JP2009139990A - 情報の不正取得を防止する技術 - Google Patents

情報の不正取得を防止する技術 Download PDF

Info

Publication number
JP2009139990A
JP2009139990A JP2007312358A JP2007312358A JP2009139990A JP 2009139990 A JP2009139990 A JP 2009139990A JP 2007312358 A JP2007312358 A JP 2007312358A JP 2007312358 A JP2007312358 A JP 2007312358A JP 2009139990 A JP2009139990 A JP 2009139990A
Authority
JP
Japan
Prior art keywords
information processing
data
partial data
storage device
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007312358A
Other languages
English (en)
Inventor
Tomoari Yasuda
智有 安田
Kiyotaka Nakayama
清喬 中山
Koji Saruwatari
光司 猿渡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2007312358A priority Critical patent/JP2009139990A/ja
Priority to US12/327,328 priority patent/US8615666B2/en
Publication of JP2009139990A publication Critical patent/JP2009139990A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】情報処理装置の盗難や紛失によって情報が不正取得されることを防止する。
【解決手段】記憶装置と、記憶装置に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、基準個数以上の予め定められた第1個数の部分データに分割する分割部と、分割した第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に記憶装置から削除する送信部と、記憶装置へデータを復元する場合に、他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得して記憶装置に格納する取得部と、部分データが取得されたことにより記憶装置に基準個数の部分データが格納されたことを条件に、基準個数の当該部分データに基づいて、記憶装置へデータを復元する復元部とを備える情報処理装置を提供する。
【選択図】図8

Description

本発明は、情報の不正取得を防止する技術に関する。特に、本発明は、情報処理装置の記憶装置に格納された情報の不正取得を防止する技術に関する。
近年、企業等で用いられる情報システムにおいて、不用意な情報の流出を未然に防止するために、シン・クライアントが利用されている。シン・クライアントは、ハードディスクドライブなどの不揮発性の記憶装置を備えていない。従って、業務に用いる各種のデータは、シン・クライアントではなくサーバ装置に格納される。このため、シン・クライアントの盗難によって情報が漏洩することが無く、安全性が高い。
シン・クライアントの実装方式は、イメージ伝送方式および画面伝送方式に分類される。イメージ伝送方式は、シン・クライアントの起動時に、サーバ装置から各シン・クライアントに対し、オペレーティング・システムその他のデータを送信する方式である。シン・クライアントの電源遮断時にはこれらのデータは削除される。画面伝送方式は、サーバ装置で実行したプログラムの出力、例えば画面イメージを、シン・クライアントに送信すると共に、シン・クライアントに対するユーザの入力を、シン・クライアントからサーバ装置に送信する方式である。
特開2003−132229号公報 特開2007−122446号公報
イメージ伝送方式を採用すると、オペレーティング・システムその他のデータのために、ネットワークトラフィックが非常に大きくなってしまう場合がある。例えば、企業の情報システムを想定した場合において、始業時間にはネットワーク負荷が集中してしまい、各シン・クライアントの起動には長大な待ち時間が発生しかねない。
これに対し、オペレーティング・システムの基本部分のみはシン・クライアント内の不揮発性の記憶装置に格納させ、その更新差分やユーザデータのみをサーバ装置からシン・クライアントに送信する対策も考えられる。一例として、パーソナル・コンピュータのCドライブを不揮発性に、Dドライブを揮発性に設定する方式などがこれに相当する。しかしながら、この対策では、シン・クライアント内の記憶装置(例えばCドライブ)にユーザデータを保存することができてしまい、安全性が低下するおそれがある。
また、画面伝送方式では、サーバ装置において多数のシン・クライアントのために個別にプログラムを実行することから、サーバ装置の負荷が非常に高くなるおそれがある。例えば、企業の情報システムを想定した場合において、従来各自のパーソナル・コンピュータで動作していたアプリケーション・プログラムの処理負荷が、単一または少数のサーバ装置に集中するので、企業には多大な設備投資が必要となるおそれがある。また、このようなサーバ装置で動作させることができるのは、マルチ・ユーザに対応したプログラムに限定されてしまい、通常のパーソナル・コンピュータの利用に慣れた利用者にとって自由度が低く感じられてしまう。
以上のように、シン・クライアントを利用した情報システムには、安全性と通信・処理の負荷軽減との間にトレードオフが存在する場合が多かった。そこで本発明は、上記の課題を解決することのできる情報処理装置、方法およびプログラムを提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
上記課題を解決するために、本発明の第1の形態においては、他の少なくとも1つの情報処理装置と通信可能な情報処理装置であって、記憶装置と、前記記憶装置に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、前記基準個数以上の予め定められた第1個数の部分データに分割する分割部と、分割した前記第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に前記記憶装置から削除する送信部と、前記記憶装置へデータを復元する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得して前記記憶装置に格納する取得部と、部分データが取得されたことにより前記記憶装置に前記基準個数の部分データが格納されたことを条件に、前記基準個数の当該部分データに基づいて、前記記憶装置へデータを復元する復元部とを備える情報処理装置を提供する。また、当該情報処理装置によってデータを処理する方法およびプログラムを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、本実施形態に係る情報システム10の全体構成の一例を示す。情報システム10は、通信ネットワークにより相互に通信可能に接続された、サーバ装置100と、複数のクライアント装置(例えばクライアント装置110A−D)とを備える。サーバ装置100は、情報処理装置の一例であり、例えばホスト・コンピュータなどと呼ばれる、据置型のコンピュータであってよい。サーバ装置100は、業務上の機密情報などの重要なデータを記憶する場合が多い。従って、サーバ装置100は、通常のオフィスルームとは別に設けられた安全性の高い専用の部屋に設けられる。
クライアント装置110Aは、情報処理装置の一例であり、例えばノート型の、あるいは、ラップトップ型などの、携帯可能なコンピュータであってよい。これに代えて、クライアント装置110Aは、PDA(Personal Digital Assistant)または携帯電話などであってもよい。クライアント装置110B−Dのそれぞれについても、クライアント装置110Aとは異なる利用者によって管理される他は、クライアント装置110Aと略同一である。
クライアント装置110Aは、一般の従業員が出入りするオフィスルームや、在宅で勤務する従業員の自宅に設けられる。従って、クライアント装置110Aには、業務上の機密情報等の重要なデータを保存しないことが望ましい。本実施形態に係る情報システム10は、このように比較的安全性の低いクライアント装置110Aが盗難・紛失にあった場合であっても、機密情報が漏洩しないようにすることを目的とする。更に、本実施形態によれば、機密情報を全てサーバ装置100に保存する場合と比較して、通信ネットワークの必要帯域やサーバ装置100に必要な処理能力を低く抑えることができる。以下、具体的に説明してゆく。
図2は、本実施形態に係るクライアント装置110Aの機能構成の一例を示す。クライアント装置110Aは、ハードウェア構成として、いわゆるPCと呼ばれる個人向けコンピュータと略同一の構成を有する。具体的には、クライアント装置110Aは、主要なハードウェアとして、CPU1000と、ROM1010と、記憶装置104とを備える。ROM1010は、読み出し専用の不揮発性の記憶装置であって、例えばBIOSプログラムなどの、オペレーティング・システム(以下OSと呼ぶ)に依存せずに動作するプログラムを記憶している。
記憶装置104は、例えばハードディスク・ドライブなどの、読み出しのみならず書き込みが可能な記憶装置である。記憶装置104は、OSプログラム、および、ユーザデータなどの、利用者が業務に使用する各種のデータを記憶している。具体的には、記憶装置104は、利用者が業務に使用する業務用OSプログラム20およびユーザデータ22と、利用者が個人的な用途に使用する個人用OSプログラム24およびユーザデータ26を記憶している。なお、業務用OSプログラム20および個人用OSプログラム24のそれぞれは、いわゆるカーネルと呼ばれるオペレーティング・システムの基本部分のみならず、それに付随する各種アプリケーション・プログラムを含む。
一例として、OSとしてウィンドウズ(登録商標)・オペレーティング・システムを採用している場合において、記憶装置104は、業務用OSプログラム20を「C:¥Windows」フォルダに記憶し、ユーザデータ22を「C:¥MyDocuments」フォルダに記憶してよい。一方、記憶装置104は、個人用OSプログラム24を「D:¥Windows」フォルダに記憶し、ユーザデータ26を「D:¥MyDocuments」フォルダに記憶してよい。
CPU1000は、ROM1010および/または記憶装置104に記憶されたプログラムを実行することで、各種のシステムとして機能する。具体的には、CPU1000は、例えばクライアント装置110Aの起動時に、ROM1010からBIOSプログラムを読み出して実行することで、BIOS200として機能する。個人用OS220の機能によって、CPU1000は、記憶装置104から業務用OSプログラム20を読み出して実行する。この結果、CPU1000は業務用OS210として機能する。
利用者は、業務用OS210上で動作するアプリケーション・プログラムまたは業務用OS210自体を利用して、各種の業務を行う。この結果、記憶装置104には、例えば業務上の機密などを含むユーザデータ22が格納される。また、BIOS200が備えるいわゆるマルチブート機能によって、CPU1000は、記憶装置104から個人用OSプログラム24を読み出して実行してよい。この結果、サーバ装置100は個人用OS220として機能する。利用者は、個人用OS220上で動作するアプリケーション・プログラムなどを利用して作業する。この結果、記憶装置104にはユーザデータ26が格納される。
利用者が業務を終了すると、利用者は、クライアント装置110Aの動作を終了させる場合が多い。動作を終了させる場合とは、例えば、クライアント装置110Aの電源を遮断し、または、クライアント装置110Aをスタンバイ状態またはハイバネーション状態に移行させる場合のことである。このような場合に、記憶装置104に機密情報を保存したままにしておくと、クライアント装置110Aの盗難・紛失によりその機密情報が漏洩してしまう場合がある。これを未然に防ぐため、CPU1000は、記憶装置104内のデータを管理するデータ管理システム230として機能する。データ管理システム230は、例えば、ROM1010などに格納されたプログラムによって実現されてよい。
具体的には、まず、データ管理システム230は、クライアント装置110Aの動作を終了させる指示を受けると、記憶装置104から業務用OSプログラム20およびユーザデータ22を読み出す。そして、データ管理システム230は、業務用OSプログラム20およびユーザデータ22をアーカイブしてアーカイブ・データを生成する。そして、データ管理システム230は、生成したアーカイブ・データを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、当該基準個数以上の予め定められた第1個数の部分データに分割する。ここでは基準個数を3個とし、第1個数を4個とする。このようにして生成された部分データを、部分データ28−1〜4とする。
そして、データ管理システム230は、部分データ28−1〜4のうちの少なくとも一部、ここでは部分データ28−1〜3を選択して、他の少なくとも1つの情報処理装置に対し送信すると共に、記憶装置104から削除する。この結果、例えば、部分データ28−1はサーバ装置100に送信されてサーバ装置100内の記憶装置に格納され、部分データ28−2はクライアント装置110Bに送信されてクライアント装置110B内の記憶装置に格納され、部分データ28−3はクライアント装置110Cに送信されてクライアント装置110C内の記憶装置に格納される。部分データ28−4は記憶装置104に記憶されたままである。そして、データ管理システム230は、指示に応じた終了処理を継続することで、クライアント装置110Aの電源を遮断し、または、クライアント装置110Aをスタンバイモードなどに移行させる。
ここで、元のアーカイブ・データの復元には、少なくとも3個の部分データが必要である。一方で、記憶装置104には1個の部分データしか記憶されていない。このため、たとえクライアント装置110Aが盗難され、悪意あるユーザにより記憶装置104内のデータが解析されたとしても、業務上の機密を含むデータを復元することはできない。また、秘密分散法の特徴により、3個未満の部分データのみでは、元のアーカイブ・データの一部であっても復元することはできず、更に、復元するための解析作業の手がかりとすることすらできない。
データ管理システム230は、クライアント装置110Aの動作を再開する指示(例えば起動の指示またはスタンバイモードの解除の指示)を受けると、他の情報処理装置、ここではサーバ装置100、クライアント装置110Bおよびクライアント装置110Cに、部分データの返信を要求する。そして、データ管理システム230は、返信された部分データ28−1〜3、および、既に格納している部分データ28−4に基づいて、業務用OSプログラム20およびユーザデータ22を記憶装置104へ復元する。そして、データ管理システム230は、クライアント装置110Aの動作を再開する処理を継続することで、業務用OS210の動作を再開させる。
図3は、それぞれの部分データを送信した後における情報システム10の状態を示す。クライアント装置110Aから部分データ28−1〜3が送信された結果、サーバ装置100には部分データ28−1が格納され、クライアント装置110Bには部分データ28−2が格納される。また、クライアント装置110Cには部分データ28−3が格納され、クライアント装置110Aが部分データ28−4が格納される。
この状態において、クライアント装置110Aにおいては業務用OS210を動作させることはできない。一方で、クライアント装置110Aにおいて個人用OS220を動作させることはできる。即ち、正当なユーザがクライアント装置110Aを社外に持ち出して他の用途に使用することはでき、かつ、そのように使用しても、業務上の機密は漏洩しない。
図4は、アーカイブ・データを分割してそれぞれの部分データを生成する処理の概念図である。閾値秘密分散法においては、分割により生成する部分データの個数である第1個数と、復元のために必要な部分データの個数である基準個数とを、パラメータとして設定できる。図4は、第1個数として4個を設定し、基準個数として3個を設定した場合における、閾値秘密分散法の例を示している。
このような閾値秘密分散法を、閾値秘密分散法の英語表記であるSecret Sharing Schemeの頭文字を用いて、SSS(4,3)と表記する。また、この方法により生成された4つの部分データを部分データ28−1〜4とする。これらの部分データのうち少なくとも何れか3つが揃わないと、元のデータを復元することはできない。
そして、閾値秘密分散法によれば、基準個数以上の部分データが揃わない限りは、仮に高性能なコンピュータにより無限の計算時間で解析しても、元のデータのうち1ビットたりとも復元できないことが、数学的に証明されている。この点において、将来の高性能なコンピュータの出現、または、解読用のアルゴリズムの発見により解読されてしまう可能性のある暗号化方式と比較して、極めて安全に秘密を守ることができる。
したがって、上記データ管理システム230は、クライアント装置110A単体で元のデータを復元できてしまわないように、第1個数から基準個数を減じた数(この例の場合1個)を超える数(例えば3個)の部分データを、他の情報処理装置に送信すればよい。また、できるだけ元のデータを復元しにくくするために、データ管理システム230は、複数の部分データを互いに異なる情報処理装置に送信することが望ましい。以上のように、秘密分散法の利用によれば、悪意ある利用者によるアーカイブ・データの復元を極めて困難にすることができる。図5にその一例を示す。
図5は、クライアント装置110Aが盗難・紛失にあった場合における情報システム10の状態を示す。クライアント装置110Aが盗難・紛失にあうと、クライアント装置110Aに格納されている部分データ28−4が不正に取得されてしまうおそれがある。しかしながら、既に述べてきたように部分データ28−4のみに基づいて元のデータを復元することはできない。
そこで、部分データ28−1〜3についても不正に入手しようとすれば、サーバ装置100およびクライアント装置110B−Cについてもまとめて盗み出す必要がある。上述のように、サーバ装置100は特別に管理されているので、サーバ装置100を盗み出すのは非常に困難である。また、クライアント装置110B−Cについても、通信ネットワークの構成によっては、クライアント装置110Aと地理的に離れて設置されている場合もあることから、クライアント装置110A−Cをまとめて盗み出すのは相当困難な場合が多い。
さらに、クライアント装置110A単体の盗難防止策に比べて、通信ネットワークへの不正侵入に対しては、現状でも充分な対策が取られている場合が多く、通信ネットワークに不正侵入してサーバ装置100およびクライアント装置110B−C等から部分データ28−2などを取得することも相当困難である。更にこの不正取得は、サーバ装置100およびクライアント装置110B−Cが稼動している時間帯、例えば業務時間内に限られ、極めて困難と考えられる。
以上のように、本実施形態に係る情報システム10によれば、クライアント装置110Aを盗み出すことによる情報の不正入手を極めて困難とすることができる。また、以下の図6に示すように、本実施形態に係る情報システム10によれば、利用者の利便性を低下させることもほとんどない。
図6は、クライアント装置110Cが休止中の場合における情報システム10の状態を示す。利用者がクライアント装置110Aを起動して業務を開始しようとする場合には、少なくとも3つの部分データが必要である。そこで、クライアント装置110Aがサーバ装置100およびクライアント装置110B−Dのそれぞれに対し、部分データの返信を要求する。企業等において始業時間にクライアント装置110Aを起動する場合を想定すると、サーバ装置100およびクライアント装置110B−Dのうちの殆んどが既に稼働中か、間もなく起動することが予想される。
図6の例では、サーバ装置100、クライアント装置110Bおよびクライアント装置110Dが稼働中でありクライアント装置110Cが休止中なので、クライアント装置110Aは、サーバ装置100およびクライアント装置110Bから部分データの返信を受ける。この結果、クライアント装置110Aは3個の部分データを取得できるので、ユーザデータ22を記憶装置104に復元して業務を開始させることができる。このように、送信した部分データの一部が不足しても起動できるので、企業等の組織などの同一時間帯に業務を行う環境においては、起動が失敗することも殆んど想定されない。また、秘密分散法のパラメータは任意に設定できるので、使用環境に合わせてパラメータを調整することで、起動の失敗を起こりにくくすることもできる。
さらに、クライアント装置110B−Dのそれぞれが、クライアント装置110Aと同様の機能を有し、クライアント装置110A−Dのそれぞれが部分データを相互に送信し合ってもよい。その例を図7に示す。
図7は、本実施形態においてクライアント装置110DがOSプログラム70を分割して他のコンピュータに送信した場合における情報システム10の状態を示す。クライアント装置110Dは、クライアント装置110Dの利用者の業務に利用するためのOSプログラム70を記憶している。
そして、クライアント装置110Dは、OSプログラム70のアーカイブ・データを秘密分散法により複数の部分データに分割する。この結果生成された部分データを部分データ72−1〜3とする。そして、クライアント装置110Dは、生成した部分データ72−1〜3のそれぞれを、通信ネットワークを介して通信可能な他の情報処理装置、例えばサーバ装置100、クライアント装置110Aおよびクライアント装置110Cのそれぞれに送信する。これにより、クライアント装置110Dが盗難されてもOSプログラム70などに含まれる情報の漏洩を防ぐことができる。
次に、秘密分散法によるアーカイブ・データの分割およびその復元の処理機能について、詳しく説明する。
図8は、本実施形態に係るデータ管理システム230の機能構成の一例を示す。データ管理システム230は、分割部700と、送信部710と、取得部720と、復元部730と、受信部740と、提供部750と、暗号部760とを有する。分割部700は、クライアント装置110Aの動作終了時に、記憶装置104から業務用OSプログラム20およびユーザデータ22を読み出して、業務用OSプログラム20およびユーザデータ22のアーカイブ・データを生成する。
分割部700は、生成したそのアーカイブ・データを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、当該基準個数以上の予め定められた第1個数の部分データに分割する。生成したこれらの部分データを部分データ28−1〜4とする。
なお、分割部700が分割の対象とするのは、記憶装置104に格納されたデータであればそのアーカイブ・データに限定されない。例えば、分割部700は、クライアント装置110が次回に起動した場合に用いるデータであれば、そのアーカイブ・データでないデータを記憶装置104から読み出した分割してよい。そのようなデータの一例は、例えば後述の暗号鍵である。詳しくは後に説明する。
また、第1個数および基準個数は、第1個数が基準個数以上という条件を満たす限りにおいて、使用者の環境に応じて任意に設定可能であってよい。また、第1個数および基準個数の差分、または、第1個数に対する基準個数の割合が任意に設定可能であって、第1個数および基準個数自体は自動的に決定されてよい。
例えば、分割部700は、部分データを受信可能かどうかを問い合わせる要求を他のそれぞれの情報処理装置に送信することで、部分データを受信可能な他の情報処理装置の個数を判断し、判断した当該個数に基づいて第1個数および基準個数を設定してよい。一例として、受信可能な情報処理装置の数が10であれば、第1個数を10に設定し、基準個数を、その第1個数から予め定められた個数である3個を減じた7個に設定してよい。
送信部710は、分割したこれら第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に記憶装置104から削除する。クライアント装置110A単体でアーカイブ・データを復元できないようにするために、送信・削除する部分データの個数は、第1個数から基準個数を減じた数を超える個数であることが望ましい。
一例として、送信部710は、部分データ28−1をサーバ装置100に、部分データ28−2をクライアント装置110Bに、部分データ28−3をクライアント装置110Cに、それぞれ送信すると共に、記憶装置104から削除する。一方、分割部700は、生成した部分データのうち残りの部分データ28−4については記憶装置104に格納してよい。
一方、取得部720は、クライアント装置110Aを次回に起動する場合に、記憶装置104へデータを復元する。データを復元する場合に、取得部720は、他の少なくとも1つの情報処理装置から少なくとも1つの部分データ28を取得して記憶装置104に格納する。取得部720は、少なくとも、記憶装置104に既に格納されている部分データ28の個数と基準個数との差分の個数の部分データ28を取得すればよい。例えば、既に1つの部分データ28が記憶装置104に格納されている場合において、基準個数が3個であれば、取得部720は、少なくとも2個の部分データ28を他の情報処理装置から取得する。
そして、復元部730は、部分データ28が取得されたことにより記憶装置104に基準個数の部分データが格納されたことを条件に、基準個数の当該部分データに基づいて、記憶装置104へデータを復元する。具体的には、復元部730は、記憶装置104へ業務用OSプログラム20およびユーザデータ22を復元する。この結果、業務用OSプログラム20に基づく業務用OS210の動作が開始する。
以上の処理機能により、機密情報は秘密分散法により複数の部分データに分割して複数の情報処理装置に分散して格納されるので、情報処理装置が単体で盗難にあったとしても、機密情報の漏洩を防ぐことができる。また、機密情報をすべてサーバ装置100に記憶する必要は無いので、サーバ装置100の処理負荷およびネットワーク負荷の集中を防ぐことができる。
なお、以上の処理よりもなおネットワークの負荷を軽減するためには、アーカイブ・データに代えて、アーカイブ・データを暗号化した暗号鍵を分散して格納してよい。その一例を以下に示す。
分割部700は、クライアント装置110Aの動作終了時ではなく動作中に、記憶装置104に記憶された業務用OSプログラム20およびユーザデータ22のアーカイブ・データを暗号化するための暗号鍵を生成して、記憶装置104に格納する。好ましくは、分割部700は、生成したその暗号鍵を定期的に更新してよい。この定期的な更新によって、暗号鍵が不正に入手される危険を軽減できる。この暗号鍵は、特定の種類の暗号方式に基づくものに限定されない。一例として、暗号鍵は、例えば1024ビットなど、充分に長い安全な鍵であればよい。
そして、分割部700は、暗号鍵を生成または更新する毎に、その暗号鍵を第1個数の部分データに分割する。送信部710は、分割したそれら第1個数の部分データのそれぞれを、他の少なくとも1つの情報処理装置、例えばサーバ装置100およびクライアント装置110B−Cのそれぞれに対し送信する。このような処理により送信される暗号鍵のデータサイズは、アーカイブ・データ自体と比較して充分に小さいので、ネットワークや他の情報処理装置の負荷を軽減できる。
そしてこの場合、暗号部760は、クライアント装置110Aの動作終了時に、業務用OSプログラム20およびユーザデータ22をアーカイブしてアーカイブ・データを生成し、生成した当該アーカイブ・データをその暗号鍵により暗号化して記憶装置104に格納する。また、暗号部760は、暗号化に使用したその暗号鍵を記憶装置104から削除する。これにより、暗号鍵を取得しない限りは業務用OSプログラム20を再起動できないので、クライアント装置110A自体の盗難による情報の漏洩を防止できる。
なお、暗号化に用いた暗号鍵の部分データは、その暗号鍵の生成時または更新時に、送信部710により既に他の情報処理装置に対し送信されている。従って、暗号部760は、動作終了時には他の情報処理装置の存在を前提としない。このため、企業等の組織で一人だけ遅い時間まで仕事を続ける場合など、部分データの送信先が不足する場合であっても、クライアント装置110A内の機密情報を暗号化してクライアント装置110Aを適切に終了させることができる。
この処理例において、取得部720の動作は、部分データがアーカイブ・データ自体についてものでなく暗号鍵についてのものであることの他は、既に述べた取得部720の動作と同様である。但し、復元部730については、暗号化と対応する処理を行う。具体的には、復元部730は、記憶装置104に格納された基準個数の部分データに基づいて暗号鍵を記憶装置104へ復元する。そして、復元部730は、記憶装置104に格納されたアーカイブ・データ(動作終了時に暗号化されたもの)を当該暗号鍵によって復号することで、業務用OSプログラム20に基づく業務用OS210の動作を開始させる。
図9は、本実施形態に係る情報システム10の処理フローの第1例を示す。クライアント装置110Aは、例えば電源を遮断する指示などの、クライアント装置110Aの動作を終了させる指示を受けると(S900)、本図の動作を開始する。まず、分割部700は、記憶装置104に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要な秘密分散法により、当該基準個数以上の予め定められた第1個数の部分データに分割する(S910)。
この図9の例において、具体的には、分割されるデータは、業務用OSプログラム20およびユーザデータ22のアーカイブ・データである。より詳細には、上述のように、分割部700は、CドライブのWindowsフォルダおよびMydocumentフォルダ内のファイルのアーカイブ・データを生成して分割してよい。オペレーティング・システムの種類が異なる場合などには、これに代えて、分割部700は、他の特定のフォルダまたはファイルのアーカイブ・データを生成してよい。また、これに代えて、分割部700は、分割部700中のファイルシステム全体のアーカイブ・データを生成してよい。
そして、分割に用いる秘密分散法は、例えば、閾値秘密分散法である。上述のように、閾値秘密分散法によれば、基準個数未満の部分データを取得しても、元のデータのうちの1ビットたりとも復元できず、また、復元する手がかりとすることもできない。これにより、元のデータを安全に保存することができる。これに代えて、分割に用いる秘密分散法は、ランプ型秘密分散法であってもよい。ランプ型秘密分散法によれば、安全性を殆んど低下させることなく、各部分データのサイズを小さくすることができる。
また、ALL or Nothing Transform(AONT)を秘密分散法として利用してもよい。詳細にはホームページ(http://trusted-solutions.jp/core/aont.html)を参照されたい。あるデータがALL or Nothing Transform(AONT)により変換された場合に、変換後のデータの一部でも失われると、変換前のデータは一切復元できない。この性質を利用して、分割部700は、記憶装置104に格納されたデータ(例えばアーカイブ・データ)をAONTにより変換し、変換後のデータを例えば単に所定のバイトサイズごとに第1個数の部分データに分割する。この場合の第1個数と基準個数とは等しい。これにより、第1個数の部分データが全て取得されない限りは、元のデータを一切秘密にしておくことができる。
次に、送信部710は、分割した当該第1個数の部分データを送信するべく、部分データの送信先となる情報処理装置を選択する(S920)。例えば、送信部710は、クライアント装置110Aと通信可能な他の情報処理装置の中から無作為に複数の情報処理装置を選択してよい。選択する情報処理装置は、毎回異なることが望ましい。また、選択する情報処理装置の数は、第1個数から基準個数を減じた個数よりも多いことが望ましい。例えばSSS(4,3)による変換を仮定すれば、送信部710は、4から3を減じた1よりも多い個数の情報処理装置を選択する。
また、選択される情報処理装置は、地理的に離れて設置されていることが望ましい。これを実現するため、例えば記憶装置104は、通信ネットワークに接続された複数の情報処理装置のそれぞれに対応付けて、当該情報処理装置が設置された位置の範囲を示す指示情報を予め記憶している。指示情報の一例は、例えばIPアドレスである。
通信ネットワークの構成によれば、IPアドレスの上位側の予め定められた桁の数値が、当該情報処理装置の設置された位置の範囲、例えば、国、州、県、市、建物または部署などに対応付けられている場合がある。この場合、送信部710は、そのIPアドレスに基づいて各情報処理装置が設置された位置の範囲を判別できる。これに代えて、指示情報は、国、州、県、市、建物または部署などの位置の範囲を直接に指し示す、文字、数値若しくは記号またはこれらの組合せであってよい。
そしてこの場合、送信部710は、クライアント装置110Aと通信可能な他のそれぞれの情報処理装置が複数存在する場合に、当該複数の他の情報処理装置のそれぞれが設置された位置を、当該指示情報に基づいて判断する。そして、送信部710は、当該複数の他の情報処理装置の中から互いに設置される位置が異なる複数の情報処理装置を、部分データの宛先の情報処理装置として選択する。図9の例では、サーバ装置100およびサーバ装置100B−Cの合計3個の情報処理装置が選択される。
そして、送信部710は、第1個数から基準個数を減じた個数よりも多い個数、例えば3個の部分データを、サーバ装置100およびサーバ装置100B−Cのそれぞれに1個ずつ送信すると共に、記憶装置104から削除する。送信部710は、それぞれ異なる部分データを宛先の複数の情報処理装置に送信することが望ましい。これを受けて、例えば、サーバ装置100の受信部740は部分データ28−1を受信し(S922)、クライアント装置110Bの受信部740は部分データ28−2を受信し(S924)、クライアント装置110Cの受信部740は部分データ28−3を受信する(S926)。
そして、クライアント装置110Aは、クライアント装置110Aの電源を遮断する(S930)。これにより、電源が遮断された状態でクライアント装置110Aが盗まれても、クライアント装置110Aには元のデータを復元するための充分な部分データが記憶されていないので、機密情報の漏洩を防止できる。
続いて、クライアント装置110Aは、クライアント装置110Aを起動する指示を受けて動作を開始する(S940)。具体的には、クライアント装置110Aは、ROM1010からBIOSプログラムおよびデータ管理システム230のプログラムを読み出してCPU1000に実行させてよい。そして、まず、データ管理システム230の取得部720は、部分データを取得するべく、部分データを返信する要求を、他の少なくとも1つの情報処理装置に送信する(S950)。
具体的には、取得部720は、他の少なくとも1つの情報処理装置のそれぞれに対し、部分データを返信するべき要求をブロードキャストしてもよい。これを実現するための具体例は以下の通りである。まず、返信の要求に対し適切に返信できるようにするため、S920において、送信部710は、返信先であるクライアント装置110Aを識別する情報を、部分データに対応付けて送信して、送信先の情報処理装置に格納させる。
取得部720は、当該クライアント装置110Aの識別情報を返信の要求に対応付けてブロードキャストする。この要求を受けた情報処理装置において、提供部750は、この要求に対応付けて受信した識別情報に対応する部分データを当該情報処理装置内の記憶装置から読み出して返信すればよい(S952,S954およびS956)。この識別情報は、具体的には、クライアント装置110AのMAC(Media Access Controller)アドレスであってよい。但し、識別情報はこのMACアドレスには限定されない。
これに代えて、取得部720は、他の少なくとも1つの情報処理装置のうち、部分データの送信先の情報処理装置に対してのみ、部分データを返信するべき要求を送信してよい。これを実現するための具体例は以下の通りである。まず、送信先の情報処理装置を適切に認識できるようにするため、S920において、送信部710は、複数の部分データのそれぞれを他のそれぞれの情報処理装置に送信すると共に、送信先であるそれぞれの情報処理装置の識別情報を記憶装置104に格納する。これらの識別情報は、記憶装置104に代えて、例えばUSBメモリなどの、リムーバブル・メディアに格納されてもよい。
そして、取得部720は、記憶装置104からその識別情報を読み出して、読み出したその識別情報により識別される情報処理装置に対し、上記返信の要求を送信する。(若しくは、上記リムーバブル・メディアの装着されたコンピュータは、そのリムーバブル・メディアからその識別情報を読み出して、読み出したその識別情報により識別される情報処理装置に対し、上記返信の要求を送信する。)
これにより、その要求は送信先の情報処理装置にのみ送信されるので、ブロードキャストと比較してネットワークトラフィックを減少させることができる。また、要求を受けた情報処理装置の提供部750が部分データを単に返信すれば、クライアント装置110Aにおいてデータを適切に復元できる。
更に他の例として、どの装置からどの装置へ部分データが送信されたかを、サーバ装置100などのサーバ装置が集中的に管理してもよい。その実現方法の一例を、図10を参照して説明する。
図10は、本実施形態に係るサーバ装置100に記録される各種情報の一例を示す。送信部710は、S920において部分データを送信する場合に、クライアント装置110Aにログインしているユーザの識別情報(例えばログインID)と、当該部分データの送信先であるサーバ装置100、クライアント装置110Bおよびクライアント装置110Cにログインしているユーザの識別情報とを対応付けてサーバ装置100に登録する。登録された情報を送信先管理情報と呼ぶ。その一例を図10上側に示す。
サーバ装置100は、送信先管理情報において、ユーザAAAを、ユーザCCC、ユーザBBBおよびユーザADMINに対応付けて記憶している。この送信先管理情報は、AAAがログインしている情報処理装置から、CCCがログインしている情報処理装置、BBBがログインしている情報処理装置およびADMINがログインしている情報処理装置のそれぞれに、部分データが送信されたことを示している。
一方、図10下側に示すように、サーバ装置100は、ログイン管理情報を記憶している。ログイン管理情報は、それぞれの情報処理装置の識別情報(マシン識別情報、例えばIPアドレス)に、その情報処理装置にログインしているユーザの識別情報を対応付けて記録している。このログイン管理情報は、各クライアント装置110が、ユーザのログイン時にそのログインネームおよびそのクライアント装置110のIPアドレスを対応付けてクライアント装置110に登録することで生成される。
取得部720は、これらの情報に基づいて返信の要求を送信する。具体的には、まず、取得部720は、クライアント装置110Aにログインしているユーザの識別情報を特定する。そして、取得部720は、その識別情報をサーバ装置100に送信する。サーバ装置100は、受信したその識別情報を送信元のユーザ識別情報として、その識別情報に対応する送信先のユーザ識別情報を、送信先管理情報から検索する。例えばクライアント装置110AにユーザAAAがログインしているとすれば、それに対応付けられたユーザBBB、CCCおよびADMINが検索される。
そして、サーバ装置100は、検索されたそれぞれのユーザ識別情報に対応するマシン識別情報を、ログイン管理情報から検索する。この結果、例えば「192.168.0.X」、「192.168.0.Y」および「192.168.0.Z」の3つの識別情報が検索される。検索された識別情報はクライアント装置110Aに対し返信される。これを受けて、取得部720は、返信を受けたそれぞれの識別情報により識別される情報処理装置に対し、部分データを返信する要求を送信する。
図9の説明に戻る。次に、復元部730は、部分データ28が取得されたことにより記憶装置104に基準個数の部分データが格納されたことを条件に、基準個数の当該部分データに基づいて、記憶装置104へデータを復元する(S1180)。具体的には、復元部730は、記憶装置104へ業務用OSプログラム20およびユーザデータ22を復元する。この場合、取得部720は、復元した業務用OSプログラム20が最新のバージョンであるかどうかをサーバ装置100に問い合わせてよい。業務用OSプログラム20が最新のバージョンでない場合、取得部720は、業務用OSプログラム20と最新のバージョンのOSとの差分更新データをサーバ装置100から取得する。
差分更新データは、このようにプログラム単位の差分を示してもよい。これに代えて、差分更新データは、アーカイブ・データを単位とした差分を示してもよいし、ファイルシステムを単位とした差分を示したよい。そして、取得部720は、取得したその差分更新データにより業務用OSプログラム20を更新する。このように、業務用OSプログラム20の管理は、上記秘密分散法に基づく方法と、サーバ装置100から取得する方法とのハイブリッド型であってよい。
そして、取得部720は、業務用OSプログラム20に基づく業務用OS210の動作を開始させる(S1190)。また、クライアント装置110Aは、動作を再度終了するときには、S900の処理を戻して図9の処理を繰り返す。また、クライアント装置110B、クライアント装置110Cおよびクライアント装置110Dのそれぞれについても、クライアント装置110Aと略同一に動作するから説明を省略する。
図11は、本実施形態に係る情報システム10の処理フローの第2例を示す。この第2例では、アーカイブ・データ自体に代えて、アーカイブ・データを暗号化するための暗号鍵を秘密分散法により分割して送信する。具体的には、まず、クライアント装置110Aの分割部700は、アーカイブ・データを暗号化するための暗号鍵を生成し、または、既に生成した暗号鍵を更新する(S1100)。
次に、分割部700は、生成し、または、更新したその暗号鍵を、第1個数の部分データに分割する(S1110)。そして、送信部710は、分割したそれら第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に記憶装置104から削除する(S1120)。ここでは例えば3個の部分データのそれぞれが、サーバ装置100、クライアント装置110Bおよびクライアント装置110Cのそれぞれに送信される。
これに応じて、サーバ装置100の受信部740、クライアント装置110Bの受信部740、および、クライアント装置110Cの受信部740のそれぞれが、部分データを受信して記憶する(S1122,S1124およびS1126)。
クライアント装置110Aは、以上の処理を、電源の遮断指示を受けるまで例えば定期的に繰り返す。
そして、クライアント装置110Aが動作の終了の指示、例えば電源の遮断指示を受けると(S1130)、クライアント装置110Aの暗号部760は、記憶装置104に記憶された業務用OSプログラム20およびユーザデータ22のアーカイブ・データを生成して、そのアーカイブ・データを最新の(即ち直近に更新された)暗号鍵により暗号化する(S1140)。暗号化されたアーカイブ・データは記憶装置104に格納される。暗号化が完了すると、クライアント装置110Aは、その暗号鍵を記憶装置104から削除して電源を遮断する(S1150)。
その後に、クライアント装置110Aが、クライアント装置110Aを起動するべき指示を受けると(S1160)、クライアント装置110Aの取得部720は、サーバ装置100、クライアント装置110Bおよびクライアント装置110Cのそれぞれかが部分データを取得して記憶装置104に格納する(S1170)。即ち、サーバ装置100、クライアント装置110Bおよびクライアント装置110Cのそれぞれは、クライアント装置110Aの要求に応じて、クライアント装置110AからS1120において送信を受けた部分データを提供する(S1172,S1174およびS1176)。
そして、復元部730は、部分データ28が取得されたことにより記憶装置104に基準個数の部分データが格納されたことを条件に、基準個数の当該部分データに基づいて、記憶装置104へデータを復元する(S1180)。具体的には、復元部730は、記憶装置104へ暗号鍵を復元する。そして、復元部730は、その暗号鍵によりアーカイブ・データを復号化して、その復号化したアーカイブ・データを伸張して業務用OSプログラム20およびユーザデータ22を復元する。この結果、業務用OSプログラム20に基づく業務用OS210の動作が開始する(S1190)。
但し、上述のように、復元部730は、サーバ装置100からOSなどのプログラムの更新差分を取得して、その更新差分によりそのプログラムを更新してからそのプログラムを実行してもよい。これにより、更新前のOSなどのデータをクライアント装置110Aに残さないようにすることができると共に、クライアント装置110Aの利用者はあたかも更新差分方式のシン・クライアントを利用しているかのような感覚で常に最新のOSを利用できる。
以上、図11を参照して説明した第2例によれば、アーカイブ・データそれ自体で無くそれを暗号化するための暗号鍵を送信するので、ネットワークの負荷を更に軽減することができる。また、暗号鍵は定期的に更新するので、暗号が不正に解読されるリスクを軽減できる。更に、暗号鍵は、電源の遮断のタイミングとは無関係に、例えば定期的に送信することができるので、電源遮断時に充分に多くの情報処理装置が稼動していない場合であっても、機密データを適切に保護できる。
図12は、本実施形態に係るクライアント装置110Aのハードウェア構成の一例を示す。クライアント装置110Aは、ホストコントローラ1082により相互に接続されるCPU1000、RAM1020、及びグラフィックコントローラ1075を有するCPU周辺部と、入出力コントローラ1084によりホストコントローラ1082に接続される通信インターフェイス1030、ハードディスクドライブ1040、及びCD−ROMドライブ1060を有する入出力部と、入出力コントローラ1084に接続されるROM1010、フレキシブルディスクドライブ1050、及び入出力チップ1070を有するレガシー入出力部とを備える。
ホストコントローラ1082は、RAM1020と、高い転送レートでRAM1020をアクセスするCPU1000及びグラフィックコントローラ1075とを接続する。CPU1000は、ROM1010及びRAM1020に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ1075は、CPU1000等がRAM1020内に設けたフレームバッファ上に生成する画像データを取得し、表示装置1080上に表示させる。これに代えて、グラフィックコントローラ1075は、CPU1000等が生成する画像データを格納するフレームバッファを、内部に含んでもよい。
入出力コントローラ1084は、ホストコントローラ1082と、比較的高速な入出力装置である通信インターフェイス1030、ハードディスクドライブ1040、及びCD−ROMドライブ1060を接続する。通信インターフェイス1030は、ネットワークを介して外部の装置と通信する。ハードディスクドライブ1040は、例えば上記記憶装置104の一例であり、クライアント装置110Aが使用するプログラム及びデータを格納する。CD−ROMドライブ1060は、CD−ROM1095からプログラム又はデータを読み取り、RAM1020又はハードディスクドライブ1040に提供する。
また、入出力コントローラ1084には、ROM1010と、フレキシブルディスクドライブ1050や入出力チップ1070等の比較的低速な入出力装置とが接続される。ROM1010は、クライアント装置110Aの起動時にCPU1000が実行するブートプログラムや、クライアント装置110Aのハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ1050は、フレキシブルディスク1090からプログラム又はデータを読み取り、入出力チップ1070を介してRAM1020またはハードディスクドライブ1040に提供する。入出力チップ1070は、フレキシブルディスク1090や、例えばパラレルポート、シリアルポート、キーボードポート、マウスポート等を介して各種の入出力装置を接続する。
クライアント装置110Aに提供されるプログラムは、フレキシブルディスク1090、CD−ROM1095、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、入出力チップ1070及び/又は入出力コントローラ1084を介して、記録媒体から読み出されクライアント装置110Aにインストールされて実行される。プログラムがクライアント装置110A等に働きかけて行わせる動作は、図1から図11において説明したクライアント装置110Aにおける動作と同一であるから、説明を省略する。
以上に示したプログラムは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク1090、CD−ROM1095の他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをクライアント装置110Aに提供してもよい。
以上、図1から図12を参照して説明した実施例によれば、クライアント装置に記憶されたデータを秘密分散法により分散して他の装置に保存することで、クライアント装置自体に機密情報を保存しないようにすることができる。この結果、パーソナル・コンピュータなどの通常のクライアント装置を、通信ネットワークやサーバ装置を増強することなく、シン・クライアントのように動作させることができる。
実際に、本願発明者らの検証によれば、従来型の通信ネットワークやサーバ装置を増強せずにそのまま利用して、本実施形態に係るシステムを導入しても、充分実用的であることが確かめられた。具体的には、従来型の通信ネットワークやサーバ装置を増強せずにそのまま利用して、イメージ伝送方式を採用した従来のシン・クライアントを導入すると、1台のクライアント装置の起動に数十分を要して実用的でない。また、従来型の通信ネットワークやサーバ装置を増強せずにそのまま利用して、画面伝送方式を採用した従来のシン・クライアントを導入すると、画面表示に激しいコマ落ちが発生して実用的でない。これに対し、本実施形態においては1台のクライアント装置の起動は数分で完了し、充分実用的であることが確かめられた。
従って、企業経営者またはシステム管理者などの観点からは、膨大な追加投資なしでセキュリティを高めることができる。例えば、銀行や保険・証券などのセキュリティ確保が重要な業種においても、例えばコールセンターなどのように、多数のクライアント装置が稼動しているシステムが用いられている。そのようなシステムにおいても、クライアント装置の盗難のみならず、クライアント装置の故障または老朽化によるクライアント装置の入れ替えなどの場合において、破棄したクライアント装置から情報が漏洩することを防ぐことができる。
また、クライアント装置のユーザの観点からは、本実施形態に係るシステムを導入しても、パーソナル・コンピュータとほぼ同様の感覚で違和感無く業務を継続することができる。例えば、アプリケーション・プログラムの開発現場では、開発中のアプリケーション・プログラムや開発ツールを動作させるために通常のパーソナル・コンピュータを利用する必要がある一方で、開発中のプログラムまたはテストのアイデアなどの、機密情報が多数存在する。そのような場合であっても、本実施形態に係るシステムによれば、セキュリティを向上させつつも、通常のパーソナル・コンピュータのアプリケーション・プログラムをそのまま動作させることができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
図1は、本実施形態に係る情報システム10の全体構成の一例を示す。 図2は、本実施形態に係るクライアント装置110Aの機能構成の一例を示す。 図3は、それぞれの部分データを送信した後における情報システム10の状態を示す。 図4は、アーカイブ・データを分割してそれぞれの部分データを生成する処理の概念図である。 図5は、クライアント装置110Aが盗難・紛失にあった場合における情報システム10の状態を示す。 図6は、クライアント装置110Cが休止中の場合における情報システム10の状態を示す。 図7は、本実施形態においてクライアント装置110DがOSプログラム70を分割して他のコンピュータに送信した場合における情報システム10の状態を示す。 図8は、本実施形態に係るデータ管理システム230の機能構成の一例を示す。 図9は、本実施形態に係る情報システム10の処理フローの第1例を示す。 図10は、本実施形態に係るサーバ装置100に記録される各種情報の一例を示す。 図11は、本実施形態に係る情報システム10の処理フローの第2例を示す。 図12は、本実施形態に係るクライアント装置110Aのハードウェア構成の一例を示す。
符号の説明
10 情報システム
20 業務用OSプログラム
22 ユーザデータ
24 個人用OSプログラム
26 ユーザデータ
28 部分データ
70 OSプログラム
72 部分データ
100 サーバ装置
110 クライアント装置
104 記憶装置
200 BIOS
210 業務用OS
220 個人用OS
230 データ管理システム
700 分割部
710 送信部
720 取得部
730 復元部
740 受信部
750 提供部
760 暗号部
1000 CPU
1010 ROM

Claims (13)

  1. 他の少なくとも1つの情報処理装置と通信可能な情報処理装置であって、
    記憶装置と、
    前記記憶装置に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、前記基準個数以上の予め定められた第1個数の部分データに分割する分割部と、
    分割した前記第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に前記記憶装置から削除する送信部と、
    前記記憶装置へデータを復元する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得して前記記憶装置に格納する取得部と、
    部分データが取得されたことにより前記記憶装置に前記基準個数の部分データが格納されたことを条件に、前記基準個数の当該部分データに基づいて、前記記憶装置へデータを復元する復元部と
    を備える情報処理装置。
  2. 前記送信部は、分割した前記第1個数の部分データのうち前記第1個数から前記基準個数を減じた数を超える数の部分データを、前記他の少なくとも1つの情報処理装置に送信すると共に前記記憶装置から削除し、
    前記取得部は、前記記憶装置へデータを復元する場合に、少なくとも、前記記憶装置に既に格納されている部分データの個数と前記基準個数との差分の個数の部分データを、前記他の少なくとも1つの情報処理装置から取得して前記記憶装置に格納する、
    請求項1に記載の情報処理装置。
  3. 前記分割部は、当該情報処理装置の動作中に、当該情報処理装置が次回に起動した場合に用いるデータを前記記憶装置から読み出して前記第1個数の部分データに分割し、
    前記取得部は、当該情報処理装置が次回に起動した場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得する、
    請求項2に記載の情報処理装置。
  4. 前記分割部は、当該情報処理装置の動作終了時に、当該記憶装置に記憶されたオペレーティングシステム・プログラムおよびユーザデータをアーカイブしてアーカイブ・データを生成し、生成した当該アーカイブ・データを第1個数の部分データに分割し、
    前記取得部は、当該情報処理装置が次回に起動する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得し、
    前記復元部は、前記記憶装置に格納された前記基準個数の部分データに基づいて、前記記憶装置へ前記オペレーティングシステム・プログラムおよびユーザデータを復元することで、前記オペレーティングシステム・プログラムに基づくオペレーティングシステムの動作を開始させる、
    請求項2に記載の情報処理装置。
  5. 前記分割部は、当該記憶装置に記憶されたオペレーティングシステム・プログラムおよびユーザデータのアーカイブ・データを暗号化するための暗号鍵を生成して、生成した当該暗号鍵を第1個数の部分データに分割し、
    当該情報処理装置の動作終了時に、オペレーティングシステム・プログラムおよびユーザデータをアーカイブしてアーカイブ・データを生成し、生成した当該アーカイブ・データを前記暗号鍵により暗号化して前記記憶装置に格納する暗号部を更に備え、
    前記取得部は、当該情報処理装置が次回に起動する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得し、
    前記復元部は、前記記憶装置に格納された前記基準個数の部分データに基づいて前記暗号鍵を前記記憶装置へ復元すると共に、前記記憶装置に格納されたアーカイブ・データを当該暗号鍵によって復号することで、前記オペレーティングシステム・プログラムに基づくオペレーティングシステムの動作を開始させる、
    請求項2に記載の情報処理装置。
  6. 前記取得部は、前記他の少なくとも1つの情報処理装置のそれぞれに対し、当該部分データを返信するべき要求をブロードキャストすることで、当該部分データを取得する、請求項2に記載の情報処理装置。
  7. 前記送信部は、分割した前記第1個数の部分データのうち前記第1個数から前記基準個数を減じた数を超える数の部分データを、他の少なくとも1つの情報処理装置に送信すると共に、送信先であるそれぞれの情報処理装置の識別情報を前記記憶装置に格納し、
    前記取得部は、前記記憶装置から前記識別情報を読み出して、読み出した識別情報により識別される情報処理装置に対し、格納している部分データを返信するべき要求を送信することで、当該部分データを取得する、請求項2に記載の情報処理装置。
  8. 他の情報処理装置から、当該他の情報処理装置が備える分割部によって分割された前記第1個数の部分データのうち当該他の情報処理装置が備える送信部により送信された部分データ、を受信して前記記憶装置に格納する受信部と、
    当該他の情報処理装置の取得部の要求に応じて、当該他の情報処理装置から受信した前記部分データを前記記憶装置から読み出して、当該他の情報処理装置に提供する提供部と
    を更に備える請求項2に記載の情報処理装置。
  9. 前記送信部は、分割した前記第1個数の部分データのうち前記第1個数から前記基準個数を減じた数を超える数の部分データを、他の情報処理装置の中から無作為に選択した少なくとも1つの情報処理装置に対し送信する、請求項2に記載の情報処理装置。
  10. 前記分割部は、部分データを受信可能かどうかを問い合わせる要求を他のそれぞれの情報処理装置に送信することで、部分データを受信可能な他の情報処理装置の個数を判断し、判断した当該個数に基づいて前記第1個数および前記基準個数を設定する、請求項2に記載の情報処理装置。
  11. 前記記憶装置は、他の少なくとも1つの情報処理装置のそれぞれに対応付けて、当該情報処理装置が設置された位置の範囲を示す指示情報を予め記憶しており、
    前記送信部は、部分データを受信可能な他の情報処理装置が複数存在する場合に、当該複数の他の情報処理装置のそれぞれが設置された位置を、前記指示情報に基づいて判断して、当該複数の他の情報処理装置の中から互いに設置される位置が異なる複数の情報処理装置を選択して、選択した当該複数の情報処理装置に、前記第1個数の部分データのうちそれぞれ異なる部分データを送信する、
    請求項10に記載の情報処理装置。
  12. 他の少なくとも1つの情報処理装置と通信可能な情報処理装置によって、当該情報処理装置の記憶装置に格納されたデータを処理させる方法であって、
    前記記憶装置に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、前記基準個数以上の予め定められた第1個数の部分データに分割するステップと、
    分割した前記第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に前記記憶装置から削除するステップと、
    前記記憶装置へデータを復元する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得して前記記憶装置に格納するステップと、
    部分データが取得されたことにより前記記憶装置に前記基準個数の部分データが格納されたことを条件に、前記基準個数の当該部分データに基づいて、前記記憶装置へデータを復元するステップと
    を備える方法。
  13. 他の少なくとも1つの情報処理装置と通信可能な情報処理装置に、当該情報処理装置の記憶装置に格納されたデータを処理させるプログラムであって、
    当該情報処理装置を、
    前記記憶装置に格納されたデータを、当該データの復元には予め定められた基準個数の部分データが必要となる秘密分散法により、前記基準個数以上の予め定められた第1個数の部分データに分割する分割部と、
    分割した前記第1個数の部分データのうち少なくとも1つの部分データを、他の少なくとも1つの情報処理装置に送信すると共に前記記憶装置から削除する送信部と、
    前記記憶装置へデータを復元する場合に、前記他の少なくとも1つの情報処理装置から少なくとも1つの部分データを取得して前記記憶装置に格納する取得部と、
    部分データが取得されたことにより前記記憶装置に前記基準個数の部分データが格納されたことを条件に、前記基準個数の当該部分データに基づいて、前記記憶装置へデータを復元する復元部
    として機能させるプログラム。
JP2007312358A 2007-12-03 2007-12-03 情報の不正取得を防止する技術 Pending JP2009139990A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007312358A JP2009139990A (ja) 2007-12-03 2007-12-03 情報の不正取得を防止する技術
US12/327,328 US8615666B2 (en) 2007-12-03 2008-12-03 Preventing unauthorized access to information on an information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007312358A JP2009139990A (ja) 2007-12-03 2007-12-03 情報の不正取得を防止する技術

Publications (1)

Publication Number Publication Date
JP2009139990A true JP2009139990A (ja) 2009-06-25

Family

ID=40754855

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007312358A Pending JP2009139990A (ja) 2007-12-03 2007-12-03 情報の不正取得を防止する技術

Country Status (2)

Country Link
US (1) US8615666B2 (ja)
JP (1) JP2009139990A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011146914A (ja) * 2010-01-14 2011-07-28 Kddi Corp 課金システム、情報提供システム、情報交換システム、課金方法、情報提供方法、情報交換方法およびプログラム
JP2015148907A (ja) * 2014-02-05 2015-08-20 Kddi株式会社 データ保存装置、方法及びプログラム
KR20160021670A (ko) * 2014-08-18 2016-02-26 남기원 개인 데이터 관리 시스템 및 그 방법
JP2016517046A (ja) * 2013-04-24 2016-06-09 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. データを暗号化する方法およびシステム
US9384355B2 (en) 2012-11-13 2016-07-05 Canon Kabushiki Kaisha Information processing apparatus with hibernation function, control method therefor, and storage medium storing control program therefor
WO2018168140A1 (ja) * 2017-03-15 2018-09-20 株式会社ウフル ログ管理システム、ログ管理装置、方法及びコンピュータプログラム
JP2020194462A (ja) * 2019-05-29 2020-12-03 株式会社ミウラ ウイルス未発症・復元システム、ウイルス未発症・復元方法、ウイルス未発症・復元プログラム及び記憶媒体
JP2021026049A (ja) * 2019-07-31 2021-02-22 株式会社リコー 受信装置、情報処理システム、受信方法
EP4068110A1 (en) 2021-03-31 2022-10-05 Hitachi, Ltd. Data management system, data management method, and node

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6011167B2 (ja) 2012-09-03 2016-10-19 ブラザー工業株式会社 通信中継プログラム、及び、通信中継装置
JP6167502B2 (ja) * 2012-10-31 2017-07-26 ブラザー工業株式会社 通信中継プログラム、通信中継装置、及び、画像処理装置
WO2017119916A1 (en) * 2015-01-09 2017-07-13 Spyrus, Inc. Secure remote authentication
US11163908B2 (en) * 2019-03-08 2021-11-02 Microsoft Technology Licensing, Llc Device state driven encryption key management
WO2020091879A2 (en) * 2019-08-22 2020-05-07 Futurewei Technologies, Inc. Methods and apparatus for securing communications
CN114546246A (zh) * 2020-11-20 2022-05-27 华为技术有限公司 一种生物特征数据分布存储和认证方法、***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006039794A (ja) * 2004-07-26 2006-02-09 Base Technology Inc ファイル管理システム
JP2006311383A (ja) * 2005-04-28 2006-11-09 Trusted Solutions Kk データ管理方法、データ管理システムおよびデータ管理装置
JP2007058771A (ja) * 2005-08-26 2007-03-08 Nec Corp ストレージシステム、ストレージサブシステム、およびキャッシュ・複製保存法方法
WO2007061119A1 (ja) * 2005-11-28 2007-05-31 International Business Machines Corporation 情報の不正な取得を防止するシステムおよびその方法
JP2007300157A (ja) * 2006-04-27 2007-11-15 Toshiba Corp 秘密分散システム、装置及びプログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
KR100389867B1 (ko) * 2001-06-04 2003-07-04 삼성전자주식회사 플래시 메모리 관리방법
JP2003132229A (ja) 2001-10-23 2003-05-09 Global Friendship Inc 電子情報配送システム
CN100359425C (zh) * 2002-08-01 2008-01-02 松下电器产业株式会社 用于解密已加密数据并在存储器空间中定位用于执行的解密数据的方法和设备
JP3761544B2 (ja) * 2003-06-25 2006-03-29 インターナショナル・ビジネス・マシーンズ・コーポレーション 設定装置、情報処理装置、設定方法、プログラム、及び記録媒体
US7685257B2 (en) * 2003-11-10 2010-03-23 Sun Microsystems, Inc. Portable thin client for the enterprise workspace
US8346886B2 (en) * 2004-09-08 2013-01-01 Red Hat, Inc. System, method, and medium for configuring client computers to operate disconnected from a server computer while using a master instance of the operating system
US20060080521A1 (en) * 2004-09-23 2006-04-13 Eric Barr System and method for offline archiving of data
KR101243501B1 (ko) * 2005-05-13 2013-03-13 삼성전자주식회사 무선랜 메쉬 통신시스템에서 데이터 송수신 장치 및 방법
US7950008B2 (en) * 2005-07-06 2011-05-24 International Business Machines Corporation Software installation in multiple operating systems
US20070011374A1 (en) * 2005-07-08 2007-01-11 Kumar Sasi K Method and system for universal serial bus (USB) re-direct (USB-R) over a network
JP4820620B2 (ja) 2005-10-28 2011-11-24 株式会社日立製作所 データ分散管理システム
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
JP4820688B2 (ja) * 2006-05-12 2011-11-24 富士通株式会社 データ分散装置、情報分散機能を有する情報処理装置、情報処理装置のプログラム、および情報分散保存システム
JP4778361B2 (ja) * 2006-05-19 2011-09-21 日立オムロンターミナルソリューションズ株式会社 認証装置及び認証システム及び認証装置の装置確認方法
US20080127348A1 (en) * 2006-08-31 2008-05-29 Kenneth Largman Network computer system and method using thin user client and virtual machine to provide immunity to hacking, viruses and spy ware
JP2008123414A (ja) * 2006-11-15 2008-05-29 Hitachi Ltd ストレージ管理装置、計算機システムおよびストレージ管理方法
JP4293234B2 (ja) * 2006-12-05 2009-07-08 日本電気株式会社 シンクライアントにおける接続管理方法及び接続管理サーバ
US9015301B2 (en) * 2007-01-05 2015-04-21 Digital Doors, Inc. Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor
US20080172555A1 (en) * 2007-01-17 2008-07-17 Erink Technologies, Llc Bootable thin client personal initialization device
US9513892B2 (en) * 2007-01-25 2016-12-06 Hewlett-Packard Development Company, L.P. Capturing and deploying an operating system in a computer environment
US8064599B2 (en) * 2007-08-29 2011-11-22 Red Hat, Inc. Secure message transport using message segmentation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006039794A (ja) * 2004-07-26 2006-02-09 Base Technology Inc ファイル管理システム
JP2006311383A (ja) * 2005-04-28 2006-11-09 Trusted Solutions Kk データ管理方法、データ管理システムおよびデータ管理装置
JP2007058771A (ja) * 2005-08-26 2007-03-08 Nec Corp ストレージシステム、ストレージサブシステム、およびキャッシュ・複製保存法方法
WO2007061119A1 (ja) * 2005-11-28 2007-05-31 International Business Machines Corporation 情報の不正な取得を防止するシステムおよびその方法
JP2007300157A (ja) * 2006-04-27 2007-11-15 Toshiba Corp 秘密分散システム、装置及びプログラム

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011146914A (ja) * 2010-01-14 2011-07-28 Kddi Corp 課金システム、情報提供システム、情報交換システム、課金方法、情報提供方法、情報交換方法およびプログラム
US9384355B2 (en) 2012-11-13 2016-07-05 Canon Kabushiki Kaisha Information processing apparatus with hibernation function, control method therefor, and storage medium storing control program therefor
JP2018022181A (ja) * 2013-04-24 2018-02-08 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. データを暗号化する方法およびシステム
JP2020074039A (ja) * 2013-04-24 2020-05-14 エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー データを暗号化する方法およびシステム
JP2016517046A (ja) * 2013-04-24 2016-06-09 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. データを暗号化する方法およびシステム
US10291392B2 (en) 2013-04-24 2019-05-14 Nec Corporation Method and system for encrypting data
US9787469B2 (en) 2013-04-24 2017-10-10 Nec Corporation Method and system for encrypting data
JP2015148907A (ja) * 2014-02-05 2015-08-20 Kddi株式会社 データ保存装置、方法及びプログラム
JP2017527900A (ja) * 2014-08-18 2017-09-21 ナム、ギ ウォンNAM, Ki−Won 個人データ管理システム及びその方法
KR101687287B1 (ko) * 2014-08-18 2017-01-02 남기원 개인 데이터 관리 시스템 및 그 방법
KR20160021670A (ko) * 2014-08-18 2016-02-26 남기원 개인 데이터 관리 시스템 및 그 방법
WO2018168140A1 (ja) * 2017-03-15 2018-09-20 株式会社ウフル ログ管理システム、ログ管理装置、方法及びコンピュータプログラム
JP2020194462A (ja) * 2019-05-29 2020-12-03 株式会社ミウラ ウイルス未発症・復元システム、ウイルス未発症・復元方法、ウイルス未発症・復元プログラム及び記憶媒体
JP2021026049A (ja) * 2019-07-31 2021-02-22 株式会社リコー 受信装置、情報処理システム、受信方法
EP4068110A1 (en) 2021-03-31 2022-10-05 Hitachi, Ltd. Data management system, data management method, and node

Also Published As

Publication number Publication date
US8615666B2 (en) 2013-12-24
US20090158052A1 (en) 2009-06-18

Similar Documents

Publication Publication Date Title
JP2009139990A (ja) 情報の不正取得を防止する技術
KR101852724B1 (ko) 컴퓨터 프로그램, 비밀관리방법 및 시스템
US9916456B2 (en) Systems and methods for securing and restoring virtual machines
US8352751B2 (en) Encryption program operation management system and program
US8386797B1 (en) System and method for transparent disk encryption
US10204235B2 (en) Content item encryption on mobile devices
US20070014416A1 (en) System and method for protecting against dictionary attacks on password-protected TPM keys
US20120102564A1 (en) Creating distinct user spaces through mountable file systems
US8352750B2 (en) Encryption based storage lock
US8181028B1 (en) Method for secure system shutdown
US8924700B1 (en) Techniques for booting from an encrypted virtual hard disk
CN101499027A (zh) 一种基于独立内核和分布式构架的智能存储***
CN100495364C (zh) ***分页文件的加密
US20140068256A1 (en) Methods and apparatus for secure mobile data storage
KR102538694B1 (ko) 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템
CN112306582A (zh) 配置变量加解密方法、装置、计算机设备和可读存储介质
JP4972074B2 (ja) ファイル管理システム
JPH11259366A (ja) 電子データ交換システムにおけるデータ保護装置及び方法及び当該方法を実現するプログラムを記録した記録媒体
JP7193770B1 (ja) ファイル管理方法、ファイル管理プログラム及び情報処理装置
JP7302392B2 (ja) ファイルデータ管理装置,ファイルデータ管理プログラム及びファイルデータ管理方法
US20060129799A1 (en) System and method for storing system configuration files
KR20240078135A (ko) Dpapi 기반 데이터 재생성을 통한 클라우드 데이터 획득 장치 및 방법
Edge et al. Encrypting Files and Volumes
JP2007316887A (ja) データ管理システム及び管理装置及びデータ管理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120911

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121002

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20121005