特許 6761921 電子データの管理方法、管理プログラム、及びプログラムの記録媒体

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6761921

(24)【登録日】2020年9月10日

(45)【発行日】2020年9月30日

(54)【発明の名称】電子データの管理方法、管理プログラム、及びプログラムの記録媒体

(51)【国際特許分類】

   G06F 21/62 20130101AFI20200917BHJP

【ＦＩ】

   G06F21/62

【請求項の数】11

【全頁数】29

(21)【出願番号】特願2015-212397(P2015-212397)

(22)【出願日】2015年10月28日

(65)【公開番号】特開2017-84141(P2017-84141A)

(43)【公開日】2017年5月18日

【審査請求日】2018年10月3日

(73)【特許権者】

【識別番号】501180263

【氏名又は名称】サイエンスパーク株式会社

(74)【代理人】

【識別番号】100093687

【弁理士】

【氏名又は名称】富崎 元成

(74)【代理人】

【識別番号】100106770

【弁理士】

【氏名又は名称】円城寺 貞夫

(74)【代理人】

【識別番号】100139789

【弁理士】

【氏名又は名称】町田 光信

(72)【発明者】

【氏名】小路 幸市郎

【審査官】 和平 悠希

(56)【参考文献】

【文献】 特開２０１０−０７２８８５（ＪＰ，Ａ）

【文献】 特開２０１４−０１６９５８（ＪＰ，Ａ）

【文献】 特開２００９−３０１３５７（ＪＰ，Ａ）

【文献】 再公表特許第２０１４／１７１２３２（ＪＰ，Ａ１）

【文献】 特開２００４−３０２９９５（ＪＰ，Ａ）

【文献】 特開２００９−０２６０２２（ＪＰ，Ａ）

【文献】 再公表特許第２００７／０４９６２５（ＪＰ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／６２

(57)【特許請求の範囲】

【請求項1】

電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、
前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、 前記制御データを前記電子データ管理データベースの値と比較して、
（ａ）前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第４制御、及び、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする電子データの管理方法。

【請求項2】

電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び／又はデータを含む第１データを受信し、前記命令の実行結果及び／又は前記デバイスドライバから受信した受信データを含む第２データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び／又は前記データを含む第３データを送信し、前記デバイスドライバから前記命令の実行結果及び／又は前記受信データを含む第４データを受信するためのデバイスドライバ制御部と、
前記第１データ又は前記第４データを処理し、前記第２データ又は前記第３データを生成して、前記第１〜４データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続されている前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、
前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、
（ｃ）前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御、
前記アクセスを出した前記アプリケーションプログラム又は前記プロセスの状況を、前記電子計算機で詳細確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第４制御、及び、
前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第５制御を行い、
（ｄ）前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする電子データの管理方法。

【請求項3】

請求項２に記載の電子データの管理方法において、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセス名、前記プロセスのプロセスＩＤを取得し、
前記アプリケーションプログラムインターフェース部に送信する
ことを特徴とする電子計算機のデータ管理方法。

【請求項4】

請求項２又は３の中から選択される１項に記載の電子データの管理方法において、
前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、
前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、
前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを不許可する
ことを特徴とする電子計算機のデータ管理方法。

【請求項5】

請求項１乃至３の中から選択される１項に記載の電子データの管理方法において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする電子計算機のデータ管理方法。

【請求項6】

電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、
前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ、
前記アクセスを受信するステップ、
前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
（ａ）前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御を行うステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御を行うステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御を行うステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第４制御を行うステップ、及び、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを
前記電子計算機に実行させることを特徴とする電子データ管理プログラム。

【請求項7】

電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び／又はデータを含む第１データを受信し、前記命令の実行結果及び／又は前記デバイスドライバから受信した受信データを含む第２データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び／又は前記データを含む第３データを送信し、前記デバイスドライバから前記命令の実行結果及び／又は前記受信データを含む第４データを受信するためのデバイスドライバ制御部と、
前記第１データ又は前記第４データを処理し、前記第２データ又は前記第３データを生成して、前記第１〜４データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続された前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、
前記ドライバウェア手段は、
前記アクセスを受信するステップ、
前記アクセスを解析するステップ、
前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
制御データを前記電子データ管理データベースの値と比較するステップ、
（ａ）前記比較で、前記電子データの重要度が高いレベルと判定された場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御をするステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御をするステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、
前記許可した後、前記第１制御及び前記第２制御を解除する第３制御するステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、
前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、
前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、
前記第１制御及び前記第２制御を解除する第４制御をするステップ、及び、
前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、
前記第１制御及び前記第２制御を解除する第５制御を行うステップ、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップ
からなることを特徴とする電子データ管理プログラム。

【請求項8】

請求項７に記載の電子データ管理プログラムにおいて、
前記電子データ管理プログラムは、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムと
を有し、
前記アプリケーションプラットフォームプログラムは、
前記プロセスの前記プロセス名、前記プロセスのプロセスＩＤを取得するプロセス取得ステップと、
前記プロセス取得ステップで取得した前記プロセス名と前記プロセスＩＤを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させる
ことを特徴とする電子データ管理プログラム。

【請求項9】

請求項７又は８に記載の電子データ管理プログラムにおいて、
前記ドライバウェア手段は、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、
前記制御部は、
前記ファイルシステム制御部へプロセスＩＤからファイルアクセスの禁止設定を解除するステップと、
前記インターフェース制御部へ通信の禁止設定を解除するステップと、
前記ネットワーク制御部へ通信の禁止設定を解除するステップと
を有することを特徴とする電子計算機のデータ管理プログラム。

【請求項10】

請求項７乃至９の中から選択される１項に記載の電子データ管理プログラムにおいて、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする電子計算機のデータ管理プログラム。

【請求項11】

請求項６乃至１０の中から選択される１項に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、電子データの管理を行うための電子データの管理システムに関する。詳しくは、電子データのファイルへアクセスするとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、管理プログラム、及びプログラムの記録媒体に関する。

【背景技術】

【0002】

個人情報、ビジネスのノウハウは、電子データの形式でファイルとして電子計算機、記憶装置、記録媒体に保存されることが多い。電子データが保存された電子計算機、記憶装置は、ネットワークに接続されて利用されることが多い。ネットワークは、ローカルエリアネットワーク（ＬＡＮ）、ワイドエリアネットワーク（ＷＡＮ）、インターネット、クラウドネットワーク等のように様々な形態があり、個人利用から商業利用まで日常的に利用されている。

【0003】

ユーザは、電子計算機を操作して、電子データのファイルにアクセスし、それを開いて操作中の電子計算機の画面に表示して閲覧する。また、ユーザは、このファイルを印刷装置で印刷して、又は、記録媒体に記録して複製することができる。更に、ユーザは、このファイルを電子メールに添付して他者、他の電子計算機、ネットワーク上のメールアドレスに送信することも、ネットワーク上のサービスを利用してこのファイルを外部へ送信又は提供することもできる。

【0004】

このようにファイルにアクセスした履歴、特にファイルの閲覧、編集、複写、印刷、送信等の履歴を取得して緊密に管理することは、電子データのトレーサビリティを実現する上で、又、ビジネスのノウハウを守る上で大事である。例えば、顧客データ、個人データ、財務データ、製品の設計書等の厳重に管理しなければならない重要データは、その組織から外部へ流出又は漏洩する。組織の内部の人間が複製して持ち出すことも、外部からネットワークを経由で重要データのファイルにアクセスして持ち出すこともある。

【0005】

電子データの外部流出を防止することを実現するためには、コンピュータウィルスを検知して、そのウィルスの実行を停止又は遮断することが従来から行われている。また、悪意のあるプログラムであるマルウェアに感染した端末をネットワークから遮断するシステムが提案されている。更に、従来から電子データの形式で保存されているファイルの管理を行う管理システムが様々な方式で提案されている。ウィルス対策ソフトウェアから機密情報漏洩対策システムを導入して、電子計算機の電子データを保護している。

【0006】

これらのシステムでは、電子データへのアクセスを拒否又はこのアクセスの行為を特定し、電子データの漏洩を未然に防ぐ対策をとっている。このような対策をとっても、電子データの漏洩を完全に防ぐことが実現されていない。電子データを漏洩させようとする悪意のあるユーザは、最先端の様々な方法で電子計算機を攻撃している。更に、電子計算機を利用するユーザグループ内から電子データを漏洩させる内部漏洩もある。電子データの漏洩対策について様々な方法とシステムが開示されており、いくつかを例示する。

【0007】

例えば、特許文献１には、ネットワークシステムを介して送受信される印刷データの機密性を総合的に図ると共に、印刷される文書データのトレーサビリティの向上を図る文書総合管理システムを開示している。この文書総合管理システムは、アクセス権管理者の認証と、アクセス権の設定と、文書にアクセスするユーザの認証を行う。また、文書の管理情報を保持する文書管理サーバと、ユーザが用いるＰＣ等の情報処理装置であって、ユーザの認証とユーザが文書の印刷を指定するとき認証を行う。

【0008】

これと同時に、印刷ウォーターマークの生成と、印刷ログの管理を行うプリンタサーバと、印刷物受取者の認証を行い、プリンタサーバから送られる文書を印刷するプリンタを備えている。また、コピーログの管理とコピーウォーターマークの管理を行い、コピー文書の管理をするコピーサーバと、ウォーターマークの抽出及びコピーをする者の認証を行うと共に、文書をコピーするコピー機を備えている。

【0009】

また、クライアントに提供されたユーザデータを複製して目的以外に利用できないように監視するためのデータ管理方法が開示されている（特許文献２を参照）。この方法では、管理プログラムを利用して、ユーザデータへのアクセスを監視して、予め用意されたプロセス制御リストに従って、そのアクセスを許可するか否かの制御を行っている。この管理プログラムは、オペレーティングシステムのカーネルモードで動作し、デバイスドライバとアプリケーションプログラムの通信に共通のインターフェースを提供するためのドライバウェアを内蔵するものである。

【0010】

ユーザデータを格納した記憶装置がクライアントコンピュータに接続されたとき、データ管理プログラムは、全ての外部記憶装置への書き込みを禁止し、ネットワークの使用を禁止する設定をし、実行ファイルのファイル名、フォルダ名、属性データ、実行しているプロセスのプロセス名とプロセスＩＤを取得している。ドライバウェアは、カーネルモードで動作し、デバイスドライバを制御しているため、他のアプリケーションプログラムやプロセスに影響がなく、高い秘密性が実現できる。

【先行技術文献】

【特許文献】

【0011】

【特許文献1】特開２００４−２８０２２７号公報

【特許文献2】国際公開ＷＯ２００７／０４９６２５号広報

【発明の概要】

【発明が解決しようとする課題】

【0012】

しかしながら、このようにウィルス対策ソフトウェアや電子データ管理システムが運用されていても、電子データの漏洩が様々な方法で行われているのが現状である。例えば、ユーザは、携帯用の記憶装置又は記録媒体にユーザデータを記録して、クライアントに提供することがよくある。このユーザデータはクライアントのシステムから外部へ流出することがある。

【0013】

また、ユーザは、電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザの電子計算機、又は、ユーザが接続されているネットワーク内の電子計算機から電子データを取得して外部へ流出させることがある。更に、ユーザが電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザが接続されているネットワーク内の電子計算機に感染し、同じく電子データを取得して外部へ流出させることがある。

【0014】

従来の対策は、コンピュータウィルス、マルウェアの実行を検知し、それを解析し、コンピュータウィルスやマルウェアの動作を停止又は遮断するものである。コンピュータウィルスとマルウェアは、常時、新しい種類、新しい機能を備えたものが作成され、様々な方法や系統で出回っている。これらのコンピュータウィルスとマルウェアの種類と機能を特定してから、それに対する対策を行う従来の方法では、後手になるので、情報漏洩の対策に限界がある。

【0015】

更に、重要データが格納されている電子計算機をネットワークから遮断してスタンドアローン状態で利用する手法があるが、この場合、ウィルス対策ソフトウェア、アプリケーションソフトウェア、オペレーティングシステム等のアップデートができない状態になり、システムの最新状態を保つことができない。そして、携帯メモリ等を利用して、電子データをこの電子計算機に複製し格納して利用し、また、この電子計算機から持ち出すことが行われる。携帯メモリにマルウェアやコンピュータウィルスが介在することがあり、特に、アップデートして最新状態を保っていない電子計算機が狙われやすい。

【0016】

このように、厳重に管理しなければならない重要な電子ファイルに対して、その漏洩が防止でき、電子データのファイルに焦点を当てたセキュリティ対策が求められている。
本発明は上述のような技術背景のもとになされたものであり、下記の目的を達成する。
本発明の目的は、重要な電子データへアクセスしたとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。

【0017】

本発明の他の目的は、重要な電子データへのアクセスが予め想定されていない場合、そのアクセスが解明されるまでに、電子データへのアクセスを遮断し、電子データが流出する系統を遮断して、セキュリティ対策を講じる電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。

【課題を解決するための手段】

【0018】

本発明は、前記目的を達成するため、次の手段を採る。
本発明の発明１の電子データの管理方法は、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、
前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記制御データを前記電子データ管理データベースの値と比較して、
（ａ）前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第４制御、及び、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。

【0019】

本発明の発明２の電子データの管理方法は、発明１において、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び／又はデータを含む第１データを受信し、前記命令の実行結果及び／又は前記デバイスドライバから受信した受信データを含む第２データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び／又は前記データを含む第３データを送信し、前記デバイスドライバから前記命令の実行結果及び／又は前記受信データを含む第４データを受信するためのデバイスドライバ制御部と、
??前記第１データ又は前記第４データを処理し、前記第２データ又は前記第３データを生成して、前記第１?４データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続されている前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、
前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、
（ｃ）前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御、
前記アクセスを出した前記アプリケーションプログラム又は前記プロセスの状況を、前記電子計算機で詳細確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第４制御、及び、
前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第５制御を行い、
（ｄ）前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データ
ベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。

【0020】

本発明の発明３の電子データの管理方法は、発明２において、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセス名、前記プロセスのプロセスＩＤを取得し、
前記アプリケーションプログラムインターフェース部に送信する
ことを特徴とする。

【0021】

本発明の発明４の電子データの管理方法は、発明２又は３において、
前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、
前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、
前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを不許可する
ことを特徴とする。

【0022】

本発明の発明５の電子データの管理方法は、発明１乃至３において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。

【0023】

本発明の発明６の電子データ管理プログラムは、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、
前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ、
前記アクセスを受信するステップ、
前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
（ａ）前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御を行うステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御を行うステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第１制御及び前記第２制御を解除する第３制御を行うステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第１制御及び前記第２制御を解除する第４制御を行うステップ、及び、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを
前記電子計算機に実行させることを特徴とする。

【0024】

本発明の発明７の電子データ管理プログラムは、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び／又はデータを含む第１データを受信し、前記命令の実行結果及び／又は前記デバイスドライバから受信した受信データを含む第２データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び／又は前記データを含む第３データを送信し、前記デバイスドライバから前記命令の実行結果及び／又は前記受信データを含む第４データを受信するためのデバイスドライバ制御部と、
前記第１データ又は前記第４データを処理し、前記第２データ又は前記第３データを生成して、前記第１?４データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続された前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、
前記ドライバウェア手段は、
前記アクセスを受信するステップ、
前記アクセスを解析するステップ、
前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
制御データを前記電子データ管理データベースの値と比較するステップ、
（ａ）前記比較で、前記電子データの重要度が高いレベルと判定された場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第１制御をするステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第２制御をするステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、
前記許可した後、前記第１制御及び前記第２制御を解除する第３制御するステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、
前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、
前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、
前記第１制御及び前記第２制御を解除する第４制御をするステップ、及び、
前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、
前記第１制御及び前記第２制御を解除する第５制御を行うステップ、
（ｂ）前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップ
からなることを特徴とする。

【0025】

本発明の発明８の電子データ管理プログラムは、発明７において、
前記電子データ管理プログラムは、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムと
を有し、
前記アプリケーションプラットフォームプログラムは、
前記プロセスの前記プロセス名、前記プロセスのプロセスＩＤを取得するプロセス取得ステップと、
前記プロセス取得ステップで取得した前記プロセス名と前記プロセスＩＤを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させる
ことを特徴とする電子データ管理プログラム。

【0026】

本発明の発明９の電子データ管理プログラムは、発明７又は８において、
前記ドライバウェア手段は、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、
前記制御部は、
前記ファイルシステム制御部へプロセスＩＤからファイルアクセスの禁止設定を解除するステップと、
前記インターフェース制御部へ通信の禁止設定を解除するステップと、
前記ネットワーク制御部へ通信の禁止設定を解除するステップと
を有することを特徴とする。

【0027】

本発明の発明１０の電子データ管理プログラムは、発明７乃至９において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。

【0028】

本発明の発明１１のデータ管理プログラムを記録した記録媒体は、発明６乃至１０に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体である。

【発明の効果】

【0029】

本発明によると、次の効果が奏される。
本発明によると、重要な電子データへアクセスしたとき、この電子データが保存されている電子計算機又はネットワークの通信機能を停止又は一時停止することで、電子データが流出する系統を遮断してから、そのアクセスを分析し制御する。これにより、電子データの漏洩を防ぐことができる。

【0030】

また、本発明によると、重要な電子データへアクセスしたとき、そのアクセスを分析し、そのアクセスが予め想定され、許可されたアクセスの場合にのみ、そのアクセスを許可する。これによって、重要な電子データへアクセスするコンピュータウィルスやマルウェアの種類、機能によらず、重要な電子データを適切に管理することが可能になった。

【図面の簡単な説明】

【0031】

【図1】図１は、本発明の第１の実施の形態の概要を図示している概念図である。

【図2】図２は、本発明の第１の実施の形態の電子データ１６の制御を行う手順の概要を示すフローチャートである。

【図3】図３は、本発明の第２の実施の形態の電子データ管理システム１の概要を図示している図である。

【図4】図４は、本発明の第２の実施の形態の電子データ管理システム１のユーザ端末２上に動作するソフトウェアの概要を図示している図である。

【図5】図５は、本発明の第２の実施の形態において、ユーザ端末２内で、アクセス要求を処理する手順を示すフローチャートである。

【図6】図６は、本発明の第２の実施の形態において、ユーザ端末２内で、重要度が高い電子データ１６へのアクセス要求を処理する手順を示すフローチャートである。

【発明を実施するための形態】

【0032】

以下、本発明の実施するための形態を図に基づいて説明する。
（本発明の第１の実施の形態の概要）
図１には、本発明の第１の実施の形態の電子データ管理システム１の概要を図示している。電子データ管理システム１は、電子データ１６を管理するためのシステムであり、特に、重要データ１６ｍへアクセスするとき、ユーザ端末２の通信機能を停止又は一時停止、ローカルエリアネットワーク（以下、略して「ＬＡＮ」という。）５等のネットワークを遮断し、電子データ１６及び重要データ１６ｍの漏洩等の不正利用を防止するためのシステムである。

【0033】

電子データ管理システム１は、ユーザ端末２、サーバ４、ゲートウェイ９等からなるＬＡＮ５である。ゲートウェイ９は、ＬＡＮ５をインターネット２０に接続するための装置である。ユーザは、基本的に、ユーザ端末２を操作して、電子データ１６の作成・閲覧・加工を行う。ユーザは、ユーザ端末２上に動作している電子メールのアプリケーションプログラム、ファイル転送プログラム、ファイル送信プロトコル等を利用して、電子データ１６を、インターネット２０又は他の電子計算機へ送信する。

【0034】

電子データの不正利用又は不正取得のとき、これらのプログラムや通信プロトコルが利用されることが多い。無論、ユーザ端末２の補助記憶装置、ディスク装置等の内蔵機器、ユーザ端末２に接続されたフラッシュメモリ等の補助記憶装置に、ユーザ端末２から重要データ１６ｍが記録されて、持ち出され漏洩することもある。どちらにしても、ユーザ端末２に格納されている電子データ１６又は重要データ１６ｍへアクセスする必要がある。

【0035】

このように重要データ１６ｍへアクセスしたことをユーザ端末２で検知し、重要データ１６ｍの漏洩を防ぐことを本発明の電子データ管理システム１で実現する。サーバ４は、ＬＡＮ５に接続された端末に共通のサービスと電子データ１６を提供する端末である。サーバ４は、電子データ１６を格納するために補助記憶装置６を備える。ユーザ端末２は電子データ１６をサーバ４から読み込んで作業をし、保存するとき元の場所に保存する。また、ユーザは、サーバ４から電子データ１６を取得して、ユーザ端末２に保存して、利用することができる。

【0036】

このように、電子データ１６は、サーバ４とユーザ端末２に必要に応じて分散して格納される。電子データ１６を管理するために、その名称、保存先、アクセス権を示した管理データベースが作成される。その一例は、サーバ４に格納されている電子データ管理データベース１７である。ユーザ端末２とサーバ４は、中央処理ユニット、入力装置、出力装置、ＲＯＭ、ＲＡＭ等の内蔵メモリ、ＳＳＤ、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。

【0037】

電子データ１６は、テキストファイル、画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。この中で、ユーザにとって管理が必要な重要なファイル、例えば、個人情報や顧客情報、設計データ、機密データ等の重要なファイルは、重要データ１６ｍとする。重要データ１６ｍは、データのセキュリティ上、厳密な管理が必要であり、その利用状況を追跡し、外部へ漏洩させない措置を取らなければならないデータである。

【0038】

電子データ管理システム１は、この電子データ１６ｍを作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、その利用の履歴を記録して残す。電子データ管理システム１は、電子データ１６と重要データ１６ｍへアクセスしたとき、そのアクセスを追跡し制御するためのシステムである。詳しくは、電子データ管理システム１は、電子データ１６へのアクセスが適当な条件に合うとき、そのアクセスを許可し、実行する。

【0039】

電子データ管理システム１は、電子データ１６へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時停止又は一時保留し、そのアクセスを追跡し分析する。特に、重要データ１６ｍへアクセスする場合、電子データ管理システム１は、ユーザ端末２、サーバ４を始めＬＡＮ５の通信機能を全部又は一部を停止又は一時停止する。電子データ管理システム１は、電子データ１６に関するデータベースを作成して、電子データ１６の管理を行う。

【0040】

例えば、電子データ１６のファイル一覧、各ファイルの属性、各ファイルへのアクセス権を示す電子データ管理データベース１７を作成して管理を行う。電子データ管理システム１は、管理プログラム１５を用いて、電子データ１６の追跡と管理を行い、電子データ１６へのアクセスを許可又は不許可にする。管理プログラム１５は、電子データ１６をユーザ端末２上に利用する環境を提供するためのアプリケーションプログラムである。

【0041】

図１に図示した管理プログラム１５は、オペレーティングシステム２１のカーネルモード３４で動作するドライバウェア５０からなる。カーネルモード３４は、オペレーティングシステム２１の動作モードの一つで、制限を受けないでオペレーティングシステム２１の全ての命令が実行できる動作モードである。これに対して、オペレーティングシステム２１の動作モードの一つであるユーザモード３３は、オペレーティングシステム２１の命令の一部の実行をユーザやアプリケーションプログラム２２に対して制限している。

【0042】

ユーザ端末２上で動作するアプリケーションプログラム２２から電子データ１６へアクセスするとき、オペレーティングシステム２１が提供するサービスを経由する。管理プログラム１５は、オペレーティングシステム２１の入出力機能を監視するプログラムである。特に、管理プログラム１５の構成であるドライバウェア５０は、デバイスドライバを制御するもので、電子データ１６へのアクセスを全て監視し、制御する。

【0043】

ドライバウェア５０は、ユーザ端末２の補助記憶装置、ネットワークカード等のデバイスを制御するデバイスドライバを監視するので、アプリケーションプログラム２２とオペレーティングシステム２１のサービスからこれらのデバイスへのアクセスを自由自在に制御することができる。電子データ１６は、基本的に、暗号化されている。ユーザ端末２に管理プログラム１５が実行されており、特に制御モードで動作している。

【0044】

この制御モードにおいて、管理プログラム１５は、ユーザ端末２から外部へ送受信される通信とそのデータ、ユーザ端末２の補助記憶装置からデータを読み込みするアクセス、ユーザ端末２の補助記憶装置へデータを書き込みするアクセスの全てを監視している。また、管理プログラム１５はこの制御モードになると、電子データ１６がユーザ端末２から外部へ流出する全ての手段を停止する。例えば、ユーザ端末２に接続された記憶装置、記録装置へ電子データ１６を書き込む動作を停止し、ネットワークへ電子データ１６を送信する機能を停止している。

【0045】

しかし、管理者等の特定のユーザがユーザ端末２に接続された記憶装置、記録装置へ電子データ１６を書き込み、ネットワークへ電子データ１６を送信することができるように例外設定や例外処理をこの制御モードで行うことができる。また、一般のユーザにとっても、ネットワーク機能を常時停止すると、アプリケーションプログラム２２のアップデート、ウィルス対策ソフトウェアのアップデート、ネットワークへデータを送信することが必要な場合がある。

【0046】

ネットワーク機能を例外設定することで、このような状況でネットワーク機能が利用できるようにすることが多い。ユーザ端末２で動作しているアプリケーションプログラム２２から電子データ１６へアクセスする。このアクセスのアクセス要求は、管理プログラム１５を経由する。詳しくは、管理プログラム１５はアプリケーションプログラム２２のアクセス要求を常時監視しており、ドライバウェア５０がこの要求を受信して、デバイスドライバへのアクセスを制御する。よって、ドライバウェア５０はすべてのアクセス要求を自在に制御することができる。

【0047】

以下、電子データ１６と重要データ１６ｍへのアクセスを制御する手順の一例を、図２のフローチャートを参照しながら説明する。管理プログラム１５は、このアクセス要求を受信し、その解析を行う（ステップ１）。まず、アクセス要求された電子データ１６が重要データ１６ｍであるか否かを確認するための電子データ確認を行う（ステップ２）。この電子データ確認のとき、管理プログラム１５は、サーバ４に格納されている電子データ管理データベース１７を参照して、該当する電子データ１６の属性情報等を参照する。

【0048】

この参照の結果、電子データ１６が重要データ１６ｍであると判定された場合、ＬＡＮ５とユーザ端末２のネットワーク通信機能を停止又は一時停止させる（ステップ２、３）。そして、アクセス要求を出したアプリケーションプログラム２２又はユーザは電子データ１６へのアクセス権限を有するか否かを確認する（ステップ４）。ステップ２の参照の結果、電子データ１６が重要データ１６ｍであると判定されない場合、アクセス要求を出したアプリケーションプログラム２２又はユーザは、電子データ１６へのアクセス権限を有するか否かを確認する（ステップ４）。

【0049】

このアクセス権限の確認のとき、管理プログラム１５は、サーバ４に格納されている電子データ管理データベース１７を参照して、該当する電子データ１６の属性情報等を参照する。ユーザ端末２のネットワーク機能が停止されている場合は、前回の電子データ確認時の属性情報を利用することができる（ステップ４）。続いて、アクセス要求が不正アクセスである可能性について調査する。

【0050】

例えば、自動起動のアプリケーションプログラム２２からのアクセス要求であるか、電子メールに添付された実行型のアプリケーションプログラム２２からアクセス要求であるか、ウェブページを閲覧中にウェブアプリケーションから出されたアクセス要求であるか、ユーザ端末２を中継するアクセス要求であるか等を調査する。この調査では、これらの要求に該当する場合、不正アクセスである可能性があると判定される。これらのアクセス権限の確認で電子データ１６に正当な権限を有するユーザからのアクセス要求であることが確認され、不正アクセスの可能性がないことが確認された場合、管理プログラム１５はアクセス要求を許可し、実行する（ステップ５，６）。

【0051】

アクセス権限の確認で電子データ１６に正当な権限を有するユーザからのアクセス要求ではないことが確認され、及び／又は、不正アクセスの可能性があることが確認された場合、管理プログラム１５はアクセス要求を破棄する（ステップ５，７）。このようにアクセス要求を破棄したとき、アクセス要求を出したユーザ又はアプリケーションプログラムに対して、アクセス要求を破棄した旨の通知をする（ステップ７）。そして、管理プログラム１５は停止又は一時停止した機能を再開し、正常な動作に戻る（ステップ８）。

【0052】

上述のように、管理プログラム１５は、電子データ１６へのアクセス要求があるとき、これを取得して、電子データ１６へのアクセス要求を分析し確認している。特に、重要データ１６ｍの場合、管理プログラム１５は、ネットワーク機能を始め、電子データ１６が漏洩する可能性が手段をシャットしている（ステップ３）。ネットワーク機能のシャットは、停止、一時停止、切断、及び遮断の内の１制御を行う。この制御をする箇所は、図１の中に、「×」の印１４ａ、１４ｂ、１４ｃで示しているユーザ端末２のネットワークの出入力、ゲートウェイ９の前後である。

【0053】

ここで言う停止と一時停止は、データを送受信する通信機能を停止と一時停止するものであり、通信機能を完全に停止させるものではない。通信機能を停止と一時停止と言うのは、制御命令や通信プロトコルの中で命令を送受信する機能、通信プロトコルのレイヤに応じて通信線の接続確立が機能することとする。通信機能を切断と遮断すると言うのは、基本的に、通信プロトコルを利用してデータを送受信する機能停止、更に、プロトコルに沿って通信命令の送受信も停止することを言う。

【0054】

通信機能を切断と遮断すると言うのは、通信プロトコルのレイヤに応じて接続確立が解除され、通信できない状況になることを言う。ネットワーク機能の遮断としては、ユーザ端末２がＬＡＮ５へ接続する通信機能、ＬＡＮ５からインターネット２０への出口であるゲートウェイ９のデータ通信機能を停止又は一時停止である。特に、重要データ１６ｍの情報漏洩を防ぐ上では、重要データ１６ｍへアクセス要求があった時点で、通信機能を停止、一時停止、遮断又は切断させて、アクセス要求が許可されても、そのアクセス要求が実行され完了されるまで、継続する。

【0055】

これは、重要データ１６ｍの外部流出、情報漏洩に対して大きく貢献する。管理プログラム１５は、アンチウィルスソフトウェア、マルウェア検知ソフトウェア、他の情報漏洩対策ソフトウェアやデータ管理ソフトウェア等の他のアプリケーションプログラムから送信された通知を受信する機能を有する。

【0056】

管理プログラム１５は、ユーザ端末２がコンピュータウィルス、マルウェア等に感染したことを示す通知を、アンチウィルスソフトウェア、マルウェア検知ソフトウェア等から受信すると、ユーザ端末２又はＬＡＮ５のネットワーク機能を停止、一時停止、遮断する制御を行う。管理プログラム１５は、重要データ１６ｍにアクセス、重要データ１６ｍを持ち出すことを検知した他の情報漏洩対策ソフトウェアやデータ管理ソフトウェアから通知を受信すると、ユーザ端末２又はＬＡＮ５のネットワーク機能を停止、一時停止、遮断する制御を行う。

【0057】

（本発明の第２の実施の形態）
図３には、本発明の第２の実施の形態の電子データ管理システム１の概要を図示している。以下、本発明の第２の実施の形態の電子データ管理システム１は、上述の本発明の第１の実施の形態の電子データ管理システム１と基本的に同じである。電子データ管理システム１は、電子データ１６を管理するためのシステムであり、詳しくは電子データ１６へのアクセスを追跡し、電子データ１６の不正利用（漏洩、流出等）を防止するためのシステムである。

【0058】

図３は、企業、公共自治体、ＳＯＨＯ（Small Office Home Office）、学校等の汎用の組織（以下、単に「組織」という。）で利用されている一般的なネットワークシステムの一例を概念的に図示した図である。電子データ管理システム１は、ユーザ端末２、管理端末３、サーバ４等が接続されたＬＡＮ５である。ＬＡＮ５には、複合機７、無線ルータ８、タブレット端末１０、ゲートウェイ９等が接続されている。ＬＡＮ５は、図３に示すように、代表的な端末と装置を１つずつ例示した。

【0059】

ゲートウェイ９は、ＬＡＮ５を他のネットワークに接続するための装置である。この他のネットワークとしては、他のＬＡＮ、ワイドエリアネットワーク（Wide Area Network）、インターネット等が例示できる。本例では、これに限定されないが、他のネットワークはインターネット２０を例に説明する。図３のＬＡＮ５は、組織に利用される代表的な例としているが、組織は２以上のＬＡＮ５を利用し、互いに直接又は他のネットワークを介して接続されることが可能である。

【0060】

ＬＡＮ５は、２以上の端末を互いにデータ通信できるように、無線又は有線の通信プロトコルで接続した通信ネットワークである。本実施の形態では、ＬＡＮ５は、有線ルータ（図示せず。）又は無線ルータ８にユーザ端末２、管理端末３、サーバ４、タブレット端末１０等の端末を有線又は無線で接続し、互いに通信できるようにしたネットワークである。ゲートウェイ９がこのルータを兼ねることもできる。ＬＡＮ５には、一般的に、複数台のユーザ端末２、複合機７、タブレット端末１０が接続される。

【0061】

ユーザは、基本的に、ユーザ端末２を操作して、文書を書き、電子データ１６を作成・閲覧・加工を行う。ユーザは、電子データ１６を持ち出すとき、ユーザ端末２から記録媒体に電子データ１６を複製又は移動させて保存する。また、ユーザは、ユーザ端末２上に動作している電子メール、ファイル転送プログラム、ファイル送信プロトコル等を利用して、電子データ１６を、インターネット２０又は他の電子計算機へ送信する。管理端末３は、基本的にＬＡＮ５の管理者が利用する端末であり、ＬＡＮ５全体の監視と管理をするための端末である。

【0062】

管理端末３では、文書の閲覧・作成等の組織の通常業務を行うことができるが、ＬＡＮ５の管理者に利用される。特に、ＬＡＮ５をメンテナンス、監視して管理するための業務を行うために管理者が管理端末３を主に利用する。よって、管理端末３からは、ＬＡＮ５に接続された各端末と装置を制御することができる。サーバ４は、ＬＡＮ５に接続された端末に共通のサービスと電子データ１６を提供する端末で、サーバ４に内蔵又は外付けで接続された補助記憶装置６に電子データ１６を格納する。

【0063】

このように電子データ１６はサーバ４とユーザ端末２に保存されるが、組織の方針によって、様々な形で運用管理される。一例では、サーバ４の補助記憶装置６は、電子データ１６を格納することができる。ユーザ端末２はこの電子データ１６をサーバ４から読み込んで作業をし、保存するとき元の場所に保存する。また、一例では、サーバ４の補助記憶装置６は、電子データ１６を格納し、ユーザ端末２が利用する電子データ１６は、サーバ４から取得してユーザ端末２に保存する。

【0064】

ユーザ端末２のこの電子データ１６は、常にサーバ４と同期をとっている。このとき、ユーザ端末２は、この電子データ１６をユーザ端末２から読み込んで作業をし、保存するときは、ユーザ端末２に作業済の電子データ１６が保存され、サーバ４と同期する。また、別の一例では、電子データ１６は、サーバ４とユーザ端末２に必要に応じて分散して格納されていて、電子データ１６について、その名称、保存先、アクセス権を示した管理データベースが作成されることがある。

【0065】

また、電子データ１６は、ユーザ端末２のみ分散して保存されることも、インターネット２０上に保存され、ユーザ端末２からＬＡＮ５、インターネット２０を経由してアクセスされることもある。このように、電子データ１６は、様々な形で管理されるので、一意的に決められない。本発明は、電子データ１６を保存する方法に関する発明ではないので、詳細については、これ以上は省略する。

【0066】

複合機７は、電子データ１６を紙に印刷して複製するための印刷機能、電子データ１６や紙媒体のデータをファックスするためのファックス機能、紙媒体のデータをスキャンしディジタル化して電子データ１６を作成するためのスキャナー機能等を備えた装置である。複合機７は、ＬＡＮ５内の装置の一例と例示したが、印刷装置、スキャナー等のように個別の装置であっても良い。ユーザは、ユーザ端末２に記録媒体を接続又は挿入し、この記録媒体に電子データ１６を複製又は移動させて、利用する。

【0067】

管理端末３、サーバ４、タブレット端末１０についても同様に電子データ１６の複製を行うことができるが、その説明は省略する。ユーザは、電子データ１６が格納された記録媒体を、他の電子計算機に接続又は挿入して、その電子計算機で、電子データ１６を利用することができる。また、管理者等は、電子データ１６を記録媒体に格納し、これをユーザに渡し、ユーザは、この記録媒体をユーザ端末２又は他の電子計算機で利用することができる。

【0068】

記録媒体としては、図示しないが、ＣＤ（Compact Disk）、ＵＳＢ（Universal Serial Bus）メモリ、外付けハードディスク、フレキシブルディスク、フラッシュメモリ、光磁気ディスク装置、ＤＶＤ（Digital Versatile Disks）、ポータブルデバイス等が利用できる。タブレット端末１０は、携帯可能でタッチパネルを備えた端末であり、本例では、無線ルータ８に無線通信で接続される。ユーザ端末２、管理端末３、サーバ４、タブレット端末１０は、中央処理ユニット、入力装置、出力装置、ＲＯＭ、ＲＡＭ等の内蔵メモリ、ＳＳＤ、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。

【0069】

［電子データ１６について］
電子データ１６は、テキストファイル、画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。電子データ１６は、組織のノウハウが蓄積されたデータでもある。例えば、電子データ１６は、災害時に使用するための保険会社の復旧マニュアル、メーカが利用するための製品の仕様書や設計書、出版物や写真等の画像データの校正時に使うための原本の電子データ１６である。

【0070】

また、電子データ１６は、個人情報や顧客情報等が格納されたデータファイルである。個人情報としては、氏名、住所、連絡先、生年月日、公共団体が利用する個人管理用の特別番号、保険若しくは年金の管理番号等のように、個人を特定し、管理するための情報を意味する。個人情報の例としては、住民の住民票に係る者を識別するための個人番号、言い換えるとマイナンバーを例示できる。顧客情報としては、例えば、顧客の氏名、名称、住所、連絡先、取引の内容等の情報である。以後は、このような個人情報や顧客情報等のデータは、単に電子データ１６と記載する。

【0071】

電子データ１６は、データのセキュリティ上、厳密な管理が必要であり、電子データ１６を作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、記録して残す。電子データ管理システム１は、電子データ１６へのアクセスが適当な条件に合うとき、そのアクセスを許可する。電子データ管理システム１は、電子データ１６へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時保留し、そのアクセスの条件が明確になるまでに、そのアクセスを追跡し分析する。

【0072】

このとき、電子データ管理システム１は、ユーザ端末２、サーバ４を始めＬＡＮ５の通信機能を全部又は一部を停止又は一時停止する。電子データ１６は、その種類と内容の重要度によって複数のレベルに分けられて管理される。レベル分けは、数字、文字、記号、特定単語、これらの組み合わせ等を割り当てるという様々なやり方がある。本例では、これに限定されないが、単純な方法を採用する。

【0073】

本例では、重要度が一番高い電子データ１６をレベル１とし、重要度が下がるに連れてレベル２、３とレベルを表す数字を増やしていき、重要度が一番低い電子データ１６はレベルｎとする。ｎは数字であり、組織の中で電子データ１６をレベル分けする最大数になる。例えば、次の表１に一例を示す。

【表1】

【0074】

このように組織の電子データ１６は、レベル１〜ｎにレベル分けされ、又は、属性が与えられて補助記憶装置６に格納される。電子データ１６をレベル分けして管理するとき、様々な方法で行うことができ、これらに限定しないが、ここでいくつかの例を示す。第１の例としては、電子データ１６に関するデータベースを作成して、電子データ１６の管理を行うことができる。例えば、電子データ１６のファイル一覧と各ファイルの属性を示す電子データ管理データベース１７（図３を参照。）を作成して管理を行うことができる。

【0075】

この電子データ管理データベース１７を参照することで、電子データ１６へアクセスができる許可を持っているユーザを特定することができる。第２の例としては、電子データ１６のファイルにヘッダー情報を付加することで、電子データ１６の管理を行うことができる。電子データ１６は、特定のフォーマットのファイルになっており、このファイルの先頭、又は、特定の位置に、電子データ１６の属性を示すデータを挿入する。この属性を参照することで、電子データ１６のファイルへアクセスできる許可を持っているユーザを特定することができる。

【0076】

第３の例としては、電子データ１６の保存場所で、電子データ１６の管理を行うことができる。電子データ１６は、そのレベルや重要度に応じて特定のフォルダに保存する。このフォルダは、秘密のフォルダであったり、公開フォルダであったり、暗号化された暗号フォルダであったりすることができる。これらのフォルダにそれにアクセスできる権限をユーザごとに設定しておき、許可されたユーザのみが電子データ１６のフォルダにアクセスし、電子データ１６を参照、編集することができる。

【0077】

無論、上述した第１〜第３の例を１以上組み合わせて利用することもできる。また、ユーザ端末２、タブレット端末８にもレベル１〜ｎの電子データ１６が保存されることがある。電子データ管理システム１は、電子データ１６を監視し、その電子データ１６へのアクセスが該当するレベルに合致しない端末又はユーザからのアクセスか否かを監視する。電子データ１６へはユーザ端末２、インターネット２０等からアクセスすることができる。また、電子データ１６へのアクセスは、ユーザが直接操作しているアプリケーションプログラムやプロセスから直接アクセスすることがある。

【0078】

また、サーバ４、ユーザ端末２、タブレット端末８、管理端末３で常駐して動作し、ユーザが直接操作していないアプリケーションプログラムやプロセスから自動アクセスすることがある。電子データ管理システム１は、このように直接アクセスと自動アクセスの両方を監視し、電子データ１６の管理を行う。また、ユーザは、電子データ１６を記録媒体に記録して持ち出し、ＬＡＮ５に接続されていない電子計算機で利用することもある。

【0079】

［ユーザ端末２について］
図４は、本発明の第２の実施の形態の概要を図示している。図４は、ユーザ端末２の概要を図示している。ユーザ端末２は、マウス、キーボード等の周辺機器の外部デバイス２６を接続するコネクタ２５を有し、コネクタ２５はそのデバイスドライバであるインターフェースドライバ６３によって制御される。コネクタ２５は、ＲＳ―２３２Ｃ、ＩｒＤＡ、ＵＳＢ、ＩＥＥＥ１３９４、Ｂｌｕｅｔｏｏｔｈ（登録商標）等のシリアルポート、ＩＥＥＥ１２８４、ＳＣＳＩ、ＩＤＥ等のパラレルポートであることが好ましい。

【0080】

ユーザ端末２は、コンピュータネットワーク、通信ネットワーク、インターネット等のネットワークに接続するためのネットワークカード２７を備えており、ネットワークの例としてＬＡＮ５で図示している。ネットワークカード２７は、有線通信用のネットワークに接続するためのネットワークアダプタで例示しているが、無線通信用の送受信器であっても良い。ユーザ端末２は、ＵＳＢメモリ１３等のＵＳＢ規格準拠の機器を接続するためのＵＳＢポート２８を備えている。

【0081】

ユーザ端末２は、内蔵ハードディスク２９を有する。ネットワークカード２７、ＵＳＢポート２８、内蔵ハードディスク２９は、そのデバイスドライバであるネットワークドライバ６４、ファイルシステムドライバ６５から制御される。ユーザ端末２は、オペレーティングシステム２１によって制御されて動作する。オペレーティングシステム２１は、キーボードからの入力、マウス操作の入力や画面出力等のような入出力装置からの入出力機能、補助記憶装置やメモリの管理等の基本的な機能を提供し、ユーザ端末２全体を制御し動作させて管理するためのソフトウェアである。

【0082】

オペレーティングシステム２１は、その提供する機能を実現するために多数の実行可能なプログラムから構成されるものである。オペレーティングシステム２１、特に本実施の形態に用いているＷｉｎｄｏｗｓ（登録商標）系のオペレーティングシステムについては、多数の書籍があり、その一部から紹介する。本発明を再現するためには、これらの書籍に記述されている技術知識、特に、デバイスドライバ開発に関する知識が必要である。

【0083】

Ｗｉｎｄｏｗｓ系のオペレーティングシステムの内部構成、その動作についての書籍一覧：
− Inside Windows Nt by Helen Custer (Microsoft Press, 1992)
− Inside the Windows Nt File System by Helen Custer (Microsoft Press, 1994)
− Inside Microsoft Windows 2000, Third Edition by David A. Solomon, Mark E. Russinovich (Microsoft Press, 2000)

【0084】

デバイスドライバの基礎知識からその開発に関する知識ついての書籍一覧：
− Programming the Microsoft Windows Driver Model by Walter Oney (Microsoft Press, 1999)
− Programming the Microsoft Windows Driver Model, Second Edition by Walter Oney (Microsoft Press, 2002)。
− Windows Vistaデバイスドライバプログラミング、浜田 憲一郎 (著)、ソフトバンククリエイティブ出版(2007)

【0085】

ここで、オペレーティングシステム２１は、図示しないが、サブシステム、エグゼキュティブ、カーネル、各種デバイスドライバ、ハードウェア抽象化層（ＨＡＬ）から構成される。エグゼキュティブは、メモリの管理、プロセスとスレッドの管理、セキュリティ、Ｉ／Ｏ（入出力機能）、ネットワーク、及びプロセス間通信等のオペレーティングシステム２１の基本的なサービスを提供するものである。カーネルは、スレッドスケジューリング、割り込み、例外通知、マルチプロセッサの同期等の低レベルの関数を提供し、エグゼキュティブの内部で使用するルーチンセットと基本オブジェクトを提供する。

【0086】

〔ドライバウェア５０〕
ドライバウェア５０は、管理プログラム１５の中核部である。ドライバウェア５０は、インターフェースドライバ６３、ネットワークドライバ６４、ファイルシステムドライバ６５等のデバイスドライバの間のデータの送受信をカーネルモードで実現するためのものである。ドライバウェア５０は、アプリケーションプログラム２２からデバイスドライバへアクセスするとき、また、デバイスドライバからアプリケーションプログラム２２へデータを送信するときに、共通のインターフェースを提供する。

【0087】

ドライバウェア５０は、オペレーティングシステム２１のカーネルモード３４で動作する。ドライバウェア５０は、デバイスドライバ間だけではなく、オペレーティングシステム２１と複数のデバイスドライバとのデータの送受信を提供する機能を有する。ドライバウェア５０のインターフェース制御部４３、ネットワーク制御部４４、ファイルシステム制御部４５は、ユーザ端末２のデバイスドライバ６３〜６５を制御することで、最終的には、ユーザ端末２に接続又は内蔵されているデバイスを制御するものと理解することができる。

【0088】

ドライバウェア５０の例としては、電子計算機のインターフェースドライバプログラムとしてＷＯ０２／０９１１９５号公報等に開示されている周知の技術である。また、ドライバウェア５０の技術を利用した電子計算機のデータ管理方法がＷＯ２００７／０４９６２５号公報に開示されている。これらの公報に記載された技術内容は本発明の不可欠である。ドライバウェア５０は、アプリケーションプログラム２２からの命令やデータ等を受信し、アプリケーションプログラム２２へのデータを送信するためのアプリケーションプログラムインターフェース部５１を有する。

【0089】

ドライバウェア５０は、ドライバウェア５０の全体の動作を制御するための制御部５２を有する。また、ドライバウェア５０の動作の履歴を取得するためのログ取得部５３も有する。更に、ドライバウェア５０は、デバイスドライバを制御するためのデバイスドライバ制御部を有する。本例では、デバイスドライバ制御部として、インターフェースドライバ６３、ネットワークドライバ６４、ファイルシステムドライバ６５を制御するためのインターフェース制御部４３、ネットワーク制御部４４、ファイルシステム制御部４５を例示している。

【0090】

ドライバウェア５０は、通信するデータを暗号化するための暗号化部５４、暗号化されたデータを復号化するための復号化部５５を有する。暗号化は、公開鍵と秘密鍵のペアを用いる公開鍵暗号方式を採用することが好ましい。しかし、これは、暗号化する方式を限定するものではない。暗号化と復号化は、本発明の趣旨ではないので詳細な説明は省略する。

【0091】

制御部５２は、デバイスドライバ制御部４３〜４５、アプリケーションプログラムインターフェース部５１、ログ取得部５３、暗号化部５４、復号化部５５等のドライバウェア５０の他の構成部を制御し、監視するためのもので、ドライバウェア５０の中核部である。デバイスドライバ制御部４３〜４５は、アプリケーションプログラム２２やオペレーティングシステム２１のエグゼキュティブからデバイスドライバへデータ又は要求を送信するとき、これらのデータ又は要求を、アプリケーションインターフェース部５１で受信し、制御部５２で分析し、必要であれば、データ又は要求の変更等をして制御し、デバイスドライバ制御部４３〜４５へ送信する。

【0092】

デバイスドライバ制御部４３〜４５は、制御部５２から受信したデータ又は要求を、デバイスドライバ６３〜６５へ送信する。このように、デバイスドライバ６３〜６５からデータを取得し、アプリケーションプログラム２２やエグゼキュティブへ送信するとき、逆の手順で行う。デバイスドライバ６３〜６５の間にデータを送受信するとき、デバイスドライバ制御部４３〜４５の間に直接転送することで、実現できる。このように転送すると、カーネルモード３４で実行されるので、非常に高速で実現でき、かつ、セキュリティ上は安全である。

【0093】

〔アプリケーションプラットフォームプログラム２３〕
アプリケーションプラットフォームプログラム２３は、アプリケーションプログラム２２と、オペレーティングシステム２１との間に位置し、これらの間に命令やデータの送受信を仲介し制御するためのアプリケーションプログラムである。アプリケーションプラットフォームプログラム２３は、オペレーティングシステム２１のユーザモード３３で動作する。アプリケーションプラットフォームプログラム２３は、オペレーティングシステム２１のファイルシステムにアクセスするためのユーザインターフェースを提供する機能を有する。

【0094】

アプリケーションプラットフォームプログラム２３は、アプリケーションプログラム２２の起動、これに伴うプロセスの起動を監視し、これらの属性情報を取得する機能を有する。例えば、アプリケーションプラットフォームプログラム２３は、アプリケーションプログラム２２が起動し実行するとき、開始されたプロセスのプロセスＩＤ、プロセス名、プロセスを実行したユーザ名等の情報を取得し、監視する。アプリケーションプラットフォームプログラム２３は、Ｗｉｎｄｏｗｓエクスプローラと互換性があるアプリケーションプログラム又はツールであることが好ましい。

【0095】

［電子データ１６へのアクセスの追跡］
重要な電子データ１６へのアクセスの追跡について説明する。このときの手順を示すフローチャートを、図５と図６に示しており、これらのフローチャートを参照しながら説明をする。まず、サーバ４には、補助記憶装置６が内蔵されており、この補助記憶装置６に電子データ１６へのアクセス権等を示す電子データ管理データベース１７が格納されている（図３を参照。）。

【0096】

この電子データ１６は、重要度に応じてレベル分けされている（表１を参照。）。重要度が通常以下の場合は、上述の通り、電子データ１６へのアクセスを制御する。ユーザ端末２の電子データ１６を利用するとき、ユーザ端末２上に動作するアプリケーションプログラム２２からアクセス要求がファイルシステムドライバ６５へ出される。このアクセス要求を管理プログラム１５が取得し、このアクセス要求を解析し始める（ステップ２０，２１）。

【0097】

管理プログラム１５は、アクセス要求を解析するとき、アクセス要求の中から、アクセス要求されているファイルのファイル名と、アクセス要求を送信したアプリケーションプログラムのプロセス名を取得する（ステップ２２、２３）。管理プログラム１５は、電子データ管理データベース１７を参照して、そのアプリケーションプログラム２２の制御情報を取得して確認をする。詳しくは、管理プログラム１５は、まず、要求された電子データ１６のファイルのレベルを確認する（ステップ２４）。

【0098】

レベルを確認するとき、管理プログラム１５は、サーバ４へアクセスし、電子データ管理データベース１７を参照して、取得したファイル名に該当する電子データ１６のレベルを確認する。電子データ管理データベース１７は、電子データ１６のファイル毎にその重要度を示すレベルデータと、それにアクセスできるユーザ、ユーザ端末２、アプリケーションプログラム、プロセス等を対応させて記載したデータベースである。

【0099】

電子データ１６の重要度が高くない、言い換えると普通以下、と判定された場合（ステップ２６）、管理プログラム１５は通常の処理を行う。電子データ１６の重要度が高いと判定された場合（ステップ２５）、管理プログラム１５から命令が送信され、電子データ１６の入出力するためのＬＡＮ５の機能が全部又は一時停止される（ステップ２５→図６のステップ３０へ）。そして、ユーザ端末２の通信ポートも停止又は一時停止されることが好ましい（ステップ３０）。

【0100】

このように、電子データ１６がＬＡＮ５から外部へ漏洩又は外部へ流出するチャネルを基本的に全て遮断する。そして、アクセス要求については、詳細な分析をする。管理プログラム１５は、アクセス要求を出したアプリケーションプログラム２２を、電子データ管理データベース１７を参照して確認し、アクセス要求のファイル名の電子データ１６にアクセスできる権限を有しているか否かを確認する（ステップ３１，３２）。この確認作業で、アクセス要求が許可されていないアプリケーションプログラムの場合は、管理者へ報告し、返事を待機する（ステップ４１）。

【0101】

管理者から返事がある場合は、後述のステップ３９へ進む。この確認作業で、アクセス要求が許可されているアプリケーションプログラムの場合は、成り済まし等の不正行為を確認する作業を始める（ステップ３３）。この確認の作業は、ユーザ端末２を利用しているユーザの確認、ユーザ端末２を利用しているユーザの個人認証、アクセス要求を出したアプリケーションプログラムの認証、アクセス要求を出したプロセスの認証等である（ステップ３４）。

【0102】

管理プログラム１５は、これらの事項を、解析し、アクセス要求を承認するか否かを判断する（ステップ３４，３５）。確認要求の解析処理結果（確認作業結果）で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース１７に登録された要件を満たす場合は、管理プログラム１５は、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる（ステップ３６，３７）。

【0103】

電子データ１６が最重要で、遮断された環境で作業を行わなければならないという指定がある場合、ＬＡＮ５のネットワーク機能を、作業が終わるまで、停止又は一時停止した状態にしても良い（図示せず。）。確認要求の解析（確認作業結果）で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース１７に登録された要件を満たさない場合は、管理プログラム１５は、管理者にこの旨を示す警告を送信し、その結果を待機する（ステップ３５→ステップ３８）。

【0104】

よって、管理者は、この警告を受けた場合は、不正アクセスの疑いがあると見て、ＬＡＮ５の状態、ユーザ端末２の状態を調査し、最終判断をする。管理者の最終判断を示す指示は、サーバ４、管理端末３、ユーザ端末２等のいずれかの入力手段から管理者によって入力され、管理プログラム１５は、この指示を受信する（ステップ３９）。管理者の最終判断で、アクセス要求を認めると判断した場合は、管理プログラム１５は、その指示を受信して、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる（ステップ４０→ステップ３６、３７）。

【0105】

管理者の最終判断で、アクセス要求を認めないと判断した場合は、管理プログラム１５は、その指示を受信して、アクセス要求を破棄し、停止又は一時停止していた各機能を再開させる（ステップ４０→ステップ４２、４３）。この場合は、管理プログラム１５でアクセス要求が中断され破棄されるので、次のようなメッセージが表示手段に送信される（ステップ４４）。

【0106】

ユーザ端末２の表示手段には、アクセス要求を破棄した旨のメッセージ、アクセス要求を拒否したメッセージ、アクセス要求に指定した電子データ１６にアクセスできない旨のメッセージ、アクセス要求に指定した電子データ１６が存在しない旨のメッセージ、及び、アクセス要求に指定した電子データ１６にアクセスできる権限がない旨のメッセージの内１以上の適当なメッセージが表示される。

【0107】

管理プログラム１５は、アクセス要求が中断し破棄した後、アクセス要求を出したアプリケーションプログラム又はプロセスを、停止又は終了又は強制終了させる（ステップ４５）。また、管理プログラム１５は、更に細かく追跡するために、アクセス要求を出しアプリケーションプログラム又はプロセスを隔離してその動作ログを取得する。これらの情報をもとに、管理者、又は予め用意された手順で、確認作業をし、全ての確認作業が成功した場合は、管理プログラム１５は、停止又は一時停止していた各機能を再開させる（ステップ４６）。

【0108】

無論、管理者は、ユーザ端末２を直接操作して、アプリケーションプログラム又はプロセスを終了させる等の処理を行うことで解決することができる。この一連の処理が終了すると、サーバ４の管理プログラム１５は、次の要求を待機する（ステップ４７）。このように、管理プログラム１５は、電子データ１６へのアクセス要求を受信したとき、電子データ管理データベース１７を参照して、電子データ１６を確認すると共に、アクセス要求を承認するか否か、電子データ１６へアクセス権限があるか否かを判定している。

【0109】

また、同時に、管理プログラム１５は、アクセス要求を出したアプリケーションプログラムとプロセスを特定し、確認している。このようにユーザ端末２の状態を把握するので、ハッキングや成り済まし等の不正行為に対して、効果がある。許可されたアプリケーションプログラム、プロセス、ユーザ、ユーザ端末のみからのアクセス要求を許可するので、未知の方法で不正行為をしても、それに応じることはない。

【0110】

解決できない状況になっても、管理者の最終判断を待ち、かつ、その間は、ユーザ端末２とＬＡＮ５のネットワーク機能、電子データ１６の複製機能等が停止、一時停止、又は中断されているので、電子データ１６の漏洩、流出を抑えることができる。このような制御は、重要度が高い電子データ１６の場合、セキュリティ上非常に有効である。管理プログラム１５は、他のアプリケーションプログラムから送信された通知を受信する。

【0111】

ドライバウェア５０は、特定のアプリケーションプログラムの出力を監視し、通知を受信し、通知が所定の条件を満たすと、ユーザ端末２のネットワーク機能を停止、一時停止、遮断する制御を行う。例えば、コンピュータウィルス、マルウェアを監視しているアンチウィルスソフトウェア、マルウェア検知ソフトウェア等のセキュリティソフトウェアから、ユーザ端末２がコンピュータウィルスやマルウェア等に感染した通知をドライバウェア５０が受信すると、ユーザ端末２又はＬＡＮ５のネットワーク機能を停止、一時停止、遮断する制御を行う。

【産業上の利用可能性】

【0112】

本発明は、電子データの緊密な管理が必要な分野に利用すると良い。特に、高度なデータ管理が要求される分野、例えば、印刷業界、保険会社、販売店、金融機関、原子力関連の施設、個人データを扱う端末等の分野に利用されると良い。

【符号の説明】

【0113】

１…電子データ管理システム
２…ユーザ端末
３…管理端末
４…サーバ
５…ＬＡＮ
６…補助記憶装置
７…複合機
８…無線ルータ
９…ゲートウェイ
１０…タブレット端末
１５…管理プログラム
１６…電子データ
１７…電子データ管理データベース
２０…インターネット
２１…オペレーティングシステム
２２…アプリケーションプログラム
２３…アプリケーションプラットフォームプラグラム
３３…ユーザモード
３４…カーネルモード
４３…インターフェース制御部
４４…ネットワーク制御部
４５…ファイルシステム制御部
５０…ドライバウェア
５１…アプリケーションプログラムインターフェース部
５２…制御部
５３…ログ取得部
５４…暗号化部
５５…復号化部
６３…インターフェースドライバ
６４…ネットワークドライバ
６５…ファイルシステムドライバ

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】