JP7776175B2 - Encryption system, encryption device, encryption method, and program - Google Patents
Encryption system, encryption device, encryption method, and programInfo
- Publication number
- JP7776175B2 JP7776175B2 JP2024505796A JP2024505796A JP7776175B2 JP 7776175 B2 JP7776175 B2 JP 7776175B2 JP 2024505796 A JP2024505796 A JP 2024505796A JP 2024505796 A JP2024505796 A JP 2024505796A JP 7776175 B2 JP7776175 B2 JP 7776175B2
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- range
- log
- unit
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、暗号化システム、暗号化装置、暗号化方法、及びプログラムに関する。 The present disclosure relates to an encryption system, an encryption device, an encryption method, and a program.
様々な種類の装置において、昨今の高機能化によりログのデータ量が増大してきている。また、装置の種類や取り扱う情報によっては、ログデータの収集は秘匿性を保つことが求められる。 The amount of log data generated by various types of devices is increasing due to their recent advances in functionality. Furthermore, depending on the type of device and the information handled, it may be necessary to maintain confidentiality when collecting log data.
例えば、特許文献1には、専用のツールや専用のユーザインタフェースを用いることなく、第三者への情報漏洩を防止した状態でログ情報を収集することを目的としたログ収集システムが記載されている。上記ログ収集システムは、フォーマット部、ログ取得部、暗号化部、及びログ書出部を備える。上記フォーマット部は、情報の読み書きが可能な外部メディアに対し、公開鍵をボリュームラベルに含めるフォーマットを行う。上記ログ取得部は、外部メディアが接続された際に、ログ情報を取得する。上記暗号化部は、取得したログ情報をボリュームラベルに含まれる公開鍵により暗号化する。上記ログ書出部は、暗号化したログ情報を外部メディアに書き出す。 For example, Patent Document 1 describes a log collection system that aims to collect log information without using dedicated tools or a dedicated user interface, while preventing information leakage to third parties. The log collection system includes a formatting unit, a log acquisition unit, an encryption unit, and a log writing unit. The formatting unit formats external media from and to which information can be read and written, by including a public key in the volume label. The log acquisition unit acquires log information when the external media is connected. The encryption unit encrypts the acquired log information with the public key included in the volume label. The log writing unit writes the encrypted log information to the external media.
また、秘匿性を保ちつつログデータを収集するために、特許文献1に記載の技術とは異なりファイル単位で暗号化する手法を採用することもできる。しかしながら、そのような手法では、装置の演算リソースを占有してしまい、運用中の装置への負荷を上げるリスクがあるといった課題がある。そのため、部分的に暗号化を実施することで、演算リソースの負荷低減を図る手法が提案されている。 In addition, to collect log data while maintaining confidentiality, a method of encrypting files at the file level, unlike the technology described in Patent Document 1, can be adopted. However, such a method poses the risk of monopolizing the computing resources of the device and increasing the load on the device during operation. For this reason, a method has been proposed that reduces the load on computing resources by encrypting only parts of the data.
また、特許文献2には、複雑な暗号化アルゴリズムによる処理を不要とすることにより高速回線に適応させ、冗長ビットによる伝送効率の悪化を抑制し、簡易な方式によりデータの秘匿を可能とすることを目的としたパケット通信方法が記載されている。上記パケット通信方法は、ビット同期によるデータ通信の際のデータの盗聴、改竄を防止するためのパケット通信方法であって、挿入ステップ、受信不可能ステップ、及び受信可能ステップを有する。上記挿入ステップは、伝送されるデータの単位であるフレームの開始、終了を示す同期フラグシーケンスをパケット通信におけるフレーム長が最小フレーム長以下となるように擬似的に挿入する。上記受信不可能ステップは、不許可の受信側では、最小フレーム長以下のフレームをショートフレームとして破棄させることにより盗聴、改竄しようとする不許可者の受信を不可能にする。上記受信可能ステップは、許可者の受信側では、擬似的に挿入された同期フラグシーケンスを削除して最小フレーム長以下のフレームを正規フレームとして受信することを可能にする。 Patent Document 2 also describes a packet communication method that is adaptable to high-speed lines by eliminating the need for processing using complex encryption algorithms, suppresses deterioration in transmission efficiency due to redundant bits, and enables data confidentiality using a simple method. The packet communication method is designed to prevent data eavesdropping and tampering during bit-synchronized data communication, and includes an insertion step, a reception disabling step, and a reception enabling step. The insertion step artificially inserts a synchronization flag sequence indicating the start and end of a frame, which is a unit of transmitted data, so that the frame length in packet communication is equal to or less than the minimum frame length. The reception disabling step causes an unauthorized receiving side to discard frames shorter than the minimum frame length as short frames, thereby disabling reception by unauthorized parties attempting to eavesdrop or tamper with the data. The reception enabling step deletes the artificially inserted synchronization flag sequence, allowing an authorized receiving side to receive frames shorter than the minimum frame length as regular frames.
特許文献3には、既存のWWW(World Wide Web)サーバやWWWブラウザに暗号機能を追加する必要のない、データ暗号化方法が記載されている。上記データ暗号化方法は、暗号化処理方法を含むデータ処理方法を指定する命令が組み込まれた暗号化対象データに対して、組み込まれた命令に従って暗号化処理を含むデータ処理を行なう。上記データ暗号方法は、暗号化する範囲を指定する暗号化範囲指定命令が組み込まれた暗号化対象データに対して、暗号化範囲指定命令で指定された範囲を暗号化する。 Patent Document 3 describes a data encryption method that does not require adding encryption functions to existing WWW (World Wide Web) servers or WWW browsers. The data encryption method performs data processing, including encryption, on data to be encrypted, which has embedded instructions specifying a data processing method, including an encryption processing method, in accordance with the embedded instructions. The data encryption method encrypts the range specified by the encryption range specification instruction for data to be encrypted, which has embedded encryption range specification instructions specifying the range to be encrypted.
特許文献4には、ユーザデータの秘匿性と障害解析性とを両立することを目的としたログ記録装置が記載されている。上記ログ記録装置は、CDB(Command Description Block)判定手段、第1暗号化手段、及びログ出力手段を備える。上記CDB判定手段は、入力されるSCSI(Small Computer System Interface)ログデータに対し、CDB判定情報に基づいて、SCSIログデータのSCSI要求がユーザデータに関するものか関しないものかを判定する。上記第1暗号化手段は、ユーザデータに関するSCSI要求であると前記CDB判定手段が判定したSCSI要求について、SCSI要求のユーザデータを含む部分を暗号化キーに基づいて暗号化する。上記ログ出力手段は、ユーザデータに関しないSCSI要求であるとCDB判定手段が判定したSCSI要求と、第1暗号化手段からのユーザデータを含む部分が暗号化されたSCSI要求とを整形し、解析用ログファイルとして出力する。Patent Document 4 describes a log recording device that aims to achieve both user data confidentiality and fault analysis. The log recording device includes a CDB (Command Description Block) determination means, a first encryption means, and a log output means. The CDB determination means determines whether a SCSI request in the input SCSI (Small Computer System Interface) log data is related to user data or not, based on CDB determination information. The first encryption means encrypts, based on an encryption key, the portion of the SCSI request containing user data for a SCSI request determined by the CDB determination means to be related to user data. The log output means formats the SCSI request determined by the CDB determination means to be a SCSI request not related to user data and the SCSI request with the encrypted portion containing user data from the first encryption means, and outputs the resulting file as a log file for analysis.
しかしながら、特許文献2に記載の技術では、データの秘匿性を実現するために、装置のログデータの全てを暗号化する場合にも同期フラグシーケンスを挿入する必要がある。 However, with the technology described in Patent Document 2, in order to achieve data confidentiality, it is necessary to insert a synchronization flag sequence even when encrypting all of the device's log data.
また、特許文献3に記載の技術では、暗号化対象データが暗号化された部分と暗号化がなされていない部分とを含む場合だけでなく暗号化された部分のみを含む場合においても、復号範囲指定命令を組み込んだ1つの暗号化データとして出力する。よって、特許文献3に記載の技術を、装置のログデータの暗号化に適用したとしても、ログデータを全て暗号化する場合にも復号範囲指定命令を組み込んだ1つの暗号化ファイルが出力されることになる。 Furthermore, the technology described in Patent Document 3 outputs a single encrypted file incorporating a decryption range designation command, not only when the data to be encrypted includes both encrypted and unencrypted portions, but also when it includes only encrypted portions. Therefore, even if the technology described in Patent Document 3 is applied to encrypting device log data, a single encrypted file incorporating a decryption range designation command will be output, even when all of the log data is encrypted.
また、特許文献4に記載の技術も、暗号化された部分と暗号化がなされていない部分とを含む場合には1つのファイルとして出力するものであるため、復号するためには、喩え全て暗号化したファイルであっても暗号化したことを示す情報が必要となる。 Furthermore, the technology described in Patent Document 4 also outputs a file containing both encrypted and unencrypted portions as a single file, so in order to decrypt it, information indicating that it has been encrypted is required, even if the file is completely encrypted.
本開示は、上記課題を解決するためになされたもので、暗号化を行う範囲を指定して装置のログデータを暗号化する場合に、全ての範囲を暗号化する場合であっても範囲を示す情報が必要となることを回避することが可能な暗号化システム等を提供することにある。 The present disclosure has been made to solve the above problem, and aims to provide an encryption system, etc., which, when specifying the range to be encrypted and encrypting device log data, can avoid the need for information indicating the range even when encrypting the entire range.
第1の態様では、暗号化システムは、ログデータを取得する取得部と、ログデータを暗号化する暗号化部と、ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、ログデータを記憶する記憶部と、前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、を備え、前記制御部は、前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、ものである。 In a first aspect, the encryption system includes an acquisition unit that acquires log data, an encryption unit that encrypts the log data, a reception unit that receives an instruction specifying the range of encryption to be performed by the encryption unit before log data acquisition begins, a storage unit that stores the log data, and a control unit that controls, based on the range, the timing of log data acquisition by the acquisition unit, the start and end positions of encryption by the encryption unit, and the storage of log data by the storage unit. The control unit controls the encryption unit to perform encryption by inserting a start flag that indicates the start position and an end flag that indicates the end position, respectively, at the start and end positions indicated by the range. If the entire range of log data is specified as the range, the control unit controls the encryption unit to perform encryption without controlling the insertion of the start flag and the end flag. The control unit stores the encrypted data for the portion of log data that falls within the range and the plaintext data for the portion of log data that does not fall within the range in the storage unit, each as separate files.
第2の態様では、暗号化装置は、ログデータを取得する取得部と、ログデータを暗号化する暗号化部と、ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、ログデータを記憶する記憶部と、前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、を備え、前記制御部は、前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、ものである。 In a second aspect, the encryption device includes an acquisition unit that acquires log data, an encryption unit that encrypts the log data, a reception unit that receives an instruction specifying the range of encryption to be performed by the encryption unit before starting to acquire the log data, a memory unit that stores the log data, and a control unit that controls, based on the range, the timing of log data acquisition by the acquisition unit, the start and end positions of encryption by the encryption unit, and the storage of log data by the memory unit. The control unit controls the encryption unit to perform encryption by inserting a start flag that indicates the start position and an end flag that indicates the end position, respectively, at the start and end positions indicated by the range. If the entire range of log data is specified as the range, the control unit controls the encryption unit to perform encryption without controlling the insertion of the start flag and the end flag. The encrypted data for the portion of log data that falls within the range and the plaintext data for the portion of log data that does not fall within the range are stored in the memory unit, each as separate files.
第3の態様では、暗号化方法は、ログデータを取得すること、ログデータを暗号化すること、ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、ログデータを記憶すること、及び、前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、を備え、前記制御することは、前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、を含む、ものである。 In a third aspect, the encryption method comprises acquiring log data, encrypting the log data, accepting an instruction specifying the range of encryption before starting to acquire the log data, storing the log data, and controlling the timing of log data acquisition, the start and end positions of encryption, and storing the log data based on the range, wherein the controlling includes inserting a start flag indicating the start position and an end flag indicating the end position at the start and end positions indicated by the range, respectively, to perform encryption; when the entire range of the log data is specified as the range, performing encryption without inserting the start flag and the end flag; and storing, as separate files, the encrypted data for the portion of the log data that falls within the range and the plaintext data for the portion of the log data that does not fall within the range.
第4の態様では、プログラムは、コンピュータに、暗号化処理を実行させるためのプログラムであり、コンピュータ可読媒体は、前記プログラムが格納されたものである。前記暗号化処理は、ログデータを取得すること、ログデータを暗号化すること、ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、ログデータを記憶すること、及び、前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、を含み、前記制御することは、前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、を含む、ものである。 In a fourth aspect, the program is a program for causing a computer to execute encryption processing, and the computer-readable medium stores the program. The encryption processing includes acquiring log data, encrypting the log data, accepting an instruction specifying the range of encryption before starting log data acquisition, storing the log data, and controlling the timing of log data acquisition, the start and end positions of encryption, and storing the log data based on the range. The controlling includes inserting a start flag indicating the start position and an end flag indicating the end position at the start and end positions indicated by the range, respectively, to execute encryption; if the entire range of log data is specified as the range, executing encryption without inserting the start flag and the end flag; and storing the encrypted data for the portion of log data that falls within the range and the plaintext data for the portion of log data that does not fall within the range, respectively, as separate files.
本開示により、暗号化を行う範囲を指定して装置のログデータを暗号化する場合に、全ての範囲を暗号化する場合であっても範囲を示す情報が必要となることを回避することが可能な暗号化システム等を提供することができる。 This disclosure makes it possible to provide an encryption system, etc., that can specify the range to be encrypted and encrypt the log data of a device, thereby avoiding the need for information indicating the range even when encrypting the entire range.
以下、図面を参照して、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明を省略する場合がある。また、以下の各図面において、同一の要素及び同様な要素には同一の符号が付されており、必要に応じて重複説明は省略されている。 The following describes the embodiments with reference to the drawings. Note that in the embodiments, identical or equivalent elements are given the same reference numerals, and duplicate explanations may be omitted. In addition, in the following drawings, identical and similar elements are given the same reference numerals, and duplicate explanations may be omitted as necessary.
<実施形態1>
図1は、実施形態1に係る暗号化システムの一構成例を示すブロック図である。
図1に示すように、本実施形態に係る暗号化システム1は、取得部1a、暗号化部1b、受付部1c、記憶部1d、及び制御部1eを備えることができる。暗号化システム1は、ログデータの収集対象となる装置(以下、対象装置)と、対象装置からログを収集するログ収集装置とを含み、対象装置における各種のログデータを収集する。よって、暗号化システム1は、ログ収集システムと称することができる。
<Embodiment 1>
FIG. 1 is a block diagram showing an example of the configuration of an encryption system according to the first embodiment.
1, an encryption system 1 according to this embodiment may include an acquisition unit 1a, an encryption unit 1b, a reception unit 1c, a storage unit 1d, and a control unit 1e. The encryption system 1 includes a device from which log data is to be collected (hereinafter referred to as a target device) and a log collection device that collects logs from the target device, and collects various log data from the target device. Therefore, the encryption system 1 may be referred to as a log collection system.
なお、対象装置の種類は問わず、ログを記録できるような装置であればよい。また、ログ収集装置は、例えば、対象装置の場所と同じ場所で設置され直接接続されることも、対象装置の場所に対し遠隔地に設置され、ネットワークを介して接続されることもできる。 The type of target device does not matter, as long as it is a device that can record logs. Furthermore, the log collection device can be installed, for example, at the same location as the target device and connected directly, or it can be installed in a remote location from the target device and connected via a network.
暗号化システム1では、対象装置に取得部1a、暗号化部1b、受付部1c、記憶部1d、及び制御部1eを備えることができるが、例えば記憶部1dを構成する一要素としての記録媒体を対象装置に接続された外部の装置に備えるなど、これに限ったものではない。なお、記憶部1d、記録媒体については後述する。 In the encryption system 1, the target device may be equipped with an acquisition unit 1a, encryption unit 1b, reception unit 1c, memory unit 1d, and control unit 1e, but this is not limited to this; for example, a recording medium as one element of the memory unit 1d may be provided in an external device connected to the target device. The memory unit 1d and recording medium will be described later.
また、対象装置は、複数の装置に機能が分散された構成を採用することもでき、その場合の取得部1a、暗号化部1b、受付部1c、記憶部1d、及び制御部1eの分散方法も問わない。例えば、各装置に暗号化部1b及び記憶部1dの機能を備えるとともに、それらの装置のうちの1つの装置に取得部1a、受付部1c、及び制御部1eを備えることもできる。 The target device may also have its functions distributed across multiple devices, in which case the method of distributing the acquisition unit 1a, encryption unit 1b, reception unit 1c, storage unit 1d, and control unit 1e is not important. For example, each device may have the functions of the encryption unit 1b and storage unit 1d, and one of those devices may have the acquisition unit 1a, reception unit 1c, and control unit 1e.
取得部1aは、対象装置におけるログデータを取得する。ログデータの取得の方法は問わず、例えば予め定められたあるいは後述の指示に含まれる、種類、期間のログデータを取得することができる。暗号化部1bは、取得部1aで取得されたログデータを暗号化する。但し、後述するように、暗号化部1bはログデータのうち指定された範囲の暗号化を行い、範囲外のログデータについては暗号化を実行しない。また、暗号化部1bにおける暗号化方法は問わず、暗号化されたデータが復号できるものであればよい。 The acquisition unit 1a acquires log data from the target device. The method for acquiring the log data does not matter, and it can acquire log data of a type and period that is predetermined or included in instructions described below, for example. The encryption unit 1b encrypts the log data acquired by the acquisition unit 1a. However, as described below, the encryption unit 1b encrypts a specified range of log data and does not encrypt log data outside that range. Furthermore, the encryption method used by the encryption unit 1b does not matter, as long as the encrypted data can be decrypted.
受付部1cは、取得部1aによるログデータの取得開始前に、暗号化部1bで暗号化を実行する範囲を指定する指示を受け付ける。この指示は対象装置にネットワーク又はP2Pなどで接続されたログ収集装置から送信されたものとすることができる。よって、受付部1cはログ収集装置と通信する通信部(図示せず)を備えることができる。この通信部は無線又は有線で外部と通信するインタフェースを備えることができる。但し、ログ収集装置の機能は対象装置に備えることもでき、この場合、暗号化システム1は対象装置で構成され、上記の指示も対象装置に設けられた操作部などから受け付けられることになる。 The reception unit 1c receives an instruction specifying the scope of encryption to be performed by the encryption unit 1b before the acquisition unit 1a begins acquiring log data. This instruction may be sent from a log collection device connected to the target device via a network, P2P, or the like. Therefore, the reception unit 1c may be equipped with a communication unit (not shown) that communicates with the log collection device. This communication unit may be equipped with an interface for communicating with the outside world wirelessly or via a wired connection. However, the functions of the log collection device may also be equipped in the target device; in this case, the encryption system 1 is configured in the target device, and the above instructions are also received from an operation unit or the like provided on the target device.
記憶部1dは、暗号化されたログデータや平文のままのログデータを記憶する。記憶部1dは、記録媒体と記録媒体へのデータの書き込みを行う書き込み部とを備える記憶装置とすることができる。記録媒体の種類は問わない。 The memory unit 1d stores encrypted log data and plaintext log data. The memory unit 1d can be a storage device equipped with a recording medium and a writing unit that writes data to the recording medium. The type of recording medium is not important.
制御部1eは、上記範囲に基づき、取得部1aによるログデータの取得のタイミングと、暗号化部1bによる暗号化の開始位置及び終了位置と、記憶部1dによるログデータの記憶と、を制御する。 Based on the above range, the control unit 1e controls the timing of log data acquisition by the acquisition unit 1a, the start and end positions of encryption by the encryption unit 1b, and the storage of log data by the memory unit 1d.
制御部1eは、受付部1cで受け付けた範囲が示す開始位置、終了位置に対し、それぞれ開始位置を示すフラグである開始フラグ、終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、暗号化部1bを制御する。このとき、制御部1eは、上記範囲に基づきログデータを取得するように、取得部1aの制御も行うことになる。このように、暗号化システム1では、ログデータの部分的な暗号化を行うことができる。 The control unit 1e controls the encryption unit 1b to insert a start flag indicating the start position and an end flag indicating the end position into the start and end positions indicated by the range received by the reception unit 1c, respectively, and perform encryption. At this time, the control unit 1e also controls the acquisition unit 1a to acquire log data based on the above range. In this way, the encryption system 1 can perform partial encryption of log data.
そして、制御部1eは、上記範囲に該当する部分のログデータについては暗号化後のデータを、上記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイル(別々のログファイル)として記憶部1dに記憶させる。 Then, the control unit 1e stores the encrypted data for the log data portion that falls within the above range, and the plain text data for the log data portion that does not fall within the above range, each as separate files (separate log files) in the memory unit 1d.
特に本実施形態では、制御部1eは、上記範囲としてログデータの全ての範囲が指定された場合には、開始フラグ及び終了フラグを挿入する制御を行わずに暗号化を実行するように暗号化部1bを制御する。これにより、全ての範囲のログデータを暗号化する場合には、開始フラグ及び終了フラグが挿入されず、開始フラグ及び終了フラグを含まないログファイルが記憶部1dに記憶されることになる。 In particular, in this embodiment, when the entire range of log data is specified as the range, the control unit 1e controls the encryption unit 1b to perform encryption without inserting a start flag and an end flag. As a result, when the entire range of log data is encrypted, the start flag and the end flag are not inserted, and a log file that does not include a start flag and an end flag is stored in the memory unit 1d.
制御部1eは、例えば、CPU(Central Processing Unit)、作業用メモリ、及びプログラムを記憶した不揮発性の記憶装置などによって実現することができる。このプログラムは、取得部1a、暗号化部1b、受付部1c、及び、記憶部1dの書き込み部の処理をCPUに実行させるためのプログラムとすることができる。また、制御部1eに備えられる記憶装置の記録媒体は、記憶部1dの記録媒体としても利用することができる。 The control unit 1e can be realized, for example, by a CPU (Central Processing Unit), working memory, and a non-volatile storage device storing a program. This program can be a program that causes the CPU to execute the processes of the acquisition unit 1a, encryption unit 1b, reception unit 1c, and writing unit of the storage unit 1d. In addition, the recording medium of the storage device provided in the control unit 1e can also be used as the recording medium of the storage unit 1d.
また、対象装置は、受付部1cで受け付けた指示に応答して、記憶部1dに記憶されたファイル(ログファイル)を、指示を送信した指示装置であるログ収集装置に送信する送信部を備えることができる。この送信部は、受付部1cに備えられる通信部を援用することができる。このように、対象装置は、暗号化部1b、受付部1c、記憶部1d、及び、記憶部1dに記憶されたログファイルをログ収集装置に送信する送信部を備え、ログデータの収集対象となる装置とすることができる。 The target device may also include a transmission unit that, in response to an instruction received by the reception unit 1c, transmits a file (log file) stored in the memory unit 1d to the log collection device, which is the instruction device that sent the instruction. This transmission unit may utilize the communication unit provided in the reception unit 1c. In this way, the target device includes the encryption unit 1b, the reception unit 1c, the memory unit 1d, and a transmission unit that transmits the log file stored in the memory unit 1d to the log collection device, and may be a device from which log data is collected.
この例では、ログ収集装置は、受付部1cに対し、受付部1cで受け付ける指示を送信する装置となる。図示しないが、ログ収集装置は、その全体を制御する制御部と、対象装置と通信する通信部と、を備えることができる。この通信部は無線又は有線で外部と通信するインタフェースを備えることができる。また、ログ収集装置は、記憶部1dに記憶されたログファイルを、通信部を介して受信するように構成することができる。ログ収集装置の制御部は、例えば、CPU、作業用メモリ、及びプログラムを記憶した不揮発性の記憶装置などによって実現することができる。このプログラムは、受付部1cへ送信する指示を生成する処理及びその指示を対象装置に通信部を介して送信する処理をCPUに実行させるためのプログラムとすることができる。なお、ログ収集装置の制御部に備えられる記憶装置の記録媒体は、このようにして受信したログファイルを記憶する記録媒体としても利用することができる。 In this example, the log collection device is a device that transmits instructions received by the reception unit 1c to the reception unit 1c. Although not shown, the log collection device may include a control unit that controls the entire device and a communication unit that communicates with the target device. This communication unit may include an interface for communicating with the outside world wirelessly or via a wired connection. The log collection device may also be configured to receive log files stored in the memory unit 1d via the communication unit. The control unit of the log collection device may be realized, for example, by a CPU, working memory, and a non-volatile storage device that stores a program. This program may be a program that causes the CPU to execute the process of generating instructions to be sent to the reception unit 1c and the process of sending those instructions to the target device via the communication unit. The recording medium of the storage device provided in the control unit of the log collection device may also be used as a recording medium for storing the log files received in this manner.
また、暗号化システム1は、ログ収集装置と対象装置とで例示したように、機能を分散させた複数の装置として構成することもでき、対象装置として例示した各部の機能も複数の装置に分散させて構成することができ、その分散の方法は問わない。複数の装置に機能を分散して暗号化システム1を構築する場合、各装置に制御部、通信部、及び必要に応じて記憶部等を備えるとともに、無線又は有線の通信により上記複数の装置を必要に応じて接続して協働して暗号化システム1としての機能を実現させればよい。 In addition, encryption system 1 can be configured as multiple devices with distributed functions, as exemplified by the log collection device and target device, and the functions of each unit exemplified as a target device can also be distributed across multiple devices, with no restrictions on the method of distribution. When constructing encryption system 1 with distributed functions across multiple devices, each device can be equipped with a control unit, a communication unit, and, if necessary, a memory unit, etc., and the multiple devices can be connected via wireless or wired communication as necessary to work together to realize the functions of encryption system 1.
また、暗号化システム1は、図2に示すように、取得部1a、暗号化部1b、受付部1c、記憶部1d、及び制御部1eを備える1つの暗号化装置2として構築することもできる。図2は、図1の暗号化システム1の一構成例である暗号化装置2を示すブロック図である。暗号化装置2は、上述した対象装置の機能を備えた装置とすること、あるいは対象装置の機能及びログ収集装置の機能を備えた装置とすることができる。暗号化装置2は、例えば1以上のプロセッサと1以上のメモリとを含むハードウェアを含むコンピュータ装置を含んで構成され得る。暗号化装置2内の各部の機能の少なくとも一部は、1以上のプロセッサが、1以上のメモリから読み出したプログラムに従って動作することで実現され得る。 Also, as shown in FIG. 2, the encryption system 1 can be constructed as a single encryption device 2 including an acquisition unit 1a, an encryption unit 1b, a reception unit 1c, a storage unit 1d, and a control unit 1e. FIG. 2 is a block diagram showing the encryption device 2, which is an example configuration of the encryption system 1 of FIG. 1. The encryption device 2 can be a device having the functions of the target device described above, or a device having the functions of the target device and the functions of a log collection device. The encryption device 2 can be configured to include a computer device including hardware, for example, one or more processors and one or more memories. At least some of the functions of each unit within the encryption device 2 can be realized by one or more processors operating in accordance with programs read from one or more memories.
次に、図3を参照しながら、暗号化システム1又は暗号化装置2の処理例について説明する。図3は、暗号化システム1又は暗号化装置2における暗号化方法の一例を説明するためのフロー図である。以下、暗号化システム1における暗号化方法について説明するが、暗号化装置2における暗号化方法も同様である。 Next, an example of the processing of encryption system 1 or encryption device 2 will be described with reference to Figure 3. Figure 3 is a flow diagram for explaining an example of an encryption method in encryption system 1 or encryption device 2. Below, the encryption method in encryption system 1 will be described, but the encryption method in encryption device 2 is similar.
まず、暗号化システム1は、ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付ける(ステップS1)。この指示に基づき、暗号化システム1は、ログデータを取得する(ステップS2)。次いで、暗号化システム1は、指示が全範囲を暗号化することを示しているか否かを判定する(ステップS3)。First, before starting to acquire log data, the encryption system 1 receives an instruction specifying the range of encryption to be performed (step S1). Based on this instruction, the encryption system 1 acquires the log data (step S2). Next, the encryption system 1 determines whether the instruction indicates that the entire range should be encrypted (step S3).
ステップS3でYESの場合、暗号化システム1は、上記範囲である全範囲のログデータに対し、開始フラグ及び終了フラグを挿入せずに、即ち後述のステップS5を経ずに、暗号化を実行する(ステップS6)。そして、暗号化されたログデータを1つのログファイルとして記憶する(ステップS7)。If the answer is YES in step S3, the encryption system 1 performs encryption on the entire range of log data without inserting start and end flags, i.e., without going through step S5 described below (step S6).The encrypted log data is then stored as a single log file (step S7).
一方、ステップS3でNOの場合、ステップS2で取得されたログデータについて、上記範囲に該当するか否かの判定を行う(ステップS4)。そして、ステップS4でYESと判定されたログデータ、つまり上記範囲に該当するログデータに対し、暗号化システム1は、上記範囲のログデータの開始位置、終了位置にそれぞれ開始フラグ、終了フラグを挿入する(ステップS5)。その後、暗号化システム1は、暗号化を実行する(ステップS6)。その後、同様にステップS7へ進み、暗号化されたログデータを1つのログファイルとして記憶する。 On the other hand, if the result of step S3 is NO, the log data acquired in step S2 is determined to be within the above range (step S4). Then, for the log data determined to be YES in step S4, i.e., the log data that falls within the above range, the encryption system 1 inserts a start flag and an end flag at the start and end positions, respectively, of the log data within the above range (step S5). The encryption system 1 then performs encryption (step S6). Then, similarly, the process proceeds to step S7, where the encrypted log data is stored as a single log file.
一方、ステップS4でNOと判定されたログデータ、つまり上記範囲に該当しないログデータに対し、暗号化システム1は、平文のままのデータを1つのファイルとして記憶する(ステップS8)。 On the other hand, for log data for which the result of step S4 is NO, i.e., log data that does not fall within the above range, the encryption system 1 stores the data in plain text as a single file (step S8).
なお、ステップS2のログデータの取得のタイミングは、暗号化する対象であれば暗号化する手前、平文のままの場合にはログファイルを記憶(ステップS8)の手前であれば、図示する順序に問わない。 The timing of obtaining the log data in step S2 does not matter in the order shown, as long as it is obtained before encryption if the data is to be encrypted, or before storing the log file (step S8) if the data is left in plain text.
本実施形態による暗号化可能なログ収集処理について説明した。本実施形態は、暗号化されたログファイルの復号方法は問わない。本実施形態で記憶された暗号化されたログファイルは、暗号化方法に対応した復号方法を採用することで閲覧することができる。また、本実施形態では、全ての範囲で暗号化がなされたログファイルに開始フラグ及び終了フラグが存在しないが、このログファイルは汎用の復号方法を採用することで閲覧することができる。また、本実施形態で記憶された平文のログファイルは、暗号化されたログファイルとは別ファイルであるため、そのまま閲覧可能となる。 The encryptable log collection process according to this embodiment has been described. In this embodiment, the decryption method for encrypted log files is not important. Encrypted log files stored in this embodiment can be viewed by using a decryption method that corresponds to the encryption method. Also, in this embodiment, log files that are encrypted throughout their entirety do not have start and end flags, but these log files can be viewed by using a general-purpose decryption method. Furthermore, since the plaintext log files stored in this embodiment are separate files from the encrypted log files, they can be viewed as is.
以上、本実施形態によれば、対象装置のログ収集時にログデータを全て暗号化するのではなく、部分的に暗号化することで秘匿情報のみを隠し、提供可能な情報のみを平文のログファイルとすることで公開することができる。例えば、部分的に暗号化することで、例えば時刻情報などのログの公開可能な情報がすぐに分かるため、問題事象発生時のログ確認を迅速に行うことが可能となる。また、本実施形態では、暗号化要否も選択できるような構成であるため、暗号化不要の、例えば自社内の試験時等、デバッグ時も復号化の手間なくログ収集することが可能となる。 As described above, according to this embodiment, when collecting logs from a target device, instead of encrypting all of the log data, partial encryption is used to hide only confidential information, and only the information that can be provided can be made public by storing it in a plaintext log file. For example, partial encryption makes it possible to immediately determine the publicly available information in the log, such as time information, making it possible to quickly check the log when a problem occurs. Furthermore, since this embodiment is configured so that it is possible to select whether or not encryption is required, logs can be collected without the hassle of decryption even when encryption is not required, such as during in-house testing or debugging.
また、本実施形態によれば、対象装置のログを収集するに際し、ログデータを部分的に暗号化することができるため、暗号化によるCPUリソースの占有時間を短縮することができ、対象装置の負荷を低減することができる。 In addition, according to this embodiment, when collecting logs from the target device, the log data can be partially encrypted, thereby shortening the time that CPU resources are occupied by encryption and reducing the load on the target device.
例えば、対象装置に障害が発生し遠隔操作でのログデータの取得が難しい場合、現地に赴きログデータを収集しなければならず、その作業は第三者に委託されるケースがある。このようなケースであっても、本実施形態によれば、対象装置の負荷を低減しながら、必要な部分だけ秘匿性を確保することができるため、ログファイルの第三者による読み取りを不可能とし、情報漏洩のリスクを無くすことができる。このように、本実施形態では、対象装置の現地で又は遠隔からログ収集をする際、ログファイルの中身を第三者に参照されることなく安全に収集することができるようになる。 For example, if a failure occurs in the target device making it difficult to obtain log data remotely, it may be necessary to go to the site to collect the log data, and this work may be outsourced to a third party. Even in such a case, this embodiment can ensure confidentiality only for the necessary parts while reducing the load on the target device, making the log file unreadable by third parties and eliminating the risk of information leaks. In this way, this embodiment makes it possible to safely collect the contents of the log file without third parties being able to view it when collecting logs on-site or remotely from the target device.
特に、本実施形態によれば、暗号化を行う範囲を指定して装置のログデータを暗号化する場合に、全ての範囲を暗号化する場合であっても範囲を示す情報が必要となることを回避することが可能となる。つまり、本実施形態によれば、全ての範囲で暗号化するケースでは開始フラグ及び終了フラグが無くても暗号化することができ、また、暗号化部分と非暗号化部分とについてはそれぞれ別ファイルに保存することができる。よって、本実施形態によれば、全範囲を暗号化する場合のフラグを挿入しないことによるデータ量の削減効果が得られるとともに、ファイル閲覧時にも必要な部分を暗号化しておくことで必要な秘匿性を確保することができる。 In particular, according to this embodiment, when encrypting device log data by specifying the range to be encrypted, it is possible to avoid the need for information indicating the range even when encrypting the entire range. In other words, according to this embodiment, encryption is possible without a start flag or an end flag when encrypting the entire range, and the encrypted and unencrypted portions can be saved in separate files. Therefore, according to this embodiment, the amount of data can be reduced by not inserting flags when encrypting the entire range, and the necessary confidentiality can be ensured by encrypting the necessary portions even when viewing the file.
<実施形態2>
実施形態2について、図4~図9を参照しながら実施形態1との相違点を中心に説明するが、実施形態1で説明した様々な例が適用できる。まず、図4及び図5を参照しながら本実施形態に係る暗号化システムの構成例について説明する。図4は、実施形態2に係る暗号化システムの一構成例を示すブロック図で、図5は、この暗号化システムにおいて指示として受け付けられるログ取得コマンドの一例を示す図である。
<Embodiment 2>
The second embodiment will be described with reference to Figures 4 to 9, focusing on the differences from the first embodiment, but the various examples described in the first embodiment can also be applied. First, an example configuration of an encryption system according to this embodiment will be described with reference to Figures 4 and 5. Figure 4 is a block diagram showing an example configuration of an encryption system according to the second embodiment, and Figure 5 is a diagram showing an example of a log acquisition command accepted as an instruction in this encryption system.
図4に示す暗号化システム(以下、本システム)は、本実施形態に係る暗号化装置として機能する対象装置10と、対象装置10からログファイルを収集するログ収集装置20と、を備えることができる。実施形態1で説明したように、ログ収集装置20は、ログファイルの暗号化と収集を、対象装置10の設置場所で実施してもよいし、あるいは遠隔で接続した対象装置10から実施してもよい。 The encryption system shown in FIG. 4 (hereinafter referred to as the present system) may include a target device 10 that functions as the encryption device according to this embodiment, and a log collection device 20 that collects log files from the target device 10. As described in embodiment 1, the log collection device 20 may encrypt and collect log files at the installation location of the target device 10, or may perform the encryption and collection from a remotely connected target device 10.
説明の簡略化のため、対象装置10が本システムに1つ含まれる例を挙げる。但し、本システムは、1つのログ収集装置20に対し複数の対象装置10を備え、そのログ収集装置20でそれら複数の対象装置10に対しそれぞれ指示を送信し、それぞれからログファイルを収集するように構成されることもできる。For simplicity of explanation, an example will be given in which the system includes one target device 10. However, the system can also be configured to have multiple target devices 10 for one log collection device 20, with the log collection device 20 sending instructions to each of the multiple target devices 10 and collecting log files from each.
ログ収集装置20は、制御部21、操作部22、記憶部23、及び通信部24を備えることができる。ログ収集装置20は単体の又は分散配置された装置で構成されることができる。 The log collection device 20 may include a control unit 21, an operation unit 22, a memory unit 23, and a communication unit 24. The log collection device 20 may be configured as a single or distributed device.
制御部21は、ログ収集装置20の全体を制御する制御部である。制御部21は、例えば、CPU、作業用メモリ、及びプログラムを記憶した不揮発性の記憶装置などによって実現することができる。このプログラムは、ログ取得のための処理をCPUに実行させるためのプログラムを含むことができる。また、制御部21に備えられる記憶装置は、後述する記憶部23としても利用することができる。 The control unit 21 is a control unit that controls the entire log collection device 20. The control unit 21 can be realized, for example, by a CPU, working memory, and a non-volatile storage device that stores a program. This program can include a program that causes the CPU to execute processing for log acquisition. In addition, the storage device provided in the control unit 21 can also be used as the memory unit 23, which will be described later.
操作部22は、ログ収集の対象となる対象装置10へログファイルの要求を行う操作を受け付け、その操作内容を制御部21に渡し、制御部21がその操作内容に従い、ログファイルの要求を行うことができる。この要求は、ログの取得を対象装置10へ要求(指示)するコマンドであり、以下、ログ取得コマンドと称する。 The operation unit 22 accepts an operation to request a log file from the target device 10 that is the target of log collection, and passes the operation content to the control unit 21, which can then request the log file in accordance with the operation content. This request is a command that requests (instructs) the target device 10 to acquire a log, and is hereinafter referred to as a log acquisition command.
ログ取得コマンドは、図5に例示するように、収集するログ種別を示す情報、暗号化要否を示す情報、及び指定された暗号化範囲(一部暗号化の場合)を示す情報を含むことができる。ログ取得コマンドに含めることができるこれらの情報、即ちパラメータは、例えば操作部22から指定することができる。 As shown in Figure 5, the log acquisition command can include information indicating the type of log to be collected, information indicating whether encryption is required, and information indicating the specified encryption range (in the case of partial encryption). These pieces of information, i.e., parameters, that can be included in the log acquisition command can be specified, for example, from the operation unit 22.
上述したログ種別を示す情報は、例えば対象装置10に組み込まれた或るアプリケーションのログ、対象装置10に備えられた或るデバイスのログなど、収集するログの種別を示す情報とすることができる。図5の例では、簡略化のために、ログ種別を示す情報は、ログ取得コマンド名で表現されているものとして説明する。但し、各ログ取得コマンドにはログ種別を示す情報が含まれているか、あるいは、対象装置10側において、ログ取得コマンド名からログ種別を判定することが可能に構成されている。 The information indicating the log type described above can be information indicating the type of log to be collected, such as the log of an application incorporated in the target device 10 or the log of a device provided in the target device 10. In the example of Figure 5, for simplicity, the information indicating the log type is described as being expressed in the name of a log acquisition command. However, each log acquisition command may contain information indicating the log type, or the target device 10 may be configured to be able to determine the log type from the log acquisition command name.
なお、ここでは、全て暗号化する場合及び暗号化を全く実施しない場合については、対象装置10において、ログ種別だけで収集対象のログデータを特定することが可能であることを前提として説明する。但し、後述するようにこれらの場合について、ログ取得範囲を示す情報をログ取得コマンドに含めておき、対象装置10がログ種別及びログ取得範囲から収集対象のログデータを特定するように構成することもできる。 Note that, in the cases where all data is encrypted or where no encryption is performed, the explanation here is based on the assumption that the target device 10 is able to identify the log data to be collected based on the log type alone. However, as will be described later, in these cases, it is also possible to include information indicating the log acquisition range in the log acquisition command, and configure the target device 10 to identify the log data to be collected based on the log type and log acquisition range.
上述した暗号化要否を示す情報は、全て暗号化、一部暗号化、及び暗号化不要のいずれかを示す情報とすることができる。上述した暗号化範囲を示す情報は、一部暗号化指定されたログ取得コマンドに対して、暗号化の範囲を指定する情報であり、一部暗号化以外の場合は無効のパラメータである。暗号化範囲を示す情報は、ログ取得コマンドが示すログ種別について、例えば、処理αから処理βまでといった処理内容で指定された範囲を示す情報とすることや、あるいは第1日時から第2日時までといった処理期間を示す情報とすることができる。あるいは、暗号化範囲を示す情報は、それらの組み合わせとすることもできる。また、処理内容で指定された範囲とは、例えば処理αから処理βまで及び処理γから処理δまでといった複数の範囲や、第1日時から第2日時まで及び第3日時から第4日時までといった複数の処理期間とすることもできる。 The information indicating whether encryption is required can be information indicating full encryption, partial encryption, or no encryption. The information indicating the encryption range is information that specifies the encryption range for a log acquisition command that specifies partial encryption, and is an invalid parameter for anything other than partial encryption. The information indicating the encryption range can be information indicating a range specified by the processing content, such as from process α to process β, for the log type indicated by the log acquisition command, or information indicating a processing period, such as from the first date and time to the second date and time. Alternatively, the information indicating the encryption range can be a combination of these. Furthermore, the range specified by the processing content can be multiple ranges, such as from process α to process β and from process γ to process δ, or multiple processing periods, such as from the first date and time to the second date and time and from the third date and time to the fourth date and time.
操作部22で受け付ける操作には、ログ収集の対象となる対象装置10を示す情報を入力する操作を含むことができる。操作部22で受け付ける操作には、ログ取得コマンドに含まれる情報を入力する操作を含むことができる。よって、受け付ける操作には、取得対象のログデータ又はそのログデータの種別を示す情報、暗号化を実行するか否かを示す情報、暗号化を実行するのであれば対象の全てを実行するか部分的に実行するかを示す情報を入力する操作を含むことができる。また、受け付ける操作には、取得対象のログデータに対し、部分的に暗号化を実行するのであればその暗号化範囲を示す情報を入力する操作を含むことができる。 Operations accepted by the operation unit 22 can include an operation to input information indicating the target device 10 from which logs are to be collected. Operations accepted by the operation unit 22 can include an operation to input information included in a log acquisition command. Therefore, operations accepted can include an operation to input information indicating the log data to be acquired or the type of log data, information indicating whether encryption is to be performed, and, if encryption is to be performed, information indicating whether encryption is to be performed on all or part of the target. Furthermore, operations accepted can include an operation to input information indicating the encryption range if partial encryption is to be performed on the log data to be acquired.
また、操作部22は、単に対象装置10を示す情報を入力する操作を受け付けるだけでもよい。その場合、制御部21は、暗号化要否及び暗号化範囲指定(一部暗号化の場合)に関する予め定められた内容に基づき、ログ取得コマンドを読み出す又は生成することができる。 Alternatively, the operation unit 22 may simply accept an operation to input information indicating the target device 10. In this case, the control unit 21 can read or generate a log acquisition command based on predetermined content regarding whether encryption is required and the encryption range specification (in the case of partial encryption).
記憶部23は、上記要求への応答として、通信部24を介して対象装置10から受信したログファイルを記憶する記憶装置である。通信部24は、制御部21からの制御により上記要求を対象装置10へ送信し、その応答としてログファイルを受信する。通信部24は、有線又は無線の通信インタフェースを備えることができる。 The memory unit 23 is a storage device that stores the log file received from the target device 10 via the communication unit 24 in response to the above request. The communication unit 24 transmits the above request to the target device 10 under control of the control unit 21 and receives the log file in response. The communication unit 24 may be equipped with a wired or wireless communication interface.
対象装置10は、図2の暗号化装置2の一例である。対象装置10は、その全体を制御する主制御部11と、外部と通信を行う通信部12と、を備えることができる。主制御部11の制御により、対象装置10における図示しない本来の機能を実現する機能部を機能させることができる。 The target device 10 is an example of the encryption device 2 in Figure 2. The target device 10 can be equipped with a main control unit 11 that controls the entire device, and a communication unit 12 that communicates with the outside. Under the control of the main control unit 11, functional units (not shown) that realize the original functions of the target device 10 can be made to function.
さらに、対象装置10は、暗号化装置として機能するために、次の構成要素を備えることができる。即ち、対象装置10は、図2の取得部1a、暗号化部1b、記憶部1d、及び制御部1eの一例としてそれぞれ、ログ取得部15及びバッファ部16、暗号化部17、書き込み部18及び記録媒体19、及び生成制御部14を備えることができる。また、通信部12は、図2の受付部1cの機能とともに、ログ収集装置20へのログファイルの転送を行う機能も備える。ログ取得部15及びバッファ部16、暗号化部17、書き込み部18及び記録媒体19、及び生成制御部14は、各部が連携してログを生成するログ生成部13として機能することができる。対象装置10は単体の又は分散配置された装置で構成されることができる。 Furthermore, the target device 10 can be equipped with the following components in order to function as an encryption device. That is, the target device 10 can be equipped with a log acquisition unit 15 and buffer unit 16, encryption unit 17, writing unit 18 and recording medium 19, and generation control unit 14, which are examples of the acquisition unit 1a, encryption unit 1b, memory unit 1d, and control unit 1e of FIG. 2, respectively. Furthermore, the communication unit 12 has the function of the reception unit 1c of FIG. 2 as well as the function of transferring log files to the log collection device 20. The log acquisition unit 15 and buffer unit 16, encryption unit 17, writing unit 18 and recording medium 19, and generation control unit 14 can function as a log generation unit 13 in which each unit works together to generate logs. The target device 10 can be configured as a single device or a distributed device.
主制御部11は、対象装置10の全体を制御する制御部である。主制御部11は、例えば、CPU、作業用メモリ、及びプログラムを記憶した不揮発性の記憶装置などによって実現することができる。このプログラムは、上記機能部における処理、並びに暗号化装置として機能させるためのログ取得に関する処理をログ生成部13の生成制御部14に指示する処理をCPUに実行させるためのプログラムとすることができる。また、主制御部11に備えられる記憶装置は、記録媒体19としても利用することができる。通信部12は、ログ取得コマンドをログ収集装置20から受信し、その応答としてログファイルを送信する。通信部12は、有線又は無線の通信インタフェースを備えることができる。 The main control unit 11 is a control unit that controls the entire target device 10. The main control unit 11 can be realized, for example, by a CPU, working memory, and a non-volatile storage device that stores a program. This program can be a program that causes the CPU to execute processing in the above-mentioned functional units, as well as processing that instructs the generation control unit 14 of the log generation unit 13 to perform processing related to log acquisition for functioning as an encryption device. The storage device provided in the main control unit 11 can also be used as a recording medium 19. The communication unit 12 receives log acquisition commands from the log collection device 20 and transmits log files in response. The communication unit 12 can be provided with a wired or wireless communication interface.
ログ生成部13は、主制御部11からの制御に従い、ログファイルの生成を行う。具体的には、ログ生成部13は、通信部12で受信したログ取得コマンドを主制御部11から受け取ることで、生成制御部14等、ログ生成部13に含まれる構成要素を連携させる。そして、ログ生成部13は、この連携により、以下に説明するようにログファイルの生成及び通信部12を介したそのログファイルの送信を行う。 The log generation unit 13 generates log files under control of the main control unit 11. Specifically, the log generation unit 13 receives a log acquisition command from the main control unit 11, which has been received by the communication unit 12, and thereby links the components included in the log generation unit 13, such as the generation control unit 14. Then, through this linkage, the log generation unit 13 generates log files and transmits the log files via the communication unit 12, as described below.
生成制御部14は、主制御部11からの制御に従い、ログ生成部13の全体を制御する制御部である。生成制御部14は、通信部12で受信したログ取得コマンドを主制御部11から受け取ることで、ログ取得コマンドに従い、ログファイルを生成し、通信部12を介してそのログファイルの送信を行う。このログ取得コマンドは、上述したように、暗号化要否と、一部暗号化を行う場合の指定された暗号化範囲と、を含むことができる。無論、ログ取得コマンドは、暗号化範囲のみを含んでおけば、暗に暗号化要否も含んでいることを意味するため、生成制御部14において暗号化要否、全暗号化/一部暗号化を知ることができると言える。 The generation control unit 14 is a control unit that controls the entire log generation unit 13 under control of the main control unit 11. Upon receiving a log acquisition command from the main control unit 11 via the communication unit 12, the generation control unit 14 generates a log file in accordance with the log acquisition command and transmits the log file via the communication unit 12. As described above, this log acquisition command can include whether encryption is required and the specified encryption range if partial encryption is required. Of course, if the log acquisition command only includes the encryption range, it implicitly includes whether encryption is required, and therefore it can be said that the generation control unit 14 can know whether encryption is required and whether full encryption or partial encryption is required.
生成制御部14は、ログ取得コマンドに基づき、ログ取得部15によるログデータの取得のタイミングと、暗号化部17による暗号化の開始位置及び終了位置と、書き込み部18によるログデータの記録媒体19への書き込みと、を制御する。 Based on the log acquisition command, the generation control unit 14 controls the timing of log data acquisition by the log acquisition unit 15, the start and end positions of encryption by the encryption unit 17, and the writing of log data to the recording medium 19 by the writing unit 18.
つまり、生成制御部14は、主制御部11から受け取ったログ取得コマンドに従い、ログ取得コマンドに記述された内容に沿ってログ収集開始する制御を行う。この制御には、ログ取得部15、暗号化部17、及び書き込み部18に対する制御が含まれ、それぞれに対しログデータの取得処理、ログデータの暗号化処理、ログデータのファイル化及びファイルの書き込み処理を実行させる。さらに、生成制御部14は、通信部12を介して、書き込んだファイルであるログファイルを、ログ取得コマンドを送信したログ収集装置20に返信する。 In other words, the generation control unit 14 controls the start of log collection in accordance with the contents of the log acquisition command received from the main control unit 11. This control includes control over the log acquisition unit 15, encryption unit 17, and writing unit 18, causing them to respectively acquire log data, encrypt the log data, file the log data, and write the file. Furthermore, the generation control unit 14 returns the written file, that is, the log file, to the log collection device 20 that sent the log acquisition command via the communication unit 12.
上記の暗号化処理として、生成制御部14は、暗号化範囲が示す開始位置、終了位置に対し、それぞれ開始位置を示す暗号化開始フラグ、終了位置を示す暗号化終了フラグを挿入して暗号化を実行するように、暗号化部17を制御する。 As part of the above encryption process, the generation control unit 14 controls the encryption unit 17 to perform encryption by inserting an encryption start flag indicating the start position and an encryption end flag indicating the end position at the start and end positions indicated by the encryption range, respectively.
但し、生成制御部14は、暗号化範囲としてログデータの全ての範囲が指定された場合には、暗号化開始フラグ及び暗号化終了フラグを挿入する制御を行わずに暗号化を実行するように暗号化部17を制御する。これにより、全ての範囲のログデータを暗号化する場合には、暗号化開始フラグ及び暗号化終了フラグが挿入されず、暗号化開始フラグ及び暗号化終了フラグを含まないログファイルが記録媒体19に記憶されることになる。 However, if the entire range of log data is specified as the encryption range, the generation control unit 14 controls the encryption unit 17 to perform encryption without inserting the encryption start flag and encryption end flag. As a result, when the entire range of log data is encrypted, the encryption start flag and encryption end flag are not inserted, and a log file that does not include the encryption start flag and encryption end flag is stored on the recording medium 19.
上記のログデータのファイル化及びファイルの書き込み処理として、生成制御部14は次のような制御を行う。即ち、生成制御部14は、暗号化範囲に該当する部分のログデータについては暗号化後のデータを、暗号化範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のログファイルとして記憶するように、書き込み部18を制御する。 To file the log data and write the files, the generation control unit 14 performs the following control: That is, the generation control unit 14 controls the writing unit 18 to store, as separate log files, the encrypted data for the log data portion that falls within the encryption range, and the plain text data for the log data portion that does not fall within the encryption range.
特に、本実施形態では、ログ取得コマンドにおいて、暗号化範囲としてログデータの一部の範囲が指定される場合には、そのログ取得コマンドにおいて、暗号化範囲を含み暗号化範囲より大きい一部暗号化ログ取得範囲を指定する指示を含むようにしておく。つまり、ログ収集装置20の操作部22では、一部暗号化ログ取得範囲を示す情報も指定する操作も受け付け、制御部21がその情報もログ取得コマンドに含め、通信部24を介して対象装置10に送信するように制御する。これにより、対象装置10において、一部暗号化ログ取得範囲と暗号化範囲とから平文でログデータを取得する範囲も知ることができる。 In particular, in this embodiment, when a partial range of log data is specified as the encryption range in a log acquisition command, the log acquisition command is configured to include an instruction to specify a partial encryption log acquisition range that includes but is larger than the encryption range. In other words, the operation unit 22 of the log collection device 20 accepts an operation to specify information indicating the partial encryption log acquisition range, and the control unit 21 controls the log acquisition command to include this information and transmit it to the target device 10 via the communication unit 24. This allows the target device 10 to know the range of log data to be acquired in plain text from the partial encryption log acquisition range and encryption range.
そして、生成制御部14は、一部暗号化ログ取得範囲で得られた暗号化後のデータをまとめて1つのログファイル19aとして記憶するように、書き込み部18を制御する。さらに、生成制御部14は、一部暗号化ログ取得範囲のうち暗号化範囲を除く部分(範囲)で得られた平文のデータをまとめて1つのログファイル19bとして記憶するように、書き込み部18を制御する。この制御により、一部暗号化ログ取得範囲に複数の暗号化範囲が含まれる場合にも、これらの暗号化範囲について暗号化されたデータを全てまとめて1つのログファイル19aとし、残りの範囲について平文データを全てまとめて1つのログファイル19bとする。 Then, the generation control unit 14 controls the writing unit 18 to store the encrypted data obtained in the partial encryption log acquisition range together as a single log file 19a. Furthermore, the generation control unit 14 controls the writing unit 18 to store the plaintext data obtained in the portion (range) of the partial encryption log acquisition range excluding the encryption range together as a single log file 19b. By this control, even if the partial encryption log acquisition range includes multiple encryption ranges, all encrypted data for these encryption ranges is stored together as a single log file 19a, and all plaintext data for the remaining ranges is stored together as a single log file 19b.
例えば、或るログ取得コマンドにおいて、一部暗号化ログ取得範囲のうち処理αから処理βまで及び処理γから処理δまでを暗号化範囲として指定されている場合、暗号化された1つのログファイル19aと平文の1つのログファイル19bとが記憶される。 For example, if a certain log acquisition command specifies the encryption range to be from process α to process β and from process γ to process δ out of the partial encrypted log acquisition range, one encrypted log file 19a and one plain text log file 19b will be stored.
第1日時から第2日時まで及び第3日時から第4日時までといった複数の処理期間で暗号化範囲が指定されている場合にも、同様の考え方が適用できる。なお、ここでは第1日時、第2日時、第3日時、第4日時は順に現在に近い日時として説明している。この場合には、第1日時から第2日時までの暗号化ログデータと第3日時から第4日時までの暗号化ログデータとが1つのログファイルとして記憶される。第2日時から第3日時までの平文ログデータと、一部暗号化ログ取得範囲の開始日時から第1日時までの平文ログデータと、第4日時から一部暗号化ログ取得範囲の終了日時までの平文ログデータと、が1つのログファイルとして記憶される。但し、一部暗号化ログ取得範囲の開始日時と第1日時とが同じ場合には対応する平文ログデータは存在せず、また一部暗号化ログ取得範囲の終了日時と第4日時とが同じ場合には対応する平文ログデータは存在しないことになる。 The same concept can be applied when the encryption range is specified for multiple processing periods, such as from the first date and time to the second date and time and from the third date and time to the fourth date and time. Here, the first date and time, second date and time, third date and time, and fourth date and time are described as being closer to the present, in that order. In this case, the encrypted log data from the first date and time to the second date and time and the encrypted log data from the third date and time to the fourth date and time are stored as a single log file. The plaintext log data from the second date and time to the third date and time, the plaintext log data from the start date and time of the partial encryption log acquisition range to the first date and time, and the plaintext log data from the fourth date and time to the end date and time of the partial encryption log acquisition range are stored as a single log file. However, if the start date and time of the partial encryption log acquisition range are the same as the first date and time, no corresponding plaintext log data exists. Conversely, if the end date and time of the partial encryption log acquisition range are the same as the fourth date and time, no corresponding plaintext log data exists.
ログ取得部15は、生成制御部14の制御に従い、ログ取得コマンドで指示された、対象装置10におけるログデータを取得し、バッファ部16に一時保存する。バッファ部16は、ログ取得部15で取得されたログデータの一時保存バッファであり、一時保存されたログデータは、暗号化部17での暗号化時や書き込み部18での書き込み時に利用される。 The log acquisition unit 15, under the control of the generation control unit 14, acquires log data from the target device 10 as instructed by the log acquisition command and temporarily stores it in the buffer unit 16. The buffer unit 16 is a temporary storage buffer for the log data acquired by the log acquisition unit 15, and the temporarily stored log data is used when the encryption unit 17 encrypts it or when the writing unit 18 writes it.
暗号化部17は、ログ取得部15で取得されたログデータのうちログ取得コマンドで指定された範囲(暗号化範囲)のログデータを暗号化する。暗号化部17における暗号化方法は問わず、暗号化されたデータが復号できるものであればよい。また、暗号化部17は、暗号化範囲が示す開始地点への暗号化開始フラグの設定、及び暗号化範囲が示す暗号化終了地点への暗号化終了フラグの設定も行う。暗号化開始フラグの設定、暗号化終了フラグの設定は、それぞれ暗号化開始フラグ、暗号化終了フラグを挿入することでなされることができる。 The encryption unit 17 encrypts the log data acquired by the log acquisition unit 15 within the range (encryption range) specified in the log acquisition command. The encryption method used by the encryption unit 17 does not matter, as long as the encrypted data can be decrypted. The encryption unit 17 also sets an encryption start flag at the start point indicated by the encryption range, and an encryption end flag at the encryption end point indicated by the encryption range. The encryption start flag and encryption end flag can be set by inserting the encryption start flag and encryption end flag, respectively.
さらに、暗号化部17は、バッファ部16に一時保存された暗号化対象の平文のログデータを、例えば、byte配列に格納して設定された暗号化方式及びパスワードで暗号化する。暗号化部17では、暗号化方式やパスワードも設定可能となっており、暗号化方式の設定は対象装置10の図示しない操作部から受け付けること、あるいはログ取得コマンドに記述された内容に従ってなされることができる。パスワードの設定は、ログ取得コマンドに記述された内容に従ってなされることができるが、これに限らない。また、パスワードを使用する代わりに、公開鍵暗号化方式、TLS(Transport Layer Security)、SSL(Secure Socket Layer)などを用いるなど、暗号化部17での暗号化の手法は問わない。暗号化部17は、暗号化後のログデータをバッファ部16に一時保存させることができる。但し、暗号化後のログデータは暗号化部17内に設けたバッファ部に一時保存させることもできる。 Furthermore, the encryption unit 17 encrypts the plaintext log data to be encrypted, temporarily stored in the buffer unit 16, using, for example, a byte array and a set encryption method and password. The encryption unit 17 also allows for setting the encryption method, and the encryption method can be set via an operation unit (not shown) of the target device 10 or according to the contents described in the log acquisition command. The password can be set according to the contents described in the log acquisition command, but is not limited to this. Furthermore, any encryption method can be used by the encryption unit 17, such as public key encryption, Transport Layer Security (TLS), or Secure Socket Layer (SSL) instead of a password. The encryption unit 17 can temporarily store the encrypted log data in the buffer unit 16. However, the encrypted log data can also be temporarily stored in a buffer unit provided within the encryption unit 17.
書き込み部18は、バッファ部16に一時保存された、暗号化されたログデータや平文のままのログデータを、ファイル化して記録媒体19に書き込む制御を行う。これにより、記録媒体19には、暗号化されたフラグ付きログデータについてのログファイル、暗号化されたフラグ無しログデータについてのログファイル、及び平文のログデータについてのログファイルの少なくとも1つが記憶されることになる。 The writing unit 18 controls the file creation and writing of the encrypted log data and plaintext log data temporarily stored in the buffer unit 16 to the recording medium 19. As a result, the recording medium 19 stores at least one of a log file for encrypted flagged log data, a log file for encrypted ungated log data, and a log file for plaintext log data.
記録媒体19の種類は問わず、例えばハードディスクドライブ、ソリッドステートドライブや、可搬型の記録媒体であってもよい。記録媒体19は、対象装置10が本来の機能を果たすうえで使用する記憶装置であってもよい。 The recording medium 19 may be of any type, such as a hard disk drive, solid state drive, or portable recording medium. The recording medium 19 may also be a storage device used by the target device 10 to perform its intended functions.
また、生成制御部14、ログ取得部15は、主制御部11のCPUに、それぞれログ生成及び通信部12を介したログファイルの返信の処理、ログデータの取得の処理を実行させるためのサブプログラムで構成されることができる。暗号化部17、書き込み部18は、主制御部11のCPUに、それぞれ、ログデータの暗号化の処理、ログデータのファイル化及び書き込みの処理を実行させるためのサブプログラムで構成されることができる。但し、例えば暗号化部17は暗号化を行うハードウェアで構成されることもできるなど、これらの部位はサブプログラムで構成されることに限らない。 Furthermore, the generation control unit 14 and the log acquisition unit 15 can be configured as subprograms that cause the CPU of the main control unit 11 to respectively generate logs and return log files via the communication unit 12, and acquire log data. The encryption unit 17 and the writing unit 18 can be configured as subprograms that cause the CPU of the main control unit 11 to respectively encrypt log data and file and write log data. However, these components are not limited to being configured as subprograms; for example, the encryption unit 17 can also be configured as hardware that performs encryption.
次に、図6及び図7を参照しながら、本システムにおける対象装置10での処理例について説明する。図6は本システムにおける対象装置10のログ生成部13での処理の一例を説明するためのフロー図で、図7は図6に続くフロー図である。 Next, an example of processing in the target device 10 in this system will be described with reference to Figures 6 and 7. Figure 6 is a flow diagram for explaining an example of processing in the log generation unit 13 of the target device 10 in this system, and Figure 7 is a flow diagram following Figure 6.
図6及び図7では、一例として或るログ取得コマンドに対する処理例について説明するが、対象装置10に対しるログ取得コマンドが複数存在する場合にはそれぞれのログ取得コマンドについての以下の処理が実行される。 Figures 6 and 7 illustrate an example of processing for a certain log acquisition command, but if there are multiple log acquisition commands for the target device 10, the following processing is performed for each log acquisition command.
ログ生成部13では、まず生成制御部14がログ収集装置20からのログ取得コマンドを受信すると、ログ取得コマンドに記述された情報(パラメータ)のチェックを実施する(ステップS11)。次いで、生成制御部14が、そのチェック結果から暗号化要否の判定を行う(ステップS12)。In the log generation unit 13, when the generation control unit 14 receives a log acquisition command from the log collection device 20, it first checks the information (parameters) described in the log acquisition command (step S11). Next, the generation control unit 14 determines whether encryption is necessary based on the check results (step S12).
暗号化不要の場合、即ちステップS12でNOの場合、生成制御部14は、ログ取得部15にログデータの取得(収集)を実行させ、収集したログデータをバッファ部16に平文で一時保存させる(ステップS13)。次いで、生成制御部14は、書き込み部18を制御し、バッファ部16に一時保存された平文のログデータをファイル化して記録媒体19に書き込ませ(ステップS14)、処理を終了する。If encryption is not required, i.e., if the answer is NO in step S12, the generation control unit 14 causes the log acquisition unit 15 to acquire (collect) the log data and temporarily store the collected log data in plain text in the buffer unit 16 (step S13). Next, the generation control unit 14 controls the writing unit 18 to convert the plain text log data temporarily stored in the buffer unit 16 into a file and write it to the recording medium 19 (step S14), thereby ending the process.
暗号化要の場合、即ちステップS12でYESの場合、生成制御部14は、ステップS11でのチェック結果から一部暗号化であるか否か(全て暗号化であるか)を判定する(ステップS15)。全て暗号化対象の場合、即ちステップS15でNOの場合、生成制御部14は、ログ取得部15にログデータの取得(収集)を実行させ、収集したログデータをバッファ部16に平文で一時保存させる(ステップS16)。If encryption is required, i.e., if the answer is YES in step S12, the generation control unit 14 determines whether partial encryption (whether all encryption) is required based on the check result in step S11 (step S15). If all encryption is required, i.e., if the answer is NO in step S15, the generation control unit 14 causes the log acquisition unit 15 to acquire (collect) log data and temporarily stores the collected log data in plain text in the buffer unit 16 (step S16).
その後、生成制御部14は、バッファ部16に一時保存されたログデータに対し、暗号化部17に暗号化を実行させて、暗号化後のログデータをバッファ部16に一時保存させる(ステップS17)。暗号化部17では、例えば平文のログデータをバイト配列に格納して暗号化方式及びパスワードを指定し、暗号化を実施する。暗号化方式及びパスワードは、ログ取得コマンドでなされていてもよいし、予め定められていてもよい。 Then, the generation control unit 14 causes the encryption unit 17 to encrypt the log data temporarily stored in the buffer unit 16 and temporarily store the encrypted log data in the buffer unit 16 (step S17). The encryption unit 17 stores, for example, plaintext log data in a byte array, specifies an encryption method and password, and performs encryption. The encryption method and password may be specified in the log acquisition command or may be predetermined.
次いで、生成制御部14は、書き込み部18を制御し、バッファ部16に一時保存された暗号化後のログデータをファイル化して記録媒体19に書き込ませ(ステップS18)、処理を終了する。 Next, the generation control unit 14 controls the writing unit 18 to convert the encrypted log data temporarily stored in the buffer unit 16 into a file and write it to the recording medium 19 (step S18), thereby completing the processing.
一部暗号化を実施する場合、即ちステップS15でYESの場合、生成制御部14は、ログ取得コマンドが終了するまで、ループ開始(ステップS21s)からループ終了(ステップS21e)までに至るループ処理を実行する。 If partial encryption is performed, i.e., if the answer is YES in step S15, the generation control unit 14 executes a loop process from the start of the loop (step S21s) to the end of the loop (step S21e) until the log acquisition command is completed.
一部暗号化を実施する場合には、一部暗号化ログ取得範囲のいずれかで暗号化範囲により暗号化開始位置が指定されている。よって、生成制御部14は、まずステップS11でのチェック結果が示す暗号化開始位置であるか否かを、ログデータの現時点での取得状況から判定する(ステップS22)。なお、ループ処理の最初においては、一部暗号化ログ取得範囲の開始位置と暗号化開始位置とが一致している場合には、ステップS22でYESとなり、それ以外の場合、つまり最初に非暗号化範囲がある場合にはステップS22でNOとなる。 When partial encryption is performed, the encryption start position is specified by the encryption range in one of the partial encryption log acquisition ranges. Therefore, the generation control unit 14 first determines whether the encryption start position indicated by the check result in step S11 is the encryption start position based on the current acquisition status of the log data (step S22). Note that at the beginning of the loop processing, if the start position of the partial encryption log acquisition range and the encryption start position match, the answer is YES in step S22; otherwise, that is, if there is an unencrypted range at the beginning, the answer is NO in step S22.
ステップS22でNOの場合、生成制御部14は、ログ取得部15にログデータの取得(収集)を実行させ、収集したログデータをバッファ部16に平文で一時保存させる(ステップS23)。次いで、生成制御部14は、ステップS22と同様に、ログデータの現時点での取得状況から暗号化開始位置であるか否かを判定する(ステップS24)。ステップS24でNOの場合にはステップS23の処理を継続する。If the answer is NO in step S22, the generation control unit 14 causes the log acquisition unit 15 to acquire (collect) log data and temporarily stores the collected log data in plain text in the buffer unit 16 (step S23). Next, similar to step S22, the generation control unit 14 determines whether the current acquisition status of the log data indicates the encryption start position (step S24). If the answer is NO in step S24, the processing of step S23 continues.
生成制御部14は、暗号化開始位置にシーケンスが進むまで(ステップS24でYESとなるまで)、ステップS23の処理を継続する。暗号化開始位置まで進んだ場合、即ちステップS24でYESとなった場合、生成制御部14は、それまでにバッファ部16に一時保存された平文のログデータを平文用のファイルである第1ファイルに書き込むように書き込み部18を制御する(ステップS25)。The generation control unit 14 continues the processing of step S23 until the sequence advances to the encryption start position (until step S24 becomes YES). When the sequence advances to the encryption start position, i.e., when step S24 becomes YES, the generation control unit 14 controls the writing unit 18 to write the plaintext log data temporarily stored in the buffer unit 16 up to that point to the first file, which is a file for plaintext (step S25).
ステップS25では、第1ファイルが生成されていない最初のループでは、生成制御部14は、書き込み部18を制御し、一時保存された平文のログデータをファイル化することで第1ファイルを生成して記録媒体19に書き込ませておく。次回以降のループ処理では、ステップS25において、生成制御部14は、書き込み部18に記録媒体19に記憶された第1ファイルに、一時保存された平文のログデータを追記する。ステップS25の終了後、次のループ処理へと移る。In step S25, in the first loop in which the first file has not yet been generated, the generation control unit 14 controls the writing unit 18 to generate the first file by converting the temporarily stored plaintext log data into a file and writes it to the recording medium 19. In the next and subsequent loop processes, in step S25, the generation control unit 14 causes the writing unit 18 to append the temporarily stored plaintext log data to the first file stored in the recording medium 19. After step S25 is completed, the process moves to the next loop process.
一方、ステップS22でYESの場合、生成制御部14は、暗号化部17に暗号化開始フラグを挿入させる(ステップS26)。この段階では、その暗号化区間についての暗号化開始フラグのみのログデータをバッファ部16に一時保存しておけばよい。ステップS26に次いで、生成制御部14は、ログ取得部15にログデータの取得(収集)を実行させ、収集したログデータをバッファ部16に平文で一時保存させ(ステップS27)、暗号化終了位置に進んだか否かを判定する(ステップS28)。ステップS28でNOの段階ではステップS27の処理を継続する。 On the other hand, if step S22 returns YES, the generation control unit 14 causes the encryption unit 17 to insert an encryption start flag (step S26). At this stage, log data containing only the encryption start flag for that encryption section can be temporarily stored in the buffer unit 16. Following step S26, the generation control unit 14 causes the log acquisition unit 15 to acquire (collect) log data, temporarily stores the collected log data in plain text in the buffer unit 16 (step S27), and determines whether the encryption end position has been reached (step S28). If step S28 returns NO, the generation control unit 14 continues processing in step S27.
暗号化終了位置に到達した場合、即ちステップS28でYESとなった場合、生成制御部14は、一時保存されたログデータの末尾に暗号化終了フラグを挿入するように暗号化部17を制御して、暗号化部17に挿入を実行させる(ステップS29)。 If the encryption end position is reached, i.e., if the answer is YES in step S28, the generation control unit 14 controls the encryption unit 17 to insert an encryption end flag at the end of the temporarily stored log data, and causes the encryption unit 17 to perform the insertion (step S29).
次いで、生成制御部14は、バッファ部16に一時保存されたフラグ付きのログデータに対し、暗号化部17に暗号化を実行させて、暗号化後のログデータをバッファ部16に一時保存させる(ステップS30)。ここでも暗号化部17では、例えば平文のログデータをバイト配列に格納して暗号化方式及びパスワードを指定し、暗号化を実施する。暗号化方式及びパスワードは、ログ取得コマンドでなされていてもよいし、予め定められていてもよい。Next, the generation control unit 14 causes the encryption unit 17 to encrypt the flagged log data temporarily stored in the buffer unit 16, and causes the encrypted log data to be temporarily stored in the buffer unit 16 (step S30). Here too, the encryption unit 17 stores, for example, plaintext log data in a byte array, specifies an encryption method and password, and performs encryption. The encryption method and password may be specified in the log acquisition command or may be predetermined.
生成制御部14は、それまでにバッファ部16に一時保存された暗号化後のログデータを暗号化用のファイルである第2ファイルに書き込むように書き込み部18を制御する(ステップS31)。 The generation control unit 14 controls the writing unit 18 to write the encrypted log data that has been temporarily stored in the buffer unit 16 to a second file, which is a file for encryption (step S31).
ステップS31では、第2ファイルが生成されていない最初のループでは、生成制御部14は、書き込み部18を制御し、一時保存された暗号化後のログデータをファイル化することで第2ファイルを生成して記録媒体19に書き込ませておく。次回以降のループ処理では、ステップS31において、生成制御部14は、書き込み部18に記録媒体19に記憶された第2ファイルに、一時保存された暗号化後のログデータを追記する。ステップS31の終了後、次のループ処理へと移る。In step S31, in the first loop in which the second file has not yet been generated, the generation control unit 14 controls the writing unit 18 to generate a second file by converting the temporarily stored encrypted log data into a file and writing it to the recording medium 19. In the next and subsequent loop processes, in step S31, the generation control unit 14 causes the writing unit 18 to append the temporarily stored encrypted log data to the second file stored on the recording medium 19. After step S31 is completed, the process moves to the next loop process.
次に、図8及び図9を参照しながら、ログ収集装置20と対象装置10の処理例について説明する。図8は本システムにおける全体の処理の一例を示すシーケンス図で、図9は図8に続くシーケンス図である。 Next, an example of processing by the log collection device 20 and the target device 10 will be described with reference to Figures 8 and 9. Figure 8 is a sequence diagram showing an example of the overall processing in this system, and Figure 9 is a sequence diagram following Figure 8.
まず、ログ収集装置20は、ログ取得コマンドであるログ取得要求を対象装置10に送信し、それを生成制御部14が受け取る(ステップS100)。ログ取得コマンドはログ収集装置20等で操作部22から指定可能であるとして説明したが、ログ取得コマンドで設定される内容は予め定められておくこと、つまりログ収集装置20の使用者からは変更できないようにしておくこともできる。 First, the log collection device 20 sends a log acquisition request, which is a log acquisition command, to the target device 10, which is received by the generation control unit 14 (step S100). While it has been explained that the log acquisition command can be specified from the operation unit 22 of the log collection device 20, etc., the contents set in the log acquisition command can be predetermined, i.e., they cannot be changed by the user of the log collection device 20.
次いで、生成制御部14が受け取ったログ取得コマンドに設定されているパラメータのチェックを実施する(ステップS101)。受け取ったログ取得コマンドの分だけのループ処理が実行される。このループ処理では、対象となっているログ取得コマンドについてのチェックの結果に従い、暗号化なしの処理、全て暗号化する処理、及び一部暗号化する処理のいずれか1つが実行されることになる。Next, the generation control unit 14 checks the parameters set in the received log acquisition command (step S101). A loop process is executed as many times as the number of received log acquisition commands. In this loop process, one of the following processes will be executed depending on the check result for the target log acquisition command: no encryption process, full encryption process, or partial encryption process.
暗号化なしのログ取得コマンドであった場合、生成制御部14がログ取得コマンドを実行することで、ログデータのバッファ部16への一時保存(バッファリング)が開始される(ステップS102)。次いで、生成制御部14が、書き込み部18に対し、そのログデータをファイル化するように要求し(ステップS103)、書き込み部18がファイル化を実行し、記録媒体19にその平文のログファイルを記憶する(ステップS104)。次いで、書き込み部18が、要求への応答としてファイル化が済んだことを生成制御部14に通知する(ステップS105)。この通知を受けて、生成制御部14が、記録媒体19に記憶された平文のログファイルを、通信部12を介してログ収集装置20に送信(転送)し(ステップS106)、処理を終了する。If the log acquisition command is an unencrypted log acquisition command, the generation control unit 14 executes the log acquisition command, which initiates temporary storage (buffering) of the log data in the buffer unit 16 (step S102). The generation control unit 14 then requests the writing unit 18 to convert the log data into a file (step S103), and the writing unit 18 executes the file conversion and stores the plaintext log file on the recording medium 19 (step S104). The writing unit 18 then notifies the generation control unit 14 in response to the request that the file conversion has been completed (step S105). Upon receiving this notification, the generation control unit 14 transmits (transfers) the plaintext log file stored on the recording medium 19 to the log collection device 20 via the communication unit 12 (step S106), thereby terminating the process.
全て暗号化するログ取得コマンドであった場合、生成制御部14がログ取得コマンドを実行することで、ログデータのバッファ部16への一時保存が開始される(ステップS107)。次いで、生成制御部14が、暗号化部17に暗号化要求を送信し(ステップS108)、暗号化部17がその要求に応答し、一時保存されたログデータの暗号化を実行し(ステップS109)、暗号化の終了を生成制御部14に通知する(ステップS110)。If the log acquisition command is to encrypt all data, the generation control unit 14 executes the log acquisition command, which initiates temporary storage of the log data in the buffer unit 16 (step S107). Next, the generation control unit 14 sends an encryption request to the encryption unit 17 (step S108), and the encryption unit 17 responds to the request, encrypts the temporarily stored log data (step S109), and notifies the generation control unit 14 of the completion of encryption (step S110).
この通知を受けて、生成制御部14が、書き込み部18に対し、そのログデータをファイル化するように要求し(ステップS111)、書き込み部18がファイル化を実行し、記録媒体19にその暗号化されたログファイルを記憶する(ステップS112)。次いで、書き込み部18が、要求への応答としてファイル化が済んだことを生成制御部14に通知する(ステップS113)。次いで、生成制御部14が、記録媒体19に記憶された暗号化後のログファイルを、通信部12を介してログ収集装置20に送信(転送)し(ステップS114)、処理を終了する。 Upon receiving this notification, the generation control unit 14 requests the writing unit 18 to file the log data (step S111), and the writing unit 18 executes the file creation and stores the encrypted log file on the recording medium 19 (step S112). Next, in response to the request, the writing unit 18 notifies the generation control unit 14 that the file creation has been completed (step S113). Next, the generation control unit 14 transmits (transfers) the encrypted log file stored on the recording medium 19 to the log collection device 20 via the communication unit 12 (step S114), and the process ends.
一部暗号化するログ取得コマンドであった場合、そのログ取得コマンドの終了まで、暗号化開始位置での処理、暗号化終了位置での処理、及び非暗号化区間での処理のいずれか1つが実行されるループ処理が実行される。 If the log acquisition command is partially encrypted, a loop process is executed in which one of the following is performed until the log acquisition command ends: processing at the encryption start point, processing at the encryption end point, or processing in the non-encrypted area.
暗号化開始位置がログデータの先頭と限らない。よって、生成制御部14は、ログ取得コマンドを実行することで、暗号化開始位置となるまでは非暗号区間での処理としてログデータのバッファ部16への一時保存が実行される(ステップS126)。その後、生成制御部14が、書き込み部18に対し、そのログデータをファイル化するように要求し(ステップS127)、書き込み部18がファイル化を実行し、記録媒体19にその平文のログファイルを記憶する(ステップS128)。次いで、書き込み部18が、要求への応答としてこの非暗号化範囲でのファイル化が済んだことを生成制御部14に通知する(ステップS129)。次の非暗号化範囲があった場合には、ステップS127において、記録媒体19に記憶された平文のログファイルに平文のログデータを追記するとよい。 The encryption start position is not necessarily the beginning of the log data. Therefore, the generation control unit 14 executes a log acquisition command, which temporarily stores the log data in the buffer unit 16 as processing in a non-encrypted section until the encryption start position is reached (step S126). The generation control unit 14 then requests the writing unit 18 to file the log data (step S127), and the writing unit 18 executes the file creation and stores the plaintext log file on the recording medium 19 (step S128). Next, in response to the request, the writing unit 18 notifies the generation control unit 14 that the file creation in this non-encrypted range has been completed (step S129). If there is a next non-encrypted range, in step S127, the plaintext log data may be appended to the plaintext log file stored on the recording medium 19.
暗号化開始位置での処理例について説明する。暗号化開始位置に到達すると、生成制御部14がログ取得コマンドを実行することで、ログデータのバッファ部16への一時保存が開始される(ステップS115)。次いで、生成制御部14は、暗号化部17に対して暗号化開始要求を送信する(ステップS116)。暗号化部17では、暗号化開始要求を受信するとステップS115で一時保存された暗号化前のログデータの暗号化開始位置に暗号化開始フラグを挿入し(ステップS117)、暗号化開始応答を生成制御部14に返却する(ステップS118)。 An example of processing at the encryption start position will be described. When the encryption start position is reached, the generation control unit 14 executes a log acquisition command, thereby starting temporary storage of the log data in the buffer unit 16 (step S115). Next, the generation control unit 14 sends an encryption start request to the encryption unit 17 (step S116). Upon receiving the encryption start request, the encryption unit 17 inserts an encryption start flag at the encryption start position of the pre-encryption log data temporarily stored in step S115 (step S117), and returns an encryption start response to the generation control unit 14 (step S118).
暗号化終了位置での処理例について説明する。暗号化終了位置まで処理が進むと、生成制御部14は、暗号化部17に対して暗号化終了要求を送信する(ステップS119)。暗号化部17では、ステップS115により継続的に一時保存されているログデータの末尾に暗号化終了フラグを挿入し(ステップS120)、暗号化開始フラグと暗号化終了フラグとで区切られた区間の暗号化を実施する(ステップS121)。その後、暗号化部17は、暗号化終了応答を生成制御部14に返却する(ステップS122)。An example of processing at the encryption end position will be described below. When processing reaches the encryption end position, the generation control unit 14 sends an encryption end request to the encryption unit 17 (step S119). The encryption unit 17 inserts an encryption end flag at the end of the log data that was continuously and temporarily saved in step S115 (step S120), and performs encryption of the section delimited by the encryption start flag and encryption end flag (step S121). The encryption unit 17 then returns an encryption end response to the generation control unit 14 (step S122).
その後、生成制御部14が、書き込み部18に対し、その区間についての暗号化されたログデータをファイル化するように要求する(ステップS123)。この要求を受けた書き込み部18は、ファイル化を実行し、記録媒体19にその暗号化ログファイルを記憶する(ステップS124)。次いで、書き込み部18が、要求への応答としてこの暗号化範囲でのファイル化が済んだことを生成制御部14に通知する(ステップS125)。次の暗号化範囲があった場合には、ステップS124において、記録媒体19に記憶された暗号化ログファイルに暗号化されたログデータを追記するとよい。 Then, the generation control unit 14 requests the writing unit 18 to file the encrypted log data for that section (step S123). Upon receiving this request, the writing unit 18 executes the file creation and stores the encrypted log file on the recording medium 19 (step S124). Next, in response to the request, the writing unit 18 notifies the generation control unit 14 that file creation for this encryption range has been completed (step S125). If there is a next encryption range, the encrypted log data may be added to the encrypted log file stored on the recording medium 19 in step S124.
以上のようにして、対象のログ取得コマンドによるログデータの取得及び一部暗号化及びファイル化が済んだ段階で、一部暗号化におけるループ処理が終了する。その後、生成制御部14は、記録媒体19に記憶された1つの平文ログファイル及び1つの暗号化ログファイルを、通信部12を介してログ収集装置20に送信(転送)し(ステップS130)、処理を終了する。 In this way, once the log data has been acquired, partially encrypted, and filed using the target log acquisition command, the partial encryption loop process ends. The generation control unit 14 then transmits (transfers) one plaintext log file and one encrypted log file stored on the recording medium 19 to the log collection device 20 via the communication unit 12 (step S130), and the process ends.
以上、本実施形態によれば、実施形態1による効果に加えて、ログ取得コマンドに複数の暗号化範囲が含まれていた場合にも、複数の暗号化範囲をまとめて1つの暗号化ログファイルとして得ることができる。また、本実施形態によれば、ログ取得コマンドに1又は複数の暗号化範囲が含まれることで、結果的に複数の非暗号化範囲が含まれることになった場合にも、複数の非暗号化範囲をまとめて1つの平文ログファイルとして得ることができる。 As described above, according to this embodiment, in addition to the effects of embodiment 1, even if the log acquisition command includes multiple encryption ranges, the multiple encryption ranges can be combined and obtained as a single encrypted log file. Furthermore, according to this embodiment, even if the log acquisition command includes one or more encryption ranges, which results in the inclusion of multiple non-encrypted ranges, the multiple non-encrypted ranges can be combined and obtained as a single plaintext log file.
また、本実施形態では、一部暗号化を行うログ取得コマンドについて、一部暗号化ログ取得範囲を示す情報が含まれることについて説明した。但し、全て暗号化するためのログ取得コマンド、暗号化を実行しないログ取得コマンドのいずれについても、ログ取得範囲を示す情報を含めておくこともできる。これにより、対象装置10では、この2種のログ取得コマンドに対しても、ログ取得コマンドに含まれるログ種別及びログ取得範囲に基づき収集対象のログデータを特定することができる。 Furthermore, in this embodiment, it has been described that log acquisition commands that perform partial encryption include information indicating the partial encryption log acquisition range. However, it is also possible to include information indicating the log acquisition range for both log acquisition commands that perform full encryption and log acquisition commands that do not perform encryption. This allows the target device 10 to identify the log data to be collected for these two types of log acquisition commands based on the log type and log acquisition range included in the log acquisition command.
また、図8及び図9のシーケンス図で例示したように、本実施形態における生成制御部14は、暗号化開始フラグと暗号化終了フラグの挿入位置をログ取得コマンド実行中に判定し、非暗号化と一部暗号化(部分暗号化)と全暗号化とを切り替える機能を備える。このような機能を備えることで、ログ収集装置20からのこれらの3種類のいずれの要求に対しても処理を切り替えてログファイルを生成することやそのログファイルをログ収集装置20に転送することができる。 Furthermore, as illustrated in the sequence diagrams of Figures 8 and 9, the generation control unit 14 in this embodiment has the function of determining the insertion positions of the encryption start flag and encryption end flag during execution of the log acquisition command, and switching between non-encryption, partial encryption (partial encryption), and full encryption. By having such a function, it is possible to switch processing in response to any of these three types of requests from the log collection device 20, generate a log file, and transfer that log file to the log collection device 20.
最後に、一部暗号化を行う場合の、閲覧時(復号時)における暗号化開始フラグ及び暗号化終了フラグの利用方法について、簡単に説明する。この場合の暗号化開始フラグ及び暗号化終了フラグは使用しなくても、暗号化ログファイルの復号は、これらのフラグを無視することで可能である。但し、一つのログ取得コマンドについてのログファイルを順番に閲覧する処理を行う場合には、これらのフラグを利用することができる。例えば、暗号化ログファイルの復号を先に実行しておき、順番に従い、暗号化範囲、非暗号化範囲を提示させることができる。暗号化範囲と非暗号化範囲のいずれが先であるかは、ログ収集装置20でログ取得コマンドの生成を行った後では既知であるため、ログ取得コマンドを参照して得ることができる。例えば、暗号化終了フラグの後は平文のログファイルの次の非暗号化範囲を読み出して提示し、平文のログファイルの非暗号化範囲の提示が終了した時点で次の暗号化開始フラグで示される次の暗号化範囲を読み出して提示することができる。 Finally, we will briefly explain how to use the encryption start flag and encryption end flag when viewing (decrypting) a log file when partial encryption is performed. In this case, the encryption start flag and encryption end flag are not used; decryption of the encrypted log file is possible by ignoring these flags. However, these flags can be used when viewing log files for a single log acquisition command in sequence. For example, decryption of the encrypted log file can be performed first, and the encrypted and non-encrypted ranges can be presented in order. Whether the encrypted or non-encrypted range comes first is known after the log acquisition command is generated by the log collection device 20, and can be determined by referencing the log acquisition command. For example, after the encryption end flag, the next non-encrypted range in the plaintext log file can be read and presented, and once the presentation of the non-encrypted range in the plaintext log file has finished, the next encrypted range indicated by the next encryption start flag can be read and presented.
<実施形態3>
実施形態3について、図10等を参照しながら、実施形態2との相違点を中心に説明するが、実施形態3でも実施形態1,2で説明した様々な応用例が適用可能である。実施形態3でも暗号化システムの構成例は一部の処理を除き図4の構成例が適用できるため、図4の構成例に基づき説明を行う。
<Embodiment 3>
The third embodiment will be described with reference to Fig. 10 etc., focusing on the differences from the second embodiment, but the various application examples described in the first and second embodiments are also applicable to the third embodiment. As the configuration example of the encryption system in Fig. 4 can be applied to the third embodiment as well, with the exception of some processes, the description will be based on the configuration example in Fig. 4.
実施形態2では、ログ取得コマンドに複数の暗号化範囲が含まれていた場合において、複数の暗号化範囲をまとめて1つの暗号化ログファイルとして得、複数の非暗号化範囲をまとめて1つの平文ログファイルとして得るようにしている。 In embodiment 2, when a log acquisition command includes multiple encryption ranges, the multiple encryption ranges are combined into a single encrypted log file, and the multiple non-encrypted ranges are combined into a single plaintext log file.
これに対し、本実施形態における生成制御部14は、暗号化範囲が示す開始位置、終了位置で区切られる毎に、暗号化後のログデータを1つのファイルとして記録媒体19に記憶させ、平文のログデータを1つのファイルとして記録媒体19に記憶させる。つまり、本実施形態では、暗号化範囲が複数に分かれた場合に、処理順に暗号化範囲で区切られる毎にログファイルを記憶すること、並びに記憶した各ログファイルをログ収集装置20に送信することができる。 In contrast, in this embodiment, the generation control unit 14 stores the encrypted log data as a single file on the recording medium 19 each time the encryption range is separated by the start and end positions indicated by the encryption range, and stores the plaintext log data as a single file on the recording medium 19. In other words, in this embodiment, when the encryption range is divided into multiple parts, it is possible to store a log file each time the encryption range is separated in processing order, and to transmit each stored log file to the log collection device 20.
具体的にファイルの記憶方法について例示する。ログ取得コマンドにおいて処理αから処理βまで及び処理γから処理δまでが暗号化範囲として指定されている場合、暗号化ログファイルとしては、次の2つの暗号化ログファイルが記憶されることになる。即ち、処理αから処理βまでの暗号化ログファイルと、処理γから処理δまでの暗号化ログファイルと、が記憶されることになる。また、それらの処理以外の連続するログデータを、それぞれ平文のログファイルとすることができる。例えば、処理βの後から処理γの前までの一連の処理のログデータが1つの平文のログファイルとして記憶される。また、処理αの前に一連の処理があれば、その一連の処理のログデータが1つの平文のログファイルとして記憶され、処理δの後に一連の処理があれば、その一連の処理のログデータが1つの平文のログファイルとして記憶されることになる。この例では、平文のログファイルは最大で3つとなる。 A specific example of how files are stored is given below. If the log acquisition command specifies processes α through β and processes γ through δ as the encryption range, the following two encrypted log files will be stored: one for processes α through β and one for processes γ through δ. Furthermore, consecutive log data other than these processes can each be stored as a plaintext log file. For example, the log data for a series of processes from after process β to before process γ is stored as a single plaintext log file. Furthermore, if there is a series of processes before process α, the log data for that series of processes will be stored as a single plaintext log file, and if there is a series of processes after process δ, the log data for that series of processes will be stored as a single plaintext log file. In this example, there will be a maximum of three plaintext log files.
第1日時から第2日時まで及び第3日時から第4日時までといった複数の処理期間で暗号化範囲が指定されている場合にも、同様の考え方が適用できる。なお、ここでは第1日時、第2日時、第3日時、第4日時は順に現在に近い日時として説明している。この場合には、第1日時から第2日時までの暗号化ログファイルと第3日時から第4日時までの暗号化ログファイルとが記憶される。また、第2日時から第3日時までの平文ログファイルと、一部暗号化ログ取得範囲の開始日時から第1日時までの平文ログファイルと、第4日時から一部暗号化ログ取得範囲の終了日時までの平文ログファイルとが記憶される。但し、一部暗号化ログ取得範囲の開始日時と第1日時とが同じ場合には対応する平文ログファイルは存在せず、また一部暗号化ログ取得範囲の終了日時と第4日時とが同じ場合には対応する平文ログファイルは存在しないことになる。 The same concept can be applied when the encryption range is specified for multiple processing periods, such as from the first date and time to the second date and time and from the third date and time to the fourth date and time. Here, the first date and time, second date and time, third date and time, and fourth date and time are described as being closer to the present in that order. In this case, an encrypted log file from the first date and time to the second date and time and an encrypted log file from the third date and time to the fourth date and time are stored. Also, a plaintext log file from the second date and time to the third date and time, a plaintext log file from the start date and time of the partial encryption log acquisition range to the first date and time, and a plaintext log file from the fourth date and time to the end date and time of the partial encryption log acquisition range are stored. However, if the start date and time of the partial encryption log acquisition range are the same as the first date and time, no corresponding plaintext log file exists, and if the end date and time of the partial encryption log acquisition range are the same as the fourth date and time, no corresponding plaintext log file exists.
なお、ここでも、実施形態2と同様に、一部暗号化ログ取得範囲の指定がなされるものとする。また、本実施形態においても、全て暗号化するためのログ取得コマンド、暗号化を実行しないログ取得コマンドにおいて、ログ取得範囲を示す情報を含めてもよい。 Note that here too, as in embodiment 2, a partial encryption log acquisition range is specified. Also, in this embodiment, information indicating the log acquisition range may be included in the log acquisition command for full encryption and the log acquisition command for no encryption.
次に、図10を参照しながら、本実施形態における対象装置10のログ生成部13での処理の一例について説明する。図10は、実施形態3に係る暗号化システムにおける対象装置10のログ生成部13での処理の一例を説明するためのフロー図で、図6に続く処理の他の例を説明するためのフロー図である。Next, an example of processing in the log generation unit 13 of the target device 10 in this embodiment will be described with reference to Figure 10. Figure 10 is a flow diagram for explaining an example of processing in the log generation unit 13 of the target device 10 in an encryption system relating to embodiment 3, and is a flow diagram for explaining another example of processing following Figure 6.
図6及び図10でも、一例として或るログ取得コマンドに対する処理例について説明するが、対象装置10に対しるログ取得コマンドが複数存在する場合にはそれぞれのログ取得コマンドについての以下の処理が実行される。なお、図8及び図9で例示したようなシーケンス図による説明は省略する。 Figures 6 and 10 also explain an example of processing for a certain log acquisition command, but if there are multiple log acquisition commands for the target device 10, the following processing is executed for each log acquisition command. Note that explanations using sequence diagrams such as those shown in Figures 8 and 9 will be omitted.
本実施形態でも暗号化なしの場合や全て暗号化する場合の処理は同様であり、図6の処理例が適用できる。本実施形態では、図10に示すように、一部暗号化するログ取得コマンドであった場合、そのログ取得コマンドの終了まで、暗号化開始位置での処理、暗号化終了位置での処理、及び非暗号化区間での処理のいずれか1つが実行されるループ処理が実行される。このループ処理において、本実施形態では、図7におけるステップS25,S31の処理をそれぞれステップS25a,S31aの処理に変更している。In this embodiment, the processing is similar when there is no encryption or when all data is encrypted, and the processing example in Figure 6 can be applied. In this embodiment, as shown in Figure 10, when a log acquisition command is partially encrypted, a loop process is executed in which one of the following processes is executed until the end of the log acquisition command: processing at the encryption start position, processing at the encryption end position, and processing in the non-encrypted section. In this loop process, in this embodiment, the processes of steps S25 and S31 in Figure 7 are changed to steps S25a and S31a, respectively.
ステップS25aでは、ステップS24でYESとなった場合、生成制御部14が、その時点でのループ処理で対象となった、バッファ部16に一時保存された平文のログデータを、平文用のファイルである第1ファイルに書き込むように書き込み部18を制御する。 In step S25a, if the answer is YES in step S24, the generation control unit 14 controls the writing unit 18 to write the plain text log data that is the target of the loop processing at that time and that is temporarily stored in the buffer unit 16 to the first file, which is a file for plain text.
ステップS25aでは、生成制御部14は、書き込み部18を制御し、一時保存された平文のログデータをファイル化することで第1ファイルを生成して記録媒体19に書き込ませておく。ここでの第1ファイルは、対象区間別の第1ファイルとなる。よって、ステップS24でYESとなったループ処理の回数分だけ、第1ファイルが対象区間別の第1ファイルとして記憶されることになる。ステップS25aの終了後、次のループ処理へと移る。 In step S25a, the generation control unit 14 controls the writing unit 18 to file the temporarily stored plain text log data to generate a first file, which is then written to the recording medium 19. The first file here becomes a first file for each target section. Therefore, the first file will be stored as a first file for each target section for the number of loop processes for which step S24 returned YES. After step S25a is completed, the process moves to the next loop process.
ステップS31aでは、生成制御部14は、バッファ部16に一時保存された暗号化後のログデータ、つまりファイル化していない暗号化後のログデータを、暗号化用のファイルである第2ファイルに書き込むように書き込み部18を制御する。 In step S31a, the generation control unit 14 controls the writing unit 18 to write the encrypted log data temporarily stored in the buffer unit 16, i.e., the encrypted log data that has not been filed, to a second file, which is a file for encryption.
ステップS31aでは、生成制御部14は、書き込み部18を制御し、一時保存された暗号化後のログデータ、つまりファイル化していない暗号化後のログデータを、ファイル化することで第2ファイルを生成して記録媒体19に書き込ませておく。ここでの第2ファイルは、対象区間別の第2ファイルとなる。よって、ステップS28でYESとなったループ処理の回数分だけ、第2ファイルが対象区間別の第2ファイルとして記憶されることになる。ステップS31aの終了後、次のループ処理へと移る。 In step S31a, the generation control unit 14 controls the writing unit 18 to file the temporarily stored encrypted log data, i.e., the encrypted log data that has not been filed, to generate a second file and write it to the recording medium 19. The second file here is a second file for each target section. Therefore, the second file will be stored as a second file for each target section for the number of loop processes for which step S28 returned YES. After step S31a is completed, the process moves to the next loop process.
以上、本実施形態によれば、実施形態1による効果に加えて、ログ取得コマンドに複数の暗号化範囲が含まれていた場合にも、暗号化範囲毎に1つの暗号化ログファイルとして得ることができ、非暗号化範囲毎に1つの平文ログファイルとして得ることができる。 As described above, according to this embodiment, in addition to the effects of embodiment 1, even if the log acquisition command contains multiple encryption ranges, one encrypted log file can be obtained for each encryption range, and one plaintext log file can be obtained for each non-encryption range.
ここで、一部暗号化を行う場合の、閲覧時(復号時)における暗号化開始フラグ及び暗号化終了フラグの利用方法について、簡単に説明する。この場合の暗号化開始フラグ及び暗号化終了フラグは使用しなくても、暗号化ログファイルの復号は、これらのフラグを無視することで可能である。但し、一つのログ取得コマンドについての暗号化ログファイルを順番に閲覧する処理を行う場合には、これらのフラグを利用することができる。例えば、暗号化ログファイルの復号を先に実行しておき、順番に従い、暗号化範囲、非暗号化範囲を提示させることができる。この順番はログ収集装置20でログ取得コマンドの生成を行った後では既知であるため、ログ取得コマンドを参照して得ることができる。あるいはログファイルの最終保存日時によりこの順番を判定することもできる。例えば、暗号化終了フラグの後は平文のログファイルの次の非暗号化範囲を読み出して提示し、平文のログファイルの非暗号化範囲の提示が終了した時点で次の暗号化開始フラグで示される次の暗号化範囲を読み出して提示することができる。Here, we briefly explain how to use the encryption start flag and encryption end flag when viewing (decrypting) a log file when partial encryption is performed. In this case, the encryption start flag and encryption end flag are not used; decryption of the encrypted log file is possible by ignoring these flags. However, these flags can be used when viewing encrypted log files for a single log acquisition command in sequence. For example, the encrypted log file can be decrypted first, and the encrypted and non-encrypted ranges can be presented in order. This order is known after the log acquisition command is generated by the log collection device 20, so it can be obtained by referencing the log acquisition command. Alternatively, the order can be determined by the last saved date and time of the log file. For example, after the encryption end flag, the next non-encrypted range in the plaintext log file can be read and presented, and once the presentation of the non-encrypted range in the plaintext log file has finished, the next encrypted range indicated by the next encryption start flag can be read and presented.
また、対象装置10において、実施形態2と実施形態3との処理を切り替える機能を設けておき、ログ収集装置20で送信するログ取得コマンドにいずれの処理を適用するかを示す情報を含んでおくこともできる。 In addition, the target device 10 may be provided with a function to switch between processing in embodiment 2 and processing in embodiment 3, and the log acquisition command sent by the log collection device 20 may include information indicating which processing to apply.
<他の実施形態>
[a]
各実施形態において、暗号化システム、暗号化装置、対象装置、ログ収集装置、及び、暗号化システムに含めることができる装置の機能について説明したが、各装置は、図示した構成例に限ったものではなく、各装置としてこれらの機能が実現できればよい。
<Other Embodiments>
[a]
In each embodiment, the functions of the encryption system, encryption device, target device, log collection device, and devices that can be included in the encryption system have been described, but each device is not limited to the configuration example shown in the figure, and it is sufficient if each device can realize these functions.
[b]
実施形態1~3で説明した各装置は、次のようなハードウェア構成を備えていてもよい。図11は、装置のハードウェア構成の一例を示す図である。なお、上記他の実施形態[a]についても同様である。
[b]
Each of the devices described in the first to third embodiments may have the following hardware configuration. Fig. 11 is a diagram showing an example of the hardware configuration of the device. The same applies to the other embodiment [a] above.
図11に示す装置100は、プロセッサ101、メモリ102、及び通信インタフェース(I/F)103を備えることができる。プロセッサ101は、例えば、マイクロプロセッサ、MPU(Micro Processor Unit)、又はCPUなどであってもよい。プロセッサ101は、複数のプロセッサを含んでもよい。メモリ102は、例えば、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。実施形態1~3で説明した各装置における機能は、プロセッサ101がメモリ102に記憶されたプログラムを読み込んで実行することにより実現される。この際、他の装置との情報の送受は通信インタフェース103又は図示しない入出力インタフェースを介して行うことができる。 The device 100 shown in FIG. 11 may include a processor 101, memory 102, and a communication interface (I/F) 103. The processor 101 may be, for example, a microprocessor, an MPU (Micro Processor Unit), or a CPU. The processor 101 may include multiple processors. The memory 102 is configured, for example, by a combination of volatile memory and non-volatile memory. The functions of each device described in embodiments 1 to 3 are realized by the processor 101 reading and executing a program stored in the memory 102. In this case, information can be sent and received with other devices via the communication interface 103 or an input/output interface (not shown).
上述の例において、プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。In the above examples, the program includes instructions (or software code) that, when loaded into a computer, cause the computer to perform one or more functions described in the embodiments. The program may be stored on a non-transitory computer-readable medium or a tangible storage medium. By way of example and not limitation, computer-readable medium or tangible storage medium includes random-access memory (RAM), read-only memory (ROM), flash memory, solid-state drive (SSD) or other memory technology, CD-ROM, digital versatile disc (DVD), Blu-ray® disc or other optical disk storage, magnetic cassette, magnetic tape, magnetic disk storage or other magnetic storage device. The program may also be transmitted on a transitory computer-readable medium or communication medium. By way of example and not limitation, transitory computer-readable medium or communication medium includes electrical, optical, acoustic, or other forms of propagated signals.
なお、本開示は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施形態を適宜組み合わせて実施されてもよい。 Note that this disclosure is not limited to the above-described embodiments and can be modified as appropriate without departing from the spirit of the disclosure. Furthermore, this disclosure may be implemented by combining the respective embodiments as appropriate.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 Some or all of the above embodiments may also be described as, but are not limited to, the following notes:
(付記1)
ログデータを取得する取得部と、
ログデータを暗号化する暗号化部と、
ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、
ログデータを記憶する記憶部と、
前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、
を備え、
前記制御部は、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、
暗号化システム。
(付記2)
前記受付部は、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付け、
前記制御部は、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして前記記憶部に記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして前記記憶部に記憶させる、
付記1に記載の暗号化システム。
(付記3)
前記受付部は、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付け、
前記制御部は、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして前記記憶部に記憶させ、前記平文のデータを1つのファイルとして前記記憶部に記憶させる、
付記1に記載の暗号化システム。
(付記4)
前記受付部に対し、前記受付部で受け付ける指示を送信する指示装置と、
前記暗号化部、前記受付部、前記記憶部、及び、前記記憶部に記憶されたファイルを前記指示装置に送信する送信部を備え、ログデータの収集対象となる対象装置と、
を備える、
付記1~3のいずれか1項に記載の暗号化システム。
(付記5)
ログデータを取得する取得部と、
ログデータを暗号化する暗号化部と、
ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、
ログデータを記憶する記憶部と、
前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、
を備え、
前記制御部は、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、
暗号化装置。
(付記6)
前記受付部は、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付け、
前記制御部は、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして前記記憶部に記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして前記記憶部に記憶させる、
付記5に記載の暗号化装置。
(付記7)
前記受付部は、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付け、
前記制御部は、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして前記記憶部に記憶させ、前記平文のデータを1つのファイルとして前記記憶部に記憶させる、
付記5に記載の暗号化装置。
(付記8)
前記受付部で受け付けた指示に応答して、前記記憶部に記憶されたファイルを、前記指示を送信した指示装置に送信する送信部を備える、
付記5~7のいずれか1項に記載の暗号化装置。
(付記9)
ログデータを取得すること、
ログデータを暗号化すること、
ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、
ログデータを記憶すること、及び、
前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、
を備え、
前記制御することは、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、
を含む、暗号化方法。
(付記10)
前記受け付けることは、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付けることを含み、
前記制御することは、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして記憶させることを含む、
付記9に記載の暗号化方法。
(付記11)
前記受け付けることは、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付けることを含み、
前記制御することは、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして記憶させ、前記平文のデータを1つのファイルとして記憶させることを含む、
付記9に記載の暗号化方法。
(付記12)
前記受け付けることで受け付けた指示に応答して、記憶されたファイルを、前記指示を送信した指示装置に送信すること
を備える、付記9~11のいずれか1項に記載の暗号化方法。
(付記13)
ログデータを取得すること、
ログデータを暗号化すること、
ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、
ログデータを記憶すること、及び、
前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、
を含み、
前記制御することは、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、
を含む、
暗号化処理を、コンピュータに実行させるためのプログラムが格納されたコンピュータ可読媒体。
(付記14)
前記受け付けることは、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付けることを含み、
前記制御することは、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして記憶させることを含む、
付記13に記載のコンピュータ可読媒体。
(付記15)
前記受け付けることは、前記範囲としてログデータの一部の範囲が指定される場合には、前記範囲を含み前記範囲より大きいログ取得範囲である一部暗号化ログ取得範囲を指定する指示を受け付けることを含み、
前記制御することは、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして記憶させ、前記平文のデータを1つのファイルとして記憶させることを含む、
付記13に記載のコンピュータ可読媒体。
(付記16)
前記暗号化処理は、前記受け付けることで受け付けた指示に応答して、記憶されたファイルを、前記指示を送信した指示装置に送信することを含む、
付記13~15のいずれか1項に記載のコンピュータ可読媒体。
(Appendix 1)
an acquisition unit that acquires log data;
an encryption unit that encrypts the log data;
a reception unit that receives an instruction to specify a range to be encrypted by the encryption unit before starting acquisition of log data;
a storage unit that stores log data;
a control unit that controls, based on the range, the timing of acquisition of log data by the acquisition unit, the start and end positions of encryption by the encryption unit, and storage of log data by the storage unit;
Equipped with
The control unit
controlling the encryption unit to insert a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then perform encryption;
When the entire range of the log data is designated as the range, the encryption unit is controlled to perform encryption without inserting the start flag and the end flag;
The encrypted data for the log data corresponding to the range and the plaintext data for the log data not corresponding to the range are stored in the storage unit as separate files.
Encryption system.
(Appendix 2)
when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit collectively stores the encrypted data obtained in the partial encryption log acquisition range as a single file in the storage unit, and collectively stores the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the range as a single file in the storage unit.
2. The encryption system of claim 1.
(Appendix 3)
when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit stores the encrypted data as one file in the storage unit and stores the plaintext data as one file in the storage unit each time the range is delimited by a start position and an end position indicated by the range.
2. The encryption system of claim 1.
(Appendix 4)
an instruction device that transmits an instruction to the reception unit to be received by the reception unit;
a target device that is a target for collecting log data, the target device including the encryption unit, the reception unit, the storage unit, and a transmission unit that transmits the file stored in the storage unit to the instruction device;
Equipped with
4. The encryption system according to any one of claims 1 to 3.
(Appendix 5)
an acquisition unit that acquires log data;
an encryption unit that encrypts the log data;
a reception unit that receives an instruction to specify a range to be encrypted by the encryption unit before starting acquisition of log data;
a storage unit that stores log data;
a control unit that controls, based on the range, the timing of acquisition of log data by the acquisition unit, the start and end positions of encryption by the encryption unit, and storage of log data by the storage unit;
Equipped with
The control unit
controlling the encryption unit to insert a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then perform encryption;
When the entire range of the log data is designated as the range, the encryption unit is controlled to perform encryption without inserting the start flag and the end flag;
The encrypted data for the log data corresponding to the range and the plaintext data for the log data not corresponding to the range are stored in the storage unit as separate files.
Encryption device.
(Appendix 6)
when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit collectively stores the encrypted data obtained in the partial encryption log acquisition range as a single file in the storage unit, and collectively stores the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the range as a single file in the storage unit.
6. The encryption device of claim 5.
(Appendix 7)
when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit stores the encrypted data as one file in the storage unit and stores the plaintext data as one file in the storage unit each time the range is delimited by a start position and an end position indicated by the range.
6. The encryption device of claim 5.
(Appendix 8)
a transmitting unit that, in response to the instruction received by the receiving unit, transmits the file stored in the storage unit to an instruction device that transmitted the instruction;
8. The encryption device according to any one of appendices 5 to 7.
(Appendix 9)
Obtaining log data;
Encrypting log data;
receiving an instruction to specify a range to be encrypted before starting acquisition of log data;
storing the log data; and
Controlling the timing of acquiring log data, the start and end positions of encryption, and storage of log data based on the range;
Equipped with
The controlling comprises:
inserting a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then performing encryption;
When the entire range of the log data is designated as the range, encryption is performed without inserting the start flag and the end flag; and
storing the encrypted data for the log data that falls within the range and the plaintext data for the log data that does not fall within the range in separate files;
encryption methods, including
(Appendix 10)
When a partial range of log data is specified as the range, the receiving includes receiving an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
The controlling includes collectively storing the encrypted data obtained in the partial encryption log acquisition range as a single file, and collectively storing the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the partial encryption log acquisition range as a single file.
10. The encryption method of claim 9.
(Appendix 11)
When a partial range of log data is specified as the range, the receiving includes receiving an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
The controlling includes storing the encrypted data as one file and storing the plaintext data as one file each time the range is delimited by a start position and an end position indicated by the range.
10. The encryption method of claim 9.
(Appendix 12)
12. The encryption method of claim 9, further comprising: in response to the instruction received by the receiving, transmitting the stored file to the instruction device that sent the instruction.
(Appendix 13)
Obtaining log data;
Encrypting log data;
receiving an instruction to specify a range to be encrypted before starting acquisition of log data;
storing the log data; and
Controlling the timing of acquiring log data, the start and end positions of encryption, and storage of log data based on the range;
Including,
The controlling comprises:
inserting a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then performing encryption;
When the entire range of the log data is designated as the range, encryption is performed without inserting the start flag and the end flag; and
storing the encrypted data for the log data that falls within the range and the plaintext data for the log data that does not fall within the range in separate files;
Including,
A computer-readable medium that stores a program for causing a computer to execute an encryption process.
(Appendix 14)
When a partial range of log data is specified as the range, the receiving includes receiving an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
The controlling includes collectively storing the encrypted data obtained in the partial encryption log acquisition range as a single file, and collectively storing the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the partial encryption log acquisition range as a single file.
14. The computer-readable medium of claim 13.
(Appendix 15)
When a partial range of log data is specified as the range, the receiving includes receiving an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
The controlling includes storing the encrypted data as one file and storing the plaintext data as one file each time the range is delimited by a start position and an end position indicated by the range.
14. The computer-readable medium of claim 13.
(Appendix 16)
the encryption process includes, in response to the instruction received by the receiving, transmitting the stored file to a device that sent the instruction.
16. The computer-readable medium of any one of claims 13 to 15.
以上、実施形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 The present invention has been described above with reference to embodiments, but the present invention is not limited to the above. Various modifications that would be understood by a person skilled in the art can be made to the configuration and details of the present invention within the scope of the invention.
1 暗号化システム
1a 取得部
1b 暗号化部
1c 受付部
1d 記憶部
1e 制御部
2 暗号化装置
10 対象装置
11 主制御部
12 通信部
13 ログ生成部
14 生成制御部
15 ログ取得部
16 バッファ部
17 暗号化部
18 書き込み部
19 記録媒体
19a 暗号化されたログファイル
19b 平文のログファイル
20 ログ収集装置
21 制御部
22 操作部
23 記憶部
24 通信部
100 装置
101 プロセッサ
102 メモリ
103 通信インタフェース
1 Encryption system 1a Acquisition unit 1b Encryption unit 1c Reception unit 1d Memory unit 1e Control unit 2 Encryption device 10 Target device 11 Main control unit 12 Communication unit 13 Log generation unit 14 Generation control unit 15 Log acquisition unit 16 Buffer unit 17 Encryption unit 18 Writing unit 19 Recording medium 19a Encrypted log file 19b Plain text log file 20 Log collection device 21 Control unit 22 Operation unit 23 Memory unit 24 Communication unit 100 Device 101 Processor 102 Memory 103 Communication interface
Claims (10)
ログデータを暗号化する暗号化部と、
ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、
ログデータを記憶する記憶部と、
前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、
を備え、
前記制御部は、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、
暗号化システム。 an acquisition unit that acquires log data;
an encryption unit that encrypts the log data;
a reception unit that receives an instruction to specify a range to be encrypted by the encryption unit before starting acquisition of log data;
a storage unit that stores log data;
a control unit that controls, based on the range, the timing of acquisition of log data by the acquisition unit, the start and end positions of encryption by the encryption unit, and storage of log data by the storage unit;
Equipped with
The control unit
controlling the encryption unit to insert a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then perform encryption;
When the entire range of the log data is designated as the range, the encryption unit is controlled to perform encryption without inserting the start flag and the end flag;
The encrypted data for the log data corresponding to the range and the plaintext data for the log data not corresponding to the range are stored in the storage unit as separate files.
Encryption system.
前記制御部は、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして前記記憶部に記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして前記記憶部に記憶させる、
請求項1に記載の暗号化システム。 when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit collectively stores the encrypted data obtained in the partial encryption log acquisition range as a single file in the storage unit, and collectively stores the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the range as a single file in the storage unit.
The encryption system of claim 1 .
前記制御部は、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして前記記憶部に記憶させ、前記平文のデータを1つのファイルとして前記記憶部に記憶させる、
請求項1に記載の暗号化システム。 when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit stores the encrypted data as one file in the storage unit and stores the plaintext data as one file in the storage unit each time the range is delimited by a start position and an end position indicated by the range.
The encryption system of claim 1 .
前記暗号化部、前記受付部、前記記憶部、及び、前記記憶部に記憶されたファイルを前記指示装置に送信する送信部を備え、ログデータの収集対象となる対象装置と、
を備える、
請求項1~3のいずれか1項に記載の暗号化システム。 an instruction device that transmits an instruction to the reception unit to be received by the reception unit;
a target device that is a target for collecting log data, the target device including the encryption unit, the reception unit, the storage unit, and a transmission unit that transmits the file stored in the storage unit to the instruction device;
Equipped with
The encryption system according to any one of claims 1 to 3.
ログデータを暗号化する暗号化部と、
ログデータの取得開始前に、前記暗号化部で暗号化を実行する範囲を指定する指示を受け付ける受付部と、
ログデータを記憶する記憶部と、
前記範囲に基づき、前記取得部によるログデータの取得のタイミングと、前記暗号化部による暗号化の開始位置及び終了位置と、前記記憶部によるログデータの記憶と、を制御する制御部と、
を備え、
前記制御部は、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行するように、前記暗号化部を制御し、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグを挿入する制御を行わずに暗号化を実行するように前記暗号化部を制御し、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして前記記憶部に記憶させる、
暗号化装置。 an acquisition unit that acquires log data;
an encryption unit that encrypts the log data;
a reception unit that receives an instruction to specify a range to be encrypted by the encryption unit before starting acquisition of log data;
a storage unit that stores log data;
a control unit that controls, based on the range, the timing of acquisition of log data by the acquisition unit, the start and end positions of encryption by the encryption unit, and storage of log data by the storage unit;
Equipped with
The control unit
controlling the encryption unit to insert a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then perform encryption;
When the entire range of the log data is designated as the range, the encryption unit is controlled to perform encryption without inserting the start flag and the end flag;
The encrypted data for the log data corresponding to the range and the plaintext data for the log data not corresponding to the range are stored in the storage unit as separate files.
Encryption device.
前記制御部は、前記一部暗号化ログ取得範囲で得られた前記暗号化後のデータをまとめて1つのファイルとして前記記憶部に記憶させ、前記一部暗号化ログ取得範囲から前記範囲を除いた部分で得られた前記平文のデータをまとめて1つのファイルとして前記記憶部に記憶させる、
請求項5に記載の暗号化装置。 when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit collectively stores the encrypted data obtained in the partial encryption log acquisition range as a single file in the storage unit, and collectively stores the plaintext data obtained in the portion of the partial encryption log acquisition range excluding the range as a single file in the storage unit.
The encryption device according to claim 5 .
前記制御部は、前記範囲が示す開始位置、終了位置で区切られる毎に、前記暗号化後のデータを1つのファイルとして前記記憶部に記憶させ、前記平文のデータを1つのファイルとして前記記憶部に記憶させる、
請求項5に記載の暗号化装置。 when a partial range of log data is specified as the range, the reception unit receives an instruction to specify a partial encrypted log acquisition range that is a log acquisition range that includes the range and is larger than the range;
the control unit stores the encrypted data as one file in the storage unit and stores the plaintext data as one file in the storage unit each time the range is delimited by a start position and an end position indicated by the range.
The encryption device according to claim 5 .
請求項5~7のいずれか1項に記載の暗号化装置。 a transmitting unit that, in response to the instruction received by the receiving unit, transmits the file stored in the storage unit to an instruction device that transmitted the instruction;
The encryption device according to any one of claims 5 to 7.
ログデータを取得すること、
ログデータを暗号化すること、
ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、
ログデータを記憶すること、及び、
前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、
を含む暗号化処理を実行し、
前記制御することは、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、
を含む、暗号化方法。 The computer
Obtaining log data;
Encrypting log data;
receiving an instruction to specify a range to be encrypted before starting acquisition of log data;
storing the log data; and
Controlling the timing of acquiring log data, the start and end positions of encryption, and storage of log data based on the range;
performs an encryption process including
The controlling comprises:
inserting a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then performing encryption;
When the entire range of the log data is designated as the range, encryption is performed without inserting the start flag and the end flag; and
storing the encrypted data for the log data that falls within the range and the plaintext data for the log data that does not fall within the range in separate files;
encryption methods, including
ログデータを暗号化すること、
ログデータの取得開始前に、暗号化を実行する範囲を指定する指示を受け付けることと、
ログデータを記憶すること、及び、
前記範囲に基づき、ログデータの取得のタイミングと、暗号化の開始位置及び終了位置と、ログデータの記憶と、を制御すること、
を含み、
前記制御することは、
前記範囲が示す開始位置、終了位置に対し、それぞれ前記開始位置を示すフラグである開始フラグ、前記終了位置を示すフラグである終了フラグを挿入して暗号化を実行させること、
前記範囲としてログデータの全ての範囲が指定された場合には、前記開始フラグ及び前記終了フラグの挿入を行わずに暗号化を実行させること、及び、
前記範囲に該当する部分のログデータについては暗号化後のデータを、前記範囲に該当しない部分のログデータについては平文のままのデータを、それぞれ別々のファイルとして記憶させること、
を含む、
暗号化処理を、コンピュータに実行させるためのプログラム。 Obtaining log data;
Encrypting log data;
receiving an instruction to specify a range to be encrypted before starting acquisition of log data;
storing the log data; and
Controlling the timing of acquiring log data, the start and end positions of encryption, and storage of log data based on the range;
Including,
The controlling comprises:
inserting a start flag indicating the start position and an end flag indicating the end position into the start position and the end position indicated by the range, respectively, and then performing encryption;
When the entire range of the log data is designated as the range, encryption is performed without inserting the start flag and the end flag; and
storing the encrypted data for the log data that falls within the range and the plaintext data for the log data that does not fall within the range in separate files;
Including,
A program that causes a computer to perform encryption processing.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/010838 WO2023170907A1 (en) | 2022-03-11 | 2022-03-11 | Encryption system, encryption device, encryption method, and computer-readable medium |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2023170907A1 JPWO2023170907A1 (en) | 2023-09-14 |
| JPWO2023170907A5 JPWO2023170907A5 (en) | 2024-10-22 |
| JP7776175B2 true JP7776175B2 (en) | 2025-11-26 |
Family
ID=87936451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024505796A Active JP7776175B2 (en) | 2022-03-11 | 2022-03-11 | Encryption system, encryption device, encryption method, and program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7776175B2 (en) |
| WO (1) | WO2023170907A1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011237975A (en) | 2010-05-10 | 2011-11-24 | Ricoh Co Ltd | Information processing system |
| JP2017097703A (en) | 2015-11-26 | 2017-06-01 | コニカミノルタ株式会社 | Information processing device, information processing method, information processing system and information processing program |
| JP2019020795A (en) | 2017-07-12 | 2019-02-07 | 富士ゼロックス株式会社 | Document management apparatus, document management system, and program |
-
2022
- 2022-03-11 WO PCT/JP2022/010838 patent/WO2023170907A1/en not_active Ceased
- 2022-03-11 JP JP2024505796A patent/JP7776175B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011237975A (en) | 2010-05-10 | 2011-11-24 | Ricoh Co Ltd | Information processing system |
| JP2017097703A (en) | 2015-11-26 | 2017-06-01 | コニカミノルタ株式会社 | Information processing device, information processing method, information processing system and information processing program |
| JP2019020795A (en) | 2017-07-12 | 2019-02-07 | 富士ゼロックス株式会社 | Document management apparatus, document management system, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023170907A1 (en) | 2023-09-14 |
| JPWO2023170907A1 (en) | 2023-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8165301B1 (en) | Input-output device and storage controller handshake protocol using key exchange for data security | |
| JP4728060B2 (en) | Storage device | |
| US8140864B2 (en) | Computer system, storage system, and data management method for updating encryption key | |
| US8495365B2 (en) | Content processing apparatus and encryption processing method | |
| US8966288B2 (en) | System and method for providing encryption in storage operations in a storage network, such as for use by application service providers that provide data storage services | |
| US7873828B2 (en) | Method and apparatus for encrypting and decrypting data to/from an ESCON tape system | |
| US7650499B2 (en) | Encryption apparatus and decryption apparatus | |
| EP1986069A1 (en) | A storage system executing encryption and decryption processing | |
| WO2017221979A1 (en) | Process control device, process control method, and recording medium having process control program recorded therein | |
| CN1830030B (en) | Record carrier providing method, recording/reading device and method including encrypted instruction information | |
| JP2024500732A (en) | Cryptographic erasure of data stored in key-per IO-enabled devices via internal operations | |
| JP4347351B2 (en) | Data encryption apparatus, data decryption apparatus, data encryption method, data decryption method, and data relay apparatus | |
| CN117061126A (en) | System and method for managing encryption and decryption of cloud disk files | |
| CN112733189A (en) | System and method for realizing file storage server side encryption | |
| JP7776175B2 (en) | Encryption system, encryption device, encryption method, and program | |
| US20130061059A1 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium | |
| KR101503581B1 (en) | Processing device, processing method, and computer-readable recording medium storing processing program | |
| US20160156468A1 (en) | Content management system, host device and content key access method | |
| JP2008524969A5 (en) | ||
| JP6992437B2 (en) | Log recording device, log recording method, log decoding device, and log decoding method | |
| US8689014B2 (en) | Data encryption device and control method thereof | |
| US8615492B1 (en) | Techniques for providing multiplexed data for backup | |
| JP2017215853A (en) | Log collection system, log output apparatus, log collection method, and log collection program | |
| JP2006313505A (en) | Encryption and decryption system, apparatuses and methods for encryption and decryption, and program | |
| CN119622757A (en) | A database and data transmission encryption method, client, and server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240815 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20250805 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251014 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251106 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7776175 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |