情報漏えいを防止するログの収集及び参照方法、その装置及びそのプログラム
【課題】システム管理者の管理グループの権限に応じた範囲でのみログの参照可能とした階層型の管理グループ構成であっても、暗号化による鍵の管理工数が増大せず、安全にかつ効率よくログを管理する。
【解決手段】暗号化サーバが、前記ログファイルを収集する。前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する。前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する。判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する。
【解決手段】暗号化サーバが、前記ログファイルを収集する。前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する。前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する。判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータシステムにおける情報漏洩の防止に関する。
【背景技術】
【0002】
近年、例えばASP(Application Service Provider)サービスのように、複数のユーザのシステムを管理し、各ユーザのシステム管理者にログ情報を提供するといった環境が増加している。
【0003】
このような環境下で、各システムの管理者が障害解析や監査のためにログを使用する場合、ログ管理の業務負荷を軽減するため、ある程度一括でログを収集し、管理する必要がある。もっとも、ログ情報には、IPアドレスやユーザID等の情報、システム固有の情報等が含まれるため全てのログ情報をシステム管理者に参照させることは好ましくない。そのため、システム管理者の管理範囲または権限に応じて参照できる情報の範囲を限定し、不要な情報漏洩を防止する必要がある。
【0004】
例えば上述で示したASPサービスにおいては、ASPサービス事業者は障害解析や監査のため、管理するシステムの全てのログ情報を参照できる必要がある。一方、各ユーザのシステム管理者は、お互いのログを見えないようにする必要がある。もしも、誤って他ユーザのログが見えてしまった場合、個人情報や機密情報の漏洩にもつながる恐れがあり、サービス提供者にとっての信用失墜につながる恐れもある。特に、SaaS(Software as a Service)のように、さらに管理組織が多段になるケースにおいても同様の問題がある。
【0005】
ここで、SaaSについて説明する。近年、システムの多様化、複雑化に伴い、企業で利用するサービスをアウトソーシングすることが増えている。
【0006】
SaaSにおいては、SaaSの基盤を提供するSaaS基盤サービス事業者、SaaS基盤サービス事業者の基盤を利用しサービスを提供するSaaS事業者、SaaS事業者のサービスを利用するテナント(SaaSサービス利用企業)、テナント(SaaSサービス利用企業)が提供するサービスを利用する利用者というように、従来のアウトソーシングの形態に比べ、システムをさらに多段の階層で管理するケースも出てきている。
【0007】
SaaS基盤では、サーバやデータベースを複数のユーザで共有可能となっており、そこで採取されるログは一括して管理される。そして、この一括して管理ログの参照権限は階層別の管理範囲に従い限定されなければならない。
【0008】
例えば、SaaS基盤サービス事業者は、自らより階層の低いSaaS事業者のシステムログをすべて参照できる。また、SaaS事業者は、自らより階層の低いテナントのログを参照できるが、SaaS事業者間ではお互いのログは参照できてはいけない。また、テナントは、自テナントより階層の低いユーザのログは参照できるが、他のテナントの情報は参照できてはいけない。つまり、階層構成を保った状態で、ログの参照を安全に行なう必要がある。
【0009】
また、上述したようなシステムにおいてはログの情報漏えいを防止するためにログを暗号化する必要がある。そして、暗号化の方法としては、ログを一括で暗号化しシステム管理者に送付する方法(下述の(1))や、システム管理者毎に対応する鍵で暗号化し送付する方法(下述の(2))がある。
【0010】
(1)ログを一括で暗号化しシステム管理者に送付する方法の例が特許文献1に記載されている。
【0011】
具体的には、ログ隠遁機能を持つサーバでログを一括で暗号化後に隠遁し、ログ管理者がログ復号化装置で復号する方法が記載されている。
【0012】
このように、ログを一括で暗号化し、システム管理者に送付する場合、システム管理者以外の一般利用者への情報漏洩は防止できる。
【0013】
(2)システム管理者毎に異なる鍵で各ログファイルを暗号化する方法の例が特許文献2に記載されている。
【0014】
具体的には、ログを参照するログ解析者にログ参照の役割に応じた権限をもたせ、その権限を持った管理者にしか参照を行えなくすることにより、機密の漏洩を防止するログ収集参照方法が記載されている。
【0015】
このように、システム管理者毎に異なる鍵で各ログファイルを暗号化する場合、暗号化されたログファイルに該当するシステムの担当者のみが復号鍵を利用しログを参照できる。
【特許文献1】特開2006−252033号公報
【特許文献2】特開2007−200059号公報
【発明の開示】
【発明が解決しようとする課題】
【0016】
しかしながら、特許文献1に記載の技術では、ログを一括で暗号化し隠遁するため、管理者以外の一般利用者への情報漏えいは防止できるが、本来、他の管理者のみが参照すべきログ情報も合わせて配布されてしまう。すなわち、管理者はその管理範囲に関係なくすべてのログが参照できてしまうという問題がある。
【0017】
また、復号鍵が盗まれると、全ての情報が参照可能になってしまうというセキュリティ上の問題もある。
【0018】
この点、特許文献2に記載の技術ならば管理範囲に関係するログのみを参照させることができる。しかし、ネットワークログやアプリケーションログなどの役割の単位でログが暗号化され、その役割に応じた復号鍵が1対1の関係で必要となる。そのため、管理範囲が異なる管理者が階層構成で存在する場合、複数の役割権限を持つ上位の管理者は、複数の暗号鍵が必要になり、管理者の運用性を低下させ、操作ミスによる情報漏えいの危険が増大する恐れがあるという問題がある。
【0019】
例えば、上述したSaaSのようなシステムにおいては、システム管理者が階層化された管理グループで構成されており、最上位の管理者は全てログを参照できる必要がある。そのため、最上位の管理者が、下位の管理者の持つすべての復号鍵を持つ、もしくは同じログファイルを別の鍵で暗号化しておかなければならない。
【0020】
同様に2番目の階層の管理者は、その階層の管理下のログを参照するため、3番目の階層以下に属する全てのログの復号鍵を持つ、もしくは異なる鍵で暗号化しておく必要がある。従って、システム管理者の組織階層が多段になるほど、上位管理者が必要とする鍵の数が増え、管理工数の増大とセキュリティリスクの増大を招く恐れがある。
【0021】
そこで、本発明はシステム管理者の管理グループの権限に応じた範囲でのみログの参照可能とした階層型の管理グループ構成であっても、暗号化による鍵の管理工数が増大せず、安全にかつ効率よくログを管理することが可能な、情報漏えいを防止するログの収集及び参照方法、その装置及びそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0022】
本発明の第1の観点によれば、ログファイルを暗号化するための暗号化サーバであって、前記ログファイルを収集するログ収集手段と、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、を備えることを特徴とする暗号化サーバが提供される。
【0023】
本発明の第2の観点によれば、暗号化されたログファイルを復号するためのログ参照端末であって、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、を備えることを特徴とするログ参照端末が提供される。
【0024】
本発明の第3の観点によれば、上述の第1の観点により提供される暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理システムであって、前記ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照手段と、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、を備えることを特徴とするログファイル管理システムが提供される。
【0025】
本発明の第4の観点によれば、ログファイルを管理するためのログファイル管理方法であって、前記ログファイルを収集するログ収集ステップと、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する第1のステップと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定ステップと、前記暗号鍵判定ステップにより判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化ステップと、を備えることを特徴とするログファイル管理方法が提供される。
【0026】
本発明の第5の観点によれば、ログファイルを管理するためのログファイル管理プログラムであって、前記ログファイルを収集するログ収集手段と、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、を備える暗号化サーバとしてコンピュータを機能させることを特徴とするログファイル管理プログラムが提供される。
【発明の効果】
【0027】
本発明によれば、管理グループに対応する暗号鍵を特定するための判定基準を管理する条件判定テーブルを利用し、出力されたログの内容をライン毎に判定し該当する管理グループの鍵で暗号化することにより、管理グループの管理者は自分の持つ鍵と同じ鍵で暗号化されたラインのみ復号することができることから一括管理されたログに対し、管理者の管理範囲に応じて参照範囲を限定することが可能となる。
【発明を実施するための最良の形態】
【0028】
本発明の概略は、ログに対し、階層化した管理グループの権限別に参照可能範囲を設定し、管理者が与えられた権限の範囲でのみ参照可能になるように、ログを暗号化し、不正アクセスや不必要な情報の漏洩を防止することを可能とするというものである。
【0029】
次に、本発明の実施例の構成について図面を参照して詳細に説明する。
【0030】
図1は、本発明の実施の形態の構成の一例を示すブロック図である。
【0031】
図1に示すように、本実施形態は、ログ収集対象サーバ100、ログ暗号化サーバ200及びログ参照端末300を有する。ログ収集対象サーバ100、ログ暗号化サーバ200及びログ参照端末300は、ネットワーク400を介して相互に接続されている。
【0032】
ログ収集対象サーバ100は、ログを出力するサーバである。ログ暗号化サーバ200は、ログ収集対象サーバ100からログを収集し暗号化するサーバである。ログ参照端末300はログ暗号化サーバ200が暗号化したログを復号し表示する端末である。
【0033】
ログ収集対象サーバ100は、ログを格納するための領域であるログ格納領域110を有している。そしてログ格納領域110にはログファイル120が格納されている。
【0034】
ログ暗号化サーバ200は、ログ収集部210、暗号鍵判定部220、暗号化部230、判定条件テーブル240、暗号ログ出力部250、暗号ログ格納領域260及び鍵格納領域270を有する。
【0035】
ログ収集部210は、ログ収集対象サーバ100のログ格納領域110からログファイル120を収集する。
【0036】
暗号鍵判定部220は、ログ収集部210が収集したログをライン毎に読みこみ、判定条件テーブル240の判定条件をチェックし、その読み込んだラインに対応している管理グループを判定し、その管理グループに対応する鍵IDを決定する。
【0037】
暗号化部230は、暗号鍵判定部220で決定した鍵IDに対応している暗号鍵を鍵格納領域270から取得する。そして、暗号化部230はその取得した暗号鍵を用いてログファイルの該当ラインを暗号化する。
【0038】
判定条件テーブル240は、鍵IDを特定するための判定条件を示すテーブルである。ここで、判定条件テーブル240の構成例としては、管理グループを決定するIP(Internet Protocol)アドレスやユーザID等の判定条件と、その判定条件に対応する鍵IDとを組にしておくこと等が考えられる。なお、判定条件は管理グループを決定することができればどのような内容でも良く、必ずしも上述したIPアドレスやユーザIDに限定されるものではない。また、上述の判定条件に加えてその管理グループが判定不可であるため再判定する場合の条件なども判定条件として示すようにしてもよい。判定条件テーブル240の具体例は後述する。
【0039】
暗号ログ出力部250は、暗号化部230で暗号化した暗号ログファイル261と鍵マップファイル262を暗号ログ格納領域260に出力する。
【0040】
暗号ログ格納領域260は、ログ参照端末からアクセス可能な領域であり、暗号済みの暗号ログファイルである暗号ログファイル261と、暗号鍵とその暗号鍵で暗号化されたログファイル内の場所の対応を示す鍵マップファイル262を格納する。
【0041】
鍵格納領域270は、図5の例に示す管理グループの構成ツリーに従い生成された、暗号用の鍵を格納する。図5に示す管理グループの構成ツリーについては後述する。
【0042】
ログ参照端末300は、ログ参照部310、復号部320、表示部330及び管理者用鍵格納領域340を有する。
【0043】
ログ参照部310は、ログ暗号化サーバ200の暗号ログ格納領域260から暗号ログファイル261と鍵マップファイル262を取得し、ログ参照端末300の管理者用鍵格納領域340に格納された管理者用鍵で復号可能な箇所を鍵マップファイル262から検出する。検出した箇所に対し、復号部320は管理者用鍵格納領域340に格納された管理者用鍵で復号する。
【0044】
表示部330は、復号した結果を、ログを利用する管理者の端末の画面へ表示する。
【0045】
次に、図5乃至10を参照して、管理グループの構成ツリーや判定条件テーブル240等の構成について説明する。
【0046】
図5は、図1に示した判定条件テーブル240で判定する管理グループの構成ツリーの一例を示す模式図である。
【0047】
この例の場合、階層1のMグループが最上位である。よって、管理グループMに属していれば下位のログ情報(階層2及び3のログ情報)は全て参照できる権限がある。
【0048】
階層2の管理グループは、自らの管理グループのログ及び自分の下位のログ情報の参照権限があるが、階層2の管理グループが相互にログを参照することはできない。
【0049】
同様に最下位の階層3の管理グループは自らの管理グループのログは参照することはできるが階層3の管理グループが相互にログを参照することはできない。
【0050】
図6に示すのは、図1に示した判定条件テーブル240の一例である。各階層の管理グループの判定条件、および管理グループの鍵IDの対応がわかるようになっている。なお、判定条件とは、上述したように、或るログファイルの或るラインがどの管理グループに属しているのかを判定するための条件である。
【0051】
図7に示すのは、図1に示した判定条件テーブル240の一例で、図6の条件判定では判定できなかったラインの鍵IDを判定するための条件を登録している。図6では、判定No1として1つ前のラインと同じ鍵IDをセットすることを示している。No2として前後10ライン以内に同じ鍵IDがセットされていれば、当該鍵IDをセットすることを示している。
【0052】
図8に示すのは、ログ収集対象サーバ100のログ格納領域110に出力された、暗号化前のログのイメージである。管理グループを特定する判定条件が含まれているログの各ラインのイメージである。
【0053】
図9に示すのは、暗号化部230により暗号化された暗号ログのイメージである。暗号鍵判定部220により各ライン毎に対応すると判定された暗号鍵により、暗号化されている。なお、図9では説明のために、「どの暗号鍵により暗号化されたか。」という情報を括弧内に示しているが、実際の暗号ログは、どの暗号鍵により暗号化されたかということは分からないようになっている。
【0054】
図10に示すのは、鍵マップファイルのイメージである。ログファイルのライン番号と、各ラインに対応する暗号鍵のマッピングが示されている。
【0055】
[実施例の動作の説明]
次に、図2、図3及び図4のフローチャートを参照して本発明の実施例の動作について詳細に説明する。
【0056】
図2は、図1に示すログ暗号化サーバ200のログ収集部210、暗号鍵判定部220、暗号化部230、および暗号ログ出力部250におけるログ暗号化処理手順を示すフローチャートである。
【0057】
まず、ログ暗号化サーバ200のログ収集部210によりログ収集が開始される(ステップS11)。
【0058】
ログ収集部210は、ネットワークを介して、ログ収集対象サーバ100のログ格納領域102に格納されているログファイル120を取得する(ステップS12)。
【0059】
ログ収集部210により取得したログファイルは、暗号鍵判定部210により、判定条件テーブル240を使い各ラインに対する鍵判定を行い、各ラインの鍵IDが決定される。暗号鍵判定部210は、各ラインの鍵IDが決定すると、鍵マップファイル262を生成し、鍵マップファイル262に鍵IDと該当するラインを登録する(ステップS13)。なお、ステップS13の詳細な内容は後述する。
【0060】
暗号鍵判定部210によりログファイルの全てのラインに対する鍵IDが決定すると、暗号化部210は、作成された鍵マップファイル262を参照し、鍵格納領域270から鍵IDに対応する暗号鍵を取得する(ステップS14)。
【0061】
そして暗号化部210は、取得した暗号鍵を用いて、各暗号鍵に対応するラインを暗号化する(ステップS15)。
【0062】
暗号化されたログファイル及び鍵マップファイル262は、暗号ログ出力部220により、ログ参照端末から参照可能な暗号ログ格納領域260に出力する(ステップS16)。
【0063】
図3は、図2に示すステップS13における鍵判定と鍵マップファイル生成の処理手順を示すフローチャートである。
【0064】
まず、暗号鍵判定部220は、図7のログイメージに示すログファイルのnラインを取得する(ステップS21)。
【0065】
次に、暗号鍵判定部220は、図6に示す判定条件テーブル240を参照し、階層2の管理グループを識別するための判定条件1であるIPアドレスまたは事業者IDが含まれているかどうかを判定する(ステップS22)。
【0066】
管理グループAに対応するIPアドレスyy.yy.yy.yy、または事業者IDのjigyoAが含まれている場合は(ステップS22においてYes)、階層2のAグループに属すると見なし、鍵IDにAグループに対応する鍵IDであるKeyAをセットし、鍵マップファイル262にnラインの鍵IDとしてKeyAを登録する(ステップS23)。
【0067】
判定条件1が含まれていない場合は(ステップS22においてNo)、再判定フラグをonにし(ステップS24)、判定対象のラインが最終かどうかをチェックし(ステップS25)、最終ラインでない場合は(ステップS25においてNo)次のラインを取得する(ステップS21)。
【0068】
判定条件1の判定により階層2のAグループの鍵IDがセットされた(ステップS23)後、図6に示す判定条件テーブル240を参照し、下位の階層nの管理グループを識別するための判定条件1であるIPアドレスまたは事業者IDが含まれているかどうかを判定する(ステップS26)。
【0069】
管理グループa1に対応するアプリケーションIDのservicea1またはユーザIDのUser11が含まれている場合は(ステップS26においてYes)、階層3のa1グループに属すると見なし、KeyAがセットされている鍵IDをa1グループに対応する鍵IDであるKeya1に変更し、鍵マップファイル262にnラインの鍵IDとしてKeya1を登録する(ステップS27)。
【0070】
このように、1ラインに対し、全ての階層N(例の場合は階層3)の条件判定を行い、鍵IDを決定する。判定条件Nが含まれていない場合は(ステップS26においてNo)、再判定フラグをonにし(ステップS24)、判定対象のラインが最終かどうかをチェックし(ステップS25)、最終ラインでない場合は(ステップS25においてNo)次のラインを取得する(ステップS21)。
【0071】
最終ラインの場合は(ステップS25においてYes)、鍵IDの決定を再度判定する、再判定ラインが有るかどうかをチェックし(ステップS28)、再判定フラグがonとなっているラインがある場合は(ステップS28においてYes)、再判定対象ラインを取得し、図7の例に示す判定条件テーブル240の再判定条件による判定を行なう(ステップS29)。
【0072】
再判定条件に該当する場合は(ステップS30においてYes)、判定条件に従い、対象ラインに該当する鍵IDをセットし、鍵マップファイル262にラインと鍵IDの対応を登録し(ステップS31)、終了する。再判定においても判定条件に該当しない場合は(ステップS30においてNo)、鍵IDの再セットを行わず終了する。
【0073】
図4は、図1に示すログ参照端末300のログ参照部310、復号部320及び表示部330におけるログ参照処理手順を示すフローチャートである。
【0074】
ログ参照端末300のログ参照部310により、ログ暗号化サーバ200の暗号ログ格納領域260から、暗号ログファイル261と鍵マップファイル262を取得する(ステップS41)。復号部320において、管理者用鍵格納領域340より、管理者の持つ鍵IDを取得する(ステップS42)。
【0075】
そして、その鍵IDに対応する鍵で暗号化された箇所を鍵マップファイル262により検出し、該当ラインを取得し(ステップS43)、管理者の鍵で復号する(ステップS44)。復号したラインの情報は、表示部330により、ログ参照端末300の画面に表示する(ステップS45)。
【0076】
以上説明した本発明の実施形態は以下のような効果を奏する。
【0077】
第一の効果は、各システムまたはサービスが複数存在し、ログを利用する管理者の管理範囲が異なる場合、一括管理されたログに対し、管理者の管理範囲に応じて参照範囲を限定することを可能とすることにある。
【0078】
その理由は、管理グループに対応する暗号鍵を特定するための判定基準を管理する条件判定テーブルを利用し、出力されたログの内容をライン毎に判定し該当する管理グループの鍵で暗号化することにより、管理グループの管理者は自分の持つ鍵と同じ鍵で暗号化されたラインのみ復号することができ、参照範囲を限定することができるためである。
【0079】
第二の効果は、階層的な管理組織において、上位管理者であっても、下位組織の管理グループの暗号化されたログを参照でき、かつそのために鍵を複数持つ必要がなく、単一の鍵で運用することを可能とすることにある。
【0080】
その理由は、各管理グループに応じた鍵を対応づける条件判定テーブルにより、階層型の管理組織に従い鍵を割り当て、階層的暗号化技術を使い、ログを暗号化することにより、階層に関係なくすべての管理者に単一の鍵を割り当て、必要な範囲でログを参照することができるためである。
【0081】
また、第三の効果は、ユーザの認証番号や、活動履歴といった情報を用いなくとも上記第一及び第二の効果を得ることができる点である。
【0082】
その理由は、管理者の管理範囲に応じて参照範囲を限定できるからである。
【0083】
なお、本発明の実施形態であるログ収集対象サーバ、ログ暗号化サーバ及びログ参照端末は、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。
【図面の簡単な説明】
【0084】
【図1】本発明の実施形態である、ログの情報漏えいを防止するログ暗号化および参照方式を実現するための基本的構成を示すブロック図である。
【図2】図1に示す本発明の実施形態である、ログ暗号化サーバの暗号化処理手順を示すフローチャートである。
【図3】図2に示す鍵判定の処理手順を示すフローチャートである。
【図4】図1に示す本発明の実施形態である、ログ参照端末のログ参照処理手順を示すフローチャートである。
【図5】本発明の実施形態における、ログ管理者の管理グループの構成ツリーの一例を示す図である。
【図6】本発明の実施形態における、図1に示す判定条件テーブルの構造の一例を示す図である。
【図7】本発明の実施形態における、図1に示す判定条件テーブル(再判定)の構造の一例を示す図である。
【図8】本発明の実施形態における、図1に示すログ収集対象サーバの暗号前のログのイメージを示す図である。
【図9】本発明の実施形態における、図1に示すログ暗号化サーバの暗号ログのイメージを示す図である。
【図10】本発明の実施形態における、鍵マップファイルのイメージを示す図である。
【符号の説明】
【0085】
100 ログ収集対象サーバ
110 ログ格納領域
120 ログファイル
200 ログ暗号化サーバ
210 ログ収集部
220 暗号鍵判定部
230 暗号化部
240 判定条件テーブル
250 暗号ログ出力部
260 暗号ログ格納領域
261 暗号ログファイル
262 鍵マップファイル
270 鍵格納領域
300 ログ参照端末
310 ログ参照部
320 復号部
330 表示部
340 管理者用鍵格納領域
400 ネットワーク
【技術分野】
【0001】
本発明はコンピュータシステムにおける情報漏洩の防止に関する。
【背景技術】
【0002】
近年、例えばASP(Application Service Provider)サービスのように、複数のユーザのシステムを管理し、各ユーザのシステム管理者にログ情報を提供するといった環境が増加している。
【0003】
このような環境下で、各システムの管理者が障害解析や監査のためにログを使用する場合、ログ管理の業務負荷を軽減するため、ある程度一括でログを収集し、管理する必要がある。もっとも、ログ情報には、IPアドレスやユーザID等の情報、システム固有の情報等が含まれるため全てのログ情報をシステム管理者に参照させることは好ましくない。そのため、システム管理者の管理範囲または権限に応じて参照できる情報の範囲を限定し、不要な情報漏洩を防止する必要がある。
【0004】
例えば上述で示したASPサービスにおいては、ASPサービス事業者は障害解析や監査のため、管理するシステムの全てのログ情報を参照できる必要がある。一方、各ユーザのシステム管理者は、お互いのログを見えないようにする必要がある。もしも、誤って他ユーザのログが見えてしまった場合、個人情報や機密情報の漏洩にもつながる恐れがあり、サービス提供者にとっての信用失墜につながる恐れもある。特に、SaaS(Software as a Service)のように、さらに管理組織が多段になるケースにおいても同様の問題がある。
【0005】
ここで、SaaSについて説明する。近年、システムの多様化、複雑化に伴い、企業で利用するサービスをアウトソーシングすることが増えている。
【0006】
SaaSにおいては、SaaSの基盤を提供するSaaS基盤サービス事業者、SaaS基盤サービス事業者の基盤を利用しサービスを提供するSaaS事業者、SaaS事業者のサービスを利用するテナント(SaaSサービス利用企業)、テナント(SaaSサービス利用企業)が提供するサービスを利用する利用者というように、従来のアウトソーシングの形態に比べ、システムをさらに多段の階層で管理するケースも出てきている。
【0007】
SaaS基盤では、サーバやデータベースを複数のユーザで共有可能となっており、そこで採取されるログは一括して管理される。そして、この一括して管理ログの参照権限は階層別の管理範囲に従い限定されなければならない。
【0008】
例えば、SaaS基盤サービス事業者は、自らより階層の低いSaaS事業者のシステムログをすべて参照できる。また、SaaS事業者は、自らより階層の低いテナントのログを参照できるが、SaaS事業者間ではお互いのログは参照できてはいけない。また、テナントは、自テナントより階層の低いユーザのログは参照できるが、他のテナントの情報は参照できてはいけない。つまり、階層構成を保った状態で、ログの参照を安全に行なう必要がある。
【0009】
また、上述したようなシステムにおいてはログの情報漏えいを防止するためにログを暗号化する必要がある。そして、暗号化の方法としては、ログを一括で暗号化しシステム管理者に送付する方法(下述の(1))や、システム管理者毎に対応する鍵で暗号化し送付する方法(下述の(2))がある。
【0010】
(1)ログを一括で暗号化しシステム管理者に送付する方法の例が特許文献1に記載されている。
【0011】
具体的には、ログ隠遁機能を持つサーバでログを一括で暗号化後に隠遁し、ログ管理者がログ復号化装置で復号する方法が記載されている。
【0012】
このように、ログを一括で暗号化し、システム管理者に送付する場合、システム管理者以外の一般利用者への情報漏洩は防止できる。
【0013】
(2)システム管理者毎に異なる鍵で各ログファイルを暗号化する方法の例が特許文献2に記載されている。
【0014】
具体的には、ログを参照するログ解析者にログ参照の役割に応じた権限をもたせ、その権限を持った管理者にしか参照を行えなくすることにより、機密の漏洩を防止するログ収集参照方法が記載されている。
【0015】
このように、システム管理者毎に異なる鍵で各ログファイルを暗号化する場合、暗号化されたログファイルに該当するシステムの担当者のみが復号鍵を利用しログを参照できる。
【特許文献1】特開2006−252033号公報
【特許文献2】特開2007−200059号公報
【発明の開示】
【発明が解決しようとする課題】
【0016】
しかしながら、特許文献1に記載の技術では、ログを一括で暗号化し隠遁するため、管理者以外の一般利用者への情報漏えいは防止できるが、本来、他の管理者のみが参照すべきログ情報も合わせて配布されてしまう。すなわち、管理者はその管理範囲に関係なくすべてのログが参照できてしまうという問題がある。
【0017】
また、復号鍵が盗まれると、全ての情報が参照可能になってしまうというセキュリティ上の問題もある。
【0018】
この点、特許文献2に記載の技術ならば管理範囲に関係するログのみを参照させることができる。しかし、ネットワークログやアプリケーションログなどの役割の単位でログが暗号化され、その役割に応じた復号鍵が1対1の関係で必要となる。そのため、管理範囲が異なる管理者が階層構成で存在する場合、複数の役割権限を持つ上位の管理者は、複数の暗号鍵が必要になり、管理者の運用性を低下させ、操作ミスによる情報漏えいの危険が増大する恐れがあるという問題がある。
【0019】
例えば、上述したSaaSのようなシステムにおいては、システム管理者が階層化された管理グループで構成されており、最上位の管理者は全てログを参照できる必要がある。そのため、最上位の管理者が、下位の管理者の持つすべての復号鍵を持つ、もしくは同じログファイルを別の鍵で暗号化しておかなければならない。
【0020】
同様に2番目の階層の管理者は、その階層の管理下のログを参照するため、3番目の階層以下に属する全てのログの復号鍵を持つ、もしくは異なる鍵で暗号化しておく必要がある。従って、システム管理者の組織階層が多段になるほど、上位管理者が必要とする鍵の数が増え、管理工数の増大とセキュリティリスクの増大を招く恐れがある。
【0021】
そこで、本発明はシステム管理者の管理グループの権限に応じた範囲でのみログの参照可能とした階層型の管理グループ構成であっても、暗号化による鍵の管理工数が増大せず、安全にかつ効率よくログを管理することが可能な、情報漏えいを防止するログの収集及び参照方法、その装置及びそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0022】
本発明の第1の観点によれば、ログファイルを暗号化するための暗号化サーバであって、前記ログファイルを収集するログ収集手段と、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、を備えることを特徴とする暗号化サーバが提供される。
【0023】
本発明の第2の観点によれば、暗号化されたログファイルを復号するためのログ参照端末であって、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、を備えることを特徴とするログ参照端末が提供される。
【0024】
本発明の第3の観点によれば、上述の第1の観点により提供される暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理システムであって、前記ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照手段と、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、を備えることを特徴とするログファイル管理システムが提供される。
【0025】
本発明の第4の観点によれば、ログファイルを管理するためのログファイル管理方法であって、前記ログファイルを収集するログ収集ステップと、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する第1のステップと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定ステップと、前記暗号鍵判定ステップにより判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化ステップと、を備えることを特徴とするログファイル管理方法が提供される。
【0026】
本発明の第5の観点によれば、ログファイルを管理するためのログファイル管理プログラムであって、前記ログファイルを収集するログ収集手段と、前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、を備える暗号化サーバとしてコンピュータを機能させることを特徴とするログファイル管理プログラムが提供される。
【発明の効果】
【0027】
本発明によれば、管理グループに対応する暗号鍵を特定するための判定基準を管理する条件判定テーブルを利用し、出力されたログの内容をライン毎に判定し該当する管理グループの鍵で暗号化することにより、管理グループの管理者は自分の持つ鍵と同じ鍵で暗号化されたラインのみ復号することができることから一括管理されたログに対し、管理者の管理範囲に応じて参照範囲を限定することが可能となる。
【発明を実施するための最良の形態】
【0028】
本発明の概略は、ログに対し、階層化した管理グループの権限別に参照可能範囲を設定し、管理者が与えられた権限の範囲でのみ参照可能になるように、ログを暗号化し、不正アクセスや不必要な情報の漏洩を防止することを可能とするというものである。
【0029】
次に、本発明の実施例の構成について図面を参照して詳細に説明する。
【0030】
図1は、本発明の実施の形態の構成の一例を示すブロック図である。
【0031】
図1に示すように、本実施形態は、ログ収集対象サーバ100、ログ暗号化サーバ200及びログ参照端末300を有する。ログ収集対象サーバ100、ログ暗号化サーバ200及びログ参照端末300は、ネットワーク400を介して相互に接続されている。
【0032】
ログ収集対象サーバ100は、ログを出力するサーバである。ログ暗号化サーバ200は、ログ収集対象サーバ100からログを収集し暗号化するサーバである。ログ参照端末300はログ暗号化サーバ200が暗号化したログを復号し表示する端末である。
【0033】
ログ収集対象サーバ100は、ログを格納するための領域であるログ格納領域110を有している。そしてログ格納領域110にはログファイル120が格納されている。
【0034】
ログ暗号化サーバ200は、ログ収集部210、暗号鍵判定部220、暗号化部230、判定条件テーブル240、暗号ログ出力部250、暗号ログ格納領域260及び鍵格納領域270を有する。
【0035】
ログ収集部210は、ログ収集対象サーバ100のログ格納領域110からログファイル120を収集する。
【0036】
暗号鍵判定部220は、ログ収集部210が収集したログをライン毎に読みこみ、判定条件テーブル240の判定条件をチェックし、その読み込んだラインに対応している管理グループを判定し、その管理グループに対応する鍵IDを決定する。
【0037】
暗号化部230は、暗号鍵判定部220で決定した鍵IDに対応している暗号鍵を鍵格納領域270から取得する。そして、暗号化部230はその取得した暗号鍵を用いてログファイルの該当ラインを暗号化する。
【0038】
判定条件テーブル240は、鍵IDを特定するための判定条件を示すテーブルである。ここで、判定条件テーブル240の構成例としては、管理グループを決定するIP(Internet Protocol)アドレスやユーザID等の判定条件と、その判定条件に対応する鍵IDとを組にしておくこと等が考えられる。なお、判定条件は管理グループを決定することができればどのような内容でも良く、必ずしも上述したIPアドレスやユーザIDに限定されるものではない。また、上述の判定条件に加えてその管理グループが判定不可であるため再判定する場合の条件なども判定条件として示すようにしてもよい。判定条件テーブル240の具体例は後述する。
【0039】
暗号ログ出力部250は、暗号化部230で暗号化した暗号ログファイル261と鍵マップファイル262を暗号ログ格納領域260に出力する。
【0040】
暗号ログ格納領域260は、ログ参照端末からアクセス可能な領域であり、暗号済みの暗号ログファイルである暗号ログファイル261と、暗号鍵とその暗号鍵で暗号化されたログファイル内の場所の対応を示す鍵マップファイル262を格納する。
【0041】
鍵格納領域270は、図5の例に示す管理グループの構成ツリーに従い生成された、暗号用の鍵を格納する。図5に示す管理グループの構成ツリーについては後述する。
【0042】
ログ参照端末300は、ログ参照部310、復号部320、表示部330及び管理者用鍵格納領域340を有する。
【0043】
ログ参照部310は、ログ暗号化サーバ200の暗号ログ格納領域260から暗号ログファイル261と鍵マップファイル262を取得し、ログ参照端末300の管理者用鍵格納領域340に格納された管理者用鍵で復号可能な箇所を鍵マップファイル262から検出する。検出した箇所に対し、復号部320は管理者用鍵格納領域340に格納された管理者用鍵で復号する。
【0044】
表示部330は、復号した結果を、ログを利用する管理者の端末の画面へ表示する。
【0045】
次に、図5乃至10を参照して、管理グループの構成ツリーや判定条件テーブル240等の構成について説明する。
【0046】
図5は、図1に示した判定条件テーブル240で判定する管理グループの構成ツリーの一例を示す模式図である。
【0047】
この例の場合、階層1のMグループが最上位である。よって、管理グループMに属していれば下位のログ情報(階層2及び3のログ情報)は全て参照できる権限がある。
【0048】
階層2の管理グループは、自らの管理グループのログ及び自分の下位のログ情報の参照権限があるが、階層2の管理グループが相互にログを参照することはできない。
【0049】
同様に最下位の階層3の管理グループは自らの管理グループのログは参照することはできるが階層3の管理グループが相互にログを参照することはできない。
【0050】
図6に示すのは、図1に示した判定条件テーブル240の一例である。各階層の管理グループの判定条件、および管理グループの鍵IDの対応がわかるようになっている。なお、判定条件とは、上述したように、或るログファイルの或るラインがどの管理グループに属しているのかを判定するための条件である。
【0051】
図7に示すのは、図1に示した判定条件テーブル240の一例で、図6の条件判定では判定できなかったラインの鍵IDを判定するための条件を登録している。図6では、判定No1として1つ前のラインと同じ鍵IDをセットすることを示している。No2として前後10ライン以内に同じ鍵IDがセットされていれば、当該鍵IDをセットすることを示している。
【0052】
図8に示すのは、ログ収集対象サーバ100のログ格納領域110に出力された、暗号化前のログのイメージである。管理グループを特定する判定条件が含まれているログの各ラインのイメージである。
【0053】
図9に示すのは、暗号化部230により暗号化された暗号ログのイメージである。暗号鍵判定部220により各ライン毎に対応すると判定された暗号鍵により、暗号化されている。なお、図9では説明のために、「どの暗号鍵により暗号化されたか。」という情報を括弧内に示しているが、実際の暗号ログは、どの暗号鍵により暗号化されたかということは分からないようになっている。
【0054】
図10に示すのは、鍵マップファイルのイメージである。ログファイルのライン番号と、各ラインに対応する暗号鍵のマッピングが示されている。
【0055】
[実施例の動作の説明]
次に、図2、図3及び図4のフローチャートを参照して本発明の実施例の動作について詳細に説明する。
【0056】
図2は、図1に示すログ暗号化サーバ200のログ収集部210、暗号鍵判定部220、暗号化部230、および暗号ログ出力部250におけるログ暗号化処理手順を示すフローチャートである。
【0057】
まず、ログ暗号化サーバ200のログ収集部210によりログ収集が開始される(ステップS11)。
【0058】
ログ収集部210は、ネットワークを介して、ログ収集対象サーバ100のログ格納領域102に格納されているログファイル120を取得する(ステップS12)。
【0059】
ログ収集部210により取得したログファイルは、暗号鍵判定部210により、判定条件テーブル240を使い各ラインに対する鍵判定を行い、各ラインの鍵IDが決定される。暗号鍵判定部210は、各ラインの鍵IDが決定すると、鍵マップファイル262を生成し、鍵マップファイル262に鍵IDと該当するラインを登録する(ステップS13)。なお、ステップS13の詳細な内容は後述する。
【0060】
暗号鍵判定部210によりログファイルの全てのラインに対する鍵IDが決定すると、暗号化部210は、作成された鍵マップファイル262を参照し、鍵格納領域270から鍵IDに対応する暗号鍵を取得する(ステップS14)。
【0061】
そして暗号化部210は、取得した暗号鍵を用いて、各暗号鍵に対応するラインを暗号化する(ステップS15)。
【0062】
暗号化されたログファイル及び鍵マップファイル262は、暗号ログ出力部220により、ログ参照端末から参照可能な暗号ログ格納領域260に出力する(ステップS16)。
【0063】
図3は、図2に示すステップS13における鍵判定と鍵マップファイル生成の処理手順を示すフローチャートである。
【0064】
まず、暗号鍵判定部220は、図7のログイメージに示すログファイルのnラインを取得する(ステップS21)。
【0065】
次に、暗号鍵判定部220は、図6に示す判定条件テーブル240を参照し、階層2の管理グループを識別するための判定条件1であるIPアドレスまたは事業者IDが含まれているかどうかを判定する(ステップS22)。
【0066】
管理グループAに対応するIPアドレスyy.yy.yy.yy、または事業者IDのjigyoAが含まれている場合は(ステップS22においてYes)、階層2のAグループに属すると見なし、鍵IDにAグループに対応する鍵IDであるKeyAをセットし、鍵マップファイル262にnラインの鍵IDとしてKeyAを登録する(ステップS23)。
【0067】
判定条件1が含まれていない場合は(ステップS22においてNo)、再判定フラグをonにし(ステップS24)、判定対象のラインが最終かどうかをチェックし(ステップS25)、最終ラインでない場合は(ステップS25においてNo)次のラインを取得する(ステップS21)。
【0068】
判定条件1の判定により階層2のAグループの鍵IDがセットされた(ステップS23)後、図6に示す判定条件テーブル240を参照し、下位の階層nの管理グループを識別するための判定条件1であるIPアドレスまたは事業者IDが含まれているかどうかを判定する(ステップS26)。
【0069】
管理グループa1に対応するアプリケーションIDのservicea1またはユーザIDのUser11が含まれている場合は(ステップS26においてYes)、階層3のa1グループに属すると見なし、KeyAがセットされている鍵IDをa1グループに対応する鍵IDであるKeya1に変更し、鍵マップファイル262にnラインの鍵IDとしてKeya1を登録する(ステップS27)。
【0070】
このように、1ラインに対し、全ての階層N(例の場合は階層3)の条件判定を行い、鍵IDを決定する。判定条件Nが含まれていない場合は(ステップS26においてNo)、再判定フラグをonにし(ステップS24)、判定対象のラインが最終かどうかをチェックし(ステップS25)、最終ラインでない場合は(ステップS25においてNo)次のラインを取得する(ステップS21)。
【0071】
最終ラインの場合は(ステップS25においてYes)、鍵IDの決定を再度判定する、再判定ラインが有るかどうかをチェックし(ステップS28)、再判定フラグがonとなっているラインがある場合は(ステップS28においてYes)、再判定対象ラインを取得し、図7の例に示す判定条件テーブル240の再判定条件による判定を行なう(ステップS29)。
【0072】
再判定条件に該当する場合は(ステップS30においてYes)、判定条件に従い、対象ラインに該当する鍵IDをセットし、鍵マップファイル262にラインと鍵IDの対応を登録し(ステップS31)、終了する。再判定においても判定条件に該当しない場合は(ステップS30においてNo)、鍵IDの再セットを行わず終了する。
【0073】
図4は、図1に示すログ参照端末300のログ参照部310、復号部320及び表示部330におけるログ参照処理手順を示すフローチャートである。
【0074】
ログ参照端末300のログ参照部310により、ログ暗号化サーバ200の暗号ログ格納領域260から、暗号ログファイル261と鍵マップファイル262を取得する(ステップS41)。復号部320において、管理者用鍵格納領域340より、管理者の持つ鍵IDを取得する(ステップS42)。
【0075】
そして、その鍵IDに対応する鍵で暗号化された箇所を鍵マップファイル262により検出し、該当ラインを取得し(ステップS43)、管理者の鍵で復号する(ステップS44)。復号したラインの情報は、表示部330により、ログ参照端末300の画面に表示する(ステップS45)。
【0076】
以上説明した本発明の実施形態は以下のような効果を奏する。
【0077】
第一の効果は、各システムまたはサービスが複数存在し、ログを利用する管理者の管理範囲が異なる場合、一括管理されたログに対し、管理者の管理範囲に応じて参照範囲を限定することを可能とすることにある。
【0078】
その理由は、管理グループに対応する暗号鍵を特定するための判定基準を管理する条件判定テーブルを利用し、出力されたログの内容をライン毎に判定し該当する管理グループの鍵で暗号化することにより、管理グループの管理者は自分の持つ鍵と同じ鍵で暗号化されたラインのみ復号することができ、参照範囲を限定することができるためである。
【0079】
第二の効果は、階層的な管理組織において、上位管理者であっても、下位組織の管理グループの暗号化されたログを参照でき、かつそのために鍵を複数持つ必要がなく、単一の鍵で運用することを可能とすることにある。
【0080】
その理由は、各管理グループに応じた鍵を対応づける条件判定テーブルにより、階層型の管理組織に従い鍵を割り当て、階層的暗号化技術を使い、ログを暗号化することにより、階層に関係なくすべての管理者に単一の鍵を割り当て、必要な範囲でログを参照することができるためである。
【0081】
また、第三の効果は、ユーザの認証番号や、活動履歴といった情報を用いなくとも上記第一及び第二の効果を得ることができる点である。
【0082】
その理由は、管理者の管理範囲に応じて参照範囲を限定できるからである。
【0083】
なお、本発明の実施形態であるログ収集対象サーバ、ログ暗号化サーバ及びログ参照端末は、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。
【図面の簡単な説明】
【0084】
【図1】本発明の実施形態である、ログの情報漏えいを防止するログ暗号化および参照方式を実現するための基本的構成を示すブロック図である。
【図2】図1に示す本発明の実施形態である、ログ暗号化サーバの暗号化処理手順を示すフローチャートである。
【図3】図2に示す鍵判定の処理手順を示すフローチャートである。
【図4】図1に示す本発明の実施形態である、ログ参照端末のログ参照処理手順を示すフローチャートである。
【図5】本発明の実施形態における、ログ管理者の管理グループの構成ツリーの一例を示す図である。
【図6】本発明の実施形態における、図1に示す判定条件テーブルの構造の一例を示す図である。
【図7】本発明の実施形態における、図1に示す判定条件テーブル(再判定)の構造の一例を示す図である。
【図8】本発明の実施形態における、図1に示すログ収集対象サーバの暗号前のログのイメージを示す図である。
【図9】本発明の実施形態における、図1に示すログ暗号化サーバの暗号ログのイメージを示す図である。
【図10】本発明の実施形態における、鍵マップファイルのイメージを示す図である。
【符号の説明】
【0085】
100 ログ収集対象サーバ
110 ログ格納領域
120 ログファイル
200 ログ暗号化サーバ
210 ログ収集部
220 暗号鍵判定部
230 暗号化部
240 判定条件テーブル
250 暗号ログ出力部
260 暗号ログ格納領域
261 暗号ログファイル
262 鍵マップファイル
270 鍵格納領域
300 ログ参照端末
310 ログ参照部
320 復号部
330 表示部
340 管理者用鍵格納領域
400 ネットワーク
【特許請求の範囲】
【請求項1】
ログファイルを暗号化するための暗号化サーバであって、
前記ログファイルを収集するログ収集手段と、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、
前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、
を備えることを特徴とする暗号化サーバ。
【請求項2】
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定手段が前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とする請求項1に記載の暗号化サーバ。
【請求項3】
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とする請求項1又は2に記載の暗号化サーバ。
【請求項4】
暗号化されたログファイルを復号するためのログ参照端末であって、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えることを特徴とするログ参照端末。
【請求項5】
請求項1乃至3の何れか1項に記載の暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理システムであって、
前記ログ参照端末が、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えることを特徴とするログファイル管理システム。
【請求項6】
ログファイルを管理するためのログファイル管理方法であって、
前記ログファイルを収集するログ収集ステップと、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する第1のステップと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定ステップと、
前記暗号鍵判定ステップにより判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項7】
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定ステップにおいて前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とする請求項6に記載のログファイル管理方法。
【請求項8】
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とする請求項6又は7に記載のログファイル管理方法。
【請求項9】
ログファイルを管理するためのログファイル管理方法であって、
ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部を用意するステップと、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照ステップと、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項10】
暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理方法であって、
前記暗号化サーバが、請求項6乃至8の何れか1項に記載の各ステップを行い、
前記ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部を用意する第2のステップと、
前記ログ参照端末が、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照ステップと、
前記ログ参照端末が、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項11】
ログファイルを管理するためのログファイル管理プログラムであって、
前記ログファイルを収集するログ収集手段と、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、
前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、
を備える暗号化サーバとしてコンピュータを機能させることを特徴とするログファイル管理プログラム。
【請求項12】
請求項11に記載のログファイル管理プログラムであって、
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定手段が前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とするログファイル管理プログラム。
【請求項13】
請求項11又は12に記載のログファイル管理プログラムであって、
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とするログファイル管理プログラム。
【請求項14】
ログファイルを管理するためのログファイル管理プログラムであって、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えるログ参照端末としてコンピュータを機能させることを特徴とするログファイル管理プログラム。
【請求項1】
ログファイルを暗号化するための暗号化サーバであって、
前記ログファイルを収集するログ収集手段と、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、
前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、
を備えることを特徴とする暗号化サーバ。
【請求項2】
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定手段が前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とする請求項1に記載の暗号化サーバ。
【請求項3】
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とする請求項1又は2に記載の暗号化サーバ。
【請求項4】
暗号化されたログファイルを復号するためのログ参照端末であって、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えることを特徴とするログ参照端末。
【請求項5】
請求項1乃至3の何れか1項に記載の暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理システムであって、
前記ログ参照端末が、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えることを特徴とするログファイル管理システム。
【請求項6】
ログファイルを管理するためのログファイル管理方法であって、
前記ログファイルを収集するログ収集ステップと、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルを用意する第1のステップと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定ステップと、
前記暗号鍵判定ステップにより判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項7】
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定ステップにおいて前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とする請求項6に記載のログファイル管理方法。
【請求項8】
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とする請求項6又は7に記載のログファイル管理方法。
【請求項9】
ログファイルを管理するためのログファイル管理方法であって、
ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部を用意するステップと、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照ステップと、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項10】
暗号化サーバと、ログ参照端末とを備え、ログの暗号化及び復号を行うログファイル管理方法であって、
前記暗号化サーバが、請求項6乃至8の何れか1項に記載の各ステップを行い、
前記ログ参照端末が、自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部を用意する第2のステップと、
前記ログ参照端末が、前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を前記暗号化サーバから収集する、ログ参照ステップと、
前記ログ参照端末が、前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化ステップと、
を備えることを特徴とするログファイル管理方法。
【請求項11】
ログファイルを管理するためのログファイル管理プログラムであって、
前記ログファイルを収集するログ収集手段と、
前記ログファイル内の或るラインがどの管理グループに対応しているか判定するための条件である判定条件と、前記管理グループに対応している鍵IDと、の組付けを示す判定条件テーブルと、
前記判定条件テーブルを参照することにより、暗号化の対象とする前記ラインに組付けられている暗号鍵を判定する暗号鍵判定手段と、
前記暗号鍵判定手段により判定された前記暗号鍵を用いて前記ラインを暗号化することにより暗号ログファイルを生成し、前記暗号ログファイルと当該ログファイルを暗号化するために用いた前記暗号鍵の鍵IDとの組を用いて鍵マップファイルを生成する暗号化手段と、
を備える暗号化サーバとしてコンピュータを機能させることを特徴とするログファイル管理プログラム。
【請求項12】
請求項11に記載のログファイル管理プログラムであって、
前記判定条件テーブルが、再判定を行う際に鍵IDを決定するための条件である再判定条件を更に有し、
前記暗号鍵判定手段が前記判定条件を用いても判定ができなかった前記ラインに対して、前記再判定条件を用いて再判定を行うことにより前記暗号鍵を決定することを特徴とするログファイル管理プログラム。
【請求項13】
請求項11又は12に記載のログファイル管理プログラムであって、
前記管理グループは、階層型のツリー構造をしており、自らの管理グループ及び自身より下位の階層の管理グループの管理するログが暗号化できるように前記判定条件テーブルにおいて前記暗号鍵が組付けられていることを特徴とするログファイル管理プログラム。
【請求項14】
ログファイルを管理するためのログファイル管理プログラムであって、
自らが管理するグループのログファイルを復号するための復号鍵が格納されている管理者用鍵格納部と、
前記暗号化されたログファイルと、前記ログファイルの各ラインをどの暗号鍵を用いて暗号化したのかを示す鍵マップファイルと、を収集する、ログ参照手段と、
前記鍵マップファイルを参照することにより前記暗号化されたログファイルの前記各ラインの中から前記復号鍵で復号可能なラインを判別し、前記判別の結果復号可能と判断された前記ラインを復号化する復号化手段と、
を備えるログ参照端末としてコンピュータを機能させることを特徴とするログファイル管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−128901(P2010−128901A)
【公開日】平成22年6月10日(2010.6.10)
【国際特許分類】
【出願番号】特願2008−304401(P2008−304401)
【出願日】平成20年11月28日(2008.11.28)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年6月10日(2010.6.10)
【国際特許分類】
【出願日】平成20年11月28日(2008.11.28)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]