WO2023144932A1

WO2023144932A1 - 情報処理方法、プログラム及び記憶媒体

Info

Publication number: WO2023144932A1
Application number: PCT/JP2022/002902
Authority: WO
Inventors: 尚之大江; 貴浩志摩
Original assignee: ハミングヘッズ株式会社
Priority date: 2022-01-26
Filing date: 2022-01-26
Publication date: 2023-08-03

Abstract

本開示に係る情報処理方法は、利用者が用いる通信装置からの、ネットワークリソース上のコンピュータリソースに対するアクセスを制御する情報処理方法であって、複数種類の業務ごとに許可されるアクセス権限をそれぞれの業務ごとのポリシーとして定義した複数のポリシーから、通信装置の状態に適したポリシーを選択する選択工程と、ネットワークリソースにおいて、通信装置に対して選択されたポリシーの情報を取得する取得工程と、通信装置からネットワークリソース上のコンピュータリソースに対するアクセス要求を受信した場合に、ネットワークリソース上のコンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第１捕捉工程と、第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、取得工程で取得されたポリシーの情報に基づいて判定する第１判定工程と、第１判定工程の判定の結果、アクセス権限があれば当該操作要求の通りにオペレーティングシステムに渡し、その結果を要求元に返す処理工程と、第１判定工程の判定の結果、アクセス権限がなければ当該操作要求によって指定されるコンピュータリソースに対するアクセスを拒否する拒否工程と、を有する。

Description

情報処理方法、プログラム及び記憶媒体

　本発明は、ネットワークリソースに対するアクセスを制御する情報処理方法、プログラム及び記憶媒体に関するものである。

　従来、会社等の業務において、一人に１台のパーソナルコンピュータ（ＰＣ）が支給されることが一般的になっている。ＰＣを使用する際のセキュリティの観点から、既存のＯＳ（Operating System）やプロセスを用いながら、コンピュータリソースへのアクセス権限の無いユーザによるリソースの操作を制限する技術が知られている（特許文献１）。

　ところで、会社等における業務内容の多様化に伴い、会社等の業務においてＰＣを使用する場合に、セキュリティの観点から、業務内容に応じて複数のＰＣを使い分けることが増えてきている。例えば、社内の機密性の高い情報を扱う業務、インターネットを利用する業務或いはテレワーク時の業務に、同一のＰＣを使用する場合、社内情報が外部に漏洩するリスクやサイバー攻撃を受けるリスクなどが懸念される。このため、業務内容に即してアクセス可能なストレージ領域や利用可能なネットワークなどの運用環境を個別に用意した、別々のＰＣで業務を行う場合がある。実際には、物理的に複数のＰＣを使用したり、１台のＰＣでＶＤＩ（Virtual Desktop Infrastructure）や仮想ＰＣを利用したりといった方法を用いることで、業務ごとに別々の運用環境を実現することができる。

特開２０１１－１７５６４９号公報

　他方、業務内容ごとに分離された物理ＰＣと仮想ＰＣとを用意することは、管理すべき資産（ＰＣそのものや、ＯＳをはじめとするソフトウェア）や、複数のＰＣを使用する煩雑さ、様々なコスト等の増加が伴う。更に、物理的に存在するネットワークリソースまで利用者や業務内容によって使い分けるために、従来の仮想化技術を利用してアクセスする端末を物理的に分けることも考えられるが、十分な分離を行おうとすると多くの仮想マシンを用意する必要がある。また、例えばファイルサーバを分離する場合には、業務に応じた複数のユーザアカウントを用意してログイン段階で使い分けるという方法もあり得るが、ユーザ管理が煩雑化する。いずれにしても、利便性が損なわれ全体としてコストが増大し得る。

　本発明は、上記課題に鑑みてなされ、その目的は、作業者が利用できるネットワークリソースに対して、作業者の利用状況に即した拡張されたアクセス制御を実現することにある。

　本発明によれば、
　利用者が用いる通信装置からの、ネットワークリソース上のコンピュータリソースに対するアクセスを制御する情報処理方法であって、
　複数種類の業務ごとに許可されるアクセス権限をそれぞれの業務ごとのポリシーとして定義した複数のポリシーから、前記通信装置の状態に適したポリシーを選択する選択工程と、
　前記ネットワークリソースにおいて、
　　前記通信装置に対して選択されたポリシーの情報を取得する取得工程と、
　　前記通信装置から前記ネットワークリソース上のコンピュータリソースに対するアクセス要求を受信した場合に、前記ネットワークリソース上の前記コンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第１捕捉工程と、
　　前記第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、前記取得工程で取得されたポリシーの情報に基づいて判定する第１判定工程と、
　　前記第１判定工程の判定の結果、アクセス権限があれば当該操作要求の通りにオペレーティングシステムに渡し、その結果を要求元に返す処理工程と、
　　前記第１判定工程の判定の結果、アクセス権限がなければ当該操作要求によって指定されるコンピュータリソースに対するアクセスを拒否する拒否工程と、を有することを特徴とする情報処理方法が提供される。

　本発明によれば、端末やネットワーク上の機器の既存のＯＳやプロセスを利用しつつ、作業者が利用できるネットワークリソースに対して、作業者の利用状況に即した拡張されたアクセス制御を実現することができる。
　本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。

　添付図面は明細書に含まれ、その一部を構成し、本発明の実施の形態を示し、その記述と共に本発明の原理を説明するために用いられる。
本発明の一実施形態におけるアクセス制御システムの構成例を示す図である。本発明の一実施形態におけるＰＣの機能構成例を示す図である。本発明の一実施形態におけるサーバの機能構成例を示す図である。ある実施形態のＡＰＩ捕捉技術を説明するための、リソース管理プログラムの機能構成及びＯＳとアプリケーションとの関係を示す図である。ある実施形態のＡＰＩ捕捉技術を説明するための、アクセス権限管理テーブルのデータ構成例を示す図である。ある実施形態のＡＰＩ捕捉技術を説明するための、ＡＰＩの監視／制御の第１の基本型を示すシーケンス図である。ある実施形態のＡＰＩ捕捉技術を説明するための、ＡＰＩの監視／制御の第２の基本型を示すシーケンス図である。ある実施形態の分離ポリシーの例を示す図（１）である。ある実施形態の分離ポリシーの例を示す図（２）である。本発明の一実施形態における端末ＰＣが分離ポリシーを選択する動作を示す図である。本発明の一実施形態におけるサーバが分離ポリシーを選択する動作を示す図である。本発明の一実施形態におけるネットワークリソースを分離する分離ポリシーの例を説明する図（１）である。本発明の一実施形態におけるネットワークリソースを分離する分離ポリシーの例を説明する図（２－１）である。本発明の一実施形態におけるネットワークリソースを分離する分離ポリシーの例を説明する図（２－２）である。本発明の一実施形態においてＰＣとファイルサーバに分離ポリシーを適用する動作例を説明する図である。本発明の一実施形態におけるファイルサーバがアクセス制御処理を実行する動作を示す図である。

　以下、添付図面を参照して実施形態を詳しく説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態で説明されている特徴の組み合わせの全てが発明に必須のものとは限らない。実施形態で説明されている複数の特徴のうち二つ以上の特徴は任意に組み合わされてもよい。また、同一若しくは同様の構成には同一の参照番号を付し、重複した説明は省略する。

　＜アクセス制御システムの構成＞
　図１Ａを参照して、本実施形態に係るアクセス制御システム１０の構成について説明する。アクセス制御システム１０は、サーバ１００とパーソナルコンピュータ（ＰＣ）１０２とを含む。アクセス制御システム１０は、プロキシー１０４を更に含んでもよい。サーバ１００とＰＣ１０２とはネットワーク１０６を介して通信可能である。ＰＣ１０２の通信は、必要に応じてプロキシー１０４を介して、例えばインターネットに接続されてもよい。ＰＣ１０２は、通信装置の一例である。しかし、通信装置は、他の端末、例えばタブレット端末やスマートフォンなどであってもよい。ＰＣ１０２は、利用者１０１に対して、内部リソース及びネットワークリソースへの適切なアクセスを提供する。制御するサーバ１００は、情報処理装置の一例であり、例えば、社内のファイルデータを格納するためのファイルサーバが動作している。プロキシー１０４は通信装置の一例であり、例えば、ＰＣ１０２がインターネットにアクセスする際のアクセスを制御するプロキシーサーバとして動作する。

　＜ＰＣの機能構成例＞
　図１Ｂを参照して、ＰＣ１０２の機能構成例について説明する。図１Ｂに示す構成は、本実施形態の通信装置の一例としてのパーソナルコンピュータを構成する機能ブロックを示している。なお、説明する機能ブロックの各々は、統合されまたは分離されてもよく、また説明する機能が別のブロックで実現されてもよい。また、ハードウェアとして説明するものがソフトウェアで実現されてもよく、その逆であってもよい。

　通信部１２０１は、例えば通信用回路等を含み、例えば無線ＬＡＮ等の無線通信を介してサーバ１００やインターネットにアクセスし、必要なデータの送受信を行う。制御部１２０２は、ＣＰＵ１２１０及びＲＡＭ１２１１を含み、例えば記録部１２０７に記録されたコンピュータプログラムをＲＡＭ１２１１に展開し、ＣＰＵ１２１０が実行することにより、ＰＣ１０２内の各部の動作を制御する。また、制御部１２０２は、例えば、操作部１２０３等を介して入力される、ＰＣ１０２の内部リソース及びＰＣの外部のネットワークリソースに対するアクセスを制御する。

　操作部１２０３は、ＰＣ１０２の備えるキーボード、マウス、タッチパネルなどの入力装置を含んでよく、表示部１２０６に表示される各種操作用のＧＵＩに対する操作を受け付ける。外部ＩＦ２０４は、プリンタなどの所定のデバイスとＰＣ１０２との間のインタフェースである。撮像デバイス２０５は、例えば、撮像素子を含むカメラデバイスであり、制御部１２０２からの指示に応じて、撮影を行う。表示部１２０６は、例えばＬＣＤやＯＬＥＤ等の表示デバイスを含み、例えば、操作用のＧＵＩやユーザが成功裏にアクセスしたデータを表示する。

　記録部１２０７は、例えば半導体メモリ等の不揮発性メモリ（不揮発性の記憶媒体）を含み、制御部１２０２が実行するコンピュータプログラムや設定値を保持する。また、会社等の業務のために作成したファイルなどのデータが格納される。記録部１２０７に格納されるコンピュータプログラムは、ＰＣ１０２の諸機能を実現するためのオペレーティングシステム、種々のアプリケーション、及び以下で説明するアクセス制御プログラムなどの各種処理を実行するプログラム等を含む。

　＜サーバの構成＞
　次に、サーバ１００の機能構成例について、図１Ｃを参照して説明する。なお、説明する機能ブロックの各々は、統合されまたは分離されてもよく、また説明する機能が別のブロックで実現されてもよい。また、ハードウェアとして説明するものがソフトウェアで実現されてもよく、その逆であってもよい。

　通信部１３０１は、ネットワークを介してＰＣ１０２と通信する通信回路を含む。制御部１３０２によって処理された情報をＰＣ１０２に送信したり、制御部１３０２によって処理される情報をＰＣ１０２から受信したりする。

　制御部１３０２は、ＣＰＵ１３１０とＲＡＭ１３１１とを含む。ＣＰＵ１３１０は中央演算装置である。制御部１３０２は、ＣＰＵ１３１０により、記録部１３０４に記憶されたコンピュータプログラムをＲＡＭ１３１１に展開、実行することにより、サーバ１００の各機能を実現する。ＲＡＭ１３１１は、例えばＤＲＡＭ等の揮発性の記憶媒体を含み、制御部１３０２がコンピュータプログラムを実行するためのパラメータや処理結果等を一時的に記憶する。

　記録部１３０４は、例えばハードディスクや半導体メモリ等の不揮発性の記憶媒体を含み、サーバ１００の動作に必要な設定値やコンピュータプログラムを記憶する。また、記録部１３０４は、ＰＣ１０２からアップロードされる、業務に関する様々なファイルのデータをデータベース１３３０に格納する。記録部１３０４に格納されるコンピュータプログラムは、サーバ１００の諸機能を実現するためのオペレーティングシステム、種々のアプリケーション、及び以下で説明するアクセス制御プログラムなどの各種処理を実行するプログラム等を含む
　操作部１３０３は、サーバ１００を直接または遠隔で操作可能な操作機構であり、マウスやキーボードのほか、通信を介して外部装置から操作指示を受ける構成を含む。例えば、サーバ１００の管理者が操作部１３０３を用いて、必要な設定を行ったり必要な情報を入力するなどのいくつかの操作を行う。

　本実施形態に係るネットワークリソースの分離について説明する前に、本実施形態を実現するための２つの技術、すなわち、ＡＰＩ捕捉技術と、分離ポリシーの適用技術について説明する。

　＜ＡＰＩ捕捉技術＞
　まず、ＡＰＩ捕捉技術について説明する。本実施形態では、ＡＰＩ捕捉技術は、利用者の扱う端末（例えばＰＣ）のほか、例えばネットワーク上のファイルサーバやネットワーク機器（ネットワークリソース）に適用される。ＡＰＩ捕捉技術をより一般的に説明するため、一般的な電子機器（例えばＰＣ）にＡＰＩ捕捉技術が適用される場合を例に説明する。なお、当業者であれば、以下で説明するＡＰＩ捕捉技術が、ファイルサーバやネットワーク機器の各ＯＳやアプリケーションとの間に実質的に同様に適用できることは明らかである。

　一般的に、アプリケーションがＯＳの管理するリソースにアクセスするには、ＯＳが提供するＡＰＩ（ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍＩｎｔｅｒｆａｃｅ）を利用する。このＡＰＩの利用方法はＯＳにより確定しており、ＡＰＩを利用する実行コード部を判別することができる。本発明では、リソースへのアクセスに必要なすべてのＡＰＩを監視する監視ルーチンを設け、アプリケーションがＡＰＩを利用する前に、その実行コード部を変更するか、ＡＰＩ処理の入り口を監視ルーチンと置き換えることで、ＡＰＩ利用時に監視ルーチンが利用されるようにする。監視ルーチンは、アプリケーションが求めるＡＰＩを処理するか、もしくはＡＰＩの処理をせずに不正命令としてアプリケーションに結果を返す。本発明のリソース管理プログラムによって拡張したアクセス権限の管理は、ＯＳの管理とは別に本プログラムが管理し、アクセス権限の種類別に監視ルーチンを設ける。この方法により、リソースを不正に利用するアプリケーションから、そのアクセスを制限する。

　より具体的には、アプリケーションとオペレーティングシステムとの間に介在するリソース管理プログラムは、コンピュータリソースにアクセスするために指定されたアプリケーションからの操作要求をコンピュータリソースにアクセスする前に、アプリケーションが発行する操作要求のうち、指定されたコンピュータリソースに対する操作要求を監視して捕捉する。そして、捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限の可否を、後述するコンピュータのアクセス権限をまとめた分離ポリシーに基づいて判断し、アクセスを制限する。

　図２は、本発明に係るリソース管理プログラム２０３の構成及びＡＰＩ監視／制御の概念を示す図であり、リソース管理プログラム２０３はＡＰＩ監視コントローラ（ＡＰＩ監視ＣＴＲＬ）２０３１、ＡＰＬ（アプリケーション）監視コントローラ（ＡＰＬ監視ＣＴＲＬ）２０３２、アクセス制御コントローラ（アクセス制御ＣＴＲＬ）２０３３、ＯＳ監視コントローラ（ＯＳ監視ＣＴＲＬ）２０３４から構成されている。

　このリソース管理プログラム２０３は、リソースアクセス要求を出すアプリケーション２０２１や画面キャプチャーなどのＯＳ機能操作２０２２を備える一般的なアプリケーションからなるユーザ環境２０２と汎用ＯＳ２０１との間に位置し、汎用ＯＳ２０１およびユーザ環境２０２が提供するリソースに対する要求を監視するようになっている。

　なお、汎用ＯＳ２０１は、ＯＳが管理するリソース２０１１と、ＯＳがアプリケーション２０２１に提供しているＡＰＩ群２０１２を備える。

　本発明に係るリソース管理プログラム２０３におけるＡＰＩ監視ＣＴＲＬ２０３１は、アクセス制御を行なうのに必要な全てのＡＰＩを監視するモジュールである。また、ＡＰＬ監視ＣＴＲＬ２０３２は、アプリケーション２０２１が保持しているリソースを記憶するモジュールである。アクセス制御ＣＴＲＬ２０３３はリソース２０１１のアクセスが許可されているかを判断するモジュールであり、アクセス権限管理テーブル２０３５を備える。また、ＯＳ監視ＣＴＲＬ２０３４は、汎用ＯＳ２０１の機能によってリソースへアクセスする操作を監視するモジュールである。

　アクセス権限管理テーブル２０３５は、図３に示すように、リソース指定情報２０３５１、条件２０３５２、ｎ個のアクセス権限情報２０３５３～２０３５ｎをリソース毎に登録可能に構成されている。

　リソース指定情報２０３５１は、汎用ＯＳ２０１が管理しているリソース２０１１のうち、特定のものを指定するための情報であり、例えば、ファイルの場合はファイル名やファイルＩＤなどの情報が登録される。アプリケーションであれば、例えばプログラム名が登録される。通信データの場合は、ホスト名、ポート番号、ＩＰアドレスの他にＢｌｕｅＴｏｏｔｈの識別子やＷｉ－ＦｉのＡＰ（アクセスポイント）アドレスなどが登録され、メモリの場合は、そのオブジェクトを示すオブジェクト名、アドレスなどが登録される。また、外部装置の場合は、そのデバイスドライバを示すデバイス名やデバイスＩＤと呼ばれる一意の識別子などが登録される。

　条件２０３５２は、アクセス権限が有効となる条件またはその組み合わせを示すものであり、例えばユーザ名／ＩＤ、グループ名／ＩＤ、時刻などが登録される。

　アクセス権限情報２０３５３～２０３５ｎは、既存環境で定義されていない拡張したアクセス権限のうち、指定したリソースに付加した権限を示すものであり、例えば他媒体への移動権限、他媒体へのコピー権限、印刷権限、共有メモリへの読み込み権限（Ｗｉｎｄｏｗｓではクリップボードなど）、画面キャプチャー権限、使用アプリケーションの限定（特定アプリケーション以外での使用禁止やメール添付の禁止）などが登録される。また、読み取りと書き込みが存在するリソースにはそれぞれの権限が登録でき、例えば、特定ＵＳＢメモリに対して書き込みはできないが読み込みは許可するということができる。また、書き込みが許可の場合でも暗号化による書き込みを指定することもでき、そのときの暗号鍵は分離ポリシー（分離ポリシーについては、後に詳しく説明する）に定義される。したがって、同じ暗号鍵を持つ分離ポリシーのみが当該情報を読み込むことができ、これにより、分離ポリシー単位で実質的に参照可能な情報を分離することが可能となる。ファイルやＵＳＢデバイス、クリップボードなど書き込み権限を持つリソースで可能な指定である。通信リソースにおいては、読み込み（受信）、書き込み（送信）の他に接続（CONNECT）や受付（ACCEPT）の情報も持つ。

　なお、一般的に、リソースへのアクセスは複数のＡＰＩによって行われることがあり、その場合のリソース指定情報はＯＳが管理するＩＤ（ハンドルなど）に変換されることがある。その場合、リソース管理プログラム２０３の内部においては、リソース指定情報とそのＩＤは同一視するようにしている。

　このような構成に係るリソース管理プログラム２０３の処理について、図２の（１）～（９）（図中の数字１～９に対応）で示す情報伝達手順に従って説明する。

　（１）アプリケーション２０２１が発行したＡＰＩによってリソースへのアクセス要求があれば、ＡＰＩ監視ＣＴＲＬ２０３１がその要求を捕捉し、アクセス制御ＣＴＲＬ２０３３に伝える。

　（２）アクセス制御ＣＴＲＬ２０３３は、アクセス権限チェックを行なう際、必要に応じて、アプリケーション２０２１が保持しているリソースの情報をＡＰＬ監視ＣＴＲＬ２０３２から取得する。

　（３）アクセスを拒否する条件として２通りあるが、第１の条件Ａ（アクセス拒否Ａ）では、上記（１）のアクセス要求に対して、アクセス権限管理テーブル２０３５を参照してそのリソースへのアクセス権限チェックを行なう。チェックの結果、権限がない場合、アプリケーション２０２１が発行したＡＰＩの処理を行なわずに、結果としてアクセス違反のエラーを返す。

　（４）第２の条件Ｂ（アクセス拒否Ｂ）では、（１）のアクセス要求に対して、アクセス権限管理テーブル２０３５を参照してそのリソースへのアクセス権限チェックを行なう。チェックの結果、権限がなく、かつ、アプリケーション２０２１が発行したＡＰＩ{処理}の結果としてエラーを返すことができない場合、アプリケーション２０２１が要求したリソースへの処理を行なわずに、リソース管理プログラム２０３が予め用意したダミーのリソースへのアクセス要求に代えて、ＡＰＩの処理を行なう。

　その結果、アプリケーション２０２１は要求に成功したように動作するが、実際には要求したリソースにアクセスできない。

　（５）アクセス要求（１）に対してアクセス権限チェックを行った結果、権限がある場合、ＡＰＩ監視ＣＴＲＬ２０３１がそのアクセス要求を捕捉し、アプリケーション２０２１が発行したＡＰＩの処理をそのまま汎用ＯＳ２０１に伝え、その結果をアプリケーション２０２１に返す。

　（６）上記（５）の処理によって、ＡＰＩが成功し、かつ、そのＡＰＩによってアプリケーション２０２１がリソースを保持する場合は、ＡＰＬ監視ＣＴＲＬ２０３２に伝える。ＡＰＬ監視ＣＴＲＬ２０３２はアプリケーション２０２１と保持しているリソースの対応を登録する。

　アプリケーション２０２１がリソースの解放要求ＡＰＩを発行し、かつそのＡＰＩが成功した場合も、ＡＰＬ監視ＣＴＲＬ２０３２に伝える。ＡＰＬ監視ＣＴＲＬ２０３２はアプリケーション２０２１と保持していたリソースの対応を抹消する。

　（７）ＯＳ標準機能の操作によって、リソースへのアクセス要求があれば、ＯＳ監視ＣＴＲＬ２０３４がそのアクセス要求を捕捉し、アクセス制御ＣＴＲＬ２０３３に伝える。

　（８）アクセス要求（７）に対して、アクセス権限管理テーブル２０３５を参照してそのリソースへのアクセス権限チェックを行なう。チェックの結果、権限がない場合、（７）の操作を無視する。

　（９）アクセス要求（７）に対して、アクセス権限管理テーブル２０３５を参照してそのリソースへのアクセス権限チェックを行なう。チェックの結果、権限がある場合、（７）の操作を汎用ＯＳ２０１に伝える。

　図４は、目的とするリソースに対するアクセス権限がある場合に、そのリソースを解放するまでのアプリケーション２０２１、リソース管理プログラム２０３、汎用ＯＳ２０１のやり取りを示したＡＰＩの監視及び制御の第１の基本型（１）のシーケンス図である。

　この第１の基本型（１）では、アプリケーション２０２１が発行したＡＰＩによって目的のリソースへのアクセス要求があった場合（ステップ４０１）、リソース管理プログラム２０３はアプリケーション２０２１がそのリソースへのアクセス権限があるかをチェックする（ステップ４０２）。チェックの結果、アクセス権限がある場合（ステップ４０３）、汎用ＯＳ２０１にアプリケーション２０２１が発行したＡＰＩをそのまま伝える。汎用ＯＳ２０１は、ＯＳ本来のＡＰＩ処理を行なう（ステップ４０４）。

　リソース管理プログラム２０３は、ＡＰＩ処理が成功した場合、アプリケーション２０２１がそのリソースを保持しているという情報を登録する（ステップ４０５）。そして、汎用ＯＳ２０１からのＡＰＩ結果をそのままアプリケーション２０２１に返す（ステップ４０６）。これにより、リソースへのアクセス完了となる（ステップ４０７）。

　この後、アプリケーション２０２１から保持しているリソースの解放要求が発行された場合（ステップ４０８）、リソース管理プログラム２０３はその解放要求を汎用ＯＳ２０１に伝える。汎用ＯＳ２０１は、ＯＳ本来のＡＰＩ処理を行なう（ステップ４０９）。リソース管理プログラム２０３は、ＡＰＩ処理が成功した場合、アプリケーション２０２１がそのリソースを保持しているという情報を解除する（ステップ４１０）。そして、汎用ＯＳ２０１からのＡＰＩ結果をそのままアプリケーション２０２１へ返す（ステップ４１１）。これにより、保持しているリソースの解放完了となる（ステップ４１２）。

　図５は、目的とするリソースに対するアクセス権限がなかった場合に、そのアクセスが拒否されるまでのアプリケーション２０２１、リソース管理プログラム２０３、汎用ＯＳ２０１のやり取りを示したＡＰＩの監視及び制御の第２の基本型（２）のシーケンス図である。

　この第２の基本型（２）では、アプリケーション２０２１が発行したＡＰＩによって目的のリソースへのアクセス要求があった場合（ステップ５０１）、リソース管理プログラム２０３はアプリケーション２０２１がそのリソースへのアクセス権限があるかをチェックする（ステップ５０２）。チェックの結果、アクセス権限がなかった場合（ステップ５０３）、アクセス違反エラーをアプリケーション２０２１に返す（ステップ５０４）。これにより、リソースへのアクセス処理終了となる（ステップ５０５）。

　また、アクセス違反エラーに対応していないアプリケーション２０２１が発行したＡＰＩによって目的のリソースへのアクセス要求があった場合（ステップ５０６）、リソース管理プログラム２０３はアプリケーション２０２１がそのリソースへのアクセス権限があるかをチェックする（ステップ５０７）。チェックの結果、アクセス権限がなく、かつ、アプリケーション２０２１がアクセス違反エラーに対応していない場合（ステップ５０８）、リソース管理プログラム２０３が予め用意したダミーのリソースへのアクセス要求に置き換え、汎用ＯＳ２０１に渡す（ステップ５０９）。

　汎用ＯＳ２０１は、ＯＳ本来のＡＰＩ処理を行なう（ステップ５１０）。リソース管理プログラム２０３は、汎用ＯＳ２０１からのＡＰＩ処理結果をそのままアプリケーション２０２１へ返す（ステップ５１１）。この結果、目的のリソースへのアクセス処理終了となるが、ダミーリソースのため、実質的には何も行われない（ステップ５１２）。

　なお、上記の説明では、アクセス権限がなかった場合、アクセス違反エラーをアプリケーション２０２１に返す場合と、予め用意したダミーのリソースへのアクセス要求に置き換える場合について説明したが、アクセスが許可された別のリソースにアクセスするように置き換えてもよい。ダミーあるいは別のリソースに置き換えることは、アクセス権限管理テーブル２０３５にて指定される。

　＜分離ポリシーの適用技術の概要＞
　以下、分離ポリシーの適用技術について説明する。分離ポリシーの適用技術をより一般的に説明するため、一般的な電子機器（例えばＰＣ）に分離ポリシーの適用技術が適用される場合を例に説明する。別途後述するように、分離ポリシーの適用技術は、例えばネットワーク上のファイルサーバ（或いは他のネットワーク機器）においても適用される。

　以下の分離ポリシーの適用についての説明では、分離ポリシーに基づいてリソース管理プログラム２０３がリソースへのアクセス要求を管理する例を示す。分離ポリシーは、複数種類の業務について、それぞれの業務ごとに必要とされるアクセス権をそれぞれの業務ごとのポリシー（以下、分離ポリシーと呼ぶ）としてまとめて定義した情報である。

　分離ポリシーには、対応する業務において実行可能あるいは実行不可能なアプリケーション、読み込み・書き込みが可能なあるいは不可能な領域（特定のローカルディスクやネットワークディスクなど）、許可された通信先（メールやインターネットなど）、対象となる利用者、ＰＣ、時間帯、利用場所などの情報が含まれる。

　これら複数の定義された分離ポリシーは、ＰＣの利用時に、利用者によって切り替えられ、あるいは自動的に切り替えられ、ＰＣの動作時には、常にいずれかの分離ポリシーがリソース管理プログラム２０３に適用されることとなる。

　ＰＣで動作するＯＳやソフトウェアに対しては、リソース管理プログラム２０３が、適用されている分離ポリシーに定義された範囲でのみ、リソースへのアクセス要求を許可するように制御する。言い換えると、ＯＳやソフトウェアが実行する処理を、リソース管理プログラム２０３により、ＡＰＩレベルで捕捉し、分離ポリシーに反する処理は禁止し、分離ポリシーを満たす処理のみを実行させることで、分離ポリシーを満たす制御を行う。あるいは、分離ポリシーに反する処理は禁止するとともに、その分離ポリシーを満たす別の処理に切り替えるようにする。

　さらに、リソース管理プログラム２０３による「ＡＰＩの捕捉」では、アプリケーションレベルだけでなく、ドライバーやサービスと呼ばれるシステムレベルでも必要な捕捉を行うことで、ＰＣが物理的に分離している環境と同等の分離を実現する。

　例えば、インターネットにアクセスさせないためには、通信経路の途中で拒否するなど様々な従来技術でも実現可能であるが、物理的な分離ではそもそもＰＣをそのようなネットワークに接続しないことで実現する。これに対し、本実施形態では、リソース管理プログラム２０３により、ＰＣの内側にあるＡＰＩレベルでネットワークとの通信を実現する通信リソース（例えば、ネットワークカードなど）へのアクセスと拒否を判断するため、拒否される場合には、繋いだネットワークに通信が流れることはない。これは、通信機器自体がサイバー攻撃の対象になるなど昨今の懸念に対し、物理的分離と同等の効果がある。

　次に、本実施形態における分離ポリシーで許可、禁止を規定する項目の例について説明する。

　まず、分離ポリシーの制御情報として、以下のものが挙げられる。これらは、例えば、図３のリソース指定情報に対応させることができる。
（１）実行可否プログラム
　それぞれのプログラムの実行許可もしくは禁止の指定を、プログラム名、プログラムパス、プログラムファイルのハッシュで登録する。
（２）読み出しアクセス（接続）の可否領域
　各種情報の読み出しの許可もしくは禁止を指定する領域を、ファイルパス、ＵＲＬ、IＰアドレス、ホスト名、ＵＳＢデバイスＩＤ、メールアドレス、無線ＬＡＮのＡＰで登録する。
（３）書き込み可否領域
　書き込み許可もしくは禁止を指定する領域を、ファイルパス、ＵＲＬ（ＰＯＳＴ・ＰＵＴ命令）、ＵＳＢデバイスＩＤ、メールアドレス（ＳＭＴＰ）、クリップボードのデータタイプで登録する。書き込み許可においては暗号化書き込みの指定をすることもできる。その際の暗号鍵は、分離ポリシーで定義される。すでに説明したが、暗号化書き込みの暗号鍵を分離ポリシーごとに定義することにより、同じ暗号鍵を持つ分離ポリシーのみが当該情報を読み込むことがき、これにより、分離ポリシー単位で実質的に参照可能な情報を分離することが可能となる。
（４）一時アクセス可能領域
　適用される分離ポリシーが変更されるタイミングで、ログオフする／しない、利用していたプログラムを終了する／しない、削除する領域（パス指定）、変更後の分離ポリシーで利用していたプログラムを再開する／しない、を指定する。

　また、分離ポリシーの適用対象情報として、以下のものが挙げられる。これらは、制御可能な条件又は図３のアクセス権限に対応させることができる。
（１）適用端末（ＰＣ)情報
　マシン名、ＩＰアドレス、ＭＡＣアドレスを登録する。
（２）適用ユーザ情報
　ユーザ名、グループ名を登録する。
（３）適用位置情報
　ＯＳから取得する位置情報、接続ＡＰ、接続ドメイン名、特定の社内ＰＣを登録する。
（４）適用時間情報（時刻情報）
　適用される時刻、期間、曜日を登録する。

　また、別の分離ポリシーに切り替わるときの情報のクリア処理は、以下のように行われる。
（１）クリップボードを「クリアする／特定タイプに限定する／そのまま残す」を指定する。
（２）一時アクセス可能領域を「クリアする／同一ポリシーが適用されるまでアクセス不可にする／そのまま残す」を指定する。

　そして、上記の制御情報、適用対象情報、クリア情報をセットとして一つの分離ポリシーを定義する。なお、分離ポリシーは名前を定義して複数定義することができ、分離ポリシーの切り替えの仕組みにより切り替えて、リソース管理プログラム２０３に適用される。

　リソース管理プログラム２０３に分離ポリシーを適用する場合は、リソース管理プログラム２０３に供給された分離ポリシーを、図２に示したアクセス制御ＣＴＲＬ２０３３で解析し、アクセス権限管理テーブル２０３５に、図３に示したように、リソース指定情報、アクセス権限情報などに展開することにより適用される。なお、分離ポリシーを切り替える仕組みは、ユーザが選択して切り替えられるように構成されていてもよいし、ＰＣを使用する地点情報（例えば会社なのか自宅なのかなど）に基づいて自動的に切り替えられるように構成されていてもよい。

　ここで、図６Ａ、６Ｂは、分離ポリシーの具体的な例を示す図である。

　例えば、企業などで使用する分離ポリシーとしては、社内機密作業用の分離ポリシー、社内事務作業用の分離ポリシー、自宅でのリモート作業用の分離ポリシー、社外出張作業用の分離ポリシー、未登録の場所用の分離ポリシー、既定の分離ポリシーなどが考えられる。

　より具体的には、社内機密作業用の分離ポリシーでは、その分離ポリシーが適用されるＰＣを限定するとともに、使用する人物を例えば一部の管理職や開発担当者などに限定し、さらに使用できる場所なども厳しく限定する。そして、社内機密作業用の分離ポリシーが適用されたリソース管理プログラム２０３は、アプリケーション２０２１からのアクセス要求をほとんどすべてのリソースに対して許可する。例えば、使用可能なプログラムについては、スケジュール管理アプリ、開発用アプリ、文書作成アプリなど、基本的にすべてのプログラムをアクセス可能とする。また、読み出し可能領域、書き込み可能領域などについても、外部のＨＤＤ、自身のＨＤＤ、その他の記憶領域のほぼすべてを使用可能とする。このようにすることで、社内の機密情報などを一部の人物のみがアクセス可能となり、且つその情報を用いた各種作業なども自由に行うことができる。ただし、社内機密を扱う可能性がある性質上、ネットワークに対するアクセスは、社内ネットワークにはアクセス可能であるが、インターネットにはアクセス不可とする。

　また、社内事務作業用の分離ポリシーでは、社内機密作業用の分離ポリシーに比べて、端末を使用可能な人物を会社内で事務作業用に登録された人物に広げ、また、使用可能な位置情報なども、より広い範囲とする。このように、使用可能な人物や場所を広げることにより、セキュリティの程度が低くなるため、リソース管理プログラム２０３は、この分離ポリシーが適用された場合のアクセス可能なリソースを、社内機密作業用の分離ポリシーに比べて少なくする。例えば、使用可能なプログラムについては、開発用アプリなどは利用不可とし、スケジュール管理アプリ、文書作成アプリなど、基本的に事務作業に必要とされるプログラムのみにアクセス可能とする。また、読み出し可能領域、書き込み可能領域などについては、外部のＨＤＤにはアクセス不可とし、自身のＨＤＤのみにアクセス可能とする。また、ネットワークに対するアクセスは、インターネットを使用して調べ物をする場合などもあるため、社内ネットワーク、インターネットにアクセス可能とする。あるいは、業務によっては、社内ネットワークは許可するがインターネットへの通信は不可とするケースもある。

　また、自宅でのリモート作業用の分離ポリシーでは、適用される端末を、会社に登録されたモバイルＰＣとし、使用できる場所は、会社に登録された社員の自宅とする。リモート作業用の分離ポリシーを適用する場合は、端末が、自身のＧＰＳ情報と、登録された社員の自宅の住所を参照して、リソース管理プログラム２０３に適用する。自宅でのリモート作業では、会社でのセキュリティよりもその程度が低くなるため、使用できるプログラムもさらに制限される。例えば、開発用アプリ、事務作業用アプリなどは利用不可とし、文書作成アプリなど、基本的に自宅での仕事に必要とされるプログラムのみにアクセス可能とする。また、読み出し可能領域、書き込み可能領域などについては、外部のＨＤＤにはアクセス不可とし、自身のＨＤＤは読み出しのみ可能とし、社内に用意されたストレージのみを読み書き可能とする。また、インターネットや社内ストレージを社内ネットワークを経由して利用させるために、ネットワークは社内ネットワークに接続するためのＶＰＮ（Virtual Private Network）のみをアクセス可能とする。

　また、社外出張作業用の分離ポリシーでは、適用される端末を、会社に登録されたモバイルＰＣとし、使用できる場所は、会社に登録された外出先とする。社外出張作業用の分離ポリシーを適用する場合は、自身のＧＰＳ情報と、登録された外出先の住所を参照して、リソース管理プログラム２０３に適用する。また、使用できるプログラムも自宅作業よりも制限され、ブラウザやメールのみなどとする。さらに、読み出し可能領域は、持参したＵＳＢメモリの内容のみなどに限定する。また、ネットワークに対するアクセスは不可とする。

　また、社員あるいは他の人物が未登録の場所などの不明な場所で、会社に登録されている端末を使用しようとした場合は、セキュリティの状態が不明であるため、リソース管理プログラム２０３は、全てのリソースへのアクセスを禁止する。

　また、既定分離ポリシーとは、適用ポリシーが存在しない場合に採用される予め規定された分離ポリシーであり、一般的な事務作業用プログラム、文書作成アプリ、メールなどが使用可能な分離ポリシーである。既定分離ポリシーでは、会社での端末の使用が前提となり、会社での一般的な作業を可能とする。また、ネットワークに対するアクセスは、社内事務作業用の分離ポリシーと同様に、インターネットを使用して調べ物をする場合などもあるため、社内ネットワーク、インターネットにアクセス可能とする。

　次に、分離ポリシーの管理方法について説明する。
（１）分離ポリシーをファイルで持つ場合
　分離ポリシーのファイルには「分離ポリシーの例」の情報が、そのままあるいは暗号化されて格納されている。分離ポリシーのファイルは、利用する端末ＰＣに事前に記憶させておいてもよく、また、管理サーバに保存しておき、サーバへの接続時に最新ポリシーが端末ＰＣに転送されるようにしておいてもよい。分離ポリシーのファイルを管理サーバで管理する場合は、適用されているポリシーにかかわらず、分離ポリシーを管理サーバから受信できるように、管理サーバと端末ＰＣは通信可能に設定される。
（２）分離ポリシーが管理サーバからＰＣに動的に渡される場合
　端末ＰＣが実体としてポリシーファイルを持たずに、管理サーバから受け取った分離ポリシーを、端末ＰＣが自身のメモリに保存して利用する。端末ＰＣから、ポリシー選択に必要なデータ（ＰＣ名、ユーザ名、場所）を定期的に又は特定のイベントごとにサーバへ送信し、サーバがそれに応じた分離ポリシーを端末ＰＣに提供する。再起動後などのポリシーが存在しないタイミングにおいては、前述の「既定分離ポリシー」を利用する。
（３）既定分離ポリシーを利用する場合
　既定分離ポリシーとは、すでに説明したように、適用ポリシーが存在しない場合に採用される予め規定された分離ポリシーである。既定分離ポリシーは、端末にファイルとして保存されている場合と、システム内に規定値として実装される場合がある。通常は、例えば管理サーバと端末ＰＣの通信が可能、ローカルディスクが使用不可などの条件に制限された内容で定義される。

　次に、上記のような分離ポリシーを業務に応じて切り替える方法について説明する。

　まず、ＰＣの利用開始時に適用の候補となる分離ポリシーは、分離ポリシーに登録された適用対象情報がそのＰＣの利用状況に適合したものに限定される。さらに、適用対象情報のうち、適用端末情報、適用ユーザ情報、適用位置情報、適用時間情報等の情報種別に基づいて分離ポリシーに優先順位を定義することができ、この優先順位の最上位で適合したものが候補となる。

　例えば、情報種別の優先順位を適用端末情報が上位で、適用ユーザ情報が下位と定義していた場合において、端末ＡをユーザＢが利用する場合、端末Ａ用の分離ポリシーとユーザＢ用の分離ポリシーについて考えると、候補となるのは端末Ａ用の分離ポリシーとなる。

　また、同じ情報種別に属する分離ポリシーに対しても適用優先順位を定義することもでき、また同じ優先順位を定義することもできる。情報種別の優先順位で限定された後においてもまだ複数の候補があった場合は、分離ポリシーの優先順に従って選択される。

　このように分離ポリシーの候補を限定した結果、複数の分離ポリシーが候補となった場合は、その中から利用者が任意に選択することができる。選択しない場合は、ＰＣの内部で最初に適合した分離ポリシーが適用される。

　図７は、端末ＰＣが分離ポリシーを選択する場合の動作を示すフローチャートである。図７のフローチャートの動作は、端末ＰＣが起動された時に開始される。なお、端末ＰＣは、図１Ｂに示した端末ＰＣであってよく、本フローチャートの動作は、ＣＰＵ１２１０が記録部１２０７に格納されるプログラムを展開、実行することにより実現されてよい。

　ステップＳ７０１において、端末ＰＣのＣＰＵ１２１０は、自身のＰＣ名、ユーザ名、使用場所、時刻の情報を取得する。

　ステップＳ７０２では、端末ＰＣのＣＰＵ１２１０は、自身のハードディスクなどに保存されている分離ポリシーのファイルを取得する。

　ステップＳ７０３では、端末ＰＣのＣＰＵ１２１０は、ＰＣ名、ユーザ名、使用場所、時刻などの適用対象情報のうち、優先順位の最も高い適用対象情報に合致する分離ポリシーを選択する。

　ステップＳ７０４では、端末ＰＣのＣＰＵ１２１０は、ステップＳ７０３で選択された最も優先度の高い適用対象情報に対応するポリシーが複数あるか否かを判定し、複数ある場合はステップＳ７０５に進み、そうではない場合はステップ７０６に進む。

　ステップＳ７０５では、端末ＰＣのＣＰＵ１２１０は、複数の候補となる分離ポリシーのうち、予め設定された優先順位の最も高い分離ポリシーを選択する。

　ステップＳ７０６では、端末ＰＣのＣＰＵ１２１０は、分離ポリシーが１つであるか否かを判定する。分離ポリシーが１つである場合は、ステップＳ７０８に進み、分離ポリシーが１つもない場合は、ステップＳ７０７に進む。

　ステップＳ７０７では、端末ＰＣのＣＰＵ１２１０は、既定分離ポリシーを選択する。

　ステップＳ７０８では、ステップＳ７０５～Ｓ７０７のいずれかで選択された分離ポリシーをリソース管理プログラム２０３に適用する。

　なお、ステップＳ７０６では、複数の候補となる分離ポリシーのうち、予め設定された優先順位の最も高い分離ポリシーを選択するように説明したが、ユーザが選択するようにしてもよい。

　図８は、分離ポリシーを管理する管理サーバから端末ＰＣに分離ポリシーを供給する場合の、管理サーバが分離ポリシーを選択する動作を示すフローチャートである。図８のフローチャートの動作は、管理サーバが端末ＰＣから分離ポリシーの送信要求を受けた時に開始される。なお、管理サーバは、図１０に示す管理サーバであってよい。管理サーバのハードウェア構成は、図１Ｃに示したサーバが具備するハードウェア構成（すなわち通信回路、ＣＰＵ、ＲＡＭ、記録デバイスなど）と実質的同一であってよい。

　ステップＳ８０１において、管理サーバのＣＰＵは、端末ＰＣから、ＰＣ名、ユーザ名、使用場所、時刻の情報を取得する。

　ステップＳ８０２では、管理サーバのＣＰＵは、自身のハードディスクなどに保存されている分離ポリシーのファイルを取得する。

　ステップＳ８０３では、管理サーバのＣＰＵは、端末ＰＣから受け取ったＰＣ名、ユーザ名、使用場所、時刻などの適用対象情報のうち、優先順位の最も高い適用対象情報に合致する分離ポリシーを選択する。

　ステップＳ８０４では、管理サーバのＣＰＵは、ステップＳ８０３で選択された最も優先度の高い適用対象情報に対応するポリシーが複数あるか否かを判定し、複数ある場合はステップＳ８０５に進み、そうではない場合はステップ８０６に進む。

　ステップＳ８０５では、管理サーバのＣＰＵは、複数の候補となる分離ポリシーのうち、予め設定された優先順位の最も高い分離ポリシーを選択する。

　ステップＳ８０６では、管理サーバのＣＰＵは、分離ポリシーが１つであるか否かを判定する。分離ポリシーが１つである場合は、ステップＳ８０８に進み、分離ポリシーが１つもない場合は、ステップＳ８０７に進む。

　ステップＳ８０７では、管理サーバのＣＰＵは、既定分離ポリシーを選択する。

　ステップＳ８０８では、管理サーバのＣＰＵは、ステップＳ８０５～Ｓ８０７のいずれかで選択された分離ポリシーを端末ＰＣに送信する。

　なお、ステップＳ８０５では、複数の候補となる分離ポリシーのうち、予め設定された優先順位の最も高い分離ポリシーを選択するように説明したが、複数の分離ポリシーの候補を端末ＰＣにそのまま送信し、端末ＰＣ上で適用する分離ポリシーをユーザが選択するようにしてもよい。

　また、上記の説明では、どの分離ポリシーを選択するかは、端末の起動時に判定されるものとして説明した。しかし、ログオン時やユーザの切り替え時などのユーザ情報が変更された場合、登録した位置情報が確定・変更された場合、ＯＳから取得した日時が変更された場合などのタイミングにおいても上記の処理を行い、分離ポリシーが適宜更新される。そして、その都度、上記の選択方法によって選択・適用された分離ポリシーに従って、ＰＣの利用時のＯＳ及びすべてのプログラムの動作が制御される。

　＜ネットワークリソースの分離＞
　次に、本実施形態に係るネットワークリソースの分離について説明する。ネットワークリソースの分離では、ネットワークリソース（例えばファイルサーバ、ゲートウェイマシン、又はプロキシサーバ）においてもＡＰＩ捕捉と分離ポリシーを適用してアクセス対象を分離する。なお、ネットワークリソースにおけるアクセス制御は、本実施形態に係る分離ポリシーに従ったアクセス制御が可能な限り、上述のＡＰＩ捕捉を用いる代わりに、各ネットワークリソースに実装されている既存のアクセス制御技術を用いて実施されてもよい。

　ネットワークリソースの分離を可能にする分離ポリシーについて、図９Ａ、図９Ｂ－１及び図９Ｂ－２を参照して説明する。ネットワークリソースの分離を可能にする分離ポリシーは、図６Ａ及び図６Ｂを参照して説明した分離ポリシーを拡張したものである。分離ポリシーには、分離ポリシーごとに固有の分離ポリシー名（すなわち分離ポリシーを識別する情報）が付与される。また、ネットワークリソースを分離するための分離ポリシーは、図９Ｂ－１及び図９Ｂ－２を参照して後述するように、図６Ａ及び図６Ｂに示した分離ポリシーの制御情報と適用対象の情報に加えて、ネットワークリソース制御情報が更に追加される。

　ネットワークリソースを分離する分離ポリシーは、ネットワークリソース上において、上述の分離ポリシーと同様、リソース管理プログラム２０３に供給された分離ポリシーを、図２に示したアクセス制御ＣＴＲＬ２０３３で解析し、アクセス権限管理テーブル２０３５に、図３に示したように、リソース指定情報、アクセス権限情報などに展開することにより適用される。

　図９Ａには、ネットワークリソースの分離を可能する分離ポリシーによって実現される環境の例を説明している。図９Ａに示す「社内機密作業Ａ用」と「社内機密作業Ｂ用」は、例えば、図６Ａ及び図６Ｂに示した「社内機密作業用」の分離ポリシーを作業ごとにアクセス先が異なるように別個の作業ポリシーに拡張させた例を示している。「社内機密作業Ａ用」と「社内機密作業Ｂ用」では、とりわけ、ファイルサーバ上で存在する（存在しているように見える）データ領域が異なる。図９Ａに示す「すかし印刷業務」、「クラウド限定」、「クラウド限定（アプリ限定）」なる分離ポリシーは、図６Ａ及び図６Ｂに示した例とは直接的に対応していない新たな例示である。

　ネットワークリソースを分離するための分離ポリシーは、図９Ｂ－１に示すように、分離ポリシーの制御情報と、適用対象の情報と、ネットワークリソース制御情報とを含む。制御情報は、上述のように、使用可能プログラムと読み出し可能領域と書き込み可能領域と、一時アクセスの情報を含む。図６Ａと同様であってよいため、図９Ｂ－１に示す例ではその詳細な例示を省略している。分離ポリシーの適用対象情報はネットワークリソースにアクセス可能な対象（例えばＰＣ）を示す。分離ポリシーの適用対象情報は、図６Ａ及び図６Ｂを参照して説明した構成と同様に、端末情報、ユーザ情報、位置情報、時間情報を含む。すなわち、「端末情報」は、例えば、マシン名、ＩＰアドレス、ＭＡＣアドレスの少なくともいずれかで指定されてよい。「ユーザ情報」は、ユーザ名、或いはグループ名で指定することができる。「位置情報」は、ユーザが利用するＰＣのＯＳから取得する位置情報、接続ＡＰ、接続ドメイン名、特定の社内マシンを示す識別子、などの少なくともいずれかを含んでよい。更に、「時間情報」は、分離ポリシーを適用してＰＣを使用可能な日時の期間、或いは曜日で指定することができる。

　ネットワークリソース制御情報は、アクセス制御（許可もしくは禁止）の対象となるネットワークリソースを、ＩＰアドレス、ホスト名、ＵＲＬ、ファイルサーバのディレクトリパス、及びネットワーク機器名（プリンターやスキャナなど）などの少なくともいずれかの情報を含む。図９Ｂ－２に示す例では、例えば、ＩＰアドレス・ホスト名と、サーバ内のディレクトリパスと、ＵＲＬとを含む。ＩＰアドレス・ホスト名は、アクセスを許可する又は禁止するネットワークリソースのＩＰアドレスやホスト名を指定する。サーバ内のディレクトリパスは、ファイルサーバやリモート機器においてアクセスを許可する又は禁止するリソースを指定する。図９Ｂ－２に示す例では、「社内機密作業Ａ用」と「社内機密作業Ｂ用」の分離ポリシーでは、ファイルサーバ上のそれぞれの業務専用のデータ領域のみへのアクセスが許可されるように構成されている。ＵＲＬは、アクセスを許可する又は禁止するウェブサービスのＵＲＬを指定する。

　また、ネットワークリソース制御情報では、アクセスを行うアプリケーションプログラムとの組み合わせでこれらの情報を指定するようにしてもよい。例えば、ネットワークリソースへのアクセスの許可もしくは禁止を指定するプログラムを、プログラム名、プログラムパス、プログラムファイルのハッシュの少なくともいずれかを用いて指定してよい。図９Ｂ－２に示す例では、分離ポリシー「クラウド限定（アプリ限定）」において、アクセスを行うプログラム「teams.exe」及び「edge.exe」が指定されている。アクセスを行うプログラムは、例えば、ＡＰＩを捕捉するＡＰＩ捕捉制御処理で判別される。

　なお、適用対象を構成する情報と、ネットワークリソース制御情報を構成する情報とは、必要に応じて、役割（ＰＣ、ゲートウェイ、ファイルサーバなど）に応じて省略或いはマスクした、別個の分離ポリシーとして用いることもできる。その場合には、当該別個の分離ポリシーをＰＣやファイルサーバに適用するにあたって、分離ポリシー名或いは分離ポリシーの識別ＩＤで連動させるようにしてもよい。

　ネットワークリソースの分離においても、図７で説明したように、複数の分離ポリシーが、（提供対象情報を満たすように）自動的に切り替えられてよいし、利用者がＰＣを利用する際に、適用対象情報を満たす範囲で、分離ポリシーを切り替えてもよい。これらの切り替えにより、利用者がＰＣを動作させる際には、常にいずれかの分離ポリシーが適用される状態となっている。

　ＰＣがファイルサーバなどのネットワークリソースにアクセスする構成では、分離ポリシーの応じたアクセス制御を行う上述のリソース管理プログラムが、ゲートウェイやプロキシ、ファイルサーバなどの１つ以上のネットワークリソース上でも動作する。ＰＣがネットワークリソースにアクセスしようとする場合、ネットワークリソース上に存在するリソース管理プログラムが、アクセス元のＰＣの現在の分離ポリシーを特定し、リソース管理プログラムが持つ分離ポリシーのうちＰＣに適用されるポリシー名と同名のもののポリシー内容にしたがって、アクセス制御を行う。ＰＣで適用されている分離ポリシーが変更された場合、ＰＣが変更後の分離ポリシー名（分離ポリシーを識別する情報）をネットワークリソース（ファイルサーバやプロキシー）に送信することで、ネットワークリソースが適用する分離ポリシーをＰＣが適用する分離ポリシーに連動させてもよい。なお、ＰＣとネットワークリソースの両方において、それぞれのリソース管理プログラムが同一の分離ポリシー名の分離ポリシーを適用してＡＰＩ捕捉を行うことができる。このようにすれば、ＰＣとネットワークリソースの両方が、適用される分離ポリシーに連動して分離され、強固なセキュリティを確保することができる。一方、ＰＣでは、適用する分離ポリシー名を取得するがＡＰＩ捕捉を実行しないようにしてもよい。つまり、ネットワークリソース側のファイルサーバやゲートウェイだけで（ＰＣが取得した分離ポリシー名に対応する）分離ポリシーを適用したＡＰＩ捕捉を行うようにしてもよい。この場合であっても、ＰＣから先のネットワークリソースは分離ポリシーに従って適切に分離制御されるが、ＰＣ側ではＡＰＩ捕捉のような特別な制御を行う必要がないため、ＰＣ側の実装が簡易になり、またＰＣの動作が高速になる。また、複数のＰＣからファイルサーバにアクセスする経路上に１つ以上のゲートウェイが存在する場合に、経路上の１つ以上のゲートウェイのみにおいて、分離ポリシーに従うＡＰＩ捕捉を行うようにしてもよい。この場合、ＰＣとファイルサーバではＡＰＩ捕捉を行わないため、ＰＣとファイルサーバに特別な制御を必要としないが、１つ以上のゲートウェイが（ＰＣが取得した分離ポリシー名に対応する）分離ポリシーに従うアクセス制御を行うことで、簡便にかつセキュリティを高めたネットワーク分離を実現することができる。

　ネットワークリソースを分離する分離ポリシーは、例えばファイルの形式（分離ポリシーファイル）で上述した分離ポリシーの情報が格納されていてよい。分離ポリシーファイルは暗号化されていてもよい。分離ポリシーファイルは、ＰＣおよびネットワークリソースに事前に記憶されていてよい。

　また、分離ポリシーの内容を管理するための管理サーバを配置して、管理サーバから分離ポリシーを配布するようにしてもよい。更に、ＰＣが保持する分離ポリシーには適用対象情報のみが含まれるようにし、ネットワークリソースが保持する分離ポリシーにはネットワークリソース制御情報のみが含まれるようにしてもよい。このようにする場合には、ネットワーク構成の変更に伴ってポリシー内容も変更するケースなど、ネットワークリソース制御の管理が容易になる場合がある。分離ポリシーを装置間でやり取りする場合には、機器間で認証を行ったうえで分離ポリシーをやり取りし得る。また、やり取りする分離ポリシーやその他のやり取りされるデータは暗号化され得る。

　管理サーバを用いる場合には、ＰＣ及びネットワークリソースが、定期的に又は不定期に管理サーバにアクセスし、最新の分離ポリシーファイルを取得することにより、各機器の分離ポリシーを更新してもよい。なお、ＰＣ及びネットワークリソースが利用する分離ポリシーを管理サーバで管理する場合、ＰＣとネットワークリソースは、設定される分離ポリシーの内容に関わらず、分離ポリシーファイルを取得できるように管理サーバに対してはアクセス可能であるように構成される。

　また、分離ポリシーの一態様として、管理サーバがＰＣ及びネットワークリソースに分離ポリシーの情報を動的に提供してもよい。この場合、ＰＣ及びネットワークリソースは、管理サーバから受け取った分離ポリシーの情報を機器内のメモリ又は記録部に記憶させ、利用する。再起動後などの分離ポリシーの情報が存在しないタイミングにおいては、後述の「既定分離ポリシー」を利用してもよい。

　ＰＣの起動直後や分離ポリシーの切り替えのタイミングでは、ＰＣ（及びネットワークリソース）は、予め定められた特定の分離ポリシー（既定分離ポリシーという）を用いるようにしてよい。既定分離ポリシーは、例えば、適用する分離ポリシーが存在しない場合に暫定的に適用される既定の分離ポリシーである。ネットワークリソース内の制御部は、アクセス元が適用ポリシーを持たないか存在しない分離ポリシーを適用している場合、既定値としての分離ポリシーを適用してよい。既定分離ポリシーは、最大限に制限されたポリシーの内容で定義され得る。最大限に制限されたポリシーは、例えば、管理サーバとのみ通信可能であったり、全てのネットワークリソースへのアクセスを禁止するなどであり得る）。

　図１０は、ＰＣ１０２とファイルサーバ１００とが社内に配置されており、分離ポリシーに従って、ＰＣ１０２がファイルサーバ１００のファイルデータにアクセスする様子を模式的に示している。この例では、（ネットワークリソースを分離する）分離ポリシーのファイルが、ＰＣ１０２とファイルサーバ１００とのそれぞれの記録部に予め記憶されるものとする。また、ＰＣ１０２とファイルサーバ１００とのそれぞれが記憶する分離ポリシーのファイルは、管理サーバによって予め配信されて更新されている（Ｓ１０００）。利用者１０１がＰＣ１０２の使用を開始すると、例えば、図７に示したＰＣ１０２の処理により分離ポリシーが適用される（Ｓ１００２）。例えば、このとき、分離ポリシー「社内機密作業Ａ用」がＰＣ１０２に適用されたものとする。ＰＣ１０２は、自身に適用されている分離ポリシーの識別情報（すなわち分離ポリシー名）をファイルサーバ１００に送信する（Ｓ１００４）。なお、後述するファイルサーバにおけるアクセス制御の動作で説明するように、分離ポリシーの識別情報の取得は、ＰＣ１０２からファイルアクセスがあった後に行なわれてもよい。

　ファイルサーバ１００は、ＰＣ１０２からのファイルアクセス（すなわちアクセス要求）を受信する（Ｓ１００６）と、取得した分離ポリシーの識別情報に対応する分離ポリシー（例えば「社内機密作業Ａ用」）を特定（適用）して、ファイルサーバ１００のリソース管理プログラムが当該分離ポリシーに応じたアクセス制御を行う（Ｓ１００８）。ファイルサーバ１００は、分離ポリシーにおいて許可されているデータ領域へのアクセスであれば、要求されたファイルデータをＰＣ１０２に送信する（Ｓ１０１０）。

　ファイルサーバ１００のリソース管理プログラムは、ＰＣ１０２からアクセスがあったタイミングで当端末に現在の分離ポリシーの内容を確認（プログラムとの組み合わせで制御情報が登録されているときはアクセス元のプログラムも確認）する。そして、ＡＰＩ捕捉制御処理において分離ポリシーに従ってアクセスを許可したり拒否したりする。このようにすれば、ファイルサーバ内のディレクトリへのアクセス制御などの、細かなネットワークリソース制御が可能になる。なお、ＴＣＰ／ＵＤＰのように「接続を確立する」処理が存在するプロトコルや、ファイルアクセスのように「オープン」処理が存在するアクセスの場合には、当処理に対して制御を実行し、それ以降の処理においては制御を省略することができる。

　図１０に示した例では、管理サーバが分離ポリシーの情報をＰＣとファイルサーバとに配信し、それぞれの記録部に分離ポリシーの情報を記憶させる例を示したが、分離ポリシーの配信及び分離ポリシーの選択はこれに限らない。ＰＣ１０２における分離ポリシーの適用は、図８に示したように、管理サーバによって決定され、決定された分離ポリシー名がＰＣ１０２に送信されてもよい。この場合、例えば、ファイルサーバ１００に適用される、対応する分離ポリシーの情報（例えば、ネットワークリソース制御情報）が管理サーバからファイルサーバ１００へ送信されてもよい。この場合には、ファイルサーバ１００は、アクセス元を識別する情報（例えばＰＣを識別する情報）を管理サーバに送信することにより、対応する分離ポリシーの情報を取得してもよい。更に、ネットワーク構成としてＰＣからファイルサーバ１００へのアクセス経路中に１つ以上のゲートウェイマシンを置く場合は、ファイルサーバ１００は、分離ポリシーの識別情報を当該ゲートウェイマシンから取得してもよい。そして、ファイルサーバ１００は、当該識別情報に対応する分離ポリシーの情報（例えば、ネットワークリソース制御情報）を管理サーバから取得してもよい。

　また、ネットワーク構成としてＰＣからファイルサーバ１００へのアクセス経路中に１つ以上のゲートウェイマシンを置く場合は、これ以降のネットワークリソース内に分離ポリシーを持つ必要はなく、ゲートウェイマシンが例えばファイルサーバ１００に分離ポリシーの情報を伝えるようにしても良い。この場合、ポリシー管理は容易になる。なお、プロキシサーバでアクセス可能なURLを制御するだけといったケースでは、既存の単純な制御技術（プロキシプログラムやゲートウェイプログラムなど）を利用してアクセス制御しても良い。

　このように、ネットワーク内のネットワークリソースにおいて、アクセス元となるＰＣで適用される現在の分離ポリシーに連動して、分離ポリシーで定義されたアクセス可能なネットワークリソースに限定されたアクセス制御を実現することができる。このようにすることで、結果として同一端末からのアクセスでありながら利用可能なネットワークリソースが必要に応じて（別のネットワークリソースであるかのように）随時分離できるようになる。

　＜ファイルサーバにおけるアクセス制御処理＞
　次に、図１１を参照して、ネットワークリソースであるファイルサーバ１００において、分離ポリシーに従ったアクセス制御を行う処理について説明する。本フローチャートの動作は、ＣＰＵ１３１０が記録部１３０４に格納されるプログラムを展開、実行することにより実現されてよい。このとき、このＣＰＵ１３１０による本処理の一部又は全部は、ＣＰＵ１３１０がプログラムを実行して動作させる上述のリソース管理プログラムによって実現される。なお、以下で説明する動作例では、ＰＣ１０２が自身に適用されている分離ポリシーの識別情報をファイルサーバ１００に送信するタイミングが、図１０で説明したタイミングと異なる例を示している。しかし、ＰＣ１０２に適用されている分離ポリシーの識別情報を送信するタイミングは図１０に示したタイミングであってもよい。

　ステップ１１０１では、ファイルサーバ１００のＣＰＵ１３１０は、例えば管理サーバから分離ポリシーファイルを取得する。なお、ファイルサーバ１００が管理サーバから分離ポリシーファイルを予め取得することは必須ではない。分離ポリシーの内容を予めＰＣから取得するように構成されてもよいし、ＰＣがファイルサーバ１００にアクセスする際に、ファイルサーバ１００が管理サーバから分離ポリシーの内容を取得してもよい。

　ステップ１１０２では、ＣＰＵ１３１０は、ＰＣ１０２からファイルに対するアクセス要求があったかを判定する。このとき、ＣＰＵ１３１０は、ファイルアクセスと共に、適用対象に関する情報（端末情報、ユーザ情報、位置情報、時間情報）を合わせて取得してもよい。ＣＰＵ１３１０は、ＰＣ１０２からファイルに対するアクセスがあったときは、処理をＳ１１０３に進め、そうでない場合にはＳ１１０２に進む。

　ステップ１１０３では、ＣＰＵ１３１０は、ＰＣ１０２が適用する分離ポリシーの識別情報を取得する。ステップ１１０４では、ＣＰＵ１３１０は、取得した分離ポリシーの識別情報に応じて、分離ポリシーファイルのネットワークリソース制御情報を抽出し、アクセス制御に用いる情報（例えば図３に示すリソース指定情報や条件、アクセス権限）として設定する。ＣＰＵ１３１０は、分離ポリシーファイルの適用対象の情報を更にアクセス制御に用いる情報として設定してもよい。

　ステップ１１０５では、ＣＰＵ１３１０は、アクセス制御に用いる情報として設定されたネットワークリソース制御情報に従って、ＡＰＩ捕捉を用いたリソース管理プログラムによるアクセス制御を行う。このとき、Ｓ１１０４において、分離ポリシーファイルの適用対象の情報が設定されている場合、当該適用対象の情報にも従ってアクセス制御を行う。

　ステップ１１０６では、ＣＰＵ１３１０は、リソース管理プログラムによるアクセス制御の結果に応じて、結果を送信する（例えばアクセスしたファイルをＰＣ１０２に送信する）。ＣＰＵ１３１０は、結果を送信すると本処理を終了する。

　なお、上述の説明では、ＰＣ１０２からファイルサーバ１００上のコンピュータリソースであるファイルへのアクセス要求が実行される例について説明した。しかし、ＰＣ１０２からネットワーク機器へアクセスされる場合（例えばプロキシーへインタネットへのアクセス要求が行われる場合）も同様である。すなわち、プロキシーが分離ポリシーを適用し、分離ポリシーに従ってプロキシー上のコンピュータリソース（例えばポートや確立した接続・トンネルなど）へのアクセス制御を行えばよい。

　以上説明したように、上述の実施形態では、分離ポリシーに応じたＡＰＩ捕捉によるアクセス制御を、利用者が使用するＰＣとネットワークリソース（例えばファイルサーバやネットワーク機器）上とで連動させて行うようにした。このようにすることで、業務ごとにＰＣとネットワークリソース側のそれぞれが物理的に分離している環境であるように振る舞うことができる。また、ＰＣとネットワークリソースとが連動して同じ分離ポリシーで動作するため、ネットワーク環境自体が、物理的に分離した別個の環境であるかのように振る舞うことができる。すなわち、端末やネットワーク上の機器の既存のＯＳやプロセスを利用しつつ、作業者が利用できるネットワークリソースに対して、作業者の利用状況に即した拡張されたアクセス制御を実現することができる。

　発明は上記の実施形態に制限されるものではなく、発明の要旨の範囲内で、種々の変形・変更が可能である。

Claims

　利用者が用いる通信装置からの、ネットワークリソース上のコンピュータリソースに対するアクセスを制御する情報処理方法であって、
　複数種類の業務ごとに許可されるアクセス権限をそれぞれの業務ごとのポリシーとして定義した複数のポリシーから、前記通信装置の状態に適したポリシーを選択する選択工程と、
　前記ネットワークリソースにおいて、
　　前記通信装置に対して選択されたポリシーの情報を取得する取得工程と、
　　前記通信装置から前記ネットワークリソース上のコンピュータリソースに対するアクセス要求を受信した場合に、前記ネットワークリソース上の前記コンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第１捕捉工程と、
　　前記第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、前記取得工程で取得されたポリシーの情報に基づいて判定する第１判定工程と、
　　前記第１判定工程の判定の結果、アクセス権限があれば当該操作要求の通りにオペレーティングシステムに渡し、その結果を要求元に返す処理工程と、
　　前記第１判定工程の判定の結果、アクセス権限がなければ当該操作要求によって指定されるコンピュータリソースに対するアクセスを拒否する拒否工程と、を有することを特徴とする情報処理方法。
　前記取得工程では、前記通信装置に対して選択されたポリシーを識別する情報を前記通信装置から受信したうえで、前記ポリシーを識別する情報と対応する、前記通信装置に対して選択されたポリシーの情報を取得する、ことを特徴とする請求項１に記載の情報処理方法。
　前記取得工程では、前記通信装置に対して選択されたポリシーを識別する情報を他のネットワークリソースから受信したうえで、前記ポリシーを識別する情報と対応する、前記通信装置に対して選択されたポリシーの情報を取得することを特徴とする請求項１に記載の情報処理方法。
　前記取得工程では、前記ポリシーを識別する情報と対応する、前記通信装置に対して選択されたポリシーの情報を、前記ネットワークリソースの記憶手段に記憶されたファイルから取得する、ことを特徴とする請求項２又は３に記載の情報処理方法。
　前記取得工程では、前記ポリシーを識別する情報と対応する、前記通信装置に対して選択されたポリシーの情報を、外部の管理サーバから取得する、ことを特徴とする請求項２又は３に記載の情報処理方法。
　前記取得工程では、前記通信装置に対して選択されたポリシーの情報を、前記通信装置から取得する、ことを特徴とする請求項１に記載の情報処理方法。
　前記通信装置からアクセスされるネットワークリソースである第２ネットワークリソースにおいて、
　　前記通信装置に対して選択されたポリシーの情報を取得する第２取得工程と、
　　前記第２ネットワークリソース上のコンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第２捕捉工程と、
　　前記第２捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、前記第２取得工程で取得されたポリシーの情報に基づいて判定する第２判定工程と、を更に有する、ことを特徴とする請求項１から６のいずれか１項に記載の情報処理方法。
　前記通信装置において、前記通信装置上のコンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第３捕捉工程と、
　前記通信装置において、前記第３捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、前記選択工程で選択されたポリシーの情報に基づいて判定する第３判定工程と、を更に有する、ことを特徴とする請求項１から７のいずれか１項に記載の情報処理方法。
　前記複数のポリシーは、ポリシーごとに、アクセス制御の対象となるネットワークリソースについての、ＩＰアドレス、ホスト名、ＵＲＬ、ファイルサーバのディレクトリパス、及びネットワーク機器名の少なくともいずれかの情報を含み、
　第１判定工程では、前記第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、各ポリシーに含まれるネットワークリソースの情報に基づいて判定する、ことを特徴とする請求項１から８のいずれか１項に記載の情報処理方法。
　前記複数のポリシーは、ポリシーごとに、アクセス制御の対象となるネットワークリソースにアクセスするための前記通信装置で動作するプログラムを指定する情報を更に含み、
　第１判定工程では、前記第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、各ポリシーに含まれる前記プログラムを指定する情報に更に基づいて判定する、ことを特徴とする請求項９に記載の情報処理方法。
　前記複数のポリシーは、ポリシーごとに、前記通信装置の情報、ユーザの情報、前記通信装置の位置情報、及び前記通信装置を使用する時刻情報の少なくともいずれかを指定する適用対象の情報を更に含む、ことを特徴とする請求項９又は１０に記載の情報処理方法。
　前記通信装置の状態とは、適用する通信装置の情報、ユーザの情報、通信装置の位置情報、時刻情報を含む、ことを特徴とする請求項１から１０のいずれか１項に記載の情報処理方法。
　１つ以上のコンピュータに、利用者が用いる通信装置からの、ネットワークリソース上のコンピュータリソースに対するアクセスを制御する情報処理方法の各工程を実行させる１つ以上のプログラムであって、前記情報処理方法は、
　複数種類の業務ごとに許可されるアクセス権限をそれぞれの業務ごとのポリシーとして定義した複数のポリシーから、前記通信装置の状態に適したポリシーを選択する選択工程と、
　前記ネットワークリソースにおいて、
　　前記通信装置に対して選択されたポリシーの情報を取得する取得工程と、
　　前記通信装置から前記ネットワークリソース上のコンピュータリソースに対するアクセス要求を受信した場合に、前記ネットワークリソース上の前記コンピュータリソースに対するプロセスまたはオペレーティングシステムからの操作要求を当該コンピュータリソースにアクセスする前に捕捉する第１捕捉工程と、
　　前記第１捕捉工程で捕捉した操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを、前記取得工程で取得されたポリシーの情報に基づいて判定する第１判定工程と、
　　前記第１判定工程の判定の結果、アクセス権限があれば当該操作要求の通りにオペレーティングシステムに渡し、その結果を要求元に返す処理工程と、
　　前記第１判定工程の判定の結果、アクセス権限がなければ当該操作要求によって指定されるコンピュータリソースに対するアクセスを拒否する拒否工程と、を有することを特徴とする１つ以上のプログラム。
　請求項１３に記載の１つ以上のプログラムを格納する１つ以上の記憶媒体。