情報管理装置及び情報管理システム及び情報管理方法及びプログラム
【課題】機密情報を保持する装置において、装置の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止する。
【解決手段】制御装置11において、揮発性メモリ18は、機密情報を記憶する。電流検出部17は、制御装置11の近傍の建造物等に内蔵される負荷12と信号線20により接続され、信号線20を介して負荷12に継続して盗難検知信号の電流を流す。情報消去部19は、信号線20を流れる電流を監視し、信号線20を流れる電流が途絶えたことを検知すると、揮発性メモリ18への給電を停止する。その結果、揮発性メモリ18に記憶された機密情報が消失する。
【解決手段】制御装置11において、揮発性メモリ18は、機密情報を記憶する。電流検出部17は、制御装置11の近傍の建造物等に内蔵される負荷12と信号線20により接続され、信号線20を介して負荷12に継続して盗難検知信号の電流を流す。情報消去部19は、信号線20を流れる電流を監視し、信号線20を流れる電流が途絶えたことを検知すると、揮発性メモリ18への給電を停止する。その結果、揮発性メモリ18に記憶された機密情報が消失する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報管理装置及び情報管理システム及び情報管理方法及びプログラムに関するものである。本発明は、特に、電子マネーシステム、IC(集積回路)カード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムで使用される制御装置(盗難検知機能付き装置)に関するものである。
【背景技術】
【0002】
近年、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、その内部で機密情報を扱うシステムが多数開発されている。そのようなシステムにおいては、システムを制御する装置(制御装置)の内部に機密情報を保管している。また、その保管している機密情報に対するアクセスを制御するための制御情報として、当該装置と他の装置との間での相互認証や、装置間の通信を秘匿するための情報も装置内部に保持している。この制御情報も外部に漏洩してはならないものであるため、機密情報の一部であるといえる。
【0003】
従来、機密情報への不正なアクセスを抑止する方法として、装置への外部給電が絶たれたことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考案されている(例えば、特許文献1参照)。しかし、この方法では、停電により外部給電が絶たれる場合と盗難により外部給電が絶たれる場合とを区別できないため、停電時にも機密情報が消去され、装置が使用不可となるという課題があった。対策として、外部給電が絶たれたときに、装置に振動が加わったことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考えられている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−287984号公報
【特許文献2】特開2006−301879号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記のように、従来技術においては、外部電源の切断、又は、外部電源の切断時の振動検知を契機として、装置内部の機密情報を消去することで、外部への機密情報の漏洩を抑止している。しかしながら、従来技術においては、装置を、停電時にも装置に振動が加わるような環境で使用した場合、やはり停電と盗難との区別ができないという課題があった。また、装置への攻撃者(機密情報を盗もうとする者)が、装置に振動を与えないように慎重に装置を持ち去った場合には、機密情報が消去されず、漏洩してしまう危険性があった。
【0006】
本発明は、例えば、機密情報を保持する装置において、装置の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することを目的とする。
【課題を解決するための手段】
【0007】
本発明の一の態様に係る情報管理装置は、
情報を記憶するメモリと、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部とを有する。
【発明の効果】
【0008】
本発明の一の態様によれば、機密情報を保持する装置(情報管理装置)において、装置の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【図面の簡単な説明】
【0009】
【図1】実施の形態1に係る情報管理システムの構成を示す図。
【図2】実施の形態1に係る電流検出部の構成例を示す図。
【図3】実施の形態1に係る制御装置の状態遷移例を示す状態遷移図。
【図4】実施の形態1に係る制御装置の状態パラメータ例を示す表。
【図5】実施の形態1に係る制御装置のハードウェア構成例を示す図。
【図6】実施の形態2に係る電流検出部の構成例を示す図。
【図7】実施の形態3に係る情報管理システムの構成を示す図。
【図8】実施の形態4に係る情報管理システムの構成を示す図。
【発明を実施するための形態】
【0010】
以下、本発明の実施の形態について、図を用いて説明する。
【0011】
実施の形態1.
図1は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0012】
図1において、情報管理システム10は、制御装置11(情報管理装置の一例)と負荷12(外部の装置の一例)とを備える。
【0013】
制御装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムを制御する装置である。制御装置11は、電源スイッチ13、電源制御部14、バッテリ15,16、電流検出部17(通信部の一例)、揮発性メモリ18(メモリの一例)、情報消去部19を有する。また、図示していないが、制御装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等のシステムを制御するための機能部を有する。
【0014】
電源スイッチ13は、外部電源30と電線31により接続され、電線31を介して外部電源30から電力の供給を受ける。つまり、電源スイッチ13は、外部給電を受ける。外部電源30は、制御装置11が設置される環境に配備されている給電設備であり、例えば商用電源である。電源スイッチ13は、例えば手動により操作され、ON(オン)/OFF(オフ)を示す信号を出力する。具体的には、電源スイッチ13は、ONであれば電圧LOW(低レベル電圧)を出力し、OFFであれば電圧HIGH(高レベル電圧)を出力する。また、電源スイッチ13は、ONであれば外部給電の電力を電源制御部14へ供給し、OFFであれば電源制御部14への給電を停止する。停電発生時には、外部給電が絶たれるため、電源制御部14への給電が自動的に停止する。
【0015】
電源制御部14は、電源スイッチ13からON/OFFを示す信号を入力し、この信号に基づき、電源スイッチ13のON/OFFの状態を判定する。電源スイッチ13がONの場合、電源スイッチ13からの給電の有無に関わらず、電源制御部14は、バッテリ15により電流検出部17に電力を供給する。電源スイッチ13がONで電源スイッチ13からの給電がある場合、電源制御部14は、外部給電の電力(電源スイッチ13から供給された電力)を揮発性メモリ18へ供給する。また、この場合、電源制御部14は、外部給電の電力によりバッテリ15,16を充電する。電源スイッチ13がONで電源スイッチ13からの給電が絶たれた場合、電源制御部14は、停電が発生したと判断し、揮発性メモリ18への電力供給源をバッテリ16に切り換える。つまり、この場合、電源制御部14は、バッテリ16により揮発性メモリ18に電力を供給する。電源スイッチ13がOFFの場合、電源制御部14は、バッテリ15,16が充電されていたとしても、電流検出部17、揮発性メモリ18への給電を停止する。
【0016】
バッテリ15は、後述する盗難検知信号の電流を流すための電源として制御装置11に搭載される。
【0017】
バッテリ16は、停電時に、揮発性メモリ18に給電するための電源として制御装置11に搭載される。
【0018】
電流検出部17は、負荷12と継続して通信を行う。具体的には、電流検出部17は、負荷12と信号線20により接続され、信号線20を介して負荷12に継続して盗難検知信号(所定の信号の一例)の電流を流す。電流検出部17は、バッテリ15により電力を供給されて動作する。給電が絶たれると、信号線20に盗難検知信号の電流が流れなくなる。負荷12は、例えば電気的負荷(抵抗)であり、制御装置11の近傍の建造物等、制御装置11とともに盗み出すことが困難な設備に内蔵される。例えば、負荷12は、制御装置11を収納する筐体やラック等に内蔵されてもよく、この場合、筐体やラック等は建物の外に持ち出せないように床等に固定されることが望ましい。制御装置11は、信号線20を切断しない限り、外部に持ち出せないようになっている。電流検出部17は、信号線20に盗難検知信号の電流が流れていれば電圧HIGHを出力し、電流が流れていなければ電圧LOWを出力する。
【0019】
揮発性メモリ18は、例えばSRAM(Static・Random・Access・Memory)であり、機密情報(情報の一例)を記憶する。揮発性メモリ18は、通常時には外部給電により、停電時にはバッテリ16により電力を供給されて動作する。給電が絶たれると、揮発性メモリ18から機密情報が消失する。なお、揮発性メモリ18が記憶する情報は、機密情報に限らず、他の任意の情報であってよい。
【0020】
情報消去部19は、電流検出部17による通信の状態を監視する。具体的には、情報消去部19は、電流検出部17による通信の状態として信号線20を流れる電流を監視し(本実施の形態では信号線20を流れる電流を、電流検出部17を用いて間接的に監視するが、直接監視してもよい)、信号線20を流れる電流が途絶えたことを検知すると、電流検出部17による通信が途絶えたと判定する。そして、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0021】
本実施の形態において、情報消去部19は、AND回路21と電子スイッチ22とを有する。AND回路21は、電源スイッチ13からON/OFFを示す信号を入力する第1ポートと、電流検出部17からの出力を入力する第2ポートとを有する。第2ポートは、入力信号を反転する負論理ポートである。AND回路21は、第1ポートの入力(電源スイッチ13のON/OFFを示す信号)と、第2ポートの入力(電流検出部17からの出力を反転した信号)との論理積を出力する。電子スイッチ22は、AND回路21からの出力に応じて、揮発性メモリ18及びその電力供給源(電源制御部14又はバッテリ16)間の導通/非導通を切り換える。
【0022】
電源スイッチ13から電圧LOW(ONの状態を示す)が出力され、かつ、電流検出部17から電圧HIGH(信号線20に盗難検知信号の電流が流れている状態を示す)が出力されている場合、AND回路21から電圧LOWが出力される。これを受けて、電子スイッチ22はON(導通)になり、通常時は外部給電の電力、停電時はバッテリ16の電力が揮発性メモリ18に供給される。その他の場合、即ち、電源スイッチ13から電圧HIGH(OFFの状態を示す)が出力されているか、又は、電流検出部17から電圧LOW(信号線20に盗難検知信号の電流が流れていない状態を示す)が出力されている場合、AND回路21から電圧HIGHが出力される。これを受けて、電子スイッチ22はOFF(非導通)になり、揮発性メモリ18への給電が停止する。その結果、揮発性メモリ18に記憶された機密情報が消失する。
【0023】
なお、本実施の形態では、電流検出部17に電力を供給するバッテリ15と、揮発性メモリ18に電力を供給するバッテリ16とを分けているが、バッテリ15,16を統合して1つのバッテリを用いてもよい。
【0024】
本実施の形態では、バッテリ15が、停電時だけでなく通常時も電流検出部17に電力を供給するが、停電時にのみ、電流検出部17に電力を供給するようにしてもよい。この場合、電源制御部14は、電源スイッチ13がONで電源スイッチ13からの給電があるときには、外部給電の電力(電源スイッチ13から供給された電力)を電流検出部17へ供給する。その後、電源スイッチ13がONで電源スイッチ13からの給電が絶たれた場合、電源制御部14は、停電が発生したと判断し、電流検出部17への電力供給源をバッテリ15に切り換える。
【0025】
本実施の形態では、バッテリ16が、停電時のみに、揮発性メモリ18に電力を供給するが、通常時も、揮発性メモリ18に電力を供給するようにしてもよい。この場合、電源制御部14は、電源スイッチ13がONであれば、電源スイッチ13からの給電の有無に関わらず、バッテリ16により揮発性メモリ18に電力を供給する(正確には、電子スイッチ22がONの場合のみ)。これにより、停電時に、揮発性メモリ18への電力供給源をバッテリ16に切り換える動作が不要となるため、この動作中に揮発性メモリ18から機密情報が消失するという事態を確実に回避できる。
【0026】
本実施の形態では、電源制御部14が、電源スイッチ13のON/OFFに応じて、バッテリ15,16からの給電を制御するが、バッテリ15,16が電源スイッチ13に直接接続され、電源スイッチ13のON/OFFに連動してバッテリ15,16自体が給電のON/OFFを切り換えてもよい。
【0027】
本実施の形態では、揮発性メモリ18が、機密情報を記憶するが、揮発性メモリ18の代わりに、不揮発性メモリを用いてもよい。この場合、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を別の情報(例えば、機密情報を暗号化した情報でもよいし、機密情報と何ら関連性のないダミー情報でもよい)で上書きする。あるいは、揮発性メモリ18を物理的に破壊する。これにより、揮発性メモリ18から機密情報が実質的に消去されるため、機密情報の漏洩を防止できる。
【0028】
図2は、電流検出部17の構成例を示す図である。
【0029】
図2において、電流検出部17は、大きな抵抗23、抵抗器24、FET25(電界効果トランジスタ)を有する。
【0030】
大きな抵抗23は、負荷12より十分大きな(例えば、約10倍)抵抗値をもち、バッテリ15と接続される。抵抗器24は、大きな抵抗23と並列に接続される。FET25は、ベース端子(B)が大きな抵抗23と接続され、コレクタ端子(C)が抵抗器24と接続され、エミッタ端子(E)が接地される。大きな抵抗23とFET25のベース端子との接続点は、図1に示した信号線20に接続される。抵抗器24とFET25のコレクタ端子との接続点は、図1に示した情報消去部19のAND回路21に接続される。
【0031】
大きな抵抗23とFET25のベース端子との接続点から信号線20に盗難検知信号の電流が流れる場合、大きな抵抗23に電位差が生じ、FET25のベース端子にスレショルド(閾値電圧)を下回る電圧が印加される。これにより、FET25がOFFになり、FET25のコレクタ端子が電圧HIGHになるため、抵抗器24とFET25のコレクタ端子との接続点から電圧HIGHがAND回路21に出力される。一方、大きな抵抗23とFET25のベース端子との接続点から信号線20に盗難検知信号の電流が流れない場合、FET25のベース端子が電圧HIGHになる。これにより、FET25がONになり、FET25のコレクタ端子が電圧LOWになるため、抵抗器24とFET25のコレクタ端子との接続点から電圧LOWがAND回路21に出力される。
【0032】
図3は、制御装置11の状態遷移例を示す状態遷移図である。図4は、図3に示した状態遷移における状態パラメータ例を示す表である。
【0033】
図3及び図4において、「OFF」の状態では、電源スイッチ13がOFFで、信号線20に盗難検知信号の電流が流れておらず、揮発性メモリ18へ電力が供給されていない(外部給電はあってもなくてもよい)。「OFF」の状態で、外部給電がある場合に電源スイッチ13がONになると、「通常動作」の状態に遷移(T1)する。このとき、電源制御部14は、電源スイッチ13がONになったことを検知して、バッテリ15から電流検出部17への給電を開始する。また、電源制御部14は、揮発性メモリ18へ給電するため、情報消去部19の電子スイッチ22への給電も開始する。電流検出部17は、給電されることにより、信号線20に盗難検知信号の電流を流し始める。電源スイッチ13がONであるため、情報消去部19の電子スイッチ22がONになり、揮発性メモリ18への給電が開始される。
【0034】
「通常動作」の状態では、信号線20に盗難検知信号の電流が流れており、揮発性メモリ18へ電力が供給されている。そのため、揮発性メモリ18に機密情報を保管することができる。揮発性メモリ18への機密情報の書き込みは、入力装置を介して行われる。揮発性メモリ18からの機密情報の読み出しは、例えば出力装置を介して行われる。「通常動作」の状態で、外部給電がなくなると、「停電」の状態に遷移(T2)する。このとき、電源制御部14は、電源スイッチ13からの給電がなくなったことを検知して、揮発性メモリ18への給電をバッテリ16からの給電に切り換える。
【0035】
「停電」の状態では、「通常動作」の状態と同様に、信号線20に盗難検知信号の電流が流れており、揮発性メモリ18へ電力が供給されている。そのため、揮発性メモリ18に機密情報を保管することができる。「停電」の状態で、外部給電が戻ると、「通常動作」の状態に遷移(T3)する。このとき、電源制御部14は、電源スイッチ13からの給電が再開されたことを検知して、揮発性メモリ18への給電を外部給電に切り換える。
【0036】
「通常動作」の状態で、信号線20に盗難検知信号の電流が流れなくなると、「盗難」の状態に遷移(T4)する。「停電」の状態でも、信号線20に盗難検知信号の電流が流れなくなると、「盗難」の状態に遷移(T5)する。
【0037】
「盗難」の状態では、信号線20に盗難検知信号の電流が流れていない。そのため、情報消去部19が、電流検出部17による通信が途絶えたと判定し、即時に「情報消去」の状態に遷移(T6)する。このとき、信号線20に盗難検知信号の電流が流れていないため、情報消去部19の電子スイッチ22がOFFになり、揮発性メモリ18への給電が停止する。
【0038】
「情報消去」の状態では、揮発性メモリ18へ電力が供給されていない。そのため、揮発性メモリ18から機密情報が消失する。「情報消去」の状態で、電源スイッチ13がOFFなると、「OFF」の状態に遷移(T7)する。
【0039】
このように、本実施の形態では、「通常動作」の状態だけでなく、「停電」の状態でも、確実に制御装置11の盗難を検知できる。そして、制御装置11の盗難が検知された場合には、「盗難」の状態から即時に「情報消去」の状態に遷移して、機密情報を消去できる。つまり、本実施の形態によれば、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0040】
以上説明したように、本実施の形態において、制御装置11は、停電発生時か盗難発生時かを識別し、停電発生時には情報を消去せず、盗難発生時に情報を消去する機能をもつ。電流検出部17は、制御装置11の内部のバッテリ15から制御装置11の外部の建造物等に配置している負荷12への給電で電流を流しているときに出力HIGHを生成する。停電発生時は、電源スイッチ13の出力がLOW、電流検出部17の出力がHIGHのままであるため、情報消去部19のAND回路21の出力がLOWとなり情報は消去されない。盗難発生時は、電源スイッチ13の出力がLOWであるかHIGHであるかに関わらず、電流検出部17の出力がLOWとなるため、AND回路21の出力がHIGHとなり情報は消去される。
【0041】
以上から、本実施の形態によれば、停電時と盗難時を確実に区別することができる。そして、停電の際には、揮発性メモリ18へのバッテリ16からの給電を継続し、盗難の際には、バッテリ16からの給電を停止して機密情報を消失させ、機密情報の漏洩を防止することができる。
【0042】
図5は、制御装置11のハードウェア構成例を示す図である。
【0043】
図5において、制御装置11は、コンピュータであり、LCD71(Liquid・Crystal・Display)、キーボード72(K/B)、マウス73、FDD74(Flexible・Disk・Drive)、CDD75(Compact・Disc・Drive)、プリンタ76といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。LCD71の代わりに、CRT(Cathode・Ray・Tube)、あるいは、その他の表示装置が用いられてもよい。マウス73の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。
【0044】
制御装置11は、プログラムを実行するCPU81(Central・Processing・Unit)を備えている。CPU81は、処理装置の一例である。CPU81は、バス82を介してROM83(Read・Only・Memory)、RAM84、通信ボード85、LCD71、キーボード72、マウス73、FDD74、CDD75、プリンタ76、HDD90(Hard・Disk・Drive)と接続され、これらのハードウェアデバイスを制御する。HDD90の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ、あるいは、その他の記録媒体が用いられてもよい。
【0045】
RAM84は、揮発性メモリ18の一例である。ROM83、FDD74、CDD75、HDD90は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード85、キーボード72、マウス73、FDD74、CDD75は、入力装置の一例である。また、通信ボード85、LCD71、プリンタ76は、出力装置の一例である。
【0046】
通信ボード85は、LAN(Local・Area・Network)等に接続されている。通信ボード85は、LANに限らず、VPN(Virtual・Private・Network)等に接続されていても構わない。
【0047】
HDD90には、オペレーティングシステム91(OS)、ウィンドウシステム92、プログラム群93、ファイル群94が記憶されている。プログラム群93のプログラムは、CPU81、オペレーティングシステム91、ウィンドウシステム92により実行される。プログラム群93には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが含まれている。プログラムは、CPU81により読み出され実行される。ファイル群94には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として含まれている。「〜ファイル」や「〜データベース」や「〜テーブル」は、RAM84やHDD90等の記録媒体に記憶される。RAM84やHDD90等の記録媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU81によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理(動作)に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0048】
本実施の形態の説明において用いる図の矢印の部分は主としてデータや信号や電力の入出力を示す。データや信号は、RAM84等のメモリ、FDD74のフレキシブルディスク(FD)、CDD75のコンパクトディスク(CD)、HDD90の磁気ディスク、光ディスク、DVD(Digital・Versatile・Disc)、あるいは、その他の記録媒体に記録される。また、データや信号は、バス82、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。
【0049】
本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM83に記憶されたファームウェアで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、DVD等の記録媒体に記憶される。プログラムはCPU81により読み出され、CPU81により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0050】
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
【0051】
本実施の形態に係る情報管理システム10の構成は、図1に示した実施の形態1のものと同様である。
【0052】
図6は、電流検出部17の構成例を示す図である。
【0053】
図6において、電流検出部17は、D型フリップフロップ26を有する。
【0054】
D型フリップフロップ26は、D入力端子及びクロック入力端子がバッテリ15と接続され、反転出力端子が図1に示した情報消去部19のAND回路21に接続される。D型フリップフロップ26のクロック入力端子とバッテリ15との接続点は、図1に示した信号線20に接続される。
【0055】
本実施の形態では、電流検出部17が、上記のように構成されることで、盗難検知信号の電流の有無を示す信号を出力する代わりに、盗難検知信号の電流波形の変化(エッジ検出)を示す信号を出力する。そのため、情報消去部19は、盗難検知信号の電流値の変動を検知することができる。具体的には、盗難検知信号の電流値が変動した場合、D型フリップフロップ26のD入力端子及びクロック入力端子には電圧のHIGH→LOW→HIGHの変動が現れる。その際、クロック入力端子の電圧の立ち上りに対してD入力端子の電圧のHIGHへの変化がセットアップ時間を満たせないため、D型フリップフロップ26の状態が反転する。そしてD型フリップフロップ26の反転出力端子から電圧LOWがAND回路21に出力されるため、AND回路21の出力は電圧HIGHになる。その結果、電子スイッチ22がOFFになり、揮発性メモリ18への給電が停止する。
【0056】
このように、本実施の形態において、電流検出部17は、信号線20を介して負荷12に継続して所定の波形をもつ盗難検知信号の電流を流す。情報消去部19は、電流検出部17による通信の状態として信号線20を流れる電流を監視し、信号線20を流れる電流の波形が乱れたことを検知すると、電流検出部17による通信が途絶えたと判定する。そして、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0057】
本実施の形態によれば、制御装置11への攻撃者が、制御装置11に盗難検知信号の迂回路を形成して制御装置11を盗もうとした場合でも、盗難検知信号の電流の変化を検知して機密情報を消去することで、機密情報の漏洩を抑止することができる。
【0058】
実施の形態3.
本実施の形態について、主に実施の形態1との差異を説明する。
【0059】
図7は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0060】
図7において、情報管理システム10は、負荷12の代わりに、通信装置12a(外部の装置の一例)を備える。通信装置12aは、一定時間(例えば、1分)ごとに信号線20を介して盗難検知信号を送信する。通信装置12aは、実施の形態1における負荷12と同様に、制御装置11の近傍の建造物等、望ましくは制御装置11とともに盗み出すことが困難な設備に内蔵される。
【0061】
制御装置11は、電流検出部17の代わりに、受信部17a(通信部の一例)を有する。受信部17aは、通信装置12aと継続して通信を行う。具体的には、受信部17aは、通信装置12aと信号線20により接続され、通信装置12aから一定時間ごとに信号線20を介して盗難検知信号を受信する。受信部17aは、バッテリ15により電力を供給されて動作する。受信部17aは、一定時間ごとに盗難検知信号を受信していれば電圧HIGHを出力し、一定時間が経過しても盗難検知信号が受信できなければ電圧LOWを出力する。
【0062】
情報消去部19は、受信部17aによる通信の状態を監視する。具体的には、情報消去部19は、一定時間が経過しても受信部17aにより盗難検知信号が受信されなかったことを検知すると、受信部17aによる通信が途絶えたと判定する。そして、情報消去部19は、受信部17aによる通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0063】
本実施の形態によれば、実施の形態1と同様に、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0064】
なお、通信装置12aは、実施の形態1における負荷12のようなパッシブデバイスと異なり、給電されて動作するものであるが、停電時も動作する必要があるため、電力供給源としてはバッテリを用いることが望ましい。このとき、主電源を外部電源30とし、補助電源をバッテリとしてもよい。
【0065】
実施の形態4.
本実施の形態について、主に実施の形態3との差異を説明する。
【0066】
図8は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0067】
図8において、通信装置12aは、例えばRFID(Radio・Frequency・IDentification)であり、一定時間(例えば、1分)ごとに盗難検知信号を無線で送信する。通信装置12aを制御装置11に近接させて設置する場合には、制御装置11から電磁誘導により給電されるパッシブ型RFIDや非接触型ICカードとして通信装置12aを実装してもよい。この場合、通信装置12aへの給電のためにバッテリ等を設ける必要がなくなる。
【0068】
制御装置11の受信部17aは、アンテナ27を具備しており、通信装置12aと信号線20により接続される代わりに、通信装置12aと無線通信を行う。具体的には、受信部17aは、通信装置12aから一定時間ごとにアンテナ27を介して盗難検知信号を受信する。受信部17aは、バッテリ15により電力を供給されて動作する。受信部17aは、一定時間ごとに盗難検知信号を受信していれば電圧HIGHを出力し、一定時間が経過しても盗難検知信号が受信できなければ電圧LOWを出力する。
【0069】
情報消去部19は、受信部17aによる通信の状態を監視する。具体的には、情報消去部19は、一定時間が経過しても受信部17aにより盗難検知信号が受信されなかったことを検知すると、受信部17aによる通信が途絶えた(制御装置11が通信装置12aとの通信圏外に移動した)と判定する。そして、情報消去部19は、受信部17aによる通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0070】
本実施の形態によれば、実施の形態3と同様に、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0071】
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
【符号の説明】
【0072】
10 情報管理システム、11 制御装置、12 負荷、12a 通信装置、13 電源スイッチ、14 電源制御部、15,16 バッテリ、17 電流検出部、17a 受信部、18 揮発性メモリ、19 情報消去部、20 信号線、21 AND回路、22 電子スイッチ、23 大きな抵抗、24 抵抗器、25 FET、26 D型フリップフロップ、27 アンテナ、30 外部電源、31 電線、71 LCD、72 キーボード、73 マウス、74 FDD、75 CDD、76 プリンタ、81 CPU、82 バス、83 ROM、84 RAM、85 通信ボード、90 HDD、91 オペレーティングシステム、92 ウィンドウシステム、93 プログラム群、94 ファイル群。
【技術分野】
【0001】
本発明は、情報管理装置及び情報管理システム及び情報管理方法及びプログラムに関するものである。本発明は、特に、電子マネーシステム、IC(集積回路)カード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムで使用される制御装置(盗難検知機能付き装置)に関するものである。
【背景技術】
【0002】
近年、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、その内部で機密情報を扱うシステムが多数開発されている。そのようなシステムにおいては、システムを制御する装置(制御装置)の内部に機密情報を保管している。また、その保管している機密情報に対するアクセスを制御するための制御情報として、当該装置と他の装置との間での相互認証や、装置間の通信を秘匿するための情報も装置内部に保持している。この制御情報も外部に漏洩してはならないものであるため、機密情報の一部であるといえる。
【0003】
従来、機密情報への不正なアクセスを抑止する方法として、装置への外部給電が絶たれたことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考案されている(例えば、特許文献1参照)。しかし、この方法では、停電により外部給電が絶たれる場合と盗難により外部給電が絶たれる場合とを区別できないため、停電時にも機密情報が消去され、装置が使用不可となるという課題があった。対策として、外部給電が絶たれたときに、装置に振動が加わったことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考えられている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−287984号公報
【特許文献2】特開2006−301879号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記のように、従来技術においては、外部電源の切断、又は、外部電源の切断時の振動検知を契機として、装置内部の機密情報を消去することで、外部への機密情報の漏洩を抑止している。しかしながら、従来技術においては、装置を、停電時にも装置に振動が加わるような環境で使用した場合、やはり停電と盗難との区別ができないという課題があった。また、装置への攻撃者(機密情報を盗もうとする者)が、装置に振動を与えないように慎重に装置を持ち去った場合には、機密情報が消去されず、漏洩してしまう危険性があった。
【0006】
本発明は、例えば、機密情報を保持する装置において、装置の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することを目的とする。
【課題を解決するための手段】
【0007】
本発明の一の態様に係る情報管理装置は、
情報を記憶するメモリと、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部とを有する。
【発明の効果】
【0008】
本発明の一の態様によれば、機密情報を保持する装置(情報管理装置)において、装置の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【図面の簡単な説明】
【0009】
【図1】実施の形態1に係る情報管理システムの構成を示す図。
【図2】実施の形態1に係る電流検出部の構成例を示す図。
【図3】実施の形態1に係る制御装置の状態遷移例を示す状態遷移図。
【図4】実施の形態1に係る制御装置の状態パラメータ例を示す表。
【図5】実施の形態1に係る制御装置のハードウェア構成例を示す図。
【図6】実施の形態2に係る電流検出部の構成例を示す図。
【図7】実施の形態3に係る情報管理システムの構成を示す図。
【図8】実施の形態4に係る情報管理システムの構成を示す図。
【発明を実施するための形態】
【0010】
以下、本発明の実施の形態について、図を用いて説明する。
【0011】
実施の形態1.
図1は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0012】
図1において、情報管理システム10は、制御装置11(情報管理装置の一例)と負荷12(外部の装置の一例)とを備える。
【0013】
制御装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムを制御する装置である。制御装置11は、電源スイッチ13、電源制御部14、バッテリ15,16、電流検出部17(通信部の一例)、揮発性メモリ18(メモリの一例)、情報消去部19を有する。また、図示していないが、制御装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等のシステムを制御するための機能部を有する。
【0014】
電源スイッチ13は、外部電源30と電線31により接続され、電線31を介して外部電源30から電力の供給を受ける。つまり、電源スイッチ13は、外部給電を受ける。外部電源30は、制御装置11が設置される環境に配備されている給電設備であり、例えば商用電源である。電源スイッチ13は、例えば手動により操作され、ON(オン)/OFF(オフ)を示す信号を出力する。具体的には、電源スイッチ13は、ONであれば電圧LOW(低レベル電圧)を出力し、OFFであれば電圧HIGH(高レベル電圧)を出力する。また、電源スイッチ13は、ONであれば外部給電の電力を電源制御部14へ供給し、OFFであれば電源制御部14への給電を停止する。停電発生時には、外部給電が絶たれるため、電源制御部14への給電が自動的に停止する。
【0015】
電源制御部14は、電源スイッチ13からON/OFFを示す信号を入力し、この信号に基づき、電源スイッチ13のON/OFFの状態を判定する。電源スイッチ13がONの場合、電源スイッチ13からの給電の有無に関わらず、電源制御部14は、バッテリ15により電流検出部17に電力を供給する。電源スイッチ13がONで電源スイッチ13からの給電がある場合、電源制御部14は、外部給電の電力(電源スイッチ13から供給された電力)を揮発性メモリ18へ供給する。また、この場合、電源制御部14は、外部給電の電力によりバッテリ15,16を充電する。電源スイッチ13がONで電源スイッチ13からの給電が絶たれた場合、電源制御部14は、停電が発生したと判断し、揮発性メモリ18への電力供給源をバッテリ16に切り換える。つまり、この場合、電源制御部14は、バッテリ16により揮発性メモリ18に電力を供給する。電源スイッチ13がOFFの場合、電源制御部14は、バッテリ15,16が充電されていたとしても、電流検出部17、揮発性メモリ18への給電を停止する。
【0016】
バッテリ15は、後述する盗難検知信号の電流を流すための電源として制御装置11に搭載される。
【0017】
バッテリ16は、停電時に、揮発性メモリ18に給電するための電源として制御装置11に搭載される。
【0018】
電流検出部17は、負荷12と継続して通信を行う。具体的には、電流検出部17は、負荷12と信号線20により接続され、信号線20を介して負荷12に継続して盗難検知信号(所定の信号の一例)の電流を流す。電流検出部17は、バッテリ15により電力を供給されて動作する。給電が絶たれると、信号線20に盗難検知信号の電流が流れなくなる。負荷12は、例えば電気的負荷(抵抗)であり、制御装置11の近傍の建造物等、制御装置11とともに盗み出すことが困難な設備に内蔵される。例えば、負荷12は、制御装置11を収納する筐体やラック等に内蔵されてもよく、この場合、筐体やラック等は建物の外に持ち出せないように床等に固定されることが望ましい。制御装置11は、信号線20を切断しない限り、外部に持ち出せないようになっている。電流検出部17は、信号線20に盗難検知信号の電流が流れていれば電圧HIGHを出力し、電流が流れていなければ電圧LOWを出力する。
【0019】
揮発性メモリ18は、例えばSRAM(Static・Random・Access・Memory)であり、機密情報(情報の一例)を記憶する。揮発性メモリ18は、通常時には外部給電により、停電時にはバッテリ16により電力を供給されて動作する。給電が絶たれると、揮発性メモリ18から機密情報が消失する。なお、揮発性メモリ18が記憶する情報は、機密情報に限らず、他の任意の情報であってよい。
【0020】
情報消去部19は、電流検出部17による通信の状態を監視する。具体的には、情報消去部19は、電流検出部17による通信の状態として信号線20を流れる電流を監視し(本実施の形態では信号線20を流れる電流を、電流検出部17を用いて間接的に監視するが、直接監視してもよい)、信号線20を流れる電流が途絶えたことを検知すると、電流検出部17による通信が途絶えたと判定する。そして、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0021】
本実施の形態において、情報消去部19は、AND回路21と電子スイッチ22とを有する。AND回路21は、電源スイッチ13からON/OFFを示す信号を入力する第1ポートと、電流検出部17からの出力を入力する第2ポートとを有する。第2ポートは、入力信号を反転する負論理ポートである。AND回路21は、第1ポートの入力(電源スイッチ13のON/OFFを示す信号)と、第2ポートの入力(電流検出部17からの出力を反転した信号)との論理積を出力する。電子スイッチ22は、AND回路21からの出力に応じて、揮発性メモリ18及びその電力供給源(電源制御部14又はバッテリ16)間の導通/非導通を切り換える。
【0022】
電源スイッチ13から電圧LOW(ONの状態を示す)が出力され、かつ、電流検出部17から電圧HIGH(信号線20に盗難検知信号の電流が流れている状態を示す)が出力されている場合、AND回路21から電圧LOWが出力される。これを受けて、電子スイッチ22はON(導通)になり、通常時は外部給電の電力、停電時はバッテリ16の電力が揮発性メモリ18に供給される。その他の場合、即ち、電源スイッチ13から電圧HIGH(OFFの状態を示す)が出力されているか、又は、電流検出部17から電圧LOW(信号線20に盗難検知信号の電流が流れていない状態を示す)が出力されている場合、AND回路21から電圧HIGHが出力される。これを受けて、電子スイッチ22はOFF(非導通)になり、揮発性メモリ18への給電が停止する。その結果、揮発性メモリ18に記憶された機密情報が消失する。
【0023】
なお、本実施の形態では、電流検出部17に電力を供給するバッテリ15と、揮発性メモリ18に電力を供給するバッテリ16とを分けているが、バッテリ15,16を統合して1つのバッテリを用いてもよい。
【0024】
本実施の形態では、バッテリ15が、停電時だけでなく通常時も電流検出部17に電力を供給するが、停電時にのみ、電流検出部17に電力を供給するようにしてもよい。この場合、電源制御部14は、電源スイッチ13がONで電源スイッチ13からの給電があるときには、外部給電の電力(電源スイッチ13から供給された電力)を電流検出部17へ供給する。その後、電源スイッチ13がONで電源スイッチ13からの給電が絶たれた場合、電源制御部14は、停電が発生したと判断し、電流検出部17への電力供給源をバッテリ15に切り換える。
【0025】
本実施の形態では、バッテリ16が、停電時のみに、揮発性メモリ18に電力を供給するが、通常時も、揮発性メモリ18に電力を供給するようにしてもよい。この場合、電源制御部14は、電源スイッチ13がONであれば、電源スイッチ13からの給電の有無に関わらず、バッテリ16により揮発性メモリ18に電力を供給する(正確には、電子スイッチ22がONの場合のみ)。これにより、停電時に、揮発性メモリ18への電力供給源をバッテリ16に切り換える動作が不要となるため、この動作中に揮発性メモリ18から機密情報が消失するという事態を確実に回避できる。
【0026】
本実施の形態では、電源制御部14が、電源スイッチ13のON/OFFに応じて、バッテリ15,16からの給電を制御するが、バッテリ15,16が電源スイッチ13に直接接続され、電源スイッチ13のON/OFFに連動してバッテリ15,16自体が給電のON/OFFを切り換えてもよい。
【0027】
本実施の形態では、揮発性メモリ18が、機密情報を記憶するが、揮発性メモリ18の代わりに、不揮発性メモリを用いてもよい。この場合、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を別の情報(例えば、機密情報を暗号化した情報でもよいし、機密情報と何ら関連性のないダミー情報でもよい)で上書きする。あるいは、揮発性メモリ18を物理的に破壊する。これにより、揮発性メモリ18から機密情報が実質的に消去されるため、機密情報の漏洩を防止できる。
【0028】
図2は、電流検出部17の構成例を示す図である。
【0029】
図2において、電流検出部17は、大きな抵抗23、抵抗器24、FET25(電界効果トランジスタ)を有する。
【0030】
大きな抵抗23は、負荷12より十分大きな(例えば、約10倍)抵抗値をもち、バッテリ15と接続される。抵抗器24は、大きな抵抗23と並列に接続される。FET25は、ベース端子(B)が大きな抵抗23と接続され、コレクタ端子(C)が抵抗器24と接続され、エミッタ端子(E)が接地される。大きな抵抗23とFET25のベース端子との接続点は、図1に示した信号線20に接続される。抵抗器24とFET25のコレクタ端子との接続点は、図1に示した情報消去部19のAND回路21に接続される。
【0031】
大きな抵抗23とFET25のベース端子との接続点から信号線20に盗難検知信号の電流が流れる場合、大きな抵抗23に電位差が生じ、FET25のベース端子にスレショルド(閾値電圧)を下回る電圧が印加される。これにより、FET25がOFFになり、FET25のコレクタ端子が電圧HIGHになるため、抵抗器24とFET25のコレクタ端子との接続点から電圧HIGHがAND回路21に出力される。一方、大きな抵抗23とFET25のベース端子との接続点から信号線20に盗難検知信号の電流が流れない場合、FET25のベース端子が電圧HIGHになる。これにより、FET25がONになり、FET25のコレクタ端子が電圧LOWになるため、抵抗器24とFET25のコレクタ端子との接続点から電圧LOWがAND回路21に出力される。
【0032】
図3は、制御装置11の状態遷移例を示す状態遷移図である。図4は、図3に示した状態遷移における状態パラメータ例を示す表である。
【0033】
図3及び図4において、「OFF」の状態では、電源スイッチ13がOFFで、信号線20に盗難検知信号の電流が流れておらず、揮発性メモリ18へ電力が供給されていない(外部給電はあってもなくてもよい)。「OFF」の状態で、外部給電がある場合に電源スイッチ13がONになると、「通常動作」の状態に遷移(T1)する。このとき、電源制御部14は、電源スイッチ13がONになったことを検知して、バッテリ15から電流検出部17への給電を開始する。また、電源制御部14は、揮発性メモリ18へ給電するため、情報消去部19の電子スイッチ22への給電も開始する。電流検出部17は、給電されることにより、信号線20に盗難検知信号の電流を流し始める。電源スイッチ13がONであるため、情報消去部19の電子スイッチ22がONになり、揮発性メモリ18への給電が開始される。
【0034】
「通常動作」の状態では、信号線20に盗難検知信号の電流が流れており、揮発性メモリ18へ電力が供給されている。そのため、揮発性メモリ18に機密情報を保管することができる。揮発性メモリ18への機密情報の書き込みは、入力装置を介して行われる。揮発性メモリ18からの機密情報の読み出しは、例えば出力装置を介して行われる。「通常動作」の状態で、外部給電がなくなると、「停電」の状態に遷移(T2)する。このとき、電源制御部14は、電源スイッチ13からの給電がなくなったことを検知して、揮発性メモリ18への給電をバッテリ16からの給電に切り換える。
【0035】
「停電」の状態では、「通常動作」の状態と同様に、信号線20に盗難検知信号の電流が流れており、揮発性メモリ18へ電力が供給されている。そのため、揮発性メモリ18に機密情報を保管することができる。「停電」の状態で、外部給電が戻ると、「通常動作」の状態に遷移(T3)する。このとき、電源制御部14は、電源スイッチ13からの給電が再開されたことを検知して、揮発性メモリ18への給電を外部給電に切り換える。
【0036】
「通常動作」の状態で、信号線20に盗難検知信号の電流が流れなくなると、「盗難」の状態に遷移(T4)する。「停電」の状態でも、信号線20に盗難検知信号の電流が流れなくなると、「盗難」の状態に遷移(T5)する。
【0037】
「盗難」の状態では、信号線20に盗難検知信号の電流が流れていない。そのため、情報消去部19が、電流検出部17による通信が途絶えたと判定し、即時に「情報消去」の状態に遷移(T6)する。このとき、信号線20に盗難検知信号の電流が流れていないため、情報消去部19の電子スイッチ22がOFFになり、揮発性メモリ18への給電が停止する。
【0038】
「情報消去」の状態では、揮発性メモリ18へ電力が供給されていない。そのため、揮発性メモリ18から機密情報が消失する。「情報消去」の状態で、電源スイッチ13がOFFなると、「OFF」の状態に遷移(T7)する。
【0039】
このように、本実施の形態では、「通常動作」の状態だけでなく、「停電」の状態でも、確実に制御装置11の盗難を検知できる。そして、制御装置11の盗難が検知された場合には、「盗難」の状態から即時に「情報消去」の状態に遷移して、機密情報を消去できる。つまり、本実施の形態によれば、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0040】
以上説明したように、本実施の形態において、制御装置11は、停電発生時か盗難発生時かを識別し、停電発生時には情報を消去せず、盗難発生時に情報を消去する機能をもつ。電流検出部17は、制御装置11の内部のバッテリ15から制御装置11の外部の建造物等に配置している負荷12への給電で電流を流しているときに出力HIGHを生成する。停電発生時は、電源スイッチ13の出力がLOW、電流検出部17の出力がHIGHのままであるため、情報消去部19のAND回路21の出力がLOWとなり情報は消去されない。盗難発生時は、電源スイッチ13の出力がLOWであるかHIGHであるかに関わらず、電流検出部17の出力がLOWとなるため、AND回路21の出力がHIGHとなり情報は消去される。
【0041】
以上から、本実施の形態によれば、停電時と盗難時を確実に区別することができる。そして、停電の際には、揮発性メモリ18へのバッテリ16からの給電を継続し、盗難の際には、バッテリ16からの給電を停止して機密情報を消失させ、機密情報の漏洩を防止することができる。
【0042】
図5は、制御装置11のハードウェア構成例を示す図である。
【0043】
図5において、制御装置11は、コンピュータであり、LCD71(Liquid・Crystal・Display)、キーボード72(K/B)、マウス73、FDD74(Flexible・Disk・Drive)、CDD75(Compact・Disc・Drive)、プリンタ76といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。LCD71の代わりに、CRT(Cathode・Ray・Tube)、あるいは、その他の表示装置が用いられてもよい。マウス73の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。
【0044】
制御装置11は、プログラムを実行するCPU81(Central・Processing・Unit)を備えている。CPU81は、処理装置の一例である。CPU81は、バス82を介してROM83(Read・Only・Memory)、RAM84、通信ボード85、LCD71、キーボード72、マウス73、FDD74、CDD75、プリンタ76、HDD90(Hard・Disk・Drive)と接続され、これらのハードウェアデバイスを制御する。HDD90の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ、あるいは、その他の記録媒体が用いられてもよい。
【0045】
RAM84は、揮発性メモリ18の一例である。ROM83、FDD74、CDD75、HDD90は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード85、キーボード72、マウス73、FDD74、CDD75は、入力装置の一例である。また、通信ボード85、LCD71、プリンタ76は、出力装置の一例である。
【0046】
通信ボード85は、LAN(Local・Area・Network)等に接続されている。通信ボード85は、LANに限らず、VPN(Virtual・Private・Network)等に接続されていても構わない。
【0047】
HDD90には、オペレーティングシステム91(OS)、ウィンドウシステム92、プログラム群93、ファイル群94が記憶されている。プログラム群93のプログラムは、CPU81、オペレーティングシステム91、ウィンドウシステム92により実行される。プログラム群93には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが含まれている。プログラムは、CPU81により読み出され実行される。ファイル群94には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として含まれている。「〜ファイル」や「〜データベース」や「〜テーブル」は、RAM84やHDD90等の記録媒体に記憶される。RAM84やHDD90等の記録媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU81によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理(動作)に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0048】
本実施の形態の説明において用いる図の矢印の部分は主としてデータや信号や電力の入出力を示す。データや信号は、RAM84等のメモリ、FDD74のフレキシブルディスク(FD)、CDD75のコンパクトディスク(CD)、HDD90の磁気ディスク、光ディスク、DVD(Digital・Versatile・Disc)、あるいは、その他の記録媒体に記録される。また、データや信号は、バス82、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。
【0049】
本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM83に記憶されたファームウェアで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、DVD等の記録媒体に記憶される。プログラムはCPU81により読み出され、CPU81により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0050】
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
【0051】
本実施の形態に係る情報管理システム10の構成は、図1に示した実施の形態1のものと同様である。
【0052】
図6は、電流検出部17の構成例を示す図である。
【0053】
図6において、電流検出部17は、D型フリップフロップ26を有する。
【0054】
D型フリップフロップ26は、D入力端子及びクロック入力端子がバッテリ15と接続され、反転出力端子が図1に示した情報消去部19のAND回路21に接続される。D型フリップフロップ26のクロック入力端子とバッテリ15との接続点は、図1に示した信号線20に接続される。
【0055】
本実施の形態では、電流検出部17が、上記のように構成されることで、盗難検知信号の電流の有無を示す信号を出力する代わりに、盗難検知信号の電流波形の変化(エッジ検出)を示す信号を出力する。そのため、情報消去部19は、盗難検知信号の電流値の変動を検知することができる。具体的には、盗難検知信号の電流値が変動した場合、D型フリップフロップ26のD入力端子及びクロック入力端子には電圧のHIGH→LOW→HIGHの変動が現れる。その際、クロック入力端子の電圧の立ち上りに対してD入力端子の電圧のHIGHへの変化がセットアップ時間を満たせないため、D型フリップフロップ26の状態が反転する。そしてD型フリップフロップ26の反転出力端子から電圧LOWがAND回路21に出力されるため、AND回路21の出力は電圧HIGHになる。その結果、電子スイッチ22がOFFになり、揮発性メモリ18への給電が停止する。
【0056】
このように、本実施の形態において、電流検出部17は、信号線20を介して負荷12に継続して所定の波形をもつ盗難検知信号の電流を流す。情報消去部19は、電流検出部17による通信の状態として信号線20を流れる電流を監視し、信号線20を流れる電流の波形が乱れたことを検知すると、電流検出部17による通信が途絶えたと判定する。そして、情報消去部19は、電流検出部17による通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0057】
本実施の形態によれば、制御装置11への攻撃者が、制御装置11に盗難検知信号の迂回路を形成して制御装置11を盗もうとした場合でも、盗難検知信号の電流の変化を検知して機密情報を消去することで、機密情報の漏洩を抑止することができる。
【0058】
実施の形態3.
本実施の形態について、主に実施の形態1との差異を説明する。
【0059】
図7は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0060】
図7において、情報管理システム10は、負荷12の代わりに、通信装置12a(外部の装置の一例)を備える。通信装置12aは、一定時間(例えば、1分)ごとに信号線20を介して盗難検知信号を送信する。通信装置12aは、実施の形態1における負荷12と同様に、制御装置11の近傍の建造物等、望ましくは制御装置11とともに盗み出すことが困難な設備に内蔵される。
【0061】
制御装置11は、電流検出部17の代わりに、受信部17a(通信部の一例)を有する。受信部17aは、通信装置12aと継続して通信を行う。具体的には、受信部17aは、通信装置12aと信号線20により接続され、通信装置12aから一定時間ごとに信号線20を介して盗難検知信号を受信する。受信部17aは、バッテリ15により電力を供給されて動作する。受信部17aは、一定時間ごとに盗難検知信号を受信していれば電圧HIGHを出力し、一定時間が経過しても盗難検知信号が受信できなければ電圧LOWを出力する。
【0062】
情報消去部19は、受信部17aによる通信の状態を監視する。具体的には、情報消去部19は、一定時間が経過しても受信部17aにより盗難検知信号が受信されなかったことを検知すると、受信部17aによる通信が途絶えたと判定する。そして、情報消去部19は、受信部17aによる通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0063】
本実施の形態によれば、実施の形態1と同様に、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0064】
なお、通信装置12aは、実施の形態1における負荷12のようなパッシブデバイスと異なり、給電されて動作するものであるが、停電時も動作する必要があるため、電力供給源としてはバッテリを用いることが望ましい。このとき、主電源を外部電源30とし、補助電源をバッテリとしてもよい。
【0065】
実施の形態4.
本実施の形態について、主に実施の形態3との差異を説明する。
【0066】
図8は、本実施の形態に係る情報管理システム10の構成を示す図である。
【0067】
図8において、通信装置12aは、例えばRFID(Radio・Frequency・IDentification)であり、一定時間(例えば、1分)ごとに盗難検知信号を無線で送信する。通信装置12aを制御装置11に近接させて設置する場合には、制御装置11から電磁誘導により給電されるパッシブ型RFIDや非接触型ICカードとして通信装置12aを実装してもよい。この場合、通信装置12aへの給電のためにバッテリ等を設ける必要がなくなる。
【0068】
制御装置11の受信部17aは、アンテナ27を具備しており、通信装置12aと信号線20により接続される代わりに、通信装置12aと無線通信を行う。具体的には、受信部17aは、通信装置12aから一定時間ごとにアンテナ27を介して盗難検知信号を受信する。受信部17aは、バッテリ15により電力を供給されて動作する。受信部17aは、一定時間ごとに盗難検知信号を受信していれば電圧HIGHを出力し、一定時間が経過しても盗難検知信号が受信できなければ電圧LOWを出力する。
【0069】
情報消去部19は、受信部17aによる通信の状態を監視する。具体的には、情報消去部19は、一定時間が経過しても受信部17aにより盗難検知信号が受信されなかったことを検知すると、受信部17aによる通信が途絶えた(制御装置11が通信装置12aとの通信圏外に移動した)と判定する。そして、情報消去部19は、受信部17aによる通信が途絶えたと判定すると、揮発性メモリ18に記憶された機密情報を消去する。
【0070】
本実施の形態によれば、実施の形態3と同様に、制御装置11の盗難の誤検知と盗難時の機密情報の漏洩との両方を抑止することが可能となる。
【0071】
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
【符号の説明】
【0072】
10 情報管理システム、11 制御装置、12 負荷、12a 通信装置、13 電源スイッチ、14 電源制御部、15,16 バッテリ、17 電流検出部、17a 受信部、18 揮発性メモリ、19 情報消去部、20 信号線、21 AND回路、22 電子スイッチ、23 大きな抵抗、24 抵抗器、25 FET、26 D型フリップフロップ、27 アンテナ、30 外部電源、31 電線、71 LCD、72 キーボード、73 マウス、74 FDD、75 CDD、76 プリンタ、81 CPU、82 バス、83 ROM、84 RAM、85 通信ボード、90 HDD、91 オペレーティングシステム、92 ウィンドウシステム、93 プログラム群、94 ファイル群。
【特許請求の範囲】
【請求項1】
情報を記憶するメモリと、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部と
を有することを特徴とする情報管理装置。
【請求項2】
前記情報管理装置は、さらに、電力を供給するバッテリを有し、
前記通信部は、前記バッテリにより電力を供給されて動作することを特徴とする請求項1の情報管理装置。
【請求項3】
前記通信部は、前記外部の装置と信号線により接続され、前記信号線を介して前記外部の装置に継続して電流を流し、
前記情報消去部は、前記通信部による通信の状態として前記信号線を流れる電流を監視し、前記信号線を流れる電流が途絶えたことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項4】
前記通信部は、前記外部の装置と信号線により接続され、前記信号線を介して前記外部の装置に継続して所定の波形の電流を流し、
前記情報消去部は、前記通信部による通信の状態として前記信号線を流れる電流を監視し、前記信号線を流れる電流の波形が乱れたことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項5】
前記通信部は、前記外部の装置として所定の信号を送信する装置から一定時間ごとに前記所定の信号を受信し、
前記情報消去部は、前記一定時間が経過しても前記通信部により前記所定の信号が受信されなかったことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項6】
請求項1から5のいずれかの情報管理装置と、
前記外部の装置と
を備えることを特徴とする情報管理システム。
【請求項7】
情報を記憶するメモリを有する情報管理装置を用いた情報管理方法において、
前記情報管理装置の通信部が、外部の装置と継続して通信を行い、
前記情報管理装置の情報消去部が、前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去することを特徴とする情報管理方法。
【請求項8】
情報を記憶するメモリを有するコンピュータを、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部
として機能させるためのプログラム。
【請求項1】
情報を記憶するメモリと、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部と
を有することを特徴とする情報管理装置。
【請求項2】
前記情報管理装置は、さらに、電力を供給するバッテリを有し、
前記通信部は、前記バッテリにより電力を供給されて動作することを特徴とする請求項1の情報管理装置。
【請求項3】
前記通信部は、前記外部の装置と信号線により接続され、前記信号線を介して前記外部の装置に継続して電流を流し、
前記情報消去部は、前記通信部による通信の状態として前記信号線を流れる電流を監視し、前記信号線を流れる電流が途絶えたことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項4】
前記通信部は、前記外部の装置と信号線により接続され、前記信号線を介して前記外部の装置に継続して所定の波形の電流を流し、
前記情報消去部は、前記通信部による通信の状態として前記信号線を流れる電流を監視し、前記信号線を流れる電流の波形が乱れたことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項5】
前記通信部は、前記外部の装置として所定の信号を送信する装置から一定時間ごとに前記所定の信号を受信し、
前記情報消去部は、前記一定時間が経過しても前記通信部により前記所定の信号が受信されなかったことを検知すると、前記通信部による通信が途絶えたと判定することを特徴とする請求項1又は2の情報管理装置。
【請求項6】
請求項1から5のいずれかの情報管理装置と、
前記外部の装置と
を備えることを特徴とする情報管理システム。
【請求項7】
情報を記憶するメモリを有する情報管理装置を用いた情報管理方法において、
前記情報管理装置の通信部が、外部の装置と継続して通信を行い、
前記情報管理装置の情報消去部が、前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去することを特徴とする情報管理方法。
【請求項8】
情報を記憶するメモリを有するコンピュータを、
外部の装置と継続して通信を行う通信部と、
前記通信部による通信の状態を監視し、前記通信部による通信が途絶えたと判定すると、前記メモリに記憶された情報を消去する情報消去部
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−203805(P2012−203805A)
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2011−69968(P2011−69968)
【出願日】平成23年3月28日(2011.3.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成23年3月28日(2011.3.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]