JP4544430B2 - Computer system, method and program for preventing leakage of confidential information - Google Patents
Computer system, method and program for preventing leakage of confidential information Download PDFInfo
- Publication number
- JP4544430B2 JP4544430B2 JP2006035150A JP2006035150A JP4544430B2 JP 4544430 B2 JP4544430 B2 JP 4544430B2 JP 2006035150 A JP2006035150 A JP 2006035150A JP 2006035150 A JP2006035150 A JP 2006035150A JP 4544430 B2 JP4544430 B2 JP 4544430B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- change difference
- arbitrary period
- external storage
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムに係り、とくに外部記憶装置間での機密情報の漏洩を防止する方式及びその管理方法に関する。 The present invention relates to a computer system, a method for preventing leakage of confidential information, and a program, and more particularly, to a method for preventing leakage of confidential information between external storage devices and a management method thereof.
現在、殆どの企業が企業内での情報共有を目的に、イントラネットと呼ばれる情報処理インフラストラクチャを整備している。イントラネットは、それぞれの任意の数のサーバとクライアントの集合であり、どちらもコンピュータシステムである。これによると、企業活動に有用な機密文書ファイルをサーバに保存し、単一ないし複数のクライアントから単一のファイルに対して、編集や閲覧を行う。 Currently, most companies have an information processing infrastructure called an intranet for the purpose of sharing information within the company. An intranet is a collection of any number of servers and clients, both of which are computer systems. According to this, a confidential document file useful for corporate activities is stored on a server, and a single file or a plurality of clients edit or view a single file.
このように企業内の人間がクライアントを用いてファイルを編集する際、サーバへアクセスする手間を省く目的で独自にファイルを複製し、クライアントの外部記憶装置に保管しておく場合が多い。このようにして、機密文書ファイルがサーバから拡散し、次第にイントラネット内に偏在する結果となり、情報漏洩を誘発する要因となる。また、2005年4月に施行された個人情報保護法により、個人情報の漏洩対策に注目が集まっている。 As described above, when a person in a company edits a file using a client, the file is often copied independently and stored in an external storage device of the client in order to save the trouble of accessing the server. In this way, the confidential document file spreads from the server and gradually becomes unevenly distributed in the intranet, which causes information leakage. In addition, due to the Personal Information Protection Law enforced in April 2005, attention is focused on measures for leakage of personal information.
なお、本発明に関連する先行技術文献としては、次のものがある。
従来の情報漏洩対策方式は、暗号化によるものが多く、これらの方式では機密情報を含有するファイルを暗号化する制御のみを行う。そのため、暗に復号された状態のファイルが複製されて、外部記憶装置に残存する事象への対処が欠落していた。 Many conventional information leakage countermeasure methods are based on encryption. In these methods, only control for encrypting a file containing confidential information is performed. For this reason, the file in the implicitly decrypted state is duplicated, and the handling of the event remaining in the external storage device is lacking.
例えば、事前に暗号化された、機密情報を含有するファイルを文書編集装置で改版する際、その文書編集装置が外部記憶装置の一時記憶領域に復号された状態のファイルを保管する場合が多い。このとき、その一時記憶領域から復号された状態のファイルを取得し、主記憶装置を媒介にそのファイルの複製を保存した場合に、制御を免れ、コンピュータシステム内外にその複製が蓄積される問題があった。 For example, when a file containing confidential information encrypted in advance is revised by a document editing device, the document editing device often stores the decrypted file in a temporary storage area of an external storage device. At this time, when a decrypted file is obtained from the temporary storage area and a copy of the file is saved via the main storage device, the control is exempted and the copy is accumulated inside and outside the computer system. there were.
また、暗号化の運用において、使用する鍵の管理が重要であり、例えば、USB(Universal Serial Bus)メモリなどの外部記憶装置に鍵を格納する場合、その鍵を利用すれば、第3者による機密情報へのアクセスが可能であるという問題があった。例えば、暗号化済みの機密情報を含むノートパソコンと鍵を格納したUSBメモリを同時に紛失もしくは盗難にあった場合、本来、機密情報へのアクセスを許されていない者がノートパソコン上の機密情報へアクセス可能となる。 Also, in the operation of encryption, it is important to manage a key to be used. For example, when storing a key in an external storage device such as a USB (Universal Serial Bus) memory, if the key is used, it is determined by a third party. There was a problem that access to confidential information was possible. For example, if a laptop computer containing encrypted confidential information and a USB memory storing a key are lost or stolen at the same time, a person who is not originally allowed access to the confidential information may access the confidential information on the laptop computer. It becomes accessible.
同時に、ロールバック機能を有する装置を設置する場合、事前に差分領域を確保しなければならず、コンピュータシステムの利便性に欠く問題があった。 At the same time, when a device having a rollback function is installed, a difference area must be secured in advance, and there is a problem that the convenience of the computer system is lacking.
特許文献1では、ファイル単位でのロールバックを実現しているが、同一ファイル内にジャーナリングを実施するため、ファイルの形式が変化する。また、コンピュータシステム内に機密情報が存在するか否かを判断する手段が存在しない。特許文献2もプロセスと連携した同様の機能を実現しているが、同様の問題があった。また、特許文献3では、ハードディスクの全消去を行うことで情報漏洩を防いでいるが、情報が機密情報を含まない状態に復旧しない。
In Patent Document 1, rollback in units of files is realized. However, since journaling is performed in the same file, the file format changes. In addition, there is no means for determining whether confidential information exists in the computer system.
本発明は、上述した従来の事情を考慮してなされたもので、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することを目的とする。 The present invention has been made in consideration of the above-described conventional circumstances, and provides a computer system that effectively suppresses leakage of confidential information between external storage devices, and a method and program for preventing leakage of confidential information. With the goal.
上記目的を達成するため、本発明に係るコンピュータシステムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とする。 In order to achieve the above object, a computer system according to the present invention includes a first external storage device having a first file that does not include confidential information and a file system that holds the first file, and a second file that includes confidential information. A computer system electrically connected to each of the second external storage devices, wherein reading from the second external storage device is permitted in an arbitrary period, and reading is interrupted in other periods Control means for controlling the data, and when the writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference with respect to the first file before the start of the arbitrary period Storage means for storing in an empty block of the file system, and before storage in an empty block of the file system after the end of the arbitrary period Discard data containing the contents of the change difference, and having a rollback means to roll back the state of the first file to the state before starting the arbitrary period that the file system maintains.
本発明において、前記任意の期間に前記第1の外部記憶装置からの読み込みが行なわれたときに、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記第1のファイルとその変更差分の内容とを結合して出力する手段をさらに有してもよい。 In the present invention, when reading from the first external storage device is performed during the arbitrary period, the first file and the first file are stored on the basis of data including the contents of the change difference stored by the storage unit. You may further have a means to combine and output the content of the change difference.
本発明において、前記任意の期間終了後、前記第1のファイルのうち指定された特定ファイルに対して、前記保管手段により保管された前記変更差分の内容を含むデータに基づき、前記特定ファイルとその変更差分の内容とを結合して出力する手段をさらに有することを特徴とする請求項2記載のコンピュータシステム。
In the present invention, after the end of the arbitrary period, the specific file and its specific file based on the data including the contents of the change difference stored by the storage unit for the specified specific file of the first file. 3. The computer system according to
本発明において、前記任意の期間を制御する期間制御手段をさらに有してもよい。前記期間制御手段は、前記任意の期間をスイッチ操作で制御するスイッチ手段を有してもよい。前記スイッチ手段は、前記任意の期間を任意の時刻にスイッチ操作で制御する手段を有してもよい。 In this invention, you may further have a period control means to control the said arbitrary periods. The period control means may include switch means for controlling the arbitrary period by a switch operation. The switch means may have means for controlling the arbitrary period by switch operation at an arbitrary time.
本発明において、前記変更差分の内容を含むデータは、前記変更差分の内容を含むデータ部と、前記変更差分の物理的な大きさ及びその物理的な保管場所を含むインデックス部とを有し、前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段であってもよい。 In the present invention, the data including the content of the change difference has a data part including the content of the change difference, and an index part including a physical size of the change difference and a physical storage location thereof, The storage means may be means for storing the data part in a first area in the empty block and storing the index part in a second area in the empty block.
本発明によれば、任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置から読み込むことができず、例えば任意の期間に機密文書を含むファイルを第2の外部記憶装置から第1の外部記憶装置へ複製した場合、ロールバック手段により、その機密文書を含むファイルの複製をすべて第1の外部記憶装置から抹消することができる。また、好適な態様では、第1の外部記憶装置に対するロールバックを任意の時刻に実行できる。さらに、好適な態様では、監査ログ等の特定ファイルは、例外として、第1の外部記憶装置に対するロールバック対象外とすることができる。 According to the present invention, a file including a confidential document can be read from the second external storage device only in an arbitrary period. For example, a file including a confidential document in an arbitrary period can be read from the second external storage device. When copying to one external storage device, all copies of the file including the confidential document can be deleted from the first external storage device by the rollback means. In a preferred aspect, the rollback for the first external storage device can be executed at an arbitrary time. Further, in a preferred aspect, a specific file such as an audit log can be excluded from a rollback target for the first external storage device as an exception.
本発明に係る機密情報の漏洩防止方法は、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止方法であって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする。 A method for preventing leakage of confidential information according to the present invention includes a first external storage device having a first file that does not include confidential information and a file system that holds the first file, and a second file that includes a second file that includes confidential information. A method for preventing leakage of confidential information used in a computer system electrically connected to each external storage device, wherein reading from the second external storage device is permitted during an arbitrary period, and during other periods The step of controlling to block the reading, and the contents of the change difference with respect to the first file before the start of the arbitrary period when the writing to the first external storage device is performed in the arbitrary period Storing data in a free block of the file system, and storing it in a free block of the file system after the end of the arbitrary period. Discard data including the contents of the change difference was characterized by a state of the first file that the file system to hold it and a step of rolling back to the state before starting the arbitrary period.
本発明に係る機密情報の漏洩防止プログラムは、機密情報を含まない第1のファイル及びそれを保持するファイルシステムを有する第1の外部記憶装置と、機密情報を含む第2のファイルを有する第2の外部記憶装置とにそれぞれ電気的に接続されたコンピュータシステムで用いる機密情報の漏洩防止プログラムであって、任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする。 The program for preventing leakage of confidential information according to the present invention includes a first file that includes a first file that does not include confidential information and a file system that holds the first file, and a second file that includes a second file that includes confidential information. A program for preventing leakage of confidential information used in a computer system electrically connected to each external storage device, permitting reading from the second external storage device in an arbitrary period, and in other periods The step of controlling to block the reading, and the contents of the change difference with respect to the first file before the start of the arbitrary period when the writing to the first external storage device is performed in the arbitrary period Storing data in a free block of the file system, and after the arbitrary period, Discarding data including the contents of the change difference stored in the lock, and causing the computer to execute a step of rolling back the state of the first file held by the file system to the state before the start of the arbitrary period. It is characterized by.
以上説明したように、本発明によれば、外部記憶装置間での機密情報の漏洩を効果的に抑制するコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを提供することができる。 As described above, according to the present invention, it is possible to provide a computer system that effectively suppresses leakage of confidential information between external storage devices, and a method and program for preventing leakage of confidential information.
次に、本発明に係るコンピュータシステム、その機密情報の漏洩防止方法およびプログラムを実施するための最良の形態について、図面を参照して詳細に説明する。 Next, a best mode for carrying out a computer system, a method for preventing leakage of confidential information, and a program according to the present invention will be described in detail with reference to the drawings.
本実施の形態によるコンピュータシステムは、好適には、機密情報を含有しない第1のファイルを記憶する第1の外部記憶装置と、ファイルを用いて所定の業務処理を遂行するプログラム及びファイルを管理するファイルシステムを有する処理装置と、単一のスイッチ装置と、機密情報を含有する第2のファイルを記憶する第2の外部記憶装置とを備える。この構成において、本実施の形態では、外部記憶装置を通じた機密情報の取得および設定が可能な一定期間内に行われた変更差分を破棄し、その期間に突入する以前の状態を復元するロールバック機能を持つ。こうすることで、外部記憶装置への機密情報の残存を防止する。このようにして、コンピュータシステムの機密情報の漏洩防止及びその管理方法を実現している。ここでの変更差分は、ファイルシステムの空きブロック内に設けた保管領域に保管される。これにより、利用者が事前にその保管領域を用意又は予約する必要がない。以下、その具体的な実施例を説明する。 The computer system according to the present embodiment preferably manages a first external storage device that stores a first file that does not contain confidential information, and a program and a file that perform predetermined business processing using the file. A processing device having a file system, a single switch device, and a second external storage device for storing a second file containing confidential information are provided. In this configuration, in the present embodiment, a rollback that discards change differences made within a certain period during which confidential information can be acquired and set through an external storage device and restores the state before entering that period. Has function. This prevents confidential information from remaining in the external storage device. In this way, the leakage prevention of confidential information of the computer system and its management method are realized. The change difference here is stored in a storage area provided in an empty block of the file system. This eliminates the need for the user to prepare or reserve the storage area in advance. Specific examples will be described below.
図1を参照すると、本実施例は、ワークステーションなどから構成されたコンピュータシステム7と、ハードディスクなどから構成された第1の外部記憶装置1と、イントラネット内に存在するネットワークストレージなどから構成された第2の外部記憶装置20とを含む。コンピュータシステム7は、第1の外部記憶装置1および第2の外部記憶装置20の間でそれぞれ信号線SL1およびSL2で結ばれている。
Referring to FIG. 1, the present embodiment is composed of a computer system 7 composed of a workstation and the like, a first external storage device 1 composed of a hard disk and the like, and a network storage existing in the intranet. A second
コンピュータシステム7は、図2に示すように、ソフトウェア構成上、ファイルを用いて所定の業務処理を遂行するプログラム(業務処理遂行プログラム)8と、オペレーティングシステム(OS)71とを有し、オペレーティングシステム71を介在させることにより、プログラム8と第1および第2の外部記憶装置1、20などのハードウェア73との間の入出力などの処理動作を制御する。なお、コンピュータシステム7のハードウェア構成については、CPU、メモリ(ROM/RAM)、入出力装置などの既知構成が適用される。
As shown in FIG. 2, the computer system 7 includes a program (business process execution program) 8 for performing a predetermined business process using a file and an operating system (OS) 71 in terms of software configuration. By intervening 71, processing operations such as input / output between the
図1の例では、オペレーティングシステム7は、オペレーティングシステム71と一体又は別体に構成された変更差分管理部9を有している。変更差分管理部9は、機能上、プログラム8に接続される変更差分処理手段10と、これに接続される各手段、すなわち特定ファイル持ち越し処理手段11、スイッチ装置状態検出手段12、変更差分データ出力手段13、変更差分データ入力手段14、変更差分結合手段15、変更差分インデックス入力手段16、変更差分インデックス出力手段17、スイッチ装置18、及び外部装置制御手段19とを含む。これらの各手段は、例えば各々コンピュータプログラムとして提供可能であり、各々の機能は、例えばコンピュータシステム7のCPUが各々のコンピュータプログラムを実行することで実現される。
In the example of FIG. 1, the operating system 7 includes a change difference management unit 9 that is configured integrally or separately with the
コンピュータシステム7上で動作する任意のプログラム8は、オペレーティングシステム71を通じて、それぞれの外部記憶装置1、20に対する、読み込み及び書き込みの計2種の処理を行う。本実施例では、プログラム8からそれぞれの外部記憶装置1、20へのすべての入出力は、変更差分管理部9の中核である、変更差分処理手段10を通じてのみ行う。
An
第1の外部記憶装置1および第2の外部記憶装置20は、それぞれがコンピュータシステム7とは異なる任意のコンピュータシステムに存在しても差し支えない。それぞれの外部記憶装置1、20は、図2に示す通り、オペレーティングシステム71により管理されている。オペレーティングシステム71としては、例えば、Microsoft社のWindows XP(登録商標)などを用いることができるが、これに限定されず既知のUNIX(登録商標)系OS等のOSでも適用可能である。
The first external storage device 1 and the second
第1及び第2の外部記憶装置1、20は、ファイルシステム、および、ファイルもしくはファイル群を有する。図1の例では、第1の外部記憶装置1は、機密情報を含有しないファイル(第1のファイル)3を保持するファイルシステム2を有している。一方、第2の外部記憶装置20は、機密情報を含有するファイル(第2のファイル)21を記憶する。
The first and second
第1の外部記憶装置1では、ファイルシステム2内のファイル3群が格納されているブロック以外のブロックが空き状態であり、これを空きブロック4と呼ぶ。この空きブロック4は、変更差分データ領域5と、変更差分インデックス領域6とを有し、変更差分に関するデータを格納している。空きブロック4内の変更差分データ領域5および変更差分インデックス領域6に保管するデータは、例えば二分木などの普遍的なデータ格納アルゴリズムにより管理される。変更差分の大きさは、処理毎に大きく変化することから、二分木に格納するデータの大きさを任意に指定できる形とする。
In the first external storage device 1, blocks other than the block in which the
スイッチ装置18は、コンピュータシステム7が稼動している間、任意の時刻に押下状態を変更可能であり、例えばオペレーティングシステム71上で動作するGUI(Graphical User Interface)のボタンコントロールを用いて実現される。このスイッチ装置18の押下状態が変更された場合、スイッチ装置状態検出手段12に対して、その旨を示す信号を送る。スイッチ装置18の初期状態は、押下されていないとする。
The
このスイッチ装置18は、第1の外部記憶装置1に対するロールバック機能の有効及び無効の期間を制御する。スイッチ装置18の押下状態をスイッチ装置状態検出手段12により調べ、押下されていれば、有効とし(この期間が本発明の任意の期間に対応する)、逆に押下されていなければ無効とする(この期間が本発明の任意の期間以外の期間に対応する)。なお、例外的に、ロールバック機能を免れるファイル3群を事前に指定可能であり、ロールバック機能が有効から無効に切り替わった直後に1回だけ、特定ファイル持ち越し処理手段13により、変更差分結合手段15から元のファイル3群に対する変更差分を適用した状態のファイル3群を得て、それを元のファイル3群に上書きする機能を持つ。
The
ここで、スイッチ装置18が押下され、第1の外部記憶装置1に対するロールバック機能が有効である間(任意の期間)は、ファイルシステム2内のファイル3群の存在する場所、大きさと内容、および、空きブロック4の存在する場所と大きさは変化しない。変更差分データ領域5に対する入出力は、変更差分データ出力手段13および変更差分データ入力手段14により制御する。同様に、変更差分インデックス領域6に対する入出力は、変更差分インデックス入力手段16および変更差分インデックス出力手段17により制御する。また、第1の外部記憶装置1からの読み込み時に、元のファイル3と変更差分とを結合するために変更差分結合手段15を用いる。このようにして、第1の外部記憶装置1に対するロールバック機能を提供する。
Here, while the
上記の第1の外部記憶装置1に対するロールバック機能の提供と同時に、機密情報を含有する第2の外部記憶装置20に対する制御を外部装置制御手段19により行う。外部装置制御手段19が許可しなければ、第2の外部記憶装置20からの読み取りは不可能とする。すなわち、ロールバック機能が有効であれば(第1の期間)、外部装置制御手段19は第2の外部記憶装置20からのファイル21の読み取りを許可し、逆に無効であれば(第2の期間)、第2の外部記憶装置20からのファイル21の読み取りを不許可とする。このようにして、機密情報を含有する第2の外部記憶装置20へのアクセスをロールバック機能が有効である期間(任意の期間)に限定する。
Simultaneously with the provision of the rollback function for the first external storage device 1, the external device control means 19 controls the second
次に、図1から図6を用いて、本実施例の動作を詳細に説明する。 Next, the operation of the present embodiment will be described in detail with reference to FIGS.
最初に、ロールバック機能を無効にした場合の動作を説明する。 First, the operation when the rollback function is disabled will be described.
まず、コンピュータシステム7は、スイッチ装置18が押下されていない状態から動作を開始する。この状態は、ロールバック機能が無効であることを示す。図1によると、オペレーティングシステム71上で動作する任意のプログラム8から外部記憶装置1、20に対する入出力の要求が行われたとき、変更差分管理部9では、必ず変更差分処理手段10が呼び出される。変更差分処理手段10は、図2に示す処理を開始する。
First, the computer system 7 starts operation from a state where the
図2において、変更差分処理手段10は、スイッチ装置状態取得手段12と連動して、その処理を実行する(ステップSt1)。これにより、スイッチ装置状態取得手段12は、図3に示す処理を開始し、スイッチ装置18の状態を取得し、その結果を変更差分処理手段10に返す(ステップSt11)。この場合には、スイッチ装置18が押下されていない状態であるという結果が返される。次いで、スイッチ装置状態取得手段12は、その結果に基づいてスイッチ装置18の押下又は非押下状態を判断する(ステップSt2)。この場合には、スイッチ装置18は非押下状態であると判断される(ステップSt2:NO)。
In FIG. 2, the change difference processing means 10 executes the process in conjunction with the switch device state acquisition means 12 (step St1). Thereby, the switch apparatus state acquisition means 12 starts the process shown in FIG. 3, acquires the state of the
次いで、利用者がプログラム8を用いて、機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、その処理がスイッチ装置18の押下状態から非押下状態に操作された後の初回処理であるかどうかを判断する(ステップSt8)。この場合には、コンピュータシステム7起動後の非押下状態に該当するため、初回処理でないと判断され(ステップSt8:NO)、変更差分処理手段10は、何ら制御を行わずにファイル3群へそのまま入出力の内容を渡す(ステップSt10)。これにより、ファイルシステム2は、オペレーティングシステム71により、ファイル3群に対する入出力(閲覧・更新)を処理する。
Next, when the user performs input / output to / from the first external storage device 1 that does not include confidential information using the
一方、機密情報の含まれる第2の外部記憶装置20に対する入出力が行われた場合、変更差分処理手段10は、外部装置制御手段19により、その機密情報を含むファイル21の読み込みを禁止する一方、その書き込みに関しては禁止しない。このとき、外部装置制御手段19は、図5の通りに制御する。すなわち、外部装置制御手段19は、図5に示すように、スイッチ装置状態取得手段12によりスイッチ装置18の状態を取得し(ステップSt21)、その結果が押下状態か否かを判断する(ステップSt22)。これにより、非押下状態であれば(YES)、第2の外部記憶装置20からの入力(ファイル読み出し)を遮断し、その第2の外部記憶装置20への出力(ファイル書き込み)を通過(許可)し(ステップSt23)、押下状態であれば(NO)、第2の外部記憶装置20の入出力(ファイル読み出し及び書き込み)を通過する(ステップSt24)。
On the other hand, when input / output to / from the second
以上の通り、スイッチ装置18が押下されていない期間(任意の期間以外の期間)は、機密情報を含む第2の外部記憶装置20から機密情報を含むファイル21を読み出すことができない。
As described above, the
次に、ロールバック機能を有効にした場合の動作を説明する。 Next, the operation when the rollback function is enabled will be described.
コンピュータシステム7の利用者は、GUIのボタンコントロールを通じて、スイッチ装置18の押下状態を任意の時刻に変更可能である。利用者がスイッチ装置18を押下した場合、ロールバック機能が有効となり、それ以降、変更差分管理部9の振る舞いが変化する。すなわち、スイッチ装置18が押下されている状態で、プログラム8から機密情報の含まれていない第1の外部記憶装置1に対する入出力を行った場合、変更差分処理手段10は、図3の通り、スイッチ装置18が押下状態であると判断し(ステップSt2:YES)、処理種別(書き込み又は読み込み)を判断し(ステップSt2)、その処理種別に応じて制御内容を決定する。
A user of the computer system 7 can change the pressed state of the
例えば、処理種別が書き込み処理であった場合、プログラム8から渡された情報を用いて変更差分を抽出し、変更差分として空きブロック4に保存する手続きとなる(ステップSt4〜St5)。変更差分は、図8に示すように、3つの要素から成る。第1の要素は、元ファイル3の存在する第1の外部記憶装置1内の物理的な場所、第2の要素は、変更差分の物理的な大きさ、第3の要素は、変更差分の内容である。後ほど、第1および第2の要素をキーとした迅速な検索が可能となるように、第1および第2の要素を格納するインデックス部と、第3の要素を格納するデータ部とに分ける。
For example, when the process type is a write process, a change difference is extracted using information passed from the
そこで、変更差分処理手段10は、変更差分のうちのインデックス部を、変更差分インデックス出力手段17により、ファイルシステム2内での空きブロック4内の変更差分インデックス領域6に保管する(ステップSt4)。その格納の際、既存キーとの重なりを考慮しなければならない。そして、変更差分処理手段10は、ファイルシステム2内での空きブロック4の残り容量および既存キーとの重なりを勘案して、ファイルシステム2内に、変更差分のうちのデータ部を格納するために十分な空きブロック4が存在するかどうかを調べ(ステップSt5)、そのデータ部を格納可能であれば(YES)、変更差分データ出力手段13を読み込み、空きブロック4内の変更差分データ領域5に、そのデータ部の格納を実施する(ステップSt6)。
Therefore, the change difference processing means 10 stores the index portion of the change difference in the change
一方、上記ステップSt3の判断にて処理種別が読み込み処理であった場合、変更差分結合手段15により、元のファイル3とそれまでに蓄積した変更差分とを結合したファイルを生成する(ステップSt7)。すなわち、変更差分結合手段15は、図6に示すように、ファイル3から元のデータを得る(ステップSt31)と、元のファイル3の物理的な位置および要求されている大きさをキーとして、変更差分インデックス入力手段16を呼び出す(ステップSt32)。これにより、変更差分インデックス領域6内を検索し、変更差分が存在するかどうかを確認する(ステップSt33)。その結果、変更差分が存在する場合(YES)のみ、変更差分データ領域5内の物理的な位置を得て、元のファイル3の内容と、もしあれば変更差分とを結合して、結合後の内容を生成する(ステップSt35)。この内容は、スイッチ装置18を押下しない状態のまま、同じプログラム8からの入出力内容をファイル3へ適応し続けた結果と等価である。なお、ロールバック機能が有効である場合、全体を通じて、ファイル3には一切変更を加えない。
On the other hand, if the processing type is read processing in the determination in step St3, the change
次に、この状態からスイッチ装置18の押下状態が再び変化し、ロールバック機能が無効となった場合を記述する。
Next, a case where the pressed state of the
まず、変更差分処理手段10は、図3に示すとおり、スイッチ装置18の押下状態から非押下状態への変化後の初回処理かどうかを判断する(ステップSt8)。この場合には、初回処理であると判断される(ステップSt8:YES)。従って、初回処理であれば、変更差分処理手段10は、特定ファイル持ち越し処理手段11を呼び出し、これによりロールバック対象外のファイルであると事前に指定されたファイル3群にその変更差分を反映する処理を行う。すなわち、特定ファイル持ち越し処理手段11は、図7に示すように、変更差分結合手段15の処理により、ロールバック対象外のファイル3とその変更差分とを結合してその結合後の内容を生成し(ステップSt43)、その結合後の内容をファイル3に書き出す(ステップSt42)。なお、ロールバック対象外となるファイル3としては、例えば監査ログが挙げられる。これは、コンピュータシステム7の利用者と管理者が同一人物で無い場合、管理者が利用者の振る舞いを監査したい場合、操作などのログを残すケースがあり、このような場合、監査ログが抹消されると機能性を損なうことになるためである。
First, as shown in FIG. 3, the change difference processing means 10 determines whether or not it is the first process after the
一方、上記のステップSt8の判断で、スイッチ装置18の押下状態から非押下状態への変化後の初回処理でなければ(ステップSt8:NO)、冒頭で述べたとおり、ファイル3に対する入出力操作に対する制御を加えない扱いとする(ステップSt10)。すなわち、ロールバック機能が有効である間(任意の期間)に行われた変更差分は、その保存領域として空きブロック4を用いているため、その後の操作によりファイルシステム2により破壊され、事実上、抹消される。
On the other hand, if it is not the first process after the change from the pressed state of the
例えば、ロールバック機能が有効であり、第2の外部記憶装置21への制御が可能である期間(任意の期間)に、利用者がプログラム8を用いて第2の外部記憶装置20上の機密文書を含むファイル(第2のファイル)21の編集を行った際、暗黙的に第1の外部記憶装置1上のファイル(第1のファイル)3に対しその機密文書を含むファイル21の複製が作成されたケースを想定する。このとき、作成された機密文書を含むファイル21の複製全体がファイル3の変更差分とみなされる。その後、スイッチ装置18を操作してロールバック機能を無効とすると、第1の外部記憶装置1に作成された機密文書を含むファイル21の複製、つまり、ファイル3の変更差分は抹消された扱いとなり、コンピュータシステム7の利用者からは見えなくなる。このようにして、第2の外部記憶装置21から第1の外部記憶装置1への機密情報の暗黙的な複製に対する、情報漏洩が防止可能となる。
For example, during a period when the rollback function is effective and control to the second
以上説明したように、本実施例では、次のような特徴がある。(1)任意の期間におけるファイル3への変更差分をファイルシステム2の空きブロック4に保管している。(2)事前に変更差分の保管領域を予約しなくてもよい。(3)上記の期間満了後、空きブロック4に保管した内容を破棄し、ファイルシステム2が持つファイル3を期間以前の状態にロールバックしている。(4)スイッチ装置18を押下及び非押下することにより、上記の期間を制御できる。(5)スイッチ装置18の操作が任意の時刻に行うことができる。(6)第1の外部記憶装置1のファイル3への出力時に変更差分のみを別途保管している。(7)第1の外部記憶装置1のファイル3からの入力時にそのファイル3とそのファイルに対する変更差分とを結合している。(8)情報漏洩対策にロールバック方式を適応している。
As described above, the present embodiment has the following features. (1) The change difference to the
従って、本実施例によれば、次のような効果が得られる。(1)特定のスイッチ装置18が押下されている任意の期間に、機密文書を含むファイル21を第2の外部記憶装置20から第1の外部記憶装置1へ複製した場合、スイッチ装置18の操作によりロールバックし、その機密文書を含むファイル21の複製をすべて第1の外部記憶装置1から抹消することができる。(2)特定のスイッチ装置18が押下されている任意の期間にしか、機密文書を含むファイルを第2の外部記憶装置20から読み込むことができない。(3)スイッチ装置18の操作により、第1の外部記憶装置1に対するロールバックを任意の時刻に実行できる。(4)監査ログ等の特定ファイルは、例外として、第1の外部記憶装置1に対するロールバック対象外とすることができる。
Therefore, according to the present embodiment, the following effects can be obtained. (1) When the
なお、他の実施例として、コンピュータシステム7にコンピュータウィルスおよびマルウェアが混入した場合、スイッチ装置18の操作により、上記実施例と同様のロールバック機能の動作により、それらをすべて第1の外部記憶装置1から抹消し、第1の外部記憶装置1内の第1のファイル3の状態をその混入前の状態にロールバックする構成に適用することができる。
As another embodiment, when a computer virus and malware are mixed in the computer system 7, all of them are operated by the operation of the
また、上記の実施例では、スイッチ装置18の押下及び非押下により、第2の外部記憶装置21からの読み込みを有効及び無効とし、かつ、第1の外部記憶装置1に対するロールバック機能を有効及び無効とする期間を同時に制御しているが、本発明はこれに限らず、例えばコンピュータシステム7に内蔵するタイマ機能を用いて、予め指定された期間のみ上記の読み込み及びロールバック機能を有効とするように制御するようにしてもよい。
In the above-described embodiment, reading from the second
本発明は、コンピュータシステム、その機密情報の漏洩防止方法およびプログラムの用途に適用でき、特に外部記憶装置間の複製等による機密情報の漏洩防止方式及びその管理方法の用途に適用できる。 The present invention can be applied to the use of a computer system, its confidential information leakage prevention method and program, and in particular, to the confidential information leakage prevention method and its management method by copying between external storage devices.
1 第1の外部記憶装置
2 ファイルシステム
3 ファイル
4 空きブロック
5 変更差分データ領域
6 変更差分インデックス領域
7 コンピュータシステム
8 プログラム
9 変更差分管理部
10 変更差分処理手段
11 特定ファイル持ち越し処理手段
12 スイッチ装置状態検出手段
13 変更差分データ出力手段
14 変更差分データ入力手段
15 変更差分結合手段
16 変更差分インデックス入力手段
17 変更差分インデックス出力手段
18 スイッチ装置
19 外部装置制御手段
20 第2の外部記憶装置
21 ファイル
DESCRIPTION OF SYMBOLS 1 1st
Claims (15)
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御する制御手段と、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管する保管手段と、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするロールバック手段とを有することを特徴とするコンピュータシステム。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. Computer system,
Control means for permitting reading from the second external storage device in an arbitrary period and controlling the reading to be blocked in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. Storage means to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period And a rollback means for rolling back to the computer system.
前記保管手段は、前記空きブロック内の第1の領域に前記データ部を保管し、前記空きブロック内の第2の領域に前記インデックス部を保管する手段を有することを特徴とする請求項1乃至6のいずれか1項に記載のコンピュータシステム。 The data including the content of the change difference includes a data part including the content of the change difference, and an index part including a physical size of the change difference and a physical storage location thereof.
2. The storage unit according to claim 1, further comprising means for storing the data part in a first area in the empty block and storing the index part in a second area in the empty block. 7. The computer system according to any one of 6.
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとを有することを特徴とする機密情報の漏洩防止方法。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. A method for preventing leakage of confidential information used in a computer system,
Controlling to allow reading from the second external storage device in an arbitrary period and to block the reading in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. And steps to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period And a method for preventing leakage of confidential information.
任意の期間に前記第2の外部記憶装置からの読み込みを許可し、それ以外の期間にその読み込みを遮断するように制御するステップと、
前記任意の期間に前記第1の外部記憶装置に対する書き込みが行なわれたときに、前記任意の期間開始前の前記第1のファイルに対する変更差分の内容を含むデータを前記ファイルシステムの空きブロックに保管するステップと、
前記任意の期間終了後、前記ファイルシステムの空きブロックに保管した前記変更差分の内容を含むデータを破棄し、前記ファイルシステムが保持する前記第1のファイルの状態を前記任意の期間開始前の状態にロールバックするステップとをコンピュータに実行させることを特徴とする機密情報の漏洩防止プログラム。 A first external storage device having a first file that does not contain confidential information and a file system that holds the first file, and a second external storage device that has a second file containing confidential information are electrically connected to each other. A confidential information leakage prevention program used in a computer system,
Controlling to allow reading from the second external storage device in an arbitrary period and to block the reading in other periods;
When writing to the first external storage device is performed during the arbitrary period, data including the contents of the change difference for the first file before the start of the arbitrary period is stored in an empty block of the file system. And steps to
After the arbitrary period, the data including the contents of the change difference stored in the empty block of the file system is discarded, and the state of the first file held by the file system is the state before the start of the arbitrary period A secret information leakage prevention program characterized by causing a computer to execute a step of rolling back to a computer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006035150A JP4544430B2 (en) | 2006-02-13 | 2006-02-13 | Computer system, method and program for preventing leakage of confidential information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006035150A JP4544430B2 (en) | 2006-02-13 | 2006-02-13 | Computer system, method and program for preventing leakage of confidential information |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007213484A JP2007213484A (en) | 2007-08-23 |
JP4544430B2 true JP4544430B2 (en) | 2010-09-15 |
Family
ID=38491834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006035150A Expired - Fee Related JP4544430B2 (en) | 2006-02-13 | 2006-02-13 | Computer system, method and program for preventing leakage of confidential information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4544430B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62237549A (en) * | 1986-04-09 | 1987-10-17 | Matsushita Electric Ind Co Ltd | Ic card |
JP2002007195A (en) * | 2000-06-20 | 2002-01-11 | Fujitsu Ltd | Access control system and recording medium |
JP2003223368A (en) * | 2002-01-31 | 2003-08-08 | Mitsubishi Electric Corp | Data access device and portable terminal equipment and server device |
JP2004326981A (en) * | 2003-04-28 | 2004-11-18 | Toshiba Corp | Semiconductor storage device having term of validity |
JP2005141529A (en) * | 2003-11-07 | 2005-06-02 | Hitachi Ltd | Information communication system and information storage medium |
-
2006
- 2006-02-13 JP JP2006035150A patent/JP4544430B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62237549A (en) * | 1986-04-09 | 1987-10-17 | Matsushita Electric Ind Co Ltd | Ic card |
JP2002007195A (en) * | 2000-06-20 | 2002-01-11 | Fujitsu Ltd | Access control system and recording medium |
JP2003223368A (en) * | 2002-01-31 | 2003-08-08 | Mitsubishi Electric Corp | Data access device and portable terminal equipment and server device |
JP2004326981A (en) * | 2003-04-28 | 2004-11-18 | Toshiba Corp | Semiconductor storage device having term of validity |
JP2005141529A (en) * | 2003-11-07 | 2005-06-02 | Hitachi Ltd | Information communication system and information storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP2007213484A (en) | 2007-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8892905B2 (en) | Method and apparatus for performing selective encryption/decryption in a data storage system | |
JP4578119B2 (en) | Information processing apparatus and security ensuring method in information processing apparatus | |
TWI291629B (en) | Method, system, and computer readable storage medium storing instructions for switching folder to be accessed based on confidential mode | |
WO2008005765A2 (en) | Network-extended storage | |
JP2006155155A (en) | Information leakage preventing device and method, and its program | |
US9418232B1 (en) | Providing data loss prevention for copying data to unauthorized media | |
US20070300034A1 (en) | Virtual storage control apparatus | |
JP4917102B2 (en) | Methods, programs, and systems for counting data set versions in a mixed local and remote storage environment | |
JP4516598B2 (en) | How to control document copying | |
WO2021169163A1 (en) | File data access method and apparatus, and computer-readable storage medium | |
US8095804B1 (en) | Storing deleted data in a file system snapshot | |
JP5217776B2 (en) | Client server system, client computer, file management method and program thereof | |
JP2007334386A (en) | Management program for confidential information | |
JP2004164226A (en) | Information processor and program | |
JP2007188445A (en) | Information leakage prevention system and information leakage prevention method | |
JP4544430B2 (en) | Computer system, method and program for preventing leakage of confidential information | |
JP4498012B2 (en) | Electronics | |
JP2009230587A (en) | Data management method of electronic computer, and program therefor | |
JP2008234539A (en) | Information processing apparatus, file processing method and program | |
JP2011076541A (en) | Information leakage prevention program and starting recording program | |
JP2021174432A (en) | Electronic data management method, electronic data management device, and program and storage medium for the same | |
JP5047664B2 (en) | Electronic document management apparatus, computer program, and electronic document management method | |
JP2009059158A (en) | External device management system | |
Knight | Forensic disk imaging report | |
JP7235263B2 (en) | program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080528 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100609 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130709 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4544430 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100622 |
|
LAPS | Cancellation because of no payment of annual fees |