JP4977778B2 - 電子端末、制御方法、コンピュータプログラム及び集積回路 - Google Patents

電子端末、制御方法、コンピュータプログラム及び集積回路 Download PDF

Info

Publication number
JP4977778B2
JP4977778B2 JP2010505321A JP2010505321A JP4977778B2 JP 4977778 B2 JP4977778 B2 JP 4977778B2 JP 2010505321 A JP2010505321 A JP 2010505321A JP 2010505321 A JP2010505321 A JP 2010505321A JP 4977778 B2 JP4977778 B2 JP 4977778B2
Authority
JP
Japan
Prior art keywords
protection
information
protection means
attack
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010505321A
Other languages
English (en)
Other versions
JPWO2009119049A1 (ja
Inventor
秀樹 松島
なつめ 松崎
薫 横田
智之 芳賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010505321A priority Critical patent/JP4977778B2/ja
Publication of JPWO2009119049A1 publication Critical patent/JPWO2009119049A1/ja
Application granted granted Critical
Publication of JP4977778B2 publication Critical patent/JP4977778B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

本発明は、電子端末にて保持され、第三者に知られたくない情報(資産)に対する不正な解析を防止する技術に関する。
近年、DVD(Digital Versatile Disk)やBD(Blu−ray Disc)などの大容量な可搬メディアによるデジタルコンテンツの配布・販売が一般的になってきている。ゲーム業界においてもゲーム機にこれらディスク読取装置を搭載し、ゲームが可搬メディアに書き込まれて販売されることがほとんどの据え置き型ゲーム機でみられる傾向である。
ところが、ゲーム機においてこのような汎用的なメディアを用いることによって、PC(Personal Computer)の汎用アプリケーションを利用してメディアを不正にコピーすることが可能となっている。
これを解決する手段として、特許文献1では、ディスク固有のディスクIDと機器固有の機器IDのペアをサーバで管理し、ディスクの利用時にネットワーク経由でディスクIDと機器IDとをサーバへ送り、正当な使用であることを認証する技術が開示されている。
特開2002−334511号公報
しかしながら、特許文献1で開示されたディスクIDと機器IDのペアを管理し比較する技術では、機器そのものに対して不正な改造が行われた場合、検知することが出来ない。すなわち、第三者が機器に対して不正な解析を行い、当該機器に改造を加え、意図とは異なるディスクIDを送信したり、機器IDを改ざんしたりすることで、不正な使用が可能となる。この場合、ユーザの使用を管理する側は、このような不正な使用が広まるまで、機器に対して不正な解析が行われていることを知ることができない。そのため、不正使用に対する対処が遅れることとなる。
そこで、本発明は、機器に対する不正な解析を早期に検出し、第三者に知られたくない秘密の情報の不正な取得及び改ざんを防止する電子端末、制御方法、コンピュータプログラム及び集積回路を提供することを目的とする。
上記目的を達成するために、本発明の一実施態様である、電子端末は、保護対象である秘密情報を格納した第1記憶手段と、前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する制御手段と、を具備することを特徴とする。
上記に示す構成によると、電子端末は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
不正解析防止システム1の構成の概要を示す図である。 電子端末102の構成を示すブロック図である。 モデル情報230の構成を示す図である。 履歴管理テーブルT100のデータ構造の一例を示す図である。 サーバ101の構成を示すブロック図である。 履歴管理テーブルT200のデータ構造の一例を示す図である。 電子端末102における外部からの攻撃に対する監視時の動作を示す流れ図である。 更新処理の動作を示す流れ図である。 サーバ101の動作を示す流れ図である。 不正解析防止システム2の構成の概要を示す図である。 電子端末1102の構成を示すブロック図である。 サーバ1101の構成を示すブロック図である。 更新処理の動作を示す流れ図である。 サーバ1101の動作を示す流れ図である。 モデル情報230に対する更新後のモデル情報230aの構成を示す図である。 電子端末102Aの構成を示すブロック図である。 モデル情報230Aの構成を示す図である。 防御力表T300のデータ構造の一例を示す図である。 保護手段対応表T400のデータ構造の一例を示す図である。 サーバ101Aの構成を示すブロック図である。 保護手段の防御力低下時における電子端末102Aの動作を示す流れ図である。 保護手段の防御力低下時におけるサーバ101Aの動作を示す流れ図である。
本発明の一実施態様である、電子端末は、保護対象である秘密情報を格納した第1記憶手段と、前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する制御手段と、を具備することを特徴とする。
この構成によると、電子端末は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
ここで、前記秘密情報は所定のアルゴリズムにより暗号化され、前記更新可能な保護手段は、前記暗号化された秘密情報を復号する復号アルゴリズムを実行するプログラムであるとしてもよい。
この構成によると、電子端末は、前記部分ルートにおける防御力の総和が前記秘密情報にて表される価値を上回るように、前記秘密情報を暗号化する所定のアルゴリズムを実行するプログラムを更新するので、当該プログラムの防御力価値が上がり、更新前と比較して、当該プログラムの防御力を強化することができる。
ここで、所定のアルゴリズムにより暗号化された前記秘密情報の復号に用いる復号鍵を生成する鍵生成プログラムを格納する第3記憶手段と、前記第1記憶手段に格納された秘密情報への第2攻撃ルートであって前記第3記憶手段に格納された前記鍵生成プログラムを介して前記秘密情報へ到達する第2攻撃ルート上に設けられ且つ前記第2攻撃ルートを介した前記鍵生成プログラムへの外部からのアクセスを遮断する複数の第2保護手段と、前記複数の第2保護手段への外部からの攻撃を監視する複数の第2監視手段と、を設け、外部からの攻撃に対する前記鍵生成プログラム及び前記第2保護手段の各々の防御力価値を表した防御力情報が前記第2保護手段の各々に付与され、前記制御手段は、前記第2保護手段のいずれかへの攻撃が検出された場合、前記第2攻撃ルート上において前記攻撃が検出された第2保護手段から前記秘密情報までの前記攻撃がされていない第2部分ルート上に残存する第2保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記第2部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように、前記鍵生成プログラムを更新するとしてもよい。
この構成によると、電子端末は、外部から前記秘密情報へ到達する攻撃ルートに存在する保護手段の監視に加え、外部から前記鍵生成プログラムを介して前記秘密情報へ到達する第2攻撃ルートに存在する第2保護手段の監視をも行うので、第三者からの攻撃に対して、より強固な監視を行うことができる。また、電子端末は、第2部分ルート上の防御力価値の総和が前記秘密情報の価値を下回った場合に、当該第2部分ルート上における防御力価値の総和が前記秘密情報にて表わされる価値を上回るように前記鍵生成プログラムを更新するので、当該第2部分ルートへの攻撃に対する強化をも行うことができる。
ここで、所定のアルゴリズムにより暗号化された前記秘密情報の復号に用いる復号鍵を格納する第3記憶手段と、前記復号鍵にアクセスするための所定のプログラムを格納する第4記憶手段と、前記第1記憶手段に格納された秘密情報への第2攻撃ルートであって前記第4記憶手段に格納された前記所定のプログラムを介して前記秘密情報に到達する第2攻撃ルート上に設けられ且つ前記第2攻撃ルートを介した前記所定のプログラムへの外部からのアクセスを遮断する複数の第2保護手段と、前記複数の第2保護手段への外部からの攻撃を監視する複数の第2監視手段と、を設け、外部からの攻撃に対する前記所定のプログラム及び前記第2保護手段の各々の防御力価値を表した防御力情報が前記第2保護手段の各々に付与され、前記制御手段は、前記第2保護手段のいずれかへの攻撃が検出された場合、前記第2攻撃ルート上において前記攻撃が検出された第2保護手段から前記秘密情報までの前記攻撃がされていない第2部分ルート上に残存する第2保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記第2部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように、前記所定のプログラムを更新するとしてもよい。
この構成によると、電子端末は、外部から前記秘密情報へ到達する攻撃ルートに存在する保護手段の監視に加え、外部から前記復号鍵にアクセスするための所定のプログラムを介して前記秘密情報へ到達する第2攻撃ルートに存在する第2保護手段の監視をも行うので、第三者からの攻撃に対して、より強固な監視を行うことができる。また、電子端末は、第2部分ルート上の防御力価値の総和が前記秘密情報にて表される価値を下回った場合に、当該第2部分ルート上における防御力価値の総和が前記秘密情報にて表わされる価値を上回るように前記所定のプログラムを更新するので、当該第2部分ルートへの攻撃に対する強化をも行うことができる。
ここで、前記復号鍵にアクセスするための所定のプログラムは、前記復号鍵が暗号化されている場合に前記暗号化された前記復号鍵を復号する復号プログラムであるとしてもよい。
この構成によると、電子端末は、復号プログラムを更新することにより、復号鍵の攻撃に対する強化を行うことができる。
ここで、前記復号プログラムは、難読化されているとしてもよい。
この構成によると、電子端末は、難読化された復号プログラムを更新することにより、復号鍵の攻撃に対する強化を行うことができる。
ここで、更新用の保護手段を格納する第3記憶手段を設け、前記制御手段は、前記第3記憶手段に記憶された更新用の保護手段を用いて前記更新可能な保護手段を更新するとしてもよい。
この構成によると、電子端末は、他の装置を必要とすることなく、外部からの攻撃を検出すると、更新可能な保護手段を更新することができる。
ここで、本端末を管理する外部の管理装置と接続された通信手段を設け、前記制御手段は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、その旨を示す検出情報を前記管理装置に前記管理手段を介して送信し、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記検出情報に応じて前記管理装置から受信し、前記更新可能な保護手段を、前記新たな保護手段に更新するとしてもよい。
または、本端末を管理する外部の管理装置と接続された通信手段を設け、前記制御手段は、さらに、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、その旨を示す検出情報を前記管理装置に前記管理手段を介して送信し、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記検出情報に応じて前記管理装置から受信し、前記部分ルート上に前記新たな保護手段を追加するとしてもよい。
この構成によると、電子端末は、外部の管理装置から更新対象、又は追加対象の新たな保護手段を受信するので、内部に新たな保護手段を予め保持するための記憶容量を備える必要がない。また、新たな保護手段を予め保持する場合には当該新たな保護手段に対しても第三者からの攻撃を防ぐための対策を施す必要がある。これらのことにより、内部に新たな保護手段を予め保持する場合に比べて、製造コストが軽減できる。
ここで、本端末を管理する外部の管理装置と接続された通信手段と、前記管理装置から受信した各保護手段の防御力価値を更新した第2防御力情報を格納する第3記憶手段と、を設け、前記制御手段は、さらに、前記第2記憶手段に格納された防御力情報それぞれと、前記第3記憶手段に格納された対応する第2防御力情報とをそれぞれ比較し、前記防御力情報にて表される防御力価値が第2防御力情報にて表される防御力価値より低下している場合において前記第2防御力情報を基準に前記複数の保護手段に対応する防御力価値の総和を算出すると、この算出された総和が前記価値情報にて表される価値を下回る場合、前記防御力情報を下回った第2防御力情報に対応する保護手段を、前記攻撃ルート上の防御力価値の総和が前記価値情報にて表される価値を上回るように更新するとしてもよい。
この構成によると、電子端末は、第三者からの攻撃を検出しなくても、保護手段の更新結果により、更新後の防御力価値が更新前の防御力価値を下回った場合には、当該保護手段を、攻撃ルート上の防御力価値が前記秘密情報にて表わされる価値を上回るように更新するので、更新前に比べて攻撃ルートに対する防御をより強固にすることができる。
また、本発明の一実施態様である、電子端末の制御方法は、保護対象である秘密情報を格納した第1記憶手段と、前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、を具備した電子端末の制御方法であって、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、下回ったと判断された場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新することを特徴とする。
また、本発明の一実施態様である、電子端末を制御するコンピュータプログラムは、保護対象である秘密情報を格納した第1記憶手段と、前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、を具備した電子端末を制御するコンピュータプログラムであって、前記電子端末のコンピュータに対して、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断する処理と、下回ったと判断された場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する処理とを実行させることを特徴とする。
上記制御方法及び上記コンピュータプログラムにより、電子端末は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
また、本発明の一実施態様である、電子端末で用いられる集積回路は、保護対象である秘密情報を格納した第1記憶手段と、前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルートにおける防御力価値の総和が前記価値情報にて表される価値を上回るように更新する制御手段と、を具備することを特徴とする。
この構成によると、集積回路は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
また、本発明の一実施態様である、管理装置は、保護対象である秘密情報を格納し、この格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段を保持し、前記複数の保護手段の各々への外部からの攻撃を監視する電子端末と接続された通信手段と、前記秘密情報の価値を表した価値情報が前記秘密情報に付与され、外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報が各保護手段に付与され、前記複数の保護手段のいずれかへの攻撃が検出された旨を示す検出情報を前記電子端末から受信すると、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、下回ったと判断する場合に前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する、更新用の保護手段を前記電子端末に送信する制御を行う制御手段と、を具備し、前記電子端末は、前記更新用の保護手段を前記管理装置から受信すると、前記部分ルート上で残存する保護手段の中で更新可能な保護手段を前記更新用の保護手段へと更新することを特徴とする。
この構成によると、管理装置は、前記電子端末にて前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する更新用の保護手段を前記電子端末へ送信する。これにより、電子端末側では、更新対象の保護手段を、管理装置から受信した更新用の保護手段へと更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
また、本発明の一実施態様である、管理装置は、保護対象である秘密情報を格納し、この格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段を保持し、前記複数の保護手段の各々への外部からの攻撃を監視する電子端末と接続された通信手段と、前記秘密情報の価値を表した価値情報が前記秘密情報に付与され、外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報が各保護手段に付与され、前記複数の保護手段のいずれかへの攻撃が検出された旨を示す検出情報を前記電子端末から受信すると、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、下回ったと判断する場合に前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記電子端末に送信する制御を行う制御手段と、を具備し、前記電子端末は、前記新たな保護手段を前記管理装置から受信すると、前記部分ルート上に前記新たな保護手段を追加することを特徴とする。
この構成によると、管理装置は、前記電子端末にて前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記電子端末へ送信する。これにより、電子端末側では、管理装置から受信した新たな保護手段を部分ルート上に追加するので、未だ攻撃されていない部分ルートの防御力を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
また、本発明の一実施態様である、保護対象である秘密情報を格納し、この格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段を保持し、前記複数の保護手段の各々への外部からの攻撃を監視する電子端末と接続された管理装置の制御方法は、前記秘密情報の価値を表した価値情報が前記秘密情報に付与され、外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報が各保護手段に付与され、前記複数の保護手段のいずれかへの攻撃が検出された旨を示す検出情報を前記電子端末から受信し、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、下回ったと判断する場合に前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する、更新用の保護手段を前記電子端末に送信する制御を行うことを特徴とし、さらに、前記電子端末は、前記更新用の保護手段を前記管理装置から受信すると、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を前記更新用の保護手段へと更新することを特徴とする。
また、本発明の一実施態様である、保護対象である秘密情報を格納し、この格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段を保持し、前記複数の保護手段の各々への外部からの攻撃を監視する電子端末と接続された管理装置を制御するコンピュータプログラムは、前記管理装置のコンピュータに対し、前記秘密情報の価値を表した価値情報が前記秘密情報に付与され、外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報が各保護手段に付与され、前記複数の保護手段のいずれかへの攻撃が検出された旨を示す検出情報を前記電子端末から受信する処理と、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断する処理と、下回ったと判断する場合に前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する、更新用の保護手段を前記電子端末に送信する処理と、を実行させることを特徴とし、さらに、前記電子端末は、前記更新用の保護手段を前記管理装置から受信すると、前記部分ルート上で残存する保護手段の中で更新可能な保護手段を前記更新用の保護手段を更新することを特徴とする。
上記制御方法及び上記コンピュータプログラムにより、管理装置は、前記電子端末にて前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する更新用の保護手段を前記電子端末へ送信する。これにより、電子端末側では、更新対象の保護手段を、管理装置から受信した更新用の保護手段へと更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
また、本発明の一実施態様である、管理装置に用いられる集積回路は、保護対象である秘密情報を格納し、この格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段を保持し、前記複数の保護手段の各々への外部からの攻撃を監視する電子端末と接続された通信手段と、前記秘密情報の価値を表した価値情報が前記秘密情報に付与され、外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報が各保護手段に付与され、前記複数の保護手段のいずれかへの攻撃が検出された旨を示す検出情報を前記電子端末から受信すると、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、下回ったと判断する場合に前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する、更新用の保護手段を前記電子端末に送信する制御を行う制御手段と、を具備し、前記電子端末は、前記更新用の保護手段を前記管理装置から受信すると、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を前記更新用の保護手段へと更新することを特徴とする。
この構成によると、集積回路は、前記電子端末にて前記複数の保護手段のいずれかへの攻撃が検出された場合であって、部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する更新用の保護手段を前記電子端末へ送信する。これにより、電子端末側では、更新対象の保護手段を、管理装置から受信した更新用の保護手段へと更新するので、既存の保護手段を強化した新たな保護状態で秘密情報を保護することができる。これにより、第三者による秘密の情報の不正な取得及び改ざんを防ぐことができる。
1.実施の形態1
以下、本発明の実施の形態1における不正解析防止システム1について、図面を参照しながら説明する。
1.1 不正解析防止システム1の概要
図1は、本発明の実施の形態1における不正解析防止システム1の全体構成を示す図である。
不正解析防止システム1は、サーバ101と電子端末102a、・・・、102bとから構成され、サーバ101と電子端末102a、・・・、102bとはネットワーク103を介して通信を行う。
以下、電子端末102a、・・・、102bの動作は同様であるので、電子端末102として説明する。
電子端末102は、CPU、RAM、データ読取装置(ドライブ装置)、ネットワーク接続インタフェースといった構成要素からなるコンピュータシステムである。電子端末102は、第三者に知られたくない資産を保持しており、当該資産を第三者による不正な解析を防止するための複数の保護手段により保護して管理している。
ここで、第三者に知られたくない資産とは、電子端末102に割り当てられた機器IDやデバイス鍵、CPUとデータ読取装置との間における認証時の認証コードや認証プログラム、電子端末102とコンピュータプログラムが記録された記録媒体との間における認証時の認証コードや認証プログラムなどである。また、電子端末102の制御プログラムや、電子端末102がユーザに対して提供するサービスのプログラムなども含まれる。
また、保護手段とは、資産に対する暗号化、コード難読化、デバッガ端子の隠蔽、デバッガの無効化などである。デバッガ端子とは、電子端末102の出荷前において動作試験等を行う際に、デバッグを行う装置(デバッガ装置)と電子端末102とを接続するための端子であり、デバッガ装置との接続時には認証を行う。デバッガ端子は、例えば、回路基板上にあり、出荷後にユーザに利用されることを防ぐために出荷時に隠蔽される。
電子端末102は、前記複数の保護手段に対する外部からの攻撃を監視しており、攻撃を検出すると、その旨を示す検出情報を生成し、生成した検出情報をサーバ101へ送信する。このとき、電子端末102は、サーバ101へ検出情報を送信できない場合には、生成した検出情報を自身が持つ情報を安全に保持できるセキュアストレージに保存する。ここで、攻撃とは、本来接続されることない接続端子に外部装置を不正に接続する行為や、電子端末102が保持している情報やデータを不正に解析する行為などである。また、セキュアストレージとは耐タンパ技術などにより、改ざんが困難となるよう保護された不揮発性メモリなどである。
また、電子端末102は、不正な攻撃を検出すると、新たな保護手段を追加するか否かを判断し、追加すると判断する場合には、その旨を示す更新要求情報をサーバ101へ送信する。
サーバ101は、検出情報を電子端末102から受け取ると、受け取った検出情報を保持する。
また、サーバ101は、電子端末102から更新要求情報を電子端末102から受け取ると、その要求に応じた保護手段(具体的にはプログラムなど)を電子端末102に送信する。
1.2 電子端末102の構成
ここでは、電子端末102の構成について説明する。
電子端末102は、図2にて示すように、検出情報生成部201、署名付与部202、時刻情報取得部203、保存先選択部204、履歴管理部205、モデル記憶部206、防御力算定部207、更新要否判別部208、更新箇所決定部209、更新要求生成部210、監視部211a、211b、・・・、211n、保護方法受信部212、保護方法更新部213、送信部214、識別子記憶部215及びセキュア情報記憶部216から構成されている。
(1)識別子記憶部215
識別子記憶部215は、電子端末102を識別するための識別子を記憶している。この識別子は、具体的には、サーバ101が各電子端末102を管理するために、サーバ101によって割り当てられた識別子である。以下、電子端末102に割り当てられた識別子を単に「管理ID」を呼ぶ。
(2)セキュア情報記憶部216
セキュア情報記憶部216は、情報を安全に保持できるセキュアストレージである。
セキュア情報記憶部216は、第三者に知られたくない資産を、1つ以上の保護手段により保護された状態で記憶している。
また、セキュア情報記憶部216は、資産を保護するために付随する他の資産(付随資産)を、1つ以上の保護手段により保護された状態で記憶している。
以下、保護された資産と、保護された付随資産とを含む情報を、セキュア情報と呼ぶ。また、本発明における秘密情報とは、資産及び付随資産に相当する。また、保護された資産及び保護された付随資産以外にセキュア情報として含まれるものとして、例えば、暗号化を復号するための復号処理のプログラムがある。
(3)モデル記憶部206
モデル記憶部206は、図3にて示すように、電子端末102における1以上の保護手段の構成を示すセキュリティ実装モデル情報(以下、単にモデル情報という)230が記録されている。
モデル情報230は、より具体的には、不正解析者が、保護すべき資産に到達するまでに各保護手段(具体的にはプログラムなど)に攻撃を加えるであろう順序に基づいて生成された情報である。
図3では、保護すべき資産250に対して暗号化による保護手段(以下、暗号化という)232を施すことにより、外部からの不正な攻撃を防止している場合のモデル情報230を示している。暗号化による保護手段とは、資産250に対して施された暗号化を復号する復号プログラムである。
ここで、暗号化された資産250に対して、以下の2つの攻撃パターンが考えられる。
1つは、デバッガ装置などの解析装置を接続して暗号化232そのもの、つまりは暗号化された資産250そのもの若しくは暗号化を復号する復号プログラムそのものを攻撃することで、暗号化された資産250の解析、改ざんを行うパターン(第1の攻撃パターン)である。可能な鍵の候補をすべて試す「全数探索」や鍵を予測する「線形解読法」などがこれに含まれる。
もう1つは、デバッガ装置などの解析装置を接続して暗号化された資産250を復号する鍵(復号鍵)251を攻撃することで、鍵の取得、解析、改ざんを行うパターン(第2の攻撃パターン)である。電子端末102は暗号化された資産250を利用する際には、暗号化を復号する必要があるので、復号鍵251をあらかじめ記憶している。この復号鍵251が得られれば、復号プログラムそのものを解析することができなくとも、資産250を復号化することが可能となり、保護手段232による保護を実質的に無効化することができる。そのため、第三者は第2の攻撃パターンを行うことが考えられる。そこで、第2の攻撃パターンに対する保護対策として、鍵251に対するコード難読化による保護手段(以下、単にコード難読化という)243を施している。さらにデバッグによる難読化されたコード(鍵)の解析を防ぐためのデバッガ無効化による保護手段(以下、単にデバッガ無効化という)242を施す。デバッガ無効化242は、例えば、デバッグによる割り込み処理を無効にするプログラムである。ここで、鍵251が上記にて示す付随資産に相当する。また、本実施の形態において鍵251に対するコード難読化とは、鍵251にアクセスするためのプログラム(例えば、鍵251を用いて暗号化された資産を復号する復号プログラム)を難読化することである。
つまり、図3にて示すモデル情報230には、複数の保護手段として、第1の攻撃パターンの経路(第1の保護経路260)においてはデバッガ端子隠蔽による保護手段(以下、単にデバッガ端子隠蔽という)231及び暗号化232が存在している。また、第2の攻撃パターンの経路(第2の保護経路261)においてはデバッガ端子隠蔽241、デバッガ無効化242及びコード難読化243が存在している。
また、各保護手段には、防御力と当該保護手段が保護経路上において配置された位置を識別するための保護識別子“Point x−y”とが対応付けられている。例えば、暗号化232は、防御力が“10”であり、保護識別子が“Point 1−2”である。
なお、本実施の形態では、保護識別子は、モデル情報230に含まれる各保護手段の識別子としても用いる。
また、防御力とは、例えばある保護手段に対して、どのくらいの費用のツールが必要か、それを用いて攻撃を行うエンジニアをどのくらいの費用で雇うことができるかなど保護手段を解析するためにどのくらいの費用を要するのか示す指標である。防御力は、例えば、以下の数式で算出される。
(数式) 保護手段の防御力 = ツールの費用
+ (エンジニアの時給 × 解析に要する時間)
また、電子端末102が保護すべき資産250には、当該資産に対する価値(資産価値、ここでは価値“10”)が対応付けられている。資産価値は、例えば、ある資産に対して、その資産が奪われることによって発生することが予測される損害の額から計算する。この額を防御力と同様の基準で指標化し、防御力と対比可能な形式で表現したものが資産価値となる。
ここで、電子端末102は、モデル情報230にて示すように、暗号化232によって保護された資産250と、コード難読化243によって保護された鍵251とからなるセキュア情報をセキュア情報記憶部216に保存している。
(4)監視部211a、211b、・・・、211n
ここで、監視部211a、211b、・・・、211nについて説明する。
なお、監視部211a、211b、・・・、211nは同様の動作をするので、ここでは、監視部211として説明する。
監視部211は、監視対象である保護手段を監視するために、電子端末102内の所定の記憶領域に記憶されている。
監視部211は、監視対象である保護手段に対する保護識別子“Point x−y”を予め記憶している。
監視部211は、監視対象である保護手段に対して、外部からの攻撃があったか否かを監視する。
監視部211は、攻撃があったと判断する場合には、その旨と、監視対象である保護手段に対する保護識別子とを検出情報生成部201へ通知する。
監視部211は、具体的には、接続されるはずがないデバッガなどの解析ツールを備える装置が電子端末102に接続されたことや、保護手段を実装するプログラムが不正に書き換えられたことなどを監視する。
監視部211は、デバッガ端子隠蔽231若しくは241を監視する場合は、隠蔽されているデバッガ端子が、外部の装置と認証を行ったか否かを監視する。そして、外部装置との認証を検知した場合には、攻撃があったと判断し、その旨を検出情報生成部201及び更新要否判別部208へ通知する。
また、暗号化232、デバッガ無効化242及びコード難読化それぞれを監視する場合は、監視部211は監視対象の保護手段のプログラムやデータの改ざんがなされた否かを監視する。例えば、監視対象のプログラムとデータ(例えば、暗号化された資産、難読化された鍵、デバッガ無効化のプログラム)に対するハッシュ値を予め記憶しておき、定期的に監視対象のプログラムとデータのハッシュ値を算出し、算出したハッシュ値と記憶しているハッシュ値とが一致するか否かを確認する。
また、監視部211a、211b、・・・、211n同士が相互に監視し合うとしてもよい。
また、以降の説明において、監視部211a、211b、・・・、211nを区別する必要がない場合には、監視部211として記載する。
(5)履歴管理部205
履歴管理部205は、監視部211が不正な攻撃を検出したとき生成した攻撃の事実を伝える情報を記録するための履歴管理テーブルT100を有している。
履歴管理テーブルT100は、図4にて示すように、送信フラグ、時刻、保護識別子とからなる組を1以上記憶するための領域を有している。
送信フラグは、攻撃の事実を伝える情報をサーバ101へ送信済であるか否かを示す情報であり、値“0”は未送信を示し、値“1”は送信済を示す。
時刻は、監視部211が攻撃を検出した時刻である。保護識別子は、攻撃を検出した監視部211の監視対象である保護手段の識別子である。
(6)検出情報生成部201
検出情報生成部201は、監視部211から、攻撃があった旨の通知と、監視対象である保護手段に対する保護識別子とを受け取ると、現時点の時刻を取得するために、時刻取得指示を時刻情報取得部203へ出力する。
検出情報生成部201は、時刻情報取得部203から現在の時刻を示す時刻情報を受け取ると、当該時刻情報、及び監視対象の保護識別子を含む検出情報を生成する。
検出情報生成部201は、生成した検出情報がサーバ101へ送信可能か否かを判断を行う旨の送信判断指示を保存先選択部204へ通知する。
検出情報生成部201は、保存先選択部204からサーバ101へ送信が不可であることを示す送信不可情報を受け取ると、送信フラグに値“0”を設定する。そして、検出情報生成部201は、値“0”が設定された送信フラグに生成した検出情報を対応付けて履歴管理部205へ保存する。
検出情報生成部201は、サーバ101へ送信が可能であることを示す送信可能情報を受け取ると、履歴管理部205にて保存され、且つサーバ101へ未送信である検出情報(未送信検出情報)を全て取得する。具体的には、検出情報生成部201は、送信フラグの値が“0”である検出情報を全て取得する。
検出情報生成部201は、生成した検出情報及び取得した全ての未送信検出に対する署名データを付与するために、生成した検出情報を署名付与部202へ出力する。検出情報生成部201は、署名データが付与された検出情報及び未送信検出情報を受け取ると、識別子記憶部215から管理IDを取得する。
検出情報生成部201は、署名データが付与された検出情報及び未送信検出情報と管理IDとを、送信部214を介してサーバ101へ送信する。送信が完了すると、検出情報生成部201は、履歴管理部205にて保存されている未送信検出情報の送信フラグを“0”から“1”へと更新する。
なお、未送信検出情報が履歴管理部205に存在しない場合には、検出情報生成部201は、生成した検出情報のみを署名付与部202へ出力する。そして、検出情報生成部201は、署名付与部202から署名データが付与された検出情報のみを受け取り、受け取った署名データが付与された検出情報のみをサーバ101へ送信する。
検出情報生成部201は、送信した検出情報及び未送信検出情報それぞれに含まれる保護識別子を全て取得する。検出情報生成部201は、取得した全ての保護識別子と、更新要否の判別指示とを更新要否判別部208へ出力する。
(7)署名付与部202
署名付与部202は、検出情報に、その検出情報が電子端末102で生成されたことを証明するために署名データを付与する。この署名データを検証することで、検出情報が電子端末102で生成されたことが分かる。なお、以下では、検出情報が電子端末102で生成されたか否かの確認を、検出情報の正当性を確認する、もしくは、検出情報の送信元の正当性を確認するとも言う。
以下に、具体的な動作について説明する。
署名付与部202は、署名データの生成に用いる秘密鍵(SK)を予め記憶している。
署名付与部202は、検出情報生成部201から1つ以上の検出情報を受け取ると、受け取った検出情報全てに対して、秘密鍵(SK)を用いて署名データを生成する。なお、署名データの生成手順の詳細については、公知のデジタル署名技術を用いればよいので、説明を省略する。署名付与部202は、生成した署名データを署名対象の検出情報に付与して、検出情報生成部201へ出力する。
この署名データを検証することにより、サーバ101は、検出情報の送信元の正当性を確認することができる。
(8)時刻情報取得部203
時刻情報取得部203は、時刻を計時する時計機能を有している。
時刻情報取得部203は、検出情報生成部201から時刻取得指示を受け取ると、時計機能により、現在の時刻を示す時刻情報を取得し、取得した時刻情報を検出情報生成部201へ出力する。
なお、時刻情報は不正な解析が行えない形で実装されていることが望ましい。
(9)保存先選択部204
保存先選択部204は、検出情報をサーバ101へ送って保存するか、履歴管理部205に保存するかを選択し、その選択結果を検出情報生成部201へ通知する。
以下に、具体的な動作について説明する。
保存先選択部204は、ネットワーク接続の有無を判断する。
ネットワーク接続がされていないと判断する場合、つまりサーバ101と通信が不可能と判断する場合には、保存先選択部204は、送信不可情報を検出情報生成部201へ出力する。
ネットワーク接続がされていると判断する場合、つまりサーバ101と通信が可能と判断する場合には、保存先選択部204は、送信可能情報を検出情報生成部201へ出力する。
(10)更新要否判別部208
更新要否判別部208は、検出情報生成部201から更新要否の判別指示と、1以上の保護識別子とを受け取ると、受け取った保護識別子それぞれと、防御力算定を指示する算定指示とを防御力算定部207へ出力する。
更新要否判別部208は、防御力算定部207から算定された1つ以上の防御力を受け取ると、モデル記憶部206で記録されているモデル情報230から保護すべき資産250の価値を取得する。そして、更新要否判別部208は、取得した価値と、受け取った防御力それぞれとを比較する。なお、防御力算定部207が算定する防御力は、不正解析者が各資産へ至るまで経路の防御力である。詳細は後述する。
比較の結果、1つ以上の経路の防御力について資産250の価値以下であるものが存在する場合には、更新要否判別部208は、更新が必要であると決定する。
更新要否判別部208は、更新箇所の決定を指示する旨の更新箇所決定指示と、検出情報生成部201から受け取った1つ以上の保護識別子とを更新箇所決定部209へ出力する。
(11)防御力算定部207
防御力算定部207は、更新要否判別部208から算定指示と、1つ以上の保護識別子とを受け取る。
防御力算定部207は、不正解析者が保護すべき資産に到達するまでの保護経路全てのうち、受け取った1以上の保護識別子に対応する保護手段のうち少なくとも1つの保護手段を含む保護経路を全て取得する。
防御力算定部207は、取得した保護経路全てに対して、攻撃が検出された保護手段を除いたセキュリティ強度に関する防御力を算出する。
防御力算定部207は、取得した保護経路全てについて算出した防御力それぞれを更新要否判別部208へ出力する。
ここで、保護経路に対する防御力は、その保護経路上にある保護手段それぞれの防御力の和で表すことができる。例えば、保護経路に3つの保護手段がある場合のその保護経路の防御力は、以下のようして算出される。
保護経路の防御力 = 第1の保護手段の防御力 + 第2の保護手段の防御力 + 第3の保護手段の防御力
具体的には、図3において、攻撃検出前では、第1の保護経路260及び第2の保護経路261それぞれに対する防御力は、20(デバッガ端子隠蔽231の防御力“10”と暗号化232の防御力“10”との和)、及び17(デバッガ端子隠蔽241の防御力“10”とデバッガ無効化242の防御力“5”と、コード難読化243の防御力“2”との和)となる。
また、更新要否判別部208から算定指示と、保護識別子“Point 2−1”を受け取ると、防御力算定部207は、保護識別子“Point 2−1”の保護手段が攻撃を受けていることが分かる。そのため、防御力算定部207は、第2の保護経路261において、保護識別子“Point 2−1”に対応するデバッガ端子隠蔽241を除く他の保護手段それぞれの防御力を用いて、攻撃検出後の第2の保護経路261に対する防御力“7”を算出する。
(12)更新箇所決定部209
更新箇所決定部209は、更新要否判別部208から更新箇所決定指示と、1つ以上の保護識別子とを受け取ると、攻撃が行われた後のセキュリティ実装モデルに基づいて、1つ以上の更新が必要とされる箇所(以下、更新箇所とも呼ぶ)、及び各更新箇所が必要とする防御力を決定する。
更新箇所決定部209は、決定した1つ以上の更新箇所と、当該箇所にて必要とされる防御力とを更新要求生成部210へ出力する。
ここで、更新箇所決定部209は、更新箇所として、新規の保護手段を追加、若しくは既存の保護手段を更新(防御力を強化)することにより外部からの攻撃に対する防御に有効な箇所を選択する。一般的には攻撃された箇所(攻撃を検出した箇所)より保護すべき資産に近いところが選択される。つまりは攻撃が検出された保護経路上において攻撃された箇所から保護すべき資産までの部分経路上にて当該有効な箇所が選択される。これは、既に破られた保護手段の上に保護手段を追加したとしても、追加した保護手段が迂回され、破られた保護手段から直接攻撃を受ける可能性が高いためである。なお、更新箇所としては、複数の箇所が選択されてもよい。また、既存の保護手段の更新とは、例えば、既存の保護手段が暗号化プログラムである場合には、当該暗号化プログラムから、暗号化の強度がより強い暗号化プログラムへと変更することを意味する。
また、更新箇所決定部209は、新規の保護手段が追加される保護経路に対する防御力が資産価値を上回るように、当該新規の保護手段に対する防御力を決定(算出)する。
更新する箇所の決定は、例えば、更新箇所に隣接する少なくとも1つの保護手段の保護識別子を指定することにより、実現される。例えば、1つの保護識別子が指定されると、更新する箇所は、指定された1つの保護識別子に対応する保護手段と保護すべき資産との間である。また、2つの保護識別子が指定されると、更新する箇所は、指定された2つの保護識別子それぞれに対応する2つの保護手段の間である。
(13)更新要求生成部210
更新要求生成部210は、更新箇所決定部209から決定された1つ以上の更新箇所と当該箇所が必要とする防御力とを受け取ると、識別子記憶部215から管理IDを取得する。
更新要求生成部210は、取得した管理IDと、受け取った1つ以上の更新箇所及び1つ以上の更新箇所それぞれに対応する防御力とからなる更新要求情報を生成し、生成した更新要求情報を、送信部214を介してサーバ101へ送信する。
(14)送信部214
送信部214は、検出情報生成部201から署名データが付与された検出情報及び未送信検出情報と管理IDとを受け取ると、受け取った署名データが付与された検出情報及び未送信検出情報と管理IDとを、ネットワーク103を介してサーバ101へ送信する。
送信部214は、更新要求生成部210から更新要求情報を受け取ると、ネットワーク103を介してサーバ101へ送信する。
(15)保護方法受信部212
保護方法受信部212は、サーバ101からネットワーク103を介して、送信した更新要求情報に基づいて決定された1つ以上の保護手段と、前記1以上の保護手段それぞれに対応する新たな監視部とを受信する。
具体的には、保護方法受信部212は、サーバ101から保護すべき資産250若しくは鍵251に対して新たな保護手段が施された新たなセキュア情報及び、当該セキュア情報を示す新たなモデル情報と、1つ以上の新たな監視部とを受け取る。
ここで、新たな保護手段が施された新たなセキュア情報とは、新たな保護手段が追加されたセキュア情報、又は既存の保護手段を当該既存の保護手段の防御力を強化した新たな保護手段へと置き換えたセキュア情報である。新たな保護手段が追加された状態とは、例えば、第2の保護経路261上のコード難読化243とデバッガ無効化242との間に、新たな保護手段として暗号化を追加した場合である。また、既存の保護手段を当該既存の保護手段の防御力を強化した新たな保護手段へと置き換えた状態とは、例えば、第1の保護経路260の暗号化232(防御力10)を新たな保護手段として防御力が10より大きい暗号化(例えば、防御力12)に置き換えた状態である。
なお、新たな保護手段が暗号化である場合には、セキュア情報に含まれる情報として、暗号化を復号するための付随資産である鍵や、復号処理のプログラムがある。
(16)保護方法更新部213
保護方法更新部213は、現在セキュアストレージ(セキュア情報記憶部216)に保持しているセキュア情報を、保護方法受信部212が受信した新たなセキュア情報へと置き換える、つまり更新する。
保護方法更新部213は、現在モデル記憶部206にて記憶しているモデル情報230を、保護方法受信部212が受信した新たなモデル情報へと置き換える、つまり更新する。
また、保護方法更新部213は、1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を、電子端末102内の所定の記憶領域に記憶する。
なお、セキュア情報に復号処理のプログラムが含まれている場合には、当該プログラムを所定の領域に格納する。
1.3 サーバ101
ここでは、サーバ101の構成について説明する。
サーバ101は、図5にて示すように、受信部302、履歴管理部304、保護方法選択部306、保護方法記憶部308、保護方法送付部310、及び検出情報受取部312から構成されている。
(1)受信部302
受信部302は、電子端末102からネットワーク103を介して、署名データが付与された1以上の検出情報と管理IDとを受信すると、受信した署名データが付与された1以上の検出情報と管理IDとを、検出情報受取部312へ出力する。
受信部302は、電子端末102からネットワーク103を介して、更新要求情報を受信すると、受信した更新要求情報を保護方法選択部306へ出力する。
(2)検出情報受取部312
電子端末102が保持している秘密鍵(SK)に対応する公開鍵(PK)を、電子端末102の管理IDと対応付けて、予め記憶している。
検出情報受取部312は、受信部302から、署名データが付与された1以上の検出情報と管理IDとを受け取ると、受け取った管理IDに対応する公開鍵(PK)を取得する。
検出情報受取部312は、取得した公開鍵を用いて受け取った1以上の検出情報に対する署名データの検証を行う。なお、署名検証については、公知の技術であるので、ここでの説明は省略する。
検出情報受取部312は、署名検証により、受け取った1以上の検出情報が電子端末102から送信されたものであると判断する場合には、受け取った1以上の検出情報それぞれを、受け取った管理IDと対応付けて履歴管理部304に保存する。
(3)履歴管理部304
履歴管理部304は、電子端末102から送信された検出情報を記録するための履歴管理テーブルT200を有している。
履歴管理テーブルT200は、図6にて示すように、管理ID、時刻、保護識別子とからなる組を1以上記憶するための領域を有している。
管理IDは、検出情報を送信した電子端末102を識別する管理IDである。
時刻は、管理IDに対応する電子端末102が攻撃を検出した時刻であり、保護識別子は、攻撃が検出された保護手段の識別子である。
(4)保護方法記憶部308
保護方法記憶部308は、電子端末102で用いることのできる保護方法を記憶している。
以下、1つの具体例を示す。
保護方法記憶部308は、電子端末102にて保護すべき資産250に対する保護パターンが異なるモデル情報を複数種類保持している。なお、これらモデル情報それぞれは、当該モデル情報を識別するモデル識別子と、当該モデル情報が示すモデルによって保護されているセキュア情報とに対応付けられている。
保護方法記憶部308にて保持されているモデル情報は、例えば、図3にて示すモデル情報230、モデル情報230にて示す暗号化232とは異なる暗号化により資産250が保護されているモデル情報、モデル情報230にて示すコード難読化243とデバッガ無効化242との間にある保護手段が存在するモデル情報などである。
また、保護方法記憶部308は、保護手段それぞれに対して、監視するための監視部を対応付けて記憶している。
(5)保護方法選択部306
保護方法選択部306は、受信部302から更新要求情報を受け取ると、受け取った更新要求情報に含まれる1以上の更新が必要な箇所と、更新が必要な箇所それぞれが必要する防御力に基づいて、保護方法記憶部308より電子端末102に送信するのに適切な保護方法、及び1以上の監視部を選択する。
以下、1つの具体例を示す。
保護方法選択部306は、電子端末102が保持しているモデル情報に対応するモデル識別子を、電子端末102の管理IDと対応付けてセキュアな記憶領域に記憶している。
保護方法選択部306は、受信部302から更新要求情報を受け取ると、受け取った更新要求情報に含まれる管理IDを取得し、セキュアな記憶領域から、取得した管理IDに対応付けられているモデル識別子を取得する。
保護方法選択部306は、取得したモデル識別子に対応するモデル情報を保護方法記憶部308から取得する。そして、保護方法選択部306は、取得したモデル情報と、受け取った更新要求情報に含まれる1つ以上の更新が必要な箇所と、更新が必要な箇所それぞれが必要とする防御力とに基づいて、新たなモデル情報と、当該モデル情報に対応する新たなモデル識別子及び新たなセキュア情報とを、保護方法記憶部308から取得する。なお、ここで取得する新たなセキュア情報は、更新箇所上に新たな保護手段が追加されたセキュア情報、又は、更新箇所上に存在する既存の保護手段を当該既存の保護手段の防御力を強化した新たな保護手段へと置き換えたセキュア情報である。
保護方法選択部306は、取得した新たなセキュア情報に含まれる1以上の新たな保護手段それぞれに対応する新たな監視部を取得する。
保護方法選択部306は、取得した新たなモデル情報、新たなセキュア情報、及び1以上の監視部を、保護方法送付部310を介して、更新要求のあった電子端末102へ送信する。
保護方法選択部306は、現在セキュアな記憶領域に記憶している送信先の電子端末102の管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと置き換える、つまり更新する。
なお、更新は以前のセキュア情報にロールバックされることのない、つまり戻されることのない形で行われることが望ましい。具体的には、バージョンを管理するといった方法で実現される。
(6)保護方法送付部310
保護方法送付部310は、保護方法選択部306から新たなモデル情報及び新たなセキュア情報を受け取ると、受け取った新たなモデル情報及び新たなセキュア情報を、ネットワーク103を介して更新要求のあった電子端末102へ送信する。
なお、新たな保護手段が暗号化である場合には、セキュア情報に、復号処理のプログラムを含めて送信する。
1.4 電子端末102の動作
ここでは、電子端末102における外部からの攻撃に対する監視時の動作について、図7にて示す流れ図を用いて説明する。
(1)全体動作
電子端末102は、監視部211を用いて、監視対象である保護手段に対して、外部からの攻撃があったか否かを監視する(ステップS5)。
攻撃があったと判断する場合には(ステップS5における「YES」)、電子端末102は、時刻情報取得部203を用いて、現在の時刻を示す時刻情報を取得する(ステップS10)。
電子端末102は、検出情報生成部201を用いて、取得した時刻情報と、攻撃のあった保護手段に対応する保護識別子とを含む検出情報を生成する(ステップS15)。
電子端末102は、保存先選択部204を用いて、生成した検出情報をサーバ101へ送信可能であるか否かを判断する(ステップS20)。具体的には、電子端末102は、保存先選択部204により、ネットワーク接続の有無を判断する。
送信可能であると判断する場合(ステップS20における「YES」)、電子端末102は、署名付与部202により、生成した検出情報に署名データを付与する(ステップS25)。電子端末102は、検出情報生成部201により、署名データを付与した検出情報と、管理IDとをサーバ101へ送信する(ステップS30)。このとき、未送信検出情報が存在する場合には、署名付与部202は、生成された検出情報及び全ての未送信検出情報に対して署名データを付与する。そして、検出情報生成部201は、署名データが付与された検出情報及び未送信検出情報全てと、管理IDとをサーバ101へ送信する。なお、未送信検出情報が存在しない場合には、署名付与部202は、生成された検出情報に対してのみに署名データを付与し、検出情報生成部201は、署名データが付与された検出情報と、管理IDとをサーバ101へ送信する。
電子端末102は、検出情報をサーバ101へ送信すると、後述する更新処理により、更新の要否を判断する。更新が必要であると判断する場合には、電子端末102は、サーバ101から新たなセキュア情報を受け取り、現在保持しているセキュア情報を新たなセキュア情報へと更新する(ステップS35)。
送信不可であると判断する場合(ステップS20における「NO」)、電子端末102は、検出情報生成部201を用いて、送信フラグに値“0”を設定する。そして、電子端末102は、検出情報生成部201を用いて、値“0”が設定された送信フラグに生成した検出情報を対応付けて履歴管理部205へ保存する(ステップS40)。
(2)更新処理
ここでは、図7にて示すステップS35にて行われる更新処理の動作について、図8に示す流れ図を用いて説明する。なお、図8は図7におけるステップS35の更新処理の詳細を示した図である。
電子端末102は、防御力算定部207を用いて、攻撃が検出された1つ以上の保護手段のうち少なくとも1を含む保護経路それぞれに対して、当該保護手段を除いたセキュリティ強度に関する防御力を算出する(ステップS100)。
電子端末102は、更新要否判別部208を用いて、防御力算定部207にて算定された防御力それぞれと、保護すべき資産250の価値とを比較して、更新の要否を判断する(ステップS105)。
更新が必要であると判断する場合には(ステップS105における「YES」)、電子端末102は、更新箇所決定部209を用いて、攻撃が行われた後のセキュリティ実装モデルに基づいて、1つ以上の更新が必要とされる箇所、及び1つ以上の更新箇所それぞれが必要とする防御力を決定する(ステップS110)。
電子端末102は、更新要求生成部210を用いて、更新箇所決定部209にて決定された更新箇所と必要とする防御力と、管理IDとからなる更新要求情報を生成し(ステップS115)、生成した更新要求情報をサーバ101へ送信する(ステップS120)。
電子端末102は、保護方法受信部212を用いて、サーバ101から、送信した更新要求情報に基づいて決定された新たなセキュア情報及び、当該セキュア情報を示す新たなモデル情報と1以上の新たな監視部を受け取る(ステップS125)。
電子端末102は、保護方法更新部213を用いて、現在セキュアストレージ(セキュア情報記憶部216)に保持しているセキュア情報を、保護方法受信部212が受け取った新たなセキュア情報へと更新する。また、電子端末102は、保護方法更新部213を用いて、現在モデル記憶部206にて記憶しているモデル情報230を、保護方法受信部212にて受け取った新たなモデル情報へと更新する(ステップS130)。また、このとき、電子端末102は、保護方法更新部213を用いて、新たなセキュア情報に含まれる1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を、電子端末102内の所定の記憶領域に記憶する。
更新が必要でないと判断する場合には(ステップS105における「NO」)、電子端末102は、処理を終了する。
1.5 サーバ101の動作
ここでは、サーバ101の動作について、図9にて示す流れ図を用いて説明する。
サーバ101は、検出情報受取部312を用いて、署名データが付与された1以上の検出情報と管理IDとを電子端末102から受け取る(ステップS200)。
サーバ101は、検出情報受取部312を用いて、受け取った検出情報に対する署名検証を行う(ステップS205)。
署名検証により、受け取った検出情報の正当性が確認されると(ステップS205における「OK」)、サーバ101は、検出情報受取部312を用いて、受け取った1以上の検出情報それぞれを、受け取った管理IDと対応付けて履歴管理部304に保存する(ステップS210)。
サーバ101は、電子端末102から更新要求情報を受け取ると(ステップS215)、保護方法選択部306を用いて受け取った更新要求情報に含まれる更新が必要な箇所と必要とされる防御力に基づいて、保護方法記憶部308より電子端末102に送信するのに適切な新たなセキュア情報、当該新たなセキュア情報に対応する新たなモデル情報及び1以上の新たな監視部を選択する(ステップS220)。
サーバ101は、保護方法送付部310を用いて、保護方法選択部306にて選択された新たなモデル情報、新たなセキュア情報、及び1以上の新たな監視部を、更新要求のあった電子端末102へ送信する(ステップS225)。
このとき、サーバ101は、保護方法選択部306を用いて、現在セキュアな記憶領域に記憶している送信先の電子端末102の管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと更新する動作も行う。
また、署名検証により、受け取った検出情報が不正であると判断された場合(ステップS205における「NG」)、サーバ101は、処理を終了する。
2. 実施の形態2
実施の形態2では、実施の形態1とは異なり、攻撃検出時の防御力の算定や更新箇所の決定などの処理をサーバ側で行う。
以下、各装置の構成及び動作について説明する。
2.1 不正解析防止システム2の概要
図10は、本発明の実施の形態2における不正解析防止システム2の全体構成を示す図である。
不正解析防止システム2は、サーバ1101と電子端末1102a、・・・、1102bとから構成され、サーバ1101と電子端末1102a、・・・、1102bとはネットワーク1103を介して通信を行う。
以下、電子端末1102a、・・・、1102bの動作は同様であるので、電子端末1102として説明する。
電子端末1102は、実施の形態1と同様に、第三者に知られたくない資産を保持しており、当該資産を複数の保護手段にて管理している。
電子端末1102は、前記複数の保護手段に対する外部からの不正な攻撃を監視しており、不正な攻撃を検出すると、その旨を示す検出情報を生成し、生成した検出情報をサーバ1101へ送信する。このとき、電子端末1102は、サーバ1101へ検出情報を送信できない場合には、生成した検出情報を自身が持つ安全に情報を保持できるセキュアストレージに保存する。
サーバ1101は、検出情報を電子端末1102から受け取ると、受け取った検出情報を保持する。
さらに、サーバ1101は、検出情報を受け取ると、新たな保護手段を追加するか否かを判断する。サーバ1101は、追加すると判断する場合には、更新箇所の決定及び必要とする防御力を算出し、決定した更新箇所及び防御力に基づいて、新たなセキュア情報及び当該新たなセキュア情報を、攻撃が検出された電子端末1102へ送信する。
2.2 電子端末1102の構成
ここでは、電子端末1102の構成について説明する。
電子端末1102は、図11にて示すように、検出情報生成部1201、署名付与部1202、時刻情報取得部1203、保存先選択部1204、履歴管理部1205、監視部1211a、1211b、・・・、1211n、保護方法受信部1212、保護方法更新部1213、送信部1214、識別子記憶部1215及びセキュア情報記憶部1216から構成されている。
(1)識別子記憶部1215
識別子記憶部1215は、電子端末1102を識別するための管理IDを記憶している。
(2)セキュア情報記憶部1216
セキュア情報記憶部1216は、実施の形態1にて示すセキュア情報記憶部216と同様であるので、ここでの説明は省略する。
(3)監視部1211a、1211b、・・・、1211n
ここで、監視部1211a、1211b、・・・、1211nについて説明する。
なお、監視部1211a、1211b、・・・、1211nは同様の動作をするので、ここでは、監視部1211として説明する。
監視部1211は、監視対象である保護手段を監視するために、電子端末1102内の所定の記憶領域に記憶されている。監視部1211は、具体的にはプログラム等である。
監視部1211は、監視対象である保護手段に対する保護識別子“Point x−y”を予め記憶している。
監視部1211は、監視対象である保護手段に対して、外部からの攻撃があったか否かを監視する。
監視部1211は、攻撃があったと判断する場合には、その旨と、監視対象である保護手段に対する保護識別子とを検出情報生成部1201へ通知する。
なお、以降の説明において、監視部1211a、1211b、・・・、1211nを区別する必要がない場合には、監視部1211として記載する。
(4)履歴管理部1205
履歴管理部1205は、実施の形態1にて示す履歴管理部205と同様であるので、ここでの説明は省略する。
なお、以降の説明において、必要であれば、図4にて示す履歴管理テーブルT100を用いる。
(5)検出情報生成部1201
検出情報生成部1201は、実施の形態1にて示す検出情報生成部201と同様であるので、ここでの説明は省略する。
(6)署名付与部1202
署名付与部1202は、実施の形態1にて示す署名付与部202と同様であるので、ここでの説明は省略する。
(7)時刻情報取得部1203
時刻情報取得部1203は、実施の形態1にて示す時刻情報取得部203と同様であるので、ここでの説明は省略する。
(8)保存先選択部1204
保存先選択部1204は、実施の形態1にて示す保存先選択部204と同様であるので、ここでの説明は省略する。
(9)送信部1214
送信部1214は、検出情報生成部1201から署名データが付与された検出情報及び未送信検出情報と管理IDとを受け取ると、受け取った署名データが付与された検出情報及び未送信検出情報と管理IDとを、ネットワーク1103を介してサーバ1101へ送信する。
(10)保護方法受信部1212
保護方法受信部1212は、サーバ1101からネットワーク1103を介して、サーバ1101にて決定された保護手段及び1以上の監視部を受信する。
具体的には、保護方法受信部1212は、図3にて示す保護すべき資産250若しくは鍵251に対して新たな保護手段が施された新たなセキュア情報と、1以上の監視部とを、サーバ1101から受け取る。
(11)保護方法更新部1213
保護方法更新部1213は、現在セキュアストレージ(セキュア情報記憶部1216)に保持しているセキュア情報を、保護方法受信部1212が受信した新たなセキュア情報へと置き換える、つまり更新する。
また、保護方法更新部1213は、1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を、電子端末1102内の所定の記憶領域に記憶する。
2.3 サーバ1101
ここでは、サーバ1101の構成について説明する。
サーバ1101は、図12にて示すように、受信部1302、履歴管理部1304、保護方法選択部1306、保護方法記憶部1308、保護方法送付部1310、検出情報受取部1312、モデル記憶部1314、防御力算定部1316、更新要否判別部1318、及び更新箇所決定部1320から構成されている。
(1)受信部1302
受信部1302は、電子端末1102からネットワーク1103を介して、署名データが付与された1以上の検出情報と管理IDとを受信すると、受信した署名データが付与された1以上の検出情報と管理IDとを、検出情報受取部1312へ出力する。
(2)検出情報受取部1312
電子端末1102が保持している秘密鍵(SK)に対応する公開鍵(PK)を、電子端末1102の管理IDと対応付けて、予め記憶している。
検出情報受取部1312は、受信部1302から、署名データが付与された1以上の検出情報と管理IDとを受け取ると、受け取った管理IDに対応する公開鍵(PK)を取得する。
検出情報受取部1312は、取得した公開鍵を用いて受け取った1以上の検出情報に対する署名データの検証を行う。なお、署名検証については、公知の技術であるので、ここでの説明は省略する。
検出情報受取部1312は、署名検証により、受け取った1以上の検出情報が電子端末1102から送信されたものであると判断する場合には、受け取った1以上の検出情報それぞれを、受け取った管理IDと対応付けて履歴管理部1304に保存する。
さらに、検出情報受取部1312は、受け取った管理IDと、検出情報それぞれに含まれる保護識別子と、更新要否の判別指示とを更新要否判別部1318へ出力する。
(3)履歴管理部1304
履歴管理部1304は、実施の形態1にて示す履歴管理部304と同様であるので、ここでの説明は省略する。
なお、以降の説明において必要であれば、図6にて示す履歴管理テーブルT200を用いる。
(4)モデル記憶部1314
モデル記憶部1314は、電子端末1102における現時点での保護手段が施されたセキュリティ実装モデル情報(以下、単にモデル情報という)が、電子端末毎に記録されている。具体的には、モデル情報は、管理IDと対応付けられて記録されている。
なお、以下の説明において、必要であれば図3にて示すモデル情報230を用いる。
(5)更新要否判別部1318
更新要否判別部1318は、検出情報受取部1312から判別指示と、管理IDと、1以上の保護識別子とを受け取ると、受け取った1以上の保護識別子と、管理IDと、防御力算定を指示する算定指示とを防御力算定部1316へ出力する。
更新要否判別部1318は、防御力算定部1316から算定された1以上の防御力を受け取ると、モデル記憶部1314で記録されているモデル情報230から保護すべき資産250の価値を取得する。そして、取得した価値と、受け取った防御力それぞれとを比較する。
防御力が資産250の価値以下であると判断する場合には、更新要否判別部1318は、更新箇所の決定を指示する旨の更新箇所決定指示と、管理IDと、検出情報受取部1312から受け取った1以上の保護識別子とを更新箇所決定部1320へ出力する。
(6)防御力算定部1316
防御力算定部1316は、更新要否判別部1318から算定指示と、管理IDと、1以上の保護識別子とを受け取る。
防御力算定部1316は、モデル記憶部1314に記憶されているモデル情報のうち受け取った管理IDに対応するモデル情報を用いて、不正解析者が保護すべき資産に到達するまでの保護経路全てのうち、受け取った1以上の保護識別子に対応する保護手段のうち少なくとも1つの保護手段を含む保護経路を全て取得する。
防御力算定部1316は、取得した全ての保護経路それぞれに対して、攻撃が検出された保護手段を除いたセキュリティ強度に関する防御力を算出する。
防御力算定部1316は、取得した保護経路それぞれに対して算出した防御力それぞれを更新要否判別部1318へ出力する。
なお、保護経路に対する防御力は、実施の形態1と同様の算出方法で算出される。
(7)更新箇所決定部1320
更新箇所決定部1320は、更新要否判別部1318から更新箇所決定指示と、管理IDと、1以上の保護識別子とを受け取ると、攻撃が行われた後のセキュリティ実装モデルに基づいて、1つ以上の更新が必要とされる箇所、及び1つ以上の更新箇所それぞれが必要とする防御力を決定する。
更新箇所決定部1320は、決定した1つ以上の更新箇所と、1つ以上の更新箇所それぞれが必要とする防御力と、管理IDとを保護方法選択部1306へ出力する。
なお、更新箇所及び防御力の決定方法については、実施の形態1にて示す更新箇所決定部209と同様であるので、ここでの説明は省略する。
(8)保護方法記憶部1308
保護方法記憶部1308は、電子端末1102で用いることのできる複数の保護方法を、管理ID毎に記憶している。
以下、1つの具体例を示す。
保護方法記憶部1308は、電子端末1102にて保護すべき資産250に対する保護パターンが異なるモデル情報を複数種類保持している。なお、これらモデル情報それぞれは、管理IDと、当該モデル情報を識別するモデル識別子と、当該モデル情報が示すセキュア情報とに対応付けられている。
保護方法記憶部1308にて保持されているモデル情報は、実施の形態1と同様に、例えば、図3にて示すモデル情報230、モデル情報230にて示す暗号化232とは異なる暗号化により資産250は保護されているモデル情報、モデル情報230にて示すコード難読化243とデバッガ無効化242との間にある保護手段が存在するモデル情報などである。
また、保護方法記憶部1308は、保護手段それぞれに対して、監視するための監視部を対応付けて記憶している。
(9)保護方法選択部1306
保護方法選択部1306は、更新箇所決定部1320から、管理IDと、1つ以上の更新箇所及び1つ以上の更新箇所それぞれに対応する防御力とを受け取る。
保護方法選択部1306は、受け取った1つ以上の更新箇所、及びそれぞれに対応する防御力に基づいて、保護方法記憶部1308より電子端末1102に送信するのに適切な保護方法、及び1以上の監視部を選択する。
以下、1つの具体例を示す。
保護方法選択部1306は、電子端末1102が保持しているモデル情報に対応するモデル識別子を、電子端末1102の管理IDと対応付けてセキュアな記憶領域に記憶している。
保護方法選択部1306は、更新箇所決定部1320から、管理IDと、1つ以上の更新箇所及び1つ以上の更新箇所それぞれに対応する防御力とを受け取る。
保護方法選択部1306は、受け取った管理IDに対応付けられているモデル識別子を、セキュアな記憶領域から取得する。
保護方法選択部1306は、取得したモデル識別子に対応するモデル情報を保護方法記憶部1308から取得する。そして、保護方法選択部1306は、取得したモデル情報と、受け取った1つ以上の更新が必要な箇所と、それぞれが必要とする防御力とに基づいて、新たなモデル情報と、当該モデル情報に対応する新たなモデル識別子及び新たなセキュア情報とを、保護方法記憶部1308から取得する。
保護方法選択部1306は、取得した新たなセキュア情報に含まれる1以上の新たな保護手段それぞれに対応する新たな監視部を取得する。
保護方法選択部1306は、取得した新たなセキュア情報及び1以上の新たな監視部を、保護方法送付部1310を介して、攻撃が検出された電子端末1102へ送信する。
保護方法選択部1306は、モデル記憶部1314にて記憶し、受け取った管理IDに対応するモデル情報を、取得した新たなモデル情報へと書き換える、つまり更新する。
保護方法選択部1306は、現在セキュアな記憶領域に記憶している送信先の電子端末1102の管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと置き換える、つまり更新する。
(10)保護方法送付部1310
保護方法送付部1310は、保護方法選択部1306から新たなセキュア情報を受け取ると、受け取った新たなセキュア情報を、ネットワーク1103を介して攻撃が検出された電子端末1102へ送信する。
2.4 電子端末1102の動作
ここでは、電子端末1102における外部からの攻撃に対する監視時の動作について説明する。
(1)検出情報の送信処理
電子端末1102にて行われる検出情報の送信処理は、図7にて示すステップS5からS30及びステップS40により実現されるので、ここでの説明は省略する。
(2)更新処理
電子端末1102にて行われる更新処理について、図13にて示す流れ図を用いて説明する。
電子端末1102の保護方法受信部1212は、サーバ1101から更新された新たなセキュア情報及び1以上の新たな監視部を受け取る(ステップS300)。
電子端末1102は、保護方法更新部1213を用いて、現在セキュアストレージ(セキュア情報記憶部1216)に保持しているセキュア情報を、保護方法受信部1212にて受け取った新たなセキュア情報へと更新する(ステップS305)。また、このとき、電子端末1102は、保護方法更新部1213を用いて、新たなセキュア情報に含まれる1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を、電子端末1102内の所定の記憶領域に記憶する。
2.5 サーバ1101の動作
ここでは、サーバ1101の動作について、図14にて示す流れ図を用いて説明する。
サーバ1101は、検出情報受取部1312を用いて、署名データが付与された1以上の検出情報と管理IDとを電子端末1102から受け取る(ステップS350)。
サーバ1101は、検出情報受取部1312を用いて、受け取った検出情報に対する署名検証を行う(ステップS355)。
署名検証により、受け取った検出情報の正当性が確認されると(ステップS355における「OK」)、サーバ1101は、検出情報受取部1312を用いて、受け取った1以上の検出情報それぞれを、受け取った管理IDと対応付けて履歴管理部1304に保存する(ステップS360)。
サーバ1101は、防御力算定部1316を用いて、攻撃が検出された1つ以上の保護手段のうち少なくとも1を含む保護経路それぞれに対して、当該保護手段を除いたセキュリティ強度に関する防御力を算出する(ステップS365)。
サーバ1101は、更新要否判別部1318を用いて、防御力算定部1316にて算定された防御力それぞれと、保護すべき資産250の価値とを比較して、更新の要否を判断する(ステップS370)。
更新が必要であると判断する場合には(ステップS370における「YES」)、サーバ1101は、更新箇所決定部1320を用いて、検出情報を送信した、つまり攻撃が検出された電子端末1102に対応付けられたセキュリティ実装モデルに基づいて、1つ以上の更新が必要とされる箇所、及び1つ以上の更新箇所それぞれが必要とする防御力を決定する(ステップS375)。
サーバ1101は、保護方法選択部1306を用いて、決定された1つ以上の更新が必要とされる箇所、及びそれぞれが必要とする防御力に基づいて、保護方法記憶部1308より新たなセキュア情報、当該新たなセキュア情報に対応する新たなモデル情報、及び1以上の新たな監視部を選択する(ステップS380)。
サーバ1101は、保護方法送付部1310を用いて、保護方法選択部1306にて選択された新たなモデル情報、及び1以上の新たな監視部を、攻撃が検出された電子端末1102へ送信する(ステップS385)。
サーバ1101は、保護方法選択部1306を用いて、モデル記憶部1314にて記憶し、且つ受け取った管理IDに対応するモデル情報を、取得した新たなモデル情報へと更新する(ステップS390)。
このとき、サーバ1101は、保護方法選択部1306を用いて、現在セキュアな記憶領域に記憶している送信先の電子端末1102の管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと更新する動作も行う。
また、署名検証により、受け取った検出情報が不正であると判断された場合(ステップS355における「NG」)、及び更新が必要でないと判断する場合には(ステップS370における「NO」)、サーバ1101は、処理を終了する。
3.その他
上記実施の形態1、2では、更新後の新たなセキュア情報に対する監視については、言及していないが、新たなセキュア情報の更新内容によっては、さらに新たな付随資産が追加され、当該新たな付随資産についても保護すべきことは言うまでもない。
例えば、図3にて示すモデル情報230におけるデバッガ端子隠蔽241に対する攻撃を検出し、第2の保護経路261上のコード難読化243とデバッガ無効化242との間に、新たな保護手段として暗号化244を追加する場合を考える。
この場合、鍵251は、コード難読化され、さらに暗号化された状態で保護されることとなる。この暗号化された状態を復号するためには、鍵が必要となるので、新たなセキュア情報には、新たな付随資産として鍵252が追加される。この鍵252を保護しないと、鍵252の取得は容易に行うことができるので、暗号化244を追加することにより保護経路261を強化したことが無意味となる。そこで、新たな付随資産である鍵252を保護する必要がある。
図15は、この場合における具体的なモデル情報230aを示す。
図15では、上記にて説明したように、コード難読化243とデバッガ無効化242との間に、新たな保護手段として暗号化244を追加し、この追加に伴い、新たな付随資産である鍵252が追加されている。そして、鍵252は、保護手段としてコード難読化245により保護されている。なお、追加された暗号化244、コード難読化245を監視する監視部211f、211gも追加されることは言うまでもない。また、このとき、資産250までに至る第3の保護経路262が新たに形成され、第3の保護経路262に対する防御力は、12となる。第2の保護経路261に対する防御力は、17から12へと変更される。
このように新たな付随資産に対しても保護手段を施すことで、新たなセキュア情報全体として、保護状態を強化することができる。
4.実施の形態3
ここでは、本発明の実施の形態3について、実施の形態1と異なる点を中心に説明する。
実施の形態3では、実施の形態1の記載した保護方法の更新に加えて、保護手段のバージョンアップや暗号化の解読の成功やコード難読化されたコードの解読の成功などにより、当該保護手段の防御力が低下した場合においても、保護方法を更新する。
以下、各装置の構成及び動作について説明する。なお、実施の形態1と同一の動作を行う構成要素については、同一の符号を付与し、ここでの説明は省略する。
4.1 電子端末102Aの構成
ここでは、電子端末102Aの構成について説明する。
電子端末102Aは、図16にて示すように、検出情報生成部201、署名付与部202、時刻情報取得部203、保存先選択部204、履歴管理部205、モデル記憶部206、監視部211a、211b、・・・、211n、識別子記憶部215、セキュア情報記憶部216、防御力算定部207A、更新要否判別部208A、更新箇所決定部209A、更新要求生成部210A、保護方法受信部212A、保護方法更新部213A、送信部214A、防御力表記憶部220A、比較部221A及び保護手段対応表記憶部222Aから構成されている。
なお、モデル記憶部206には図17にて示すモデル情報230Aを記憶しているものとする。実施の形態1にて示すモデル情報230(図3を参照)との違いは、資産の価値である。図3では、資産250の価値を「10」としたが、ここでは、資産250Aの価値を「15」としている。
以下において、防御力算定部207A、更新要否判別部208A、更新箇所決定部209A、更新要求生成部210A、保護方法受信部212A、保護方法更新部213A、送信部214A、防御力表記憶部220A、比較部221A及び保護手段対応表記憶部222Aについて説明する。
(1)防御力表記憶部220A
防御力表記憶部220Aは、サーバ101Aから保護方法受信部212Aが受け取った防御力表T300を記憶している。
防御力表T300は、図18にて示すように、保護手段管理IDと、保護手段と、防御力とからなる組を1つ以上記憶するための領域を有している。
保護手段管理IDは、保護手段を一意に識別するためのものであり、保護手段は、保護手段管理IDにて対応付けられた保護手段の名称を示すものである。防御力は、その保護手段の防御力を示すものである。
(2)保護手段対応表記憶部222A
保護手段対応表記憶部222Aは、モデル記憶部206にて記憶しているモデル情報230に含まれる1つ以上の保護手段と、防御力対応表に含まれる保護手段とを対応付けるための保護手段対応表T400を記憶している。
保護手段対応表T400は、図19にて示すように、保護手段管理IDは保護手段を一意に識別するためのものであり、保護手段は保護手段管理IDにて対応付けられた保護手段の名称を示すものである。また、使用ポイントは、対応する保護手段がモデル情報230における位置を示すものであり、ここでは、実施の形態1にて示す保護識別子にて与えられる。
保護識別子を用いることで、どの保護経路上のどの位置に保護手段が用いられているかが分かる。例えば、防御力表T300における暗号化Aは、保護手段管理ID「ID1」と保護手段対応表T400とから、モデル情報230にてPoint1−2に対応付けられた保護手段を示していることが分かる。
(3)比較部221A
比較部221Aは、モデル情報230に含まれる保護手段の防御力、つまり現時点で資産230を保護している保護手段の防御力(以下、「第1防御力」という。)と、防御力表T300に含まれ当該保護手段に対応する防御力(以下、「第2防御力」という。)とを比較し、第2防御力が第1防御力を下回っているか否かを判別する。
下回っている場合には、比較部221Aは、当該保護手段を含む保護経路を特定する。
例えば、図16、17、18から、保護識別子「Point1−2」に対応する保護手段(暗号化A)、つまり図16にて示す暗号化232は、現時点では防御力「10」として管理しているが、防御力表T300では、防御力「5」となっており、防御力が低下していることが分かる。そこで、比較部221Aは、暗号化232を含む保護経路として第1の保護経路260を特定する。
なお、ここでは、特定される保護経路が1つあるが、防御力表T300の内容によっては、特定される保護経路は複数となる場合もある。つまり、比較部221Aは、比較結果に応じて、1つ以上の保護経路を特定する。
(4)防御力算定部207A
防御力算定部207Aは、実施の形態1にて示す防御力算定部207の動作内容に加えて、次の動作をも行う。
防御力算定部207Aは、比較部221Aにて特定された1つ以上の保護経路それぞれに対して、防御力が低下した保護手段に対応する第2防御力を用いて、当該保護経路に対する防御力を算定する。
例えば、防御力算定部207Aは、防御力が低下した暗号化232を含む第1の保護経路260に対する防御力として、「12」を算出する。
(5)更新要否判別部208A
更新要否判別部208Aは、実施の形態1にて示す更新要否判別部208の動作内容に加えて、次の動作をも行う。
更新要否判別部208Aは、比較部221Aにて特定された1つ以上の保護経路それぞれに対して、防御力算定部207Aが算定した各防御力と、資産250Aの価値とに基づいて、更新の要否を判別する。なお、判別方法は実施の形態1と同様である。
例えば、更新要否判別部208Aは、第1の保護経路260に対して算定された防御力「12」と、資産250Aの価値「15」とを比較して、その結果として更新が必要であると判断する。
(6)更新箇所決定部209A
更新箇所決定部209Aは、実施の形態1にて示す更新箇所決定部209の動作内容に加えて、次の動作をも行う。
更新箇所決定部209Aは、更新要否判別部208Aにて防御力が低下した保護手段を含む保護経路の更新が必要であると判断された場合、防御力表T300を用いて、当該保護手段の代わりに用いることのできる新たな保護手段を特定する。なお、更新が必要であると判断された保護経路が複数ある場合には、保護経路毎に、新たな保護手段を特定する。
具体的には、更新箇所決定部209Aは、当該保護経路の防御力が資産の価値以上となるような新たな保護手段を特定する。
例えば、更新箇所決定部209Aは、資産250Aの価値「15」を上回るように防御力表T300から暗号化Bを特定する。このとき、暗号化Aを暗号化Bへと換えることで、第1の保護経路260の防御力は「12」から「18」となり、資産250Aの価値「15」を上回ることになる。
(7)更新要求生成部210A
更新要求生成部210Aは、実施の形態1にて示す更新要求生成部210の動作内容に加えて、次の動作をも行う。
更新要求生成部210Aは、更新箇所決定部209Aにて防御力が低下した保護手段の代わりに用いることのできる新たな保護手段が特定された場合、当該保護手段に対応する保護手段管理ID、防御力が低下した保護手段に対応付けられた保護識別子、及び識別子記憶部215にて記憶されている管理IDとからなる第2更新要求情報を生成し、生成した第2更新要求情報を、送信部214を介してサーバ101Aへ送信する。
なお、更新が必要であると判断された保護経路が複数ある場合には、更新要求生成部210Aは、保護経路毎に特定された新たな保護手段それぞれに対して、当該新たな保護手段の保護手段管理IDと、当該新たな保護手段へと更新する対象となる保護識別子とを1つの組として、第2更新要求情報を生成する。
(8)送信部214A
送信部214Aは、実施の形態1にて示す送信部214の動作内容に加えて、次の動作をも行う。
送信部214Aは、更新要求生成部210Aにて生成された第2更新要求情報を、サーバ101Aへ送信する。
(9)保護方法受信部212A
保護方法受信部212Aは、実施の形態1にて示す保護方法受信部212の動作内容に加えて、次の動作をも行う。
保護方法受信部212Aは、サーバ101Aから防御力表T300を受信する。
保護方法受信部212Aは、保護手段の防御力低下時における保護方法の更新時において、実施の形態1と同様にサーバ101Aから、送信した第2更新要求情報に基づいて決定された1つ以上の保護手段と、前記1以上の保護手段それぞれに対応する新たな監視部とを受信する。
具体的には、保護方法受信部212Aは、サーバ101Aから保護すべき資産250A若しくは鍵251に対して新たな保護手段が施された新たなセキュア情報及び、当該セキュア情報を示す新たなモデル情報と、1つ以上の新たな監視部とを受け取る。
また、保護方法受信部212Aは、さらに、新たなセキュア情報に含まれる1以上の保護手段それぞれに対応する保護手段管理ID、当該保護手段管理IDに対応する保護手段及び使用ポイントに基づく新たな保護手段対応表を受信する。
(10)保護方法更新部213A
保護方法更新部213Aは、実施の形態1にて示す保護方法更新部213の動作内容に加えて、次の動作をも行う。
保護方法更新部213Aは、保護方法受信部212Aが受信した防御力表T300を防御力表記憶部220Aへ格納する。
保護方法更新部213Aは、保護手段の防御力低下時における保護方法の更新時において、現在保持しているセキュア情報を新たなセキュア情報へと更新、現在記憶しているモデル情報230を新たなモデル情報へと更新、及び1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を電子端末102内の所定の記憶領域に記憶する。なお、セキュア情報に復号処理のプログラムが含まれている場合には、当該プログラムを所定の領域に格納する。
また、保護方法更新部213Aは、現在保護手段対応表記憶部222Aにて記憶している保護手段対応表を、保護方法受信部212Aが受信した新たな保護手段対応表へと更新する。
4.2 サーバ101Aの構成
ここでは、サーバ101Aの構成について説明する。
サーバ101Aは、図20にて示すように、履歴管理部304、検出情報受取部312、受信部302A、保護方法選択部306A、保護方法記憶部308A、保護方法送付部310A及び防御力表記憶部311Aから構成されている。
以下において、受信部302A、保護方法選択部306A、保護方法記憶部308A、保護方法送付部310A及び防御力表記憶部311Aについて説明する。
(1)受信部302A
受信部302Aは、実施の形態1にて示す受信部302の動作に加えて、以下の動作を行う。
受信部302Aは、電子端末102Aから、第2更新要求情報を受信すると、受信した第2更新要求情報を保護方法選択部306Aへ出力する。
(2)保護方法記憶部308A
保護方法記憶部308Aは、実施の形態1にて示す保護方法記憶部308と同様に、電子端末102Aにて保護すべき資産250Aに対する保護パターンが異なるモデル情報を複数種類保持している。また、保護方法記憶部308Aは、実施の形態1にて示す保護方法記憶部308と同様に、これらのモデル情報それぞれに対応するセキュア情報をも記憶している。
保護方法記憶部308Aは、複数種類のモデル情報それぞれに対応する保護手段対応表を記憶している。
また、保護方法記憶部308Aは、実施の形態1にて示す保護方法記憶部308と同様に、保護手段それぞれに対して監視するための監視部を対応付けて記憶している。
(3)保護方法選択部306A
保護方法選択部306Aは、実施の形態1にて示す保護方法選択部306の動作内容に加えて、以下の動作を行う。
保護方法選択部306Aは、受信部302Aから第2更新要求情報を受け取ると、受け取った第2更新要求情報に含まれる保護手段管理IDと保護識別子とからなる1つ以上の組を用いて、保護方法記憶部308Aからモデル情報及び当該モデル情報に対応する保護手段対応表を取得する。
以下、1つの具体例を示す。
保護方法選択部306Aは、第2更新要求情報に含まれる全ての保護手段管理IDそれぞれにて識別される保護手段が、対応する保護識別子(当該保護手段管理IDを含む組に含まれる保護識別子)にて示される位置に施されているモデル情報を、保護方法記憶部308Aから取得する。
保護方法選択部306Aは、取得したモデル情報に対応するセキュア情報及び保護手段対応表を取得する。
保護方法選択部306Aは、さらに、取得した新たなセキュア情報に含まれる1以上の新たな保護手段それぞれに対応する新たな監視部を取得する。
保護方法選択部306Aは、取得した新たなモデル情報、新たなモデル情報に対応する保護手段対応表、新たなセキュア情報及び1以上の監視部を、保護方法送付部310Aを介して、更新要求のあった電子端末102Aへ送信する。
保護方法選択部306Aは、実施の形態1にて示す保護方法選択部306と同様に、現在セキュアな記憶領域に記憶している送信先の電子端末102Aの管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと更新する。
(4)防御力表記憶部311A
防御力表記憶部311Aは、電子端末102Aへ送信すべき防御力表を記憶している。
(5)保護方法送付部310A
保護方法送付部310Aは、実施の形態1にて示す保護方法送付部310の動作内容に加えて、以下の動作を行う。
保護方法送付部310Aは、ユーザの指示により、防御力表記憶部311Aにて記憶されている防御力表を、電子端末102Aへ送信する。
保護方法送付部310Aは、保護方法選択部306Aが取得した新たなモデル情報、新たなモデル情報に対応する保護手段対応表、新たなセキュア情報及び1以上の監視部を電子端末102Aへ送信する。
なお、新たな保護手段が暗号化である場合には、保護方法送付部310Aは、実施の形態1にて示す保護方法送付部310と同様に、セキュア情報に復号処理のプログラムを含めて送信する。
4.3 電子端末102Aの動作
ここでは、保護手段の防御力が低下した場合におけるセキュア情報の更新に係る処理について図21にて示す流れ図を用いて説明する。
電子端末102Aの保護方法受信部212Aは、サーバ101Aから防御力表を受信し、受信した防御力表を防御力表記憶部220Aへ記憶する(ステップS500)。
比較部220Aは、モデル情報230に含まれる保護手段それぞれに対して、当該保護手段の第1防御力と、防御力表T300に含まれ当該保護手段に対応する第2防御力とを比較し、第2防御力が第1防御力を下回っているか否かを判別する。下回っている場合には、比較部221Aは、第2防御力が第1防御力を下回っている1つ以上の保護手段それぞれに対して、当該保護手段を含む保護経路を特定する(ステップS505)。
防御力算定部207Aは、攻撃が検出された1つ以上の保護手段のうち少なくとも1を含む保護経路それぞれに対して、当該保護手段を除いたセキュリティ強度に関する防御力を算出する。更新要否判別部208Aは、防御力算定部207Aにて算定された防御力それぞれと、保護すべき資産250の価値とを比較して、更新の要否を判断する(ステップS510)。
更新が必要であると判断する場合には(ステップS510における「YES」)、電子端末102Aの更新箇所決定部209Aは、モデル記憶部206にて記憶されているモデル情報230Aと、防御力表記憶部220Aにて記憶されている防御力表T300とを用いて、更新対象となる保護経路の防御力が資産価値より上回るような新たな保護手段を特定する(ステップS515)。
更新要求生成部210Aは、保護経路毎に特定された新たな保護手段それぞれに対して、当該新たな保護手段の保護手段管理IDと、当該保護経路上において更新対象となる保護手段の保護識別子とを1つの組として、第2更新要求情報を生成する(ステップS520)。送信部214Aは、生成された第2更新要求情報をサーバ101Aへ送信する(ステップS525)。
保護方法受信部212Aは、サーバ101Aから、送信した第2更新要求情報に基づいて決定された新たなセキュア情報、当該セキュア情報を示す新たなモデル情報、当該新たなモデル情報に対応する保護手段対応表、及び1以上の新たな監視部を受け取る(ステップS530)。
保護方法更新部213Aは、現在セキュア情報記憶部216に保持しているセキュア情報を保護方法受信部212にて受け取った新たなセキュア情報へと更新、現在モデル記憶部206にて記憶しているモデル情報230を保護方法受信部212にて受け取った新たなモデル情報へと更新、及び現在保護手段対応表記憶部222Aにて記憶している保護手段対応表を保護方法受信部212Aにて受け取った新たな保護手段対応表へと更新する(ステップS535)。また、このとき、保護方法更新部213Aは、新たなセキュア情報に含まれる1以上の新たな保護手段を監視するために、受け取った1つ以上の監視部を、電子端末102A内の所定の記憶領域に記憶する。
更新が必要でないと判断する場合には(ステップS510における「NO」)、電子端末102Aは、処理を終了する。
4.4 サーバ101Aの動作
ここでは、サーバ101Aの動作について、図22にて示す流れ図を用いて説明する。
サーバ101Aは、電子端末102Aから第2更新要求情報を受け取る(ステップS600)。
サーバ101Aの保護方法選択部306Aは、受け取った第2更新要求情報に含まれる保護手段管理IDと保護識別子とからなる1つ以上の組を用いて、保護方法記憶部308Aより電子端末102Aに送信するのに適切な新たなセキュア情報、当該新たなセキュア情報に対応する新たなモデル情報及び1以上の新たな監視部を選択する(ステップS605)。
保護方法送付部310Aは、保護方法選択部306Aにて選択された新たなモデル情報、新たなセキュア情報、及び1以上の新たな監視部を、更新要求のあった電子端末102Aへ送信する(ステップS610)。
このとき、サーバ101Aの保護方法選択部306Aは、セキュアな記憶領域に現在記憶している送信先の電子端末102Aの管理IDに対応付けられているモデル識別子を、取得した新たなモデル情報に対応するモデル識別子へと更新する動作も行う。
5.変形例
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記の実施の形態1および2では、セキュリティの更新として保護手段の追加、更新を考慮していたが、保護手段の削除を行っても良い。例えば、不正解析を受けた保護手段は、既に破られている可能性が高いので残しておいても無駄である可能性が高い。この場合、この保護手段を削除することで電子端末102の容量を有効に使うことが出来る。
同様に、サーバ101から新しい保護手段が得られた場合に、その保護手段を不正解析を受けた保護手段に上書きするとしてもよい。
(2)上記の実施の形態1および2では、不正な攻撃を受けた場合にのみ保護手段を更新していたが、これに限られるものではない。
例えば、電子端末は、定期的に、またはユーザやプログラムからの指示により、サーバにアクセスし、新しい保護手段が使えるようになっていれば、その保護手段を取得して防御力を強化するとしてもよい。言い換えると、電子端末は、サーバに新しい保護手段が施された新たな資産が存在する場合には、サーバからその新たな資産を取得して、現在保持している資産を取得した新たな資産へと更新する。
また、電子端末は、特に攻撃を受けていない場合であっても、定期的に、またはユーザやプログラムからの指示により、各保護手段を同等の防御力を持つ保護手段と取り替えるよう更新しても良い。これにより、不正解析の対象が変化するので、より解析を困難にすることが出来る。なお、同等の防御力を持つ保護手段ではなく、より防御力の強い保護手段と取り替えるとしても良いが、一般的に防御力が高い保護手段ほど実行時に時間がかかるので、必要最低限の防御力を維持する構成の方が電子端末の動作速度の面からは望ましい。また、保護経路全体での防御力が低下しなければ、一部の保護手段を防御力の低い保護手段に更新しても良い。
(3)上記の実施の形態1および2では、更新によって追加される保護手段は、その保護手段を追加することで、あらゆる保護経路の防御力が資産価値を上回るように決定されていた。しかし、このような例に限らず、例えば、資産価値と防御力の比較を行わずに更新すべき箇所および必要な防御力を定めることも可能である。具体的には、各保護経路の防御力を解析し、他の保護経路よりも防御力が弱い保護経路が発見された場合に、保護手段を追加するとしてもよい。
また、攻撃を受けた保護手段を同等の防御力を持つ保護手段と取り替えることも考えられる。なお、同等の防御力を持つ保護手段ではなく、より防御力の強い保護手段と取り替えるとしても良いが、一般的に防御力が高い保護手段ほど実行時に時間がかかるので、必要最低限の防御力を維持する構成の方が電子端末の動作速度の面からは望ましい。
また、資産価値以外の閾値に基づき、その閾値よりも保護経路の防御力が下がったかどうかを判断して、下がっていた場合にその保護経路に保護手段を追加するとしても良い。
(4)上記の実施の形態1および2では、保護経路の防御力が資産価値を下回った場合に保護手段を追加していたが、これに限られるものではない。例えば、防御力が資産価値を下回ったかどうかと関係なく、不正解析を受ければ保護手段を更新するとしてもよい。この場合の保護手段の選択方法としては、例えば、不正解析を受けた保護手段よりも防御力の強い保護手段を選択することが考えられる。
(5)資産価値は、技術水準や環境の変化により、変動する可能性がある。そのため、資産価値も更新できるとしてもよい。この場合、電子端末は、資産価値の更新を検知し、更新後の資産価値に合わせて保護手段を更新することが望ましい。
(6)上記の実施の形態1および2では、監視部は、保護手段に対する攻撃があるかどうかを監視しているが、さらに、履歴管理テーブル自体が不正に書き換えられたことなどを監視してもよい。
(7)上記の実施の形態1および2では、監視部は、保護手段に対する攻撃があるかどうかを監視しているが、さらに、保護手段に対して、ハニーポットのようなトラップを備えておき、攻撃者が、ハニーポットのトラップに対して攻撃したかどうかを監視してもよい。
(8)上記の実施の形態1および2では、監視部は、保護手段に対する攻撃があるかどうかを監視していた。ここで、電子端末は、さらに、監視部の監視結果をもとに不正な改竄をされずに、いつまで正常に利用されていたのかを示す情報を履歴管理テーブルに記録するようにしてもよい。この正常動作の記録の場合は、毎回正常動作の記録を蓄積することなく、前回記録した正常動作の記録情報に上書きする形で更新記録すればよい。この正常動作の記録は、例えば、各保護手段または保護手段に到達するまでのモデルに対する攻撃がどの程度困難であったのかを評価するために用いられる。具体的な例としては、次に作成するモデルにおいて各保護手段の防御力を算出する際に参考情報として用いることができる。
(9)上記の実施の形態1および2の監視部が行う監視のタイミングは、電子端末の起動時や、各保護手段を実行する前や、各保護手段の実行中や、各保護手段の実行終了後であってもよい。また、各保護手段の特定のイベントによって監視してもよいし、定期的に監視してもよいし、不定期なタイミングで監視してもよい。より安全に実装するには、監視のタイミングが、攻撃者に予期できないタイミングであることが望ましい。
(10)上記の実施の形態1および2では、各保護手段および監視部は、プログラムによって実現されることを想定しているが、これに限られるものではない。例えば、電子端末に、回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサー等を用いている場合は、その回路により保護手段を実現することが考えられる。この場合、サーバから送られる保護手段は、リコンフィギュラブル・プロセッサー等の更新後の回路構成を示す設計データであるとしてもよい。このとき、電子端末102は、受け取った設計データに基づいて、リコンフィギュラブル・プロセッサーの回路構成を更新する。
(11)上記の実施の形態1および2では、更新によって追加される保護手段は、サーバが保持するとしているが、電子端末側でいくつかの保護手段を予防として保持しておき、自己修復するような構成であってもよい。
例えば、電子端末は、保護手段としてコード難読化のプログラムを記憶している場合には、暗号化された資産を、記憶しているコード難読化のプログラムを用いて暗号化された資産を難読化する。電子端末は、現在保持しているセキュア情報を、コード難読化されたセキュア情報へと更新する。
また、保護手段として暗号化プログラムを記憶している場合には、暗号化されている資産を、さらに、記憶している暗号化プログラムにて暗号化して記憶してもよい。また、現在暗号化されている資産を復号して、記憶している暗号化プログラムにて暗号化してもよい。
また、電子端末は、上記において、保護すべき資産に対する保護状態を強化する旨を記載したが、これに限定されない。電子端末は、記憶している保護手段を、保護すべき資産ではなく、保護すべき資産に付随する他の資産(例えば、図3にて示す鍵251)に施してセキュア情報における防御力を強化してもよい。
(12)上記実施の形態1、2において、電子端末は、外部からの攻撃を検出した際に、検出情報を送信したが、これに限定されない。
電子端末は、定期的に、電子端末にて記憶され、且つサーバへ送信していない検出情報を、定期的にサーバへ送信してもよい。
(13)上記実施の形態1、2において、電子端末は、サーバへ送信する1以上の検出情報それぞれに対して、署名データを生成したが、これに限定されない。
電子端末の署名付与部は、サーバへ送信する1以上の検出情報を連結して、連結した検出情報に対して署名データを生成してもよい。
(14)上記実施の形態1、2において、サーバは、電子端末にて保持されているセキュア情報を更新するために、新たなセキュア情報を取得したが、これに限定されない。セキュア情報を構成する内容のうち、更新された箇所のみを抽出し、抽出した箇所のみを電子端末へ送信してもよい。
このとき、電子端末は、更新された箇所のみをサーバから受け取ると、保持しているセキュア情報のうち、更新対象の箇所を、受け取った更新された箇所へと更新する。
(15)防御力の算出方法は、上記実施の形態1、2にて示す方法に限定されない。
例えば、防御力の算出には、時間や費用だけでなく、解析に要する技術力を加味してもよい。または、資産のビット長を加味してもよい。
また、防御力は、セキュリティシステムにおいて解析された場合のシステムの深刻度によって、5段階や10段階でレベル付けされてもよい。この場合、資産に対する価値も5段階や10段階でレベル付けされた値となる。
(16)上記実施の形態1において、モデル記憶部は、セキュリティ実装モデル情報を記憶したが、これに限定されない。
モデル記憶部は、セキュリティ実装モデル情報の代わりに、当該セキュリティ実装モデル情報のバージョン情報のようなもので管理していてもよい。
(17)上記実施の形態1、2において、複数台の電子端末に1台のサーバが対応付けられた場合について説明したが、これに限定されない。
電子端末毎に、1台のサーバを割り当ててもよい。
この場合、電子端末は、管理IDをサーバへ送信する必要はない。
また、サーバは、対応する電子端末のモデル情報、セキュア情報、モデル識別子などを記憶していればよい。
(18)上記実施の形態1では、電子端末が攻撃を検出すると、電子端末側にて防御力の算定、更新の要否の判別、更新箇所の決定を行っている。また、実施の形態2では、電子端末が、攻撃を検出すると、サーバが、防御力の算定、更新の要否、更新箇所の決定を行っている。
各機能の振り分けは、上記の実施の形態1及び2にて示す振り分け方に限定されない。
どの機能をサーバとクライアントのどちらに持たせるかは適宜変更しても構わない。
例えば、防御力の算定、及び更新の要否の判別は電子端末側で行い、更新箇所の決定はサーバ側で行うとしてもよい。または、防御力の算定は電子端末側で行い、更新の要否の判別、及び更新箇所の決定はサーバ側で行うとしてもよい。
(19)上記実施の形態1、2では、保護手段それぞれに対して1の監視部を割り当てたが、これに限定されない。
1の監視部が、全ての保護手段を監視してもよい。
このとき、監視部は、複数の保護手段それぞれに対して、攻撃の有無の監視を個別に行うように動作する。具体的には、各保護手段に対して、当該保護手段に対する攻撃を監視する監視部を割り当てることで実現できる。
(20)上記実施の形態1、2において、電子端末102とサーバ101との間における情報の送受信は、暗号化して行ってもよい。
(21)上記実施の形態1、2において、電子端末は、攻撃が検出された保護手段を、それ以降(攻撃が検出された以降)は監視対象から除外してもよい。
(22)上記実施の形態1、2においては、保護手段および監視部が追加されるたびにセキュア情報もそれに合わせて更新していた。ただし、追加される保護手段によっては、必ずしもセキュア情報の更新は必要ない。例えば、追加される保護手段が特定の情報を持ったユーザにしかセキュア情報のある領域へのアクセスを許さないプログラム等である場合、保護手段の追加の前後でセキュア情報自体は変化しない。このような場合には、セキュア情報は更新しないとしても良い。なお、セキュア情報を更新すべきか否かは、電子端末が追加する保護手段の内容を確認して判断するとしてもよい。また、サーバから届く保護手段自体にセキュア情報の更新を必要とするか否かを示すフラグなどをつけることで制御するとしてもよい。
(23)上記の実施の形態1、2においては、経路の防御力は各保護手段の防御力の総和としていた。しかし、経路の防御力の算出方法はこれに限られるものではない。例えば、加算ではなく乗算であってもよい。また、同一経路上に同様の保護手段(同じアルゴリズムによる暗号化など)が連続する場合には、1つの保護手段が破られると残りの保護手段も破られる可能性が高いので、防御力の加算量を減らしていくなどとしてもよい。
(24)上記実施の形態1において、資産250と、付随資産(鍵251)とは、セキュア情報記憶部216にて格納されているとしたが、これに限定されない。資産250と、付随資産(鍵251)とをそれぞれ、異なる記憶部に格納してもよい。
また、実施の形態2においても、同様である。
(25)上記各実施の形態において、付随資産として、暗号化された資産を復号するための復号鍵を挙げたが、これに限定されない。
例えば、復号鍵を生成する鍵生成プログラムであってもよい。この場合、この鍵生成プログラムに対して保護手段(例えば、暗号化やコード難読化など)が施されることとなる。
(26)上記実施の形態1において、暗号化された資産250への攻撃の具体例として、暗号化された資産250そのもの若しくは復号プログラムを攻撃することを挙げている。
保護手段として暗号化がなされている場合において、当該保護手段への攻撃とは、上記にて示す具体例と同様に、暗号化されたデータや暗号化されたプログラムそのもの若しくは暗号化されたデータ及びプログラムを復号するための復号プログラムを攻撃することである。
なお、暗号化されたデータ及びプログラムを復号するための復号プログラムは、セキュア情報記憶部216に格納してもよいし、セキュア情報記憶部216とは異なる記憶領域に格納してもよい。
ここで、コード難読化に対する攻撃とは、コード難読化されたプログラムそのものを攻撃することである。コード難読化された対象となるプログラムは、例えば、鍵を生成する鍵生成プログラムや暗号化されたデータやプログラムを復号するための復号プログラムなどである。
なお、コード難読化されたプログラムは、復号プログラムと同様に、セキュア情報記憶部216に格納してもよいし、セキュア情報記憶部216とは異なる記憶領域に格納してもよい。
(27)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。なお、各装置は、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどの全てを含むコンピュータシステムには限らず、これらの一部から構成されているコンピュータシステムであってもよい。
(28)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全てを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(29)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(30)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(31)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
6.まとめ
(1)本発明は、第三者による攻撃を防御する複数の保護手段を順次施すことにより保護された秘密情報を保持する電子端末であって、前記複数の保護手段それぞれに対する攻撃を監視する監視手段と、前記監視手段にて1の保護手段に対する攻撃が検出されると、前記秘密情報の保護状態を更新するか否かを判断する更新判断手段と、前記更新判断手段にて更新すると判断する場合、前記秘密情報の保護状態を、新たな保護状態へと更新する更新手段とを備えることを特徴とする。
この構成によると、電子端末は、保護手段に対して外部からの攻撃を検出すると、保護状態の更新が必要である場合に、攻撃が検出された保護手段から秘密情報に至るまでの保護手段の列に対して新たな保護手段が追加された、又は既存の保護手段を強化した新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。
(2)ここで、前記更新手段は、現在の保護状態にて保護されている秘密情報を、攻撃が検出された前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段が追加された、又は、前記攻撃が検出されていない保護手段の列に含まれる既存の保護手段を強化した保護状態にて保護された秘密情報へと置き換えることで、前記秘密情報の保護状態を新たな保護状態へと更新するとしてもよい。
この構成によると、電子端末は、現在の保護状態で保持している秘密情報を、新たな保護状態で保護された秘密情報へと置き換えるので、第三者が置換前の保護状態と、置換後の保護状態との差分を把握することは困難となる。
(3)ここで、前記電子端末は、さらに、外部装置とネットワークを介して通信可能であるか否かを判断する通信判断手段と、通信可能であると判断する場合には、前記1の保護手段に対する攻撃を検出した旨を示す検出情報を、前記外部装置へ送信する送信手段とを備え、前記更新手段は、前記検出情報に基づいて前記手段の列のうちで更新すべき箇所が決定された前記新たな保護状態により保護された秘密情報を、前記外部装置から受け取るとしてもよい。
この構成によると、電子端末は、外部装置に攻撃を受けたことを知らせることができる。また、電子端末は、攻撃を受けた箇所に応じた新たな保護状態により保護された秘密情報を受け取ることができる。
(4)ここで、前記電子端末は、さらに、通信判断手段が通信不可であると判断する場合に前記検出情報を保持する保持手段を備え、前記送信手段は、さらに、通信可能であると判断し、且つ前記外部装置へ送信されていない1以上の未送信検出情報が前記保持手段にて保持されている場合には、前記1以上の未送信検出情報を前記外部装置へ送信するとしてもよい。
この構成によると、電子端末は、検出情報を外部装置へ送信できない場合には、自身で保持し、送信可能時に保持している1以上の未送信検出情報を送信することができる。
(5)ここで、前記複数の保護手段それぞれには、攻撃に対する防御力が対応付けられ、前記秘密情報には、価値が対応付けられており、前記更新判断手段は、攻撃がなされた前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列からなる保護経路に存在する1以上の保護手段それぞれの防御力を用いて、前記経路に対する防御力を算出する算出部と、前記算出部にて算出された前記保護経路に対する防御力と、前記価値とを比較し、前記保護経路に対する防御力が前記価値以下である場合に、前記秘密情報の保護状態を更新すると判断する更新判断部とを備えるとしてもよい。
この構成によると、電子端末は、攻撃がなされた前記1の保護手段から前記秘密情報に至るまでの保護経路に対する防御力を算出し、算出した防御力と、秘密情報に対する価値とを用いて、更新の要否を決定することができる。したがって、電子端末は、守るべき秘密情報の価値に応じて必要十分な強度の保護状態に更新することができる。
(6)ここで、前記更新手段は、前記更新判断部にて更新すると決定する場合、前記保護経路において新たな保護手段を追加する位置、又は新たな保護手段へと置き換えるべき既存の保護手段の位置と、前記保護経路に対する防御力が前記価値を上回るために必要な防御力とを決定する決定部と、決定された前記位置に決定された前記防御力を有する新たな保護手段が追加、又は前記位置に存在する既存の保護手段を新たな保護手段へと置き換えた前記新たな保護状態により保護された秘密情報を取得する取得部と、現在の保護状態にて保護されている秘密情報を、前記取得部にて取得された前記新たな保護状態により保護された秘密情報へと置き換える置換部とを備えるとしてもよい。
この構成によると、電子端末は、新たな保護手段を追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置及びその防御力を決定する。したがって、電子端末は、攻撃の検出時において、攻撃がなされた前記1の保護手段から前記秘密情報に至るまでの保護経路に対する防御力が秘密価値に対する価値より上回るような防御力を有する新たな保護手段を追加することができる。
(7)ここで、前記決定部は、決定された前記位置と前記防御力とを、ネットワークにて接続された外部装置へ送信し、前記取得部は、決定された前記防御力を有する前記新たな保護手段が前記位置に追加した、又は前記位置に存在する既存の保護手段を前記防御力を有する前記新たな保護手段に置き換えた前記新たな保護状態により保護された秘密情報を、前記外部装置から受け取るとしてもよい。
この構成によると、電子端末は、新たな保護手段を追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置及びその防御力を外部装置へ送信することにより、送信した防御力を有する新たな保護手段が決定された位置に追加、又は決定された位置に存在する既存の保護手段の代わりに新たな保護手段が追加された新たな保護状態により保護された秘密情報を、外部装置に要求することができる。
(8)ここで、前記決定部は、前記複数の保護手段それぞれから前記秘密情報に至るまでの保護手段の列からなる保護経路を示す経路情報を記憶しており、前記経路情報を用いて、前記新たな保護手段を追加、又は新たな保護手段へと置き換えるべき既存の保護手段の位置を決定するとしてもよい。
この構成によると、電子端末は、経路情報を用いることにより、新たな保護手段を追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置を容易に決定することができる。
(9)ここで、前記更新手段は、前記秘密情報、若しくは少なくとも1の保護手段が施され保護されている秘密情報を保護するために施すべき新たな保護手段を記憶している記憶部を備え、前記取得部は、前記記憶部に記憶されている前記新たな保護手段を前記決定された位置に追加、又は前記位置に存在する既存の保護手段を前記新たな保護手段に置き換えて、前記新たな保護状態を生成することにより、前記新たな保護状態により保護された秘密情報を取得するとしてもよい。
この構成によると、電子端末は、他の装置を必要とすることなく、外部からの攻撃を検出すると、自身で秘密情報に対する現在の保護状態を、新たな保護状態へと更新することができる。
(10)ここで、前記更新判断手段は、前記監視手段にて1の保護手段に対する攻撃が検出されると、保護状態を更新すると判断し、前記更新手段は、前記複数の保護手段それぞれから前記秘密情報に至るまでの保護手段の列からなる保護経路を示す経路情報を記憶しており、前記経路情報を用いて、前記攻撃がなされた1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段を追加する、又は新たな保護手段へと置き換えるべき既存の保護手段の位置を決定する決定部と、決定された位置に新たな保護手段が追加、又は前記位置に存在する既存の保護手段を前記新たな保護手段に置き換えた前記新たな保護状態により保護された秘密情報を取得する取得部と、現在の保護状態にて保護されている秘密情報を、前記取得部にて取得された前記新たな保護状態により保護された秘密情報へと置き換える置換部とを備えるとしてもよい。
この構成によると、電子端末は、保護手段に対して外部からの攻撃を検出すると、攻撃が検出された保護手段から秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段が追加された、又は既存の保護手段を強化した新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。また、電子端末は、経路情報を用いることにより、新たな保護手段を追加する、又は又は既存の保護手段を当該既存の保護手段より強化された新たな保護手段に置き換える位置を容易に決定することができる。
(11)ここで、前記更新判断手段は、外部装置とネットワーク介して通信可能であると判断する場合に、前記保護状態を更新すると判断し、前記更新手段は、前記1の保護手段に対する攻撃を検出した旨を示す検出情報を前記外部装置へ送信し、前記外部装置から前記外部装置から攻撃が検出された前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段が追加された、又は既存の保護手段を新たな保護手段に置き換えた新たな保護状態にて保護されている秘密情報を受け取り、現在の保護状態にて保護されている秘密情報を、受け取った前記新たな保護状態にて保護されている秘密情報へと更新するとしてもよい。
この構成によると、電子端末は、外部装置から新たな保護手段が追加された保護状態にて保護されている秘密情報を受け取ると、現在の保護状態で保持している秘密情報を、新たな保護状態で保護された秘密情報へと更新するので、第三者が置換前の保護状態と、置換後の保護状態との差分を把握することは困難となる。
(12)ここで、前記更新手段は、攻撃が検出された前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段を追加し、又は、前記攻撃が検出されていない保護手段の列に含まれる既存の保護手段を新たな保護手段に置き換えることで、前記秘密情報の保護状態を新たな保護状態へと更新するとしてもよい。
この構成によると、電子端末は、保護手段の追加または強化するのみで、容易に保護状態を更新することができる。
(13)また、本発明は、第三者による攻撃を防御する複数の保護手段を順次施すことにより保護された秘密情報を保持する電子端末を管理する管理装置であって、1の保護手段に対する攻撃が検出されたことを示す検出情報を、前記電子端末から受信する受信手段と、前記電子端末が保持している前記複数の保護手段により保護された秘密情報の保護状態を、前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列からなる保護経路に対して新たな保護手段が追加された、又は、前記攻撃が検出されていない保護手段の列に含まれる既存の保護手段を強化した新たな保護状態へと更新するか否かを判断する更新判断手段と、前記更新判断手段にて更新すると判断する場合、前記保護経路において新たな保護手段が追加された、又は既存の保護手段を強化した保護状態で保護されている秘密情報を取得する取得手段と、前記取得手段にて取得した新たな保護状態で保護されている秘密情報を、前記電子端末へ送信する送信手段とを備えることを特徴とする。
この構成によると、管理装置は、電子端末から検出情報を受け取ると、保護状態の更新の要否を判断し、更新が必要であると判断する場合に、攻撃が検出された保護手段から秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段が追加された、又は既存の保護手段を強化した新たな保護状態で秘密情報を電子端末へ送信する。これにより、電子端末側では、保護手段に対して外部からの攻撃を検出し、管理装置が保護状態の更新が必要であると判断する場合に、新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。
(14)ここで、前記複数の保護手段それぞれには、攻撃に対する防御力が対応付けられ、前記秘密情報には、価値が対応付けられており、前記更新判断手段は、前記保護経路に存在する1以上の保護手段それぞれの防御力を用いて、前記保護経路に対する防御力を算出する算出部と、前記算出部にて算出された前記保護経路に対する防御力と、前記価値とを比較し、前記保護経路に対する防御力が前記価値以下である場合に、前記秘密情報の保護状態を更新すると判断する更新判断部とを備えるとしてもよい。
この構成によると、管理装置は、攻撃が検出された保護手段から秘密情報に至るまでの保護経路に対する防御力を算出し、算出した防御力と、秘密情報に対する価値とを用いて、更新の要否を決定することができる。したがって、電子端末側では、守るべき秘密情報の価値に応じて必要十分な強度の保護状態に更新することができる。
(15)ここで、前記取得手段は、前記更新判断部にて更新すると判断する場合、前記保護経路において新たな保護手段を追加する位置、若しくは新たな保護手段へと置き換えるべき既存の保護手段の位置と、前記保護経路に対する防御力が前記価値を上回るために必要な防御力とを決定し、決定された防御力を有し、且つ決定された位置に新たな保護手段が追加された、又は前記位置に存在する既存の保護手段を新たな保護手段へと置き換えた前記新たな保護状態で保護されている秘密情報を取得するとしてもよい。
この構成によると、管理装置は、新たな保護手段の追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置及びその防御力を決定するので、攻撃の検出時において、攻撃が検出された保護手段から秘密情報に至るまでの保護経路に対する防御力が秘密価値に対する価値より上回るような防御力を有する新たな保護手段を追加、又は既存の保護手段と置き換えることができる。
(16)ここで、前記取得手段は、前記複数の保護手段それぞれから前記秘密情報に至るまでの保護経路を示す経路情報を記憶しており、前記経路情報を用いて、前記新たな保護手段を追加、又は前記新たな保護手段へと置き換えるべき既存の保護手段の位置を決定するとしてもよい。
この構成によると、管理装置は、経路情報を用いることにより、新たな保護手段を追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置を容易に決定することができる。
(17)ここで、前記更新判断手段は、前記受信手段にて前記検出情報を受け取ると、保護状態を更新すると判断し、前記取得手段は、前記攻撃がなされた1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段を追加する、又は新たな保護手段へと置き換えるべき既存の保護手段の位置を決定し、決定された位置に新たな保護手段が追加、又は前記位置に存在する既存の保護手段を新たな保護手段へと置き換えた前記新たな保護状態により保護された秘密情報を取得するとしてもよい。
この構成によると、管理装置は、電子端末から検出情報を受け取ると、新たな保護手段を追加、又は新たな保護手段に置き換えるべき既存の保護手段の位置を決定し、決定した位置に新たな保護手段を追加、又は決定した位置に存在する既存の保護手段を新たな保護手段に置き換えた新たな保護情報で保護されている秘密情報を電子端末へ送信する。これにより、電子端末側では、保護手段に対して外部からの攻撃を検出すると、外部装置から受け取った新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。
(18)ここで、前記受信手段は、前記検出情報として、攻撃が検出された1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列に対して新たな保護手段を追加する、又は新たな保護手段へと置き換えるべき既存の保護手段の位置を示す位置情報を受け取り、前記取得手段は、前記位置情報にて示される位置に新たな保護手段が追加された、又は前記位置情報にて示される位置に存在する既存の保護手段を新たな保護手段へと置き換えた前記新たな保護状態により保護された秘密情報を取得するとしてもよい。
この構成によると、管理装置は、電子端末から位置情報を受け取ると、位置情報にて示される位置に新たな保護手段が追加された、又は位置情報にて示される位置に存在する既存の保護手段を新たな保護手段に置き換えた新たな保護状態で保護された秘密情報を電子端末へ送信する。これにより、電子端末側では、保護手段に対して外部からの攻撃を検出すると、外部装置から受け取った新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。
(19)ここで、前記複数の保護手段それぞれには、攻撃に対する防御力が対応付けられ、前記秘密情報には、価値が対応付けられており、前記電子端末は、前記保護経路に存在する1以上の保護手段それぞれの防御力を用いて、前記保護経路に対する防御力を算出し、算出された防御力と、前記価値とを用いて、前記保護経路に対する防御力が前記価値を上回るのに必要な防御力を決定し、前記受信手段は、さらに、前記決定された防御力を受信し、前記取得手段は、前記位置情報にて示される位置に前記決定された防御力を有する新たな保護手段が追加、又は前記位置情報にて示される位置に存在する既存の保護手段を前記新たな保護状態へと置き換えることで保護された秘密情報を取得するとしてもよい。
この構成によると、管理装置は、電子端末から防御力を受け取ると、位置情報にて示される位置に受け取った防御力を有する新たな保護手段が追加された、又は位置情報にて示される位置に存在する既存の保護手段を新たな保護手段に置き換えた新たな保護状態で保護された秘密情報を電子端末へ送信する。これにより、電子端末側では、保護手段に対して外部からの攻撃を検出すると、外部装置から受け取った新たな保護状態で秘密情報を保護するので、第三者による秘密情報の改ざんを防止することができる。
(20)また、本発明は、第三者による攻撃を防御する複数の保護手段を順次施すことにより保護された秘密情報を保持する電子端末を管理する管理装置であって、1の保護手段に対する攻撃が検出されたことを示す検出情報を、前記電子端末から受信する受信手段と、前記電子端末が保持している前記複数の保護手段により保護された秘密情報を、前記1の保護手段から前記秘密情報に至るまでの攻撃が検出されていない保護手段の列からなる保護経路に対して新たな保護手段が追加された、又は既存の保護手段を強化した新たな保護状態へと更新するか否かを判断する更新判断手段と、前記更新判断手段にて更新すると判断する場合、前記秘密情報に対して保護状態を強化するための新たな保護手段を取得する取得手段と、前記取得手段にて取得した新たな保護手段を、前記電子端末へ送信する送信手段とを備えることを特徴とする。
この構成によると、管理装置は、秘密情報の保護状態を強化するための保護手段を電子端末に送信するので、電子端末側では、保護手段の追加または強化のみで、容易に保護状態を更新することができる。これにより、電子端末側では、秘密情報に対する保護状態が強化されるので、第三者による秘密情報の改ざんを防止することができる。
本発明にかかる電子端末及びサーバを製造、販売する産業において、経営的、つまり反復的かつ継続的に利用されうる。
1 不正解析防止システム
101 サーバ
102、102a、102b 電子端末
103 ネットワーク
201 検出情報生成部
202 署名付与部
203 時刻情報取得部
204 保存先選択部
205 履歴管理部
206 モデル記憶部
207 防御力算定部
208 更新要否判別部
209 更新箇所決定部
210 更新要求生成部
211、211a、・・・、211n 監視部
212 保護方法受信部
213 保護方法更新部
214 送信部
215 識別子記憶部
216 セキュア情報記憶部
302 受信部
304 履歴管理部
306 保護方法選択部
308 保護方法記憶部
310 保護方法送付部
312 検出情報受取部

Claims (13)

  1. 保護対象である秘密情報を格納した第1記憶手段と、
    前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、
    前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、
    前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、
    前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する制御手段と、
    を具備することを特徴とする電子端末。
  2. 前記秘密情報は所定のアルゴリズムにより暗号化され、
    前記更新可能な保護手段は、前記暗号化された秘密情報を復号する復号アルゴリズムを実行するプログラムである
    ことを特徴とする請求項1記載の電子端末。
  3. 所定のアルゴリズムにより暗号化された前記秘密情報の復号に用いる復号鍵を生成する鍵生成プログラムを格納する第3記憶手段と、
    前記第1記憶手段に格納された秘密情報への第2攻撃ルートであって前記第3記憶手段に格納された前記鍵生成プログラムを介して前記秘密情報へ到達する第2攻撃ルート上に設けられ且つ前記第2攻撃ルートを介した前記鍵生成プログラムへの外部からのアクセスを遮断する複数の第2保護手段と、
    前記複数の第2保護手段への外部からの攻撃を監視する複数の第2監視手段と、を設け、
    外部からの攻撃に対する前記鍵生成プログラム及び前記第2保護手段の各々の防御力価値を表した防御力情報が前記第2保護手段の各々に付与され、
    前記制御手段は、前記第2保護手段のいずれかへの攻撃が検出された場合、前記第2攻撃ルート上において前記攻撃が検出された第2保護手段から前記秘密情報までの前記攻撃がされていない第2部分ルート上に残存する第2保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記第2部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように、前記鍵生成プログラムを更新する
    ことを特徴とする請求項1記載の電子端末。
  4. 所定のアルゴリズムにより暗号化された前記秘密情報の復号に用いる復号鍵を格納する第3記憶手段と、
    前記復号鍵にアクセスするための所定のプログラムを格納する第4記憶手段と、
    前記第1記憶手段に格納された秘密情報への第2攻撃ルートであって前記第4記憶手段に格納された前記所定のプログラムを介して前記秘密情報に到達する第2攻撃ルート上に設けられ且つ前記第2攻撃ルートを介した前記所定のプログラムへの外部からのアクセスを遮断する複数の第2保護手段と、
    前記複数の第2保護手段への外部からの攻撃を監視する複数の第2監視手段と、を設け、
    外部からの攻撃に対する前記所定のプログラム及び前記第2保護手段の各々の防御力価値を表した防御力情報が前記第2保護手段の各々に付与され、
    前記制御手段は、前記第2保護手段のいずれかへの攻撃が検出された場合、前記第2攻撃ルート上において前記攻撃が検出された第2保護手段から前記秘密情報までの前記攻撃がされていない第2部分ルート上に残存する第2保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記第2部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように、前記所定のプログラムを更新する
    ことを特徴とする請求項1記載の電子端末。
  5. 前記復号鍵にアクセスするための所定のプログラムは、前記復号鍵が暗号化されている場合に前記暗号化された前記復号鍵を復号する復号プログラムである
    ことを特徴とする請求項4記載の電子端末。
  6. 前記復号プログラムは、難読化されている
    ことを特徴とする請求項5記載の電子端末。
  7. 更新用の保護手段を格納する第3記憶手段を設け、
    前記制御手段は、前記第3記憶手段に記憶された更新用の保護手段を用いて前記更新可能な保護手段を更新する
    ことを特徴とする請求項1記載の電子端末。
  8. 本端末を管理する外部の管理装置と接続された通信手段を設け、
    前記制御手段は、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、その旨を示す検出情報を前記管理装置に前記管理手段を介して送信し、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記検出情報に応じて前記管理装置から受信し、前記更新可能な保護手段を、前記新たな保護手段に更新する
    ことを特徴とする請求項1記載の電子端末。
  9. 本端末を管理する外部の管理装置と接続された通信手段を設け、
    前記制御手段は、さらに、前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、その旨を示す検出情報を前記管理装置に前記管理手段を介して送信し、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るような新たな保護手段を前記検出情報に応じて前記管理装置から受信し、前記部分ルート上に前記新たな保護手段を追加する
    ことを特徴とする請求項1記載の電子端末。
  10. 本端末を管理する外部の管理装置と接続された通信手段と、前記管理装置から受信した各保護手段の防御力価値を更新した第2防御力情報を格納する第3記憶手段と、を設け、
    前記制御手段は、さらに、
    前記第2記憶手段に格納された防御力情報それぞれと、前記第3記憶手段に格納された対応する第2防御力情報とをそれぞれ比較し、前記防御力情報にて表される防御力価値が第2防御力情報にて表される防御力価値より低下している場合において前記第2防御力情報を基準に前記複数の保護手段に対応する防御力価値の総和を算出すると、この算出された総和が前記価値情報にて表される価値を下回る場合、
    前記防御力情報を下回った第2防御力情報に対応する保護手段を、前記攻撃ルート上の防御力価値の総和が前記価値情報にて表される価値を上回るように更新する
    ことを特徴とする請求項1記載の電子端末。
  11. 保護対象である秘密情報を格納した第1記憶手段と、
    前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、
    前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、
    前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、を具備した電子端末の制御方法であって、
    前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断し、
    下回ったと判断された場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する
    ことを特徴とする電子端末の制御方法。
  12. 保護対象である秘密情報を格納した第1記憶手段と、
    前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、
    前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、
    前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、を具備した電子端末を制御するコンピュータプログラムであって、
    前記電子端末のコンピュータに対して、
    前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回ったか否かを判断する処理と、
    下回ったと判断された場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルート上における防御力価値の総和が前記価値情報にて表される価値を上回るように更新する処理と、
    を実行させることを特徴とするコンピュータプログラム。
  13. 電子端末に用いられる集積回路であって、
    保護対象である秘密情報を格納した第1記憶手段と、
    前記第1記憶手段に格納された秘密情報への外部からの攻撃ルート上に設けられ且つ前記攻撃ルートを介した前記秘密情報への外部からのアクセスを遮断する複数の保護手段と、
    前記複数の保護手段の各々への外部からの攻撃を監視する複数の監視手段と、
    前記秘密情報に付与され前記秘密情報の価値を表した価値情報及び前記複数の保護手段の各々に付与され外部からの攻撃に対する各保護手段の防御力価値を表した防御力情報を記憶する第2記憶手段と、
    前記複数の保護手段のいずれかへの攻撃が検出された場合であって、前記攻撃ルート上において前記攻撃が検出された保護手段から前記秘密情報までの前記攻撃がされていない部分ルート上に残存する保護手段に対応する防御力価値の総和が前記価値情報にて表される価値を下回った場合、前記部分ルート上に残存する保護手段の中で更新可能な保護手段を、前記部分ルートにおける防御力価値の総和が前記価値情報にて表される価値を上回るように更新する制御手段と、
    を具備することを特徴とする集積回路。
JP2010505321A 2008-03-25 2009-03-19 電子端末、制御方法、コンピュータプログラム及び集積回路 Active JP4977778B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010505321A JP4977778B2 (ja) 2008-03-25 2009-03-19 電子端末、制御方法、コンピュータプログラム及び集積回路

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008077435 2008-03-25
JP2008077435 2008-03-25
PCT/JP2009/001240 WO2009119049A1 (ja) 2008-03-25 2009-03-19 電子端末、制御方法、コンピュータプログラム及び集積回路
JP2010505321A JP4977778B2 (ja) 2008-03-25 2009-03-19 電子端末、制御方法、コンピュータプログラム及び集積回路

Publications (2)

Publication Number Publication Date
JPWO2009119049A1 JPWO2009119049A1 (ja) 2011-07-21
JP4977778B2 true JP4977778B2 (ja) 2012-07-18

Family

ID=41113260

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010505321A Active JP4977778B2 (ja) 2008-03-25 2009-03-19 電子端末、制御方法、コンピュータプログラム及び集積回路

Country Status (4)

Country Link
US (1) US8438402B2 (ja)
EP (1) EP2256661A4 (ja)
JP (1) JP4977778B2 (ja)
WO (1) WO2009119049A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8806187B1 (en) * 2009-12-03 2014-08-12 Google Inc. Protecting browser-viewed content from piracy
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
JP5681028B2 (ja) * 2010-04-26 2015-03-04 パナソニック株式会社 改ざん監視システム、管理装置及び管理方法
EP2385676B1 (en) * 2010-05-07 2019-06-26 Alcatel Lucent Method for adapting security policies of an information system infrastructure
TWI420339B (zh) * 2010-11-10 2013-12-21 Ind Tech Res Inst 軟體授權系統及方法
JP5776927B2 (ja) * 2011-03-28 2015-09-09 ソニー株式会社 情報処理装置及び方法、並びにプログラム
US9417894B1 (en) 2011-06-15 2016-08-16 Ryft Systems, Inc. Methods and apparatus for a tablet computer system incorporating a reprogrammable circuit module
US10742604B2 (en) * 2013-04-08 2020-08-11 Xilinx, Inc. Locked down network interface
US9426124B2 (en) 2013-04-08 2016-08-23 Solarflare Communications, Inc. Locked down network interface
US9483381B2 (en) * 2014-12-15 2016-11-01 Dell Products L.P. Obfuscating debugging filenames
US9807117B2 (en) 2015-03-17 2017-10-31 Solarflare Communications, Inc. System and apparatus for providing network security
JP6232456B2 (ja) * 2016-02-02 2017-11-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、緩和システム、制御方法及びコンピュータプログラム
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US10594713B2 (en) * 2017-11-10 2020-03-17 Secureworks Corp. Systems and methods for secure propagation of statistical models within threat intelligence communities
US10686872B2 (en) 2017-12-19 2020-06-16 Xilinx, Inc. Network interface device
US10686731B2 (en) 2017-12-19 2020-06-16 Xilinx, Inc. Network interface device
US11165720B2 (en) 2017-12-19 2021-11-02 Xilinx, Inc. Network interface device
JP2019149763A (ja) * 2018-02-28 2019-09-05 オムロン株式会社 データの処理方法、制御システム、制御装置
EP3570197A1 (en) * 2018-05-16 2019-11-20 Gemalto Sa Electronic system and method for preventing malicious actions on a processing system of the electronic system
US11003718B2 (en) 2018-06-12 2021-05-11 Secureworks Corp. Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity
US10785238B2 (en) 2018-06-12 2020-09-22 Secureworks Corp. Systems and methods for threat discovery across distinct organizations
US10659555B2 (en) 2018-07-17 2020-05-19 Xilinx, Inc. Network interface device and host processing device
US10838763B2 (en) 2018-07-17 2020-11-17 Xilinx, Inc. Network interface device and host processing device
US11310268B2 (en) 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11418524B2 (en) 2019-05-07 2022-08-16 SecureworksCorp. Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US11621974B2 (en) * 2019-05-14 2023-04-04 Tenable, Inc. Managing supersedence of solutions for security issues among assets of an enterprise network
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11218360B2 (en) 2019-12-09 2022-01-04 Quest Automated Services, LLC Automation system with edge computing
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
US11588834B2 (en) 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection
US12034751B2 (en) 2021-10-01 2024-07-09 Secureworks Corp. Systems and methods for detecting malicious hands-on-keyboard activity via machine learning
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence
CN115865535B (zh) * 2023-02-28 2023-05-23 网思科技股份有限公司 一种云安全管理方法、系统和存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000034867A1 (en) * 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
JP2001016655A (ja) * 1999-06-30 2001-01-19 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd 安全な携帯端末装置
JP3970040B2 (ja) 2001-01-31 2007-09-05 株式会社ソニー・コンピュータエンタテインメント コンピュータシステム及びその使用方法
JP2004206683A (ja) 2002-12-11 2004-07-22 Nihon Intelligence Corp システム管理装置、方法及びプログラム、管理サーバシステム及びその制御方法並びに保険方法、セキュリティプログラム、セキュリティ管理方法、コンピュータ及びサーバコンピュータ
US20090113549A1 (en) * 2007-10-24 2009-04-30 International Business Machines Corporation System and method to analyze software systems against tampering

Also Published As

Publication number Publication date
WO2009119049A1 (ja) 2009-10-01
US8438402B2 (en) 2013-05-07
JPWO2009119049A1 (ja) 2011-07-21
EP2256661A4 (en) 2012-08-15
US20110004771A1 (en) 2011-01-06
EP2256661A1 (en) 2010-12-01

Similar Documents

Publication Publication Date Title
JP4977778B2 (ja) 電子端末、制御方法、コンピュータプログラム及び集積回路
Classen et al. Anatomy of a vulnerable fitness tracking system: Dissecting the fitbit cloud, app, and firmware
JP4932034B2 (ja) ソフトウェア更新装置、ソフトウェア更新システム、無効化方法、及び無効化プログラム
Arp et al. Drebin: Effective and explainable detection of android malware in your pocket.
JP4932033B2 (ja) ソフトウェア更新装置、ソフトウェア更新システム、改ざん検証方法、及び改ざん検証プログラム
CN101473333B (zh) 入侵检测的方法和系统
CN102176224B (zh) 用于处理恶意软件的方法和装置
JP5646631B2 (ja) デバイスの監査
JP5453324B2 (ja) 不正モジュール特定装置、情報処理装置、不正モジュール特定方法、不正モジュール特定プログラム、集積回路、不正モジュール無効化システム、および不正モジュール無効化方法
JP4891902B2 (ja) 電子機器、更新サーバ装置、鍵更新装置
JP4796050B2 (ja) セキュア処理装置、及びセキュア処理システム
US20060174346A1 (en) Instrumentation for alarming a software product
US8745735B2 (en) Monitoring system, program-executing device, monitoring program, recording medium and integrated circuit
US8516574B2 (en) Software update system, management apparatus, recording medium, and integrated circuit
US8707430B2 (en) Tampering monitoring system, management apparatus, and management method
US20120198553A1 (en) Secure auditing system and secure auditing method
KR20130114593A (ko) 전자 라이센스 관리
Böck et al. Towards more trustable log files for digital forensics by means of “trusted computing”
EP1466233A2 (en) Apparatusses and methods for decrypting encrypted blocks of data and locating the decrypted blocks of data in memory space used for execution
JP5049185B2 (ja) 情報セキュリティ装置、セキュリティシステム及び入力情報漏洩防止方法
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
JP4711824B2 (ja) 業務管理者端末、環境管理局端末、ネットワーク事業者端末、業務遂行者端末、業務管理者端末の制御方法、環境管理局端末の制御方法、ネットワーク事業者端末の制御方法および業務遂行者プログラム
CN117272286A (zh) 基于tee的进程动态完整性度量方法及系统
Jarvis et al. Inside a targeted point-of-sale data breach
JP6095839B1 (ja) セキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120321

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120416

R150 Certificate of patent or registration of utility model

Ref document number: 4977778

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3