手塚 伸 (株)日立製作所 横浜研究所 |
[背景]クラウド上でさまざまな文書が電子的に扱われている
[問題]クラウドでは,確実な削除の実施と完全性が保証されない
[貢献]文書の確実な削除と完全性を保証する手法の提案
[問題]クラウドでは,確実な削除の実施と完全性が保証されない
[貢献]文書の確実な削除と完全性を保証する手法の提案
インターネットの普及やe-文書法の施行により,多くの文書が電子的に扱われ.これらをクラウドストレージ上で管理する試みがなされている.しかし,クラウドにはセキュリティに関する問題も多いのが現状である.
なかでも,医療や国税関係の文書は,法律や企業の内規により5年や10年といった保存義務期間が定められており,厳密な管理が求められる.このようなセンシティブな文書は,機密性が担保されることはもちろん,保存義務期間の間は第三者機関による監査へ向けて,変更記録を含めて完全性,順序性が保証される状態で保全する必要がある.他方,その期間が経過した後は,プライバシーや機密保持の観点から確実な削除が求められる.本来,確実な電子データの削除には,記憶媒体の物理的破壊や複数回の上書き処理が必要である.しかし,高度に抽象化されたクラウドストレージでは,記憶媒体を直接操作できないため,ユーザがこれを実施したり確認したりすることができないという,削除保証の問題があった.
既存研究にも,暗号化技術を用いて削除保証を目指したものがある.これらは文書を事前に暗号化し,後に暗号鍵のみを削除することで文書データ全体の削除を保証するが,削除実施の条件を柔軟に制御することができなかった.また,これらはファイルの変更記録に対して,完全性や順序性を保証するという点については留意していない.
そこで本研究では,文書の秘匿と削除を保証するために用いられる暗号処理を3段階に分けることや,暗号鍵の生成方法を工夫した手法を提案した.これにより,保存義務期間の長さや,複数ユーザによる共有の有無といった文書の性格に応じて,完全な削除を実施する条件を柔軟に制御することが可能となった.
加えて,過去の電子署名との間で連鎖性を形成するヒステリシス署名を文書の変更記録に対して施し,組織内の複数クライアントへ分散保存する手法を提案した.これにより,変更記録を改竄するためには,関係するクライアントへ侵入し,かつ署名の連鎖性を崩さないように不正を働くことが必要となる.よって,過去に遡って変更記録を改竄するような攻撃が防止され,順序性を含めた文書の完全性が保証される.
実装面では,クラウドストレージをバックエンドとする仮想ファイルシステム,Assured Deletion and vErifiable version Controlled File System(ADEC-FS)を開発し,上記の手法を具現化させた.ADEC-FSでは,通常のファイルシステムと透過的なインタフェースが提供される.そのため,組織は既存のアプリケーション資産を活かしながら,クラウドへの移行を実施できる.また,評価実験の結果より,提案手法がパフォーマンスに与えるオーバヘッドは小さく,有用であることを検証した.
なかでも,医療や国税関係の文書は,法律や企業の内規により5年や10年といった保存義務期間が定められており,厳密な管理が求められる.このようなセンシティブな文書は,機密性が担保されることはもちろん,保存義務期間の間は第三者機関による監査へ向けて,変更記録を含めて完全性,順序性が保証される状態で保全する必要がある.他方,その期間が経過した後は,プライバシーや機密保持の観点から確実な削除が求められる.本来,確実な電子データの削除には,記憶媒体の物理的破壊や複数回の上書き処理が必要である.しかし,高度に抽象化されたクラウドストレージでは,記憶媒体を直接操作できないため,ユーザがこれを実施したり確認したりすることができないという,削除保証の問題があった.
既存研究にも,暗号化技術を用いて削除保証を目指したものがある.これらは文書を事前に暗号化し,後に暗号鍵のみを削除することで文書データ全体の削除を保証するが,削除実施の条件を柔軟に制御することができなかった.また,これらはファイルの変更記録に対して,完全性や順序性を保証するという点については留意していない.
そこで本研究では,文書の秘匿と削除を保証するために用いられる暗号処理を3段階に分けることや,暗号鍵の生成方法を工夫した手法を提案した.これにより,保存義務期間の長さや,複数ユーザによる共有の有無といった文書の性格に応じて,完全な削除を実施する条件を柔軟に制御することが可能となった.
加えて,過去の電子署名との間で連鎖性を形成するヒステリシス署名を文書の変更記録に対して施し,組織内の複数クライアントへ分散保存する手法を提案した.これにより,変更記録を改竄するためには,関係するクライアントへ侵入し,かつ署名の連鎖性を崩さないように不正を働くことが必要となる.よって,過去に遡って変更記録を改竄するような攻撃が防止され,順序性を含めた文書の完全性が保証される.
実装面では,クラウドストレージをバックエンドとする仮想ファイルシステム,Assured Deletion and vErifiable version Controlled File System(ADEC-FS)を開発し,上記の手法を具現化させた.ADEC-FSでは,通常のファイルシステムと透過的なインタフェースが提供される.そのため,組織は既存のアプリケーション資産を活かしながら,クラウドへの移行を実施できる.また,評価実験の結果より,提案手法がパフォーマンスに与えるオーバヘッドは小さく,有用であることを検証した.

(2014年6月1日受付)