JP4544430B2 - Computer system, method and program for preventing leakage of confidential information - Google Patents

Computer system, method and program for preventing leakage of confidential information Download PDF

Info

Publication number
JP4544430B2
JP4544430B2 JP2006035150A JP2006035150A JP4544430B2 JP 4544430 B2 JP4544430 B2 JP 4544430B2 JP 2006035150 A JP2006035150 A JP 2006035150A JP 2006035150 A JP2006035150 A JP 2006035150A JP 4544430 B2 JP4544430 B2 JP 4544430B2
Authority
JP
Japan
Prior art keywords
file
change difference
arbitrary period
external storage
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006035150A
Other languages
Japanese (ja)
Other versions
JP2007213484A (en
Inventor
将 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006035150A priority Critical patent/JP4544430B2/en
Publication of JP2007213484A publication Critical patent/JP2007213484A/en
Application granted granted Critical
Publication of JP4544430B2 publication Critical patent/JP4544430B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムに係り、とくに外部記憶装置間での機密情報の漏洩を防止する方式及びその管理方法に関する。   The present invention relates to a computer system, a method for preventing leakage of confidential information, and a program, and more particularly, to a method for preventing leakage of confidential information between external storage devices and a management method thereof.

現在、殆どの企業が企業内での情報共有を目的に、イントラネットと呼ばれる情報処理インフラストラクチャを整備している。イントラネットは、それぞれの任意の数のサーバとクライアントの集合であり、どちらもコンピュータシステムである。これによると、企業活動に有用な機密文書ファイルをサーバに保存し、単一ないし複数のクライアントから単一のファイルに対して、編集や閲覧を行う。   Currently, most companies have an information processing infrastructure called an intranet for the purpose of sharing information within the company. An intranet is a collection of any number of servers and clients, both of which are computer systems. According to this, a confidential document file useful for corporate activities is stored on a server, and a single file or a plurality of clients edit or view a single file.

このように企業内の人間がクライアントを用いてファイルを編集する際、サーバへアクセスする手間を省く目的で独自にファイルを複製し、クライアントの外部記憶装置に保管しておく場合が多い。このようにして、機密文書ファイルがサーバから拡散し、次第にイントラネット内に偏在する結果となり、情報漏洩を誘発する要因となる。また、2005年4月に施行された個人情報保護法により、個人情報の漏洩対策に注目が集まっている。   As described above, when a person in a company edits a file using a client, the file is often copied independently and stored in an external storage device of the client in order to save the trouble of accessing the server. In this way, the confidential document file spreads from the server and gradually becomes unevenly distributed in the intranet, which causes information leakage. In addition, due to the Personal Information Protection Law enforced in April 2005, attention is focused on measures for leakage of personal information.

なお、本発明に関連する先行技術文献としては、次のものがある。
特開2005−038176号公報 特開2000−215094号公報 特開2005−301548号公報 In addition, as prior art documents related to the present invention, there are the following.
Japanese Patent Laying-Open No. 2005-038176 JP 2000-215094 A JP 2005-301548 A

従来の情報漏洩対策方式は、暗号化によるものが多く、これらの方式では機密情報を含有するファイルを暗号化する制御のみを行う。そのため、暗に復号された状態のファイルが複製されて、外部記憶装置に残存する事象への対処が欠落していた。   Many conventional information leakage countermeasure methods are based on encryption. In these methods, only control for encrypting a file containing confidential information is performed. For this reason, the file in the implicitly decrypted state is duplicated, and the handling of the event remaining in the external storage device is lacking.

例えば、事前に暗号化された、機密情報を含有するファイルを文書編集装置で改版する際、その文書編集装置が外部記憶装置の一時記憶領域に復号された状態のファイルを保管する場合が多い。このとき、その一時記憶領域から復号された状態のファイルを取得し、主記憶装置を媒介にそのファイルの複製を保存した場合に、制御を免れ、コンピュータシステム内外にその複製が蓄積される問題があった。   For example, when a file containing confidential information encrypted in advance is revised by a document editing device, the document editing device often stores the decrypted file in a temporary storage area of an external storage device. At this time, when a decrypted file is obtained from the temporary storage area and a copy of the file is saved via the main storage device, the control is exempted and the copy is accumulated inside and outside the computer system. there were.

また、暗号化の運用において、使用する鍵の管理が重要であり、例えば、USB(Universal Serial Bus)メモリなどの外部記憶装置に鍵を格納する場合、その鍵を利用すれば、第3者による機密情報へのアクセスが可能であるという問題があった。例えば、暗号化済みの機密情報を含むノートパソコンと鍵を格納したUSBメモリを同時に紛失もしくは盗難にあった場合、本来、機密情報へのアクセスを許されていない者がノートパソコン上の機密情報へアクセス可能となる。   Also, in the operation of encryption, it is important to manage a key to be used. For example, when storing a key in an external storage device such as a USB (Universal Serial Bus) memory, if the key is used, it is determined by a third party. There was a problem that access to confidential information was possible. For example, if a laptop computer containing encrypted confidential information and a USB memory storing a key are lost or stolen at the same time, a person who is not originally allowed access to the confidential information may access the confidential information on the laptop computer. It becomes accessible.

同時に、ロールバック機能を有する装置を設置する場合、事前に差分領域を確保しなければならず、コンピュータシステムの利便性に欠く問題があった。   At the same time, when a device having a rollback function is installed, a difference area must be secured in advance, and there is a problem that the convenience of the computer system is lacking.

特許文献1では、ファイル単位でのロールバックを実現しているが、同一ファイル内にジャーナリングを実施するため、ファイルの形式が変化する。また、コンピュータシステム内に機密情報が存在するか否かを判断する手段が存在しない。特許文献2もプロセスと連携した同様の機能を実現しているが、同様の問題があった。また、特許文献3では、ハードディスクの全消去を行うことで情報漏洩を防いでいるが、情報が機密情報を含まない状態に復旧しない。   In Patent Document 1, rollback in units of files is realized. However, since journaling is performed in the same file, the file format changes. In addition, there is no means for determining whether confidential information exists in the computer system. Patent Document 2 also realizes the same function linked to the process, but has the same problem. Further, in Patent Document 3, information leakage is prevented by erasing the entire hard disk, but information is not restored to a state that does not include confidential information.

本発明は、上述した従来の事情を考慮してなされたもので、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することを目的とする。   The present invention has been made in consideration of the above-described conventional circumstances, and provides a computer system that effectively suppresses leakage of confidential information between external storage devices, and a method and program for preventing leakage of confidential information. With the goal.

上記目的を達成するため、本発明に係るコンピュータシステムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とする。   In order to achieve the above object, a computer system according to the present invention includes a first external storage device having a first file that does not include confidential information and a file system that holds the first file, and a second file that includes confidential information. A computer system electrically connected to each of the second external storage devices, wherein reading from the second external storage device is permitted in an arbitrary period, and reading is interrupted in other periods Control means for controlling the data, and when the writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference with respect to the first file before the start of the arbitrary period Storage means for storing in an empty block of the file system, and before storage in an empty block of the file system after the end of the arbitrary period Discard data containing the contents of the change difference, and having a rollback means to roll back the state of the first file to the state before starting the arbitrary period that the file system maintains.

本発明において、前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力する手段をさらに有してもよい。   In the present invention, when reading from the first external storage device is performed during the arbitrary period, the first file and the first file are stored on the basis of data including the contents of the change difference stored by the storage unit. You may further have a means to combine and output the content of the change difference.

本発明において、前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項2記載のコンピュータシステム。   In the present invention, after the end of the arbitrary period, the specific file and its specific file based on the data including the contents of the change difference stored by the storage unit for the specified specific file of the first file. 3. The computer system according to claim 2, further comprising means for combining and outputting the contents of the change difference.

本発明において、前記任意の期間を制御する期間制御手段をさらに有してもよい。前記期間制御手段は、前記任意の期間をスイッチ操作で制御するスイッチ手段を有してもよい。前記スイッチ手段は、前記任意の期間を任意の時刻にスイッチ操作で制御する手段を有してもよい。   In this invention, you may further have a period control means to control the said arbitrary periods. The period control means may include switch means for controlling the arbitrary period by a switch operation. The switch means may have means for controlling the arbitrary period by switch operation at an arbitrary time.

本発明において、前記変更差分の内容を含むデータは、前記変更差分の内容を含むデータ部と、前記変更差分の物理的な大きさ及びその物理的な保管場所を含むインデックス部とを有し、前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段であってもよい。   In the present invention, the data including the content of the change difference has a data part including the content of the change difference, and an index part including a physical size of the change difference and a physical storage location thereof, The storage means may be means for storing the data part in a first area in the empty block and storing the index part in a second area in the empty block.

本発明によれば、任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置から読み込むことができず、例えば任意の期間に機密文書を含むファイルを第2の外部記憶装置から第1の外部記憶装置へ複製した場合、ロールバック手段により、その機密文書を含むファイルの複製をすべて第1の外部記憶装置から抹消することができる。また、好適な態様では、第1の外部記憶装置に対するロールバックを任意の時刻に実行できる。さらに、好適な態様では、監査ログ等の特定ファイルは、例外として、第1の外部記憶装置に対するロールバック対象外とすることができる。   According to the present invention, a file including a confidential document can be read from the second external storage device only in an arbitrary period. For example, a file including a confidential document in an arbitrary period can be read from the second external storage device. When copying to one external storage device, all copies of the file including the confidential document can be deleted from the first external storage device by the rollback means. In a preferred aspect, the rollback for the first external storage device can be executed at an arbitrary time. Further, in a preferred aspect, a specific file such as an audit log can be excluded from a rollback target for the first external storage device as an exception.

本発明に係る機密情報の漏洩防止方法は、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止方法であって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする。   A method for preventing leakage of confidential information according to the present invention includes a first external storage device having a first file that does not include confidential information and a file system that holds the first file, and a second file that includes a second file that includes confidential information. A method for preventing leakage of confidential information used in a computer system electrically connected to each external storage device, wherein reading from the second external storage device is permitted during an arbitrary period, and during other periods The step of controlling to block the reading, and the contents of the change difference with respect to the first file before the start of the arbitrary period when the writing to the first external storage device is performed in the arbitrary period Storing data in a free block of the file system, and storing it in a free block of the file system after the end of the arbitrary period. Discard data including the contents of the change difference was characterized by a state of the first file that the file system to hold it and a step of rolling back to the state before starting the arbitrary period.

本発明に係る機密情報の漏洩防止プログラムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止プログラムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする。   The program for preventing leakage of confidential information according to the present invention includes a first file that includes a first file that does not include confidential information and a file system that holds the first file, and a second file that includes a second file that includes confidential information. A program for preventing leakage of confidential information used in a computer system electrically connected to each external storage device, permitting reading from the second external storage device in an arbitrary period, and in other periods The step of controlling to block the reading, and the contents of the change difference with respect to the first file before the start of the arbitrary period when the writing to the first external storage device is performed in the arbitrary period Storing data in a free block of the file system, and after the arbitrary period, Discarding data including the contents of the change difference stored in the lock, and causing the computer to execute a step of rolling back the state of the first file held by the file system to the state before the start of the arbitrary period. It is characterized by.

以上説明したように、本発明によれば、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することができる。   As described above, according to the present invention, it is possible to provide a computer system that effectively suppresses leakage of confidential information between external storage devices, and a method and program for preventing leakage of confidential information.

次に、本発明に係るコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを実施するための最良の形態について、図面を参照して詳細に説明する。   Next, a best mode for carrying out a computer system, a method for preventing leakage of confidential information, and a program according to the present invention will be described in detail with reference to the drawings.

本実施の形態によるコンピュータシステムは、好適には、機密情報を含有しない第1のファイルを記憶する第1の外部記憶装置と、ファイルを用いて所定の業務処理を遂行するプログラム及びファイルを管理するファイルシステムを有する処理装置と、単一のスイッチ装置と、機密情報を含有する第2のファイルを記憶する第2の外部記憶装置とを備える。この構成において、本実施の形態では、外部記憶装置を通じた機密情報の取得および設定が可能な一定期間内に行われた変更差分を破棄し、その期間に突入する以前の状態を復元するロールバック機能を持つ。こうすることで、外部記憶装置への機密情報の残存を防止する。このようにして、コンピュータシステムの機密情報の漏洩防止及びその管理方法を実現している。ここでの変更差分は、ファイルシステムの空きブロック内に設けた保管領域に保管される。これにより、利用者が事前にその保管領域を用意又は予約する必要がない。以下、その具体的な実施例を説明する。   The computer system according to the present embodiment preferably manages a first external storage device that stores a first file that does not contain confidential information, and a program and a file that perform predetermined business processing using the file. A processing device having a file system, a single switch device, and a second external storage device for storing a second file containing confidential information are provided. In this configuration, in the present embodiment, a rollback that discards change differences made within a certain period during which confidential information can be acquired and set through an external storage device and restores the state before entering that period. Has function. This prevents confidential information from remaining in the external storage device. In this way, the leakage prevention of confidential information of the computer system and its management method are realized. The change difference here is stored in a storage area provided in an empty block of the file system. This eliminates the need for the user to prepare or reserve the storage area in advance. Specific examples will be described below.

図1を参照すると、本実施例は、ワークステーションなどから構成されたコンピュータシステム7と、ハードディスクなどから構成された第1の外部記憶装置1と、イントラネット内に存在するネットワークストレージなどから構成された第2の外部記憶装置20とを含む。コンピュータシステム7は、第1の外部記憶装置1および第2の外部記憶装置20の間でそれぞれ信号線SL1およびSL2で結ばれている。   Referring to FIG. 1, the present embodiment is composed of a computer system 7 composed of a workstation and the like, a first external storage device 1 composed of a hard disk and the like, and a network storage existing in the intranet. A second external storage device 20. The computer system 7 is connected between the first external storage device 1 and the second external storage device 20 by signal lines SL1 and SL2, respectively.

コンピュータシステム7は、図2に示すように、ソフトウェア構成上、ファイルを用いて所定の業務処理を遂行するプログラム(業務処理遂行プログラム)8と、オペレーティングシステム(OS)71とを有し、オペレーティングシステム71を介在させることにより、プログラム8と第1および第2の外部記憶装置1、20などのハードウェア73との間の入出力などの処理動作を制御する。なお、コンピュータシステム7のハードウェア構成については、CPU、メモリ(ROM/RAM)、入出力装置などの既知構成が適用される。   As shown in FIG. 2, the computer system 7 includes a program (business process execution program) 8 for performing a predetermined business process using a file and an operating system (OS) 71 in terms of software configuration. By intervening 71, processing operations such as input / output between the program 8 and the hardware 73 such as the first and second external storage devices 1 and 20 are controlled. As the hardware configuration of the computer system 7, known configurations such as a CPU, a memory (ROM / RAM), and an input / output device are applied.

図1の例では、オペレーティングシステム7は、オペレーティングシステム71と一体又は別体に構成された変更差分管理部9を有している。変更差分管理部9は、機能上、プログラム8に接続される変更差分処理手段10と、これに接続される各手段、すなわち特定ファイル持ち越し処理手段11、スイッチ装置状態検出手段12、変更差分データ出力手段13、変更差分データ入力手段14、変更差分結合手段15、変更差分インデックス入力手段16、変更差分インデックス出力手段17、スイッチ装置18、及び外部装置制御手段19とを含む。これらの各手段は、例えば各々コンピュータプログラムとして提供可能であり、各々の機能は、例えばコンピュータシステム7のCPUが各々のコンピュータプログラムを実行することで実現される。   In the example of FIG. 1, the operating system 7 includes a change difference management unit 9 that is configured integrally or separately with the operating system 71. The change difference management unit 9 is functionally connected to the change difference processing means 10 connected to the program 8 and each means connected thereto, that is, the specific file carry-over processing means 11, the switch device state detection means 12, and the change difference data output. Means 13, change difference data input means 14, change difference combination means 15, change difference index input means 16, change difference index output means 17, switch device 18, and external device control means 19. Each of these means can be provided, for example, as a computer program, and each function is realized by, for example, the CPU of the computer system 7 executing each computer program.

コンピュータシステム7上で動作する任意のプログラム8は、オペレーティングシステム71を通じて、それぞれの外部記憶装置1、20に対する、読み込み及び書き込みの計2種の処理を行う。本実施例では、プログラム8からそれぞれの外部記憶装置1、20へのすべての入出力は、変更差分管理部9の中核である、変更差分処理手段10を通じてのみ行う。   An arbitrary program 8 operating on the computer system 7 performs a total of two types of processing, reading and writing, on the external storage devices 1 and 20 through the operating system 71. In this embodiment, all input / output from the program 8 to each external storage device 1, 20 is performed only through the change difference processing means 10, which is the core of the change difference management unit 9.

第1の外部記憶装置1および第2の外部記憶装置20は、それぞれがコンピュータシステム7とは異なる任意のコンピュータシステムに存在しても差し支えない。それぞれの外部記憶装置1、20は、図2に示す通り、オペレーティングシステム71により管理されている。オペレーティングシステム71としては、例えば、Microsoft社のWindows XP(登録商標)などを用いることができるが、これに限定されず既知のUNIX(登録商標)系OS等のOSでも適用可能である。   The first external storage device 1 and the second external storage device 20 may exist in any computer system different from the computer system 7. The external storage devices 1 and 20 are managed by an operating system 71 as shown in FIG. As the operating system 71, for example, Windows XP (registered trademark) manufactured by Microsoft Corporation or the like can be used. However, the operating system 71 is not limited to this, and can also be applied to an OS such as a known UNIX (registered trademark) OS.

第1及び第2の外部記憶装置1、20は、ファイルシステム、および、ファイルもしくはファイル群を有する。図1の例では、第1の外部記憶装置1は、機密情報を含有しないファイル(第1のファイル)3を保持するファイルシステム2を有している。一方、第2の外部記憶装置20は、機密情報を含有するファイル(第2のファイル)21を記憶する。   The first and second external storage devices 1 and 20 have a file system and a file or a file group. In the example of FIG. 1, the first external storage device 1 has a file system 2 that holds a file (first file) 3 that does not contain confidential information. On the other hand, the second external storage device 20 stores a file (second file) 21 containing confidential information.

第1の外部記憶装置1では、ファイルシステム2内のファイル3群が格納されているブロック以外のブロックが空き状態であり、これを空きブロック4と呼ぶ。この空きブロック4は、変更差分データ領域5と、変更差分インデックス領域6とを有し、変更差分に関するデータを格納している。空きブロック4内の変更差分データ領域5および変更差分インデックス領域6に保管するデータは、例えば二分木などの普遍的なデータ格納アルゴリズムにより管理される。変更差分の大きさは、処理毎に大きく変化することから、二分木に格納するデータの大きさを任意に指定できる形とする。   In the first external storage device 1, blocks other than the block in which the file 3 group in the file system 2 is stored are in an empty state, and this is called an empty block 4. This empty block 4 has a change difference data area 5 and a change difference index area 6 and stores data related to the change difference. Data stored in the change difference data area 5 and the change difference index area 6 in the empty block 4 is managed by a universal data storage algorithm such as a binary tree. Since the magnitude of the change difference varies greatly with each process, the size of the data stored in the binary tree can be arbitrarily designated.

スイッチ装置18は、コンピュータシステム7が稼動している間、任意の時刻に押下状態を変更可能であり、例えばオペレーティングシステム71上で動作するGUI(Graphical User Interface)のボタンコントロールを用いて実現される。このスイッチ装置18の押下状態が変更された場合、スイッチ装置状態検出手段12に対して、その旨を示す信号を送る。スイッチ装置18の初期状態は、押下されていないとする。   The switch device 18 can change the pressed state at any time while the computer system 7 is operating, and is realized using, for example, a button control of a GUI (Graphical User Interface) operating on the operating system 71. . When the pressed state of the switch device 18 is changed, a signal indicating that is sent to the switch device state detecting means 12. It is assumed that the initial state of the switch device 18 is not pressed.

このスイッチ装置18は、第1の外部記憶装置1に対するロールバック機能の有効及び無効の期間を制御する。スイッチ装置18の押下状態をスイッチ装置状態検出手段12により調べ、押下されていれば、有効とし(この期間が本発明の任意の期間に対応する)、逆に押下されていなければ無効とする(この期間が本発明の任意の期間以外の期間に対応する)。なお、例外的に、ロールバック機能を免れるファイル3群を事前に指定可能であり、ロールバック機能が有効から無効に切り替わった直後に1回だけ、特定ファイル持ち越し処理手段13により、変更差分結合手段15から元のファイル3群に対する変更差分を適用した状態のファイル3群を得て、それを元のファイル3群に上書きする機能を持つ。   The switch device 18 controls the period during which the rollback function for the first external storage device 1 is valid and invalid. The switch device state detection unit 12 checks the pressed state of the switch device 18, and if the switch device 18 is pressed, the switch device 18 is validated (this period corresponds to an arbitrary period of the present invention). This period corresponds to a period other than the arbitrary period of the present invention). In exceptional cases, it is possible to specify a group of three files to avoid the rollback function in advance, and the change difference combination means is executed by the specific file carry-over processing means 13 only once immediately after the rollback function is switched from valid to invalid. 15 has a function of obtaining the file 3 group in a state in which the change difference with respect to the original file 3 group is applied, and overwriting the original file 3 group.

ここで、スイッチ装置18が押下され、第1の外部記憶装置1に対するロールバック機能が有効である間(任意の期間)は、ファイルシステム2内のファイル3群の存在する場所、大きさと内容、および、空きブロック4の存在する場所と大きさは変化しない。変更差分データ領域5に対する入出力は、変更差分データ出力手段13および変更差分データ入力手段14により制御する。同様に、変更差分インデックス領域6に対する入出力は、変更差分インデックス入力手段16および変更差分インデックス出力手段17により制御する。また、第1の外部記憶装置1からの読み込み時に、元のファイル3と変更差分とを結合するために変更差分結合手段15を用いる。このようにして、第1の外部記憶装置1に対するロールバック機能を提供する。   Here, while the switch device 18 is pressed and the rollback function for the first external storage device 1 is valid (arbitrary period), the location, size and content of the file 3 group in the file system 2, And the location and size of the empty block 4 do not change. Input / output to / from the change difference data area 5 is controlled by the change difference data output means 13 and the change difference data input means 14. Similarly, input / output to / from the change difference index area 6 is controlled by the change difference index input means 16 and the change difference index output means 17. Further, when reading from the first external storage device 1, the change difference combination means 15 is used to combine the original file 3 and the change difference. In this way, a rollback function for the first external storage device 1 is provided.

上記の第1の外部記憶装置1に対するロールバック機能の提供と同時に、機密情報を含有する第2の外部記憶装置20に対する制御を外部装置制御手段19により行う。外部装置制御手段19が許可しなければ、第2の外部記憶装置20からの読み取りは不可能とする。すなわち、ロールバック機能が有効であれば(第1の期間)、外部装置制御手段19は第2の外部記憶装置20からのファイル21の読み取りを許可し、逆に無効であれば(第2の期間)、第2の外部記憶装置20からのファイル21の読み取りを不許可とする。このようにして、機密情報を含有する第2の外部記憶装置20へのアクセスをロールバック機能が有効である期間(任意の期間)に限定する。   Simultaneously with the provision of the rollback function for the first external storage device 1, the external device control means 19 controls the second external storage device 20 containing confidential information. If the external device control means 19 does not permit, reading from the second external storage device 20 is impossible. That is, if the rollback function is valid (first period), the external device control means 19 permits reading of the file 21 from the second external storage device 20, and conversely if the rollback function is invalid (second time) Period), reading of the file 21 from the second external storage device 20 is not permitted. In this way, access to the second external storage device 20 containing confidential information is limited to a period (arbitrary period) in which the rollback function is valid.

次に、図1から図6を用いて、本実施例の動作を詳細に説明する。   Next, the operation of the present embodiment will be described in detail with reference to FIGS.

最初に、ロールバック機能を無効にした場合の動作を説明する。   First, the operation when the rollback function is disabled will be described.

まず、コンピュータシステム7は、スイッチ装置18が押下されていない状態から動作を開始する。この状態は、ロールバック機能が無効であることを示す。図1によると、オペレーティングシステム71上で動作する任意のプログラム8から外部記憶装置1、20に対する入出力の要求が行われたとき、変更差分管理部9では、必ず変更差分処理手段10が呼び出される。変更差分処理手段10は、図2に示す処理を開始する。   First, the computer system 7 starts operation from a state where the switch device 18 is not pressed. This state indicates that the rollback function is invalid. According to FIG. 1, when an input / output request to the external storage devices 1, 20 is made from an arbitrary program 8 operating on the operating system 71, the change difference processing means 10 is always called in the change difference management unit 9. . The change difference processing means 10 starts the process shown in FIG.

図2において、変更差分処理手段10は、スイッチ装置状態取得手段12と連動して、その処理を実行する(ステップSt1)。これにより、スイッチ装置状態取得手段12は、図3に示す処理を開始し、スイッチ装置18の状態を取得し、その結果を変更差分処理手段10に返す(ステップSt11)。この場合には、スイッチ装置18が押下されていない状態であるという結果が返される。次いで、スイッチ装置状態取得手段12は、その結果に基づいてスイッチ装置18の押下又は非押下状態を判断する(ステップSt2)。この場合には、スイッチ装置18は非押下状態であると判断される(ステップSt2:NO)。   In FIG. 2, the change difference processing means 10 executes the process in conjunction with the switch device state acquisition means 12 (step St1). Thereby, the switch apparatus state acquisition means 12 starts the process shown in FIG. 3, acquires the state of the switch apparatus 18, and returns the result to the change difference processing means 10 (step St11). In this case, a result that the switch device 18 is not pressed is returned. Next, the switch device state acquisition unit 12 determines whether the switch device 18 is pressed or not based on the result (step St2). In this case, it is determined that the switch device 18 is in a non-pressed state (step St2: NO).

次いで、利用者がプログラム8を用いて、機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、その処理がスイッチ装置18の押下状態から非押下状態に操作された後の初回処理であるかどうかを判断する(ステップSt8)。この場合には、コンピュータシステム7起動後の非押下状態に該当するため、初回処理でないと判断され(ステップSt8:NO)、変更差分処理手段10は、何ら制御を行わずにファイル3群へそのまま入出力の内容を渡す(ステップSt10)。これにより、ファイルシステム2は、オペレーティングシステム71により、ファイル3群に対する入出力(閲覧・更新)を処理する。   Next, when the user performs input / output to / from the first external storage device 1 that does not include confidential information using the program 8, the change difference processing means 10 starts processing from the pressed state of the switch device 18. It is determined whether or not the process is the first process after being operated in the non-pressed state (step St8). In this case, since it corresponds to the non-pressed state after the computer system 7 is activated, it is determined that the process is not the first process (step St8: NO), and the change difference processing means 10 does not perform any control on the file 3 group as it is. The contents of the input / output are passed (step St10). Thus, the file system 2 processes input / output (viewing / updating) with respect to the group of files 3 by the operating system 71.

一方、機密情報の含まれる第2の外部記憶装置20に対する入出力が行われた場合、変更差分処理手段10は、外部装置制御手段19により、その機密情報を含むファイル21の読み込みを禁止する一方、その書き込みに関しては禁止しない。このとき、外部装置制御手段19は、図5の通りに制御する。すなわち、外部装置制御手段19は、図5に示すように、スイッチ装置状態取得手段12によりスイッチ装置18の状態を取得し(ステップSt21)、その結果が押下状態か否かを判断する(ステップSt22)。これにより、非押下状態であれば(YES)、第2の外部記憶装置20からの入力(ファイル読み出し)を遮断し、その第2の外部記憶装置20への出力(ファイル書き込み)を通過(許可)し(ステップSt23)、押下状態であれば(NO)、第2の外部記憶装置20の入出力(ファイル読み出し及び書き込み)を通過する(ステップSt24)。   On the other hand, when input / output to / from the second external storage device 20 including confidential information is performed, the change difference processing unit 10 prohibits the external device control unit 19 from reading the file 21 including the confidential information. The writing is not prohibited. At this time, the external device control means 19 performs control as shown in FIG. That is, as shown in FIG. 5, the external device control unit 19 acquires the state of the switch device 18 by the switch device state acquisition unit 12 (step St21), and determines whether or not the result is a pressed state (step St22). ). As a result, if not pressed (YES), the input (file read) from the second external storage device 20 is blocked and the output (file write) to the second external storage device 20 is passed (permitted). (Step St23), if it is in the pressed state (NO), the input / output (file reading and writing) of the second external storage device 20 is passed (Step St24).

以上の通り、スイッチ装置18が押下されていない期間(任意の期間以外の期間)は、機密情報を含む第2の外部記憶装置20から機密情報を含むファイル21を読み出すことができない。   As described above, the file 21 including confidential information cannot be read from the second external storage device 20 including confidential information during a period when the switch device 18 is not pressed (period other than an arbitrary period).

次に、ロールバック機能を有効にした場合の動作を説明する。   Next, the operation when the rollback function is enabled will be described.

コンピュータシステム7の利用者は、GUIのボタンコントロールを通じて、スイッチ装置18の押下状態を任意の時刻に変更可能である。利用者がスイッチ装置18を押下した場合、ロールバック機能が有効となり、それ以降、変更差分管理部9の振る舞いが変化する。すなわち、スイッチ装置18が押下されている状態で、プログラム8から機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、図3の通り、スイッチ装置18が押下状態であると判断し(ステップSt2:YES)、処理種別(書き込み又は読み込み)を判断し(ステップSt2)、その処理種別に応じて制御内容を決定する。   A user of the computer system 7 can change the pressed state of the switch device 18 to an arbitrary time through a GUI button control. When the user presses the switch device 18, the rollback function is enabled, and thereafter, the behavior of the change difference management unit 9 changes. That is, when the switch device 18 is pressed and the program 8 inputs / outputs the first external storage device 1 that does not contain confidential information, the change difference processing means 10 is as shown in FIG. It is determined that the switch device 18 is in the pressed state (step St2: YES), the processing type (writing or reading) is determined (step St2), and the control content is determined according to the processing type.

例えば、処理種別が書き込み処理であった場合、プログラム8から渡された情報を用いて変更差分を抽出し、変更差分として空きブロック4に保存する手続きとなる(ステップSt4〜St5)。変更差分は、図8に示すように、3つの要素から成る。第1の要素は、元ファイル3の存在する第1の外部記憶装置1内の物理的な場所、第2の要素は、変更差分の物理的な大きさ、第3の要素は、変更差分の内容である。後ほど、第1および第2の要素をキーとした迅速な検索が可能となるように、第1および第2の要素を格納するインデックス部と、第3の要素を格納するデータ部とに分ける。   For example, when the process type is a write process, a change difference is extracted using information passed from the program 8 and stored in the empty block 4 as the change difference (steps St4 to St5). The change difference includes three elements as shown in FIG. The first element is the physical location in the first external storage device 1 where the original file 3 exists, the second element is the physical size of the change difference, and the third element is the change difference Content. Later, it is divided into an index part for storing the first and second elements and a data part for storing the third element so that a quick search using the first and second elements as keys becomes possible.

そこで、変更差分処理手段10は、変更差分のうちのインデックス部を、変更差分インデックス出力手段17により、ファイルシステム2内での空きブロック4内の変更差分インデックス領域6に保管する(ステップSt4)。その格納の際、既存キーとの重なりを考慮しなければならない。そして、変更差分処理手段10は、ファイルシステム2内での空きブロック4の残り容量および既存キーとの重なりを勘案して、ファイルシステム2内に、変更差分のうちのデータ部を格納するために十分な空きブロック4が存在するかどうかを調べ(ステップSt5)、そのデータ部を格納可能であれば(YES)、変更差分データ出力手段13を読み込み、空きブロック4内の変更差分データ領域5に、そのデータ部の格納を実施する(ステップSt6)。   Therefore, the change difference processing means 10 stores the index portion of the change difference in the change difference index area 6 in the empty block 4 in the file system 2 by the change difference index output means 17 (step St4). When storing, overlapping with existing keys must be taken into account. The change difference processing means 10 stores the data part of the change difference in the file system 2 in consideration of the remaining capacity of the empty block 4 in the file system 2 and the overlap with the existing key. It is checked whether or not there are enough free blocks 4 (step St5). If the data part can be stored (YES), the change difference data output means 13 is read and the change difference data area 5 in the empty block 4 is read. Then, the data part is stored (step St6).

一方、上記ステップSt3の判断にて処理種別が読み込み処理であった場合、変更差分結合手段15により、元のファイル3とそれまでに蓄積した変更差分とを結合したファイルを生成する(ステップSt7)。すなわち、変更差分結合手段15は、図6に示すように、ファイル3から元のデータを得る(ステップSt31)と、元のファイル3の物理的な位置および要求されている大きさをキーとして、変更差分インデックス入力手段16を呼び出す(ステップSt32)。これにより、変更差分インデックス領域6内を検索し、変更差分が存在するかどうかを確認する(ステップSt33)。その結果、変更差分が存在する場合(YES)のみ、変更差分データ領域5内の物理的な位置を得て、元のファイル3の内容と、もしあれば変更差分とを結合して、結合後の内容を生成する(ステップSt35)。この内容は、スイッチ装置18を押下しない状態のまま、同じプログラム8からの入出力内容をファイル3へ適応し続けた結果と等価である。なお、ロールバック機能が有効である場合、全体を通じて、ファイル3には一切変更を加えない。   On the other hand, if the processing type is read processing in the determination in step St3, the change difference combining unit 15 generates a file combining the original file 3 and the change difference accumulated so far (step St7). . That is, as shown in FIG. 6, the change difference combining unit 15 obtains the original data from the file 3 (step St31), and uses the physical position of the original file 3 and the requested size as a key. The change difference index input means 16 is called (step St32). Thereby, the change difference index area 6 is searched to check whether or not there is a change difference (step St33). As a result, only when the change difference exists (YES), the physical position in the change difference data area 5 is obtained, and the contents of the original file 3 and the change difference, if any, are combined, and after the combination Is generated (step St35). This content is equivalent to the result of continuously applying the input / output content from the same program 8 to the file 3 without pressing the switch device 18. If the rollback function is valid, no change is made to the file 3 throughout.

次に、この状態からスイッチ装置18の押下状態が再び変化し、ロールバック機能が無効となった場合を記述する。   Next, a case where the pressed state of the switch device 18 is changed again from this state and the rollback function is disabled will be described.

まず、変更差分処理手段10は、図3に示すとおり、スイッチ装置18の押下状態から非押下状態への変化後の初回処理かどうかを判断する(ステップSt8)。この場合には、初回処理であると判断される(ステップSt8:YES)。従って、初回処理であれば、変更差分処理手段10は、特定ファイル持ち越し処理手段11を呼び出し、これによりロールバック対象外のファイルであると事前に指定されたファイル3群にその変更差分を反映する処理を行う。すなわち、特定ファイル持ち越し処理手段11は、図7に示すように、変更差分結合手段15の処理により、ロールバック対象外のファイル3とその変更差分とを結合してその結合後の内容を生成し(ステップSt43)、その結合後の内容をファイル3に書き出す(ステップSt42)。なお、ロールバック対象外となるファイル3としては、例えば監査ログが挙げられる。これは、コンピュータシステム7の利用者と管理者が同一人物で無い場合、管理者が利用者の振る舞いを監査したい場合、操作などのログを残すケースがあり、このような場合、監査ログが抹消されると機能性を損なうことになるためである。   First, as shown in FIG. 3, the change difference processing means 10 determines whether or not it is the first process after the switch device 18 is changed from the pressed state to the non-pressed state (step St8). In this case, it is determined that the process is an initial process (step St8: YES). Therefore, if it is the initial process, the change difference processing means 10 calls the specific file carry-over processing means 11, and thereby reflects the change difference in the file 3 group designated in advance as a file not subject to rollback. Process. That is, as shown in FIG. 7, the specific file carry-over processing unit 11 combines the non-rollback target file 3 with the change difference and generates the combined content by the processing of the change difference combining unit 15. (Step St43), the combined contents are written in the file 3 (Step St42). An example of the file 3 that is not subject to rollback is an audit log. In this case, if the user of the computer system 7 and the administrator are not the same person, and the administrator wants to audit the behavior of the user, there may be a case where a log of operation or the like is left. In such a case, the audit log is deleted. This is because the functionality is impaired.

一方、上記のステップSt8の判断で、スイッチ装置18の押下状態から非押下状態への変化後の初回処理でなければ(ステップSt8:NO)、冒頭で述べたとおり、ファイル3に対する入出力操作に対する制御を加えない扱いとする(ステップSt10)。すなわち、ロールバック機能が有効である間(任意の期間)に行われた変更差分は、その保存領域として空きブロック4を用いているため、その後の操作によりファイルシステム2により破壊され、事実上、抹消される。   On the other hand, if it is not the first process after the change from the pressed state of the switch device 18 to the non-pressed state (step St8: NO) in the determination of step St8, as described at the beginning, the input / output operation for the file 3 It is assumed that no control is applied (step St10). That is, the change difference made while the rollback function is valid (arbitrary period) uses the empty block 4 as its storage area, and is therefore destroyed by the file system 2 by the subsequent operation, It will be deleted.

例えば、ロールバック機能が有効であり、第2の外部記憶装置21への制御が可能である期間(任意の期間)に、利用者がプログラム8を用いて第2の外部記憶装置20上の機密文書を含むファイル(第2のファイル)21の編集を行った際、暗黙的に第1の外部記憶装置1上のファイル(第1のファイル)3に対しその機密文書を含むファイル21の複製が作成されたケースを想定する。このとき、作成された機密文書を含むファイル21の複製全体がファイル3の変更差分とみなされる。その後、スイッチ装置18を操作してロールバック機能を無効とすると、第1の外部記憶装置1に作成された機密文書を含むファイル21の複製、つまり、ファイル3の変更差分は抹消された扱いとなり、コンピュータシステム7の利用者からは見えなくなる。このようにして、第2の外部記憶装置21から第1の外部記憶装置1への機密情報の暗黙的な複製に対する、情報漏洩が防止可能となる。   For example, during a period when the rollback function is effective and control to the second external storage device 21 is possible (arbitrary period), the user uses the program 8 to store the confidential information on the second external storage device 20. When the file (second file) 21 containing the document is edited, the file 21 containing the confidential document is implicitly copied to the file (first file) 3 on the first external storage device 1. Assume the created case. At this time, the entire copy of the file 21 including the created confidential document is regarded as a change difference of the file 3. Thereafter, when the switch device 18 is operated to disable the rollback function, the copy of the file 21 including the confidential document created in the first external storage device 1, that is, the change difference of the file 3 is deleted. It is invisible to the user of the computer system 7. In this way, it is possible to prevent information leakage with respect to implicit duplication of confidential information from the second external storage device 21 to the first external storage device 1.

以上説明したように、本実施例では、次のような特徴がある。(1)任意の期間におけるファイル3への変更差分をファイルシステム2の空きブロック4に保管している。(2)事前に変更差分の保管領域を予約しなくてもよい。(3)上記の期間満了後、空きブロック4に保管した内容を破棄し、ファイルシステム2が持つファイル3を期間以前の状態にロールバックしている。(4)スイッチ装置18を押下及び非押下することにより、上記の期間を制御できる。(5)スイッチ装置18の操作が任意の時刻に行うことができる。(6)第1の外部記憶装置1のファイル3への出力時に変更差分のみを別途保管している。(7)第1の外部記憶装置1のファイル3からの入力時にそのファイル3とそのファイルに対する変更差分とを結合している。(8)情報漏洩対策にロールバック方式を適応している。   As described above, the present embodiment has the following features. (1) The change difference to the file 3 in an arbitrary period is stored in the empty block 4 of the file system 2. (2) It is not necessary to reserve a storage area for change differences in advance. (3) After the above period expires, the contents stored in the empty block 4 are discarded, and the file 3 of the file system 2 is rolled back to the state before the period. (4) The above period can be controlled by pressing and non-pressing the switch device 18. (5) The switch device 18 can be operated at an arbitrary time. (6) Only the change difference is stored separately when output to the file 3 of the first external storage device 1. (7) At the time of input from the file 3 of the first external storage device 1, the file 3 and the change difference for the file are combined. (8) A rollback method is applied to prevent information leakage.

従って、本実施例によれば、次のような効果が得られる。(1)特定のスイッチ装置18が押下されている任意の期間に、機密文書を含むファイル21を第2の外部記憶装置20から第1の外部記憶装置1へ複製した場合、スイッチ装置18の操作によりロールバックし、その機密文書を含むファイル21の複製をすべて第1の外部記憶装置1から抹消することができる。(2)特定のスイッチ装置18が押下されている任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置20から読み込むことができない。(3)スイッチ装置18の操作により、第1の外部記憶装置1に対するロールバックを任意の時刻に実行できる。(4)監査ログ等の特定ファイルは、例外として、第1の外部記憶装置1に対するロールバック対象外とすることができる。   Therefore, according to the present embodiment, the following effects can be obtained. (1) When the file 21 including the confidential document is copied from the second external storage device 20 to the first external storage device 1 during an arbitrary period when the specific switch device 18 is pressed, the switch device 18 is operated. Can be rolled back, and all copies of the file 21 including the confidential document can be deleted from the first external storage device 1. (2) A file containing a confidential document can be read from the second external storage device 20 only during an arbitrary period when the specific switch device 18 is pressed. (3) The rollback for the first external storage device 1 can be executed at an arbitrary time by operating the switch device 18. (4) A specific file such as an audit log can be excluded from the rollback target for the first external storage device 1 as an exception.

なお、他の実施例として、コンピュータシステム7にコンピュータウィルスおよびマルウェアが混入した場合、スイッチ装置18の操作により、上記実施例と同様のロールバック機能の動作により、それらをすべて第1の外部記憶装置1から抹消し、第1の外部記憶装置1内の第1のファイル3の状態をその混入前の状態にロールバックする構成に適用することができる。   As another embodiment, when a computer virus and malware are mixed in the computer system 7, all of them are operated by the operation of the switch device 18 and the same rollback function as that of the above embodiment is performed. 1 can be applied to a configuration in which the state of the first file 3 in the first external storage device 1 is rolled back to the state before the mixing.

また、上記の実施例では、スイッチ装置18の押下及び非押下により、第2の外部記憶装置21からの読み込みを有効及び無効とし、かつ、第1の外部記憶装置1に対するロールバック機能を有効及び無効とする期間を同時に制御しているが、本発明はこれに限らず、例えばコンピュータシステム7に内蔵するタイマ機能を用いて、予め指定された期間のみ上記の読み込み及びロールバック機能を有効とするように制御するようにしてもよい。   In the above-described embodiment, reading from the second external storage device 21 is enabled and disabled by pressing and not pressing the switch device 18, and the rollback function for the first external storage device 1 is enabled and disabled. Although the period of invalidation is controlled simultaneously, the present invention is not limited to this, and the above-described reading and rollback functions are validated only for a predetermined period using, for example, a timer function built in the computer system 7 You may make it control so.

本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムの用途に適用でき、特に外部記憶装置間の複製等による機密情報の漏洩防止方式及びその管理方法の用途に適用できる。   The present invention can be applied to the use of a computer system, its confidential information leakage prevention method and program, and in particular, to the confidential information leakage prevention method and its management method by copying between external storage devices.

本発明の実施例に係るコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system which concerns on the Example of this invention. 図1に示すコンピュータシステムのソフトウェア構成を示す図である。It is a figure which shows the software structure of the computer system shown in FIG. 図1に示す変更差分処理手段の処理を説明するフローチャートである。It is a flowchart explaining the process of the change difference process means shown in FIG. 図1に示す変更差分処理手段の処理を説明するフローチャートである。It is a flowchart explaining the process of the change difference process means shown in FIG. 図1に示す外部装置制御手段の処理を説明するフローチャートである。It is a flowchart explaining the process of the external apparatus control means shown in FIG. 図1に示す変更差分結合手段の処理を説明するフローチャートである。It is a flowchart explaining the process of the change difference coupling | bonding means shown in FIG. 図1に示す特定ファイル持ち越し処理手段の処理を説明するフローチャートである。It is a flowchart explaining the process of the specific file carry-over process means shown in FIG. 変更差分のデータ構成を説明する図である。It is a figure explaining the data structure of a change difference.

符号の説明Explanation of symbols

1 第1の外部記憶装置
2 ファイルシステム
3 ファイル
4 空きブロック
5 変更差分データ領域
6 変更差分インデックス領域
7 コンピュータシステム
8 プログラム
9 変更差分管理部
10 変更差分処理手段
11 特定ファイル持ち越し処理手段
12 スイッチ装置状態検出手段
13 変更差分データ出力手段
14 変更差分データ入力手段
15 変更差分結合手段
16 変更差分インデックス入力手段
17 変更差分インデックス出力手段
18 スイッチ装置
19 外部装置制御手段
20 第2の外部記憶装置
21 ファイル DESCRIPTION OF SYMBOLS 1 1st external storage device 2 File system 3 File 4 Empty block 5 Change difference data area 6 Change difference index area 7 Computer system 8 Program 9 Change difference management part 10 Change difference process means 11 Specific file carry-over process means 12 Switch apparatus state Detection means 13 Change difference data output means 14 Change difference data input means 15 Change difference combination means 16 Change difference index input means 17 Change difference index output means 18 Switch device 19 External device control means 20 Second external storage device 21 File

Claims (15)

機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムであって、
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とするコンピュータシステム。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. Computer system,
Control means for permitting reading from the second external storage device in an arbitrary period and controlling the reading to be blocked in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. Storage means to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period And a rollback means for rolling back to the computer system. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項1記載のコンピュータシステム。   When reading from the first external storage device is performed during the arbitrary period, based on the data including the contents of the change difference stored by the storage unit, the first file and its change difference 2. The computer system according to claim 1, further comprising means for combining and outputting the contents. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項2記載のコンピュータシステム。   After the arbitrary period, based on the data including the content of the change difference stored by the storage unit for the specified specific file of the first file, the specific file and the content of the change difference 3. The computer system according to claim 2, further comprising means for combining and outputting. 前記任意の期間を制御する期間制御手段をさらに有することを特徴とする請求項1乃至3のいずれか1項に記載のコンピュータシステム。   The computer system according to any one of claims 1 to 3, further comprising period control means for controlling the arbitrary period. 前記期間制御手段は、前記任意の期間をスイッチ操作で制御するスイッチ手段を有することを特徴とする請求項4記載のコンピュータシステム。   5. The computer system according to claim 4, wherein the period control means includes switch means for controlling the arbitrary period by a switch operation. 前記スイッチ手段は、前記任意の期間を任意の時刻にスイッチ操作で制御する手段であることを特徴とする請求項5記載のコンピュータシステム。   6. The computer system according to claim 5, wherein the switch means is means for controlling the arbitrary period by a switch operation at an arbitrary time. 前記変更差分の内容を含むデータは、前記変更差分の内容を含むデータ部と、前記変更差分の物理的な大きさ及びその物理的な保管場所を含むインデックス部とを有し、
前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段を有することを特徴とする請求項1乃至6のいずれか1項に記載のコンピュータシステム。 The data including the content of the change difference includes a data part including the content of the change difference, and an index part including a physical size of the change difference and a physical storage location thereof.
2. The storage unit according to claim 1, further comprising means for storing the data part in a first area in the empty block and storing the index part in a second area in the empty block. 7. The computer system according to any one of 6. 機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止方法であって、
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする機密情報の漏洩防止方法。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. A method for preventing leakage of confidential information used in a computer system,
Controlling to allow reading from the second external storage device in an arbitrary period and to block the reading in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. And steps to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period And a method for preventing leakage of confidential information. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力するステップをさらに有することを特徴とする請求項8記載の機密情報の漏洩防止方法。   When reading from the first external storage device is performed during the arbitrary period, based on the data including the contents of the change difference stored by the storage unit, the first file and its change difference 9. The method for preventing leakage of confidential information according to claim 8, further comprising the step of combining and outputting the contents. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力するステップをさらに有することを特徴とする請求項8又は9記載の機密情報の漏洩防止方法。   After the end of the arbitrary period, the specific file and the content of the change difference are combined based on the data including the content of the change difference stored for the specific file specified in the first file. 10. The method for preventing leakage of confidential information according to claim 8, further comprising a step of outputting the information. 前記任意の期間を制御するステップをさらに有することを特徴とする請求項8乃至10のいずれか1項に記載の機密情報の漏洩防止方法。   The method for preventing leakage of confidential information according to any one of claims 8 to 10, further comprising a step of controlling the arbitrary period. 機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止プログラムであって、
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする機密情報の漏洩防止プログラム。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. A confidential information leakage prevention program used in a computer system,
Controlling to allow reading from the second external storage device in an arbitrary period and to block the reading in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. And steps to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period A secret information leakage prevention program characterized by causing a computer to execute a step of rolling back to a computer. 前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力するステップをさらにコンピュータに実行させることを特徴とする請求項12記載の機密情報の漏洩防止プログラム。   When reading from the first external storage device is performed during the arbitrary period, based on the data including the contents of the change difference stored by the storage unit, the first file and its change difference 13. The confidential information leakage prevention program according to claim 12, further causing the computer to execute a step of combining and outputting the contents. 前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力するステップをさらにコンピュータに実行させることを特徴とする請求項12又は13記載の機密情報の漏洩防止プログラム。   After the end of the arbitrary period, the specific file and the content of the change difference are combined based on the data including the content of the change difference stored for the specific file specified in the first file. 14. The program for preventing leakage of confidential information according to claim 12, further causing the computer to execute the step of outputting the information. 前記任意の期間を制御するステップをさらにコンピュータに実行させることを特徴とする請求項12乃至14のいずれか1項に記載の機密情報の漏洩防止プログラム。   15. The program for preventing leakage of confidential information according to claim 12, further causing a computer to execute the step of controlling the arbitrary period.
JP2006035150A 2006-02-13 2006-02-13 Computer system, method and program for preventing leakage of confidential information Expired - Fee Related JP4544430B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006035150A JP4544430B2 (en) 2006-02-13 2006-02-13 Computer system, method and program for preventing leakage of confidential information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006035150A JP4544430B2 (en) 2006-02-13 2006-02-13 Computer system, method and program for preventing leakage of confidential information

Publications (2)

Publication Number Publication Date
JP2007213484A JP2007213484A (en) 2007-08-23
JP4544430B2 true JP4544430B2 (en) 2010-09-15

Family

ID=38491834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006035150A Expired - Fee Related JP4544430B2 (en) 2006-02-13 2006-02-13 Computer system, method and program for preventing leakage of confidential information

Country Status (1)

Country Link
JP (1) JP4544430B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62237549A (en) * 1986-04-09 1987-10-17 Matsushita Electric Ind Co Ltd Ic card
JP2002007195A (en) * 2000-06-20 2002-01-11 Fujitsu Ltd Access control system and recording medium
JP2003223368A (en) * 2002-01-31 2003-08-08 Mitsubishi Electric Corp Data access device and portable terminal equipment and server device
JP2004326981A (en) * 2003-04-28 2004-11-18 Toshiba Corp Semiconductor storage device having term of validity
JP2005141529A (en) * 2003-11-07 2005-06-02 Hitachi Ltd Information communication system and information storage medium

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62237549A (en) * 1986-04-09 1987-10-17 Matsushita Electric Ind Co Ltd Ic card
JP2002007195A (en) * 2000-06-20 2002-01-11 Fujitsu Ltd Access control system and recording medium
JP2003223368A (en) * 2002-01-31 2003-08-08 Mitsubishi Electric Corp Data access device and portable terminal equipment and server device
JP2004326981A (en) * 2003-04-28 2004-11-18 Toshiba Corp Semiconductor storage device having term of validity
JP2005141529A (en) * 2003-11-07 2005-06-02 Hitachi Ltd Information communication system and information storage medium

Also Published As

Publication number Publication date
JP2007213484A (en) 2007-08-23

Similar Documents

Publication Publication Date Title
US8892905B2 (en) Method and apparatus for performing selective encryption/decryption in a data storage system
JP4578119B2 (en) Information processing apparatus and security ensuring method in information processing apparatus
TWI291629B (en) Method, system, and computer readable storage medium storing instructions for switching folder to be accessed based on confidential mode
WO2008005765A2 (en) Network-extended storage
JP2006155155A (en) Information leakage preventing device and method, and its program
US9418232B1 (en) Providing data loss prevention for copying data to unauthorized media
US20070300034A1 (en) Virtual storage control apparatus
JP4917102B2 (en) Methods, programs, and systems for counting data set versions in a mixed local and remote storage environment
JP4516598B2 (en) How to control document copying
WO2021169163A1 (en) File data access method and apparatus, and computer-readable storage medium
US8095804B1 (en) Storing deleted data in a file system snapshot
JP5217776B2 (en) Client server system, client computer, file management method and program thereof
JP2007334386A (en) Management program for confidential information
JP2004164226A (en) Information processor and program
JP2007188445A (en) Information leakage prevention system and information leakage prevention method
JP4544430B2 (en) Computer system, method and program for preventing leakage of confidential information
JP4498012B2 (en) Electronics
JP2009230587A (en) Data management method of electronic computer, and program therefor
JP2008234539A (en) Information processing apparatus, file processing method and program
JP2011076541A (en) Information leakage prevention program and starting recording program
JP2021174432A (en) Electronic data management method, electronic data management device, and program and storage medium for the same
JP5047664B2 (en) Electronic document management apparatus, computer program, and electronic document management method
JP2009059158A (en) External device management system
Knight Forensic disk imaging report
JP7235263B2 (en) program

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4544430

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100622

LAPS Cancellation because of no payment of annual fees