ウィルス感染及び機密情報漏洩防止対策コンピュータ
【課題】 組織内部へウィルスの侵入と組織内部からの機密情報の漏洩とを同時に防止し、かつ組織内部では機密情報を電子メール等によって自由に送受信することができるウィルス感染及び機密情報漏洩防止対策コンピュータを提供すること。
【解決手段】 組織外部との送受信専用のOSとアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のOSとアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とする。
【解決手段】 組織外部との送受信専用のOSとアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のOSとアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットに接続してWeb情報や電子メールをやり取りするほかに、組織内部の機密情報を扱うコンピュータに係り、特にインターネットから侵入するウィスルの組織内部への侵入防止と組織内部からの機密情報漏洩防止を図るのに好適なウィルス感染及び機密情報漏洩防止対策コンピュータに関するものである。
【背景技術】
【0002】
従来からコンピュータのウィルス対策としては、ウィスル対策ソフトウェアの利用が主流である。このソフトウェアはコンピュータのファイルの中身に予め登録されているウィルスのパターンが含まれていないかを検査し、含まれていた場合には、ウィルスが含まれているファイルと判断して、アプリケーションが利用しないようにファイルアクセスを禁止している。
一方、機密情報漏洩の防止対策としては、(1)FDなどの可搬型媒体への書込みを禁止する製品、(2)機密ファイルの印刷を禁止する方法、(3)添付ファイルによる漏洩を防止するために機密ファイルの電子メールアプリケーションからのアクセスを禁止する方法、(4)電子メールによる機密文書漏洩をメールゲートウェイでキーワード検索して検知する製品などがある。
また、下記の特許文献1にあるように、1台のコンピュータ上に多重システム並列動作カーネルを設け、複数のシステムを稼動、システムを改造することなくセキュリティを向上させる方法がある。
また、複数システム間でやりとりされるデータのウィルス検知技術として、下記の非特許文献1に記載された侵入検知システムがある。さらに、ウィルスが入り込まないデータの転送方法として、下記の特許文献2にあるように、データを画像などの異なる形式に変換してデータ中のウィルスを取り除き、またデータに変換する方法もある。
【特許文献1】特開2001−14239号公報(段落0018)
【特許文献2】特開2001−67216号公報
【非特許文献1】武田, 磯崎著「ネットワーク侵入検知」、ソフトバンク パブリッシング(株)出版、2000年6月9日、p34−41
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上記ウィルス対策技術では、ウィルスのパターンを販売元のベンダから定期的に配布しているので、感染力が強く急速に広まるウィルスではパターン配布が間に合わず、結果的にウィルスに感染、さらに組織内にウィルスをばら撒く事態が発生している。
一方、上記の機密情報漏洩防止技術では、上記(1)〜(4)やその他の対策をとる必要があるが、使い勝手が悪くなってしまう欠点があった。すなわち、組織内の必要な人に機密情報を電子メールで送ろうとしても(3)により送信できないなどの問題である。
特許文献1に記載された技術や既存のファイアウォールでは、通信元、通信先、プロトコル、ポート番号(アプリケーション)によって、通信を許可したり、禁止しているが、許可すればウィルスや不正アクセスが発生する可能性があり、禁止すれば使い勝手が悪くなる可能性があった。さらに、通信データの中身については何の検査もしていないので、ウィルスが含まれている可能性がある。
侵入検知システムについては、予め判明しているウィルスによる攻撃に関しては、そのパターンを認識、検知してファイアウォールと組み合わせるなどして攻撃を防ぐことができる。しかし、未知のウィルスによる攻撃は防ぐことはできない。
さらに、データを別の形式に変換してウィルスを取り除くことはできるが、図形データでは最初の図形と異なる図形に変換される可能性が大きい。例えば、中に文字列を含む四角形を考えてみれば、一度イメージデータに変換されてしまうと、文字列を含んだ四角形なのか、4つの線分と文字列なのかはイメージデータからでは区別がつかない。これは表の場合には特に影響が大きく、最初のデータと大きく異なるデータになる可能性が高い。
【0004】
本発明はこのような問題に鑑みなされたものであり、組織内部へウィルスの侵入と組織内部からの機密情報の漏洩とを同時に防止し、かつ組織内部では機密情報を電子メール等によって自由に送受信することができるウィルス感染及び機密情報漏洩防止対策コンピュータを提供することを目的とするものである。
【課題を解決するための手段】
【0005】
上記の目的を達成するために、本発明に係るウィルス感染及び機密情報漏洩防止対策コンピュータは、組織外部との送受信専用のOS(オペレーティングシステム)とアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のOS(オペレーティングシステム)とアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とする。
また、前記第3の手段は、前記一般環境から機密環境へ複製するデータについて所定サイズ以上のデータについては機密環境におけるユーザの指示に従い複数のデータに分割して複製を許可する手段を備えることを特徴とする。
また、前記第3の手段は、前記一般環境から機密環境へ複製する複合図形データについて当該複合図形データを機密環境におけるユーザの指示に従い複数の単位図形データに分割して複製を許可する手段をさらに備えることを特徴とする。
また、前記一般環境と機密環境を構成する第1、第2の手段は、表示装置画面の背景色またはアプリケーションプログラムのウィンドウのタイトル色をそれぞれ異なる色で表示する手段を備えることを特徴とする。
なお、ここでいうデータ交換とは、コンピュータの利用者がマニュアルで行うデータ交換であり、通常GUIを使ったコピー&ペーストと呼ばれる操作である。本操作は、ユーザがコピー対象の文書上の領域ないしはオブジェクトを指定して、コピーメニューを選択、次にコピー先の文書や場所を指定してペーストメニューを選択して、データを複製することを言う。
【発明の効果】
【0006】
本発明によれば、一般環境と機密環境のデータ複製が第3の手段を介した交換に制限されている。このため、一般環境で受信した外部からのメールや一般環境で閲覧した外部のWebページに含まれるウィルスは、機密環境に侵入してくることはなく、機密情報の安全性を保つことができる。すなわち、文書のマクロやOSの実行ファイルといったプログラムの形式やHTMLと呼ばれる人が直接は解釈できない書式形式を含んだテキストという形のウィルスが存在するが、一般環境から機密環境へのデータについてはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可することにより、ウィルスの侵入を防止することができる。
また、ウィルスの侵入方法として、ソフトウェア開発者が想定していない大量のデータをプログラムに渡して誤動作させるバッファオーバーフローという手法が多いが、予め定めた所定サイズ以上のデータを機密環境に複製する場合には、機密環境におけるユーザの指示に従い少量のデータに分割して1つずつ複製を繰り返すようにさせることにより、機密環境の安全を確保することができる。例えば、テキストデータを複製する場合には、コピーは1回で許すが、テキストデータを所定サイズ未満のデータに分割してペースト操作を繰り返して、テキスト全体の複製を許可する。この場合、操作の負担を減らすため、ペースト後にはカーソルが1つ前のペースト終端に自動的に移動、ユーザはペースト処理だけを繰り返せばよいようにするのが望ましい。複合図形も同様に、複数の単位図形に分割し、ペースト操作を繰り返して複製を許可する。これにより、バッファオーバーフロー攻撃から機密環境の安全を確保することができる。
一方、機密環境から一般環境にデータを複製する場合には、記憶手段に複製データが全て記録されるために、未承認のデータ複製への抑止効果がある。
一方また、機密環境同士のデータのやり取りでは、上記の制限を受けないために自由に機密情報のやり取りができる。また、組織外部の人に機密情報を送る場合でも、暗号化した上で電子メール等を利用して送付するが、その内容が全て記憶手段に記録されるため、組織の承認を受けずに送ろうとしても、後日の監査の際に一般環境に持ち出したことがわかってしまうので抑止効果が働き漏洩が起き難くなる。もしも、抑止効果だけで不足する場合には、特定のユーザだけが一般環境に持ち出せるようにし、その他は機密環境から一般環境へはデータの複製ができないようにすることにより、漏洩防止をより強固に行うことができる。
このような機能を備えたコンピュータは、特に電力・ガスなどの社会インフラを提供する企業や銀行などの金融機関、また警察や軍事機関など、ウィルス感染や秘密漏洩の影響が大きい組織に導入することにより、極めて有効な効果を発揮する。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
(実施の形態1)
図1は、本発明の実施形態1に係る全体構成を示す機能ブロック図である。
図1において、100はウィルス感染防止機能及び機密漏洩防止機能を備えたコンピュータである。102はコンピュータ100のCPU、ハードディスク、ネットワークデバイスなどを含むハードウェアである。101はCPU102上で稼動するOS(オペレーティングシステム)である。
113はOS101上で稼動する一般環境用HW(ハードウェア)エミュレータである。代表製品としてVMWareがある。112は一般環境用HWエミュレータ113上で稼動する一般環境用OSである。111は一般環境用OS112上で稼動する一般環境用アプリケーションである。
123はOS101上で稼動する機密環境用HW(ハードウェア)エミュレータである。
122は機密環境用HWエミュレータ123上で稼動する機密環境用OSである。121は機密環境用OS122上で稼動する機密環境用アプリケーションである。
141は外部接続ゲートウェイであり、一般環境とのみ通信可能であり、一般環境とインターネットなどの組織外のネットワークを接続する。
142は機密環境用メールサーバであり、機密環境とのみ通信できる。
143は機密環境用サーバであり、機密環境とのみ通信できる。ここではサーバの種類は特に示さないが、ファイルサーバや文書管理などの業務用サーバとする。
144は監査用サーバであり、ゲートウェイ150とのみ通信でき、機密環境から一般環境に複製したデータを全て蓄積する。
130はコンピュータ100と外部接続ゲートウェイ141、機密環境用メールサーバ142、機密環境用サーバ143、監視用サーバ144を接続するネットワークである。
150はゲートウェイであり、一般環境と機密環境とのデータのやり取りを仲介、制限する。
【0008】
一般環境と機密環境、ネットワーク130上のゲートウェイ、サーバ間のデータのやり取りは、ウィルス感染防止および機密情報の漏洩防止を図るためにデータ交換がゲートウェイ150によって制限されている。
すなわち、一般環境におけるアプリケーション111は、ゲートウェイ150を介して外部接続ゲートウェイ141とのみ通信でき、機密環境におけるアプリケーション121はゲートウェイ150を介して機密環境用メールサーバ142、機密環境用サーバ143とのみ通信できる。
【0009】
図2は、一般環境から機密環境へのデータ複製方法を説明する図である。
図2において、201は一般環境用OS112内にあるユーザ利用共有メモリである。このメモリ201は一般環境の利用者が明示的にコピー&ペーストを指示する時に利用するメモリであり、Microsoft社のWindows OSではクリップボードと呼ばれている。
利用者はファイルやテキストなどのデータをコピーする時、ファイルないしテキストなどのコピー対象を指定し、メニューやマウスを操作してこのユーザ共有メモリ201へのコピーをOS112ないしアプリケーション111に指示し、次いでコピー先のフォルダや文書内の位置を指定してユーザ共有メモリ201からのペーストをOS112ないしアプリケーション111に指示する。このユーザ利用共有メモリ201を利用することで、文書内や文書間、アプリケーション間でのテキストや図表の複製が可能となる。
202は一般環境用のユーザ利用共有メモリ監視モジュールであり、利用者が一般環境でユーザ利用共有メモリ201にコピーした時に呼ばれるモジュールであり、コピーされたデータをゲートウェイ150に渡す機能を持つ。
211は機密環境用のユーザ利用共有メモリであり、一般環境用のユーザ利用共有メモリ201と同様の機能を持つ。
212は機密環境用のユーザ利用共有メモリ監視モジュールである。
【0010】
図3のフローチャートを用いて、一般環境から機密環境へのデータ複製方法について説明する。
まず、ステップ301において、一般環境で利用者がコピー対象を指定し、コピーをOS112やアプリケーション111に指示すると、OS112ないしはアプリケーション111がユーザ利用共有メモリ201にコピー対象をコピーする。
ステップ302において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ303において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別とデータをゲートウェイ150に転送する。
ステップ304において、ゲートウェイ150が、転送されたデータ種別が許可されている場合には、機密環境用のユーザ利用共有メモリ211に転送する。許可されていない場合は、本処理はここで終了する。
ステップ305において、機密環境で利用者が、コピー先を指定して、ペーストを機密環境におけるOS122やアプリケーション121に指示すると、OS122やアプリケーション121がユーザ利用共有メモリ211に格納されているデータをコピー先にコピーする。
ステップ301と305に示す操作をすることで、利用者は一般環境から機密環境へデータを複製することができる。しかし、ゲートウェイ150は、一般環境から転送されたデータの種別が複製を許可されていないものであれば、機密環境のユーザ利用共有メモリ211には転送せず、複製を許可しない。
ここで、複製可能なデータ種別は、ウィルスが入った文書や実行ファイルを機密環境に持ち込む可能性が出てくるので、マクロやプログラムや制御情報を含まないテキスト、イメージデータ、図表などである。
【0011】
次に、機密環境から一般環境へのデータ複製方法について図4を用いて説明する。
コンピュータ100を機密環境で使用している利用者が、ファイルやテキストなどのデータのコピーを一般環境に転送したい場合、ファイルないしテキストなどのコピー対象を指定し、メニューやマウスを操作して機密環境のユーザ共有メモリ211へのコピーをOS122ないしアプリケーション121に指示し、次いでコピー先のフォルダや文書内の位置を指定してユーザ共有メモリ211からのペーストをOS122ないしアプリケーション121に指示する。このユーザ利用共有メモリ211を利用することで、図2で説明したのと同様に機密環境から一般県境へのテキストや図表の複製が可能となる。
なお、機密環境から一般環境に対してデータを複製する場合、ゲートウェイ150は複製データの全てを監視用サーバ144に転送して当該蓄積サーバ144の記憶装置に蓄積する。この場合、複製データの転送元のユーザ名や日時を付加して蓄積する。蓄積されたデータは機密データの漏洩元を探索する際に使用される。
【0012】
図5のフローチャートを用いて、機密環境から一般環境へのデータ複製方法について詳細に説明する。
まず、ステップ501において、機密環境における利用者が、コピー対象ファイルを指定してコピーをOS122やアプリケーション121に指示する。
ステップ502において、機密環境用のユーザ利用共有メモリ監視モジュール212が、ユーザ利用共有メモリ211へのコピーを検知する。
ステップ503において、機密環境用のユーザ利用共有メモリ監視モジュール212が、コピーされたデータ種別とデータをゲートウェイ150に転送する。
ステップ504において、ゲートウェイ150が、転送されたデータ種別がファイルの場合には、一般環境用のユーザ利用共有メモリ201に転送する。さらに監査用サーバ144にデータを転送する。監査用サーバで144は、後の監査のために本データを利用者名や日時とともに記憶装置に蓄積する。
ステップ505において、一般環境で利用者がコピー先を指定してペーストをOS112やアプリケーション111に指示する。
ステップ501と505に示す操作をすることで、利用者は機密環境から一般環境へデータを複製することができる。
本実施形態ではファイルのみを複製可能としている。ファイルさえ複製できれば、テキストや図表など全てのデータが複製可能である。さらに監査用サーバ144でファイル名とともに蓄積可能なので、監査し易い。
また、暗号化したファイルのみに複製を制限する形態もある。この場合には、ファイルの形式が指定された暗号形式になっているか、また後々の監査のため復号できるように暗号化されているか確認する必要がある。
【0013】
(実施の形態2)
上記の実施の形態1では、ゲートウェイ150は、利用者が利用するコンピュータ100上で稼動していた。このゲートウェイ150は別のコンピュータ上におくことも可能である。ただしこの場合には、機密環境や一般環境の関わる通信が、実施の形態1と同じように制限されるように、OS101が通信を強制する。
【0014】
(実施の形態3)
上記の実施の形態1では、一般環境と機密環境が1台のコンピュータ100上に存在していた。これは、利用者の使い勝手やコンピュータ導入コスト、コンピュータのスペースを考慮したためのものであり、機密環境と一般環境間の通信手段がこれまで示したように制限されていれば、別々のコンピュータ上に存在していても構わない。
【0015】
(実施の形態4)
上記の実施の形態1では、OS101上の2つのハードウェアシミュレータ113と123があり、一般環境と機密環境を構築していた。下位のOS101を機密環境用のOSと見なして、システムを構築することもできる。この場合の構成を示したのが、図12である。
この構成においても、一般環境と機密環境のデータ複製は、実施の形態1と同じように制限される。
なお、図12において、図1と同一部分は同一符号で表している。
【0016】
(実施の形態5)
上記の実施の形態1、2、4では1台のコンピュータ100上に一般環境と機密環境が存在しており、コンピュータ利用者は2つの環境を区別し難くなる可能性がある。
これを解消するには次のように構成すればよい。
図6は、GUIを使って2つの環境を区別する方法を示す図である。
図6において、600はコンピュータ100のディスプレイを示している。このディスプレイ600はOS101が制御している。
601は一般環境のディスプレイであり、一般環境用ハードウェアエミュレータ113と同OS112が主に制御している。
604は一般環境で動作するアプリケーション111のウィンドウである。
602は一般環境ディスプレイ601の背景であり、ウィンドウ604が表示されていないディスプレイの残りの部分である。
603はウィンドウ604のタイトルである。
605は機密環境のディスプレイであり、機密環境用ハードウェアエミュレータ123と同OS122が主に制御している。
一般環境と機密環境とを、ディスプレイの背景602やアプリケーションのタイトル603の色を変えることで区別する。例えば、一般環境は赤色、機密環境は青色とする。これにより、利用者は2つの環境を容易に区別することが可能になる。
【0017】
(実施の形態6)
前述のように構成することにより、一般環境がウィルスに汚染されても機密環境まで汚染され、機密環境における機密ファイルが破壊されたり、外部に持ち出される危険性は解決される。
しかし、ウィルスの種類によっては、ファイルの破壊や持ち出しはしなくとも、大規模のプログラムを次々に起動したり、わざと無限ループの処理をしたり、他のマシンにネットワーク130経由に攻撃しまくり、コンピュータ自体が動作できないようにするものも存在する。
これに対しては、実施の形態1において、一般環境(111、112、113)と機密環境(121、122、123)のハードウェア102内にあるCPUの使用率をOS101が制御したり、ゲートウェイ150が通信量を制御することにより、一般環境がウィルスに感染しても機密環境を支障なく利用することが可能になる。
【0018】
(実施の形態7)
上記実施の形態1では、一般環境から機密環境へのデータを複製する場合、データのサイズには特に制限を設けていなかった。しかし、不正侵入の手口として、受け側の想定しているサイズより大きなデータを送って侵入する方法が知られている。
本実施の形態7では、サイズを制限しつつ複製する方法について、図7〜図10を参照して説明する。
図7において、まず、ステップ701において、一般環境で利用者が、コピー対象のテキストを指定してコピーをOS112やアプリケーション111に指示する。
ステップ702において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ703において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別として長大テキストデータの識別子とデータをゲートウェイ150に転送する。
ステップ704において、ゲートウェイ150が、送られてきたテキストデータの識別子により所定サイズを超えるテキストデータであると判定した場合には、当該テキストデータを予め定められた長さに分割する。この場合の分割する単位長は、表示した場合に人間の視界に入る長さであることが望ましい。すなわち、せいぜい半ページ程度の長さで、テキストの中にウィルスを含む文章としては不自然なコードが含まれないか、無理なく確認できる程度の長さであることが望ましい。
ステップ705において、先に分割したテキストデータを1つずつ機密環境のユーザ利用共有メモリ211に送る。詳細は、図8を使って後述する。
【0019】
ステップ705の分割された1つのテキストデータの処理について、図8を使って説明する。
ステップ801にて、分割された1つのテキストデータをゲートウェイ150が、機密環境のユーザ利用共有メモリ211に送る。
ステップ802にて、利用者がコピー先にカーソルを移動して、ペーストを指示する。アプリケーション121が共有メモリにあるテキストデータをカーソル位置にペースト、カーソル位置をペーストしたテキストの末尾に移動する。
ステップ803にて、機密環境用のユーザ利用共有メモリ監視モジュール212が、ペーストを検知し、ペーストされたデータを削除、ゲートウェイ150に次の区切られたテキストデータの送信要求を出す。
この処理を繰り返すことで、ステップ701にて指定した一般環境のコピー対象の長大テキストデータを機密環境に複製することができる。
【0020】
図7では、テキストデータを分割して複製する方法を説明したが、複合図形を複製する方法について図9のフローチャートを参照して説明する。
ここで、複合図形というのは、複数の基本図形からなる図形であり、例えば図1がその例になる。図1は、100〜102、111〜113などの四角形や130の直線など、複数の基本図形からなっている。図9では、ユーザの操作の手間をなるべく省きながら、1つ1つの基本図形を複製する方法を述べる。
まず、ステップ901において、一般環境で利用者が、コピー対象の複合図形を指定して、コピーをOS112やアプリケーション111に指示する。
ステップ902において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ903において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別として複合図形の識別子とデータをゲートウェイ150に転送する。
ステップ904において、ゲートウェイ150が、送られてきた複合図形データの識別子により複合図形データであると判定した場合には、当該複合図形データを単位図形に分割する。
ステップ905において、分割した単位図形を1つずつ機密環境のユーザ利用共有メモリ211に送る。詳細は、図10に示す。
この処理を繰り返すことで、ステップ901にて指定した一般環境のコピー対象の複合図形データを機密環境に複製することができる。
【0021】
ステップ905の1つの単位図形データの処理について、図10のフローチャートを参照して説明する。
まず、ステップ1001にて、1つの単位図形データをゲートウェイ150が、機密環境のユーザ利用共有メモリ211に送る。
ステップ1002にて、利用者がコピー先のページを表示して、ペーストを指示する。アプリケーション121が共有メモリ211にある単位図形を表示しているページにペーストする。
ステップ1003にて、機密環境用のユーザ利用共有メモリ監視モジュール212が、ペーストを検知、ペーストされたデータを削除した後、ゲートウェイ150に次の単位図形データの送信要求を出す。
この処理を繰り返すことで、ステップ901にて指定した一般環境のコピー対象の複合図形データを機密環境に複製することができる。
【0022】
(実施の形態8)
上記の各実施の形態は、組織の中での使用を想定していた。本実施形態8では、自宅でのテレワークでも使用できる構成について説明する。図11が全体の構成図である。
図11において、1101はコンピュータ100が設置してある自宅と組織を接続するインターネットである。
1102はOS101に含まれる通信ゲートウェイである。ここでは、インターネット標準の暗号通信プロトコルであるIPsecのトンネルモードのゲートウェイを仮定する。
組織の内部ネットワーク1104と機密環境の認証付の暗号通信を実現する。詳細は一般書籍に開示されているので、ここでは詳しく述べない。
1103は通信ゲートウェイ1102と同様のIPsecを実現するゲートウェイである。自宅での通信ゲートウェイ1102はOS101の一部でありソフトウェアであったが、本通信ゲートウェイ1103はハードウェアとして実現される。
1104は組織の内部ネットワークである。
このような構成にあっては、IPsecを利用して組織内部のネットワーク1104と機密環境ハードウェアを安全に接続し、自宅にいながら組織内部にいるのと同じ計算機環境を得ることができる。しかも、一消費者としてのインターネット利用も一般環境を使って実現しており、1台のコンピュータ100を2つの目的に利用でき、かつこれまでの利用より安全になっている。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態1に係る全体構成を示す機能ブロック図である。
【図2】一般環境から機密環境へのデータ複製方法を説明する図である。
【図3】一般環境から機密環境へのデータ複製方法について説明するフローチャートである。
【図4】機密環境から一般環境へのデータ複製方法について説明する図である。
【図5】機密環境から一般環境へのデータ複製手順を示すフローチャートである。
【図6】GUIを使って2つの環境を区別する方法を示す図である。
【図7】テキストデータのサイズを制限しつつ複製する手順を示すフローチャートである。
【図8】分割したテキストデータを1つずつ機密環境のユーザ利用共有メモリに送る手順を示すフローチャートである。
【図9】複合図形を複製する手順を示すフローチャートである。
【図10】分割した単位図形を1つずつ機密環境のユーザ利用共有メモリに送る手順を示すフローチャートである。
【図11】本発明のコンピュータを組織外部の自宅に設置し、組織と通信する場合の構成を示すブロック図である。
【図12】1つのOSを機密環境用のOSと見なしてシステムを構築する例を示すブロック図である。
【符号の説明】
【0024】
100 ウィルス感染防止機能及び機密漏洩防止機能を備えたコンピュータ
101 OS(オペレーティングシステム)
102 CPUを含むハードウェア
111 一般環境用OS上で稼動する一般環境用アプリケーション
112 一般環境用HWエミュレータ上で稼動する一般環境用OS
113 一般環境用HWエミュレータ
121 機密環境用OS上で稼動する機密環境用アプリケーション
122 機密環境用HWエミュレータ上で稼動する機密環境用OS
123 機密環境用HWエミュレータ
130 ネットワーク
141 外部接続ゲートウェイ
142 機密環境用メールサーバ
143 機密環境用サーバ
144 監査用サーバ
150 ゲートウェイ
201 一般環境用のユーザ利用共有メモリ
202 一般環境用のユーザ利用共有メモリ監視モジュール
211 機密環境用のユーザ利用共有メモリ
212 機密環境用のユーザ利用共有メモリ監視モジュール
【技術分野】
【0001】
本発明は、インターネットに接続してWeb情報や電子メールをやり取りするほかに、組織内部の機密情報を扱うコンピュータに係り、特にインターネットから侵入するウィスルの組織内部への侵入防止と組織内部からの機密情報漏洩防止を図るのに好適なウィルス感染及び機密情報漏洩防止対策コンピュータに関するものである。
【背景技術】
【0002】
従来からコンピュータのウィルス対策としては、ウィスル対策ソフトウェアの利用が主流である。このソフトウェアはコンピュータのファイルの中身に予め登録されているウィルスのパターンが含まれていないかを検査し、含まれていた場合には、ウィルスが含まれているファイルと判断して、アプリケーションが利用しないようにファイルアクセスを禁止している。
一方、機密情報漏洩の防止対策としては、(1)FDなどの可搬型媒体への書込みを禁止する製品、(2)機密ファイルの印刷を禁止する方法、(3)添付ファイルによる漏洩を防止するために機密ファイルの電子メールアプリケーションからのアクセスを禁止する方法、(4)電子メールによる機密文書漏洩をメールゲートウェイでキーワード検索して検知する製品などがある。
また、下記の特許文献1にあるように、1台のコンピュータ上に多重システム並列動作カーネルを設け、複数のシステムを稼動、システムを改造することなくセキュリティを向上させる方法がある。
また、複数システム間でやりとりされるデータのウィルス検知技術として、下記の非特許文献1に記載された侵入検知システムがある。さらに、ウィルスが入り込まないデータの転送方法として、下記の特許文献2にあるように、データを画像などの異なる形式に変換してデータ中のウィルスを取り除き、またデータに変換する方法もある。
【特許文献1】特開2001−14239号公報(段落0018)
【特許文献2】特開2001−67216号公報
【非特許文献1】武田, 磯崎著「ネットワーク侵入検知」、ソフトバンク パブリッシング(株)出版、2000年6月9日、p34−41
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上記ウィルス対策技術では、ウィルスのパターンを販売元のベンダから定期的に配布しているので、感染力が強く急速に広まるウィルスではパターン配布が間に合わず、結果的にウィルスに感染、さらに組織内にウィルスをばら撒く事態が発生している。
一方、上記の機密情報漏洩防止技術では、上記(1)〜(4)やその他の対策をとる必要があるが、使い勝手が悪くなってしまう欠点があった。すなわち、組織内の必要な人に機密情報を電子メールで送ろうとしても(3)により送信できないなどの問題である。
特許文献1に記載された技術や既存のファイアウォールでは、通信元、通信先、プロトコル、ポート番号(アプリケーション)によって、通信を許可したり、禁止しているが、許可すればウィルスや不正アクセスが発生する可能性があり、禁止すれば使い勝手が悪くなる可能性があった。さらに、通信データの中身については何の検査もしていないので、ウィルスが含まれている可能性がある。
侵入検知システムについては、予め判明しているウィルスによる攻撃に関しては、そのパターンを認識、検知してファイアウォールと組み合わせるなどして攻撃を防ぐことができる。しかし、未知のウィルスによる攻撃は防ぐことはできない。
さらに、データを別の形式に変換してウィルスを取り除くことはできるが、図形データでは最初の図形と異なる図形に変換される可能性が大きい。例えば、中に文字列を含む四角形を考えてみれば、一度イメージデータに変換されてしまうと、文字列を含んだ四角形なのか、4つの線分と文字列なのかはイメージデータからでは区別がつかない。これは表の場合には特に影響が大きく、最初のデータと大きく異なるデータになる可能性が高い。
【0004】
本発明はこのような問題に鑑みなされたものであり、組織内部へウィルスの侵入と組織内部からの機密情報の漏洩とを同時に防止し、かつ組織内部では機密情報を電子メール等によって自由に送受信することができるウィルス感染及び機密情報漏洩防止対策コンピュータを提供することを目的とするものである。
【課題を解決するための手段】
【0005】
上記の目的を達成するために、本発明に係るウィルス感染及び機密情報漏洩防止対策コンピュータは、組織外部との送受信専用のOS(オペレーティングシステム)とアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のOS(オペレーティングシステム)とアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とする。
また、前記第3の手段は、前記一般環境から機密環境へ複製するデータについて所定サイズ以上のデータについては機密環境におけるユーザの指示に従い複数のデータに分割して複製を許可する手段を備えることを特徴とする。
また、前記第3の手段は、前記一般環境から機密環境へ複製する複合図形データについて当該複合図形データを機密環境におけるユーザの指示に従い複数の単位図形データに分割して複製を許可する手段をさらに備えることを特徴とする。
また、前記一般環境と機密環境を構成する第1、第2の手段は、表示装置画面の背景色またはアプリケーションプログラムのウィンドウのタイトル色をそれぞれ異なる色で表示する手段を備えることを特徴とする。
なお、ここでいうデータ交換とは、コンピュータの利用者がマニュアルで行うデータ交換であり、通常GUIを使ったコピー&ペーストと呼ばれる操作である。本操作は、ユーザがコピー対象の文書上の領域ないしはオブジェクトを指定して、コピーメニューを選択、次にコピー先の文書や場所を指定してペーストメニューを選択して、データを複製することを言う。
【発明の効果】
【0006】
本発明によれば、一般環境と機密環境のデータ複製が第3の手段を介した交換に制限されている。このため、一般環境で受信した外部からのメールや一般環境で閲覧した外部のWebページに含まれるウィルスは、機密環境に侵入してくることはなく、機密情報の安全性を保つことができる。すなわち、文書のマクロやOSの実行ファイルといったプログラムの形式やHTMLと呼ばれる人が直接は解釈できない書式形式を含んだテキストという形のウィルスが存在するが、一般環境から機密環境へのデータについてはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可することにより、ウィルスの侵入を防止することができる。
また、ウィルスの侵入方法として、ソフトウェア開発者が想定していない大量のデータをプログラムに渡して誤動作させるバッファオーバーフローという手法が多いが、予め定めた所定サイズ以上のデータを機密環境に複製する場合には、機密環境におけるユーザの指示に従い少量のデータに分割して1つずつ複製を繰り返すようにさせることにより、機密環境の安全を確保することができる。例えば、テキストデータを複製する場合には、コピーは1回で許すが、テキストデータを所定サイズ未満のデータに分割してペースト操作を繰り返して、テキスト全体の複製を許可する。この場合、操作の負担を減らすため、ペースト後にはカーソルが1つ前のペースト終端に自動的に移動、ユーザはペースト処理だけを繰り返せばよいようにするのが望ましい。複合図形も同様に、複数の単位図形に分割し、ペースト操作を繰り返して複製を許可する。これにより、バッファオーバーフロー攻撃から機密環境の安全を確保することができる。
一方、機密環境から一般環境にデータを複製する場合には、記憶手段に複製データが全て記録されるために、未承認のデータ複製への抑止効果がある。
一方また、機密環境同士のデータのやり取りでは、上記の制限を受けないために自由に機密情報のやり取りができる。また、組織外部の人に機密情報を送る場合でも、暗号化した上で電子メール等を利用して送付するが、その内容が全て記憶手段に記録されるため、組織の承認を受けずに送ろうとしても、後日の監査の際に一般環境に持ち出したことがわかってしまうので抑止効果が働き漏洩が起き難くなる。もしも、抑止効果だけで不足する場合には、特定のユーザだけが一般環境に持ち出せるようにし、その他は機密環境から一般環境へはデータの複製ができないようにすることにより、漏洩防止をより強固に行うことができる。
このような機能を備えたコンピュータは、特に電力・ガスなどの社会インフラを提供する企業や銀行などの金融機関、また警察や軍事機関など、ウィルス感染や秘密漏洩の影響が大きい組織に導入することにより、極めて有効な効果を発揮する。
【発明を実施するための最良の形態】
【0007】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
(実施の形態1)
図1は、本発明の実施形態1に係る全体構成を示す機能ブロック図である。
図1において、100はウィルス感染防止機能及び機密漏洩防止機能を備えたコンピュータである。102はコンピュータ100のCPU、ハードディスク、ネットワークデバイスなどを含むハードウェアである。101はCPU102上で稼動するOS(オペレーティングシステム)である。
113はOS101上で稼動する一般環境用HW(ハードウェア)エミュレータである。代表製品としてVMWareがある。112は一般環境用HWエミュレータ113上で稼動する一般環境用OSである。111は一般環境用OS112上で稼動する一般環境用アプリケーションである。
123はOS101上で稼動する機密環境用HW(ハードウェア)エミュレータである。
122は機密環境用HWエミュレータ123上で稼動する機密環境用OSである。121は機密環境用OS122上で稼動する機密環境用アプリケーションである。
141は外部接続ゲートウェイであり、一般環境とのみ通信可能であり、一般環境とインターネットなどの組織外のネットワークを接続する。
142は機密環境用メールサーバであり、機密環境とのみ通信できる。
143は機密環境用サーバであり、機密環境とのみ通信できる。ここではサーバの種類は特に示さないが、ファイルサーバや文書管理などの業務用サーバとする。
144は監査用サーバであり、ゲートウェイ150とのみ通信でき、機密環境から一般環境に複製したデータを全て蓄積する。
130はコンピュータ100と外部接続ゲートウェイ141、機密環境用メールサーバ142、機密環境用サーバ143、監視用サーバ144を接続するネットワークである。
150はゲートウェイであり、一般環境と機密環境とのデータのやり取りを仲介、制限する。
【0008】
一般環境と機密環境、ネットワーク130上のゲートウェイ、サーバ間のデータのやり取りは、ウィルス感染防止および機密情報の漏洩防止を図るためにデータ交換がゲートウェイ150によって制限されている。
すなわち、一般環境におけるアプリケーション111は、ゲートウェイ150を介して外部接続ゲートウェイ141とのみ通信でき、機密環境におけるアプリケーション121はゲートウェイ150を介して機密環境用メールサーバ142、機密環境用サーバ143とのみ通信できる。
【0009】
図2は、一般環境から機密環境へのデータ複製方法を説明する図である。
図2において、201は一般環境用OS112内にあるユーザ利用共有メモリである。このメモリ201は一般環境の利用者が明示的にコピー&ペーストを指示する時に利用するメモリであり、Microsoft社のWindows OSではクリップボードと呼ばれている。
利用者はファイルやテキストなどのデータをコピーする時、ファイルないしテキストなどのコピー対象を指定し、メニューやマウスを操作してこのユーザ共有メモリ201へのコピーをOS112ないしアプリケーション111に指示し、次いでコピー先のフォルダや文書内の位置を指定してユーザ共有メモリ201からのペーストをOS112ないしアプリケーション111に指示する。このユーザ利用共有メモリ201を利用することで、文書内や文書間、アプリケーション間でのテキストや図表の複製が可能となる。
202は一般環境用のユーザ利用共有メモリ監視モジュールであり、利用者が一般環境でユーザ利用共有メモリ201にコピーした時に呼ばれるモジュールであり、コピーされたデータをゲートウェイ150に渡す機能を持つ。
211は機密環境用のユーザ利用共有メモリであり、一般環境用のユーザ利用共有メモリ201と同様の機能を持つ。
212は機密環境用のユーザ利用共有メモリ監視モジュールである。
【0010】
図3のフローチャートを用いて、一般環境から機密環境へのデータ複製方法について説明する。
まず、ステップ301において、一般環境で利用者がコピー対象を指定し、コピーをOS112やアプリケーション111に指示すると、OS112ないしはアプリケーション111がユーザ利用共有メモリ201にコピー対象をコピーする。
ステップ302において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ303において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別とデータをゲートウェイ150に転送する。
ステップ304において、ゲートウェイ150が、転送されたデータ種別が許可されている場合には、機密環境用のユーザ利用共有メモリ211に転送する。許可されていない場合は、本処理はここで終了する。
ステップ305において、機密環境で利用者が、コピー先を指定して、ペーストを機密環境におけるOS122やアプリケーション121に指示すると、OS122やアプリケーション121がユーザ利用共有メモリ211に格納されているデータをコピー先にコピーする。
ステップ301と305に示す操作をすることで、利用者は一般環境から機密環境へデータを複製することができる。しかし、ゲートウェイ150は、一般環境から転送されたデータの種別が複製を許可されていないものであれば、機密環境のユーザ利用共有メモリ211には転送せず、複製を許可しない。
ここで、複製可能なデータ種別は、ウィルスが入った文書や実行ファイルを機密環境に持ち込む可能性が出てくるので、マクロやプログラムや制御情報を含まないテキスト、イメージデータ、図表などである。
【0011】
次に、機密環境から一般環境へのデータ複製方法について図4を用いて説明する。
コンピュータ100を機密環境で使用している利用者が、ファイルやテキストなどのデータのコピーを一般環境に転送したい場合、ファイルないしテキストなどのコピー対象を指定し、メニューやマウスを操作して機密環境のユーザ共有メモリ211へのコピーをOS122ないしアプリケーション121に指示し、次いでコピー先のフォルダや文書内の位置を指定してユーザ共有メモリ211からのペーストをOS122ないしアプリケーション121に指示する。このユーザ利用共有メモリ211を利用することで、図2で説明したのと同様に機密環境から一般県境へのテキストや図表の複製が可能となる。
なお、機密環境から一般環境に対してデータを複製する場合、ゲートウェイ150は複製データの全てを監視用サーバ144に転送して当該蓄積サーバ144の記憶装置に蓄積する。この場合、複製データの転送元のユーザ名や日時を付加して蓄積する。蓄積されたデータは機密データの漏洩元を探索する際に使用される。
【0012】
図5のフローチャートを用いて、機密環境から一般環境へのデータ複製方法について詳細に説明する。
まず、ステップ501において、機密環境における利用者が、コピー対象ファイルを指定してコピーをOS122やアプリケーション121に指示する。
ステップ502において、機密環境用のユーザ利用共有メモリ監視モジュール212が、ユーザ利用共有メモリ211へのコピーを検知する。
ステップ503において、機密環境用のユーザ利用共有メモリ監視モジュール212が、コピーされたデータ種別とデータをゲートウェイ150に転送する。
ステップ504において、ゲートウェイ150が、転送されたデータ種別がファイルの場合には、一般環境用のユーザ利用共有メモリ201に転送する。さらに監査用サーバ144にデータを転送する。監査用サーバで144は、後の監査のために本データを利用者名や日時とともに記憶装置に蓄積する。
ステップ505において、一般環境で利用者がコピー先を指定してペーストをOS112やアプリケーション111に指示する。
ステップ501と505に示す操作をすることで、利用者は機密環境から一般環境へデータを複製することができる。
本実施形態ではファイルのみを複製可能としている。ファイルさえ複製できれば、テキストや図表など全てのデータが複製可能である。さらに監査用サーバ144でファイル名とともに蓄積可能なので、監査し易い。
また、暗号化したファイルのみに複製を制限する形態もある。この場合には、ファイルの形式が指定された暗号形式になっているか、また後々の監査のため復号できるように暗号化されているか確認する必要がある。
【0013】
(実施の形態2)
上記の実施の形態1では、ゲートウェイ150は、利用者が利用するコンピュータ100上で稼動していた。このゲートウェイ150は別のコンピュータ上におくことも可能である。ただしこの場合には、機密環境や一般環境の関わる通信が、実施の形態1と同じように制限されるように、OS101が通信を強制する。
【0014】
(実施の形態3)
上記の実施の形態1では、一般環境と機密環境が1台のコンピュータ100上に存在していた。これは、利用者の使い勝手やコンピュータ導入コスト、コンピュータのスペースを考慮したためのものであり、機密環境と一般環境間の通信手段がこれまで示したように制限されていれば、別々のコンピュータ上に存在していても構わない。
【0015】
(実施の形態4)
上記の実施の形態1では、OS101上の2つのハードウェアシミュレータ113と123があり、一般環境と機密環境を構築していた。下位のOS101を機密環境用のOSと見なして、システムを構築することもできる。この場合の構成を示したのが、図12である。
この構成においても、一般環境と機密環境のデータ複製は、実施の形態1と同じように制限される。
なお、図12において、図1と同一部分は同一符号で表している。
【0016】
(実施の形態5)
上記の実施の形態1、2、4では1台のコンピュータ100上に一般環境と機密環境が存在しており、コンピュータ利用者は2つの環境を区別し難くなる可能性がある。
これを解消するには次のように構成すればよい。
図6は、GUIを使って2つの環境を区別する方法を示す図である。
図6において、600はコンピュータ100のディスプレイを示している。このディスプレイ600はOS101が制御している。
601は一般環境のディスプレイであり、一般環境用ハードウェアエミュレータ113と同OS112が主に制御している。
604は一般環境で動作するアプリケーション111のウィンドウである。
602は一般環境ディスプレイ601の背景であり、ウィンドウ604が表示されていないディスプレイの残りの部分である。
603はウィンドウ604のタイトルである。
605は機密環境のディスプレイであり、機密環境用ハードウェアエミュレータ123と同OS122が主に制御している。
一般環境と機密環境とを、ディスプレイの背景602やアプリケーションのタイトル603の色を変えることで区別する。例えば、一般環境は赤色、機密環境は青色とする。これにより、利用者は2つの環境を容易に区別することが可能になる。
【0017】
(実施の形態6)
前述のように構成することにより、一般環境がウィルスに汚染されても機密環境まで汚染され、機密環境における機密ファイルが破壊されたり、外部に持ち出される危険性は解決される。
しかし、ウィルスの種類によっては、ファイルの破壊や持ち出しはしなくとも、大規模のプログラムを次々に起動したり、わざと無限ループの処理をしたり、他のマシンにネットワーク130経由に攻撃しまくり、コンピュータ自体が動作できないようにするものも存在する。
これに対しては、実施の形態1において、一般環境(111、112、113)と機密環境(121、122、123)のハードウェア102内にあるCPUの使用率をOS101が制御したり、ゲートウェイ150が通信量を制御することにより、一般環境がウィルスに感染しても機密環境を支障なく利用することが可能になる。
【0018】
(実施の形態7)
上記実施の形態1では、一般環境から機密環境へのデータを複製する場合、データのサイズには特に制限を設けていなかった。しかし、不正侵入の手口として、受け側の想定しているサイズより大きなデータを送って侵入する方法が知られている。
本実施の形態7では、サイズを制限しつつ複製する方法について、図7〜図10を参照して説明する。
図7において、まず、ステップ701において、一般環境で利用者が、コピー対象のテキストを指定してコピーをOS112やアプリケーション111に指示する。
ステップ702において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ703において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別として長大テキストデータの識別子とデータをゲートウェイ150に転送する。
ステップ704において、ゲートウェイ150が、送られてきたテキストデータの識別子により所定サイズを超えるテキストデータであると判定した場合には、当該テキストデータを予め定められた長さに分割する。この場合の分割する単位長は、表示した場合に人間の視界に入る長さであることが望ましい。すなわち、せいぜい半ページ程度の長さで、テキストの中にウィルスを含む文章としては不自然なコードが含まれないか、無理なく確認できる程度の長さであることが望ましい。
ステップ705において、先に分割したテキストデータを1つずつ機密環境のユーザ利用共有メモリ211に送る。詳細は、図8を使って後述する。
【0019】
ステップ705の分割された1つのテキストデータの処理について、図8を使って説明する。
ステップ801にて、分割された1つのテキストデータをゲートウェイ150が、機密環境のユーザ利用共有メモリ211に送る。
ステップ802にて、利用者がコピー先にカーソルを移動して、ペーストを指示する。アプリケーション121が共有メモリにあるテキストデータをカーソル位置にペースト、カーソル位置をペーストしたテキストの末尾に移動する。
ステップ803にて、機密環境用のユーザ利用共有メモリ監視モジュール212が、ペーストを検知し、ペーストされたデータを削除、ゲートウェイ150に次の区切られたテキストデータの送信要求を出す。
この処理を繰り返すことで、ステップ701にて指定した一般環境のコピー対象の長大テキストデータを機密環境に複製することができる。
【0020】
図7では、テキストデータを分割して複製する方法を説明したが、複合図形を複製する方法について図9のフローチャートを参照して説明する。
ここで、複合図形というのは、複数の基本図形からなる図形であり、例えば図1がその例になる。図1は、100〜102、111〜113などの四角形や130の直線など、複数の基本図形からなっている。図9では、ユーザの操作の手間をなるべく省きながら、1つ1つの基本図形を複製する方法を述べる。
まず、ステップ901において、一般環境で利用者が、コピー対象の複合図形を指定して、コピーをOS112やアプリケーション111に指示する。
ステップ902において、一般環境用のユーザ利用共有メモリ監視モジュール202が、ユーザ利用共有メモリ201へのコピーを検知する。
ステップ903において、一般環境用のユーザ利用共有メモリ監視モジュール202が、コピーされたデータ種別として複合図形の識別子とデータをゲートウェイ150に転送する。
ステップ904において、ゲートウェイ150が、送られてきた複合図形データの識別子により複合図形データであると判定した場合には、当該複合図形データを単位図形に分割する。
ステップ905において、分割した単位図形を1つずつ機密環境のユーザ利用共有メモリ211に送る。詳細は、図10に示す。
この処理を繰り返すことで、ステップ901にて指定した一般環境のコピー対象の複合図形データを機密環境に複製することができる。
【0021】
ステップ905の1つの単位図形データの処理について、図10のフローチャートを参照して説明する。
まず、ステップ1001にて、1つの単位図形データをゲートウェイ150が、機密環境のユーザ利用共有メモリ211に送る。
ステップ1002にて、利用者がコピー先のページを表示して、ペーストを指示する。アプリケーション121が共有メモリ211にある単位図形を表示しているページにペーストする。
ステップ1003にて、機密環境用のユーザ利用共有メモリ監視モジュール212が、ペーストを検知、ペーストされたデータを削除した後、ゲートウェイ150に次の単位図形データの送信要求を出す。
この処理を繰り返すことで、ステップ901にて指定した一般環境のコピー対象の複合図形データを機密環境に複製することができる。
【0022】
(実施の形態8)
上記の各実施の形態は、組織の中での使用を想定していた。本実施形態8では、自宅でのテレワークでも使用できる構成について説明する。図11が全体の構成図である。
図11において、1101はコンピュータ100が設置してある自宅と組織を接続するインターネットである。
1102はOS101に含まれる通信ゲートウェイである。ここでは、インターネット標準の暗号通信プロトコルであるIPsecのトンネルモードのゲートウェイを仮定する。
組織の内部ネットワーク1104と機密環境の認証付の暗号通信を実現する。詳細は一般書籍に開示されているので、ここでは詳しく述べない。
1103は通信ゲートウェイ1102と同様のIPsecを実現するゲートウェイである。自宅での通信ゲートウェイ1102はOS101の一部でありソフトウェアであったが、本通信ゲートウェイ1103はハードウェアとして実現される。
1104は組織の内部ネットワークである。
このような構成にあっては、IPsecを利用して組織内部のネットワーク1104と機密環境ハードウェアを安全に接続し、自宅にいながら組織内部にいるのと同じ計算機環境を得ることができる。しかも、一消費者としてのインターネット利用も一般環境を使って実現しており、1台のコンピュータ100を2つの目的に利用でき、かつこれまでの利用より安全になっている。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態1に係る全体構成を示す機能ブロック図である。
【図2】一般環境から機密環境へのデータ複製方法を説明する図である。
【図3】一般環境から機密環境へのデータ複製方法について説明するフローチャートである。
【図4】機密環境から一般環境へのデータ複製方法について説明する図である。
【図5】機密環境から一般環境へのデータ複製手順を示すフローチャートである。
【図6】GUIを使って2つの環境を区別する方法を示す図である。
【図7】テキストデータのサイズを制限しつつ複製する手順を示すフローチャートである。
【図8】分割したテキストデータを1つずつ機密環境のユーザ利用共有メモリに送る手順を示すフローチャートである。
【図9】複合図形を複製する手順を示すフローチャートである。
【図10】分割した単位図形を1つずつ機密環境のユーザ利用共有メモリに送る手順を示すフローチャートである。
【図11】本発明のコンピュータを組織外部の自宅に設置し、組織と通信する場合の構成を示すブロック図である。
【図12】1つのOSを機密環境用のOSと見なしてシステムを構築する例を示すブロック図である。
【符号の説明】
【0024】
100 ウィルス感染防止機能及び機密漏洩防止機能を備えたコンピュータ
101 OS(オペレーティングシステム)
102 CPUを含むハードウェア
111 一般環境用OS上で稼動する一般環境用アプリケーション
112 一般環境用HWエミュレータ上で稼動する一般環境用OS
113 一般環境用HWエミュレータ
121 機密環境用OS上で稼動する機密環境用アプリケーション
122 機密環境用HWエミュレータ上で稼動する機密環境用OS
123 機密環境用HWエミュレータ
130 ネットワーク
141 外部接続ゲートウェイ
142 機密環境用メールサーバ
143 機密環境用サーバ
144 監査用サーバ
150 ゲートウェイ
201 一般環境用のユーザ利用共有メモリ
202 一般環境用のユーザ利用共有メモリ監視モジュール
211 機密環境用のユーザ利用共有メモリ
212 機密環境用のユーザ利用共有メモリ監視モジュール
【特許請求の範囲】
【請求項1】
組織外部との送受信専用のオペレーティングシステムとアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のオペレーティングシステムとアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とするウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項2】
前記第3の手段は、前記一般環境から機密環境へ複製するデータについて所定サイズ以上のデータについては機密環境におけるユーザの指示に従い複数のデータに分割して複製を許可する手段を備えることを特徴とする請求項1に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項3】
前記第3の手段は、前記一般環境から機密環境へ複製する複合図形データについて当該複合図形データを機密環境におけるユーザの指示に従い複数の単位図形データに分割して複製を許可する手段をさらに備えることを特徴とする請求項1または2に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項4】
前記一般環境と機密環境を構成する第1、第2の手段は、表示装置画面の背景色またはアプリケーションプログラムのウィンドウのタイトル色をそれぞれ異なる色で表示する手段を備えることを特徴とする請求項1〜3のいずれか一項に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項1】
組織外部との送受信専用のオペレーティングシステムとアプリケーションから成る一般環境を構成する第1の手段と、組織内部との送受信専用のオペレーティングシステムとアプリケーションから成る機密環境を構成する第2の手段と、これら第1、第2の手段が構成する2つの環境間のデータ交換について、一般環境から機密環境へはプログラムや制御情報を含まないテキストデータ等の予め定めた形式のデータの複製のみを許可し、機密環境から一般環境へはあらゆるデータの複製を禁止または複製データを全て記憶手段に記録して複製可能とする第3の手段を備えることを特徴とするウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項2】
前記第3の手段は、前記一般環境から機密環境へ複製するデータについて所定サイズ以上のデータについては機密環境におけるユーザの指示に従い複数のデータに分割して複製を許可する手段を備えることを特徴とする請求項1に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項3】
前記第3の手段は、前記一般環境から機密環境へ複製する複合図形データについて当該複合図形データを機密環境におけるユーザの指示に従い複数の単位図形データに分割して複製を許可する手段をさらに備えることを特徴とする請求項1または2に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【請求項4】
前記一般環境と機密環境を構成する第1、第2の手段は、表示装置画面の背景色またはアプリケーションプログラムのウィンドウのタイトル色をそれぞれ異なる色で表示する手段を備えることを特徴とする請求項1〜3のいずれか一項に記載のウィルス感染及び機密情報漏洩防止対策コンピュータ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−201845(P2006−201845A)
【公開日】平成18年8月3日(2006.8.3)
【国際特許分類】
【出願番号】特願2005−10194(P2005−10194)
【出願日】平成17年1月18日(2005.1.18)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成18年8月3日(2006.8.3)
【国際特許分類】
【出願日】平成17年1月18日(2005.1.18)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]