220 likes | 405 Views
GfarmWorkShop2005 資料: 個人情報漏洩防止を目的とした グリッド・データベースシステムの開発. 平成 17 年 9 月 9 日 NTTネオメイト IT ビジネス本部 森本 信次 s.morimoto@ntt-neo.co.jp. ◆ 社員数 : 約33,000人. NTTネオメイトグループ 会社概要. ◆ 拠点数 : 約400拠点. ◆ 年 商 : 約5,000億円 (24社連結). ◆ 平成 14 年 5 月 NTT 西日本グループの構造改革に より発足( NTT 西日本の 100% 出資). NTTネオメイト北陸
E N D
GfarmWorkShop2005資料:個人情報漏洩防止を目的としたグリッド・データベースシステムの開発GfarmWorkShop2005資料:個人情報漏洩防止を目的としたグリッド・データベースシステムの開発 平成17年9月9日 NTTネオメイト ITビジネス本部 森本 信次 s.morimoto@ntt-neo.co.jp
◆社員数 : 約33,000人 NTTネオメイトグループ 会社概要 ◆拠点数 : 約400拠点 ◆年 商 : 約5,000億円(24社連結) ◆ 平成14年5月 NTT西日本グループの構造改革に より発足(NTT西日本の100%出資) NTTネオメイト北陸 NTTネオメイトサービス北陸 NTTネオメイト岐阜 NTTネオメイトみやこ NTTネオメイト NTTネオメイト兵庫 NTTネオメイト東中国 NTTネオメイト中国 NTTネオメイトサービス中国 NTTネオメイト中国ソリューション NTTネオメイト山口 NTTネオメイト (東京事務所) NTTネオメイト九州 NTTネオメイトサービス九州 NTTネオメイト静岡 NTTネオメイト名古屋 NTTネオメイトサービス東海 NTTネオメイト三重 NTTネオメイト関西 NTTネオメイトサービス関西 東日本エリアはNTT-MEグループと連携し、nation wideにサービスを展開 NTTネオメイト四国 NTTネオメイトサービス四国 NTTネオメイト中九州 NTT-Do NTTネオメイト南九州
DB ①コール ③応答 ②顧客情報検索 C社コールセンタ AQStagePF IPコールセンタシステム B社コールセンタ お客様 A社コールセンタ クライアント PC クライアント PC IP電話 IP電話 通話録音装置 公衆網 ルータ GW GW AQStage IP-VPN GW データセンター IPコールセンタシステム Gfarm ファイルシステム 料金管理装置 ゲートキーパ CRMサーバ IP‐PBX ~ユーザ個別システム
共同研究契約概要 産総研グリッド研究センターとの共同研究 テーマ:IPコールセンタのグリッド適用に関する研究 主 体:産総研グリッド研究センター ⇔ NTTネオメイトITビジネス本部 期 間:平成16年2月26日~平成18年3月31日 成果物:ソフトウェア【持分50:50、但しGfarmに関する機能は産総研100%帰属】 (平成16年度)OracleデータベースとGfarmとのリアルタイム接続。 Gfarmへのスクランブル機能追加、メタデータ暗号化 等 これまでの成果等 販売実績:㈱JBMコンサルタント様へのIPコールセンタシステム導入 特許出願: ・ビジネスモデル特許「セキュアコールセンタ」特許出願(2004/2/27) ・技術モデル特許 「グリッドデータベースシステム」特許出願(2004/3/26) →(国内優先権主張による再出願:2005/3/26) プレスリリース:グリッド関連4件 「グリッド技術を用いた日本発オープンソース・ソフトウェアにより 個人情報保護・管理システムを開発」 (産総研・ネオメイト、2005/4/25)
ネオメイト 総括チーム 共同研究のスキーム (平成16年度) 森本 産総研 伊藤 DBチーム グリッドチーム 認証・運用 チーム CRM・テスト チーム 産総研 産総研 ネオメイト 小島 建部・工藤 森本・渡辺・藤本 ネオメイト 産総研 産総研 伊藤 小島 森本 三菱スペースソフトウェア 数理技研 NTT-ATC ネオメイト関西 テクマトリックス 一次開発分(~H16/12) 二次開発分(~H17/2) <産総研主管> <ネオメイト主管>
個人情報取扱事業者に適用されるルール: 個人情報保護法(個人情報の保護に関する法律) 個人情報漏洩事件 『個人情報』とは?? -「生存する個人に関する情報」 - 「特定の個人を識別することができるもの」 - 「他の情報と容易に照合することができるもの」 ※個人情報取扱事業者とは、5 千件を超える個人情報を、コンピュータなどを用いて検索することができるよう体系的に構成した「個人情報データベース等」を事業活動に利用している事業者のことです。
法施行後の個人情報漏洩事件 日経コンピュータ2005.7.25 日経コンピュータ2005.6.13 日経コンピュータ2005.7.11
<主な個人情報保護対策の弱点> 個人情報の管理履歴を記録していない 許可無く持ち出してしまう 持ち出した個人情報から目を離す 個人所有のパソコンを使ってしまう 委託先まで目が届かない + 正規のアカウントをもった人間による 内部犯罪(=人のモラル) 4月1日以降報道された258件の個人情報の漏洩・紛失事件の原因 情報漏洩の手口と対策 悪意は無い! 悪意が有る! 各企業とも、システム的にはウィルス対策や不正アクセス対策など、様々な手段を講じてきているものの、人為的側面での対策は甘く、情報漏洩事件が跡を経たない。 内部犯罪は最後は人のモラルによるため、完全に防止することは出来ないが、それでもいかに内部犯罪を困難にするシステムにするか?は重要な課題である。
(セキュアグリッドデータベースシステム) セキュアグリッドDBのイメージ • 個人情報は、個人が特定できないように文字単位レベルで細かく切り離します(①)。 • 切り離した文字をかき混ぜて、個人情報として意味のない情報に加工します(②)。 • 切り離し、かき混ぜられた個人情報は 、グリッド基本ソフトウェア「Gfarm」を用いて別々のデータセンターのファイルサーバに分散保管します(③)。 • 細かく切り離し、かき混ぜて、分散保管した個々の情報は、復元するために、個々の情報の保管場所情報を別のメタサーバに暗号化して保存しています。 • ファイルサーバへの保存に当たっては、他のファイルサーバのデータを二重に持ち合い、3つ以上のファイルサーバで分散保管すれば、ファイルサーバを設置しているデータセンターが災害等で故障しても、他のデータセンターのファイルサーバで復元ができます。
①情報漏洩に対して内部犯罪も困難に セキュアグリッドDBの目的 内部犯罪は悪意を持つ「システム管理者」や「保守運用者」等によるものが多い セキュアグリッドDBでは。。。 「情報セキュリティ管理者」と「システム管理者・保守運用者」とを区分 「情報セキュリティ管理者」 →自己管理責任の元で個人情報を取り扱う (メタデータの暗号化によりGfarmへのアクセスを制限) 「システム管理者・保守運用者」→物理的に個人情報に触れない (触れるのはノード上の「グチャグチャ・バラバラ」になった情報のみ) ②ディザスタリカバリ対策に 個人情報に対するセキュリティは、漏洩させないことだけでなく、紛失させないことも求められる。 セキュアグリッドDBでは。。。 Gfarmの複製機能により、複製した「グチャグチャ・バラバラ」の情報(ファイル断片)を、広域分散させたノードに保存。万が一の大規模災害時でも復元可能
研究開発のテーマ: DBMSからの情報漏えい防止のためにGfarmを利用する! データベース(DBMS)とGfarmを接続する <Gfarmのデータ分割・分散レベル> 計算処理目的 セキュリティ目的 まとまったサイズ(数メガバイト~)のデータを各ノードに配布する。 1件の(個人)情報を、さらに文字レベルで分割し、各ノードに配布する。 サイズ:小 ボリューム:大 最初の課題 「DBMSのデータをそのままGfarmに保存すると・・・」 Q.そもそも検索はできるのか? →検索するのには、検索対象となるデータを一旦全て復元しなければならない。 Q.性能は出せるのか? →更新するにも、検索→復元→更新→分割→分散保管 という手順を踏まなけれ ばならない。 Q.安全性は保障されるのか? →更新処理中の障害時でも、断片データがどこまで保存されたか追跡できなけ ればならない。
Q.そもそも検索はできるのか? A.RAMディスク上での一時テーブル保持 課題解決策 • 業務の利用時のみ、一時的にGfarmからDBMSのRAMディスク上にテーブルを復元。 • →【検索】は、Gfarmに問い合わせに行く必要が無く、かつRAMなので早い。 • →【更新】は、RAM上のデータ更新とともに、DBMSのトリガ機能によりGfarmコマンドを呼び出す。 Q.性能は出せるのか? A.Gfarmファイル名の命名規則の工夫 • Gfarmファイル名は、DBMSの実レコードデータのハッシュ値から計算。別途Gfarmファイル名とテーブル構成との関連を管理する必要が無くなる。 • 更新時は、更新前ファイルの削除と更新後ファイルの挿入をパラレルに処理。 Q.安全性は保障されるのか? A.トランザクション機構の導入 • トランザクションは、DBMSのCommit、RollbackとGfarmファイル処理とを合わせることにより保障。 • →トリガから呼び出したGfarmファイル処理で、いきなりGfarmファイルを更新せず、一旦テンポラリ領域に保存し、定期実行(CRON)で更新する(チェックポイント方式)。
Grid環境(onGlobus) Service- CERT システム機能連携図 Gfarmメタサーバ 認証局(GSI) Gfarm ノード Service- CERT 暗号化FS メタデータ User- CERT 認証サーバ • メタ管理 • 暗号鍵管理 Service- CERT WEB 連携サーバ 業務 管理者 Sign-On ツール Grid- mapfile Gneo-Gfarm ライブラリ • ユーザ管理 • 業務管理 • データ管理 • DB再構成 • RAM管理 オペレータ SSH・SCP CRMサーバ DBサーバ (Oracle) JAVA Function ramfs アプリ ケーション SQL 更新トリガ Oracle 通常のCRM環境 グリッドサービス
DBMSでは個人情報をRAM上でしか扱わない。ハードディスクには一切書き込まないので、ハードディスクに残骸が残る心配が無い。DBMSでは個人情報をRAM上でしか扱わない。ハードディスクには一切書き込まないので、ハードディスクに残骸が残る心配が無い。 • 各機能はグリッドサービスとして実装。各ホスト間はサービス連携により呼び合うことで、独立性・汎用性・保守性を確保。 • ユーザ認証にGSIを利用(grid-mapfileによるユーザ管理)。WindowsPC上でプロキシ証明書(grid-proxy-init)を発行できるJavaアプリを開発。 • メタサーバの暗号鍵は、業務管理者のパスワード等でXOR演算し、 • 演算結果をGfarmFSに保存することで、業務管理者が複数人存在 • してもメタサーバの復号を可能に。 • 認証局(CA)はOpenCAをカスタマイズし、WindowsPCからWebベースでpkcs12形式の証明書を取得可能に。 • オープンソースソフトウェアを積極的に活用。 本システムのポイント
業務の流れ 情報の流れ 個人データは、コールセンタ内に置かず、セキュリティの強化されたネオメイトのデータセンタに保存しているので、安心して業務を委託してもらえる。 コールセンタアウトソーサのメリット 委託元企業の お客様 委託元企業 テレマーケ ティング 外部委託 コールセンター アウトソーシング企業 受注拡大 セキュリティ の設定 個人データの貸与 第三者企業 個人 情報 データセンター
①蓄積可能データ件数の拡大 現バージョンの課題 メタサーバのOpenLDAPの性能限界により、17万件(実測値)までしかデータを扱えない。これを、OpenLDAPを複数に分散させることで蓄積可能なデータ件数を拡大させる。 ②一斉更新速度の改善 アプリケーションからのレコード更新要求が、数千件単位など一斉にやって来ると、Gfarmアクセス処理に待ちが発生してしまい、その間はアプリケーションからの1件の更新要求であっても待ちキューの最後に並び、すぐに更新出来ない。 これを、プログラムの見直しだけでなく、Gfarm(メタデータ)への並列アクセス、データベースとGfarm処理の非同期化などにより改善する。 ③メタサーバの冗長化 本システム上、最も重要な情報であるメタデータ(メタサーバ)の冗長性について、現状ハードウェア的に(DISKのミラーリングなど)しか対応できていないため、大規模災害等でメタサーバがダウンすると、データにアクセスできなくなる。 よって、メタサーバを広域分散・冗長化できるようにする。
今後の取組みテーマ セキュア・ディザスタ リカバリ システム • 自治体等で扱われる機密データを広域分散保管 • NTT西日本グループのDCサービスとして提供 • Windowsファイル共有にてGneo-Gfarmが利用できるようにする H16年度 H17年度 CRM 人材 派遣 ディザスタ リカバリ セキュア・人材派遣管理システム 通話 録音 DBMS (Oracle→Pg/MySQL) • 人材派遣スタッフの個人情報をセキュアに保存 • ネオメイトのASPサービスとして提供 • オープンソースDBMSでGneo-Gfarmが利用できるようにする FUSE/samba Gneo-Gfarm 【ネオメイト向け改良版Gfarm】 GfarmTM セキュア・通話録音システム GlobusToolKit • コールセンタ等の通話記録の音声ファイルをセキュアに保存 • 国産の安定・安全・便利な通話録音アプリケーションを開発する
『セキュア・ディザスタリカバリシステム』のイメージ『セキュア・ディザスタリカバリシステム』のイメージ <データセンタ等> ファイル共有型 Gfarmノード <オフィス・庁舎等> <データセンタ・サーバルーム等> ランダム に保存 既存システム : WindowsPCからネットワーク共有でファイルサーバに保存されたファイルをバックアップ(word,excel等で作成された文書ファイルが対象) 従業員 RT ファイル サーバ IPネットワーク 連携/メタ サーバ RT バックアップ メタサーバ ファイル コピー ‘グチャグチャ’ ‘バラバラ’ 複製 して システム 管理者 (マスター ディスク) : RT DB連携型 <オフィス・庁舎等> <データセンタ・サーバルーム等> ・・ 既存システム 既存のデータベース・アプリケーションシステムに対し、更新されたデータをバックアップ (現在OracleDBのみ対応、オープンソースDBからも利用できるようにする) 従業員 メタ/連携 サーバ AP サーバ : RT RT DBMS サーバ (マスター ディスク) 更新トリガ (データベースが更新されると、更新された情報を即時に連携サーバに転送する。) システム 管理者 NTT西日本グループのデータセンタで余っているサーバのハードディスクを束ね、仮想的な巨大ストレージを構築
Gfarmでノードに配布されたデータは「生データ」である!Gfarmでノードに配布されたデータは「生データ」である! スクランブルGfarm(Gneo-Gfarm)の有用性 配布されるデータには、個人情報や企業の機密情報など、守るべき情報がたくさんあるはず・・ 暗号化すれば・・? →鍵をもった人しか読めないので、 運用に困る。 スクランブルしておけば。。。 Gfarmのアクセス権限が無い限り読めない。
③データ インポート ④データ 一斉更新 システム 導入 システム 導入 ②DB初期化 ①Gfarm初期化 日常業務 利用 日常業務 利用 CRM ②CRM業務 オペレーション ①データ 一斉読込(※毎朝処理) 顧客リスト 入替 顧客リスト 入替 ③データ インポート ④データ 一斉更新 システム 破棄 システム 破棄 【参考】 システム利用のライフサイクル 本システムの ライフサイクル ③DB削除(※毎晩処理) ①DB削除 ②Gfarm初期化 ①Gfarm初期化