ジョブ処理装置及び該装置の制御方法及び制御プログラム
【課題】画像形成装置等のジョブ処理装置内の大容量記憶装置に格納されるジョブデータのセキュリティを高める。
【解決手段】CPU10は、ジョブの実行に必要なジョブデータを保存する際には、そのジョブデータに暗号化を施した上で、その一部分42をRAM14に格納し、残りの格納ファイル40をHDD16に格納する。ジョブが終了したときには、RAM14内の当該ジョブのジョブデータの一部分42を消去する。CPU10は、RAM14の空き容量、読み出し速度、書き込み速度、待機中のジョブの有無、又はジョブ処理負荷、のいずれかに応じて、HDD16とRAM14とにそれぞれ振り分けるデータの量を制御する
【解決手段】CPU10は、ジョブの実行に必要なジョブデータを保存する際には、そのジョブデータに暗号化を施した上で、その一部分42をRAM14に格納し、残りの格納ファイル40をHDD16に格納する。ジョブが終了したときには、RAM14内の当該ジョブのジョブデータの一部分42を消去する。CPU10は、RAM14の空き容量、読み出し速度、書き込み速度、待機中のジョブの有無、又はジョブ処理負荷、のいずれかに応じて、HDD16とRAM14とにそれぞれ振り分けるデータの量を制御する
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コピー機、プリンタ、ファクシミリ、複合機など、ユーザの要求に応じて所定のジョブを実行するジョブ処理装置に関し、特にジョブ処理装置に記憶されるデータの秘密保持のための技術に関する。
【背景技術】
【0002】
近年のデジタル複写機や複合機は、ハードディスク等の大容量記憶装置を搭載するものが多い。このような大容量記憶装置は、原稿を複数部数コピーする場合や両面印刷を行う場合に原稿画像を一時的に保存したり、スキャン要求に応じて原稿読取部で読み取った原稿画像をユーザがネットワークを介してダウンロードするまで保存したりするなどの用途に用いられる。
【0003】
近年、ネットワーク化やこれに伴う情報犯罪の増加を背景として、企業の情報セキュリティ管理強化の気運が高まっており、ISMS(Information Security Management System)などの認証制度も始まっている。ハードディスク抜き取りなどによる情報漏洩リスクを考えると、企業の総合的な情報セキュリティ管理においては、デジタル複写機や複合機の大容量記憶装置内に残ったデータも見過ごせない問題である。
【0004】
この問題に対し、特許文献1に示される技術では、複写機に機密文書モードを設け、このモードが設定されている時には、画像データの処理が完了した時点でハードディスク上のその画像データを消去することとしている。
【0005】
また特許文献2に示される技術では、ハードディスクに保存した画像データを複写機のアイドル時間に消去することとしている。
【0006】
また特許文献3に示される技術では、割込ジョブの画像データを割込復帰前に消去するか、割り込まれたジョブの終了後に消去するかを、その画像データのデータ量に応じて決めている。またこの技術では、ユーザが複写機を利用しない放置時間が所定時間を超えた時にハードディスク上の画像データを消去したり、ユーザが複写の中止を指示した時にその複写処理に係る画像データをハードディスクから消去したりしている。
【0007】
なお、ハードディスク上の画像データの消去は、単にファイルシステム上でその画像データファイルを削除するだけでは、ハードディスク上に実体データが残るため不十分である。そこで、従来より、ハードディスク上の実体データまで消去する場合は、その実体データの領域にランダムなデータを複数回上書きすることが行われている。
【0008】
また、画像データを暗号化してからハードディスクに格納することで、更にセキュリティを高めることも行われている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開平9−223061号公報
【特許文献2】特開平9−284572号公報
【特許文献3】特開2003−37719号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記特許文献1〜3の技術は、いずれも、ハードディスクからの画像データの消去期間中はハードディスクに対する画像データの読み書きができないため、その間は次の印刷処理や画像読取処理を開始することができない。例えばカラーでページ数の多い原稿など、データ量の多い原稿の処理を行った後は、その原稿の画像データを消去するのに長い時間がかかるため、処理待ちが長くなる。特許文献3の技術では、消去処理を行うタイミングを割込その他の条件に応じて制御することで消去処理の影響を低減しようとしているが、いったん消去を始めると消去が完了するまで次の処理を開始できない点は改善されていない。また、特許文献3の技術では、消去処理を実行するタイミングが来るまでの間、ハードディスク中に実体データが完全な形で残っている場合があるという問題があった。
【課題を解決するための手段】
【0011】
本発明は、第1の記憶装置と、前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、前記ジョブを実行するジョブ処理部と、前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、を備え、前記格納制御部は、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置を提供する。
【0012】
また、本発明は、第1の記憶装置と、前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、前記ジョブを実行するジョブ処理部と、前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、を備え、前記格納制御部は、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置を提供する。
【図面の簡単な説明】
【0013】
【図1】実施形態の画像形成装置のハードウエア構成の要部を示す図である。
【図2】実施形態の画像形成装置におけるジョブデータファイルの記憶・読み出し・消去のための機構を示す機能ブロック図である。
【図3】格納・消去制御部によるジョブデータファイルの格納処理手順の一例を示すフローチャートである。
【図4】HDD内の格納ファイルのデータ構造の例を示す図である。
【図5】格納ファイル内の分散管理情報のデータ構造の例を示す図である。
【図6】分散格納したジョブデータファイルの読み出し手順の一例を示すフローチャートである。
【図7】ジョブデータファイルの消去処理手順の一例を示すフローチャートである。
【図8】RAMへの格納データ量の決定手順の例を示すフローチャートである。
【図9】ジョブデータの格納・消去のための装置の変形例を示す図である。
【図10】変形例におけるジョブデータファイルの消去処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態(以下実施形態という)について、図面に基づいて説明する。以下では、本発明の方式を、デジタル複合機などの画像形成装置に適用した場合の例を説明する。すなわち以下では、コピー処理やスキャン処理のための原稿読み取りにより生成された画像データのファイルや、リモートホストから要求された印刷指示やそれを展開した画像データのファイル、受信したファクシミリデータなど、画像形成装置が要求される各種のジョブを実行するために受信したり生成したりしたデータのセキュリティ保護のための仕組みを説明する。
【0015】
まず、図1を参照して、本実施形態の画像形成装置のハードウエア構成を説明する。図1は、本実施形態の制御の説明のために必要な構成要素を図示したものであり、その他の構成要素については図示を省略している。
【0016】
この画像形成装置は、ディジタル複写機やディジタル複合機など、原稿を光学的に読み取って得た画像をディジタルデータとして取り扱うタイプの装置である。
【0017】
この装置においてROM(リード・オンリ・メモリ)12には、この画像形成装置の動作制御のための制御プログラムなどのデジタル情報が格納されている。CPU(中央処理装置)10がこのROM12内の制御プログラムを実行することにより、画像形成装置の各部の制御が実現される。後述するファイルの格納、読み出し、及び消去の各手順を記述したプログラムも、このROM12に格納されている。
【0018】
RAM(ランダム・アクセス・メモリ)14は、この画像形成装置の主記憶装置であり、制御プログラムの実行の際にワークメモリとしても用いられる。RAM14は、例えば、プリントエンジン24に供給する1ページ分の画像データを蓄えるページバッファとして用いることもできる。
【0019】
HDD(ハードディスク・ドライブ)16は、各種のデータを保存するための補助記憶装置である。例えば、HDD16には、画像形成装置が、要求される各種ジョブのために受信したり生成したりしたジョブデータが保存される。このようなジョブデータとしては、例えば、コピーのためにスキャンエンジン22で読み取った原稿画像データや、リモートホストから依頼された親展プリント処理(ユーザ認証が成功して初めて印刷を行う処理)の印刷指示データやこれを展開して得られる画像データ、スキャン指示に従ってスキャンエンジン22で読み取った画像データなどがある。このようなジョブデータのファイルは、ジョブの終了と共にファイルシステムから削除される。ただし、ファイルシステム上で単にファイルを削除しただけではそのファイルの実体データがHDD上に残るというのが従来からの問題であり、本実施形態ではその問題に対する新たな解決を提供する。
【0020】
操作パネル18は、この画像形成装置のユーザインタフェースのための表示や、ユーザからの各種指示の入力受付などのためのユーザインタフェース手段である。操作パネル18は、典型的には、コピースタートボタンなどの機械的な操作ボタンや液晶タッチパネルを備える。液晶タッチパネルは、CPU10で実行される制御プログラムが生成したGUI(グラフィカルユーザインタフェース)画面を表示し、そのディスプレイに対するユーザのタッチ位置を検出して制御プログラムに渡す。制御プログラムは、そのタッチ位置の情報からユーザの入力内容を解釈する。
【0021】
通信インタフェース20は、ローカルエリアネットワークなどのネットワークとのデータ通信のための制御を行う装置である。リモートホストからのプリント指示等は、この通信インタフェース20を介して画像形成装置内に入力される。
【0022】
スキャンエンジン22は、原稿を光学的に読み取って電子的な画像データを生成するスキャナ機能を提供する装置である。自動原稿送り装置(ADF)(図示省略)にセットされた原稿は、ADFの機能により1枚ずつスキャンエンジンに送られ、光学的に読み取られる。
【0023】
プリントエンジン24は、CPU10の制御により供給される画像データを用紙に画像形成(印刷)するプリンタ機能を提供する装置である。
【0024】
このような画像形成装置において、本実施形態では、保存するジョブデータファイルのセキュリティ向上のための方策として、従来HDD16に格納されていたジョブデータのファイルを、HDD16とRAM14とに振り分けて格納する構成をとる。すなわち、1つのジョブデータファイルは、HDD16内の格納ファイル40と、RAM14内の格納ファイルの一部分42とに分けて記憶されることになる。この構成によれば、ジョブデータファイルを消去する場合には、RAM14上の格納ファイルの一部分42を消去すればよい。RAM14内のデータの消去は高速に行うことができる。RAM14内のデータ42を消去した場合、HDD16内に残った格納ファイル40だけでは、元のジョブデータファイルを復元できないので、ジョブデータの秘密を守ることができる。特に、ジョブデータファイルを暗号化してからHDD16とRAM14とに分散格納する構成とすれば、HDD16に残った格納ファイル40は、暗号化したジョブデータファイルから一部を欠落させたものなので、復号処理が非常に困難となり、高いセキュリティを実現できる。
【0025】
図2は、この画像形成装置におけるジョブデータファイルの記憶・読み出し・消去のための機構を示す機能ブロック図である。
【0026】
この構成において、ジョブ制御部100は、操作パネル18や通信インタフェース20から入力されるジョブ要求を受け付け、それら要求に対応するジョブ処理の実行を制御する。ジョブの実行としては、画像形成処理や種々の画像処理、文字認識処理、他装置への送信処理等が挙げられる。実行中のジョブに対する割込ジョブの受付や、その割込に伴うジョブの退避や復帰の制御も、このジョブ制御部100により行われる。また、ジョブ制御部100は、実行するジョブが、ジョブデータの一時保存が必要な場合、その保存を格納・消去処理部110に要求する。なお、ジョブデータの一時保存が必要なジョブには、例えば原稿を複数部数コピーするジョブや、親展プリントのジョブ、あるいは読み取った画像を親展ボックスに一時保管するジョブなどがある。複数部数コピーの場合は、その部数分の印刷出力が完了した時点でジョブが完了し、親展プリントの場合は、画像形成装置でのユーザ認証が成功して印刷出力が完了した時点でジョブが完了する。また、親展ボックスへのスキャン画像の保存処理は、リモートホストがその親展ボックス内のデータをダウンロードした時点でジョブが完了する。
【0027】
また、ジョブ制御部100は、いったん保存したジョブデータをジョブ実行のために使用する時が来た場合には、格納・消去制御部110に対してそのジョブデータの読み出しを要求する。
【0028】
格納・消去制御部110は、ジョブデータファイルの格納及び読み出しの処理を行うモジュールである。ジョブ制御部100からジョブデータファイルの格納要求があった場合は、格納・消去制御部110は、それらを所定の振り分けルール(又は手順)に従ってRAM14とHDD16に分散格納する。またジョブ制御部100からジョブデータファイルの読み出し要求があった場合は、格納・消去制御部110は、RAM14とHDD16に分散格納したデータを読み出し、振り分けルールに基づいて統合することで元のジョブデータファイルを復元し、ジョブ制御部100に提供する。
【0029】
暗号処理部112は、格納・消去制御部110によりRAM14やHDD16に格納するデータを所定の暗号アルゴリズムに従って暗号化したり、RAM14やHDD16から読み出したデータを復号したりする。
【0030】
乱数発生部114は、格納・消去制御部110によるRAM14及びHDD16への分散格納処理のために乱数を発生させるモジュールである。
【0031】
メモリ監視部116は、RAM14の空き容量を監視するモジュールである。監視により求めた空き容量の情報は、格納・消去制御部110が、ジョブデータのRAM14とHDD16への振り分け量を求めるのに利用される。
【0032】
次に図3を参照して、格納・消去制御部110によるジョブデータファイルの格納時の処理を説明する。
【0033】
ジョブ制御部100からジョブデータファイルの格納要求を受けた場合、格納・消去制御部110は、まずそのファイルを暗号処理部112に暗号化させる(S10)。
【0034】
次に格納・消去制御部110は、暗号化したジョブデータのうち、RAM14に格納するデータのサイズを計算する(S12)。この計算は、メモリ監視部116で求めたRAM14の空き容量と、乱数発生部114で発生させた乱数とを用いて、格納サイズを計算する。基本的な考え方は、RAM14の空き容量が多いほど格納サイズを大きくすると共に、空き容量と格納サイズの関係が一定とならないように乱数を用いて調整を加えるというものである。例えば、RAM14の空き容量の所定割合を格納サイズの基準値と決定し、乱数発生部114で発生させた正規分布の乱数によってその基準値に調整を加えることで格納サイズを求める、などの処理となる。格納サイズの決定に際しRAM14の空き容量を考慮することで、格納処理の際のワークメモリ不足を回避することができる。また、乱数により格納サイズを変化させることで、分散格納の規則を分かりにくくすることができ、セキュリティの向上が見込める。
【0035】
RAM14への格納サイズの計算が終わると、格納・消去制御部110は、暗号化されたジョブデータ(以下、混乱のおそれがない場合には単に「ジョブデータ」と呼ぶ)の先頭からその格納サイズ分のデータをRAM14に格納する(S14)。このときのRAM14におけるデータの格納位置(先頭アドレス)は、ランダムに決定しても良いし、所定のルール(空き容量の先頭に格納するなど)に従って決定しても良い。
【0036】
RAM14への格納の後、格納・消去制御部110は、HDD16への格納サイズを計算する(S16)。この格納サイズの計算は、RAM14への格納サイズの計算と同様に行えばよい。
【0037】
HDDへの格納サイズが計算できると、格納・消去制御部110は分散管理情報を作成してHDD16に書き込むと共に(S18)、ジョブデータの未格納部分の先頭からその格納サイズ分のデータをHDD16に書き込む(S20)。なお、HDD16中には、画像形成装置のオペレーティングシステムにより、当該ジョブデータを格納するためのファイル領域が確保されており、この領域にそれら分散管理情報とジョブデータとを書き込んでいくことになる。
【0038】
以上のステップS12〜S20の処理を、ジョブデータの未格納部分が無くなるまで繰り返す(S22)。これにより、ジョブデータがRAM14とHDD16とに分散格納されることになる。このように、図3の処理では、ジョブデータを少量ずつRAM14とHDD16とに交互に格納していく。
【0039】
図3の処理により、HDD16内に生成される格納ファイル40のデータ構造の例を図4に示す。この図に示すように、格納ファイル40は、分散管理情報410と格納ファイルの部分データ450の繰り返しにより構成される。分散管理情報410は、RAM14に格納したデータへのアクセスのための情報であり、部分データ450は、ジョブデータの一部分である。この部分データ450は、例えばASN.1のBERエンコーディング規則に従ったデータ構造で記述される。この場合、部分データ450は、当該データの型を示すオブジェクト型452の情報と、そのデータのサイズ454と、そのデータの値456がこの順に並んだものとなる。図3のステップS12からS20の処理を1回行うごとに、分散管理情報410とその次の部分データ450ができる。
【0040】
分散管理情報410のデータ構造の一例を図5に示す。この例では、分散管理情報410は、まずこの管理情報自体の識別子412から始まり、その次にその管理情報自体のサイズ414が記述され、更にその次に、ジョブデータの分散先のデバイス(本実施形態ではRAM14)に格納したデータへのアクセスのための情報420が記述される。情報420は、分散先デバイスの識別子422と、その分散先デバイスに振り分けて記憶したデータのそのデバイス内での記憶位置424と、そのデータのデータサイズ426とを含んでいる。分散先のデバイスがRAM14の場合、記憶位置424としては、例えばRAM14における当該データの記憶領域の先頭アドレスを用いることができる。
【0041】
図1の例では、ジョブデータをHDD16とRAM14とに分散させた。しかし、画像形成装置がHDD16とRAM14以外にも記憶装置を備えている場合がある。例えば、画像形成装置がHDDを複数備えていたり、EEPROMや不揮発性RAMを備えていたりする場合もある。このような場合、ジョブデータをそれら複数の記憶装置に分散格納することもできる。分散先デバイスの識別子422は、それら複数の記憶装置を識別するためのものである。そして、ジョブデータをHDD16以外に複数の記憶装置に分散格納した場合は、分散管理情報410には、それら各記憶装置ごとに情報420が記述されることになる。この場合、分散管理情報410における情報420の順序が、分散格納したジョブデータの順序に対応する。
【0042】
次に図6を参照して、分散格納したジョブデータを読み出す際の格納・消去制御部110の処理を説明する。
【0043】
格納・消去制御部110は、ジョブ制御部100からジョブデータファイルの読み出しを要求された場合、まずHDD16内の当該ファイルの先頭にアクセスし(S30)、分散管理情報410を読み出し、その分散管理情報410に示される記憶装置識別子422,記憶位置424及びデータサイズ426の情報に従ってRAM14に分散格納したデータを読み出す(S32)。なお、分散格納先の記憶装置が複数存在する場合には、分散管理情報410中の情報420の順に、それら各記憶装置からデータを読み出して併合していく。このようにしてすべての分散格納先の記憶装置からのデータ読み出しが終わると、その分散管理情報410の直後に格納された部分データ450を読み出し、これを分散先から読み出したデータの後ろに併合する(S34)。このような処理を、格納ファイル40の末尾に達するまで繰り返す(S36)ことにより、ジョブデータの読み出しが完了する。なお、読み出したジョブデータは暗号化されているので、格納・消去制御部110はこれを暗号処理部112に復号させてから、ジョブ制御部100に提供する。
【0044】
次に図7を参照して、HDD16とRAM14に分散格納したジョブデータファイルの消去処理を説明する。
【0045】
この消去処理は、ジョブデータファイルに関して所定の消去条件が満たされた時に実行される。代表的な消去条件としては、当該ジョブデータファイルを用いるジョブの実行が完了したことを挙げることができる。またジョブデータファイルを用いるジョブの中止指示がユーザより入力されることも消去条件の一例である。また、ユーザがジョブデータファイルを指定し、そのファイルの消去を明示的に指示することも、消去条件の一例である。
【0046】
格納・消去制御部110は、ジョブ制御部100からのジョブ実行完了通知や、操作パネル12からのユーザの入力を監視し、それら消去条件のいずれかかが満足されるのを待つ(S40,S42,S44)。そして、いずれかの消去条件が満足された場合、その条件を満足したジョブのジョブデータファイルのうちのRAM14に格納された部分42を消去する(S46)。消去部分の特定は、例えば格納ファイル中の分散管理情報410を読み出すことで行うことができる。RAM14上のデータなので、高速かつ完全に消去することができる。次に、HDD16内の当該ジョブデータの格納ファイル40を削除して、その格納ファイルの領域を解放する(S48)。この削除処理は、MS−DOS(商標)のDELコマンドや、UNIX(登録商標)のrmコマンドによるファイル削除のように、ファイルシステム上でそのファイルの管理情報を削除する処理でよい。この場合、HDD16には、削除後にも(上書きされるまでは)格納ファイル40の実体データが残ることになるが、残った実体データだけでは元のジョブデータファイルを完全には復元できない。また、本実施形態では、ジョブデータファイルを暗号化してからHDDとRAMに分散格納しているので、HDDに残った実体データだけでは復号が非常に困難になる。
【0047】
格納ファイルの削除(S48)が完了すると、格納・消去制御部110は、ジョブ制御部100に対し、要求されたデータ消去処理が完了した旨を通知する(S50)。この通知を受けたジョブ制御部100は、次のジョブの実行を許可する。これにより、例えば消去の時点で待機中のジョブ(新たなジョブや、別のジョブに割り込まれたジョブなど)があれば、そのジョブの実行が開始又は再開される。
【0048】
このように、本実施形態によれば、RAM14に分散格納したデータを消去することで、HDD16に保存したジョブデータを無効に近い状態とすることができるので、HDDに保存したジョブデータ全体にランダムデータを何度も上書きしていた従来技術と比べて、はるかに高速にデータ消去を行うことが可能となる。このため、割込ジョブからの復帰時や後続のジョブが待機しているような場合でも、待機中のジョブをほとんど待たせることなく、データ消去を行うことができる。したがって、ジョブデータの消去を次のジョブの完了まで先送りにする必要が無くなる。
【0049】
また、本実施形態では、ジョブデータの分散格納先として、揮発性メモリであるRAM14を用いているので、画像形成装置の電源をオフすれば、分散格納したデータも消えてしまうので、上述の消去処理と同様の効果が得られる。
【0050】
なお、1つの例として、上述したRAM14内のデータ消去のあと、適切なタイミングでHDD16上に残った格納ファイルの実体データに対し、ランダムデータの繰り返し上書きによるデータ消去を行うことも好適である。このランダムデータ上書きによる消去処理は、例えば画像形成装置の未使用状態が所定時間続いた時や、節電モードに移行する直前、電源スイッチがオフされた時など、ジョブに影響の少ないときに行うことが好適である。本実施形態では、ジョブ終了後からランダムデータ上書きによるデータ消去を行うまでの間、上記各特許文献に示した従来技術よりもジョブデータを安全に保つことができる。
【0051】
以上に説明した実施形態では、RAM14に分散格納するデータのサイズをRAMの空き容量と乱数に従って決めていたが、これはあくまで一例である。この代わりに、RAM14への格納サイズを固定値としても良いし、空き容量を考慮せずに完全にランダムに決定しても良い。
【0052】
また、RAM空き容量の他の状況も考慮して格納サイズを決めることも好適である。この例を図8に示す。この例では、RAM空き容量(S60)の他に、待機中のジョブの有無(S62)や、画像形成装置全体の処理負荷(S64)、ジョブデータの機密度(S66)、などの情報を取得し、これらの情報をパラメータとしてRAM14への格納サイズを決める(S68)。この計算の基本的な考え方は以下の通りである。
【0053】
まず、待機中のジョブがある場合や、画像処理装置の処理負荷が高い場合は、HDD16へのランダムデータ上書きによるデータ消去がそれだけ遅くなるため、その消去までの時間のジョブデータの安全性を高めるために、RAM14への振り分け量を多くする。これにより、ジョブ完了後のRAM内データ消去によって、より多くのデータが消滅することになるので、ジョブデータの復元の可能性をより減らすことができる。
【0054】
なお、待機中のジョブの有無の情報はジョブ制御部100から、画像処理装置全体の処理負荷はジョブ制御装置100やオペレーティングシステムから、それぞれ取得することができる。
【0055】
また、ジョブデータの機密度が高い場合は、そのデータが不要になった時点で、そのデータのうちできるだけ多くの部分を消すことがセキュリティ上有効である。したがって、機密度が高いほどRAM14へのデータの振り分け量を多くする。
【0056】
ジョブデータの機密度は、ジョブの属性の一つとしてユーザに指定させても良いし、ジョブの内容から判定しても良い。後者の例としては、例えば親展プリントなど秘密を前提としたジョブの場合は、ジョブデータの機密度を高くするなどである。予めジョブの種類ごとの機密度を画像形成装置に登録しておけばよい。
【0057】
また、HDD16の他にジョブデータを振り分ける記憶装置が複数ある場合、それら複数の記憶装置への振り分け量をそれら記憶装置への書き込み・読み出し速度に応じて決めることも好適である。各記憶装置への書き込み・読み出し速度は、ジョブデータ全体の格納・読み出しの速度に影響するので、書き込み・読み出しが遅い記憶装置へのデータの振り分け量は相対的に小さくすることが好適である。例えば、RAM14の他に、EEPROMにデータを振り分ける場合、EEPROMの書き込み・読み出し速度は、RAM14は当然のこと、HDD16と比べても遅いので、EEPROMへの振り分け量をRAMへの振り分け量よりも小さいものとする。
【0058】
また、ジョブデータの内容に応じた振り分け制御も考えられる。例えば、ジョブデータがヘッダ部とデータ部(ボディ部)から構成される形式であり、ヘッダ部にデータの特徴が多く含まれている場合には、ヘッダ部のデータはRAM14に多く振り分け、ボディ部のデータはHDD16に多く振り分ける、等といった制御などが考えられる。
【0059】
また、以上では、ジョブデータを暗号処理部112で暗号化してから分散格納したが、このような暗号化を行わない場合でも、本発明の分散格納方式はある程度の有効性を持つ。暗号化しなくても、RAM14内のデータ消去により、ジョブデータの一部は消滅するので、万が一HDD16が取り外されるようなことがあっても、完全なジョブデータが漏れることはない。
【0060】
なお、画像形成装置でジョブデータの暗号化を行わない場合、ジョブデータ自体が暗号化されている場合(例えばホストからの印刷データ自体が暗号化されている場合)と、そうでない場合とで、RAM14とHDD16の間のデータ振り分け割合を変えることも好適である。すなわち、ジョブデータが暗号化されている場合は、RAM内のデータ消去でジョブデータのうちのできるだけ多くの情報が消えるよう、RAMへのデータ振り分け割合を高くするなどである。
【0061】
また、ジョブデータを暗号化せずに分散格納する場合のRAM、HDD間でのデータの振り分け方法として、ジョブデータがタグ付けされた構造化文書の場合、タグ情報(開始タグ、終了タグのうちの一方でも良いし両方でも良い)をRAMに優先的に振り分ける方法が考えられる。この方法では、RAM内のデータ消去により文書構造の情報を消滅させることができる。また、ジョブデータがビジネス文書の場合は文書内の数字情報をRAMに優先的に振り分け、名簿データの場合は人名漢字に該当する文字をRAMに優先的に振り分ける、などと、ジョブデータの種類に応じた特徴部分をRAMに振り分ける方式も好適である。文書の種類は、ジョブデータファイルの属性情報などから求めることができる。
【0062】
また、以上の例では、RAM14とHDD16に交互にジョブデータを振り分けたが、この代わりにそれら両者間での振り分け順序をランダムに変えることも可能である。この場合、分散管理情報410には、各分散格納先に記憶したデータの順序の情報を含める。
【0063】
また以上の例では、分散管理情報410をHDD16に格納したが、これは必須ではない。分散管理情報410のような、各記憶装置へのジョブデータの分散状況を記述した管理情報は、RAM14やその他画像形成装置内の記憶装置に記憶するようにしてもよい。
【0064】
また本実施形態の変形例として、RAM14を利用しない装置構成も考えられる。この例を図9に示す。図9において、図2に示した構成要素と同一又は類似の構成要素には、同一符号を付して説明を省略する。
【0065】
この例では、格納・消去制御部110aは、ジョブデータを暗号処理部112で暗号化した後、従来と同様HDD16のみに格納する。
【0066】
この変形の特徴は、ジョブデータの消去処理にある。すなわち、図10に示すように、ジョブデータの消去条件が満足された場合(S40〜S44)、格納・消去制御部110aは、乱数発生部114に発生させた乱数を用い、HDD16内のジョブデータのうちの消去箇所を決定する(S52)。ここでは、発生させた1乃至複数の乱数を用い、複数の消去箇所について、その位置や消去するデータサイズを決定する。そして、格納・消去制御部110aは、それら決定した消去箇所に対して、ランダムなデータを所定数回繰り返し上書きする(S54)。この上書き消去が完了すると、格納・消去制御部110aは、当該ジョブデータのファイルをファイルシステム上から削除し、ジョブ制御部100に対してデータ消去完了の旨を通知する(S50)。これにより次のジョブが実行可能な状態となり、待機中のジョブや割込などによる中断中のジョブがあれば、それを実行することができる。また、この消去の後、HDD16内に残ったジョブデータの部分に対し、画像形成装置のアイドル時間などに、ランダムデータの繰り返し上書きによる消去処理を施せば、更にセキュリティを向上させることができる。
【0067】
本実施形態によれば、HDD16に格納したジョブデータのうちの複数の消去箇所を消去した時点で、HDD16内に残ったジョブデータは完全なものではなくなり、仮にその残りデータが取り出されても秘密漏洩のリスクは少なくなる。
【0068】
この例では、暗号化したジョブデータの複数の部分を消去するので、残ったデータを復号するのは非常に困難となる。
【0069】
また、それら消去箇所のサイズのジョブデータ全体に対する比率を小さくしておけば、この消去処理に要する時間は短くて済むため、待機中のジョブをさほど待たせることなく消去処理を実行できる。
【0070】
以上、本発明をデジタル複合機等の画像形成装置に適用した場合の実施形態を説明した。しかしながら、上述の説明から明らかなように、本実施形態における格納データの秘密保護方式は、処理の種類や格納対象のデータの種類に依存しないので、画像形成装置以外の様々なジョブ処理装置に適用可能である。
【0071】
なお、参考例では、ジョブ処理装置は、所定のルールに従って前記第1の記憶装置と前記第2の記憶装置とにジョブデータを振り分けて格納するとともに、前記ルールを変更するルール管理部を更に備えていてもよい。
【0072】
ルールの変更は、例えば当該ジョブ処理装置の状態に応じて行うことができる。ここで、ジョブ処理装置の「状態」には、例えば第2の記憶装置の空き容量や書き込み・読み出し速度、ジョブ処理装置の処理負荷、待機中のジョブの有無などがある。
【0073】
また別の参考例では、ジョブ処理装置は、前記ルールを、前記ジョブの属性に応じて変更するルール管理部を更に備えていてもよい。ここで、ジョブの「属性」には、ジョブに付与された機密度や、ジョブの対象となる文書の種別などがある。
【符号の説明】
【0074】
10 CPU、12 ROM、14 RAM、16 HDD(ハードディスク・ドライブ)、18 操作パネル、20 通信インタフェース、22 スキャンエンジン、24 プリントエンジン、40 格納ファイル、42 格納ファイルの一部分。
【技術分野】
【0001】
本発明は、コピー機、プリンタ、ファクシミリ、複合機など、ユーザの要求に応じて所定のジョブを実行するジョブ処理装置に関し、特にジョブ処理装置に記憶されるデータの秘密保持のための技術に関する。
【背景技術】
【0002】
近年のデジタル複写機や複合機は、ハードディスク等の大容量記憶装置を搭載するものが多い。このような大容量記憶装置は、原稿を複数部数コピーする場合や両面印刷を行う場合に原稿画像を一時的に保存したり、スキャン要求に応じて原稿読取部で読み取った原稿画像をユーザがネットワークを介してダウンロードするまで保存したりするなどの用途に用いられる。
【0003】
近年、ネットワーク化やこれに伴う情報犯罪の増加を背景として、企業の情報セキュリティ管理強化の気運が高まっており、ISMS(Information Security Management System)などの認証制度も始まっている。ハードディスク抜き取りなどによる情報漏洩リスクを考えると、企業の総合的な情報セキュリティ管理においては、デジタル複写機や複合機の大容量記憶装置内に残ったデータも見過ごせない問題である。
【0004】
この問題に対し、特許文献1に示される技術では、複写機に機密文書モードを設け、このモードが設定されている時には、画像データの処理が完了した時点でハードディスク上のその画像データを消去することとしている。
【0005】
また特許文献2に示される技術では、ハードディスクに保存した画像データを複写機のアイドル時間に消去することとしている。
【0006】
また特許文献3に示される技術では、割込ジョブの画像データを割込復帰前に消去するか、割り込まれたジョブの終了後に消去するかを、その画像データのデータ量に応じて決めている。またこの技術では、ユーザが複写機を利用しない放置時間が所定時間を超えた時にハードディスク上の画像データを消去したり、ユーザが複写の中止を指示した時にその複写処理に係る画像データをハードディスクから消去したりしている。
【0007】
なお、ハードディスク上の画像データの消去は、単にファイルシステム上でその画像データファイルを削除するだけでは、ハードディスク上に実体データが残るため不十分である。そこで、従来より、ハードディスク上の実体データまで消去する場合は、その実体データの領域にランダムなデータを複数回上書きすることが行われている。
【0008】
また、画像データを暗号化してからハードディスクに格納することで、更にセキュリティを高めることも行われている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開平9−223061号公報
【特許文献2】特開平9−284572号公報
【特許文献3】特開2003−37719号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記特許文献1〜3の技術は、いずれも、ハードディスクからの画像データの消去期間中はハードディスクに対する画像データの読み書きができないため、その間は次の印刷処理や画像読取処理を開始することができない。例えばカラーでページ数の多い原稿など、データ量の多い原稿の処理を行った後は、その原稿の画像データを消去するのに長い時間がかかるため、処理待ちが長くなる。特許文献3の技術では、消去処理を行うタイミングを割込その他の条件に応じて制御することで消去処理の影響を低減しようとしているが、いったん消去を始めると消去が完了するまで次の処理を開始できない点は改善されていない。また、特許文献3の技術では、消去処理を実行するタイミングが来るまでの間、ハードディスク中に実体データが完全な形で残っている場合があるという問題があった。
【課題を解決するための手段】
【0011】
本発明は、第1の記憶装置と、前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、前記ジョブを実行するジョブ処理部と、前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、を備え、前記格納制御部は、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置を提供する。
【0012】
また、本発明は、第1の記憶装置と、前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、前記ジョブを実行するジョブ処理部と、前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、を備え、前記格納制御部は、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置を提供する。
【図面の簡単な説明】
【0013】
【図1】実施形態の画像形成装置のハードウエア構成の要部を示す図である。
【図2】実施形態の画像形成装置におけるジョブデータファイルの記憶・読み出し・消去のための機構を示す機能ブロック図である。
【図3】格納・消去制御部によるジョブデータファイルの格納処理手順の一例を示すフローチャートである。
【図4】HDD内の格納ファイルのデータ構造の例を示す図である。
【図5】格納ファイル内の分散管理情報のデータ構造の例を示す図である。
【図6】分散格納したジョブデータファイルの読み出し手順の一例を示すフローチャートである。
【図7】ジョブデータファイルの消去処理手順の一例を示すフローチャートである。
【図8】RAMへの格納データ量の決定手順の例を示すフローチャートである。
【図9】ジョブデータの格納・消去のための装置の変形例を示す図である。
【図10】変形例におけるジョブデータファイルの消去処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態(以下実施形態という)について、図面に基づいて説明する。以下では、本発明の方式を、デジタル複合機などの画像形成装置に適用した場合の例を説明する。すなわち以下では、コピー処理やスキャン処理のための原稿読み取りにより生成された画像データのファイルや、リモートホストから要求された印刷指示やそれを展開した画像データのファイル、受信したファクシミリデータなど、画像形成装置が要求される各種のジョブを実行するために受信したり生成したりしたデータのセキュリティ保護のための仕組みを説明する。
【0015】
まず、図1を参照して、本実施形態の画像形成装置のハードウエア構成を説明する。図1は、本実施形態の制御の説明のために必要な構成要素を図示したものであり、その他の構成要素については図示を省略している。
【0016】
この画像形成装置は、ディジタル複写機やディジタル複合機など、原稿を光学的に読み取って得た画像をディジタルデータとして取り扱うタイプの装置である。
【0017】
この装置においてROM(リード・オンリ・メモリ)12には、この画像形成装置の動作制御のための制御プログラムなどのデジタル情報が格納されている。CPU(中央処理装置)10がこのROM12内の制御プログラムを実行することにより、画像形成装置の各部の制御が実現される。後述するファイルの格納、読み出し、及び消去の各手順を記述したプログラムも、このROM12に格納されている。
【0018】
RAM(ランダム・アクセス・メモリ)14は、この画像形成装置の主記憶装置であり、制御プログラムの実行の際にワークメモリとしても用いられる。RAM14は、例えば、プリントエンジン24に供給する1ページ分の画像データを蓄えるページバッファとして用いることもできる。
【0019】
HDD(ハードディスク・ドライブ)16は、各種のデータを保存するための補助記憶装置である。例えば、HDD16には、画像形成装置が、要求される各種ジョブのために受信したり生成したりしたジョブデータが保存される。このようなジョブデータとしては、例えば、コピーのためにスキャンエンジン22で読み取った原稿画像データや、リモートホストから依頼された親展プリント処理(ユーザ認証が成功して初めて印刷を行う処理)の印刷指示データやこれを展開して得られる画像データ、スキャン指示に従ってスキャンエンジン22で読み取った画像データなどがある。このようなジョブデータのファイルは、ジョブの終了と共にファイルシステムから削除される。ただし、ファイルシステム上で単にファイルを削除しただけではそのファイルの実体データがHDD上に残るというのが従来からの問題であり、本実施形態ではその問題に対する新たな解決を提供する。
【0020】
操作パネル18は、この画像形成装置のユーザインタフェースのための表示や、ユーザからの各種指示の入力受付などのためのユーザインタフェース手段である。操作パネル18は、典型的には、コピースタートボタンなどの機械的な操作ボタンや液晶タッチパネルを備える。液晶タッチパネルは、CPU10で実行される制御プログラムが生成したGUI(グラフィカルユーザインタフェース)画面を表示し、そのディスプレイに対するユーザのタッチ位置を検出して制御プログラムに渡す。制御プログラムは、そのタッチ位置の情報からユーザの入力内容を解釈する。
【0021】
通信インタフェース20は、ローカルエリアネットワークなどのネットワークとのデータ通信のための制御を行う装置である。リモートホストからのプリント指示等は、この通信インタフェース20を介して画像形成装置内に入力される。
【0022】
スキャンエンジン22は、原稿を光学的に読み取って電子的な画像データを生成するスキャナ機能を提供する装置である。自動原稿送り装置(ADF)(図示省略)にセットされた原稿は、ADFの機能により1枚ずつスキャンエンジンに送られ、光学的に読み取られる。
【0023】
プリントエンジン24は、CPU10の制御により供給される画像データを用紙に画像形成(印刷)するプリンタ機能を提供する装置である。
【0024】
このような画像形成装置において、本実施形態では、保存するジョブデータファイルのセキュリティ向上のための方策として、従来HDD16に格納されていたジョブデータのファイルを、HDD16とRAM14とに振り分けて格納する構成をとる。すなわち、1つのジョブデータファイルは、HDD16内の格納ファイル40と、RAM14内の格納ファイルの一部分42とに分けて記憶されることになる。この構成によれば、ジョブデータファイルを消去する場合には、RAM14上の格納ファイルの一部分42を消去すればよい。RAM14内のデータの消去は高速に行うことができる。RAM14内のデータ42を消去した場合、HDD16内に残った格納ファイル40だけでは、元のジョブデータファイルを復元できないので、ジョブデータの秘密を守ることができる。特に、ジョブデータファイルを暗号化してからHDD16とRAM14とに分散格納する構成とすれば、HDD16に残った格納ファイル40は、暗号化したジョブデータファイルから一部を欠落させたものなので、復号処理が非常に困難となり、高いセキュリティを実現できる。
【0025】
図2は、この画像形成装置におけるジョブデータファイルの記憶・読み出し・消去のための機構を示す機能ブロック図である。
【0026】
この構成において、ジョブ制御部100は、操作パネル18や通信インタフェース20から入力されるジョブ要求を受け付け、それら要求に対応するジョブ処理の実行を制御する。ジョブの実行としては、画像形成処理や種々の画像処理、文字認識処理、他装置への送信処理等が挙げられる。実行中のジョブに対する割込ジョブの受付や、その割込に伴うジョブの退避や復帰の制御も、このジョブ制御部100により行われる。また、ジョブ制御部100は、実行するジョブが、ジョブデータの一時保存が必要な場合、その保存を格納・消去処理部110に要求する。なお、ジョブデータの一時保存が必要なジョブには、例えば原稿を複数部数コピーするジョブや、親展プリントのジョブ、あるいは読み取った画像を親展ボックスに一時保管するジョブなどがある。複数部数コピーの場合は、その部数分の印刷出力が完了した時点でジョブが完了し、親展プリントの場合は、画像形成装置でのユーザ認証が成功して印刷出力が完了した時点でジョブが完了する。また、親展ボックスへのスキャン画像の保存処理は、リモートホストがその親展ボックス内のデータをダウンロードした時点でジョブが完了する。
【0027】
また、ジョブ制御部100は、いったん保存したジョブデータをジョブ実行のために使用する時が来た場合には、格納・消去制御部110に対してそのジョブデータの読み出しを要求する。
【0028】
格納・消去制御部110は、ジョブデータファイルの格納及び読み出しの処理を行うモジュールである。ジョブ制御部100からジョブデータファイルの格納要求があった場合は、格納・消去制御部110は、それらを所定の振り分けルール(又は手順)に従ってRAM14とHDD16に分散格納する。またジョブ制御部100からジョブデータファイルの読み出し要求があった場合は、格納・消去制御部110は、RAM14とHDD16に分散格納したデータを読み出し、振り分けルールに基づいて統合することで元のジョブデータファイルを復元し、ジョブ制御部100に提供する。
【0029】
暗号処理部112は、格納・消去制御部110によりRAM14やHDD16に格納するデータを所定の暗号アルゴリズムに従って暗号化したり、RAM14やHDD16から読み出したデータを復号したりする。
【0030】
乱数発生部114は、格納・消去制御部110によるRAM14及びHDD16への分散格納処理のために乱数を発生させるモジュールである。
【0031】
メモリ監視部116は、RAM14の空き容量を監視するモジュールである。監視により求めた空き容量の情報は、格納・消去制御部110が、ジョブデータのRAM14とHDD16への振り分け量を求めるのに利用される。
【0032】
次に図3を参照して、格納・消去制御部110によるジョブデータファイルの格納時の処理を説明する。
【0033】
ジョブ制御部100からジョブデータファイルの格納要求を受けた場合、格納・消去制御部110は、まずそのファイルを暗号処理部112に暗号化させる(S10)。
【0034】
次に格納・消去制御部110は、暗号化したジョブデータのうち、RAM14に格納するデータのサイズを計算する(S12)。この計算は、メモリ監視部116で求めたRAM14の空き容量と、乱数発生部114で発生させた乱数とを用いて、格納サイズを計算する。基本的な考え方は、RAM14の空き容量が多いほど格納サイズを大きくすると共に、空き容量と格納サイズの関係が一定とならないように乱数を用いて調整を加えるというものである。例えば、RAM14の空き容量の所定割合を格納サイズの基準値と決定し、乱数発生部114で発生させた正規分布の乱数によってその基準値に調整を加えることで格納サイズを求める、などの処理となる。格納サイズの決定に際しRAM14の空き容量を考慮することで、格納処理の際のワークメモリ不足を回避することができる。また、乱数により格納サイズを変化させることで、分散格納の規則を分かりにくくすることができ、セキュリティの向上が見込める。
【0035】
RAM14への格納サイズの計算が終わると、格納・消去制御部110は、暗号化されたジョブデータ(以下、混乱のおそれがない場合には単に「ジョブデータ」と呼ぶ)の先頭からその格納サイズ分のデータをRAM14に格納する(S14)。このときのRAM14におけるデータの格納位置(先頭アドレス)は、ランダムに決定しても良いし、所定のルール(空き容量の先頭に格納するなど)に従って決定しても良い。
【0036】
RAM14への格納の後、格納・消去制御部110は、HDD16への格納サイズを計算する(S16)。この格納サイズの計算は、RAM14への格納サイズの計算と同様に行えばよい。
【0037】
HDDへの格納サイズが計算できると、格納・消去制御部110は分散管理情報を作成してHDD16に書き込むと共に(S18)、ジョブデータの未格納部分の先頭からその格納サイズ分のデータをHDD16に書き込む(S20)。なお、HDD16中には、画像形成装置のオペレーティングシステムにより、当該ジョブデータを格納するためのファイル領域が確保されており、この領域にそれら分散管理情報とジョブデータとを書き込んでいくことになる。
【0038】
以上のステップS12〜S20の処理を、ジョブデータの未格納部分が無くなるまで繰り返す(S22)。これにより、ジョブデータがRAM14とHDD16とに分散格納されることになる。このように、図3の処理では、ジョブデータを少量ずつRAM14とHDD16とに交互に格納していく。
【0039】
図3の処理により、HDD16内に生成される格納ファイル40のデータ構造の例を図4に示す。この図に示すように、格納ファイル40は、分散管理情報410と格納ファイルの部分データ450の繰り返しにより構成される。分散管理情報410は、RAM14に格納したデータへのアクセスのための情報であり、部分データ450は、ジョブデータの一部分である。この部分データ450は、例えばASN.1のBERエンコーディング規則に従ったデータ構造で記述される。この場合、部分データ450は、当該データの型を示すオブジェクト型452の情報と、そのデータのサイズ454と、そのデータの値456がこの順に並んだものとなる。図3のステップS12からS20の処理を1回行うごとに、分散管理情報410とその次の部分データ450ができる。
【0040】
分散管理情報410のデータ構造の一例を図5に示す。この例では、分散管理情報410は、まずこの管理情報自体の識別子412から始まり、その次にその管理情報自体のサイズ414が記述され、更にその次に、ジョブデータの分散先のデバイス(本実施形態ではRAM14)に格納したデータへのアクセスのための情報420が記述される。情報420は、分散先デバイスの識別子422と、その分散先デバイスに振り分けて記憶したデータのそのデバイス内での記憶位置424と、そのデータのデータサイズ426とを含んでいる。分散先のデバイスがRAM14の場合、記憶位置424としては、例えばRAM14における当該データの記憶領域の先頭アドレスを用いることができる。
【0041】
図1の例では、ジョブデータをHDD16とRAM14とに分散させた。しかし、画像形成装置がHDD16とRAM14以外にも記憶装置を備えている場合がある。例えば、画像形成装置がHDDを複数備えていたり、EEPROMや不揮発性RAMを備えていたりする場合もある。このような場合、ジョブデータをそれら複数の記憶装置に分散格納することもできる。分散先デバイスの識別子422は、それら複数の記憶装置を識別するためのものである。そして、ジョブデータをHDD16以外に複数の記憶装置に分散格納した場合は、分散管理情報410には、それら各記憶装置ごとに情報420が記述されることになる。この場合、分散管理情報410における情報420の順序が、分散格納したジョブデータの順序に対応する。
【0042】
次に図6を参照して、分散格納したジョブデータを読み出す際の格納・消去制御部110の処理を説明する。
【0043】
格納・消去制御部110は、ジョブ制御部100からジョブデータファイルの読み出しを要求された場合、まずHDD16内の当該ファイルの先頭にアクセスし(S30)、分散管理情報410を読み出し、その分散管理情報410に示される記憶装置識別子422,記憶位置424及びデータサイズ426の情報に従ってRAM14に分散格納したデータを読み出す(S32)。なお、分散格納先の記憶装置が複数存在する場合には、分散管理情報410中の情報420の順に、それら各記憶装置からデータを読み出して併合していく。このようにしてすべての分散格納先の記憶装置からのデータ読み出しが終わると、その分散管理情報410の直後に格納された部分データ450を読み出し、これを分散先から読み出したデータの後ろに併合する(S34)。このような処理を、格納ファイル40の末尾に達するまで繰り返す(S36)ことにより、ジョブデータの読み出しが完了する。なお、読み出したジョブデータは暗号化されているので、格納・消去制御部110はこれを暗号処理部112に復号させてから、ジョブ制御部100に提供する。
【0044】
次に図7を参照して、HDD16とRAM14に分散格納したジョブデータファイルの消去処理を説明する。
【0045】
この消去処理は、ジョブデータファイルに関して所定の消去条件が満たされた時に実行される。代表的な消去条件としては、当該ジョブデータファイルを用いるジョブの実行が完了したことを挙げることができる。またジョブデータファイルを用いるジョブの中止指示がユーザより入力されることも消去条件の一例である。また、ユーザがジョブデータファイルを指定し、そのファイルの消去を明示的に指示することも、消去条件の一例である。
【0046】
格納・消去制御部110は、ジョブ制御部100からのジョブ実行完了通知や、操作パネル12からのユーザの入力を監視し、それら消去条件のいずれかかが満足されるのを待つ(S40,S42,S44)。そして、いずれかの消去条件が満足された場合、その条件を満足したジョブのジョブデータファイルのうちのRAM14に格納された部分42を消去する(S46)。消去部分の特定は、例えば格納ファイル中の分散管理情報410を読み出すことで行うことができる。RAM14上のデータなので、高速かつ完全に消去することができる。次に、HDD16内の当該ジョブデータの格納ファイル40を削除して、その格納ファイルの領域を解放する(S48)。この削除処理は、MS−DOS(商標)のDELコマンドや、UNIX(登録商標)のrmコマンドによるファイル削除のように、ファイルシステム上でそのファイルの管理情報を削除する処理でよい。この場合、HDD16には、削除後にも(上書きされるまでは)格納ファイル40の実体データが残ることになるが、残った実体データだけでは元のジョブデータファイルを完全には復元できない。また、本実施形態では、ジョブデータファイルを暗号化してからHDDとRAMに分散格納しているので、HDDに残った実体データだけでは復号が非常に困難になる。
【0047】
格納ファイルの削除(S48)が完了すると、格納・消去制御部110は、ジョブ制御部100に対し、要求されたデータ消去処理が完了した旨を通知する(S50)。この通知を受けたジョブ制御部100は、次のジョブの実行を許可する。これにより、例えば消去の時点で待機中のジョブ(新たなジョブや、別のジョブに割り込まれたジョブなど)があれば、そのジョブの実行が開始又は再開される。
【0048】
このように、本実施形態によれば、RAM14に分散格納したデータを消去することで、HDD16に保存したジョブデータを無効に近い状態とすることができるので、HDDに保存したジョブデータ全体にランダムデータを何度も上書きしていた従来技術と比べて、はるかに高速にデータ消去を行うことが可能となる。このため、割込ジョブからの復帰時や後続のジョブが待機しているような場合でも、待機中のジョブをほとんど待たせることなく、データ消去を行うことができる。したがって、ジョブデータの消去を次のジョブの完了まで先送りにする必要が無くなる。
【0049】
また、本実施形態では、ジョブデータの分散格納先として、揮発性メモリであるRAM14を用いているので、画像形成装置の電源をオフすれば、分散格納したデータも消えてしまうので、上述の消去処理と同様の効果が得られる。
【0050】
なお、1つの例として、上述したRAM14内のデータ消去のあと、適切なタイミングでHDD16上に残った格納ファイルの実体データに対し、ランダムデータの繰り返し上書きによるデータ消去を行うことも好適である。このランダムデータ上書きによる消去処理は、例えば画像形成装置の未使用状態が所定時間続いた時や、節電モードに移行する直前、電源スイッチがオフされた時など、ジョブに影響の少ないときに行うことが好適である。本実施形態では、ジョブ終了後からランダムデータ上書きによるデータ消去を行うまでの間、上記各特許文献に示した従来技術よりもジョブデータを安全に保つことができる。
【0051】
以上に説明した実施形態では、RAM14に分散格納するデータのサイズをRAMの空き容量と乱数に従って決めていたが、これはあくまで一例である。この代わりに、RAM14への格納サイズを固定値としても良いし、空き容量を考慮せずに完全にランダムに決定しても良い。
【0052】
また、RAM空き容量の他の状況も考慮して格納サイズを決めることも好適である。この例を図8に示す。この例では、RAM空き容量(S60)の他に、待機中のジョブの有無(S62)や、画像形成装置全体の処理負荷(S64)、ジョブデータの機密度(S66)、などの情報を取得し、これらの情報をパラメータとしてRAM14への格納サイズを決める(S68)。この計算の基本的な考え方は以下の通りである。
【0053】
まず、待機中のジョブがある場合や、画像処理装置の処理負荷が高い場合は、HDD16へのランダムデータ上書きによるデータ消去がそれだけ遅くなるため、その消去までの時間のジョブデータの安全性を高めるために、RAM14への振り分け量を多くする。これにより、ジョブ完了後のRAM内データ消去によって、より多くのデータが消滅することになるので、ジョブデータの復元の可能性をより減らすことができる。
【0054】
なお、待機中のジョブの有無の情報はジョブ制御部100から、画像処理装置全体の処理負荷はジョブ制御装置100やオペレーティングシステムから、それぞれ取得することができる。
【0055】
また、ジョブデータの機密度が高い場合は、そのデータが不要になった時点で、そのデータのうちできるだけ多くの部分を消すことがセキュリティ上有効である。したがって、機密度が高いほどRAM14へのデータの振り分け量を多くする。
【0056】
ジョブデータの機密度は、ジョブの属性の一つとしてユーザに指定させても良いし、ジョブの内容から判定しても良い。後者の例としては、例えば親展プリントなど秘密を前提としたジョブの場合は、ジョブデータの機密度を高くするなどである。予めジョブの種類ごとの機密度を画像形成装置に登録しておけばよい。
【0057】
また、HDD16の他にジョブデータを振り分ける記憶装置が複数ある場合、それら複数の記憶装置への振り分け量をそれら記憶装置への書き込み・読み出し速度に応じて決めることも好適である。各記憶装置への書き込み・読み出し速度は、ジョブデータ全体の格納・読み出しの速度に影響するので、書き込み・読み出しが遅い記憶装置へのデータの振り分け量は相対的に小さくすることが好適である。例えば、RAM14の他に、EEPROMにデータを振り分ける場合、EEPROMの書き込み・読み出し速度は、RAM14は当然のこと、HDD16と比べても遅いので、EEPROMへの振り分け量をRAMへの振り分け量よりも小さいものとする。
【0058】
また、ジョブデータの内容に応じた振り分け制御も考えられる。例えば、ジョブデータがヘッダ部とデータ部(ボディ部)から構成される形式であり、ヘッダ部にデータの特徴が多く含まれている場合には、ヘッダ部のデータはRAM14に多く振り分け、ボディ部のデータはHDD16に多く振り分ける、等といった制御などが考えられる。
【0059】
また、以上では、ジョブデータを暗号処理部112で暗号化してから分散格納したが、このような暗号化を行わない場合でも、本発明の分散格納方式はある程度の有効性を持つ。暗号化しなくても、RAM14内のデータ消去により、ジョブデータの一部は消滅するので、万が一HDD16が取り外されるようなことがあっても、完全なジョブデータが漏れることはない。
【0060】
なお、画像形成装置でジョブデータの暗号化を行わない場合、ジョブデータ自体が暗号化されている場合(例えばホストからの印刷データ自体が暗号化されている場合)と、そうでない場合とで、RAM14とHDD16の間のデータ振り分け割合を変えることも好適である。すなわち、ジョブデータが暗号化されている場合は、RAM内のデータ消去でジョブデータのうちのできるだけ多くの情報が消えるよう、RAMへのデータ振り分け割合を高くするなどである。
【0061】
また、ジョブデータを暗号化せずに分散格納する場合のRAM、HDD間でのデータの振り分け方法として、ジョブデータがタグ付けされた構造化文書の場合、タグ情報(開始タグ、終了タグのうちの一方でも良いし両方でも良い)をRAMに優先的に振り分ける方法が考えられる。この方法では、RAM内のデータ消去により文書構造の情報を消滅させることができる。また、ジョブデータがビジネス文書の場合は文書内の数字情報をRAMに優先的に振り分け、名簿データの場合は人名漢字に該当する文字をRAMに優先的に振り分ける、などと、ジョブデータの種類に応じた特徴部分をRAMに振り分ける方式も好適である。文書の種類は、ジョブデータファイルの属性情報などから求めることができる。
【0062】
また、以上の例では、RAM14とHDD16に交互にジョブデータを振り分けたが、この代わりにそれら両者間での振り分け順序をランダムに変えることも可能である。この場合、分散管理情報410には、各分散格納先に記憶したデータの順序の情報を含める。
【0063】
また以上の例では、分散管理情報410をHDD16に格納したが、これは必須ではない。分散管理情報410のような、各記憶装置へのジョブデータの分散状況を記述した管理情報は、RAM14やその他画像形成装置内の記憶装置に記憶するようにしてもよい。
【0064】
また本実施形態の変形例として、RAM14を利用しない装置構成も考えられる。この例を図9に示す。図9において、図2に示した構成要素と同一又は類似の構成要素には、同一符号を付して説明を省略する。
【0065】
この例では、格納・消去制御部110aは、ジョブデータを暗号処理部112で暗号化した後、従来と同様HDD16のみに格納する。
【0066】
この変形の特徴は、ジョブデータの消去処理にある。すなわち、図10に示すように、ジョブデータの消去条件が満足された場合(S40〜S44)、格納・消去制御部110aは、乱数発生部114に発生させた乱数を用い、HDD16内のジョブデータのうちの消去箇所を決定する(S52)。ここでは、発生させた1乃至複数の乱数を用い、複数の消去箇所について、その位置や消去するデータサイズを決定する。そして、格納・消去制御部110aは、それら決定した消去箇所に対して、ランダムなデータを所定数回繰り返し上書きする(S54)。この上書き消去が完了すると、格納・消去制御部110aは、当該ジョブデータのファイルをファイルシステム上から削除し、ジョブ制御部100に対してデータ消去完了の旨を通知する(S50)。これにより次のジョブが実行可能な状態となり、待機中のジョブや割込などによる中断中のジョブがあれば、それを実行することができる。また、この消去の後、HDD16内に残ったジョブデータの部分に対し、画像形成装置のアイドル時間などに、ランダムデータの繰り返し上書きによる消去処理を施せば、更にセキュリティを向上させることができる。
【0067】
本実施形態によれば、HDD16に格納したジョブデータのうちの複数の消去箇所を消去した時点で、HDD16内に残ったジョブデータは完全なものではなくなり、仮にその残りデータが取り出されても秘密漏洩のリスクは少なくなる。
【0068】
この例では、暗号化したジョブデータの複数の部分を消去するので、残ったデータを復号するのは非常に困難となる。
【0069】
また、それら消去箇所のサイズのジョブデータ全体に対する比率を小さくしておけば、この消去処理に要する時間は短くて済むため、待機中のジョブをさほど待たせることなく消去処理を実行できる。
【0070】
以上、本発明をデジタル複合機等の画像形成装置に適用した場合の実施形態を説明した。しかしながら、上述の説明から明らかなように、本実施形態における格納データの秘密保護方式は、処理の種類や格納対象のデータの種類に依存しないので、画像形成装置以外の様々なジョブ処理装置に適用可能である。
【0071】
なお、参考例では、ジョブ処理装置は、所定のルールに従って前記第1の記憶装置と前記第2の記憶装置とにジョブデータを振り分けて格納するとともに、前記ルールを変更するルール管理部を更に備えていてもよい。
【0072】
ルールの変更は、例えば当該ジョブ処理装置の状態に応じて行うことができる。ここで、ジョブ処理装置の「状態」には、例えば第2の記憶装置の空き容量や書き込み・読み出し速度、ジョブ処理装置の処理負荷、待機中のジョブの有無などがある。
【0073】
また別の参考例では、ジョブ処理装置は、前記ルールを、前記ジョブの属性に応じて変更するルール管理部を更に備えていてもよい。ここで、ジョブの「属性」には、ジョブに付与された機密度や、ジョブの対象となる文書の種別などがある。
【符号の説明】
【0074】
10 CPU、12 ROM、14 RAM、16 HDD(ハードディスク・ドライブ)、18 操作パネル、20 通信インタフェース、22 スキャンエンジン、24 プリントエンジン、40 格納ファイル、42 格納ファイルの一部分。
【特許請求の範囲】
【請求項1】
第1の記憶装置と、
前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、
前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
を備え、
前記格納制御部は、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置。
【請求項2】
第1の記憶装置と、
前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、
前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
を備え、
前記格納制御部は、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置。
【請求項3】
請求項1又は2に記載のジョブ処理装置であって、
前記消去部による前記第2の記憶装置に振り分けて格納されたジョブデータの消去後に、前記第1の記憶装置に振り分けて格納されたジョブデータを消去する残消去部を備えることを特徴とするジョブ処理装置。
【請求項4】
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納するステップと、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去するステップと、
を含み、
前記格納するステップでは、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とするジョブ処理装置の制御方法。
【請求項5】
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納するステップと、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去するステップと、
を含み、
前記格納するステップでは、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とするジョブ処理装置の制御方法。
【請求項6】
コンピュータに、
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納する手順と、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去する手順と、
を実行させるための制御プログラムであって、
前記格納する手順では、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とする制御プログラム。
【請求項7】
コンピュータに、
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納する手順と、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去する手順と、
を実行させるための制御プログラムであって、
前記格納する手順では、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とする制御プログラム。
【請求項1】
第1の記憶装置と、
前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、
前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
を備え、
前記格納制御部は、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置。
【請求項2】
第1の記憶装置と、
前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、
前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
を備え、
前記格納制御部は、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御することを特徴とするジョブ処理装置。
【請求項3】
請求項1又は2に記載のジョブ処理装置であって、
前記消去部による前記第2の記憶装置に振り分けて格納されたジョブデータの消去後に、前記第1の記憶装置に振り分けて格納されたジョブデータを消去する残消去部を備えることを特徴とするジョブ処理装置。
【請求項4】
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納するステップと、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去するステップと、
を含み、
前記格納するステップでは、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とするジョブ処理装置の制御方法。
【請求項5】
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納するステップと、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去するステップと、
を含み、
前記格納するステップでは、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とするジョブ処理装置の制御方法。
【請求項6】
コンピュータに、
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納する手順と、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去する手順と、
を実行させるための制御プログラムであって、
前記格納する手順では、前記第2の記憶装置の空き容量、前記第2の記憶装置の読み出し速度、前記第2の記憶装置の書き込み速度、前記ジョブ処理部にて待機中のジョブの有無、又は前記ジョブ処理部の処理負荷、のいずれかに応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とする制御プログラム。
【請求項7】
コンピュータに、
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納する手順と、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去する手順と、
を実行させるための制御プログラムであって、
前記格納する手順では、前記ジョブの機密度又は前記ジョブの対象となる文書の種別に応じて、前記第1の記憶装置と前記第2の記憶装置とにそれぞれ振り分けるデータの量を制御する
ことを特徴とする制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−9627(P2010−9627A)
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願番号】特願2009−235680(P2009−235680)
【出願日】平成21年10月9日(2009.10.9)
【分割の表示】特願2003−81445(P2003−81445)の分割
【原出願日】平成15年3月24日(2003.3.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願日】平成21年10月9日(2009.10.9)
【分割の表示】特願2003−81445(P2003−81445)の分割
【原出願日】平成15年3月24日(2003.3.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]