情報保護方法,情報保護用のファームウェアおよびファームウェア書き換えプログラム
【課題】データ記憶装置に記憶された情報を保護する情報保護方法に関し,記憶された情報を破壊せず,また情報保護のために膨大な作業時間を必要とせずに,データ記憶装置に記憶された情報の流出を防止する技術を提供する。
【解決手段】データ記憶装置10のEEPROM13には,外部からの記憶媒体14へのアクセスを可能とする機能を備えた通常のファームウェア100がストアされている。記憶媒体14へのアクセスを禁止したい場合には,情報処理装置20にインストールされたファームウェア書き換えツール200を用いて,EEPROM13の通常のファームウェア100を,外部からの記憶媒体14へのアクセスを可能とする機能を備えていないアクセス禁止ファームウェア110で書き換える。
【解決手段】データ記憶装置10のEEPROM13には,外部からの記憶媒体14へのアクセスを可能とする機能を備えた通常のファームウェア100がストアされている。記憶媒体14へのアクセスを禁止したい場合には,情報処理装置20にインストールされたファームウェア書き換えツール200を用いて,EEPROM13の通常のファームウェア100を,外部からの記憶媒体14へのアクセスを可能とする機能を備えていないアクセス禁止ファームウェア110で書き換える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,データ記憶装置に記憶された情報を保護する技術に関するものであり,特に,データ記憶装置に記憶された情報を破壊せずに,また情報保護のために膨大な時間を必要とせずに,データ記憶装置に記憶された情報の流出を防止することが可能となる情報保護方法,情報保護用のファームウェアおよびファームウェア書き換えプログラムに関するものである。
【背景技術】
【0002】
図19は,一般的なデータ記憶装置の構成例を示す図である。データ記憶装置10は,制御部(CPU)11,メモリ12,EEPROM13,記憶媒体14を備える。データ記憶装置10は,例えばハードディスク,テープライブラリ装置,大容量のフラッシュメモリ等である。データ記憶装置10には,コンピュータに内蔵されるもの,外付けで据え置きされるもの,可搬のものなど,様々なものがある。
【0003】
制御部(CPU)11は,データ記憶装置10を制御する。メモリ12は,揮発性メモリである。EEPROM13は,電気的に内容を書き換えることが可能な不揮発性メモリである。記憶媒体14は,実際にデータが記憶される媒体である。
【0004】
データ記憶装置10には,ファームウェアと呼ばれる制御プログラムが存在する。ファームウェアはデータ記憶装置10へのアクセス制御を行っており,このファームウェアが正しく動作しない場合には,外部からのデータ記憶装置10へのアクセスは不可能となる。このファームウェアには以下のような特徴がある。
・ハードウェアに直接書き込まれるソフトウェアであり,外部からのアクセスをコントロールする。
・ファームウェア自体を外部から書き換えることが可能である。
・開発ベンダの機密情報であり,ファームウェアの情報は通常公開されない。
【0005】
図19に示すように,EEPROM13に,外部からの記憶媒体14へのアクセス(Read/Writeなどのアクセス)を可能とする通常のファームウェア100がストアされている。EEPROM13にストアされた通常のファームウェア100は,データ記憶装置10の動作開始とともにメモリ12上にロードされ,実行される。メモリ12上で実行される通常のファームウェア100は,外部からの要求(Read要求/Write要求,ファームウェア書き換え要求など)に対する処理を行う。なお,ここでは,外部からの記憶媒体14へのアクセス(Read/Writeなどのアクセス)を可能とするファームウェアを,後述の別のファームウェアと区別するために,通常のファームウェア100と呼んでいる。
【0006】
データ記憶装置10を持って移動する場合などに,その運搬経路において,データ記憶装置10を紛失したり,盗難されたりすることがある。このとき,データ記憶装置10に記憶された情報が流出してしまうおそれがある。セキュリティの観点から情報流出に対してより厳しい管理を求められている今日では,安全にデータ記憶装置10の運搬を行うための技術の確立が急務となっている。
【0007】
なお,ここでのデータ記憶装置10の移動には,可搬のデータ記憶装置10を移動することに限らず,例えばデータ記憶装置10内蔵のノートパソコンを持って移動することや,データ記憶装置10内蔵のデスクトップパソコンを修理のために運ぶことなども含んでいる。
【0008】
盗難,紛失等により情報が流出することを防ぐ技術としては,例えば次のような技術がある。
(1)データ記憶装置10の記憶媒体14の全領域を無意味なデータで上書きする。
(2)データ記憶装置10を物理的な外力によって破壊する。なお,この技術は,データ記憶装置10の破棄が前提となっている。
(3)パスワード等の認証機能を追加してアクセスを制限する。
(4)データ記憶装置10の記憶媒体14上のデータを暗号化する。
【0009】
なお,本発明に先行する技術が記載された文献としては,例えば特許文献1などがある。特許文献1には,第三者による不正アクセスを防止するために,記録媒体へのリード/ライトアクセスを行うために必要なファームウェアを備えず,使用時に上位装置から記録媒体へのアクセスを可能とするファームウェアを揮発性メモリにダウンロードすることにより,記録媒体へのリード/ライトアクセスを行うストレージに関する技術が記載されている。
【特許文献1】特開2002−140172号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記の(1)〜(4)に示した技術には,様々な問題がある。
【0011】
上記の(1)に示す技術には,データが破壊され,以後データの内容を確認できなくなるという問題がある。また,データ記憶装置10のデータ記憶容量が急激に増加するにともない,データを書き換える(無意味なデータで上書きする)作業に膨大な時間が必要となるという問題がある。
【0012】
上記の(2)に示す技術には,データが破壊され(データ記憶装置10自身が破壊される),以後データの内容を確認できなくなる(データ記憶装置10が使用できなくなる)という問題がある。
【0013】
上記の(3)に示す技術には,パスワードが漏洩したり,解読されるとデータが流出してしまうおそれがあるという問題がある。
【0014】
上記の(4)に示す技術には,暗号キーが漏洩したり,解読されるとデータが流出してしまうおそれがあるという問題がある。また,データ記憶装置10のデータ記憶容量が急激に増加するにともない,データを書き換える(暗号化する)作業に膨大な時間が必要となるという問題がある。
【0015】
すなわち,上記の(1)〜(4)のどの技術を用いても,次の3つの問題点をすべて解決することはできない。
・データが破壊され,以後データの内容を確認できなくなる。
・データを書き換える作業に膨大な時間が必要となる。
・パスワードや暗号キーが漏洩したり,解読されるとデータが流出してしまうおそれがある。
【0016】
上記の特許文献1の技術では,この3つの問題点をすべて解決できる。しかし,特許文献1の技術では,ストレージの電源をONするたびに上位装置から揮発性メモリに記録媒体へのアクセスを可能とするファームウェアをダウンロードする必要があるため,そのようなファームウェアをダウンロードする機能を備えた上位装置でしかストレージを使用できないという問題や,記録媒体へのアクセス可/不可の制御をユーザ側でコントロールすることができないという問題が発生する。
【0017】
また,上記の特許文献1の技術では,記録媒体へのアクセスを可能とするファームウェアをダウンロードする機能を備えた上位装置であれば,どの上位装置でもストレージを利用できてしまうという問題がある。パスワード認証によって上位装置を識別する技術も記載されているが,上記の問題点と同様にパスワードが漏洩してしまうおそれがある。
【0018】
本発明は,上記の問題点の解決を図り,作業に手間や時間がかからず,またデータの復活が困難とならず,また漏洩や解読のおそれのある暗号化やパスワードを用いずに,データ記憶装置に記憶されたデータの流出を防止することが可能となる技術を提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明は,上記の課題を解決するため,通常の使用時にデータ記憶装置の不揮発性メモリに記憶されている記憶媒体へのアクセスが可能なファームウェアを,記憶媒体へのアクセスが不可能なファームウェアに書き換えることを特徴とする。この記憶媒体へのアクセスが不可能なファームウェアは,不揮発性メモリ上のファームウェアを書き換えることは許可するが,外部からの記憶媒体へのアクセスは禁止する。
【0020】
具体的には,本発明は,データ記憶装置の記憶媒体に記憶された情報を保護するための情報保護方法であって,記憶媒体に記憶された情報を保護する場合に,上位装置からのファームウェア書き換え要求に応じて,データ記憶装置の不揮発性メモリに格納された記憶媒体へのアクセス処理機能を有する通常の運用に用いられる第1のファームウェアを,記憶媒体へのアクセスを禁止する第2のファームウェアに書き換え,不揮発性メモリに格納された第2のファームウェアがデータ記憶装置の揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求である場合にそのファームウェアの書き換え要求を受け付け,上位装置からの記憶媒体へのアクセス要求については拒否することを特徴とする。
【0021】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,上位装置からの要求がファームウェアの書き換え要求である場合に,そのファームウェア書き換え要求を受け付け,要求された不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える手段と,上位装置からの要求が,記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として機能させることを特徴とする。
【0022】
このように,データ記憶装置の記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)がデータ記憶装置の不揮発性メモリに記憶された状態では,不揮発性メモリに記憶されたファームウェアの書き換えは許可されても,記憶媒体への外部からのアクセスが禁止される。
【0023】
記憶媒体への外部からのアクセスを禁止するための作業は,不揮発性メモリに記憶された記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)を,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)で書き換えるだけであるので,作業時間は短時間となる。また,記憶媒体へのアクセスは禁止されても,記憶媒体のデータは破壊されずにそのまま残るので,後のデータの復活が容易に可能となる。また,暗号化やパスワードを用いていないため,暗号キーやパスワードの漏洩による情報流出の心配もない。
【0024】
また,不揮発性メモリに記憶された記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)を,記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)に書き換えるだけで,再び外部からの記憶媒体へのアクセスを可能な状態に戻すことができる。すなわち,記憶媒体への外部からのアクセスを可能な状態にする作業も,記憶媒体への外部からのアクセスを禁止する作業と同様に,短時間ですむ。
【0025】
また,データ記憶装置を通常に使用しているときには,不揮発性メモリには記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)が記憶されているため,特許文献1に記載された技術のような特殊な機能を備えた上位装置でなくても,普通にデータ記憶装置を接続して使用することができる。また,上位装置との接続やデータ記憶装置の電源のON/OFFに関わらず,記憶媒体への外部からのアクセスを可能な状態にする作業を行うまで,記憶媒体への外部からのアクセス禁止状態が解除されないため,特許文献1に記載された技術とは異なり,記憶媒体へのアクセス可/不可の制御をユーザ側でコントロールすることができる。
【0026】
また,本発明は,上記の情報保護方法において,不揮発性メモリに第2のファームウェアが格納されている場合に,上位装置において動作するファームウェア書き換えツールが,不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える要求を禁止することを特徴とする。
【0027】
また,本発明は,データ記憶装置に接続されたコンピュータが実行するファームウェア書き換えプログラムは,コンピュータを,データ記憶装置の不揮発性メモリに新たに書き込むファームウェアを保持する手段と,不揮発性メモリに格納されたファームウェアの書き換え指示を受け付ける手段と,ファームウェアの書き換え指示を受け付けた場合に,不揮発性メモリに格納されたファームウェアが,記憶媒体へのアクセス処理機能を持たない情報保護用のアクセス禁止ファームウェアであるか否かを判定する手段と,不揮発性メモリに格納されたファームウェアがアクセス禁止ファームウェアである場合に,データ記憶装置に対するファームウェアの書き換え要求の発行を抑止し,アクセス禁止ファームウェアでない場合に,データ記憶装置に対するファームウェアの書き換え要求を発行する手段として機能させることを特徴とする。
【0028】
一般に公開するファームウェア書き換えプログラム(ファームウェア書き換えツール)を,このような記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア,アクセス禁止ファームウェア)を書き換えることができないファームウェア書き換えプログラムだけとし,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア,アクセス禁止ファームウェア)を書き換えることができるファームウェア書き換えプログラム(ファームウェア書き換えツール)を非公開とすれば,データ記憶装置の記憶媒体へのアクセスの禁止状態を,第三者が簡単に解除することができなくなる。
【0029】
また,本発明は,上記の情報保護方法において,少なくとも不揮発性メモリに格納されている第2のファームウェアが揮発性メモリにロードされている場合に,ファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値は不許可とし,不許可のモードでは,不揮発性メモリにおけるファームウェアの書き換えを禁止し,モードの切り替え要求に対してモードを不許可から許可に切り替え,許可のモードでは,不揮発性メモリにおけるファームウェアの書き換えを許可することを特徴とする。
【0030】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,不揮発性メモリにおけるファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値を不許可とする手段と,不許可のモードでは,上位装置からのファームウェアの書き換え要求に対し,その要求を拒否する手段と,上位装置からのモードの切り替え要求に対して,モードを不許可から許可に切り替える手段と,許可のモードでは,上位装置からのファームウェアの書き換え要求に対し,その要求を許可し,ファームウェアの書き換えを実行する手段として機能させることを特徴とする。
【0031】
このように,初期状態を常に不許可のモードとし,モードを許可のモードに切り替えた場合にのみファームウェア書き換えを行えるようにすれば,モードを切り替えるためのコマンドを知らない第三者が,データ記憶装置の記憶媒体へのアクセスの禁止状態を解除することができなくなる。
【0032】
また,本発明は,上記の情報保護方法において,不揮発性メモリに格納されている第2のファームウェアが揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合にのみ,書き換え要求を受け付け,不揮発性メモリに格納されている第2のファームウェアを第3のファームウェアに書き換えることを特徴とする。
【0033】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,上位装置からの要求がファームウェアの書き換え要求であり,かつ書き換え対象となる新たなファームウェアが,第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合に,その書き換え要求を受け付け,不揮発性メモリに格納されている第2のファームウェアを,第3のファームウェアに書き換える手段と,上位装置からの要求がファームウェアの書き換え要求であっても,書き換え対象となる新たなファームウェアが第3のファームウェア以外である場合に,その書き換え要求を拒否する手段と,上位装置からの要求が記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として機能させることを特徴とする。
【0034】
このように,不揮発性メモリに記憶された記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)を上書きできるファームウェアを,あらかじめ決められた特定のファームウェア(第3のファームウェア)に限定することにより,その特定のファームウェア(第3のファームウェア)を持たない第三者が,データ記憶装置の記憶媒体へのアクセスの禁止状態を解除することができなくなる。
【0035】
また,本発明は,上記の情報保護方法において,不揮発性メモリに格納されている第i(iは3以上の整数)のファームウェアが揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが第iのファームウェアの書き換え禁止を解除するための第(i+1)のファームウェアである場合にのみ,書き換え要求を受け付け,不揮発性メモリに格納されている第iのファームウェアを第(i+1)のファームウェアに書き換え,不揮発性メモリに格納されている第n(nは4以上の所定の整数)のファームウェアが揮発性メモリにロードされている状態では,記憶媒体へのアクセス処理機能を有する第1のファームウェアへの書き換えを許可することを特徴とする。
【0036】
このように,不揮発性メモリに記憶されたファームウェアをあらかじめ決められた特定のファームウェアのみで上書きできるという関係を,多段階に組み合わせることにより,よりセキュリティ効果を高めることが可能となる。例えば,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)は特定のファームウェア1のみで書き換え可能,特定のファームウェア1は特定のファームウェア2のみで書き換え可能,... ,特定のファームウェアi−1は特定のファームウェアiのみで書き換え可能といったように,多段階に不揮発性メモリのファームウェアを書き換えるようにし,その最後に記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)で書き換えるようにすれば,たとえ特定のファームウェアの1つが流出しても,第3者がその流出した1つの特定のファームウェアだけでデータ記憶装置の記憶媒体へのアクセスの禁止状態を解除することはできない。
【発明の効果】
【0037】
本発明により,不揮発性メモリのファームウェアを書き換えるだけで,データ記憶装置の記憶媒体の容量に関係なく,短時間の作業で,データ記憶装置の記憶媒体のデータを保護することができる。同様に,データ記憶装置の記憶媒体のデータ保護状態を回復する作業も,短時間ですむ。
【0038】
また,データ記憶装置の記憶媒体のデータが保護された状態になっても,記憶媒体のデータは破壊されない。そのため,データ記憶装置の記憶媒体のデータ保護状態を回復すれば,記憶媒体のデータを再度確認することができる。
【0039】
また,データ記憶装置の記憶媒体のデータを保護するために暗号化やパスワードを用いていないため,暗号キーやパスワードの漏洩による情報流出の心配もない。
【発明を実施するための最良の形態】
【0040】
以下,本発明の実施の形態について,図を用いて説明する。
【0041】
図1は,本発明の実施の形態によるデータ記憶装置の例を示す図である。ここでは,情報処理装置20(コンピュータ)に接続される可搬のデータ記憶装置10の例を説明する。図1のデータ記憶装置10は,図19に示すデータ記憶装置10と同じものであり,制御部(CPU)11,メモリ12,EEPROM13,記憶媒体14を備える。
【0042】
データ記憶装置10のEEPROM13には,当初,通常のファームウェア100がストアされている。データ記憶装置10を起動すると,EEPROM13の通常のファームウェア100がメモリ12にロードされ,情報処理装置20からのデータ記憶装置10の記憶媒体14へのRead/Writeなどのアクセスが可能な状態となる。
【0043】
図2は,通常のファームウェアの機能構成例を示す図である。通常のファームウェア100は,要求受付処理部101,ファームウェア書き換え処理部102,記憶媒体アクセス処理部103を備える。要求受付処理部101は,外部からの要求を受け付ける。ファームウェア書き換え処理部102は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。記憶媒体アクセス処理部103は,外部からのRead要求/Write要求などの要求にしたがって,記憶媒体14へのアクセス処理を行う。
【0044】
図3は,通常のファームウェアの処理フローチャートである。メモリ12上で動作中の通常のファームウェア100は,外部からの要求を受け付けると(ステップS10),その外部からの要求がどのような要求であるかを判別する(ステップS11)。外部からの要求がRead要求であれば,記憶媒体14からのデータの読み込み処理を行う(ステップS12)。外部からの要求がWrite要求であれば,記憶媒体14へのデータの書き込み処理を行う(ステップS13)。外部からの要求がファームウェア書き換え要求であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS14)。
【0045】
図1に示すように,情報処理装置20には,ファームウェア書き換えツール200がインストールされている。ファームウェア書き換えツール200は,データ記憶装置10のEEPROM13のファームウェアを書き換えるためのプログラムである。ファームウェア書き換えツール200を用いて,例えば,通常のファームウェア100がバージョンアップされた場合などに,そのバージョンアップされた通常のファームウェア100で,EEPROM13の通常のファームウェア100を更新することができる。
【0046】
また,ファームウェア書き換えツール200を用いてEEPROM13のファームウェアを書き換えることにより,データ記憶装置10の記憶媒体14へのRead/Writeなどのアクセスを禁止することができる。すなわち,ファームウェア書き換えツール200を用いて,EEPROM13に記憶された通常のファームウェア100を,データ記憶装置10への記憶媒体14へのアクセスができないファームウェアに書き換えることにより,データ記憶装置10の記憶媒体14へのアクセスを禁止する。ここでは,記憶媒体14へのアクセスができないファームウェアを,アクセス禁止ファームウェア110と呼ぶものとする。
【0047】
図4は,記憶媒体へのアクセスを禁止する場合のファームウェア書き換えの例を説明する図である。なお,図4では,図1のデータ記憶装置10において,特にメモリ12とEEPROM13の部分にのみ着目している。
【0048】
図4(A)は,記憶媒体14へのアクセスが可能な状態の例を示す。EEPROM13には通常のファームウェア100がストアされており,データ記憶装置10の起動と同時にEEPROM13の通常のファームウェア100がメモリ12上にロードされ,実行される。これにより,外部からの記憶媒体14へのアクセスが可能な状態となる。
【0049】
図4(B)は,EEPROM13の通常のファームウェア100がアクセス禁止ファームウェア110に書き換えられた状態の例を示す。データ記憶装置10の記憶媒体14へのアクセスを禁止したい場合には,ファームウェア書き換えツール200によって,EEPROM13の通常のファームウェア100を,アクセス禁止ファームウェア110に書き換えればよい。
【0050】
メモリ12上で動作している通常のファームウェア100は,情報処理装置20からのファームウェア書き換え要求を受け,EEPROM13のファームウェア書き換え処理を行う。情報処理装置20からはアクセス禁止ファームウェア110が送られてくる。メモリ12上で動作している通常のファームウェア100は,EEPROM13にストアされた通常のファームウェア100を,情報処理装置20から受け取ったアクセス禁止ファームウェア110で書き換える。
【0051】
図4(C)は,記憶媒体14へのアクセスが禁止された状態の例を示す。ファームウェア書き換え後,データ記憶装置10はリセットされる。データ記憶装置10のリセットは,自動で実行されてもよいし,ユーザが手動で行ってもよい。データ記憶装置10がリセットされると,EEPROM13にストアされたアクセス禁止ファームウェア110がメモリ12上にロードされ,実行される。これにより,外部からの記憶媒体14へのアクセスが禁止された状態となる。
【0052】
アクセス禁止ファームウェア110は,外部からのRead要求/Write要求などの記憶媒体14へのアクセス要求を受付けない。ただし,外部からのファームウェア書き換え要求は受け付ける。データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除したい場合には,EEPROM13のアクセス禁止ファームウェア110を通常のファームウェア100で書き換えればよい。
【0053】
図5は,アクセス禁止ファームウェアの機能構成例(1)を示す図である。アクセス禁止ファームウェア110は,要求受付判定処理部111,ファームウェア書き換え処理部112を備える。要求受付判定処理部111は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けることができないので,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。
【0054】
図6は,アクセス禁止ファームウェアの処理フローチャート(1)である。メモリ12上で動作中のアクセス禁止ファームウェア110は,外部からの要求を受けると(ステップS20),その外部からの要求がファームウェア書き換え要求であるか否かを判定する(ステップS21)。外部からの要求がファームウェア書き換え要求であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS22)。外部からの要求がファームウェア書き換え要求以外の要求であれば,エラー応答する(ステップS23)。
【0055】
このように,EEPROM13に記憶された通常のファームウェア100をアクセス禁止ファームウェア110で書き換えるだけで,データ記憶装置10に記憶されたデータの流出を防止することができる。また,EEPROM13上のファームウェアを書き換えるだけであるので,記憶媒体14のデータが破壊されず,また短時間でのデータ保護が可能となる。また,パスワードや暗号化を用いていないので,パスワードや暗号キーの漏洩や解読によりデータが流出するおそれもない。
【0056】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,ファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110を,通常のファームウェア100で書き換えればよい。
【0057】
ファームウェア書き換えツール200が一般に公開されたプログラムである場合には,ファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110をさらに通常のファームウェア100に書き換えることにより,記憶媒体14へのアクセスが可能となってしまうことも考えられる。これでは,暗号化やパスワードロックを行った場合に暗号キーやパスワードが解読されてしまうケースと同じになってしまう可能性がある。
【0058】
したがって,より安全なデータ保護を実現するためには,アクセス禁止ファームウェア110の書き換えを,原則禁止にしなければならない。以下,アクセス禁止ファームウェア110の書き換えを原則禁止にする技術について説明する。
【0059】
〔ファームウェア書き換えツールによるファームウェア書き換え制御〕
ファームウェア書き換えツール200の処理で,EEPROM13に記憶されたアクセス禁止ファームウェア110の書き換え可否の判断を行う技術を説明する。ファームウェア書き換えツール200では,EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110以外のファームウェアである場合にのみ,EEPROM13のファームウェア書き換え要求を発行する。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110である場合には,ファームウェア書き換えを行わないように制御する。
【0060】
図7は,ファームウェア書き換えツールの機能構成例を示す図である。ファームウェア書き換えツール200は,指示受付部201,ファームウェア書き換え可否判定部202,ファームウェア書き換え処理部203,書き換え用ファームウェア保持部204を備える。
【0061】
指示受付部201は,ユーザからのファームウェア書き換えの指示を受け付ける。ファームウェア書き換え可否判定部202は,データ記憶装置10のEEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110である場合には,ファームウェア書き換えが不可能であると判定し,エラー応答する。ファームウェア書き換え処理部203は,ファームウェア書き換えが可能である場合に,データ記憶装置10にファームウェア書き換え要求を発行し,ファームウェア書き換えに用いるファームウェアをデータ記憶装置10に送るなど,データ記憶装置10のEEPROM13に記憶されたファームウェアの書き換え処理を行う。書き換え用ファームウェア保持部204は,ファームウェア書き換えに用いるファームウェアを保持する。
【0062】
図8は,ファームウェア書き換えツールの処理フローチャートである。ファームウェア書き換えツール200は,ファームウェア書き換えの指示を受け付けると(ステップS30),データ記憶装置10のEEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110であるか否かを判定する(ステップS31)。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110でなければ,ファームウェア書き換え処理を行う(ステップS32)。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110であれば,エラー応答する(ステップS33)。
【0063】
このように,ファームウェア書き換えツール200ではEEPROM13に記憶されたアクセス禁止ファームウェア110を書き換えることができないように制御することにより,データ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単には解除できなくすることができる。
【0064】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除する場合には,アクセス禁止ファームウェア110を書き換えることができる特別なファームウェア書き換えツール200が必要となる。この特別なファームウェア書き換えツール200を非公開とすれば,第三者がデータ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単に解除することはできなくなる。
【0065】
〔モード切り替えによるファームウェア書き換え制御〕
アクセス禁止ファームウェア110の処理で,モード切り替えにより,EEPROM13に記憶されたアクセス禁止ファームウェア110の書き換え可否の切り替えを行う技術を説明する。ここでは,ファームウェア書き換えの可否は,モードで設定される。モードにはファームウェア書き換えが許可される“許可状態”と,ファームウェア書き換えが禁止される“不許可状態”の2つがあり,メモリ12上のフラグで設定される。なお,モードのデフォルトは,“不許可状態”である。
【0066】
図9は,アクセス禁止ファームウェアの機能構成例(2)を示す図である。アクセス禁止ファームウェア110’は,要求受付判定処理部111,ファームウェア書き換え処理部112,モード切り替え処理部113,モード情報114を備える。
【0067】
要求受付判定処理部111は,外部からの要求を受け付けられるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,モードが“不許可状態”であれば,その要求を受け付けられないので,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。モード切り替え処理部113は,外部からの状態切り替え要求にしたがって,モード切り替えを行う。モード情報114は,モードが設定されるメモリ12上のフラグである。
【0068】
図10は,アクセス禁止ファームウェアの処理フローチャート(2)である。メモリ12上で動作中のアクセス禁止ファームウェア110’は,外部からの要求を受けると(ステップS40),その外部からの要求が状態切り替え要求であるか否かを判定する(ステップS41)。外部からの要求が状態切り替え要求であれば,モード情報114を切り替える(ステップS42)。モード情報114が“不許可状態”である場合には,状態切り替え要求により,モード情報114が“許可状態”に切り替わる。
【0069】
外部からの要求が状態切り替え要求でなければ,その外部からの要求がファームウェア書き換え要求であるかを判定する(ステップS43)。外部からの要求がファームウェア書き換え要求でなければ,エラー応答する(ステップS44)。
【0070】
外部からの要求がファームウェア書き換え要求であれば,モード情報114を確認する(ステップS45)。モード情報114が“許可状態”であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS46)。モード情報114が“不許可状態”であれば,エラー応答する(ステップS44)。
【0071】
このように,初期状態では常にファームウェア書き換え禁止状態(モードを“不許可状態”)としておき,ファームウェア書き換え要求に対する通常の手順でのファームウェア書き換えを禁止する。EEPROM13のアクセス禁止ファームウェア110’を書き換えたい場合には,モード切り替えのコマンドにより禁止状態を解除(モードを“許可状態”)してから,ファームウェア書き換えを行う。
【0072】
モードを“許可状態”に切り替える機能を持つファームウェア書き換えツール200を非公開とすれば,またはモードを“許可状態”に切り替えるためのコマンドを非公開とすれば,第三者がデータ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単に解除することはできなくなる。
【0073】
これにより,一般公開されたファームウェア書き換えの手順によって,EEPROM13上のアクセス禁止ファームウェア110’が簡単に書き換えられることにより,記憶媒体14のデータが流出してしまうことを防ぐことができる。
【0074】
〔解除用ファームウェアによるファームウェア書き換え制御〕
前述のファームウェア書き換えツールによるファームウェア書き換え制御の技術や,モード切り替えによるファームウェア書き換え制御の技術では,ファームウェア書き換えを行う側の処理に抑止メカニズムが存在するため,その抑止メカニズムが解読されると,データが流出してしまうおそれがある。
【0075】
そこで,EEPROM13上のアクセス禁止ファームウェア110を,特定のファームウェア以外では上書きできないようにする。以下では,EEPROM13上のアクセス禁止ファームウェア110を上書きすることができる特定のファームウェアを,ファームウェア書き換えの禁止状態を解除することが可能なファームウェアという意味で,解除用ファームウェア120と呼ぶ。
【0076】
図11は,アクセス禁止ファームウェアの機能構成例(3)を示す図である。図11に示すアクセス禁止ファームウェア110”は,特定の解除用ファームウェア120以外では上書きすることができないファームウェアである。アクセス禁止ファームウェア110”は,要求受付判定処理部111,ファームウェア書き換え処理部112,ファームウェア識別判定部115を備える。
【0077】
要求受付判定処理部111は,外部からの要求を受け付けられるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120以外のファームウェアであれば,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。ファームウェア識別判定部115は,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120であるか否かを判定する。
【0078】
図12は,解除用ファームウェアの機能構成例(1)を示す図である。図12に示す解除用ファームウェア120の機能構成は,図5に示すアクセス禁止ファームウェア110の機能構成と同じである。すなわち,ここで説明する解除用ファームウェア120は,記憶媒体14へのアクセスを禁止するが,ファームウェア書き換えを禁止しないファームウェアである。
【0079】
解除用ファームウェア120は,要求受付判定処理部121,ファームウェア書き換え処理部122を備える。要求受付判定処理部121は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。ファームウェア書き換え処理部122は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。
【0080】
図13は,解除用ファームウェアによってファームウェア書き換え禁止の状態を解除する例を説明する図である。なお,図13では,データ記憶装置10において,特にメモリ12とEEPROM13の部分にのみ着目している。
【0081】
図13(A)は,記憶媒体14へのアクセスが禁止された状態の例を示す。EEPROM13にはアクセス禁止ファームウェア110”がストアされており,データ記憶装置10の起動と同時にEEPROM13のアクセス禁止ファームウェア110”がメモリ12上にロードされる。解除用ファームウェア120でのファームウェア書き換え要求以外の外部からの要求は,受け付けられない状態となる。
【0082】
図13(B)は,EEPROM13のアクセス禁止ファームウェア110”が解除用ファームウェア120に書き換えられた状態の例を示す。データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除したい場合には,解除用ファームウェア120でのファームウェア書き換え要求を行えばよい。
【0083】
メモリ12上で動作しているアクセス禁止ファームウェア110”は,外部からのファームウェア書き換え要求を受けたときに,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120であるかを判定し,解除用ファームウェア120である場合には,EEPROM13のファームウェア書き換え処理を行う。解除用ファームウェア120以外のファームウェアであれば,EEPROM13のファームウェア書き換え処理を行わない。なお,解除用ファームウェア120の識別は,例えば,ファームウェア版数や,そのチェックサムデータ,シリアル番号等を確認することにより行うことができる。
【0084】
図13(B)では,外部から解除用ファームウェア120が送られてくる。メモリ12上で動作しているアクセス禁止ファームウェア110”は,EEPROM13にストアされたアクセス禁止ファームウェア110”を,外部から受け取った解除用ファームウェア120で書き換える。
【0085】
図13(C)は,ファームウェア書き換えが可能な状態の例を示す。ファームウェア書き換え後,データ記憶装置10はリセットされる。データ記憶装置10のリセットは,自動で実行されてもよいし,ユーザが手動で行ってもよい。データ記憶装置10がリセットされると,EEPROM13にストアされた解除用ファームウェア120がメモリ12上にロードされ,EEPROM13上のファームウェアを特定のファームウェア以外のファームウェアでも書き換えることができるようになる。これは,ファームウェア書き換えが禁止されない図5に示すようなアクセス禁止ファームウェア110がメモリ12上で動作する状態と同じである。
【0086】
図13(D)は,EEPROM13の解除用ファームウェア120が通常のファームウェア100に書き換えられた状態の例を示す。解除用ファームウェア120は,ファームウェア書き換えが禁止されていないので,外部からのファームウェア書き換え要求で簡単に通常のファームウェア100に書き換えることができる。この後データ記憶装置10をリセットすれば,EEPROM13の通常のファームウェア100がメモリ12にロードされ,通常に記憶媒体14へのアクセスが可能な状態となる。
【0087】
図14は,アクセス禁止ファームウェアの処理フローチャート(3)である。メモリ12上で動作中のアクセス禁止ファームウェア110”は,外部からの要求を受けると(ステップS50),その外部からの要求がファームウェア書き換え要求であるか否かを判定する(ステップS51)。外部からの要求がファームウェア書き換え要求でなければ,エラー応答する(ステップS52)。
【0088】
外部からの要求がファームウェア書き換え要求であれば,新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120であるか否かを判定する(ステップS53)。新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS54)。新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120でなければ,エラー応答する(ステップS52)。
【0089】
これにより,一般公開されたファームウェアでEEPROM13に記憶されたアクセス禁止ファームウェア110”を書き換えようとしてもエラーで終了してしまい,ファームウェア書き換えが失敗した原因も外部からは推測不能となる。解除用ファームウェア120は公開されないため,解除用ファームウェア120の存在を知らない第三者が,EEPROM13に記憶されたアクセス禁止ファームウェア110”を書き換えることはできない。
【0090】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,解除用ファームウェア120を保持するファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110”を解除用ファームウェア120で書き換え,さらにその解除用ファームウェア120を通常のファームウェア100で書き換えればよい。
【0091】
なお,ここでは,アクセス禁止ファームウェア110”を解除用ファームウェア120で書き換えてから通常のファームウェア100に書き換える例を説明したが,特定の通常のファームウェア100を解除用ファームウェア120として,直接アクセス禁止ファームウェア110”を書き換えるようにしてもよい。ただし,この場合には,特定の通常のファームウェア100を公開してしまうと,第三者によってデータ記憶装置10の記憶媒体14へのアクセス禁止状態が解除されてしまうおそれがある。
【0092】
〔多段階の解除用ファームウェアによるファームウェア書き換え制御〕
さらに,解除用ファームウェア120によるファームウェア書き換え制御の技術を多段階に組み合わせることにより,セキュリティをより強固にすることが可能である。
【0093】
図15は,多段階の解除用ファームウェアによるファームウェア書き換え制御を説明する図である。ここでは,解除用ファームウェア120を3段階に組み合わせた場合の例を説明する。
【0094】
図15において,記憶媒体14へのアクセスが禁止されたアクセス禁止ファームウェア110”は,解除用ファームウェア120aでのみ書き換えることが可能である。その解除用ファームウェア120aは,記憶媒体14へのアクセスが禁止されたファームウェアである。また,解除用ファームウェア120aは,特定のファームウェア以外では書き換えることができない。すなわち,解除用ファームウェア120aは,アクセス禁止ファームウェア110”と同じ動作を行う。
【0095】
記憶媒体14へのアクセスが禁止された解除用ファームウェア120aは,解除用ファームウェア120bでのみ書き換えることが可能である。その解除用ファームウェア120bは,記憶媒体14へのアクセスが禁止されたファームウェアである。また,解除用ファームウェア120bは,特定のファームウェア以外では書き換えることができない。すなわち,解除用ファームウェア120bは,アクセス禁止ファームウェア110”,解除用ファームウェア120aと同じ動作を行う。
【0096】
記憶媒体14へのアクセスが禁止された解除用ファームウェア120bは,解除用ファームウェア120cでのみ書き換えることが可能である。その解除用ファームウェア120cは,記憶媒体14へのアクセスが禁止されたファームウェアである。ただし,解除用ファームウェア120cは,どのファームウェアでも書き換えることができる。すなわち,解除用ファームウェア120cは,図5に示すアクセス禁止ファームウェア110と同じ動作を行う。
【0097】
この解除用ファームウェア120cを通常のファームウェア100で書き換えると,データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除することができる。なお,解除用ファームウェア120cが特定の通常のファームウェア100であってもよい。
【0098】
図16は,解除用ファームウェアの機能構成例(2)を示す図である。図16に示す解除用ファームウェア120’の機能構成は,図11に示すアクセス禁止ファームウェア110”の機能構成と同じである。すなわち,ここで説明する解除用ファームウェア120’は,特定の解除用ファームウェア120(または120’)以外では上書きすることができないファームウェアである。図15における解除用ファームウェア120a,120bは,この解除用ファームウェア120’に相当する。解除用ファームウェア120’は,要求受付判定処理部121,ファームウェア書き換え処理部122,ファームウェア識別判定部123を備える。
【0099】
要求受付判定処理部121は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが特定の解除用ファームウェア120(または120’)以外のファームウェアであれば,エラー応答する。ファームウェア書き換え処理部122は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。ファームウェア識別判定部123は,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが特定の解除用ファームウェア120(または120’)であるか否かを判定する。
【0100】
このように,解除用ファームウェア120によるファームウェア書き換え制御の技術を多段階に組み合わせることにより,たとえ解除用ファームウェア120(または120’)の一つが流出してしまったとしても,データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除することはできなくなる。段階数が多ければ多いほど,セキュリティ効果は高くなる。
【0101】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,複数の解除用ファームウェア120(または120’)を保持するファームウェア書き換えツール200によって,多段階にEEPROM13のファームウェア書き換えを行う必要がある。この多段階のファームウェア書き換えの作業は,非常に時間がかかるように見えるが,実際にはあまり時間がかからない。
【0102】
EEPROM13などの不揮発性半導体メモリは他の磁気記憶媒体などに比べてアクセス速度が速く,また書き換えに使用するファームウェアは非常に小さいプログラムであるため,1回のファームウェア書き換えの作業にそれほどの時間を必要としない。n個(nは正の整数)の解除用ファームウェア120(または120’)による多段階のファームウェア書き換え作業によって,データ記憶装置10のデータ保護解除を行う場合であっても,データ記憶装置10の記憶媒体14の容量に関係なく,(n+1)×(1回のファームウェア書き換え作業時間)で作業が終了する。
【0103】
また,解除用ファームウェア120(または120’)の適用順序通りに自動的に解除を行うようにバッチ処理化することにより,1つずつファームウェア書き換えの作業を指示する必要がなくなるため,データ記憶装置10のデータ保護解除を行う作業者の手間もかからない。
【0104】
また,多段階の解除用ファームウェア120によるファームウェア書き換え制御を行う場合であっても,データ記憶装置10の記憶媒体14へのアクセスを禁止するときには,通常のファームウェア100をアクセス禁止ファームウェア110”に書き換えるという1回のファームウェア書き換えを行えばよいため,データ記憶装置10のデータ保護を行う作業の時間も,作業者の手間もかからない。
【0105】
以上,本発明の実施の形態について説明したが,本発明はこれに限られるものではない。例えば,本実施の形態ではアクセス禁止ファームウェア110の書き換えを原則禁止にする技術を別々に説明したが,それらの技術を複数組み合わせて実施することも可能である。複数の技術を組み合わせることにより,より高いセキュリティ効果が得られる。
【実施例】
【0106】
以下,本発明のより具体的な実施例について説明する。
【0107】
図17は,本発明の実施例の状況を説明する図である。ここでは,ユーザがベンダに可搬のハードディスク500(データ記憶装置10に相当)の修理依頼を行う場合の例を説明する。ユーザは,ハードディスク500の性能(処理速度)が悪くなったため,性能劣化の原因を調査し,修理することをベンダに依頼する。
【0108】
まず,ユーザは,ユーザパソコン600にハードディスク500を接続する。ハードディスク500の不揮発性メモリには,そのハードディスク500の記憶媒体へのアクセスが可能な製品版ファームウェア510(通常のファームウェア100に相当)が書き込まれている。
【0109】
ユーザパソコン600には,ベンダが一般に公開しているファームウェア書き換えツール610がインストールされている。ファームウェア書き換えツール610には,ハードディスク500の記憶媒体への外部からのアクセスを禁止するためのアクセス禁止ファームウェア520が保持されている。このファームウェア書き換えツール610は,ハードディスク500の不揮発性メモリに書き込まれている製品版ファームウェア510を他のファームウェアで書き換える機能を備えているが,ハードディスク500の不揮発性メモリに書き込まれているアクセス禁止ファームウェア520を他のファームウェアで書き換える機能を備えていない。
【0110】
ユーザは,ユーザパソコン600にインストールされたファームウェア書き換えツール610を操作し,ハードディスク500の不揮発性メモリ上の製品版ファームウェア510を,ファームウェア書き換えツール610が保持するアクセス禁止ファームウェア520で書き換える。これで,ハードディスク500の記憶媒体への外部からのアクセスが禁止され,ハードディスク500のデータが保護された状態となる。
【0111】
このように,記憶媒体への外部からのアクセスが禁止された状態のハードディスク500を,ベンダの工場に送付する。ハードディスク500の記憶媒体への外部からのアクセスは禁止されているため,運搬途中にハードディスク500の盗難,紛失等があっても,第三者がハードディスク500に記憶されたデータにアクセスすることはできない。一般に公開されたファームウェア書き換えツール610では,ハードディスク500の不揮発性メモリに書き込まれたアクセス禁止ファームウェア520を書き換えることができないため,ベンダ関係者以外ではハードディスク500の記憶媒体へのアクセス禁止状態を解除することもできない。
【0112】
ベンダの工場にハードディスク500が届くと,ベンダ側の作業者は,ベンダパソコン700に送られてきたハードディスク500を接続する。ベンダパソコン700には,一般に公開されていない特別なファームウェア書き換えツール710がインストールされている。このファームウェア書き換えツール710は,ハードディスク500の不揮発性メモリに書き込まれているアクセス禁止ファームウェア520を他のファームウェアで書き換える機能を備えている。また,ファームウェア書き換えツール710には,多段階の解除用ファームウェアによるファームウェア書き換え制御に対応するための複数の解除用ファームウェア530と,ハードディスク500の記憶媒体へのアクセスを可能とする製品版ファームウェア510とが保持されている。
【0113】
作業者は,ベンダパソコン700にインストールされたファームウェア書き換えツール710を操作し,バッチ処理により,ハードディスク500の不揮発性メモリ上のアクセス禁止ファームウェア520を,多段階に解除用ファームウェア530で書き換え,最後に製品版ファームウェア510で書き換える。これで,ハードディスク500の記憶媒体への外部からのアクセスが可能な状態となる。作業者は,ハードディスク500の記憶媒体への外部からのアクセスが可能な状態で,ハードディスク500の調査を行うことができる。
【0114】
図18は,本実施例のハードディスクのファームウェア適用状態の変遷を示す図である。送付元(ユーザ側)において,当初,ハードディスク500には製品版ファームウェア510が適用されている。ユーザは,ベンダ側に送付する前に製品版ファームウェア510をアクセス禁止ファームウェア520に書き換え,ハードディスク500はアクセス禁止ファームウェア520が適用された状態となる。
【0115】
運搬中はハードディスク500にアクセス禁止ファームウェア520が適用された状態なので,データ保護状態での安全な運搬が可能となる。
【0116】
送付先(ベンダ側)には,アクセス禁止ファームウェア520が適用された状態で,ハードディスク500が届く。送付先(ベンダ側)では,作業者は,ハードディスク500に適用されているアクセス禁止ファームウェア520を,解除用ファームウェア530(1段階目),解除用ファームウェア530(2段階目),... ,解除用ファームウェア530(n段階目)と,多段階に書き換えていき,最後に製品版ファームウェア510に書き換える。作業者は,製品版ファームウェア510が適用された状態で,ハードディスク500の検査,修復などを行う。なお,ベンダ側での一連の作業は,バッチ処理化することが可能である。
【0117】
以上説明した実施例以外でも,本発明の様々な利用例がある。例えば,各支社の重要な機密情報を本社に集めるときに,電子メールでは安全性に問題があるため,データ記憶装置を用いて本社に情報を送るといった状況を想定する。このとき,各支社ではデータ記憶装置の通常のファームウェアを記憶媒体へのアクセスが禁止されたファームウェアに書き換えて本社に送付する。記憶媒体へのアクセスが禁止されたファームウェアを通常のファームウェアに書き換えることができるツールを本社のみで使用できる環境とすれば,漏洩することなく,安全に各支社の重要な機密情報を本社に集めることができる。
【図面の簡単な説明】
【0118】
【図1】本発明の実施の形態によるデータ記憶装置の例を示す図である。
【図2】通常のファームウェアの機能構成例を示す図である。
【図3】通常のファームウェアの処理フローチャートである。
【図4】記憶媒体へのアクセスを禁止する場合のファームウェア書き換えの例を説明する図である。
【図5】アクセス禁止ファームウェアの機能構成例(1)を示す図である。
【図6】アクセス禁止ファームウェアの処理フローチャート(1)である。
【図7】ファームウェア書き換えツールの機能構成例を示す図である。
【図8】ファームウェア書き換えツールの処理フローチャートである。
【図9】アクセス禁止ファームウェアの機能構成例(2)を示す図である。
【図10】アクセス禁止ファームウェアの処理フローチャート(2)である。
【図11】アクセス禁止ファームウェアの機能構成例(3)を示す図である。
【図12】解除用ファームウェアの機能構成例(1)を示す図である。
【図13】解除用ファームウェアによってファームウェア書き換え禁止の状態を解除する例を説明する図である。
【図14】アクセス禁止ファームウェアの処理フローチャート(3)である。
【図15】多段階の解除用ファームウェアによるファームウェア書き換え制御を説明する図である。
【図16】解除用ファームウェアの機能構成例(2)を示す図である。
【図17】本発明の実施例の状況を説明する図である。
【図18】本実施例のハードディスクのファームウェア適用状態の変遷を示す図である。
【図19】一般的なデータ記憶装置の構成例を示す図である。
【符号の説明】
【0119】
10 データ記憶装置
11 制御部(CPU)
12 メモリ
13 EEPROM
14 記憶媒体
20 情報処理装置
100 通常のファームウェア
101 要求受付処理部
102 ファームウェア書き換え処理部
103 記憶媒体アクセス処理部
110,110’,110” アクセス禁止ファームウェア
111 要求受付判定処理部
112 ファームウェア書き換え処理部
113 モード切り替え処理部
114 モード情報
115 ファームウェア識別判定部
120 解除用ファームウェア
121 要求受付判定処理部
122 ファームウェア書き換え処理部
123 ファームウェア識別判定部
200 ファームウェア書き換えツール
201 指示受付部
202 ファームウェア書き換え可否判定部
203 ファームウェア書き換え処理部
204 書き換え用ファームウェア保持部
【技術分野】
【0001】
本発明は,データ記憶装置に記憶された情報を保護する技術に関するものであり,特に,データ記憶装置に記憶された情報を破壊せずに,また情報保護のために膨大な時間を必要とせずに,データ記憶装置に記憶された情報の流出を防止することが可能となる情報保護方法,情報保護用のファームウェアおよびファームウェア書き換えプログラムに関するものである。
【背景技術】
【0002】
図19は,一般的なデータ記憶装置の構成例を示す図である。データ記憶装置10は,制御部(CPU)11,メモリ12,EEPROM13,記憶媒体14を備える。データ記憶装置10は,例えばハードディスク,テープライブラリ装置,大容量のフラッシュメモリ等である。データ記憶装置10には,コンピュータに内蔵されるもの,外付けで据え置きされるもの,可搬のものなど,様々なものがある。
【0003】
制御部(CPU)11は,データ記憶装置10を制御する。メモリ12は,揮発性メモリである。EEPROM13は,電気的に内容を書き換えることが可能な不揮発性メモリである。記憶媒体14は,実際にデータが記憶される媒体である。
【0004】
データ記憶装置10には,ファームウェアと呼ばれる制御プログラムが存在する。ファームウェアはデータ記憶装置10へのアクセス制御を行っており,このファームウェアが正しく動作しない場合には,外部からのデータ記憶装置10へのアクセスは不可能となる。このファームウェアには以下のような特徴がある。
・ハードウェアに直接書き込まれるソフトウェアであり,外部からのアクセスをコントロールする。
・ファームウェア自体を外部から書き換えることが可能である。
・開発ベンダの機密情報であり,ファームウェアの情報は通常公開されない。
【0005】
図19に示すように,EEPROM13に,外部からの記憶媒体14へのアクセス(Read/Writeなどのアクセス)を可能とする通常のファームウェア100がストアされている。EEPROM13にストアされた通常のファームウェア100は,データ記憶装置10の動作開始とともにメモリ12上にロードされ,実行される。メモリ12上で実行される通常のファームウェア100は,外部からの要求(Read要求/Write要求,ファームウェア書き換え要求など)に対する処理を行う。なお,ここでは,外部からの記憶媒体14へのアクセス(Read/Writeなどのアクセス)を可能とするファームウェアを,後述の別のファームウェアと区別するために,通常のファームウェア100と呼んでいる。
【0006】
データ記憶装置10を持って移動する場合などに,その運搬経路において,データ記憶装置10を紛失したり,盗難されたりすることがある。このとき,データ記憶装置10に記憶された情報が流出してしまうおそれがある。セキュリティの観点から情報流出に対してより厳しい管理を求められている今日では,安全にデータ記憶装置10の運搬を行うための技術の確立が急務となっている。
【0007】
なお,ここでのデータ記憶装置10の移動には,可搬のデータ記憶装置10を移動することに限らず,例えばデータ記憶装置10内蔵のノートパソコンを持って移動することや,データ記憶装置10内蔵のデスクトップパソコンを修理のために運ぶことなども含んでいる。
【0008】
盗難,紛失等により情報が流出することを防ぐ技術としては,例えば次のような技術がある。
(1)データ記憶装置10の記憶媒体14の全領域を無意味なデータで上書きする。
(2)データ記憶装置10を物理的な外力によって破壊する。なお,この技術は,データ記憶装置10の破棄が前提となっている。
(3)パスワード等の認証機能を追加してアクセスを制限する。
(4)データ記憶装置10の記憶媒体14上のデータを暗号化する。
【0009】
なお,本発明に先行する技術が記載された文献としては,例えば特許文献1などがある。特許文献1には,第三者による不正アクセスを防止するために,記録媒体へのリード/ライトアクセスを行うために必要なファームウェアを備えず,使用時に上位装置から記録媒体へのアクセスを可能とするファームウェアを揮発性メモリにダウンロードすることにより,記録媒体へのリード/ライトアクセスを行うストレージに関する技術が記載されている。
【特許文献1】特開2002−140172号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記の(1)〜(4)に示した技術には,様々な問題がある。
【0011】
上記の(1)に示す技術には,データが破壊され,以後データの内容を確認できなくなるという問題がある。また,データ記憶装置10のデータ記憶容量が急激に増加するにともない,データを書き換える(無意味なデータで上書きする)作業に膨大な時間が必要となるという問題がある。
【0012】
上記の(2)に示す技術には,データが破壊され(データ記憶装置10自身が破壊される),以後データの内容を確認できなくなる(データ記憶装置10が使用できなくなる)という問題がある。
【0013】
上記の(3)に示す技術には,パスワードが漏洩したり,解読されるとデータが流出してしまうおそれがあるという問題がある。
【0014】
上記の(4)に示す技術には,暗号キーが漏洩したり,解読されるとデータが流出してしまうおそれがあるという問題がある。また,データ記憶装置10のデータ記憶容量が急激に増加するにともない,データを書き換える(暗号化する)作業に膨大な時間が必要となるという問題がある。
【0015】
すなわち,上記の(1)〜(4)のどの技術を用いても,次の3つの問題点をすべて解決することはできない。
・データが破壊され,以後データの内容を確認できなくなる。
・データを書き換える作業に膨大な時間が必要となる。
・パスワードや暗号キーが漏洩したり,解読されるとデータが流出してしまうおそれがある。
【0016】
上記の特許文献1の技術では,この3つの問題点をすべて解決できる。しかし,特許文献1の技術では,ストレージの電源をONするたびに上位装置から揮発性メモリに記録媒体へのアクセスを可能とするファームウェアをダウンロードする必要があるため,そのようなファームウェアをダウンロードする機能を備えた上位装置でしかストレージを使用できないという問題や,記録媒体へのアクセス可/不可の制御をユーザ側でコントロールすることができないという問題が発生する。
【0017】
また,上記の特許文献1の技術では,記録媒体へのアクセスを可能とするファームウェアをダウンロードする機能を備えた上位装置であれば,どの上位装置でもストレージを利用できてしまうという問題がある。パスワード認証によって上位装置を識別する技術も記載されているが,上記の問題点と同様にパスワードが漏洩してしまうおそれがある。
【0018】
本発明は,上記の問題点の解決を図り,作業に手間や時間がかからず,またデータの復活が困難とならず,また漏洩や解読のおそれのある暗号化やパスワードを用いずに,データ記憶装置に記憶されたデータの流出を防止することが可能となる技術を提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明は,上記の課題を解決するため,通常の使用時にデータ記憶装置の不揮発性メモリに記憶されている記憶媒体へのアクセスが可能なファームウェアを,記憶媒体へのアクセスが不可能なファームウェアに書き換えることを特徴とする。この記憶媒体へのアクセスが不可能なファームウェアは,不揮発性メモリ上のファームウェアを書き換えることは許可するが,外部からの記憶媒体へのアクセスは禁止する。
【0020】
具体的には,本発明は,データ記憶装置の記憶媒体に記憶された情報を保護するための情報保護方法であって,記憶媒体に記憶された情報を保護する場合に,上位装置からのファームウェア書き換え要求に応じて,データ記憶装置の不揮発性メモリに格納された記憶媒体へのアクセス処理機能を有する通常の運用に用いられる第1のファームウェアを,記憶媒体へのアクセスを禁止する第2のファームウェアに書き換え,不揮発性メモリに格納された第2のファームウェアがデータ記憶装置の揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求である場合にそのファームウェアの書き換え要求を受け付け,上位装置からの記憶媒体へのアクセス要求については拒否することを特徴とする。
【0021】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,上位装置からの要求がファームウェアの書き換え要求である場合に,そのファームウェア書き換え要求を受け付け,要求された不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える手段と,上位装置からの要求が,記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として機能させることを特徴とする。
【0022】
このように,データ記憶装置の記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)がデータ記憶装置の不揮発性メモリに記憶された状態では,不揮発性メモリに記憶されたファームウェアの書き換えは許可されても,記憶媒体への外部からのアクセスが禁止される。
【0023】
記憶媒体への外部からのアクセスを禁止するための作業は,不揮発性メモリに記憶された記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)を,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)で書き換えるだけであるので,作業時間は短時間となる。また,記憶媒体へのアクセスは禁止されても,記憶媒体のデータは破壊されずにそのまま残るので,後のデータの復活が容易に可能となる。また,暗号化やパスワードを用いていないため,暗号キーやパスワードの漏洩による情報流出の心配もない。
【0024】
また,不揮発性メモリに記憶された記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)を,記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)に書き換えるだけで,再び外部からの記憶媒体へのアクセスを可能な状態に戻すことができる。すなわち,記憶媒体への外部からのアクセスを可能な状態にする作業も,記憶媒体への外部からのアクセスを禁止する作業と同様に,短時間ですむ。
【0025】
また,データ記憶装置を通常に使用しているときには,不揮発性メモリには記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)が記憶されているため,特許文献1に記載された技術のような特殊な機能を備えた上位装置でなくても,普通にデータ記憶装置を接続して使用することができる。また,上位装置との接続やデータ記憶装置の電源のON/OFFに関わらず,記憶媒体への外部からのアクセスを可能な状態にする作業を行うまで,記憶媒体への外部からのアクセス禁止状態が解除されないため,特許文献1に記載された技術とは異なり,記憶媒体へのアクセス可/不可の制御をユーザ側でコントロールすることができる。
【0026】
また,本発明は,上記の情報保護方法において,不揮発性メモリに第2のファームウェアが格納されている場合に,上位装置において動作するファームウェア書き換えツールが,不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える要求を禁止することを特徴とする。
【0027】
また,本発明は,データ記憶装置に接続されたコンピュータが実行するファームウェア書き換えプログラムは,コンピュータを,データ記憶装置の不揮発性メモリに新たに書き込むファームウェアを保持する手段と,不揮発性メモリに格納されたファームウェアの書き換え指示を受け付ける手段と,ファームウェアの書き換え指示を受け付けた場合に,不揮発性メモリに格納されたファームウェアが,記憶媒体へのアクセス処理機能を持たない情報保護用のアクセス禁止ファームウェアであるか否かを判定する手段と,不揮発性メモリに格納されたファームウェアがアクセス禁止ファームウェアである場合に,データ記憶装置に対するファームウェアの書き換え要求の発行を抑止し,アクセス禁止ファームウェアでない場合に,データ記憶装置に対するファームウェアの書き換え要求を発行する手段として機能させることを特徴とする。
【0028】
一般に公開するファームウェア書き換えプログラム(ファームウェア書き換えツール)を,このような記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア,アクセス禁止ファームウェア)を書き換えることができないファームウェア書き換えプログラムだけとし,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア,アクセス禁止ファームウェア)を書き換えることができるファームウェア書き換えプログラム(ファームウェア書き換えツール)を非公開とすれば,データ記憶装置の記憶媒体へのアクセスの禁止状態を,第三者が簡単に解除することができなくなる。
【0029】
また,本発明は,上記の情報保護方法において,少なくとも不揮発性メモリに格納されている第2のファームウェアが揮発性メモリにロードされている場合に,ファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値は不許可とし,不許可のモードでは,不揮発性メモリにおけるファームウェアの書き換えを禁止し,モードの切り替え要求に対してモードを不許可から許可に切り替え,許可のモードでは,不揮発性メモリにおけるファームウェアの書き換えを許可することを特徴とする。
【0030】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,不揮発性メモリにおけるファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値を不許可とする手段と,不許可のモードでは,上位装置からのファームウェアの書き換え要求に対し,その要求を拒否する手段と,上位装置からのモードの切り替え要求に対して,モードを不許可から許可に切り替える手段と,許可のモードでは,上位装置からのファームウェアの書き換え要求に対し,その要求を許可し,ファームウェアの書き換えを実行する手段として機能させることを特徴とする。
【0031】
このように,初期状態を常に不許可のモードとし,モードを許可のモードに切り替えた場合にのみファームウェア書き換えを行えるようにすれば,モードを切り替えるためのコマンドを知らない第三者が,データ記憶装置の記憶媒体へのアクセスの禁止状態を解除することができなくなる。
【0032】
また,本発明は,上記の情報保護方法において,不揮発性メモリに格納されている第2のファームウェアが揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合にのみ,書き換え要求を受け付け,不揮発性メモリに格納されている第2のファームウェアを第3のファームウェアに書き換えることを特徴とする。
【0033】
また,データ記憶装置が備えるプロセッサに実行させる第2のファームウェアは,プロセッサを,上位装置からの要求がファームウェアの書き換え要求であり,かつ書き換え対象となる新たなファームウェアが,第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合に,その書き換え要求を受け付け,不揮発性メモリに格納されている第2のファームウェアを,第3のファームウェアに書き換える手段と,上位装置からの要求がファームウェアの書き換え要求であっても,書き換え対象となる新たなファームウェアが第3のファームウェア以外である場合に,その書き換え要求を拒否する手段と,上位装置からの要求が記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として機能させることを特徴とする。
【0034】
このように,不揮発性メモリに記憶された記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)を上書きできるファームウェアを,あらかじめ決められた特定のファームウェア(第3のファームウェア)に限定することにより,その特定のファームウェア(第3のファームウェア)を持たない第三者が,データ記憶装置の記憶媒体へのアクセスの禁止状態を解除することができなくなる。
【0035】
また,本発明は,上記の情報保護方法において,不揮発性メモリに格納されている第i(iは3以上の整数)のファームウェアが揮発性メモリにロードされている状態では,上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが第iのファームウェアの書き換え禁止を解除するための第(i+1)のファームウェアである場合にのみ,書き換え要求を受け付け,不揮発性メモリに格納されている第iのファームウェアを第(i+1)のファームウェアに書き換え,不揮発性メモリに格納されている第n(nは4以上の所定の整数)のファームウェアが揮発性メモリにロードされている状態では,記憶媒体へのアクセス処理機能を有する第1のファームウェアへの書き換えを許可することを特徴とする。
【0036】
このように,不揮発性メモリに記憶されたファームウェアをあらかじめ決められた特定のファームウェアのみで上書きできるという関係を,多段階に組み合わせることにより,よりセキュリティ効果を高めることが可能となる。例えば,記憶媒体へのアクセスが不可能なファームウェア(第2のファームウェア)は特定のファームウェア1のみで書き換え可能,特定のファームウェア1は特定のファームウェア2のみで書き換え可能,... ,特定のファームウェアi−1は特定のファームウェアiのみで書き換え可能といったように,多段階に不揮発性メモリのファームウェアを書き換えるようにし,その最後に記憶媒体へのアクセスが可能なファームウェア(第1のファームウェア)で書き換えるようにすれば,たとえ特定のファームウェアの1つが流出しても,第3者がその流出した1つの特定のファームウェアだけでデータ記憶装置の記憶媒体へのアクセスの禁止状態を解除することはできない。
【発明の効果】
【0037】
本発明により,不揮発性メモリのファームウェアを書き換えるだけで,データ記憶装置の記憶媒体の容量に関係なく,短時間の作業で,データ記憶装置の記憶媒体のデータを保護することができる。同様に,データ記憶装置の記憶媒体のデータ保護状態を回復する作業も,短時間ですむ。
【0038】
また,データ記憶装置の記憶媒体のデータが保護された状態になっても,記憶媒体のデータは破壊されない。そのため,データ記憶装置の記憶媒体のデータ保護状態を回復すれば,記憶媒体のデータを再度確認することができる。
【0039】
また,データ記憶装置の記憶媒体のデータを保護するために暗号化やパスワードを用いていないため,暗号キーやパスワードの漏洩による情報流出の心配もない。
【発明を実施するための最良の形態】
【0040】
以下,本発明の実施の形態について,図を用いて説明する。
【0041】
図1は,本発明の実施の形態によるデータ記憶装置の例を示す図である。ここでは,情報処理装置20(コンピュータ)に接続される可搬のデータ記憶装置10の例を説明する。図1のデータ記憶装置10は,図19に示すデータ記憶装置10と同じものであり,制御部(CPU)11,メモリ12,EEPROM13,記憶媒体14を備える。
【0042】
データ記憶装置10のEEPROM13には,当初,通常のファームウェア100がストアされている。データ記憶装置10を起動すると,EEPROM13の通常のファームウェア100がメモリ12にロードされ,情報処理装置20からのデータ記憶装置10の記憶媒体14へのRead/Writeなどのアクセスが可能な状態となる。
【0043】
図2は,通常のファームウェアの機能構成例を示す図である。通常のファームウェア100は,要求受付処理部101,ファームウェア書き換え処理部102,記憶媒体アクセス処理部103を備える。要求受付処理部101は,外部からの要求を受け付ける。ファームウェア書き換え処理部102は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。記憶媒体アクセス処理部103は,外部からのRead要求/Write要求などの要求にしたがって,記憶媒体14へのアクセス処理を行う。
【0044】
図3は,通常のファームウェアの処理フローチャートである。メモリ12上で動作中の通常のファームウェア100は,外部からの要求を受け付けると(ステップS10),その外部からの要求がどのような要求であるかを判別する(ステップS11)。外部からの要求がRead要求であれば,記憶媒体14からのデータの読み込み処理を行う(ステップS12)。外部からの要求がWrite要求であれば,記憶媒体14へのデータの書き込み処理を行う(ステップS13)。外部からの要求がファームウェア書き換え要求であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS14)。
【0045】
図1に示すように,情報処理装置20には,ファームウェア書き換えツール200がインストールされている。ファームウェア書き換えツール200は,データ記憶装置10のEEPROM13のファームウェアを書き換えるためのプログラムである。ファームウェア書き換えツール200を用いて,例えば,通常のファームウェア100がバージョンアップされた場合などに,そのバージョンアップされた通常のファームウェア100で,EEPROM13の通常のファームウェア100を更新することができる。
【0046】
また,ファームウェア書き換えツール200を用いてEEPROM13のファームウェアを書き換えることにより,データ記憶装置10の記憶媒体14へのRead/Writeなどのアクセスを禁止することができる。すなわち,ファームウェア書き換えツール200を用いて,EEPROM13に記憶された通常のファームウェア100を,データ記憶装置10への記憶媒体14へのアクセスができないファームウェアに書き換えることにより,データ記憶装置10の記憶媒体14へのアクセスを禁止する。ここでは,記憶媒体14へのアクセスができないファームウェアを,アクセス禁止ファームウェア110と呼ぶものとする。
【0047】
図4は,記憶媒体へのアクセスを禁止する場合のファームウェア書き換えの例を説明する図である。なお,図4では,図1のデータ記憶装置10において,特にメモリ12とEEPROM13の部分にのみ着目している。
【0048】
図4(A)は,記憶媒体14へのアクセスが可能な状態の例を示す。EEPROM13には通常のファームウェア100がストアされており,データ記憶装置10の起動と同時にEEPROM13の通常のファームウェア100がメモリ12上にロードされ,実行される。これにより,外部からの記憶媒体14へのアクセスが可能な状態となる。
【0049】
図4(B)は,EEPROM13の通常のファームウェア100がアクセス禁止ファームウェア110に書き換えられた状態の例を示す。データ記憶装置10の記憶媒体14へのアクセスを禁止したい場合には,ファームウェア書き換えツール200によって,EEPROM13の通常のファームウェア100を,アクセス禁止ファームウェア110に書き換えればよい。
【0050】
メモリ12上で動作している通常のファームウェア100は,情報処理装置20からのファームウェア書き換え要求を受け,EEPROM13のファームウェア書き換え処理を行う。情報処理装置20からはアクセス禁止ファームウェア110が送られてくる。メモリ12上で動作している通常のファームウェア100は,EEPROM13にストアされた通常のファームウェア100を,情報処理装置20から受け取ったアクセス禁止ファームウェア110で書き換える。
【0051】
図4(C)は,記憶媒体14へのアクセスが禁止された状態の例を示す。ファームウェア書き換え後,データ記憶装置10はリセットされる。データ記憶装置10のリセットは,自動で実行されてもよいし,ユーザが手動で行ってもよい。データ記憶装置10がリセットされると,EEPROM13にストアされたアクセス禁止ファームウェア110がメモリ12上にロードされ,実行される。これにより,外部からの記憶媒体14へのアクセスが禁止された状態となる。
【0052】
アクセス禁止ファームウェア110は,外部からのRead要求/Write要求などの記憶媒体14へのアクセス要求を受付けない。ただし,外部からのファームウェア書き換え要求は受け付ける。データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除したい場合には,EEPROM13のアクセス禁止ファームウェア110を通常のファームウェア100で書き換えればよい。
【0053】
図5は,アクセス禁止ファームウェアの機能構成例(1)を示す図である。アクセス禁止ファームウェア110は,要求受付判定処理部111,ファームウェア書き換え処理部112を備える。要求受付判定処理部111は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けることができないので,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。
【0054】
図6は,アクセス禁止ファームウェアの処理フローチャート(1)である。メモリ12上で動作中のアクセス禁止ファームウェア110は,外部からの要求を受けると(ステップS20),その外部からの要求がファームウェア書き換え要求であるか否かを判定する(ステップS21)。外部からの要求がファームウェア書き換え要求であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS22)。外部からの要求がファームウェア書き換え要求以外の要求であれば,エラー応答する(ステップS23)。
【0055】
このように,EEPROM13に記憶された通常のファームウェア100をアクセス禁止ファームウェア110で書き換えるだけで,データ記憶装置10に記憶されたデータの流出を防止することができる。また,EEPROM13上のファームウェアを書き換えるだけであるので,記憶媒体14のデータが破壊されず,また短時間でのデータ保護が可能となる。また,パスワードや暗号化を用いていないので,パスワードや暗号キーの漏洩や解読によりデータが流出するおそれもない。
【0056】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,ファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110を,通常のファームウェア100で書き換えればよい。
【0057】
ファームウェア書き換えツール200が一般に公開されたプログラムである場合には,ファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110をさらに通常のファームウェア100に書き換えることにより,記憶媒体14へのアクセスが可能となってしまうことも考えられる。これでは,暗号化やパスワードロックを行った場合に暗号キーやパスワードが解読されてしまうケースと同じになってしまう可能性がある。
【0058】
したがって,より安全なデータ保護を実現するためには,アクセス禁止ファームウェア110の書き換えを,原則禁止にしなければならない。以下,アクセス禁止ファームウェア110の書き換えを原則禁止にする技術について説明する。
【0059】
〔ファームウェア書き換えツールによるファームウェア書き換え制御〕
ファームウェア書き換えツール200の処理で,EEPROM13に記憶されたアクセス禁止ファームウェア110の書き換え可否の判断を行う技術を説明する。ファームウェア書き換えツール200では,EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110以外のファームウェアである場合にのみ,EEPROM13のファームウェア書き換え要求を発行する。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110である場合には,ファームウェア書き換えを行わないように制御する。
【0060】
図7は,ファームウェア書き換えツールの機能構成例を示す図である。ファームウェア書き換えツール200は,指示受付部201,ファームウェア書き換え可否判定部202,ファームウェア書き換え処理部203,書き換え用ファームウェア保持部204を備える。
【0061】
指示受付部201は,ユーザからのファームウェア書き換えの指示を受け付ける。ファームウェア書き換え可否判定部202は,データ記憶装置10のEEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110である場合には,ファームウェア書き換えが不可能であると判定し,エラー応答する。ファームウェア書き換え処理部203は,ファームウェア書き換えが可能である場合に,データ記憶装置10にファームウェア書き換え要求を発行し,ファームウェア書き換えに用いるファームウェアをデータ記憶装置10に送るなど,データ記憶装置10のEEPROM13に記憶されたファームウェアの書き換え処理を行う。書き換え用ファームウェア保持部204は,ファームウェア書き換えに用いるファームウェアを保持する。
【0062】
図8は,ファームウェア書き換えツールの処理フローチャートである。ファームウェア書き換えツール200は,ファームウェア書き換えの指示を受け付けると(ステップS30),データ記憶装置10のEEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110であるか否かを判定する(ステップS31)。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110でなければ,ファームウェア書き換え処理を行う(ステップS32)。EEPROM13に記憶されたファームウェアがアクセス禁止ファームウェア110であれば,エラー応答する(ステップS33)。
【0063】
このように,ファームウェア書き換えツール200ではEEPROM13に記憶されたアクセス禁止ファームウェア110を書き換えることができないように制御することにより,データ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単には解除できなくすることができる。
【0064】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除する場合には,アクセス禁止ファームウェア110を書き換えることができる特別なファームウェア書き換えツール200が必要となる。この特別なファームウェア書き換えツール200を非公開とすれば,第三者がデータ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単に解除することはできなくなる。
【0065】
〔モード切り替えによるファームウェア書き換え制御〕
アクセス禁止ファームウェア110の処理で,モード切り替えにより,EEPROM13に記憶されたアクセス禁止ファームウェア110の書き換え可否の切り替えを行う技術を説明する。ここでは,ファームウェア書き換えの可否は,モードで設定される。モードにはファームウェア書き換えが許可される“許可状態”と,ファームウェア書き換えが禁止される“不許可状態”の2つがあり,メモリ12上のフラグで設定される。なお,モードのデフォルトは,“不許可状態”である。
【0066】
図9は,アクセス禁止ファームウェアの機能構成例(2)を示す図である。アクセス禁止ファームウェア110’は,要求受付判定処理部111,ファームウェア書き換え処理部112,モード切り替え処理部113,モード情報114を備える。
【0067】
要求受付判定処理部111は,外部からの要求を受け付けられるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,モードが“不許可状態”であれば,その要求を受け付けられないので,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。モード切り替え処理部113は,外部からの状態切り替え要求にしたがって,モード切り替えを行う。モード情報114は,モードが設定されるメモリ12上のフラグである。
【0068】
図10は,アクセス禁止ファームウェアの処理フローチャート(2)である。メモリ12上で動作中のアクセス禁止ファームウェア110’は,外部からの要求を受けると(ステップS40),その外部からの要求が状態切り替え要求であるか否かを判定する(ステップS41)。外部からの要求が状態切り替え要求であれば,モード情報114を切り替える(ステップS42)。モード情報114が“不許可状態”である場合には,状態切り替え要求により,モード情報114が“許可状態”に切り替わる。
【0069】
外部からの要求が状態切り替え要求でなければ,その外部からの要求がファームウェア書き換え要求であるかを判定する(ステップS43)。外部からの要求がファームウェア書き換え要求でなければ,エラー応答する(ステップS44)。
【0070】
外部からの要求がファームウェア書き換え要求であれば,モード情報114を確認する(ステップS45)。モード情報114が“許可状態”であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS46)。モード情報114が“不許可状態”であれば,エラー応答する(ステップS44)。
【0071】
このように,初期状態では常にファームウェア書き換え禁止状態(モードを“不許可状態”)としておき,ファームウェア書き換え要求に対する通常の手順でのファームウェア書き換えを禁止する。EEPROM13のアクセス禁止ファームウェア110’を書き換えたい場合には,モード切り替えのコマンドにより禁止状態を解除(モードを“許可状態”)してから,ファームウェア書き換えを行う。
【0072】
モードを“許可状態”に切り替える機能を持つファームウェア書き換えツール200を非公開とすれば,またはモードを“許可状態”に切り替えるためのコマンドを非公開とすれば,第三者がデータ記憶装置10の記憶媒体14へのアクセス禁止状態を簡単に解除することはできなくなる。
【0073】
これにより,一般公開されたファームウェア書き換えの手順によって,EEPROM13上のアクセス禁止ファームウェア110’が簡単に書き換えられることにより,記憶媒体14のデータが流出してしまうことを防ぐことができる。
【0074】
〔解除用ファームウェアによるファームウェア書き換え制御〕
前述のファームウェア書き換えツールによるファームウェア書き換え制御の技術や,モード切り替えによるファームウェア書き換え制御の技術では,ファームウェア書き換えを行う側の処理に抑止メカニズムが存在するため,その抑止メカニズムが解読されると,データが流出してしまうおそれがある。
【0075】
そこで,EEPROM13上のアクセス禁止ファームウェア110を,特定のファームウェア以外では上書きできないようにする。以下では,EEPROM13上のアクセス禁止ファームウェア110を上書きすることができる特定のファームウェアを,ファームウェア書き換えの禁止状態を解除することが可能なファームウェアという意味で,解除用ファームウェア120と呼ぶ。
【0076】
図11は,アクセス禁止ファームウェアの機能構成例(3)を示す図である。図11に示すアクセス禁止ファームウェア110”は,特定の解除用ファームウェア120以外では上書きすることができないファームウェアである。アクセス禁止ファームウェア110”は,要求受付判定処理部111,ファームウェア書き換え処理部112,ファームウェア識別判定部115を備える。
【0077】
要求受付判定処理部111は,外部からの要求を受け付けられるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120以外のファームウェアであれば,エラー応答する。ファームウェア書き換え処理部112は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。ファームウェア識別判定部115は,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120であるか否かを判定する。
【0078】
図12は,解除用ファームウェアの機能構成例(1)を示す図である。図12に示す解除用ファームウェア120の機能構成は,図5に示すアクセス禁止ファームウェア110の機能構成と同じである。すなわち,ここで説明する解除用ファームウェア120は,記憶媒体14へのアクセスを禁止するが,ファームウェア書き換えを禁止しないファームウェアである。
【0079】
解除用ファームウェア120は,要求受付判定処理部121,ファームウェア書き換え処理部122を備える。要求受付判定処理部121は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。ファームウェア書き換え処理部122は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。
【0080】
図13は,解除用ファームウェアによってファームウェア書き換え禁止の状態を解除する例を説明する図である。なお,図13では,データ記憶装置10において,特にメモリ12とEEPROM13の部分にのみ着目している。
【0081】
図13(A)は,記憶媒体14へのアクセスが禁止された状態の例を示す。EEPROM13にはアクセス禁止ファームウェア110”がストアされており,データ記憶装置10の起動と同時にEEPROM13のアクセス禁止ファームウェア110”がメモリ12上にロードされる。解除用ファームウェア120でのファームウェア書き換え要求以外の外部からの要求は,受け付けられない状態となる。
【0082】
図13(B)は,EEPROM13のアクセス禁止ファームウェア110”が解除用ファームウェア120に書き換えられた状態の例を示す。データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除したい場合には,解除用ファームウェア120でのファームウェア書き換え要求を行えばよい。
【0083】
メモリ12上で動作しているアクセス禁止ファームウェア110”は,外部からのファームウェア書き換え要求を受けたときに,EEPROM13上に新たに書き込まれるファームウェアが解除用ファームウェア120であるかを判定し,解除用ファームウェア120である場合には,EEPROM13のファームウェア書き換え処理を行う。解除用ファームウェア120以外のファームウェアであれば,EEPROM13のファームウェア書き換え処理を行わない。なお,解除用ファームウェア120の識別は,例えば,ファームウェア版数や,そのチェックサムデータ,シリアル番号等を確認することにより行うことができる。
【0084】
図13(B)では,外部から解除用ファームウェア120が送られてくる。メモリ12上で動作しているアクセス禁止ファームウェア110”は,EEPROM13にストアされたアクセス禁止ファームウェア110”を,外部から受け取った解除用ファームウェア120で書き換える。
【0085】
図13(C)は,ファームウェア書き換えが可能な状態の例を示す。ファームウェア書き換え後,データ記憶装置10はリセットされる。データ記憶装置10のリセットは,自動で実行されてもよいし,ユーザが手動で行ってもよい。データ記憶装置10がリセットされると,EEPROM13にストアされた解除用ファームウェア120がメモリ12上にロードされ,EEPROM13上のファームウェアを特定のファームウェア以外のファームウェアでも書き換えることができるようになる。これは,ファームウェア書き換えが禁止されない図5に示すようなアクセス禁止ファームウェア110がメモリ12上で動作する状態と同じである。
【0086】
図13(D)は,EEPROM13の解除用ファームウェア120が通常のファームウェア100に書き換えられた状態の例を示す。解除用ファームウェア120は,ファームウェア書き換えが禁止されていないので,外部からのファームウェア書き換え要求で簡単に通常のファームウェア100に書き換えることができる。この後データ記憶装置10をリセットすれば,EEPROM13の通常のファームウェア100がメモリ12にロードされ,通常に記憶媒体14へのアクセスが可能な状態となる。
【0087】
図14は,アクセス禁止ファームウェアの処理フローチャート(3)である。メモリ12上で動作中のアクセス禁止ファームウェア110”は,外部からの要求を受けると(ステップS50),その外部からの要求がファームウェア書き換え要求であるか否かを判定する(ステップS51)。外部からの要求がファームウェア書き換え要求でなければ,エラー応答する(ステップS52)。
【0088】
外部からの要求がファームウェア書き換え要求であれば,新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120であるか否かを判定する(ステップS53)。新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120であれば,EEPROM13のファームウェア書き換え処理を行う(ステップS54)。新たにEEPROM13に上書きするファームウェアが解除用ファームウェア120でなければ,エラー応答する(ステップS52)。
【0089】
これにより,一般公開されたファームウェアでEEPROM13に記憶されたアクセス禁止ファームウェア110”を書き換えようとしてもエラーで終了してしまい,ファームウェア書き換えが失敗した原因も外部からは推測不能となる。解除用ファームウェア120は公開されないため,解除用ファームウェア120の存在を知らない第三者が,EEPROM13に記憶されたアクセス禁止ファームウェア110”を書き換えることはできない。
【0090】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,解除用ファームウェア120を保持するファームウェア書き換えツール200によって,EEPROM13のアクセス禁止ファームウェア110”を解除用ファームウェア120で書き換え,さらにその解除用ファームウェア120を通常のファームウェア100で書き換えればよい。
【0091】
なお,ここでは,アクセス禁止ファームウェア110”を解除用ファームウェア120で書き換えてから通常のファームウェア100に書き換える例を説明したが,特定の通常のファームウェア100を解除用ファームウェア120として,直接アクセス禁止ファームウェア110”を書き換えるようにしてもよい。ただし,この場合には,特定の通常のファームウェア100を公開してしまうと,第三者によってデータ記憶装置10の記憶媒体14へのアクセス禁止状態が解除されてしまうおそれがある。
【0092】
〔多段階の解除用ファームウェアによるファームウェア書き換え制御〕
さらに,解除用ファームウェア120によるファームウェア書き換え制御の技術を多段階に組み合わせることにより,セキュリティをより強固にすることが可能である。
【0093】
図15は,多段階の解除用ファームウェアによるファームウェア書き換え制御を説明する図である。ここでは,解除用ファームウェア120を3段階に組み合わせた場合の例を説明する。
【0094】
図15において,記憶媒体14へのアクセスが禁止されたアクセス禁止ファームウェア110”は,解除用ファームウェア120aでのみ書き換えることが可能である。その解除用ファームウェア120aは,記憶媒体14へのアクセスが禁止されたファームウェアである。また,解除用ファームウェア120aは,特定のファームウェア以外では書き換えることができない。すなわち,解除用ファームウェア120aは,アクセス禁止ファームウェア110”と同じ動作を行う。
【0095】
記憶媒体14へのアクセスが禁止された解除用ファームウェア120aは,解除用ファームウェア120bでのみ書き換えることが可能である。その解除用ファームウェア120bは,記憶媒体14へのアクセスが禁止されたファームウェアである。また,解除用ファームウェア120bは,特定のファームウェア以外では書き換えることができない。すなわち,解除用ファームウェア120bは,アクセス禁止ファームウェア110”,解除用ファームウェア120aと同じ動作を行う。
【0096】
記憶媒体14へのアクセスが禁止された解除用ファームウェア120bは,解除用ファームウェア120cでのみ書き換えることが可能である。その解除用ファームウェア120cは,記憶媒体14へのアクセスが禁止されたファームウェアである。ただし,解除用ファームウェア120cは,どのファームウェアでも書き換えることができる。すなわち,解除用ファームウェア120cは,図5に示すアクセス禁止ファームウェア110と同じ動作を行う。
【0097】
この解除用ファームウェア120cを通常のファームウェア100で書き換えると,データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除することができる。なお,解除用ファームウェア120cが特定の通常のファームウェア100であってもよい。
【0098】
図16は,解除用ファームウェアの機能構成例(2)を示す図である。図16に示す解除用ファームウェア120’の機能構成は,図11に示すアクセス禁止ファームウェア110”の機能構成と同じである。すなわち,ここで説明する解除用ファームウェア120’は,特定の解除用ファームウェア120(または120’)以外では上書きすることができないファームウェアである。図15における解除用ファームウェア120a,120bは,この解除用ファームウェア120’に相当する。解除用ファームウェア120’は,要求受付判定処理部121,ファームウェア書き換え処理部122,ファームウェア識別判定部123を備える。
【0099】
要求受付判定処理部121は,外部からの要求を受け付けるか否かを判定する。例えば,外部からの要求が記憶媒体14へのアクセス要求である場合には,その要求を受け付けられないので,エラー応答する。また,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが特定の解除用ファームウェア120(または120’)以外のファームウェアであれば,エラー応答する。ファームウェア書き換え処理部122は,外部からのファームウェア書き換え要求にしたがって,EEPROM13のファームウェア書き換え処理を行う。ファームウェア識別判定部123は,外部からの要求がファームウェア書き換え要求である場合に,EEPROM13上に新たに書き込まれるファームウェアが特定の解除用ファームウェア120(または120’)であるか否かを判定する。
【0100】
このように,解除用ファームウェア120によるファームウェア書き換え制御の技術を多段階に組み合わせることにより,たとえ解除用ファームウェア120(または120’)の一つが流出してしまったとしても,データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除することはできなくなる。段階数が多ければ多いほど,セキュリティ効果は高くなる。
【0101】
データ記憶装置10の記憶媒体14へのアクセス禁止状態を解除するためには,複数の解除用ファームウェア120(または120’)を保持するファームウェア書き換えツール200によって,多段階にEEPROM13のファームウェア書き換えを行う必要がある。この多段階のファームウェア書き換えの作業は,非常に時間がかかるように見えるが,実際にはあまり時間がかからない。
【0102】
EEPROM13などの不揮発性半導体メモリは他の磁気記憶媒体などに比べてアクセス速度が速く,また書き換えに使用するファームウェアは非常に小さいプログラムであるため,1回のファームウェア書き換えの作業にそれほどの時間を必要としない。n個(nは正の整数)の解除用ファームウェア120(または120’)による多段階のファームウェア書き換え作業によって,データ記憶装置10のデータ保護解除を行う場合であっても,データ記憶装置10の記憶媒体14の容量に関係なく,(n+1)×(1回のファームウェア書き換え作業時間)で作業が終了する。
【0103】
また,解除用ファームウェア120(または120’)の適用順序通りに自動的に解除を行うようにバッチ処理化することにより,1つずつファームウェア書き換えの作業を指示する必要がなくなるため,データ記憶装置10のデータ保護解除を行う作業者の手間もかからない。
【0104】
また,多段階の解除用ファームウェア120によるファームウェア書き換え制御を行う場合であっても,データ記憶装置10の記憶媒体14へのアクセスを禁止するときには,通常のファームウェア100をアクセス禁止ファームウェア110”に書き換えるという1回のファームウェア書き換えを行えばよいため,データ記憶装置10のデータ保護を行う作業の時間も,作業者の手間もかからない。
【0105】
以上,本発明の実施の形態について説明したが,本発明はこれに限られるものではない。例えば,本実施の形態ではアクセス禁止ファームウェア110の書き換えを原則禁止にする技術を別々に説明したが,それらの技術を複数組み合わせて実施することも可能である。複数の技術を組み合わせることにより,より高いセキュリティ効果が得られる。
【実施例】
【0106】
以下,本発明のより具体的な実施例について説明する。
【0107】
図17は,本発明の実施例の状況を説明する図である。ここでは,ユーザがベンダに可搬のハードディスク500(データ記憶装置10に相当)の修理依頼を行う場合の例を説明する。ユーザは,ハードディスク500の性能(処理速度)が悪くなったため,性能劣化の原因を調査し,修理することをベンダに依頼する。
【0108】
まず,ユーザは,ユーザパソコン600にハードディスク500を接続する。ハードディスク500の不揮発性メモリには,そのハードディスク500の記憶媒体へのアクセスが可能な製品版ファームウェア510(通常のファームウェア100に相当)が書き込まれている。
【0109】
ユーザパソコン600には,ベンダが一般に公開しているファームウェア書き換えツール610がインストールされている。ファームウェア書き換えツール610には,ハードディスク500の記憶媒体への外部からのアクセスを禁止するためのアクセス禁止ファームウェア520が保持されている。このファームウェア書き換えツール610は,ハードディスク500の不揮発性メモリに書き込まれている製品版ファームウェア510を他のファームウェアで書き換える機能を備えているが,ハードディスク500の不揮発性メモリに書き込まれているアクセス禁止ファームウェア520を他のファームウェアで書き換える機能を備えていない。
【0110】
ユーザは,ユーザパソコン600にインストールされたファームウェア書き換えツール610を操作し,ハードディスク500の不揮発性メモリ上の製品版ファームウェア510を,ファームウェア書き換えツール610が保持するアクセス禁止ファームウェア520で書き換える。これで,ハードディスク500の記憶媒体への外部からのアクセスが禁止され,ハードディスク500のデータが保護された状態となる。
【0111】
このように,記憶媒体への外部からのアクセスが禁止された状態のハードディスク500を,ベンダの工場に送付する。ハードディスク500の記憶媒体への外部からのアクセスは禁止されているため,運搬途中にハードディスク500の盗難,紛失等があっても,第三者がハードディスク500に記憶されたデータにアクセスすることはできない。一般に公開されたファームウェア書き換えツール610では,ハードディスク500の不揮発性メモリに書き込まれたアクセス禁止ファームウェア520を書き換えることができないため,ベンダ関係者以外ではハードディスク500の記憶媒体へのアクセス禁止状態を解除することもできない。
【0112】
ベンダの工場にハードディスク500が届くと,ベンダ側の作業者は,ベンダパソコン700に送られてきたハードディスク500を接続する。ベンダパソコン700には,一般に公開されていない特別なファームウェア書き換えツール710がインストールされている。このファームウェア書き換えツール710は,ハードディスク500の不揮発性メモリに書き込まれているアクセス禁止ファームウェア520を他のファームウェアで書き換える機能を備えている。また,ファームウェア書き換えツール710には,多段階の解除用ファームウェアによるファームウェア書き換え制御に対応するための複数の解除用ファームウェア530と,ハードディスク500の記憶媒体へのアクセスを可能とする製品版ファームウェア510とが保持されている。
【0113】
作業者は,ベンダパソコン700にインストールされたファームウェア書き換えツール710を操作し,バッチ処理により,ハードディスク500の不揮発性メモリ上のアクセス禁止ファームウェア520を,多段階に解除用ファームウェア530で書き換え,最後に製品版ファームウェア510で書き換える。これで,ハードディスク500の記憶媒体への外部からのアクセスが可能な状態となる。作業者は,ハードディスク500の記憶媒体への外部からのアクセスが可能な状態で,ハードディスク500の調査を行うことができる。
【0114】
図18は,本実施例のハードディスクのファームウェア適用状態の変遷を示す図である。送付元(ユーザ側)において,当初,ハードディスク500には製品版ファームウェア510が適用されている。ユーザは,ベンダ側に送付する前に製品版ファームウェア510をアクセス禁止ファームウェア520に書き換え,ハードディスク500はアクセス禁止ファームウェア520が適用された状態となる。
【0115】
運搬中はハードディスク500にアクセス禁止ファームウェア520が適用された状態なので,データ保護状態での安全な運搬が可能となる。
【0116】
送付先(ベンダ側)には,アクセス禁止ファームウェア520が適用された状態で,ハードディスク500が届く。送付先(ベンダ側)では,作業者は,ハードディスク500に適用されているアクセス禁止ファームウェア520を,解除用ファームウェア530(1段階目),解除用ファームウェア530(2段階目),... ,解除用ファームウェア530(n段階目)と,多段階に書き換えていき,最後に製品版ファームウェア510に書き換える。作業者は,製品版ファームウェア510が適用された状態で,ハードディスク500の検査,修復などを行う。なお,ベンダ側での一連の作業は,バッチ処理化することが可能である。
【0117】
以上説明した実施例以外でも,本発明の様々な利用例がある。例えば,各支社の重要な機密情報を本社に集めるときに,電子メールでは安全性に問題があるため,データ記憶装置を用いて本社に情報を送るといった状況を想定する。このとき,各支社ではデータ記憶装置の通常のファームウェアを記憶媒体へのアクセスが禁止されたファームウェアに書き換えて本社に送付する。記憶媒体へのアクセスが禁止されたファームウェアを通常のファームウェアに書き換えることができるツールを本社のみで使用できる環境とすれば,漏洩することなく,安全に各支社の重要な機密情報を本社に集めることができる。
【図面の簡単な説明】
【0118】
【図1】本発明の実施の形態によるデータ記憶装置の例を示す図である。
【図2】通常のファームウェアの機能構成例を示す図である。
【図3】通常のファームウェアの処理フローチャートである。
【図4】記憶媒体へのアクセスを禁止する場合のファームウェア書き換えの例を説明する図である。
【図5】アクセス禁止ファームウェアの機能構成例(1)を示す図である。
【図6】アクセス禁止ファームウェアの処理フローチャート(1)である。
【図7】ファームウェア書き換えツールの機能構成例を示す図である。
【図8】ファームウェア書き換えツールの処理フローチャートである。
【図9】アクセス禁止ファームウェアの機能構成例(2)を示す図である。
【図10】アクセス禁止ファームウェアの処理フローチャート(2)である。
【図11】アクセス禁止ファームウェアの機能構成例(3)を示す図である。
【図12】解除用ファームウェアの機能構成例(1)を示す図である。
【図13】解除用ファームウェアによってファームウェア書き換え禁止の状態を解除する例を説明する図である。
【図14】アクセス禁止ファームウェアの処理フローチャート(3)である。
【図15】多段階の解除用ファームウェアによるファームウェア書き換え制御を説明する図である。
【図16】解除用ファームウェアの機能構成例(2)を示す図である。
【図17】本発明の実施例の状況を説明する図である。
【図18】本実施例のハードディスクのファームウェア適用状態の変遷を示す図である。
【図19】一般的なデータ記憶装置の構成例を示す図である。
【符号の説明】
【0119】
10 データ記憶装置
11 制御部(CPU)
12 メモリ
13 EEPROM
14 記憶媒体
20 情報処理装置
100 通常のファームウェア
101 要求受付処理部
102 ファームウェア書き換え処理部
103 記憶媒体アクセス処理部
110,110’,110” アクセス禁止ファームウェア
111 要求受付判定処理部
112 ファームウェア書き換え処理部
113 モード切り替え処理部
114 モード情報
115 ファームウェア識別判定部
120 解除用ファームウェア
121 要求受付判定処理部
122 ファームウェア書き換え処理部
123 ファームウェア識別判定部
200 ファームウェア書き換えツール
201 指示受付部
202 ファームウェア書き換え可否判定部
203 ファームウェア書き換え処理部
204 書き換え用ファームウェア保持部
【特許請求の範囲】
【請求項1】
情報を記憶する記憶媒体と,前記記憶媒体へのアクセス処理機能を有する通常の運用に用いられる第1のファームウェアが格納された書き換えが可能な不揮発性メモリと,揮発性メモリとを備え,前記不揮発性メモリに格納された第1のファームウェアを前記揮発性メモリ上で動作させることにより,上位装置からの要求に対応するデータ記憶装置における,前記記憶媒体に記憶された情報を保護するための情報保護方法であって,
前記記憶媒体に記憶された情報を保護する場合に,前記上位装置からのファームウェア書き換え要求に応じて,前記不揮発性メモリに格納された第1のファームウェアを,前記記憶媒体へのアクセスを禁止する第2のファームウェアに書き換える過程と,
前記不揮発性メモリに格納された前記第2のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求である場合にそのファームウェアの書き換え要求を受け付け,前記上位装置からの前記記憶媒体へのアクセス要求については拒否する過程とを有する
ことを特徴とする情報保護方法。
【請求項2】
請求項1に記載された情報保護方法において,
前記不揮発性メモリに前記第2のファームウェアが格納されている場合に,前記上位装置において動作するファームウェア書き換えツールが,前記不揮発性メモリに格納されている前記第2のファームウェアを,他のファームウェアに書き換える要求を禁止する
ことを特徴とする情報保護方法。
【請求項3】
請求項1に記載された情報保護方法において,
少なくとも前記不揮発性メモリに格納されている前記第2のファームウェアが前記揮発性メモリにロードされている場合に,ファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値は不許可とし,不許可のモードでは,前記不揮発性メモリにおけるファームウェアの書き換えを禁止し,
前記モードの切り替え要求に対して,前記モードを不許可から許可に切り替え,許可のモードでは,前記不揮発性メモリにおけるファームウェアの書き換えを許可する
ことを特徴とする情報保護方法。
【請求項4】
請求項1に記載された情報保護方法において,
前記不揮発性メモリに格納されている前記第2のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,前記第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合にのみ,書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第2のファームウェアを,前記第3のファームウェアに書き換える
ことを特徴とする情報保護方法。
【請求項5】
請求項4に記載された情報保護方法において,
前記不揮発性メモリに格納されている第i(iは3以上の整数)のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,前記第iのファームウェアの書き換え禁止を解除するための第(i+1)のファームウェアである場合にのみ,書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第iのファームウェアを,前記第(i+1)のファームウェアに書き換え,
前記不揮発性メモリに格納されている第n(nは4以上の所定の整数)のファームウェアが前記揮発性メモリにロードされている状態では,前記記憶媒体へのアクセス処理機能を有する第1のファームウェアへの書き換えを許可する
ことを特徴とする情報保護方法。
【請求項6】
請求項1に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記上位装置からの要求がファームウェアの書き換え要求である場合に,そのファームウェア書き換え要求を受け付け,要求された前記不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える手段と,
前記上位装置からの要求が,前記記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として
機能させるための情報保護用のファームウェア。
【請求項7】
請求項3に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記不揮発性メモリにおけるファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値を不許可とする手段と,
不許可のモードでは,前記上位装置からのファームウェアの書き換え要求に対し,その要求を拒否する手段と,
前記上位装置からの前記モードの切り替え要求に対して,前記モードを不許可から許可に切り替える手段と,
許可のモードでは,前記上位装置からのファームウェアの書き換え要求に対し,その要求を許可し,ファームウェアの書き換えを実行する手段として
機能させるための情報保護用のファームウェア。
【請求項8】
請求項4に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記上位装置からの要求がファームウェアの書き換え要求であり,かつ書き換え対象となる新たなファームウェアが,前記第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合に,その書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第2のファームウェアを,前記第3のファームウェアに書き換える手段と,
前記上位装置からの要求がファームウェアの書き換え要求であっても,書き換え対象となる新たなファームウェアが前記第3のファームウェア以外である場合に,その書き換え要求を拒否する手段と,
前記上位装置からの要求が前記記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として
機能させるための情報保護用のファームウェア。
【請求項9】
情報を記憶する記憶媒体と,書き換えが可能な不揮発性メモリと,揮発性メモリとを備え,不揮発性メモリに格納されたファームウェアを揮発性メモリ上で動作させることにより外部からの要求に対応するデータ記憶装置に接続されたコンピュータが実行するファームウェア書き換えプログラムであって,
前記コンピュータを,
前記データ記憶装置の前記不揮発性メモリに新たに書き込むファームウェアを保持する書き換え用ファームウェア保持手段と,
前記不揮発性メモリに格納されたファームウェアの書き換え指示を受け付ける指示受付手段と,
前記指示受付手段によりファームウェアの書き換え指示を受け付けた場合に,前記不揮発性メモリに格納されたファームウェアが,前記記憶媒体へのアクセス処理機能を持たない情報保護用のアクセス禁止ファームウェアであるか否かを判定するファームウェア種別判定手段と,
前記不揮発性メモリに格納されたファームウェアが,前記アクセス禁止ファームウェアである場合に,前記データ記憶装置に対するファームウェアの書き換え要求の発行を抑止し,前記アクセス禁止ファームウェアでない場合に,前記データ記憶装置に対するファームウェアの書き換え要求を発行するファームウェア書き換え処理手段として
機能させるためのファームウェア書き換えプログラム。
【請求項1】
情報を記憶する記憶媒体と,前記記憶媒体へのアクセス処理機能を有する通常の運用に用いられる第1のファームウェアが格納された書き換えが可能な不揮発性メモリと,揮発性メモリとを備え,前記不揮発性メモリに格納された第1のファームウェアを前記揮発性メモリ上で動作させることにより,上位装置からの要求に対応するデータ記憶装置における,前記記憶媒体に記憶された情報を保護するための情報保護方法であって,
前記記憶媒体に記憶された情報を保護する場合に,前記上位装置からのファームウェア書き換え要求に応じて,前記不揮発性メモリに格納された第1のファームウェアを,前記記憶媒体へのアクセスを禁止する第2のファームウェアに書き換える過程と,
前記不揮発性メモリに格納された前記第2のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求である場合にそのファームウェアの書き換え要求を受け付け,前記上位装置からの前記記憶媒体へのアクセス要求については拒否する過程とを有する
ことを特徴とする情報保護方法。
【請求項2】
請求項1に記載された情報保護方法において,
前記不揮発性メモリに前記第2のファームウェアが格納されている場合に,前記上位装置において動作するファームウェア書き換えツールが,前記不揮発性メモリに格納されている前記第2のファームウェアを,他のファームウェアに書き換える要求を禁止する
ことを特徴とする情報保護方法。
【請求項3】
請求項1に記載された情報保護方法において,
少なくとも前記不揮発性メモリに格納されている前記第2のファームウェアが前記揮発性メモリにロードされている場合に,ファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値は不許可とし,不許可のモードでは,前記不揮発性メモリにおけるファームウェアの書き換えを禁止し,
前記モードの切り替え要求に対して,前記モードを不許可から許可に切り替え,許可のモードでは,前記不揮発性メモリにおけるファームウェアの書き換えを許可する
ことを特徴とする情報保護方法。
【請求項4】
請求項1に記載された情報保護方法において,
前記不揮発性メモリに格納されている前記第2のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,前記第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合にのみ,書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第2のファームウェアを,前記第3のファームウェアに書き換える
ことを特徴とする情報保護方法。
【請求項5】
請求項4に記載された情報保護方法において,
前記不揮発性メモリに格納されている第i(iは3以上の整数)のファームウェアが前記揮発性メモリにロードされている状態では,前記上位装置からの要求がファームウェアの書き換え要求であって,書き換え対象となる新たなファームウェアが,前記第iのファームウェアの書き換え禁止を解除するための第(i+1)のファームウェアである場合にのみ,書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第iのファームウェアを,前記第(i+1)のファームウェアに書き換え,
前記不揮発性メモリに格納されている第n(nは4以上の所定の整数)のファームウェアが前記揮発性メモリにロードされている状態では,前記記憶媒体へのアクセス処理機能を有する第1のファームウェアへの書き換えを許可する
ことを特徴とする情報保護方法。
【請求項6】
請求項1に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記上位装置からの要求がファームウェアの書き換え要求である場合に,そのファームウェア書き換え要求を受け付け,要求された前記不揮発性メモリに格納されている第2のファームウェアを,他のファームウェアに書き換える手段と,
前記上位装置からの要求が,前記記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として
機能させるための情報保護用のファームウェア。
【請求項7】
請求項3に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記不揮発性メモリにおけるファームウェアの書き換えを許可または不許可とするモードを管理し,該モードの初期値を不許可とする手段と,
不許可のモードでは,前記上位装置からのファームウェアの書き換え要求に対し,その要求を拒否する手段と,
前記上位装置からの前記モードの切り替え要求に対して,前記モードを不許可から許可に切り替える手段と,
許可のモードでは,前記上位装置からのファームウェアの書き換え要求に対し,その要求を許可し,ファームウェアの書き換えを実行する手段として
機能させるための情報保護用のファームウェア。
【請求項8】
請求項4に記載された情報保護方法を実現するための前記データ記憶装置が備えるプロセッサに実行させる前記第2のファームウェアであって,
前記プロセッサを,
前記上位装置からの要求がファームウェアの書き換え要求であり,かつ書き換え対象となる新たなファームウェアが,前記第2のファームウェアの書き換え禁止を解除するための第3のファームウェアである場合に,その書き換え要求を受け付け,前記不揮発性メモリに格納されている前記第2のファームウェアを,前記第3のファームウェアに書き換える手段と,
前記上位装置からの要求がファームウェアの書き換え要求であっても,書き換え対象となる新たなファームウェアが前記第3のファームウェア以外である場合に,その書き換え要求を拒否する手段と,
前記上位装置からの要求が前記記憶媒体へのアクセス要求である場合に,そのアクセス要求を拒否する手段として
機能させるための情報保護用のファームウェア。
【請求項9】
情報を記憶する記憶媒体と,書き換えが可能な不揮発性メモリと,揮発性メモリとを備え,不揮発性メモリに格納されたファームウェアを揮発性メモリ上で動作させることにより外部からの要求に対応するデータ記憶装置に接続されたコンピュータが実行するファームウェア書き換えプログラムであって,
前記コンピュータを,
前記データ記憶装置の前記不揮発性メモリに新たに書き込むファームウェアを保持する書き換え用ファームウェア保持手段と,
前記不揮発性メモリに格納されたファームウェアの書き換え指示を受け付ける指示受付手段と,
前記指示受付手段によりファームウェアの書き換え指示を受け付けた場合に,前記不揮発性メモリに格納されたファームウェアが,前記記憶媒体へのアクセス処理機能を持たない情報保護用のアクセス禁止ファームウェアであるか否かを判定するファームウェア種別判定手段と,
前記不揮発性メモリに格納されたファームウェアが,前記アクセス禁止ファームウェアである場合に,前記データ記憶装置に対するファームウェアの書き換え要求の発行を抑止し,前記アクセス禁止ファームウェアでない場合に,前記データ記憶装置に対するファームウェアの書き換え要求を発行するファームウェア書き換え処理手段として
機能させるためのファームウェア書き換えプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2008−146352(P2008−146352A)
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願番号】特願2006−332772(P2006−332772)
【出願日】平成18年12月11日(2006.12.11)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願日】平成18年12月11日(2006.12.11)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]