JP4735331B2 - 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 - Google Patents
仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 Download PDFInfo
- Publication number
- JP4735331B2 JP4735331B2 JP2006054868A JP2006054868A JP4735331B2 JP 4735331 B2 JP4735331 B2 JP 4735331B2 JP 2006054868 A JP2006054868 A JP 2006054868A JP 2006054868 A JP2006054868 A JP 2006054868A JP 4735331 B2 JP4735331 B2 JP 4735331B2
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- machine unit
- confidential
- normal
- shared file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、情報処理装置が保持する機密情報の漏洩を防止する技術に関し、特に、仮想マシン(Virtual Machine)を利用した情報処理装置のための技術に関する。
従来、企業等において、イントラネットを利用したクライアントサーバシステムが構築されている。クライアント装置を用いて業務処理を行う際、その都度サーバにアクセスするという手間を省くために、対象の文書データの複製がクライアント内の記憶装置に保管されることがある。しかしながら、これは、サーバの文書データがイントラネット内に偏在するという結果を招き、ひいては、情報漏洩を誘発する要因となる。また、昨今では、2005年4月に個人情報保護法が施行されたことにより、個人情報の漏洩対策に注目が集まっている。
コンピュータシステムにおける情報漏洩を防止する技術に関し、例えば、後述の特許文献1に記載のものがある。特許文献1に記載のシステムは、クライアントとなるユーザコンピュータが、プログラムの指令やネットワーク上に流れるデータを監視することで、機密情報を含む文書データが持ち出されることを禁止するというものである。
また、従来、1つのコンピュータ上で仮想的に複数のコンピュータを形成する仮想マシン技術が知られている。この仮想マシン技術を利用して機密情報を取り扱う場合、機密文書を扱う仮想マシンと、通常文書を扱う仮想マシンとを隔離することにより、機密情報の漏洩が防止される。しかしながら、一般的な事務作業では、機密文書を通常文書からの転記処理により作成することがあり、機密文書を扱う仮想マシンから通常文書をまったく参照できないことは、事務作業に不便が生じる。
上記のような不都合に鑑みた技術として、例えば、後述の特許文献2に記載のものがある。特許文献2には、複数の仮想マシン間のアクセス許可に関しオペレータがコードを設定し、そのコードに基づいて両者間のアクセスを制御するシステムが提案されている。
特開2005−275669号公報
特開2002−073358号公報
上記特許文献1に記載のシステムでは、文書に対するプログラムからの要求に応じるか否かを判断する際、それが文書の読み出し要求であるのか、あるいは書き込み要求であるのかが判断基準とされる。
しかしながら、現実には、既存の文書に対し書き込みを行う場合、その文書の記憶位置を探索する目的で、記憶域から文書の名称などの属性情報を読み込む必要がある。よって、プログラムからの要求が書き込み処理であっても、実際には読み込み処理も行われている。そうすると、上記文献のシステムにあっては、プログラムからの要求に応じるか否かを適正に判断することができないおそれがある。
また、上記特許文献2に記載のシステムにあっては、仮想マシン間のアクセス可否に関するコード設定がオペレータ操作により行われることから、機密情報を不正に入手しようとする者がオペレータに成りすますという事態が懸念される。
本発明は、上記課題に鑑みてなされたものであり、仮想マシンを利用したシステムにおいて機密情報の漏洩を防止しつつ情報処理の利便性を高める技術を提案することを目的とする。
本発明に係る情報処理装置は、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部とを有し、前記入出力制御部は、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新し、前記入出力制御部は、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に書き込みを許可し、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可することを特徴とする。
また、本発明に係るプログラムは、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のプログラムであって、前記情報処理装置を、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新する手段と、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に書き込みを許可する手段と、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可する手段と、して機能させることを特徴とする。
また、本発明に係る情報処理システムは、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、機密情報を含む機密文書及び機密文書を含まない通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共用記憶領域と、前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部と、を有するクライアント装置と、それぞれ前記クライアント装置に通信可能に接続され、機密情報を含む文書データのファイルを保持する機密サーバ、及び前記機密情報を含まない文書データのファイルを保持する通常サーバを備え、前記入出力制御部は、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバに書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバのいずれかの書き込み要求元を順次最新更新者として更新し、前記入出力制御部は、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、書き込み要求元が前記機密仮想マシン部及び前記機密サーバの場合に書き込みを許可し、前記最新更新者が前記通常仮想マシン部又は通常サーバである場合には、書き込み要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に書き込みを許可し、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、読み出し要求元が前記機密仮想マシン部及び前記機密サーバの場合に読み出しを許可し、前記最新更新者が前記通常仮想マシン部又は前記通常サーバである場合には、読み出し要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に読み出しを許可することを特徴とする。
また、本発明に係るアクセス制御方法は、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、前記共有記憶領域に保存された前記共有ブァイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のアクセス制御方法であって、前記入出力制御部が、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新するステップと、前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合のみ書き込みを許可するステップと、前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可するステップと、を含むことを特徴とする。
また、本発明に係るプログラムは、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のプログラムであって、前記情報処理装置を、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新する手段と、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に書き込みを許可する手段と、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可する手段と、して機能させることを特徴とする。
また、本発明に係る情報処理システムは、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、機密情報を含む機密文書及び機密文書を含まない通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共用記憶領域と、前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部と、を有するクライアント装置と、それぞれ前記クライアント装置に通信可能に接続され、機密情報を含む文書データのファイルを保持する機密サーバ、及び前記機密情報を含まない文書データのファイルを保持する通常サーバを備え、前記入出力制御部は、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバに書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバのいずれかの書き込み要求元を順次最新更新者として更新し、前記入出力制御部は、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、書き込み要求元が前記機密仮想マシン部及び前記機密サーバの場合に書き込みを許可し、前記最新更新者が前記通常仮想マシン部又は通常サーバである場合には、書き込み要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に書き込みを許可し、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、読み出し要求元が前記機密仮想マシン部及び前記機密サーバの場合に読み出しを許可し、前記最新更新者が前記通常仮想マシン部又は前記通常サーバである場合には、読み出し要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に読み出しを許可することを特徴とする。
また、本発明に係るアクセス制御方法は、相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、前記共有記憶領域に保存された前記共有ブァイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のアクセス制御方法であって、前記入出力制御部が、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新するステップと、前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合のみ書き込みを許可するステップと、前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可するステップと、を含むことを特徴とする。
本発明によれば、2系統の仮想マシン部に関連する文書データを保存する共用記憶域を設けたことにより、仮想マシン部間の情報処理の利便性が高められる。また、共用記憶域からの文書データの読み出し制限を、その文書データに対する書き込み履歴に応じて自動制御することができる。よって、2系統の仮想マシン部の一方にのみ機密文書を処理させることにより、機密情報の漏洩を防止することができる。
図1に、本発明の実施形態のシステム構成を示す。本実施形態のシステムは、インターネットやイントラネットなどの通信網112に、ワークステーションやパーソナルコンピュータなど任意の数のクライアント101、機密サーバ113および通常サーバ114が接続された構成である。
クライアント101は、取り扱う文書データの機密性の有無に対応した2系統の仮想マシン部を備える。それらは、機密情報を含む文書データを処理する仮想マシン部である機密VM102と、機密でない文書データを処理する仮想マシン部である通常VM103とである。これら機密VM102及び通常VM103は、コンピュータ上に仮想マシンを形成するためのVMWare(登録商標)あるいはVirtual PCなどの従来知られたソフトウェアをクライアント101に設定することにより実現可能である。
機密VM102および通常VM103では、それぞれWindowsXP(登録商標)などのオペレーティングシステムが独立に稼動し、その制御下で、例えば機密VM102では、機密文書の作成/編集等を行うプログラム108と、機密文書の書き込み処理及び読み出し処理等を制御するプログラムである機密VM制御手段107とが実行される。また、通常VM103では、通常文書に関し、同様に、プログラム111及び通常VM制御手段110が実行される。
機密VM102及び通常VM103には、それぞれ文書データを格納するための記憶域106及び記憶域109が個別に設けられている。記憶域106及び記憶域109は、クライアント101が具備する記憶装置(図示略)に割り当てられた所定の記憶域である。機密VM制御手段107及び通常VM制御手段110は、それぞれのVMのプログラム108及びプログラム111により作成した文書データを、それぞれの記憶域106及び記憶域109に格納する。
また、図1に示すように、クライアント101は入出力制御部117を備える。入出力制御部117は、機密VM102及び通常VM103に対する文書データの授受、及び、通信網112を介した機密サーバ113及び通常サーバ115との交信を制御する外部装置入出力手段105と、共用記憶域104に対する文書データの入出力を制御する共有ファイル管理手段201とを有する。
共用記憶域104は、クライアント101の記憶装置において各VMの記憶域106及び記憶域109と別個に割り当てられた記憶域である。この共用記憶域104には、機密VM102および機密サーバ113からの機密文書、及び、通常VM103および通常サーバ115からの通常文書が共有ファイルとして格納される。
外部装置入出力手段105は、機密文書及び通常文書を共用記憶域104へ書き込む要求、及び、書き込まれた文書に対する読み出し要求を受け付け、それらの要求の諾否を判定する機能を果たす。判定の結果は、共有ファイル管理手段201による共用記憶域104の入出力制御に反映される。
また、外部装置入出力手段105は、機密サーバ113及び通常サーバ115に対しIEEE802.3のような通信プロトコルに基づき交信する通信機能を有する。機密サーバ113に対し機密文書を授受する際、外部装置入出力手段105は、IPSec(Security Architecture for Internet Protocol)あるいはSSL(Secure Socket Layer)などの暗号化プロトコルを利用し、授受するデータを暗号化および復号する。暗号化及び復号のための鍵情報は、予め機密サーバ113と共通のものを保持しておく。
図2に、共用記憶域104に保存される共有ファイル202を模式的に示す。共有ファイル202は、具体的には、機密VM102にて作成された機密文書および通常VM103にて作成された通常文書を、新規に保存したもの、あるいは一旦読み出して編集し再び保存したものである。
共有ファイル202には、その内容204を作成または編集したVM(102/103)あるいはサーバ(113/115)の情報が、共有ファイル管理手段201により最終更新者203として記述される。よって、最終更新者203の値は、内容204が編集されるごとに変化する。なお、最終更新者203の記録は、文書の作成記録に関し一般的なファイルシステムが具備する機能を利用する。
機密サーバ113は、機密情報を含む文書データであるファイル114を保持する。このファイル114をクライアント101に向けて通信網112へ出力する場合、その内容を、クライアント101と共通の暗号鍵を用いて暗号化する。また、通信網112から受信した文書に対しては、同一の鍵を用いて復号する。他方の通常サーバ115は、機密でない文書データであるファイル116を保持する。通常サーバ115は、クライアント101の通常VM103、および、通信網112上に存在する他のコンピュータシステムからアクセス可能である。
図3に、外部装置入出力手段105によるアクセス判定の基準を示す。外部装置入出力手段105は、各VM(102/103)及び各サーバ(113/115)間のアクセス可否を図3の一覧に示すように判定する。図示の「要求元」とは、アクセス要求を発信したVM又はサーバを指し、「要求先」とは、その要求がいずれのVM又はサーバを対象としたものかを指す。図示の一覧は、各VM(102/103)及び各サーバ(113/115)間の直接的な文書データの授受、すなわち共用記憶域104を利用しないアクセスに関する規定である。
本システムでは、機密情報の漏洩を防止するための1つの策として、図3に示すように、機密文書を取り扱う機密VM102及び機密サーバ113と、通常文書を取り扱う通常VM103及び通常サーバ115との間の直接的なアクセスを禁止する。
図4に、共用記憶域104の共有ファイル202に対する読み出し及び書き込みに関する判定基準を示す。外部装置入出力手段105は、共用記憶域104に保存されている共有ファイル202に対する各VM(102/103)及び各サーバ(113/115)からの読み出し及び書き込み要求に対する諾否を、図4の一覧に示すように判定する。図4の一覧における「最終更新者」とは、図2に示す最終更新者203を指し、すなわち、読み出し又は書き込み対象の共有ファイル202の最終更新者203に、何れのVM(102/103)又はサーバ(113/115)が記録されているかを指す。
なお、書き込み要求については、既存の共有ファイル202に対する書き込み処理(上書き処理)に図4の一覧が適用され、新規の共有ファイル202の書き込み要求は、いずれの各VM(102/103)及び各サーバ(113/115)も許可される。
図4に示すように、外部装置入出力手段105は、最終更新者203が通常VM103または通常サーバ115である共有ファイル202に対し、いずれのVM及びサーバからも読み出し可能と判定する。
一方、最終更新者203として機密VM102又は機密サーバ113が記述されている共有ファイル202については、それら機密VM102及び機密サーバ113からの要求は許可するが、通常VM103及び通常サーバ115からの要求は許可しない。これは、当初、通常文書として登録された共有ファイル202であっても、その後、機密VM102あるいは機密サーバ113により更新処理された時点で、以降の取り扱いを機密扱いにするという判定基準である。これにより、機密VM102にて機密文書を作成する際に、通常VM103の通常文書を閲覧することができると同時に、機密情報の漏洩を防止することができる。
図5に示すフローチャートを参照して、本実施形態の動作について説明する。まず、第1の実施例として、機密VM102のプログラム108が、通常VM103の記憶域109にある通常文書を参照して機密文書を作成するケースを説明する。
通常VM103上のプログラム111は、通常VM制御手段110を通じて、記憶域109内に存在する通常文書の複製を共用記憶域104へ保存するよう通常VM制御手段110に指示する。通常VM制御手段110は、対象の通常文書を共用記憶域104へ新規に書き込むよう外部装置入出力手段105へ要求する。
外部装置入出力手段105は、通常VM制御手段110からの書き込み要求の諾否を、図4の判定基準に基づき判定する(図5:S1)。今回の要求は、「要求元」は通常VM103であり、「要求先」は共用記憶域104であり、要求される処理は文書データの新規の書き込みであることから、アクセス可能と判断される。また、外部装置入出力手段105は、今回の要求先である共用記憶域104を制御する共有ファイル管理手段201に対し、要求された書き込み要求を通知する(S2:共用記憶域)。
ここで、図6のフローチャートを参照して、共有ファイル管理手段201の動作について説明する。共有ファイル管理手段201は、その基本動作として、外部装置入出力手段105から通知された要求に従い、共有ファイル202の内容204に対する読み出し処理または書き込み処理を実行する(S11)。
共有ファイル管理手段201は、要求された処理の種類が書き込み処理である場合(S12:書込処理)、要求元のVMあるいはサーバのID値を最終更新者203として記録する(S13)。このID値としては、機密文書を扱うVM及びサーバ(102/113)と、通常文書を扱うVM及びサーバ(103/115)とを外部装置入出力手段105で判別できる値であれば、任意の値でよい。また、要求が共有ファイル202の読み出し処理である場合は(S12:読出処理)、最終更新者203の記録を変更せず処理を終了する。
今回の要求は、通常VM103からの通常文書の新規保存であることから、共有ファイル管理手段201は、新たに共有ファイル202を作成し、その内容204として通常VM103からの通常文書を格納する。また、今回の要求が書き込み処理であることから、要求元である通常VM103のID値を最終更新者203に記録する。
その後、機密VM102上のプログラム108が、新規保存された上記共有ファイル202の読み出しを、機密VM制御手段107を通じて外部装置入出力手段105に対し要求する。ここでは、「要求元」は機密VM102であり、要求する処理は共有ファイル202の読み出しである。また、対象の共有ファイル202の最終更新者203は、前述したように通常VM103であることから、図4より、外部装置入出力手段105は、機密VM102による読み出し要求を許可する。
外部装置入出力手段105は、共有ファイル管理手段201に共有ファイル202の読み出し要求を渡し、これを認識した共有ファイル管理手段201は、共有ファイル202の内容204を返す。このとき、今回の処理要求は読み出し処理であることから、図6より、共有ファイル202の最終更新者203の値は変化しない。このようにして、通常VM103の通常文書が機密VM102に供給される。
次に、第2の実施例として、上記第1の実施例で新規作成した共有ファイル202を機密VM102上のプログラム108で編集して共用記憶域104に更新した後、その共有ファイル202に対し、通常VM103上のプログラム111により読み込みを試みるケースを説明する。
機密VM102上のプログラム108は、共用記憶域104から取得した文書データの編集を終えると、これを共用記憶域104へ戻すべく、機密VM制御手段107を通じて、外部装置入出力手段105に対し書き込み要求を通知する。
外部装置入出力手段105は、上記要求に対し、「要求元」は機密VM102であり、要求する処理は共有ファイル202の書き込みであることを認識する。さらに、対象の共有ファイル202の最終更新者203は、現時点では未だ通常VM103であることから、図4より、外部装置入出力手段105は、機密VM102からの書き込みを許可する。
外部装置入出力手段105は、編集された機密VM102からの文書データを共有ファイル管理手段201を通じて共用記憶域104の共有ファイル202へ書き込む。このとき、共有ファイル202の最終更新者203は、“通常”から“機密”に変更される。
その後、通常VM103上のプログラム111から共有ファイル202にアクセスするが、外部装置入出力手段105で判断される内容は次の通りである。すなわち、今回の「要求元」は通常VM103であり、要求された処理は共有ファイル202の読み出しであるが、読み出し対象の共有ファイル202に現時点で記録されている最終更新者203の値は、前述のとおり“機密”である。従って、図4より、通常VM103から共有ファイル202へのアクセスは不可と判定される。
このように、たとえ共有ファイル202が通常文書で新規登録されても、それが機密VM102又は機密サーバ113により更新された場合は、以降、その共有ファイル202に対する通常VM103及び通常サーバ115によるアクセスは禁止される。これにより、機密情報の漏洩を確実に防止できる。
次に、第3の実施例として、機密VM102上のプログラム108が機密サーバ113にアクセスし、機密サーバ113内のファイル114を取得するケースを説明する。
機密VM102上のプログラム108は、機密VM制御手段107および外部装置入出力手段105を通じて、通信網112上の機密サーバ113に対するファイルの読み込み要求を出す。外部装置入出力手段105は、今回の「要求元」は機密VM102であり、「要求先」は通信網112上の機密サーバ113であることから、図3より、アクセス可能と判定する。
外部装置入出力手段105は、機密VM102に対する読み出し要求の情報を、暗号化したうえで通信網112に送信する(図5:S6、S7)。このとき送信する情報は、読み出し対象となるファイル114の名称などを含む。その後、外部装置入出力手段105は、ファイル114の内容を含む応答情報を機密VM102から受信すると、それを復号し(S8)、図3に沿ったアクセス判定を経て、ファイル114を機密VM102へ渡す。
この間、通信網112上の機密サーバ113は、クライアント101から受信した読み出し要求の情報を復号し、その要求内容を認識する。そして、ファイル114の内容をセットした応答情報を暗号化して通信網112へ送出する。このように、機密文書を通信網112へ送出する際にそれを暗号化する機能をクライアント101及び機密サーバ113に備えたことで、通信網112の伝播途中における機密情報の漏洩や改ざんを防止することができる。
なお、他方の通常VM103及び通常サーバ115間のアクセスの際は、授受するデータに機密性は無いことから、データの暗号化/復号は不要である(S5)。
次に、第4の実施例として、機密VM102上のプログラム108により、通常サーバ115へ機密文書の送信を試みるケースを説明する。これは、例えば、クライアント101の機密文書を外部に流出させようとする不正行為に該当する。
オペレータ操作を認識した機密VM102上のプログラム108は、機密VM制御手段107を通じて、外部装置入出力手段105に対し、記憶域106にある機密文書を通常サーバ115に送信する要求を出す。要求を受けた外部装置入出力手段105は、今回の「要求元」は機密VM102であるが、「要求先」は通信網112上の通常サーバ115であることから、図3より、今回のアクセス要求は不可と判定する。
このように、たとえ機密VM102が通常サーバ115に対し機密文書の送信要求を発しても、その要求は通信網112へ送出される前にクライアント101内で遮断される。よって、機密情報の漏洩を確実に防止できる。
以上説明した実施形態によれば、機密VM102及び通常VM103間の文書データの授受に入出力制御部117を介在させることから、機密情報の漏洩を防止しつつ情報処理の利便性を高めることができる。
より具体的には、共用記憶域104を利用し、通常VM103で作成した通常文書が共有ファイル202として保存されるので、通常VM103との直接的なアクセスが禁止されている機密VM102や機密サーバ113であっても、通常文書を利用することができる。これにより、クライアント101による事務作業を効率よく行うことができる。
また、たとえ新規に作成された共有ファイル202が通常文書であっても、後の更新処理により、最終更新者203が“機密”となった場合、外部装置入出力手段105が、その共有ファイル202に対する通常VM103及び通常サーバ115からのアクセスを禁止する。よって、機密文書に対するアクセス制限を、オペレータ操作を介することなく自動的に制御することができる。これにより、機密情報の漏洩を防止することができる。
101:クライアント、102:機密VM、103:通常VM、104:共用記憶域、105:外部装置入出力手段、106/109:記憶域、107:機密VM制御手段、108/111:プログラム、110:通常VM制御手段、112:通信網、113:機密サーバ、114/116:ファイル、115:通常サーバ、117:入出力制御部、201:共有ファイル管理手段、202:共有ファイル、203:最終更新者、204:内容
Claims (6)
- 相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、
前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、
前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部とを有し、
前記入出力制御部は、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新し、
前記入出力制御部は、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に書き込みを許可し、
前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可することを特徴とする情報処理装置。 - 相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、
前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、
前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のプログラムであって、
前記情報処理装置を、
前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新する手段と、
前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に書き込みを許可する手段と、
前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可する手段と、
して機能させるためのプログラム。 - 相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、
機密情報を含む機密文書及び機密文書を含まない通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共用記憶領域と、
前記共有記憶領域に保存された前記共有ファイルに対するアクセスを制御する入出力制御部と、
を有するクライアント装置と、
それぞれ前記クライアント装置に通信可能に接続され、機密情報を含む文書データのファイルを保持する機密サーバ、及び前記機密情報を含まない文書データのファイルを保持する通常サーバを備え、
前記入出力制御部は、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバに書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部、前記通常仮想マシン部、前記機密サーバ、前記通常サーバのいずれかの書き込み要求元を順次最新更新者として更新し、
前記入出力制御部は、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、書き込み要求元が前記機密仮想マシン部及び前記機密サーバの場合に書き込みを許可し、前記最新更新者が前記通常仮想マシン部又は通常サーバである場合には、書き込み要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に書き込みを許可し、
前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部又は前記機密サーバである場合には、読み出し要求元が前記機密仮想マシン部及び前記機密サーバの場合に読み出しを許可し、前記最新更新者が前記通常仮想マシン部又は前記通常サーバである場合には、読み出し要求元が前記通常仮想マシン部、前記機密仮想マシン部、前記通常サーバ、前記機密サーバの場合に読み出しを許可することを特徴とする情報処理システム。 - 前記機密サーバは、文書データの暗号化及び復号化のための暗号鍵情報を保持し、前記クライアント装置は、前記暗号鍵情報と共通の暗号鍵情報を保持し、前記入出力制御部は、前記機密仮想マシン部と前記機密サーバとの間で交信する文書データに対して前記暗号鍵情報を用いて暗号化及び復号化処理を実行することを特徴とする請求項3に記載の情報処理システム。
- 相互に異なるオペレーティングシステムに基づき機密情報を含む文書データの処理を実行する機密仮想マシン部、及び機密情報を含まない文書データの処理を実行する通常仮想マシン部と、
前記機密仮想マシン部と前記通常仮想マシン部に共通に設けられ、前記機密仮想マシン部で作成された機密文書及び前記通常仮想マシン部で作成された通常文書を共有ファイルとして保存する、或いは前記保存された文書を読み出して編集した文書を共有ファイルとして保存する共有記憶領域と、
前記共有記憶領域に保存された前記共有ブァイルに対するアクセスを制御する入出力制御部とを有する情報処理装置のアクセス制御方法であって、
前記入出力制御部が、前記共通記憶領域への新規の共有ファイルの作成に対しては、前記機密仮想マシン部及び前記通常仮想マシン部に書き込みを許可すると共に、前記共有ファイルを作成又は編集した、前記機密仮想マシン部又は前記通常仮想マシン部のいずれかの書き込み要求元を順次最新更新者として更新するステップと、
前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する書き込み要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、書き込み要求元が前記機密仮想マシン部の場合のみ書き込みを許可し、前記最新更新者が前記通常仮想マシン部である場合には、書き込み要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合のみ書き込みを許可するステップと、
前記入出力制御部が、前記共有記憶領域に作成された共有ファイルに対する読み出し要求に対して、当該共有ファイルの最新更新者が前記機密仮想マシン部である場合には、読み出し要求元が前記機密仮想マシン部の場合のみ読み出しを許可し、前記最新更新者が前記通常仮想マシン部である場合には、読み出し要求元が前記通常仮想マシン部及び前記機密仮想マシン部の場合に読み出しを許可するステップと、
を含むことを特徴とするアクセス制御方法。 - 前記機密サーバは、文書データの暗号化及び復号化のための暗号鍵情報を保持し、前記クライアント装置は、前記暗号鍵情報と共通の暗号鍵情報を保持し、前記入出力制御部は、前記機密仮想マシン部と前記機密サーバとの間で交信する文書データに対して前記暗号鍵情報を用いて暗号化及び復号化処理を実行することを特徴とする請求項5に記載のアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006054868A JP4735331B2 (ja) | 2006-03-01 | 2006-03-01 | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006054868A JP4735331B2 (ja) | 2006-03-01 | 2006-03-01 | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007233704A JP2007233704A (ja) | 2007-09-13 |
| JP4735331B2 true JP4735331B2 (ja) | 2011-07-27 |
Family
ID=38554238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006054868A Expired - Lifetime JP4735331B2 (ja) | 2006-03-01 | 2006-03-01 | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4735331B2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4969481B2 (ja) * | 2008-02-21 | 2012-07-04 | 株式会社リコー | 画像形成装置、情報処理方法及びプログラム |
| JP4618455B2 (ja) * | 2008-04-09 | 2011-01-26 | 日本電気株式会社 | 端末装置、ネットワーク接続方法及びプログラム |
| JP5293580B2 (ja) * | 2009-03-19 | 2013-09-18 | 日本電気株式会社 | ウェブサービスシステム、ウェブサービス方法及びプログラム |
| WO2010128965A1 (en) * | 2009-05-06 | 2010-11-11 | Hewlett-Packard Devleopment Company, L.P. | System and method for printing via virtual machines |
| EP2278514B1 (en) * | 2009-07-16 | 2018-05-30 | Alcatel Lucent | System and method for providing secure virtual machines |
| FR2948789B1 (fr) * | 2009-07-28 | 2016-12-09 | Airbus | Composant logiciel et dispositif pour le traitement automatise de donnees multi-usages, mettant en oeuvre des fonctions ayant besoin de differents niveaux de surete ou limites de responsabilite |
| JP5532793B2 (ja) * | 2009-09-28 | 2014-06-25 | 富士通株式会社 | プログラム及び通信制御方法 |
| JP6043615B2 (ja) * | 2012-12-13 | 2016-12-14 | 株式会社エヌ・ティ・ティ・データ | 機能利用制御装置、機能利用制御方法、機能利用制御プログラム |
| US9292673B2 (en) * | 2013-03-15 | 2016-03-22 | International Business Machines Corporation | Virtual key management and isolation of data deployments in multi-tenant environments |
| US20150026465A1 (en) * | 2013-07-18 | 2015-01-22 | Alcatel Lucent | Methods And Devices For Protecting Private Data |
| EP3621266B1 (de) * | 2018-09-05 | 2021-07-28 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines webservers |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002358205A (ja) * | 2001-06-01 | 2002-12-13 | Dainippon Printing Co Ltd | 複数のプラットホームを備えた携帯可能情報処理装置 |
| JP2003198531A (ja) * | 2001-12-27 | 2003-07-11 | Denso Corp | 共通鍵暗号通信方法及び装置 |
| JP4055953B2 (ja) * | 2003-09-16 | 2008-03-05 | キヤノンマーケティングジャパン株式会社 | データ送信システム |
| JP2005165900A (ja) * | 2003-12-05 | 2005-06-23 | Hitachi Ltd | 情報漏洩防止装置 |
-
2006
- 2006-03-01 JP JP2006054868A patent/JP4735331B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007233704A (ja) | 2007-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057355B2 (en) | Protecting documents using policies and encryption | |
| US9461819B2 (en) | Information sharing system, computer, project managing server, and information sharing method used in them | |
| US10666647B2 (en) | Access to data stored in a cloud | |
| CN100362495C (zh) | 信息泄漏防止装置及方法 | |
| JP4586913B2 (ja) | 文書管理システム、文書利用管理装置、及びプログラム | |
| CN103679050A (zh) | 一种企业级电子文档的安全管理方法 | |
| GB2378539A (en) | Controlling propagation of decryption keys | |
| JP4735331B2 (ja) | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 | |
| US10726104B2 (en) | Secure document management | |
| JP6092057B2 (ja) | ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法 | |
| JP3976738B2 (ja) | 機密文書管理装置、機密文書管理方法および機密文書管理プログラム | |
| JP2007304720A (ja) | コンテンツ利用管理システム、コンテンツ提供システム、及びコンテンツ利用装置 | |
| WO2020066493A1 (ja) | 情報処理システム、情報処理方法及び情報処理プログラム | |
| JP2005165900A (ja) | 情報漏洩防止装置 | |
| JP4471129B2 (ja) | 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム | |
| JP7361384B2 (ja) | 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体 | |
| JP7215181B2 (ja) | ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ | |
| KR20040070382A (ko) | 문서 유출 방지 시스템 및 방법 | |
| JP2012256253A (ja) | 情報処理装置、情報処理方法、プログラム | |
| JP2007183743A (ja) | 情報処理装置、操作制御方法、プログラム及び記憶媒体 | |
| JP7284957B2 (ja) | 情報管理装置 | |
| JP2008242959A (ja) | 利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム | |
| JP2006139475A (ja) | 既存アプリケーションの機密情報保護システム | |
| TR2023006911T2 (tr) | Şi̇freli̇ dosya kontrolü | |
| JP2009104477A (ja) | 配信装置、配信管理装置、端末装置、配信方法、ファイル利用方法、配信プログラムおよびファイル利用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080603 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101001 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20101007 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101007 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110329 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110411 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4735331 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |