JP2011248865A - 改ざん監視システム、管理装置及び管理方法 - Google Patents
改ざん監視システム、管理装置及び管理方法 Download PDFInfo
- Publication number
- JP2011248865A JP2011248865A JP2011089302A JP2011089302A JP2011248865A JP 2011248865 A JP2011248865 A JP 2011248865A JP 2011089302 A JP2011089302 A JP 2011089302A JP 2011089302 A JP2011089302 A JP 2011089302A JP 2011248865 A JP2011248865 A JP 2011248865A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- module
- monitoring module
- detection
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 1351
- 230000004075 alteration Effects 0.000 title claims abstract description 25
- 238000007726 management method Methods 0.000 title claims description 141
- 238000001514 detection method Methods 0.000 claims abstract description 1003
- 230000005856 abnormality Effects 0.000 claims abstract description 63
- 230000005540 biological transmission Effects 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 38
- 238000000034 method Methods 0.000 description 206
- 230000008569 process Effects 0.000 description 173
- 238000012545 processing Methods 0.000 description 89
- 230000002159 abnormal effect Effects 0.000 description 75
- 238000010586 diagram Methods 0.000 description 64
- 238000012795 verification Methods 0.000 description 62
- 230000006870 function Effects 0.000 description 31
- 230000010365 information processing Effects 0.000 description 25
- 238000011084 recovery Methods 0.000 description 24
- 238000004458 analytical method Methods 0.000 description 18
- 230000004044 response Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000002360 preparation method Methods 0.000 description 9
- 238000009826 distribution Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 230000010354 integration Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3048—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the topology of the computing system or computing system component explicitly influences the monitoring activity, e.g. serial, hierarchical systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】情報セキュリティ装置100cは、改ざんを監視する複数の監視モジュールを有する。管理装置200cは、情報セキュリティ装置100cから、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信部230c、受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出部220c、異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定部210cを備える。
【選択図】図54
Description
また、本発明の別の一実施態様は、改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理方法であって、前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定ステップと、複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成ステップと、生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信ステップとを含み、前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する。
(実施の形態)
1.実施の形態1
本発明に係る実施の形態1としての検知システム10について、図面に基づき説明する。
(1)全体構成
図1は、検知システム10の全体構成図である。検知システム10は、図1に示すように、情報処理装置としての機器100と、管理装置200とから構成される。機器100と管理装置200とは、ネットワークを介して接続されている。
機器100は、ネットワークを介して、例えば、コンテンツ配信サーバから音楽や映像等のコンテンツを購入し再生したり、金融機関のシステムにアクセスし、ネットバンキング(預金の残高照会や口座振り込み等)を行ったりするなど、ユーザに対してネットワークを利用した様々な機能を提供するデータ処理装置である。
機器100は、アプリケーションソフト(以下、「アプリ」という)110、111と、保護制御モジュール120と、検知モジュール群130とを含んで構成される。
保護制御モジュール120は、攻撃者によりアプリ110及び111が解析され、認証鍵等の秘匿データが抜き取られないようにアプリ110及び111を保護するための機能を有するモジュールである。アプリを保護するための機能としては、例えば、アプリを利用しない時には、アプリを暗号化して保存しておき、アプリを利用する時にのみ暗号化アプリを復号してメモリへロードする復号ロード機能や、アプリが改ざんされていないかをチェックする改ざん検出機能、デバッガなどの解析ツールが動作していないかをチェックする解析ツール検出機能などがある。保護制御モジュール120は、これらの機能の動作を制御し、アプリ110及び111を保護する。
アクセス制御モジュール140は、各検知モジュールが他のモジュールを消去するために必要なアクセス情報を保持する。アクセス情報は、例えば、消去対象であるモジュールが配置されているアドレスや、消去に必要な手順が書かれた手順書などである。なお、アクセス情報は、消去対象であるモジュール毎に、それぞれ個別のアクセス情報取得鍵で暗号化されている。
ここでは、保護制御モジュール120の詳細について説明する。
図3は、保護制御モジュール120の機能的な構成を示す機能ブロック図である。保護制御モジュール120は、保護制御モジュール本体と、改ざん検出用証明書とを含む。改ざん検出用証明書は、保護制御モジュール本体を改ざん検出するための証明書であり、管理装置200で保持する署名秘密鍵(署名私有鍵とも呼ぶ)を用いて生成したものである。
送信部302は、検知モジュール131、132、133、134、135へ、各種依頼などを送信する。
(c)検知モジュールの構成
次に、検知モジュール131、132、133、134、135の詳細について説明する。
受信部401は、管理装置200から、各種指示を受信する。また、受信部401は、他の検知モジュールから、改ざん検出を行うために必要な検知モジュール本体や検知モジュール改ざん検出用証明書などを受信する。さらに、受信部401は、他の検知モジュールから、依頼した処理の結果や、当該他の検知モジュールによる保護制御モジュール120の監視結果などを受信する。
制御部403は、受信部401が受信した各種指示や通知に基づいて、検証部404を制御することにより各種の処理を行う。
検証部404は、各モジュールに付加されている改ざん検出用証明書を用いて改ざん検出処理を行うとしてもよい。または、予め計算されたメッセージ認証コード(Message Authentication Code)(以下、「MAC値」という。)を用いてもよい。
MAC値テーブル更新部406は、各モジュールのMAC値が格納されているMAC値テーブルを更新する。MAC値テーブルには、モジュールを識別するためのモジュール識別子と、そのモジュールに対応するMAC値とが対になって格納されている。
図5は、アクセス制御モジュール140の構成を機能的に示す機能ブロック図である。同図に示すように、アクセス制御モジュール140は、受信部501、送信部502、及びアクセス情報保持部503から構成される。
アクセス情報保持部503は、検知モジュール131、132、133、134、135毎に、そのモジュールを消去するためのアクセス情報を保持する。
続いて、図6を用いて、機器100のハードウェア構成について説明する。
図6に示すように、機器100は、CPU(Central Processing Unit)171、不揮発性メモリであるEEPROM(Electrically Erasable and Programmable Read Only Memory)172、RAM(Random Access Memory)173、及びNIC(Network Interface Card)174などを含んで構成される。また、これらはバスを介して、相互に通信可能に接続されている。
EEPROM172に格納されている各種モジュールをCPU171が実行することにより、各種モジュールの各機能部が実現される。各機能部は、具体的には、コンピュータプログラムによって記述されている。
(f)ソフトウェア階層
続いて、図7を用いて、機器100のソフトウェア階層について説明する。
(3)管理装置200の構成
管理装置200は、機器100の検知モジュール群130から、改ざん検出結果を受信して、受信した改ざん検出結果を基に、無効化すべき異常な検知モジュールを特定する異常モジュール特定装置として機能する。
図1に示すように、管理装置200は、判断部210、モジュール無効化部220、及び通信部250から構成される。管理装置200は、具体的には、CPU、ROM、RAM、ハードディスクユニットなどを備えるコンピュータシステムである。CPUが、ROMまたはハードディスクユニットに記憶されているコンピュータプログラムにしたがって動作することにより、管理装置200は、上記の機能を発揮する。
モジュール無効化部220は、検知モジュール131、132、133、134、135からアクセス情報取得鍵の取得要求を受け付けると、要求元の検知モジュールへ、アクセス情報取得鍵を送信する。
(b)判断部210の構成
図8は、判断部210の構成を機能的に示す機能ブロック図である。
受信部601は、検知モジュール131、132、133、134、135から、改ざん検出結果、各種依頼などを受信し、それらを指示生成部603へ出力する。また、受信部601は、管理装置200内の各部から、処理が完了した旨の通知を受け取り、それを指示生成部603へ出力する。
指示生成部603は、検知モジュール131、132、133、134、135から受信した改ざん検出結果(以下、「相互監視結果」又は単に「監視結果」ということがある。)を、モジュール特定部604へ出力する。また、指示生成部603は、モジュール特定部604から、改ざんされている異常な検知モジュールを識別する情報を取得し、取得した情報を基に、管理装置200内の各部に対する指示を生成する。
図9は、モジュール無効化部220の機能的な構成を示す機能ブロック図である。
同図に示すように、モジュール無効化部220は、受信部701、送信部702、アクセス情報取得鍵保持部703、及び検知モジュール選択部704から構成される。
アクセス情報取得鍵保持部703は、アクセス制御モジュール140が保持するアクセス情報を復号するための鍵であるアクセス情報取得鍵を保持する。
続いて、検知システム10の動作を説明する。
(1)全体動作
図10は、検知システム10全体の処理の流れを示したフローチャートである。
初期設定処理とは、ソフトウェア(保護制御モジュール120や検知モジュール群)のインストールや、ソフトウェアを検知するために必要となるデータを検知モジュール131、132、133、134、135のそれぞれに埋め込む処理である。なお、初期設定処理は、機器100が工場で製造される際に行われる。その後、機器100は、工場から出荷され、ユーザの利用に供される。
(2)初期設定処理の動作
ここでは、図11から図12を用いて、検知システム10の初期設定処理(図10のS100)の詳細について説明する。
保護制御モジュール120には暗復号鍵が埋め込まれ、検知モジュール131、132、133、134、135には署名公開鍵及び検証鍵が埋め込まれる。更に、検知モジュール131、132、133、134、135には、それぞれの検知モジュールを識別するための検知モジュール識別子が埋め込まれ、保護制御モジュール120及び検知モジュール131、132、133、134、135は、それぞれ、その状態で機器100にインストールされる。
(a)検知モジュール初期化処理の動作
図12は、検知モジュール初期化処理(図11のS1004)の動作を示すフローチャートである。
続いて、検知処理について説明する。
機器100は、初期設定処理を終えると工場から出荷され、ユーザの元へ送られ、ユーザの元で機器100が使用される。
図14のシーケンス図を用いて、保護制御モジュール検知処理の詳細について説明する。
(b)検知モジュール検知処理の動作
続いて、図15から図24を用いて検知モジュール検知処理の詳細について説明する。
検知モジュール131は、一例として図15に示す監視パターンに従って、検知モジュール132の改ざん検出を行う(S2101)。検知モジュール131は検出結果を判断部210へ送信する(S2102)。
判断部210は、検出結果を受信し、検証処理を行う(S2103)。検証処理の動作については後述する。
次に、検知モジュール133は、一例として図15に示す監視パターンに従って、検知モジュール131の改ざん検出を行う(S2107)。検知モジュール133は検出結果を判断部210へ送信する(S2108)。
次に、検知モジュール134は、一例として図15に示す監視パターンに従って、検知モジュール135の改ざん検出を行う(S2110)。検知モジュール134は検出結果を判断部210へ送信する(S2111)。
次に、検知モジュール135は、一例として図15に示す監視パターンに従って、検知モジュール132の改ざん検出を行う(S2113)。検知モジュール135は検出結果を判断部210へ送信する(S2114)。
次に、検知モジュール131は、一例として図15に示す監視パターンに従って、検知モジュール135の改ざん検出を行う(S2116)。検知モジュール131は検出結果を判断部210へ送信する(S2117)。
次に、検知モジュール133は、一例として図15に示す監視パターンに従って、検知モジュール134の改ざん検出を行う(S2119)。検知モジュール132は検出結果を判断部210へ送信する(S2120)。
次に、検知モジュール135は、一例として図15に示す監視パターンに従って、検知モジュール134の改ざん検出を行う(S2122)。検知モジュール135は検出結果を判断部210へ送信する(S2123)。
(c)検証処理の動作
検証処理では、検知モジュール検知処理において、判断部210が各検知モジュールから検出結果を受信し、改ざんされた異常な検知モジュールを特定する。
判断部210は、各検知モジュールから受信した改ざん検出結果が正常であるかを判断する(S2201)。検出結果が異常であった場合(S2201でNO)、検出結果を記憶する(S2202)。
判断部210は、すでに図22に示すように、S2111において受信した検知モジュール134による検出結果6052(検知モジュール135が改ざんされている)を保持しているとする。その後、S2122において、検知モジュール135が検知モジュール134の改ざん検出を行った結果、図23に示すように、検知モジュール134が「改ざんされていない」という検出結果2018を受信する。言い換えると、検知モジュール135は、検知モジュール135が「改ざんされている」と判定した検知モジュール134に対し、「改ざんされていない」と判定している。
ここで、仮に、S2110の時点で、検知モジュール134が改ざんされていないと仮定した場合には、検知モジュール134による改ざん検出結果は正しいため、判断部210は、検知モジュール135は改ざんされていると断定できる。
図20に戻り、判断部210は、異常な検知モジュールと特定した検知モジュールの無効化処理を実行するかを判断する(S2205)。無効化処理を実行しないと判断した場合(S2205でNO)、検証処理を終了する。無効化処理を実行すると判断した場合(S2205でYES)、異常な検知モジュールの無効化処理を実行する(S2206)。
図24のシーケンス図を用いて、無効化処理の詳細について説明する。
ここでは、検知モジュール135が改ざんされ、それを検知モジュール134が検出した場合の処理を例に、無効化処理の動作の詳細を説明する。
モジュール無効化部220は、検知モジュール134へ、改ざんされた検知モジュール135の無効化を依頼する(S2902)。
本発明に係る別の実施の形態2における検知システム11を説明する。
上記の実施の形態1では、異常な検知モジュールを無効化するために、改ざんされていると判定されていない検知モジュールを使用した。しかし、改ざんされていると判定されていない検知モジュールであっても、異常である可能性があるため、正しく異常な検知モジュールを無効化できるとは限らない。
る。
ここでは、検知システム11について、より具体的に説明する。
(1)全体構成
実施の形態2に係る検知システム11の構成について、図25を用いて説明する。
図25において、実施の形態1と同様の機能を有する構成要素には、図1と同一の符号を付し、詳細な説明を省略する。以下では、検知システム11の特徴的な構成要素及び処理について詳細に説明する。
監視パターン更新部230は、機器100内部の検知モジュール群130の監視パターンを更新する場合に、判断部210による監視パターン更新の指示に応じて、検知モジュール群130内の各検知モジュールの監視パターンを更新するために、無効化処理のための監視パターンを生成し、生成した監視パターンを各検知モジュールへ送信する。
(a)受信部801
受信部801は、判断部210から、監視パターンの生成を示す生成指示及び指示した時点での検知モジュールリストを受信する。検知モジュールリストは、機器100が有する検知モジュール群130に含まれる全ての検知モジュールをそれぞれ識別する識別番号を含んでいる。また、無効化すべき検知モジュールを識別する識別番号を受信する。
監視パターン生成部803は、受信部801から、制御部804を介して、検知モジュールリストを受信する。
なお、監視パターン生成部803は、全体の監視パターンとして、例えば、すべての検知モジュールが他のすべての検知モジュールを監視するように、決定してもよい。
送信部802は、通信部250及びネットワークを介して、機器100へ検知モジュール毎の監視パターンを送信する。また、判断部210へ監視パターンの生成及び送信の終了を通知する。
制御部804は、受信部801から、監視パターンの生成指示を受信する。
監視パターンの生成指示を受信すると、制御部804は、監視パターン生成部803に対して、機器100が有する検知モジュール群130における全体の監視パターンを生成し、検知モジュール毎の監視パターンを生成し、機器100へ検知モジュール毎の監視パターンを送信して、機器100において監視パターンの更新処理をさせるように、制御する。
図27及び図28は、検証処理の動作を示すフローチャートである。
図27のS2211からS2215までの動作は、実施の形態1における図20のS2201からS2205までの動作にそれぞれ対応し同様の動作であり、無効化処理(S2217)は、実施の形態1の無効化処理(S2206)と同様の動作であるため、説明を省略する。以下で、ステップS2216の処理について説明する。
図29及び図30は、正常モジュール特定処理の動作を示すフローチャートである。
判断部210は、無効化処理を実行すると判断し、監視パターン更新部230へ監視パターン生成指示を、検知モジュールリスト及び無効化すべき検知モジュールの識別番号と共に送信する(S2301)。ここでは、検知モジュール135を無効化すると判断した例を用いて説明する。
一方向に循環して改ざん検出処理を行う一群の検知モジュールとは、図31に示す具体例においては、検知モジュール131、検知モジュール132、検知モジュール133及び検知モジュール134である。図31の矢印A2100、A2101、A2102及びA2103が示すように、検知モジュール131が検知モジュール132を検証し、検知モジュール132が検知モジュール133を検証し、検知モジュール133が検知モジュール134を検証し、検知モジュール134が検知モジュール131を検証する関係を有している。
図29に戻り、監視パターン更新部230は、各検知モジュールへ監視パターンを送信する(S2303)。
監視パターンを更新した、各検知モジュールは、更新された監視パターンにしたがって、改ざん検出を実行する。
検知モジュール132は、検知モジュール133の改ざん検出を行い(S2310)、改ざん検出結果を判断部210へ送信する(S2311)。
検知モジュール134は、検知モジュール131の改ざん検出を行い(S2314)、改ざん検出結果を判断部210へ送信する(S2315)。
(a)特定処理の動作
図32は、特定処理の動作を示すフローチャートである。
図33によれば、○印2110、○印2111及び○印2112に表されるように、検知モジュール131は検知モジュール132を、検知モジュール132は検知モジュール133を、検知モジュール133は検知モジュール134を「改ざんされていない(正常)」と判定している。しかし、×印2113に表されるように、検知モジュール134は検知モジュール131を「改ざんされている(異常)」と判定している。
以上説明したように、循環監視パターンを用いて、すべての改ざん検出結果が「改ざんされていない(正常)」であると判定された場合に、すべての検知モジュールは改ざんされていない正常な検知モジュールであると特定することができる。また、循環監視パターンを用いることにより、最小限の監視数により、検知モジュールの監視を行うことができる。
本発明に係る実施の形態3としてのソフトウェア更新システム12について説明する。
ソフトウェア更新システム12においては、検知処理で保護制御モジュール120の改ざんを検出した場合、保護制御モジュール120を新しい保護制御モジュール121へ更新する。ソフトウェア更新システムにおける保護制御モジュール120の更新の方法は、特許文献3に詳しく記載されている方法に本発明を適用した方法である。ここでは、特許文献3における更新モジュールの更新機能を検知モジュールに含める。
(1)全体構成
ソフトウェア更新システム12の構成について、図34を用いて説明する。
(a)保護制御モジュール120aの構成
ここでは、保護制御モジュール120aの詳細について説明する。
同図に示すように、保護制御モジュール120aは、図3の保護制御モジュール120の構成に加え、暗復号鍵分散部308、証明書生成部309、暗復号鍵復元部310、及び暗復号鍵生成部311から構成される。
証明書生成部309は、暗復号鍵から生成された分散情報を復元したときに、正しく復元できたか否かを検証するために用いられる証明書を生成する。
(b)検知モジュール群130aの構成
検知モジュール群130aは、検知モジュール131a、132a、133a、134a、135aから構成されている。ここでは、検知モジュール131aの詳細について説明し、その他の検知モジュール132a、133a、134a、135aについての説明を省略する。
同図に示すように、検知モジュール131aは、図4の検知モジュール131の構成に加え、更新部407、認証部408、分散情報保持部409から構成される。
分散情報保持部409は、保護制御モジュール120aがアプリ110、111の暗復号処理に利用する暗復号鍵から生成した分散情報(share)と、保護制御モジュール120aが分散情報を配布したときの配置情報を保持する。配置情報は、どの分散情報をどの検知モジュールに配布したかを記述した情報である。
図37は、更新用ソフトウェア配布部240の機能的な構成を示す機能ブロック図である。
認証部904は、検知モジュール131a、132a、133a、134a、135a、及び保護制御モジュール120aと相互認証を行う。
暗号処理部906は、暗号鍵生成部905が生成した暗号鍵を用いて、更新用ソフトウェアを暗号化する。また、暗号処理部906は、各検知モジュール固有の鍵を用いて、暗号鍵を暗号化する。
更新用ソフトウェア保持部910は、保護制御モジュール120aが攻撃された場合に更新するための更新用の保護制御モジュールを保持する。
3.2 ソフトウェア更新システム12の動作
続いて、ソフトウェア更新システム12の動作を説明する。
ソフトウェア更新システム12は、上記実施の形態の初期設定処理(図10のS100)、検知処理(図10のS200)に加えて、次に示す4つの処理−解析・判断処理、相互認証処理、回復処理、次ラウンド準備処理を行う。図38はソフトウェア更新システム12の動作を示すフローチャートである。
次に、ソフトウェア更新システム12は、図13のS201で保護制御モジュール120aの改ざんが検出された場合に、保護制御モジュール120aを解析し、更新する必要があるか否か判断する解析・判断処理を行う(S300)。
回復処理とは、検知モジュール群130aに含まれる検知モジュール間で相互に改ざん検出処理を行った後、更新用の保護制御モジュールを機器100aへインストールし、そして、機器100aにおいて、検知モジュール131a、132a、133a、134a、135aへ埋め込まれた分散情報を用いて、保護制御モジュールを更新する処理である。
ここでは、図39に示すシーケンス図及び図40に示すフローチャートを用いて、ソフトウェア更新システム12の初期設定処理(図38のS101)の詳細について説明する。
(a)検知モジュール初期化処理の動作
図40は、検知モジュール初期化処理(図39のS1209)の動作を示すフローチャートである。
検知モジュール131aは、保護制御モジュール120aから分散情報、配置情報及び暗復号鍵証明書を受信し、受信した各情報を分散情報保持部409に保持する(S1301)。
図38のS200の検知処理は、実施の形態1や実施の形態2の検知処理の動作と同様であるので、ここでは省略する。
続いて、図41のシーケンス図を用いて、解析・判断処理(図38のS300)の詳細について説明する。なお、図41では、検知モジュール131a、132a、133a、134a、135aのそれぞれが個別に行う処理を、検知モジュール群130aが行う処理としてまとめて記載している。
判断部210は、改ざん情報に基づいて、保護制御モジュール120aを回復するか、機器100aをリボークするか、または、何もしないかを判断する(S3005)。
(5)相互認証処理の動作
次に、図42及び図43のシーケンス図を用いて、ソフトウェア更新システム12による相互認証処理(図38のS400)の詳細について説明する。
図43は、更新用ソフトウェア配布部240が各検知モジュール(一例として、検知モジュール131a)を認証するときのシーケンス図である。
更新用ソフトウェア配布部240は、それぞれの検知モジュールからレスポンスデータ、認証公開鍵及び認証鍵証明書を受信する(S4104)。更新用ソフトウェア配布部240は、認証鍵証明書が、自身が発行した証明書であるか否か検証し、更に、認証鍵証明書を用いて、認証公開鍵の正当性を検証する(S4105)。
認証鍵証明書及び認証公開鍵が正当であれば(S4105で「証明書及び鍵が正しい」)、更新用ソフトウェア配布部240は、認証公開鍵を用いて、受信したレスポンスデータがチャレンジデータの署名データと一致するか否か検証する(S4107)。
続いて、図44から51を用いて、回復処理(図38のS500)の詳細について説明する。回復処理は、上述した相互認証処理において、相互認証が成功した場合に、改ざんされた保護制御モジュール120aを、新しい更新用の保護制御モジュールへ更新する処理である。
先ず、各検知モジュール131a、132a、133a、134a、135aが、相互監視処理を行う(S5000)。相互監視処理では、各検知モジュールが、他の検知モジュールの改ざん検出処理を実行する。
そして、暗号化されたアプリ110、111を再暗号化する再暗号化処理を行う(S5200)。
ここでは、図45のシーケンス図を用いて、相互監視処理(図44のS5000)の詳細について説明する。
検知モジュール132aは、検知モジュール133aの改ざん検出を行う(S5003)。改ざん検出結果を判断部210へ送信する(S5004)。
検知モジュール134aは、検知モジュール135aの改ざん検出を行う(S5007)。改ざん検出結果を判断部210へ送信する(S5008)。
判断部210は各検知モジュールから、改ざん検出結果を受信する(S5011)。判断部210は、改ざんを検出した検知モジュールが存在するかを判定する(S5012)。改ざんを検出した検知モジュールが存在する場合(S5012でYES)、回復処理を停止する(S5013)。改ざんを検出した検知モジュールが存在しない場合(S5012でNO)、すべての検知モジュールは改ざんされていない正常な検知モジュールと特定し、処理を継続する。
続いて、図46から図49のシーケンス図を用いて、更新処理(図44のS5100)の詳細について説明する。
検知モジュール132aは、更新用ソフトウェア配布部240から第2の鍵を受信し、検知モジュール131aから暗号化新保護制御モジュールを受信する(S5116)。そして、第2の鍵を用いて、暗号化新保護制御モジュールを復号し、新しい保護制御モジュールを取得する(S5117)。
各検知モジュールは、更新処理終了通知を受信すると(S5124)、新しい保護制御モジュールのMAC値を生成し、生成したMAC値と保護制御モジュールの識別子との組を、MAC値テーブルに書き込む(S5125)。
上述した相互監視処理と更新処理とは、互いに連携しながら実行される。
相互監視処理は、更新用ソフトウェア配布部240から、検知モジュール群130aに含まれる検知モジュールを送信先として、複数の鍵(第1の鍵及び第2の鍵)がそれぞれ送られる第1の時間帯、及び、検知モジュール群130aに含まれる検知モジュールにより、多重暗号化新保護制御モジュール及び暗号化新保護制御モジュールがそれぞれ復号される第2の時間帯において、それぞれ、定期的に実施される。
先ず、機器100aは、管理装置200bから多重暗号化新保護制御モジュールが送付される前に(S5150の前に)、相互監視処理(相互監視1(S5160))を実施する。改ざんされた異常な検知モジュールを選択して、更新処理を行わないようにするためである。
ここで、相互監視処理において、検知モジュールに改ざんが検出された場合には、回復処理を停止する。これにより、管理装置200bは、第1の鍵や第2の鍵の送信を中止することが可能となり、攻撃者は、多重暗号化新保護制御モジュールを復号するための鍵を入手することが不可能となる。
続いて、図51のシーケンス図を用いて、再暗号化処理(図44のS5200)の詳細について説明する。
先ず、更新された保護制御モジュール(図51の説明においては、更新前の保護制御モジュール120aと区別するために、「保護制御モジュール121」という。)が、各検知モジュール131a、132a、133a、134a、135aに対して、それぞれが保持している分散情報及び暗復号鍵証明書の送信を依頼する(S5201)。
(7)次ラウンド準備処理の動作
続いて、図52のシーケンス図を用いて、次ラウンド準備処理(図38のS600)の詳細について説明する。次ラウンド準備処理では、回復処理(図38のS500)の終了後、次の回復処理のための準備を行う。以下、具体的に説明する。
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(2)上記各実施の形態では、検知処理の動作として、保護制御モジュール検知処理や検知モジュール検知処理を、複数回行うとしてもよい。
(a)本発明の別の変形例としての改ざん監視システム10cは、図54に示すように、管理装置200c及び情報セキュリティ装置100cから構成されている。
受信部230cは、情報セキュリティ装置100cから、各監視モジュールによる他の監視モジュールに対する監視結果を受信する。
特定部210cは、異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する。
上述したように、監視モジュール131c、132c、・・・、137cのそれぞれは、一の時点において、他の監視モジュールの改ざんを監視する。ここで、一の時点は、一瞬の時点のみならず、幅のある時間帯を含む概念であり、その時間帯内において、監視モジュールの改ざんがされることがないであろうと考えられる程度のものであればよい。例えば、1秒間、10秒間、1分間、1時間などである。また、さらに長い時間であるとしてもよい。各監視モジュールは、監視対象の監視モジュールが改ざんされているか否かを示す監視結果を、情報セキュリティ装置100cを介して、管理装置200cへ送信する。
検知モジュール(又は監視モジュール)による監視の開始から、全ての監視結果が取得されるまでの時間帯において、各モジュールは変化しないものとする。つまり、各モジュールがこの時間帯内において、改ざんされることはないものとする。この時間帯内に各モジュールが改ざんされるとすれば、改ざんされたモジュールの特定が困難になるからである。
図56に示すように、情報セキュリティ装置100cから受信する監視結果の集合C112は、監視結果C100、C101、C103、C106、C107、・・・から構成されている。各監視結果は、ID、監視元、監視先、結果、監視時刻を含む。
監視元は、当該監視結果を出力する監視元の監視モジュールを識別するモジュール識別子である。
結果は、当該監視結果を示す。結果「○」は、監視先の監視モジュールが改ざんされていないという判断結果を示し、結果「×」は、監視先の監視モジュールが改ざんされているという判断結果を示す。しかし、監視元の監視モジュールが改ざんされている場合には、改ざんされていない監視モジュールについて、結果「×」を出力したり、改ざんされている監視モジュールについて、結果「○」を出力したりする場合もありうる。
検出部220cは、受信部230cから監視結果を受け取り、受け取った監視結果のうちの一部の監視結果を用いて、つまり、一の監視モジュールに対する複数の監視結果を用いて、前記複数の監視結果の不一致を検出することにより、異常を検出する。一の監視モジュールに対する監視結果が2個存在する場合には、検出部220cは、受信した前記監視結果のうち、一の監視モジュールに対する第1の監視結果及び前記一の監視モジュールに対する第2の監視結果を用い、前記第1の監視結果と前記第2の監視結果が一致するか否かを判断することにより、前記第1の監視結果と前記第2の監視結果の不一致を検出する。
以上説明したように、検出部220cは、受信した全ての監視結果を用いることなく、受信した監視結果の一部を用いて、つまり、同一の監視モジュールに対する複数の監視結果のみを用いて、異常を検出する。
同一の監視モジュール136cに対する第1の監視結果C106と第2の監視結果C107とが一致していない旨の通知を受け取ると、特定部210cは、第1の監視結果C106を用いて、監視元の監視モジュール133cを特定する。次に、特定した監視モジュール133cに対して正常であるとする監視結果を検索する。図55に示す例においては、監視結果C101は、監視モジュール131cによる監視モジュール133cに対する監視結果であり、監視モジュール133cが正常であることを示しているので、監視モジュール133cの監視元の監視モジュールとして、監視モジュール131cを特定する。同様にして、監視モジュール131cに対して正常であるとする監視結果の検索を試みる。図55に示す例においては、監視モジュール131cを監視する監視モジュールによる監視結果は存在しないので、監視結果の検索は、ここで終了する。こうして、特定部210cは、監視モジュール131cを特定する。
仮に、監視モジュール131cが改ざんされていないと仮定すると、監視モジュール131cによる監視結果C101は、正しく、監視結果C101により、監視モジュール133cは、改ざんされていないこととなる。また、監視モジュール133cによる監視結果C106によると、監視モジュール136cは、改ざんされている。一方、上記の仮定に基づいて、監視結果C100により、監視モジュール132cは、改ざんされておらず、監視結果C103により、監視モジュール134cは、改ざんされておらず、監視結果C107により、監視モジュール136cは、改ざんされていない。
特定部210cは、検出部220cから同一の監視モジュールに対する第1の監視結果と第2の監視結果とが一致していない旨の通知を受け取る(ステップS501)。
特定部210cは、第1の監視結果を用いて、第1の監視結果を出力した監視元の監視モジュールを特定する(ステップS503)。次に、特定部210cは、特定した監視モジュールに対して正常であるとする監視結果を検索し、監視結果が存在しない場合(ステップS504で「無し」)、ステップS509へ制御を移す。監視結果が存在する場合(ステップS504で「有り」)、この監視結果を用いて、当該監視結果を出力した監視元の監視モジュールを特定し(ステップS505)、ステップS504へ戻って、処理を繰り返す。
上述したように、監視モジュール131c、132c、・・・、137cのそれぞれは、第1の時点において、他の監視モジュールの改ざんを監視する。ここで、第1の時点は、一瞬の時点のみならず、幅のある時間帯を含む概念である。各監視モジュールは、監視対象の監視モジュールが改ざんされているか否かを示す第1の時点における監視結果を、情報セキュリティ装置100cを介して、管理装置200cへ送信する。
図58(a)及び(b)に示す例の場合に、監視モジュール131cが改ざんされておらず、正常であると仮定する。時刻tがkのときに、監視モジュール131cは、監視モジュール132cが改ざんされていると判定しているが、時刻tがk+iのときに、監視モジュール131cは、監視モジュール132cが正常であると判定している。監視モジュール132cが時刻tがkからk+iの間において、正常に戻ることはあり得ないので、監視結果C121とC122との間に矛盾が生じている。従って、監視モジュール131cが正常であるとした仮定が誤りであり、監視モジュール131cは、改ざんされた監視モジュールであると結論付けることができる。
上述したように、監視モジュール131c、132c、・・・、137cのそれぞれは、第1の時点において、他の監視モジュールの改ざんを監視する。ここで、第1の時点は、上述したように、幅のある時間帯を含む概念である。各監視モジュールは、監視対象の監視モジュールが改ざんされているか否かを示す第1の時点における監視結果を、情報セキュリティ装置100cを介して、管理装置200cへ送信する。
図60(a)及び(b)に示す例の場合に、時刻tがkのときに、監視モジュール131cは、監視モジュール132cが改ざんされていると判定し、時刻tがk+iのときに、監視モジュール132cは、監視モジュール131cが正常であると判定している。
また、監視モジュール131cが改ざんされた監視モジュールであるとする場合、監視結果C133により、改ざんされた監視モジュールを正常と判断しているので、監視モジュール132cは、改ざんされた監視モジュールである。
(8)次のように構成してもよい。
通常モードにおいて、管理装置及び情報セキュリティ装置(機器)は、異常なつまり改ざんされた検知モジュール(又は監視モジュール)を特定することを目的として動作する。通常モードは、言わば、異常モジュール特定モードである。通常モードにおいては、第1に、検知モジュール(監視モジュール)は、保護制御モジュールへの攻撃、つまり、保護制御モジュールの改ざんを検知する。第2に、複数の検知モジュール(複数の監視モジュール)は、相互に、異常つまり改ざんの検知(又は監視)を行う。
異常モードにおいて、第1に、管理装置及び情報セキュリティ装置(機器)は、保護制御モジュールの危殆化、つまり、改ざんを検知した場合、情報セキュリティ装置(機器)の保護制御モジュールを正常な保護制御モジュールに更新する。第2に、異常なモジュールを検出した場合に、異常なモジュールを無効化する。第3に、検知モジュール(又は監視モジュール)が有する監視パターンを新たな監視パターンに更新する。監視パターンの更新については、次にその一例を説明する。
(a)本発明の別の変形例としての改ざん監視システム10dは、図62に示すように、管理装置200d及び情報セキュリティ装置100dから構成されている。
特定部210dは、複数の監視モジュール131d、132d、・・・、137dのうち、改ざんされた監視モジュールを特定する。
情報セキュリティ装置100dは、正常監視モジュール毎の監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する。
(b)管理装置200dについて、さらに詳細に説明する。
改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置であって、前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信回路と、受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出回路と、異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定回路とを備える。
改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置であって、前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定回路と、複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成回路と、生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信回路とを備える。前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する。
改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理用のコンピュータプログラムを記録しているコンピュータ読み取り可能な非一時的なプログラム記録媒体であるとしてもよい。前記コンピュータプログラムは、コンピュータである管理装置に、前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信ステップと、受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出ステップと、異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定ステップとを実行させることを特徴とする。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
本発明の一実施態様は、ネットワークを介して接続されている情報処理装置上で動作する検知モジュールのうち改ざんされた異常な検知モジュールを特定する管理装置であって、前記管理装置は、前記情報処理装置内の複数の検知モジュールから改ざん検出結果を受信する受信手段と、前記改ざん検出結果のうち、異常と判定した結果を保持する改ざん検出結果保持手段と、前記複数の検知モジュールのうちの一つを正常な検知モジュールと仮定し、前記仮定に基づいて、前記改ざん検出結果保持手段で保持する改ざん検出結果と、新たに受信した改ざん検出結果に矛盾の有無を判断し、矛盾がある場合に、正常と仮定した前記検知モジュールを異常な検知モジュールと特定する異常モジュール特定手段を備えることを特徴とする。
これにより、検出した異常な検知モジュールを無効化することにより、異常な検知モジュールに妨害されることなく情報処理装置が動作することができ、情報処理装置の信頼性をより高めることができる。
また、前記情報処理装置が有する少なくとも1個の検知モジュールは、他のモジュールを更新する機能を備える更新モジュールであり、前記管理装置は、さらに、複数の検知モジュールのうち、異常な検知モジュールと特定した検知モジュール以外のすべての検知モジュールの改ざん検出を一方向に循環して改ざん検出を行う循環パターンへ更新させる監視パターン更新指示手段と、前記循環パターンの複数の検知モジュールが一方向に循環して改ざん検出を行った結果がすべて正常である場合に、前記複数の検知モジュールを正常な検知モジュールと特定するする正常モジュール特定手段を備え、正常な検知モジュールと特定された前記検知モジュールが、他のモジュールを更新する機能を有する前記更新モジュールである場合に、更新モジュールである当該検知モジュールに対して、他のモジュールを更新するように、制御する制御手段を備えるとしてもよい。
また、前記情報処理装置は、さらに、アプリケーションプログラム及び当該アプリケーションプログラムを保護する保護制御モジュールを有し、前記他のモジュールは、前記検知モジュール、前記アプリケーションプログラム、又は前記保護制御モジュールであるとしてもよい。
ここで、前記検知システムにおいて、前記管理装置は、さらに、複数の検知モジュールのうち、異常な検知モジュールと特定した検知モジュール以外のすべての検知モジュールの改ざん検出を一方向に循環して改ざん検出を行う循環パターンへ更新させる監視パターン更新指示手段と、前記循環パターンの複数の検知モジュールが一方向に循環して改ざん検出を行った結果がすべて正常である場合に、前記複数の検知モジュールを正常な検知モジュールと特定する正常モジュール特定手段を備えるとしてもよい。
以上、本発明を添付図面を用いて詳細に説明したが、種々の改良や変形が当業者に明らかとなり得ることは言うまでもない。したがって、かかる改良や変形が本発明の範囲を逸脱しない限り、これらも本発明に含まれると理解されるべきである。
12 ソフトウェア更新システム
100、100a 機器
110、111 アプリ
120、120a 保護制御モジュール
121 新しい保護制御モジュール
130、130a 検知モジュール群
131、132、133、134、135 検知モジュール
131a、132a、133a、134a、135a 検知モジュール
140 アクセス制御モジュール
150 OS
160 ブートローダ
171 CPU
172 EEPROM
173 RAM
174 NIC
200、200a、200b 管理装置
210 判断部
220 モジュール無効化部
230 監視パターン更新部
240 更新用ソフトウェア配布部
250 通信部
301 受信部
302 送信部
303 制御部
304 復号ロード部
305 改ざん検出部
306 解析ツール検出部
307 暗復号鍵保持部
308 暗復号鍵分散部
309 証明書生成部
310 暗復号鍵復元部
311 暗復号鍵生成部
401 受信部
402 送信部
403 制御部
404 検証部
405 MAC値生成部
406 MAC値テーブル更新部
407 更新部
408 認証部
409 分散情報保持部
501 受信部
502 送信部
503 アクセス情報保持部
601 受信部
602 送信部
603 指示生成部
604 モジュール特定部
605 検出結果保持部
701 受信部
702 送信部
703 アクセス情報取得鍵保持部
704 検知モジュール選択部
801 受信部
802 送信部
803 監視パターン生成部
804 制御部
901 受信部
902 送信部
903 制御部
904 認証部
905 暗号鍵生成部
906 暗号処理部
907 検知モジュール選択部
908 証明書生成部
909 署名秘密鍵保持部
910 更新用ソフトウェア保持部
911 暗号鍵保持部
Claims (15)
- 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置であって、
前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信手段と、
受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出手段と、
異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定手段と
を備えることを特徴とする管理装置。 - 前記検出手段は、一の監視モジュールに対する複数の監視結果を用いて、前記複数の監視結果の不一致を検出し、
前記特定手段は、前記複数の監視結果のそれぞれを用いて、監視先の監視モジュールから監視元の監視モジュールへ遡ることにより、改ざんされた前記監視モジュールを特定する
ことを特徴とする請求項1に記載の管理装置。 - 前記情報セキュリティ装置の各監視モジュールは、一の時点において、他の監視モジュールの改ざんを監視し、その監視結果を送信し、
前記受信手段は、前記一の時点における前記監視結果を受信し、
前記検出手段は、受信した前記監視結果のうち、一の監視モジュールに対する第1の監視結果と第2の監視結果とが一致するか否かを判断することにより、前記第1の監視結果と前記第2の監視結果の不一致を検出し、
前記特定手段は、前記第1の監視結果及び前記第2の監視結果のそれぞれを用いて、監視先の監視モジュールから監視元の監視モジュールへ遡り、前記第1の監視結果及び前記第2の監視結果毎に、正常であるとするその他の前記監視結果を用いて監視先の監視モジュールから監視元の監視モジュールへ遡ることを繰り返すことにより、同一の監視モジュールに到達するか否かを判断し、同一の監視モジュールに到達すると判断する場合に、当該同一の監視モジュールを改ざんされた監視モジュールとして特定する
ことを特徴とする請求項2に記載の管理装置。 - 前記情報セキュリティ装置の各監視モジュールは、第1の時点において、他の監視モジュールの改ざんを監視し、その監視結果を送信し、前記第1の時点より後の第2の時点において、他の監視モジュールの改ざんを監視し、その監視結果を送信し、
前記受信手段は、前記第1の時点における前記監視結果及び前記第2の時点における前記監視結果を受信し、
前記検出手段は、受信した前記監視結果のうち、前記第1の時点における第1監視モジュールによる第2監視モジュールに対する第1の監視結果が前記第2監視モジュールが改ざんされていることを示し、前記第2の時点における前記第1監視モジュールによる前記第2監視モジュールに対する第2の監視結果が前記第2監視モジュールが改ざんされていないことを示すという不一致を検出し、
前記特定手段は、前記不一致が検出された場合に、前記第1監視モジュールを改ざんされた監視モジュールとして特定する
ことを特徴とする請求項2に記載の管理装置。 - 前記情報セキュリティ装置の各監視モジュールは、第1の時点において、他の監視モジュールの改ざんを監視し、その監視結果を送信し、前記第1の時点より後の第2の時点において、他の監視モジュールの改ざんを監視し、その監視結果を送信し、
前記受信手段は、前記第1の時点における前記監視結果及び前記第2の時点における前記監視結果を受信し、
前記検出手段は、受信した前記監視結果のうち、前記第1の時点における第1監視モジュールによる第2監視モジュールに対する第1の監視結果が前記第2監視モジュールが改ざんされていることを示し、前記第2の時点における前記第2監視モジュールによる前記第1監視モジュールに対する第2の監視結果が前記第1監視モジュールが改ざんされていないことを示すという異常を検出し、
前記特定手段は、前記第1の監視結果が前記第2監視モジュールが改ざんされたことを示し、前記第2の監視結果が前記第1監視モジュールが改ざんされていないことを示す場合に、前記第2監視モジュールを改ざんされた監視モジュールとして特定する
ことを特徴とする請求項1に記載の管理装置。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理方法であって、
前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信ステップと、
受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出ステップと、
異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定ステップと
を含むことを特徴とする管理方法。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理用のコンピュータプログラムを記録しているコンピュータ読み取り可能な記録媒体であって、
コンピュータである管理装置に、
前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信ステップと、
受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出ステップと、
異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定ステップとを実行させるための前記コンピュータプログラムを記録している記録媒体。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する集積回路であって、
前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信手段と、
受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出手段と、
異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定手段と
を備えることを特徴とする集積回路。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置と、前記情報セキュリティ装置を管理する管理装置とから構成される監視システムであって、
前記管理装置は、
前記情報セキュリティ装置から、各監視モジュールによる他の監視モジュールに対する監視結果を受信する受信手段と、
受信した監視結果のうち、一部の監視結果を用いて異常を検出する検出手段と、
異常が検出された場合に、検出された異常に係る監視結果の生成元の監視モジュール、及び、当該監視モジュールを起点として、連鎖的に監視結果を生成元へ辿ることにより、特定される監視モジュールの中から、改ざんされた監視モジュールを特定する特定手段と
を備えることを特徴とする監視システム。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置であって、
前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定手段と、
複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成手段と、
生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信手段とを備え、
前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する
ことを特徴とする管理装置。 - 前記生成手段により生成される前記複数の監視パターンは、循環型の監視パターンを構成する
ことを特徴とする請求項10に記載の管理装置。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理方法であって、
前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定ステップと、
複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成ステップと、
生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信ステップとを含み、
前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する
ことを特徴とする管理方法。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する管理装置で用いられる管理用のコンピュータプログラムを記録しているコンピュータ読み取り可能な記録媒体であって、
コンピュータである管理装置に、
前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定ステップと、
複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成ステップと、
生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信ステップとを実行させるためのコンピュータプログラムを記録しており、
前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する
ことを特徴とする記録媒体。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置を管理する集積回路であって、
前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定手段と、
複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成手段と、
生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信手段とを備え、
前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する
ことを特徴とする集積回路。 - 改ざんを監視する複数の監視モジュールを有する情報セキュリティ装置と、前記情報セキュリティ装置を管理する管理装置とから構成される監視システムであって、
前記管理装置は、
前記複数の監視モジュールのうち、改ざんされた監視モジュールを特定する特定手段と、
複数の監視モジュールのうち、改ざんされた監視モジュールを除く残りの正常監視モジュール毎に、各正常監視モジュールが他のただ一つの正常監視モジュールのみを監視し、各正常監視モジュールが他のただ一つの正常監視モジュールのみから監視されるように、監視先の正常監視モジュールを示す監視パターンを生成する生成手段と、
生成した正常監視モジュール毎の監視パターンを前記情報セキュリティ装置へ送信する送信手段とを備え、
前記情報セキュリティ装置は、正常監視モジュール毎の前記監視パターンを受信し、各正常監視モジュールに対して、受信した監視パターンに書き換えるように制御する
ことを特徴とする監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011089302A JP5681028B2 (ja) | 2010-04-26 | 2011-04-13 | 改ざん監視システム、管理装置及び管理方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010100611 | 2010-04-26 | ||
JP2010100611 | 2010-04-26 | ||
JP2011089302A JP5681028B2 (ja) | 2010-04-26 | 2011-04-13 | 改ざん監視システム、管理装置及び管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011248865A true JP2011248865A (ja) | 2011-12-08 |
JP5681028B2 JP5681028B2 (ja) | 2015-03-04 |
Family
ID=44816927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011089302A Active JP5681028B2 (ja) | 2010-04-26 | 2011-04-13 | 改ざん監視システム、管理装置及び管理方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8707430B2 (ja) |
JP (1) | JP5681028B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014099020A (ja) * | 2012-11-14 | 2014-05-29 | Toshiba Corp | 情報処理装置および制御方法 |
JP2014241116A (ja) * | 2013-06-12 | 2014-12-25 | 株式会社島津製作所 | ファイル改ざん検知システム |
JP2016538609A (ja) * | 2013-09-27 | 2016-12-08 | インカ・エントワークス・インコーポレイテッドInka Entworks, Inc. | ハッシュを利用したプログラムの無欠性検証方法 |
JP2021048471A (ja) * | 2019-09-18 | 2021-03-25 | 富士通株式会社 | 鍵管理装置、鍵管理方法、および鍵管理プログラム |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120331303A1 (en) * | 2011-06-23 | 2012-12-27 | Andersson Jonathan E | Method and system for preventing execution of malware |
US9092427B2 (en) | 2012-06-08 | 2015-07-28 | Lockheed Martin Corporation | Dynamic trust session |
US8925059B2 (en) | 2012-06-08 | 2014-12-30 | Lockheed Martin Corporation | Dynamic trust connection |
US9058494B2 (en) | 2013-03-15 | 2015-06-16 | Intel Corporation | Method, apparatus, system, and computer readable medium to provide secure operation |
GB201309577D0 (en) * | 2013-05-29 | 2013-07-10 | Barclays Bank Plc | Linked registration |
WO2015060858A1 (en) * | 2013-10-24 | 2015-04-30 | Intel Corporation | Methods and apparatus for protecting software from unauthorized copying |
JP7321795B2 (ja) * | 2019-06-27 | 2023-08-07 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
CN111356027A (zh) * | 2020-03-25 | 2020-06-30 | 山东云缦智能科技有限公司 | 一种新型iptv监测装置 |
EP3944108A1 (de) * | 2020-07-21 | 2022-01-26 | Siemens Aktiengesellschaft | Revokation von zertifikaten in einer technischen anlage |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000047906A (ja) * | 1998-07-30 | 2000-02-18 | Yokogawa Electric Corp | 分散オブジェクトのダウン検出装置及び分散オブジェクトの接続関係決定方法 |
JP2000293370A (ja) * | 1999-04-09 | 2000-10-20 | Konami Co Ltd | コンピュータシステム、コンピュータプログラムの実行方法及びコンピュータプログラム記録媒体 |
JP2007114941A (ja) * | 2005-10-19 | 2007-05-10 | Nec Corp | 相互監視システム、相互監視装置、相互監視方法およびプログラム |
JP2009009557A (ja) * | 2007-05-30 | 2009-01-15 | Hitachi Ltd | 分散システム |
WO2009119049A1 (ja) * | 2008-03-25 | 2009-10-01 | パナソニック株式会社 | 電子端末、制御方法、コンピュータプログラム及び集積回路 |
WO2009118801A1 (ja) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | ソフトウェア更新装置、ソフトウェア更新システム、無効化方法、及び無効化プログラム |
WO2010092830A1 (ja) * | 2009-02-16 | 2010-08-19 | パナソニック株式会社 | 改竄監視システム、管理装置及び改竄管理方法 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2837446B2 (ja) | 1989-07-21 | 1998-12-16 | カヤバ工業株式会社 | 二段作動ステーダンパ |
US6219708B1 (en) * | 1996-05-30 | 2001-04-17 | Multi-Tech Systems, Inc. | System for network resource management |
US6128310A (en) * | 1997-02-14 | 2000-10-03 | Advanced Micro Devices, Inc. | Multiport data network switch having a random number generator shared by multiple media access controllers |
US6073165A (en) * | 1997-07-29 | 2000-06-06 | Jfax Communications, Inc. | Filtering computer network messages directed to a user's e-mail box based on user defined filters, and forwarding a filtered message to the user's receiver |
US6065053A (en) * | 1997-10-01 | 2000-05-16 | Micron Electronics, Inc. | System for resetting a server |
US6128279A (en) * | 1997-10-06 | 2000-10-03 | Web Balance, Inc. | System for balancing loads among network servers |
US6301266B1 (en) * | 1999-02-10 | 2001-10-09 | Motorola, Inc. | Network manager and method thereof for a communication system |
US7661135B2 (en) * | 2004-08-10 | 2010-02-09 | International Business Machines Corporation | Apparatus, system, and method for gathering trace data indicative of resource activity |
JP4891902B2 (ja) * | 2005-06-01 | 2012-03-07 | パナソニック株式会社 | 電子機器、更新サーバ装置、鍵更新装置 |
US7904726B2 (en) * | 2006-07-25 | 2011-03-08 | International Business Machines Corporation | Systems and methods for securing event information within an event management system |
WO2008099682A1 (ja) | 2007-02-16 | 2008-08-21 | Panasonic Corporation | 分散情報配布装置、保持装置、認証局装置及びシステム |
US8695089B2 (en) * | 2007-03-30 | 2014-04-08 | International Business Machines Corporation | Method and system for resilient packet traceback in wireless mesh and sensor networks |
US8464347B2 (en) | 2008-03-28 | 2013-06-11 | Panasonic Corporation | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
US20100107245A1 (en) * | 2008-10-29 | 2010-04-29 | Microsoft Corporation | Tamper-tolerant programs |
US8230228B2 (en) * | 2008-10-31 | 2012-07-24 | International Business Machines Corporation | Support of tamper detection for a log of records |
CN101888311B (zh) * | 2009-05-11 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种防止网络内容被篡改的设备、方法和系统 |
EP2262259A1 (en) * | 2009-06-08 | 2010-12-15 | Nagravision S.A. | Method for monitoring execution of data processing program instructions in a security module |
US8458798B2 (en) * | 2010-03-19 | 2013-06-04 | Aspect Security Inc. | Detection of vulnerabilities in computer systems |
-
2011
- 2011-04-13 JP JP2011089302A patent/JP5681028B2/ja active Active
- 2011-04-19 US US13/089,433 patent/US8707430B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000047906A (ja) * | 1998-07-30 | 2000-02-18 | Yokogawa Electric Corp | 分散オブジェクトのダウン検出装置及び分散オブジェクトの接続関係決定方法 |
JP2000293370A (ja) * | 1999-04-09 | 2000-10-20 | Konami Co Ltd | コンピュータシステム、コンピュータプログラムの実行方法及びコンピュータプログラム記録媒体 |
JP2007114941A (ja) * | 2005-10-19 | 2007-05-10 | Nec Corp | 相互監視システム、相互監視装置、相互監視方法およびプログラム |
JP2009009557A (ja) * | 2007-05-30 | 2009-01-15 | Hitachi Ltd | 分散システム |
WO2009119049A1 (ja) * | 2008-03-25 | 2009-10-01 | パナソニック株式会社 | 電子端末、制御方法、コンピュータプログラム及び集積回路 |
WO2009118801A1 (ja) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | ソフトウェア更新装置、ソフトウェア更新システム、無効化方法、及び無効化プログラム |
WO2010092830A1 (ja) * | 2009-02-16 | 2010-08-19 | パナソニック株式会社 | 改竄監視システム、管理装置及び改竄管理方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014099020A (ja) * | 2012-11-14 | 2014-05-29 | Toshiba Corp | 情報処理装置および制御方法 |
JP2014241116A (ja) * | 2013-06-12 | 2014-12-25 | 株式会社島津製作所 | ファイル改ざん検知システム |
JP2016538609A (ja) * | 2013-09-27 | 2016-12-08 | インカ・エントワークス・インコーポレイテッドInka Entworks, Inc. | ハッシュを利用したプログラムの無欠性検証方法 |
JP2021048471A (ja) * | 2019-09-18 | 2021-03-25 | 富士通株式会社 | 鍵管理装置、鍵管理方法、および鍵管理プログラム |
Also Published As
Publication number | Publication date |
---|---|
US8707430B2 (en) | 2014-04-22 |
JP5681028B2 (ja) | 2015-03-04 |
US20110265180A1 (en) | 2011-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5681028B2 (ja) | 改ざん監視システム、管理装置及び管理方法 | |
JP5453324B2 (ja) | 不正モジュール特定装置、情報処理装置、不正モジュール特定方法、不正モジュール特定プログラム、集積回路、不正モジュール無効化システム、および不正モジュール無効化方法 | |
JP5405986B2 (ja) | ソフトウェア更新システム、管理装置、記録媒体及び集積回路 | |
JP5390532B2 (ja) | 監視システム、プログラム実行装置、監視プログラム、記録媒体及び集積回路 | |
CN103827881B (zh) | 用于设备操作系统中的动态平台安全的方法和系统 | |
US9594909B2 (en) | Software updating apparatus, software updating system, invalidation method, and invalidation program | |
JP5744855B2 (ja) | 改ざん監視システム、管理装置及び改ざん管理方法 | |
AU2006313311B2 (en) | Secure read-write storage device | |
JP5453323B2 (ja) | 改竄監視システム、管理装置及び改竄管理方法 | |
US20110246783A1 (en) | Information processing device, management device, illegal module detection system, illegal module detection method, recording medium on which illegal module detection program is recorded, management method, recording medium and integrated circuit on which management method is recorded | |
CN101729545A (zh) | 安全咨询系统 | |
Jarvis et al. | Inside a targeted point-of-sale data breach | |
CN110737448A (zh) | 一种包含有微控制器的固件加密系统及其固件保护和升级方法 | |
da Silveira Serafim et al. | Restraining and repairing file system damage through file integrity control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140124 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140606 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141028 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141216 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150108 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5681028 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |