企業内や学校内などでは、複数のコンピュータ(端末)をネットワークで接続してコンピュータシステムを構成し、情報共有サービスなどを運用することで作業の効率化が図られてきた。
そのようなコンピュータシステムには公開できない重要な情報が保存されている可能性があるため、情報を保護するための管理が常に必要である。
例えば、コンピュータシステムに着脱可能な可搬記憶媒体(リムーバブルメディア;本発明では、例えばUSBメモリやUSBハードディスクなどを想定)を接続し、コンピュータシステム内の情報を複写し記録した可搬記憶媒体を保全エリア外に持ち出したりした場合、情報漏洩が発生する可能性があり、特に情報を記録した可搬記憶媒体を紛失したり盗まれたりした場合には情報漏洩が発生する可能性が極めて高い。
近年では、技術発展により可搬記憶媒体の大容量化とともに記録可能な情報量も多くなり、情報漏洩による損害も格段に大きくなっている。また、情報漏洩事件を起こした場合には、管理体制や責任を厳しく問われるようになってきており、その影響は計り知れない。従って、現在、情報漏洩防止対策は情報セキュリティ対策の中でも極めて重要な課題となっている。
従来、可搬記憶媒体はデータを読み書きできる可搬型の記憶装置と考えられ、可搬型の利便性に注目され広く利用されてきた。しかし、ネットワーク接続されて安全にデータ転送できる手段がある場合には、情報漏洩の危険を冒してまで上記の如き情報漏洩の可能性のある可搬記憶媒体を使用すべきではない。
上述したように可搬記憶媒体の使用には上記の如き情報漏洩の危険性が伴うため他の安全なデータ転送の手段があればできるだけ可搬記憶媒体は使用しない方がよいが、ネットワーク接続されていないコンピュータ間でのデータ授受には可搬記憶媒体は必要不可欠な手段であり、可搬記憶媒体の使用を完全に禁止することはできない。
このように、可搬記憶媒体はネットワーク接続が不可能なコンピュータシステムやスタンドアロン型のコンピュータとの間でデータ運搬を行う場合に必要とされるが、この場合には可搬記憶媒体は安全にデータ運搬できる手段でなければならない。
そのため、可搬記憶媒体を使用せざるを得ない組織では、セキュリティ対策を謳った製品を採用し、使用を許可された利用者に対して規則や教育を徹底することで情報漏洩防止対策を図っている。しかし、これらセキュリティ対策を謳った製品のいずれもが許可された利用者は過失や不正をしないことを前提としているため、一旦許可された利用者にとって可搬記憶媒体を自由に使用できてしまうため、情報漏洩が発生する可能性がある。また、利用者のモラルへの依存性があり、いくら規則や教育を徹底しても許可された利用者のモラルが欠如している場合が往々にしてあり情報漏洩事件が後を絶たないのが現状である。
可搬記憶媒体は不揮発性のデータ記憶装置であるため、一旦格納されたデータは電力を供給しなくても保持され続ける。格納するデータに暗号化やパスワード設定を施す方式を採用したとしても、必ず解除するための解除キーが存在するため、悪意のある第3者がふんだんな時間を費やしてクラッキングを試みることが可能となり、機密情報が読み出されてしまう危険性が付きまとう。
また、解除キーの複雑さが安全性を左右するため、簡易な解除キーが設定されているとクラッキングされ易くなる。重要な情報は多大な労力を費やしてでも見る価値があることを考えれば、クラッキングの危険性は排除しなければならない。
このような可搬記憶媒体による情報漏洩を防止するには、利用可能範囲を限定するだけでなく、利用者のモラルへの依存性を排除して、管理責任者による厳密な管理の下で利用するしかない。
例えば、コンピュータシステムでは許可されていない可搬記憶媒体がコンピュータに接続された場合には、その可搬記憶媒体の使用を有効にせず、利用制限する必要がある。また、接続許可している可搬記憶媒体についても、利用者が故意に保全エリア外へ持ち出したり、或いは盗難や過失によって紛失したりした場合でも、容易に情報を取り出せないようにアクセス制限する必要がある。
更に、目的外のデータを無断で複製できないよう制限するとともに、誰が、何時、どのような操作を実行したのかの履歴を全て記録しておくことが必要であり、また、情報漏洩事件が発生した場合に備えて可搬記憶媒体に記録されているデータを常に把握しておくことも必要である。
また更に、可搬記憶媒体の不正使用が行われた場合には、該可搬記憶媒体を使用できないように無効化したり、或いは記録データを消去したりする等の自己防御措置が備えられている必要もある。
管理責任者自身もまた利用者の1人であるため、漏れ、抜け、間違いを防止できるようコンピュータを用いて管理できることが重要である。
一般に知られている技術としては、上記〔背景技術〕の項で述べたように、可搬記憶媒体への読み書きにパスワード設定を用い、可搬記憶媒体に設定されたパスワードと利用者が入力したパスワードとを照合し、合致した場合に使用を許可するものがある。また、より認証を強固にするために、別の記憶媒体に認証情報を格納してハードキーとし、可搬記憶媒体に設定された認証キーと該ハードキーとを照合することで使用許否を判断するものがある。
しかし、どちらの技術でも、可搬記憶媒体は該可搬記憶媒体を接続できるコンピュータであればどのコンピュータにも接続可能であるため、利用者が該可搬記憶媒体を保全エリア外へ持ち出して使用したり、或いは別のハードキーともども紛失したりした場合の情報漏洩を防止することはできない。
また、上述した特許文献1の技術では、コンピュータの固有情報と可搬記憶媒体(簡易媒体)の固有情報から作成した認証キーを可搬記憶媒体へ格納しておき、コンピュータに可搬記憶媒体を接続した際に、そのコンピュータの固有情報と可搬記憶媒体の固有情報からクライアント認証キーを作成し、予め可搬記憶媒体に格納しておいた認証キーと照合することで使用許否を判断している。また、許可された利用者による可搬記憶媒体への操作履歴(可搬記憶媒体の挿入日時と取り出し日時等)を把握するために、管理サーバとネットワーク接続して操作履歴を収集している。
しかし、上記特許文献1の技術では、可搬記憶媒体を使用できるコンピュータを制限することによる情報漏洩防止効果はあるものの、セキュリティ上の脆弱性が含まれており、依然として利用者のモラルへの依存度は高く、完全な情報漏洩防止対策とは言い難い。
特許文献1のセキュリティ上の脆弱性は、可搬記憶媒体(簡易媒体)へ埋め込む認証キーをデータの読み出しのみが可能な領域に書き込むことによる改竄対策しか実施していないことである。
一般の認証処理では、予めパスワードを暗号化のような技術で文字列に変換して設定し、後から入力したパスワードも同じ暗号化のような技術で文字列に変換し、これら2つの変換した後の文字列を照合することで判定する。
特許文献1でも同様の認証方法であるため、可搬記憶媒体へ埋め込まれた認証キーを読み取り、読み取った認証キーをそのまま認証処理に使用することによってセキュリティを破られる恐れがある。このような認証方法では、認証キーが読み取られないように隠蔽していなければならない。
利用者のモラルに依存する部分では、例えば、コンピュータの個別情報と可搬記憶媒体の個別情報との組み合わせによる認証では、マルチユーザ環境を備えた殆どのコンピュータにおいては別の利用者でも使用できてしまうため、暗号化機能またはセキュリティロック機能との併用が必須である。
また、一旦認証を済ませてしまえば、それ以降は、書き込み許可されたコンピュータ上での可搬記憶媒体への読み書きが自由に行うことができ、読み出し許可されたコンピュータ上での読み出しも自由にできてしまう。
また、操作履歴(可搬記憶媒体の挿入日時や取り出し日時等)の監視だけでは、書き込んだファイルの記載内容までは確認できず、悪意を持った利用者がファイル名を改竄してしまえば操作履歴から不正使用を検知することはできない。
また、可搬記憶媒体へデータが書き込まれる前にそれを防ぐ手段はなく、例え操作履歴で検知できたとしても対応は事後とならざるを得ないため、情報漏洩の抑止はできても防止はできない。
更に、上記操作履歴の収集はネットワーク接続されていることが前提となっているが、ネットワーク通信可能であれば情報漏洩の危険を冒してまで可搬記憶媒体を使用する必要はなく、通信による安全なデータ転送手段を使用すべきである。従って、可搬記憶媒体を必要とするネットワーク通信不可能なコンピュータとのデータ交換においては、不正使用を把握することができない。
また、可搬記憶媒体への認証キーの埋め込みや削除の手続きでは、可搬記憶媒体を利用するときだけ認証キーを登録し、不要なときには認証キーを削除するような運用をクライアントごとに厳密に実施するのは難しく、再設定のための作業は全て管理責任者の負担となる。そのため、管理責任者は負担を軽減するために最初から可搬記憶媒体を利用する可能性のある全てのクライアントを登録し兼ねず、利用範囲を制限することが難しくなる。
また、可搬記憶媒体の紛失有無は、管理責任者自身が人手で確認しなければならず、そのため、漏れ、抜け、間違いなどの危険性が常に伴う。また、可搬記憶媒体を不正利用された時の対策もない。
また、可搬記憶媒体によるデータ運搬の安全性を言えば、可搬記憶媒体からのデータ読み込みのみが許可されたコンピュータへ可搬記憶媒体のデータを読み込ませて目的を達した後は、持ち帰る可搬記憶媒体にデータが記録されている必要はないにもかかわらず、該必要がなくなったデータが記録された可搬記憶媒体を持ち帰らなければならないことが危険度を増長させている。
従って、特許文献1の技術は、情報漏洩防止対策の観点から見れば、使用可能なコンピュータを識別するための認証媒体としての使用には適しているが、安全にデータを運搬するための可搬記憶媒体には適していない。
本発明の目的は、可搬記憶媒体、可搬記憶媒体の使用環境、および可搬記憶媒体に記録されるデータに至るまでの全てを統合的に管理し、利用者のモラルへの依存性を排除し、可搬記憶媒体による情報漏洩防止を図ることができる可搬記憶媒体管理システムを提供することである。
本発明は、上記目的を達成するために、次のような構成を採用している。
(A)<可搬記憶媒体管理システムの全体構成>
本発明に係る可搬記憶媒体管理システムは、上記目的を達成するために、コンピュータ(端末)に着脱可能な可搬記憶媒体(USBメモリやUSBハードディスクなどのリムーバブルメディア)2と、その可搬記憶媒体2を着脱可能な管理コンソール4、管理端末5、使用端末6、および可搬記憶媒体2の管理を統合する管理サーバ3を具備する(参照符号は理解を助けるために付与したものであり、後述する図1,2に使用された符号である。以下同様)。
可搬記憶媒体2、管理サーバ3、管理コンソール4、管理端末5および使用端末6は、以下のような内部構成(処理手段、データベース)を有する。以下、それぞれの内部構成について、図面を用いて説明する。
(B)<可搬記憶媒体>
可搬記憶媒体2は、図2に示すように、
(b1)コンピュータを識別するための端末固有情報を含む端末情報を収集し、利用者から端末利用者名とパスワードを入力させ、後述する媒体制御手段221を起動して送信する認証キー照合手段211,該認証キー照合手段211が、後述する管理ユティリティ格納領域22にアクセスするための領域アクセス手段212とからなる認証ユティリティ格納領域21と、
(b2)認証キー照合手段211から受信した認証情報と予め可搬記憶媒体2内の端末認証情報DB222に設定されている端末認証情報とを照合するとともに、使用条件と権限によって使用許否を判定し、使用条件を満たさない場合の処理を実施し、媒体操作履歴を記録し、格納するデータへの操作を統括する媒体制御手段221,端末認証情報を格納する端末認証情報DB222,前記媒体制御手段221が後述するデータ格納領域23にアクセスするためのデータアクセス手段223,可搬記憶媒体2のデータ格納領域23に格納するデータを暗号化するデータ暗号化手段224,前記可搬記憶媒体2のデータ格納領域23に格納された暗号化データを復号化するデータ復号化手段225とからなる管理ユティリティ格納領域22と、
(b3)使用条件を格納する使用条件DB231,データの属性を格納するデータ属性DB232,媒体の操作履歴情報を格納する媒体操作履歴DB233,暗号化されたデータ234(複数)とからなるデータ格納領域23と
を備えている。
(C)<管理サーバ>
管理サーバ3は、図1に示すように、
(c1)管理サーバ3のサーバ固有情報を生成するサーバ情報収集手段302と、
(c2)可搬記憶媒体2を使用可能にして貸し出すための媒体貸出手続きを管理する媒体貸出管理手段303と、
(c3)可搬記憶媒体2を返却して使用不可にするための媒体返却手続きを管理する媒体返却管理手段304と、
(c4)可搬記憶媒体2を定期的に管理コンソール4または管理端末5に接続させて現物確認を行い、可搬記憶媒体2に設定した棚卸に関する使用条件の管理を行う媒体棚卸管理手段309と、
(c5)可搬記憶媒体2を定期的に管理コンソール4または管理端末5に接続させて媒体操作履歴の収集を行い、可搬記憶媒体2に設定した媒体操作履歴に関する使用条件の管理を行う媒体操作履歴管理手段308と、
(c6)管理サーバ3と管理コンソール4と管理端末5に対する端末操作履歴を収集して蓄積する端末操作履歴管理手段307と、
(c7)可搬記憶媒体2を使用できるコンピュータを識別するために、コンピュータから収集した端末固有情報と、コンピュータで前記可搬記憶媒体2を使用する際の端末利用者名およびパスワードと、可搬記憶媒体2から収集した媒体固有情報から端末認証キーを生成する端末認証キー生成手段305と、
(c8)管理コンソール4や管理端末5との通信を行うデータ送受信手段310と、
(c9)可搬記憶媒体管理システムの管理情報を蓄積する管理データベース306を管理し、前記(c1)〜(c8)までの各手段を統括する管理サーバ制御手段301と
を備えている。
(D)<管理コンソール>
管理コンソール4は、図1に示すように、
(d1)管理コンソール4の端末固有情報を収集する端末情報収集手段402と、
(d2)可搬記憶媒体とは別の種類の可搬記憶媒体が接続された場合に、非管理媒体として接続を禁止する非管理媒体排除手段409と、
(d3)可搬記憶媒体2を使用可能にして貸し出すための媒体貸出手続きを操作する媒体貸出手段403と、
(d4)可搬記憶媒体2を返却して使用不可にするための媒体返却手続きを操作する媒体返却手段404と、
(d5)可搬記憶媒体2を接続して、可搬記憶媒体2から媒体固有情報を収集する媒体情報収集手段405と、
(d6)可搬記憶媒体2への端末認証キーを含む認証情報の設定と、管理端末5からの可搬記憶媒体2への端末認証キーを含む認証情報の設定申請に対する承認を行う端末認証キー登録手段406と、
(d7)可搬記憶媒体2へのデータ書込みと、管理端末5からの可搬記憶媒体2へのデータ書込み申請に対する承認を行うデータ書込手段407と、
(d8)可搬記憶媒体2を定期的に管理コンソール4に接続させて現物確認を行い、可搬記憶媒体2に設定した棚卸に関する使用条件の再設定を行う媒体棚卸手段413と、
(d9)管理コンソール4に対する端末操作履歴を管理サーバ3へアップロードする端末操作履歴アップロード手段410と、
(d10)可搬記憶媒体2を接続し、可搬記憶媒体2内の媒体操作履歴を管理サーバ3へアップロードする媒体操作履歴アップロード手段411と、
(d11)管理サーバ3に蓄積された可搬記憶媒体2の媒体操作履歴を抽出し、集計し、分析結果を表示する媒体操作履歴閲覧手段412と、
(d12)管理サーバ3や管理端末5との通信を行うデータ送受信手段414と、
(d13)可搬記憶媒体2を使用するためのデバイスドライバ機能を持つ媒体アクセス手段408と、
(d14)可搬記憶媒体2に対する操作画面を表示し、可搬記憶媒体2内のプログラムと通信して格納したデータを読み書きし、前記(d1)〜(d13)までの各手段を統括する管理コンソール制御手段401と
を備えている。
(E)<管理端末>
管理端末5は、図1に示すように、
(e1)管理端末5の端末固有情報を収集する端末情報収集手段502と、
(e2)可搬記憶媒体とは別の種類の可搬記憶媒体が接続された場合に、非管理媒体として接続を禁止する非管理媒体排除手段505と、
(e3)可搬記憶媒体2への端末認証キーを含む認証情報の設定申請を行い、管理コンソール4の承認によって登録を行う端末認証キー登録申請手段503と、
(e4)可搬記憶媒体2へのデータ書込み申請を行い、管理コンソール4の承認によってデータ書き込みを行うデータ書込申請手段504と、
(e5)可搬記憶媒体2を定期的に管理コンソール4に接続させて現物確認を行い、可搬記憶媒体2に設定した棚卸に関する使用条件の再設定を行う媒体棚卸手段509と、
(e6)管理端末5に対する端末操作履歴を管理サーバ3へアップロードする端末操作履歴アップロード手段507と、
(e7)可搬記憶媒体2を接続し、可搬記憶媒体3内の媒体操作履歴を管理サーバ3へアップロードする媒体操作履歴アップロード手段508と、
(e8)管理サーバ3や管理コンソール4との通信を行うデータ送受信手段510と、
(e9)可搬記憶媒体2を使用するためのデバイスドライバ機能を持つ媒体アクセス手段505と、
(e10)可搬記憶媒体2に対する操作画面を表示し、可搬記憶媒体2内のプログラムと通信して格納したデータを読み書きし、前記(e1)〜(e9)までの各手段を統括する管理端末制御手段501と
を備えている。
(F)<使用端末>
使用端末6は、図1に示すように、
(f1)使用端末6の端末固有情報を収集する端末情報収集手段602と、
(f2)対象とする可搬記憶媒体とは別の種類の可搬記憶媒体が接続された場合に、非管理媒体として接続を禁止する非管理媒体排除手段604と、
(f3)可搬記憶媒体2を使用するためのデバイスドライバ機能を持つ媒体アクセス手段603と、
(f4)可搬記憶媒体2に対する操作画面を表示し、可搬記憶媒体2内のプログラムと通信して格納したデータを読み出し、前記(f1)〜(f3)までの各手段を統括する使用端末制御手段601と
を備えている。
本発明を構成する管理サーバ3は、可搬記憶媒体2の管理に必要な情報を管理データベース306に格納して管理し、可搬記憶媒体2の管理に関わる処理を実行する。
但し、管理サーバ3は、隔離された室内に設置して24時間稼働させることを想定し、管理サーバ3に対する操作は全て管理コンソール4または管理端末5から実行するものとする。
そのため、管理サーバ3は、ネットワーク1を介して管理コンソール4および管理端末5と通信可能でなければならない。
本発明を構成する使用端末6は、別組織が管理している通信不可能なコンピュータを想定しており、管理サーバ3とのネットワーク接続は必要としない。また、別組織が管理しているデータを可搬記憶媒体2に記憶して持ち帰ったり、持ち帰る疑いをかけられたりしないために可搬記憶媒体2からのデータ読み出しのみを可能とする。
仮に別組織から持ち帰る情報がある場合には、該別組織でのセキュリティ方針に従い、別組織での持ち出しの承認を受けて別の可搬記憶媒体に書き込むことが望ましい。
本発明を構成する管理コンソール4は、管理サーバ3を操作して管理サーバ3による可搬記憶媒体2の管理を代行する。また、可搬記憶媒体2へのデータ書き込みも実行する。
本発明を構成する管理端末5は、管理コンソール4が備える手段のうち、可搬記憶媒体2を使用継続させるための手段を実行し、管理コンソール4の承認によって可搬記憶媒体2へのデータ書き込みも実行する。
本発明を構成する可搬記憶媒体2の内部は、図2に示すように(また上述したように)、認証ユティリティ格納領域21、管理ユティリティ格納領域22、データ格納領域23に分けられ、認証ユティリティ格納領域21には、認証キー照合手段211、領域アクセス手段212を備え、管理ユティリティ格納領域22には、媒体制御手段221、端末認証情報DB222、データアクセス手段223、データ暗号化手段224、データ復号化手段225を備え、データ格納領域23には、使用条件DB231、データ属性DB232、媒体操作履歴DB233、データ(暗号化)234(複数)を備えている。
これらは、可搬記憶媒体2の使用許否を判断するための認証情報、認証情報を元に使用許否を判断するプログラム、可搬記憶媒体2の使用条件、使用条件によって可搬記憶媒体2の使用を制御するプログラム、媒体操作履歴、データを暗号化または復号化するプログラム、暗号化されたデータである。
可搬記憶媒体2への操作は、コンピュータから可搬記憶媒体2の内部に格納されたプログラムを実行することにより実施される。
本発明では可搬記憶媒体の内部にプログラムや認証情報などを格納しているが、これらは不必要に読み出されることは好ましくなく、内部に格納する情報が隠蔽されていることが望ましい。
そのため、可搬記憶媒体の内部を構成する認証ユティリティ格納領域21、管理ユティリティ格納領域22、データ格納領域23の各領域は、コンピュータが標準搭載している通常のアクセス手段では使用できない独自の形式であることが望ましい。
その上で、各コンピュータに搭載する媒体アクセス手段には認証ユティリティを読み取りのみで使用するためのデバイスドライバを装備し、認証ユティリティ格納領域21の領域アクセス手段212には管理ユティリティ格納領域22を読み取りのみで使用するためのデバイスドライバを装備し、管理ユティリティ格納領域22のデータアクセス手段223にはデータ格納領域23を読み書きするためのデバイスドライバを装備することで、実際にデータを読み書きするためのプログラム命令や認証情報を隠蔽することができる。
また、各コンピュータに搭載する媒体アクセス手段408,505,603は、可搬記憶媒体2からデータ読み込むための専用のデバイスドライバとする。可搬記憶媒体2にデータを書き込む場合は、管理サーバ3から専用のデバイスドライバをダウンロードして実行することで、データを書き込むためのプログラム命令を各コンピュータ内に格納しておく必要がなくなり、隠蔽することができる。
更に、可搬記憶媒体2へのデータ読み書きを行うためのファイル操作画面には、必要なファイル情報のみを表示し、各プログラムや、端末認証情報DB222、使用条件DB231、データ属性DB232などの情報はファイル操作画面に表示しないようにすることで、内部構造を隠蔽できる。
本発明では、可搬記憶媒体を使用できるコンピュータと利用者を識別するために、コンピュータを識別するための端末固有情報と、可搬記憶媒体を識別するための媒体固有情報と、コンピュータで可搬記憶媒体を使用できる利用者を識別するための端末利用者名およびパスワードを組み合わせて端末認証キーを作成することができる。
利用者が可搬記憶媒体2をコンピュータに接続するたびに、接続したコンピュータを識別するための端末固有情報と接続した可搬記憶媒体2を識別するための媒体固有情報を収集し、利用者を識別するための端末利用者名とパスワードを入力させ、認証用の端末認証キーを作成する。
この認証用の端末認証キーを、予め可搬記憶媒体の内部に記憶しておいた端末認証キーと照合し、照合結果が一致した場合に限り、該可搬記憶媒体に対して設定可能、読み書き可能、読み取りのみの所定の操作を許可する。
一方、可搬記憶媒体の使用が許可されていないコンピュータに可搬記憶媒体を接続した場合には、接続したコンピュータを識別するための端末固有情報が異なるため、端末固有情報と媒体固有情報と端末利用者名とパスワードの組み合わせから作成される端末認証キーは異なる文字列が作成され、可搬記憶媒体の内部に記憶しておいた端末認証キーとの照合が一致しない。そのため、可搬記憶媒体2への操作は禁止され、使用は許可されない。
また、可搬記憶媒体の内部に記憶しておいた端末認証キーを別の可搬記憶媒体に不正にコピーした場合も、別の可搬記憶媒体を識別するための媒体固有情報が異なることから、異なる端末認証キーが作成され、照合が一致せず使用許可されない。
同様に、端末利用者名またはパスワードに異なる文字列が入力された場合も、異なる端末認証キーが作成され、照合が一致せず使用許可されない。
これにより、予め可搬記憶媒体を使用することが許可されたコンピュータと可搬記憶媒体と利用者の組み合わせが一致した場合に限り、可搬記憶媒体の内部に記憶しておいた端末認証キーと一致し、使用を許可できることから、使用許可されていないコンピュータに不正接続して情報漏洩を発生させる危険性を排除することができる。
可搬記憶媒体へ端末認証キーを設定するには、可搬記憶媒体を使用開始するときの媒体貸出手続きで管理責任者が設定できるほか、可搬記憶媒体の貸出中でも端末認証キー登録手続きで設定追加することができる。
また、利用者が管理端末から登録申請し、管理責任者が管理コンソールから承認することでも登録可能とすることで、管理責任者の負担を軽減できる。更に、端末認証キーごとに登録期限を設定することで、登録期限を過ぎた端末認証キーを自動的に無効化することもできる。
これにより、可搬記憶媒体への端末認証キーの設定手続きは、利用するコンピュータだけを登録し、不要になれば削除するような厳密な運用が可能となり、よりセキュリティレベルを高めることができる。
本発明では、可搬記憶媒体の内部に、可搬記憶媒体を管理するための使用条件と、可搬記憶媒体に格納したデータを管理するためのデータ属性を記憶し、これらを管理するためのプログラムも格納する。
<使用条件>
可搬記憶媒体を管理するための使用条件は、可搬記憶媒体に対して操作するたびに評価し、使用条件を満たさなかった場合には、所定の操作を制限したり、情報漏洩防止対策を実行したりする。
情報漏洩防止対策としては、可搬記憶媒体の内部に格納されている全てのデータを削除したり、可搬記憶媒体を使用できなくなるよう使用条件を書き換えたりするなどの処理を実行できる。
可搬記憶媒体を管理するための使用条件としては、
1)可搬記憶媒体を使用するための認証処理に失敗した場合に、不正アクセスと判断して情報漏洩防止対策を実施することができる。
2)使用期限の設定により、可搬記憶媒体の貸出手続きと返却手続きを行うことができ、使用期限に達してコンピュータに接続された場合には、不正使用と判断して情報漏洩防止対策を実施することができる。また、貸出手続きしていない保管中の可搬記憶媒体は、使用不可の状態であることから管理責任者に無断で使用できなくなる。
3)棚卸周期の設定により、定期的に管理サーバへ接続させて現物確認することができ、棚卸周期内に棚卸せず期限切れとなってコンピュータに接続された場合には、不正使用と判断して情報漏洩防止対策を実施することができる。
4)媒体操作履歴アップロード周期の設定により、定期的に管理サーバへ接続させて媒体操作履歴をアップロードすることができ、媒体操作履歴アップロード周期内にアップロードせず期限切れとなってコンピュータに接続された場合には、不正使用と判断して情報漏洩防止対策を実施することができる。
5)媒体操作履歴の蓄積容量上限の設定により、容量以上の媒体操作履歴が蓄積された場合には、使用継続不可と判断して情報漏洩防止対策を実施することができる。但し、実際には空き容量がある限り蓄積し続けて、不正アクセスの痕跡を記録し続ける、
などを実施することが可能となる。
<データ属性>
可搬記憶媒体に格納したデータを管理するためのデータ属性は、可搬記憶媒体の内部に格納されたデータに対して操作するたびに評価し、データ属性に従って情報漏洩防止対策を実行する。
情報漏洩防止対策としては、可搬記憶媒体の内部に格納されている対象となるデータを削除する処理を実行する。
可搬記憶媒体に格納したデータを管理するためのデータ属性としては、
1)データの複製残回数の設定により、データの読み出し回数を設定することができ、不必要にデータを読み出されるのを防ぎ、データの複製残回数が0回となった場合には、無効データとして情報漏洩防止対策を実施することができる。これにより、例えば複製残回数を1回と設定することでデータ読み出し直後に削除でき、一方向のデータ運搬が可能となる。
2)保管期間の設定により、データを可搬記憶媒体内に保管しておく期間を設定することができ、保管期間を経過したデータを削除するなど、情報漏洩防止対策を実施することができる。
3)データごとに読み出し可能なコンピュータを設定することにより、異なるコンピュータに複製するデータを1つの可搬記憶媒体に同梱して運搬することができ、データ読み出す際の複製ミスを防止することができる、
などを実施することが可能となる。
これにより、ネットワーク接続されていない通信不可能なコンピュータであっても、可搬記憶媒体を使用する際に、可搬記憶媒体を管理するための使用条件と、可搬記憶媒体に格納したデータを管理するためのデータ属性を評価することができ、所定の操作を制限したり、情報漏洩防止対策を実施したりすることが可能となる。
また、使用許可していないコンピュータに接続した場合でも、認証が失敗することで不正アクセスと判断して情報漏洩防止対策を実施することができる。
本発明では、可搬記憶媒体を管理するための使用条件と可搬記憶媒体に格納したデータを管理するためのデータ属性の中にシステム時刻を使用するものがあり、システム時刻と比較した結果で情報漏洩防止対策を実施している。
システム時刻はコンピュータから取得することも可能であるが、偽装される恐れもあることから可搬記憶媒体の内部に時計機能を内蔵することが望ましい。そのため、時計機能は利用者が勝手に修正できないよう、管理サーバと接続した際に自動的に時刻同期するものとする。
また、時計機能を駆動させるために電源も内蔵する必要があることから、時計機能と電源を使用して、使用期限を過ぎた時点で強制的にデータを消去することも可能である。
本発明では、可搬記憶媒体を使用するための認証処理によって操作を制限することが可能であるため、可搬記憶媒体へのデータ書き込みを管理サーバと通信可能な管理コンソールと管理端末のみに制限することができる。
また、可搬記憶媒体へデータを書き込む前に、管理責任者がデータの内容を確認することも可能であり、管理責任者によって承認されたデータのみを可搬記憶媒体に書き込むことができる。
管理端末を使用している利用者が可搬記憶媒体にデータを書き込むには、可搬記憶媒体管理システムのファイル操作画面に表示されている所定の入力欄に、書き込むデータとデータの属性を指定し、管理コンソールを使用している管理責任者に対して書き込み申請する。
管理責任者は、書き込み申請されたデータの内容と属性を確認し、問題がなければ書き込み申請を承認し、問題があれば書き込み申請を却下する。管理端末は、管理コンソールによって書き込み許可されたデータのみを可搬記憶媒体に格納する。
一方、管理コンソールを使用している管理責任者が可搬記憶媒体にデータを書き込むには、可搬記憶媒体管理システムのファイル操作画面に表示されている所定の入力欄に、書き込むデータとデータの属性を指定することでデータを可搬記憶媒体に格納できる。
可搬記憶媒体へデータを書き込む際の承認手続きと可搬記憶媒体へのデータ書き込みにおいて、書き込むファイルの情報を管理サーバに記録しておくことで、可搬記憶媒体に格納されているファイルを把握することが可能となる。
これにより、可搬記憶媒体へデータを書き込む前に、管理責任者によって管理コンソールから書き込むデータの内容を確認することが可能となり、不正にデータを書き込まれることを防止できる。また、可搬記憶媒体へ書き込むデータの属性を設定することも可能であり、読み出し先のコンピュータを制限したり、保存期間を指定したりするなどの情報漏洩防止対策も可能となる。
更に、可搬記憶媒体に格納されているデータを全て把握することが可能となり、万一可搬記憶媒体を紛失した場合でも、適切な対応を支援できる。
本発明では、可搬記憶媒体の内部に、可搬記憶媒体を管理するためのプログラムと媒体操作履歴を記録する媒体操作履歴DBを格納しているため、ネットワーク接続されていない通信不可能なコンピュータで使用しても、媒体操作履歴を取得することができる。
また、使用許可していないコンピュータに接続した場合でも、可搬記憶媒体の内部のプログラムが実行されれば、認証処理の結果や使用許可していないコンピュータの情報を取得することができる。
可搬記憶媒体の内部に記録された媒体操作履歴は、該可搬記憶媒体を管理コンソールまたは管理端末に接続したときに管理サーバへアップロードすることで回収することができる。
媒体操作履歴を定期的に管理サーバへアップロードさせるためには、可搬記憶媒体を管理するための使用条件を使用し、現物確認のための棚卸周期や、操作履歴アップロード周期を利用する。これらの使用条件では、管理サーバへのアップロードをせずに一定期間を過ぎると自動的に可搬記憶媒体の使用を禁止することができるため、使用継続するために媒体操作履歴をアップロードさせることができる。
可搬記憶媒体に設定している可搬記憶媒体を管理するための使用条件と、可搬記憶媒体に格納したデータを管理するためのデータ属性を、管理サーバ内の管理データベースにも保持しておくことで可搬記憶媒体を管理サーバで管理することができる。
これにより、管理責任者が可搬記憶媒体の状況を把握することができ、例えば使用期限が過ぎた場合に、管理サーバから自動的に管理責任者と利用者に返却手続きを促すことも可能となる。
本発明では、可搬記憶媒体の内部に、可搬記憶媒体の使用許否を判断するための認証情報、認証情報を元に使用許否を判断するプログラム、可搬記憶媒体の使用条件、使用条件によって可搬記憶媒体の使用を制御するプログラム、媒体操作履歴、データを暗号化または復号化するプログラムなどを格納し、これらを実行することで可搬記憶媒体へのデータ書き込みやデータ読み出しを行う。
本発明は、可搬記憶媒体をコンピュータに接続するたびに、接続したコンピュータを識別するための端末固有情報、接続した可搬記憶媒体を識別するための媒体固有情報、利用者を識別するための端末利用者名とパスワードから端末認証キーを作成し、予め可搬記憶媒体の内部に記憶しておいた端末認証キーと照合し、照合結果が一致した場合に限り、可搬記憶媒体に対する設定、書き込み、読み出しなどの所定の操作を許可する。
使用許可されていないコンピュータに接続した場合には、コンピュータの端末固有情報が異なるため異なる端末認証キーが作成され、端末認証キーの照合が失敗して使用が許可されない。
このように、予め可搬記憶媒体を使用することが許可されたコンピュータと可搬記憶媒体と利用者の組み合わせに対してのみ使用許可を与えることから、使用許可されないコンピュータでの使用を禁止でき、情報漏洩の防止を図ることができる。
また、可搬記憶媒体の内部に記憶しておく端末認証キーに登録期限を設定しておくことで、登録期限を過ぎると自動的に無効化して使用できなくすることができる。また、利用者が管理端末から搬記憶媒体への端末認証キーの登録を申請し、管理責任者が管理コンソールから承認すれば登録できるようにすることで、管理責任者の作業負担を軽減できる。
これにより、可搬記憶媒体への端末認証キーの設定手続きは、利用するコンピュータだけを登録し、不要になれば削除するような厳密な運用が可能となり、よりセキュリティレベルを高めることができる。
また、ネットワーク接続されていないコンピュータシステムやスタンドアロン型のコンピュータ、または可搬記憶媒体の使用を許可していない第三のコンピュータに接続された場合においても、認証の結果によって情報漏洩防止対策を実施したり、認証処理の結果や使用許可していないコンピュータの情報を取得したりすることができる。
本発明では、可搬記憶媒体の内部に、可搬記憶媒体を管理するための使用条件と、可搬記憶媒体に格納したデータを管理するためのデータ属性を記憶し、これらを管理するためのプログラムも格納している。
また、可搬記憶媒体への操作を行うたびに、可搬記憶媒体を管理するための使用条件やデータを管理するためのデータ属性を組み合わせて評価することにより、使用条件を満たさなかった場合には、所定の操作を制限したり、全てのデータを削除したりするなどの情報漏洩防止対策を実行することができる。
<使用条件>
可搬記憶媒体を管理するための使用条件として、例えば、
1)可搬記憶媒体を使用するための認証処理に失敗した場合に、不正アクセスと判断して格納しているデータを削除する。
2)使用期限の設定により、可搬記憶媒体の貸出手続きと返却手続きを行うことができ、使用期限を過ぎると使用停止したり格納されているデータ削除したりすることができる。
3)棚卸周期の設定により、定期的に管理サーバへ接続させて現物確認することができ、可搬記憶媒体の紛失を早期に発見して対策を打つことが可能となる。
4)媒体操作履歴アップロード周期の設定により、可搬記憶媒体内に蓄積される媒体操作履歴を定期的に回収することができ、不正使用の痕跡を早期に発見することができる。
<データ属性>
また、可搬記憶媒体に格納したデータを管理するためのデータ属性としては、例えば、
1)データの複製残回数の設定により、複製残回数を1回と設定することで読み出し直後にデータを自動的に削除でき、データ運搬を一方向とすることで情報漏洩の危険度を下げることができる。
2)保管期間の設定により、保管期間を経過したデータを削除することができる。
3)データごとに読み出し可能なコンピュータを設定することにより、異なるコンピュータに複製するデータを1つの可搬記憶媒体に同梱して運搬することができ、データ読み出す際の複製ミスを防止することができる。
本発明では、可搬記憶媒体を使用するための認証処理によって操作を制限することが可能であるため、可搬記憶媒体へのデータ書き込みを管理サーバと通信可能な管理コンソールと管理端末のみに制限することができる。
また、可搬記憶媒体へデータを書き込む前に、管理責任者がデータの内容を確認することも可能であり、管理責任者によって承認されたデータのみを可搬記憶媒体に書き込むことができる。
これにより、可搬記憶媒体へデータを書き込む前に、管理責任者によって管理コンソールから書き込むデータの内容を確認することが可能となり、不正にデータを書き込まれることを防止できる。また、可搬記憶媒体へ書き込むデータの属性を設定することも可能であり、読み出し先のコンピュータを制限したり、保存期間を指定したりするなどの情報漏洩防止対策も可能となる。
更に、可搬記憶媒体に格納されているデータを全て把握することが可能となり、万一可搬記憶媒体を紛失した場合でも、適切な対応を支援できる。
本発明では、可搬記憶媒体の内部に、可搬記憶媒体を管理するためのプログラムと媒体操作履歴を記録する媒体操作履歴DBを格納するようにしているため、ネットワーク接続されていない通信不可能なコンピュータで使用しても、媒体操作履歴を取得することができる。
これにより、可搬記憶媒体を使用する全ての状況において媒体操作履歴を記録でき、媒体操作履歴を解析することで許可された利用者による操作状況を確認したり、不正使用の痕跡を確認したりすることが可能となり、不正使用による情報漏洩の抑止を図ることができる。
また、可搬記憶媒体に設定している使用条件やデータ属性を管理サーバに保持しておくことにより、可搬記憶媒体を管理サーバで管理することができる。これにより、管理責任者が可搬記憶媒体の状況を把握することができ、可搬記憶媒体の管理における漏れ、抜け、間違いを防止できる。
以上、本発明に係る可搬記憶媒体管理システムについて「課題を解決するための手段」と「発明の効果」の項で述べてきたが、以下、本発明を実施するための最良の実施形態の例を、図面を参照してさらに詳細に説明する。
<全体構成>
図1は本発明に係る可搬記憶媒体管理システムの全体構成例を示す図、図2は本発明に係る可搬記憶媒体2の内部の構成例を示す図である。
本発明に係る可搬記憶媒体管理システムは、図1に示すように、管理サーバ3と、該管理サーバ3にネットワーク1を介してデータ送受信できる管理コンソール4(一般的に複数)および管理端末5(一般的に複数)と、ネットワークに接続されていない使用端末6(一般的に複数)と、可搬記憶媒体2(一般的に複数)で構成される。
本発明に係る管理サーバ3と管理コンソール4は同一コンピュータ上に搭載することが可能であり、管理端末5と使用端末6はいずれか一方だけでもよい。また、複数の管理コンソール4を用意して、管理責任者の業務を代行させてもよい。
管理サーバ3と管理コンソール4と管理端末5での本発明に係る処理は相互に連携して実行され、可搬記憶媒体2と管理コンソール4、可搬記憶媒体2と管理端末5、可搬記憶媒体2と使用端末6の処理も連携して実行される。
管理サーバ3は、管理サーバ制御手段301、サーバ情報収集手段302、媒体貸出管理手段303、媒体返却管理手段304、端末認証キー生成手段305、管理データベース306、端末操作履歴管理手段307、媒体操作履歴管理手段308、媒体棚卸管理手段309、データ送受信手段310を備える。
管理コンソール4は、管理コンソール制御手段401、端末情報収集手段402、媒体貸出手段403、媒体返却手段404、媒体情報収集手段405、端末認証キー登録手段406、データ書込手段407、媒体アクセス手段408、非管理媒体排除手段409、端末操作履歴アップロード手段410、媒体操作履歴アップロード手段411、媒体操作履歴閲覧手段412、媒体棚卸手段413、データ送受信手段414を備える。
管理端末5は、管理端末制御手段501、端末情報収集手段502、端末認証キー登録申請手段503、データ書込申請手段504、媒体アクセス手段505、非管理媒体排除手段506、端末操作履歴アップロード手段507、媒体操作履歴アップロード手段508、媒体棚卸手段509、データ送受信手段510を備える。
使用端末6は、使用端末制御手段601、端末情報収集手段602、媒体アクセス手段603、非管理媒体排除手段604を備える。
可搬記憶媒体2は、図2に示すように、認証ユティリティ格納領域21、管理ユティリティ格納領域22、データ格納領域23に分けられ、認証ユティリティ格納領域21には、認証キー照合手段211、領域アクセス手段212を備え、管理ユティリティ格納領域22には、媒体制御手段221、端末認証情報DB222、データアクセス手段223、データ暗号化手段224、データ復号化手段225を備え、データ格納領域23には使用条件DB231、データ属性DB232、媒体操作履歴DB233、複数のデータ(暗号化)234を備える。
認証ユティリティ格納領域21は、読み込みが可能で、書き込みが不可の領域であり、管理ユティリティ格納領域22は、領域アクセス手段212を介してのみ読み込みが可能で、書き込みが不可の領域であり、データ格納領域23は、データアクセス手段223を介してのみ読み込みが可能で、書き込みも可能な領域である。
管理サーバ3は、可搬記憶媒体2の管理情報を蓄積する管理データベース306を備え、可搬記憶媒体2の管理にかかる処理を実行するサーバである。
また、管理サーバ3は隔離された室内に設置して24時間稼働させることを想定し、管理サーバ3への操作は管理コンソール4または管理端末5から実行させることとする。そのため、管理コンソール4と管理端末5は、ネットワーク1を介して管理サーバ3と通信可能でなければならない。
管理コンソール4は、可搬記憶媒体2の接続装置(図示しない)を備え、管理サーバ3を操作して可搬記憶媒体2の管理にかかる処理を実行し、可搬記憶媒体2へのデータ書き込みとデータ読み出しができるコンピュータである。可搬記憶媒体2の最上位の管理責任者(管理責任者)が使用することを想定している。
管理端末5は、可搬記憶媒体2の接続装置(図示しない)を備え、可搬記憶媒体2の使用を維持するための処理を実行し、可搬記憶媒体2へのデータ書き込みとデータ読み出しができるコンピュータである。
但し、管理端末5からの可搬記憶媒体2への書き込みには、データ単位で管理責任者の承認を必要とする。可搬記憶媒体2の管理責任者に次ぐ準管理者、または可搬記憶媒体2へのデータ書き込みを許可された利用者が使用することを想定している。
使用端末6は、可搬記憶媒体2の接続装置(図示しない)を備え、可搬記憶媒体2からのデータ読み出しのみができるコンピュータである。
使用端末6は別組織で管理されているコンピュータも含まれることを想定しているため、ネットワーク1への接続は必要なく、ネットワーク通信不可能なコンピュータであってもよい。
可搬記憶媒体2は、USBメモリ、メモリカード、リムーバブルディスクなどのコンピュータに着脱可能な可搬型のデータ記憶装置である。
可搬記憶媒体2は、その内部に、可搬記憶媒体2を使用するための認証情報、当該可搬記憶媒体2を管理するための使用条件情報、当該可搬記憶媒体2に格納したデータを管理するためのデータ属性情報、これらを使用管理するための複数のプログラムと媒体操作履歴情報を内蔵する可搬型のデータ記憶装置である。
本発明では、可搬記憶媒体2の内部にプログラムや認証情報などを格納するため、これらを容易に読み出されることは好ましくなく、内部に格納する情報は隠蔽されていることが望ましい。
そのため、可搬記憶媒体2の内部を構成する認証ユティリティ格納領域21、管理ユティリティ格納領域22、データ格納領域23の各領域は、コンピュータが標準搭載しているアクセス手段では使用できない独自の形式であることが望ましい。
その上で、各コンピュータ(管理コンソール4,管理端末5,使用端末6)に搭載する媒体アクセス手段408、媒体アクセス手段505、媒体アクセス手段603のそれぞれに、認証ユティリティ格納領域21を読み取りのみで使用するためのデバイスドライバを装備し、認証ユティリティ格納領域21の領域アクセス手段212に管理ユティリティ格納領域22を読み取りのみで使用するためのデバイスドライバを装備し、管理ユティリティ格納領域22のデータアクセス手段223にデータ格納領域23を読み書きするためのデバイスドライバを装備することで、実際にデータを読み書きするためのプログラム命令を隠蔽する。
また、各コンピュータ(管理コンソール4,管理端末5,使用端末6)に搭載する媒体アクセス手段408、媒体アクセス手段505、媒体アクセス手段603は、可搬記憶媒体2からのデータ読み込み専用のデバイスドライバとし、可搬記憶媒体2にデータを書き込む場合には、管理サーバ3から専用のデバイスドライバをダウンロードして実行することで、データを書き込むためのプログラム命令をコンピュータ内に保存する必要がなくなる。
更に、可搬記憶媒体2へのデータ読み書きを行うためのファイル操作画面(図示しない)には、必要なファイル情報のみを表示し、各プログラムや、端末認証情報、使用条件、データ属性などの情報はファイル操作画面(図示しない)には表示しないことで内部構造を隠蔽する。
[管理サーバ3の管理データベース306に格納されるデータの説明]
次に、管理サーバ3の内部の管理データベース306に格納される端末管理情報、媒体管理情報、データ属性、媒体操作履歴、および端末操作履歴のデータについて説明する。
図3A〜図3Eは、それぞれ、管理サーバ3の内部の管理データベース306に格納される端末管理情報、媒体管理情報、データ属性、媒体操作履歴、および端末操作履歴のデータ例を示す図である。
<管理データベースに格納される端末管理情報DB>
管理データベース306の端末管理情報DBには、図3Aに示すように、可搬記憶媒体管理システムで管理対象となっている管理サーバ3、管理コンソール4、管理端末5および使用端末6に関する全ての端末管理情報が格納される。
また、可搬記憶媒体2の内部に設定している端末認証キーについても、それぞれの可搬記憶媒体2ごとに格納される。
図3Aは端末管理情報DBの一例であり、グループ(サーバ,コンソール,管理端末,使用端末の「いずれのグループに属するか)、端末表示名、端末識別子、端末認証キー、端末利用者名などの項目を有する例を示している。
<管理データベースに格納される媒体管理情報DB>
管理データベース306の媒体管理情報DBには、図3Bに示すように、可搬記憶媒体管理システムで管理対象となっている可搬記憶媒体2の全ての媒体管理情報が格納される。
図3Bは媒体管理情報DBの一例であり、媒体識別子、ステータス(使用中,保管中,現物確認待ちなど)、使用開始(何年何月何日何時何分何秒に開始したか)、使用期限(何年何月何日何時何分何秒が使用期限か)、棚卸周期、利用者などの項目を有する例を示している。
<管理データベースに格納されるデータ属性DB>
管理データベース306のデータ属性DBには、図3Cに示すように、可搬記憶媒体に格納している全てのデータの属性と保管条件が格納される。
図3Cはデータ属性DBの一例であり、データ識別子、ファイル名、複製残回数、保管期限、複製可能端末識別子などの項目を有する例を示している。
<管理データベースに格納される媒体操作履歴DB>
管理データベース306の媒体操作履歴DBには、図3Dに示すように、管理対象となっている全ての可搬記憶媒体2の内部からアップロードした媒体操作履歴が蓄積される。
図3Dは媒体操作履歴DBの一例であり、タイムスタンプ(何年何月何日何時何分何秒に操作したか)、媒体識別子、端末識別子、端末利用者名、操作(どのような操作(接続・認証、書き込み、読み込み、切断など)をしたか)などの項目を有する例を示している。
<管理データベースに格納される端末操作履歴DB>
管理データベース306の端末操作履歴DBには、管理サーバ3、管理コンソール4、管理端末5からアップロードした端末操作履歴が蓄積される。
図3Eは端末操作履歴DBの一例であり、タイムスタンプ(何年何月何日何時何分何秒に操作したか)、端末識別子、端末利用者名、操作(どのような操作(接続・認証、データ書込申請、データ書込、媒体棚卸確認など)をしたか)、オブジェクト(操作対象のオブジェクト)などの項目を有する例を示している。
その他に、可搬記憶媒体管理システムを運用するための構成情報、運用情報、利用者情報、スケジュール情報、データ書込申請や端末認証キー登録申請に関するワークフロー情報などがあってもよい。
管理データベース306内で用いている端末識別子、媒体識別子、およびデータ識別子は、本願可搬記憶媒体管理システム内でそれぞれを一意に識別するための文字列である。これらいずれの識別子も可搬記憶媒体管理システムが内部処理のために任意に割り当てた文字列であり、端末固有情報や媒体固有情報とは関連がない文字列とする。
管理データベース306内の端末認証キー(図3Aの「端末管理情報DB」参照)は、可搬記憶媒体2を使用できるコンピュータと利用者を識別するために使用される認証キーであり、コンピュータを識別するための端末固有情報と、可搬記憶媒体2を識別するための媒体固有情報と、コンピュータで可搬記憶媒体2を使用できる利用者を識別するための端末利用者名およびパスワードとを組み合わせて、多重暗号化のような技術によって変換された一意に識別可能な文字列である。
これにより、変換元となるコンピュータの端末固有情報、可搬記憶媒体2の媒体固有情報、端末利用者名、またはパスワードのうちのいずれか1文字でも異なれば、全く異なる文字列に変換されるため、可搬記憶媒体2を使用できるコンピュータと利用者を確実に識別することが可能となる。
[可搬記憶媒体2内の各DBに格納されるデータの説明]
次に、可搬記憶媒体2内の端末認証情報DB222、使用条件DB231、データ属性DB232、および媒体操作履歴DB233に格納されるデータについて説明する。
図4A〜図4Dは、それぞれ、可搬記憶媒体2内の端末認証情報DB222、使用条件DB231、データ属性DB232、および媒体操作履歴DB233のそれぞれに格納される端末認証情報、使用条件、データ属性、および媒体操作履歴のデータ例を示す図である。
<可搬記憶媒体に格納される端末認証情報DB>
端末認証情報DB222には、図4Aに示すように、可搬記憶媒体を管理している管理サーバ3の管理サーバ情報と、使用を許可する管理コンソール4、管理端末5、および使用端末6の端末認証情報が格納される。
使用を許可するコンピュータごとに登録期限を設定することもできる。認証に使用する“端末固有情報”、“媒体固有情報”、“端末利用者名”、および“パスワード”は多重暗号化のような技術によって「端末認証キー」に変換されているため、内部構造の隠蔽化対策を破られて万一読み取られてしまっても元情報を閲覧することはできない。
図4Aは端末認証情報DB222の一例であり、「端末識別子」、「端末認証キー」、「権限」、「登録期限」などの項目を有する例を示している。
<可搬記憶媒体に格納される使用条件DB>
使用条件DB231には、可搬記憶媒体2を使用するための使用条件が格納される。使用条件としては、“使用期限”、“不正アクセスの許容上限回数”、“棚卸の周期”、“媒体操作履歴のアップロード周期”などを設定できる。
図4Bは使用条件DB231の一例であり、「使用可否フラグ」、「期限切れフラグ」、「使用開始時間」、「使用期限」、「不正アクセスカウンタ」、「不正アクセス許容上限」、「棚卸済みフラグ」、「棚卸期限」、「棚卸周期」、「最終棚卸タイムスタンプ」、「履歴記録可否フラグ」、「操作履歴DBの容量」、「操作履歴アップロード期限」、「操作期限アップロード周期」、「最終アップロードタイムスタンプ」などの項目を有する例を示している。
“使用期限”は、「使用開始時刻」と「使用期限」と「期限切れフラグ」によって管理し、可搬記憶媒体2の貸出手続きから返却手続きまでの貸出期間だけを使用可能とするものである。
“不正アクセスの許容上限回数”は、「不正アクセスカウンタ」と「不正アクセス許容上限」によって管理し、使用許可されていないコンピュータに接続したり、端末利用者名やパスワードの入力を間違えた場合に使用を禁止するためのものである。
“棚卸の周期”は、「最終棚卸タイムスタンプ」と「棚卸周期」と「棚卸済みフラグ」によって管理し、定期的に現物確認することで可搬記憶媒体2の紛失を早期発見し、現物確認できない場合には使用を禁止するためのものである。
“媒体操作履歴のアップロード周期”は、「最終アップロードタイムスタンプ」と「操作履歴アップロード周期」と「履歴記録可否フラグ」によって管理し、可搬記憶媒体2の内部に記録される媒体操作履歴を管理サーバへ収集するための手続きを促すものである。
また、それぞれの使用条件にはフラグを設定しており、使用禁止になった後で何らかの手段でシステム時刻を戻して不正に使用されるのを防ぐものである。
<可搬記憶媒体に格納されるデータ属性DB>
データ属性DB232には、可搬記憶媒体2に格納しているデータの属性と保管条件が格納される。保管条件としては、“複製残回数”、“保管期限”、複数の“複製可能端末識別子”などを設定できる。
図4Cはデータ属性DB232の一例であり、「データ識別子」、「ファイル名」、「複製残回数」、「保管期限」、「複製可能端末識別子」などの項目を有する例を示している。
“複製残回数”は、格納されているデータを他のコンピュータへ読み出すことができる回数を管理し、「複製残回数」が0になるとデータを削除するものである。
“保管期限”は、可搬記憶媒体2の内部に格納しておく保管期限を管理し、「保管期限」を過ぎたデータを削除するものである。
“複製可能端末識別子”は、格納しているデータの読み出し先を制限し、1つの可搬記憶媒体2に複数のデータを格納できるようにするためのものである。
<可搬記憶媒体に格納される媒体操作履歴DB>
媒体操作履歴DB233には、可搬記憶媒体2への操作と可搬記憶媒体2へ格納されているデータへの操作が、媒体操作履歴として蓄積される。
図4Dは媒体操作履歴DB233の一例であり、「タイムスタンプ」(何年何月何日何時何分何秒に操作したか)、「操作」(接続・認証、データ書き込み申請、データ書き込み、切断など)、「オブジェクト」(操作対象のオブジェクト)、「値」(オブジェクトが機能の場合には正常か異常か、データ操作の場合はデータ識別子)などの項目を有する例を示している。
<端末固有情報の管理サーバへの登録処理>
図5は、端末固有情報を収集して管理サーバ3へ登録する処理の流れを示す図である。
各コンピュータ(管理コンソール4,管理端末5,使用端末6)の端末情報収集手段402、端末情報収集手段502、端末情報収集手段602は、該コンピュータ上で端末固有情報と管理データを含む端末情報を収集する(ステップS101)。
各コンピュータから収集する端末固有情報は、CPUのデバイスID、搭載しているオペレーティングシステムのシステムID、LANボードのMACアドレスなどのコンピュータを一意に識別可能な情報であり、他のコンピュータで容易に偽造できない情報が望ましい。
管理サーバ3の場合は、端末固有情報を収集するのではなく、サーバ情報収集手段302によってサーバ固有情報を生成する。管理サーバ3は、管理サーバ3を構成しているハードウェアの移行(変更)を考慮して、ハードウェアから得た情報ではなく、一意に識別可能な任意の文字列とする。
収集した端末情報は、ネットワーク1に接続されている場合にはネットワーク1を介したデータ転送手段などを使用し、ネットワーク1に接続されていない使用端末の場合にはリムーバブルメディアなどを使用して管理コンソール4に送付する(S102)。
次に、該端末情報を管理コンソール4から管理サーバ3へ送付し、管理サーバ3の管理データベース306に格納する(ステップS103)。
<媒体固有情報の管理サーバへの登録処理>
図6は、媒体固有情報を収集して管理サーバ3へ登録する処理の流れを示す図である。
管理コンソール4の媒体情報収集手段405は、管理コンソール4に接続した可搬記憶媒体2から、媒体固有情報と管理データを含む媒体情報を収集する(ステップS201)。
可搬記憶媒体2から収集する媒体固有情報は、可搬記憶媒体ごとに設定されている「メーカ名」、「型番」、「単体識別ID」などを組み合わせた可搬記憶媒体2を一意に識別可能な文字列である。
次に、上記収集した媒体情報を管理サーバ3へ送付し、管理データベース306に格納する(ステップS202)。
<端末認証キーと使用条件の照合処理>
図7A〜図7Dは、端末認証キーと使用条件を照合する処理の流れを示す図である。
各コンピュータ(管理コンソール4,管理端末5,使用端末6)の管理コンソール制御手段401、管理端末制御手段501、使用端末制御手段601は、図7A〜図7Dに示す処理により、可搬記憶媒体2への操作要求が発生するたびに、可搬記憶媒体2の内部の認証キー照合手段211を起動して、端末認証キーと使用条件の照合を実施する。
なお、可搬記憶媒体2をコンピュータの接続装置(図示しない)に接続した後の最初の認証処理では、可搬記憶媒体2の内部の認証キー照合手段211を起動して端末利用者名とパスワードを入力させるが、そのままコンピュータに接続して使用し続ける場合には、認証キー照合手段211を起動したまま常駐化させることで2回目以降の認証処理で端末利用者名とパスワードの入力を省略できる。
端末認証キーと使用条件の照合が成功した場合には、可搬記憶媒体2の内部のプログラムによってデータ書き込みやデータ読み出しなどの処理が実行され、応答が返される。
これらの認証処理では、使用条件の照合で使用期限などを評価して、その評価結果に応じて使用条件DB231を更新し、使用を無効化するなどの措置を実施する。
操作要求が発生するたびに使用条件の照合を行い、その時点での使用条件を評価することにより、長時間接続したままの使用法でも評価漏れがなくなり、偽造も難しくなる。
現物確認を目的とする媒体棚卸手段は、管理コンソール4または管理端末5に可搬記憶媒体2が接続されたことが確認できればよいため、可搬記憶媒体2の認証が成功した後であれば、一定時間ごとに自動的に実行すればよい。
管理サーバ3の媒体棚卸管理手段309は、可搬記憶媒体2が接続されている最中は、管理コンソール4の媒体棚卸手段413、または管理端末5の媒体棚卸手段509とバックグラウンドで通信し、可搬記憶媒体2の使用条件DB231に格納されている棚卸周期に関する設定を更新する。
可搬記憶媒体2が接続されていない場合は、管理サーバ3の管理データベース306に格納されている棚卸周期に関する設定を確認し、管理コンソール4や利用者へ現物確認作業を促す。
次に、図7A〜図7Dのフローチャートに沿って、端末認証キーと使用条件の照合する処理の流れを詳細に説明する。
まず、可搬記憶媒体2への操作要求が発生するたびに、可搬記憶媒体2の内部の認証キー照合手段211を起動する(ステップS301)。
認証キー照合手段211は、起動中の管理コンソール制御手段401、または管理端末制御手段501、または使用端末制御手段601を確認し、起動された端末を照合する(ステップS302)。
いずれかの端末であれば(ステップS303:Y)、次に認証キー照合手段211は、接続している端末の端末固有情報と可搬記憶媒体の媒体固有情報を収集し、利用者から端末利用者名とパスワードを入力させる(ステップS304)。
次に、認証キー照合手段211は、媒体制御手段221を起動して、前記収集した端末固有情報および媒体固有情報と、前記入力させた端末利用者名およびパスワードを媒体制御手段221に送信する(ステップS305)。
媒体制御手段221は、認証キー照合手段211から受信した端末固有情報,媒体固有情報,端末利用者名,およびパスワードから端末認証キーを生成する(ステップS306)。
次に、媒体制御手段221は、生成した端末認証キーと端末認証情報DB222内の有効な端末認証キーを照合する(ステップS307)。
ステップS307における照合の結果、一致するエントリがある場合(ステップS308:Y)、端末認証情報DB222内の一致したエントリについて、権限を含む端末認証情報を読み込む(ステップS309)。
次に、使用条件DB231の「使用可否フラグ」を検証し(ステップS310)、図7Bのフローチャートに進み、「使用可否フラグ」が“可”であれば(ステップS311:Y)、次に使用条件DB231の「期限切れフラグ」を検証し(ステップS313)、「期限切れフラグ」が“期限内”であれば(ステップS314:Y)、システム時刻と取得し、該システム時刻と使用条件DB231の「使用期限」とを照合する(ステップS316)。
ステップS316における照合の結果、使用期限内であれば(ステップS317:Y)、使用条件DB231の「棚卸済みフラグ」を検証し(ステップS320)、「棚卸済みフラグ」が“済”であれば(ステップS321:Y)、システム時刻を取得し、該システム時刻と使用条件DB231の「棚卸期限」を照合する(ステップS323)。
ステップS323における照合の結果、棚卸期限内であれば(ステップS324:Y)、図7Cのフローチャートに進み、使用条件DB231の「履歴記録可否フラグ」を検証する(ステップS327)。
ステップS327における照合の結果、「履歴記録可否フラグ」が“可”であれば(ステップS328:Y)、媒体操作履歴DBの容量を取得し、該容量と使用条件DB231の「操作履歴DB容量」とを照合し(ステップS330)、照合の結果、前記取得した容量が使用条件DB231の「操作履歴DB容量」以下の場合(ステップS331:Y)、システム時刻を取得し、該システム時刻と使用条件DB231の「操作履歴アップロード期限」を照合する(ステップS334)。
ステップS334における照合の結果、アップロード期限内の場合は(ステップS335:Y)、可搬記憶媒体2へ操作要求した端末が管理コンソール4か管理端末5か使用端末6かを判定し、管理コンソール4の場合は(ステップS338:Y)、図7DのフローチャートのステップS341に進み、管理端末5の場合は(ステップS339:Y)、図7DのフローチャートのステップS342に進み、使用端末6の場合は(ステップS340:Y)、図7DのフローチャートのステップS343に進む。
管理コンソール4の場合、保持していた使用条件の照合結果を審査し(ステップS341)、使用可能状態であれば(ステップS344:Y)、正常であり、媒体の使用を“設定”と“書き”と“読み”で許可し(ステップS347)、ステップS353に進み、使用可能状態でなければ(ステップS344:N)、正常(要メンテ)であり、媒体の使用を“設定”で許可し(ステップS348)、ステップS353に進む。
管理端末5の場合、保持していた使用条件の照合結果を審査し(ステップS342)、使用可能状態であれば(ステップS345:Y)、正常であり、媒体の使用を“書き”と“読み”で許可し(ステップS349)、ステップS353に進み、使用可能状態でなければ(ステップS345:N)、異常であり、媒体の使用を許可せず(ステップS350)、ステップS353に進む。
使用端末6の場合、保持していた使用条件の照合結果を審査し(ステップS343)、使用可能状態であれば(ステップS346:Y)、正常であり、媒体の使用を“読み”で許可し(ステップS351)、ステップS353に進み、使用可能状態でなければ(ステップS346:N)、異常であり、媒体の使用を許可せず(ステップS352)、ステップS353に進む。
ステップS353においては、正常として使用を許可されたか否かを判定し、正常として使用を許可された場合(ステップS353:Y)、使用条件DB231の「不正アクセスカウンタ」をゼロクリアした後(ステップS354)、操作履歴を可搬記憶媒体2内へ記録する処理を行い(ステップS356、詳細は図8参照)、認証キー照合手段211を常駐させる(これは、以後に実施する端末認証処理で、端末利用者名とパスワードの入力を省略するための処理である)。
なお、図7Bにおいて、(ステップS311:N)の場合は、使用条件DB231の「使用可否フラグ」が“不可”であることを保持してステップS313に進み(ステップS312)、(ステップS314:N)の場合は、使用条件DB231の「使用期限」が“期限切れ”であることを保持してステップS316に進み(ステップS315)、(ステップS317:N)の場合は、使用条件DB231の「期限切れフラグ」に“期限切れ”を設定し(ステップS318)、使用期限が“期限切れ”であることを保持してステップS320に進み(ステップS319)、(ステップS321:N)の場合は、「棚卸」が“未”であることを保持してステップS323に進み(ステップS322)、(ステップS324:N)の場合は、使用条件DB231の「棚卸済みフラグ」に“未”を設定し(ステップS325)、棚卸が“未”であることを保持して図7CのステップS327に進む(ステップS326)。
また、図7Cにおいて、(ステップS328:N)の場合は、履歴記録可否は“不可”であることを保持してステップS330に進み(ステップS329)、(ステップS331:N)の場合は、使用条件DB231の「履歴記録フラグ」を“不可”に設定し(ステップS332)、履歴記録可否が“不可”であることを保持してステップS334に進み(ステップS333)、(ステップS335:N)の場合は、使用条件DB231の「履歴記録可否フラグ」を“不可”に設定し(ステップS336)、履歴記憶可否が“不可”であることを保持してステップS338に進む(ステップS337)。
また、(ステップS303:N),(ステップS308:N),あるいは(ステップS340:N)の場合は、図7Dにおいて、使用条件DB231の「不正アクセスカウンタ」をインクリメント「+1」し(ステップS358)、「不正アクセスカウンタ」と使用条件DB231の「不正アクセス許容上限」を照合し(ステップS359)、「不正アクセスカウンタ」が「不正アクセス許容上限」未満であれば(ステップS360:Y)、操作履歴を可搬記憶媒体2内へ記録する処理を行い(ステップS362、詳細は図8参照)、認証キー照合手段211と媒体制御手段221の処理を終了する(ステップS363)。
<媒体操作履歴の記録処理>
図8は、操作履歴を可搬記憶媒体2の内部へ記録する処理の流れを示す図である。
媒体操作履歴の記録処理は、可搬記憶媒体2の内部の各プログラムが処理を実行するたびに、その処理結果などを媒体操作履歴DB233へ記録する処理であり、単体のプログラムを指しているのではない。
媒体操作履歴を記録する媒体操作履歴DB233は、使用条件DB231に設定している「操作履歴DB容量」、「最終アップロードタイムスタンプ」、「操作履歴アップロード周期」、「履歴記録可否フラグ」によって管理している。しかし、可搬記憶媒体2の使用が無効化された後でも不正使用の操作履歴を記録するため、領域に記録可能な空き容量がある限り格納し続けることとする。
図8のフローチャートに沿って、操作履歴を可搬記憶媒体2の内部へ記録する処理の流れを詳細に説明する。
まず、使用条件DB231の「履歴記録可否フラグ」を検証し(ステップS401)、「履歴記録可否フラグ」が“可”の場合(ステップS402:Y)、媒体操作履歴DB233の容量を取得し、取得した媒体操作履歴DB233の容量と使用条件DB231の「操作履歴DB容量」とを照合する(ステップS403)。
照合の結果、取得した媒体操作履歴DB233の容量が使用条件DB231の「操作履歴DB容量」以下の場合(ステップS404:Y)、システム時刻を取得し、該システム時刻と使用条件DB231の「操作履歴アップロード期限」とを照合する(ステップS406)。
システム時刻が使用条件DB231の「操作履歴アップロード期限」内であれば(ステップS407:Y)、媒体操作履歴DB233を格納している領域の空き容量を取得し(ステップS409)、空き容量がある場合は(ステップS410:Y)、媒体操作履歴DB233に操作履歴(タイムスタンプ、操作、オブジェクト、値など)を書き込んだ後(ステップS411)、また、空き容量がない場合は(ステップS410:N)、格納されている全データを削除するなどの情報漏洩防止対策を実行した後(ステップS412)、処理を終了する。
なお、使用条件DB231の「履歴記録可否フラグ」が“可”でない場合(ステップS402:N)、はステップS409に進む。また、取得した媒体操作履歴DB233の容量が使用条件DB231の「操作履歴DB容量」以下でない場合(ステップS404:N)、および、システム時刻が使用条件DB231の「操作履歴アップロード期限」内でない場合(ステップS407:N)は、使用条件DB231の「履歴記録可否フラグ」を“不可”に設定した後(ステップS405、ステップS408)、ステップS409に進む。
<可搬記憶媒体の貸し出し処理>
図9Aおよび図9Bは、可搬記憶媒体2の貸出処理の流れを示す図である。
可搬記憶媒体2の管理では、可搬記憶媒体2を必要とする場合に管理責任者から貸し出され、使用完了して不要となった場合には管理責任者へ返却し、可搬記憶媒体の使用を無効化して金庫等に保管することが望ましい。そのため、可搬記憶媒体2の貸出処理は、管理責任者によって可搬記憶媒体2を使用可能にする手続きである。
可搬記憶媒体2を管理コンソール4の接続装置(図示しない)に接続し、端末認証キーと使用条件を照合する処理(図7A〜図7D)を実行する。
管理コンソール4の媒体貸出手段403は、可搬記憶媒体2を使用可能にするため、可搬記憶媒体2の使用条件DB231の各使用条件を初期設定する。使用条件には、上述したように「使用可否フラグ」、「期限切れフラグ」、「使用開始日時」、「使用期限日時」、「不正アクセスカウンタ」、「不正アクセス許容上限」、「棚卸済みフラグ」、「棚卸期限」、「棚卸周期」、「最終棚卸タイムスタンプ」、「履歴記録可否フラグ」、「操作履歴DB容量」、「操作履歴アップロード期限」、「操作履歴アップロード周期」、「最終アップロードタイムスタンプ」などの項目がある。
使用条件DB231への初期設定が完了すると、媒体貸出手段403は設定情報を管理サーバ3へ送信し、管理サーバ3の媒体貸出管理手段303は管理データベース306に可搬記憶媒体2の情報として記録する。
図9A〜図9Bのフローチャートに沿って、可搬記憶媒体2の貸出処理の流れを詳細に説明する。
まず、図9Aにおいて、可搬記憶媒体の初期化が実行済みか否かを判定し(ステップS501)、初期化実行済みの場合(ステップS501:Y)、上記図7A〜図7Dで説明した端末認証キーを照合する処理を行い(ステップS503)、管理対象の可搬記録媒体の場合は(ステップS504:Y)、当端末の種類と、端末認証情報DB222内の当端末と一致するエントリの権限情報を読み込む(ステップS505)。
読み込んだ権限情報の権限が“設定”で端末の種類が管理コンソールの場合は(ステップS506:Y)、使用条件DB231の「使用可否フラグ」を読み込み(ステップS507)、該使用可否フラグが“不可”の場合は(ステップS508:Y)、使用条件DB231の「使用可否フラグ」を“可”に変更し(ステップS509)、使用条件DB231の「期限切れフラグ」を“期限内”に変更して使用期限を設定し(ステップS511)、使用条件DB231の「不正アクセス許容上限」を設定し、「不正アクセスカウンタ」を0に設定し(ステップS512)、使用条件DB231の「棚卸済みフラグ」を“済”に変更し、「棚卸期限」および「棚卸周期」を設定し、「最終棚卸タイムスタンプ」に現在時刻を設定し(ステップS513)、使用条件DB231の「履歴記録可否フラグ」を“可”に変更し、「操作履歴DB容量」および「操作履歴アップロード期限」および「操作履歴アップロード周期」を設定し、「最終アップロードタイムスタンプ」に現在時刻を設定し(ステップS514)、上記図8で説明した操作履歴を可搬記録媒体2内へ記録する処理を行う(ステップS515)。
なお、図9Aにおいて、(ステップS501:N)の場合、すわなち可搬記憶媒体の初期化が実行済みでない場合は、可搬記憶媒体を初期化し、管理コンソール4のみが使用できるようにして(ステップS502)、ステップS503に進み、また(ステップS504:N)あるいは(ステップS506:N)の場合は、図9BのステップS515に進み、操作履歴を可搬記録媒体内へ記録する処理を行う。
また、(ステップS508:N)の場合は、可搬記憶媒体が使用中であると警告し、再設定する場合は先に“返却処理”を実行するように警告をした後(ステップS510)、図9BのステップS515に進み、操作履歴を可搬記録媒体内へ記録する処理を行う。
<可搬記憶媒体の返却処理>
図10は、可搬記憶媒体2の返却処理の流れを示す図である。
可搬記憶媒体2の管理では、可搬記憶媒体2を必要とする場合に管理責任者から貸し出され、使用完了して不要となった場合には管理責任者へ返却し、可搬記憶媒体の使用を無効化して金庫等に保管することが望ましい。そのため、可搬記憶媒体2の返却処理は、管理責任者によって可搬記憶媒体2を使用不可能にする手続きである。
管理コンソール4の媒体返却手段404は、可搬記憶媒体2を使用不可能にするため、可搬記憶媒体2の内部に残っているデータ(暗号化)234を全て削除し、媒体操作履歴をアップロードし、端末認証情報DB222の端末認証情報と使用条件DB231の各使用条件を設定する。
端末認証情報DB222は、管理サーバ3と管理コンソール4の端末認証情報を残し、それ以外を全て削除する。使用条件DB231は、各種フラグは使用不可能になるよう変更し、他の条件は削除する。
端末認証情報DB222と使用条件DB231への設定が完了すると、媒体返却手段404は設定情報を管理サーバ3へ送信し、管理サーバ3の媒体返却管理手段304は管理データベース306に可搬記憶媒体2の情報として記録する。
図10のフローチャートに沿って、可搬記憶媒体2の返却処理の流れを詳細に説明する。
まず最初に、図7A〜図7Dで説明したような端末認証キーを照合する処理を行う(ステップS601)。
照合の結果、管理対象の可搬記憶媒体の場合は(ステップS6021:Y)、当端末の種類と、端末認証情報DB内の当端末と一致するエントリの権限情報を読み込む(ステップS603)。「権限」が“設定”で端末の種類が管理コンソールの場合は(ステップS604:Y)、使用条件DB231の「使用可否フラグ」を読み込む(ステップS605)。
「使用可否フラグ」が“可”の場合は(ステップS606:Y)、媒体操作履歴DB233の内容を管理サーバ3にアップロードし(ステップS607)、可搬記憶媒体2を初期化し、管理コンソール4のみが使用できるようにし(ステップS609)、使用条件DB231の「使用可否フラグ」を“不可”に変更した後(ステップS610)、図8で説明した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS611)。
また、(ステップS602:N)あるいは(ステップS604:N)の場合は、ステップS611に進み、(ステップS606:N)の場合は、可搬記憶媒体は保管中であると警告し、使用可能にする場合は先に“貸出処理”を実施するように警告した後(ステップS608)、ステップS611に進む。
<端末認証キーの登録処理>
図11A〜図11Bは、可搬記憶媒体2へ端末認証キーを登録する処理の流れを示す図である。
本登録処理は、可搬記憶媒体2の内部の端末認証情報DB222に、可搬記憶媒体2を使用できるコンピュータの端末認証キーを登録する処理である。
可搬記憶媒体2に使用できるコンピュータを登録する処理は、データを運搬できる範囲を設定する行為であるため、管理責任者による判断と承認が必要である。そのため、可搬記憶媒体2への端末認証キーの登録は、管理コンソール4と管理端末5のみに制限し、更に管理端末5については管理コンソール4による承認を必要とする。
管理端末5から登録する場合は、次のような申請手続きと承認手続きを実施する。
管理端末5の端末認証キー登録申請手段503は、利用者に管理端末5の端末認証キー登録申請画面(図示しない)に表示されたコンピュータの一覧から登録申請するコンピュータを選択させ、そのコンピュータの登録期限と、そのコンピュータで可搬記憶媒体2を使用するための認証に使う端末利用者名とパスワードを入力させる。
なお、端末認証キー登録申請画面(図示しない)に表示するコンピュータは、予め図5の処理によって管理サーバ3へ登録されている必要がある。また、端末利用者名とパスワードは任意の文字列であり、実際のコンピュータへのログイン等で使用する認証情報とは関連しない。
端末利用者名とパスワードの入力後、管理端末5は管理コンソール4へ登録申請する。管理コンソール4は、管理端末5から登録申請された内容を吟味して許否を判定し、承認または差し戻しを行う。
管理コンソール4によって承認された場合、管理サーバ3の端末認証キー生成手段305は、登録申請されたコンピュータの端末固有情報、可搬記憶媒体2の媒体固有情報、管理端末5から入力された端末利用者名とパスワードを組み合わせて端末認証キーを生成する。
次に、管理サーバ3は、生成した端末認証キーを含む端末認証情報と、可搬記憶媒体2へ登録するための専用のデバイスドライバを管理端末5へ送信する。このとき管理サーバ3は、登録申請された情報を管理データベース306に登録する。
管理端末5は、管理サーバ3から受信した専用のデバイスドライバを使い、端末認証キーを含む端末認証情報を可搬記憶媒体2の端末認証情報DB222へ登録する。
管理コンソール4から登録する場合は、管理コンソール4を使用する管理責任者自身が承認権限を持っているため、端末認証キー登録手段406は申請手続きや承認手続きを必要とせず、端末認証キーを含む端末認証情報を可搬記憶媒体2の端末認証情報DB222へ登録することができる。
次に、図11A〜図11Bのフローチャートに沿って、可搬記憶媒体2へ端末認証キーを登録する処理の流れを詳細に説明する。
まず最初に、図7A〜図7Dで説明したような端末認証キーを照合する処理を行う(ステップS701)。
照合の結果、使用条件を満たし使用可能な場合は(ステップS702:Y)、当端末の種類と、端末認証情報DB222内の当端末と一致するエントリの権限情報を読み込む(ステップS703)。
権限が“書き”(ステップS704:Y)で端末の種類が管理コンソール4の場合は(ステップS705:Y)、管理コンソール4は、管理サーバ3に登録されている端末情報の中から、設定可能な端末情報を抽出する(ステップS707)。
抽出した端末情報の一覧を、端末認証キー登録画面に表示し(ステップS708)、表示された端末情報一覧から、設定する端末と端末の種類を選択し(ステップS709)、選択した端末上で利用者を識別するための端末利用者名とパスワード(非表示)を入力する(ステップS710)。
図11Bに進み、管理コンソール4は、選択された端末情報、管理コンソール4に接続している媒体情報や、入力された端末利用者名、パスワードの情報を、管理サーバ3の管理データベース306へ記録する(ステップS718)。
管理サーバ3は、端末情報、媒体情報、端末利用者名、およびパスワードから端末認証キーを生成し(ステップS719)、生成した端末認証キーを管理データベース306に保存し、管理コンソール4に送信する(ステップS720)。
管理コンソール4は、受信した端末認証キーを可搬記憶媒体2の端末認証情報DB222へ格納した後(ステップS724)、図8に示した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS728)。
また、端末の種類が管理コンソールではなく(ステップS705:N)、管理端末の場合は(ステップS706:Y)、管理端末5は、管理サーバ3に登録されている端末情報の中から、設定可能な端末情報を抽出する(ステップS711)。
抽出した端末の一覧を、端末認証キー登録画面に表示し(ステップS712)、表示された端末一覧から、設定する端末と端末の種類を選択し(ステップS713)、選択した端末上で利用者を識別するための端末利用者名とパスワード(非表示)を入力し(ステップS714)、管理コンソールへ端末認証キー登録申請を送信する(ステップS715)。
図11Bに進み、管理コンソール4は、端末認証キー登録申請の内容を元に可搬記憶媒体の使用範囲と権限を確認し、必要に応じて権限を修正する(ステップS716)。
管理コンソール4が登録を許可した場合(ステップS717:Y)、管理コンソール4は、選択された端末情報、管理端末に接続している媒体情報や、入力された端末利用者名、パスワードの情報を、管理サーバ3の管理データベース306へ記録する(ステップS721)。
管理サーバ3は、端末情報、媒体情報、端末利用者名、およびパスワードから端末認証キーを生成し(ステップS722)、生成した端末認証キーを管理データベース306に保存し、管理端末5に送信する(ステップS723)。
管理端末5は、受信した端末認証キーを可搬記憶媒体2の端末認証情報DB222へ格納した後(ステップS725)、図8に示した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS728)。
また、(ステップS702:N),(ステップS704:N),あるいは(ステップS706:N)の場合は、端末認証キー登録権限が無いと判断し(ステップS727)、図8に示した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS728)。
また、(ステップS717:N)の場合は、管理端末5は、端末認証キー登録申請が却下されたことを受信した後(ステップS726)、図8に示した如き操作履歴を可搬記憶媒体2内へ記録する処理を行う(ステップS728)。
<データの書き込み処理>
図12A〜図12Bは、可搬記憶媒体2へのデータの書き込み処理の流れを示す図である。
可搬記憶媒体2の内部にデータを書き込む処理は、データを持ち出されたり、可搬記憶媒体2を紛失したりした場合などに漏洩してしまう恐れがあるため、管理責任者による判断と承認が必要である。そのため、可搬記憶媒体2へのデータ書き込みは、管理コンソール4と管理端末5のみに制限し、更に管理端末5については管理コンソール4による承認を必要とする。
管理端末5からデータを書き込む場合は、次のような申請手続きと承認手続きを実施する。
管理端末5のデータ書込申請手段504は、利用者に管理端末5のファイル操作画面(図示しない)から書き込むファイルを選択させ、そのファイルに設定するデータ属性と暗号化パスワードを入力させる。
入力後、管理端末5は管理コンソール4へデータ書き込みを申請する。
管理コンソール4は、管理端末5からデータ書き込み申請されたファイルの内容とデータ属性を吟味して許否を判定し、承認または差し戻しを行う。
管理コンソール4によって承認された場合、管理サーバ3はデータ書き込み申請された情報を管理データベース306に登録する。
管理端末5は、書き込み許可されたファイルを、可搬記憶媒体2へデータ暗号化手段224によって暗号化して格納する。
管理コンソール4から登録する場合は、管理コンソール4を使用する管理責任者自身が承認権限を持っているため、データ書込手段407は申請手続きや承認手続きを必要とせず、書き込み許可されたファイルを可搬記憶媒体2へデータ暗号化手段224によって暗号化して格納することができる。
次に、図12A〜図12Bのフローチャートに沿って、可搬記憶媒体2へのデータの書き込み処理の流れを詳細に説明する。
まず最初に、図7A〜図7Dで説明したような端末認証キーを照合する処理を行う(ステップS801)。
照合の結果、使用条件を満たし使用可能な場合は(ステップS802:Y)、当端末の種類と、端末認証情報DB内の当端末と一致するエントリの権限情報を読み込む(ステップS803)。
「権限」が“書き”(ステップS804:Y)で端末の種類が管理コンソール4の場合は(ステップS805:Y)、管理コンソール4は、書き込むデータファイルを指定し、データ属性と暗号化パスワード(非表示)を入力する(ステップS807)。
図12Bに進み、管理コンソール4は、データファイルとデータ属性の情報を、管理サーバ3の管理データベース306へ記録し(ステップS812)、データファイルを暗号化パスワードによって暗号化し、データ属性とともに可搬記憶媒体2へ格納した後(ステップS813)、図8に示した如き操作履歴を可搬記憶媒体2内へ記録する処理を行う(ステップS818)。
また、端末の種類が管理コンソール4ではなく(ステップS805:N)、管理端末5の場合は(ステップS806:Y)、管理端末5は、書き込むデータファイルを指定し、データ属性と暗号化パスワード(非表示)を入力させ(ステップS808)、管理コンソール4へ書き込み許可申請を送信する(ステップS809)。
管理コンソール4は、書き込み許可申請の内容を元に書き込みデータファイルの内容とデータ属性を確認し、必要に応じてデータ属性を修正する(ステップS810)。
管理コンソール4が、書き込みを許可した場合は(ステップS811:Y)、図12Bに進み、管理コンソール4は、書き込み許可したデータファイルとデータ属性の情報を、管理サーバ3の管理データベース306へ記録する(ステップS814)。
管理端末5は、許可されたデータファイルを暗号化パスワードによって暗号化し、データ属性とともに可搬記憶媒体2へ格納した後(ステップS815)、図8に示した如き操作履歴を可搬記憶媒体2内へ記録する処理を行う(ステップS818)。
また、(ステップS811:N)の場合には、管理端末5は、書き込み許可申請が却下されたことを受信し(ステップS816)、図8に示した如き操作履歴を可搬記憶媒体2内へ記録する処理を行う(ステップS818)。
また、(ステップS802:N),(ステップS804:N),あるいは(ステップS806:N)の場合は、書き込み権限が無いと判断し、図8に示した如き操作履歴を可搬記憶媒体2内へ記録する処理を行う(ステップS818)。
<データの読み出し処理>
図13A〜図13Bは、可搬記憶媒体2からのデータの読み出し処理の流れを示す図である。
可搬記憶媒体2に格納されたデータは、予め可搬記憶媒体2の端末認証情報DB222に設定されたコンピュータ(端末)で、かつデータ属性DB232の複製可能端末識別子に設定されたコンピュータ(端末)を使用し、さらにデータ復号化手段225によって復号化するためのパスワードを知らなければ読み出すことはできない。
更に、可搬記憶媒体2の内部にデータを格納し続けるためには、可搬記憶媒体2を適切に管理し、使用条件DB231とデータ属性DB232に設定された条件を満足している必要がある。
次に、図13A〜図13Bのフローチャートに沿って、可搬記憶媒体2からのデータの読み出し処理の流れを詳細に説明する。
まず最初に、図7A〜図7Dで説明したような端末認証キーを照合する処理を行う(ステップS901)。
照合の結果、使用条件を満たし使用可能な場合は(ステップS902:Y)、当端末の種類と、端末認証情報DB内の当端末と一致するエントリの権限情報を読み込む(ステップS903)。
「権限」が“読み”の場合は(ステップS904:Y)、データ格納領域23内に格納されている全データについて、データ属性DB232内の「複製残回数」を照合し、「複製残回数」が0回のデータファイルを削除するとともに(ステップS905)、システム時刻とデータ属性DB232内の「保管期限」とを照合し、保管期限切れのデータファイルを削除する(ステップS906)。
データ属性DB232内の「複製可能端末識別子」と当該端末の端末識別子とを照合し、一致するデータファイルと何も指定されていないデータファイルを抽出し(ステップS907)、抽出したデータファイルの一覧を、ファイル操作画面に表示し(ステップS908)、表示されたデータファイル一覧から、読み出すデータファイルを選択し(ステップS909)、データファイルの復号化パスワード(非表示)を入力させる(ステップS910)。
図13Bに進み、復号化したデータファイルを端末内の保存し(ステップS911)、データ属性DB232内の「複製残回数」をデクリメント(−1)し(ステップS912)、データ格納領域233内に格納されている全データについて、データ属性DB232内の「複製残回数」を照合し、「複製残回数」が0回のデータファイルを削除するとともに(ステップS913)、システム時刻とデータ属性DB232内の「保管期限」とを照合し、保管期限切れのデータファイルを削除した後(ステップS914)、図8に示した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS916)。
また、(ステップS902:N)あるいは(ステップS904:N)の場合には、読み出し権限が無いと判断し(ステップS915)、図8に示した如き操作履歴を可搬記憶媒体内へ記録する処理を行う(ステップS916)。
なお、各コンピュータ(管理コンソール4,管理端末5,使用端末6)に搭載する非管理媒体排除手段409、非管理媒体排除手段506、および非管理媒体排除手段604は、該コンピュータ(端末)が装備している可搬記憶媒体の接続装置の中に可搬記憶媒体2を使用可能にしている状態で別の種類の可搬記憶媒体も使用可能とするものがあるため、別の種類の可搬記憶媒体を非管理媒体として接続禁止するための手段である。
また、各コンピュータ(管理サーバ3、管理コンソール4,管理端末5)に搭載するデータ送受信手段310、データ送受信手段414、およびデータ送受信手段510は、管理サーバ3と管理コンソール4と管理端末5との間でネットワーク1を介して通信するための手段である。
管理コンソール4の端末操作履歴アップロード手段410と管理端末5の端末操作履歴アップロード手段507は、各コンピュータでの可搬記憶媒体管理システムの操作履歴をネットワーク1を介して管理サーバ3にアップロードし、端末操作履歴管理手段307によって管理データベース306に蓄積し、管理するための手段である。
可搬記憶媒体2に蓄積されている媒体操作履歴は、管理コンソール4または管理端末5に可搬記憶媒体2が接続され、可搬記憶媒体2の認証が成功した後であれば、一定時間ごとに自動的に実行することも可能である。媒体操作履歴のアップロードを自動的に実行することで、利用者の負担を軽減でき、アップロード漏れを防ぐことができる。
管理サーバ3の媒体操作履歴管理手段308は、可搬記憶媒体2が接続されている最中は、管理コンソール4の媒体操作履歴アップロード手段411、または管理端末5の媒体操作履歴アップロード手段508とバックグラウンドで通信し、可搬記憶媒体2の媒体操作履歴DB233に格納されている媒体操作履歴をアップロードし、アップロード済みの媒体操作履歴を削除する。
可搬記憶媒体2が接続されていない場合は、管理サーバ3の管理データベース306に格納されている媒体操作履歴アップロード周期に関する設定を確認し、管理コンソール4や利用者へ媒体操作履歴のアップロード作業を促す。
管理コンソール4の媒体操作履歴閲覧手段412は、管理サーバ3の管理データベース306に蓄積された媒体操作履歴を抽出し、集計したり、分析したりする手段である。
可搬記憶媒体2の媒体制御手段221は、可搬記憶媒体2に対する操作要求を受け付け、端末認証キーや使用条件との照合、認証結果によって与えられた権限によるアクセス制御、不正使用や使用条件に合わない場合の可搬記憶媒体2の無効化、媒体操作履歴の記録、格納するデータへの操作など、可搬記憶媒体2が搭載している各手段を統括する役割を備える。
管理サーバ3の管理サーバ制御手段301は、可搬記憶媒体管理システムの管理情報を蓄積する管理データベース306を管理し、管理サーバ3が搭載している各手段を統括する役割を備える。
管理コンソール4の管理コンソール制御手段401は、可搬記憶媒体管理に関する操作画面を表示し、可搬記憶媒体2の内部のプログラムと通信して可搬記憶媒体2に対する操作を実施し、管理コンソール4が搭載している各手段を統括する役割を備える。
管理端末5の管理端末制御手段501は、可搬記憶媒体利用に関する操作画面を表示し、可搬記憶媒体2の内部のプログラムと通信して可搬記憶媒体2に対する操作を実施し、管理端末5が搭載している各手段を統括する役割を備える。
使用端末6の使用端末制御手段601は、可搬記憶媒体2からデータを読み出すための操作画面を表示し、可搬記憶媒体2の内部のプログラムと通信して可搬記憶媒体2に対する操作を実施し、使用端末5が搭載している各手段を統括する役割を備える。
本発明では、可搬記憶媒体2を管理するための使用条件と、可搬記憶媒体2に格納したデータを管理するためのデータ属性の中にシステム時刻を使用するものがあり、システム時刻と比較した結果で情報漏洩防止対策を実施している。
システム時刻はコンピュータから取得することも可能であるが、偽装される恐れもあることから可搬記憶媒体2の内部に時計機能を内蔵することが望ましい。そのため、時計機能は利用者が勝手に修正できないよう、管理サーバ3と接続した際に自動的に時刻同期するものとする。
また、時計機能を駆動させるために電源も内蔵する必要があることから、時計機能と電源を使用して、使用期限を過ぎた時点で強制的にデータを消去することも可能である。
以上、本発明を実施の形態により説明した。
これら本発明の実施の形態は、全てが必須という訳ではなく、利用する組織の状況に合わせて修正することは可能である。また、本発明の主旨の範囲において様々な変形も可能である。
なお、図1に示した各コンピュータ(管理サーバ3、管理コンソール4,管理端末5,使用端末6)に搭載される各手段の機能(図5〜図13Bのフローチャート参照)は、これら各手段に対応するプログラム(HDDなどの外部記憶装置から読み込まれる)を主記憶装置に読み込み、コンピュータの構成要素であるCPUやメモリなどのハードウェアを用いて実行することにより実現される。また、これらのプログラムはインターネットなどのネットワークやROM,FD,DVDなどのコンピュータ読み取り可能な記録媒体を介して流通させることができる。