JP2008160485A - 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム - Google Patents

文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム Download PDF

Info

Publication number
JP2008160485A
JP2008160485A JP2006346794A JP2006346794A JP2008160485A JP 2008160485 A JP2008160485 A JP 2008160485A JP 2006346794 A JP2006346794 A JP 2006346794A JP 2006346794 A JP2006346794 A JP 2006346794A JP 2008160485 A JP2008160485 A JP 2008160485A
Authority
JP
Japan
Prior art keywords
document
management
encryption key
work terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006346794A
Other languages
English (en)
Other versions
JP4471129B2 (ja
Inventor
Juichiro Yamazaki
重一郎 山崎
Hiroyuki Nomiyama
寛之 野見山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ASTEQ INTERNAT CORP
ASTEQ INTERNATIONAL CORP
Kitakyushu Foundation for Advancement of Industry Science and Technology
Original Assignee
ASTEQ INTERNAT CORP
ASTEQ INTERNATIONAL CORP
Kitakyushu Foundation for Advancement of Industry Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ASTEQ INTERNAT CORP, ASTEQ INTERNATIONAL CORP, Kitakyushu Foundation for Advancement of Industry Science and Technology filed Critical ASTEQ INTERNAT CORP
Priority to JP2006346794A priority Critical patent/JP4471129B2/ja
Publication of JP2008160485A publication Critical patent/JP2008160485A/ja
Application granted granted Critical
Publication of JP4471129B2 publication Critical patent/JP4471129B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Document Processing Apparatus (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】文書漏洩を高水準で抑止し、文書が仮に漏洩した場合にもその法的責任を明確にする履歴情報を管理することが可能な文書管理システムを提供する。
【解決手段】作業端末3には文書を暗号化して持たせる。作業端末3で文書を利用する場合、暗号鍵要求手段24により文書管理サーバ2から暗号鍵の提供を受け復号し平文化する。文書管理サーバ2は、暗号鍵を提供した作業端末3のイベントを監視し、証拠性情報記憶手段8に保存する。文書を閉じる際には、作業端末3は、文書を暗号化して保存し平文文書及び暗号鍵は消去する。そして、文書管理サーバ2による監視も終了させる。作業端末3には、作業時以外は文書が暗号化して保存され、暗号鍵も残らないため文書漏洩を高水準で抑止できる。作業端末3のイベントが証拠性情報記憶手段8に保存されるため、文書が仮に漏洩した場合にもその法的責任を明確にできる。
【選択図】図2

Description

本発明は、秘密文書の管理を行う文書管理技術に関し、特に、管理文書の漏洩を抑止すると共に、当該管理文書にアクセスする者を監視することが可能な文書管理技術に関する。
組織内で管理されている管理文書を、出張先や自宅においてノートパソコン等の作業端末で利用する場合が多い。例えば、保険の外交などにおいて、顧客の事務所などにおいて保健サービスの説明を行う際に、顧客の個人情報を用いてシミュレーションを行う場合、顧客に関する個人情報をノートパソコン等に記憶させて出先に持ち出す必要がある。また、出張先や自宅に持ち帰って修正・加筆を行い翌日の仕事に間に合わせたい場合に、管理文書をノートパソコン等に記憶させて出張先や自宅に持ち出す必要がある。
このように、管理文書を外部に持ち出す場合には、漏洩に対するリスクが生じる。漏洩に対するリスクとしては、(1)組織の構成員が管理文書を意図的に漏洩させるリスク、(2)作業端末の盗難により管理文書が漏洩するリスク、(3)コンピュータ・ウイルスなどにより、ネットワーク経由で管理文書が漏洩するリスクなどが想定される。従って、これらのリスクを回避し、管理文書が外部に漏洩することを抑止する必要がある(情報漏洩の抑止)。
また、万一、管理文書の情報が外部に漏洩した場合、その情報漏洩のルートを追跡し、後に立証可能とする証拠を残すことで、組織としての管理責任や管理文書を持ち出した者の責任を明確にすることは、リスク管理の上で極めて重要である(証拠性情報の記録)。
管理文書の漏洩を防止する技術としては、シンクライアント(thin client)技術がある。シンクライアント・システムとは、組織の情報システムにおいて、その構成員が使う作業端末(クライアント)に最低限の機能しか持たせず、サーバ側でアプリケーションソフトやファイルなどの資源を管理するシステムをいう。このように、作業端末に、一切の管理文書を保存させないようにすることで、作業端末の盗難などにより管理文書が漏洩することを防止することができる。また、管理文書を用いて作業を行う際、すべてサーバ側に情報の要求を行うことが必要なため、サーバ側においてその管理文書にアクセスした者及びアクセス内容並びに作業内容を特定し、証拠性情報の記録を行うことが叶野である。更に、アプリケーションをサーバ側で管理するため、コンピュータ・ウイルスによる意図しない情報漏洩に関しても効果的に防止することができる。
また、同じく管理文書の漏洩を防止する技術としては、バーチャルマシン技術を挙げることができる。バーチャルマシン(仮想機械)では、一つのOS内に別の仮想OSを用意し、仮想OS内では、極めて厳重な情報管理を行うようにしたものである。この技術を用いれば、個人の持ち物のノートパソコンであっても、バーチャルマシンの中に入った情報は、極めて厳重に管理を行うことができる。
一方、文書管理技術ではないが、著作権のある音楽等のコンテンツの著作権保護を行う技術として、DRM(Digital Rights Management)技術が広く用いられている。DRM技術においては、使用者の再生権限をチェックしながら再生装置からコンテンツの再生を行うことによって、再生ソフトの管理や再生権限の管理が行われる。
特開2005−222155号公報
しかしながら、上記シンクライアント技術では、ハードディスクなどの外部記憶装置を持たない特別な作業端末が必要とされる。従って、市販のノートパソコン等の作業端末や使い慣れた市販のアプリケーションソフトは使用することができず、利便性に欠けるという欠点がある。
また、バーチャルマシン技術は、バーチャルマシンをOS上で動作させるため、一般に使用されているノートパソコン等の作業端末では非常に動作が遅く、使いづらいという欠点がある。従って、実用化までにはまだ時間を要し、現在はまだ研究段階にあるといえる。
また、DRM技術は、著作権のあるコンテンツの保護に特化した技術であり、一般的には、コンテンツの編集までをも想定していない。すなわち、完成されたコンテンツをいかに保護・管理するかを主要な課題とする技術である。しかしながら、管理文書の作業端末での使用における文書管理を目的とする場合、管理文書の編集が作業端末において行われることを前提とする必要がある。従って、DRM技術を、前記目的の文書管理の場合にそのまま適用することはできない。
ところで、シンクライアント技術、バーチャルマシン技術などは、いずれも、情報の漏洩に対して、これを徹底的に防止することを目的としている。しかしながら、情報漏洩を徹底的に防止しようとすると、管理システムも大がかりなものとなり、必然的に漏洩防止のためのコストが嵩む。従って、小規模な組織でこのような情報管理システムを導入することは困難な場合が多い。
一方で、用途によっては、一定レベルの管理文書の漏洩抑止効果があれば十分な場合や、できる限り低コストで一定の管理文書の漏洩抑止を行いたい場合がある。このような用途においては、管理文書の漏洩をある程度の高レベルで容易にできなくするとともに、仮に漏洩したとしても、どの範囲まで漏洩したのか、誰が漏洩させたのか、漏洩させた者に法的責任はあるのか、などといったことを特定できるだけの履歴情報を管理する技術が求められる。
そこで、本発明の目的は、管理文書の漏洩を一定の高水準で抑止するとともに、その管理文書が仮に漏洩した場合にもその法的責任を明確にする履歴情報を管理することが可能で、且つ、市販の作業端末やアプリケーションでの使用が可能で管理文書の修正等も可能な文書管理技術を提供することにある。
本発明に係る文書管理システムは、
管理対象である電子化された文書(以下「管理文書」という。)の秘密管理を行う文書管理システムであって、
文書管理サーバと、
前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
を備え、
前記文書管理サーバは、
前記各管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、
監視状態にない前記作業端末からの前記認証情報を受信した場合、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証手段と、
前記認証確認信号を送信された作業端末から特定の管理文書の鍵要求を受信した場合、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の暗号鍵(以下「初期復号鍵」という。)、及び当該管理文書を再暗号化する際の暗号鍵(以下「次期暗号鍵」という。)を、送信する暗号鍵送信手段と、
前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化手段と、
監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集手段と、
監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除手段と、を備え、
前記各作業端末は、
暗号化された前記管理文書(以下「暗号化管理文書」という。)を記憶する文書記憶手段と、
前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する端末側認証手段と、
前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する暗号鍵要求手段と、
前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信した場合、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記暗号化管理文書を復号して平文化した管理文書(以下「平文管理文書」という。)を作成する文書復号手段と、
前記認証確認情報を受信した場合又は前記初期復号鍵及び次期暗号鍵を受信した場合に、自己を監視状態に設定する端末側監視化手段と、
自己が監視状態にある場合、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集する証拠性情報取得手段と、
前記証拠性情報を前記文書管理サーバに送信する証拠性情報送信手段と、
監視状態において前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、を備えたことを特徴とする。
この構成によれば、まず、管理文書は暗号化された状態で、暗号化管理文書として作業端末の文書記憶手段に記憶されている。この状態においては、復号鍵がない限り管理文書を第三者が閲覧することはできないため、管理文書の秘密性は保たれる。使用者が、作業端末から管理文書を用いて作業を行う場合、まず、端末側認証手段が文書管理サーバに対して自己の認証情報を送信する。このとき当該作業端末はまだ監視状態にはない。サーバ側認証手段は、監視状態にない作業端末から認証情報を受信すると、当該認証情報に基づいて使用者の認証が行われる。認証に成功すると、作業端末に認証確認信号が送信される。次いで、作業端末で認証確認情報を鍵要求手段が受信された場合において、鍵要求手段が文書管理サーバに鍵要求を送信すると、文書管理サーバの暗号鍵送信手段は、当該作業端末に初期復号鍵と次期暗号鍵を送信する。作業端末では、端末側監視化手段が、認証確認情報を受信した場合又は初期復号鍵と次期暗号鍵を受信した場合に、自己を監視状態に設定する。監視状態に設定されると、証拠性情報監視手段は、作業端末で実行される全てのイベントのうちの所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集し、証拠性情報送信手段がこれを文書管理サーバに送信する。これにより、監視状態にある間は、作業端末は文書管理サーバに監視された状態とされる。文書管理サーバでは、サーバ側監視化手段が認証確認信号を送信した作業端末又は初期復号鍵及び次期暗号鍵を送信した作業端末を監視状態に設定し、その監視状態に設定された作業端末から送信されてくる証拠性情報を、証拠性情報収集手段が証拠性情報記憶手段に保存する。これにより、管理文書に対して作業端末でなされた操作が文書管理サーバに検証可能な状態で保存される。
監視状態において、作業端末の文書復号手段が、受信した初期復号鍵を用いて暗号化管理文書を復号し、平文管理文書を生成する。これにより、作業端末で管理文書を利用することができるが、管理文書を利用している間は、文書管理サーバにおいてイベントの監視が行われる。管理文書を閉じる場合には、作業端末の再暗号化手段が、次期暗号鍵により平文管理文書を暗号化して暗号化管理文書を作成し文書記憶手段に保存するとともに、次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する。また、文書管理サーバの監視解除手段は、監視状態にある作業端末から管理文書の再暗号化の証拠性情報を受信すると、当該作業端末の監視状態を解除する。これにより、作業端末には再暗号化された管理文書が残るが、この再暗号化された管理文書の復号鍵は作業端末側にはないため、管理文書の秘密性は確保される。
このように、作業端末が監視状態にある間に限り、管理文書を作業端末で利用することができ、作業端末が監視状態にない間は、管理文書は暗号化され、作業端末側にその復号鍵が残らない。また、管理文書の暗号鍵は、全て文書管理サーバが管理する。従って、暗号鍵の保管に関しても安全性が保障される。故に、管理文書の漏洩を一定の高水準で抑止することが可能となる。
また、作業端末が監視状態にある間に管理文書が仮に漏洩した場合にも、作業端末で行われたイベントに関する証拠性情報が、文書管理サーバに検証可能な履歴として残されるため、その漏洩の法的責任を明確にすることができる。
更に、作業端末が監視状態にある間は、管理文書を平文化して利用することができるので、市販の作業端末やアプリケーションでの使用が可能で管理文書の修正等も可能となる。
ここで、「文書」とは、文字で記載された文書に限定されるものではなく、図画、写真等も含む一般的な書面を意味する。「イベント」とは、オブジェクト指向プログラミングにおいて、オブジェクトに特定の現象が発生した時に発する信号をいい、例えば、「文書を開く」、「文書を閉じる」、「ファイルを別名保存する」、「文書を印刷する」、「文書の一部をコピーする」等の処理が実行されるときに動作の指示信号として発せられるAPI(Application Program Interface)信号のようなものをいう。
「認証情報」とは、作業端末を使用する使用者が本人であることを識別するための情報をいい、使用者IDやパスワード等が用いられる。
「所定の種類のイベント」とは、管理文書の秘密管理のために監視が必要とされる種類のイベントをいい、例えば、「管理文書の保存」、「管理文書のコピー」、「管理文書の削除」、「管理文書の印刷」、「暗号化管理文書の復号」、「管理文書の再暗号化」等のイベントが考えられる。
本発明に係る文書管理方法は、文書管理サーバと、
前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
を備え、
前記文書管理サーバは、
管理対象である電子化された管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、を具備し、
前記作業端末は、暗号化された管理文書である暗号化管理文書を記憶する文書記憶手段と、
前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
を具備したシステムにおいて、管理文書の秘密管理を行う文書管理方法であって、
前記作業端末において、前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する認証情報送信ステップと、
前記文書管理サーバにおいて、前記作業端末からの前記認証情報を受信すると、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証ステップと、
前記作業端末において、前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する鍵要求ステップと、
前記文書管理サーバにおいて、前記鍵要求を受信すると、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の初期復号鍵、及び当該管理文書を再暗号化する際の次期暗号鍵を、送信する暗号鍵送信ステップと、
前記作業端末において、前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信すると、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記暗号化管理文書を復号して平文化した平文管理文書を作成する文書復号手段と、
前記作業端末において、前記認証確認情報を受信したとき又は前記初期復号鍵及び次期暗号鍵を受信したときに、自己を監視状態に設定する端末側監視化ステップと、
前記文書管理サーバにおいて、前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化ステップと、
監視状態に設定された前記作業端末において、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を、前記文書管理サーバに逐次送信する証拠性情報監視ステップと、
前記文書管理サーバにおいて、監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集ステップと、
監視状態に設定された前記作業端末において、前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、
監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除ステップと、
を備えたことを特徴とする。
本発明に係る文書管理サーバは、文書管理サーバと、
前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
を備え、前記作業端末で利用される管理対象である電子化された管理文書の秘密管理を行う文書管理システムにおいて使用される文書管理サーバであって、
前記各管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、
監視状態にない前記作業端末からの前記認証情報を受信した場合、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証手段と、
前記認証確認信号を送信された作業端末から特定の管理文書の鍵要求を受信した場合、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の初期復号鍵、及び当該管理文書を再暗号化する際の次期暗号鍵を、送信する暗号鍵送信手段と、
前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化手段と、
監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集手段と、
監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除手段と、
を備えたことを特徴とする。
この構成によれば、上記本発明に係る文書管理システムに使用することが可能な文書管理サーバを提供することができる。
本発明に係る作業端末は、文書管理サーバと、
前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
を備え、前記作業端末で利用される管理対象である電子化された管理文書の秘密管理を行う文書管理システムにおいて使用される作業端末であって、
暗号化された前記管理文書(以下「暗号化管理文書」という。)を記憶する文書記憶手段と、
前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する端末側認証手段と、
前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する暗号鍵要求手段と、
前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信した場合、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記管理文書を復号して平文化した平文管理文書を作成する文書復号手段と、
前記認証確認情報を受信した場合又は前記初期復号鍵及び次期暗号鍵を受信した場合に、自己を監視状態に設定する端末側監視化手段と、
自己が監視状態にある場合、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集する証拠性情報取得手段と、
前記証拠性情報を前記文書管理サーバに送信する証拠性情報送信手段と、 監視状態において前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、
を備えたことを特徴とする。
この構成によれば、上記本発明に係る文書管理システムに使用することが可能な作業端末を提供することができる。
本発明に係るプログラムは、コンピュータに読み込んで実行させることにより、コンピュータを上述の文書管理サーバとして機能させることを特徴とする。
また、本発明に係るプログラムは、コンピュータに読み込んで実行させることにより、コンピュータを上述の作業端末として機能させることを特徴とする。
以上のように、本発明によれば、作業端末が監視状態にある間に限り、管理文書を作業端末で利用することができ、作業端末が監視状態にない間は管理文書は暗号化され、作業端末側に復号鍵が残らないため、管理文書の漏洩を一定の高水準で抑止することが可能となる。
また、作業端末が監視状態にある間に管理文書が仮に漏洩した場合にも、作業端末で行われたイベントに関する証拠性情報が、文書管理サーバに検証可能な履歴として残されるため、その漏洩の法的責任を明確にすることができる。
更に、作業端末が監視状態にある間は、管理文書を平文化して利用することができるので、市販の作業端末やアプリケーションでの使用が可能で管理文書の修正等も可能となる。
以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。
図1は、本発明の実施例1に係る文書管理システム1の構成を表す図である。
本実施例に係る文書管理システム1は、1台の文書管理サーバ2と、1乃至複数の作業端末3を備えており、文書管理サーバ2と各作業端末3とがインターネット等のネットワーク4により接続されている。作業端末3としては、市販のパーソナルコンピュータ、ノートパソコン、PDAなどが使用される。
本実施例1における文書管理システム1は、文書管理サーバ2及び各作業端末3において実行させるコンピュータ・プログラムとして提供される。そして、それらのコンピュータ・プログラムを文書管理サーバ2及び各作業端末3において実行することによって、文書管理システム1が機能的に実現される。
文書管理システム1は、管理対象である電子化された管理文書を管理するシステムである。各管理文書は、文書管理システム1に保存されているとともに、必要に応じて、使用者が作業端末3に暗号化された管理文書を保存して持ち出すことができる。作業端末3に保存された各管理文書は、公開鍵暗号方式によって暗号化されており、暗号鍵は文書管理システム1において保存・管理される。また、各管理文書には、固有の文書IDが割り当てられている。ここで、「文書ID」とは、ある管理文書を他の管理文書と識別するための識別コードである。
図2は、図1の文書管理システム1の機能構成を表したブロック図である。
文書管理サーバ2は、管理文書記憶手段5、暗号鍵記憶手段6、認証情報記憶手段7、証拠性情報記憶手段8、サーバ側認証手段9、文書機密属性認定手段10、暗号化判定手段11、暗号鍵送信手段12、配布履歴記憶手段13、サーバ側監視化手段14、証拠性情報収集手段15、監視解除手段16、アクセス権記憶手段17、アクセス権管理手段18、及びサーバ側定常監視手段19を備えている。
アクセス権記憶手段17は、各使用者に対するアクセス権限に関する情報を記憶する。ここで、「アクセス権限」とは、文書管理システム1において、ファイルやシステム等を利用する権限をいう。アクセス権限は、多段階のレベルによって指定されており、アクセス権限のレベルによって利用可能な管理文書の種類、及び管理文書ファイルに対して行うことができる操作が限定される。
管理文書記憶手段5には、組織で管理する管理文書及びその機密属性に関する情報が保存されている。ここで、「機密属性」とは、管理文書にアクセスすることができる者を制限するために、その管理文書の機密度を表す属性であり、アクセス権限のレベルによって指定されている。
暗号鍵記憶手段6には、管理文書を文書管理サーバ2の作業端末3により持ち出して使用する際に、当該管理文書を暗号化又は復号する暗号鍵が記憶されている。
認証情報記憶手段7には、各作業端末3を使用する使用者を認証するための認証情報(ID,パスワード等)を記憶する記憶手段である。
証拠性情報記憶手段8は、管理文書が作業端末3において使用された際に、その使用をした者,管理文書の操作(追加,変更,保存、コピー等)を行ったプロセス,管理文書に対して行われた操作(イベント)の種類及びその操作時刻等の、管理文書に関する情報の流れ及び情報を流す主体に関する立証可能な情報(以下「証拠性情報」という。)を記憶する。
これら、アクセス権記憶手段17、管理文書記憶手段5、暗号鍵記憶手段6、認証情報記憶手段7、及び証拠性情報記憶手段8は、磁気ディスク装置等の外部記憶装置により構成されている。
サーバ側認証手段9は、作業端末3から、その作業端末3の使用者の認証情報が送信されてきた場合に、その認証情報に基づいて使用者の認証を行う。
アクセス権管理手段18は、認証された使用者のアクセス権をアクセス権記憶手段17から索出する。
文書機密属性認定手段10は、作業端末3において開こうとしている管理文書の機密属性の認定を行う。
暗号化判定手段11は、管理文書の暗号鍵の選択を行う。
暗号鍵送信手段12は、作業端末3に対して、暗号鍵記憶手段6に記憶された当該作業端末3で開こうとしている管理文書の暗号鍵(初期復号鍵)、及び当該管理文書を再暗号化する際の暗号鍵(次期暗号鍵)を、当該作業端末3に送信する。
配布履歴記憶手段13は、文書管理サーバ2が作業端末3に暗号鍵を送信した場合に、その送信履歴を証拠性情報記憶手段8に保存する。
サーバ側監視化手段14は、文書管理サーバ2が作業端末3に初期復号鍵及び次期暗号鍵を送信した場合に、文書管理サーバ2を、当該作業端末3を監視する監視状態とする。以下、文書管理サーバ2の監視状態における一連のインタラクティブな操作を「監視セッション」という。
サーバ側定常監視手段19は、文書管理サーバ2が監視セッションにある場合ときに、作業端末3との間で一定の時間間隔で信号を交信することによって、作業端末3が文書管理サーバ2と接続状態にあることを監視する。このとき、サーバ側定常監視手段19が作業端末3に送信する監視信号を「定常監視要求」、定常監視要求に対して作業端末3からサーバ側定常監視手段19へ送信される応答信号を「定常監視応答」という。
証拠性情報収集手段15は、監視状態にある作業端末3から送信される各証拠性情報を、証拠性情報記憶手段8に保存する。
監視解除手段16は、監視状態にある作業端末3から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末3の監視状態を解除する。
一方、各作業端末3は、暗号鍵一時記憶手段22、端末側認証手段23、暗号鍵要求手段24、文書復号手段25、端末側監視化手段26、証拠性情報取得手段27、証拠性情報送信手段28、ソフトウェアシステム29、再暗号化手段30、イベントルール記憶手段31、異常イベント検出手段32、強制セッション終了手段33、端末側定常監視手段34、及びアクセス管理手段35を備えている。
暗号鍵一時記憶手段22は、文書管理サーバ2から受信する暗号鍵を一時的に記憶する。暗号鍵一時記憶手段22は、SRAMやDRAMなどの揮発性のメモリで構成される。
端末側認証手段23は、管理文書を開く際に、文書管理サーバ2に対し自己の認証情報を送信する。
暗号鍵要求手段24は、文書管理サーバ2から認証確認情報を受信した場合、文書管理サーバ2に対して鍵要求を送信する。
文書復号手段25は、文書管理サーバ2から初期復号鍵及び次期暗号鍵を受信した場合、次期暗号鍵を暗号鍵一時記憶手段22に保存するとともに、初期復号鍵により管理文書を復号して平文化し平文管理文書を作成する。
端末側監視化手段26は、初期復号鍵及び次期暗号鍵を受信した場合に、当該作業端末3を監視状態に設定する。以下、作業端末3の監視状態における一連のインタラクティブな操作を「監視セッション」という。
端末側定常監視手段34は、作業端末3が監視セッションにある場合ときに、文書管理サーバ2との間で一定の時間間隔で信号を交信することによって、文書管理サーバ2が作業端末3と接続状態にあることを監視する。
証拠性情報取得手段27は、管理文書が当該作業端末3において使用された際に、当該管理文書の操作(追加,変更,保存、コピー等)を行ったプロセス,当該管理文書に対して行われた操作(イベント)の種類及びその操作時刻等の証拠性情報を取得する。この証拠性情報取得手段27は、アプリケーション監視手段27a、管理文書アクセス監視手段27b、及びイベント監視手段27cを備えている。
アプリケーション監視手段27aは、起動されている各アプリケーション・ソフトウェア44を監視し、各アプリケーション・ソフトウェア44内で発生する各イベントの情報を取得する。
管理文書アクセス監視手段27bは、ファイルシステム43を監視し、管理文書に対するアクセスのイベントを取得する。
イベント監視手段27cは、OS41とデバイスドライバ42、デバイスドライバ42とアプリケーション・ソフトウェア44、又はファイルシステム43とアプリケーション・ソフトウェア44の間のAPI(Application Program Interface)を監視し、所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集する。
証拠性情報送信手段28は、証拠性情報取得手段27が取得する証拠性情報を、文書管理サーバ2に送信する。
ソフトウェアシステム29は、作業端末3における一般のコンピュータ・プログラム(本発明に係る文書管理システム1に係るプログラム以外のプログラム)によって機能的に実現されたシステムである。ソフトウェアシステム29は、OS41、デバイスドライバ42、ファイルシステム43、及びアプリケーション・ソフトウェア44から成り立っている。
OS(Operating System)41は、キーボード入力や画面出力といった入出力機能やディスクやメモリの管理など、多くのアプリケーション・ソフトウェア44から共通して利用される基本的な機能を提供し、作業端末3全体を管理するソフトウェアである。
デバイスドライバ42は、周辺機器(プリンタ,スキャナ,マウス等)やアプリケーション・ソフトウェア44を動作させるためのソフトウェアであって、OS41が周辺機器やアプリケーション・ソフトウェア44を制御するための橋渡しを行なうものである。
ファイルシステム43は、記憶装置に記録されているデータを管理するシステムである。ファイルシステム43は、暗号化された管理文書を記憶する文書記憶手段43aを備えている。
アプリケーション・ソフトウェア44は、文書の作成、数値計算など、ある特定の目的のために設計されたソフトウェア(応用ソフト)である。
再暗号化手段30は、監視セッションが終了すると、次期暗号鍵を使用して、平文化された管理文書を再暗号化してファイルシステム43の文書記憶手段43aに保存するとともに、平文化された管理文書を削除する。
イベントルール記憶手段31は、管理文書に対して行われたイベントが、証拠性情報として収集すべき種類のものであるか否か、そのイベントが管理文書に対して行われる操作として許可されたもの(許可イベント)であるか否か、また、使用者のアクセス権限において許可されたもの(権限内イベント)であるか否か等のイベントの関する規則(以下「イベントルール」という。)を記憶する。例えば、管理文書に対しては「上書き」「別名保存」「削除」の操作は許されていないので、イベントルールにおいては、これらのイベントに対しては許可イベントではないとされる。
異常イベント検出手段32は、証拠性情報取得手段27が収集するイベントに対して、イベントルールを参照し、そのイベントが管理文書に対して行われる操作として許可されたものでない場合や使用者のアクセス権限において許可されたものでない場合に、異常イベントとして警報信号を出力する。
強制セッション終了手段33は、異常イベント検出手段32が警報信号を出力した場合、強制的に監視セッションを終了するとともに、
アクセス管理手段35は、使用者のアクセス権限に基づいて、管理文書に対して行われる操作の制限を行う。例えば、アクセス権限が低い場合には、管理文書の「閲覧」操作のみに制限し、「上書き」、「別名保存」、「削除」等の動作は禁止するというような制限を行う。具体的には、アクセス管理手段35は、ソフトウェアシステム29で発行される各イベントを監視し、特性のイベントに対しては実行を禁止することによって、操作の制限を行う。
以上のように構成された本実施例に係る文書管理システム1について、以下その動作を説明する。
図3は、文書管理システム1の動作を表すフローチャートである。
まず、ステップS1において、作業端末3を使用する使用者は、作業端末3を文書管理サーバ2に回線接続し、次いで作業端末3から当該使用者の認証情報を入力する。ここで、「認証情報」としては、一般的には、当該使用者の使用者ID及びパスワードが用いられる。端末側認証手段23は、入力された認証情報を、文書管理サーバ2に送信する。
ステップS101において、文書管理サーバ2のサーバ側認証手段9は、作業端末3から認証情報を受信する。
ステップS102において、サーバ側認証手段9は、受信した当該認証情報(以下「受信認証情報」という。)が認証情報記憶手段7に保存された認証情報と一致するか否かを判定する。もし、認証情報記憶手段7に保存された認証情報に受信認証情報と一致するものがない場合、サーバ側認証手段9は、作業端末3に認証拒否情報を送信し(S103)、文書管理サーバ2の動作を終了させる。
一方、ステップS102において、認証情報記憶手段7に保存された認証情報に受信認証情報と一致するものがあった場合、サーバ側認証手段9は、作業端末3に認証確認情報を送信する(S104)。そして、サーバ側監視化手段14は、文書管理サーバ2側において監視セッションを開始し、サーバ側定常監視手段19による定常監視が開始される。
ここで、文書管理サーバ2側では、以下のような定常監視動作が実行される。まず、サーバ側定常監視手段19は、作業端末3に対して定常監視要求を送信する(S120)。次に、そして、作業端末3側から定常監視応答が送信されてくるまでの時間(応答時間)を計測する(S121)。応答時間が所定の時間(要求時間)以下であれば、再びステップS120に戻る。応答時間が要求時間を超えた場合には、作業端末3が回線切断されたと判断し、文書管理サーバ2の監視セッションを終了し、文書管理サーバ2における異常終了処理を行い、文書管理サーバ2の動作を終了する。ここで、文書管理サーバ2における異常終了処理とは、作業端末3の回線が切断された時刻と、そのときの使用者の使用者ID,作業端末3で使用されている管理文書のID等の必要な証拠性情報を、証拠性情報記憶手段8に保存する処理である。
尚、文書管理サーバ2においては、ステップS105〜S114(後述)の間、上述の定常監視処理が他の処理と平行して実行される。
一方、ステップS2において、作業端末3の端末側認証手段23は、文書管理サーバ2から送信される前記認証確認情報又は前記認証拒否情報を受信する。そして、ステップS3において、端末側認証手段23は、認証拒否情報を受信した場合、認証不成功と判断し、終了する。一方、認証確認情報を受信した場合には、認証成功と判断し、次のステップS4において、端末側監視化手段26は、作業端末3側において監視セッションを開始し、端末側定常監視手段34による定常監視が開始される。また、このとき同時に、作業端末3におけるイベント監視も開始される。
ここで、作業端末3側では、以下のような定常監視動作が実行される。まず、端末側監視化手段26は、文書管理サーバ2から定常監視要求を受信すると文書管理サーバ2に対して定常監視応答を送信する(S21)。次に、そして、文書管理サーバ2側から再び定常監視要求が送信されてくるまでの時間(応答時間)を計測する(S22)。応答時間が所定の時間(要求時間)以下であれば、再びステップS21に戻る。応答時間が要求時間を超えた場合には、文書管理サーバ2が回線切断されたと判断し、作業端末3の監視セッションを終了し、作業端末3における異常終了処理を行い、作業端末3の動作を終了する。ここで、作業端末3における異常終了処理とは、後述のステップS11〜S13の処理をいう。
また、作業端末3におけるイベント監視は次のようにして実行される。まず、証拠性情報取得手段27は、ソフトウェアシステム29でイベントが発行された場合、そのイベント(以下「発行イベント」という。)の種類、発行イベントが発行された時刻、及び発行イベントを実行したプロセスを特定する情報を取得する(S31)。ここで、「プロセス」とは、OS41からメモリ領域などの割り当てを受けて処理を実行しているプログラムをいう。「プロセスを特定する情報」とは、プロセスIDのように、あるプロセスを他のプロセスから識別することができる情報をいう。次に、証拠性情報取得手段27は、イベントルール記憶手段31を参照し、発行イベントは監視対象のイベントであるか否かを判定する(S32)。監視対象でなければステップS31に戻る。もし発行イベントが監視対象のイベントであった場合、証拠性情報送信手段28は、発行イベントの種類、発行イベントが発行された時刻、及び発行イベントを実行したプロセスを特定する情報を、文書管理サーバ2に送信する(S33)。次に、異常イベント検出手段32は、イベントルール記憶手段31を参照し、発行イベントが管理文書に対して行われる操作として許可されたもの(許可イベント)であるか、また、使用者のアクセス権限において許可されたもの(権限内イベント)であるかを検査する。もし、発行イベントが許可イベントであり且つ権限内イベントである場合、その発行イベントは実行され、ステップS21に戻る。一方、もし、発行イベントが許可イベントではないか又は権限内イベントではない場合、異常イベント検出手段32は、その発行イベントの実行を禁止する。そして、作業端末3における異常終了処理を行い、作業端末3の動作を終了する。ここで、作業端末3における異常終了処理とは、後述のステップS11〜S13の処理をいう。
尚、作業端末3においては、ステップS4〜S13(後述)の間、上述の定常監視処理及びイベント監視処理が他の処理と平行して実行される。
上記ステップS4の処理が終わると、次に、ステップS5において、使用者は、作業端末3において、作業を行おうとする管理文書(以下「対象文書」という。)を、文書記憶手段43aに記憶された管理文書の中から選択し、対象文書を開く指示を入力する。対象文書を開く指示が入力されると、暗号鍵要求手段24は、文書管理サーバ2に対して、作業文書の文書IDとともに暗号鍵要求を送信する。
ステップS106において、文書管理サーバ2が、文書ID及び暗号鍵要求を受信する。ステップS107において、文書機密属性認定手段10は、文書IDに基づき管理文書記憶手段5を検索し、対象文書に対する機密属性を索出する。そして、使用者のアクセス権限と対象文書の機密属性を比較して、当該使用者が当該対象文書にアクセスする権限があるか否かを検査する。もし、当該使用者が当該対象文書にアクセスする権限がない場合、文書機密属性認定手段10は、作業端末3に対しアクセス拒否情報を送信し(S108)、終了する。一方、当該使用者が当該対象文書にアクセスする権限がある場合には、ステップS109において、暗号化判定手段11は、対象文書の暗号鍵(初期復号鍵)を暗号鍵記憶手段6から索出する。また、暗号化判定手段11は、当該対象文書を再暗号化する際の暗号鍵(次期暗号鍵)を生成する。そして、暗号鍵送信手段12は、初期復号鍵、次期暗号鍵、及び使用者のアクセス権限の情報を、作業端末3に送信する。配布履歴記憶手段13は、送信した初期復号鍵及び次期暗号鍵、送信先の作業端末3の特定情報、使用者IDを、配布履歴情報として、タイムスタンプ及び電子署名を付加した上で証拠性情報記憶手段8に保存する。
ステップS7において、暗号鍵要求手段24は、文書管理サーバ2から初期復号鍵、次期暗号鍵、及び使用者のアクセス権限の情報を受信すると、初期復号鍵及び次期暗号鍵を暗号鍵一時記憶手段22に保存する。次いで、ステップS8において、文書復号手段25は、初期復号鍵を用いて対象文書を復号し平文化し、これを文書記憶手段43aに保存する。以下、平文化された対象文書を「平文化対象文書」という。
使用者は、平文化対象文書に対して、当該平文化対象文書を閉じる指示が入力されるまで、作業端末3において閲覧や編集を行うことができる(S9,S10)。但し、平文化対象文書に対して閲覧や編集を行う際には、アクセス管理手段35により、アクセス権限に応じて使用者の操作が制限される。
ステップS10において、平文化対象文書を閉じる指示が入力されると、以下のステップS11〜S13の監視セッション終了処理が行われる。
まず、ステップS11において、再暗号化手段30は、暗号鍵一時記憶手段22に記憶された次期暗号鍵を用いて、平文化対象文書の暗号化を行う。次いで、ステップS12において、暗号化した対象文書(以下「再暗号化対象文書」という。)を文書記憶手段43aに保存するとともに、文書記憶手段43aに記憶されている平文化対象文書を消去する。最後に、ステップS13において、証拠性情報取得手段27及び証拠性情報送信手段28は、イベント監視処理を終了すると共に、端末側定常監視手段34は端末側の定常監視処理を終了する。
一方、文書管理サーバ2においては、作業端末3においてイベント監視処理が実行されている観は、作業端末3から、逐次、証拠性情報が送信されてくる。上述のステップS33において、作業端末3から文書管理サーバ2に証拠性情報が送信されると、ステップS111において、文書管理サーバ2の証拠性情報収集手段15が証拠性情報を受信する。そして、ステップS112において、証拠性情報収集手段15は、受信した証拠性情報に、タイムスタンプと電子署名を付加して、証拠性情報記憶手段8に保存する。このステップS111,S112の操作を、作業端末3における対象文書に対する作業が終了するまで繰り返す(S113)。尚、作業端末3における対象文書に対する作業が終了したか否かは、再暗号化対象文書の保存のイベントに係る証拠性情報を検出することで、判定することができる。
ステップS13において、作業端末3において対象文書に対する作業が終了すると、ステップS114において、監視解除手段16は、サーバ側定常監視手段19の定常監視処理を中止させるとともに、作業端末3の回線接続のログアウト処理を行い、終了する。
図1は、本発明の実施例1に係る文書管理システムの構成を表す図である。 図1の文書管理システム1の機能構成を表したブロック図である。 文書管理システム1の動作を表すフローチャートである。
符号の説明
1 文書管理システム
2 文書管理サーバ
3 作業端末
4 ネットワーク
5 管理文書記憶手段
6 暗号鍵記憶手段
7 認証情報記憶手段
8 証拠性情報記憶手段
9 サーバ側認証手段
10 文書機密属性認定手段
11 暗号化判定手段
12 暗号鍵送信手段
13 配布履歴記憶手段
14 サーバ側監視化手段
15 証拠性情報収集手段
16 監視解除手段
17 アクセス権記憶手段
18 アクセス権管理手段
19 サーバ側定常監視手段
22 暗号鍵一時記憶手段
23 端末側認証手段
24 暗号鍵要求手段
25 文書復号手段
26 端末側監視化手段
27 証拠性情報取得手段
27a アプリケーション監視手段
27b 管理文書アクセス監視手段
27c イベント監視手段
28 証拠性情報送信手段
29 ソフトウェアシステム
30 再暗号化手段
31 イベントルール記憶手段
32 異常イベント検出手段
33 強制セッション終了手段
34 端末側定常監視手段
35 アクセス管理手段
41 OS
42 デバイスドライバ
43 ファイルシステム
43a 文書記憶手段
44 アプリケーション・ソフトウェア

Claims (6)

  1. 管理対象である電子化された文書(以下「管理文書」という。)の秘密管理を行う文書管理システムであって、
    文書管理サーバと、
    前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
    を備え、
    前記文書管理サーバは、
    前記各管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
    前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
    前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、
    監視状態にない前記作業端末からの前記認証情報を受信した場合、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証手段と、
    前記認証確認信号を送信された作業端末から特定の管理文書の鍵要求を受信した場合、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の暗号鍵(以下「初期復号鍵」という。)、及び当該管理文書を再暗号化する際の暗号鍵(以下「次期暗号鍵」という。)を、送信する暗号鍵送信手段と、
    前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化手段と、
    監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集手段と、
    監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除手段と、を備え、
    前記各作業端末は、
    暗号化された前記管理文書(以下「暗号化管理文書」という。)を記憶する文書記憶手段と、
    前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
    前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する端末側認証手段と、
    前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する暗号鍵要求手段と、
    前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信した場合、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記暗号化管理文書を復号して平文化した管理文書(以下「平文管理文書」という。)を作成する文書復号手段と、
    前記認証確認情報を受信した場合又は前記初期復号鍵及び次期暗号鍵を受信した場合に、自己を監視状態に設定する端末側監視化手段と、
    自己が監視状態にある場合、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集する証拠性情報取得手段と、
    前記証拠性情報を前記文書管理サーバに送信する証拠性情報送信手段と、
    監視状態において前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、
    を備えた文書管理システム。
  2. 文書管理サーバと、
    前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
    を備え、
    前記文書管理サーバは、
    管理対象である電子化された管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
    前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
    前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、を具備し、
    前記作業端末は、暗号化された管理文書である暗号化管理文書を記憶する文書記憶手段と、
    前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
    を具備したシステムにおいて、管理文書の秘密管理を行う文書管理方法であって、
    前記作業端末において、前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する認証情報送信ステップと、
    前記文書管理サーバにおいて、前記作業端末からの前記認証情報を受信すると、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証ステップと、
    前記作業端末において、前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する鍵要求ステップと、
    前記文書管理サーバにおいて、前記鍵要求を受信すると、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の初期復号鍵、及び当該管理文書を再暗号化する際の次期暗号鍵を、送信する暗号鍵送信ステップと、
    前記作業端末において、前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信すると、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記暗号化管理文書を復号して平文化した平文管理文書を作成する文書復号手段と、
    前記作業端末において、前記認証確認情報を受信したとき又は前記初期復号鍵及び次期暗号鍵を受信したときに、自己を監視状態に設定する端末側監視化ステップと、
    前記文書管理サーバにおいて、前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化ステップと、
    監視状態に設定された前記作業端末において、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を、前記文書管理サーバに逐次送信する証拠性情報監視ステップと、
    前記文書管理サーバにおいて、監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集ステップと、
    監視状態に設定された前記作業端末において、前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、
    監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除ステップと、
    を備えた文書管理方法。
  3. 文書管理サーバと、
    前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
    を備え、前記作業端末で利用される管理対象である電子化された管理文書の秘密管理を行う文書管理システムにおいて使用される文書管理サーバであって、
    前記各管理文書を暗号化又は復号するための暗号鍵を記憶する暗号鍵記憶手段と、
    前記各作業端末で実行されるイベントのうち所定の種類のイベント及びそれを実行したプロセスを特定する情報である証拠性情報を記憶する証拠性情報記憶手段と、
    前記各作業端末を使用する使用者を認証するための認証情報を記憶する認証情報記憶手段と、
    監視状態にない前記作業端末からの前記認証情報を受信した場合、当該認証情報を前記認証情報記憶手段に記憶された当該作業端末の認証情報と照合するともに、両者が一致した場合には、当該作業端末に認証確認信号を送信するサーバ側認証手段と、
    前記認証確認信号を送信された作業端末から特定の管理文書の鍵要求を受信した場合、当該作業端末に対して、前記暗号鍵記憶手段に記憶された当該管理文書の初期復号鍵、及び当該管理文書を再暗号化する際の次期暗号鍵を、送信する暗号鍵送信手段と、
    前記認証確認信号を送信した作業端末又は前記初期復号鍵及び次期暗号鍵を送信した作業端末を、監視状態に設定するサーバ側監視化手段と、
    監視状態にある前記作業端末から受信される前記各証拠性情報を前記証拠性情報記憶手段に保存する証拠性情報収集手段と、
    監視状態にある前記作業端末から管理文書の再暗号化の証拠性情報を受信した場合、当該作業端末の監視状態を解除する監視解除手段と、
    を備えた文書管理サーバ。
  4. コンピュータに読み込んで実行させることにより、コンピュータを請求項3に記載の文書管理サーバとして機能させることを特徴とするプログラム。
  5. 文書管理サーバと、
    前記文書管理サーバとネットワークを介して接続される一乃至複数の作業端末と、
    を備え、前記作業端末で利用される管理対象である電子化された管理文書の秘密管理を行う文書管理システムにおいて使用される作業端末であって、
    暗号化された前記管理文書(以下「暗号化管理文書」という。)を記憶する文書記憶手段と、
    前記管理サーバから受信する暗号鍵を一時的に記憶する暗号鍵一時記憶手段と、
    前記文書記憶手段に記憶された前記管理文書を開く際に、前記文書管理サーバに対し認証情報を送信する端末側認証手段と、
    前記文書管理サーバから認証確認情報を受信した場合において、前記文書管理サーバに対して鍵要求を送信する暗号鍵要求手段と、
    前記文書管理サーバから初期復号鍵及び次期暗号鍵を受信した場合、前記次期暗号鍵を前記暗号鍵一時記憶手段に保存するとともに、前記初期復号鍵により前記管理文書を復号して平文化した平文管理文書を作成する文書復号手段と、
    前記認証確認情報を受信した場合又は前記初期復号鍵及び次期暗号鍵を受信した場合に、自己を監視状態に設定する端末側監視化手段と、
    自己が監視状態にある場合、当該作業端末で実行されるすべてのイベントのうち所定の種類のイベント及びそれを行ったプロセスの情報である証拠性情報を収集する証拠性情報取得手段と、
    前記証拠性情報を前記文書管理サーバに送信する証拠性情報送信手段と、 監視状態において前記管理文書を閉じる場合、前記暗号鍵一時記憶手段に記憶された次期暗号鍵により前記平文管理文書を暗号化して暗号化管理文書を作成し前記文書記憶手段に保存するとともに、前記次期暗号鍵及び前記平文管理文書を消去し監視状態を解除する再暗号化手段と、
    を備えた作業端末。
  6. コンピュータに読み込んで実行させることにより、コンピュータを請求項5に記載の作業端末として機能させることを特徴とするプログラム。
JP2006346794A 2006-12-22 2006-12-22 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム Expired - Fee Related JP4471129B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006346794A JP4471129B2 (ja) 2006-12-22 2006-12-22 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006346794A JP4471129B2 (ja) 2006-12-22 2006-12-22 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2008160485A true JP2008160485A (ja) 2008-07-10
JP4471129B2 JP4471129B2 (ja) 2010-06-02

Family

ID=39660895

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006346794A Expired - Fee Related JP4471129B2 (ja) 2006-12-22 2006-12-22 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム

Country Status (1)

Country Link
JP (1) JP4471129B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011128985A (ja) * 2009-12-18 2011-06-30 Toshiba Corp アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法
JP2011227673A (ja) * 2010-04-19 2011-11-10 Nec Corp ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム
JP2012128536A (ja) * 2010-12-13 2012-07-05 Internatl Business Mach Corp <Ibm> データ保護処理プログラム
JP2012156809A (ja) * 2011-01-26 2012-08-16 Fuji Xerox Co Ltd コンテンツ配信システム、携帯通信端末装置、及び閲覧制御プログラム
CN114363319A (zh) * 2020-08-26 2022-04-15 腾讯科技(深圳)有限公司 管理文件处理方法、装置、介质以及电子设备
CN116089986A (zh) * 2023-04-07 2023-05-09 深圳天谷信息科技有限公司 可配置保密策略的电子文档管理方法、装置、设备及介质

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011128985A (ja) * 2009-12-18 2011-06-30 Toshiba Corp アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法
US8515067B2 (en) 2009-12-18 2013-08-20 Kabushiki Kaisha Toshiba Account aggregation system, information processing apparatus and encryption key management method of the account aggregation system
JP2011227673A (ja) * 2010-04-19 2011-11-10 Nec Corp ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム
JP2012128536A (ja) * 2010-12-13 2012-07-05 Internatl Business Mach Corp <Ibm> データ保護処理プログラム
JP2012156809A (ja) * 2011-01-26 2012-08-16 Fuji Xerox Co Ltd コンテンツ配信システム、携帯通信端末装置、及び閲覧制御プログラム
CN114363319A (zh) * 2020-08-26 2022-04-15 腾讯科技(深圳)有限公司 管理文件处理方法、装置、介质以及电子设备
CN114363319B (zh) * 2020-08-26 2023-04-18 腾讯科技(深圳)有限公司 监管文件处理方法、装置、介质以及电子设备
CN116089986A (zh) * 2023-04-07 2023-05-09 深圳天谷信息科技有限公司 可配置保密策略的电子文档管理方法、装置、设备及介质
CN116089986B (zh) * 2023-04-07 2023-08-25 深圳天谷信息科技有限公司 可配置保密策略的电子文档管理方法、装置、设备及介质

Also Published As

Publication number Publication date
JP4471129B2 (ja) 2010-06-02

Similar Documents

Publication Publication Date Title
US8918633B2 (en) Information processing device, information processing system, and program
JP4759513B2 (ja) 動的、分散的および協働的な環境におけるデータオブジェクトの管理
JP3516591B2 (ja) データの保存方法およびシステム並びにデータ保存処理用記録媒体
US20050273600A1 (en) Method and system for file data access within a secure environment
US20030200459A1 (en) Method and system for protecting documents while maintaining their editability
CN109923548A (zh) 通过监管进程访问加密数据实现数据保护的方法、***及计算机程序产品
JP3453842B2 (ja) セキュアシステム
US20070074038A1 (en) Method, apparatus and program storage device for providing a secure password manager
US20100043070A1 (en) File-access control apparatus and program
KR101387600B1 (ko) 전자 파일 전달 방법
JP4662138B2 (ja) 情報漏洩防止方法及びシステム
CN102227734A (zh) 用于保护机密文件的客户端计算机和其服务器计算机以及其方法和计算机程序
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
US8776258B2 (en) Providing access rights to portions of a software application
CN114175580B (zh) 增强的安全加密和解密***
JP2006174466A (ja) データ処理における暗号化技術の信用できる信頼性の高い実施
US20030044018A1 (en) Apparatus for and method of controlling propagation of decryption keys
JP4471129B2 (ja) 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム
JP2008123049A (ja) ファイル自動復号暗号化システム、その方法およびプログラム
KR20030084798A (ko) 문서보안 시스템
JP5601840B2 (ja) ネットワークへの情報流出防止装置
JP3976738B2 (ja) 機密文書管理装置、機密文書管理方法および機密文書管理プログラム
US10726104B2 (en) Secure document management
JP5631251B2 (ja) 情報漏洩防止方法
Foltz et al. Simplified key management for digital access control of information objects

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090617

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20090617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090617

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20090730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100212

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100223

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130312

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4471129

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130312

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140312

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140312

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees