Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6242019B2 - File management system - Google Patents
[go: Go Back, main page]

JP6242019B2 - File management system - Google Patents

File management system Download PDF

Info

Publication number
JP6242019B2
JP6242019B2 JP2015137029A JP2015137029A JP6242019B2 JP 6242019 B2 JP6242019 B2 JP 6242019B2 JP 2015137029 A JP2015137029 A JP 2015137029A JP 2015137029 A JP2015137029 A JP 2015137029A JP 6242019 B2 JP6242019 B2 JP 6242019B2
Authority
JP
Japan
Prior art keywords
file
confidential
encryption
management system
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015137029A
Other languages
Japanese (ja)
Other versions
JP2017021477A (en
Inventor
大典 若山
大典 若山
大作 通事
大作 通事
Original Assignee
株式会社 ハンモック
株式会社 ハンモック
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社 ハンモック, 株式会社 ハンモック filed Critical 株式会社 ハンモック
Priority to JP2015137029A priority Critical patent/JP6242019B2/en
Publication of JP2017021477A publication Critical patent/JP2017021477A/en
Application granted granted Critical
Publication of JP6242019B2 publication Critical patent/JP6242019B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本願発明は、個人情報や機密情報などが記録された機密ファイルの情報漏洩事故(情報漏洩事故)を防止するためのファイル管理システムに関するものである。   The present invention relates to a file management system for preventing an information leakage accident (information leakage accident) of a confidential file in which personal information and confidential information are recorded.

今般、企業などで多数のコンピュータがネットワークにより相互接続され、個人情報や機密情報の含まれる機密ファイルが簡単に多数のコンピュータへ複製可能となり、情報漏洩などの事故の一因となっている。
また、USBメモリーやSDカード等に代表される、取り扱いの容易な可搬記憶媒体への複製による持ち出しは、当該可搬記憶媒体の紛失や盗難といった不適切な取り扱い等によっても情報漏洩事故の一因ともなっている。
Recently, a large number of computers are interconnected via a network in a company and the like, and a confidential file containing personal information and confidential information can be easily copied to a large number of computers, which causes an accident such as information leakage.
In addition, taking-out by copying to a portable storage medium that is easy to handle, such as a USB memory or an SD card, is an information leakage accident caused by improper handling such as loss or theft of the portable storage medium. It is also a factor.

そして、こうした情報漏洩事故を防ごうと、これまでの多くのシステムではネットワーク内のコンピュータへのアクセスやファイルへのアクセス等を権限等により制限したり、コンピュータシステムに付帯する外部記憶デバイスや可搬記憶媒体等の利用を許可したものだけに制限するなどして対策してきた(特許文献1及び2等)。   And in order to prevent such information leakage accidents, in many systems so far, access to computers in the network and access to files are restricted by authority, etc., external storage devices attached to computer systems and portable Measures have been taken by limiting the use of storage media and the like only to those permitted (Patent Documents 1 and 2, etc.).

特開2006−004189号公報JP 2006-004189 A 特開2006−215922号公報JP 2006-215922 A

しかし、従来の対策では、次のような問題点があった。
(1)多数のファイルの中から個人情報や機密情報が含まれるファイルへのアクセス制限を確実に行うことは難しく、また、確実に行えたとしてもそのファイルに対する有権利者が有識/無意識に関わらず不適切な取り扱い等からなる漏洩は防げない。
(2)過去の情報漏洩事故では、機密ファイルは適切に管理区域内で管理されていたが、業務上の理由により管理区域外のネットワークへ機密ファイルを持ち出して作業を行った際に、この管理区域外のネットワークがコンピュータウィルスへ感染していたため、外部へ漏洩してしまった事例もある。
(3)漏洩の可能性や事実が発覚した際にどのファイルが漏洩したのか迅速に知ることが難しく、可搬記憶媒体の盗難や紛失等の事故が発生した際にも、当該可搬記憶媒体にどのような機密ファイルが保管されていたかを知ることも困難である。
However, the conventional measures have the following problems.
(1) It is difficult to reliably restrict access to a file containing personal information or confidential information from a large number of files, and even if it can be done reliably, the right holders of the file are conscious / unconscious. Therefore, leakage due to inappropriate handling cannot be prevented.
(2) In the past information leakage accidents, confidential files were properly managed in the management area, but this management was performed when the confidential file was taken out to the network outside the management area for work reasons. In some cases, the network outside the area was infected with a computer virus and leaked outside.
(3) It is difficult to quickly know which file was leaked when the possibility or fact of leakage was discovered, and even when an accident such as theft or loss of a portable storage medium occurs, the portable storage medium It is also difficult to know what kind of confidential files are stored.

そして、上記の問題から、本願発明者は次のような課題を導き出した。
(1)有権利者が機密ファイルを管理区域外(フォルダ/デバイス/コンピュータ/ネットワーク等の何れかを示す)へ持ち出すことを制限することは業務への支障や利便性を損なう恐れもあるため、制限せずに漏洩した場合でも機密ファイルが守られる必要がある。
(2)有権利者がファイルを持ち出す(ファイルのコピー/移動等)際に当該ファイルが機密ファイルに該当するかどうかを自動的(機械的)に判断し機密ファイル保護を適切に行う必要がある。
(3)万が一、機密ファイルの漏洩が発覚した場合には漏洩した当該機密ファイルが第三者により開く事が出来ないよう、また、当該機密ファイル自体の削除等を行える必要がある。
(4)そのためには、漏洩した機密ファイルが何であるかを判断できる仕組みや盗難や紛失した可搬記憶媒体にどのような機密ファイルが保管されていたかを迅速に把握できる必要がある。
And from this problem, the present inventor has derived the following problems.
(1) Restricting rights holders from taking out confidential files outside the management area (indicating any of folders / devices / computers / networks, etc.) may impair business operations and reduce convenience. Even if it is leaked without restriction, confidential files need to be protected.
(2) When a right holder takes a file (copy / move file, etc.), it is necessary to automatically (mechanically) determine whether the file is classified as a confidential file and to protect the confidential file appropriately. .
(3) In the unlikely event that a leak of a confidential file is detected, it is necessary that the leaked confidential file cannot be opened by a third party and that the confidential file itself can be deleted.
(4) To that end, it is necessary to be able to quickly understand what kind of confidential file is stored in a portable storage medium that can be used to determine what the leaked confidential file is or if it is stolen or lost.

そこで、本願発明者は、ネットワークによるコンピュータ間や可搬記憶媒体の利便性を損なわず、機密ファイルであることを意識せずに適切な保護措置が自動的に適応され、万が一の機密ファイル漏洩時にも一定の対応が行えるファイル管理システムの提供を目的として、本願発明を完成するに至った。   Therefore, the inventor of the present application does not impair the convenience of computers between computers and portable storage media, and automatically applies appropriate protection measures without being aware of confidential files. However, the present invention has been completed with the object of providing a file management system capable of handling a certain amount.

上記目的を達成するために、本願発明は、コンピュータ及びネットワークシステムや可搬記憶媒体の利便性を損なわずに機密ファイルへの適切な保護措置の自動化及び漏洩後に一定の対策を可能としたファイル管理システムであって、次の(A)〜(F)の構成要素から構成されていることを要旨とする。
(A)コンピュータシステム上でのファイル操作を捕捉する。
(B)ファイルが機密ファイルに該当するか検出する。
(C)指定した管理区域内へのファイル操作や必要に応じてファイル保護措置をする。
(D)機密ファイルの場合には更に高度なファイル保護措置をする。
(E)可搬記憶媒体への機密ファイル等の保管状況を追跡確認する。
(F)管理区域外や第三者が入手した機密ファイル等をリモートで制御する。
In order to achieve the above object, the present invention provides a file management that enables automation of appropriate protection measures for confidential files and certain measures after leakage without impairing the convenience of computers, network systems and portable storage media. The gist of the system is that it is composed of the following components (A) to (F).
(A) Capture file operations on a computer system.
(B) Detect whether the file corresponds to a confidential file.
(C) File operations within the designated management area and file protection measures as necessary.
(D) In the case of a confidential file, further advanced file protection measures are taken.
(E) Track and confirm the storage status of confidential files, etc. on portable storage media.
(F) Remotely control confidential files obtained outside the management area or by a third party.

本願発明によれば、ネットワークによるコンピュータ間や可搬記憶媒体の利便性を損なわず、機密ファイルであることを意識せずに適切な保護措置が自動的に適応され、万が一の機密ファイル漏洩時にも一定の対応が行えるファイル管理システムを提供できた。   According to the present invention, appropriate protection measures are automatically applied without losing the convenience of computers and portable storage media over a network, and without being aware of confidential files. We were able to provide a file management system that could handle a certain level of response.

本願発明の全体構造を説明する説明図。Explanatory drawing explaining the whole structure of this invention. 本願発明のファイル操作取得部を説明する説明図。Explanatory drawing explaining the file operation acquisition part of this invention. 本願発明の機密ファイル検知部及びファイル暗号化部を説明する説明図。Explanatory drawing explaining the confidential file detection part and file encryption part of this invention. 本願発明の遠隔ファイル制御部を説明する説明図。Explanatory drawing explaining the remote file control part of this invention.

まず、本願発明の実施形態について説明する。   First, an embodiment of the present invention will be described.

本願発明に係るファイル管理システム(以下「本件ファイル管理システム」)は、コンピュータ端末上で行われるファイル操作を取得するファイル操作取得部があり、当該コンピュータ端末上でのファイル操作はもとより、ネットワーク上の他のコンピュータ端末から当該コンピュータ端末へのファイル操作も捕捉しログとして取得することが出来る。
また、当該コンピュータ端末に付帯している外部記録デバイスや可搬記憶媒体へのファイル操作も捕捉しログとして取得することが出来る。
The file management system according to the present invention (hereinafter “the present file management system”) has a file operation acquisition unit for acquiring a file operation performed on a computer terminal, and on the network as well as the file operation on the computer terminal. A file operation from another computer terminal to the computer terminal can also be captured and acquired as a log.
In addition, file operations on an external recording device or a portable storage medium attached to the computer terminal can be captured and acquired as a log.

本件ファイル管理システムは、ファイルを指定して、そのファイルの閲覧や操作を行う対象プログラムを用いずにファイル内の文字列をスキャンする機密ファイル検知部がある。   The file management system includes a confidential file detection unit that scans a character string in a file without using a target program that designates the file and browses or operates the file.

機密ファイル検知部のスキャンにおいては、検知したい情報が含まれる複数種の検知辞書と、検知対象外としたい情報が含まれる複数種の除外辞書を用いて行い、検知した結果をもとに当該ファイルに個人情報や機密情報が含まれるファイルかどうかを判断できる。   In the scan of the confidential file detection unit, a plurality of types of detection dictionaries containing information to be detected and a plurality of types of exclusion dictionaries containing information to be excluded from detection are used, and the file is based on the detection results. It can be determined whether the file contains personal information or confidential information.

この機密ファイル検知部を用いてコンピュータ端末上のどのファイルが機密ファイルに該当するかを事前にスキャンし検知することも出来るが、ファイル操作取得部と連携することで、ファイル操作を行った際に当該操作中のファイルが機密ファイルであるかどうかをリアルタイムに検知することが出来る。   It is possible to scan and detect which file on the computer terminal corresponds to the confidential file using this confidential file detection unit in advance, but when the file operation is performed in cooperation with the file operation acquisition unit It is possible to detect in real time whether the file in operation is a confidential file.

通常一般的には企業内で扱う機密ファイルは、特定の有権限者のみがアクセス可能なファイルサーバー上や特定のネットワーク内(例として挙げると、社内ネットワークとは隔離された人事部ネットワークなど)に存在し管理されている事が多い。
本件ファイル管理システムではこの様なコンピュータやネットワーク等の管理している範囲を管理区域として区別している
Confidential files that are typically handled within a company are typically on file servers that are accessible only by certain authorized persons or within a specific network (for example, a human resources network that is isolated from the corporate network). It often exists and is managed.
In this file management system, the management range of such computers and networks is distinguished as the management area.

この管理区域からファイルが持ち出される場合、例えば、(1)経理部専用サーバーコンピュータ上の共有フォルダからネットワークを介して別のコンピュータ端末上へ機密ファイルをコピー又は移動などを行う、(2)人事給与データを保管しているコンピュータ端末上にて当該コンピュータ端末に付帯する外部記憶デバイスや接続された可搬記憶媒体などに機密ファイルをコピー又は移動などを行うケースが想定されるが、このような管理区域外へのファイル操作について前述のファイル操作取得部がファイル操作捕捉を行い、操作されているファイルが機密ファイルであるかどうかを機密ファイル検知部と連携し機密ファイルであると判断された場合には当該機密ファイルに対して保護措置を取ることが出来る
また、機密ファイルでない場合でも管理区域外へのファイルの持ち出しについては一律当該持ち出しファイルに対しても保護措置を取ることも出来る。
When files are taken out from this management area, for example, (1) Copy or move confidential files from the shared folder on the accounting department dedicated server computer to another computer terminal via the network, (2) Personnel salary It is assumed that a confidential file may be copied or moved to an external storage device attached to the computer terminal or a connected portable storage medium on the computer terminal storing the data. Regarding file operations outside the area When the file operation acquisition unit described above captures file operations and determines whether the file being operated is a confidential file in cooperation with the confidential file detection unit Can take safeguards against the sensitive file Even if the file is taken out of the management area, it is possible to take protective measures even for the file taken out.

一例としては、このような管理区域外へのファイル操作自体を認めず、ファイル操作を抑止するようなファイル管理システムも存在するが、そのような場合はコンピュータやネットワークシステム又は可搬記憶媒体などの利便性を損なう恐れもあるため、必ずしも有益ではない。
また、仮に禁止していたとしても、業務上の必要性から一時的に許可された有権限者からのファイル操作であった場合はそのまま管理区域外へ機密ファイルが出てしまうこととなり、情報漏洩の危険性を無視することは出来ない。
As an example, there are file management systems that do not allow file operations outside such a management area and inhibit file operations. In such cases, such as a computer, a network system, or a portable storage medium This is not always useful because it may impair convenience.
Even if it is prohibited, if a file operation is performed by an authorized person who is temporarily permitted due to business needs, a confidential file will be left outside the management area, and information leakage will occur. The dangers of can't be ignored.

本件ファイル管理システムではファイルへの保護措置として、ファイルを暗号化するファイル暗号化部を持っており、指定したファイルに対して暗号化を行うことが出来る。   This file management system has a file encryption unit that encrypts a file as a protection measure for the file, and can encrypt the specified file.

ファイル暗号化部は、例えば、以下の種類の暗号化機能を有している。なお、これらの機能はそれぞれ組み合わせて行うことが出来る。
(1)復号化にはアカウント及びパスワードが必要な暗号化
(2)復号化にはパスワードのみが必要な暗号化
(3)暗号化時にはアカウントやパスワードの必要な情報を都度指定して暗号化する手動暗号化
(4)事前に設定された内容によりすべてを自動的に暗号化する自動暗号化
(5)暗号化したファイルの復号期限や復号可能回数及び超過時のファイル削除付与
(6)暗号化したファイルを開いた際の印刷や保存に対する制御の付与
The file encryption unit has, for example, the following types of encryption functions. These functions can be performed in combination.
(1) Encryption that requires an account and password for decryption (2) Encryption that requires only a password for decryption (3) Encryption requires specification of information required for the account and password each time Manual encryption (4) Automatic encryption that automatically encrypts everything according to preset content (5) Decryption period, number of decryption times of encrypted files, and file deletion when exceeded (6) Encryption Control over printing and saving when opened files are opened

本件ファイル管理システムは、このファイル暗号化部を用いて事前に管理区域内のファイルに対して暗号化を行うことや、ファイル操作取得部とファイル暗号化部の連携による暗号化、または、ファイル操作取得部と機密ファイル検知部とファイル暗号化部の連携にて暗号化を行うことが出来る。
ファイル暗号化部では機能の組み合わせにて、機密ファイルの場合は高い強度の暗号化を施すことで機密ファイルのみ高いファイル保護措置を行うことが出来る。
This file management system uses this file encryption unit to encrypt the files in the management area in advance, or the file operation acquisition unit and the file encryption unit cooperate, or the file operation Encryption can be performed in cooperation with the acquisition unit, the confidential file detection unit, and the file encryption unit.
The file encryption unit can perform a high file protection measure only for the confidential file by combining the functions and performing high-strength encryption for the confidential file.

ここまでで、本件ファイル管理システムはファイル操作取得部と機密ファイル検知部とファイル暗号化部によるファイル管理を行うことで、下記は一例ではあるが、このような情報漏洩のケースに対して安全なファイル管理を提供できる。
(1)機密ファイル自体の認識漏れ等や、機密ファイルが管理区域外に保管されており誤ったファイル操作などによる漏洩
(2)機密ファイルを扱う有権利者の悪意による漏洩
(3)機密ファイルを扱う有権利者が可搬記憶媒体を紛失や盗難又は不適切な操作などによる漏洩
(4)コンピュータウィルスや外部からの侵入による漏洩
Up to this point, the file management system performs file management with the file operation acquisition unit, confidential file detection unit, and file encryption unit. The following is an example, but it is safe against such information leakage cases. Can provide file management.
(1) Leaks due to recognition failure of confidential files, etc., or leaks due to incorrect file operations, etc., since confidential files are stored outside the management area. Leakage due to loss, theft or improper operation of portable storage media by the right holder to handle (4) Leakage due to computer virus or external intrusion

次に、本件ファイル管理システムは、万が一機密ファイルが管理区域外や第三者へ漏洩してしまった際に、一定の条件を満たすことで、漏洩した機密ファイルを入手した第三者の手元から削除する遠隔ファイル制御部がある。   Next, in the unlikely event that a confidential file is leaked outside the management area or to a third party, the file management system will ensure that certain conditions are met so that the leaked confidential file can be obtained from the third party. There is a remote file controller to delete.

機密ファイル暗号化部で暗号化されたファイルは、暗号化する際に制御用プログラムと共に暗号化され、暗号化されたファイルを開く操作を行った時にはこの制御用プログラムがパスワード等の情報入力を求め、入力されたパスワード等をインターネット上にある機密ファイル暗号化制御サーバーと通信し認証の許可や制御情報などを入手し許可されたならば、復号化しファイルを開くが許可されない場合は復号化しない。   The file encrypted by the confidential file encryption unit is encrypted together with the control program when it is encrypted, and when the encrypted file is opened, the control program prompts for information such as a password. If the input password or the like is communicated with a confidential file encryption control server on the Internet to obtain authentication permission, control information, and the like, and decryption is performed, the file is not decrypted.

万が一機密ファイルの漏洩があった場合には、本件ファイル管理システムの運用管理者は当該機密ファイルの遠隔削除をインターネット上の機密ファイル暗号化制御サーバーへ指示を行う。
これにより、機密ファイルを入手した第三者が機密ファイルを開こうとした際には暗号化ファイル内の制御用プログラムがインターネット上の機密ファイル暗号化制御サーバーとの通信により遠隔削除指示を受け取り、自分自身を含め機密ファイルを削除する。
If a confidential file is leaked, the operation manager of the file management system instructs the confidential file encryption control server on the Internet to remotely delete the confidential file.
As a result, when a third party who obtains a confidential file tries to open the confidential file, the control program in the encrypted file receives a remote deletion instruction through communication with the confidential file encryption control server on the Internet. Delete sensitive files including yourself.

なお、漏洩事故が発覚するきっかけは様々であり、以下のようなケースが考えられる。
(1)社内監査や管理ログ上などの侵入痕跡から漏洩発覚
(2)可搬記憶媒体などの盗難や紛失などから漏洩発覚
(3)善意の第三者などからの通報による漏洩発覚
There are various reasons why a leakage accident is detected, and the following cases can be considered.
(1) Detection of leaks from intrusion traces on internal audits and management logs, etc. (2) Detection of leaks from theft or loss of portable storage media, etc. (3) Detection of leaks from well-known third parties

本件ファイル管理システム上では、機密ファイルは通常暗号化されているものであり、暗号化から漏れていた場合でも管理区域外へのファイル移動の際には自動的に暗号化されるため、漏洩した場合でも通常は開く事が出来ず、ファイルは漏洩しているが、情報は漏洩していない状態となる。   In this file management system, confidential files are normally encrypted, and even if they are leaked from encryption, they are automatically encrypted when moving files outside the management area. Even if it is not possible to open normally, the file is leaked, but the information is not leaked.

暗号化された機密ファイルを開こうとした際には、暗号化ファイル内の制御用プログラムがインターネット上の機密ファイル暗号化制御サーバーと通信を行うため、いつ/どこから/どの機密ファイルを/どのように開こうとしたか、を記録する復号化認証ログ部がある。   When trying to open an encrypted confidential file, the control program in the encrypted file communicates with the confidential file encryption control server on the Internet. There is a decryption authentication log part that records whether or not it was opened.

漏洩した機密ファイルを第三者が開こうとした場合には、インターネット上の機密ファイル暗号化制御サーバーと通信し復号化を行うため、パスワードの連続した失敗や管理区域外からの認証要求など漏洩の可能性がある不適切な機密ファイルを開こうとした操作が把握できるため、いち早く漏洩について発見することが出来て、その際には遠隔ファイル制御部を用いて当該機密ファイルの削除指示を行い、漏洩した機密ファイルの削除を行える。   When a third party tries to open a leaked confidential file, it communicates with the confidential file encryption control server on the Internet to perform decryption, and therefore leaks such as consecutive password failures and authentication requests from outside the management area. Because it is possible to grasp the operation that attempted to open an inappropriate confidential file with the possibility of leakage, it was possible to quickly find out about the leakage, and in that case, the remote file control unit was used to instruct the deletion of the confidential file , Leaked confidential files can be deleted.

可搬記憶媒体などの盗難や紛失などの場合は、ファイル操作取得部にて捕捉したログ記録にて紛失した当該可搬記憶媒体に保管されていた機密ファイルについて把握することが出来、この場合も遠隔ファイル制御部を用いて当該機密ファイルの削除指示を行い、漏洩した機密ファイルの削除を行える。   In the case of theft or loss of portable storage media, etc., it is possible to grasp the lost confidential files stored in the portable storage media by log records captured by the file operation acquisition unit. The remote file control unit is used to instruct deletion of the confidential file, and the leaked confidential file can be deleted.

以上、本件ファイル管理システムの詳細であるが、これによりコンピュータ及びネットワークシステムや可搬記憶媒体の利便性を損なわずに機密ファイルへの適切な保護措置の自動化及び漏洩後に一定の対策を可能としたファイル管理システムが実現できる。   As mentioned above, the details of the file management system have been described. This has made it possible to automate appropriate protective measures for confidential files and to take certain measures after leakage without compromising the convenience of computers, network systems and portable storage media. A file management system can be realized.

続いて、本願発明の実施例を図面に基づいて説明する。   Next, embodiments of the present invention will be described with reference to the drawings.

図1は、本願発明の全体構造を示す説明図である。
図1(A)に図示するように、本願発明は、ネットワークを介して管理区域からファイルをコピー又は移動などする際に、当該ファイル内をスキャンし、機密ファイルであれば、自動的に暗号化する。
図1(B)に図示するように、本願発明は、自動的又は定期的に管理区域内のファイルをスキャンし、機密ファイルであれば自動的に暗号化する。
図1(C)及び(D)に図示するように、本願発明は、管理区域内又は管理区域外へファイルをコピー又は移動などする場合及び可搬記憶媒体等へファイルをコピー又は移動などする際もファイルをスキャンし、機密ファイルであれば自動的に暗号化し、可搬記憶媒体への操作である場合は、さらに強固な保護措置をとる。
FIG. 1 is an explanatory diagram showing the overall structure of the present invention.
As shown in FIG. 1A, the present invention scans the inside of a file when copying or moving the file from a management area via a network, and automatically encrypts the file if it is a confidential file. To do.
As shown in FIG. 1B, the present invention scans a file in a management area automatically or periodically, and automatically encrypts a confidential file if it is a confidential file.
As shown in FIGS. 1C and 1D, the present invention is used when copying or moving a file into or out of a management area and when copying or moving a file to a portable storage medium or the like. If a file is scanned, it is automatically encrypted if it is a confidential file, and if it is an operation on a portable storage medium, stronger protection measures are taken.

万が一、図1(E)に図示するように、機密ファイルが含まれる可搬記憶媒体の盗難・紛失・不適切な取り扱いや内部犯行などにより、機密ファイルが流出した場合、或いは、図1(F)に図示するように、管理区域内又は管理区域外でコンピュータウイルス等の影響により機密ファイルが流出した場合、本願発明は、図1(G)に図示するように、管理者は、流出した機密ファイルの復号情報に次回復号要求時に機密ファイル削除を指令し、そして、図1(H)に図示するように、機密ファイルを入手した第三者等が機密ファイルを開こうとした際に、機密ファイル暗号化制御サーバーと通信し、当該機密ファイル削除指令を受け取り、自己削除する。   As shown in FIG. 1E, if a confidential file is leaked due to theft, loss, improper handling or internal crime of a portable storage medium containing the confidential file, or FIG. As shown in FIG. 1G, when a confidential file is leaked due to the influence of a computer virus or the like in or out of the management area, the present invention shows that the administrator When the decryption command of the file is instructed to delete the confidential file at the next decryption request, and a third party or the like who obtained the confidential file attempts to open the confidential file, as shown in FIG. It communicates with the confidential file encryption control server, receives the confidential file deletion command, and deletes itself.

図2は、本願発明のファイル操作取得部を説明する説明図である。
図2(A)に図示するように、ファイル操作取得部は、同一コンピュータ上でのファイルのコピー又は移動などの操作を、ファイル操作検知装置が検知する。
図2(B)に図示するように、ファイル操作取得部は、コンピュータに接続された可搬記憶媒体等とのファイルのコピー又は移動などの操作を、ファイル操作検知装置が検知する。
図2(C)に図示するように、ファイル操作取得部は、自身(PC−01)以外のコンピュータ(PC−02)とネットワークを介しファイル共有にてファイルのコピー又は移動などの操作を、ファイル操作検知装置が検知する。
FIG. 2 is an explanatory diagram illustrating the file operation acquisition unit of the present invention.
As shown in FIG. 2A, in the file operation acquisition unit, the file operation detection device detects an operation such as copying or moving a file on the same computer.
As illustrated in FIG. 2B, the file operation acquisition unit detects an operation such as copying or moving a file with a portable storage medium or the like connected to the computer.
As shown in FIG. 2C, the file operation acquisition unit performs operations such as copying or moving a file by file sharing via a network with a computer (PC-02) other than itself (PC-01). The operation detection device detects it.

図3は、本願発明の機密ファイル検知部及びファイル暗号化部を説明する説明図である。
図3(A)に図示するように、ファイル操作取得部にてファイル操作取得装置がコピー又は移動などのファイル操作を検知すると、図3(B)に図示するように、ファイル操作取得装置は、検知したファイルの情報を機密ファイル検知部の機密ファイル検知装置へ通知する。
そして、図3(C)及び(D)に図示するように、機密ファイル検知部では、機密ファイル検知装置が通知されたファイルを当該ファイル用のプログラム等を用いずに読み取りを行い、検知辞書及び除外辞書を用いて当該ファイルが機密ファイルに該当するかどうかを判断する。
図3(E)に図示するように、機密ファイル検知装置が当該ファイルを機密ファイルに該当すると判断した場合、ファイル暗号化部のファイル暗号化装置へ当該ファイルの暗号化を通知する。
図3(F)に図示するように、ファイル暗号化部では、ファイル暗号化装置が暗号設定を読み込み、暗号化の振る舞いを行う。
図3(G)に図示するように、ファイル暗号化装置は、暗号設定に従い、当該ファイル情報を含めた暗号化情報を機密ファイル暗号化制御サーバーへ通知する。
図3(H)に図示するように、ファイル暗号化装置は、暗号設定に従い、当該ファイル暗号化を行い、コピー又は移動先などへ配置する。
FIG. 3 is an explanatory diagram illustrating the confidential file detection unit and the file encryption unit according to the present invention.
As illustrated in FIG. 3A, when the file operation acquisition device detects a file operation such as copying or moving in the file operation acquisition unit, as illustrated in FIG. The detected file information is notified to the confidential file detection device of the confidential file detection unit.
Then, as shown in FIGS. 3C and 3D, the confidential file detection unit reads the file notified by the confidential file detection device without using the program for the file, and the detection dictionary and It is determined whether the file corresponds to a confidential file using an exclusion dictionary.
As shown in FIG. 3E, when the confidential file detection device determines that the file corresponds to the confidential file, it notifies the file encryption device of the file encryption unit of the encryption of the file.
As shown in FIG. 3F, in the file encryption unit, the file encryption apparatus reads the encryption setting and performs the encryption behavior.
As illustrated in FIG. 3G, the file encryption apparatus notifies the confidential file encryption control server of the encryption information including the file information in accordance with the encryption setting.
As shown in FIG. 3H, the file encryption apparatus performs the file encryption according to the encryption setting, and arranges it in a copy or a transfer destination.

図4は、本願発明の遠隔ファイル制御部を説明する説明図である。
図4(A)に図示するように、自己復号型の暗号化ファイルの場合は、内包された制御用プログラム装置が動作し、機密ファイル暗号化制御サーバーの遠隔ファイル制御装置へ復号情報等を確認し、非自己復号型の暗号化ファイルの場合は、別途用意した制御用プログラム装置を用いて機密ファイル暗号化制御サーバーの遠隔ファイル制御装置へ復号情報等を確認する。
図4(B)に図示するように、遠隔ファイル制御部では、遠隔ファイル制御装置が制御用プログラム装置からの確認に対して制御情報を通知する。制御情報は復号に必要な情報であったり又は遠隔削除のための指令であったりする。
図4(C)に図示するように、制御用プログラム装置は、遠隔ファイル制御装置からの指令により、復号が認証された場合は当該ファイルを復号する。
図4(D)に図示するように、暗号化された機密ファイルを遠隔削除する必要が発生した場合には、管理者は機密ファイル暗号化制御サーバーの遠隔ファイル制御装置へ当該機密ファイルの削除指令をする。
図4(E)に図示するように、制御用プログラム装置は、遠隔ファイル制御装置からの指令により当該機密ファイルの削除指令の場合は、当該機密ファイルを削除する。
FIG. 4 is an explanatory diagram for explaining the remote file control unit of the present invention.
As shown in FIG. 4A, in the case of a self-decryption type encrypted file, the included control program device operates and confirms the decryption information and the like to the remote file control device of the confidential file encryption control server. However, in the case of a non-self-decryption type encrypted file, the decryption information and the like are confirmed with the remote file control device of the confidential file encryption control server using a separately prepared control program device.
As shown in FIG. 4B, in the remote file control unit, the remote file control device notifies the control information in response to the confirmation from the control program device. The control information may be information necessary for decoding or a command for remote deletion.
As shown in FIG. 4C, the control program device decrypts the file when the decryption is authenticated by a command from the remote file control device.
As shown in FIG. 4D, when it is necessary to remotely delete the encrypted confidential file, the administrator instructs the remote file control device of the confidential file encryption control server to delete the confidential file. do.
As shown in FIG. 4E, the control program device deletes the confidential file in response to an instruction from the remote file control device in response to the deletion of the confidential file.

本願発明は、企業や役所など個人情報や機密情報を数多く取り扱う組織のみならず、数は多くなくても重要な情報を取り扱う団体や個人にも幅広く利用できるものである。   The present invention can be widely used not only for organizations that handle a lot of personal information and confidential information such as companies and government offices, but also for organizations and individuals that handle important information even if the number is not large.

Claims (5)

コンピュータ端末上で行われるファイル操作を取得するファイル操作取得部と、
ファイルを指定して、そのファイルの閲覧や操作を行う対象プログラムを用いずにファイル内の文字列をスキャンし、当該ファイルに個人情報又は機密情報が含まれる機密ファイルかどうかを判断する機密ファイル検知部と、
管理区域外へのファイル操作について前記ファイル操作取得部がファイル操作捕捉を行い、操作されているファイルが機密ファイルであるかどうかを前記機密ファイル検知部と連携し機密ファイルであると判断された場合には当該機密ファイルに対して保護措置を取るファイル暗号化部と、
当該機密ファイルが管理区域外や第三者へ漏洩してしまった際に、漏洩した機密ファイルを入手した第三者の手元から削除する遠隔ファイル制御部と、を備え
遠隔ファイル制御部は、機密ファイルの漏洩があった場合に、当該機密ファイルの遠隔削除をインターネット上の機密ファイル暗号化制御サーバーへ指示を行い、当該機密ファイルを入手した第三者が機密ファイルを開こうとした際には暗号化ファイル内の制御用プログラムがインターネット上の機密ファイル暗号化制御サーバーとの通信により遠隔削除指示を受け取り、機密ファイルを削除することを特徴としたファイル管理システム。
A file operation acquisition unit for acquiring file operations performed on a computer terminal;
Confidential file detection that specifies a file, scans the character string in the file without using the target program to view or operate the file, and determines whether the file contains confidential information or personal information And
When the file operation acquisition unit captures a file operation for a file operation outside the management area, and it is determined that the file being operated is a confidential file in cooperation with the confidential file detection unit. Includes a file encryption unit that takes protective measures against the confidential file,
A remote file control unit that deletes the leaked confidential file from the third party who has obtained the leaked confidential file when the confidential file is leaked outside the management area or to a third party ;
When there is a leakage of a confidential file, the remote file control unit instructs the confidential file encryption control server on the Internet to remotely delete the confidential file, and the third party who obtained the confidential file downloads the confidential file. A file management system wherein a control program in an encrypted file receives a remote deletion instruction by communication with a confidential file encryption control server on the Internet when an attempt is made to open, and deletes the confidential file .
ファイル操作取得部は、当該コンピュータ端末に付帯している外部記録デバイスや可搬記憶媒体へのファイル操作も捕捉しログとして取得することを特徴とした請求項1記載のファイル管理システム。   2. The file management system according to claim 1, wherein the file operation acquisition unit captures and acquires a file operation to an external recording device or a portable storage medium attached to the computer terminal as a log. 機密ファイル検知部は、コンピュータ端末上のどのファイルが機密ファイルに該当するかを事前にスキャンし検知することも出来るが、ファイル操作取得部と連携することで、ファイル操作を行った際に当該操作中のファイルが機密ファイルであるかどうかをリアルタイムに検知することも出来ることを特徴とした請求項1又は2記載のファイル管理システム。   The confidential file detection unit can scan and detect which file on the computer terminal corresponds to the confidential file in advance, but in cooperation with the file operation acquisition unit, the operation is performed when the file operation is performed. 3. The file management system according to claim 1, wherein it is possible to detect in real time whether the file in the file is a confidential file. ファイル暗号化部は、機密ファイルでない場合でも管理区域外へのファイルの持ち出しについては一律当該持ち出しファイルに対しても保護措置を取り、機密ファイルの場合は高い強度の暗号化を施すことで機密ファイルのみ高いファイル保護措置を行うことを特徴とした請求項1から3のいずれかに記載のファイル管理システム。   Even if the file encryption unit is not a confidential file, if the file is taken out of the management area, the file encryption unit will take protective measures even for the file to be taken out. 4. The file management system according to claim 1, wherein only a high file protection measure is performed. ファイル暗号化部は、ファイルを暗号化する際に制御用プログラムと共に暗号化され、暗号化されたファイルを開く操作を行った時にはこの制御用プログラムがパスワードのみまたはアカウント及びパスワードの情報入力を求め、入力されたパスワードのみ又はアカウント及びパスワードをインターネット上にある機密ファイル暗号化制御サーバーと通信し認証の許可や制御情報を入手し許可されたならば復号化しファイルを開くが、許可されない場合は復号化しないことを特徴とした請求項1から4のいずれかに記載のファイル管理システム。 The file encryption unit is encrypted together with the control program when encrypting the file, and when performing the operation of opening the encrypted file, this control program requests only the password or the account and password information input, Communicates with the entered password only or account and password with the confidential file encryption control server on the Internet, obtains authorization permission and control information, decrypts and opens the file if permitted, but decrypts if not permitted 5. The file management system according to claim 1, wherein the file management system is not.
JP2015137029A 2015-07-08 2015-07-08 File management system Active JP6242019B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015137029A JP6242019B2 (en) 2015-07-08 2015-07-08 File management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015137029A JP6242019B2 (en) 2015-07-08 2015-07-08 File management system

Publications (2)

Publication Number Publication Date
JP2017021477A JP2017021477A (en) 2017-01-26
JP6242019B2 true JP6242019B2 (en) 2017-12-06

Family

ID=57888200

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015137029A Active JP6242019B2 (en) 2015-07-08 2015-07-08 File management system

Country Status (1)

Country Link
JP (1) JP6242019B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111030982B (en) * 2019-09-26 2023-06-02 北京安天网络安全技术有限公司 Strong management and control method, system and storage medium for confidential files
US12282570B1 (en) * 2021-03-05 2025-04-22 United Services Automobile Association (Usaa) Systems and methods for sharing vendor information across entities in the workplace

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004070499A (en) * 2002-08-02 2004-03-04 Fujitsu Ltd Memory device and encryption / decryption method
JP2006319432A (en) * 2005-05-10 2006-11-24 Matsushita Electric Ind Co Ltd Mobile terminal and information management system
JP4742010B2 (en) * 2006-10-20 2011-08-10 日立キャピタル株式会社 Personal information file monitoring system
JP4228322B1 (en) * 2007-12-27 2009-02-25 クオリティ株式会社 Portable terminal device, file management program, and file management system
JP2009169821A (en) * 2008-01-18 2009-07-30 Hitachi Electronics Service Co Ltd Leakage prevention system and program for taken-out confidential information

Also Published As

Publication number Publication date
JP2017021477A (en) 2017-01-26

Similar Documents

Publication Publication Date Title
KR101522445B1 (en) Client computer for protecting confidential file, server computer therefor, method therefor, and computer program
US9348984B2 (en) Method and system for protecting confidential information
US7577838B1 (en) Hybrid systems for securing digital assets
KR101473452B1 (en) Method, system and device for enhancing business information security
US8856916B1 (en) User associated geo-location based reauthorization to protect confidential information
CN105740725B (en) A kind of document protection method and system
US20090220088A1 (en) Autonomic defense for protecting data when data tampering is detected
US20130145483A1 (en) System And Method For Processing Protected Electronic Communications
WO2018124105A1 (en) Access management system, access management method, and program
KR101414580B1 (en) A Secured Linux Operationg System Using Multi-level Security
US9396349B1 (en) Method and apparatus for sharing data from a secured environment
CN101923678A (en) Data security protection method of enterprise management software
KR20210068388A (en) Ransomware or phishing attack blocking method and system
CN103995990A (en) Method for preventing electronic documents from divulging secrets
CN102043927A (en) Computer system for data divulgence protection
CN104636675A (en) System and method for providing safety protection for database
CN104376270A (en) File protection method and system
JP6242019B2 (en) File management system
US20240070303A1 (en) File Encapsulation Validation
US20210136579A1 (en) Segmented key authentication system
EP3764264B1 (en) Methods and devices for automatically encrypting files
CN113407984A (en) System and method for providing security protection for database
KR101543338B1 (en) System and method for disinfection pocessing the inputing files
KR20100119125A (en) Security system of collaboration draft design
Juremi et al. FlashSafe: USB flash drives encryption tool with AES algorithm

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161228

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171013

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171106

R150 Certificate of patent or registration of utility model

Ref document number: 6242019

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250