JP2007213484A - コンピュータシステム、その機密情報の漏洩防止方法およびプログラム - Google Patents

コンピュータシステム、その機密情報の漏洩防止方法およびプログラム Download PDF

Info

Publication number
JP2007213484A
JP2007213484A JP2006035150A JP2006035150A JP2007213484A JP 2007213484 A JP2007213484 A JP 2007213484A JP 2006035150 A JP2006035150 A JP 2006035150A JP 2006035150 A JP2006035150 A JP 2006035150A JP 2007213484 A JP2007213484 A JP 2007213484A
Authority
JP
Japan
Prior art keywords
file
change difference
external storage
arbitrary period
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006035150A
Other languages
English (en)
Other versions
JP4544430B2 (ja
Inventor
Susumu Kawakita
将 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006035150A priority Critical patent/JP4544430B2/ja
Publication of JP2007213484A publication Critical patent/JP2007213484A/ja
Application granted granted Critical
Publication of JP4544430B2 publication Critical patent/JP4544430B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】外部記憶装置間での機密情報の漏洩を効果的に抑制する。
【解決手段】コンピュータシステム7は、機密情報を含まないファイル3及びそれを保持するファイルシステム2を有する第1の外部記憶装置1と、機密情報を含むファイル21を有する第2の外部記憶装置20とにそれぞれ電気的に接続される。コンピュータシステム7は、任意の期間に外部記憶装置20からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する手段19と、任意の期間に外部記憶装置1に対する書き込みが行なわれたときに、ファイル3に対する変更差分の内容を含むデータをファイルシステム2の空きブロック4に保管し、前記任意の期間終了後、空きブロック4に保管した変更差分の内容を含むデータを破棄し、ファイル3の状態を任意の期間開始前の状態にロールバックする手段13、14、16、17とを有する。
【選択図】図1

Description

本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムに係り、とくに外部記憶装置間での機密情報の漏洩を防止する方式及びその管理方法に関する。
現在、殆どの企業が企業内での情報共有を目的に、イントラネットと呼ばれる情報処理インフラストラクチャを整備している。イントラネットは、それぞれの任意の数のサーバとクライアントの集合であり、どちらもコンピュータシステムである。これによると、企業活動に有用な機密文書ファイルをサーバに保存し、単一ないし複数のクライアントから単一のファイルに対して、編集や閲覧を行う。
このように企業内の人間がクライアントを用いてファイルを編集する際、サーバへアクセスする手間を省く目的で独自にファイルを複製し、クライアントの外部記憶装置に保管しておく場合が多い。このようにして、機密文書ファイルがサーバから拡散し、次第にイントラネット内に偏在する結果となり、情報漏洩を誘発する要因となる。また、2005年4月に施行された個人情報保護法により、個人情報の漏洩対策に注目が集まっている。
なお、本発明に関連する先行技術文献としては、次のものがある。
特開2005−038176号公報 特開2000−215094号公報 特開2005−301548号公報
従来の情報漏洩対策方式は、暗号化によるものが多く、これらの方式では機密情報を含有するファイルを暗号化する制御のみを行う。そのため、暗に復号された状態のファイルが複製されて、外部記憶装置に残存する事象への対処が欠落していた。
例えば、事前に暗号化された、機密情報を含有するファイルを文書編集装置で改版する際、その文書編集装置が外部記憶装置の一時記憶領域に復号された状態のファイルを保管する場合が多い。このとき、その一時記憶領域から復号された状態のファイルを取得し、主記憶装置を媒介にそのファイルの複製を保存した場合に、制御を免れ、コンピュータシステム内外にその複製が蓄積される問題があった。
また、暗号化の運用において、使用する鍵の管理が重要であり、例えば、USB(Universal Serial Bus)メモリなどの外部記憶装置に鍵を格納する場合、その鍵を利用すれば、第3者による機密情報へのアクセスが可能であるという問題があった。例えば、暗号化済みの機密情報を含むノートパソコンと鍵を格納したUSBメモリを同時に紛失もしくは盗難にあった場合、本来、機密情報へのアクセスを許されていない者がノートパソコン上の機密情報へアクセス可能となる。
同時に、ロールバック機能を有する装置を設置する場合、事前に差分領域を確保しなければならず、コンピュータシステムの利便性に欠く問題があった。
特許文献1では、ファイル単位でのロールバックを実現しているが、同一ファイル内にジャーナリングを実施するため、ファイルの形式が変化する。また、コンピュータシステム内に機密情報が存在するか否かを判断する手段が存在しない。特許文献2もプロセスと連携した同様の機能を実現しているが、同様の問題があった。また、特許文献3では、ハードディスクの全消去を行うことで情報漏洩を防いでいるが、情報が機密情報を含まない状態に復旧しない。
本発明は、上述した従来の事情を考慮してなされたもので、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することを目的とする。
上記目的を達成するため、本発明に係るコンピュータシステムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とする。
本発明において、前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力する手段をさらに有してもよい。
本発明において、前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項2記載のコンピュータシステム。
本発明において、前記任意の期間を制御する期間制御手段をさらに有してもよい。前記期間制御手段は、前記任意の期間をスイッチ操作で制御するスイッチ手段を有してもよい。前記スイッチ手段は、前記任意の期間を任意の時刻にスイッチ操作で制御する手段を有してもよい。
本発明において、前記変更差分の内容を含むデータは、前記変更差分の内容を含むデータ部と、前記変更差分の物理的な大きさ及びその物理的な保管場所を含むインデックス部とを有し、前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段であってもよい。
本発明によれば、任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置から読み込むことができず、例えば任意の期間に機密文書を含むファイルを第2の外部記憶装置から第1の外部記憶装置へ複製した場合、ロールバック手段により、その機密文書を含むファイルの複製をすべて第1の外部記憶装置から抹消することができる。また、好適な態様では、第1の外部記憶装置に対するロールバックを任意の時刻に実行できる。さらに、好適な態様では、監査ログ等の特定ファイルは、例外として、第1の外部記憶装置に対するロールバック対象外とすることができる。
本発明に係る機密情報の漏洩防止方法は、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止方法であって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする。
本発明に係る機密情報の漏洩防止プログラムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止プログラムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする。
以上説明したように、本発明によれば、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することができる。
次に、本発明に係るコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを実施するための最良の形態について、図面を参照して詳細に説明する。
本実施の形態によるコンピュータシステムは、好適には、機密情報を含有しない第1のファイルを記憶する第1の外部記憶装置と、ファイルを用いて所定の業務処理を遂行するプログラム及びファイルを管理するファイルシステムを有する処理装置と、単一のスイッチ装置と、機密情報を含有する第2のファイルを記憶する第2の外部記憶装置とを備える。この構成において、本実施の形態では、外部記憶装置を通じた機密情報の取得および設定が可能な一定期間内に行われた変更差分を破棄し、その期間に突入する以前の状態を復元するロールバック機能を持つ。こうすることで、外部記憶装置への機密情報の残存を防止する。このようにして、コンピュータシステムの機密情報の漏洩防止及びその管理方法を実現している。ここでの変更差分は、ファイルシステムの空きブロック内に設けた保管領域に保管される。これにより、利用者が事前にその保管領域を用意又は予約する必要がない。以下、その具体的な実施例を説明する。
図1を参照すると、本実施例は、ワークステーションなどから構成されたコンピュータシステム7と、ハードディスクなどから構成された第1の外部記憶装置1と、イントラネット内に存在するネットワークストレージなどから構成された第2の外部記憶装置20とを含む。コンピュータシステム7は、第1の外部記憶装置1および第2の外部記憶装置20の間でそれぞれ信号線SL1およびSL2で結ばれている。
コンピュータシステム7は、図2に示すように、ソフトウェア構成上、ファイルを用いて所定の業務処理を遂行するプログラム(業務処理遂行プログラム)8と、オペレーティングシステム(OS)71とを有し、オペレーティングシステム71を介在させることにより、プログラム8と第1および第2の外部記憶装置1、20などのハードウェア73との間の入出力などの処理動作を制御する。なお、コンピュータシステム7のハードウェア構成については、CPU、メモリ(ROM/RAM)、入出力装置などの既知構成が適用される。
図1の例では、オペレーティングシステム7は、オペレーティングシステム71と一体又は別体に構成された変更差分管理部9を有している。変更差分管理部9は、機能上、プログラム8に接続される変更差分処理手段10と、これに接続される各手段、すなわち特定ファイル持ち越し処理手段11、スイッチ装置状態検出手段12、変更差分データ出力手段13、変更差分データ入力手段14、変更差分結合手段15、変更差分インデックス入力手段16、変更差分インデックス出力手段17、スイッチ装置18、及び外部装置制御手段19とを含む。これらの各手段は、例えば各々コンピュータプログラムとして提供可能であり、各々の機能は、例えばコンピュータシステム7のCPUが各々のコンピュータプログラムを実行することで実現される。
コンピュータシステム7上で動作する任意のプログラム8は、オペレーティングシステム71を通じて、それぞれの外部記憶装置1、20に対する、読み込み及び書き込みの計2種の処理を行う。本実施例では、プログラム8からそれぞれの外部記憶装置1、20へのすべての入出力は、変更差分管理部9の中核である、変更差分処理手段10を通じてのみ行う。
第1の外部記憶装置1および第2の外部記憶装置20は、それぞれがコンピュータシステム7とは異なる任意のコンピュータシステムに存在しても差し支えない。それぞれの外部記憶装置1、20は、図2に示す通り、オペレーティングシステム71により管理されている。オペレーティングシステム71としては、例えば、Microsoft社のWindows XP(登録商標)などを用いることができるが、これに限定されず既知のUNIX(登録商標)系OS等のOSでも適用可能である。
第1及び第2の外部記憶装置1、20は、ファイルシステム、および、ファイルもしくはファイル群を有する。図1の例では、第1の外部記憶装置1は、機密情報を含有しないファイル(第1のファイル)3を保持するファイルシステム2を有している。一方、第2の外部記憶装置20は、機密情報を含有するファイル(第2のファイル)21を記憶する。
第1の外部記憶装置1では、ファイルシステム2内のファイル3群が格納されているブロック以外のブロックが空き状態であり、これを空きブロック4と呼ぶ。この空きブロック4は、変更差分データ領域5と、変更差分インデックス領域6とを有し、変更差分に関するデータを格納している。空きブロック4内の変更差分データ領域5および変更差分インデックス領域6に保管するデータは、例えば二分木などの普遍的なデータ格納アルゴリズムにより管理される。変更差分の大きさは、処理毎に大きく変化することから、二分木に格納するデータの大きさを任意に指定できる形とする。
スイッチ装置18は、コンピュータシステム7が稼動している間、任意の時刻に押下状態を変更可能であり、例えばオペレーティングシステム71上で動作するGUI(Graphical User Interface)のボタンコントロールを用いて実現される。このスイッチ装置18の押下状態が変更された場合、スイッチ装置状態検出手段12に対して、その旨を示す信号を送る。スイッチ装置18の初期状態は、押下されていないとする。
このスイッチ装置18は、第1の外部記憶装置1に対するロールバック機能の有効及び無効の期間を制御する。スイッチ装置18の押下状態をスイッチ装置状態検出手段12により調べ、押下されていれば、有効とし(この期間が本発明の任意の期間に対応する)、逆に押下されていなければ無効とする(この期間が本発明の任意の期間以外の期間に対応する)。なお、例外的に、ロールバック機能を免れるファイル3群を事前に指定可能であり、ロールバック機能が有効から無効に切り替わった直後に1回だけ、特定ファイル持ち越し処理手段13により、変更差分結合手段15から元のファイル3群に対する変更差分を適用した状態のファイル3群を得て、それを元のファイル3群に上書きする機能を持つ。
ここで、スイッチ装置18が押下され、第1の外部記憶装置1に対するロールバック機能が有効である間(任意の期間)は、ファイルシステム2内のファイル3群の存在する場所、大きさと内容、および、空きブロック4の存在する場所と大きさは変化しない。変更差分データ領域5に対する入出力は、変更差分データ出力手段13および変更差分データ入力手段14により制御する。同様に、変更差分インデックス領域6に対する入出力は、変更差分インデックス入力手段16および変更差分インデックス出力手段17により制御する。また、第1の外部記憶装置1からの読み込み時に、元のファイル3と変更差分とを結合するために変更差分結合手段15を用いる。このようにして、第1の外部記憶装置1に対するロールバック機能を提供する。
上記の第1の外部記憶装置1に対するロールバック機能の提供と同時に、機密情報を含有する第2の外部記憶装置20に対する制御を外部装置制御手段19により行う。外部装置制御手段19が許可しなければ、第2の外部記憶装置20からの読み取りは不可能とする。すなわち、ロールバック機能が有効であれば(第1の期間)、外部装置制御手段19は第2の外部記憶装置20からのファイル21の読み取りを許可し、逆に無効であれば(第2の期間)、第2の外部記憶装置20からのファイル21の読み取りを不許可とする。このようにして、機密情報を含有する第2の外部記憶装置20へのアクセスをロールバック機能が有効である期間(任意の期間)に限定する。
次に、図1から図6を用いて、本実施例の動作を詳細に説明する。
最初に、ロールバック機能を無効にした場合の動作を説明する。
まず、コンピュータシステム7は、スイッチ装置18が押下されていない状態から動作を開始する。この状態は、ロールバック機能が無効であることを示す。図1によると、オペレーティングシステム71上で動作する任意のプログラム8から外部記憶装置1、20に対する入出力の要求が行われたとき、変更差分管理部9では、必ず変更差分処理手段10が呼び出される。変更差分処理手段10は、図2に示す処理を開始する。
図2において、変更差分処理手段10は、スイッチ装置状態取得手段12と連動して、その処理を実行する(ステップSt1)。これにより、スイッチ装置状態取得手段12は、図3に示す処理を開始し、スイッチ装置18の状態を取得し、その結果を変更差分処理手段10に返す(ステップSt11)。この場合には、スイッチ装置18が押下されていない状態であるという結果が返される。次いで、スイッチ装置状態取得手段12は、その結果に基づいてスイッチ装置18の押下又は非押下状態を判断する(ステップSt2)。この場合には、スイッチ装置18は非押下状態であると判断される(ステップSt2:NO)。
次いで、利用者がプログラム8を用いて、機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、その処理がスイッチ装置18の押下状態から非押下状態に操作された後の初回処理であるかどうかを判断する(ステップSt8)。この場合には、コンピュータシステム7起動後の非押下状態に該当するため、初回処理でないと判断され(ステップSt8:NO)、変更差分処理手段10は、何ら制御を行わずにファイル3群へそのまま入出力の内容を渡す(ステップSt10)。これにより、ファイルシステム2は、オペレーティングシステム71により、ファイル3群に対する入出力(閲覧・更新)を処理する。
一方、機密情報の含まれる第2の外部記憶装置20に対する入出力が行われた場合、変更差分処理手段10は、外部装置制御手段19により、その機密情報を含むファイル21の読み込みを禁止する一方、その書き込みに関しては禁止しない。このとき、外部装置制御手段19は、図5の通りに制御する。すなわち、外部装置制御手段19は、図5に示すように、スイッチ装置状態取得手段12によりスイッチ装置18の状態を取得し(ステップSt21)、その結果が押下状態か否かを判断する(ステップSt22)。これにより、非押下状態であれば(YES)、第2の外部記憶装置20からの入力(ファイル読み出し)を遮断し、その第2の外部記憶装置20への出力(ファイル書き込み)を通過(許可)し(ステップSt23)、押下状態であれば(NO)、第2の外部記憶装置20の入出力(ファイル読み出し及び書き込み)を通過する(ステップSt24)。
以上の通り、スイッチ装置18が押下されていない期間(任意の期間以外の期間)は、機密情報を含む第2の外部記憶装置20から機密情報を含むファイル21を読み出すことができない。
次に、ロールバック機能を有効にした場合の動作を説明する。
コンピュータシステム7の利用者は、GUIのボタンコントロールを通じて、スイッチ装置18の押下状態を任意の時刻に変更可能である。利用者がスイッチ装置18を押下した場合、ロールバック機能が有効となり、それ以降、変更差分管理部9の振る舞いが変化する。すなわち、スイッチ装置18が押下されている状態で、プログラム8から機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、図3の通り、スイッチ装置18が押下状態であると判断し(ステップSt2:YES)、処理種別(書き込み又は読み込み)を判断し(ステップSt2)、その処理種別に応じて制御内容を決定する。
例えば、処理種別が書き込み処理であった場合、プログラム8から渡された情報を用いて変更差分を抽出し、変更差分として空きブロック4に保存する手続きとなる(ステップSt4〜St5)。変更差分は、図8に示すように、3つの要素から成る。第1の要素は、元ファイル3の存在する第1の外部記憶装置1内の物理的な場所、第2の要素は、変更差分の物理的な大きさ、第3の要素は、変更差分の内容である。後ほど、第1および第2の要素をキーとした迅速な検索が可能となるように、第1および第2の要素を格納するインデックス部と、第3の要素を格納するデータ部とに分ける。
そこで、変更差分処理手段10は、変更差分のうちのインデックス部を、変更差分インデックス出力手段17により、ファイルシステム2内での空きブロック4内の変更差分インデックス領域6に保管する(ステップSt4)。その格納の際、既存キーとの重なりを考慮しなければならない。そして、変更差分処理手段10は、ファイルシステム2内での空きブロック4の残り容量および既存キーとの重なりを勘案して、ファイルシステム2内に、変更差分のうちのデータ部を格納するために十分な空きブロック4が存在するかどうかを調べ(ステップSt5)、そのデータ部を格納可能であれば(YES)、変更差分データ出力手段13を読み込み、空きブロック4内の変更差分データ領域5に、そのデータ部の格納を実施する(ステップSt6)。
一方、上記ステップSt3の判断にて処理種別が読み込み処理であった場合、変更差分結合手段15により、元のファイル3とそれまでに蓄積した変更差分とを結合したファイルを生成する(ステップSt7)。すなわち、変更差分結合手段15は、図6に示すように、ファイル3から元のデータを得る(ステップSt31)と、元のファイル3の物理的な位置および要求されている大きさをキーとして、変更差分インデックス入力手段16を呼び出す(ステップSt32)。これにより、変更差分インデックス領域6内を検索し、変更差分が存在するかどうかを確認する(ステップSt33)。その結果、変更差分が存在する場合(YES)のみ、変更差分データ領域5内の物理的な位置を得て、元のファイル3の内容と、もしあれば変更差分とを結合して、結合後の内容を生成する(ステップSt35)。この内容は、スイッチ装置18を押下しない状態のまま、同じプログラム8からの入出力内容をファイル3へ適応し続けた結果と等価である。なお、ロールバック機能が有効である場合、全体を通じて、ファイル3には一切変更を加えない。
次に、この状態からスイッチ装置18の押下状態が再び変化し、ロールバック機能が無効となった場合を記述する。
まず、変更差分処理手段10は、図3に示すとおり、スイッチ装置18の押下状態から非押下状態への変化後の初回処理かどうかを判断する(ステップSt8)。この場合には、初回処理であると判断される(ステップSt8:YES)。従って、初回処理であれば、変更差分処理手段10は、特定ファイル持ち越し処理手段11を呼び出し、これによりロールバック対象外のファイルであると事前に指定されたファイル3群にその変更差分を反映する処理を行う。すなわち、特定ファイル持ち越し処理手段11は、図7に示すように、変更差分結合手段15の処理により、ロールバック対象外のファイル3とその変更差分とを結合してその結合後の内容を生成し(ステップSt43)、その結合後の内容をファイル3に書き出す(ステップSt42)。なお、ロールバック対象外となるファイル3としては、例えば監査ログが挙げられる。これは、コンピュータシステム7の利用者と管理者が同一人物で無い場合、管理者が利用者の振る舞いを監査したい場合、操作などのログを残すケースがあり、このような場合、監査ログが抹消されると機能性を損なうことになるためである。
一方、上記のステップSt8の判断で、スイッチ装置18の押下状態から非押下状態への変化後の初回処理でなければ(ステップSt8:NO)、冒頭で述べたとおり、ファイル3に対する入出力操作に対する制御を加えない扱いとする(ステップSt10)。すなわち、ロールバック機能が有効である間(任意の期間)に行われた変更差分は、その保存領域として空きブロック4を用いているため、その後の操作によりファイルシステム2により破壊され、事実上、抹消される。
例えば、ロールバック機能が有効であり、第2の外部記憶装置21への制御が可能である期間(任意の期間)に、利用者がプログラム8を用いて第2の外部記憶装置20上の機密文書を含むファイル(第2のファイル)21の編集を行った際、暗黙的に第1の外部記憶装置1上のファイル(第1のファイル)3に対しその機密文書を含むファイル21の複製が作成されたケースを想定する。このとき、作成された機密文書を含むファイル21の複製全体がファイル3の変更差分とみなされる。その後、スイッチ装置18を操作してロールバック機能を無効とすると、第1の外部記憶装置1に作成された機密文書を含むファイル21の複製、つまり、ファイル3の変更差分は抹消された扱いとなり、コンピュータシステム7の利用者からは見えなくなる。このようにして、第2の外部記憶装置21から第1の外部記憶装置1への機密情報の暗黙的な複製に対する、情報漏洩が防止可能となる。
以上説明したように、本実施例では、次のような特徴がある。(1)任意の期間におけるファイル3への変更差分をファイルシステム2の空きブロック4に保管している。(2)事前に変更差分の保管領域を予約しなくてもよい。(3)上記の期間満了後、空きブロック4に保管した内容を破棄し、ファイルシステム2が持つファイル3を期間以前の状態にロールバックしている。(4)スイッチ装置18を押下及び非押下することにより、上記の期間を制御できる。(5)スイッチ装置18の操作が任意の時刻に行うことができる。(6)第1の外部記憶装置1のファイル3への出力時に変更差分のみを別途保管している。(7)第1の外部記憶装置1のファイル3からの入力時にそのファイル3とそのファイルに対する変更差分とを結合している。(8)情報漏洩対策にロールバック方式を適応している。
従って、本実施例によれば、次のような効果が得られる。(1)特定のスイッチ装置18が押下されている任意の期間に、機密文書を含むファイル21を第2の外部記憶装置20から第1の外部記憶装置1へ複製した場合、スイッチ装置18の操作によりロールバックし、その機密文書を含むファイル21の複製をすべて第1の外部記憶装置1から抹消することができる。(2)特定のスイッチ装置18が押下されている任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置20から読み込むことができない。(3)スイッチ装置18の操作により、第1の外部記憶装置1に対するロールバックを任意の時刻に実行できる。(4)監査ログ等の特定ファイルは、例外として、第1の外部記憶装置1に対するロールバック対象外とすることができる。
なお、他の実施例として、コンピュータシステム7にコンピュータウィルスおよびマルウェアが混入した場合、スイッチ装置18の操作により、上記実施例と同様のロールバック機能の動作により、それらをすべて第1の外部記憶装置1から抹消し、第1の外部記憶装置1内の第1のファイル3の状態をその混入前の状態にロールバックする構成に適用することができる。
また、上記の実施例では、スイッチ装置18の押下及び非押下により、第2の外部記憶装置21からの読み込みを有効及び無効とし、かつ、第1の外部記憶装置1に対するロールバック機能を有効及び無効とする期間を同時に制御しているが、本発明はこれに限らず、例えばコンピュータシステム7に内蔵するタイマ機能を用いて、予め指定された期間のみ上記の読み込み及びロールバック機能を有効とするように制御するようにしてもよい。
本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムの用途に適用でき、特に外部記憶装置間の複製等による機密情報の漏洩防止方式及びその管理方法の用途に適用できる。
本発明の実施例に係るコンピュータシステムの構成を示す図である。 図1に示すコンピュータシステムのソフトウェア構成を示す図である。 図1に示す変更差分処理手段の処理を説明するフローチャートである。 図1に示す変更差分処理手段の処理を説明するフローチャートである。 図1に示す外部装置制御手段の処理を説明するフローチャートである。 図1に示す変更差分結合手段の処理を説明するフローチャートである。 図1に示す特定ファイル持ち越し処理手段の処理を説明するフローチャートである。 変更差分のデータ構成を説明する図である。
符号の説明
1 第1の外部記憶装置
2 ファイルシステム
3 ファイル
4 空きブロック
5 変更差分データ領域
6 変更差分インデックス領域
7 コンピュータシステム
8 プログラム
9 変更差分管理部
10 変更差分処理手段
11 特定ファイル持ち越し処理手段
12 スイッチ装置状態検出手段
13 変更差分データ出力手段
14 変更差分データ入力手段
15 変更差分結合手段
16 変更差分インデックス入力手段
17 変更差分インデックス出力手段
18 スイッチ装置
19 外部装置制御手段
20 第2の外部記憶装置
21 ファイル

Claims (15)

  1. 機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムであって、
    任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、
    前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、
    前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とするコンピュータシステム。
  2. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項1記載のコンピュータシステム。
  3. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項2記載のコンピュータシステム。
  4. 前記任意の期間を制御する期間制御手段をさらに有することを特徴とする請求項1乃至3のいずれか1項に記載のコンピュータシステム。
  5. 前記期間制御手段は、前記任意の期間をスイッチ操作で制御するスイッチ手段を有することを特徴とする請求項4記載のコンピュータシステム。
  6. 前記スイッチ手段は、前記任意の期間を任意の時刻にスイッチ操作で制御する手段であることを特徴とする請求項5記載のコンピュータシステム。
  7. 前記変更差分の内容を含むデータは、前記変更差分の内容を含むデータ部と、前記変更差分の物理的な大きさ及びその物理的な保管場所を含むインデックス部とを有し、
    前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段を有することを特徴とする請求項1乃至6のいずれか1項に記載のコンピュータシステム。
  8. 機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止方法であって、
    任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
    前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
    前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする機密情報の漏洩防止方法。
  9. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力するステップをさらに有することを特徴とする請求項8記載の機密情報の漏洩防止方法。
  10. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力するステップをさらに有することを特徴とする請求項8又は9記載の機密情報の漏洩防止方法。
  11. 前記任意の期間を制御するステップをさらに有することを特徴とする請求項8乃至10のいずれか1項に記載の機密情報の漏洩防止方法。
  12. 機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止プログラムであって、
    任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
    前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
    前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする機密情報の漏洩防止プログラム。
  13. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力するステップをさらにコンピュータに実行させることを特徴とする請求項12記載の機密情報の漏洩防止プログラム。
  14. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力するステップをさらにコンピュータに実行させることを特徴とする請求項12又は13記載の機密情報の漏洩防止プログラム。
  15. 前記任意の期間を制御するステップをさらにコンピュータに実行させることを特徴とする請求項12乃至14のいずれか1項に記載の機密情報の漏洩防止プログラム。
JP2006035150A 2006-02-13 2006-02-13 コンピュータシステム、その機密情報の漏洩防止方法およびプログラム Expired - Fee Related JP4544430B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006035150A JP4544430B2 (ja) 2006-02-13 2006-02-13 コンピュータシステム、その機密情報の漏洩防止方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006035150A JP4544430B2 (ja) 2006-02-13 2006-02-13 コンピュータシステム、その機密情報の漏洩防止方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2007213484A true JP2007213484A (ja) 2007-08-23
JP4544430B2 JP4544430B2 (ja) 2010-09-15

Family

ID=38491834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006035150A Expired - Fee Related JP4544430B2 (ja) 2006-02-13 2006-02-13 コンピュータシステム、その機密情報の漏洩防止方法およびプログラム

Country Status (1)

Country Link
JP (1) JP4544430B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62237549A (ja) * 1986-04-09 1987-10-17 Matsushita Electric Ind Co Ltd Icカ−ド
JP2002007195A (ja) * 2000-06-20 2002-01-11 Fujitsu Ltd アクセス制御システムおよび記録媒体
JP2003223368A (ja) * 2002-01-31 2003-08-08 Mitsubishi Electric Corp データアクセス装置及び携帯端末装置及びサーバ装置
JP2004326981A (ja) * 2003-04-28 2004-11-18 Toshiba Corp 有効期限付き半導体記憶装置
JP2005141529A (ja) * 2003-11-07 2005-06-02 Hitachi Ltd 情報通信システム及び情報記憶媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62237549A (ja) * 1986-04-09 1987-10-17 Matsushita Electric Ind Co Ltd Icカ−ド
JP2002007195A (ja) * 2000-06-20 2002-01-11 Fujitsu Ltd アクセス制御システムおよび記録媒体
JP2003223368A (ja) * 2002-01-31 2003-08-08 Mitsubishi Electric Corp データアクセス装置及び携帯端末装置及びサーバ装置
JP2004326981A (ja) * 2003-04-28 2004-11-18 Toshiba Corp 有効期限付き半導体記憶装置
JP2005141529A (ja) * 2003-11-07 2005-06-02 Hitachi Ltd 情報通信システム及び情報記憶媒体

Also Published As

Publication number Publication date
JP4544430B2 (ja) 2010-09-15

Similar Documents

Publication Publication Date Title
US8892905B2 (en) Method and apparatus for performing selective encryption/decryption in a data storage system
JP4578119B2 (ja) 情報処理装置および情報処理装置におけるセキュリティ確保方法
TWI291629B (en) Method, system, and computer readable storage medium storing instructions for switching folder to be accessed based on confidential mode
JP5429157B2 (ja) 機密情報漏洩防止システム及び機密情報漏洩防止方法
WO2008005765A2 (en) Network-extended storage
JP2007286679A (ja) 情報分割記録機能を持つ情報処理装置
JP2006155155A (ja) 情報漏洩防止装置、方法およびそのプログラム
US9418232B1 (en) Providing data loss prevention for copying data to unauthorized media
JP4917102B2 (ja) ローカル・ストレージおよびリモート・ストレージの混合環境におけるデータ・セット・バージョンのカウントのための方法、プログラム、およびシステム
US9037620B2 (en) File system active symbolic link
JP4516598B2 (ja) 文書のコピーを制御する方法
WO2021169163A1 (zh) 一种文件数据存取方法、装置和计算机可读存储介质
JP2007334386A (ja) 機密情報の管理プログラム
JP2010049647A (ja) クライアントサーバシステム、クライアントコンピュータ、サーバ、ファイル管理方法及びそのプログラム
JP2007188445A (ja) 情報漏えい防止システム及び情報漏えい防止方法
JP2004164226A (ja) 情報処理装置およびプログラム
JP4544430B2 (ja) コンピュータシステム、その機密情報の漏洩防止方法およびプログラム
JP4498012B2 (ja) 電子機器
JP2008234539A (ja) 情報処理装置及びファイル処理方法並びにプログラム
JP4784105B2 (ja) 情報処理装置およびその制御方法、情報管理システム
JP2011076541A (ja) 情報漏洩防止プログラムおよび起動記録プログラム
JP2021174432A (ja) 電子データ管理方法、電子データ管理装置、そのためのプログラム及び記録媒体
JP2009059158A (ja) 外部装置管理システム
JP5047664B2 (ja) 電子文書管理装置、コンピュータプログラム、及び電子文書管理方法
US20060047727A1 (en) Method of accessing a file for editing with an application having limited access permissions

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4544430

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100622

LAPS Cancellation because of no payment of annual fees