JP2004013607A - File monitoring device - Google Patents

File monitoring device Download PDF

Info

Publication number
JP2004013607A
JP2004013607A JP2002167515A JP2002167515A JP2004013607A JP 2004013607 A JP2004013607 A JP 2004013607A JP 2002167515 A JP2002167515 A JP 2002167515A JP 2002167515 A JP2002167515 A JP 2002167515A JP 2004013607 A JP2004013607 A JP 2004013607A
Authority
JP
Japan
Prior art keywords
file
monitoring
information
unit
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002167515A
Other languages
Japanese (ja)
Inventor
Michihiro Yamazaki
山崎 通弘
Osamu Tomita
冨田 理
Hiromitsu Washimi
鷲見 大光
Kenichi Yanagida
柳田 健一
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002167515A priority Critical patent/JP2004013607A/en
Publication of JP2004013607A publication Critical patent/JP2004013607A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To extremely secure the detection processing of the presence/absence of alternation for a file preserved in an information processor and the restoration processing of the altered file. <P>SOLUTION: In the information processor, a multi-OS environment where operation is performed by using two OS such as an OS 110 for a service and an OS 120 for security, for different purpose, is established. A file 115 to be monitored, having the possibility of being altered by operation from the outside such as virus is put under the control of the OS 110 for a service. A function of monitoring the presence/absence of the alternation of the file 115 to be monitored is operated on the OS 120 for security. Monitor information and a back file to be used for detecting the presence/absence of alternation are put under the control of the OS 120 for security. Monitor information or the like is isolated from the OS 110 for a service to be used for normal processing so that it is possible to prevent the alteration, and to secure the monitoring and restoring function of the file. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、情報処理装置に保存されたファイルに対する不正な改ざんを監視する技術に関する。
【0002】
【従来の技術】
インターネットを介して送り込まれたウィルスなどによって、情報処理装置に保存されたファイルが不正に改ざん、破壊等されることが問題となっている(以下、ファイルに対する不正な変更を「改ざん」と総称する)。これらの問題に対する対策の一つとして、例えば、特開平10−69417号公報記載の技術、特開2001−337864号公報記載の技術が挙げられる。前者は、常駐型のファイル監視プログラムを情報処理装置上に設け、定期的にファイルの改ざんを監視する技術である。後者は、ポリシーに規定された条件を満足する場合にのみファイルへのアクセスを許容することにより、ファイルの改ざんを防止する技術である。
【0003】
【発明が解決しようとする課題】
しかし、後者の技術は、仮にファイルの改ざんが行われた場合、それを検出することができなかった。前者の技術では、ファイルの改ざんの監視に使用されるファイル監視プログラム、パラメータ設定ファイルなどの情報自体が改ざんされる恐れがある。これらの情報が改ざんされた場合には、ファイルの監視が正常に機能しなくなる可能性があった。このように、従来技術では、ファイルの改ざんを監視する際の確実性に、改善の余地が残されていた。これは、ウィルスによるものに限らず、ファイルの不正な改ざんに共通の課題であった。
【0004】
【課題を解決するための手段】
上記課題の少なくとも一部を解決するため、本発明は、情報処理装置に保存されたファイルを監視するファイル監視装置を提供する。このファイル監視装置は、ファイルアクセス部、監視情報記憶部、パラメータ取得部、改ざん判定部を備えている。ファイルアクセス部は、ファイルへのアクセスに使用される。監視情報記憶部は、ファイルに対する改ざんの有無を監視するための監視情報を記憶している。パラメータ取得部は、監視対象のファイルについて、監視情報に対応したパラメータ値を取得する。改ざん判定部は、取得されたパラメータ値と監視情報とを比較して、改ざんの有無を判定する。
【0005】
監視情報記憶部は、ファイルアクセス部による監視情報へのアクセスができないよう構成されている。かかる構成は、ファイルアクセス部と監視情報記憶部とを、ハードウェア的またはソフトウェア的に、乖離させることによって実現することができる。また、いわゆるファイアウォールと類似の構成を適用し、監視情報記憶部へのアクセスを、所定の規則に基づいて制限する構成を採っても良い。換言すれば、かかる構成は、監視情報記憶部をファイル監視装置外部から秘匿する構成、監視情報記憶部への一般ユーザによるアクセスを禁止する構成と表現することもできる。かかる構成を適用することにより、監視情報が不正な改ざんの対象となることを回避することができ、ファイルへの改ざんをより確実に監視することができる。
【0006】
監視情報としては、ファイルの改ざんによって変動し得る種々の情報、例えば、ファイルサイズ、更新日付、ハッシュ値、ファイル自体のコピーなどを用いることができる。ファイルが改ざんされた場合には、改ざん後のファイルから得られるこれらの情報と、監視情報記憶部に保存された監視情報とに不整合が生じるため、改ざんの有無を検出することができる。
【0007】
ファイルにアクセス権限が設定されている場合には、アクセス権限に関する情報を監視情報として用いてもよい。こうすることにより、例えば、機密性の高いファイルを、不正に不特定多数の者が閲覧可能にするといった改ざんを検出することが可能となる。
【0008】
改ざん判定部が判定を行うタイミングは、種々の設定が可能である。例えば、予め設定された期間で定期的に判定してもよいし、ファイルアクセス部によるアクセスに同期して判定してもよい。
【0009】
本発明において、改ざんされたファイルを復旧するための復旧情報を併せて記憶しておき、ファイルの改ざんが検出された場合には、これを用いて、ファイルの復旧を行うようにしてもよい。復旧情報としては、例えば、バックアップファイルを用いることができる。必ずしも最新のバックアップファイルを記憶しておく必要はなく、当初のバックアップファイル、およびその後、施された改変に関するログ情報を併せて復旧情報として記憶しておいてもよい。
【0010】
復旧情報は、監視対象となるファイルと同等の扱い、即ち、ファイルアクセス部がアクセスできるように保存することもできるが、監視情報と同等の扱いとすることが好ましい。こうすることにより、復旧情報も改ざんの対象となることを回避できるため、ファイルの復旧をより確実に行うことが可能となる。
【0011】
復旧情報を用いてファイルの復旧を行う場合、ファイルを正規に更新するための更新情報が入力された際には、ファイル自体ではなく、復旧情報および監視情報を更新するようにしてもよい。ファイル自体の更新が行われていなくても、監視情報が更新されたことに伴い、ファイル監視装置は、ファイルの改ざんが行われたものとみなして、ファイルの復旧を行う。従って、間接的にファイルの更新を行うことができる。こうすることにより、ファイルの正規の更新時に、監視情報との整合性を保つことが可能となる。
【0012】
本発明では、ファイルに対する改変を原則的に禁止し、改変は、ファイル復旧時だけに許容するものとしてもよい。ファイルの正規な更新は、先に説明したように復旧情報を更新することによって実現可能である。このようにファイルへの改変を制限することにより、ファイルの不正な改ざんをより回避することが可能となる。
【0013】
本発明においては、改ざんの判定を行う条件を、監視対象のファイルに応じて変更することが好ましい。判定を行う条件とは、例えば、判定を行うタイミング、判定に用いる監視情報の種類などを意味する。これらの条件を、ファイルに応じて変更することにより、改ざん防止に対するファイルごとの要求に応じて、監視の負荷を調整することができる。
【0014】
本発明において、監視情報記憶部とファイルアクセス部とをソフトウェア的に乖離させる方法は、種々の態様で実現可能である。一例として、両者を異なるオペレーティングシステム(以下、「OS」と称する)で動作させるようにしてもよい。ファイルアクセス部は、第1OSで動作する。監視情報記憶部にアクセスする機能は、第1OSから分離されたハードウェア資源を用いて稼働する第2OSによって提供される。第1OSと第2OSとの間には、情報の授受を制御する通信部を備える。更に、第1OSと第2OSのハードウェア資源の分配機能を実現するマルチOS制御部を備えてもよい。先に説明した復旧情報を用いる場合には、復旧情報記憶部にアクセスする機能も第2OSで適用することが好ましい。
【0015】
改ざんの判定には、第1OSによりファイルへのアクセスを通じて取得されるパラメータ値と、第2OSにより監視情報記憶部から得られる監視情報とが必要とされる。従って、改ざんの判定時には通信部を介してこれらの情報を取得する。改ざんの判定を第1OSにより行う場合には、通信部を介して監視情報を取得することになる。改ざんの判定を第2OSにより行う場合には、通信部を介してパラメータ値を取得することになる。改ざん判定部をソフトウェア的に構成する場合には、そのプログラムファイル自体が改ざん対象となることを回避するため、後者の態様が好ましい。
【0016】
監視情報記憶部とファイルアクセス部との乖離は、必ずしも複数のOSを用いる必要はなく、単一のOSによって実現してもよい。例えば、ファイルアクセス部をOSが提供する基本的なモジュール(以下、「カーネル」と称する)として構成し、監視情報記憶部へのアクセスは、ファイルアクセス部と異なるカーネルとして構成してもよい。同様に、復旧情報記憶部へのアクセスも、ファイルアクセス部と異なるカーネルとして構成してもよい。
【0017】
本発明は、上述した種々の特徴を全てを備えている必要はなく、適宜、これらの一部を省略したり組み合わせたりして構成してもよい。本発明のファイル監視装置は、情報処理装置内に内蔵してもよいし、別体として構成してもよい。後者では、情報処理装置とファイル監視装置は、ローカル接続またはネットワークなどの通信回線で接続され、ファイルアクセス部は、この通信回線を介して情報処理装置内のファイルにアクセスすることになる。また、ファイル監視装置を、複数のハードウェアで連携して実現させてもよい。
【0018】
本発明は、アプリケーションプログラムが使用するファイルを監視対象としても構わないが、システムファイル、機密ファイルなど、改ざん防止の要求が強く、かつ更新の頻度が比較的低いファイルを監視対象とすることがより好ましい。
【0019】
本発明は、上述したファイル監視装置としての態様の他、コンピュータによるファイル監視方法として構成してもよい。また、コンピュータにインストールすることによって、上述のファイル監視装置を構成するためのコンピュータプログラム、およびこれを記録した記憶媒体として構成してもよい。ここで、記憶媒体としては、フレキシブルディスクやCD−ROM、DVD、光磁気ディスク、ICカード、ROMカートリッジ、パンチカード、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(RAMやROMなどのメモリ)および外部記憶装置などコンピュータが読取り可能な種々の媒体を利用できる。
【0020】
【発明の実施の形態】
本発明の実施の形態について、以下の順序で説明する。
A.装置構成:
B.ファイル監視処理:
C.ファイル更新処理:
D.効果:
E.変形例:
【0021】
A.装置構成:
図1は実施例としてのファイル監視装置100の概略構成を示す説明図である。ファイル監視装置100は、図示する各機能ブロックを実現するためのソフトウェアを汎用のコンピュータにインストールすることにより構築されている。本実施例では、コンピュータには、サービス用OS110上で稼働するアプリケーションプログラム113(以下、単に「アプリケーション」と称する)もインストールされており、アプリケーション113に応じた処理を行う情報処理装置としても機能する。本実施例では、ファイル監視装置100は、情報処理装置に内蔵、または一体的に構成されていることになる。
【0022】
コンピュータは、サービス用OS110と、セキュリティ用OS120の2種類のOSによって動作する。サービス用OS110としては、例えば、Windows(商標)を用いることができ、セキュリティ用OSとしては、例えば、LINUX(商標)を用いることができる。サービス用OS110とセキュリティ用OS120とを、同一種類のOSで統一しても構わない。
【0023】
2種類のOSの動作は、マルチOS制御部102によって制御される。マルチOS制御部102は、第1にハードウェアウェア資源分割機能、即ち、CPU時間、メモリ、外部デバイス、タイマなどコンピュータのハードウェア資源を、サービス用OS110、セキュリティ用OS120に適宜、割り当てる機能を提供する。マルチOS制御部102の第2の機能は、サービス用OS110と、セキュリティ用OS120の間の通信を介在する機能である。この機能は、マルチOS制御部102に設けられたOS間通信部104によって提供される。マルチOS制御部102に相当するソフトウェアは、種々知られているため、ここでは詳細な説明を省略する。
【0024】
サービス用OS110上では、ユーザが種々の情報処理を行うためのアプリケーション113が稼働する。また、サービス用OS110は、第1記憶装置114と称する磁気ディスクの所定領域を管理する。第1記憶装置114には、アプリケーション113が使用する種々のファイルや、システムファイルなどが記憶されている。本実施例では、これらのファイルが改ざんを回避すべきファイルに相当する。以下、第1記憶装置114に保存されたファイルを、監視対象ファイル115と称する。
【0025】
サービス用OS110は、監視対象ファイル115にアクセスするためのカーネルとして、ファイルアクセス部111を有している。ファイルアクセス部111は、サービス用OS110上で稼働するソフトウェアとして構成しても構わない。
【0026】
サービス用OS110上には、ファイル監視装置100の機能ブロックとして、パラメータ取得部112が用意されている。パラメータ取得部112は、適宜、監視対象ファイル115にアクセスして、改ざんの有無の判定に使用される種々のパラメータを取得する。取得されたパラメータは、OS間通信部104を介して、セキュリティ用OS120側の機能ブロックに受け渡される。
【0027】
セキュリティ用OS120は、第2記憶装置122と称する磁気ディスクの所定領域を管理する。第2記憶装置122は、第1記憶装置114と区別されたメモリ領域であれば足り、必ずしもハードウェア的に両者を分ける必要はない。第2記憶装置122には、セキュリティ用OS120を介してアクセス可能であるが、サービス用OS110側の機能を用いて直接アクセスすることはできない。かかる意味で、第2記憶装置122の内容は、一般のユーザから秘匿されており、ファイル監視装置100外部から隔離されていることになる。
【0028】
第2記憶装置122には、ファイルの監視に使用される監視情報123が記憶されている。また、監視対象ファイル115が改ざんされた場合に、ファイルを復旧するためのバックアップファイル124も記憶されている。バックアップファイル124に関しては、第1記憶装置114に記憶させてもよい。
【0029】
セキュリティ用OS120上には、ファイル回復マネージャ121が構築されている。ファイル回復マネージャ121は、監視対象ファイル115の改ざんの有無を検出する機能、改ざんが検出された場合にファイルを復旧する機能の2つの機能を提供する。前者の機能は、パラメータ取得部112から受け取ったパラメータと、第2記憶装置122に記憶された監視情報123との比較によって行う。後者の復旧は、第2記憶装置122のバックアップファイル124を、監視対象ファイル115に上書きすることによって行う。
【0030】
図2は監視情報123の内容を示す説明図である。本実施例では、監視情報123として、ファイルの監視動作を行う監視タイミング、ファイルの改ざんを検知するための情報の2種類を、ファイルごとに記憶するものとした。図中の例では、”SYSTEM”ファイルの監視タイミングとして、毎日午前7時を意味する”AM0700”が記憶されている。監視タイミングは、このように時刻で指定してもよいし、監視を行う周期で指定してもよい。時刻で指定する場合には、曜日、日付などを合わせて指定可能とし、1週間、1月単位での監視を可能としてもよい。本実施例では、監視タイミングは、ファイルごとに個別に指定可能としたが、全ファイルで統一してもよい。但し、ファイルごとに個別に指定することにより、ファイルの監視処理が集中することを回避したり、ファイルの重要性に応じて監視頻度を設定したりして、監視負荷を調整することができる。
【0031】
後者の情報としては、ファイルのサイズ、最新の更新日付、ファイルのハッシュ値、ファイルへのアクセス権限に関する情報を用いる。アクセス権限とは、ファイルにアクセス可能なユーザ名を意味する。改ざんの有無を検出するために各ファイルについて登録されたこれらの情報を、以下、登録情報と称する。登録情報は、ここに例示したものに限らず、ファイルが改ざんされたことにより変動し得る他の情報を用いてもよいし、例示した情報の一部を省略しても差し支えない。
【0032】
B.ファイル監視処理:
図3はファイル監視処理のフローチャートである。右側にセキュリティ用OS120が実行する処理を示し、左側にサービス用OS110が実行する処理を示した。いずれの処理も、コンピュータのCPUが実行する処理であるが、以下、説明の便宜上、各OSが実行するように説明する。
【0033】
処理が開始されると、セキュリティ用OS120は、監視情報を入力する(ステップS20)。監視情報には、図2で説明した通り、監視タイミングと、監視用の登録情報が含まれている。本実施例では、監視情報は、ファイルごとに記憶されているため、ここでは、監視対象となるファイル名に応じた監視情報が読み込まれる。
【0034】
セキュリティ用OS120は、監視タイミングに該当する場合には(ステップS21)、OS間通信部104を介して、パラメータの取得指示をサービス用OS110に送信する(ステップS22)。パラメータとは、登録情報に対応した項目について、監視対象ファイルから得られる値を意味する。本実施例では、ファイルサイズ、更新日付、ハッシュ値、アクセス権限がパラメータに相当する。
【0035】
サービス用OS110は、この指示に応じて、監視対象となるファイルにアクセスし、これらのパラメータを取得する。このパラメータは、再びOS間通信部104を介して、セキュリティ用OS120に受け渡される。
【0036】
セキュリティ用OS120は、パラメータを受け取ると(ステップS23)、監視情報123に含まれる登録情報と比較し、改ざんの有無を判定する(ステップS24)。パラメータが全て一致する場合には、監視対象ファイルの改ざんはないものと判断され、一部でも異なる場合には、監視対象ファイルは改ざんされているものと判断される。
【0037】
改ざんされていると判断した場合、セキュリティ用OS120は、監視対象ファイルの復旧を試みる。即ち、バックアップファイル124を読み込み(ステップS25)、OS間通信部104を介して、サービス用OS110に、変更指示を出力する(ステップS26)。バックアップファイル124も、変更指示と併せて受け渡される。サービス用OS110は、受け取ったバックアップファイル124で、監視対象ファイルを上書きすることにより(ステップS12)、ファイルの復旧を行う。以上の処理を、各監視対象ファイルにつき、順次実行する。
【0038】
本実施例では、ファイルアクセス部111によって、監視対象ファイルへの上書きを行うものとしているが、セキュリティ用OS120側から直接上書きするよう構成してもよい。例えば、セキュリティ用OS120に、第1記憶装置114も管理可能な機能を持たせることにより実現することができる。こうすることにより、サービス用OS110のシステムファイルなどが改ざんされ、サービス用OS110自体が稼働不能となった場合でも、ファイルの復旧を行うことができる利点がある。
【0039】
C.ファイル更新処理:
図4はファイル更新処理のフローチャートである。監視対象となっているファイルを正規に更新する際の処理である。例えば、ユーザがアプリケーション113で監視対象ファイル115の改変を正規に行い、これを保存する場合の処理に相当する。
【0040】
処理が開始されると、サービス用OS110は、ファイルの更新指示を入力し(ステップS30)、OS間通信部104を介して、セキュリティ用OS120に送信する(ステップS31)。更新指示には、更新すべきファイル名、更新後のファイルが含まれる。本実施例では、サービス用OS110側で、更新指示を入力するものとしたが、セキュリティ用OS120側で入力するものとしてもよい。
【0041】
セキュリティ用OS120は、更新指示を受け取り(ステップS41)、登録情報を生成する(ステップS42)。例えば、更新後のファイルに基づいて、ファイルのサイズ、ハッシュ値などを算出する。登録情報の生成は、更新指示の送信に先立って、サービス用OS110側で行うものとしてもよい。こうして得られた登録情報を監視情報123として保存し、更新されたファイルをバックアップファイル124として保存する(ステップS43)。
【0042】
更新すべき対象は、第1記憶装置114に保存された監視対象ファイル115であるが、本実施例では、監視対象ファイル115の更新を直接行うことはせず、第2記憶装置122の監視情報およびバックアップファイルの更新を行う。この状態では、第1記憶装置114の監視対象ファイル115から得られるパラメータと、第2記憶装置の登録情報とに不整合が生じる。この状態で、ファイル監視処理を実行すれば、セキュリティ用OS120は、バックアップファイル124の内容で監視対象ファイル115の上書きを行う。この結果、監視対象ファイル115は間接的に更新される。
【0043】
D.効果:
以上で説明した実施例によれば、ファイル監視処理により、監視対象ファイルに対する改ざんの有無を検出し、改ざんされたファイルの復旧を行うことができる。本実施例では、監視情報をサービス用OS110から隔離した状態で保存しているため、監視情報の不正な改ざんを回避することができ、監視機能をより強固にすることができる。また、バックアップファイル124も同様に、隔離されているため、ファイルの回復機能も強固にすることができる。
【0044】
ファイル更新処理では、第2記憶装置122を更新することで間接的に第1記憶装置114の内容を更新する。かかる処理を行うことにより、アプリケーション113が直接、監視対象ファイル115を変更することを、禁止することができる。ファイルアクセス部111に、ファイル回復マネージャ121からの上書き指示が出された場合を除き、監視対象ファイル115への書き込みを禁止する機能を持たせればよい。こうすることにより、監視対象ファイル115の改ざんを回避しやすくなる利点がある。
【0045】
本実施例では、改ざんが検出された場合に、ファイルの回復処理を行うものとしているが(図3のステップS25,S26)、この処理を、検出結果の単なる表示等に置換してもよい。この場合、ファイルの回復処理は、管理者が別途、行えばよい。
【0046】
本実施例では、図4に示した処理でファイルの更新を行っているが、ファイルの更新は、必ずしもこの処理に依る必要はなく、アプリケーション113からの指示に基づいて直接更新することを許容してもよい。
【0047】
E.変形例:
実施例では、2つのOSを使い分けて、ファイルの監視機能を実現する場合を例示した。本発明は、単一のOSを用いて実現することもできる。図5は第1変形例としてのファイル監視装置100Aの概略構成を示す説明図である。第1実施例と同様の機能を奏する機能ブロックには、同一の番号を付して示した。
【0048】
ファイル監視装置100Aは、セキュリティ用OSは存在せず、単一のサービス用OS110A上によって稼働する。サービス用OS110Aは、ファイル回復マネージャ121Aの機能を実現するカーネルを備えている。ファイルアクセス部111A、ファイル回復マネージャ121Aは、第1実施例のようにOS間通信部104を介する必要なく、直接、情報の授受を行うことができる。
【0049】
ファイル回復マネージャ121Aは、第2記憶装置122を管理する機能も奏する。ファイルアクセス部111Aは、第2記憶装置122へのアクセスが禁じられている。このように限定的に動作するカーネルの管理下に、第2記憶装置122を置くことにより、実施例と同様、監視情報等の不正な改ざんを回避することができる。
【0050】
実施例では、情報処理装置にファイル監視装置が内蔵または一体的に構成されている場合を例示した。ファイル監視装置は、情報処理装置と別体であってもよい。図6は第2変形例としてのファイル監視装置110Bの概略構成を示す説明図である。
【0051】
ファイル監視装置110Bは、情報処理装置としてのクライアントコンピュータ114Bと、ネットワークINTを介して接続されている。ネットワークINTとしては、インターネットその他の広域的なネットワーク、LANその他の限定的なネットワーク等を用いることができる。
【0052】
ファイル監視装置110Bの内部構造は、第1実施例と同様である。但し、サービス用OS110は、情報処理装置内の監視対象ファイル115Bにネットワークを介してアクセスするためのネットワークインタフェース111Bを、備えている。ネットワークインタフェース111Bの機能は、ファイルの監視処理という観点では、実施例のファイルアクセス部と同じである。アプリケーション113は、省略しても差し支えない。また、第2変形例では、2つのOSを使い分ける装置の構成例を示したが、第1変形例の構成を適用してもよい。
【0053】
第2変形例では、ファイル監視処理におけるパラメータの取得、およびファイルの回復処理における監視対象ファイル115Bの上書きを、ネットワークINTで行う点で実施例と相違するものの、その他の処理は実施例と同一である。第2変形例によれば、ネットワークINTに接続された情報処理装置の監視対象ファイル115Bを遠隔的に監視し、復旧することができる。
【0054】
以上、本発明の種々の実施例について説明したが、本発明はこれらの実施例に限定されず、その趣旨を逸脱しない範囲で種々の構成を採ることができることはいうまでもない。例えば、以上の制御処理はソフトウェアで実現する他、ハードウェア的に実現するものとしてもよい。
【0055】
本実施例では、監視情報をソフトウェア的に外部から隔離する方法を例示したが、ハードウェア的に隔離してもよい。例えば、第2記憶装置122およびその管理回路を、第1記憶装置114等とは別のハードウェアとし、両者間の通信内容を制限する構成を採ることができる。
【0056】
【発明の効果】
本発明によれば、監視情報をアプリケーション113等で使用されるOSの管理下とは個別に管理することにより、監視情報が不正な改ざんの対象となることを回避することができ、ファイルへの改ざんの監視機能をより強固にすることができる。
【図面の簡単な説明】
【図1】実施例としてのファイル監視装置100の概略構成を示す説明図である。
【図2】監視情報123の内容を示す説明図である。
【図3】ファイル監視処理のフローチャートである。
【図4】ファイル更新処理のフローチャートである。
【図5】第1変形例としてのファイル監視装置100Aの概略構成を示す説明図である。
【図6】第2変形例としてのファイル監視装置110Bの概略構成を示す説明図である。
【符号の説明】
100、100A、100B…ファイル監視装置
102…マルチOS制御部
104…OS間通信部
110…サービス用OS
111、111A…ファイルアクセス部
111B…ネットワークインタフェース
112…パラメータ取得部
113…アプリケーション
114…第1記憶装置
114B…クライアントコンピュータ
115、115B…監視対象ファイル
120…セキュリティ用OS
121、121A…ファイル回復マネージャ
122…第2記憶装置
123…監視情報
124…バックアップファイル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a technique for monitoring unauthorized alteration of a file stored in an information processing device.
[0002]
[Prior art]
There is a problem that a file stored in the information processing device is illegally altered or destroyed by a virus or the like transmitted via the Internet (hereinafter, illegal alteration to a file is collectively referred to as “alteration”). ). As one of measures against these problems, for example, a technique described in JP-A-10-69417 and a technique described in JP-A-2001-337864 are cited. The former is a technology in which a resident file monitoring program is provided on an information processing apparatus to periodically monitor file tampering. The latter is a technique for preventing file falsification by permitting access to a file only when a condition defined in a policy is satisfied.
[0003]
[Problems to be solved by the invention]
However, the latter technique cannot detect if the file has been tampered with. In the former technique, there is a possibility that information itself such as a file monitoring program and a parameter setting file used for monitoring falsification of a file may be falsified. If such information is falsified, file monitoring may not function properly. As described above, in the related art, there is room for improvement in the reliability of monitoring the falsification of the file. This is a common problem not only due to a virus but also for illegal tampering of a file.
[0004]
[Means for Solving the Problems]
In order to solve at least a part of the above problems, the present invention provides a file monitoring device that monitors a file stored in an information processing device. This file monitoring device includes a file access unit, a monitoring information storage unit, a parameter acquisition unit, and a falsification determination unit. The file access unit is used for accessing a file. The monitoring information storage unit stores monitoring information for monitoring whether the file has been tampered with. The parameter acquisition unit acquires a parameter value corresponding to the monitoring information for the file to be monitored. The tampering determination unit compares the acquired parameter value with the monitoring information to determine whether there is tampering.
[0005]
The monitoring information storage unit is configured so that the file access unit cannot access the monitoring information. Such a configuration can be realized by separating the file access unit and the monitoring information storage unit in terms of hardware or software. Further, a configuration similar to a so-called firewall may be applied to restrict access to the monitoring information storage unit based on a predetermined rule. In other words, such a configuration can be expressed as a configuration in which the monitoring information storage unit is concealed from the outside of the file monitoring device, and a configuration in which general users cannot access the monitoring information storage unit. By applying such a configuration, it is possible to prevent the monitoring information from being targeted for unauthorized tampering, and it is possible to more reliably monitor tampering with the file.
[0006]
As the monitoring information, various information that can be changed by falsification of the file, for example, a file size, an update date, a hash value, a copy of the file itself, and the like can be used. If the file has been tampered with, the information obtained from the file after tampering is inconsistent with the monitoring information stored in the monitoring information storage unit, so that the presence or absence of tampering can be detected.
[0007]
When the access right is set for the file, information on the access right may be used as the monitoring information. This makes it possible to detect, for example, falsification in which a highly confidential file can be illegally viewed by an unspecified number of people.
[0008]
Various settings can be made for the timing at which the falsification determination unit makes the determination. For example, the determination may be made periodically in a preset period, or may be made in synchronization with the access by the file access unit.
[0009]
In the present invention, recovery information for recovering a falsified file may be stored together, and when falsification of the file is detected, the file may be recovered using this information. As the recovery information, for example, a backup file can be used. It is not always necessary to store the latest backup file, and the original backup file and log information relating to the modification performed thereafter may be stored together as recovery information.
[0010]
The recovery information can be handled in the same way as the file to be monitored, that is, saved so that the file access unit can access it. However, it is preferable that the recovery information be handled in the same way as the monitoring information. By doing so, the recovery information can be prevented from being falsified, and the file can be recovered more reliably.
[0011]
When recovering a file using recovery information, when update information for updating a file is input, recovery information and monitoring information may be updated instead of the file itself. Even if the file itself has not been updated, the file monitoring apparatus considers that the file has been tampered with and restores the file in accordance with the update of the monitoring information. Therefore, the file can be updated indirectly. By doing so, it is possible to maintain consistency with the monitoring information at the time of regular updating of the file.
[0012]
In the present invention, modification to a file may be prohibited in principle, and modification may be permitted only at the time of file recovery. Regular updating of the file can be realized by updating the recovery information as described above. By restricting the alteration of the file in this way, it is possible to further prevent unauthorized alteration of the file.
[0013]
In the present invention, it is preferable to change the condition for judging falsification according to the file to be monitored. The condition for performing the determination means, for example, the timing for performing the determination, the type of monitoring information used for the determination, and the like. By changing these conditions according to the file, the monitoring load can be adjusted in response to a request for falsification prevention for each file.
[0014]
In the present invention, the method of separating the monitoring information storage unit and the file access unit by software can be realized in various modes. As an example, both may be operated by different operating systems (hereinafter, referred to as “OS”). The file access unit operates on the first OS. The function of accessing the monitoring information storage unit is provided by a second OS that operates using hardware resources separated from the first OS. A communication unit that controls transmission and reception of information is provided between the first OS and the second OS. Further, a multi-OS control unit that realizes a function of distributing hardware resources of the first OS and the second OS may be provided. When the recovery information described above is used, it is preferable that the function of accessing the recovery information storage unit is also applied to the second OS.
[0015]
The determination of tampering requires a parameter value obtained by the first OS through file access and monitoring information obtained from the monitoring information storage unit by the second OS. Therefore, at the time of determination of tampering, these pieces of information are obtained via the communication unit. In the case where the falsification is determined by the first OS, the monitoring information is obtained via the communication unit. When the falsification is determined by the second OS, the parameter value is obtained via the communication unit. When the falsification determination unit is configured by software, the latter mode is preferable in order to prevent the program file itself from being falsified.
[0016]
The separation between the monitoring information storage unit and the file access unit does not necessarily need to use a plurality of OSs, but may be realized by a single OS. For example, the file access unit may be configured as a basic module (hereinafter, referred to as “kernel”) provided by the OS, and access to the monitoring information storage unit may be configured as a kernel different from that of the file access unit. Similarly, access to the recovery information storage unit may be configured as a kernel different from that of the file access unit.
[0017]
The present invention does not need to include all of the various features described above, and may be configured by appropriately omitting or combining some of them. The file monitoring device of the present invention may be built in the information processing device or may be configured separately. In the latter, the information processing device and the file monitoring device are connected by a communication line such as a local connection or a network, and the file access unit accesses a file in the information processing device via the communication line. Further, the file monitoring device may be realized in cooperation with a plurality of hardware.
[0018]
According to the present invention, a file used by an application program may be monitored, but it is more preferable to monitor a file, such as a system file or a confidential file, which has a strong demand for falsification prevention and whose update frequency is relatively low. preferable.
[0019]
The present invention may be configured as a file monitoring method using a computer, in addition to the above-described embodiment as a file monitoring device. Further, by being installed in a computer, it may be configured as a computer program for configuring the above-described file monitoring device and a storage medium storing the computer program. Here, examples of the storage medium include a flexible disk, a CD-ROM, a DVD, a magneto-optical disk, an IC card, a ROM cartridge, a punched card, a printed matter on which a code such as a barcode is printed, and a computer internal storage device (RAM or ROM A variety of computer-readable media are available, such as a memory (e.g., memory) and external storage.
[0020]
BEST MODE FOR CARRYING OUT THE INVENTION
Embodiments of the present invention will be described in the following order.
A. Device configuration:
B. File monitoring process:
C. File update processing:
D. effect:
E. FIG. Modification:
[0021]
A. Device configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of a file monitoring device 100 as an embodiment. The file monitoring device 100 is constructed by installing software for realizing each functional block illustrated in a general-purpose computer. In the present embodiment, an application program 113 (hereinafter, simply referred to as “application”) that runs on the service OS 110 is also installed in the computer, and also functions as an information processing device that performs processing according to the application 113. . In the present embodiment, the file monitoring device 100 is built in or integrated with the information processing device.
[0022]
The computer is operated by two types of OS, a service OS 110 and a security OS 120. For example, Windows (trademark) can be used as the service OS 110, and LINUX (trademark) can be used as the security OS, for example. The service OS 110 and the security OS 120 may be unified with the same type of OS.
[0023]
The operations of the two types of OSs are controlled by the multi-OS control unit 102. The multi-OS control unit 102 first provides a hardware resource division function, that is, a function of appropriately allocating computer hardware resources such as CPU time, memory, external devices, and timers to the service OS 110 and the security OS 120. . The second function of the multi-OS control unit 102 is a function that mediates communication between the service OS 110 and the security OS 120. This function is provided by the inter-OS communication unit 104 provided in the multi-OS control unit 102. Since various kinds of software corresponding to the multi-OS control unit 102 are known, detailed description is omitted here.
[0024]
On the service OS 110, an application 113 for a user to perform various information processing is operated. In addition, the service OS 110 manages a predetermined area of the magnetic disk called the first storage device 114. Various files used by the application 113, system files, and the like are stored in the first storage device 114. In the present embodiment, these files correspond to files to be protected from tampering. Hereinafter, the file stored in the first storage device 114 is referred to as a monitoring target file 115.
[0025]
The service OS 110 has a file access unit 111 as a kernel for accessing the monitoring target file 115. The file access unit 111 may be configured as software running on the service OS 110.
[0026]
A parameter acquisition unit 112 is provided on the service OS 110 as a functional block of the file monitoring device 100. The parameter acquisition unit 112 appropriately accesses the monitoring target file 115 and acquires various parameters used for determining whether there is tampering. The obtained parameters are transferred to the functional blocks on the security OS 120 side via the inter-OS communication unit 104.
[0027]
The security OS 120 manages a predetermined area of a magnetic disk called a second storage device 122. The second storage device 122 only needs to be a memory area that is distinguished from the first storage device 114, and it is not always necessary to separate the two in terms of hardware. The second storage device 122 can be accessed via the security OS 120, but cannot be directly accessed using the function of the service OS 110. In this sense, the contents of the second storage device 122 are kept secret from general users, and are isolated from the outside of the file monitoring device 100.
[0028]
The second storage device 122 stores monitoring information 123 used for monitoring a file. Also, a backup file 124 for restoring the file to be monitored when the monitoring target file 115 has been tampered with is stored. The backup file 124 may be stored in the first storage device 114.
[0029]
On the security OS 120, a file recovery manager 121 is constructed. The file recovery manager 121 provides two functions: a function of detecting whether the monitoring target file 115 has been tampered with, and a function of restoring the file when tampering has been detected. The former function is performed by comparing the parameters received from the parameter acquisition unit 112 with the monitoring information 123 stored in the second storage device 122. The latter recovery is performed by overwriting the backup file 124 of the second storage device 122 with the monitoring target file 115.
[0030]
FIG. 2 is an explanatory diagram showing the contents of the monitoring information 123. In this embodiment, as the monitoring information 123, two types of monitoring timing for performing a file monitoring operation and information for detecting falsification of a file are stored for each file. In the example in the figure, “AM0700”, which means 7:00 am every day, is stored as the monitoring timing of the “SYSTEM” file. The monitoring timing may be specified by the time as described above, or may be specified by a monitoring cycle. When the time is specified, the day of the week, the date, and the like may be specified together, and monitoring may be performed on a weekly or monthly basis. In the present embodiment, the monitoring timing can be individually specified for each file, but may be unified for all files. However, by individually specifying each file, the monitoring load can be adjusted by avoiding the concentration of file monitoring processing, or by setting the monitoring frequency according to the importance of the file.
[0031]
As the latter information, information on the file size, the latest update date, the hash value of the file, and the access right to the file is used. The access authority means a user name that can access the file. Such information registered for each file in order to detect the presence or absence of tampering is hereinafter referred to as registration information. The registration information is not limited to the information illustrated here, and other information that may change due to falsification of the file may be used, or a part of the illustrated information may be omitted.
[0032]
B. File monitoring process:
FIG. 3 is a flowchart of the file monitoring process. The right side shows the processing executed by the security OS 120, and the left side shows the processing executed by the service OS 110. Each of the processes is a process executed by the CPU of the computer, but for convenience of explanation, the following description will be made such that each OS executes the process.
[0033]
When the processing is started, the security OS 120 inputs monitoring information (step S20). As described with reference to FIG. 2, the monitoring information includes monitoring timing and monitoring registration information. In the present embodiment, since the monitoring information is stored for each file, here, the monitoring information corresponding to the file name to be monitored is read.
[0034]
When the security timing corresponds to the monitoring timing (step S21), the security OS 120 transmits a parameter acquisition instruction to the service OS 110 via the inter-OS communication unit 104 (step S22). The parameter means a value obtained from the monitoring target file for the item corresponding to the registration information. In the present embodiment, the file size, the update date, the hash value, and the access right correspond to the parameters.
[0035]
In response to this instruction, the service OS 110 accesses a file to be monitored and acquires these parameters. This parameter is transferred to the security OS 120 via the inter-OS communication unit 104 again.
[0036]
Upon receiving the parameter (step S23), the security OS 120 compares the parameter with the registration information included in the monitoring information 123, and determines whether or not tampering has been performed (step S24). If all the parameters match, it is determined that the monitoring target file has not been tampered. If any of the parameters are different, it is determined that the monitoring target file has been tampered.
[0037]
If it is determined that the file has been tampered with, the security OS 120 attempts to recover the monitoring target file. That is, the backup file 124 is read (step S25), and a change instruction is output to the service OS 110 via the inter-OS communication unit 104 (step S26). The backup file 124 is also delivered together with the change instruction. The service OS 110 restores the file by overwriting the monitoring target file with the received backup file 124 (step S12). The above processing is sequentially executed for each monitoring target file.
[0038]
In this embodiment, the file access unit 111 overwrites the file to be monitored. However, the file may be directly overwritten from the security OS 120 side. For example, it can be realized by providing the security OS 120 with a function capable of managing the first storage device 114 as well. By doing so, there is an advantage that the file can be restored even if the system file of the service OS 110 is falsified and the service OS 110 itself becomes inoperable.
[0039]
C. File update processing:
FIG. 4 is a flowchart of the file update process. This is the process when the file to be monitored is updated regularly. For example, this corresponds to a process in which the user modifies the monitoring target file 115 with the application 113 and saves it.
[0040]
When the process is started, the service OS 110 inputs a file update instruction (step S30) and transmits the file update instruction to the security OS 120 via the inter-OS communication unit 104 (step S31). The update instruction includes a file name to be updated and a file after the update. In the present embodiment, the update instruction is input on the service OS 110 side, but may be input on the security OS 120 side.
[0041]
The security OS 120 receives the update instruction (Step S41) and generates registration information (Step S42). For example, based on the updated file, a file size, a hash value, and the like are calculated. The generation of the registration information may be performed on the service OS 110 side before transmitting the update instruction. The obtained registration information is stored as monitoring information 123, and the updated file is stored as a backup file 124 (step S43).
[0042]
The target to be updated is the monitoring target file 115 stored in the first storage device 114. In the present embodiment, the monitoring target file 115 is not directly updated, and the monitoring information in the second storage device 122 is not updated. And update the backup file. In this state, a mismatch occurs between a parameter obtained from the monitoring target file 115 in the first storage device 114 and registration information in the second storage device. If the file monitoring process is executed in this state, the security OS 120 overwrites the monitoring target file 115 with the contents of the backup file 124. As a result, the monitoring target file 115 is indirectly updated.
[0043]
D. effect:
According to the embodiment described above, it is possible to detect the falsification of the monitoring target file by the file monitoring process and recover the falsified file. In this embodiment, since the monitoring information is stored in a state isolated from the service OS 110, unauthorized alteration of the monitoring information can be avoided, and the monitoring function can be further strengthened. Also, since the backup file 124 is similarly isolated, the file recovery function can be strengthened.
[0044]
In the file update process, the contents of the first storage device 114 are indirectly updated by updating the second storage device 122. By performing such processing, it is possible to prohibit the application 113 from directly changing the monitoring target file 115. It is sufficient that the file access unit 111 has a function of prohibiting writing to the monitoring target file 115 unless an overwrite instruction is issued from the file recovery manager 121. By doing so, there is an advantage that the falsification of the monitoring target file 115 can be easily avoided.
[0045]
In the present embodiment, when falsification is detected, a file recovery process is performed (steps S25 and S26 in FIG. 3), but this process may be replaced with a simple display of the detection result. In this case, the administrator may separately perform the file recovery processing.
[0046]
In the present embodiment, the file is updated by the process shown in FIG. 4, but the file update does not necessarily have to be performed by this process, and it is permitted that the file is directly updated based on an instruction from the application 113. You may.
[0047]
E. FIG. Modification:
In the embodiment, the case where the two OSs are selectively used to realize the file monitoring function is illustrated. The present invention can be realized by using a single OS. FIG. 5 is an explanatory diagram showing a schematic configuration of a file monitoring device 100A as a first modification. Functional blocks having the same functions as in the first embodiment are denoted by the same reference numerals.
[0048]
The file monitoring device 100A has no security OS, and operates on a single service OS 110A. The service OS 110A includes a kernel that realizes the function of the file recovery manager 121A. The file access unit 111A and the file recovery manager 121A can directly send and receive information without having to go through the inter-OS communication unit 104 as in the first embodiment.
[0049]
The file recovery manager 121A also has a function of managing the second storage device 122. The file access unit 111A is prohibited from accessing the second storage device 122. By placing the second storage device 122 under the control of the kernel that operates in a limited manner as described above, it is possible to avoid unauthorized tampering of monitoring information and the like as in the embodiment.
[0050]
In the embodiment, the case where the file monitoring apparatus is built in or integrated with the information processing apparatus is illustrated. The file monitoring device may be separate from the information processing device. FIG. 6 is an explanatory diagram showing a schematic configuration of a file monitoring device 110B as a second modification.
[0051]
The file monitoring device 110B is connected to a client computer 114B as an information processing device via a network INT. As the network INT, a wide area network such as the Internet, a LAN, or another limited network can be used.
[0052]
The internal structure of the file monitoring device 110B is the same as in the first embodiment. However, the service OS 110 includes a network interface 111B for accessing the monitoring target file 115B in the information processing apparatus via a network. The function of the network interface 111B is the same as that of the file access unit of the embodiment from the viewpoint of file monitoring processing. The application 113 may be omitted. Further, in the second modified example, the configuration example of the device that uses two OSs properly has been described, but the configuration of the first modified example may be applied.
[0053]
The second modification is different from the embodiment in that the acquisition of parameters in the file monitoring process and the overwriting of the monitoring target file 115B in the file recovery process are performed on the network INT, but other processes are the same as the embodiment. is there. According to the second modification, the monitoring target file 115B of the information processing device connected to the network INT can be remotely monitored and restored.
[0054]
Although various embodiments of the present invention have been described above, the present invention is not limited to these embodiments, and it goes without saying that various configurations can be adopted without departing from the spirit of the present invention. For example, the above-described control processing may be realized by software or by hardware.
[0055]
In the present embodiment, the method of isolating the monitoring information from the outside by software is exemplified, but the monitoring information may be isolated by hardware. For example, it is possible to adopt a configuration in which the second storage device 122 and its management circuit are hardware different from the first storage device 114 and the like, and the communication between them is restricted.
[0056]
【The invention's effect】
According to the present invention, by monitoring the monitoring information separately from the management of the OS used by the application 113 or the like, it is possible to prevent the monitoring information from being subject to unauthorized tampering, and The monitoring function of tampering can be strengthened.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram showing a schematic configuration of a file monitoring device 100 as an embodiment.
FIG. 2 is an explanatory diagram showing the contents of monitoring information 123.
FIG. 3 is a flowchart of a file monitoring process.
FIG. 4 is a flowchart of a file update process.
FIG. 5 is an explanatory diagram showing a schematic configuration of a file monitoring device 100A as a first modified example.
FIG. 6 is an explanatory diagram showing a schematic configuration of a file monitoring device 110B as a second modification.
[Explanation of symbols]
100, 100A, 100B ... file monitoring device
102: Multi-OS control unit
104: Inter-OS communication unit
110 ... Service OS
111, 111A: File access unit
111B ... Network interface
112 ... parameter acquisition unit
113 ... Application
114 ... First storage device
114B ... Client computer
115, 115B ... monitoring target file
120 ... Security OS
121, 121A: File recovery manager
122: second storage device
123 monitoring information
124 ... Backup file

Claims (10)

情報処理装置に保存されたファイルを監視するファイル監視装置であって、
前記ファイルにアクセスするためのファイルアクセス部と、
前記ファイルに対する改ざんの有無を監視するための監視情報を記憶する監視情報記憶部と、
監視対象のファイルについて、前記監視情報に対応したパラメータ値を取得するパラメータ取得部と、
該パラメータ値と前記監視情報とを比較して、前記改ざんの有無を判定する改ざん判定部とを備え、
前記監視情報記憶部は、前記ファイルアクセス部による該監視情報へのアクセスが不能に構成されているファイル監視装置。A file monitoring device that monitors a file stored in an information processing device,
A file access unit for accessing the file;
A monitoring information storage unit that stores monitoring information for monitoring whether the file has been tampered with;
For a file to be monitored, a parameter acquisition unit that acquires a parameter value corresponding to the monitoring information,
Comparing the parameter value and the monitoring information, comprising a falsification determination unit that determines the presence or absence of the falsification,
The file monitoring device, wherein the monitoring information storage unit is configured so that the file access unit cannot access the monitoring information. 請求項1記載のファイル監視装置であって、
改ざんされたファイルを復旧するための復旧情報を併せて記憶する復旧情報記憶部と、
前記改ざんが検出された場合には、前記復旧情報を用いて、該改ざんされたファイルの復旧を行うファイル復旧部を備えるファイル監視装置。The file monitoring device according to claim 1, wherein
A recovery information storage unit that also stores recovery information for recovering the falsified file;
A file monitoring device comprising: a file recovery unit that recovers the falsified file using the recovery information when the falsification is detected. 請求項2記載のファイル監視装置であって、
前記復旧情報記憶部は、前記ファイルアクセス部による該復旧情報へのアクセスが不能に構成されているファイル監視装置。3. The file monitoring device according to claim 2, wherein
The file monitoring device, wherein the restoration information storage unit is configured to be inaccessible to the restoration information by the file access unit. 請求項2または3記載のファイル監視装置であって、
前記ファイルを正規に更新するための更新情報を入力する更新情報入力部と、該更新情報に基づき、前記復旧情報および前記監視情報を更新する更新部を備えるファイル監視装置。The file monitoring device according to claim 2 or 3,
A file monitoring device, comprising: an update information input unit that inputs update information for updating the file in a regular manner; and an update unit that updates the recovery information and the monitoring information based on the update information. 請求項2〜4いずれか記載のファイル監視装置であって、
前記ファイルアクセス部は、前記ファイル復旧部に依らない前記ファイルに対する改変を禁止するファイル監視装置。The file monitoring device according to any one of claims 2 to 4,
A file monitoring device, wherein the file access unit prohibits modification of the file without relying on the file recovery unit. 請求項1〜5記載のファイル監視装置であって、
前記監視対象のファイルに応じて、前記改ざん判定部による判定に関する条件を変更する判定条件制御部を備えるファイル監視装置。The file monitoring device according to claim 1, wherein:
A file monitoring device comprising: a determination condition control unit that changes a condition regarding determination by the falsification determination unit according to the file to be monitored. 請求項1〜6記載のファイル監視装置であって、
前記ファイルアクセス部を動作させるための第1オペレーティングシステムと、
該第1オペレーティングシステムから分離されたハードウェア資源を用いて稼働する第2オペレーティングシステムと、
該第1オペレーティングシステムおよび第2オペレーティングシステム間での情報の授受を制御する通信部とを備え、
前記監視情報記憶部にアクセスする機能は、前記第2オペレーティングシステムによって提供され、
前記改ざん判定部は、前記通信部を用いて前記パラメータ値と前記監視情報を取得するファイル監視装置。The file monitoring device according to claim 1, wherein:
A first operating system for operating the file access unit;
A second operating system that operates using hardware resources separated from the first operating system;
A communication unit that controls transmission and reception of information between the first operating system and the second operating system;
The function of accessing the monitoring information storage unit is provided by the second operating system,
The falsification determination unit is a file monitoring device that acquires the parameter value and the monitoring information using the communication unit. 情報処理装置に保存されたファイルを監視するファイル監視方法であって、
前記ファイルへのアクセスを行うためのプロセスと同一のプロセスでのアクセスが禁じられた状態で管理され、前記ファイルに対する改ざんの有無を監視するための監視情報を取得する工程と、
監視対象のファイルについて、前記監視情報に対応したパラメータ値を取得する工程と、
該パラメータ値と前記監視情報とを比較して、前記改ざんの有無を判定する工程とを備えるファイル監視方法。A file monitoring method for monitoring a file stored in an information processing device,
A step of acquiring monitoring information for monitoring the presence or absence of tampering with the file, which is managed in a state where access in the same process as the process for accessing the file is prohibited,
For a file to be monitored, a step of acquiring a parameter value corresponding to the monitoring information,
Comparing the parameter value with the monitoring information to determine whether the data has been tampered with. 情報処理装置に保存されたファイルを監視するためのコンピュータプログラムであって、
前記ファイルにアクセスするためのファイルアクセス機能と、
前記ファイルに対する改ざんの有無を監視するための監視情報を管理する監視情報管理機能と、
監視対象のファイルについて、前記監視情報に対応したパラメータ値を取得する機能と、
該パラメータ値と前記監視情報とを比較して、前記改ざんの有無を判定する機能とを実現し、
前記監視情報管理機能は、前記ファイルアクセス機能による前記監視情報に対するアクセスが不能となる態様で提供されるコンピュータプログラム。A computer program for monitoring a file stored in an information processing device,
A file access function for accessing the file;
A monitoring information management function for managing monitoring information for monitoring whether the file has been tampered with;
A function of acquiring a parameter value corresponding to the monitoring information for a file to be monitored,
By comparing the parameter value and the monitoring information, to implement the function of determining the presence or absence of the falsification,
A computer program provided in a mode in which the monitoring information management function makes it impossible to access the monitoring information by the file access function. 請求項8記載のコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体。A computer-readable recording medium on which the computer program according to claim 8 is recorded.
JP2002167515A 2002-06-07 2002-06-07 File monitoring device Pending JP2004013607A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002167515A JP2004013607A (en) 2002-06-07 2002-06-07 File monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002167515A JP2004013607A (en) 2002-06-07 2002-06-07 File monitoring device

Publications (1)

Publication Number Publication Date
JP2004013607A true JP2004013607A (en) 2004-01-15

Family

ID=30434732

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002167515A Pending JP2004013607A (en) 2002-06-07 2002-06-07 File monitoring device

Country Status (1)

Country Link
JP (1) JP2004013607A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005353090A (en) * 2004-06-10 2005-12-22 Marvell World Trade Ltd Low power computer having main and auxiliary processors
JP2006079147A (en) * 2004-09-07 2006-03-23 Fuji Xerox Co Ltd File management device
WO2008047830A1 (en) 2006-10-20 2008-04-24 Panasonic Corporation Application information falsification monitoring device and method
JP2008152776A (en) * 2006-12-12 2008-07-03 Secunet Security Networks Ag Method for processing secure data on computer with safety operating system
JP2009140485A (en) * 2007-11-13 2009-06-25 Intel Corp Method and system for whitelisting software component
JP2009282751A (en) * 2008-05-22 2009-12-03 Toyota Infotechnology Center Co Ltd Program inspection system and method
JP2010055318A (en) * 2008-08-27 2010-03-11 Hitachi Ltd Computer system having hypervisor
JP2010211453A (en) * 2009-03-10 2010-09-24 Yamatake Corp File tampering check method and device
KR101034415B1 (en) * 2004-12-21 2011-05-12 마이크로소프트 코포레이션 Computer security management, such as in a virtual machine or hardened operating system
WO2015001614A1 (en) 2013-07-02 2015-01-08 富士通株式会社 Machine provision method, machine provision system, and machine provision program
JP2015069403A (en) * 2013-09-30 2015-04-13 クラリオン株式会社 Program execution control system
JP2020501209A (en) * 2016-12-29 2020-01-16 ドロップボックス, インコーポレイテッド Malware detection and restoration of content items
WO2022153410A1 (en) * 2021-01-13 2022-07-21 日本電信電話株式会社 Falsification detection device, falsification detection method, and falsification detection program

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005353090A (en) * 2004-06-10 2005-12-22 Marvell World Trade Ltd Low power computer having main and auxiliary processors
JP4729890B2 (en) * 2004-09-07 2011-07-20 富士ゼロックス株式会社 File management device
JP2006079147A (en) * 2004-09-07 2006-03-23 Fuji Xerox Co Ltd File management device
KR101034415B1 (en) * 2004-12-21 2011-05-12 마이크로소프트 코포레이션 Computer security management, such as in a virtual machine or hardened operating system
WO2008047830A1 (en) 2006-10-20 2008-04-24 Panasonic Corporation Application information falsification monitoring device and method
JPWO2008047830A1 (en) * 2006-10-20 2010-02-25 パナソニック株式会社 Application information alteration monitoring device and method
JP2008152776A (en) * 2006-12-12 2008-07-03 Secunet Security Networks Ag Method for processing secure data on computer with safety operating system
JP2009140485A (en) * 2007-11-13 2009-06-25 Intel Corp Method and system for whitelisting software component
JP2009282751A (en) * 2008-05-22 2009-12-03 Toyota Infotechnology Center Co Ltd Program inspection system and method
JP2010055318A (en) * 2008-08-27 2010-03-11 Hitachi Ltd Computer system having hypervisor
JP2010211453A (en) * 2009-03-10 2010-09-24 Yamatake Corp File tampering check method and device
WO2015001614A1 (en) 2013-07-02 2015-01-08 富士通株式会社 Machine provision method, machine provision system, and machine provision program
JP2015069403A (en) * 2013-09-30 2015-04-13 クラリオン株式会社 Program execution control system
JP2020501209A (en) * 2016-12-29 2020-01-16 ドロップボックス, インコーポレイテッド Malware detection and restoration of content items
US11580221B2 (en) 2016-12-29 2023-02-14 Dropbox, Inc. Malware detection and content item recovery
WO2022153410A1 (en) * 2021-01-13 2022-07-21 日本電信電話株式会社 Falsification detection device, falsification detection method, and falsification detection program

Similar Documents

Publication Publication Date Title
CA2732831C (en) Secure computing environment using a client heartbeat to address theft and unauthorized access
US9117092B2 (en) Approaches for a location aware client
AU2010315412B2 (en) Approaches for ensuring data security
US7478250B2 (en) System and method for real-time detection of computer system files intrusion
US7421589B2 (en) System and method for lost data destruction of electronic data stored on a portable electronic device using a security interval
US20120096565A1 (en) Device, method and system to prevent tampering with network content
JP2004013607A (en) File monitoring device
US11341245B1 (en) Secure delivery of software updates to an isolated recovery environment
Ford et al. SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-007
Simmel et al. SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-004