情報処理装置、情報処理装置の制御方法、プログラム
【課題】 設定されるセキュリティレベルに応じて、接続される記憶装置の属性に適応したデータ消去処理を行える。
【解決手段】 情報処理装置において、判断するデータ消去レベルが高い場合で、かつ、ジョブで利用する記憶手段がSSDであると識別した場合は、生成される暗号鍵を用いて暗号化したデータをSSDに書き込み、ジョブ終了毎に前記暗号鍵を消去する(S4〜S10)。また、データ消去レベルが高い場合で、かつ、ジョブで利用する記憶手段がHDDであると識別した場合は、データをHDDに書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書してデータを消去する(S22〜S25)。
【解決手段】 情報処理装置において、判断するデータ消去レベルが高い場合で、かつ、ジョブで利用する記憶手段がSSDであると識別した場合は、生成される暗号鍵を用いて暗号化したデータをSSDに書き込み、ジョブ終了毎に前記暗号鍵を消去する(S4〜S10)。また、データ消去レベルが高い場合で、かつ、ジョブで利用する記憶手段がHDDであると識別した場合は、データをHDDに書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書してデータを消去する(S22〜S25)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理装置の制御方法、及びプログラムに関するものである。
【背景技術】
【0002】
従来、情報処理装置において、データの漏洩に係るセキュリティレベルを高く設定した場合に、不揮発性記憶装置、例えばハードディスク(HDD)のデータを使用後に完全消去することがあった。下記特許文献1には、HDDのデータを他のデータで上書きすることにより、HDDのデータを使用後に完全消去する技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−005586号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、半導体記憶装置、例えばSolid State Drive(SSD)のデータ消去方法として、HDDと同様の方式(消去したいLBAにデータを上書きする方式)を採用したとしても、SSD内のデータを完全消去することはできない。ここで、LBAとは、ハードディスク内のすべてのセクタに通し番号を振り、その通し番号によってセクタを指定する方式である。
【0005】
しかし、SSDに対するデータ消去処理として、HDDと同様の方式を採用して同じLBAに別データを上書きしても、ウエアレベリング動作によって他の物理アドレスがそのLBAに割り当てられて書き込まれることになり、SSD内のどこかにデータが残留することになってしまうからである。
【0006】
ここで、ウエアレベリング動作とは、分散書き込みを行ってフラッシュメモリの寿命を延ばす手法の1つである。より具体的には、ウエアレベリングを行う半導体記憶装置は、書き込み回数の少ないブロックをなるべく使用するようにブロックを置き換えて書き込みを行っていく。
【0007】
そのため、このような半導体記憶装置に対してHDDと同様のデータ消去方法を適用してもウエアレベリングのブロック置換え制御によって、見かけ上同じLBAに別データを上書きしても、実際には他の物理アドレスを指定している。このたため、SSD上では置換え前のブロックに情報が残っている可能性も考えられる。
【0008】
このため、ジョブ実行終了時にデータを消去するために、データ消去時のセキュリティレベル(安全性レベル)を高く設定した場合に、SSD内のチップ内にはどこかに消去すべきであったデータが残存する可能性がある。
【0009】
これにより、ユーザが設定する安全性のレベルが高く設定された場合であっても、実際には、SSD上に消去すべきデータが残存し、データの機密性の要求を満たすことができない場合があるという課題があった。
【0010】
本発明は、上記の課題を解決するためになされたもので、本発明の目的は、設定されるセキュリティレベルに応じて、接続される記憶装置の属性に適応したデータ消去処理を行える仕組みを提供することである。
【課題を解決するための手段】
【0011】
上記目的を達成する本発明の情報処理装置は以下に示す構成を備える。
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置であって、所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定手段と、前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別手段と、前記ジョブを終了する際に、前記設定手段により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断手段と、前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御手段とを備えることを特徴とする。
【発明の効果】
【0012】
本発明によれば、設定されるセキュリティレベルに応じて、接続される記憶装置の属性に適応したデータ消去処理を行える。
【図面の簡単な説明】
【0013】
【図1】情報処理装置の構成を説明するブロック図である。
【図2】情報処理装置のデータ処理手順を示すフローチャートである。
【図3】情報処理装置の構成を説明するブロック図である。
【図4】情報処理装置のデータ処理手順を示すフローチャートである。
【発明を実施するための形態】
【0014】
次に本発明を実施するための最良の形態について図面を参照して説明する。
〔第1実施形態〕
以下、本発明を実施するための最良の形態について図を用いて説明する。
図1は、本実施形態を示す情報処理装置の構成を説明するブロック図である。本例は、記憶装置としてディスクを回転駆動して情報を記憶するHDDと、半導体記憶装置としてSSDを備える情報処理装置の例を示す。また、本実施形態として、情報処理装置の例としてMFP(Multi Function Peripheral)の例を示すが、これに限定されるものではない。本例は、後述する1つのハードディスクコントローラで、HDDとSSDのいずれか一方へのアクセスを制御する例である。なお、本実施形態では、第1の記憶手段をソリッドステートドライブで構成し、第2の記憶手段をハードディスクドライブで構成する例である。
【0015】
図1において、200はシステム制御部であり、MFPのコントローラ機能を有するものである。システム制御部200は、操作部401、スキャナ部402、プリンタ部403と電気的に接続されており、一方ではLANを介してPCや外部の装置などと画像データやデバイス情報の通信が可能となっている。
【0016】
システム制御部200において、CPU201は、ROM253に記憶された制御プログラム等に基づいてシステムバスに接続されたデバイスのアクセスを統括的に制御する。
DRAM252は、CPU201が動作するためのシステムワークメモリであり、暗号化モジュールの暗号鍵を一時記憶するためのメモリでもあり、電源オフにより記憶した内容が消去される。SRAM254は、記憶した内容を電源オフ後も保持しておくよう電池によるバックアップがされている。ROM253には装置のブートプログラムが格納されている。
【0017】
202はハードディスクコントローラであり、SATAインタフェースで接続された暗号化モジュール260を介してSSD262あるいはハードディスク263とSATAインタフェースにより接続される。
【0018】
本実施形態ではSSDかハードディスクのどちらか一方が接続されるがまずSSDが接続されているものとする。
操作部I/F205は、システムバス203と操作部401とを接続するためのインタフェース部である。この操作部I/F205は、操作部401に表示するための画像データをシステムバス203から受け取り操作部401に出力すると共に、操作部401から入力された情報をシステムバス203へと出力する。
【0019】
Network I/F206はLAN及びシステムバス203に接続される。画像バス220は画像データをやり取りするための伝送路であり、PCIバスで構成されている。
【0020】
なお、操作部401は、所定のジョブを実行する際に使用されるSSDまたはHDDに対して実行すべきデータ消去レベルを、高い又は低いの2段階で設定する。また、設定可能消去レベルをさらに増やしたり、実行するジョブ種別に割り当てられた消去レベルテーブルとして管理して、実行するジョブ種別で消去レベルを確定するように制御してもよい。
【0021】
スキャナ画像処理部212は、スキャナ部402からスキャナI/F211を介して受け取った画像データに対して、補正、加工、及び編集を行う。なお、スキャナ画像処理部212は、受け取った画像データがカラー原稿であるか白黒原稿であるか、文字原稿であるか写真原稿であるかなどを判定する。そして、その判定結果を画像データに付随させる。こうした付随情報を像域データと称する。圧縮部213は画像データを受け取り、この画像データを32画素×32画素のブロック単位に分割する。
【0022】
<コピー動作の説明>
スキャナ部402で読み取られた画像データは、スキャナI/F211を介してスキャナ画像処理部212に送られる。
【0023】
圧縮部213は、スキャナ画像処理部212から出力される画像データを32画素×32画素のブロック単位に分割しタイルデータを生成し圧縮する。ここで圧縮された画像データはDRAM252に送られ一時的に格納される。なお、この画像データは必要に応じて画像変換部217に送られ画像処理が施された上で再びDRAM252に送られ格納される。
【0024】
この後、画像データはDRAM252からハードディスクコントローラ202へ転送される。ハードディスクコントローラ202にはSATAインタフェースを介して暗号化モジュール260が接続され、必要に応じて暗号化されたデータはSATAインタフェースを介してSSD262に書き込まれる。
【0025】
次に、SSDから読み出されたデータは暗号化モジュール260で復号化されてシステムバス203へ送出される。
その後、画像データはシステムバス203から伸張部216に送られる。伸張部216は、この画像データを伸張する。さらに伸張部216は、伸張後の複数のタイルデータからなる画像データをラスタ展開する。ラスタ展開後の画像データはプリンタ画像処理部215に送られる。プリンタ画像処理部215において処理された画像データはプリンタI/F214を介してプリンタ部403に送られる。
【0026】
画像データをSSD262あるいはハードディスク263を経由させるのは、ページ入れ換え処理等を実施するための作業領域を確保するためである。
本実施形態では画像データの記憶される媒体としてSSD262かハードディスク(HDD)263のいずれかが接続可能な構成のものである。
<制御フローの説明>
図2は、本実施形態を示す情報処理装置のデータ処理手順を示すフローチャートである。本例は、CPU201により、HDD263またはSSD262に記憶された情報を消去する処理例である。各ステップは、CPU201がROM253に記憶された制御プログラムをDRAM252にロードして実行することで実現される。以下、実行するジョブで利用する記憶装置を識別して、かつ、設定された消去レベルに従いジョブ終了毎にHDDまたはSSDに適応したデータ消去する処理について詳述する。
【0027】
S1で、ジョブ投入されたことを確認したら、S2で、CPU201は、ジョブ消去モードがあらかじめユーザによって操作部401から設定されているか否かを判定する。ここで、ジョブ消去モードが設定されているとCPU201が判断した場合、S20へ進み、ジョブ消去モードが設定されていないと判断した場合、本処理を終了する。
次に、S20で、CPU201は、システムに接続されている記憶装置がSSD262かHDD263であるのかを識別する。ここで、SSD262が接続されているとCPU201が識別した場合、S3へ進み、HDD263が接続されているとCPU201が識別した場合は、S21へ進む。
【0028】
S3では、CPU201は、あらかじめユーザによって操作部401から設定されてSRAM254等に記憶されているジョブ消去の安全性レベルの指定値を調べる。なお、SRAM254に代えて、図示しないNVRAMであってもよい。
【0029】
ここで、ジョブ消去の安全性レベルの指定値が高いと指定されているとCPU201が判定した場合は、S4へ進む。そして、S4で、CPU201は図1に示した暗号化モジュール260へ設定するための暗号鍵を生成する。
【0030】
ここで、CPU201は、暗号鍵をDRAM252上に生成するため電源保持期間中のみ暗号鍵が維持される。
次に、S5で、CPU201は、生成された鍵を暗号化モジュール260へ設定し、S6で、CPU201は、暗号化モジュール260に対して暗号化動作をイネーブルに設定する。
【0031】
次に、S7で、CPU201は、ジョブを実行して、処理対象の画像データをハードディスクコントローラ202を介して暗号化モジュール260で暗号化して、SSD262へのリードライトが実行される。ここで、ジョブとは、MFPの機能処理であって、図示しないUI画面で指定されたジョブ、あるいは受信したプリントジョブ等が含まれる。
【0032】
次に、S8で、CPU201は、指定されたジョブが終了しているかどうかを判定する。ここで、ジョブを終了しているとCPU201が判定した場合、S9で、CPU201は、DRAM252上に保持させている暗号鍵を消去し、同時に暗号化モジュール260の暗号鍵も消去して、本処理を終了する。
【0033】
これによりジョブが終了した後に、SSD262上に残留している画像データは復号化できなくなっているため、SSD262上にジョブの履歴が残留せず機密性を維持することができる。
【0034】
一方、S3で、ジョブ消去の安全性レベルの指定値が低いとCPU201が判定した場合は、S10へ進む。そして、S10で、暗号化モジュール260をディスエイブルに設定して、S11で、CPU201がジョブが終了したと判断した場合、本処理を終了する。
【0035】
一方、S20で、接続されている記憶装置がHDDであると判定されたときはS21へ進む。そして、S21で、暗号化モジュール260をディスエイブルに設定する。
次に、S22で、CPU201は、あらかじめユーザによって操作部401から設定されているジョブ消去の安全性レベルの指定値が高いか低いかを判定する。ここで、CPU201は、ユーが操作部401を用いて設定した後、SRAM254に保持されたジョブ消去の安全性レベルに対応する設定値を参照することで、ジョブ消去の安全性レベルの指定値が高いか低いかを判定する。
ここで、ジョブ消去の安全性レベルの指定値が高いレベルが指定されているとCPU201が判定した場合、S23へ進む。
そして、S23で、ジョブ実行時は平文でHDD263へアクセスし、S24で、ジョブが終了したとCPU201が判断した場合は、S25で、CPU201は、ジョブ実行に伴うHDD263の使用した領域にランダムデータ(特定データ)を1回あるいは複数回書き込んで、本処理を終了する。
【0036】
一方、S22で、ジョブ消去の安全性レベルの指定値が低いとCPU201が判断した場合は、CPU201は、ジョブ終了時にはジョブ実行に伴いHDD263で使用した画像データを残留したまま、何も消去処理を実行することなく、本処理を終了する。
【0037】
なお、S4で、CPU201が生成する暗号鍵はコントローラ内部で、ジョブ毎にランダムに生成されるものであり、外部から類推することのできないものである。
また、本実施形態では、SSDが接続されている場合、暗号化されたデータがSSD上に残留するが、SSDの構成上、完全消去はできないため外部から復元できないようにするために暗号鍵をジョブ毎に消去する構成としている。
【0038】
一方、HDDが接続されている場合は、同一アドレスへ複数回ランダムデータを書き込むことでデータの痕跡をかく乱することができるため暗号化する必要がない。
また、暗号化モジュールの構成が暗号化と複合化処理に所定の時間が必要となる場合、ハードディスクが接続される場合は暗号化を用いないとすることで装置としての処理速度に影響を与えないようにすることができる。
【0039】
〔第2実施形態〕
図3は、本実施形態を示す情報処理装置の構成を説明するブロック図である。
本例は、記憶装置としてディスクを回転駆動して情報を記憶するHDDと、半導体記憶装置としてSSDを備える情報処理装置の例を示す。また、本実施形態として、情報処理装置の例としてMFP(Multi Function Peripheral)の例を示すが、これに限定されるものではない。本例は、後述する2つのハードディスクコントローラで、それぞれ独立してHDDまたはSSDのアクセスを制御する例である。
【0040】
図3において、システムバス203に第一のハードディスクコントローラ202が接続され、暗号化モジュール260を介してSSD262へ接続されている。またシステムバス203には第二のハードディスクコントローラ204が接続され、HDD263へ接続されている。
【0041】
SSD262は、例えば80GBの小容量のデータを保持するものであり、標準の製品出荷形態として搭載されている。
HDD263は、例えば大容量1000GBであり、オプションとして接続されるものである。小容量ハードディスクはシステムプログラムと、一時的にデータを記憶する媒体として使用され、大容量ハードディスクはユーザデータを保管するという使用方法が想定されている。
【0042】
SSDはコストが割高のため、小容量の記憶媒体としては信頼性確保のため適するが、大容量の記憶媒体としてはHDDに実用性があり、本実施形態では両記憶媒体を搭載する形態である。
【0043】
本実施形態ではSSDを標準で搭載している装置において、オプションとして大容量のHDDを搭載している装置を例にして説明する。
CPU201は、システムの起動時にはSSD262からプログラムをロードする。また、ジョブ実行時に一時的に画像データを記憶する場所として使用する際にはSSD262を使用する。
【0044】
近年の複合機には、ビッグボックス等と呼ばれるユーザデータを保存する機能が搭載されており、この機能の実現のためには、SSD262の小容量、例えば80GBでは不足しており、大容量の、例えば1000GBのHDD263のユーザ領域を使用する。
【0045】
ここで、操作部401とからのシステム設定において、ジョブ消去モードが設定されている場合には、ジョブを実行する際には、SSD262を使用し、暗号化モジュール260で暗号化復号化したデータによってSSD262へアクセスする。
【0046】
また、ジョブ終了時にはこのジョブで用いた暗号鍵を廃棄することでSSD262へ書き込まれたデータは無効化される。
一方、ビッグボックスへのデータ書込み指示に対してはHDD263に書き込みを行う。
ユーザからのHDD263のビッグボックス上のファイル消去指示がなされた場合には、HDD263上のデータを消去することとなり、CPU201は、消去領域に対してランダムデータの複数回書込みを行う。
【0047】
図4は、本実施形態を示す情報処理装置のデータ処理手順を示すフローチャートである。本例は、CPU201により、HDD263またはSSD262に記憶された情報を消去する処理例である。各ステップは、CPU201がROM253に記憶された制御プログラムをDRAM252にロードして実行することで実現される。なお、本実施形態では、図2に示した第1実施形態と異なるステップを中心に説明し、同一のステップの説明は省略する。
【0048】
S1で、CPU201がジョブが投入されたことを確認したら、S31へ進み、ジョブに用いる記憶装置がHDDであるのか、SSDであるのかを判断する。ここで、CPU201は、ジョブの種別、例えばプリントジョブであって、ユーザがログイン情報を用いてボックス領域を使用するようなジョブであれば、HDDを使用すると判定する。なお、判定は、ジョブで使用するメモリ使用量等に応じて判定してもよく、または、ユーザ情報、グループ情報等に応じて使用する記憶装置の判定を行ってもよい。
【0049】
ここで、CPU201がHDD263を使用すると判定した場合、S32で、
CPU201は、あらかじめユーザによって操作部401から設定されてSRAM254等に記憶されているジョブ消去の安全性レベルの指定値を調べる。なお、SRAM254に代えて、図示しないNVRAMであってもよい。
【0050】
ここで、ジョブ消去の安全性レベルの指定値が高いと指定されているとCPU201が判定した場合は、S23へ進み、第1実施形態と同様にデータ処理を行う。
一方、S32で、ジョブ消去の安全性レベルの指定値が低いと指定されているとCPU201が判定した場合は、S33へ進む。
そして、S33で、ジョブ実行時は平文でHDD263へアクセスし、S34で、ジョブが終了したとCPU201が判断した場合は、データ消去処理を実行することなく、本処理を終了する。
【0051】
本実施形態によれば、セキュリティレベルを高く設定した場合に、記憶装置の種類に応じた適切な方法でデータを消去することができ、記憶装置に記憶されたデータに対して機密性を担保することが可能となる。
【0052】
より具体的には、例えば以下のような効果が挙げられる。
完全消去することができないSSDに対して、完全消去と同等の効果が得られる。
また、従来例ではジョブ動作が終了してから、消去するまでの間に記憶装置を取り外されてしまえば機密性が危険にさらされていたが、本発明では記憶装置が取り外されても暗号化データが記録されているため漏洩の危険は回避できる。
【0053】
さらに、従来は上書きによるデータ消去動作をジョブとは別時間で実行していたため、記憶装置とのインタフェース上を流れるデータ量が増大しジョブの処理速度低下を招く場合があった。
【0054】
しかし、暗号化複合化をリアルタイム処理できる手段を有する装置においては、本発明によりこれを回避できる。
さらに、暗号鍵の消去はDRAM等に高々数十ビット存在するだけなので、消去時間は事実上見えてこない。
また、暗号化書込みをハードディスクへの応用すれば、従来の「一括消去」モードを不要とすることができる。これにより、従来は一括消去動作するまで機密性が危険にさらされていたことを回避できる。
【0055】
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
【0056】
本発明は上記実施形態に限定されるものではなく、本発明の趣旨に基づき種々の変形(各実施形態の有機的な組合せを含む)が可能であり、それらを本発明の範囲から除外するものではない。
【0057】
本発明の様々な例と実施形態を示して説明したが、当業者であれば、本発明の趣旨と範囲は、本明細書内の特定の説明に限定されるのではない。
【符号の説明】
【0058】
202 ハードディスクコントローラ
260 暗号化モジュール
262 SSD
263 HDD
【技術分野】
【0001】
本発明は、情報処理装置、情報処理装置の制御方法、及びプログラムに関するものである。
【背景技術】
【0002】
従来、情報処理装置において、データの漏洩に係るセキュリティレベルを高く設定した場合に、不揮発性記憶装置、例えばハードディスク(HDD)のデータを使用後に完全消去することがあった。下記特許文献1には、HDDのデータを他のデータで上書きすることにより、HDDのデータを使用後に完全消去する技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−005586号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、半導体記憶装置、例えばSolid State Drive(SSD)のデータ消去方法として、HDDと同様の方式(消去したいLBAにデータを上書きする方式)を採用したとしても、SSD内のデータを完全消去することはできない。ここで、LBAとは、ハードディスク内のすべてのセクタに通し番号を振り、その通し番号によってセクタを指定する方式である。
【0005】
しかし、SSDに対するデータ消去処理として、HDDと同様の方式を採用して同じLBAに別データを上書きしても、ウエアレベリング動作によって他の物理アドレスがそのLBAに割り当てられて書き込まれることになり、SSD内のどこかにデータが残留することになってしまうからである。
【0006】
ここで、ウエアレベリング動作とは、分散書き込みを行ってフラッシュメモリの寿命を延ばす手法の1つである。より具体的には、ウエアレベリングを行う半導体記憶装置は、書き込み回数の少ないブロックをなるべく使用するようにブロックを置き換えて書き込みを行っていく。
【0007】
そのため、このような半導体記憶装置に対してHDDと同様のデータ消去方法を適用してもウエアレベリングのブロック置換え制御によって、見かけ上同じLBAに別データを上書きしても、実際には他の物理アドレスを指定している。このたため、SSD上では置換え前のブロックに情報が残っている可能性も考えられる。
【0008】
このため、ジョブ実行終了時にデータを消去するために、データ消去時のセキュリティレベル(安全性レベル)を高く設定した場合に、SSD内のチップ内にはどこかに消去すべきであったデータが残存する可能性がある。
【0009】
これにより、ユーザが設定する安全性のレベルが高く設定された場合であっても、実際には、SSD上に消去すべきデータが残存し、データの機密性の要求を満たすことができない場合があるという課題があった。
【0010】
本発明は、上記の課題を解決するためになされたもので、本発明の目的は、設定されるセキュリティレベルに応じて、接続される記憶装置の属性に適応したデータ消去処理を行える仕組みを提供することである。
【課題を解決するための手段】
【0011】
上記目的を達成する本発明の情報処理装置は以下に示す構成を備える。
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置であって、所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定手段と、前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別手段と、前記ジョブを終了する際に、前記設定手段により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断手段と、前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御手段とを備えることを特徴とする。
【発明の効果】
【0012】
本発明によれば、設定されるセキュリティレベルに応じて、接続される記憶装置の属性に適応したデータ消去処理を行える。
【図面の簡単な説明】
【0013】
【図1】情報処理装置の構成を説明するブロック図である。
【図2】情報処理装置のデータ処理手順を示すフローチャートである。
【図3】情報処理装置の構成を説明するブロック図である。
【図4】情報処理装置のデータ処理手順を示すフローチャートである。
【発明を実施するための形態】
【0014】
次に本発明を実施するための最良の形態について図面を参照して説明する。
〔第1実施形態〕
以下、本発明を実施するための最良の形態について図を用いて説明する。
図1は、本実施形態を示す情報処理装置の構成を説明するブロック図である。本例は、記憶装置としてディスクを回転駆動して情報を記憶するHDDと、半導体記憶装置としてSSDを備える情報処理装置の例を示す。また、本実施形態として、情報処理装置の例としてMFP(Multi Function Peripheral)の例を示すが、これに限定されるものではない。本例は、後述する1つのハードディスクコントローラで、HDDとSSDのいずれか一方へのアクセスを制御する例である。なお、本実施形態では、第1の記憶手段をソリッドステートドライブで構成し、第2の記憶手段をハードディスクドライブで構成する例である。
【0015】
図1において、200はシステム制御部であり、MFPのコントローラ機能を有するものである。システム制御部200は、操作部401、スキャナ部402、プリンタ部403と電気的に接続されており、一方ではLANを介してPCや外部の装置などと画像データやデバイス情報の通信が可能となっている。
【0016】
システム制御部200において、CPU201は、ROM253に記憶された制御プログラム等に基づいてシステムバスに接続されたデバイスのアクセスを統括的に制御する。
DRAM252は、CPU201が動作するためのシステムワークメモリであり、暗号化モジュールの暗号鍵を一時記憶するためのメモリでもあり、電源オフにより記憶した内容が消去される。SRAM254は、記憶した内容を電源オフ後も保持しておくよう電池によるバックアップがされている。ROM253には装置のブートプログラムが格納されている。
【0017】
202はハードディスクコントローラであり、SATAインタフェースで接続された暗号化モジュール260を介してSSD262あるいはハードディスク263とSATAインタフェースにより接続される。
【0018】
本実施形態ではSSDかハードディスクのどちらか一方が接続されるがまずSSDが接続されているものとする。
操作部I/F205は、システムバス203と操作部401とを接続するためのインタフェース部である。この操作部I/F205は、操作部401に表示するための画像データをシステムバス203から受け取り操作部401に出力すると共に、操作部401から入力された情報をシステムバス203へと出力する。
【0019】
Network I/F206はLAN及びシステムバス203に接続される。画像バス220は画像データをやり取りするための伝送路であり、PCIバスで構成されている。
【0020】
なお、操作部401は、所定のジョブを実行する際に使用されるSSDまたはHDDに対して実行すべきデータ消去レベルを、高い又は低いの2段階で設定する。また、設定可能消去レベルをさらに増やしたり、実行するジョブ種別に割り当てられた消去レベルテーブルとして管理して、実行するジョブ種別で消去レベルを確定するように制御してもよい。
【0021】
スキャナ画像処理部212は、スキャナ部402からスキャナI/F211を介して受け取った画像データに対して、補正、加工、及び編集を行う。なお、スキャナ画像処理部212は、受け取った画像データがカラー原稿であるか白黒原稿であるか、文字原稿であるか写真原稿であるかなどを判定する。そして、その判定結果を画像データに付随させる。こうした付随情報を像域データと称する。圧縮部213は画像データを受け取り、この画像データを32画素×32画素のブロック単位に分割する。
【0022】
<コピー動作の説明>
スキャナ部402で読み取られた画像データは、スキャナI/F211を介してスキャナ画像処理部212に送られる。
【0023】
圧縮部213は、スキャナ画像処理部212から出力される画像データを32画素×32画素のブロック単位に分割しタイルデータを生成し圧縮する。ここで圧縮された画像データはDRAM252に送られ一時的に格納される。なお、この画像データは必要に応じて画像変換部217に送られ画像処理が施された上で再びDRAM252に送られ格納される。
【0024】
この後、画像データはDRAM252からハードディスクコントローラ202へ転送される。ハードディスクコントローラ202にはSATAインタフェースを介して暗号化モジュール260が接続され、必要に応じて暗号化されたデータはSATAインタフェースを介してSSD262に書き込まれる。
【0025】
次に、SSDから読み出されたデータは暗号化モジュール260で復号化されてシステムバス203へ送出される。
その後、画像データはシステムバス203から伸張部216に送られる。伸張部216は、この画像データを伸張する。さらに伸張部216は、伸張後の複数のタイルデータからなる画像データをラスタ展開する。ラスタ展開後の画像データはプリンタ画像処理部215に送られる。プリンタ画像処理部215において処理された画像データはプリンタI/F214を介してプリンタ部403に送られる。
【0026】
画像データをSSD262あるいはハードディスク263を経由させるのは、ページ入れ換え処理等を実施するための作業領域を確保するためである。
本実施形態では画像データの記憶される媒体としてSSD262かハードディスク(HDD)263のいずれかが接続可能な構成のものである。
<制御フローの説明>
図2は、本実施形態を示す情報処理装置のデータ処理手順を示すフローチャートである。本例は、CPU201により、HDD263またはSSD262に記憶された情報を消去する処理例である。各ステップは、CPU201がROM253に記憶された制御プログラムをDRAM252にロードして実行することで実現される。以下、実行するジョブで利用する記憶装置を識別して、かつ、設定された消去レベルに従いジョブ終了毎にHDDまたはSSDに適応したデータ消去する処理について詳述する。
【0027】
S1で、ジョブ投入されたことを確認したら、S2で、CPU201は、ジョブ消去モードがあらかじめユーザによって操作部401から設定されているか否かを判定する。ここで、ジョブ消去モードが設定されているとCPU201が判断した場合、S20へ進み、ジョブ消去モードが設定されていないと判断した場合、本処理を終了する。
次に、S20で、CPU201は、システムに接続されている記憶装置がSSD262かHDD263であるのかを識別する。ここで、SSD262が接続されているとCPU201が識別した場合、S3へ進み、HDD263が接続されているとCPU201が識別した場合は、S21へ進む。
【0028】
S3では、CPU201は、あらかじめユーザによって操作部401から設定されてSRAM254等に記憶されているジョブ消去の安全性レベルの指定値を調べる。なお、SRAM254に代えて、図示しないNVRAMであってもよい。
【0029】
ここで、ジョブ消去の安全性レベルの指定値が高いと指定されているとCPU201が判定した場合は、S4へ進む。そして、S4で、CPU201は図1に示した暗号化モジュール260へ設定するための暗号鍵を生成する。
【0030】
ここで、CPU201は、暗号鍵をDRAM252上に生成するため電源保持期間中のみ暗号鍵が維持される。
次に、S5で、CPU201は、生成された鍵を暗号化モジュール260へ設定し、S6で、CPU201は、暗号化モジュール260に対して暗号化動作をイネーブルに設定する。
【0031】
次に、S7で、CPU201は、ジョブを実行して、処理対象の画像データをハードディスクコントローラ202を介して暗号化モジュール260で暗号化して、SSD262へのリードライトが実行される。ここで、ジョブとは、MFPの機能処理であって、図示しないUI画面で指定されたジョブ、あるいは受信したプリントジョブ等が含まれる。
【0032】
次に、S8で、CPU201は、指定されたジョブが終了しているかどうかを判定する。ここで、ジョブを終了しているとCPU201が判定した場合、S9で、CPU201は、DRAM252上に保持させている暗号鍵を消去し、同時に暗号化モジュール260の暗号鍵も消去して、本処理を終了する。
【0033】
これによりジョブが終了した後に、SSD262上に残留している画像データは復号化できなくなっているため、SSD262上にジョブの履歴が残留せず機密性を維持することができる。
【0034】
一方、S3で、ジョブ消去の安全性レベルの指定値が低いとCPU201が判定した場合は、S10へ進む。そして、S10で、暗号化モジュール260をディスエイブルに設定して、S11で、CPU201がジョブが終了したと判断した場合、本処理を終了する。
【0035】
一方、S20で、接続されている記憶装置がHDDであると判定されたときはS21へ進む。そして、S21で、暗号化モジュール260をディスエイブルに設定する。
次に、S22で、CPU201は、あらかじめユーザによって操作部401から設定されているジョブ消去の安全性レベルの指定値が高いか低いかを判定する。ここで、CPU201は、ユーが操作部401を用いて設定した後、SRAM254に保持されたジョブ消去の安全性レベルに対応する設定値を参照することで、ジョブ消去の安全性レベルの指定値が高いか低いかを判定する。
ここで、ジョブ消去の安全性レベルの指定値が高いレベルが指定されているとCPU201が判定した場合、S23へ進む。
そして、S23で、ジョブ実行時は平文でHDD263へアクセスし、S24で、ジョブが終了したとCPU201が判断した場合は、S25で、CPU201は、ジョブ実行に伴うHDD263の使用した領域にランダムデータ(特定データ)を1回あるいは複数回書き込んで、本処理を終了する。
【0036】
一方、S22で、ジョブ消去の安全性レベルの指定値が低いとCPU201が判断した場合は、CPU201は、ジョブ終了時にはジョブ実行に伴いHDD263で使用した画像データを残留したまま、何も消去処理を実行することなく、本処理を終了する。
【0037】
なお、S4で、CPU201が生成する暗号鍵はコントローラ内部で、ジョブ毎にランダムに生成されるものであり、外部から類推することのできないものである。
また、本実施形態では、SSDが接続されている場合、暗号化されたデータがSSD上に残留するが、SSDの構成上、完全消去はできないため外部から復元できないようにするために暗号鍵をジョブ毎に消去する構成としている。
【0038】
一方、HDDが接続されている場合は、同一アドレスへ複数回ランダムデータを書き込むことでデータの痕跡をかく乱することができるため暗号化する必要がない。
また、暗号化モジュールの構成が暗号化と複合化処理に所定の時間が必要となる場合、ハードディスクが接続される場合は暗号化を用いないとすることで装置としての処理速度に影響を与えないようにすることができる。
【0039】
〔第2実施形態〕
図3は、本実施形態を示す情報処理装置の構成を説明するブロック図である。
本例は、記憶装置としてディスクを回転駆動して情報を記憶するHDDと、半導体記憶装置としてSSDを備える情報処理装置の例を示す。また、本実施形態として、情報処理装置の例としてMFP(Multi Function Peripheral)の例を示すが、これに限定されるものではない。本例は、後述する2つのハードディスクコントローラで、それぞれ独立してHDDまたはSSDのアクセスを制御する例である。
【0040】
図3において、システムバス203に第一のハードディスクコントローラ202が接続され、暗号化モジュール260を介してSSD262へ接続されている。またシステムバス203には第二のハードディスクコントローラ204が接続され、HDD263へ接続されている。
【0041】
SSD262は、例えば80GBの小容量のデータを保持するものであり、標準の製品出荷形態として搭載されている。
HDD263は、例えば大容量1000GBであり、オプションとして接続されるものである。小容量ハードディスクはシステムプログラムと、一時的にデータを記憶する媒体として使用され、大容量ハードディスクはユーザデータを保管するという使用方法が想定されている。
【0042】
SSDはコストが割高のため、小容量の記憶媒体としては信頼性確保のため適するが、大容量の記憶媒体としてはHDDに実用性があり、本実施形態では両記憶媒体を搭載する形態である。
【0043】
本実施形態ではSSDを標準で搭載している装置において、オプションとして大容量のHDDを搭載している装置を例にして説明する。
CPU201は、システムの起動時にはSSD262からプログラムをロードする。また、ジョブ実行時に一時的に画像データを記憶する場所として使用する際にはSSD262を使用する。
【0044】
近年の複合機には、ビッグボックス等と呼ばれるユーザデータを保存する機能が搭載されており、この機能の実現のためには、SSD262の小容量、例えば80GBでは不足しており、大容量の、例えば1000GBのHDD263のユーザ領域を使用する。
【0045】
ここで、操作部401とからのシステム設定において、ジョブ消去モードが設定されている場合には、ジョブを実行する際には、SSD262を使用し、暗号化モジュール260で暗号化復号化したデータによってSSD262へアクセスする。
【0046】
また、ジョブ終了時にはこのジョブで用いた暗号鍵を廃棄することでSSD262へ書き込まれたデータは無効化される。
一方、ビッグボックスへのデータ書込み指示に対してはHDD263に書き込みを行う。
ユーザからのHDD263のビッグボックス上のファイル消去指示がなされた場合には、HDD263上のデータを消去することとなり、CPU201は、消去領域に対してランダムデータの複数回書込みを行う。
【0047】
図4は、本実施形態を示す情報処理装置のデータ処理手順を示すフローチャートである。本例は、CPU201により、HDD263またはSSD262に記憶された情報を消去する処理例である。各ステップは、CPU201がROM253に記憶された制御プログラムをDRAM252にロードして実行することで実現される。なお、本実施形態では、図2に示した第1実施形態と異なるステップを中心に説明し、同一のステップの説明は省略する。
【0048】
S1で、CPU201がジョブが投入されたことを確認したら、S31へ進み、ジョブに用いる記憶装置がHDDであるのか、SSDであるのかを判断する。ここで、CPU201は、ジョブの種別、例えばプリントジョブであって、ユーザがログイン情報を用いてボックス領域を使用するようなジョブであれば、HDDを使用すると判定する。なお、判定は、ジョブで使用するメモリ使用量等に応じて判定してもよく、または、ユーザ情報、グループ情報等に応じて使用する記憶装置の判定を行ってもよい。
【0049】
ここで、CPU201がHDD263を使用すると判定した場合、S32で、
CPU201は、あらかじめユーザによって操作部401から設定されてSRAM254等に記憶されているジョブ消去の安全性レベルの指定値を調べる。なお、SRAM254に代えて、図示しないNVRAMであってもよい。
【0050】
ここで、ジョブ消去の安全性レベルの指定値が高いと指定されているとCPU201が判定した場合は、S23へ進み、第1実施形態と同様にデータ処理を行う。
一方、S32で、ジョブ消去の安全性レベルの指定値が低いと指定されているとCPU201が判定した場合は、S33へ進む。
そして、S33で、ジョブ実行時は平文でHDD263へアクセスし、S34で、ジョブが終了したとCPU201が判断した場合は、データ消去処理を実行することなく、本処理を終了する。
【0051】
本実施形態によれば、セキュリティレベルを高く設定した場合に、記憶装置の種類に応じた適切な方法でデータを消去することができ、記憶装置に記憶されたデータに対して機密性を担保することが可能となる。
【0052】
より具体的には、例えば以下のような効果が挙げられる。
完全消去することができないSSDに対して、完全消去と同等の効果が得られる。
また、従来例ではジョブ動作が終了してから、消去するまでの間に記憶装置を取り外されてしまえば機密性が危険にさらされていたが、本発明では記憶装置が取り外されても暗号化データが記録されているため漏洩の危険は回避できる。
【0053】
さらに、従来は上書きによるデータ消去動作をジョブとは別時間で実行していたため、記憶装置とのインタフェース上を流れるデータ量が増大しジョブの処理速度低下を招く場合があった。
【0054】
しかし、暗号化複合化をリアルタイム処理できる手段を有する装置においては、本発明によりこれを回避できる。
さらに、暗号鍵の消去はDRAM等に高々数十ビット存在するだけなので、消去時間は事実上見えてこない。
また、暗号化書込みをハードディスクへの応用すれば、従来の「一括消去」モードを不要とすることができる。これにより、従来は一括消去動作するまで機密性が危険にさらされていたことを回避できる。
【0055】
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
【0056】
本発明は上記実施形態に限定されるものではなく、本発明の趣旨に基づき種々の変形(各実施形態の有機的な組合せを含む)が可能であり、それらを本発明の範囲から除外するものではない。
【0057】
本発明の様々な例と実施形態を示して説明したが、当業者であれば、本発明の趣旨と範囲は、本明細書内の特定の説明に限定されるのではない。
【符号の説明】
【0058】
202 ハードディスクコントローラ
260 暗号化モジュール
262 SSD
263 HDD
【特許請求の範囲】
【請求項1】
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置であって、
所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定手段と、
前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別手段と、
前記ジョブを終了する際に、前記設定手段により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断手段と、
前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、
前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記制御手段は、前記判断手段が判断するデータ消去レベルが低い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、データを前記第1の記憶手段に書き込み、
前記判断手段が判断するデータ消去レベルが低い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込むことを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記特定データは、ランダムデータであることを特徴とする請求項1記載の情報処理装置。
【請求項4】
前記第1の記憶手段をソリッドステートドライブで構成し、前記第2の記憶手段をハードディスクドライブで構成することを特徴とする請求項1または2記載の情報処理装置。
【請求項5】
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置の制御方法であって、
所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定工程と、
前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別工程と、
前記ジョブを終了する際に、前記設定工程により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断工程と、
前記判断工程が判断するデータ消去レベルが高い場合で、かつ、前記識別工程で前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、
前記判断工程が判断するデータ消去レベルが高い場合で、かつ、前記識別工程で前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御工程と、
を備えることを特徴とする情報処理装置の制御方法。
【請求項6】
請求項5に記載の情報処理装置の制御方法をコンピュータに実行させるためのプログラム。
【請求項1】
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置であって、
所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定手段と、
前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別手段と、
前記ジョブを終了する際に、前記設定手段により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断手段と、
前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、
前記判断手段が判断するデータ消去レベルが高い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記制御手段は、前記判断手段が判断するデータ消去レベルが低い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、データを前記第1の記憶手段に書き込み、
前記判断手段が判断するデータ消去レベルが低い場合で、かつ、前記識別手段が前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込むことを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記特定データは、ランダムデータであることを特徴とする請求項1記載の情報処理装置。
【請求項4】
前記第1の記憶手段をソリッドステートドライブで構成し、前記第2の記憶手段をハードディスクドライブで構成することを特徴とする請求項1または2記載の情報処理装置。
【請求項5】
第1の記憶手段と第2の記憶手段のそれぞれにデータを記憶させることが可能な情報処理装置の制御方法であって、
所定のジョブを実行する際に使用される前記第1の記憶手段または前記第2の記憶手段に対して実行すべきデータ消去レベルを設定する設定工程と、
前記ジョブで利用する記憶手段が前記第1の記憶手段であるか、第2の記憶手段であるのかを識別する識別工程と、
前記ジョブを終了する際に、前記設定工程により設定されたデータ消去レベルが高いかまたは低いかどうかを判断する判断工程と、
前記判断工程が判断するデータ消去レベルが高い場合で、かつ、前記識別工程で前記ジョブで利用する記憶手段が前記第1の記憶手段であると識別した場合は、生成される暗号鍵を用いて暗号化したデータを前記第1の記憶手段に書き込み、ジョブ終了毎に前記暗号鍵を消去し、
前記判断工程が判断するデータ消去レベルが高い場合で、かつ、前記識別工程で前記ジョブで利用する記憶手段が前記第2の記憶手段であると識別した場合は、データを前記第2の記憶手段に書き込み、かつ、ジョブ終了毎にデータが書き込まれた領域に特定データを上書して前記データを消去する制御工程と、
を備えることを特徴とする情報処理装置の制御方法。
【請求項6】
請求項5に記載の情報処理装置の制御方法をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−18501(P2012−18501A)
【公開日】平成24年1月26日(2012.1.26)
【国際特許分類】
【出願番号】特願2010−154563(P2010−154563)
【出願日】平成22年7月7日(2010.7.7)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年1月26日(2012.1.26)
【国際特許分類】
【出願日】平成22年7月7日(2010.7.7)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]