情報処理装置
【課題】特別なハードウェアの追加なしにセキュリティ強度を向上させることが可能な情
報処理装置を提供することを目的とする。
【解決手段】本発明の実施形態に係る情報処理装置は、本体筐体と、前記本体筐体に内蔵
される無線通信モジュールと、前記無線通信モジュールを通じてアクセスポイントと通信
をすることで取得される識別情報であって、アクセスポイントが存在するネットワークエ
リアの属性を示す第一の識別情報を記憶する第1の記憶装置と、アクセスポイントごとに
使用される第2の識別情報を記憶する第2の記憶装置と、前記情報処理装置の使用制限機
能を実行するセキュリティ手段と、を備え、前記セキュリティ手段は、前記無線通信モジ
ュールを通じてアクセスポイントと通信をすることで取得された第一の識別情報が前記第
1の記憶装置に記憶された識別情報から変更された場合に、前記情報処理装置の使用制限
機能を実行する。
報処理装置を提供することを目的とする。
【解決手段】本発明の実施形態に係る情報処理装置は、本体筐体と、前記本体筐体に内蔵
される無線通信モジュールと、前記無線通信モジュールを通じてアクセスポイントと通信
をすることで取得される識別情報であって、アクセスポイントが存在するネットワークエ
リアの属性を示す第一の識別情報を記憶する第1の記憶装置と、アクセスポイントごとに
使用される第2の識別情報を記憶する第2の記憶装置と、前記情報処理装置の使用制限機
能を実行するセキュリティ手段と、を備え、前記セキュリティ手段は、前記無線通信モジ
ュールを通じてアクセスポイントと通信をすることで取得された第一の識別情報が前記第
1の記憶装置に記憶された識別情報から変更された場合に、前記情報処理装置の使用制限
機能を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置のセキュリティに関する。
【背景技術】
【0002】
携帯通信端末やノート型のパーソナルコンピュータに代表される情報処理装置は、一般
的にバッテリ駆動可能に構成され、持ち運ばれて使用されることが多い。情報処理装置が
第三者に持ち出され使用される危険性もあるため、情報処理装置の盗難や盗難後の不正使
用を防止するための対策が考えられている。
【0003】
特許文献1には、一の基地局のサービスエリアから他の基地局のサービスエリアへ移動
するごとに基地局から送られるサービス停止要求の有無を確認し、確認結果に応じて機器
自身の機能を停止する携帯通信端末が開示されている。
【0004】
情報処理装置の盗難による情報漏えいや不正使用への耐性を上げるためには様々な方法
があるが、セキュリティ強度を向上させるにあたり発生するコストアップは極力抑えられ
ることが望ましい。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−279770号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、特別なハードウェアの追加なしにセキュリティ強度を向上させること
が可能な情報処理装置を提供することにある。
【課題を解決するための手段】
【0007】
本発明の実施形態に係る情報処理装置は、本体筐体と、前記本体筐体に内蔵される無線
通信モジュールと、前記無線通信モジュールを通じてアクセスポイントと通信をすること
で取得される識別情報であって、アクセスポイントが存在するネットワークエリアの属性
を示す第一の識別情報を記憶する第1の記憶装置と、アクセスポイントごとに使用される
第2の識別情報を記憶する第2の記憶装置と、前記情報処理装置の使用制限機能を実行す
るセキュリティ手段と、を備え、前記セキュリティ手段は、前記無線通信モジュールを通
じてアクセスポイントと通信をすることで取得された第一の識別情報が前記第1の記憶装
置に記憶された識別情報から変更された場合に、前記情報処理装置の使用制限機能を実行
する。
【発明の効果】
【0008】
本発明の実施形態によれば、特別なハードウェアの追加なしにセキュリティ強度を向上
させることが可能な情報処理装置を提供することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施形態に係るコンピュータを示す外観斜視図。
【図2】本発明の実施形態に係るコンピュータの構成を示すブロック図。
【図3】本発明の実施形態に係るネットワークを模式的に示す図。
【図4】本発明の実施形態に係るセキュリティ動作を示すフローチャート。
【発明を実施するための形態】
【0010】
以下本発明に係る実施の形態を、図面を参照して説明する。本実施形態では情報処理装
置としてノート型のコンピュータを例に説明する。図1は本発明の実施形態に係るコンピ
ュータを示す外観斜視図である。
【0011】
コンピュータ1は、本体筐体2と表示筐体3とを備えている。本体筐体2は、上壁2a
、左右の側壁2b、底壁2c、を有する偏平な箱状をなしている。上壁2aは、キーボー
ド9を支持している。
【0012】
さらに、本体筐体2は、底壁2cを有するベース6と、上壁2aを有するトップカバー
7とに分割されている。トップカバー7は、ベース6を上方から覆うとともに、このベー
ス6に取り外し可能に支持されている。
【0013】
本体筐体2には表示筐体3がヒンジ部4を介して回動可能に取り付けられている。表示
筐体3は本体筐体2の上壁2aが開放される開き位置と、本体筐体2の上壁2aが覆われ
る閉じ位置とで回動可能である。表示筐体3内にはLCD(Liquid Crysta
l Display)3aから構成される表示装置が組み込まれる。
【0014】
本体筐体2の上壁2aには、ユーザによる入力操作を行うためのタッチパッド8および
キーボード9が取り付けられる。また、本体筐体2の上壁2aにはコンピュータ1の電源
をオン/オフするための電源スイッチ10も設けられる。
【0015】
表示筐体3内には無線通信を行うためのアンテナ11が設けられる。図1には、アンテ
ナ11を一つ設けている例を示しているが、複数設けても良い。表示筐体3の上部にアン
テナ11を設けているが、表示筐体3内のスペースや必要とされる無線通信の特性に応じ
てアンテナ11を設ける位置は適宜調整される。
【0016】
図2は本発明の実施形態に係るコンピュータの構成を示すブロック図である。コンピュ
ータ1には、CPU20、チップセット21、主メモリ(RAM)22、グラフィックス
コントローラ23、ハードディスクドライブ(HDD)24、BIOS−ROM25、エ
ンベデッドコントローラ/キーボードコントローラIC(EC/KBC)30、および表
示装置3a、タッチパッド8、キーボード9、電源スイッチ10等が設けられている。
【0017】
CPU20は、コンピュータ1の各コンポーネントの動作を制御するプロセッサである
。このCPU20は、HDD24から主メモリ(RAM)22にロードされるオペレーテ
ィングシステムおよび各種アプリケーションプログラム/ユーティリティプログラムを実
行する。主メモリ(RAM)22は、各種データバッファの格納にも用いられる。
【0018】
また、CPU20は、BIOS−ROM25に格納されたBIOS(Basic In
put Output System)も実行する。BIOSはハードウェア制御のため
のプログラムである。BIOSにはBIOSドライバ群が含まれ、各BIOSドライバは
、ハードウェア制御のための複数の機能をオペレーティングシステムやアプリケーション
プログラムに提供するために、それらの機能に対応する複数のファンクション実行ルーチ
ン群を含んでいる。
【0019】
また、BIOSはHDD24のような記憶装置からオペレーティングシステムを主メモ
リ(RAM)22に展開して、コンピュータ1をユーザが操作可能な状態にするための処
理も実行する。
【0020】
チップセット21は、CPU20とのインタフェース、主メモリ(RAM)22とのイ
ンタフェース、グラフィックスコントローラ23とのインタフェースを備えている。また
、エンベデッドコントローラ30との通信も行う。
【0021】
グラフィックスコントローラ23は、コンピュータ1のディスプレイモニタとして使用
されるLCD3aを制御する。グラフィックスコントローラ23は、OSまたはアプリケ
ーションプログラムによってVRAM231に書き込まれた表示データに対応する映像信
号をLCD3aに送出する。
【0022】
HDD24は、OSや各種のアプリケーションプログラム/ユーティリティプログラム
およびデータファイルを格納する。また、HDD24にはSSID(Service S
et Identifier)も格納される。SSIDは、無線LANのアクセスポイン
トを識別するための識別子であり、ネットワークとしての種類・属性を示す。同じSSI
Dであれば、同じネットワークエリア内に存在することを示す。つまりアクセスポイント
として同じドメインに属することを示す。言い換えると、複数のアクセスポイントが同じ
ネットワークへの接続を提供する場合、複数のアクセスポイントは同じSSIDを共有す
ることになる。
【0023】
また、MACアドレス(Media Access Control address)は、ネットワーク機器のハー
ドウェアに一意に割り当てられる物理アドレスである。そのため、同じネットワークエリ
ア内に属する複数のアクセスポイントが同じSSIDを共有していても、MACアドレス
はアクセスポイントによって異なる。
【0024】
無線通信モジュール26は、アンテナ11による通信を制御するためのモジュールであ
る。無線通信モジュール26は、アンテナ11を通じて送受信されるデータの変調、復調
等を行う。無線通信モジュール26は、第1の不揮発性メモリ26aと第2の不揮発性メ
モリ26bを備える。第1の不揮発性メモリ26aには、無線通信モジュール26の動作
を制御するドライバが記憶される。第2の不揮発性メモリ26bには、アクセスポイント
のMACアドレスが記憶される。
【0025】
コンピュータ1が無線通信モジュール26およびアンテナ11を通じてアクセスポイン
トと通信をした時に、ドライバによってアクセスポイントからSSIDを取得する。取得
されたSSIDは、HDD24へ格納される。
【0026】
無線通信モジュール26は、アクセスポイントからMACアドレスを取得する処理、取
得したMACアドレスを第2の不揮発性メモリ26bに記憶する処理を行う。新たなアク
セスポイントを発見して第2のMACアドレスを取得した場合には、第2の不揮発性メモ
リ26bに記憶されていた第1のMACアドレスと第2のMACアドレスとを比較する処
理を行う。必要に応じて、第2の不揮発性メモリ26bに記憶されるMACアドレスを第
2のMACアドレスに更新する処理を行う。無線通信モジュール26が備えるプロセッサ
によってドライバが実行されることで、これらの処理が行われる。
【0027】
無線通信モジュール26がアクセスポイントから取得したMACアドレスを第2の不揮
発性メモリ26bに記憶することとしているが、無線通信モジュール26が取得したMA
CアドレスをHDD24に記憶しても良い。
【0028】
EC/KBC(エンベデッドコントローラ/キーボードコントローラ)30は、コンピ
ュータ1の電源管理のためのコントローラと、タッチパッド8、キーボード9、ファンク
ションボタン13などを制御するキーボードコントローラとが集積された1チップのマイ
クロコンピュータである。
【0029】
EC/KBC30は、電源コントローラ31と共同して、ユーザによる電源スイッチ1
0の操作に応答してコンピュータ1をパワーオン/パワーオフする処理を実行する。電源
コントローラ31は、コンピュータ1に内蔵されたバッテリ32からの電力、またはAC
アダプタ33を介して外部から供給される電力を用いて、コンピュータ1内の各コンポー
ネントに電力を供給する。
【0030】
図3は本発明の実施形態に係るネットワークを模式的に示す図である。
ネットワークエリアAには、アクセスポイント100a、アクセスポイント100b、
アクセスポイント100cが存在する。アクセスポイント100a、アクセスポイント1
00b、アクセスポイント100cはそれぞれ同じSSIDを有する。ここでは、アクセ
スポイント100a、アクセスポイント100b、アクセスポイント100cが有するS
SIDを「XXXXYYYY」とする。
【0031】
一方、アクセスポイント100a、アクセスポイント100b、アクセスポイント10
0cは、それぞれ異なるMACアドレスを持っている。
ネットワークエリアBには、アクセスポイント200a、アクセスポイント200b、
アクセスポイント200cが存在する。アクセスポイント200a、アクセスポイント2
00b、アクセスポイント200cはそれぞれ同じSSIDを有する。ここでは、アクセ
スポイント200a、アクセスポイント200b、アクセスポイント200cが有するS
SIDを「YYYYZZZZ」とする。
【0032】
一方、アクセスポイント200a、アクセスポイント200b、アクセスポイント20
0cは、それぞれ異なるMACアドレスを持っている。
コンピュータ1がネットワークエリアAに位置していた状態から、コンピュータ1がネ
ットワークエリアBに移動した場合を想定する。コンピュータ1はネットワークエリアA
で無線通信を行うとともに、ネットワークエリアA内で使用されるように設定されている
。一方、コンピュータ1はネットワークエリアBでは使用されないように設定されている
。すなわち、コンピュータ1がネットワークエリアBに位置するときには、ロックをかけ
られるように設定されている。
【0033】
コンピュータ1がどのネットワークエリアで使用できるかは、基準となるSSIDを予
め登録しておくことで設定される。この基準となるSSIDは、コンピュータ1のHDD
24等に記憶しておく。図3では、この基準となるSSIDとしてHDD24に「XXX
XYYYY」が記憶されている例を示している。部屋単位、建物単位、敷地単位などの任
意の範囲で決定したひとつまたは複数のSSIDを有するネットワークエリアでは、コン
ピュータ1にロックはかからない。すなわち、アクセスポイント100aのSSIDが「
YYYYZZZZ」であるネットワークエリアAにコンピュータ1が位置するときには、
コンピュータ1にはロックが働かない。一方、アクセスポイント200aのSSIDが「
YYYYZZZZ」であるネットワークエリアBにコンピュータ1が位置するときには、
コンピュータ1にはセキュリティ機能が働きロックされる。コンピュータ1から予め決め
られたSSID「XXXXYYYY」が見えなくなったときは、セキュリティ機能が働き
ロックがかかる。セキュリティ機能の例としては、コンピュータ1にロックをかけパスワ
ード入力を要求する処理や、コンピュータ1を強制的にシャットダウンする処理や、コン
ピュータ1をシャットダウンした後に予め使用可能なネットワークエリアとして定められ
た位置に戻るまでは再起動できなくする処理を実行することが挙げられる。
【0034】
図4は本発明の実施形態に係るセキュリティ動作を示すフローチャートである。
コンピュータ1は無線通信モジュール26とアンテナ11を通じてアクセスポイントと
通信を行う(ステップ1−1)。コンピュータ1は、無線通信モジュール26を通じてア
クセスポイントのMACアドレスを取得して保存する(ステップ1−2)。
【0035】
無線通信モジュール26は、アクセスポイントと通信する度にアクセスポイントから取
得するMACアドレスと、HDD24内に保存されたMACアドレスとを比較する(ステ
ップ1−3)。
【0036】
取得したMACアドレスとHDD24内に保存されたMACアドレスとが一致している
場合には(ステップ1−3のYes)、コンピュータ1が無線通信モジュール26を通じ
て通信しているアクセスポイントは変わっていないと言える。そのため、コンピュータ1
は、アクセスポイントとの通信を維持する(ステップ1−4)。
【0037】
一方、取得したMACアドレスとHDD24内に保存されたMACアドレスとが異なる
場合には(ステップ1−3のNo)、コンピュータ1が無線通信モジュール26を通じて
通信しているアクセスポイントに変更があったと言える。このときは、続いてアクセスポ
イントのSSIDが変わったかどうかを確認する(ステップ1−5)。コンピュータ1が
無線通信モジュール26を通じて通信しているアクセスポイントのSSIDが変更なしな
ら(ステップ1−5のNo)、そのまま通信を維持する(ステップ1−4)。このとき、
無線通信モジュール26の第2の不揮発性メモリ26bに記憶されるMACアドレスが更
新される(ステップ1−6)。通信先のアクセスポイントは変更されたが、SSIDが変
更なしということはネットワークエリアとしては同じであるということなので、コンピュ
ータ1は引き続きアクセスポイントとの通信はできる。
【0038】
コンピュータ1が無線通信モジュール26を通じて通信しているアクセスポイントのS
SIDが変更した場合には(ステップ1−5のYes)、無線通信モジュール26は無線
通信を中止する(ステップ1−7)。通信しているアクセスポイントのSSIDが変更し
たということは、コンピュータ1の位置するネットワークエリアが変わったということな
ので、コンピュータ1が盗難された可能性があるため、セキュリティ機能を働かせ、コン
ピュータ1にロックをかける(ステップ1−8)。
【0039】
コンピュータ1に予め設定されたSSIDと同じSSIDを持ったアクセスポイントと
の接続が継続されている間はコンピュータ1は通常通り動作する。予め設定されたSSI
Dを持つアクセスポイントとの接続が途切れた時には、コンピュータ1のセキュリティ機
能が働き、コンピュータ1にロックがかかる。コンピュータ1にロックがかけられた後に
再度コンピュータ1を操作可能な状態にするための処理の例としては、予め登録されたパ
スワードを入力することや、予め使用可能なネットワークエリアとして定められた位置に
コンピュータ1を運ぶことが挙げられる。
【0040】
ネットワークエリアごとに比較的簡単にセキュリティ範囲を設定することができるとと
もに、コンピュータとアクセスポイント間の通常の無線通信シーケンスの中で用いるSS
IDやMACアドレスを利用して、セキュリティ機能を働かせることができる。
【0041】
以上の説明のように、本実施形態のセキュリティ機能は無線通信モジュールのドライバ
を変更することで実現できる。本発明の実施形態によれば、特別なハードウェアの追加な
しにセキュリティ強度を向上させることが可能な情報処理装置を提供することができる。
【0042】
本発明ではその主旨を逸脱しない範囲であれば、上記の実施形態に限定されるものでは
なく種々の変形が可能である。
【符号の説明】
【0043】
1…コンピュータ、2…本体筐体、3…表示筐体、4…ヒンジ、8…タッチパッド、9
…キーボード、10…電源スイッチ、11…アンテナ、20…CPU、21…チップセッ
ト、22…主メモリ、23…グラフィックスコントローラ、24…HDD、25…BIO
S−ROM、26…無線通信モジュール、30…エンベデッドコントローラ、31…電源
コントローラ、32…バッテリ、33…ACアダプタ
【技術分野】
【0001】
本発明の実施形態は、情報処理装置のセキュリティに関する。
【背景技術】
【0002】
携帯通信端末やノート型のパーソナルコンピュータに代表される情報処理装置は、一般
的にバッテリ駆動可能に構成され、持ち運ばれて使用されることが多い。情報処理装置が
第三者に持ち出され使用される危険性もあるため、情報処理装置の盗難や盗難後の不正使
用を防止するための対策が考えられている。
【0003】
特許文献1には、一の基地局のサービスエリアから他の基地局のサービスエリアへ移動
するごとに基地局から送られるサービス停止要求の有無を確認し、確認結果に応じて機器
自身の機能を停止する携帯通信端末が開示されている。
【0004】
情報処理装置の盗難による情報漏えいや不正使用への耐性を上げるためには様々な方法
があるが、セキュリティ強度を向上させるにあたり発生するコストアップは極力抑えられ
ることが望ましい。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−279770号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、特別なハードウェアの追加なしにセキュリティ強度を向上させること
が可能な情報処理装置を提供することにある。
【課題を解決するための手段】
【0007】
本発明の実施形態に係る情報処理装置は、本体筐体と、前記本体筐体に内蔵される無線
通信モジュールと、前記無線通信モジュールを通じてアクセスポイントと通信をすること
で取得される識別情報であって、アクセスポイントが存在するネットワークエリアの属性
を示す第一の識別情報を記憶する第1の記憶装置と、アクセスポイントごとに使用される
第2の識別情報を記憶する第2の記憶装置と、前記情報処理装置の使用制限機能を実行す
るセキュリティ手段と、を備え、前記セキュリティ手段は、前記無線通信モジュールを通
じてアクセスポイントと通信をすることで取得された第一の識別情報が前記第1の記憶装
置に記憶された識別情報から変更された場合に、前記情報処理装置の使用制限機能を実行
する。
【発明の効果】
【0008】
本発明の実施形態によれば、特別なハードウェアの追加なしにセキュリティ強度を向上
させることが可能な情報処理装置を提供することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施形態に係るコンピュータを示す外観斜視図。
【図2】本発明の実施形態に係るコンピュータの構成を示すブロック図。
【図3】本発明の実施形態に係るネットワークを模式的に示す図。
【図4】本発明の実施形態に係るセキュリティ動作を示すフローチャート。
【発明を実施するための形態】
【0010】
以下本発明に係る実施の形態を、図面を参照して説明する。本実施形態では情報処理装
置としてノート型のコンピュータを例に説明する。図1は本発明の実施形態に係るコンピ
ュータを示す外観斜視図である。
【0011】
コンピュータ1は、本体筐体2と表示筐体3とを備えている。本体筐体2は、上壁2a
、左右の側壁2b、底壁2c、を有する偏平な箱状をなしている。上壁2aは、キーボー
ド9を支持している。
【0012】
さらに、本体筐体2は、底壁2cを有するベース6と、上壁2aを有するトップカバー
7とに分割されている。トップカバー7は、ベース6を上方から覆うとともに、このベー
ス6に取り外し可能に支持されている。
【0013】
本体筐体2には表示筐体3がヒンジ部4を介して回動可能に取り付けられている。表示
筐体3は本体筐体2の上壁2aが開放される開き位置と、本体筐体2の上壁2aが覆われ
る閉じ位置とで回動可能である。表示筐体3内にはLCD(Liquid Crysta
l Display)3aから構成される表示装置が組み込まれる。
【0014】
本体筐体2の上壁2aには、ユーザによる入力操作を行うためのタッチパッド8および
キーボード9が取り付けられる。また、本体筐体2の上壁2aにはコンピュータ1の電源
をオン/オフするための電源スイッチ10も設けられる。
【0015】
表示筐体3内には無線通信を行うためのアンテナ11が設けられる。図1には、アンテ
ナ11を一つ設けている例を示しているが、複数設けても良い。表示筐体3の上部にアン
テナ11を設けているが、表示筐体3内のスペースや必要とされる無線通信の特性に応じ
てアンテナ11を設ける位置は適宜調整される。
【0016】
図2は本発明の実施形態に係るコンピュータの構成を示すブロック図である。コンピュ
ータ1には、CPU20、チップセット21、主メモリ(RAM)22、グラフィックス
コントローラ23、ハードディスクドライブ(HDD)24、BIOS−ROM25、エ
ンベデッドコントローラ/キーボードコントローラIC(EC/KBC)30、および表
示装置3a、タッチパッド8、キーボード9、電源スイッチ10等が設けられている。
【0017】
CPU20は、コンピュータ1の各コンポーネントの動作を制御するプロセッサである
。このCPU20は、HDD24から主メモリ(RAM)22にロードされるオペレーテ
ィングシステムおよび各種アプリケーションプログラム/ユーティリティプログラムを実
行する。主メモリ(RAM)22は、各種データバッファの格納にも用いられる。
【0018】
また、CPU20は、BIOS−ROM25に格納されたBIOS(Basic In
put Output System)も実行する。BIOSはハードウェア制御のため
のプログラムである。BIOSにはBIOSドライバ群が含まれ、各BIOSドライバは
、ハードウェア制御のための複数の機能をオペレーティングシステムやアプリケーション
プログラムに提供するために、それらの機能に対応する複数のファンクション実行ルーチ
ン群を含んでいる。
【0019】
また、BIOSはHDD24のような記憶装置からオペレーティングシステムを主メモ
リ(RAM)22に展開して、コンピュータ1をユーザが操作可能な状態にするための処
理も実行する。
【0020】
チップセット21は、CPU20とのインタフェース、主メモリ(RAM)22とのイ
ンタフェース、グラフィックスコントローラ23とのインタフェースを備えている。また
、エンベデッドコントローラ30との通信も行う。
【0021】
グラフィックスコントローラ23は、コンピュータ1のディスプレイモニタとして使用
されるLCD3aを制御する。グラフィックスコントローラ23は、OSまたはアプリケ
ーションプログラムによってVRAM231に書き込まれた表示データに対応する映像信
号をLCD3aに送出する。
【0022】
HDD24は、OSや各種のアプリケーションプログラム/ユーティリティプログラム
およびデータファイルを格納する。また、HDD24にはSSID(Service S
et Identifier)も格納される。SSIDは、無線LANのアクセスポイン
トを識別するための識別子であり、ネットワークとしての種類・属性を示す。同じSSI
Dであれば、同じネットワークエリア内に存在することを示す。つまりアクセスポイント
として同じドメインに属することを示す。言い換えると、複数のアクセスポイントが同じ
ネットワークへの接続を提供する場合、複数のアクセスポイントは同じSSIDを共有す
ることになる。
【0023】
また、MACアドレス(Media Access Control address)は、ネットワーク機器のハー
ドウェアに一意に割り当てられる物理アドレスである。そのため、同じネットワークエリ
ア内に属する複数のアクセスポイントが同じSSIDを共有していても、MACアドレス
はアクセスポイントによって異なる。
【0024】
無線通信モジュール26は、アンテナ11による通信を制御するためのモジュールであ
る。無線通信モジュール26は、アンテナ11を通じて送受信されるデータの変調、復調
等を行う。無線通信モジュール26は、第1の不揮発性メモリ26aと第2の不揮発性メ
モリ26bを備える。第1の不揮発性メモリ26aには、無線通信モジュール26の動作
を制御するドライバが記憶される。第2の不揮発性メモリ26bには、アクセスポイント
のMACアドレスが記憶される。
【0025】
コンピュータ1が無線通信モジュール26およびアンテナ11を通じてアクセスポイン
トと通信をした時に、ドライバによってアクセスポイントからSSIDを取得する。取得
されたSSIDは、HDD24へ格納される。
【0026】
無線通信モジュール26は、アクセスポイントからMACアドレスを取得する処理、取
得したMACアドレスを第2の不揮発性メモリ26bに記憶する処理を行う。新たなアク
セスポイントを発見して第2のMACアドレスを取得した場合には、第2の不揮発性メモ
リ26bに記憶されていた第1のMACアドレスと第2のMACアドレスとを比較する処
理を行う。必要に応じて、第2の不揮発性メモリ26bに記憶されるMACアドレスを第
2のMACアドレスに更新する処理を行う。無線通信モジュール26が備えるプロセッサ
によってドライバが実行されることで、これらの処理が行われる。
【0027】
無線通信モジュール26がアクセスポイントから取得したMACアドレスを第2の不揮
発性メモリ26bに記憶することとしているが、無線通信モジュール26が取得したMA
CアドレスをHDD24に記憶しても良い。
【0028】
EC/KBC(エンベデッドコントローラ/キーボードコントローラ)30は、コンピ
ュータ1の電源管理のためのコントローラと、タッチパッド8、キーボード9、ファンク
ションボタン13などを制御するキーボードコントローラとが集積された1チップのマイ
クロコンピュータである。
【0029】
EC/KBC30は、電源コントローラ31と共同して、ユーザによる電源スイッチ1
0の操作に応答してコンピュータ1をパワーオン/パワーオフする処理を実行する。電源
コントローラ31は、コンピュータ1に内蔵されたバッテリ32からの電力、またはAC
アダプタ33を介して外部から供給される電力を用いて、コンピュータ1内の各コンポー
ネントに電力を供給する。
【0030】
図3は本発明の実施形態に係るネットワークを模式的に示す図である。
ネットワークエリアAには、アクセスポイント100a、アクセスポイント100b、
アクセスポイント100cが存在する。アクセスポイント100a、アクセスポイント1
00b、アクセスポイント100cはそれぞれ同じSSIDを有する。ここでは、アクセ
スポイント100a、アクセスポイント100b、アクセスポイント100cが有するS
SIDを「XXXXYYYY」とする。
【0031】
一方、アクセスポイント100a、アクセスポイント100b、アクセスポイント10
0cは、それぞれ異なるMACアドレスを持っている。
ネットワークエリアBには、アクセスポイント200a、アクセスポイント200b、
アクセスポイント200cが存在する。アクセスポイント200a、アクセスポイント2
00b、アクセスポイント200cはそれぞれ同じSSIDを有する。ここでは、アクセ
スポイント200a、アクセスポイント200b、アクセスポイント200cが有するS
SIDを「YYYYZZZZ」とする。
【0032】
一方、アクセスポイント200a、アクセスポイント200b、アクセスポイント20
0cは、それぞれ異なるMACアドレスを持っている。
コンピュータ1がネットワークエリアAに位置していた状態から、コンピュータ1がネ
ットワークエリアBに移動した場合を想定する。コンピュータ1はネットワークエリアA
で無線通信を行うとともに、ネットワークエリアA内で使用されるように設定されている
。一方、コンピュータ1はネットワークエリアBでは使用されないように設定されている
。すなわち、コンピュータ1がネットワークエリアBに位置するときには、ロックをかけ
られるように設定されている。
【0033】
コンピュータ1がどのネットワークエリアで使用できるかは、基準となるSSIDを予
め登録しておくことで設定される。この基準となるSSIDは、コンピュータ1のHDD
24等に記憶しておく。図3では、この基準となるSSIDとしてHDD24に「XXX
XYYYY」が記憶されている例を示している。部屋単位、建物単位、敷地単位などの任
意の範囲で決定したひとつまたは複数のSSIDを有するネットワークエリアでは、コン
ピュータ1にロックはかからない。すなわち、アクセスポイント100aのSSIDが「
YYYYZZZZ」であるネットワークエリアAにコンピュータ1が位置するときには、
コンピュータ1にはロックが働かない。一方、アクセスポイント200aのSSIDが「
YYYYZZZZ」であるネットワークエリアBにコンピュータ1が位置するときには、
コンピュータ1にはセキュリティ機能が働きロックされる。コンピュータ1から予め決め
られたSSID「XXXXYYYY」が見えなくなったときは、セキュリティ機能が働き
ロックがかかる。セキュリティ機能の例としては、コンピュータ1にロックをかけパスワ
ード入力を要求する処理や、コンピュータ1を強制的にシャットダウンする処理や、コン
ピュータ1をシャットダウンした後に予め使用可能なネットワークエリアとして定められ
た位置に戻るまでは再起動できなくする処理を実行することが挙げられる。
【0034】
図4は本発明の実施形態に係るセキュリティ動作を示すフローチャートである。
コンピュータ1は無線通信モジュール26とアンテナ11を通じてアクセスポイントと
通信を行う(ステップ1−1)。コンピュータ1は、無線通信モジュール26を通じてア
クセスポイントのMACアドレスを取得して保存する(ステップ1−2)。
【0035】
無線通信モジュール26は、アクセスポイントと通信する度にアクセスポイントから取
得するMACアドレスと、HDD24内に保存されたMACアドレスとを比較する(ステ
ップ1−3)。
【0036】
取得したMACアドレスとHDD24内に保存されたMACアドレスとが一致している
場合には(ステップ1−3のYes)、コンピュータ1が無線通信モジュール26を通じ
て通信しているアクセスポイントは変わっていないと言える。そのため、コンピュータ1
は、アクセスポイントとの通信を維持する(ステップ1−4)。
【0037】
一方、取得したMACアドレスとHDD24内に保存されたMACアドレスとが異なる
場合には(ステップ1−3のNo)、コンピュータ1が無線通信モジュール26を通じて
通信しているアクセスポイントに変更があったと言える。このときは、続いてアクセスポ
イントのSSIDが変わったかどうかを確認する(ステップ1−5)。コンピュータ1が
無線通信モジュール26を通じて通信しているアクセスポイントのSSIDが変更なしな
ら(ステップ1−5のNo)、そのまま通信を維持する(ステップ1−4)。このとき、
無線通信モジュール26の第2の不揮発性メモリ26bに記憶されるMACアドレスが更
新される(ステップ1−6)。通信先のアクセスポイントは変更されたが、SSIDが変
更なしということはネットワークエリアとしては同じであるということなので、コンピュ
ータ1は引き続きアクセスポイントとの通信はできる。
【0038】
コンピュータ1が無線通信モジュール26を通じて通信しているアクセスポイントのS
SIDが変更した場合には(ステップ1−5のYes)、無線通信モジュール26は無線
通信を中止する(ステップ1−7)。通信しているアクセスポイントのSSIDが変更し
たということは、コンピュータ1の位置するネットワークエリアが変わったということな
ので、コンピュータ1が盗難された可能性があるため、セキュリティ機能を働かせ、コン
ピュータ1にロックをかける(ステップ1−8)。
【0039】
コンピュータ1に予め設定されたSSIDと同じSSIDを持ったアクセスポイントと
の接続が継続されている間はコンピュータ1は通常通り動作する。予め設定されたSSI
Dを持つアクセスポイントとの接続が途切れた時には、コンピュータ1のセキュリティ機
能が働き、コンピュータ1にロックがかかる。コンピュータ1にロックがかけられた後に
再度コンピュータ1を操作可能な状態にするための処理の例としては、予め登録されたパ
スワードを入力することや、予め使用可能なネットワークエリアとして定められた位置に
コンピュータ1を運ぶことが挙げられる。
【0040】
ネットワークエリアごとに比較的簡単にセキュリティ範囲を設定することができるとと
もに、コンピュータとアクセスポイント間の通常の無線通信シーケンスの中で用いるSS
IDやMACアドレスを利用して、セキュリティ機能を働かせることができる。
【0041】
以上の説明のように、本実施形態のセキュリティ機能は無線通信モジュールのドライバ
を変更することで実現できる。本発明の実施形態によれば、特別なハードウェアの追加な
しにセキュリティ強度を向上させることが可能な情報処理装置を提供することができる。
【0042】
本発明ではその主旨を逸脱しない範囲であれば、上記の実施形態に限定されるものでは
なく種々の変形が可能である。
【符号の説明】
【0043】
1…コンピュータ、2…本体筐体、3…表示筐体、4…ヒンジ、8…タッチパッド、9
…キーボード、10…電源スイッチ、11…アンテナ、20…CPU、21…チップセッ
ト、22…主メモリ、23…グラフィックスコントローラ、24…HDD、25…BIO
S−ROM、26…無線通信モジュール、30…エンベデッドコントローラ、31…電源
コントローラ、32…バッテリ、33…ACアダプタ
【特許請求の範囲】
【請求項1】
情報処理装置であって、
本体筐体と、
前記本体筐体に内蔵される無線通信モジュールと、
前記無線通信モジュールを通じてアクセスポイントと通信をすることで取得される識別
情報であって、アクセスポイントが存在するネットワークエリアの属性を示す第一の識別
情報を記憶する第1の記憶装置と、
アクセスポイントごとに使用される第2の識別情報を記憶する第2の記憶装置と、
前記情報処理装置の使用制限機能を実行するセキュリティ手段と、を備え、
前記セキュリティ手段は、前記無線通信モジュールを通じてアクセスポイントと通信を
することで取得された第一の識別情報が前記第1の記憶装置に記憶された識別情報から変
更された場合に、前記情報処理装置の使用制限機能を実行することを特徴とする情報処理
装置。
【請求項2】
前記第1の記憶装置は、複数存在する第一の識別情報の中で、前記情報処理装置がどの
ネットワークエリアで使用可能かを指定する基準となる第一の識別情報を記憶することを
特徴とする請求項1記載の情報処理装置。
【請求項3】
前記無線通信モジュールを通じて通信可能な範囲内にアクセスポイントが存在しない場
合に、前記セキュリティ手段は前記情報処理装置の使用制限機能を実行することを特徴と
する請求項2記載の情報処理装置。
【請求項4】
前記無線通信モジュールを通じて通信可能な範囲内に第一の識別情報を有するアクセス
ポイントが存在しない場合に、前記セキュリティ手段は前記情報処理装置の使用制限機能
を実行することを特徴とする請求項2記載の情報処理装置。
【請求項5】
前記無線通信モジュールを通じてアクセスポイントと通信をすることで取得された第2
の識別情報と、前記第2の記憶装置に記憶された第2の識別情報とが相違する場合に、前
記セキュリティ手段は前記情報処理装置の使用制限機能を実行することを特徴とする請求
項2記載の情報処理装置。
【請求項1】
情報処理装置であって、
本体筐体と、
前記本体筐体に内蔵される無線通信モジュールと、
前記無線通信モジュールを通じてアクセスポイントと通信をすることで取得される識別
情報であって、アクセスポイントが存在するネットワークエリアの属性を示す第一の識別
情報を記憶する第1の記憶装置と、
アクセスポイントごとに使用される第2の識別情報を記憶する第2の記憶装置と、
前記情報処理装置の使用制限機能を実行するセキュリティ手段と、を備え、
前記セキュリティ手段は、前記無線通信モジュールを通じてアクセスポイントと通信を
することで取得された第一の識別情報が前記第1の記憶装置に記憶された識別情報から変
更された場合に、前記情報処理装置の使用制限機能を実行することを特徴とする情報処理
装置。
【請求項2】
前記第1の記憶装置は、複数存在する第一の識別情報の中で、前記情報処理装置がどの
ネットワークエリアで使用可能かを指定する基準となる第一の識別情報を記憶することを
特徴とする請求項1記載の情報処理装置。
【請求項3】
前記無線通信モジュールを通じて通信可能な範囲内にアクセスポイントが存在しない場
合に、前記セキュリティ手段は前記情報処理装置の使用制限機能を実行することを特徴と
する請求項2記載の情報処理装置。
【請求項4】
前記無線通信モジュールを通じて通信可能な範囲内に第一の識別情報を有するアクセス
ポイントが存在しない場合に、前記セキュリティ手段は前記情報処理装置の使用制限機能
を実行することを特徴とする請求項2記載の情報処理装置。
【請求項5】
前記無線通信モジュールを通じてアクセスポイントと通信をすることで取得された第2
の識別情報と、前記第2の記憶装置に記憶された第2の識別情報とが相違する場合に、前
記セキュリティ手段は前記情報処理装置の使用制限機能を実行することを特徴とする請求
項2記載の情報処理装置。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−215952(P2011−215952A)
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願番号】特願2010−84337(P2010−84337)
【出願日】平成22年3月31日(2010.3.31)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願日】平成22年3月31日(2010.3.31)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]