JP6813442B2 - 検証装置 - Google Patents

検証装置 Download PDF

Info

Publication number
JP6813442B2
JP6813442B2 JP2017126665A JP2017126665A JP6813442B2 JP 6813442 B2 JP6813442 B2 JP 6813442B2 JP 2017126665 A JP2017126665 A JP 2017126665A JP 2017126665 A JP2017126665 A JP 2017126665A JP 6813442 B2 JP6813442 B2 JP 6813442B2
Authority
JP
Japan
Prior art keywords
verification
information
request
verification information
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017126665A
Other languages
English (en)
Other versions
JP2019008738A (ja
Inventor
良彰 中嶋
良彰 中嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017126665A priority Critical patent/JP6813442B2/ja
Publication of JP2019008738A publication Critical patent/JP2019008738A/ja
Application granted granted Critical
Publication of JP6813442B2 publication Critical patent/JP6813442B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、データのセキュリティを検証する検証装置に関する。
従来、データの完全性を検証する一般的な技術としては、「ハッシュアルゴリズム」「公開鍵暗号方式による電子署名」などがある。ハッシュアルゴリズムを用いる方法では、あらかじめ完全性が確保された状態の原本となるデータからハッシュ値(以下、「原本ハッシュ値」)を取得しておき、データの完全性を検証する際には、検証対象データからハッシュ値を取得して原本ハッシュ値と比較することによって、これらが一致する場合に当該データの完全性が保たれていると判定する。この方法が適切に機能するためには、完全性検証の拠り所となる「原本ハッシュ値」の管理が重要となる。
公開鍵暗号方式による電子署名を用いる方法では、あらかじめ対象データに対して電子署名を生成、付加しておき、データの完全性を検証する際には、当該データに付加されている電子署名と整合している場合に、当該データの完全性が保たれていると判定する。この方法が適切に機能するためには、完全性検証の拠り所となる「電子署名」があらかじめ検証対象データに付与されていること、及び電子署名の検証に用いる公開鍵の信頼性を保つために公開鍵基盤(PKI(Public Key Infrastructure))の適正な運用が重要となる。データの完全性検証にあたっては、完全性検証の拠り所となる検証情報(前述の例では「原本ハッシュ値」「電子署名」)の正当性が保たれている必要がある。
"PKI関連技術情報"、[online]、独立行政法人情報処理推進機構、[平成29年6月15日検索]、インターネット<https://www.ipa.go.jp/security/pki/>
しかしながら、従来の技術では、検証情報を第三者による改変から保護できず、検証対象データが増加すると効率的に検証を行うことが出来ない場合があるという課題があった。例えば、ハッシュアルゴリズムを用いる方法においては、検証対象データに対応する原本ハッシュ値が実際のデータと整合しない状態になっていると正しく完全性検証を行うことができない。このような整合しない状態になるケースとして、例えば、原本ハッシュ値がマルウェア感染によって改変されているケースなどが考えられる。
なお、電子署名を用いる方法においては、完全性検証の拠り所となる「電子署名」の検証に用いる公開鍵の信頼性を公開鍵基盤によって保つ必要があるため、対象データに対する電子署名の付与、及び公開鍵基盤による電子署名の検証ともに実行時のコストが高く、検証対象データが膨大になるケースに対応し難い。
上述した課題を解決し、目的を達成するために、本発明の検証装置は、セキュリティの検証を要求する要求者の端末から受信する検証要求に含まれる検証対象を一意に識別する検証対象識別情報と、検証対象のセキュリティを検証する際の基準である正解情報とを対応付ける検証情報を耐タンパ性を備えた領域に記憶する検証情報管理部と、前記検証対象識別情報に対応する検証対象を記憶する記憶部と、前記端末から検証要求を受信し、該検証要求に含まれる前記検証対象識別情報に対応する検証情報を前記検証情報管理部から読み込む要求受信部と、他の検証装置から前記検証情報を受信し、該検証情報を前記検証情報管理部に格納する検証情報格納部と、前記要求受信部によって受信された検証要求に含まれる前記検証対象識別情報に対応する検証情報が検証情報管理部に記憶されていない場合には、前記検証情報の参照先として用いる検証装置を識別する装置識別情報に対応する検証装置に対してセキュリティの検証に用いる検証情報の参照を要求する検証情報参照要求を送信する検証情報参照要求部と、前記要求受信部によって読み込まれた検証情報を基準として前記検証対象のセキュリティの検証を行う検証処理部と、前記検証処理部によって検証が行われた検証結果を前記検証要求の要求元の端末に送信する検証結果送信部と、前記他の検証装置から検証情報参照要求を受信し、該検証情報参照要求に対応する検証情報を前記検証情報管理部から読み込み、読み込んだ検証情報を該検証情報参照要求の要求元に送信する検証情報送信部と、を有することを特徴とする。
本発明によれば、検証情報を装置間で安全に共有することが可能であり、検証対象となる装置及び検証対象データが増加しても効率的に検証を行うことができるという効果を奏する。
図1は、第一の実施の形態に係るセキュリティ検証システムの構成の一例を示す図である。 図2は、第一の実施の形態に係るセキュリティ検証装置の構成を示すブロック図である。 図3は、検証要求に含まれる情報の一例を示す図である。 図4は、検証情報参照要求に含まれる情報の一例を示す図である。 図5は、検証結果に含まれる情報の一例を示す図である。 図6は、検証情報に含まれる情報の一例を示す図である。 図7は、参照先装置リストに含まれる情報の一例を示す図である。 図8は、検証情報無効化リストに含まれる情報の一例を示す図である。 図9は、第一の実施の形態に係るセキュリティ検証装置による処理を説明するフローチャートである。 図10は、データのセキュリティを検証する検証プログラムを実行するコンピュータを示す図である。
以下に、本願に係る検証装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る検証装置が限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係るセキュリティ検証システムの構成、セキュリティ検証装置の構成、セキュリティ検証装置における処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[セキュリティ検証システムの構成]
まず、図1を用いて、第一の実施の形態に係るセキュリティ検証システムについて説明する。図1は、第一の実施の形態に係るセキュリティ検証システムの構成の一例を示す図である。第一の実施の形態に係るセキュリティ検証システムは、操作端末100および複数のセキュリティ検証装置200を有し、各装置は通信網を介して接続されている。なお、各セキュリティ検証装置200は、それぞれ同様の構成を有している。また、図1に示す各装置の数は、あくまで一例であり、これに限られるものではない。
操作端末100は、ユーザの操作等に応じて、セキュリティ検証装置200に対して検証対象に対する検証を要求する検証要求を送信する。そして、操作端末100は、検証要求を送信した後、セキュリティ検証装置200から検証結果を受信する。
セキュリティ検証装置200は、検証要求300を操作端末100から受信すると、検証要求300に含まれる検証対象識別情報310に対応する検証情報600を基準として検証対象のセキュリティの検証を行う。また、セキュリティ検証装置200は、検証要求300に含まれる検証対象識別情報310に対応する検証情報600を記憶していない場合には、他のセキュリティ検証装置200に対して検証情報600の参照を要求する検証情報参照要求400を送信し、他のセキュリティ検証装置200から検証情報600を取得した上でセキュリティの検証を行う。
セキュリティ検証装置200は、ハードディスクやメモリ等の記憶手段及びイーサーネットや無線LAN等の通信手段を備えた装置全般が該当する。当該装置は、記憶手段によって装置内部にデータ(ソフトウェアを構成するプログラムファイルやソフトウェアが動作に用いるデータファイルなど)を保持し、これらデータのセキュリティを検証することができる。
このような装置として例えば、一般的なOS(Linux(登録商標)、Windows(登録商標)、Mac(登録商標)OS等)を備えた装置を想定した場合、検証対象となるデータの記憶手段としてはハードディスク上のファイルシステムが考えられる。セキュリティ検証装置200が、受け付ける検証要求300において検証対象を識別する検証対象識別情報310には、対象データのファイルパス等、ファイルシステム上で当該データを検索し、一意に特定可能な情報を用いる方法が考えられる。また、後述する参照対象識別情報410、検証対象識別情報610、検証対象識別情報511、及び検証情報識別情報810にも、同様の情報を用いる実装方法が考えられる。
一方、セキュリティ検証装置200の通信手段については、例えばTCP/IPを用いる場合、後述する装置識別情報710には、DNSにより名前解決可能なFQDN、あるいはIPアドレスとする方法が考えられる。
[セキュリティ検証装置の構成]
次に、図2を用いて、図1に示したセキュリティ検証装置200の構成を説明する。図2は、第一の実施の形態に係るセキュリティ検証装置の構成を示すブロック図である。図2に示すように、このセキュリティ検証装置200は、要求受付処理部210と、記憶部220と、検証情報参照要求部230と、検証処理部240と、検証情報管理部250と、検証対象設定部260を有する。以下にこれらの各部の処理を説明する。
要求受付処理部210は、操作端末100や他のセキュリティ検証装置200との間でやり取りする各種情報に関する通信を制御するが、特に本発明に密接に関連するものとしては、要求受信部211、検証情報格納部212、検証結果送信部213および検証情報送信部214を有する。
要求受信部211は、操作端末100から検証要求300を受信し、該検証要求300に含まれる検証対象識別情報310に対応する検証情報600を検証情報管理部250から読み込む。
具体的には、要求受信部211は、検証要求300を受信すると、検証要求300から検証対象識別情報310を1つ抽出して、検証対象識別情報310に対応する検証情報600を検証情報管理部250から読み込んだ上で、記憶部220から検証対象識別情報310に対応する検証対象を読み出して検証情報600に検証を依頼する処理を検証要求300に含まれるすべての検証対象識別情報310に対して繰り返し行う。
また、要求受信部211は、検証要求300に検証対象識別情報310が含まれない場合に、検証対象設定部260から検証対象リストを読み出す。
ここで、図3を用いて、検証要求300について説明する。図3は、検証要求に含まれる情報の一例を示す図である。図3に示すように、検証要求300は、検証対象を一意に識別する検証対象識別情報310を1つ以上含む情報とする。
検証情報格納部212は、他のセキュリティ検証装置200から検証情報600を受信し、該検証情報600を検証情報管理部250に格納する。具体的には、検証情報格納部212は、検証情報参照要求400の送信先の他のセキュリティ検証装置200から検証情報600を受信した場合には、該検証情報600を検証情報管理部250に格納する。検証情報格納部212は、検証情報600の受信処理を、TLS(Transport Layer Security)等を利用して第三者から秘匿する機能を有する。
ここで、図4を用いて、検証情報参照要求400について説明する。図4は、検証情報参照要求に含まれる情報の一例を示す図である。図4に示すように、検証情報参照要求400は、参照対象とする検証情報を指定する参照対象識別情報410を含む情報とする。
検証結果送信部213は、後述する検証処理部240によって検証が行われた検証結果500を検証要求の要求元の操作端末100に送信する。ここで、図5を用いて、検証結果500について説明する。図5は、検証結果に含まれる情報の一例を示す図である。図5に示すように、検証結果500は、検証対象識別情報511と判定値512の組である判定結果510を1つ以上含む情報とする。
検証情報送信部214は、他の検証装置200から検証情報参照要求400を受信し、該検証情報参照要求400に対応する検証情報600を検証情報管理部250から読み込み、読み込んだ検証情報600を該検証情報参照要求400の要求元に送信する。
ここで、図6を用いて、検証情報600について説明する。図6は、検証情報に含まれる情報の一例を示す図である。図6に示すように、検証情報600は、検証対象を一意に識別する検証対象識別情報610と、検証対象のセキュリティの検証に用いる基準を表わす情報である正解情報620によって構成される情報とする。
記憶部220は、検証対象識別情報310に対応する検証対象を記憶する。例えば、記憶部220は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
検証情報参照要求部230は、要求受信部211によって受信された検証要求300に含まれる検証対象識別情報310に対応する検証情報600が検証情報管理部250に記憶されていない場合には、検証情報600の参照先として用いるセキュリティ検証装置200を識別する装置識別情報710に対応する検証装置に対してセキュリティの検証に用いる検証情報600の参照を要求する検証情報参照要求400を送信する。
例えば、検証情報参照要求部230は、検証処理に用いる検証情報600を検証情報管理部250が記憶しておらず読み込めない場合には、検証情報参照要求部230を用いて検証情報参照要求400を生成して参照先装置リスト700によって指定される他のセキュリティ検証装置200に送信することによって、他のセキュリティ検証装置200から検証情報600を取得して検証情報管理部250に記憶させるようにする。
また、検証情報参照要求部230は、検証情報参照要求400の送信先とするセキュリティ検証装置200が真正であることが確認できた場合に検証情報参照要求400を送信するようにしてもよい。セキュリティ検証装置200の真正性を確認は、例えばTLSによるサーバ認証など、一般的な実装技術を用いることで実現できる。
例えば、検証情報参照要求部230は、検証情報参照要求400を送信する際に、送信先の他のセキュリティ検証装置200が真正であることがTLS等を利用して確認できた場合にのみ検証情報参照要求400を当該セキュリティ検証装置200に送信する。
また、検証情報参照要求部230は、検証情報参照要求400の送信先として用いるセキュリティ検証装置200との間で検証情報参照要求400の送信内容及び検証情報の受信内容を第三者から秘匿するようにしてもよい。例えば、検証情報参照要求部230は、秘匿の方法として、送受信する情報自体を暗号技術によって暗号化する方法、あるいは送受信する通信路自体をTLSなどによって暗号化する。例えば、検証情報参照要求部230は、検証情報参照要求400の送信処理を、TLS等を利用して第三者から秘匿する機能を有する。
ここで、図7を用いて、参照先装置リスト700について説明する。図7は、参照先装置リストに含まれる情報の一例を示す図である。図7に示すように、参照先装置リスト700は、セキュリティ検証装置200を一意に識別する装置識別情報710を1つ以上含む情報とする。
検証処理部240は、要求受信部211によって読み込まれた検証情報600を基準として検証対象のセキュリティの検証を行う。具体的には、検証処理部240は、対象データに対して正解情報620による検証処理を行って判定結果510を生成して、検証結果500に追加する。例えば、検証処理部240は、判定結果510として、検証対象識別情報511に検証対象識別情報310を設定し、判定値512に上記の検証処理の結果として、例えば成功を表わす値または失敗を表わす値を設定する。
また、検証処理部240は、検証情報600に含まれる正解情報620を検証対象の完全性を定義する情報とし、検証対象の完全性を、正解情報620を元にして検証するようにしてもよい。例えば、検証処理部240は、正解情報620に対象データの完全性を表わす情報としてハッシュ値(例えば、SHA−2アルゴリズムによるダイジェスト値)を用いる方法が考えられる。この場合、検証処理部240は、検証処理において、対象データのハッシュ値を計測して、正解情報620の値と一致する場合に検証成功とみなし、一致しない場合には検証失敗とみなす。
また、検証処理部240は、検証情報600に含まれる正解情報620を検証対象の真正性を定義する情報とし、検証対象の真正性を、正解情報620を元にして検証するようにしてもよい。例えば、検証処理部240は、正解情報620に対象データの真正性を表わす情報としてデータ作成者の公開鍵(例えば、RSAアルゴリズムの公開鍵)を用いる方法が考えられる。この場合、検証処理部240は、対象データにはあらかじめデジタル署名が付与されていることとし、検証処理において、正解情報620の値を公開鍵として用い、対象データのデジタル署名を検証し、その結果を検証結果として用いる。なお、正解情報620として公開鍵ではなく、公開鍵証明書(例えば、X.509形式)を用いることによって、検証に用いる公開鍵の信頼性をPKIによって高めることも可能となる。
また、検証処理部240は、要求受信部211により検証対象設定部260から検証対象リストが読み出された場合には、該検証対象リストに含まれるすべての検証対象識別情報に対応する検証対象のセキュリティの検証を行って、検証結果を検証要求の要求元に送信する。
検証情報管理部250は、セキュリティの検証を要求する要求者の操作端末100から受信する検証要求300に含まれる検証対象を一意に識別する検証対象識別情報610と、検証対象のセキュリティを検証する際の基準である正解情報620とを対応付ける検証情報600を耐タンパ性を備えた領域に記憶する。
また、検証情報管理部250は、検証情報600に含まれる正解情報620の有効条件が満たされる検証情報600のみを有効な検証情報600として用いるようにしてもよい。例えば、検証情報600に有効条件を含むようにする。そして、検証情報管理部250は、記憶している検証情報600の読み出しが発生した場合に、検証情報600の有効条件を評価し、有効条件が成立する場合にのみ当該検証情報600は存在するものとして扱い読み出しに応じ、有効条件が成立しない場合には当該検証情報600は存在しないものとして扱い読み出しには応じないこととする。また、検証情報管理部250は、有効条件が満たされず利用不可能とみなされた検証情報600については、記憶領域から削除するようにしてもよい。
有効条件の具体例としては、例えば、検証情報を有効とみなす期限(絶対日時)を示す「有効期限」、検証情報を検証情報管理部250の記憶した時点から起算して有効とみなす時間的期間を示す「有効期間」、検証情報を有効とみなす動作環境(OS、機種等)を示す「利用環境条件」を検証情報600に含む。上記のように有効条件を検証情報に含むようにすることによって、複数のセキュリティ検証装置200間において共有される検証情報の利用を多様なポリシに基づいて制御することができるようになる。有効条件が満たされず利用不可能とみなされた検証情報については、検証情報管理部250の記憶領域から削除する。
また、検証情報管理部250は、検証情報無効化リスト800によって指定される検証情報識別情報810と一致する検証情報600を記憶している場合、これを無効な検証情報とみなし、あらゆる処理に用いない機能を有する。ここで、図8を用いて、検証情報無効化リスト800について説明する。図8は、検証情報無効化リストに含まれる情報の一例を示す図である。図8に示すように、検証情報無効化リスト800は、無効化する検証情報を指定する検証情報識別情報810を1つ以上含む情報とする。
例えば、セキュリティ検証装置200の運用者が、運用開始前あるいは運用開始後の任意の時点に、検証情報管理部250に無効な検証情報を指定する検証情報無効化リスト800を記憶させる。検証情報管理部250は、記憶している検証情報600のうち、検証対象識別情報610が、検証情報無効化リスト800に含まれる検証情報識別情報810のいずれかと一致する場合に、検証情報600を無効なものとみなし、あらゆる処理に用いないようにする。
このように、検証対象設定部260内に検証対象リストを記憶しておくことによって、検証対象識別情報310を含まない検証要求300を受信した場合に、検証対象設定部260から検証対象リストを読み出し、検証対象リストに含まれる検証対象識別情報を対象にしたセキュリティの検証を行う。
上述したように、第一の実施の形態に係るセキュリティ検証装置200では、検証情報管理部250が耐タンパ性を備える構成が採用されているので、検証処理に用いる「検証情報」の完全性を確保可能である。また、セキュリティ検証装置200の構成要素のうち記憶部220以外の全部あるいは一部に耐タンパ性を備える構成も考えられ、この場合、「検証情報」の完全性が損なわれるリスクをさらに減じるとともに、完全性検証に用いる情報と当該情報に基づく検証処理の両方を、第三者による改変から強固に保護して安全性を高めることができるという効果を奏する。
また、「検証情報」の完全性確保については、耐タンパ領域に格納する方法の代わりに、「検証情報」に電子署名を付与(電子署名の検証に用いる鍵及び鍵による電子署名の検証処理のみを耐タンパ性で保護)することで完全性を確認可能にする方式で対応する方法も考えられる。この場合には、電子署名と耐タンパ性を組み合わせることで、耐タンパ性を備えるべき領域(耐タンパ性を備えた記憶領域や制御回路)を減じることが可能となり実装コストを抑えることが可能となる。なお、この「検証情報」に電子署名を付与する方法の場合には、「検証情報」に対する破壊リスクは残ることから、耐タンパ性のみで検証情報を保護する方法と比較して、若干のセキュリティ低下が発生する。このため、実装コストの抑制とセキュリティの向上とをトレードオフの関係として考慮した上で、電子署名と耐タンパ性とのを組み合わせについて、例えば、運用者が、耐タンパ性を備えるべき領域をどれくらい用意すべきか等を決定していくことで、実装コストの抑制とセキュリティの向上との両方をバランスよく実現したセキュリティ検証装置200を構築することが可能である。
[セキュリティ検証装置の処理の流れ]
次に、図9を用いて、第一の実施の形態に係るセキュリティ検証装置200の処理の流れを説明する。図9は、第一の実施の形態に係るセキュリティ検証装置による処理を説明するフローチャートである。
図9に示すように、要求受付処理部210は、操作端末100から要求を受信し(ステップS101)、受信した要求が検証要求300であるか検証情報参照要求400であるかを判定する(ステップS102)。
そして、要求受付処理部210は、受信した要求が検証要求300である場合には、検証要求300の検証対象識別情報310のうち未検証のものを1つ取り出し、これと検証対象識別情報610が一致する検証情報600を検証情報管理部250から読み出す(ステップS103)。
そして、要求受付処理部210は、検証情報600を検証情報管理部250から読み出せたか否かを判定する(ステップS104)。この結果、要求受付処理部210は、検証情報600を検証情報管理部250から読み出せた場合には(ステップS104肯定)、検証対象識別情報610に対応する対象データを記憶部220から読み込み、検証情報600とともに検証処理部240に入力する(ステップS105)。
続いて、検証処理部240は、対象データに対して正解情報620による検証処理を行って判定結果510を生成して、検証結果500に追加する(ステップS106)。例えば、検証処理部240は、検証対象識別情報511に検証対象識別情報310を設定し、判定値512に上記の検証処理の結果として、例えば成功を表わす値または失敗を表わす値を設定する。
そして、要求受付処理部210は、検証要求300を確認して未検証の検証対象識別情報310があるか判定し(ステップS107)、検証要求300を確認して未検証の検証対象識別情報310があれば(ステップS107肯定)、ステップS103の処理に戻る。また、要求受付処理部210は、検証要求300を確認して未検証の検証対象識別情報310がなければ(ステップS107否定)、検証結果500を要求元の操作端末100に返信して(ステップS108)、処理を終了する。
また、ステップS104の処理において、要求受付処理部210が検証情報600を検証情報管理部250から読み出せないと判定した場合には(ステップS104否定)、検証情報参照要求部230は、検証対象識別情報310を参照対象識別情報410に設定した検証情報参照要求400を生成する(ステップS109)。そして、検証情報参照要求部230は、参照先装置リスト700が設定されているか否かを判定する(ステップS110)。
そして、検証情報参照要求部230は、参照先装置リスト700が設定されている場合には(ステップS110肯定)、参照先装置リスト700の装置識別情報710に対応するセキュリティ検証装置200に検証情報参照要求400を送信した後に、結果を受信する(ステップS111)。
続いて、検証情報参照要求部230は、検証情報600を参照(受信)できたか否かを判定する(ステップS112)。なお、ステップS111、S112の処理において、参照先装置リスト700に複数の装置識別情報710が含まれている場合には、動作パターンとして、以下の2つの動作パターンが考えられる。一つ目の動作パターンとして、例えば、検証情報参照要求部230が、検証情報600の参照が成功するまで繰り返し複数のセキュリティ検証装置200に対して検証情報参照要求400を送信し、すべて失敗した場合に検証情報600が参照できなかったとみなす。また、二つ目の動作パターンとして、例えば、検証情報参照要求部230が、検証情報参照要求400を複数のセキュリティ検証装置200に対して一括送信し、検証情報600の参照が1つでも成功すればそれを結果として用い、すべて失敗した場合に検証情報600が参照できなかったとみなす。なお、このような動作パターンは、後述するステップS120、S121においても同様である。
この結果、検証情報600を参照できなかった場合には(ステップS112否定)、または、ステップS110において、参照先装置リスト700が設定されていないと判定された場合には(ステップS110否定)、検証処理部240は、検証対象識別情報511に検証対象識別情報310を設定し、判定値512に判定不可を表わす情報を設定した判定結果510を生成して検証結果500に追加し(ステップS113)、ステップS107の処理に進む。
一方、検証情報600を参照できた場合には(ステップS112肯定)、要求受付処理部210は、ステップS111で受信した検証情報600を検証情報管理部250に登録して(ステップS114)、ステップS105の処理に進む。
また、ステップS102において、要求受付処理部210は、受信した要求が検証情報参照要求400である場合には、検証情報参照要求400に含まれる参照対象識別情報410と検証対象識別情報610が一致する検証情報600を検証情報管理部250から読み出す(ステップS115)。
そして、要求受付処理部210は、検証情報600を検証情報管理部250から読み出せたか判定する(ステップS116)。この結果、要求受付処理部210は、検証情報600を検証情報管理部250から読み出せた場合には(ステップS116肯定)、検証情報600を要求元に返信して(ステップS117)、処理を終了する。
また、要求受付処理部210が、検証情報600を検証情報管理部250から読み出せなかったと判定した場合には(ステップS116否定)、検証情報参照要求部230は、参照先装置リスト700が設定されているか否かを判定する(ステップS118)。この結果、検証情報参照要求部230は、参照先装置リスト700が設定されていると判定した場合には(ステップS118肯定)、参照先装置リスト700の装置識別情報710に対応するセキュリティ検証装置200に検証情報参照要求400を送信した後に、結果を受信する(ステップS120)。
続いて、検証情報参照要求部230は、検証情報600を参照(受信)できたか否かを判定する(ステップS121)。この結果、検証情報600を参照できなかった場合には(ステップS121否定)、または、ステップS118において、参照先装置リスト700が設定されていないと判定された場合には(ステップS118否定)、要求受付処理部210は、検証情報600が存在しないことを要求元に返信して(ステップS119)、処理を終了する。
また、ステップS121において、検証情報600を参照できた場合には(ステップS121肯定)、要求受付処理部210は、受信した検証情報600を検証情報管理部250に登録し、検証情報600を要求元に返信して(ステップS122)、処理を終了する。
[第一の実施の形態の効果]
このように、第一の実施の形態に係るセキュリティ検証装置200は、検証情報を耐タンパ性を備えた領域に記憶する。また、セキュリティ検証装置200は、受信した検証要求300に含まれる検証対象識別情報310に対応する検証情報600が検証情報管理部250に記憶されていない場合には、検証情報600の参照先として用いるセキュリティ検証装置200を識別する装置識別情報710に対応するセキュリティ検証装置200に対してセキュリティの検証に用いる検証情報600の参照を要求する検証情報参照要求400を送信する。また、セキュリティ検証装置200は、検証情報600を基準として検証対象のセキュリティの検証を行い、検証結果500を検証要求の要求元の操作端末100に送信する。このため、セキュリティ検証装置200は、検証情報600を装置間で安全に共有することが可能であり、検証対象となる装置及び検証対象データが増加しても効率的に検証を行うことが可能である。
つまり、セキュリティ検証装置200では、検証に用いる検証情報600を通常の記憶手段により装置内に格納するのではなく、装置内のセキュア領域に格納することによって検証情報600を保護し、検証処理を安全に実行可能なセキュリティ検証装置200を実現することができる。例えば、セキュリティ検証装置200では、装置の一部に耐タンパ性を備えた領域を備え、かつ装置間に安全な通信路を確立して、完全性検証に用いる検証情報600を第三者による改変から強固に保護しつつ装置間で安全に共有可能にする。
また、セキュリティ検証装置200では、検証情報600に含まれる正解情報620を検証対象の完全性を定義する情報とし、検証対象の完全性を、正解情報620を元にして検証するので、例えば、装置を構成するデータを検証対象として、その完全性を検証可能となるため、各装置及び複数の装置によって構成されるシステム全体の改ざん検知を効率的に行うことが可能である。
また、セキュリティ検証装置200では、検証情報600に含まれる正解情報620を検証対象の真正性を定義する情報とし、検証対象の真正性を、正解情報620を元にして検証するので、例えば、装置を構成するデータを検証対象として、その真正性を検証可能となるため、各装置及び複数の装置によって構成されるシステム全体に対して詐称されたデータが混入されている場合にそれを効率的に検知することが可能である。
また、セキュリティ検証装置200では、検証情報600に含まれる正解情報620の有効条件が満たされる検証情報600のみを有効な検証情報600として用いるので、検証情報600の有効性を有効期間などの任意のポリシに基づいて制御可能となるため、多数の装置間で広く共有された後も検証情報の更新などの制御を効率的に行うことが可能である。
また、セキュリティ検証装置200では、セキュリティの検証対象を表わす検証対象識別情報を1つ以上含む検証対象リストを記憶し、検証要求300に検証対象識別情報310が含まれない場合に、検証対象設定部260から検証対象リストを読み出し、検証対象リストに含まれるすべての検証対象識別情報に対応する検証対象のセキュリティの検証を行って、検証結果を検証要求の要求元に送信する。このため、セキュリティ検証装置200によれば、あらかじめ検証対象を装置に設定しておくことが可能であるため、検証要求の省力化及び検証要求時の検証対象指定誤りの防止することが可能である。
また、セキュリティ検証装置200では、検証情報参照要求400の送信先とするセキュリティ検証装置200が真正であることが確認できた場合に検証情報参照要求400を送信する真正であることが確認された装置間でのみ検証情報600を共有することが可能となるため、信頼できる装置間でのみ検証情報600を共有するシステムを構築することが可能である。
また、セキュリティ検証装置200では、検証情報参照要求400の送信先として用いるセキュリティ検証装置200との間で検証情報参照要求400の送信内容及び検証情報600の受信内容を第三者から秘匿するので、検証情報600の共有を第三者から秘匿することが可能となるため、検証情報600の内容の秘匿、及び検証を試みようとしている検証対象を第三者から推測されることも防止することが可能である。
また、セキュリティ検証装置200では、1つ以上の検証情報識別情報810を指定可能な検証情報無効化リスト800をあらかじめ記憶しておき、検証情報無効化リスト800に含まれる検証情報識別情報810と一致する検証情報600をあらゆる処理に用いないので、装置の運用ポリシ等によって特定の検証情報600を用いることができない場合などに、自装置においてのみ任意の検証情報600を無効化することが可能である。
また、セキュリティ検証装置200では、検証情報600に含まれる有効条件によって無効と判定された検証情報600を自動的に削除するので、有効条件が満たされなくなった検証情報600を自動的に削除することができるため、装置間で共有される検証情報600が無限に増加することを防ぎ、効率的な運用が可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図10は、データのセキュリティを検証する検証プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、セキュリティ検証装置200の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
100 操作端末
200 セキュリティ検証装置
210 要求受付処理部
220 記憶部
230 検証情報参照要求部
240 検証処理部
250 検証情報管理部
260 検証対象設定部
300 検証要求
310 検証対象識別情報
400 検証情報参照要求
410 参照対象識別情報
500 検証結果
510 判定結果
511 検証対象識別情報
512 判定値
600 検証情報
610 検証情報識別情報
620 正解情報
700 参照先装置リスト
710 装置識別情報
800 検証情報無効化リスト
810 検証情報識別情報

Claims (9)

  1. セキュリティの検証を要求する要求者の端末から受信する検証要求に含まれる検証対象を一意に識別する検証対象識別情報と、検証対象のセキュリティを検証する際の基準である正解情報とを対応付ける検証情報を耐タンパ性を備えた領域に記憶する検証情報管理部と、
    前記検証対象識別情報に対応する検証対象を記憶する記憶部と、
    前記端末から検証要求を受信し、該検証要求に含まれる前記検証対象識別情報に対応する検証情報を前記検証情報管理部から読み込む要求受信部と、
    他の検証装置から前記検証情報を受信し、該検証情報を前記検証情報管理部に格納する検証情報格納部と、
    前記要求受信部によって受信された検証要求に含まれる前記検証対象識別情報に対応する検証情報が検証情報管理部に記憶されていない場合には、前記検証情報の要求先である検証装置を識別する装置識別情報に対応する検証装置に対してセキュリティの検証に用いる検証情報を要求する検証情報参照要求を送信する検証情報参照要求部と、
    前記要求受信部によって読み込まれた検証情報、もしくは、前記検証情報参照要求部が検証情報参照要求を送信した検証装置から送信された検証情報を基準として前記検証対象のセキュリティの検証を行う検証処理部と、
    前記検証処理部によって検証が行われた検証結果を前記検証要求の要求元の端末に送信する検証結果送信部と、
    前記他の検証装置から検証情報参照要求を受信し、該検証情報参照要求に対応する検証情報を前記検証情報管理部から読み込み、読み込んだ検証情報を該検証情報参照要求の要求元に送信する検証情報送信部と、
    を有することを特徴とする検証装置。
  2. 前記検証処理部は、検証対象の完全性を、前記検証情報に含まれる検証対象の完全性を表わす情報である正解情報を元にして検証することを特徴とする請求項1に記載の検証装置。
  3. 前記検証処理部は、検証対象の真正性を、前記検証情報に含まれる検証対象の真正性を表わす情報である正解情報を元にして検証することを特徴とする請求項1に記載の検証装置。
  4. 前記検証情報管理部は、前記領域に記憶されている検証情報の読み出しが発生した場合に、当該検証情報に含まれる正解情報の有効条件が満たされる場合にのみ、当該検証情報を有効な検証情報として読み出しに応じることを特徴とする請求項1に記載の検証装置。
  5. セキュリティの検証対象を表わす検証対象識別情報を1つ以上含む検証対象リストを記憶する検証対象設定部をさらに有し、
    前記要求受信部は、前記検証要求に検証対象識別情報が含まれない場合に、前記検証対象設定部から検証対象リストを読み出し、
    前記検証処理部は、前記検証対象リストに含まれるすべての検証対象識別情報に対応する検証対象のセキュリティの検証を行って、検証結果を検証要求の要求元に送信することを特徴とする請求項1に記載の検証装置。
  6. 前記検証情報参照要求部は、前記検証情報参照要求の送信先とする検証装置が所定の認証処理により真正であることが確認できた場合に検証情報参照要求を送信することを特徴とする請求項1に記載の検証装置。
  7. 前記検証情報参照要求部は、前記検証情報参照要求の送信先として用いる検証装置との間で検証情報参照要求の送信内容及び検証情報の受信内容を第三者から秘匿することを特徴とする請求項1に記載の検証装置。
  8. 前記検証情報管理部は、1つ以上の検証情報識別情報を指定可能な検証情報無効化リストをあらかじめ記憶しておき、前記検証情報無効化リストに含まれる検証情報識別情報と一致する前記検証対象識別情報に対応する検証情報を無効なものとすることを特徴とする請求項1に記載の検証装置。
  9. 前記検証情報管理部は、前記検証情報に含まれる有効条件によって無効と判定された検証情報を自動的に削除することを特徴とする請求項4に記載の検証装置。
JP2017126665A 2017-06-28 2017-06-28 検証装置 Active JP6813442B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017126665A JP6813442B2 (ja) 2017-06-28 2017-06-28 検証装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017126665A JP6813442B2 (ja) 2017-06-28 2017-06-28 検証装置

Publications (2)

Publication Number Publication Date
JP2019008738A JP2019008738A (ja) 2019-01-17
JP6813442B2 true JP6813442B2 (ja) 2021-01-13

Family

ID=65026059

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017126665A Active JP6813442B2 (ja) 2017-06-28 2017-06-28 検証装置

Country Status (1)

Country Link
JP (1) JP6813442B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2019457782B2 (en) 2019-07-23 2023-08-10 Nippon Telegraph And Telephone Corporation Verifying information creating system, verifying information creating method, and verifying information creating program
JP7222428B2 (ja) * 2019-07-23 2023-02-15 日本電信電話株式会社 検証情報作成システム、検証情報作成方法、および、検証情報作成プログラム
EP4064096A4 (en) 2019-12-17 2023-08-02 Nippon Telegraph And Telephone Corporation VERIFICATION INFORMATION CORRECTION DEVICE, VERIFICATION INFORMATION CORRECTION METHOD AND VERIFICATION INFORMATION CORRECTION PROGRAM

Also Published As

Publication number Publication date
JP2019008738A (ja) 2019-01-17

Similar Documents

Publication Publication Date Title
US10452853B2 (en) Disarming malware in digitally signed content
EP3646173B1 (en) Theft and tamper resistant data protection
US11128477B2 (en) Electronic certification system
US7051204B2 (en) Methods and system for providing a public key fingerprint list in a PK system
US7673334B2 (en) Communication system and security assurance device
CA2814497C (en) Software signing certificate reputation model
US8196186B2 (en) Security architecture for peer-to-peer storage system
US9027086B2 (en) Securing organizational computing assets over a network using virtual domains
JP2009518762A (ja) インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法
CN111108735A (zh) 资产更新服务
TW201706898A (zh) 安全軟體認證及驗證
JP6813442B2 (ja) 検証装置
CN114257376B (zh) 数字证书更新方法、装置、计算机设备和存储介质
JP2022534677A (ja) ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護
US10158623B2 (en) Data theft deterrence
US20080229106A1 (en) Information processing apparatus and data transmission method of information processing apparatus
US20070283161A1 (en) System and method for generating verifiable device user passwords
US10326599B2 (en) Recovery agents and recovery plans over networks
US7330982B1 (en) Secured automated process for signed, encrypted or validated content generation
CN114978544A (zh) 一种访问认证方法、装置、系统、电子设备及介质
JP2016531477A (ja) 証明書の選択的な取り消し
JP4330973B2 (ja) 状態証明書を利用したセキュリティレベル管理システム
KR101987579B1 (ko) 웹 메일과 otp 및 디피 헬만 키교환을 이용한 보안메일의 송수신 방법 및 시스템
KR20180113292A (ko) 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법
CN117527439A (zh) 基于预埋证书的数字证书校验方法、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190522

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200714

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201217

R150 Certificate of patent or registration of utility model

Ref document number: 6813442

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150