機密性を要求される顧客情報などのデータを公域・広域ネットワークと外部リモートサーバから分離し、利用者・ローカル側に配置することで、セキュリティを向上させるデータベースシステム
【課題】顧客データなどの機密性を要求される情報が、公域・広域ネットワーク越しの外部リモートサーバに存在し、公域・広域ネットワークを流れることから、機密情報の漏洩の危険性が存在した。
【解決手段】図1に示すように、顧客情報などのマスタデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置して、公域・広域ネットワークとそのネットワーク越しのサーバでの顧客情報などのマスタ情報漏洩を回避することでネットワークセキュリティを向上させる。また、サーバ側トランザクションデータのID、日付データ、金額データなど、顧客データほどではないにしろ、ある程度の意味を有するデータを、別の数字・記号に変換するもので、それを相対的に安全性の高いローカル側に配置したデータ変換機能によりサーバ側トランザクションデータを更に保護する。
【解決手段】図1に示すように、顧客情報などのマスタデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置して、公域・広域ネットワークとそのネットワーク越しのサーバでの顧客情報などのマスタ情報漏洩を回避することでネットワークセキュリティを向上させる。また、サーバ側トランザクションデータのID、日付データ、金額データなど、顧客データほどではないにしろ、ある程度の意味を有するデータを、別の数字・記号に変換するもので、それを相対的に安全性の高いローカル側に配置したデータ変換機能によりサーバ側トランザクションデータを更に保護する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機密性を要求される顧客情報などのデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置して、公域・広域ネットワークと外部リモートサーバでの顧客情報などの漏洩を回避することでネットワークセキュリティを向上させる安全性の高いデータベースシステムに関するものである。なお、ここでは、顧客情報等の主となるデータ/テーブルをマスタデータ/マスタテーブルデータと呼称する。また、売上取引などの刻々変化するデータをトランザクションデータ/トランザクションテーブルデータと呼称する。
【背景技術】
【0002】
ネットワーク、特に公に広く開放されたインターネットなどでの情報漏洩リスクが脅威を増す中、ネットワーク経路の暗号化やデータベースそのものの暗号化などで情報セキュリティを確保する技術が開発・実用化されている。
インターネットでの暗号化技術を用いた仮想専用線(VPN:VirtualPrivateNetwork)はオープンソースソフトウェアでのOpenVpnの出現もあって安価で安全な通信を確保するものとして広く使用されるようになってきた。
【0003】
データベースは一般的に、機密性を要求される顧客情報などを含むマスタテーブルデータと売上記録などのトランザクションテーブルデータが一体として公域・広域ネットワーク越しの外部リモートサーバに保存されているのが多い。それはデータベースの基本概念がそうであるし、設計と運用管理面からしてもマスタ/トランザクションテーブル一体が望ましい形態ではある。
【0004】
しかし、マスタテーブルデータとトランザクションテーブルデータが一体として外部リモートサーバに保存されていると、それらのデータが漏洩した場合、利用企業の顧客情報や活動状況が一目瞭然に把握でき、セキュリティ上のリスクが高いといえる。
【0005】
また、マスタテーブルデータとトランザクションテーブルデータが一体として公域・広域ネットワーク越しの外部リモートサーバに保存されていると、利用者がそのサーバのデータベースにアクセスするたびにネットワーク上をそれらのデータが一体として流れ、盗み見などにより企業情報が解読可能となるリスクがあった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】サーバ、ネットワークセキュリティで検索される特許文献
【非特許文献】
【0007】
【非特許文献1】RailsによるアジャイルWebアプリケーション開発 オーム社 2007年
【非特許文献2】AjaxOnRails オライリージャパン 2007年
【非特許文献3】Firefox3Hacks オライリージャパン 2008年
【発明の概要】
【発明が解決しようとする課題】
【0008】
解決しようとする問題点は、顧客情報などのマスタテーブルデータが、利用者ローカルエリア外部で、部外者により読み取り可能なエリア/ゾーン/ネットワークにあることによる覗き見の脅威である。
【課題を解決するための手段】
【0009】
本発明は、利用者から見て公域・広域ネットワーク越しの外部リモートサーバから、機密性の高いマスタテーブルデータを分離して利用者側・ローカル側に配置し、サーバ側はIDなどの数値・記号データのみで構成されるトランザクションテーブルデータのみとすることで、第一にマスタテーブルデータの漏洩リスクと、第二にマスタテーブルデータとトランザクションテーブルデータを組み合わせた意味のある実体情報の漏洩リスクを低減させることを最も主要な特徴とする。
【発明の効果】
【0010】
本発明の特徴とする、マスタテーブルデータを利用者側のローカル側に配置することにより公域・広域ネットワーク及び外部リモートサーバから完全分離という方法は、公域・広域ネットワーク及び外部リモートサーバでのマスタテーブルデータの漏洩リスクをなくする利点がある。公域・広域ネットワーク越のサーバにはIDなどの数値・記号データのみ保存されているため、仮にサーバで情報漏洩があったとしても利用者・ローカルエリアにのみ存在するマスタテーブルデータの参照できない状態では意味のある解析ができないという利点がある。
【図面の簡単な説明】
【0011】
【図1】図1は本発明でのマスタテーブルデータを分離配置する方式の構成図である。(実施例1)
【図2】図2は従来方式であるマスタ/トランザクションテーブルデータ一体方式とそこでの情報漏洩リスクの説明図である。(実施例1)
【図3】図3は本発明でのマスタテーブルデータを分離配置する方式の情報処理図である。(実施例1)
【図4】図4は従来方式であるマスタ/トランザクションテーブルデータ一体方式のソフトウェア処理・データベース処理の詳細図である。(実施例1)
【図5】図5は本発明でのマスタテーブルデータを分離配置する方式のソフトウェア処理・データベース処理の詳細図である。(実施例1)
【図6】図6は実施例1で説明するマスタテーブルデータ/トランザクションテーブルデータ例示図である。
【図7】図7は実施例1で説明する売上リストのブラウザ表示図である。
【図8】図8は実施例1で説明する売上リストを表示するためのスクリプトある。
【図9】図9は実施例1で説明する売上リストのローカル側データベース・マスタテーブルデータを読み取るためのスクリプトである。
【図10】図10はサーバ側トランザクションデータを更に保護するためのデータ変換方式図である。(実施例2)
【図11】図11は実施例2で説明するデータ変換の複数テーブル使用方式図である。
【図12】図12は実施例2で比較説明する既存技術であるセキュリティキーボードの原理図である。
【発明を実施するための形態】
【0012】
利用者から見て、公域・広域ネットワーク越し外部リモートサーバ側のデータベースにはマスタテーブルデータは配置しないで、数値・記号などのデータのみで構成されるトランザクションテーブルデータのみを配置し、利用者側・ローカルデータベースへマスタテーブルデータを配置して、公域・広域ネットワークや公域・広域ネットワーク越し外部リモートサーバ側から機密性の要求されるマスタテーブルデータの漏洩の危険性を無くした。
【実施例1】
【0013】
図1は、本発明の構成図である。1ー1は利用者側のローカルエリアネットワークで、1ー8は外部リモートサーバエリアネットワークである。このリモートサーバは1ー7の複数の他の共同利用者で使用されることも多い。1ー1のローカルエリアと1ー8のリモートサーバエリアの間は1ー5の公域・広域ネットワークで結合され、一般的には1ー4、1ー6のファイヤウオールを設け1ー10の侵入者からの攻撃を防いでいる。
【0014】
ここで1ー3の顧客情報などを含むマスタテーブルデータは、従来は1ー9リモートサーバ側のトランザクションテーブルデータと一緒に配置されていたが、高度の機密性が要求されるので、それを利用者側のローカルエリアへ配置して、危険性の高い1ー5の公域・広域ネットワーク、1ー8の外部リモートサーバエリアから分離することにより、1ー1の利用者以外への情報漏洩の危険性を低減させている。
【0015】
図2は、従来のリモートエリアにあるデータベース利用形態の構成図であり、本来の利用者以外への情報漏洩のリスク箇所を示したものである。従来のリモートデータベースでは、マスタテーブルデータは2ー5のデータベースの中にトランザクションテーブルデータと一体として配備されている。そのため、利用者のデータ要求の都度、2ー4の公域・広域ネットワークをマスタテーブルデータが流れることとなる。2ー1はそのネットワークからの漏洩のリスクである。暗号化されていない場合はもとより、暗号化されていたとしても、暗号化キーの漏洩などもないとは言えず漏洩のリスクは存在する。
【0016】
2ー5の外部リモートデータベースサーバは利用者と契約した利用者組織外部の組織で運用されているのが一般的である。利用者にとって極めて大切な顧客情報に対する意識は外部組織の運用者にとっては相対的に低いと考えられる。守秘義務などで縛ったとしても、外部組織の人為的不正漏洩のリスクは相対的に高く、2ー2のサーバ運用受託者からのマスタテーブルデータの覗き見、漏洩のリスクはある。
【0017】
次にリモートサーバが他利用者と共有であった場合の他の利用者によるマスタテーブルデータの漏洩のリスクである。パスワードなどのアクセスコントロールなどで保護されていたとしても、セキュリティの脆弱性はどこかに潜在し、利用者以外の共同利用者からの不正アクセスリスクは存在する。
【0018】
また、リモートサーバエリアがファイヤウオールで保護されていてもサーバへ接続するための外部入口であるネットワークポートは開放する必要がある。一方、利用者側の外部からの入口としてのネットワークポートは全て遮断可能である。したがって利用者側よりリモートサーバ側の方が外部侵入の可能性が高い。そこで2ー6の侵入者からのサーバ侵入とマスタテーブルデータの覗き見リスクが存在する。
【0019】
図3は本発明でのマスタテーブルデータを分離配置する方式での情報処理説明図である。3ー1は利用者側ローカルエリアでの情報処理、3ー2は外部リモートサーバ側エリアでの情報処理である。3ー3は利用者側へ配置した機密性の高いマスタテーブルデータベース、3ー4は外部リモートサーバ側の数値・記号のみで記録されたトランザクションデータベースである。
【0020】
情報処理の流れはサーバ側に記録されたデータを表示する例で説明すると、3ー5では利用者がブラウザでサーバへ接続し、メニューから売上リストなどの表示を要求する。それを受けたサーバは3ー6でデータベースへ接続し、利用者の要求した売上リストなどを検索しサーバ側のメモリへ一時保存する。それと同時に、3ー7でマスタテーブルデータをローカル利用者側で読み取れるようJavaScript(商標登録・以下同じ)などのスクリプトを作成し、リモートデータベースから読み出したトランザクションテーブルデータと結合させてローカル利用者側へ返信する。
【0021】
利用者ローカル側では3ー8でサーバから受信したJavaScriptなどのスクリプトを含むブラウザ表示言語に従い、ローカル側データベースのマスタテーブル(3ー3)へ接続し、サーバ側から送られてきたデータを元に実際の顧客情報などに変換してブラウザ表示する。
【0022】
次に売上データなどの新規登録の例を説明すると3ー9でメニューから新規登録をサーバへ要求する。リモートサーバ側では新規登録用のJavaScriptなどのスクリプトを含むブラウザ表示言語を作成し、ローカル利用者側へ返信する(3ー10)。
【0023】
利用者ローカル側では3ー11で受信したJavaScriptなどのスクリプトでローカルデータベース3ー3へ接続し、登録に必要な実体のある顧客情報、商品情報などをリストアップしてブラウザへ表示する。利用者は必要な情報を入力し、その結果、顧客情報、商品情報などは名称そのもの・実体でなく例えば顧客ID、商品IDなどをサーバへ送信する。
【0024】
3ー12でそれを受信したサーバはそのまま、3ー4のトランザクションテーブルデータベースへ登録する。
【0025】
図4は本発明との比較のために示した従来のデータベース利用の形態の詳細である。1から6は情報流順を示す。4ー1で利用者はサーバへ例として売上リスト表示を要求する(情報流順1)。ここでは、RubyOnRailsでサーバ処理を構築する例で説明する。RailsはRuby言語とデータベース、Web技術を統合した開発環境(0007非特許文献参照)。
【0026】
サーバはその要求をContorollerで受け取り(4ー2)、データベースを制御しているModel(4ー3)を経由してデータベース(4ー4)から要求に必要なトランザクションテーブルデータと顧客情報・商品情報が入っているマスタテーブルデータを取り出す。(情報流順2、3、4)各テーブルデータの具体例は図6に示す。
【0027】
4ー5のViewではその取り出したデータをローカル・利用者側ブラウザへ表示させるrailsスクリプトと組み合わせて利用者ローカル側へ送信する(情報流順5、6)。
【0028】
ローカル・利用者側では受信したデータをそのままブラウザで表示する(4ー6)。
【0029】
ここで従来の方式でのセキュリティリスクを図4で説明すると、
情報流順6では、顧客情報などの機密性の要求される情報パケットが、ファイヤウオールで保護されていない公域・広域ネットワーク上を流れるため、悪意のあるかつ技術力を有する者からの覗き見の危険性がある。
【0030】
また、外部リモートサーバエリアにある4ー4のデータベースは利用者にとって機密性の高いマスタテーブルデータが保管されていることから、例えばサーバ管理を受託している者を人為的に欺いてデータを盗み取る危険は存在する。現にそういう事例はある。さらに、サーバ側エリアは利用者側エリアに比べ、ネットワークの入口であるポートを必要分開放する必要があることから外部侵入者の攻撃を受けやすい。
【0031】
図5は本発明での処理詳細である。図4と比較して違ったところを説明する。1から8は情報流順を示す。
5ー1で利用者側からサーバへ売上リスト(例として)表示を要求する(情報流順1)。なお、ここでもRubyOnRailsでサーバ処理を構築する例で説明する。(従来の方法は0025)
【0032】
サーバはその要求をContorollerで受け取り(5ー2)、データベースを制御しているModel(5ー3)を経由してデータベース(5ー4)から必要なトランザクションテーブルデータを取り出す。(情報流順2、3、4)。ここでは従来の方法と異なり、マスタテーブルデータはサーバ側にはなく、トランザクションテーブルデータにある顧客ID、商品IDなどの数値・記号のみである。
テーブルの具体例は図6にあり、その構成内容に限れば従来と同じである。(従来の方法は0026)
【0033】
5ー5のViewではサーバトランザクションテーブルデータより取り出したデータをローカル・利用者側ブラウザへ表示させるrailsスクリプト(図8)に基づくブラウザスクリプトと、5ー7ローカル利用者マスタテーブルデータをローカル側の処理で読み出してサーバ側のトランザクションテーブルデータと結合させるためのJavaScript(図9)をローカル利用者側へ送信する(5ー6)(情報流順5、6)。railsスクリプト(図8)は従来の方法ではサーバ側にあるトランザクションテーブルデータとサーバ側マスタテーブルデータを組み合わせてブラウザスクリプトを作成するものであるが、本発明の方法では、図9に示すスクリプトを使って、ローカル側にあるマスタテーブルを読み出す処理をローカル側へ送出し、ローカル側で処理させる。(従来の方法は0027)
【0034】
ローカル・利用者側では受信したデータと受信したスクリプト(図9)を使ってローカル側マスタテーブルデータから読み出したデータを組み合わせてブラウザで表示する。(5ー8、5ー9)。売上リストの拡大図を図7に示すが、従来の方法と比較するため、従来のサーバ側顧客マスタでの表示と本発明によるローカル側マスタによる顧客名表示をならべて表示してある(その表示処理である図8のスクリプトも同じ)。本発明の方法ではローカル側にあるマスタテーブルを使ってサーバからのデータと組み合わせて表示している部分が従来と異なる(従来の方法は0028)
【0035】
ここでセキュリティリスクが軽減される点を図5で説明すると、情報流順6で従来の方法では流れていた機密性の要求される顧客情報をなどが、本発明では流れないため公域・広域ネットワークでの覗き見の危険性が皆無である。(従来の方法は0029)
【0036】
また、外部リモートサーバエリアには利用者にとって機密性の高いマスタテーブルデータが保管されていないため、サーバ側エリアへ利用者以外の関係者や、外部侵入者の攻撃があっても機密性の高いマスタテーブルデータの漏洩の危険性は皆無である。(従来の方法は0030)
【実施例2】
【0037】
図10はサーバ側トランザクションデータを更に保護するためのデータ変換方式図である。10ー1は本来のマスタIDをトランザクションテーブルで記録する記号として変換する変換テーブルである。記録するときはローカル側のマスタテーブルの該当IDを、この変換テーブルで単独では意味をもたない記号に変換して、変換した記号をサーバ側へ送り、それをサーバ側トランザクションテーブル10ー2へ記録する。
【0038】
サーバ側から読み出しするときは、サーバ側トランザクションテーブル10ー2に記録されている変換された記号をローカル側の変換テーブル10ー1で本来のIDへ戻した上でマスタテーブル10ー3を参照し利用者側ブラウザで意味のある顧客名、商品名などの実体情報を表示する。
【0039】
図11では、さらにセキュリティ強度を上げる方法を示す。本来のマスタIDを一意的に変換記号に対応付けるのではなく、11ー4のclass情報を設けて、一つのマスタIDに対し複数の変換記号を対応させて、サーバ側のトランザクションテーブル11ー2へその変換記号とあわせてclass情報を記録する。記号を復号する時は、ローカル側でその記号とclass情報をキーとし、本来のマスタIDへ戻し、マスタテーブル11ー3を参照し、利用者側ブラウザで意味のある顧客名、商品名などの実体情報を表示する。
【0040】
0037ー0039ではIDの変換を説明したが、日付や金額などでもそれを応用することができる。たとえば日付の2010-1-20であれば変換テーブルに従ってAzaz-a-Azとできるし、更に複雑な変換もテーブル次第で可能ある。
【0041】
次に、実施例2で説明したデータ変換方式を従来から使用されているセキュリティ保護方法「セキュリティキーボード」との比較で本発明の優位性を説明する。
図12は金融機関のパスワード入力などで広く用いられているセキュリティキーボードの原理図であり、変換テーブル方式そのものは既存技術である。12ー1はサーバ側から利用者側へ送るパスワード数字文字変換テーブルである。その送られてきた変換テーブルをブラウザへ表示し(12ー2)、パスワード入力を促す。パスワードが1234とし、それぞれ1がa、2がA、3がx、4がYと対応付けされていたと仮定すると、ブラウザ表示にしたがってaAxYとキー入力か、マウスクリックする。それがネットワーク上をサーバ側へaAxY相当の情報が送られ、サーバ側で持っている変換テーブルでパスワードが1234と読み替えられる。
【0042】
セキュリティキーボードの効果はパスワードそのものがネットワークを通らないためパスワードそのものの漏洩の危険が少ないことと、スパイウェアからの保護である。スパイウェアとは利用者側のパソコンに潜在させ、利用者のキー入力などを読み取り、外部に通知できるソフトウェアである。そこでセキュリティキーボードではキー入力でなく該当キー画面のマウスクリックを推奨している。
【0043】
しかし、セキュリティキーボードではその変換テーブルがネットワークを流れること、ブラウザ上にその変換テーブルに表示されることから、高度な技術をもった悪意のある不正者から読み取られる危険はないとは言えない。
【0044】
その点、本発明では実施例2に記したように変換テーブルはローカル側に配置されていることからネットワークを流れず、またブラウザ上にその変換テーブルが表示されることはなく、0045のような危険性はない。
【産業上の利用可能性】
【0045】
外部共有サーバを使用している企業にとっては機密性の高い顧客データ含むマスタテーブルデータを相対的に安全性の高いローカル利用者側に残すことができ、安心して共有サーバを利用できる。特に中小企業にとっては費用の安い外部共有サーバを利用しやすくなり、情報活用の拡大による産業発展につながる。
【0046】
専用サーバを使用している企業にとっても、自社ローカルエリア内で運用するより、外部委託に委ねることも多く、機密性の高い顧客データ含むマスタテーブルデータを委託企業に委ねることのリスクや、利用者と専用サーバ間のネットワークでの情報漏洩のリスクがある。それで、本発明のように機密性の高い顧客データ含むマスタテーブルデータを利用者側の保護されたローカルエリアネットワークに残すことにより、安全性が向上して、顧客情報などの情報漏洩による信用性逸失の損害を食い止めることができる。なお、マスタテーブルのデータ量はトランザクションテーブルのデータ量に比べ相対的に少量であり、また追加変更も頻繁に行われるものではないため、利用者側で管理しやすいといえる。
【0047】
情報漏洩を回避するためのコストは年々増加しつづけている。本発明は機密性の要求される顧客データなどを利用者ローカル側内部に閉じ込め、ネットワークを含めて外部に出さないというセキュリティの基本を貫くことで余分なセキュリティコストをかけない方法である。その削減できるコストを生産性向上などに振り向けることができれば、産業的資源全体のより望ましい使い方につながる。
【符号の説明】
【0048】
図1
1ー1 利用者側ローカルエリア
1ー2 利用者パソコン
1ー3 利用者側ローカルデータベース
1ー4 利用者側ファイヤウオール
1ー5 公域・広域ネットワーク
1ー6 サーバ側ファイヤウオール
1ー7 サーバの共同利用者
1ー8 外部リモートサーバエリア
1ー9 リモートデータベースサーバ
1ー10 サーバへの侵入者
図2
2ー1 公域・広域ネットワークの覗き見リスク
2ー2 サーバ委託者・他利用者からの覗き見リスク
2ー3 サーバ側マスタ・トランザクションテーブルデータ
2ー4 公域・広域ネットワーク
2ー5 リモートデータベースサーバ
2ー6 侵入者からの覗き見リスク
図3
3ー1 利用者側ローカルエリア
3ー2 外部リモートサーバエリア
3ー3 利用者側ローカルマスタデータベース
3ー4 サーバ側トランザクションテーブルデータ
3ー5 利用者のサーバへの要求処理
3ー6 サーバ側データベース接続処理
3ー7 サーバ側でのスクリプト処理
3ー8 ローカル側でマスタテーブル読出とブラウザ表示処理
3ー9 リモートサーバ側への新規データ追加処理
3ー10 サーバ側でのスクリプト処理(新規データ追加)
3ー11 ローカル側でマスタテーブル読出とブラウザ表示処理(新規データ追加)
3ー12 トランザクション書込処理
図4
4ー1 利用者のサーバへの要求処理
4ー2 サーバ全体を統括するController
4ー3 データベースを制御するModel
4ー4 サーバ側データベース
4ー5 利用者側表示を受け持つView
4ー6 利用者側での表示画面
1、2、3、4、5、6 情報の流れ順
図5
5ー1 利用者のサーバへの要求処理
5ー2 サーバ全体を統括するController
5ー3 データベースを制御するModel
5ー4 サーバ側データベース
5ー5 利用者側表示を受け持つView
5ー6 サーバ側でのスクリプト処理
5ー7 利用者側ローカルマスタデータベース
5ー8 ローカル側でマスタテーブル読出とブラウザ表示処理
5ー9 利用者側での表示画面
1、2、3、4、5、6、7、8 情報の流れ順
図6
6ー1 顧客マスタテーブル例
6ー2 商品マスタテーブル例
6ー3 売上トランザクションテーブル例
図10
10ー1 変換テーブル例
10ー2 売上トランザクションテーブル例
10ー3 顧客マスタテーブル例
図11
11ー1 変換テーブル例
11ー2 売上トランザクションテーブル例
11ー3 顧客マスタテーブル例
11ー4 変換テーブル識別用Class
図12
12ー1 キーボード変換テーブル例
12ー2 サーバから送られてきたセキュリティキーボード
12ー3 利用者側のパスワードなどの入力処理
【技術分野】
【0001】
本発明は、機密性を要求される顧客情報などのデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置して、公域・広域ネットワークと外部リモートサーバでの顧客情報などの漏洩を回避することでネットワークセキュリティを向上させる安全性の高いデータベースシステムに関するものである。なお、ここでは、顧客情報等の主となるデータ/テーブルをマスタデータ/マスタテーブルデータと呼称する。また、売上取引などの刻々変化するデータをトランザクションデータ/トランザクションテーブルデータと呼称する。
【背景技術】
【0002】
ネットワーク、特に公に広く開放されたインターネットなどでの情報漏洩リスクが脅威を増す中、ネットワーク経路の暗号化やデータベースそのものの暗号化などで情報セキュリティを確保する技術が開発・実用化されている。
インターネットでの暗号化技術を用いた仮想専用線(VPN:VirtualPrivateNetwork)はオープンソースソフトウェアでのOpenVpnの出現もあって安価で安全な通信を確保するものとして広く使用されるようになってきた。
【0003】
データベースは一般的に、機密性を要求される顧客情報などを含むマスタテーブルデータと売上記録などのトランザクションテーブルデータが一体として公域・広域ネットワーク越しの外部リモートサーバに保存されているのが多い。それはデータベースの基本概念がそうであるし、設計と運用管理面からしてもマスタ/トランザクションテーブル一体が望ましい形態ではある。
【0004】
しかし、マスタテーブルデータとトランザクションテーブルデータが一体として外部リモートサーバに保存されていると、それらのデータが漏洩した場合、利用企業の顧客情報や活動状況が一目瞭然に把握でき、セキュリティ上のリスクが高いといえる。
【0005】
また、マスタテーブルデータとトランザクションテーブルデータが一体として公域・広域ネットワーク越しの外部リモートサーバに保存されていると、利用者がそのサーバのデータベースにアクセスするたびにネットワーク上をそれらのデータが一体として流れ、盗み見などにより企業情報が解読可能となるリスクがあった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】サーバ、ネットワークセキュリティで検索される特許文献
【非特許文献】
【0007】
【非特許文献1】RailsによるアジャイルWebアプリケーション開発 オーム社 2007年
【非特許文献2】AjaxOnRails オライリージャパン 2007年
【非特許文献3】Firefox3Hacks オライリージャパン 2008年
【発明の概要】
【発明が解決しようとする課題】
【0008】
解決しようとする問題点は、顧客情報などのマスタテーブルデータが、利用者ローカルエリア外部で、部外者により読み取り可能なエリア/ゾーン/ネットワークにあることによる覗き見の脅威である。
【課題を解決するための手段】
【0009】
本発明は、利用者から見て公域・広域ネットワーク越しの外部リモートサーバから、機密性の高いマスタテーブルデータを分離して利用者側・ローカル側に配置し、サーバ側はIDなどの数値・記号データのみで構成されるトランザクションテーブルデータのみとすることで、第一にマスタテーブルデータの漏洩リスクと、第二にマスタテーブルデータとトランザクションテーブルデータを組み合わせた意味のある実体情報の漏洩リスクを低減させることを最も主要な特徴とする。
【発明の効果】
【0010】
本発明の特徴とする、マスタテーブルデータを利用者側のローカル側に配置することにより公域・広域ネットワーク及び外部リモートサーバから完全分離という方法は、公域・広域ネットワーク及び外部リモートサーバでのマスタテーブルデータの漏洩リスクをなくする利点がある。公域・広域ネットワーク越のサーバにはIDなどの数値・記号データのみ保存されているため、仮にサーバで情報漏洩があったとしても利用者・ローカルエリアにのみ存在するマスタテーブルデータの参照できない状態では意味のある解析ができないという利点がある。
【図面の簡単な説明】
【0011】
【図1】図1は本発明でのマスタテーブルデータを分離配置する方式の構成図である。(実施例1)
【図2】図2は従来方式であるマスタ/トランザクションテーブルデータ一体方式とそこでの情報漏洩リスクの説明図である。(実施例1)
【図3】図3は本発明でのマスタテーブルデータを分離配置する方式の情報処理図である。(実施例1)
【図4】図4は従来方式であるマスタ/トランザクションテーブルデータ一体方式のソフトウェア処理・データベース処理の詳細図である。(実施例1)
【図5】図5は本発明でのマスタテーブルデータを分離配置する方式のソフトウェア処理・データベース処理の詳細図である。(実施例1)
【図6】図6は実施例1で説明するマスタテーブルデータ/トランザクションテーブルデータ例示図である。
【図7】図7は実施例1で説明する売上リストのブラウザ表示図である。
【図8】図8は実施例1で説明する売上リストを表示するためのスクリプトある。
【図9】図9は実施例1で説明する売上リストのローカル側データベース・マスタテーブルデータを読み取るためのスクリプトである。
【図10】図10はサーバ側トランザクションデータを更に保護するためのデータ変換方式図である。(実施例2)
【図11】図11は実施例2で説明するデータ変換の複数テーブル使用方式図である。
【図12】図12は実施例2で比較説明する既存技術であるセキュリティキーボードの原理図である。
【発明を実施するための形態】
【0012】
利用者から見て、公域・広域ネットワーク越し外部リモートサーバ側のデータベースにはマスタテーブルデータは配置しないで、数値・記号などのデータのみで構成されるトランザクションテーブルデータのみを配置し、利用者側・ローカルデータベースへマスタテーブルデータを配置して、公域・広域ネットワークや公域・広域ネットワーク越し外部リモートサーバ側から機密性の要求されるマスタテーブルデータの漏洩の危険性を無くした。
【実施例1】
【0013】
図1は、本発明の構成図である。1ー1は利用者側のローカルエリアネットワークで、1ー8は外部リモートサーバエリアネットワークである。このリモートサーバは1ー7の複数の他の共同利用者で使用されることも多い。1ー1のローカルエリアと1ー8のリモートサーバエリアの間は1ー5の公域・広域ネットワークで結合され、一般的には1ー4、1ー6のファイヤウオールを設け1ー10の侵入者からの攻撃を防いでいる。
【0014】
ここで1ー3の顧客情報などを含むマスタテーブルデータは、従来は1ー9リモートサーバ側のトランザクションテーブルデータと一緒に配置されていたが、高度の機密性が要求されるので、それを利用者側のローカルエリアへ配置して、危険性の高い1ー5の公域・広域ネットワーク、1ー8の外部リモートサーバエリアから分離することにより、1ー1の利用者以外への情報漏洩の危険性を低減させている。
【0015】
図2は、従来のリモートエリアにあるデータベース利用形態の構成図であり、本来の利用者以外への情報漏洩のリスク箇所を示したものである。従来のリモートデータベースでは、マスタテーブルデータは2ー5のデータベースの中にトランザクションテーブルデータと一体として配備されている。そのため、利用者のデータ要求の都度、2ー4の公域・広域ネットワークをマスタテーブルデータが流れることとなる。2ー1はそのネットワークからの漏洩のリスクである。暗号化されていない場合はもとより、暗号化されていたとしても、暗号化キーの漏洩などもないとは言えず漏洩のリスクは存在する。
【0016】
2ー5の外部リモートデータベースサーバは利用者と契約した利用者組織外部の組織で運用されているのが一般的である。利用者にとって極めて大切な顧客情報に対する意識は外部組織の運用者にとっては相対的に低いと考えられる。守秘義務などで縛ったとしても、外部組織の人為的不正漏洩のリスクは相対的に高く、2ー2のサーバ運用受託者からのマスタテーブルデータの覗き見、漏洩のリスクはある。
【0017】
次にリモートサーバが他利用者と共有であった場合の他の利用者によるマスタテーブルデータの漏洩のリスクである。パスワードなどのアクセスコントロールなどで保護されていたとしても、セキュリティの脆弱性はどこかに潜在し、利用者以外の共同利用者からの不正アクセスリスクは存在する。
【0018】
また、リモートサーバエリアがファイヤウオールで保護されていてもサーバへ接続するための外部入口であるネットワークポートは開放する必要がある。一方、利用者側の外部からの入口としてのネットワークポートは全て遮断可能である。したがって利用者側よりリモートサーバ側の方が外部侵入の可能性が高い。そこで2ー6の侵入者からのサーバ侵入とマスタテーブルデータの覗き見リスクが存在する。
【0019】
図3は本発明でのマスタテーブルデータを分離配置する方式での情報処理説明図である。3ー1は利用者側ローカルエリアでの情報処理、3ー2は外部リモートサーバ側エリアでの情報処理である。3ー3は利用者側へ配置した機密性の高いマスタテーブルデータベース、3ー4は外部リモートサーバ側の数値・記号のみで記録されたトランザクションデータベースである。
【0020】
情報処理の流れはサーバ側に記録されたデータを表示する例で説明すると、3ー5では利用者がブラウザでサーバへ接続し、メニューから売上リストなどの表示を要求する。それを受けたサーバは3ー6でデータベースへ接続し、利用者の要求した売上リストなどを検索しサーバ側のメモリへ一時保存する。それと同時に、3ー7でマスタテーブルデータをローカル利用者側で読み取れるようJavaScript(商標登録・以下同じ)などのスクリプトを作成し、リモートデータベースから読み出したトランザクションテーブルデータと結合させてローカル利用者側へ返信する。
【0021】
利用者ローカル側では3ー8でサーバから受信したJavaScriptなどのスクリプトを含むブラウザ表示言語に従い、ローカル側データベースのマスタテーブル(3ー3)へ接続し、サーバ側から送られてきたデータを元に実際の顧客情報などに変換してブラウザ表示する。
【0022】
次に売上データなどの新規登録の例を説明すると3ー9でメニューから新規登録をサーバへ要求する。リモートサーバ側では新規登録用のJavaScriptなどのスクリプトを含むブラウザ表示言語を作成し、ローカル利用者側へ返信する(3ー10)。
【0023】
利用者ローカル側では3ー11で受信したJavaScriptなどのスクリプトでローカルデータベース3ー3へ接続し、登録に必要な実体のある顧客情報、商品情報などをリストアップしてブラウザへ表示する。利用者は必要な情報を入力し、その結果、顧客情報、商品情報などは名称そのもの・実体でなく例えば顧客ID、商品IDなどをサーバへ送信する。
【0024】
3ー12でそれを受信したサーバはそのまま、3ー4のトランザクションテーブルデータベースへ登録する。
【0025】
図4は本発明との比較のために示した従来のデータベース利用の形態の詳細である。1から6は情報流順を示す。4ー1で利用者はサーバへ例として売上リスト表示を要求する(情報流順1)。ここでは、RubyOnRailsでサーバ処理を構築する例で説明する。RailsはRuby言語とデータベース、Web技術を統合した開発環境(0007非特許文献参照)。
【0026】
サーバはその要求をContorollerで受け取り(4ー2)、データベースを制御しているModel(4ー3)を経由してデータベース(4ー4)から要求に必要なトランザクションテーブルデータと顧客情報・商品情報が入っているマスタテーブルデータを取り出す。(情報流順2、3、4)各テーブルデータの具体例は図6に示す。
【0027】
4ー5のViewではその取り出したデータをローカル・利用者側ブラウザへ表示させるrailsスクリプトと組み合わせて利用者ローカル側へ送信する(情報流順5、6)。
【0028】
ローカル・利用者側では受信したデータをそのままブラウザで表示する(4ー6)。
【0029】
ここで従来の方式でのセキュリティリスクを図4で説明すると、
情報流順6では、顧客情報などの機密性の要求される情報パケットが、ファイヤウオールで保護されていない公域・広域ネットワーク上を流れるため、悪意のあるかつ技術力を有する者からの覗き見の危険性がある。
【0030】
また、外部リモートサーバエリアにある4ー4のデータベースは利用者にとって機密性の高いマスタテーブルデータが保管されていることから、例えばサーバ管理を受託している者を人為的に欺いてデータを盗み取る危険は存在する。現にそういう事例はある。さらに、サーバ側エリアは利用者側エリアに比べ、ネットワークの入口であるポートを必要分開放する必要があることから外部侵入者の攻撃を受けやすい。
【0031】
図5は本発明での処理詳細である。図4と比較して違ったところを説明する。1から8は情報流順を示す。
5ー1で利用者側からサーバへ売上リスト(例として)表示を要求する(情報流順1)。なお、ここでもRubyOnRailsでサーバ処理を構築する例で説明する。(従来の方法は0025)
【0032】
サーバはその要求をContorollerで受け取り(5ー2)、データベースを制御しているModel(5ー3)を経由してデータベース(5ー4)から必要なトランザクションテーブルデータを取り出す。(情報流順2、3、4)。ここでは従来の方法と異なり、マスタテーブルデータはサーバ側にはなく、トランザクションテーブルデータにある顧客ID、商品IDなどの数値・記号のみである。
テーブルの具体例は図6にあり、その構成内容に限れば従来と同じである。(従来の方法は0026)
【0033】
5ー5のViewではサーバトランザクションテーブルデータより取り出したデータをローカル・利用者側ブラウザへ表示させるrailsスクリプト(図8)に基づくブラウザスクリプトと、5ー7ローカル利用者マスタテーブルデータをローカル側の処理で読み出してサーバ側のトランザクションテーブルデータと結合させるためのJavaScript(図9)をローカル利用者側へ送信する(5ー6)(情報流順5、6)。railsスクリプト(図8)は従来の方法ではサーバ側にあるトランザクションテーブルデータとサーバ側マスタテーブルデータを組み合わせてブラウザスクリプトを作成するものであるが、本発明の方法では、図9に示すスクリプトを使って、ローカル側にあるマスタテーブルを読み出す処理をローカル側へ送出し、ローカル側で処理させる。(従来の方法は0027)
【0034】
ローカル・利用者側では受信したデータと受信したスクリプト(図9)を使ってローカル側マスタテーブルデータから読み出したデータを組み合わせてブラウザで表示する。(5ー8、5ー9)。売上リストの拡大図を図7に示すが、従来の方法と比較するため、従来のサーバ側顧客マスタでの表示と本発明によるローカル側マスタによる顧客名表示をならべて表示してある(その表示処理である図8のスクリプトも同じ)。本発明の方法ではローカル側にあるマスタテーブルを使ってサーバからのデータと組み合わせて表示している部分が従来と異なる(従来の方法は0028)
【0035】
ここでセキュリティリスクが軽減される点を図5で説明すると、情報流順6で従来の方法では流れていた機密性の要求される顧客情報をなどが、本発明では流れないため公域・広域ネットワークでの覗き見の危険性が皆無である。(従来の方法は0029)
【0036】
また、外部リモートサーバエリアには利用者にとって機密性の高いマスタテーブルデータが保管されていないため、サーバ側エリアへ利用者以外の関係者や、外部侵入者の攻撃があっても機密性の高いマスタテーブルデータの漏洩の危険性は皆無である。(従来の方法は0030)
【実施例2】
【0037】
図10はサーバ側トランザクションデータを更に保護するためのデータ変換方式図である。10ー1は本来のマスタIDをトランザクションテーブルで記録する記号として変換する変換テーブルである。記録するときはローカル側のマスタテーブルの該当IDを、この変換テーブルで単独では意味をもたない記号に変換して、変換した記号をサーバ側へ送り、それをサーバ側トランザクションテーブル10ー2へ記録する。
【0038】
サーバ側から読み出しするときは、サーバ側トランザクションテーブル10ー2に記録されている変換された記号をローカル側の変換テーブル10ー1で本来のIDへ戻した上でマスタテーブル10ー3を参照し利用者側ブラウザで意味のある顧客名、商品名などの実体情報を表示する。
【0039】
図11では、さらにセキュリティ強度を上げる方法を示す。本来のマスタIDを一意的に変換記号に対応付けるのではなく、11ー4のclass情報を設けて、一つのマスタIDに対し複数の変換記号を対応させて、サーバ側のトランザクションテーブル11ー2へその変換記号とあわせてclass情報を記録する。記号を復号する時は、ローカル側でその記号とclass情報をキーとし、本来のマスタIDへ戻し、マスタテーブル11ー3を参照し、利用者側ブラウザで意味のある顧客名、商品名などの実体情報を表示する。
【0040】
0037ー0039ではIDの変換を説明したが、日付や金額などでもそれを応用することができる。たとえば日付の2010-1-20であれば変換テーブルに従ってAzaz-a-Azとできるし、更に複雑な変換もテーブル次第で可能ある。
【0041】
次に、実施例2で説明したデータ変換方式を従来から使用されているセキュリティ保護方法「セキュリティキーボード」との比較で本発明の優位性を説明する。
図12は金融機関のパスワード入力などで広く用いられているセキュリティキーボードの原理図であり、変換テーブル方式そのものは既存技術である。12ー1はサーバ側から利用者側へ送るパスワード数字文字変換テーブルである。その送られてきた変換テーブルをブラウザへ表示し(12ー2)、パスワード入力を促す。パスワードが1234とし、それぞれ1がa、2がA、3がx、4がYと対応付けされていたと仮定すると、ブラウザ表示にしたがってaAxYとキー入力か、マウスクリックする。それがネットワーク上をサーバ側へaAxY相当の情報が送られ、サーバ側で持っている変換テーブルでパスワードが1234と読み替えられる。
【0042】
セキュリティキーボードの効果はパスワードそのものがネットワークを通らないためパスワードそのものの漏洩の危険が少ないことと、スパイウェアからの保護である。スパイウェアとは利用者側のパソコンに潜在させ、利用者のキー入力などを読み取り、外部に通知できるソフトウェアである。そこでセキュリティキーボードではキー入力でなく該当キー画面のマウスクリックを推奨している。
【0043】
しかし、セキュリティキーボードではその変換テーブルがネットワークを流れること、ブラウザ上にその変換テーブルに表示されることから、高度な技術をもった悪意のある不正者から読み取られる危険はないとは言えない。
【0044】
その点、本発明では実施例2に記したように変換テーブルはローカル側に配置されていることからネットワークを流れず、またブラウザ上にその変換テーブルが表示されることはなく、0045のような危険性はない。
【産業上の利用可能性】
【0045】
外部共有サーバを使用している企業にとっては機密性の高い顧客データ含むマスタテーブルデータを相対的に安全性の高いローカル利用者側に残すことができ、安心して共有サーバを利用できる。特に中小企業にとっては費用の安い外部共有サーバを利用しやすくなり、情報活用の拡大による産業発展につながる。
【0046】
専用サーバを使用している企業にとっても、自社ローカルエリア内で運用するより、外部委託に委ねることも多く、機密性の高い顧客データ含むマスタテーブルデータを委託企業に委ねることのリスクや、利用者と専用サーバ間のネットワークでの情報漏洩のリスクがある。それで、本発明のように機密性の高い顧客データ含むマスタテーブルデータを利用者側の保護されたローカルエリアネットワークに残すことにより、安全性が向上して、顧客情報などの情報漏洩による信用性逸失の損害を食い止めることができる。なお、マスタテーブルのデータ量はトランザクションテーブルのデータ量に比べ相対的に少量であり、また追加変更も頻繁に行われるものではないため、利用者側で管理しやすいといえる。
【0047】
情報漏洩を回避するためのコストは年々増加しつづけている。本発明は機密性の要求される顧客データなどを利用者ローカル側内部に閉じ込め、ネットワークを含めて外部に出さないというセキュリティの基本を貫くことで余分なセキュリティコストをかけない方法である。その削減できるコストを生産性向上などに振り向けることができれば、産業的資源全体のより望ましい使い方につながる。
【符号の説明】
【0048】
図1
1ー1 利用者側ローカルエリア
1ー2 利用者パソコン
1ー3 利用者側ローカルデータベース
1ー4 利用者側ファイヤウオール
1ー5 公域・広域ネットワーク
1ー6 サーバ側ファイヤウオール
1ー7 サーバの共同利用者
1ー8 外部リモートサーバエリア
1ー9 リモートデータベースサーバ
1ー10 サーバへの侵入者
図2
2ー1 公域・広域ネットワークの覗き見リスク
2ー2 サーバ委託者・他利用者からの覗き見リスク
2ー3 サーバ側マスタ・トランザクションテーブルデータ
2ー4 公域・広域ネットワーク
2ー5 リモートデータベースサーバ
2ー6 侵入者からの覗き見リスク
図3
3ー1 利用者側ローカルエリア
3ー2 外部リモートサーバエリア
3ー3 利用者側ローカルマスタデータベース
3ー4 サーバ側トランザクションテーブルデータ
3ー5 利用者のサーバへの要求処理
3ー6 サーバ側データベース接続処理
3ー7 サーバ側でのスクリプト処理
3ー8 ローカル側でマスタテーブル読出とブラウザ表示処理
3ー9 リモートサーバ側への新規データ追加処理
3ー10 サーバ側でのスクリプト処理(新規データ追加)
3ー11 ローカル側でマスタテーブル読出とブラウザ表示処理(新規データ追加)
3ー12 トランザクション書込処理
図4
4ー1 利用者のサーバへの要求処理
4ー2 サーバ全体を統括するController
4ー3 データベースを制御するModel
4ー4 サーバ側データベース
4ー5 利用者側表示を受け持つView
4ー6 利用者側での表示画面
1、2、3、4、5、6 情報の流れ順
図5
5ー1 利用者のサーバへの要求処理
5ー2 サーバ全体を統括するController
5ー3 データベースを制御するModel
5ー4 サーバ側データベース
5ー5 利用者側表示を受け持つView
5ー6 サーバ側でのスクリプト処理
5ー7 利用者側ローカルマスタデータベース
5ー8 ローカル側でマスタテーブル読出とブラウザ表示処理
5ー9 利用者側での表示画面
1、2、3、4、5、6、7、8 情報の流れ順
図6
6ー1 顧客マスタテーブル例
6ー2 商品マスタテーブル例
6ー3 売上トランザクションテーブル例
図10
10ー1 変換テーブル例
10ー2 売上トランザクションテーブル例
10ー3 顧客マスタテーブル例
図11
11ー1 変換テーブル例
11ー2 売上トランザクションテーブル例
11ー3 顧客マスタテーブル例
11ー4 変換テーブル識別用Class
図12
12ー1 キーボード変換テーブル例
12ー2 サーバから送られてきたセキュリティキーボード
12ー3 利用者側のパスワードなどの入力処理
【特許請求の範囲】
【請求項1】
顧客情報などのマスタテーブルデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置することを特徴として、公域・広域ネットワークとそのネットワーク越しの外部リモートサーバでの顧客情報などのマスタ情報漏洩を回避することで、ネットワークセキュリティを向上させるデータベースシステム。
【請求項2】
サーバ側トランザクションテーブルデータを更に保護するため、サーバ側トランザクションテーブルデータのID、日付データ、金額データなど、顧客データほどではないにしろ、ある程度の意味を有するデータを、意味のない数字・記号に変換するもので、その変換テーブルを相対的に安全性の高い利用者・ローカル側に配置することを特徴とするデータ変換方式。
【請求項3】
請求項2のデータ変換方式において、その変換パターンを複数持たせ、そのパターンを識別する情報をサーバ側トランザクションテーブルデータへ記憶させ、その変換パターンの識別情報を使用することを用いて、利用者・ローカル側に配置した変換テーブルで復号すること特徴とするデータ変換方式。
【請求項1】
顧客情報などのマスタテーブルデータを公域・広域ネットワークとそのネットワーク越しの外部リモートサーバから分離し、相対的に安全性の高い利用者・ローカル側に配置することを特徴として、公域・広域ネットワークとそのネットワーク越しの外部リモートサーバでの顧客情報などのマスタ情報漏洩を回避することで、ネットワークセキュリティを向上させるデータベースシステム。
【請求項2】
サーバ側トランザクションテーブルデータを更に保護するため、サーバ側トランザクションテーブルデータのID、日付データ、金額データなど、顧客データほどではないにしろ、ある程度の意味を有するデータを、意味のない数字・記号に変換するもので、その変換テーブルを相対的に安全性の高い利用者・ローカル側に配置することを特徴とするデータ変換方式。
【請求項3】
請求項2のデータ変換方式において、その変換パターンを複数持たせ、そのパターンを識別する情報をサーバ側トランザクションテーブルデータへ記憶させ、その変換パターンの識別情報を使用することを用いて、利用者・ローカル側に配置した変換テーブルで復号すること特徴とするデータ変換方式。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−262322(P2010−262322A)
【公開日】平成22年11月18日(2010.11.18)
【国際特許分類】
【出願番号】特願2009−110198(P2009−110198)
【出願日】平成21年4月29日(2009.4.29)
【出願人】(598120285)
【Fターム(参考)】
【公開日】平成22年11月18日(2010.11.18)
【国際特許分類】
【出願日】平成21年4月29日(2009.4.29)
【出願人】(598120285)
【Fターム(参考)】
[ Back to top ]