機密情報消去方法および機密情報消去装置とそのプログラム
【課題】比較的大容量の機密情報が情報端末に保存されている場合であっても、機密情報が不正に読み出される可能性の低い機密情報消去方法および機密情報消去装置とそのプログラムを提供すること。
【解決手段】機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容する。この間の認証処理および其のリトライ処理でアクセス可の判定結果が得られなかった場合には、情報端末2のディスプレイ11等から認証処理の実行中を知らせるメッセージを出力して機密情報の削除処理を直ちに開始する。情報端末2を不正に使用している者を認証処理の実行中を示すメッセージで欺き、機密情報の削除処理が開始されたことを認識し難くし、この時間を利用して機密情報を適切に削除する。
【解決手段】機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容する。この間の認証処理および其のリトライ処理でアクセス可の判定結果が得られなかった場合には、情報端末2のディスプレイ11等から認証処理の実行中を知らせるメッセージを出力して機密情報の削除処理を直ちに開始する。情報端末2を不正に使用している者を認証処理の実行中を示すメッセージで欺き、機密情報の削除処理が開始されたことを認識し難くし、この時間を利用して機密情報を適切に削除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法および機密情報消去装置とそのプログラム、特に、遠隔操作によって情報端末内の機密情報を削除することが困難な状況下にある情報端末における機密情報の漏洩の防止に好適な機密情報消去方法および機密情報消去装置とそのプログラムに関する。
【背景技術】
【0002】
機密情報を保存した情報端末から機密情報が漏洩することを防止するための技術としては、通信ネットワークを利用した遠隔操作により携帯電話をロック状態とするようにしたものが既に公知である。
【0003】
しかしながら、通信ネットワークを利用して情報端末を操作することで機密情報の漏洩に対処する構成では、通信ネットワークに接続する機能を備えていない情報端末からの機密情報の漏洩を防止することはできず、また、通信ネットワークに接続する機能があっても通信ネットワークから切り離された状態で情報端末を使用された場合には機密情報の漏洩を防止することができなくなる不都合がある。
【0004】
この種の問題を解決するための技術としては、例えば、特許文献1に開示されるように、携帯電話が通信圏外に出て通信が不通になった場合や電源がオフにされた状況下つまり通信ネットワークから切り離された状況下でタイマを起動し、予め決められた時間が経過した段階で電源のオフ状態が維持されている場合に消去対象となっている機密情報を削除するようにした携帯端末の不正使用防止システムが提案されている。
【0005】
しかし、この不正使用防止システムは専らメモリ内にある小規模な機密情報の削除を想定したもの、つまり、機密情報の削除が瞬時に行われることを前提としたものであり、PDAやノートパソコンさらにはパーソナルコンピュータ等のように比較的大容量の機密情報を保存した情報端末、特に、ハードディスクのようにシークタイムの長い記憶装置に保存された機密情報の削除を想定したものではなく、機密情報の消去に必要とされる時間が長くなれば、その間に機密情報が不正に読み出されるといった可能性が考えられる。
【0006】
なお、比較的容量の大きなデータに対して優先順位を設定し、優先度の低いものから順に削除するようにした情報処理装置が特許文献2として既に公知であるが、このものは、単に、新規データの書き込みのためにデータの削除を行なっているに過ぎず、機密情報の漏洩の防止とは格別の関連はない。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−172701号公報(段落0042−0043,0029)
【特許文献2】特開2006−146812号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、比較的大容量の機密情報が情報端末に保存されている場合、つまり、機密情報の削除に必要とされる所要時間が長くなる場合であっても、機密情報が不正に読み出される可能性の低い機密情報消去方法および機密情報消去装置とそのプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の機密情報消去方法は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法であり、前記目的を達成するため、特に、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした構成を有する。
【0010】
また、本発明の機密情報消去装置は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去装置であり、前記と同様の目的を達成するため、特に、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段と、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段と、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段とを備えたことを特徴とする構成を有する。
【0011】
また、本発明の機密情報消去プログラムは、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末が備えるマイクロプロセッサを、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段、および、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段として機能させることを特徴とした構成を有する。
【発明の効果】
【0012】
本発明の機密情報消去方法および機密情報消去装置とそのプログラムは、機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、この間の認証処理および其のリトライ処理でアクセス可の判定結果が得られなかった場合には、情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して機密情報の削除処理を直ちに開始するようにしているので、情報端末を不正に使用している者は、認証処理の実行中を知らせるメッセージに欺かれ、実際には機密情報の削除処理が既に開始されているにも関わらず通常の認証処理が行われているものと解釈することになり、機密情報の削除処理が開始されたことを容易に認識し得ず、仮に、削除処理の開始が情報端末を不正に使用している者によって認識されたとしても其れには時間的な遅れが伴うので、シークタイムの長い記憶装置に比較的大容量の機密情報が情報端末に保存されている場合であっても、この時間を利用して機密情報を適切に削除することができる。
【図面の簡単な説明】
【0013】
【図1】本発明を適用した一実施形態の機密情報消去装置の構成の概略について示した機能ブロック図である。
【図2】同実施形態の機密情報消去装置を実装した情報端末の全体的な構成の概略を示したブロック図である。
【図3】同実施形態の情報端末にインストールされた機密情報消去プログラムの構成の概略を示したフローチャートである。
【図4】同実施形態で採用した認証情報記憶テーブルの構成の一例を示した概念図である。
【図5】同実施形態で採用した削除順位記憶テーブルの構成の一例を示した概念図である。
【図6】同実施形態の認証処理実行手段からの指令よってディスプレイに表示されるガイダンスメッセージを例示した概念図である。
【図7】同実施形態のガイダンスメッセージ表示制御手段からの指令よってディスプレイに表示されるガイダンスメッセージを例示した概念図である。
【図8】同実施形態の偽装メッセージ表示制御手段からの指令よってディスプレイに表示される偽装メッセージを例示した概念図である。
【発明を実施するための形態】
【0014】
次に、本発明を実施するための形態について一例を挙げて具体的に説明する。
【0015】
図1はPDAやノートパソコンあるいはパーソナルコンピュータ等からなる情報端末に本発明を適用した場合の機密情報消去装置1の構成の概略について示した機能ブロック図、また、図2は機密情報消去装置1を実装した情報端末2の全体的な構成の概略を示したブロック図である。
【0016】
図1に示される通り、この実施形態の機密情報消去装置1の主要部は、情報端末2のハードディスク7に保存された機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段Aと、認証処理実行手段Aによりアクセス不可の判定結果を得た場合に情報端末2の情報出力手段であるディスプレイ11から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段Bと、偽装メッセージ表示制御手段Bの作動後にハードディスク7内の機密情報の削除処理を直ちに開始する機密情報削除手段Cを必須の構成要素として備える。
【0017】
更に、この実施形態の機密情報消去装置1は、認証処理実行手段Aによりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを情報端末の情報出力手段であるディスプレイ11から出力させるガイダンスメッセージ表示制御手段Dと、ガイダンスメッセージ表示制御手段Dの作動後、ハードディスク7内の機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段Eと、最終認証処理実行手段Eによりアクセス不可の判定結果を得た場合に機密情報削除手段Cを作動させる情報削除指令手段Fと、ガイダンスメッセージ表示制御手段Dの作動後に情報端末2のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段Gと、終了認証処理実行手段Gによりシャットダウン可の判定結果を得た場合に情報端末2のシャットダウン処理を実行する一方、終了認証処理実行手段Gによりシャットダウン不可の判定結果を得た場合に偽装メッセージ表示制御手段Bおよび機密情報削除手段Cを作動させる選択動作指令手段Hを備えている。
【0018】
情報端末2は既に述べた通りPDAやノートパソコンあるいはパーソナルコンピュータ等によって構成され、演算処理用のマイクロプロセッサ3と、マイクロプロセッサ3の起動プログラム等を格納したROM4と、各種のパラメータ等を記憶するための不揮発性メモリ5と、演算データ等の一時記憶に利用されるRAM6と、大容量記憶装置として機能するハードディスクドライブ7とを備え、マイクロプロセッサ3の入出力回路9には、マン・マシン・インターフェイスとして機能するキーボード10とマシン・マン・インターフェイスとして機能するディスプレイ11およびスピーカ12が接続され、更に、この実施形態にあっては、最終認証処理のための認証情報の入力に用いるRFIDタグや磁気カード等の認証デバイス14から認証情報を受け取るためのデバイス用インターフェイス13が接続されている。認証デバイス14には当該認証デバイス14に固有の認証情報が不揮発的に保存されている。インターフェイス8はインターネットやローカルエリアネットワーク等に情報端末2を接続する際に利用されるインターフェイスである。
【0019】
キーボード10はPDAやノートパソコンあるいはパーソナルコンピュータ等からなる情報端末2のマニュアル・データ・インプッタとして機能する他、認証処理のための認証情報である認証IDやパスワードの外部入力、さらには、終了認証処理のための認証情報である第2パスワード(以下、チャレンジコードという)の外部入力にも利用される。
【0020】
この実施形態にあっては機密情報消去装置1の利用する情報出力手段として情報端末2のディスプレイ11を選択しているが、音声合成に関わる技術は公知であり、ディスプレイ11に代えてスピーカ12を情報出力手段として認証処理の実行中を知らせるメッセージや最終認証処理を行なう旨のガイダンスメッセージを出力させることも可能である。
【0021】
情報端末2が備えるハードディスクドライブ7のプログラム記憶領域には、情報端末2を全体的に制御するオペレーションシステムや利用者がインストールした各種のアプリケーションプログラムの他、情報端末2のマイクロプロセッサ3を前述の認証処理実行手段A,偽装メッセージ表示制御手段B,機密情報削除手段C,ガイダンスメッセージ表示制御手段D,最終認証処理実行手段E,情報削除指令手段F,終了認証処理実行手段Gおよび選択動作指令手段Hとして機能させるための機密情報消去プログラム(図3参照)が格納されている。
【0022】
また、情報端末2のハードディスクドライブ7のデータ記憶領域には、認証処理実行手段Aが認証処理に用いる認証情報である認証IDおよびパスワードの値と、最終認証処理実行手段Eが最終認証処理に用いる認証情報の値と、終了認証処理実行手段Gが終了認証処理に用いる認証情報であるチャレンジコードの値が不揮発的に記憶されている。なお、これらの認証情報は不揮発性メモリ5に記憶させてもよい。
ハードディスクドライブ7のデータ記憶領域に設けられた認証情報記憶テーブル15の構成の一例を図4の概念図に示す。
認証ID(i)は当該情報端末2の使用、特に、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者に固有の認証IDであり、パスワードPW(i)とチャレンジコードCC(i)は認証ID(i)に対応して一義的に割り振られている。最終認証処理実行手段Eが最終認証処理に用いる認証情報D(i−1)とD(i−2)は、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者、つまり、認証ID(i)を有する利用者が所持する認証デバイス14に保存されている認証情報の値である。この実施形態では、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者が2つの認証デバイス14を所持することを前提としているが、各利用者毎の認証デバイス14の数が1つであれば認証ID(i)に対応する認証情報はD(i−1)の1つでよく、また、各利用者毎の認証デバイス14の数が3つ以上であれば認証ID(i)に対応する認証情報もD(i−1),D(i−2),D(i−3),・・・と増加する。
なお、ハードディスクドライブ7に保存された機密情報へのアクセスの可否は最終的に認証ID(i)とパスワードPW(i)と認証情報D(i−1)もしくはD(i−2)の組み合わせによって判定されるので、認証ID(i)とパスワードPW(i)と認証情報D(i−1)もしくはD(i−2)の組み合わせ結果さえユニークな値であればよく、必ずしも、全ての認証ID同士,パスワード同士,認証情報同士が相互にユニークである必要はない。
【0023】
また、ハードディスクドライブ7のデータ記憶領域には、特定の利用者によるアクセスのみを許容する重要な情報が機密情報として記憶されている。
ここでいう機密情報とは、例えば、利用者の個人情報,利用者が業務に使用する顧客情報,利用者の業務に関連する案件情報,利用者が入力あるいは作成したデータを保存するためのMy Documents(利用者用フォルダ)の内容等である。各情報が機密情報であるのか其れ以外の情報(機密を必要としない情報)であるのか、更には、機密情報のうちどの機密情報の機密度が相対的に高くどの機密情報の機密度が相対的に低いのかは単に運用上の問題であり人為的な取り決めに依存する。
この実施形態では、機密情報の削除に際して機密度の高い機密情報から順に削除していくようにしており、機密情報の削除に関わる優先順位はハードディスクドライブ7内の削除順位記憶テーブルに保存されるようになっている。
ハードディスクドライブ7のデータ記憶領域に設けられた削除順位記憶テーブル16の構成の一例を図5の概念図に示す。
図5中の削除優先度は情報を削除する順番を示す値であり、この値に対応して、機密度の高い順に、様々な機密情報を記憶したハードディスクドライブ7のデータ記憶領域を特定するための情報たとえばディレクトリやアドレスの情報が格納されている。
【0024】
次に、図3に示した機密情報消去プログラムのフローチャートを参照し、この実施形態の機密情報消去方法および機密情報消去装置1とその機密情報消去プログラムについて具体的に説明する。
【0025】
なお、この実施形態では情報端末2の起動時および情報端末2のスリープ状態が解除された際に図3の処理を実行するようにしているが、更に、削除順位記憶テーブル16に保存されたディレクトリやアドレスで特定される情報に対するアクセスが検出された際に此の処理を実行させるようにしてもよい。
【0026】
情報端末2の起動もしくはスリープ状態の解除が検出されると、情報端末2のマイクロプロセッサ3は、まず、機密情報消去装置1の認証処理実行手段Aにおける認証処理とリトライ処理の繰り返し回数を計数するカウンタC1の値および機密情報消去装置1の終了認証処理実行手段Gにおける終了認証処理とリトライ処理の繰り返し回数を計数するカウンタC2の値を共に0に初期化する(ステップS1)。
なお、カウンタC1,C2の実体はRAM6内の記憶領域の一部を利用して構築されるレジスタである。
【0027】
次いで、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、認証処理の実行を利用者に求める旨のガイダンスメッセージを例えば図6に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示した後(ステップS2)、利用者がキーボード10を操作して認証情報となる認証IDやパスワードを入力するのを待つ待機状態に入る(ステップS3)。
【0028】
そして、ディスプレイ11のガイダンスメッセージを参照した利用者がキーボード10を操作して認証IDやパスワードを入力すると、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は認証情報となる認証IDやパスワードの入力を検知し(ステップS3)、この度の入力処理で認証情報として外部入力された認証IDやパスワードが、ハードディスク7内の認証情報記憶テーブル15に登録された何れかの認証IDやパスワードと一致するか否かを判定する(ステップS4)。
【0029】
この度の入力処理で外部入力された認証IDやパスワードがハードディスク7内の認証情報記憶テーブル15に登録されていない場合、つまり、ステップS4の判定結果が偽となった場合には、この時点でキーボード10を操作している利用者が適切な認証IDやパスワードを知らない不正使用者であるのか、もしくは、適切な認証IDやパスワードを知ってはいてもキーボード10の操作に際して誤操作を行ったことを意味する。従って、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、カウンタC1の値を1インクリメントし、認証処理実行手段Aにおける認証処理もしくはリトライ処理が新たに1回行なわれたことを更新記憶する(ステップS18)。
【0030】
次いで、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、カウンタC1の現在値が予め設定された許容値Nの範囲内にあるか否か、つまり、認証処理実行手段Aにおける認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあるか否か、更に言えば、現時点でキーボード10を操作している利用者に対して認証処理のリトライ操作を更に許容すべきか否かを判定する(ステップS19)。
【0031】
ここで、ステップS19の判定結果が真となった場合、つまり、カウンタC1の現在値が許容値Nの範囲内にあった場合には、認証処理実行手段Aにおける認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあることを意味するので、認証処理のリトライ操作が許容され、利用者は改めて認証IDやパスワードの入力処理を行なうことになる。
【0032】
一方、ステップS19の判定結果が偽となった場合、つまり、認証処理実行手段Aにおける認証処理やリトライ処理を予め決められた条件の範囲内で繰り返し実行しても適切な認証IDやパスワードが入力されなかった場合には、この時点でキーボード10を操作している利用者が適切な認証IDやパスワードを知らない不正使用者であることを意味するので、機密情報消去装置1の偽装メッセージ表示制御手段Bとして機能する情報端末2のマイクロプロセッサ3は認証処理実行手段Aによりアクセス不可の判定結果が得られたものと見做し、認証処理の実行中を知らせるメッセージを例えば図8に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示すると共に(ステップS20)、機密情報消去装置1の機密情報削除手段Cとして機能する情報端末2のマイクロプロセッサ3が、ハードディスク7内の削除順位記憶テーブル16を参照し、ハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0033】
この際、ステップS20の処理で表示されるメッセージは単なる偽装メッセージであり、実際には此の時点で既に、キーボード10を操作している利用者が機密情報へのアクセスを許容されない利用者であることが認証処理実行手段Aによって認識されているが、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容値Nの値についての知識がないため、認証処理実行手段Aによる判定結果がどの時点で得られたかを知るよしもなく、認証処理の実行中を知らせるメッセージがディスプレイ11に表示された時点で実質的な認証処理、つまり、自分が入力した認証IDやパスワードとハードディスク7内の認証情報記憶テーブル15に登録されている認証IDやパスワードとの比較処理が開始されたものと判断するのが普通である。
従って、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するとしても、それまでには或る程度の時間的な遅れが伴うことになる。よって、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0034】
最終的に、ステップS22の判定結果が真となってハードディスク7内の全ての機密情報が削除されたことが確認されると、マイクロプロセッサ3による通常の手続によって情報端末2をシャットダウンするか、もしくは、情報端末2の通常の使用を許容するようにする。
機密情報を削除した後に情報端末2をシャットダウンするか通常の使用を許容するかは単に設計上の問題である。例えば、機密情報の漏洩以外の問題についてもセキュリティレベルを上げたければ情報端末2をシャットダウンもしくは起動不能とすればよいし、また、機密情報の漏洩以外の問題がなければ、情報端末2の通常の使用を許容してもよい(何れにしても機密情報自体は削除されているので問題はない)。
【0035】
一方、前述したステップS4の判定結果が真となった場合には、この度の入力処理で外部入力された認証IDやパスワードがハードディスク7内の認証情報記憶テーブル15に登録されていること、つまり、この時点でキーボード10を操作している利用者が機密情報へのアクセスを許容された利用者である可能性が高いことを意味する。
【0036】
従って、この場合、機密情報消去装置1のガイダンスメッセージ表示制御手段Dとして機能する情報端末2のマイクロプロセッサ3は、認証処理実行手段Aによりアクセス可の判定結果が得られたものと見做し、最終認証処理の実行を利用者に求める旨のガイダンスメッセージを例えば図7に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示し(ステップS5)、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3がタイマを起動して、ガイダンスメッセージ表示制御手段Dの作動後の経過時間の計時を開始する(ステップS6)。
なお、タイマの実体はRAM6内の記憶領域の一部を利用して構築される初期値0のレジスタ、より具体的には、マイクロプロセッサ3のマシンクロックの分周回路を利用して現在値をインクリメントされるレジスタであり、マシンクロックの周期にレジスタの現在値を乗じた値が実質的な経過時間である。
【0037】
この実施形態にあっては利用者が所持する認証デバイス14を情報端末2のデバイス用インターフェイス13に接続することによって最終認証処理を実行することは既に述べた通りである。
【0038】
次いで、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、タイマの計測時間が許容時間Tの範囲内にあるか否か、つまり、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、より具体的にはデバイス用インターフェイス13に対する認証デバイス14の接続作業が予め決められた条件の範囲内で行われる可能性があるか否か、更に言えば、現時点で認証デバイス14を接続しようとしている利用者に対して認証デバイス14の接続作業を更に許容すべきか否かを判定する(ステップS7)。
【0039】
ここで、ステップS7の判定結果が真となった場合、つまり、タイマの計測時間が許容時間Tの範囲内にあった場合には、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内で行われる可能性があることを意味するので、最終認証処理のリトライ操作すなわち認証デバイス14の接続作業の継続が許容され、利用者は此のまま認証デバイス14の接続作業を続けることが可能となる。
【0040】
次いで、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、デバイス用インターフェイス13に認証デバイス14が接続されているか否かを判定し(ステップS8)、接続されていなければ、更に、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3が、許容時間Tの範囲内に利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを入力しているか否かを判定する(ステップS9)。
【0041】
従って、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、および、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しは、共に、予め決められた条件つまり許容時間Tによる時間的な制限を受けることになる。
【0042】
ここで、ステップS9の判定処理が偽となった場合、つまり、許容時間Tによる時間的な制限の範囲内であって、かつ、最終認証処理のための認証デバイス14の接続作業も終了認証処理のためのチャレンジコードの入力も検知されない場合には、マイクロロセッサ3は前記と同様にしてステップS7〜ステップS9の判定処理を繰り返し実行し、この間、利用者による認証デバイス14の接続作業やキーボード10を利用したチャレンジコードの外部入力操作が許容されることになる。
【0043】
このようにしてステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS7の判定結果が偽となった場合、つまり、予め決められた条件である許容時間Tの時間内に認証デバイス14の接続作業もキーボード10を利用したチャレンジコードの外部入力操作も完了しなかった場合には、現時点で情報端末2を操作している利用者が認証デバイス14を所持せず、しかも、チャレンジコードも知らないこと、つまり、機密情報へのアクセスを許容されない利用者であることを意味する。
【0044】
従って、ステップS7の判定結果が偽となった場合、機密情報消去装置1の情報削除指令手段Fとして機能する情報端末2のマイクロプロセッサ3は、最終認証処理実行手段Eによりアクセス不可の判定結果が得られたものと見做し、機密情報削除手段Cを作動させ、ハードディスク7内の削除順位記憶テーブル16に基いてハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0045】
この場合、ステップS20による偽装メッセージの表示はスキップされ、ステップS5の処理で表示された最終認証処理の実行を利用者に求める旨のガイダンスメッセージ(図7参照)の表示が其のまま維持され、このガイダンスメッセージが実質的な偽装メッセージとして機能することになる。
つまり、実際には此の時点で既に情報端末2を操作している利用者が機密情報へのアクセスを許容されない利用者であることが最終認証処理実行手段Eによって認識されているにも関らず、最終認証処理の実行を利用者に求める旨のガイダンスメッセージがディスプレイ11に表示され続けることになるので、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容時間Tについての知識がないため、最終認証処理実行手段Eによる判定結果がどの時点で得られたかを知るよしもなく、このまま認証デバイス14の接続作業を継続することが可能であると判断するのが普通である。
この結果、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するにしても、それまでには或る程度の時間的な遅れが伴うことになる。従って、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0046】
しかも、このように、認証IDやパスワードの入力による認証処理と認証デバイス14を利用した最終認証処理とを組み合わせたダブルチェックを実施することにより、ハードディスク7内に保存された機密情報が不適切な利用者によって読み出されることを確実に防止することができる。
【0047】
一方、ステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS8の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に認証デバイス14の接続作業が完了した場合には、少なくとも現時点で情報端末2を操作している利用者が認証デバイス14を所持していることを意味するので、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、認証デバイス14に保存されている認証情報の値をデバイス用インターフェイス13を介して外部入力として読み込み、認証デバイス14から読み込んだ認証情報が当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている2つの認証情報のうちの何れかと一致するか否かを判定する(ステップS15)。
【0048】
この度の入力処理で外部入力された認証情報が、当該利用者の認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている何れの認証情報とも一致しない場合、つまり、ステップS15の判定結果が偽となった場合には、この時点で情報端末2を操作している利用者が適切な認証デバイス14を所持しない不正使用者であるのか、もしくは、適切な認証デバイス14を所持しているにも関らず誤って別の認証デバイス14をデバイス用インターフェイス13に接続していることを意味する。
【0049】
従って、この場合、マイクロプロセッサ3は再びステップS7の判定処理に復帰し、前記と同様にしてステップS7〜ステップS9の判定処理を繰り返し実行し、この間、利用者による認証デバイス14の再接続作業やキーボード10を利用したチャレンジコードの外部入力操作を許容する。
【0050】
そして、再びステップS8の判定結果が真となって認証デバイス14の接続作業が確認された場合には、前記と同様、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3が、認証デバイス14に保存されている認証情報の値をデバイス用インターフェイス13を介して外部入力として読み込み、認証デバイス14から送られた認証情報が当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている2つの認証情報のうちの何れかと一致するか否かを判定する(ステップS15)。そして、一致した場合に限り、この利用者が機密情報へのアクセスを許容された適切な利用者であると見做して当該利用者によるログオンを認め(ステップS16)、ハードディスク7のデータ記憶領域に記憶された機密情報へのアクセス、すなわち、読み出しや書き換えや削除等の操作を許容する(ステップS17)。
【0051】
この実施形態にあっては、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、つまり、認証デバイス14の再接続の繰り返しは、予め決められた条件つまり許容時間Tによる時間的な制限を受けるのみであるが、認証IDやパスワードを利用した認証処理実行手段Aにおける認証処理の場合と同様に回数制限を設けるようにすることも可能である。
【0052】
これに対し、ステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS9の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを入力した場合には、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3が、外部入力の認証情報となるチャレンジコードの値をキーボード10から読み込み、この度の入力処理で外部入力されたチャレンジコードが当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されているチャレンジコードと一致するか否かを判定する(ステップS10)。
【0053】
チャレンジコードが一致しない場合、つまり、ステップS10の判定結果が偽となった場合には、この時点で情報端末2を操作している利用者が適切なチャレンジコードを知らない不正使用者であるのか、もしくは、適切なチャレンジコードを知ってはいてもキーボード10の操作に際して誤操作を行ったことを意味するので、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3は、カウンタC2の値を1インクリメントし、終了認証処理実行手段Gにおける終了認証処理もしくはリトライ処理が新たに1回行なわれたことを更新記憶する(ステップS13)。
【0054】
次いで、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3は、カウンタC2の現在値が予め設定された許容値Nの範囲内にあるか否か、つまり、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあるか否か、更に言えば、現時点でキーボード10を操作している利用者に対して終了認証処理のリトライ操作を更に許容すべきか否かを判定する(ステップS14)。
【0055】
ここで、ステップS14の判定結果が真となった場合、つまり、カウンタC2の現在値が許容値Nの範囲内にあった場合には、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあることを意味するので、終了認証処理のリトライ操作が許容され、利用者は改めてチャレンジコードの入力処理を行なうことになる。
【0056】
一方、ステップS14の判定結果が偽となった場合、つまり、終了認証処理実行手段Gにおける終了認証処理やリトライ処理を予め決められた条件の範囲内で繰り返し実行しても適切なチャレンジコードが入力されなかった場合には、機密情報消去装置1の選択動作指令手段Hとして機能する情報端末2のマイクロプロセッサ3は、終了認証処理実行手段Gによってシャットダウン不可の判定結果が得られたものと見做し、偽装メッセージ表示制御手段Bを作動させて認証処理の実行中を知らせるメッセージを例えば図8に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示すると共に(ステップS20)、機密情報消去装置1の機密情報削除手段Cとして機能する情報端末2のマイクロプロセッサ3がハードディスク7内の削除順位記憶テーブル16を参照し、ハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0057】
この際、ステップS20の処理で表示されるメッセージは単なる偽装メッセージであり、実際には此の時点で既に、キーボード10を操作している利用者が機密情報へのアクセスを許容されない利用者であることが終了認証処理実行手段Gによって認識されているが、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容値Nの値についての知識がないため、終了認証処理実行手段Gによる判定結果がどの時点で得られたかを知るよしもなく、終了認証処理の実行中を知らせるメッセージがディスプレイ11に表示された時点で実質的な終了認証処理、つまり、自分が入力したチャレンジコードとハードディスク7内の認証情報記憶テーブル15に登録されているチャレンジコードとの比較処理が開始されたものと判断するのが普通である。
従って、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するとしても、それまでには或る程度の時間的な遅れが伴うことになる。よって、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0058】
これに対し、ステップS10の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に予め決められた条件である回数Nの範囲内で利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを適切に入力した場合には、機密情報消去装置1の選択動作指令手段Hとして機能する情報端末2のマイクロプロセッサ3は、終了認証処理実行手段Gによってシャットダウン可の判定結果が得られたものと見做し、ガイダンスメッセージ表示制御手段Dの作動後の経過時間を計時しているタイマの作動を停止させてリセットした後(ステップS11)、ハードディスク7のデータ記憶領域に記憶されている機密情報の削除に関連する処理を実行することなく、情報端末2をシャットダウンさせる(ステップS12)。
【0059】
従って、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された利用者が自分の認証デバイス14を所持することを忘れたまま誤って認証情報となる認証IDやパスワードを入力して認証処理実行手段Aによる認証処理をクリアしてしまったような場合であっても、機密情報消去装置1のガイダンスメッセージ表示制御手段Dによって認証デバイス14の接続を求めるガイダンスメッセージが図7に示されるようにしてディスプレイ11に表示されてから許容時間Tが経過するまでの間に、許容値Nの回数を超える間違いを繰り返すことなく適切なチャレンジコードを入力することにより、重要な機密情報を削除することなく情報端末2を其のままシャットダウンさせることができる。
これにより、利用者の不注意たとえば認証デバイス14の置き忘れによって生じる可能性のある重要な機密情報の消失を未然に防止することができる。
【0060】
タイマの許容時間Tは不揮発性メモリ5にパラメータとして設定しているので、必要に応じて値を変更することが可能である。
【0061】
以上の実施形態では、認証処理実行手段Aによるアクセス可否の判定を認証IDやパスワードに基いて行い、最終認証処理実行手段Eによるアクセス可否の判定を認証デバイス14の認証情報に基いて行い、終了認証処理実行手段Gにおけるシャットダウンの可否判定をチャレンジコードに基いて行なうようにしているが、これらの認証処理に代えて公知の認証処理たとえば磁気カード等のデバイスや生体認証等を転用することも可能である。
但し、終了認証処理実行手段Gにおけるシャットダウン処理は非常の場合に機密情報を保持して処理を終了することが目的であるから、他のデバイスに頼らない方式たとえばキーボード入力や生体認証を適用することが望ましく、最終認証処理実行手段Eによるアクセス可否の判定は、セキュリティの向上の面から、容易に盗用や成りすましができないように、物理的な認証方式を適用することが望ましい。
【0062】
また、以上の実施形態では、認証処理実行手段Aによる認証処理のリトライを回数で制限し、最終認証処理実行手段Eによる最終認証処理のリトライを時間で制限し、終了認証処理実行手段Gによる終了認証処理のリトライを回数および時間で制限するようにしているが、認証処理および最終認証処理やリトライ処理を制限する条件としては、回数や時間等を単独で又は任意に組み合わせて利用することが可能である。
最終認証処理実行手段Eによる終了認証処理のリトライを時間で制限しているのは、一般に認証デバイス14を利用した認証情報の伝達は確度が高く、キーボード操作のような入力ミスが生じないこと、および、認証デバイス14のポケット等からの取り出し作業に或る程度の時間が必要となることを考慮したためである。
【0063】
以上に開示した実施形態の一部または全部は、以下の付記に示す記載によって適切に表現され得るが、発明を実施するための形態や発明の技術思想は、これらのものに制限されるものではない。
【0064】
〔付記1〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去方法であって、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力して前記機密情報の削除処理を直ちに開始することを特徴とした機密情報消去方法。
【0065】
〔付記2〕
前記予め決められた条件の範囲で前記認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には、
更に、最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力し、
前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この最終認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした付記1記載の機密情報消去方法。
【0066】
〔付記3〕
前記最終認証処理の実行と其のリトライ処理の実行に加え、更に、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
終了認証処理もしくは其のリトライ処理が適切に行なわれてシャットダウン可の判定結果が得られた場合には当該情報端末(2)をシャットダウンし、
これらの最終認証処理および其のリトライ処理も終了認証処理および其のリトライ処理も適切に行なわれずにアクセス不可もしくはシャットダウン不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした付記2記載の機密情報消去方法。
【0067】
〔付記4〕
前記認証処理を前記情報端末(2)に保存されたパスワードと入力パスワードとの比較によって行なうことを特徴とした付記1,付記2または付記3のうち何れか一項に記載の機密情報消去方法。
【0068】
〔付記5〕
前記最終認証処理を前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)に保存された認証情報との比較によって行なうことを特徴とした付記2または付記3のうち何れか一項に記載の機密情報消去方法。
【0069】
〔付記6〕
前記終了認証処理を前記情報端末(2)に保存された第2パスワード(チャレンジコード)と入力パスワードとの比較によって行なうことを特徴とした付記3記載の機密情報消去方法。
【0070】
〔付記7〕
前記認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記1,付記2,付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0071】
〔付記8〕
前記最終認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を表示してからの経過時間(T)によって制限されていることを特徴とした付記2,付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0072】
〔付記9〕
前記終了認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0073】
〔付記10〕
前記機密情報の削除処理を、機密度の高い機密情報から順に実行することを特徴とした付記1,付記2,付記3,付記4,付記5,付記6,付記7,付記8または付記9のうち何れか一項に記載の機密情報消去方法。
【0074】
〔付記11〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去装置(1)であって、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段(A)と、
前記認証処理実行手段(A)によりアクセス不可の判定結果を得た場合に前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力させる偽装メッセージ表示制御手段(B)と、
前記偽装メッセージ表示制御手段(B)の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段(C)とを備えたことを特徴とする機密情報消去装置。
【0075】
〔付記12〕
更に、前記認証処理実行手段(A)によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力させるガイダンスメッセージ表示制御手段(D)と、
前記ガイダンスメッセージ表示制御手段(D)の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段(E)と、
前記最終認証処理実行手段(E)によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段(C)を作動させる情報削除指令手段(F)とを備えたことを特徴とする付記11記載の機密情報消去装置。
【0076】
〔付記13〕
更に、前記ガイダンスメッセージ表示制御手段(D)の作動後、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段(G)と、
前記終了認証処理実行手段(G)によりシャットダウン可の判定結果を得た場合には前記情報端末(2)のシャットダウン処理を実行する一方、前記終了認証処理実行手段(G)によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段(B)および機密情報削除手段(C)を作動させる選択動作指令手段(H)とを備えたことを特徴とする付記12記載の機密情報消去装置。
【0077】
〔付記14〕
前記認証処理実行手段(A)が前記情報端末(2)に保存されたパスワードと外部から認証情報として入力されるパスワードとを比較することを特徴とした付記11,付記12または付記13のうち何れか一項に記載の機密情報消去装置。
【0078】
〔付記15〕
前記最終認証処理実行手段(E)が前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)から入力される認証情報とを比較することを特徴とした付記12または付記13のうち何れか一項に記載の機密情報消去装置。
【0079】
〔付記16〕
前記終了認証処理実行手段(G)が前記情報端末(2)に保存された第2パスワード(チャレンジコード)と外部から認証情報として入力されるパスワードとを比較することを特徴とした付記13記載の機密情報消去装置。
【0080】
〔付記17〕
前記認証処理実行手段(A)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記11,付記12,付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0081】
〔付記18〕
前記最終認証処理実行手段(E)のリトライ処理の実行を許容する条件が、少なくとも、ガイダンスメッセージ表示制御手段(D)の作動後の経過時間(T)によって制限されていることを特徴とした付記12,付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0082】
〔付記19〕
前記終了認証処理実行手段(G)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0083】
〔付記20〕
前記機密情報削除手段(C)が、機密度の高い機密情報から順に機密情報を削除する機能を有することを特徴とした付記11,付記12,付記13,付記14,付記15,付記16,付記17,付記18または付記19のうち何れか一項に記載の機密情報消去装置。
【0084】
〔付記21〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段(A)、
前記認証処理実行手段(A)によりアクセス不可の判定結果を得た場合に前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力させる偽装メッセージ表示制御手段(B)、および、
前記偽装メッセージ表示制御手段(B)の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段(C)として機能させることを特徴とした機密情報消去プログラム。
【0085】
〔付記22〕
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
更に、前記認証処理実行手段(A)によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力させるガイダンスメッセージ表示制御手段(D)、
前記ガイダンスメッセージ表示制御手段(D)の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段(E)、および、
前記最終認証処理実行手段(E)によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段(C)を作動させる情報削除指令手段(F)として機能させることを特徴とした付記21記載の機密情報消去プログラム。
【0086】
〔付記23〕
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
更に、前記ガイダンスメッセージ表示制御手段(D)の作動後、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段(G)、および、
前記終了認証処理実行手段(G)によりシャットダウン可の判定結果を得た場合には前記情報端末(2)のシャットダウン処理を実行する一方、前記終了認証処理実行手段(G)によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段(B)および機密情報削除手段(C)を作動させる選択動作指令手段(H)として機能させることを特徴とした付記22記載の機密情報消去プログラム。
【0087】
〔付記24〕
前記認証処理実行手段(A)が前記情報端末(2)に保存されたパスワードと外部から認証情報として入力されるパスワードとを比較することを特徴とした付記21,付記22または付記23のうち何れか一項に記載の機密情報消去プログラム。
【0088】
〔付記25〕
前記最終認証処理実行手段(E)が前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)から入力される認証情報とを比較することを特徴とした付記22または付記23のうち何れか一項に記載の機密情報消去プログラム。
【0089】
〔付記26〕
前記終了認証処理実行手段(G)が前記情報端末(2)に保存された第2パスワード(チャレンジコード)と外部から認証情報として入力されるパスワードとを比較することを特徴とした付記23記載の機密情報消去プログラム。
【0090】
〔付記27〕
前記認証処理実行手段(A)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記21,付記22,付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0091】
〔付記28〕
前記最終認証処理実行手段(E)のリトライ処理の実行を許容する条件が、少なくとも、ガイダンスメッセージ表示制御手段(D)の作動後の経過時間(T)によって制限されていることを特徴とした付記22,付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0092】
〔付記29〕
前記終了認証処理実行手段(G)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0093】
〔付記30〕
前記機密情報削除手段(C)に、機密度の高い機密情報から順に削除する機能を持たせることを特徴とした付記21,付記22,付記23,付記24,付記25,付記26,付記27,付記28または付記29のうち何れか一項に記載の機密情報消去プログラム。
【産業上の利用可能性】
【0094】
本発明は、重要なデータが保存された情報端末を外部に持ち出した場合の盗難や置き忘れ等による機密情報の漏洩の防止に適用できる。
(必須ではない)
【符号の説明】
【0095】
A 認証処理実行手段
B 偽装メッセージ表示制御手段
C 機密情報削除手段
D ガイダンスメッセージ表示制御手段
E 最終認証処理実行手段
F 情報削除指令手段
G 終了認証処理実行手段
H 選択動作指令手段
1 機密情報消去装置
2 情報端末(パーソナルコンピュータ等)
3 マイクロプロセッサ
4 ROM
5 不揮発性メモリ
6 RAM
7 ハードディスク
8 インターフェイス
9 入出力回路
10 キーボード
11 ディスプレイ(情報出力手段)
12 スピーカ
13 デバイス用インターフェイス
14 認証デバイス
15 認証情報記憶テーブル
16 削除順位記憶テーブル
【技術分野】
【0001】
本発明は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法および機密情報消去装置とそのプログラム、特に、遠隔操作によって情報端末内の機密情報を削除することが困難な状況下にある情報端末における機密情報の漏洩の防止に好適な機密情報消去方法および機密情報消去装置とそのプログラムに関する。
【背景技術】
【0002】
機密情報を保存した情報端末から機密情報が漏洩することを防止するための技術としては、通信ネットワークを利用した遠隔操作により携帯電話をロック状態とするようにしたものが既に公知である。
【0003】
しかしながら、通信ネットワークを利用して情報端末を操作することで機密情報の漏洩に対処する構成では、通信ネットワークに接続する機能を備えていない情報端末からの機密情報の漏洩を防止することはできず、また、通信ネットワークに接続する機能があっても通信ネットワークから切り離された状態で情報端末を使用された場合には機密情報の漏洩を防止することができなくなる不都合がある。
【0004】
この種の問題を解決するための技術としては、例えば、特許文献1に開示されるように、携帯電話が通信圏外に出て通信が不通になった場合や電源がオフにされた状況下つまり通信ネットワークから切り離された状況下でタイマを起動し、予め決められた時間が経過した段階で電源のオフ状態が維持されている場合に消去対象となっている機密情報を削除するようにした携帯端末の不正使用防止システムが提案されている。
【0005】
しかし、この不正使用防止システムは専らメモリ内にある小規模な機密情報の削除を想定したもの、つまり、機密情報の削除が瞬時に行われることを前提としたものであり、PDAやノートパソコンさらにはパーソナルコンピュータ等のように比較的大容量の機密情報を保存した情報端末、特に、ハードディスクのようにシークタイムの長い記憶装置に保存された機密情報の削除を想定したものではなく、機密情報の消去に必要とされる時間が長くなれば、その間に機密情報が不正に読み出されるといった可能性が考えられる。
【0006】
なお、比較的容量の大きなデータに対して優先順位を設定し、優先度の低いものから順に削除するようにした情報処理装置が特許文献2として既に公知であるが、このものは、単に、新規データの書き込みのためにデータの削除を行なっているに過ぎず、機密情報の漏洩の防止とは格別の関連はない。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−172701号公報(段落0042−0043,0029)
【特許文献2】特開2006−146812号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、比較的大容量の機密情報が情報端末に保存されている場合、つまり、機密情報の削除に必要とされる所要時間が長くなる場合であっても、機密情報が不正に読み出される可能性の低い機密情報消去方法および機密情報消去装置とそのプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の機密情報消去方法は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法であり、前記目的を達成するため、特に、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした構成を有する。
【0010】
また、本発明の機密情報消去装置は、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去装置であり、前記と同様の目的を達成するため、特に、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段と、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段と、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段とを備えたことを特徴とする構成を有する。
【0011】
また、本発明の機密情報消去プログラムは、機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末が備えるマイクロプロセッサを、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段、および、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段として機能させることを特徴とした構成を有する。
【発明の効果】
【0012】
本発明の機密情報消去方法および機密情報消去装置とそのプログラムは、機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、この間の認証処理および其のリトライ処理でアクセス可の判定結果が得られなかった場合には、情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して機密情報の削除処理を直ちに開始するようにしているので、情報端末を不正に使用している者は、認証処理の実行中を知らせるメッセージに欺かれ、実際には機密情報の削除処理が既に開始されているにも関わらず通常の認証処理が行われているものと解釈することになり、機密情報の削除処理が開始されたことを容易に認識し得ず、仮に、削除処理の開始が情報端末を不正に使用している者によって認識されたとしても其れには時間的な遅れが伴うので、シークタイムの長い記憶装置に比較的大容量の機密情報が情報端末に保存されている場合であっても、この時間を利用して機密情報を適切に削除することができる。
【図面の簡単な説明】
【0013】
【図1】本発明を適用した一実施形態の機密情報消去装置の構成の概略について示した機能ブロック図である。
【図2】同実施形態の機密情報消去装置を実装した情報端末の全体的な構成の概略を示したブロック図である。
【図3】同実施形態の情報端末にインストールされた機密情報消去プログラムの構成の概略を示したフローチャートである。
【図4】同実施形態で採用した認証情報記憶テーブルの構成の一例を示した概念図である。
【図5】同実施形態で採用した削除順位記憶テーブルの構成の一例を示した概念図である。
【図6】同実施形態の認証処理実行手段からの指令よってディスプレイに表示されるガイダンスメッセージを例示した概念図である。
【図7】同実施形態のガイダンスメッセージ表示制御手段からの指令よってディスプレイに表示されるガイダンスメッセージを例示した概念図である。
【図8】同実施形態の偽装メッセージ表示制御手段からの指令よってディスプレイに表示される偽装メッセージを例示した概念図である。
【発明を実施するための形態】
【0014】
次に、本発明を実施するための形態について一例を挙げて具体的に説明する。
【0015】
図1はPDAやノートパソコンあるいはパーソナルコンピュータ等からなる情報端末に本発明を適用した場合の機密情報消去装置1の構成の概略について示した機能ブロック図、また、図2は機密情報消去装置1を実装した情報端末2の全体的な構成の概略を示したブロック図である。
【0016】
図1に示される通り、この実施形態の機密情報消去装置1の主要部は、情報端末2のハードディスク7に保存された機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段Aと、認証処理実行手段Aによりアクセス不可の判定結果を得た場合に情報端末2の情報出力手段であるディスプレイ11から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段Bと、偽装メッセージ表示制御手段Bの作動後にハードディスク7内の機密情報の削除処理を直ちに開始する機密情報削除手段Cを必須の構成要素として備える。
【0017】
更に、この実施形態の機密情報消去装置1は、認証処理実行手段Aによりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを情報端末の情報出力手段であるディスプレイ11から出力させるガイダンスメッセージ表示制御手段Dと、ガイダンスメッセージ表示制御手段Dの作動後、ハードディスク7内の機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段Eと、最終認証処理実行手段Eによりアクセス不可の判定結果を得た場合に機密情報削除手段Cを作動させる情報削除指令手段Fと、ガイダンスメッセージ表示制御手段Dの作動後に情報端末2のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段Gと、終了認証処理実行手段Gによりシャットダウン可の判定結果を得た場合に情報端末2のシャットダウン処理を実行する一方、終了認証処理実行手段Gによりシャットダウン不可の判定結果を得た場合に偽装メッセージ表示制御手段Bおよび機密情報削除手段Cを作動させる選択動作指令手段Hを備えている。
【0018】
情報端末2は既に述べた通りPDAやノートパソコンあるいはパーソナルコンピュータ等によって構成され、演算処理用のマイクロプロセッサ3と、マイクロプロセッサ3の起動プログラム等を格納したROM4と、各種のパラメータ等を記憶するための不揮発性メモリ5と、演算データ等の一時記憶に利用されるRAM6と、大容量記憶装置として機能するハードディスクドライブ7とを備え、マイクロプロセッサ3の入出力回路9には、マン・マシン・インターフェイスとして機能するキーボード10とマシン・マン・インターフェイスとして機能するディスプレイ11およびスピーカ12が接続され、更に、この実施形態にあっては、最終認証処理のための認証情報の入力に用いるRFIDタグや磁気カード等の認証デバイス14から認証情報を受け取るためのデバイス用インターフェイス13が接続されている。認証デバイス14には当該認証デバイス14に固有の認証情報が不揮発的に保存されている。インターフェイス8はインターネットやローカルエリアネットワーク等に情報端末2を接続する際に利用されるインターフェイスである。
【0019】
キーボード10はPDAやノートパソコンあるいはパーソナルコンピュータ等からなる情報端末2のマニュアル・データ・インプッタとして機能する他、認証処理のための認証情報である認証IDやパスワードの外部入力、さらには、終了認証処理のための認証情報である第2パスワード(以下、チャレンジコードという)の外部入力にも利用される。
【0020】
この実施形態にあっては機密情報消去装置1の利用する情報出力手段として情報端末2のディスプレイ11を選択しているが、音声合成に関わる技術は公知であり、ディスプレイ11に代えてスピーカ12を情報出力手段として認証処理の実行中を知らせるメッセージや最終認証処理を行なう旨のガイダンスメッセージを出力させることも可能である。
【0021】
情報端末2が備えるハードディスクドライブ7のプログラム記憶領域には、情報端末2を全体的に制御するオペレーションシステムや利用者がインストールした各種のアプリケーションプログラムの他、情報端末2のマイクロプロセッサ3を前述の認証処理実行手段A,偽装メッセージ表示制御手段B,機密情報削除手段C,ガイダンスメッセージ表示制御手段D,最終認証処理実行手段E,情報削除指令手段F,終了認証処理実行手段Gおよび選択動作指令手段Hとして機能させるための機密情報消去プログラム(図3参照)が格納されている。
【0022】
また、情報端末2のハードディスクドライブ7のデータ記憶領域には、認証処理実行手段Aが認証処理に用いる認証情報である認証IDおよびパスワードの値と、最終認証処理実行手段Eが最終認証処理に用いる認証情報の値と、終了認証処理実行手段Gが終了認証処理に用いる認証情報であるチャレンジコードの値が不揮発的に記憶されている。なお、これらの認証情報は不揮発性メモリ5に記憶させてもよい。
ハードディスクドライブ7のデータ記憶領域に設けられた認証情報記憶テーブル15の構成の一例を図4の概念図に示す。
認証ID(i)は当該情報端末2の使用、特に、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者に固有の認証IDであり、パスワードPW(i)とチャレンジコードCC(i)は認証ID(i)に対応して一義的に割り振られている。最終認証処理実行手段Eが最終認証処理に用いる認証情報D(i−1)とD(i−2)は、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者、つまり、認証ID(i)を有する利用者が所持する認証デバイス14に保存されている認証情報の値である。この実施形態では、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された各利用者が2つの認証デバイス14を所持することを前提としているが、各利用者毎の認証デバイス14の数が1つであれば認証ID(i)に対応する認証情報はD(i−1)の1つでよく、また、各利用者毎の認証デバイス14の数が3つ以上であれば認証ID(i)に対応する認証情報もD(i−1),D(i−2),D(i−3),・・・と増加する。
なお、ハードディスクドライブ7に保存された機密情報へのアクセスの可否は最終的に認証ID(i)とパスワードPW(i)と認証情報D(i−1)もしくはD(i−2)の組み合わせによって判定されるので、認証ID(i)とパスワードPW(i)と認証情報D(i−1)もしくはD(i−2)の組み合わせ結果さえユニークな値であればよく、必ずしも、全ての認証ID同士,パスワード同士,認証情報同士が相互にユニークである必要はない。
【0023】
また、ハードディスクドライブ7のデータ記憶領域には、特定の利用者によるアクセスのみを許容する重要な情報が機密情報として記憶されている。
ここでいう機密情報とは、例えば、利用者の個人情報,利用者が業務に使用する顧客情報,利用者の業務に関連する案件情報,利用者が入力あるいは作成したデータを保存するためのMy Documents(利用者用フォルダ)の内容等である。各情報が機密情報であるのか其れ以外の情報(機密を必要としない情報)であるのか、更には、機密情報のうちどの機密情報の機密度が相対的に高くどの機密情報の機密度が相対的に低いのかは単に運用上の問題であり人為的な取り決めに依存する。
この実施形態では、機密情報の削除に際して機密度の高い機密情報から順に削除していくようにしており、機密情報の削除に関わる優先順位はハードディスクドライブ7内の削除順位記憶テーブルに保存されるようになっている。
ハードディスクドライブ7のデータ記憶領域に設けられた削除順位記憶テーブル16の構成の一例を図5の概念図に示す。
図5中の削除優先度は情報を削除する順番を示す値であり、この値に対応して、機密度の高い順に、様々な機密情報を記憶したハードディスクドライブ7のデータ記憶領域を特定するための情報たとえばディレクトリやアドレスの情報が格納されている。
【0024】
次に、図3に示した機密情報消去プログラムのフローチャートを参照し、この実施形態の機密情報消去方法および機密情報消去装置1とその機密情報消去プログラムについて具体的に説明する。
【0025】
なお、この実施形態では情報端末2の起動時および情報端末2のスリープ状態が解除された際に図3の処理を実行するようにしているが、更に、削除順位記憶テーブル16に保存されたディレクトリやアドレスで特定される情報に対するアクセスが検出された際に此の処理を実行させるようにしてもよい。
【0026】
情報端末2の起動もしくはスリープ状態の解除が検出されると、情報端末2のマイクロプロセッサ3は、まず、機密情報消去装置1の認証処理実行手段Aにおける認証処理とリトライ処理の繰り返し回数を計数するカウンタC1の値および機密情報消去装置1の終了認証処理実行手段Gにおける終了認証処理とリトライ処理の繰り返し回数を計数するカウンタC2の値を共に0に初期化する(ステップS1)。
なお、カウンタC1,C2の実体はRAM6内の記憶領域の一部を利用して構築されるレジスタである。
【0027】
次いで、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、認証処理の実行を利用者に求める旨のガイダンスメッセージを例えば図6に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示した後(ステップS2)、利用者がキーボード10を操作して認証情報となる認証IDやパスワードを入力するのを待つ待機状態に入る(ステップS3)。
【0028】
そして、ディスプレイ11のガイダンスメッセージを参照した利用者がキーボード10を操作して認証IDやパスワードを入力すると、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は認証情報となる認証IDやパスワードの入力を検知し(ステップS3)、この度の入力処理で認証情報として外部入力された認証IDやパスワードが、ハードディスク7内の認証情報記憶テーブル15に登録された何れかの認証IDやパスワードと一致するか否かを判定する(ステップS4)。
【0029】
この度の入力処理で外部入力された認証IDやパスワードがハードディスク7内の認証情報記憶テーブル15に登録されていない場合、つまり、ステップS4の判定結果が偽となった場合には、この時点でキーボード10を操作している利用者が適切な認証IDやパスワードを知らない不正使用者であるのか、もしくは、適切な認証IDやパスワードを知ってはいてもキーボード10の操作に際して誤操作を行ったことを意味する。従って、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、カウンタC1の値を1インクリメントし、認証処理実行手段Aにおける認証処理もしくはリトライ処理が新たに1回行なわれたことを更新記憶する(ステップS18)。
【0030】
次いで、機密情報消去装置1の認証処理実行手段Aとして機能する情報端末2のマイクロプロセッサ3は、カウンタC1の現在値が予め設定された許容値Nの範囲内にあるか否か、つまり、認証処理実行手段Aにおける認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあるか否か、更に言えば、現時点でキーボード10を操作している利用者に対して認証処理のリトライ操作を更に許容すべきか否かを判定する(ステップS19)。
【0031】
ここで、ステップS19の判定結果が真となった場合、つまり、カウンタC1の現在値が許容値Nの範囲内にあった場合には、認証処理実行手段Aにおける認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあることを意味するので、認証処理のリトライ操作が許容され、利用者は改めて認証IDやパスワードの入力処理を行なうことになる。
【0032】
一方、ステップS19の判定結果が偽となった場合、つまり、認証処理実行手段Aにおける認証処理やリトライ処理を予め決められた条件の範囲内で繰り返し実行しても適切な認証IDやパスワードが入力されなかった場合には、この時点でキーボード10を操作している利用者が適切な認証IDやパスワードを知らない不正使用者であることを意味するので、機密情報消去装置1の偽装メッセージ表示制御手段Bとして機能する情報端末2のマイクロプロセッサ3は認証処理実行手段Aによりアクセス不可の判定結果が得られたものと見做し、認証処理の実行中を知らせるメッセージを例えば図8に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示すると共に(ステップS20)、機密情報消去装置1の機密情報削除手段Cとして機能する情報端末2のマイクロプロセッサ3が、ハードディスク7内の削除順位記憶テーブル16を参照し、ハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0033】
この際、ステップS20の処理で表示されるメッセージは単なる偽装メッセージであり、実際には此の時点で既に、キーボード10を操作している利用者が機密情報へのアクセスを許容されない利用者であることが認証処理実行手段Aによって認識されているが、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容値Nの値についての知識がないため、認証処理実行手段Aによる判定結果がどの時点で得られたかを知るよしもなく、認証処理の実行中を知らせるメッセージがディスプレイ11に表示された時点で実質的な認証処理、つまり、自分が入力した認証IDやパスワードとハードディスク7内の認証情報記憶テーブル15に登録されている認証IDやパスワードとの比較処理が開始されたものと判断するのが普通である。
従って、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するとしても、それまでには或る程度の時間的な遅れが伴うことになる。よって、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0034】
最終的に、ステップS22の判定結果が真となってハードディスク7内の全ての機密情報が削除されたことが確認されると、マイクロプロセッサ3による通常の手続によって情報端末2をシャットダウンするか、もしくは、情報端末2の通常の使用を許容するようにする。
機密情報を削除した後に情報端末2をシャットダウンするか通常の使用を許容するかは単に設計上の問題である。例えば、機密情報の漏洩以外の問題についてもセキュリティレベルを上げたければ情報端末2をシャットダウンもしくは起動不能とすればよいし、また、機密情報の漏洩以外の問題がなければ、情報端末2の通常の使用を許容してもよい(何れにしても機密情報自体は削除されているので問題はない)。
【0035】
一方、前述したステップS4の判定結果が真となった場合には、この度の入力処理で外部入力された認証IDやパスワードがハードディスク7内の認証情報記憶テーブル15に登録されていること、つまり、この時点でキーボード10を操作している利用者が機密情報へのアクセスを許容された利用者である可能性が高いことを意味する。
【0036】
従って、この場合、機密情報消去装置1のガイダンスメッセージ表示制御手段Dとして機能する情報端末2のマイクロプロセッサ3は、認証処理実行手段Aによりアクセス可の判定結果が得られたものと見做し、最終認証処理の実行を利用者に求める旨のガイダンスメッセージを例えば図7に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示し(ステップS5)、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3がタイマを起動して、ガイダンスメッセージ表示制御手段Dの作動後の経過時間の計時を開始する(ステップS6)。
なお、タイマの実体はRAM6内の記憶領域の一部を利用して構築される初期値0のレジスタ、より具体的には、マイクロプロセッサ3のマシンクロックの分周回路を利用して現在値をインクリメントされるレジスタであり、マシンクロックの周期にレジスタの現在値を乗じた値が実質的な経過時間である。
【0037】
この実施形態にあっては利用者が所持する認証デバイス14を情報端末2のデバイス用インターフェイス13に接続することによって最終認証処理を実行することは既に述べた通りである。
【0038】
次いで、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、タイマの計測時間が許容時間Tの範囲内にあるか否か、つまり、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、より具体的にはデバイス用インターフェイス13に対する認証デバイス14の接続作業が予め決められた条件の範囲内で行われる可能性があるか否か、更に言えば、現時点で認証デバイス14を接続しようとしている利用者に対して認証デバイス14の接続作業を更に許容すべきか否かを判定する(ステップS7)。
【0039】
ここで、ステップS7の判定結果が真となった場合、つまり、タイマの計測時間が許容時間Tの範囲内にあった場合には、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内で行われる可能性があることを意味するので、最終認証処理のリトライ操作すなわち認証デバイス14の接続作業の継続が許容され、利用者は此のまま認証デバイス14の接続作業を続けることが可能となる。
【0040】
次いで、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、デバイス用インターフェイス13に認証デバイス14が接続されているか否かを判定し(ステップS8)、接続されていなければ、更に、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3が、許容時間Tの範囲内に利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを入力しているか否かを判定する(ステップS9)。
【0041】
従って、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、および、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しは、共に、予め決められた条件つまり許容時間Tによる時間的な制限を受けることになる。
【0042】
ここで、ステップS9の判定処理が偽となった場合、つまり、許容時間Tによる時間的な制限の範囲内であって、かつ、最終認証処理のための認証デバイス14の接続作業も終了認証処理のためのチャレンジコードの入力も検知されない場合には、マイクロロセッサ3は前記と同様にしてステップS7〜ステップS9の判定処理を繰り返し実行し、この間、利用者による認証デバイス14の接続作業やキーボード10を利用したチャレンジコードの外部入力操作が許容されることになる。
【0043】
このようにしてステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS7の判定結果が偽となった場合、つまり、予め決められた条件である許容時間Tの時間内に認証デバイス14の接続作業もキーボード10を利用したチャレンジコードの外部入力操作も完了しなかった場合には、現時点で情報端末2を操作している利用者が認証デバイス14を所持せず、しかも、チャレンジコードも知らないこと、つまり、機密情報へのアクセスを許容されない利用者であることを意味する。
【0044】
従って、ステップS7の判定結果が偽となった場合、機密情報消去装置1の情報削除指令手段Fとして機能する情報端末2のマイクロプロセッサ3は、最終認証処理実行手段Eによりアクセス不可の判定結果が得られたものと見做し、機密情報削除手段Cを作動させ、ハードディスク7内の削除順位記憶テーブル16に基いてハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0045】
この場合、ステップS20による偽装メッセージの表示はスキップされ、ステップS5の処理で表示された最終認証処理の実行を利用者に求める旨のガイダンスメッセージ(図7参照)の表示が其のまま維持され、このガイダンスメッセージが実質的な偽装メッセージとして機能することになる。
つまり、実際には此の時点で既に情報端末2を操作している利用者が機密情報へのアクセスを許容されない利用者であることが最終認証処理実行手段Eによって認識されているにも関らず、最終認証処理の実行を利用者に求める旨のガイダンスメッセージがディスプレイ11に表示され続けることになるので、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容時間Tについての知識がないため、最終認証処理実行手段Eによる判定結果がどの時点で得られたかを知るよしもなく、このまま認証デバイス14の接続作業を継続することが可能であると判断するのが普通である。
この結果、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するにしても、それまでには或る程度の時間的な遅れが伴うことになる。従って、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0046】
しかも、このように、認証IDやパスワードの入力による認証処理と認証デバイス14を利用した最終認証処理とを組み合わせたダブルチェックを実施することにより、ハードディスク7内に保存された機密情報が不適切な利用者によって読み出されることを確実に防止することができる。
【0047】
一方、ステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS8の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に認証デバイス14の接続作業が完了した場合には、少なくとも現時点で情報端末2を操作している利用者が認証デバイス14を所持していることを意味するので、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3は、認証デバイス14に保存されている認証情報の値をデバイス用インターフェイス13を介して外部入力として読み込み、認証デバイス14から読み込んだ認証情報が当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている2つの認証情報のうちの何れかと一致するか否かを判定する(ステップS15)。
【0048】
この度の入力処理で外部入力された認証情報が、当該利用者の認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている何れの認証情報とも一致しない場合、つまり、ステップS15の判定結果が偽となった場合には、この時点で情報端末2を操作している利用者が適切な認証デバイス14を所持しない不正使用者であるのか、もしくは、適切な認証デバイス14を所持しているにも関らず誤って別の認証デバイス14をデバイス用インターフェイス13に接続していることを意味する。
【0049】
従って、この場合、マイクロプロセッサ3は再びステップS7の判定処理に復帰し、前記と同様にしてステップS7〜ステップS9の判定処理を繰り返し実行し、この間、利用者による認証デバイス14の再接続作業やキーボード10を利用したチャレンジコードの外部入力操作を許容する。
【0050】
そして、再びステップS8の判定結果が真となって認証デバイス14の接続作業が確認された場合には、前記と同様、機密情報消去装置1の最終認証処理実行手段Eとして機能する情報端末2のマイクロプロセッサ3が、認証デバイス14に保存されている認証情報の値をデバイス用インターフェイス13を介して外部入力として読み込み、認証デバイス14から送られた認証情報が当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されている2つの認証情報のうちの何れかと一致するか否かを判定する(ステップS15)。そして、一致した場合に限り、この利用者が機密情報へのアクセスを許容された適切な利用者であると見做して当該利用者によるログオンを認め(ステップS16)、ハードディスク7のデータ記憶領域に記憶された機密情報へのアクセス、すなわち、読み出しや書き換えや削除等の操作を許容する(ステップS17)。
【0051】
この実施形態にあっては、最終認証処理実行手段Eにおける最終認証処理やリトライ処理の繰り返し、つまり、認証デバイス14の再接続の繰り返しは、予め決められた条件つまり許容時間Tによる時間的な制限を受けるのみであるが、認証IDやパスワードを利用した認証処理実行手段Aにおける認証処理の場合と同様に回数制限を設けるようにすることも可能である。
【0052】
これに対し、ステップS7〜ステップS9の判定処理が繰り返し実行される間にステップS9の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを入力した場合には、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3が、外部入力の認証情報となるチャレンジコードの値をキーボード10から読み込み、この度の入力処理で外部入力されたチャレンジコードが当該利用者の入力した認証ID、つまり、ステップS4の判定結果が真となった時点で一時記憶された認証IDに対応してハードディスク7内の認証情報記憶テーブル15に登録されているチャレンジコードと一致するか否かを判定する(ステップS10)。
【0053】
チャレンジコードが一致しない場合、つまり、ステップS10の判定結果が偽となった場合には、この時点で情報端末2を操作している利用者が適切なチャレンジコードを知らない不正使用者であるのか、もしくは、適切なチャレンジコードを知ってはいてもキーボード10の操作に際して誤操作を行ったことを意味するので、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3は、カウンタC2の値を1インクリメントし、終了認証処理実行手段Gにおける終了認証処理もしくはリトライ処理が新たに1回行なわれたことを更新記憶する(ステップS13)。
【0054】
次いで、機密情報消去装置1の終了認証処理実行手段Gとして機能する情報端末2のマイクロプロセッサ3は、カウンタC2の現在値が予め設定された許容値Nの範囲内にあるか否か、つまり、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあるか否か、更に言えば、現時点でキーボード10を操作している利用者に対して終了認証処理のリトライ操作を更に許容すべきか否かを判定する(ステップS14)。
【0055】
ここで、ステップS14の判定結果が真となった場合、つまり、カウンタC2の現在値が許容値Nの範囲内にあった場合には、終了認証処理実行手段Gにおける終了認証処理やリトライ処理の繰り返しが予め決められた条件の範囲内にあることを意味するので、終了認証処理のリトライ操作が許容され、利用者は改めてチャレンジコードの入力処理を行なうことになる。
【0056】
一方、ステップS14の判定結果が偽となった場合、つまり、終了認証処理実行手段Gにおける終了認証処理やリトライ処理を予め決められた条件の範囲内で繰り返し実行しても適切なチャレンジコードが入力されなかった場合には、機密情報消去装置1の選択動作指令手段Hとして機能する情報端末2のマイクロプロセッサ3は、終了認証処理実行手段Gによってシャットダウン不可の判定結果が得られたものと見做し、偽装メッセージ表示制御手段Bを作動させて認証処理の実行中を知らせるメッセージを例えば図8に示されるようにして情報端末2の情報出力手段であるディスプレイ11に表示すると共に(ステップS20)、機密情報消去装置1の機密情報削除手段Cとして機能する情報端末2のマイクロプロセッサ3がハードディスク7内の削除順位記憶テーブル16を参照し、ハードディスク7のデータ記憶領域に記憶されている機密情報を機密度の高い機密情報から順に削除していく処理を直ちに開始する(ステップS21)。
【0057】
この際、ステップS20の処理で表示されるメッセージは単なる偽装メッセージであり、実際には此の時点で既に、キーボード10を操作している利用者が機密情報へのアクセスを許容されない利用者であることが終了認証処理実行手段Gによって認識されているが、利用者、特に、機密情報へのアクセスを許容されていない利用者は、予め設定された許容値Nの値についての知識がないため、終了認証処理実行手段Gによる判定結果がどの時点で得られたかを知るよしもなく、終了認証処理の実行中を知らせるメッセージがディスプレイ11に表示された時点で実質的な終了認証処理、つまり、自分が入力したチャレンジコードとハードディスク7内の認証情報記憶テーブル15に登録されているチャレンジコードとの比較処理が開始されたものと判断するのが普通である。
従って、仮に、機密情報の削除処理が始まっていることを情報端末2の不正使用者が認識するとしても、それまでには或る程度の時間的な遅れが伴うことになる。よって、ハードディスク7に比較的大容量の機密情報が保存されている場合であっても、この時間を利用してハードディスク7内の機密情報を適切に削除することが可能となる。
また、機密情報の削除が全て完了する前に不正使用者が削除処理の開始に気付いたとしても、この実施形態にあっては、特に、機密度の高い機密情報から順に削除していくようにしているので、削除処理の途中で不正使用者が削除処理の実行に気付いて何らかの方法で未削除部分の機密情報をハードディスク7のデータ記憶領域から読み出したとしても、その機密情報は相対的に機密度の低い部分である確率が高く、少なくとも、最高度に重要な機密情報が不正使用者によって読み出されるといった不都合が確実に防止され得る。
【0058】
これに対し、ステップS10の判定結果が真となった場合、つまり、予め決められた条件である許容時間Tの時間内に予め決められた条件である回数Nの範囲内で利用者がキーボード10を操作して終了認証処理のための認証情報となるチャレンジコードを適切に入力した場合には、機密情報消去装置1の選択動作指令手段Hとして機能する情報端末2のマイクロプロセッサ3は、終了認証処理実行手段Gによってシャットダウン可の判定結果が得られたものと見做し、ガイダンスメッセージ表示制御手段Dの作動後の経過時間を計時しているタイマの作動を停止させてリセットした後(ステップS11)、ハードディスク7のデータ記憶領域に記憶されている機密情報の削除に関連する処理を実行することなく、情報端末2をシャットダウンさせる(ステップS12)。
【0059】
従って、ハードディスクドライブ7に保存された機密情報へのアクセスを許容された利用者が自分の認証デバイス14を所持することを忘れたまま誤って認証情報となる認証IDやパスワードを入力して認証処理実行手段Aによる認証処理をクリアしてしまったような場合であっても、機密情報消去装置1のガイダンスメッセージ表示制御手段Dによって認証デバイス14の接続を求めるガイダンスメッセージが図7に示されるようにしてディスプレイ11に表示されてから許容時間Tが経過するまでの間に、許容値Nの回数を超える間違いを繰り返すことなく適切なチャレンジコードを入力することにより、重要な機密情報を削除することなく情報端末2を其のままシャットダウンさせることができる。
これにより、利用者の不注意たとえば認証デバイス14の置き忘れによって生じる可能性のある重要な機密情報の消失を未然に防止することができる。
【0060】
タイマの許容時間Tは不揮発性メモリ5にパラメータとして設定しているので、必要に応じて値を変更することが可能である。
【0061】
以上の実施形態では、認証処理実行手段Aによるアクセス可否の判定を認証IDやパスワードに基いて行い、最終認証処理実行手段Eによるアクセス可否の判定を認証デバイス14の認証情報に基いて行い、終了認証処理実行手段Gにおけるシャットダウンの可否判定をチャレンジコードに基いて行なうようにしているが、これらの認証処理に代えて公知の認証処理たとえば磁気カード等のデバイスや生体認証等を転用することも可能である。
但し、終了認証処理実行手段Gにおけるシャットダウン処理は非常の場合に機密情報を保持して処理を終了することが目的であるから、他のデバイスに頼らない方式たとえばキーボード入力や生体認証を適用することが望ましく、最終認証処理実行手段Eによるアクセス可否の判定は、セキュリティの向上の面から、容易に盗用や成りすましができないように、物理的な認証方式を適用することが望ましい。
【0062】
また、以上の実施形態では、認証処理実行手段Aによる認証処理のリトライを回数で制限し、最終認証処理実行手段Eによる最終認証処理のリトライを時間で制限し、終了認証処理実行手段Gによる終了認証処理のリトライを回数および時間で制限するようにしているが、認証処理および最終認証処理やリトライ処理を制限する条件としては、回数や時間等を単独で又は任意に組み合わせて利用することが可能である。
最終認証処理実行手段Eによる終了認証処理のリトライを時間で制限しているのは、一般に認証デバイス14を利用した認証情報の伝達は確度が高く、キーボード操作のような入力ミスが生じないこと、および、認証デバイス14のポケット等からの取り出し作業に或る程度の時間が必要となることを考慮したためである。
【0063】
以上に開示した実施形態の一部または全部は、以下の付記に示す記載によって適切に表現され得るが、発明を実施するための形態や発明の技術思想は、これらのものに制限されるものではない。
【0064】
〔付記1〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去方法であって、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力して前記機密情報の削除処理を直ちに開始することを特徴とした機密情報消去方法。
【0065】
〔付記2〕
前記予め決められた条件の範囲で前記認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には、
更に、最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力し、
前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この最終認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした付記1記載の機密情報消去方法。
【0066】
〔付記3〕
前記最終認証処理の実行と其のリトライ処理の実行に加え、更に、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
終了認証処理もしくは其のリトライ処理が適切に行なわれてシャットダウン可の判定結果が得られた場合には当該情報端末(2)をシャットダウンし、
これらの最終認証処理および其のリトライ処理も終了認証処理および其のリトライ処理も適切に行なわれずにアクセス不可もしくはシャットダウン不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした付記2記載の機密情報消去方法。
【0067】
〔付記4〕
前記認証処理を前記情報端末(2)に保存されたパスワードと入力パスワードとの比較によって行なうことを特徴とした付記1,付記2または付記3のうち何れか一項に記載の機密情報消去方法。
【0068】
〔付記5〕
前記最終認証処理を前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)に保存された認証情報との比較によって行なうことを特徴とした付記2または付記3のうち何れか一項に記載の機密情報消去方法。
【0069】
〔付記6〕
前記終了認証処理を前記情報端末(2)に保存された第2パスワード(チャレンジコード)と入力パスワードとの比較によって行なうことを特徴とした付記3記載の機密情報消去方法。
【0070】
〔付記7〕
前記認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記1,付記2,付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0071】
〔付記8〕
前記最終認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を表示してからの経過時間(T)によって制限されていることを特徴とした付記2,付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0072】
〔付記9〕
前記終了認証処理の実行と其のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記3,付記4,付記5または付記6のうち何れか一項に記載の機密情報消去方法。
【0073】
〔付記10〕
前記機密情報の削除処理を、機密度の高い機密情報から順に実行することを特徴とした付記1,付記2,付記3,付記4,付記5,付記6,付記7,付記8または付記9のうち何れか一項に記載の機密情報消去方法。
【0074】
〔付記11〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去装置(1)であって、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段(A)と、
前記認証処理実行手段(A)によりアクセス不可の判定結果を得た場合に前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力させる偽装メッセージ表示制御手段(B)と、
前記偽装メッセージ表示制御手段(B)の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段(C)とを備えたことを特徴とする機密情報消去装置。
【0075】
〔付記12〕
更に、前記認証処理実行手段(A)によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力させるガイダンスメッセージ表示制御手段(D)と、
前記ガイダンスメッセージ表示制御手段(D)の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段(E)と、
前記最終認証処理実行手段(E)によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段(C)を作動させる情報削除指令手段(F)とを備えたことを特徴とする付記11記載の機密情報消去装置。
【0076】
〔付記13〕
更に、前記ガイダンスメッセージ表示制御手段(D)の作動後、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段(G)と、
前記終了認証処理実行手段(G)によりシャットダウン可の判定結果を得た場合には前記情報端末(2)のシャットダウン処理を実行する一方、前記終了認証処理実行手段(G)によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段(B)および機密情報削除手段(C)を作動させる選択動作指令手段(H)とを備えたことを特徴とする付記12記載の機密情報消去装置。
【0077】
〔付記14〕
前記認証処理実行手段(A)が前記情報端末(2)に保存されたパスワードと外部から認証情報として入力されるパスワードとを比較することを特徴とした付記11,付記12または付記13のうち何れか一項に記載の機密情報消去装置。
【0078】
〔付記15〕
前記最終認証処理実行手段(E)が前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)から入力される認証情報とを比較することを特徴とした付記12または付記13のうち何れか一項に記載の機密情報消去装置。
【0079】
〔付記16〕
前記終了認証処理実行手段(G)が前記情報端末(2)に保存された第2パスワード(チャレンジコード)と外部から認証情報として入力されるパスワードとを比較することを特徴とした付記13記載の機密情報消去装置。
【0080】
〔付記17〕
前記認証処理実行手段(A)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記11,付記12,付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0081】
〔付記18〕
前記最終認証処理実行手段(E)のリトライ処理の実行を許容する条件が、少なくとも、ガイダンスメッセージ表示制御手段(D)の作動後の経過時間(T)によって制限されていることを特徴とした付記12,付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0082】
〔付記19〕
前記終了認証処理実行手段(G)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記13,付記14,付記15または付記16のうち何れか一項に記載の機密情報消去装置。
【0083】
〔付記20〕
前記機密情報削除手段(C)が、機密度の高い機密情報から順に機密情報を削除する機能を有することを特徴とした付記11,付記12,付記13,付記14,付記15,付記16,付記17,付記18または付記19のうち何れか一項に記載の機密情報消去装置。
【0084】
〔付記21〕
機密情報を保存した情報端末(2)からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段(A)、
前記認証処理実行手段(A)によりアクセス不可の判定結果を得た場合に前記情報端末(2)の情報出力手段(ディスプレイ11等)から認証処理の実行中を知らせるメッセージ(図8参照)を出力させる偽装メッセージ表示制御手段(B)、および、
前記偽装メッセージ表示制御手段(B)の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段(C)として機能させることを特徴とした機密情報消去プログラム。
【0085】
〔付記22〕
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
更に、前記認証処理実行手段(A)によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージ(図7参照)を前記情報端末(2)の情報出力手段(ディスプレイ11等)から出力させるガイダンスメッセージ表示制御手段(D)、
前記ガイダンスメッセージ表示制御手段(D)の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段(E)、および、
前記最終認証処理実行手段(E)によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段(C)を作動させる情報削除指令手段(F)として機能させることを特徴とした付記21記載の機密情報消去プログラム。
【0086】
〔付記23〕
前記情報端末(2)が備えるマイクロプロセッサ(3)を、
更に、前記ガイダンスメッセージ表示制御手段(D)の作動後、当該情報端末(2)のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段(G)、および、
前記終了認証処理実行手段(G)によりシャットダウン可の判定結果を得た場合には前記情報端末(2)のシャットダウン処理を実行する一方、前記終了認証処理実行手段(G)によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段(B)および機密情報削除手段(C)を作動させる選択動作指令手段(H)として機能させることを特徴とした付記22記載の機密情報消去プログラム。
【0087】
〔付記24〕
前記認証処理実行手段(A)が前記情報端末(2)に保存されたパスワードと外部から認証情報として入力されるパスワードとを比較することを特徴とした付記21,付記22または付記23のうち何れか一項に記載の機密情報消去プログラム。
【0088】
〔付記25〕
前記最終認証処理実行手段(E)が前記情報端末(2)に保存された認証情報と前記情報端末(2)に接続可能な認証デバイス(14)から入力される認証情報とを比較することを特徴とした付記22または付記23のうち何れか一項に記載の機密情報消去プログラム。
【0089】
〔付記26〕
前記終了認証処理実行手段(G)が前記情報端末(2)に保存された第2パスワード(チャレンジコード)と外部から認証情報として入力されるパスワードとを比較することを特徴とした付記23記載の機密情報消去プログラム。
【0090】
〔付記27〕
前記認証処理実行手段(A)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記21,付記22,付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0091】
〔付記28〕
前記最終認証処理実行手段(E)のリトライ処理の実行を許容する条件が、少なくとも、ガイダンスメッセージ表示制御手段(D)の作動後の経過時間(T)によって制限されていることを特徴とした付記22,付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0092】
〔付記29〕
前記終了認証処理実行手段(G)のリトライ処理の実行を許容する条件が、少なくとも、リトライ回数(N)によって制限されていることを特徴とした付記23,付記24,付記25または付記26のうち何れか一項に記載の機密情報消去プログラム。
【0093】
〔付記30〕
前記機密情報削除手段(C)に、機密度の高い機密情報から順に削除する機能を持たせることを特徴とした付記21,付記22,付記23,付記24,付記25,付記26,付記27,付記28または付記29のうち何れか一項に記載の機密情報消去プログラム。
【産業上の利用可能性】
【0094】
本発明は、重要なデータが保存された情報端末を外部に持ち出した場合の盗難や置き忘れ等による機密情報の漏洩の防止に適用できる。
(必須ではない)
【符号の説明】
【0095】
A 認証処理実行手段
B 偽装メッセージ表示制御手段
C 機密情報削除手段
D ガイダンスメッセージ表示制御手段
E 最終認証処理実行手段
F 情報削除指令手段
G 終了認証処理実行手段
H 選択動作指令手段
1 機密情報消去装置
2 情報端末(パーソナルコンピュータ等)
3 マイクロプロセッサ
4 ROM
5 不揮発性メモリ
6 RAM
7 ハードディスク
8 インターフェイス
9 入出力回路
10 キーボード
11 ディスプレイ(情報出力手段)
12 スピーカ
13 デバイス用インターフェイス
14 認証デバイス
15 認証情報記憶テーブル
16 削除順位記憶テーブル
【特許請求の範囲】
【請求項1】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法であって、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした機密情報消去方法。
【請求項2】
前記予め決められた条件の範囲で前記認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には、
更に、最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力し、
前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この最終認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした請求項1記載の機密情報消去方法。
【請求項3】
前記最終認証処理の実行と其のリトライ処理の実行に加え、更に、当該情報端末のシャットダウンの可否を判定するための終了認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
終了認証処理もしくは其のリトライ処理が適切に行なわれてシャットダウン可の判定結果が得られた場合には当該情報端末をシャットダウンし、
これらの最終認証処理および其のリトライ処理も終了認証処理および其のリトライ処理も適切に行なわれずにアクセス不可もしくはシャットダウン不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした請求項2記載の機密情報消去方法。
【請求項4】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去装置であって、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段と、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段と、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段とを備えたことを特徴とする機密情報消去装置。
【請求項5】
更に、前記認証処理実行手段によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力させるガイダンスメッセージ表示制御手段と、
前記ガイダンスメッセージ表示制御手段の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段と、
前記最終認証処理実行手段によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段を作動させる情報削除指令手段とを備えたことを特徴とする請求項4記載の機密情報消去装置。
【請求項6】
更に、前記ガイダンスメッセージ表示制御手段の作動後、当該情報端末のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段と、
前記終了認証処理実行手段によりシャットダウン可の判定結果を得た場合には前記情報端末のシャットダウン処理を実行する一方、前記終了認証処理実行手段によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段および機密情報削除手段を作動させる選択動作指令手段とを備えたことを特徴とする請求項5記載の機密情報消去装置。
【請求項7】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末が備えるマイクロプロセッサを、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段、および、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段として機能させることを特徴とした機密情報消去プログラム。
【請求項8】
前記情報端末が備えるマイクロプロセッサを、
更に、前記認証処理実行手段によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力させるガイダンスメッセージ表示制御手段、
前記ガイダンスメッセージ表示制御手段の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段、および、
前記最終認証処理実行手段によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段を作動させる情報削除指令手段として機能させることを特徴とした請求項7記載の機密情報消去プログラム。
【請求項9】
前記情報端末が備えるマイクロプロセッサを、
更に、前記ガイダンスメッセージ表示制御手段の作動後、当該情報端末のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段、および、
前記終了認証処理実行手段によりシャットダウン可の判定結果を得た場合には前記情報端末のシャットダウン処理を実行する一方、前記終了認証処理実行手段によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段および機密情報削除手段を作動させる選択動作指令手段として機能させることを特徴とした請求項8記載の機密情報消去プログラム。
【請求項1】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去方法であって、
前記機密情報へのアクセスの可否を判定するための認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした機密情報消去方法。
【請求項2】
前記予め決められた条件の範囲で前記認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には、
更に、最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力し、
前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
この最終認証処理および其のリトライ処理が適切に行なわれずにアクセス不可の判定結果を得た場合には、前記機密情報の削除処理を直ちに開始することを特徴とした請求項1記載の機密情報消去方法。
【請求項3】
前記最終認証処理の実行と其のリトライ処理の実行に加え、更に、当該情報端末のシャットダウンの可否を判定するための終了認証処理の実行と其のリトライ処理の実行を予め決められた条件の範囲で繰り返し許容し、
最終認証処理もしくは其のリトライ処理が適切に行なわれてアクセス可の判定結果が得られた場合には前記機密情報へのアクセスを許容する一方、
終了認証処理もしくは其のリトライ処理が適切に行なわれてシャットダウン可の判定結果が得られた場合には当該情報端末をシャットダウンし、
これらの最終認証処理および其のリトライ処理も終了認証処理および其のリトライ処理も適切に行なわれずにアクセス不可もしくはシャットダウン不可の判定結果を得た場合には、前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力して前記機密情報の削除処理を直ちに開始することを特徴とした請求項2記載の機密情報消去方法。
【請求項4】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去装置であって、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段と、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段と、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段とを備えたことを特徴とする機密情報消去装置。
【請求項5】
更に、前記認証処理実行手段によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力させるガイダンスメッセージ表示制御手段と、
前記ガイダンスメッセージ表示制御手段の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段と、
前記最終認証処理実行手段によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段を作動させる情報削除指令手段とを備えたことを特徴とする請求項4記載の機密情報消去装置。
【請求項6】
更に、前記ガイダンスメッセージ表示制御手段の作動後、当該情報端末のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段と、
前記終了認証処理実行手段によりシャットダウン可の判定結果を得た場合には前記情報端末のシャットダウン処理を実行する一方、前記終了認証処理実行手段によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段および機密情報削除手段を作動させる選択動作指令手段とを備えたことを特徴とする請求項5記載の機密情報消去装置。
【請求項7】
機密情報を保存した情報端末からの機密情報の漏洩を防止するための機密情報消去プログラムであって、
前記情報端末が備えるマイクロプロセッサを、
前記機密情報へのアクセスの可否を判定する判定処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する認証処理実行手段、
前記認証処理実行手段によりアクセス不可の判定結果を得た場合に前記情報端末の情報出力手段から認証処理の実行中を知らせるメッセージを出力させる偽装メッセージ表示制御手段、および、
前記偽装メッセージ表示制御手段の作動後、前記機密情報の削除処理を直ちに開始する機密情報削除手段として機能させることを特徴とした機密情報消去プログラム。
【請求項8】
前記情報端末が備えるマイクロプロセッサを、
更に、前記認証処理実行手段によりアクセス可の判定結果が得られた場合に最終認証処理を行なう旨のガイダンスメッセージを前記情報端末の情報出力手段から出力させるガイダンスメッセージ表示制御手段、
前記ガイダンスメッセージ表示制御手段の作動後、前記機密情報へのアクセスの可否を判定するための冗長的な最終認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する最終認証処理実行手段、および、
前記最終認証処理実行手段によりアクセス不可の判定結果を得た場合に、前記機密情報削除手段を作動させる情報削除指令手段として機能させることを特徴とした請求項7記載の機密情報消去プログラム。
【請求項9】
前記情報端末が備えるマイクロプロセッサを、
更に、前記ガイダンスメッセージ表示制御手段の作動後、当該情報端末のシャットダウンの可否を判定するための終了認証処理と其のリトライ処理を外部からの認証情報の入力操作に応じて予め決められた条件の範囲で繰り返し実行する終了認証処理実行手段、および、
前記終了認証処理実行手段によりシャットダウン可の判定結果を得た場合には前記情報端末のシャットダウン処理を実行する一方、前記終了認証処理実行手段によりシャットダウン不可の判定結果を得た場合には前記偽装メッセージ表示制御手段および機密情報削除手段を作動させる選択動作指令手段として機能させることを特徴とした請求項8記載の機密情報消去プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−211320(P2011−211320A)
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願番号】特願2010−74812(P2010−74812)
【出願日】平成22年3月29日(2010.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願日】平成22年3月29日(2010.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]