特許 5778017 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5778017

(24)【登録日】2015年7月17日

(45)【発行日】2015年9月16日

(54)【発明の名称】電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法

(51)【国際特許分類】

   G06F 21/60 20130101AFI20150827BHJP

   G09C 1/00 20060101ALI20150827BHJP

【ＦＩ】

   G06F21/60

   G06F21/60 320

   G09C1/00 660Z

【請求項の数】5

【全頁数】16

(21)【出願番号】特願2011-268574(P2011-268574)

(22)【出願日】2011年12月8日

(65)【公開番号】特開2013-120515(P2013-120515A)

(43)【公開日】2013年6月17日

【審査請求日】2014年11月21日

(73)【特許権者】

【識別番号】511299001

【氏名又は名称】株式会社知財管理

(73)【特許権者】

【識別番号】000155469

【氏名又は名称】株式会社野村総合研究所

(74)【代理人】

【識別番号】100080001

【弁理士】

【氏名又は名称】筒井 大和

(74)【代理人】

【識別番号】100093023

【弁理士】

【氏名又は名称】小塚 善高

(74)【代理人】

【識別番号】100117008

【弁理士】

【氏名又は名称】筒井 章子

(72)【発明者】

【氏名】保倉 豊

(72)【発明者】

【氏名】川城 三治

(72)【発明者】

【氏名】佐藤 敦

(72)【発明者】

【氏名】最首 壮一

(72)【発明者】

【氏名】新谷 敏文

(72)【発明者】

【氏名】金子 剛

(72)【発明者】

【氏名】吉岡 浩仁

【審査官】 平井 誠

(56)【参考文献】

【文献】 特開２００９−１０３７７４（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１

(57)【特許請求の範囲】

【請求項1】

ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する電子データ管理システムであって、
ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有し、
前記情報処理装置は、
前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な１つ以上のキーデータと１つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のｋ個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なｎ個（ｋ＜ｎ）の分散データを生成する分割部と、
前記電子データの復元の際に、少なくともｋ個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたｎ個の前記分散データを所定の条件に従って選択したｎ個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともｋ個の前記分散データを所定の条件に従って選択したｋ個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする電子データ管理システム。

【請求項2】

請求項１に記載の電子データ管理システムにおいて、
前記証明局は、
前記情報処理装置から前記キーデータの供託および／または取得の要求を受けた際にユーザ認証を行う認証部と、
前記情報処理装置から供託された前記キーデータを、前記電子データを保有する前記ユーザおよび前記電子データの識別情報と関連付けて管理し、さらに前記情報処理装置からの前記キーデータの供託および取得の処理の内容を履歴として記録する管理部とを有することを特徴とする電子データ管理システム。

【請求項3】

ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する情報処理装置であって、
前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な１つ以上のキーデータと１つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のｋ個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なｎ個（ｋ＜ｎ）の分散データを生成する分割部と、
前記電子データの復元の際に、少なくともｋ個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを信頼できる第三者機関の情報処理システムである証明局に供託し、さらに前記分割部によって生成されたｎ個の前記分散データを所定の条件に従って選択したｎ個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともｋ個の前記分散データを所定の条件に従って選択したｋ個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする情報処理装置。

【請求項4】

ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する情報処理装置としてコンピュータを機能させる電子データ管理プログラムであって、
前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な１つ以上のキーデータと１つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のｋ個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なｎ個（ｋ＜ｎ）の分散データを生成する分割部と、
前記電子データの復元の際に、少なくともｋ個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを信頼できる第三者機関となる情報処理システムである証明局に供託し、さらに前記分割部によって生成されたｎ個の前記分散データを所定の条件に従って選択したｎ個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともｋ個の前記分散データを所定の条件に従って選択したｋ個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする電子データ管理プログラム。

【請求項5】

ネットワークに接続された、電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有する電子データ管理システムにおいて、ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する電子データ管理方法であって、
前記情報処理装置が、
前記電子データのセキュアな保管の際は、
所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な１つ以上のキーデータと１つ以上の部分データとを生成するステップと、
前記キーデータを前記証明局に供託するステップと、
前記部分データに基づいて、秘密分散により、任意のｋ個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なｎ個（ｋ＜ｎ）の分散データを生成するステップと、
生成したｎ個の前記分散データを保管するｎ個の外部のデータセンターを所定の条件に従って選択するステップと、
生成したｎ個の前記分散データを選択したｎ個の前記データセンターにそれぞれ別個に分散保管するステップとを実行し、
前記電子データの復元の際は、
前記電子データに対応する前記キーデータを前記証明局からユーザ認証を経て取得するステップと、
少なくともｋ個の前記分散データを、所定の条件に従って選択したｋ個の前記データセンターから取得するステップと、
取得した前記分散データに基づいて前記部分データを復元するステップと、
復元した前記部分データと取得した前記キーデータとから前記電子データを復元するステップとを実行することを特徴とする電子データ管理方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、電子データの管理技術に関し、特に、重要データを秘密分散により複数の非重要データに分割して分散管理する電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法に適用して有効な技術に関するものである。

【背景技術】

【0002】

情報システムを有する企業等においては、情報漏洩などの情報セキュリティ事故を防止するため、機密性の高いデータなどの重要なデータを保護する手段を講じる必要がある。一方でこれらを実現するための様々な手段も提案されている。

【0003】

重要データを保護するための手段として、例えば、企業等が重要データをセキュリティ対策が多重に施されたデータセンターに保管することが考えられる。しかしながら、外部からアクセス可能なプライベートなデータセンターを独自に構築・運用するのは技術面・コスト面等で多大な負荷を要し、中小企業等にとっては実現は困難である。

【0004】

これに対して企業等が、第三者が運用してサービスとして外部に提供しているデータセンターを利用することも考えられる。しかし、第三者が運用管理するデータセンターに自社の重要データを保管することは、情報漏洩や情報破損などの高いリスクを伴う。ましてや近年利用が拡大しているクラウドコンピューティング環境における仮想データセンターや仮想サーバに重要データを保管することは、上記リスクに加えて、データの実際の保管場所の把握ができないため、保管場所が存在する地域のリスクや管理状態に対しての不安が残り、非常にリスクが高い。

【0005】

一方、重要データを保管する際に、データを秘匿化したり改竄を防止したりする手段を講じて保管することも行われている。一般的には、暗号鍵を用いて重要データを暗号化して保管することが行われているが、この場合、暗号化されてはいるものの、重要データ内の全ての情報は暗号化データが保管された場所に存在していることになる。従って、例えば暗号化データが第三者に取得されたような場合、何らかの理由で当該第三者に暗号鍵も取得・解読された場合は容易に元データが復元されてしまう恐れがある。また、暗号鍵を取得されなくとも、暗号鍵が有限長であることから、理論上は有限回数の試行によって暗号化されたデータから元データが復元されてしまう可能性を有する。

【0006】

これに対し、重要データを強固に秘匿化する手法として、いわゆる秘密分散の技術も用いられている。秘密分散では、重要データを分割・分散することで、分割されたデータ片だけでは意味のない（元データを復元・推測できない）非重要データにすることができる。これにより、一部の非重要データが第三者に取得された場合でも、第三者による元データの復元を理論上も不可能とすることができる。

【0007】

秘密分散の手法としては種々のものが提案されている。例えば、特許第４０３９８１０号明細書（特許文献１）には、電子情報ファイルを複数の情報エレメントに分割し、分割された情報エレメントを選択し順序を変えて組み合わせることにより、２個以上の情報ブロックであって全ての情報ブロックを統合しなければ全ての情報エレメントを含むことにならないような情報ブロックを生成し、情報エレメントに分割した方法に係る分割情報と情報ブロックを生成した方法に係る形成情報を記録した分割抽出データを生成し、各情報ブロックと分割抽出データとのうち、少なくとも１つを証明局に保管し、他を分離して別々に保管することで電子情報の安全を確保する技術が開示されている。

【0008】

一方、元データに対する部分データ（情報ブロック、非重要データ）を全て集めなくとも所定の個数以上集めれば元データを復元可能な秘密分散の手法として、例えば、非特許文献１に記載されたような多項式補間を用いた（ｋ，ｎ）閾値秘密分散法が従来から用いられている。この手法によれば、ｎ個に分散した部分データのうち少なくともｋ個（ｋ≦ｎ）を集めれば元データを復元することができる。また、この手法をさらに改良した種々の閾値秘密分散法も提案されている。

【0009】

これに関連して、例えば、特開２００９−１３９９９０号公報（特許文献２）には、記憶装置に格納されたデータを、復元の際に基準個数の部分データが必要となる秘密分散法により、基準個数以上の所定の個数の部分データに分割する分割部と、部分データを他の情報処理装置に送信するとともに記憶装置から削除する送信部と、記憶装置へデータを復元する場合に、他の情報処理装置から部分データを取得して記憶装置に格納する取得部と、基準個数の部分データが記憶装置に格納されたことを条件にデータを復元する復元部とを備える情報処理装置が開示されている。

【先行技術文献】

【特許文献】

【0010】

【特許文献1】特許第４０３９８１０号明細書

【特許文献2】特開２００９−１３９９９０号公報

【非特許文献】

【0011】

【非特許文献1】A.Shamir、"How to Share a Secret"、Communications of the ACM、vol.22 no.11 pp.612-613、1979.

【発明の概要】

【発明が解決しようとする課題】

【0012】

特許文献１に記載された技術では、秘密分散された部分データ（情報ブロック）の全てを集めなければ元データを復元することができない。従って、部分データのうちの１つをいわゆる“信頼できる第三者機関（"Trusted Third Party"、以下では単に「ＴＴＰ」と記載する場合がある）”である証明局に供託しておくことで、元データの復元の際に必ず証明局を介在させることができ、セキュリティを向上させることができる。しかしながら、元データを復元する際には全ての部分データを集める必要があることから、部分データの紛失等、何らかの理由で部分データの少なくとも１つが取得不能となった場合は元データの復元が不可能になり、可用性に欠けるという課題がある。

【0013】

一方、非特許文献１などに記載された閾値秘密分散法や、それらを用いた特許文献２に記載された技術では、秘密分散された全ての部分データを集めなくとも閾値以上の個数を集めれば元データを復元することができる。しかしながら、例えば、部分データの一部を上記のような証明局に供託することを考えた場合、残りの部分データを閾値以上の個数集めればそれだけで元データを復元することが可能となり、証明局のようなＴＴＰを介在させてセキュリティを向上させることが困難であるという課題がある。

【0014】

そこで本発明の目的は、電子データを秘密分散により複数の部分データに分割して分散管理する際に、ＴＴＰである証明局に部分データの一部を保管し、元の電子データの復元の際は、証明局に保管された部分データを必ず含む所定の数以上の部分データを集めれば元データを復元することができる電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法を提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。

【課題を解決するための手段】

【0015】

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。

【0016】

本発明の代表的な実施の形態による電子データ管理システムおよび当該システムを構成する情報処理装置および電子データ管理プログラムならびに当該電子データ管理システムにおける電子データ管理方法は、ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管するものであって、以下の特徴を有するものである。

【0017】

すなわち、電子データ管理システムは、ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有する。

【0018】

この前記情報処理装置は、前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な１つ以上のキーデータと１つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のｋ個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なｎ個（ｋ＜ｎ）の分散データを生成する分割部を有する。

【0019】

また、前記電子データの復元の際に、少なくともｋ個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部を有する。

【0020】

また、前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたｎ個の前記分散データを所定の条件に従って選択したｎ個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともｋ個の前記分散データを所定の条件に従って選択したｋ個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とするものである。

【発明の効果】

【0021】

本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。

【0022】

本発明の代表的な実施の形態によれば、保管対象の電子データを、全てを集めなければ元の電子データを復元することができない２つ以上の部分データに分割し、その少なくとも１つをＴＴＰである証明局にキーデータとして保管する。また、残余を（ｋ，ｎ）型の閾値秘密分散によりｎ個の分散データに分割して分散保管する。これにより、元の電子データの復元に際して証明局による認証を経てキーデータを取得することを義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データの一部が紛失や障害・災害等により欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。

【0023】

また、本発明の代表的な実施の形態によれば、分散保管する個々の分散データは非重要データであり、その一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データを分散保管している外部のデータセンターの運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター等を分散保管に利用することが可能となり、電子データをセキュアに管理する手段を低コストで構築することが可能となる。

【図面の簡単な説明】

【0024】

【図1】本発明の一実施の形態である電子データ管理システムの構成例の概要について示した図である。

【図2】本発明の一実施の形態における電子データの分散手法の例について概要を示した図である。

【図3】本発明の一実施の形態における部分データから分散データを得る手法の例について概要を示した図である。

【図4】本発明の一実施の形態における電子データの分散時の処理の流れの例を示したフローチャートである。

【図5】本発明の一実施の形態における電子データの復元時の処理の流れの例を示したフローチャートである。

【発明を実施するための形態】

【0025】

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。

【0026】

本発明の一実施の形態である電子データ管理システムは、電子データをセキュリティを確保して保管する際に、秘密分散により当該電子データをそれだけでは意味のない（元の電子データを復元・推測できない）非重要データである部分データに分割し、これらをそれぞれ外部のデータセンターに分散保管する機能を有するコンピュータシステムである。

【0027】

ここで、分割された部分データのうちの少なくとも１つは元の電子データを復元する際に必ず必要となるキーデータとし、これをＴＴＰである証明局に供託する。これにより、元の電子データの復元に際して必ず証明局による認証を介在させてセキュリティを向上させることを可能とするものである。

【0028】

また、キーデータ以外の部分データを外部のデータセンターに分散保管する際に、（ｋ，ｎ）型の閾値秘密分散により分散データを生成してこれらを分散保管する。これにより、データセンターに分散保管された分散データの一部（ｎ−ｋ個まで）が紛失や攻撃、障害・災害等により欠損した場合であっても柔軟に元の電子データを復元することを可能とするものである。

【0029】

［システム構成］
図１は、本発明の一実施の形態である電子データ管理システムの構成例の概要について示した図である。図１において、電子データ管理システム１は、例えば、インターネット等のネットワーク４００に接続された１台以上のユーザ端末１００と、ネットワーク４００に接続された証明局２００とからなる。ネットワーク４００には、ユーザ端末１００からネットワーク４００を介してアクセスすることが可能な外部の複数のデータセンター３００が接続されている。

【0030】

ユーザ端末１００は、例えば、ＰＣ（Personal Computer）等によって構成され、図示しない記憶装置等に格納された電子データのうちユーザから指示されたものについて、秘密分散により部分データに分割し、証明局２００およびデータセンター３００に分散保管することでセキュアな保管を行う情報処理装置である。ユーザ端末１００は、ソフトウェアプログラムによって実装された分割部１１０、分散管理部１２０、復元部１３０およびインタフェース部１４０の各部と、データベースやファイルテーブル等からなる分散状況１２１、および分散先情報１５１、設定情報１５２の各テーブルを有する。

【0031】

分割部１１０は、後述するインタフェース部１４０を介してユーザからセキュアな保管を指示された電子データに基づいて、設定情報１５２の設定内容に従って秘密分散により証明局２００に供託する１つ以上のキーデータおよびデータセンター３００に分散保管する複数の分散データを生成する。これらの手順の詳細については後述する。

【0032】

分散管理部１２０は、電子データの分散保管の際に、分割部１１０によって生成されたキーデータおよび分散データを、分散先情報１５１および設定情報１５２の内容に基づく所定の条件に従って証明局２００およびデータセンター３００に送信して分散保管するとともに、その状況を分散状況１２１に記録して管理する。また、後述する復元部１３０による電子データの復元の際に、分散状況１２１の内容に基づいて、証明局２００およびデータセンター３００からキーデータおよび必要な分散データを収集して復元部１３０に受け渡す。

【0033】

復元部１３０は、インタフェース部１４０を介してユーザから参照や編集等の利用を指示された電子データについて、対応するキーデータおよび分散データを分散管理部１２０を介して取得し、取得したキーデータおよび分散データから元の電子データを復元する。これらの手順の詳細についても後述する。

【0034】

インタフェース部１４０は、ユーザ端末１００における画面表示等のユーザインタフェースやデータの送受信などの入出力機能を有する。ユーザは、例えば、一般的なＯＳ（Operating System）が有するファイル管理用の画面等を利用して、電子データ管理システム１の機能を利用することができる。例えば、ファイル管理用の画面において重要情報を有する電子データを特定のフォルダ等にドラッグ＆ドロップなどの簡易な操作により移動する。これをトリガとして、分割部１１０および分散管理部１２０は、自動的に当該電子データを秘密分散により分割し、証明局２００およびデータセンター３００にユーザに意識させずにセキュアに保管することができる。

【0035】

また、例えば、ユーザは、ファイル管理用の画面において特定のフォルダにて管理され、セキュアに保管されている電子データを参照したり編集したり等の操作を行うことができる。これをトリガとして、分散管理部１２０および復元部１３０は、自動的に証明局２００およびデータセンター３００から必要なデータを収集し、元の電子データを当該フォルダに復元することができる。

【0036】

証明局２００は、信頼できる第三者機関（ＴＴＰ）の情報処理システムであり、例えば、ＰＣやサーバ等によって構成され、ユーザ端末１００から送信されて供託されたキーデータを管理する。証明局２００は、ソフトウェアプログラムによって実装された認証部２１０および管理部２２０の各部と、キーデータ管理２２１およびアクセスログ２２２の各データベースを有する。

【0037】

認証部２１０は、ユーザ端末１００からキーデータを取得する要求を受けた際に、要求の許否を判定するためにユーザＩＤ／パスワード等によるユーザ認証を行う。ユーザ認証を行うために、ユーザ端末１００のインタフェース部１４０は、ユーザからセキュアに保管されている電子データの参照や編集の要求を受ける際に、ユーザＩＤ／パスワードの入力を要求する画面を表示するようにしてもよい。また、参照や編集等の電子データの復元時だけでなく、電子データをセキュアに保管する際にも、電子データから分割されたキーデータを証明局２００に供託するためにユーザ認証を行うようにしてもよい。

【0038】

管理部２２０は、ユーザ端末１００から供託されたキーデータを、ユーザ（ユーザＩＤ）および元の電子データの識別情報（ファイル名やＩＤ等）と関連付けてキーデータ管理２２１によって管理する。すなわち、ユーザ端末１００からの要求に基づいて、供託されたキーデータの情報をキーデータ管理２２１に記録したり、キーデータ管理２２１から対象のキーデータの情報を取得してキーデータをユーザ端末１００に送信したりといった処理を行う。さらに、これらの処理の内容を履歴としてアクセスログ２２２に記録する。

【0039】

データセンター３００は、複数のサーバ群が運用・管理される施設であり、外部の運営者等により運営される、一般的なデータセンターとしての固定的な設備を備えた実データセンターであってもよいし、例えば“Ａｍａｚｏｎ ＥＣ２（登録商標）”などを利用した、クラウドコンピューティング環境における仮想的なデータセンターであってもよい。なお、データセンター３００に自社が運営するプライベートなデータセンターを含んでもよいことは当然である。また、本実施の形態では、証明局２００を独立したサーバ等によって構成しているが、データセンター３００のいずれかに証明局２００を実装する構成としてもよい。また、証明局２００を複数有する構成であってもよい。

【0040】

［電子データの分散手法］
図２は、電子データ管理システム１における電子データの分散手法の例について概要を示した図である。ユーザ端末１００では、インタフェース部１４０を介してユーザからセキュアな保管を指示された電子データについて、まず、秘密分散により２分割して、部分データ１（１０１）と部分データ２（１０２）の２つの部分データを生成する。

【0041】

部分データ１（１０１）および部分データ２（１０２）は秘密分散により生成されるため、それぞれは単独では意味のない（元の電子データの内容を復元・推測できない）非重要データであり、全てを集めて初めて元の電子データが復元可能となるものである。秘密分散の手法は特に限定されず、例えば特許文献１に記載されているような手法により生成された情報ブロックであってもよいし、非特許文献１に記載されているような（ｋ，ｎ）閾値秘密分散法等を用いてｋ＝ｎ＝２として生成されたものであってもよい。

【0042】

部分データ１（１０１）および部分データ２（１０２）のうちのいずれか一方（図２の例では部分データ１（１０１））をキーデータ２０１として証明局２００に供託する。このキーデータ２０１は、元の電子データを復元する際には必ず必要となるものである。なお、図２の例では、元の電子データを２つに分割し、その一方をキーデータ２０１として証明局２００に供託しているが、元の電子データを２つ以上に分割し、キーデータ２０１を複数有するようにしてセキュリティをさらに強化してもよい。この場合は、複数のキーデータ２０１を別個の証明局２００に供託するのが望ましい。また、キーデータ２０１としない部分データ２（１０２）のほうが複数生成されるように分割してもよい。

【0043】

部分データ１（１０１）をキーデータ２０１とする一方で、他方の部分データ２（１０２）を、（ｋ，ｎ）型の閾値秘密分散（ｋ＜ｎ）により秘密分散して分散データ１０３を生成する。これにより、任意のｋ個を集めれば部分データ２（１０２）を復元することが可能なｎ個の分散データ１０３を生成することができる（図２の例では、例えばｋ＝３、ｎ＝４）。各分散データ１０３も秘密分散により生成されるため、各分散データ１０３は単独では意味のない非重要データである。

【0044】

ここでも秘密分散の手法は特に限定されず、例えば、非特許文献１に記載されているような（ｋ，ｎ）閾値秘密分散法等を用いてｋ＜ｎとして生成された分散データ１０３であってもよい。また、特許文献１に記載されているような手法においても（ｋ，ｎ）型の秘密分散を行って分散データ１０３を得ることが可能である。

【0045】

図３は、特許文献１に記載されているような手法によって部分データ２（１０２）から分散データ１０３を得る手法の例について概要を示した図である。図３の例では、特許文献１に記載されているような手法により、部分データ２（１０２）を_ｎＣ_{ｎ−ｋ＋１}個（図３の例では_４Ｃ_２＝６でありＡ〜Ｆの６個）の分割片（情報ブロックもしくは情報エレメント）に分割した状態を示している。ここで、各分割片を組み合わせることによって、任意のｋ個（図３の例では３個）を集めれば部分データ２（１０２）を復元することが可能となるｎ個（図３の例では４個）の分散データ１０３を生成する（（ｋ，ｎ）＝（３，４））。

【0046】

このとき、本実施の形態では、各分割片がそれぞれ（ｎ−ｋ＋１）個（図３の例では２個）の異なる分散データ１０３に、分割片毎に異なる組み合わせで含まれるように冗長化する。図３の表は、上記の条件を満たす分割片と分散データ１０３の組み合わせの一例を示している。これに基づいて、分割片Ａ、Ｂ、Ｃを含むものと、分割片Ａ、Ｄ、Ｅを含むものと、分割片Ｂ、Ｄ、Ｆを含むものと、分割片Ｃ、Ｅ、Ｆを含むものの４個の分散データ１０３を生成する。これにより、４個の分散データ１０３のうち任意の３個を集めれば、Ａ〜Ｆの全ての分割片をそれぞれ少なくとも１個以上得ることができ、部分データ２（１０２）を復元することが可能となる。

【0047】

生成したｎ個の分散データ１０３は、図２に示すように、それぞれ異なる外部のデータセンター３００（図２の例では、データセンター３００ａ、ｂ、ｄ、ｅの４つ）を選択して、これらに分散して保管する。分散データ１０３は、それぞれ単独では意味を持たない非重要データとなっているため、安心して外部のデータセンター３００に保管することができる。また、第三者によって分散データ１０３をｋ個以上集められた場合であっても、これらからは部分データ２（１０２）しか復元することができない。元の電子データを復元するには証明局２００から認証を経てキーデータ２０１を取得する必要があるため、さらに強固なセキュリティを確保することができる。

【0048】

また、データセンター３００に保管した分散データ１０３は、少なくともｋ個以上集めれば部分データ２（１０２）を復元することができる。すなわち、（ｎ−ｋ）個までであれば、紛失や攻撃等による欠損に耐えることができ、また、データセンター３００の障害・災害等に対してシステムの切り替え等を行わずに元の電子データを復元することができる可用性を有する。従って、これらのデータセンター３００をそれぞれ地域的に離散したロケーションに設けることによって、電子データ管理システム１は、電子データのセキュアな保管に加えて、いわゆるＢＣＰ（Business Continuity Plan：事業継続計画）を実現するためのディザスタリカバリシステムとして機能することも可能となる。

【0049】

［分散時の処理フロー］
図４は、電子データ管理システム１における電子データの分散時の処理の流れの例を示したフローチャートである。ユーザ端末１００において、インタフェース部１４０を介してユーザからセキュアな保管を指示された電子データについて、まず、分割部１１０が、上述したような手法により元の電子データを秘密分散により２分割して２つの部分データを生成する（Ｓ０１）。

【0050】

次に、分割部１１０は、部分データのいずれか一方（部分データ１（１０１））をキーデータ２０１として、インタフェース部１４０等を介して証明局２００に送信して供託する（Ｓ０２）。証明局２００にアクセスするためのネットワークアドレスやホスト名等の情報は、例えば、ユーザ端末１００の設定情報１５２に予め設定しておく。複数の証明局２００から選択してキーデータ２０１を供託するようにしてもよい。

【0051】

キーデータ２０１の供託を要求された証明局２００は、認証部２１０によりユーザ端末１００に対してユーザＩＤ／パスワード等の認証情報の入力を要求してもよい。認証が成功し、キーデータ２０１の供託を許可する場合は、管理部２２０により、キーデータ２０１の情報をユーザおよび元の電子データの識別情報と関連付けてキーデータ管理２２１に記録する。また、当該処理内容をアクセスログ２２２に履歴として記録する。

【0052】

次に、分割部１１０は、キーデータ２０１としなかったもう一方の部分データ（部分データ２（１０２））を、上述したような（ｋ，ｎ）型の閾値秘密分散（ｋ＜ｎ）の手法により秘密分散してｎ個の分散データ１０３を生成する（Ｓ０３）。秘密分散に係るｋおよびｎのパラメータ値については、例えば、ユーザ端末１００の設定情報１５２に予め設定しておく。これにより、ユーザが電子データをセキュアに保管する際にこれらの条件を意識する必要がなく、利便性を向上させることができる。なお、これらの設定内容をユーザにより変更可能としたり、ユーザが電子データをセキュアに保管する要求を行う際にオプションとして都度指定可能としたりすることで柔軟性を確保してもよい。

【0053】

次に、分散管理部１２０が、分割部１１０によって生成されたｎ個の分散データ１０３を分散保管する先のデータセンター３００を選択する（Ｓ０４）。ここで、分散先となるデータセンター３００の情報は、例えば、ユーザ端末１００の分散先情報１５１に予め設定しておく。分散先情報１５１には、例えば、ユーザ毎にアクセス可能なデータセンター３００のグループがリストとして優先順に設定されており、リスト中の上位からｎ個のデータセンター３００を分散先として選択する。

【0054】

リスト中の優先順位は、例えば、各データセンター３００の稼働率（過去のアクセスの成功率）やアクセス時のレスポンスタイムなどのパフォーマンス情報に基づいて、良好なものから優先的にアクセスされるように動的に変更するようにしてもよい。アクセス可能なデータセンター３００が追加された場合は、ユーザ端末１００が当該データセンター３００にアクセスした際などに都度分散先情報１５１のリストが更新されるようにしておく。

【0055】

次に、分散管理部１２０は、ｎ個の分散データ１０３を、分散先情報１５１から選択されたｎ個の分散先のデータセンター３００にそれぞれ送信して保管する（Ｓ０５）。各データセンター３００では、分散データ１０３を通常通り保管するだけで特別な処理は要求されない。なお、分散先のデータセンター３００から、例えば、サービス停止やディスクフル、タイムアウトなど、分散データ１０３の保管が不能である旨の応答が返された場合は、分散先情報１５１のリストにおける未選択のデータセンター３００のうち、次順位のデータセンター３００を選択して保管するものとする。

【0056】

分散先情報１５１のリストに次順位のデータセンター３００がなく、分散先のデータセンター３００をｎ個確保できなかった場合は、当該電子データについてのセキュアな保管自体をエラーとしてこれまでの処理をロールバックし、インタフェース部１４０を介してユーザにその旨を通知する（ステップＳ０４にて分散先のデータセンター３００をｎ個選択できなかった場合も同様）。

【0057】

ステップＳ０５でｎ個の分散先のデータセンター３００に分散データ１０３を保管した場合は、分散管理部１２０は、元の電子データの復元時に必要となる情報として、元の電子データに、キーデータ２０１と供託先の証明局２００の情報、分散データ１０３に係るｋ、ｎのパラメータ値、および各分散データ１０３とそれぞれの分散先のデータセンター３００の情報などを関連付けた分散管理情報を、分散状況１２１のエントリに追加して（Ｓ０６）、処理を終了する。

【0058】

このとき、元の電子データの内容については、ユーザ端末１００の図示しない記憶装置等から削除するものとする。ＯＳの管理下のファイルシステム上では、例えば、ファイル名のみの空のファイル等を保持するようにして、外部のデータセンター３００に分散保管したことをユーザから隠蔽するようにしてもよい。なお、元の電子データを記憶装置等から削除せずに保持したままにしておいてもよく、その場合は、データセンター３００への分散保管により、即時復元が可能な簡易バックアップとしての機能を実現することができる。

【0059】

上記のフローチャートにおける処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。例えば、ステップＳ０２でのキーデータ２０１の証明局２００への供託は、ステップＳ０５での分散データ１０３のデータセンター３００への分散保管と同じタイミングで行うようにしてもよい。また、例えば、ステップＳ０４にて分散先のデータセンター３００をｎ個選択してから、ステップＳ０５で各データセンター３００に分散保管するのではなく、分散先情報１５１のデータセンター３００のリストから上位のものを順次取得して、当該データセンター３００に分散データ１０３を逐次保管し、これをｎ回繰り返すようにしてもよい。

【0060】

［復元時の処理フロー］
図５は、電子データ管理システム１における電子データの復元時の処理の流れの例を示したフローチャートである。ユーザ端末１００において、ユーザにより、インタフェース部１４０を介して、セキュアに保管されている電子データを参照したり編集したり等の操作が要求された場合、まず、分散管理部１２０が、分散状況１２１から、対象の電子データに係る分散管理情報のエントリを取得する（Ｓ１１）。

【0061】

次に、分散管理部１２０は、取得した分散管理情報の内容に基づいて、証明局２００から対象の電子データに対応するキーデータ２０１を取得する（Ｓ１２）。キーデータ２０１の取得を要求された証明局２００は、認証部２１０によりユーザ端末１００に対してユーザＩＤ／パスワード等の認証情報の入力を要求する。認証が成功し、キーデータ２０１の取得を許可する場合は、管理部２２０により、キーデータ管理２２１を参照して対象の電子データに対応するキーデータ２０１を取得して、ユーザ端末１００に送信する。また、当該処理内容をアクセスログ２２２に履歴として記録する。

【0062】

また、分散管理部１２０は、対象の電子データに対応するｎ個の分散データ１０３のうちの少なくともｋ個以上を、分散先のデータセンター３００から取得する（Ｓ１３）。ここでは、ステップＳ１１で取得した、対象の電子データに対応する分散管理情報の内容から復元の際の閾値ｋの値を取得する。さらに、分散管理情報にｎ個記録されている分散先のデータセンター３００の情報からｋ個を選択して取得する。

【0063】

取得したｋ個のデータセンター３００の情報によって特定される各データセンター３００から順次分散データ１０３を取得する。このとき、サービス停止やタイムアウト等によりアクセスできないデータセンター３００がある場合は、分散管理情報に記録されている他のデータセンター３００から取得するようにアクセス先を切り替える。ｎ個のデータセンター３００全てを対象としてもｋ個以上の分散データ１０３を取得できなかった場合は、復元処理のエラーとしてこれまでの処理をロールバックし、インタフェース部１４０を介してユーザにその旨を通知する。

【0064】

分散管理部１３０が少なくともｋ個の分散データ１０３を取得した場合は、復元部１３０が、ｋ個の分散データ１０３から部分データの一方（図２における部分データ２（１０２））を復元する（Ｓ１４）。次に、復元部１３０は、ステップＳ１２で証明局２００から取得したキーデータ２０１と、ステップＳ１４で復元した部分データ２（１０２）から元の電子データを復元し（Ｓ１５）、ユーザ端末１００上の所定のフォルダ等に格納する。このとき、分散管理部１２０を介して分散状況１２１から対象の分散管理情報のエントリを削除して（Ｓ１６）、処理を終了する。なお、分散時の処理と同様に、上記の処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。

【0065】

以上に説明したように、本発明の一実施の形態である電子データ管理システム１によれば、セキュアな保管の対象となる電子データを、秘密分散により２つ以上の部分データに分割し、その少なくとも１つをＴＴＰである証明局２００にキーデータ２０１として供託する。また、残余の部分データを（ｋ，ｎ）型の閾値秘密分散によりｎ個の分散データ１０３に分割して分散保管する。これにより、元の電子データの復元に際して証明局２００による認証を経たキーデータ２０１の取得を義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データ１０３の一部が欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。

【0066】

また、本実施の形態によれば、分散保管する分散データ１０３は非重要データであり、の一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データ１０３を分散保管している外部のデータセンター３００の運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター３００等を分散保管に利用することが可能となり、電子データをセキュアに分散管理する手段を低コストで構築することが可能となる。

【0067】

また、電子データの分割および分散保管の処理や、分散データ１０３の収集および元の電子データの復元の処理をユーザから隠蔽して行うことが可能であり、ユーザが電子データのセキュアな保管に際してこれらを意識することを不要とし、利便性を向上させることができる。

【0068】

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。

【産業上の利用可能性】

【0069】

本発明は、重要データを秘密分散により非重要データに分割して分散管理する電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法に利用可能である。

【符号の説明】

【0070】

１…電子データ管理システム、
１００…ユーザ端末、１０１…部分データ１、１０２…部分データ２、１０３…分散データ、１１０…分割部、１２０…分散管理部、１２１…分散状況、１３０…復元部、１４０…インタフェース部、１５１…分散先情報、１５２…設定情報、
２００…証明局、２０１…キーデータ、２１０…認証部、２２０…管理部、２２１…キーデータ管理、２２２…アクセスログ、
３００、３００ａ〜ｅ…データセンター、
４００…ネットワーク。

【図1】

【図2】

【図3】

【図4】

【図5】