特許 6149523 ファイル改ざん検知システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6149523

(24)【登録日】2017年6月2日

(45)【発行日】2017年6月21日

(54)【発明の名称】ファイル改ざん検知システム

(51)【国際特許分類】

   G06F 21/64 20130101AFI20170612BHJP

   G06F 21/12 20130101ALI20170612BHJP

【ＦＩ】

   G06F21/64

   G06F21/12

【請求項の数】3

【全頁数】12

(21)【出願番号】特願2013-124157(P2013-124157)

(22)【出願日】2013年6月12日

(65)【公開番号】特開2014-241116(P2014-241116A)

(43)【公開日】2014年12月25日

【審査請求日】2015年10月1日

(73)【特許権者】

【識別番号】000001993

【氏名又は名称】株式会社島津製作所

(74)【代理人】

【識別番号】110001069

【氏名又は名称】特許業務法人京都国際特許事務所

(72)【発明者】

【氏名】磯井 卓哉

【審査官】 金沢 史明

(56)【参考文献】

【文献】 特開２０１１−２４８８６５（ＪＰ，Ａ）

【文献】 特開２０００−２９３３７０（ＪＰ，Ａ）

【文献】 特開２０１１−１７０８３６（ＪＰ，Ａ）

【文献】 大石和臣，松本勉，自己インテグリティ検証と自己書換えに基づく耐タンパーソフトウェアの構成方法，電子情報通信学会技術研究報告，日本，社団法人電子情報通信学会，２００９年 ６月２５日，Ｖｏｌ．１０９，Ｎｏ．１１４，ｐｐ．２２１−２２８

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／００−２１／８８

(57)【特許請求の範囲】

【請求項1】

検査対象ファイルに対して所定の改ざん検知用計算を行って得られた計算結果を、予め用意された正解データと比較することにより該検査対象ファイルの改ざんの有無の検知を行う改ざん検知部を備えたシステムであって、
a) 前記検査対象ファイルへのアクセス情報が保持された検査対象アクセス情報保持部と、
b) 前記検査対象ファイルの正当な改ざん検査結果である検査対象正解データを保持している検査対象正解データ保持部と、
c) 前記改ざん検知部自身の正当な改ざん検査結果である自身正解データを保持している自身正解データ保持部と、
d) 前記改ざん検知部が存在する位置を基点とする前記自身正解データ保持部へのアクセス情報を保持する自身正解データアクセス情報保持部と、
を有し、
前記改ざん検知部が、前記検査対象アクセス情報保持部と前記検査対象正解データ保持部とを参照して行う検査対象ファイルの改ざんの検知の実行に加え、所定の命令が与えられたことに基づき、前記自身正解データアクセス情報保持部と前記自身正解データ保持部を参照することで、改ざん検知部自身の改ざん検知を実行する
ことを特徴とするファイル改ざん検知システム。

【請求項2】

更に、前記改ざん検知部とは異なる位置に設けられた、検査対象ファイルの検査対象正解データ及び改ざん検知部の自身正解データを作成する正解データ作成部を有することを特徴とする請求項１に記載の改ざん検知システム。

【請求項3】

前記正解データ作成部は、前記検査対象アクセス情報保持部、前記検査対象正解データ保持部、前記自身正解データ保持部、前記自身正解データアクセス情報保持部の一部または全てに対して改ざん検知用計算を行って得られた計算結果を秘密鍵を用いて暗号化することで前記検査対象アクセス情報保持部、前記検査対象正解データ保持部、前記自身正解データ保持部、前記自身正解データアクセス情報保持部の一部または全てに関して電子署名を作成し、
前記改ざん検知部は前記秘密鍵によって暗号化されたデータを復号化する公開鍵を用いて前記電子署名から前記計算結果を導出し、該計算結果と、該改ざん検知部が実行した改ざん検知用計算による計算結果とを比較することにより、前記検査対象アクセス情報保持部、前記検査対象正解データ保持部、前記自身正解データ保持部、前記自身正解データアクセス情報保持部の一部または全ての改ざんを検知する
ことを特徴とする請求項２に記載の改ざん検知システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ファイルに改ざんがあったことを検知するシステムに関する。とりわけ本発明は、各種の分析装置や測定装置などを制御するシステムにおけるファイルの改ざんを検知するシステムに関する。

【背景技術】

【0002】

近年、クロマトグラフ分析装置や分光分析装置等の種々の分析装置・測定装置の制御や、分析を実行した結果として収集された分析データのデータ処理や管理は、そのような装置に対して接続される分析装置制御システムを用いて実行される。この分析装置制システムの実体は通常は汎用コンピュータ（以下PCと略記）であり、このPC上で所定のプログラムを実行することにより各種の機能が実現される。

【0003】

例えば製薬の分野などにおいては、分析装置制御システムに関連して使用される各種のプログラムやデータが真正なものであるかどうか、即ち、改ざんされていないか否かを検証するように求められることが多い。また、真正性の立証に関して法律的な要請が存在する場合もある。真正なプログラムであることが保証される状態においてはじめて、その分析装置を使用して得られたデータが信頼できるものとして使用可能となる。
改ざんの検知を行う機能を備えた従来技術の一例として、特許文献１に記載の分析装置がある。この装置では、測定データを比較することで測定データの改ざん検知が可能である。とはいえ、昨今の真正性の厳格化への要求の高まりを考慮すると、単に測定データの改ざん検知だけでは十分とはいえず、システムを構成する様々なファイルやプログラムの真正性を立証することが必要となる。

【0004】

ファイルやデータに改ざん（本発明においては故意や過失など、改ざんの理由は問わない）があったこと、または無かったことの検知は、検査対象ファイルに対して所定の計算を行うことで計算結果（例えばチェックサム）を算出し、この計算結果と、予め用意された正解データとを比較することで行われる。計算結果と正解データとが一致した場合には改ざんがないと結論づける。
また、プログラムは複数のファイルで構成されることもあるが、その場合はプログラムを構成する複数のファイルそれぞれに関して改ざん検知を実施し、計算結果と正解データが全て一致したときに改ざんがないと結論づけることができる。

【0005】

上記のような改ざん検知の実施は、改ざん検知システムを用いて行う。改ざん検知システムは通常、次の要素から構成されている。
・対象ファイル（データ）の真正性を検証する改ざん検知プログラム
・検査対象ファイルの一覧データ（検査対象ファイル名と、その格納場所が正解データを基点とした相対パスとして記録されている）
・検査対象ファイルの正解データ及び改ざん検知プログラムの正解データ
改ざん検知システムは、対象のファイルの真正性を検証することに加え、改ざん検知プログラム自身の真正性も検証する。

【0006】

各検査対象ファイル及び改ざん検知プログラムの正解データは、正解データ作成プログラムによって作成される。この正解データ作成プログラムは、改ざん検知プログラムの一部として、それに組み込まれていることが多い。

【先行技術文献】

【特許文献】

【0007】

【特許文献1】特開2006-010671号公報

【発明の概要】

【発明が解決しようとする課題】

【0008】

改ざん検知プログラムが偽装したプログラムに置き換えられた場合、以下のような方法で、改ざん検知を実行しなければならない。

【0009】

（方法１）改ざん検知プログラムを使用せず、各検査対象ファイルに対して、改ざんがなされていないことが証明されている正当なファイルを用意して１バイトずつ両者を比較する。
（問題点）この方法は確実ではあるものの、時間や手間がかかるため、現実的ではない。

【0010】

（方法２）改ざん検知プログラム自体を修復する。
（問題点）上記のように、通常は、検査対象ファイルの一覧データに記録されている検査対象の格納場所は、正解データを基点とした相対パスとして記録されている。従って、偽装されているプログラムとは別の格納場所や記録媒体に保存されている正当な改ざん検知プログラムを用いて改ざん検知を実行しようとすると、自分自身（正当な改ざん検知プログラム）が正当なものであることを証明することができない。このため、改ざん検知プログラムを動作させるために、改ざん検知システムそのものを修復する必要が生じるが、これには手間がかかる。
また、改ざん検知プログラムを修復する前には、修復記録を残すという観点から、改ざん検知システムを構成するデータが含まれた記録媒体全体を複製しなければならず、手間と時間がかかる。

【課題を解決するための手段】

【0011】

上記課題を解決するために成された本発明に係る改ざん検知システムは、
検査対象ファイルに対して所定の改ざん検知用計算を行って得られた計算結果を、予め用意された正解データと比較することにより該検査対象ファイルの改ざんの有無の検知を行う改ざん検知部を備えたシステムであって、
a) 前記検査対象ファイルへのアクセス情報が保持された検査対象アクセス情報保持部と、
b) 前記検査対象ファイルの正当な改ざん検査結果である検査対象正解データを保持している検査対象正解データ保持部と、
c) 前記改ざん検知部自身の正当な改ざん検査結果である自身正解データを保持している自身正解データ保持部と、
d) 前記改ざん検知部が存在する位置を基点とする前記自身正解データ保持部へのアクセス情報を保持する自身正解データアクセス情報保持部と、
を有し、
前記改ざん検知部が、前記検査対象アクセス情報保持部と前記検査対象正解データ保持部とを参照して行う検査対象ファイルの改ざんの検知の実行に加え、所定の命令が与えられたことに基づき、前記自身正解データアクセス情報保持部と前記自身正解データ保持部を参照することで、改ざん検知部自身の改ざん検知を実行することを特徴とする。

【0012】

本発明に係る改ざん検知システムの動作について説明する。
改ざん検知部は、検査対象ファイルに改ざんがあったか否かを検知する。
改ざん検知部は、検査対象アクセス情報保持部にアクセスすることにより、検査対象ファイルの特定（すなわち、ファイル名の取得）とその格納位置の特定（パスの取得）を行う。このようにして特定された検査対象ファイルに対して所定の改ざん検知用計算（例えばハッシュ値を算出する）を行い、計算結果を得る。
なお、本発明においていう「アクセス」動作は、目的とする情報を取得するという意味であり、その情報の保存位置や保存形態については問わないものとする。
改ざん検知部は、その計算結果と、検査対象正解データ保持部に保存されている検査対象ファイルの検査対象正解データとを比較する。両者の値が同一であれば改ざんが無かったと判断し、両者の値が異なっていれば改ざんがあったと判断する。

【0013】

以上の動作は従来の改ざん検知システムと概ね同様である。しかし、本発明に係る改ざん検知システムは、以下に説明するように、改ざん検知部がそれ自身の改ざん検知を行う場合に対して特徴的な構成を有する。
すなわち、所定の命令が入力されたことに基づき、改ざん検知部は、改ざん検知部自身に対して所定の計算を行い、その計算結果を自身正解データ保持部に保持されている自身正解データと比較する。自身正解データ保持部へのアクセス情報は自身正解データアクセス情報保持部に保持されているが、これは、改ざん検知部が存在する位置を基点とする前記自身正解データ保持部へのアクセス情報として保持されている。

【0014】

これにより、本発明に係る改ざん検知システムでは、改ざん検知部が、検査対象データ等が格納されている場所とは異なる場所や記録媒体中に保存されていたとしても、改ざん検知部自身の改ざんの有無を評価することが可能となる。すなわち、あるシステムに対して既に設けられている改ざん検知部が正常に動作しないような場合であっても、別の記録媒体に保存されており、且つ、真正性が保証されている改ざん検知部を用いて、正しい改ざん検知を行うことが可能となる。

【0015】

また、本発明に係る改ざん検知システムは、更に、前記改ざん検知部とは異なる位置に設けられた、検査対象ファイルの検査対象正解データ及び改ざん検知部の自身正解データを作成する正解データ作成部を有することが好ましい。

【発明の効果】

【0016】

本発明に係る改ざん検知システムによれば、改ざん検知プログラム自身の真正性の証明に必要な、改ざん検知プログラムに関する自身正解データが保存されている自身正解データ保持部へのアクセス情報が、改ざん検知部が存在する位置を基点として記述されている。従って、改ざん検知部を検査対象ファイルが格納されている装置の記録媒体とは別の格納場所や記録媒体に記録された改ざん検知プログラムを用いて、その改ざん検知プログラム自身の真正性を証明することが可能となる。
これにより、たとえ改ざん検知システムが偽装されていたとしても、そのシステムが記録されている装置の記録媒体を複製して修復するという面倒な作業を行う必要がなくなる。

【0017】

また、本発明に係る改ざん検知システムが、前記改ざん検知部内（すなわち一体的）にではなく、改ざん検知部とは異なる位置に、検査対象ファイルの検査対象正解データ及び改ざん検知部の自身正解データを作成する正解データ作成部を有する構成の場合には、たとえ改ざん検知システムの改ざん検知部が悪意ある第三者によって解析されたとしても、これらの正解データを作成する機能自体が存在していないので、正解データを作成することができない。この正解データ作成部は例えばユーザではなく改ざん検知システムの作成者が厳重に管理することにより、正解データ自体を偽装されてしまうという可能性を大幅に低減することが可能となる。

【図面の簡単な説明】

【0018】

【図1】第一実施形態に係る改ざん検知システム１の概略構成図。

【図2】第一実施形態に係る改ざん検知システム１の物理的構成の例を示す図。

【図3】第一実施形態において検査対象ファイルの改ざん検知を実行する場合の説明図。

【図4】第一実施形態において検査対象ファイルの改ざん検知を実行する場合の手順を示すフローチャート。

【図5】第一実施形態において改ざん検知部の改ざん検知を実行する場合の説明図。

【図6】第一実施形態において改ざん検知部の改ざん検知を実行する場合の手順を示すフローチャート。

【図7】第二実施形態に係る改ざん検知システム１の説明図。

【図8】変形例１の説明図。

【図9】変形例２の説明図。

【図10】変形例３の説明図。

【図11】測定制御システムの改ざん検知部に不具合があった場合の、本発明に係る改ざん検知システムの動作の説明図。

【発明を実施するための形態】

【0019】

以下、本発明に係る改ざん検知システムの実施形態に関して図面を参照しつつ詳細に説明する。

【0020】

図１は、第１の実施形態に係る改ざん検知システム１の概略構成図である。改ざん検知システム１は、改ざん検知部２、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６、から成る。
改ざん検知システム１は、測定装置１４を制御するための測定制御システム１３内に組み込まれている。なお、後述する正解データ作成部７は、改ざん検知システム１と測定制御システム１３とは物理的に異なる記録媒体に保存される。

【0021】

改ざん検知システム１は、好適には、本実施形態のように、分析装置や測定装置などを制御する分析制御システム、測定制御システム等におけるファイルを対象としてファイルの改ざんを検知するが、分析装置や測定装置、或いはそれらの制御システムの種類については問わない。また、分析装置や測定装置の制御システムとは異なるシステムにおけるファイルを対象として改ざん検知を実行しても当然構わない。

【0022】

改ざん検知システム１の構成要素について説明する。
［改ざん検知部２］
対象となるファイルの改ざん検知を実行する。改ざん検知部２の実体はプログラムであり、CPU（中央演算処理装置）やメモリなどを含むコンピュータ（図１中の測定制御システム１３に含まれている。）によってこのプログラムが実行されることにより、改ざん検知部２が具現化される。具体的な改ざん検知処理については後述する。

【0023】

［検査対象アクセス情報保持部３］
予め定められている一又は複数の検査対象ファイルにアクセスすることを可能とするための情報が保持されている。これには、この検査対象アクセス情報保持部３を基点とするそのファイルの格納位置への相対パスと、ファイル名又はファイル名に相当する情報が含まれる。検査対象アクセス情報保持部３の実体は記憶装置であり、上記コンピュータにより制御される記録媒体（RAM、HDD、DVD等）が前記プログラムによりその機能を果たす。なお、後述する検査対象正解データ保持部４や自身正解データアクセス情報保持部５等も同様である。
図１に示す例では、検査対象アクセス情報保持部３には、検査対象ファイルとして、検査対象Ａ１１、検査対象Ｂ１２という２つのファイルの名称と、これらのファイルの相対パスが記載されている。
［検査対象正解データ保持部４］
検査対象ファイルの正当な改ざん検査結果である、検査対象正解データを保持している。このデータの保持形式は、ファイルやテーブル等、あらゆる形態であってよい。この検査対象正解データは、例えば検査対象ファイルのデータに基づいて得られたハッシュ値であるが、ファイル改ざんの検出に一般的に使用されているような、例えばチェックサム等を用いることもできる。

【0024】

［自身正解データ保持部６］
改ざん検知部２自身の正当な改ざん検査結果である、自身正解データを保持している。このデータの保持形式は、ファイルやテーブル等、あらゆる形態であってよい。自身正解データの種類は検査対象正解データと同様に、いかなるものであっても構わない。
［自身正解データアクセス情報保持部５］
改ざん検知部２が存在する位置を基点とする、自身正解データ保持部６へのアクセス情報を保持する。このデータの保持形式は、ファイルやテーブル等、あらゆる形態であってよい。
［正解データ作成部７］
検査対象ファイルの検査対象正解データ及び改ざん検知部の自身正解データを作成する。正解データ作成部７は、検知システム１の他の構成要素とは物理的に異なる位置（異なる記録媒体中）に格納される。

【0025】

なお、本発明に係る改ざん検知システム１は、図２に示す形態のように、検査対象アクセス情報保持部３、検査対象正解データ保持部４が、検査対象ファイルが含まれる例えば測定制御システム１３の側に設けられている一方、改ざん検知部２、自身正解データアクセス情報保持部５、自身正解データ保持部６は、別個の記録媒体中に設けられていても構わない。
これにより、たとえ測定制御システムにおける改ざん検知部が改ざんされ、正常に動作しない場合であっても、外付けの記録媒体に設けられた、真正性が保証された改ざん検知部２を用いて改ざん検知を行うことができる（図１１参照）。

【0026】

図３及び図４を参照して、第一実施形態に係る改ざん検知システム１において、検査対象ファイルの改ざん検知を行う動作について説明する。（なお、これは従来技術に相当する。）
図３は第一実施形態において検査対象ファイルの改ざん検知を実行する場合の説明図であり、図４はその手順を示すフローチャートである。

【0027】

改ざん検知部２に対して所定の命令が入力されたことに基づき、改ざん検知部２は、検査対象アクセス情報保持部３にアクセスして、改ざんの検査対象であるファイルの名称が検査対象Ａ１１と検査対象Ｂ１２であること、及びこれら検査対象Ａ１１と検査対象Ｂ１２が格納されている位置情報を取得する（ステップＳ１）。
次に、改ざん検知部２は、検査対象Ａ１１と検査対象Ｂ１２のそれぞれに対して、所定の改ざん検知用計算を実行し、計算結果としてのハッシュ値を取得する（ステップＳ２）。

【0028】

その後、改ざん検知部２は、得られた計算結果を、検査対象正解データ保持部４に保存されている検査対象正解データと比較する（ステップＳ３）。両者の値が同一の場合には改ざんが無かったと判定し、両者の値が異なっている場合には改ざんがあったと判定する（ステップＳ４）。
以上で、検査対象ファイルの改ざん検知を行う動作が終了する。

【0029】

次に、図５及び図６を参照して、第一実施例に係る改ざん検知システム１において、改ざん検知部２自身の改ざん検知を行う動作について説明する。
図５は第一実施形態において改ざん検知部の改ざん検知を実行する場合の説明図であり、図６はその手順を示すフローチャートである。
図５に示す例では、改ざん検知部２、自身正解データアクセス情報保持部５、及び自身正解データ保持部６は同一の記録媒体中に保存されている。

【0030】

所定の命令（例えば、改ざん検知部自身改ざん検知命令）が改ざん検知部２に対して入力されたことに基づき、改ざん検知部２は、改ざん検知部２自身に対して所定の改ざん検知用計算を実行し、計算結果としてハッシュ値を取得する（ステップＳ１１）。
改ざん検知部２は次いで、自身正解データアクセス情報保持部５にアクセスし、自身正解データ保持部６へのアクセス情報（改ざん検知部２を基点として表現された相対パス情報）を取得する（ステップＳ１２）。
その後、改ざん検知部２は前記ステップＳ１２で得たアクセス情報に基づき、自身正解データ保持部６に保存されている自身正解データを取得する（ステップＳ１３）。

【0031】

改ざん検知部２は、前記ステップＳ１１で算出された計算結果と、ステップＳ１３で取得した自身正解データとを比較する（ステップＳ１４）。両者の値が同一の場合には改ざんが無かったと判定し、両者の値が異なっている場合には改ざんがあったと判定する（ステップＳ１５）。
以上で、改ざん検知部２自身の改ざん検知処理が終了する。

【0032】

次に、本発明に係る改ざん検知システム１の別の実施形態（第二実施形態）を図７を参照しつつ説明する。第二実施形態では、検査対象ファイルに加えて、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６のそれぞれ（またはこれらの構成要素のうち一部）の改ざんの有無を検証する。図７の例では、検査対象ファイルに対する改ざんの有無の検知については記載を省略している。

【0033】

第二実施形態においては、予め、正解データ作成部７は、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６、の一部または全てに対して所定の改ざん検知用計算を行って得られた計算結果を、秘密鍵（デジタル鍵）を用いて暗号化する。この暗号化の結果得られたデータを電子署名Ａ、Ｂ、Ｃ、Ｄとして、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６にそれぞれひも付ける。この秘密鍵は、例えば改ざん検知システム１の作成者のみが保管することにより、秘密性が保たれることが望ましい。

【0034】

一方、改ざん検知部２には、秘密鍵８によって暗号化されたデータを復号化することができる公開鍵９が設けられている。改ざん検知部２は、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６に対して所定の改ざん検知用計算を行い、計算結果を得る。
同時に改ざん検知部２は、公開鍵９を用いて電子署名Ａ、Ｂ、Ｃ、Ｄを復号し、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６のそれぞれの正解データを算出する。
改ざん検知部２は、改ざん検知用計算によって得られた計算結果と、電子署名を復号することによって得られた正解データとを比較する。これによって、検査対象アクセス情報保持部３、検査対象正解データ保持部４、自身正解データアクセス情報保持部５、自身正解データ保持部６が改ざんされているか否かを判定する。

【0035】

以上、本発明に係る改ざん検知システムについて実施形態を用いて説明した。本発明は上記の実施例に限定されるものではなく、種々の変形が可能である。例を以下に挙げる。

【0036】

＜変形例１＞
改ざん検知部２が複数のファイルから構成されていても（または、複数のファイルから構成されていると捉えても）良い。このような構成の一例を図８に示す。
図８の例では、改ざん検知部２に、検知プログラム２１及び設定情報２２（自身正解データアクセス情報保持部５を含む）を含む。
検知プログラム２１は、検知部アクセス情報保持部２３にアクセスし、検知プログラム２１と設定情報２２が改ざん検知の対象であるという情報を取得する。また、あらかじめ正解データ作成部７（非図示）により、検知プログラム２１及び設定情報２２の正当な計算結果を秘密鍵を用いて暗号化して得られた電子署名Ｅが改ざん検知部２には付与されている。改ざん検知プログラム２１は、その電子署名Ｅを公開鍵によって復号して得られた検知プログラム２１及び設定情報２２のそれぞれの正解データと、検知プログラム２１、及び設定情報２２に対して所定の改ざん検知用計算を行うことで得られた計算結果とを比較することで改ざん検知を行う。
検知部アクセス情報保持部２３自体の改ざん検知も、その正当な計算結果が秘密鍵によって暗号化された電子署名Ｆを予め用意しておき、その電子署名Ｆと検知部アクセス情報保持部２３に対して所定の改ざん検知用計算を行うことで得られた計算結果とを比較することで行う。

【0037】

＜変形例２＞
検査対象アクセス情報保持部３および検査対象正解データ保持部４が、１つのファイルから成っていても（またはそのように捉えても）構わない（図９）。

【0038】

＜変形例３＞
複数の検査対象ファイルが存在する場合に、各検査対象ファイルに関して、異なる（または同一の）秘密鍵及び公開鍵を使用することもできる。
図１０に示す例では、正解データ作成部７は秘密鍵Ａと秘密鍵Ｂを有しており、検査対象Ａ１１に関する各種ファイルを秘密鍵Ａで暗号化して電子署名として付与し、検査対象Ｂ１２に関する各種ファイルを秘密鍵Ｂで暗号化して電子署名として付与する。
改ざん検知部２は、これらの秘密鍵Ａ、秘密鍵Ｂに対応する公開鍵Ａ、公開鍵Ｂを有している。

【0039】

また、よりセキュリティ性を高めるために、秘密鍵８や公開鍵９は、所定のパスワードなどにより、暗号化されていることが望ましい。

【符号の説明】

【0040】

１…改ざん検知システム
２…改ざん検知部
３…検査対象アクセス情報保持部
４…検査対象正解データ保持部
５…自身正解データアクセス情報保持部
６…自身正解データ保持部
７…正解データ作成部
８…秘密鍵
９…公開鍵
１１…検査対象Ａ
１２…検査対象Ｂ
１３…測定制御システム
１４…測定装置
２１…検知プログラム
２２…設定情報

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】