JP2006293853A - 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法 - Google Patents

秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法 Download PDF

Info

Publication number
JP2006293853A
JP2006293853A JP2005116148A JP2005116148A JP2006293853A JP 2006293853 A JP2006293853 A JP 2006293853A JP 2005116148 A JP2005116148 A JP 2005116148A JP 2005116148 A JP2005116148 A JP 2005116148A JP 2006293853 A JP2006293853 A JP 2006293853A
Authority
JP
Japan
Prior art keywords
information
secret information
unit
dump image
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005116148A
Other languages
English (en)
Inventor
Takashi Suzuki
敬 鈴木
Hiroshi Fujimoto
拓 藤本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2005116148A priority Critical patent/JP2006293853A/ja
Publication of JP2006293853A publication Critical patent/JP2006293853A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】ダンプイメージを提供する際、ダンプイメージに含まれる秘密情報を保護し、かつ、コストを抑制しつつ、必要に応じて十分な情報を提供することを可能にする秘密情報保護システム、秘密情報保護システムと通信するダンプイメージ管理サーバ、及び、秘密情報保護方法を提供することを目的とする。
【解決手段】秘密情報入力監視部105が、記憶領域において、秘密情報が格納されたアドレスを取得する。秘密情報周辺領域特定部141が、アドレスに基づいて、秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定し、秘密情報秘匿部142が、秘密情報周辺領域に格納されている秘密情報周辺情報を秘匿する。一方、秘密情報領域特定部154が、アドレスと、記憶領域において秘密情報が伝播する伝播ルートとに基づいて、秘密情報領域を特定し、秘密情報秘匿部155が、秘密情報領域に格納されている秘密情報を秘匿する。
【選択図】図2

Description

本発明は、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護システム、秘密情報保護システムと通信するダンプイメージ管理サーバ及び秘密情報保護方法に関する。
稼働中の計算機に障害が発生した直後のメモリには、障害発生直前のプログラムの状態、入力データ、実行中の関数等、障害原因の解析に必要な情報が含まれている。このため、障害発生直後のプログラム実行コンテキスト、即ち、プログラムによって利用される記憶領域の状態を不揮発メモリに出力したダンプイメージが障害原因解析に広く用いられている。
このダンプイメージには、秘密情報が含まれる場合がある。例えば、パスワードの入力を促すプログラムや、コンテンツの暗号化を行うプログラムが実行される際には、入力されたパスワードや、暗号化前のコンテンツ等が、プログラムによって利用される記憶領域に展開される。このような秘密情報が、プログラムによって利用される記憶領域に展開されている際にダンプが行われた場合には、ダンプイメージには秘密情報が含まれることとなる。
このように、不揮発メモリに出力されたダンプイメージに含まれる秘密情報は漏洩する可能性がある。
従来、ダンプイメージに格納された秘密情報を保護するための技術が提案されている。例えば、ダンプイメージを出力する際に、各プログラムによって生成されたプロセスの内、秘密情報を扱うプロセスを選択し、選択されたプロセスよって使用されていた全てのメモリ領域に対応する領域に格納された情報を暗号化する技術が提案されている(例えば、特許文献1参照。)。
但し、上記従来技術のように、プロセスによって使用されるメモリ領域全体を対象として暗号化処理を行う場合には、秘密情報へのアクセス権限がある者しか、障害を解析し、プログラムのデバッグを行うことができない。このため、秘密情報が格納された領域をより詳細に特定し、秘密情報が格納された領域のみを対象として暗号化等によって保護する方法が考えられる。
特開2003−186749号公報
しかしながら、秘密情報が格納された領域のみを過不足無く保護するためには、例えば、秘密情報が格納された変数の伝播規則を利用して、ダンプが行われた際の秘密情報の伝播先アドレスを特定する等の処理が必要となる。このため、秘密情報が格納された領域のみを過不足無く保護することにより、処理コストが増大する。
又、デバッグのためにダンプイメージの解析を行う際に必要とされる情報量は、既に取得されている障害報告の数や、その障害のデバッグの進捗等により異なる。例えば、既に多くの報告がなされ、デバッグも完了している障害については、プログラムを特定する情報と、プログラム異常動作時に実行されていた関数、環境変数、メモリに読み込まれていたライブラリの情報等が取得できれば、既に取得された障害報告から、同等の事例を検索することができる。このため、容易に対処方法を提示することが可能である。一方、障害報告の数が少なく、デバッグも初期の段階にある障害については、動的変数のメモリ領域やスタック領域等、プログラムのダンプイメージからできるだけ多くの情報を取得することが望ましい。
そこで、本発明は、以上の点に鑑みてなされたもので、ダンプイメージを提供する際、ダンプイメージに含まれる秘密情報を保護し、かつ、コストを抑制しつつ、必要に応じて十分な情報を提供することを可能にする秘密情報保護システム、秘密情報保護システムと通信するダンプイメージ管理サーバ、及び、秘密情報保護方法を提供することを目的とする。
本発明の第1の特徴は、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護システムであって、前記記憶領域に格納される情報を前記ダンプイメージとして出力する出力部と、前記ダンプイメージを保持するダンプイメージ保持部と、前記記憶領域に、前記秘密情報が入力されたことを検出し、前記秘密情報が格納された前記記憶領域におけるアドレスを取得する秘密情報検出部と、前記アドレスに基づいて、前記ダンプイメージの内、前記秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定する第1領域特定部と、前記秘密情報周辺領域に格納されている前記秘密情報周辺情報を秘匿する第1秘匿部と、前記アドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて、前記ダンプイメージの内、前記秘密情報領域を特定する第2領域特定部と、前記秘密情報領域に格納されている前記秘密情報を秘匿する第2秘匿部とを備えることを要旨とする。
第1の特徴にかかる秘密情報保護システムによれば、秘密情報検出部が、記憶領域に秘密情報が入力されたことを検出し、秘密情報が格納された記憶領域におけるアドレスを取得する。又、第1領域特定部が、アドレスに基づいて、ダンプイメージの内、秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定し、第1秘匿部が、秘密情報周辺領域に格納されている秘密情報周辺情報を秘匿する。一方、第2領域特定部が、アドレスと、記憶領域において秘密情報が伝播する伝播ルートとに基づいて、ダンプイメージの内、秘密情報領域を特定し、第2秘匿部が、秘密情報領域に格納されている秘密情報を秘匿する。
このため、ダンプイメージを提供する際、必要に応じて、第1秘匿部によって秘密情報周辺情報が秘匿されたダンプイメージか、又は、第2秘匿部によって秘密情報が秘匿されたダンプイメージを提供することが可能になる。従って、ダンプイメージを提供する際、ダンプイメージに含まれる秘密情報を保護し、かつ、コストを抑制しつつ、必要に応じて十分な情報を提供することが可能になる。
第1の特徴に係る秘密情報保護システムは、前記秘密情報検出部によって取得された前記アドレスを保持するアドレス保持部と、前記秘密情報の入力先である変数と、前記変数が格納される前記記憶領域におけるアドレスとの対応を示すアドレス変換規則を取得するアドレス変換規則取得部と、前記変数と、前記変数に入力された情報が伝播する他の変数との対応を示す伝播規則を取得する伝播規則取得部とを更に備え、前記秘密情報検出部は、前記記憶領域に、セキュリティ属性を有する情報が入力された場合に、前記秘密情報が入力されたことを検出し、前記第2領域特定部は、前記アドレス保持部によって保持されるアドレスと、前記アドレス変換規則及び前記伝播規則に基づいて特定される伝播ルートとに基づいて、前記秘密情報領域を特定するように構成されていてもよい。
第1の特徴に係る秘密情報保護システムは、前記第1秘匿部によって、前記秘密情報周辺情報が秘匿されたダンプイメージを送信する第1送信部と、前記第2秘匿部によって、前記秘密情報が秘匿されたダンプイメージの送信を要求する第2保護情報要求を受信する受信部と、前記第2保護情報要求の応答として前記第2秘匿部によって前記秘密情報が秘匿されたダンプイメージを送信する第2送信部とを更に備えてもよい。
第1の特徴に係る秘密情報保護システムにおいて、ダンプイメージ保持部は、前記ダンプイメージを識別する識別情報と、前記ダンプイメージとを関連づけて保持し、前記第1送信部は、前記秘密情報周辺情報が秘匿されたダンプイメージと、前記ダンプイメージを識別する前記識別情報とを関連づけて送信し、前記受信部は、前記識別情報を含む前記第2保護情報要求を受信し、前記第2送信部は、前記第2保護情報要求に含まれる前記識別情報によって識別される前記ダンプイメージに含まれる秘密情報が秘匿された情報を送信してもよい。
第1の特徴に係る秘密情報保護システムにおいて、前記第2保護情報要求は、前記アドレス変換規則と、前記伝播規則とを含み、前記アドレス変換規則取得部は、前記第2保護情報要求に含まれる前記アドレス変換規則を取得し、前記伝播規則取得部は、前記第2保護情報要求に含まれる前記伝播規則を取得するように構成されていてもよい。
本発明の第2の特徴は、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護システムと通信するダンプイメージ管理サーバであって、前記秘密情報保護システムから、前記秘密情報が格納された秘密情報領域を含む秘密情報周辺領域に格納された秘密情報周辺情報が秘匿された前記ダンプイメージを受信する第1保護情報受信部と、前記秘密情報保護システムに対して、前記秘密情報が秘匿された前記ダンプイメージの送信を要求する第2保護情報要求を送信する送信部と、前記第2保護情報要求の応答として、前記秘密情報が秘匿された前記ダンプイメージを受信する第2保護情報受信部とを備え、前記秘密情報周辺領域は、前記秘密情報保持装置によって、前記秘密情報が格納された前記記憶領域におけるアドレスに基づいて特定され、前記秘密情報領域は、前記秘密情報保持装置によって、前記秘密情報が格納された前記記憶領域におけるアドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて特定されることを要旨とする。
第2の特徴に係るダンプイメージ管理サーバは、前記秘密情報の入力先である変数と、前記変数が格納される前記記憶領域におけるアドレスとの対応を示すアドレス変換規則を保持するアドレス変換規則保持部と、前記変数と、前記変数に入力された情報が伝播する他の変数との対応を示す伝播規則を保持する伝播規則保持部とを更に備え、前記送信部は、前記アドレス変換規則保持部から取得されるアドレス変換規則と、前記伝播規則保持部から取得される伝播規則とを含む前記第2保護情報要求を送信するように構成されていてもよい。
第2の特徴に係るダンプイメージ管理サーバにおいて、前記第1保護情報受信部は、前記秘密情報周辺情報が秘匿されたダンプイメージと、前記ダンプイメージを識別する前記識別情報とを受信し、前記送信部は、前記第1保護情報受信部によって受信された前記識別情報を含む第2保護情報要求を送信してもよい。
本発明の第3の特徴は、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護方法であって、前記記憶領域に格納される情報を前記ダンプイメージとして出力するステップと、前記記憶領域に、前記秘密情報が入力されたことを検出し、前記秘密情報が格納された前記記憶領域におけるアドレスを取得するステップと、前記アドレスに基づいて、前記ダンプイメージの内、前記秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定するステップと、前記秘密情報周辺領域に格納されている前記秘密情報周辺情報を秘匿するステップと、前記アドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて、前記ダンプイメージの内、前記秘密情報領域を特定するステップと、前記秘密情報領域に格納されている前記秘密情報を秘匿するステップとを備えることを要旨とする。
以上説明したように、本発明によれば、ダンプイメージを提供する際、ダンプイメージに含まれる秘密情報を保護し、かつ、コストを抑制しつつ、必要に応じて十分な情報を提供することを可能にする秘密情報保護システム、秘密情報保護システムと通信するダンプイメージ管理サーバ、及び、秘密情報保護方法を提供することができる。
[第1の実施の形態]
(ダンプイメージ提供システム)
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
図1は、本発明の実施の一形態に係るダンプイメージ提供システム1の構成例を示す概念図である。ダンプイメージ提供システム1においては、実行中のプログラム(プロセス)に障害が発生した場合、障害発生直後のプログラムによって利用されていたメモリをダンプし、ソフトウェアベンダに送信することによってベンダによる障害解析の効率化が図られる。これにより、プログラムの利用者は、障害原因が除去された更新版をより早く入手できる。
図1に示されるように、ダンプイメージ提供システム1には、秘密情報保護装置100aと、ベンダ管理システム200と、ネットワーク500とが備えられる。又、ベンダ管理システム200には、プログラムパッケージング装置300と、ダンプイメージ管理サーバ400とが含まれる。
秘密情報保護装置100aと、ベンダ管理システム200に含まれるプログラムパッケージング装置300及びダンプイメージ管理サーバ400とは、ネットワーク500を介して互いに接続されている。ダンプイメージ管理サーバ400は、秘密情報保護装置100aと通信する。
ネットワーク500とは、例えばLANやインターネット等である。尚、ベンダ管理システム200は、ソフトウェアベンダによって管理されるシステムである。
秘密情報保護装置100aは、ベンダ管理システム200に含まれるプログラムパッケージング装置300からプログラム600を取得する。プログラム600はネットワーク500を介して取得されてもよいし、ソフトウェアベンダから提供されるCD−ROM等の媒体に記録された状態で取得されてもよい。秘密情報保護装置100aは、取得したプログラム600を実行する。
秘密情報保護装置100aにおいて、プログラム600が実行されている際に障害が発生した場合には、秘密情報保護装置100aは、ベンダ管理システム200に含まれるダンプイメージ管理サーバ400にネットワーク500を介してダンプイメージ610aを送信する。ダンプイメージ管理サーバ400によって取得されたダンプイメージに基づいて、ソフトウェアベンダによって障害が解析され、プログラムのデバッグが行われる。尚、ダンプイメージとは、プログラムが利用する記憶領域の状態を示すダンプイメージ又は、ダンプイメージの一部が秘匿された情報である。
例えば、プログラム600が実行されている際に障害が発生した場合、障害発生直後、プログラム600によって利用される記憶領域には、利用者の秘密情報が含まれる場合がある。秘密情報保護装置100aは、ダンプイメージにおける秘密情報の格納領域を特定し、その領域に対して秘匿処理を行う機能を備える。この場合には、秘密情報が秘匿されたダンプイメージがダンプイメージ610aとして提供される。
(秘密情報保護装置)
秘密情報保護装置100aは、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する機能を備える。
図2に示されるように、秘密情報保護装置100aには、秘密情報入力監視部105と、入力先アドレス保持部110と、入力先アドレス取得部115と、ダンプ部120と、ダンプイメージ保持部125と、ダンプイメージ取得部130と、粗粒度保護部140と、細粒度保護部150と、第1送信部160と、追加情報要求受信部165と、第2送信部170とが備えられる。
秘密情報入力監視部105は、プログラム600によって利用される記憶領域に秘密情報が入力されたことを検出し、秘密情報が格納された記憶領域におけるアドレスを取得する秘密情報検出部である。秘密情報入力監視部105は、記憶領域に、セキュリティ属性を有する情報が入力された場合に、前記秘密情報が入力されたことを検出する。
例えば、秘密情報入力監視部105は、プロセスがカーネルに対して発行するシステムコールを監視することにより、監視対象プロセスの記憶領域への秘密情報、即ち、セキュリティ属性を有する情報の入力を検出する。
又、本実施の形態における秘密情報入力監視部105は、アドレスと、秘密情報に対応付いているセキュリティ属性の値とを後述する入力先アドレス保持部110に格納する。
入力先アドレス保持部110は、秘密情報入力監視部105によって取得されたアドレスを保持するアドレス保持部である。又、本実施の形態における入力先アドレス保持部110は、秘密情報に対応付いているセキュリティ属性の値も保持する。
入力先アドレス取得部115は、入力先アドレス保持部110によって保持されるアドレス及びセキュリティ属性の値を取得する。
ダンプ部120は、プログラムが利用する記憶領域に格納される情報をダンプイメージとして後述するダンプイメージ保持部125に出力する出力部である。具体的には、ダンプ部120は、実行中のプログラムに障害が発生したことを契機として、障害発生直後にプログラムによって利用される記憶領域に格納されている情報、即ち、実行コンテキストを取得し、後述するダンプイメージ保持部125に格納する。ダンプ部120は、その際、ダンプイメージに識別情報を付与し、ダンプイメージを識別する識別情報をダンプイメージと関連づけてダンプイメージ保持部125に格納する。
ダンプイメージ保持部125は、ダンプ部120によって出力されたダンプイメージを保持する。又、本実施の形態におけるダンプイメージ保持部125は、ダンプイメージを識別する識別情報と、ダンプイメージとを関連づけて保持する。尚、本実施の形態におけるダンプイメージ保持部125は、不揮発メモリである。
ダンプイメージ取得部130は、ダンプイメージ保持部125によって保持されるダンプイメージを取得する。又、ダンプイメージ取得部130は、ダンプイメージ保持部125を監視し、新たなダンプイメージが格納された際に、ダンプ部120によってメモリがダンプされた旨を示すダンプ通知を秘密情報周辺領域特定部141に入力する。尚、ダンプ通知には、ダンプイメージを識別する識別情報が含まれる。
粗粒度保護部140は、ダンプイメージに秘密情報が格納されている領域を大まかに特定し、特定された領域に格納されている情報を秘匿する機能を備える。尚、後述する秘密情報周辺領域特定部141は、ダンプイメージ取得部130からダンプ通知を取得した際に秘密情報周辺領域を特定する。従って、粗粒度保護部140は、ダンプ部120によってメモリがダンプされたことを契機として処理を開始する。
粗粒度保護部140には、秘密情報周辺領域特定部141と、秘密情報秘匿部142とが含まれる。
秘密情報周辺領域特定部141は、入力先アドレス保持部110によって保持されるアドレスに基づいて、ダンプイメージの内、秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定する第1領域特定部である。
具体的には、秘密情報周辺領域特定部141は、ダンプ部120によってメモリがダンプされた旨の通知をダンプイメージ取得部130から取得する。秘密情報周辺領域特定部141は、メモリがダンプされた旨の通知を取得した際に、入力先アドレス取得部115を介して入力先アドレス保持部110を参照する。秘密情報周辺領域特定部141は、入力先アドレス保持部110によってアドレスが保持されている場合には、そのアドレスを含むセグメントを特定し、そのセグメントを示す情報を後述する秘密情報秘匿部142に入力する。又、その際、秘密情報周辺領域特定部141は、ダンプ通知に含まれる識別情報も秘密情報秘匿部142に入力する。
セグメントを示す情報とは、例えば、セグメントの先頭のアドレスと末尾のアドレスである。尚、プログラム(プロセス)によって利用される記憶領域がヒープ、スタックである場合には、セグメントを指定する情報は、セグメントの先頭のアドレスである。
又、秘密情報周辺領域特定部141は、セキュリティ属性の値に関わらず、セグメントを特定してもよいし、セキュリティ属性の値によって特定するセグメントを変化させてもよい。セキュリティ属性の値によって特定するセグメントを変化させる場合には、秘密情報周辺領域特定部141は、入力先アドレス取得部115を介して、入力先アドレス保持部110から、セキュリティ属性の値も取得する。
例えば、図3に示されるように、セキュリティ属性の値は複数のセキュリティレベルを示すことができる。セキュリティレベルAは、セキュリティレベルが高いことを示し、セキュリティレベルCは、セキュリティレベルが低いことを示す。秘密情報周辺領域特定部141が、異なるセキュリティ属性の値と関連づけられる複数のアドレスを取得した場合には、最も高いセキュリティレベルと関連づけられているアドレスを含むセグメントのみを特定してもよい。
秘密情報秘匿部142は、秘密情報周辺領域に格納されている秘密情報周辺情報を秘匿する第1秘匿部である。秘密情報秘匿部142は、ダンプイメージの複製の内、秘密情報周辺情報が秘匿された情報である粗粒度保護情報を生成する。具体的には、秘密情報秘匿部142は、秘密情報周辺領域特定部141からセグメントを指定する情報と、ダンプイメージを識別する識別情報とを取得する。秘密情報秘匿部142は、ダンプイメージ取得部130を介して、ダンプイメージ保持部125において、取得した識別情報と関連づけられているダンプイメージを取得する。秘密情報秘匿部142は、取得したダンプイメージの内、秘密情報周辺領域特定部141によって特定されたセグメントに含まれる情報を秘匿する。
秘密情報秘匿部142は、例えば、特定されたセグメントを意味の無いデータ列で上書きすることによってセグメントを秘匿化する。或いは、秘密情報秘匿部142は、特定されたセグメントに含まれる情報を暗号化することによってセグメントを秘匿化してもよい。
秘密情報秘匿部142は、生成した粗粒度保護情報と、ダンプイメージ取得部130から取得した識別情報とを関連づけて第1送信部160に入力する。
細粒度保護部150は、ダンプイメージに秘密情報が格納されている領域を詳細に特定し、特定された領域に格納されている情報を秘匿する機能を備える。
細粒度保護部150には、識別情報取得部151と、伝播規則取得部152と、変換規則取得部153と、秘密情報領域特定部154と、秘密情報秘匿部155とが含まれる。
識別情報取得部151は、後述する追加情報要求受信部165によって受信された追加情報要求に含まれる識別情報を取得する。尚、追加情報要求とは、細粒度保護部150に含まれる秘密情報秘匿部155によって、秘密情報が秘匿されたダンプイメージの送信を要求する第2保護情報要求であり、ダンプイメージを識別する識別情報と、アドレス変換規則と、伝播規則とを含む。
伝播規則取得部152は、変数に入力された情報が伝播する他の変数との対応を示す伝播規則を取得する。伝播規則は、後述する追加情報要求受信部165によって受信された追加情報要求に含まれる。
尚、伝播規則は、プログラム600を提供するソフトウェアベンダによって生成される。例えば、ベンダ管理システム200に含まれるプログラムパッケージング装置300によって、生成される。伝播規則は、例えば図4左に示すような有向グラフで記述される。図4の伝播規則において、各ノードは、プログラム内で参照される各変数を表し、Xn(n=1,2,…)は、それらの変数を一位に識別する識別子である。識別子は、例えば、プログラムソース内における変数の登場順に自然数を割り当てる。各エッジは、エッジの先にある変数が、エッジの元にある変数から導出されることを表している。例えば、図3右に示すように、複数の変数からの四則演算結果や代入演算結果が、別の変数に代入される場合などが相当する(ここでは、説明の簡単のため、変数名ではなく識別子をプログラムソース内で使用している。)。
変換規則取得部153は、秘密情報の入力先である変数と、変数が格納される記憶領域におけるアドレスとの対応を示すアドレス変換規則を取得する。アドレス変換規則は、後述する追加情報要求受信部165によって受信された追加情報要求に含まれる。
尚、アドレス変換規則は、例えば図5に示されるようなテーブルで表現され、識別子、識別子に対応する変数のメモリ先頭アドレス、及びデータサイズが登録される。
秘密情報領域特定部154は、入力先アドレス取得部115を介して入力先アドレス保持部110から取得されたアドレスと、記憶領域において秘密情報が伝播する伝播ルートとに基づいて、ダンプイメージの内、秘密情報領域を特定する第2領域特定部である。秘密情報領域とは、秘密情報が格納されうるメモリ領域を変数単位で特定したものである。尚、秘密情報領域特定部154は、アドレス変換規則及び伝播規則に基づいて伝播ルートを特定する。
具体的には、秘密情報領域特定部154は、識別情報取得部151からダンプイメージの識別情報を取得し、伝播規則取得部152から伝播規則を取得し、変換規則取得部153から変換規則を取得し、入力先アドレス取得部115から、秘密情報が格納されているアドレスと、秘密情報に対応付いているセキュリティ属性の値とを取得する。秘密情報領域特定部154は、アドレスと、セキュリティ属性の値と、伝播規則と、アドレス変換規則とに基づいて、秘密情報が格納されうるメモリ領域を変数単位で特定する。尚、変数単位で特定されたメモリ領域は、秘密情報領域である。
秘密情報領域特定部154は、識別情報取得部151から取得した識別情報と、特定した秘密情報領域を示す情報を秘密情報秘匿部155に入力する。
秘密情報秘匿部155は、秘密情報領域に格納されている秘密情報を秘匿する第2秘匿部である。秘密情報秘匿部155は、ダンプイメージの複製の内、秘密情報が秘匿された情報である細粒度保護情報を生成する。
具体的には、秘密情報秘匿部155は、ダンプイメージ取得部130を介して、ダンプイメージ保持部125において、取得した識別情報と関連づけられているダンプイメージを取得する。又、秘密情報秘匿部155は、秘密情報領域特定部154によって特定された秘密情報領域を示す情報を取得する。秘密情報秘匿部155は、取得されたダンプイメージの内、秘密情報領域に含まれる情報を秘匿する。
秘密情報秘匿部155は、例えば、秘密情報領域に含まれる情報を意味の無いデータ列で上書きすることによって秘匿する。或いは、秘密情報秘匿部155は、特定された秘密情報領域に含まれる情報を暗号化することによって秘匿してもよい。
秘密情報秘匿部155は、生成した細粒度保護情報と、秘密情報領域特定部154から取得した識別情報とを関連づけて第2送信部170に入力する。
第1送信部160は、秘密情報秘匿部142から取得した粗粒度保護情報と、ダンプイメージを識別する識別情報とを関連づけて、ネットワーク500を介してダンプイメージ管理サーバ400に送信する。
追加情報要求受信部165は、細粒度保護情報を要求する追加情報要求を受信する受信部である。追加情報要求受信部165は、ダンプイメージを識別する識別情報を含む追加情報要求を受信する。具体的には、追加情報要求受信部165は、ネットワーク500を介して、ダンプイメージ管理サーバ400によって送信される追加情報を受信する。追加情報要求受信部165は、受信した追加情報要求を細粒度保護部150に入力する。
第2送信部170は、秘密情報秘匿部155から取得した細粒度保護情報と、ダンプイメージを識別する識別情報とを関連づけて、ネットワーク500を介してダンプイメージ管理サーバ400に送信する。尚、秘密情報秘匿部155において、追加情報に含まれる識別情報によって識別されるダンプイメージに含まれる秘密情報が秘匿され、細粒度保護情報が生成される。従って、第2送信部170は、追加情報要求に含まれる識別情報によって識別されるダンプイメージに含まれる秘密情報が秘匿された情報を送信する。
又、追加情報要求受信部165によって追加情報要求が受信された際に、細粒度保護部150に、秘密情報を秘匿するために必要な情報が入力され、細粒度保護部150に含まれる秘密情報秘匿部155によって細粒度保護情報が生成される。即ち、第2送信部170は、追加情報要求の応答として細粒度保護情報を送信する。
(ダンプイメージ管理サーバ)
図6に示されるように、ダンプイメージ管理サーバ400には、受信部410と、変換規則保持部420と、伝播規則保持部430と、ダンプイメージ保持部440と、粗粒度保護情報取得部450と、追加情報要否判断部460と、追加情報要求生成部470と、送信部480と、細粒度保護情報取得部490とが備えられる。
受信部410は、秘密情報保護装置100aから、ネットワーク500を介してデータを受信する。受信部410は、粗粒度保護情報とダンプイメージを識別する識別情報とを受信する第1保護情報受信部としての機能と、細粒度保護情報とダンプイメージを識別する識別情報とを受信する第2保護情報受信部としての機能とを備える。尚、細粒度保護情報は、後述する送信部480によって秘密情報保護装置100aに送信される追加情報要求の応答として送信される。
変換規則保持部420は、図5に示されるようなアドレス変換規則を保持する。アドレス変換規則は、ソフトウェアベンダによって生成される。例えば、プログラムのソースコードをコンパイルするコンパイラにが、アドレス変換規則を生成する。
伝播規則保持部430は、図4に示されるような伝播規則を保持する。伝播規則は、ソフトウェアベンダによって、例えば、プログラムのソースコードに基づいて生成される。
ダンプイメージ保持部440は、秘密情報保護装置100aによって送信され、ダンプイメージ管理サーバ400によって受信されたダンプイメージを保持する。具体的には、ダンプイメージ保持部440は、後述する粗粒度保護情報取得部450によって取得された粗粒度保護情報と識別情報とを関連づけて保持し、後述する細粒度保護情報取得部490によって取得された細粒度保護情報と識別情報とを関連づけて保持する。
粗粒度保護情報取得部450は、受信部410によって秘密情報保護装置100aから受信された粗粒度保護情報と識別情報とを取得する。尚、粗粒度保護情報は、秘密情報保護装置100aにおいてダンプ処理がされた際、即ち、秘密情報保護装置100aにおいて実行中のプログラムに障害が発生したことを契機として送信される。
追加情報要否判断部460は、粗粒度保護情報において、秘匿されているセグメント内の情報が必要であるか否かを判断する。追加情報要否判断部460は、秘匿されているセグメント内の情報が必要であると判断した場合には、追加情報要求の生成を促す通知と、粗粒度保護情報取得部450から取得される識別情報とを後述する追加情報要求生成部470に入力する。
追加情報要否判断部460は、例えば、キーボード等の入力装置を介して、障害の解析を行う解析者の指示を取得し、指示に基づいて、秘匿されているセグメント内の情報が必要であるか否かを判断してもよい。或いは、ダンプイメージ管理サーバ400内に、障害報告が保持されている場合には、追加情報要否判断部460は、粗粒度保護情報と、障害報告とに基づいて自動的に、秘匿されているセグメント内の情報が必要であるか否かを判断してもよい。
追加情報要求生成部470は、秘密情報保護装置100aに対して、細粒度保護情報の送信を要求する追加情報要求を生成する。具体的には、追加情報要求生成部470は、追加情報要否判断部460から、追加情報要求の生成を促す旨の通知を受けた際に、変換規則保持部420によって保持されるアドレス変換規則と、伝播規則保持部430によって保持される伝播規則とを取得する。追加情報要求生成部470は、追加情報要否判断部460から取得した識別情報と、アドレス変換規則と、伝播規則とを含む追加情報要求を生成する。
送信部480は、追加情報要求を、ネットワーク500を介して、秘密情報保護装置100aに送信する。
細粒度保護情報取得部490は、受信部410によって秘密情報保護装置100aから受信された細粒度保護情報と識別情報とを取得する。
(秘密情報保護方法)
次に、ダンプイメージ提供システム1における、秘密情報保護方法を、図7を用いて説明する。
ステップS101において、秘密情報保護装置100aのダンプ部120が、ダンプ処理を行う。
ステップS102において、粗粒度保護部140が、ダンプイメージに秘密情報が格納されている領域を大まかに特定し、特定された領域に格納されている情報を秘匿することにより、粗粒度保護情報を生成する。
ステップS103において、秘密情報保護装置100aの第1送信部160が粗粒度保護情報を送信し、ダンプイメージ管理サーバ400の受信部410が粗粒度保護情報を受信する。
ステップS104において、ダンプイメージ管理サーバ400の追加情報要否判断部460が、追加情報が必要であるか否かを判断する。
ステップS104において、追加情報が必要であると判断された場合には、ステップS105において、ダンプイメージ管理サーバ400の追加情報要求生成部470が追加情報要求を生成する。
ステップS106において、ダンプイメージ管理サーバ400の送信部480が追加情報要求を送信し、秘密情報保護装置100aの追加情報要求受信部165が追加情報要求を受信する。
ステップS107において、細粒度保護部150が、ダンプイメージに秘密情報が格納されている領域を詳細に特定し、特定された領域に格納されている情報を秘匿することにより、細粒度保護情報を生成する。
ステップS108において、秘密情報保護装置100aの第2送信部170が、細粒度保護情報を送信し、ダンプイメージ管理サーバ400の受信部410が細粒度保護情報を受信する。
一方、ステップS104において、追加情報が必要でないと判断された場合には、処理が終了する。
(効果)
本実施の形態に係る秘密情報保護装置100aによれば、秘密情報入力監視部105が、記憶領域に、秘密情報が入力されたことを検出し、秘密情報が格納された記憶領域におけるアドレスを取得する。又、秘密情報周辺領域特定部141が、アドレスに基づいて、ダンプイメージの内、秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定し、秘密情報秘匿部142が、秘密情報周辺領域に格納されている秘密情報周辺情報を秘匿する。一方、秘密情報領域特定部154が、アドレスと、記憶領域において秘密情報が伝播する伝播ルートとに基づいて、ダンプイメージの内、秘密情報領域を特定し、秘密情報秘匿部155が、秘密情報領域に格納されている秘密情報を秘匿する。
このため、ダンプイメージを提供する際、必要に応じて、第1秘匿部によって秘密情報周辺情報が秘匿されたダンプイメージ(粗粒度保護情報)か、又は、第2秘匿部によって秘密情報が秘匿されたダンプイメージ(細粒度保護情報)を提供することができる。従って、ダンプイメージを提供する際、ダンプイメージに含まれる秘密情報を保護し、かつ、コストを抑制しつつ、必要に応じて十分な情報を提供することが可能になる。
例えば、少ない情報で十分デバッグができるような場合には、秘密情報が格納された領域を大まかに特定して、特定された領域に含まれる情報を秘匿することによってコストを抑制することができる。一方、デバッグをする際にできるだけ多くの情報が必要な場合には、秘密情報が格納された領域を詳細に特定して、特定された領域に含まれる情報を秘匿することによって、デバッグに活用できる情報を多く取得することができる。このように、障害の解析に求められる情報量に応じて、秘密情報の保護粒度保護コストを調整することが可能となる。従って、効率的で安全なダンプイメージの収集が可能となる。
尚、このように、秘密情報保護装置100aは、単独で秘密情報保護システムとして機能する。
又、本実施の形態における秘密情報保護装置100aによれば、秘密情報入力監視部105によって取得され、入力先アドレス保持部110によって保持されるアドレスと、伝播規則取得部152によって取得された伝播規則と、変換規則取得部153によって取得されたアドレス変換規則とに基づいて、秘密情報領域特定部154が、秘密情報領域を特定する。このため、秘密情報領域特定部154は、秘密情報が格納された領域のみを過不足無く変数単位で特定することができる。
更に、本実施の形態における秘密情報保護装置100aによれば、ダンプ部120によってメモリがダンプされたことを契機として粗粒度保護部140が処理を開始し、第1送信部160が、粗粒度保護部140によって生成された粗粒度保護情報をダンプイメージ管理サーバ400に送信する。又、追加情報要求受信部165が追加情報要求を受信したことを契機として細粒度保護部150が処理を開始し、第2送信部170が、細粒度保護部150によって生成された細粒度保護情報をダンプイメージ管理サーバ400に送信する。
このため、簡易な処理により実現できる粗粒度の保護を適用したダンプイメージを、まず、ダンプイメージ管理サーバ400に送信し、ダンプイメージ管理サーバ400によって、若しくは、ダンプイメージ管理サーバ400を操作する障害の解析者によって、より多くの情報が求められた場合にのみ、煩雑な処理を必要とする細粒度の保護を適用したダンプイメージをダンプイメージ管理サーバ400に送信することができる。
これに対し、本実施の形態に係るダンプイメージ管理サーバ400によれば、受信部410が秘密情報保護装置100aから粗粒度保護情報を受信し、送信部480が、細粒度保護情報を要求する追加情報要求を秘密情報保護装置100aに送信し、受信部410が、追加情報要求の応答として細粒度保護情報を受信する。
このため、障害の解析のために、粗粒度保護情報から取得できる情報では、情報が不足していると判断された場合に限り細粒度保護情報を要求することが可能となる。従って、より効率的に障害を解析することが可能となる。従って、ベンダ管理システム200に含まれるダンプイメージ管理サーバ400は、コストを抑制しつつ、効率的に秘密情報が保護されたダンプイメージを収集することができる。
又、本発明の実施の形態における秘密情報保護装置100aによれば、ダンプ部120が、ダンプイメージに識別情報を付与し、ダンプイメージ保持部125が、ダンプイメージを識別する識別情報と、ダンプイメージとを関連づけて保持し、第1送信部160が、粗粒度保護情報と識別情報とを関連づけてダンプイメージ管理サーバ400に送信し、追加情報要求受信部165が、識別情報を含む追加情報要求を受信し、第2送信部170が、追加情報要求に含まれる識別情報によって識別されるダンプイメージに含まれる秘密情報が秘匿された情報である細粒度保護情報を送信する。
これに対し、本実施の形態に係るダンプイメージ管理サーバ400によれば、受信部410は、粗粒度保護情報と識別情報とを受信し、送信部480は、識別情報を含む細粒度保護情報を送信する。
このため、秘密情報保護装置100aにおいて、複数回の障害が発生した場合のように、複数のダンプイメージがダンプイメージ管理サーバ400に送信される場合であっても、障害の解析者が追加情報を要求するダンプイメージを指定することが容易になる。従って、複数の障害事象の解析を効率的に実施することが可能となる。
更に、本実施の形態における秘密情報保護装置100aによれば、追加情報要求が、アドレス変換規則と、前記伝播規則とを含み、伝播規則取得部152が、追加情報要求に含まれる伝播規則を取得し、変換規則取得部153が、追加情報要求に含まれるアドレス変換規則を取得する。又、細粒度保護部150が、このように取得されたアドレス変換規則と、伝播規則とに基づいて、細粒度保護情報を生成する。
これに対し、本実施の形態に係るダンプイメージ管理サーバ400によれば、変換規則保持部420がアドレス変換規則を保持し、伝播規則保持部430が伝播規則を保持し、追加情報要求生成部470が、アドレス変換規則と伝播規則とを含む追加情報要求を生成し、送信部480が、追加情報要求を送信する。
このため、ダンプイメージ管理サーバ400を管理するソフトウェアベンダは、粗粒度保護情報から取得できる情報では情報が不足していると判断した場合にのみ、秘密情報保護装置100aにアドレス変換規則と伝播規則とを送信すればよいため、アドレス変換規則及び伝播規則を送信するためのコストを抑制することが可能となる。
本実施の形態に係るダンプイメージ提供システム1によれば、ダンプイメージに含まれる秘密情報が確実に秘匿されるため、プログラムの利用者は、秘密情報の漏洩に対する懸念を軽減することができ、安心してダンプイメージをソフトウェアベンダによって管理されるベンダ管理システム200に送信することができる。一方、ソフトウェアベンダ側は、必要に応じて十分な情報を取得することができ、障害の解析が効率的に行われる。
更に、ソフトウェアベンダ側によって追加情報が必要な場合にのみ細粒度保護情報が生成されるため、秘密情報保護装置100aにおける処理コストを抑制することができる。
[第2の実施の形態]
図2は本実施の一形態に係るダンプイメージ提供システム2の構成例を示す概念図である。ダンプイメージ提供システム2は、図1に示されるダンプイメージ提供システム1と類似の構成を備える。ダンプイメージ提供システム2は、図1に示される秘密情報保護装置100aに代えて、秘密情報保護装置100b及び秘密情報保護装置100cを備える。又、ダンプイメージ提供システム2は、図1に示されるネットワーク500に代えて、LAN/WAN501及びインターネット502を備える。尚、LAN/WAN501及びインターネット502は、ネットワーク500の一例である。
ダンプイメージ提供システム2においては、秘密情報保護装置100bとダンプイメージ管理サーバ400とは、LAN/WAN501及びインターネット502を介して互いに接続され、秘密情報保護装置100cとダンプイメージ管理サーバ400とも、LAN/WAN501及びインターネット502を介して互いに接続される。
本実施の形態における秘密情報保護装置100bと、秘密情報保護装置100cとは、LAN/WAN501を介して接続される。例えば、秘密情報保護装置100bと秘密情報保護装置100cとは、複数の計算機上で業務用のアプリケーションプログラムを実行する業務システムに含まれる。秘密情報保護装置100bは、業務用のアプリケーションプログラムを実行する複数の計算機の一つであり、秘密情報保護装置100cは、業務システムの管理者によって管理され、運営されるサーバである。
秘密情報保護装置100bは、ベンダ管理システム200に含まれるプログラムパッケージング装置300からプログラム600を取得する。秘密情報保護装置100bは、取得したプログラム600を実行する。
秘密情報保護装置100bにおいて、プログラム600が実行されている際に障害が発生した場合には、秘密情報保護装置100bは、ベンダ管理システム200に含まれるダンプイメージ管理サーバ400にLAN/WAN501及びインターネット502を介してダンプイメージ610bを送信する。又、秘密情報保護装置100bは、LAN/WAN501を介して秘密情報保護装置100cにダンプイメージ610bを送信する。
秘密情報保護装置100cは、LAN/WAN501及びインターネット502を介してダンプイメージ610cを送信する。尚、秘密情報保護装置100cは、ダンプイメージ管理サーバ400からの追加要求に応じて、ダンプイメージ610cを送信する。
尚、ダンプイメージ610b,610cは、秘密情報が秘匿されたダンプイメージである。ダンプイメージ610bは、ダンプイメージに秘密情報が格納されている領域を大まかに特定し、特定された領域に格納されている情報を秘匿することによって得られる粗粒度保護情報であり、ダンプイメージ610cは、ダンプイメージに秘密情報が格納されている領域を詳細に特定し、特定された領域に格納されている情報を秘匿することによって得られる細粒度保護情報である。
以下、秘密情報保護装置100b,100cについて詳細に説明する。
(秘密情報保護装置)
図9に示されるように、第1の実施の形態における秘密情報保護装置100aに備えられる構成要素は、秘密情報保護装置100bと秘密情報保護装置100cとに分けて備えられる。特に、秘密情報保護装置100aに備えられる粗粒度保護部140と細粒度保護部150とが、秘密情報保護装置100bと秘密情報保護装置100cとに分けて備えられる。このように、秘密情報保護装置100b,100cは、共に、プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する機能を備える。又、秘密情報保護装置100bと秘密情報保護装置100cとが秘密情報保護システムとして機能する。
秘密情報保護装置100bは、第1の実施の形態における秘密情報保護装置100aに備えられる秘密情報入力監視部105と、入力先アドレス保持部110と、入力先アドレス取得部115と、ダンプ部120と、ダンプイメージ保持部125と、ダンプイメージ取得部130と、粗粒度保護部140と、第1送信部160とを備える。各構成要素は、第1の実施の形態における各要素と同様の機能を備える。但し、ダンプイメージ取得部130は、ダンプイメージ保持部125に新たなダンプイメージが格納された際に、そのダンプイメージと、ダンプイメージを識別する識別情報とを後述する第3送信部175に入力する。
秘密情報保護装置100bは、更に、第3送信部175を備える。第3送信部175は、秘密情報保護装置100cに備えられる細粒度保護部150によって用いられる情報を取得し、LAN/WAN501を介して秘密情報保護装置100cに送信する。
具体的には、第3送信部175は、入力先アドレス取得部115から取得したアドレスと、秘密情報に対応付いているセキュリティ属性の値とを取得する。又、第3送信部175は、ダンプイメージ取得部130からダンプイメージと識別情報とを取得する。
第3送信部175は、取得したアドレスと、セキュリティ属性の値及びダンプイメージと識別情報とを秘密情報保護装置100cに送信する。
秘密情報保護装置100cは、第1の実施の形態における秘密情報保護装置100aに備えられる細粒度保護部150と、追加情報要求受信部165と、第2送信部170とを備える。各構成要素は、第1の実施の形態における各要素と同様の機能を備える。但し、秘密情報領域特定部154は、第1の実施の形態における秘密情報領域特定部154のように、秘密情報が格納されているアドレスと、秘密情報に対応付いているセキュリティ属性の値とを入力先アドレス取得部115から取得するのでなく、後述する入力先データ受信部180から取得する。又、秘密情報秘匿部155は、第1の実施の形態における秘密情報秘匿部155と異なり、後述するダンプイメージ受信部185を介して、ダンプイメージ保持部190において、取得した識別情報と関連づけられているダンプイメージを取得する。
秘密情報保護装置100cは、更に、入力先データ受信部180と、ダンプイメージ受信部185と、ダンプイメージ保持部190と、入力先アドレス保持部195とを備える。
入力先データ受信部180は、秘密情報保護装置100bから、LAN/WAN501を介して、アドレスと、セキュリティ属性の値とを取得する。入力先データ受信部180は、取得したアドレスと、セキュリティ属性の値とを入力先アドレス保持部195に格納する。
ダンプイメージ受信部185は、秘密情報保護装置100bから、LAN/WAN501を介して、ダンプイメージと識別情報とを取得する。ダンプイメージ受信部185は、取得したダンプイメージと識別情報とを関連づけてダンプイメージ保持部190に格納する。
ダンプイメージ保持部190は、ダンプイメージ受信部185によって格納されたダンプイメージと識別情報とを関連づけて保持する。
入力先アドレス保持部195は、入力先データ受信部180によって受信されたアドレス及びセキュリティ属性の値を保持する。
(効果)
本実施の形態に係る秘密情報保護装置100b及び秘密情報保護装置100cによれば、プログラムが実行される秘密情報保護装置100bに含まれる粗粒度保護部140において粗粒度保護情報が生成され、送信され、一方、秘密情報保護装置100cに含まれる細粒度保護部150において細粒度保護情報が生成され、送信される。
このため、秘密情報保護装置100bは、ダンプイメージにおいて秘密情報が保持されている領域を詳細に特定する必要がない。従って、プログラムが実行される秘密情報保護装置100bにおける負荷を抑制することができる。
又、秘密情報保護装置100bと秘密情報保護装置100cとは、複数の計算機上で業務用のアプリケーションプログラムを実行する業務システムに含まれることが考えられる。このような業務システムには、業務用のアプリケーションプログラムを実行する複数の計算機と、業務システムの管理者によって管理され、運営されるサーバとが含まれることが考えられる。
この場合、粗粒度保護情報の生成と送信とを各計算機で行い、追加情報要求の受信及び処理と、細粒度保護情報の生成と送信とをサーバにおいて一括して行うことが可能となる。従って、このような業務システムに含まれる計算機の数が非常に大きくなる場合であっても、サーバにおいては全てのダンプイメージについて処理する必要がないため、サーバのスケーラビリティが損なわれない。又、業務の妨げとなり得る計算機の負荷も抑制される。
尚、このような業務システムでは、特に、企業秘密保護のためダンプイメージからの情報漏洩を防止する必要性が大きい。
(その他の実施の形態)
本発明は上記の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
例えば、第2の実施の形態における第3送信部は、全てのダンプイメージを秘密情報保護装置100cに送信することとしているが、秘密情報保護装置100cによって追加情報要求が受信されたダンプイメージの送信を秘密情報保護装置100bに要求し、秘密情報保護装置100bが、要求の応答としてダンプイメージを秘密情報保護装置100cに送信することといてもよい。
図1は、第1の実施の形態に係るダンプイメージ提供システムの概念図である。 図2は、第1の実施の形態に係る秘密情報保護装置の構成図である。 図3は、第1の実施の形態に係るセキュリティ属性について説明する図である。 図4は、第1の実施の形態に係る伝播規則を示す図である。 図5は、第1の実施の形態に係るアドレス変換規則を示す図である。 図6は、第1の実施の形態に係るダンプイメージ管理サーバの構成図である。 図7は、第1の実施の形態に係る秘密情報保護方法を示すシーケンス図である。 図8は、第2の実施の形態に係るダンプイメージ提供システムの概念図である。 図9は、第2の実施の形態に係る秘密情報保護装置の構成図である。
符号の説明
1…ダンプイメージ提供システム
2…ダンプイメージ提供システム
100a〜100c…秘密情報保護装置
105…秘密情報入力監視部
110…入力先アドレス保持部
115…入力先アドレス取得部
120…ダンプ部
125…ダンプイメージ保持部
130…ダンプイメージ取得部
140…粗粒度保護部
141…秘密情報周辺領域特定部
142…秘密情報秘匿部
150…細粒度保護部
151…識別情報取得部
152…伝播規則取得部
153…変換規則取得部
154…秘密情報領域特定部
155…秘密情報秘匿部
160…第1送信部
165…追加情報要求受信部
170…第2送信部
175…第3送信部
180…入力先データ受信部
185…ダンプイメージ受信部
190…ダンプイメージ保持部
195…入力先アドレス保持部
200…ベンダ管理システム
300…プログラムパッケージング装置
400…ダンプイメージ管理サーバ
410…受信部
420…変換規則保持部
430…伝播規則保持部
440…ダンプイメージ保持部
450…粗粒度保護情報取得部
460…追加情報要否判断部
470…追加情報要求生成部
480…送信部
490…細粒度保護情報取得部
500…ネットワーク
501…WAN
502…インターネット
600…プログラム
610a〜610c…ダンプイメージ

Claims (9)

  1. プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護システムであって、
    前記記憶領域に格納される情報を前記ダンプイメージとして出力する出力部と、
    前記ダンプイメージを保持するダンプイメージ保持部と、
    前記記憶領域に、前記秘密情報が入力されたことを検出し、前記秘密情報が格納された前記記憶領域におけるアドレスを取得する秘密情報検出部と、
    前記アドレスに基づいて、前記ダンプイメージの内、前記秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定する第1領域特定部と、
    前記秘密情報周辺領域に格納されている前記秘密情報周辺情報を秘匿する第1秘匿部と、
    前記アドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて、前記ダンプイメージの内、前記秘密情報領域を特定する第2領域特定部と、
    前記秘密情報領域に格納されている前記秘密情報を秘匿する第2秘匿部とを備えることを特徴とする秘密情報保護システム。
  2. 前記秘密情報検出部によって取得された前記アドレスを保持するアドレス保持部と、
    前記秘密情報の入力先である変数と、前記変数が格納される前記記憶領域におけるアドレスとの対応を示すアドレス変換規則を取得するアドレス変換規則取得部と、
    前記変数と、前記変数に入力された情報が伝播する他の変数との対応を示す伝播規則を取得する伝播規則取得部とを更に備え、
    前記秘密情報検出部は、前記記憶領域に、セキュリティ属性を有する情報が入力された場合に、前記秘密情報が入力されたことを検出し、
    前記第2領域特定部は、前記アドレス保持部によって保持されるアドレスと、前記アドレス変換規則及び前記伝播規則に基づいて特定される伝播ルートとに基づいて、前記秘密情報領域を特定することを特徴とする請求項1に記載の秘密情報保護システム。
  3. 前記第1秘匿部によって、前記秘密情報周辺情報が秘匿されたダンプイメージを送信する第1送信部と、
    前記第2秘匿部によって、前記秘密情報が秘匿されたダンプイメージの送信を要求する第2保護情報要求を受信する受信部と、
    前記第2保護情報要求の応答として前記第2秘匿部によって前記秘密情報が秘匿されたダンプイメージを送信する第2送信部とを更に備えることを特徴とする請求項1又は2に記載の秘密情報保護システム。
  4. 前記ダンプイメージ保持部は、前記ダンプイメージを識別する識別情報と、前記ダンプイメージとを関連づけて保持し、
    前記第1送信部は、前記秘密情報周辺情報が秘匿されたダンプイメージと、前記ダンプイメージを識別する前記識別情報とを関連づけて送信し、
    前記受信部は、前記識別情報を含む前記第2保護情報要求を受信し、
    前記第2送信部は、前記第2保護情報要求に含まれる前記識別情報によって識別される前記ダンプイメージに含まれる秘密情報が秘匿された情報を送信することを特徴とする請求項3に記載の秘密情報保護システム。
  5. 前記第2保護情報要求は、前記アドレス変換規則と、前記伝播規則とを含み、
    前記アドレス変換規則取得部は、前記第2保護情報要求に含まれる前記アドレス変換規則を取得し、
    前記伝播規則取得部は、前記第2保護情報要求に含まれる前記伝播規則を取得することを特徴とする請求項3又は4に記載の秘密情報保護システム。
  6. プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護システムと通信するダンプイメージ管理サーバであって、
    前記秘密情報保護システムから、前記秘密情報が格納された秘密情報領域を含む秘密情報周辺領域に格納された秘密情報周辺情報が秘匿された前記ダンプイメージを受信する第1保護情報受信部と、
    前記秘密情報保護システムに対して、前記秘密情報が秘匿された前記ダンプイメージの送信を要求する第2保護情報要求を送信する送信部と、
    前記第2保護情報要求の応答として、前記秘密情報が秘匿された前記ダンプイメージを受信する第2保護情報受信部とを備え、
    前記秘密情報周辺領域は、前記秘密情報保持装置によって、前記秘密情報が格納された前記記憶領域におけるアドレスに基づいて特定され、
    前記秘密情報領域は、前記秘密情報保持装置によって、前記秘密情報が格納された前記記憶領域におけるアドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて特定されることを特徴とするダンプイメージ管理サーバ。
  7. 前記秘密情報の入力先である変数と、前記変数が格納される前記記憶領域におけるアドレスとの対応を示すアドレス変換規則を保持するアドレス変換規則保持部と、
    前記変数と、前記変数に入力された情報が伝播する他の変数との対応を示す伝播規則を保持する伝播規則保持部とを更に備え、
    前記送信部は、前記アドレス変換規則保持部から取得されるアドレス変換規則と、前記伝播規則保持部から取得される伝播規則とを含む前記第2保護情報要求を送信することを特徴とする請求項6に記載のダンプイメージ管理サーバ。
  8. 前記第1保護情報受信部は、前記秘密情報周辺情報が秘匿されたダンプイメージと、前記ダンプイメージを識別する前記識別情報とを受信し、
    前記送信部は、前記第1保護情報受信部によって受信された前記識別情報を含む第2保護情報要求を送信することを特徴とする請求項6又は7に記載のダンプイメージ管理サーバ。
  9. プログラムが利用する記憶領域の状態を示すダンプイメージに含まれる秘密情報を保護する秘密情報保護方法であって、
    前記記憶領域に格納される情報を前記ダンプイメージとして出力するステップと、
    前記記憶領域に、前記秘密情報が入力されたことを検出し、前記秘密情報が格納された前記記憶領域におけるアドレスを取得するステップと、
    前記アドレスに基づいて、前記ダンプイメージの内、前記秘密情報が格納された領域である秘密情報領域を含む秘密情報周辺領域を特定するステップと、
    前記秘密情報周辺領域に格納されている前記秘密情報周辺情報を秘匿するステップと、
    前記アドレスと、前記記憶領域において前記秘密情報が伝播する伝播ルートとに基づいて、前記ダンプイメージの内、前記秘密情報領域を特定するステップと、
    前記秘密情報領域に格納されている前記秘密情報を秘匿するステップとを備えることを特徴とする秘密情報保護方法。
JP2005116148A 2005-04-13 2005-04-13 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法 Pending JP2006293853A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005116148A JP2006293853A (ja) 2005-04-13 2005-04-13 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005116148A JP2006293853A (ja) 2005-04-13 2005-04-13 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法

Publications (1)

Publication Number Publication Date
JP2006293853A true JP2006293853A (ja) 2006-10-26

Family

ID=37414338

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005116148A Pending JP2006293853A (ja) 2005-04-13 2005-04-13 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法

Country Status (1)

Country Link
JP (1) JP2006293853A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009230596A (ja) * 2008-03-25 2009-10-08 Hitachi Ltd サーバ装置のユーザデータ保護方法、サーバ装置及びコンピュータプログラム
US20150007346A1 (en) * 2013-06-26 2015-01-01 International Business Machines Corporation Protecting confidential content in a user interface
JP2015069624A (ja) * 2013-10-01 2015-04-13 富士ゼロックス株式会社 難読化プログラム、難読化装置、端末装置
JP2018120297A (ja) * 2017-01-23 2018-08-02 富士通株式会社 情報処理装置、情報処理装置の制御方法及び情報処理装置の制御プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009230596A (ja) * 2008-03-25 2009-10-08 Hitachi Ltd サーバ装置のユーザデータ保護方法、サーバ装置及びコンピュータプログラム
US20150007346A1 (en) * 2013-06-26 2015-01-01 International Business Machines Corporation Protecting confidential content in a user interface
JP2015069624A (ja) * 2013-10-01 2015-04-13 富士ゼロックス株式会社 難読化プログラム、難読化装置、端末装置
JP2018120297A (ja) * 2017-01-23 2018-08-02 富士通株式会社 情報処理装置、情報処理装置の制御方法及び情報処理装置の制御プログラム

Similar Documents

Publication Publication Date Title
KR101109393B1 (ko) 소프트웨어 취약성의 이용을 방지하기 위한 통신 메시지 필터링 방법 및 시스템
CN104321782B (zh) web应用的安全执行
JP5689472B2 (ja) 悪意ある実行環境内での静的および動的攻撃からJavaバイトコードを保護するシステムおよび方法
US10587641B2 (en) Point-wise protection of application using runtime agent and dynamic security analysis
EP2420949B1 (en) Information processing system, information processing method, information processing program, computer readable medium and computer data signal
US20040139334A1 (en) Computer system protection
US20080270806A1 (en) Execution Device
EP1591904A2 (en) Special-use heaps
US7970133B2 (en) System and method for secure and flexible key schedule generation
JP2007148962A (ja) サブプログラム、そのサブプログラムを実行する情報処理装置、及びそのサブプログラムを実行する情報処理装置におけるプログラム制御方法
Busch et al. Unearthing the {TrustedCore}: A Critical Review on {Huawei’s} Trusted Execution Environment
Jin et al. Annotating, tracking, and protecting cryptographic secrets with cryptompk
CN110619227A (zh) 一种审计日志管理方法、装置、设备及可读存储介质
JP2013061843A (ja) コンピュータ・ソフトウエア解析システムならびにクライアント・コンピュータ,その動作制御方法およびその動作プログラム
US20170185784A1 (en) Point-wise protection of application using runtime agent
JP2006293853A (ja) 秘密情報保護システム、ダンプイメージ管理サーバ及び秘密情報保護方法
US20160078227A1 (en) Data processing system security device and security method
Krasov et al. Methods for building a trusted environment in Unix operating systems based on the implementation of a digital watermark
CN114239026A (zh) 信息脱敏转换处理方法、装置、计算机设备和存储介质
Tuveri et al. Start your ENGINEs: dynamically loadable contemporary crypto
JP2008040853A (ja) アプリケーション実行方法およびアプリケーション実行装置
KR101548211B1 (ko) 역공학을 방지하기 위한 암호화 방법
US20150039900A1 (en) Program execution method and decryption apparatus
JP2013045277A (ja) プログラム難読化方法およびリモートデバッグシステム
US6931634B2 (en) Encrypted compiler