JP2021072047A - セキュリティ管理システム及びセキュリティ管理方法 - Google Patents

セキュリティ管理システム及びセキュリティ管理方法 Download PDF

Info

Publication number
JP2021072047A
JP2021072047A JP2019200025A JP2019200025A JP2021072047A JP 2021072047 A JP2021072047 A JP 2021072047A JP 2019200025 A JP2019200025 A JP 2019200025A JP 2019200025 A JP2019200025 A JP 2019200025A JP 2021072047 A JP2021072047 A JP 2021072047A
Authority
JP
Japan
Prior art keywords
software
facility
information
authentication code
security management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019200025A
Other languages
English (en)
Other versions
JP7234096B2 (ja
Inventor
黒田 英彦
Hidehiko Kuroda
英彦 黒田
真哉 富永
Masaya Tominaga
真哉 富永
栄一 大熊
Eiichi Okuma
栄一 大熊
嘉一 花谷
Kiichi Hanatani
嘉一 花谷
健司 力石
Kenji Chikaraishi
健司 力石
貴志 尾曲
Takashi Omagari
貴志 尾曲
友作 瀬川
Yusaku Segawa
友作 瀬川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Energy Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Energy Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2019200025A priority Critical patent/JP7234096B2/ja
Publication of JP2021072047A publication Critical patent/JP2021072047A/ja
Application granted granted Critical
Publication of JP7234096B2 publication Critical patent/JP7234096B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】記憶媒体を介して受け渡しされるソフトウエアのすり替えや改竄を防止するセキュリティ管理技術を提供する。
【解決手段】セキュリティ管理システム10は、ソフトウエアPを第1施設11において記憶する格納手段15と、同一の秘匿情報や情報Qが記録される第1記録手段21及び第2記録手段22と、第1施設11で秘匿情報や情報QとソフトウエアPとを結合し第1認証符号K1を演算する第1演算手段31と、第1認証符号K1及びソフトウエアPを記憶媒体35に書き込む書込手段16と、記憶媒体35から第1認証符号K1及びソフトウエアPを読み出す読出手段17と、第2施設12で秘匿情報や情報QとソフトウエアPとを結合し第2認証符号K2を演算する第2演算手段32と、第1認証符号K1及び第2認証符号K2を照合する照合手段18と、を備えている。
【選択図】図1

Description

本発明の実施形態は、記憶媒体でソフトウエアを受け渡しする際のセキュリティ管理技術に関する。
社会インフラ、各種のプラントや工場などには、外部の通信ネットワークと接続されない施設もある。このような施設に配置された設備についてソフトウエアの保守や改造を行う場合は、必要なソフトウエアを記憶した記憶媒体が用いられる。ソフトウエアが記憶された記憶媒体が施設へ持ち込まれ、対象設備に接続されて必要な処理が行われる。このような記憶媒体によるソフトウエアの受け渡しではセキュリティ管理が重要である。
記憶媒体を施設内の設備に接続し、セキュリティ管理を行ったあとにソフトウエア処理する従来のセキュリティ管理システムとして、例えば図5に示すものがある。図5に示す従来のセキュリティ管理システムは、工場内に設置され必要なソフトウエアを検査して第1記憶媒体40に記憶する操作手段41と、第1記憶媒体40が持ち込まれる施設内に設置され第1記憶媒体40を検査し記憶情報を第2記憶媒体42へ複製する検査手段43とから構成されている。そして第2記憶媒体42が対象設備44に接続され、必要なソフトウエア処理が行われる(例えば、特許文献1参照)。
ここで、工場内の操作手段41では、ソフトウエアに対してハッシュ値Htの算出、ウイルス検査、シリアル番号の付与が行われ、これらを暗号化して、第1記憶媒体40へ記憶する。第2記憶媒体42は、施設内の検査手段43に接続されて復号され、ソフトウエアのハッシュ値Hrの算出と照合、ウイルス検査、シリアル番号の確認が行われる。算出された二つのハッシュ値Ht,Hrの比較から改竄が判定され、シリアル番号の確認からすり替えが判定される。そして問題がなければソフトウエアとシリアル番号は第2記憶媒体42へ複製され、第2記憶媒体42が対象設備44へ接続されてシリアル番号が再度確認された後、必要なソフトウエアの処理が行われる。
特開2018−133030号公報
ところで、上述した従来システムでは、記憶媒体とは別に、照合用のシリアル番号を施設内へ持ち込む必要がある。このため、持ち込まれる照合用のシリアル番号の漏洩や改竄のおそれがある。シリアル番号の漏洩は、記憶媒体に書き込まれたソフトウエアに関する情報のすり替えや漏洩につながる。またシリアル番号の改竄で照合エラーが起き、ソフトウエア処理の作業を妨げることになる。さらには工場内で記憶媒体にソフトウエアを書き込む際に人為的なミスが起こり、シリアル番号との関連付けを間違うという課題もある。
本発明の実施形態はこのような事情を考慮してなされたもので、記憶媒体を介して受け渡しされるソフトウエアのすり替えや改竄を防止するセキュリティ管理技術を提供することを目的とする。
実施形態に係るセキュリティ管理システムにおいて、第1施設において第2施設の設備に関わるソフトウエアが記憶される格納手段と、前記第1施設及び前記第2施設の各々に設けられ同一の秘匿情報や情報が記録される第1記録手段及び第2記録手段と、前記第1記録手段に記録された前記秘匿情報や情報と前記格納手段に格納された前記ソフトウエアとを結合し第1認証符号を演算する第1演算手段と、前記第1施設に設けられ前記第1認証符号及び前記ソフトウエアを記憶媒体に書き込む書込手段と、前記第2施設に設けられ前記記憶媒体から前記第1認証符号及び前記ソフトウエアを読み出す読出手段と、前記第2記録手段に記録された前記秘匿情報や情報と前記読出手段で読み出された前記ソフトウエアとを結合し第2認証符号を演算する第2演算手段と、前記第2施設に設けられ前記第1認証符号及び前記第2認証符号を照合する照合手段と、を備える。
本発明の実施形態により、記憶媒体を介して受け渡しされるソフトウエアのすり替えや改竄を防止するセキュリティ管理技術が提供される。
本発明の第1実施形態に係るセキュリティ管理システムのブロック図。 第2実施形態に係るセキュリティ管理システムのブロック図。 (A)(B)(C)(D)実施形態に係るセキュリティ管理システムの構成要素の第2施設内における配置例を示す図。 実施形態に係るセキュリティ管理方法を説明するフローチャート。 従来例に係るセキュリティ管理システムのブロック図
(第1実施形態)
以下、本発明の実施形態を添付図面に基づいて説明する。図1は本発明の第1実施形態に係るセキュリティ管理システム10Aのブロック図である。このように、セキュリティ管理システム10A(10)は、第1施設11において第2施設12の設備30に関わるソフトウエアPが記憶される格納手段15と、第1施設11及び第2施設12の各々に設けられ同一の秘匿情報や情報Q(Q1、Q2、Q3、Q5)が記録される第1記録手段21及び第2記録手段22と、第1記録手段21に記録された秘匿情報や情報Qと格納手段15に格納されたソフトウエアPとを結合し第1認証符号K1を演算する第1演算手段31と、第1施設11に設けられ第1認証符号K1及びソフトウエアPを記憶媒体35に書き込む書込手段16と、第2施設12に設けられ記憶媒体35から第1認証符号K1及びソフトウエアPを読み出す読出手段17と、第2記録手段22に記録された秘匿情報や情報Qと読出手段17で読み出されたソフトウエアPとを結合し第2認証符号K2を演算する第2演算手段32と、第2施設12に設けられ第1認証符号K1及び第2認証符号K2を照合する照合手段18と、を備えている。
そしてセキュリティ管理システム10A(10)において、秘匿情報や情報Qは、設備30の識別情報Q1、ソフトウエアPの属性情報Q2、ソフトウエアPの保守履歴を示す履歴情報Q3、及び秘匿情報Q5の中から選択される1つ又は2つ以上を結合したものである。そして所定の時間毎又は使用回数毎に更新される共通の秘匿情報Q5は、第1施設11及び第2施設12の各々に配置した認証手段(図示略)で発生させ、第1記録手段21及び第2記録手段22の各々に記録されるものである。
さらにセキュリティ管理システム10A(10)は、第1施設11に暗号手段25が設けられ、第2施設12に復号手段26が設けられている。なお暗号手段25及び復号手段26を設けない場合であっても、第1認証符号K1及び第2認証符号K2の照合により、ソフトウエアPがすり替え又は改竄されているか否かの判断は可能である。
共通鍵暗号化方式を採用する場合、暗号手段25は、秘匿情報や情報Qを共通暗号鍵にして、記憶媒体35に書き込む前に、第1認証符号K1及びソフトウエアPを暗号化する。そして復号手段26は、秘匿情報や情報Qを共通暗号鍵にして、第1認証符号K1及びソフトウエアPを復号化する。また暗号手段25及び復号手段26に暗号鍵の発生器を設け、時間や使用回数で暗号鍵を変更してもよい。記憶媒体35の移送等で、暗号化と復号化のタイミングに時間差が生じるが、暗号鍵を変更する時間間隔や時刻は、この時間差を考慮して設定することもできる。
また公開鍵暗号化方式を採用する場合、暗号手段25は、記憶媒体35に書き込む前に、第1認証符号K1及びソフトウエアPを、公開暗号鍵により暗号化する。そして復号手段26は、秘密暗号鍵により、第1認証符号K1及びソフトウエアPを復号化する。公開鍵暗号方式として、RSA、ElGamal、楕円ElGamalなどが適用できる。暗号鍵は正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また暗号鍵の保護にあたっては記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
設備30は、電気、上下水道やガスなどの社会インフラ、鉄鋼や化学等のプラントや工場などの施設(第2施設12)における設備機器である。これらの設備機器には多種多様な電子機器が使用され、その数量も多い。これら設備30に関するソフトウエアPは、バージョンアップなどの更新、保守点検や改造などを行うソフトウエアである。これら設備30の更新、保守や改造は、第1施設11と第2施設を結ぶ通信ネットワークがあれば、これに接続することで容易に可能である。
しかし、そのような通信ネットワークを用いる方法では、情報漏えい、改竄、成りすまし、マルウエア感染などセキュリティ上の懸念がある。さらにその他の事情により、第1施設11と第2施設を通信ネットワークで結べない場合もある。このため、第1施設11で作成したソフトウエアPを第1施設11で記憶媒体35に記憶させ、この記憶媒体35を第2施設12に移送し、設備30のソフトウエアPの更新、保守点検や改造を行う。ソフトウエアPは、設備30に関するもので、ソースコードや実行ファイル、データファイル等が記述されている。
第1記録手段21は、ソフトウエアPを取り扱う工場内(第1施設11)に設置され、マイクロコントローラ、パーソナル・コンピューター、スーパーコンピューターなどの汎用の電子機器、あるいは専用の電子装置で構成され、その記録装置である。この記録装置は半導体メモリ、RAM、各種ストレージなどである。なお各実施形態において第1記録手段21には、識別情報Q1、属性情報Q2、履歴情報Q3、秘匿情報Q5で例示される秘匿情報や情報Qが記録されている。これら秘匿情報や情報Q(Q1、Q2、Q3、Q5)は、ハードウェアとしては一つの記録装置に記録される場合の他に、それぞれ別々に異なるハードウェアの記録装置に記録される場合もある。
設備30の識別情報Q1については特に制限がなく、設備30のIPアドレスやMACアドレス、設備30の管理番号や名称、暗号鍵、乱数などが適用できる。この識別情報Q1は、第1記録手段21に記憶され、正規ユーザのみが取り扱い可能である。正規ユーザは、パスワードや生体認証、物理キー、あるいはこれらの認証手段を組み合わせて管理される。なお秘匿情報や情報Q(Q1、Q2、Q3、Q5)の保護にあたっては、暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
第2施設12の第2記録手段22は、第1施設11の第1記録手段21と同様の構成であり、設備30へ直接、必要な時に接続することができる。あるいはこの第2記録手段22は、設備30に組み込ませることもできる。第2施設12の第2記録手段22は、そもそも該当のソフトウエアPに関わりがあるソフトウエアP0を取り扱う工場内(第1施設11)から出荷されるため、出荷時に第1記録手段21に記録された秘匿情報や情報Qを、第2記録手段22に容易かつ安全に複製して記録できる。第2記録手段22に記録される秘匿情報や情報Qは、第1記録手段21に記録される秘匿情報や情報Qと同様、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また秘匿情報の保護にあたっては暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
属性情報Q2とは、例えば、ソフトウエアP0の名称、種類、用途、製造番号、製造業者、製造年月日、製造場所、バージョン情報、固有番号、あるいはソフトウエアP0のソースコードや実行ファイル、データファイルそのものである。第1記録手段21及び第2記録手段22に記録される属性情報Q2は、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また属性情報Q2の保護にあたっては、暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
履歴情報Q3とは、例えば、設備30のそれぞれに適用されるソフトウエアP0の、保守履歴が反映されたバージョン情報、名称、製造番号、固有番号、製作年月日、あるいは保守または改造後のソフトウエアP0のソースコードや実行ファイル、データファイルそのものである。第1記録手段21及び第2記録手段22に記録される履歴情報Q3は、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また秘匿情報の保護にあたっては暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
格納手段15は、ソフトウエアPやソフトウエアP0としてのプログラム本体、属性情報や履歴情報等のデータを格納する必要があるため、リレーショナルデータベースやNonSQLデータベースなどのデータベースで構築される。格納手段15は、正規ユーザのみが操作可能であり、各種の認証手段で管理され、また格納手段15の物理的な切り離し、一方向伝送装置による格納手段15の保護などが行われる。
第1演算手段31は、第1記録手段21に記録されている秘匿情報や情報Q及び格納手段15に格納されているソフトウエアPを結合し第1認証符号K1を演算する。第2演算手段32は、第2記録手段22に記録されている秘匿情報や情報Q及び読出手段17で読み出されたソフトウエアPを結合し第2認証符号K2を演算する。この演算手段31,32で採用される秘匿情報や情報Qは、設備30の識別情報Q1、ソフトウエアP0の属性情報Q2、ソフトウエアP0の保守履歴を示す履歴情報Q3、秘匿情報Q5の中から選択される1つ又は2つ以上を結合したものとすることができる。
秘匿情報や情報Q及びソフトウエアPは、バイナリ値で表現される。属性情報Q2については、名称、種類、用途、製造番号、製造業者、製造年月日・・・・を任意の数だけ選び出してバイナリ値へ変換し、任意の順序での連結や四則演算を行って求める。履歴情報Q3も属性情報Q2と同様の手順で生成される。
そして秘匿情報や情報Q(Q1、Q2、Q3、Q5)及びソフトウエアPの結合は、四則演算(AND、OR、XOR)や四則演算を組み合せた計算により行われる。そして計算された結合値に、一方向性関数や認証付きブロック暗号のアルゴリズムなどを適用して第1認証符号K1及び第2認証符号K2を求める。一方向性関数には、例えば、MD2、MD4、MD5、SHA−1、SHA−2、SHA−3、RIPEMD−128、RIPEMD−160のようなハッシュ関数が適用できる。また認証付きブロック暗号のアルゴリズムにはCBC−MAC、CMAC、CCM、GCM/GMACなどが適用できる。このような関数や認証付きブロック暗号のアルゴリズムには、出力値から入力値を求めることが非常に困難、出力値が与えられた時にその出力値となる別の入力値を見つけることが非常に困難、同一の出力値が得られる異なる入力値を見つけることが非常に困難、という性質がある。
暗号手段25は、第1認証符号K1及びソフトウエアPを暗号化する。暗号鍵は、第1記録手段21に記録されている秘匿情報や情報Qで代用することができる。暗号にはブロック暗号、あるいは第1演算手段31でハッシュ関数を適用する時にはストリーム暗号が適用できる。ブロック暗号にはAES、3DESなどが適用できる。暗号鍵は正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また暗号鍵の保護にあたっては記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
記憶媒体35は、USBフラッシュメモリ、SD/SDHC/SDXCカード、外付けHDDやFDD、記録型CD/DVD、Blue−rayなどのメディアが適用できる。記憶容量などに応じてメディアを選定する。また記憶媒体35の不良や入出力時の不具合、さらには改竄を想定し、同一内容を記憶した複数の記憶媒体35を用いることができる。
書込手段16は、第1認証符号K1が付与されたソフトウエアPを、記憶媒体35に出力する各種のコネクタやドライブである。書込手段16として、例えば、USBコネクタ、有線LANコネクタ、FDDドライブ、カードスロットなどが挙げられる。そして書込手段16は、第1認証符号K1が付与されたソフトウエアP、さらに必要に応じて書き込み時刻も合わせて付与して暗号化される。なお必ずしも暗号化する必要はない。
読出手段17は,書込手段16と同様の構造であり、記憶媒体35を接続して第1認証符号K1が付与されたソフトウエアP又はこれらの暗号化データを読み出す。そして読出手段17は、第1認証符号K1が付与されたソフトウエアP又はこれらの暗号化データに対し、読み出し時刻も合わせて付与することができる。
復号手段26は、暗号化データから第1認証符号K1及びソフトウエアPを復号する。復号鍵は、暗号手段25の暗号鍵と同一にする運用が容易である。復号手段26は、第1施設11から第2施設12に出荷されるため、出荷時に暗号手段25の暗号鍵を容易かつ安全に複製し、復号鍵として復号手段26に共有させることができる。復号手段26の復号鍵は暗号手段25の暗号鍵と同様、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また暗号鍵の保護にあたっては記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。なお復号鍵は第2記録手段22に記録されている秘匿情報や情報Qで代用することもできる。また暗号手段25と復号手段26に同一の鍵発生手段を設けて時間や使用回数で暗号鍵及び復号鍵を変えることもできる。
第2演算手段32は、第1施設11の第1演算手段31と完全に同一の演算を行う。第2演算手段32は、第2記録手段22から秘匿情報や情報Qを取り出し、読出手段17を経由したソフトウエアPに結合し、第2認証符号K2を演算する。この時、ハッシュ関数や認証付きブロック暗号のアルゴリズムの性質から、第2認証符号K2をとる秘匿情報や情報Q及びソフトウエアPの組み合わせは、一意である。
照合手段18では、書込手段16における書き込み時刻と読出手段17における(又は照合時における)読み出し時刻を比較し、経過時間が予め設定された時間以上の場合にはソフトウエアPの受領を拒否する。経過時間が予め設定された時間以内の場合は、メッセージ認証手法を応用して第1演算手段31で演算された第1認証符号K1と第2演算手段32で演算された第2認証符号K2とを照合する。第1認証符号K1と第2認証符号K2とが一致する場合、秘匿情報や情報Q(Q1、Q2、Q3、Q5)及びソフトウエアPが、第1施設11と第2施設12との間の受け渡し前後で同一であることが確認できる。ここで第1認証符号K1と第2認証符号K2が一致しない場合は、秘匿情報や情報Q(Q1、Q2、Q3、Q5)及びソフトウエアPのうち少なくとも一つが同一でないことを表している。この場合、第1施設11と第2施設12との間で受け渡しが行われる際に、ソフトウエアPのすり替え又は改竄の発生が疑われる。
次に、第1実施形態の効果について説明する。セキュリティ管理システム10Aでは、記憶媒体35を用いて、設備30が設置された第2施設12に、第1認証符号K1を付与したソフトウエアPを受け渡す。第2施設12で演算した第2認証符号K2とこの第1認証符号K1とを対比することにより、記憶媒体35に書き込まれる前と読み出される後とで、ソフトウエアPの一致/不一致を確認することができる。これにより、ソフトウエアPは、正規ユーザから送信されたこと、移送途中で改竄やすり替えがないことが確認される。これにより、ソフトウエアPによる設備30に対するソフトウエアP0の更新、保守点検や改造の際に、セキュリティ強化が実現される。なお、設備30に対するソフトウエアP0の更新、保守点検や改造後にはP0、Q2が最も新しい状態に更新される。また、その更新履歴がQ3に追加される。
さらに第1実施形態のセキュリティ管理システム10Aでは、記憶媒体35で第1施設11から第2施設12へ移送されるソフトウエアP及び第1認証符号K1は暗号化されている。これによって、記憶媒体35で移送されるソフトウエアPに関する情報漏洩を防止できる。
さらに第1実施形態のセキュリティ管理システム10Aでは、第1施設11から移送されるソフトウエアPに、記憶媒体35に対する書き込み時刻が付与される。これにより、第2施設12で受け渡されたときの読み取り時刻から、ソフトウエアPの移送に要した経過時間を求めることができる。これにより、経過時間が予め設定した時間以上の場合には、ソフトウエアPの盗難やすり替え、改竄の可能性を想定することができる。
(第2実施形態)
次に図2を参照して本発明における第2実施形態について説明する。図2は第2実施形態に係るセキュリティ管理システム10Bのブロック図である。なお、図2において図1と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。このように、第2実施形態のセキュリティ管理システム10B(10)は、第1実施形態と同様、第1施設11には、ソフトウエアPの格納手段15と、秘匿情報や情報Qが記録される第1記録手段21と、第1認証符号K1を演算する第1演算手段31と、記憶媒体35に書き込みを行う書込手段16と、が設けられ、第2施設12には、秘匿情報や情報Qが記録される第2記録手段22と、第2認証符号K2を演算する第2演算手段32と、記憶媒体35から読み出しを行う読出手段17と、第1認証符号K1及び第2認証符号K2を照合する照合手段18と、が設けられている。
そして第2実施形態のセキュリティ管理システム10Bの秘匿情報や情報Qには、第1実施形態における識別情報Q1、属性情報Q2、履歴情報Q3、秘匿情報Q5に加え、さらに記憶媒体35を区別する記憶媒体固有情報Q4も含まれている。さらに履歴情報Q3には、ソフトウエアPのマルウエア検査の項目が追加されている。マルウエア検査の項目とは、例えば、適用される検査ソフトウエアのバージョン情報、名称、製造番号、固有番号、製作年月日、あるいは検査ソフトウエアそのものである。検査ソフトウエアは正規ユーザのみが操作可能であり、各種の認証手段で管理され、また検査ソフトウエアの保護にあたっては記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
第1施設11で実施したマルウエア検査の内容(検査実施の有無も含む)は、第1記録手段21及び第2記録手段22の両方に記録されている履歴情報Q3に追加される。このマルウエア検査の内容の追加は、正規ユーザのみが操作可能であり、各種の認証手段で管理され、また検査有無と検査内容の保護にあたっては暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。なお、第2施設12においてもマルウエア検査を実施することができ、その内容は、第1施設11で実施した場合と同様に第1記録手段21及び第2記録手段22の両方に記録されている履歴情報Q3に追加される。
記憶媒体35の固有情報Q4とは、例えば、名称、種類、製造番号、製造業者、製造年月日、固有番号などである。記憶媒体35の固有情報Q4は、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また記憶媒体35の固有情報の保護にあたっては暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。また記憶媒体35の固有情報Q4は、異なる記憶媒体35と一緒に必要に応じて追加記憶することができる。
また第2実施形態のセキュリティ管理システム10Bにおいて、履歴情報Q2には、記憶媒体35の接続回数の項目が追加されるようにしてもよい。この場合、記憶媒体35の書込手段16への接続回数が番号管理される。管理番号は連続する数字だけではなく、予め順番が決められた番号であればよく、また番号には数字以外が含まれていてもよいし、数字以外でも構成できる。書込手段16への接続回数は、正規ユーザのみが取り扱い可能であり、各種の認証手段で管理され、また書込手段16への接続回数情報の保護にあたっては暗号化、記憶装置の物理的な切り離し、一方向伝送装置による記憶装置の保護などが行われる。
第2実施形態の効果について説明する。セキュリティ管理システム10Bでは、少なくとも第1施設11においてソフトウエアPのマルウエア検査を行い、この検査内容を履歴情報Q3に反映させて第1施設11及び第2施設12で共有させる。さらに、使用する記憶媒体35についてもその固有情報Q4や接続回数等に基づいて同一性を確認する。これによって設備30のマルウエア感染を防ぐとともに、情報漏洩、改竄、すり替えの防止を万全にすることができる。
図3(A)(B)(C)(D)は、各実施形態に係るセキュリティ管理システム10の構成要素の第2施設12内における配置例を示す図である。図1及び図2に示すように、セキュリティ管理システム10の第2施設12内における構成要素は、読出手段17,復号手段26,第2演算手段32,照合手段18,第2記録手段22,設備30である。これらのうち設備30の除く構成要素は、任意に組み合わされてユニット36,36a,36bを形成する。そしてこれらユニット36,36a,36bは、ケーブル37を介して設備30に接続されるか、もしくは独立して配置される。
図4のフローチャートを参照して実施形態に係るセキュリティ管理方法を説明する(適宜、図1参照)。設備30について、更新、保守点検や改造を行う必要性が生じた場合、格納手段15に格納したソフトウエアPの中から必要なものが選定される(S11)。なお、必要に応じてソフトウエアPのマルウエア検査を実施して、その健全性を確認する。これと並行して設備30の識別情報Q1、ソフトウエアP0に関する属性情報Q2、さらにソフトウエアP0及びソフトウエアPに関する更新、保守点検や改造に関する履歴情報Q3、記憶媒体35の固有情報Q4、秘匿情報Q5等が記録された秘匿情報や情報Qを、第1記録手段21から抽出する(S12)。なおマルウエア検査を実施した場合は、検査結果の内容が含まれるように履歴情報Q3が更新されている。また記憶媒体35の書込手段16への接続回数も考慮する場合はその情報も含まれるように履歴情報Q3が更新されている。
そして第1施設11の第1演算手段31は、第1記録手段21から抽出された秘匿情報や情報Q(Q1、Q2、Q3、Q4、Q5)及び格納手段15から抽出されたソフトウエアPを結合したうえで(S13)、第1認証符号K1を演算する(S14)。その後、第1認証符号K1はソフトウエアPに付与(P||K1と略記)され(S15)、識別情報Q1を暗号鍵として暗号手段25において暗号化される(S16)。ここで識別情報Q1は、第1施設11及び第2施設12の両者のみで共有される秘匿情報や情報Qである。暗号化されたP||K1は記憶されるか、または書込手段16で記憶媒体35に書き込まれる(S17)。ここで記憶媒体35の不良や入出力時の不具合、さらには改竄を想定し、同一内容を記憶した複数以上の記憶媒体35を用意することができる。
記憶媒体35は、第1施設11から第2施設12に移送され(S18)、読出手段17へ接続され、P||K1が読み出される(S19)。この過程でP||K1は、暗号化されていることにより、記憶媒体35が盗難にあっても情報が漏洩することはない。また複数の記憶媒体35を用いた場合は、読出手段17への接続時に記憶内容が全て同一であることを比較確認することで不良や入出力時の不具合、さらには改竄を見つけることができる。
記憶媒体35から読み出された、暗号化済のP||K1は、第2記録手段22から抽出される識別情報Q1を復号鍵として復号手段26において復号され(S20)、ソフトウエアP、第1認証符号K1及び書き込み時刻が取り出される。なお、取り出したソフトウエアPに対しマルウエア検査を実施してもよい。第2施設12の第2演算手段32は、第2記録手段22から抽出された秘匿情報や情報Q(Q1、Q2、Q3、Q4、Q5)とP||K1から抽出されたソフトウエアPとを結合したうえで(S21)、第2認証符号K2を演算する(S22)。
照合手段18では、第1施設11における書込時刻と第2施設12における読出時刻とを比較する(S23)。その差分である経過時間が予め設定した時間以上の場合は(S24 No)、漏洩、すり替え、改竄の可能性があると想定し、ソフトウエアPの受領を拒否する(S25 END)。そして、経過時間が予め設定した時間内である場合は(S24 Yes)、第1認証符号K1と第2認証符号K2を照合する(S26)。そして両者が一致すれば(S26 Yes)、ハッシュ関数や認証付きブロック暗号のアルゴリズムの性質から、第1施設11の格納手段15に格納されていたものと第2施設12に受け渡されたものとは、ソフトウエアPとして同一なものと判断され受領される(S27 END)。そして第1認証符号K1≠第2認証符号K2となれば(S26 No)、ソフトウエアPの受領を拒否する(S25 END)。
識別情報Q1や秘匿情報Q5が一致していることにより、ソフトウエアPの発送元が正規ユーザからであることが保証され、ソフトウエアPが一致していることにより、すり替えや改竄がないと判定される。また属性情報Q2が一致していることにより、対象としている設備30で使用されているソフトウエアであることが保証され、履歴情報Q3が一致していることにより、今回適用されるソフトウエアPのバージョンや仕様に間違いないことが判定できる。そして、このソフトウエアPを設備30に適用して更新、保守点検や改造がなされる。
以上述べた少なくともひとつの実施形態のセキュリティ管理システムによれば、二つの施設の両方に持たせた同一の秘匿情報をソフトウエアに付与して認証符号を演算することで、記憶媒体を介し施設間で受け渡しされるソフトウエアのすり替えや改竄を、より一層効果的に防止することが可能となる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組み合わせを行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10(10A,10B)…セキュリティ管理システム、11…第1施設、12…第2施設、15…格納手段、16…書込手段、17…読出手段、18…照合手段、21…第1記録手段、22…第2記録手段、25…暗号手段、26…復号手段、30…設備、31…第1演算手段、32…第2演算手段、35…記憶媒体、36(36a,36b)…ユニット、37…ケーブル、P…ソフトウエア、Q…秘匿情報、Q1…識別情報、Q2…属性情報、Q3…履歴情報、Q4…記憶媒体固有情報、Q5…秘匿情報、K1…第1認証符号、K2…第2認証符号。

Claims (10)

  1. 第1施設において、第2施設の設備に関わるソフトウエアが記憶される格納手段と、
    前記第1施設及び前記第2施設の各々に設けられ、同一の秘匿情報や情報が記録される第1記録手段及び第2記録手段と、
    前記第1記録手段に記録された前記秘匿情報や情報と前記格納手段に格納された前記ソフトウエアとを結合し、第1認証符号を演算する第1演算手段と、
    前記第1施設に設けられ、前記第1認証符号及び前記ソフトウエアを記憶媒体に書き込む書込手段と、
    前記第2施設に設けられ、前記記憶媒体から前記第1認証符号及び前記ソフトウエアを読み出す読出手段と、
    前記第2記録手段に記録された前記秘匿情報や情報と前記読出手段で読み出された前記ソフトウエアとを結合し、第2認証符号を演算する第2演算手段と、
    前記第2施設に設けられ、前記第1認証符号及び前記第2認証符号を照合する照合手段と、を備えるセキュリティ管理システム。
  2. 請求項1に記載のセキュリティ管理システムにおいて、
    前記秘匿情報や情報は、前記設備の識別情報、前記ソフトウエアの属性情報あるいは前記ソフトウエアそのもの、前記ソフトウエアの保守履歴を示す履歴情報あるいは保守及び点検、改造のソフトウエアそのもの、暗号鍵の中から選択される1つ又は2つ以上を結合したものであるセキュリティ管理システム。
  3. 請求項1又は請求項2に記載のセキュリティ管理システムにおいて、
    前記第1施設に設けられ、前記記憶媒体に書き込む前に、前記第1認証符号及び前記ソフトウエアを、前記秘匿情報を共通暗号鍵にして暗号化する暗号手段と、
    前記第2施設に設けられ、前記秘匿情報を共通暗号鍵にして、前記第1認証符号及び前記ソフトウエアを復号化する復号手段と、を備えるセキュリティ管理システム。
  4. 請求項1又は請求項2に記載のセキュリティ管理システムにおいて、
    前記第1施設に設けられ、前記記憶媒体に書き込む前に、前記第1認証符号及び前記ソフトウエアを、公開暗号鍵により暗号化する暗号手段と、
    前記第2施設に設けられ、秘密暗号鍵により、前記第1認証符号及び前記ソフトウエアを復号化する復号手段と、を備えるセキュリティ管理システム。
  5. 請求項2に記載のセキュリティ管理システムにおいて、
    前記秘匿情報には、前記記憶媒体を区別する固有情報も含まれるセキュリティ管理システム。
  6. 請求項2に記載のセキュリティ管理システムにおいて、
    前記履歴情報には、前記記憶媒体の接続回数の項目が追加されるセキュリティ管理システム。
  7. 請求項2に記載のセキュリティ管理システムにおいて、
    前記履歴情報には、前記ソフトウエアのマルウエア検査の項目が追加されるセキュリティ管理システム。
  8. 請求項1に記載のセキュリティ管理システムにおいて、
    前記第1記録手段及び前記第2記録手段に記録される前記秘匿情報は、所定の時間毎又は使用回数毎に更新されるセキュリティ管理システム。
  9. 請求項1から請求項8のいずれか1項に記載のセキュリティ管理システムにおいて、
    前記第1施設における前記第1認証符号及び前記ソフトウエアの書込時刻も前記記憶媒体に含め、
    前記第2施設における前記ソフトウエアの読出時刻が、前記書込時刻から予め設定した時間を超過している場合、前記ソフトウエアの受領を拒否するセキュリティ管理システム。
  10. 第1施設において、第2施設の設備に関わるソフトウエアを格納手段に記憶するステップと、
    前記第1施設及び前記第2施設の各々に設けられた第1記録手段及び第2記録手段に、同一の秘匿情報や情報を記録するステップと、
    前記第1記録手段に記録された前記秘匿情報や情報と前記格納手段に格納された前記ソフトウエアとを結合し、第1認証符号を演算するステップと、
    前記第1施設に設けられた書込手段で、前記第1認証符号及び前記ソフトウエアを記憶媒体に書き込むステップと、
    前記第2施設に設けられた読出手段で、前記記憶媒体から前記第1認証符号及び前記ソフトウエアを読み出すステップと、
    前記第2記録手段に記録された前記秘匿情報や情報と前記読出手段で読み出された前記ソフトウエアとを結合し、第2認証符号を演算するステップと、
    前記第2施設において、前記第1認証符号及び前記第2認証符号を照合するステップと、を含むセキュリティ管理方法。
JP2019200025A 2019-11-01 2019-11-01 セキュリティ管理システム及びセキュリティ管理方法 Active JP7234096B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019200025A JP7234096B2 (ja) 2019-11-01 2019-11-01 セキュリティ管理システム及びセキュリティ管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019200025A JP7234096B2 (ja) 2019-11-01 2019-11-01 セキュリティ管理システム及びセキュリティ管理方法

Publications (2)

Publication Number Publication Date
JP2021072047A true JP2021072047A (ja) 2021-05-06
JP7234096B2 JP7234096B2 (ja) 2023-03-07

Family

ID=75713312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019200025A Active JP7234096B2 (ja) 2019-11-01 2019-11-01 セキュリティ管理システム及びセキュリティ管理方法

Country Status (1)

Country Link
JP (1) JP7234096B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023053621A1 (ja) * 2021-09-30 2023-04-06 株式会社デンソー データ通信システム、センター装置、マスタ装置、暗号化プログラム及び復号化プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006524377A (ja) * 2003-04-19 2006-10-26 ダイムラークライスラー・アクチェンゲゼルシャフト 制御ユニット用のフラッシュウェアの正確性及び完全性を保証する方法
JP2018133030A (ja) * 2017-02-17 2018-08-23 三菱電機株式会社 外部記憶媒体のセキュリティ管理システム及び外部記憶媒体のセキュリティ管理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006524377A (ja) * 2003-04-19 2006-10-26 ダイムラークライスラー・アクチェンゲゼルシャフト 制御ユニット用のフラッシュウェアの正確性及び完全性を保証する方法
JP2018133030A (ja) * 2017-02-17 2018-08-23 三菱電機株式会社 外部記憶媒体のセキュリティ管理システム及び外部記憶媒体のセキュリティ管理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023053621A1 (ja) * 2021-09-30 2023-04-06 株式会社デンソー データ通信システム、センター装置、マスタ装置、暗号化プログラム及び復号化プログラム

Also Published As

Publication number Publication date
JP7234096B2 (ja) 2023-03-07

Similar Documents

Publication Publication Date Title
CN101213814B (zh) 安全修补系统
JP5793709B2 (ja) 鍵実装システム
JP5815525B2 (ja) 情報処理装置、コントローラ、鍵発行局、無効化リスト有効性判定方法および鍵発行方法
WO2010134192A1 (ja) 電子機器及び鍵生成プログラム及び記録媒体及び鍵生成方法
CN103583013A (zh) 密钥信息生成装置以及密钥信息生成方法
US20060005046A1 (en) Secure firmware update procedure for programmable security devices
CN102859929A (zh) 向在线安全设备供应更新离线身份数据生成和离线设备绑定
JP2006211349A (ja) ファイルの暗号化・複合化プログラム、プログラム格納媒体
JP2008505571A (ja) キー断片化による自動的な暗号化と復号化を伴うデータアーカイビングのための方法、システム及びセキュリティ手段
CN110018924A (zh) 一种基于区块链和纠删码的文件防破坏方法
CN101166096B (zh) 基于公开密钥加密的数据存储和数据检索
US20120213370A1 (en) Secure management and personalization of unique code signing keys
JP7234096B2 (ja) セキュリティ管理システム及びセキュリティ管理方法
CN113326522A (zh) 一种数据处理方法、装置、设备和计算机存储介质
US20200372008A1 (en) Method for Determining Information Integrity and Computer System Using the Same
Jabbar et al. Design and Implementation of Hybrid EC-RSA Security Algorithm Based on TPA for Cloud Storage
CN103378966A (zh) 安全动态片上密钥编程
Salunkhe et al. Division and replication for data with public auditing scheme for cloud storage
TWM597905U (zh) 資料去識別化系統
JP7476075B2 (ja) セキュリティ管理システム及びセキュリティ管理方法
WO2022137779A1 (ja) データ処理システム
Patil et al. Privacy preserving and dynamic audit service for secure cloud storage
US20230315865A1 (en) Storage data deletion management system and apparatus
JP4604523B2 (ja) データの移管方法およびデータの保管装置
JP2008306685A (ja) セキュリティ情報設定システム、そのマスタ端末、一般端末、プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230222

R150 Certificate of patent or registration of utility model

Ref document number: 7234096

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150