医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラム
【課題】外部出力された監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムである。
【解決手段】医用装置1は、入力装置5による操作の監査ログファイルを作成する監査ログファイル作成部10と、監査ログファイルを保存する監査ログ記憶部11と、監査ログファイルを外部メディア7へ出力するためのメディア保存部3と、監査ログ記憶部11から取得した監査ログファイルを外部メディア7へ出力した場合に監査ログファイルの完全性を検証するための完全性検証情報13を作成し、メディア保存部3に監査ログ記憶部11から取得した監査ログファイルおよび完全性検証情報を与えるバックアップ制御部12とを有する。
【解決手段】医用装置1は、入力装置5による操作の監査ログファイルを作成する監査ログファイル作成部10と、監査ログファイルを保存する監査ログ記憶部11と、監査ログファイルを外部メディア7へ出力するためのメディア保存部3と、監査ログ記憶部11から取得した監査ログファイルを外部メディア7へ出力した場合に監査ログファイルの完全性を検証するための完全性検証情報13を作成し、メディア保存部3に監査ログ記憶部11から取得した監査ログファイルおよび完全性検証情報を与えるバックアップ制御部12とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監査ログを記録することにより患者情報等の個人情報のセキュリティを管理する機能を備えた医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに係り、特に外部メディアに出力される監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに関する。
【背景技術】
【0002】
従来、超音波診断装置、X線CT(computed tomography)装置、MRI(magnetic resonance imaging)等の画像診断装置やHIS(hospital information system),RIS(radiology information system)、PACS(picture archiving and communication system)等の医用情報システムといった医用装置においては、病院等の各医療機関が定めるセキュリティポリシーやプライバシーポリシーに従って、患者情報の保護を実現するために操作の監査ログが記録されている。
【0003】
監査ログには、医用装置に対する設定の変更、患者情報等の個人情報に対するアクセスあるいはログイン/ログオフ操作に関する情報等の詳細な情報が記録される。このような監査ログには、医用装置内におけるデータの完全性を確保するために、すなわちデータが正しいことを証明するためにメッセージダイジェストを作成する技術が用いられている(例えば非特許文献1参照)。この技術では、ハッシュ関数を使った演算によりデータから特徴的なパターンを有する固定長のメッセージダイジェストが生成され、生成されたメッセージダイジェストは必要に応じて暗号化されて完全性検査に利用される。
【0004】
そして、医用装置において生成された監査ログファイルはある一定期間またはある一定容量ごとに医用装置内に保存されるが、適宜、バックアップのために外部メディアや記憶装置に出力されて管理される。そして、セキュリティ管理者により、監査ログファイルを用いて個人情報に対する不正アクセスの有無が監査される。
【0005】
また、近年では、監査ログを解析する手段の1つとして、ログ解析ソフトが市販されている(例えば非特許文献2および非特許文献3)。
【非特許文献1】デジタル用語辞典2001−2002年版、936頁、日系BP社出版局
【非特許文献2】BOM(登録商標) for Windows(登録商標)、[online],セイ・テクノロジーズ株式会社(SAY Technologies) 製品情報、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/product/01.html>
【非特許文献3】監視ソリューション、Windows(登録商標)サーバー、[online],セイ・テクノロジーズ株式会社(SAY Technologies)、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/sol/01.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の医用装置におけるセキュリティ管理技術では、監査ログを外部メディアに保存する際に、予め医用装置内において保存された監査ログファイルが変更を加えることなく直接をそのまま外部メディアに出力される。このため、一定時間経過後にある外部メディア内の監査ログファイルを参照した場合に、監査ログファイルの完全性を確認することができないという問題がある。
【0007】
例えば医用装置において生成された時の監査ログファイルが何らかの影響で破壊されていた場合や、第三者によって改竄されていたとしてもそのような事実を検知することができない。つまり外部メディアに保存された監査ログファイルがオリジナルのものであるかどうかを確認することができない。
【0008】
本発明はかかる従来の事情に対処するためになされたものであり、外部出力された監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る医用装置は、上述の目的を達成するために、請求項1に記載したように、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、前記監査ログファイルを保存する監査ログ記憶部と、前記監査ログファイルを外部メディアへ出力するためのメディア保存部と、前記監査ログ記憶部から取得した前記監査ログファイルを前記外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記メディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部とを有することを特徴とするものである。
【0010】
また、本発明に係る監査ログファイル出力システムは、上述の目的を達成するために、請求項11に記載したように、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、前記監査ログファイルを保存する監査ログ記憶部と、前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部とを有することを特徴とするものである。
【0011】
また、本発明に係る監査ログファイル出力プログラムは、上述の目的を達成するために、請求項12に記載したように、コンピュータを、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部、前記監査ログファイルを保存する監査ログ記憶部および前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部として機能させることを特徴とするものである。
【発明の効果】
【0012】
本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムにおいては、外部出力された監査ログファイルの完全性を検証することができる。
【発明を実施するための最良の形態】
【0013】
本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムの実施の形態について添付図面を参照して説明する。
【0014】
図1は本発明に係る医用装置の実施の形態を示す機能ブロック図である。
【0015】
医用装置1は、操作端末2およびメディア保存部3を備え、監査ログファイル出力システム4が搭載される。尚、医用装置1としては、超音波診断装置、X線CT装置、MRI等の画像診断装置や検体装置並びにHIS,RIS、PACS等の医用情報システムとすることが可能であり、医用装置1に応じた機能を備えるための構成要素が設けられるが、ここでは省略する。操作端末2には、情報を入力して操作するための入力装置5および表示装置6が設けられる。
【0016】
また、メディア保存部3は、監査ログファイル出力システム4から受けた情報を外部メディア7に出力する機能を有する。外部メディア7は、書き込み可能な記憶媒体であり、具体例としてUSB(Universal Serial Bus)(登録商標)メモリ、IC(Integrated Circuit)カード、CD(Compact Disc)、DVD(Digital Versatile Disc)、HDD(Hard Disk Drive)等の記憶媒体が挙げられる。そして、外部メディア7に保存された情報はユーザ端末8に読み込ませて参照することができる。ユーザ端末8は、任意の医用装置の操作端末の他、一般のPC(Personal Computer)を用いることもできる。
【0017】
監査ログファイル出力システム4は、例えばコンピュータに監査ログファイル出力プログラムを読み込ませて構築することができるが、監査ログファイル出力システム4の全部または一部を回路により構築してもよい。そして、監査ログファイル出力システム4には、医用装置1における監査ログファイルを作成して外部メディア7に出力する機能が備えられる。そのために監査ログファイル出力システム4は、操作データ収集部9、監査ログファイル作成部10、監査ログ記憶部11およびバックアップ制御部12を具備している。
【0018】
操作データ収集部9は、ユーザによる入力装置5の操作情報を収集する機能と、収集した操作情報を監査ログファイル作成部10に逐一与える機能を有する。
【0019】
監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の操作情報から監査ログファイルを作成する機能と、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる機能を有する。例えば、監査ログファイルには、ハッシュ関数を使った演算により操作情報から生成された特徴的なパターンを有する固定長のメッセージダイジェストが完全性の検証のために付加される。
【0020】
そこで、監査ログファイル作成部10は、例えば操作データ記録部10aとメッセージダイジェスト付加部10bとを備えて構成することができる。この場合、操作データ記録部10aには、操作データ収集部9から操作情報を取得して記録する機能が備えられ、メッセージダイジェスト付加部10bには、操作データ記録部10aから一定期間のまたは一定の容量の操作情報を読み込んでメッセージダイジェストを付加することにより監査ログファイルを作成する機能が備えられる。
【0021】
メッセージダイジェストは、ある一定期間の操作データをまとめた1つの監査ログファイルに対して1つ付加されるだけでなく、入力装置5の1つ1つの各操作データや、1日分の操作データ、一週間分の操作データというように、1つの監査ログファイル内の操作データを複数の任意の大きさの単位に区切って、各単位それぞれに対して付加することも可能である。これにより、例えば監査ログファイル内の操作データのある一部分の内容が改竄された場合に、改竄がどのタイミングでなされたものかを特定することが可能となり、さらに同一の監査ログファイル内で改竄の影響を受けていない部分の操作データについては問題なく扱うことができる。
【0022】
ただし、監査ログファイルを作成する際、ハッシュ関数を用いてメッセージダイジェストを作成するという手段に限らず、例えばチェックサムやデジタルタイムスタンプといったファイルの完全性の確認を目的とする同等の他の代替手法を用いて監査ログファイルの完全性を検証するための任意の監査ログ完全性検証情報を作成するように監査ログファイル作成部10を構成することができる。
【0023】
また、必要に応じて監査ログファイルの所望の部位を暗号化することができる。例えば、本文の暗号化したり、本文中に書き込まれた時刻情報等の一部の内容を隠蔽することもできる。これにより、監査ログファイルの改竄の危険性を低減することができる。
【0024】
監査ログ記憶部11は、監査ログファイル作成部10において作成された監査ログファイルを監査ログ完全性検証情報とともに保存する機能を有する。
【0025】
バックアップ制御部12は、監査ログファイルの外部メディア7への出力要求を入力装置5から受けた場合に、監査ログ記憶部11に保存されている監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる一方、外部メディア7に出力すべき監査ログファイルの指示を入力装置5から受ける機能と、入力装置5の操作により指定された監査ログファイルを監査ログ記憶部11から取得してメッセージダイジェスト等の監査ログ完全性検証情報の確認により監査ログファイル並びに各操作データの完全性を検証し、完全性が確認された場合には取得した監査ログファイルの完全性を確認した旨の完全性検証情報を作成して監査ログファイルとともにメディア保存部3に与える機能を有する。
【0026】
一方で、逆にメッセージダイジェスト等の監査ログ完全性検証情報の確認により、監査ログファイル並びに操作データの完全性が確認できなかった場合には、前記したとおり、該当する監査ログファイル内の操作データ並びに該当する期間および操作を特定することができる。例えば、入力装置5からの1つ1つの操作データに対してメッセージダイジェストを逐一付加した場合、どの操作データが改竄されたものであるかが特定可能である。同様に、1日分の操作データに対してメッセージダイジェストを逐一付加した場合、データ改竄の疑いがある期間(ここでは該当する1日分の操作データ)が特定できる。
【0027】
そこで、バックアップ制御部12には、監査ログファイル並びに操作データの完全性が確認できなかった場合には、該当する監査ログファイル並びに該当する期間および操作を特定する機能と、特定した監査ログファイル並びに期間および操作に関する情報を表示装置6に与えて表示させることによりユーザへ通知する機能を備えることもできる。
【0028】
さらに、監査ログファイル内の完全性が確認できなかった部分について、「完全性を確認できなかった」旨のメッセージを監査ログファイルに付加したり、完全性が確認できなかった監査ログファイルを完全性が確認できた監査ログファイルから識別できるように、監査ログファイルのファイル名を通常とは異なる特別なファイル名に変更するといった処理を行えるようにバックアップ制御部12を構成することができる。つまり、バックアップ制御部12に、完全性が確認できなかった監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加する機能を設けることができる。
【0029】
そして、監査ログファイルにメッセージダイジェストが付加されている場合には、監査ログファイルの完全性検証処理の後、監査ログファイルの生成の際に用いた秘密の同一または別の文字列を用いて再びハッシュ関数を適用することにより作成された同一または別のメッセージダイジェストを利用して監査ログファイルに対する完全性の検証が可能な完全性検証情報を作成することができる。
【0030】
このようにバックアップ制御部12は、監査ログファイルの完全性を確認するための完全性検証情報を作成する機能を有する。そして、このようなバックアップ制御部12は、監査ログファイルを外部メディア7に出力するためのバックアップアプリケーションとしてコンピュータ上に実装することができる。
【0031】
尚、監査ログファイルの所望の部位が暗号化された場合には、バックアップ制御部12(バックアップアプリケーション)には、暗号化された部位を解読する機能が具備される。
【0032】
ここで、バックアップ制御部12により作成される完全性検証情報は、ファイル形式で作成された確認用アプリケーション(ソフトウェア)とすることができる。確認用アプリケーションは、単一の外部メディア7に複数の監査ログファイルが出力される場合には、共通に1つ作成され、各監査ログファイルの完全性を確認するための各種機能を設けることが可能である。例えばユーザ端末8に確認用アプリケーション13を読み込ませた場合に、ユーザ端末8を監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能させることができる。ただし、ユーザ端末8は医用装置1と同様に入力装置8aおよび表示装置8bを備え、医用装置1の操作端末2に相当する機能を具備しているものとする。
【0033】
この場合、監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否かを判定し、ファイル構成に抜けがあると判定された場合には、その旨をユーザに通知するための情報を作成する機能を有し、監査ログファイル完全性確認部15は、同一の外部メディア7内に保存された監査ログファイルの完全性をメッセージダイジェストの確認により検証し、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を作成する機能を有する。
【0034】
尚、監査ログファイルの所望の部位が暗号化された場合には、確認用アプリケーション13(監査ログファイル完全性確認部15)には、暗号化された部位を解読して完全性を確認したり、本文を表示させたりする機能が具備される。
【0035】
このためメディア保存部3からは、バックアップ制御部12から与えられた監査ログファイルおよび完全性検証情報を外部メディア7に出力することができる。
【0036】
次に医用装置1の作用について説明する。
【0037】
図2は、図1に示す医用装置1において監査ログを生成し、生成された監査ログを外部メディア7に出力する際の流れを示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0038】
まずステップS1において、ユーザが入力装置5を操作し、医用装置1を操作すると、操作データ収集部9は操作情報として収集して順次監査ログファイル作成部10に与える。
【0039】
次に、ステップS2において、監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の各操作情報から監査ログファイルを作成し、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる。このため、監査ログ記憶部11には、監査ログファイル作成部10において作成された監査ログファイルが、ある一定期間ごと、またはある一定の容量ごとに分割して保存される。
【0040】
図3は、図1に示す医用装置1の監査ログファイル作成部10により監査ログファイルを作成する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0041】
まずステップS11において、監査ログファイル作成部10は、監査ログ作業用ファイルを生成し、生成した監査ログ作業用ファイルに操作データ収集部9から順次受け渡された時系列の操作情報を一定の期間または容量で区切って書き込む。
【0042】
次に、ステップS12において、監査ログファイル作成部10は、データの完全性を確認するための情報を監査ログ作業用ファイルに付加する。具体的には、監査ログ作業用ファイルの内容に対してある秘密の文字列でハッシュコードを生成して、操作情報の本文に付帯させる。すなわち、あるハッシュ関数を適用してメッセージダイジェストを生成し、監査ログ作業用ファイルに監査ログ完全性検証情報として付加する。
【0043】
次に、ステップS13において、監査ログファイル作成部10は、生成した監査ログ作業用ファイルの内容が監査ログであることを容易に判断されないように、拡張子を変更して監査ログファイルとして生成する。このとき必要に応じて、監査ログファイルの本文は暗号化される。
【0044】
そして、このように生成された監査ログファイルは、監査ログ記憶部11に書き込まれて保存される。さらに、ユーザは、バックアップアプリケーションを起動して、監査ログ記憶部11に保存された監査ログファイルを外部メディア7に保存することができる。
【0045】
すなわち、図2のステップS3において、バックアップアプリケーションが起動されるとバックアップ制御部12は、入力装置5から指定された監査ログファイルの完全性を検証し、完全性を有する旨の確認が取れた場合には確認用アプリケーション13とともに監査ログファイルをメディア保存部3へ受け渡す。
【0046】
図4は、図1に示す医用装置1のバックアップ制御部12により監査ログファイルの完全性を確認し、確認用アプリケーション13とともに外部メディア7に出力させる際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0047】
まずステップS21において、バックアップ制御部12は、入力装置5から監査ログファイルの外部メディア7への出力要求を受けると、監査ログ記憶部11から監査ログファイルをロードする。
【0048】
次に、ステップS22において、バックアップ制御部12は、監査ログ記憶部11からロードした監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる。このため、表示装置6には、外部メディア7に保存すべき監査ログファイルの選択画面が表示される。
【0049】
次に、ステップS23において、バックアップ制御部12は、外部メディア7に保存すべき監査ログファイルの指示の有無を判定する。そして、外部メディア7に保存すべき監査ログファイルの指示が入力装置5から入力されなかった場合には、処理を終了させる。
【0050】
ユーザが入力装置5から外部メディア7に保存する監査ログファイルを選択し、外部メディア7に保存すべき監査ログファイルの指示がバックアップ制御部12に与えられた場合には、ステップS24において、バックアップ制御部12は、選択された各監査ログファイルに対してメッセージダイジェストを確認することにより情報の完全性を検証した上で、選択された全ての監査ログファイルの完全性が確認できたか否かを判定する。
【0051】
そして、完全性が確認できなかった監査ログファイルが存在する場合には、ステップS25において、バックアップ制御部12は、完全性が確認できなかった監査ログファイルのリストを表示装置6に与える。さらに、バックアップ制御部12は、完全性の確認できなかった監査ログファイル内に記録された操作データのどの期間またはどの操作に対して完全性が確認できなかったのかを特定し、得られた結果を表示装置6に与えてユーザに通知する。
【0052】
このとき、完全性が確認できなかった部分に対して「完全性が確認できなかった」旨のメッセージを監査ログファイルに付加する。
【0053】
次に、ステップS26において、バックアップ制御部12は、完全性が確認できなかった当該監査ログファイルを外部メディア7へ出力するかどうかをユーザに選択させるための画面情報を表示装置6に与えて表示させる。そして、ユーザは、入力装置5の操作により保存の可否を選択指示することができる。さらに、バックアップ制御部12は、入力装置5の操作情報を受けて完全性の確認できている監査ログファイルの部分について外部メディア7に保存するか否かの判定を行う。
【0054】
そして、完全性の確認できている監査ログファイルの部分を外部メディア7に保存することをユーザが希望しない場合には、再びステップS22において、監査ログファイルの選択画面が表示装置6に表示され、入力装置5からの選択指示の受付け状態となる。
【0055】
一方、ステップS26において、完全性の確認できている監査ログファイルの部分を外部メディア7に保存すると判定された場合や、あるいはステップS24において完全性が確認できなかった監査ログファイルが存在しないと判定された場合には、ステップS27において、バックアップ制御部12が監査ログファイルの完全性を確認するための確認用アプリケーション13を生成する。この確認用アプリケーション13は、監査ログファイル作成部10が監査ログファイルの生成の際に使用したハッシュコードを確認するものであり、監査ログファイルの生成の際に用いた秘密の文字列と同一の文字列を使用して生成することができる。
【0056】
次に、ステップS28において、バックアップ制御部12は、完全性の確認がとれた各監査ログファイルを確認用アプリケーション13とともにメディア保存部3に与える。このため、メディア保存部3は、バックアップ制御部12から渡される監査ログファイルと確認用アプリケーション13を外部メディア7へ保存する。すなわち、メディア保存部3から各監査ログファイルおよび確認用アプリケーション13が外部メディア7に書き込まれる。
【0057】
尚、ある1つの外部メディア7内に保存される各監査ログファイルは共通のハッシュ関数によって生成されているため、各監査ログファイルの完全性の確認用の確認用アプリケーション13も1つのメディアに対して1つ共通に生成されることとなる。逆に言えば、単一の外部メディア7内に複数の監査ログファイルを保存する場合には、ハッシュ関数が共通である必要があり、確認用アプリケーション13は1メディアに対してひとつ生成される。
【0058】
そして、ユーザは、外部メディア7に例えばバックアップ用に監査ログファイルを保存し、所望の時期に外部メディア7に保存された監査ログファイルを参照することができる。
【0059】
外部メディア7から監査ログファイルを参照する場合には、図2のステップS4において、外部メディア7内に保存された監査ログファイルおよび確認用アプリケーション13がユーザ端末8に読み込まれる。そして、確認用アプリケーション13がユーザ端末8上で起動される。
【0060】
図5は、図1に示すユーザ端末8において、外部メディア7から入力した確認用アプリケーション13を起動して監査ログファイルを参照する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0061】
まずステップS31において、外部メディア7内に保存された確認用アプリケーション13がユーザ端末8上で起動される。そうすると、ユーザ端末8は監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能する。
【0062】
次に、ステップS32において、外部メディア7内における監査ログファイルのファイル構成が監査ログファイル構成確認部14により確認される。すなわち監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否か、すなわち監査ログファイルが欠落しているか否かを判定する。
【0063】
そして、監査ログファイルのファイル構成に抜けがあると判定された場合には、ステップS33において、監査ログファイル構成確認部14がファイル構成に抜けがある旨をユーザに通知するための情報を作成し、ユーザ端末8の画面に表示させる。
【0064】
さらに、監査ログファイルのファイル構成に抜けがあると判定されなかった場合または監査ログファイルのファイル構成に抜けがある旨の表示後、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。
【0065】
次に、ステップS34において、ユーザ端末8の操作により参照すべき監査ログファイルの選択情報を受けた場合には、監査ログファイル完全性確認部15は、選択された監査ログファイルを外部メディア7からロードする。
【0066】
次に、ステップS35において、監査ログファイル完全性確認部15は、外部メディア7からロードされた参照すべき目的の監査ログファイルの完全性を、メッセージダイジェストを確認することにより検証し、監査ログファイルの完全性が確認できたか否かを判定する。
【0067】
そして、監査ログファイルの完全性が確認できなかった場合には、ステップS36において、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を監査ログファイル完全性確認部15が作成する。このため、完全性が確認できなかった監査ログファイルがユーザ端末8の画面に表示され、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。
【0068】
一方、監査ログファイルの完全性が確認できた場合には、ステップS37において、選択された監査ログファイルがユーザ端末8の画面に表示される。
【0069】
このような確認用アプリケーション13によりユーザはユーザ端末8を介して外部メディア7内に保存された監査ログファイルのファイル数を確認してファイル構成に抜けがないかを検証することができる。さらに、外部メディア7内の各監査ログファイルに対してメッセージダイジェストを確認し、確認の取れなかった監査ログファイルについては、破壊もしくは改竄があったと判断することができる。
【0070】
図6は、図1に示す医用装置1における監査ログファイルの作成から外部メディア7を介した監査ログファイルの参照までの全体の流れを示す概念図である。
【0071】
医用装置1において監査ログファイル作成部10は、操作データから監査ログ作業用ファイルを作成し、ログファイル作成関数(ハッシュ関数)によりハッシュコードを生成する。この結果、本文である操作データにダイジェストメッセージが付帯された監査ログファイルが生成される。
【0072】
そして、監査ログファイルは、医用装置1内の監査ログ記憶部11に保存されるが、ユーザが操作端末2の操作によりバックアップアプリケーションを起動して外部メディア7にバックアップする監査ログファイルを選択すると、選択された各監査ログファイルのダイジェストメッセージがバックアップ制御部12(バックアップアプリケーション)によって確認されて各監査ログファイルの完全性の検証が行われる。
【0073】
次に、バックアップアプリケーションは、完全性が確認された各監査ログファイルに共通のハッシュコードチェック用の確認用アプリケーション13を作成して、各監査ログファイルとともに外部メディア7に出力させる。
【0074】
このため、外部メディア7には、本文とダイジェストメッセージとで構成される単一または複数の監査ログファイルと、1つのハッシュコードチェック用の確認用アプリケーション13が保存される。そして、ユーザはユーザ端末8において、外部メディア7に保存された確認用アプリケーション13を起動して、各監査ログファイルの完全性の検証を行った上で参照することができる。
【0075】
つまり、以上のような医用装置1は、監査ログファイルを外部メディア7に出力する際に、監査ログファイルの完全性を確認したうえで完全性の確認用アプリケーション13を生成し、完全性の確認対象となる監査ログファイルとともに確認用アプリケーション13が外部メディア7に保存されるようにしたものである。
【0076】
このため、医用装置1によれば、ある一定期間後に外部メディア7内に保存された監査ログファイルを参照する場合であっても、同一の外部メディア7内に保存された確認用アプリケーション13を使用することで、外部出力された監査ログファイルが医用装置1において保存された状態を維持しているかどうかを検証することができる。すなわち、監査ログファイルの外部メディア7内への保存時から監査ログファイルの参照時までの期間に情報が破壊または改竄されていないかどうかを確認することができる。
【0077】
また、外部メディア7内に保存される監査ログファイルが複数であっても外部メディア7内に保存される確認用アプリケーション13は1つであり、共通の確認用アプリケーション13によって外部メディア7内における全ての監査ログファイルの完全性の確認処理が行われる。このため、監査ログファイルの完全性の検証だけでなく、外部メディア7内に保存された監査ログファイルのファイル構成(ファイル数)も確認することができる。
【図面の簡単な説明】
【0078】
【図1】本発明に係る医用装置の実施の形態を示す機能ブロック図。
【図2】図1に示す医用装置において監査ログを生成し、生成された監査ログを外部メディアに出力する際の流れを示すフローチャート。
【図3】図1に示す医用装置の監査ログファイル作成部により監査ログファイルを作成する際の詳細手順例を示すフローチャート。
【図4】図1に示す医用装置のバックアップ制御部により監査ログファイルの完全性を確認し、確認用アプリケーションとともに外部メディアに出力させる際の詳細手順例を示すフローチャート。
【図5】図1に示すユーザ端末において、外部メディアから入力した確認用アプリケーションを起動して監査ログファイルを参照する際の詳細手順例を示すフローチャート。
【図6】図1に示す医用装置における監査ログファイルの作成から外部メディアを介した監査ログファイルの参照までの全体の流れを示す概念図。
【符号の説明】
【0079】
1 医用装置
2 操作端末
3 メディア保存部
4 監査ログファイル出力システム
5 入力装置
6 表示装置
7 外部メディア
8 ユーザ端末
8a 入力装置
8b 表示装置
9 操作データ収集部
10 監査ログファイル作成部
10a 操作データ記録部
10b メッセージダイジェスト付加部
11 監査ログ記憶部
12 バックアップ制御部
13 確認用アプリケーション
14 監査ログファイル構成確認部
15 監査ログファイル完全性確認部
【技術分野】
【0001】
本発明は、監査ログを記録することにより患者情報等の個人情報のセキュリティを管理する機能を備えた医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに係り、特に外部メディアに出力される監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムに関する。
【背景技術】
【0002】
従来、超音波診断装置、X線CT(computed tomography)装置、MRI(magnetic resonance imaging)等の画像診断装置やHIS(hospital information system),RIS(radiology information system)、PACS(picture archiving and communication system)等の医用情報システムといった医用装置においては、病院等の各医療機関が定めるセキュリティポリシーやプライバシーポリシーに従って、患者情報の保護を実現するために操作の監査ログが記録されている。
【0003】
監査ログには、医用装置に対する設定の変更、患者情報等の個人情報に対するアクセスあるいはログイン/ログオフ操作に関する情報等の詳細な情報が記録される。このような監査ログには、医用装置内におけるデータの完全性を確保するために、すなわちデータが正しいことを証明するためにメッセージダイジェストを作成する技術が用いられている(例えば非特許文献1参照)。この技術では、ハッシュ関数を使った演算によりデータから特徴的なパターンを有する固定長のメッセージダイジェストが生成され、生成されたメッセージダイジェストは必要に応じて暗号化されて完全性検査に利用される。
【0004】
そして、医用装置において生成された監査ログファイルはある一定期間またはある一定容量ごとに医用装置内に保存されるが、適宜、バックアップのために外部メディアや記憶装置に出力されて管理される。そして、セキュリティ管理者により、監査ログファイルを用いて個人情報に対する不正アクセスの有無が監査される。
【0005】
また、近年では、監査ログを解析する手段の1つとして、ログ解析ソフトが市販されている(例えば非特許文献2および非特許文献3)。
【非特許文献1】デジタル用語辞典2001−2002年版、936頁、日系BP社出版局
【非特許文献2】BOM(登録商標) for Windows(登録商標)、[online],セイ・テクノロジーズ株式会社(SAY Technologies) 製品情報、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/product/01.html>
【非特許文献3】監視ソリューション、Windows(登録商標)サーバー、[online],セイ・テクノロジーズ株式会社(SAY Technologies)、[平成16年12月10日検索]、インターネット<URL:http://www.say-tech.co.jp/sol/01.html>
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の医用装置におけるセキュリティ管理技術では、監査ログを外部メディアに保存する際に、予め医用装置内において保存された監査ログファイルが変更を加えることなく直接をそのまま外部メディアに出力される。このため、一定時間経過後にある外部メディア内の監査ログファイルを参照した場合に、監査ログファイルの完全性を確認することができないという問題がある。
【0007】
例えば医用装置において生成された時の監査ログファイルが何らかの影響で破壊されていた場合や、第三者によって改竄されていたとしてもそのような事実を検知することができない。つまり外部メディアに保存された監査ログファイルがオリジナルのものであるかどうかを確認することができない。
【0008】
本発明はかかる従来の事情に対処するためになされたものであり、外部出力された監査ログファイルの完全性を検証することが可能な医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る医用装置は、上述の目的を達成するために、請求項1に記載したように、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、前記監査ログファイルを保存する監査ログ記憶部と、前記監査ログファイルを外部メディアへ出力するためのメディア保存部と、前記監査ログ記憶部から取得した前記監査ログファイルを前記外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記メディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部とを有することを特徴とするものである。
【0010】
また、本発明に係る監査ログファイル出力システムは、上述の目的を達成するために、請求項11に記載したように、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、前記監査ログファイルを保存する監査ログ記憶部と、前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部とを有することを特徴とするものである。
【0011】
また、本発明に係る監査ログファイル出力プログラムは、上述の目的を達成するために、請求項12に記載したように、コンピュータを、入力装置による操作の監査ログファイルを作成する監査ログファイル作成部、前記監査ログファイルを保存する監査ログ記憶部および前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部として機能させることを特徴とするものである。
【発明の効果】
【0012】
本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムにおいては、外部出力された監査ログファイルの完全性を検証することができる。
【発明を実施するための最良の形態】
【0013】
本発明に係る医用装置、監査ログファイル出力システムおよび監査ログファイル出力プログラムの実施の形態について添付図面を参照して説明する。
【0014】
図1は本発明に係る医用装置の実施の形態を示す機能ブロック図である。
【0015】
医用装置1は、操作端末2およびメディア保存部3を備え、監査ログファイル出力システム4が搭載される。尚、医用装置1としては、超音波診断装置、X線CT装置、MRI等の画像診断装置や検体装置並びにHIS,RIS、PACS等の医用情報システムとすることが可能であり、医用装置1に応じた機能を備えるための構成要素が設けられるが、ここでは省略する。操作端末2には、情報を入力して操作するための入力装置5および表示装置6が設けられる。
【0016】
また、メディア保存部3は、監査ログファイル出力システム4から受けた情報を外部メディア7に出力する機能を有する。外部メディア7は、書き込み可能な記憶媒体であり、具体例としてUSB(Universal Serial Bus)(登録商標)メモリ、IC(Integrated Circuit)カード、CD(Compact Disc)、DVD(Digital Versatile Disc)、HDD(Hard Disk Drive)等の記憶媒体が挙げられる。そして、外部メディア7に保存された情報はユーザ端末8に読み込ませて参照することができる。ユーザ端末8は、任意の医用装置の操作端末の他、一般のPC(Personal Computer)を用いることもできる。
【0017】
監査ログファイル出力システム4は、例えばコンピュータに監査ログファイル出力プログラムを読み込ませて構築することができるが、監査ログファイル出力システム4の全部または一部を回路により構築してもよい。そして、監査ログファイル出力システム4には、医用装置1における監査ログファイルを作成して外部メディア7に出力する機能が備えられる。そのために監査ログファイル出力システム4は、操作データ収集部9、監査ログファイル作成部10、監査ログ記憶部11およびバックアップ制御部12を具備している。
【0018】
操作データ収集部9は、ユーザによる入力装置5の操作情報を収集する機能と、収集した操作情報を監査ログファイル作成部10に逐一与える機能を有する。
【0019】
監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の操作情報から監査ログファイルを作成する機能と、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる機能を有する。例えば、監査ログファイルには、ハッシュ関数を使った演算により操作情報から生成された特徴的なパターンを有する固定長のメッセージダイジェストが完全性の検証のために付加される。
【0020】
そこで、監査ログファイル作成部10は、例えば操作データ記録部10aとメッセージダイジェスト付加部10bとを備えて構成することができる。この場合、操作データ記録部10aには、操作データ収集部9から操作情報を取得して記録する機能が備えられ、メッセージダイジェスト付加部10bには、操作データ記録部10aから一定期間のまたは一定の容量の操作情報を読み込んでメッセージダイジェストを付加することにより監査ログファイルを作成する機能が備えられる。
【0021】
メッセージダイジェストは、ある一定期間の操作データをまとめた1つの監査ログファイルに対して1つ付加されるだけでなく、入力装置5の1つ1つの各操作データや、1日分の操作データ、一週間分の操作データというように、1つの監査ログファイル内の操作データを複数の任意の大きさの単位に区切って、各単位それぞれに対して付加することも可能である。これにより、例えば監査ログファイル内の操作データのある一部分の内容が改竄された場合に、改竄がどのタイミングでなされたものかを特定することが可能となり、さらに同一の監査ログファイル内で改竄の影響を受けていない部分の操作データについては問題なく扱うことができる。
【0022】
ただし、監査ログファイルを作成する際、ハッシュ関数を用いてメッセージダイジェストを作成するという手段に限らず、例えばチェックサムやデジタルタイムスタンプといったファイルの完全性の確認を目的とする同等の他の代替手法を用いて監査ログファイルの完全性を検証するための任意の監査ログ完全性検証情報を作成するように監査ログファイル作成部10を構成することができる。
【0023】
また、必要に応じて監査ログファイルの所望の部位を暗号化することができる。例えば、本文の暗号化したり、本文中に書き込まれた時刻情報等の一部の内容を隠蔽することもできる。これにより、監査ログファイルの改竄の危険性を低減することができる。
【0024】
監査ログ記憶部11は、監査ログファイル作成部10において作成された監査ログファイルを監査ログ完全性検証情報とともに保存する機能を有する。
【0025】
バックアップ制御部12は、監査ログファイルの外部メディア7への出力要求を入力装置5から受けた場合に、監査ログ記憶部11に保存されている監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる一方、外部メディア7に出力すべき監査ログファイルの指示を入力装置5から受ける機能と、入力装置5の操作により指定された監査ログファイルを監査ログ記憶部11から取得してメッセージダイジェスト等の監査ログ完全性検証情報の確認により監査ログファイル並びに各操作データの完全性を検証し、完全性が確認された場合には取得した監査ログファイルの完全性を確認した旨の完全性検証情報を作成して監査ログファイルとともにメディア保存部3に与える機能を有する。
【0026】
一方で、逆にメッセージダイジェスト等の監査ログ完全性検証情報の確認により、監査ログファイル並びに操作データの完全性が確認できなかった場合には、前記したとおり、該当する監査ログファイル内の操作データ並びに該当する期間および操作を特定することができる。例えば、入力装置5からの1つ1つの操作データに対してメッセージダイジェストを逐一付加した場合、どの操作データが改竄されたものであるかが特定可能である。同様に、1日分の操作データに対してメッセージダイジェストを逐一付加した場合、データ改竄の疑いがある期間(ここでは該当する1日分の操作データ)が特定できる。
【0027】
そこで、バックアップ制御部12には、監査ログファイル並びに操作データの完全性が確認できなかった場合には、該当する監査ログファイル並びに該当する期間および操作を特定する機能と、特定した監査ログファイル並びに期間および操作に関する情報を表示装置6に与えて表示させることによりユーザへ通知する機能を備えることもできる。
【0028】
さらに、監査ログファイル内の完全性が確認できなかった部分について、「完全性を確認できなかった」旨のメッセージを監査ログファイルに付加したり、完全性が確認できなかった監査ログファイルを完全性が確認できた監査ログファイルから識別できるように、監査ログファイルのファイル名を通常とは異なる特別なファイル名に変更するといった処理を行えるようにバックアップ制御部12を構成することができる。つまり、バックアップ制御部12に、完全性が確認できなかった監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加する機能を設けることができる。
【0029】
そして、監査ログファイルにメッセージダイジェストが付加されている場合には、監査ログファイルの完全性検証処理の後、監査ログファイルの生成の際に用いた秘密の同一または別の文字列を用いて再びハッシュ関数を適用することにより作成された同一または別のメッセージダイジェストを利用して監査ログファイルに対する完全性の検証が可能な完全性検証情報を作成することができる。
【0030】
このようにバックアップ制御部12は、監査ログファイルの完全性を確認するための完全性検証情報を作成する機能を有する。そして、このようなバックアップ制御部12は、監査ログファイルを外部メディア7に出力するためのバックアップアプリケーションとしてコンピュータ上に実装することができる。
【0031】
尚、監査ログファイルの所望の部位が暗号化された場合には、バックアップ制御部12(バックアップアプリケーション)には、暗号化された部位を解読する機能が具備される。
【0032】
ここで、バックアップ制御部12により作成される完全性検証情報は、ファイル形式で作成された確認用アプリケーション(ソフトウェア)とすることができる。確認用アプリケーションは、単一の外部メディア7に複数の監査ログファイルが出力される場合には、共通に1つ作成され、各監査ログファイルの完全性を確認するための各種機能を設けることが可能である。例えばユーザ端末8に確認用アプリケーション13を読み込ませた場合に、ユーザ端末8を監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能させることができる。ただし、ユーザ端末8は医用装置1と同様に入力装置8aおよび表示装置8bを備え、医用装置1の操作端末2に相当する機能を具備しているものとする。
【0033】
この場合、監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否かを判定し、ファイル構成に抜けがあると判定された場合には、その旨をユーザに通知するための情報を作成する機能を有し、監査ログファイル完全性確認部15は、同一の外部メディア7内に保存された監査ログファイルの完全性をメッセージダイジェストの確認により検証し、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を作成する機能を有する。
【0034】
尚、監査ログファイルの所望の部位が暗号化された場合には、確認用アプリケーション13(監査ログファイル完全性確認部15)には、暗号化された部位を解読して完全性を確認したり、本文を表示させたりする機能が具備される。
【0035】
このためメディア保存部3からは、バックアップ制御部12から与えられた監査ログファイルおよび完全性検証情報を外部メディア7に出力することができる。
【0036】
次に医用装置1の作用について説明する。
【0037】
図2は、図1に示す医用装置1において監査ログを生成し、生成された監査ログを外部メディア7に出力する際の流れを示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0038】
まずステップS1において、ユーザが入力装置5を操作し、医用装置1を操作すると、操作データ収集部9は操作情報として収集して順次監査ログファイル作成部10に与える。
【0039】
次に、ステップS2において、監査ログファイル作成部10は、操作データ収集部9から受けた一定期間のまたは一定の容量の各操作情報から監査ログファイルを作成し、作成した監査ログファイルを監査ログ記憶部11に書き込んで保存させる。このため、監査ログ記憶部11には、監査ログファイル作成部10において作成された監査ログファイルが、ある一定期間ごと、またはある一定の容量ごとに分割して保存される。
【0040】
図3は、図1に示す医用装置1の監査ログファイル作成部10により監査ログファイルを作成する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0041】
まずステップS11において、監査ログファイル作成部10は、監査ログ作業用ファイルを生成し、生成した監査ログ作業用ファイルに操作データ収集部9から順次受け渡された時系列の操作情報を一定の期間または容量で区切って書き込む。
【0042】
次に、ステップS12において、監査ログファイル作成部10は、データの完全性を確認するための情報を監査ログ作業用ファイルに付加する。具体的には、監査ログ作業用ファイルの内容に対してある秘密の文字列でハッシュコードを生成して、操作情報の本文に付帯させる。すなわち、あるハッシュ関数を適用してメッセージダイジェストを生成し、監査ログ作業用ファイルに監査ログ完全性検証情報として付加する。
【0043】
次に、ステップS13において、監査ログファイル作成部10は、生成した監査ログ作業用ファイルの内容が監査ログであることを容易に判断されないように、拡張子を変更して監査ログファイルとして生成する。このとき必要に応じて、監査ログファイルの本文は暗号化される。
【0044】
そして、このように生成された監査ログファイルは、監査ログ記憶部11に書き込まれて保存される。さらに、ユーザは、バックアップアプリケーションを起動して、監査ログ記憶部11に保存された監査ログファイルを外部メディア7に保存することができる。
【0045】
すなわち、図2のステップS3において、バックアップアプリケーションが起動されるとバックアップ制御部12は、入力装置5から指定された監査ログファイルの完全性を検証し、完全性を有する旨の確認が取れた場合には確認用アプリケーション13とともに監査ログファイルをメディア保存部3へ受け渡す。
【0046】
図4は、図1に示す医用装置1のバックアップ制御部12により監査ログファイルの完全性を確認し、確認用アプリケーション13とともに外部メディア7に出力させる際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0047】
まずステップS21において、バックアップ制御部12は、入力装置5から監査ログファイルの外部メディア7への出力要求を受けると、監査ログ記憶部11から監査ログファイルをロードする。
【0048】
次に、ステップS22において、バックアップ制御部12は、監査ログ記憶部11からロードした監査ログファイルの一覧をリスト情報として表示装置6に与えて表示させる。このため、表示装置6には、外部メディア7に保存すべき監査ログファイルの選択画面が表示される。
【0049】
次に、ステップS23において、バックアップ制御部12は、外部メディア7に保存すべき監査ログファイルの指示の有無を判定する。そして、外部メディア7に保存すべき監査ログファイルの指示が入力装置5から入力されなかった場合には、処理を終了させる。
【0050】
ユーザが入力装置5から外部メディア7に保存する監査ログファイルを選択し、外部メディア7に保存すべき監査ログファイルの指示がバックアップ制御部12に与えられた場合には、ステップS24において、バックアップ制御部12は、選択された各監査ログファイルに対してメッセージダイジェストを確認することにより情報の完全性を検証した上で、選択された全ての監査ログファイルの完全性が確認できたか否かを判定する。
【0051】
そして、完全性が確認できなかった監査ログファイルが存在する場合には、ステップS25において、バックアップ制御部12は、完全性が確認できなかった監査ログファイルのリストを表示装置6に与える。さらに、バックアップ制御部12は、完全性の確認できなかった監査ログファイル内に記録された操作データのどの期間またはどの操作に対して完全性が確認できなかったのかを特定し、得られた結果を表示装置6に与えてユーザに通知する。
【0052】
このとき、完全性が確認できなかった部分に対して「完全性が確認できなかった」旨のメッセージを監査ログファイルに付加する。
【0053】
次に、ステップS26において、バックアップ制御部12は、完全性が確認できなかった当該監査ログファイルを外部メディア7へ出力するかどうかをユーザに選択させるための画面情報を表示装置6に与えて表示させる。そして、ユーザは、入力装置5の操作により保存の可否を選択指示することができる。さらに、バックアップ制御部12は、入力装置5の操作情報を受けて完全性の確認できている監査ログファイルの部分について外部メディア7に保存するか否かの判定を行う。
【0054】
そして、完全性の確認できている監査ログファイルの部分を外部メディア7に保存することをユーザが希望しない場合には、再びステップS22において、監査ログファイルの選択画面が表示装置6に表示され、入力装置5からの選択指示の受付け状態となる。
【0055】
一方、ステップS26において、完全性の確認できている監査ログファイルの部分を外部メディア7に保存すると判定された場合や、あるいはステップS24において完全性が確認できなかった監査ログファイルが存在しないと判定された場合には、ステップS27において、バックアップ制御部12が監査ログファイルの完全性を確認するための確認用アプリケーション13を生成する。この確認用アプリケーション13は、監査ログファイル作成部10が監査ログファイルの生成の際に使用したハッシュコードを確認するものであり、監査ログファイルの生成の際に用いた秘密の文字列と同一の文字列を使用して生成することができる。
【0056】
次に、ステップS28において、バックアップ制御部12は、完全性の確認がとれた各監査ログファイルを確認用アプリケーション13とともにメディア保存部3に与える。このため、メディア保存部3は、バックアップ制御部12から渡される監査ログファイルと確認用アプリケーション13を外部メディア7へ保存する。すなわち、メディア保存部3から各監査ログファイルおよび確認用アプリケーション13が外部メディア7に書き込まれる。
【0057】
尚、ある1つの外部メディア7内に保存される各監査ログファイルは共通のハッシュ関数によって生成されているため、各監査ログファイルの完全性の確認用の確認用アプリケーション13も1つのメディアに対して1つ共通に生成されることとなる。逆に言えば、単一の外部メディア7内に複数の監査ログファイルを保存する場合には、ハッシュ関数が共通である必要があり、確認用アプリケーション13は1メディアに対してひとつ生成される。
【0058】
そして、ユーザは、外部メディア7に例えばバックアップ用に監査ログファイルを保存し、所望の時期に外部メディア7に保存された監査ログファイルを参照することができる。
【0059】
外部メディア7から監査ログファイルを参照する場合には、図2のステップS4において、外部メディア7内に保存された監査ログファイルおよび確認用アプリケーション13がユーザ端末8に読み込まれる。そして、確認用アプリケーション13がユーザ端末8上で起動される。
【0060】
図5は、図1に示すユーザ端末8において、外部メディア7から入力した確認用アプリケーション13を起動して監査ログファイルを参照する際の詳細手順例を示すフローチャートであり、図中Sに数字を付した符号はフローチャートの各ステップを示す。
【0061】
まずステップS31において、外部メディア7内に保存された確認用アプリケーション13がユーザ端末8上で起動される。そうすると、ユーザ端末8は監査ログファイル構成確認部14および監査ログファイル完全性確認部15として機能する。
【0062】
次に、ステップS32において、外部メディア7内における監査ログファイルのファイル構成が監査ログファイル構成確認部14により確認される。すなわち監査ログファイル構成確認部14は、同一の外部メディア7内に保存された監査ログファイルのファイル構成に抜けがないか否か、すなわち監査ログファイルが欠落しているか否かを判定する。
【0063】
そして、監査ログファイルのファイル構成に抜けがあると判定された場合には、ステップS33において、監査ログファイル構成確認部14がファイル構成に抜けがある旨をユーザに通知するための情報を作成し、ユーザ端末8の画面に表示させる。
【0064】
さらに、監査ログファイルのファイル構成に抜けがあると判定されなかった場合または監査ログファイルのファイル構成に抜けがある旨の表示後、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。
【0065】
次に、ステップS34において、ユーザ端末8の操作により参照すべき監査ログファイルの選択情報を受けた場合には、監査ログファイル完全性確認部15は、選択された監査ログファイルを外部メディア7からロードする。
【0066】
次に、ステップS35において、監査ログファイル完全性確認部15は、外部メディア7からロードされた参照すべき目的の監査ログファイルの完全性を、メッセージダイジェストを確認することにより検証し、監査ログファイルの完全性が確認できたか否かを判定する。
【0067】
そして、監査ログファイルの完全性が確認できなかった場合には、ステップS36において、完全性が確認できなかった監査ログファイルをユーザに通知するための情報を監査ログファイル完全性確認部15が作成する。このため、完全性が確認できなかった監査ログファイルがユーザ端末8の画面に表示され、ユーザ端末8は参照すべき監査ログファイルの選択待ち受け状態となる。
【0068】
一方、監査ログファイルの完全性が確認できた場合には、ステップS37において、選択された監査ログファイルがユーザ端末8の画面に表示される。
【0069】
このような確認用アプリケーション13によりユーザはユーザ端末8を介して外部メディア7内に保存された監査ログファイルのファイル数を確認してファイル構成に抜けがないかを検証することができる。さらに、外部メディア7内の各監査ログファイルに対してメッセージダイジェストを確認し、確認の取れなかった監査ログファイルについては、破壊もしくは改竄があったと判断することができる。
【0070】
図6は、図1に示す医用装置1における監査ログファイルの作成から外部メディア7を介した監査ログファイルの参照までの全体の流れを示す概念図である。
【0071】
医用装置1において監査ログファイル作成部10は、操作データから監査ログ作業用ファイルを作成し、ログファイル作成関数(ハッシュ関数)によりハッシュコードを生成する。この結果、本文である操作データにダイジェストメッセージが付帯された監査ログファイルが生成される。
【0072】
そして、監査ログファイルは、医用装置1内の監査ログ記憶部11に保存されるが、ユーザが操作端末2の操作によりバックアップアプリケーションを起動して外部メディア7にバックアップする監査ログファイルを選択すると、選択された各監査ログファイルのダイジェストメッセージがバックアップ制御部12(バックアップアプリケーション)によって確認されて各監査ログファイルの完全性の検証が行われる。
【0073】
次に、バックアップアプリケーションは、完全性が確認された各監査ログファイルに共通のハッシュコードチェック用の確認用アプリケーション13を作成して、各監査ログファイルとともに外部メディア7に出力させる。
【0074】
このため、外部メディア7には、本文とダイジェストメッセージとで構成される単一または複数の監査ログファイルと、1つのハッシュコードチェック用の確認用アプリケーション13が保存される。そして、ユーザはユーザ端末8において、外部メディア7に保存された確認用アプリケーション13を起動して、各監査ログファイルの完全性の検証を行った上で参照することができる。
【0075】
つまり、以上のような医用装置1は、監査ログファイルを外部メディア7に出力する際に、監査ログファイルの完全性を確認したうえで完全性の確認用アプリケーション13を生成し、完全性の確認対象となる監査ログファイルとともに確認用アプリケーション13が外部メディア7に保存されるようにしたものである。
【0076】
このため、医用装置1によれば、ある一定期間後に外部メディア7内に保存された監査ログファイルを参照する場合であっても、同一の外部メディア7内に保存された確認用アプリケーション13を使用することで、外部出力された監査ログファイルが医用装置1において保存された状態を維持しているかどうかを検証することができる。すなわち、監査ログファイルの外部メディア7内への保存時から監査ログファイルの参照時までの期間に情報が破壊または改竄されていないかどうかを確認することができる。
【0077】
また、外部メディア7内に保存される監査ログファイルが複数であっても外部メディア7内に保存される確認用アプリケーション13は1つであり、共通の確認用アプリケーション13によって外部メディア7内における全ての監査ログファイルの完全性の確認処理が行われる。このため、監査ログファイルの完全性の検証だけでなく、外部メディア7内に保存された監査ログファイルのファイル構成(ファイル数)も確認することができる。
【図面の簡単な説明】
【0078】
【図1】本発明に係る医用装置の実施の形態を示す機能ブロック図。
【図2】図1に示す医用装置において監査ログを生成し、生成された監査ログを外部メディアに出力する際の流れを示すフローチャート。
【図3】図1に示す医用装置の監査ログファイル作成部により監査ログファイルを作成する際の詳細手順例を示すフローチャート。
【図4】図1に示す医用装置のバックアップ制御部により監査ログファイルの完全性を確認し、確認用アプリケーションとともに外部メディアに出力させる際の詳細手順例を示すフローチャート。
【図5】図1に示すユーザ端末において、外部メディアから入力した確認用アプリケーションを起動して監査ログファイルを参照する際の詳細手順例を示すフローチャート。
【図6】図1に示す医用装置における監査ログファイルの作成から外部メディアを介した監査ログファイルの参照までの全体の流れを示す概念図。
【符号の説明】
【0079】
1 医用装置
2 操作端末
3 メディア保存部
4 監査ログファイル出力システム
5 入力装置
6 表示装置
7 外部メディア
8 ユーザ端末
8a 入力装置
8b 表示装置
9 操作データ収集部
10 監査ログファイル作成部
10a 操作データ記録部
10b メッセージダイジェスト付加部
11 監査ログ記憶部
12 バックアップ制御部
13 確認用アプリケーション
14 監査ログファイル構成確認部
15 監査ログファイル完全性確認部
【特許請求の範囲】
【請求項1】
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、
前記監査ログファイルを保存する監査ログ記憶部と、
前記監査ログファイルを外部メディアへ出力するためのメディア保存部と、
前記監査ログ記憶部から取得した前記監査ログファイルを前記外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記メディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部と、
を有することを特徴とする医用装置。
【請求項2】
前記バックアップ制御部は、ユーザ端末に読み込ませて起動させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項3】
前記バックアップ制御部は、前記外部メディアに保存された前記監査ログファイルの完全性を検証する監査ログファイル完全性確認部としてユーザ端末を機能させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項4】
前記バックアップ制御部は、前記外部メディアに保存された前記監査ログファイルのファイル構成に抜けがないか否かを判定する監査ログファイル構成確認部および前記外部メディアに保存された前記監査ログファイルの完全性を検証する監査ログファイル完全性確認部としてユーザ端末を機能させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項5】
前記監査ログファイル作成部は、前記監査ログファイルを暗号化するように構成される一方、前記バックアップ制御部は、ユーザ端末に読み込ませて起動させた場合に前記監査ログファイルの暗号を解読することが可能な確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項6】
前記バックアップ制御部は、前記監査ログファイルに共通の前記完全性検証情報を生成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項7】
前記監査ログファイル作成部は、前記監査ログファイルの完全性を検証するための監査ログ完全性検証情報を作成するように構成される一方、前記監査ログ記録部は前記監査ログ完全性検証情報を保存するように構成され、さらに前記バックアップ制御部は、前記監査ログ記憶部から取得した前記監査ログファイルに対する前記監査ログ完全性検証情報を確認することにより、前記監査ログファイルの完全性を検証するように構成されることを特徴とする請求項1記載の医用装置。
【請求項8】
前記監査ログファイル作成部は、ハッシュ関数を使った演算により文字列を用いて第1のメッセージダイジェストを生成することにより前記監査ログ完全性検証情報を作成するように構成される一方、前記バックアップ制御部は、前記監査ログファイル作成部により用いられた前記文字列と同一または他の文字列を用いたハッシュ関数による演算により第2のメッセージダイジェストを生成することにより前記完全性検証情報を作成するように構成されることを特徴とする請求項7記載の医用装置。
【請求項9】
前記バックアップ制御部は、完全性が確認できなかった前記監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加するように構成されることを特徴とする請求項7記載の医用装置。
【請求項10】
前記バックアップ制御部は、完全性が確認できなかった前記監査ログファイルに対して、完全性が確認できなかった旨を示す情報を表示装置に与えて表示させるように構成されることを特徴とする請求項7記載の医用装置。
【請求項11】
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、
前記監査ログファイルを保存する監査ログ記憶部と、
前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部と、
を有することを特徴とする監査ログファイル出力システム。
【請求項12】
コンピュータを、
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部、
前記監査ログファイルを保存する監査ログ記憶部、および
前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部、
として機能させることを特徴とする監査ログファイル出力プログラム。
【請求項1】
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、
前記監査ログファイルを保存する監査ログ記憶部と、
前記監査ログファイルを外部メディアへ出力するためのメディア保存部と、
前記監査ログ記憶部から取得した前記監査ログファイルを前記外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記メディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部と、
を有することを特徴とする医用装置。
【請求項2】
前記バックアップ制御部は、ユーザ端末に読み込ませて起動させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項3】
前記バックアップ制御部は、前記外部メディアに保存された前記監査ログファイルの完全性を検証する監査ログファイル完全性確認部としてユーザ端末を機能させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項4】
前記バックアップ制御部は、前記外部メディアに保存された前記監査ログファイルのファイル構成に抜けがないか否かを判定する監査ログファイル構成確認部および前記外部メディアに保存された前記監査ログファイルの完全性を検証する監査ログファイル完全性確認部としてユーザ端末を機能させる確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項5】
前記監査ログファイル作成部は、前記監査ログファイルを暗号化するように構成される一方、前記バックアップ制御部は、ユーザ端末に読み込ませて起動させた場合に前記監査ログファイルの暗号を解読することが可能な確認用アプリケーションを前記完全性検証情報として作成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項6】
前記バックアップ制御部は、前記監査ログファイルに共通の前記完全性検証情報を生成するように構成されることを特徴とする請求項1記載の医用装置。
【請求項7】
前記監査ログファイル作成部は、前記監査ログファイルの完全性を検証するための監査ログ完全性検証情報を作成するように構成される一方、前記監査ログ記録部は前記監査ログ完全性検証情報を保存するように構成され、さらに前記バックアップ制御部は、前記監査ログ記憶部から取得した前記監査ログファイルに対する前記監査ログ完全性検証情報を確認することにより、前記監査ログファイルの完全性を検証するように構成されることを特徴とする請求項1記載の医用装置。
【請求項8】
前記監査ログファイル作成部は、ハッシュ関数を使った演算により文字列を用いて第1のメッセージダイジェストを生成することにより前記監査ログ完全性検証情報を作成するように構成される一方、前記バックアップ制御部は、前記監査ログファイル作成部により用いられた前記文字列と同一または他の文字列を用いたハッシュ関数による演算により第2のメッセージダイジェストを生成することにより前記完全性検証情報を作成するように構成されることを特徴とする請求項7記載の医用装置。
【請求項9】
前記バックアップ制御部は、完全性が確認できなかった前記監査ログファイルに対して、完全性が確認できなかった旨を示す情報を付加するように構成されることを特徴とする請求項7記載の医用装置。
【請求項10】
前記バックアップ制御部は、完全性が確認できなかった前記監査ログファイルに対して、完全性が確認できなかった旨を示す情報を表示装置に与えて表示させるように構成されることを特徴とする請求項7記載の医用装置。
【請求項11】
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部と、
前記監査ログファイルを保存する監査ログ記憶部と、
前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部と、
を有することを特徴とする監査ログファイル出力システム。
【請求項12】
コンピュータを、
入力装置による操作の監査ログファイルを作成する監査ログファイル作成部、
前記監査ログファイルを保存する監査ログ記憶部、および
前記監査ログ記憶部から取得した前記監査ログファイルを外部メディアへ出力した場合に前記監査ログファイルの完全性を検証するための完全性検証情報を作成し、前記監査ログファイルを前記外部メディアへ出力するためのメディア保存部に前記監査ログ記憶部から取得した前記監査ログファイルおよび前記完全性検証情報を与えるバックアップ制御部、
として機能させることを特徴とする監査ログファイル出力プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−238925(P2006−238925A)
【公開日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願番号】特願2005−54607(P2005−54607)
【出願日】平成17年2月28日(2005.2.28)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
【公開日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願日】平成17年2月28日(2005.2.28)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(594164542)東芝メディカルシステムズ株式会社 (4,066)
【Fターム(参考)】
[ Back to top ]