知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝エネルギーシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-21
(45)【発行日】2025-03-04
(54)【発明の名称】ログ管理システム及びログ管理方法
(51)【国際特許分類】
G06F 21/64 20130101AFI20250225BHJP
G06F 11/34 20060101ALI20250225BHJP
【FI】
G06F21/64
G06F11/34 176
【請求項の数】
10
(21)【出願番号】P 2021078277
(22)【出願日】2021-05-06
(65)【公開番号】P2022172495
(43)【公開日】2022-11-17
【審査請求日】2024-01-18
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】317015294
【氏名又は名称】東芝エネルギーシステムズ株式会社
(74)【代理人】
【識別番号】110001380
【氏名又は名称】弁理士法人東京国際特許事務所
(72)【発明者】
【氏名】黒田 英彦
(72)【発明者】
【氏名】富永 真哉
(72)【発明者】
【氏名】森下 由隆
(72)【発明者】
【氏名】尾曲 貴志
【審査官】▲柳▼谷 侑
(56)【参考文献】
【文献】特開2013-045313(JP,A)
【文献】特開2007-272774(JP,A)
【文献】米国特許出願公開第2018/0254888(US,A1)
【文献】特開2017-085250(JP,A)
【文献】特開2010-039878(JP,A)
【文献】特開2018-025965(JP,A)
【文献】中国特許出願公開第106650493(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/10
G06F 21/60 - 21/88
G06F 11/34
(57)【特許請求の範囲】
【請求項1】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求する制御手段と、
前記設備から転送された前記ログデータを受信する受信手段と、
受信された前記ログデータから認証符号を演算する演算手段と、
前記認証符号を前記記憶する記憶手段と、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合する照合手段と、を備える設備ログの管理システムにおいて、
前記ログ集合体について前記認証符号をバイナリ変換して予め設定した順序で連結したのち一方向性関数から認証符号を求める符号結合手段を備える設備ログの管理システム。
【請求項2】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求する制御手段と、
前記設備から転送された前記ログデータを受信する受信手段と、
受信された前記ログデータから認証符号を演算する演算手段と、
前記認証符号を前記記憶する記憶手段と、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合する照合手段と、を備える設備ログの管理システムにおいて、
前記ログ集合体を二つに分割した一方の分割体のみから前記演算した前記認証符号の前記照合を実行し、前記照合の結果が不一致である場合、前記分割体をさらに二つに分割してその一方のみから前記演算した前記認証符号の前記照合を繰り返し実行する検索手段を備える設備ログの管理システム。
【請求項3】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求する制御手段と、
前記設備から転送された前記ログデータを受信する受信手段と、
受信された前記ログデータから認証符号を演算する演算手段と、
前記認証符号を前記記憶する記憶手段と、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合する照合手段と、を備える設備ログの管理システムにおいて、
前記受信した前記ログデータ又は前記演算された前記認証符号のバイナリ変換後の2値の数を検査し、前記ログデータの改竄の有無を確認する前検査手段を備える設備ログの管理システム。
【請求項4】
請求項1から請求項3のいずれか1項に記載の設備ログの管理システムにおいて、前記カテゴリーはセキュリティ区分で規定され、同一の前記セキュリティ区分に属する前記設備で前記生成及び前記記憶された複数の前記ログデータを前記ログ集合体とする設備ログの管理システム。
【請求項5】
請求項1から請求項4のいずれか1項に記載の設備ログの管理システムにおいて、前記ネットワークに接続される前記設備から前記受信手段への一方向のみに前記ログデータを転送させる一方向転送手段、を備える設備ログの管理システム。
【請求項6】
請求項1から請求項5のいずれか1項に記載の設備ログの管理システムにおいて、前記ネットワークに接続される前記設備から転送される前記ログデータの容量を圧縮して前記受信手段へ転送する圧縮手段、を備える設備ログの管理システム。
。
【請求項7】
請求項1から請求項6のいずれか1項に記載の設備ログの管理システムにおいて、前記受信した前記ログデータに前記設備の固有識別情報を付加したうえで前記認証符号を演算させる付加手段を備える設備ログの管理システム。
【請求項8】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求するステップと、
前記設備から転送された前記ログデータを受信するステップと、
受信された前記ログデータから認証符号を演算するステップと、
前記認証符号を前記記憶するステップと、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合するステップと、を含む設備ログの管理方法において、
前記ログ集合体について前記認証符号をバイナリ変換して予め設定した順序で連結したのち一方向性関数から認証符号を求める設備ログの管理方法。
【請求項9】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求するステップと、
前記設備から転送された前記ログデータを受信するステップと、
受信された前記ログデータから認証符号を演算するステップと、
前記認証符号を前記記憶するステップと、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合するステップと、を含む設備ログの管理方法において、
検索手段により、前記ログ集合体を二つに分割した一方の分割体のみから前記演算した前記認証符号の前記照合を実行し、前記照合の結果が不一致である場合、前記分割体をさらに二つに分割してその一方のみから前記演算した前記認証符号の前記照合を繰り返し実行する設備ログの管理方法。
【請求項10】
ネットワークに接続されログデータを生成及び記憶する設備において、前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い、対応する前記ログ集合体の転送を前記設備に要求するステップと、
前記設備から転送された前記ログデータを受信するステップと、
受信された前記ログデータから認証符号を演算するステップと、
前記認証符号を前記記憶するステップと、
前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合するステップと、を含む設備ログの管理方法において、
前検査手段により、前記受信した前記ログデータ又は前記演算された前記認証符号のバイナリ変換後の2値の数を検査し、前記ログデータの改竄の有無を確認するログの管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態はコンピュータネットワークにおけるログ管理技術に関する。
【背景技術】
【0002】
設備をコンピュータネットワークに接続すると、情報およびデータの共有や伝達が非常に効率的になる。その一方で、情報セキュリティを脅かす事象が起きた場合、原因究明と被害範囲の特定が重要である。さらに被害の拡大防止と迅速な復旧が求められる。そのためには、ネットワークの利用状況を記録したログデータを調査(フォレンジック調査)することが有効である。ただし、調査を実施する前に、ログデータそのものが改竄の被害を受けておらず健全であることを確認する必要がある。
【0003】
ログデータの改竄の有無を検知する従来技術の一例として、生成したログデータの時系列を分割した複数の分割データとそれぞれの分割データから計算したハッシュ値とを記憶する手法がある。そしてセキュリティ事象を検知した後に、分割データのハッシュ値を再計算し、先に計算して記憶されているハッシュ値との照合を行う。そして二つのハッシュ値の照合結果が不一致である場合、該当する分割データに、改竄された不正ログが含まれると判定される。
【先行技術文献】
【特許文献】
【0004】
【文献】特許第5045489号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述の技術では、時々刻々と蓄積されるログデータを一定容量毎に分割した膨大な分割データとそのハッシュ値とが記憶される。記憶されている膨大な量の分割データのハッシュ値を再計算し、先に計算したハッシュ値と照合するには時間がかかる課題があった。このため、セキュリティ事象が発生した場合、健全なログを迅速に調査へ提供することが困難となる。
【0006】
本発明の実施形態はこのような事情を考慮してなされたもので、情報セキュリティ事象が発生した際に、健全なログを迅速に調査へ供給できるログ管理技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
実施形態に係るログ管理システムにおいて、ネットワークに接続されログデータを生成及び記憶する設備において前記ログデータを複数のカテゴリーに分類したログ集合体が形成されており、前記カテゴリーの優先順位又は選定手続に従い対応する前記ログ集合体の転送を前記設備に要求する制御手段と、前記設備から転送された前記ログデータを受信する受信手段と、受信された前記ログデータから認証符号を演算する演算手段と、前記認証符号を前記記憶する記憶手段と、前記ログデータの前記生成時に前記記憶された前記認証符号とその後に前記演算された前記認証符号とを照合する照合手段と、を備え、さらに前記ログ集合体について前記認証符号をバイナリ変換して予め設定した順序で連結したのち一方向性関数から認証符号を求める符号結合手段を備えるか、前記ログ集合体を二つに分割した一方の分割体のみから前記演算した前記認証符号の前記照合を実行し前記照合の結果が不一致である場合前記分割体をさらに二つに分割してその一方のみから前記演算した前記認証符号の前記照合を繰り返し実行する検索手段を備えるか、もしくは前記受信した前記ログデータ又は前記演算された前記認証符号のバイナリ変換後の2値の数を検査し前記ログデータの改竄の有無を確認する前検査手段を備えるか、することを特徴とする。
【発明の効果】
【0008】
本発明の実施形態により、情報セキュリティ事象が発生した際に、ログデータの改竄有無の判定と不正ログの特定とを迅速に行うログ管理技術が提供される。
【図面の簡単な説明】
【0009】
【図1】本発明の第1実施形態に係るログ管理システムのブロック図。
【図2】第1実施形態の変形例を示すログ管理システムのブロック図。
【図3】第2実施形態に係るログ管理システムのブロック図。
【図4】第3実施形態に係るログ管理システムのブロック図。
【発明を実施するための形態】
【0010】
(第1実施形態)
以下、本発明の実施形態を添付図面に基づいて説明する。図1は、本発明の第1実施形態に係るログ管理システム10A(10)のブロック図である。図2は第1実施形態の変形例を示すログ管理システム10B(10)のブロック図である。ログ管理システム10Aは、ネットワーク20に接続されログデータ26を生成及び記憶する設備25(25a,25b…)のログデータ26を管理する。ログ管理システム10A(10)は点検保守時などにネットワーク20へ必要に応じて接続でき、あるいは常時接続していることが可能である。
以下、本発明の実施形態を添付図面に基づいて説明する。図1は、本発明の第1実施形態に係るログ管理システム10A(10)のブロック図である。図2は第1実施形態の変形例を示すログ管理システム10B(10)のブロック図である。ログ管理システム10Aは、ネットワーク20に接続されログデータ26を生成及び記憶する設備25(25a,25b…)のログデータ26を管理する。ログ管理システム10A(10)は点検保守時などにネットワーク20へ必要に応じて接続でき、あるいは常時接続していることが可能である。
【0011】
さらにログ管理システム10Aは、このカテゴリーの優先順位又は選定手続に従い対応するログ集合体の転送を設備25(25a,25b…)に要求する制御手段11と、この設備25(25a,25b…)から転送されたログデータ26を受信する受信手段13と、受信されたログデータ26から認証符号を演算する演算手段14と、認証符号を記憶する記憶手段15と、ログデータ26の生成時に記憶された認証符号とその後に演算された認証符号とを照合する照合手段17と、を備えている。設備25(25a,25b…)はログデータ26を定周期で転送するか、または制御手段11の要求で転送する。
【0012】
設備25(25a,25b…)は、各種の工場やプラント、生産ライン、社会インフラ設備、公共施設などの各種施設において、ローカルエリアネットワークやイントラネット、コンピュータネットワークに接続される機器や装置、コンピュータなどである。また設備やネットワークへ接続される保守装置などである。ログ管理システム10Aは保守装置と直接接続してもよいし、保守装置と兼用でもよい。そして、ログデータ26とは、この設備25の起動、停止、運転中の動作、あるいは操作や設定の変更、動作内容、外部との通信などのイベントについての内容や情報を時刻や設備識別情報などと組み合わせて記録される情報である。
【0013】
ログデータ26は制御手段11による制御ではなく、該当設備25から定周期で受信手段13へ転送するようにすることもできる。制御手段11で制御する場合、制御手段11はコンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。制御手段11はネットワークに接続され、カテゴリーに応じて分類されて優先順位が高いログ集合体のログデータ26を受信手段13へ転送するように該当設備25へ命令を送信する。また制御手段11は、オペレータの端末操作によるカテゴリーの選定手続に従い、対応するログ集合体の転送命令を設備25に送信してもよい。
【0014】
制御手段11は、図1に示す形態をとる以外に、ネットワーク20内の設備25(25a,25b…)のそれぞれに設置してもよいし、また所定台数の設備25に対して1台設置することもできる。また制御手段11の機能を有するソフトウエアを設備へインストールすることもできる。さらにログデータ26は制御手段11による制御ではなく、該当設備25から定周期で受信手段13へ転送することで不要にできる。
【0015】
カテゴリーによる分類としては、セキュリティ区分やゾーン、機能や役割、機種、系統、設置場所、製造メーカや製造年、記憶情報の種類や形式、量などが挙げられる。カテゴリーがセキュリティ区分により規定される場合、設備のセキュリティの重要度別に階級を設定し、例えば、設備25を10段階に分類する。そして、同一の階級に属するログデータ26を一つのログ集合体と想定する。
【0016】
この時、1つのログ集合体を構成するログデータ26の個数や種類は制限なく、また1つの設備25に付随して記憶される必要もなくネットワーク20に接続する設備25(25a,25b…)の全体に分散していてもよい。別の例として、セキュリティゾーンの場合、ゾーンのセキュリティの重要度別に階級を設定し、例えば、ゾーンを5段階に分類する。そして、ゾーン毎に設備25を分類して同一の階級に属するログデータ26を一つのログ集合体と想定する。この時、同一ゾーンにある設備25のログデータ26を収集記憶する記憶装置(図示略)をゾーン内に設置することもできる。記憶装置はNAS、コンピュータとその記憶デバイスで構成できる。
【0017】
一方向転送手段12は、ネットワーク20に接続される設備25(25a,25b…)から受信手段13への一方向のみにログデータ26を転送させるものである。一方向転送手段12は、例えば、LEDやLDなどの発光素子を送信装置とし、PDなどの受光素子を受信装置として構成される。一方向転送手段12は、設備25から受信手段13への一方向のみ、優先順位又は選定手続に従ってログデータ26を転送する。一方向転送手段12によって受信手段13からネットワーク20に向かうログデータ26や認証符号の流出を完全に防止できる。また図2に示すように、それぞれ独立したネットワーク20(20a,20b,20c)の各々に一方向転送手段12(12a,12b,12)が設置される場合、制御手段11は、一部のネットワーク20b,20cに接続されるように構成してもよい。
【0018】
受信手段13は、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。受信手段13はレジスタやキャッシュメモリ、RAMなどのメインメモリによって設備25(25a,25b…)からログデータ26を受信し、ログデータ26の生成タイミングや到着時刻が異なる場合でもログデータ26を一時的に記憶する。
【0019】
演算手段14は、演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。演算手段14はログデータ26から認証符号を計算して求め、認証符号を記憶手段15または照合手段17へ伝送する。
【0020】
認証符号の計算は、一方向性関数や認証付きブロック暗号のアルゴリズムから計算されるメッセージ認証符号、あるいはデジタル署名の署名が適用できる。具体的には、例えば、一方向性関数にはMD2、MD4、MD5、SHA-1、SHA-2、SHA-3、RIPEMD-128、RIPEMD-160、認証付きブロック暗号のアルゴリズムにはCBC-MAC、CMAC、CCM、GCM/GMAC、デジタル署名にはRSAやDSAがそれぞれ適用できる。
【0021】
記憶手段15は、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。記憶装置は磁気ディスクやSSDなどのストレージに加え、USBメモリ、メモリカード、CD、DVD、Blue―rayなどの外部記憶装置も適用できる。記憶手段15は受信手段13から伝送されるログデータ26や演算手段14から伝送される認証符号を記憶する。そして照合手段17へ、記憶されているログデータ26や認証符号を伝送する。
【0022】
前検査手段16は演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。前検査手段16は受信手段13から伝送されるログデータ26や演算手段14から伝送される認証符号を受信し、パリティを検査してログデータ26に改竄の可能性があることを確認する。バイナリ変換後の2値の数についての検査では、ログデータ26や認証符号のバイナリ値における1の個数または0の個数を計算し、前検査手段16または記憶手段15に記憶する。そして、該当ログデータ26の改竄検知を行う場合には、該当ログデータ26やその認証符号の1の個数を求め、前検査手段16または記憶手段15に記憶される該当ログデータ26の1の個数と照合する。これにより、1の数の差があることに起因する該当ログデータ26の改竄を検知できる。なお前検査手段16は省略可能であり、必要に応じて備えることができる。
【0023】
照合手段17は演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。照合手段17は前検査手段16から転送される認証符号と記憶手段15に記憶される認証符号を照合する。照合が一致する場合は認証符号の元になるログデータ26に改竄がなく、不一致の場合は認証エラーでありログデータ26に改竄があることになる。
【0024】
(第1実施形態の作用)
セキュリティ事象発生時にはその内容や影響範囲、発生や終息の日時、原因及び対策、侵入ルートや方法などを調査する必要がある。このため設備25の各種ログデータ26の調査分析が行われることが一般的であるが、ログデータ26そのものが改竄された場合には正しく調査を行うことができない。そこで設備25のログデータ26に改竄がないことを検証したのち調査へ提供される。
セキュリティ事象発生時にはその内容や影響範囲、発生や終息の日時、原因及び対策、侵入ルートや方法などを調査する必要がある。このため設備25の各種ログデータ26の調査分析が行われることが一般的であるが、ログデータ26そのものが改竄された場合には正しく調査を行うことができない。そこで設備25のログデータ26に改竄がないことを検証したのち調査へ提供される。
【0025】
ネットワーク20でつながる設備25は所定の時間間隔でログデータ26を受信手段13へ伝送する。設備25での制御や計算、記憶などのプロセス処理、設備25の起動から停止まで、設備25のログインからログアウトまで、などのイベント単位時でログデータ26を送信する。
【0026】
さらに所定容量のログデータ26が生成された場合や、特定のログデータ26が生成された場合、イベント発生時などに、設備25からログデータ26を送信することもできる。さらには制御手段11による制御ではなく、設備25からログデータ26を定周期で受信手段13へ転送するようにすることもできる。そして設備25のログデータ26は一方向転送手段12を通って受信手段13へ伝送される。一方向転送手段12があることで各設備25からログデータ26を受信することはできるが、受信手段13や記憶手段15に記憶されログデータ26や認証符号は、設備25の方向へ流出することはない。
【0027】
設備25のログデータ26は演算手段14で認証符号が演算される。演算では同じセキュリティ階級のログ集合体(以下、Urと略記)に属する設備25mのログデータ(以下、Lmと略記)をバイナリ変換し、順序を指定して連結したのちに一方向性関数から認証符号(以下、Cmと略記)を求める。
【0028】
特に一方向性関数から求められるCmは512bit以下の固定データにでき、Lmと比べて容量を小さくできる。Cmは設備25mに関する設備名称や型式、シリアル番号などの情報と合わせて記憶手段15に記憶される。また必要に応じ、Lmも記憶手段15に記憶される。
【0029】
全階級のUrのCmが演算され、記憶手段15に記憶される。また必要に応じてLmも記憶手段15に記憶される。なおLmのデータ数や容量が大きい場合はLmの結合数をn個に設定し、n個の認証符号(Cm
nと略記)を求めることでUrの認証符号がn個のCm
nから構成されるようにすることもできる。nは結合後のLmの数や容量から決定することもできる。続いて前検査手段16においてLmおよびCmまたはCm
nをバイナリ変換し、1の個数を求めて記憶手段15に記憶する。なお前検査手段16は省略可能であり、必要に応じて備えることができる。
【0030】
制御手段11はセキュリティ区分の階級から優先順位に応じてUrを指定し、Urに属する設備25から現在記憶するログデータ(以下、L'mと略記)を受信手段13から取得する。なおセキュリティインシデントが設備25への不正ログインである可能性が高い場合など原因が推定できる場合にはログイン関わる階級のUrの設備25を優先して取得する。
【0031】
このようにセキュリティ区分やセキュリティインシデントに基づいてログ集合体を形成し、ログ集合体に優先順位を設定することで重要なログデータ26の改竄有無と不正ログデータの特定を迅速に行うことができる。演算手段14では受信手段13のL'mをバイナリ変換し、指定順序で連結して一方向性関数から現在の認証符号(以下、C'mと略記)、あるいは現在のn個の認証符号(以下、C'm
nと略記)を求める。一方向性関数の演算は非常に短時間で可能であることが知られている。
【0032】
UrのL'mについて改竄の有無を確認する場合、最初に前検査手段16においてL'mまたはC'mまたはC'm
nをバイナリ変換し、1の個数を求める。そして記憶手段15に記憶されるLmまたはCmまたはCm
nの1の個数と照合して異なる場合は改竄があると判定する。そして改竄がある場合にはL'mを分析することで不正ログを特定できる。このようにログデータ26または認証符号をバイナリ変換し、その1の個数を計数することで簡単に改竄があることを確認できる。なお、1の個数が同じであっても改竄の可能性がある。このため前検査手段16は省略可能であり、必要に応じて備えることができる。
【0033】
続いて照合手段17では前検査手段16から出力されるC'mまたはC'm
nと記憶手段15に記憶されるCmまたはCm
nとを照合する。C'm=Cmの時はL'mに改竄はなく、L'mに関するセキュリティインシデントの調査が開始される。C'm≠Cmの時はL'mに改竄があり、L'mを分析して不正ログを特定できる。このようにログデータ26を設備25のカテゴリーに応じて分類してカテゴリー別のログ集合体とし、優先順位を設定してログ集合体の認証符号を求めて照合することにより、重要なログデータ26の改竄有無と不正ログデータの特定を迅速に行うことができる。また時間的に最新のC'mまたはC'm
nを記憶手段15に記憶することで現状状態のログデータ26が健全であることを保持できる。
【0034】
(第1実施形態の効果)
このように第1実施形態では、ログデータ26を所定のカテゴリーに応じて分類してカテゴリー別のログ集合体とし、優先順位を設定してログ集合体の認証符号を求めることでログデータに改竄がないことを検査できる。これによって調査に必要なログデータを迅速
に提供できる。また記憶手段に時間的に最新の認証符号を保存することで現状状態のログデータが健全であることを保持できる。
このように第1実施形態では、ログデータ26を所定のカテゴリーに応じて分類してカテゴリー別のログ集合体とし、優先順位を設定してログ集合体の認証符号を求めることでログデータに改竄がないことを検査できる。これによって調査に必要なログデータを迅速
に提供できる。また記憶手段に時間的に最新の認証符号を保存することで現状状態のログデータが健全であることを保持できる。
【0035】
さらに、セキュリティ区分やセキュリティインシデントに基づいて設備25のログ集合体を形成し、優先順位を設定してログ集合体の認証符号を求めることで、セキュリティ上重要なログデータ26に改竄がないことを検査できる。これによって調査に必要なログデータを迅速に提供できる。
【0036】
さらに、各設備25からログデータ26を受信できる一方で受信手段13や記憶手段15に記憶されログデータ26や認証符号はネットワーク20へ流出しないようにできる。これにより、照合元になるログデータ26や認証符号が健全であることから重要な設備25のログデータ26を迅速に調査へ提供できる。
【0037】
さらに、各設備25からのログデータ26または認証符号をバイナリ変換し、その1の個数を計数することで改竄があること迅速に確認できる。これによって認証符号の照合前にもログデータ26の改竄検知ができることから重要な設備25のログデータ26を調査へ迅速に提供できる。この前検査手段16は省略可能であり、必要に応じて備えることができる。
【0038】
(第2実施形態)
次に図3を参照して本発明における第2実施形態について説明する。図3は第2実施形態に係るログ管理システム10C(10)のブロック図である。なお、図3において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
次に図3を参照して本発明における第2実施形態について説明する。図3は第2実施形態に係るログ管理システム10C(10)のブロック図である。なお、図3において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
【0039】
第2実施形態のログ管理システム10Cは、受信手段13と、演算手段14と、記憶手段15と、照合手段17と、に加えさらに、ネットワーク20に接続される設備25(25a,25b…)から転送されるログデータ26の容量を圧縮して受信手段13へ転送する圧縮手段18と、受信したログデータ26に設備25(25a,25b…)の固有識別情報を付加したうえで演算手段14に認証符号を演算させる付加手段19と、ログデータ26とこれに対応する認証符号とを組み合せて記憶手段15に記憶させる符号結合手段21と、を備えている。
【0040】
圧縮手段18は演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。圧縮手段18はネットワーク20に接続されている設備25(25a,25b…)それぞれに設置してもよいし、また所定台数の設備25に対して1台設置することもできる。また圧縮手段18の機能を有するソフトウエアを設備へインストールすることもできる。圧縮手段18は設備25のログデータ26の容量を可逆的に圧縮して受信手段13へ伝送する。データ圧縮の方法にはランレングス符号化、ハフマン符号化、Lempel-Ziv圧縮法などが適用できる。
【0041】
付加手段19は記憶装置を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。記憶装置は磁気ディスクやSSDなどのストレージに加え、USBメモリ、メモリカード、CD、DVD、Blue-rayなどの外部記憶装置も適用できる。付加手段19には設備25(25a,25b…)の個体識別情報が記憶され、演算手段14でログデータ26から認証符号を演算する時に該当設備25の個体識別情報を演算に加える。個体識別情報は、設備の型式/型番や仕様、種類、用途、製造業者、製造日、補修履歴、シリアル番号などの設備を識別できるデジタル情報である。
【0042】
符号結合手段21は演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。符号結合手段21は演算手段14で演算された認証符号を演算し、記憶手段15または照合手段17へ伝送する。演算では、任意の数の認証符号をバイナリ変換して連結し、演算手段14と同様の演算で認証符号を求める。
【0043】
(第2実施形態の作用)
第1実施形態と同様、設備25のログデータ26に改竄がないことを検証する場合、調査・検証する設備25のログデータ26の数が多い場合がある。このような場合、ネットワーク20でつながる設備25からイベント単位でのログデータ26が圧縮手段18で圧縮して伝送される。あるいは設備25からログデータ26を圧縮手段18で圧縮して定周期で伝送される。
第1実施形態と同様、設備25のログデータ26に改竄がないことを検証する場合、調査・検証する設備25のログデータ26の数が多い場合がある。このような場合、ネットワーク20でつながる設備25からイベント単位でのログデータ26が圧縮手段18で圧縮して伝送される。あるいは設備25からログデータ26を圧縮手段18で圧縮して定周期で伝送される。
【0044】
設備25の圧縮されたログデータ26はログ管理システム10Cの圧縮手段18で解凍されたのちに受信手段13へ伝送される。また圧縮データの伝送に替えて、設備25でログデータ26の認証符号を一方向性関数から計算して演算手段14へ伝送することもできる。ログデータ26を圧縮してネットワーク20を伝送することで迅速な伝送が実現できる。
【0045】
設備25のログデータ26は演算手段14で認証符号が演算される。演算では付加手段19からUrのLmに関する各々の個体情報を取得し、Q個のLmとその個体情報をバイナリ変換したのち連結して一方向性関数からQ個の認証符号(以下、PCmと略記する)を求める。続いて符号結合手段21において、Q個のPCmをバイナリ変換して予め設定した順序で連結したのち一方向性関数から認証符号を求めてUrの認証符号(以下、TCmと略記する)とする。そしてTCmが記憶手段15に記憶される。これによりログ集合体を構成するログデータ26の数が多い場合でも認証符号の個数を低減できる。
【0046】
優先順位の高いUrに属する設備25から圧縮手段18によって圧縮して送信されたL'mは圧縮手段18で解凍されたのち受信手段13へ伝送される。そして付加手段19からUrのL'mに関する各々の個体情報を取得し、Q個のL'mとその個体情報をバイナリ変換したのち連結して一方向性関数から現在のQ個の認証符号(以下、PC'mと略記する)を求める。さらに符号結合手段21においてQ個のPC'mをバイナリ変換して予め設定した順序で連結したのち一方向性関数から認証符号(以下、TC'mと略記する)を求める。
【0047】
照合手段17では符号結合手段21から出力されるTC'mと記憶手段15に記憶されるTCmとを照合する。TC'm=TCmの時はL'mに改竄はなく、L'mに関するセキュリティインシデントの調査が開始される。この時、TCmおよびTC'mには設備25の個体情報が含まれ、これら含めて認証符号が一致することから認証符号に設備25の個体情報を含めることで重要な設備25のログデータ26に間違いことが確認できる。TC'm≠TCmの時はL'mに改竄があり、Urを分析して不正ログを特定できる。
【0048】
(第2実施形態の効果)
このように第2実施形態では、各設備25のログデータ26を圧縮してネットワーク20を伝送して受信後に解凍することで、迅速にログデータ26を伝送させることができる。これによって重要な設備25のログデータ26を迅速に調査へ提供できる。
このように第2実施形態では、各設備25のログデータ26を圧縮してネットワーク20を伝送して受信後に解凍することで、迅速にログデータ26を伝送させることができる。これによって重要な設備25のログデータ26を迅速に調査へ提供できる。
【0049】
さらに、ログデータ26を分類したログ集合体についてそれぞれ求めた認証符号を結合して認証符号を求め、優先順位を設定して認証符号を照合できる。これにより、ログデータ26の数が多い場合でも認証符号の数を低減できることから重要な設備25のログデータ26を迅速に調査へ提供できる。
【0050】
さらに、設備25のカテゴリーに応じて分類したカテゴリー別のログ集合体に設備25の個体情報を加え、優先順位を設定してログ集合体の認証符号を求めることでログデータ26に改竄がないことを検査できる。これにより、設備25を正しく認証することができることから重要な設備25のログデータ26を迅速に調査へ提供できる。
【0051】
(第3実施形態)
次に図4を参照して本発明における第3実施形態について説明する。図4は第3実施形態に係るログ管理システム10D(10)のブロック図である。なお、図4において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
次に図4を参照して本発明における第3実施形態について説明する。図4は第3実施形態に係るログ管理システム10D(10)のブロック図である。なお、図4において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
【0052】
第2実施形態のログ管理システム10Cは、第1実施形態と共通する受信手段13と、演算手段14と、記憶手段15と、照合手段17と、に加えさらに、ログ集合体を二つに分割した一方の分割体のみから演算した認証符号の照合を実行し、照合の結果が不一致である場合、分割体をさらに二つに分割してその一方のみから演算した認証符号の照合を繰り返し実行する検索手段27を備えている。
【0053】
検索手段27は演算機能を持ち、コンピュータや計算機、PC、FPGAやCPUを備えた電子回路や演算装置、コントローラなどで構成され、汎用あるいは専用の装置が適用できる。検索手段27は二つに分割されたログ集合体の一方のログ集合体のみの認証符号を演算して照合手段17へ伝送する。この場合、照合が不一致の時にはそのログ集合体をさらに二つに分割し、照合が一致の時は設備からもう一方のログ集合体を取得して二つに分割して照合手段17へ伝送する。検索手段27では、このログ集合体の取得、分割、照合の一連の作業を繰り返す。
【0054】
(第3実施形態の作用)
第1実施形態及び第2実施形態と同様、設備25のログデータ26に改竄がないことを検証する場合、調査・検証する設備25のログデータ26の容量が非常に多い場合がある。
第1実施形態及び第2実施形態と同様、設備25のログデータ26に改竄がないことを検証する場合、調査・検証する設備25のログデータ26の容量が非常に多い場合がある。
【0055】
ネットワーク20でつながる設備25のログデータ26は受信手段13へ伝送される。受信手段13は生成タイミングや送信時間が異なるログデータ26を待ち、ログデータ26を受信する。そしてログデータ26を一つのログ集合体と考えて二分割することを繰り返す。
【0056】
そして、2p個のUrが策定される。Urは一つのLmで構成されるまで分割されてもよいし、複数以上のLmで構成されてもよい。またUrのデータ容量やLmの構成数にはは制約はない。このような構成例して、Urをr=1,2,3,・・・・・・zで設定し、優先順位を“降べきの順”で規定すると、ログ集合体0:(U1~Uz)、ログ集合体1:(U1~Uz/2)(Uz/2+1~Uz)、ログ集合体2:(U1~Uz/4)(Uz/4+1~Uz/2)(Uz/2+1~U3z/4)(U3z/4+1~Uz)・・・という形で“降べきの順”の優先順位でログ集合体を設定できる。そして演算手段14においてUrに属するLmからCmを求めてz個のUzからCmをそれぞれて記憶手段15へ記憶する。
【0057】
(U1~Uz/2)に属するL'mは受信手段13へ伝送され、演算手段14においてLm'からCm'を求める。
【0058】
照合手段17では演算手段14から出力されるCm'と記憶手段15に記憶されるCmとを照合する。C'm=Cmの時はL'mに改竄はなく、L'mに関するセキュリティインシデントの調査が開始される。
【0059】
(Uz/2+1~Uz)に属するL'mは受信手段13へ伝送され、演算手段14において(Uz/2+1~U3z/4)に属するLm'からCm'を求める。照合手段17においてC'm≠Cmの時はL'mに改竄がある。このため受信手段13に記憶される(Uz/2+1~U3z/8)に属するLm'からCm'を再度求め、照合手段17で照合する。C'm≠Cmの時はL'mに改竄がある。
【0060】
他方で改竄が一か所である場合には(U3z/4~Uz)には改竄がないことからL'mに関するセキュリティインシデントの調査が開始される。改竄が複数か所である場合は認証符号を求めて照合する。このようなログデータの分割と照合を繰り返して行うことで優先順位の高い設備のログデータの改竄検知と不正ログの特定を優先順位の高い順から迅速に行うことができる。
【0061】
(第3実施形態の効果)
第3実施形態では、ログ集合体を二つに分割して優先順位の高いログ集合体の方を伝送して認証符号を照合し、不一致となるログ集合体をさらに二つに分割して優先順位の高い方のログ集合体の認証符号を照合することを繰り返すことで優先順位が高い方から改竄有無の確認と不正なログデータの特定を行うことができる。これによって優先順位の高い設備のログデータの分割とその認証符号の照合を繰り返して行うことから重要な設備25のログデータ26を迅速に調査へ提供できる。
第3実施形態では、ログ集合体を二つに分割して優先順位の高いログ集合体の方を伝送して認証符号を照合し、不一致となるログ集合体をさらに二つに分割して優先順位の高い方のログ集合体の認証符号を照合することを繰り返すことで優先順位が高い方から改竄有無の確認と不正なログデータの特定を行うことができる。これによって優先順位の高い設備のログデータの分割とその認証符号の照合を繰り返して行うことから重要な設備25のログデータ26を迅速に調査へ提供できる。
【0062】
以上述べた少なくともひとつの実施形態のログ管理システムによれば、カテゴリー毎に分類した前記ログの時系列から分割したログ集合体を単位に符号を生成することで重要な
ログを迅速に調査へ提供できる。
ログを迅速に調査へ提供できる。
【0063】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組み合わせを行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0064】
10(10A,10B,10C,10D)…ログ管理システム、11…制御手段、12…一方向転送手段、13…受信手段、14…演算手段、15…記憶手段、16…前検査手段、17…照合手段、18…圧縮手段、19…付加手段、20(20a,20b,20c)…ネットワーク、21…符号結合手段、25(25m)…設備、26…ログデータ、27…検索手段。
【図1】
【図2】
【図3】
【図4】