JP7486368B2 - Information processing device, control method for information processing device, information processing system, and program - Google Patents
Information processing device, control method for information processing device, information processing system, and program Download PDFInfo
- Publication number
- JP7486368B2 JP7486368B2 JP2020125053A JP2020125053A JP7486368B2 JP 7486368 B2 JP7486368 B2 JP 7486368B2 JP 2020125053 A JP2020125053 A JP 2020125053A JP 2020125053 A JP2020125053 A JP 2020125053A JP 7486368 B2 JP7486368 B2 JP 7486368B2
- Authority
- JP
- Japan
- Prior art keywords
- area
- information processing
- information
- external storage
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 97
- 230000010365 information processing Effects 0.000 title claims description 40
- 230000015654 memory Effects 0.000 description 70
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラムに関する。 The present invention relates to an information processing device, a control method for an information processing device, an information processing system, and a program.
CD、DVD、USBストレージデバイス(以下、「USBメモリ」という)などの外部記憶装置は、情報処理装置の記憶装置として広く普及している。ユーザにとって、情報処理装置内のデジタルデータをファイルとして外部記憶装置に書き込んだり、複製したりすることは容易である。そのため、外部記憶装置を媒介して情報漏えいが増加しうる。そこで、特許文献1に開示されているように、CDなどの外部記録装置の利用を制御する情報処理装置が知られている。 External storage devices such as CDs, DVDs, and USB storage devices (hereinafter referred to as "USB memory") are widely used as storage devices for information processing devices. It is easy for users to write digital data in an information processing device as a file to an external storage device or to copy the data. This can lead to an increase in information leakage via external storage devices. As such, as disclosed in Patent Document 1, an information processing device that controls the use of external recording devices such as CDs is known.
また、近年、USBメモリへのウィルス混入や感染、情報漏洩などのトラブルを未然に防ぐために、USBメモリにアンチウィルスソフトなどのセキュリティ機能を搭載したUSBメモリ(以下、「セキュリティUSBメモリ」という)が提供されている。セキュリティUSBメモリは、たとえば、認証アプリケーション(たとえば、Startup.exe)が保存されたCD領域と、ストレージ領域とを備える。セキュリティUSBメモリを情報処理装置に接続して、CDドライブをマウントし、CD領域に保存されている認証アプリケーションを起動すると、認証アプリケーションがユーザにアクセス認証キーの入力を求める。アクセス認証キーの照合が成功すると、USBメモリのドライブをマウントし、ストレージ領域への書き込み/読み込みが可能となる。 In recent years, USB memories (hereinafter referred to as "security USB memories") have been provided that incorporate security features such as antivirus software to prevent problems such as viruses and infections, and information leaks. A security USB memory includes, for example, a CD area in which an authentication application (for example, Startup.exe) is saved, and a storage area. When the security USB memory is connected to an information processing device, the CD drive is mounted, and the authentication application saved in the CD area is started, the authentication application prompts the user to input an access authentication key. If the access authentication key is successfully verified, the USB memory drive is mounted, and writing/reading to the storage area becomes possible.
しかしながら、情報処理装置において、CD/DVDの「使用を禁止」(書き込み・読み込みを禁止)、かつ、USBメモリの「使用を許可」(書き込み・読み込みを許可)する設定であった場合、CD/DVDを利用できないため、セキュリティUSBメモリを使用することができない。また、CD領域からストレージ領域に切り替える際に、CD領域に書き込みを行うセキュリティUSBメモリも存在する。CD/DVDを「読み込みのみ許可」、かつ、USBメモリの「使用を許可」する設定であった場合、CD領域からストレージ領域に切り替えることができずにエラーとなり、セキュリティUSBメモリを使用することができない。また、セキュリティを考慮して、セキュリティUSBの使用は許可するが、CD/DVDの使用は禁止したい場合がある。 However, if the information processing device is set to "prohibit use" of CDs/DVDs (prohibit writing and reading) and "allow use" of USB memory (allow writing and reading), then CDs/DVDs cannot be used and therefore the security USB memory cannot be used. There are also security USB memories that write to the CD area when switching from the CD area to the storage area. If the settings are set to "allow reading only" of CDs/DVDs and "allow use" of USB memory, an error occurs as it is not possible to switch from the CD area to the storage area and the security USB memory cannot be used. Also, for security reasons, there are cases where you want to allow use of security USBs but prohibit use of CDs/DVDs.
そこで、本発明は、セキュリティと利便性とを両立しつつ、複数の領域を有する外部記憶装置(たとえば、セキュリティUSB)へのアクセスを制御することを目的とする。 The present invention aims to control access to an external storage device (e.g., a security USB) that has multiple areas while achieving both security and convenience.
上記課題を解決するために本発明は以下の構成を有する。すなわち、
第1の情報が保存されている第1の領域と、読み込みおよび書き込みが可能な第2の領域とを有する外部記憶装置を接続可能な情報処理装置であって、
外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト手段と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト手段にてインターセプトされた前記外部記憶装置に対する要求を制御する制御手段と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得手段と
を備え、
前記取得手段により取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御手段は、前記第1の領域を一時的に使用許可に変更する。
In order to solve the above problems, the present invention has the following configuration.
An information processing device capable of connecting to an external storage device having a first area in which first information is stored and a second area which can be read and written,
an intercepting means for intercepting a request to the connected external storage device when the external storage device is connected;
a control means for controlling a request to the external storage device intercepted by the intercepting means when the availability of the external storage device is set such that writing to the first area is not permitted and use of the second area is permitted;
an acquisition means for acquiring process identification information for identifying a process included in the first information stored in the first area ,
When the process identified by the process identification information acquired by the acquisition means is a process that is permitted to use an external storage device, the control means temporarily changes the first area to one that is permitted to be used .
本発明によれば、セキュリティとユーザの利便性を両立しつつ、複数の領域を有する外部記憶装置へのアクセスを制御することができる。 The present invention makes it possible to control access to an external storage device having multiple areas while achieving both security and user convenience.
以下、図面を参照し本発明の好適な実施形態について説明する。なお、以下に説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載された構成の具体的な実施例の1つである。 The following describes a preferred embodiment of the present invention with reference to the drawings. Note that the embodiment described below is an example of a specific implementation of the present invention, and is one specific example of the configuration described in the claims.
[第一の実施形態]
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、情報処理装置110、120、外部記憶装置130を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク140に接続されている。以下、情報処理装置110をクライアント端末装置、情報処理装置120をサーバ装置と呼称する場合がある。なお、クライアント端末装置110、サーバ装置120は複数でもよい。また、クライアント端末装置110、サーバ装置120は、PC・携帯端末装置等の、情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。また、端末装置110はネットワーク140を介して接続されているが、ネットワーク140を介さないスタンドアローンでもよい。なお、情報処理システムは、シンクライアント(たとえば、ターミナルサービスなど)を利用した構成でもよい。シンクライアントとは、情報処理装置(クライアント端末装置)がサーバコンピュータにリモート接続し、サーバコンピュータ上に生成された仮想デスクトップ環境を利用してサーバコンピュータ上でアプリケーションプログラムを実行するコンピュータアーキテクチャである
[First embodiment]
<System configuration diagram>
First, the information processing system configuration according to this embodiment will be described with reference to the system configuration diagram of FIG. 1. As shown in FIG. 1, the information processing system according to this embodiment has
更にクライアント端末装置110には外部記憶装置130を接続することができる。外部記憶装置130は、たとえば、Startup.exeなどのアプリケーションプログラム(第1の情報)を格納するCD領域131(第1の領域)と、ファイルや情報を記憶することができるストレージ領域132(読み込み書き込み可能な第2の領域)を備えている。
Furthermore, an external storage device 130 can be connected to the
たとえば、外部記憶装置130を情報処理装置に接続して、CD/DVDドライブをマウントし、CD領域に保存されている認証アプリケーションプログラムを起動する。認証アプリケーションがユーザにアクセス認証キーの入力を求め、アクセス認証キーの照合が成功すると、USBメモリのドライブをマウントし、ストレージ領域への書き込み/読み込みが可能となる。外部記憶装置130としては、たとえば、USBメモリ、モバイル端末、カードリーダ-/ライター、画像読取装置などである。なお、本発明に係る情報処理システムにおいて、外部記憶装置130は必ずしも構成要素の一つである必要はなく、外部記憶装置を使用可能な情報処理システムであればよい。 For example, the external storage device 130 is connected to an information processing device, the CD/DVD drive is mounted, and an authentication application program stored in the CD area is started. The authentication application requests the user to input an access authentication key, and if the access authentication key is successfully verified, the USB memory drive is mounted, and writing/reading to the storage area becomes possible. Examples of the external storage device 130 include a USB memory, a mobile terminal, a card reader/writer, and an image reading device. Note that in the information processing system according to the present invention, the external storage device 130 does not necessarily have to be one of the components, and any information processing system that can use an external storage device will suffice.
<クライアント端末装置110>
本実施形態に係るクライアント端末装置110のハードウェア構成について、図2を用いて説明する。クライアント端末装置110、サーバ装置120は何れも同じハードウェア構成を有するものとして説明する。然るに、ハードウェア構成についてはクライアント端末装置110を例にとり説明する。CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
<
The hardware configuration of the
RAM(Random Access Memory)12は、記憶装置16からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、I/F(インターフェース)17を介して外部機器から受信した各種のデータを一時的に記憶するためのエリアを有する。更にRAM12は、CPU11が各種の処理を実行する際に用いるワークエリアも有する。このようにRAM12は、各種のエリアを適宜提供することができる。ROM(Read Only Memory)13には、本装置の設定データやブートプログラムなどが格納されている。
RAM (Random Access Memory) 12 has an area for temporarily storing computer programs and data loaded from
操作部14は、マウスやキーボードなどにより構成されており、本装置の操作者が操作することで、各種の指示をCPU11に対して入力することができる。表示部15は、CRT、液晶画面またはOLEDなどにより構成されており、CPU11による処理結果を画像や文字などでもって表示することができる。
The
記憶装置16は、ハードディスクドライブ装置に代表される大容量情報記憶装置である。この記憶装置16には、OS(オペレーティングシステム)や、本装置が行うものとして後述する各処理をCPU11に実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、セキュリティソフトウェア111が含まれている。セキュリティソフトウェア111は、クライアント端末装置110のデータやプログラム等の安全を確保するセキュリティ管理のためのプログラムであり、たとえば、機器の接続の可否の設定に応じてその機器の接続を制限する機能を有する。記憶装置16に保存されているコンピュータプログラムやデータは、CPU11による制御に従って適宜RAM12にロードされ、CPU11による処理対象となる。
The
I/F17は、様々なインターフェースで構成されている。ネットワーク140に接続するためのネットワークインターフェース、外部記憶装置130を接続するためのデバイスインターフェースを含む。上記の各部は何れも、バス18に接続されている。
I/
<サーバ装置120>
サーバ装置のハードウェア構成は、図3に示す如く、上記で説明したクライアント端末装置110のハードウェア構成と同様であるとする。図3において、図2に示す部材と同一の部材は詳細な説明は省略する。即ち、サーバ装置120のCPU31は、サーバ装置120の記憶装置36に保存されているコンピュータプログラムやデータを用いて、サーバ装置120のI/F37を介して外部機器とのデータ通信を行うと共に、サーバ装置が行うものとして後述する各処理を実行する。また、サーバ装置120の記憶装置36には、設定情報121が登録されている。
<
The hardware configuration of the server device is the same as that of the
この設定情報121には、外部記憶装置(USBメモリ、CD/DVDなど)に対して実行される制御の内容が設定されている。図4、図5は、設定情報121の一例を示す図である。具体的には、図4に示す如く、クライアント端末装置110が利用可能な対象機器名(USBメモリ、CD/DVDなど)と制御方法(許可、読み込みのみ許可、書き込み禁止、禁止など)が登録されている。たとえば、クライアント端末装置110における設定情報121には、USBメモリは「使用許可」で、CD/DVDは「読み込みのみ許可」と登録されていることになる。また、設定情報121は、許可対象のUSBメモリの識別情報(対象とするUSBメモリによって、アクセスを許可する場合に、アクセスを許可するUSBメモリを示す情報)でもよい。この情報は図5のように、ベンダID、プロダクトID、シリアル番号など、USBメモリを個々に識別できる情報、もしくは、USBメモリ全部を許可する、などの情報でもよい。また、設定情報121は、禁止対象のUSBメモリの識別情報(対象とするUSBメモリによって、アクセスを禁止する場合に、アクセスを禁止するUSBメモリを示す情報)でもよい。
In this setting
なお、クライアント端末装置110における設定情報121をサーバ装置120の記憶装置16が一括して管理する代わりに、それぞれのクライアント端末装置110が自身の設定情報121を保持しておくようにしても構わない。然るにこのような場合には、サーバ装置120は必須ではない。なお、図4、図5の設定情報121は一例であって、ユーザ名、端末名などが登録されていてもよい。
In addition, instead of the setting
<クライアント端末装置の処理>
次に、クライアント端末装置110の記憶装置16に保存されている、セキュリティソフトウェア111について、フローチャート図6を用いて説明する。ここでは、アプリケーションプログラム(たとえば、Startup.exe)が記憶されたCD領域131と、ストレージ領域132とを有する外部記憶装置130(たとえば、セキュリティUSBメモリ)を例に説明をする。また、設定情報121は、図4に示すように、USBメモリは「使用許可」で、CD/DVDは「読み込みのみ許可」と登録されているものとして説明する。
<Processing of Client Terminal Device>
Next, the
セキュリティソフトウェア111は、自装置(ここではクライアント端末装置110)に接続された外部記憶装置への制御方法を変更し、外部記憶装置へのアクセス制御を行うためのソフトウエアである。なお、図6の手順は、それぞれのクライアント端末装置110が自身の設定情報121を保持しているものとして説明する。また本実施形態では、クライアント端末110では、たとえば、Windows(登録商標)オペレーティングシステム(OS)が実行され、プログラムはその管理下で実行される。なお、Windowsに限らず、MacOSおよびLinux(登録商標)などのオペレーティングシステムでもよい。
The
CPU11は、セキュリティソフトウェア111を記憶装置16からRAM12にロードし、該ロードされたセキュリティソフトウェア111を起動する。セキュリティソフトウェア111は、サービスプログラムとして自動的に起動するようにしても構わないし、ユーザからの操作指示に応じて任意に起動するようにしても構わない。CPU11は、セキュリティソフトウェア111にしたがって、セキュリティソフトウェア111のファイルシステムフィルタドライバをロードし、クライアント端末装置110のファイルシステムを監視する。ファイルシステムフィルタドライバは、ファイルシステムドライバの上で、かつシステムコールAPIの下のレイヤに位置するプログラムであり、すべてのファイルシステムの処理を監視することができる。このとき、セキュリティソフトウェア111は、ロードしたファイルシステムフィルタドライバに、設定情報121を送信する。
The
USBメモリが挿されると、ファイルシステムが作成されるので、S601では、CPU11は、セキュリティソフトウェア111にしたがって、作成されたファイルシステムを検知し、上記ファイルシステムのI/O Request Packet(以下、「IRP」という)を監視する。たとえば、IRP_MJ_WRITEやIRP_MJ_SET_INFOMATIONなどのIRPを、ファイルシステムフィルタドライバがインターセプトする。
When a USB memory is inserted, a file system is created, so in S601, the
S602では、CPU11は、セキュリティソフトウェア111にしたがって、インターセプトしたIRPから、対象機器はCD/DVDか否かを判定する。
In S602, the
対象機器はCD/DVDではないと判定された場合(S602のNO)、S603では、CPU11は、セキュリティソフトウェア111にしたがって、設定情報121に基づいて、対象機器の制御(使用許可・使用禁止(書き込み・読み込み禁止)・読み込みのみ許可)を行う。たとえば、図4に示すような設定情報121では、USBメモリは「使用許可」であるため、ファイルシステムフィルタドライバは、USBメモリのドライバにSTATUS_SUCCESSを返し、使用できるようにする。またS601で渡されたUSBメモリの識別情報(デバイス名、ベンダID、プロダクトID、シリアル番号等)と、図5のような設定情報を基に判断してもよい。
If it is determined that the target device is not a CD/DVD (NO in S602), in S603, the
対象機器はCD/DVDであると判定した場合(S602のYES)、CPU11は、セキュリティソフトウェア111にしたがって、S604に進む。
If it is determined that the target device is a CD/DVD (YES in S602), the
なお、ここでは、フィルタリングする方法として、フィルタドライバ技術を使用しているが、APIフックなど別の方法が採用されてもよい。APIフックとは、API要求を監視し、API要求を別の内容に置き換えることをいう。また、デバイスマネージャーを用いて制御処理を行ってもよい。例えばRegisterDeviceNotificationというAPIを用いて、デバイスマネージャーを監視する。デバイスマネージャーは、WindowsOSが備えているユーティリティプログラムのひとつであり、コンピュータを構成するハードウェアを管理することができる。管理の内容には、コンピュータに接続された機器の一覧や正常動作の確認、装置の有効または無効の切り替え等が可能である。 Note that, although filter driver technology is used here as a filtering method, other methods such as API hooking may also be used. API hooking refers to monitoring API requests and replacing the API requests with different content. Control processing may also be performed using a device manager. For example, an API called RegisterDeviceNotification is used to monitor the device manager. The device manager is one of the utility programs included in the Windows OS, and can manage the hardware that makes up the computer. The management contents include a list of devices connected to the computer, confirmation of normal operation, and switching between enabling and disabling devices.
<ステップS604における処理1>
上記ステップS604における処理の詳細について、同処理のフローチャートを示す図7を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図8のように、使用を許可するプロセスを示す許可プロセス情報リストが送信され、設定情報121として保存されているものとして説明する。なお、プロセス名は一例であり、プロセスID、ハッシュ値、プロセスのデジタル署名有無、プロセスの製造企業名などでもよい。
<Process 1 in step S604>
Details of the process in step S604 will be described with reference to Fig. 7, which shows a flowchart of the process. Here, it is assumed that an allowed process information list indicating processes that are allowed to be used is transmitted from the
S701では、CPU11は、セキュリティソフトウェア111にしたがって、起動したプロセスを識別するプロセス情報を取得する。具体的には、起動したCD領域に記憶されているアプリケーションプログラム名(プロセス名)を取得する。なお、取得するのは、プロセス名に限らず、プロセスID、ハッシュ値、プロセスのデジタル署名有無、プロセスの製造企業名などでもよい。
In S701, the
S702では、CPU11は、セキュリティソフトウェア111にしたがって、S701で取得したプロセス情報と、許可プロセス情報リストとを比較して、使用許可プロセスか否かを判定する。
In S702, the
使用許可プロセスであると判定された場合(S702のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書き込み・読み込みを許可)に変更して制御する(S703)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、使用許可プロセスであると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、プロセス終了後に元に戻してもよい。
If it is determined that the process is permitted to be used (YES in S702), the
使用許可プロセスでないと判定された場合(S702のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。
If it is determined that the process is not permitted to be used (NO in S702), the process ends and proceeds to S603, where control is performed based on the setting
複数の領域(たとえば、CD領域131、ストレージ領域132)を有するUSBメモリを利用する場合、領域間(CD領域131からストレージ領域132)を切り替える際に、クライアント端末装置110は書き込み要求と同様な要求をCD領域131に対して行う場合がある。図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、領域間を切り替えることができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可プロセスであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
When using a USB memory with multiple areas (for example,
また、CD領域に保存されている認証アプリケーションプログラムを起動し、ユーザにアクセス認証キーの入力を求め、アクセス認証キーの照合を行う際に、クライアント端末装置110は書き込み要求と同様な要求をCD領域に対して行う場合がある。図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、アクセス認証キーの照合ができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可プロセスであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
In addition, when starting an authentication application program stored in the CD area, prompting the user to input an access authentication key, and verifying the access authentication key, the
また、複数の領域を有するUSBメモリは、メモリ毎に異なるアプリケーション(プロセス)をCD領域に有する。上述したように、プロセスに応じて制御方法を変更することで、複数の領域を有するUSBメモリ毎に異なる制御を行うことができる。 Also, a USB memory with multiple areas has different applications (processes) in the CD area for each memory. As described above, by changing the control method depending on the process, it is possible to perform different control for each USB memory with multiple areas.
<ステップS604における処理2>
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図9を用いて説明する。ここでは、サーバ装置120からクライアント端末装置110に、図10のように、アクセスを許可するメモリを示す許可メモリ情報リスト(使用許可企業名、ベンダID、プロダクトIDなど)が送信され、設定情報121として保存されているものとして説明する。なお、許可メモリ情報リストは一例であって、外部記憶装置を識別する情報であればこれに限定されない。
<Processing 2 in step S604>
The details of the other process in step S604 will be described with reference to Fig. 9, which shows a flowchart of the process. Here, it is assumed that an authorized memory information list (name of authorized company, vendor ID, product ID, etc.) indicating memories to which access is permitted is transmitted from the
S901では、CPU11は、セキュリティソフトウェア111にしたがって、クライアント端末装置110に挿し込まれた複数の領域を有するUSBメモリがマウントしたCD/DVDを識別するメモリ情報(製造した企業名・ベンダID・プロダクトIDなど)を取得する。
In S901, the
S902では、CPU11は、セキュリティソフトウェア111にしたがって、S901で取得したメモリ情報と、許可メモリ情報リストとを比較して、使用許可メモリか否かを判定する。
In S902, the
使用許可メモリであると判定された場合(S902のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書き込み・読み込みを許可)に変更して制御する(S903)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、使用許可メモリであると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、外部記憶装置130をクライアント端末装置110から抜いた後に元に戻してもよい。
If it is determined that the memory is permitted to be used (YES in S902), the
使用許可メモリではないと判定された場合(S902のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。
If it is determined that the memory is not permitted for use (NO in S902), the process ends and proceeds to S603, where control is performed based on the setting
図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、領域間を切り替えることができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可メモリであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
As shown in the setting
また、図4に示す設定情報121のように、CD/DVDが「読み込みのみ許可」の場合、アクセス認証キーの照合ができずにエラーとなり、複数の領域を有するUSBメモリを使用することができない。しかしながら、上述したように、使用許可メモリであると判定されると、複数の領域を有するUSBメモリへの書き込みも可能となり、複数の領域を有するUSBメモリを使用することが可能となる。
Also, as in the setting
また、上述したように、使用許可メモリ情報(企業名・ベンダID・プロダクトIDなど)に応じて制御方法を変更することで、複数の領域を有するUSBメモリ内に記憶されているアプリケーションがバージョンアップした場合でも、制御を行うことができる。 As described above, by changing the control method according to the permitted memory information (company name, vendor ID, product ID, etc.), control can be performed even when applications stored in a USB memory with multiple areas are updated.
<ステップS604における処理3>
上記ステップS604における別の処理の詳細について、同処理のフローチャートを示す図11を用いて説明する。
<Process 3 in step S604>
The details of the other process in step S604 will be described with reference to FIG. 11 which shows a flowchart of the same process.
S1101では、CPU11は、セキュリティソフトウェア111にしたがって、起動されたプログラム(起動されたCD領域に記憶されているアプリケーションプログラム)が保存された保存先を示す情報を取得する。すなわち、クライアント端末装置110における保存先を示す情報を取得する。
In S1101, the
S1102では、CPU11は、セキュリティソフトウェア111にしたがって、S1101で取得した情報が示す保存先がCD/DVDドライブ内か否かを判定する。
In S1102, the
保存先がCD/DVDドライブ内であった場合(S1102のYES)、CPU11は、セキュリティソフトウェア111にしたがって、使用許可(書込み/読み込みを許可)に変更して制御する(S1103)。すなわち、図4に示す設定情報121では、CD/DVDは「読み込みのみ許可」であるが、保存先がCD/DVDドライブ内であると判定されると、CD/DVDへの「書き込み」も可能となる。なお、この際に設定情報121を「読み込みのみ許可」から一時的に「使用許可」に変更し、プロセス終了後に元に戻してもよい。
If the destination is a CD/DVD drive (YES in S1102), the
CD/DVDドライブ内に保存されていないプログラムの起動である場合(S1102のNO)、処理を終了してS603に進み、設定情報121に基づく制御を行う。または、CD/DVDドライブ外に保存されたプログラムの起動である場合、ウィルスなどの可能性もあるため、使用禁止(書き込み・読み込みを禁止)状態に変更してもよい。
If the program to be started is not stored in the CD/DVD drive (NO in S1102), the process ends and proceeds to S603, where control is performed based on the setting
上述したように、プロセスの保存先に応じて制御方法を変更することで、プロセス名やベンダID等の管理を行うことなく、汎用的な制御を行うことができる。 As described above, by changing the control method depending on where the process is saved, general-purpose control can be performed without managing process names, vendor IDs, etc.
このように、本実施形態によれば、プロセス情報、メモリ情報、またはプロセスの保存先に基づいて制御を変更するので、セキュリティと利便性とを両立した制御を行うことができる。 In this way, according to this embodiment, control is changed based on process information, memory information, or the storage destination of the process, making it possible to perform control that balances security and convenience.
また、設定情報に関わらず使用を変更する処理は、前記の具体例に限定されるものではない。プロセス情報、メモリ情報、またはプロセスの保存先のいずれか、または組み合わせに基づいて制御を変更してもよい。たとえば、「許可プロセス名リストと一致し、かつ、許可メモリ情報と一致する場合、使用許可に変更する」という組み合わせでもよい。 The process of changing usage regardless of the setting information is not limited to the specific example given above. Control may be changed based on any one or a combination of process information, memory information, or process storage destination. For example, a combination such as "if it matches the permitted process name list and also matches the permitted memory information, change to permitted usage" may be used.
また、本実施形態では、許可対象のリスト(許可プロセス情報リスト、許可メモリ情報リスト)として説明したが、リストは禁止対象のリストでもよい。 In addition, in this embodiment, a list of permitted objects (permitted process information list, permitted memory information list) has been described, but the list may also be a list of prohibited objects.
また、本実施形態では、設定情報121は、USBメモリは「使用許可」、CD/DVDは「読み込みのみ許可」と登録されているものとして説明したが、USBメモリは「使用許可」で、CD/DVDは「使用禁止」(書き込み禁止・読み込み禁止)と登録されている場合でも、複数の領域を有するUSBメモリへのアクセスを制御することが可能である。
In addition, in this embodiment, the setting
また、本実施形態では、図6のS602にて、インターセプトしたIRPから、対象機器はCD/DVDか否かを判定する処理を行っている。しかし、CD領域に対するIRP・ストレージ領域に対するIRPを各々フィルタリングすることで、S602の処理を省略してもよい。その場合、図7のS702、図9のS902、図11のS1102にて「NO」と判定された場合、S603に示す設定情報121に基づいた制御を行えばよい。
In addition, in this embodiment, in S602 of FIG. 6, a process is performed to determine whether the target device is a CD/DVD from the intercepted IRP. However, the process of S602 may be omitted by filtering the IRP for the CD area and the IRP for the storage area. In that case, if the determination is "NO" in S702 of FIG. 7, S902 of FIG. 9, or S1102 of FIG. 11, control may be performed based on the setting
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
<Other embodiments>
The present invention can also be realized by a process in which a program for implementing one or more of the functions of the above-described embodiments is supplied to a system or device via a network or a storage medium, and one or more processors in a computer of the system or device read and execute the program. The present invention can also be realized by a circuit (e.g., ASIC) that implements one or more of the functions.
Claims (8)
外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト手段と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト手段にてインターセプトされた前記外部記憶装置に対する要求を制御する制御手段と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得手段と
を備え、
前記取得手段により取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御手段は、前記第1の領域を一時的に使用許可に変更することを特徴とする情報処理装置。 An information processing device capable of connecting to an external storage device having a first area in which first information is stored and a second area which can be read and written,
an intercepting means for intercepting a request to the connected external storage device when the external storage device is connected;
a control means for controlling a request to the external storage device intercepted by the intercepting means when the availability of the external storage device is set such that writing to the first area is not permitted and use of the second area is permitted;
an acquisition means for acquiring process identification information for identifying a process included in the first information stored in the first area ,
An information processing device characterized in that, when the process identified by the process identification information acquired by the acquisition means is a process that is authorized to use an external storage device, the control means temporarily changes the first area to be authorized for use .
外部記憶装置が接続されたとき、当該接続された外部記憶装置に対する要求をインターセプトするインターセプト工程と、
外部記憶装置の使用可否として、前記第1の領域の書き込みは不可、前記第2の領域の使用が許可と設定されているとき、前記インターセプト工程にてインターセプトされた前記外部記憶装置に対する要求を制御する制御工程と、
前記第1の領域に保存されている前記第1の情報に含まれるプロセスを特定するためのプロセス識別情報を取得する取得工程と
を備え、
前記取得工程において取得された前記プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスであった場合に、前記制御工程は、前記第1の領域を一時的に使用許可に変更することを特徴とする情報処理装置の制御方法。 A method for controlling an information processing device to which an external storage device can be connected, the external storage device having a first area in which first information is stored and a second area which can be read and written, comprising the steps of:
an intercepting step of intercepting a request to the connected external storage device when the external storage device is connected;
a control step of controlling a request to the external storage device intercepted in the intercepting step when the availability of the external storage device is set such that writing to the first area is not permitted and use of the second area is permitted;
an acquisition step of acquiring process identification information for identifying a process included in the first information stored in the first area ,
A method for controlling an information processing device, characterized in that, when the process identified by the process identification information acquired in the acquisition step is a process that is authorized to use an external storage device, the control step temporarily changes the first area to be authorized for use .
ネットワークを介して、前記情報処理装置に使用を許可されるプロセスを特定可能な情報を前記情報処理装置へ送信するサーバ装置と
を有し、
前記情報処理装置の前記制御手段は、前記サーバ装置から送信された前記情報処理装置に使用を許可されるプロセスを特定可能な情報と、前記取得手段により取得された前記プロセス識別情報と、に基づき、当該プロセス識別情報により特定される前記プロセスが、外部記憶装置の使用を許可されたプロセスかどうかを判定することを特徴とする情報処理システム。 An information processing device according to any one of claims 1 to 5 ;
a server device that transmits, via a network, to the information processing device, information that can identify a process that is permitted to be used by the information processing device ;
The control means of the information processing device determines, based on information capable of identifying a process that is permitted to be used by the information processing device and transmitted from the server device, and the process identification information acquired by the acquisition means, whether the process identified by the process identification information is a process that is permitted to use an external storage device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020125053A JP7486368B2 (en) | 2020-07-22 | 2020-07-22 | Information processing device, control method for information processing device, information processing system, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020125053A JP7486368B2 (en) | 2020-07-22 | 2020-07-22 | Information processing device, control method for information processing device, information processing system, and program |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2022021473A JP2022021473A (en) | 2022-02-03 |
| JP2022021473A5 JP2022021473A5 (en) | 2023-07-26 |
| JP7486368B2 true JP7486368B2 (en) | 2024-05-17 |
Family
ID=80220887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020125053A Active JP7486368B2 (en) | 2020-07-22 | 2020-07-22 | Information processing device, control method for information processing device, information processing system, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7486368B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009205673A (en) | 2008-02-01 | 2009-09-10 | Canon Electronics Inc | Memory device, information processing device, terminal device, and computer program |
| JP2013058179A (en) | 2011-08-18 | 2013-03-28 | Yuji Oishi | External storage device and control method thereof |
| JP2016081517A (en) | 2014-10-09 | 2016-05-16 | キヤノン電子株式会社 | Information processing apparatus and security management method |
-
2020
- 2020-07-22 JP JP2020125053A patent/JP7486368B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009205673A (en) | 2008-02-01 | 2009-09-10 | Canon Electronics Inc | Memory device, information processing device, terminal device, and computer program |
| JP2013058179A (en) | 2011-08-18 | 2013-03-28 | Yuji Oishi | External storage device and control method thereof |
| JP2016081517A (en) | 2014-10-09 | 2016-05-16 | キヤノン電子株式会社 | Information processing apparatus and security management method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022021473A (en) | 2022-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1672509B1 (en) | Portable applications | |
| TWI430174B (en) | Approaches for installing software using bios | |
| EP2477111B1 (en) | Computer system and program restoring method thereof | |
| US20150212848A1 (en) | Security management device and method | |
| US20110035783A1 (en) | Confidential information leak prevention system and confidential information leak prevention method | |
| US20070283444A1 (en) | Apparatus And System For Preventing Virus | |
| US8533845B2 (en) | Method and apparatus for controlling operating system access to configuration settings | |
| JP7146812B2 (en) | Auxiliary storage device with independent restoration area and equipment to which this is applied | |
| US20080104705A1 (en) | Setting group policy by device ownership | |
| US20130036431A1 (en) | Constraining Execution of Specified Device Drivers | |
| JP3904534B2 (en) | Terminal status monitoring system and method | |
| US20230359741A1 (en) | Trusted boot method and apparatus, electronic device, and readable storage medium | |
| US20170132418A1 (en) | System and method updating disk encryption software and performing pre-boot compatibility verification | |
| KR100376435B1 (en) | Apparatus and method for protecting data on computer hard-disk and computer readable recording medium having computer readable programs stored therein for causing computer to perform the method | |
| CN118708114A (en) | Access control method, device, electronic device and storage medium for storage peripherals | |
| JP6483459B2 (en) | File management system and file management program | |
| JP7486368B2 (en) | Information processing device, control method for information processing device, information processing system, and program | |
| JP4895731B2 (en) | Information processing device, peripheral device, and program | |
| JP2009169868A (en) | Storage area access device and storage area access method | |
| JPWO2005103909A1 (en) | Security maintenance method, data storage device, security maintenance server, and recording medium recording the program | |
| KR100911345B1 (en) | Content security method and device | |
| JP2011076541A (en) | Information leakage prevention program and starting recording program | |
| US12547744B2 (en) | Controlling access to a demountable storage device | |
| JP5337675B2 (en) | Terminal management system and method | |
| JP4729890B2 (en) | File management device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230718 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230720 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20230720 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240226 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240229 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240408 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240419 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240507 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7486368 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |