知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6571927
(24)【登録日】2019年8月16日
(45)【発行日】2019年9月4日
(54)【発明の名称】データ保護装置、データ保護方法及びデータ保護プログラム
(51)【国際特許分類】
G06F 21/60 20130101AFI20190826BHJP
G06F 21/62 20130101ALI20190826BHJP
G09C 1/00 20060101ALI20190826BHJP
G06F 13/00 20060101ALI20190826BHJP
【FI】
G06F21/60 320
G06F21/62 336
G09C1/00 650Z
G09C1/00 660D
G06F13/00 520B
【請求項の数】11
【全頁数】16
(21)【出願番号】特願2014-230466(P2014-230466)
(22)【出願日】2014年11月13日
(65)【公開番号】特開2016-95612(P2016-95612A)
(43)【公開日】2016年5月26日
【審査請求日】2017年9月5日
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100101247
【弁理士】
【氏名又は名称】高橋 俊一
(74)【代理人】
【識別番号】100095500
【弁理士】
【氏名又は名称】伊藤 正和
(74)【代理人】
【識別番号】100098327
【弁理士】
【氏名又は名称】高松 俊雄
(72)【発明者】
【氏名】緒方 宏明
(72)【発明者】
【氏名】福地 祐一郎
(72)【発明者】
【氏名】桜井 元
(72)【発明者】
【氏名】太田 光憲
(72)【発明者】
【氏名】小澤 暖
【審査官】
稲垣 良一
(56)【参考文献】
【文献】
特表2013−516642(JP,A)
【文献】
特開2006−39794(JP,A)
【文献】
特開2004−336702(JP,A)
【文献】
特開2014−130412(JP,A)
【文献】
特開2006−53714(JP,A)
【文献】
特開平11−122262(JP,A)
【文献】
特開2004−145695(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60
G06F 21/62
G06F 13/00
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
端末からサーバにアップロードされるネットワーク上のデータを、前記データのIPパケットに含まれる宛先アドレスが保護対象のアドレスである場合、捕捉する捕捉手段と、
捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換手段と、
変換した変換データを所定の記憶部に保管する保管手段と、
前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元手段と、
前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉手段と、
を有することを特徴とするデータ保護装置。
捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換手段と、
変換した変換データを所定の記憶部に保管する保管手段と、
前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元手段と、
前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉手段と、
を有することを特徴とするデータ保護装置。
【請求項2】
前記変換手段は、
所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項1に記載のデータ保護装置。
所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項1に記載のデータ保護装置。
【請求項3】
前記変換手段は、
所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項1又は2に記載のデータ保護装置。
所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項1又は2に記載のデータ保護装置。
【請求項4】
前記保管手段は、
前記秘密分散技術を用いて分割された複数の分割データを複数の記憶装置に保管することを特徴とする請求項2に記載のデータ保護装置。
前記秘密分散技術を用いて分割された複数の分割データを複数の記憶装置に保管することを特徴とする請求項2に記載のデータ保護装置。
【請求項5】
前記保管手段は、
前記複数の分割データのうち一部を前記サーバに保管することを特徴とする請求項4に記載のデータ保護装置。
前記複数の分割データのうち一部を前記サーバに保管することを特徴とする請求項4に記載のデータ保護装置。
【請求項6】
前記捕捉データは、
前記サーバにインストールされた特定のプログラムに係るデータであることを特徴とする請求項1乃至5のいずれかに記載のデータ保護装置。
前記サーバにインストールされた特定のプログラムに係るデータであることを特徴とする請求項1乃至5のいずれかに記載のデータ保護装置。
【請求項7】
前記端末と前記サーバとの間を通るデータは、
暗号化されていることを特徴とする請求項1乃至6のいずれかに記載のデータ保護装置。
暗号化されていることを特徴とする請求項1乃至6のいずれかに記載のデータ保護装置。
【請求項8】
データ保護装置で行うデータ保護方法において、
前記データ保護装置は、
端末からサーバにアップロードされるネットワーク上のデータを、前記データのIPパケットに含まれる宛先アドレスが保護対象のアドレスである場合、捕捉する捕捉ステップと、
捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換ステップと、
変換した変換データを所定の記憶部に保管する保管ステップと、
前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元ステップと、
前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉ステップと、
を有することを特徴とするデータ保護方法。
前記データ保護装置は、
端末からサーバにアップロードされるネットワーク上のデータを、前記データのIPパケットに含まれる宛先アドレスが保護対象のアドレスである場合、捕捉する捕捉ステップと、
捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換ステップと、
変換した変換データを所定の記憶部に保管する保管ステップと、
前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元ステップと、
前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉ステップと、
を有することを特徴とするデータ保護方法。
【請求項9】
前記変換ステップでは、
所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項8に記載のデータ保護方法。
所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項8に記載のデータ保護方法。
【請求項10】
前記変換ステップでは、
所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項8又は9に記載のデータ保護方法。
所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項8又は9に記載のデータ保護方法。
【請求項11】
請求項1乃至7のいずれかに記載のデータ保護装置としてコンピュータを機能させることを特徴とするデータ保護プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データを保護する技術に関する。
【背景技術】
【0002】
現在、インターネットサービスプロバイダに代わり、ハイパージャイアントと呼ばれるサービス提供事業者がインターネット上で多くのトラヒックを扱うようになっている。例えば、コンテンツ提供事業者やコンテンツデリバリーネットワーク事業者等、自社で大量のコンテンツを保有するサービス提供事業者により様々なコンテンツが複数のユーザに提供される。
【0003】
また、企業で利用される業務用ソフトウェアの利用態様も変化している。従来では、従業者の端末に業務用ソフトウェアをインストールしてスタンドアロン方式で使用する方法が主流であった。現在では、該業務用ソフトウェアをクラウド上のサーバにインストールしてインターネット経由で利用する方法に推移している。例えば、シンクライアント端末,スマートフォン,タブレット端末等のモバイル端末からクラウド上のサーバに接続し、業務用ソフトウェアとの間で通信を開始して、該サーバに保管された自社の業務用データにサービス提供事業者の提供アプリケーションを用いてアクセスする。
【0004】
このように現在では、端末からクラウド上のサーバに通信接続し、該サーバに対する又は該サーバ内のデータをインターネット経由で送受信する。そのため、第三者により盗聴や破壊等が行われる可能性があり、該データに対するセキュリティ(データの機密性,完全性,秘匿性)とその利便性とを両立させる技術の重要性が高まっている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2013−025361号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
セキュリティ対策を実現する方法として、例えばクラウド上のサーバに保管されたデータ(上述の例では業務用データ)の漏洩を防止することが考えられる。通常、サービス提供事業者は、かかる漏洩防止機能をサーバ側に実装する。そのため、端末側でも該漏洩防止機能に対応するセキュリティ強化のための機能実装が必要とされる(特許文献1)。
【0007】
しかし、サービス提供事業者の定めるセキュリティ方式に応じた複数の機能を端末のアプリケーションに実装する必要があるため、端末の利便性が損なわれ、端末の性能面を犠牲にせざる得ない可能性がある。また、セキュリティ対策の効果が、サービス提供事業者によりサーバに施されたセキュリティ強度や脆弱性の有無に依存してしまうという側面もある。
【0008】
本発明は、上記事情を鑑みてなされたものであり、データに対するセキュリティ対策と端末やサーバの利便性とを両立することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、請求項1に記載のデータ保護装置は、端末からサーバにアップロードされるネットワーク上のデータを捕捉する捕捉手段と、捕捉した捕捉データを機密性が確保された形式に変換する変換手段と、変換した変換データを所定の記憶部に保管する保管手段と、を有することを要旨とする。
【0010】
本発明によれば、端末からサーバにアップロードされるネットワーク上のデータを捕捉し、捕捉した捕捉データを機密性が確保された形式に変換し、変換した変換データを所定の記憶部に保管するため、データに対するセキュリティ対策をネットワーク側で実現できる。それゆえ、端末側やサーバ側でセキュリティ機能を具備する必要がなくなり、ユーザはサーバのソフトウェアプログラムをこれまで通りの使用感で利用できる。すなわち、本発明により、データに対するセキュリティ対策と端末やサーバの利便性とを両立できる。
【0011】
請求項2に記載のデータ保護装置は、請求項1に記載のデータ保護装置において、前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元手段と、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉手段と、を更に有することを要旨とする。
【0012】
請求項3に記載のデータ保護装置は、請求項1又は2に記載のデータ保護装置において、前記変換手段は、所定の秘密分散技術を用いて前記捕捉データを変換することを要旨とする。
【0013】
請求項4に記載のデータ保護装置は、請求項1乃至3のいずれかに記載のデータ保護装置において、前記変換手段は、所定の暗号化技術を用いて前記捕捉データを変換することを要旨とする。
【0014】
請求項5に記載のデータ保護装置は、請求項3に記載のデータ保護装置において、前記保管手段は、前記秘密分散技術を用いて分割された複数の分割データを複数の記憶装置に保管することを要旨とする。
【0015】
請求項6に記載のデータ保護装置は、請求項5に記載のデータ保護装置において、前記保管手段は、前記複数の分割データのうち一部を前記サーバに保管することを要旨とする。
【0016】
請求項7に記載のデータ保護装置は、請求項1乃至6のいずれかに記載のデータ保護装置において、前記捕捉データは、前記サーバにインストールされた特定のプログラムに係るデータであることを要旨とする。
【0017】
請求項8に記載のデータ保護装置は、請求項1乃至7のいずれかに記載のデータ保護装置において、前記端末と前記サーバとの間を通るデータは、暗号化されていることを要旨とする。
【0018】
請求項9に記載のデータ保護方法は、データ保護装置で行うデータ保護方法において、前記データ保護装置は、端末からサーバにアップロードされるネットワーク上のデータを捕捉する捕捉ステップと、捕捉した捕捉データを機密性が確保された形式に変換する変換ステップと、変換した変換データを所定の記憶部に保管する保管ステップと、を有することを要旨とする。
【0019】
請求項10に記載のデータ保護方法は、請求項9に記載のデータ保護方法において、前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元ステップと、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉ステップと、を更に有することを要旨とする。
【0020】
請求項11に記載のデータ保護方法は、請求項9又は10に記載のデータ保護方法において、前記変換ステップでは、所定の秘密分散技術を用いて前記捕捉データを変換することを要旨とする。
【0021】
請求項12に記載のデータ保護方法は、請求項9乃至11のいずれかに記載のデータ保護方法において、前記変換ステップでは、所定の暗号化技術を用いて前記捕捉データを変換することを要旨とする。
【0022】
請求項13に記載のデータ保護プログラムは、請求項1乃至8のいずれかに記載のデータ保護装置としてコンピュータを機能させることを要旨とする。
【発明の効果】
【0023】
本発明によれば、データに対するセキュリティ対策と端末やサーバの利便性とを両立できる。
【図面の簡単な説明】
【0024】
【図1】データ保護装置の配置例を示す図である。
【図2】データ保護装置の機能ブロック構成を示す図である。
【図3】アップロード時におけるデータの保護処理フローを示す図である。
【図4】該保護処理フローに基づく保護処理のイメージを示す図である。
【図5】ダウンロード時におけるデータの保護処理フローを示す図である。
【図6】該保護処理フローに基づく保護処理のイメージを示す図である。
【発明を実施するための形態】
【0025】
本発明は、端末側とサーバ側にセキュリティ機能を追加することなく、セキュリティ対策をネットワーク側で実現する手法を確立することにある。以下、本発明を実施する一実施の形態について図面を用いて説明する。
【0026】
<データ保護装置を含む全体構成について>最初に、本実施の形態に係るデータ保護装置1の配置位置について説明する。図1は、データ保護装置1の配置例を示す図である。通常、端末3がクラウド上のサーバ5に実装されたソフトウェアプログラムを利用する場合、サーバ5との間に介在するリモートプロキシサーバ7を経由して通信する。リモートプロキシサーバ7は、端末3からの要求を解釈し、背後に存在する複数の中から適切なサーバに転送する。それゆえ、データ保護装置1は、端末3とサーバ5との間に接続されたリモートプロキシサーバ7の内部で機能・動作させることが適切である。
【0027】
次に、端末3およびサーバ5について説明する。
【0028】
サーバ5は、いわゆるクラウドの内部に配置され、端末3からの要求に応じて所定のサービスを提供する特定のソフトウェアプログラムを備え、該ソフトウェアプログラムを実行可能な状態で保持する。かかるサーバ5は、例えば、コンテンツ提供事業者やコンテンツデリバリーネットワーク(Contents Delivery Network)事業者など、自社で大量のコンテンツを保有するサービス提供事業者により管理される。
【0029】
端末3は、サーバ5のソフトウェアプログラムに対して所定のサービスの提供を要求するアプリケーションプログラムを保持する。該アプリケーションプログラムは、サーバ5のソフトウェアプログラムに対応する機能を備えている。かかる端末3は、例えば、シンクライアント端末,スマートフォン,タブレット端末,パソコン等、ユーザにより使用される端末である。
【0030】
このような端末3およびサーバ5において、例えば、端末3のウェブブラウザやいわゆるアプリなどを用いてサーバ5の業務用ソフトウェアプログラムにアクセスし、該業務用ソフトウェアプログラム上で扱われる業務用データをアップロード又はダウンロードすることが考えられる。
【0031】
<データ保護装置の機能について>次に、データ保護装置1の機能について説明する。図2は、データ保護装置1の機能ブロック構成を示す図である。データ保護装置1は、データインターセプト機能部11と、第1のデータ変換機能部12と、データ保管機能部13と、第2のデータ変換機能部14と、データ被インターセプト機能部15と、を備えて構成される。
【0032】
データインターセプト機能部11は、端末3とサーバ5との間の通信ネットワークNから、保護対象とされるデータをインターセプト(横取り,奪う,捕捉)するように構成されている。ここでいうデータとは、アップロード時の場合はアップロード要求データであり、アップロード対象の元データが含まれる。ダウンロード時の場合は、端末3からのダウンロード要求に応じてサーバ5から返信されるデータであり、データ保護装置1により機密性が確保されたデータが含まれる。
【0033】
第1のデータ変換機能部12は、インターセプトしたデータを機密性が確保された形式に変換するように構成されている。例えば、既存の秘密分散技術や暗号化技術、又はそれらを組み合わせた技術を用いて変換する。なお、あくまでもインターセプトしたデータを機密性が確保された形式に変換できればよいのであり、かかる技術以外の既存するデータ変換技術や将来検討・開発される任意のデータ変換技術を用いてもよい。
【0034】
データ保管機能部13は、変換された機密性が確保されたデータ(以降、機密性確保データ)をデータ保管サーバ9に送信して保管するように構成されている。また、データ保管サーバ9に保管されている機密性確保データを取得するように構成されている。なお、データ保管サーバ9とは、データ保護装置1やリモートプロキシサーバ7のメモリやハードディスクでもよいし、リモートプロキシサーバ7とは物理的に異なるサーバでもよい。クラウドの内部に配置されていてもよいし、その数量も任意である。
【0035】
第2のデータ変換機能部14は、データインターセプト機能部11によりインターセプトされた機密性確保データや、データ保管機能部13によりデータ保管サーバ9から取得された機密性確保データを原形式の元データに復元するように構成されている。
【0036】
データ被インターセプト機能部15は、第1のデータ変換機能部12により変換された機密性確保データを上記通信ネットワークNに戻し、サーバ5に送信するように構成されている。また、第2のデータ変換機能部14により変換された原形式の元データを上記通信ネットワークNに戻し、端末3に送信するように構成されている。
【0037】
上述した機能を具備するデータ保護装置1は、CPU等の演算機能やメモリ等の記憶機能を備えたコンピュータで実現できる。該データ保護装置1としてコンピュータを機能させるためのデータ保護プログラムや該データ保護プログラムの記憶媒体を作成することも可能である。
【0038】
<データ保護装置の動作について>次に、データ保護装置1で行うデータの保護方法について説明する。ここでは秘密分散技術を用いる場合を説明する。また、データ保管サーバ9は、リモートプロキシサーバ7に接続された物理的に異なる2つのデータ保管サーバ9a,9bとする。
【0039】
まず、図3と図4を参照しながら、端末3がサーバ5へデータをアップロードする場合の動作を説明する。図3は、アップロード時におけるデータの保護処理フローを示す図である。図4は、図3の保護処理フローに基づく保護処理のイメージを示す図である。
【0040】
最初に、ステップS101において、データインターセプト機能部11が、通信ネットワークNを介して端末3からサーバ5へアップロードされるデータを監視し、該データのIPパケットに含まれる宛先アドレス等に基づき保護対象のデータをインターセプトする。例えば、httpのペイロードを常時監視し、特定のサーバに対するアップロード要求が含まれているデータをインターセプトする。なお、データ保護装置1には、保護対象のデータを扱うサーバのIPアドレスや、該データを処理するソフトウェアプログラムのポート番号等が予め設定されている。
【0041】
次に、ステップS102において、第1のデータ変換機能部12が、インターセプトされたデータをステップS103でデータ抽出可能な形式に変換する。これは、IPパケットのデータ部に含まれるデータがデータ伝送の処理過程で記号化・符号化されており、そのままでは保護したい部分を特定できないからである。第1のデータ変換機能部12が自身で解釈できる形式に変換する。
【0042】
続いて、ステップS103において、第1のデータ変換機能部12は、フォーマット変換したデータを参照し、保護したい部分を抽出する。例えば図4において、参照中のデータに含まれる複数のデータ群のうち「タイトル」や「本文」に対応するデータのみが保護対象として設定されている場合、「タイトル」に対応する「今日の天気」の部分,「本文」に対応する「晴れ」の部分のみを抽出する。
【0043】
続いて、ステップS104において、第1のデータ変換機能部12は、抽出した保護したい部分を秘密分散する。例えば、図4の場合、「今日の天気」の部分と「晴れ」の部分をそれぞれ複数の分割データに分割し、各分割データ単体では復元不可能な機密性が確保された形式にそれぞれ変換する。具体的には、「今日の天気」を「AAAAAAAA」「BBBBBBBB」「CCCCCCCC」のように変換する。同様に「晴れ」の部分も「XXXXXXXX」「YYYYYYYY」「ZZZZZZZZ」のように変換する。なお、ここでは秘密分散技術の基本的概念を説明するのみに留め、その具体的方式については後述する。
【0044】
続いて、ステップS105において、第1のデータ変換機能部12は、秘密分散処理を施した各機密性確保データと秘密分散非処理データ群とをサーバ5の保管に適したフォーマットに変換する。具体的には、秘密分散された「AAAAAAAA」等の機密性確保データと、秘密分散処理が行われなかった「タイトル」や「本文」などの残データ群とに対して、ステップS102で行われた変換処理の逆変換処理を実行する。
【0045】
最後に、ステップS106おいて、秘密分散された各機密性確保データを分散保存するためにサーバ5および2つのデータ保管サーバ9a,9bの各アドレスを宛先に指定して転送する。
【0046】
具体的には、データ被インターセプト機能部15が、秘密分散された各機密性確保データのうち一部を通信ネットワークNに戻し、サーバ5に送信して保存させる。すなわち、図4の場合、「AAAAAAAA」,「XXXXXXXX」の各機密性確保データと「タイトル」や「本文」等の秘密分散非処理データ群とをIPパケットのデータ部に挿入し、ステップS101で把握していた宛先IPアドレスを該IPパケットのヘッダ部に挿入してサーバ5に送信する。
【0047】
また、それと同じタイミングでデータ保管機能部13が残りの機密性確保データをデータ保管サーバ9a,9bに送信して保存させる。図4の場合、残りの機密性確保データである「BBBBBBBB」と「YYYYYYYY」の各機密性確保データをデータ保管サーバ9aに送信し、「CCCCCCCC」と「ZZZZZZZZ」の各機密性確保データをデータ保管サーバ9bに送信する。
【0048】
ここまでがアップロード時におけるデータ保護装置1のデータ保護処理動作である。なお、データ保護装置1は、秘密分散処理時に各機密性確保データに対して同一のユニークなキー情報を付与しておき、該キー情報と転送先の各サーバ(サーバ5およびデータ保管サーバ9a,9b)のアドレスとを関連付けて保持しておく。該データはデータのダウンロード時に参照される。
【0049】
次に、図5と図6を参照しながら、端末3がサーバ5からデータをダウンロードする場合の動作を説明する。図5は、ダウンロード時におけるデータの保護処理フローを示す図である。図6は、図5の保護処理フローに基づく保護処理のイメージを示す図である。
【0050】
最初に、ステップS201において、データインターセプト機能部11が、端末3からのダウンロード要求に応じて、通信ネットワークNを介してサーバ5からダウンロードされるデータを監視し、該データのIPパケットに含まれる宛先アドレスや送信元アドレス等に基づき保護対象のデータをインターセプトする。上記例の場合、該データには「AAAAAAAA」,「XXXXXXXX」の各機密性確保データと「タイトル」や「本文」等の秘密分散非処理データ群とが含まれている。
【0051】
次に、ステップS202において、第2のデータ変換機能部14が、インターセプトされたデータをステップS203でデータ抽出可能な形式に変換する。この処理を行う理由はステップS102で説明した理由と同様である。つまり、インターセプトしたデータはデータ伝送の処理過程で記号化・符号化されており、そのままでは復元する対象を特定できないからである。
【0052】
続いて、ステップS203において、第2のデータ変換機能部14は、フォーマット変換された機密性確保データを参照し、復元したい部分を抽出する。上記例の場合、「タイトル」に対応する「AAAAAAAA」の部分,「本文」に対応する「XXXXXXXX」の部分を抽出する。
【0053】
次に、ステップS204において、データ保管機能部13が、インターセプトした機密性確保データに付与されているキー情報と同じキー情報を持つ機密性確保データを他のデータ保管サーバから取得する。上記例の場合、データ保管サーバ9aから「BBBBBBBB」と「YYYYYYYY」の各機密性確保データ、又は、データ保管サーバ9bから「CCCCCCCC」と「ZZZZZZZZ」の各機密性確保データが取得される。このとき、同じキー情報を持つ全ての機密性確保データを取得してもかまわない。その後、ステップS202と同様に第2のデータ変換機能部14が取得した機密性確保データのフォーマットを変換する。
【0054】
次に、ステップS205において、第2のデータ変換機能部14が、ステップS203,S204でそれぞれ抽出・取得された機密性確保データに対して復元の演算を行うことによりデータを復元する。上記例の場合、「AAAAAAAA」と「BBBBBBBB」又は「CCCCCCCC」との各機密性確保データから「今日の天気」の部分を復元する。また、「XXXXXXXX」と「YYYYYYYY」又は「ZZZZZZZZ」との各機密性確保データから「晴れ」の部分を復元する。
【0055】
続いて、ステップS206において、第2のデータ変換機能部14は、復元された各データと秘密分散非処理データ群とを利用アプリケーションに適したフォーマットに変換し、元データとなるように結合する。上記例の場合、「タイトル:今日の天気、本文:晴れ」という元データが生成される。
【0056】
最後に、ステップS207において、データ被インターセプト機能部15が、ステップS206で変換・結合された元データをダウンロード要求元の端末3へ転送する。上記例の場合、該元データをIPパケットのデータ部に挿入し、ステップS201で把握していた宛先IPアドレスを該IPパケットのヘッダ部に挿入して通信ネットワークNへ戻し、端末3へ送信する。
【0057】
ここまでがダウンロード時におけるデータ保護装置1のデータ保護処理動作である。
【0058】
これまで説明したように、データ保護装置1は、端末3とサーバ5との間でアップロードされるデータを通信ネットワークN上でインターセプトする。そして、インターセプトしたデータを機密性が確保された形式に変換(上記例では秘密分散処理)してデータ保管サーバ9で保持しておく。これにより、端末側とサーバ側のいずれにもセキュリティ強化用の機能が不要となり、高度なセキュリティサービスをネットワーク側で実行できる。例えば、ユーザがクラウド上の業務用ソフトウェアプログラムに向けて業務用データを通常の方法でアップロードした場合、ネットワーク側で自動的に秘密分散処理が行われ、該業務用データは秘匿化される。
【0059】
一方、ユーザがアップロードしたデータをダウンロード又はWebブラウザで閲覧する場合、アップロード時と同様に端末3とサーバ5との間の通信をインターセプトし、秘密分散処理された機密性確保データをデータ保管サーバ9やサーバ5から取得し、復元して差し替えて端末3へ送信する。これにより、ユーザはこれまでの使用感が変わることなくサーバ側のサービスを利用できる。
【0060】
なお、本実施の形態では、通信ネットワークNに流れるデータが暗号化されていない場合を例に説明したが、端末3とリモートプロキシサーバ7とサーバ5とデータ保管サーバ9とをそれぞれ結ぶ各通信区間を通る該データが暗号化されていてもよい。その場合、データ保護装置1によってセキュアなコネクションを終端することにより、暗号化されているペイロード部分のデータを解読する。セキュアなコネクションを確立するための方式としては、TLS(Transport Layer Security)機能や、HTTPS、あるいはIPSec、IPVPN、L2VPN等様々なレイヤでの方式があるが、いずれでもよい。端末3の内部でデータを暗号化してもよい。データ保護装置1は、これらの終端機能を備える。これ以降の処理はステップS102以降の処理と同様である。
【0061】
<秘密分散法について>次に、データのアップロード時に行われる秘密分散技術について説明する。秘密分散とは、データを単独では意味のない複数の断片データに分割し、かかる複数の断片データから元データを復元する技術である。秘密分散法には様々な手法が存在する。下記ではその一例を説明する。
【0062】
(しきい値秘密分散法)例えば、「分割させる数:n」と「復元に必要な数(しきい値):k」が異なるしきい値秘密分散法を用いる。複数の断片データに分割した場合、どれか1つでも紛失すると元データを復元できなくなる。それに対し該しきい値秘密分散法では、一定数以上の断片データから元データを復元できる。
【0063】
具体的には、2次多項式F(x)=ax2+bx+B(mod p;pで割った時の余りを表す)を基にしたShamirの秘密分散法{(k、n)閾値法;例えば、n=4とし、k=3とする}を用いる。Bは元データ,F(x)は分割データである。a,b,pは、元データBの分割に際して任意に決定される。但し、pは、a、b、Bよりも大きい素数とする。このとき、分割データF(1)〜F(4)を下記の式(1)〜(4)を用いて計算することができる。
【0064】
F(1)=a+b+B(mod p) ・・・(1)F(2)=4a+2b+B(mod p) ・・・(2)
F(3)=9a+3b+B(mod p) ・・・(3)
F(4)=16a+4b+B(mod p) ・・・(4)
一方、元データBを復元する場合、式の項数は3つであるため、k=3以上の分割データ{例えば、F(1),F(2),F(4)}の連立方程式を解くことにより元データBを求めることができる。なお、k−1以下の分割データが集まったとしても連立方程式を解けないため、元データBを復元することはできない。しきい値秘密分散法は連立方程式を解くことができるかが焦点であり、分割数を5つにしたい場合には3次多項式(k=4)、分割数を6つにしたい場合には4次多項式(k=5)を用いることで応用できる。
【0065】
(乱数を用いた秘密分散法)例えば、乱数を用いた秘密分散法を用いることもできる。具体的には、元データから所定長の複数の部分データを生成し、さらに乱数データから該所定長の複数の乱数部分データを生成する。そして、該部分データと該乱数部分データとを組み合わせて排他的論理和(XOR)演算を行うことにより、元データに対応した複数の分割データを生成する。該XOR演算を行うことにより、機密性が確保された形式に変換される。
【0066】
例えば、元データが16ビットの「10110010 00110111」の場合、8ビットの第1の元部分データB(1)=「10110010」と第2の元部分データB(2)=「00110111」を生成する。また、同ビット長の第1の乱数部分データR(1)=「10110001」と第2の乱数部分データR(2)=「00110101」を生成する。そして、それら4つの部分データを適宜組み合わせてXOR演算を行うことにより、例えば、第1の分割データF(1)=「00110110」,「10110011」、第2の分割データF(2)=「00000011」,「00000010」、第3の分割データF(3)=「10110001」,「00110101」を生成する。
【0067】
なお、分割データを生成するための生成式(部分データの組み合わせ方法やXOR演算方法)、分割数等は予め定義されており、該定義された方法に基づいて秘密分散処理が行われる。分割データの生成式として、例えば、F(1)=B(1)+R(1)+R(2),F(2)=B(1)+R(1),F(3)=R(1)等が予め規定されている。
【0068】
一方、元データを復元する場合には基本的に逆の演算を行う。復元する場合も同様に元データへの復元式が予め定義されおり、該元データへの復元式に基づいて復元する。
【0069】
上述したデータ分割処理に多項式や剰余演算を用いる“しきい値秘密分散法”と比べて、コンピュータ処理に適したビット演算である排他的論理和演算を用いるため、高速かつ高性能な演算処理能力を必要とせず、大容量のデータに対しても簡単な演算処理を繰り返しことにより分割データを生成できる。また、分割データの保管に必要となる記憶容量も分割数に比例した倍数の容量よりも小さくすることができる。
【0070】
なお、“しきい値秘密分散法”や“乱数を用いた秘密分散法”に基づく分割データの具体的な生成方法ついては、特開2004−336702号公報を参照されたい。
【0071】
(その他の秘密分散法など)その他、マルチ秘密分散法,一般アクセス構造に対する秘密分散法,ランプ型秘密分散法,可検証秘密分散法等を用いることも可能である。具体的な手法については説明を省略するが、公知文献に開示された内容を参照することにより、かかる他の秘密分散法を用いても実現できる。
【0072】
また、秘密分散法を適用する際に、ハッシュ値を用いて元データの原本性を確保するようにしてもよい。具体的には、所定のハッシュ関数を用いて元データのハッシュ値を生成し、生成したハッシュ値を含む元データを上述の秘密分散法を用いて分割する。そして、該秘密分散法を用いて復元した際に、復元された元データからハッシュ値を再生成し、再生成されたハッシュ値と復元されたハッシュ値とが一致するか否かを判定する。ハッシュ値は元データをユニークに識別できる性質を有しているため、該判定の結果に応じて元データの原本性を確認することができる。
【0073】
<暗号化について>本実施の形態では「機密性が確保された形式に変換する」例として、秘密分散技術を用いる場合を説明した。一方、上述したように暗号化技術を用いてもよい。具体的には、当事者しか知らない鍵となる鍵情報を用いて、インターセプトしたデータを機密性が確保された情報に書き換えて保存する。一方、書き換えられた情報から元データを復元する際には、該鍵情報又は該鍵情報と対になる情報を用いて復号する。
【0074】
例えば、共通鍵暗号方式のDES(Data Encryption Standard),TripleDES,AES(Advanced Encryption Standard),FEAL(Fast Data Encryption Algorithm)、公開鍵方式のRSA(Rivest,Shamir,Adleman),楕円曲線暗号等を用いることができる。具体的な手法については説明を省略するが、これについても公知文献に開示された内容を参照することにより実現できる。
【0075】
暗号化技術は、秘密分散技術と比べて鍵情報を積極的に用いる点で相違するが、本実施の形態におけるいずれの技術も「機密性が確保された形式に変換する」という点では共通している。暗号化技術と秘密分散技術とを組み合わせてもよいし、インターセプトしたデータに加えて鍵情報自体も秘密分散処理してもよい。
【0076】
<その他の機能について>ここまで、端末3とサーバ5との間で通信されるデータを保護する機能や動作を中心に説明した。データ保護装置1は、これらの保護機能以外に下記説明する機能を備えている。
【0077】
(分割データの無効化機能)データ保護装置1は、分散保存された各分割データを無効化する機能を備えている。この機能は、サービス提供中のサーバ5で保存中のデータが漏洩した場合等に機能する。具体的には、サーバ5で分割データの漏洩が発見された場合、サーバ5から漏洩したデータIDを含む漏洩検出情報が送信される。このとき、該漏洩の事実を知ったユーザにより端末3から該漏洩検出情報が送信されてもよい。データ保護装置1は、該漏洩検出情報からデータIDを取得し、取得したデータIDに関連する分割データの削除要求をデータ保管サーバ9へ送信する。これにより、データ保管サーバ9から該当の分割データが削除されるため、第三者による元データへの復元処理を確実に防止できる。
【0078】
(分割データの再生成機能)データ保護装置1は、所定の分割データを他の分割データから再生成する機能を備えている。この機能は、何らかの理由で一部の分割データが破壊された場合に機能する。破壊された分割データの再生成法には様々な手法が存在する。
【0079】
例えば、“しきい値秘密分散法”を用いる場合、破壊されていない残りの分割データから元データを復元し、該しきい値秘密分散法を再度用いて元データを秘密分散し、壊れた分割データを再生成する。
【0080】
その他、“乱数を用いた秘密分散法”を用いる場合、破壊されていない残りの分割データF(i)をそれぞれ2等分して分散部分データF(i,j)を生成し、各分散部分データF(i,j)の排他的論理和を演算することにより、破壊された分割データを再生成する。前述したように分割データを生成するための生成式が予め定義されており、分割データの再生成式も予め定義されているため、かかる定義の範囲内であれば破壊された分割データを残りの分割データから再生成できる。なお、分割データの再生成方法の詳細については、特開2011−035618号公報を参照されたい。
【0081】
(アクセス管理機能)データ保護装置1は、端末3からサーバ5へのアクセスを管理し、管理したアクセス情報を端末3やサーバ5へ提供する機能を備えている。この機能は、端末3がデータのアップロード要求やダウンロード要求を行った場合等に機能する。
【0082】
具体的には、アップロード要求データ又はダウンロード要求データをインターセプトした後、該データをインターセプトした時刻と、該データに含まれる端末3の位置情報{GPS(Global Positioning System)から受信した緯度経度情報}および送信元IPアドレスとを対応付けて管理する。これにより、いつ、どこで、誰がデータを復元したのかを把握することができる。
【0083】
(プロキシ選択機能)データ保護装置1は、プロキシ機能の利用の有無を選択させる機能を備えている。この機能は、リモートプロキシサーバ7が社内LAN等の内部ネットワークとインターネット等の外部ネットワークとの間に配置される場合に機能する。
【0084】
具体的には、端末3からアップロード要求データをインターセプトした後、プロキシ機能を利用するか否かを選択する画面を端末3に送信する。そして、プロキシ機能が選択された場合には、リモートプロキシサーバ7のプロキシ機能を介してサーバ5へ転送する。一方、プロキシ機能が選択されない場合には、リモートプロキシサーバ7のプロキシ機能を介することなくサーバ5へ転送する。アップロードされるデータの種類を判別し、該データの種類に応じてプロキシ機能の有無を自動的に選択するようにしてもよい。かかる選択結果は、データ保護装置1やサーバ5を管理する企業管理者側で管理される。これにより、通信によってはインターネットに抜けるルートとプロキシに抜けるルートを分けることができるため、通信ネットワークの公私分離が可能となる。
【0085】
<本実施の形態による効果について>これまで、本実施の形態に係るデータ保護装置1について説明した。ここで、該データ保護装置1の機能を要約する。データ保護装置1は、端末3からサーバ5にアップロードされる通信ネットワークN上のデータをインターセプトし、インターセプトしたデータを機密性が確保された形式に変換し、変換した機密性確保データの一部をデータ保管サーバ9に保管し、残りの一部をサーバ5に保管する。また、端末3により上記インターセプトしたデータのダウンロードが要求された場合、データ保管サーバ9およびサーバ5に保管された機密性確保データを取得して原形式のデータに復元し、該原形式に復元したデータを上記通信ネットワークNに戻して端末3に送信する。
【0086】
そのため、データに対するセキュリティ対策をネットワーク側で実現できる。これにより、端末側やサーバ側でセキュリティ機能を実装する必要性をなくし、サーバのソフトウェアプログラムをこれまで通りの使用感で利用できる。それゆえ、端末側で利用するアプリケーションプログラムを複数並行して利用しても利便性は損なわれない。ユーザはセキュリティ対策について特別な操作・実装を行うことから解放され、ハイパージャイアントにより提供されるサービスをそのまま享受できる。
【0087】
すなわち、第1の効果は、端末やサーバの利便性を向上できる。具体的には、端末側のアプリケーションプログラムにセキュリティ機能を追加する必要性を排除し、既存のクラウドサービスにより提供されるサービス機能をそのまま利用できる。ユーザは所望のクラウドサービスを何らの不便さを感じることなく自由にこれまで通り選択・享受できる。通信環境や端末の種類によって操作性が損なわれる可能性を排除できる。デバイスの種別を問わず利用でき、端末やOSの依存性を極小化できる。
【0088】
第2の効果は、データの機密性を向上できる。具体的には、アクセス管理機能や分割データの無効化機能により、サーバ側の管理者以外に端末側のユーザもアクセス管理や無効化制御を実施できる。また、ネットワークサービス提供事業者はデータの原本を扱わず一部のみを扱うため、データが漏洩してもデータ自体の機密性は担保される。
【0089】
第3の効果は、データの可用性を向上できる。具体的には、秘密分散技術や分割データの再生成機能により、クラウドサービスに障害が発生してデータの一部が紛失した場合でも元データをリストアできる。
【0090】
以上より、本実施の形態に係るデータ保護装置1によれば、データに対するセキュリティ対策と端末およびサーバの利便性とを両立できる。
【符号の説明】
【0091】
1…データ保護装置11…データインターセプト機能部
12…第1のデータ変換機能部
13…データ保管機能部
14…第2のデータ変換機能部
15…データ被インターセプト機能部
3…端末
5…サーバ
7…リモートプロキシサーバ
9,9a,9b…データ保管サーバ
N…通信ネットワーク
S101〜S106、S201〜S207…ステップ