WO2024070153A1 - 機密情報処理装置、その作動方法、及びデータ送受信システム - Google Patents

Abstract

ブロックチェーンにおけるセンシティブ情報の漏洩を防止しながら組織間をまたいだシステムメンテナンスが可能な機密情報処理装置、その作動方法、及びデータ送受信システムを提供する。本発明の機密情報処理装置（１３）は、プロセッサを備え、プロセッサは、ブロックチェーンネットワークを構成する装置間において、伝達するログデータを取得し、ログデータの文字列を判別し、事前設定に基づく特定文字を目印に設定し、ログデータにおいて、特定文字に基づいて、ログデータの文字列をセンシティブ情報として検出し、センシティブ情報の文字列を、異なる文字もしくは記号へ変換する変換処理を行う。

Description

機密情報処理装置、その作動方法、及びデータ送受信システム

　本発明は、機密情報処理装置、その作動方法、及びデータ送受信システムに関する。

　ブロックチェーンネットワークにおいては中心的な管理者というものは存在せず、それぞれのノードが独立した権限を持ちネットワークを構成する。また、ネットワークにログデータを伝達する際には、個人情報や部外秘の情報は保護する必要がある。

　特許文献１では、ソースプログラム内の暗号化対象箇所の内容を推定されがたく保護することが記載されており、特許文献２では、Ｐ２Ｐデータベースを用いた病院間での医療データ連携の際に、分類器を用いて個人情報の特定を行い、個人情報に対して非個人化処理を行い、データ送信することが記載されている。

特開２０１９－５３１４６号公報 国際公開第２０１９／２４４９４９号

　一方、特に多業種にまたがるコンソーシアム型のブロックチェーンネットワークにおいては、それぞれのノードの管理者が同等のＩＴ（information technology）リテラシを有していることはまれで、実質的な全体の管理組織が存在することが多い。しかし、そのようなケースにおいてもそれぞれのノードは独立した権限を持つため障害の発生時や機能アップデートの際に管理組織によって直接作業することができない。

　障害からの復旧のためには管理組織はログデータを、ネットワークの構成組織から提供してもらい解析を行うことで、トラブルシュートする等の方法が取れるが、その際に鍵の情報やパスワード、生データといった「センシティブ情報」がログデータに含まれるリスクが存在する。センシティブ情報がログデータに含まれた場合、ネットワークの構成組織に対するセンシティブ情報の漏洩となり、センシティブ情報の漏洩はノードの耐改ざん性の低下や信頼性が損なわれることに繋がる。一方、センシティブ情報が含まれているデータをアップロードしない場合は、ログデータの保管に問題が発生した場合に、復旧作業等のシステムメンテナンスを行うことができない。

　本発明は、ブロックチェーンにおけるセンシティブ情報の漏洩を防止しながら組織間をまたいだシステムメンテナンスが可能な機密情報処理装置、その作動方法、及びデータ送受信システムを提供することを目的とする。

　本発明の機密情報処理装置は、プロセッサを備え、プロセッサは、ブロックチェーンネットワークを構成する装置間において、伝達するログデータを取得し、ログデータの文字列を判別し、事前設定に基づく特定文字を目印に設定し、ログデータにおいて、特定文字に基づいて、ログデータの文字列をセンシティブ情報として検出し、センシティブ情報の文字列を、異なる文字もしくは記号へ変換する変換処理を行う。

　ログデータにおいて、特定文字を含む文字列をセンシティブ情報として検出することが好ましい。

　ログデータにおいて、前後を特定文字または特定文字を含む文字列に挟まれた文字列をセンシティブ情報として検出することが好ましい。

　ログデータの文字列の判別に辞書機能を使用し、辞書機能に基づいて判別できなかった文字列を、センシティブ情報として検出することが好ましい。

　辞書機能に基づいて判別できなかった文字列で前後を挟まれた文字列を、センシティブ情報として検出することが好ましい。

　センシティブ情報の種類に応じて、変換処理による変換後の文字列を決定することが好ましい。

　事前設定において、特定文字をリスト化したルール、センシティブ情報の種類を分類するルール、及び変換範囲を決定するルールを、変換処理に適用することが好ましい。

　事前設定において、過去のセンシティブ情報に対する変換処理の統計データを、変換処理に適用することが好ましい。

　変換処理済みログデータを、ブロックチェーンネットワークを構成する別装置に送信し、変換処理済みログデータの解析結果を有するフィードバックデータを、別装置から取得することが好ましい。

　事前設定において、解析結果に基づいてセンシティブ情報の検出対象の更新を受け付けることが好ましい。

　ブロックチェーンネットワークを構成する別装置によるコマンド操作に応じて、ログデータの１行ごとに変換処理及び伝達を行うことが好ましい。

　コマンド操作に応じて変換処理を行う場合、別装置によるセンシティブ情報の取得操作を含む禁止操作を決定することが好ましい。

　禁止操作は、ログデータの文字列の編集及び削除に加え、システムメンテナンスに関係のないディレクトリに対する閲覧、作成、編集、及び削除操作のいずれかを含むことが好ましい。

　機密情報処理装置を有するデータ送受信システムであることが好ましい。

　本発明の機密情報処理装置の作動方法は、ブロックチェーンネットワークを構成する装置間において、伝達するログデータを取得するステップと、ログデータの文字列を判別するステップと、事前設定に基づく特定文字を目印に設定するステップと、ログデータにおいて、特定文字に基づいて、ログデータの文字列をセンシティブ情報として検出するステップと、センシティブ情報の文字列を、異なる文字もしくは記号へ変換する変換処理を行うステップと、を有する。

　本発明によれば、ブロックチェーンのセンシティブ情報の漏洩を防止しながら組織間をまたいだシステムメンテナンスが可能となる。

データ送受信システムの概略図である。 ノード１１を構成するデバイス及び機密情報処理装置の機能を示すブロック図である。 機密情報処理装置におけるセンシティブ情報検出部の機能を示すブロック図である。 ２つの組織間でログデータ交換を行う説明図である。 自動でログデータの伝達を行う場合の説明図である。 ログデータの変換処理及び伝達の一連の流れを示すフローチャートである。 第２実施形態におけるコマンド操作でログデータの伝達を行う場合の説明図である。

　［第１実施形態］
　図１に示すように、データ送受信システム１０は、複数のノード１１によって構成されるブロックチェーンネットワークであり、各ノード１１は、互いに独立した権限を持つ構成組織によって管理される。ノード１１は、デバイス１２と、機密情報処理装置１３とを有する。デバイス１２は、記憶媒体及びプロセッサを備える情報の送受信が可能な情報処理端末であり、ブロックチェーンネットワークを用いて、ログデータを含む台帳データを保存する。機密情報処理装置１３は、デバイス１２がログデータ等の情報を他のノード１１に伝達する際に、鍵の情報やパスワード、生データといったセンシティブ情報を検出し、変換処理を行う。

　ログデータの受信は、デバイス１２で行う一方、ログデータの送信は、変換処理を実施した機密情報処理装置１３から送信しても良いし、機密情報処理装置は変換処理済みログデータを同一のノード１１を構成するデバイス１２を経由してもよい。デバイス１２と機密情報処理装置１３の機能は、１つのデバイスである機密情報処理装置で実現するものでもよい。

　ブロックチェーンネットワークは、例えば限定された複数の企業が参加するコンソーシアム型である。その場合、参加する企業は他業種間であってもよい。ノード１１は、自動又は手動でシステム障害時などの復旧に用いるログデータを伝達するため、自組織のログデータ全般を取り扱う。別組織のノード１１への通常のログデータの送受信は、自動で行われるがシステム障害の復旧時などに手動で実行することもできる。

　また、変換処理されたログデータを受信した場合は、受信側の組織がデバイス１２を用いて、解析を行い、センシティブ情報に対するログデータの変換処理状況の解析結果を得ることができる。また、解析結果を、送信側の組織のデバイス１２にフィードバックデータとして送信できる。フィードバックデータを受信したデバイス１２は、所属組織が同じ機密情報処理装置１３にフィードバックデータを反映させてもよい。

　ログデータの形式は、ノード１１ごとに異なる場合があり、各ノード１１が有する機密情報処理装置１３又は機密情報処理装置１３の機能を実現するプログラムは、それぞれ互換性を有するものであることが好ましい。

　別組織とデータ送受信システム１０を構成するノード１１は、デバイス１２及び機密情報処理装置１３を有する。デバイス１２と機密情報処理装置１３は接続し、デバイス１２がデータ送受信システム１０における別組織に対してログデータ等の情報を送信する際は、機密情報処理装置１３を介する。

　図２に示すように、デバイス１２は、受信部２０と、解析部２１と、保存部２２と、出力部２３と、入力受付部２４の機能を実現する。また、機密情報処理装置１３は、データ取得部３０と、センシティブ情報検出部３１と、変換処理部３２と、データ出力部３３と、入力受付部３４の機能を実現する。デバイス１２及び機密情報処理装置１３は、それぞれ所定の機能を実現するためのアプリケーションプログラムがインストールされたパーソナルコンピュータ、又はワークステーション等のコンピュータである。コンピュータには、プロセッサであるＣＰＵ（Central Processing Unit）、メモリ、及びストレージ等が備えられ、ストレージに記憶されたプログラム等により、各種機能を実現する。

　受信部２０は、別組織のノード１１から受信したログデータや、自組織の関連機器のログデータを取得する。別組織のノード１１から取得したログデータは解析部に送信し、自組織のログデータは保存部に送信する。また、ログデータ出力指示も受け付ける。

　解析部２１は、別組織から受信したログデータの解析を行い、ログデータが有する情報やその種類を判定する。また、変換処理の有無及び変換処理された部分も判定し、タグ付けなど、検索できるようにすることが好ましい。解析結果をテキスト形式などに出力してもよい。変換処理については後述する。解析され、タグ付けなどの解析結果出力後のログデータは、保存部に送信する。また、別組織のログデータの解析結果はフィードバックデータとして送信元のノードに送信する。

　保存部２２は、自組織及び別組織のログデータや、解析部で作成した解析結果などの
ログデータ関連情報を保存する。自組織のログデータは、特に指定のない限り、ブロックチェーンネットワークにおける別組織のノード１１に伝達し、共有する。別組織のログデータは、システムメンテナンスの際に出力する。

　出力部２３は、ログデータ出力指示に応じて、自組織又は別組織のログデータを出力する。自組織のログデータを出力する場合は、機密情報処理装置１３に送信し、別組織のログデータ又はフィードバックデータを出力する場合は、送信元のノード１１に送信する。

　入力受付部２４は、ノード１１の所属する組織の管理者等であるユーザの入力はユーザインターフェース（ＵＩ）等を介して操作を受け付けることができる。入力は、マウス操作、キーボード操作などのユーザインターフェース（図示しない）を介して行われる。入力は、ログデータの出力に関する指示や、機密情報処理装置１３の制御等の指示が含まれる。

　機密情報処理装置１３が備える、データ取得部３０と、センシティブ情報検出部３１と、変換処理部３２と、データ出力部３３と、入力受付部３４の具体的な機能について以下に説明する。

　データ取得部３０では、別組織のノード１１に伝達するログデータをデバイス１２から取得する。取得するログデータは、伝達対象である全てのログデータであり、センシティブ情報検出部３１に送信する。

　センシティブ情報検出部３１では、ログデータに含まれるセンシティブ情報の検出やセンシティブ情報の種類の分類、変換処理部３２で変換処理を行う文字列の範囲を決定する。事前設定の内容に基づいて、特定文字を含む文字列や、前後を特定文字、又は特定文字を含む文字列に挟まれた文字列を、ログデータからセンシティブ情報として検出する。

　変換処理部３２では、事前設定に従って決定された変換範囲に対してログデータの変換処理を行う。変換処理は、ログデータにおける変換範囲の文字列を変更して、もとの文字列であるセンシティブ情報を特定できないようにする必要がある一方で、システム障害発生時等に、復旧に使われるデータであり、変換後の文字列からセンシティブ情報の種類は判別できるようにする。そのため、センシティブ情報の種類に応じて、変換処理による変換後の文字、文字列、または記号を決定する。また、変換処理は変換範囲の文字を、黒塗り等によりマスクするマスク処理を含む。

　例えば、ハッシュ関数を用いてセンシティブ情報として検出された文字列をハッシュ値に変換し、ハッシュ値の前後にセンシティブ情報の種類のみが判別できる文字列を付加する。または、センシティブ情報の種類ごとに一定の文字列に変換する。変換後の文字列は「ＡＡＡＡ」や「ＡＢＡＢ」などの同じ文字または文字列を繰り返すパターンなどがある。また、変換後の文字列の種類を簡単に判別できるようにするために、「--PASSWORD--」や「--PRIVATE_KEY--」などの文字列に変換してもよい。センシティブ情報の種類を判別できる変換処理によって、変換処理済みログデータ（変換済ログデータ）を受信した組織は、センシティブ情報の種類など、システムメンテナンスに必要な最低限の情報は保持し、かつ機密情報や個人情報などの閲覧は防ぐことができる。

　データ出力部３３では、変換処理によりセンシティブ情報を変換した変換処理済みログデータを機密情報処理装置１３から、別組織のノード１１に出力する。

　入力受付部３４では、それぞれの組織の管理者による指示や、後述するフィードバックデータの入力を受け付ける。

　通常の運用において、各組織が管理するノード１１には様々なデータが蓄積される。ブロックチェーンネットワークに参加している場合、ログデータなどを交換し、互いに保存する。その際に、センシティブ情報を変換する変換処理を行い、受信側は変換処理済みログデータを受信し、保存する。

　図３に示すように、センシティブ情報検出部３１は、事前設定記憶部４１と事前設定更新部４２の機能を更に有する事前設定管理部４０と、特定文字認識部４３と、文字列判別部４４と、センシティブ情報分類部４５と、変換範囲決定部４６の機能を備え、以下に具体的な機能について説明する。

　事前設定管理部４０では、センシティブ情報の検出、センシティブ情報の種類の分類、変換範囲についてあらかじめ設定したルールである事前設定を管理する。それぞれのルールは、あらかじめ設定したルールに加えて、統計的データも用いた更新も行われる。事前設定は事前設定記憶部４１に記憶させ、事前設定更新部４２を介した管理者による手動設定や、フィードバックデータの受信による更新を受け付ける。

　センシティブ情報の検出及び変換処理に適用する事前設定は、センシティブ情報を検出する目印となる特定文字をリスト化したルールと、判別した文字列に応じてセンシティブ情報の種類を分類するルールと、センシティブ情報の種類に応じた変換範囲を決定するルールを少なくとも有する。これに加えて、過去のセンシティブ情報に対する変換処理の統計データも事前設定に使用する。また、センシティブ情報の種類に応じた変換処理を行うルールも設定してもよい。

　事前設定記憶部４１では、記憶領域に対して書き込み及び読み込みを行う機能を有し、事前設定を記憶する。記憶した事前設定は、センシティブ情報の検出及び分類、変換範囲や変換処理方法を決定する際に参照する。また、事前設定更新部４２を介した事前設定の内容の更新を行う際にも記憶領域から参照する。

　事前設定更新部４２では、ユーザ操作又はフィードバックデータの受信に基づき、事前設定の更新を行う。更新は、ルールや統計データの追加または変更であり、更新した内容を事前設定記憶部４１に記憶させる。更新した事前設定は、以後のセンシティブ情報の検出に使用する。更新操作は、例えば、後述する辞書機能や自然言語処理では非検出又は誤検出となる文字列に対するルールの変更や追加を行い、センシティブ情報の変換処理をより正確に実行できるために行う。自動で事前設定の更新を行う際は、一度の非検出や誤検出の例ではなく、複数回の例を含む統計データとして用いることが好ましい。

　事前設定に用いる統計データは、ルールでは設定しにくいが多用された、変換したい前後の情報と、センシティブ情報の文字列の関係性などである。センシティブ情報統計データや個別定義を用いることで、センシティブ情報の検出漏れを防ぐことができる。

　特定文字認識部４３では、事前設定に基づいて、センシティブ情報の可能性が高い特定文字を認識する。特定文字は、１文字や決まった組み合わせで用いられる複数の文字であり、センシティブ情報であるか否かの判別に用いる。認識した特定文字は、タグ付け等を行う。

　特定文字は、例えばアットサイン（＠）や、コロン（：）、ハイフン（‐）、ピリオド（.）など特定の表現に使われる文字や、記号である。また、一文字ではなく、一定の範囲に特定の順番で存在する複数の文字による組み合わせを特定文字と認識する場合もある。例えば、波括弧（｛｝）、クオーテーション（“”）などの文字または文字列を挟む記号である。

　文字列判別部４４では、取得したログデータから単語などの文字列を判別する。具体的には、ログデータに対してあらかじめ登録した辞書機能の使用や、自然言語処理の固有表現抽出を行い、名称や数値、又は何らかの意味のある文字列ごとにログデータを判別する。その結果、判別できた文字列と、判別できなかった文字列に分かれる。

　辞書機能によって判別できた文字列は、単語などの何らかの意味を有する文字列であり、辞書機能を用いて文字列の意味に応じた分類を行ってもよい。特に、時間表現、金額表現、電話番号、及び人名や地名などの固有名詞であり、固有名詞は特にセンシティブ情報である可能性が高くなる。

　辞書機能によって判別できなかった文字列、その中でも桁数の多い文字は、パスワードや秘密鍵などの場合がある。そのため、辞書機能で判別できなかった一定文字数以上、例えば８文字以上の文字列はセンシティブ情報として検出する。一方、なお、パスワード又は秘密鍵において、特に文字数が多い文字列は、ＩＴリテラシが低い人物に手動で設定された場合や偶然によって、何らかの単語が含まれてしまう場合がある。そのため、文字列中に単語が検出されても、辞書機能によって判別できなかった文字列が一定の割合、例えば半分以上を占める文字列はセンシティブ情報として検出する。

　事前設定により、あらかじめ文字列同士の組み合わせや、センシティブ情報を一定範囲内に有する可能性の高い特定文字を含む文字列なども判別できる。例えばＵＲＬ(Uniform Resource Locator)を示す「http://」又は「https://」の判別や、企業名を示す際に表記される「Ltd.」、「Corp.」、「Inc.」や、敬称に用いる「Ｍｒ．」、「Ｍｓ．」、「Ｍｒｓ．」などがある。また、文字や単語を組み合わせた文字列、例えば秘密鍵の開始と終了を示す「-----BEGIN PRIVATE KEY-----」、「-----END PRIVATE KEY-----」などの文字列を判別する。

　自然言語処理は、例えばあらかじめ学習した内容を用いてログデータの文字列判別処理を実行する。文字列判別部４４は、文字列判別処理に必要な学習済みモデルの機能を有する。すなわち文字列判別部４４は、機械学習を行うニューラルネットワークからなるコンピュータアルゴリズムであり、学習内容に応じて入力されたログデータの、意味のある文字列の有無の判定や、意味のある文字列を有する場合に、文字列の種類に関する具体的な推論を行い、判別結果を取得する。判別結果は、判別した意味のある文字列及びその種類と、ログデータにおける位置などの情報を取得する。判別結果は、センシティブ情報の検出に用いる。

　センシティブ情報分類部４５では、特定文字認識部４３及び文字列判別部４４で目印として設定した特定文字又は文字列から、センシティブ情報である場合の検出、及びセンシティブ情報の種類の分類を行う。センシティブ情報の判別は、事前設定記憶部４１に記憶された事前設定を参照する。

　複数の単語を用いた固有名詞は、特定文字を含む文字列と、その文字列の直前又は直後の文字列と共に、センシティブ情報である場合がある。そのため、あらかじめルールとして設定した、特定文字を含む文字列が検出された場合、一定範囲の文字列をセンシティブ情報として検出する。例えば、企業名に用いられる「Ltd.」、「Corp.」、「Inc.」の文字列は、直前に位置する文字列を共にセンシティブ情報として検出し、「Ｍｒ．」、「Ｍｓ．」、「Ｍｒｓ．」の文字列は直後に位置する文字列とともにセンシティブ情報として検出する。ログデータにおける固有名詞は、改行しても１つの固有名詞が続くことは稀であるため、特定文字を含む文字列とともに検出する文字列の範囲は最大でも同じ行、すなわち改行コードに至るまでの同じ行に留める。直前又は直後の文字列のどこまでをセンシティブ情報に検出するかは、自然言語処理及び固有表現抽出を用いることが好ましい。一方、組織ごとに頻出する長い名称の固有名詞などはそれ自体をセンシティブ情報として事前設定に加えることが好ましい。

　変換範囲決定部４６では、センシティブ情報分類部で分類したセンシティブ情報の種類に応じて、各センシティブ情報の変換処理を実施する範囲を決定する。決定した変換範囲の情報は、ログデータごとに紐づけられ、変換処理部３２に送信される。事前設定に基づいて、特定文字認識部４３で認識した特定文字及び文字列判別部４４で判別した文字列を目印に設定し、変換処理を行うログデータ中の文字列の範囲を決定する。変換処理を行う範囲の決定が、センシティブ情報の検出となる。変換処理を行う範囲は、センシティブ情報分類部４５による分類結果によって異なる。変換処理を行う範囲がセンシティブ情報であると決定し、センシティブ情報として検出した箇所を有するログデータは、変換処理部３２に送信する。

　ベーシック認証等に用いるユーザＩＤとパスワードであるセンシティブ情報の検出について説明する。例えば、ユーザＩＤとパスワードの組がログデータに出力される形式として、「https://userid:password@example.com」である場合、特定文字認識部４３では、コロン（：）と、アットサイン（＠）が認識され、文字列判別部４４では、「https://」の文字列が判別される。センシティブ情報分類部４５では、スペース及び改行がない、１行に含まれる「https://」と「＠」に挟まれた領域を、センシティブ情報としての検出、及び種類を「ＩＤ及びパスワードの組」として分類する。また、挟まれた領域内にコロン（：）を、基点にして前半部分を「ユーザＩＤ」、後半部分を「パスワード」として更に判別してもよい。その場合、「ＩＤ及びパスワードの組」よりもセンシティブ情報としての信頼度は高くなる。変換範囲決定部４６では、「ＩＤ及びパスワードの組」と分類された範囲は全て変換範囲とし、「ユーザＩＤ」と、「パスワード」に分かれている場合は、それぞれ個別に変換範囲とする。

　秘密鍵であるセンシティブ情報の検出について説明する。例えば、秘密鍵のログデータとして、「-----BEGIN PRIVATE KEY-----」及び「-----END PRIVATE KEY-----」という文字列が出力される場合、特定文字認識部４３は、ハイフン（－）を認識し、文字列判別部４４は、「BEGIN PRIVATE KEY」及び「END PRIVATE KEY」の文字列を判別する。センシティブ情報分類部４５では、「-----BEGIN PRIVATE KEY-----」から「-----END PRIVATE KEY-----」までに挟まれた領域を、センシティブ情報として検出し、種類を「秘密鍵」として分類する。挟まれた領域には、スペースや改行があってもよい。すなわち、「-----BEGIN PRIVATE KEY-----」が「秘密鍵」の直前にあり、「-----END PRIVATE KEY-----」が「秘密鍵」の直後であることを示す。変換範囲決定部４６では、「秘密鍵」と分類された範囲は全て変換範囲とする。

　変換処理する情報に対して、本来ログデータとして扱わず、ブロックチェーンに書き込まない情報である可能性があり、且つ障害発生時の復旧に必要な情報ではない情報もセンシティブ情報として変換処理を行ってもよい。例えばＸＭＬ形式、ＪＳＯＮ形式、及びＹＡＭＬ形式のドキュメントなどをセンシティブ情報として変換処理する。

　ＸＭＬ形式、ＪＳＯＮ形式、及びＹＡＭＬ形式のドキュメントの検出について説明する。ドキュメント形式の検出は、まずログデータに含まれる文字列から各ドキュメント形式のルールに定められた、開始地点を表す文字列と、終了地点を表す文字列を検出し、該当するドキュメント形式を推定する。次に開始地点と終了地点に挟まれた領域が、推定された各ドキュメントの形式において有効な文字列であると判定することで、開始地点から終了地点に挟まれた文字列をセンシティブ情報であるか否かを検出する。各ドキュメント形式に対応する文字列ルールは、事前設定としてあらかじめ記憶される。

　ＸＭＬ形式の場合では、特定文字認識部４３及び文字列判別部４４で、任意の英数字をｘとした際の「＜ｘｘｘ＞」と、「＜／ｘｘｘ＞」を特定する。センシティブ情報分類部４５では、ドキュメント開始の「＜ｘｘｘ＞」と、ドキュメント終了の「＜／ｘｘｘ＞」に挟まれた領域全体を、センシティブ情報としての検出し、種類を「ＸＭＬ形式ドキュメント」として推定する。推定後は、挟まれた領域があらかじめ登録したＸＭＬ形式として有効か否か判定する。有効であると判定した場合は、センシティブ情報における「ＸＭＬドキュメント」に分類する。有効でないと判定された場合は、別の種類のセンシティブ情報であるか否か検出及び分類を行う。

　ＪＳＯＮ形式の場合では、特定文字認識部４３で始め波括弧（｛）と、終わり波括弧（｝）を認識する。センシティブ情報分類部４５では、ログデータの任意の行における行頭にある、始め波括弧（｛）と、始め波括弧（｛）のある行以降のいずれかの行末にある、終わり波括弧（｝）に挟まれた領域全体を、センシティブ情報としての検出し、種類を「ＪＳＯＮ形式ドキュメント」として推定する。推定後は、挟まれた領域があらかじめ登録したＪＳＯＮ形式として有効か否か判定する。有効であると判定した場合は、センシティブ情報における「ＪＳＯＮドキュメント」に分類する。有効でないと判定された場合は、別の種類のセンシティブ情報であるか否か検出及び分類を行う。

　ＹＡＭＬ形式の場合では、特定文字認識部４３でコロン（：）を認識する。任意の文字をｙとした場合に、センシティブ情報分類部４５では、ログデータの任意の行における行頭にある、０個以上のスペースまたはタブに続く「ｙｙｙ：」で始まる領域とし、ＹＡＭＬ形式として有効な領域までをセンシティブ情報として検出し、「ＹＡＭＬドキュメント」に分類する。

　図４に示すように、ブロックチェーンネットワークなどのデータ送受信システム１０を構成する複数のノード間における、組織Ａが管理するノード１１ａから組織Ｂが管理するノード１１ｂとの間のログデータの伝達について説明する。ノード１１ａにはデバイス１２ａ及び機密情報処理装置１３ａが備わり、ノード１１ｂにはデバイス１２ｂ及び機密情報処理装置１３ｂが備わる。ノード１１ａにおけるログデータの出力する前にデバイス１２ａが保持するログデータを、機密情報処理装置１３ａに送信する。

　機密情報処理装置１３ａでは、取得したログデータに対し、事前設定に基づき、センシティブ情報の検出及び変換処理を行う。特定文字認識部４３では事前設定に基づき、センシティブ情報の目印となる特定文字を認識する。文字列判別部４４では特定文字を含めたセンシティブ情報の目印となる文字列を判別する。センシティブ情報分類部４５では、目印に設定した文字または文字列から一定範囲内の文字列をセンシティブ情報として検出し、センシティブ情報における種類を特定する。変換範囲決定部４６では、種類ごとに異なる文字列に変換する変換処理の範囲を決定する。変換処理部３２では、決定した範囲に対してログデータの変換処理を行い、変換処理済みログデータに変換する。

　ノード１１ａは、変換処理済みログデータを、ノード１１ｂにおけるデバイス１２ｂに伝達する。デバイス１２ｂは、取得した変換処理済みログデータを解析し、解析結果とともに保存する。機密情報処理装置１３ａが変換処理するログデータは、ノード１１ａからノード１１ｂに伝達する全てのログデータであるが、変換処理は、１行ずつのログデータに対して行うことが好ましい。

　変換処理済みログデータが伝達された、受信側であるデバイス１２ｂは、変換処理済みログデータの解析を行う。取得した変換処理済みログデータがどのような情報を有するかを解析する。例えば、変換処理されていない部分のログデータに対して自然言語処理を行い、意味のある文字列を抽出する。抽出した文字列から、ログデータの性質や種類、有する情報を解析結果として得る。変換処理された範囲がある場合は、変換処理後の文字列から得られるデータがあれば、それも解析に用いる。なお、変換処理されていない、センシティブ情報の可能性が高い文字列が有れば変換処理漏れとしてフィードバックデータに含めることが好ましい。変換処理されたセンシティブ情報を含むログデータの種類を判定する。例えば、ユーザＩＤ及びパスワード、秘密鍵、ドキュメント、連絡先などである。ノード１１ａは、変換処理済みログデータの解析結果を有するフィードバックデータを、受信側であるノード１１ｂから取得する。ノード１１ａは、取得したフィードバックデータに含まれる解析結果を参照し、センシティブ情報の変換処理漏れなどの不備があった場合は、解析結果に基づいて事前設定におけるセンシティブ情報の検出対象の更新を受け付ける。

　同様に、ノード１１ｂにおいてデバイス１２ｂが出力したログデータに対して、機密情報処理装置１３ｂで変換処理を行い、変換処理済みログデータに変換し、ノード１１ａに伝達する。データ交換はデータ送受信システム１０を構成するそれぞれのノード１１同士の間で行われる。なお、通常の運用の際のログデータ交換は自動で行われる。

　次に、データ送受信システム１０において、システム障害が発生し、復旧を行う場合の障害発生時の運用について説明する。システム障害発生の復旧における原因の究明にノード１１同士の間で少なくとも一方から変換処理済みログデータの伝達を行い、受信したノード１１では変換処理済みログデータの解析を行い、解析結果を用いたフィードバックを行う。システム障害の原因究明のためのログデータ伝達及びフィードバックは、各ノード１１間で無作為に行っても良いが、原因究明できる可能性が高いノード１１の候補を絞り込み、特定のノード１１同士で実施してもよい。フィードバックによって原因究明に繋がる結果が有ればそれを基に復旧作業を行う。なお、原因究明に繋がる結果が出なければ、データ交換を繰り返す。

　フィードバックは、解析が正常に行えたか否か、不自然な解析結果の有無、又は解析した変換処理済みログデータと同一である通常の運用時に保存した解析内容との比較結果の少なくともいずれかを解析結果としてノード１１ａに送信する。伝達するログデータは、ノード１１ａのログデータ全体である。ノード１１ａでは取得したフィードバックに基づき、システム障害に対応する。

　図６に示すフローチャートに沿って、本実施形態の機密情報処理装置１３によるログ交換における動作の一連の流れについて説明する。機密情報処理装置１３は、ブロックチェーンネットワークを構成する装置間における同じノード１１に所属するデバイス１２から伝達するログデータを取得する（ステップＳＴ１１０）。取得したログデータから事前設定に基づき、センシティブ情報の目印となる特定文字を認識する（ステップＳＴ１２０）。また、取得したログデータから事前設定に基づき、センシティブ情報の目印となる文字列を判別する（ステップＳＴ１３０）。目印に設定した文字または文字列から一定範囲内の文字列をセンシティブ情報として検出し、センシティブ情報における種類を分類する（ステップＳＴ１４０）。検出したセンシティブ情報を、種類ごとに異なる文字列に変換する変換処理を行う（ステップＳＴ１５０）。ノード１１は、変換処理済みログデータを別組織に伝達する（ステップＳＴ１６０）。

　ログデータの伝達先である別組織は、変換処理済みログデータの解析を行う。ノード１１は解析結果を含むフィードバックデータを取得する（ステップＳＴ１７０）。フィードバックデータの解析結果によりセンシティブ情報に対する変換処理に不備があった場合（ステップＳＴ１８０でＹ）は、変換処理の不備を解消するように事前設定を更新し、ログデータの伝達を終了する（ステップＳＴ１９０）。フィードバックにより変換処理の不備が確認されていない場合（ステップＳＴ１８０でＹ）は、事前設定を変更せず、ログデータの伝達を終了する。

　以上の内容により、ログデータにおけるセンシティブ情報の検出、及び変換処理を行うことにより、センシティブ情報の漏洩を防止しながら組織間におけるログデータの交換ができる。

　［第２実施形態］
　第２実施形態では、第１実施形態における送信側の組織の管理者によるデータ出力指示に変えて、受信側の組織の管理者等によるコマンド操作によりログデータの伝達が実行される。コマンド操作は、デバイス１２の操作から発せられるものであっても良いし、デバイス１２の機能を兼ね備えた機密情報処理装置１３の操作から発するものであってもよい。その他については、第１実施形態と同様である。

　例えば、組織Ａにおいてシステム障害等のトラブルが発生した場合に、原因究明及び復旧のシステムメンテナンスのために、組織Ｂとの間でログデータの伝達を行う。組織Ａの管理者Ｈａによる自組織の異常の連絡や、ノード１１ａから発せられる警告メッセージなどを組織Ｂの管理者が認識し、組織Ｂから組織Ａのノード１１ａに対してデータ提供指示などのコマンド操作を行う。

　図７に示すように、組織Ａのログデータを取得する際に、組織Ｂの管理者Ｈｂがコマンド操作によるコマンドをノード１１ａに伝達する。ノード１１ａはコマンドに応じて、別組織である組織Ｂに対して機密情報処理装置１３ａで変換処理したログデータを送信する。変換処理済ログデータを受信したデバイス１２ｂは、解析処理を行い、ログデータの解析結果のフィードバックなどを行うことが好ましい。管理者Ｈａは、ノード１１ａのデバイス１２ａが取得した解析結果のフィードバックを参照する。なお、システム障害の原因究明及び復旧に関わる、組織Ｂの管理者Ｈｂは、例えばデータ送受信システム１０全体の実質的な管理者などである。

　ログデータの受信側である組織Ｂが、コマンド操作によってログデータを取得する場合、組織Ｂの管理者Ｈｂがコマンド操作を行うことにより、組織Ａにログデータを要求するコマンドを、デバイス１２ｂに出力させる。ノード１１ｂにおけるデバイス１２ｂから発せられるコマンドは、組織Ａのノード１１における機密情報処理装置１３ａを介して、ログデータを保管するデバイス１２ａに伝える。コマンド操作及びコマンドにより組織Ｂは、間接的に組織Ａのデバイス１２ａにアクセスすることになるため、機密情報処理装置１３ａは、受け付けるコマンドを制限する。

　特定のコマンドは、求めるログデータの量、ログデータの宛先などの情報であり、ログデータの伝達に必要な最低限の指示のみが含まれる。組織Ｂからのコマンドを受け付ける機密情報処理装置１３ａは、所属が異なるノード１１からは、ログデータの取得やシステムメンテナンスに関連がない、又は関連が低い操作を禁止操作として決定し、受け付けない。具体的には、ログデータ取得に関連性の高いコマンドのみを入力可能とし、それ以外の操作、特にセンシティブ情報の取得や特定の可能性がある操作は禁止操作として制限する。禁止操作には、ログデータの文字列に対する編集及び削除の操作に加え、システムメンテナンスに関係のないディレクトリに対する閲覧、作成、編集、削除操作も含める。

　リアルタイムで組織Ａのノード１１ａから組織Ｂのノード１１ｂにログデータの伝達を行う際に、全てのログデータを一括で出力せず、小規模な量、例えば１行ずつのログデータの変換処理及び伝達を行ってもよい。受信側コマンド操作によりログデータの伝達が行われる場合、一括でのデータ出力では、全てのログデータに対して実行すると時間がかかり、コマンド操作側の待ち時間が長くなる。また、システム障害の発生時では、詳細な異常の把握よりも大まかな異常の把握が優先されうる。そのため、１行ずつのログデータの伝達を行うことで効率的にシステム障害等への対応ができる。なお、ログデータの１行とは、各ノードがそれぞれ備えるディスプレイ等によって変更される可能性のある「折り返し」ではなく、各形式のドキュメントごとにそれぞれ設定される改行コードに至るまでの範囲である。

　第２実施形態では１行ごとにセンシティブ情報の検出や変換処理を行うため、１度に変換処理を行う際の最大の変換範囲はログデータ１行となる。ただし、ログデータにドキュメントが含まれる場合は、行を跨いでセンシティブ情報の検出を行う場合があるため、ログデータにおける各形式のドキュメント開始地点の文字列の情報を保持し、継続して変換処理を実行できるようにすることが好ましい。

　上記実施形態において、中央制御部（図示しない）、データ取得部３０、センシティブ情報検出部３１、変換処理部３２、データ出力部３３、入力受付部３４といった各種の処理を実行する処理部（processing unit)のハードウェア的な構造は、次に示すような各種のプロセッサ（processor）である。各種のプロセッサには、ソフトウエア（プログラム）を実行して各種の処理部として機能する汎用的なプロセッサであるＣＰＵ（Central Processing Unit)、ＦＰＧＡ (Field Programmable Gate Array) などの製造後に回路構成を変更可能なプロセッサであるプログラマブルロジックデバイス（Programmable Logic Device:ＰＬＤ）、各種の処理を実行するために専用に設計された回路構成を有するプロセッサである専用電気回路などが含まれる。

　１つの処理部は、これら各種のプロセッサのうちの１つで構成されてもよいし、同種または異種の２つ以上のプロセッサの組み合せ（例えば、複数のＦＰＧＡや、ＣＰＵとＦＰＧＡの組み合わせ）で構成されてもよい。また、複数の処理部を１つのプロセッサで構成してもよい。複数の処理部を１つのプロセッサで構成する例としては、第１に、クライアントやサーバなどのコンピュータに代表されるように、１つ以上のＣＰＵとソフトウエアの組み合わせで１つのプロセッサを構成し、このプロセッサが複数の処理部として機能する形態がある。第２に、システムオンチップ（System On Chip:ＳｏＣ）などに代表されるように、複数の処理部を含むシステム全体の機能を１つのＩＣ（Integrated Circuit）チップで実現するプロセッサを使用する形態がある。このように、各種の処理部は、ハードウェア的な構造として、上記各種のプロセッサを１つ以上用いて構成される。

　さらに、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子などの回路素子を組み合わせた形態の電気回路（circuitry）である。また、記憶部のハードウェア的な構造はＨＤＤ（hard disc drive）やＳＳＤ（solid state drive）等の記憶装置である。

１０　データ送受信システム
１１　ノード
１１ａ　ノード
１１ｂ　ノード
１２　デバイス
１２ａ　デバイス
１２ｂ　デバイス
１３　機密情報処理装置
１３ａ　機密情報処理装置
１３ｂ　機密情報処理装置
２０　受信部
２１　解析部
２２　保存部
２３　出力部
２４　入力受付部
３０　データ取得部
３１　センシティブ情報検出部
３２　変換処理部
３３　データ出力部
３４　入力受付部
４０　事前設定管理部
４１　事前設定記憶部
４２　事前設定更新部
４３　特定文字認識部
４４　文字列判別部
４５　センシティブ情報分類部
４６　変換範囲決定部
Ｈａ　管理者
Ｈｂ　管理者

Claims (15)

1. 　プロセッサを備え、
   　プロセッサは、
   　ブロックチェーンネットワークを構成する装置間において、伝達するログデータを取得し、
   　前記ログデータの文字列を判別し、
   　事前設定に基づく特定文字を目印に設定し、
   　前記特定文字に基づいて、前記ログデータの文字列をセンシティブ情報として検出し、
   　前記センシティブ情報の文字列を、異なる文字もしくは記号へ変換する変換処理を行う機密情報処理装置。
2. 　前記プロセッサは、
   　前記ログデータにおいて、前記特定文字を含む文字列を前記センシティブ情報として検出する請求項１記載の機密情報処理装置。
3. 　前記プロセッサは、
   　前記ログデータにおいて、前後を前記特定文字または前記特定文字を含む文字列に挟まれた文字列を前記センシティブ情報として検出する請求項１記載の機密情報処理装置。
4. 　前記プロセッサは、
   　前記ログデータの文字列の判別に辞書機能を使用し、
   　前記辞書機能に基づいて判別できなかった文字列を、前記センシティブ情報として検出する請求項１記載の機密情報処理装置。
5. 　前記プロセッサは、
   　前記ログデータの文字列の判別に辞書機能を使用し、
   　前記辞書機能に基づいて判別できなかった文字列で前後を挟まれた文字列を、前記センシティブ情報として検出する請求項１記載の機密情報処理装置。
6. 　前記プロセッサは、
   　前記センシティブ情報の種類に応じて、前記変換処理による変換後の文字列を決定する請求項１記載の機密情報処理装置。
7. 　前記プロセッサは、
   　前記事前設定において、前記特定文字をリスト化したルール、前記センシティブ情報の種類を分類するルール、及び変換範囲を決定するルールを、前記変換処理に適用する請求項１記載の機密情報処理装置。
8. 　前記プロセッサは、
   　前記事前設定において、過去の前記センシティブ情報に対する前記変換処理の統計データを、前記変換処理に適用する請求項７記載の機密情報処理装置。
9. 　前記プロセッサは、
   　変換処理済みログデータを、前記ブロックチェーンネットワークを構成する別装置に送信し、
   　前記変換処理済みログデータの解析結果を有するフィードバックデータを、前記別装置から取得する請求項１記載の機密情報処理装置。
10. 　前記プロセッサは、
    　前記事前設定において、前記解析結果に基づいて前記センシティブ情報の検出対象の更新を受け付ける請求項９記載の機密情報処理装置。
11. 　前記プロセッサは、
    　前記ブロックチェーンネットワークを構成する別装置によるコマンド操作に応じて、前記ログデータの１行ごとに前記変換処理及び伝達を行う請求項１記載の機密情報処理装置。
12. 　前記プロセッサは、
    　前記コマンド操作に応じて前記変換処理を行う場合、前記別装置による前記センシティブ情報の取得操作を含む禁止操作を決定する請求項１１記載の機密情報処理装置。
13. 　前記禁止操作は、前記ログデータの文字列の編集及び削除に加え、システムメンテナンスに関係のないディレクトリに対する閲覧、作成、編集、及び削除操作のいずれかを含む請求項１２記載の機密情報処理装置。
14. 　請求項１ないし１３いずれか１項記載の機密情報処理装置を有するデータ送受信システム。
15. 　ブロックチェーンネットワークを構成する装置間において、伝達するログデータを取得するステップと、
    　前記ログデータの文字列を判別するステップと、
    　事前設定に基づく特定文字を目印に設定するステップと、
    　前記ログデータにおいて、前記特定文字に基づいて、前記ログデータの文字列をセンシティブ情報として検出するステップと、
    　前記センシティブ情報の文字列を、異なる文字もしくは記号へ変換する変換処理を行うステップと、を有する機密情報処理装置の作動方法。

Images