JP2015052950A - データ記憶装置、セキュアio装置 - Google Patents
データ記憶装置、セキュアio装置 Download PDFInfo
- Publication number
- JP2015052950A JP2015052950A JP2013185766A JP2013185766A JP2015052950A JP 2015052950 A JP2015052950 A JP 2015052950A JP 2013185766 A JP2013185766 A JP 2013185766A JP 2013185766 A JP2013185766 A JP 2013185766A JP 2015052950 A JP2015052950 A JP 2015052950A
- Authority
- JP
- Japan
- Prior art keywords
- data
- storage
- write
- area
- security information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Abstract
【課題】 記憶装置のハードウェア装置の内部で独自にセキュリティ情報を保持しデータの書き込み禁止や読み出し禁止を実現することができるデータ記憶装置を提供する。
【解決手段】 任意のサイズの任意の個数のデータについて、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せなどのセキュリティ指定を行う手段として、データ保持用の記憶部品の他に、セキュリティ情報保持用の記憶部品を用意する。データ保持用記憶部品の記憶単位毎に、セキュリティ情報用記憶部品に対応するセキュリティ情報を保持しておくことにより、データへのアクセス要求が発生したら、そのデータ保持用の記憶領域に対応したセキュリティ情報を参照し、そのセキュリティ情報に従った動作を行わせる。
【選択図】 図1
【解決手段】 任意のサイズの任意の個数のデータについて、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せなどのセキュリティ指定を行う手段として、データ保持用の記憶部品の他に、セキュリティ情報保持用の記憶部品を用意する。データ保持用記憶部品の記憶単位毎に、セキュリティ情報用記憶部品に対応するセキュリティ情報を保持しておくことにより、データへのアクセス要求が発生したら、そのデータ保持用の記憶領域に対応したセキュリティ情報を参照し、そのセキュリティ情報に従った動作を行わせる。
【選択図】 図1
Description
本発明は、データ記憶装置およびセキュアIO装置に関するものである。
データの書き込み禁止や読み出し禁止は、OSや応用プログラムなどのソフトウェアによる実現が一般的で広く用いられている。しかし、複雑化しているソフトウェアには様々な脆弱性が存在し、ネットワークからの侵入やマルウェアの感染により不正なデータアクセスを許してしまう事例が多く発生している。
ハードウェアによるデータ保護手段としては、SDカード、フロッピーディスク、ケース入り磁気テープメディアなどには、書き込み禁止スイッチがついているものがある。また、ハードディスクに装着しそのディスクを書き込みから保護する装置が市販されている。しかし、これらはいずれもメディア単位での書き込み保護を行うもので、個数やサイズが任意のデータについて書き込み禁止や読み出し禁止やユーザにアクセスの許可を求めることはできない。また、ストレージに加えて、多種のIOポートを連携させてセキュアデータの処理を行う装置も市販されていない。
任意のサイズの任意の個数のデータについて、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せなどのセキュリティ指定が行える保護機能付き記憶装置であって、当該記憶装置を利用するOSや応用プログラムからは、保護対象データの変更や保護内容の変更、保護機能の入り切りなどの制御が行えないものを実現する。
ユーザへのアクセス違反の通知やアクセス許可の問合せは、通常のPCとは別個のディスプレイやタッチパネルなどを用意することもできるが、装置が大きくなり小型化しにくい。
本発明は、上記課題に鑑みて提案されたものである。すなわち、記憶装置のハードウェア装置の内部で独自にセキュリティ情報を保持しデータの書き込み禁止や読み出し禁止を実現することができるデータ記憶装置の提供を目的とする。
上記目的を達成するために、本発明に係るデータ記憶装置は、指定したデータ領域を書き込み禁止にすることができ、書き込み禁止領域への書き込み要求があった場合は、当該領域の書き込みを行わず、その情報を記録したり、ユーザにその旨知らせたりする、ことを特徴とする。
本発明に係るデータ記憶装置は、指定したデータ領域を読み出し禁止にすることができ、読み出し禁止領域への読み出し要求があった場合は、当該領域の読み出しを行わず、ダミーデータを返したり、その情報を記録したり、ユーザにその旨知らせたりする、ことを特徴とする。
本発明に係るデータ記憶装置は、指定したデータ領域を書き込み問合せや書き込み問合せとすることができ、当該データ領域への書き込み要求や読み出し要求があった場合は、ユーザに書き込みや読み出しの可否を問い合わせて、許可の返答があった場合にのみ書き込みや読み出しを行う機能を有する、ことを特徴とする。
本発明に係るデータ記憶装置は、任意の個数やサイズの記憶領域に対し、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せのセキュリティ指定を行う手段として、データ保持用の記憶部品の他に、セキュリティ情報保持用の記憶部品を用意し、データ保持用記憶部品の記憶単位毎に、セキュリティ情報用記憶部品に対応するセキュリティ情報を保持しておくことにより、データへのアクセス要求が発生したら、そのデータ保持用の記憶領域に対応したセキュリティ情報を参照し、そのセキュリティ情報に従った動作を行う、ことを特徴とする。
本発明に係るデータ記憶装置は、先の請求項において、セキュリティ情報保持用の記憶部品をデータ保持用記憶部品とは別個に用意せず、データ保持用記憶部品を兼用する手法。すなわち、データ保持用記憶部品の記憶領域の一部をデータ領域としては使用せずユーザからは見えない領域とし、その領域にセキュリティ情報を保持する、ことを特徴とする。
本発明に係るセキュアIO装置は、多種のIOポートについて、それらをハードウェアで直接制御することにより、PC上のOSや応用プログラムからは感知されずに、セキュアなデータのIOを独自に行う、ことを特徴とする。
本発明に係るデータ記憶装置およびセキュアIO装置は上記した構成である。この構成により、記憶装置のハードウェア装置の内部で独自にセキュリティ情報を保持しデータの書き込み禁止や読み出し禁止を実現することができる。また、OSや応用プログラムからは全くその保護機能の制御を行うことはできないため安全である。
次に、本発明の実施形態を図面に基づいて説明する。
<はじめに>
工場・プラントなどの生産システムをはじめ、列車・交通システム、携帯電話などの無線通信網、コンピュータネットワークやそれを用いたクラウドはじめ各種情報サービスなど、現代の主要な社会インフラは、制御システムの基盤の上に成り立っている。今まで、情報システムに対しては、フィッシング、コンピュータウイルス、サイバー攻撃などの被害が多発しその対策が講じられてきたが、工場や通信網といった制御システムへの攻撃はあまり発生せずその対策も重要視されて来なかった。それは、制御システムへの攻撃が、個人の利益とは結びつきにくいことや、制御システムが独自OSや独自通信プロトコルを採用しているものが多く攻撃のためのツールも揃っておらず、手軽に攻撃を行うことが困難であったことなどが理由あった。
工場・プラントなどの生産システムをはじめ、列車・交通システム、携帯電話などの無線通信網、コンピュータネットワークやそれを用いたクラウドはじめ各種情報サービスなど、現代の主要な社会インフラは、制御システムの基盤の上に成り立っている。今まで、情報システムに対しては、フィッシング、コンピュータウイルス、サイバー攻撃などの被害が多発しその対策が講じられてきたが、工場や通信網といった制御システムへの攻撃はあまり発生せずその対策も重要視されて来なかった。それは、制御システムへの攻撃が、個人の利益とは結びつきにくいことや、制御システムが独自OSや独自通信プロトコルを採用しているものが多く攻撃のためのツールも揃っておらず、手軽に攻撃を行うことが困難であったことなどが理由あった。
しかし、某原子力施設においてウラン濃縮のための多数の遠心分離器を長期間に渡って故障させ続けたStuxnetというマルウェアの存在が明らかになり、産業用制御機器の脆弱性が認識された。これは、産業、軍事、交通、電力といった社会基盤への深刻な脅威である。国内でもマルウェアの攻撃が確認され、その対策が急務となっている。
<制御システムの特徴とセキュア化の問題点>
制御システムの一般的な構成を図3に示す。すなわち、工場やプラントなどで物理的な制御を行う機器が制御ネットワークでそれらを制御するDCS(Distributed Control System)やPLC(Programmable Logic Controller)に接続され、その上位では情報系制御ネットワークによりDCSやPLCにプログラミングを行うエンジニアリングPCに接続されている。その上位には、ファイアウォールを介してオフィス系のPCなどが接続されている。そして、それらは上位のファイアウォールを介して外部のインターネットと接続されている。
制御システムの一般的な構成を図3に示す。すなわち、工場やプラントなどで物理的な制御を行う機器が制御ネットワークでそれらを制御するDCS(Distributed Control System)やPLC(Programmable Logic Controller)に接続され、その上位では情報系制御ネットワークによりDCSやPLCにプログラミングを行うエンジニアリングPCに接続されている。その上位には、ファイアウォールを介してオフィス系のPCなどが接続されている。そして、それらは上位のファイアウォールを介して外部のインターネットと接続されている。
制御システムのセキュリティ向上のためには主に、この制御系情報ネットワーク機器のセキュリティ対策が必要となる。これら機器の特徴を以下に示す。
・可用性が重視(止められない)
・応答時間が重視(リアルタイム処理)
・重い処理は困難(機器のリソースやリアルタイム処理から)
・プログラムの更新が困難(可用性,リアルタム処理,リソースから)
・長期間の利用(10年〜20年)
・独自OSや独自プロトコルを使用
・コントローラには汎用PCやオープンな規格も
・ダウン時に被害が大きい
・標的型の高度な攻撃がある
・可用性が重視(止められない)
・応答時間が重視(リアルタイム処理)
・重い処理は困難(機器のリソースやリアルタイム処理から)
・プログラムの更新が困難(可用性,リアルタム処理,リソースから)
・長期間の利用(10年〜20年)
・独自OSや独自プロトコルを使用
・コントローラには汎用PCやオープンな規格も
・ダウン時に被害が大きい
・標的型の高度な攻撃がある
PLC(Programmable Logic Controller)やそれへのプログラミングを行うエンジニアリングPCなどから構成される制御ネットワークは、メンテナンスなどのために接続する外部ネットワークやUSBメモリなどからマルウェアが侵入する可能性があるにも関わらず、日米欧のPLCに、バックドア,暗号や認証の不足,弱いパスワードなどの脆弱性が見つかり、その対策が急務となっている(問題点1)(米国ICS−CERT及びIPA「制御機器の脆弱性に関する注意喚起」2012.2.29)。しかし、これら機器におけるOSや応用プログラムの更新による対処は、その処理能力の限界や設置済の制御システムの動作検証の困難さから容易ではない。制御システムに対しては、Stuxnetに代表される高度な標的型攻撃の脅威が高まっており、0デイ攻撃など未対処の脆弱性をつかれた場合の対策も求められている(問題点2)。
上記の問題を解決するために、既存の制御システムにも容易に適用できるデータ記憶装置としてのセキュリティ用付加装置=セキュリティバリアデバイス(SBD)を提案する。SBDは、制御ネットワークの機器に装着し、そのIOポートを中継することで機器に負担をかけずに性能はそのままで、上記の脆弱性を克服するセキュリティの防護壁となるハードウェアデバイスである。
SBDは、OSや応用プログラムを問わずソフトウェアのインストールなしに、PLCやそのプログラミングを行うエンジニアリングPCに装着でき、イーサネット、USB、SATA、HDMIなどのIOポートを中継する。ポートの中継に際して、通信を認証や暗号化で高セキュア化し、USBやSATAのストレージの重要ファイルへのアクセスの記録や制御を行い、必要に応じて、ディスプレイやキーボードなどでユーザへの確認を求める機能を有する。SBDのこれら機能により、不正な装置が制御ネットワークに接続されるのを防止でき、また、正規の装置がマルウェアに乗っ取られるのを防止して、制御ネットワークを高セキュア化する機能を有する(図4参照)。SBDを防御対象のPCや機器に装着した形態を図5に示す。通信の高セキュア化に関しては、防御対象の機器は、図6に示す様に、装着されたSBD同士が認証を行い必要に応じてSBD間で暗号通信を行う。またSBDにより、Fuzzingテスト(システムに想定外の入力を与えその脆弱性を発見する手段)などで判明した侵入や誤動作を起こさせる通信パターンをフィルタリングすることも想定している。データアクセスの高セキュア化に関しては,図7に示す様に、オリジナルのストレージに加えて、セキュリティ情報を格納する専用のストレージ(実現の一形態であり、必ずしも独立のデバイスとする必要はない)を追加し、防御対象の機器からオリジナルストレージへのIOが発生した場合、SBDが追加ストレージ(防御対象の装置からは見えない)の対応するIOブロックからセキュリティ情報を読み出し、セキュリティ情報に応じて、アクセスを制限したり(読み出し禁止、書き込み禁止など)、ユーザに確認したりする機能を提供する。この機能はSBDが、防御対象機器とは独立に実現するものであるためマルウェアから検知されず、マルウェアによる情報漏洩や重要情報の書き換えを防止することができる。このため攻撃対象に対する情報収集を十分に行う標的型攻撃や対策前の脆弱性を突く0day攻撃にも対処可能と考えられる。ただし、SBDの提供するのはストレージへのアクセス制御であるため、データがメモリ上にキャッシュされるファイルシステムに関しては後述の配慮が必要である。
<領域毎のアクセス制御>
ストレージデバイスとしては、HDD/SSD/USBメモリなどを想定している。これらはいずれもブロックデバイスであり、アクセスの単位はATAのセクタサイズの512Bである。従って、セクタごとにアクセス制御情報を(先に述べたように付加ディスクなどで)持たせれば、セクタ単位でのアクセス制御が実現できる。従って、ディスクのパーティション毎のアクセス制御の実装は容易であり、その際のOS側との整合も問題が少ない。書き換えるべきでないデータやシステムファイルを書き込み禁止パーティションに集めたり、通常は読み出すべきでないデータを読み出し禁止パーティションに集めればよい。それらに対し違反のアクセスがあれば検出しSBDでログをとっておけば、違反操作やマルウェアの検出にも有用である。
ストレージデバイスとしては、HDD/SSD/USBメモリなどを想定している。これらはいずれもブロックデバイスであり、アクセスの単位はATAのセクタサイズの512Bである。従って、セクタごとにアクセス制御情報を(先に述べたように付加ディスクなどで)持たせれば、セクタ単位でのアクセス制御が実現できる。従って、ディスクのパーティション毎のアクセス制御の実装は容易であり、その際のOS側との整合も問題が少ない。書き換えるべきでないデータやシステムファイルを書き込み禁止パーティションに集めたり、通常は読み出すべきでないデータを読み出し禁止パーティションに集めればよい。それらに対し違反のアクセスがあれば検出しSBDでログをとっておけば、違反操作やマルウェアの検出にも有用である。
<ファイル単位のアクセス制御の概要>
先の領域毎のアクセス制御は、パーティション毎にデータを整理する必要があるが、ファイル単位のアクセス制御が可能であればオリジナルストレージをそのままセキュア化することができる。制御機器においては、EXT系(Linuxなど)、NTFS(Windows系、USBメモリなど)、FAT系(旧Windows、MS−DOS、VxWorks、USBメモリなど)が主に使われており、中でもEXT2、NTFS、FAT32が多い。SBDはこれらに対応することを目標とする。
先の領域毎のアクセス制御は、パーティション毎にデータを整理する必要があるが、ファイル単位のアクセス制御が可能であればオリジナルストレージをそのままセキュア化することができる。制御機器においては、EXT系(Linuxなど)、NTFS(Windows系、USBメモリなど)、FAT系(旧Windows、MS−DOS、VxWorks、USBメモリなど)が主に使われており、中でもEXT2、NTFS、FAT32が多い。SBDはこれらに対応することを目標とする。
これらはいずれも木構造のディレクトリ構成であり、ファイルはディレクトリエントリとデータブロックから構成されている。データブロックはセクタより大きいためアクセス制御は問題ないが、ディレクトリエントリ(及びそれに付随するデータ構造)はセクタサイズより小さいためアクセス制御の解像度の向上が必要である。
この解像度の向上は以下の手順で実現できる。すなわち、読み出したセクタに対応するセキュリティ情報に必要とされる解像度を記録しておき、その解像度単位でアクセス制御情報を読み出す(追加ディスクにベタにアクセス制御情報が格納できなければ、別途別領域に展開すればよい)。当該セクタをストレージに書き込むとき、その解像度の単位でアクセス制御の処理を行う(すなわち書き込み禁止であれば、その部分のデータはストレージから読み出した方を用いて当該セクタ上のデータは変更しないようにして書き込みを行う)。
ファイルの書き込み禁止に対しては、ルートからのパス(経路)を含め書き込み禁止にする必要がある。ファイルはパスを含めて初めてユニークに特定できるからである。
<EXT2ファイルシステムでのアクセス制御の例とLinuxでの課題>
EXT2におけるSBDのアクセス制御の例を図8に示す。図中、ファイル“app_critical”が書き込み禁止だとすると、SBDは図に赤色で示したルートからのパス名“/appdata/app_critical”のデータも書き込み禁止にする必要がある。
EXT2におけるSBDのアクセス制御の例を図8に示す。図中、ファイル“app_critical”が書き込み禁止だとすると、SBDは図に赤色で示したルートからのパス名“/appdata/app_critical”のデータも書き込み禁止にする必要がある。
SBDの実現で問題となる課題として、OSのキャッシュ機構とストレージの整合がある。Linuxでは,図8中のi−node、ディレクトリエントリ、データブロックはそれぞれメモリ上にキャッシュされ、i−nodeキャッシュ、ディレクトリエントリキャッシュ、バッファキャッシュ(ディスクブロックのデータに対応)/ページキャッシュ(ファイルのデータに対応)として用いられている。Linuxは、ファイルシステムをアクセスする準備として、メモリ上にスーパーブロックを読み出す。スーパーブロックには、ファイルシステム全体のレイアウト情報とフリーi−node総数とフリーブロック総数などが格納されている。メモリ上のスーパーブロック構造体には、ブロックグループディスクリプタ(ディスクの同一シリンダに属するブロックグループ内のレイアウト情報とフリーi−node総数とフリーブロック総数などが格納)、フリーブロックのビットマップ群、フリーi−nodeのビットマップ群が格納されている。Linuxはこれらビットマップと各種キャッシュを活用して、ファイルアクセスの高速化を図っている。スーパーブロックは定期的にストレージに書き戻されているため、書き込み禁止のi−nodeやブロックに対応するビットマップがストレージ上でもフリー化されようとすればSBDはそれを検出することができる(むろんその検出のためには、ビットマップ領域をビット単位で高解像度化しておく必要があるが,ビットマップの領域は固定なので,実現可能である)。問題はLinuxがメモリ上でファイルシステムを変更している間、それがストレージに書かれる時までSBDは検出できず,その時点でアクセス制御(問題となるのは書き込み禁止の場合)を行ったとき、Linuxがそれをどう扱うかという点である。ストレージに書かれるタイミングは、各種キャッシュ及びスーパーブロックの書き戻しがあるが、それらが予測困難な順番で発生する。可能性として考えられる不都合な事象として、ストレージ上では書き込み禁止のファイルが、メモリ上で書き換えられたことになり、そのi−nodeなり、ディレクトリエントリなり、データブロックが再利用され、別のファイル作成に用いられ、そのファイルがメモリからストレージに書き戻された後、当初の書き込み禁止ファイルへの書き戻しが発生するシナリオが考えられる。この場合、ストレージ上で当初のファイルの資源への書き込みは禁止されるため、その資源を再利用し作成されたファイルがディスクに書き戻される際、その部分の書き込みができず、破損することになる。
<SBDでの有用なアクセス制御の検討>
上記した不都合なシナリオは、SBDがローレベルのデバイスIOでしか、OSと通信しないことに起因している。OSはファイルアクセスにおいて、ファイル属性を用いてアクセス制御を行っている、ストレージデバイスからのファイルのアクセス制御情報を受け取るようなOSの修正はそれほど困難ではなく、OSのセキュア化への一つの方向であると考える。むろん、メモリへのキャッシングやビットマップの読み込みを行わない単純なOSの場合はより簡単な対応でよい。
上記した不都合なシナリオは、SBDがローレベルのデバイスIOでしか、OSと通信しないことに起因している。OSはファイルアクセスにおいて、ファイル属性を用いてアクセス制御を行っている、ストレージデバイスからのファイルのアクセス制御情報を受け取るようなOSの修正はそれほど困難ではなく、OSのセキュア化への一つの方向であると考える。むろん、メモリへのキャッシングやビットマップの読み込みを行わない単純なOSの場合はより簡単な対応でよい。
OSの高度さに関わらず、OS改変なしで、SBDデバイスによるファイルアクセス制御における可能な動作を以下にまとめる。
[ボトムライン]:(防御対象装置のOSへの影響なし)
・システム管理者にSBD経由でアクセス禁止動作の発生を知らせることができる。
・アクセス制御違反が発生したら,ネットワークを切り離す手段もあり。
→(発展応用)アクセス制御違反をトリガとして、全IOポートのログをとっておくことでマルウェアの検出、感染経路の洗い出しなどに役立てることが可能。
・システム管理者にSBD経由でアクセス禁止動作の発生を知らせることができる。
・アクセス制御違反が発生したら,ネットワークを切り離す手段もあり。
→(発展応用)アクセス制御違反をトリガとして、全IOポートのログをとっておくことでマルウェアの検出、感染経路の洗い出しなどに役立てることが可能。
[読み出し禁止の場合]:
・ダミー値を返す。
・ディレクトリ内の読み出し禁止のファイル名もきちんと見せて、データはダミー値とすれば少なくともOSは誤動作しない。
・ディレクトリ内の読み出し禁止ファイル名を表示しない。同じくOSは誤動作しない。
・ディレクトリアクセスがあったとき、自分の読み出し禁止ビットが立っていれば(すなわちディレクトリがアクセス禁止であれば)、自分と親以外のファイル名とポインタを見せない。
・IOエラーを返す。OSがセクタエラーとして扱う可能性あり。
・IOを返さない。ストレージデバイスのアンマウントやOSのフリーズの可能性あり。
・ダミー値を返す。
・ディレクトリ内の読み出し禁止のファイル名もきちんと見せて、データはダミー値とすれば少なくともOSは誤動作しない。
・ディレクトリ内の読み出し禁止ファイル名を表示しない。同じくOSは誤動作しない。
・ディレクトリアクセスがあったとき、自分の読み出し禁止ビットが立っていれば(すなわちディレクトリがアクセス禁止であれば)、自分と親以外のファイル名とポインタを見せない。
・IOエラーを返す。OSがセクタエラーとして扱う可能性あり。
・IOを返さない。ストレージデバイスのアンマウントやOSのフリーズの可能性あり。
[書き込み禁止の場合]:
・正常にライトしたと返す。メモリ上とストレージ上のデータが齟齬を起こし、前述した問題が発生する可能性あり。
・IOエラーを返す。OSがセクタエラーとして扱う可能性有り。
・IOを返さない。ストレージデバイスのアンマウントやOSのフリーズの可能性あり。
→PLCなどにプログラミングを行うエンジニアリングPCがマルウェアに乗っ取られるならフリーズも許容される状況もあろう.
・正常にライトしたと返す。メモリ上とストレージ上のデータが齟齬を起こし、前述した問題が発生する可能性あり。
・IOエラーを返す。OSがセクタエラーとして扱う可能性有り。
・IOを返さない。ストレージデバイスのアンマウントやOSのフリーズの可能性あり。
→PLCなどにプログラミングを行うエンジニアリングPCがマルウェアに乗っ取られるならフリーズも許容される状況もあろう.
<SBDの構成と開発>
SBDは、以下の仕様の専用のFPGAボードとして開発中である。多数のポートの処理を低遅延で行うためFPGAを用いる。ファイルシステムの取扱やユーザインタフェースのためSBDの制御(ホスト)PCとpci−eで接続できるようにした。ボードサイズの許す限り防御対象用のポートを多数搭載した。図9に想定される接続例を示す。SBD制御PCは、小型化が重要な応用においては、USB接続でより小型のPCに置き換えたり、FPGAのプロセッサソフトコアで代用することも可能である。その際は、キーボードやディスプレイは防御対象機器のものをFPGAで切り替えて使用し、SBDが直接ユーザ端末に警告を出したり、パスワードの入力を求めたりすることを想定している。また各IOのログをとっておき、セキュリティ違反が発生した際、その原因の追及に活用することも想定している。
SBDは、以下の仕様の専用のFPGAボードとして開発中である。多数のポートの処理を低遅延で行うためFPGAを用いる。ファイルシステムの取扱やユーザインタフェースのためSBDの制御(ホスト)PCとpci−eで接続できるようにした。ボードサイズの許す限り防御対象用のポートを多数搭載した。図9に想定される接続例を示す。SBD制御PCは、小型化が重要な応用においては、USB接続でより小型のPCに置き換えたり、FPGAのプロセッサソフトコアで代用することも可能である。その際は、キーボードやディスプレイは防御対象機器のものをFPGAで切り替えて使用し、SBDが直接ユーザ端末に警告を出したり、パスワードの入力を求めたりすることを想定している。また各IOのログをとっておき、セキュリティ違反が発生した際、その原因の追及に活用することも想定している。
・ボードサイズ:PCI Expressカード形状
・FPGAチップ:Xilinx Kintex−7 676ピン(XC7K325T)
・コンフィギュレーション用フラッシュロム:
電源ON時にFPGAへの回路書き込み用
・メモリI/F:DDR3 SODIMM×1
・映像入力:HDMI×1(コピー制御HDCPなし)
・映像出力:HDMI×1(コピー制御HDCPなし)
・ストレージI/F:SATA (7ピン)×4/5(SATA3.0)
・通信用I/F:1G/100Mビットイーサ(RJ−45)×2
・汎用I/F:USB (Type A)×6(USB2.0)
・SBD制御PC用I/F:PCI Express×1
・FPGAチップ:Xilinx Kintex−7 676ピン(XC7K325T)
・コンフィギュレーション用フラッシュロム:
電源ON時にFPGAへの回路書き込み用
・メモリI/F:DDR3 SODIMM×1
・映像入力:HDMI×1(コピー制御HDCPなし)
・映像出力:HDMI×1(コピー制御HDCPなし)
・ストレージI/F:SATA (7ピン)×4/5(SATA3.0)
・通信用I/F:1G/100Mビットイーサ(RJ−45)×2
・汎用I/F:USB (Type A)×6(USB2.0)
・SBD制御PC用I/F:PCI Express×1
図10は、SBDのセキュリティ用付加ディスクに記録するセキュリティタグの構成を示したものである。SBDにログインし設定を行うことでユーザ毎に異なるアクセス制御を行うことが可能である。SATA以外のポートについては,取り敢えず(FPGA経由で)データをスルーする構成としている。
次に、上記した本発明の実施形態について以下にまとめる。
任意のサイズの任意の個数のデータについて、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せなどのセキュリティ指定を行う手段として、データ保持用の記憶部品の他に、セキュリティ情報保持用の記憶部品を用意し、データ保持用記憶部品の記憶単位毎に、セキュリティ情報用記憶部品に対応するセキュリティ情報を保持しておくことにより、データへのアクセス要求が発生したら、そのデータ保持用の記憶領域に対応したセキュリティ情報を参照し、そのセキュリティ情報に従った動作を行わせる。また、別途の実現方法として、セキュリティ情報保持用の記憶部品をデータ保持用記憶部品とは別個に用意せず、データ保持用記憶部品を兼用する手法がある。すなわち、データ保持用記憶部品の記憶領域の一部をデータ領域としては使用せずユーザからは見えない領域とし、その領域にセキュリティ情報を保持することも可能である。
ユーザへのアクセス違反の通知やアクセス許可の問合せは、ストレージと同様にそれらのIOポートを本発明の独自装置を経由してPCと接続することにより、セキュアなデータIOに関してはPC側とは独立に、通常用いるディスプレイやタッチパネルを用いて、本装置が直接通知や問合せを行う。このため追加のIO機器は不要となる。
本発明の第一実施形態に係るデータ保護機能付き記憶装置(データ記憶装置)の一例として、記憶部品としてハードディスクなどのセクタ単位のアクセスを行うストレージを用い、データ領域とセキュリティ情報領域を同一のストレージに配置した場合を図1に示す。PCは、ハードディスクの代わりに、FPGA(論理回路が書き込まれているチップ)に接続されており、FPGA上の回路が、データアクセスがあった場合、セキュアタグのセキュリティ情報を参照して、書き込み禁止や読み出し禁止の処理を行う。図1にはないが、FPGAにユーザへのIOが接続されている場合は、それを用いてデータアクセスの可否をユーザに問い合わせることもできる。図中、PCから見えるファイルシステムのクラスタは4つのデータセクタから構成される。これは通常のハードディスクなどを直接用いる場合と同様であり、PC側からは保護機能がついているかどうかは全く識別できない。セキュアタグ及びアクセス保護の制御はFPGAのセキュリティ回路が行い、PCからは制御できない。
本発明の第二実施形態に係るデータ保護機能付き記憶装置(データ記憶装置)の拡張例として、ストレージに加え、ディスプレイ、タッチパネル、ネットワークに対し、セキュアクセスを実現する方法を図2に示す。PC上のOSやプログラムからは、これら、ストレージ、ディスプレイ、タッチパネル、ネットワークは、保護機能なしの通常のものと同一に見える。しかし、これらへのアクセスは、FPGA上の回路が通常アクセスとセキュアアクセスを峻別することにより、OSや応用プログラムを介さずセキュアデータのやりとりをすることができる。例えば、データ保護違反のアクセスが発生したことを、ユーザのディスプレイに直接表示したり、データアクセス許可をユーザに求めたり、データ保護設定の変更などが、FPGAの回路から直接行える。通信に関しても、一般の通信と独立にFPGAが直接セキュア通信を行うことができるため、複数の本発明の装置の間の連携やセキュアデータの交換などが行える。
以上、本発明の実施形態を詳述したが、本発明は上記実施形態に限定されるものではない。そして本発明は、特許請求の範囲に記載された事項を逸脱することがなければ、種々の設計変更を行うことが可能である。SBDは、ハードウェアデバイスであるためマルウェアから検知不能であり、データへの不正アクセス検出をトリガとしてIOログを解析することにより、新種のマルウェアの発見にも有用である。ストレージのロールバック機能の実装も可能である。通信セキュリティの実装も可能であり、また、新方式の表示装置の実験など多方面の応用も期待されている。
Claims (6)
- 指定したデータ領域を書き込み禁止にすることができ、書き込み禁止領域への書き込み要求があった場合は、当該領域の書き込みを行わず、その情報を記録したり、ユーザにその旨知らせたりする、
ことを特徴とするデータ記憶装置。 - 指定したデータ領域を読み出し禁止にすることができ、読み出し禁止領域への読み出し要求があった場合は、当該領域の読み出しを行わず、ダミーデータを返したり、その情報を記録したり、ユーザにその旨知らせたりする、
ことを特徴とするデータ記憶装置。 - 指定したデータ領域を書き込み問合せや書き込み問合せとすることができ、当該データ領域への書き込み要求や読み出し要求があった場合は、ユーザに書き込みや読み出しの可否を問い合わせて、許可の返答があった場合にのみ書き込みや読み出しを行う機能を有する、
ことを特徴とするデータ記憶装置。 - 任意の個数やサイズの記憶領域に対し、書き込み禁止/書き込み問合せ/読み出し禁止/読み出し問合せのセキュリティ指定を行う手段として、データ保持用の記憶部品の他に、セキュリティ情報保持用の記憶部品を用意し、データ保持用記憶部品の記憶単位毎に、セキュリティ情報用記憶部品に対応するセキュリティ情報を保持しておくことにより、データへのアクセス要求が発生したら、そのデータ保持用の記憶領域に対応したセキュリティ情報を参照し、そのセキュリティ情報に従った動作を行う、
ことを特徴とするデータ記憶装置。 - 先の請求項において、セキュリティ情報保持用の記憶部品をデータ保持用記憶部品とは別個に用意せず、データ保持用記憶部品を兼用する手法。すなわち、データ保持用記憶部品の記憶領域の一部をデータ領域としては使用せずユーザからは見えない領域とし、その領域にセキュリティ情報を保持する、
ことを特徴とするデータ記憶装置。 - 多種のIOポートについて、それらをハードウェアで直接制御することにより、PC上のOSや応用プログラムからは感知されずに、セキュアなデータのIOを独自に行う、
ことを特徴とするセキュアIO装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013185766A JP2015052950A (ja) | 2013-09-06 | 2013-09-06 | データ記憶装置、セキュアio装置 |
| US14/199,226 US20150074824A1 (en) | 2013-09-06 | 2014-03-06 | Secure data storage apparatus and secure io apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013185766A JP2015052950A (ja) | 2013-09-06 | 2013-09-06 | データ記憶装置、セキュアio装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015052950A true JP2015052950A (ja) | 2015-03-19 |
Family
ID=52626910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013185766A Pending JP2015052950A (ja) | 2013-09-06 | 2013-09-06 | データ記憶装置、セキュアio装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20150074824A1 (ja) |
| JP (1) | JP2015052950A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016175772A1 (en) * | 2015-04-29 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Data protection |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10089261B2 (en) * | 2016-03-11 | 2018-10-02 | Ca, Inc. | Discriminating dynamic connection of disconnectable peripherals |
| US10963001B1 (en) | 2017-04-18 | 2021-03-30 | Amazon Technologies, Inc. | Client configurable hardware logic and corresponding hardware clock metadata |
| CN108614968B (zh) * | 2018-05-04 | 2020-11-24 | 飞天诚信科技股份有限公司 | 一种在通用平台下安全交互的方法及智能终端 |
| JP7138230B2 (ja) * | 2019-09-25 | 2022-09-15 | 株式会社日立製作所 | 計算機システム、データ制御方法及び記憶媒体 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3748155B2 (ja) * | 1997-11-14 | 2006-02-22 | 富士通株式会社 | 改ざん防止/検出機能を有するファイル管理システム |
| FR2823364B1 (fr) * | 2001-04-05 | 2003-06-27 | St Microelectronics Sa | Dispositif et procede de protection partielle en lecture d'une memoire non volatile |
| TWI265712B (en) * | 2004-12-17 | 2006-11-01 | Carry Computer Eng Co Ltd | Storage device having independent storage areas and password protection method thereof |
| US20070043667A1 (en) * | 2005-09-08 | 2007-02-22 | Bahman Qawami | Method for secure storage and delivery of media content |
| US20080066183A1 (en) * | 2006-09-12 | 2008-03-13 | George Madathilparambil George | Master device for manually enabling and disabling read and write protection to parts of a storage disk or disks for users |
| US20090006796A1 (en) * | 2007-06-29 | 2009-01-01 | Sandisk Corporation | Media Content Processing System and Non-Volatile Memory That Utilizes A Header Portion of a File |
-
2013
- 2013-09-06 JP JP2013185766A patent/JP2015052950A/ja active Pending
-
2014
- 2014-03-06 US US14/199,226 patent/US20150074824A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016175772A1 (en) * | 2015-04-29 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Data protection |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150074824A1 (en) | 2015-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6689992B2 (ja) | 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法 | |
| EP3479280B1 (en) | Ransomware protection for cloud file storage | |
| US10394492B2 (en) | Securing a media storage device using write restriction mechanisms | |
| US7409719B2 (en) | Computer security management, such as in a virtual machine or hardened operating system | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| CN107977573B (zh) | 用于安全的盘访问控制的方法和系统 | |
| JP6680437B2 (ja) | コンピューティングプロセス内の未知の脆弱性を検出するためのシステム及び方法 | |
| US20150237070A1 (en) | Systems and methods for applying data loss prevention policies to closed-storage portable devices | |
| JP2015052950A (ja) | データ記憶装置、セキュアio装置 | |
| JP2015052951A (ja) | セキュリティ強化装置 | |
| AU2017204194B2 (en) | Inoculator and antibody for computer security | |
| CN107729777A (zh) | 一种安全加密固态存储方法 | |
| US9881154B2 (en) | Hardware-assisted log protection devices and systems | |
| Zhao et al. | TEE-aided write protection against privileged data tampering | |
| US20180239912A1 (en) | Data security method and local device with switch(es) | |
| US11941264B2 (en) | Data storage apparatus with variable computer file system | |
| KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
| JP6107286B2 (ja) | 分散ストレージシステム、ノード、データ管理方法、及びプログラム | |
| KR102239902B1 (ko) | 보조기억장치에서의 파일시스템 보호장치 및 방법 | |
| KR102106689B1 (ko) | 사용자 데이터 보호를 제공하는 데이터 가용성 ssd 아키텍처 | |
| KR20240002326A (ko) | 파일서버 내의 데이터를 멀웨어로부터 보호하는 방법 및 장치 | |
| KR20140026315A (ko) | 이동식 저장매체 보안시스템 및 그 방법 |