TOP > 国内特許検索 > カメラを利用した操作記録正当性証明システム及び方法 > 明細書

明細書 :カメラを利用した操作記録正当性証明システム及び方法

発行国 日本国特許庁(JP)
公報種別 特許公報(B2)
特許番号 特許第5099542号 (P5099542)
公開番号 特開2008-216342 (P2008-216342A)
登録日 平成24年10月5日(2012.10.5)
発行日 平成24年12月19日(2012.12.19)
公開日 平成20年9月18日(2008.9.18)
発明の名称または考案の名称 カメラを利用した操作記録正当性証明システム及び方法
国際特許分類 G09C   1/00        (2006.01)
G06Q  10/06        (2012.01)
H04L   9/32        (2006.01)
FI G09C 1/00 640D
G06F 17/60 174
H04L 9/00 675A
請求項の数または発明の数 5
全頁数 11
出願番号 特願2007-050194 (P2007-050194)
出願日 平成19年2月28日(2007.2.28)
新規性喪失の例外の表示 特許法第30条第1項適用 日本経済新聞(平成18年12月18日)日本経済新聞社発行第19面に発表
特許法第30条第1項適用 コンピュータセキュリティシンポジウム2006論文集(平成18年10月25日)社団法人情報処理学会発行第55-60ページに発表
審査請求日 平成22年2月24日(2010.2.24)
特許権者または実用新案権者 【識別番号】800000068
【氏名又は名称】学校法人東京電機大学
発明者または考案者 【氏名】佐々木 良一
【氏名】入澤 麻里子
【氏名】芦野 佑樹
個別代理人の代理人 【識別番号】100087398、【弁理士】、【氏名又は名称】水野 勝文
【識別番号】100103506、【弁理士】、【氏名又は名称】高野 弘晋
【識別番号】100126147、【弁理士】、【氏名又は名称】川上 成年
審査官 【審査官】青木 重徳
参考文献・文献 特開2005-295486(JP,A)
特開2006-311309(JP,A)
泰野康生,宮崎邦彦,岩村充,松本勉,佐々木良一,吉浦裕,本多義則,“ログ管理不正のログインフレーションによる抑止”,2007年 暗号と情報セキュリティシンポジウム,日本,(社)電子情報通信学会,2007年 1月23日,4E2 セキュリティ全般(5),4E2-4
芦野佑樹,佐々木良一,“セキュリティデバイスとヒステリシス署名を用いたデジタルフォレンジックシステムの提案と再評価”,コンピュータセキュリティシンポジウム2006 論文集,日本,社団法人情報処理学会,2006年10月25日,第2006巻,第11号,p.363-368
芦野佑樹,粉川寛人,佐藤吏,佐々木良一,“USBデバイスを用いたデジタルフォレンジック保全方式の提案と評価”,電子情報通信学会技術研究報告,日本,社団法人電子情報通信学会,2005年 7月15日,Vol.105,No.194,p.195-202
上原哲太郎,“ディジタルフォレンジック”,情報処理,日本,社団法人情報処理学会,2007年 8月15日,第48巻,第8号,p.889-898
Mariko Irisawa, Yuki Ahino, Keisuke Fujita, Ryoichi Sasaki,“Development and Application of Digital Forensic Logging System for Data from a Keyboard and Camera”,Intelligent Information Hiding and Multimedia Signal Processing 2007 (IIHMSP 2007),[online],2007年11月26日,Volume 2,p.8-11,[retrieved on 2012-06-07]. Retrieved from the Internet,URL,<http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4457641>
調査した分野 G09C 1/00
G06Q 10/06
H04L 9/32
特許請求の範囲 【請求項1】
調査対象HDDを解析するDF作業者PCのキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータと、
前記DF作業者が、前記PCを操作することによって生成される操作ログデータとを、
前記PC内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録正当性証明システム。
【請求項2】
前記操作映像ログデータと前記操作ログデータによって構成される連鎖ハッシュまたはヒステリシス署名が、デジタル署名を用いて時刻認証局によって時刻認証されたものであることを特徴とする請求項1に記載の操作記録正当性証明システム。
【請求項3】
前記ビデオカメラによる撮影の時間間隔を不規則にしたことを特徴とする請求項1または2に記載の操作記録正当性証明システム。
【請求項4】
DF用ソフトウエアの組み込まれたPCを使用し、DFに係る作業者のキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータと、前記DFに係る作業者が前記PCを操作することによって生成される操作ログデータとを、前記パーソナルコンピュータ内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録正当性証明システム。
【請求項5】
調査対象HDDを解析するDF作業者のPCのキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータと、
前記DF作業者が、前記PCを操作することによって生成される操作ログデータとを、
前記PC内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録の正当性を証明する方法。
発明の詳細な説明 【技術分野】
【0001】
この発明は、DF作業に係り、特にDF作業における操作記録の正当性の証明や、外科手術、薬剤の調合等における過失の有無の証明に関する。
【背景技術】
【0002】
近年、インターネット社会の進展に伴い、ほとんどすべてのデータはデジタル化して扱われるようになり、デジタル形式でデータが保存され、これらのデジタルデータに証拠性を確保し、訴訟等に備えるための技術や社会的仕組みが要求されるようになっている。
【0003】
DF(デジタルフォレンジック)とは、企業の内部情報漏洩等、デジタル機器を利用した不正が行われた痕跡や証拠を主にコンピュータのHDDに記録されたデータを解析・調査することで法的問題を解決するデジタルデータの証拠性確保技術であり、自らの正当性を証明できる仕組みとなるDFが非常に重要となっている。
【0004】
現在のDFでは、DF作業者(例えば、企業の法務部やコンピュータ部門またはDF専門会社のDF作業担当者)がDF作業において、不正を行っていない証拠として、作業時の映像を使用している。
【0005】
図6は、従来例に係る操作記録正当性証明作業の流れの概要の説明図である。図6に基き、現在行われているDF作業の流れを説明する。
【0006】
現在行われているDF作業は、(1)まず、調査対象HDD41を100%物理的にコピーした解析用HDDが作成される。(2)次に、この解析用HDDを解析専用のソフトウエア(OS)の組み込まれたDF作業用PC20を使用して、(イ)HDDに保存されたファイルやメールの検索、(ロ)レジストリの調査、(ハ)パスワードの解析 等が実施され、コンピュータ利用者の行った操作について調査が行われる。(3)最後に、その調査結果が報告書Rに纏められ、報告先60へ提出し説明される。
【0007】
同時に、DF作業の正当性を証明するために、DF作業者10のPC20の操作状況等が監視され、ビデオカメラ30で撮影され、操作映像ログとして報告書Cに含められる。

【特許文献1】特表2003-533805号公報
【特許文献2】特開2003-204512号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、従来のDF作業は、下記の2つの問題点が存在する。第1の問題点は、ビデオカメラ30では作業の細かい部分まで撮影しきれないため、映像のみで、DF作業時の意図的なデータの秘匿、改竄、すり替えといった不正がないことを証明するのは困難である。
【0009】
また、ビデオカメラ30でPC10の画面を撮影すると、ビデオカメラ30の解像度や撮影する角度によって画面が光ってしまうことがあり、画面上に何が表示されているのか、どのような操作が行なわれているのかということを撮影した画像のみから知ることは難しく、(a)行った作業を、行っていないように見せかける。(b)行っていない作業を、行ったように見せかける。(c)作業が行われた時刻を偽る等の不正を見破ることは困難である。
【0010】
第2の問題点は、操作映像ログとして報告先60に提出された映像が、確かに作業時の映像であり、悪意を持ってすり替えられた別の映像ではないという証明ができない。例えば、DF作業時に解析結果についてデータの改竄や秘匿を行ったが、操作映像ログとして、正しく作業をしたかのような映像を別に撮影しておき、それを提出するといった不正が行われた場合、その不正を見破ることは困難である。
【0011】
このため、解析用HDDの作成時や、PCの操作解析時において不正が介在してもそれを排除することが困難となり、報告書Rやそれに含められるビデオカメラ30によって撮影された映像では、法的証拠としては十分なものとはならない。
【0012】
なお、上記特許文献1には、任意のデジタル情報(デジタルカメラの撮影により得られたデジタル画像等)に対するデジタル証明書(電子透かし情報等)を、通信手段(ネットワーク等)を通し、公的な第3の機関(認証局等)から取得する情報処理方法が示されている。また、上記特許文献2には、物品上に署名がなされる時に、カメラでこの署名の画像を捕捉し、その捕捉された画像をコンピュータに記憶し、署名の正当性を証明するための視覚的証拠を物品の所有者等に与える方法が示されているが、上記特許文献1、2に示されたいずれの方法も、DF作業の操作記録の正当性を証明するものではない。
【0013】
本発明はこのような状況に鑑みてなされたものであり、法的証拠として十分なものとなり得る操作記録正当性証明システム及び方法を提供することにある。
【課題を解決するための手段】
【0014】
上記の課題を解決する第1発明は、調査対象HDDを解析するDF作業者PCのキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータとを、前記PC内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録正当性証明システムある。

【0015】
第2の発明は、第1の発明において、前記操作映像ログデータと前記操作ログデータによって構成される連鎖ハッシュまたはヒステリシス署名(岩村 充、宮崎 邦彦、松本 勉、佐々木 良一、松木 、“電子署名におけるアリバイ証明問題と経時証明問題 -ヒステリシス署名とデジタル古文書の概念-”、コンピュータサイエンス誌 bit Vol.32、No11、共立出版(2000))が時刻認証局によって時刻認証されたものであることを特徴とする操作記録正当性証明システムである。以下、連鎖ハッシュを採用する場合をベースに説明する。
【0016】
PCと時刻認証局との間における連鎖ハッシュの送受信は、ポイント、ポイントで行う。
【0017】
第3の発明は、第1または第2の発明において、前記ビデオカメラによる撮影の時間間隔を不規則にしたことを特徴とする操作記録正当性証明システムである。
【0018】
第4の発明は、DF用ソフトウエアの組み込まれたPCを使用し、DFに係る作業者のキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータと、前記DFに係る作業者が前記PCを操作することによって生成される操作ログデータとを、前記パーソナルコンピュータ内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録正当性証明システムである。

【0019】
第5の発明は、調査対象HDDを解析するDF作業者のPCのキーボード操作状況をビデオカメラで所定の時間間隔毎に撮影して生成される操作映像ログデータと、前記DF作業者が、前記PCを操作することによって生成される操作ログデータとを、前記PC内のログレセプタに受け入れられた順に同期を取りながら、連鎖ハッシュまたはヒステリシス署名を取ることを特徴とする操作記録の正当性を証明する方法である。
【発明の効果】
【0020】
本発明は、操作映像ログデータと操作ログデータとを同期させながら、連鎖ハッシュまたはヒステリシス署名に対しポイントポイントで時刻認証局の時刻認証の証明を付加するものであるから、
(1) 解析対象HDDに対して解析を行わず、作業者が悪意をもってすり替えた別のHDDに対して解析を行った結果を操作ログとして提出した場合でも、操作映像ログによってこれを排除することができる。
(2) (a)行った作業を行っていないように見せかける不正行為、(b)行なっていない作業を、行ったように見せかける不正行為は、検証用ログにおける操作映像ログと操作ログの食い違いを調べることにより検出できる。
(3) 作業が行われた時刻を偽る行為は、操作映像ログと操作ログの蓄積時に付加され時刻認証局の時刻証明を確認することによって検出できる。
(4) データの改竄、抜き取り、差し替え等の不正の有無は、操作映像ログと操作ログの蓄積時に連鎖署名が取られるので、署名の正しい連続性により証明される。
また、本発明を外科手術、調剤行為等のPCへの入力と手作業による業務に適用しても、過失の有無を証明する、法的な証拠として十分な効果を発揮するものである。
【発明を実施するための最良の形態】
【0021】
図1は、本発明の実施の形態に係る操作記録正当性証明システムおよびDF作業の流れの説明図である。
【0022】
図1において、10はDF作業者(以下「作業者」という。)、20はDF作業用のPC(パーソナルコンピュータ)であり、PC20にはキーロガプログラム22や撮影プログラム25を含むDF専用の解析ソフト(OS)22が組み込まれている。30はPCにUSBで接続され、DF作業者のPCの操作状況等を撮影するビデオカメラである。
【0023】
なお、ビデオカメラ30は、1台に限定されるものではなく撮影方向を変えて、複数台設置することにより、証拠の精度を高めることができる。
【0024】
24はログレセプタであり、キーロガープログラム22によって生成されたPC20の操作内容である操作ログBと、作業者によるPCの操作状況等がビデオカメラ30で撮影され、撮影プログラム25によって生成された操作映像ログが受け入れられる。23は操作ログBと操作映像ログAとが保存・蓄積されるログファイルである。
【0025】
50はDF作業データの絶対時間との関連付けを行って証拠性を高めるためにDF作業データの絶対時間を証明してもらうための時刻認証局、60はDF作業の結果を報告する報告先である。
【0026】
次に、DF作業の流れについて説明する。
(a)まず、作業者10は調査対象HDD41を100%物理的にコピーした解析用HDD42を作成する。
(b)次に、作業者10はPC20のキーボードを操作して、解析用HDD42を解析し調査する。
(c)ビデオカメラ30によって、作業者10の解析用HDD42を作成する作業、PC10のキーボードの操作状況等が監視され撮影される。
なお、この場合、操作・撮影開始時間は正しく検証者(DF作業の報告先)に報告されるものとし、操作撮影のやり直しはないことが前提とされる。
(d)ビデオカメラ30で撮影された映像は、PC上の撮影プログラム25により操作映像ログAとしてログレセプタ24に受け入れられる。一方、PC10上のキーロガプログラム22により、アクティブウインドウの切り替え等のPC10のイベントが操作ログBとしてログレセプタ24に受け入れられる。
操作映像ログAと操作ログBとは、同期を取りながら、ログレセプタ24に受け入れられる順に、連鎖ハッシュが取られる。また、連鎖ハッシュが取られた操作映像ログAと操作ログBには、イベント発生の時刻が明確に分るように時刻情報が付加される。
(e)次に、ログレセプタ24に受け入れられ、連鎖ハッシュが取られた操作映像ログAと操作ログBはポイント、ポイントで時刻認証局50に送られタイムスタンプSが付与される。そしてこのタイムスタンプSにより、それに表示された時刻よりも前に存在したログデータであることが証明される。
(f)時刻認証局50で、時刻証明のなされた、操作映像ログAと操作ログBの2つのログは、ログレセプタ24に返送された後、ログファイル23に保存・蓄積される。
(g)最後に、作業者10は、DF作業解析調査結果を纏めて報告書Rを作成し、操作ログBと操作映像ログAをログファイル23から取り出して検証用ログ(提出ログ)Cとして報告書Rに含めて、報告先60に提出し説明する。
【0027】
図2は本発明の実施の形態に係る操作記録正当性証明システムの連鎖ハッシュの説明図である。
【0028】
ログレセプタ24は、ある時刻tのタイミングで操作映像ログデータjと操作ログデータiを受け取った際、それらと前回作成された連鎖ハッシュkから連鎖ハッシュk+1を算出する。
【0029】
図2に示すように、連鎖ハッシュk+1は、 k+1=h(j,i,k)、
同様に、連鎖ハッシュk+2は、k+2=h(j+1,i+1,k+1) と表される。 ここで、h( )はSHA-1等のハッシュ関数である。
【0030】
図2中の( )内がログファイル25に保存・蓄積される。
【0031】
上述の通り、本発明の実施の形態においては、ビデオカメラ30により撮影された操作映像ログデータと、PCのキーボード等より入力された操作ログデータを同期を取りながら記録すると共に連鎖ハッシュを用いることにより、順序や内容の改竄やデータの抜き取りがあれば直に検知できる。また従来のDF作業では不可能であった、本当に解析対象HDD42に対して解析、調査を行い、報告書Rを作成したという証明を行なっている。
【0032】
また、ポイント、ポイントで時間認証局60により、絶対時間との関連付けを行い、データとして取り込む静止画の取り込み時間間隔をランダムにしてビデオカメラ30が写っていないときを見計らって不正を行うのを防止することにより、証拠の確実性をより高いものにしている。
【0033】
また、時刻認証局60に送る間に、第三者により、検証用ログが改竄できないように連鎖ハッシュに加えてヒステリシス署名を施すことにより、証拠性を高めることができる。
【0034】
この場合、公開鍵暗号方式を使用し、DF作業者の秘密鍵をSaとすると、ヒステリシス署名は、k+1=Sa(h(i,j,k))と表される。
【実施例1】
【0035】
本実施例は、本発明の実施の形態に係る操作記録正当性証明システム(図1参照)におけるプログラムの流れと、PCからプリントアウトして報告先60へ提出する報告書Rに含める検証用ログCを例示したものである。
【0036】
図3は、本発明の実施例1に係る操作記録正当性証明システムのプログラム流れの説明図である。
【0037】
図3において、撮影プログラム25によって一定時間毎に、例えば1から5秒間隔に撮影が行われ、映像が出力される。撮影の際同時に、前回の撮影から、今回の撮影までの間に、イベントログLに変化がなかったかが監視される。そして変化があればtxtファイルUとして出力される。一方キーロガープログラム22によって、PC20に対して操作があった場合やウインドウの切り替え時等にイベントログLが蓄積され、出力された映像VとtxtファイルUを照合することにより不正の有無が検出される。
【0038】
また、検証者が作業者10の操作正当性を検証する際の画面は、操作映像ログA、および操作ログBを、スクロールバーや「再生」「停止」「早送り」等の操作ボタンで自由に動かし、任意の時刻のログを確認できるようにして、検証者が不正の疑いのある部分のログを自由に繰り返し検証することができるようにしている。
【0039】
図4は、本発明の実施例1に係る操作記録正当性証明システムの検証用ログCの説明図である。図4において、(X)は時刻、(Y)はビデオカメラの映像、(Z)は操作内容であり、DF作業における正当性が検証し易いように、PCに蓄積された操作映像ログと操作ログを時刻毎に対応させて表示したものである。
【0040】
撮影の時間間隔は、5秒に固定したものを表示しているが、ランダムに変更することによって、より証拠の確実性を高めることができる。
【0041】
また、ビデオカメラ30による静止画と操作ログBを並べて表示しているが、静止画を自動で連続表示する再生機能や、任意の時刻で再生を停止する機能を盛込んで、作業内容をリアルタイムで監視しているかのようにすることによって検証作業の効率を高めることができる。
【実施例2】
【0042】
近年毒劇物使用犯罪の多発により、医療機関や企業での薬物の取扱いに関する法令が、非常に厳しくなっていることに鑑みて、本発明を調剤業務に適用したのが本実施例である。
【0043】
図5は本発明の実施例2に係る調剤業務の操作正当性証明の流れの説明図である。
【0044】
図5において、70は薬品の保管場所であり、71は薬品棚である。30’
-1は、薬剤師10’の薬品を混ぜる、量る等の調剤行為Mを撮影する第1のカメラであり、30’-2は、薬剤師(または作業者)が薬品棚71からどんな薬品を持ち出したかを監視し撮影する第2のカメラである。
【0045】
20’はDF作業用のPCであり、PC内の構成は、ビデオカメラが2台であることを除き実施例1と同じであり、操作映像ログA’、操作ログB’、ログファイル23’、キーロガープログラム22’、撮像プログラム25’は、それぞれ、実施例1の操作映像ログA、操作ログB、ログファイル23、キーロガープログラム22、撮像プログラム25に相当する。
【0046】
薬剤師10’は、薬品を混ぜる、量る等の薬剤行為Mを行うと同時に、使用した薬品の量と薬品名をPC20’にキーボードから入力する。
【0047】
第1のビデオカメラ30’-1で撮影された薬剤行為Mの映像と、第2のカメラ30’-2で撮影された薬品棚71から持ち出された薬品の映像がPC20’上の映像プログラム25’により、操作映像ログA’として、ログレセプタ24’に受け入れられる。一方、薬剤師10’が調剤した際に、入力したデータは、PC20’上のキーロガープログラム22’より、操作ログB’として、ログレセプタ24’に受け入れられる。
【0048】
操作ログB’と操作映像ログA’の2つのログは同期を取りながら、連鎖ハッシュが取られ、その後ログファイル23’に保存・蓄積される。
【0049】
調剤の際、何らかの不正があり、調査が必要となった場合に、このログファイル23’内のデータを検証することにより、不正を検出することができる。
【0050】
通常、検証すべきデータは膨大な量になるが、本実施例では、映像が静止してから、動き始めるまでに不自然な時間経過があったり、ビデオカメラ30’-1、30’-2の映像に動きがあるにも拘らずPC20’に何の入力もない場合には「不正の可能性あり」と見做すことができるので、検証時には、その疑わしい部分を重点的に検証することによって不正の検出を効率的に行うことができる。
【0051】
また、本実施例は、監査人による不正の検出だけでなく、薬剤師10’自身が、調剤後に自らの作業内容が正しかったか不安を覚えた場合にも、迅速に確認を取ることができ、調剤行為の過誤を未然に防止したり、裁判時に自らの正当性の証明に効果を奏する。
【0052】
また、外科手術において医師の手術行為に過誤がなく、正しい手術内容であったことを裁判時等に証明するツールとしても本発明に係るシステムを活用することができる。
【0053】
さらに、本発明は企業の機密書類を保管代行するサービス業務における書類の持ち出しや保管時に作業者に不正がないことを顧客に明確に証明するツールとして活用できる。
【0054】
また、警察での被疑者の尋問風景を撮影し、自白の強要等がなかったことを証拠として残すのにも、本発明に係るシステムを適用することができる。
【図面の簡単な説明】
【0055】
【図1】本発明の実施の形態に係る操作記録正当性証明システムおよびDF作業の流れの説明図である。
【図2】本発明の実施の形態に係る操作記録正当性証明システムの連鎖ハッシュの説明図である。
【図3】本発明の実施例1に係る操作記録正当性証明システムのプログラム流れの説明図である。
【図4】本発明の実施例1に係る操作記録正当性証明システムの検証用ログの説明図である。
【図5】本発明の実施例2に係る調剤業務の操作正当性証明の流れの説明図である。
【図6】従来例に係る操作記録正当性証明作業の流れの概要の説明図である。
【符号の説明】
【0056】
100・・操作記録正当性証明システム
10・・DF作業者
10’・・薬剤師
20、20’・・PC(DF作業用パーソナルコンピュータ)
21、21’・・OS(operatinng system)
22、22’・・キーロガープログラム
23、23’・・ログファイル
24、24’・・ログレセプタ
25、25’・・映像プログラム
30・・ビデオカメラ
30’-1・・第1のビデオカメラ
30’-2・・第2のビデオカメラ
40・・HDD(hard disk drive)
41・・調査対象HDD
42・・解析用HDD
50・・時刻認証局
60・・報告先(検証者)
70・・保管庫
71・・薬品棚
A、A’・・操作映像ログ
B、B’・・操作ログ
C、C’・・提出ログ(検証用ログ)
L・・イベントログ
R・・報告書
S・・タイムスタンプ
U・・txtファイル
T・・時刻
M・・調剤
図面
【図1】
0
【図2】
1
【図3】
2
【図4】
3
【図5】
4
【図6】
5