特許 6950211 フォルダ保護設定管理方法、フォルダ保護設定管理装置、およびフォルダ保護設定管理プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6950211

(24)【登録日】2021年9月28日

(45)【発行日】2021年10月13日

(54)【発明の名称】フォルダ保護設定管理方法、フォルダ保護設定管理装置、およびフォルダ保護設定管理プログラム

(51)【国際特許分類】

   G06F 21/62 20130101AFI20210930BHJP

【ＦＩ】

   G06F21/62 318

【請求項の数】6

【全頁数】13

(21)【出願番号】特願2017-50932(P2017-50932)

(22)【出願日】2017年3月16日

(65)【公開番号】特開2018-156227(P2018-156227A)

(43)【公開日】2018年10月4日

【審査請求日】2020年2月4日

(73)【特許権者】

【識別番号】000004237

【氏名又は名称】日本電気株式会社

(74)【代理人】

【識別番号】100103090

【弁理士】

【氏名又は名称】岩壁 冬樹

(74)【代理人】

【識別番号】100124501

【弁理士】

【氏名又は名称】塩川 誠人

(72)【発明者】

【氏名】大村 公也

【審査官】 岸野 徹

(56)【参考文献】

【文献】 特開２００２−０９９４５６（ＪＰ，Ａ）

【文献】 特開２００７−３３４３８６（ＪＰ，Ａ）

【文献】 特開２００７−０３４５６８（ＪＰ，Ａ）

【文献】 特開２０１４−０９２８０７（ＪＰ，Ａ）

【文献】 特開２００９−１３４３３８（ＪＰ，Ａ）

【文献】 特開２０１４−０６３４４７（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１２／００１１５６２（ＵＳ，Ａ１）

【文献】 韓国公開特許第１０−２００７−００３０３５０（ＫＲ，Ａ）

【文献】 特開２０１２−０３８１２６（ＪＰ，Ａ）

【文献】 特開２０１３−０８４２１２（ＪＰ，Ａ）

【文献】 特開２００９−０４８４１０（ＪＰ，Ａ）

【文献】 特開２００８−１７１１０１（ＪＰ，Ａ）

【文献】 特開２００６−２３５８９５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／６２

(57)【特許請求の範囲】

【請求項1】

サーバが、
保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、
保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とし、
前記第１の集計値と所定の第１のしきい値とを比較し、前記第１の集計値が前記第１のしきい値を越えている場合に、前記保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定し、
前記第２の集計値と前記第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較し、
前記第２の集計値が前記第１のしきい値または前記第２のしきい値を越えている場合に、前記保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定する
フォルダ保護設定管理方法。

【請求項2】

前記サーバが、前記第１の集計値および前記第２の集計値を、ファイルのアクセス履歴を基に集計する
請求項１記載のフォルダ保護設定管理方法。

【請求項3】

前記サーバが、所定期間における前記第１の集計値または共有フォルダへの総アクセス数に対する前記第１の集計値の割合の平均値を、新たな第１のしきい値とする
請求項１または請求項２記載のフォルダ保護設定管理方法。

【請求項4】

保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とする集計手段と、
前記第１の集計値と所定の第１のしきい値とを比較し、前記第１の集計値が前記第１のしきい値を越えている場合に、前記保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定する共有フォルダ属性決定手段と、
前記第２の集計値と前記第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較する比較手段とを備え、
前記共有フォルダ属性決定手段は、前記第２の集計値が前記第１のしきい値または前記第２のしきい値を越えている場合に、前記保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定する
を備えたフォルダ保護設定管理装置。

【請求項5】

前記集計手段は、前記第１の集計値および前記第２の集計値を、ファイルのアクセス履歴を基に集計する
請求項４記載のフォルダ保護設定管理装置。

【請求項6】

コンピュータに、
保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とする処理と、
前記第１の集計値と所定の第１のしきい値とを比較し、前記第１の集計値が前記第１のしきい値を越えている場合に、前記保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定する処理と、
前記第２の集計値と前記第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較する処理と、
前記第２の集計値が前記第１のしきい値または前記第２のしきい値を越えている場合に、前記保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定する処理と
を実行させるためのフォルダ保護設定管理プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、共有フォルダの保護設定を管理するフォルダ保護設定管理方法に関する。

【背景技術】

【0002】

会社内（以下、社内という。）で遂行される業務（以下、社内業務という。）は、一般に、業務ルールで管理されている。社内業務の中には、社員が、社内ネットワークを介して、サーバ等に存在する共有フォルダにファイルを登録したり、共有フォルダからファイルを読み出す業務がある。

【0003】

共有フォルダを含むサーバ等の管理を行う運用管理者が選任されていることがある。運用管理者は、一般に、共有フォルダを保護対象に設定するか保護対象外に設定するかの権限を有する。保護対象に設定された共有フォルダに属するファイルは、例えば、暗号化される。

【0004】

情報漏えいを防止する等のセキュリティ対策のために、ファイルを暗号化することがより重要になると予想される。しかし、セキュリティ対策は、業務効率を下げることにつながりかねない。セキュリティ対策の向上と業務効率の低下防止を両立させるために、運用管理者にかかる負担は大きい。

【0005】

なお、例えば、特許文献１には、フォルダに文書データを登録する場合において、その文書データに対してセキュリティポリシーを設定できる技術が記載されている。

【先行技術文献】

【特許文献】

【0006】

【特許文献1】特開２０１２−１４１７４４号公報

【発明の概要】

【発明が解決しようとする課題】

【0007】

運用管理者が、ファイルサーバの保護設定を変更したり、ファイルサーバにおけるフォルダの保護設定を変更したりすることが、共有フォルダの利用者から要請されることがある。そのような要請によって、運用管理者の負担はさらに大きくなる。

【0008】

また、保護設定の設定誤りや、運用管理者が把握していない共有フォルダに保護されるべきファイルが格納されてしまうことが予想される。そのような場合には、保護されるべきファイルが保護されないといった事態が生じうる。さらに、共有フォルダの利用者による共有フォルダに関する保護設定の申告漏れが生ずることが予想される。そのような場合にも、保護されるべきファイルが保護されないといった事態が生じうる。

【0009】

特許文献１には、セキュリティが付与されたファイルを別のフォルダに移動した際に、付与されたセキュリティを考慮した文書管理をすることが可能な文書管理装置が記載されている。

【0010】

しかし、特許文献１には、運用管理者の負担を軽くしたり、設定誤りを防止したりすることに関する開示はない。

【0011】

本発明は、ファイルの保護に関する業務の負担を軽くするとともに、ファイルの保護の確実度を向上させることを目的とする。

【課題を解決するための手段】

【0012】

本発明によるフォルダ保護設定管理方法は、サーバが、保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とし、第１の集計値と所定の第１のしきい値とを比較し、第１の集計値が第１のしきい値を越えている場合に、保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定し、第２の集計値と第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較し、第２の集計値が第１のしきい値または第２のしきい値を越えている場合に、保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定することを特徴とする。

【0013】

本発明によるフォルダ保護設定管理装置は、保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とする集計手段と、第１の集計値と所定の第１のしきい値とを比較し、第１の集計値が第１のしきい値を越えている場合に、保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定する共有フォルダ属性決定手段と、第２の集計値と第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較する比較手段とを備え、共有フォルダ属性決定手段は、第２の集計値が第１のしきい値または第２のしきい値を越えている場合に、保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定することを特徴とする。

【0014】

本発明によるフォルダ保護設定管理プログラムは、コンピュータに、保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス数を集計して第１の集計値とし、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセス数を集計して第２の集計値とする処理と、第１の集計値と所定の第１のしきい値とを比較し、第１の集計値が第１のしきい値を越えている場合に、保護対象フォルダとされている共有フォルダを保護対象外フォルダに設定する処理と、第２の集計値と第１のしきい値または該第１のしきい値とは異なる第２のしきい値とを比較する処理と、第２の集計値が第１のしきい値または第２のしきい値を越えている場合に、保護対象外フォルダとされている共有フォルダを保護対象フォルダに設定する処理とを実行させることを特徴とする。

【発明の効果】

【0015】

本発明によれば、ファイルの保護に関する業務の負担が軽くなるとともに、ファイルの保護の確実度が向上する。

【図面の簡単な説明】

【0016】

【図1】本発明の概念を示す概念図である。

【図2】フォルダ保護管理システムの一例を示すブロック図である。

【図3】設定更新部がログの抽出から共有フォルダの一覧を作成するまでの処理を示すフローチャートである。

【図4】設定ファイルおよびしきい値ルールの更新処理を示すフローチャートである。

【図5】暗号処理部の処理を示すフローチャートである。

【図6】ログ収集サーバのログ受信処理を示すフローチャートである。

【図7】クライアントの動作を示すフローチャートである。

【図8】本発明によるフォルダ保護設定管理装置の主要部を示すブロック図である。

【発明を実施するための形態】

【0017】

以下、本発明の実施形態を図面を参照して説明する。

【0018】

図１は、フォルダ保護管理システムを例にした本発明の概念を示す概念図である。図１に示すフォルダ保護管理システムは、利用者が使用するクライアント（クライアント端末）３００が共有フォルダ２０１をアクセスするシステムである。共有フォルダ２０１は、ログ収集サーバ１００で管理される。ログ収集サーバ１００には、少なくとも設定ファイル１０１としきい値ルール１０２とが記憶されている。

【0019】

図１に示すフォルダ保護管理システムにおけるファイル保護管理に関する概略動作は、以下の通りである。

【0020】

クライアント３００は、共有フォルダ２０１にファイルを格納する（１）。クライアント３００は、所定の時期等にファイルアクセスログをログ収集サーバ１００に送信する（２）。

【0021】

ログ収集サーバ１００は、ファイルを保護するための処理を行う（３）。すなわち、ファイルアクセスログとしきい値ルール１０２とにもとづいて、設定ファイル１０１を更新する。また、ログ収集サーバ１００は、設定ファイル１０１における設定内容に従ってファイルを保護する。

【0022】

図２は、フォルダ保護管理システムの一例を示すブロック図である。図２に示すフォルダ保護管理システムには、フォルダ保護設定管理装置の一例であるログ収集サーバ１００、ファイルサーバ２００およびクライアント３００が含まれている。

【0023】

ログ収集サーバ１００は、設定ファイル１０１、しきい値ルール１０２、設定更新部１０３、暗号処理部１０４、ログ収集部１０５、およびログ受信部１０６を有する。設定ファイル１０１およびしきい値ルール１０２は記憶部に記憶されている。

【0024】

設定ファイル１０１は、保護対象ファイルを示すデータと保護対象となる共有フォルダの一覧のデータとを含む。設定ファイル１０１は、暗号処理部１０４によって参照される。また、保護対象となる共有フォルダの一覧は、設定更新部１０３によって更新される。なお、設定ファイル１０１には、保護対象ファイルと共有フォルダの一覧に含まれる共有フォルダとを対応可能にデータが設定されている。

【0025】

しきい値ルール１０２は、ルールが適用されるログの期間と共有フォルダを保護対象の共有フォルダとするためのしきい値情報とを含む。しきい値情報は、設定更新の基準となるルール違反の数またはルール違反の割合を含む。しきい値情報は、設定更新部１０３によって更新される。

【0026】

設定更新部１０３は、ログ収集部１０５が収集したログから、しきい値ルール１０２で指定される期間のログを抽出する。また、設定更新部１０３は、抽出したログから共有フォルダへの個々のファイルアクセスがルール違反になるか否かを判定し、各共有フォルダにおけるファイルアクセス数とルール違反の数を集計して共有フォルダの一覧に設定する。

【0027】

設定更新部１０３は、さらに、共有フォルダの一覧に含まれている各共有フォルダを対象として、しきい値ルール１０２で指定されるしきい値情報を用いて、設定ファイル１０１を更新する。具体的には、設定更新部１０３は、保護対象のファイルがしきい値を越えて格納されている共有フォルダを保護対象の共有フォルダとする。また、設定更新部１０３は、ルール違反の数およびルール違反の割合を記録する。そして、設定更新部１０３は、過去に記録されたルール違反の数またはルール違反の割合にもとづいて調整した値を、以後に使用されるしきい値情報として、しきい値ルール１０２を更新する。

【0028】

暗号処理部１０４は、設定ファイル１０１を参照し、共有フォルダの一覧から、保護対象の共有フォルダに保護対象ファイルが格納されているか否かを確認し、未保護のファイルが格納されている場合には、そのファイルを暗号化する。

【0029】

ログ収集部１０５は、ログ受信部１０６からログを入力して蓄積する。ログ受信部１０６は、クライアント３００から送信されたログを受信し、ログ収集部１０５に出力する。

【0030】

なお、ログ収集サーバ１００として、一般的なサーバを使用可能である。ログ収集サーバ１００において、設定更新部１０３、暗号処理部１０４、およびログ収集部１０５は、記憶部に記憶されるプログラムにもとづいてＣＰＵ（Central Processing Unit ）が処理を実行することによって実現可能である。

【0031】

ファイルサーバ２００は、ログ収集サーバ１００およびクライアント３００からアクセス（読み書き）可能な共有フォルダ２０１を有する。

【0032】

クライアント３００は、社内ネットワークを介して、ログ収集サーバ１００およびファイルサーバ２００と通信可能である。ログ収集サーバ１００は、社内ネットワークを介して、ファイルサーバ２００と通信可能である

【0033】

クライアント３００は、利用者が使用するパーソナルコンピュータ等の端末である。クライアント３００は、ファイルアクセス部３０１、ログ出力部３０２、およびログ送信部３０３を有する。

【0034】

ファイルアクセス部３０１は、共有フォルダ２０１におけるファイルをアクセスする。ファイルアクセス部３０１は、ファイルをアクセス（ファイルを開く、または、ファイルを保存する）したときに、アクセス情報（read or write や共有フォルダ名やファイル名など）をログ出力部３０２に出力する。アクセス情報には、アクセス先のファイルの種類（保護対象／非保護対象）を特定可能な情報も含まれている。

【0035】

ログ出力部３０２は、ファイルアクセス部からのアクセス情報をログ送信部３０３に出力する。ログ送信部３０３は、ログ出力部３０２が出力したアクセス情にもとづくログをログ収集サーバ１００に送信する。

【0036】

なお、図２には、１つの共有フォルダ２０１が示されているが、複数の共有フォルダがあってもよい。また、共有フォルダは、一箇所（本実施形態では、ファイルサーバ２００）に集約されているのではなく、社内ネットワークを介してクライアント３００がアクセス可能であれば、分散して存在していてもよい。

【0037】

次に、フォルダ保護管理システムの動作を説明する。

【0038】

図３は、ログ収集サーバ１００の設定更新部１０３がログの抽出から共有フォルダの一覧を作成するまでの処理を示すフローチャートである。本処理を開始するトリガは、例えば、運用管理者が指定する時刻になったことやログ収集部１０５がログを蓄積したときである。

【0039】

設定更新部１０３は、設定ルールを読み込む（ステップＳ１１）。具体的には、設定更新部１０３は、しきい値ルール１０２と設定ファイル１０１とを読み出す。

【0040】

また、設定更新部１０３は、ログを抽出する（ステップＳ１２）。具体的には、設定更新部１０３は、ログ収集部１０５が蓄積したログの中からしきい値ルール１０２で指定された期間のログを抽出し、１行目のログを参照する。なお、ログ収集部１０５において、ログが１件ごとに各行に格納されているとする。

【0041】

そして、アクセス先のファイルが保護対象フォルダに属するか否か判定する（ステップＳ１３）。具体的には、設定更新部１０３は、現在参照しているログから、設定ファイル１０１で指定されている保護対象フォルダにおけるファイルへのアクセスか否か確認する。保護対象フォルダへのアクセスである場合にはステップＳ１４に移行する。保護対象外フォルダへのアクセスである場合にはステップＳ１５に移行する。

【0042】

ステップＳ１４では、設定更新部１０３は、アクセス先が保護対象外ファイルであるか否か判定する。具体的には、設定更新部１０３は、現在参照しているログから、保護対象外ファイルへのアクセスか否か確認する。ステップＳ１３の判定によって、保護対象フォルダへのアクセスであることは確定しているので、保護対象外ファイルである場合には、設定更新部１０３は、ルール違反として、ルール違反数を１とする（ステップＳ１６）。そして、ステップＳ１７に移行する。保護対象ファイルである場合には、ルール違反ではないので、設定更新部１０３は、ルール違反の数を０としてステップＳ１７に移行する。

【0043】

ステップＳ１５では、設定更新部１０３は、アクセス先が保護対象ファイルであるか否か判定する。具体的には、設定更新部１０３は、現在参照しているログから、保護対象ファイルへのアクセスか否か確認する。ステップＳ１３の判定によって、保護対象外フォルダへのアクセスであることは確定しているので、保護対象ファイルの場合には、設定更新部１０３は、ルール違反として、ルール違反数を１とする（ステップＳ１６）。そして、ステップＳ１７に移行する。保護対象外ファイルである場合には、ルール違反ではないので、設定更新部１０３は、ルール違反の数を０としてステップＳ１７に移行する。

【0044】

なお、ルール違反の数と共有フォルダにおけるファイル数とを対応させるために、ステップＳ１３〜Ｓ１８のループ処理におけるステップＳ１４，Ｓ１５の判定処理において、すでに他のログにもとづいて判定がなされたアクセス先のファイルについては、ステップＳ１６の処理をスキップしてもよい。

【0045】

また、ステップＳ１４の判定処理にもとづくルール違反と、ステップＳ１５の判定処理にもとづくルール違反とを、別個に管理してもよい。その場合には、例えば、ステップＳ１４の判定処理にもとづくルール違反は第１のルール違反とされ、ステップＳ１５の判定処理にもとづくルール違反は第２のルール違反とされる。

【0046】

ステップＳ１７では、設定更新部１０３は、現在参照しているログにもとづいて、共有フォルダ一覧に、共有フォルダを追加するとともに、当該共有フォルダに対応するルール違反の数に、ステップＳ１６の処理で設定されたルール違反数（１または０）を設定する。ただし、すでに共有フォルダが共有フォルダ一覧に存在する場合は、設定更新部１０３は、共有フォルダの追加を行わず、当該共有フォルダに対応するルール違反の数に、ステップＳ１６の処理で設定されたルール違反数を加算する。なお、ステップＳ１７の処理で、保護対象外フォルダが共有フォルダ一覧に追加されることもある。

【0047】

また、共有フォルダ一覧において、例えば、各行が共有フォルダの欄であるとする。

【0048】

設定更新部１０３は、現在参照しているログが最後の行のログであるか否か確認する（ステップＳ１８）。最後の行のログでない場合は次の行を参照するためにステップＳ１３に移行する。最後の行のログであった場合には処理を終了する。

【0049】

次に、設定更新部１０３は、設定ファイル１０１およびしきい値ルール１０２の更新処理を行う。図４は、設定ファイル１０１およびしきい値ルール１０２の更新処理を示すフローチャートである。

【0050】

設定更新部１０３は、まず、共有フォルダ一覧の最初の行を選択する（ステップＳ２１）。

【0051】

次いで、設定更新部１０３は、判定の基準を選択する。ルール違反の数で判定する場合には（ステップＳ２２）、ステップＳ２４に移行する。そうでない場合（本実施形態では、ルール違反の割合にもとづく判定）には、ステップＳ２３に移行する。なお、いずれの判定の基準を用いるのかは、あらかじめ決められている。

【0052】

ステップＳ２３では、設定更新部１０３は、ルール違反の割合を計算する。具体的には、設定更新部１０３は、参照している共有フォルダへの総アクセス数に対するルール違反の数の割合を計算する。そして、ステップＳ２４に移行する。

【0053】

なお、ルール違反の数と共有フォルダにおけるファイル数とを対応させるために、共有フォルダへの総アクセスについては、あるファイルに対して複数回のアクセスがあった場合には、当該ファイルに対するアクセス数を１とすることが好ましい。

【0054】

ステップＳ２４では、設定更新部１０３は、しきい値ルール１０２を参照して、ルール違反の数またはルール違反の割合が、しきい値を越えているかを判定する。

【0055】

保護対象外の共有フォルダにしきい値を越える数の保護対象ファイルが属していると判断される場合には、ステップＳ２５に移行する。保護対象の共有フォルダにしきい値を越える数の保護対象外のファイルが属していると判断される場合には、ステップＳ２６に移行する。いずれもしきい値を越えていない場合には、ステップＳ２７に移行する。

【0056】

ステップＳ２５では、設定更新部１０３は、取り扱っている共有フォルダ（共有フォルダ一覧において、現在参照している行）を保護対象の共有フォルダにすることにして、一時的に確保された記憶領域に共有フォルダの属性（保護対象／保護対象外）を記憶する。

【0057】

ステップＳ２６では、設定更新部１０３は、取り扱っている共有フォルダを保護対象外の共有フォルダにすることにして、一時的に確保された記憶領域に共有フォルダの属性を記憶する。

【0058】

そして、設定更新部１０３は、現在参照している行が共有フォルダ一覧における最後の行であるか否かを確認する（ステップＳ２７）。最後の行でない場合には、共有フォルダ一覧における参照行を次の行にして、ステップＳ２２に移行する。最後の行であった場合には、ステップＳ２８に移行する。

【0059】

なお、本実施形態では、保護対象の共有フォルダにするか否か決定するためのしきい値と、保護対象外の共有フォルダにするにするか否か決定するためのしきい値とは同じであるが、それらを別の値にしてもよい。

【0060】

また、ステップＳ１４の判定処理にもとづくルール違反が第１のルール違反とされ、ステップＳ１５の判定処理にもとづくルール違反がは第２のルール違反とされる場合には、設定更新部１０３は、第１のルール違反の集計値としきい値との比較と、第２のルール違反の集計値としきい値との比較とを別個に実行する。

【0061】

ステップＳ２８では、設定更新部１０３は、設定ファイル１０１を更新する。すなわち、設定更新部１０３は、一時的に確保された記憶領域における共有フォルダの属性で、設定ファイル１０１の共有フォルダの保護に関する設定を更新する。すなわち、設定更新部１０３は、一時的に確保された記憶領域における保護対象とされた共有フォルダを示すデータを設定ファイル１０１に設定する。また、保護対象外とされた共有フォルダに関する情報を設定ファイル１０１における保護対象ファイルを示すデータから削除する。すなわち、当該共有フォルダは、実質的に、保護対象外フォルダとして設定される。

【0062】

また、設定更新部１０３は、ルール違反の数またはルール違反の割合を記憶する（ステップＳ２９）。すなわち、設定更新部１０３は、ステップＳ１７で加算処理されたルール違反の数、またはステップＳ２３の処理で得られたルール違反の割合を、過去のルール違反の数またはルール違反の割合として、ログ収集サーバ１００における所定の記憶領域に格納する。

【0063】

設定更新部１０３は、過去のルール違反の数またはルール違反の割合にもとづいて、しきい値を調整する（ステップＳ３０）。調整されたしきい値は、一例として、所定期間における複数の過去のルール違反の数またはルール違反の割合の平均値である。

【0064】

そして、設定更新部１０３は、調整されたしきい値で、しきい値ルール１０２の現在のしきい値を更新する（ステップＳ３１）。

【0065】

ログ収集サーバ１００の暗号処理部１０４は、保護されていない保護対象ファイルを暗号化する処理を行う。図５は、暗号処理部１０４の処理を示すフローチャートである。本処理を開始するトリガは、例えば、設定ファイル１０１の更新時や運用管理者が指定する時刻になったことである。

【0066】

暗号処理部１０４は、設定ファイル１０１の内容を読み出す（ステップＳ４１）。具体的には、暗号処理部１０４は、設定ファイル１０１から共有フォルダの一覧を読み出し、最初の行を参照する。

【0067】

次に、暗号処理部１０４は、現在参照している行で特定される共有フォルダに保護対象ファイルが存在するか否か確認する（ステップＳ４２）。保護対象ファイルが存在する場合には、ステップＳ４３に移行する。保護対象ファイルが存在しない場合には、ステップＳ４４に移行する。

【0068】

ステップＳ４３では、暗号処理部１０４は、保護対象ファイルのうち未保護ファイルについて暗号化処理を行う。保護済みの保護対象ファイルについては暗号化処理は不要である。

【0069】

ステップＳ４４では、暗号処理部１０４は、現在参照している行が最後の行であるか否か確認する。最後の行でない場合には、共有フォルダ一覧における参照行を次の行にして、ステップＳ４２に移行する。最後の行であった場合には、処理を終了する。

【0070】

図６は、ログ収集サーバ１００のログ受信処理を示すフローチャートである。ログ受信部１０６が、クライアント３００から送信されたログを受信すると（ステップＳ５１）、ログ収集部１０５は、ログ受信部１０６からログを入力して蓄積する（ステップＳ５２）。

【0071】

図７は、クライアント３００の動作を示すフローチャートである。図７に示す処理は、利用者による共有フォルダ２０１へのファイルアクセス操作に応じて開始される。

【0072】

ファイルアクセス部３０１は、アクセス情報をログ出力部３０２に出力する（ステップＳ６１）。具体的には、ファイルアクセス部３０１は、ファイルをアクセスしたときに、アクセス情報をログ出力部３０２に出力する。

【0073】

ログ送信部３０３は、ログを送信するか否か判定する（ステップＳ６２）。例えば、ログ送信が運用管理者が指定したタイミングでなされる場合には、そのタイミングになっているか否か判定する。送信可能でない場合は、処理を終了する。送信可能である場合は、ログ送信部３０３は、ログをログ収集サーバ１００に送信する（ステップＳ６３）。

【0074】

以上に説明したように、本実施形態では、利用者の利用状況に応じて共有フォルダの保護設定が自動的に更新される。その結果、運用管理者による設定更新作業が軽減するとともに、設定誤りが低減する。よって、例えば、利用者が意図しないファイル格納（ファイルのフォルダへの格納）による保護設定の漏れを減らすことができる。すなわち、運用管理者の利便性とセキュリティレベルが向上する。

【0075】

なお、本実施形態では、クライアント３００が社内ネットワークを介してファイルをアクセスする社内システムを例にしたが、本発明は、通信ネットワークを介して複数の利用者端末がファイルをアクセスするシステム全般に適用可能である。

【0076】

図８は、本発明によるフォルダ保護設定管理装置の主要部を示すブロック図である。図８に示すフォルダ保護設定管理装置１０は、共有フォルダに属する保護対象のファイルの数に対応するデータ（例えば、ルール違反の数）を集計して集計値とする集計手段１１（実施形態では、設定更新部１０３で実現される。）と、集計値と所定のしきい値とを比較する比較手段１２（実施形態では、設定更新部１０３で実現される。）と、集計値がしきい値を越えている場合に、共有フォルダを保護対象フォルダとする共有フォルダ属性決定手段１３（実施形態では、設定更新部１０３で実現される。）とを備えている。

【0077】

集計手段１１が、共有フォルダに属する保護対象外のファイルの数に対応するデータを集計して集計値とし、比較手段１２が、集計値と所定のしきい値とを比較し、共有フォルダ属性決定手段１３が、集計値がしきい値を越えている場合に、共有フォルダを保護対象外フォルダとするように構成されていてもよい。

【0078】

集計手段１１が、保護対象のファイルの数および保護対象外のファイルの数に対応するデータを、ファイルのアクセス履歴（例えば、ログ）を基に集計するように構成されていてもよい。

【0079】

集計手段１１が、保護対象フォルダとされている共有フォルダに属する保護対象外のファイルへのアクセス、および、保護対象外フォルダとされている共有フォルダに属する保護対象のファイルへのアクセスをルール違反とし、比較手段１２が、ルール違反の数、または共有フォルダのアクセス数に対するルール違反の割合をしきい値と比較し、共有フォルダ属性決定手段１３が、比較結果にもとづいて、共有フォルダを保護対象フォルダとするか保護対象外フォルダとするか決定するように構成されていてもよい。

【0080】

フォルダ保護設定管理装置１０は、所定期間におけるルール違反の数またはルール違反の割合の平均値を、新たなしきい値とする手段を備えていてもよい。

【符号の説明】

【0081】

１０ フォルダ保護設定管理装置
１１ 集計手段
１２ 比較手段
１３ 共有フォルダ属性決定手段
１００ ログ収集サーバ
１０１ 設定ファイル
１０２ しきい値ルール
１０３ 設定更新部
１０４ 暗号処理部
１０５ ログ収集部
１０６ ログ受信部
２００ ファイルサーバ
２０１ 共有フォルダ
３００ クライアント
３０１ ファイルアクセス部
３０２ ログ出力部
３０３ ログ送信部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】