情報装置およびそのリモートアクセス方法
【課題】セキュリティを維持しつつ、リモートアクセスを可能とする情報装置を提供する。
【解決手段】情報装置において、外部の情報装置から送信されるウェークアップ信号を受信した際に起動された第2オペレーティングシステム112は、起動後にウェークアップ信号を送信した外部の情報装置に現在のパスワードを入力させるパスワード入力画面を表示させ、外部の情報装置からのパスワードを受信し、受信したパスワードをハードディスク109に入力して、ハードディスク109のアクセスロック機能を解除し、アクセスロック機能を解除した後、ハードディスク109に対して、パスワード記憶装置110に格納された複数のパスワードから現在のパスワードとは異なるパスワードを設定し、アクセスロック機能を解除した状態で、ハードディスク109に格納された第1オペレーティングシステム113を起動させる。
【解決手段】情報装置において、外部の情報装置から送信されるウェークアップ信号を受信した際に起動された第2オペレーティングシステム112は、起動後にウェークアップ信号を送信した外部の情報装置に現在のパスワードを入力させるパスワード入力画面を表示させ、外部の情報装置からのパスワードを受信し、受信したパスワードをハードディスク109に入力して、ハードディスク109のアクセスロック機能を解除し、アクセスロック機能を解除した後、ハードディスク109に対して、パスワード記憶装置110に格納された複数のパスワードから現在のパスワードとは異なるパスワードを設定し、アクセスロック機能を解除した状態で、ハードディスク109に格納された第1オペレーティングシステム113を起動させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報装置に関し、特に、リモートアクセス時のセキュリティの維持に適用して有効な技術に関する。
【背景技術】
【0002】
現在、PCのような情報装置は、外部の情報装置から遠隔操作を行えるようにリモートアクセス(リモートデスクトップ)機能を持ったオペレーティングシステム[例えば、Windows(登録商標)XP]が搭載されている。
【0003】
また、情報装置は、情報保護システムの従来技術として、ハードディスクにパスワードの設定機能を持ち、システムBIOSにより、ユーザが入力するパスワードをハードディスクに設定して、ハードディスクを読み書き不可能にできる機能(アクセスロック機能)を具備している[例えば、特開2004−78539号公報(特許文献1)を参照]。
【0004】
情報装置はアクセスロック機能が有効になっている場合、起動時にシステムBIOSがユーザに、ハードディスクのアクセスロック解除を行うためのパスワード入力手段を提供し、ユーザが入力したパスワードがハードディスクに設定しているパスワードと一致すれば、ハードディスクにアクセスでき、設定しているパスワードと一致しない場合はハードディスクにアクセスできないという方法でデータ漏洩を防止している。
【0005】
また、現在のハードディスクには、アクセスロック解除状態から、ハードディスクにリセットが掛かると、アクセスロック状態へ変化するParallel ATA(PATA)規格とSerial ATA(SATA)規格のハードディスクと、ハードディスクにリセットが掛かってもアクセスロック状態へ変化しない設定が行えるSerial ATA II(SATAII)規格のハードディスクが存在する。
【0006】
SATAII規格のハードディスクは、このアクセスロックの設定をリセット動作によりクリアするか否かを設定できるSoftware Setting Preservationの[Enabled/Disabled]コマンドをサポートしており、Software Setting Preservationの設定がEnableである場合、リセットが掛かってもハードディスクのアクセスロックの設定が保持される。
【0007】
上記ハードディスクのアクセスロック機能を有効に設定しつつ、リモートアクセスを行う方法としては、例えば、特開2000−215167号公報(特許文献2)のようにクライアントサーバーシステム間でクライアントがパスワードを要求し、サーバーがその要求に応じてパスワードを送信するといった方法が提案されている。
【0008】
また、リモートアクセスに関しては、通信のセキュリティを向上させるVirtual Private Network(VPN)を利用するという方法も提案されている。
【0009】
しかし、通信回線を通してデータをやり取りする関係上、外部の情報装置からのアクセスが起こらない専用回線を使用する場合を除き、通信データの漏洩を完全に防止することは不可能である。
【特許文献1】特開2004−78539号公報
【特許文献2】特開2000−215167号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記技術のリモートアクセスとハードディスクのアクセスロックは相反する関係にあり、現在、PCのような情報装置は、ハードディスクのアクセスロックを有効に設定してしまうと、外部から送信されるウェークアップ信号[例えば、Wake On LAN(WOL)信号]で起動してもパスワード入力をしない限り、オペレーティングシステムが存在するハードディスクからは起動できないという現象が発生してしまう。
【0011】
この為、リモートアクセスを行いたい場合、ハードディスクのアクセスロックを無効にして使用する方法や情報装置をリモートアクセス可能な状態で待機させるといった方法で使用しなければならず、情報装置が情報保護システムであるハードディスクのアクセスロック機能を具備する本質的な意味を著しく低減させるものとなってしまう。
【0012】
そこで、本発明は上記の問題を解決するために、情報装置のセキュリティを維持した状態で、情報装置をリモートアクセスし、ハードディスクに対してパスワード入力を行い、ハードディスクのアクセスロックを解除して、ハードディスクに存在するオペレーティングシステムを起動できる手段を提供することを目的とする。
【0013】
また、本発明は、更に上記手段に加え、リモートアクセスを行い、ハードディスクに対してパスワード入力を行う時に、外部の情報装置から送信される入力パスワードを対象とした第三者による解読操作が無意味な操作となるように、ハードディスクパスワードをハードディスクのアクセスロック解除時に変更する手段を提供し、情報装置のセキュリティを維持することを目的としている。
【0014】
また、本発明は、更に上記手段に加え、パスワードの読み出しに失敗した場合には、外部から送信されるウェークアップ信号を受信して起動する機能を無効にすることにより、情報装置のセキュリティを維持することを目的とする。
【0015】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0016】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
【0017】
本発明による情報装置は、ネットワークに接続され、ネットワークを介して外部の装置からリモートアクセスされる情報装置であって、パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、第1の記憶装置の前記アクセスロック機能を解除するための複数のパスワードを格納するパスワード記憶装置とを備え、第2のオペレーティングシステムは、起動後にウェークアップ信号を送信した外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、外部の装置で入力されたパスワードを受信し、受信したパスワードを第1の記憶装置に入力して、第1の記憶装置のアクセスロック機能を解除し、アクセスロック機能を解除した後、パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、第1の記憶装置に対して設定し、アクセスロック機能を解除した状態で、第1の記憶装置に格納された第1のオペレーティングシステムを起動させるものである。
【0018】
具体的には、本発明の情報装置は、システムBIOSから、外部からのウェークアップ信号を受信した場合のみ起動可能となるように制御可能なデバイスを具備することを特徴とする。更に、本発明の情報装置には、独立した第1、第2のオペレーティングシステムが存在し、第1のオペレーティングシステムは、セキュリティ機能としてパスワードが設定できるハードディスクに存在することを特徴とし、第2のオペレーティングシステムは、外部からのウェークアップ信号を受信した場合のみ起動可能となるように制御可能なデバイスに存在することを特徴とする。
【0019】
更に、本発明の情報装置の第2のオペレーティングシステムは、ハードディスクのアクセスロックを解除する手段を具備し、そのアクセスロック解除を行う手段はハードディスクに対するパスワード入力であることを特徴とする。このような構成とすれば、外部から送信されるウェークアップ信号により前記情報装置を起動させたい時、ハードディスクのアクセスロックの解除手段を備えた第2のオペレーティングシステムから起動し、パスワード入力によりハードディスクのアクセスロックを解除できる。
【0020】
更に、本発明の情報装置は、ハードディスクのアクセスロックを解除した後、アクセスロックを解除したまま第2のオペレーティングシステムを再起動することにより、ハードディスク内に存在する第1のオペレーティングシステムの起動が実現できる。ハードディスクのアクセスロックの解除状態を維持したまま再起動を行うためには、再起動したとしてもアクセスロックの状態を保持する機能を備えたSerial ATA II規格に対応したハードディスクを使用する。
【0021】
また、本発明の情報装置は、パスワード記憶装置を具備し、前記第2のオペレーティングシステムに於いて、ハードディスクのアクセスロック解除が成功した場合には、パスワード記憶装置からパスワードを読み出す手段と、ハードディスクに対して読み出したパスワードを新たなハードディスクパスワードとして設定する手段とを具備することを特徴とする。
【0022】
このような構成とすれば、ハードディスクのアクセスロックを有効に設定しつつ、リモートアクセスを行う方法に於いて、ハードディスクのアクセスロックを解除する際に入力するパスワードを通信回線経由で送信する場合、第三者により通信中にパスワードを解読されたとしても、送信されるパスワードは、ハードディスクのアクセスロックを解除するために使用された後は、次回以降はハードディスクパスワードとしては無効となっている。
【0023】
よって、第三者が解読したパスワードでハードディスクのアクセスロックを解除しようとしても、解読したパスワードでハードディスクのアクセスロックを解除することはできないので、情報装置のセキュリティを維持することが実現できる。
【0024】
また、本発明の情報装置は、前記パスワード記憶装置にパスワードを保存する機能を具備し、パスワード記憶装置に保存するパスワードは複数登録が可能であることを特徴とする。
【0025】
更に、本発明の情報装置は、暗号化装置を具備し、前記パスワード記憶装置にパスワードを保存する手段として、暗号化装置により暗号化を行うことを特徴とする。このような構成とすれば、パスワード記憶装置に保存されるパスワードは暗号化装置によりセキュリティが向上し、更に、情報装置のセキュリティを維持したままリモートアクセスを行う方法をパスワード登録数実行することが実現できる。
【0026】
また、本発明の情報装置は、第2のオペレーティングシステム上から外部から送信されるウェークアップ信号を受信して起動する機能を無効に設定できることを特徴とする。
【0027】
このような構成とすれば、情報装置は第2のオペレーティングシステムから起動することはなくなるため、情報装置のセキュリティ維持が実現できる。
【発明の効果】
【0028】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0029】
本発明によれば、外部からウェークアップ信号を受信して起動することができ、セキュリティ機能としてハードディスクにパスワードの設定が行われている状態の情報装置に、セキュリティを維持しつつ、外部の情報装置からリモートアクセスを行うことが実現できる。
【0030】
更に、外部の情報装置からリモートアクセスによりハードディスクにアクセスできるような状態に陥ったとしても、リモートアクセスを制限することにより、ハードディスクからのデータ漏洩を防止することが実現できる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0032】
本発明の一実施の形態に係る情報装置について、図1〜図12を参照しながら以下詳細に説明する。
【0033】
まず、図1および図2により、本発明の一実施の形態に係る情報装置の構成について説明する。図1は本発明の一実施の形態に係る情報装置が接続されるネットワークの全体構成を示す構成図、図2は本発明の一実施の形態に係る情報装置の構成を示す構成図である。
【0034】
図1において、本発明の一実施の形態に係る情報装置は、リモート対象情報装置10として、ネットワーク(インターネットを含む)40に接続され、ネットワーク40を介してリモート対象情報装置10にアクセスする外部の情報装置20と外部の情報装置30が接続されている。
【0035】
図2において、リモート対象情報装置は、PCIバス、LPCバス、CPU100(情報装置全体の動作制御を行うデバイス)、North Bridge101(CPU100、主メモリ103等の制御コントローラ)、South Bridge102(PCIバスやLPCバスに接続されるデバイスの制御コントローラ)、主メモリ103(情報装置の主記憶装置)、キーボーコントローラ104(キーボードやマウスの制御を行うデバイス)、システムBIOS(Basic I/O System)105、暗号化装置106(パスワード記憶装置110にデータを書き込む時にデータを暗号化させるデバイス)、通信制御コントローラ107(情報装置の外部から内部または内部から外部への通信データを制御するコントローラ)、通信コネクタ108(外部との通信線を接続するコネクタ)、ハードディスク109、パスワード記憶装置110、フラッシュメモリ111などが設けられている。
【0036】
ハードディスク109は、セキュリティ機能として、ハードディスクのアクセスロック機能が使用可能であり、そのハードディスク109には、第1オペレーティングシステム113(以降OS1)が存在している。
【0037】
また、フラッシュメモリ111は、例えば、コンパクトフラッシュ(登録商標)(CF)であり、システムBIOS105により外部から送信されるウェークアップ信号(例えば、Wake On LAN(WOL)信号)を受信した場合のみ起動可能となるように制御可能なデバイスである。
【0038】
また、フラッシュメモリ111には、第2オペレーティングシステム112(OS2)が存在し、第2オペレーティングシステム112は、外部の情報装置20からリモートアクセスを行うことができる。
【0039】
更に、第2オペレーティングシステム112は、ハードディスク109のアクセスロックを解除する方法を備え、アクセスロック解除を行う方法はパスワード入力である。
【0040】
この第2のオペレーティングシステム112は、セキュリティ機能として、ハードディスク109のアクセスロックが設定されているリモート対象情報装置10のリモートアクセスを可能とするものである。
【0041】
更に、暗号化装置106は、例えば、Trusted Platform Module(TPM)であり、パスワード記憶装置110は、例えば、暗号化装置106により暗号化が可能であるフラッシュメモリである。
【0042】
上記の暗号化装置106とパスワード記憶装置110は、リモート対象情報装置10のセキュリティを維持したままリモートアクセスを行う場合のセキュリティ維持を実現するものである。
【0043】
次に、図3〜図6により、本発明の一実施の形態に係る情報装置のシステムBIOS105が電源ON時からオペレーティングシステムを起動するまでの処理方法について説明する。図3は本発明の一実施の形態に係る情報装置のシステムBIOSが行う通常のブート処理を示すフローチャート、図4および図5は本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図であり、図4はBIOS Setup Utility内のBoot Device Priorityの設定項目の一例を示し、図5はBIOS Setup Utility内のBoot Priority from S5の設定項目の一例を示す図である。図6は本発明の一実施の形態に係る情報装置のウェークアップ信号を受信した時の動作を示すフローチャートであり、システムBIOSのBoot Priority from S5の設定が[FLASH]である時の動作を示している。
【0044】
まず、リモート対象情報装置10のシステムBIOS105のブート処理は、通常、図3に示す動作フロー図のように、リモート対象情報装置10の電源がON(ステップS001)された時、システムBIOS105が各種デバイス(例えば主メモリ103やハードディスク109等)の初期化処理を行い(ステップS002)、システムBIOS105がBIOS Setup Utilityで設定されているBoot Device Priority(例えば、図4のように設定されている)に従って、ブート処理を行っている(ステップS003)。
【0045】
本実施の形態では、リモート対象情報装置10は、システムBIOS105に外部の情報装置20、30から送信されるWOL信号を、外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合に起動する機能を具備している。
【0046】
更に、各種デバイスの初期化処理を行った後、システムBIOS105がBoot Device Priorityに従って、ブート処理処理を行う前に、システムBIOS105に電源OFFの状態から外部の情報装置20から送信されるWOL信号を、外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合に、フラッシュメモリ111からブートを行えるような機能を具備している。
【0047】
上記機能は、システムBIOS105のBIOS Setup Utilityにユーザがその機能を使用できるように、図5で示すような設定項目が存在する。上記機能を具備するシステムBIOS105はデバイスの初期化〜ブート処理を行うまでの間、図6に示すフローチャートに従って、WOL信号を受信して電源がONされた時の通常ブート(図4を例とするとハードディスクからブート処理)と、フラッシュメモリ111からのブート処理を切り替えている。
【0048】
また、電源ボタンを押して電源ONされた時は、システムBIOS105は通常ブート処理を行う。
【0049】
図6に示すように、BIOS Setup UtilityでBoot Priority from S5の設定が[Normal]である場合は、図3で示したフローチャートと同等に、WOL信号を受信して情報装置の電源がON(ステップS101)された時でもシステムBIOS105が各種デバイスの初期化処理を行い(ステップS102)、BIOS Setup Utilityで設定しているBoot Device Priorityの設定順にブート処理を行う(ステップS103)。
【0050】
また、Boot Priority from S5の設定が[FLASH]でかつWake On LAN信号を受信して情報装置の電源がON(ステップS101)された時、システムBIOS105が各種デバイスの初期化処理を行い(ステップS102)、Boot Device Priorityの1st Boot Deviceをフラッシュメモリ111に割り当てる(ステップS104)。
【0051】
次に、それまで1st、2nd、3rd Boot Deviceに割り当てられていたデバイスを2nd、3rd、4th Boot Deviceとして割り当てる(ステップS105)。
【0052】
その後、通常ブートと同様に、システムBIOS105は、Boot Device Priorityの設定順にブート処理を行う。この時、システムBIOS105がブート処理中に行うBoot Device Priorityの変更は、次回、スタンドアロンで起動する時に影響を及ぼさない。
【0053】
次に、図7および図8により、本発明の一実施の形態に係る情報装置のセキュリティ機能として、ハードディスク109のアクセスロックが設定されているリモート対象情報装置10のリモートアクセス方法を説明する。図7は本発明の一実施の形態に係るハードディスクのアクセスロックが設定されている情報装置にリモートアクセスする動作を示すフローチャート、図8は本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【0054】
まず、リモート対象情報装置10のシステムBIOS105のBoot Priority from S5の設定が[FLASH]である場合、外部の情報装置20から送信されるWOL信号を外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合(ステップS201)、システムBIOS105が第2オペレーティングシステム112から起動させる(ステップS202)。
【0055】
第2オペレーティングシステム112は、リモートアクセスが可能であるので、起動後、リモートアクセスを受け入れる状態となる(ステップS203)。
【0056】
第2オペレーティングシステム112は、更に、ハードディスク109のアクセスロックの解除を行えるシステムであるので、図8に示すようなパスワード入力画面を外部の情報装置20の操作画面に表示できるような状態で待機する(ステップS204)。
【0057】
ここで、外部の情報装置20から第2オペレーティングシステム112に対してリモートアクセスを行い、ハードディスク109に対して、パスワード入力を行う(ステップS205)。
【0058】
入力したパスワードが正しければハードディスク109のアクセスロックが解除される(ステップS206)。第2オペレーティングシステム112は、再起動を行い(ステップS207)、システムBIOSがリモート対象情報装置10のハードディスク109から第1オペレーティングシステム113を起動させる(ステップS208)。
【0059】
リモート対象情報装置10は第2オペレーティングシステム112からの再起動時は、ハードディスク109がアクセスロック解除状態であるならば、アクセスロック解除状態を維持する方法(例えば、リモート対象情報装置10はハードディスク109に対してリセット信号を送信しないようにする)を具備しているので、ハードディスク109から第1オペレーティングシステム113の起動が実現する。
【0060】
よって、セキュリティ機能として、ハードディスクのアクセスロックが設定されている情報装置でもリモートアクセスが可能となる。
【0061】
次に、図9〜図11により本発明の一実施の形態に係る情報装置のセキュリティを維持しつつ、リモートアクセスを行う場合のセキュリティ維持の方法について説明する。図9は本発明の一実施の形態に係る情報装置の第2のオペレーティングシステムがハードディスクに対して新たなパスワードを設定する動作を示すフローチャート、図10は本発明の一実施の形態に係る情報装置のシステムBIOSが具備するパスワード記憶装置にパスワードを登録する際のパスワードを入力するためのBIOS Setup Utility内のパスワード登録画面の表示例、図11は本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【0062】
まず、ハードディスク109のアクセスロックが解除される時(ステップS301)、第2オペレーティングシステム112がパスワード記憶装置110からパスワードを読み出し(ステップS302)、ハードディスク109に新たなパスワードを設定する(ステップS303)。
【0063】
更に、第2オペレーティングシステム112は、外部の情報装置20からリモートアクセスを行うユーザに、ハードディスク109のアクセスロック解除を知らせるために、ハードディスク109のアクセスロック解除に成功または失敗のメッセージを外部の情報装置20の画面に表示させる。
【0064】
外部の情報装置20からリモートアクセスを行うユーザは、このメッセージによりハードディスク109のアクセスロック解除とハードディスクパスワードの変更を確認できる。
【0065】
ハードディスク109のアクセスロック解除およびハードディスク109のハードディスクパスワードの変更に失敗した時はハードディスク109のハードディスクパスワードが変更されることはない。
【0066】
以上の方法を用いることにより、外部の情報装置20からリモート対象情報装置10の第2オペレーティングシステム112にリモートアクセスを行い、ハードディスクに対してパスワードの入力を行った際、ハードディスク109のハードディスクパスワードを自動的に変更できる。
【0067】
更に、外部の情報装置30から通信中に入力したパスワードを解読されたとしても、解読したパスワードではリモート対象情報装置10のハードディスク109のアクセスロックを解除できないので、セキュリティ機能として、ハードディスクのアクセスロックが設定されている情報装置のセキュリティが維持できる。
【0068】
更に、本実施の形態のリモート対象情報装置10は、システムBIOS105の機能として、パスワード記憶装置110にパスワードを登録できる機能を具備している。パスワードの登録は、ユーザが図10に示すBIOS Setup Utility内のパスワードリストを起動し、キーボードからのキー入力により行う。パスワードリストに登録しておくパスワードは、ハードディスクパスワードの登録と同様に、例えば、図10に示すように、ユーザが1st〜6thの6個のパスワードを登録した場合、1st〜6thに登録した内容を覚えておく必要がある。
【0069】
パスワード記憶装置110に複数のパスワードを登録しておくことにより、リモートアクセスユーザが第2オペレーティングシステム112上からハードディスク109のアクセスロック解除する時に、第2オペレーティングシステム112がハードディスク109に行うパスワード変更を複数回実行可能となる。
【0070】
更に、ハードディスクパスワードを変更する時に、現在使用しているハードディスクパスワードを第2オペレーティングシステム112がパスワードリストから削除する。
【0071】
更にリモートアクセスユーザが、第2オペレーティングシステム112上からハードディスク109のアクセスロックを解除する時に、第2オペレーティングシステム112が外部の情報装置20の画面に、図11に示すような画面を表示させる。
【0072】
図11において、2nd Password of Password Listの「2nd」の部分は、図10に示すBIOS Setup Utility内のパスワードリストにより設定されたパスワードリストのどのパスワードに変更になったかを示す部分であり、この部分が現在設定されているパスワードに対応して変化して表示される。
【0073】
図11のような画面を表示させることにより、リモートアクセスユーザがパスワードリストのどのパスワードを入力するかを覚えておく必要がなく、パスワードリストの内容を覚えておくだけで良い。よって、以上の方法を用いることにより、情報装置のセキュリティを維持したままリモートアクセスを行う方法をパスワード登録数実行可能となる。
【0074】
次に、図12により、本発明の一実施の形態に係る情報装置のハードディスク109のパスワード変更方法に於いて、パスワード変更が行えなくなった場合のセキュリティ維持を実現する方法を説明する。図12は本発明の一実施の形態に係る情報装置が、ハードディスクパスワードの変更が行えない場合の情報装置のセキュリティを維持するための動作を示したフローチャートである。
【0075】
まず、リモート対象情報装置10の第2オペレーティングシステム112は、リモート対象情報装置10に具備するパスワード記憶装置110からパスワードを読み出す時(ステップS401)に、登録したパスワードを使い切ってしまったなどの理由により、パスワードの読み出しに失敗した場合は、外部から送信されるウェークアップ信号を受信して起動する情報装置の機能を無効にする(ステップS402)。
【0076】
外部から送信されるウェークアップ信号を受信して起動する情報装置の機能を無効にするには、システムBIOS105のWake On LAN設定項目を[Disabled]に設定する。
【0077】
以上の方法を用いることにより、外部の情報装置からリモートアクセスによりハードディスクにアクセスできるような状態に陥ったとしても、リモートアクセスを制限することにより、ハードディスクからのデータ漏洩を防止することができる。
【0078】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0079】
本発明は、情報装置に関し、情報化社会におけるリモートアクセス時のセキュリティの維持が必要な装置に広く適用可能である。
【図面の簡単な説明】
【0080】
【図1】本発明の一実施の形態に係る情報装置が接続されるネットワークの全体構成を示す構成図である。
【図2】本発明の一実施の形態に係る情報装置の構成を示す構成図である。
【図3】本発明の一実施の形態に係る情報装置のシステムBIOSが行う通常のブート処理を示すフローチャートである。
【図4】本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図である。
【図5】本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図である。
【図6】本発明の一実施の形態に係る情報装置のウェークアップ信号を受信した時の動作を示すフローチャートである。
【図7】本発明の一実施の形態に係るハードディスクのアクセスロックが設定されている情報装置にリモートアクセスする動作を示すフローチャートである。
【図8】本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【図9】本発明の一実施の形態に係る情報装置の第2のオペレーティングシステムがハードディスクに対して新たなパスワードを設定する動作を示すフローチャートである。
【図10】本発明の一実施の形態に係る情報装置のシステムBIOSが具備するパスワード記憶装置にパスワードを登録する際のパスワードを入力するためのBIOS Setup Utility内のパスワード登録画面の表示例である。
【図11】本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【図12】本発明の一実施の形態に係る情報装置が、ハードディスクパスワードの変更が行えない場合の情報装置のセキュリティを維持するための動作を示したフローチャートである。
【符号の説明】
【0081】
10…リモート対象情報装置、20…外部の情報装置、30…外部の情報装置、100…CPU、101…North Bridge、102…South Bridge、103…主メモリ、104…KBC、105…システムBIOS、106…暗号化装置、107…通信制御コントローラ、108…通信コネクタ、109…ハードディスク、110…パスワード記憶装置、111…フラッシュメモリ、112…第2オペレーティングシステム、113…第1オペレーティングシステム。
【技術分野】
【0001】
本発明は、情報装置に関し、特に、リモートアクセス時のセキュリティの維持に適用して有効な技術に関する。
【背景技術】
【0002】
現在、PCのような情報装置は、外部の情報装置から遠隔操作を行えるようにリモートアクセス(リモートデスクトップ)機能を持ったオペレーティングシステム[例えば、Windows(登録商標)XP]が搭載されている。
【0003】
また、情報装置は、情報保護システムの従来技術として、ハードディスクにパスワードの設定機能を持ち、システムBIOSにより、ユーザが入力するパスワードをハードディスクに設定して、ハードディスクを読み書き不可能にできる機能(アクセスロック機能)を具備している[例えば、特開2004−78539号公報(特許文献1)を参照]。
【0004】
情報装置はアクセスロック機能が有効になっている場合、起動時にシステムBIOSがユーザに、ハードディスクのアクセスロック解除を行うためのパスワード入力手段を提供し、ユーザが入力したパスワードがハードディスクに設定しているパスワードと一致すれば、ハードディスクにアクセスでき、設定しているパスワードと一致しない場合はハードディスクにアクセスできないという方法でデータ漏洩を防止している。
【0005】
また、現在のハードディスクには、アクセスロック解除状態から、ハードディスクにリセットが掛かると、アクセスロック状態へ変化するParallel ATA(PATA)規格とSerial ATA(SATA)規格のハードディスクと、ハードディスクにリセットが掛かってもアクセスロック状態へ変化しない設定が行えるSerial ATA II(SATAII)規格のハードディスクが存在する。
【0006】
SATAII規格のハードディスクは、このアクセスロックの設定をリセット動作によりクリアするか否かを設定できるSoftware Setting Preservationの[Enabled/Disabled]コマンドをサポートしており、Software Setting Preservationの設定がEnableである場合、リセットが掛かってもハードディスクのアクセスロックの設定が保持される。
【0007】
上記ハードディスクのアクセスロック機能を有効に設定しつつ、リモートアクセスを行う方法としては、例えば、特開2000−215167号公報(特許文献2)のようにクライアントサーバーシステム間でクライアントがパスワードを要求し、サーバーがその要求に応じてパスワードを送信するといった方法が提案されている。
【0008】
また、リモートアクセスに関しては、通信のセキュリティを向上させるVirtual Private Network(VPN)を利用するという方法も提案されている。
【0009】
しかし、通信回線を通してデータをやり取りする関係上、外部の情報装置からのアクセスが起こらない専用回線を使用する場合を除き、通信データの漏洩を完全に防止することは不可能である。
【特許文献1】特開2004−78539号公報
【特許文献2】特開2000−215167号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記技術のリモートアクセスとハードディスクのアクセスロックは相反する関係にあり、現在、PCのような情報装置は、ハードディスクのアクセスロックを有効に設定してしまうと、外部から送信されるウェークアップ信号[例えば、Wake On LAN(WOL)信号]で起動してもパスワード入力をしない限り、オペレーティングシステムが存在するハードディスクからは起動できないという現象が発生してしまう。
【0011】
この為、リモートアクセスを行いたい場合、ハードディスクのアクセスロックを無効にして使用する方法や情報装置をリモートアクセス可能な状態で待機させるといった方法で使用しなければならず、情報装置が情報保護システムであるハードディスクのアクセスロック機能を具備する本質的な意味を著しく低減させるものとなってしまう。
【0012】
そこで、本発明は上記の問題を解決するために、情報装置のセキュリティを維持した状態で、情報装置をリモートアクセスし、ハードディスクに対してパスワード入力を行い、ハードディスクのアクセスロックを解除して、ハードディスクに存在するオペレーティングシステムを起動できる手段を提供することを目的とする。
【0013】
また、本発明は、更に上記手段に加え、リモートアクセスを行い、ハードディスクに対してパスワード入力を行う時に、外部の情報装置から送信される入力パスワードを対象とした第三者による解読操作が無意味な操作となるように、ハードディスクパスワードをハードディスクのアクセスロック解除時に変更する手段を提供し、情報装置のセキュリティを維持することを目的としている。
【0014】
また、本発明は、更に上記手段に加え、パスワードの読み出しに失敗した場合には、外部から送信されるウェークアップ信号を受信して起動する機能を無効にすることにより、情報装置のセキュリティを維持することを目的とする。
【0015】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
【課題を解決するための手段】
【0016】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
【0017】
本発明による情報装置は、ネットワークに接続され、ネットワークを介して外部の装置からリモートアクセスされる情報装置であって、パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、第1の記憶装置の前記アクセスロック機能を解除するための複数のパスワードを格納するパスワード記憶装置とを備え、第2のオペレーティングシステムは、起動後にウェークアップ信号を送信した外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、外部の装置で入力されたパスワードを受信し、受信したパスワードを第1の記憶装置に入力して、第1の記憶装置のアクセスロック機能を解除し、アクセスロック機能を解除した後、パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、第1の記憶装置に対して設定し、アクセスロック機能を解除した状態で、第1の記憶装置に格納された第1のオペレーティングシステムを起動させるものである。
【0018】
具体的には、本発明の情報装置は、システムBIOSから、外部からのウェークアップ信号を受信した場合のみ起動可能となるように制御可能なデバイスを具備することを特徴とする。更に、本発明の情報装置には、独立した第1、第2のオペレーティングシステムが存在し、第1のオペレーティングシステムは、セキュリティ機能としてパスワードが設定できるハードディスクに存在することを特徴とし、第2のオペレーティングシステムは、外部からのウェークアップ信号を受信した場合のみ起動可能となるように制御可能なデバイスに存在することを特徴とする。
【0019】
更に、本発明の情報装置の第2のオペレーティングシステムは、ハードディスクのアクセスロックを解除する手段を具備し、そのアクセスロック解除を行う手段はハードディスクに対するパスワード入力であることを特徴とする。このような構成とすれば、外部から送信されるウェークアップ信号により前記情報装置を起動させたい時、ハードディスクのアクセスロックの解除手段を備えた第2のオペレーティングシステムから起動し、パスワード入力によりハードディスクのアクセスロックを解除できる。
【0020】
更に、本発明の情報装置は、ハードディスクのアクセスロックを解除した後、アクセスロックを解除したまま第2のオペレーティングシステムを再起動することにより、ハードディスク内に存在する第1のオペレーティングシステムの起動が実現できる。ハードディスクのアクセスロックの解除状態を維持したまま再起動を行うためには、再起動したとしてもアクセスロックの状態を保持する機能を備えたSerial ATA II規格に対応したハードディスクを使用する。
【0021】
また、本発明の情報装置は、パスワード記憶装置を具備し、前記第2のオペレーティングシステムに於いて、ハードディスクのアクセスロック解除が成功した場合には、パスワード記憶装置からパスワードを読み出す手段と、ハードディスクに対して読み出したパスワードを新たなハードディスクパスワードとして設定する手段とを具備することを特徴とする。
【0022】
このような構成とすれば、ハードディスクのアクセスロックを有効に設定しつつ、リモートアクセスを行う方法に於いて、ハードディスクのアクセスロックを解除する際に入力するパスワードを通信回線経由で送信する場合、第三者により通信中にパスワードを解読されたとしても、送信されるパスワードは、ハードディスクのアクセスロックを解除するために使用された後は、次回以降はハードディスクパスワードとしては無効となっている。
【0023】
よって、第三者が解読したパスワードでハードディスクのアクセスロックを解除しようとしても、解読したパスワードでハードディスクのアクセスロックを解除することはできないので、情報装置のセキュリティを維持することが実現できる。
【0024】
また、本発明の情報装置は、前記パスワード記憶装置にパスワードを保存する機能を具備し、パスワード記憶装置に保存するパスワードは複数登録が可能であることを特徴とする。
【0025】
更に、本発明の情報装置は、暗号化装置を具備し、前記パスワード記憶装置にパスワードを保存する手段として、暗号化装置により暗号化を行うことを特徴とする。このような構成とすれば、パスワード記憶装置に保存されるパスワードは暗号化装置によりセキュリティが向上し、更に、情報装置のセキュリティを維持したままリモートアクセスを行う方法をパスワード登録数実行することが実現できる。
【0026】
また、本発明の情報装置は、第2のオペレーティングシステム上から外部から送信されるウェークアップ信号を受信して起動する機能を無効に設定できることを特徴とする。
【0027】
このような構成とすれば、情報装置は第2のオペレーティングシステムから起動することはなくなるため、情報装置のセキュリティ維持が実現できる。
【発明の効果】
【0028】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
【0029】
本発明によれば、外部からウェークアップ信号を受信して起動することができ、セキュリティ機能としてハードディスクにパスワードの設定が行われている状態の情報装置に、セキュリティを維持しつつ、外部の情報装置からリモートアクセスを行うことが実現できる。
【0030】
更に、外部の情報装置からリモートアクセスによりハードディスクにアクセスできるような状態に陥ったとしても、リモートアクセスを制限することにより、ハードディスクからのデータ漏洩を防止することが実現できる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0032】
本発明の一実施の形態に係る情報装置について、図1〜図12を参照しながら以下詳細に説明する。
【0033】
まず、図1および図2により、本発明の一実施の形態に係る情報装置の構成について説明する。図1は本発明の一実施の形態に係る情報装置が接続されるネットワークの全体構成を示す構成図、図2は本発明の一実施の形態に係る情報装置の構成を示す構成図である。
【0034】
図1において、本発明の一実施の形態に係る情報装置は、リモート対象情報装置10として、ネットワーク(インターネットを含む)40に接続され、ネットワーク40を介してリモート対象情報装置10にアクセスする外部の情報装置20と外部の情報装置30が接続されている。
【0035】
図2において、リモート対象情報装置は、PCIバス、LPCバス、CPU100(情報装置全体の動作制御を行うデバイス)、North Bridge101(CPU100、主メモリ103等の制御コントローラ)、South Bridge102(PCIバスやLPCバスに接続されるデバイスの制御コントローラ)、主メモリ103(情報装置の主記憶装置)、キーボーコントローラ104(キーボードやマウスの制御を行うデバイス)、システムBIOS(Basic I/O System)105、暗号化装置106(パスワード記憶装置110にデータを書き込む時にデータを暗号化させるデバイス)、通信制御コントローラ107(情報装置の外部から内部または内部から外部への通信データを制御するコントローラ)、通信コネクタ108(外部との通信線を接続するコネクタ)、ハードディスク109、パスワード記憶装置110、フラッシュメモリ111などが設けられている。
【0036】
ハードディスク109は、セキュリティ機能として、ハードディスクのアクセスロック機能が使用可能であり、そのハードディスク109には、第1オペレーティングシステム113(以降OS1)が存在している。
【0037】
また、フラッシュメモリ111は、例えば、コンパクトフラッシュ(登録商標)(CF)であり、システムBIOS105により外部から送信されるウェークアップ信号(例えば、Wake On LAN(WOL)信号)を受信した場合のみ起動可能となるように制御可能なデバイスである。
【0038】
また、フラッシュメモリ111には、第2オペレーティングシステム112(OS2)が存在し、第2オペレーティングシステム112は、外部の情報装置20からリモートアクセスを行うことができる。
【0039】
更に、第2オペレーティングシステム112は、ハードディスク109のアクセスロックを解除する方法を備え、アクセスロック解除を行う方法はパスワード入力である。
【0040】
この第2のオペレーティングシステム112は、セキュリティ機能として、ハードディスク109のアクセスロックが設定されているリモート対象情報装置10のリモートアクセスを可能とするものである。
【0041】
更に、暗号化装置106は、例えば、Trusted Platform Module(TPM)であり、パスワード記憶装置110は、例えば、暗号化装置106により暗号化が可能であるフラッシュメモリである。
【0042】
上記の暗号化装置106とパスワード記憶装置110は、リモート対象情報装置10のセキュリティを維持したままリモートアクセスを行う場合のセキュリティ維持を実現するものである。
【0043】
次に、図3〜図6により、本発明の一実施の形態に係る情報装置のシステムBIOS105が電源ON時からオペレーティングシステムを起動するまでの処理方法について説明する。図3は本発明の一実施の形態に係る情報装置のシステムBIOSが行う通常のブート処理を示すフローチャート、図4および図5は本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図であり、図4はBIOS Setup Utility内のBoot Device Priorityの設定項目の一例を示し、図5はBIOS Setup Utility内のBoot Priority from S5の設定項目の一例を示す図である。図6は本発明の一実施の形態に係る情報装置のウェークアップ信号を受信した時の動作を示すフローチャートであり、システムBIOSのBoot Priority from S5の設定が[FLASH]である時の動作を示している。
【0044】
まず、リモート対象情報装置10のシステムBIOS105のブート処理は、通常、図3に示す動作フロー図のように、リモート対象情報装置10の電源がON(ステップS001)された時、システムBIOS105が各種デバイス(例えば主メモリ103やハードディスク109等)の初期化処理を行い(ステップS002)、システムBIOS105がBIOS Setup Utilityで設定されているBoot Device Priority(例えば、図4のように設定されている)に従って、ブート処理を行っている(ステップS003)。
【0045】
本実施の形態では、リモート対象情報装置10は、システムBIOS105に外部の情報装置20、30から送信されるWOL信号を、外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合に起動する機能を具備している。
【0046】
更に、各種デバイスの初期化処理を行った後、システムBIOS105がBoot Device Priorityに従って、ブート処理処理を行う前に、システムBIOS105に電源OFFの状態から外部の情報装置20から送信されるWOL信号を、外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合に、フラッシュメモリ111からブートを行えるような機能を具備している。
【0047】
上記機能は、システムBIOS105のBIOS Setup Utilityにユーザがその機能を使用できるように、図5で示すような設定項目が存在する。上記機能を具備するシステムBIOS105はデバイスの初期化〜ブート処理を行うまでの間、図6に示すフローチャートに従って、WOL信号を受信して電源がONされた時の通常ブート(図4を例とするとハードディスクからブート処理)と、フラッシュメモリ111からのブート処理を切り替えている。
【0048】
また、電源ボタンを押して電源ONされた時は、システムBIOS105は通常ブート処理を行う。
【0049】
図6に示すように、BIOS Setup UtilityでBoot Priority from S5の設定が[Normal]である場合は、図3で示したフローチャートと同等に、WOL信号を受信して情報装置の電源がON(ステップS101)された時でもシステムBIOS105が各種デバイスの初期化処理を行い(ステップS102)、BIOS Setup Utilityで設定しているBoot Device Priorityの設定順にブート処理を行う(ステップS103)。
【0050】
また、Boot Priority from S5の設定が[FLASH]でかつWake On LAN信号を受信して情報装置の電源がON(ステップS101)された時、システムBIOS105が各種デバイスの初期化処理を行い(ステップS102)、Boot Device Priorityの1st Boot Deviceをフラッシュメモリ111に割り当てる(ステップS104)。
【0051】
次に、それまで1st、2nd、3rd Boot Deviceに割り当てられていたデバイスを2nd、3rd、4th Boot Deviceとして割り当てる(ステップS105)。
【0052】
その後、通常ブートと同様に、システムBIOS105は、Boot Device Priorityの設定順にブート処理を行う。この時、システムBIOS105がブート処理中に行うBoot Device Priorityの変更は、次回、スタンドアロンで起動する時に影響を及ぼさない。
【0053】
次に、図7および図8により、本発明の一実施の形態に係る情報装置のセキュリティ機能として、ハードディスク109のアクセスロックが設定されているリモート対象情報装置10のリモートアクセス方法を説明する。図7は本発明の一実施の形態に係るハードディスクのアクセスロックが設定されている情報装置にリモートアクセスする動作を示すフローチャート、図8は本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【0054】
まず、リモート対象情報装置10のシステムBIOS105のBoot Priority from S5の設定が[FLASH]である場合、外部の情報装置20から送信されるWOL信号を外部と通信するための通信コネクタ108を通してリモート対象情報装置10が受信した場合(ステップS201)、システムBIOS105が第2オペレーティングシステム112から起動させる(ステップS202)。
【0055】
第2オペレーティングシステム112は、リモートアクセスが可能であるので、起動後、リモートアクセスを受け入れる状態となる(ステップS203)。
【0056】
第2オペレーティングシステム112は、更に、ハードディスク109のアクセスロックの解除を行えるシステムであるので、図8に示すようなパスワード入力画面を外部の情報装置20の操作画面に表示できるような状態で待機する(ステップS204)。
【0057】
ここで、外部の情報装置20から第2オペレーティングシステム112に対してリモートアクセスを行い、ハードディスク109に対して、パスワード入力を行う(ステップS205)。
【0058】
入力したパスワードが正しければハードディスク109のアクセスロックが解除される(ステップS206)。第2オペレーティングシステム112は、再起動を行い(ステップS207)、システムBIOSがリモート対象情報装置10のハードディスク109から第1オペレーティングシステム113を起動させる(ステップS208)。
【0059】
リモート対象情報装置10は第2オペレーティングシステム112からの再起動時は、ハードディスク109がアクセスロック解除状態であるならば、アクセスロック解除状態を維持する方法(例えば、リモート対象情報装置10はハードディスク109に対してリセット信号を送信しないようにする)を具備しているので、ハードディスク109から第1オペレーティングシステム113の起動が実現する。
【0060】
よって、セキュリティ機能として、ハードディスクのアクセスロックが設定されている情報装置でもリモートアクセスが可能となる。
【0061】
次に、図9〜図11により本発明の一実施の形態に係る情報装置のセキュリティを維持しつつ、リモートアクセスを行う場合のセキュリティ維持の方法について説明する。図9は本発明の一実施の形態に係る情報装置の第2のオペレーティングシステムがハードディスクに対して新たなパスワードを設定する動作を示すフローチャート、図10は本発明の一実施の形態に係る情報装置のシステムBIOSが具備するパスワード記憶装置にパスワードを登録する際のパスワードを入力するためのBIOS Setup Utility内のパスワード登録画面の表示例、図11は本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【0062】
まず、ハードディスク109のアクセスロックが解除される時(ステップS301)、第2オペレーティングシステム112がパスワード記憶装置110からパスワードを読み出し(ステップS302)、ハードディスク109に新たなパスワードを設定する(ステップS303)。
【0063】
更に、第2オペレーティングシステム112は、外部の情報装置20からリモートアクセスを行うユーザに、ハードディスク109のアクセスロック解除を知らせるために、ハードディスク109のアクセスロック解除に成功または失敗のメッセージを外部の情報装置20の画面に表示させる。
【0064】
外部の情報装置20からリモートアクセスを行うユーザは、このメッセージによりハードディスク109のアクセスロック解除とハードディスクパスワードの変更を確認できる。
【0065】
ハードディスク109のアクセスロック解除およびハードディスク109のハードディスクパスワードの変更に失敗した時はハードディスク109のハードディスクパスワードが変更されることはない。
【0066】
以上の方法を用いることにより、外部の情報装置20からリモート対象情報装置10の第2オペレーティングシステム112にリモートアクセスを行い、ハードディスクに対してパスワードの入力を行った際、ハードディスク109のハードディスクパスワードを自動的に変更できる。
【0067】
更に、外部の情報装置30から通信中に入力したパスワードを解読されたとしても、解読したパスワードではリモート対象情報装置10のハードディスク109のアクセスロックを解除できないので、セキュリティ機能として、ハードディスクのアクセスロックが設定されている情報装置のセキュリティが維持できる。
【0068】
更に、本実施の形態のリモート対象情報装置10は、システムBIOS105の機能として、パスワード記憶装置110にパスワードを登録できる機能を具備している。パスワードの登録は、ユーザが図10に示すBIOS Setup Utility内のパスワードリストを起動し、キーボードからのキー入力により行う。パスワードリストに登録しておくパスワードは、ハードディスクパスワードの登録と同様に、例えば、図10に示すように、ユーザが1st〜6thの6個のパスワードを登録した場合、1st〜6thに登録した内容を覚えておく必要がある。
【0069】
パスワード記憶装置110に複数のパスワードを登録しておくことにより、リモートアクセスユーザが第2オペレーティングシステム112上からハードディスク109のアクセスロック解除する時に、第2オペレーティングシステム112がハードディスク109に行うパスワード変更を複数回実行可能となる。
【0070】
更に、ハードディスクパスワードを変更する時に、現在使用しているハードディスクパスワードを第2オペレーティングシステム112がパスワードリストから削除する。
【0071】
更にリモートアクセスユーザが、第2オペレーティングシステム112上からハードディスク109のアクセスロックを解除する時に、第2オペレーティングシステム112が外部の情報装置20の画面に、図11に示すような画面を表示させる。
【0072】
図11において、2nd Password of Password Listの「2nd」の部分は、図10に示すBIOS Setup Utility内のパスワードリストにより設定されたパスワードリストのどのパスワードに変更になったかを示す部分であり、この部分が現在設定されているパスワードに対応して変化して表示される。
【0073】
図11のような画面を表示させることにより、リモートアクセスユーザがパスワードリストのどのパスワードを入力するかを覚えておく必要がなく、パスワードリストの内容を覚えておくだけで良い。よって、以上の方法を用いることにより、情報装置のセキュリティを維持したままリモートアクセスを行う方法をパスワード登録数実行可能となる。
【0074】
次に、図12により、本発明の一実施の形態に係る情報装置のハードディスク109のパスワード変更方法に於いて、パスワード変更が行えなくなった場合のセキュリティ維持を実現する方法を説明する。図12は本発明の一実施の形態に係る情報装置が、ハードディスクパスワードの変更が行えない場合の情報装置のセキュリティを維持するための動作を示したフローチャートである。
【0075】
まず、リモート対象情報装置10の第2オペレーティングシステム112は、リモート対象情報装置10に具備するパスワード記憶装置110からパスワードを読み出す時(ステップS401)に、登録したパスワードを使い切ってしまったなどの理由により、パスワードの読み出しに失敗した場合は、外部から送信されるウェークアップ信号を受信して起動する情報装置の機能を無効にする(ステップS402)。
【0076】
外部から送信されるウェークアップ信号を受信して起動する情報装置の機能を無効にするには、システムBIOS105のWake On LAN設定項目を[Disabled]に設定する。
【0077】
以上の方法を用いることにより、外部の情報装置からリモートアクセスによりハードディスクにアクセスできるような状態に陥ったとしても、リモートアクセスを制限することにより、ハードディスクからのデータ漏洩を防止することができる。
【0078】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【産業上の利用可能性】
【0079】
本発明は、情報装置に関し、情報化社会におけるリモートアクセス時のセキュリティの維持が必要な装置に広く適用可能である。
【図面の簡単な説明】
【0080】
【図1】本発明の一実施の形態に係る情報装置が接続されるネットワークの全体構成を示す構成図である。
【図2】本発明の一実施の形態に係る情報装置の構成を示す構成図である。
【図3】本発明の一実施の形態に係る情報装置のシステムBIOSが行う通常のブート処理を示すフローチャートである。
【図4】本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図である。
【図5】本発明の一実施の形態に係る情報装置のシステムBIOSが具備する設定項目の一例を示す図である。
【図6】本発明の一実施の形態に係る情報装置のウェークアップ信号を受信した時の動作を示すフローチャートである。
【図7】本発明の一実施の形態に係るハードディスクのアクセスロックが設定されている情報装置にリモートアクセスする動作を示すフローチャートである。
【図8】本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【図9】本発明の一実施の形態に係る情報装置の第2のオペレーティングシステムがハードディスクに対して新たなパスワードを設定する動作を示すフローチャートである。
【図10】本発明の一実施の形態に係る情報装置のシステムBIOSが具備するパスワード記憶装置にパスワードを登録する際のパスワードを入力するためのBIOS Setup Utility内のパスワード登録画面の表示例である。
【図11】本発明の一実施の形態に係る情報装置の第2オペレーティングシステムが具備するハードディスクのアクセスロックを解除する際のハードディスクパスワードを入力するための画面表示例である。
【図12】本発明の一実施の形態に係る情報装置が、ハードディスクパスワードの変更が行えない場合の情報装置のセキュリティを維持するための動作を示したフローチャートである。
【符号の説明】
【0081】
10…リモート対象情報装置、20…外部の情報装置、30…外部の情報装置、100…CPU、101…North Bridge、102…South Bridge、103…主メモリ、104…KBC、105…システムBIOS、106…暗号化装置、107…通信制御コントローラ、108…通信コネクタ、109…ハードディスク、110…パスワード記憶装置、111…フラッシュメモリ、112…第2オペレーティングシステム、113…第1オペレーティングシステム。
【特許請求の範囲】
【請求項1】
ネットワークに接続され、前記ネットワークを介して外部の装置からリモートアクセスされる情報装置であって、
パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、
前記外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、
前記第1の記憶装置の前記アクセスロック機能を解除するための複数のパスワードを格納するパスワード記憶装置とを備え、
前記第2のオペレーティングシステムは、起動後に前記ウェークアップ信号を送信した前記外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、前記外部の装置で入力されたパスワードを受信し、受信したパスワードを前記第1の記憶装置に入力して、前記第1の記憶装置のアクセスロック機能を解除し、前記アクセスロック機能を解除した後、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、前記第1の記憶装置に対して設定し、前記アクセスロック機能を解除した状態で、前記第1の記憶装置に格納された第1のオペレーティングシステムを起動させることを特徴とする情報装置。
【請求項2】
パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、ネットワークを介して接続された外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、前記第1の記憶装置の前記アクセスロック機能の解除のための複数のパスワードを格納するパスワード記憶装置とを備え、前記ネットワークを介して外部の装置からリモートアクセスされる情報装置におけるリモートアクセス方法であって、
前記外部の装置から送信されるウェークアップ信号を受信した際に起動された第2のオペレーティングシステムにより、前記ウェークアップ信号を送信した前記外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、前記外部の装置からのパスワードを受信し、受信したパスワードを前記第1の記憶装置に入力して、前記第1の記憶装置のアクセスロック機能を解除し、前記アクセスロック機能を解除した後、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、前記第1の記憶装置に対して設定し、前記アクセスロック機能を解除した状態で、前記第1の記憶装置に格納された第1のオペレーティングシステムを起動させることを特徴とする情報装置のリモートアクセス方法。
【請求項3】
請求項2記載の情報装置のリモートアクセス方法において、
前記第2のオペレーティングシステムにより、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出す際、前記異なるパスワードを読み出した後に、前記現在のパスワードを前記パスワード記憶装置から削除し、前記パスワード記憶装置に格納されたパスワードの読み出しに失敗した場合には、前記ウェークアップ信号による起動を無効にすることを特徴とする情報装置のリモートアクセス方法。
【請求項1】
ネットワークに接続され、前記ネットワークを介して外部の装置からリモートアクセスされる情報装置であって、
パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、
前記外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、
前記第1の記憶装置の前記アクセスロック機能を解除するための複数のパスワードを格納するパスワード記憶装置とを備え、
前記第2のオペレーティングシステムは、起動後に前記ウェークアップ信号を送信した前記外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、前記外部の装置で入力されたパスワードを受信し、受信したパスワードを前記第1の記憶装置に入力して、前記第1の記憶装置のアクセスロック機能を解除し、前記アクセスロック機能を解除した後、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、前記第1の記憶装置に対して設定し、前記アクセスロック機能を解除した状態で、前記第1の記憶装置に格納された第1のオペレーティングシステムを起動させることを特徴とする情報装置。
【請求項2】
パスワードの設定によるアクセスロック機能を有し、第1のオペレーティングシステムを格納する第1の記憶装置と、ネットワークを介して接続された外部の装置から送信されるウェークアップ信号を受信した際に起動される第2のオペレーティングシステムを格納する第2の記憶装置と、前記第1の記憶装置の前記アクセスロック機能の解除のための複数のパスワードを格納するパスワード記憶装置とを備え、前記ネットワークを介して外部の装置からリモートアクセスされる情報装置におけるリモートアクセス方法であって、
前記外部の装置から送信されるウェークアップ信号を受信した際に起動された第2のオペレーティングシステムにより、前記ウェークアップ信号を送信した前記外部の装置に現在のパスワードを入力させるパスワード入力画面を表示させ、前記外部の装置からのパスワードを受信し、受信したパスワードを前記第1の記憶装置に入力して、前記第1の記憶装置のアクセスロック機能を解除し、前記アクセスロック機能を解除した後、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出し、読み出したパスワードを、前記第1の記憶装置に対して設定し、前記アクセスロック機能を解除した状態で、前記第1の記憶装置に格納された第1のオペレーティングシステムを起動させることを特徴とする情報装置のリモートアクセス方法。
【請求項3】
請求項2記載の情報装置のリモートアクセス方法において、
前記第2のオペレーティングシステムにより、前記パスワード記憶装置に格納された複数のパスワードから現在のパスワードとは異なるパスワードを読み出す際、前記異なるパスワードを読み出した後に、前記現在のパスワードを前記パスワード記憶装置から削除し、前記パスワード記憶装置に格納されたパスワードの読み出しに失敗した場合には、前記ウェークアップ信号による起動を無効にすることを特徴とする情報装置のリモートアクセス方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−40558(P2008−40558A)
【公開日】平成20年2月21日(2008.2.21)
【国際特許分類】
【出願番号】特願2006−210302(P2006−210302)
【出願日】平成18年8月1日(2006.8.1)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成20年2月21日(2008.2.21)
【国際特許分類】
【出願日】平成18年8月1日(2006.8.1)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]