セキュア PC カード

光統合ネットワーク
セキュア PC カード
Secure PC Card
あらまし
携帯ノート PC に装着してファイルの暗号化・復号を自動的に行うことにより，重要
データの機密を管理するセキュア PC カードを開発した。
このカードは，データ使用権限のない人に対して作成・編集・閲覧の一切を許さない。
一方，権限を有する人においては，カード使用開始時の簡単な登録のみで，その後は，
完全に通常と同一の作業環境を保証する。例えば，ワープロソフトについても市販・流
通している各種アプリケーションについて，ソフト自体および使用方法に，なんら変更
することなく適用できることを確認済みである。
専用ハードを収容するカードの開発により，鍵がカード外部に読み出せないことに
よる高いセキュリティ性能を保証するとともに，ソフト処理の約 10 倍の高速処理を実
現した。
Abstract
Secure PC card is an encryption/decryption system for data files that must be protected from
unauthorized persons.
The encryption and decryption are performed automatically and d o not require any modifications
to be made to the application software，for example，a word processor，that is performing operations
with the file.
The encryption key is built into the PC card and therefore cannot be read out from the card.
The card contains a DES encipher/decipher chip which enables it to encrypt and decrypt at 10 times
the highest rate that can be achieved with software encoding.
246
小谷誠剛（こたに せいごう）
長谷部高行（はせべ たかゆき）
加納良平（かのう りょうへい）
1982 年筑波大学大学院理工学研究科
修士課程了。同年富士通研究所入社。
以来，超伝導集積回路，セキュリティ
システムの研究開発に従事。工学博士。
パーソナルシステム研究所応用シス
テム研究部
1985 年東京工業大学大学院電気電子
工学科修士課程了。同年富士通研究
所入社。以来セキュリティシステム
の研究開発に従事。
S プロジェクト部
1979年学習院大学理学部物理学科卒。
同年富士通ビー・エス・シー入社。以
来ソフトウェア開発に従事。1997 年
5月から暗号化パッケージの販売開始。
プロダクツ & サービス事業部第三プ
ロダクツ部
FUJITSU.49, 3, pp.246-249 (05,1998)
セキュア PC カード
○○○○○○○
ま え が き
最近，有用な情報を，いつでも，どこでも有効に活用
できる携帯端末を用いた情報活動が注目を集めている。
とくに，小型・軽量でかつ高い情報処理能力を持つ携帯
ノートPCを第一線の営業担当者が持ち，従来は社内の
サーバコンピュータでしか利用できなかった情報資産を
顧客先で活用することにより，商談を有利に進める取組
みも報告されており，携帯端末を用いたビジネスの将来
性が大きく期待されている。
このようなビジネス展開を考える場合の大きな課題の
図-1 セキュアPCカード
Fig.1-Secure PC card.
一つはセキュリティである。携帯端末の小型化・軽量化
は，本体の置き忘れや盗難のトラブルを引き起こし易い
ことにつながり，さらに重要機密情報の漏洩につなが
○○○○○○○
る。今回，これらのトラブルに対応できる製品として，
セキュアPCカードを開発したので報告する。
開 発 課 題
表-1 セキュアPCカード諸元
項 目
対応OS
処理速度
物理形状
消費電力
内 容 (備 考)
★
Windows 95
1 Mバイト/秒
PCMCIAカード タイプ II
0.6 W
(B5サイズ携帯PCの電力を10%弱増大させる)
28 g
(B5サイズ携帯PCの重量を3%弱増大させる)
32,000円
開発において設定した課題を説明する。
重量
● アプリケーションとの連携
販売定価
既存アプリケーションをそのまま利用できる運用を目
(★) 米国Microsoft Corporation の米国およびその他の国における商標。 指した。ワープロ・表計算などのアプリケーションを
ユーザが運用する際に，編集するファイルを自動的に暗
カード利用開始時にユーザに機密領域（フォルダ）
を指定
号化・復号する。
させ，以後，この領域へのアプリケーションのアクセス
● 高い安全性の確保
を横取り（フック）
する仕組みを開発した。これにより，
セキュリティを訴える上では，クラッカーなど悪意を
ユーザが自ら指定した機密領域内のファイルをアクセス
持った攻撃者に対する強度が重要である。ただし，リー
する度に，自動暗号化・復号が実行される（図-2）
。
ズナブルなコスト・利用手順を守った上で強度を実現す
この仕組みと運用の流れについて，つぎに述べる。
る。またハードの故障，紛失といったトラブルの場合の
【フック処理】
救済手段を用意しておくことも重要である。
セキュアPCカード利用開始時に，セキュリティドライ
● 処理速度の高速化
バと呼ぶ専用デバイスドライバをインストールする。この
通常業務の編集作業では0.1∼1 Mバイト程度のファイ
ドライバにより，ハードディスクやMOなどの記憶領域上
ルを処理することが多い。このようなファイルを，ユー
に機密領域が設けられ，暗号化されたファイルのために割
○○○○○○○
ザにストレスを与えることなく，言い換えると1秒程度以
り当てられる。この機密領域を暗号化フォルダと呼ぶ。
内で暗号化・復号処理する必要がある。
ユーザは通常のアプリケーションを用いて，ファイル
運用とハードウェア構成
を暗号化フォルダ内に書くだけで自動的に暗号化され
る。そしてアプリケーションからの要求により暗号化
前章で述べた課題を解決するために開発したセキュア
フォルダにある暗号化ファイルを読む場合，自動的に復
PCカード（図-1）
の運用とハードウェアについて述べる。
号される。この専用ドライバ（セキュアドライバ）
の役割
セキュアPCカードの諸元を表-1に示す。
は，この自動暗号化と復号を行うことである。
● アプリケーションからのアクセス検知
セキュアドライバはセキュアPCカードが活性化された
既存アプリケーションに改変を要求しない連携を実現
状態
（下で述べる，カードへのパスワード認証が合格した
するためには，アプリケーションの処理フローを検知し
場合）
でのみ働き，アプリケーションから暗号化フォルダ
て割込みをかける必要がある。このため，セキュアPC
へのアクセスを監視している。暗号化フォルダへのアク
FUJITSU.49, 3, (05,1998)
247
セキュア PC カード
ファイルへのアクセス
要求をフック(横取)
×
アプリ
ケーション
×
機密領域への
アクセスか ?
HDD, MOなど
OS
NO
通常領域
機密領域
YES
暗号化
IRQ
P
C
M
C
I
A
コ
ネ
ク
タ
アドレス
コントロール
MCU
フラッシュ
ROM
入出力
制御
図-2 ファイルの自動暗号化の流れ
Fig.2-Flow of automatic file encryption.
セスがあるとそれをフックし，カード内の暗号化・復号
IRQ
割込み
制御
デュアル
ポート
RAM
DES
LSI
図-3 セキュアPCカードのハードウェア構成
Fig.3-Schematic view of Secure PC card hardware.
処理を経由してアクセスするようにする。それ以外の通
常のフォルダにアクセスする際には，セキュアドライバ
ザの移動時などではノートPCからカードを抜き出して携
ではカード内の暗号化・復号処理は経由せずにアクセス
帯することによってノートPC（機密ファイル）
とカード
（復
を行う。
号鍵）
が同時に紛失・盗難といったトラブルにあうことを
【逐次処理】
防止できる。また，離席時にカードを抜き出すことによ
セキュリティドライバは，アプリケーションが運用す
り他者のアクセスを制限することができる。
るファイルにおいて実際に，その時点で使われる部分の
さらに，カード設定時のアクセス権限認定およびカー
みについて逐次的に暗号化・復号処理を行い，復号した
ド紛失時のデータ修復のために鍵に階層構造を持たせ
結果を保存するファイルを発生させない。
た。これにより，上位者による下位者の権限制限とデー
従来から製品化されている方式（アプリケーションに
タ修復が可能になった。
よって，対象ファイルを一括復号してテンポラリファイ
この鍵管理およびユーザ認証について次に述べる。
ルを作成する）
の場合には，PCが何らかのトラブルによっ
【鍵管理】
て機能停止する際に，ユーザが編集作業中の機密ファイ
セキュアPCカードには二つのタイプの鍵を設けた。一
ルの一時的なファイル，つまり復号されたファイルが
つはカード鍵，もう一つがユーザ鍵である。カード鍵は
残ってしまうことが起こり得る。
カード内情報書換えなどの管理にのみ用い，ユーザ鍵は
今回開発した方式は，このようなPCのトラブルの際に
実際のファイル暗号化・復号に使用される。
も，ファイルとして復号結果を残すことは起こり得ないの
カード鍵およびユーザ鍵は階層構成とし，上位のカー
で，情報の漏出を防ぐという優れた機能を持っている。
ド鍵・ユーザ鍵を用いて下位のカード鍵・ユーザ鍵の生
この専用ドライバの機能・運用について，市販されて
成が可能な構成としている。カード鍵は三階層
（上位・中
いるワープロなどの多種のアプリケーションとの組合せ
位・下位）
で構成，管理される。上位層のカード鍵を持つ
において評価試験を行い，正常動作を確認した。
カード（上位層カード）
は中位以下のあらゆるカード鍵を
● 専用ハード化による安全性の確保
発生させることができる。上位層のカードによって，中
暗号化・復号鍵の漏洩防止のために，今回はカード内
位層カード・下位層カード内に，カードID，カード鍵が
にハード的に鍵を設定・封印する仕組みを開発し，奪取
登録される。下位層カードの場合にはユーザIDおよび
を困難にした。暗号化の方式は業界標準となっていて信
ユーザ鍵も登録される。
（1）
，
（2）
を採用
また，上位層カードを用いて中位層以下のすべての
し，富士通製の専用LSIをPCMCIAカード
（タイプII）
に実
ユーザ鍵が生成できることから，中位層以下のカードに
装した。モバイルコンピューティングの現状および普及
よって暗号化されたファイルは，上位層カードによって
度合いから，このカード形状が最適と判断した。
復号できる。したがって，カード故障あるいは紛失に
PCMCIAカード内のハードウェア構成を図-3に示す。
よって鍵が実質的に消失しても，中位層以下の暗号化さ
セキュアPCカード利用時に，あらかじめカード内に登
れたファイルは回復することができる。
録したユーザ情報を用いてユーザ認証を行い，認証合格
【カード鍵の設定】
の場合のみカードが活性化され，利用可能となる。ユー
上位層カードを運用するアプリケーション（鍵マネー
頼性の高いDES
（Data Encryption Standard）
方式
248
FUJITSU.49, 3, (05,1998)
セキュア PC カード
ジャ）
はすべてのカード鍵を設定する。中位層のカード鍵
しいパスワードを入力することにより可能となる。
の中位層カードへの設定は，上位層の鍵マネージャに
● 専用ハードの開発による高速処理
よって，中位層のカードIDと上位層カード鍵とを用いて
暗号化・復号時に，MCUを介してDES LSIとカード外
行われる。この際，鍵マネージャを運用するPCにおいて
部とのデータの授受を行わせる場合，処理にオーバヘッ
二つのPCMCIAスロットが使用される。下位層への設定
ドが生じる。そのため，デュアルポートRAMを内蔵した
も同様である。
ゲートアレイを開発し，MCUを介さずにDES LSIとデー
【ユーザ鍵の設定】
タの授受を行わせ，かつ，データの入出力とDES LSIでの
ユーザ鍵はデータ暗号化・復号に使用される。これら
処理をパイプライン処理できる仕組みを開発した。これ
の鍵の設定はそのカードより上位にあるカードのカード
によって，実効的に入出力と暗号化・復号を並列処理す
鍵を用いて行われる。下位層カードでは複数人による共
ることを可能にして，高速化を実現した（図-3）
。
有を想定して，1枚のカードに16種のユーザ鍵を収納する
富士通製ノートPC（FM V5120；120 MHz Pentium プロ
ことができる構成とした。ユーザ鍵はユーザIDで識別さ
セッサ，32 Mバイトメモリ）
による評価試験で1 Mバイト/
れる。ユーザIDはパスワードによって認証される。すな
秒の暗号化・復号処理速度を得た。搭載したDES LSI本来
わち，正しいユーザIDとその対応するパスワードを入力
の性能は16 Mバイト/秒であるから，この値は主にPCMCIA
するユーザだけがユーザ鍵を使用することができる。
インタフェースによって律速されていると思われる。
ユーザID・パスワードの情報は悪意者による詐取が不
得られた性能は当初の目標をクリアした。また，この
可能ではないが，それにリンクしたユーザ鍵はカード内
速度は同等のPC上でソフト的に処理した場合に比べて約
から外部へは取り出せない。したがって，ユーザ鍵と
10倍高速であることが分かった。
ユーザID・パスワードの両方の情報を用いたユーザ鍵生
富士通製4種，他社製5種のノートPCについて運用試験
成アルゴリズム解析などは不可能である。すなわち，万
を行い，正常動作を確認した。
が一，ユーザID・パスワードが漏洩し，かつ，そのカー
ドが盗まれたとしても，その場合に盗み読みの脅威にさ
○○○○○○○
む す び
らされるのは，そのユーザ鍵で暗号化されているファイ
PCのデータを不法に持ち出されても，内容を見たり利
ルのみである。他のユーザ鍵によるファイルおよび他の
用したりできないようにするためのPCMCIAカードにつ
カードについての情報の漏洩は一切起こり得ない。
いて述べた。すでに，ファイル運用で機密保護を行う業
【ユーザ認証】
界初のシステムとして販売を開始しており，保険・金融
ユーザがモバイル端末
（PC）
を離れる場合に，セキュア
業界を中心に営業活動を展開している。詳細は富士通
PCカードを取り外すことによって，厳密に機密ファイル
ビー・エス・シーのホームページ で紹介している。
へのアクセスを制限できる。鍵がなければ暗号化された
今後は，対応OSの拡大を進め，より汎用性の高いセ
ファイルは復号できないからである。たとえユーザがPC
キュアPCカードを目指していく。
（3）
からセキュアPCカードを取り外すのを忘れたとしてもパ
スワード認証が要求される。
参考文献
セキュアPCカードを使用するためには，ユーザは自ら
（1）
"Data Encryption standard"，FIPS46，NBS，1977.
のユーザIDとパスワードによって認証されなければなら
（2）
ISO/IEC 8731-1，"Banking-Approved algorithm for message
ない。それらはファイル暗号化のためのユーザ鍵にリン
authentication（wholesale）
"，ISO，1987（first edition，confirmed
クされている。初期のパスワードを設定するには上位層
1992）
.
のカード鍵が必要である。いったんパスワードがセット
（3）
http://www.bsc.co.jp/system/secure/index.shtml
されると更新の過程は同じ層の中で古いパスワードと新
FUJITSU.49, 3, (05,1998)
249