ホーム > 特許ランキング > キヤノン電子株式会社
知財求人 - 知財ポータルサイト「IP Force」
特許7486368情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-09
(45)【発行日】2024-05-17
(54)【発明の名称】情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラム
(51)【国際特許分類】
G06F 21/44 20130101AFI20240510BHJP
G06F 3/06 20060101ALI20240510BHJP
【FI】
G06F21/44
G06F3/06 301Z
【請求項の数】
8
(21)【出願番号】P 2020125053
(22)【出願日】2020-07-22
(65)【公開番号】P2022021473
(43)【公開日】2022-02-03
【審査請求日】2023-07-20
(73)【特許権者】
【識別番号】000104652
【氏名又は名称】キヤノン電子株式会社
(74)【代理人】
【識別番号】110003281
【氏名又は名称】弁理士法人大塚国際特許事務所
(72)【発明者】
【氏名】関口 あずさ
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2016-081517(JP,A)
【文献】特開2009-205673(JP,A)
【文献】特開2013-058179(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 3/06
(57)【特許請求の範囲】
【請求項1】
第1の情報が保存されている第1の領域と、読み込みおよび書き込みが可能な第2の領域とを有する外部記憶装置を接続可能な情報処理装置であって、外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト手段と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト手段にてインターセプトされた前記外部記憶装置に対する要求を制御する制御手段と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得手段と
を備え、
前記取得手段により取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御手段は、前記第1の領域を一時的に使用許可に変更することを特徴とする情報処理装置。
【請求項2】
前記プロセス識別情報は、プロセス名、プロセスID、プロセスのハッシュ値、及びプロセスのデジタル署名のいずれか、または組み合わせであることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記第1の情報の保存先は、CDドライブまたはDVDドライブであることを特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
前記第1の領域をCDドライブまたはDVDドライブとしてマウントし、前記第2の領域をUSBドライブとしてマウントすることを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
前記制御手段は、前記第1の領域を一時的に使用許可に変更することで、前記情報処理装置による前記第2の領域へのアクセスを可能にするための前記プロセスによる前記第1の領域への書込みを許可することを特徴とする請求項1ないし4のいずれか1項に記載の情報処理装置。
【請求項6】
第1の情報が保存されている第1の領域と、読み込みおよび書き込みが可能な第2の領域とを有する外部記憶装置を接続可能な情報処理装置の制御方法であって、外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト工程と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト工程にてインターセプトされた前記外部記憶装置に対する要求を制御する制御工程と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得工程と
を備え、
前記取得工程において取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御工程は、前記第1の領域を一時的に使用許可に変更することを特徴とする情報処理装置の制御方法。
【請求項7】
請求項1から請求項5の何れか1項に記載された情報処理装置と、ネットワークを介して、前記情報処理装置に使用を許可されるプロセスを特定可能な情報を前記情報処理装置へ送信するサーバ装置と
を有し、
前記情報処理装置の前記制御手段は、前記サーバ装置から送信された前記情報処理装置に使用を許可されるプロセスを特定可能な情報と、前記取得手段により取得された前記プロセス識別情報と、に基づき、当該プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスかどうかを判定することを特徴とする情報処理システム。
【請求項8】
コンピュータを、請求項1乃至5の何れか1項に記載の情報処理装置の各手段として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラムに関する。
【背景技術】
【0002】
CD、DVD、USBストレージデバイス(以下、「USBメモリ」という)などの外部記憶装置は、情報処理装置の記憶装置として広く普及している。ユーザにとって、情報処理装置内のデジタルデータをファイルとして外部記憶装置に書き込んだり、複製したりすることは容易である。そのため、外部記憶装置を媒介して情報漏えいが増加しうる。そこで、特許文献1に開示されているように、CDなどの外部記録装置の利用を制御する情報処理装置が知られている。
【0003】
また、近年、USBメモリへのウィルス混入や感染、情報漏洩などのトラブルを未然に防ぐために、USBメモリにアンチウィルスソフトなどのセキュリティ機能を搭載したUSBメモリ(以下、「セキュリティUSBメモリ」という)が提供されている。セキュリティUSBメモリは、たとえば、認証アプリケーション(たとえば、Startup.exe)が保存されたCD領域と、ストレージ領域とを備える。セキュリティUSBメモリを情報処理装置に接続して、CDドライブをマウントし、CD領域に保存されている認証アプリケーションを起動すると、認証アプリケーションがユーザにアクセス認証キーの入力を求める。アクセス認証キーの照合が成功すると、USBメモリのドライブをマウントし、ストレージ領域への書き込み/読み込みが可能となる。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2014-153888号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、情報処理装置において、CD/DVDの「使用を禁止」(書き込み・読み込みを禁止)、かつ、USBメモリの「使用を許可」(書き込み・読み込みを許可)する設定であった場合、CD/DVDを利用できないため、セキュリティUSBメモリを使用することができない。また、CD領域からストレージ領域に切り替える際に、CD領域に書き込みを行うセキュリティUSBメモリも存在する。CD/DVDを「読み込みのみ許可」、かつ、USBメモリの「使用を許可」する設定であった場合、CD領域からストレージ領域に切り替えることができずにエラーとなり、セキュリティUSBメモリを使用することができない。また、セキュリティを考慮して、セキュリティUSBの使用は許可するが、CD/DVDの使用は禁止したい場合がある。
【0006】
そこで、本発明は、セキュリティと利便性とを両立しつつ、複数の領域を有する外部記憶装置(たとえば、セキュリティUSB)へのアクセスを制御することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するために本発明は以下の構成を有する。すなわち、
第1の情報が保存されている第1の領域と、読み込みおよび書き込みが可能な第2の領域とを有する外部記憶装置を接続可能な情報処理装置であって、
外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト手段と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト手段にてインターセプトされた前記外部記憶装置に対する要求を制御する制御手段と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得手段と
を備え、
前記取得手段により取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御手段は、前記第1の領域を一時的に使用許可に変更する。
第1の情報が保存されている第1の領域と、読み込みおよび書き込みが可能な第2の領域とを有する外部記憶装置を接続可能な情報処理装置であって、
外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト手段と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト手段にてインターセプトされた前記外部記憶装置に対する要求を制御する制御手段と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得手段と
を備え、
前記取得手段により取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御手段は、前記第1の領域を一時的に使用許可に変更する。
【発明の効果】
【0008】
本発明によれば、セキュリティとユーザの利便性を両立しつつ、複数の領域を有する外部記憶装置へのアクセスを制御することができる。
【図面の簡単な説明】
【0009】
【図1】情報処理システムの構成例を示すシステム構成図
【図2】クライアント端末装置110を示すハードウェア構成図
【図3】サーバ装置120を示すハードウェア構成図
【図4】設定情報121の例を示す図
【図5】設定情報121の例を示す図
【図6】クライアント端末装置110の処理を示すフローチャート
【図7】ステップS604の処理を示すフローチャート
【図8】許可プロセス情報リストの構成例を示す図
【図9】ステップS604の処理を示すフローチャート
【図10】許可メモリ情報リストの構成例を示す図
【図11】ステップS604の処理を示すフローチャート
【発明を実施するための形態】
【0010】
以下、図面を参照し本発明の好適な実施形態について説明する。なお、以下に説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載された構成の具体的な実施例の1つである。
【0011】
[第一の実施形態]
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、情報処理装置110、120、外部記憶装置130を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク140に接続されている。以下、情報処理装置110をクライアント端末装置、情報処理装置120をサーバ装置と呼称する場合がある。なお、クライアント端末装置110、サーバ装置120は複数でもよい。また、クライアント端末装置110、サーバ装置120は、PC・携帯端末装置等の、情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。また、端末装置110はネットワーク140を介して接続されているが、ネットワーク140を介さないスタンドアローンでもよい。なお、情報処理システムは、シンクライアント(たとえば、ターミナルサービスなど)を利用した構成でもよい。シンクライアントとは、情報処理装置(クライアント端末装置)がサーバコンピュータにリモート接続し、サーバコンピュータ上に生成された仮想デスクトップ環境を利用してサーバコンピュータ上でアプリケーションプログラムを実行するコンピュータアーキテクチャである
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、情報処理装置110、120、外部記憶装置130を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク140に接続されている。以下、情報処理装置110をクライアント端末装置、情報処理装置120をサーバ装置と呼称する場合がある。なお、クライアント端末装置110、サーバ装置120は複数でもよい。また、クライアント端末装置110、サーバ装置120は、PC・携帯端末装置等の、情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。また、端末装置110はネットワーク140を介して接続されているが、ネットワーク140を介さないスタンドアローンでもよい。なお、情報処理システムは、シンクライアント(たとえば、ターミナルサービスなど)を利用した構成でもよい。シンクライアントとは、情報処理装置(クライアント端末装置)がサーバコンピュータにリモート接続し、サーバコンピュータ上に生成された仮想デスクトップ環境を利用してサーバコンピュータ上でアプリケーションプログラムを実行するコンピュータアーキテクチャである
【0012】
更にクライアント端末装置110には外部記憶装置130を接続することができる。外部記憶装置130は、たとえば、Startup.exeなどのアプリケーションプログラム(第1の情報)を格納するCD領域131(第1の領域)と、ファイルや情報を記憶することができるストレージ領域132(読み込み書き込み可能な第2の領域)を備えている。
【0013】
たとえば、外部記憶装置130を情報処理装置に接続して、CD/DVDドライブをマウントし、CD領域に保存されている認証アプリケーションプログラムを起動する。認証アプリケーションがユーザにアクセス認証キーの入力を求め、アクセス認証キーの照合が成功すると、USBメモリのドライブをマウントし、ストレージ領域への書き込み/読み込みが可能となる。外部記憶装置130としては、たとえば、USBメモリ、モバイル端末、カードリーダ-/ライター、画像読取装置などである。なお、本発明に係る情報処理システムにおいて、外部記憶装置130は必ずしも構成要素の一つである必要はなく、外部記憶装置を使用可能な情報処理システムであればよい。
【0014】
<クライアント端末装置110>
本実施形態に係るクライアント端末装置110のハードウェア構成について、図2を用いて説明する。クライアント端末装置110、サーバ装置120は何れも同じハードウェア構成を有するものとして説明する。然るに、ハードウェア構成についてはクライアント端末装置110を例にとり説明する。CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
本実施形態に係るクライアント端末装置110のハードウェア構成について、図2を用いて説明する。クライアント端末装置110、サーバ装置120は何れも同じハードウェア構成を有するものとして説明する。然るに、ハードウェア構成についてはクライアント端末装置110を例にとり説明する。CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
【0015】
RAM(Random Access Memory)12は、記憶装置16からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、I/F(インターフェース)17を介して外部機器から受信した各種のデータを一時的に記憶するためのエリアを有する。更にRAM12は、CPU11が各種の処理を実行する際に用いるワークエリアも有する。このようにRAM12は、各種のエリアを適宜提供することができる。ROM(Read Only Memory)13には、本装置の設定データやブートプログラムなどが格納されている。
【0016】
操作部14は、マウスやキーボードなどにより構成されており、本装置の操作者が操作することで、各種の指示をCPU11に対して入力することができる。表示部15は、CRT、液晶画面またはOLEDなどにより構成されており、CPU11による処理結果を画像や文字などでもって表示することができる。
【0017】
記憶装置16は、ハードディスクドライブ装置に代表される大容量情報記憶装置である。この記憶装置16には、OS(オペレーティングシステム)や、本装置が行うものとして後述する各処理をCPU11に実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、セキュリティソフトウェア111が含まれている。セキュリティソフトウェア111は、クライアント端末装置110のデータやプログラム等の安全を確保するセキュリティ管理のためのプログラムであり、たとえば、機器の接続の可否の設定に応じてその機器の接続を制限する機能を有する。記憶装置16に保存されているコンピュータプログラムやデータは、CPU11による制御に従って適宜RAM12にロードされ、CPU11による処理対象となる。
【0018】
I/F17は、様々なインターフェースで構成されている。ネットワーク140に接続するためのネットワークインターフェース、外部記憶装置130を接続するためのデバイスインターフェースを含む。上記の各部は何れも、バス18に接続されている。
【0019】
<サーバ装置120>
サーバ装置のハードウェア構成は、図3に示す如く、上記で説明したクライアント端末装置110のハードウェア構成と同様であるとする。図3において、図2に示す部材と同一の部材は詳細な説明は省略する。即ち、サーバ装置120のCPU31は、サーバ装置120の記憶装置36に保存されているコンピュータプログラムやデータを用いて、サーバ装置120のI/F37を介して外部機器とのデータ通信を行うと共に、サーバ装置が行うものとして後述する各処理を実行する。また、サーバ装置120の記憶装置36には、設定情報121が登録されている。
サーバ装置のハードウェア構成は、図3に示す如く、上記で説明したクライアント端末装置110のハードウェア構成と同様であるとする。図3において、図2に示す部材と同一の部材は詳細な説明は省略する。即ち、サーバ装置120のCPU31は、サーバ装置120の記憶装置36に保存されているコンピュータプログラムやデータを用いて、サーバ装置120のI/F37を介して外部機器とのデータ通信を行うと共に、サーバ装置が行うものとして後述する各処理を実行する。また、サーバ装置120の記憶装置36には、設定情報121が登録されている。
【0020】
この設定情報121には、外部記憶装置(USBメモリ、CD/DVDなど)に対して実行される制御の内容が設定されている。図4、図5は、設定情報121の一例を示す図である。具体的には、図4に示す如く、クライアント端末装置110が利用可能な対象機器名(USBメモリ、CD/DVDなど)と制御方法(許可、読み込みのみ許可、書き込み禁止、禁止など)が登録されている。たとえば、クライアント端末装置110における設定情報121には、USBメモリは「使用許可」で、CD/DVDは「読み込みのみ許可」と登録されていることになる。また、設定情報121は、許可対象のUSBメモリの識別情報(対象とするUSBメモリによって、アクセスを許可する場合に、アクセスを許可するUSBメモリを示す情報)でもよい。この情報は図5のように、ベンダID、プロダクトID、シリアル番号など、USBメモリを個々に識別できる情報、もしくは、USBメモリ全部を許可する、などの情報でもよい。また、設定情報121は、禁止対象のUSBメモリの識別情報(対象とするUSBメモリによって、アクセスを禁止する場合に、アクセスを禁止するUSBメモリを示す情報)でもよい。
【0021】
なお、クライアント端末装置110における設定情報121をサーバ装置120の記憶装置16が一括して管理する代わりに、それぞれのクライアント端末装置110が自身の設定情報121を保持しておくようにしても構わない。然るにこのような場合には、サーバ装置120は必須ではない。なお、図4、図5の設定情報121は一例であって、ユーザ名、端末名などが登録されていてもよい。
【0022】
<クライアント端末装置の処理>
次に、クライアント端末装置110の記憶装置16に保存されている、セキュリティソフトウェア111について、フローチャート図6を用いて説明する。ここでは、アプリケーションプログラム(たとえば、Startup.exe)が記憶されたCD領域131と、ストレージ領域132とを有する外部記憶装置130(たとえば、セキュリティUSBメモリ)を例に説明をする。また、設定情報121は、図4に示すように、USBメモリは「使用許可」で、CD/DVDは「読み込みのみ許可」と登録されているものとして説明する。
次に、クライアント端末装置110の記憶装置16に保存されている、セキュリティソフトウェア111について、フローチャート図6を用いて説明する。ここでは、アプリケーションプログラム(たとえば、Startup.exe)が記憶されたCD領域131と、ストレージ領域132とを有する外部記憶装置130(たとえば、セキュリティUSBメモリ)を例に説明をする。また、設定情報121は、図4に示すように、USBメモリは「使用許可」で、CD/DVDは「読み込みのみ許可」と登録されているものとして説明する。
【0023】
セキュリティソフトウェア111は、自装置(ここではクライアント端末装置110)に接続された外部記憶装置への制御方法を変更し、外部記憶装置へのアクセス制御を行うためのソフトウエアである。なお、図6の手順は、それぞれのクライアント端末装置110が自身の設定情報121を保持しているものとして説明する。また本実施形態では、クライアント端末110では、たとえば、Windows(登録商標)オペレーティングシステム(OS)が実行され、プログラムはその管理下で実行される。なお、Windowsに限らず、MacOSおよびLinux(登録商標)などのオペレーティングシステムでもよい。
【0024】
CPU11は、セキュリティソフトウェア111を記憶装置16からRAM12にロードし、該ロードされたセキュリティソフトウェア111を起動する。セキュリティソフトウェア111は、サービスプログラムとして自動的に起動するようにしても構わないし、ユーザからの操作指示に応じて任意に起動するようにしても構わない。CPU11は、セキュリティソフトウェア111にしたがって、セキュリティソフトウェア111のファイルシステムフィルタドライバをロードし、クライアント端末装置110のファイルシステムを監視する。ファイルシステムフィルタドライバは、ファイルシステムドライバの上で、かつシステムコールAPIの下のレイヤに位置するプログラムであり、すべてのファイルシステムの処理を監視することができる。このとき、セキュリティソフトウェア111は、ロードしたファイルシステムフィルタドライバに、設定情報121を送信する。
【0025】
USBメモリが挿されると、ファイルシステムが作成されるので、S601では、CPU11は、セキュリティソフトウェア111にしたがって、作成されたファイルシステムを検知し、上記ファイルシステムのI/O Request Packet(以下、「IRP」という)を監視する。たとえば、IRP_MJ_WRITEやIRP_MJ_SET_INFOMATIONなどのIRPを、ファイルシステムフィルタドライバがインターセプトする。
【0026】
S602では、CPU11は、セキュリティソフトウェア111にしたがって、インターセプトしたIRPから、対象機器はCD/DVDか否かを判定する。
【0027】
対象機器はCD/DVDではないと判定された場合(S602のNO)、S603では、CPU11は、セキュリティソフトウェア111にしたがって、設定情報121に基づいて、対象機器の制御(使用許可・使用禁止(書き込み・読み込み禁止)・読み込みのみ許可)を行う。たとえば、図4に示すような設定情報121では、USBメモリは「使用許可」であるため、ファイルシステムフィルタドライバは、USBメモリのドライバにSTATUS_SUCCESSを返し、使用できるようにする。またS601で渡されたUSBメモリの識別情報(デバイス名、ベンダID、プロダクトID、シリアル番号等)と、図5のような設定情報を基に判断してもよい。
【0028】
対象機器はCD/DVDであると判定した場合(S602のYES)、CPU11は、セキュリティソフトウェア111にしたがって、S604に進む。
【0029】
なお、ここでは、フィルタリングする方法として、フィルタドライバ技術を使用しているが、APIフックなど別の方法が採用されてもよい。APIフックとは、API要求を監視し、API要求を別の内容に置き換えることをいう。また、デバイスマネージャーを用いて制御処理を行ってもよい。例えばRegisterDeviceNotificationというAPIを用いて、デバイスマネージャーを監視する。デバイスマネージャーは、WindowsOSが備えているユーティリティプログラムのひとつであり、コンピュータを構成するハードウェアを管理することができる。管理の内容には、コンピュータに接続された機器の一覧や正常動作の確認、装置の有効または無効の切り替え等が可能である。
【0030】
<ステップS604における処理1>
上記ステップS604における処理の詳細について、同処理のフローチャートを示す図7を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図8のように、使用を許可するプロセスを示す許可プロセス情報リストが送信され、設定情報121として保存されているものとして説明する。なお、プロセス名は一例であり、プロセスID、ハッシュ値、プロセスのデジタル署名有無、プロセスの製造企業名などでもよい。
上記ステップS604における処理の詳細について、同処理のフローチャートを示す図7を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図8のように、使用を許可するプロセスを示す許可プロセス情報リストが送信され、設定情報121として保存されているものとして説明する。なお、プロセス名は一例であり、プロセスID、ハッシュ値、プロセスのデジタル署名有無、プロセスの製造企業名などでもよい。
【0031】
S701では、CPU11は、セキュリティソフトウェア111にしたがって、起動したプロセスを識別するプロセス情報を取得する。具体的には、起動したCD領域に記憶されているアプリケーションプログラム名(プロセス名)を取得する。なお、取得するのは、プロセス名に限らず、プロセスID、ハッシュ値、プロセスのデジタル署名有無、プロセスの製造企業名などでもよい。
【0032】
S702では、CPU11は、セキュリティソフトウェア111にしたがって、S701で取得したプロセス情報と、許可プロセス情報リストとを比較して、使用許可プロセスか否かを判定する。
【0033】
使用許可プロセスであると判定された場合(S702のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書き込み・読み込みを許可)に変更して制御する(S703)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、使用許可プロセスであると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、プロセス終了後に元に戻してもよい。
【0034】
使用許可プロセスでないと判定された場合(S702のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。
【0035】
複数の領域(たとえば、CD領域131、ストレージ領域132)を有するUSBメモリを利用する場合、領域間(CD領域131からストレージ領域132)を切り替える際に、クライアント端末装置110は書き込み要求と同様な要求をCD領域131に対して行う場合がある。図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、領域間を切り替えることができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可プロセスであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
【0036】
また、CD領域に保存されている認証アプリケーションプログラムを起動し、ユーザにアクセス認証キーの入力を求め、アクセス認証キーの照合を行う際に、クライアント端末装置110は書き込み要求と同様な要求をCD領域に対して行う場合がある。図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、アクセス認証キーの照合ができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可プロセスであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
【0037】
また、複数の領域を有するUSBメモリは、メモリ毎に異なるアプリケーション(プロセス)をCD領域に有する。上述したように、プロセスに応じて制御方法を変更することで、複数の領域を有するUSBメモリ毎に異なる制御を行うことができる。
【0038】
<ステップS604における処理2>
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図9を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図10のように、アクセスを許可するメモリを示す許可メモリ情報リスト(使用許可企業名、ベンダID、プロダクトIDなど)が送信され、設定情報121として保存されているものとして説明する。なお、許可メモリ情報リストは一例であって、外部記憶装置を識別する情報であればこれに限定されない。
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図9を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図10のように、アクセスを許可するメモリを示す許可メモリ情報リスト(使用許可企業名、ベンダID、プロダクトIDなど)が送信され、設定情報121として保存されているものとして説明する。なお、許可メモリ情報リストは一例であって、外部記憶装置を識別する情報であればこれに限定されない。
【0039】
S901では、CPU11は、セキュリティソフトウェア111にしたがって、クライアント端末装置110に挿し込まれた複数の領域を有するUSBメモリがマウントしたCD/DVDを識別するメモリ情報(製造した企業名・ベンダID・プロダクトIDなど)を取得する。
【0040】
S902では、CPU11は、セキュリティソフトウェア111にしたがって、S901で取得したメモリ情報と、許可メモリ情報リストとを比較して、使用許可メモリか否かを判定する。
【0041】
使用許可メモリであると判定された場合(S902のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書き込み・読み込みを許可)に変更して制御する(S903)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、使用許可メモリであると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、外部記憶装置130をクライアント端末装置110から抜いた後に元に戻してもよい。
【0042】
使用許可メモリではないと判定された場合(S902のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。
【0043】
図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、領域間を切り替えることができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可メモリであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
【0044】
また、図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、アクセス認証キーの照合ができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可メモリであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
【0045】
また、上述したように、使用許可メモリ情報(企業名・ベンダID・プロダクトIDなど)に応じて制御方法を変更することで、複数の領域を有するUSBメモリ内に記憶されているアプリケーションがバージョンアップした場合でも、制御を行うことができる。
【0046】
<ステップS604における処理3>
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図11を用いて説明する。
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図11を用いて説明する。
【0047】
S1101では、CPU11は、セキュリティソフトウェア111にしたがって、起動されたプログラム(起動されたCD領域に記憶されているアプリケーションプログラム)が保存された保存先を示す情報を取得する。すなわち、クライアント端末装置110における保存先を示す情報を取得する。
【0048】
S1102では、CPU11は、セキュリティソフトウェア111にしたがって、S1101で取得した情報が示す保存先がCD/DVDドライブ内か否かを判定する。
【0049】
保存先がCD/DVDドライブ内であった場合(S1102のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書込み/読み込みを許可)に変更して制御する(S1103)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、保存先がCD/DVDドライブ内であると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、プロセス終了後に元に戻してもよい。
【0050】
CD/DVDドライブ内に保存されていないプログラムの起動である場合(S1102のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。または、CD/DVDドライブ外に保存されたプログラムの起動である場合、ウィルスなどの可能性もあるため、使用禁止(書き込み・読み込みを禁止)状態に変更してもよい。
【0051】
上述したように、プロセスの保存先に応じて制御方法を変更することで、プロセス名やベンダID等の管理を行うことなく、汎用的な制御を行うことができる。
【0052】
このように、本実施形態によれば、プロセス情報、メモリ情報、またはプロセスの保存先に基づいて制御を変更するので、セキュリティと利便性とを両立した制御を行うことができる。
【0053】
また、設定情報に関わらず使用を変更する処理は、前記の具体例に限定されるものではない。プロセス情報、メモリ情報、またはプロセスの保存先のいずれか、または組み合わせに基づいて制御を変更してもよい。たとえば、「許可プロセス名リストと一致し、かつ、許可メモリ情報と一致する場合、使用許可に変更する」という組み合わせでもよい。
【0054】
また、本実施形態では、許可対象のリスト(許可プロセス情報リスト、許可メモリ情報リスト)として説明したが、リストは禁止対象のリストでもよい。
【0055】
また、本実施形態では、設定情報121は、USBメモリは「使用許可」、CD/DVDは「読み込みのみ許可」と登録されているものとして説明したが、USBメモリは「使用許可」で、CD/DVDは「使用禁止」(書き込み禁止・読み込み禁止)と登録されている場合でも、複数の領域を有するUSBメモリへのアクセスを制御することが可能である。
【0056】
また、本実施形態では、図6のS602にて、インターセプトしたIRPから、対象機器はCD/DVDか否かを判定する処理を行っている。しかし、CD領域に対するIRP・ストレージ領域に対するIRPを各々フィルタリングすることで、S602の処理を省略してもよい。その場合、図7のS702、図9のS902、図11のS1102にて「NO」と判定された場合、S603に示す設定情報121に基づいた制御を行えばよい。
【0057】
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】