データの二次流出防止方法及びシステム
【課題】 データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供すること。
【解決手段】 データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成するステップと、配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築するステップとを備える。
【解決手段】 データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成するステップと、配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築するステップとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データの意図しない第三者への二次流出を防止する方法及びシステムに関する。
【背景技術】
【0002】
従来、組織外部への情報漏洩防止の実現方法として、例えば下記特許文献1及び特許文献2に記載のものが知られている。
下記特許文献1に記載のものは、オペレーティングシステム(OS)が発行した命令のうち、ストレージや入出力インタフェースのデバイスドライバに対して発行された読み込み命令および書き込み命令のうち少なくとも一方をフィルタリングすることで、ストレージデバイスに対するアクセスを制限でき、不正なデータの持ち出しや管理者が意図しないソフトウェアのインストールを抑制するようにしたものである。
【0003】
また、下記特許文献2に記載のものは、USB接続の外部装置を用いてPC内部に格納されたデータを暗号化し、データへのアクセスは、当該装置を用いてデータを復号した後で行うようにし、当該装置の所有者だけがデータにアクセス可能にし、使用権限のない第三者によるデータの使用を防止するものである。
【0004】
【特許文献1】特開2004−362516号公報
【特許文献2】特開2004−318720号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記特許文献1に記載の技術は、データの配布先パーソナルコンピュータ(以下、配布先PC)にアクセス制御のソフトウェアをインストールする必要がある。従って、配布先PCの利用環境を変更する必要が生じる。
また、配布データ以外のアクセス時にもフィルタリング機能が稼動するため、PCのオーバヘッドも増大する。
【0006】
一方、データの配布者が配布先PCのアクセス制御ポリシーを管理することは事実上不可能である。PC環境は多種多様であり、アクセス制御ソフトウェアだけで汎用的なアクセス制御を実現しようとすれば、配布先PCの使い勝手に多大な影響を及ぼすことになることも問題である。
【0007】
上記特許文献2に記載の技術は、USB接続の外部装置の所有者がデータを復号した後に、第三者に不正に供与することができるため、二次流出防止の効果を見込めない。またUSB接続の外部装置は着脱可能であるため、データの使用者を一意に規定することができない。特に、USB接続の外部装置の複製や第三者への供与によって漏洩防止効果が無力化される。
すなわち、上記特許文献1や特許文献2に示される従来技術では、データの配布先から第三者への二次流出を防止できないという問題がある。
【0008】
本発明の目的は、データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供することにある。特に、ある組織が別の組織に開発を委託するような場合、委託先の組織が開発した成果物の第三者への漏洩防止や、成果物の安全な回収を実現することができるデータの二次流出防止方法およびシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するために、本発明に係るデータの二次流出防止方法は、データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
また、前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【0010】
また、本発明に係るデータの二次流出防止システムは、データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とする。
また、前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第2の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第3の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【発明の効果】
【0011】
本発明によれば、データの配布先コンピュータには配布データ、OS、データ閲覧・編集のためのアプリケーションを含めた配布データ処理専用の実行環境を構築するためのイメージファイルを配布し、このイメージファイルを配布先コンピュータにインストールし、配布データを配布データ処理専用の実行環境で処理するため、配布先コンピュータの元々の利用環境の変更を不要にできる。
この結果、配布先コンピュータにおいて、配布データ処理時の使い勝手は制限されるが、元々の配布先コンピュータの使い勝手には影響が出ない。
一方、配布データの使用は、配布データ処理専用の実行環境に限られるため、配布データ以外のアクセス時に不要なフィルタリング機能が稼動するのを回避できる。
また、ハードウェア仮想化の仕組を利用し、OSレベルで実行環境がパーティショニング(隔離)されるため、配布データを元々の配布先コンピュータの環境にメモリやハードディスク等のデバイスを介してコピーすることはできない。
ハードウェアが仮想化されているため、デバイスへのI/Oをフィルタリングするようなアクセス制御を実現した場合でも、元々の配布先コンピュータのデバイスに影響を及ぼさない。
また、配布先コンピュータに内蔵の暗号化モジュールを利用するため、イメージファイルの実行を配布先コンピュータに限定することができ、二次流出を防止できる。
暗号化モジュールはイメージファイルの改竄検知にも利用できる。また、、暗号化モジュールはハードウェアに内蔵され、着脱不可能であるため、USB接続の外部装置のように、複製や第三者への供与によって漏洩防止効果を無力化する攻撃も回避できる。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
この実施形態のシステムは、配布先コンピュータ1、配布元コンピュータ11、配付元の管理者コンピュータ12とから構成され、これらはネットワーク10で接続されている。
配付先コンピュータ1は、配付元コンピュータ11から配付された配付データに基づき所定のデータ処理を行う委託先のコンピュータであり、配付データの処理結果である成果
物のデータは管理者コンピュータ12で回収される。
なお、ここでは、配付元に管理者コンピュータ12と配布元コンピュータの2つを設置している例を示しているが、いずれか一方だけであってもよい。
委託元から委託先のコンピュータ1に対して配付データを配付(送信)する場合、配付先コンピュータ1から第三者に配付データが流出したり、成果物のデータが第三者に流出することを防止するために、配付元コンピュータ11または管理者コンピュータにおいて、配付先コンピュータ1内に委託業務専用の実行環境、管理者用の実行環境を配付先コンピュータ1の通常処理の実行環境とは別に構築するためのインストール媒体13を作成し、配付先コンピュータ1に配付し、インストールする。
【0013】
インストール媒体13には、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134が記憶される。
仮想マシンモニタ実行ファイル131は、管理者用OS、委託業務用OSの実行環境を配付先コンピュータ1内に仮想化して構築するための仮想マシンモニタを作成させるものである。
管理者用OSイメージファイル(平文)132は、配付先コンピュータ1内に管理者用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
委託業務用OSイメージファイル(平文)133は、配付先コンピュータ1内に委託業務用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
ここで、管理者用OS、委託業務用OSの実行環境を仮想化して構築する技術は、例えばインテルvProプロセッサー・テクノロジーによって実現されるものである。
このインテルvProプロセッサー・テクノロジーについては、インターネット上で下記のURLに公開されているので詳細な説明は省略する。
vProホワイトペーパー
http://www.intel.co.jp/jp/business-pc/collaterals.htm#WhitePaper
vProプロセッサー・テクノロジー
http://download.intel.com/jp/business/japan/pdf/311710-003JA.pdf
【0014】
また、委託業務用OSイメージファイルには配付データを処理するためのアプリケーションプログラムが含まれている。そして、配付先コンピュータ1内に構築された委託業務用OSの実行環境は、配付先コンピュータ1が内蔵する暗号化モジュールによって暗号化されてインストールされることにより、他のOS環境から隔離され、配付先の利用者が改ざん不可能なようになっている。
委託業務用OSの実行環境を暗号化モジュールによって隔離する技術は、例えば下記のURLに公開されているように、インテル社のTPM(Trusted Platform Module)といった技術で実現される。
特許庁技術解説(TPM)
http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijyutsu/info_sec_tech/f-1-2.html
【0015】
図2は、配付元コンピュータ11または管理者用コンピュータ12において、インストール媒体13を生成し、配付先コンピュータ1にインストールするまでの手順を示す図である。
図2において、まず、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134を含んだインストール媒体13を作成し(ステップ201)、配布先コンピュータ1に送信(配布)し(ステップ202)、次に配布先コンピュータ1に、インストール媒体13から仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133をインストーラ134を実行することによってインストールする(ステップ203)。
【0016】
図3は、配付先コンピュータ1の詳細構成を示す機能ブロック図であり、配付先コンピュータ1(以下、配付先PC)には、ハードウェア6が内蔵されており、委託先企業の従業員が元々利用している通常業務用のOS環境2として、OAツール21やOS(オペレーティングシステム)22等がインストールされている。
本発明のデータの配布方法として、データの配布先PC1には、委託業務用のOS環境3、管理者用のOS環境4、仮想マシンモニタ5をインストールしてもらう必要がある。
【0017】
委託業務用のOS環境3には、メール・Web31や開発ツール32等、データを安全に使用するためのツール群を予めインストールしておく。こうすることで、データの配布者が意図しないソフトウェアのインストールやウィルスによる被害の危険性を減らすことができる。他にも、メモリ・デバイス経由のデータ漏洩防止を実現するI/Oフィルタ33、ハードウェア仮想化環境でネットワークの利用を可能にする仮想NICドライバ34、OS35を予めインストールしておく。
【0018】
また、管理者用のOS環境には、NICドライバ41、ネットワーク経由のデータ漏洩防止を実現するパケットフィルタ42、委託業務用のOS環境のイメージファイルの改ざんを検査するための改竄検知モジュール43、委託作業の成果物のデータを安全に回収するための回収モジュール44を予めインストールしておく。OSはこれらのプログラムが動作するために必要な最小限の機能だけが稼動し、インテルvPro等のハードウェアの機能によって、利用者からは直接操作することができないことが保証されたセキュアOS45であることを前提にする。
【0019】
仮想マシンモニタ5は、複数のOS環境を同時に実行することを可能にするためのソフトウェアであり、個々のOS環境2,3,4からアクセスできるハードウェアは別々の構成として認識される。
【0020】
図4は、図3の構成の配布先PC1においてネットワーク経由のデータの漏洩防止方法を説明する図である。
ハードウェア仮想化環境では、NICドライバ41の代わりに仮想NICドライバ34がパケットを中継する。一方、管理者用のOS環境4には、NICドライバ41が稼動しており、仮想NICドライバ34から中継されたパケットを処理する。
委託業務用OS環境3で稼動するメール・Web31や開発ツール32等からネットワークに接続する場合、パケットは仮想NICドライバ34経由でNICドライバ41に転送される。
管理者用OS環境3には、NICドライバ41に転送されるパケットを一定のルールに従ってフィルタリングする機能を持つパケットフィルタ42が稼動する。本実施例では、メール・Web等のネットワークの利用を前提とするアプリケーションはネットワーク接続を許可し、開発ツール32等のネットワーク接続の必要がないアプリケーションは、ネットワーク接続を禁止する構成を示している。ネットワーク接続を禁止するアプリケーションは、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。
【0021】
図5は配布先PC1においてメモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
先の図4では開発ツール32からのネットワーク接続を禁止する実施例を示したが、これだけでは開発ツール32からメール・Web31にデータをコピー後、ネットワークに流出する漏洩経路を防げない。
委託業務用OS環境3で稼動するI/Oフィルタ33は、配付先PC1が備えるメモリやUSB接続の外部装置等のデバイスへのアクセスを禁止する機能を持つ。デバイスへのアクセスを禁止するアプリケーションは、図4の例と同様に、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。
【0022】
一方、委託業務用OS環境3から通常業務用OS環境2、または管理者用OS環境4へのデータの流出は、ハードウェア仮想化の効果によって保護される。すなわち、OS環境そのものが異なるため、異なるOSで稼動するアプリケーション同士はデータを直接共有することができない。
【0023】
図6は配布先PC1においてOSイメージファイルの保護方法を説明する図である。
仮想マシンモニタ5は委託業務用OS環境3等のOS環境をOSイメージファイルから起動する。OSイメージファイルとは、データ、OS、及びアプリケーションを一つの実行イメージのファイルとしてまとめたものである。
通常はディスク61内に暗号化した委託業務用OSイメージ601として格納する。こうすることで、ユーザがディスク61を取り出して別のPCに繋げた場合でも、OSイメージファイルの中のデータを参照することはできない。OSイメージファイルの暗号化の方法として、プラットフォーム毎に一意な暗号鍵を持つTPM(暗号化モジュール)62等を使用する。TPM自体の改ざんが困難な上、データの配布先PC1以外ではデータを復号できなくなるため、二次流出の危険性が減る。
【0024】
改竄検知モジュール43はOSイメージの起動処理として、最初に暗号化した委託業務用OSイメージをTPM62で復号する。復号した委託業務用OSイメージ602の改竄チェック後、仮想マシンモニタ5がOSイメージファイルを起動する。起動中は仮想マシンモニタ5だけがOSイメージファイルにアクセスし、これ以外のプログラムによるアクセスは制限されるため、OSイメージファイルが流出することはない。
【0025】
図7は委託業務用OS環境4を構築するためのインストール媒体の配布方法を示す図である。
委託業務用OS環境4を構築する以前の配布先PC1には、通常業務用OS環境2、及びハードウェア6だけが存在する。
委託業務用OS環境4はインストール媒体13として配布する。インストール媒体13には、実際にインストール作業を行うインストーラ134、仮想マシンモニタ5の実行ファイル131、管理者用OSイメージファイル132、委託業務用OSイメージファイル(平文)ファイル133が格納されている。
【0026】
インストーラ134を実行した場合、仮想マシンモニタ5の実行ファイル131と管理者用OSイメージファイル132はそのままディスク61にコピーされ、委託業務用OSイメージファイル133はTPM62を用いて暗号化した後でディスク61にコピーされる。インストール終了後は配付先PC1を速やかに再起動するため、OSイメージファイルが改竄される恐れはない。
【0027】
図8は配布先PC1からの成果物の回収方法を説明する図である。
前述したように例えばインテルvPro等のハードウェア機能によって、委託元の管理者コンピュータ(以下、管理者PC)12上から配付先PC1の電源をリモート制御によって投入し、管理者用OS環境3を稼動させることが可能であることを前提にする。
委託元の管理者はリモート制御によって回収モジュール44を実行し、委託作業の成果物を回収する。
本実施形態では、成果物の回収方法として、暗号化された委託業務用OSイメージファイル601をTPM62で復号の後、その復号されたOSイメージファイル602全体を管理者PC12に回収する様子を示している。復号されたOSイメージファイル602に含まれる成果物のデータを管理者PC12から取り出して回収することも可能である。
また、成果物を回収した後で、委託元の管理者は任意のタイミングで配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除することが可能である。
【0028】
図9は、配布先PC1におけるハッシュテーブル10の例を示す。ハッシュテーブル10は、ハッシュ値と日付から構成される。
委託業務用OSイメージファイル132の起動時に当該OSイメージファイル132のハッシュ値と最新日付のハッシュ値を比較し、改竄チェックを行う。一方、委託業務用OSイメージファイル132の停止時に当該OSイメージファイル132のハッシュ値を計算し、ハッシュテーブル10に登録する。停止時に登録したハッシュ値と起動時に計算した委託業務用OSイメージファイル132のハッシュ値とが一致していれば、改ざんされていないことになる。
【0029】
図10は、配布先PC1における委託業務用OS環境4が使用するフィルタリングテーブル11の例を示す図である。
フィルタリングテーブル11は、アプリケーションと実行可能ファイルパスから構成される。本テーブル11には、ネットワークへの接続やデバイスへのアクセスを禁止するアプリケーションを登録する。パケットフィルタ42や改竄検知モジュール43は、本テーブル11に登録済みのアプリケーションがネットワークやデバイスにアクセスするのを検知した場合、アクセスを禁止する。
【0030】
次にインストーラ134について説明する。
図11は、インストーラ134の処理手順を示すフローチャートである。
配付先PC1におけるユーザが配付先PC1上でインストーラ134を実行すると(ステップ1101)、インストーラ134は仮想マシンモニタ5の実行ファイル131をディスク6にコピー(ステップ1102)、次いで、管理者用OSイメージファイル132をディスク6にコピーする(ステップ1103)。引き続き、委託業務用OSイメージファイル132を配付先PC1のハードウェアに付属しているTPM62で暗号化し(ステップ1104)、暗号化済みの委託業務用OSイメージファイル601をディスクにコピー(ステップ1105)後、図12に示す配付先PC1の再起動処理を実行する(ステップ1106)。
【0031】
次に、仮想マシンモニタ5について説明する。
図12は仮想マシンモニタ5による配付先PCの起動処理を示すフローチャートである。
配付先PC1の電源をオンにする(ステップ1201)と、最初に仮想マシンモニタ5が起動する(ステップ1202)。
仮想マシンモニタ5は、ハードウェアを仮想化することで、複数のOS環境を同時に稼動させることができる。仮想マシンモニタ5は最初に管理者用OS環境4を起動する(ステップ1203)。次に、リモート操作により配布元の管理者が配付先PC1の電源を入れたか、または配付先PC1のユーザがローカル操作により電源を入れたかをチェックする(ステップ1204)。
ステップ1204で管理者が配付先PC1の電源を入れた場合、管理者用OS環境4で管理者のユーザ認証を行う(ステップ1205)。
【0032】
一方、ステップ1204でローカルユーザが配付先PC1の電源を入れた場合、図14に示す改竄チェック処理(ステップ1206)を実行し、暗号化された委託業務用OSイメージファイル601の改ざんがあるかチェックする(ステップ1207)。
ステップ1207で改ざんが検出された場合、図13に示す配付先PC1の停止処理を実行する(ステップ1208)。しかし、ステップ1207で改ざんがなかった場合、仮想マシンモニタ5は配付先PC1のデバイスを無効化した状態で委託業務用OS環境4の起動(ステップ1209)、通常業務用OS環境2の起動(ステップ1210)に引き続き、必要に応じて委託業務用OS環境3、または、通常業務用OS環境2でユーザ認証を行う(ステップ1211)。
【0033】
図13は、仮想マシンモニタ5による配付先PC1の停止処理手順を示すフローチャートである。
まず、配付先PC1の電源をオフにする(ステップ1301)と、最初にリモート操作により管理者が配付先PC1の電源を入れたか、またはローカルユーザが配付先PC1の電源を入れたか、チェックする(ステップ1302)。
ステップ1302で管理者が配付先PC1の電源を入れた場合、そのままPC1を終了する。一方、ステップ1302でローカルユーザが配付先PC1の電源を入れた場合、終了中のOSが通常業務用OS環境2かチェックする(ステップ1303)。
ステップ1303で終了中のOSが通常業務用OS環境2の場合、そのまま終了する。ステップ1303で終了中のOSが委託業務用OS環境3であった場合、委託業務用OS環境3を停止(ステップ1304)後、図14に示すハッシュ登録処理を実行する(ステップ1305)。
【0034】
次に改竄検知モジュール43について説明する。
図14は、改竄検知モジュール43による暗号化された委託業務用OSイメージファイル601の改竄チェック処理を示すフローチャートである。
改竄検知モジュール43の改竄チェック方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1401)した後、復号したOSイメージ602のハッシュ値を計算(ステップ1402)、図9のハッシュテーブル10の最新のハッシュ値との比較を行い(ステップ1403)、両ハッシュ値が等しい場合はOSイメージ601が改竄されていない、異なる場合はOSイメージ601が改竄されている旨を返す(ステップ1404)。
【0035】
図15は、改竄検知モジュール43によるハッシュ登録処理を示すフローチャートである。
改竄検知モジュール43のハッシュ登録方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1501)した後、その復号されたOSイメージ602のハッシュ値を計算し(ステップ1502)、図9のハッシュテーブル10にハッシュ値を登録する(ステップ1503)。
【0036】
次に回収モジュール44について説明する。
図16は、回収モジュール44によるデータ回収処理を示すフローチャートである。
回収モジュール44のデータ回収方法は、最初に図12に示すフローで管理者PC12を使用している管理者がリモート操作により配布先PC1を起動する(ステップ1601)。引き続き、管理者用OS環境4で回収モジュール44を実行し(ステップ1602)、データの配布先PC1に付属のTPM62でディスク6に保存されている委託業務用OS環境のOSイメージファイル601を復号(ステップ1603)した後、管理者PC12に転送する(ステップ1604)。管理者は最後に配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除する(ステップ1604)。
【0037】
次にパケットフィルタ42について説明する。
図17はパケットフィルタ42によるネットワーク経由のデータ漏洩防止処理のフローチャートである。
パケットフィルタ42は管理者用OS環境3の起動時に実行され、当該OS3が停止するまで常時稼動する。
委託業務用OS環境でメール・Web31や開発ツール32等のアプリケーションを実行し(ステップ1701)、ネットワーク10への通信が発生すると(ステップ1702)、パケットは委託業務用OS環境3の仮想NICドライバ34に転送(ステップ1703)、管理者用OS環境4のNICドライバ41にフォワード(ステップ1704)される。
パケットフィルタ42はNICドライバ41にフォワードされる全てのパケットを監視しているので、パケットを受信する(ステップ1705)と、図10に示したフィルタリングテーブル11を参照し(ステップ1706)、パケットを送信するアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1707)。ステップ1707で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、ネットワーク10への通信を遮断する(ステップ1708)。
ステップ1707で、フィルタリングテーブル11に登録されていない場合、通信を許可する(ステップ1709)。
【0038】
次にI/Oフィルタ33について説明する。
図18は、委託業務用OS環境3のI/Oフィルタ33によるメモリ・デバイス経由のデータ漏洩防止処理のフローチャートである。
I/Oフィルタ33は委託業務用OS環境4の起動時に実行され、当該OS環境4が停止するまで常時稼動する。
I/Oフィルタ33は、委託業務用OS環境3でメール・Web31や開発ツール32等のアプリケーションが配付先PC1のメモリ・デバイスを介してデータをコピーしようとする動作を検知(ステップ1801)した場合、図10に示したフィルタリングテーブル11を参照し(ステップ1802)、データをコピーするアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1803)。
ステップ1803で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、データのコピーを遮断する(ステップ1804)。
ステップ1803で、フィルタリングテーブル11に登録されていない場合、データのコピーを許可する(ステップ1805)。
【図面の簡単な説明】
【0039】
【図1】本発明の一実施の形態を示すシステム構成図である。
【図2】配付元コンピュータまたは管理者用コンピュータにおいて、インストール媒体を生成し、配付先コンピュータにインストールするまでの手順を示す図である。
【図3】配布先コンピュータの構成を示す機能構成図である。
【図4】ネットワーク経由のデータの漏洩防止方法を説明する図である。
【図5】メモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
【図6】OSイメージファイルの保護方法を説明する図である。
【図7】委託業務用OS環境の配布方法を説明する図である。
【図8】成果物の回収方法を説明する図である。
【図9】本発明において用いるハッシュテーブルの例を示す図である。
【図10】本発明において用いるフィルタリングテーブルの例を示す図である。
【図11】委託業務用OS環境等のインストーラの処理を示すフローチャートである。
【図12】仮想マシンモニタによるPC起動処理を示すフローチャートである。
【図13】仮想マシンモニタによるPC停止処理を示すフローチャートである。
【図14】改竄検知モジュールによる改竄チェック処理を示すフローチャートである。
【図15】改竄検知モジュールによるハッシュ登録処理を示すフローチャートである。
【図16】回収モジュールによるデータ回収処理を示すフローチャートである。
【図17】パケットフィルタによるネットワーク経由のデータ漏洩防止処理を示すフローチャートである。
【図18】I/Oフィルタによるメモリ・デバイス経由のデータ漏洩防止処理を示すフローチャートである。
【符号の説明】
【0040】
1…配付先PC
2…通常業務用OS環境
3…委託業務用OS環境
4…管理者用OS環境
5…仮想マシンモニタ
6…ハードウェア
10…ネットワーク
11…配付元コンピュータ
12…配付元の管理者コンピュータ
13…インストール媒体
31…メール・Web
32…開発ツール
33…I/Oフィルタ
34…仮想NICドライバ
35…OS
41…NICドライバ
42…パケットフィルタ
43…改竄検知モジュール
44…回収モジュール
45…セキュアOS
62…TPM(暗号化モジュール)
131…仮想マシンモニタ実行ファイル
132…管理者用OSイメージファイル
133…委託業務用OSイメージファイル
【技術分野】
【0001】
本発明は、データの意図しない第三者への二次流出を防止する方法及びシステムに関する。
【背景技術】
【0002】
従来、組織外部への情報漏洩防止の実現方法として、例えば下記特許文献1及び特許文献2に記載のものが知られている。
下記特許文献1に記載のものは、オペレーティングシステム(OS)が発行した命令のうち、ストレージや入出力インタフェースのデバイスドライバに対して発行された読み込み命令および書き込み命令のうち少なくとも一方をフィルタリングすることで、ストレージデバイスに対するアクセスを制限でき、不正なデータの持ち出しや管理者が意図しないソフトウェアのインストールを抑制するようにしたものである。
【0003】
また、下記特許文献2に記載のものは、USB接続の外部装置を用いてPC内部に格納されたデータを暗号化し、データへのアクセスは、当該装置を用いてデータを復号した後で行うようにし、当該装置の所有者だけがデータにアクセス可能にし、使用権限のない第三者によるデータの使用を防止するものである。
【0004】
【特許文献1】特開2004−362516号公報
【特許文献2】特開2004−318720号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記特許文献1に記載の技術は、データの配布先パーソナルコンピュータ(以下、配布先PC)にアクセス制御のソフトウェアをインストールする必要がある。従って、配布先PCの利用環境を変更する必要が生じる。
また、配布データ以外のアクセス時にもフィルタリング機能が稼動するため、PCのオーバヘッドも増大する。
【0006】
一方、データの配布者が配布先PCのアクセス制御ポリシーを管理することは事実上不可能である。PC環境は多種多様であり、アクセス制御ソフトウェアだけで汎用的なアクセス制御を実現しようとすれば、配布先PCの使い勝手に多大な影響を及ぼすことになることも問題である。
【0007】
上記特許文献2に記載の技術は、USB接続の外部装置の所有者がデータを復号した後に、第三者に不正に供与することができるため、二次流出防止の効果を見込めない。またUSB接続の外部装置は着脱可能であるため、データの使用者を一意に規定することができない。特に、USB接続の外部装置の複製や第三者への供与によって漏洩防止効果が無力化される。
すなわち、上記特許文献1や特許文献2に示される従来技術では、データの配布先から第三者への二次流出を防止できないという問題がある。
【0008】
本発明の目的は、データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供することにある。特に、ある組織が別の組織に開発を委託するような場合、委託先の組織が開発した成果物の第三者への漏洩防止や、成果物の安全な回収を実現することができるデータの二次流出防止方法およびシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するために、本発明に係るデータの二次流出防止方法は、データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
また、前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【0010】
また、本発明に係るデータの二次流出防止システムは、データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とする。
また、前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第2の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第3の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。
【発明の効果】
【0011】
本発明によれば、データの配布先コンピュータには配布データ、OS、データ閲覧・編集のためのアプリケーションを含めた配布データ処理専用の実行環境を構築するためのイメージファイルを配布し、このイメージファイルを配布先コンピュータにインストールし、配布データを配布データ処理専用の実行環境で処理するため、配布先コンピュータの元々の利用環境の変更を不要にできる。
この結果、配布先コンピュータにおいて、配布データ処理時の使い勝手は制限されるが、元々の配布先コンピュータの使い勝手には影響が出ない。
一方、配布データの使用は、配布データ処理専用の実行環境に限られるため、配布データ以外のアクセス時に不要なフィルタリング機能が稼動するのを回避できる。
また、ハードウェア仮想化の仕組を利用し、OSレベルで実行環境がパーティショニング(隔離)されるため、配布データを元々の配布先コンピュータの環境にメモリやハードディスク等のデバイスを介してコピーすることはできない。
ハードウェアが仮想化されているため、デバイスへのI/Oをフィルタリングするようなアクセス制御を実現した場合でも、元々の配布先コンピュータのデバイスに影響を及ぼさない。
また、配布先コンピュータに内蔵の暗号化モジュールを利用するため、イメージファイルの実行を配布先コンピュータに限定することができ、二次流出を防止できる。
暗号化モジュールはイメージファイルの改竄検知にも利用できる。また、、暗号化モジュールはハードウェアに内蔵され、着脱不可能であるため、USB接続の外部装置のように、複製や第三者への供与によって漏洩防止効果を無力化する攻撃も回避できる。
【発明を実施するための最良の形態】
【0012】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
この実施形態のシステムは、配布先コンピュータ1、配布元コンピュータ11、配付元の管理者コンピュータ12とから構成され、これらはネットワーク10で接続されている。
配付先コンピュータ1は、配付元コンピュータ11から配付された配付データに基づき所定のデータ処理を行う委託先のコンピュータであり、配付データの処理結果である成果
物のデータは管理者コンピュータ12で回収される。
なお、ここでは、配付元に管理者コンピュータ12と配布元コンピュータの2つを設置している例を示しているが、いずれか一方だけであってもよい。
委託元から委託先のコンピュータ1に対して配付データを配付(送信)する場合、配付先コンピュータ1から第三者に配付データが流出したり、成果物のデータが第三者に流出することを防止するために、配付元コンピュータ11または管理者コンピュータにおいて、配付先コンピュータ1内に委託業務専用の実行環境、管理者用の実行環境を配付先コンピュータ1の通常処理の実行環境とは別に構築するためのインストール媒体13を作成し、配付先コンピュータ1に配付し、インストールする。
【0013】
インストール媒体13には、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134が記憶される。
仮想マシンモニタ実行ファイル131は、管理者用OS、委託業務用OSの実行環境を配付先コンピュータ1内に仮想化して構築するための仮想マシンモニタを作成させるものである。
管理者用OSイメージファイル(平文)132は、配付先コンピュータ1内に管理者用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
委託業務用OSイメージファイル(平文)133は、配付先コンピュータ1内に委託業務用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
ここで、管理者用OS、委託業務用OSの実行環境を仮想化して構築する技術は、例えばインテルvProプロセッサー・テクノロジーによって実現されるものである。
このインテルvProプロセッサー・テクノロジーについては、インターネット上で下記のURLに公開されているので詳細な説明は省略する。
vProホワイトペーパー
http://www.intel.co.jp/jp/business-pc/collaterals.htm#WhitePaper
vProプロセッサー・テクノロジー
http://download.intel.com/jp/business/japan/pdf/311710-003JA.pdf
【0014】
また、委託業務用OSイメージファイルには配付データを処理するためのアプリケーションプログラムが含まれている。そして、配付先コンピュータ1内に構築された委託業務用OSの実行環境は、配付先コンピュータ1が内蔵する暗号化モジュールによって暗号化されてインストールされることにより、他のOS環境から隔離され、配付先の利用者が改ざん不可能なようになっている。
委託業務用OSの実行環境を暗号化モジュールによって隔離する技術は、例えば下記のURLに公開されているように、インテル社のTPM(Trusted Platform Module)といった技術で実現される。
特許庁技術解説(TPM)
http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijyutsu/info_sec_tech/f-1-2.html
【0015】
図2は、配付元コンピュータ11または管理者用コンピュータ12において、インストール媒体13を生成し、配付先コンピュータ1にインストールするまでの手順を示す図である。
図2において、まず、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134を含んだインストール媒体13を作成し(ステップ201)、配布先コンピュータ1に送信(配布)し(ステップ202)、次に配布先コンピュータ1に、インストール媒体13から仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133をインストーラ134を実行することによってインストールする(ステップ203)。
【0016】
図3は、配付先コンピュータ1の詳細構成を示す機能ブロック図であり、配付先コンピュータ1(以下、配付先PC)には、ハードウェア6が内蔵されており、委託先企業の従業員が元々利用している通常業務用のOS環境2として、OAツール21やOS(オペレーティングシステム)22等がインストールされている。
本発明のデータの配布方法として、データの配布先PC1には、委託業務用のOS環境3、管理者用のOS環境4、仮想マシンモニタ5をインストールしてもらう必要がある。
【0017】
委託業務用のOS環境3には、メール・Web31や開発ツール32等、データを安全に使用するためのツール群を予めインストールしておく。こうすることで、データの配布者が意図しないソフトウェアのインストールやウィルスによる被害の危険性を減らすことができる。他にも、メモリ・デバイス経由のデータ漏洩防止を実現するI/Oフィルタ33、ハードウェア仮想化環境でネットワークの利用を可能にする仮想NICドライバ34、OS35を予めインストールしておく。
【0018】
また、管理者用のOS環境には、NICドライバ41、ネットワーク経由のデータ漏洩防止を実現するパケットフィルタ42、委託業務用のOS環境のイメージファイルの改ざんを検査するための改竄検知モジュール43、委託作業の成果物のデータを安全に回収するための回収モジュール44を予めインストールしておく。OSはこれらのプログラムが動作するために必要な最小限の機能だけが稼動し、インテルvPro等のハードウェアの機能によって、利用者からは直接操作することができないことが保証されたセキュアOS45であることを前提にする。
【0019】
仮想マシンモニタ5は、複数のOS環境を同時に実行することを可能にするためのソフトウェアであり、個々のOS環境2,3,4からアクセスできるハードウェアは別々の構成として認識される。
【0020】
図4は、図3の構成の配布先PC1においてネットワーク経由のデータの漏洩防止方法を説明する図である。
ハードウェア仮想化環境では、NICドライバ41の代わりに仮想NICドライバ34がパケットを中継する。一方、管理者用のOS環境4には、NICドライバ41が稼動しており、仮想NICドライバ34から中継されたパケットを処理する。
委託業務用OS環境3で稼動するメール・Web31や開発ツール32等からネットワークに接続する場合、パケットは仮想NICドライバ34経由でNICドライバ41に転送される。
管理者用OS環境3には、NICドライバ41に転送されるパケットを一定のルールに従ってフィルタリングする機能を持つパケットフィルタ42が稼動する。本実施例では、メール・Web等のネットワークの利用を前提とするアプリケーションはネットワーク接続を許可し、開発ツール32等のネットワーク接続の必要がないアプリケーションは、ネットワーク接続を禁止する構成を示している。ネットワーク接続を禁止するアプリケーションは、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。
【0021】
図5は配布先PC1においてメモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
先の図4では開発ツール32からのネットワーク接続を禁止する実施例を示したが、これだけでは開発ツール32からメール・Web31にデータをコピー後、ネットワークに流出する漏洩経路を防げない。
委託業務用OS環境3で稼動するI/Oフィルタ33は、配付先PC1が備えるメモリやUSB接続の外部装置等のデバイスへのアクセスを禁止する機能を持つ。デバイスへのアクセスを禁止するアプリケーションは、図4の例と同様に、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。
【0022】
一方、委託業務用OS環境3から通常業務用OS環境2、または管理者用OS環境4へのデータの流出は、ハードウェア仮想化の効果によって保護される。すなわち、OS環境そのものが異なるため、異なるOSで稼動するアプリケーション同士はデータを直接共有することができない。
【0023】
図6は配布先PC1においてOSイメージファイルの保護方法を説明する図である。
仮想マシンモニタ5は委託業務用OS環境3等のOS環境をOSイメージファイルから起動する。OSイメージファイルとは、データ、OS、及びアプリケーションを一つの実行イメージのファイルとしてまとめたものである。
通常はディスク61内に暗号化した委託業務用OSイメージ601として格納する。こうすることで、ユーザがディスク61を取り出して別のPCに繋げた場合でも、OSイメージファイルの中のデータを参照することはできない。OSイメージファイルの暗号化の方法として、プラットフォーム毎に一意な暗号鍵を持つTPM(暗号化モジュール)62等を使用する。TPM自体の改ざんが困難な上、データの配布先PC1以外ではデータを復号できなくなるため、二次流出の危険性が減る。
【0024】
改竄検知モジュール43はOSイメージの起動処理として、最初に暗号化した委託業務用OSイメージをTPM62で復号する。復号した委託業務用OSイメージ602の改竄チェック後、仮想マシンモニタ5がOSイメージファイルを起動する。起動中は仮想マシンモニタ5だけがOSイメージファイルにアクセスし、これ以外のプログラムによるアクセスは制限されるため、OSイメージファイルが流出することはない。
【0025】
図7は委託業務用OS環境4を構築するためのインストール媒体の配布方法を示す図である。
委託業務用OS環境4を構築する以前の配布先PC1には、通常業務用OS環境2、及びハードウェア6だけが存在する。
委託業務用OS環境4はインストール媒体13として配布する。インストール媒体13には、実際にインストール作業を行うインストーラ134、仮想マシンモニタ5の実行ファイル131、管理者用OSイメージファイル132、委託業務用OSイメージファイル(平文)ファイル133が格納されている。
【0026】
インストーラ134を実行した場合、仮想マシンモニタ5の実行ファイル131と管理者用OSイメージファイル132はそのままディスク61にコピーされ、委託業務用OSイメージファイル133はTPM62を用いて暗号化した後でディスク61にコピーされる。インストール終了後は配付先PC1を速やかに再起動するため、OSイメージファイルが改竄される恐れはない。
【0027】
図8は配布先PC1からの成果物の回収方法を説明する図である。
前述したように例えばインテルvPro等のハードウェア機能によって、委託元の管理者コンピュータ(以下、管理者PC)12上から配付先PC1の電源をリモート制御によって投入し、管理者用OS環境3を稼動させることが可能であることを前提にする。
委託元の管理者はリモート制御によって回収モジュール44を実行し、委託作業の成果物を回収する。
本実施形態では、成果物の回収方法として、暗号化された委託業務用OSイメージファイル601をTPM62で復号の後、その復号されたOSイメージファイル602全体を管理者PC12に回収する様子を示している。復号されたOSイメージファイル602に含まれる成果物のデータを管理者PC12から取り出して回収することも可能である。
また、成果物を回収した後で、委託元の管理者は任意のタイミングで配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除することが可能である。
【0028】
図9は、配布先PC1におけるハッシュテーブル10の例を示す。ハッシュテーブル10は、ハッシュ値と日付から構成される。
委託業務用OSイメージファイル132の起動時に当該OSイメージファイル132のハッシュ値と最新日付のハッシュ値を比較し、改竄チェックを行う。一方、委託業務用OSイメージファイル132の停止時に当該OSイメージファイル132のハッシュ値を計算し、ハッシュテーブル10に登録する。停止時に登録したハッシュ値と起動時に計算した委託業務用OSイメージファイル132のハッシュ値とが一致していれば、改ざんされていないことになる。
【0029】
図10は、配布先PC1における委託業務用OS環境4が使用するフィルタリングテーブル11の例を示す図である。
フィルタリングテーブル11は、アプリケーションと実行可能ファイルパスから構成される。本テーブル11には、ネットワークへの接続やデバイスへのアクセスを禁止するアプリケーションを登録する。パケットフィルタ42や改竄検知モジュール43は、本テーブル11に登録済みのアプリケーションがネットワークやデバイスにアクセスするのを検知した場合、アクセスを禁止する。
【0030】
次にインストーラ134について説明する。
図11は、インストーラ134の処理手順を示すフローチャートである。
配付先PC1におけるユーザが配付先PC1上でインストーラ134を実行すると(ステップ1101)、インストーラ134は仮想マシンモニタ5の実行ファイル131をディスク6にコピー(ステップ1102)、次いで、管理者用OSイメージファイル132をディスク6にコピーする(ステップ1103)。引き続き、委託業務用OSイメージファイル132を配付先PC1のハードウェアに付属しているTPM62で暗号化し(ステップ1104)、暗号化済みの委託業務用OSイメージファイル601をディスクにコピー(ステップ1105)後、図12に示す配付先PC1の再起動処理を実行する(ステップ1106)。
【0031】
次に、仮想マシンモニタ5について説明する。
図12は仮想マシンモニタ5による配付先PCの起動処理を示すフローチャートである。
配付先PC1の電源をオンにする(ステップ1201)と、最初に仮想マシンモニタ5が起動する(ステップ1202)。
仮想マシンモニタ5は、ハードウェアを仮想化することで、複数のOS環境を同時に稼動させることができる。仮想マシンモニタ5は最初に管理者用OS環境4を起動する(ステップ1203)。次に、リモート操作により配布元の管理者が配付先PC1の電源を入れたか、または配付先PC1のユーザがローカル操作により電源を入れたかをチェックする(ステップ1204)。
ステップ1204で管理者が配付先PC1の電源を入れた場合、管理者用OS環境4で管理者のユーザ認証を行う(ステップ1205)。
【0032】
一方、ステップ1204でローカルユーザが配付先PC1の電源を入れた場合、図14に示す改竄チェック処理(ステップ1206)を実行し、暗号化された委託業務用OSイメージファイル601の改ざんがあるかチェックする(ステップ1207)。
ステップ1207で改ざんが検出された場合、図13に示す配付先PC1の停止処理を実行する(ステップ1208)。しかし、ステップ1207で改ざんがなかった場合、仮想マシンモニタ5は配付先PC1のデバイスを無効化した状態で委託業務用OS環境4の起動(ステップ1209)、通常業務用OS環境2の起動(ステップ1210)に引き続き、必要に応じて委託業務用OS環境3、または、通常業務用OS環境2でユーザ認証を行う(ステップ1211)。
【0033】
図13は、仮想マシンモニタ5による配付先PC1の停止処理手順を示すフローチャートである。
まず、配付先PC1の電源をオフにする(ステップ1301)と、最初にリモート操作により管理者が配付先PC1の電源を入れたか、またはローカルユーザが配付先PC1の電源を入れたか、チェックする(ステップ1302)。
ステップ1302で管理者が配付先PC1の電源を入れた場合、そのままPC1を終了する。一方、ステップ1302でローカルユーザが配付先PC1の電源を入れた場合、終了中のOSが通常業務用OS環境2かチェックする(ステップ1303)。
ステップ1303で終了中のOSが通常業務用OS環境2の場合、そのまま終了する。ステップ1303で終了中のOSが委託業務用OS環境3であった場合、委託業務用OS環境3を停止(ステップ1304)後、図14に示すハッシュ登録処理を実行する(ステップ1305)。
【0034】
次に改竄検知モジュール43について説明する。
図14は、改竄検知モジュール43による暗号化された委託業務用OSイメージファイル601の改竄チェック処理を示すフローチャートである。
改竄検知モジュール43の改竄チェック方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1401)した後、復号したOSイメージ602のハッシュ値を計算(ステップ1402)、図9のハッシュテーブル10の最新のハッシュ値との比較を行い(ステップ1403)、両ハッシュ値が等しい場合はOSイメージ601が改竄されていない、異なる場合はOSイメージ601が改竄されている旨を返す(ステップ1404)。
【0035】
図15は、改竄検知モジュール43によるハッシュ登録処理を示すフローチャートである。
改竄検知モジュール43のハッシュ登録方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1501)した後、その復号されたOSイメージ602のハッシュ値を計算し(ステップ1502)、図9のハッシュテーブル10にハッシュ値を登録する(ステップ1503)。
【0036】
次に回収モジュール44について説明する。
図16は、回収モジュール44によるデータ回収処理を示すフローチャートである。
回収モジュール44のデータ回収方法は、最初に図12に示すフローで管理者PC12を使用している管理者がリモート操作により配布先PC1を起動する(ステップ1601)。引き続き、管理者用OS環境4で回収モジュール44を実行し(ステップ1602)、データの配布先PC1に付属のTPM62でディスク6に保存されている委託業務用OS環境のOSイメージファイル601を復号(ステップ1603)した後、管理者PC12に転送する(ステップ1604)。管理者は最後に配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除する(ステップ1604)。
【0037】
次にパケットフィルタ42について説明する。
図17はパケットフィルタ42によるネットワーク経由のデータ漏洩防止処理のフローチャートである。
パケットフィルタ42は管理者用OS環境3の起動時に実行され、当該OS3が停止するまで常時稼動する。
委託業務用OS環境でメール・Web31や開発ツール32等のアプリケーションを実行し(ステップ1701)、ネットワーク10への通信が発生すると(ステップ1702)、パケットは委託業務用OS環境3の仮想NICドライバ34に転送(ステップ1703)、管理者用OS環境4のNICドライバ41にフォワード(ステップ1704)される。
パケットフィルタ42はNICドライバ41にフォワードされる全てのパケットを監視しているので、パケットを受信する(ステップ1705)と、図10に示したフィルタリングテーブル11を参照し(ステップ1706)、パケットを送信するアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1707)。ステップ1707で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、ネットワーク10への通信を遮断する(ステップ1708)。
ステップ1707で、フィルタリングテーブル11に登録されていない場合、通信を許可する(ステップ1709)。
【0038】
次にI/Oフィルタ33について説明する。
図18は、委託業務用OS環境3のI/Oフィルタ33によるメモリ・デバイス経由のデータ漏洩防止処理のフローチャートである。
I/Oフィルタ33は委託業務用OS環境4の起動時に実行され、当該OS環境4が停止するまで常時稼動する。
I/Oフィルタ33は、委託業務用OS環境3でメール・Web31や開発ツール32等のアプリケーションが配付先PC1のメモリ・デバイスを介してデータをコピーしようとする動作を検知(ステップ1801)した場合、図10に示したフィルタリングテーブル11を参照し(ステップ1802)、データをコピーするアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1803)。
ステップ1803で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、データのコピーを遮断する(ステップ1804)。
ステップ1803で、フィルタリングテーブル11に登録されていない場合、データのコピーを許可する(ステップ1805)。
【図面の簡単な説明】
【0039】
【図1】本発明の一実施の形態を示すシステム構成図である。
【図2】配付元コンピュータまたは管理者用コンピュータにおいて、インストール媒体を生成し、配付先コンピュータにインストールするまでの手順を示す図である。
【図3】配布先コンピュータの構成を示す機能構成図である。
【図4】ネットワーク経由のデータの漏洩防止方法を説明する図である。
【図5】メモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
【図6】OSイメージファイルの保護方法を説明する図である。
【図7】委託業務用OS環境の配布方法を説明する図である。
【図8】成果物の回収方法を説明する図である。
【図9】本発明において用いるハッシュテーブルの例を示す図である。
【図10】本発明において用いるフィルタリングテーブルの例を示す図である。
【図11】委託業務用OS環境等のインストーラの処理を示すフローチャートである。
【図12】仮想マシンモニタによるPC起動処理を示すフローチャートである。
【図13】仮想マシンモニタによるPC停止処理を示すフローチャートである。
【図14】改竄検知モジュールによる改竄チェック処理を示すフローチャートである。
【図15】改竄検知モジュールによるハッシュ登録処理を示すフローチャートである。
【図16】回収モジュールによるデータ回収処理を示すフローチャートである。
【図17】パケットフィルタによるネットワーク経由のデータ漏洩防止処理を示すフローチャートである。
【図18】I/Oフィルタによるメモリ・デバイス経由のデータ漏洩防止処理を示すフローチャートである。
【符号の説明】
【0040】
1…配付先PC
2…通常業務用OS環境
3…委託業務用OS環境
4…管理者用OS環境
5…仮想マシンモニタ
6…ハードウェア
10…ネットワーク
11…配付元コンピュータ
12…配付元の管理者コンピュータ
13…インストール媒体
31…メール・Web
32…開発ツール
33…I/Oフィルタ
34…仮想NICドライバ
35…OS
41…NICドライバ
42…パケットフィルタ
43…改竄検知モジュール
44…回収モジュール
45…セキュアOS
62…TPM(暗号化モジュール)
131…仮想マシンモニタ実行ファイル
132…管理者用OSイメージファイル
133…委託業務用OSイメージファイル
【特許請求の範囲】
【請求項1】
データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
【請求項2】
前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項1に記載のデータの二次流出防止方法。
【請求項3】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項1または2に記載のデータの二次流出防止方法。
【請求項4】
前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項1〜3のいずれか一項に記載のデータの二次流出防止方法。
【請求項5】
データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止システム。
【請求項6】
前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項5に記載のデータの二次流出防止システム。
【請求項7】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項5または6に記載のデータの二次流出防止システム。
【請求項8】
前記第1の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第2の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第3の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項5〜7のいずれか一項に記載のデータの二次流出防止システム。
【請求項1】
データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
【請求項2】
前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項1に記載のデータの二次流出防止方法。
【請求項3】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項1または2に記載のデータの二次流出防止方法。
【請求項4】
前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項1〜3のいずれか一項に記載のデータの二次流出防止方法。
【請求項5】
データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止システム。
【請求項6】
前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項5に記載のデータの二次流出防止システム。
【請求項7】
前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項5または6に記載のデータの二次流出防止システム。
【請求項8】
前記第1の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第2の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第3の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする請求項5〜7のいずれか一項に記載のデータの二次流出防止システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−26046(P2009−26046A)
【公開日】平成21年2月5日(2009.2.5)
【国際特許分類】
【出願番号】特願2007−188164(P2007−188164)
【出願日】平成19年7月19日(2007.7.19)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成21年2月5日(2009.2.5)
【国際特許分類】
【出願日】平成19年7月19日(2007.7.19)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]