図1は、本発明の実施の形態における操作制限管理システムおよびプログラムを適用して構成した操作制限情報管理システムのシステム構成図の一例である。
図1において、操作制限情報管理システムは、ポリシーサーバ100、ログ管理サーバ200、クライアントPC300により構成され、所定のセキュリティポリシーに基づいて文書に設定された操作制限情報であるポリシー情報の変更を行うことにより、その文書に関連する他の文書(以下、「関連文書」という)のポリシー情報をも同様に変更できるようにしたシステムである。
セキュリティポリシーは、リスク要因を排除し、文書の機密性を確保する方針や規範を示すものであって、セキュリティポリシーによる機密性を実現するために、ポリシーサーバ100では、そのセキュリティポリシーに基づいて管理するポリシー情報を文書に対応付ける(設定する)。
情報漏えいや不正アクセスなどを防止するためのセキュリティポリシーとして暗号化機能や操作管理機能があり、これらの機能のセキュリティレベルを指定したものがポリシー情報である。
ポリシーサーバ100は、文書の操作者であるユーザをユーザIDとパスワードの組合せ等によって認証するユーザ認証機能を具備するとともに、文書を識別する文書識別情報(以下、「文書ID」という)に対してその文書に設定されたポリシー情報を管理する。また、このポリシーサーバ100では、セキュリティポリシーの暗号化機能により暗号化された文書を複号する複号鍵をもその文書IDに対応付けて管理する。
もちろん、別途、認証サーバ(図示せず)を設け、ポリシーサーバ100からその認証サーバにユーザの認証要求を送信することで、認証サーバが管理する操作者の情報を用いてユーザ認証を行い、認証要求元のポリシーサーバ100にその認証結果を送信するような構成であってもよい。
ポリシー情報が設定された文書は、暗号化機能や操作管理機能によって暗号化や操作制限された状態にある文書であり、この状態にある文書を以降では「セキュリティ文書」と示し、セキュリティ文書は、設定されたポリシー情報を満たすことにより操作可能である。
クライアントPC300は、ポリシー情報が設定されたセキュリティ文書に対して閲覧や編集、印刷などの所定の操作を行う。これらの操作に際し、操作者であるユーザを認証するためにポリシーサーバ100に対してユーザ情報を送信して認証要求を行う。ポリシーサーバ100で認証されることによってセキュリティ文書の所定の操作が可能となる。
このときクライアントPC300では、ポリシーサーバ100から当該セキュリティ文書に対して許可された操作内容の一覧、暗号化されたセキュリティ文書を複号するための複号鍵を受信する。この複合鍵は文書の暗号化を行う暗号化アルゴリズムで用いる暗号鍵に対応し、その暗号鍵を用いて暗号化された文書を複号するために用いる情報である。
続いてクライアントPC300は、受信したその複号鍵を用いてセキュリティ文書を複号して複号後の文書に対して閲覧や編集などの操作を行う。その後、操作が完了すると、操作後の文書を識別する文書IDを生成するほか、操作前のセキュリティ文書からその文書IDの文書へとなる過程を追跡できるようにした「トレーサブルID」を生成して、操作内容とともにログ管理サーバ200に登録する。
この文書IDは、セキュリティ文書の文書内容を変更する編集操作などを行った場合に新たに生成される識別情報であって、閲覧などの文書内容そのものを変更しない操作に対しては新たな文書IDは生成されず、この場合、トレーサブルIDのみが生成される。すなわち、トレーサブルIDはいずれの操作においても生成され、文書に設定される。
編集操作などによって新たな文書が生成された場合には、その文書のポリシー情報として編集操作前の文書に設定されたポリシー情報が設定される。もちろん、ポリシーサーバ100が管理する他のポリシー情報をクライアントPC300を用いてユーザが選択し、選択したポリシー情報をその編集後の文書に設定することも可能である。
ログ管理サーバ200は、セキュリティ文書に対する操作内容の履歴を系列的に示した操作履歴の情報(ログ情報)を管理する。このログ管理サーバ200が管理するログ情報には、操作対象の文書を識別する文書ID、その文書IDの文書を操作したユーザの情報、操作前の文書のトレーサブルID、操作後の文書のトレーサブルIDが含まれ、操作履歴を記録する文書と関連する関連文書の検索を可能としている。本発明において、関連文書の検索は、文書IDによって文書を特定することを示している。
このログ管理サーバ200では、編集などの文書内容が変更される操作以外にも、参照や閲覧、印刷などの文書内容そのものが変わらない操作についても操作履歴を管理する。この場合、上記するように新たな文書IDは生成されず、トレーサブルIDのみが生成されて操作履歴として管理する。
クライアントPC300によって操作元の文書を「親文書」とすると、その親文書を操作することにより生成した新たな文書は「子文書」となる。
この親子関係の階層構造を構築することにより、生成された文書(子文書)の派生元の文書(親文書)を特定できるとともに、派生元の文書(親文書)から生成された文書(子文書)を特定することができる。これらの親子関係を文書に設定された「トレーサブルID」により示している。
本実施例では、クライアントPC300から文書に設定されたポリシー情報の変更要求を行い、その変更要求に基づいてポリシーサーバ100がその文書および関連文書のポリシー情報を一括して若しくは選択的に変更する例を示すが、これに限定されることはなく、クライアントPC300がポリシーサーバ100から変更後のポリシー情報を受信することでポリシー情報を一括して変更する処理を行うように構成してもよい。
このような構成からなる操作制限情報管理システムにおいて、クライアントPC300が操作対象のセキュリティ文書に設定されたポリシー情報の変更要求を行うと、その変更要求をポリシーサーバ100に転送する。ポリシー情報の変更要求を受信したポリシーサーバ100は当該セキュリティ文書に関連する関連文書の一覧をログ管理サーバ200に要求して、受信した関連文書の一覧に示される関連文書のポリシー情報を変更要求された文書のポリシー情報とともに、変更要求に含まれるポリシー情報に変更する。
本実施例では、暗号化機能および操作管理機能のセキュリティポリシーによってセキュリティ文書を作成する例を示し、ポリシーサーバ100は、ユーザ認証により当該セキュリティ文書の操作が可能である場合に、暗号化機能により暗号化されたセキュリティ文書を復号する復号鍵および操作管理機能により操作管理が行われた操作内容の一覧(リスト)を操作元であるクライアントPC300に送信する。
クライアントPC300では、受信した複号鍵によりセキュリティ文書を複号し、操作管理機能による操作権限に基づいて操作を行う。操作権限にポリシー情報の変更が許可されている場合に、クライアントPC300からポリシーサーバ100へのポリシー情報変更要求を送信する。
クライアントPC300からポリシー情報の変更要求を受信したポリシーサーバ100では、変更要求された文書に関連する関連文書の検索要求をログ管理サーバ200へ行い、ログ管理サーバ200では管理した操作履歴から当該文書に関連する関連文書を検索し、その関連文書の一覧を要求元のポリシーサーバ100へ送信する。
ポリシーサーバ100では一覧に示された関連文書のポリシー情報を、クライアントPC300により指定されたポリシー情報に変更する。
このような構成からなる操作制限情報管理システムの詳細な機能構成を図2に示し、以下で説明する。
図2は、本発明の実施の形態における操作制限情報管理システムの機能構成を示すブロック図である。
図2において、操作制限情報管理システムは、表示操作部201、操作制御部202、識別情報生成部203、認証部204、ユーザ情報管理部205、ポリシー制御部206、ポリシー記憶部207、文書情報記憶部208、セキュリティ情報登録部210、履歴制御部211、履歴記録部212、履歴記憶部213を具備して構成される。
図1のシステム構成図では、表示操作部201、操作制御部202、識別情報生成部203をクライアントPC300で実現し、認証部204、ユーザ情報管理部205、ポリシー制御部206、ポリシー記憶部207、文書情報記憶部208、セキュリティ情報登録部210をポリシーサーバ100で実現し、履歴制御部211、履歴記録部212、履歴記憶部213をログ管理サーバ200で実現した一例を示している。
表示操作部201は、ユーザインターフェースであってキーボードやポインティングデバイス、表示ディスプレイなどにより構成される。この表示操作部201を用いてポリシー情報が設定されていない文書(非セキュリティ文書)にセキュリティポリシーに基づくポリシー情報を指定すると、表示操作部201から操作制御部202に、指定したポリシー情報を設定する設定要求を行う。
このとき、文書に設定するポリシー情報の指定方法の一例として、図3に示すような画面を用いる方法がある。図3については以下で説明する。
操作制御部202は、文書に対する操作の主制御を行うとともに、文書に設定されたポリシー情報の変更に係わる処理の制御を行う。
表示操作部201からポリシー情報の設定要求を受信すると、この操作制御部202では、その文書を識別する文書IDの生成要求および文書の操作過程から特定の文書を追跡可能とするトレーサブルIDの生成要求を識別情報生成部203へと行い、指定されたポリシー情報を設定したセキュリティ文書を生成する。
このセキュリティ文書の生成処理は、指定されたポリシー情報の示す操作権限を文書に指定するとともに、そのポリシー情報に指定された暗号化アルゴリズムによって暗号化を行うことで機密性を確保する処理である。
続いて、操作制御部202から識別情報(文書ID、トレーサブルID)の生成要求を受信した識別情報生成部203は、その生成要求に基づいて文書ID、トレーサブルIDを生成する。生成したこれらの識別情報は要求元である操作制御部202へと応答し、操作制御部202は、これらの操作内容を履歴情報として記録するために、操作記録部212へこれらの識別情報、ユーザ情報、操作内容などの情報を送信する。
操作記録部212は、履歴情報として管理する操作履歴を履歴記憶部213へと記録する処理を行う。この操作記録部212により履歴記憶部213へ記録された情報は、例えば、図7に示すようなテーブル構成で記憶する。この図7についても以下で説明する。
ちなみに、ポリシー情報が設定されていない文書(非セキュリティ文書)に、ポリシー情報を設定してセキュリティ文書を生成する処理の場合、新たにセキュリティ文書の履歴情報を登録して操作履歴の記録を開始することから、履歴記憶部213ではこの操作を「登録」として記憶する。
この履歴記憶部213で記憶した操作履歴は、履歴制御部211により制御される情報であって、ポリシー情報を変更する文書に関連する関連文書の検索に用いられる。
このようにしてポリシー情報が登録されていない非セキュリティ文書にポリシー情報を設定してセキュリティ文書を生成する。この処理に際し、その操作履歴を履歴記憶部213に記憶する。
以下で、セキュリティ文書に設定された文書のポリシー情報を変更する処理を説明する。
まず、表示操作部201を用いて操作者であるユーザを認証するためのユーザ情報(ユーザID、パスワード)を入力すると、そのユーザ情報を含むユーザ認証要求を操作制御部202に送信する。そして、操作制御部202はその要求が認証要求であると判別することで認証部204へと転送する。
認証部204は、ユーザ情報管理部205で管理するユーザ情報を用いてユーザを認証する処理を行う。このユーザ認証によって、ポリシー情報の変更が可能であるユーザであることが認証されると、その認証結果を操作制御部202を介して表示操作部201の表示ディスプレイに表示する。
ちなみに、認証した結果を示す認証情報(トークン)は表示操作部の作業領域となる記憶領域に一時的に記憶された状態となり、操作が終了するとともに消去される。
このようにユーザ認証が行われた状態で、セキュリティ文書に設定されたポリシー情報の変更を表示操作部201から指示すると、操作制御部202にポリシー情報の変更要求操作が通知される。このポリシー情報の変更指示は、例えば図6に示すような画面を用いて行う。
図6は、本発明の実施の形態にかかる操作制限情報管理システムで、文書に設定されたポリシー情報の変更を指示する画面を示す図である。
図6に示す画面は、操作した文書に設定するポリシー情報を指定する[ポリシー情報指定]項目601、[ポリシー情報指定]項目601で指定したポリシー情報で既存のポリシー情報を変更する文書の範囲を指定する[変更文書範囲指定]項目602、OKボタン603、キャンセルボタン604を具備して構成される。
[ポリシー情報指定]項目601では、文書に設定可能なポリシー情報を選択することが可能である。このポリシー情報は図2のポリシー記憶部207で記憶する情報であって、表示操作部201でこの図6の画面を表示する際にポリシー制御部206を介して受信する。
[変更文書範囲指定]項目602では、ポリシー情報を変更する文書の範囲として(1)「関連文書全体(他のユーザが生成・編集した文書を含む)」、(2)「制限付き関連文書(自分が生成・編集した文書のみを含む)」、(3)「制限付き関連文書(紙文書を含み、自分が生成・編集した文書のみ)」、(4)「この文書のみ(関連文書のポリシーは変更しない)」のいずれかを選択することができる。
(1)「関連文書全体(他のユーザが生成・編集した文書を含む)」を選択した場合には、ポリシー情報を変更する対象文書に指定した文書に関連する全ての文書を関連文書として選択する。また、(2)「制限付き関連文書(自分が生成・編集した文書のみを含む)」を選択した場合には、ポリシー情報を変更する対象文書に指定した文書に関連する関連文書のうち、その対象文書のユーザが操作した文書を関連文書として選択する。また、(3)「制限付き関連文書(紙文書を含み、自分が生成・編集した文書のみ)」を選択した場合には、ポリシー情報を変更する対象文書に指定した文書に関連する関連文書のうち、印刷によって紙文書を作成した文書も関連文書として選択する。さらに、(4)「この文書のみ(関連文書のポリシーは変更しない)」を選択した場合には、関連文書は選択されず、ポリシー情報を変更する対象文書に指定した文書のみのポリシー情報を変更する。
この4つの場合のうち、(1)〜(3)の条件で、ポリシー情報を変更する処理の流れを図13から図15に示して以下で説明する。ちなみに(4)の条件は関連文書を検索する処理は行われないことから処理の流れは不要となる。
この図6に示すような画面を用いて表示操作部201からポリシー情報の変更指示が行われると、操作制御部202では、その変更指示の内容がポリシー情報の変更であると判断してポリシー制御部206にポリシー情報の変更制御を要求する。
ポリシー制御部206は、ポリシー情報の登録、管理、変更などの処理を制御する。操作制御部202からポリシー情報の変更要求を受信すると、ポリシー制御部206では、変更要求された文書に関連する他の関連文書の検索要求を履歴制御部211へ行う。
履歴制御部211では、ポリシー制御部206からの関連文書の検索要求を受信することにより、表示操作部201で図6を用いて指定したポリシー情報の変更条件に基づいて関連文書を検索し、合致する関連文書を一覧(リスト)にして要求元であるポリシー制御部206へと送信する。
この履歴制御部211は、履歴記憶部213で記憶する履歴情報から各文書間の関係を形成することにより、あるセキュリティ文書と関連する他の関連文書を検索する。この関係は例えばツリー構造(木構造)によって示すことができ、その木構造の例を図5に示している。
図5は、本発明の実施の形態における操作制限情報管理システムで管理する履歴情報の関係を示す図である。
図5において、図5(a)は文書間の論理関係の例を示す図であり、図5(a)では「文書A」に対して所定の操作(例えば、編集操作など)を行うことにより「文書B」と「文書C」とが関連文書として関連付けられた状態を示している。なお、「文書A」には「DocID_A」の文書IDが設定され、「文書B」には「DocID_B」の文書IDが設定され、「文書C」には「DocID_C」の文書IDが設定されており、各文書にはそれぞれ異なる文書IDが設定されていることから、文書Bおよび文書Cは文書Aに対して文書内容を変更する編集操作などを行った状態を示す。
このとき、文書Aが「親文書」であって、文書Bおよび文書Cは文書Aを親文書とする「子文書」という関係にある。
また、文書Aと文書Bの間、文書Aと文書Cの間はトレーサブルID(「TID」と表記)が設定されており、文書Aと文書Bの間のトレーサブルIDとして「TID_1」が設定され、文書Aと文書Cとの間のトレーサブルIDとして「TID_2」が設定されて文書同士が関連付けられている。
ちなみに、文書Bと文書Cには各文書の元となった親文書である文書Aと同一のポリシー情報が設定されて作成された状態にある。
これらのセキュリティ文書に対して設定されたポリシー情報の状態を図5(b)に示している。
図5(b)は、各文書を識別する文書IDを示す[文書ID]項目501、[文書ID]項目501で指定された文書IDの文書に設定されたポリシー情報を示す[ポリシー情報]項目502、[文書ID]項目501の文書IDの文書を複号する複号鍵を示す[複号鍵]項目503により構成される。
すなわち、[文書ID]項目501に示される「DocID_A、DocID_B、DocID_C」の文書全てに、[ポリシー情報]項目502に示すポリシー情報「ポリシー1」が設定され、各文書それぞれに異なる複号鍵が設定された状態を示している。
このように各文書にポリシー情報が設定された状態から、図6に示すような画面を用いてポリシー情報の変更が指示されると、その指示内容に基づいてポリシー情報が変更される。このときのポリシー情報の変更例を図5(c)に示している。
図5(c)は、各セキュリティ文書に設定されたポリシー情報が図5(b)の「ポリシー1」から「ポリシー2」へと変更された状態を示している。これは文書A、文書B、文書Cのいずれかをポリシー情報の変更対象文書に指定し、指定した文書に関連する他の文書を関連文書として指定されることでこれら全ての文書のポリシー情報を「ポリシー2」へと変更した例を示している。
この図5(c)は、図6の[ポリシー情報指定]項目601として「ポリシー2(グループB、グループCに閲覧権)」を選択し、[変更文書範囲指定]項目602として「関連文書全体(他のユーザが生成・編集した文書を含む)」を選択することにより全ての文書のポリシー情報が「ポリシー2」へと変更された状態を示している。
このように履歴制御部211では履歴記憶部213で管理する文書IDやトレーサブルIDを用いて関連文書を検索する。
この履歴制御部211で関連文書を検索する方法として、例えば図6に示す画面で選択可能な条件を選択する方法や、図12に示すような画面から関連文書を指定する方法がある。これらの画面を用いた場合の詳細な関連文書の検索方法を、図13〜図15および図16〜図20に示し、以下で説明する。
このように、履歴制御部211から関連文書の一覧(リスト)を受信したポリシー制御部206では、操作制御部202から指定された変更後のポリシー情報をポリシー記憶部207から取得し、受信したリストに示される関連文書のポリシー情報を変更する。
ちなみに、ポリシー記憶部207で管理するポリシー情報は、例えば、図4に示すような情報である。
ポリシー制御部206が所定のセキュリティ文書および関連する関連文書のポリシー情報を変更すると、その結果を操作制御部202に通知する。操作制御部202では通知された内容を表示操作部201に表示させる。特に、その通知内容が変更の失敗を示すものである場合、表示操作部201を介してユーザに通知する。
図3は、本発明の実施の形態における操作制限情報管理システムでセキュリティ文書を生成する条件を指定する画面を示す図である。
図3に示す画面は、文書に設定するポリシー情報を指定する画面であり、図2のブロック図の表示操作部201に表示される画面である。
この画面は、文書に指定するポリシー情報を指定する[ポリシー情報選択]項目301と、[ポリシー情報選択]項目301で選択したポリシー情報を設定する文書を指定する[対象文書指定]項目302とから構成される。[対象文書指定]項目302は、参照ボタン303を押下して表示される文書の一覧より指定することも可能である。
それぞれの項目を指定し、OKボタン304を押下すると、指定した文書にポリシー情報が設定されたセキュリティ文書を生成する処理が行われる。ちなみに、キャンセルボタン305を押下すると文書にポリシー情報を設定する処理が取り消される。
図3に示す例には、[ポリシー情報選択]項目301で「ポリシー1(グループBに編集権、グループCに操作権なし)」が選択され、[対象文書指定]項目302で「C:\Documents and Settings\userA1\デスクトップ\文書A」の位置にある「文書A」が指定された状態を示している。
この状態でOKボタン304が押下されると、文書Aに、グループBに属するユーザに対して編集権を設定してグループCに属するユーザには操作権を設定しないという権限のポリシー1が適用されたセキュリティ文書が生成される。
図4は、本発明の実施の形態における操作制限情報管理システムのポリシー情報に対する許可された操作内容の一覧を示す図である。
図4にはテーブル構成のポリシー情報を示しており、図2に示すブロック図のポリシー記憶部207で管理するポリシー情報の一例であって、ポリシーの種別を示す[ポリシー種別項目]401、文書を操作するユーザが属するグループを示す[ユーザグループ]項目402、[ポリシー種別]項目401で指定されたポリシー情報が設定された文書を[ユーザグループ]項目402で示すグループに属するユーザが操作する場合に許可する操作内容を示す[許可する操作]項目403から構成される。
図4には、[ポリシー種別項目]401として「ポリシー1」を設定し、[ユーザグループ]項目402として「グループA」を設定し、[許可する操作]項目403として「閲覧、印刷、編集、ポリシー変更」を設定した例を示している。
これは、ポリシー1が設定されたセキュリティ文書をグループAに属するユーザが操作する場合に許可された操作が「閲覧、印刷、編集、ポリシー変更」であることを示している。
また、他の例として、[ポリシー種別項目]401として「ポリシー1」を設定し、[ユーザグループ]項目402として「グループC」を設定し、[許可する操作]項目403として「−(アクセス不可)」を設定した例を示している。
これは、ポリシー1が設定されたセキュリティ文書をグループCに属するユーザが操作する場合に許可された操作がないことを示しており、つまりグループCに属するユーザはこの文書を操作することができないことを示している。
図7は、本発明の実施の形態における操作制限情報管理システムのログ管理サーバで管理する文書操作の履歴情報を示す図である。
図7において、この履歴情報はテーブル構成で管理された例を示しており、図2に示すブロック図の履歴記憶部213で記憶する。この履歴情報は、[操作前トレーサブルID(操作前TID)]項目701、[操作後トレーサブルID(操作後TID)]項目702、[文書ID]項目703、[操作内容]項目704、[操作者]項目705を具備して構成される。
[文書ID]項目703は、操作後の状態にある文書を識別する識別情報であって、[操作内容]項目704は、[文書ID]項目703で示される識別情報の文書に対して行った操作の内容を示しており、例えば新たにセキュリティ文書として生成して履歴情報を登録する処理や、履歴情報が登録されたセキュリティ文書を編集する処理などがある。
また、[操作者]項目705は、[文書ID]項目703の識別情報の文書に対して[操作内容]項目704に示される操作を行ったユーザを示す。
さらに、[操作前トレーサブルID(操作前TID)]項目701は、[文書ID]項目703の文書IDが示す文書に対する操作履歴が記録される前の状態の文書を特定する情報であって、[操作後トレーサブルID(操作後TID)]項目702は、[操作内容]項目704で示される操作内容が行われた文書を、操作前の状態の文書から特定する情報である。
図7に示す例では、[文書ID]項目703が「DocID_A」であって、[操作内容]項目704が「登録」であって、[操作者]項目705が「userA1」であることから、DocID_Aによって識別されるセキュリティ文書の履歴情報が新たにuserA1によって登録されたことを示している。
また、この状態にあるセキュリティ文書には、[操作前トレーサブルID(操作前TID)]項目701に「−(なし)」が指定され、[操作後トレーサブルID(操作後TID)]項目702に「TID1」が指定されていることから、これは操作前TIDが設定されておらず、セキュリティ文書を生成して新たに操作履歴を登録し、その登録処理のトレーサブルIDが「TID1」であることを示している。
さらに、図7では、[操作前トレーサブルID(操作前TID)]項目701が「TID1」で、[操作後トレーサブルID(操作後TID)]項目702が「TID2」で、[文書ID]項目703が「DocID_B」で、[操作内容]項目704が「編集」で、[操作者]項目705が「userA1」の例を示している。
これは、DocID_Bによって識別されるセキュリティ文書の履歴情報が新たにuserA1によって編集操作し、この編集操作前のセキュリティ文書を特定するためのトレーサブルIDが「TID1」で、編集操作によって生成したセキュリティ文書を特定するためのトレーサブルIDが「TID2」であることを示している。
このことから、[操作後トレーサブルID(操作後TID)]項目702に「TID1」が設定されているセキュリティ文書は、[操作前トレーサブルID(操作前TID)]項目701に「TID1」が設定されているセキュリティ文書を操作する前の状態を示す文書であることを示している。
すなわち、文書ID「DocID_A」のセキュリティ文書は文書ID「DocID_B」のセキュリティ文書を生成する前の状態の文書である。
以上に示すような構成によってポリシー情報を変更する。
図8から図11には操作制限情報管理システムの状態遷移であるシーケンスを示している。
図8は、本発明の実施の形態における操作制限情報管理システムで文書にポリシー情報を設定することによりセキュリティ文書を生成する処理の流れを示すシーケンス図である。
この処理を開始する前処理として、ポリシー情報を文書に設定することによりセキュリティ文書を生成する処理が可能なユーザであるかを判断するために、クライアントPCを用いて指定されたユーザ情報およびパスワードをポリシーサーバへと送信する(801)。ユーザ情報およびパスワードを受信したポリシーサーバでは、予め管理するユーザ情報に基づいてユーザ認証を行い(802)、その認証結果と認証できた場合にそのユーザが利用可能なポリシー情報とをクライアントPCへ送信する(803)。
もちろん、ポリシーサーバでユーザ認証を行うのではなくポリシーサーバから他の認証サーバに認証要求を行うような構成であってもよい。
クライアントPCでは、ポリシーサーバから当該ユーザの利用可能なポリシー情報を受信すると、図3に示すような画面を用いてそのポリシー情報から所望のポリシー情報を選択できるようにし、選択されたポリシー情報を、同じく図3の画面を用いて設定した文書に設定する処理を行い(804)、セキュリティ文書を生成する。
続いて、そのセキュリティ文書を識別する文書IDと、そのセキュリティ文書になる状態を示すトレーサブルIDを生成する(805)。
そして、セキュリティ文書を生成した履歴情報を記録するために生成した文書ID、設定したポリシー情報、セキュリティ文書の暗号鍵に対する復号鍵をポリシーサーバに送信する。本実施例では、セキュリティポリシーとして暗号化機能を用いた例を示していることから、文書を暗号化する暗号アルゴリズムの暗号鍵に対する復号鍵が生成されることとなるため、その復号鍵をポリシーサーバへ送信している(806)。
これらを受信したポリシーサーバでは、受信した文書IDに対してポリシー情報、復号鍵を対応付けて登録する(807)。
さらに、クライアントPCは、文書ID、トレーサブルID、ユーザ情報、操作情報をログ管理サーバへ送信する(808)。これらの情報を受信したログ管理サーバでは、図7に示すような構成で操作履歴として記録する(809)。
この状態によりログ管理サーバはセキュリティ文書の履歴情報を管理した状態となる。
次に、図9は、本発明の実施の形態における操作制限情報管理システムでセキュリティ文書を編集する操作を行う処理の流れを示すシーケンス図である。
例えば、図8に示すような処理により生成されたセキュリティ文書に対して編集操作を行う。まず、編集対象となるセキュリティ文書を指定すると、そのセキュリティ文書の文書ID、編集操作を行うユーザのユーザ情報およびパスワードをポリシーサーバへ送信する(901)。
これらの情報を受信したポリシーサーバでは、ユーザ認証を行い(902)、認証した場合にその文書IDにより示されるセキュリティ文書を復号するための復号鍵、そのセキュリティ文書に設定されたポリシー情報を要求元にクライアントPCへと送信する(903)。
ユーザが認証され、復号鍵、ポリシー情報を受信したクライアントPCでは、その復号鍵を用いてセキュリティ文書を復号し(904)、その文書に関する所定のアプリケーションを用いて編集操作を行う(905)。
編集操作が終了すると、予め指定された所定の暗号アルゴリズムでその編集操作した文書を暗号化する(906)。なお、この暗号化処理により暗号化したセキュリティ文書を復号する復号鍵が生成される。この暗号化処理後、暗号化されたセキュリティ文書の新たな文書IDと、その操作処理による文書の状態を特定するトレーサブルIDとを生成若しくは取得する(907)。
そして、文書ID、ポリシー情報、復号鍵をポリシーサーバへと送信する(908)。これらを受信したポリシーサーバでは、文書IDに対してポリシー情報、復号鍵を対応付けて登録する(909)。
さらに、クライアントPCは、文書ID、操作前の文書のトレーサブルID、操作後の生成したトレーサブルID、ユーザ情報、操作情報などをログ管理サーバに送信する(910)。
ログ管理サーバでは、図7に示すような構成でこれらの情報を操作履歴として管理する(911)。
そして、図10は、本発明の実施の形態における操作制限情報管理システムで印刷物に付与されている識別情報を読み取ることによりその識別情報により示される文書を複写する処理の流れを示すシーケンス図である。
図10に示すシーケンスでは、図1に示す構成に複合機を新たに追加し、その複合機で、ログ管理サーバが管理する識別情報に対する文書の複写(コピー)という操作を行う場合の処理である。この処理では、予めログ管理サーバが文書IDに対して印刷データを管理している。
まず、複合機は、カード読み取り装置から読み取ったユーザ情報、パスワードや操作パネルから入力されたこれらの情報を、ポリシーサーバへ送信する(1001)。ユーザ情報、パスワードを受信したポリシーサーバでは、ユーザ認証ができたことが示される場合にその認証したユーザにより操作可能な操作一覧である操作メニューを複合機へと送信する(1003)。
操作メニューを受信した複合機では、その操作メニューから複写処理を選択すると、印刷物を読み取ることにより文書を識別する文書IDを取得する処理が行われ(1004)、続いて、取得した文書IDをポリシーサーバへと送信する処理が行われる(1005)。
ポリシーサーバでは受信した文書ID、ユーザ情報に基づいて最適なポリシー情報を検索し(1006)、合致するポリシー情報を複合機へと送信する(1007)。ポリシー情報を受信した複合機は、そのポリシー情報を確認し(1008)、複写が可能である場合にその文書IDに対する印刷データをログ管理サーバへと要求する(1009)。
印刷データの要求が行われたログ管理サーバでは、その文書IDに対する印刷データを検索し(1010)、合致する印刷データを複合機へと送信する(1011)。
印刷データを受信した複合機は、印刷出力を行い(1012)、印刷出力を行った印刷データの文書を識別する文書IDを生成し、またトレーサブルIDをも生成する(1013)。生成した文書IDとポリシー情報とをポリシーサーバへと送信する(1014)。ポリシーサーバでは、文書IDに対するポリシー情報として登録する(1015)。
また、複合機では、印刷出力を行った印刷データの文書ID、その印刷データの文書のトレーサブルID、新たに生成したトレーサブルID、ユーザ情報、操作情報などをログ管理サーバへ送信する(1016)。受信したログ管理サーバでは、これらの情報を履歴情報として登録する(1017)。
図11は、本発明の実施の形態における操作制限情報管理システムでセキュリティ文書に設定されているポリシー情報を変更する処理の状態遷移を示すシーケンス図である。
ポリシー情報の変更対象となるセキュリティ文書を指定し、そのセキュリティ文書の文書ID、ユーザ情報、パスワードを含むポリシー変更要求をポリシーサーバへ送信する(1101)。このポリシー変更要求を受信したポリシーサーバでは、そのポリシー変更要求に含まれる情報を用いてユーザ認証を行い(1102)、認証することによりその文書IDにより識別されるセキュリティ文書に設定されたポリシー情報を要求元のクライアントPCに送信する(1103)。
ポリシーサーバには、図8に示すようなシーケンスによって各文書に設定したポリシー情報を管理している状態にある。
続いて、クライアントPCでは、ユーザが画面や設定ファイルなどを用いて、変更後の新たなポリシー情報を選択すると(1104)、選択したポリシー情報およびそのポリシー情報を設定する文書の文書IDをポリシーサーバへ送信する(1105)。ポリシーサーバでは、受信した文書IDの文書に関連する関連文書の一覧(リスト)をログ管理サーバへ要求する(1106)。
なお、この関連文書の一覧要求には、ポリシー情報の変更対象となる文書の範囲が指定されており、この指定された範囲内にある文書を関連文書する処理が行われる。ちなみに、文書の範囲の指定には、例えば、図6に示すような画面の[変更文書範囲指定]項目602を用いて指定することが可能である。
続いて、ポリシーサーバから関連文書の一覧要求を受信したログ管理サーバでは、要求された文書IDに対する関連文書を検索する(1107)。この検索処理における詳細な流れを示すフローチャートを図13〜図15に示し、また具体例を図16〜図20を用いて以下で説明する。
これらの検索処理以外にも、図12に示すような画面を用いて関連文書をユーザが選択するような構成であってもよい。
この検索処理により関連文書が検索され、これらの関連文書の一覧が生成されると、その一覧(リスト)を要求元のポリシーサーバへ送信する(1108)。
関連文書の一覧を受信したポリシーサーバでは、登録して管理した当該関連文書のポリシー情報を、選択されたポリシー情報に変更する(1109)。全ての関連文書のポリシー情報を変更後、処理が終了したことをポリシー情報の変更要求元であるクライアントPCへ送信する(1110)。
次に、ポリシー情報を変更するセキュリティ文書に関連する関連文書を特定する方法を説明する。
図12はユーザが関連文書を選択することにより特定する方法を示し、図13から図15は条件に合致するセキュリティ文書を関連文書として特定する方法を示す。図13から図15は図6に示す画面の[変更文書範囲指定]項目602で選択可能な検索条件((4)の条件の場合は除く)のフローチャートである。
図12は、本発明の実施の形態における操作制限情報管理システムで所定の文書に関連する関連文書を選択する画面を示す図である。
図12は、所定の文書を選択した場合における当該文書の派生関係を階層構造によって示す[派生関係表示]項目1201、[ポリシー情報選択]項目1202により構成され、[ポリシー変更]ボタン1203を押下することにより[派生関係表示]項目1201で選択した文書のポリシー情報を[ポリシー情報選択]項目1202で選択したポリシー情報に変更する処理が開始する。また、[キャンセル]ボタン1204を押下することによりそのポリシー情報の変更処理が取り消される。
[派生関係表示]項目1201は、所定の文書が構成する階層構造が示される項目であって、図12は所定の文書として「文書G」を指定した場合にその文書Gが構成する階層構造を示している。
さらにこの図12は、この[派生関係表示]項目1201に示された階層構造を形成する文書(文書A、文書B、文書C、文書D、文書E、文書F、文書G、文書H、文書I、文書J)のうち、ポリシー情報を変更する関連文書として文書A、文書E、文書F、文書G、文書H、文書I、文書Jの7つの文書を選択した状態を示している。
[ポリシー情報選択]項目1202は、[派生関係表示]項目1201で選択した文書のポリシー情報を変更する変更後のポリシー情報を選択する項目である。図12に示す例では、「ポリシー1(グループBに編集権あり、グループCに操作権なし)」を選択した例を示している。
すなわち、[派生関係表示]項目1201で選択した7つの文書のポリシー情報が[ポリシー情報選択]項目1202で選択した「ポリシー1(グループBに編集権あり、グループCに操作権なし)」へと変更される。
図13は、図6に示す画面のポリシー情報の変更対象となる文書を選択する条件として、全ての関連文書のポリシー情報を変更することを選択した場合における処理の流れを示すフローチャートの一例である。
図13において、ポリシーサーバによって所定のセキュリティ文書に関連する関連文書の一覧(リスト)が要求されると、ログ管理サーバは、そのセキュリティ文書の履歴情報(ログ情報)を検索する(1301)。この処理は例えば、図7に示すような履歴情報からセキュリティ文書の文書IDが示されたレコードを示すことである。
これにより検索したセキュリティ文書の履歴情報に示されるトレーサブルIDのうち、親文書を検索するトレーサブルIDを取得する(1302)。このトレーサブルIDが取得できたかを判断し(1303)、取得できた場合(1303でYES)には、順次、そのトレーサブルIDを辿ることによりルートとなる大元の文書状態を示す操作履歴(以下、「ルート履歴」という)に至るまでのトレーサブルID全てを取得する(1304)。
それに対して、親文書を検索するトレーサブルIDが取得できない場合(1303でNO)には、このセキュリティ文書が親文書のないルート履歴であることを示していることからこの処理を行う必要がない。
これにより、所定のセキュリティ文書に対するルート文書の文書IDと、トレーサブルIDとが特定される。
次に、特定したルート履歴により表されるセキュリティ文書の子孫となる各文書のトレーサブルIDを取得する(1305)。そして、そのトレーサブルIDに対応する文書IDを取得する(1306)。そして、取得した文書IDから重複を除いて文書IDリストを作成する(1307)。作成した文書IDリストをポリシーサーバに送信する(1308)。
この重複を除く処理は、閲覧や参照などの文書内容の変更が行われない操作によって記録された履歴情報を省く処理である。
図14は、図6に示す画面のポリシー情報の変更対象となる文書を選択する条件として、特定のユーザに関連する関連文書のポリシー情報を変更することを選択した場合における処理の流れを示すフローチャートの一例である。
図14において、ポリシーサーバによって所定のセキュリティ文書に関連する関連文書の一覧(リスト)が要求されると、ログ管理サーバは、そのセキュリティ文書の履歴情報(ログ情報)を検索する(1401)。
これにより検索したセキュリティ文書の履歴情報に示されるトレーサブルIDのうち、親文書を検索するトレーサブルIDを取得する(1402)。このトレーサブルIDが取得できたかを判断し(1403)、取得できた場合(1403でYES)には、順次、そのトレーサブルIDを辿ることによりルート履歴に至るまでのトレーサブルID全てを取得する(1404)。
それに対して、親文書を検索するトレーサブルIDが取得できない場合(1403でNO)には、このセキュリティ文書がルート履歴により示される親文書である。
これにより、所定のセキュリティ文書に対するルート履歴の文書IDと、トレーサブルIDとが特定される。
次に、特定したルート履歴のセキュリティ文書からみて子孫となる各文書のトレーサブルIDを取得する(1405)。取得したトレーサブルIDのうち、ポリシー情報の変更要求を行ったユーザが登録や編集などの文書内容を変更する操作を行った各文書のトレーサブルIDを取得する(1406)。
そして、そのトレーサブルIDに対応する文書IDを取得する(1407)。そして、取得した文書IDから重複を除いて文書IDリストを作成する(1408)。作成した文書IDリストをポリシーサーバに送信する(1409)。
この図14に示す処理は、例えばユーザAがセキュリティ文書を生成し、そのセキュリティ文書の編集途中の文書を公開して他のユーザによる操作を可能にしている状態から、該セキュリティ文書の編集が終了して内容が確定することに伴い、該セキュリティ文書の公開は中止する状態になっても、編集途中のセキュリティ文書を他のユーザが操作した文書のポリシー情報は変更したくない場合などに有効である。
つまり、内容が確定したセキュリティ文書のポリシー情報のみを変更したい場合などに有効である。
図15は、図6に示す画面のポリシー情報の変更対象となる文書を選択する条件として、紙文書を含んだ特定のユーザに関連する関連文書のポリシー情報を変更することを選択した場合における処理の流れを示すフローチャートの一例である。
図15において、ポリシーサーバによって所定のセキュリティ文書に関連する関連文書の一覧(リスト)が要求されると、ログ管理サーバは、そのセキュリティ文書の履歴情報(ログ情報)を検索する(1501)。
これにより検索したセキュリティ文書の履歴情報に示されるトレーサブルIDのうち、親文書を検索するトレーサブルIDを取得する(1502)。このトレーサブルIDが取得できたかを判断し(1503)、取得できた場合(1503でYES)には、順次、トレーサブルIDを辿ることによりルート履歴に至るまでのトレーサブルID全てを取得する(1504)。
それに対して、親文書を検索するトレーサブルIDが取得できない場合(1503でNO)には、このセキュリティ文書がルート履歴により示される親文書である。
これにより、所定のセキュリティ文書に対するルート履歴の文書IDとトレーサブルIDが特定される。
そして、特定したルート履歴のセキュリティ文書からみて子孫となる各文書のトレーサブルIDを取得する(1505)。次に、取得したこのトレーサブルIDに対して次の2つの処理を行う。
1つ目の処理として、取得したトレーサブルIDのうち、ポリシー情報の変更要求を行ったユーザが登録や編集などの文書内容を変更する操作を行った各文書のトレーサブルIDを取得する(1506)。
また、2つ目の処理として、取得したトレーサブルIDのうち「印刷、複写」の操作を行ったトレーサブルIDを取得し(1507)、そのトレーサブルIDから祖先となる文書を辿り、直近の「登録、編集、スキャン」の操作がポリシー情報の変更を指示したユーザによって行われたものであれば取得したトレーサブルIDを残し、直近の「登録、編集、スキャン」の操作がポリシー情報の変更を指示したユーザ以外によって行われたものであれば取得したトレーサブルIDを取得したものから除く(1508)。
これらの2つの処理によって取得したトレーサブルIDの論理和をとり、重複を除いたトレーサブルIDを取得する(1509)。
そして、そのトレーサブルIDに対する文書IDを取得することにより文書IDリストを作成する(1510)。作成した文書IDリストはポリシーサーバに送信する(1511)。
なお、(1507)、(1508)に示す2つのステップの処理は、印刷や複写(コピー)の操作では異なる文書IDが付与されるが文書の内容そのものが変化しないことから、その印刷や複写(コピー)の操作を行う元となった文書のうち、ポリシー情報の変更要求を行ったユーザが登録や編集などの文書内容を変更する操作を行ったものだけを関連文書として検索する処理である。
図16、図17、図18、図19、図20は、ログ管理サーバが管理する操作履歴の関係をツリー構造で表した階層構造図である。
これらの各図では、操作履歴を丸図形で表し、その丸図形で表される操作履歴を線で結ぶことにより操作履歴同士の関係を表している。この操作履歴同士の関係は各操作履歴で示されるトレーサブルIDによって示され、そのトレーサブルIDを用いることにより階層構造を生成する。
階層構造を形成する操作履歴の各丸図形には、数字を記載しており、この数字はトレーサブルIDであって各操作履歴を識別し、操作履歴間の関係を示すためのものである。なお、トレーサブルIDとして便宜的に数字を用いているが、16進数やハッシュ関数によって算出された値をトレーサブルIDに用いることも可能である。
図16から図20までの5つの図では、18個の操作履歴により構成されており、これはセキュリティ文書を18回操作した状態を表している。また各操作履歴にはメタデータとして操作者であるユーザと、そのユーザにより行われた操作の内容を「(ユーザ)、(操作内容)」の形式で表している。
これら各図では、「1」が記載された丸図形によって階層構造のルートとなる操作履歴を示し、この操作履歴により表される文書を操作することにより下位階層に操作履歴が生成されていく。
図16から図20の各図では、「1」の操作履歴の文書を、ユーザA1が編集操作を行ったことを示す操作履歴を「2」の丸図形で表し、またユーザB1が閲覧操作を行ったことを示す操作履歴を「3」の丸図形で表し、「1」の操作履歴の丸図形と線で結ぶことにより各操作履歴同士の関係を表している。
このようにそれぞれの操作履歴により示される状態の文書に対して所定の操作を行って生成した操作履歴の関係を図16から図20で表している。
図16は、図6に示す画面でポリシー情報の変更条件として「(1)関連文書全体(他のユーザが生成・編集した文書を含む)」を選択した場合に、関連文書を検索する例を示す階層構造図である。
一例として、「8」で表される操作履歴のセキュリティ文書のポリシー情報を変更する場合に、そのセキュリティ文書に関連する関連文書の文書IDを検索する例を示す。この場合、関連文書の検索処理は図13に示すような流れによって行われる。
まず、指定したセキュリティ文書の操作履歴が示すトレーサブルIDとして「8」を取得し、次に、そのトレーサブルID「8」を元に、祖先にあたる全てのトレーサブルIDを取得する。この処理によって、3つのトレーサブルID(「5」、「3」、「1」)が取得できる。
続いて、取得したこれらのトレーサブルID(「5」、「3」、「1」)のうち、ルート履歴を示すトレーサブルIDとして「1」を取得する。ルート履歴のトレーサブルID「1」を取得すると、このトレーサブルID「1」の操作履歴からみて子孫の関係にあるすべての操作履歴のトレーサブルIDを取得する。
これにより、18個のトレーサブルID(「1」、「2」、「3」、「4」、「5」、「6」、「7」、「8」、「9」、「10」、「11」、「12」、「13」、「14」、「15」、「16」、「17」、「18」)を取得する。
そして、取得したこれら18個のトレーサブルIDに対する文書IDを特定する。文書IDは編集操作などによって文書の内容が更新されることにより変更される情報であることから、閲覧や参照などといった文書の内容に変更が伴わない操作の操作履歴には操作前の操作履歴と同一の文書IDが設定されていることになる。すなわち、特定した文書IDの中には重複する文書IDがある可能性がある。
そのため、重複する文書IDを除く処理を行い、算出される文書IDのリストを作成する。この重複する文書IDを除く処理によって算出された文書IDは、図16で黒塗り白抜きで表した操作履歴のトレーサブルID(「1」、「2」、「6」、「7」、「8」、「9」、「13」、「14」、「15」、「16」、「17」、「18」)に対する文書IDである。
この文書IDリストに示される文書IDの文書が関連文書として検索されたセキュリティ文書であることを示す。
図17は、図6に示す画面でポリシー情報の変更条件として「(2)制限付き関連文書(自分が生成・編集した文書のみ)」を選択した場合に、関連文書を検索する例を示す階層構造図である。
一例として、「8」で表される操作履歴のセキュリティ文書のポリシー情報をユーザAが変更する場合に、そのセキュリティ文書に関連する関連文書の文書IDを検索する例を示す。この場合、関連文書の検索処理は図14に示すような流れによって行われる。
まず、指定したセキュリティ文書の操作履歴が示すトレーサブルIDとして「8」を取得し、次に、そのトレーサブルID「8」を元に、祖先にあたる全てのトレーサブルIDを取得する。この処理によって、3つのトレーサブルID(「5」、「3」、「1」)が取得できる。
続いて、取得したこれらのトレーサブルID(「5」、「3」、「1」)のうち、ルート履歴を示すトレーサブルIDとして「1」を取得する。ルート履歴のトレーサブルID「1」を取得すると、このトレーサブルID「1」の操作履歴からみて子孫の関係にあるすべての操作履歴のトレーサブルIDを取得する。
これにより、18個のトレーサブルID(「1」、「2」、「3」、「4」、「5」、「6」、「7」、「8」、「9」、「10」、「11」、「12」、「13」、「14」、「15」、「16」、「17」、「18」)を取得する。
そして、取得したこれら18個のトレーサブルIDによって示される操作履歴から、ポリシー情報の変更を指示するユーザAによって登録、編集などの文書の内容を変更する操作を行った操作履歴のトレーサブルIDを取得する。この処理によって、8つのトレーサブルID(「1」、「2」、「7」、「8」、「9」、「13」、「15」、「16」)を取得する。
そして、この8つのトレーサブルIDに対する文書IDを操作履歴から特定して文書IDリストを作成する。
この文書IDリストに示される文書IDの文書が関連文書として検索されたセキュリティ文書であることを示す。
図18は、指定したセキュリティ文書からみて子孫にあたる文書を関連文書として検索する例を示す階層構造図である。
一例として、「8」で表される操作履歴のセキュリティ文書のポリシー情報を変更する場合に、そのセキュリティ文書に関連する関連文書の文書IDを検索する例を示す。
まず、指定したセキュリティ文書のトレーサブルID「8」が「操作後のトレーサブルID」として指定されている操作履歴を特定する。これは、例えば、図7に示す操作履歴情報の[操作後トレーサブルID(操作前TID)]702にトレーサブルID「8」が設定されているものを検索する処理である。
図18の例では、トレーサブルID「13」の履歴情報の「操作後のトレーサブルID」として「8」が設定されていることからこのトレーサブルID「13」が示す操作履歴の文書IDが子孫にあたる関連文書であると特定する。
続いて、このトレーサブルID「13」についても子孫にあたる文書を検索する。上記同様に、トレーサブルID「13」が「操作前のトレーサブルID」として指定されている操作履歴を特定する。これによりトレーサブルID「16」とトレーサブルID「17」が検索される。よってこの2つのトレーサブルIDに対応する文書IDが子孫にあたる関連文書であると特定する。
このようにして、トレーサブルID「8」のセキュリティ文書に関連する文書は、4つのトレーサブルID(「8」、「13」、「16」、「17」)に対応する文書IDの文書である。
図19は、指定したセキュリティ文書からみて直系の祖先にあたる文書のうち、そのセキュリティ文書を指定したユーザにより文書の内容を変更する操作が行われた文書を関連文書として検索する例を示す階層構造図である。
一例として、「16」で表される操作履歴のセキュリティ文書のポリシー情報をユーザAが変更する場合に、そのセキュリティ文書に関連する関連文書の文書IDを検索する例を示す。
まず、指定したセキュリティ文書のトレーサブルID「16」が「操作前のトレーサブルID」として指定されている操作履歴を特定する。図7に示すような操作履歴の情報の[操作前のトレーサブルID]項目701を参照する。これにより、図19に示す階層構造の操作履歴の例では、トレーサブルID「13」により示される操作履歴が該当する。
次に、このトレーサブルID「13」についても同様に、このトレーサブルID「13」が「操作前のトレーサブルID」として指定されている操作履歴を特定する処理を行う。これにより、トレーサブルID「8」により示される操作履歴が該当する。
このような操作をルート履歴になるまで順次、行うことにより操作履歴を特定する。図19に示す図では、6つのトレーサブルID(「16」、「13」、「8」、「5」、「3」、「1」)により示される操作履歴であって、この操作履歴のうち、ポリシー情報の変更要求を行ったユーザAが登録、編集などの文書を更新する操作を行ったことを示す操作履歴のトレーサブルIDを特定する。すなわち、トレーサブルID「16」、トレーサブルID「13」、トレーサブルID「8」、トレーサブルID「1」の4つが特定される。
これにより、トレーサブルID「16」のセキュリティ文書に関連する文書は、4つのトレーサブルID(「16」、「13」、「8」、「1」)に対応する文書IDの文書である。
図20は、図6に示す画面でポリシー情報の変更条件として「(3)制限付き関連文書(紙文書を含み、自分が生成・編集した文書のみ)」を選択した場合に、関連文書を検索する例を示す階層構造図である。
一例として、「15」で表される操作履歴のセキュリティ文書のポリシー情報をユーザAが変更する場合に、そのセキュリティ文書に関連する関連文書の文書IDを検索する例を示す。この場合、関連文書の検索処理は図15に示すような流れによって行われる。
まず、指定したセキュリティ文書の操作履歴が示すトレーサブルIDとして「15」を取得し、次に、そのトレーサブルID「15」を元に、祖先にあたる全てのトレーサブルIDを取得する。この処理によって、4つのトレーサブルID(「10」、「6」、「3」、「1」)が取得できる。
続いて、取得したこれらのトレーサブルID(「10」、「6」、「3」、「1」)のうち、ルート履歴を示すトレーサブルIDとして「1」を取得する。ルート履歴のトレーサブルID「1」を取得すると、このトレーサブルID「1」の操作履歴からみて子孫の関係にあるすべての操作履歴のトレーサブルIDを取得する。
これにより、18個のトレーサブルID(「1」、「2」、「3」、「4」、「5」、「6」、「7」、「8」、「9」、「10」、「11」、「12」、「13」、「14」、「15」、「16」、「17」、「18」)を取得する。
ここで、取得した18個のトレーサブルIDに対して次の2つの処理がそれぞれ行われる。
まず、1つ目の処理として、ポリシー情報の変更を指示するユーザAによって登録、編集などの文書の内容を変更する操作を行った操作履歴のトレーサブルIDを取得する。この処理によって、8個のトレーサブルID(「1」、「2」、「7」、「8」、「9」、「13」、「15」、「16」)が取得される。
次に、2つ目の処理として、18個のトレーサブルIDに対して印刷、複写(コピー)の操作を示すトレーサブルIDを取得する。そして、取得したトレーサブルIDの祖先を辿り、登録、編集、スキャンの操作を行った直近のトレーサブルIDを検索してポリシー情報の変更を要求したユーザAが操作した操作履歴のトレーサブルIDを取得する。
この2つ目の処理では、先の処理で2つのトレーサブルID(「11」、「15」)を取得し、後の処理でその2つのトレーサブルIDの祖先を辿り、直近の登録、編集、スキャンの操作がユーザAにより行われているトレーサブルID「11」を取得する。このトレーサブルID「11」によって示される操作履歴は、先の処理で取得したトレーサブルID「11」を辿ることにより直近の操作履歴で登録、編集、スキャンのいずれかの操作をユーザAによって行っていることを示している。
このような2つの処理が行われると、それぞれの処理で取得したトレーサブルIDの論理和となるトレーサブルIDを取得する。これにより9個のトレーサブルID(「1」、「2」、「7」、「8」、「9」、「11」、「13」、「15」、「16」)が取得される。
これにより、トレーサブルID「15」のセキュリティ文書に関連する文書は、9個のトレーサブルID(「1」、「2」、「7」、「8」、「9」、「11」、「13」、「15」、「16」)により示される文書である。
本発明は、上記し、且つ図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
なお、本発明は、通信機能を備えた操作制限情報管理システムで上述の動作を実行させ、あるいは上述の手段を構成させるためのプログラムを格納した記録媒体(CD−ROM、DVD−ROM等)から該プログラムをコンピュータにインストールし、これを実行させることにより、上述の処理を実行する操作制限情報管理システムを構成することも可能である。操作制限情報管理システムを構成するコンピュータは、システムバスを介してCPU(Central Processor Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスクが接続されている。CPUは、ROMまたはハードディスクに記憶されているプログラムに従い、RAMを作業領域にして処理を行う。
また、プログラムを供給するための媒体は、通信媒体(通信回線、通信システムのように一時的または流動的にプログラムを保持する媒体)でもよい。例えば、通信ネットワークの電子掲示板(BBS:Bulletin Board Service)に該プログラムを掲示し、これを通信回線を介して配信するようにしてもよい。