JP2007280096A - ログ保全方法、プログラムおよびシステム - Google Patents
ログ保全方法、プログラムおよびシステム Download PDFInfo
- Publication number
- JP2007280096A JP2007280096A JP2006106172A JP2006106172A JP2007280096A JP 2007280096 A JP2007280096 A JP 2007280096A JP 2006106172 A JP2006106172 A JP 2006106172A JP 2006106172 A JP2006106172 A JP 2006106172A JP 2007280096 A JP2007280096 A JP 2007280096A
- Authority
- JP
- Japan
- Prior art keywords
- log file
- log
- client
- server
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】クライアントで取得し保存したログファイルの更新を防止すると共に、そのログファイルの書き込み領域を安全かつ効率的に再利用する。
【解決手段】エージェントプログラム141はログファイルを記憶装置150に保存する。記憶装置150は、ボリューム管理情報153に従って記憶装置150へのアクセスを制御することで、ログファイルの更新を防止する。マネージャプログラム142は、エージェントプログラム141と通信し、ログファイルの回収を行う。回収が完了した後は、マネージャプログラム142がログ削除メッセージを、セキュリティチップ105を使って署名し、エージェントプログラム141がセキュリティチップ104を使って署名を検証し、正しいログ削除要求であることを確認し、ログファイルを保護していたボリューム管理情報153を書き換え、保護を解除する。
【選択図】図1
【解決手段】エージェントプログラム141はログファイルを記憶装置150に保存する。記憶装置150は、ボリューム管理情報153に従って記憶装置150へのアクセスを制御することで、ログファイルの更新を防止する。マネージャプログラム142は、エージェントプログラム141と通信し、ログファイルの回収を行う。回収が完了した後は、マネージャプログラム142がログ削除メッセージを、セキュリティチップ105を使って署名し、エージェントプログラム141がセキュリティチップ104を使って署名を検証し、正しいログ削除要求であることを確認し、ログファイルを保護していたボリューム管理情報153を書き換え、保護を解除する。
【選択図】図1
Description
本発明は、クライアントで取得したログをサーバで回収するログ保全技術に関する。
個人情報保護法の完全施行や日本版SOX法(Sarbanes−Oxley法、企業改革法)の制定予定を受け、セキュリティ対策の一つとして、クライアントPCにおける操作ログやデータアクセスログなどを取得し保管することが求められるようになってきた。クライアントで上記ログを取得することにより、もし個人情報の漏えいが発覚したときには、個人情報を漏えいした可能性の高いクライアントの絞り込みや、例えば電子メール、USBフラッシュメモリ、印刷などの漏えい経路を追跡することができる。また上記ログを取得することにより、決められたセキュリティポリシ以外の操作をクライアントで行っていないことを外部監査人に証明するといった法令遵守の点でも有用である。
クライアントで取得したログはクライアントで保管することも可能であるが、ログを保全しなければならない点と、クライアントの場合リソースが限られていることが多い点からすると、上記ログをサーバで回収することが望ましい。しかし、クライアントは可搬であることも多く、クライアントを利用するときに必ずしもサーバと接続されているとは限らない。そのため、クライアントで取得したログをサーバで回収するまでにクライアントにローカルで保管するときの保全が必要となる。とくに一度書き込んだログを勝手に更新されないことが必要となる。
このような一度書き込んだデータの更新を防止するために、近年はWORM(Write Once Read Many)という技術が知られている。WORMとは、一度記録したデータは更新を行うことができず、参照のみ行える、データの性質である。以下、WORMの性質を持つデータを、WORMデータと呼ぶ。特許文献1によれば、2つのWORM記憶装置においてリモートコピーを行う時、対象となるデータがWORMデータであるか否かを意識してリモートコピーを行う方法が開示されている。この方法を利用すれば、クライアントでログをローカルにWORMデータとして書き出すことによって、クライアントで保管する間のログの改ざんを防止でき、さらにサーバへのリモートコピー後もWORM属性が継承されることにより、サーバにコピーしたログの改ざん防止まで実現することができる。このようなWORM属性の設定は、管理端末から手動で行うものである。
しかしながら、特許文献1による方法では、クライアントで取得したログをサーバで回収した後のことまで考慮されていなかった。つまり、ログをサーバに回収した後にはクライアントにログを残し続ける必要はなく、もしログを残し続けた場合にはクライアントのWORM記憶装置を圧迫してしまう。またWORM属性を解除するには、管理端末から手動で解除を行う必要があり、手間がかかると共に操作ミスがあった場合にログの改ざんにつながるおそれがある。
以上のように、従来技術においては、クライアントで取得したログを保全してサーバで回収したとしても、クライアントのリソースを圧迫することになり、また管理端末の操作ミスが原因で起こるログ改ざんを防止することができなかった。
そこで、本発明の目的は、クライアントで取得したログをサーバで回収する場合に、クライアント側のログ記憶領域を効率的かつ安全に再利用することが可能な、ログ保全技術を提供することにある。
本発明は、クライアント側のユーザ操作やデータアクセスを監視し、記録したログファイルを、ネットワークを介してサーバに回収してサーバで保存するクライアント・サーバ型システムにおいて、クライアントは、ローカルに記録するログファイルの更新を防止し、サーバにログファイルを回収した後に、ローカルに記録したログファイルを削除する。サーバは、クライアントから回収したログファイルを自身の記憶装置に書き込んだ後に、クライアントにログファイルの削除を要求する。
本発明によれば、クライアントのログファイル書き込み領域を安全かつ効率的に再利用できる。
以下、本発明の実施形態について、適宜、図面を参照しながら詳しく説明する。
図1は、本発明の実施形態に係るログ保全システムの全体構成を示した図である。図1に示すように、ログ保全システム100は、クライアント101、サーバ102を含んで構成され、クライアント101とサーバ102はネットワーク103を介して接続される。ネットワーク103は通信を可能とする回線であれば形態を問わず、TCP/IPネットワーク、ISDN回線、無線LAN通信などのいずれであっても良い。なお、ログ保全システム100は、例えば、企業内情報システムにおけるクライアント統合管理システムや、コールセンタにおけるオペレータ端末管理システムなどに適用される。
図1はまた、クライアント101のブロック構成も示している。クライアント101は、CPU(Central Processing Unit)121と、半導体メモリのRAMなどのメモリ122と、電源をオフにしても記憶されたデータが保存される記憶装置150と、ネットワーク103と通信を行う通信装置124と、クライアント101の電源がオンになった直後の起動処理を行うBIOS(Basic Input/Output System)チップ123と、LCD(Liquid Crystal Display)などの表示部125と、TCG(Trusted Computing Group)の提唱するTPM(Trusted Platform Module)チップなど、耐タンパ性を備えた記憶領域を有し、チップごとに固有のIDが記録されているセキュリティチップ104などを含み、さらに、これらの機構がバス126を介して相互に接続されて構成される。ここで、BIOSチップ123には、バス126に接続された機器(内蔵機器や周辺機器)を検出し、これらの機器を制御するプログラム群(BIOS)が格納されている。
さらに記憶装置150は、コントローラ155により記憶装置150の動作が制御される。また記憶装置150内の記憶領域は、1つ以上の論理ボリュームに分割される。論理ボリューム151は、複数の論理ボリュームのうちの一つである。論理ボリュームへのアクセスを管理するボリューム管理情報153は、記憶装置150内の記憶領域152に記録される。本実施形態では、ボリューム管理情報153は、記憶装置150内の記憶領域152に記録するとしたが、コントローラ155のフラッシュメモリ等、記憶領域152以外に記録しても良い。
コントローラ155は、ボリューム管理情報153を用いて論理ボリュームへのI/O要求を制御する。また、ファイル管理情報154は、後述する構成管理プログラム144によってアクセスされる情報である。
さらにセキュリティチップ104は、後述するサーバ証明書111を検証するためのサーバ証明書検証データ112と、サーバ102にクライアント101を識別・認証してもらうためのクライアント証明書113と、後述するエージェントプログラム141と後述する構成管理プログラム144のプログラムファイルのハッシュ値や、バス126に接続された機器情報などの監査データ116と、後述する署名データ117で署名されたメッセージを検証するための署名検証データ118と、記憶装置150へのファイルアクセスを制御するためのポリシ(又はポリシー)をあらわすアクセス制御ポリシデータ119を保持する。これらのデータは、セキュリティチップ104の耐タンパ性により、所定の手順以外によるアクセスから保護される。なお、アクセス制御ポリシデータ119は、実施例1では使用しない。
以上のように構成されたクライアント101では、監査プログラム143、エージェントプログラム141、構成管理プログラム144がメモリ122にロードされ、CPU121が上記したプログラム群を実行する。
監査プログラム143は、エージェントプログラム141と構成管理プログラム144が改ざんされていないことを確認するプログラムである。
エージェントプログラム141は、クライアント101でのユーザ操作やデータアクセスを監視し、監視結果をログとして記憶装置150に記録すると共に、記録されたログをサーバ102に送信するプログラムである。またエージェントプログラム141は、ログを記憶装置150に書き出すときには、WORM属性のついたボリュームに書き出すようにプログラムされている。
構成管理プログラム144は、記憶装置150へのファイルアクセスを監視すると共に、ファイル管理情報154を管理するプログラムである。構成管理プログラム144は、クライアント101に搭載されるファイルシステムの一部を構成する。
さらに図1はまた、サーバ102のブロック構成も示している。詳細な説明を省略するが、サーバ102もクライアント101とほぼ同様の構成となる。ただし、相違点として、クライアント101で取得したログを回収するためのマネージャプログラム142の機能を備える。またセキュリティチップ105は、クライアント101にサーバ102を識別・認証してもらうためのサーバ証明書111と、クライアント証明書113を検証するためのクライアント証明書検証データ114と、マネージャプログラム142や構成管理プログラム144のプログラムファイルのハッシュ値や、バス126に接続された機器情報のような監査データ115と、マネージャプログラム142からエージェントプログラム141に送るメッセージを署名するための署名データ117とを保持する。
サーバ102では、監査プログラム143、マネージャプログラム142、構成管理プログラム144がメモリ122にロードされ、CPU121が上記したプログラム群を実行する。
図2は、クライアント101の記憶装置150に格納されるボリューム管理情報153とファイル管理情報154の一例を示した図である。なお、サーバ102の記憶装置150においても同様のボリューム管理情報153とファイル管理情報154を記憶し、管理するものとなる。
ボリューム管理情報153は、ボリューム管理テーブル201と、WORMが設定されたボリュームに対応するボリューム毎に用意されたWORM属性205とを記憶する。
ボリューム管理テーブル201は、ボリューム番号202と、容量203と、I/O制御種別204とを記憶し、管理する。ボリューム番号202は、論理ボリュームの番号を示す。容量203は、論理ボリュームの記憶容量を示す。I/O制御種別204には、通常またはWORMのいずれかの属性が構成管理プログラム144によって設定される。I/O制御種別204に通常が設定されたボリュームについては、全てのセクタに対する参照、更新が共に可能である。一方、I/O制御種別204にWORMが設定されたボリュームについては、後述するWORM属性205に設定された条件に基づいて、全てのセクタあるいは一部の特定のセクタに対する更新が制限される。
WORM属性205には、設定された更新禁止領域を示す情報が0個以上含まれる。WORM属性205は、更新禁止領域の開始番地206と終了番地207の組と、ライトフラグ208のONまたはOFFによって構成されており、これらの情報は構成管理プログラム144によって設定される。開始番地206と終了番地207は、各々開始セクタ番号と終了セクタ番号を示す。ライトフラグ208は、更新禁止領域に対し、1回の更新または書き込みができるか否かを示す。ONは、更新禁止領域に対し、1回の更新または書き込みができることを示し、OFFは、書き込みおよび更新ができないことを示す。初期状態ではONに設定されている。
ファイル管理情報154は、ファイルを書き込んだセクタの情報として、ボリューム番号216、パス名211と、パス名211で指定されるファイルの開始番地212と終了番地213の組と、記憶装置ID214を記憶し、管理する。記憶装置ID214には、ファイルがどこで新規作成されたかを示す属性情報として、セキュリティチップ104の固有IDを記録し、サーバ102の記憶装置にコピーする時には、記憶装置ID214が継承されるものである。フラグメント情報215は、ファイルが複数のセクタに分断して書き込まれる場合の管理情報を記憶する。図2の例では、各ログファイルの記憶領域は、各更新禁止領域に対応している。
本実施形態では、サーバ102が保持するボリューム管理情報153およびファイル管理情報154は、クライアント101が保持するボリューム管理情報153およびファイル管理情報154と同様の構成をとるとしたが、クライアント101とまったく同じ構成である必要はない。
つぎに図3から図5を使って、ログ保全システム100において、クライアント101が行うログ取得、およびサーバ102が行うログ回収の処理の流れを説明する。
図3は、クライアント101の電源投入時における処理の一例を示すフローチャートである。
クライアント101の電源が投入されると、ステップ301において、BIOSチップ123からBIOSが起動する。つぎにステップ302において、BIOSは、セキュリティチップ104の保持する監査データ116を使って、バス126に接続された記憶装置150があらかじめ決められた正当な機器であるかどうかをチェックする。もし正当な機器でないならば、ステップ311において、表示部125にアラートを出し、ステップ312において、クライアント101の電源をOFFにする。
ステップ302において、記憶装置150が正当な機器であることを確認すると、ステップ303において、BIOSは、OS(Operating System)を起動する。OSが起動を完了すると、ステップ304において、監査プログラム143がセキュリティチップ104の監査データ116を使って、エージェントプログラム141と構成管理プログラム144のプログラムファイルが改ざんされていないことを確認する。例えば、セキュリティチップ104は、監査データ116に記録されたプログラムファイルのハッシュ値と、ステップ304の処理を実行する時のエージェントプログラム141等のプログラムファイルのハッシュ値とを比較し、両者のハッシュ値が一致していれば正しいプログラムであると判定し、監査プログラム143に通知する。もし、正しいプログラムでないと判定すると、監査プログラム143は、ステップ311と同様に表示部125にアラートを出し、ステップ312と同様にクライアント101の電源をOFFにする。
ステップ304でエージェントプログラム141等が正しいと判定すると、ステップ305において、監査プログラム143は、構成管理プログラム144を起動する。以降、クライアント101で発生する記憶装置150へのアクセスについては全て構成管理プログラム144が監視する。つづいてステップ306において、エージェントプログラム141を起動する。以降、クライアント101で発生するユーザの操作やデータアクセスなどについては全てエージェントプログラム141が監視する。ステップ307において、エージェントプログラム141は、監視した結果をログとして記憶装置150に書き込むが、ステップ307についてはさらに図4を使って詳細に説明する。
ステップ308において、構成管理プログラム144は、記憶装置150の記憶領域が一杯であるかどうかを判定する。判定は例えば、書き込み可能領域が所定の値より小さければ一杯であると判定する。もし記憶装置150が一杯であれば、ステップ311と同様に、表示部125にアラートを表示し、ステップ312と同様に、クライアント101の電源をOFFにする。あるいは、ステップ312において、サーバ102にアラートを表示部125に表示してもよい。
ステップ309において、エージェントプログラム141は、マネージャプログラム142との通信路を確立することを試みる。通信路の確立は、まずエージェントプログラム141がセキュリティチップ104のクライアント証明書113を、通信装置124を介してサーバ102に送信する。サーバ102のマネージャプログラム142は、受け取ったクライアント証明書113を、セキュリティチップ105のクライアント証明書検証データ114を使って検証する。検証に成功すると、マネージャプログラム142は、サーバ証明書111を、通信装置124を介してクライアント101に送信する。エージェントプログラム141は、受け取ったサーバ証明書111を、サーバ証明書検証データ112を使って検証する。検証に成功すると、通信路を暗号化するための鍵を交換することなどを行い、クライアント101とサーバ102の間の通信路を確立する。以上の処理が全て成功すると、つづいてステップ310において、クライアント101の記憶装置150からログの回収を行うが、ステップ310については図5を使って詳細に説明する。またステップ309において、通信路の確立に失敗すると、ふたたびステップ307に戻る。
以上の処理により、クライアント101の電源投入時の処理が完了する。あとは電源をOFFにするまで、ステップ307からステップ310までの処理を繰り返す。
なおサーバ102の電源投入時についても、図3に示したフローチャートとほぼ同様のものとなるが、サーバ102に特有の処理として、ステップ304においては、監査プログラム143は、マネージャプログラム142と構成管理プログラム144があらかじめ決められた正当なプログラムであることを判定する。またステップ306においては、マネージャプログラム142を起動するものとなる。さらに、ステップ309およびステップ310においては、マネージャプログラム142がエージェントプログラム141からのログを回収するものとなるが、ログ回収のサーバ102における処理については、図5を使って詳細に説明する。
つづいて図4を使って、ステップ307で説明した、記憶装置150への書き込み処理について詳細に説明する。実施例1においては、ログファイルの更新を防ぐために、記憶装置150のWORM機能を利用した実施形態をとる。
ステップ401において、構成管理プログラム144は、記憶装置150へのファイルアクセスを監視し、書き込みを検出する。ステップ402において、構成管理プログラム144は、ファイル管理情報154を参照し、ボリューム番号216とパス名211の組で指定されるファイル単位の書き込み要求を、開始番地212と終了番地213の組で指定されるセクタ単位のI/O要求に変換する。もし、ファイル管理情報154にないファイル書き込み要求ならば、当該ファイル書き込み要求に関するファイル管理情報を新たなエントリとしてファイル管理情報154に追加する。構成管理プログラム144が所属するファイルシステムは、記憶装置150に対してI/O要求を発行する。
ステップ403において、コントローラ155は、記憶装置150へのI/O要求を受け付ける。つぎにステップ404において、コントローラ155はボリューム管理情報153のボリューム管理テーブル201を参照し、書き出し先のボリュームのI/O制御種別204を調べる。I/O制御種別がWORMならば、ステップ405において、ボリューム管理情報153のWORM属性205を参照し、書き込み先セクタが所属する更新禁止領域のライトフラグ208を判定する。もしライトフラグがONならば、ステップ406において、ステップ401で書き込み要求のあったファイルに対応した新たなセクタ領域を確保し、WORM属性205の更新禁止領域の新たなエントリを追加する。さらにライトフラグ208をOFFにする。その後、ステップ407において、ステップ401で書き込み要求のあったファイルを、論理ボリューム151に書き込む。
もしステップ404において、書き出し先ボリュームのI/O制御種別204が通常ならば、ステップ407で示したように、ファイルを論理ボリューム151に書き込む。
また、もしステップ405において、ライトフラグ208がOFFならば、ステップ409において、セクタ領域への更新を禁止する。さらにステップ410において、表示部125にアラートを通知する。
以上のコントローラ155の処理が完了すると、構成管理プログラム144に制御が戻り、ステップ408において、構成管理プログラム144は、ファイル管理情報154のエントリを更新する。すなわち当該ファイルのエントリがあれば、書き込んだ領域に対応して開始番地212と終了番地213を記録する。当該ファイルのエントリがなければ、ボリューム番号216から記憶装置ID214に至るまでのファイル管理情報を記録する。なお、記憶装置ID214には、セキュリティチップ104の保持する固有のIDを記録する。
なおサーバ102における記憶150へのファイル書き込みについても、図4に示すフローチャートと同様の処理を行う。これにより、ログファイルの更新を防ぐことができる。
図5は、ステップ310で示した、サーバ102によるログファイルの回収の流れの詳細を示すフローチャートである。
ステップ501において、エージェントプログラム141は、記憶装置150に書かれたログファイルを読み出し、ステップ309で確立した通信路を経由して、サーバ102にそのログファイルと、ログファイルに対応するファイル管理情報154の記憶装置ID214とを送信する。
ステップ502において、マネージャプログラム142は、ログファイルと記憶装置ID214とを受信する。続くステップ307において、このログファイルをサーバ102の記憶装置150に保存する。ここで、マネージャプログラム142は、I/O制御種別204がWORMであるボリュームに対してログを書き込むよう、プログラムされているものである。ここで、記憶装置150に保存するときの詳細なフローチャートは、図4に示した処理とほぼ同様であるが、ステップ408においてステップ502で受信した記憶装置ID214をファイル管理情報154に記録する点のみが異なるものとなる。記憶装置150への保存が完了すると、つぎにステップ503において、ログの保存が完了したためにクライアント101側のログファイルを削除しても構わない旨のログ削除メッセージを生成する。この時、ログ削除メッセージは、メッセージを出すごとに異なるものとなるように構成する。例えば、書き込んだログのファイルのハッシュ値を含めて、ログ削除メッセージを構成する。ログ削除メッセージを毎回変更する理由は、リプレイの攻撃によりログ領域が不正に削除されるのを防ぐためである。ステップ504において、マネージャプログラム142は、ログ削除メッセージに署名データ117を使って署名を施す。ステップ505において、クライアント101に署名のついたログ削除メッセージを送信する。
ステップ506において、エージェントプログラム141は、ログ削除メッセージを受信する。ステップ507において、ログ削除メッセージを、署名検証データ118を使って検証し、正当なサーバから送られてきたメッセージであるかどうかを判定する。もし正当なサーバからのメッセージであれば、ステップ508において、構成管理プログラム144に命じて、該当するファイルが占有していたボリューム管理情報153の更新禁止領域のWORM属性205のライトフラグ208をONにし、該当する論理ボリューム151のセクタ領域を削除する。なお、論理ボリューム151のセクタ領域の削除については、パス名などのファイル管理情報154を削除するだけでも良い。あるいは論理ボリューム151の該当領域を所定の文字で上書きしてから、パス名などのファイル管理情報154を削除するものであっても良い。さらには論理ボリューム151の該当領域を所定の文字で上書きし、ファイルサイズを0にしてから、パス名などのファイル管理情報154は残しておくものであっても良い。
ステップ507において、もし正当なサーバからのメッセージでないならば、エージェントプログラム141は、マネージャプログラム142に対して、サーバ102の記憶装置155に書き込んだログを削除する要求を出す。ステップ509において、マネージャプログラム142は、ログを削除する。さらにステップ510において、エージェントプログラム141は、ログの回収が失敗したメッセージを表示部125にアラートとして出す。
以上のログの回収処理が完了することにより、クライアント102の記憶装置150のログ記憶領域を再利用することができるようになり、ログの保全性を確保するとともに記憶装置150の圧迫を防止することができる。
図6は、クライアント101のログファイルをサーバ102に回収するまでの状態遷移をあらわした図である。まずそれぞれの状態について説明する。
状態601は、まだクライアント101でログが何もない状態である。状態607は、クライアント101の記憶装置150にサイズが0のファイルを作成した状態である。状態606は、クライアント101の記憶装置150にログファイルを書き込み中の状態である。状態602は、クライアント101の記憶装置150にログが書き込まれた状態である。状態603は、クライアント101からサーバ102にログをコピー中の状態である。状態604は、クライント101からサーバ102へのログのコピーが完了した状態である。状態608は、クライアント101の記憶装置150に書き込んだファイルの内容を削除した状態である。状態605は、クライアント101の記憶装置150のWORM保護領域が再利用可能になった状態である。
次に同じ図6を使って、状態の遷移について説明する。状態601から状態607への遷移は、ログファイルの新規作成618により行われる。状態607から状態606への遷移は、ログファイルの書き込み開始610により行われる。状態606から状態602への遷移は、ログファイルの書き込み完了611により行われる。状態602から状態603への遷移は、ログ回収開始612により行われる。また、状態603から状態602への遷移は、ログ回収の前提として必要となる通信路の通信失敗613などのエラー時に行われる。状態603から状態604への遷移は、ログ回収終了614により行われる。また、状態604から状態603への遷移は、ログ回収の前提として必要となる通信路の通信失敗615などのエラー時に行われる。状態604から状態608への遷移は、クライアント101に記録されたログの削除成功616により行われる。また、状態604から状態602への遷移は、ログの削除失敗617などのエラー時に行われる。状態608から状態605への遷移は、クライアント101に記録されたログファイルのパス削除619により行われる。
以上の状態遷移図により、一度クライアント101に書き込まれたログを確実にサーバ102で回収すると共に、クライアント101の記憶装置150を効率良く再利用することができることを示している。
図7は、ログ保全システム100を導入した場合のクライアント101のライフサイクルの一例を説明する図である。
クライアント101に対しては、まずフェーズ701において、セキュリティチップ104に、サーバ証明書検証データ112と、クライアント証明書113と、署名検証データ118を所定の手順を踏んで書き込む。このとき、クライアント証明書113は、信頼可能な認証局から発行してもらうものである。
フェーズ702において、フェーズ701で発行してもらったクライアント証明書113を検証するためのクライアント証明書検証データ114を、サーバ102のセキュリティチップ105に所定の手順を踏んで書き込む。サーバ102は、管理対象となるクライアント101の台数分のクライアント証明書検証データ114を保持する。
フェーズ703において、クライアント101に、監査プログラム143、エージェントプログラム141、構成管理プログラム144のプログラムをインストールする。
フェーズ704において、クライアント101のセキュリティチップ104に、エージェントプログラム141と構成管理プログラム144のプログラムファイルのハッシュ値と、バス126で接続された機器の構成情報など、監査データ116を所定の手順を踏んで書き込む。
以上のフェーズが完了すると、フェーズ705において、ユーザによるクライアント101の利用を開始する。
フェーズ705において、もしエージェントプログラム141や構成管理プログラム144にセキュリティホールが発見されるなど、プログラムの更新の必要がある場合には、フェーズ706において、各種プログラムの再インストールを行い、つづいてフェーズ704と同様に、監査データ116を所定の手順を踏んで更新する。
またフェーズ705において、もし記憶装置150が故障した場合や、空き容量が所定の値以下になった場合には、フェーズ707で記憶装置150を交換し、つづいてフェーズ704と同様に、監査データ116を所定の手順を踏んで更新する。
本実施形態においては、フェーズ705はユーザにクライアント101が渡された時点をあらわすものであり、その他のフェーズはすべて、例えばシステム管理者あるいは保守員にクライアント101が渡された時点をあらわすものである。
以上説明してきた実施例1の実施形態においては、ログファイルの更新を防止するために、記憶装置150の有するWORM機能を利用することで実現した。実施例2の実施形態においては、記憶装置150はWORM機能を持たず、代替手段として、構成管理プログラム144がアクセス制御ポリシデータ119の通りに記憶装置150へのアクセスを制御してログファイルの更新を防止する方法について説明する。なお、実施例2の実施形態においては、WORM属性205とファイル管理情報154を使用しない。
図8は、アクセス制御ポリシデータ119の詳細を説明した図である。アクセス制御ポリシデータ119は、許可プログラムテーブル800と、保護対象フォルダテーブル810と、アクセス制御テーブル820とを記憶する。
アクセス制御テーブル820は、構成管理プログラム144が記憶装置150へのアクセスを制御するためのポリシが記述されたものである。すなわち、記憶装置150へのアクセス対象となるファイルが、ボリューム番号821とファイルパス名822の組で指定されるファイルへのアクセスであった場合、許可プログラム識別子823で識別されるプログラムからのアクセスだけを許可し、それ以外のプログラムからのアクセスを禁止する。ボリューム番号821は、ファイル実体が格納されるボリュームの番号である。
許可プログラムテーブル800は、アクセス制御テーブル820の許可プログラム識別子823で識別されるプログラムを指定する。プログラムは、ボリューム番号801とプログラムパス名802の組によって一意に識別される、あるいは、たとえばプログラムファイルのハッシュ値といったプログラム特徴値803によって一意に識別される、あるいは、両方によって一意に識別されるものである。ボリューム番号801は、プログラムの実体が格納されるボリュームの番号である。
保護対象フォルダテーブル810は、アクセス制御テーブル820で保護対象となるファイルの領域を指定するものである。ボリューム番号811とパス名812の組で指定されるフォルダ中のファイルが該当する場合に、アクセス制御テーブル820にあるポリシで保護される対象ファイルとなる。
なお保護対象フォルダテーブル810およびアクセス制御テーブル820のエントリをフォルダ名やファイルパス名で指定する代わりに、セクタの開始番地と終了番地など、記憶領域のアドレス範囲で設定してもよい。
図9は、実施例2における構成管理プログラム144の動作を示すフローチャートである。ステップ901においては、構成管理プログラム144は、記憶装置150への書き込みを監視する。ステップ902においては、セキュリティチップ104にあるアクセス制御ポリシデータ119を読み込み、照合を開始する。なお、アクセス制御ポリシデータ119は、一度読み込んだ後は、構成管理プログラム144がメモリ122に保持するものであっても良い。
ステップ903においては、書き込み対象となるファイルが、保護対象フォルダテーブル810で指定されるフォルダ以下にあるかどうかを判定する。もし、そのフォルダ以下にないならば、ステップ402の変換をした後、記憶装置150に対してI/O要求を発行する。ステップ907において、コントローラ155が、記憶装置150へのI/O要求を受け付け、ステップ908において、論理ボリューム151にファイルを書き込む。
ステップ903において、保護対象とするフォルダ以下にあるならば、つづくステップ904において、許可プログラムテーブル800との照合を行い、書き込みを許可されたプログラムからの書き込み要求であるかどうかを判定する。もし、書き込みを許可されたプログラム以外からの要求ならば、ステップ910において、書き込みを禁止し、つづくステップ911において、表示部125にアラートを出しユーザに通知する。
ステップ904において、書き込みを許可されたプログラムからの書き込み要求ならば、つづくステップ905において、書き込み対象となるファイルがアクセス制御テーブル820にあるかどうかを判定する。許可プログラムからの書き込み要求であることを確認するために、構成管理プログラム144からセキュリティチップ105へ当該許可プログラムのプログラム特徴値を送信し、セキュリティチップ105がプログラム特徴値803と照合して許可プログラムからの要求と認証してもよい。もしアクセス制御テーブル820にないならば、ステップ909において、アクセス制御テーブル820に書き込み要求を許可するようなエントリを追加し、ステップ402の変換とI/O要求の発行を経由した後、ステップ907およびステップ908と同様にファイル書き込みを行う。
ステップ905において、アクセス制御テーブル820にあるならば、つづくステップ906において、許可プログラム識別子823が一致しているかどうかを判定する。もし一致しているならば、ステップ402の変換とI/O要求の発行を経由した後、ステップ907およびステップ908と同様にファイル書き込みを行う。もし、一致していないならば、ステップ910およびステップ911と同様に書き込みを禁止する。
以上の処理により、構成管理プログラム144は、ログファイルの追記を行うエージェントプログラム141が書き込んだログファイルに対し、エージェントプログラム141以外のプログラムからのアクセスを禁止することによって、ログファイルの不正な更新を防止することができる。
また、実施例2における、サーバ102からのログ削除メッセージを受けたクライアント101における処理については、図5に示したものとほぼ同様である。ただし、ステップ508において、エージェントプログラム141は、構成管理プログラム144に命じ、アクセス制御ポリシデータ119のアクセス制御テーブル820から、サーバ102にコピーが完了したログファイルを保護していたエントリを削除する。これは当該ログファイルをその記憶領域から削除するのと等価である。
さらに、第2の実施例における、クライアント101のライフサイクルについては、図7に示したのとほぼ同様であるが、ステップ704において、アクセス制御ポリシデータ119を所定の手順を踏んでセキュリティチップ104に書き込むものとなる。
以上説明してきた実施例2により、記憶装置150に書き込まれたログファイルの不正な更新を防止すると共に、サーバ102にログファイルが書き込まれた後はクライアント101の記憶装置150を再利用することを、記憶装置150のWORM機能を利用せずに、構成管理プログラム144のアクセス制御機能により実現することができる。
以上述べたログ保全システムは、クライアント・サーバ型のシステム全般に適用することができる。クライアントPC以外にも、携帯電話やPDAといった可搬機器にも適用することができる。
100:ログ保全システム、101:クライアント、102:サーバ、104:セキュリティチップ、105:セキュリティチップ、119:アクセス制御ポリシデータ、141:エージェントプログラム、142:マネージャプログラム、143:監査プログラム、144:構成管理プログラム、150:記憶装置、153:ボリューム管理情報、154:ファイル管理情報、155:コントローラ。
Claims (10)
- クライアントが該クライアントで実行されたユーザ操作やデータアクセスの履歴をログファイルに記録し、サーバがネットワークを介して前記ログファイルを回収して保存するログ保全方法において、
前記クライアントは、
前記ログファイルの書き込み要求に対し、その記憶装置上の前記ログファイルの書き込み領域の属性が書き込み可能であれば、前記ログファイルを当該書き込み領域に記録するとともに、当該書き込み領域の属性を書き込み禁止に更新し、
書き込まれた前記ログファイルを読み出して前記サーバへ送信し、
前記サーバは、
前記ログファイルを受信して自身の記憶装置に書き込み、
前記ログファイルの削除を指示するメッセージを前記クライアントへ送信し、
前記クライアントは、前記メッセージを受信し、前記書き込み領域の属性を書き込み可能に更新することを特徴とするログ保全方法。 - 前記クライアントの前記記憶装置は、前記書き込み領域の属性を保持し、前記ログファイル書き込みのためのI/O要求に応答し、前記記憶装置自身が当該書き込み領域の属性を書き込み不可に更新して、前記ログファイルを当該書き込み領域に記録することを特徴とする請求項1記載のログ保全方法。
- 前記サーバは、前記メッセージをメッセージ発行ごとに異なる内容とし、前記メッセージを受信した前記クライアントは、前記メッセージが正当な場合に前記書き込み領域の属性を書き込み可能に更新することを特徴とする請求項1記載のログ保全方法。
- クライアントが該クライアントで実行されたユーザ操作やデータアクセスの履歴をログファイルに記録し、サーバがネットワークを介して前記ログファイルを回収して保存するログ保全方法において、
前記クライアントは、
改ざんがないことを確認された許可プログラムが記憶装置上のログ書き込み領域への前記ログファイルの書き込みを要求するものであれば、前記ログファイルを当該書き込み領域に記録し、
書き込まれた前記ログファイルを読み出して前記サーバへ送信し、
前記サーバは、
前記ログファイルを受信して自身の記憶装置に書き込み、
前記ログファイルの削除を指示するメッセージを前記クライアントへ送信し、
前記クライアントは、前記メッセージを受信し、前記ログ書き込み領域上の前記ログファルを削除することを特徴とするログ保全方法。 - 前記クライアントのセキュリティチップは、前記許可プログラムの識別子と保護対象の前記ログ書き込み領域に関する情報とを保持し、前記ログファイルが記録された前記ログ書き込み領域に関する情報を保持することを特徴とする請求項4記載のログ保全方法。
- 前記サーバは、前記メッセージをメッセージ発行ごとに異なる内容とし、前記メッセージを受信した前記クライアントは、前記メッセージが正当な場合に前記ログファイルを削除することを特徴とする請求項4記載のログ保全方法。
- 計算機内で実行されたユーザ操作やデータアクセスの履歴をログファイルに記録するクライアントと、ネットワークを介して前記ログファイルを回収して保存するサーバとを有するログ保全システムにおいて、
前記クライアントは、前記ログファイルの書き込み要求に対し、その記憶装置上の前記ログファイルの書き込み領域の属性が書き込み可能であれば、前記ログファイルを当該書き込み領域に記録するとともに、当該書き込み領域の属性を書き込み禁止に更新する手段と、
書き込まれた前記ログファイルを読み出して前記サーバへ送信する手段と、
前記サーバから前記ログファイルの削除を指示するメッセージを受信し、前記書き込み領域の属性を書き込み可能に更新する手段とを有し、
前記サーバは、
前記ログファイルを受信して自身の記憶装置に書き込む手段と、
前記メッセージを前記クライアントへ送信する手段とを有することを特徴とするログ保全システム。 - 計算機内で実行されたユーザ操作やデータアクセスの履歴をログファイルに記録するクライアントと、ネットワークを介して前記ログファイルを回収して保存するサーバとを有するログ保全システムにおいて、
前記クライアントは、改ざんがないことを確認された許可プログラムが記憶装置上のログ書き込み領域への前記ログファイルの書き込みを要求するものであれば、前記ログファイルを当該書き込み領域に記録する手段と、
書き込まれた前記ログファイルを読み出して前記サーバへ送信する手段と、
前記サーバから前記ログファイルの削除を指示するメッセージを受信し、前記ログ書き込み領域上の前記ログファイルを削除する手段とを有し、
前記サーバは、前記ログファイルを受信して自身の記憶装置に書き込む手段と、
前記メッセージを前記クライアントへ送信する手段とを有することを特徴とするログ保全システム。 - クライアント側のコンピュータに該クライアントで実行されたユーザ操作やデータアクセスの履歴をログファイルに記録し、サーバ側のコンピュータにネットワークを介して前記ログファイルを回収して保存する手順を実行させるためのプログラムであって、
前記クライアントに、
前記ログファイルの書き込み要求に対し、その記憶装置上の前記ログファイルの書き込み領域の属性が書き込み可能であれば、前記ログファイルを当該書き込み領域に記録するとともに、当該書き込み領域の属性を書き込み禁止に更新し、
書き込まれた前記ログファイルを読み出して前記サーバへ送信し、
前記サーバから前記ログファイルの削除を指示するメッセージを受信し、前記書き込み領域の属性を書き込み可能に更新する手順を実行させ、
前記サーバに、
前記ログファイルを受信して自身の記憶装置に書き込み、
前記メッセージを前記クライアントへ送信する手順を実行させるためのプログラム。 - クライアント側のコンピュータに該クライアントで実行されたユーザ操作やデータアクセスの履歴をログファイルに記録し、サーバ側のコンピュータにネットワークを介して前記ログファイルを回収して保存する手順を実行させるためのプログラムであって、
前記クライアントに、改ざんがないことを確認された許可プログラムが記憶装置上のログ書き込み領域への前記ログファイルの書き込みを要求するものであれば、前記ログファイルを当該書き込み領域に記録し、
書き込まれた前記ログファイルを読み出して前記サーバへ送信し、
前記サーバから前記ログファイルの削除を指示するメッセージを受信し、前記ログ書き込み領域上の前記ログファイルを削除する手順を実行させ、
前記サーバに、前記ログファイルを受信して自身の記憶装置に書き込み、
前記メッセージを前記クライアントへ送信する手順を実行させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006106172A JP2007280096A (ja) | 2006-04-07 | 2006-04-07 | ログ保全方法、プログラムおよびシステム |
| US11/691,581 US20070250547A1 (en) | 2006-04-07 | 2007-03-27 | Log Preservation Method, and Program and System Thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006106172A JP2007280096A (ja) | 2006-04-07 | 2006-04-07 | ログ保全方法、プログラムおよびシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007280096A true JP2007280096A (ja) | 2007-10-25 |
Family
ID=38620726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006106172A Withdrawn JP2007280096A (ja) | 2006-04-07 | 2006-04-07 | ログ保全方法、プログラムおよびシステム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20070250547A1 (ja) |
| JP (1) | JP2007280096A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100022171A (ko) * | 2008-08-19 | 2010-03-02 | 삼성전자주식회사 | 스레드 지향 로깅 시스템에서 로그 저장 방법 및 장치 |
| JP2014170327A (ja) * | 2013-03-01 | 2014-09-18 | Canon Electronics Inc | 情報処理装置およびその制御方法、並びに、情報処理システム |
| KR101575992B1 (ko) | 2014-12-30 | 2015-12-09 | 한국조폐공사 | 펌웨어 이벤트로그의 안전한 저장이 가능한 기계장치 및 이의 이벤트로그 저장방법 |
| US9767280B2 (en) | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| JP2018506809A (ja) * | 2015-11-13 | 2018-03-08 | 小米科技有限責任公司Xiaomi Inc. | システムパーティションファイルを監視する方法及び装置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010103566A1 (en) * | 2009-03-10 | 2010-09-16 | Hitachi, Ltd. | Storage apparatus, management apparatus, and method of controlling storage apparatus |
| US20110145517A1 (en) * | 2009-12-10 | 2011-06-16 | International Business Machines Corporation | Dynamic reuse and reconfiguration of logical data objects in a virtual tape system |
| JP2015090682A (ja) * | 2013-11-07 | 2015-05-11 | キヤノン株式会社 | 画像形成装置、その制御方法及びプログラム |
| CN109542850B (zh) * | 2018-11-20 | 2021-11-19 | 郑州云海信息技术有限公司 | 一种文件的worm属性更新方法、装置、设备及介质 |
| US12056251B2 (en) * | 2020-03-18 | 2024-08-06 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
| US12099627B2 (en) * | 2021-08-09 | 2024-09-24 | Fmr Llc | Secure compliant storage of server access data |
| CN117216017A (zh) * | 2023-09-14 | 2023-12-12 | 百融至信(北京)科技有限公司 | 一种审计日志采集方法及装置 |
| CN117194346B (zh) * | 2023-11-06 | 2024-01-23 | 上海合见工业软件集团有限公司 | 一种下载文件清除方法、电子设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6862689B2 (en) * | 2001-04-12 | 2005-03-01 | Stratus Technologies Bermuda Ltd. | Method and apparatus for managing session information |
| US6910159B2 (en) * | 2002-02-20 | 2005-06-21 | Microsoft Corporation | System and method for gathering and automatically processing user and debug data for mobile devices |
-
2006
- 2006-04-07 JP JP2006106172A patent/JP2007280096A/ja not_active Withdrawn
-
2007
- 2007-03-27 US US11/691,581 patent/US20070250547A1/en not_active Abandoned
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100022171A (ko) * | 2008-08-19 | 2010-03-02 | 삼성전자주식회사 | 스레드 지향 로깅 시스템에서 로그 저장 방법 및 장치 |
| US9767280B2 (en) | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| JP2014170327A (ja) * | 2013-03-01 | 2014-09-18 | Canon Electronics Inc | 情報処理装置およびその制御方法、並びに、情報処理システム |
| KR101575992B1 (ko) | 2014-12-30 | 2015-12-09 | 한국조폐공사 | 펌웨어 이벤트로그의 안전한 저장이 가능한 기계장치 및 이의 이벤트로그 저장방법 |
| JP2018506809A (ja) * | 2015-11-13 | 2018-03-08 | 小米科技有限責任公司Xiaomi Inc. | システムパーティションファイルを監視する方法及び装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070250547A1 (en) | 2007-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20070250547A1 (en) | Log Preservation Method, and Program and System Thereof | |
| US9165155B2 (en) | Protecting the integrity and privacy of data with storage leases | |
| US9881013B2 (en) | Method and system for providing restricted access to a storage medium | |
| CN100489728C (zh) | 一种建立计算机中可信任运行环境的方法 | |
| JP4854000B2 (ja) | 機密ファイル保護方法 | |
| US20030221115A1 (en) | Data protection system | |
| JP5346608B2 (ja) | 情報処理装置およびファイル検証システム | |
| JP2002318719A (ja) | 高信頼計算機システム | |
| JP2011210129A (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
| US11188321B2 (en) | Processing device and software execution control method | |
| CN101187903A (zh) | 外部存储装置 | |
| JP2008234217A (ja) | 情報処理装置、情報保護方法及び画像処理装置 | |
| JP5087502B2 (ja) | 操作ログ管理装置及び操作ログ管理方法 | |
| JP4338989B2 (ja) | メモリデバイス | |
| CN1749907A (zh) | 可拆卸的媒体中的内容的使用期限管理系统及方法 | |
| JP2009223787A (ja) | 情報処理装置及び方法、並びにプログラム | |
| WO2023090297A1 (ja) | 記憶装置及びプログラム | |
| CN111506897B (zh) | 数据处理方法和装置 | |
| JP2009169868A (ja) | 記憶領域アクセス装置及び記憶領域のアクセス方法 | |
| EP3979111B1 (en) | File system protection apparatus and method in auxiliary storage device | |
| CN111008389B (zh) | 基于卫星中文件系统的数据处理方法及装置 | |
| CN113515779A (zh) | 文件的完整性校验方法、装置、设备及存储介质 | |
| JP5337675B2 (ja) | 端末管理システム及び方法 | |
| JP2003140971A (ja) | データ改竄検出システム | |
| CN119201544A (zh) | 一种计算机数据安全自动备份系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080903 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091016 |