JP6571927B2 - データ保護装置、データ保護方法及びデータ保護プログラム - Google Patents

データ保護装置、データ保護方法及びデータ保護プログラム Download PDF

Info

Publication number
JP6571927B2
JP6571927B2 JP2014230466A JP2014230466A JP6571927B2 JP 6571927 B2 JP6571927 B2 JP 6571927B2 JP 2014230466 A JP2014230466 A JP 2014230466A JP 2014230466 A JP2014230466 A JP 2014230466A JP 6571927 B2 JP6571927 B2 JP 6571927B2
Authority
JP
Japan
Prior art keywords
data
server
terminal
data protection
captured
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014230466A
Other languages
English (en)
Other versions
JP2016095612A (ja
Inventor
宏明 緒方
宏明 緒方
祐一郎 福地
祐一郎 福地
元 桜井
元 桜井
光憲 太田
光憲 太田
暖 小澤
暖 小澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2014230466A priority Critical patent/JP6571927B2/ja
Publication of JP2016095612A publication Critical patent/JP2016095612A/ja
Application granted granted Critical
Publication of JP6571927B2 publication Critical patent/JP6571927B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、データを保護する技術に関する。
現在、インターネットサービスプロバイダに代わり、ハイパージャイアントと呼ばれるサービス提供事業者がインターネット上で多くのトラヒックを扱うようになっている。例えば、コンテンツ提供事業者やコンテンツデリバリーネットワーク事業者等、自社で大量のコンテンツを保有するサービス提供事業者により様々なコンテンツが複数のユーザに提供される。
また、企業で利用される業務用ソフトウェアの利用態様も変化している。従来では、従業者の端末に業務用ソフトウェアをインストールしてスタンドアロン方式で使用する方法が主流であった。現在では、該業務用ソフトウェアをクラウド上のサーバにインストールしてインターネット経由で利用する方法に推移している。例えば、シンクライアント端末,スマートフォン,タブレット端末等のモバイル端末からクラウド上のサーバに接続し、業務用ソフトウェアとの間で通信を開始して、該サーバに保管された自社の業務用データにサービス提供事業者の提供アプリケーションを用いてアクセスする。
このように現在では、端末からクラウド上のサーバに通信接続し、該サーバに対する又は該サーバ内のデータをインターネット経由で送受信する。そのため、第三者により盗聴や破壊等が行われる可能性があり、該データに対するセキュリティ(データの機密性,完全性,秘匿性)とその利便性とを両立させる技術の重要性が高まっている。
特開2013−025361号公報
セキュリティ対策を実現する方法として、例えばクラウド上のサーバに保管されたデータ(上述の例では業務用データ)の漏洩を防止することが考えられる。通常、サービス提供事業者は、かかる漏洩防止機能をサーバ側に実装する。そのため、端末側でも該漏洩防止機能に対応するセキュリティ強化のための機能実装が必要とされる(特許文献1)。
しかし、サービス提供事業者の定めるセキュリティ方式に応じた複数の機能を端末のアプリケーションに実装する必要があるため、端末の利便性が損なわれ、端末の性能面を犠牲にせざる得ない可能性がある。また、セキュリティ対策の効果が、サービス提供事業者によりサーバに施されたセキュリティ強度や脆弱性の有無に依存してしまうという側面もある。
本発明は、上記事情を鑑みてなされたものであり、データに対するセキュリティ対策と端末やサーバの利便性とを両立することを目的とする。
上記課題を解決するため、請求項1に記載のデータ保護装置は、端末からサーバにアップロードされるネットワーク上のデータを捕捉する捕捉手段と、捕捉した捕捉データを機密性が確保された形式に変換する変換手段と、変換した変換データを所定の記憶部に保管する保管手段と、を有することを要旨とする。
本発明によれば、端末からサーバにアップロードされるネットワーク上のデータを捕捉し、捕捉した捕捉データを機密性が確保された形式に変換し、変換した変換データを所定の記憶部に保管するため、データに対するセキュリティ対策をネットワーク側で実現できる。それゆえ、端末側やサーバ側でセキュリティ機能を具備する必要がなくなり、ユーザはサーバのソフトウェアプログラムをこれまで通りの使用感で利用できる。すなわち、本発明により、データに対するセキュリティ対策と端末やサーバの利便性とを両立できる。
請求項2に記載のデータ保護装置は、請求項1に記載のデータ保護装置において、前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元手段と、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉手段と、を更に有することを要旨とする。
請求項3に記載のデータ保護装置は、請求項1又は2に記載のデータ保護装置において、前記変換手段は、所定の秘密分散技術を用いて前記捕捉データを変換することを要旨とする。
請求項4に記載のデータ保護装置は、請求項1乃至3のいずれかに記載のデータ保護装置において、前記変換手段は、所定の暗号化技術を用いて前記捕捉データを変換することを要旨とする。
請求項5に記載のデータ保護装置は、請求項3に記載のデータ保護装置において、前記保管手段は、前記秘密分散技術を用いて分割された複数の分割データを複数の記憶装置に保管することを要旨とする。
請求項6に記載のデータ保護装置は、請求項5に記載のデータ保護装置において、前記保管手段は、前記複数の分割データのうち一部を前記サーバに保管することを要旨とする。
請求項7に記載のデータ保護装置は、請求項1乃至6のいずれかに記載のデータ保護装置において、前記捕捉データは、前記サーバにインストールされた特定のプログラムに係るデータであることを要旨とする。
請求項8に記載のデータ保護装置は、請求項1乃至7のいずれかに記載のデータ保護装置において、前記端末と前記サーバとの間を通るデータは、暗号化されていることを要旨とする。
請求項9に記載のデータ保護方法は、データ保護装置で行うデータ保護方法において、前記データ保護装置は、端末からサーバにアップロードされるネットワーク上のデータを捕捉する捕捉ステップと、捕捉した捕捉データを機密性が確保された形式に変換する変換ステップと、変換した変換データを所定の記憶部に保管する保管ステップと、を有することを要旨とする。
請求項10に記載のデータ保護方法は、請求項9に記載のデータ保護方法において、前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元ステップと、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉ステップと、を更に有することを要旨とする。
請求項11に記載のデータ保護方法は、請求項9又は10に記載のデータ保護方法において、前記変換ステップでは、所定の秘密分散技術を用いて前記捕捉データを変換することを要旨とする。
請求項12に記載のデータ保護方法は、請求項9乃至11のいずれかに記載のデータ保護方法において、前記変換ステップでは、所定の暗号化技術を用いて前記捕捉データを変換することを要旨とする。
請求項13に記載のデータ保護プログラムは、請求項1乃至8のいずれかに記載のデータ保護装置としてコンピュータを機能させることを要旨とする。
本発明によれば、データに対するセキュリティ対策と端末やサーバの利便性とを両立できる。
データ保護装置の配置例を示す図である。 データ保護装置の機能ブロック構成を示す図である。 アップロード時におけるデータの保護処理フローを示す図である。 該保護処理フローに基づく保護処理のイメージを示す図である。 ダウンロード時におけるデータの保護処理フローを示す図である。 該保護処理フローに基づく保護処理のイメージを示す図である。
本発明は、端末側とサーバ側にセキュリティ機能を追加することなく、セキュリティ対策をネットワーク側で実現する手法を確立することにある。以下、本発明を実施する一実施の形態について図面を用いて説明する。
<データ保護装置を含む全体構成について>
最初に、本実施の形態に係るデータ保護装置1の配置位置について説明する。図1は、データ保護装置1の配置例を示す図である。通常、端末3がクラウド上のサーバ5に実装されたソフトウェアプログラムを利用する場合、サーバ5との間に介在するリモートプロキシサーバ7を経由して通信する。リモートプロキシサーバ7は、端末3からの要求を解釈し、背後に存在する複数の中から適切なサーバに転送する。それゆえ、データ保護装置1は、端末3とサーバ5との間に接続されたリモートプロキシサーバ7の内部で機能・動作させることが適切である。
次に、端末3およびサーバ5について説明する。
サーバ5は、いわゆるクラウドの内部に配置され、端末3からの要求に応じて所定のサービスを提供する特定のソフトウェアプログラムを備え、該ソフトウェアプログラムを実行可能な状態で保持する。かかるサーバ5は、例えば、コンテンツ提供事業者やコンテンツデリバリーネットワーク(Contents Delivery Network)事業者など、自社で大量のコンテンツを保有するサービス提供事業者により管理される。
端末3は、サーバ5のソフトウェアプログラムに対して所定のサービスの提供を要求するアプリケーションプログラムを保持する。該アプリケーションプログラムは、サーバ5のソフトウェアプログラムに対応する機能を備えている。かかる端末3は、例えば、シンクライアント端末,スマートフォン,タブレット端末,パソコン等、ユーザにより使用される端末である。
このような端末3およびサーバ5において、例えば、端末3のウェブブラウザやいわゆるアプリなどを用いてサーバ5の業務用ソフトウェアプログラムにアクセスし、該業務用ソフトウェアプログラム上で扱われる業務用データをアップロード又はダウンロードすることが考えられる。
<データ保護装置の機能について>
次に、データ保護装置1の機能について説明する。図2は、データ保護装置1の機能ブロック構成を示す図である。データ保護装置1は、データインターセプト機能部11と、第1のデータ変換機能部12と、データ保管機能部13と、第2のデータ変換機能部14と、データ被インターセプト機能部15と、を備えて構成される。
データインターセプト機能部11は、端末3とサーバ5との間の通信ネットワークNから、保護対象とされるデータをインターセプト(横取り,奪う,捕捉)するように構成されている。ここでいうデータとは、アップロード時の場合はアップロード要求データであり、アップロード対象の元データが含まれる。ダウンロード時の場合は、端末3からのダウンロード要求に応じてサーバ5から返信されるデータであり、データ保護装置1により機密性が確保されたデータが含まれる。
第1のデータ変換機能部12は、インターセプトしたデータを機密性が確保された形式に変換するように構成されている。例えば、既存の秘密分散技術や暗号化技術、又はそれらを組み合わせた技術を用いて変換する。なお、あくまでもインターセプトしたデータを機密性が確保された形式に変換できればよいのであり、かかる技術以外の既存するデータ変換技術や将来検討・開発される任意のデータ変換技術を用いてもよい。
データ保管機能部13は、変換された機密性が確保されたデータ(以降、機密性確保データ)をデータ保管サーバ9に送信して保管するように構成されている。また、データ保管サーバ9に保管されている機密性確保データを取得するように構成されている。なお、データ保管サーバ9とは、データ保護装置1やリモートプロキシサーバ7のメモリやハードディスクでもよいし、リモートプロキシサーバ7とは物理的に異なるサーバでもよい。クラウドの内部に配置されていてもよいし、その数量も任意である。
第2のデータ変換機能部14は、データインターセプト機能部11によりインターセプトされた機密性確保データや、データ保管機能部13によりデータ保管サーバ9から取得された機密性確保データを原形式の元データに復元するように構成されている。
データ被インターセプト機能部15は、第1のデータ変換機能部12により変換された機密性確保データを上記通信ネットワークNに戻し、サーバ5に送信するように構成されている。また、第2のデータ変換機能部14により変換された原形式の元データを上記通信ネットワークNに戻し、端末3に送信するように構成されている。
上述した機能を具備するデータ保護装置1は、CPU等の演算機能やメモリ等の記憶機能を備えたコンピュータで実現できる。該データ保護装置1としてコンピュータを機能させるためのデータ保護プログラムや該データ保護プログラムの記憶媒体を作成することも可能である。
<データ保護装置の動作について>
次に、データ保護装置1で行うデータの保護方法について説明する。ここでは秘密分散技術を用いる場合を説明する。また、データ保管サーバ9は、リモートプロキシサーバ7に接続された物理的に異なる2つのデータ保管サーバ9a,9bとする。
まず、図3と図4を参照しながら、端末3がサーバ5へデータをアップロードする場合の動作を説明する。図3は、アップロード時におけるデータの保護処理フローを示す図である。図4は、図3の保護処理フローに基づく保護処理のイメージを示す図である。
最初に、ステップS101において、データインターセプト機能部11が、通信ネットワークNを介して端末3からサーバ5へアップロードされるデータを監視し、該データのIPパケットに含まれる宛先アドレス等に基づき保護対象のデータをインターセプトする。例えば、httpのペイロードを常時監視し、特定のサーバに対するアップロード要求が含まれているデータをインターセプトする。なお、データ保護装置1には、保護対象のデータを扱うサーバのIPアドレスや、該データを処理するソフトウェアプログラムのポート番号等が予め設定されている。
次に、ステップS102において、第1のデータ変換機能部12が、インターセプトされたデータをステップS103でデータ抽出可能な形式に変換する。これは、IPパケットのデータ部に含まれるデータがデータ伝送の処理過程で記号化・符号化されており、そのままでは保護したい部分を特定できないからである。第1のデータ変換機能部12が自身で解釈できる形式に変換する。
続いて、ステップS103において、第1のデータ変換機能部12は、フォーマット変換したデータを参照し、保護したい部分を抽出する。例えば図4において、参照中のデータに含まれる複数のデータ群のうち「タイトル」や「本文」に対応するデータのみが保護対象として設定されている場合、「タイトル」に対応する「今日の天気」の部分,「本文」に対応する「晴れ」の部分のみを抽出する。
続いて、ステップS104において、第1のデータ変換機能部12は、抽出した保護したい部分を秘密分散する。例えば、図4の場合、「今日の天気」の部分と「晴れ」の部分をそれぞれ複数の分割データに分割し、各分割データ単体では復元不可能な機密性が確保された形式にそれぞれ変換する。具体的には、「今日の天気」を「AAAAAAAA」「BBBBBBBB」「CCCCCCCC」のように変換する。同様に「晴れ」の部分も「XXXXXXXX」「YYYYYYYY」「ZZZZZZZZ」のように変換する。なお、ここでは秘密分散技術の基本的概念を説明するのみに留め、その具体的方式については後述する。
続いて、ステップS105において、第1のデータ変換機能部12は、秘密分散処理を施した各機密性確保データと秘密分散非処理データ群とをサーバ5の保管に適したフォーマットに変換する。具体的には、秘密分散された「AAAAAAAA」等の機密性確保データと、秘密分散処理が行われなかった「タイトル」や「本文」などの残データ群とに対して、ステップS102で行われた変換処理の逆変換処理を実行する。
最後に、ステップS106おいて、秘密分散された各機密性確保データを分散保存するためにサーバ5および2つのデータ保管サーバ9a,9bの各アドレスを宛先に指定して転送する。
具体的には、データ被インターセプト機能部15が、秘密分散された各機密性確保データのうち一部を通信ネットワークNに戻し、サーバ5に送信して保存させる。すなわち、図4の場合、「AAAAAAAA」,「XXXXXXXX」の各機密性確保データと「タイトル」や「本文」等の秘密分散非処理データ群とをIPパケットのデータ部に挿入し、ステップS101で把握していた宛先IPアドレスを該IPパケットのヘッダ部に挿入してサーバ5に送信する。
また、それと同じタイミングでデータ保管機能部13が残りの機密性確保データをデータ保管サーバ9a,9bに送信して保存させる。図4の場合、残りの機密性確保データである「BBBBBBBB」と「YYYYYYYY」の各機密性確保データをデータ保管サーバ9aに送信し、「CCCCCCCC」と「ZZZZZZZZ」の各機密性確保データをデータ保管サーバ9bに送信する。
ここまでがアップロード時におけるデータ保護装置1のデータ保護処理動作である。なお、データ保護装置1は、秘密分散処理時に各機密性確保データに対して同一のユニークなキー情報を付与しておき、該キー情報と転送先の各サーバ(サーバ5およびデータ保管サーバ9a,9b)のアドレスとを関連付けて保持しておく。該データはデータのダウンロード時に参照される。
次に、図5と図6を参照しながら、端末3がサーバ5からデータをダウンロードする場合の動作を説明する。図5は、ダウンロード時におけるデータの保護処理フローを示す図である。図6は、図5の保護処理フローに基づく保護処理のイメージを示す図である。
最初に、ステップS201において、データインターセプト機能部11が、端末3からのダウンロード要求に応じて、通信ネットワークNを介してサーバ5からダウンロードされるデータを監視し、該データのIPパケットに含まれる宛先アドレスや送信元アドレス等に基づき保護対象のデータをインターセプトする。上記例の場合、該データには「AAAAAAAA」,「XXXXXXXX」の各機密性確保データと「タイトル」や「本文」等の秘密分散非処理データ群とが含まれている。
次に、ステップS202において、第2のデータ変換機能部14が、インターセプトされたデータをステップS203でデータ抽出可能な形式に変換する。この処理を行う理由はステップS102で説明した理由と同様である。つまり、インターセプトしたデータはデータ伝送の処理過程で記号化・符号化されており、そのままでは復元する対象を特定できないからである。
続いて、ステップS203において、第2のデータ変換機能部14は、フォーマット変換された機密性確保データを参照し、復元したい部分を抽出する。上記例の場合、「タイトル」に対応する「AAAAAAAA」の部分,「本文」に対応する「XXXXXXXX」の部分を抽出する。
次に、ステップS204において、データ保管機能部13が、インターセプトした機密性確保データに付与されているキー情報と同じキー情報を持つ機密性確保データを他のデータ保管サーバから取得する。上記例の場合、データ保管サーバ9aから「BBBBBBBB」と「YYYYYYYY」の各機密性確保データ、又は、データ保管サーバ9bから「CCCCCCCC」と「ZZZZZZZZ」の各機密性確保データが取得される。このとき、同じキー情報を持つ全ての機密性確保データを取得してもかまわない。その後、ステップS202と同様に第2のデータ変換機能部14が取得した機密性確保データのフォーマットを変換する。
次に、ステップS205において、第2のデータ変換機能部14が、ステップS203,S204でそれぞれ抽出・取得された機密性確保データに対して復元の演算を行うことによりデータを復元する。上記例の場合、「AAAAAAAA」と「BBBBBBBB」又は「CCCCCCCC」との各機密性確保データから「今日の天気」の部分を復元する。また、「XXXXXXXX」と「YYYYYYYY」又は「ZZZZZZZZ」との各機密性確保データから「晴れ」の部分を復元する。
続いて、ステップS206において、第2のデータ変換機能部14は、復元された各データと秘密分散非処理データ群とを利用アプリケーションに適したフォーマットに変換し、元データとなるように結合する。上記例の場合、「タイトル:今日の天気、本文:晴れ」という元データが生成される。
最後に、ステップS207において、データ被インターセプト機能部15が、ステップS206で変換・結合された元データをダウンロード要求元の端末3へ転送する。上記例の場合、該元データをIPパケットのデータ部に挿入し、ステップS201で把握していた宛先IPアドレスを該IPパケットのヘッダ部に挿入して通信ネットワークNへ戻し、端末3へ送信する。
ここまでがダウンロード時におけるデータ保護装置1のデータ保護処理動作である。
これまで説明したように、データ保護装置1は、端末3とサーバ5との間でアップロードされるデータを通信ネットワークN上でインターセプトする。そして、インターセプトしたデータを機密性が確保された形式に変換(上記例では秘密分散処理)してデータ保管サーバ9で保持しておく。これにより、端末側とサーバ側のいずれにもセキュリティ強化用の機能が不要となり、高度なセキュリティサービスをネットワーク側で実行できる。例えば、ユーザがクラウド上の業務用ソフトウェアプログラムに向けて業務用データを通常の方法でアップロードした場合、ネットワーク側で自動的に秘密分散処理が行われ、該業務用データは秘匿化される。
一方、ユーザがアップロードしたデータをダウンロード又はWebブラウザで閲覧する場合、アップロード時と同様に端末3とサーバ5との間の通信をインターセプトし、秘密分散処理された機密性確保データをデータ保管サーバ9やサーバ5から取得し、復元して差し替えて端末3へ送信する。これにより、ユーザはこれまでの使用感が変わることなくサーバ側のサービスを利用できる。
なお、本実施の形態では、通信ネットワークNに流れるデータが暗号化されていない場合を例に説明したが、端末3とリモートプロキシサーバ7とサーバ5とデータ保管サーバ9とをそれぞれ結ぶ各通信区間を通る該データが暗号化されていてもよい。その場合、データ保護装置1によってセキュアなコネクションを終端することにより、暗号化されているペイロード部分のデータを解読する。セキュアなコネクションを確立するための方式としては、TLS(Transport Layer Security)機能や、HTTPS、あるいはIPSec、IPVPN、L2VPN等様々なレイヤでの方式があるが、いずれでもよい。端末3の内部でデータを暗号化してもよい。データ保護装置1は、これらの終端機能を備える。これ以降の処理はステップS102以降の処理と同様である。
<秘密分散法について>
次に、データのアップロード時に行われる秘密分散技術について説明する。秘密分散とは、データを単独では意味のない複数の断片データに分割し、かかる複数の断片データから元データを復元する技術である。秘密分散法には様々な手法が存在する。下記ではその一例を説明する。
(しきい値秘密分散法)
例えば、「分割させる数:n」と「復元に必要な数(しきい値):k」が異なるしきい値秘密分散法を用いる。複数の断片データに分割した場合、どれか1つでも紛失すると元データを復元できなくなる。それに対し該しきい値秘密分散法では、一定数以上の断片データから元データを復元できる。
具体的には、2次多項式F(x)=ax+bx+B(mod p;pで割った時の余りを表す)を基にしたShamirの秘密分散法{(k、n)閾値法;例えば、n=4とし、k=3とする}を用いる。Bは元データ,F(x)は分割データである。a,b,pは、元データBの分割に際して任意に決定される。但し、pは、a、b、Bよりも大きい素数とする。このとき、分割データF(1)〜F(4)を下記の式(1)〜(4)を用いて計算することができる。
F(1)=a+b+B(mod p) ・・・(1)
F(2)=4a+2b+B(mod p) ・・・(2)
F(3)=9a+3b+B(mod p) ・・・(3)
F(4)=16a+4b+B(mod p) ・・・(4)
一方、元データBを復元する場合、式の項数は3つであるため、k=3以上の分割データ{例えば、F(1),F(2),F(4)}の連立方程式を解くことにより元データBを求めることができる。なお、k−1以下の分割データが集まったとしても連立方程式を解けないため、元データBを復元することはできない。しきい値秘密分散法は連立方程式を解くことができるかが焦点であり、分割数を5つにしたい場合には3次多項式(k=4)、分割数を6つにしたい場合には4次多項式(k=5)を用いることで応用できる。
(乱数を用いた秘密分散法)
例えば、乱数を用いた秘密分散法を用いることもできる。具体的には、元データから所定長の複数の部分データを生成し、さらに乱数データから該所定長の複数の乱数部分データを生成する。そして、該部分データと該乱数部分データとを組み合わせて排他的論理和(XOR)演算を行うことにより、元データに対応した複数の分割データを生成する。該XOR演算を行うことにより、機密性が確保された形式に変換される。
例えば、元データが16ビットの「10110010 00110111」の場合、8ビットの第1の元部分データB(1)=「10110010」と第2の元部分データB(2)=「00110111」を生成する。また、同ビット長の第1の乱数部分データR(1)=「10110001」と第2の乱数部分データR(2)=「00110101」を生成する。そして、それら4つの部分データを適宜組み合わせてXOR演算を行うことにより、例えば、第1の分割データF(1)=「00110110」,「10110011」、第2の分割データF(2)=「00000011」,「00000010」、第3の分割データF(3)=「10110001」,「00110101」を生成する。
なお、分割データを生成するための生成式(部分データの組み合わせ方法やXOR演算方法)、分割数等は予め定義されており、該定義された方法に基づいて秘密分散処理が行われる。分割データの生成式として、例えば、F(1)=B(1)+R(1)+R(2),F(2)=B(1)+R(1),F(3)=R(1)等が予め規定されている。
一方、元データを復元する場合には基本的に逆の演算を行う。復元する場合も同様に元データへの復元式が予め定義されおり、該元データへの復元式に基づいて復元する。
上述したデータ分割処理に多項式や剰余演算を用いる“しきい値秘密分散法”と比べて、コンピュータ処理に適したビット演算である排他的論理和演算を用いるため、高速かつ高性能な演算処理能力を必要とせず、大容量のデータに対しても簡単な演算処理を繰り返しことにより分割データを生成できる。また、分割データの保管に必要となる記憶容量も分割数に比例した倍数の容量よりも小さくすることができる。
なお、“しきい値秘密分散法”や“乱数を用いた秘密分散法”に基づく分割データの具体的な生成方法ついては、特開2004−336702号公報を参照されたい。
(その他の秘密分散法など)
その他、マルチ秘密分散法,一般アクセス構造に対する秘密分散法,ランプ型秘密分散法,可検証秘密分散法等を用いることも可能である。具体的な手法については説明を省略するが、公知文献に開示された内容を参照することにより、かかる他の秘密分散法を用いても実現できる。
また、秘密分散法を適用する際に、ハッシュ値を用いて元データの原本性を確保するようにしてもよい。具体的には、所定のハッシュ関数を用いて元データのハッシュ値を生成し、生成したハッシュ値を含む元データを上述の秘密分散法を用いて分割する。そして、該秘密分散法を用いて復元した際に、復元された元データからハッシュ値を再生成し、再生成されたハッシュ値と復元されたハッシュ値とが一致するか否かを判定する。ハッシュ値は元データをユニークに識別できる性質を有しているため、該判定の結果に応じて元データの原本性を確認することができる。
<暗号化について>
本実施の形態では「機密性が確保された形式に変換する」例として、秘密分散技術を用いる場合を説明した。一方、上述したように暗号化技術を用いてもよい。具体的には、当事者しか知らない鍵となる鍵情報を用いて、インターセプトしたデータを機密性が確保された情報に書き換えて保存する。一方、書き換えられた情報から元データを復元する際には、該鍵情報又は該鍵情報と対になる情報を用いて復号する。
例えば、共通鍵暗号方式のDES(Data Encryption Standard),TripleDES,AES(Advanced Encryption Standard),FEAL(Fast Data Encryption Algorithm)、公開鍵方式のRSA(Rivest,Shamir,Adleman),楕円曲線暗号等を用いることができる。具体的な手法については説明を省略するが、これについても公知文献に開示された内容を参照することにより実現できる。
暗号化技術は、秘密分散技術と比べて鍵情報を積極的に用いる点で相違するが、本実施の形態におけるいずれの技術も「機密性が確保された形式に変換する」という点では共通している。暗号化技術と秘密分散技術とを組み合わせてもよいし、インターセプトしたデータに加えて鍵情報自体も秘密分散処理してもよい。
<その他の機能について>
ここまで、端末3とサーバ5との間で通信されるデータを保護する機能や動作を中心に説明した。データ保護装置1は、これらの保護機能以外に下記説明する機能を備えている。
(分割データの無効化機能)
データ保護装置1は、分散保存された各分割データを無効化する機能を備えている。この機能は、サービス提供中のサーバ5で保存中のデータが漏洩した場合等に機能する。具体的には、サーバ5で分割データの漏洩が発見された場合、サーバ5から漏洩したデータIDを含む漏洩検出情報が送信される。このとき、該漏洩の事実を知ったユーザにより端末3から該漏洩検出情報が送信されてもよい。データ保護装置1は、該漏洩検出情報からデータIDを取得し、取得したデータIDに関連する分割データの削除要求をデータ保管サーバ9へ送信する。これにより、データ保管サーバ9から該当の分割データが削除されるため、第三者による元データへの復元処理を確実に防止できる。
(分割データの再生成機能)
データ保護装置1は、所定の分割データを他の分割データから再生成する機能を備えている。この機能は、何らかの理由で一部の分割データが破壊された場合に機能する。破壊された分割データの再生成法には様々な手法が存在する。
例えば、“しきい値秘密分散法”を用いる場合、破壊されていない残りの分割データから元データを復元し、該しきい値秘密分散法を再度用いて元データを秘密分散し、壊れた分割データを再生成する。
その他、“乱数を用いた秘密分散法”を用いる場合、破壊されていない残りの分割データF(i)をそれぞれ2等分して分散部分データF(i,j)を生成し、各分散部分データF(i,j)の排他的論理和を演算することにより、破壊された分割データを再生成する。前述したように分割データを生成するための生成式が予め定義されており、分割データの再生成式も予め定義されているため、かかる定義の範囲内であれば破壊された分割データを残りの分割データから再生成できる。なお、分割データの再生成方法の詳細については、特開2011−035618号公報を参照されたい。
(アクセス管理機能)
データ保護装置1は、端末3からサーバ5へのアクセスを管理し、管理したアクセス情報を端末3やサーバ5へ提供する機能を備えている。この機能は、端末3がデータのアップロード要求やダウンロード要求を行った場合等に機能する。
具体的には、アップロード要求データ又はダウンロード要求データをインターセプトした後、該データをインターセプトした時刻と、該データに含まれる端末3の位置情報{GPS(Global Positioning System)から受信した緯度経度情報}および送信元IPアドレスとを対応付けて管理する。これにより、いつ、どこで、誰がデータを復元したのかを把握することができる。
(プロキシ選択機能)
データ保護装置1は、プロキシ機能の利用の有無を選択させる機能を備えている。この機能は、リモートプロキシサーバ7が社内LAN等の内部ネットワークとインターネット等の外部ネットワークとの間に配置される場合に機能する。
具体的には、端末3からアップロード要求データをインターセプトした後、プロキシ機能を利用するか否かを選択する画面を端末3に送信する。そして、プロキシ機能が選択された場合には、リモートプロキシサーバ7のプロキシ機能を介してサーバ5へ転送する。一方、プロキシ機能が選択されない場合には、リモートプロキシサーバ7のプロキシ機能を介することなくサーバ5へ転送する。アップロードされるデータの種類を判別し、該データの種類に応じてプロキシ機能の有無を自動的に選択するようにしてもよい。かかる選択結果は、データ保護装置1やサーバ5を管理する企業管理者側で管理される。これにより、通信によってはインターネットに抜けるルートとプロキシに抜けるルートを分けることができるため、通信ネットワークの公私分離が可能となる。
<本実施の形態による効果について>
これまで、本実施の形態に係るデータ保護装置1について説明した。ここで、該データ保護装置1の機能を要約する。データ保護装置1は、端末3からサーバ5にアップロードされる通信ネットワークN上のデータをインターセプトし、インターセプトしたデータを機密性が確保された形式に変換し、変換した機密性確保データの一部をデータ保管サーバ9に保管し、残りの一部をサーバ5に保管する。また、端末3により上記インターセプトしたデータのダウンロードが要求された場合、データ保管サーバ9およびサーバ5に保管された機密性確保データを取得して原形式のデータに復元し、該原形式に復元したデータを上記通信ネットワークNに戻して端末3に送信する。
そのため、データに対するセキュリティ対策をネットワーク側で実現できる。これにより、端末側やサーバ側でセキュリティ機能を実装する必要性をなくし、サーバのソフトウェアプログラムをこれまで通りの使用感で利用できる。それゆえ、端末側で利用するアプリケーションプログラムを複数並行して利用しても利便性は損なわれない。ユーザはセキュリティ対策について特別な操作・実装を行うことから解放され、ハイパージャイアントにより提供されるサービスをそのまま享受できる。
すなわち、第1の効果は、端末やサーバの利便性を向上できる。具体的には、端末側のアプリケーションプログラムにセキュリティ機能を追加する必要性を排除し、既存のクラウドサービスにより提供されるサービス機能をそのまま利用できる。ユーザは所望のクラウドサービスを何らの不便さを感じることなく自由にこれまで通り選択・享受できる。通信環境や端末の種類によって操作性が損なわれる可能性を排除できる。デバイスの種別を問わず利用でき、端末やOSの依存性を極小化できる。
第2の効果は、データの機密性を向上できる。具体的には、アクセス管理機能や分割データの無効化機能により、サーバ側の管理者以外に端末側のユーザもアクセス管理や無効化制御を実施できる。また、ネットワークサービス提供事業者はデータの原本を扱わず一部のみを扱うため、データが漏洩してもデータ自体の機密性は担保される。
第3の効果は、データの可用性を向上できる。具体的には、秘密分散技術や分割データの再生成機能により、クラウドサービスに障害が発生してデータの一部が紛失した場合でも元データをリストアできる。
以上より、本実施の形態に係るデータ保護装置1によれば、データに対するセキュリティ対策と端末およびサーバの利便性とを両立できる。
1…データ保護装置
11…データインターセプト機能部
12…第1のデータ変換機能部
13…データ保管機能部
14…第2のデータ変換機能部
15…データ被インターセプト機能部
3…端末
5…サーバ
7…リモートプロキシサーバ
9,9a,9b…データ保管サーバ
N…通信ネットワーク
S101〜S106、S201〜S207…ステップ

Claims (11)

  1. 端末からサーバにアップロードされるネットワーク上のデータを、前記データのIPパケットに含まれる宛先アドレスが保護対象のアドレスである場合、捕捉する捕捉手段と、
    捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換手段と、
    変換した変換データを所定の記憶部に保管する保管手段と、
    前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元手段と、
    前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉手段と、
    を有することを特徴とするデータ保護装置。
  2. 前記変換手段は、
    所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項1に記載のデータ保護装置。
  3. 前記変換手段は、
    所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項1又は2に記載のデータ保護装置。
  4. 前記保管手段は、
    前記秘密分散技術を用いて分割された複数の分割データを複数の記憶装置に保管することを特徴とする請求項2に記載のデータ保護装置。
  5. 前記保管手段は、
    前記複数の分割データのうち一部を前記サーバに保管することを特徴とする請求項4に記載のデータ保護装置。
  6. 前記捕捉データは、
    前記サーバにインストールされた特定のプログラムに係るデータであることを特徴とする請求項1乃至5のいずれかに記載のデータ保護装置。
  7. 前記端末と前記サーバとの間を通るデータは、
    暗号化されていることを特徴とする請求項1乃至6のいずれかに記載のデータ保護装置。
  8. データ保護装置で行うデータ保護方法において、
    前記データ保護装置は、
    端末からサーバにアップロードされるネットワーク上のデータを、前記データのIPパケットに含まれる宛先アドレスが保護対象のアドレスである場合、捕捉する捕捉ステップと、
    捕捉した捕捉データに前記捕捉データのハッシュ値を含めて秘密分散する方法を用いて、前記捕捉データを機密性が確保された形式に変換する変換ステップと、
    変換した変換データを所定の記憶部に保管する保管ステップと、
    前記端末により前記捕捉データのダウンロードが要求された場合、前記記憶部に保管された変換データを原形式のデータに復元する復元ステップと、
    前記アップロードが行われる場合、前記変換データをプロキシ機能の使用・不使用の選択結果に応じてリモートプロキシサーバのプロキシ機能部を経由又は未経由で前記サーバに送信し、前記ダウンロードが行われる場合、原形式に復元したデータを前記ネットワークに戻して前記端末に送信する被捕捉ステップと、
    を有することを特徴とするデータ保護方法。
  9. 前記変換ステップでは、
    所定の秘密分散技術を用いて前記捕捉データを変換することを特徴とする請求項8に記載のデータ保護方法。
  10. 前記変換ステップでは、
    所定の暗号化技術を用いて前記捕捉データを変換することを特徴とする請求項8又は9に記載のデータ保護方法。
  11. 請求項1乃至7のいずれかに記載のデータ保護装置としてコンピュータを機能させることを特徴とするデータ保護プログラム。
JP2014230466A 2014-11-13 2014-11-13 データ保護装置、データ保護方法及びデータ保護プログラム Active JP6571927B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014230466A JP6571927B2 (ja) 2014-11-13 2014-11-13 データ保護装置、データ保護方法及びデータ保護プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014230466A JP6571927B2 (ja) 2014-11-13 2014-11-13 データ保護装置、データ保護方法及びデータ保護プログラム

Publications (2)

Publication Number Publication Date
JP2016095612A JP2016095612A (ja) 2016-05-26
JP6571927B2 true JP6571927B2 (ja) 2019-09-04

Family

ID=56071226

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014230466A Active JP6571927B2 (ja) 2014-11-13 2014-11-13 データ保護装置、データ保護方法及びデータ保護プログラム

Country Status (1)

Country Link
JP (1) JP6571927B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7032908B2 (ja) * 2017-10-24 2022-03-09 株式会社Nobori 医療情報転送システム及び医療情報転送方法
GB201817507D0 (en) * 2018-10-27 2018-12-12 Nchain Holdings Ltd Computer implemented system and method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4610176B2 (ja) * 2003-04-15 2011-01-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 データ原本性確保方法およびシステム、ならびにデータ原本性確保用プログラム
JP2006039794A (ja) * 2004-07-26 2006-02-09 Base Technology Inc ファイル管理システム
JP2006053714A (ja) * 2004-08-11 2006-02-23 Base Technology Inc 機密情報管理システム
JP5735539B2 (ja) * 2009-12-31 2015-06-17 バウルティブ リミテッドVaultive Ltd. ネットワークを介して送信されるデータの暗号化および復号化システム、装置、および方法
JP5948238B2 (ja) * 2012-12-28 2016-07-06 株式会社日立製作所 データ管理方法およびデータ管理装置

Also Published As

Publication number Publication date
JP2016095612A (ja) 2016-05-26

Similar Documents

Publication Publication Date Title
US9626527B2 (en) Server and method for secure and economical sharing of data
US10044509B1 (en) Method for encrypting and storing data
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
CN104869103B (zh) 查找多媒体文件的方法、终端设备和服务器
Mukundan et al. Efficient integrity verification of replicated data in cloud using homomorphic encryption
JP6556955B2 (ja) 通信端末、サーバ装置、プログラム
US20160335447A1 (en) Secure enterprise cdn framework
US7802102B2 (en) Method for efficient and secure data migration between data processing systems
Meye et al. A secure two-phase data deduplication scheme
Kulkarni et al. Security frameworks for mobile cloud computing: A survey
Musa et al. Client-side cryptography based security for cloud computing system
Khedkar et al. Data partitioning technique to improve cloud data storage security
CN109063496A (zh) 一种数据处理的方法及装置
JP6571927B2 (ja) データ保護装置、データ保護方法及びデータ保護プログラム
US20210281608A1 (en) Separation of handshake and record protocol
Parwekar et al. Public auditing: cloud data storage
Indu et al. Secure file sharing mechanism and key management for mobile cloud computing environment
Lei et al. Towards efficient re-encryption for secure client-side deduplication in public clouds
Rashmi et al. Public auditing system: Improved remote data possession checking protocol for secure cloud storage
Zheng et al. Improved anonymous proxy re-encryption with CCA security
JP2019121999A (ja) データ共有方法、データ共有システム、通信端末、データ共有サーバ、プログラム
Hashemi DATA STORAGESECURITY CHALLENGESIN CLOUD COMPUTING
Baghel et al. A survey for secure communication of cloud third party authenticator
JP4294938B2 (ja) ファイル転送システム、キーサーバ装置、ファイル送信装置、ファイル蓄積装置、ファイル受信装置、ならびに、プログラム
Salma A flexible distributed storage integrity auditing mechanism in cloud computing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170905

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180926

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190809

R150 Certificate of patent or registration of utility model

Ref document number: 6571927

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250