情報漏洩防止プログラムのアンインストール実行可否制御方法および情報漏洩防止システム
【課題】管理者が把握できない情報漏洩防止プログラムのアンインストールを行えないようにする。
【解決手段】クライアントコンピュータ200は、クライアントコンピュータ200に固有の情報を用い、チャレンジとレスポンスを生成し、生成したチャレンジをサーバコンピュータ300に通知すると共に生成したレスポンスを記憶し、前記サーバコンピュータ300が通知されたチャレンジに基づき前記クライアントコンピュータ200の前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータ200に通知し、前記クライアントコンピュータ200がレスポンスと前記記憶したレスポンスと比較し、レスポンスが一致した場合にのみ、前記情報漏洩防止プログラムのアンインストールを実行する。
【解決手段】クライアントコンピュータ200は、クライアントコンピュータ200に固有の情報を用い、チャレンジとレスポンスを生成し、生成したチャレンジをサーバコンピュータ300に通知すると共に生成したレスポンスを記憶し、前記サーバコンピュータ300が通知されたチャレンジに基づき前記クライアントコンピュータ200の前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータ200に通知し、前記クライアントコンピュータ200がレスポンスと前記記憶したレスポンスと比較し、レスポンスが一致した場合にのみ、前記情報漏洩防止プログラムのアンインストールを実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報漏洩防止プログラムをインストールした情報漏洩防止システムに係り、情報漏洩防止プログラムのアンインストール実行可否制御方法およびシステムに関するものである。
【背景技術】
【0002】
データの持ち出しを禁止する情報漏洩防止プログラムをインストールした情報漏洩防止システムにあっては、情報漏洩防止プログラムをアンインストールすることによってデータの持ち出し禁止機能を解除し、データの持ち出しが可能になってしまう。
そこで、従来の情報漏洩防止システムでは、情報漏洩防止プログラムのアンインストール実行時に実行者の権限をパスワードによって認証し、認証に成功した実行者のみにアンインストールを許可し、どの情報処理端末が情報漏洩防止プログラムをアンインストールしたかを管理するようにしている。
【0003】
しかし、実行者の権限をチェックする場合、実行者毎に異なる権限を管理する必要がある。またアンインストール時に使用するパスワードを、インストール媒体毎で異なる値に設定すると、管理者はそれらの異なるパスワード全ての管理を行う必要があるため、運用面での負荷が高くなる。そのため運用面での負荷を低減するために、実行者の権限を一律で禁止または許可にした、インストール媒体毎で共通のパスワードを設定したりする場合があり、この場合セキュリティを保つことができなくなる。
【0004】
本発明に類似する情報漏洩防止システムとして、例えば下記の特許文献1に開示されたものがある。この特許文献1に開示されたものは、インストールおよびアンインストールを行う際に、セキュリティ権限をチェックすることで、インストールおよびアンインストールの制御を行うというものである。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−339142号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
実行者毎にセキュリティ権限を設定することは、実行者の数に比例して、管理コストも増大する。そのため、運用面での負荷が高く、権限の管理コストを抑えるため、実行者の権限を一律で禁止または、許可にする場合がある。
セキュリティ権限を一律で禁止にした場合は、アンインストールが必要な時にアンインストールが不可となり、運用上の柔軟な対応が取れない。逆に一律で許可にした場合、容易にアンインストールが可能となり、セキュリティが保てない。
また管理者がインストール媒体毎で利用者共通のパスワードを設定する場合、ある利用者がアンインストールを実行する際に、取得したパスワード情報を異なる利用者に漏洩すると、その異なる利用者が使用する情報漏洩防止プログラムをアンインストールすることが可能となってしまう。また、管理者は、その異なる利用者が情報漏洩防止プログラムをアンインストールしたことを把握できず、情報漏洩の防止および検知が行えなくなってしまう。
【0007】
本発明の目的は、管理者の運用負荷を高くせずに、情報漏洩プログラムのアンインストール実行可否の制御を行い、管理者が把握できない情報漏洩プログラムのアンインストールが行えないようにするための方法及びシステムを提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の情報漏洩防止プログラムのアンインストール実行可否制御方法は、クライアントコンピュータにインストールした情報漏洩防止機能を備えたクライアント用プログラムのアンインストールの実行可否を管理者が管理するサーバコンピュータとの協同によって制御する方法であって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶するステップと、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知するステップと、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較するステップと、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行するステップとを備えることを特徴とする。
また、前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可するステップとを備えることを特徴とする。
また、前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする。
【0009】
また、情報漏洩防止機能を備えたクライアント用プログラムをインストールしたクライアントコンピュータと、管理者が管理するサーバコンピュータとによって構成された情報漏洩システムであって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶する手段と、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知する手段と、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する手段と、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行する手段とを備えることを特徴とする。
また、前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可する手段を備えることを特徴とする。
また、前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする。
【発明の効果】
【0010】
本発明の方式によれば、次のような効果がある。
(1)利用者は、管理者の許可なくアンインストールを行えないため、管理者の検知し得ない情報漏洩プログラムのアンインストールは実行不可能となる。
(2)管理者は、インストール媒体ごとのパスワードの管理および実行者の権限の管理を行う必要がなく、運用負荷がかからずに、アンインストールの実行可否を制御することができる。
(3)組織内でアンインストールに使用するワンタイムパスワード(レスポンス)の衝突が発生しにくい。
(4)異なる組織間で、異なるシークレットを定めていれば、アンインストールに使用するワンタイムパスワードの衝突が発生しない。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明の実施の形態例を示すシステム構成図である。
【図2】図2は、クライアント200の機能ブロック図である。
【図3】図3は、サーバ300の機能ブロック図である。
【図4】図4は、クライアント200上での処理フローである。
【発明を実施するための形態】
【0012】
以下、本発明を適用した情報漏洩防止プログラムのアンインストールの実行可否の制御方法について図示する実施の形態に基づいて説明する。
図1は本発明に係る情報漏洩プログラムのアンインストールの実行可否の制御方法の概要を示したシステム構成図である。
利用者101は、本発明を適用した情報漏洩防止システムのクライアント用プログラムをインストールしたPC(パーソナルコンピュータ)であるクライアント200を利用している。
管理者102は、本発明を適用した情報漏洩防止システムのサーバ用プログラムをインストールしたPCであるサーバ300を利用している。サーバ300では、情報漏洩防止システムのクライアントインストール媒体500を作成する。クライアントインストール媒体500の作成時に、組織ごとに異なる値(シークレット)600を設定する。サーバ300で作成したインストール媒体500を使用して、クライアント200に情報漏洩防止システムのクライアント用プログラムをインストールすると、クライアント200では、サーバ300で設定したシークレット600を保持する。
【0013】
利用者101は、クライアント200から情報漏洩防止システムのクライアント用プログラムのアンインストールの実行を開始する。すると、クライアント200にインストールされた情報漏洩防止システムのクライアント用プログラムは、アンインストールの要求を受け付けたタイミングで、クライアント200の現在時刻情報などシードとしてチャレンジ700を生成する。また、このチャレンジ700とシークレット600を元にレスポンス800を生成し、クライアント200上に、予め定めた一定時間の間保持する。
【0014】
情報漏洩防止システムのクライアント200は、生成したチャレンジ700をクライアント200の画面に表示し、利用者101に確認させ、管理者102にアンインストールの許可申請と一緒にチャレンジ700を届け出る。この届け出は文書または電話、携帯メールなどによって行う。要は、クライアント200とサーバ300間の通信経路とは別の経路、方法によって届け出を行う。
【0015】
管理者102は、利用者101が情報漏洩防止システムのクライアント用プログラムをアンインストールすることを申請した場合、サーバ300にインストールされた情報漏洩防止システムのサーバ用プログラムのレスポンス生成ツールを実行する。
サーバ300のレスポンス生成ツールは、管理者102にチャレンジ700の入力を促す。このチャレンジ700は利用者101から受け取ったものである。
【0016】
管理者102は、サーバ300で実行しているサーバ用プログラムのレスポンス生成ツールに、利用者101から届けられたチャレンジ700を入力する。
サーバ300で実行しているサーバ用プログラムのレスポンス生成ツールは、管理者102が入力したチャレンジ700を受け付けた後、クライアント200に設定したシークレット600を使用して、クライアント200におけるレスポンス生成処理と同様のアルゴリズムでレスポンス900を生成する。そして、生成したレスポンス900をサーバ300の画面上に表示し、管理者102に通知する。
【0017】
管理者102は、サーバ300に表示されたレスポンス900を確認し、利用者101にアンインストール許可の知らせと共にレスポンス900を文書または電話、携帯メール等により通知する。
利用者101は、管理者102より受け取ったレスポンス900を、クライアント200に入力する。
【0018】
クライアント200は、入力されたレスポンス900と、クライアント200上に保持しているレスポンス800とを照合し、合致していれば、情報漏洩防止システムのクライアント用プログラムをアンインストールする。
レスポンスを保持する一定時間を越えて、管理者102より受け取ったレスポンス900を入力した場合は、照合を失敗とする。そして、この場合は、アンインストールを実行しない。
【0019】
アンインストールに成功したレスポンス900を、利用者101が、利用者103(シークレット1000が定められ、異なる組織に属している)に情報を漏洩した場合でも、クライアント400には異なるシークレット1000を保持しているため、照合に失敗しアンインストールを行えない。
アンインストールを行うためのパスワードをサーバ300で管理する必要がなく、組織ごとにシークレットを定めることで、異なる組織間で、パスワードの衝突も発生しにくい。
【0020】
図2はクライアント200の機能ブロック図を示している。
I/O部210は、ユーザ101からアンインストール実行の命令要求、ユーザ101へのチャレンジ700の出力およびユーザ101からのレスポンス800の入力を行う。チャレンジ生成部221は、I/O部210でアンインストール実行の命令要求を受け付けた際にチャレンジ700の生成処理を行う。時間記録部224はチャレンジ生成部221が処理を始めた時刻を記録する。レスポンス生成部223は、チャレンジ生成部221が生成したチャレンジ700と、シークレット記録部222に記録されているシークレット600の2つの値を用いてレスポンス800を生成し、レスポンス記録部225に記録する。
【0021】
チャレンジ生成部221はI/O部210に、生成したチャレンジ700を出力する。また、レスポンス認証部226は、I/O部210がユーザ101からのレスポンス900の入力を受け付けた際に、入力されたレスポンス900と、レスポンス記録部225に記録されているレスポンス800とを比較することで認証処理を行う。入力されたレスポンス900と記録されているレスポンス800とが一致した場合に、時間記録部224に記録されている時刻と現在の時刻を使用して、経過時間を求め、一定の時間内であれば、アンインストール処理を行う。
【0022】
図3はサーバ300の機能ブロック図である。
I/O部310は、管理者102からのチャレンジ700の入力および管理者102へのレスポンス900の出力を行う。シークレット記録部322には、シークレット600が記録されている。レスポンス生成部321は、I/O部310でチャレンジ700の入力を受け付けた際に、管理者102から入力されたチャレンジ700と、シークレット記録部322に記録されているシークレット600とを使用し、クライアント200と同等の処理によって、レスポンス900の生成処理を行う。レスポン生成部321で生成されたレスポンス900は、I/O部310に出力される。
【0023】
図4は、クライアント200上での処理を示すフローチャートである。
クライアント200では、アンインストール実行要求を契機に処理を開始する。
まず、現在時の時刻情報などをシードとして、チャレンジ700を生成する(ステップS01)。チャレンジ700を生成した時刻を処理の開始時刻として記録する(ステップS02)。ステップS01で生成したチャレンジ700と、クライアント200上に保持しているシークレット600とを使用してレスポンス800を生成する(ステップS03)。ステップS03で生成したレスポンス800を、クライアント200上に記録して保持しておく(ステップS04)。画面上に、ステップS01で生成したチャレンジ700を表示する(ステップS05)。チャレンジ700の表示後、利用者101からのレスポンス900の入力を待つ(ステップS06)。その間に、利用者はステップS05で表示されたチャレンジ700を管理者に通知し、サーバ300で生成されるレスポンス900を教えてもらい、そのレスポンス900をクライアント200に入力する。
【0024】
クライアント200はレスポンス900が入力されるまで、一定時間入力を待ち続ける(ステップS07)。クライアント200は入力されたレスポンス900が、クライアント200上に保持しているレスポンス800と合致しているかを照合する(ステップS08)。照合の結果、入力されたレスポンス900が一致しなかった場合は、アンインストールを行わず、処理を終了する(ステップS09)。入力されたレスポンス900が一致した場合は、処理開始時刻からの経過時間を取得する(ステップS10)。ステップS10で取得した経過時間が、一定の時間以上であった場合は、アンインストールを行わず、処理を終了する(ステップS11)。ステップS10で取得した経過時間が、一定の時間内であれば、アンインストールを実行し、処理を終了する(ステップS12)。
【0025】
以上のように、本実施形態においては、クライアント用プログラムをアンインストールする場合、クライアント用プログラムに備えられたチャレンジ生成ツールとレスポンス生成ツールとを用いて、時々刻々と変化する時刻情報あるいはCPUの温度、メモリの使用量などの各クライアントに固有のシードによりチャレンジとレスポンスを生成し、生成したチャレンジをサーバの管理者に通知し、サーバ側でこのチャレンジとシークレットによりクライアントと同様にしてレスポンスを生成し、そのレスポンスをクライアント側に通知し、クライアント側で生成したレスポンスと一致する場合にのみクライアント用プログラムのアンインストールを許可し、実行するようにしたため、従来のようなクライアント別のパスワード認証によりアンインストールの実行権限を確認するといった面倒な管理を行う必要がなくなり、管理者の負荷が軽減するといった効果がある。
また、クライアントおよびサーバ側で同一アルゴリズムによって生成したレスポンスが一致するかどうかでセキュリティ権限を確認することによって、管理者はパスワードの組織毎の面倒な管理から解放され、セキュリティ権限の管理が楽になるといった効果がある。
また、クライアントおよびサーバ側で同一アルゴリズムによって生成したレスポンスを比較する場合に、クライアント側にサーバ側からのレスポンスが一定時間内に通知されなかった場合はアンインストールを実行しないようにしているため、辞書攻撃のような時間をかけて、不正にパスワード認証を成功させるような処理に対しても、容易にアンインストールが行えない
という効果がある。
【0026】
なお、クライアント200のアンインストール認証に失敗した場合、クライアント200はアンインストールを実行せず、保持しているレスポンスを自動的に破棄する。
また、クライアント200が発行するチャレンジは、組織内でパスワードの衝突(シノニム)が発生しにくいようにするため、シードはエントロピーが高いもの、すなわち情報としての変動幅が大きく、偏りが少ないものを使用する。
また、クライアント用プログラムはサーバ300が作成するインストール媒体500を使用してインストールされ、インストール媒体500を作成する際に、組織ごとに定めるシークレット600を指定することができる。このシークレット600は、クライアント200が発行するレスポンス800の一意性に利用し、異なる組織間で、情報漏洩システムが使用するワンタイムパスワード(レスポンス)のシノニムを発生しないようにする目的で使用する。
また、上記実施形態では、情報漏洩防止機能を備えたクライアント用プログラムをアンインストールしたクライアントがどのコンピュータであったかを記録することについては説明していないが、サーバ側で記録するように構成されていることは言うまでもない。
【符号の説明】
【0027】
101 利用者
102 管理者
103 他の利用者
200 クライアント
221 チャレンジ生成部
223 レスポンス生成部
222 シークレット記録部
226 レスポンス認証部
300 サーバ
321 レスポンス生成部
322 シークレット記録部
500 インストール媒体
600 シークレット
700 チャレンジ
800 レスポンス
900 レスポンス
【技術分野】
【0001】
本発明は、情報漏洩防止プログラムをインストールした情報漏洩防止システムに係り、情報漏洩防止プログラムのアンインストール実行可否制御方法およびシステムに関するものである。
【背景技術】
【0002】
データの持ち出しを禁止する情報漏洩防止プログラムをインストールした情報漏洩防止システムにあっては、情報漏洩防止プログラムをアンインストールすることによってデータの持ち出し禁止機能を解除し、データの持ち出しが可能になってしまう。
そこで、従来の情報漏洩防止システムでは、情報漏洩防止プログラムのアンインストール実行時に実行者の権限をパスワードによって認証し、認証に成功した実行者のみにアンインストールを許可し、どの情報処理端末が情報漏洩防止プログラムをアンインストールしたかを管理するようにしている。
【0003】
しかし、実行者の権限をチェックする場合、実行者毎に異なる権限を管理する必要がある。またアンインストール時に使用するパスワードを、インストール媒体毎で異なる値に設定すると、管理者はそれらの異なるパスワード全ての管理を行う必要があるため、運用面での負荷が高くなる。そのため運用面での負荷を低減するために、実行者の権限を一律で禁止または許可にした、インストール媒体毎で共通のパスワードを設定したりする場合があり、この場合セキュリティを保つことができなくなる。
【0004】
本発明に類似する情報漏洩防止システムとして、例えば下記の特許文献1に開示されたものがある。この特許文献1に開示されたものは、インストールおよびアンインストールを行う際に、セキュリティ権限をチェックすることで、インストールおよびアンインストールの制御を行うというものである。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−339142号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
実行者毎にセキュリティ権限を設定することは、実行者の数に比例して、管理コストも増大する。そのため、運用面での負荷が高く、権限の管理コストを抑えるため、実行者の権限を一律で禁止または、許可にする場合がある。
セキュリティ権限を一律で禁止にした場合は、アンインストールが必要な時にアンインストールが不可となり、運用上の柔軟な対応が取れない。逆に一律で許可にした場合、容易にアンインストールが可能となり、セキュリティが保てない。
また管理者がインストール媒体毎で利用者共通のパスワードを設定する場合、ある利用者がアンインストールを実行する際に、取得したパスワード情報を異なる利用者に漏洩すると、その異なる利用者が使用する情報漏洩防止プログラムをアンインストールすることが可能となってしまう。また、管理者は、その異なる利用者が情報漏洩防止プログラムをアンインストールしたことを把握できず、情報漏洩の防止および検知が行えなくなってしまう。
【0007】
本発明の目的は、管理者の運用負荷を高くせずに、情報漏洩プログラムのアンインストール実行可否の制御を行い、管理者が把握できない情報漏洩プログラムのアンインストールが行えないようにするための方法及びシステムを提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の情報漏洩防止プログラムのアンインストール実行可否制御方法は、クライアントコンピュータにインストールした情報漏洩防止機能を備えたクライアント用プログラムのアンインストールの実行可否を管理者が管理するサーバコンピュータとの協同によって制御する方法であって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶するステップと、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知するステップと、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較するステップと、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行するステップとを備えることを特徴とする。
また、前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可するステップとを備えることを特徴とする。
また、前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする。
【0009】
また、情報漏洩防止機能を備えたクライアント用プログラムをインストールしたクライアントコンピュータと、管理者が管理するサーバコンピュータとによって構成された情報漏洩システムであって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶する手段と、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知する手段と、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する手段と、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行する手段とを備えることを特徴とする。
また、前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可する手段を備えることを特徴とする。
また、前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする。
【発明の効果】
【0010】
本発明の方式によれば、次のような効果がある。
(1)利用者は、管理者の許可なくアンインストールを行えないため、管理者の検知し得ない情報漏洩プログラムのアンインストールは実行不可能となる。
(2)管理者は、インストール媒体ごとのパスワードの管理および実行者の権限の管理を行う必要がなく、運用負荷がかからずに、アンインストールの実行可否を制御することができる。
(3)組織内でアンインストールに使用するワンタイムパスワード(レスポンス)の衝突が発生しにくい。
(4)異なる組織間で、異なるシークレットを定めていれば、アンインストールに使用するワンタイムパスワードの衝突が発生しない。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明の実施の形態例を示すシステム構成図である。
【図2】図2は、クライアント200の機能ブロック図である。
【図3】図3は、サーバ300の機能ブロック図である。
【図4】図4は、クライアント200上での処理フローである。
【発明を実施するための形態】
【0012】
以下、本発明を適用した情報漏洩防止プログラムのアンインストールの実行可否の制御方法について図示する実施の形態に基づいて説明する。
図1は本発明に係る情報漏洩プログラムのアンインストールの実行可否の制御方法の概要を示したシステム構成図である。
利用者101は、本発明を適用した情報漏洩防止システムのクライアント用プログラムをインストールしたPC(パーソナルコンピュータ)であるクライアント200を利用している。
管理者102は、本発明を適用した情報漏洩防止システムのサーバ用プログラムをインストールしたPCであるサーバ300を利用している。サーバ300では、情報漏洩防止システムのクライアントインストール媒体500を作成する。クライアントインストール媒体500の作成時に、組織ごとに異なる値(シークレット)600を設定する。サーバ300で作成したインストール媒体500を使用して、クライアント200に情報漏洩防止システムのクライアント用プログラムをインストールすると、クライアント200では、サーバ300で設定したシークレット600を保持する。
【0013】
利用者101は、クライアント200から情報漏洩防止システムのクライアント用プログラムのアンインストールの実行を開始する。すると、クライアント200にインストールされた情報漏洩防止システムのクライアント用プログラムは、アンインストールの要求を受け付けたタイミングで、クライアント200の現在時刻情報などシードとしてチャレンジ700を生成する。また、このチャレンジ700とシークレット600を元にレスポンス800を生成し、クライアント200上に、予め定めた一定時間の間保持する。
【0014】
情報漏洩防止システムのクライアント200は、生成したチャレンジ700をクライアント200の画面に表示し、利用者101に確認させ、管理者102にアンインストールの許可申請と一緒にチャレンジ700を届け出る。この届け出は文書または電話、携帯メールなどによって行う。要は、クライアント200とサーバ300間の通信経路とは別の経路、方法によって届け出を行う。
【0015】
管理者102は、利用者101が情報漏洩防止システムのクライアント用プログラムをアンインストールすることを申請した場合、サーバ300にインストールされた情報漏洩防止システムのサーバ用プログラムのレスポンス生成ツールを実行する。
サーバ300のレスポンス生成ツールは、管理者102にチャレンジ700の入力を促す。このチャレンジ700は利用者101から受け取ったものである。
【0016】
管理者102は、サーバ300で実行しているサーバ用プログラムのレスポンス生成ツールに、利用者101から届けられたチャレンジ700を入力する。
サーバ300で実行しているサーバ用プログラムのレスポンス生成ツールは、管理者102が入力したチャレンジ700を受け付けた後、クライアント200に設定したシークレット600を使用して、クライアント200におけるレスポンス生成処理と同様のアルゴリズムでレスポンス900を生成する。そして、生成したレスポンス900をサーバ300の画面上に表示し、管理者102に通知する。
【0017】
管理者102は、サーバ300に表示されたレスポンス900を確認し、利用者101にアンインストール許可の知らせと共にレスポンス900を文書または電話、携帯メール等により通知する。
利用者101は、管理者102より受け取ったレスポンス900を、クライアント200に入力する。
【0018】
クライアント200は、入力されたレスポンス900と、クライアント200上に保持しているレスポンス800とを照合し、合致していれば、情報漏洩防止システムのクライアント用プログラムをアンインストールする。
レスポンスを保持する一定時間を越えて、管理者102より受け取ったレスポンス900を入力した場合は、照合を失敗とする。そして、この場合は、アンインストールを実行しない。
【0019】
アンインストールに成功したレスポンス900を、利用者101が、利用者103(シークレット1000が定められ、異なる組織に属している)に情報を漏洩した場合でも、クライアント400には異なるシークレット1000を保持しているため、照合に失敗しアンインストールを行えない。
アンインストールを行うためのパスワードをサーバ300で管理する必要がなく、組織ごとにシークレットを定めることで、異なる組織間で、パスワードの衝突も発生しにくい。
【0020】
図2はクライアント200の機能ブロック図を示している。
I/O部210は、ユーザ101からアンインストール実行の命令要求、ユーザ101へのチャレンジ700の出力およびユーザ101からのレスポンス800の入力を行う。チャレンジ生成部221は、I/O部210でアンインストール実行の命令要求を受け付けた際にチャレンジ700の生成処理を行う。時間記録部224はチャレンジ生成部221が処理を始めた時刻を記録する。レスポンス生成部223は、チャレンジ生成部221が生成したチャレンジ700と、シークレット記録部222に記録されているシークレット600の2つの値を用いてレスポンス800を生成し、レスポンス記録部225に記録する。
【0021】
チャレンジ生成部221はI/O部210に、生成したチャレンジ700を出力する。また、レスポンス認証部226は、I/O部210がユーザ101からのレスポンス900の入力を受け付けた際に、入力されたレスポンス900と、レスポンス記録部225に記録されているレスポンス800とを比較することで認証処理を行う。入力されたレスポンス900と記録されているレスポンス800とが一致した場合に、時間記録部224に記録されている時刻と現在の時刻を使用して、経過時間を求め、一定の時間内であれば、アンインストール処理を行う。
【0022】
図3はサーバ300の機能ブロック図である。
I/O部310は、管理者102からのチャレンジ700の入力および管理者102へのレスポンス900の出力を行う。シークレット記録部322には、シークレット600が記録されている。レスポンス生成部321は、I/O部310でチャレンジ700の入力を受け付けた際に、管理者102から入力されたチャレンジ700と、シークレット記録部322に記録されているシークレット600とを使用し、クライアント200と同等の処理によって、レスポンス900の生成処理を行う。レスポン生成部321で生成されたレスポンス900は、I/O部310に出力される。
【0023】
図4は、クライアント200上での処理を示すフローチャートである。
クライアント200では、アンインストール実行要求を契機に処理を開始する。
まず、現在時の時刻情報などをシードとして、チャレンジ700を生成する(ステップS01)。チャレンジ700を生成した時刻を処理の開始時刻として記録する(ステップS02)。ステップS01で生成したチャレンジ700と、クライアント200上に保持しているシークレット600とを使用してレスポンス800を生成する(ステップS03)。ステップS03で生成したレスポンス800を、クライアント200上に記録して保持しておく(ステップS04)。画面上に、ステップS01で生成したチャレンジ700を表示する(ステップS05)。チャレンジ700の表示後、利用者101からのレスポンス900の入力を待つ(ステップS06)。その間に、利用者はステップS05で表示されたチャレンジ700を管理者に通知し、サーバ300で生成されるレスポンス900を教えてもらい、そのレスポンス900をクライアント200に入力する。
【0024】
クライアント200はレスポンス900が入力されるまで、一定時間入力を待ち続ける(ステップS07)。クライアント200は入力されたレスポンス900が、クライアント200上に保持しているレスポンス800と合致しているかを照合する(ステップS08)。照合の結果、入力されたレスポンス900が一致しなかった場合は、アンインストールを行わず、処理を終了する(ステップS09)。入力されたレスポンス900が一致した場合は、処理開始時刻からの経過時間を取得する(ステップS10)。ステップS10で取得した経過時間が、一定の時間以上であった場合は、アンインストールを行わず、処理を終了する(ステップS11)。ステップS10で取得した経過時間が、一定の時間内であれば、アンインストールを実行し、処理を終了する(ステップS12)。
【0025】
以上のように、本実施形態においては、クライアント用プログラムをアンインストールする場合、クライアント用プログラムに備えられたチャレンジ生成ツールとレスポンス生成ツールとを用いて、時々刻々と変化する時刻情報あるいはCPUの温度、メモリの使用量などの各クライアントに固有のシードによりチャレンジとレスポンスを生成し、生成したチャレンジをサーバの管理者に通知し、サーバ側でこのチャレンジとシークレットによりクライアントと同様にしてレスポンスを生成し、そのレスポンスをクライアント側に通知し、クライアント側で生成したレスポンスと一致する場合にのみクライアント用プログラムのアンインストールを許可し、実行するようにしたため、従来のようなクライアント別のパスワード認証によりアンインストールの実行権限を確認するといった面倒な管理を行う必要がなくなり、管理者の負荷が軽減するといった効果がある。
また、クライアントおよびサーバ側で同一アルゴリズムによって生成したレスポンスが一致するかどうかでセキュリティ権限を確認することによって、管理者はパスワードの組織毎の面倒な管理から解放され、セキュリティ権限の管理が楽になるといった効果がある。
また、クライアントおよびサーバ側で同一アルゴリズムによって生成したレスポンスを比較する場合に、クライアント側にサーバ側からのレスポンスが一定時間内に通知されなかった場合はアンインストールを実行しないようにしているため、辞書攻撃のような時間をかけて、不正にパスワード認証を成功させるような処理に対しても、容易にアンインストールが行えない
という効果がある。
【0026】
なお、クライアント200のアンインストール認証に失敗した場合、クライアント200はアンインストールを実行せず、保持しているレスポンスを自動的に破棄する。
また、クライアント200が発行するチャレンジは、組織内でパスワードの衝突(シノニム)が発生しにくいようにするため、シードはエントロピーが高いもの、すなわち情報としての変動幅が大きく、偏りが少ないものを使用する。
また、クライアント用プログラムはサーバ300が作成するインストール媒体500を使用してインストールされ、インストール媒体500を作成する際に、組織ごとに定めるシークレット600を指定することができる。このシークレット600は、クライアント200が発行するレスポンス800の一意性に利用し、異なる組織間で、情報漏洩システムが使用するワンタイムパスワード(レスポンス)のシノニムを発生しないようにする目的で使用する。
また、上記実施形態では、情報漏洩防止機能を備えたクライアント用プログラムをアンインストールしたクライアントがどのコンピュータであったかを記録することについては説明していないが、サーバ側で記録するように構成されていることは言うまでもない。
【符号の説明】
【0027】
101 利用者
102 管理者
103 他の利用者
200 クライアント
221 チャレンジ生成部
223 レスポンス生成部
222 シークレット記録部
226 レスポンス認証部
300 サーバ
321 レスポンス生成部
322 シークレット記録部
500 インストール媒体
600 シークレット
700 チャレンジ
800 レスポンス
900 レスポンス
【特許請求の範囲】
【請求項1】
クライアントコンピュータにインストールした情報漏洩防止機能を備えたクライアント用プログラムのアンインストールの実行可否を管理者が管理するサーバコンピュータとの協同によって制御する方法であって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶するステップと、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知するステップと、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較するステップと、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行するステップとを備えることを特徴とする情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項2】
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可するステップと、
を備えることを特徴とする請求項1に記載の情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項3】
前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする請求項1または2に記載の情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項4】
情報漏洩防止機能を備えたクライアント用プログラムをインストールしたクライアントコンピュータと、管理者が管理するサーバコンピュータとによって構成された情報漏洩システムであって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶する手段と、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知する手段と、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する手段と、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行する手段と、
を備えることを特徴とする情報漏洩防止システム。
【請求項5】
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可する手段を備えることを特徴とする請求項1に記載の情報漏洩防止システム。
【請求項6】
前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする請求項4または5に記載の情報漏洩防止。
【請求項1】
クライアントコンピュータにインストールした情報漏洩防止機能を備えたクライアント用プログラムのアンインストールの実行可否を管理者が管理するサーバコンピュータとの協同によって制御する方法であって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶するステップと、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知するステップと、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較するステップと、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行するステップとを備えることを特徴とする情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項2】
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可するステップと、
を備えることを特徴とする請求項1に記載の情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項3】
前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする請求項1または2に記載の情報漏洩防止プログラムのアンインストールの実行可否制御方法。
【請求項4】
情報漏洩防止機能を備えたクライアント用プログラムをインストールしたクライアントコンピュータと、管理者が管理するサーバコンピュータとによって構成された情報漏洩システムであって、
前記クライアントコンピュータが、前記クライアント用プログラムのアンインストールの実行に先立ち、当該クライアント用プログラムがインストールされているクライアントコンピュータに固有の情報を用い、予め定めたアルゴリズムによってチャレンジとレスポンスを生成し、生成したチャレンジを前記サーバコンピュータに通知すると共に生成したレスポンスを記憶する手段と、
前記サーバコンピュータが、通知されたチャレンジに基づき前記クライアントコンピュータの前記アルゴリズムと同一アルゴリズムによってレスポンスを生成し、そのレスポンスを前記クライアントコンピュータに通知する手段と、
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する手段と、
レスポンスが一致した場合に、前記クライアント用プログラムのインストールを実行する手段と、
を備えることを特徴とする情報漏洩防止システム。
【請求項5】
前記クライアントコンピュータが、前記サーバコンピュータから受け取ったレスポンスと前記記憶したレスポンスと照合し、一致するか比較する場合、クライアントコンピュータにサーバコンピュータからのレスポンスが一定時間内に通知されなかった場合はアンインストールの実行を不許可する手段を備えることを特徴とする請求項1に記載の情報漏洩防止システム。
【請求項6】
前記クライアントコンピュータに固有の情報には、情報としての変動幅が大きく、偏りが少ない情報を用いることを特徴とする請求項4または5に記載の情報漏洩防止。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−78979(P2012−78979A)
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願番号】特願2010−222013(P2010−222013)
【出願日】平成22年9月30日(2010.9.30)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願日】平成22年9月30日(2010.9.30)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]