アクセス不能である旨のエラーを返し(ステップB7)、「\sec_root」以外のファイル名であった場合(NO)は、通常通りのファイルアクセス命令を実行する(ステップB6)。
このように本実施例では、機密ファイルは「\sec_root」配下にしか保存できないため、上記実施例1と比べると柔軟性は損なわれるが、機密モードと通常モードとで異なるファイルが同一のファイルに見えることはなくなるので、一般のユーザにも動作がより一層理解しやすいものになる。また、環境変数書き換え機能106によって、アプリケーション101が一時的に書き込むファイルは機密フォルダ配下に書き込まれるようにすることで、機密モードで動作するアプリケーション101が通常ファイルに書き出そうとして、ブロックされ、誤動作することが防止される。
なお、本実施例では、通常モードでは機密フォルダへの読み込みも書き込みも禁止しているが、前述したNWD原則を厳密に適用して、機密フォルダへの書き込みを許可するように構成することも可能である。
本発明は、一般のコンピュータからの機密情報漏えいを防止するプログラムといった用途にも適用できる。
本発明の実施例1のコンピュータシステムの全体構成を示す図である。 図1に示すファイルパス書き換え機能の動作を説明するフローチャートである。 ディスク装置内のディレクトリ構成を説明する図である。 本発明の実施例2のコンピュータシステムの全体構成を示す図である。 図4に示すファイルアクセス強制機能の動作を説明するフローチャートである。
符号の説明
1 ソフトウェア
2 CPU
10 カーネル
101 アプリケーションプログラム
102 ファイルシステム
103 ディスク装置
104 ファイルパス書き換え機能
105 AP起動検知機能
106 環境変数書き換え機能
107 ファイルアクセス強制機能

Claims (18)

  1. ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いるアクセスフォルダ切り替え方法であって、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定するステップと、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを有することを特徴とする機密モードに応じたアクセスフォルダ切り替え方法。
  2. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換えるステップを有することを請求項1記載の機密モードに応じたアクセスフォルダ切り替え方法。
  3. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記ファイルアクセス要求が書き込み命令であるか否かを判断するステップと、
    前記ファイルアクセス要求が書き込み命令である場合、前記機密フォルダ内の機密ファイルに対する書き込みを前記カーネルを介して実行させるステップと、
    前記ファイルアクセス要求が書き込み命令でない場合、指定されたファイルパス名の先頭側に前記機密ルートディレクトリ名を書き足したファイルパス名に対応するファイルが存在するか否かを判断するステップと、
    前記ファイルが存在する場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対する書き込み以外のファイルアクセスを前記カーネルを介して実行させるステップと、
    前記ファイルが存在しない場合、指定されたファイルパス名に対応する前記通常フォルダ内の通常ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項1又は2記載の機密モードに応じたアクセスフォルダ切り替え方法。
  4. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておくステップと、
    前記機密ファイルが前記例外ファイルであれば、前記リスト内の設定ファイルのパス名に基づいて、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項1から3のいずれか1項に記載の機密モードに応じたアクセスフォルダ切り替え方法。
  5. ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いる機密モードに応じたアクセスフォルダ切り替え方法であって、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードとして動作させるかの機能レベルを指定するステップと、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名が前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名であれば、前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを有することを特徴とする機密モードに応じたアクセスフォルダ切り替え方法。
  6. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合に前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておくステップと、
    指定されたファイルパス名が前記機密ルートディレクトリ下のファイルパス名でない場合、指定されたファイルパス名のファイルが前記例外ファイルに該当すれば、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項5記載の機密モードに応じたアクセスフォルダ切り替え方法。
  7. ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いるプログラムであって、
    前記コンピュータに、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定するステップと、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを実行させることを特徴とするプログラム。
  8. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換えるステップを有することを請求項7記載のプログラム。
  9. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記ファイルアクセス要求が書き込み命令であるか否かを判断するステップと、
    前記ファイルアクセス要求が書き込み命令である場合、前記機密フォルダ内の機密ファイルに対する書き込みを前記カーネルを介して実行させるステップと、
    前記ファイルアクセス要求が書き込み命令でない場合、指定されたファイルパス名の先頭側に前記機密ルートディレクトリ名を書き足したファイルパス名に対応するファイルが存在するか否かを判断するステップと、
    前記ファイルが存在する場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対する書き込み以外のファイルアクセスを前記カーネルを介して実行させるステップと、
    前記ファイルが存在しない場合、指定されたファイルパス名に対応する前記通常フォルダ内の通常ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項7又は8記載のプログラム。
  10. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておくステップと、
    前記機密ファイルが前記例外ファイルであれば、前記リスト内の設定ファイルのパス名に基づいて、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項7から9のいずれか1項に記載のプログラム。
  11. ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータで用いるプログラムであって、
    前記コンピュータに、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定するステップと、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードとして動作させるかの機能レベルを指定するステップと、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断するステップと、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名が前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名であれば、前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップと、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しないステップとを実行させることを特徴とするプログラム。
  12. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させるステップは、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合に前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておくステップと、
    指定されたファイルパス名が前記機密ルートディレクトリ下のファイルパス名でない場合、指定されたファイルパス名のファイルが前記例外ファイルに該当すれば、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させるステップとを有することを特徴とする請求項11記載のプログラム。
  13. ディスク装置のファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータシステムであって、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定する手段と、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードのプロセスとして動作させるかの機能レベルを指定する手段と、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断する手段と、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名を前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段と、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しない手段とを有することを特徴とするコンピュータシステム。
  14. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させる手段は、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換える手段を有することを請求項13記載のコンピュータシステム。
  15. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させる手段は、
    前記ファイルアクセス要求が書き込み命令であるか否かを判断する手段と、
    前記ファイルアクセス要求が書き込み命令である場合、前記機密フォルダ内の機密ファイルに対する書き込みを前記カーネルを介して実行させる手段と、
    前記ファイルアクセス要求が書き込み命令でない場合、指定されたファイルパス名の先頭側に前記機密ルートディレクトリ名を書き足したファイルパス名に対応するファイルが存在するか否かを判断する手段と、
    前記ファイルが存在する場合、指定されたファイルパス名をその先頭側に前記機密ルートディレクトリ名を書き足すことで前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名に書き換え、当該ファイルパス名で指定される前記機密フォルダ内の機密ファイルに対する書き込み以外のファイルアクセスを前記カーネルを介して実行させる手段と、
    前記ファイルが存在しない場合、指定されたファイルパス名に対応する前記通常フォルダ内の通常ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段とを有することを特徴とする請求項13又は14記載のコンピュータシステム。
  16. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させる手段は、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておく手段と、
    前記機密ファイルが前記例外ファイルであれば、前記リスト内の設定ファイルのパス名に基づいて、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段とを有することを特徴とする請求項13から15のいずれか1項に記載のコンピュータシステム。
  17. ディスク装置に対するファイルアクセスを制御するファイルシステムを有するカーネルと、該カーネル内のファイルシステムを介して前記ディスク装置に対するファイルアクセスを行うアプリケーションとを有し、前記カーネル及びアプリケーションの動作をプロセスとして実行するコンピュータシステムであって、
    前記ディスク装置内のディレクトリ構造として、通常のルートディレクトリ下に階層的に配置され且つ非機密情報から成る通常ファイルを格納する少なくとも1つの通常フォルダと、機密ルートディレクトリ下に階層的に配置され且つ機密情報から成る機密ファイルを格納する少なくとも1つの機密フォルダとを有し、前記機密ルートディレクトリを前記通常のルートディレクトリ下に配置し、前記機密ルートディレクトリ以外の機密フォルダから成るディレクトリ構造が前記通常のルートディレクトリ以外の通常フォルダから成るディレクトリ構造と同一となるように設定する手段と、
    任意のアプリケーションの起動時に、当該アプリケーションを、前記機密ファイルを扱える機能モードのプロセスとして動作させるか、或いは前記機密ファイルを扱えない通常モードとして動作させるかの機能レベルを指定する手段と、
    前記アプリケーションからファイルパス名を指定して前記ディスク装置へのファイルアクセス要求を受けたときに、前記機能レベルに基づいて、当該アプリケーションが、前記機能モードのプロセスとして動作しているか、或いは前記通常モードのプロセスとして動作しているかを判断する手段と、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合、指定されたファイルパス名が前記機密ルートディレクトリ下の機能フォルダに対するファイルパス名であれば、前記機密フォルダ内の機密ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段と、
    前記アプリケーションが前記通常モードのプロセスとして動作している場合、前記機密フォルダ内の機密ファイルに対するファイルアクセスを許可しない手段とを有することを特徴とするコンピュータシステム。
  18. 前記機密フォルダ内の機密ファイルに対するファイルアクセスを実行させる手段は、
    前記アプリケーションが前記機密モードのプロセスとして動作している場合に前記アプリケーション毎に個別に前記通常フォルダへ出力可能な例外ファイルのリストを保持し、このリストに保持される例外ファイルとして前記アプリケーション固有の設定ファイルのパス名を予め設定しておく手段と、
    指定されたファイルパス名が前記機密ルートディレクトリ下のファイルパス名でない場合、指定されたファイルパス名のファイルが前記例外ファイルに該当すれば、前記通常フォルダ内の前記例外ファイルに対応する設定ファイルに対するファイルアクセスを前記カーネルを介して実行させる手段とを有することを特徴とする請求項17記載のコンピュータシステム。
JP2004314070A 2004-10-28 2004-10-28 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム Expired - Fee Related JP4501156B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004314070A JP4501156B2 (ja) 2004-10-28 2004-10-28 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム
TW094137168A TWI291629B (en) 2004-10-28 2005-10-24 Method, system, and computer readable storage medium storing instructions for switching folder to be accessed based on confidential mode
US11/257,124 US7673138B2 (en) 2004-10-28 2005-10-25 Method, program, and computer system for switching folder to be accessed based on confidential mode
CNB2005101180572A CN100570601C (zh) 2004-10-28 2005-10-26 基于秘密模式来切换要访问的文件夹的方法及计算机***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004314070A JP4501156B2 (ja) 2004-10-28 2004-10-28 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム

Publications (3)

Publication Number Publication Date
JP2006127127A true JP2006127127A (ja) 2006-05-18
JP2006127127A5 JP2006127127A5 (ja) 2008-05-08
JP4501156B2 JP4501156B2 (ja) 2010-07-14

Family

ID=36263537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004314070A Expired - Fee Related JP4501156B2 (ja) 2004-10-28 2004-10-28 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム

Country Status (4)

Country Link
US (1) US7673138B2 (ja)
JP (1) JP4501156B2 (ja)
CN (1) CN100570601C (ja)
TW (1) TWI291629B (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009110275A1 (ja) * 2008-03-03 2009-09-11 日本電気株式会社 機密情報漏洩防止システム及び機密情報漏洩防止方法
JP2009223629A (ja) * 2008-03-17 2009-10-01 Hitachi Software Eng Co Ltd アプリケーションの実行ファイル及び構成ファイルの漏洩防止装置
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
US8276187B2 (en) 2008-10-30 2012-09-25 Nec Corporation Information processing system
JP2012212197A (ja) * 2011-03-30 2012-11-01 Fujitsu Ltd ファイル管理方法、ファイル管理装置、及びファイル管理プログラム
JP2013242860A (ja) * 2012-04-27 2013-12-05 Ge Aviation Systems Ltd コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4628149B2 (ja) * 2005-03-14 2011-02-09 株式会社エヌ・ティ・ティ・ドコモ アクセス制御装置及びアクセス制御方法
US9860274B2 (en) 2006-09-13 2018-01-02 Sophos Limited Policy management
US8637150B2 (en) * 2007-10-01 2014-01-28 E I Du Pont De Nemours And Company Multilayer acid terpolymer encapsulant layers and interlayers and laminates therefrom
US9594901B2 (en) * 2008-12-02 2017-03-14 At&T Intellectual Property I, L.P. Methods, systems, and products for secure access to file system structures
US8769373B2 (en) 2010-03-22 2014-07-01 Cleon L. Rogers, JR. Method of identifying and protecting the integrity of a set of source data
US10432642B2 (en) 2015-09-25 2019-10-01 T-Mobile Usa, Inc. Secure data corridors for data feeds
US10432641B2 (en) * 2015-09-25 2019-10-01 T-Mobile Usa, Inc. Secure data corridors
WO2017053992A1 (en) 2015-09-25 2017-03-30 T-Mobile Usa, Inc. Distributed big data security architecture
CN105590067B (zh) * 2015-12-17 2018-06-19 武汉理工大学 一种基于用户空间文件***的文件加密***
CN107103245B (zh) * 2016-02-23 2022-08-02 中兴通讯股份有限公司 文件的权限管理方法及装置
US10885211B2 (en) 2017-09-12 2021-01-05 Sophos Limited Securing interprocess communications
CN110135192A (zh) * 2019-05-13 2019-08-16 深圳市泰衡诺科技有限公司 一种相册管理方法、装置及终端
CN112383757B (zh) * 2020-11-16 2022-07-05 四川九洲空管科技有限责任公司 一种无人机综合监视数据多模式回放方法及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0232430A (ja) * 1988-07-22 1990-02-02 Hitachi Ltd ファイル管理装置
JPH02143349A (ja) * 1988-11-25 1990-06-01 Fujitsu Ltd ファイルの誤用防止処理方式
JPH0619763A (ja) * 1992-07-02 1994-01-28 Nec Corp ファイル名/ディレクトリ名拡張方式
JP2001243106A (ja) * 2000-02-28 2001-09-07 Ricoh Co Ltd 記録媒体及びそのアクセス制御方法
JP2001297522A (ja) * 2000-04-11 2001-10-26 Ricoh Co Ltd 記録媒体及びそのアクセス制御方法
JP2005531831A (ja) * 2002-05-28 2005-10-20 シンビアン リミテッド 保護されたファイルシステムを有する移動体無線デバイス

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05181734A (ja) 1991-12-28 1993-07-23 Hitachi Ltd データベースのアクセス権管理制御方式およびファイルシステムのアクセス権管理制御方式
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5590266A (en) 1994-10-11 1996-12-31 International Business Machines Corporation Integrity mechanism for data transfer in a windowing system
JPH08249238A (ja) 1995-03-08 1996-09-27 Sanyo Electric Co Ltd 着脱可能な記憶メディアの機密保持方法
US5845280A (en) * 1995-09-25 1998-12-01 Microsoft Corporation Method and apparatus for transmitting a file in a network using a single transmit request from a user-mode process to a kernel-mode process
US5953419A (en) * 1996-05-06 1999-09-14 Symantec Corporation Cryptographic file labeling system for supporting secured access by multiple users
GB9626200D0 (en) 1996-12-18 1997-02-05 Ncr Int Inc Secure data processing method and system
CA2244626A1 (en) * 1998-07-31 2000-01-31 Kom Inc. A hardware and software system
US6301567B1 (en) * 1998-10-16 2001-10-09 The Chase Manhattan Bank Lockbox browser system
US6463465B1 (en) * 1999-05-07 2002-10-08 Sun Microsystems, Inc. System for facilitating remote access to parallel file system in a network using priviliged kernel mode and unpriviliged user mode to avoid processing failure
US6745306B1 (en) * 1999-07-29 2004-06-01 Microsoft Corporation Method and system for restricting the load of physical address translations of virtual addresses
JP2001350663A (ja) 2000-06-09 2001-12-21 Hitachi Ltd 情報処理装置
US6711572B2 (en) * 2000-06-14 2004-03-23 Xosoft Inc. File system for distributing content in a data network and related methods
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
GB0020441D0 (en) 2000-08-18 2000-10-04 Hewlett Packard Co Performance of a service on a computing platform
JP3859450B2 (ja) * 2001-02-07 2006-12-20 富士通株式会社 秘密情報管理システムおよび情報端末
JP3927376B2 (ja) 2001-03-27 2007-06-06 日立ソフトウエアエンジニアリング株式会社 データ持ち出し禁止用プログラム
US7178033B1 (en) * 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US6851056B2 (en) * 2002-04-18 2005-02-01 International Business Machines Corporation Control function employing a requesting master id and a data address to qualify data access within an integrated system
US7519984B2 (en) * 2002-06-27 2009-04-14 International Business Machines Corporation Method and apparatus for handling files containing confidential or sensitive information
US20040054674A1 (en) * 2002-09-13 2004-03-18 Carpenter Keith A. Enabling a web application to access a protected file on a secured server
JP2004126634A (ja) 2002-09-30 2004-04-22 Nec Software Chubu Ltd ファイル保護システム
US7200860B2 (en) * 2003-03-05 2007-04-03 Dell Products L.P. Method and system for secure network service
JP2006065697A (ja) * 2004-08-27 2006-03-09 Hitachi Ltd 記憶デバイス制御装置
US7849311B2 (en) * 2005-03-15 2010-12-07 Silicon Graphics International Computer system with dual operating modes

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0232430A (ja) * 1988-07-22 1990-02-02 Hitachi Ltd ファイル管理装置
JPH02143349A (ja) * 1988-11-25 1990-06-01 Fujitsu Ltd ファイルの誤用防止処理方式
JPH0619763A (ja) * 1992-07-02 1994-01-28 Nec Corp ファイル名/ディレクトリ名拡張方式
JP2001243106A (ja) * 2000-02-28 2001-09-07 Ricoh Co Ltd 記録媒体及びそのアクセス制御方法
JP2001297522A (ja) * 2000-04-11 2001-10-26 Ricoh Co Ltd 記録媒体及びそのアクセス制御方法
JP2005531831A (ja) * 2002-05-28 2005-10-20 シンビアン リミテッド 保護されたファイルシステムを有する移動体無線デバイス

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009110275A1 (ja) * 2008-03-03 2009-09-11 日本電気株式会社 機密情報漏洩防止システム及び機密情報漏洩防止方法
JP2009223629A (ja) * 2008-03-17 2009-10-01 Hitachi Software Eng Co Ltd アプリケーションの実行ファイル及び構成ファイルの漏洩防止装置
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
US8276187B2 (en) 2008-10-30 2012-09-25 Nec Corporation Information processing system
JP2012212197A (ja) * 2011-03-30 2012-11-01 Fujitsu Ltd ファイル管理方法、ファイル管理装置、及びファイル管理プログラム
JP2013242860A (ja) * 2012-04-27 2013-12-05 Ge Aviation Systems Ltd コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法

Also Published As

Publication number Publication date
TWI291629B (en) 2007-12-21
TW200622699A (en) 2006-07-01
CN100570601C (zh) 2009-12-16
US20060095762A1 (en) 2006-05-04
JP4501156B2 (ja) 2010-07-14
US7673138B2 (en) 2010-03-02
CN1766883A (zh) 2006-05-03

Similar Documents

Publication Publication Date Title
JP4501156B2 (ja) 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム
JP4208085B2 (ja) アプリケーションプログラムの制御方法およびその装置
US7600216B2 (en) Method for executing software applications using a portable memory device
US7428636B1 (en) Selective encryption system and method for I/O operations
US7814554B1 (en) Dynamic associative storage security for long-term memory storage devices
US6795835B2 (en) Migration of computer personalization information
US8495750B2 (en) Filesystem management and security system
US8359467B2 (en) Access control system and method
WO2012032326A1 (en) Virtualisation system
JP2009512939A (ja) 複数のオペレーティングシステムのインスタンスが単一のマシン資源を安全に共有することを可能とする、オペレーティングシステムの仮想化、を有するコンピュータセキュリティ方法
US20110035783A1 (en) Confidential information leak prevention system and confidential information leak prevention method
JP7146812B2 (ja) 独立した復元領域を有する補助記憶装置およびこれを適用した機器
JP2011134293A (ja) データ制御装置及びプログラム
US11636228B2 (en) Policy based persistence
KR100577344B1 (ko) 접근 통제 정책 설정시스템 및 그 방법
JP4516598B2 (ja) 文書のコピーを制御する方法
JP2006127127A5 (ja)
JP6270780B2 (ja) データ管理装置、データ管理方法、及びデータ管理プログラム
KR20120037381A (ko) 소프트웨어 컴포넌트 상태에 대한 접근 제어
JP2012212431A (ja) セキュリティサービスに実装するシステムおよび方法
JP2004303242A (ja) 高信頼性コンピューティングシステムにおけるセキュリティ属性
WO2008015412A1 (en) Secure data storage
WO2009029450A1 (en) Method of restoring previous computer configuration
CN112434285B (zh) 文件管理方法、装置、电子设备及存储介质
JP2001350663A (ja) 情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080321

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100329

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100411

R150 Certificate of patent or registration of utility model

Ref document number: 4501156

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140430

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees