セキュリティ管理システム、情報処理装置、オフラインデバイス、セキュリティ管理方法、及びプログラム
【課題】 オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、その履歴をユーザや管理者に把握させることが可能なセキュリティ管理システム等を提供する。
【解決手段】 情報処理端末3とオフラインデバイス(ICカード2)を用いたセキュリティ管理システム1では、PIN推測試行等、ICカード2に対して行われた操作の履歴をログ23bとしてICカード2内に保持する。認証成功時にはICカード2内のログ23bを強制的にログサーバ5にアップロードしてログ分析を行い、ICカード2の使用可否を判定する。そのため、権限のないユーザがICカード2を使用した履歴(ログ)を検知できる。また、認証成功後にICカード2に対して行われた操作についても、ログ23bをICカード2に保持しておき、次の認証成功時にログサーバ5にアップロードしてログ分析の対象とする。
【解決手段】 情報処理端末3とオフラインデバイス(ICカード2)を用いたセキュリティ管理システム1では、PIN推測試行等、ICカード2に対して行われた操作の履歴をログ23bとしてICカード2内に保持する。認証成功時にはICカード2内のログ23bを強制的にログサーバ5にアップロードしてログ分析を行い、ICカード2の使用可否を判定する。そのため、権限のないユーザがICカード2を使用した履歴(ログ)を検知できる。また、認証成功後にICカード2に対して行われた操作についても、ログ23bをICカード2に保持しておき、次の認証成功時にログサーバ5にアップロードしてログ分析の対象とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ICカード等のオフラインデバイスに対するセキュリティ攻撃を検知するセキュリティ管理システム等に関する。
【背景技術】
【0002】
近年、情報処理装置を安全に起動するために、ICカードやUSBデバイス等をセキュリティトークンとして使用し、ユーザ認証やシステム検証を行った上で装置を起動させる仕組みが提案されている。ここで、セキュリティトークンとは、データを秘匿に記憶でき、装置に脱着可能なものであり、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM、USBメモリ等が含まれる。以下、これらのICカード類やUSBデバイス等をオフラインデバイスと呼ぶ。
【0003】
例えば、特許文献1では、USB互換記憶装置を暗号化キーの格納のためのセキュリティトークンとして使用する例が提示されている、
また、特許文献2には、USB用コネクタを有し、SIMを着脱可能に装着するためのSIMホルダーであって、SIMホルダーの内部にISO7816インターフェース(SIMのインターフェース)をUSBインターフェースに変換するICチップや、非接触通信のためのアンテナコイルや、装着したSIMと電気的接続可能なコンタクト端子板等を設けたものが記載されている。特許文献2に示すSIMホルダーに本人認証データが書きこまれたSIMを装着して携帯すれば、ドアゲートや改札ゲート等の非接触磁界に入った場合には、非接触IDモジュールとして使用することが可能となるとともに、PCのUSBコネクタに接続すればUSBインターフェースIDモジュールとして使用することが可能となる(特許文献2の段落[0049])。
【0004】
ところで、本人を認証する方法としては、例えばPIN(Personal Identification Number)認証等が一般に知られている。PIN認証では、上述のオフラインデバイスに4桁数字等のPIN認証情報を格納しておき、このPIN認証情報と、情報処理端末のインターフェースを介して入力されたPINコードとを照合することにより、本人認証が行われる。そして、許容可能な連続失敗回数を超えて照合が失敗した場合には、オフラインデバイスに格納されているPIN認証情報を使用不能にする等の処理を施して、デバイスや機器を保護するようにしている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特表2010−517424号公報
【特許文献2】特開2004−118771号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述のセキュリティトークン(オフラインデバイス)は、機器とは別体であるため、オフラインデバイス自体が盗難等に遭うと、攻撃者に不正に使用されてしまうことが想定される。そして多くのPIN認証を行うシステムでは、正当なユーザが一度認証を成功させると、失敗回数がクリアされることとなっている。このため、許容可能な連続失敗回数に達する直前まで攻撃者により不正にPINコードが推測試行されていても、正当なユーザが一旦認証を成功させると、認証失敗の回数がクリアされてしまい、その痕跡を残せない。そのため、正当なユーザは攻撃者によりデバイスが使用されていても気づかず、攻撃者が、このような不正な推測試行を日々繰り返せば、最終的には攻撃者に正しいPINを突き止められてしまうことも考えられる。
【0007】
また、正当な権限を有するユーザが正当にPIN認証を成功させ、セキュリティロックを解除した場合であっても、そのユーザが悪意を持っていれば、オフラインデバイスやシステムに対して不正な操作を行うことが許されてしまう。
【0008】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、その履歴をユーザや管理者に把握させることが可能なセキュリティ管理システム、情報処理端装置、オフラインデバイス、セキュリティ管理方法、及びプログラムを提供することである。
【課題を解決するための手段】
【0009】
前述した課題を解決するため第1の発明は、認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、前記オフラインデバイスは、前記認証情報に基づく認証処理を実行する認証処理実行手段と、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、を備え、前記情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求するログアップロード要求手段と、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、を備えることを特徴とするセキュリティ管理システムである。
【0010】
ここで、オフラインデバイスとは、情報処理端末との通信機能、メモリ機能、及び情報処理機能を有し、情報処理端末と別体に構成されるデバイスである。例えば、ICカード類、USBメモリ、及びメモリカード等を含む。
【0011】
第1の発明のセキュリティ管理システムによれば、前記オフラインデバイスは、格納されている認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求し、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定する。前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0012】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、その他のユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、オフラインデバイスの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはオフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0013】
なお、前記ログ分析手段は、前記情報処理端末において実行されるソフトウエア等にて実現してもよいし、前記情報処理端末からネットワーク等を介して通信接続可能な外部のログサーバの有するログ分析機能を利用するようにしてもよい。
また、不正な使用であるか否かは、例えば、認証失敗回数が多い場合や、情報処理端末から入力された認証情報の一部が規則的または連続的に変更された入力が連続的に行われている場合等を、権限を持たないユーザからの不正な認証試行とみなす。または利用者の権限の範囲を超えたコマンドが多く入力されている場合等も不正な使用に含めるようにしてもよい。
【0014】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることが望ましい。
これにより、攻撃者が認証を推測試行したログがオフラインデバイス内に格納され、正当なユーザが認証を成功させた場合には強制的にそのログがアップロードされて分析される。このため、正当なユーザは攻撃者により認証の推測試行がなされたことを確認することができる。
【0015】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証成功後に前記オフラインデバイスに対して行われた操作のログが含まれることが望ましい。
これにより、不正に内部解析がなされた痕跡がある場合等は、正当な権限を持つユーザからの悪意のある攻撃とみなし、オフラインデバイスを使用不可として、システムを保護することが可能となる。
【0016】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ分析手段が外部のサーバに設けられる場合、前記情報処理端末は、前記オフラインデバイスからアップロードしたログに対して電子署名或いは検証コードを付加し、前記サーバに送信する送信手段を更に備えることが望ましい。
または、ICカードのように演算処理機能を有するデバイスをオフラインデバイスとして用いる場合は、前記情報処理端末は前記オフラインデバイス内で予め電子署名或いは検証コード付加済みのログをアップロードして前記サーバに送信してもよい。
これにより、ログデータの改竄を防ぎ、正確かつ安全に外部のサーバにログを送信することが可能となる。
【0017】
第2の発明は、認証情報を格納したオフラインデバイスとの通信接続が可能な情報処理装置であって、前記オフラインデバイスを使用するための認証情報を入力する入力手段と、前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するログアップロード要求手段と、アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限する処理を行う分析結果処理手段と、を備えることを特徴とする情報処理装置である。
【0018】
第2の発明によれば、情報処理装置は、前記オフラインデバイスを使用するための認証情報を入力する入力手段と、前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、によってオフラインデバイスの認証インターフェイスとして機能する。また、前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、記オフラインデバイスに記憶されているログをアップロードするよう要求し、要求に応答してオフラインデバイスからログがアップロードされると、そのログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定する。前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0019】
これにより、情報処理装置は、オフラインデバイスとの間で認証が成功した場合に、オフラインデバイス内に記録されたログを取得して、不正に使用された履歴(ログ)があれば、その旨を通知したり、オフラインデバイスの使用を制限したりできる。その結果、ユーザや管理者は、前回の認証成功から今回の認証成功までの間にオフラインデバイスになされた操作の履歴を知ることができ、オフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0020】
また、第2の発明において、前記オフラインデバイスに対して操作を行った際に、操作のログを前記オフラインデバイスに記録させるためのログ書込要求コマンドを送信する書込要求手段をさらに備えることが望ましい。
例えばICカード等のように、情報処理装置からの要求(コマンド)に応答して処理を実行するオフラインデバイスに対して、情報処理装置側から操作のログをオフラインデバイスに記録させるためのログ書込要求コマンドを送信することが可能となるため、確実にオフラインデバイスに操作のログを記録できるようになり、実用性が向上する。
【0021】
第3の発明は、認証情報が格納され、情報処理端末との通信接続が可能なオフラインデバイスであって、前記認証情報に基づく認証処理を実行する認証処理実行手段と、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、前記認証処理において認証が成功した際に、前記オフラインデバイスに記録された前記ログを前記情報処理端末へアップロードするログアップロード手段と、前記認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する使用制限手段と、を備えることを特徴とするオフラインデバイスである。
【0022】
第3の発明によれば、オフラインデバイスは認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。また、認証処理において認証が成功した際に、オフラインデバイスに記録された前記ログを情報処理端末へアップロードし、認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する。
【0023】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、ユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的に情報処理端末へアップロードされるため、情報処理端末や外部のログサーバにおけるログの分析が可能となる。また、認証が失敗したり、情報処理端末から要求があれば、オフラインデバイスの使用を制限できるためオフラインデバイスや接続された情報処理端末を保護できる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0024】
第4の発明は、認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、前記オフラインデバイスが、前記認証情報に基づく認証処理を実行するステップと、前記オフラインデバイスが、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するステップと、前記認証処理が成功した際、前記情報処理端末が、前記オフラインデバイスに対して前記ログをアップロードするよう要求するステップと、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記オフラインデバイスが不正に使用されたか否かを判定するステップと、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、を含む処理を行うことを特徴とするセキュリティ管理方法である。
【0025】
第4の発明によれば、前記オフラインデバイスは、格納されている認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求し、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定し、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0026】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、ユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、オフラインデバイスの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはオフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0027】
第5の発明は、認証情報を格納したオフラインデバイスとの間で前記認証情報に基づく認証処理を行うコンピュータにより読み取り可能な形式で記述されたプログラムであって、前記オフラインデバイスを使用するための認証情報を入力するステップと、前記オフラインデバイスにおける認証処理の結果を取得するステップと、前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するステップと、アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するステップと、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、を含む処理をコンピュータに実行させるためのプログラムである。
【0028】
第5の発明により、コンピュータを第2の発明の情報処理装置として機能させることが可能となる。
【発明の効果】
【0029】
本発明によれば、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、ユーザや管理者に把握させることが可能なセキュリティ管理システム、情報処理装置、オフラインデバイス、セキュリティ管理方法、及びプログラムを提供できる。
【図面の簡単な説明】
【0030】
【図1】本発明に係るセキュリティ管理システム1の全体構成図
【図2】オフラインデバイス(ICカード2)の内部構成を示すブロック図
【図3】情報処理端末3の内部構成を示すブロック図
【図4】本発明において、(A)ログ分析をログサーバ5にて行う態様、(B)ログ分析を情報処理端末3にて行う態様を示す図
【図5】本発明のセキュリティ管理システム1の各部の動作を示すシーケンス図
【図6】情報処理端末3にて実行される処理の流れを説明するフローチャート
【図7】ログサーバ5へアップロードされるログデータの構成を示す図
【発明を実施するための形態】
【0031】
以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
まず、図1〜図3を参照して本発明の構成について説明する。
【0032】
図1は、本発明に係るセキュリティ管理システム1のシステム構成を示す図である。
図1に示すように、セキュリティ管理システム1は、ICカード2(オフラインデバイス)、情報処理端末3、及びログサーバ5により構成される。ログサーバ5は、情報処理端末3とネットワーク9を介して通信接続される。或いは、情報処理端末3がログサーバ5として機能するものとしてもよい。
情報処理端末3にはICカードリーダライタ4が接続され、ICカードリーダライタ4を用いて、ICカード2と情報処理端末3との間のデータの交信が行われる。
【0033】
本実施の形態では、情報処理端末3との通信接続が可能なオフラインデバイスとして、ICカード2を利用するものとする。オフラインデバイスであるICカード2は、情報処理端末3を利用するためのセキュリティトークンとして使用される。セキュリティトークンとは、情報処理端末3を安全に起動するために認証情報を秘匿に格納したデバイスである。ICカード2には、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM等が含まれる。また、ICカード2に代えて、USBメモリ、メモリカード等の情報処理端末3に脱着可能なデバイスとしてもよい。本発明でいうところのオフラインデバイスとは、上述のICカード類、USBメモリ、及びメモリカードのように、情報処理端末3とは別体に構成され、情報処理端末3との通信機能、メモリ機能、及び情報処理機能を有するデバイスを意味するものとする。
【0034】
ここで、ICカード2の内部構成を図2に示す。
図2に示すように、ICカード2は、CPU(Central Processing Unit)21、RAM(Random Access Memory)22、EEPROM(Electrically Erasable Programmable Read Only Memory)23、及びI/F24等を備えて構成される。
【0035】
CPU21は、EEPROM23に格納されるプログラムをRAM22上のワークメモリ領域に呼び出して実行する。
RAM22は、ロードしたプログラムやデータを一時的に保持するとともに、CPU21が各種処理を行うために使用するワークエリアを備える。
【0036】
EEPROM23は、データの書き換えが可能なメモリであり、ICカード2のCPU201が実行するプログラムや認証処理に必要な認証情報23a等を保持する。認証情報は、例えばPIN認証情報や生体認証情報等である。また、上述のプログラムや情報に加え、ICカード2に対して行われた操作のログ23bが保持される。
I/F24は、ICカード用インターフェイスであるISO7816規格に基づいて、情報処理端末3側から送信される信号を受信したり、情報処理端末3側へ送信したりするUART(Universal Asynchronous Receiver Transmitter)等により構成される。
【0037】
情報処理端末3は、オフラインデバイス(図1ではICカード2)との間で通信接続が可能なパーソナルコンピュータ(PC_A、PC_B)やATM(現金自動預払機)、携帯端末、ゲーム機、その他の情報処理装置を含む。
【0038】
ここで、情報処理端末3の内部構成を図3に示す。
図3に示すように、情報処理端末3は、制御部11、記憶部12、メディア入出力部13、通信制御部14、入力部15、表示部16、及び周辺機器I/F部17等がバス18を介して接続されて構成される。
【0039】
制御部11は、CPU、ROM(Read Only Memory)、RAM等により構成される。
CPUは、記憶部12、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス18を介して接続された各部を駆動制御する。ROMは、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持する。RAMは、ロードしたプログラムやデータを一時的に保持するとともに、制御部11が各種処理を行うために使用するワークエリアを備える。
【0040】
記憶部12は、HDD(ハードディスクドライブ)であり、制御部11が実行するプログラムや、プログラム実行に必要なデータ、OS(オペレーティング・システム)等が格納されている。これらのプログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて実行される。
【0041】
メディア入出力部13は、例えば、HD(ハードディスク)ドライブ、フロッピー(登録商標)ディスクドライブ、メモリカードドライブ、PDドライブ、CDドライブ、DVDドライブ、MOドライブ等のメディア入出力装置であり、データの入出力を行う。
通信制御部14は、通信制御装置、通信ポート等を有し、ネットワーク9との通信を媒介する通信インターフェイスであり、通信制御を行う。
【0042】
入力部15は、例えば、キーボード、マウス等のポインティング・デバイス、テンキー等の入力装置であり、入力されたデータを制御部11へ出力する。
表示部16は、例えば液晶パネル、CRTモニタ等のディスプレイ装置と、ディスプレイ装置と連携して表示処理を実行するための論理回路(ビデオアダプタ等)で構成され、制御部11の制御により入力された表示情報をディスプレイ装置上に表示させる。
【0043】
周辺機器I/F(インターフェース)部17は、情報処理端末3に周辺機器を接続するためのポートであり、周辺機器I/F部17を介して情報処理端末3は周辺機器とのデータの送受信を行う。周辺機器I/F部17は、USBやIEEE1394やRS−232C等で構成される。ICカードリーダライタ4は、周辺機器I/F部17に接続される。
バス18は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0044】
次に、ICカード2と情報処理端末3との通信の基本動作について説明する。
ICカード2と情報処理端末3との間でICカードリーダライタ4を介して通信が開始されると、情報処理端末3からICカード2に対してコマンド(処理要求)が送信される。また、情報処理端末3からのコマンドに応答してICカード2から情報処理端末3にレスポンスが送信される。ICカード2のCPU21は、受信したコマンドに応じた処理を実行し、処理結果に応じたレスポンスを生成して、I/F24を介して情報処理端末3のICカードリーダライタ4へ送信する。
【0045】
本実施の形態では、ICカード2の使用開始時にPIN認証処理が実行されるものとする。
PIN認証とは、利用者本人を識別するためのPINコードを用いた認証方法である。ユーザがICカード2を情報処理端末3のICカードリーダライタ4にかざしたり、挿入したりすると、情報処理端末3の制御部11は、表示部16にPINコード入力画面を表示させ、PINコードの入力を受け付ける。ユーザによりPINコードが入力されると、情報処理端末3の制御部11は、入力されたPINコードの認証要求コマンドをICカード2へ送信する。ICカード2のCPU21は、入力されたPINコードとEEPROM23に格納されている認証情報23aとを照合し、一致すれば認証成功のレスポンス、不一致であれば認証失敗のレスポンスを情報処理端末3へ送信する。
【0046】
PIN認証では、許容可能な連続失敗回数を予め設定することが可能であり、この回数を超えて認証が失敗した場合は、ICカード2のEEPROM23内に格納されている認証情報23aを無効としたり、ICカード2の全てまたは一部の機能を閉塞させる等、ICカード2の機能の使用を制限したりすることができる。
PIN認証に成功した場合は、ICカード2の機能や情報処理端末3の機能を利用することが可能となる。
【0047】
上述のような基本動作を行うセキュリティ管理システム1において、本発明では、ICカード2に対して情報処理端末3から何らかのコマンドが与えられると、その操作のログ23bがICカード2のEEPROM23に記録されるものとする。
ICカード2に記録されるログには、例えばPIN認証要求コマンドや、認証成功後にICカード2に対して情報処理端末3から送信される処理要求コマンドが含まれるものとする。
【0048】
また、PIN認証が成功した際は、ICカード2のEEPROM23内に格納されているログ23bが情報処理端末3へアップロードされ、ログ分析が行われる。
ログ分析は、例えば、図4(A)に示すように、情報処理端末3を介してログサーバ5へアップロードされ、ログサーバ5にて行われる。または、図4(B)に示すように、ログサーバ5のログ分析機能を情報処理端末3に設けてもよい。この場合、情報処理端末3は、ログ分析ソフトウエアを有し、制御部11がこのログ分析ソフトウエアを実行する。図4(B)の場合は、ログデータをログサーバ5へアップロードする必要はない。
【0049】
ログ分析において、ログサーバ5または情報処理端末3は、ICカード2から取得したログ23bに基づいてICカード2が不正に使用されていないかを分析し、カードの使用を許可するか否かを判定して、情報処理端末3に使用可否応答を送信する。情報処理端末3は、「使用不可」の応答を得た場合は、ユーザや管理者にその旨を通知したり、ICカード2に対して使用を制限する要求を送信したりする。「使用可」の応答を得た場合は、ICカード2のセキュリティロックを解除し、ICカード2の機能を使用できるようにする。
【0050】
図4(A)は、図1のシステム構成のように、ログサーバ5を情報処理端末3とは別に設けた場合のログデータの流れを示しており、ICカード2から情報処理端末3を介してログサーバ5へ分析対象となるログデータがアップロードされる。通常、ICカード2自体は直接ログサーバ5と通信を行う機能を有しないため、情報処理端末3の通信制御部14を介してログサーバ5へログデータがアップロードされることとなる。
【0051】
図4(A)のように、情報処理端末3とは別にログサーバ5を設ける場合は、ログサーバ5はクライアント端末である複数の情報処理端末3(PC_A、PC_B、ATM等)にて使用されたICカード2からログデータを収集できるため、詳細なログ分析を行うことが可能となり、使用可否判定の精度が向上する。
一方、図4(B)のように、情報処理端末3内にログ分析機能を設ける場合は、ログサーバ3へアクセスする必要なく、ローカルな使用環境で簡易にログ分析を行える。本セキュリティ管理システム1を簡素に構成することが可能となる。
【0052】
次に、図5〜図7を参照して、本実施の形態におけるセキュリティ管理システム1の動作を説明する。
図5は、セキュリティ管理システム1の各部の動作を示すシーケンス図であり、図6は、情報処理端末3にて実行される処理の流れを説明するフローチャートである。図7は、ICカード2からログサーバ5へアップロードされるログデータ10のデータ構成を示す図である。
【0053】
以下の例では、正当な権限のない攻撃者が他人のICカード2を無断で使用すべく、ありえそうなPINコードを推測試行する場合を想定する。
また、図5において、PC_Aは、ICカード2について権限のある正当なユーザの使用する情報処理端末3、PC_Bは権限のないユーザの使用する情報処理端末3とする。ここではPIN認証の最大試行回数は3回とし、ICカード2側に許容可能な残試行回数が記録される。すなわち認証失敗する毎に残試行回数が1ずつ減算されて記録される。
【0054】
また、各ユーザの使用する情報処理端末3(PC_A、PC_B)は、少なくともICカード2との間でPIN認証やICカード2の機能を使用するための処理を実行するためのプログラムを有し、情報処理端末3の制御部11は、このプログラムに基づいてICカード2のPIN認証処理やその他の処理を実行するものとする。例えば、情報処理端末3におけるPINコード入力画面、処理要求(コマンド)入力画面、応答(レスポンス)表示画面等は、このプログラムにより提供されるものとする。
【0055】
例えば図5に示すように、攻撃者が他人のICカード2を持ち出して、情報処理端末3(PC_B)のICカードリーダライタ4に挿入し、PINコードを推測して入力すると、ICカード2のCPU21はPIN照合処理を実行する(ステップS1)。PIN照合処理にて、ICカード2のCPU21は、ICカード2に格納された認証情報23aと入力されたPINコードとが一致するか判断し、一致しない場合は照合失敗として、認証要求があったことを示すログ23bを生成して、EEPROM23に記憶する(ステップS2)。また、エラーレスポンスを情報処理端末3(PC_B)へ送る。ログ23bは、例えば、入力されたPINコードとエラーコード(ISO7816に基づくエラーコード等)とを含むデータ列とすればよい。情報処理端末3(PC_B)から時刻情報等を取得している場合は、ログ23bに時刻情報を付加してもよい。ICカード2のCPU21は、認証失敗の都度、残試行回数から1を減算する。
【0056】
このようなPIN推測試行が許容回数に達しない回数(残試行回数が「1」になる)まで連続的に行われるものとする。ICカード2のCPU21は、認証要求があったことを示すログ23bをEEPROM23に書き込む(ステップS3〜S4)。
【0057】
ICカード2へのデータの書き込みは、通常、情報処理端末3からICカード2へのコマンド(要求)に従って書き込まれる。しかし本発明では、ICカード2を使用する情報処理端末3が攻撃者の使用するコンピュータ等を含むことも想定しているため、ICカード2側で強制的にログデータをICカード2の所定の記憶領域(例えば、EEPROM23)に書き込むものとする。すなわち、ICカード2にて認証失敗した場合は、ICカード2のCPU21はそのログを生成し、ICカード2の所定の記憶領域(例えば、EEPROM23)に書き込む。
【0058】
このため、例えば、ICカード2のROM22またはEEPROM23に格納されるPIN照合処理プログラム内に、PIN認証失敗時はそのログ23bをEEPROM23に書き込むような処理を組み込めばよい。
このように、ICカード2側で強制的にログを書き込むようにすれば、認証エラー後すぐに確実にICカード2内にログを残すことができ、好適である。例えば、情報処理端末3がICカード2からエラーレスポンスを受信する瞬間にカードを抜き取るような操作が行われた場合にも、ICカード2内にログが既に記録されているため、後段のログ分析(ステップS7)を確実に行えるようになる。
【0059】
ただし、演算処理機能を持たないデバイスをオフラインデバイスとして採用した場合は、情報処理端末3からのコマンド(要求)に従ってデータを書き込ませるようにしてもよい。すなわち、オフラインデバイスのEEPROM23に、通信監視プログラムを実装し、オフラインデバイスのCPU21はオフラインデバイスが活性化(通信している状態)すると、この監視プログラムを起動して常に外部からのコマンド操作を監視し、入力されたコマンドをログデータとしてEEPROM23に書き込むようにしてもよい。この場合、認証のエラーレスポンスを受信した情報処理端末3(PC_B)は、そのログ23bを生成し、書込要求コマンドとともにオフラインデバイスへ送信すれば、オフラインデバイスにログ23bを書き込むことが可能となる。
【0060】
ステップS1〜ステップS4において、情報処理端末3側で実行される処理を、図6を参照して説明する。
【0061】
図6に示すように、情報処理端末3(PC_B)は、ICカード2との通信を開始すると(ステップS21)、ICカード2からPIN認証の残試行回数の情報を取得する。残試行回数が「0」でなければ(ステップS22;No)、PIN認証画面を情報処理端末3(PC_B)の表示画面に表示し(ステップS23)、PINコードの入力を受け付ける(ステップS24)。情報処理端末3(PC_B)は、PINコードとともに認証要求コマンドを送信する(ステップS25)。このとき、現在時刻情報を付加して送信してもよい。
【0062】
入力されたPINコードがICカード2側で照合され、その照合結果のレスポンスを取得する(ステップS26)。レスポンスには残試行回数が含まれる。
ICカード2から認証失敗した旨のレスポンスを受け取った場合は(ステップS27;失敗)、ステップS22へ戻り、レスポンスに含まれる残試行回数を判定する。残試行回数が「0」でなければ(ステップS22;No)、再度PIN認証画面を表示し(ステップS23)、PIN認証画面にて入力されたPINコードと認証要求コマンドをICカード2へ送信する(ステップS24、ステップS25)。
ステップS22において、レスポンスに含まれる残試行回数が「0」に達した場合は(ステップS22;Yes)、エラー画面を表示し(ステップS28)、処理を終了する。ICカード2のEEPROM23には、入力PINとエラーコードを含むログ23bが書き込まれている。
【0063】
残試行回数が「0」となる前に認証成功すると(ステップS22;No→ステップS23〜ステップS27;成功)、情報処理端末3はICカード2からログを取得する(ステップS29)。
【0064】
図5のステップS5の説明に戻る。
攻撃者によるPIN推測試行が行われたが、許容回数以内でPIN推測試行が中断され、その後、正当なユーザ(PC_A)がICカード2を使用してPIN認証が成功するものとする(ステップS5)。
【0065】
この段階で、ICカード2のCPU21は、認証成功のレスポンスに加え、ICカード2のEEPROM23内に記憶されているログ23bを強制的にログサーバ5にアップロードする。情報処理端末3(PC_A)は、ICカード2から受信したログ23bをログサーバ5へアップロード(ステップS6)する。ログサーバ5は、ICカード2のログ23b(ログデータ10)を受信すると、ログサーバ5内の記憶領域に保存し、ログ分析を行って、当該ICカード2の使用可否を判定する(ステップS7)。
ログサーバ5によるログ分析の結果は、情報処理端末3(PC_A)へ送信される。情報処理端末3(PC_A)は、ログサーバ5から受け取った使用可否に応じた処理を行う(ステップS8)。
【0066】
ログサーバ5により使用可と判定された場合は、情報処理端末3はICカード2のセキュリティロックを解除し、ICカード2の使用を許可する(ステップS9)。ログサーバ5により使用不可と判定された場合は、情報処理端末3は、例えばICカード2のEEPROM23に登録されている認証情報を使用不能にする等、ICカード2の使用を制限する。
【0067】
認証成功(図5のステップS5)からログ分析結果応答(図5のステップS9)の処理までの各段階で情報処理端末3(PC_A)が行う処理について、図6を参照して説明する。
図6のステップS26にて認証結果を取得し、PIN認証が成功した場合(ステップS27;成功)、ICカード2からログ23bを取得すると(ステップS29)、情報処理端末3の制御部11は、改竄防止のためにログ23bに電子署名103や検証コード104等を付したログデータ10を生成し(ステップS30)、ログサーバ5へアップロードする(ステップS31)。
またはICカード2内で予め電子署名或いは検証コードを付加し、情報処理端末3は、電子署名或いは検証コードを付加済みのログをアップロードしてログサーバ5に送信してもよい。
【0068】
図7にログサーバ5へアップロードされるログデータ10の一例を説明する。
ログデータ10には、前回のPIN認証成功時から今回のPIN認証成功時までにICカード2に対して行われた全てのログ23bが含まれる。
例えば、認証エラーと判定されたログ(エラーPIN)R1、R2や、PIN認証成功後にICカード2に対して行われたコマンド操作ログR3、R4(後述のステップS11、ステップS13等にて記録するログ)等がログサーバ5にアップロードされる。
ログサーバ5へアップロードするログデータ10に対して、電子署名103や検証コード104を付加することにより、ログサーバ5へのアップロード時におけるデータ漏洩や改竄を防ぐことが可能となる。
【0069】
図5のステップS7のログ分析処理において、ログサーバ5は、取得したログデータ10やこのログデータ10に関連する過去のログデータに基づいて、ICカード2に対して不正な操作がなされているか否かを判定し、判定結果に応じてICカード2の使用可否を決定して、情報処理端末3へ応答する。また、ICカード2からアップロードされたログデータ10を蓄積して保存する。
【0070】
ログ分析処理では、例えば、PIN認証失敗が日々継続的に行われている場合や、入力PINコードが連番で入力されることが継続する場合等、所定の使用可否判定条件に該当するか否かが判定される。使用可否判定条件は、ICカード2の使用環境や求められるセキュリティの強さに応じて設定変更可能であることが望ましい。
また、ログサーバ5には、ICカード2について過去のログが記録されているので、取得したログデータのみならず、過去のログに基づいて不正な操作を推定してもよい。
【0071】
ログサーバ5からICカード2の使用が許可される応答があった場合は(図5のステップS8、S9、図6のステップS32、ステップS33;Yes)、情報処理端末3は、ICカード2のロックを解除し、ICカード2へのコマンド操作を受け付ける(図6のステップS34)。
【0072】
一方、ログサーバ5からICカード2の使用を不許可とする応答があった場合は(図5のステップS8、図6のステップS32、ステップS33;No)、不正な操作がされた疑いがある旨をユーザや管理者に通知し(ステップS35)、ICカード2を使用できないようにする(ステップS36)。不正な操作がされた疑いがある旨の通知は、情報処理端末3への表示や、管理者(ログサーバ5)または正当なユーザ宛の電子メール送信等の方法で行われる。このとき、ICカード2に関するログデータ10をユーザや管理者が閲覧できるようにしてもよい。
【0073】
ICカード機能の利用が許可された場合(図5のステップS9)、ICカード2と情報処理端末3(PC_A)との間で通信を行いながら各種処理が実行される。
例えば、情報処理端末3(PC_A)からコマンドAがICカード2へ送られると、ICカード2にてコマンドAに応じた処理Aが行われ(ステップS10)、コマンドAが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS11)。その後、処理結果がレスポンスAとして情報処理端末3(PC_A)側へ送信される。
【0074】
他のコマンドBが情報処理端末3(PC_A)からICカード2へ送られた場合も同様に、ICカード2にてコマンドBに応じた処理Bが行われ(ステップS12)、コマンドBが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS13)。その後、処理結果がレスポンスBとして情報処理端末3(PC_A)側へ送信される。
【0075】
PIN認証成功後に記録したログデータ(ステップS11やステップS13で記録したログ23b)は、次回のPIN認証成功時にログサーバ5へアップロードされる。
【0076】
ログサーバ5へログデータ10がアップロードされた後は、必ずしもICカード2内にログ23bを残す必要はない。ICカード2内のメモリ容量には限界があるため、使用可否応答を取得した段階でアップロード済みのログ23bをICカード2のEEPROM23から消去してもよい。ただし、ログサーバ5では、ログ分析に用いるために過去のログデータも保持しておくことが望ましい。
【0077】
以上説明したように、本実施の形態のセキュリティ管理システム1では、ICカード2のPIN認証時の操作履歴(ログ23b)をICカード2内に保持しておき、認証成功時には、ICカード2内のログ23bを強制的にログサーバ5にアップロードしてログ分析を行い、ICカード2の使用可否を判定する。そのため、権限のないユーザがICカード2を使用した履歴(ログ)を検知できる。
【0078】
また、認証成功後にICカード2に対して行われた操作についても、ログ23bとしてICカード2に保持しておき、次の認証成功時にログサーバ5にアップロードしてログ分析の対象とする。そのため、権限のあるユーザがICカード2に対して不正なコマンドを実行した履歴やPIN推測試行に成功したユーザによる不正な操作を行った履歴を検出できるため、正当なユーザまたはPINコードを知るに至った攻撃者によるICカード2の不正使用を検知できる。
【0079】
なお、本実施の形態では、ICカード2を用いたセキュリティ管理システム1について説明したが、ICカード2以外のオフラインデバイスを利用したセキュリティ管理システムにも適用可能である。
その他、当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0080】
1・・・セキュリティ管理システム
2・・・ICカード
23a・・・認証情報
23b・・・ログ
3・・・情報処理端末
4・・・ICカードリーダライタ
5・・・ログサーバ
9・・・ネットワーク
10・・・アップロードされるログデータ
【技術分野】
【0001】
本発明は、ICカード等のオフラインデバイスに対するセキュリティ攻撃を検知するセキュリティ管理システム等に関する。
【背景技術】
【0002】
近年、情報処理装置を安全に起動するために、ICカードやUSBデバイス等をセキュリティトークンとして使用し、ユーザ認証やシステム検証を行った上で装置を起動させる仕組みが提案されている。ここで、セキュリティトークンとは、データを秘匿に記憶でき、装置に脱着可能なものであり、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM、USBメモリ等が含まれる。以下、これらのICカード類やUSBデバイス等をオフラインデバイスと呼ぶ。
【0003】
例えば、特許文献1では、USB互換記憶装置を暗号化キーの格納のためのセキュリティトークンとして使用する例が提示されている、
また、特許文献2には、USB用コネクタを有し、SIMを着脱可能に装着するためのSIMホルダーであって、SIMホルダーの内部にISO7816インターフェース(SIMのインターフェース)をUSBインターフェースに変換するICチップや、非接触通信のためのアンテナコイルや、装着したSIMと電気的接続可能なコンタクト端子板等を設けたものが記載されている。特許文献2に示すSIMホルダーに本人認証データが書きこまれたSIMを装着して携帯すれば、ドアゲートや改札ゲート等の非接触磁界に入った場合には、非接触IDモジュールとして使用することが可能となるとともに、PCのUSBコネクタに接続すればUSBインターフェースIDモジュールとして使用することが可能となる(特許文献2の段落[0049])。
【0004】
ところで、本人を認証する方法としては、例えばPIN(Personal Identification Number)認証等が一般に知られている。PIN認証では、上述のオフラインデバイスに4桁数字等のPIN認証情報を格納しておき、このPIN認証情報と、情報処理端末のインターフェースを介して入力されたPINコードとを照合することにより、本人認証が行われる。そして、許容可能な連続失敗回数を超えて照合が失敗した場合には、オフラインデバイスに格納されているPIN認証情報を使用不能にする等の処理を施して、デバイスや機器を保護するようにしている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特表2010−517424号公報
【特許文献2】特開2004−118771号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述のセキュリティトークン(オフラインデバイス)は、機器とは別体であるため、オフラインデバイス自体が盗難等に遭うと、攻撃者に不正に使用されてしまうことが想定される。そして多くのPIN認証を行うシステムでは、正当なユーザが一度認証を成功させると、失敗回数がクリアされることとなっている。このため、許容可能な連続失敗回数に達する直前まで攻撃者により不正にPINコードが推測試行されていても、正当なユーザが一旦認証を成功させると、認証失敗の回数がクリアされてしまい、その痕跡を残せない。そのため、正当なユーザは攻撃者によりデバイスが使用されていても気づかず、攻撃者が、このような不正な推測試行を日々繰り返せば、最終的には攻撃者に正しいPINを突き止められてしまうことも考えられる。
【0007】
また、正当な権限を有するユーザが正当にPIN認証を成功させ、セキュリティロックを解除した場合であっても、そのユーザが悪意を持っていれば、オフラインデバイスやシステムに対して不正な操作を行うことが許されてしまう。
【0008】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、その履歴をユーザや管理者に把握させることが可能なセキュリティ管理システム、情報処理端装置、オフラインデバイス、セキュリティ管理方法、及びプログラムを提供することである。
【課題を解決するための手段】
【0009】
前述した課題を解決するため第1の発明は、認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、前記オフラインデバイスは、前記認証情報に基づく認証処理を実行する認証処理実行手段と、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、を備え、前記情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求するログアップロード要求手段と、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、を備えることを特徴とするセキュリティ管理システムである。
【0010】
ここで、オフラインデバイスとは、情報処理端末との通信機能、メモリ機能、及び情報処理機能を有し、情報処理端末と別体に構成されるデバイスである。例えば、ICカード類、USBメモリ、及びメモリカード等を含む。
【0011】
第1の発明のセキュリティ管理システムによれば、前記オフラインデバイスは、格納されている認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求し、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定する。前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0012】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、その他のユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、オフラインデバイスの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはオフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0013】
なお、前記ログ分析手段は、前記情報処理端末において実行されるソフトウエア等にて実現してもよいし、前記情報処理端末からネットワーク等を介して通信接続可能な外部のログサーバの有するログ分析機能を利用するようにしてもよい。
また、不正な使用であるか否かは、例えば、認証失敗回数が多い場合や、情報処理端末から入力された認証情報の一部が規則的または連続的に変更された入力が連続的に行われている場合等を、権限を持たないユーザからの不正な認証試行とみなす。または利用者の権限の範囲を超えたコマンドが多く入力されている場合等も不正な使用に含めるようにしてもよい。
【0014】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることが望ましい。
これにより、攻撃者が認証を推測試行したログがオフラインデバイス内に格納され、正当なユーザが認証を成功させた場合には強制的にそのログがアップロードされて分析される。このため、正当なユーザは攻撃者により認証の推測試行がなされたことを確認することができる。
【0015】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ記録手段に記録されるログには、認証成功後に前記オフラインデバイスに対して行われた操作のログが含まれることが望ましい。
これにより、不正に内部解析がなされた痕跡がある場合等は、正当な権限を持つユーザからの悪意のある攻撃とみなし、オフラインデバイスを使用不可として、システムを保護することが可能となる。
【0016】
また、第1の発明のセキュリティ管理システムにおいて、前記ログ分析手段が外部のサーバに設けられる場合、前記情報処理端末は、前記オフラインデバイスからアップロードしたログに対して電子署名或いは検証コードを付加し、前記サーバに送信する送信手段を更に備えることが望ましい。
または、ICカードのように演算処理機能を有するデバイスをオフラインデバイスとして用いる場合は、前記情報処理端末は前記オフラインデバイス内で予め電子署名或いは検証コード付加済みのログをアップロードして前記サーバに送信してもよい。
これにより、ログデータの改竄を防ぎ、正確かつ安全に外部のサーバにログを送信することが可能となる。
【0017】
第2の発明は、認証情報を格納したオフラインデバイスとの通信接続が可能な情報処理装置であって、前記オフラインデバイスを使用するための認証情報を入力する入力手段と、前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するログアップロード要求手段と、アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限する処理を行う分析結果処理手段と、を備えることを特徴とする情報処理装置である。
【0018】
第2の発明によれば、情報処理装置は、前記オフラインデバイスを使用するための認証情報を入力する入力手段と、前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、によってオフラインデバイスの認証インターフェイスとして機能する。また、前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、記オフラインデバイスに記憶されているログをアップロードするよう要求し、要求に応答してオフラインデバイスからログがアップロードされると、そのログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定する。前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0019】
これにより、情報処理装置は、オフラインデバイスとの間で認証が成功した場合に、オフラインデバイス内に記録されたログを取得して、不正に使用された履歴(ログ)があれば、その旨を通知したり、オフラインデバイスの使用を制限したりできる。その結果、ユーザや管理者は、前回の認証成功から今回の認証成功までの間にオフラインデバイスになされた操作の履歴を知ることができ、オフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0020】
また、第2の発明において、前記オフラインデバイスに対して操作を行った際に、操作のログを前記オフラインデバイスに記録させるためのログ書込要求コマンドを送信する書込要求手段をさらに備えることが望ましい。
例えばICカード等のように、情報処理装置からの要求(コマンド)に応答して処理を実行するオフラインデバイスに対して、情報処理装置側から操作のログをオフラインデバイスに記録させるためのログ書込要求コマンドを送信することが可能となるため、確実にオフラインデバイスに操作のログを記録できるようになり、実用性が向上する。
【0021】
第3の発明は、認証情報が格納され、情報処理端末との通信接続が可能なオフラインデバイスであって、前記認証情報に基づく認証処理を実行する認証処理実行手段と、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、前記認証処理において認証が成功した際に、前記オフラインデバイスに記録された前記ログを前記情報処理端末へアップロードするログアップロード手段と、前記認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する使用制限手段と、を備えることを特徴とするオフラインデバイスである。
【0022】
第3の発明によれば、オフラインデバイスは認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。また、認証処理において認証が成功した際に、オフラインデバイスに記録された前記ログを情報処理端末へアップロードし、認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する。
【0023】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、ユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的に情報処理端末へアップロードされるため、情報処理端末や外部のログサーバにおけるログの分析が可能となる。また、認証が失敗したり、情報処理端末から要求があれば、オフラインデバイスの使用を制限できるためオフラインデバイスや接続された情報処理端末を保護できる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0024】
第4の発明は、認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、前記オフラインデバイスが、前記認証情報に基づく認証処理を実行するステップと、前記オフラインデバイスが、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するステップと、前記認証処理が成功した際、前記情報処理端末が、前記オフラインデバイスに対して前記ログをアップロードするよう要求するステップと、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記オフラインデバイスが不正に使用されたか否かを判定するステップと、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、を含む処理を行うことを特徴とするセキュリティ管理方法である。
【0025】
第4の発明によれば、前記オフラインデバイスは、格納されている認証情報に基づく認証処理を実行し、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録する。情報処理端末は、前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求し、要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定し、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する。
【0026】
これにより、オフラインデバイスに対してなされた操作のログがオフラインデバイス内に記録されるため、攻撃者、ユーザ、または管理者による操作の履歴を残すことができる。そして、認証を成功させた場合に、オフラインデバイス内のログが強制的にアップロードされて分析され、不正に使用された履歴(ログ)があれば、その旨が通知されたり、オフラインデバイスの使用が制限されたりするため、ユーザや管理者は前回の認証成功から今回の認証成功までの間の操作の履歴を知ることができ、またはオフラインデバイスやシステムを保護することが可能となる。ログはオフラインデバイス内に保存されるため、どの情報処理端末から操作されてもその痕跡を残すことができる。
【0027】
第5の発明は、認証情報を格納したオフラインデバイスとの間で前記認証情報に基づく認証処理を行うコンピュータにより読み取り可能な形式で記述されたプログラムであって、前記オフラインデバイスを使用するための認証情報を入力するステップと、前記オフラインデバイスにおける認証処理の結果を取得するステップと、前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するステップと、アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するステップと、前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、を含む処理をコンピュータに実行させるためのプログラムである。
【0028】
第5の発明により、コンピュータを第2の発明の情報処理装置として機能させることが可能となる。
【発明の効果】
【0029】
本発明によれば、オフラインデバイスに対する不正な操作やセキュリティ攻撃を検知し、ユーザや管理者に把握させることが可能なセキュリティ管理システム、情報処理装置、オフラインデバイス、セキュリティ管理方法、及びプログラムを提供できる。
【図面の簡単な説明】
【0030】
【図1】本発明に係るセキュリティ管理システム1の全体構成図
【図2】オフラインデバイス(ICカード2)の内部構成を示すブロック図
【図3】情報処理端末3の内部構成を示すブロック図
【図4】本発明において、(A)ログ分析をログサーバ5にて行う態様、(B)ログ分析を情報処理端末3にて行う態様を示す図
【図5】本発明のセキュリティ管理システム1の各部の動作を示すシーケンス図
【図6】情報処理端末3にて実行される処理の流れを説明するフローチャート
【図7】ログサーバ5へアップロードされるログデータの構成を示す図
【発明を実施するための形態】
【0031】
以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
まず、図1〜図3を参照して本発明の構成について説明する。
【0032】
図1は、本発明に係るセキュリティ管理システム1のシステム構成を示す図である。
図1に示すように、セキュリティ管理システム1は、ICカード2(オフラインデバイス)、情報処理端末3、及びログサーバ5により構成される。ログサーバ5は、情報処理端末3とネットワーク9を介して通信接続される。或いは、情報処理端末3がログサーバ5として機能するものとしてもよい。
情報処理端末3にはICカードリーダライタ4が接続され、ICカードリーダライタ4を用いて、ICカード2と情報処理端末3との間のデータの交信が行われる。
【0033】
本実施の形態では、情報処理端末3との通信接続が可能なオフラインデバイスとして、ICカード2を利用するものとする。オフラインデバイスであるICカード2は、情報処理端末3を利用するためのセキュリティトークンとして使用される。セキュリティトークンとは、情報処理端末3を安全に起動するために認証情報を秘匿に格納したデバイスである。ICカード2には、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM等が含まれる。また、ICカード2に代えて、USBメモリ、メモリカード等の情報処理端末3に脱着可能なデバイスとしてもよい。本発明でいうところのオフラインデバイスとは、上述のICカード類、USBメモリ、及びメモリカードのように、情報処理端末3とは別体に構成され、情報処理端末3との通信機能、メモリ機能、及び情報処理機能を有するデバイスを意味するものとする。
【0034】
ここで、ICカード2の内部構成を図2に示す。
図2に示すように、ICカード2は、CPU(Central Processing Unit)21、RAM(Random Access Memory)22、EEPROM(Electrically Erasable Programmable Read Only Memory)23、及びI/F24等を備えて構成される。
【0035】
CPU21は、EEPROM23に格納されるプログラムをRAM22上のワークメモリ領域に呼び出して実行する。
RAM22は、ロードしたプログラムやデータを一時的に保持するとともに、CPU21が各種処理を行うために使用するワークエリアを備える。
【0036】
EEPROM23は、データの書き換えが可能なメモリであり、ICカード2のCPU201が実行するプログラムや認証処理に必要な認証情報23a等を保持する。認証情報は、例えばPIN認証情報や生体認証情報等である。また、上述のプログラムや情報に加え、ICカード2に対して行われた操作のログ23bが保持される。
I/F24は、ICカード用インターフェイスであるISO7816規格に基づいて、情報処理端末3側から送信される信号を受信したり、情報処理端末3側へ送信したりするUART(Universal Asynchronous Receiver Transmitter)等により構成される。
【0037】
情報処理端末3は、オフラインデバイス(図1ではICカード2)との間で通信接続が可能なパーソナルコンピュータ(PC_A、PC_B)やATM(現金自動預払機)、携帯端末、ゲーム機、その他の情報処理装置を含む。
【0038】
ここで、情報処理端末3の内部構成を図3に示す。
図3に示すように、情報処理端末3は、制御部11、記憶部12、メディア入出力部13、通信制御部14、入力部15、表示部16、及び周辺機器I/F部17等がバス18を介して接続されて構成される。
【0039】
制御部11は、CPU、ROM(Read Only Memory)、RAM等により構成される。
CPUは、記憶部12、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス18を介して接続された各部を駆動制御する。ROMは、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持する。RAMは、ロードしたプログラムやデータを一時的に保持するとともに、制御部11が各種処理を行うために使用するワークエリアを備える。
【0040】
記憶部12は、HDD(ハードディスクドライブ)であり、制御部11が実行するプログラムや、プログラム実行に必要なデータ、OS(オペレーティング・システム)等が格納されている。これらのプログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて実行される。
【0041】
メディア入出力部13は、例えば、HD(ハードディスク)ドライブ、フロッピー(登録商標)ディスクドライブ、メモリカードドライブ、PDドライブ、CDドライブ、DVDドライブ、MOドライブ等のメディア入出力装置であり、データの入出力を行う。
通信制御部14は、通信制御装置、通信ポート等を有し、ネットワーク9との通信を媒介する通信インターフェイスであり、通信制御を行う。
【0042】
入力部15は、例えば、キーボード、マウス等のポインティング・デバイス、テンキー等の入力装置であり、入力されたデータを制御部11へ出力する。
表示部16は、例えば液晶パネル、CRTモニタ等のディスプレイ装置と、ディスプレイ装置と連携して表示処理を実行するための論理回路(ビデオアダプタ等)で構成され、制御部11の制御により入力された表示情報をディスプレイ装置上に表示させる。
【0043】
周辺機器I/F(インターフェース)部17は、情報処理端末3に周辺機器を接続するためのポートであり、周辺機器I/F部17を介して情報処理端末3は周辺機器とのデータの送受信を行う。周辺機器I/F部17は、USBやIEEE1394やRS−232C等で構成される。ICカードリーダライタ4は、周辺機器I/F部17に接続される。
バス18は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0044】
次に、ICカード2と情報処理端末3との通信の基本動作について説明する。
ICカード2と情報処理端末3との間でICカードリーダライタ4を介して通信が開始されると、情報処理端末3からICカード2に対してコマンド(処理要求)が送信される。また、情報処理端末3からのコマンドに応答してICカード2から情報処理端末3にレスポンスが送信される。ICカード2のCPU21は、受信したコマンドに応じた処理を実行し、処理結果に応じたレスポンスを生成して、I/F24を介して情報処理端末3のICカードリーダライタ4へ送信する。
【0045】
本実施の形態では、ICカード2の使用開始時にPIN認証処理が実行されるものとする。
PIN認証とは、利用者本人を識別するためのPINコードを用いた認証方法である。ユーザがICカード2を情報処理端末3のICカードリーダライタ4にかざしたり、挿入したりすると、情報処理端末3の制御部11は、表示部16にPINコード入力画面を表示させ、PINコードの入力を受け付ける。ユーザによりPINコードが入力されると、情報処理端末3の制御部11は、入力されたPINコードの認証要求コマンドをICカード2へ送信する。ICカード2のCPU21は、入力されたPINコードとEEPROM23に格納されている認証情報23aとを照合し、一致すれば認証成功のレスポンス、不一致であれば認証失敗のレスポンスを情報処理端末3へ送信する。
【0046】
PIN認証では、許容可能な連続失敗回数を予め設定することが可能であり、この回数を超えて認証が失敗した場合は、ICカード2のEEPROM23内に格納されている認証情報23aを無効としたり、ICカード2の全てまたは一部の機能を閉塞させる等、ICカード2の機能の使用を制限したりすることができる。
PIN認証に成功した場合は、ICカード2の機能や情報処理端末3の機能を利用することが可能となる。
【0047】
上述のような基本動作を行うセキュリティ管理システム1において、本発明では、ICカード2に対して情報処理端末3から何らかのコマンドが与えられると、その操作のログ23bがICカード2のEEPROM23に記録されるものとする。
ICカード2に記録されるログには、例えばPIN認証要求コマンドや、認証成功後にICカード2に対して情報処理端末3から送信される処理要求コマンドが含まれるものとする。
【0048】
また、PIN認証が成功した際は、ICカード2のEEPROM23内に格納されているログ23bが情報処理端末3へアップロードされ、ログ分析が行われる。
ログ分析は、例えば、図4(A)に示すように、情報処理端末3を介してログサーバ5へアップロードされ、ログサーバ5にて行われる。または、図4(B)に示すように、ログサーバ5のログ分析機能を情報処理端末3に設けてもよい。この場合、情報処理端末3は、ログ分析ソフトウエアを有し、制御部11がこのログ分析ソフトウエアを実行する。図4(B)の場合は、ログデータをログサーバ5へアップロードする必要はない。
【0049】
ログ分析において、ログサーバ5または情報処理端末3は、ICカード2から取得したログ23bに基づいてICカード2が不正に使用されていないかを分析し、カードの使用を許可するか否かを判定して、情報処理端末3に使用可否応答を送信する。情報処理端末3は、「使用不可」の応答を得た場合は、ユーザや管理者にその旨を通知したり、ICカード2に対して使用を制限する要求を送信したりする。「使用可」の応答を得た場合は、ICカード2のセキュリティロックを解除し、ICカード2の機能を使用できるようにする。
【0050】
図4(A)は、図1のシステム構成のように、ログサーバ5を情報処理端末3とは別に設けた場合のログデータの流れを示しており、ICカード2から情報処理端末3を介してログサーバ5へ分析対象となるログデータがアップロードされる。通常、ICカード2自体は直接ログサーバ5と通信を行う機能を有しないため、情報処理端末3の通信制御部14を介してログサーバ5へログデータがアップロードされることとなる。
【0051】
図4(A)のように、情報処理端末3とは別にログサーバ5を設ける場合は、ログサーバ5はクライアント端末である複数の情報処理端末3(PC_A、PC_B、ATM等)にて使用されたICカード2からログデータを収集できるため、詳細なログ分析を行うことが可能となり、使用可否判定の精度が向上する。
一方、図4(B)のように、情報処理端末3内にログ分析機能を設ける場合は、ログサーバ3へアクセスする必要なく、ローカルな使用環境で簡易にログ分析を行える。本セキュリティ管理システム1を簡素に構成することが可能となる。
【0052】
次に、図5〜図7を参照して、本実施の形態におけるセキュリティ管理システム1の動作を説明する。
図5は、セキュリティ管理システム1の各部の動作を示すシーケンス図であり、図6は、情報処理端末3にて実行される処理の流れを説明するフローチャートである。図7は、ICカード2からログサーバ5へアップロードされるログデータ10のデータ構成を示す図である。
【0053】
以下の例では、正当な権限のない攻撃者が他人のICカード2を無断で使用すべく、ありえそうなPINコードを推測試行する場合を想定する。
また、図5において、PC_Aは、ICカード2について権限のある正当なユーザの使用する情報処理端末3、PC_Bは権限のないユーザの使用する情報処理端末3とする。ここではPIN認証の最大試行回数は3回とし、ICカード2側に許容可能な残試行回数が記録される。すなわち認証失敗する毎に残試行回数が1ずつ減算されて記録される。
【0054】
また、各ユーザの使用する情報処理端末3(PC_A、PC_B)は、少なくともICカード2との間でPIN認証やICカード2の機能を使用するための処理を実行するためのプログラムを有し、情報処理端末3の制御部11は、このプログラムに基づいてICカード2のPIN認証処理やその他の処理を実行するものとする。例えば、情報処理端末3におけるPINコード入力画面、処理要求(コマンド)入力画面、応答(レスポンス)表示画面等は、このプログラムにより提供されるものとする。
【0055】
例えば図5に示すように、攻撃者が他人のICカード2を持ち出して、情報処理端末3(PC_B)のICカードリーダライタ4に挿入し、PINコードを推測して入力すると、ICカード2のCPU21はPIN照合処理を実行する(ステップS1)。PIN照合処理にて、ICカード2のCPU21は、ICカード2に格納された認証情報23aと入力されたPINコードとが一致するか判断し、一致しない場合は照合失敗として、認証要求があったことを示すログ23bを生成して、EEPROM23に記憶する(ステップS2)。また、エラーレスポンスを情報処理端末3(PC_B)へ送る。ログ23bは、例えば、入力されたPINコードとエラーコード(ISO7816に基づくエラーコード等)とを含むデータ列とすればよい。情報処理端末3(PC_B)から時刻情報等を取得している場合は、ログ23bに時刻情報を付加してもよい。ICカード2のCPU21は、認証失敗の都度、残試行回数から1を減算する。
【0056】
このようなPIN推測試行が許容回数に達しない回数(残試行回数が「1」になる)まで連続的に行われるものとする。ICカード2のCPU21は、認証要求があったことを示すログ23bをEEPROM23に書き込む(ステップS3〜S4)。
【0057】
ICカード2へのデータの書き込みは、通常、情報処理端末3からICカード2へのコマンド(要求)に従って書き込まれる。しかし本発明では、ICカード2を使用する情報処理端末3が攻撃者の使用するコンピュータ等を含むことも想定しているため、ICカード2側で強制的にログデータをICカード2の所定の記憶領域(例えば、EEPROM23)に書き込むものとする。すなわち、ICカード2にて認証失敗した場合は、ICカード2のCPU21はそのログを生成し、ICカード2の所定の記憶領域(例えば、EEPROM23)に書き込む。
【0058】
このため、例えば、ICカード2のROM22またはEEPROM23に格納されるPIN照合処理プログラム内に、PIN認証失敗時はそのログ23bをEEPROM23に書き込むような処理を組み込めばよい。
このように、ICカード2側で強制的にログを書き込むようにすれば、認証エラー後すぐに確実にICカード2内にログを残すことができ、好適である。例えば、情報処理端末3がICカード2からエラーレスポンスを受信する瞬間にカードを抜き取るような操作が行われた場合にも、ICカード2内にログが既に記録されているため、後段のログ分析(ステップS7)を確実に行えるようになる。
【0059】
ただし、演算処理機能を持たないデバイスをオフラインデバイスとして採用した場合は、情報処理端末3からのコマンド(要求)に従ってデータを書き込ませるようにしてもよい。すなわち、オフラインデバイスのEEPROM23に、通信監視プログラムを実装し、オフラインデバイスのCPU21はオフラインデバイスが活性化(通信している状態)すると、この監視プログラムを起動して常に外部からのコマンド操作を監視し、入力されたコマンドをログデータとしてEEPROM23に書き込むようにしてもよい。この場合、認証のエラーレスポンスを受信した情報処理端末3(PC_B)は、そのログ23bを生成し、書込要求コマンドとともにオフラインデバイスへ送信すれば、オフラインデバイスにログ23bを書き込むことが可能となる。
【0060】
ステップS1〜ステップS4において、情報処理端末3側で実行される処理を、図6を参照して説明する。
【0061】
図6に示すように、情報処理端末3(PC_B)は、ICカード2との通信を開始すると(ステップS21)、ICカード2からPIN認証の残試行回数の情報を取得する。残試行回数が「0」でなければ(ステップS22;No)、PIN認証画面を情報処理端末3(PC_B)の表示画面に表示し(ステップS23)、PINコードの入力を受け付ける(ステップS24)。情報処理端末3(PC_B)は、PINコードとともに認証要求コマンドを送信する(ステップS25)。このとき、現在時刻情報を付加して送信してもよい。
【0062】
入力されたPINコードがICカード2側で照合され、その照合結果のレスポンスを取得する(ステップS26)。レスポンスには残試行回数が含まれる。
ICカード2から認証失敗した旨のレスポンスを受け取った場合は(ステップS27;失敗)、ステップS22へ戻り、レスポンスに含まれる残試行回数を判定する。残試行回数が「0」でなければ(ステップS22;No)、再度PIN認証画面を表示し(ステップS23)、PIN認証画面にて入力されたPINコードと認証要求コマンドをICカード2へ送信する(ステップS24、ステップS25)。
ステップS22において、レスポンスに含まれる残試行回数が「0」に達した場合は(ステップS22;Yes)、エラー画面を表示し(ステップS28)、処理を終了する。ICカード2のEEPROM23には、入力PINとエラーコードを含むログ23bが書き込まれている。
【0063】
残試行回数が「0」となる前に認証成功すると(ステップS22;No→ステップS23〜ステップS27;成功)、情報処理端末3はICカード2からログを取得する(ステップS29)。
【0064】
図5のステップS5の説明に戻る。
攻撃者によるPIN推測試行が行われたが、許容回数以内でPIN推測試行が中断され、その後、正当なユーザ(PC_A)がICカード2を使用してPIN認証が成功するものとする(ステップS5)。
【0065】
この段階で、ICカード2のCPU21は、認証成功のレスポンスに加え、ICカード2のEEPROM23内に記憶されているログ23bを強制的にログサーバ5にアップロードする。情報処理端末3(PC_A)は、ICカード2から受信したログ23bをログサーバ5へアップロード(ステップS6)する。ログサーバ5は、ICカード2のログ23b(ログデータ10)を受信すると、ログサーバ5内の記憶領域に保存し、ログ分析を行って、当該ICカード2の使用可否を判定する(ステップS7)。
ログサーバ5によるログ分析の結果は、情報処理端末3(PC_A)へ送信される。情報処理端末3(PC_A)は、ログサーバ5から受け取った使用可否に応じた処理を行う(ステップS8)。
【0066】
ログサーバ5により使用可と判定された場合は、情報処理端末3はICカード2のセキュリティロックを解除し、ICカード2の使用を許可する(ステップS9)。ログサーバ5により使用不可と判定された場合は、情報処理端末3は、例えばICカード2のEEPROM23に登録されている認証情報を使用不能にする等、ICカード2の使用を制限する。
【0067】
認証成功(図5のステップS5)からログ分析結果応答(図5のステップS9)の処理までの各段階で情報処理端末3(PC_A)が行う処理について、図6を参照して説明する。
図6のステップS26にて認証結果を取得し、PIN認証が成功した場合(ステップS27;成功)、ICカード2からログ23bを取得すると(ステップS29)、情報処理端末3の制御部11は、改竄防止のためにログ23bに電子署名103や検証コード104等を付したログデータ10を生成し(ステップS30)、ログサーバ5へアップロードする(ステップS31)。
またはICカード2内で予め電子署名或いは検証コードを付加し、情報処理端末3は、電子署名或いは検証コードを付加済みのログをアップロードしてログサーバ5に送信してもよい。
【0068】
図7にログサーバ5へアップロードされるログデータ10の一例を説明する。
ログデータ10には、前回のPIN認証成功時から今回のPIN認証成功時までにICカード2に対して行われた全てのログ23bが含まれる。
例えば、認証エラーと判定されたログ(エラーPIN)R1、R2や、PIN認証成功後にICカード2に対して行われたコマンド操作ログR3、R4(後述のステップS11、ステップS13等にて記録するログ)等がログサーバ5にアップロードされる。
ログサーバ5へアップロードするログデータ10に対して、電子署名103や検証コード104を付加することにより、ログサーバ5へのアップロード時におけるデータ漏洩や改竄を防ぐことが可能となる。
【0069】
図5のステップS7のログ分析処理において、ログサーバ5は、取得したログデータ10やこのログデータ10に関連する過去のログデータに基づいて、ICカード2に対して不正な操作がなされているか否かを判定し、判定結果に応じてICカード2の使用可否を決定して、情報処理端末3へ応答する。また、ICカード2からアップロードされたログデータ10を蓄積して保存する。
【0070】
ログ分析処理では、例えば、PIN認証失敗が日々継続的に行われている場合や、入力PINコードが連番で入力されることが継続する場合等、所定の使用可否判定条件に該当するか否かが判定される。使用可否判定条件は、ICカード2の使用環境や求められるセキュリティの強さに応じて設定変更可能であることが望ましい。
また、ログサーバ5には、ICカード2について過去のログが記録されているので、取得したログデータのみならず、過去のログに基づいて不正な操作を推定してもよい。
【0071】
ログサーバ5からICカード2の使用が許可される応答があった場合は(図5のステップS8、S9、図6のステップS32、ステップS33;Yes)、情報処理端末3は、ICカード2のロックを解除し、ICカード2へのコマンド操作を受け付ける(図6のステップS34)。
【0072】
一方、ログサーバ5からICカード2の使用を不許可とする応答があった場合は(図5のステップS8、図6のステップS32、ステップS33;No)、不正な操作がされた疑いがある旨をユーザや管理者に通知し(ステップS35)、ICカード2を使用できないようにする(ステップS36)。不正な操作がされた疑いがある旨の通知は、情報処理端末3への表示や、管理者(ログサーバ5)または正当なユーザ宛の電子メール送信等の方法で行われる。このとき、ICカード2に関するログデータ10をユーザや管理者が閲覧できるようにしてもよい。
【0073】
ICカード機能の利用が許可された場合(図5のステップS9)、ICカード2と情報処理端末3(PC_A)との間で通信を行いながら各種処理が実行される。
例えば、情報処理端末3(PC_A)からコマンドAがICカード2へ送られると、ICカード2にてコマンドAに応じた処理Aが行われ(ステップS10)、コマンドAが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS11)。その後、処理結果がレスポンスAとして情報処理端末3(PC_A)側へ送信される。
【0074】
他のコマンドBが情報処理端末3(PC_A)からICカード2へ送られた場合も同様に、ICカード2にてコマンドBに応じた処理Bが行われ(ステップS12)、コマンドBが入力されたログ23bがICカード2のEEPROM23に記録される(ステップS13)。その後、処理結果がレスポンスBとして情報処理端末3(PC_A)側へ送信される。
【0075】
PIN認証成功後に記録したログデータ(ステップS11やステップS13で記録したログ23b)は、次回のPIN認証成功時にログサーバ5へアップロードされる。
【0076】
ログサーバ5へログデータ10がアップロードされた後は、必ずしもICカード2内にログ23bを残す必要はない。ICカード2内のメモリ容量には限界があるため、使用可否応答を取得した段階でアップロード済みのログ23bをICカード2のEEPROM23から消去してもよい。ただし、ログサーバ5では、ログ分析に用いるために過去のログデータも保持しておくことが望ましい。
【0077】
以上説明したように、本実施の形態のセキュリティ管理システム1では、ICカード2のPIN認証時の操作履歴(ログ23b)をICカード2内に保持しておき、認証成功時には、ICカード2内のログ23bを強制的にログサーバ5にアップロードしてログ分析を行い、ICカード2の使用可否を判定する。そのため、権限のないユーザがICカード2を使用した履歴(ログ)を検知できる。
【0078】
また、認証成功後にICカード2に対して行われた操作についても、ログ23bとしてICカード2に保持しておき、次の認証成功時にログサーバ5にアップロードしてログ分析の対象とする。そのため、権限のあるユーザがICカード2に対して不正なコマンドを実行した履歴やPIN推測試行に成功したユーザによる不正な操作を行った履歴を検出できるため、正当なユーザまたはPINコードを知るに至った攻撃者によるICカード2の不正使用を検知できる。
【0079】
なお、本実施の形態では、ICカード2を用いたセキュリティ管理システム1について説明したが、ICカード2以外のオフラインデバイスを利用したセキュリティ管理システムにも適用可能である。
その他、当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0080】
1・・・セキュリティ管理システム
2・・・ICカード
23a・・・認証情報
23b・・・ログ
3・・・情報処理端末
4・・・ICカードリーダライタ
5・・・ログサーバ
9・・・ネットワーク
10・・・アップロードされるログデータ
【特許請求の範囲】
【請求項1】
認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、
前記オフラインデバイスは、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、を備え、
前記情報処理端末は、
前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求するログアップロード要求手段と、
要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、
を備えることを特徴とするセキュリティ管理システム。
【請求項2】
前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項3】
前記ログ記録手段に記録されるログには、認証成功後に前記オフラインデバイスに対して行われた操作のログが含まれることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項4】
前記ログ分析手段が外部のサーバに設けられる場合、
前記情報処理端末は、前記オフラインデバイスからアップロードしたログに対して電子署名或いは検証コードを付加し、前記サーバに送信する送信手段を更に備えることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項5】
認証情報を格納したオフラインデバイスとの通信接続が可能な情報処理装置であって、
前記オフラインデバイスを使用するための認証情報を入力する入力手段と、
前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、
前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するログアップロード要求手段と、
アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、
を備えることを特徴とする情報処理装置。
【請求項6】
前記オフラインデバイスに対して操作を行った際に、操作のログを前記オフラインデバイスに記録させるためのログ書込要求コマンドを送信する書込要求手段をさらに備えることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
認証情報が格納され、情報処理端末との通信接続が可能なオフラインデバイスであって、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、
前記認証処理において認証が成功した際に、前記オフラインデバイスに記録された前記ログを前記情報処理端末へアップロードするログアップロード手段と、
前記認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する使用制限手段と、
を備えることを特徴とするオフラインデバイス。
【請求項8】
認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、
前記オフラインデバイスが、前記認証情報に基づく認証処理を実行するステップと、
前記オフラインデバイスが、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するステップと、
前記認証処理が成功した際、前記情報処理端末が、前記オフラインデバイスに対して前記ログをアップロードするよう要求するステップと、
要求に応答して前記オフラインデバイスからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記オフラインデバイスが不正に使用されたか否かを判定するステップと、
前記オフラインデバイスが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、
を含む処理を行うことを特徴とするセキュリティ管理方法。
【請求項9】
認証情報を格納したオフラインデバイスとの間で前記認証情報に基づく認証処理を行うコンピュータにより読み取り可能な形式で記述されたプログラムであって、
前記オフラインデバイスを使用するための認証情報を入力するステップと、
前記オフラインデバイスにおける認証処理の結果を取得するステップと、
前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するステップと、
アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するステップと、
前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、
を含む処理をコンピュータに実行させるためのプログラム。
【請求項1】
認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理システムにおいて、
前記オフラインデバイスは、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、を備え、
前記情報処理端末は、
前記認証処理が成功した際、前記オフラインデバイスに対して前記ログをアップロードするよう要求するログアップロード要求手段と、
要求に応答して前記オフラインデバイスからアップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、
を備えることを特徴とするセキュリティ管理システム。
【請求項2】
前記ログ記録手段に記録されるログには、認証試行操作のログが含まれることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項3】
前記ログ記録手段に記録されるログには、認証成功後に前記オフラインデバイスに対して行われた操作のログが含まれることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項4】
前記ログ分析手段が外部のサーバに設けられる場合、
前記情報処理端末は、前記オフラインデバイスからアップロードしたログに対して電子署名或いは検証コードを付加し、前記サーバに送信する送信手段を更に備えることを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項5】
認証情報を格納したオフラインデバイスとの通信接続が可能な情報処理装置であって、
前記オフラインデバイスを使用するための認証情報を入力する入力手段と、
前記オフラインデバイスにおける認証処理の結果を取得する認証結果取得手段と、
前記認証結果手段により前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するログアップロード要求手段と、
アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するログ分析手段と、
前記ログ分析手段により前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求する分析結果処理手段と、
を備えることを特徴とする情報処理装置。
【請求項6】
前記オフラインデバイスに対して操作を行った際に、操作のログを前記オフラインデバイスに記録させるためのログ書込要求コマンドを送信する書込要求手段をさらに備えることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
認証情報が格納され、情報処理端末との通信接続が可能なオフラインデバイスであって、
前記認証情報に基づく認証処理を実行する認証処理実行手段と、
当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するログ記録手段と、
前記認証処理において認証が成功した際に、前記オフラインデバイスに記録された前記ログを前記情報処理端末へアップロードするログアップロード手段と、
前記認証処理において認証が失敗した際、或いは情報処理端末からの要求に応答して、当該オフラインデバイスの使用を制限する使用制限手段と、
を備えることを特徴とするオフラインデバイス。
【請求項8】
認証情報が格納されたオフラインデバイスと、該オフラインデバイスとの通信接続が可能な情報処理端末と、の間で前記認証情報を用いた認証処理を行うセキュリティ管理方法において、
前記オフラインデバイスが、前記認証情報に基づく認証処理を実行するステップと、
前記オフラインデバイスが、当該オフラインデバイスに対して操作が行われた際に、操作のログを当該オフラインデバイスに記録するステップと、
前記認証処理が成功した際、前記情報処理端末が、前記オフラインデバイスに対して前記ログをアップロードするよう要求するステップと、
要求に応答して前記オフラインデバイスからアップロードされたログに基づいて、前記情報処理端末または外部のサーバが、前記オフラインデバイスが不正に使用されたか否かを判定するステップと、
前記オフラインデバイスが不正に使用された可能性があると判定された場合は、前記情報処理端末または前記サーバが、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、
を含む処理を行うことを特徴とするセキュリティ管理方法。
【請求項9】
認証情報を格納したオフラインデバイスとの間で前記認証情報に基づく認証処理を行うコンピュータにより読み取り可能な形式で記述されたプログラムであって、
前記オフラインデバイスを使用するための認証情報を入力するステップと、
前記オフラインデバイスにおける認証処理の結果を取得するステップと、
前記オフラインデバイスから認証成功情報を取得すると、前記オフラインデバイスに記憶されているログをアップロードするよう要求するステップと、
アップロードされたログに基づいて前記オフラインデバイスが不正に使用されたか否かを判定するステップと、
前記オフラインデバイスが不正に使用された可能性があると判定された場合は、ログ分析の結果を通知するか、または当該オフラインデバイスの使用を制限するよう要求するステップと、
を含む処理をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−43208(P2012−43208A)
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2010−184174(P2010−184174)
【出願日】平成22年8月19日(2010.8.19)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成22年8月19日(2010.8.19)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]