【課題】情報漏洩を抑制しつつ、ユーザの使い勝手を向上する。
【解決手段】挿抜スイッチ２０１がユーザによるＳＤカード２０５のカードスロット１３４からの取り外し操作を受け付けたタイミングで、アクセス不能化処理部３４が、ＳＤカードへの外部からのアクセスを不能化する不能化処理を実行する。これにより、ＳＤカードを取り外すときには、ＳＤカードへのアクセスが不能化された状態になるので、ＳＤカード内の情報の漏洩を抑制することができる。また、ＳＤカードは、必要に応じて、交換することができるので、従来のＵＳＢメモリと比較して、ユーザの使い勝手を向上することができる。

【発明の詳細な説明】
【技術分野】
【０００１】
本件は、可搬型記憶媒体用アダプタ及びデータアクセス不能化方法に関する。
【背景技術】
【０００２】
ＵＳＢ（Universal Serial Bus）メモリなどの可搬型記憶媒体は、可搬性等に優れている一方、紛失・盗難による情報漏洩のリスクを有している。このためＵＳＢメモリのデータを格納する領域にロック機能を追加し、パスワードにより認証が通らないとロックが解除されなかったり、パスワードの入力エラーに応じて、データ・ファイルを消去したり、あるいは、ロック機能は無いが、データを格納する領域全体を暗号化しており、パスワードにより認証が通らないと復号できないなどの機能が実装されている。
【０００３】
また、データの不正な利用を抑制できるコンピュータ端末用記憶媒体としては、特許文献１のような技術も出現しつつある。
【先行技術文献】
【特許文献】
【０００４】
【特許文献１】特開２００６−３３８５８３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、ＵＳＢメモリなどの可搬型記憶媒体に内蔵されているフラッシュ・メモリ等の記憶部のデータ書き込み回数には限界があり、当該データ書き込み回数に達すると可搬型記憶媒体そのものの使用ができなくなる。また、ユーザが、可搬型記憶媒体の記憶容量を変更したい（例えば、記憶容量を増やしたい）と考えた場合、可搬型記憶媒体そのものを買い換える等しなければならない。
【０００６】
これらに対応するためには、記憶部自体を着脱・交換可能にすることも考えられるが、記憶部が着脱可能になると、記憶部の紛失・盗難による情報漏洩という新たな課題が生じることとなる。
【０００７】
そこで本件は上記の課題に鑑みてなされたものであり、情報漏洩を抑制しつつ、ユーザの使い勝手を向上することが可能な可搬型記憶媒体用アダプタを提供することを目的とする。また、本件は、情報漏洩を抑制することが可能なデータアクセス不能化方法を提供することを目的とする。
【課題を解決するための手段】
【０００８】
本明細書に記載の可搬型記憶媒体用アダプタは、ホスト装置のインタフェース部に接続された状態で、前記ホスト装置から受け付けたデータを可搬型記憶媒体に記憶する可搬型記憶媒体用アダプタであって、前記可搬型記憶媒体を着脱可能に保持する保持部と、ユーザからの、前記可搬型記憶媒体の取り外し操作を検出する検出部と、前記検出部において前記取り外し操作が検出されたタイミングで、前記可搬型記憶媒体が記憶するデータへの外部からのアクセスを不能化する不能化処理を実行する不能化実行部と、を備える可搬型記憶媒体用アダプタである。
【０００９】
本明細書に記載のデータアクセス不能化方法は、可搬型記憶媒体を着脱可能に保持する保持部に対する、ユーザからの取り外し操作を検出する検出工程と、前記検出工程において前記取り外し操作が検出されたタイミングで、前記可搬型記憶媒体が記憶するデータへのアクセスを不能化する不能化処理を実行する不能化実行工程と、を含むデータアクセス不能化方法である。
【発明の効果】
【００１０】
本明細書に記載の可搬型記憶媒体用アダプタは、情報漏洩を抑制しつつ、ユーザの使い勝手を向上することができるという効果を奏する。また、本明細書に記載のデータアクセス不能化方法は、情報漏洩を抑制することができるという効果を奏する。
【図面の簡単な説明】
【００１１】
【図１】第１の実施形態に係る情報処理装置と、ＵＳＢアダプタとを示す斜視図である。
【図２】ＵＳＢアダプタの概略的な構成を示すブロック図である。
【図３】第１の実施形態の別例によるＵＳＢアダプタの概略的な機器構成または配置を示す図である。
【図４】図２および図３のマイクロコンピュータの内部の主要な機能部の機能構成または配置を示している。
【図５】挿抜スイッチが押されたときのＵＳＢアダプタの処理を示すフローチャートである。
【図６】図５のステップＳ１２の具体的な処理を示すフローチャートである。
【図７】図６のステップＳ２８の具体的な処理を示すフローチャートである。
【図８】図８（ａ）は、アクセス不能化ポリシーのフォーマットを示す図であり、図８（ｂ）は、アクセス不能化を生じさせる要因の値の一例を示す図であり、図８（ｃ）は、アクセス不能化方法の値の一例を示す図である。
【図９】アクセス不能化ポリシーの具体例を示す図である。
【図１０】第２の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示している。
【図１１】第２の実施形態に係る暗号モジュール及び挿抜検知モジュールによる処理を示すフローチャートである。
【図１２】ファイルシステムとして代表的なＦＡＴ１６の構造を示す図である。
【図１３】情報処理装置のＯＳがファイルシステムに記載されているデータを読み出したり、書き出したりする際に、ファイルシステムに対して出すコマンドを示す図である。
【図１４】第３の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示している。
【図１５】変形例を示す図である。
【発明を実施するための形態】
【００１２】
≪第１の実施形態≫
以下、可搬型記憶媒体用アダプタ及びデータアクセス不能化方法の第１の実施形態について、図１〜図９に基づいて説明する。なお、各図においては、同様のコンポーネントに、同一の符合を付している。
【００１３】
図１には、例えばパーソナル・コンピュータなどのホスト装置としての情報処理装置４０と、可搬型記憶媒体用アダプタとしてのＵＳＢアダプタ１００と、が示されている。ＵＳＢアダプタ１００は、情報処理装置４０のＵＳＢポート４９に接続される。図１では、情報処理装置４０は、ローカルエリア・ネットワーク（ＬＡＮ）等を介してサーバ３２０に接続されている。ただし、これに限らず、情報処理装置４０はサーバ３２０に接続されていなくても良い。
【００１４】
情報処理装置４０は、プロセッサ４２、記憶装置４４（例えばハードディスク）、キーボードなどの入力装置４６、液晶ディスプレイなどの表示装置４８、及びＵＳＢポート（接続端子）４９、を含んでいる。
【００１５】
図２は、ＵＳＢアダプタ１００の概略的な構成を示している。この図２に示すように、ＵＳＢアダプタ１００は、ＵＳＢインタフェース（Ｉ／Ｆ）１１０、ＵＳＢハブ１１２、ＲＯＭ１１８、マイクロコンピュータ（μＣ）１２０、ハブ・スイッチ１３０、可搬型記憶媒体としてのＳＤカード２０５を挿抜可能で、ＳＤカードを保持する保持部、当該保持を解除する解除部として機能するカードスロット１３４、および例えばＬＥＤ等の表示器（インジケータ）１４４を含んでいる。ＵＳＢアダプタ１００は、さらに、主要電源回路１５０、バッテリおよび充電回路１６０、補助電源回路１６２、時間表示または時間監視用のリアルタイム・クロック（ＲＴＣ）１６４、およびスイッチ１６６を含んでいる。
【００１６】
カードスロット１３４に保持される（挿入される）ＳＤカード２０５には、情報処理装置４０から受け取ったユーザのデータ・ファイルが格納される。また、カードスロット１３４は、検出部としての挿抜スイッチ２０１がユーザによって押されることで、挿入されたＳＤカード２０５を排出する（保持状態を解除する）。なお、挿抜スイッチ２０１は、図１に示すように、ＵＳＢアダプタ１００の本体１００ｂの一部に設けられているものとする。
【００１７】
ＵＳＢインタフェース１１０は、電源ラインまたはピンＰＬ（破線矢印）と、データ・ラインまたはピンＤＬ（双頭の実線矢印）とを含んでいる。ＵＳＢハブ１１２は、ＵＳＢインタフェース１１０に結合されていて、分岐電源ラインＰＬ（破線矢印）と、分岐データ・ラインＤＬ（双頭の実線矢印）とを含んでいる。
【００１８】
表示器１４４は、マイクロコンピュータ１２０（ＣＰＵ１２２）によって制御されて、ＵＳＢアダプタ１００の動作状態、およびマイクロコンピュータ１２０による最初または次のアクセス不能化または保護護処理までの残り時間などを表示する。
【００１９】
マイクロコンピュータ１２０は、ＣＰＵ１２２、ＲＡＭ１２６、内部のフラッシュ・メモリ１２４、および電源制御回路１２８を含んでいる。内部のフラッシュ・メモリ１２４は、ＣＰＵ１２２によって用いられるファームウェア・プログラム（ＦＷ）、およびデータ（認証用の識別情報、データ・ファイル等の暗号鍵、アクセス不能化（無効化）ポリシー、ログ、状態情報）を格納することができる。
【００２０】
情報処理装置４０（プロセッサ４２）によって用いられるユーザ用のＵＳＢメモリ・ユティリティ・プログラム（ＰＲＧ＿Ｕ）が、ＲＯＭ１１８に格納されている。マイクロコンピュータ１２０のＣＰＵ１２２によって用いられるＵＳＢメモリ・ユティリティ（管理、認証、ポリシー評価、等用）プログラム（ＰＲＧ＿Ｆ）が、フラッシュ・メモリ１２４に格納されている。
【００２１】
ＵＳＢアダプタ１００は、ＵＳＢインタフェース１１０（ＤＬ）を介して情報処理装置４０のＵＳＢポート４９に結合される。ＲＯＭ１１８およびマイクロコンピュータ１２０は、ＵＳＢハブ１１２（ＤＬ）を介してＵＳＢインタフェース１１０に結合されている。マイクロコンピュータ１２０は、ハブ・スイッチ１３０（ＤＬ）を介してカードスロット１３４及びカードスロット１３４に挿入されるＳＤカード２０５に結合され、バッテリおよび充電回路１６０、リアルタイム・クロック１６４、および表示器１４４に結合されている。カードスロット１３４及びＳＤカード２０５は、ハブ・スイッチ１３０およびＵＳＢハブ１１２（ＤＬ）を介してＵＳＢインタフェース１１０またはマイクロコンピュータ１２０に結合される。
【００２２】
バッテリおよび充電回路１６０は、ＵＳＢハブ１１２およびＵＳＢインタフェース１１０（ＰＬ）を介して、情報処理装置４０のＵＳＢポート４９から給電を受けて再充電可能なバッテリに充電し、補助電源回路１６２に給電し、スイッチ１６６を介して主要電源回路１５０に給電する。バッテリおよび充電回路１６０は補助電源回路１６２に結合されている。主要電源回路１５０は、ＵＳＢハブ１１２およびＵＳＢインタフェース１１０（ＰＬ）を介して情報処理装置４０のＵＳＢポート４９からも給電を受ける。また、主要電源回路１５０は、ＵＳＢアダプタ１００が情報処理装置４０に結合されていない場合には、スイッチ１６６によってオン／オフ制御され、バッテリおよび充電回路１６０から給電を受ける。
【００２３】
スイッチ１６６は、マイクロコンピュータ１２０、リアルタイム・クロック１６４によって制御される。
【００２４】
主要電源回路１５０は、ＵＳＢインタフェース１１０が情報処理装置４０のＵＳＢポートに結合されたとき又はスイッチ１６６によってターンオンされてバッテリおよび充電回路１６０から給電されたとき、ＲＯＭ１１８、マイクロコンピュータ１２０、カードスロット１３４、および表示器１４４に電力を供給する。補助電源回路１６２は、リアルタイム・クロック１６４、およびスイッチ１６６に電力を供給する。なお、表示器１４４は、主要電源回路１５０によってではなく、補助電源回路１６２によって電力を供給されてもよい。
【００２５】
情報処理装置４０のプロセッサ４２は、記憶装置４４またはＵＳＢアダプタ１００（ＲＯＭ１１８）に格納されているプログラム（ＰＲＧ＿Ｍ、ＰＲＧ＿Ｕ）に従って動作することができる。記憶装置４４には、管理者用のユティリティ・プログラム（ＰＲＧ＿Ｍ）、および／またはユーザ用のユティリティ・プログラム（ＰＲＧ＿Ｕ）が格納される。
【００２６】
ユーザ用のユティリティ・プログラム（ＰＲＧ＿Ｕ）は、ＵＳＢアダプタ１００が情報処理装置４０に結合されたときに、ＵＳＢアダプタ１００のＲＯＭ１１８から読み込まれて記憶装置４４に格納される。ユーザ用のユティリティ・プログラムは、例えば、ユーザ認証、情報処理装置認証、ＵＳＢアダプタ１００（ＳＤカード２０５）のファイル・システム構築用の管理プログラムを含んでいる。
【００２７】
管理者用のユティリティ・プログラム（ＰＲＧ＿Ｍ）は、例えば、管理者認証、情報処理装置認証、アクセスを許容する情報処理装置の設定（追加、変更、削除）、アクセス不能化ポリシーの設定（追加、変更、削除）、ＵＳＢアダプタ１００（ＳＤカード２０５）のファイル・システム構築用の管理プログラムを含んでいる。そのアクセス不能化ポリシーは、ルールまたは条件および不能化処理法の識別情報および／またはパラメータを含んでいてもよい。入力装置４６には、例えばキーボード、ポインティング・デバイス等が含まれる。
【００２８】
図３は、本第１の実施形態の別例によるＵＳＢアダプタ１００の別の概略的な機器構成または配置を示している。図３の例では、図２のハブ・スイッチ１３０に代えて、マイクロコンピュータ１２０内に設けられたハブ・スイッチ１３２の機能が用いられる。図３に示すＵＳＢアダプタ１００のその他の機器構成または配置やその動作は図２のものと同様である。
【００２９】
図４は、図２および図３のマイクロコンピュータ１２０の内部の主要な機能部の機能構成または配置を示している。
【００３０】
図４に示すように、マイクロコンピュータ１２０は、機能部分または回路部分として、ポリシー評価部または判定部２０、認証処理部２２、コマンド処理部２４、アクセス不能化ポリシー保存部（設定情報記憶部）２６、時間管理部２８、状態出力部３０を含んでいる。また、マイクロコンピュータ１２０は、他の機能部分または回路部分として、アクセス不能化を選択または制御する選択部または制御部３２、不能化実行部としてのアクセス不能化処理部（実行部）またはデータ保護処理部３４、および状態情報およびログ（記録）保存部（状態情報保持部）３６を含んでいる。これらの機能は、フラッシュ・メモリ１２４内のファームウェアＦＷまたはプログラムＰＲＧ＿Ｆによって実現（実装）される。認証処理部２２は認証情報保存部を有する。認証処理部２２の認証情報保存部、アクセス不能化ポリシー保存部２６、および状態情報およびログ保存部３６は、マイクロコンピュータ１２０内のフラッシュ・メモリ１２４の領域である。なお、フラッシュ・メモリ１２４内のファームウェアＦＷ、プログラムＰＲＧ＿Ｆおよびデータは、バッテリおよび充電回路１６０のバッテリの電力残量がなくなっても消失しないようになっている。
【００３１】
アクセス不能化処理部３４の保護処理１の暗号鍵消去は、フラッシュ・メモリ１２４内に保存された複数の暗号鍵を消去する処理である。それら複数の暗号鍵は、暗号化されたデータ・ファイルがＳＤカード２０５に格納されるときに生成されてフラッシュ・メモリ１２４に保存される。
【００３２】
ポリシー評価部２０は、アクセス不能化ポリシー保存部（ルールまたは条件および不能化処理法の記憶部）２６に保存されているそれぞれのアクセス不能化ポリシー（そのルールまたは条件および不能化処理法）に従って、現在の日時、ログおよび状態情報に基づいて、ＵＳＢアダプタ１００に挿入されているＳＤカード２０５を保護すべきかどうか、すなわち、ＳＤカード２０５内のデータ・ファイルへのアクセスをそれぞれの保護レベルで不能化すべきかどうかを判定する。ＳＤカード２０５を保護すべきと判定された場合には、ポリシー評価部２０は選択部３２を制御してアクセス不能化方法または保護方法を選択して、暗号鍵消去、データ消去、機能制限等の、ＳＤカード２０５内データへのアクセス不能化を行う。
【００３３】
認証処理部２２は、認証用の識別情報を設定し、管理者によって設定された認証用の識別情報に基づいて、アクセスを許容された情報処理装置の認証、管理者の認証、ユーザの認証等を行う。これにより、ＵＳＢアダプタ１００の正規の情報処理装置との接続、およびＵＳＢアダプタ１００の正規のユーザまたは管理者による使用が検出（検知）される。認証処理部２２は、ログまたは状態情報として、現在の日時、認証等のイベント発生日時、情報処理装置を介してサーバ３２０に接続された日時、ＵＳＢアダプタ１００が開かれ及び／又は閉じられた（キャップの開閉またはストラップ着脱）日時、連続的なユーザ認証失敗回数、連続的な管理者（特権ユーザ）認証失敗回数、情報処理装置４０の連続的な認証失敗回数、バッテリ電力残量、状態情報等を、状態情報およびログ保存部３６に記録する。
【００３４】
コマンド処理部２４は、情報処理装置４０から受け取ったコマンドを実行する。コマンド処理部２４は、コマンドに従って、管理者によって設定されたアクセス不能化ポリシー（そのルールまたは条件および不能化処理法を表す識別情報および／またはパラメータ）をアクセス不能化ポリシー保存部２６に格納する。コマンド処理部２４は、コマンドに従って、ハブ・スイッチ１３０または１３２を制御する。コマンド処理部２４は、コマンドに従って、状態出力部または状態転送部３０に、状態情報またはログをＵＳＢインタフェース１１０およびＵＳＢハブ１１２を介して情報処理装置４０へと転送し出力させる。
【００３５】
時間管理部２８は、ポリシー評価部２０の要求または評価結果に従って、リアルタイム・クロック１６４を管理し設定し制御する。
【００３６】
挿抜スイッチ２０１は、ユーザによって押されたときに、その旨をポリシー評価部２０に通知する。また、ポリシー評価部２０の指示の下、アクセス不能化処理部３４によりアクセス不能化処理が行われた後は、ポリシー評価部２０からの指示を受けて、ユーザがＳＤカード２０５を取り出せるように、カードスロット１３４からＳＤカード２０５を排出する（保持状態を解除する）。
【００３７】
次に、図５〜図７に基づいて、その他図面を適宜参照しつつ、挿抜スイッチ２０１が押されたときの、ＵＳＢアダプタ１００における処理について、説明する。図５は、挿抜スイッチ２０１が押されたときのＵＳＢアダプタ１００の処理を示すフローチャートである。
【００３８】
図５のステップＳ１０において、ユーザにより挿抜スイッチ２０１が押され、その旨が、ポリシー評価部２０に通知されると、ステップＳ１２において状態評価のサブルーチンを実行する。
【００３９】
ステップＳ１２においては、ポリシー評価部２０が、状態評価サブルーチンを実行する。具体的には、ポリシー評価部２０は、アクセス不能化ポリシー保存部２６に登録されているアクセス不能化ポリシーを確認し、ＳＤカード２０５が取り外されるときに実行するアクセス不能化処理がないかどうかを確認するサブルーチンを実行する。このステップＳ１２のサブルーチンでは、図６の処理が実行される。
【００４０】
図６のステップＳ２０では、ポリシー評価部２０が、アクセス不能化ポリシー保存部２６からアクセス不能化ポリシーを１つ読み出す。ここで、アクセス不能化ポリシーは、図８（ａ）に示すようなフォーマットとなっている。ただし、このフォーマットも一例である。また、アクセス不能化を生じさせる要因の値としては、一例として図８（ｂ）に示すように定義され、アクセス不能化方法の値は、一例として図８（ｃ）に示すように定義される。
【００４１】
ここで、図８（ａ）のフォーマットは、例えば、データへのアクセス不能化を生じさせる要因（２バイト）、アクセス不能化方法（１バイト）、及び閾値（４バイト）を含んでいる。閾値は、アクセス不能化を生じさせる要因に関する閾値を意味する。また、図８（ｂ）では、アクセス不能化を生じさせる要因として、例えば、正当な最後のアクセスからの経過時間、バッテリの電池残量、情報処理装置の認証の失敗回数、ユーザ認証の失敗回数、管理者（特権ユーザ）認証の失敗回数、ＵＳＢメモリ１００の情報処理装置４０への接続開始から情報処理装置４０の認証完了（成功）までの時間、ユーザによるアクセス不能化コマンド、ＳＤカード２０５を取り外す場合等の項目を含んでいる。
【００４２】
なお、図８（ａ）〜図８（ｃ）から、アクセス不能化ポリシーは、一例として図９のようになる。したがって、ステップＳ２０では、ポリシー評価部２０は、図９のアクセス不能化ポリシーを上から順に読み出すことになる。
【００４３】
次いで、ステップＳ２２では、ポリシー評価部２０が、アクセス不能化ポリシーを１行読み出せたか否かを判断する。ここでの判断が肯定されると、次のステップＳ２４において、読み出したアクセス不能化ポリシーの要因と閾値が、挿抜スイッチ２０１が押された時点における状況に一致するか（当てはまるか）否かを確認する。そして、ステップＳ２４の結果、一致していなかった場合には、ステップＳ２６における判断が否定され、ステップＳ２０に戻るが、一致しており、判断が肯定された場合には、ステップＳ２８に移行する。
【００４４】
なお、本実施形態では、図５のステップＳ１０において、挿抜スイッチ２０１が押下されているので、アクセス不能化ポリシーの不能化要因が「ＳＤカード２０５の取り外し」のときには、必ず、ステップＳ２６の判断が肯定されることになる。また、不能化要因が「ＳＤカード２０５の取り外し」のルールの判断をする前に、別のルールの不能化要因で、ステップＳ２６の判断が肯定される場合もある。
【００４５】
ステップＳ２８に移行した場合には、ポリシー評価部２０は、アクセス不能化処理の読み出しサブルーチンを実行する。具体的には、ポリシー評価部２０は、図７の処理を実行する。
【００４６】
図７では、ポリシー評価部２０は、ステップＳ３０において、読み出したアクセス不能化ポリシーのアクセス不能化方法が、暗号鍵消去か否かを判断する。ここでの判断が肯定された場合には、ステップＳ３２において、暗号鍵消去フラグを立てる。なお、ポリシー評価部２０は、フラグとして、２バイトの変数を有している。このため、ステップＳ３２では、当該２バイトの変数のうち、暗号鍵消去に対応するビットを立てることとする。
【００４７】
次いで、ステップＳ３４では、ポリシー評価部２０は、アクセス不能化方法が、上書き消去か否かを判断し、肯定された場合には、上書き消去フラグを立てる（ステップＳ３６）。また、ステップＳ３８では、ポリシー評価部２０は、アクセス不能化方法が、部分消去か否かを判断し、肯定された場合には、部分消去フラグを立てる（ステップＳ４０）。また、ステップＳ４２では、ポリシー評価部２０は、アクセス不能化方法が、ロックか否かを判断し、肯定された場合には、ロックフラグを立てる（ステップＳ４４）。更に、ステップＳ４６では、ポリシー評価部２０は、アクセス不能化方法が、機能制限か否かを判断し、肯定された場合には、機能制限フラグを立てる（ステップＳ４８）。
【００４８】
その後、ステップＳ５０に移行すると、ポリシー評価部２０は、予備の番号を示す変数ｎを１に設定する。そして、ステップＳ５２では、ポリシー評価部２０は、アクセス不能化方法が予備ｎ（予備１）か否かを判断し、肯定された場合には、予備１フラグを立てる（ステップＳ５４）。ステップＳ５６では、ポリシー評価部２０は、ｎがｎの最大値Ｎであるか否かを判断し、ここでの判断が否定された場合には、ステップＳ５８において、ｎを１インクリメントした後、ステップＳ５２に戻る。その後は、ｎがＮになるまで、ステップＳ５２〜Ｓ５８を繰り返し、ステップＳ５６の判断が肯定された段階で、図６のステップＳ２８を終了し、ステップＳ２０に戻る。その後は、ステップＳ２２における判断が否定されるまで、すなわち、全てのアクセス不能化ポリシーを読み出し終えるまで、図６の処理・判断を繰り返す。そして、ステップＳ２２の判断が否定された段階で、図５のステップＳ１４に移行する。
【００４９】
図５のステップＳ１４では、ポリシー評価部２０が、保護をするか否か、すなわち、図７の処理で２バイトの変数のいずれかのビットにおいて、フラグが立てられたか否かを判断する。ここでの判断が否定された場合には、図５の全処理を終了するが、ここでの判断が肯定された場合には、ステップＳ１６に移行する。
【００５０】
ステップＳ１６では、ポリシー評価部２０は、アクセス不能化処理部３４を介して、２バイトの変数においてフラグが立てられているビットのうち、例えば、ビットの大きいものから順に選択し、当該ビットに対応する不能化処理を順次実行する。この不能化処理により、ＳＤカード２０５内のファイル（データ）へのアクセスが困難又は不可能になる。なお、順序によっては、実行しても意味のない不能化処理がある可能性もあるが、その場合には、当該不能化処理はスキップすることとする。
【００５１】
ステップＳ１６において、不能化処理が実行された後は、ステップＳ１８に移行し、ポリシー評価部２０が、取り外し許可を挿抜スイッチ２０１に通知する。そして、挿抜スイッチ２０１により、カードスロット１３４におけるＳＤカード２０５の取り出し動作（排出動作）が実行される。以上により、図５〜図７の全処理が終了する。このようにして処理が終了すると、これ以降は、ＳＤカード２０５に記憶されているデータは読み出し困難又は不能となる。
【００５２】
以上説明したように、本第１の実施形態によると、挿抜スイッチ２０１が、ユーザによるＳＤカード２０５の取り外し操作を受け付けたタイミングで、アクセス不能化処理部３４が、ＳＤカード２０５の記憶しているデータへの外部からのアクセスを不能化する不能化処理を実行する。これにより、ＳＤカード２０５を取り外すときには、ＳＤカード２０５の記憶しているデータへのアクセスが不能化された状態になるので、ＳＤカード２０５内の情報の漏洩を抑制することができる。また、ＳＤカード２０５は、必要に応じて、交換することができるので、従来のＵＳＢメモリと比較して、ユーザの使い勝手を向上することが可能である。すなわち、ＵＳＢメモリ（フラッシュ・メモリ等を内蔵するもの）のセキュリティ機能を維持（又は向上）しつつ、ユーザが既に所有しているＳＤカードの利用を可能にしたり、書き込み回数制限によりＳＤカードに寿命が到来してもＳＤカードのみ交換することで製品寿命を長くしたりすることが可能となる。
【００５３】
また、本第１の実施形態では、アクセス不能化処理部３４が、アクセス不能化処理を実行し終えるまで、カードスロット１３４からＳＤカード２０５が排出されないので、情報の漏洩をより確実に抑制することができる。
【００５４】
なお、上第１の記実施形態では、アクセス不能化処理部３４がＳＤカード２０５のデータを消去するなどのアクセス不能化処理を実行する場合について説明したが、これに限られるものではない。例えば、ＳＤカード２０５自体が、高速なデータの消去機能を備える場合は、アクセス不能化処理部３４は、ＳＤカード２０５自身にデータを消去させるコマンドを発行するのみでも良い。
【００５５】
≪第２の実施形態≫
次に、第２の実施形態について、図１０〜図１３に基づいて、詳細に説明する。なお、以下においては、上述した第１の実施形態と同一の構成には、同一の符合を付すとともに、その説明を省略するものとする。本第２の実施形態では、図１０に示すように、第１の実施形態（図４参照）の挿抜スイッチ２０１に代えて、暗号鍵生成部及び不能化実行部としての暗号モジュール２１１と、挿抜検知モジュール２１３と、が設けられている。なお、カードスロット１３４は、手動での挿抜が可能であるものとする。ただし、これに限らず、カードスロット１３４は、第１の実施形態と同様、自動での挿抜（挿抜ボタンによる挿抜）ができるものであっても良い。
【００５６】
暗号モジュール２１１は、カードスロット１３４に接続されたＳＤカード２０５に書き込むデータを内部に保存している暗号鍵で暗号化する。またデータを読み出す際には、内部に保存している暗号鍵で復号化する。暗号モジュール２１１は、暗号の生成及び暗号の消去も行う。
【００５７】
挿抜検知モジュール２１３は、カードスロット１３４にＳＤカード２０５が挿入された（取り付けられた）状態、及び抜かれた（取り外された）状態を検知する。なお、挿抜検知モジュール２１３は、例えば、光学式のセンサや、接触センサ等を用いて、ＳＤカード２０５の挿抜を検知するものとする。挿抜検知モジュール２１３は、ＳＤカード２０５が挿入された際には、暗号モジュール２１１に対して暗号鍵の生成依頼を行う。また、ＳＤカード２０５が抜かれた際には、挿抜検知モジュール２１３は、暗号モジュール２１１に対して内部で保存している暗号鍵の消去依頼を行う。
【００５８】
図１１は、暗号モジュール２１１及び挿抜検知モジュール２１３による処理を示すフローチャートである。この図１１に示すように、ステップＳ６０において、挿抜検知モジュール２１３が、カードスロット１３４にＳＤカード２０５が挿入されたことを検知すると（ステップＳ６０：肯定）、ステップＳ６２において、挿抜検知モジュール２１３は、暗号モジュール２１１に対して、暗号鍵の生成コマンドを発行する。暗号モジュール２１１は、この暗号鍵生成コマンドに基づいて、暗号鍵を生成し、保存する。
【００５９】
次いで、ステップＳ６４では、ＳＤカード２０５のフォーマット処理を実行する。ここで、ユーザは、ＳＤカード２０５に保存されたデータを暗号モジュール２１１で復号されたデータを情報処理装置４０上（ＯＳ上）から確認することになる。しかしながら、元々ＳＤカード２０５に記憶されているデータは、暗号モジュール２１１に保存されている暗号鍵を用いて暗号化されたデータではないので、暗号モジュール２１１で復号されても意味不明なデータ列となる。したがって、ＳＤカード２０５内のデータを正しく読めるようにするためには、ステップＳ６４において、ＳＤカード２０５のフォーマット処理を行うことが必要となる。
【００６０】
次いで、ステップＳ６６では、情報処理装置４０からの要求に応じて、ＳＤカード２０５に対する、暗号鍵を用いたデータの記録を開始する。ここで本実施形態における暗号化方式について図１２、図１３に基づいて説明する。図１２は、ファイルシステムとして代表的なＦＡＴ１６の構造を示したものである。この構造において、ファイルシステムへのデータの書き込みはセクタ単位で行われる。情報処理装置４０では、ＯＳがファイルシステムに対して、図１３に示すようなコマンドを使用してファイルシステムに記載されているデータを読み出したり、書き出したりする。本実施形態では、暗号モジュール２１１は、図１３において、コマンドが「書き込み」の場合には、図１３に示す読み出し/書き込みデータ領域に対して、暗号化したデータを書き込む。また、暗号モジュール２１１は、コマンドが「読み出し」の場合には、読み出し/書き込みデータ領域のデータを復号化して読み出す。
【００６１】
図１１に戻り、ステップＳ６６が行われた後は、ＳＤカード２０５がカードスロット１３４から抜かれるまで暗号鍵を用いた記録を継続し、ステップＳ６８における判断が肯定された段階で、ステップＳ７０に移行する。
【００６２】
ステップＳ７０では、挿抜検知モジュール２１３が、暗号モジュール２１１に対して、暗号鍵の消去コマンドを発行する。そして、暗号モジュール２１１は、消去コマンドに基づいて、内部に保存している暗号鍵の消去処理（削除）を実行する。
【００６３】
なお、本第２の実施形態では、上述した暗号モジュール２１１による暗号鍵の生成、消去による情報漏洩の抑制以外に、前述した第１の実施形態と同様のアクセス不能化処理を適宜（アクセス不能化ポリシーの閾値を超えたときに）行うこととしても良い。これにより、ＳＤカード２０５の取り出し時以外の適切なタイミングでも、アクセス不能化処理を行うことができるようになる。
【００６４】
以上説明したように、本第２の実施形態によると、ＳＤカード２０５に書き込まれるデータは暗号鍵により暗号化されたデータであり、ＵＳＢアダプタ１００のカードスロット１３４からＳＤカード２０５が取り外された時点で、暗号鍵が消去されることから、ＳＤカード２０５を取り外した後は、ＳＤカード２０５内のデータを読み出すことはできなくなる。これにより、上記第１の実施形態と同様、情報の漏洩を抑制しつつ、ＵＳＢアダプタ１００からＳＤカード２０５を取り外し可能とすることによるユーザの使い勝手の向上を図ることが可能である。
【００６５】
なお、上記第２の実施形態では、ＳＤカード２０５が挿入されたときに暗号鍵を生成し、ＳＤカード２０５が取り外されたときに暗号鍵を消去する場合について説明したが、これに限られるものではない。例えば、ＳＤカード２０５が取り外されたときに、新たな暗号鍵を生成し、当該新たな暗号鍵で、内部に保存している暗号鍵を上書きすることとしても良い。このようにしても、上記第２の実施形態と同様の効果を得ることができる。
【００６６】
また、上記第２の実施形態では、挿抜検知モジュール２１３を設ける場合について説明したが、これに限らず、挿抜検知モジュール２１３を設けなくても良い。この場合、カードスロット１３４のＳＤカード２０５へのアクセスが正常に行われているか否かを、例えば暗号モジュール２１１で検知し、アクセスが正常に行われている状態から行われない状態に変わったとき（アクセスエラーが生じたとき）に、ＳＤカード２０５がカードスロット１３４から取り外されたとみなすこととしても良い。このようにしても、上記第２の実施形態と同様の効果を得ることができる。なお、アクセスが正常に行われているか否かの監視は、暗号モジュール２１１以外の別の構成（コンポーネント）により、行うこととしても良い。
【００６７】
なお、上記第２の実施形態では、ステップＳ６４において、ＳＤカード２０５のフォーマット処理を、自動的に実行する場合について説明したが、これに限られるものではない。例えば、フォーマット処理を行うべきことを、ユーザに通知するのみでも良い。
【００６８】
≪第３の実施形態≫
次に、第３の実施形態について、図１４に基づいて説明する。なお、以下においては、上述した第２の実施形態と同一の構成には、同一の符合を付すとともに、その説明を省略するものとする。本第３の実施形態では、図１４に示すように、第２の実施形態の構成に加えて、揮発性メモリ２１５が設けられている。
【００６９】
揮発性メモリ２１５は、バッテリ及び充電回路１６０から給電を受けている。また、揮発性メモリ２１５には、暗号モジュール２１１で生成された暗号鍵が、保存される。この揮発性メモリ２１５では、バッテリ及び充電回路１６０からの給電が行われない状態では、揮発性メモリ２１５の内容が無効になり、保存していた暗号鍵が消去されることになる。
【００７０】
このようにすることで、本第３の実施形態では、上記第２の実施形態と同様の効果を得られるとともに、バッテリ及び充電回路１６０のバッテリが不正に取り外すことで、アクセス不能化処理部３４によるアクセス不能化処理をできなくしようとした場合でも、暗号鍵が消去されることで、ＳＤカード２０５に保存されているデータの読み出しが行えなくなる。これにより、情報の漏洩が抑制されることになる。
【００７１】
なお、上記各実施形態では、図１５に示すように、本体１００ｂとキャップ１０２またはストラップ１０４との結合部または係合部付近に、磁気検出器、電流検出器、または近接スイッチ等を含む開閉センサ１４２を設けても良い。開閉センサ１４２は、ＵＳＢアダプタ１００からキャップ１０２またはストラップ１０４が外されたことを検出し、ＵＳＢアダプタ１００にキャップ１０２またはストラップ１０４が結合または係合されたことを検出する。開閉センサ１４２の検出によって、直接的にスイッチ１６６がターンオン／ターンオフされる。なお、キャップ１０２またはストラップ１０４には、磁気検出器によって検出される永久磁石、その電流検出器に結合可能な抵抗体、又はその近接スイッチによって検出することが可能な近接部材が設けられていてもよい。また、マイクロコンピュータ１２０（ＣＰＵ１２２）は、開閉センサ１４２の検出出力を監視制御してもよく、この場合には、マイクロコンピュータ１２０（ＣＰＵ１２２）を介してスイッチ１６６がターンオン／ターンオフされる。なお、この場合には、アクセス不能化を生じさせる要因として、開閉センサ１４２が検出したキャップ１０２またはストラップ１０４が閉じた後の経過時間を用いてもよい。開閉センサ１４２によって検出された物理的開閉からの経過時間を用いることで、ユーザが最後にＵＳＢメモリ１００のキャップ１０２またはストラップ１０４を開いたまたは閉じた時点からの経過時間を、アクセス不能化を生じさせる要因とすることができる。
【００７２】
なお、上記各実施形態では、可搬型記憶媒体としてＳＤカード採用した場合について説明したが、これに限られるものではない。可搬型記憶媒体としては、例えば、メモリースティック（登録商標）、メモリースティックＤｕｏ（登録商標）、メモリースティックマイクロ（登録商標）などのメモリースティック関連の商品、ＭｉｎｉＳＤカード（登録商標）、ＭｉｃｒｏＳＤカード（登録商標）、ｘＤカード（登録商標）などの各種メモリカードを採用することもできる。また、カードスロット１３４は、可搬型記憶媒体のうちの１つまたは複数種類に対応したカードスロットとすることができる。また、可搬型記憶媒体としては、ＵＳＢメモリ、ＵＳＢ-ＨＤＤも採用することが可能である。この場合、上記各実施形態におけるカードスロットは、ＵＳＢ接続インタフェースとなる。
【００７３】
上述した各実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【符号の説明】
【００７４】
３４ アクセス不能化処理部（不能化実行部）
４０ 情報処理装置（ホスト装置）
１００ ＵＳＢアダプタ（可搬型記憶媒体用アダプタ）
２０５ カードスロット（保持部、解除部）
２０１ 挿抜スイッチ（検出部）
２１１ 暗号モジュール（暗号鍵生成部、不能化実行部）
２１５ 揮発性メモリ

【特許請求の範囲】
【請求項１】
ホスト装置のインタフェース部に接続された状態で、前記ホスト装置から受け付けたデータを可搬型記憶媒体に記憶する可搬型記憶媒体用アダプタであって、
前記可搬型記憶媒体を着脱可能に保持する保持部と、
ユーザからの、前記可搬型記憶媒体の取り外し操作を検出する検出部と、
前記検出部において前記取り外し操作が検出されたタイミングで、前記可搬型記憶媒体が記憶するデータへの外部からのアクセスを不能化する不能化処理を実行する不能化実行部と、を備える可搬型記憶媒体用アダプタ。
【請求項２】
前記不能化実行部による不能化処理の後に、前記保持部による前記可搬型記憶媒体の保持を解除する解除部を更に備える請求項１に記載の可搬型記憶媒体用アダプタ。
【請求項３】
前記検出部は、前記ホスト装置から前記可搬型記憶媒体へのアクセス状態を監視し、前記アクセス状態が正常に行われている状態から正常に行われていない状態に変化したときに、前記取り外し操作があったものとして検出することを特徴とする請求項１に記載の可搬型記憶媒体用アダプタ。
【請求項４】
前記可搬型記憶媒体に対する前記ホスト装置からのアクセス時に用いる暗号鍵を生成する暗号鍵生成部を更に備え、
前記不能化実行部により実行される不能化処理は、前記暗号鍵生成部が生成した暗号鍵の消去処理であることを特徴とする請求項１〜３のいずれか一項に記載の可搬型記憶媒体用アダプタ。
【請求項５】
前記不能化実行部により実行される不能化処理は、前記暗号鍵を新たな暗号鍵で上書きする処理であることを特徴とする請求項４に記載の可搬型記憶媒体用アダプタ。
【請求項６】
前記暗号鍵を格納する揮発性メモリを更に備える請求項４又は５に記載の可搬型記憶媒体用アダプタ。
【請求項７】
可搬型記憶媒体を着脱可能に保持する保持部に対する、ユーザからの取り外し操作を検出する検出工程と、
前記検出工程において前記取り外し操作が検出されたタイミングで、前記可搬型記憶媒体が記憶するデータへのアクセスを不能化する不能化処理を実行する不能化実行工程と、を含むデータアクセス不能化方法。
【請求項８】
前記可搬型記憶媒体に対する外部からのアクセス時に用いる暗号鍵を生成する暗号鍵生成工程を更に含み、
前記不能化実行工程で実行される不能化処理は、前記暗号鍵生成部が生成した暗号鍵の消去処理であることを特徴とする請求項７に記載のデータアクセス不能化方法。
【請求項９】
前記不能化実行工程で実行される不能化処理は、前記暗号鍵を新たな暗号鍵で上書きする処理であることを特徴とする請求項８に記載のデータアクセス不能化方法。
【請求項１０】
前記暗号鍵生成工程で前記暗号鍵が生成された後、前記可搬型記憶媒体を初期化する初期化工程を更に含む請求項８又は９に記載のデータアクセス不能化方法。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【公開番号】特開２０１１−１９８０４２（Ｐ２０１１−１９８０４２Ａ）
【公開日】平成２３年１０月６日（２０１１．１０．６）
【国際特許分類】
【出願番号】特願２０１０−６４１７３（Ｐ２０１０−６４１７３）
【出願日】平成２２年３月１９日（２０１０．３．１９）
【出願人】（０００００５２２３）富士通株式会社 (25,993)
【Ｆターム（参考）】