JP5278309B2 - 監査プログラム、監査システムおよび監査方法 - Google Patents
監査プログラム、監査システムおよび監査方法 Download PDFInfo
- Publication number
- JP5278309B2 JP5278309B2 JP2009506183A JP2009506183A JP5278309B2 JP 5278309 B2 JP5278309 B2 JP 5278309B2 JP 2009506183 A JP2009506183 A JP 2009506183A JP 2009506183 A JP2009506183 A JP 2009506183A JP 5278309 B2 JP5278309 B2 JP 5278309B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- hashed
- server
- audit
- customer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9014—Indexing; Data structures therefor; Storage structures hash tables
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Accounting & Taxation (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Finance (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
この発明は、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証する監査プログラム、監査システムおよび監査方法に関する。
従来より、複数の顧客が資源を共有するサーバを用いて行われるサービス(例えば、オンデマンドサービス)において、顧客がセンタの運用状況の監査を実施している。例えば、オンデマンドサービスにおいて、サービスを提供した量に基づいた従量課金が行われる場合、そのサービス提供量を知ることができるのはサービス運用を行うデータセンタのみである。このことは、従来のリソース固定割当で定額課金の場合には、サービス提供量と課金が関連しないため気にする必要がなかったが、センタによる計測値が重要となる従量課金では、センタが計測値に改ざんを行っていないことを提示しなければ顧客が課金額に疑念を抱くことになりかねない。
このような対策として、センタが運用ポリシを定め、技術的対策を行い、それが確実に実施されたことを提示するために監査が実施される。例えば、特許文献1および特許文献2では、監査に利用されるログをサーバから収集し、そのログを蓄積する技術が開示されている。このような技術を利用して蓄積されたログを用いて、センタの運用状況の監査を実施することが考えられる。
しかしながら、上記の従来技術では、複数の顧客が資源を共用し、監査に利用されるログを記憶するサーバに複数の顧客の情報が混在する場合には、顧客のログが本人以外にも開示されてしまうので、顧客の個人情報を適切に保護できないという問題がある。
また、複数の顧客が資源を共用しているシステムにおいて、顧客ごとにログを分離して各顧客が本人のログのみを監査した場合に、全てのログを参照しなければ監査結果に対して充分な信憑性を与えることができないので、適切な監査が行えないという問題がある。
そこで、この発明は、顧客の個人情報を保護するとともに、適切な監査を実行する監査プログラム、監査システムおよび監査方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証する監査方法をコンピュータに実行させる監査プログラムであって、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログを前記サーバから受信する全体ログ受信手順と、前記全体ログ受信手順によって受信された前記全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成するハッシュ値化ログ生成手順と、ログ全体がハッシュ値化されたハッシュ値化ログを受信するハッシュ値化ログ受信手順と、前記ハッシュ値化ログ生成手順によって生成された前記ハッシュ値化ログと前記ハッシュ値化ログ受信手順によって受信された前記ハッシュ値化ログとを比較して、ログの正当性を検証するログ検証手順と、をコンピュータに実行させることを特徴とする。
また、本発明は、上記の発明において、前記ハッシュ値化ログ受信手順は、前記サーバを管理するセンタから前記ハッシュ値化ログを受信することを特徴とする。
また、本発明は、上記の発明において、前記ハッシュ値化ログ受信手順は、他の顧客から前記ハッシュ値化ログを受信することを特徴とする。
また、本発明は、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証する監査システムであって、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログを前記サーバから受信する全体ログ受信手段と、前記全体ログ受信手段によって受信された前記全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成するハッシュ値化ログ生成手段と、ログ全体がハッシュ値化されたハッシュ値化ログを受信するハッシュ値化ログ受信手段と、前記ハッシュ値化ログ生成手段によって生成された前記ハッシュ値化ログと前記ハッシュ値化ログ受信手段によって受信された前記ハッシュ値化ログとを比較して、ログの正当性を検証するログ検証手段と、を備えることを特徴とする。
また、本発明は、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証する監査方法であって、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログを前記サーバから受信する全体ログ受信工程と、前記全体ログ受信工程によって受信された前記全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成するハッシュ値化ログ生成工程と、ログ全体がハッシュ値化されたハッシュ値化ログを受信するハッシュ値化ログ受信工程と、前記ハッシュ値化ログ生成工程によって生成された前記ハッシュ値化ログと前記ハッシュ値化ログ受信工程によって受信された前記ハッシュ値化ログとを比較して、ログの正当性を検証するログ検証工程と、を含んだことを特徴とする。
本発明によれば、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログをサーバから受信し、受信された全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成し、全体のログがハッシュ値化された全体のハッシュ値化ログを受信し、生成されたハッシュ値化ログと受信されたハッシュ値化ログとを比較して、ログの正当性を検証するので、他の顧客に関する情報を一方向関数でハッシュ値化して秘匿しつつ、全体のログを参照できるようにする結果、顧客の個人情報を保護するとともに、適切な監査を実行することが可能である。
また、本発明によれば、サーバを管理するセンタからハッシュ値化ログを受信するので、第三者を介さずに、センタから直接ハッシュ値化ログを受信する結果、例えば、ログの改ざんが発見された場合に、その改ざんの原因を容易に特定することが可能である。
また、本発明によれば、他の顧客からハッシュ値化ログを受信するので、サーバを管理するセンタから直接受信せずに、第三者を介す結果、より適切な監査を実行することが可能である。
以下に添付図面を参照して、この発明に係る監査システムの実施例を詳細に説明する。
以下の実施例では、実施例1に係る監査システムの概要および特徴、センタの構成、監査装置の構成および処理の流れを順に説明し、最後に実施例1による効果を説明する。
[実施例1に係る監査システムの概要および特徴]
まず最初に、図1を用いて、実施例1に係る監査システムの概要および特徴を説明する。図1は、実施例1に係る監査システムの概要および特徴を説明するための図である。
まず最初に、図1を用いて、実施例1に係る監査システムの概要および特徴を説明する。図1は、実施例1に係る監査システムの概要および特徴を説明するための図である。
実施例1の監査システム1では、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証することを概要とする。そして、顧客の個人情報を保護するとともに、適切な監査を実行する点に主たる特徴がある。
この主たる特徴について具体的に説明すると、監査システム1は、各種サービスを提供し、各サーバ(後に図2を用いて詳述する管理サーバ、ログ保存サーバ、ハッシュ値化ログ公開サーバ)のログを管理するセンタ10と、そのセンタ10の運用状況の監査を実施する監査装置とを備え、図示しないネットワークを介してそれぞれ接続される。
このような構成のもと、実施例1に係る監査システム1の監視装置20は、図1に示すように、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログ(図1の例では、管理ログ(顧客A))をセンタ10のログ保存サーバ13から受信する(図1の(1)参照)。そして、センタ10は、管理ログを全てハッシュ値化したハッシュ値化ログをハッシュ値化ログ公開サーバに登録する(図1の(2)参照)。
続いて、監査装置20は、受信された管理ログのうち、顧客本人のログをハッシュ値化して全てハッシュ値化された管理ログ(図1の例では、管理ログ(顧客A:ハッシュ値化))を作成し(図1の(3)参照)、センタ10のハッシュ値化ログ公開サーバから全体がハッシュ値化された管理ログ(図1の例では、管理ログ(ハッシュ値化))を受信する(図1の(4)参照)。
そして、監査装置20は、自らハッシュ値化した管理ログ(顧客A:ハッシュ値化)と、受信された管理ログ(ハッシュ値化)とを比較して、ログの正当性を検証する(図1の(5)参照)。具体的には、監査装置20は、管理ログ(顧客A:ハッシュ値化)と管理ログ(ハッシュ値化)とを比較して、一致するか否かを判定し、一致しない場合には、ログが不一致である旨のエラーを所定の出力部に出力する。一方、監査装置20は、ログが一致する場合には、ログが正当なものであるとし、ログが無改ざんであると判断する。
このように、監査システム1は、他の顧客に関する情報を一方向関数でハッシュ値化して秘匿しつつ、全体のログを参照できるようにする結果、上記した主たる特徴のごとく、顧客の個人情報を保護するとともに、適切な監査を実行することが可能である。
[センタの構成]
次に、図2を用いて、図1に示したセンタ10の構成を説明する。図2は、実施例1に係るセンタ10の構成を示すブロック図であり、図3は、サーバログの一例を説明するための図であり、図4は、管理ログの一例を説明するための図であり、図5は、監査ログの一例を説明するための図であり、図6は、ハッシュ値化された管理ログの一例を説明するための図であり、図7は、共通ログから他のログを生成する処理を説明するための図であり、図8は、ハッシュ値化処理および署名生成処理を説明するための図であり、図9は、全体署名について説明するための図である。
次に、図2を用いて、図1に示したセンタ10の構成を説明する。図2は、実施例1に係るセンタ10の構成を示すブロック図であり、図3は、サーバログの一例を説明するための図であり、図4は、管理ログの一例を説明するための図であり、図5は、監査ログの一例を説明するための図であり、図6は、ハッシュ値化された管理ログの一例を説明するための図であり、図7は、共通ログから他のログを生成する処理を説明するための図であり、図8は、ハッシュ値化処理および署名生成処理を説明するための図であり、図9は、全体署名について説明するための図である。
図2に示すように、このセンタ10は、各顧客が利用するサーバ(サーバプール)11、管理サーバ12、ログ保存サーバ13およびハッシュ値化ログ公開サーバ14を備え、バスなどを介して接続される。なお、本構成全体に対してセキュリティポリシーの制定や運用ルールの制定が行われており、保存されたログに対して無改ざん性が保たれていることが技術的および運用状況に対する監査等により確認できることとする。
サーバプール11は、複数のサーバ(割当済サーバと未割当サーバ)を有し、各顧客に利用するサーバを必要に応じて未割当サーバから割り当てて、割当済サーバとする。このサーバプール11内の各サーバは、サーバ内のログ情報として、サーバログ(例えば、アプリケーションの動作履歴等)をログファイル内に記憶し、定期的にログ保存サーバ13に出力する。なお、このログ情報は、顧客に占有的に割り当てられたサーバが出力するログ情報であり、各顧客は自身の占有期間中のサーバログの参照が可能である。
具体的には、図3に例示するように、各サーバは、ログファイル内ではひとつのログ情報を1行のログレコードとして、通し番号、記録日時、対象顧客、発生事象および無改ざん証明(署名)を記録する。「通し番号」および「記録日時」は、ログの欠損や事後改ざん防止のために用いられる。「対象顧客」は、そのログレコードがどの顧客に関するものかを示す。「発生事象」は、実際に記録されるログの内容であり、任意の情報が記入されうる。「無改ざん証明(署名)」は、そのレコードが記録した時点から改変されていないことを証明するための電子署名である。署名生成については図8を用いて後述する。この電子署名のうち、全体署名とは、ログファイル切り替え時点で、そのログファイル内の全レコードの署名情報に対してさらに付与される無改ざん署名である。
管理サーバ12は、割当状況の管理やネットワークの設定等について行い、複数顧客に関するログ(例えば、サーバ割当や運用に関する監査情報など)が混在するログ情報として管理ログを記憶する。具体的には、管理サーバ12は、ログ情報として、全情報が揃ったオリジナルのログファイルである共通ログ(図4に例示)を記憶し、定期的にログ保存サーバ13に出力する。
ログ保存サーバ13は、各サーバから出力されたサーバログおよび管理サーバのログについて記録し、ログ保存サーバ自体の監査情報についてもログ保存サーバ内に監査ログ(図5に例示)として保存する。この際に、複数顧客毎の情報に分離しつつ記録を行い、全顧客に公開すべき情報およびその顧客に関係するログが記録される顧客毎ログを作成して記憶する。また、ログ保存サーバ13は、ハッシュ値化された管理ログ(ハッシュ値化)を作成して、ハッシュ値化ログ公開サーバ14に出力する。
ここで、図7を用いて、ログ保存サーバ13が共通管理ログから他のログを作成する処理を説明する。同図に示すように、ログ保存サーバ13は、全顧客に共通する管理ログから各顧客用の管理ログ(顧客A、顧客B)と、ハッシュ値化ログ公開サーバ14を介して公開されるハッシュ値化された管理ログ(ハッシュ値化)とを作成する。図7の例を用いて説明すると、ログ保存サーバ13は、管理ログ(顧客A)として、顧客A以外の「対象顧客」および顧客A以外に関する「発生事象」をハッシュ値化する。また、ログ保存サーバ13は、管理ログ(ハッシュ値化)として、全ての「対象顧客」および全ての「発生事象」をハッシュ値化する。
なお、ログ保存サーバ13は、長期間のログを保存する場合は一定期間(1日、1週間または1ヶ月等)ごとにログファイルを切り替えていくものとし、サーバログは顧客が切り替わった時点でもログファイルを切り替えるものとする。
ハッシュ値化ログ公開サーバ14は、さらに分離妥当性検証のための情報(ハッシュ値化された管理ログおよび監査ログ)を記憶する。具体的には、ハッシュ値化ログ公開サーバ14は、全ての「対象顧客」および全ての「発生事象」がハッシュ値化された管理ログ(図6に例示)と、全ての「対象顧客」および全ての「発生事象」がハッシュ値化された監査ログを記憶し、監査装置(顧客)20からの要求があった場合に、その情報を通知する。なお、このハッシュ値化されたログはセンタ担当者経由でなく全顧客が匿名で取得可能なハッシュ値化ログ公開サーバ14から取得する。
ここで、図8および図9を用いて、各サーバがログに付与する署名の作成処理およびハッシュ値化処理について説明する。図8に示すように、顧客名は一意性の確認のみ可能な顧客IDに変換する。この顧客IDは、各顧客は自身の顧客IDは通知されるが他の顧客と顧客IDとの関係は通知されない。なお、顧客IDは、ログファイルごとに顧客との対応を変化させることも可能であり、その場合は個々のログファイルごとに各顧客の顧客IDが通知される。
また、発生事象については一方向関数を用いてハッシュ値に変換され記録される。このハッシュ関数についてはセンタおよび全顧客が知っているものとする。この手順を踏むことで、他顧客のログ情報について内容の隠蔽が行われる。ただし、これだけだとログレコードの出現頻度から処理の流れを推測される可能性があるため、かく乱のための情報としてダミーログレコードが挿入される。これは適当な頻度で各顧客処理として挿入され、発生事象にはダミーである旨が記載される。なお、ハッシュ値計算時に通し番号および記録日時の情報が加えられ、同一の発生事象であっても異なるハッシュ値となるため、発生事象のハッシュ値から元の事象が推定されることはない。
さらに、ログレコードの署名生成では、ハッシュ値化したレコードの情報に基づいて生成する。各顧客の署名検証時にはハッシュ値化に相当する処理を行ったうえで署名検証がされる。こうすることで、ハッシュ値化したログレコードとオリジナルのログレコードの署名を同一にすることができ、後述する検証時にも無改ざん確認に利用することができる。また、図9に示すように、ログファイル切り替え時点で、そのログファイル内の全レコードの署名情報に対してさらに無改ざん署名を全体署名として作成し、付与する。
[監査装置の構成]
次に、図10を用いて、図1に示した監査装置20の構成を説明する。図10は、実施例1に係る監査装置20の構成を示すブロック図であり、図11は、サーバログ記憶部が記憶するサーバログの一例を説明するための図であり、図12は、管理ログ記憶部が記憶する管理ログの一例を説明するための図であり、図13は、監査ログ記憶部に記憶される監査ログの一例を説明するための図であり、図14は、ハッシュ値化管理ログ記憶部に記憶されるハッシュ値化された管理ログの一例を説明するための図であり、図15は、ハッシュ値化監査ログ記憶部に記憶されるハッシュ値化された監査ログの一例を説明するための図であり、図16は、ログ検証処理を説明するための図であり、図17は、署名検証処理を具体的に説明するための図であり、図18は、ログ検証処理を説明するための図である。
次に、図10を用いて、図1に示した監査装置20の構成を説明する。図10は、実施例1に係る監査装置20の構成を示すブロック図であり、図11は、サーバログ記憶部が記憶するサーバログの一例を説明するための図であり、図12は、管理ログ記憶部が記憶する管理ログの一例を説明するための図であり、図13は、監査ログ記憶部に記憶される監査ログの一例を説明するための図であり、図14は、ハッシュ値化管理ログ記憶部に記憶されるハッシュ値化された管理ログの一例を説明するための図であり、図15は、ハッシュ値化監査ログ記憶部に記憶されるハッシュ値化された監査ログの一例を説明するための図であり、図16は、ログ検証処理を説明するための図であり、図17は、署名検証処理を具体的に説明するための図であり、図18は、ログ検証処理を説明するための図である。
図10に示すように、この監査装置20は、通信制御I/F21、制御部22、記憶部23を備え、ネットワーク30を介してセンタ10と接続される。以下にこれらの各部の処理を説明する。
通信制御I/F21は、接続されるセンタ10との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F21は、は、センタ10との間でログに関する情報を受信する。
記憶部23は、制御部22による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、サーバログ記憶部23a、管理ログ記憶部23b、監査ログ記憶部23c、ハッシュ値化管理ログ記憶部23dおよびハッシュ値化監査ログ記憶部23eを備える。
サーバログ記憶部23aは、センタ10のログ保存サーバ13から受信したサーバログを記憶する。具体的な例を挙げて説明すると、図11に示すように、サーバログ記憶部23aは、顧客A自身が利用するサーバ1およびサーバ3のサーバログを記憶する。このサーバログ記憶部23aは、ログファイル内ではひとつのログ情報を1行のログレコードとして、通し番号、記録日時、対象顧客、発生事象および無改ざん証明(署名)を記録する。
管理ログ記憶部23bは、センタ10のログ保存サーバ13から受信した管理ログを記憶する。具体的な例を挙げて説明すると、図12に示すように、管理ログ記憶部23bは、顧客A以外の「対象顧客」および顧客A以外に関する「発生事象」がハッシュ値化され、全顧客共通の情報と顧客A自身の情報についてはハッシュ値化されていない管理ログ(顧客A)を記憶する。つまり、顧客Aには、他の顧客に関する情報を閲覧することができないので、適切に個人情報を保護することとなる。
監査ログ記憶部23cは、センタ10のログ保存サーバ13から受信した監査ログを記憶する。具体的な例を挙げて説明すると、図13に示すように、監査ログ記憶部23cは、管理ログ(顧客A)と同様に、顧客A以外の「対象顧客」および顧客A以外に関する「発生事象」がハッシュ値化され、全顧客共通の情報と顧客A自身の情報についてはハッシュ値化されていない監査ログ(顧客A)を記憶する。
ハッシュ値化管理ログ記憶部23dは、後述するハッシュ値化ログ生成部22cによってハッシュ値化された管理ログ(ハッシュ値化)を記憶する。具体的には、ハッシュ値化管理ログ記憶部23dは、図14に示すように、全ての「対象顧客」および全ての「発生事象」がハッシュ値化された管理ログ(ハッシュ値化)を記憶する。
ハッシュ値化監査ログ記憶部23eは、後述するハッシュ値化ログ生成部22cによってハッシュ値化された監査ログ(ハッシュ値化)を記憶する。具体的には、図15に示すように、ハッシュ値化監査ログ記憶部23eは、管理ログ(ハッシュ値化)と同様に、全ての「対象顧客」および全ての「発生事象」がハッシュ値化された監査ログ(ハッシュ値化)を記憶する。
制御部22は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、全体ログ受信部22a、ログ検証部22b、ハッシュ値化ログ生成部22c、ハッシュ値化ログ受信部22dおよびハッシュ値化ログ検証部22eを備える。なお、全体ログ受信部22aは、特許請求の範囲に記載の「全体ログ受信手段」に対応し、ハッシュ値化ログ生成部22cは、特許請求の範囲に記載の「ハッシュ値化ログ生成手段」に対応し、ハッシュ値化ログ受信部22dは、特許請求の範囲に記載の「ハッシュ値化ログ受信手段」に対応し、ハッシュ値化ログ検証部22eは、特許請求の範囲に記載の「ログ検証手段」に対応する。
全体ログ受信部22aは、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれるログ(管理ログおよび監査ログ)をセンタ10のログ保存サーバ13から受信する。具体的には、全体ログ受信部22aは、センタ10に対して監査を行う旨を通知し、その通知を受信したセンタ10から送付された顧客が利用しているサーバのサーバログ、他の顧客に関するログが一方向関数でハッシュ値化された管理ログおよび監査ログをセンタ10のログ保存サーバ13から受信し、それぞれをサーバログ記憶部23a、管理ログ記憶部23b、監査ログ記憶部23cに記憶させる。
ログ検証部22bは、受信したサーバログ、管理ログおよび監査ログに矛盾がないかを検証する。具体的な例を挙げて説明すると、図16に示すように、ログ検証部22bは、全体ログ受信部22aによってセンタ10からログが受信されると、ログファイルのレコード単位での検証を実施する。各レコード内に付与された署名が正しいことを確認することで、レコード単位での改ざんが試みられていないことを検証する。また、ログ検証部22bは、レコード間の通し番号の一貫性や記録日時の順序性、発生事象自体が妥当かについても確認を行う。ログファイルの全体全体署名の検証を実施する。
そして、ログ検証部22bは、ログファイル内の全レコードの署名に対して付与された全体署名が妥当かを検証し、レコードの追加や削除、交換が行われていないことを確認する。続いて、ログ検証部22bは、監査ログに記載されたログ操作に対応する記録が各ログに対して存在しているか対応の確認を行う。これにより、ログ保存サーバが関与しないところでログに変更がなされていないことを確認する。また、ログ検証部22bは、管理ログ内のサーバ配備情報とサーバログの対応を確認する。これにより、サーバログの過不足を検証する。
ここで、図17を用いて、署名検証処理を説明する。ログ検証部22bは、オリジナルレコードをハッシュ値化してハッシュレコードを生成し、そのハッシュレコードに対して署名を検証する。そして、レコード署名全体と全体署名の無矛盾を検証する。なお、詳しい検証処理の説明については、後にフローを用いて詳述する。
ハッシュ値化ログ生成部22cは、受信された管理ログおよび監査ログのうち、顧客本人のログをハッシュ値化して全てハッシュ値化された管理ログおよび監査ログを作成する。具体的には、ハッシュ値化ログ生成部22cは、管理ログ記憶部23bおよび監査ログ記憶部23cによって記憶された管理ログおよび監査ログのうち、顧客本人の「対象顧客」および「発生事象」をハッシュ値化した管理ログ(顧客A:ハッシュ値化)および監査ログ(顧客A:ハッシュ値化)を作成して、ハッシュ値化管理ログ記憶部23dおよびハッシュ値化監査ログ記憶部23eにそれぞれ記憶させる。
ハッシュ値化ログ受信部22dは、センタ10のハッシュ値化ログ公開サーバから全体の管理ログがハッシュ値化された管理ログ(ハッシュ値化)を受信する。具体的には、ハッシュ値化ログ受信部22dは、センタ10のハッシュ値化ログ公開サーバから全体の管理ログがハッシュ値化された管理ログ(ハッシュ値化)を受信し、受信されたそれらのログを後述するハッシュ値化ログ検証部22eに通知する。
ハッシュ値化ログ検証部22eは、自らハッシュ値化した管理ログ(顧客A:ハッシュ値化)と、受信された管理ログ(ハッシュ値化)とを比較して、ログの正当性を検証する。具体的には、ハッシュ値化ログ検証部22eは、図18に示すように、管理ログ(顧客A:ハッシュ値化)と管理ログ(ハッシュ値化)とを比較して、一致するか否かを判定し、一致しない場合には、ログが不一致である旨のエラーを所定の出力部に出力する。一方、監査装置20は、ログが一致する場合には、ログが正当なものであるとし、ログが無改ざんであると判断する。
[監査装置による処理]
次に、図19〜図24を用いて、実施例1に係る監査装置20による処理を説明する。図19〜図23は、実施例1に係る監査装置によるログ検証処理の流れを示すフローチャート図であり、図24は、実施例1に係る監査装置によるハッシュ値化ログ検証処理の流れを示すフローチャート図である。
次に、図19〜図24を用いて、実施例1に係る監査装置20による処理を説明する。図19〜図23は、実施例1に係る監査装置によるログ検証処理の流れを示すフローチャート図であり、図24は、実施例1に係る監査装置によるハッシュ値化ログ検証処理の流れを示すフローチャート図である。
まず、図19〜図23を用いて、監査装置20によるログ検証処理の流れを説明する。監査装置20は、センタ10からサーバログ、管理ログおよび監査ログを受信すると、全てのログを順に選択し(ステップS101)、全てのログが署名検証を終了したか判定する(ステップS102)。そして、全てのログが終了していない場合には(ステップS102否定)、ログ内の全レコードを順に選択し(ステップS103)、全レコードが終了したかを判定する(ステップS104)。
その結果、監査装置20は、全レコードが終了していない場合には(ステップS104否定)、レコードがハッシュ値化されているかを判定する(ステップS105)。そして、監査装置20は、レコードがハッシュ値化されていない場合には(ステップS105否定)、レコードをハッシュ値化した後(ステップS106)、または、レコードがハッシュ値化されている場合には(ステップS105肯定)、署名検証を行う(ステップS107)。
そして、監査装置20は、検証が成功したかを判定し(ステップS108)、成功しなかった場合には(ステップS108否定)、レコード署名エラーを出力する(ステップS109)。また、監査装置20は、検証が成功した場合には(ステップS108肯定)、顧客名が自分であるかを判定する(ステップS110)。その結果、監査装置20は、顧客名が自分でない場合には(ステップS110否定)、ステップS103に戻る。また、監査装置20は、顧客名が自分である場合には(ステップS110肯定)、発生事象確認を行い(ステップS111)、発生事象が適切か判定する(ステップS112)。
その結果、監査装置20は、発生事象が適切でない場合には(ステップS112否定)、事象エラーを出力した後(ステップS113)、または、発生事象が適切である場合には(ステップS112肯定)、ステップS103に戻る。
ここで、ステップS104に戻って、監査装置20は、全レコードが終了した場合には(ステップS104肯定)、レコード署名および全体の署名を検証する処理を行い(ステップS114)、検証が成功であるか否かを判定する(ステップS115)。その結果、監査装置20は、検証が成功でない場合には(ステップS115否定)、ファイル署名がエラーである旨を出力した後(ステップS116)、または、検証が成功である場合には(ステップS115肯定)、ステップS101に戻る。
ここで、ステップS102に戻って、監査装置20は、全てのログの検証処理が終了した場合には(ステップS102)、図20に示すように、監査ログ以外のログを順に選択し(ステップS201)、全ログが終了したか判定する(ステップS202)。その結果、監査装置20は、全ログが終了していない場合には(ステップS202否定)、ログ内の全レコードを順に選択し(ステップS203)、全レコードが終了したかを判定する(ステップS204)。その結果、監査装置20は、全レコードが終了していない場合には(ステップS204否定)、チェック済みフラグをクリアし(ステップS204)、ステップS203に戻り、また全レコードが終了している場合には(ステップS204肯定)、ステップS201に戻る。
ここで、ステップS202に戻って、監査装置20は、全ログが終了している場合には(ステップS202肯定)、監査ログの全レコードを順に選択し(ステップS206)、全レコードについて終了したか否かを判定する(ステップS207)。その結果、監視装置20は、全レコードについて終了していない場合には(ステップS207否定)、顧客名が自分であるか判定する(ステップS208)。その結果、監査装置20は、顧客名が自分でない場合には(ステップS208否定)、ステップS206に戻り、また顧客名が自分である場合には(ステップS208肯定)、発生事象がログ切替であるか判定する(ステップS209)。その結果、監査装置20は、発生事象がログ切替である場合には(ステップS209肯定)、切替前後のログファイルを取得し(ステップS210)、切替前のログが存在するかを判定する(ステップS211)。
そして、監査装置20は、切替前のログが存在しない場合には(ステップS211否定)、切替前ログが無い旨のエラーを出力する(ステップS212)。また、監査装置20は、切替前のログが存在ある場合には(ステップS211肯定)、切替前ログ終了時刻が妥当であるかを判定する(ステップS213)。その結果、監査装置20は、切替前ログ終了時刻が妥当でない場合には(ステップS213否定)、切替前ログ終了時刻のエラーを出力する(ステップS214)。
また、監査装置20は、切替前ログ終了時刻が妥当である場合には(ステップS213肯定)、切替後のログが存在するかを判定する(ステップS215)。切替後のログが存在しない場合には(ステップS215否定)、切替後ログが無い旨のエラーを出力する(ステップS216)。また、監査装置20は、切替後のログが存在ある場合には(ステップS215肯定)、切替後ログ開始時刻が妥当であるかを判定する(ステップS217)。その結果、監査装置20は、切替後ログ開始時刻が妥当でない場合には(ステップS217否定)、切替後ログ開始時刻のエラーを出力し(ステップS218)、ステップS206に戻る。
ここで、ステップS209に戻って、監査装置20は、監査装置20は、発生事象がログ切替でない場合には(ステップS209否定)、発生事象がログ記録であるか判定する(ステップS219)。その結果、監視装置20は、発生事象がログ記録でない場合には(ステップS219否定)、ステップS206に戻り、また発生事象がログ記録である場合には(ステップS219肯定)、記録先ログファイルを取得し(ステップS220)、記憶先ログが存在するか判定する(ステップS221)。その結果、監視装置20は、記憶先ログが存在しない場合には(ステップS221否定)、ログファイルが無い旨のエラーを出力し(ステップS222)、ステップS206に戻る。
また、監視装置20は、記憶先ログが存在する場合には(ステップS221肯定)、記録レコードを探索し(ステップS223)、レコードが存在するか判定する(ステップS224)。その結果、監視装置20は、レコードが存在しない場合には(ステップS224否定)、レコードが無い旨のエラーを出力し(ステップS225)、一方、レコードが存在する場合には(ステップS224肯定)、チェック済みフラグをセットし(ステップS226)、ステップS206に戻る。
ここで、ステップS207に戻って、監視装置20は、全レコードについて終了している場合には(ステップS207肯定)、図21に示すように、監査ログ以外のログを順に選択し(ステップS301)、全ログが終了したかを判定する(ステップS302)。その結果、監視装置20は、全ログが終了していない場合には(ステップS302否定)、ログ内の全レコードを順に選択し(ステップS303)、全レコードが終了したかを判定する(ステップS304)。その結果、監視装置20は、全レコードが終了している場合には(ステップS304肯定)、ステップS301に戻り、また全レコードが終了していない場合には(ステップS304否定)、顧客名が自分であるかを判定する(ステップS305)。
この結果、監査装置20は、顧客名が自分でない場合には(ステップS305否定)、ステップ303に戻り、また顧客名が自分である場合には(ステップS305肯定)、チェック済フラグがセットされているか判定する(ステップS306)。そして、監査装置20は、その結果、チェック済フラグがセットされていない場合には(ステップS306否定)、監査ログが無い旨のエラーを出力し(ステップS307)、また、チェック済フラグがセットされている場合には(ステップS306肯定)、ステップS303に戻る。
ここで、ステップS302に戻って、監査装置20は、全ログが終了していた場合には(ステップS302肯定)、図22に示すように、サーバが割り当てられた時刻を記憶する割当期間テーブルを作成する(ステップS401)。そして、監査装置20は、サーバログの切替前後の割当を結合し(ステップS402)、割当期間テーブルを順に選択して(ステップS403)、全エントリが終了したかを判定する(ステップS404)。その結果、監査装置20は、全エントリが終了していない場合には(ステップS404否定)、開始時刻および終了時刻のフラグをクリアして(ステップS405)、ステップS403に戻る。
一方、監査装置20は、全エントリが終了している場合には(ステップS404肯定)、管理ログの全レコードを順に選択し(ステップS406)、全レコードが終了したか判定する(ステップS407)。その結果、監査装置20は、全レコードが終了していない場合には(ステップS407否定)、顧客名が自分であるかを判定する(ステップS408)。その結果、監査装置20は、顧客名が自分でない場合には(ステップS408否定)、ステップS406に戻り、顧客名が自分である場合には(ステップS408肯定)、発生事象がサーバの割当であるか判定する(ステップS409)。
その結果、監査装置20は、発生事象がサーバの割当である場合には(ステップS409肯定)、対応する割当期間を探索し(ステップS410)、合致するエントリが存在するか判定する(ステップS411)。そして、監査装置20は、合致するエントリが存在しない場合には(ステップS411否定)、サーバの割り当てログがエラーであることを出力し、ステップS406に戻る。また、監査装置20は、合致するエントリが存在する場合には(ステップS411肯定)、開始時刻フラグがセットされ(ステップS413)、ステップS406に戻る。
また、ステップS409に戻って、監査装置20は、発生事象がサーバの割当でない場合には(ステップS409否定)、発生事象がサーバ割当解除であるかを判定する(ステップS414)。その結果、監査装置20は、発生事象がサーバ割当解除でない場合には(ステップS414否定)、ステップS406に戻り、また、発生事象がサーバ割当解除である場合には(ステップS414肯定)、対応する割当期間を探索し(ステップS415)、合致するエントリが存在するか判定する(ステップS416)。
そして、監査装置20は、合致するエントリが存在しない場合には(ステップS416否定)、サーバ割当解除ログがエラーであることを出力し(ステップS417)、ステップS406に戻る。また、監査装置20は、合致するエントリが存在する場合には(ステップS417肯定)、終了時刻フラグをセットして(ステップS418)、ステップS406に戻る。
ここで、ステップS407戻って、監視装置20は、全レコードが終了した場合には(ステップS407)、図23に示すように、割当期間テーブルを順に選択し(ステップS501)、全エントリ終了したか判定する(ステップS502)。その結果、監査装置20は、全エントリ終了した場合には(ステップS502肯定)、処理を終了する。一方、監査装置20は、全エントリ終了していない場合には(ステップS502否定)、開始時刻フラグをセットしているかを判定する(ステップS503)。
そして、監査装置20は、開始時刻フラグをセットしていない場合には(ステップS503否定)、監査範囲開始時点で割当状態であるか判定する(ステップS504)。その結果、監査装置20は、監査範囲開始時点で割当状態でない場合には(ステップS504否定)、サーバ割当がエラーであることを出力する(ステップS505)。また、監査装置20は、監査範囲開始時点で割当状態である場合には(ステップS504肯定)、終了時刻フラグがセットされているか判定する(ステップS506)。
その結果、監査装置20は、終了時刻フラグがセットされていない場合には(ステップS506否定)、監査範囲終了時点で割当状態であるかを判定する(ステップS507)。そして、監査装置20は、監査範囲終了時点で割当状態でない場合には(ステップS507否定)、サーバ割当解除がエラーであることを出力し(ステップS508)、その後、ステップS501に戻る。
続いて、図24を用いて、ハッシュ値化ログ検証処理を説明する。まず、監査装置20は、ログ検証処理を行った後、管理ログおよび監査ログを順に選択し(ステップS601)、全ログが終了したか判定する(ステップS602)。そして、監査装置20は、全ログが終了していない場合には(ステップS602否定)、ログをコピーし(ステップS604)、コピーされたログのレコードを順に選択して(ステップS604)、全レコードが終了したか判定する(ステップS605)。また、監査装置20は、全ログが終了した場合には(ステップS602肯定)、処理を終了する。
そして、監査装置20は、全レコードが終了していない場合には(ステップS605否定)、レコードがハッシュ値化済であるか判定する(ステップS606)。その結果、監査装置20は、レコードがハッシュ値化済でない場合には(ステップS606否定)、レコードをハッシュ値化して置換して(ステップS607)、ステップS604に戻る。
ここで、ステップS605に戻って、監査装置20は、全レコードが終了した場合には(ステップS605肯定)、センタ10からハッシュ値化ログを受信し(ステップS608)、自らハッシュ値化した管理ログと、受信された管理ログとを比較して(ステップS609)、一致するか判定する(ステップS610)。この結果、監査装置20は、自らハッシュ値化した管理ログと受信された管理ログとが一致しない場合には(ステップS610否定)、ハッシュログが不一致であることを出力する(ステップS611)。また、監査装置20は、自らハッシュ値化した管理ログと受信された管理ログとが一致する場合には(ステップS610肯定)、ログが正当であるとして、ステップS601に戻る。
[実施例1の効果]
上述してきたように、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログをセンタ10から受信し、受信された全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成し、全体のログがハッシュ値化された全体のハッシュ値化ログを受信し、生成されたハッシュ値化ログと受信されたハッシュ値化ログとを比較して、ログの正当性を検証するので、他の顧客に関する情報を一方向関数でハッシュ値化して秘匿しつつ、全体のログを参照できるようにする結果、顧客の個人情報を保護するとともに、適切な監査を実行することが可能である。
上述してきたように、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログをセンタ10から受信し、受信された全体のログのうち、ハッシュ値化されていないログをハッシュ値化してハッシュ値化ログを生成し、全体のログがハッシュ値化された全体のハッシュ値化ログを受信し、生成されたハッシュ値化ログと受信されたハッシュ値化ログとを比較して、ログの正当性を検証するので、他の顧客に関する情報を一方向関数でハッシュ値化して秘匿しつつ、全体のログを参照できるようにする結果、顧客の個人情報を保護するとともに、適切な監査を実行することが可能である。
また、実施例1によれば、各サーバを管理するセンタ10からハッシュ値化ログを受信するので、第三者を介さずに、センタ10から直接ハッシュ値化ログを受信する結果、例えば、ログの改ざんが発見された場合に、その改ざんの原因を容易に特定することが可能である。
ところで、上記の実施例1では、センタ10から全体がハッシュ値化されたログを受信する場合を説明したが、本発明はこれに限定されるものではなく、他の顧客から全体がハッシュ値化されたログを受信するようにしてもよい。
そこで、以下の実施例2では、他の顧客から全体がハッシュ値化されたログを受信し、その受信されたハッシュ値ログと自らがハッシュ値化したログとを比較してログを検証する場合として、図25を用いて、実施例2における監査システム1aの概要と特徴について説明する。図25は、実施例2に係る監査システム1aの概要および特徴を説明するための図である。
まず最初に、実施例2に係る監査システム1aの概要および特徴を説明する。図25に示すように、監査システム1aの各監査装置20A、20Bは、実施例1と同様に、他の顧客に関するログが一方向関数でハッシュ値化されたハッシュ値化ログと顧客本人のログとが含まれる全体のログを受信し、そのログを各顧客がハッシュ値化する(図25(1)〜(2)参照)。
そして、実施例1とは異なり、実施例2に係る監査システム1aは、各顧客の監査装置20A、20Bがハッシュ値化したログを顧客間で相互に交換する(図25の(3)参照)。なお、図1の例では、第三者機関40の仲介により匿名性を維持しつつ交換する方法を記載しているが、これに限定されるものではない。
その後、各顧客の監査装置20A、20Bは、各顧客は自身の生成したハッシュ値化ログと他顧客の生成したものを比較することで、自身が受け取ったログと他顧客が受け取ったログが同一の共通ログに由来するものであることの確認を行う(図25の(4)参照)。
このように実施例2によれば、他の顧客からハッシュ値化ログを受信するので、センタ10から直接受信せずに、第三者を介す結果、より適切な監査を実行することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例3として本発明に含まれる他の実施例を説明する。
(1)システム構成等
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、全体ログ受信部22aとログ検証部22bを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、全体ログ受信部22aとログ検証部22bを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(2)プログラム
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図26を用いて、上記の実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。図26は、監査プログラムを実行するコンピュータを示す図である。
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図26を用いて、上記の実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。図26は、監査プログラムを実行するコンピュータを示す図である。
同図に示すように、監査装置としてのコンピュータ600は、HDD610、RAM620、ROM630およびCPU640をバス650で接続して構成される。
そして、ROM630には、上記の実施例と同様の機能を発揮する監査プログラム、つまり、図26に示すように、全体ログ受信プログラム631、ログ検証プログラム632、ハッシュ値化ログ生成プログラム633、ハッシュ値化ログ受信プログラム634およびハッシュ値化ログ検証プログラム635が予め記憶されている。なお、プログラム631〜635については、図10に示した監査装置20の各構成要素と同様、適宜統合または分散してもよい。
そして、CPU640が、これらのプログラム631〜635をROM630から読み出して実行することで、図26に示すように、各プログラム631〜635は、全体ログ受信プロセス641、ログ検証プロセス642、ハッシュ値化ログ生成プロセス643、ハッシュ値化ログ受信プロセス644およびハッシュ値化ログ検証プロセス645として機能するようになる。各プロセス641〜645は、図10に示した、全体ログ受信部22a、ログ検証部22b、ハッシュ値化ログ生成部22c、ハッシュ値化ログ受信部22dおよびハッシュ値化ログ検証部22eにそれぞれ対応する。
また、HDD610には、図26に示すように、サーバログテーブル611、管理ログテーブル612、監査ログテーブル613、ハッシュ値化管理ログテーブル614およびハッシュ値化監査ログテーブル615が設けられる。なお、サーバログテーブル611、管理ログテーブル612、監査ログテーブル613、ハッシュ値化管理ログテーブル614およびハッシュ値化監査ログテーブル615は、図10に示したサーバログ記憶部23a、管理ログ記憶部23b、監査ログ記憶部23c、ハッシュ値化管理ログ記憶部23dおよびハッシュ値化監査ログ記憶部23eに対応する。そして、CPU640は、サーバログテーブル611、管理ログテーブル612、監査ログテーブル613、ハッシュ値化管理ログテーブル614およびハッシュ値化監査ログテーブル615に対してデータを登録するとともに、サーバログテーブル611、管理ログテーブル612、監査ログテーブル613、ハッシュ値化管理ログテーブル614およびハッシュ値化監査ログテーブル615からサーバログデータ621、管理ログデータ622、監査ログデータ623、ハッシュ値化管理ログデータ624およびハッシュ値化監査ログデータ625を読み出してRAM620に格納し、RAM620に格納されたサーバログデータ621、管理ログデータ622、監査ログデータ623、ハッシュ値化管理ログデータ624およびハッシュ値化監査ログデータ625に基づいて情報を管理する処理を実行する。
以上のように、本発明に係る監査プログラム、監査システムおよび監査方法は、複数の顧客が資源を共有するサーバから監査に利用されるログを受信し、当該ログの正当性を検証することに有用であり、特に、顧客の個人情報を保護するとともに、適切な監査を実行する場合に適する。
1 監査システム
10 センタ
11 サーバプール
12 管理サーバ
13 ログ保存サーバ
14 ハッシュ値化ログ公開サーバ
20 監査装置
21 通信制御I/F
22 制御部
22a 全体ログ受信部
22b ログ検証部
22c ハッシュ値化ログ生成部
22d ハッシュ値化ログ受信部
22e ハッシュ値化ログ検証部
23 記憶部
23a サーバログ記憶部
23b 管理ログ記憶部
23c 監査ログ記憶部
23d ハッシュ値化管理ログ記憶部
23e ハッシュ値化監査ログ記憶部
30 ネットワーク
10 センタ
11 サーバプール
12 管理サーバ
13 ログ保存サーバ
14 ハッシュ値化ログ公開サーバ
20 監査装置
21 通信制御I/F
22 制御部
22a 全体ログ受信部
22b ログ検証部
22c ハッシュ値化ログ生成部
22d ハッシュ値化ログ受信部
22e ハッシュ値化ログ検証部
23 記憶部
23a サーバログ記憶部
23b 管理ログ記憶部
23c 監査ログ記憶部
23d ハッシュ値化管理ログ記憶部
23e ハッシュ値化監査ログ記憶部
30 ネットワーク
Claims (5)
- 複数の顧客が資源を共有するサーバのサーバログであって、前記複数の顧客それぞれに対応するレコードが格納されたサーバログの正当性を検証する処理をコンピュータに実行させる監査プログラムであって、
前記サーバログより特定の顧客に対応付けられたレコードを抽出した第1のログと、前記サーバログより前記特定の顧客以外の顧客に対応付けられたレコードを抽出した第2のログを一方向関数でハッシュ値化した第1のハッシュ値化ログとを含む第3のログ、並びに、前記サーバログをハッシュ値化した全体ハッシュ値化ログを前記サーバから受信し、
受信した前記第3のログより、前記第1のログに対応する部分をハッシュ値化し、前記第1のハッシュ値化ログと組み合わせて第2ハッシュ値化ログを生成し、
前記第2ハッシュ値化ログと、前記全体ハッシュ値化ログとを比較して、前記サーバログの正当性を検証する、
処理を前記コンピュータに実行させることを特徴とする監査プログラム。 - 前記サーバから全体ハッシュ値化ログを受信する処理として、前記サーバを管理するセンタから前記全体ハッシュ値化ログを受信することを特徴とする請求項1に記載の監査プログラム。
- 前記サーバから全体ハッシュ値化ログを受信する処理として、前記特定の顧客以外の顧客から前記全体ハッシュ値化ログを受信することを特徴とする請求項1に記載の監査プログラム。
- 複数の顧客が資源を共有するサーバのサーバログであって、前記複数の顧客それぞれに対応するレコードが格納されたサーバログの正当性を検証する監査システムであって、
前記サーバログより特定の顧客に対応付けられたレコードを抽出した第1のログと、前記サーバログより前記特定の顧客以外の顧客に対応付けられたレコードを抽出した第2のログを一方向関数でハッシュ値化した第1のハッシュ値化ログとを含む第3のログ、並びに、前記サーバログをハッシュ値化した全体ハッシュ値化ログを前記サーバから受信する受信部と、
受信した前記第3のログより、前記第1のログに対応する部分をハッシュ値化し、前記第1のハッシュ値化ログと組み合わせて第2ハッシュ値化ログを生成する生成部と、
前記第2ハッシュ値化ログと、前記全体ハッシュ値化ログとを比較して、前記サーバログの正当性を検証する検証部と、
を備えることを特徴とする監査システム。 - 複数の顧客が資源を共有するサーバのサーバログであって、前記複数の顧客それぞれに対応するレコードが格納されたサーバログの正当性を検証する処理をコンピュータが実行する監査方法であって、
前記コンピュータが、
前記サーバログより特定の顧客に対応付けられたレコードを抽出した第1のログと、前記サーバログより前記特定の顧客以外の顧客に対応付けられたレコードを抽出した第2のログを一方向関数でハッシュ値化した第1のハッシュ値化ログとを含む第3のログ、並びに、前記サーバログをハッシュ値化した全体ハッシュ値化ログを前記サーバから受信し、
受信した前記第3のログより、前記第1のログに対応する部分をハッシュ値化し、前記第1のハッシュ値化ログと組み合わせて第2ハッシュ値化ログを生成し、
前記第2ハッシュ値化ログと、前記全体ハッシュ値化ログとを比較して、前記サーバログの正当性を検証する、
処理を実行することを特徴とする監査方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2007/056490 WO2008117471A1 (ja) | 2007-03-27 | 2007-03-27 | 監査プログラム、監査システムおよび監査方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008117471A1 JPWO2008117471A1 (ja) | 2010-07-08 |
| JP5278309B2 true JP5278309B2 (ja) | 2013-09-04 |
Family
ID=39788214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009506183A Expired - Fee Related JP5278309B2 (ja) | 2007-03-27 | 2007-03-27 | 監査プログラム、監査システムおよび監査方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20090319405A1 (ja) |
| JP (1) | JP5278309B2 (ja) |
| WO (1) | WO2008117471A1 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120296878A1 (en) * | 2010-01-21 | 2012-11-22 | Nec Corporation | File set consistency verification system, file set consistency verification method, and file set consistency verification program |
| US9460169B2 (en) * | 2011-01-12 | 2016-10-04 | International Business Machines Corporation | Multi-tenant audit awareness in support of cloud environments |
| JP5798959B2 (ja) * | 2012-03-16 | 2015-10-21 | 株式会社エヌ・ティ・ティ・データ | パッケージ生成装置、パッケージ生成方法、プログラム |
| JP6063321B2 (ja) * | 2013-03-27 | 2017-01-18 | 株式会社富士通エフサス | サーバ装置およびハッシュ値処理方法 |
| US9336248B2 (en) * | 2013-04-24 | 2016-05-10 | The Boeing Company | Anomaly detection in chain-of-custody information |
| US9672347B2 (en) * | 2014-12-11 | 2017-06-06 | Sap Se | Integrity for security audit logs |
| JP6356075B2 (ja) * | 2015-01-07 | 2018-07-11 | 株式会社日立製作所 | ログ収集システムおよびログ収集方法 |
| JP6476889B2 (ja) * | 2015-01-20 | 2019-03-06 | 日本電気株式会社 | 障害解析システム、アプリケーション実行装置、障害解析装置及び障害解析方法 |
| US10915649B2 (en) | 2018-09-10 | 2021-02-09 | Sap Se | Association-based access control delegation |
| JP6978790B2 (ja) * | 2019-07-10 | 2021-12-08 | 株式会社えくぼ | 任意後見人業務システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001229052A (ja) * | 2001-03-14 | 2001-08-24 | Yoko Ogawa | ログ処理装置、ログ処理方法、及びログ処理プログラム |
| JP2002082834A (ja) * | 2000-09-07 | 2002-03-22 | Toshiba Corp | 履歴管理用の記憶媒体及びicカード |
| JP2006285490A (ja) * | 2005-03-31 | 2006-10-19 | Hitachi Ltd | 個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
| JP2007072969A (ja) * | 2005-09-09 | 2007-03-22 | Ntt Docomo Inc | 動作履歴保護装置及び動作履歴保護プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5499367A (en) * | 1991-11-15 | 1996-03-12 | Oracle Corporation | System for database integrity with multiple logs assigned to client subsets |
| JP2005031776A (ja) * | 2003-07-08 | 2005-02-03 | Hitachi Ltd | サーバリソース集計方法、サーバリソース集計システム、および、そのためのサーバ |
-
2007
- 2007-03-27 WO PCT/JP2007/056490 patent/WO2008117471A1/ja active Application Filing
- 2007-03-27 JP JP2009506183A patent/JP5278309B2/ja not_active Expired - Fee Related
-
2009
- 2009-08-25 US US12/547,255 patent/US20090319405A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002082834A (ja) * | 2000-09-07 | 2002-03-22 | Toshiba Corp | 履歴管理用の記憶媒体及びicカード |
| JP2001229052A (ja) * | 2001-03-14 | 2001-08-24 | Yoko Ogawa | ログ処理装置、ログ処理方法、及びログ処理プログラム |
| JP2006285490A (ja) * | 2005-03-31 | 2006-10-19 | Hitachi Ltd | 個人情報閲覧更新システムおよび個人情報閲覧更新方法 |
| JP2007072969A (ja) * | 2005-09-09 | 2007-03-22 | Ntt Docomo Inc | 動作履歴保護装置及び動作履歴保護プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2008117471A1 (ja) | 2010-07-08 |
| WO2008117471A1 (ja) | 2008-10-02 |
| US20090319405A1 (en) | 2009-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5278309B2 (ja) | 監査プログラム、監査システムおよび監査方法 | |
| Ramachandran et al. | Smartprovenance: a distributed, blockchain based dataprovenance system | |
| WO2018225428A1 (ja) | 診療記録管理システム、装置、方法およびプログラム | |
| CN110602217B (zh) | 基于区块链的联盟管理方法、装置、设备及存储介质 | |
| US10915128B2 (en) | Method and system for facilitating auditing of power generation and allocation thereof to consumption loads | |
| Ahmad et al. | Blockchain-based chain of custody: towards real-time tamper-proof evidence management | |
| CN108920966A (zh) | 一种区块链存证、取证方法及装置 | |
| EP3709568A1 (en) | Deleting user data from a blockchain | |
| CN112073484A (zh) | 一种基于联盟链的gdpr合规监管方法及系统 | |
| CN110245514B (zh) | 一种基于区块链的分布式计算方法及系统 | |
| US20230327879A1 (en) | System and method for maintaining usage records in a shared computing environment | |
| CN111651170B (zh) | 一种实例动态调整方法、装置及相关设备 | |
| Kristoff et al. | On measuring RPKI relying parties | |
| CN110866261A (zh) | 基于区块链的数据处理方法、装置及存储介质 | |
| Korzhitskii et al. | Revocation statuses on the Internet | |
| CN110970120B (zh) | 基于区块链的家庭医生管理系统及方法 | |
| CN111143889A (zh) | 基于区块链的兴奋剂检测信息管理方法、装置、设备 | |
| CN110599384A (zh) | 组织关系的转移方法、装置、设备及存储介质 | |
| WO2021233109A1 (zh) | 基于区块链的消息处理方法、装置、设备以及存储介质 | |
| JP2023542483A (ja) | 旅行環境における旅行者のデジタル健康データの共有をサポートするための方法および分散型台帳システム | |
| CN112269838A (zh) | 基于区块链的监管方法、装置、电子设备及存储介质 | |
| EP3966531A1 (en) | Certification of a measurement result of a measuring device | |
| JP2006059283A (ja) | 遺言書管理システム | |
| CN108171078A (zh) | 一种面向第三方的云平台测评系统的数据保全方法和装置 | |
| Kunz et al. | Automatic data protection certificates for cloud-services based on secure logging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120417 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120618 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130506 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |