JP2015056090A - File access control device, file access control program, and file access control method - Google Patents

File access control device, file access control program, and file access control method Download PDF

Info

Publication number
JP2015056090A
JP2015056090A JP2013190022A JP2013190022A JP2015056090A JP 2015056090 A JP2015056090 A JP 2015056090A JP 2013190022 A JP2013190022 A JP 2013190022A JP 2013190022 A JP2013190022 A JP 2013190022A JP 2015056090 A JP2015056090 A JP 2015056090A
Authority
JP
Japan
Prior art keywords
file
access
encrypted
encrypting
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013190022A
Other languages
Japanese (ja)
Other versions
JP6092057B2 (en
Inventor
鮫島 吉喜
Yoshiki Samejima
吉喜 鮫島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2013190022A priority Critical patent/JP6092057B2/en
Publication of JP2015056090A publication Critical patent/JP2015056090A/en
Application granted granted Critical
Publication of JP6092057B2 publication Critical patent/JP6092057B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To solve such a problem that a file can be stolen by malware without being recognized by a user, and information can be leaked from a file in mailing and file transferring/sharing.SOLUTION: A file access control device is configured to: prepare a list which includes types of protection target files and applications that are authorized to access the protection target file without encrypting the file; authorize an application which is not included in the list to access the protection target file after encrypting the file; and automatically decrypt the file which is encrypted and saved.

Description

本発明は、コンピュータ上のファイルを保護する装置、プログラム及び方法に関するものであり、例えば、マルウェアに感染したPC(パーソナルコンピュータ)で文書ファイルがネットワーク経由で外部に転送されて、情報が漏洩してしまうことを防ぐとともに、既存のアプリケーションを使ったファイル転送やファイル共有を行う場合には自動的に暗号化して転送又は共有することでファイルを保護する装置、プログラム及び方法に関わる。   The present invention relates to an apparatus, a program, and a method for protecting a file on a computer. For example, a document file is transferred outside via a network on a PC (personal computer) infected with malware, and information is leaked. The present invention relates to an apparatus, a program, and a method for protecting a file by automatically encrypting and transferring or sharing when performing file transfer or file sharing using an existing application.

コンピュータ上のファイルの情報が外部に漏洩してしまうのを防止する技術として、ファイル暗号、セキュアOS(オペレーティングシステム)、Digital Rights Management(DRM)がある。   There are file encryption, secure OS (Operating System), and Digital Rights Management (DRM) as a technique for preventing the file information on the computer from leaking to the outside.

非特許文献1には、利用者がファイルやフォルダを暗号化して別ファイルとして保存することができ、ファイル転送やファイル共有の際にネットワークで情報が漏洩することを防ぐことができることが開示されている。   Non-Patent Document 1 discloses that a user can encrypt a file or folder and save it as a separate file, and can prevent information leakage on the network during file transfer or file sharing. Yes.

非特許文献2は、OS組み込みのファイル暗号の概要を示している。本技術を使えば、ファイルは自動的に暗号化及び復号され、非特許文献1と異なり利用者が意識せずともディスク上のファイルは暗号化されている。   Non-Patent Document 2 shows an outline of file encryption built in the OS. If this technique is used, the file is automatically encrypted and decrypted, and unlike the non-patent document 1, the file on the disk is encrypted without the user being aware of it.

非特許文献3は、セキュアOSの一つであるSecurity−Enhanced Linux(SELinux)の概要を示している。一般のOSでは、どの利用者がどのファイルにアクセス可能であるかの制御が可能であるのに対して、SELinuxではどのプロセスがどのファイルにアクセス可能であるかの制御が可能である。   Non-Patent Document 3 shows an outline of Security-Enhanced Linux (SELLinux), which is one of secure OSs. In a general OS, which user can access which file can be controlled, while in SELinux, which process can access which file.

特許文献1は、セキュアOSと同様にファイルの付加情報に応じて、外部にファイルを送信したり、暗号化したりする制御を行うことが開示されている。   Japanese Patent Application Laid-Open No. 2004-133620 discloses performing control for transmitting a file to the outside or encrypting the file according to additional information of the file as in the secure OS.

特許文献2は、文書管理を含め、アプリケーションにプラグインできるDRMのシステムを示している。   Patent document 2 shows a DRM system that can be plugged into an application, including document management.

“ZIPにパスワードをつける方法”、[online]、OSDN株式会社、[平成25年8月8日検索]、インターネット〈http://sevenzip.sourceforge.jp/howto/zip-password.html〉“How to add a password to ZIP”, [online], OSDN Inc., [Search August 8, 2013], Internet <http://sevenzip.sourceforge.jp/howto/zip-password.html> “BitLockerの概要”、[online]、2012年9月、マイクロソフト社、[平成25年8月8日検索]、インターネット〈http://technet.microsoft.com/ja-jp/library/hh831713.aspx〉“Outline of BitLocker”, [online], September 2012, Microsoft, [Search August 8, 2013], Internet <http://technet.microsoft.com/en-us/library/hh831713.aspx > 中村雄一、水上友宏、上野修一著、「SELinux徹底ガイド」、株式会社日経BP、2004年3月8日Yuichi Nakamura, Tomohiro Mizukami, Shuichi Ueno, “SELinux thorough guide”, Nikkei BP, Inc., March 8, 2004

特許第4051924号公報Japanese Patent No. 4051924 特開2012−155734号公報JP 2012-155734 A

非特許文献1では、利用者がファイルを指定して暗号化することができる。しかしながら、マルウェアがどのファイルを持ち出すかは事前にはわからないので、予め暗号化しておくことができない。もっとも全てのファイルを暗号化しておくことも可能だが、ファイルを閲覧するたびに復号し、ファイルを保存するたびに暗号化する必要があり、大変な手間がかかる。さらに暗号化するのを忘れる可能性がある。   In Non-Patent Document 1, a user can specify a file and encrypt it. However, since it is not known in advance which file the malware takes out, it cannot be encrypted in advance. Although it is possible to encrypt all the files, it is necessary to decrypt each time the file is viewed and to encrypt it every time the file is saved. In addition, you may forget to encrypt.

非特許文献2では、ディスク上では暗号化されているが、アプリケーションがファイルを読み込んだ時点では復号されている。マルウェアも復号されたままで外部にファイルを送信、持ち出してしまうことが可能であり、解決策とならない。   In Non-Patent Document 2, it is encrypted on the disk, but is decrypted when the application reads the file. It is possible to send and take out files to the outside while the malware is still decrypted, which is not a solution.

非特許文献3では、不正又は未登録のアプリケーションからのファイルへのアクセスを禁止することで、マルウェアによるファイルの外部への送信を防ぐことができる。しかしながら、既存のファイル転送又は共有を行う場合に、暗号化して転送又は共有することはできない。   In Non-Patent Document 3, by prohibiting access to a file from an unauthorized or unregistered application, transmission of the file to the outside by malware can be prevented. However, when transferring or sharing an existing file, it cannot be encrypted and transferred or shared.

特許文献1では、ファイルを機密と指定することで、ファイルを外部に送信する場合には暗号化することでマルウェアによる持出しを事実上無効化することができる。しかしながら、中継装置が必要であり、組織内のネットワーク構成を変更する必要がある。また、外部に送信される全てのファイルが暗号化されるため、当該システムを導入していない通信相手にファイルを送ることができない。   In Patent Literature 1, by specifying a file as confidential, when the file is transmitted to the outside, it is possible to effectively invalidate the export by malware. However, a relay device is necessary, and the network configuration in the organization needs to be changed. In addition, since all files transmitted to the outside are encrypted, the files cannot be sent to a communication partner that does not have the system installed.

特許文献2では、DRMプラグインを利用するアプリケーションが対応したファイル種別のファイルは保護できるが、未対応のファイル種別のファイルについては保護されない。   In Patent Document 2, a file type file supported by an application using a DRM plug-in can be protected, but an unsupported file type file is not protected.

そこで、本発明の目的は、保護が必要なファイルを自動的に暗号化してマルウェアによる持ち出しを防ぐとともに、正規の通信相手とは暗号化及び復号を意識することなく(自動的に暗号化及び復号して)ファイルを保護することができる装置、プログラム及び方法を提供することにある。さらに、本発明を導入していない相手にもパスワードや暗号鍵を共有しておくことで暗号化及び復号を意識することなくファイルを保護することができる装置、プログラム及び方法を提供することを目的としている。   Therefore, an object of the present invention is to automatically encrypt a file that needs to be protected to prevent it from being taken out by malware, and without being aware of encryption and decryption with an authorized communication partner (automatic encryption and decryption). To provide an apparatus, a program, and a method capable of protecting a file. Furthermore, an object of the present invention is to provide an apparatus, a program, and a method capable of protecting a file without being aware of encryption and decryption by sharing a password and an encryption key with a partner who has not introduced the present invention. It is said.

上述の目的を達成するため、本発明のファイルアクセス制御装置は、保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するオープン処理手段と、前記暗号化ファイルを前記アクセス終了後に復号するクローズ処理手段と、を有することを特徴とする。   In order to achieve the above object, the file access control device of the present invention includes a file type to be protected, a white list in which applications permitted to be accessed without encryption, and the file type to be protected The access request by the application registered in the white list to the file is permitted without encrypting the file, and the access request by the application not registered in the white list is accepted. Instead of the file, there is provided an open processing means for permitting access to an encrypted file obtained by encrypting the file, and a close processing means for decrypting the encrypted file after the access is completed.

さらに、本発明のファイルアクセス制御装置は、好ましくは、保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストをさらに備え、前記オープン処理手段が、前記保護対象となるファイル種別のファイルへのアクセス要求が前記グレーリストに登録されているアプリケーションによる場合には、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、前記クローズ処理手段が、前記暗号化ファイルを前記アクセス終了後に復号することを特徴とする。   Furthermore, the file access control device of the present invention preferably further includes a gray list that registers the file type to be protected and an application that needs to be inquired to the user for permitting access, and the open processing means includes: When the access request to the file of the file type to be protected is by an application registered in the greylist, the file is encrypted according to an instruction from the user as to whether or not to encrypt. Access to the encrypted file encrypted instead of the file, and the close processing means decrypts the encrypted file after the access is completed. To do.

さらに、本発明のファイルアクセス制御装置は、好ましくは、前記暗号化の対象となったファイルが、前記アクセス要求の際、既に暗号化されている場合には、前記オープン処理手段が、該既に暗号化されているファイルを改めて暗号化することなく、そのままアクセスを許可することを特徴とする。   Furthermore, the file access control device of the present invention is preferably configured so that, when the file to be encrypted is already encrypted at the time of the access request, the open processing means is already encrypted. It is characterized in that access is permitted as it is without re-encrypting the encrypted file.

さらに、本発明のファイルアクセス制御装置は、好ましくは、前記ファイル種別のファイル又はアプリケーションが独自の暗号化形式を有している場合、前記オープン処理手段が、該独自の暗号化形式によって、前記暗号化の対象となったファイルを暗号化することを特徴とする。   Furthermore, in the file access control device of the present invention, it is preferable that when the file or application of the file type has a unique encryption format, the open processing means uses the unique encryption format to execute the encryption. It is characterized by encrypting a file to be encrypted.

さらに、本発明のファイルアクセス制御装置は、好ましくは、前記暗号化の対象となったファイルが、暗号化可能な別のファイル種別のファイルに変換可能である場合に、前記オープン処理手段が、前記暗号化の対象となったファイルに代えて、これを変換して前記別のファイル種別のファイルを作成し、該作成したファイルを暗号化したファイルにアクセスを許可し、前記クローズ処理手段が、前記作成して暗号化したファイルを前記アクセス終了後に削除することを特徴とする。   Furthermore, the file access control device of the present invention is preferably configured such that, when the file to be encrypted can be converted into a file of another file type that can be encrypted, the open processing means includes Instead of the file to be encrypted, this is converted to create a file of the other file type, allowing access to the encrypted file of the created file, the close processing means, The created and encrypted file is deleted after the access is completed.

また、本発明のファイルアクセス制御プログラムは、保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストを有するコンピュータに、前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、前記暗号化ファイルを前記アクセス終了後に復号するステップと、を実行させることを特徴とする。   In addition, the file access control program of the present invention can transfer a file type to be protected to a file having a file type to be protected to a computer having a white list in which an application permitted to be accessed without encryption is registered. The access request by the application registered in the white list is permitted without encrypting the file, and the access request by the application not registered in the white list is permitted. Instead, a step of permitting access to an encrypted file obtained by encrypting the file and a step of decrypting the encrypted file after the access is completed are executed.

さらに、本発明のファイルアクセス制御プログラムは、好ましくは、保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストとを有するコンピュータに、前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリスト及び前記グレーリストのいずれにも登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、前記グレーリストに登録されているアプリケーションによるアクセス要求に対しては、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、前記暗号化ファイルを前記アクセス終了後に復号するステップと、を実行させることを特徴とする。   Further, the file access control program of the present invention preferably includes a file type to be protected, a white list in which applications permitted to be accessed without encryption, a file type to be protected and an access are registered. In response to an access request by an application registered in the white list to a file of the file type to be protected, a computer having a gray list that registers an application that needs to be inquired to the user for permission. In response to an access request by an application that permits access without encrypting the file and is not registered in either the white list or the gray list, an encryption that encrypts the file is used instead of the file. Access to the file Yes, for an access request by an application registered in the greylist, the access is permitted without encrypting the file in accordance with an instruction from the user whether to encrypt, or Instead of the file, a step of permitting access to an encrypted file obtained by encrypting the file and a step of decrypting the encrypted file after the access is completed are executed.

また、本発明のファイルアクセス制御方法は、保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストを参照するファイルアクセス制御方法であって、前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、前記暗号化ファイルを前記アクセス終了後に復号するステップと、を有することを特徴とする。   Further, the file access control method of the present invention is a file access control method for referring to a file type to be protected and a white list in which an application permitted to be accessed without encryption is registered, For an access request by an application registered in the white list to a file of the file type, the access is permitted without encrypting the file, and an access request by an application not registered in the white list is accepted. On the other hand, instead of the file, it has a step of permitting access to an encrypted file obtained by encrypting the file, and a step of decrypting the encrypted file after the access is completed.

さらに、本発明のファイルアクセス制御方法は、好ましくは、保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストとを参照するファイルアクセス制御方法であって、前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリスト及び前記グレーリストのいずれにも登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、前記グレーリストに登録されているアプリケーションによるアクセス要求に対しては、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、前記暗号化ファイルを前記アクセス終了後に復号するステップと、を有することを特徴とする。   Furthermore, the file access control method of the present invention preferably includes a file type to be protected, a white list in which applications permitted to be accessed without encryption, a file type to be protected and an access are registered. A file access control method that refers to a gray list in which an application that needs to be inquired to a user for permission is granted, and that accesses a file of the file type to be protected by an application registered in the white list In response to a request, access is permitted without encrypting the file, and an access request by an application not registered in either the white list or the gray list is replaced with the file. Encrypted file with encrypted file Access request by an application registered in the greylist is permitted without encrypting the file in response to an instruction from the user whether or not to encrypt the access request. Alternatively, instead of the file, the method includes a step of permitting access to an encrypted file obtained by encrypting the file, and a step of decrypting the encrypted file after the access is completed.

本発明によれば、例えば、テキストやイメージ、スプレッドシートなどの文書ファイルを保護するファイル種別とし、ホワイトリストに記憶するアプリケーションとして該ファイル種別の編集ソフトウェアを指定することで、編集ソフトウェアが文書ファイルにアクセスする場合には従来通り暗号化せずにアクセスが可能である。また、例えば、メールクライアントやファイル共有ソフトなどのインターネットを経由してファイルを送信するソフトウェアについては、これらをホワイトリストにアプリケーションとして登録しなければ、これらがアクセスする場合には、送信時には暗号化されて送信される。さらに利用者が知らない間にマルウェアが送信する場合においても自動的に暗号化されるので、攻撃者は文書内容を知る由がない。よって、マルウェアによるファイル持ち出しは近年のサイバー攻撃として問題になっているところ、本発明はコンピュータを使って機密のファイルを作成したり閲覧したりする利用者に利用され得る。   According to the present invention, for example, a file type that protects a document file such as a text, an image, or a spreadsheet is set, and the editing software of the file type is designated as an application to be stored in the white list, whereby the editing software is converted into a document file. When accessing, it can be accessed without encryption as before. Also, for example, software that sends files via the Internet, such as mail clients and file sharing software, will not be registered as an application in the white list, and if they are accessed, they will be encrypted at the time of transmission. Sent. Furthermore, even when malware is transmitted without the user's knowledge, it is automatically encrypted, so the attacker has no way of knowing the document contents. Thus, file take-out by malware has become a problem as a recent cyber attack, but the present invention can be used by users who create or view confidential files using a computer.

また、グレーリストを参照する、本発明の好ましい実施形態によれば、例えばメールクライアントをグレーリストに加えることで、添付ファイルを暗号化したくない場合には、利用者の指示に従い、暗号化しないで平文のファイルを送ることができる。   Also, according to a preferred embodiment of the present invention that refers to a greylist, if you do not want to encrypt the attached file, for example by adding a mail client to the greylist, do not encrypt it according to the user's instructions. You can send plain text files.

また、既に暗号化されているファイルについては、改めて暗号化することなくアクセス許可する、本発明の好ましい実施形態によれば、通信相手に合わせた暗号化形式のまま送信することができる。   Further, according to a preferred embodiment of the present invention in which access is permitted without re-encrypting a file that has already been encrypted, it can be transmitted in an encrypted format that matches the communication partner.

また、ファイル種別又はアプリケーション独自の暗号化形式にて暗号化する、本発明の好ましい実施形態によれば、そのファイル種別又はアプリケーションにあった暗号化をすることで、受信者が復号ツールを特別に用意することなく既存のアプリケーションで復号することができる。   Further, according to a preferred embodiment of the present invention, which encrypts the file type or application in an encryption format unique to the application, the recipient can make a decryption tool special by performing encryption suitable for the file type or application. It can be decrypted by existing applications without preparation.

図1は本発明によるファイルアクセス制御システム全体のシステム構成の一例を示す図である。FIG. 1 is a diagram showing an example of the system configuration of the entire file access control system according to the present invention. 図2はホワイトリストの構成の一例を示す図である。FIG. 2 is a diagram showing an example of the configuration of the white list. 図3はグレーリストの構成の一例を示す図である。FIG. 3 is a diagram showing an example of the configuration of the gray list. 図4はファイルリストの構成の一例を示す図である。FIG. 4 is a diagram showing an example of the structure of the file list. 図5はファイルのオープン処理の一例を示すフローチャートである。FIG. 5 is a flowchart showing an example of a file open process. 図6はファイルのクローズ処理の一例を示すフローチャートである。FIG. 6 is a flowchart showing an example of a file closing process. 図7はファイル一覧取得時の処理の一例を示すフローチャートである。FIG. 7 is a flowchart showing an example of processing at the time of file list acquisition.

以下、図1から図7を用いて、本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to FIGS.

図1は、本発明のファイルアクセス制御システム全体のシステム構成の一例である。
本発明のファイルアクセス制御システムは、コンピュータ101と、サーバ102と、ネットワーク103とを備える。コンピュータ101は、ファイルアクセス制御装置120を搭載している。コンピュータ101とサーバ102とは、ネットワーク103を介して相互に通信可能になっている。なお、コンピュータ101には、ネットワークアダプタ116が搭載されており、コンピュータ101とサーバ102との通信は、ネットワークアダプタ116を経由している。 FIG. 1 is an example of the system configuration of the entire file access control system of the present invention.
The file access control system of the present invention includes a computer 101, a server 102, and a network 103. The computer 101 includes a file access control device 120. The computer 101 and the server 102 can communicate with each other via the network 103. The computer 101 is equipped with a network adapter 116, and communication between the computer 101 and the server 102 is via the network adapter 116.

コンピュータ101は、図示しないCPU(Central Processing Unit)とRAM(Random Access Memory)等で構成されるメモリと、HDD(Hard Disk Drive)115と、図示しないキーボードやタッチパネル等で構成される入力装置と、ディスプレイ等で構成される出力装置とを備える。HDD115は、ファイルアクセス制御プログラムや保護対象となるファイル等を記憶している。CPUがHDD115からメモリにファイルアクセス制御プログラムを読み出して実行することにより、ファイルアクセス制御装置120の機能が実現され、また本発明のファイルアクセス制御方法が実施される。   The computer 101 includes a memory (not shown) including a CPU (Central Processing Unit) and a RAM (Random Access Memory), an HDD (Hard Disk Drive) 115, an input device including a keyboard and a touch panel (not shown), An output device including a display or the like. The HDD 115 stores a file access control program, a file to be protected, and the like. When the CPU reads the file access control program from the HDD 115 to the memory and executes it, the function of the file access control device 120 is realized, and the file access control method of the present invention is implemented.

OS114は、コンピュータ101上で稼動しているOSである。   The OS 114 is an OS running on the computer 101.

メールクライアント111、インスタントメッセージ112及びスプレッドシート113は、コンピュータ101上で稼働しているアプリケーションである。これらのアプリケーションは、OS114上で動作している。   The mail client 111, the instant message 112, and the spreadsheet 113 are applications running on the computer 101. These applications are operating on the OS 114.

ファイルアクセス制御プログラムは、本実施形態では、OS114の一部のモジュールとなっている。他の実施形態として、アプリケーション111、112、113の機能を呼び出す、OS114のインタフェースとして実装される場合もある。   In this embodiment, the file access control program is a module that is part of the OS 114. As another embodiment, it may be implemented as an interface of the OS 114 that calls the functions of the applications 111, 112, and 113.

ファイルアクセス制御装置120は、ホワイトリスト121、グレーリスト122、ファイルリスト123、オープン処理部124、クローズ処理部125を備えている。   The file access control device 120 includes a white list 121, a gray list 122, a file list 123, an open processing unit 124, and a close processing unit 125.

図2はホワイトリスト121の構成の一例を示している。ホワイトリスト121は、表形式をしており、1行で1エントリであり、ファイル種別とアプリケーションからなる。ファイル種別は保護対象となるファイルの種別を示す。アプリケーションは該種別のファイルに対して暗号化することなく透過的なアクセスが許可されたアプリケーションを示す。
ファイル種別を表す代表的なものとしてファイル名の拡張子がある。他に、ファイルヘッダによってファイル種別を表すこともできる。本実施形態では、ファイル名の拡張子を利用している場合を示す。
アプリケーションとしては、アプリケーション名やそのパス名が代表的に用いられるが、アプリケーションの実行ファイルのハッシュ値で識別することも可能であるため、これを用いることもできる。アプリケーションは複数ある場合もある。本実施形態では、アプリケーション名を利用している場合を示す。 FIG. 2 shows an example of the configuration of the white list 121. The white list 121 has a table format, one entry per line, and includes a file type and an application. The file type indicates the type of file to be protected. The application indicates an application that is permitted to access transparently without encrypting the file of the type.
A typical file type extension is a file name extension. In addition, the file type can be represented by a file header. In the present embodiment, a case where an extension of a file name is used is shown.
An application name or its path name is typically used as the application, but it can also be identified by the hash value of the executable file of the application, so this can also be used. There can be multiple applications. In this embodiment, a case where an application name is used is shown.

図3は、グレーリスト122の構成の一例を示している。グレーリスト122は、ホワイトリスト121と同じ構造をしている。ファイル種別に対するアプリケーションは、該種別のファイルへのアクセスについて利用者に暗号化するか否か問合せるアプリケーションであることを示す。   FIG. 3 shows an example of the configuration of the gray list 122. The gray list 122 has the same structure as the white list 121. The application for the file type indicates that the application asks the user whether to encrypt the access to the file of the type.

図4は、ファイルリスト123の構成の一例を示している。ファイルリスト123は、ファイルアクセスを管理するためのリストであり、本発明で実質的にアクセス制御対象となるファイル(クローズ処理する際に復号や上書き等の処理が必要なファイル)のうちアプリケーションがアクセス中のファイルを示している。
ファイルリスト123は、表形式をしており、1行で1エントリであり、ファイルハンドルとアプリケーションがアクセス要求したファイル名(元ファイル)と暗号化した場合の暗号化ファイルからなる。1エントリは本発明のアクセス制御対象となっているオープン中のファイルを示している。ここでは、ハンドルによって一意に識別できると仮定している。OS114によってはアプリケーションのプロセスIDとハンドルを組み合わせて一意に識別する場合もある。 FIG. 4 shows an example of the configuration of the file list 123. The file list 123 is a list for managing file access, and is accessed by an application among files that are substantially subject to access control in the present invention (files that require processing such as decryption and overwriting when performing close processing). The file inside is shown.
The file list 123 has a table format, one entry per line, and includes a file handle, a file name (original file) requested by the application, and an encrypted file when encrypted. One entry indicates an open file which is an access control target of the present invention. Here, it is assumed that the handle can be uniquely identified. Depending on the OS 114, there may be a case where a process ID and a handle of an application are combined and uniquely identified.

図5は、ファイルオープン時の処理の一例を示すフローチャートである。
アプリケーションがファイルにアクセスする場合には、まず、ファイルをオープンして、読み取りや書き込みの処理を行い、最後にファイルをクローズする。図5を使って、ファイルオープン時の処理の流れを説明する。なお、ファイルクローズの処理は図6で示す。本発明は、読み取り及び書き込み処理には関与しないので示さない。 FIG. 5 is a flowchart illustrating an example of processing when a file is opened.
When an application accesses a file, first, the file is opened, read or write processing is performed, and finally the file is closed. The flow of processing when opening a file will be described with reference to FIG. The file closing process is shown in FIG. The present invention is not shown because it does not participate in read and write processes.

ステップ501において、アプリケーションがオープンしようとするファイルが、ホワイトリスト121にもグレーリスト122にもないファイルの種別の場合には、当該ファイルは保護対象のファイルではないため、オープン処理部124が、通常のオープン処理(暗号化せずにオープンする)をして終わる。ホワイトリスト121又はグレーリスト122にあるファイル種別の場合には、以下のステップ502に進む。   In step 501, if the file to be opened by the application is a file type that is neither in the white list 121 nor the gray list 122, the open processing unit 124 determines that the file is not a protection target file. Open the process (open without encryption). If the file type is in the white list 121 or the gray list 122, the process proceeds to step 502 below.

ステップ502において、既存ファイルの種別がホワイトリスト121にあり、アクセスしているアプリケーションがホワイトリスト121のアプリケーションにある場合には、オープン処理部124は、通常のオープン処理をして終わる。
ホワイトリスト121にないファイル種別(但し、グレーリスト122にはあるファイル種別)、及びファイル種別がホワイトリスト121にあっても、アプリケーションがホワイトリスト121のアプリケーションにない場合には、以下のステップ503に進む。 In step 502, when the type of the existing file is in the white list 121 and the accessing application is in the application of the white list 121, the open processing unit 124 finishes the normal open process.
If the file type is not in the white list 121 (however, the file type is in the gray list 122) and the file type is in the white list 121, but the application is not in the application of the white list 121, the process goes to step 503 below. move on.

ステップ503において、既存ファイルの種別がグレーリスト122にあり、アクセスしているアプリケーションがグレーリスト122のアプリケーションにある場合には、オープン処理部124は、利用者に暗号化するかを出力装置を介して問合せ、利用者からの入力装置を介した暗号化しない旨の指示を受け付けると、通常のオープン処理をして終わる。暗号化する旨の指示を受け付けると、以下のステップ504に進む。既存ファイルの種別が、ホワイトリスト121又はグレーリスト122にあってもアプリケーションがホワイトリスト121及びグレーリスト122のアプリケーションにない場合には、以下のステップ504に進む。   In step 503, if the type of the existing file is in the gray list 122 and the accessing application is in the application of the gray list 122, the open processing unit 124 determines whether to encrypt to the user via the output device. When an inquiry to the effect that the encryption is not performed via the input device is received from the user, the normal open process ends. When an instruction to encrypt is received, the process proceeds to step 504 below. If the existing file type is in the white list 121 or the gray list 122 but the application is not in the white list 121 or gray list 122 application, the process proceeds to the following step 504.

ステップ504において、オープン対象のファイルが新規ファイルなら、当該ファイルには何ら情報が記憶されていないから、暗号化する必要がないため、オープン処理部124は、通常のオープン処理後に、該処理で得たファイルハンドルとオープンしたファイル名(元ファイル)と暗号化ファイルはNULL(オープン対象のファイルが新規ファイルのため、上書き対象がなく、上書き不要のためNULLとしている)であるエントリを、図4のファイルリスト123に追加して処理を終わる。オープン対象のファイルが既存ファイルなら、以下のステップ505に進む。   In step 504, if the file to be opened is a new file, since no information is stored in the file, it is not necessary to encrypt the file. Therefore, the open processing unit 124 obtains the information after the normal opening process. FIG. 4 shows an entry whose file handle, opened file name (original file), and encrypted file are NULL (since the file to be opened is a new file, there is no overwriting target and no overwriting is required, so it is NULL). Add to the file list 123 and finish the process. If the file to be opened is an existing file, the process proceeds to step 505 below.

ステップ505において、オープン処理部124は、ファイルを暗号化して別ファイルとして保存した暗号化ファイルと、通常のオープン処理をして得たハンドルと、元のファイル名の組合せを図4のファイルリスト123に追加して処理を終える。   In step 505, the open processing unit 124 encrypts the file and saves it as a separate file, the combination of the handle obtained by performing the normal open process, and the original file name, in the file list 123 of FIG. Add to to finish the process.

図6は、ファイルクローズ処理の一例を示すフローチャートである。   FIG. 6 is a flowchart illustrating an example of the file close process.

ステップ601において、クローズするファイルハンドルが、図4のファイルリスト123にない場合には、クローズ処理部125は、通常のファイルクローズ処理をして終わる。ハンドルがある場合には、以下のステップ602に進む。   In step 601, when the file handle to be closed is not in the file list 123 of FIG. 4, the close processing unit 125 finishes the normal file close process. If there is a handle, the process proceeds to step 602 below.

ステップ602において、クローズ処理部125は、通常のファイルクローズ処理を行う。続いて、クローズしたファイルが暗号化されている場合には、クローズ処理部125は、復号して、暗号化されていない場合には該ファイルを図4のファイルリスト123にある元ファイルに上書きする。なお、暗号化ファイルがNULLの場合は上書きしない。クローズ処理部125は、最後に図4のファイルリスト123にあるエントリを削除する。
なお、上記処理では、単純に上書きしていたが、元ファイルの変更日時が該ファイルの作成日時より新しい場合には上書きしないという処理方法でもよい。また、上書きせず、該ファイルを削除することもできる。 In step 602, the close processing unit 125 performs normal file close processing. Subsequently, when the closed file is encrypted, the close processing unit 125 decrypts it, and when it is not encrypted, the close processing unit 125 overwrites the original file in the file list 123 of FIG. . If the encrypted file is NULL, it is not overwritten. The close processing unit 125 finally deletes the entry in the file list 123 of FIG.
In the above processing, the overwriting is simply overwritten. However, a processing method in which the overwriting is not performed when the modification date / time of the original file is newer than the creation date / time of the file may be used. In addition, the file can be deleted without overwriting.

なお、上述した実施形態は、ホワイトリストに併せてグレーリストを用いる、好ましい実施形態を示したが、本発明はグレーリストを用いない実施形態をも包含する。即ち、この場合は、ホワイトリストに登録されたファイル種別及びアプリケーションに基づいて、アクセス要求のあったファイルにつき、暗号化するか否かを決定する。   In addition, although embodiment mentioned above showed preferable embodiment which uses a gray list in addition to a white list, this invention also includes embodiment which does not use a gray list. That is, in this case, based on the file type and application registered in the white list, it is determined whether or not to encrypt the file requested to be accessed.

上述した実施形態ではHDD115にある文書ファイル(保護対象となるファイル)は暗号化されていない前提であった。しかしながら、ファイルをインターネット経由で送るために予めファイル暗号化ツールを使って明示的にファイルを暗号化したり文書アプリケーションで明示的に暗号化したりして、ファイルを送る場合もある。このような場合に備えて、本発明の第3の実施形態として、図5のステップ505の処理において、既存のファイルが既に暗号化されている場合には、オープン処理部124が通常のオープン処理をして終えることも可能である。即ち、この場合は、暗号化の対象となったファイルが、アクセス要求の際、既に暗号化されているため、オープン処理部124が改めて暗号化することなく、そのままアクセスを許可される(通常のオープン処理がされる)。また、この場合は、クローズ処理部125は、通常、当該アクセス終了後に、当該既に暗号化されているファイルを復号しない。   In the embodiment described above, it is assumed that the document file (file to be protected) in the HDD 115 is not encrypted. However, in order to send a file via the Internet, the file may be sent by explicitly encrypting the file in advance using a file encryption tool or by explicitly encrypting the file using a document application. In preparation for such a case, as a third embodiment of the present invention, when the existing file is already encrypted in the processing of step 505 in FIG. 5, the open processing unit 124 performs normal open processing. You can also finish it. In other words, in this case, since the file to be encrypted has already been encrypted at the time of the access request, the open processing unit 124 allows the access as it is without re-encrypting (normally Open processing is performed). In this case, the close processing unit 125 normally does not decrypt the already encrypted file after the access ends.

以上の実施形態では、アプリケーションによらない形式で暗号化することを前提としていた。しかしながら、ファイル種別によっては当該種別の処理アプリケーションが独自の暗号化形式を持っている場合もある。このような場合には、本発明の第4の実施形態として、図5のステップ505の処理において、オープン処理部124がファイル種別に応じた形式で暗号化することも可能である。即ち、ファイル種別又はアプリケーションが独自の暗号化形式を有している場合には、オープン処理部124が該独自の暗号化形式によって、ファイルを暗号化することができる。
このような実施形態をとることで、該種別のファイルをネットワーク経由で送る場合に、受信者は当該種別のアプリケーションを使って復号することができる。なお、この場合には、何らかの手段で事前に暗号鍵を受信者と共有しておく必要がある。 In the above embodiment, it is assumed that encryption is performed in a format that does not depend on the application. However, depending on the file type, the processing application of that type may have its own encryption format. In such a case, as the fourth embodiment of the present invention, in the processing of step 505 in FIG. 5, the open processing unit 124 can encrypt the data in a format corresponding to the file type. That is, when the file type or application has a unique encryption format, the open processing unit 124 can encrypt the file using the unique encryption format.
By taking such an embodiment, when sending the file of this type via the network, the recipient can decrypt it using the application of that type. In this case, it is necessary to share the encryption key with the receiver in advance by some means.

ファイル種別によっては、暗号化した別種別のファイルに変換可能である。代表例として文書ファイルを閲覧専用のフォーマットであるPortable Document Format(PDF)の暗号化した形式に変換するものがある。この場合、ファイル名は拡張子の部分だけが変わるものとする。また、この場合は、本発明の第5の実施形態として、オープン処理部124が暗号化の対象となったファイルに代えて、これを変換して別のファイル種別のファイルを作成し、該作成したファイルを暗号化したファイルにアクセス許可される。   Depending on the file type, it can be converted into another type of encrypted file. A typical example is that a document file is converted into an encrypted format of Portable Document Format (PDF), which is a format dedicated to viewing. In this case, only the extension part of the file name is changed. In this case, as a fifth embodiment of the present invention, the open processing unit 124 creates a file of another file type by converting this instead of the file to be encrypted, and creating the file. Access to the encrypted file is permitted.

また、当該変換可能な場合にはアプリケーションがディレクトリのファイル一覧を取得する際に変換可能なファイルを含めることで、元ファイル種別が暗号化形式をサポートしていなくても、本発明を導入していない受信者が復号可能な形で暗号化ファイルを送信することが可能となる。具体例を以下に示す。   In addition, if the conversion is possible, the application is included when the application obtains the directory file list, so that the present invention is introduced even if the original file type does not support the encryption format. It is possible to send the encrypted file in a form that can be decrypted by no recipient. Specific examples are shown below.

図7は、ファイル一覧取得時の処理の一例を示すフローチャートである。図7を使って、アプリケーションがファイルにアクセスするにあたり、ディレクトリにあるファイル名一覧を取得する際の処理を示す。   FIG. 7 is a flowchart illustrating an example of processing at the time of file list acquisition. FIG. 7 shows a process for acquiring a list of file names in a directory when an application accesses a file.

ステップ701において、通常の方法で指定されたディレクトリのファイル名の一覧を取得する。   In step 701, a list of file names in a directory designated by a normal method is acquired.

ステップ702において、図示しないPC101のファイル一覧処理部は、取得した各ファイルについて暗号化可能な別種別のファイルに変換可能ならば、その変換後のファイル名も一覧に加えてアプリケーションに一覧を返す。   In step 702, the file list processing unit of the PC 101 (not shown) returns the list to the application in addition to the list of the converted file names if each acquired file can be converted into another type of file that can be encrypted.

以上の処理で、アプリケーション並びに利用者には、存在していない暗号化可能な別種別のファイルが存在しているようにみえるようになる。続いて、そのようなファイルに変換する場合のファイルのオープンとクローズの特有の処理を示す。   With the above processing, it appears to the application and the user that another type of file that does not exist and can be encrypted exists. Next, a specific process for opening and closing a file when converting to such a file will be described.

オープンについては、図5のステップ504において、新規ファイルであり、該新規ファイルに変換可能なファイルがあれば、暗号化した形式に変換したファイルを作成、通常のオープン処理後に、該処理で得たファイルハンドルと元ファイルも暗号化ファイルもNULLであるエントリを、図4のファイルリスト123に追加して処理を終わる。   As for opening, in step 504 of FIG. 5, if there is a file that can be converted into the new file, a file converted into an encrypted format is created. The entry whose file handle, the original file and the encrypted file are NULL is added to the file list 123 of FIG.

クローズについては、図6のステップ602の元ファイルに上書きする処理おいて、元ファイルがNULLの場合には、上書きせずにクローズしたファイルを削除する。   For closing, in the process of overwriting the original file in step 602 in FIG. 6, if the original file is NULL, the closed file is deleted without being overwritten.

101…コンピュータ
102…サーバ
103…ネットワーク
111…メールのアプリケーション
112…インスタントメッセージのアプリケーション
113…スプレッドシートのアプリケーション
114…OS
115…HDD
116…ネットワークアダプタ
120…ファイルアクセス制御装置
121…ホワイトリスト
122…グレーリスト
123…ファイルリスト
124…オープン処理部
125…クローズ処理部 101 ... Computer 102 ... Server 103 ... Network 111 ... Mail application 112 ... Instant messaging application 113 ... Spreadsheet application 114 ... OS
115 ... HDD
116: Network adapter 120 ... File access control device 121 ... White list 122 ... Gray list 123 ... File list 124 ... Open processing unit 125 ... Close processing unit

Claims (9)

保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、
前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するオープン処理手段と、
前記暗号化ファイルを前記アクセス終了後に復号するクローズ処理手段と、
を有することを特徴とするファイルアクセス制御装置。 A white list that registers the file types to be protected, and applications that are allowed to be accessed without encryption;
In response to an access request by an application registered in the white list to a file of the file type to be protected, an application that permits access without encrypting the file and is not registered in the white list In response to the access request by the open processing means for permitting access to the encrypted file obtained by encrypting the file instead of the file;
Close processing means for decrypting the encrypted file after the access is completed;
A file access control device comprising: 保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストをさらに備え、
前記オープン処理手段が、前記保護対象となるファイル種別のファイルへのアクセス要求が前記グレーリストに登録されているアプリケーションによる場合には、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、
前記クローズ処理手段が、前記暗号化ファイルを前記アクセス終了後に復号することを特徴とする請求項1に記載のファイルアクセス制御装置。 It further includes a gray list that registers the file types to be protected and applications that need to be queried to the user to allow access.
In the case where the open processing unit uses an application registered in the greylist for an access request to the file type of the file to be protected, in response to an instruction from the user whether to encrypt, Permit access without encrypting the file, or permit access to an encrypted file obtained by encrypting the file instead of the file,
The file access control apparatus according to claim 1, wherein the close processing unit decrypts the encrypted file after the access is completed. 前記暗号化の対象となったファイルが、前記アクセス要求の際、既に暗号化されている場合には、前記オープン処理手段が、該既に暗号化されているファイルを改めて暗号化することなく、そのままアクセスを許可することを特徴とする請求項1又は2に記載のファイルアクセス制御装置。   If the file to be encrypted has already been encrypted at the time of the access request, the open processing means does not re-encrypt the already-encrypted file as it is. 3. The file access control apparatus according to claim 1, wherein access is permitted. 前記ファイル種別のファイル又はアプリケーションが独自の暗号化形式を有している場合、前記オープン処理手段が、該独自の暗号化形式によって、前記暗号化の対照となったファイルを暗号化することを特徴とする請求項1又は2に記載のファイルアクセス制御装置。   When the file or file of the file type has a unique encryption format, the open processing means encrypts the file that is the encryption target by the unique encryption format. The file access control device according to claim 1 or 2. 前記暗号化の対象となったファイルが、暗号化可能な別のファイル種別のファイルに変換可能である場合に、前記オープン処理手段が、前記暗号化の対象となったファイルに代えて、これを変換して前記別のファイル種別のファイルを作成し、該作成したファイルを暗号化したファイルにアクセス許可し、
前記クローズ処理手段が、前記作成して暗号化したファイルを前記アクセス終了後に削除することを特徴とする請求項1又は2に記載のファイルアクセス制御装置。 When the file to be encrypted can be converted into a file of another file type that can be encrypted, the open processing means replaces the file to be encrypted with Convert to create a file of another file type, permit access to the encrypted file of the created file,
3. The file access control apparatus according to claim 1, wherein the close processing unit deletes the created and encrypted file after the access is completed. 保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストを有するコンピュータに、
前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、
前記暗号化ファイルを前記アクセス終了後に復号するステップと、を実行させるためのファイルアクセス制御プログラム。 To a computer that has a white list that registers the file types to be protected and the applications that are allowed to be accessed without encryption.
In response to an access request by an application registered in the white list to a file of the file type to be protected, an application that permits access without encrypting the file and is not registered in the white list In response to the access request by the step, permitting access to an encrypted file obtained by encrypting the file instead of the file;
And a step of decrypting the encrypted file after the access is completed. 保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストとを有するコンピュータに、
前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリスト及び前記グレーリストのいずれにも登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、前記グレーリストに登録されているアプリケーションによるアクセス要求に対しては、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、
前記暗号化ファイルを前記アクセス終了後に復号するステップと、を実行させるためのファイルアクセス制御プログラム。 A white list that registers the file types to be protected and applications that are allowed to be accessed without encryption, and file types that are to be protected and applications that need to be contacted by the user to allow access are registered. On a computer with a greylist,
For an access request by an application registered in the white list to a file of the file type to be protected, access is permitted without encrypting the file, and either the white list or the gray list is permitted. In response to an access request by an application not registered in the file, access to an encrypted file obtained by encrypting the file instead of the file is permitted. In response to an instruction from the user regarding whether or not to encrypt the file, access is permitted without encrypting the file, or instead of the file, the encrypted file obtained by encrypting the file is accessed. A step of allowing
And a step of decrypting the encrypted file after the access is completed. 保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストを参照するファイルアクセス制御方法であって、
前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリストに登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、
前記暗号化ファイルを前記アクセス終了後に復号するステップとを有することを特徴とするファイルアクセス制御方法。 A file access control method for referring to a white list in which a file type to be protected and an application permitted to access without encryption are registered,
In response to an access request by an application registered in the white list to a file of the file type to be protected, an application that permits access without encrypting the file and is not registered in the white list In response to the access request by the step, permitting access to an encrypted file obtained by encrypting the file instead of the file;
And a step of decrypting the encrypted file after the access is completed. 保護対象となるファイル種別、及び暗号化することなくアクセスを許可されたアプリケーションを登録したホワイトリストと、保護対象となるファイル種別、及びアクセスを許可するにあたり利用者へ問合せが必要なアプリケーションを登録したグレーリストとを参照するファイルアクセス制御方法であって、
前記保護対象となるファイル種別のファイルへの前記ホワイトリストに登録されているアプリケーションによるアクセス要求に対しては、該ファイルを暗号化せずにアクセスを許可し、前記ホワイトリスト及び前記グレーリストのいずれにも登録されていないアプリケーションによるアクセス要求に対しては、該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可し、前記グレーリストに登録されているアプリケーションによるアクセス要求に対しては、利用者からの暗号化するか否かの指示に応じて、該ファイルを暗号化せずにアクセスを許可し、又は該ファイルに代えて、該ファイルを暗号化した暗号化ファイルにアクセスを許可するステップと、
前記暗号化ファイルを前記アクセス終了後に復号するステップとを有することを特徴とするファイルアクセス制御方法。 A white list that registers the file types to be protected and applications that are allowed to be accessed without encryption, and file types that are to be protected and applications that need to be contacted by the user to allow access are registered. A file access control method that refers to a greylist,
For an access request by an application registered in the white list to a file of the file type to be protected, access is permitted without encrypting the file, and either the white list or the gray list is permitted. In response to an access request by an application not registered in the file, access to an encrypted file obtained by encrypting the file instead of the file is permitted. In response to an instruction from the user regarding whether or not to encrypt the file, access is permitted without encrypting the file, or instead of the file, the encrypted file obtained by encrypting the file is accessed. A step of allowing
And a step of decrypting the encrypted file after the access is completed.
JP2013190022A 2013-09-13 2013-09-13 File access control device, file access control program, and file access control method Expired - Fee Related JP6092057B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013190022A JP6092057B2 (en) 2013-09-13 2013-09-13 File access control device, file access control program, and file access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013190022A JP6092057B2 (en) 2013-09-13 2013-09-13 File access control device, file access control program, and file access control method

Publications (2)

Publication Number Publication Date
JP2015056090A true JP2015056090A (en) 2015-03-23
JP6092057B2 JP6092057B2 (en) 2017-03-08

Family

ID=52820436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013190022A Expired - Fee Related JP6092057B2 (en) 2013-09-13 2013-09-13 File access control device, file access control program, and file access control method

Country Status (1)

Country Link
JP (1) JP6092057B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107644174A (en) * 2016-07-22 2018-01-30 株式会社日立解决方案 Data leak prevention system and data leak prevention method
CN110532129A (en) * 2019-09-02 2019-12-03 腾讯科技(深圳)有限公司 A kind of method, apparatus, equipment and the storage medium of file encryption storage
JP2020095546A (en) * 2018-12-13 2020-06-18 デジタルア−ツ株式会社 Information processing device, information processing method, and information processing program
CN114095175A (en) * 2021-10-19 2022-02-25 网络通信与安全紫金山实验室 Data security method and device capable of gray level check and storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020238971A1 (en) * 2019-05-31 2020-12-03 北京金山云网络技术有限公司 File sharing method, apparatus and system, server, terminal, and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001337864A (en) * 2000-03-22 2001-12-07 Hitachi Ltd Access control system
JP2002318719A (en) * 2001-04-24 2002-10-31 Hitachi Ltd Highly reliable computer system
JP2007286905A (en) * 2006-04-17 2007-11-01 Nec System Technologies Ltd Information processing terminal device, file leakage prevention method, and file leakage prevention program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001337864A (en) * 2000-03-22 2001-12-07 Hitachi Ltd Access control system
JP2002318719A (en) * 2001-04-24 2002-10-31 Hitachi Ltd Highly reliable computer system
JP2007286905A (en) * 2006-04-17 2007-11-01 Nec System Technologies Ltd Information processing terminal device, file leakage prevention method, and file leakage prevention program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107644174A (en) * 2016-07-22 2018-01-30 株式会社日立解决方案 Data leak prevention system and data leak prevention method
CN107644174B (en) * 2016-07-22 2021-01-08 株式会社日立解决方案 Data leakage prevention system and data leakage prevention method
JP2020095546A (en) * 2018-12-13 2020-06-18 デジタルア−ツ株式会社 Information processing device, information processing method, and information processing program
CN110532129A (en) * 2019-09-02 2019-12-03 腾讯科技(深圳)有限公司 A kind of method, apparatus, equipment and the storage medium of file encryption storage
CN114095175A (en) * 2021-10-19 2022-02-25 网络通信与安全紫金山实验室 Data security method and device capable of gray level check and storage medium
CN114095175B (en) * 2021-10-19 2024-03-26 网络通信与安全紫金山实验室 Gray-check-capable data confidentiality method, device and storage medium

Also Published As

Publication number Publication date
JP6092057B2 (en) 2017-03-08

Similar Documents

Publication Publication Date Title
US11057355B2 (en) Protecting documents using policies and encryption
US9461819B2 (en) Information sharing system, computer, project managing server, and information sharing method used in them
US9710659B2 (en) Methods and systems for enforcing, by a kernel driver, a usage restriction associated with encrypted data
JP5033916B2 (en) Digital copyright management method for compressed files
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
JP6092057B2 (en) File access control device, file access control program, and file access control method
JP4735331B2 (en) Information processing apparatus and information processing system using virtual machine, and access control method
US20200242050A1 (en) System and method to protect digital content on external storage
JP4471129B2 (en) Document management system, document management method, document management server, work terminal, and program
US10726104B2 (en) Secure document management
TW200905516A (en) Method and system for protecting file data against divulgence
JP4000183B1 (en) File encryption management system and method for implementing the system
JP2008219849A (en) Encryption managing device, and encryption managing method and encryption managing program of same device
JP2008035449A (en) Data distributing method using self-decryption file and information processing system using the same
JP6782900B2 (en) Information processing equipment, information processing methods, and information processing programs
KR20090119553A (en) Method for securing datafile
JP5105914B2 (en) File encryption system and file encryption method
JP2006139475A (en) Secret information protection system for existing application
JP2008242959A (en) Apparatus and method for managing information to be used, and program therefor
KR20140093401A (en) Security Method for Computer Network
JP2008234135A (en) Management device for electronic file, management method for electronic file and management program for electronic file

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20150401

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20150413

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20150617

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20150623

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160301

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170208

R150 Certificate of patent or registration of utility model

Ref document number: 6092057

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees