知財求人 - 知財ポータルサイト「IP Force」
特開2024-104124セキュリティ侵害情報出力装置、セキュリティ侵害情報出力システム、セキュリティ侵害情報出力方法およびセキュリティ侵害情報出力プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024104124
(43)【公開日】2024-08-02
(54)【発明の名称】セキュリティ侵害情報出力装置、セキュリティ侵害情報出力システム、セキュリティ侵害情報出力方法およびセキュリティ侵害情報出力プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240726BHJP
G09C 1/00 20060101ALI20240726BHJP
G06F 21/62 20130101ALI20240726BHJP
【FI】
G06F21/55
G09C1/00 650Z
G06F21/62 318
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023008198
(22)【出願日】2023-01-23
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】鈴木 義明
(57)【要約】
【課題】セキュリティ侵害の可能性を、より容易な方法で早期に検知することを可能にする。
【解決手段】
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、取得された分割データを用いて前記秘密情報の復元を試行し、前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する。
【選択図】 図2
【解決手段】
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、取得された分割データを用いて前記秘密情報の復元を試行し、前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する。
【選択図】 図2
【特許請求の範囲】
【請求項1】
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力部と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得部と、
取得された分割データを用いて前記秘密情報の復元を試行する試行部と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力部と
を備えるセキュリティ侵害情報出力装置。
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得部と、
取得された分割データを用いて前記秘密情報の復元を試行する試行部と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力部と
を備えるセキュリティ侵害情報出力装置。
【請求項2】
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項1に記載のセキュリティ侵害情報出力装置。
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項1に記載のセキュリティ侵害情報出力装置。
【請求項3】
前記取得部は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
請求項2に記載のセキュリティ侵害情報出力装置。
請求項2に記載のセキュリティ侵害情報出力装置。
【請求項4】
請求項1から請求項3のいずれかに記載のセキュリティ侵害情報出力装置と、
前記リスク通知を前記セキュリティ侵害情報出力装置に入力する監視装置と
を備えるセキュリティ侵害情報出力システム。
前記リスク通知を前記セキュリティ侵害情報出力装置に入力する監視装置と
を備えるセキュリティ侵害情報出力システム。
【請求項5】
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、
取得された分割データを用いて前記秘密情報の復元を試行し、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する、
セキュリティ侵害情報出力方法。
取得された分割データを用いて前記秘密情報の復元を試行し、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する、
セキュリティ侵害情報出力方法。
【請求項6】
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項5に記載のセキュリティ侵害情報出力方法。
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項5に記載のセキュリティ侵害情報出力方法。
【請求項7】
前記分割データを、前記認証セッションが切断された端末を除いた前記複数の端末から取得する、
請求項6に記載のセキュリティ侵害情報出力方法。
請求項6に記載のセキュリティ侵害情報出力方法。
【請求項8】
コンピュータに、
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力機能と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得機能と、
取得された分割データを用いて前記秘密情報の復元を試行する試行機能と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力機能と
を実現させるセキュリティ侵害情報出力プログラム。
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力機能と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得機能と、
取得された分割データを用いて前記秘密情報の復元を試行する試行機能と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力機能と
を実現させるセキュリティ侵害情報出力プログラム。
【請求項9】
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項8に記載のセキュリティ侵害情報出力プログラム。
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
請求項8に記載のセキュリティ侵害情報出力プログラム。
【請求項10】
前記取得機能は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
請求項9に記載のセキュリティ侵害情報出力プログラム。
請求項9に記載のセキュリティ侵害情報出力プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ侵害情報出力装置等に関する。
【背景技術】
【0002】
昨今、ゼロトラストの観点から、境界を設定しない方法でのセキュリティ対策が重要視されている。しかし、境界分離によるセキュリティ対策も依然として存在している。境界分離によるセキュリティ対策を実施する場合、システムへのアクセス時に、認証や検査を実施するケースが多い。また、不正アクセスなどのセキュリティ侵害が発生した場合には、セキュリティ侵害が発生したことを早期に検知することが重要である。
【0003】
また、関連技術としては、特許文献1から特許文献3に記載された技術がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】国際公開第2013/065133号
【特許文献2】特開2007-135170号公報
【特許文献3】特開2003-242123号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
セキュリティ侵害を早期に検出するには、詳細なセキュリティチェックを高頻度で行うことが考えられる。しかし、詳細なセキュリティチェックは処理負荷が高いので、セキュリティチェックが高頻度で行われると、処理負荷が高くなってしまう。そのため、セキュリティ侵害の可能性を、より容易な方法で早期に検知することが求められる。
【0006】
本発明の目的は、上述した課題を鑑み、セキュリティ侵害の可能性を、より容易な方法で早期に検知することを可能にするセキュリティ侵害情報出力装置等を提供することにある。
【課題を解決するための手段】
【0007】
本発明の一態様において、セキュリティ侵害情報出力装置は、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力部と、前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得部と、取得された分割データを用いて前記秘密情報の復元を試行する試行部と、前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力部とを備える。
【0008】
また、本発明の他の態様において、セキュリティ侵害情報出力方法は、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、取得された分割データを用いて前記秘密情報の復元を試行し、前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する。
【0009】
また、本発明の他の態様において、セキュリティ侵害情報出力プログラムは、コンピュータに、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力機能と、前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得機能と、取得された分割データを用いて前記秘密情報の復元を試行する試行機能と、前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力機能とを実現させる。
【発明の効果】
【0010】
本発明の上記態様によれば、セキュリティ侵害の可能性を、より容易な方法で早期に検知することが可能になる。
【図面の簡単な説明】
【0011】
【図1】本発明の第一の実施形態のセキュリティ侵害情報出力装置の構成例を示す図である。
【図2】本発明の第一の実施形態のセキュリティ侵害情報出力装置の動作フローの例を示す図である。
【図3】本発明の第二の実施形態のセキュリティ侵害情報出力装置に関連する装置の例を示す図である。
【図4】本発明の第二の実施形態の監視装置の構成例を示す図である。
【図5】本発明の第二の実施形態のセキュリティ侵害情報出力装置の構成例を示す図である。
【図6】本発明の第二の実施形態のセキュリティ侵害情報出力装置に関する動作フローの例を示す図である。
【図7】本発明の各実施形態のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0012】
[第一の実施形態]
本発明の第一の実施形態について説明する。第一の実施形態におけるセキュリティ侵害情報出力装置10の具体的な一例が、後述する第二の実施形態におけるセキュリティ侵害情報出力装置20である。
本発明の第一の実施形態について説明する。第一の実施形態におけるセキュリティ侵害情報出力装置10の具体的な一例が、後述する第二の実施形態におけるセキュリティ侵害情報出力装置20である。
【0013】
図1に、本実施形態のセキュリティ侵害情報出力装置10の構成例を示す。セキュリティ侵害情報出力装置10は、入力部11、取得部12、試行部13および出力部14を含む。
【0014】
入力部11は、リスク通知が入力される。リスク通知は、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知である。
【0015】
取得部12は、リスク通知が入力された場合に、分割データを取得する。分割データは、秘密分散法によって秘密情報が分割されることにより生成されて複数の端末で保持されているデータである。取得部12は、複数の端末から分割データを取得する。
【0016】
試行部13は、取得された分割データを用いて秘密情報の復元を試行する。
【0017】
出力部14は、秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。
【0018】
次に、図2に、本実施形態のセキュリティ侵害情報出力装置10の動作フローの例を示す。
【0019】
取得部12は、リスク通知が入力された場合に、分割データを取得する(ステップS101)。
【0020】
試行部13は、取得された分割データを用いて秘密情報の復元を試行する(ステップS102)。
【0021】
出力部14は、秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する(ステップS103)。
【0022】
以上で説明したように、本発明の第一の実施形態では、セキュリティ侵害情報出力装置10は、入力部11、取得部12、試行部13および出力部14を含む。入力部11は、リスク通知が入力される。リスク通知は、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知である。取得部12は、リスク通知が入力された場合に、分割データを取得する。分割データは、秘密分散法によって秘密情報が分割されることにより生成されて複数の端末で保持されているデータである。取得部12は、複数の端末から分割データを取得する。試行部13は、取得された分割データを用いて秘密情報の復元を試行する。出力部14は、秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。
【0023】
これにより、セキュリティ侵害情報出力装置10は、セキュリティ侵害の可能性があるものの、確度が低い状態で秘密情報の復元を試みる。このようにすることで、詳細なセキュリティチェックが高頻度で行われない場合でも、セキュリティ侵害情報出力装置10は、セキュリティ侵害が発生した場合に、セキュリティ侵害の可能性が高い状態を示す侵害情報を、早期に出力することができる。また、セキュリティ侵害情報出力装置10は、リスク通知を受信した場合に秘密情報の復元を試みるので、セキュリティチェックを高頻度に行う場合より、処理負荷を低減することができる。そのため、セキュリティ侵害の可能性を、より容易な方法で早期に検知することが可能になる。
【0024】
[第二の実施形態]
次に、本発明の第二の実施形態について説明する。第一の実施形態におけるセキュリティ侵害情報出力装置10の具体的な一例が、第二の実施形態におけるセキュリティ侵害情報出力装置20である。
次に、本発明の第二の実施形態について説明する。第一の実施形態におけるセキュリティ侵害情報出力装置10の具体的な一例が、第二の実施形態におけるセキュリティ侵害情報出力装置20である。
【0025】
まず、図3に、本実施形態のセキュリティ侵害情報出力装置20に関連する装置の例を示す。
【0026】
処理システム40は、複数の端末(端末50-i(iは1からNの整数))を含む。処理システム40に含まれる端末の数(N)は、3以上である。複数の端末は、通信回線80に接続する。本実施形態の場合、処理システム40は、処理システム40に含まれる複数の端末(端末50-1から端末50-N)のすべてが稼働していることを前提とするシステムである。正常時、処理システム40に含まれる複数の端末は、ほぼ同時に稼働される。また、正常時、処理システム40に含まれる複数の端末は、稼働を終了する場合、ほぼ同時に停止される。
【0027】
端末50-i(1からNの整数)は、分割データを保持する。分割データは、秘密分散法によって秘密情報が分割されたデータである。
【0028】
秘密分散法では、秘密情報は、n個の分割データに分割される。秘密情報は、n個の分割データのうちのk個以上のデータによって復元される。この場合の秘密分散法は、(k,n)しきい値秘密分散法と呼ばれる。
【0029】
たとえば、処理システム40に含まれる端末が4台で、秘密情報が(3,4)しきい値秘密分散法によって分割される場合、秘密情報は、4個の分割データ(D1~D4)に分割される。そして、複数の端末の各々が、分割データを一つずつ保持する。この場合、端末50-i(iは1からNの整数(N=4))が、分割データDiを保持する。
【0030】
本実施形態の場合、秘密情報は、(K,N)しきい値秘密分散法で分割データに分割される。このとき、Kは、2以上(N-1)以下の整数である。
【0031】
なお、秘密情報は、秘密分散法で分散できるデータ量のデジタルデータであれば、どのような情報でもよい。たとえば、秘密情報は、秘密文書データ、画像データなどであってもよい。
【0032】
認証サーバ70は、端末50-iを認証する。認証サーバ70は、通信回線80に接続する。認証サーバ70は、端末50-iが、通信回線80や他の装置などへのアクセスが許可された端末であるか否かを認証する。認証サーバ70は、たとえば、端末50-iの個体識別情報によって、端末50-iを認証する。
【0033】
認証サーバ70は、認証に成功すると、端末50-iとの間で認証セッションを構築する。なお、認証セッションは、認証されたセッションである。本実施形態の場合、正常時、処理システム40に含まれる複数の端末は、処理システム40の稼働を終了する場合、ほぼ同時に停止される。そのため、認証サーバ70と複数の端末の各々との間で構築された複数の認証セッションは、正常時には、ほぼ同時に終了する。
【0034】
監視装置60は、処理システム40および認証サーバ70を監視する。監視装置60は、通信回線80に接続する。
【0035】
図4に監視装置60の構成例を示す。監視装置60は、検知部61と通知部62とを含む。
【0036】
検知部61は、処理システム40および認証サーバ70を監視し、端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態を検知する。そして、端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態が検知された場合に、通知部62は、リスク通知をセキュリティ侵害情報出力装置20へ送信する。リスク通知は、端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知である。リスク通知は、セキュリティ侵害の可能性がある端末の情報を含む。
【0037】
端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態は、端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態であれば、どのような状態であってもよい。端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態としてどのような状態を検知するかを示す検知条件は、あらかじめ監視装置60に設定されている。
【0038】
たとえば、検知条件は、処理システム40や認証サーバ70から何らかの異常を示すアラートが入力された場合であってもよい。
【0039】
また、たとえば、検知条件は、認証サーバ70と端末50-1~端末50-Nとの間の認証セッションのうちのいずれか一つ以上が切断され、かつ、切断されていない認証セッションが一つ以上ある場合であってもよい。この場合、検知部61は、端末50-iから送信される信号の監視を行い、端末50-iからの信号を受信できなくなった場合に、端末50-iと認証サーバ70との間の認証セッションが終了したと判断してもよい。
【0040】
本実施形態の場合、認証サーバ70と複数の端末の各々との間で構築された複数の認証セッションは、正常時には、ほぼ同時に終了する。そのため、いずれか一つ以上の認証セッションが切断され、かつ、切断されていない認証セッションが一つ以上ある場合、処理システム40に何らかの異常が発生したことが考えられる。
【0041】
認証セッションの切断は、認証セッションの有効期限が切れた場合、端末50-iが物理的に故障した場合、端末50-iが意図的にシャットダウンされた場合など、セキュリティ侵害とは関係のない事象が原因でも発生し得る。しかし、認証セッションの切断は、不正アクセスなどセキュリティ侵害と関係のある事象が原因でも発生し得る。不正アクセスの場合には、認証セッションが切断された端末以外の端末にもセキュリティ侵害が発生している可能性がある。
【0042】
そのため、検知部61は、認証サーバ70と端末50-1~端末50-Nとの間の認証セッションのうちのいずれか一つ以上が切断され、かつ、切断されていない認証セッションが一つ以上ある状態を、セキュリティ侵害の可能性がある状態として検知する。そして、通知部62は、セキュリティ侵害の可能性がある状態が検知された場合に、リスク通知をセキュリティ侵害情報出力装置20に入力する。
【0043】
次に、図5に、セキュリティ侵害情報出力装置20の構成例を示す。セキュリティ侵害情報出力装置20は、入力部21、取得部22、試行部23および出力部24を含む。
【0044】
入力部21は、リスク通知が入力される。リスク通知は、複数の端末(端末50-1~端末50-N)のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知である。本実施形態の場合、リスク通知は、監視装置60から入力される。
【0045】
検知条件が、認証サーバ70と端末50-1~端末50-Nとの間の認証セッションのうちのいずれか一つ以上が切断され、かつ、切断されていない認証セッションが一つ以上ある場合である場合、リスク通知は、セキュリティ侵害の可能性がある端末の情報を含む。セキュリティ侵害の可能性がある端末を、以降、リスク端末と呼ぶことがある。リスク端末は、二以上の複数であってもよい。この場合、リスク端末は、認証セッションが切断された端末である。
【0046】
取得部22は、リスク通知が入力された場合に、分割データを取得する。取得部22は、複数の端末(端末50-1~端末50-N)から、分割データを取得する。このとき、分割データを取得できない端末があってもよい。
【0047】
たとえば、取得部22は、上記のリスク端末を除いた端末から、分割データを取得してもよい。この場合、取得部22は、複数の端末(端末50-1~端末50-N)のうち、リスク通知でセキュリティ侵害があるとされている端末(リスク端末)を除いた端末から、分割データを取得する。たとえば、端末50-1がリスク端末である場合には、取得部22は、端末50-2~端末50-Nから、分割データを取得する。
【0048】
試行部23は、取得部22によって取得された複数の分割データから、秘密情報の復元を試みる。試行部23は、(K,N)しきい値秘密分散法によって、秘密情報の復元を試みる。なお、秘密情報は、取得部22によって取得された分割データの数がK以上である場合に、復元され得る。取得できた分割データの数がK未満である場合、試行部23は、秘密情報の復元を試みなくてもよい。
【0049】
出力部24は、試行部23によって秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。セキュリティ侵害の可能性が高いことを示す情報を、以降、侵害情報と呼ぶことがある。また、出力部24は、取得部22で取得できた分割データの数がK未満である場合には、その旨の情報を出力してもよい。出力部24は、侵害情報を、たとえば、監視装置60に出力する。出力部24は、監視装置60ではない装置に侵害情報を出力してもよい。侵害情報の出力先は、表示装置であってもよい。また、監視装置60は、侵害情報を受信した場合に、詳細なセキュリティチェックを行ってもよい。また、侵害情報の出力を確認した作業者が、人手で詳細チェックを行ってもよい。
【0050】
取得部22が、リスク端末を除いた端末から分割データを取得し、試行部23が秘密情報を復元できたとする。この場合、端末50-1~端末50-Nからリスク端末を除いた端末のうち、少なくともK個の端末の分割データは、改ざんされていないことになる。たとえば、端末数Nが4で、(3,4)しきい値秘密分散法によって秘密情報が分散され、リスク端末は1台であるとする。この状態で、秘密情報を復元できた場合、リスク端末を除く3台の端末に保持されていた分割データには改ざんがないことになる。この場合は、セキュリティ侵害の可能性が低いと考えられる。
【0051】
一方、試行部23が秘密情報を復元できなかった場合、リスク端末以外の端末の分割データが改ざんされている可能性がある。この場合、リスク端末が、不正アクセスによって、リスク端末以外の端末の分割データを改ざんした可能性がある。そのため、この場合、出力部24は、セキュリティ侵害の可能性が高いことを示す情報である侵害情報を出力する。
【0052】
このように、セキュリティ侵害情報出力装置20は、リスク通知を監視装置60から受信した場合に、秘密情報の復元を試みる。そして、復元できなかった場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。すなわち、セキュリティ侵害情報出力装置20は、セキュリティ侵害の可能性があるものの、確度が低い状態で秘密情報の復元を試みる。そして、セキュリティ侵害情報出力装置20は、秘密情報を復元できなかった場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。
【0053】
このようにすることで、詳細なセキュリティチェックが高頻度で行われない場合でも、セキュリティ侵害情報出力装置20は、セキュリティ侵害が発生した場合に、セキュリティ侵害の可能性が高い状態を示す侵害情報を、早期に出力することができる。また、セキュリティ侵害情報出力装置20は、リスク通知を受信した場合に秘密情報の復元を試みるので、セキュリティチェックを高頻度に行う場合より、処理負荷を低減することができる。
【0054】
また、セキュリティ侵害情報出力装置20は、あらかじめいくつかのグループに分けられた端末について、当該グループごとに、秘密分散法による秘密情報の復元を行ってもよい。
【0055】
たとえば、処理システム40に含まれる端末を、M個のグループGj(jは1からMの整数)に分けるとする。この場合、グループGjに含まれる端末は、あらかじめ、秘密情報Ijの分割データを保持する。そして、取得部22は、グループG1からグループGMの各々のグループについて、グループGjに含まれる端末から分割データを取得する。そして、試行部23は、各々のグループについて、秘密情報の復元を試みる。このようにすると、セキュリティ侵害の可能性が高いグループを特定することもできる。
【0056】
なお、1つの端末が複数のグループに含まれることも可能である。この場合、複数のグループに含まれる端末は、当該端末が含まれる複数のグループの各々についての分割データを保持する。
【0057】
また、(k,n)しきい値秘密分散法のしきい値(k、nの少なくともいずれか一方)は、グループごとに異なっていてもよい。
【0058】
次に、図6を用いて、本実施形態のセキュリティ侵害情報出力装置20、監視装置60および認証サーバ70の動作フローの例について説明する。
【0059】
まず、処理システム40の稼働が開始されると、端末50-1~端末50-Nは、認証サーバ70との間で認証セッションを構築する(ステップS201)。
【0060】
監視装置60は、処理システム40および認証サーバ70を監視し、端末50-1~端末50-Nのうちのいずれかの端末にセキュリティ侵害の可能性がある状態を検知する(ステップS202)。セキュリティ侵害の可能性がある状態が検知されると、監視装置60は、リスク通知をセキュリティ侵害情報出力装置20へ送信する(ステップS203)。
【0061】
セキュリティ侵害情報出力装置20の取得部22は、リスク通知が入力された場合に、複数の端末(端末50-1~端末50-N)から分割データを取得する。(ステップS204)。認証セッションの切断が検知条件に含まれている場合には、取得部22は、複数の端末(端末50-1~端末50-N)のうち、認証セッションが切断されていない端末から、分割データを取得する。
【0062】
試行部13は、取得された分割データを用いて、秘密情報の復元を試みる(ステップS205)。
【0063】
出力部14は、秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する(ステップS206)。
【0064】
以上で説明したように、本発明の第二の実施形態では、セキュリティ侵害情報出力装置20は、入力部21、取得部22、試行部23および出力部24を含む。入力部21は、リスク通知が入力される。リスク通知は、処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知である。取得部22は、リスク通知が入力された場合に、分割データを取得する。分割データは、秘密分散法によって秘密情報が分割されることにより生成されて複数の端末で保持されているデータである。取得部22は、複数の端末から分割データを取得する。試行部23は、取得された分割データを用いて秘密情報の復元を試行する。出力部24は、秘密情報を復元できない場合に、セキュリティ侵害の可能性が高いことを示す情報を出力する。
【0065】
これにより、セキュリティ侵害情報出力装置20は、セキュリティ侵害の可能性があるものの、確度が低い状態で秘密情報の復元を試みる。このようにすることで、詳細なセキュリティチェックが高頻度で行われない場合でも、セキュリティ侵害情報出力装置20は、セキュリティ侵害が発生した場合に、セキュリティ侵害の可能性が高い状態を示す侵害情報を、早期に出力することができる。また、セキュリティ侵害情報出力装置20は、リスク通知を受信した場合に秘密情報の復元を試みるので、セキュリティチェックを高頻度に行う場合より、処理負荷を低減することができる。そのため、セキュリティ侵害の可能性を、より容易な方法で早期に検知することが可能になる。
【0066】
また、処理システム40に含まれる複数の端末の各々と認証サーバ70との間で複数の認証セッションが構築されたとき、複数の認証セッションは、正常時には同時に終了してもよい。この場合、リスク通知は、複数の認証セッションのいずれか一つ以上が切断され、かつ、複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力されてもよい。また、この場合、分割データを、認証セッションが切断された端末を除いた複数の端末から取得してもよい。このようにすると、セキュリティ侵害情報出力装置20は、認証セッションの切断を契機として、セキュリティ侵害が高いことを示す情報を、早期に出力することができる。
【0067】
[ハードウェア構成例]
上述した本発明の各実施形態におけるセキュリティ侵害情報出力装置(10、20)および監視装置60(以降、セキュリティ侵害情報出力装置等)を、一つの情報処理装置(コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。なお、セキュリティ侵害情報出力装置等は、物理的または機能的に少なくとも二つの情報処理装置を用いて実現してもよい。また、セキュリティ侵害情報出力装置等は、専用の装置として実現してもよい。また、セキュリティ侵害情報出力装置等の一部の機能のみを情報処理装置を用いて実現してもよい。
上述した本発明の各実施形態におけるセキュリティ侵害情報出力装置(10、20)および監視装置60(以降、セキュリティ侵害情報出力装置等)を、一つの情報処理装置(コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。なお、セキュリティ侵害情報出力装置等は、物理的または機能的に少なくとも二つの情報処理装置を用いて実現してもよい。また、セキュリティ侵害情報出力装置等は、専用の装置として実現してもよい。また、セキュリティ侵害情報出力装置等の一部の機能のみを情報処理装置を用いて実現してもよい。
【0068】
図7は、本発明の各実施形態のセキュリティ侵害情報出力装置等を実現可能な情報処理装置のハードウェア構成例を概略的に示す図である。情報処理装置90は、通信インタフェース91、入出力インタフェース92、演算装置93、記憶装置94、不揮発性記憶装置95およびドライブ装置96を含む。
【0069】
たとえば、図1の入力部11、取得部12および出力部14は、通信インタフェース91および演算装置93で実現することが可能である。試行部13は、演算装置93で実現することが可能である。
【0070】
通信インタフェース91は、各実施形態のセキュリティ侵害情報出力装置等が、有線あるいは/および無線で外部装置と通信するための通信手段である。なお、セキュリティ侵害情報出力装置等を、少なくとも二つの情報処理装置を用いて実現する場合、それらの装置の間を通信インタフェース91経由で相互に通信可能なように接続してもよい。
【0071】
入出力インタフェース92は、入力デバイスの一例であるキーボードや、出力デバイスとしてのディスプレイ等のマンマシンインタフェースである。
【0072】
演算装置93は、汎用のCPU(Central Processing Unit)やマイクロプロセッサ等の演算処理装置や複数の電気回路によって実現される。演算装置93は、たとえば、不揮発性記憶装置95に記憶された各種プログラムを記憶装置94に読み出し、読み出したプログラムに従って処理を実行することが可能である。
【0073】
記憶装置94は、演算装置93から参照可能な、RAM(Random Access Memory)等のメモリ装置であり、プログラムや各種データ等を記憶する。記憶装置94は、揮発性のメモリ装置であってもよい。
【0074】
不揮発性記憶装置95は、たとえば、ROM(Read Only Memory)、フラッシュメモリ、等の、不揮発性の記憶装置であり、各種プログラムやデータ等を記憶することが可能である。
【0075】
ドライブ装置96は、たとえば、後述する記録媒体97に対するデータの読み込みや書き込みを処理する装置である。
【0076】
記録媒体97は、たとえば、光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な任意の記録媒体である。
【0077】
本発明の各実施形態は、たとえば、図7に例示した情報処理装置90によりセキュリティ侵害情報出力装置等を構成し、このセキュリティ侵害情報出力装置等に対して、上記各実施形態において説明した機能を実現可能なプログラムを供給することにより実現してもよい。
【0078】
この場合、セキュリティ侵害情報出力装置等に対して供給したプログラムを、演算装置93が実行することによって、実施形態を実現することが可能である。また、セキュリティ侵害情報出力装置等のすべてではなく、一部の機能を情報処理装置90で構成することも可能である。
【0079】
さらに、上記プログラムを記録媒体97に記録しておき、セキュリティ侵害情報出力装置等の出荷段階、あるいは運用段階等において、適宜上記プログラムが不揮発性記憶装置95に格納されるようセキュリティ侵害情報出力装置等を構成してもよい。なお、この場合、上記プログラムの供給方法は、出荷前の製造段階、あるいは運用段階等において、適当な治具を利用してセキュリティ侵害情報出力装置等内にインストールする方法を採用してもよい。また、上記プログラムの供給方法は、インターネット等の通信回線を介して外部からダウンロードする方法等の一般的な手順を採用してもよい。
【0080】
上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0081】
(付記1)
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力部と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得部と、
取得された分割データを用いて前記秘密情報の復元を試行する試行部と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力部と
を備えるセキュリティ侵害情報出力装置。
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力部と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得部と、
取得された分割データを用いて前記秘密情報の復元を試行する試行部と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力部と
を備えるセキュリティ侵害情報出力装置。
【0082】
(付記2)
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記1に記載のセキュリティ侵害情報出力装置。
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記1に記載のセキュリティ侵害情報出力装置。
【0083】
(付記3)
前記取得部は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
付記2に記載のセキュリティ侵害情報出力装置。
前記取得部は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
付記2に記載のセキュリティ侵害情報出力装置。
【0084】
(付記4)
付記1から付記3のいずれかに記載のセキュリティ侵害情報出力装置と、
前記リスク通知を前記セキュリティ侵害情報出力装置に入力する監視装置と
を備えるセキュリティ侵害情報出力システム。
付記1から付記3のいずれかに記載のセキュリティ侵害情報出力装置と、
前記リスク通知を前記セキュリティ侵害情報出力装置に入力する監視装置と
を備えるセキュリティ侵害情報出力システム。
【0085】
(付記5)
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、
取得された分割データを用いて前記秘密情報の復元を試行し、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する、
セキュリティ侵害情報出力方法。
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得し、
取得された分割データを用いて前記秘密情報の復元を試行し、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する、
セキュリティ侵害情報出力方法。
【0086】
(付記6)
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記5に記載のセキュリティ侵害情報出力方法。
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記5に記載のセキュリティ侵害情報出力方法。
【0087】
(付記7)
前記分割データを、前記認証セッションが切断された端末を除いた前記複数の端末から取得する、
付記6に記載のセキュリティ侵害情報出力方法。
前記分割データを、前記認証セッションが切断された端末を除いた前記複数の端末から取得する、
付記6に記載のセキュリティ侵害情報出力方法。
【0088】
(付記8)
コンピュータに、
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力機能と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得機能と、
取得された分割データを用いて前記秘密情報の復元を試行する試行機能と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力機能と
を実現させるセキュリティ侵害情報出力プログラム。
コンピュータに、
処理システムに含まれる複数の端末のうちのいずれかの端末にセキュリティ侵害の可能性があることを示す通知であるリスク通知が入力される入力機能と、
前記リスク通知が入力された場合に、秘密分散法によって秘密情報が分割されることにより生成されて前記複数の端末で保持されている分割データを、前記複数の端末から取得する取得機能と、
取得された分割データを用いて前記秘密情報の復元を試行する試行機能と、
前記秘密情報を復元できない場合に、前記セキュリティ侵害の可能性が高いことを示す情報を出力する出力機能と
を実現させるセキュリティ侵害情報出力プログラム。
【0089】
(付記9)
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記8に記載のセキュリティ侵害情報出力プログラム。
前記処理システムに含まれる前記複数の端末の各々と認証サーバとの間で構築された複数の認証セッションは、正常時には同時に終了し、
前記リスク通知は、前記複数の認証セッションのいずれか一つ以上が切断され、かつ、前記複数の認証セッションのいずれか一つ以上が切断されていない場合に、入力される、
付記8に記載のセキュリティ侵害情報出力プログラム。
【0090】
(付記10)
前記取得機能は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
付記9に記載のセキュリティ侵害情報出力プログラム。
前記取得機能は、前記認証セッションが切断された端末を除いた前記複数の端末から前記分割データを取得する、
付記9に記載のセキュリティ侵害情報出力プログラム。
【0091】
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0092】
10、20 セキュリティ侵害情報出力装置
11、21 入力部
12、22 取得部
13、23 試行部
14、24 出力部
40 処理システム
50-i 端末
60 監視装置
61 検知部
62 通知部
70 認証サーバ
80 通信回線
90 情報処理装置
91 通信インタフェース
92 入出力インタフェース
93 演算装置
94 記憶装置
95 不揮発性記憶装置
96 ドライブ装置
97 記録媒体
11、21 入力部
12、22 取得部
13、23 試行部
14、24 出力部
40 処理システム
50-i 端末
60 監視装置
61 検知部
62 通知部
70 認証サーバ
80 通信回線
90 情報処理装置
91 通信インタフェース
92 入出力インタフェース
93 演算装置
94 記憶装置
95 不揮発性記憶装置
96 ドライブ装置
97 記録媒体
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】