JP4768682B2 - Method and system for preventing secondary data leakage - Google Patents

Method and system for preventing secondary data leakage Download PDF

Info

Publication number
JP4768682B2
JP4768682B2 JP2007188164A JP2007188164A JP4768682B2 JP 4768682 B2 JP4768682 B2 JP 4768682B2 JP 2007188164 A JP2007188164 A JP 2007188164A JP 2007188164 A JP2007188164 A JP 2007188164A JP 4768682 B2 JP4768682 B2 JP 4768682B2
Authority
JP
Japan
Prior art keywords
distribution
execution environment
computer
administrator
image file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007188164A
Other languages
Japanese (ja)
Other versions
JP2009026046A (en
Inventor
慶光 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2007188164A priority Critical patent/JP4768682B2/en
Publication of JP2009026046A publication Critical patent/JP2009026046A/en
Application granted granted Critical
Publication of JP4768682B2 publication Critical patent/JP4768682B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

本発明は、データの意図しない第三者への二次流出を防止する方法及びシステムに関する。   The present invention relates to a method and system for preventing secondary leakage of data to an unintended third party.

従来、組織外部への情報漏洩防止の実現方法として、例えば下記特許文献1及び特許文献2に記載のものが知られている。
下記特許文献1に記載のものは、オペレーティングシステム(OS)が発行した命令のうち、ストレージや入出力インタフェースのデバイスドライバに対して発行された読み込み命令および書き込み命令のうち少なくとも一方をフィルタリングすることで、ストレージデバイスに対するアクセスを制限でき、不正なデータの持ち出しや管理者が意図しないソフトウェアのインストールを抑制するようにしたものである。 Conventionally, as a method for realizing information leakage prevention to the outside of an organization, for example, those described in Patent Document 1 and Patent Document 2 below are known.
The one described in Patent Document 1 below filters at least one of a read command and a write command issued to a storage or input / output interface device driver among commands issued by an operating system (OS). The access to the storage device can be restricted, and unauthorized data is taken out and installation of software unintended by the administrator is suppressed.

また、下記特許文献2に記載のものは、USB接続の外部装置を用いてPC内部に格納されたデータを暗号化し、データへのアクセスは、当該装置を用いてデータを復号した後で行うようにし、当該装置の所有者だけがデータにアクセス可能にし、使用権限のない第三者によるデータの使用を防止するものである。   Also, the one described in Patent Document 2 below encrypts data stored in the PC using an external device connected via USB, and accesses the data after decrypting the data using the device. Thus, only the owner of the device can access the data, and the use of the data by a third party without the authority to use is prevented.

特開2004−362516号公報JP 2004-362516 A 特開2004−318720号公報JP 2004-318720 A

しかしながら、上記特許文献1に記載の技術は、データの配布先パーソナルコンピュータ(以下、配布先PC)にアクセス制御のソフトウェアをインストールする必要がある。従って、配布先PCの利用環境を変更する必要が生じる。
また、配布データ以外のアクセス時にもフィルタリング機能が稼動するため、PCのオーバヘッドも増大する。 However, the technique described in Patent Document 1 requires that access control software be installed in a data distribution destination personal computer (hereinafter, distribution destination PC). Therefore, it is necessary to change the usage environment of the distribution destination PC.
In addition, since the filtering function operates during access other than distribution data, the overhead of the PC also increases.

一方、データの配布者が配布先PCのアクセス制御ポリシーを管理することは事実上不可能である。PC環境は多種多様であり、アクセス制御ソフトウェアだけで汎用的なアクセス制御を実現しようとすれば、配布先PCの使い勝手に多大な影響を及ぼすことになることも問題である。   On the other hand, it is virtually impossible for the data distributor to manage the access control policy of the distribution destination PC. There are various PC environments, and if general-purpose access control is realized only by access control software, it is a problem that the usability of the distribution destination PC is greatly affected.

上記特許文献2に記載の技術は、USB接続の外部装置の所有者がデータを復号した後に、第三者に不正に供与することができるため、二次流出防止の効果を見込めない。またUSB接続の外部装置は着脱可能であるため、データの使用者を一意に規定することができない。特に、USB接続の外部装置の複製や第三者への供与によって漏洩防止効果が無力化される。
すなわち、上記特許文献1や特許文献2に示される従来技術では、データの配布先から第三者への二次流出を防止できないという問題がある。 The technology described in Patent Document 2 cannot be expected to prevent the secondary outflow because the owner of the USB-connected external device can decrypt the data and then illegally provide it to a third party. In addition, since an external device connected via USB is detachable, it is not possible to uniquely define a data user. In particular, the effect of preventing leakage is neutralized by duplicating a USB-connected external device or providing it to a third party.
That is, the conventional techniques disclosed in Patent Document 1 and Patent Document 2 have a problem that secondary outflow from a data distribution destination to a third party cannot be prevented.

本発明の目的は、データ配布先の組織から第三者へのデータの二次流出を実現することができるデータの二次流出防止方法およびシステムを提供することにある。特に、ある組織が別の組織に開発を委託するような場合、委託先の組織が開発した成果物の第三者への漏洩防止や、成果物の安全な回収を実現することができるデータの二次流出防止方法およびシステムを提供することにある。   An object of the present invention is to provide a secondary data outflow prevention method and system capable of realizing secondary data outflow from a data distribution destination organization to a third party. In particular, when an organization outsources development to another organization, data that can be used to prevent leakage of deliverables developed by the outsourced organization to a third party and to safely collect the deliverables. It is to provide a secondary spill prevention method and system.

上記目的を達成するために、本発明に係るデータの二次流出防止方法は、データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とするデータの二次流出防止方法。
また、前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。 In order to achieve the above object, the data secondary leakage prevention method according to the present invention is an execution environment dedicated to distribution data that is isolated from the execution environment of non-distribution data by the virtualization means provided in the data distribution destination computer. A first step of generating an execution environment construction image file dedicated to distribution data processing comprising an operating system and applications for constructing a distribution data on a distribution data distribution source computer or an administrator computer;
A second step of transmitting the generated execution environment construction image file dedicated to distribution data processing from the distribution source computer or the administrator computer to the distribution destination computer;
An operating system and an application in the execution environment construction image file are installed on the distribution destination computer, and the distribution means dedicated to distribution data processing isolated from the non-distribution data execution environment by the virtualization means provided in the distribution destination computer And a third step of constructing an execution environment, and executing distribution data processing in a distribution destination computer in an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data Spill prevention method.
In the third step, the execution environment construction image file dedicated to distribution data processing is installed by encrypting with a specific hardware encryption module provided in the distribution destination computer with information unique to the distribution destination computer, An execution environment dedicated to distribution data processing for each distribution destination computer is constructed.
Further, the execution environment construction image file includes an access control module for the resource of the distribution destination computer, and access to the resource of the distribution destination computer is prohibited by a filtering process of the access control module.
In the first step, an administrator execution environment construction image file for constructing in the distribution destination computer an administrator execution environment that can be started from the distribution data distribution source administrator computer is stored in the distribution source computer or Generated in the administrator computer, transmitted to the distribution destination computer together with the execution environment construction image file dedicated to the distribution data processing in the second step, and constructed the administrator execution environment in the distribution destination computer in the third step The module provided in this execution environment for administrators collects the processing results of distribution data to the administrator computer, detects falsification of the execution environment dedicated to distribution data processing, and externally from applications in the execution environment dedicated to distribution data processing Prohibit data transmission to the device and execute distribution data Characterized by processing safely recovered only results in the administrator's computer.

また、本発明に係るデータの二次流出防止システムは、データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、
前記配布元コンピュータまたは管理者コンピュータが、
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、
配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行することを特徴とする。
また、前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする。
また、 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする。
また、前記第1の手段が、
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、
前記第2の手段が、
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、
前記第3の手段が、
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられたモジュールにより、配布データの処理結果の管理者コンピュータへの回収、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とする。 The data secondary leakage prevention system according to the present invention includes a data distribution destination computer and a distribution data distribution source computer or an administrator computer.
The distribution source computer or the administrator computer is
An execution environment construction image file dedicated to distribution data processing comprising an operating system and an application for constructing an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data by the virtualization means provided in the distribution destination computer First means for generating, and second means for transmitting the generated execution environment construction image file dedicated to distribution data processing to the distribution destination computer,
The distribution destination computer installs the operating system and application in the execution environment construction image file distributed from the distribution source computer or the administrator computer, and is not distributed by the virtualization means provided in the distribution destination computer A third means for constructing an execution environment dedicated to distribution data processing isolated from the data execution environment;
The distribution data processing in the distribution destination computer is executed in an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data.
Further, the third means encrypts and installs an execution environment construction image file dedicated to distribution data processing with information specific to the distribution destination computer by a predetermined hardware encryption module provided in the distribution destination computer, An execution environment dedicated to distribution data processing for each distribution destination computer is constructed.
The execution environment construction image file includes an access control module for the resource of the distribution destination computer, and access to the resource of the distribution destination computer is prohibited by a filtering process of the access control module.
The first means includes
Generate an administrator execution environment configuration image file to build an administrator execution environment on the distribution destination computer that can be started from the distribution source administrator computer.
The second means comprises:
Send to the distribution destination computer together with the execution environment construction image file dedicated to the distribution data processing,
The third means is
The administrator execution environment construction image file is installed on the distribution destination computer by installing the administrator execution environment construction image file on the distribution destination computer, and the distribution data processing result is obtained by the module provided in the administrator execution environment. Recovery to the administrator computer, detection of falsification of the execution environment dedicated to the distribution data processing, prohibition of data transmission from the application to the external device in the execution environment dedicated to the distribution data processing, and the processing result of the distribution data to the administrator computer It is characterized by safe collection only.

本発明によれば、データの配布先コンピュータには配布データ、OS、データ閲覧・編集のためのアプリケーションを含めた配布データ処理専用の実行環境を構築するためのイメージファイルを配布し、このイメージファイルを配布先コンピュータにインストールし、配布データを配布データ処理専用の実行環境で処理するため、配布先コンピュータの元々の利用環境の変更を不要にできる。
この結果、配布先コンピュータにおいて、配布データ処理時の使い勝手は制限されるが、元々の配布先コンピュータの使い勝手には影響が出ない。
一方、配布データの使用は、配布データ処理専用の実行環境に限られるため、配布データ以外のアクセス時に不要なフィルタリング機能が稼動するのを回避できる。
また、ハードウェア仮想化の仕組を利用し、OSレベルで実行環境がパーティショニング(隔離)されるため、配布データを元々の配布先コンピュータの環境にメモリやハードディスク等のデバイスを介してコピーすることはできない。
ハードウェアが仮想化されているため、デバイスへのI/Oをフィルタリングするようなアクセス制御を実現した場合でも、元々の配布先コンピュータのデバイスに影響を及ぼさない。
また、配布先コンピュータに内蔵の暗号化モジュールを利用するため、イメージファイルの実行を配布先コンピュータに限定することができ、二次流出を防止できる。
暗号化モジュールはイメージファイルの改竄検知にも利用できる。また、、暗号化モジュールはハードウェアに内蔵され、着脱不可能であるため、USB接続の外部装置のように、複製や第三者への供与によって漏洩防止効果を無力化する攻撃も回避できる。 According to the present invention, an image file for constructing an execution environment dedicated to distribution data processing including distribution data, an OS, and an application for data browsing / editing is distributed to a data distribution destination computer. Is installed on the distribution destination computer and the distribution data is processed in the execution environment dedicated to distribution data processing, so that it is not necessary to change the original usage environment of the distribution destination computer.
As a result, in the distribution destination computer, the usability at the time of distribution data processing is limited, but the usability of the original distribution destination computer is not affected.
On the other hand, use of distribution data is limited to an execution environment dedicated to distribution data processing, so that unnecessary filtering functions can be avoided during access other than distribution data.
In addition, since the execution environment is partitioned (isolated) at the OS level using the hardware virtualization mechanism, copy the distribution data to the original distribution destination computer environment via a device such as memory or hard disk. I can't.
Since the hardware is virtualized, even when access control that filters I / O to the device is realized, the device of the original distribution destination computer is not affected.
Further, since the encryption module built in the distribution destination computer is used, the execution of the image file can be limited to the distribution destination computer, and secondary outflow can be prevented.
The encryption module can also be used to detect falsification of image files. In addition, since the encryption module is built in the hardware and cannot be attached or detached, an attack that disables the leakage prevention effect by duplication or provision to a third party, such as an external device connected by USB, can be avoided.

以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
この実施形態のシステムは、配布先コンピュータ1、配布元コンピュータ11、配付元の管理者コンピュータ12とから構成され、これらはネットワーク10で接続されている。
配付先コンピュータ1は、配付元コンピュータ11から配付された配付データに基づき所定のデータ処理を行う委託先のコンピュータであり、配付データの処理結果である成果
物のデータは管理者コンピュータ12で回収される。
なお、ここでは、配付元に管理者コンピュータ12と配布元コンピュータの2つを設置している例を示しているが、いずれか一方だけであってもよい。
委託元から委託先のコンピュータ1に対して配付データを配付(送信)する場合、配付先コンピュータ1から第三者に配付データが流出したり、成果物のデータが第三者に流出することを防止するために、配付元コンピュータ11または管理者コンピュータにおいて、配付先コンピュータ1内に委託業務専用の実行環境、管理者用の実行環境を配付先コンピュータ1の通常処理の実行環境とは別に構築するためのインストール媒体13を作成し、配付先コンピュータ1に配付し、インストールする。 Hereinafter, an embodiment for carrying out the present invention will be specifically described with reference to the drawings.
FIG. 1 is a system configuration diagram showing an embodiment of the present invention.
The system of this embodiment includes a distribution destination computer 1, a distribution source computer 11, and a distribution source administrator computer 12, which are connected by a network 10.
The distribution destination computer 1 is a consignee computer that performs predetermined data processing based on the distribution data distributed from the distribution source computer 11, and the product data that is the processing result of the distribution data is collected by the administrator computer 12. The
Although an example in which the administrator computer 12 and the distribution source computer are installed at the distribution source is shown here, only one of them may be provided.
When distributing (sending) distribution data from a consignment source to a consignee computer 1, distribution data may flow out from the distribution destination computer 1 to a third party, or product data may flow out to a third party. In order to prevent this, in the distribution source computer 11 or the administrator computer, an execution environment dedicated to commissioned work and an execution environment for the administrator are established in the distribution destination computer 1 separately from the execution environment for normal processing of the distribution destination computer 1. An installation medium 13 is created, distributed to the distribution destination computer 1, and installed.

インストール媒体13には、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134が記憶される。
仮想マシンモニタ実行ファイル131は、管理者用OS、委託業務用OSの実行環境を配付先コンピュータ1内に仮想化して構築するための仮想マシンモニタを作成させるものである。
管理者用OSイメージファイル(平文)132は、配付先コンピュータ1内に管理者用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
委託業務用OSイメージファイル(平文)133は、配付先コンピュータ1内に委託業務用OSの実行環境を配付先コンピュータ1の通常処理の実行環境とは別に仮想化して構築するためのものである。
ここで、管理者用OS、委託業務用OSの実行環境を仮想化して構築する技術は、例えばインテルvProプロセッサー・テクノロジーによって実現されるものである。
このインテルvProプロセッサー・テクノロジーについては、インターネット上で下記のURLに公開されているので詳細な説明は省略する。
vProホワイトペーパー
http://www.intel.co.jp/jp/business-pc/collaterals.htm#WhitePaper
vProプロセッサー・テクノロジー
http://download.intel.com/jp/business/japan/pdf/311710-003JA.pdf The installation medium 13 stores a virtual machine monitor execution file 131, an administrator OS image file (plain text) 132, an outsourced OS image file (plain text) 133, and an installer 134.
The virtual machine monitor execution file 131 is used to create a virtual machine monitor for virtualizing and building the execution environment of the administrator OS and the commissioned business OS in the distribution destination computer 1.
The administrator OS image file (plain text) 132 is for virtualizing and building the execution environment of the administrator OS in the distribution destination computer 1 separately from the execution environment of the normal processing of the distribution destination computer 1.
The commissioned business OS image file (plain text) 133 is for virtualizing the execution environment of the commissioned business OS in the distribution destination computer 1 separately from the execution environment of the normal processing of the distribution destination computer 1.
Here, the technology for virtualizing and building the execution environment of the administrator OS and the commissioned OS is realized by, for example, Intel vPro processor technology.
Since this Intel vPro processor technology is published on the Internet at the following URL, a detailed description is omitted.
vPro white paper
http://www.intel.co.jp/jp/business-pc/collaterals.htm#WhitePaper
vPro processor technology
http://download.intel.com/jp/business/japan/pdf/311710-003EN.pdf

また、委託業務用OSイメージファイルには配付データを処理するためのアプリケーションプログラムが含まれている。そして、配付先コンピュータ1内に構築された委託業務用OSの実行環境は、配付先コンピュータ1が内蔵する暗号化モジュールによって暗号化されてインストールされることにより、他のOS環境から隔離され、配付先の利用者が改ざん不可能なようになっている。
委託業務用OSの実行環境を暗号化モジュールによって隔離する技術は、例えば下記のURLに公開されているように、インテル社のTPM(Trusted Platform Module)といった技術で実現される。
特許庁技術解説(TPM)
http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijyutsu/info_sec_tech/f-1-2.html The commissioned OS image file includes an application program for processing distribution data. The execution environment of the commissioned business OS constructed in the distribution destination computer 1 is isolated from other OS environments by being encrypted and installed by the encryption module built in the distribution destination computer 1 and distributed. The previous user can not be tampered with.
The technology for isolating the execution environment of the OS for commissioned business using an encryption module is realized by a technology such as Intel's Trusted Platform Module (TPM) as disclosed in the following URL, for example.
Japan Patent Office Technical Explanation (TPM)
http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijyutsu/info_sec_tech/f-1-2.html

図2は、配付元コンピュータ11または管理者用コンピュータ12において、インストール媒体13を生成し、配付先コンピュータ1にインストールするまでの手順を示す図である。
図2において、まず、仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133、インストーラ134を含んだインストール媒体13を作成し(ステップ201)、配布先コンピュータ1に送信(配布)し(ステップ202)、次に配布先コンピュータ1に、インストール媒体13から仮想マシンモニタ実行ファイル131、管理者用OSイメージファイル(平文)132、委託業務用OSイメージファイル(平文)133をインストーラ134を実行することによってインストールする(ステップ203)。 FIG. 2 is a diagram showing a procedure until the installation medium 13 is generated and installed in the distribution destination computer 1 in the distribution source computer 11 or the administrator computer 12.
In FIG. 2, first, an installation medium 13 including a virtual machine monitor execution file 131, an administrator OS image file (plain text) 132, an OS image file for commissioned business (plain text) 133, and an installer 134 is created (step 201). Then, it is transmitted (distributed) to the distribution destination computer 1 (step 202). Next, the virtual machine monitor execution file 131, the administrator OS image file (plaintext) 132, the commissioned business OS are transferred from the installation medium 13 to the distribution destination computer 1. The image file (plain text) 133 is installed by executing the installer 134 (step 203).

図3は、配付先コンピュータ1の詳細構成を示す機能ブロック図であり、配付先コンピュータ1(以下、配付先PC)には、ハードウェア6が内蔵されており、委託先企業の従業員が元々利用している通常業務用のOS環境2として、OAツール21やOS(オペレーティングシステム)22等がインストールされている。
本発明のデータの配布方法として、データの配布先PC1には、委託業務用のOS環境3、管理者用のOS環境4、仮想マシンモニタ5をインストールしてもらう必要がある。 FIG. 3 is a functional block diagram showing the detailed configuration of the distribution destination computer 1. The distribution destination computer 1 (hereinafter referred to as distribution destination PC) has hardware 6 built therein, and employees of the outsourced companies are originally built. An OA tool 21, an OS (operating system) 22, and the like are installed as the OS environment 2 for normal business use.
As a data distribution method according to the present invention, it is necessary to install an OS environment 3 for consignment work, an OS environment 4 for an administrator, and a virtual machine monitor 5 on a data distribution destination PC 1.

委託業務用のOS環境3には、メール・Web31や開発ツール32等、データを安全に使用するためのツール群を予めインストールしておく。こうすることで、データの配布者が意図しないソフトウェアのインストールやウィルスによる被害の危険性を減らすことができる。他にも、メモリ・デバイス経由のデータ漏洩防止を実現するI/Oフィルタ33、ハードウェア仮想化環境でネットワークの利用を可能にする仮想NICドライバ34、OS35を予めインストールしておく。   In the OS environment 3 for consignment work, a tool group for safely using data such as mail / Web 31 and development tool 32 is installed in advance. This can reduce the risk of software installation and virus damage unintended by the data distributor. In addition, an I / O filter 33 for preventing data leakage via a memory device, a virtual NIC driver 34 for enabling use of a network in a hardware virtualization environment, and an OS 35 are installed in advance.

また、管理者用のOS環境には、NICドライバ41、ネットワーク経由のデータ漏洩防止を実現するパケットフィルタ42、委託業務用のOS環境のイメージファイルの改ざんを検査するための改竄検知モジュール43、委託作業の成果物のデータを安全に回収するための回収モジュール44を予めインストールしておく。OSはこれらのプログラムが動作するために必要な最小限の機能だけが稼動し、インテルvPro等のハードウェアの機能によって、利用者からは直接操作することができないことが保証されたセキュアOS45であることを前提にする。   The administrator OS environment includes a NIC driver 41, a packet filter 42 for preventing data leakage via the network, a falsification detection module 43 for inspecting alteration of an image file in the OS environment for commissioned work, and commissioned. A collection module 44 for safely collecting work product data is installed in advance. The OS is a secure OS 45 in which only the minimum functions necessary for these programs to operate are operated, and it cannot be directly operated by the user by hardware functions such as Intel vPro. Assuming that.

仮想マシンモニタ5は、複数のOS環境を同時に実行することを可能にするためのソフトウェアであり、個々のOS環境2,3,4からアクセスできるハードウェアは別々の構成として認識される。   The virtual machine monitor 5 is software for enabling a plurality of OS environments to be executed simultaneously, and hardware that can be accessed from the individual OS environments 2, 3, and 4 is recognized as a separate configuration.

図4は、図3の構成の配布先PC1においてネットワーク経由のデータの漏洩防止方法を説明する図である。
ハードウェア仮想化環境では、NICドライバ41の代わりに仮想NICドライバ34がパケットを中継する。一方、管理者用のOS環境4には、NICドライバ41が稼動しており、仮想NICドライバ34から中継されたパケットを処理する。
委託業務用OS環境3で稼動するメール・Web31や開発ツール32等からネットワークに接続する場合、パケットは仮想NICドライバ34経由でNICドライバ41に転送される。
管理者用OS環境3には、NICドライバ41に転送されるパケットを一定のルールに従ってフィルタリングする機能を持つパケットフィルタ42が稼動する。本実施例では、メール・Web等のネットワークの利用を前提とするアプリケーションはネットワーク接続を許可し、開発ツール32等のネットワーク接続の必要がないアプリケーションは、ネットワーク接続を禁止する構成を示している。ネットワーク接続を禁止するアプリケーションは、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。 FIG. 4 is a diagram for explaining a data leakage prevention method via the network in the distribution destination PC 1 having the configuration of FIG.
In the hardware virtualization environment, the virtual NIC driver 34 relays the packet instead of the NIC driver 41. On the other hand, the NIC driver 41 is running in the OS environment 4 for managers, and processes packets relayed from the virtual NIC driver 34.
When connecting to a network from a mail / Web 31 or development tool 32 operating in the OS environment 3 for consigned work, the packet is transferred to the NIC driver 41 via the virtual NIC driver 34.
In the administrator OS environment 3, a packet filter 42 having a function of filtering packets transferred to the NIC driver 41 according to a certain rule operates. In the present embodiment, an application based on the use of a network such as mail / Web is permitted to connect to the network, and an application such as the development tool 32 that does not require network connection is prohibited. The application that prohibits network connection prepares the filtering table 11 shown in the example of FIG. 10 in advance, and determines based on this table.

図5は配布先PC1においてメモリ・デバイス経由のデータの漏洩防止方法を説明する図である。
先の図4では開発ツール32からのネットワーク接続を禁止する実施例を示したが、これだけでは開発ツール32からメール・Web31にデータをコピー後、ネットワークに流出する漏洩経路を防げない。
委託業務用OS環境3で稼動するI/Oフィルタ33は、配付先PC1が備えるメモリやUSB接続の外部装置等のデバイスへのアクセスを禁止する機能を持つ。デバイスへのアクセスを禁止するアプリケーションは、図4の例と同様に、図10の例に示すフィルタリングテーブル11を予め用意しておき、このテーブルに基づいて決定する。 FIG. 5 is a diagram for explaining a method for preventing data leakage via the memory device in the distribution destination PC 1.
FIG. 4 shows an embodiment in which network connection from the development tool 32 is prohibited. However, this alone cannot prevent a leakage path that flows out to the network after data is copied from the development tool 32 to the mail / Web 31.
The I / O filter 33 operating in the outsourced OS environment 3 has a function of prohibiting access to a device such as a memory provided in the distribution destination PC 1 or an external device connected via USB. As in the example of FIG. 4, the application that prohibits access to the device prepares the filtering table 11 shown in the example of FIG. 10 in advance and determines based on this table.

一方、委託業務用OS環境3から通常業務用OS環境2、または管理者用OS環境4へのデータの流出は、ハードウェア仮想化の効果によって保護される。すなわち、OS環境そのものが異なるため、異なるOSで稼動するアプリケーション同士はデータを直接共有することができない。   On the other hand, the outflow of data from the commissioned OS environment 3 to the normal OS environment 2 or the administrator OS environment 4 is protected by the effect of hardware virtualization. That is, since the OS environments themselves are different, applications running on different OSs cannot share data directly.

図6は配布先PC1においてOSイメージファイルの保護方法を説明する図である。
仮想マシンモニタ5は委託業務用OS環境3等のOS環境をOSイメージファイルから起動する。OSイメージファイルとは、データ、OS、及びアプリケーションを一つの実行イメージのファイルとしてまとめたものである。
通常はディスク61内に暗号化した委託業務用OSイメージ601として格納する。こうすることで、ユーザがディスク61を取り出して別のPCに繋げた場合でも、OSイメージファイルの中のデータを参照することはできない。OSイメージファイルの暗号化の方法として、プラットフォーム毎に一意な暗号鍵を持つTPM(暗号化モジュール)62等を使用する。TPM自体の改ざんが困難な上、データの配布先PC1以外ではデータを復号できなくなるため、二次流出の危険性が減る。 FIG. 6 is a diagram for explaining a method for protecting an OS image file in the distribution destination PC 1.
The virtual machine monitor 5 activates an OS environment such as the OS environment 3 for commissioned business from the OS image file. The OS image file is a collection of data, OS, and applications as one execution image file.
Normally, it is stored in the disk 61 as an encrypted OS image 601 for consignment work. Thus, even if the user takes out the disk 61 and connects it to another PC, the data in the OS image file cannot be referred to. As a method for encrypting the OS image file, a TPM (encryption module) 62 having a unique encryption key for each platform is used. It is difficult to tamper with the TPM itself, and data cannot be decrypted except by the data distribution destination PC 1, thereby reducing the risk of secondary outflow.

改竄検知モジュール43はOSイメージの起動処理として、最初に暗号化した委託業務用OSイメージをTPM62で復号する。復号した委託業務用OSイメージ602の改竄チェック後、仮想マシンモニタ5がOSイメージファイルを起動する。起動中は仮想マシンモニタ5だけがOSイメージファイルにアクセスし、これ以外のプログラムによるアクセスは制限されるため、OSイメージファイルが流出することはない。   The falsification detection module 43 uses the TPM 62 to decrypt the OS image for commissioned business that was encrypted first, as the OS image activation process. After the tampering check of the decrypted commissioned OS image 602, the virtual machine monitor 5 activates the OS image file. During startup, only the virtual machine monitor 5 accesses the OS image file, and access by other programs is restricted. Therefore, the OS image file does not leak out.

図7は委託業務用OS環境4を構築するためのインストール媒体の配布方法を示す図である。
委託業務用OS環境4を構築する以前の配布先PC1には、通常業務用OS環境2、及びハードウェア6だけが存在する。
委託業務用OS環境4はインストール媒体13として配布する。インストール媒体13には、実際にインストール作業を行うインストーラ134、仮想マシンモニタ5の実行ファイル131、管理者用OSイメージファイル132、委託業務用OSイメージファイル(平文)ファイル133が格納されている。 FIG. 7 is a diagram showing a distribution method of the installation medium for constructing the commissioned business OS environment 4.
Only the normal business OS environment 2 and the hardware 6 exist in the distribution destination PC 1 before the construction of the commission business OS environment 4.
The commissioned OS environment 4 is distributed as an installation medium 13. The installation medium 13 stores an installer 134 that actually performs an installation operation, an execution file 131 of the virtual machine monitor 5, an administrator OS image file 132, and an OS image file (plaintext) file for consignment work 133.

インストーラ134を実行した場合、仮想マシンモニタ5の実行ファイル131と管理者用OSイメージファイル132はそのままディスク61にコピーされ、委託業務用OSイメージファイル133はTPM62を用いて暗号化した後でディスク61にコピーされる。インストール終了後は配付先PC1を速やかに再起動するため、OSイメージファイルが改竄される恐れはない。   When the installer 134 is executed, the execution file 131 of the virtual machine monitor 5 and the administrator OS image file 132 are copied to the disk 61 as they are, and the commissioned OS image file 133 is encrypted using the TPM 62 and then the disk 61 is encrypted. To be copied. Since the distribution destination PC 1 is restarted immediately after the installation is completed, there is no possibility that the OS image file is falsified.

図8は配布先PC1からの成果物の回収方法を説明する図である。
前述したように例えばインテルvPro等のハードウェア機能によって、委託元の管理者コンピュータ(以下、管理者PC)12上から配付先PC1の電源をリモート制御によって投入し、管理者用OS環境3を稼動させることが可能であることを前提にする。
委託元の管理者はリモート制御によって回収モジュール44を実行し、委託作業の成果物を回収する。
本実施形態では、成果物の回収方法として、暗号化された委託業務用OSイメージファイル601をTPM62で復号の後、その復号されたOSイメージファイル602全体を管理者PC12に回収する様子を示している。復号されたOSイメージファイル602に含まれる成果物のデータを管理者PC12から取り出して回収することも可能である。
また、成果物を回収した後で、委託元の管理者は任意のタイミングで配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除することが可能である。 FIG. 8 is a diagram for explaining a method of collecting a product from the distribution destination PC 1.
As described above, for example, by using a hardware function such as Intel vPro, the power of the distribution destination PC 1 is remotely controlled from the administrator computer (hereinafter referred to as the administrator PC) 12 of the consignment source, and the administrator OS environment 3 is operated. It is assumed that it is possible to
The manager of the consignment executes the collection module 44 by remote control and collects the result of the consignment work.
In the present embodiment, as a method of collecting the deliverables, a state is shown in which the encrypted OS image file 601 for commissioned business is decrypted by the TPM 62, and then the entire decrypted OS image file 602 is collected by the administrator PC 12. Yes. It is also possible to retrieve the product data contained in the decrypted OS image file 602 from the administrator PC 12 and collect it.
Further, after collecting the deliverables, the manager of the consignment source can delete the administrator OS image file and the consignment work OS image file from the distribution destination PC at any timing.

図9は、配布先PC1におけるハッシュテーブル10の例を示す。ハッシュテーブル10は、ハッシュ値と日付から構成される。
委託業務用OSイメージファイル132の起動時に当該OSイメージファイル132のハッシュ値と最新日付のハッシュ値を比較し、改竄チェックを行う。一方、委託業務用OSイメージファイル132の停止時に当該OSイメージファイル132のハッシュ値を計算し、ハッシュテーブル10に登録する。停止時に登録したハッシュ値と起動時に計算した委託業務用OSイメージファイル132のハッシュ値とが一致していれば、改ざんされていないことになる。 FIG. 9 shows an example of the hash table 10 in the distribution destination PC 1. The hash table 10 includes a hash value and a date.
When the commissioned OS image file 132 is activated, the hash value of the OS image file 132 is compared with the hash value of the latest date to check for falsification. On the other hand, when the commissioned OS image file 132 is stopped, the hash value of the OS image file 132 is calculated and registered in the hash table 10. If the hash value registered at the time of stoppage and the hash value of the OS image file 132 for consignment work calculated at the time of start-up match, it has not been falsified.

図10は、配布先PC1における委託業務用OS環境4が使用するフィルタリングテーブル11の例を示す図である。
フィルタリングテーブル11は、アプリケーションと実行可能ファイルパスから構成される。本テーブル11には、ネットワークへの接続やデバイスへのアクセスを禁止するアプリケーションを登録する。パケットフィルタ42や改竄検知モジュール43は、本テーブル11に登録済みのアプリケーションがネットワークやデバイスにアクセスするのを検知した場合、アクセスを禁止する。 FIG. 10 is a diagram showing an example of the filtering table 11 used by the consignment OS environment 4 in the distribution destination PC 1.
The filtering table 11 includes an application and an executable file path. In this table 11, an application that prohibits connection to a network and access to a device is registered. When the packet filter 42 or the falsification detection module 43 detects that an application registered in the table 11 accesses a network or a device, the packet filter 42 and the falsification detection module 43 prohibit the access.

次にインストーラ134について説明する。
図11は、インストーラ134の処理手順を示すフローチャートである。
配付先PC1におけるユーザが配付先PC1上でインストーラ134を実行すると(ステップ1101)、インストーラ134は仮想マシンモニタ5の実行ファイル131をディスク6にコピー(ステップ1102)、次いで、管理者用OSイメージファイル132をディスク6にコピーする(ステップ1103)。引き続き、委託業務用OSイメージファイル132を配付先PC1のハードウェアに付属しているTPM62で暗号化し(ステップ1104)、暗号化済みの委託業務用OSイメージファイル601をディスクにコピー(ステップ1105)後、図12に示す配付先PC1の再起動処理を実行する(ステップ1106)。 Next, the installer 134 will be described.
FIG. 11 is a flowchart showing the processing procedure of the installer 134.
When the user at the distribution destination PC1 executes the installer 134 on the distribution destination PC1 (step 1101), the installer 134 copies the execution file 131 of the virtual machine monitor 5 to the disk 6 (step 1102), and then the administrator OS image file. 132 is copied to the disk 6 (step 1103). Subsequently, the contract OS image file 132 is encrypted with the TPM 62 attached to the hardware of the distribution destination PC 1 (Step 1104), and the encrypted OS image file 601 for the contract service is copied to the disk (Step 1105). Then, the restart process of the distribution destination PC 1 shown in FIG. 12 is executed (step 1106).

次に、仮想マシンモニタ5について説明する。
図12は仮想マシンモニタ5による配付先PCの起動処理を示すフローチャートである。
配付先PC1の電源をオンにする(ステップ1201)と、最初に仮想マシンモニタ5が起動する(ステップ1202)。
仮想マシンモニタ5は、ハードウェアを仮想化することで、複数のOS環境を同時に稼動させることができる。仮想マシンモニタ5は最初に管理者用OS環境4を起動する(ステップ1203)。次に、リモート操作により配布元の管理者が配付先PC1の電源を入れたか、または配付先PC1のユーザがローカル操作により電源を入れたかをチェックする(ステップ1204)。
ステップ1204で管理者が配付先PC1の電源を入れた場合、管理者用OS環境4で管理者のユーザ認証を行う(ステップ1205)。 Next, the virtual machine monitor 5 will be described.
FIG. 12 is a flowchart showing the activation process of the distribution destination PC by the virtual machine monitor 5.
When the power of the distribution destination PC 1 is turned on (step 1201), the virtual machine monitor 5 is first activated (step 1202).
The virtual machine monitor 5 can simultaneously operate a plurality of OS environments by virtualizing hardware. The virtual machine monitor 5 first activates the manager OS environment 4 (step 1203). Next, it is checked whether the administrator of the distribution source has turned on the distribution destination PC 1 by remote operation or whether the user of the distribution destination PC 1 has turned on the power by local operation (step 1204).
When the administrator turns on the distribution destination PC 1 in step 1204, the user authentication of the administrator is performed in the administrator OS environment 4 (step 1205).

一方、ステップ1204でローカルユーザが配付先PC1の電源を入れた場合、図14に示す改竄チェック処理(ステップ1206)を実行し、暗号化された委託業務用OSイメージファイル601の改ざんがあるかチェックする(ステップ1207)。
ステップ1207で改ざんが検出された場合、図13に示す配付先PC1の停止処理を実行する(ステップ1208)。しかし、ステップ1207で改ざんがなかった場合、仮想マシンモニタ5は配付先PC1のデバイスを無効化した状態で委託業務用OS環境4の起動(ステップ1209)、通常業務用OS環境2の起動(ステップ1210)に引き続き、必要に応じて委託業務用OS環境3、または、通常業務用OS環境2でユーザ認証を行う(ステップ1211)。 On the other hand, when the local user turns on the power of the distribution destination PC 1 in step 1204, the falsification check process (step 1206) shown in FIG. 14 is executed to check whether the encrypted OS image file 601 for commissioned business is falsified. (Step 1207).
When falsification is detected in step 1207, the distribution destination PC1 stop process shown in FIG. 13 is executed (step 1208). However, if there is no alteration in step 1207, the virtual machine monitor 5 starts the commissioned business OS environment 4 with the device of the distribution destination PC 1 invalidated (step 1209), and starts the normal business OS environment 2 (step 1). Subsequent to 1210), user authentication is performed in the commissioned business OS environment 3 or the normal business OS environment 2 as necessary (step 1211).

図13は、仮想マシンモニタ5による配付先PC1の停止処理手順を示すフローチャートである。
まず、配付先PC1の電源をオフにする(ステップ1301)と、最初にリモート操作により管理者が配付先PC1の電源を入れたか、またはローカルユーザが配付先PC1の電源を入れたか、チェックする(ステップ1302)。
ステップ1302で管理者が配付先PC1の電源を入れた場合、そのままPC1を終了する。一方、ステップ1302でローカルユーザが配付先PC1の電源を入れた場合、終了中のOSが通常業務用OS環境2かチェックする(ステップ1303)。
ステップ1303で終了中のOSが通常業務用OS環境2の場合、そのまま終了する。ステップ1303で終了中のOSが委託業務用OS環境3であった場合、委託業務用OS環境3を停止(ステップ1304)後、図14に示すハッシュ登録処理を実行する(ステップ1305)。 FIG. 13 is a flowchart showing a stop processing procedure of the distribution destination PC 1 by the virtual machine monitor 5.
First, when the power of the distribution destination PC 1 is turned off (step 1301), it is first checked whether the administrator has turned on the distribution destination PC 1 by remote operation or whether the local user has turned on the distribution destination PC 1 ( Step 1302).
If the administrator turns on the distribution destination PC 1 in step 1302, the PC 1 is terminated as it is. On the other hand, when the local user turns on the distribution destination PC 1 in step 1302, it checks whether the OS being terminated is the normal business OS environment 2 (step 1303).
If the OS being terminated in step 1303 is the normal business OS environment 2, the process is terminated as it is. If the OS terminated in step 1303 is the commissioned OS environment 3, the commissioned OS environment 3 is stopped (step 1304), and then the hash registration process shown in FIG. 14 is executed (step 1305).

次に改竄検知モジュール43について説明する。
図14は、改竄検知モジュール43による暗号化された委託業務用OSイメージファイル601の改竄チェック処理を示すフローチャートである。
改竄検知モジュール43の改竄チェック方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1401)した後、復号したOSイメージ602のハッシュ値を計算(ステップ1402)、図9のハッシュテーブル10の最新のハッシュ値との比較を行い(ステップ1403)、両ハッシュ値が等しい場合はOSイメージ601が改竄されていない、異なる場合はOSイメージ601が改竄されている旨を返す(ステップ1404)。 Next, the falsification detection module 43 will be described.
FIG. 14 is a flowchart showing the falsification check processing of the encrypted commissioned business OS image file 601 by the falsification detection module 43.
The falsification check method of the falsification detection module 43 is to decrypt the contract OS image file 601 encrypted by the TPM 62 attached to the distribution destination PC 1 (step 1401), and then calculate the hash value of the decrypted OS image 602 (step 1402), the hash value is compared with the latest hash value of the hash table 10 of FIG. 9 (step 1403). If both hash values are equal, the OS image 601 is not falsified, and if they are different, the OS image 601 is falsified. (Step 1404).

図15は、改竄検知モジュール43によるハッシュ登録処理を示すフローチャートである。
改竄検知モジュール43のハッシュ登録方法は、配布先PC1に付属のTPM62で暗号化された委託業務用OSイメージファイル601を復号(ステップ1501)した後、その復号されたOSイメージ602のハッシュ値を計算し(ステップ1502)、図9のハッシュテーブル10にハッシュ値を登録する(ステップ1503)。 FIG. 15 is a flowchart showing hash registration processing by the falsification detection module 43.
The hash registration method of the falsification detection module 43 calculates the hash value of the decrypted OS image 602 after decrypting the commissioned business OS image file 601 encrypted by the TPM 62 attached to the distribution destination PC 1 (step 1501). Then, the hash value is registered in the hash table 10 of FIG. 9 (step 1503).

次に回収モジュール44について説明する。
図16は、回収モジュール44によるデータ回収処理を示すフローチャートである。
回収モジュール44のデータ回収方法は、最初に図12に示すフローで管理者PC12を使用している管理者がリモート操作により配布先PC1を起動する(ステップ1601)。引き続き、管理者用OS環境4で回収モジュール44を実行し(ステップ1602)、データの配布先PC1に付属のTPM62でディスク6に保存されている委託業務用OS環境のOSイメージファイル601を復号(ステップ1603)した後、管理者PC12に転送する(ステップ1604)。管理者は最後に配布先PCから管理者用OSイメージファイルや委託業務用OSイメージファイルを削除する(ステップ1604)。 Next, the collection module 44 will be described.
FIG. 16 is a flowchart showing data collection processing by the collection module 44.
In the data collection method of the collection module 44, first, the administrator using the administrator PC 12 in the flow shown in FIG. 12 activates the distribution destination PC 1 by remote operation (step 1601). Subsequently, the recovery module 44 is executed in the administrator OS environment 4 (step 1602), and the OS image file 601 of the contracted OS environment stored in the disk 6 is decrypted by the TPM 62 attached to the data distribution destination PC 1 ( After step 1603), it is transferred to the administrator PC 12 (step 1604). Finally, the administrator deletes the manager OS image file and the commissioned OS image file from the distribution destination PC (step 1604).

次にパケットフィルタ42について説明する。
図17はパケットフィルタ42によるネットワーク経由のデータ漏洩防止処理のフローチャートである。
パケットフィルタ42は管理者用OS環境3の起動時に実行され、当該OS3が停止するまで常時稼動する。
委託業務用OS環境でメール・Web31や開発ツール32等のアプリケーションを実行し(ステップ1701)、ネットワーク10への通信が発生すると(ステップ1702)、パケットは委託業務用OS環境3の仮想NICドライバ34に転送(ステップ1703)、管理者用OS環境4のNICドライバ41にフォワード(ステップ1704)される。
パケットフィルタ42はNICドライバ41にフォワードされる全てのパケットを監視しているので、パケットを受信する(ステップ1705)と、図10に示したフィルタリングテーブル11を参照し(ステップ1706)、パケットを送信するアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1707)。ステップ1707で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、ネットワーク10への通信を遮断する(ステップ1708)。
ステップ1707で、フィルタリングテーブル11に登録されていない場合、通信を許可する(ステップ1709)。 Next, the packet filter 42 will be described.
FIG. 17 is a flowchart of data leakage prevention processing via the network by the packet filter 42.
The packet filter 42 is executed when the administrator OS environment 3 is started, and always operates until the OS 3 is stopped.
When an application such as the mail / Web 31 or the development tool 32 is executed in the commissioned OS environment (step 1701) and communication to the network 10 occurs (step 1702), the packet is sent to the virtual NIC driver 34 of the commissioned OS environment 3. (Step 1703) and forwarded to the NIC driver 41 of the manager OS environment 4 (step 1704).
Since the packet filter 42 monitors all packets forwarded to the NIC driver 41, when the packet is received (step 1705), the filtering table 11 shown in FIG. 10 is referred to (step 1706), and the packet is transmitted. It is checked whether the application to be registered is already registered in the filtering table 11 (step 1707). If registered in the filtering table 11 in step 1707, communication with the network 10 is blocked in order to prevent secondary data outflow (step 1708).
If it is not registered in the filtering table 11 in step 1707, communication is permitted (step 1709).

次にI/Oフィルタ33について説明する。
図18は、委託業務用OS環境3のI/Oフィルタ33によるメモリ・デバイス経由のデータ漏洩防止処理のフローチャートである。
I/Oフィルタ33は委託業務用OS環境4の起動時に実行され、当該OS環境4が停止するまで常時稼動する。
I/Oフィルタ33は、委託業務用OS環境3でメール・Web31や開発ツール32等のアプリケーションが配付先PC1のメモリ・デバイスを介してデータをコピーしようとする動作を検知(ステップ1801)した場合、図10に示したフィルタリングテーブル11を参照し(ステップ1802)、データをコピーするアプリケーションがフィルタリングテーブル11に登録済みかチェックする(ステップ1803)。
ステップ1803で、フィルタリングテーブル11に登録済みの場合、データの二次流出を防止するため、データのコピーを遮断する(ステップ1804)。
ステップ1803で、フィルタリングテーブル11に登録されていない場合、データのコピーを許可する(ステップ1805)。 Next, the I / O filter 33 will be described.
FIG. 18 is a flowchart of the data leakage prevention process via the memory device by the I / O filter 33 of the OS environment 3 for the commissioned business.
The I / O filter 33 is executed when the commissioned business OS environment 4 is started, and always operates until the OS environment 4 is stopped.
When the I / O filter 33 detects an operation in which the application such as the mail / Web 31 or the development tool 32 attempts to copy data via the memory device of the distribution destination PC 1 in the contracted OS environment 3 (step 1801) Referring to the filtering table 11 shown in FIG. 10 (step 1802), it is checked whether or not the application for copying data is registered in the filtering table 11 (step 1803).
If registered in the filtering table 11 in step 1803, the data copy is blocked in order to prevent secondary outflow of data (step 1804).
If it is not registered in the filtering table 11 in step 1803, data copying is permitted (step 1805).

本発明の一実施の形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment of the present invention. 配付元コンピュータまたは管理者用コンピュータにおいて、インストール媒体を生成し、配付先コンピュータにインストールするまでの手順を示す図である。It is a figure which shows the procedure until it produces | generates an installation medium and installs in a distribution destination computer in a distribution origin computer or a computer for administrators. 配布先コンピュータの構成を示す機能構成図である。It is a functional block diagram which shows the structure of a distribution destination computer. ネットワーク経由のデータの漏洩防止方法を説明する図である。It is a figure explaining the leakage prevention method of the data via a network. メモリ・デバイス経由のデータの漏洩防止方法を説明する図である。It is a figure explaining the leakage prevention method of the data via a memory device. OSイメージファイルの保護方法を説明する図である。It is a figure explaining the protection method of OS image file. 委託業務用OS環境の配布方法を説明する図である。It is a figure explaining the delivery method of OS environment for consignment work. 成果物の回収方法を説明する図である。It is a figure explaining the collection | recovery method of a deliverable. 本発明において用いるハッシュテーブルの例を示す図である。It is a figure which shows the example of the hash table used in this invention. 本発明において用いるフィルタリングテーブルの例を示す図である。It is a figure which shows the example of the filtering table used in this invention. 委託業務用OS環境等のインストーラの処理を示すフローチャートである。It is a flowchart which shows the process of installers, such as outsourced OS environment. 仮想マシンモニタによるPC起動処理を示すフローチャートである。It is a flowchart which shows the PC starting process by a virtual machine monitor. 仮想マシンモニタによるPC停止処理を示すフローチャートである。It is a flowchart which shows the PC stop process by a virtual machine monitor. 改竄検知モジュールによる改竄チェック処理を示すフローチャートである。It is a flowchart which shows the falsification check process by a falsification detection module. 改竄検知モジュールによるハッシュ登録処理を示すフローチャートである。It is a flowchart which shows the hash registration process by a falsification detection module. 回収モジュールによるデータ回収処理を示すフローチャートである。It is a flowchart which shows the data collection process by a collection module. パケットフィルタによるネットワーク経由のデータ漏洩防止処理を示すフローチャートである。It is a flowchart which shows the data leakage prevention process via a network by a packet filter. I/Oフィルタによるメモリ・デバイス経由のデータ漏洩防止処理を示すフローチャートである。It is a flowchart which shows the data leakage prevention process via a memory device by an I / O filter.

符号の説明Explanation of symbols

1…配付先PC
2…通常業務用OS環境
3…委託業務用OS環境
4…管理者用OS環境
5…仮想マシンモニタ
6…ハードウェア
10…ネットワーク
11…配付元コンピュータ
12…配付元の管理者コンピュータ
13…インストール媒体
31…メール・Web
32…開発ツール
33…I/Oフィルタ
34…仮想NICドライバ
35…OS
41…NICドライバ
42…パケットフィルタ
43…改竄検知モジュール
44…回収モジュール
45…セキュアOS
62…TPM(暗号化モジュール)
131…仮想マシンモニタ実行ファイル
132…管理者用OSイメージファイル
133…委託業務用OSイメージファイル 1 ... Delivery destination PC
2 ... OS environment for normal business 3 ... OS environment for commissioned business 4 ... OS environment for administrator 5 ... Virtual machine monitor 6 ... Hardware 10 ... Network 11 ... Distribution source computer 12 ... Distribution source administrator computer 13 ... Installation medium 31 ... Mail / Web
32 ... Development tool 33 ... I / O filter 34 ... Virtual NIC driver 35 ... OS
41 ... NIC driver 42 ... Packet filter 43 ... Tamper detection module 44 ... Recovery module 45 ... Secure OS
62 ... TPM (encryption module)
131 ... Virtual machine monitor execution file 132 ... OS image file for manager 133 ... OS image file for consignment work

Claims (6)

データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを配布データの配布元コンピュータまたは管理者コンピュータで生成する第1のステップと、
生成した配布データ処理専用の実行環境構築イメージファイルを前記配布元コンピュータまたは管理者コンピュータから前記配布先コンピュータに送信する第2のステップと、
前記配布先コンピュータにおいて前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3のステップとを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行し、
さらに前記第1のステップにおいて、配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを配布元コンピュータまたは管理者コンピュータにおいて生成し、前記第2のステップにおいて前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、前記第3のステップにおいて管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられた改竄検知モジュール、パケットフィルタ、回収モジュールにより、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行すると共に、配布データの処理結果の管理者コンピュータへの回収及び配布先コンピュータに配布された管理者用実行環境構築イメージファイル並びに配布データ処理専用の実行環境構築イメージファイルを削除し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とするデータの二次流出防止方法。 Execution environment construction image file dedicated to distribution data processing comprising an operating system and an application for constructing an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data by the virtualization means provided in the data distribution destination computer Generating a distribution data on a distribution source computer or an administrator computer;
A second step of transmitting the generated execution environment construction image file dedicated to distribution data processing from the distribution source computer or the administrator computer to the distribution destination computer;
An operating system and an application in the execution environment construction image file are installed on the distribution destination computer, and the distribution means dedicated to distribution data processing isolated from the non-distribution data execution environment by the virtualization means provided in the distribution destination computer A third step of constructing an execution environment, and executing distribution data processing in the distribution destination computer in an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data,
Further, in the first step, an administrator execution environment construction image file for constructing in the distribution destination computer an administrator execution environment that can be started from the administrator computer of the distribution data distribution source is managed by the distribution source computer or the management computer. In the second step, it is transmitted to the distribution destination computer together with the execution environment construction image file dedicated to the distribution data processing in the second step, and in the third step, the execution environment for the administrator is constructed in the distribution destination computer. The falsification detection module, packet filter, and collection module provided in this administrator execution environment detect falsification of the execution environment dedicated to distribution data processing, and send data from an application in the execution environment dedicated to distribution data processing to an external device. Execute ban and distribute data Collect the processing results from the administrator to the administrator computer and delete the execution environment configuration image file for administrators distributed to the distribution destination computer and the execution environment configuration image file dedicated to distribution data processing. A secondary data outflow prevention method characterized by only safely collecting data. 前記第3のステップにおいて、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項1に記載のデータの二次流出防止方法。   In the third step, an execution environment construction image file dedicated to distribution data processing is installed by encrypting with an information specific to the distribution destination computer by a predetermined hardware encryption module provided in the distribution destination computer. The method according to claim 1, wherein an execution environment dedicated to distribution data processing for each computer is constructed. 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項1または2に記載のデータの二次流出防止方法。   2. The execution environment construction image file includes an access control module for a resource of a distribution destination computer, and access to the resource of the distribution destination computer is prohibited by a filtering process of the access control module. Or a method for preventing secondary outflow of data according to 2; データ配布先コンピュータと、配布データの配布元コンピュータまたは管理者コンピュータから構成され、It consists of a data distribution destination computer and a distribution data distribution source computer or administrator computer.
前記配布元コンピュータまたは管理者コンピュータが、  The distribution source computer or the administrator computer is
前記配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティングシステム及びアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルを生成する第1の手段と、生成した配布データ処理専用の実行環境構築イメージファイルを前記配布先コンピュータに送信する第2の手段とを備え、  An execution environment construction image file dedicated to distribution data processing comprising an operating system and an application for constructing an execution environment dedicated to distribution data isolated from the execution environment of non-distribution data by the virtualization means provided in the distribution destination computer First means for generating, and second means for transmitting the generated execution environment construction image file dedicated to distribution data processing to the distribution destination computer,
前記配布先コンピュータが、前記配布元コンピュータまたは管理者コンピュータから配布された前記実行環境構築イメージファイル中のオペレーティングシステム、アプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築する第3の手段とを備え、配布先コンピュータにおける配布データの処理を非配布データの実行環境から隔離された配布データ専用の実行環境で実行し、  The distribution destination computer installs the operating system and application in the execution environment construction image file distributed from the distribution source computer or the administrator computer, and is not distributed by the virtualization means provided in the distribution destination computer And a third means for constructing an execution environment dedicated to distribution data processing isolated from the data execution environment, and executing distribution data processing at the distribution destination computer exclusively for distribution data isolated from the non-distribution data execution environment Run in the environment,
さらに前記第1の手段が、  Further, the first means includes
配布データの配布元の管理者コンピュータから起動可能な管理者用実行環境を配布先コンピュータ内に構築するための管理者用実行環境構築イメージファイルを生成し、  Generate an administrator execution environment configuration image file to build an administrator execution environment on the distribution destination computer that can be started from the distribution source administrator computer.
前記第2の手段が、  The second means comprises:
前記配布データ処理専用の実行環境構築イメージファイルと共に配布先コンピュータに送信し、  Send to the distribution destination computer together with the execution environment construction image file dedicated to the distribution data processing,
前記第3の手段が、  The third means is
前記管理者用実行環境構築イメージファイルを配布先コンピュータにインストールすることにより管理者用実行環境を配布先コンピュータ内に構築し、この管理者用実行環境に備えられた改竄検知モジュール、パケットフィルタ、回収モジュールにより、配布データ処理専用の実行環境の改ざん検知、配布データ処理専用の実行環境におけるアプリケーションから外部装置へのデータ送信の禁止を実行すると共に、配布データの処理結果の管理者コンピュータへの回収及び配布先コンピュータに配布された管理者用実行環境構築イメージファイル並びに配布データ処理専用の実行環境構築イメージファイルを削除し、配布データの処理結果を管理者コンピュータのみに安全に回収することを特徴とすることを特徴とするデータの二次流出防止システム。  An administrator execution environment is built in the distribution destination computer by installing the administrator execution environment construction image file on the distribution destination computer, and the falsification detection module, packet filter, and recovery provided in the administrator execution environment are provided. The module detects falsification of the execution environment dedicated to the distribution data processing, prohibits data transmission from the application to the external device in the execution environment dedicated to the distribution data processing, and collects the processing result of the distribution data to the administrator computer and The execution environment construction image file for administrators distributed to the distribution destination computer and the execution environment construction image file dedicated to distribution data processing are deleted, and the processing results of the distribution data can be safely collected only on the administrator computer Prevention of secondary data leakage Stem. 前記第3の手段が、配布データ処理専用の実行環境構築イメージファイルを配布先コンピュータに備えられた所定のハードウェア暗号化モジュールにより当該配布先コンピュータに固有の情報で暗号化してインストールし、配布先コンピュータ毎の配布データ処理専用の実行環境を構築することを特徴とする請求項4に記載のデータの二次流出防止システム。 The third means encrypts and installs an execution environment construction image file dedicated to distribution data processing with information specific to the distribution destination computer by a predetermined hardware encryption module provided in the distribution destination computer. 5. The data secondary leakage prevention system according to claim 4, wherein an execution environment dedicated to distribution data processing for each computer is constructed . 前記実行環境構築イメージファイル中には、配布先コンピュータのリソースへのアクセス制御モジュールを含み、このアクセス制御モジュールのフィルタリング処理によって配布先コンピュータのリソースへのアクセスを禁止することを特徴とする請求項4または5に記載のデータの二次流出防止システム。 5. The execution environment construction image file includes an access control module for a resource of a distribution destination computer, and access to the resource of the distribution destination computer is prohibited by a filtering process of the access control module. Or a secondary leakage prevention system for data according to 5 .
JP2007188164A 2007-07-19 2007-07-19 Method and system for preventing secondary data leakage Expired - Fee Related JP4768682B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007188164A JP4768682B2 (en) 2007-07-19 2007-07-19 Method and system for preventing secondary data leakage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007188164A JP4768682B2 (en) 2007-07-19 2007-07-19 Method and system for preventing secondary data leakage

Publications (2)

Publication Number Publication Date
JP2009026046A JP2009026046A (en) 2009-02-05
JP4768682B2 true JP4768682B2 (en) 2011-09-07

Family

ID=40397804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007188164A Expired - Fee Related JP4768682B2 (en) 2007-07-19 2007-07-19 Method and system for preventing secondary data leakage

Country Status (1)

Country Link
JP (1) JP4768682B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2498142B (en) * 2010-09-22 2019-01-16 Ibm Data Distribution Apparatus
US20120179904A1 (en) * 2011-01-11 2012-07-12 Safenet, Inc. Remote Pre-Boot Authentication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0946334A (en) * 1995-07-31 1997-02-14 Sony Corp Information processor and method therefor
JP2003179589A (en) * 2001-12-13 2003-06-27 Konica Corp Data communication equipment, data communication system, data communication program and program storage medium storing data communication program
JP4242819B2 (en) * 2004-10-06 2009-03-25 株式会社日立製作所 Computer system having a terminal capable of working offline
KR100589541B1 (en) * 2004-11-25 2006-06-14 소프트캠프(주) Electrical transmission system in secret environment between virtual disks and Electrical transmission method thereof
JP4433401B2 (en) * 2004-12-20 2010-03-17 レノボ シンガポール プライヴェート リミテッド Information processing system, program, and information processing method

Also Published As

Publication number Publication date
JP2009026046A (en) 2009-02-05

Similar Documents

Publication Publication Date Title
US11704389B2 (en) Controlling access to digital assets
CN1801091B (en) Systems and methods for securely booting a computer with a trusted processing module
JP5599557B2 (en) Information processing apparatus, license determination method, program, and recording medium
US20140096134A1 (en) System and method for enforcement of security controls on virtual machines throughout life cycle state changes
US20150212842A1 (en) On-demand disposable virtual work system
WO2009107330A1 (en) Information processor and method for controlling the same
JP2017520959A (en) Host attestation, including trusted execution environment
JP2007534039A (en) Personal computer internet security system
WO1998009209B1 (en) Systems and methods for secure transaction management and electronic rights protection
WO2018164503A1 (en) Context awareness-based ransomware detection
CN115329389B (en) File protection system and method based on data sandbox
WO2013058766A1 (en) Providing a function of a basic input/output system (bios) in a privileged domain
JP3630087B2 (en) Automatic data processor
JP2009043133A (en) Information processor
JP2001256014A (en) Output system, output method to be used for the same and recording medium in which program to be executed in output system is recorded
JP2007148466A (en) Portable storage device and os
JP2009223787A (en) Information processor and processing method, and program
JP4768682B2 (en) Method and system for preventing secondary data leakage
KR101604892B1 (en) Method and devices for fraud prevention of android-based applications
WO2015019416A1 (en) License management system and license management method
Iglio Trustedbox: a kernel-level integrity checker
JP4314311B2 (en) Information processing apparatus and information processing system
JP2009169868A (en) Storage area access device and method for accessing storage area
WO2015087444A1 (en) License management system and license management method
KR101042218B1 (en) A data security system for computer and security method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110616

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees