JP4933946B2 - 外部記憶装置及び情報漏洩防止方法 - Google Patents

外部記憶装置及び情報漏洩防止方法 Download PDF

Info

Publication number
JP4933946B2
JP4933946B2 JP2007108835A JP2007108835A JP4933946B2 JP 4933946 B2 JP4933946 B2 JP 4933946B2 JP 2007108835 A JP2007108835 A JP 2007108835A JP 2007108835 A JP2007108835 A JP 2007108835A JP 4933946 B2 JP4933946 B2 JP 4933946B2
Authority
JP
Japan
Prior art keywords
storage device
external storage
request
host computer
cycle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007108835A
Other languages
English (en)
Other versions
JP2008269120A (ja
Inventor
健司 藤井
大介 鬼頭
学 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007108835A priority Critical patent/JP4933946B2/ja
Priority to US12/007,460 priority patent/US8065523B2/en
Priority to EP08250171A priority patent/EP1983461A3/en
Publication of JP2008269120A publication Critical patent/JP2008269120A/ja
Application granted granted Critical
Publication of JP4933946B2 publication Critical patent/JP4933946B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、計算機システムのデータを格納する外部記憶装置に関し、特に外部記憶装置が盗難されたり不正なホスト計算機からのデータ読み出しが試行された際の外部記憶装置からの情報漏洩を防止する技術に適用しても好適なものである。
企業などが保有するデジタルデータの量の増大に伴い、ホスト計算機と外部記憶装置などを記憶装置専用のネットワーク(主としてFibre Channel)で接続した計算機システムが普及している。
従来、データセンタなどに設置される計算機システムでは、外部記憶装置は大型の筐体を持ち、物理的に隔離され入退出管理のなされたサーバルームに敷設されることが一般的であるため外部記憶装置の盗難の可能性は少なかった。近年、HDDの大容量化等に伴い外部記憶装置の小型化、可搬化が進められ、また、管理者による犯罪の増加などから外部記憶装置の盗難のリスクが高まっている。
そこで、外部記憶装置が盗難された場合であっても、外部記憶装置からの情報漏洩を防止するための技術が提案されている。例えば、非特許文献1では、暗号化されたデータの復元を防止するため暗号モジュールに対する物理的セキュリティ要件として、暗号モジュールのメンテナンスインタフェースがアクセスされたとき、平文の暗号鍵等をゼロ化することが記載されている。
米国国立標準技術研究所(NIST),FIPS PUB 140-2,インターネット<URL:http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf,平成19年1月15日検索>
非特許文献1の従来技術を外部記憶装置に適用すれば、外部記憶装置のデータを暗号化して格納しておき外部記憶装置の盗難を検知したとき、その暗号鍵をゼロ化することになり、外部記憶装置からの情報漏洩を防止することが可能となる。
しかしながら、非特許文献1に記載された従来技術では、暗号鍵のゼロ化を行う際の外部記憶装置の盗難を検知する手段や、誤って暗号鍵をゼロ化したときの鍵のリストアについて言及されていない。また、外部記憶装置が盗難されない場合であっても、不正なホスト計算機が正規のホスト計算機に成りすまして外部記憶装置にアクセスした場合、従来技術では暗号鍵がゼロ化されていないため外部記憶装置内の格納データが復号化され外部記憶装置からのデータが漏洩する可能性がある。
本発明は、以上の点を考慮してなされたもので、ホスト計算機及び外部記憶装置等から構成される計算機システムにおいて、外部記憶装置が盗難された場合や不正なホスト計算機からアクセスされた場合であってもその外部記憶装置からの情報漏洩を防止する外部記憶装置及び情報漏洩防止方法を提案しようとするものである。
本発明の目的を達成するために、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置であって、ホスト計算機から書き込まれたデータを格納する記憶領域と、記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、ホスト計算機または他の外部記憶装置に対して存在確認のためのリクエストを所定期間ごとに送信する送信部と、リクエストに対するホスト計算機または他の外部記憶装置からのレスポンスの結果に基づいて、暗号計算部の暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行う鍵管理部とを備えることを特徴とする。
したがって、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置の記憶領域に格納されるホスト計算機から書き込まれるデータの暗号化及び復号化を行い、ホスト計算機または他の外部記憶装置に対して存在確認のためのリクエストを所定期間ごとに送信し、リクエストに対するホスト計算機または他の外部記憶装置からのレスポンスの結果に基づいて、暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行うことにより、外部記憶装置の情報漏洩を防止することができる。
例えば、送信部は、ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスかランダムアクセスであるかの違いに基づいてリクエストを送信する所定期間を決定する。また、送信部は、ホスト計算機からのデータ入出力要求のタイミングがランダムアクセスである場合にリクエストを行う所定期間を短くしていく。また、鍵管理部は、暗号鍵のゼロ化を行った場合に、他の外部記憶装置内の暗号鍵をゼロ化するための情報を他の外部記憶装置へ送信する。また、外部記憶装置は設置されたエリアの人数を取得する取得部を備え、送信部は、取得部で取得した人数に基づいてリクエストを送信するタイミングを決定する。
本発明の外部記憶装置は、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置であって、ホスト計算機から書き込まれたデータを格納する記憶領域と、記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、ホスト計算機からの個々の入出力要求に対応するシーケンス番号を算出する算出部と、ホスト計算機より送信されるシーケンス番号と、算出部で算出するシーケンス番号の照合を行う照合部と、照合部の照合結果に基づいて、送信されるシーケンス番号と算出するシーケンス番号が一致しない場合に、暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行う鍵管理部とを備えることを特徴とする。
したがって、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置の記憶領域に記憶されるホスト計算機から書き込まれたデータの暗号化及び復号化を行い、ホスト計算機からの個々の入出力要求に対応するシーケンス番号を算出し、ホスト計算機より送信されるシーケンス番号と、算出部で算出するシーケンス番号の照合を行い、照合を行うステップにより得られる照合結果に基づいて、送信されるシーケンス番号と算出するシーケンス番号が一致しない場合に、暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行うことにより、外部記憶装置の情報漏洩を防止することができる。
例えば、ホスト計算機からの個々の入出力要求に対応するシーケンス番号は、不規則な数字又は文字列からなる。また、鍵管理部は、暗号鍵のゼロ化を行った場合に他の外部記憶装置内の暗号鍵をゼロ化するための情報を他の外部記憶装置へ送信する。
本発明の外部記憶装置は、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置であって、ホスト計算機から書き込まれたデータを格納する記憶領域と、記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、暗号計算部の暗号化及び復号化の暗号計算に使用する暗号鍵を記憶するとともに外部からの電源の供給が遮断すると記憶した暗号鍵をゼロ化する揮発性メモリとを備えることを特徴とする。
したがって、ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置の記憶領域に格納されるホスト計算機から書き込まれたデータの暗号化及び復号化を行い、外部からの電源の供給が遮断すると、暗号化及び復号化の暗号計算に使用する暗号鍵を記憶する揮発性メモリの暗号鍵をゼロ化することにより、外部記憶装置の情報漏洩を防止することができる。
本発明の外部記憶装置は、ホスト計算機または外部記憶装置とネットワークを介してアクセス可能な外部記憶装置であって、ホスト計算機から書き込まれたデータを格納する記憶領域と、記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、暗号計算部の暗号化及び復号化の暗号計算に使用する暗号鍵を記憶した記憶媒体から暗号鍵を読取るリーダ装置と、リーダ装置に記憶媒体が挿入された状態のときは暗号鍵の使用を不許可とする制御部とを備えることを特徴とする。
したがって、ホスト計算機から書き込まれたデータを格納する記憶領域と、記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、暗号計算部の暗号化及び復号化の暗号計算に使用する暗号鍵を記憶した記憶媒体から暗号鍵を読取るリーダ装置と、リーダ装置に記憶媒体が挿入された状態のときは暗号鍵の使用を不許可とする制御部とを備えることにより、外部記憶装置の情報漏洩を防止することができる。
すなわち、上記外部記憶装置によれば、外部記憶装置とホスト計算機との接続状態を検知できるようになり、また、不正なホスト計算機からのデータ入出力を検知できるようになり、そのとき暗号鍵をゼロ化して外部記憶装置からの情報漏洩を防止することが可能となる。
本発明は、ホスト計算機及び外部記憶装置等から構成される計算機システムにおいて、外部記憶装置が盗難された場合や不正なホスト計算機からアクセスされた場合であってもその外部記憶装置からの情報漏洩を防止する外部記憶装置及び情報漏洩防止方法を提供できる。
以下、図面を参照しながら本発明の実施の形態について詳細に説明する。なお、以下に説明する実施の形態に本発明が限定されることはない。
本発明の実施の形態における計算機システム1のシステム構成例を図1に示す。図1に示すように、計算機システム1は、ホスト計算機120A,120B、外部記憶装置100A,100B、管理計算機132、入退出管理システム133より構成される。
上記計算機システム1は、図1には明示していないが、入退出管理が行われた物理的に隔離されたサーバルームに設置されるものとする。ホスト計算機120A,120B、外部記憶装置100A,100Bは、FC(ファイバチャネル)スイッチ131を介して、ストレージ専用ネットワークによって相互に接続されている。管理計算機132、入退出管理システム133、外部記憶装置100A,100Bは、LAN134によって相互に接続されている。
ホスト計算機120Aは,外部記憶装置100A,100Bに対してデータ入出力を要求する計算機であり、外部記憶装置100A,100Bと連携した処理を行うためのドライバプログラム121Aと、HBA(ホストバスアダプタ)122A及びアプリケーションプログラム(図示されていない)などを備えている。
HBA122AはユニークなWWN(World Wide NAme)を持つ。なお、ホスト計算機120Bも,ホスト計算機120Aと同様の構成であるため説明を省略する。また、以下では、ホスト計算機120A,120Bを特に区別する必要のないときは,ホスト計算機及びその構成要素の識別番号からA,Bを除外して、ホスト計算機120、ドライバプログラム121等と表す。
図11から図13は、外部記憶装置100Aの外観及び構成を示したものである。図11は立体図、図12は、図11の外部記憶装置100Aの断面図を示したものである。また、図13は、図11に示す外部記憶装置100A内の電源ユニットの配置を変更した構成を示す図である。なお、外部記憶装置100Bも同様な外観及び構成であるため、図示及び説明を省略する。
外部記憶装置100は、HDD12、ファン13a,13b、電源ユニット14a,14b、コントローラ20、ホストポート15、外部記憶装置ポート16を有し、これらが筐体17によって覆われた構成となっている。なお、筐体17は、部品交換が容易にできないようにする構成とするもので、必ずしも密封状態とする必要はなく、他装置との接続部分、スイッチ等の操作部分、冷却のための空気口といった部分が存在する。このように容易に部品交換をできないようにすることで、例えば規定以外のHDDを誤って接続することを防止することができる。また、部品交換を前提としないことにより、部品配置の自由度が増加し、部品の搭載密度を従来よりも高くすることも可能となる。なお、HDD12は、後述する記憶領域106として用いられる。
図12は、外部記憶装置100Aの断面図であり、前面から後面に対して、コントローラ20、ファン13a、HDD12、HDD12といった配列で基板10の両面に実装した構成としている。外部記憶装置100Aを小型化するために、HDD12を横置とし、更に、前面から後面に向かってHDD12を2列に配置することで、容量を稼ぐ構成としている。
一方、図11に示すように、HDD12を横置きにし、X方向に4台ならべた配置とすると、これまで3.5インチHDDを縦置きでx方向に並べた標準的な寸法とほぼ一致させることができる。そのため、これまで利用していた外部記憶装置100Aを置くためのラックを同様に利用することができる。
また、ファン13についても、冷却効率の良い箇所に配置することができ、冷却効率を高めることができる。外部記憶装置100Aでは、図12に示すようにコントローラ20と、HDD12との間にファンを設ける構成とし、コントローラ20の熱をHDD側に送るようにしている。
なお、筐体17で覆うことにより防塵効果を得ることができ、各部品の障害発生確率を下げることも可能になる。電源ユニット14は、図11に示すように、2つの電源ユニット14a,14bを搭載している。この2つの電源ユニット14a,14bのうち、上側(プラスZ方向)に配置される電源ユニット14aが、図12に示す、基板10より上側にあるコントローラ20、ファン13a及びHDD12に電力を供給し、下側(マイナスZ方向)に配置される電源ユニット14bが、基板10の下側に配置されるコントローラ20、ファン13c及びHDD12に電力を供給する。また、2つの電源ユニット14は、それぞれ基板10の上側/下側両方のコントローラ20、ファン13及びHDD12と接続されており、一方の電源ユニット14に障害が発生した際にはもう一方の電源ユニット14によって全てのコントローラ20、ファン13、HDD12に電力を供給する。
電源ユニット14の配置は、図11に示すように上下方向(z方向)に並べて配置する構成の他に、前後方向(x方向)に並べる配置としてもよいし、図13に示す配置としてもよい。図11及び図13の配置とすることで、上側の部品配置と下側の部品配置とを対称となる構成となり、上下対称に配置されたファン13a,13bによって上下同様に冷却することができ、同じファン13a,13bを採用した場合に冷却効率を向上させることができる。また、上下対象とすることで、設計、製造も容易になる。一方、電源ユニット14の上下方向の寸法が3.5インチのHDD12を図11のように2台上下並べた寸法と近く、前後方向(x方向)の寸法が一般的なコントローラ20の前後方向の半分の寸法に近い場合には、電源ユニット14を前後方向(x方向)にならべた配置を取ることで、外部記憶装置を小型化することができる。
このように構成された外部記憶装置100Aは,ホスト計算機120A,120Bからの要求に応じてデータ入出力を行い、データの保存を行うための記憶装置であり、CPU101A、キャッシュメモリ102A、鍵記憶用揮発性メモリ103A、ICカードリーダライタ104A、ディスクコントローラ105A、記憶領域106A、FCポート107A、LANポート108A、ICカード109A及びプログラムメモリ110Aによって構成される。なお、これら要素は、コントローラ20に含まれる。
CPU101Aは、外部記憶装置100A全体の動作を制御し、プログラムメモリ110内の各プログラムに従って所定の処理を実行する中央演算処理装置である。キャッシュメモリ102Aは、記憶領域106Aへのデータ入出力を高速化するための一時記憶領域である。鍵記憶用揮発性メモリ103Aは、データの暗号計算に使用する鍵情報を記憶するための一時記憶領域であり、電源供給が行われなくなると記憶内容が失われる揮発性メモリによって実装される。ICカードリーダライタ104Aは、ICカード109Aに対するデータ入出力を行うICカードリーダライタ装置である。ディスクコントローラ105Aは、記憶領域106Aに対するデータ入出力の制御を行う処理装置である。記憶領域106Aは、ホスト計算機120A,120Bからのデータを保存する物理ディスクドライブである。FCポート107Aは、ストレージ専用ネットワークを介して、ホスト計算機120A,120B及び他の外部記憶装置100Bとの通信を行うためのインタフェースであり、FCポートはユニークなWWN(World Wide Name)を持つ。LANポート108Aは、LAN134を介して管理計算機132、入退出管理システム133及び他の外部記憶装置100Bとの通信を行うためのインタフェースである。ICカード109Aは、外部記憶装置100Aのデータの暗号計算に使用する鍵情報を保存するためのICカードである。プログラムメモリ110Aは,外部記憶装置100Aの各種処理を実行するためのプログラム111A〜115A及びテーブル116A,117Aを保持するための記憶領域である。
制御プログラム111Aは、ホスト計算機120からのデータ入出力要求に従って,キャッシュメモリ102A、記憶領域106A等に対するデータの入出力を制御するプログラムである。設定管理プログラム112Aは、管理計算機132からの設定及び操作要求に従って、外部記憶装置100Aの処理に必要な情報の設定を行い、また必要なレスポンスやメッセージの通知を行うためのプログラムである。暗号計算プログラム113Aは、記憶領域106に格納するデータの暗号化/復号化計算を行うプログラムであり、例えば共通鍵暗号方式のAES(Advanced Encryption Standard)によって実装される。鍵管理プログラム114Aは、暗号計算プログラム113Aが使用する暗号鍵情報を管理し、必要に応じて暗号鍵のゼロ化(すなわち、暗号鍵のクリア、あるいは、無効化)を行うプログラムである。状態管理プログラム115Aは、計算機システム1内の各装置の接続状態の確認、ホスト計算機120Aからのデータ入出力要求の正当性の確認及びICカードリーダライタ104Aの状態の確認等を行うプログラムである。
パス管理テーブル116Aは,計算機システム1を構成するホスト計算機120及び他の外部記憶装置100B等の装置のパス情報として、装置名、種別(ホスト計算機/外部記憶装置)、WWN及び設置場所等の情報を管理するためのテーブルである。ポリシテーブル117Aは、後述する外部記憶装置内の暗号鍵をゼロ化するときの条件や,外部記憶装置の暗号鍵のゼロ化に連動して他の外部記憶装置の暗号鍵のゼロ化を行うときの範囲等の情報を管理するためのテーブルである。
外部記憶装置100Bも、外部記憶装置100Aと同様の構成であるため説明を省略する。また、外部記憶装置100A,100Bを特に区別する必要のないときは、外部記憶装置及びその構成要素の識別番号からA,Bを除外して、ホスト計算機120、プログラムメモリ110等と表す。
管理計算機132は、外部記憶装置100A,100Bに対する設定及び操作要求や外部記憶装置100からのメッセージ表示等を行う計算機である。本発明の実施の形態において、外部記憶装置100A,100Bの管理のために共通の管理計算機132が提供されているが、管理計算機132の代わりに,管理計算機132と同等の処理を行う各外部記憶装置100A,100Bそれぞれに専用の管理コンソール端末を用いてもよい。
入退出管理システム133は、計算機システムが設置された物理的に隔離されたサーバルームにおける人の入退出を管理するシステムであり、サーバルーム内の人の増減が発生するたびにサーバルーム内の総人数を外部記憶装置100に対して通知する。
さて、本発明の実施の形態では、外部記憶装置100において、プログラムメモリ110内の各種プログラム111〜115がCPU101によって実行されることにより、以下の(1)〜(4)の各種処理が実現され,外部記憶装置100Aからの情報漏洩を防止することができる。
(1)計算機システムを構成する各装置のパス情報の登録
(2)暗号鍵情報の登録
(3)格納データの暗号化/復号化
(4)異常状態検知時の暗号鍵のゼロ化
以下,処理(1)〜処理(4)の実現方法について、図2〜図10を用いて説明する。
はじめに、外部記憶装置100Aにおいて、計算機システム1を構成する装置であるホスト計算機120及び他の外部記憶装置100B等のパス情報の登録を行う処理(1)について、図2を用いて説明する。図2は、各装置のパス情報の登録を行うために設定管理プログラム112A及び状態監視プログラム115Aによって実行される処理を示すフローチャートである。
ステップS201において、計算機システム1の管理者は、管理計算機132より計算機システム1を構成するホスト計算機120及び他の外部記憶装置100B等のパス情報として、各装置の装置名、種別(ホスト計算機/外部記憶装置)、WWN及び設置場所を入力する。管理計算機132は、管理者により入力されたホスト計算機120、外部記憶装置100Bのパス情報を外部記憶装置100Aに送信する。
ステップS202において、外部記憶装置100Aの設定管理プログラム112Aは、ホスト計算機120、外部記憶装置100Bのパス情報を取得する。ステップS203において、外部記憶装置100Aの状態管理プログラム115Aは、ホスト計算機120、外部記憶装置100Bに対して、WWNを宛先として、存在確認リクエストを送信する。
ステップS204において、WWNを持つホスト計算機120、外部記憶装置100Bは、存在確認リクエストを受信し,ステップS205におい、外部記憶装置100Aに対してレスポンスを返信する。
ステップS206において、状態監視プログラム115Aは、ホスト計算機120、外部記憶装置100Bより所定時間内にレスポンスがあるかどうかの確認を行う。所定時間内にレスポンスがあった場合は(S206:あり)、ステップS207において、設定管理プログラム112Aは、レスポンスのあった装置の装置名、種別、WWN及び設置場所をパス管理テーブル116Aに登録する。所定時間内にレスポンスがなかった場合は(S206:なし)、ステップS208において、設定管理プログラム112Aは、レスポンスのなかった装置の装置名、種別、WWN及び設置場所の登録を行わない(もしパス監視テーブル116Aに既に登録が行われていた場合は、その登録を削除する)。
ここで、図3に、設定管理プログラム112Aによって登録されたパス管理テーブル116Aの一例を示しておく。図3に示すように、パス管理テーブル116Aは、番号欄1161、装置名欄1162、種別欄1163、WWN欄1164及び設置場所欄1165を設けている。番号欄1161はパス管理テーブル116A内で管理する情報をナンバリングするための数字を保存する。装置名欄1162はホスト、ストレージ等の装置名を保存する。種別欄1163は、ホスト計算機または外部記憶装置等の装置の種別を保存する。WWN欄1164は、WWNを保存する。設置場所欄1165はいずれのサーバルームに設置されているかを示す設置場所を保存する。
例えば、パス管理テーブル116A内の番号欄1161「1」には、装置名欄1162に「ホスト1」、種別欄1163に「ホスト計算機」、WWN欄1164に「0xAABBCCDD」及び設置場所欄1165に「サーバルーム1」の各情報が対応づけて保存されている。
上記のようにして、外部記憶装置100Aの設定管理プログラム112A及び状態監視プログラム115Aによって、外部記憶装置100Aとともに計算機システム1を構成する稼動中のホスト計算機120及び他の外部記憶装置100Bのパス情報の登録処理が行われる。
次に、外部記憶装置100Aにおいて、暗号計算に使用する暗号鍵情報の登録を行う処理(2)について、図4を用いて説明する。暗号鍵情報の登録は,新規に暗号鍵情報を登録する場合のほかに、上記処理(4)によって暗号鍵がゼロ化された状態から暗号鍵情報を復旧させる場合において行われる。図4は、暗号鍵情報の登録を行うために、設定管理プログラム112A、鍵管理プログラム114A及び状態監視プログラム115Aによって実行される処理を示すフローチャートである。
ステップS401において、計算機システム1の管理者は、暗号鍵情報の格納されたICカード109Aを外部記憶装置100AのICカードリーダライタ104Aに挿入する。外部記憶装置100Aの鍵管理プログラム113Aは、ICカード109Aより暗号鍵情報を取得し、鍵記憶用揮発性メモリ103Aに格納する。ただし、鍵管理プログラム113Aは、上記暗号鍵情報を使用できないよう無効化しておく。ステップS402において、設定管理プログラム112Aは、パス管理テーブル116Aより、登録済みのホスト計算機120及び他の外部記憶装置100B等の各装置のパス情報を取得し、管理計算機132に対して上記パス情報を送信する。
ステップS403において、管理計算機132は、上記送信されたホスト計算機120、外部記憶装置100Bのパス情報を受信し、計算機システムの管理者に対して上記パス情報を表示する。ステップS404において、計算機システムの管理者は、計算機システム1の最新のシステム構成に合わせて、必要に応じてホスト計算機120、外部記憶装置100Bのパス情報の削除、変更又は追加等の修正の入力を行う。管理計算機132は、その入力されたホスト計算機120、外部記憶装置100Bのパス情報を外部記憶装置100Aに送信する。
ステップS405において、設定管理プログラム112Aは、最新のシステム構成におけるホスト計算機120、外部記憶装置100Bのパス情報を取得する。ステップS406において、外部記憶装置100Aの状態管理プログラム115Aは、ホスト計算機120、外部記憶装置100Bに対して、パス情報のWWNを宛先として、存在確認リクエストを送信する。
ステップS407において、WWNを持つホスト計算機120、外部記憶装置100Bは、存在確認リクエストを受信し、ステップS408において、外部記憶装置100Aに対してレスポンスを返信する。
ステップS409において、状態監視プログラム115Aは、ホスト計算機120、外部記憶装置100Bより所定時間内にレスポンスがあるかどうかの確認を行う。所定時間内にレスポンスがあった場合は(S409:あり)、ステップS410において、設定管理プログラム112Aは、レスポンスのあった装置の装置名、種別、WWN及び設置場所をパス管理テーブル116Aに登録する。所定時間内にレスポンスがなかった場合は(S409:なし)、ステップS411において、設定管理プログラム112Aは、レスポンスのなかった装置の装置名、種別、WWN及び設置場所の登録を行わない(もしテーブル116Aに既に登録が行われていた場合、その登録を削除する)。
ステップS412において、状態監視プログラム115Aは、ICカードリーダライタ104AよりICカード109Aが抜かれているかどうかの確認を行う。ICカード109Aが抜かれていない場合は(S412:いいえ)、ステップS413において、設定管理プログラム112Aは管理計算機132に対して、ICカード109Aを抜く旨のメッセージを通知する。
そしてステップS414において、管理計算機132は、計算機システム1の管理者に対して、ICカード109Aを抜く旨のメッセージを表示する。そして、ICカード109がICカードリーダライタ104Aから抜かれるまで、ステップS412の処理が繰り返される。
ICカード109Aが抜かれている場合は(S412:はい)、ステップS415において、鍵管理プログラム113Aは、鍵記憶用揮発性メモリ103Aに格納した暗号鍵情報を暗号計算に使用できるよう有効化する。
上記のようにして,外部記憶装置100Aの設定管理プログラム112A、鍵管理プログラム114A及び状態監視プログラム115Aによって、暗号計算に使用する暗号鍵情報の登録処理が行われる。このとき、外部記憶装置100Aにおいて、暗号鍵情報を有効化し、記憶領域106Aに格納するデータの暗号計算を正しく行うためには外部記憶装置100AからICカード109Aが抜かれた状態でなければならない。このため、外部記憶装置100Aが盗難された場合であっても、ICカード109Aごと盗難されるのを防止できるようになる。
また、後述するように、計算機システム1のシステム構成の正当な変更により外部記憶装置100Aの暗号鍵情報がゼロ化され、その復旧のために暗号鍵の登録を行ったような場合であっても、暗号鍵情報の登録に合わせてパス管理テーブル116Aも最新の状態に更新される。このため、計算機システム1の変更前の各装置のパス情報によって,再び暗号鍵情報がゼロ化されるのを防止できるようになる。
次に、外部記憶装置100において、記憶領域106に格納するデータの暗号化/復号化計算を行う処理(3)について図5を用いて説明する。図5は、暗号計算を行うために、制御プログラム111及び暗号計算プログラム113によって実行される処理を示すフローチャートである。
はじめに、ホスト計算機120からのデータ入力要求時における外部記憶装置100のデータ暗号化計算の処理について説明する。ステップS501において、ホスト計算機120は、外部記憶装置100に対してデータ入力要求を行い、データを平文で送信する。
ステップS502において、外部記憶装置100の制御プログラム111は、平文データを受信し、キャッシュメモリ102に一時保存する。ステップS503において、外部記憶装置100の暗号計算プログラム113は、揮発性メモリ103より暗号鍵を取得する。ステップS504において、制御プログラム111は、キャッシュメモリ102より平文データを取得、暗号計算プログラム113が暗号鍵を用いて平文データの暗号化計算を行う。そして、制御プログラム111が暗号化されたデータを記憶領域106に保存する。
次に、ホスト計算機120からのデータ出力要求時における外部記憶装置100のデータ復号化計算の処理について説明する。ステップS505において、ホスト計算機120は、外部記憶装置100に対してデータ出力要求を行う。
ステップS506において、暗号計算プログラム113は、鍵記憶用揮発性メモリ103より暗号鍵を取得する。ステップS507において、制御プログラム111は、記憶領域106より出力要求された暗号化データを取得し、暗号計算プログラム113が暗号鍵を用いて暗号化データの復号化計算を行う。そして制御プログラム111が復号化されたデータをキャッシュメモリ102に一時保存する。ステップS508において、制御プログラム111は、ホスト計算機120に対してキャッシュメモリ102内のデータを平文で送信する。
ステップS509において、ホスト計算機120は、出力要求したデータを平文で取得する。
上記のようにして、制御プログラム111及び暗号計算プログラム113によって、記憶領域106に格納するデータの暗号化/復号化計算を行う処理が行われる。これにより、ホスト計算機120より入力された全てのデータは、外部記憶装置100において暗号化して格納され、暗号鍵がない限り、その格納データが平文データとして外部記憶装置100から外部に出力されることはない。
次に、外部記憶装置100において、異常状態検知時の暗号鍵のゼロ化を行う処理(4)について図6〜図10を用いて説明する。本発明の実施の形態では、以下の(i)
〜(v)のケースを,暗号鍵のゼロ化を行うべき異常状態であるとしている。
(i)外部記憶装置100の電源が遮断されたとき
(ii)外部記憶装置100の前回の暗号鍵の登録から所定期間が経過したとき
(iii)計算機システムのシステム構成が変更されたとき
(iv)外部記憶装置100に対して不正なホスト計算機からのデータ入出力要求が行わ
れたとき
(v)他の外部記憶装置100において暗号鍵のゼロ化が行われたとき
以下,ケース(i)〜(v)における異常状態検知及び暗号鍵のゼロ化の処理について
説明する。
はじめに、ケース(i)における外部記憶装置100Aの電源が遮断されたときの暗
号鍵のゼロ化処理について説明する。外部記憶装置100Aにおいて、暗号鍵を一時記憶する鍵記憶用揮発性メモリ103Aは、外部からの電源(図示されていない)によって給電され動作するものとする。外部記憶装置100Aの電源スイッチ(図示されていない)OFFや電源コード(図示されていない)の切断等により電源が遮断されたとき、鍵記憶用揮発性メモリ103Aへの給電は停止される。その結果、鍵記憶用揮発性メモリ103A上に一時記憶されている暗号鍵情報はクリアされる。
上記のようにして、外部記憶装置100Aの電源が遮断されたとき,暗号鍵のゼロ化が行われる。これにより、外部記憶装置100Aが外部に盗難された場合であっても外部への盗難により外部記憶装置100Aの電源は遮断される。その結果、暗号鍵のゼロ化が行われ、外部記憶装置100Aに格納された暗号化データを復号化して取り出すことができなくなり、情報漏洩を防止することができるようになる。
次に、ケース(ii)における外部記憶装置100Aの前回の暗号鍵の登録から所定期
間が経過したときの暗号鍵のゼロ化処理について説明する。外部記憶装置100Aの鍵管理プログラム114Aは、上記処理(2)によって前回暗号鍵情報の登録が行われた時刻を記憶領域106A等の不揮発性メモリ上に記憶しておく。そして鍵管理プログラム114Aは、前回の暗号鍵の登録が行われた時刻から予め設定された所定期間が経過したとき、鍵記憶用揮発性メモリ103A内に一時保存された暗号鍵情報をクリアする。
上記のようにして、外部記憶装置100Aの前回の暗号鍵の登録から所定期間が経過したとき暗号鍵のゼロ化が行われる。このとき、上記の予め設定された所定期間を短く設定しておけば、仮に外部記憶装置100Aが盗難されたとしても盗難者が外部記憶装置100Aからデータを取り出す前に上記所定期間が経過し、暗号鍵のゼロ化が行われるため、外部記憶装置100Aに格納された暗号化データを復号化して取り出すことができなくなり、情報漏洩を防止することができるようになる。
また、外部記憶装置100Aでは、前回暗号鍵の登録から所定期間が経過する直前に暗号鍵の再登録が行われれば、暗号鍵のゼロ化までの期間も延長されることになる。よって所定期間が経過する前に定期的に暗号鍵の再登録を行えば、暗号鍵のゼロ化は行われなくなり、ホスト計算機120の処理を停止させることなくそのデータ入出力要求に常に応えることができるようになる。
次に、ケース(iii)における計算機システム1のシステム構成が変更されたときの検
知方法及び暗号鍵のゼロ化処理について、図6を用いて説明する。図6は、計算機システム1のシステム構成の変更を検知し暗号鍵のゼロ化を行うために、設定管理プログラム112A、鍵管理プログラム114A及び状態監視プログラム115Aによって実行される処理を示すフローチャートである。
ここで、後述するように、外部記憶装置100Aからホスト計算機120及び他の外部記憶装置100Bに対して、存在確認リクエストがポーリングされるが、そのポーリング周期として、標準的な間隔のポーリング周期T1と、標準より長めの間隔のポーリング周期T2とが計算機システムの管理者によって予め設定されているものとする。
ステップS601において、入退出管理システム133はサーバルーム内への入退出が発生したとき、サーバルーム内の総人数を外部記憶装置100Aに対して通知する。
ステップS602において、外部記憶装置100Aの設定管理プログラム112Aは、上記サーバルーム内の総人数を取得し、サーバルーム内が有人であるかどうかを確認する。無人の場合(S602:無人)、ステップS603において、設定管理プログラム112Aは、パス管理テーブル116Aより登録済みのホスト計算機120及び他の外部記憶装置100B等の各装置のパス情報(装置名,種別,WWN,設置場所)を取得し、他の外部記憶装置100Bへの存在確認リクエストをポーリングする周期をT2に設定する。そしてステップS604において、設定管理プログラム112Aは、ホスト計算機120からの前回入出力要求が行われた時刻またはホスト計算機120への前回ポーリングが行われた時刻からT2時刻経過ごとに、ホスト計算機120への存在確認リクエストのポーリングを行うようポーリング周期を設定する。ここで、図7(1)に、ステップS604において設定されたポーリング周期に従ったときのホスト計算機120へのポーリング実行例を示す。
有人の場合(S602:有人)、ステップS605において、設定管理プログラム112Aは、パス管理テーブル116Aより登録済みのホスト計算機及び他の外部記憶装置等の各装置のパス情報を取得し、他の外部記憶装置100Bへの存在確認リクエストをポーリングする周期をT1に設定する。そして、ステップS606において、設定管理プログラム112Aは、過去の所定期間内のホスト計算機120より外部記憶装置100Aに対してデータ入出力要求の行われた時刻を記憶しておき、そのデータ入出力要求の行われた間隔からホスト計算機120からのデータ入出力要求が、次のいずれであるかの判断を行う。
(6−1)T1以下の周期のシーケンシャルアクセス
(6−2)T1より長い周期のシーケンシャルアクセス
(6−3)ランダムアクセス
ホスト計算機120からのデータ入出力要求が(6−1)の場合、ステップS607において、設定管理プログラム112Aは、ホスト計算機120への存在確認リクエストのポーリングを行わないように設定する。ここで、図7(2)に、ステップS607において設定されたポーリング周期に従ったときのホスト計算機120へのポーリング実行例を示す。
ホスト計算機120からのデータ入出力要求が(6−2)の場合、ステップS608において、設定管理プログラム112Aは、ホスト計算機120からの前回入出力要求が行われた時刻またはホスト計算機120への前回ポーリングが行われた時刻からT1時刻経過ごとにホスト計算機120への存在確認リクエストのポーリングを行うようポーリング周期を設定する。ここで、図7(3)に、ステップS608において設定されたポーリング周期に従ったときのホスト計算機120へのポーリング実行例を示す。
ホスト計算機120からのデータ入出力要求が(6−3)の場合、ステップS609において、設定管理プログラム112Aは、ホスト計算機120からの前回入出力要求が行われた時刻から所定回数だけT2時刻経過ごとに、ホスト計算機120への存在確認リクエストのポーリングを行い、それ以降は、T1時刻経過ごとにポーリングを行うようポーリング周期を設定する。ここで、図7(4)に、ステップS609において設定されたポーリング周期に従ったときのホスト計算機120へのポーリング実行例を示す。なお、図7(4)の例では、最初のT2時刻経過ごとに行うポーリングの所定回数を2回としている。
ここで、計算機システム1内に複数のホスト計算機120A,120Bが接続されている場合、ステップS604,S606〜S609の処理は,各ホスト計算機120A,120Bごとに適用するものとする。すなわち各ホスト計算機120A,120Bに対して、それぞれのポーリング周期の設定が行われる。
続いて、ステップS610において、外部記憶装置100Aの状態管理プログラム115Aは、ホスト計算機120及び他の外部記憶装置100B等の各装置に対して、上記設定されたポーリング周期に従って存在確認リクエストをポーリングする。
ステップS611において、ホスト計算機120及び他の外部記憶装置100Bは、存在確認リクエストを受信し、ステップS612において、レスポンスを返信する。
ステップS613において、状態監視プログラム115Aは、ホスト計算機120及び他の外部記憶装置100Bより所定時間内にレスポンスがあるかどうかの確認を行う。そして、状態監視プログラム115Aは、ポリシテーブル117Aにおいて有効なポリシとして選択されているポリシを参照し、上記ポリシが規定する台数以上の装置から所定時間内にレスポンスがない場合、ステップS614に進み、そうでない場合は、ステップS601に戻り、以降のステップS602〜S613を繰り返す。ステップS614において、鍵管理プログラム114Aは、鍵記憶用揮発性メモリ103A内に一時保存された暗号鍵情報をクリアする。
ここで、図10に,ポリシテーブル117Aの一例を示しておく。図10に示すように、ポリシテーブル117Aには、番号欄1171、ポリシ欄1172及び有効性設定欄1174が設定されている。番号欄1171はポリシテーブル117A内で管理する情報をナンバリングするための数字を保存する。ポリシ欄1172には、暗号鍵のゼロ化を行うための前提条件となる所定時間内にレスポンスを返さない装置の台数が規定される。有効性設定欄1173には、どのポリシが有効であるか否かが設定される。有効なポリシに対して「○」が設定され、有効でないポリシに対して「×」が設定される。
例えば、ポリシテーブル117Aには、番号欄1171の「1」に対応して、ポリシ欄1172に「少なくとも1台のホスト計算機または外部記憶装置からの存在確認に対するレスポンスが返信されなかったとき、外部記憶装置の鍵をゼロ化する。自外部記憶装置の鍵をゼロ化したとき他の全ての外部記憶装置の鍵をゼロ化する。」が設定され、有効性設定欄1173に「○」が設定されている。
図10の例では、♯1のポリシが有効なポリシとして選択されているため少なくとも1台以上の装置からレスポンスがなかったとき暗号鍵のゼロ化が行われる。ポリシテーブル117Aへのポリシの新規登録及び有効なポリシの選択は、管理者が管理計算機132を用いて設定内容を入力し、設定管理プログラム112Aが上記設定内容をポリシテーブル117Aに反映させることによって行われる。
もし、ホスト計算機120と外部記憶装置100Bとのパスの切断/接続が頻繁に行われる環境の場合、図10の例において、例えば♯3や♯4など、「少なくとも2台以上(またはそれ以上)の装置から上記レスポンスがなかったとき、暗号鍵のゼロ化を行う」のポリシを選択しておくことにより、暗号鍵のゼロ化が不必要に実施されるのを防ぐことができる。
上記のようにして、計算機システム1のシステム構成の変更が検知され、暗号鍵のゼロ化が行われる。これにより、外部記憶装置100Aが外部に盗難された場合であっても計算機システム1のシステム構成の変更が検知される。その結果、暗号鍵のゼロ化が行われ、外部記憶装置100Aに格納された暗号化データを復号化して取り出すことができなくなり、情報漏洩を防止することができるようになる。
また、本発明の実施の形態においては、計算機システム1のシステム構成の変更を検知するためホスト計算機120及び他の外部記憶装置100Bに対してポーリングを行っているが、以下の考えに基づいて、ホスト計算機120及び他の外部記憶装置100Bに対するポーリング周期を動的に変更しているため,ネットワーク負荷の少ない効率的なポーリングを実行できるようになる。
すなわち、サーバルームが無人のときは盗難の可能性が低いため,ホスト計算機120及び他の外部記憶装置100Bに対するポーリング周期を長くする。また、ホスト計算機120から外部記憶装置100Aに対して標準的な周期T1以下の周期でシーケンシャルアクセスが行われている場合、外部記憶装置100Aが盗難されたとしても上記シーケンシャルアクセスに失敗し、管理者が盗難の事実に気づく可能性が高いためホスト計算機120に対するポーリングを行わない。また、ホスト計算機120から外部記憶装置100Aに対して標準的な周期T1より長い周期でシーケンシャルアクセスが行われている場合、そのシーケンシャルアクセスの間隔を補うようにホスト計算機120に対するポーリングを行う。さらに、ホスト計算機120から外部記憶装置100Aに対してランダムアクセスが行われている場合、ホスト計算機120からのアクセスがすぐに繰り返されるかもしれないため、はじめはホスト計算機120に対するポーリング周期を長くし、アクセスがない状態がしばらく続けばポーリング周期を短くする。
ここで、上記ステップS603及びS604において、サーバルームが無人のときのホスト計算機120及び他の外部記憶装置100Bに対するポーリング周期を設定しているが、無人のサーバルームにおいて外部記憶装置100の盗難がありえないことが保証できるときは、上記ポーリングを行わないように設定してもよい。
また、ステップS607において、ホスト計算機120へのポーリングを行わないように設定しているが、ホスト計算機120がシーケンシャルアクセスに失敗し、管理者が外部記憶装置100の盗難に気づいたとしても、そのまま盗難者によって外部記憶装置100が持ち去られる可能性のあるときは、ポーリング失敗時の暗号鍵のゼロ化が行われるようホスト計算機120へのポーリングを行うように設定してもよい。
次に、ケース(iv)における外部記憶装置100Aに対して不正なホスト計算機から
のデータ入出力要求が行われたときの検知方法及び暗号鍵のゼロ化処理について、図8を用いて説明する。図8は、不正なホスト計算機からのデータ入出力要求が行われたことを検知し暗号鍵のゼロ化を行うために、制御プログラム111A、設定管理プログラム112A、鍵管理プログラム114A及び状態監視プログラム115Aによって実行される処理を示すフローチャートである。
ステップS801において、外部記憶装置100Aの設定管理プログラム112Aは、パス管理テーブル116Aより、計算機システム1に新規登録されたホスト計算機120のパス情報(装置名、種別、WWN及び設置場所)を取得する。ステップS802において、外部記憶装置100Aの状態監視プログラム115Aは、ホスト計算機120に対して、ユニークなシーケンス番号の初期値を乱数によって生成し、ホスト計算機120に対してその初期値を通知する。そしてステップS803において、状態監視プログラム115Aは、所定の計算式に基づいて、前回のシーケンス番号から次回のシーケンス番号の算出を行う。
ここで、シーケンス番号の計算式には、例えばSHA(Secure Hash Algorithm)1やMD5(Message Digest Algorithm 5)等のハッシュ関数に基づく以下の計算式を用いればよい。
第n+1のシーケンス番号=ハッシュ関数(第nのシーケンス番号+初期値を結合した文字列)
ステップS804において、ホスト計算機120はシーケンス番号の初期値を取得する。そして、ステップS805において、ホスト計算機120のドライバプログラム121は、所定の計算式に基づいて、前回のシーケンス番号から次回のシーケンス番号の算出を行う。ここで、ドライバプログラム121は、状態監視プログラム115Aが使用した計算式と同じ計算式を使用するものとする。よって、同じ初期値と計算式を使用しているため状態監視プログラム115Aによって算出されるシーケンス番号と、ドライバプログラム121によって算出されるシーケンス番号は毎回同じ値になることが保証される。また、計算機システム1内に、複数のホスト計算機120A,120Bが接続されている場合、外部記憶装置100Aの状態監視プログラム115Aは、各ホスト計算機120A,120Bに対して、それぞれ異なるシーケンス番号の初期値を生成し、各ホスト計算機120A,120Bに対して通知する。シーケンス番号算出に使用される計算式には、ハッシュ関数に基づく計算式が用いられるため、各ホスト計算機120A,120Bにおいて、同一のシーケンス番号が衝突する可能性は非常に少ない。
次に、ステップS806において、ホスト計算機120は、外部記憶装置100Aに対してデータ入出力要求を行うとき、上記算出したシーケンス番号を付加してデータ入出力要求を送信する。
ステップS807において、外部記憶装置100Aは、ホスト計算機120からのデータ入出力要求とシーケンス番号とを受信し、状態監視プログラム115Aは、自身が算出したシーケンス番号と、ホスト計算機120より送信されたシーケンス番号が一致しているかどうかの確認を行う。不一致の場合(S807:不一致)、ステップS808において、外部記憶装置100Aの鍵管理プログラム114Aは、鍵記憶用揮発性メモリ103A内に一時保存された暗号鍵情報をクリアする、すなわち、暗号鍵のゼロ化を行なう。一致している場合(S807:一致)、ステップS809において、制御プログラム111Aは、ホスト計算機120からのデータ入出力要求に従って、所定のデータ入出力処理を行い、ホスト計算機120に対してレスポンスを返信する。レスポンスを返信した後、ステップS803に進み、状態監視プログラム115Aによって、次回のシーケンス番号の算出を行う。
ステップS810において、ホスト計算機120は、外部記憶装置100Aからのレスポンスを受信する。そしてステップS805に進み,ドライバプログラム121によって、次回のシーケンス番号の算出を行う。
上記のようにして、不正なホスト計算機からのデータ入出力要求が行われたことが検知され、暗号鍵のゼロ化が行われる。これにより、外部記憶装置100Aが盗難されず、計算機システム1に接続されたままの状態で、不正なホスト計算機から外部記憶装置100Aのデータ取得が試行された場合であっても、暗号鍵のゼロ化が行われるため、外部記憶装置100Aに格納された暗号化データを復号化して取り出すことができなくなり、情報漏洩を防止することができるようになる。
次に、ケース(v)における、ある外部記憶装置において暗号鍵のゼロ化が行われた
ときの他の外部記憶装置100の暗号鍵のゼロ化処理について、図9を用いて説明する。図9は、他の外部記憶装置100Aにおける暗号鍵のゼロ化に連動して外部記憶装置100Bの暗号鍵のゼロ化を行うために、鍵管理プログラム114A,114B及び設定管理プログラム112Aによって実行される処理を示すフローチャートである。
ステップS901において、上記(ii)(iii)(iv)の理由により、外部記憶装置100Aの鍵管理プログラム114Aは、鍵記憶用揮発性メモリ103A内に一時保存された暗号鍵情報をクリアする。ステップS902において、設定管理プログラム112Aは、パス管理テーブル116Aより登録済みの他の外部記憶装置100Bのパス情報(装置名、種別、WWN及び設置場所)を取得する。そしてステップS903において、外部記憶装置100Aの鍵管理プログラム114Aは、ポリシテーブル117Aにおいて有効なポリシとして設定されているポリシを参照し、ポリシが規定する範囲内の全ての外部記憶装置に対して暗号鍵のゼロ化要求を通知する。
ここで,図10に示すポリシテーブル117Aには、外部記憶装置100Bの暗号鍵のゼロ化に連動して暗号鍵のゼロ化が行われる他の外部記憶装置100Bの範囲が規定されている。図10の例では、上記のように、番号欄1171の「1」に対応する有効性設定欄1173に「○」が設定され、番号1のポリシが有効なポリシとして選択されている。このため、外部記憶装置100Bを含め、パス管理テーブル116Aに登録されている他の全ての外部記憶装置100Bに対して上記通知が行われる。
ステップS904において、外部記憶装置100Bの鍵管理プログラム114Bは、上記暗号鍵のゼロ化要求を取得し、揮発性メモリ103B内に一時保存された暗号鍵情報をクリアする。
上記のようにして、ある外部記憶装置100Aの暗号鍵のゼロ化が行われ、他の外部記憶装置100Bにおいても情報漏洩の可能性が高まった場合であっても、それに連動して外部記憶装置100Bの暗号鍵のゼロ化が行われるため、外部記憶装置100Bに格納された暗号化データを復号化して取り出すことができなくなり、情報漏洩を防止することができるようになる。
ここで、もし、外部記憶装置100Aの設置場所とは異なる遠隔サイトに他の外部記憶装置(図示しない。)が設置されて計算機システム1が構成されている場合、外部記憶装置100Aの鍵のゼロ化が行われたとしても、遠隔サイトに設置された他の外部記憶装置に対して、情報漏洩の危険性が波及する可能性は少ない。
このとき、図10のポリシテーブル117Aの例において、例えば、番号欄1171の「♯2」や「♯4」に対応付けされている「外部記憶装置100Aと同じ場所に設置された他の全ての外部記憶装置のみの鍵をゼロ化する」のポリシの有効性設定欄173を有効にしておくことにより、安全な遠隔サイトに設置された外部記憶装置の暗号鍵のゼロ化は行われず、暗号鍵のゼロ化が不必要に実施されるのを防ぐことができる。
また、このとき、外部記憶装置100Aと遠隔サイトに設置された外部記憶装置の記憶領域同士がペアボリュームを構成している場合、外部記憶装置100Aが鍵のゼロ化を行った後で外部記憶装置100Aの設定管理プログラム112Aは、外部記憶装置100Aのボリュームと接続されているホスト計算機120の接続先を、遠隔サイトの外部記憶装置のペアボリューム先とするようパスを切り替える。これにより、ホスト計算機120のデータ入出力要求に対する処理が遠隔サイトの外部記憶装置に引き継がれ、ホスト計算機120の業務を中断することなく継続することが可能となる。
以上述べたように、本発明の実施形態によれば、ホスト計算機及び外部記憶装置等から構成される計算機システム1において,外部記憶装置が盗難された場合や不正なホスト計算機からアクセスされた場合であってもその外部記憶装置からの情報漏洩を防止することが可能となる。
なお、ホスト計算機120A,120Bまたは他の外部記憶装置である外部記憶装置100BとネットワークであるLAN134を介してアクセス可能な外部記憶装置100Aは、記憶領域106Aに格納される例えばホスト計算機120Aから書き込まれたデータの暗号化及び復号化を行う。この暗号化及び復号化の暗号計算は、既述のように、鍵記憶用揮発性メモリ103Aに記憶された暗号鍵を用いて行なわれる。そして、外部からの電源の供給が遮断すると、外部記憶装置100Aの鍵記憶用揮発性メモリ103Aに記憶された暗号鍵がゼロ化される。このように暗号鍵がゼロ化されることにより、記憶領域106Aに記憶されたデータの情報漏洩を防止する構成に代えて、例えば、CPU101Aが外部からの電源の供給が遮断されたことを検出すると、鍵記憶用揮発性メモリ103Aに記憶された暗号鍵をゼロ化するように構成しても良い。すなわち、計算機システム1の外部記憶装置100Aが、記憶領域106Aに格納されるホスト計算機100Aから書き込まれたデータの暗号化及び復号化を行うステップと、外部からの電源の供給が遮断すると、暗号化及び復号化の暗号計算に使用する暗号鍵を記憶する鍵記憶用揮発性メモリ103Aに記憶される暗号鍵をゼロ化するステップとを備える構成である。このように計算機システム1を構成すると、例えば、鍵記憶用揮発性メモリ103Aが外部記憶装置100A内のバックアップ電源により一時的にバックアップされる等の構成に対しても、記憶領域106Aに記憶されたデータの情報漏洩を防止することが可能となる。
本発明は、種々の外部記憶装置に広く適用することができる。
本発明の実施の形態における計算機システムのシステム構成例を示す図である。 本発明の実施の形態における外部記憶装置において行われる各装置のパス情報の登録を行う処理のフローチャートである。 本発明の実施の形態における外部記憶装置が保持するパス管理テーブルの一例を示す図である。 本発明の実施の形態における外部記憶装置において行われる暗号鍵情報の登録を行う処理のフローチャートを示す図である。 本発明の実施の形態における外部記憶装置において行われる格納データの暗号化/復号化計算を行う処理のフローチャートを示す図である。 本発明の実施の形態における外部記憶装置において行われる計算機システムのシステム構成が変更されたときの検知方法及び暗号鍵のゼロ化処理のフローチャートを示す図である。 本発明の実施の形態における外部記憶装置において行われるホスト計算機に対するポーリング実行例を示す図である。 本発明の実施の形態における外部記憶装置において行われる不正なホスト計算機からのデータ入出力要求が行われたときの検知方法及び暗号鍵のゼロ化処理のフローチャートを示す図である。 本発明の実施の形態における外部記憶装置において行われる不正なホスト計算機からのデータ入出力要求が行われたときの検知方法及び暗号鍵のゼロ化処理のフローチャートを示す図である。 本発明の実施の形態における外部記憶装置が保持するポリシテーブルの一例を示す図である。 本発明の実施の形態における外部記憶装置の外観及び構成を示す図である。 本発明の実施の形態における外部記憶装置の外観及び構成を示す図である。 本発明の実施の形態における外部記憶装置の外観及び構成を示す図である。
符号の説明
12…ハードディスク、20…コントローラ、100A,100B…外部記憶装置,101A,101B…CPU、102A,102B…キャッシュメモリ、103A,103B…鍵記憶用揮発性メモリ、104A,104B…ICカードリーダライタ、105A,105B…ディスクコントローラ、106A,106B…記憶領域、107A,107B…FCポート、108A,108B…LANポート、109A,109B…ICカード、110A,110B…プログラムメモリ、111A,111B…制御プログラム、112A,112B…設定管理プログラム、113A,113B…暗号計算プログラム、114A,114B…鍵管理プログラム、115A,115B…状態監視プログラム、116A,116B…パス管理テーブル、117A,117B…ポリシテーブル、120A,120B…ホスト計算機、121A,121B…ドライバプログラム、122A,122B…HBA、131…FCスイッチ、132…管理計算機、133…入退出管理システム、134…LAN

Claims (12)

  1. ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置であって、
    ホスト計算機から書き込まれたデータを格納する記憶領域と、
    前記記憶領域に格納されたデータの暗号化及び復号化を行う暗号計算部と、
    前記ホスト計算機または前記他の外部記憶装置に対して存在確認のためのリクエストを所定期間ごとに送信する送信部と、
    前記リクエストに対する前記ホスト計算機または前記他の外部記憶装置からのレスポンスの結果に基づいて、前記暗号計算部の前記暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行う鍵管理部とを備え、
    前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングを解析し、
    前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された所定の閾値よりも短い場合には、前記リクエストの送信を行わない
    ことを特徴とする外部記憶装置。
  2. 前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された前記リクエストを送信する周期よりも長い場合には、前記データ入出力要求と前記リクエスト送信のいずれかの処理が発生する周期が、予め設定された所定の閾値よりも短くなるように、前記リクエストを送信する周期を決定する
    ことを特徴とする請求項1に記載の外部記憶装置。
  3. 前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがランダムアクセスである場合には、前記リクエストを行う周期を短くすること、
    を特徴とする請求項1に記載の外部記憶装置。
  4. 前記外部記憶装置の設置されたエリアの人数を取得する取得部を備え、
    前記送信部は、前記取得部で取得した人数に基づいて、前記取得した人数が予め設定された人数よりも多い場合には、前記リクエストを送信する周期を予め設定された閾値より短く設定し、前記取得した人数が予め設定された人数以下の場合には、前記リクエストを送信する周期を前記閾値より長く設定すること、
    を特徴とする請求項1に記載の外部記憶装置。
  5. ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置の情報漏洩防止方法であって、
    暗号計算部が、記憶領域に格納される前記ホスト計算機から書き込まれるデータの暗号化及び復号化を行う第1のステップと、
    送信部が、前記ホスト計算機または前記他の外部記憶装置に対して存在確認のためのリクエストを所定期間ごとに送信する第2のステップと、
    鍵管理部が、前記リクエストに対する前記ホスト計算機または前記他の外部記憶装置からのレスポンスの結果に基づいて、前記暗号計算部の前記暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行う第3のステップと、
    前記第2のステップにおいて、前記送信部が、前記ホスト計算機からのデータ入出力要求のタイミングを解析し、前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された所定の閾値よりも短い場合には、前記リクエストの送信を行わない
    ことを特徴とする外部記憶装置の情報漏洩防止方法。
  6. 前記第2のステップにおいて、前記送信部が、前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された前記リクエストを送信する周期よりも長い場合には、前記データ入出力要求と前記リクエスト送信のいずれかの処理が発生する周期が、予め設定された所定の閾値よりも短くなるように、前記リクエストを送信する周期を決定する
    ことを特徴とする、請求項に記載の外部記憶装置の情報漏洩防止方法。
  7. 前記第2のステップにおいて、前記送信部が、前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがランダムアクセスである場合には、前記リクエストを行う周期を短くすること、
    を特徴とする請求項に記載の外部記憶装置の情報漏洩防止方法。
  8. 取得部が、前記外部記憶装置の設置されたエリアの人数を取得する第4のステップを備え、
    前記第2のステップにおいて、前記送信部が、前記第4のステップで取得した人数に基づいて、前記取得した人数が予め設定された人数よりも多い場合には、前記リクエストを送信する周期を予め設定された閾値より短く設定し、前記取得した人数が予め設定された人数以下の場合には、前記リクエストを送信する周期を前記閾値より長く設定すること、
    を特徴とする請求項記載の外部記憶装置の情報漏洩防止方法。
  9. ホスト計算機または他の外部記憶装置とネットワークを介してアクセス可能な外部記憶装置を含む記憶システムであって、
    前記外部記憶装置の記憶領域に格納される前記ホスト計算機から書き込まれたデータの暗号化及び復号化を行う暗号計算部と、
    前記ホスト計算機または前記他の外部記憶装置に対して存在確認のためのリクエストを所定期間ごとに前記外部記憶装置から送信する送信部と、
    前記リクエストに対する前記ホスト計算機または前記他の外部記憶装置からのレスポンスの結果に基づいて、前記外部記憶装置内の前記暗号計算部の前記暗号化及び復号化の暗号計算に使用する暗号鍵のゼロ化を行う鍵管理部とを備え、
    前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングを解析し、
    前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された所定の閾値よりも短い場合には、前記リクエストの送信を行わない
    ことを特徴とする記憶システム。
  10. 前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがシーケンシャルであって、当該入出力要求の周期が予め設定された前記リクエストを送信する周期よりも長い場合には、前記データ入出力要求と前記リクエスト送信のいずれかの処理が発生する周期が、予め設定された所定の閾値よりも短くなるように、前記リクエストを送信する周期を決定する
    ことを特徴とする、請求項に記載の記憶システム。
  11. 前記送信部は、
    前記ホスト計算機からのデータ入出力要求のタイミングがシーケンシャルアクセスであるかランダムアクセスであるかを判断し、
    前記データ入出力要求のタイミングがランダムアクセスである場合には、前記リクエストを行う周期を短くすること、
    を特徴とする請求項に記載の記憶システム。
  12. 前記外部記憶装置の設置されたエリアの人数を前記外部記憶装置で取得する取得部を備え、
    前記送信部は、前記取得部で取得した人数に基づいて、前記取得した人数が予め設定された人数よりも多い場合には、前記リクエストを送信する周期を予め設定された閾値より短く設定し、前記取得した人数が予め設定された人数以下の場合には、前記リクエストを送信する周期を前記閾値より長く設定すること、
    を特徴とする請求項に記載の記憶システム。
JP2007108835A 2007-04-18 2007-04-18 外部記憶装置及び情報漏洩防止方法 Expired - Fee Related JP4933946B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007108835A JP4933946B2 (ja) 2007-04-18 2007-04-18 外部記憶装置及び情報漏洩防止方法
US12/007,460 US8065523B2 (en) 2007-04-18 2008-01-10 External storage apparatus and method of preventing information leakage
EP08250171A EP1983461A3 (en) 2007-04-18 2008-01-14 External storage apparatus and method of preventing information leakage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007108835A JP4933946B2 (ja) 2007-04-18 2007-04-18 外部記憶装置及び情報漏洩防止方法

Publications (2)

Publication Number Publication Date
JP2008269120A JP2008269120A (ja) 2008-11-06
JP4933946B2 true JP4933946B2 (ja) 2012-05-16

Family

ID=39577743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007108835A Expired - Fee Related JP4933946B2 (ja) 2007-04-18 2007-04-18 外部記憶装置及び情報漏洩防止方法

Country Status (3)

Country Link
US (1) US8065523B2 (ja)
EP (1) EP1983461A3 (ja)
JP (1) JP4933946B2 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5429157B2 (ja) * 2008-03-03 2014-02-26 日本電気株式会社 機密情報漏洩防止システム及び機密情報漏洩防止方法
JP5412644B2 (ja) * 2008-04-30 2014-02-12 日本電産サンキョー株式会社 電子機器装置の不正取り外し検知方法
JP4747288B2 (ja) * 2009-04-03 2011-08-17 株式会社バッファロー 外付け記憶装置及びその制御方法
US20100268856A1 (en) * 2009-04-20 2010-10-21 Smith Eric R Formatting memory in a peripheral device
JP2011081739A (ja) * 2009-10-09 2011-04-21 Fuji Xerox Co Ltd 外部記憶システムおよびプログラム
US8250379B2 (en) * 2009-10-13 2012-08-21 Microsoft Corporation Secure storage of temporary secrets
JP2011109444A (ja) * 2009-11-18 2011-06-02 Panasonic Corp コンテンツの保護方法、コンテンツ再生装置、プログラムおよびプログラム記録媒体
JP4612112B1 (ja) * 2010-03-01 2011-01-12 健稔 岡本 デジタル機器がリムーバブルメディアに記録されたファイルを削除する方法及びプログラム
US20120069995A1 (en) * 2010-09-22 2012-03-22 Seagate Technology Llc Controller chip with zeroizable root key
JP4966422B1 (ja) 2011-03-31 2012-07-04 株式会社東芝 情報処理装置及びデータ保護方法
US20140149729A1 (en) 2011-07-18 2014-05-29 Ted A. Hadley Reset vectors for boot instructions
US8856553B2 (en) * 2011-09-12 2014-10-07 Microsoft Corporation Managing self-encrypting drives in decentralized environments
US9003560B1 (en) * 2012-06-05 2015-04-07 Rockwell Collins, Inc. Secure enclosure with internal security components
GB2507497B (en) * 2012-10-30 2015-01-14 Barclays Bank Plc Device and method for secure memory access
US10142304B2 (en) 2016-08-23 2018-11-27 Seagate Technology Llc Encryption key shredding to protect non-persistent data

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5412721A (en) * 1993-03-26 1995-05-02 Motorola, Inc. Method for loading and utilizing a key in a secure transmission device
EP0740037A1 (en) 1995-04-28 1996-10-30 Hewlett-Packard Company Security device
AU1551097A (en) 1996-07-25 1998-02-20 Mark David James Bowyer Immobilisation protection system for electronic components
US6480096B1 (en) * 1998-07-08 2002-11-12 Motorola, Inc. Method and apparatus for theft deterrence and secure data retrieval in a communication device
US6591251B1 (en) 1998-07-22 2003-07-08 Neopost Inc. Method, apparatus, and code for maintaining secure postage data
US6292899B1 (en) * 1998-09-23 2001-09-18 Mcbride Randall C. Volatile key apparatus for safeguarding confidential data stored in a computer system memory
JP2002351744A (ja) * 2001-05-29 2002-12-06 Sony Corp コンテンツ記録システム、コンテンツ転送装置、方法、プログラムおよび該プログラムを記録した記録媒体
US20020188866A1 (en) 2001-06-07 2002-12-12 Jalaludeen Ca Method and apparatus for protecting a device connected to a newtwork
EP1441275A1 (en) * 2003-01-21 2004-07-28 Hewlett-Packard Company Component for a computer
JP2004280551A (ja) * 2003-03-17 2004-10-07 Fujitsu Ltd 補助記憶装置及び情報処理装置
CN100418032C (zh) 2003-06-30 2008-09-10 Nxp股份有限公司 密钥复制保护存储的数字自我擦除
JP2005134947A (ja) * 2003-10-28 2005-05-26 Sharp Corp Icカード用半導体装置及びicカードモジュール
US20070271455A1 (en) * 2004-07-20 2007-11-22 Toshihisa Nakano Reproduction Control Device, Gate Device, and Reproduction Control System
JP2006093849A (ja) * 2004-09-21 2006-04-06 Nec Personal Products Co Ltd コンテンツのコピーコントロール方法及びその装置
JP2006344073A (ja) * 2005-06-09 2006-12-21 Zeroeks Kk 情報収集サーバ及び情報収集システム
JP2007108835A (ja) 2005-10-11 2007-04-26 Keyence Corp 画像処理装置
US7809934B2 (en) * 2006-10-13 2010-10-05 Texas Instruments Incorporated Security measures for preventing attacks that use test mechanisms
US8539572B2 (en) * 2007-11-05 2013-09-17 Lenovo (Singapore) Pte. Ltd. System and method for secure usage of peripheral devices using shared secrets

Also Published As

Publication number Publication date
US20090271619A1 (en) 2009-10-29
JP2008269120A (ja) 2008-11-06
EP1983461A3 (en) 2008-11-19
EP1983461A2 (en) 2008-10-22
US8065523B2 (en) 2011-11-22

Similar Documents

Publication Publication Date Title
JP4933946B2 (ja) 外部記憶装置及び情報漏洩防止方法
CN110799941B (zh) 防盗和防篡改的数据保护
CN101983379B (zh) 盘驱动器数据加密
US8170213B1 (en) Methodology for coordinating centralized key management and encryption keys cached through proxied elements
US20080072071A1 (en) Hard disc streaming cryptographic operations with embedded authentication
US20030084290A1 (en) Distributed security architecture for storage area networks
CN105191207A (zh) 联合密钥管理
KR20090085585A (ko) 공유 암호화 키를 변경하는 시스템 및 방법
JPWO2008035450A1 (ja) ワンタイムidによる認証
US11595369B2 (en) Promoting system authentication to the edge of a cloud computing network
CN104205044A (zh) 指令包括在操作数中的防恶意软件保护操作
US11861027B2 (en) Enhanced securing of data at rest
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
US11853445B2 (en) Enhanced securing and secured processing of data at rest
US9147087B2 (en) Method of accessing a data storage device
US7079655B1 (en) Encryption algorithm management system
US20210132826A1 (en) Securing a collection of devices using a distributed ledger
JP5398867B2 (ja) 情報管理装置及び情報管理システム及び情報管理方法及びプログラム
US11843620B1 (en) Stateless system to enable data breach
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
WO2023112272A1 (ja) 管理方法、情報処理装置および管理プログラム
Bel et al. Inkpack
Bel et al. Inkpack: A Secure, Data-Exposure Resistant Storage System
KR101387939B1 (ko) 백업용 스토리지 제어 시스템
JP2004126745A (ja) データ保護装置

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120217

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150224

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees