情報端末、情報漏洩防止方法および情報漏洩防止プログラム
【課題】暗号化されているデータが漏洩する恐れが生じた場合、データの複合化を防ぐことにより、データの漏洩を防止することが可能な情報端末、情報漏洩防止方法および情報漏洩防止プログラムを提供すること。
【解決手段】情報を格納する記憶装置を備える情報端末であって、前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、割り込み信号を検知する信号検知部と、前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部を備える。
【解決手段】情報を格納する記憶装置を備える情報端末であって、前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、割り込み信号を検知する信号検知部と、前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記憶装置に格納されている情報の漏洩を防止する情報端末、情報漏洩防止方法および情報漏洩防止プログラムに関する。
【背景技術】
【0002】
従来、パーソナルコンピュータ等の持ち運び可能な携帯または可搬型の情報端末の盗難や置き忘れによる情報(データ)漏洩が大きな問題となっている。このような情報端末には、ハードディスク装置(HDD:Hard Disk Drive)や半導体メモリ装置等の記憶装置が備えられており、この記憶装置には各種のデータが格納されている。情報端末の盗難や置き忘れによって、記憶装置内の重要なデータが漏洩する恐れがある。
【0003】
そこで、このようなデータの漏洩を防止するための様々な技術が開示されている。
例えば、HDDを画像形成装置本体に対して固定および固定解除するための、機械構造的に取り付け可能な鍵を備え、HDDに対して画像データが格納されるとき、鍵によってHDDを画像形成装置本体に対して固定させ、HDDを画像形成装置本体から取り外す必要が生じた場合、HDDに格納された画像データを消去するとともに、画像形成装置に格納された画像データが全て消去されたとき、鍵によってHDDを画像形成装置本体から固定解除させる技術が開示されている(例えば、特許文献1参照。)。
【0004】
また、電源投入時に、PC(Personal Computer)から転送される回路データを監視し、転送される回路データの異常を検知したとき、記憶部から読み出したディスク消去回路データをプログラマブル回路に記憶させ、そのプログラマブル回路が、記憶したディスク消去回路データに基づいてディスクに記憶された情報を消去する技術が開示されている(例えば、特許文献2参照。)。
【0005】
また、一時的にデータを暗号化して保存するHDD等で、暗号化キーをDRAM等に保存し、給電が停止すると、暗号化キーが消えるようにする技術が開示されている(例えば、特許文献3参照。)。
【0006】
また、装置上のストレージに格納された秘密情報に対して、所持者以外からの不正アクセスを検出した場合や、サーバからの指示があった場合等に、秘密情報の少なくとも一部を消去する技術が開示されている。データをサーバにバックアップ転送して、後でダウンロードにより復旧させる技術、揮発性メモリのバックアップ電源断により消去する技術等も開示されている(例えば、特許文献4参照。)。
【0007】
また、電子機器に実装された記憶装置の抜き取りを検出した後、所定時間は、記憶された所定のデータを保持してから、その一部または全部を消去する技術が開示されている。さらに、不正アクセスで無い場合に、抜き取りと判断しないと認識させる機能も開示されている(例えば、特許文献5参照。)。
【0008】
また、外観シャーシを基板から取り外すことにより、セキュリティースイッチが開路され、その開路に基づいて電子部品に記憶されているデータを消去する技術が開示されている(例えば、特許文献6参照。)。
【0009】
また、記憶装置が故障発生を検出すると自己診断を実行し、内部の不揮発性RAMに診断結果を含む故障情報を記録して、初期化を行うと共にデータ消去を行い、故障情報及びデータの消去完了の情報に従って故障した記憶装置のデータ消去完了証明書を発行して、ユーザ側に送信する技術が開示されている(例えば、特許文献7参照。)。
【0010】
ところで、通信機能を備えた情報端末のデータ漏洩対策として、盗難紛失時に、リモートにより情報端末を操作して、データの消去およびレポート出力を行う方法がある。データ消去は、データを暗号化している暗号鍵を消去することで実現される。その際の暗号鍵は、暗号化方式によって大きく2つに分類される。
【0011】
図7は、2つの暗号化方式を説明するための図である。
第1の暗号化方式は、ソフトウェア暗号方式と呼ばれる。ソフトウェア暗号方式の暗号鍵71は、図7の(A)に示したように、ユーザパスワード等で保護され、その格納場所は外部からアクセスできるHDD7A上や、セキュリティチップ上など、暗号化の対象であるデータとは別々に管理される。
【0012】
第2の暗号化方式は、ハードウェア暗号方式(SED:Self Encrypting Drive(自己暗号化ドライブ))と呼ばれる。ハードウェア暗号方式の暗号鍵71は、ユーザパスワードで保護され、その格納場所は外部からアクセスできないHDD7B内部に置かれ、HDD7Bと一緒に管理される。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2006−15527号公報
【特許文献2】特開2009−258979号公報
【特許文献3】特開2004−280551号公報
【特許文献4】特表2004−506258号公報
【特許文献5】特開2002−189635号公報
【特許文献6】特開平9−114746号公報
【特許文献7】特開2007−156599号公報
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかしながら、上述のようなハードウェア暗号方式(SED)では、リモート操作による暗号鍵を消去する命令が来る前に、悪意ある行為によってHDDが抜き取られると、暗号鍵の制御ができず、暗号鍵を消去することができない、という問題点があった。
【0015】
図8は、ハードウェア暗号方式における課題を説明するための図である。
図8において、従来の情報端末8では、データ暗号部72がHDD7Bで管理されている暗号鍵71を用いて、HDD7B上のデータの暗号化および復号化を行っている。
【0016】
情報端末8が盗難または置き忘れられたことにより、HDD7B内のデータが漏洩する恐れが生じた場合、ユーザは、消去命令実行部81に対してデータ消去の指示を行う。消去命令実行部81は、命令中継部82を介してHDD7Bが備える消去部73に消去命令を転送する。そして、消去部73は、暗号鍵71を消去する。
【0017】
消去部73により暗号鍵71が消去されると、消去されたことがレポート部83によってレポート受信部84に通知される。
しかしながら、命令中継部82が消去部73に消去命令を転送する前に、HDD7Bが情報端末8から抜き取られてしまうと、消去部73は暗号鍵71を消去することができなくなってしまう。
【0018】
本発明は、上述のような実状に鑑みたものであり、暗号化されているデータが漏洩する恐れが生じた場合、データの複合化を防ぐことにより、データの漏洩を防止することが可能な情報端末、情報漏洩防止方法および情報漏洩防止プログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明は、上記課題を解決するため、下記のような構成を採用した。
すなわち、情報端末の一観点によれば、情報を格納する記憶装置を備える情報端末であって、前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、割り込み信号を検知する信号検知部と、前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部を備えることを特徴とする情報端末が提供される。
【発明の効果】
【0020】
開示された技術により、悪意ある行為の前兆を情報端末で予知し、HDDに格納されているデータをプレ消去状態、すなわちHDDの電源が落ちたら暗号鍵が消える状態にすることで、HDDを抜くまで情報端末の筺体をロックするなどの防御機構コストの負担なく、HDDが切り離されるイベントと同時にHDDの暗号鍵を消すことができる、という効果を奏する。
【図面の簡単な説明】
【0021】
【図1】本発明を適用した情報端末の概要を説明するための図である。
【図2】情報漏洩防止機能を説明するための図である。
【図3】情報漏洩防止処理の流れを示すフローチャートである。
【図4】情報端末が相関DBを備えている場合の例を示す図である。
【図5】サーバが相関DBを備えている場合の例を示す図である。
【図6】プレ消去の解除を説明するための図である。
【図7】2つの暗号化方式を説明するための図である。
【図8】ハードウェア暗号方式における課題を説明するための図である。
【発明を実施するための形態】
【0022】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。
図1は、本発明を適用した情報端末の概要を説明するための図である。
図1において、パーソナルコンピュータ等の持ち運び可能な携帯または可搬型の情報端末1は、データを記憶する記憶装置としてのハードディスク装置(HDD)2を備える。HDD2は、機密情報を含む様々なデータを格納する。HDD2は、前記データを暗号化して格納し、当該暗号化されたデータを暗号鍵により復号するデータ暗号部22と、前記情報端末1から取り外すことで当該暗号鍵を消去するプレ消去部21を有する。また、情報端末1は、信号検知部11、プレ消去設定部12、消去抑止部13およびプレ消去解除部14を備える。
【0023】
信号検知部11は、HDD2が不正に取り外される可能性のある前兆としての割り込み信号を検知する。例えば、信号検知部11は、不正な前兆と判断する割り込み信号を設定した判断テーブルを持っており、入力される割り込み信号が判断テーブルに記憶されている状態かどうかを判断することにより、不正の前兆を検出する。信号検知部11は、HDD2の筺体が開けられたことをセンサーが検出することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。また、信号検知部11は、情報端末1が備える主電源装置(メインバッテリー)が取り外されたことを検出することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。なお、これらの前兆の検知が正しいか否かの判断を、情報端末1と通信可能なサーバで実行することも可能である。
【0024】
また、信号検知部11は、情報端末1が所定領域外に存在し(所定領域内に存在せず)、かつ、ユーザが所有する携帯電話等の特定の機器と情報端末1が所定距離以上に離れたと判断することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。例えば、まず、情報端末1が会社内等の所定領域内に存在するか否かを判断する。さらに、前記携帯電話等の位置情報と情報端末1の位置情報を検出することにより両者間の距離を算出する。そして、情報端末1が置き忘れられたことを示す情報を格納した相関データベース(DB:Data Base)31を参照することにより、前記携帯電話等が所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0025】
プレ消去設定部12は、信号検知部11による前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるように、プレ消去部21に対してプレ消去コマンドを発行する。このプレ消去コマンドの発行により、データ暗号部22によって暗号化された前記情報を復号化するための暗号鍵221を、プレ消去部21によってHDD2の不揮発性記憶領域から揮発性記憶領域へ移動するように、HDD2が設定される。そして、プレ消去部21は、暗号鍵221をHDD2の不揮発性記憶領域から揮発性記憶領域へ移動する(プレ消去状態にする)。
【0026】
消去抑止部13は、プレ消去設定部12による設定とともに、HDD2が取り外されたためにHDD2への電力が断たれることにより、前記プレ消去部21による前記暗号鍵221が消去されることを抑止する抑止信号をHDD2へ供給する。
【0027】
また、プレ消去解除部14は、ユーザからの指示に基づいて、暗号鍵221をHDD2の揮発性記憶領域から不揮発性記憶領域へ移動する(戻す)ことにより、プレ消去状態を解除する。
【0028】
このような情報端末1は、HDD2が不正に取り外される可能性のある前兆を検知すると、機密情報のデータを復号化するための暗号鍵221をHDD2の不揮発性記憶領域から揮発性記憶領域へ移動するので、HDD2が不正に取り外されるとHDD2への電力供給が断たれ、暗号鍵221が消去される。これにより、機密情報のデータの漏洩を防止できる。ただし、暗号鍵221がHDD2の不揮発性記憶領域から揮発性記憶領域へ移動された後は、HDD2への電力供給が維持されているので、情報端末1がスタンバイ状態や休止状態であっても暗号鍵221が消去されることはない。
【0029】
また、ユーザにより意図的にメインバッテリーを交換するような場合には、ユーザからの指示に基づいて暗号鍵221がHDD2の揮発性記憶領域から不揮発性記憶領域へ戻されるので、HDD2が取り外されHDD2への電力供給が断たれても、暗号鍵221が消去されることはない。
【0030】
なお、ここで消去とは、電力供給が断たれることにより揮発性記憶領域が不定になることをいう。すなわち、不揮発性記憶領域に記憶されている暗号鍵221を消去するとは、暗号鍵221が不揮発性記憶領域から読み出せなくなる状態にすることを言う。例えば、暗号鍵221を構成する全データ領域を「0」に置き換えてもよいし、「1」に置き換えてもよい。また、「0」と「1」をランダムに置き換えていってもよい。さらには、全データ領域について書き換えるのではなく、予め指定された特定のデータ領域、またはランダムに選択された特定のデータ領域のみを書き換えてもよい。
【0031】
また、暗号鍵221を不揮発性記憶領域から揮発性記憶領域へ移動させ、HDD2への電力供給が断たれた際に暗号鍵221を消去する代わりに、情報端末1の電源を投入する回数によって暗号鍵221を消去してもよいし、プレ消去解除部14による解除の失敗回数によって暗号鍵221を消去してもよいし、揮発性記憶領域への電力供給を調整して所定時間の経過によって暗号鍵221を消去してもよい。さらに、前記前兆の不正レベルに応じてこれらを選択可能に構成してもよい。
【0032】
図2は、情報漏洩防止機能を説明するための図である。
図2では、図1を用いて説明した情報端末1が備える情報漏洩防止機能を説明するため、主に消去抑止部13およびプレ消去部21について詳細に示している。
【0033】
図2において、消去抑止部13は、切替スイッチ(SW)131および省電力コマンド発行部132を備える。
信号検知部11が図1を用いて説明したような前兆を検知すると、プレ消去設定部12が、パスワード(pwd)121とHDD2が備えるパスワード(pwd)24を照合し、プレ消去部21に対してプレ消去コマンドを発行する。このプレ消去コマンドの発行により、暗号鍵221をHDD2の不揮発性記憶領域である不揮発メモリ211から、揮発性記憶領域である揮発メモリ212へ移動するように、HDD2が設定される。そして、その設定とともに、切替SW131が、通常通電の状態から常時通電の状態へ切り替える。ここで、通常通電の状態とは、省電力規格「ACPI(Advanced Configuration and Power Interface)」のスリープステートで規定されたS3からS5の状態をいう。ACPIでは、S0がフル稼働状態、S1が低消費電力状態(ただし、プロセッサ、チップセットともに電源オン)、S2が低消費電力状態(ただし、プロセッサとキャッシュは電源オフ、チップセットは電源オン)、S3がスタンバイ状態、S4が休止状態、および、S5がソフトウェアによる電源オフ状態を示す。
【0034】
さらに、切替SW13による切替とともに、省電力コマンド発行部132は、HDD2が省電力モードになるようにHDD2に対して省電力コマンドを発行する。
これにより、揮発メモリ212に移動された前記暗号鍵221が消去されることを抑止するためのHDD2への電力供給が維持される。
【0035】
また、切替SW131の切り換えによってHDD2の電源部23に電力が常時供給されている状態において、プレ消去部21は、暗号鍵221をHDD2の不揮発メモリ211から揮発メモリ212へ移動する。
【0036】
さらに、情報端末1は、警告表示部16およびレポート発行部32を備える。
警告表示部16は、プレ消去設定部12がプレ消去部21に対してプレ消去コマンドを発行し、HDD2がプレ消去状態となっていること、または、プレ消去解除部14がプレ消去状態を解除したことをユーザに警告または報知する。例えば、プレ消去状態であればLED(Light Emitting Diode)を赤色で点灯または点滅させ、プレ消去状態が解除されればLEDを青色で点灯させる。また、LDE点灯の代わりにBluetooth(登録商標)等の近距離無線通信を使って、ユーザに通知するようにしてもよい。
【0037】
バイオス(BIOS:Basic Input/Output System)3が備えるレポート発行部32は、プレ消去設定部12がプレ消去部21に対してプレ消去コマンドを発行し、HDD2がプレ消去状態となっていること、または、プレ消去解除部14がプレ消去状態を解除したことを、サーバに対してレポート発行する。
【0038】
次に、図1および図2を用いて説明した情報端末1のコンピュータが実行する情報漏洩防止処理について説明する。
図3は、情報漏洩防止処理の流れを示すフローチャートである。
【0039】
まず、ステップS301において、信号検知部11が、HDD2が不正に取り外される可能性のある前兆があるか否かを判断するための割り込み信号を検知する。
割り込み信号を検知すると(ステップS301:Yes)、ステップS302において、切替SW131が、通常通電の状態から常時通電の状態へ切り替えるとともに、ステップS303において、省電力コマンド発行部132が、HDD2が省電力モードになるようにHDD2に対して省電力コマンドを発行する。
【0040】
次に、ステップS304において、プレ消去設定部12が、プレ消去部21に対してプレ消去コマンドを発行する。
そして、ステップS305において、警告表示部16が、HDD2がプレ消去状態となっていること、またはプレ消去状態を解除したことをユーザに警告するとともに、ステップS306において、レポート発行部32がサーバに対してレポート発行を行う。
【0041】
図4は、情報端末が相関DBを備えている場合の例を示す図である。
図4において、情報端末1Aは、上述したような信号検知部11を備える。信号検知部11は、前記割り込み信号により、情報端末1Aが会社等の所定領域の外に存在し(所定領域内に存在せず)、かつ、ユーザが所有するモバイル(携帯電話)5等の特定の機器と情報端末1Aが所定距離以上に離れたと判断することにより、情報端末1Aがどこかに置き忘れられたと判断し、HDD2が不正に取り外される可能性のある前兆を検知する。
【0042】
例えば、モバイル5は、GPS(Global Positioning System)機能を用いてモバイル5自身の位置情報を取得する。情報端末1Aは、Bluetooth(登録商標)やWiFi(登録商標)等を用いた無線部による通信により、ユーザが所属する会社のサーバ4Aに直接アクセスすることができる場合には、情報端末1Aが会社内に存在すると判断する。そして、これらの位置情報からモバイル5と情報端末1Aの距離を算出する。ここでの距離とは、モバイル5と情報端末1Aが所定値以上離れているか否かの情報でも構わない。その場合、情報端末1Aの無線部がモバイル5の無線部と直接Bluetooth(登録商標)やWiFi(登録商標)等を用いた通信を行うことができるか否かによって、情報端末1Aとモバイル5が所定値以上離れているか否かを判断してもよい。
【0043】
そして、情報端末1Aは、情報端末1Aが備える相関DB31Aであって、情報端末1Aが置き忘れられたことを示す情報を格納した相関DB31Aを参照することにより、モバイル5等が所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0044】
図5は、サーバが相関DBを備えている場合の例を示す図である。
図5において、情報端末1Bは、上述したような信号検知部11を備える。信号検知部11は、前記割り込み信号により、情報端末1Bが会社等の所定領域の外に存在し(所定領域内に存在せず)、かつ、ユーザが所有するモバイル5等の特定の機器と情報端末1Bが所定距離以上に離れたと判断することにより、情報端末1Bがどこかに置き忘れられたと判断し、HDD2が不正に取り外される可能性のある前兆を検知する。
【0045】
例えば、モバイル5は、GPS(Global Positioning System)機能を用いてモバイル5自身の位置情報(第1の位置情報)と、加速度センサーで検出した値(第1の加速度センサー値)を取得する。そして、WiFi(登録商標)、3GPP(3rd Generation Partnership Project)またはPHS(Personal Handy-phone System)機能等を用いた無線部により、取得したモバイル5の第1の位置情報と第1の加速度センサー値をユーザが所属する会社のサーバ4Bに送信する。
【0046】
また、情報端末1Bは、WiFi(登録商標)、3GPPまたはPHS機能等を用いた無線部による通信により、前記サーバ4Bに直接アクセスすることができる場合には、情報端末1Bが会社内に存在すると判断する。さらに、情報端末1Bも加速度センサーで検出した値(第2の加速度センサー値)を取得する。そして、WiFi(登録商標)、3GPPまたはPHS機能等を用いた無線部により、取得した情報端末1Bの第2の位置情報と第2の加速度センサー値をサーバ4Bに送信する。
【0047】
サーバ4Bは、モバイル5から送信されてきた第1の位置情報と第1の加速度センサー値、および情報端末1Bから送信されてきた第2の位置情報と第2の加速度センサー値を受信する。そして、サーバ4Bは、サーバ4Bが備える相関DB31Bであって、情報端末1Bが置き忘れられたことを示す情報を格納した相関DB31Bを参照することにより、HDD2が不正に取り外される可能性のある前兆を検知する。
【0048】
例えば、サーバ4Bは、第1の位置情報と第2の位置情報からモバイル5と情報端末1Bの距離を算出する。ここでの距離も、モバイル5と情報端末1Bが所定値以上離れているか否かの情報でも構わない。そして、相関DB31Bを参照することにより、モバイル5等が会社内等の所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0049】
あるいは、サーバ4Bは、第1の加速度センサー値からモバイル5の変化量(移動軌跡)を算出し、第2の加速度センサー値から情報端末1Bの変化量を算出する。これらの変化量が同じ(ほぼ同じ)であれば、ユーザがモバイル5と情報端末1Bを一緒に携帯していると推定し、相関DB31Bを参照することにより、モバイル5等が会社内等の所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0050】
図6は、プレ消去の解除を説明するための図である。
図6において、情報端末1は、プレ消去解除部14、解除コマンド受信部17および解除コマンド発行部33を備える。
【0051】
ユーザからの指示に基づいて、BIOS3が備える解除コマンド発行部32は、プレ消去状態を解除するための解除コマンドを発行する。解除コマンド受信部17は、この解除コマンドを受信し、プレ消去解除部14がHDD2のプレ消去状態を解除するようプレ消去解除部14を制御する。そして、プレ消去解除部14は、HDD2のプレ消去状態を解除するために、プレ消去部21によって暗号鍵221をHDD2の揮発性メモリ212から不揮発性メモリ211へ移動させる。また、プレ消去解除部14は、切替SW131によって常時通電の状態から通常通電の状態へ切り替える(戻す)。
【0052】
これにより、ユーザにより意図的にメインバッテリーを交換するような場合であっても、暗号鍵221が消去されることはない。
以上、本発明の実施の形態を、図面を参照しながら説明してきたが、本発明は、上述の実施の形態に限定されない。例えば、上述の実施の形態では、プレ消去状態として、暗号鍵221を不揮発性メモリ212から揮発性メモリ211へ移動させ、HDD2への電力供給が断たれることにより、暗号鍵221の読み出しを不可能にすることにより暗号鍵221を消去するようにした。これに代え、暗号鍵を不揮発性メモリ212から揮発性メモリ211へ移動させることなく不揮発性メモリ212に格納したままにし、HDD2がコンデンサーを備え、HDD2への電力断が発生した際、揮発性メモリ211のデータをコンデンサーの電源を用いて強制的に消去してもよい。
【0053】
また、上述してきた本発明の実施の形態は、情報端末の一機能としてハードウェアまたはDSP(Digital Signal Processor)ボードやCPUボードでのファームウェアもしくはソフトウェアにより実現することができる。
【0054】
また、本発明が適用される情報端末は、その機能が実行されるのであれば、上述の実施の形態に限定されることなく、単体の装置であっても、複数の装置からなるシステムあるいは統合装置であっても、LAN、WAN等のネットワークを介して処理が行なわれるシステムであってもよいことは言うまでもない。
【0055】
また、バスに接続されたCPU、ROMやRAMのメモリ、入力装置、出力装置、外部記録装置、媒体駆動装置、ネットワーク接続装置で構成されるシステムでも実現できる。すなわち、前述してきた実施の形態のシステムを実現するソフトェアのプログラムを記録したROMやRAMのメモリ、外部記録装置、可搬記録媒体を、情報端末に供給し、その情報端末のコンピュータがプログラムを読み出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、可搬記録媒体等から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した可搬記録媒体等は本発明を構成することになる。
【0057】
プログラムを供給するための可搬記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、磁気テープ、不揮発性のメモリーカード、ROMカード、電子メールやパソコン通信等のネットワーク接続装置(言い換えれば、通信回線)を介して記録した種々の記録媒体などを用いることができる。
【0058】
また、コンピュータがメモリ上に読み出したプログラムを実行することによって、前述した実施の形態の機能が実現される他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現される。
【0059】
さらに、可搬型記録媒体から読み出されたプログラムやプログラム(データ)提供者から提供されたプログラム(データ)が、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現され得る。
【0060】
すなわち、本発明は、以上に述べた実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の構成または形状を取ることができる。
以上の各実施の形態に関し、更に以下の付記を開示する。
(付記1)
情報を格納する記憶装置を備える情報端末であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知する信号検知部と、
前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、
前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部と、
を備えることを特徴とする情報端末。
(付記2)
前記信号検知部は、前記情報端末の筺体が開けられたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記3)
前記信号検知部は、前記情報端末が備える主電源装置が取り外されたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記4)
前記信号検知部は、前記情報端末が所定領域外に存在し、かつ、前記情報端末が特定の機器と所定距離以上に離れることにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記5)
前記プレ消去部は、前記暗号鍵を前記記憶装置の不揮発性記憶領域から揮発性記憶領域へ移動し、前記揮発性記憶領域は、前記抑制信号により記憶内容を保持し、前記抑制信号の切断により消去されることを特徴とする付記1に記載の情報端末。
(付記6)
情報を格納する記憶装置を備える情報端末のコンピュータに実行させる情報漏洩防止方法であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知し、
前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定し、
前記設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する、
処理をコンピュータに実行させる情報漏洩防止方法。
(付記7)
情報を格納する記憶装置を備える情報端末のコンピュータに実行させる情報漏洩防止プログラムであって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知し、
前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定し、
前記設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する、
処理をコンピュータに実行させる情報漏洩防止プログラム。
【符号の説明】
【0061】
1、1A、1B 情報端末
2 ハードディスクドライブ(HDD)
3 バイオス(BIOS)
4A、4B サーバ
5 モバイル
7A、7B ハードディスクドライブ(HDD)
8 情報端末
11 信号検知部
12 プレ消去設定部
13 消去抑止部
14 プレ消去解除部
16 警告表示部
17 解除コマンド受理部
21 プレ消去部
22 データ暗号部
23 電源部
24、25 パスワード(pwd)
31、31A、31B 相関データベース(DB)
32 レポート発行部
33 解除コマンド発行部
71 暗号鍵
72 データ暗号部
73 消去部
81 消去命令実行部
82 命令中継部
83 レポート部
84 レポート受信部
121 パスワード(pwd)
131 切替スイッチ(SW)
132 省電力コマンド発行部
141 パスワード(pwd)
211 不揮発メモリ
212 揮発メモリ
221 暗号鍵
331 パスワード(pwd)
【技術分野】
【0001】
本発明は、記憶装置に格納されている情報の漏洩を防止する情報端末、情報漏洩防止方法および情報漏洩防止プログラムに関する。
【背景技術】
【0002】
従来、パーソナルコンピュータ等の持ち運び可能な携帯または可搬型の情報端末の盗難や置き忘れによる情報(データ)漏洩が大きな問題となっている。このような情報端末には、ハードディスク装置(HDD:Hard Disk Drive)や半導体メモリ装置等の記憶装置が備えられており、この記憶装置には各種のデータが格納されている。情報端末の盗難や置き忘れによって、記憶装置内の重要なデータが漏洩する恐れがある。
【0003】
そこで、このようなデータの漏洩を防止するための様々な技術が開示されている。
例えば、HDDを画像形成装置本体に対して固定および固定解除するための、機械構造的に取り付け可能な鍵を備え、HDDに対して画像データが格納されるとき、鍵によってHDDを画像形成装置本体に対して固定させ、HDDを画像形成装置本体から取り外す必要が生じた場合、HDDに格納された画像データを消去するとともに、画像形成装置に格納された画像データが全て消去されたとき、鍵によってHDDを画像形成装置本体から固定解除させる技術が開示されている(例えば、特許文献1参照。)。
【0004】
また、電源投入時に、PC(Personal Computer)から転送される回路データを監視し、転送される回路データの異常を検知したとき、記憶部から読み出したディスク消去回路データをプログラマブル回路に記憶させ、そのプログラマブル回路が、記憶したディスク消去回路データに基づいてディスクに記憶された情報を消去する技術が開示されている(例えば、特許文献2参照。)。
【0005】
また、一時的にデータを暗号化して保存するHDD等で、暗号化キーをDRAM等に保存し、給電が停止すると、暗号化キーが消えるようにする技術が開示されている(例えば、特許文献3参照。)。
【0006】
また、装置上のストレージに格納された秘密情報に対して、所持者以外からの不正アクセスを検出した場合や、サーバからの指示があった場合等に、秘密情報の少なくとも一部を消去する技術が開示されている。データをサーバにバックアップ転送して、後でダウンロードにより復旧させる技術、揮発性メモリのバックアップ電源断により消去する技術等も開示されている(例えば、特許文献4参照。)。
【0007】
また、電子機器に実装された記憶装置の抜き取りを検出した後、所定時間は、記憶された所定のデータを保持してから、その一部または全部を消去する技術が開示されている。さらに、不正アクセスで無い場合に、抜き取りと判断しないと認識させる機能も開示されている(例えば、特許文献5参照。)。
【0008】
また、外観シャーシを基板から取り外すことにより、セキュリティースイッチが開路され、その開路に基づいて電子部品に記憶されているデータを消去する技術が開示されている(例えば、特許文献6参照。)。
【0009】
また、記憶装置が故障発生を検出すると自己診断を実行し、内部の不揮発性RAMに診断結果を含む故障情報を記録して、初期化を行うと共にデータ消去を行い、故障情報及びデータの消去完了の情報に従って故障した記憶装置のデータ消去完了証明書を発行して、ユーザ側に送信する技術が開示されている(例えば、特許文献7参照。)。
【0010】
ところで、通信機能を備えた情報端末のデータ漏洩対策として、盗難紛失時に、リモートにより情報端末を操作して、データの消去およびレポート出力を行う方法がある。データ消去は、データを暗号化している暗号鍵を消去することで実現される。その際の暗号鍵は、暗号化方式によって大きく2つに分類される。
【0011】
図7は、2つの暗号化方式を説明するための図である。
第1の暗号化方式は、ソフトウェア暗号方式と呼ばれる。ソフトウェア暗号方式の暗号鍵71は、図7の(A)に示したように、ユーザパスワード等で保護され、その格納場所は外部からアクセスできるHDD7A上や、セキュリティチップ上など、暗号化の対象であるデータとは別々に管理される。
【0012】
第2の暗号化方式は、ハードウェア暗号方式(SED:Self Encrypting Drive(自己暗号化ドライブ))と呼ばれる。ハードウェア暗号方式の暗号鍵71は、ユーザパスワードで保護され、その格納場所は外部からアクセスできないHDD7B内部に置かれ、HDD7Bと一緒に管理される。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2006−15527号公報
【特許文献2】特開2009−258979号公報
【特許文献3】特開2004−280551号公報
【特許文献4】特表2004−506258号公報
【特許文献5】特開2002−189635号公報
【特許文献6】特開平9−114746号公報
【特許文献7】特開2007−156599号公報
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかしながら、上述のようなハードウェア暗号方式(SED)では、リモート操作による暗号鍵を消去する命令が来る前に、悪意ある行為によってHDDが抜き取られると、暗号鍵の制御ができず、暗号鍵を消去することができない、という問題点があった。
【0015】
図8は、ハードウェア暗号方式における課題を説明するための図である。
図8において、従来の情報端末8では、データ暗号部72がHDD7Bで管理されている暗号鍵71を用いて、HDD7B上のデータの暗号化および復号化を行っている。
【0016】
情報端末8が盗難または置き忘れられたことにより、HDD7B内のデータが漏洩する恐れが生じた場合、ユーザは、消去命令実行部81に対してデータ消去の指示を行う。消去命令実行部81は、命令中継部82を介してHDD7Bが備える消去部73に消去命令を転送する。そして、消去部73は、暗号鍵71を消去する。
【0017】
消去部73により暗号鍵71が消去されると、消去されたことがレポート部83によってレポート受信部84に通知される。
しかしながら、命令中継部82が消去部73に消去命令を転送する前に、HDD7Bが情報端末8から抜き取られてしまうと、消去部73は暗号鍵71を消去することができなくなってしまう。
【0018】
本発明は、上述のような実状に鑑みたものであり、暗号化されているデータが漏洩する恐れが生じた場合、データの複合化を防ぐことにより、データの漏洩を防止することが可能な情報端末、情報漏洩防止方法および情報漏洩防止プログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明は、上記課題を解決するため、下記のような構成を採用した。
すなわち、情報端末の一観点によれば、情報を格納する記憶装置を備える情報端末であって、前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、割り込み信号を検知する信号検知部と、前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部を備えることを特徴とする情報端末が提供される。
【発明の効果】
【0020】
開示された技術により、悪意ある行為の前兆を情報端末で予知し、HDDに格納されているデータをプレ消去状態、すなわちHDDの電源が落ちたら暗号鍵が消える状態にすることで、HDDを抜くまで情報端末の筺体をロックするなどの防御機構コストの負担なく、HDDが切り離されるイベントと同時にHDDの暗号鍵を消すことができる、という効果を奏する。
【図面の簡単な説明】
【0021】
【図1】本発明を適用した情報端末の概要を説明するための図である。
【図2】情報漏洩防止機能を説明するための図である。
【図3】情報漏洩防止処理の流れを示すフローチャートである。
【図4】情報端末が相関DBを備えている場合の例を示す図である。
【図5】サーバが相関DBを備えている場合の例を示す図である。
【図6】プレ消去の解除を説明するための図である。
【図7】2つの暗号化方式を説明するための図である。
【図8】ハードウェア暗号方式における課題を説明するための図である。
【発明を実施するための形態】
【0022】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。
図1は、本発明を適用した情報端末の概要を説明するための図である。
図1において、パーソナルコンピュータ等の持ち運び可能な携帯または可搬型の情報端末1は、データを記憶する記憶装置としてのハードディスク装置(HDD)2を備える。HDD2は、機密情報を含む様々なデータを格納する。HDD2は、前記データを暗号化して格納し、当該暗号化されたデータを暗号鍵により復号するデータ暗号部22と、前記情報端末1から取り外すことで当該暗号鍵を消去するプレ消去部21を有する。また、情報端末1は、信号検知部11、プレ消去設定部12、消去抑止部13およびプレ消去解除部14を備える。
【0023】
信号検知部11は、HDD2が不正に取り外される可能性のある前兆としての割り込み信号を検知する。例えば、信号検知部11は、不正な前兆と判断する割り込み信号を設定した判断テーブルを持っており、入力される割り込み信号が判断テーブルに記憶されている状態かどうかを判断することにより、不正の前兆を検出する。信号検知部11は、HDD2の筺体が開けられたことをセンサーが検出することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。また、信号検知部11は、情報端末1が備える主電源装置(メインバッテリー)が取り外されたことを検出することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。なお、これらの前兆の検知が正しいか否かの判断を、情報端末1と通信可能なサーバで実行することも可能である。
【0024】
また、信号検知部11は、情報端末1が所定領域外に存在し(所定領域内に存在せず)、かつ、ユーザが所有する携帯電話等の特定の機器と情報端末1が所定距離以上に離れたと判断することにより、前記HDD2が不正に取り外される可能性のある前兆を検知する。例えば、まず、情報端末1が会社内等の所定領域内に存在するか否かを判断する。さらに、前記携帯電話等の位置情報と情報端末1の位置情報を検出することにより両者間の距離を算出する。そして、情報端末1が置き忘れられたことを示す情報を格納した相関データベース(DB:Data Base)31を参照することにより、前記携帯電話等が所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0025】
プレ消去設定部12は、信号検知部11による前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるように、プレ消去部21に対してプレ消去コマンドを発行する。このプレ消去コマンドの発行により、データ暗号部22によって暗号化された前記情報を復号化するための暗号鍵221を、プレ消去部21によってHDD2の不揮発性記憶領域から揮発性記憶領域へ移動するように、HDD2が設定される。そして、プレ消去部21は、暗号鍵221をHDD2の不揮発性記憶領域から揮発性記憶領域へ移動する(プレ消去状態にする)。
【0026】
消去抑止部13は、プレ消去設定部12による設定とともに、HDD2が取り外されたためにHDD2への電力が断たれることにより、前記プレ消去部21による前記暗号鍵221が消去されることを抑止する抑止信号をHDD2へ供給する。
【0027】
また、プレ消去解除部14は、ユーザからの指示に基づいて、暗号鍵221をHDD2の揮発性記憶領域から不揮発性記憶領域へ移動する(戻す)ことにより、プレ消去状態を解除する。
【0028】
このような情報端末1は、HDD2が不正に取り外される可能性のある前兆を検知すると、機密情報のデータを復号化するための暗号鍵221をHDD2の不揮発性記憶領域から揮発性記憶領域へ移動するので、HDD2が不正に取り外されるとHDD2への電力供給が断たれ、暗号鍵221が消去される。これにより、機密情報のデータの漏洩を防止できる。ただし、暗号鍵221がHDD2の不揮発性記憶領域から揮発性記憶領域へ移動された後は、HDD2への電力供給が維持されているので、情報端末1がスタンバイ状態や休止状態であっても暗号鍵221が消去されることはない。
【0029】
また、ユーザにより意図的にメインバッテリーを交換するような場合には、ユーザからの指示に基づいて暗号鍵221がHDD2の揮発性記憶領域から不揮発性記憶領域へ戻されるので、HDD2が取り外されHDD2への電力供給が断たれても、暗号鍵221が消去されることはない。
【0030】
なお、ここで消去とは、電力供給が断たれることにより揮発性記憶領域が不定になることをいう。すなわち、不揮発性記憶領域に記憶されている暗号鍵221を消去するとは、暗号鍵221が不揮発性記憶領域から読み出せなくなる状態にすることを言う。例えば、暗号鍵221を構成する全データ領域を「0」に置き換えてもよいし、「1」に置き換えてもよい。また、「0」と「1」をランダムに置き換えていってもよい。さらには、全データ領域について書き換えるのではなく、予め指定された特定のデータ領域、またはランダムに選択された特定のデータ領域のみを書き換えてもよい。
【0031】
また、暗号鍵221を不揮発性記憶領域から揮発性記憶領域へ移動させ、HDD2への電力供給が断たれた際に暗号鍵221を消去する代わりに、情報端末1の電源を投入する回数によって暗号鍵221を消去してもよいし、プレ消去解除部14による解除の失敗回数によって暗号鍵221を消去してもよいし、揮発性記憶領域への電力供給を調整して所定時間の経過によって暗号鍵221を消去してもよい。さらに、前記前兆の不正レベルに応じてこれらを選択可能に構成してもよい。
【0032】
図2は、情報漏洩防止機能を説明するための図である。
図2では、図1を用いて説明した情報端末1が備える情報漏洩防止機能を説明するため、主に消去抑止部13およびプレ消去部21について詳細に示している。
【0033】
図2において、消去抑止部13は、切替スイッチ(SW)131および省電力コマンド発行部132を備える。
信号検知部11が図1を用いて説明したような前兆を検知すると、プレ消去設定部12が、パスワード(pwd)121とHDD2が備えるパスワード(pwd)24を照合し、プレ消去部21に対してプレ消去コマンドを発行する。このプレ消去コマンドの発行により、暗号鍵221をHDD2の不揮発性記憶領域である不揮発メモリ211から、揮発性記憶領域である揮発メモリ212へ移動するように、HDD2が設定される。そして、その設定とともに、切替SW131が、通常通電の状態から常時通電の状態へ切り替える。ここで、通常通電の状態とは、省電力規格「ACPI(Advanced Configuration and Power Interface)」のスリープステートで規定されたS3からS5の状態をいう。ACPIでは、S0がフル稼働状態、S1が低消費電力状態(ただし、プロセッサ、チップセットともに電源オン)、S2が低消費電力状態(ただし、プロセッサとキャッシュは電源オフ、チップセットは電源オン)、S3がスタンバイ状態、S4が休止状態、および、S5がソフトウェアによる電源オフ状態を示す。
【0034】
さらに、切替SW13による切替とともに、省電力コマンド発行部132は、HDD2が省電力モードになるようにHDD2に対して省電力コマンドを発行する。
これにより、揮発メモリ212に移動された前記暗号鍵221が消去されることを抑止するためのHDD2への電力供給が維持される。
【0035】
また、切替SW131の切り換えによってHDD2の電源部23に電力が常時供給されている状態において、プレ消去部21は、暗号鍵221をHDD2の不揮発メモリ211から揮発メモリ212へ移動する。
【0036】
さらに、情報端末1は、警告表示部16およびレポート発行部32を備える。
警告表示部16は、プレ消去設定部12がプレ消去部21に対してプレ消去コマンドを発行し、HDD2がプレ消去状態となっていること、または、プレ消去解除部14がプレ消去状態を解除したことをユーザに警告または報知する。例えば、プレ消去状態であればLED(Light Emitting Diode)を赤色で点灯または点滅させ、プレ消去状態が解除されればLEDを青色で点灯させる。また、LDE点灯の代わりにBluetooth(登録商標)等の近距離無線通信を使って、ユーザに通知するようにしてもよい。
【0037】
バイオス(BIOS:Basic Input/Output System)3が備えるレポート発行部32は、プレ消去設定部12がプレ消去部21に対してプレ消去コマンドを発行し、HDD2がプレ消去状態となっていること、または、プレ消去解除部14がプレ消去状態を解除したことを、サーバに対してレポート発行する。
【0038】
次に、図1および図2を用いて説明した情報端末1のコンピュータが実行する情報漏洩防止処理について説明する。
図3は、情報漏洩防止処理の流れを示すフローチャートである。
【0039】
まず、ステップS301において、信号検知部11が、HDD2が不正に取り外される可能性のある前兆があるか否かを判断するための割り込み信号を検知する。
割り込み信号を検知すると(ステップS301:Yes)、ステップS302において、切替SW131が、通常通電の状態から常時通電の状態へ切り替えるとともに、ステップS303において、省電力コマンド発行部132が、HDD2が省電力モードになるようにHDD2に対して省電力コマンドを発行する。
【0040】
次に、ステップS304において、プレ消去設定部12が、プレ消去部21に対してプレ消去コマンドを発行する。
そして、ステップS305において、警告表示部16が、HDD2がプレ消去状態となっていること、またはプレ消去状態を解除したことをユーザに警告するとともに、ステップS306において、レポート発行部32がサーバに対してレポート発行を行う。
【0041】
図4は、情報端末が相関DBを備えている場合の例を示す図である。
図4において、情報端末1Aは、上述したような信号検知部11を備える。信号検知部11は、前記割り込み信号により、情報端末1Aが会社等の所定領域の外に存在し(所定領域内に存在せず)、かつ、ユーザが所有するモバイル(携帯電話)5等の特定の機器と情報端末1Aが所定距離以上に離れたと判断することにより、情報端末1Aがどこかに置き忘れられたと判断し、HDD2が不正に取り外される可能性のある前兆を検知する。
【0042】
例えば、モバイル5は、GPS(Global Positioning System)機能を用いてモバイル5自身の位置情報を取得する。情報端末1Aは、Bluetooth(登録商標)やWiFi(登録商標)等を用いた無線部による通信により、ユーザが所属する会社のサーバ4Aに直接アクセスすることができる場合には、情報端末1Aが会社内に存在すると判断する。そして、これらの位置情報からモバイル5と情報端末1Aの距離を算出する。ここでの距離とは、モバイル5と情報端末1Aが所定値以上離れているか否かの情報でも構わない。その場合、情報端末1Aの無線部がモバイル5の無線部と直接Bluetooth(登録商標)やWiFi(登録商標)等を用いた通信を行うことができるか否かによって、情報端末1Aとモバイル5が所定値以上離れているか否かを判断してもよい。
【0043】
そして、情報端末1Aは、情報端末1Aが備える相関DB31Aであって、情報端末1Aが置き忘れられたことを示す情報を格納した相関DB31Aを参照することにより、モバイル5等が所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0044】
図5は、サーバが相関DBを備えている場合の例を示す図である。
図5において、情報端末1Bは、上述したような信号検知部11を備える。信号検知部11は、前記割り込み信号により、情報端末1Bが会社等の所定領域の外に存在し(所定領域内に存在せず)、かつ、ユーザが所有するモバイル5等の特定の機器と情報端末1Bが所定距離以上に離れたと判断することにより、情報端末1Bがどこかに置き忘れられたと判断し、HDD2が不正に取り外される可能性のある前兆を検知する。
【0045】
例えば、モバイル5は、GPS(Global Positioning System)機能を用いてモバイル5自身の位置情報(第1の位置情報)と、加速度センサーで検出した値(第1の加速度センサー値)を取得する。そして、WiFi(登録商標)、3GPP(3rd Generation Partnership Project)またはPHS(Personal Handy-phone System)機能等を用いた無線部により、取得したモバイル5の第1の位置情報と第1の加速度センサー値をユーザが所属する会社のサーバ4Bに送信する。
【0046】
また、情報端末1Bは、WiFi(登録商標)、3GPPまたはPHS機能等を用いた無線部による通信により、前記サーバ4Bに直接アクセスすることができる場合には、情報端末1Bが会社内に存在すると判断する。さらに、情報端末1Bも加速度センサーで検出した値(第2の加速度センサー値)を取得する。そして、WiFi(登録商標)、3GPPまたはPHS機能等を用いた無線部により、取得した情報端末1Bの第2の位置情報と第2の加速度センサー値をサーバ4Bに送信する。
【0047】
サーバ4Bは、モバイル5から送信されてきた第1の位置情報と第1の加速度センサー値、および情報端末1Bから送信されてきた第2の位置情報と第2の加速度センサー値を受信する。そして、サーバ4Bは、サーバ4Bが備える相関DB31Bであって、情報端末1Bが置き忘れられたことを示す情報を格納した相関DB31Bを参照することにより、HDD2が不正に取り外される可能性のある前兆を検知する。
【0048】
例えば、サーバ4Bは、第1の位置情報と第2の位置情報からモバイル5と情報端末1Bの距離を算出する。ここでの距離も、モバイル5と情報端末1Bが所定値以上離れているか否かの情報でも構わない。そして、相関DB31Bを参照することにより、モバイル5等が会社内等の所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0049】
あるいは、サーバ4Bは、第1の加速度センサー値からモバイル5の変化量(移動軌跡)を算出し、第2の加速度センサー値から情報端末1Bの変化量を算出する。これらの変化量が同じ(ほぼ同じ)であれば、ユーザがモバイル5と情報端末1Bを一緒に携帯していると推定し、相関DB31Bを参照することにより、モバイル5等が会社内等の所定領域内に存在せず、かつ、両者間の距離が所定値以上の場合に、前記前兆を検知する。
【0050】
図6は、プレ消去の解除を説明するための図である。
図6において、情報端末1は、プレ消去解除部14、解除コマンド受信部17および解除コマンド発行部33を備える。
【0051】
ユーザからの指示に基づいて、BIOS3が備える解除コマンド発行部32は、プレ消去状態を解除するための解除コマンドを発行する。解除コマンド受信部17は、この解除コマンドを受信し、プレ消去解除部14がHDD2のプレ消去状態を解除するようプレ消去解除部14を制御する。そして、プレ消去解除部14は、HDD2のプレ消去状態を解除するために、プレ消去部21によって暗号鍵221をHDD2の揮発性メモリ212から不揮発性メモリ211へ移動させる。また、プレ消去解除部14は、切替SW131によって常時通電の状態から通常通電の状態へ切り替える(戻す)。
【0052】
これにより、ユーザにより意図的にメインバッテリーを交換するような場合であっても、暗号鍵221が消去されることはない。
以上、本発明の実施の形態を、図面を参照しながら説明してきたが、本発明は、上述の実施の形態に限定されない。例えば、上述の実施の形態では、プレ消去状態として、暗号鍵221を不揮発性メモリ212から揮発性メモリ211へ移動させ、HDD2への電力供給が断たれることにより、暗号鍵221の読み出しを不可能にすることにより暗号鍵221を消去するようにした。これに代え、暗号鍵を不揮発性メモリ212から揮発性メモリ211へ移動させることなく不揮発性メモリ212に格納したままにし、HDD2がコンデンサーを備え、HDD2への電力断が発生した際、揮発性メモリ211のデータをコンデンサーの電源を用いて強制的に消去してもよい。
【0053】
また、上述してきた本発明の実施の形態は、情報端末の一機能としてハードウェアまたはDSP(Digital Signal Processor)ボードやCPUボードでのファームウェアもしくはソフトウェアにより実現することができる。
【0054】
また、本発明が適用される情報端末は、その機能が実行されるのであれば、上述の実施の形態に限定されることなく、単体の装置であっても、複数の装置からなるシステムあるいは統合装置であっても、LAN、WAN等のネットワークを介して処理が行なわれるシステムであってもよいことは言うまでもない。
【0055】
また、バスに接続されたCPU、ROMやRAMのメモリ、入力装置、出力装置、外部記録装置、媒体駆動装置、ネットワーク接続装置で構成されるシステムでも実現できる。すなわち、前述してきた実施の形態のシステムを実現するソフトェアのプログラムを記録したROMやRAMのメモリ、外部記録装置、可搬記録媒体を、情報端末に供給し、その情報端末のコンピュータがプログラムを読み出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、可搬記録媒体等から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した可搬記録媒体等は本発明を構成することになる。
【0057】
プログラムを供給するための可搬記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、磁気テープ、不揮発性のメモリーカード、ROMカード、電子メールやパソコン通信等のネットワーク接続装置(言い換えれば、通信回線)を介して記録した種々の記録媒体などを用いることができる。
【0058】
また、コンピュータがメモリ上に読み出したプログラムを実行することによって、前述した実施の形態の機能が実現される他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現される。
【0059】
さらに、可搬型記録媒体から読み出されたプログラムやプログラム(データ)提供者から提供されたプログラム(データ)が、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現され得る。
【0060】
すなわち、本発明は、以上に述べた実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の構成または形状を取ることができる。
以上の各実施の形態に関し、更に以下の付記を開示する。
(付記1)
情報を格納する記憶装置を備える情報端末であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知する信号検知部と、
前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、
前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部と、
を備えることを特徴とする情報端末。
(付記2)
前記信号検知部は、前記情報端末の筺体が開けられたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記3)
前記信号検知部は、前記情報端末が備える主電源装置が取り外されたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記4)
前記信号検知部は、前記情報端末が所定領域外に存在し、かつ、前記情報端末が特定の機器と所定距離以上に離れることにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする付記1に記載の情報端末。
(付記5)
前記プレ消去部は、前記暗号鍵を前記記憶装置の不揮発性記憶領域から揮発性記憶領域へ移動し、前記揮発性記憶領域は、前記抑制信号により記憶内容を保持し、前記抑制信号の切断により消去されることを特徴とする付記1に記載の情報端末。
(付記6)
情報を格納する記憶装置を備える情報端末のコンピュータに実行させる情報漏洩防止方法であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知し、
前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定し、
前記設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する、
処理をコンピュータに実行させる情報漏洩防止方法。
(付記7)
情報を格納する記憶装置を備える情報端末のコンピュータに実行させる情報漏洩防止プログラムであって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知し、
前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定し、
前記設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する、
処理をコンピュータに実行させる情報漏洩防止プログラム。
【符号の説明】
【0061】
1、1A、1B 情報端末
2 ハードディスクドライブ(HDD)
3 バイオス(BIOS)
4A、4B サーバ
5 モバイル
7A、7B ハードディスクドライブ(HDD)
8 情報端末
11 信号検知部
12 プレ消去設定部
13 消去抑止部
14 プレ消去解除部
16 警告表示部
17 解除コマンド受理部
21 プレ消去部
22 データ暗号部
23 電源部
24、25 パスワード(pwd)
31、31A、31B 相関データベース(DB)
32 レポート発行部
33 解除コマンド発行部
71 暗号鍵
72 データ暗号部
73 消去部
81 消去命令実行部
82 命令中継部
83 レポート部
84 レポート受信部
121 パスワード(pwd)
131 切替スイッチ(SW)
132 省電力コマンド発行部
141 パスワード(pwd)
211 不揮発メモリ
212 揮発メモリ
221 暗号鍵
331 パスワード(pwd)
【特許請求の範囲】
【請求項1】
情報を格納する記憶装置を備える情報端末であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知する信号検知部と、
前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、
前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部と、
を備えることを特徴とする情報端末。
【請求項2】
前記信号検知部は、前記情報端末の筺体が開けられたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項3】
前記信号検知部は、前記情報端末が備える主電源装置が取り外されたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項4】
前記信号検知部は、前記情報端末が所定領域外に存在し、かつ、前記情報端末が特定の機器と所定距離以上に離れることにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項5】
前記プレ消去部は、前記暗号鍵を前記記憶装置の不揮発性記憶領域から揮発性記憶領域へ移動し、前記揮発性記憶領域は、前記抑制信号により記憶内容を保持し、前記抑制信号の切断により消去されることを特徴とする請求項1に記載の情報端末。
【請求項1】
情報を格納する記憶装置を備える情報端末であって、
前記記憶装置は、前記情報を暗号化して格納し、当該暗号化された情報を暗号鍵により復号するデータ暗号部と、前記情報端末から取り外すことで当該暗号鍵を消去するプレ消去部を有し、
割り込み信号を検知する信号検知部と、
前記信号検知部が前記割り込み信号の検知に伴い、前記プレ消去部へプレ消去機能を動作させるよう設定するプレ消去設定部と、
前記プレ消去設定部による設定とともに、前記プレ消去部による前記暗号鍵の消去を抑止する抑止信号を前記記憶装置へ供給する消去抑止部と、
を備えることを特徴とする情報端末。
【請求項2】
前記信号検知部は、前記情報端末の筺体が開けられたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項3】
前記信号検知部は、前記情報端末が備える主電源装置が取り外されたことを検出することにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項4】
前記信号検知部は、前記情報端末が所定領域外に存在し、かつ、前記情報端末が特定の機器と所定距離以上に離れることにより前記記憶装置が不正に取り外される可能性のある前兆を検知することを特徴とする請求項1に記載の情報端末。
【請求項5】
前記プレ消去部は、前記暗号鍵を前記記憶装置の不揮発性記憶領域から揮発性記憶領域へ移動し、前記揮発性記憶領域は、前記抑制信号により記憶内容を保持し、前記抑制信号の切断により消去されることを特徴とする請求項1に記載の情報端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−212258(P2012−212258A)
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願番号】特願2011−76809(P2011−76809)
【出願日】平成23年3月30日(2011.3.30)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願日】平成23年3月30日(2011.3.30)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]