WO2023112170A1

WO2023112170A1 - ログ出力装置、ログ出力方法およびログ出力プログラム

Info

Publication number: WO2023112170A1
Application number: PCT/JP2021/046125
Authority: WO
Inventors: 友貴山中; 浩義瀧口; 正紀篠原; 智大永井; 泰典和田
Original assignee: 日本電信電話株式会社
Priority date: 2021-12-14
Filing date: 2021-12-14
Publication date: 2023-06-22

Abstract

ログ出力装置（１０）は、ログメッセージを生成する生成部（１３ａ）と、ログメッセージに関する所定のイベントのフックを実行し、当該フックのたびにログメッセージからハッシュ値を算出する算出部（１３ｂ）と、算出されたハッシュ値に対して、暗号化したデジタル署名を付与する付与部（１３ｃ）と、ログメッセージとデジタル署名が付与されたハッシュ値とを出力する出力部（１３ｄ）と、ログメッセージとデジタル署名が付与されたハッシュ値とを用いてログメッセージの完全性を検証する検証部（１３ｅ）と、を備える。

Description

ログ出力装置、ログ出力方法およびログ出力プログラム

　本発明は、ログ出力装置、ログ出力方法およびログ出力プログラムに関する。

　サーバ機器等で出力されるログファイルは、当該機器内で起こった出来事について時系列順で記録したものであり、ＯＳ（Operating　System）やアプリケーションの障害・不具合・警告等の情報を含むファイルである。サイバー攻撃が発生すると、その痕跡がログファイルに記録されていることが多く、当該ログファイルを攻撃者に改ざんされることなく保全することは、セキュリティ上の重要な課題となる。

　ここで、特に重要な概念が、ログ保全の文脈におけるフォワードセキュリティ（Forward　Security）である。フォワードセキュリティとは、ある時点で機器が感染したとしても、その時点より前に出力されたログファイルの完全性には影響がないことを担保する、という考え方である。このフォワードセキュリティを実現するための仕組みとして、ログ出力のたびに、そのログに対するデジタル署名付きダイジェストをＴＥＥ（Trusted　Execution　Environment）内で逐次生成し、ログファイルとともに保管することで、後に完全性検証を行う技術がある（例えば、非特許文献１参照）。

Riccardo　Paccagnella,　Pubali　Datta,　Wajih　Ul　Hassan,　Adam　Bates,　Christopher　W.　Fletcher,　Andrew　Miller,　Dave　Tian,　"　Custos:　Practical　Tamper-Evident　Auditing　of　Operating　Systems　Using　Trusted　Execution　",　Network　and　Distributed　Systems　Security　(NDSS)　Symposium　2020

　しかしながら、上述した従来技術では、セキュリティレベルを維持した効果的なログファイルの出力をすることができない。なぜならば、上記の先行技術は、auditd等のログを出力する監査アプリケーションに直接組み込む形での実装が想定されており、拡張性に乏しいからである。

　本発明は、上記に鑑みてなされたものであって、セキュリティレベルを維持した効果的なログファイルの出力を可能にするログ出力装置、ログ出力方法およびログ出力プログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係るログ出力装置は、ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出部と、前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与部と、前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力部と、を備えることを特徴とする。

　また、本発明に係るログ出力方法は、ログ出力装置によって実行されるログ出力方法であって、ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出工程と、前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与工程と、前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力工程と、を含むことを特徴とする。

　また、本発明に係るログ出力プログラムは、ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出手順と、前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与手順と、前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力手順と、をコンピュータに実行させることを特徴とする。

　本発明では、セキュリティレベルを維持した効果的なログファイルの出力を可能にする。

図１は、第１の実施形態に係るログ出力システムの構成例を示す図である。図２は、従来のログ出力システムの概要を示す図である。図３は、第１の実施形態に係るログ出力装置の構成例を示すブロック図である。図４は、第１の実施形態に係るログ出力処理の具体例１を示す図である。図５は、第１の実施形態に係るログ出力処理の具体例２を示す図である。図６は、第１の実施形態に係るログ出力処理の具体例２を示す図である。図７は、第１の実施形態に係るログ出力処理の流れの一例を示すフローチャートである。図８は、プログラムを実行するコンピュータを示す図である。

　以下に、本発明に係るログ出力装置、ログ出力方法およびログ出力プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

〔第１の実施形態〕
　以下に、第１の実施形態に係るログ出力システム１００の構成、従来のログ出力システム１００－Ｐの概要、ログ出力装置１０の構成、ログ出力処理の具体例、ログ出力処理の流れを順に説明し、最後に本実施形態の効果を説明する。

［１．ログ出力システム１００の構成］
　図１を用いて、第１の実施形態に係るログ出力システム１００の構成を詳細に説明する。図１は、第１の実施形態に係るログ出力システムの構成例を示す図である。以下に、ログ出力システム１００全体の構成例を示した上で、ログメッセージ生成処理、イベントフック処理、ダイジェスト生成処理、デジタル署名付与処理、ログファイル格納処理、ログファイル検証処理の順に説明する。

（１－１．ログ出力システム１００全体の構成例）
　図１で示すように、ログ出力システム１００は、ログ出力装置１０を有する。また、ログ出力システム１００には、ログ出力システム１００に関与するデータとして、ログファイル２０、ダイジェスト３０、デジタル署名４０、デジタル署名付きダイジェスト５０および秘密鍵６０が含まれる。また、ログ出力システム１００には、ログ出力装置１０内に、ログ出力アプリケーション、ＴＥＥおよび記憶部１２が含まれる。以下では、ログ出力システム１００の各構成について説明する。

（ログ出力装置１０）
　ログ出力装置１０は、サーバ装置やクラウドシステム等により実現される情報処理装置であるが、本実施形態に係るログ出力処理を実行できる装置であれば、特に限定されない。例えば、ログ出力装置１０は、一般的なネットワーク等の利用者が所有するＰＣ（Personal　Computer）、スマートフォン、タブレット端末等であってもよい。なお、図１に示したログ出力システム１００には、複数台のログ出力装置１０が含まれてもよい。

（ログファイル２０）
　ログファイル２０は、ログメッセージ２０ａ・・・のＭ個のログメッセージ（ログファイル２０に書き込まれるエントリ）が含まれるデータファイルである。

（ダイジェスト３０）
　ダイジェスト３０は、ログメッセージ２０ａ等を含むログファイル２０から生成されたハッシュ値である。

（デジタル署名４０）
　デジタル署名４０は、秘密鍵６０によって暗号化されたデータである。なお、適宜、単に「署名」とも表記する。

（デジタル署名付きダイジェスト５０）
　デジタル署名付きダイジェスト５０は、デジタル署名４０が付与されたダイジェスト３０である。

（秘密鍵６０）
　秘密鍵６０は、デジタル署名４０を暗号化する際に使用されるデータである。

（ログ出力アプリケーション）
　ログ出力アプリケーションは、例えば、auditd等のログを出力する監査アプリケーションであるが、ログを出力するアプリケーションであれば、特に限定されない。

（ＴＥＥ）
　ＴＥＥは、通常の実行環境（ノーマルワールド）とは分離された安全な実行環境（セキュアワールド）であるが、ハッシュ化を安全に実行したり、秘密鍵６０を安全に保持したりすることができるセキュアな環境であれば、特に限定されない。例えば、ログ出力システム１００には、ＴＰＭ（Trusted　Platform　Module）等を用いたセキュアな環境を採用することもできる。

（記憶部１２）
　記憶部１２は、ログファイル２０やデジタル署名付きダイジェスト５０が格納される記憶媒体（ストレージ）である。図１の例では、記憶部１２は、ログ出力装置１０の内部に設置されているが、ログ出力装置１０の外部に設置されてもよい。なお、記憶部１２の詳細については、［３．ログ出力装置１０の構成］にて後述する。

（１－２．ログメッセージ生成処理）
　まず、ログ出力装置１０は、ログ出力アプリケーションを用いてログメッセージ２０ａ等を含むログファイル２０を生成する（図１（１）参照）。ここで、ログファイル２０は、ログ出力装置１０内で起こった出来事についての情報（ＯＳやアプリケーションの障害・不具合・警告等）を時系列順で記録されたものである。

（１－３．イベントフック処理）
　次に、ログ出力装置１０は、ファイルイベントをフック（hook）する（図１（２）参照）。例えば、ログ出力装置１０は、ファイルオープンイベントやファイルの追記等のファイル改変イベントをフックする。このとき、ログ出力装置１０は、ＦＵＳＥ（Filesystem　in　Userspace）等の仮想ファイルシステムを記述することのできるＯＳ用のインターフェイス（適宜、「仮想ファイルシステム記述インターフェイス」）や、fanotify等のファイルシステムのイベントを監視するシステムコール（適宜、「イベント監視システムコール」）を利用して、上記のファイルイベントをフックする。なお、ＦＵＳＥやfanotify等によるイベントフック処理の詳細については、［４．ログ出力処理の具体例］にて後述する。

（１－４．ダイジェスト生成処理）
　続いて、ログ出力装置１０は、ＴＥＥ内において、メッセージ２０ａ等を含むメッセージファイル２０をもとにダイジェスト３０を生成する（図１（３）参照）。例えば、ログ出力装置１０は、ログメッセージを用いて逐次ハッシュ値をアップデート（update）する。図１の例では、ログ出力装置１０は、時系列順で記録されたログメッセージがＭ個含まれるので、Ｍ回のアップデート（ハッシュ化）を実行する。そして、ログ出力装置１０は、ログのブロックの識別情報であるブロックＩＤを用いてアップデートを実行し、ダイジェスト３０を生成する。このとき、ログ出力装置１０は、ブロックＩＤを１つ進める処理を行う。図１の例では、ログ出力装置１０は、任意の数字であるブロックＩＤ「ｅ」を用いてダイジェスト３０を生成し、ブロックＩＤを「ｅ＋１」にカウントアップする処理を行う。

（１－５．デジタル署名付与処理）
　一方、ログ出力装置１０は、ＴＥＥ内において、秘密鍵６０を用いてデジタル署名４０を生成し、デジタル署名４０をダイジェスト３０に付与する（図１（４）参照）。例えば、ログ出力装置１０は、ＴＥＥ内に保持された秘密鍵６０を用いてダイジェスト３０を暗号化することによってデジタル署名４０を生成し、その後、デジタル署名４０をダイジェスト３０に付与することによってデジタル署名付きダイジェスト５０を生成する。

（１－６．ログファイル格納処理）
　そして、ログ出力装置１０は、ログファイル２０にデジタル署名付きダイジェスト５０を付与して、記憶部１２に格納する（図１（５）参照）。このとき、ログ出力装置１０は、ログファイル２０とデジタル署名付きダイジェスト５０とを、図示しないデータベースに格納してもよい。

（１－７．ログファイル検証処理）
　また、ログ出力装置１０は、ログファイル２０やログメッセージ２０ａ等の完全性を検証することもできる。このとき、ログ出力装置１０は、まず、デジタル署名４０に用いた秘密鍵６０に対応する公開鍵（不図示）を用いてハッシュ値の検証を行い、その後、さらにログファイル２０からハッシュ値を生成し、最後に、検証済みハッシュ値と一致するか否かを検証することで、ログファイル２０の完全性を検証する。

　上述してきたように、ログ出力システム１００では、上記の図１（１）～（５）の処理を実行することで、ＴＥＥ内の秘密鍵６０を不正に入手されなければ、ログファイル２０を改ざんされず、または改ざんされても即時に気付くことのできる仕組みを可能とする。また、ログ出力システム１００では、上記の図１（３）のダイジェスト生成処理において、ＴＥＥ等の環境内でのみ有効なカウンタの値（ブロックＩＤ「ｅ」）を用いることによって、仮に秘密鍵６０が漏洩したとしても過去のハッシュ値を再現できない仕組みを可能とする。

［２．従来のログ出力システム１００－Ｐの概要］
　ここで、従来のログ出力システム１００－Ｐと第１の実施形態に係るログ出力システム１００との差異について説明する。以下では、従来のログ出力システム１００－Ｐについて説明した上で、本実施形態に係るログ出力システム１００について説明する。

（２－１．従来のログ出力システム１００－Ｐ）
　図２を用いて、従来のログ出力システム１００－Ｐについて説明する。図２は、従来のログ出力システムの概要を示す図である。なお、上述したログ出力システム１００と同様の構成や処理については、説明を省略する。

　図２で示すように、従来のログ出力システム１００－Ｐは、ログ出力装置１０－Ｐを有する。従来のログ出力システム１００－Ｐでは、上述したログ出力システム１００と異なり、ダイジェスト３０の生成処理は、ログ出力アプリケーションに直接組み込まれたＴＥＥやＴＰＭ等のセキュアな環境で実行される。

　ログ出力装置１０－Ｐは、auditd等のログ出力アプリケーション内でログメッセージ２０ａ等を含むログファイル２０を生成し（図２（１）参照）、その内容をＴＥＥ等のセキュアエレメント上で実行されるセキュアな環境に転送し、同環境内でログファイル２０に対応したハッシュ値であるダイジェスト３０を生成する（図２（２）参照）。その後、ログ出力装置１０－Ｐは、ダイジェスト３０に対し、ＴＥＥ等に安全に保管されている秘密鍵６０でデジタル署名４０を施し、ログ出力アプリケーションに返却する（図２（３）参照）。ログ出力装置１０－Ｐは、デジタル署名付きダイジェスト５０をログファイル２０とともにストレージである記憶部１２－Ｐに出力し、格納する（図２（４）参照）。

　ここで、従来のログ出力システム１００－Ｐでは、ハッシュ値生成前に改ざんが行われた場合に完全性の検証が正常に実行できないことを回避するために、ログ生成処理（図２（１）参照）とダイジェスト生成処理（図２（２）参照）が不可分（atomic）となる構成としている。すなわち、ログ出力装置１０－Ｐは、auditd等のログ出力アプリケーションに直接組み込まれたＴＥＥやＴＰＭ等のセキュアな環境で、ダイジェスト３０の生成処理等を実行する。このため、従来のログ出力システム１００－Ｐでは、任意のログ出力アプリケーションを用いることができないので、汎用性が低いという問題点がある。

（２－２．ログ出力システム１００）
　これに対して、上述したように、第１の実施形態に係る図１に示したログ出力システム１００は、ＦＵＳＥやfanotify等を用いてログファイル２０への書き込みイベントや読み込みイベント等のフックを実行し、当該フックのたびにダイジェスト３０を生成する。このため、ログ出力システム１００は、ストレージ上にログを出力する任意のアプリケーションに対して、デジタル署名付きダイジェスト５０を生成できるようになり、攻撃者によるログ改ざんを防止することができる。

　また、図１に示したログ出力システム１００の処理のように、ＦＵＳＥやfanotify等を用いて出力イベントや追記イベントをフックしてハッシュ値生成を行ったとしても、従来のログ出力システム１００－Ｐと同等のセキュリティレベルを担保できる。なぜならば、上記のフックを妨げるためには、ＦＵＳＥやfanotify等のルート（root）権限で動作するアプリケーションの動作を阻害する必要があるが、これはauditd等のログを出力するためのアプリケーションを直接乗っ取るコストと変わらないためである。

［３．ログ出力装置１０の構成］
　図３を用いて、第１の実施形態に係るログ出力装置１０の構成を詳細に説明する。図３は、第１の実施形態に係るログ出力装置の構成例を示すブロック図である。ログ出力装置１０は、通信部１１、記憶部１２および制御部１３を有する。なお、ログ出力装置１０は、ログ出力装置１０の管理者から各種操作を受け付ける入力部（例えば、キーボードやマウス等）や、各種情報を表示するための表示部（例えば、液晶ディスプレイ等）を有してもよい。

（３－１．通信部１１）
　通信部１１は、他の装置との間でのデータ通信を司る。例えば、通信部１１は、各通信装置との間でデータ通信を行う。また、通信部１１は、図示しないオペレータの端末との間でデータ通信を行うことができる。

（３－２．記憶部１２）
　記憶部１２は、制御部１３が動作する際に参照する各種情報や、制御部１３が動作した際に取得した各種情報を記憶する。記憶部１２は、ログ記憶部１２ａ、ダイジェスト記憶部１２ｂおよびログ・ダイジェスト記憶部１２ｃを有する。ここで、記憶部１２は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置等である。なお、図３の例では、記憶部１２は、ログ出力装置１０の内部に設置されているが、ログ出力装置１０の外部に設置されてもよいし、複数の記憶部が設置されていてもよい。

（ログ記憶部１２ａ）
　ログ記憶部１２ａは、ログファイル２０を記憶する。例えば、ログ記憶部１１ａは、制御部１３の生成部１３ａによって生成されたログメッセージ２０ａ等を含むログファイル２０を記憶する。

（ダイジェスト記憶部１２ｂ）
　ダイジェスト記憶部１２ｂは、ダイジェスト３０を記憶する。例えば、ダイジェスト記憶部１２ｂは、制御部１３の算出部１３ｂによって算出されたハッシュ値であるダイジェスト３０を記憶する。

（ログ・ダイジェスト記憶部１２ｃ）
　ログ・ダイジェスト記憶部１２ｃは、ログファイル２０およびデジタル署名付きダイジェスト５０を記憶する。例えば、ログ・ダイジェスト記憶部１２ｃは、制御部１３の出力１３ｄによって出力されたログファイル２０およびデジタル署名付きダイジェスト５０を記憶する。

（３－３．制御部１３）
　制御部１３は、当該ログ出力装置１０全体の制御を司る。制御部１３は、生成部１３ａ、算出部１３ｂ、付与部１３ｃ、出力部１３ｄおよび検証部１３ｅを有する。ここで、制御部１５は、例えば、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路である。

（生成部１３ａ）
　生成部１３ａは、ログメッセージ２０ａを生成する。また、生成部１３ａは、ログメッセージ２０ａ等を含むログファイル２０を生成する。例えば、生成部１３ａは、ログ出力アプリケーションを用いて、ＯＳやアプリケーションの障害、不具合、警告等の情報が時系列順で記録されたログファイル２０を生成する。一方、生成部１３ａは、生成したログメッセージ２０ａ等を含むログファイル２０をログ記憶部１２ａに格納する。

（算出部１３ｂ）
　算出部１３ｂは、ログメッセージ２０ａに関する所定のイベントのフックを実行し、当該フックのたびにログメッセージ２０ａからハッシュ値を算出し、ダイジェスト３０を生成する。例えば、算出部１３ｂは、所定のセキュアエレメントにおいて、ログメッセージが新たに生成された場合にはハッシュ値を更新することによってハッシュ値を算出し、ダイジェスト３０を生成する。具体的な例を挙げると、算出部１３ｂは、ＴＥＥやＴＰＭ等のセキュアな環境において、ログファイル２０にエントリが書き込まれた場合には、都度ハッシュ値を更新することによってハッシュ値を算出し、所定のログブロックごとにダイジェスト３０を生成する。

　算出部１３ｂは、仮想ファイルシステムを記述するＯＳ用インターフェイスに基づいて、ログメッセージ２０ａに関するファイルオープンイベントまたはファイル追記イベントのフックを実行し、当該フックのたびにハッシュ値を算出し、ダイジェスト３０を生成する。例えば、算出部１３ｂは、ＦＵＳＥ等の仮想ファイルシステム記述インターフェイスが記述したファイルシステムを用いて、ログメッセージ２０ａに関するファイルオープンイベントまたはファイル追記イベントのフックを実行し、当該フックのたびにハッシュ値を算出し、ダイジェスト３０を生成する。

　算出部１３ｂは、ファイルシステムのイベントを監視するシステムコールを用いて、ログメッセージ２０ａに関するファイルオープンイベントのフックを実行し、当該フックのたびにハッシュ値を算出し、ダイジェスト３０を生成する。例えば、算出部１３ｂは、fanotify等のイベント監視システムコールを用いて、ログメッセージ２０ａに関するファイルオープンイベントのフックを実行し、当該フックのたびにハッシュ値を算出し、ダイジェスト３０を生成する。

　一方、算出部１３ｂは、生成したダイジェスト３０をダイジェスト記憶部１２ｂに格納する。

（付与部１３ｃ）
　付与部１３ｃは、生成されたダイジェスト３０に対して、暗号化したデジタル署名４０を付与する。例えば、付与部１３ｃは、所定のセキュアエレメントに保持される秘密鍵６０を用いてダイジェスト３０を暗号化したデジタル署名４０を付与する。すなわち、付与部１３ｃは、算出部１３ｂによって生成されたダイジェスト３０を取得し、秘密鍵６０を用いてダイジェスト３０を暗号化することによってデジタル署名４０を生成し、ダイジェスト３０に対してデジタル署名４０を付与することによってデジタル署名付きダイジェスト５０を生成する。

（出力部１３ｄ）
　出力部１３ｄは、ログメッセージ２０ａ等を含むログファイル２０とデジタル署名付きダイジェスト５０とを出力する。例えば、出力部１３ｄは、生成部１３ａによって生成されたログメッセージ２０ａ等を含むログファイル２０と、付与部１３ｃによって生成されたデジタル署名付きダイジェスト５０とを取得し、両者をともにログ・ダイジェスト記憶部１２ｃに格納する。なお、出力部１３ｄは、ログファイル２０とデジタル署名付きダイジェスト５０とを、ログ出力装置１０外部のデータベース等に格納することもできる。

（検証部１３ｅ）
　検証部１３ｅは、ログメッセージ２０ａ等を含むログファイル２０とデジタル署名付きダイジェスト５０とを用いて、ログファイル２０の完全性を検証する。例えば、検証部１３ｅは、秘密鍵６０に対応する公開鍵を用いてデジタル署名４０およびダイジェスト３０の検証を実行し、ログファイル２０からハッシュ値を算出し、当該ハッシュ値が検証済みハッシュ値（ダイジェスト３０）と一致するか否かを検証する。また、検証部１３ｅは、ログファイル２０に関するファイルクローズイベントを検知した場合には、ログファイル２０の完全性を検証する。

［４．ログ出力処理の具体例］
　図４～図６を用いて、第１の実施形態に係るログ出力処理の具体例を説明する。以下では、具体例１として、仮想ファイルシステム記述インターフェイスの処理を説明し、具体例２として、イベント監視システムコールの処理を説明する。

（４－１．具体例１）
　図４を用いて、具体例１として、ＦＵＳＥ等の仮想ファイルシステム記述インターフェイスに基づくログ出力装置１０の処理について説明する。図４は、第１の実施形態に係るログ出力処理の具体例１を示す図である。以下では、セキュアな環境としてＴＥＥ、仮想ファイルシステム記述インターフェイスとしてＦＵＳＥを採用した具体例について説明するが、本実施形態に係るログ出力処理を実行できる環境およびインターフェイスであれば、特に限定されない。

（プログラム等の構成）
　まず、具体例１に関与するプログラム等の構成について説明する。図４に示すように、ログ出力装置１０内の領域がノーマルワールドとセキュアワールドとに分離され、それぞれユーザ空間で動作するプログラム等とカーネル空間で動作するプログラム等とが示される。また、上記のユーザ空間のプログラム等は非特権モードで動作し、上記のカーネル空間のプログラム等は特権モード（privileged　mode）で動作する。

　ノーマルワールドのユーザ空間では、「Syslog」、「libfuse」、「ファイルシステム・デーモン（File　System　Deamon）」、「ＴＥＥクライアント（client）ＡＰＩ（Application　Programming　Interface）」、ストレージ（記憶部１２）等が動作する。一方、ノーマルワールドのカーネル空間では、「仮想ファイルシステム（ＶＦＳ：Virtual　File　System）」、「ＦＵＳＥモジュール（module）」、「／dev／fuse」、「ＴＥＥドライバ（driver）」等が動作する。

　また、セキュアワールドのユーザ空間では、「ＴＥＥ内部（internal）ＡＰＩ」、「ログ出力コア（Logger　Core）」等が動作する。一方、セキュアワールドのカーネル空間では、「ＴＥＥコア（core）」等が動作する。

（プログラム等の動作）
　次に、具体例１に関与するプログラム等の動作について説明する。まず、ログ出力装置１０は、ログファイル２０の収集や記録を行うSyslogによって、ＶＦＳ上にログファイル２０を出力する処理を実行する。（図４（１）参照）。次に、ログ出力装置１０は、ＦＵＳＥのプログラムモジュールであるＦＵＳＥモジュール、ＦＵＳＥのデバイスファイル（／dev／fuse）、ＦＵＳＥ本体であるlibfuse、ログファイル２０に対して様々な処理を定義可能なファイルシステム・デーモンによって、ファイルオープンイベントやファイル改変イベントをフックする処理や、ＴＥＥ内のログ出力機能（logger）を呼び出す処理を実行する（図４（２）参照）。続いて、ログ出力装置１０は、ＴＥＥクライアントＡＰＩ、ＴＥＥドライバ、ＴＥＥコア、ＴＥＥ内部ＡＰＩによって、ハッシュ値であるダイジェスト３０を生成する処理や、デジタル署名４０を付与する処理を実行する（図４（３）参照）。また、ログ出力装置１０は、ログ出力コアによって、ハッシュ化過程であるロギング・フェーズ（Logging　Phase）の完了を通知する処理を実行する（図４（４）参照）。最後に、ログ出力装置１０は、上記の完了通知を受け付けた場合には、ファイルシステム・デーモンによって、生成したデジタル署名付きダイジェスト５０等をパススルーし、ストレージに格納する処理を実行する（図４（５）参照）。

　ここで、ログ出力装置１０は、上記のSyslog、libfuse、ファイルシステム・デーモン等のプログラムが攻撃されたとしても、攻撃以前に蓄積されたログファイル２０やダイジェスト３０等については、改ざんや削除を検知することができる。

（具体例１の利点）
　最後に、具体例１の利点について説明する。第１に、ログ出力装置１０は、仮想ファイルシステムを記述することのできるＯＳ用インターフェイスを用いて、ログを出力するアプリケーションの追記イベント等を直接フックすることができる。第２に、ログ出力装置１０は、ファイル改変イベントをフックした際に現ファイルと書き込みバッファの差分であるdiffを取得して、変更箇所に対してハッシュ値を算出するような柔軟な処理が可能なため、utmpやwtmp等の非追記型ログファイルに対してもハッシュ値を生成することができる。第３に、ログ出力装置１０は、ファイルクローズイベントを検知して完全性確認（Integrity　Check）を行うことで、改ざんを早期に発見することができる。

（４－２．具体例２）
　図５および図６を用いて、具体例２として、fanotify等のイベント監視システムコールを用いたログ出力装置１０の処理について説明する。図５および図６は、第１の実施形態に係るログ出力処理の具体例２を示す図である。以下では、セキュアな環境としてＴＥＥ、イベント監視システムコールとしてfanotifyを採用した具体例について説明するが、本実施形態に係るログ出力処理を実行できる環境およびシステムコールであれば、特に限定されない。

（具体例２の概要）
　まず、具体例２の概要について具体例１と比較しつつ説明する。具体例２においては、ログ出力装置１０は、ログを出力するアプリケーションのファイル追記イベントをフックせず、ファイルオープンイベント（FAN_OPEN_PERM）やファイル読み出しイベント（FAN_ACCESS_PERM）をフックする。このとき、ログ出力装置１０は、特にファイルオープンイベントをフックし、ダイジェスト３０を生成する。

　図５を用いて、ログ出力装置１０の処理について、さらに具体的に説明する。図５に示すように、ログ出力装置１０は、正規のアプリケーションによるログ出力処理が開始された場合には、ファイルオープンを許可する（図５（１）参照）。このとき、ログ出力装置１０は、オープンされたログファイル２０に差分があれば、ロギング・フェーズおよび１回目のコミット・フェーズ（Commit　Phase）（コミット１）の処理に移行する。ここで、コミット・フェーズは、ロギング・フェーズにおいて生成されたダイジェスト３０にデジタル署名４０を付与し、ハッシュ化を完了する過程である。このとき、図５に示すように、図５（１）までの期間において、ログファイル２０は、コミット１により保護される。すなわち、上記の期間は、コミット１の処理によってログファイル２０の完全性が担保される期間である。

　また、ログ出力装置１０は、任意のアプリケーションによるファイルオープンが行われた場合には、当該イベントをフックし、ロギング・フェーズおよび２回目のコミット・フェーズ（コミット２）の処理に移行し、ダイジェスト３０を生成した後に、上記のファイルオープンを許可する（図５（２）参照）。すなわち、ログ出力装置１０は、第三者によるオープンイベントを捉えてダイジェスト３０を生成することができる。このとき、図５に示すように、図５（１）～（２）までの期間において、ログファイル２０は、コミット２により保護される。すなわち、上記の期間は、コミット２の処理によってログファイル２０の完全性が担保される期間である。

　ここで、コミット２の直後に第三者によってログファイル２０の改ざんが行われたとすると（図５（３）参照）、上記コミット２による保護期間に生成されたログファイル２０は安全であるが、図５（２）のオープンイベント以降に生成されたログファイル２０については第三者による改ざんが可能となる。

　一方、ログ出力装置１０は、定期的にロギング・フェーズおよびコミット・フェーズの処理に移行することもできる。図５に示す例では、ログ出力装置１０は、コミット２の後にロギング・フェーズおよび３回目のコミット・フェーズ（コミット３）の処理に移行し、ダイジェスト３０を生成する（図５（４）参照）。このとき、図５に示すように、図５（２）～（４）までの期間において、ログファイル２０は、コミット３により保護される。すなわち、上記の期間は、コミット３の処理によってログファイル２０の完全性が担保される期間である。

　なお、ログ出力装置１０は、図５に示すように、定期的にロギング・フェーズを呼び出すこともできる。例えば、ログ出力装置１０は、各ログファイルに対して、ロギング済み行数を保持し、その行数以降のものに対してロギング・フェーズを実行した後、ロギング済み行数を更新してもよい。また、ログ出力装置１０は、スナップショットを用いて差分を認識し、差分に対してロギング・フェーズを実行してもよい。

（プログラム等の構成）
　次に、具体例２に関与するプログラム等の構成について説明する。図６に示すように、ログ出力装置１０内の領域がノーマルワールドとセキュアワールドとに分離され、それぞれユーザ空間で動作するプログラム等とカーネル空間で動作するプログラム等が示される。また、上記のユーザ空間のプログラム等は非特権モードで動作し、上記のカーネル空間のプログラム等は特権モードで動作する。

　ノーマルワールドのユーザ空間では、「Syslog」、「ファイルシステム・デーモン」、「ＴＥＥクライアントＡＰＩ」、ストレージ（記憶部１２）等が動作する。一方、ノーマルワールドのカーネル空間では、「ファイルシステム（ＦＳ：File　System）」、「fanotify」、「ＴＥＥドライバ」等が動作する。

　また、セキュアワールドのユーザ空間では、「ＴＥＥ内部ＡＰＩ」、「ログ出力コア」等が動作する。一方、セキュアワールドのカーネル空間では、「ＴＥＥコア」等が動作する。

（プログラム等の動作）
　続いて、具体例２に関与するプログラム等の動作について説明する。まず、ログ出力装置１０は、ログファイル２０の収集や記録を行うSyslogによって、ＦＳ上にログファイル２０を出力する処理を実行する。（図６（１）参照）。次に、ログ出力装置１０は、fanotify、ファイルシステム・デーモンによって、ファイルオープンイベントをフックする処理や、ＴＥＥ内のログ出力機能を呼び出す処理を実行する（図６（２）参照）。続いて、ログ出力装置１０は、ＴＥＥクライアントＡＰＩ、ＴＥＥドライバ、ＴＥＥコア、ＴＥＥ内部ＡＰＩによって、ハッシュ値であるダイジェスト３０を生成する処理や、デジタル署名４０を付与する処理を実行する（図６（３）参照）。また、ログ出力装置１０は、ログ出力コアによって、ハッシュ化過程であるロギング・フェーズの完了を通知する処理を実行する（図６（４）参照）。最後に、ログ出力装置１０は、上記の完了通知を受け付けた場合には、ファイルシステム・デーモンによって、生成したデジタル署名付きダイジェスト５０等をパススルーし、ストレージに格納する処理を実行する（図６（５）参照）。

　ここで、ログ出力装置１０は、上記のSyslog、fanotify、ファイルシステム・デーモン等のプログラムが攻撃されたとしても、攻撃以前に蓄積されたログファイル２０やダイジェスト３０等については、改ざんや削除を検知することができる。

（具体例２の利点）
　最後に、具体例２の利点について説明する。第１に、ログ出力装置１０は、ファイルシステムのイベントを監視するシステムコールを用いて、第三者等によるファイルオープンイベントをフックし、ダイジェスト３０を生成することができる。第２に、ログ出力装置１０は、ファイルクローズイベントを検知して完全性確認を行うことで、改ざんを早期に発見することができる。

［５．ログ出力処理の流れ］
　図７を用いて、第１の実施形態に係るログ出力処理全体の流れを詳細に説明する。図７は、第１の実施形態に係るログ出力処理の流れの一例を示すフローチャートである。なお、下記のステップＳ１０１～Ｓ１０６は、異なる順序で実行することもできる。また、下記のステップＳ１０１～Ｓ１０６のうち、省略される処理があってもよい。

　第１に、生成部１３ａは、ログメッセージ２０ａ等が含まれるログファイル２０を生成する（ステップＳ１０１）。

　第２に、算出部１３ｂは、ログファイル２０のファイルイベントをフックする（ステップＳ１０２）。

　第３に、算出部１３ｂは、ログファイル２０のハッシュ値を算出し、ダイジェスト３０を生成する（ステップＳ１０３）。

　第４に、付与部１３ｃは、ダイジェスト３０を秘密鍵６０を用いて暗号化し、デジタル署名４０を生成する（ステップＳ１０４）。

　第５に、付与部１３ｃは、ダイジェスト３０に対してデジタル署名４０を付与し、デジタル署名付きダイジェスト５０を生成する（ステップＳ１０５）。

　第６に、出力部１３ｄは、ログファイル２０とデジタル署名付きダイジェスト５０とを記憶部１２に格納し（ステップＳ１０６）、処理を終了する。なお、検証部１３ｅは、記憶部１２に格納されたログファイル２０とデジタル署名付きダイジェスト５０とを用いて、ログファイル２０の完全性を検証してもよい。

［第１の実施形態の効果］
　第１に、上述した本実施形態に係るログ出力処理では、ログメッセージ２０ａ等を含むログファイル２０に関する所定のイベントのフックを実行し、当該フックのたびにログファイル２０からダイジェスト３０を生成し、生成したダイジェスト３０に対して、暗号化したデジタル署名４０を付与し、ログファイル２０とデジタル署名付きダイジェスト５０とを出力する。このため、本処理では、セキュリティレベルを維持した効果的なログファイルの出力を可能にする。

　第２に、上述した本実施形態に係るログ出力処理では、所定のセキュアエレメントにおいて、ログメッセージが新たに生成された場合にはハッシュ値を更新することによってダイジェスト３０を生成し、当該セキュアエレメントに保持される秘密鍵６０を用いてダイジェスト３０を暗号化したデジタル署名４０を付与する。このため、本処理では、ＴＥＥやＴＰＭ等を利用することによって、セキュリティレベルを維持した効果的なログファイルの出力を可能にする。

　第３に、上述した本実施形態に係るログ出力処理では、仮想ファイルシステム記述インターフェイスに基づいて、ファイルオープンイベントまたはファイル追記イベントのフックを実行し、当該フックのたびにダイジェスト３０を生成する。このため、本処理では、ＦＵＳＥ等の仮想ファイルシステム記述インターフェイスを利用することによって、セキュリティレベルを維持した効果的なログファイルの出力を可能にする。

　第４に、上述した本実施形態に係るログ出力処理では、イベント監視システムコールを用いて、ファイルオープンイベントのフックを実行し、当該フックのたびにダイジェスト３０を生成する。このため、本処理では、fanotify等のイベント監視システムコールを利用することによって、セキュリティレベルを維持した効果的なログファイルの出力を可能にする。

　第５に、上述した本実施形態に係るログ出力処理では、ログファイル２０とデジタル署名付きダイジェスト５０とを用いて、ログファイル２０の完全性を検証する。このため、本処理では、セキュリティレベルを維持した効果的なログファイルの出力を可能とし、かつ出力したログファイルの完全性を検証することができる。

　第６に、上述した本実施形態に係るログ出力処理では、ファイルクローズイベントを検知した場合には、ログファイル２０の完全性を検証する。このため、本処理では、セキュリティレベルを維持した効果的なログファイルの出力を可能とし、かつ出力したログファイルの完全性を効果的に検証することができる。

〔システム構成等〕
　上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

〔プログラム〕
　また、上記実施形態において説明したログ出力装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。

　図８は、プログラムを実行するコンピュータを示す図である。図８に例示するように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有し、これらの各部はバス１０８０によって接続される。

　メモリ１０１０は、図８に例示するように、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、図８に例示するように、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、図８に例示するように、ディスクドライブ１１００に接続される。例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、図８に例示するように、例えば、マウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、図８に例示するように、例えばディスプレイ１１３０に接続される。

　ここで、図８に例示するように、ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のプログラムは、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、例えば、ハードディスクドライブ１０９０に記憶される。

　また、上記実施形態で説明した各種データは、プログラムデータとして、例えば、メモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出し、各種処理手順を実行する。

　なお、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。

　１０、１０－Ｐ　ログ出力装置
　１１　通信部
　１２、１２－Ｐ　記憶部
　１２ａ　ログ記憶部
　１２ｂ　ダイジェスト記憶部
　１２ｃ　ログ・ダイジェスト記憶部
　１３　制御部
　１３ａ　生成部
　１３ｂ　算出部
　１３ｃ　付与部
　１３ｄ　出力部
　１３ｅ　検証部
　２０　ログファイル
　２０ａ　ログメッセージ
　３０　ダイジェスト
　４０　デジタル署名
　５０　デジタル署名付きダイジェスト
　６０　秘密鍵
　１００　ログ出力システム

Claims

　ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出部と、
　前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与部と、
　前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力部と、
　を備えることを特徴とするログ出力装置。
　前記算出部は、所定のセキュアエレメントにおいて、前記ログメッセージが新たに生成された場合にはハッシュ値を更新することによって前記ハッシュ値を算出し、
　前記付与部は、前記セキュアエレメントに保持される秘密鍵を用いて前記ハッシュ値を暗号化した前記デジタル署名を付与する、
　ことを特徴とする請求項１に記載のログ出力装置。
　前記算出部は、仮想ファイルシステムを記述するＯＳ（Operating　System）用インターフェイスに基づいて、前記ログメッセージに関するファイルオープンイベントまたはファイル追記イベントのフックを実行し、前記フックのたびに前記ハッシュ値を算出する、
　ことを特徴とする請求項１または２に記載のログ出力装置。
　前記算出部は、ファイルシステムのイベントを監視するシステムコールを用いて、前記ログメッセージに関するファイルオープンイベントのフックを実行し、前記フックのたびに前記ハッシュ値を算出する、
　ことを特徴とする請求項１から３のいずれか１項に記載のログ出力装置。
　前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを用いて、前記ログメッセージの完全性を検証する検証部、
　をさらに備えることを特徴とする請求項１から４のいずれか１項に記載のログ出力装置。
　前記検証部は、前記ログメッセージに関するファイルクローズイベントを検知した場合には、前記ログメッセージの完全性を検証する、
　ことを特徴とする請求項５に記載のログ出力装置。
　ログ出力装置によって実行されるログ出力方法であって、
　ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出工程と、
　前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与工程と、
　前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力工程と、
　を含むことを特徴とするログ出力方法。
　ログメッセージに関する所定のイベントのフックを実行し、前記フックのたびに前記ログメッセージからハッシュ値を算出する算出手順と、
　前記ハッシュ値に対して、暗号化したデジタル署名を付与する付与手順と、
　前記ログメッセージと前記デジタル署名が付与された前記ハッシュ値とを出力する出力手順と、
　をコンピュータに実行させることを特徴とするログ出力プログラム。