JP2007328400A - ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム - Google Patents
ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム Download PDFInfo
- Publication number
- JP2007328400A JP2007328400A JP2006157044A JP2006157044A JP2007328400A JP 2007328400 A JP2007328400 A JP 2007328400A JP 2006157044 A JP2006157044 A JP 2006157044A JP 2006157044 A JP2006157044 A JP 2006157044A JP 2007328400 A JP2007328400 A JP 2007328400A
- Authority
- JP
- Japan
- Prior art keywords
- file
- information
- access right
- shared
- shared folder
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】ディレクトリに設定されたアクセス権の情報を動的に取得して、ファイルの利用権を設定する。
【解決手段】ユーザが共有するファイルのファイル利用権情報をファイル利用権管理サーバ4に作成するとともに、共有ディレクトリとファイル利用権の対応づけを当該ファイル共有サーバ3の対応付け管理DB33に保持しておき、権限同期モニタ部32が共有ディレクトリのアクセス権が変更されたことを検知した場合には、共有ディレクトリの変更後のアクセス権とファイル利用権の同期をとり、その変更後の対応付けを対応付け管理DB33に保存する。さらに、ファイルシステムモニタ部34が共有ディレクトリを監視し、ファイルや共有フォルダが移動されることを検知すると、対応付け管理DB33を参照してファイル利用権情報のポインタを取得し、ファイルに埋め込む。
【選択図】図1
【解決手段】ユーザが共有するファイルのファイル利用権情報をファイル利用権管理サーバ4に作成するとともに、共有ディレクトリとファイル利用権の対応づけを当該ファイル共有サーバ3の対応付け管理DB33に保持しておき、権限同期モニタ部32が共有ディレクトリのアクセス権が変更されたことを検知した場合には、共有ディレクトリの変更後のアクセス権とファイル利用権の同期をとり、その変更後の対応付けを対応付け管理DB33に保存する。さらに、ファイルシステムモニタ部34が共有ディレクトリを監視し、ファイルや共有フォルダが移動されることを検知すると、対応付け管理DB33を参照してファイル利用権情報のポインタを取得し、ファイルに埋め込む。
【選択図】図1
Description
本発明は、フォルダやファイルに対するアクセス権を管理するポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラムに関する。
企業などの組織内ネットワークでは、作成された電子ファイルを管理するため、共有のファイルサーバを使用することが一般的である。また、このファイルサーバ上の電子ファイルの改ざんや漏洩を防止する為、ファイルサーバには適切な権限のあるユーザのみしかアクセスできないようにアクセス制限を実施することが一般的である。このようなアクセス制限には、ディレクトリに対するアクセス制御技術、ファイルに対するアクセス制御技術などが用いられる。これらを以下に説明する。
まず、ディレクトリに対するアクセス制御技術について説明する。
ディレクトリに対するアクセス制御技術を用いたアクセス制限は、アクセス制御ポリシーを管理者等が登録することにより実現される。
図11はある組織におけるファイルサーバのディレクトリ構成例を示しており、図12は、図11に示すディレクトリのアクセス制御ポリシーの例を示している。例えば、図12に示すアクセス制御ポリシーに登録されている「(フォルダ名)F1;担当内資料、(誰が)A担当 管理職、(動作)編集、(可能/不可能)可能」というポリシーは、図11に示すフォルダF1「担当内資料」のディレクトリ内にあるファイルに対し、「A担当の管理職」は「編集」が可能である、というアクセス制限を行っていることを意味する。一般に広く使用されている既存の各種オペレーディングシステムでは、これらのようなディレクトリ単位のアクセス制御ポリシーに基づき、ファイルヘのアクセスを制限する機能を実現している。この機能により、ユーザは電子ファイルを作成後、アクセス制限の施されたディレクトリにそのファイルを保存するだけで、適切なアクセス制御を実現することが可能となる。
ディレクトリに対するアクセス制御技術を用いたアクセス制限は、アクセス制御ポリシーを管理者等が登録することにより実現される。
図11はある組織におけるファイルサーバのディレクトリ構成例を示しており、図12は、図11に示すディレクトリのアクセス制御ポリシーの例を示している。例えば、図12に示すアクセス制御ポリシーに登録されている「(フォルダ名)F1;担当内資料、(誰が)A担当 管理職、(動作)編集、(可能/不可能)可能」というポリシーは、図11に示すフォルダF1「担当内資料」のディレクトリ内にあるファイルに対し、「A担当の管理職」は「編集」が可能である、というアクセス制限を行っていることを意味する。一般に広く使用されている既存の各種オペレーディングシステムでは、これらのようなディレクトリ単位のアクセス制御ポリシーに基づき、ファイルヘのアクセスを制限する機能を実現している。この機能により、ユーザは電子ファイルを作成後、アクセス制限の施されたディレクトリにそのファイルを保存するだけで、適切なアクセス制御を実現することが可能となる。
オペレーティングシステムのアクセス制御技術は、上記のように、ディレクトリに対して予め設定されたアクセス制御ポリシーに従って、ディレクトリに保存されたファイルヘのアクセス制御を自動的に実現する技術である。ここで、ディレクトリにファイルを保存した際に、自動的に事前に設定されたポリシー制御処理を実行する技術として、以下のような関連技術が存在する。
特許文献1では、モデルポリシーを登録しておくことにより、新規に作成・編集されたファイルに対するアクセス権を自動的に設定する手法について提案しており、ディレクトリのアクセス制御に加え、ファイル単位のアクセス制御を可能としていることを特徴とする。
また、特許文献2では、特定の領域にファイルをドラッグ&ドロップした場合に、事前に設定されたポリシーに基づいてFTP(File Transfer Protocol)によるファイルの転送処理を行う方式について提案している。
また、特許文献3では、特定の領域にファイルをドラッグ&ドロップした場合に、事前に設定されたポリシーに基づいて、ファイル形式の変換を行う方法を提案している。
特許文献1では、モデルポリシーを登録しておくことにより、新規に作成・編集されたファイルに対するアクセス権を自動的に設定する手法について提案しており、ディレクトリのアクセス制御に加え、ファイル単位のアクセス制御を可能としていることを特徴とする。
また、特許文献2では、特定の領域にファイルをドラッグ&ドロップした場合に、事前に設定されたポリシーに基づいてFTP(File Transfer Protocol)によるファイルの転送処理を行う方式について提案している。
また、特許文献3では、特定の領域にファイルをドラッグ&ドロップした場合に、事前に設定されたポリシーに基づいて、ファイル形式の変換を行う方法を提案している。
次に、ファイルに対するアクセス制御技術について説明する。
上述したようなディレクトリに対するアクセス権設定ではなく、ファイルに対してアクセス権を設定する技術がある(例えば、非特許文献1、非特許文献2参照)。これらの技術は以下の2種類の方式により、ファイル自体へのアクセス制御を実現している。なお、混乱を避けるため、以降、ファイルに対するアクセス権のことを「ファイル利用権」と呼ぶことにする。
上述したようなディレクトリに対するアクセス権設定ではなく、ファイルに対してアクセス権を設定する技術がある(例えば、非特許文献1、非特許文献2参照)。これらの技術は以下の2種類の方式により、ファイル自体へのアクセス制御を実現している。なお、混乱を避けるため、以降、ファイルに対するアクセス権のことを「ファイル利用権」と呼ぶことにする。
(1)ファイル利用権埋込方式
ファイル利用権埋込方式は、誰がどのような動作を行うことを許可または禁止されているのかといったアクセス制御情報、すなわち、ファイル利用権をファイル自身に埋め込む方式である。これを、図13に示す。この方式は、ファイルに対するアクセスがあった場合に、ファイルに埋め込まれたアクセス制御情報とアクセスの主体情報を比較することにより、ファイルに対する操作を制御する方式である。
ファイル利用権埋込方式は、誰がどのような動作を行うことを許可または禁止されているのかといったアクセス制御情報、すなわち、ファイル利用権をファイル自身に埋め込む方式である。これを、図13に示す。この方式は、ファイルに対するアクセスがあった場合に、ファイルに埋め込まれたアクセス制御情報とアクセスの主体情報を比較することにより、ファイルに対する操作を制御する方式である。
(2)ファイル利用権ポインタ埋込方式
ファイル利用権ポインタ埋込方式は、誰がどのような動作を行うことを許可/禁止されているのかといったアクセス制御情報が保存された場所(これをファイル利用権ポインタと呼ぶ)をファイル自身に埋め込む方式である。これを、図14に示す。この方式は、ファイルに対するアクセスがあった場合に、ファイルに埋め込まれたファイル利用権ポインタの情報により示される利用権管理サーバに問い合わせを行い、この利用権管理サーバに保管された当該ファイルへのアクセス制御情報(ファイル利用権)とアクセスの主体情報とを比較することにより、ファイルに対する操作を制御する方式である。
特開2005−99982号公報
特許第3286312号明細書
特開平10−307745号公報
"企業向けの Microsoft Windows Rights Management ソリューション:デジタル情報に関する永続的なポリシーの記述と適用",[online],2004年,Microsoft,[平成18年4月25日検索]、インターネット<http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/rm.mspx>
"アドビセキュリティソリューションを用いた電子化ドキュメント保護(Protecting Electronic Documents with Adobe Security Solutions)",[online],2003年,Abobe,[平成18年4月25日検索]、インターネット<http://www.adobe.co.jp/security/pdfs/acrobat_security_wp.pdf>
ファイル利用権ポインタ埋込方式は、誰がどのような動作を行うことを許可/禁止されているのかといったアクセス制御情報が保存された場所(これをファイル利用権ポインタと呼ぶ)をファイル自身に埋め込む方式である。これを、図14に示す。この方式は、ファイルに対するアクセスがあった場合に、ファイルに埋め込まれたファイル利用権ポインタの情報により示される利用権管理サーバに問い合わせを行い、この利用権管理サーバに保管された当該ファイルへのアクセス制御情報(ファイル利用権)とアクセスの主体情報とを比較することにより、ファイルに対する操作を制御する方式である。
上述したディレクトリに対するアクセス制御技術のように、ディレクトに対するアクセス制御を施しただけでは、セキュリティ上の対策は十分ではない。例えば、図11のフォルダF1のディレクトリヘのアクセス権、すなわち、編集・ファイルのコピーなどの権利を有するユーザが誤って、フォルダF1内にあるファイルをフォルダF2に移動してしまったり、あるいはメールで添付してしまったりした場合には、本来アクセス権の無いユーザがファイルを閲覧・編集出来てしまう危険性がある。これを防止するためには、ディレクトリのみではなく、ファイル自身にも適切なアクセス権を設定することが必要である。
一般に、フィルサーバはシステム管理者等の専門家によって管理されており、ディレクトリのアクセス権も適切に設定されている為、エンドユーザがそのアクセス権設定を特に意識する必要はない。しかしながら、ファイルサーバに保存される個々のファイルはエンドユーザが任意に作成するものであり、いつ・誰が・何のために作成したかをシステム管理者が把握することは難しい。またセキュリティ上、そもそもシステム管理者がファイルにアクセスすることが出来ない場合もある。そのため、これまでは、ファイル利用権はファイルを作成したエンドユーザが自分の責任で個別に設定する必要があった。ところが、ファイル利用権設定は非常に煩雑であり、すべてのユーザが適切な利用権を設定できるとは限らない。例えば、A担当の一般社員Bが、あるファイルCを作成し、そのファイルCに管理職と作成者のBのみが編集可能で、一般社員は閲覧のみ可能というファイル利用権を設定したい場合がある。しかし、ファイル作成の都度、このような利用権を逐一設定することは、知識も必要であり難しい。また、ファイルに対するアクセス権(ファイル利用権)は、ディレクトリに対するアクセス権とは異なり、ファイルタイプに応じて、きめ細かに設定することが必要となる。例えば、画像ファイルに対しては、閲覧は許可するが、印刷は禁止するといった制御が必要である。また、ドキュメントファイルであれば、編集は可能だが、コピー&ペーストやマクロの実行は禁止したい、といった制御が必要である。
特許文献1や特許文献2では、事前に設定されたポリシーに基づいて、ファイルに対する利用権を自動的に設定する技術を提案しており、この技術によれば、ユーザが個別のファイル利用権設定を意識しなくても、ディレクトリにファイルを保存するだけで、利用権設定が実現されるという利点がある。しかし、これらの技術では、ディレクトリのアクセス権とファイル利用権が、独立して静的に設定される為、以下の2つの問題がある。
1つ目の問題は、ディレクトリのアクセス権とファイル利用権に、矛盾したポリシーを設定してしまう可能性があるということである。
例えば、フォルダF1のディレクトリのアクセス権に「A担当社員のみ編集可能」というポリシーを設定し、このディレクトリに保存されるファイル利用権ポリシーに「B担当社員のみ閲覧可能」というポリシーを誤って設定してしまう可能性がある。このようなポリシーが設定されてしまうと、フォルダF1のディレクトリに保存されたファイルは、B担当のみしか閲覧出来ないにも関わらず、当該ファイルヘはA担当社員しかアクセス出来ないという状況が発生してしまう。アクセス権とファイル利用権をバラバラに設定すると、この様な危険性があり、それを検出することは難しい。
例えば、フォルダF1のディレクトリのアクセス権に「A担当社員のみ編集可能」というポリシーを設定し、このディレクトリに保存されるファイル利用権ポリシーに「B担当社員のみ閲覧可能」というポリシーを誤って設定してしまう可能性がある。このようなポリシーが設定されてしまうと、フォルダF1のディレクトリに保存されたファイルは、B担当のみしか閲覧出来ないにも関わらず、当該ファイルヘはA担当社員しかアクセス出来ないという状況が発生してしまう。アクセス権とファイル利用権をバラバラに設定すると、この様な危険性があり、それを検出することは難しい。
2つ目の問題は、ディレクトリのアクセス権設定が変更される都度、ファイル利用権も変更しなければならないということである。
例えば、フォルダF1のディレクトリのアクセス権に「A担当社員のみ編集可能」というポリシーが設定されていたとする。同様に、フォルダF1のディレクトリに保存されるファイル利用権にも「A担当社員のみ編集可能」というポリシーが設定されているとする。この時点では問題はないが、組織の変更などにより、フォルダF1のディレクトリはA担当とB担当が共有して利用することになり、フォルダF1のディレクトリのアクセス権が「A担当・B担当社員のみ編集可能」と変更される可能性がある。すると、この変更にあわせて、ファイル利用権も適切に変更をしないと、ディレクトリのアクセス権とファイル利用権の内容が合致せず、B担当社員がファイルを編集できないという問題が発生する。しかしながら、ディレクトリのアクセス権の変更の都度、ファイル利用権を変更する作業は手間がかかリ、設定ミスが発生する危険性がある。
上記2つの問題を解決するためには、ディレクトリに設定されたアクセス権の情報を動的に取得して、ファイルの利用権を設定することを可能にする技術が必要である。
例えば、フォルダF1のディレクトリのアクセス権に「A担当社員のみ編集可能」というポリシーが設定されていたとする。同様に、フォルダF1のディレクトリに保存されるファイル利用権にも「A担当社員のみ編集可能」というポリシーが設定されているとする。この時点では問題はないが、組織の変更などにより、フォルダF1のディレクトリはA担当とB担当が共有して利用することになり、フォルダF1のディレクトリのアクセス権が「A担当・B担当社員のみ編集可能」と変更される可能性がある。すると、この変更にあわせて、ファイル利用権も適切に変更をしないと、ディレクトリのアクセス権とファイル利用権の内容が合致せず、B担当社員がファイルを編集できないという問題が発生する。しかしながら、ディレクトリのアクセス権の変更の都度、ファイル利用権を変更する作業は手間がかかリ、設定ミスが発生する危険性がある。
上記2つの問題を解決するためには、ディレクトリに設定されたアクセス権の情報を動的に取得して、ファイルの利用権を設定することを可能にする技術が必要である。
本発明は、このような事情に鑑みてなされたものであり、ディレクトリに設定されたアクセス権の情報を動的に取得して、ファイルの利用権を設定し、ディレクトリ及びその配下のファイルのアクセス権を同期させることのできるポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラムを提供することをその目的とする。
上記課題を解決するために、本発明は、複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置であって、共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部と、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える権限同期モニタ部と、を備えることを特徴とするポリシー管理装置である。
また、本発明は、上述するポリシー管理装置であって、共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むファイルシステムモニタ部とをさらに備える、ことを特徴とする。
また、本発明は、上述するポリシー管理装置であって、前記記憶部は、共有フォルダ配下のファイルに対するアクセス権の情報が書き込まれた日時を示す更新情報をさらに保持し、ユーザの端末によりアクセスされたファイル内の特定情報で特定されるアクセス権の情報に対応した更新情報を前記記憶部から読み出し、現在の日時と読み出した更新情報により示される日時とを比較して有効であると判断された場合に、有効であると判断された前記特定情報に対応して前記記憶部から読み出したアクセス権の情報により、前記ファイルのアクセスの制御を行う認証部をさらに備える、ことを特徴とする。
また、本発明は、上述するポリシー管理装置であって、前記記憶部は、共有フォルダと、同期してアクセス権を変更すべき同期先共有フォルダとを対応付ける情報をさらに記憶し、前記権限同期モニタは、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部から当該共有フォルダに対応した同期先共有フォルダの情報を読み出し、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報、及び、同期先共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える、ことを特徴とする。
また、本発明は、上述するポリシー管理装置であって、前記アクセス権の情報は、許可または禁止される動作と、その対象ユーザとの情報を含むことを特徴とする。
また、本発明は、上述するポリシー管理装置であって、前記アクセス権の情報は、許可または禁止される動作と、その対象ユーザとの情報を含み、前記記憶部は、共有フォルダへのアクセス権により許可または禁止される動作と、ファイルに対するアクセス権へ設定すべき許可または禁止される動作とを対応付ける情報をさらに記憶し、前記権限同期モニタ部は、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部から当該共有フォルダのアクセス権の情報を読み出し、さらに、この読み出したアクセス権の情報内の許可または禁止される動作の情報に対応して、ファイルに対するアクセス権へ設定すべき許可または禁止される動作の情報を前記記憶部から読み出し、当該共有フォルダのアクセス権の情報内の禁止または許可される動作の情報を、読み出した許可または禁止される動作の情報に書換えた情報により、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を書き換える、ことを特徴とする。
また、本発明は、複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置に用いられるポリシー管理方法であって、前記ポリシー管理装置は、共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部を有しており、前記ポリシー管理装置において、権限同期モニタ部が、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換えるステップ、を有することを特徴とするポリシー管理方法である。
また、本発明は、上述するポリシー管理方法であって、前記ポリシー管理装置において、ファイルシステムモニタ部が、共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むステップをさらに有する、ことを特徴とする。
また、本発明は、複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置として用いられるコンピュータを、共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える権限同期モニタ部、として機能させることを特徴とするコンピュータプログラムである。
また、本発明は、上述するコンピュータプログラムであって、さらに、共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むファイルシステムモニタ部、として機能させることを特徴とする。
本発明によれば、ポリシー管理装置は、ディレクトリのアクセス権とファイルのアクセス権(ファイル利用権)の整合性を、常に自動的に保持することが可能となる。従って、従来の技術では、ディレクトリのアクセス権とファイル利用権は独立して設定する必要があり、それぞれの機能は連携していなかったために、矛盾したポリシー設定や管理稼働の煩雑化に伴って、機密情報の漏洩などセキュリティ上の問題が発生してしまうという点を解決する。つまり、本発明により、ディレクトリのアクセス権と(ファイル利用権)に矛盾したポリシーを設定してしまうという問題を解決することが可能となるとともに、ディレクトリのアクセス権の設定のみを行えば、ファイル利用権の設定は自動的に行われるため、管理稼働を削減することが可能となる。これにより、機密情報のセキュリティが向上する。
以下、本発明の実施の形態を図面を参照して詳細に説明する。
本発明では、従来技術に示した「ファイル利用権(「ファイル利用権」は、ファイルに対するアクセス権を示す)ポインタ埋め込み方式」が実装されているファイル利用権制御技術(製品)と、「権限同期モニタ」および「ファイルシステムモニタ」を組み合わせることにより前述の問題を解決する。
すなわち、「権限同期モニタ」は、ファイルサーバ内の共有ディレクトリのアクセス権を常に監視しており、共有ディレクトリのアクセス権が変更されたことを検知する。この検知により、ファイルサーバ内の共有ディレクトリのアクセス権と、ファイル利用権制御技術(製品)のファイル利用権の2つの同期を取り、それぞれの対応付けを対応づけ管理データベース(以下、データベースを「DB」と記載)に保存する。また、「ファイルシステムモニタ」は、ファイルサーバ内の共有ディレクトリのファイル入力へを監視しており、共有ディレクトリにファイルやフォルダがコピー(移動)されることを検知する。この検知により、共有ディレクトリに対応づけられているファイル利用権のファイル利用権ポインタを対応付け管理DBから取得し、該当ファイルにファイル利用権ポインタを埋め込む。なお、共有ディレクトリとは、共有フォルダのディレクトリを示す。
本発明では、従来技術に示した「ファイル利用権(「ファイル利用権」は、ファイルに対するアクセス権を示す)ポインタ埋め込み方式」が実装されているファイル利用権制御技術(製品)と、「権限同期モニタ」および「ファイルシステムモニタ」を組み合わせることにより前述の問題を解決する。
すなわち、「権限同期モニタ」は、ファイルサーバ内の共有ディレクトリのアクセス権を常に監視しており、共有ディレクトリのアクセス権が変更されたことを検知する。この検知により、ファイルサーバ内の共有ディレクトリのアクセス権と、ファイル利用権制御技術(製品)のファイル利用権の2つの同期を取り、それぞれの対応付けを対応づけ管理データベース(以下、データベースを「DB」と記載)に保存する。また、「ファイルシステムモニタ」は、ファイルサーバ内の共有ディレクトリのファイル入力へを監視しており、共有ディレクトリにファイルやフォルダがコピー(移動)されることを検知する。この検知により、共有ディレクトリに対応づけられているファイル利用権のファイル利用権ポインタを対応付け管理DBから取得し、該当ファイルにファイル利用権ポインタを埋め込む。なお、共有ディレクトリとは、共有フォルダのディレクトリを示す。
<第1の実施形態>
図1は、本発明の第1の実施形態によるポリシー管理システムの構成を説明するための図である。同図において、ポリシー管理システムは、ファイル共有サーバ3及びファイル利用権管理サーバ4からなるポリシー管理装置と、管理者端末1と、利用者端末2とを、ネットワークで接続してなる。
図1は、本発明の第1の実施形態によるポリシー管理システムの構成を説明するための図である。同図において、ポリシー管理システムは、ファイル共有サーバ3及びファイル利用権管理サーバ4からなるポリシー管理装置と、管理者端末1と、利用者端末2とを、ネットワークで接続してなる。
ファイル共有サーバ3は、ファイル記憶部31、権限同期モニタ部32、対応付け管理DB33、及び、ファイルシステムモニタ部34を有する。
ファイル記憶部31は、ファイル共有サーバ3に生成された各共通フォルダのディレクトリの情報や、共有フォルダ配下のファイルを記憶する。
対応付け管理DB33は、共有ディレクトリを一意に識別する共有ディレクトリIDと、ファイル利用権の情報が保持されている場所を特定するファイル利用権ポインタとを対応付ける情報を記憶するデータベースである。対応付け管理DB33が保持するテーブルイメージを図2に示す。ここでは、ファイル利用権ポインタがXML(extensible markup language)形式のファイルとして、ファイル利用権管理サーバ4に保存されていることを前提としているが、保存形式は任意のものでよく、例えば、ファイル利用権管理サーバ4とは異なる他のデータベースで管理しても良い。なお、対応付け管理DB33は、ファイル共有サーバ3とは別のコンピュータ上に存在しても良い。
ファイル記憶部31は、ファイル共有サーバ3に生成された各共通フォルダのディレクトリの情報や、共有フォルダ配下のファイルを記憶する。
対応付け管理DB33は、共有ディレクトリを一意に識別する共有ディレクトリIDと、ファイル利用権の情報が保持されている場所を特定するファイル利用権ポインタとを対応付ける情報を記憶するデータベースである。対応付け管理DB33が保持するテーブルイメージを図2に示す。ここでは、ファイル利用権ポインタがXML(extensible markup language)形式のファイルとして、ファイル利用権管理サーバ4に保存されていることを前提としているが、保存形式は任意のものでよく、例えば、ファイル利用権管理サーバ4とは異なる他のデータベースで管理しても良い。なお、対応付け管理DB33は、ファイル共有サーバ3とは別のコンピュータ上に存在しても良い。
権限同期モニタ部32は、ファイル記憶部31内の共有ディレクトリを監視し、共有ディレクトリに設定されたアクセス権の情報を取得して、ファイル利用権管理サーバ4のファイル利用権DB41、及び、対応付け管理DB33を更新する機能を有する。なお、権限同期モニタ部32は、ファイル共有サーバ3とは別のコンピュータ上に存在していても良い。
ファイルシステムモニタ部34は、ファイル記憶部31内の共有ディレクトリを監視し、共有ディレクトリ配下に新規にファイルが作成されたり、ファイルが移動された場合に、そのファイルにファイル利用権ポインタを埋め込む機能を有する。なお、ファイルシステムモニタ部34は、ファイル共有サーバ3とは別のコンピュータ上に存在していても良い。
ファイルシステムモニタ部34は、ファイル記憶部31内の共有ディレクトリを監視し、共有ディレクトリ配下に新規にファイルが作成されたり、ファイルが移動された場合に、そのファイルにファイル利用権ポインタを埋め込む機能を有する。なお、ファイルシステムモニタ部34は、ファイル共有サーバ3とは別のコンピュータ上に存在していても良い。
管理者が操作する管理者端末1は、ディレクトリ管理機能部11を備える。ディレクトリ管理機能部11は、ファイル共有サーバ3上の共有ディレクトリの作成・削除・編集等を実施する機能を有する。なお、ディレクトリ管理機能部11は、ファイル共有サーバ3内の機能として実現することも可能である。
利用者(ユーザ)が操作する利用者端末2は、ファイルアクセス機能部21を備える。ファイルアクセス機能部21は、ファイル共有サーバ3上のファイルにネットワーク経由でアクセスする機能を提供する。ファイルアクセス機能部21は、利用者の操作に従って、ファイル共有サーバ3上のファイル、すなわち、ファイル記憶部31内に記憶されるファイルの作成・編集・移動・削除などを行う。
ファイル利用権管理サーバ4は、ファイル利用権DB41と認証部42とを備える。
ファイル利用権DB41は、ファイル利用権ポインタとファイル利用権とを対応付ける情報を保持している。ファイル利用権DB41が保持するテーブルイメージを図3に示す。ファイル利用権は、「誰が」、どのような「動作」を、許可または禁止するか(「許可/禁止」)を示す。
認証部42は、利用者がファイルにアクセスする際にその利用者を認証し、ファイル利用権DB41に従って、ファイルヘの操作を制御する機能を提供する。
ファイル利用権DB41は、ファイル利用権ポインタとファイル利用権とを対応付ける情報を保持している。ファイル利用権DB41が保持するテーブルイメージを図3に示す。ファイル利用権は、「誰が」、どのような「動作」を、許可または禁止するか(「許可/禁止」)を示す。
認証部42は、利用者がファイルにアクセスする際にその利用者を認証し、ファイル利用権DB41に従って、ファイルヘの操作を制御する機能を提供する。
次に、図1に示す第1の実施形態によるポリシー管理システムの処理手順を示す。
管理者は、管理者端末1によりファイル共有サーバ3上の共有ディレクトリの管理を随時行っている。すなわち、管理者端末1のディレクトリ管理機能部11は、管理者の操作に従い、ファイル共有サーバ3上の共有ディレクトリの新規作成・削除・移動や、フォルダ名の変更などを実施する。これにより、ファイル共有サーバ3のファイル記憶部31に、新規生成・削除・移動された共有ディレクトリ(共有ファイル)の情報が書き込まれる。さらに、管理者端末1のディレクトリ管理機能部11は、従来技術に記載したディレクトリに対するアクセス制御技術を用い、共有ディレクトリのアクセス権を設定する。これにより、ファイル共有サーバ3のファイル記憶部31に、共有ディレクトリのアクセス権情報の書き込みや、更新が行われる。共有ディレクトリのアクセス権情報は、共有ディレクトリを特定する情報と、誰がどのような動作を行うことが可能または不可能であるかの情報とを対応付けたものである。なお、共有ディレクトリのアクセス権情報は、対応付け管理DB33など他の記憶部に記憶することでもよい。
一方、利用者は、利用者端末2によりファイル共有サーバ3上のファイルの編集等を行っている。すなわち、利用者端末2のファイルアクセス機能部21は、利用者の操作に従い、ファイル共有サーバ3にネットワーク経由でアクセスし、ファイル記憶部31内のファイルの作成・編集・移動・削除などを随時行う。
管理者は、管理者端末1によりファイル共有サーバ3上の共有ディレクトリの管理を随時行っている。すなわち、管理者端末1のディレクトリ管理機能部11は、管理者の操作に従い、ファイル共有サーバ3上の共有ディレクトリの新規作成・削除・移動や、フォルダ名の変更などを実施する。これにより、ファイル共有サーバ3のファイル記憶部31に、新規生成・削除・移動された共有ディレクトリ(共有ファイル)の情報が書き込まれる。さらに、管理者端末1のディレクトリ管理機能部11は、従来技術に記載したディレクトリに対するアクセス制御技術を用い、共有ディレクトリのアクセス権を設定する。これにより、ファイル共有サーバ3のファイル記憶部31に、共有ディレクトリのアクセス権情報の書き込みや、更新が行われる。共有ディレクトリのアクセス権情報は、共有ディレクトリを特定する情報と、誰がどのような動作を行うことが可能または不可能であるかの情報とを対応付けたものである。なお、共有ディレクトリのアクセス権情報は、対応付け管理DB33など他の記憶部に記憶することでもよい。
一方、利用者は、利用者端末2によりファイル共有サーバ3上のファイルの編集等を行っている。すなわち、利用者端末2のファイルアクセス機能部21は、利用者の操作に従い、ファイル共有サーバ3にネットワーク経由でアクセスし、ファイル記憶部31内のファイルの作成・編集・移動・削除などを随時行う。
図4は、図1に示す第1の実施形態によるポリシー管理システムにおける権限監視モニタ処理の処理手順を示す。
同図において、ファイル共有サーバ3の権限同期モニタ部32は、ファイル記憶部31を参照して共有ディレクトリを検索し(ステップS110)、共有ディレクトリが見つかれば(ステップS120:YES)、以下の処理を実施する。
すなわち、権限同期モニタ部32は、見つけた共有ディレクトリに設定されているアクセス権の情報をファイル記憶部31から取得する(ステップS130)。さらに、権限同期モニタ部32は、見つけた共有ディレクトリの共有ディレクトリIDをキーに、対応付け管理DB33を検索する。共有ディレクトリIDには、例えば、共有ディレクトリのフルパス名を使用することができる。
同図において、ファイル共有サーバ3の権限同期モニタ部32は、ファイル記憶部31を参照して共有ディレクトリを検索し(ステップS110)、共有ディレクトリが見つかれば(ステップS120:YES)、以下の処理を実施する。
すなわち、権限同期モニタ部32は、見つけた共有ディレクトリに設定されているアクセス権の情報をファイル記憶部31から取得する(ステップS130)。さらに、権限同期モニタ部32は、見つけた共有ディレクトリの共有ディレクトリIDをキーに、対応付け管理DB33を検索する。共有ディレクトリIDには、例えば、共有ディレクトリのフルパス名を使用することができる。
キーとしている共有ディレクトリIDが対応付け管理DB33に未登録の場合(ステップS140:NO)、権限同期モニタ部32は、当該共有ディレクトリIDと、新たなファイル利用権ポインタを対応付けた情報を、対応付け管理DB33に登録する(ステップS150)。さらに、権限同期モニタ部32は、新たなファイル利用権ポインタと、ステップS130において取得したアクセス権の情報とを対応付けた情報を、ファイル利用権管理サーバ4のファイル利用権DB41内に登録する(ステップS160)。そして、現在注目している共有ディレクトリについての処理を終了し、共有ディレクトリの検索がまだ終了していない場合は(ステップS180:NO)、ステップS110に戻り、次の共有ディレクトリを検索して以降の処理を繰り返す。
一方、ステップS140においてキーとしている共有ディレクトリIDが対応付け管理DB33に既に登録済みであれば(ステップS140:YES)、権限同期モニタ部32は、対応付け管理DB33から、当該共有ディレクトリIDに該当するファイル利用権ポインタを読み出し、この読み出したファイル利用権ポインタに該当するファイル利用権の情報をファイル利用権管理サーバ4のファイル利用権DB41から取得する。権限同期モニタ部32は、取得したファイル利用権の情報が示す内容と、ステップS130において取得したアクセス権の情報が示す内容とが一致する場合には(ステップS170:YES)、何も処理を行わずに現在注目している共有ディレクトリについての処理を終了し、共有ディレクトリの検索処理がまだ終了していない場合は(ステップS180:NO)、ステップS110に戻り、次の共有ディレクトリを検索して以降の処理を繰り返す。
また、取得したファイル利用権の情報が示す内容と、ステップS130において取得したアクセス権の情報の示す内容とが一致しない場合には(ステップS170:NO)、ステップS130において取得したアクセス権の情報により、ファイル利用権管理サーバ4のファイル利用権DB41内にファイル利用権ポインタに対応させて記憶されているファイル利用権の情報を更新する(ステップS160)。そして、現在注目している共有ディレクトリについての処理を終了し、共有ディレクトリの検索処理がまだ終了していない場合は(ステップS180:NO)、ステップS110に戻り、次の共有ディレクトリを検索して以降の処理を繰り返す。
権限同期モニタ部32は、ステップS110〜S180のループを繰り返し、共有ディレクトリの検索処理が終了した場合は(ステップS180:YES)、ループを終了する。
権限同期モニタ部32は、ステップS110〜S180のループを繰り返し、共有ディレクトリの検索処理が終了した場合は(ステップS180:YES)、ループを終了する。
ファイル共有サーバ3は、上述した図4の処理を一定間隔毎に実行する。これにより、共有ディレクトリの最新のアクセス権の情報を対応付け管理DB33に保存することを実現する。
図4に示す処理手順は、一定間隔で共有ディレクトリの作成やアクセス権の変更を監視する方法である。一方でOS(オペレーションシステム)のイベント取得機能を使うと、一定間隔での監視作業は不要となり、共有ディレクトリ作成イベントや、アクセス権変更イベントが発生したタイミングで処理を実行することも可能である。イベント取得機能を使用した場合の処理フローを図5に示す。
同図において、ファイル共有サーバ3の権限同期モニタ部32は、共有ディレクトリ作成イベント、または、共有ディレクトリのアクセス権変更イベントをOSから受信する(ステップS210)。権限同期モニタ部32は、受信したイベントにより示される作成された共有ディレクトリ、または、アクセス権が変更された共有ディレクトリに対応したアクセス権の情報をファイル記憶部31から取得する(ステップS220)。
以降、権限同期モニタ部32が、共有ディレクトリIDが対応付け管理DB33に登録されているか否かを判断する以降のステップS230〜S250の処理は、図4におけるステップS140〜S170の処理と同じである。すなわち、権限同期モニタ部32は、対応付け管理DB33に共有ディレクトリIDが登録されていなければ(ステップS230:NO)、当該共有ディレクトリIDと、新たなファイル利用権ポインタを対応付けた情報を登録するとともに(ステップS240)、新たなファイル利用権ポインタと、ステップS220で取得したアクセス権の情報とを対応付けた情報をファイル利用権管理サーバ4のファイル利用権DB41内に登録する(ステップS250)。また、共有ディレクトリIDが対応付け管理DB33に登録済みであり(ステップS230:YES)、かつ、ファイル利用権管理サーバ4のファイル利用権DB41内のファイル利用権の情報と、ステップS220で取得したアクセス権の情報の示す内容が一致しない場合には(ステップS260:NO)、この取得したアクセス権の情報により、ファイル利用権管理サーバ4のファイル利用権DB41のファイル利用権の情報を更新する(ステップS250)。
以降、権限同期モニタ部32が、共有ディレクトリIDが対応付け管理DB33に登録されているか否かを判断する以降のステップS230〜S250の処理は、図4におけるステップS140〜S170の処理と同じである。すなわち、権限同期モニタ部32は、対応付け管理DB33に共有ディレクトリIDが登録されていなければ(ステップS230:NO)、当該共有ディレクトリIDと、新たなファイル利用権ポインタを対応付けた情報を登録するとともに(ステップS240)、新たなファイル利用権ポインタと、ステップS220で取得したアクセス権の情報とを対応付けた情報をファイル利用権管理サーバ4のファイル利用権DB41内に登録する(ステップS250)。また、共有ディレクトリIDが対応付け管理DB33に登録済みであり(ステップS230:YES)、かつ、ファイル利用権管理サーバ4のファイル利用権DB41内のファイル利用権の情報と、ステップS220で取得したアクセス権の情報の示す内容が一致しない場合には(ステップS260:NO)、この取得したアクセス権の情報により、ファイル利用権管理サーバ4のファイル利用権DB41のファイル利用権の情報を更新する(ステップS250)。
図6は、図1に示す第1の実施形態によるポリシー管理システムにおけるファイルシステムモニタ処理の処理手順を示す。
同図において、ファイル共有サーバ3のファイルシステムモニタ部34は、共有ディレクトリの監視が起動されると、ファイル記憶部31を参照して共有ディレクトリを検索し(ステップS310)、利用者の利用者端末2により、新規作成したファイルを登録したり、あるいは、他のディレクトリからのファイルをコピーまたは移動するなどして、ファイルが入れられた共有ディレクトリがあるかを判断する(ステップS320)。
同図において、ファイル共有サーバ3のファイルシステムモニタ部34は、共有ディレクトリの監視が起動されると、ファイル記憶部31を参照して共有ディレクトリを検索し(ステップS310)、利用者の利用者端末2により、新規作成したファイルを登録したり、あるいは、他のディレクトリからのファイルをコピーまたは移動するなどして、ファイルが入れられた共有ディレクトリがあるかを判断する(ステップS320)。
ファイルシステムモニタ部34は、ファイル記憶部31を参照して共有ディレクトリに新規作成ファイルまたは移動ファイルが入れられたことを検知すると(ステップS320:YES)、該当ファイル全てについて以下の処理を行う。ファイルシステムモニタ部34は、該当ファイルを他のユーザや他のプログラムによって変更できないようにロックする(ステップS330)。ファイルシステムモニタ部34は、該当ファイルが入れられた共有フォルダのディレクトリを特定する共有ディレクトリIDを検索キーとして、対応付け管理DB33からファイル利用権ポインタを取得する(ステップS340)。そして、ファイルシステムモニタ部34は、従来技術に記載した既存のファイル利用権制御技術(あるいは、既存のファイル利用権制御技術を用いた製品)を使用して、該当ファイルに、ステップS340にて取得したファイル利用権ポインタの情報が設定されたファイル利用権管理情報を埋め込み、上書きをする(ステップS350)。ファイルシステムモニタ部34は、該当ファイルのロックを解除し(ステップS360)、共有ディレクトリの監視処理がまだ終了していない場合は(ステップS400:NO)、ステップS310に戻り、次の共有ディレクトリを検索して以降の処理を繰り返す。
ステップS320において、共有ディレクトリにファイルが入れられたことを検知しなかった場合(ステップS320:NO)、ファイルシステムモニタ部34は、ファイル記憶部31を参照し、削除された共有フォルダがあるかを判断する(ステップS370)。ファイルシステムモニタ部34が共有フォルダの削除を検知した場合(ステップS370:YES)、対応付け管理DB33から、削除された共有ファイルのディレクトリを特定する共有ディレクトリID及び当該共有ディレクトリIDに対応付けられたファイル利用権の情報を削除する(ステップS380)。さらに、ファイルシステムモニタ部34は、ファイル利用権管理サーバ4のファイル利用権DB41から、削除されたファイル利用権ポインタ、及び、当該ファイル利用権ポインタに対応付けられたファイル利用権の情報を削除する(ステップS390)。そして、共有ディレクトリの監視処理がまだ終了していない場合は(ステップS400:NO)、ステップS310に戻り、次の共有ディレクトリを検索して以降の処理を繰り返す。
ファイルシステムモニタ部34は、ステップS310〜S400のループを繰り返し、共有ディレクトリの監視処理が終了した場合は(ステップS400:YES)、ループを終了する。
ファイルシステムモニタ部34は、ステップS310〜S400のループを繰り返し、共有ディレクトリの監視処理が終了した場合は(ステップS400:YES)、ループを終了する。
ファイル共有サーバ3は、上述した図6の処理を一定間隔毎に実行する。これにより、ファイル利用権管理サーバ4のファイル利用権DB41への最新のファイル利用権の保存を実現する。また、権限同期モニタ処理同様、ファイルシステムモニタ処理に関しても、図6のように一定間隔でディレクトリを監視する方法と、イベントを取得したタイミングで処理を実行する方法が考えられる。イベント監視型ファイルシステムモニタの処理フローを図7に示す。
同図において、ファイル共有サーバ3のファイルシステムモニタ部34は、共有ディレクトリ(共有フォルダ)配下のファイルが操作されたことを通知するイベントをOSから受信する(ステップS510)。ファイルシステムモニタ部34が、受信したイベントにより特定される共有ディレクトリに対して実行するステップS520〜S590の処理は、図6におけるステップS320〜S390の処理と同じである。すなわち、ファイルシステムモニタ部34は、受信したイベントにより特定される共有ディレクトリに、新規作成、他のフォルダからのコピーや移動によりファイルが入れられたことを検知すると(ステップS520:YES)、当該ファイルをロックする(ステップS530)。そして、当該ファイルが入れられた共有フォルダのディレクトリを特定する共有ディレクトリIDを検索キーとして対応付け管理DB33からファイル利用権ポインタを取得し(ステップS540)、取得したファイル利用権ポインタの情報を設定した利用権管理情報を当該ファイルに埋め込みんで上書きをした後(ステップS550)、当該ファイルのロックを解除する(ステップS560)。
一方、共有ディレクトリにファイルが入れられたことを検知せず(ステップS520:NO)、かつ、共有フォルダの削除を検知した場合(ステップS570:YES)、対応付け管理DB33から、削除された共有フォルダのディレクトリを特定する共有ディレクトリID及び当該共有ディレクトリIDに対応付けられたファイル利用権の情報を削除するとともに(ステップS580)、ファイル利用権管理サーバ4のファイル利用権DB41から、削除されたファイル利用権ポインタ、及び、当該ファイル利用権ポインタに対応付けられたファイル利用権の情報を削除する(ステップS590)。
利用者の操作に基づき、利用者端末2のファイルアクセス機能部21が、ファイル共有サーバ3のファイル記憶部31内に記憶されている共有フォルダ配下のファイルへアクセスした場合、ファイルアクセス機能部21は、アクセスしたファイルに埋め込まれたファイル利用権のポインタを読み出し、このファイル利用権のポインタと当該利用者のユーザ識別情報をファイル利用権管理サーバ4へ通知する。ファイル利用権管理サーバ4の認証部42は、ファイル利用権のポインタにより特定されるファイル利用権の情報をファイル利用権DB41から読み出し、この読み出したファイル利用権の情報を参照して、ユーザ識別情報に対応して禁止又は許可される動作を特定し、利用者端末2のファイルアクセス機能部21における当該ファイルヘの操作を制御する。
上記実施形態によれば、ファイル利用権ポインタは、共有ディレクトリのアクセス権の情報を参照して、自動的にファイル共有サーバ3の権限同期モニタ部32により生成される。その為、人為的なミスにより、共有ディレクトリのアクセス権と、当該共有ディレクトリ配下のファイルに対するファイル利用権の内容が異なるという問題は発生しなくなる。これにより、共有ディレクトリのアクセス権と共有ディレクトリ配下のファイルのファイル利用権に、矛盾したポリシーを設定してしまう可能性があるという従来技術の問題を解決することができる。
さらに、上記実施形態によれば、共有ディレクトリのアクセス権が変更された場合には、権限同期モニタ部32がそれを検知し、変更内容に従って当該共有ディレクトリ配下のファイルのファイル利用権を書き換える。そして、利用者がファイルにアクセスする都度、ファイルに埋め込まれたファイル利用権ポインタで参照されるファイル利用権に記述された内容に基づいた制御が実行される。そのため、共有ディレクトリのアクセス権が変更された場合にも、常にその変更内容に応じたファイル利用制御が実現される。これにより、ディレクトリのアクセス権の設定が変更される都度、ファイル利用権も変更しなければならないという従来技術の問題を解決することができる。
次に、上述した第1の実施形態の応用例を以下の実施形態で説明する。以下の実施形態では、第1の実施形態との差分を説明する。
<第2実施形態>
上記で説明した第1の実施形態によれば、共有ディレクトリ(共有フォルダ)のディレクトリアクセス権とファイル利用権の内容は、常に同期される。例えば、組織変更などに伴って、共有ディレクトリのアクセス権が変更された場合には、直ちに当該共有ディレクトリ配下のファイルのファイル利用権も変更されてしまう。その為、異動の対象となった利用者の中には、これまで利用できていたファイルが組織異動と同時に利用できなくなる場合が発生する。実際の業務を考えると、引き継ぎ作業等のために、ある一定期間は異動前と異動後の両方の役割でファイルを利用可能であると便利な場合がある。これを実現するためには、ファイル利用権管理サーバ4のファイル利用権DB41において、履歴管理を行うようにすればよい。
上記で説明した第1の実施形態によれば、共有ディレクトリ(共有フォルダ)のディレクトリアクセス権とファイル利用権の内容は、常に同期される。例えば、組織変更などに伴って、共有ディレクトリのアクセス権が変更された場合には、直ちに当該共有ディレクトリ配下のファイルのファイル利用権も変更されてしまう。その為、異動の対象となった利用者の中には、これまで利用できていたファイルが組織異動と同時に利用できなくなる場合が発生する。実際の業務を考えると、引き継ぎ作業等のために、ある一定期間は異動前と異動後の両方の役割でファイルを利用可能であると便利な場合がある。これを実現するためには、ファイル利用権管理サーバ4のファイル利用権DB41において、履歴管理を行うようにすればよい。
図8は、第2の実施形態によるファイル利用権管理サーバ4のファイル利用権DB41が保持するテーブル構成を示す図である。
同図に示すように、ファイル利用権DB41は、ファイル利用権ポインタと、ファイル利用権と、当該レコードの更新日とを対応付ける情報を保持している。このように、ファイル利用権DB41内で、ファイル利用権の更新日時を管理し、同一のファイル利用権ポインタについて、更新日時の新しい順に複数のファイル利用権を複数登録できるようにする。
同図に示すように、ファイル利用権DB41は、ファイル利用権ポインタと、ファイル利用権と、当該レコードの更新日とを対応付ける情報を保持している。このように、ファイル利用権DB41内で、ファイル利用権の更新日時を管理し、同一のファイル利用権ポインタについて、更新日時の新しい順に複数のファイル利用権を複数登録できるようにする。
これにより、ファイル共有サーバ3は、図4のステップS160(図5のステップS250)において、ファイル利用権管理サーバ4のファイル利用権DB41を更新する場合に、更新日時を書き込む。利用者端末2がファイル共有サーバ3のファイルにアクセスした場合、ファイル利用権管理サーバ4の認証機能部42は、利用者端末2からのファイルアクセスのあった日付と、該当するファイル利用権ポインタの更新日との差が、10日以内など所定の期間内の場合には、1つ古いファイル利用権ポインタに該当するファイル利用権も認めるという制御を行う。これにより、上記の問題を解決することが出来る。
<第3実施形態>
一般にディレクトリのアクセス権の情報には許可あるいは禁止する動作として、「編集」、「閲覧」などの簡易なカテゴリに分類された操作についての設定のみ可能であるが、ファイル利用権の場合にはその他に「マクロの許可」、「印刷の許可」、「コピー&ペーストの許可」など、より細かな制御を行うことが可能である。しかしながら、上記の実施形態では、ディレクトリのアクセス権設定とファイル利用権設定の単純な同期を行うのみであり、細かなファイル利用権設定を管理者が指定できないという問題がある。この問題を解決するためには、ファイル利用権管理サーバ4内(あるいは、ファイル共有サーバ3内でもよい)に、ディレクトリのアクセス権と、ファイル利用権との変換表であるディレクトリアクセス権−ファイル利用権対応表を持たせ、管理者がこれを自由に編集できるようにすればよい。
一般にディレクトリのアクセス権の情報には許可あるいは禁止する動作として、「編集」、「閲覧」などの簡易なカテゴリに分類された操作についての設定のみ可能であるが、ファイル利用権の場合にはその他に「マクロの許可」、「印刷の許可」、「コピー&ペーストの許可」など、より細かな制御を行うことが可能である。しかしながら、上記の実施形態では、ディレクトリのアクセス権設定とファイル利用権設定の単純な同期を行うのみであり、細かなファイル利用権設定を管理者が指定できないという問題がある。この問題を解決するためには、ファイル利用権管理サーバ4内(あるいは、ファイル共有サーバ3内でもよい)に、ディレクトリのアクセス権と、ファイル利用権との変換表であるディレクトリアクセス権−ファイル利用権対応表を持たせ、管理者がこれを自由に編集できるようにすればよい。
図9は、第3の実施形態によるファイル利用権管理サーバ4のファイル利用権DB41が保持するディレクトリアクセス権−ファイル利用権対応表のテーブル構成を示す図である。同図に示すように、ディレクトリアクセス権−ファイル利用権対応表は、ディレクトリのアクセス権の情報で示される動作と、対応するファイル利用権とを保持しており、ファイル利用権は、ディレクトリアクセス権情報で示される動作よりも詳細なレベルの動作が許可あるいは禁止されていることを示す情報からなる。
ディレクトリアクセス権−ファイル利用権対応表は、図4のステップS160(図5のステップS250)の処理(ファイル利用権DB書込/更新)において利用される。例えば、図9に示すディレクトリアクセス権−ファイル利用権対応表が保持されている場合、図4のステップS130(図5のステップS220)で取得したディレクトリアクセス権情報の示す動作が「編集OK」であった場合、それに対応して、「編集OK」、「閲覧OK」、「マクロ実行OK」、「コピー&ペーストOK」、「印刷NG」を示すファイル利用権の情報が読み出される。そして、図4のステップS160(図5のステップS250)において、この読み出されたファイル利用権の情報が、ファイル利用権ポインタと、図4のステップS130(図5のステップS220)において取得したディレクトリアクセス権の情報と対応付けられてファイル利用権管理サーバ4のファイル利用権DB41に登録される。そして、利用者端末2がファイル共有サーバ3のファイルにアクセスしたとき、ファイル利用権管理サーバ4の認証部42は、ファイル利用権DB41から当該ファイルのファイル利用権の情報を読み出し、読み出したファイル利用権の情報に従って、制御を実施する。なお、ディレクトリアクセス権−ファイル利用権対応表から、ディレクトリアクセス権の情報に含まれる禁止される動作に対応して、ファイル利用権の情報を読み出すようにしてもよい。
これにより、管理者はディレクトリのアクセス権設定のみでは実現することの出来なかった、より細かなアクセス制御をファイル単位で設定し、制御することが可能となる。
これにより、管理者はディレクトリのアクセス権設定のみでは実現することの出来なかった、より細かなアクセス制御をファイル単位で設定し、制御することが可能となる。
<第4実施形態>
共有ディレクトリの構成によっては、同一のディレクトリアクセス権を異なる共有ディレクトリに設定する必要がある場合が考えられる。例えば図11に示すディレクトリ構成において、A担当とB担当が業務的に密接な関係にありそれぞれの共有ディレクトリを互いに参照可能であるようにしたい場合には、「¥A担当¥担当内資料」(担当内資料フォルダF1)と「¥B担当¥担当内資料」(担当内資料フォルダF3)の2つの共有ディレクトリに、「A担当社員もB担当社員も編集可能」という同一のアクセス権を設定することになる。このように、共有ディレクトリのアクセス権とファイル利用権との間のアクセス権の同期のみではなく、異なる共有ディレクトリ間でアクセス権を同期する必要がある場合も想定される。このような共有ディレクトリ間の同期はファイル共有サーバ3の権限同期モニタ部32の機能により実現可能である。それには、例えば、ディレクトリのアクセス権の同期をとりたい共有ディレクトリである同期元ディレクトリと、その同期先の共有ディレクトリである同期先ディレクトリの一覧を記述したディレクトリアクセス同期テーブルを用意する。図10に、第4の実施形態によるファイル共有サーバ3の対応付け管理DB33が保持するディレクトリアクセス同期テーブルの構成を示す。
共有ディレクトリの構成によっては、同一のディレクトリアクセス権を異なる共有ディレクトリに設定する必要がある場合が考えられる。例えば図11に示すディレクトリ構成において、A担当とB担当が業務的に密接な関係にありそれぞれの共有ディレクトリを互いに参照可能であるようにしたい場合には、「¥A担当¥担当内資料」(担当内資料フォルダF1)と「¥B担当¥担当内資料」(担当内資料フォルダF3)の2つの共有ディレクトリに、「A担当社員もB担当社員も編集可能」という同一のアクセス権を設定することになる。このように、共有ディレクトリのアクセス権とファイル利用権との間のアクセス権の同期のみではなく、異なる共有ディレクトリ間でアクセス権を同期する必要がある場合も想定される。このような共有ディレクトリ間の同期はファイル共有サーバ3の権限同期モニタ部32の機能により実現可能である。それには、例えば、ディレクトリのアクセス権の同期をとりたい共有ディレクトリである同期元ディレクトリと、その同期先の共有ディレクトリである同期先ディレクトリの一覧を記述したディレクトリアクセス同期テーブルを用意する。図10に、第4の実施形態によるファイル共有サーバ3の対応付け管理DB33が保持するディレクトリアクセス同期テーブルの構成を示す。
ファイル共有サーバ3の権限同期モニタ部32は、図4のステップS130(図5のステップS220)の処理でアクセス権の情報を取得後、上記のディレクトリアクセス同期テーブルを参照し、現在処理対象の共有ディレクトリが同期元ディレクトリとして登録されている場合には、同期する必要があると判断し、対応する同期先ディレクトリを読み出す。そして、同期する必要のある場合、権限同期モニタ部32は、図4のステップS160(図5のステップS250)において、読み出した同期先ディレクトリのアクセス権の情報に、取得したアクセス権の情報を設定する処理をさらに実施する。これにより、管理者が複数の共有ディレクトリのアクセス権を設定する手間を省くことが可能となる。また、ファイル利用権の場合と同様、―つの共有ディレクトリのアクセス権を変更した場合には、同期の必要な他の共有ディレクトリのアクセス権もそれにあわせて動的に変更されるという利点もある。
以上説明した実施形態のポリシー管理システムによれば、ディレクトリに対するアクセス制御技術を用いて設定した共有ディレクトリのアクセス権と、ファイル利用権との同期を取るための仕組みを実現し、以下の特徴を有する。
すなわち、ポリシー管理システムは、ディレクトリに対するアクセス制御技術を用いて共有ディレクトリのアクセス権を設定し、この設定した共有ディレクトリのアクセス権に応じたファイル利用権情報をファイル利用権管理サーバ4に作成するとともに、共有ディレクトリとファイル利用権の対応づけを当該ファイル共有サーバ3の対応付け管理DB33に保持しておく。そして、ファイル共有サーバ3の権限同期モニタ部32が共有ディレクトリを監視し、ディレクトリのアクセス権が変更されたことを検知した場合には、共有ディレクトリの変更後のアクセス権とファイル利用権の同期をとり、その変更後の対応付けを対応付け管理DB33に保存する。
さらに、ポリシー管理システムは、ファイル共有サーバ3のファイルシステムモニタ部34が共有ディレクトリを監視し、ファイルや共有フォルダが移動されることを検知すると、対応付け管理DB33を参照してファイル利用権情報を取得し、ファイルに取得した利用権情報を埋め込む。
これによって、管理者は、ディレクトリの権限のみ管理すれば自動的に当該ディレクトリ配下のファイルのファイル利用権との同期をとることができる。
さらに、ポリシー管理システムは、ファイル共有サーバ3のファイルシステムモニタ部34が共有ディレクトリを監視し、ファイルや共有フォルダが移動されることを検知すると、対応付け管理DB33を参照してファイル利用権情報を取得し、ファイルに取得した利用権情報を埋め込む。
これによって、管理者は、ディレクトリの権限のみ管理すれば自動的に当該ディレクトリ配下のファイルのファイル利用権との同期をとることができる。
従来の技術では、ディレクトリのアクセス権とファイル利用権は独立して設定する必要があり、それぞれの機能は連携していなかったため、矛盾したポリシー設定や管理稼働の煩雑化に伴い、機密情報の漏洩などセキュリティ上の問題が発生していた。しかし、上述した実施の形態により、ディレクトリのアクセス権とファイル利用権の整合性を、常に自動的に保持することが可能となる。従って、従来技術において発生するセキュリティ上の問題点を解決することができ、具体的には、以下の2点が可能となる。
すなわち、
(1)ディレクトリのアクセス権とファイルの利用権に矛盾したポリシーを設定してしまう問題が解決される。
また、
(2)ディレクトリのアクセス権設定のみを行えば、ファイル利用権の設定は自動的に行われるため、管理稼働を削減することが可能となる。
従って、機密情報のセキュリティが向上する。
すなわち、
(1)ディレクトリのアクセス権とファイルの利用権に矛盾したポリシーを設定してしまう問題が解決される。
また、
(2)ディレクトリのアクセス権設定のみを行えば、ファイル利用権の設定は自動的に行われるため、管理稼働を削減することが可能となる。
従って、機密情報のセキュリティが向上する。
なお、上述の管理者端末1、利用者端末2、ファイル共有サーバ3、及び、ファイル利用権管理サーバ4は、内部にコンピュータシステムを有している。そして、管理者端末1のディレクトリ管理機能部11、利用者端末2のファイルアクセス機能部21、ファイル共有サーバ3の権限同期モニタ部32及びファイルシステムモニタ部34、ならびに、ファイル利用権管理サーバ4の認証部42の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、CPU及び各種メモリやOS、周辺機器等のハードウェアを含むものである。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
1…管理者端末
11…ディレクトリ管理機能部
2…利用者端末
21…ファイルアクセス機能部
3…ファイル共有サーバ
31…ファイル記憶部
32…権限同期モニタ部
33…対応付け管理DB
34…ファイルシステムモニタ部
4…ファイル利用権管理サーバ
41…ファイル利用権DB
42…認証部
11…ディレクトリ管理機能部
2…利用者端末
21…ファイルアクセス機能部
3…ファイル共有サーバ
31…ファイル記憶部
32…権限同期モニタ部
33…対応付け管理DB
34…ファイルシステムモニタ部
4…ファイル利用権管理サーバ
41…ファイル利用権DB
42…認証部
Claims (10)
- 複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置であって、
共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部と、
共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える権限同期モニタ部と、
を備えることを特徴とするポリシー管理装置。 - 共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むファイルシステムモニタ部とをさらに備える、
ことを特徴とする請求項1に記載のポリシー管理装置。 - 前記記憶部は、共有フォルダ配下のファイルに対するアクセス権の情報が書き込まれた日時を示す更新情報をさらに保持し、
ユーザの端末によりアクセスされたファイル内の特定情報で特定されるアクセス権の情報に対応した更新情報を前記記憶部から読み出し、現在の日時と読み出した更新情報により示される日時とを比較して有効であると判断された場合に、有効であると判断された前記特定情報に対応して前記記憶部から読み出したアクセス権の情報により、前記ファイルのアクセスの制御を行う認証部をさらに備える、
ことを特徴とする請求項1または請求項2に記載のポリシー管理装置。 - 前記記憶部は、共有フォルダと、同期してアクセス権を変更すべき同期先共有フォルダとを対応付ける情報をさらに記憶し、
前記権限同期モニタは、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部から当該共有フォルダに対応した同期先共有フォルダの情報を読み出し、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報、及び、同期先共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える、
ことを特徴とする請求項1から請求項3のいずれかの項に記載のポリシー管理装置。 - 前記アクセス権の情報は、許可または禁止される動作と、その対象ユーザとの情報を含むことを特徴とする請求項1から請求項4のいずれかの項に記載のポリシー管理装置。
- 前記アクセス権の情報は、許可または禁止される動作と、その対象ユーザとの情報を含み、
前記記憶部は、共有フォルダへのアクセス権により許可または禁止される動作と、ファイルに対するアクセス権へ設定すべき許可または禁止される動作とを対応付ける情報をさらに記憶し、
前記権限同期モニタ部は、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部から当該共有フォルダのアクセス権の情報を読み出し、さらに、この読み出したアクセス権の情報内の許可または禁止される動作の情報に対応して、ファイルに対するアクセス権へ設定すべき許可または禁止される動作の情報を前記記憶部から読み出し、当該共有フォルダのアクセス権の情報内の禁止または許可される動作の情報を、読み出した許可または禁止される動作の情報に書換えた情報により、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を書き換える、
ことを特徴とする請求項1から請求項3のいずれかの項に記載のポリシー管理装置。 - 複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置に用いられるポリシー管理方法であって、
前記ポリシー管理装置は、共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部を有しており、
前記ポリシー管理装置において、
権限同期モニタ部が、共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換えるステップ、
を有することを特徴とするポリシー管理方法。 - 前記ポリシー管理装置において、
ファイルシステムモニタ部が、共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むステップをさらに有する、
ことを特徴とする請求項7に記載のポリシー管理方法。 - 複数のユーザにより共有されるフォルダである共有フォルダへのアクセス権と、複数のユーザにより共有されるファイルに対するアクセス権とを同期させるポリシー管理装置として用いられるコンピュータを、
共有フォルダへのアクセス権の情報と、共有フォルダ配下のファイルに対するアクセス権の情報とを記憶する記憶部、
共有フォルダのアクセス権の情報が変更されたことを検出した場合に、前記記憶部に記憶されている当該共有フォルダ配下のファイルに対するアクセス権の情報を、前記記憶部から読み出した当該共有フォルダのアクセス権の情報に書き換える権限同期モニタ部、
として機能させることを特徴とするコンピュータプログラム。 - さらに、共有フォルダの配下に新たにファイルが入れられたことを検出した場合に、当該共有フォルダ配下のファイルに対するアクセス権の情報を特定する特定情報を、新たに入れられた前記ファイル内に書き込むファイルシステムモニタ部、
として機能させることを特徴とする請求項9に記載のコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006157044A JP2007328400A (ja) | 2006-06-06 | 2006-06-06 | ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006157044A JP2007328400A (ja) | 2006-06-06 | 2006-06-06 | ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007328400A true JP2007328400A (ja) | 2007-12-20 |
Family
ID=38928848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006157044A Withdrawn JP2007328400A (ja) | 2006-06-06 | 2006-06-06 | ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007328400A (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010066890A (ja) * | 2008-09-09 | 2010-03-25 | Nec Corp | サーバ管理システム及びその方法 |
| WO2010095561A1 (ja) * | 2009-02-17 | 2010-08-26 | 日本電気株式会社 | 情報処理システム及び情報処理システムの動作方法 |
| JP2012003361A (ja) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | コンテンツサーバ及びアクセス制御システム |
| JP2012059109A (ja) * | 2010-09-10 | 2012-03-22 | Fuji Xerox Co Ltd | 情報処理装置、プログラム及び情報処理システム |
| JP2012098824A (ja) * | 2010-10-29 | 2012-05-24 | Canon Marketing Japan Inc | 文書管理装置、文書管理装置の制御方法、プログラムおよび記録媒体 |
| JP2013041368A (ja) * | 2011-08-12 | 2013-02-28 | Nec Corp | コンテンツ管理装置およびコンテンツ管理方法 |
| JP2013157015A (ja) * | 2013-04-08 | 2013-08-15 | Fuji Xerox Co Ltd | 情報処理装置、プログラム及び情報処理システム |
| JP2013207284A (ja) * | 2012-03-29 | 2013-10-07 | Hitachi High-Tech Instruments Co Ltd | 基板生産ラインの管理装置 |
| JP2019036236A (ja) * | 2017-08-21 | 2019-03-07 | ファイナルコード インコーポレイテッド | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| CN111400269A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种ipfs文件处理方法、节点、介质和设备 |
| US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
| CN115357734A (zh) * | 2022-08-22 | 2022-11-18 | 西安邮电大学 | 具有乐舞艺术遗产保护与传承信息的资源平台 |
| JP2023551626A (ja) * | 2020-12-21 | 2023-12-12 | ドロップボックス, インコーポレイテッド | コンテンツアイテムを編成及び提示するためのコレクションコンテンツアイテムの生成及び修正 |
| US12174814B2 (en) | 2020-12-21 | 2024-12-24 | Dropbox, Inc. | Aggregates index |
-
2006
- 2006-06-06 JP JP2006157044A patent/JP2007328400A/ja not_active Withdrawn
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010066890A (ja) * | 2008-09-09 | 2010-03-25 | Nec Corp | サーバ管理システム及びその方法 |
| US8621557B2 (en) | 2009-02-17 | 2013-12-31 | Nec Corporation | Information processing system judging whether manipulation is possible or not based on access control policy and method of operation thereof |
| WO2010095561A1 (ja) * | 2009-02-17 | 2010-08-26 | 日本電気株式会社 | 情報処理システム及び情報処理システムの動作方法 |
| JP5482781B2 (ja) * | 2009-02-17 | 2014-05-07 | 日本電気株式会社 | 情報処理システム及び情報処理システムの動作方法 |
| JP2012003361A (ja) * | 2010-06-15 | 2012-01-05 | Chugoku Electric Power Co Inc:The | コンテンツサーバ及びアクセス制御システム |
| JP2012059109A (ja) * | 2010-09-10 | 2012-03-22 | Fuji Xerox Co Ltd | 情報処理装置、プログラム及び情報処理システム |
| JP2012098824A (ja) * | 2010-10-29 | 2012-05-24 | Canon Marketing Japan Inc | 文書管理装置、文書管理装置の制御方法、プログラムおよび記録媒体 |
| JP2013041368A (ja) * | 2011-08-12 | 2013-02-28 | Nec Corp | コンテンツ管理装置およびコンテンツ管理方法 |
| JP2013207284A (ja) * | 2012-03-29 | 2013-10-07 | Hitachi High-Tech Instruments Co Ltd | 基板生産ラインの管理装置 |
| JP2013157015A (ja) * | 2013-04-08 | 2013-08-15 | Fuji Xerox Co Ltd | 情報処理装置、プログラム及び情報処理システム |
| JP2019036236A (ja) * | 2017-08-21 | 2019-03-07 | ファイナルコード インコーポレイテッド | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| CN111400269A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种ipfs文件处理方法、节点、介质和设备 |
| CN111400269B (zh) * | 2019-01-02 | 2024-04-19 | 中国移动通信有限公司研究院 | 一种ipfs文件处理方法、节点、介质和设备 |
| US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
| US12056251B2 (en) * | 2020-03-18 | 2024-08-06 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
| JP2023551626A (ja) * | 2020-12-21 | 2023-12-12 | ドロップボックス, インコーポレイテッド | コンテンツアイテムを編成及び提示するためのコレクションコンテンツアイテムの生成及び修正 |
| US12174814B2 (en) | 2020-12-21 | 2024-12-24 | Dropbox, Inc. | Aggregates index |
| JP7629518B2 (ja) | 2020-12-21 | 2025-02-13 | ドロップボックス, インコーポレイテッド | コンテンツアイテムを編成及び提示するためのコレクションコンテンツアイテムの生成及び修正 |
| CN115357734A (zh) * | 2022-08-22 | 2022-11-18 | 西安邮电大学 | 具有乐舞艺术遗产保护与传承信息的资源平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101093499B (zh) | 用于管理文档使用的文档管理服务器、方法和系统 | |
| CN101093497B (zh) | 文档管理服务器、文档管理方法及管理文档使用的系统 | |
| US8135677B2 (en) | File management system and method | |
| TWI521432B (zh) | Development environment systems, development environment installations, development environment provision methods and program products | |
| US7849328B2 (en) | Systems and methods for secure sharing of information | |
| US9083766B2 (en) | Maintaining consistent globally unique identifiers via an asynchronous interface | |
| US20080294899A1 (en) | Secure management of document in a client-server environment | |
| US20150347447A1 (en) | Method and architecture for synchronizing files | |
| JP2007328400A (ja) | ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム | |
| CA2667264A1 (en) | Systems and methods for information organization | |
| US20080147841A1 (en) | Annotation management program, device, and method | |
| JP2009042856A (ja) | 文書管理装置、文書管理システム及びプログラム | |
| US11010484B2 (en) | System and method to provide document management on a public document system | |
| US20070112784A1 (en) | Systems and Methods for Simplified Information Archival | |
| US7912859B2 (en) | Information processing apparatus, system, and method for managing documents used in an organization | |
| JP5898712B2 (ja) | 画像形成装置及びその制御方法 | |
| JP6351061B2 (ja) | 管理システム、管理方法、プログラム、および利用者端末 | |
| JP2014186660A (ja) | 携帯情報端末、その制御方法及びプログラム | |
| JP5045118B2 (ja) | 文書管理装置、文書管理システム及びプログラム | |
| JP2010079444A (ja) | メタデータによるファイル管理方法及びシステム | |
| JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
| JP2006185150A (ja) | ファイル管理システム、ファイル管理方法およびファイル管理プログラム | |
| JP2007172021A (ja) | ファイル操作装置、ファイル操作方法、およびプログラム | |
| US20140101210A1 (en) | Image processing apparatus capable of easily setting files that can be stored, method of controlling the same, and storage medium | |
| JP2011054020A (ja) | プログラム、情報処理装置、情報管理装置及び情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090901 |