【課題】 データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供すること。
【解決手段】 データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成するステップと、配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築するステップとを備える。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、データの意図しない第三者への二次流出を防止する方法及びシステムに関する。
【背景技術】
【０００２】
従来、組織外部への情報漏洩防止の実現方法として、例えば下記特許文献１及び特許文献２に記載のものが知られている。
下記特許文献１に記載のものは、オペレーティングシステム（ＯＳ）が発行した命令のうち、ストレージや入出力インタフェースのデバイスドライバに対して発行された読み込み命令および書き込み命令のうち少なくとも一方をフィルタリングすることで、ストレージデバイスに対するアクセスを制限でき、不正なデータの持ち出しや管理者が意図しないソフトウェアのインストールを抑制するようにしたものである。
【０００３】
また、下記特許文献２に記載のものは、ＵＳＢ接続の外部装置を用いてＰＣ内部に格納されたデータを暗号化し、データへのアクセスは、当該装置を用いてデータを復号した後で行うようにし、当該装置の所有者だけがデータにアクセス可能にし、使用権限のない第三者によるデータの使用を防止するものである。
【０００４】
【特許文献１】特開２００４−３６２５１６号公報
【特許文献２】特開２００４−３１８７２０号公報
【発明の開示】
【発明が解決しようとする課題】
【０００５】
しかしながら、上記特許文献１に記載の技術は、データの配布先パーソナルコンピュータ（以下、配布先ＰＣ）にアクセス制御のソフトウェアをインストールする必要がある。従って、配布先ＰＣの利用環境を変更する必要が生じる。
また、配布データ以外のアクセス時にもフィルタリング機能が稼動するため、ＰＣのオーバヘッドも増大する。
【０００６】
一方、データの配布者が配布先ＰＣのアクセス制御ポリシーを管理することは事実上不可能である。ＰＣ環境は多種多様であり、アクセス制御ソフトウェアだけで汎用的なアクセス制御を実現しようとすれば、配布先ＰＣの使い勝手に多大な影響を及ぼすことになることも問題である。
【０００７】
上記特許文献２に記載の技術は、ＵＳＢ接続の外部装置の所有者がデータを復号した後に、第三者に不正に供与することができるため、二次流出防止の効果を見込めない。またＵＳＢ接続の外部装置は着脱可能であるため、データの使用者を一意に規定することができない。特に、ＵＳＢ接続の外部装置の複製や第三者への供与によって漏洩防止効果が無力化される。
すなわち、上記特許文献１や特許文献２に示される従来技術では、データの配布先から第三者への二次流出を防止できないという問題がある。
【０００８】
本発明の目的は、データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供することにある。特に、ある組織が別の組織に開発を委託するような場合、委託先の組織が開発した成果物の第三者への漏洩防止や、成果物の安全な回収を実現することができるデータの二次流出防止方法およびシステムを提供することにある。
【課題を解決するための手段】
【０００９】
上記目的を達成するために、本発明に係るデータの二次流出防止方法は、データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第１のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第２のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第３のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
また、前記第３のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第１のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第２のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第３のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【００１０】
また、本発明に係るデータの二次流出防止システムは、データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第１の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第２の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第３の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とする。
また、前記第３の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第１の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第２の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第３の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【発明の効果】
【００１１】
本発明によれば、データの配布先コンピュータには配布データ、ＯＳ、データ閲覧・編集のためのアプリケーションを含めた配布データ処理専用の実行環境を構築するためのイメージファイルを配布し、このイメージファイルを配布先コンピュータにインストールし、配布データを配布データ処理専用の実行環境で処理するため、配布先コンピュータの元々の利用環境の変更を不要にできる。
この結果、配布先コンピュータにおいて、配布データ処理時の使い勝手は制限されるが、元々の配布先コンピュータの使い勝手には影響が出ない。
一方、配布データの使用は、配布データ処理専用の実行環境に限られるため、配布データ以外のアクセス時に不要なフィルタリング機能が稼動するのを回避できる。
また、ハードウェア仮想化の仕組を利用し、ＯＳレベルで実行環境がパーティショニング（隔離）されるため、配布データを元々の配布先コンピュータの環境にメモリやハードディスク等のデバイスを介してコピーすることはできない。
ハードウェアが仮想化されているため、デバイスへのＩ／Ｏをフィルタリングするようなアクセス制御を実現した場合でも、元々の配布先コンピュータのデバイスに影響を及ぼさない。
また、配布先コンピュータに内蔵の暗号化モジュールを利用するため、イメージファイルの実行を配布先コンピュータに限定することができ、二次流出を防止できる。
暗号化モジュールはイメージファイルの改竄検知にも利用できる。また、、暗号化モジュールはハードウェアに内蔵され、着脱不可能であるため、ＵＳＢ接続の外部装置のように、複製や第三者への供与によって漏洩防止効果を無力化する攻撃も回避できる。
【発明を実施するための最良の形態】
【００１２】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図１は、本発明の一実施の形態を示すシステム構成図である。
この実施形態のシステムは、配布先コンピュータ１、配布元コンピュータ１１、配付元の管理者コンピュータ１２とから構成され、これらはネットワーク１０で接続されている。
配付先コンピュータ１は、配付元コンピュータ１１から配付された配付データに基づき所定のデータ処理を行う委託先のコンピュータであり、配付データの処理結果である成果
物のデータは管理者コンピュータ１２で回収される。
なお、ここでは、配付元に管理者コンピュータ１２と配布元コンピュータの２つを設置している例を示しているが、いずれか一方だけであってもよい。
委託元から委託先のコンピュータ１に対して配付データを配付（送信）する場合、配付先コンピュータ１から第三者に配付データが流出したり、成果物のデータが第三者に流出することを防止するために、配付元コンピュータ１１または管理者コンピュータにおいて、配付先コンピュータ１内に委託業務専用の実行環境、管理者用の実行環境を配付先コンピュータ１の通常処理の実行環境とは別に構築するためのインストール媒体１３を作成し、配付先コンピュータ１に配付し、インストールする。
【００１３】
インストール媒体１３には、仮想マシンモニタ実行ファイル１３１、管理者用ＯＳイメージファイル（平文）１３２、委託業務用ＯＳイメージファイル（平文）１３３、インストーラ１３４が記憶される。
仮想マシンモニタ実行ファイル１３１は、管理者用ＯＳ、委託業務用ＯＳの実行環境を配付先コンピュータ１内に仮想化して構築するための仮想マシンモニタを作成させるものである。
管理者用ＯＳイメージファイル（平文）１３２は、配付先コンピュータ１内に管理者用ＯＳの実行環境を配付先コンピュータ１の通常処理の実行環境とは別に仮想化して構築するためのものである。
委託業務用ＯＳイメージファイル（平文）１３３は、配付先コンピュータ１内に委託業務用ＯＳの実行環境を配付先コンピュータ１の通常処理の実行環境とは別に仮想化して構築するためのものである。
ここで、管理者用ＯＳ、委託業務用ＯＳの実行環境を仮想化して構築する技術は、例えばインテルｖＰｒｏプロセッサー・テクノロジーによって実現されるものである。
このインテルｖＰｒｏプロセッサー・テクノロジーについては、インターネット上で下記のＵＲＬに公開されているので詳細な説明は省略する。
ｖＰｒｏホワイトペーパー
http://www.intel.co.jp/jp/business-pc/collaterals.htm#WhitePaper
vProプロセッサー・テクノロジー
http://download.intel.com/jp/business/japan/pdf/311710-003JA.pdf
【００１４】
また、委託業務用ＯＳイメージファイルには配付データを処理するためのアプリケーションプログラムが含まれている。そして、配付先コンピュータ１内に構築された委託業務用ＯＳの実行環境は、配付先コンピュータ１が内蔵する暗号化モジュールによって暗号化されてインストールされることにより、他のＯＳ環境から隔離され、配付先の利用者が改ざん不可能なようになっている。
委託業務用ＯＳの実行環境を暗号化モジュールによって隔離する技術は、例えば下記のＵＲＬに公開されているように、インテル社のＴＰＭ（Trusted Platform Module）といった技術で実現される。
特許庁技術解説（ＴＰＭ）
http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijyutsu/info_sec_tech/f-1-2.html
【００１５】
図２は、配付元コンピュータ１１または管理者用コンピュータ１２において、インストール媒体１３を生成し、配付先コンピュータ１にインストールするまでの手順を示す図である。
図２において、まず、仮想マシンモニタ実行ファイル１３１、管理者用ＯＳイメージファイル（平文）１３２、委託業務用ＯＳイメージファイル（平文）１３３、インストーラ１３４を含んだインストール媒体１３を作成し（ステップ２０１）、配布先コンピュータ１に送信（配布）し（ステップ２０２）、次に配布先コンピュータ１に、インストール媒体１３から仮想マシンモニタ実行ファイル１３１、管理者用ＯＳイメージファイル（平文）１３２、委託業務用ＯＳイメージファイル（平文）１３３をインストーラ１３４を実行することによってインストールする（ステップ２０３）。
【００１６】
図３は、配付先コンピュータ１の詳細構成を示す機能ブロック図であり、配付先コンピュータ１（以下、配付先ＰＣ）には、ハードウェア６が内蔵されており、委託先企業の従業員が元々利用している通常業務用のＯＳ環境２として、ＯＡツール２１やＯＳ（オペレーティングシステム）２２等がインストールされている。
本発明のデータの配布方法として、データの配布先ＰＣ１には、委託業務用のＯＳ環境３、管理者用のＯＳ環境４、仮想マシンモニタ５をインストールしてもらう必要がある。
【００１７】
委託業務用のＯＳ環境３には、メール・Ｗｅｂ３１や開発ツール３２等、データを安全に使用するためのツール群を予めインストールしておく。こうすることで、データの配布者が意図しないソフトウェアのインストールやウィルスによる被害の危険性を減らすことができる。他にも、メモリ・デバイス経由のデータ漏洩防止を実現するＩ／Ｏフィルタ３３、ハードウェア仮想化環境でネットワークの利用を可能にする仮想ＮＩＣドライバ３４、ＯＳ３５を予めインストールしておく。
【００１８】
また、管理者用のＯＳ環境には、ＮＩＣドライバ４１、ネットワーク経由のデータ漏洩防止を実現するパケットフィルタ４２、委託業務用のＯＳ環境のイメージファイルの改ざんを検査するための改竄検知モジュール４３、委託作業の成果物のデータを安全に回収するための回収モジュール４４を予めインストールしておく。ＯＳはこれらのプログラムが動作するために必要な最小限の機能だけが稼動し、インテルｖＰｒｏ等のハードウェアの機能によって、利用者からは直接操作することができないことが保証されたセキュアＯＳ４５であることを前提にする。
【００１９】
仮想マシンモニタ５は、複数のＯＳ環境を同時に実行することを可能にするためのソフトウェアであり、個々のＯＳ環境２，３，４からアクセスできるハードウェアは別々の構成として認識される。
【００２０】
図４は、図３の構成の配布先ＰＣ１においてネットワーク経由のデータの漏洩防止方法を説明する図である。
ハードウェア仮想化環境では、ＮＩＣドライバ４１の代わりに仮想ＮＩＣドライバ３４がパケットを中継する。一方、管理者用のＯＳ環境４には、ＮＩＣドライバ４１が稼動しており、仮想ＮＩＣドライバ３４から中継されたパケットを処理する。
委託業務用ＯＳ環境３で稼動するメール・Ｗｅｂ３１や開発ツール３２等からネットワークに接続する場合、パケットは仮想ＮＩＣドライバ３４経由でＮＩＣドライバ４１に転送される。
管理者用ＯＳ環境３には、ＮＩＣドライバ４１に転送されるパケットを一定のルールに従ってフィルタリングする機能を持つパケットフィルタ４２が稼動する。本実施例では、メール・Ｗｅｂ等のネットワークの利用を前提とするアプリケーションはネットワーク接続を許可し、開発ツール３２等のネットワーク接続の必要がないアプリケーションは、ネットワーク接続を禁止する構成を示している。ネットワーク接続を禁止するアプリケーションは、図１０の例に示すフィルタリングテーブル１１を予め用意しておき、このテーブルに基づいて決定する。
【００２１】
図５は配布先ＰＣ１においてメモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
先の図４では開発ツール３２からのネットワーク接続を禁止する実施例を示したが、これだけでは開発ツール３２からメール・Ｗｅｂ３１にデータをコピー後、ネットワークに流出する漏洩経路を防げない。
委託業務用ＯＳ環境３で稼動するＩ／Ｏフィルタ３３は、配付先ＰＣ１が備えるメモリやＵＳＢ接続の外部装置等のデバイスへのアクセスを禁止する機能を持つ。デバイスへのアクセスを禁止するアプリケーションは、図４の例と同様に、図１０の例に示すフィルタリングテーブル１１を予め用意しておき、このテーブルに基づいて決定する。
【００２２】
一方、委託業務用ＯＳ環境３から通常業務用ＯＳ環境２、または管理者用ＯＳ環境４へのデータの流出は、ハードウェア仮想化の効果によって保護される。すなわち、ＯＳ環境そのものが異なるため、異なるＯＳで稼動するアプリケーション同士はデータを直接共有することができない。
【００２３】
図６は配布先ＰＣ１においてＯＳイメージファイルの保護方法を説明する図である。
仮想マシンモニタ５は委託業務用ＯＳ環境３等のＯＳ環境をＯＳイメージファイルから起動する。ＯＳイメージファイルとは、データ、ＯＳ、及びアプリケーションを一つの実行イメージのファイルとしてまとめたものである。
通常はディスク６１内に暗号化した委託業務用ＯＳイメージ６０１として格納する。こうすることで、ユーザがディスク６１を取り出して別のＰＣに繋げた場合でも、ＯＳイメージファイルの中のデータを参照することはできない。ＯＳイメージファイルの暗号化の方法として、プラットフォーム毎に一意な暗号鍵を持つＴＰＭ（暗号化モジュール）６２等を使用する。ＴＰＭ自体の改ざんが困難な上、データの配布先ＰＣ１以外ではデータを復号できなくなるため、二次流出の危険性が減る。
【００２４】
改竄検知モジュール４３はＯＳイメージの起動処理として、最初に暗号化した委託業務用ＯＳイメージをＴＰＭ６２で復号する。復号した委託業務用ＯＳイメージ６０２の改竄チェック後、仮想マシンモニタ５がＯＳイメージファイルを起動する。起動中は仮想マシンモニタ５だけがＯＳイメージファイルにアクセスし、これ以外のプログラムによるアクセスは制限されるため、ＯＳイメージファイルが流出することはない。
【００２５】
図７は委託業務用ＯＳ環境４を構築するためのインストール媒体の配布方法を示す図である。
委託業務用ＯＳ環境４を構築する以前の配布先ＰＣ１には、通常業務用ＯＳ環境２、及びハードウェア６だけが存在する。
委託業務用ＯＳ環境４はインストール媒体１３として配布する。インストール媒体１３には、実際にインストール作業を行うインストーラ１３４、仮想マシンモニタ５の実行ファイル１３１、管理者用ＯＳイメージファイル１３２、委託業務用ＯＳイメージファイル（平文）ファイル１３３が格納されている。
【００２６】
インストーラ１３４を実行した場合、仮想マシンモニタ５の実行ファイル１３１と管理者用ＯＳイメージファイル１３２はそのままディスク６１にコピーされ、委託業務用ＯＳイメージファイル１３３はＴＰＭ６２を用いて暗号化した後でディスク６１にコピーされる。インストール終了後は配付先ＰＣ１を速やかに再起動するため、ＯＳイメージファイルが改竄される恐れはない。
【００２７】
図８は配布先ＰＣ１からの成果物の回収方法を説明する図である。
前述したように例えばインテルｖＰｒｏ等のハードウェア機能によって、委託元の管理者コンピュータ（以下、管理者ＰＣ）１２上から配付先ＰＣ１の電源をリモート制御によって投入し、管理者用ＯＳ環境３を稼動させることが可能であることを前提にする。
委託元の管理者はリモート制御によって回収モジュール４４を実行し、委託作業の成果物を回収する。
本実施形態では、成果物の回収方法として、暗号化された委託業務用ＯＳイメージファイル６０１をＴＰＭ６２で復号の後、その復号されたＯＳイメージファイル６０２全体を管理者ＰＣ１２に回収する様子を示している。復号されたＯＳイメージファイル６０２に含まれる成果物のデータを管理者ＰＣ１２から取り出して回収することも可能である。
また、成果物を回収した後で、委託元の管理者は任意のタイミングで配布先ＰＣから管理者用ＯＳイメージファイルや委託業務用ＯＳイメージファイルを削除することが可能である。
【００２８】
図９は、配布先ＰＣ１におけるハッシュテーブル１０の例を示す。ハッシュテーブル１０は、ハッシュ値と日付から構成される。
委託業務用ＯＳイメージファイル１３２の起動時に当該ＯＳイメージファイル１３２のハッシュ値と最新日付のハッシュ値を比較し、改竄チェックを行う。一方、委託業務用ＯＳイメージファイル１３２の停止時に当該ＯＳイメージファイル１３２のハッシュ値を計算し、ハッシュテーブル１０に登録する。停止時に登録したハッシュ値と起動時に計算した委託業務用ＯＳイメージファイル１３２のハッシュ値とが一致していれば、改ざんされていないことになる。
【００２９】
図１０は、配布先ＰＣ１における委託業務用ＯＳ環境４が使用するフィルタリングテーブル１１の例を示す図である。
フィルタリングテーブル１１は、アプリケーションと実行可能ファイルパスから構成される。本テーブル１１には、ネットワークへの接続やデバイスへのアクセスを禁止するアプリケーションを登録する。パケットフィルタ４２や改竄検知モジュール４３は、本テーブル１１に登録済みのアプリケーションがネットワークやデバイスにアクセスするのを検知した場合、アクセスを禁止する。
【００３０】
次にインストーラ１３４について説明する。
図１１は、インストーラ１３４の処理手順を示すフローチャートである。
配付先ＰＣ１におけるユーザが配付先ＰＣ１上でインストーラ１３４を実行すると（ステップ１１０１）、インストーラ１３４は仮想マシンモニタ５の実行ファイル１３１をディスク６にコピー（ステップ１１０２）、次いで、管理者用ＯＳイメージファイル１３２をディスク６にコピーする（ステップ１１０３）。引き続き、委託業務用ＯＳイメージファイル１３２を配付先ＰＣ１のハードウェアに付属しているＴＰＭ６２で暗号化し（ステップ１１０４）、暗号化済みの委託業務用ＯＳイメージファイル６０１をディスクにコピー（ステップ１１０５）後、図１２に示す配付先ＰＣ１の再起動処理を実行する（ステップ１１０６）。
【００３１】
次に、仮想マシンモニタ５について説明する。
図１２は仮想マシンモニタ５による配付先ＰＣの起動処理を示すフローチャートである。
配付先ＰＣ１の電源をオンにする（ステップ１２０１）と、最初に仮想マシンモニタ５が起動する（ステップ１２０２）。
仮想マシンモニタ５は、ハードウェアを仮想化することで、複数のＯＳ環境を同時に稼動させることができる。仮想マシンモニタ５は最初に管理者用ＯＳ環境４を起動する（ステップ１２０３）。次に、リモート操作により配布元の管理者が配付先ＰＣ１の電源を入れたか、または配付先ＰＣ１のユーザがローカル操作により電源を入れたかをチェックする（ステップ１２０４）。
ステップ１２０４で管理者が配付先ＰＣ１の電源を入れた場合、管理者用ＯＳ環境４で管理者のユーザ認証を行う（ステップ１２０５）。
【００３２】
一方、ステップ１２０４でローカルユーザが配付先ＰＣ１の電源を入れた場合、図１４に示す改竄チェック処理（ステップ１２０６）を実行し、暗号化された委託業務用ＯＳイメージファイル６０１の改ざんがあるかチェックする（ステップ１２０７）。
ステップ１２０７で改ざんが検出された場合、図１３に示す配付先ＰＣ１の停止処理を実行する（ステップ１２０８）。しかし、ステップ１２０７で改ざんがなかった場合、仮想マシンモニタ５は配付先ＰＣ１のデバイスを無効化した状態で委託業務用ＯＳ環境４の起動（ステップ１２０９）、通常業務用ＯＳ環境２の起動（ステップ１２１０）に引き続き、必要に応じて委託業務用ＯＳ環境３、または、通常業務用ＯＳ環境２でユーザ認証を行う（ステップ１２１１）。
【００３３】
図１３は、仮想マシンモニタ５による配付先ＰＣ１の停止処理手順を示すフローチャートである。
まず、配付先ＰＣ１の電源をオフにする（ステップ１３０１）と、最初にリモート操作により管理者が配付先ＰＣ１の電源を入れたか、またはローカルユーザが配付先ＰＣ１の電源を入れたか、チェックする（ステップ１３０２）。
ステップ１３０２で管理者が配付先ＰＣ１の電源を入れた場合、そのままＰＣ１を終了する。一方、ステップ１３０２でローカルユーザが配付先ＰＣ１の電源を入れた場合、終了中のＯＳが通常業務用ＯＳ環境２かチェックする（ステップ１３０３）。
ステップ１３０３で終了中のＯＳが通常業務用ＯＳ環境２の場合、そのまま終了する。ステップ１３０３で終了中のＯＳが委託業務用ＯＳ環境３であった場合、委託業務用ＯＳ環境３を停止（ステップ１３０４）後、図１４に示すハッシュ登録処理を実行する（ステップ１３０５）。
【００３４】
次に改竄検知モジュール４３について説明する。
図１４は、改竄検知モジュール４３による暗号化された委託業務用ＯＳイメージファイル６０１の改竄チェック処理を示すフローチャートである。
改竄検知モジュール４３の改竄チェック方法は、配布先ＰＣ１に付属のＴＰＭ６２で暗号化された委託業務用ＯＳイメージファイル６０１を復号（ステップ１４０１）した後、復号したＯＳイメージ６０２のハッシュ値を計算（ステップ１４０２）、図９のハッシュテーブル１０の最新のハッシュ値との比較を行い（ステップ１４０３）、両ハッシュ値が等しい場合はＯＳイメージ６０１が改竄されていない、異なる場合はＯＳイメージ６０１が改竄されている旨を返す（ステップ１４０４）。
【００３５】
図１５は、改竄検知モジュール４３によるハッシュ登録処理を示すフローチャートである。
改竄検知モジュール４３のハッシュ登録方法は、配布先ＰＣ１に付属のＴＰＭ６２で暗号化された委託業務用ＯＳイメージファイル６０１を復号（ステップ１５０１）した後、その復号されたＯＳイメージ６０２のハッシュ値を計算し（ステップ１５０２）、図９のハッシュテーブル１０にハッシュ値を登録する（ステップ１５０３）。
【００３６】
次に回収モジュール４４について説明する。
図１６は、回収モジュール４４によるデータ回収処理を示すフローチャートである。
回収モジュール４４のデータ回収方法は、最初に図１２に示すフローで管理者ＰＣ１２を使用している管理者がリモート操作により配布先ＰＣ１を起動する（ステップ１６０１）。引き続き、管理者用ＯＳ環境４で回収モジュール４４を実行し（ステップ１６０２）、データの配布先ＰＣ１に付属のＴＰＭ６２でディスク６に保存されている委託業務用ＯＳ環境のＯＳイメージファイル６０１を復号（ステップ１６０３）した後、管理者ＰＣ１２に転送する（ステップ１６０４）。管理者は最後に配布先ＰＣから管理者用ＯＳイメージファイルや委託業務用ＯＳイメージファイルを削除する(ステップ１６０４)。
【００３７】
次にパケットフィルタ４２について説明する。
図１７はパケットフィルタ４２によるネットワーク経由のデータ漏洩防止処理のフローチャートである。
パケットフィルタ４２は管理者用ＯＳ環境３の起動時に実行され、当該ＯＳ３が停止するまで常時稼動する。
委託業務用ＯＳ環境でメール・Ｗｅｂ３１や開発ツール３２等のアプリケーションを実行し（ステップ１７０１）、ネットワーク１０への通信が発生すると（ステップ１７０２）、パケットは委託業務用ＯＳ環境３の仮想ＮＩＣドライバ３４に転送（ステップ１７０３）、管理者用ＯＳ環境４のＮＩＣドライバ４１にフォワード（ステップ１７０４）される。
パケットフィルタ４２はＮＩＣドライバ４１にフォワードされる全てのパケットを監視しているので、パケットを受信する（ステップ１７０５）と、図１０に示したフィルタリングテーブル１１を参照し（ステップ１７０６）、パケットを送信するアプリケーションがフィルタリングテーブル１１に登録済みかチェックする（ステップ１７０７）。ステップ１７０７で、フィルタリングテーブル１１に登録済みの場合、データの二次流出を防止するため、ネットワーク１０への通信を遮断する（ステップ１７０８）。
ステップ１７０７で、フィルタリングテーブル１１に登録されていない場合、通信を許可する（ステップ１７０９）。
【００３８】
次にＩ／Ｏフィルタ３３について説明する。
図１８は、委託業務用ＯＳ環境３のＩ／Ｏフィルタ３３によるメモリ・デバイス経由のデータ漏洩防止処理のフローチャートである。
Ｉ／Ｏフィルタ３３は委託業務用ＯＳ環境４の起動時に実行され、当該ＯＳ環境４が停止するまで常時稼動する。
Ｉ／Ｏフィルタ３３は、委託業務用ＯＳ環境３でメール・Ｗｅｂ３１や開発ツール３２等のアプリケーションが配付先ＰＣ１のメモリ・デバイスを介してデータをコピーしようとする動作を検知（ステップ１８０１）した場合、図１０に示したフィルタリングテーブル１１を参照し（ステップ１８０２）、データをコピーするアプリケーションがフィルタリングテーブル１１に登録済みかチェックする（ステップ１８０３）。
ステップ１８０３で、フィルタリングテーブル１１に登録済みの場合、データの二次流出を防止するため、データのコピーを遮断する（ステップ１８０４）。
ステップ１８０３で、フィルタリングテーブル１１に登録されていない場合、データのコピーを許可する（ステップ１８０５）。
【図面の簡単な説明】
【００３９】
【図１】本発明の一実施の形態を示すシステム構成図である。
【図２】配付元コンピュータまたは管理者用コンピュータにおいて、インストール媒体を生成し、配付先コンピュータにインストールするまでの手順を示す図である。
【図３】配布先コンピュータの構成を示す機能構成図である。
【図４】ネットワーク経由のデータの漏洩防止方法を説明する図である。
【図５】メモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
【図６】ＯＳイメージファイルの保護方法を説明する図である。
【図７】委託業務用ＯＳ環境の配布方法を説明する図である。
【図８】成果物の回収方法を説明する図である。
【図９】本発明において用いるハッシュテーブルの例を示す図である。
【図１０】本発明において用いるフィルタリングテーブルの例を示す図である。
【図１１】委託業務用ＯＳ環境等のインストーラの処理を示すフローチャートである。
【図１２】仮想マシンモニタによるＰＣ起動処理を示すフローチャートである。
【図１３】仮想マシンモニタによるＰＣ停止処理を示すフローチャートである。
【図１４】改竄検知モジュールによる改竄チェック処理を示すフローチャートである。
【図１５】改竄検知モジュールによるハッシュ登録処理を示すフローチャートである。
【図１６】回収モジュールによるデータ回収処理を示すフローチャートである。
【図１７】パケットフィルタによるネットワーク経由のデータ漏洩防止処理を示すフローチャートである。
【図１８】Ｉ／Ｏフィルタによるメモリ・デバイス経由のデータ漏洩防止処理を示すフローチャートである。
【符号の説明】
【００４０】
１…配付先ＰＣ
２…通常業務用ＯＳ環境
３…委託業務用ＯＳ環境
４…管理者用ＯＳ環境
５…仮想マシンモニタ
６…ハードウェア
１０…ネットワーク
１１…配付元コンピュータ
１２…配付元の管理者コンピュータ
１３…インストール媒体
３１…メール・Ｗｅｂ
３２…開発ツール
３３…Ｉ／Ｏフィルタ
３４…仮想ＮＩＣドライバ
３５…ＯＳ
４１…ＮＩＣドライバ
４２…パケットフィルタ
４３…改竄検知モジュール
４４…回収モジュール
４５…セキュアＯＳ
６２…ＴＰＭ（暗号化モジュール）
１３１…仮想マシンモニタ実行ファイル
１３２…管理者用ＯＳイメージファイル
１３３…委託業務用ＯＳイメージファイル

【特許請求の範囲】
【請求項１】
データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第１のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第２のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第３のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
【請求項２】
前記第３のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項１に記載のデータの二次流出防止方法。
【請求項３】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項１または２に記載のデータの二次流出防止方法。
【請求項４】
前記第１のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第２のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第３のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項１〜３のいずれか一項に記載のデータの二次流出防止方法。
【請求項５】
データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第１の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第２の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第３の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止システム。
【請求項６】
前記第３の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項５に記載のデータの二次流出防止システム。
【請求項７】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項５または６に記載のデータの二次流出防止システム。
【請求項８】
前記第１の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第２の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第３の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項５〜７のいずれか一項に記載のデータの二次流出防止システム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【図１６】

【図１７】

【図１８】

【公開番号】特開２００９−２６０４６（Ｐ２００９−２６０４６Ａ）
【公開日】平成２１年２月５日（２００９．２．５）
【国際特許分類】
【出願番号】特願２００７−１８８１６４（Ｐ２００７−１８８１６４）
【出願日】平成１９年７月１９日（２００７．７．１９）
【出願人】（０００２３３０５５）日立ソフトウエアエンジニアリング株式会社 (1,610)
【Ｆターム（参考）】