JP5972471B2 - データ処理装置及びデータ処理方法及びプログラム - Google Patents
データ処理装置及びデータ処理方法及びプログラム Download PDFInfo
- Publication number
- JP5972471B2 JP5972471B2 JP2015533816A JP2015533816A JP5972471B2 JP 5972471 B2 JP5972471 B2 JP 5972471B2 JP 2015533816 A JP2015533816 A JP 2015533816A JP 2015533816 A JP2015533816 A JP 2015533816A JP 5972471 B2 JP5972471 B2 JP 5972471B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- unit
- communication
- data processing
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報の漏洩を防止する技術に関する。
従来の情報漏洩防止装置は、通信データと個人情報とのパターンマッチングにより、個人情報が含まれる通信データを検出し、個人情報の漏洩を防止している(例えば、特許文献1)。
従来の情報漏洩防止装置は、パターンマッチングにより個人情報などが含まれる通信データを検出しているが、通信データが暗号化されている場合には、通信データに個人情報などが含まれているか否かを判別できないという課題がある。
この発明は、このような課題を解決することを主な目的とし、通信データが暗号化されている場合でも、情報の漏洩を防止することができる構成を実現することを主な目的とする。
本発明に係るデータ処理装置は、
第1の通信路と第2の通信路とに接続され、前記第1の通信路を介して通信装置と接続されているデータ処理装置であって、
前記通信装置により前記第2の通信路に向けて送信されたデータを、前記第1の通信路から受信する受信部と、
前記受信部により受信された前記データが暗号化されている場合に、前記通信装置で行われたデータ処理の内容が記述されているログの解析により、前記通信装置において前記データの暗号化に用いられた鍵を抽出する鍵抽出部と、
前記鍵抽出部により抽出された鍵を用いて前記データを復号する復号部と、
前記復号部の復号結果にキーワードが含まれているか否かを判定するキーワード検索部と、
前記キーワード検索部により前記復号結果にキーワードが含まれていないと判定された場合に、前記データを前記第2の通信路に送信する送信部とを有することを特徴とする。
第1の通信路と第2の通信路とに接続され、前記第1の通信路を介して通信装置と接続されているデータ処理装置であって、
前記通信装置により前記第2の通信路に向けて送信されたデータを、前記第1の通信路から受信する受信部と、
前記受信部により受信された前記データが暗号化されている場合に、前記通信装置で行われたデータ処理の内容が記述されているログの解析により、前記通信装置において前記データの暗号化に用いられた鍵を抽出する鍵抽出部と、
前記鍵抽出部により抽出された鍵を用いて前記データを復号する復号部と、
前記復号部の復号結果にキーワードが含まれているか否かを判定するキーワード検索部と、
前記キーワード検索部により前記復号結果にキーワードが含まれていないと判定された場合に、前記データを前記第2の通信路に送信する送信部とを有することを特徴とする。
本発明によれば、ログを解析してデータの暗号化に用いられた鍵を抽出し、抽出した鍵を用いてデータを復号するため、データが暗号化されている場合でも、情報の漏洩を防止することができる。
実施の形態1.
本実施の形態では、通信データが暗号化されている場合でも、個人情報等の機密度の高い情報が漏洩することを防止する情報漏洩防止装置を説明する。
本実施の形態では、通信データが暗号化されている場合でも、個人情報等の機密度の高い情報が漏洩することを防止する情報漏洩防止装置を説明する。
図1は、実施の形態1における情報漏洩防止装置100とPC(Personal Computer)112のハードウェア構成例を示す。
図1において、情報漏洩防止装置100は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、ハードディスク104、表示コンソール105、通信ボード106および通信ボード107からなり、これらはバス108に接続されている。
情報漏洩防止装置100は、通信ボード106を介して、LAN(Local Area Network)109に接続されている。
また、通信ボード107を介して、WAN(Wide Area Network )110に接続されている。
WAN110は、インターネット111に接続されている。
情報漏洩防止装置100は、通信ボード106を介して、LAN(Local Area Network)109に接続されている。
また、通信ボード107を介して、WAN(Wide Area Network )110に接続されている。
WAN110は、インターネット111に接続されている。
LAN109には、PC112が接続されている。
PC112は通常複数台存在する。
PC112は、CPU113、RAM114、ROM115、ハードディスク116、表示ディスプレイ117、キーボード118、マウス119、通信ボード120からなり、これらはバス121に接続されている。
また、通信ボード120はLAN109に接続されている。
PC112は通常複数台存在する。
PC112は、CPU113、RAM114、ROM115、ハードディスク116、表示ディスプレイ117、キーボード118、マウス119、通信ボード120からなり、これらはバス121に接続されている。
また、通信ボード120はLAN109に接続されている。
なお、情報漏洩防止装置100はデータ処理装置の例であり、PC112は通信装置の例である。
図2は、情報漏洩防止装置100のハードディスク104上に格納されるデータ、プログラム等を示す。
保留要求情報領域201は、通信ボード106で受信された通信データを格納する領域である。
ネットワーク通信記録領域202は、通信ボード106で受信された通信データについての情報を記録するテーブル領域である。
暗号プログラムデータ形式テーブル203は、暗号化プログラムに関する情報を記述したテーブルである。
乱数検定プログラム204は、データが暗号化されているかを判断するのに使用されるプログラムである。
乱数検定プログラム204は、例えば、NIST SP−800−22やDIEHARDといったプログラムである。
乱数検定プログラム204は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
乱数検定プログラム204は、例えば、NIST SP−800−22やDIEHARDといったプログラムである。
乱数検定プログラム204は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
検索キーワードテーブル205は、漏洩させてはならないキーワードを記述したテーブルである。
キーワード検索プログラム206は、通信データに検索キーワードテーブル205のキーワードが含まれていないかを検索するプログラムである。
検索キーワードテーブル205は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
検索キーワードテーブル205は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
復号プログラム207は、共通鍵暗号方式に対応した復号プログラムである。
復号プログラム207は、例えば、AES(Advanced Encryption Standard)に対応した復号プログラムである。
復号プログラム207は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
復号プログラム207は、暗号方式によって異なり、複数存在する。
復号プログラム207は、例えば、AES(Advanced Encryption Standard)に対応した復号プログラムである。
復号プログラム207は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
復号プログラム207は、暗号方式によって異なり、複数存在する。
鍵抽出プログラム208は、PC112の各種ログから通信データの暗号化に用いられた鍵を抽出するプログラムである。
鍵抽出プログラム208は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
鍵抽出プログラム208は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
保留情報管理プログラム209は、通信ボード106で受信された通信データを保留し、また、所定の場合に、保留を解除するプログラムである。
保留情報管理プログラム209は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
保留情報管理プログラム209は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
シグネチャ判定プログラム210は、PC112からの通信データに規定のシグネチャが含まれているか否かを判定する。
シグネチャ判定プログラム210は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
シグネチャ判定プログラム210は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
アラーム出力プログラム211は、所定の場合にアラームを出力する。
アラーム出力プログラム211は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
アラーム出力プログラム211は、ハードディスク104からRAM102にロードされて、CPU101で実行される。
図4は、ネットワーク通信記録領域202に格納されるネットワーク通信記録の詳細を示した例である。
ネットワーク通信記録領域202には、通信の日時、送信元IP(Internet Protocol)アドレス、送信先IPアドレス、プロトコル、パケットの長さ、詳細、保留データを格納した領域を示すID(Identifier)が含まれる。
ネットワーク通信記録領域202には、通信の日時、送信元IP(Internet Protocol)アドレス、送信先IPアドレス、プロトコル、パケットの長さ、詳細、保留データを格納した領域を示すID(Identifier)が含まれる。
図5は、暗号プログラムデータ形式テーブル203の詳細例を示す。
暗号プログラムデータ形式テーブル203には、プログラム名、暗号方式、暗号データの先頭に含まれるシグネチャの文字列、暗号化データまでの先頭からのオフセットが含まれる。
暗号プログラムデータ形式テーブル203には、プログラム名、暗号方式、暗号データの先頭に含まれるシグネチャの文字列、暗号化データまでの先頭からのオフセットが含まれる。
図18は、情報漏洩防止装置100のハードウェア(図1)とプログラム(図2)により実現される機能モジュールを示す。
保留情報管理部151は、CPU101が保留情報管理プログラム209を実行することにより実現される機能モジュールである。
保留情報管理部151は、通信ボード106で受信された通信データを保留要求情報領域201に格納し、また、保留要求情報領域201から通信データを読み出し、読み出した通信データを通信ボード107に出力する。
保留情報管理部151は、通信ボード106で受信された通信データを保留要求情報領域201に格納し、また、保留要求情報領域201から通信データを読み出し、読み出した通信データを通信ボード107に出力する。
乱数検定部152は、CPU101が乱数検定プログラム204を実行することにより実現される機能モジュールである。
乱数検定部152は、保留要求情報領域201に格納されている通信データが暗号化されているか否かを判定する。
なお、保留要求情報領域201に格納されている通信データを、以後、保留データともいう。
乱数検定部152は、保留要求情報領域201に格納されている通信データが暗号化されているか否かを判定する。
なお、保留要求情報領域201に格納されている通信データを、以後、保留データともいう。
シグネチャ判定部153は、CPU101がシグネチャ判定プログラム210を実行することにより実現される機能モジュールである。
シグネチャ判定部153は、通信データが暗号化されている場合に、通信データに規定のシグネチャが含まれているか否かを判定する。
通信データが正規の暗号化方式により暗号化されている場合は、その暗号化方式を表すシグネチャが通信データに含まれている。
なお、シグネチャ判定部153は、暗号化方式判定部の例に相当する。
シグネチャ判定部153は、通信データが暗号化されている場合に、通信データに規定のシグネチャが含まれているか否かを判定する。
通信データが正規の暗号化方式により暗号化されている場合は、その暗号化方式を表すシグネチャが通信データに含まれている。
なお、シグネチャ判定部153は、暗号化方式判定部の例に相当する。
鍵抽出部154は、CPU101が鍵抽出プログラム208を実行することにより実現される機能モジュールである。
鍵抽出部154は、PC112で行われたデータ処理の内容が記述されているログの解析により、PC112において通信データの暗号化に用いられた鍵を抽出する。
より具体的には、鍵抽出部154は、ログに記述されている通信データの送信処理の内容を解析して、送信処理に先立って行われた通信データに対する暗号化処理を特定する。
また、鍵抽出部154は、ログに記述されている暗号化処理の内容を解析して、暗号化処理に付随して行われた入力処理を特定する。
そして、鍵抽出部154は、ログに記述されている入力処理の内容を解析して、通信データの暗号化に用いられた鍵として、入力処理においてPC112に入力された文字列を抽出する。
鍵抽出部154は、PC112で行われたデータ処理の内容が記述されているログの解析により、PC112において通信データの暗号化に用いられた鍵を抽出する。
より具体的には、鍵抽出部154は、ログに記述されている通信データの送信処理の内容を解析して、送信処理に先立って行われた通信データに対する暗号化処理を特定する。
また、鍵抽出部154は、ログに記述されている暗号化処理の内容を解析して、暗号化処理に付随して行われた入力処理を特定する。
そして、鍵抽出部154は、ログに記述されている入力処理の内容を解析して、通信データの暗号化に用いられた鍵として、入力処理においてPC112に入力された文字列を抽出する。
復号部155は、CPU101が復号プログラム207を実行することにより実現される機能モジュールである。
復号部155は、鍵抽出部154により抽出された鍵を用いて通信データを復号する。
復号部155は、鍵抽出部154により抽出された鍵を用いて通信データを復号する。
キーワード検索部156は、CPU101がキーワード検索プログラム206を実行することにより実現される機能モジュールである。
キーワード検索部156は、復号部155の復号結果にキーワードが含まれているか否かを判定する。
キーワード検索部156により復号結果にキーワードが含まれていないと判定された場合に、保留情報管理部151は、保留要求情報領域201から通信データを読み出し、読み出した通信データを通信ボード107に出力する。
キーワード検索部156は、復号部155の復号結果にキーワードが含まれているか否かを判定する。
キーワード検索部156により復号結果にキーワードが含まれていないと判定された場合に、保留情報管理部151は、保留要求情報領域201から通信データを読み出し、読み出した通信データを通信ボード107に出力する。
アラーム出力部157は、CPU101がアラーム出力プログラム211を実行することにより実現される機能モジュールである。
アラーム出力部157は、通信データに規定のシグネチャが含まれていない場合、又は通信データにキーワードが含まれている場合に、アラームを出力する。
アラーム出力部157は、通信データに規定のシグネチャが含まれていない場合、又は通信データにキーワードが含まれている場合に、アラームを出力する。
通信部158は、通信ボード106及び通信ボード107により実現される機能モジュールである。
通信部158は、PC112からの通信データをLAN109から受信し、通信データをWAN110を経由してインターネット111に送信する。
通信部158は、受信部及び送信部の例に相当する。
また、LAN109は第1の通信路の例に相当し、WAN110及びインターネット111は第2の通信路の例に相当する。
通信部158は、PC112からの通信データをLAN109から受信し、通信データをWAN110を経由してインターネット111に送信する。
通信部158は、受信部及び送信部の例に相当する。
また、LAN109は第1の通信路の例に相当し、WAN110及びインターネット111は第2の通信路の例に相当する。
記憶部159は、RAM102、ROM103及びハードディスク104により実現される機能モジュールである。
記憶部159では、図2に示す要素の他、以下の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の復号」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示すデータや信号値や変数値が記憶される。
記憶部159では、図2に示す要素の他、以下の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の復号」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示すデータや信号値や変数値が記憶される。
図3は、PC112のハードディスク116上に格納されるデータおよびプログラムを示す。
キーボード・マウス入力記録プログラム301は、キーボード・マウスからの入力文字列を記録するプログラムである。
キーボード・マウス入力記録プログラム301は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
キーボード・マウス入力記録プログラム301は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
ファイル入出力記録プログラム302は、ファイルの入出力に関するAPI(Application Programming Interface)の呼び出し情報を記録するプログラムである。
ファイル入出力記録プログラム302は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
ファイル入出力記録プログラム302は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
ネットワーク記録プログラム303は、ネットワーク通信に関するAPIの呼び出し情報を記録するプログラムである。
ネットワーク記録プログラム303は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
ネットワーク記録プログラム303は、ハードディスク116からRAM114にロードされて、CPU113で実行される。
キーボード・マウス入力記録情報304は、キーボード・マウス入力記録プログラム301により、ハードディスク116上に記録されるキーボード・マウス入力に関する情報である。
ファイル入出力記録情報305は、ファイル入出力記録プログラム302により、ハードディスク116上に記録されるファイル入出力に関する情報である。
ネットワーク記録情報306は、ネットワーク記録プログラム303により、ハードディスク116上に記録されるネットワーク処理に関する情報である。
図6は、キーボード・マウス入力記録情報304の詳細例を示す。
キーボード・マウス入力記録情報304には、入力が行われた日時、プロセスID、プロセス名、入力された文字列が含まれる。
キーボード・マウス入力記録情報304には、入力が行われた日時、プロセスID、プロセス名、入力された文字列が含まれる。
図7は、ファイル入出力記録情報305の詳細例を示す。
ファイル入出力記録情報305には、入出力が行われた日時、プロセスID、プロセス名、操作、ファイルのパスが含まれる。
ファイル入出力記録情報305には、入出力が行われた日時、プロセスID、プロセス名、操作、ファイルのパスが含まれる。
図8は、ネットワーク記録情報306の詳細例を示す。
ネットワーク記録情報306情報には、ネットワークに操作が行われた日時、プロセスID、プロセス名、自身IPアドレス、相手IPアドレス、プロトコル、操作の詳細が含まれる。
ネットワーク記録情報306情報には、ネットワークに操作が行われた日時、プロセスID、プロセス名、自身IPアドレス、相手IPアドレス、プロトコル、操作の詳細が含まれる。
次に動作について説明する。
図9は、情報漏洩防止装置100の通信ボード106にて、インターネット111にあてた通信データが受信された場合の処理を示したフローチャートである。
図9のフローでは、各ステップに対応するプログラムがRAM102にロードされ、CPU101により実行される。
図9は、情報漏洩防止装置100の通信ボード106にて、インターネット111にあてた通信データが受信された場合の処理を示したフローチャートである。
図9のフローでは、各ステップに対応するプログラムがRAM102にロードされ、CPU101により実行される。
ステップS1001では、保留情報管理部151が、受信された通信データを、ハードディスク104上の保留要求情報領域201に格納する。
また、保留情報管理部151は、保留要求情報領域201のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域202に記録する。
また、保留情報管理部151は、保留要求情報領域201のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域202に記録する。
次に、ステップS1002において、乱数検定部152が、保留要求情報領域201内の通信データが暗号化されたデータであるか否か(通信データが乱数であるか否か)を判定する。
なお、乱数検定部152は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データが暗号化されたデータであるか否かを判定する。
なお、乱数検定部152は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データが暗号化されたデータであるか否かを判定する。
ステップS1002の乱数検定の結果、通信データが乱数であった場合(通信データが暗号化されたデータであった場合)には、ステップS1003で、シグネチャ判定部153が、通信データに暗号のシグネチャが含まれるかを、暗号プログラムデータ形式テーブル203のシグネチャを使って判定する。
つまり、シグネチャ判定部153は、暗号プログラムデータ形式テーブル203に記述されているシグネチャのうちのいずれかと同じシグネチャが通信データに含まれているかどうかを判定する。
なお、シグネチャ判定部153は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データにシグネチャが含まれているか否かを判定する。
つまり、シグネチャ判定部153は、暗号プログラムデータ形式テーブル203に記述されているシグネチャのうちのいずれかと同じシグネチャが通信データに含まれているかどうかを判定する。
なお、シグネチャ判定部153は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データにシグネチャが含まれているか否かを判定する。
ステップS1003で通信データに暗号のシグネチャが含まれていると判定された場合は、ステップS1004で、鍵抽出部154が、PC112のログから鍵を抽出する。
鍵抽出部154による鍵の抽出手順の詳細は後述する。
鍵抽出部154による鍵の抽出手順の詳細は後述する。
次に、ステップS1005で、復号部155が、鍵抽出部154により抽出された鍵を使って、通信データの復号を行う。
より具体的には、ステップS1003で判別されたシグネチャに対応する暗号方式に対応した復号プログラム207をハードディスク104からRAM102にロードして、CPU101がロードされた復号プログラム207を実行し、暗号プログラムデータ形式テーブル203に記録されたオフセット位置から、暗号データの復号を行う。
なお、復号部155は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データの復号を行う。
より具体的には、ステップS1003で判別されたシグネチャに対応する暗号方式に対応した復号プログラム207をハードディスク104からRAM102にロードして、CPU101がロードされた復号プログラム207を実行し、暗号プログラムデータ形式テーブル203に記録されたオフセット位置から、暗号データの復号を行う。
なお、復号部155は、ネットワーク通信記録領域202の内容に基づき、保留要求情報領域201内の通信データを読み出し、通信データの復号を行う。
次に、ステップS1002で、乱数検定部152が、ステップS1005で復号されたデータが暗号化されたデータであるか否かを判定する。
ステップS1005で復号されたデータが暗号化されたデータである場合は、S1003以降の動作が繰り返される。
ステップS1005で復号されたデータが暗号化されたデータである場合は、S1003以降の動作が繰り返される。
ステップS1003で通信データに暗号のシグネチャが含まれていない場合には、ステップS1006で、アラーム出力部157が、不正な独自暗号化方式によって暗号化された通信データを検知した旨のアラームを表示コンソール105に表示して、処理を終了する。
ステップS1002で通信データが暗号化されたデータでない場合には、ステップS1007で、キーワード検索部156が、通信データに検索キーワードテーブル205に含まれるキーワードが含まれているか否かを判定する。
ステップS1007で通信データにキーワードが含まれていると判定された場合には、ステップS1008で、アラーム出力部157が、通信データにキーワードが含まれていた旨のアラームを表示コンソール105に表示して、処理を終了する。
一方、ステップS1007で通信データにキーワードが含まれていないと判定された場合には、ステップS1009で、保留情報管理部151が、保留されている通信データを保留要求情報領域201から取り出し、通信ボード107に出力し、通信ボード107がインターネット111の宛先に向けて通信データを送信する。
また、保留情報管理部151は、使用していた保留要求情報領域201を開放するとともに、ネットワーク通信記録領域202内の当該通信データについての情報をクリアし、処理を終了する。
また、保留情報管理部151は、使用していた保留要求情報領域201を開放するとともに、ネットワーク通信記録領域202内の当該通信データについての情報をクリアし、処理を終了する。
図10は、鍵抽出部154が、PC112のログから鍵を抽出する処理を示したフローチャートである。
ステップS2001で、鍵抽出部154は、通信ボード106を介して、保留データの送信元のPC112からネットワーク記録情報306を取得する。
そして、鍵抽出部154は、ネットワーク記録情報306に記述されているSendのレコードのうち、保留データのヘッダに記述されている送信時刻と同時刻あるいはそれ以前の直近のSendのレコードを検索する。
そして、鍵抽出部154は、検索したレコードに記述されているプロセスIDを取得する。
そして、鍵抽出部154は、ネットワーク記録情報306に記述されているSendのレコードのうち、保留データのヘッダに記述されている送信時刻と同時刻あるいはそれ以前の直近のSendのレコードを検索する。
そして、鍵抽出部154は、検索したレコードに記述されているプロセスIDを取得する。
次に、鍵抽出部154は、ステップS2002で、通信ボード106を介して、保留データの送信元のPC112からファイル入出力記録情報305を取得する。
そして、鍵抽出部154は、ステップS2001で取得したプロセスIDを持つプログラムが読み込んでいるファイルのパスを取得する。
そして、鍵抽出部154は、ステップS2001で取得したプロセスIDを持つプログラムが読み込んでいるファイルのパスを取得する。
次に、鍵抽出部154は、ステップS2003で、ファイル入出力記録情報305から、ステップS2002で取得したファイルのパスに対して、読み込み時刻より前の直近の書き込みを行ったプロセスのIDを取得する。
次に、鍵抽出部154は、ステップS2004で、通信ボード106を介して、保留データの送信元のPC112からキーボード・マウス入力記録情報304を取得する。
そして、鍵抽出部154は、ステップS2003で取得したプロセスIDのプログラムに対して入力されている文字列を取得する。
そして、鍵抽出部154は、ステップS2003で取得したプロセスIDのプログラムに対して入力されている文字列を取得する。
最後に、鍵抽出部154は、ステップS2005で、ステップS2004で取得した入力文字列を暗号化の鍵とし、処理を終了する。
例えば、ステップS2001で、図8の2つ目の“Send”のレコード(日時:2013/06/26 10:16:04.9221)が抽出されたとする。
鍵抽出部154は、このレコードのプロセスIDの欄に記載の“3321”を取得する。
そして、ステップS2002で、鍵抽出部154は、図7において、“3321”に対応するプロセス名である“browser.exe”が読み込んでいる(ReadFile)ファイルのパスである“C¥User¥tmp¥zzz.ex_”を取得する。
そして、鍵抽出部154は、ステップS2003で、“C¥User¥tmp¥zzz.ex_”に対して、読み込み時刻より前の直近の書き込み(WriteFile)を行ったプロセスのIDである“2352”を取得する。
次に、鍵抽出部154は、図6において、“2352”に対応する“encryption.exe”に対して入力されている文字列である“passwd#1”を取得する。
鍵抽出部154は、このレコードのプロセスIDの欄に記載の“3321”を取得する。
そして、ステップS2002で、鍵抽出部154は、図7において、“3321”に対応するプロセス名である“browser.exe”が読み込んでいる(ReadFile)ファイルのパスである“C¥User¥tmp¥zzz.ex_”を取得する。
そして、鍵抽出部154は、ステップS2003で、“C¥User¥tmp¥zzz.ex_”に対して、読み込み時刻より前の直近の書き込み(WriteFile)を行ったプロセスのIDである“2352”を取得する。
次に、鍵抽出部154は、図6において、“2352”に対応する“encryption.exe”に対して入力されている文字列である“passwd#1”を取得する。
以上のように、本実施の形態に係る情報漏洩防止装置100は、暗号化されている通信データを保留し、この通信データを復号するための鍵をPCのログから抽出する。
そして、本実施の形態に係る情報漏洩防止装置100は、抽出した鍵を使って通信データを復号して、キーワードが通信データに含まれていないかを検査する。
このため、通信データが暗号化されていても、不正にPCからインターネットへ機密情報を漏洩しようとする行為を防止することができる。
そして、本実施の形態に係る情報漏洩防止装置100は、抽出した鍵を使って通信データを復号して、キーワードが通信データに含まれていないかを検査する。
このため、通信データが暗号化されていても、不正にPCからインターネットへ機密情報を漏洩しようとする行為を防止することができる。
なお、インターネットを、プリンタに代えることで、暗号化された機密情報を印刷して紙で持ち出して漏洩しようとする行為を防止することができる。
この場合は、情報漏洩防止装置100とプリンタとの間の通信経路が第2の通信路に相当する。
また、インターネットを記憶媒体書き込み装置に代えることで、暗号化された機密情報を記憶媒体に書き込んで持ち出そうとする行為を防止することもできる。
この場合は、情報漏洩防止装置100と記憶媒体書き込み装置との間の通信経路が第2の通信路に相当する。
この場合は、情報漏洩防止装置100とプリンタとの間の通信経路が第2の通信路に相当する。
また、インターネットを記憶媒体書き込み装置に代えることで、暗号化された機密情報を記憶媒体に書き込んで持ち出そうとする行為を防止することもできる。
この場合は、情報漏洩防止装置100と記憶媒体書き込み装置との間の通信経路が第2の通信路に相当する。
以上、本実施の形態では、
通信データの転送を一時保留とする保留情報管理部と、
通信データに対して乱数検定を行いデータが暗号であることを検知する乱数検定部と、
端末のログから通信データを暗号化した鍵を抽出する鍵抽出部と、
抽出された鍵を使って暗号化データを復号する復号部と、
復号されたデータに機密情報に該当する情報が含まれていないかを検索するキーワード検索部とを備え、復号されたデータに機密情報が含まれる場合にこのデータの送信を防止する情報漏洩装置を説明した。
通信データの転送を一時保留とする保留情報管理部と、
通信データに対して乱数検定を行いデータが暗号であることを検知する乱数検定部と、
端末のログから通信データを暗号化した鍵を抽出する鍵抽出部と、
抽出された鍵を使って暗号化データを復号する復号部と、
復号されたデータに機密情報に該当する情報が含まれていないかを検索するキーワード検索部とを備え、復号されたデータに機密情報が含まれる場合にこのデータの送信を防止する情報漏洩装置を説明した。
また、本実施の形態では、鍵抽出部が、キーボード・マウスの入力ログと、ファイル入出力のログと、ネットワーク通信のログとから、通信データを暗号化した鍵を抽出することを説明した。
実施の形態2.
以上の実施の形態1では、PC112上で利用者がログを改ざんしないことを前提としているが、本実施の形態では、ログの改ざんが行われた場合に対処できる情報漏洩防止装置を説明する。
以上の実施の形態1では、PC112上で利用者がログを改ざんしないことを前提としているが、本実施の形態では、ログの改ざんが行われた場合に対処できる情報漏洩防止装置を説明する。
システム構成およびハードディスク上のテーブルやプログラム、情報漏洩防止装置の機能モジュールの構成は実施の形態1と同じであるので説明を省略する。
図11は、情報漏洩防止装置100の通信ボード106にて、インターネット111にあてた通信データが受信された場合の処理を示したフローチャートである。
図11では、図9のフローにS3005とS3007が追加されている。
S3001〜S3004は、図9に示したS1001〜S1004と同じであり、S3006は図9に示したS1005と同じであり、S3008〜S3011は、図9に示したS1006〜S1009と同じである。
以下にて、各ステップを説明するが、実施の形態1と重複する処理については詳細な説明を省略する。
図11では、図9のフローにS3005とS3007が追加されている。
S3001〜S3004は、図9に示したS1001〜S1004と同じであり、S3006は図9に示したS1005と同じであり、S3008〜S3011は、図9に示したS1006〜S1009と同じである。
以下にて、各ステップを説明するが、実施の形態1と重複する処理については詳細な説明を省略する。
ステップS3001では、保留情報管理部151が、受信された通信データを、ハードディスク104上の保留要求情報領域201に格納する。
また、保留情報管理部151は、保留要求情報領域201のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域202に記録する。
また、保留情報管理部151は、保留要求情報領域201のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域202に記録する。
次に、ステップS3002において、乱数検定部152が、保留要求情報領域201内の通信データが暗号化されたデータであるか否か(通信データが乱数であるか否か)を判定する。
ステップS3002での乱数検定の結果、通信データが乱数であった場合(通信データが暗号化されたデータであった場合)には、ステップS3003で、シグネチャ判定部153が、通信データに暗号のシグネチャが含まれるかを、暗号プログラムデータ形式テーブル203のシグネチャを使って判定する。
ステップS3003で通信データに暗号のシグネチャが含まれていると判定された場合は、ステップS3004で、鍵抽出部154が、PC112のログを解析して鍵の抽出を行い、ステップS3005で、鍵抽出部154はログから鍵を抽出できたか否かを判定する。
ステップS3005で鍵が抽出できている場合には、ステップS3006で、復号部155が、鍵抽出部154により抽出された鍵を使って、通信データの復号を行う。
次に、ステップS3002で、乱数検定部152が、ステップS3006で復号されたデータが暗号化されたデータであるか否かを判定する。
ステップS3006で復号されたデータが暗号化されたデータである場合は、S3003以降の動作が繰り返される。
ステップS3006で復号されたデータが暗号化されたデータである場合は、S3003以降の動作が繰り返される。
ステップS3005で鍵が抽出できていない場合は、ステップS3007で、アラーム出力部157が、PC112上のログが不整合である旨のアラームを表示コンソール105に表示して処理を終了する。
ステップS3003で通信データに暗号のシグネチャが含まれていない場合には、ステップS3008で、アラーム出力部157が、不正な独自暗号化方式によって暗号化された通信データを検知した旨のアラームを表示コンソール105に表示して、処理を終了する。
ステップS3002で通信データが暗号でない場合には、ステップS3009で、キーワード検索部156が、通信データに検索キーワードテーブル205に含まれるキーワードが含まれているか否かを判定する。
ステップS3009で通信データにキーワードが含まれていると判定された場合には、ステップS3010で、アラーム出力部157が、通信データにキーワードが含まれていた旨のアラームを表示コンソール105に表示して、処理を終了する。
一方、ステップS3009で通信データにキーワードが含まれていないと判定された場合には、ステップS3011で、保留情報管理部151が、保留されている通信データを保留要求情報領域201から取り出し、通信ボード107に出力し、通信ボード107がインターネット111の宛先に向けて通信データを送信する。
また、保留情報管理部151は、使用していた保留要求情報領域201を開放するとともに、ネットワーク通信記録領域202内の当該通信データについての情報をクリアし、処理を終了する。
また、保留情報管理部151は、使用していた保留要求情報領域201を開放するとともに、ネットワーク通信記録領域202内の当該通信データについての情報をクリアし、処理を終了する。
図12は、鍵抽出部154が、PCのログから鍵を抽出する処理を示したフローチャートである。
図12では、図10に示すフローに、S4002、S4004、S4006、S4008及びS4010が追加されている。
S4001、S4003、S4005、S4007及びS4009は、図10に示すS2001〜S2005と同じである。
以下にて、各ステップを説明するが、実施の形態1と重複する処理については詳細な説明を省略している。
図12では、図10に示すフローに、S4002、S4004、S4006、S4008及びS4010が追加されている。
S4001、S4003、S4005、S4007及びS4009は、図10に示すS2001〜S2005と同じである。
以下にて、各ステップを説明するが、実施の形態1と重複する処理については詳細な説明を省略している。
ステップS4001で、鍵抽出部154は、通信ボード106を介して、保留データの送信元のPC112からネットワーク記録情報306を取得する。
そして、鍵抽出部154は、ネットワーク記録情報306に記述されているSendのレコードのうち、保留データのヘッダに記述されている送信時刻と同時刻あるいはそれ以前の直近のSendのレコードを検索する。
そして、鍵抽出部154は、検索したレコードに記述されているプロセスIDを取得する。
そして、鍵抽出部154は、ネットワーク記録情報306に記述されているSendのレコードのうち、保留データのヘッダに記述されている送信時刻と同時刻あるいはそれ以前の直近のSendのレコードを検索する。
そして、鍵抽出部154は、検索したレコードに記述されているプロセスIDを取得する。
次に、ステップS4002で、鍵抽出部154は、ステップS4001でプロセスIDが取得できたかをチェックし、プロセスIDが取得できた場合には、ステップS4003に進む。
ステップS4003では、鍵抽出部154は、通信ボード106を介して、保留データの送信元のPC112からファイル入出力記録情報305を取得する。
そして、鍵抽出部154は、ステップS4001で取得したプロセスIDを持つプログラムが読み込んでいるファイルのパスを取得する。
そして、鍵抽出部154は、ステップS4001で取得したプロセスIDを持つプログラムが読み込んでいるファイルのパスを取得する。
次に、ステップS4004で、鍵抽出部154は、ステップS4003でファイルのパスが取得できたかをチェックし、パスが取得できた場合には、ステップS4005に進む。
ステップS4005では、鍵抽出部154は、ファイル入出力記録情報305から、ステップS4003で取得したファイルのパスに対して、読み込み時刻より前の直近の書き込みを行ったプロセスのIDを取得する。
次に、ステップS4006で、鍵抽出部154は、ステップS4005でプロセスIDが取得できたかをチェックし、プロセスIDが取得できた場合には、ステップS4007に進む。
ステップS4007では、鍵抽出部154は、通信ボード106を介して、保留データの送信元のPC112からキーボード・マウス入力記録情報304を取得する。
そして、鍵抽出部154は、ステップS4005で取得したプロセスIDのプログラムに対して入力されている文字列を取得する。
そして、鍵抽出部154は、ステップS4005で取得したプロセスIDのプログラムに対して入力されている文字列を取得する。
次に、ステップS4008で、鍵抽出部154は、ステップS4007で文字列を取得できたかをチェックし、文字列が取得できた場合には、ステップS4009で、取得した文字列を鍵として処理を終了する。
一方、ステップS4002で、ステップS4001でプロセスIDが取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
また、ステップS4004で、ステップS4003でパスが取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
さらに、ステップS4006で、ステップS4005でプロセスIDが取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
最後に、ステップS4008で、ステップS4007で文字列が取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
また、ステップS4004で、ステップS4003でパスが取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
さらに、ステップS4006で、ステップS4005でプロセスIDが取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
最後に、ステップS4008で、ステップS4007で文字列が取得できていないと判断された場合には、鍵抽出部154は、ステップS4010で鍵なしと判定して、処理を終了する。
以上のように、本実施の形態に係る情報漏洩防止装置は、ログが改ざんされてログの整合性が取れていないことを検出するようにしている。
このため、PCの利用者やPCに不正に侵入した攻撃者が、情報漏洩が検出されることを回避しようと、PC上のログを改ざんする場合にも、不正にPCからインターネットへ機密情報を漏洩しようとする行為を防止することができる。
このため、PCの利用者やPCに不正に侵入した攻撃者が、情報漏洩が検出されることを回避しようと、PC上のログを改ざんする場合にも、不正にPCからインターネットへ機密情報を漏洩しようとする行為を防止することができる。
以上、本実施の形態では、端末上でログが改ざんされていた場合に情報漏洩防止装置がログの改ざんを検知し、通信データの送信を行わないことを説明した。
実施の形態3.
以上の実施の形態1および2では、鍵の抽出を情報漏洩防止装置100で実施している。
本実施の形態では、利用者の使用する端末を、仮想化技術を用いたシンクライアント端末とする場合に、シンクライアント端末のサーバ装置において鍵を抽出する例を示す。
以上の実施の形態1および2では、鍵の抽出を情報漏洩防止装置100で実施している。
本実施の形態では、利用者の使用する端末を、仮想化技術を用いたシンクライアント端末とする場合に、シンクライアント端末のサーバ装置において鍵を抽出する例を示す。
図13は、本実施の形態に係る情報漏洩防止装置400、サーバ装置412、シンクライアント端末422のハードウェア構成図である。
本実施の形態では、情報漏洩防止装置400がデータ処理装置の例であり、サーバ装置412が管理装置の例であり、シンクライアント端末422が通信装置の例である。
本実施の形態では、情報漏洩防止装置400がデータ処理装置の例であり、サーバ装置412が管理装置の例であり、シンクライアント端末422が通信装置の例である。
図13において、情報漏洩防止装置400は、CPU401、RAM402、ROM403、ハードディスク404、表示コンソール405、通信ボード406および通信ボード407からなり、これらはバス408に接続されている。
情報漏洩防止装置400は、通信ボード406を介して、LAN409に接続されている。
また、情報漏洩防止装置400は、通信ボード407を介して、WAN410に接続されている。
WAN410は、インターネット411に接続されている。
情報漏洩防止装置400は、通信ボード406を介して、LAN409に接続されている。
また、情報漏洩防止装置400は、通信ボード407を介して、WAN410に接続されている。
WAN410は、インターネット411に接続されている。
LAN409には、サーバ装置412が接続されている。
サーバ装置412は、CPU413、RAM414、ROM415、ハードディスク416、表示ディスプレイ417、キーボード418、マウス419、通信ボード420からなり、これらはバス421に接続されている。
また、通信ボード420は、LAN409に接続されている。
サーバ装置412は、CPU413、RAM414、ROM415、ハードディスク416、表示ディスプレイ417、キーボード418、マウス419、通信ボード420からなり、これらはバス421に接続されている。
また、通信ボード420は、LAN409に接続されている。
また、LAN409には、シンクライアント端末422が接続されている。
シンクライアント端末422は通常複数台存在する。
シンクライアント端末422は、CPU423、RAM424、ROM425、表示ディスプレイ426、キーボード427、マウス428、通信ボード429からなり、これらはバス430に接続されている。
また、通信ボード429は、LAN409に接続されている。
シンクライアント端末422は通常複数台存在する。
シンクライアント端末422は、CPU423、RAM424、ROM425、表示ディスプレイ426、キーボード427、マウス428、通信ボード429からなり、これらはバス430に接続されている。
また、通信ボード429は、LAN409に接続されている。
図14は、ハードディスク404上に格納されるデータ、プログラム等を示す。
図14では、図2の構成から鍵抽出プログラム208が削除され、許可サイズ下限テーブル512、許可宛先テーブル513が追加されている。
図14では、図2の構成から鍵抽出プログラム208が削除され、許可サイズ下限テーブル512、許可宛先テーブル513が追加されている。
許可サイズ下限テーブル512には、キーワード検索の対象とする通信データのデータサイズの下限値が記述されている。
受信された通信データのデータサイズが、許可サイズ下限テーブル512に記述されているデータサイズ未満であれば、キーワード検索を行わずに通信データの保留が解除される。
許可宛先テーブル513には、許可されている宛先のリストが記述されている。
通信データの宛先が許可宛先テーブルに記述されている宛先に該当すれば、キーワード検索を行わずに通信データの保留が解除される。
受信された通信データのデータサイズが、許可サイズ下限テーブル512に記述されているデータサイズ未満であれば、キーワード検索を行わずに通信データの保留が解除される。
許可宛先テーブル513には、許可されている宛先のリストが記述されている。
通信データの宛先が許可宛先テーブルに記述されている宛先に該当すれば、キーワード検索を行わずに通信データの保留が解除される。
なお、保留要求情報領域501は、図2の保留要求情報領域201と同様であり、ネットワーク通信記録領域502は、図2のネットワーク通信記録領域202と同様であり、暗号プログラムデータ形式テーブル503は、図2の暗号プログラムデータ形式テーブル203と同様である。
また、乱数検定プログラム504は、図2の乱数検定プログラム204と同様であり、検索キーワードテーブル505は、図2の検索キーワードテーブル205と同様であり、キーワード検索プログラム506は、図2のキーワード検索プログラム206と同様であり、復号プログラム507は、図2の復号プログラム207と同様である。
また、乱数検定プログラム504は、図2の乱数検定プログラム204と同様であり、検索キーワードテーブル505は、図2の検索キーワードテーブル205と同様であり、キーワード検索プログラム506は、図2のキーワード検索プログラム206と同様であり、復号プログラム507は、図2の復号プログラム207と同様である。
また、情報漏洩防止装置400の機能モジュール構成も、図18に示した通りである。
本実施の形態では、鍵抽出部154は、サーバ装置412内の鍵抽出プログラム601(後述)と通信し、鍵抽出プログラム601がログの解析によって抽出した鍵を取得する。
また、本実施の形態では、保留情報管理部151は、保留した通信データのデータサイズが、許可サイズ下限テーブル512に記述されているデータサイズ未満であるか否かを判定する。
また、保留情報管理部151は、保留した通信データの宛先が許可宛先テーブルに記述されている宛先に該当するか否かを判定する。
本実施の形態では、保留情報管理部151は、データサイズ比較部及び宛先判定部の例に相当する。
本実施の形態では、鍵抽出部154は、サーバ装置412内の鍵抽出プログラム601(後述)と通信し、鍵抽出プログラム601がログの解析によって抽出した鍵を取得する。
また、本実施の形態では、保留情報管理部151は、保留した通信データのデータサイズが、許可サイズ下限テーブル512に記述されているデータサイズ未満であるか否かを判定する。
また、保留情報管理部151は、保留した通信データの宛先が許可宛先テーブルに記述されている宛先に該当するか否かを判定する。
本実施の形態では、保留情報管理部151は、データサイズ比較部及び宛先判定部の例に相当する。
図15は、サーバ装置412のハードディスク416上に格納されるデータおよびプログラムを示す。
鍵抽出プログラム601は、シンクライアント端末422の各種ログから通信データの暗号化鍵を抽出するプログラムである。
鍵抽出プログラム601は、ハードディスク416からRAM414上にロードされて、CPU413で実行される。
鍵抽出プログラム601は、ハードディスク416からRAM414上にロードされて、CPU413で実行される。
仮想ハードディスク602は、シンクライアント端末422に対して仮想的なディスクとして提供されるハードディスク416の部分領域である。
図16は、仮想ハードディスク602上に格納されるデータおよびプログラムを示す。
キーボード・マウス入力記録プログラム701は、キーボードからの入力文字列を記録するプログラムである。
キーボード・マウス入力記録プログラム701は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
キーボード・マウス入力記録プログラム701は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
ファイル入出力記録プログラム702は、ファイルの入出力に関するAPIの呼び出し情報を記録するプログラムである。
ファイル入出力記録プログラム702は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
ファイル入出力記録プログラム702は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
ネットワーク記録プログラム703は、ネットワーク通信に関するAPIの呼び出し情報を記録するプログラムである。
ネットワーク記録プログラム703は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
ネットワーク記録プログラム703は、仮想ハードディスク602(ハードディスク416)からRAM424上にロードされて、CPU423で実行される。
キーボード・マウス入力記録情報704は、キーボード・マウス入力記録プログラム701により、仮想ハードディスク602上に記録されるキーボード・マウス入力に関する情報である。
ファイル入出力記録情報705は、ファイル入出力記録プログラム702により仮想ハードディスク602上に記録されるファイル入出力に関する情報である。
ネットワーク記録情報706は、仮想ハードディスク602上に記録されるネットワーク処理に関する情報である。
次に動作について説明する。
図17は、情報漏洩防止装置400の通信ボード406にて、インターネット411にあてた通信データが受信された場合の処理を示したフローチャートである。
図17では、図11のフローにS5002とS5003が追加されている。
S5001は、図11に示したS3001と同じであり、S5004〜S5013は、図11に示したS3002〜S3011と同じである。
以下にて、各ステップを説明するが、実施の形態1及び2と重複する処理については詳細な説明を省略している。
図17は、情報漏洩防止装置400の通信ボード406にて、インターネット411にあてた通信データが受信された場合の処理を示したフローチャートである。
図17では、図11のフローにS5002とS5003が追加されている。
S5001は、図11に示したS3001と同じであり、S5004〜S5013は、図11に示したS3002〜S3011と同じである。
以下にて、各ステップを説明するが、実施の形態1及び2と重複する処理については詳細な説明を省略している。
ステップS5001では、保留情報管理部151が、受信された通信データを、ハードディスク404上の保留要求情報領域501に格納する。
また、保留情報管理部151は、保留要求情報領域501のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域502に記録する。
また、保留情報管理部151は、保留要求情報領域501のIDを、受信した通信データに関する情報とあわせてネットワーク通信記録領域502に記録する。
次に、ステップS5002で、保留情報管理部151が、ステップS5001で保留した通信データのデータサイズが、許可サイズ下限テーブルに記述されている、キーワード検索の対象とする通信データのデータサイズの下限値未満であるかをチェックする。
ステップS5002で保留した通信データのデータサイズが下限値以上の場合には、ステップS5003で、保留情報管理部151が、ステップS5001で保留した通信データの宛先が、許可宛先テーブル513に記述されている宛先に該当するかチェックする。
ステップS5003で保留した通信データの宛先が許可宛先テーブル513に記述されている宛先のいずれにも該当しない場合は、ステップS5004において、乱数検定部152が、保留要求情報領域501内の通信データが暗号化されたデータであるか否か(通信データが乱数であるか否か)を判定する。
ステップS5004での乱数検定の結果、通信データが乱数であった場合(通信データが暗号化されたデータであった場合)には、ステップS5005で、シグネチャ判定部153が、通信データに暗号のシグネチャが含まれるかを、暗号プログラムデータ形式テーブル503のシグネチャを使って判定する。
ステップS5005で通信データに暗号のシグネチャが含まれていると判定された場合は、鍵抽出部154が、ステップS5006でサーバ装置412上の鍵抽出プログラム601を遠隔実行する。
そして、鍵抽出部154は、ステップS5007で、鍵抽出プログラム601がログから鍵を抽出できたか否かを判定する。
なお、鍵抽出プログラム601は、例えば、図12のフローに示す手順に従って動作する。
そして、鍵抽出部154は、ステップS5007で、鍵抽出プログラム601がログから鍵を抽出できたか否かを判定する。
なお、鍵抽出プログラム601は、例えば、図12のフローに示す手順に従って動作する。
ステップS5007で鍵を抽出できていた場合には、ステップS5008で、復号部155が、鍵抽出部154により抽出された鍵を使って、通信データの復号を行う。
次に、ステップS5004で、乱数検定部152が、ステップS5008で復号されたデータが暗号化されたデータであるか否かを判定する。
ステップS5008で復号されたデータが暗号化されたデータである場合は、S5005以降の動作が繰り返される。
ステップS5008で復号されたデータが暗号化されたデータである場合は、S5005以降の動作が繰り返される。
ステップS5007で鍵が抽出できていない場合は、ステップS5009で、アラーム出力部157が、シンクライアント端末422上でログの不整合がおきた旨のアラームを表示コンソール105に表示して処理を終了する。
ステップS5005で通信データに暗号のシグネチャが含まれていない場合には、ステップS5010で、アラーム出力部157が、不正な独自暗号化方式によって暗号化された通信データを検知した旨のアラームを表示コンソール405に表示して、処理を終了する。
ステップS5004で通信データが暗号でない場合には、ステップS5011で、キーワード検索部156が、通信データに検索キーワードテーブル405に含まれるキーワードが含まれているか否かを判定する。
ステップS5011で通信データにキーワードが含まれていると判定された場合には、ステップS5012で、アラーム出力部157が、通信データにキーワードが含まれていた旨のアラームを表示コンソール405に表示して、処理を終了する。
一方、ステップS5011で通信データにキーワードが含まれていないと判定された場合には、ステップS5013で、保留情報管理部151が、保留されている通信データを保留要求情報領域501から取り出し、通信ボード407に出力し、通信ボード407がインターネット411の宛先に向けて通信データを送信する。
また、保留情報管理部151は、使用していた保留要求情報領域501を開放するとともに、ネットワーク通信記録領域502内の当該通信データについての情報をクリアし、処理を終了する。
また、保留情報管理部151は、使用していた保留要求情報領域501を開放するとともに、ネットワーク通信記録領域502内の当該通信データについての情報をクリアし、処理を終了する。
以上のように、端末側のログを蓄積しているサーバ上でログから鍵を抽出する処理を行うようにすることで、より迅速に鍵を抽出することができる。
このため、暗号化された通信データの中身をチェックして、機密情報の漏洩を防ぐとともに、情報漏洩防止装置で通信データを保留する時間を短くすることができる。
このため、暗号化された通信データの中身をチェックして、機密情報の漏洩を防ぐとともに、情報漏洩防止装置で通信データを保留する時間を短くすることができる。
以上、本実施の形態では、鍵抽出部が鍵抽出処理をサーバに行わせることを説明した。
また、本実施の形態では、データサイズが下限値未満の通信データの一時保留は行わないことを説明した。
また、本実施の形態では、許可された宛先への通信データの一時保留は行わないことを説明した。
100 情報漏洩防止装置、101 CPU、102 RAM、103 ROM、104 ハードディスク、105 表示コンソール、106 通信ボード、107 通信ボード、108 バス、109 LAN、110 WAN、111 インターネット、112 PC、113 CPU、114 RAM、115 ROM、116 ハードディスク、117 表示ディスプレイ、118 キーボード、119 マウス、120 通信ボード、151 保留情報管理部、152 乱数検定部、153 シグネチャ判定部、154 鍵抽出部、155 復号部、156 キーワード検索部、157 アラーム出力部、158 通信部、159 記憶部、201 保留要求情報領域、202 ネットワーク通信記録領域、203 暗号プログラムデータ形式テーブル、204 乱数検定プログラム、205 検索キーワードテーブル、206 キーワード検索プログラム、207 復号プログラム、208 鍵抽出プログラム、209 保留情報管理プログラム、210 シグネチャ判定プログラム、211 アラーム出力プログラム、301 キーボード・マウス入力記録プログラム、302 ファイル入出力記録プログラム、303 ネットワーク記録プログラム、304 キーボード・マウス入力記録情報、305 ファイル入出力記録情報、306 ネットワーク記録情報、400 情報漏洩防止装置、401 CPU、402 RAM、403 ROM、404 ハードディスク、405 表示コンソール、406 通信ボード、407 通信ボード、408 バス、409 LAN、410 WAN、411 インターネット、412 PC、413 CPU、414 RAM、415 ROM、416 ハードディスク、417 表示ディスプレイ、418 キーボード、419 マウス、420 通信ボード、422 シンクライアント端末、423 CPU、424 RAM、425 ROM、426 表示ディスプレイ、427 キーボード、428 マウス、429 通信ボード、501 保留要求情報領域、502 ネットワーク通信記録領域、503 暗号プログラムデータ形式テーブル、504 乱数検定プログラム、505 検索キーワードテーブル、506 キーワード検索プログラム、507 復号プログラム、509 保留情報管理プログラム、510 シグネチャ判定プログラム、511 アラーム出力プログラム、512 許可サイズ下限テーブル、513 許可宛先テーブル、601 鍵抽出プログラム、602 仮想ハードディスク、701 キーボード・マウス入力記録プログラム、702 ファイル入出力記録プログラム、703 ネットワーク記録プログラム、704 キーボード・マウス入力記録情報、705 ファイル入出力記録情報、706 ネットワーク記録情報。
Claims (12)
- 第1の通信路と第2の通信路とに接続され、前記第1の通信路を介して通信装置と接続されているデータ処理装置であって、
前記通信装置により前記第2の通信路に向けて送信されたデータを、前記第1の通信路から受信する受信部と、
前記受信部により受信された前記データが暗号化されている場合に、前記通信装置で行われたデータ処理の内容が記述されているログの解析により、前記通信装置において前記データの暗号化に用いられた鍵を抽出する鍵抽出部と、
前記鍵抽出部により抽出された鍵を用いて前記データを復号する復号部と、
前記復号部の復号結果にキーワードが含まれているか否かを判定するキーワード検索部と、
前記キーワード検索部により前記復号結果にキーワードが含まれていないと判定された場合に、前記データを前記第2の通信路に送信する送信部とを有することを特徴とするデータ処理装置。 - 前記鍵抽出部は、
前記ログに記述されている前記データの送信処理の内容を解析して前記送信処理に先立って行われた前記データに対する暗号化処理を特定し、前記ログに記述されている前記暗号化処理の内容を解析して前記暗号化処理に付随して行われた入力処理を特定し、前記ログに記述されている前記入力処理の内容を解析して、前記データの暗号化に用いられた鍵を抽出することを特徴とする請求項1に記載のデータ処理装置。 - 前記鍵抽出部は、
前記データの暗号化に用いられた鍵として、前記入力処理において前記通信装置に入力された文字列を抽出することを特徴とする請求項2に記載のデータ処理装置。 - 前記データ処理装置は、更に、
前記データが規定の暗号化方式により暗号化されているか否かを判断する暗号化方式判定部と、
前記暗号化方式判定部により前記データが前記規定の暗号化方式により暗号化されていないと判定された場合に、アラームを出力するアラーム出力部とを有し、
前記鍵抽出部は、
前記暗号化方式判定部により前記データが前記規定の暗号化方式により暗号化されていると判定された場合に、前記データの暗号化に用いられた鍵を抽出することを特徴とする請求項1に記載のデータ処理装置。 - 前記データ処理装置は、更に、
前記キーワード検索部により前記復号結果にキーワードが含まれていると判定された場合に、アラームを出力するアラーム出力部を有することを特徴とする請求項1に記載のデータ処理装置。 - 前記データ処理装置は、更に、
前記鍵抽出部が前記ログを解析しても前記データの暗号化に用いられた鍵を抽出できない場合に、アラームを出力するアラーム出力部を有することを特徴とする請求項1に記載のデータ処理装置。 - 前記送信部は、
前記アラーム出力部によりアラームが出力される場合は、前記データを前記第2の通信路に送信しないことを特徴とする請求項4〜6のいずれかに記載のデータ処理装置。 - 前記鍵抽出部は、
前記通信装置を管理する管理装置に、
前記ログに記述されている前記データの送信処理の内容を解析させて前記送信処理に先立って行われた前記データに対する暗号化処理を特定させ、前記ログに記述されている前記暗号化処理の内容を解析させて前記暗号化処理に付随して行われた入力処理を特定させ、前記ログに記述されている前記入力処理の内容を解析させて、
前記データの暗号化に用いられた鍵を抽出することを特徴とする請求項1に記載のデータ処理装置。 - 前記データ処理装置は、更に、
前記データのデータサイズを規定のデータサイズと比較するデータサイズ比較部を有し、
前記送信部は、
前記データサイズ比較部により前記データのデータサイズが前記規定のデータサイズ未満であると判定された場合に、前記データを前記第2の通信路に送信することを特徴とする請求項1に記載のデータ処理装置。 - 前記データ処理装置は、更に、
前記データの宛先が許可された宛先であるか否かを判定する宛先判定部を有し、
前記送信部は、
前記宛先判定部により前記データの宛先が許可された宛先であると判定された場合に、前記データを前記第2の通信路に送信することを特徴とする請求項1に記載のデータ処理装置。 - 第1の通信路と第2の通信路とに接続され、前記第1の通信路を介して通信装置と接続されているコンピュータが行うデータ処理方法であって、
前記コンピュータが、前記通信装置により前記第2の通信路に向けて送信されたデータを、前記第1の通信路から受信し、
受信した前記データが暗号化されている場合に、前記コンピュータが、前記通信装置で行われたデータ処理の内容が記述されているログの解析により、前記通信装置において前記データの暗号化に用いられた鍵を抽出し、
前記コンピュータが、抽出した鍵を用いて前記データを復号し、
前記コンピュータが、復号結果にキーワードが含まれているか否かを判定し、
前記復号結果にキーワードが含まれていないと判定した場合に、前記コンピュータが、前記データを前記第2の通信路に送信することを特徴とするデータ処理方法。 - コンピュータを、請求項1に記載されたデータ処理装置として機能させることを特徴とするプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2013/072809 WO2015029129A1 (ja) | 2013-08-27 | 2013-08-27 | データ処理装置及びデータ処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5972471B2 true JP5972471B2 (ja) | 2016-08-17 |
| JPWO2015029129A1 JPWO2015029129A1 (ja) | 2017-03-02 |
Family
ID=52585748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015533816A Expired - Fee Related JP5972471B2 (ja) | 2013-08-27 | 2013-08-27 | データ処理装置及びデータ処理方法及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160210474A1 (ja) |
| EP (1) | EP3041163A4 (ja) |
| JP (1) | JP5972471B2 (ja) |
| CN (1) | CN105519037A (ja) |
| WO (1) | WO2015029129A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6450331B2 (ja) * | 2016-02-09 | 2019-01-09 | アルプスシステムインテグレーション株式会社 | 情報管理システム及び情報管理プログラム |
| JP6699377B2 (ja) * | 2016-06-09 | 2020-05-27 | 富士ゼロックス株式会社 | 通信データ中継装置及びプログラム |
| CN111027082B (zh) * | 2019-12-04 | 2022-05-13 | 楚天龙股份有限公司 | 一种应用于ic卡的个人化数据的提取方法、装置及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008287609A (ja) * | 2007-05-21 | 2008-11-27 | Oki Electric Ind Co Ltd | メール管理システム |
| JP2009116616A (ja) * | 2007-11-06 | 2009-05-28 | Sky Kk | 電子メール監視システム |
| JP2011254146A (ja) * | 2010-05-31 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | 通信内容監査方法および通信内容監査システム |
| JP2012208583A (ja) * | 2011-03-29 | 2012-10-25 | Hitachi Solutions Ltd | 電子メール保留システム及び方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6721424B1 (en) * | 1999-08-19 | 2004-04-13 | Cybersoft, Inc | Hostage system and method for intercepting encryted hostile data |
| US20030163732A1 (en) * | 2002-02-28 | 2003-08-28 | Parry Travis J. | Device-specific firewall |
| US7594277B2 (en) * | 2004-06-30 | 2009-09-22 | Microsoft Corporation | Method and system for detecting when an outgoing communication contains certain content |
| EP1915672A4 (en) * | 2005-08-18 | 2009-03-11 | Emc Corp | CONFORMITY PROCESSING OF RIGHTS DATA MANAGED |
| US20090064326A1 (en) * | 2007-09-05 | 2009-03-05 | Gtb Technologies | Method and a system for advanced content security in computer networks |
| WO2009089626A1 (en) * | 2008-01-16 | 2009-07-23 | Bayalink Solutions Corp. | Secured presentation layer virtualization for wireless handheld communication device |
| US8806607B2 (en) * | 2008-08-12 | 2014-08-12 | Verizon Patent And Licensing Inc. | Unauthorized data transfer detection and prevention |
| US9251367B2 (en) | 2011-03-25 | 2016-02-02 | Nec Corporation | Device, method and program for preventing information leakage |
-
2013
- 2013-08-27 CN CN201380079182.XA patent/CN105519037A/zh active Pending
- 2013-08-27 JP JP2015533816A patent/JP5972471B2/ja not_active Expired - Fee Related
- 2013-08-27 WO PCT/JP2013/072809 patent/WO2015029129A1/ja active Application Filing
- 2013-08-27 US US14/915,161 patent/US20160210474A1/en not_active Abandoned
- 2013-08-27 EP EP13892631.6A patent/EP3041163A4/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008287609A (ja) * | 2007-05-21 | 2008-11-27 | Oki Electric Ind Co Ltd | メール管理システム |
| JP2009116616A (ja) * | 2007-11-06 | 2009-05-28 | Sky Kk | 電子メール監視システム |
| JP2011254146A (ja) * | 2010-05-31 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | 通信内容監査方法および通信内容監査システム |
| JP2012208583A (ja) * | 2011-03-29 | 2012-10-25 | Hitachi Solutions Ltd | 電子メール保留システム及び方法 |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013048334; 河内清人, 他: 'マルウェア通信における暗号化鍵特定手法の提案' 情報処理学会研究報告 Vol. 2012-CSEC-56,No. 6, 20120415, pp. 1-8, 情報処理学会 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015029129A1 (ja) | 2015-03-05 |
| EP3041163A1 (en) | 2016-07-06 |
| CN105519037A (zh) | 2016-04-20 |
| EP3041163A4 (en) | 2017-04-12 |
| US20160210474A1 (en) | 2016-07-21 |
| JPWO2015029129A1 (ja) | 2017-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904014B2 (en) | Encryption synchronization method | |
| US8078880B2 (en) | Portable personal identity information | |
| US20140331338A1 (en) | Device and method for preventing confidential data leaks | |
| JP3955906B1 (ja) | ソフトウエア管理システムおよびソフトウエア管理プログラム | |
| US20070050696A1 (en) | Physical key for accessing a securely stored digital document | |
| US20130124861A1 (en) | Shielding a sensitive file | |
| US20070074038A1 (en) | Method, apparatus and program storage device for providing a secure password manager | |
| CN105740725B (zh) | 一种文件保护方法与系统 | |
| CN101174295A (zh) | 一种可离线的drm认证的方法及系统 | |
| AU2011201188A1 (en) | System and method for securing data | |
| US20120096257A1 (en) | Apparatus and Method for Protecting Storage Data of a Computing Apparatus in an Enterprise Network System | |
| KR20150128328A (ko) | 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 | |
| CN110071937A (zh) | 基于区块链的登录方法、系统及存储介质 | |
| JP5972471B2 (ja) | データ処理装置及びデータ処理方法及びプログラム | |
| JP2011141806A (ja) | ネットワークへの情報流出防止装置 | |
| US11856085B2 (en) | Information management system and method for the same | |
| JP2008219742A (ja) | 添付ファイル暗号化方法及びこの方法を実施するメールサーバ | |
| JP3809495B1 (ja) | ソフトウエア管理システム | |
| Dan et al. | Toward an AI chatbot-driven advanced digital locker | |
| US11507686B2 (en) | System and method for encrypting electronic documents containing confidential information | |
| CN112887427B (zh) | 一种云平台加密系统及方法 | |
| JP4607023B2 (ja) | ログ収集システム及びログ収集方法 | |
| JP6901694B1 (ja) | サーバ、生体認証システム、およびプログラム | |
| JP3840580B1 (ja) | ソフトウエア管理システムおよびソフトウエア管理プログラム | |
| TWI444849B (zh) | 透過伺服器驗證並授權解密以監控個資檔案之系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160614 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160712 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5972471 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |