記憶媒体ユニット,及び、記憶媒体自動消去システム
【課題】正規のコンピュータ以外のコンピュータに接続された場合には記憶媒体中の記憶情報を消去できるが、保守用PCに接続された場合には記憶情報が消去されない記憶媒体ユニットを、提供する。
【解決手段】コンピュータ1のROM13には、固有の秘密鍵及び公開鍵16が記憶されている。DEC21には、固有のDE−ID24が記憶されている。DEC21は、コンピュータ1のCPU12に対して、公開鍵を要求し、受信した公開鍵をハードディスク22の領域25に格納する。以後、DEC21は、所定のタイミングにて、DE−ID24を領域25中の公開鍵によって暗号化し、コンピュータに対して復号化を要求し、復号化された情報を領域25中の公開鍵と比較し、両者が不一致であればハードディスク22の記憶内容を消去する。
【解決手段】コンピュータ1のROM13には、固有の秘密鍵及び公開鍵16が記憶されている。DEC21には、固有のDE−ID24が記憶されている。DEC21は、コンピュータ1のCPU12に対して、公開鍵を要求し、受信した公開鍵をハードディスク22の領域25に格納する。以後、DEC21は、所定のタイミングにて、DE−ID24を領域25中の公開鍵によって暗号化し、コンピュータに対して復号化を要求し、復号化された情報を領域25中の公開鍵と比較し、両者が不一致であればハードディスク22の記憶内容を消去する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータに外部記憶装置として装着されて使用されるとともに流用時に記憶内容を自律的に消去する機能を有する記憶媒体ユニット,及び、かかる記憶媒体ユニット及び該記憶媒体ユニットと協働して動作するコンピュータを含む記憶媒体自動消去システムに関する。
【背景技術】
【0002】
コンピュータに外部記憶装置として装着されるハードディスク等の記憶媒体には、様々な情報が蓄積されるので、正規のアクセス権限を有する者以外の不正取得者によって内部記憶情報が読み出されないように、漏洩防止の仕組みが必要とされる。特に、記憶媒体を収容した記憶媒体ユニットが紛失・盗難された場合にも、不正取得者によって内部記憶情報が読み出されないようにするために、記憶媒体ユニット単体で情報漏洩を防止できる仕組みが必要となる。
【0003】
そのため、従来、記憶媒体ユニットが単体で紛失・盗難されたときに、不正取得者が当該記憶媒体にアクセスしようとすると、記憶媒体ユニット内のコントロール装置が自動的に当該記憶媒体ユニット内の記憶媒体の記憶情報を消去する技術が、種々提案されている(特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008-129744号公報
【特許文献2】特開2002-318727号公報
【特許文献3】特開2006-243957号公報
【特許文献4】特開2006-270281号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上述した従来技術によると、予め特定されたコンピュータ以外のコンピュータに記憶媒体ユニットが接続された場合には、常に、記憶媒体の記憶情報が消去されてしまう。そのため、例えば、記憶媒体ユニットに生じた障害を保守するために記憶媒体ユニットが単体で保守センター等に持ち込まれた場合であっても、当該記憶媒体ユニットが保守用PCに接続されることに因って、当該記憶媒体ユニット内の記憶媒体の内部記憶情報が消去されてしまうという問題が生じる。
【0006】
この場合、保守センタのサーバ内に当該記憶媒体ユニット用の認証情報をその識別情報に合わせて記憶しておき、保守センターのサーバに接続された記憶媒体ユニットの識別情報を認識して、これに対応した認証情報を記憶媒体ユニットに通知することにより、記憶媒体ユニットに認証を行わしめる構成が考えられるが、保守センタのサーバに、あらゆる記憶媒体ユニット用の認証情報を保持しておかなければならないので、現実的でないばかりか、却って、かかる認証情報を一括保持していることに因り、セキュリティ上の問題を生じてしまう。
【0007】
そこで、本案の課題は、記憶媒体ユニットの識別情報を用いることなく、正規のコンピュータ以外のコンピュータに接続された場合には記憶媒体中の記憶情報を消去できるが、保守用PCに接続された場合には記憶情報が消去されない記憶媒体ユニット,及び、かかる記憶媒体ユニットを含む記憶媒体自動消去システムを、提供することである。
【課題を解決するための手段】
【0008】
本案では、記憶媒体を内蔵する記憶媒体ユニットに、当該記憶媒体上の記憶内容を消去するためのコントローラを内蔵させた。このコントローラは、インタフェースを通じてコンピュータと通信可能であり、固有の識別子を保持する識別子保持部,及び、記憶媒体上の記憶内容を消去するための記憶媒体消去部を備えている。記憶媒体消去部は、コンピュータに対して当該コンピュータ固有の暗号化用鍵を要求し、当該要求に応じて前記コンピュータが応答した暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化し、暗号化された識別子を前記コンピュータ固有の復号化用鍵を用いて復号化することによって得られた情報を応答することを前記コンピュータに要求し、当該要求に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する。
【0009】
従って、固有の暗号化用鍵と復号化用鍵との組合せを格納しているとともに、記憶媒体ユニットからの暗号化用鍵の要求に応じて、保持している暗号化用鍵を応答する処理,及び、記憶媒体ユニットからの復号化の要求に応じて、保持している復号化用鍵を用いて、記憶媒体消去部によって暗号化された識別子を復号化して、記憶媒体ユニットに応答する処理を実行する機能を備えたコンピュータに、当該記憶媒体ユニットを接続させれば、当該コンピュータ固有の公開鍵が記憶媒体ユニットのコントローラ(記憶媒体消去部)によって記憶されるので、以後、当該コンピュータに当該記憶媒体ユニットが接続されている限り、記憶媒体ユニットのコントローラ(記憶媒体消去部)が記憶媒体の記憶内容を消去することはない。
【0010】
その後、記憶媒体ユニットが、上記機能を有する別のコンピュータ(以下、「流用コンピュータ」という)に接続された場合、記憶媒体ユニットのコントローラ(記憶媒体消去部)が、暗号化した識別子の復号化を流用コンピュータに要求しても、流用コンピュータ固有の復号化要鍵は、当該識別子の暗号化に用いられた暗号化用鍵とは対応していないので、復号化によって得られた情報は、暗号化前の識別子とは不一致となる。よって、記憶媒体ユニットのコントローラ(記憶媒体消去部)は、記憶媒体の記憶内容を消去する。
【0011】
他方、記憶媒体ユニットを、上記コンピュータ固有の復号化用鍵を書換自在に保持するとともに、上記機能を有する保守用コンピュータに接続した場合、当該保守用コンピュータのオペレータが事前に上記コンピュータ固有の復号化用鍵を当該保守用コンピュータに入力することにより、当該保守用コンピュータは、上記コンピュータと同様に振る舞うことができるので、記憶媒体ユニットのコントローラ(記憶媒体消去部)が記憶媒体の記憶内容を消去しまうことがない。
【発明の効果】
【0012】
本案によると、記憶媒体ユニットの識別情報を用いる必要がないにも拘わらず、正規のコンピュータ以外のコンピュータに接続された場合には記憶媒体中の記憶情報を消去できるが、記憶媒体ユニットが保守用PCに接続された場合には、記憶媒体上の記憶情報が消去されてしまうことを防止することができる。
【図面の簡単な説明】
【0013】
【図1】コンピュータ及びDEの構成を示すブロック図
【図2】保守用PC,DE及び保守センターサーバの構成を示すブロック図
【図3】保守契約締結CPU管理テーブルのデータ構造を示す表
【図4】ディスク正当性確認プログラムによる処理を示すフローチャート
【図5】CPU正当性確認部による処理を示すフローチャート
【図6】販売管理部による処理を示すフローチャート
【図7】DE保守管理部による処理を示すフローチャート
【図8】応用例におけるディスク正当性確認プログラムによる処理を示すフローチャート
【発明を実施するための形態】
【0014】
以下、図面に基づいて、本案の実施の形態を説明する。
<販売形態>
本実施形態において想定されるコンピュータの販売形態においては、コンピュータシステムの販売会社又は製造会社における例えば顧客管理部門の拠点に設置された一台のサーバ(図2に示す保守センターサーバ4)に、当該販売会社又は製造会社と保守契約を締結した顧客及び保守契約の対象となったコンピュータ1に関する販売管理情報(即ち、各販売されたコンピュータ毎に、コンピュータ自体の識別番号(CPU号機番号),購入した顧客の住所,氏名,電子メールアドレス等を一覧した表)47が記録される。かかる販売管理情報は、例えば、コンピュータを顧客に販売した営業担当者によって営業用の端末から入力されるか、コンピュータを購入した顧客によってネットワークを通じて直接入力されるか、顧客からの保守契約申込書に記載された情報に基づいて顧客サービス担当者によって端末を通じて入力される。なお、以後の説明では、コンピュータを顧客に「販売」するとの表現が用いられるが、本案は、コンピュータが売買される場合に適用が限定されるものではなく、コンピュータが無償譲渡される場合,貸借される場合にも、適用可能なものである。
<販売されるコンピュータの構成>
図1は、本実施形態において顧客に販売(無償譲渡又は貸借も含まれる)されるコンピュータ(記憶媒体自動消去システム)の構成を示すブロック図である。この図1に示すように、筐体内に固定されたマザーボード10上に設けられたコネクタ17に、記憶媒体ユニットとしての磁気ディスク装置(以下、「DE:Disk Enclosure」2という)を、着脱自在に接続できるように、構成されている。当該コンピュータの筐体には、DE2を収容できるスロットが設けられており、このスロットにDE2を挿入することにより、当該DE2の背面に設けたれたコネクタが、上記マザーボード10上のコネクタ17に、接続されるようになっている。なお、DE2は、コンピュータ1に内蔵された状態でセット販売される場合もあるし、コンピュータ1とは別売される場合もある。また、DE2は、使用途中において新規のものと交換される場合もある。また、マザーボード10上には、複数のコネクタ17が設けられている場合もある。
【0015】
マザーボード10上には、CPU12,ROM13,RAM11等の回路部品が設置されており、これら回路部品は、上記コネクタ17にも接続されたバスBを通じて相互に接続されている。
【0016】
ROM13は、図示せぬBIOS(Basic Input/Output System)プログラム等のCP
U12の基本動作を制御するためのプログラムを格納するための記憶媒体であり、例えば、フラッシュメモリのような書換自在な不揮発性メモリから構成されている。本例においては、このROM13内に、本例によるDE2に対応した専用ドライバプログラムであるディスク正当性確認プログラム15及び当該コンピュータ1に固有の公開鍵/秘密鍵16が、格納されている。なお、この公開鍵/秘密鍵16は、当該コンピュータ1が製造会社又は販売会社によって販売された際に、一意のものとして付与された秘密鍵(復号化用鍵)と公開鍵(暗号化用鍵)との組合せであり、保守センターサーバ4内において、当該秘密鍵及び公開鍵のコピーが管理されている。
【0017】
RAM11は、CPU12による作業領域が展開される主記憶装置である。
【0018】
CPU12は、ROM13から図示せぬBIOSプログラムを、DE2内のハードディスク22から図示せぬOS(Operation system)プログラム及び各種アプリケーションプログラムを、夫々読み込んで、これらプログラムに従って本来の業務処理を実行する中央処理装置である。また、CPU12は、ROM13からディスク正当性確認プログラム15を読み込むことによって、ディスク正当性確認部14の機能を生じ、DE2内の後述するDEC21と協働した正当性確認処理を実行する。
【0019】
DE2は、記憶媒体としてのハードディスク22及びコントローラ(以下、「DEC:Disk Enclosure Controller」21という)をパッケージ内に内蔵してなるユニットであ
る。DEC12の内部では、上述したコネクタ26,ハードディスク22及びDEC21が、バスBを通じて相互に接続されている。
【0020】
ハードディスク6には、上述したOSプログラムやアプリケーションプログラム等の通常業務用のプログラムが格納されている他、コンピュータ1のCPU12から送信されてくる公開鍵(CPU−PK)16を格納保持するための領域(以下、「CPU−PKエリア25」という)が、確保されている。
【0021】
DEC21は、CPU及び当該CPUによって実行されるプログラムを格納したメモリ(識別子保持部)から構成されたCPU正当性確認部(記憶媒体消去部)23,及びメモリから構成されるDE−ID保持部24を備える。DE−ID保持部24には、当該DE4の製造会社によって生成された一意の識別番号であるDE−IDが、当該DE2の工場出荷時に書き込まれている。但し、当該DE−ID自体は、保守センターサーバ4によって管理されていない。
<保守用PC及び保守センターサーバ4の構成>
図2は、上記DE2の保守(例えば、ハードディスク22に格納されているプログラムやデータの修正,更新,復旧答)を行うために、製造会社又は販売会社のサービスセンター等の拠点に設置された保守用PC3及び保守センターサーバ4の構成を示すブロック図である。
【0022】
この図2に示すように、保守用PC3は、相互にバスBを通じて接続されたCPU31,RAM32,ハードディスク33,コネクタ37,入力装置38及び通信アダプタ36を有している。
【0023】
通信アダプタ36は、ネットワークNを通じて保守センターサーバ4に接続されたネットワークインタフェースである。
【0024】
CPU3,RAM32,ハードディスク33,コネクタ37の基本的な機能は、上述したコンピュータ1のものと同じである。但し、ハードディスク32には、DE2に対する保守を実行するためのDE保守プログラム35が格納されている。また、RAM32には、DE保守プログラム35を実行しているCPU31が、通信アダプタ36を通じて保守センターサーバ4から受け取った、保守対象DE2に対応したコンピュータ1についての公開鍵及び秘密鍵34が、一時記憶される。入力装置38が、オペレータによって操作されることにより、CPU31に各種コマンド及びデータを入力するキーボード.ポインティングデバイス等である。
【0025】
保守センターサーバ4は、相互にバスBを通じて接続されたCPU41,ハードディスク43及び通信アダプタ49を有している。
【0026】
通信アダプタ49は、ネットワークNを通じて保守センターサーバ4に接続されたネットワークインタフェースである。
【0027】
ハードディスク43には、CPU41に読み出されて実行される各種プログラム46及び上述した販売管理情報47が格納されている。販売管理情報47内には、更に、各コンピュータ1のCPU号機番号に夫々対応させて上記公開鍵及び秘密鍵の組合せを一覧したテーブル(保守契約締結CPU管理テーブル48,図3参照)が、含まれている。
【0028】
CPU41は、ハードディスク43からプログラム46を選択的に読み出して実行することにより、DE保守管理部44の機能,及び、販売管理部45の機能を生じる。販売管理部45の機能は、上述したように、販売されたコンピュータ1についての販売管理情報47をハードディスク43内に保存する機能である。また、DE保守管理部44の機能とは、保守用PC3からの要求に応じて、指定されたCPU号機番号に対応した公開鍵及び秘密鍵の組合せを応答する機能である。
<処理内容>
以下、ディスク正当性確認プログラム15に応じてコンピュータ1のCPU12(ディスク正当性確認部)が実行する処理,DEC21のCPU正当性確認部23が実行する処理,DE保守プログラム35に従って保守用PC3が実行する処理,及び、保守センターサーバ4のCPU41(DE保守管理部44,販売管理部45)が実行する処理を、説明する。
[ディスク正当性確認プログラムによる処理]
図4は、ディスク正当性確認プログラム15に応じてコンピュータ1のCPU12が実行する処理を概略的に示すフローチャートである。当該処理は、図示せぬOSによる制御下で、CPU12の起動時に自動的にスタートする。
【0029】
スタート後最初のS001では、CPU12は、コネクタ17の先に接続されたDE2に電源を投入する。
【0030】
次のS002では、CPU12は、DE2からの要求(S102)を待ち、要求があると、ROM13に格納している当該コンピュータ1に固有の公開鍵(CPU−PK)を、DE2に応答する。
【0031】
CPU12は、次のS003において、DE2からの暗号化DE−IDの通知(S107)を待ち、暗号化DE−IDを受信すると、次の004において、受信した暗号化DE−IDを、ROM13に格納している当該コンピュータ1に固有の秘密鍵により復号化する。
【0032】
次のS005では、CPU12は、S005にて復号化したDE−IDを、DE2に応答する。
[DE保守プログラムによる処理]
図5は、DEC21のCPU正当性確認部23が実行する処理を示すフローチャートである。当該処理は、コネクタ26及びバスBを通じてコンピュータ1側から主電源が供給されることにより、スタートする。そして、スタート後最初のS101において、CPU正当性確認部23がハードディスク43に主電源を投入する。
【0033】
次のS102では、DEC21は、コネクタ26の先に接続されているコンピュータに対して、固有の公開鍵(CPU−PK)を要求する。
【0034】
次のS103では、DEC21は、コネクタ26の先に接続されているコンピュータから固有の公開鍵(CPU−PK)の応答が一定時間内にあったか否かをチェックする。そして、応答がなければ、コネクタ26の先に接続されているコンピュータにはディスク正当性確認プログラム15が備えられていない為に、ハードディスク43の自動消去機能に
対応していないと判断して、処理をS111へ進める。
【0035】
これに対して、固有の公開鍵(CPU−PK)の応答があれば、コネクタ26の先に接続されているコンピュータは、ディスク正当性確認プログラム15が備えられているハードディスク43の自動消去機能に対応したコンピュータ1であると判断して、処理をS104へ進める。
【0036】
S104では、DEC21は、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているか否かをチェックする。そして、DEC21は、CPU−PKエリア25が空であれば、当該DEを新規購入後最初に使用する状況であると判断して、S105においてコンピュータ100から受信した固有の公開鍵(CPU−PK)をCPU−PKエリア25に書き込んだ後に、処理をS106へ進める。
【0037】
これに対して、DEC21は、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているのであれば、当該DE2を最初に使用する状況ではないと判断して、処理をそのままS106へ進める。
【0038】
S106では、DEC21は、CPU−PKエリア25内の公開鍵(CPU−PK)によりDE−ID24を暗号化する。
【0039】
次のS107では、DEC21は、S106にて暗号化したDE−ID24を、コンピュータ1のCPU12へ送信する。
【0040】
次のS108では、DEC21は、コンピュータ1のCPU12が固有の秘密鍵により復号化(S004)することによって得られるDE−ID相当のデータを送信(S005)してくるのを待つ。そして、復号化したDE−ID相当のデータを受信すると、DEC21は、処理をS109へ進める。
【0041】
次のS109では、DEC21は、108にて受信したデータが、DEC21内に保管されているDE−ID24と一致しているかどうかをチェックする。そして、両者が一致している場合には、DEC21は、当該DE2が(新規購入後,ないし、一旦ハードディス22が消去された後)最初に接続されたコンピュータ1に、現在も接続されているのであると判断して、処理をそのまま終了する。これに対して、両者が一致していない場合には、DEC21は、当該DE2が新規購入後最初に接続されたコンピュータ1とは別のコンピュータ1に現在接続されているのであると判断して、S110において、CPU−PKエリア25を除くハードディスク22内の全データを消去した後に、処理を終了する。
【0042】
一方、コネクタ26の先に接続されているコンピュータから固有の公開鍵(CPU−PK)の応答が一定時間内になかったとS103にて判断した場合には、DEC21は、S11にて、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているか否かをチェックする。そして、DEC21は、CPU−PKエリア25が空であれば、当該DE2を新規購入後最初に使用する状況であると判断して、処理をそのまま終了する。これに対して、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているのであれば、当該DE2が新規購入後最初に接続されたディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータ1とは別のコンピュータに、現在接続されているのであると判断して、S110において、CPU−PKエリア25を除くハードディスク22内の全データを消去した後に、処理を終了する。
[DE保守プログラムによる処理]
DE保守プログラム35に従って保守用PC3のCPU31が実行する処理は、当該保
守用PC3のCPU31が、ディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータ1として振る舞うための処理である。そのため、CPU31は、オペレータにより、入力装置38を通じて、保守対象DE2に常時接続されているコンピュータ1のCPU号機番号が入力されると、このCPU号機番号を保守センターサーバ4へ送信する。そして、当該CPU号機番号に対応して保守契約締結CPU管理テーブル48に登録されている秘密鍵及び公開鍵の組合せが、保守センターサーバ4から送られて来ると(S303)、当該公開鍵及び秘密鍵34をRAM32に一時記憶した上で、図4に示す処理を実行する。
[販売管理部による処理]
図6は、保守センターサーバ4のCPU41が、プログラム46に基づいて販売管理部45として実行する処理である。図6に示されるように、販売管理部45は、上述したようにして、当該製造会社又は販売会社と保守契約を締結したユーザが登録を求めたコンピュータ1のCPU号機番号,公開鍵(CPU−PK),秘密鍵が入力されると(S201)、S202において、入力されたCPU号機番号,公開鍵(CPU−PK),秘密鍵を相互に対応付けて、保守契約締結CPU管理テーブル48に登録する。
[DE保守管理部による処理]
図7は、保守センターサーバ4のCPU41が、プログラム46に基づいてDE保守管理部44として実行する処理である。図7に示されるように、DE保守管理部44は、保守用PC3のCPU31からCPU号機番号を指定した要求を受信すると(S301)、S302において、保守契約締結CPU管理テーブル48から、受信したCPU号機番号に対応した公開鍵(CPU−PK)及び秘密鍵の組合せを取得する。そして、DE保守管理部44は、次のS303において、取得した公開鍵(CPU−PK)及び秘密鍵の組合せを、要求元の保守用PC3に応答する。
<動作>
以下、本例による記憶媒体自動消去システムの動作を、通常使用時,盗用時,及び保守時に分けて、夫々説明する。
[通常使用時]
先ず、コンピュータ1の保守契約が製造会社又は販売会社と顧客との間で締結されると、そのコンピュータ1のCPU号機番号,公開鍵(CPU−PK)及び秘密鍵が、保守センターサーバ4の保守契約締結CPU管理テーブル48に登録される。
【0043】
新規購入したコンピュータ1を最初に起動した場合、若しくは、既に購入済みのコンピュータ1に新規購入のDE2を装填して起動すると、当該コンピュータ1に固有の公開鍵(CPU−PK)が、DE2のハードディスク22上のCPU−PKエリア25に書き込まれる(S002,S102,S105)。
【0044】
そのため、以後、コンピュータ1を起動する毎に、CPU−PKエリア25に書き込まれた当該コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24が暗号化され(S106)、暗号化されたDE−ID24が当該コンピュータ1において固有の秘密鍵によって復号されて(S004)、応答される(S005)。よって、DE2が当該コンピュータ1に接続されているのであれば、暗号化前のDE−IDと復号化後のDE−IDとは一致するので、DEC21は、当該DE2が正規のコンピュータ1に接続されているのであるとして、ハードディスク22の自動消去を行わない。
【0045】
なお、新規購入されたDE2が、ディスク正当性確認プログラム15を備えていないコンピュータに接続された場合、コンピュータからDEC21に対して公開鍵(CPU−PK)が送信されてくることないので、DEC21は、CPU−PKエリア25上に公開鍵(CPU−PK)が格納されていないことを確認した上で、当該DE2が当該記憶媒体自動消去システムの対象外であるとして、ハードディスク22の自動消去を行わない。
[盗用時]
DE2が最初に接続されたコンピュータ(以下、「正規コンピュータ」という)1から当該DE2のみが盗難紛失し、無権限の取得者によって、正規コンピュータ1以外のコンピュータ(以下、「流用コンピュータ」という)に接続された場合、当該DE2が接続された流用コンピュータが、ディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータである場合と、それ以外のコンピュータである場合とで、処理が異なる。
【0046】
前者の場合、当該DE2のハードディスク22上のCPU−PKエリア25上には、既に正規コンピュータ1の公開鍵(CPU−PK)が格納されているので、流用コンピュータの公開鍵(CPU−PK)が上書きされることはない。
【0047】
そして、DEC21は、通常使用時と同様に、CPU−PKエリア25に書き込まれた正規コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24が暗号化するが(S106)、暗号化されたDE−ID24は流用コンピュータ1において流用コンピュータ固有の秘密鍵によって復号されるので(S004)、暗号化前のDE−IDと復号化後のDE−IDとは一致しない。よって、DEC21は、当該DE2が正規コンピュータ1以外のコンピュータに接続されていると判断して、ハードディスク22の自動消去を行う(S110)。このとき、DEC21は、CPU−PKエリア25の内容を残すので、当該DE2を使用することはできないままとなる。
【0048】
他方、後者の場合、流用コンピュータからDEC21に対して公開鍵(CPU−PK)が送信されてくることないので、DECは、CPU−PKエリア25上に公開鍵(CPU−PK)が格納されていることを確認して、当該DE2が正規コンピュータ1以外のコンピュータに接続されていると判断して、ハードディスク22の自動消去を行う(S112)。このとき、DEC21は、CPU−PKエリア25の内容を残すので、当該DE2を使用することはできないままとなる。
[保守時]
保守時には、正規コンピュータ1から取り外された保守対象DE2がサービスセンターに持ち込まれ、保守用PC3に接続される。このとき、保守用PC3のオペレータは、正規コンピュータ1のCPU号機番号を調べて、入力装置38を通じて入力する。すると、保守用PC3のCPU31は、入力されたCPU号機番号に対応する公開鍵(CPU−PK)及び秘密鍵の組合せを保守センターサーバ4から取得し(S301〜S303)、RAM32に一時記憶させる。
【0049】
その上で、CPU31は、当該公開鍵(CPU−PK)を保守対象DE2に送信するが(S002)、保守対象DE2のハードディスク22には、正規コンピュータ1固有の公開鍵(CPU−PK)が既に格納されているので、上書きはなされない。続いて、DEC21は、CPU−PKエリア25に書き込まれた正規コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24を暗号化し(S106)、暗号化されたDE−ID24を保守用PCのCPU31に送信する(S107)。すると、CPU31は、受信した暗号化DE−ID24を当該コンピュータ1固有の秘密鍵によって復号し(S004)、応答する(S005)。応答されたDE−IDは、暗号化前のDE−IDと当然に一致するので、DEC21は、ハードディスク22の自動消去を行わない。そのため、保守用PC3を用いたDE2に対する保守作業が、以後、可能となるのである。
<利点>
上述したことから明らかなように、本実施形態による記憶媒体自動消去システムによれば、一旦正規コンピュータ1に接続されたDE2が、他の流用コンピュータに接続された
場合には、当該DE2内のハードディスク22内の情報がCPU−PKエリア25を除いて全て自動消去されるので、情報漏洩の問題が生じない。それにも拘わらず、保守のためにDE2を正規コンピュータ1から取り外して保守用コンピュータ3に接続する場合には、保守用PC3のCPU31が、保守センターサーバ4から正規コンピュータの公開鍵(CPU−PK)及び秘密鍵を取得して、あたかも正規コンピュータ1の如く振る舞うので、保守対象DE2内のハードディスク22内の情報が自動消去されてしまうことが防止される。
<応用1>
上記例では、DE2内にはハードディスク22が収容されているが、このハードディスク22は複数個からなるディスクアレイ構造となっていても良い。また、大容量記憶媒体であれば、ハードディスク22に替えることができる。例えば、フラッシュメモリが記憶媒体であっても良い。また、コンピュータ1のCPU12とDE2とのインタフェースは、コネクタの形態を持つものでなくても良く、例えば、電磁波を通じて無線通信するものであっても良い。また、保守用PC3は、正規コンピュータ1固有の秘密鍵を一時記憶する必要があるものの、保守対象DE2のハードディスク22のCPU−PKエリア25には既に正規コンピュータ1の公開鍵(CPU−PK)が格納されているので、正規コンピュータ1固有の公開鍵を有することは必ずしも必要ではなく、最小限、S103にて公開鍵であるとの判定がなされる形態を有するダミーの鍵を送信できれば良い。よって、保守契約締結CPU管理テーブル48においても、公開鍵を保持することは必須ではない。また、DEC21によるS106以降の処理の実行タイミングは、上述した起動時における公開鍵の受信後のタイミングに限らず、例えば、通常の使用中においても、所定時間毎に、上記処理を実行しても良い。要は、一旦コンピュータ1固有の公開鍵を記憶した後であれば良い。DEC21は、S107での送信後所定時間経過してもコンピュータ1が復号化されたDE−IDを送信して来ない場合には、S108をスキップして、S109において“NO”との判断を行うことにより、S110での消去を行っても良い。
<応用2>
一旦正規コンピュータに接続されたDEを、再度、流通市場に戻す、あるいは、社内で流用する場合がある。この場合、自動消去処理が動作した後にCPU−PKエリア25に前の正規コンピュータのCPU−PKが残っているため、そのままでは、流用できない。この問題を解決するために、CPU側のプログラムに再利用モードを追加してもよい。この場合、正規コンピュータに接続中に再利用モードを起動してもよいし、上記再利用化処理を保守センターで集中して行うことをルール化するのであれば、保守センターの保守用CPUに再利用モードのプログラムを容易すればよい。すなわち、再利用させるために保守センターに持ち込まれたDEは、保守用CPUに接続される。該保守用CPUのDE保守プログラム35は再利用モードで起動され、前記、DE保守プログラムの動作ののち、CPU−PKエリアを含む全領域の消去を行う。この機能により、正規の手続を経た場合は、再度、市場に出したり、社内で再利用したりすることができるが、盗用あるいは非正規の流用については、CPU−PKが残っているために再利用できなくなり、DEの盗難あるいは非正規の流用を抑止することができる。
【0050】
図8に、本応用例による再利用モードのDE保守プログラムを示す。当該図8を図4と比較すれば明らかなように、当該再利用モードのDE保守プログラムは、図4に示す処理を行った後に、S006において、保守時のプログラムにCPU−PKエリアを含む全領域の消去処理を実行するものである。
【符号の説明】
【0051】
1 コンピュータ
2 DE
3 保守用PC
4 保守センターサーバ
12 CPU
13 ROM
14 ディスク正当性確認部
15 ディスク正当性確認プログラム
16 公開鍵/秘密鍵
17 コネクタ
21 DEC
22 ハードディスク
23 CPU正当性確認部
24 DE−ID
25 CPU−PKエリア
26 コネクタ
31 CPU
32 RAM
33 ハードディスク
34 保守対象CPUの公開鍵/秘密鍵
35 DE保守プログラム
38 入力装置
41 CPU
43 ハードディスク
44 DE保守管理部
48 保守契約締結CPU管理テーブル
【技術分野】
【0001】
本発明は、コンピュータに外部記憶装置として装着されて使用されるとともに流用時に記憶内容を自律的に消去する機能を有する記憶媒体ユニット,及び、かかる記憶媒体ユニット及び該記憶媒体ユニットと協働して動作するコンピュータを含む記憶媒体自動消去システムに関する。
【背景技術】
【0002】
コンピュータに外部記憶装置として装着されるハードディスク等の記憶媒体には、様々な情報が蓄積されるので、正規のアクセス権限を有する者以外の不正取得者によって内部記憶情報が読み出されないように、漏洩防止の仕組みが必要とされる。特に、記憶媒体を収容した記憶媒体ユニットが紛失・盗難された場合にも、不正取得者によって内部記憶情報が読み出されないようにするために、記憶媒体ユニット単体で情報漏洩を防止できる仕組みが必要となる。
【0003】
そのため、従来、記憶媒体ユニットが単体で紛失・盗難されたときに、不正取得者が当該記憶媒体にアクセスしようとすると、記憶媒体ユニット内のコントロール装置が自動的に当該記憶媒体ユニット内の記憶媒体の記憶情報を消去する技術が、種々提案されている(特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008-129744号公報
【特許文献2】特開2002-318727号公報
【特許文献3】特開2006-243957号公報
【特許文献4】特開2006-270281号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上述した従来技術によると、予め特定されたコンピュータ以外のコンピュータに記憶媒体ユニットが接続された場合には、常に、記憶媒体の記憶情報が消去されてしまう。そのため、例えば、記憶媒体ユニットに生じた障害を保守するために記憶媒体ユニットが単体で保守センター等に持ち込まれた場合であっても、当該記憶媒体ユニットが保守用PCに接続されることに因って、当該記憶媒体ユニット内の記憶媒体の内部記憶情報が消去されてしまうという問題が生じる。
【0006】
この場合、保守センタのサーバ内に当該記憶媒体ユニット用の認証情報をその識別情報に合わせて記憶しておき、保守センターのサーバに接続された記憶媒体ユニットの識別情報を認識して、これに対応した認証情報を記憶媒体ユニットに通知することにより、記憶媒体ユニットに認証を行わしめる構成が考えられるが、保守センタのサーバに、あらゆる記憶媒体ユニット用の認証情報を保持しておかなければならないので、現実的でないばかりか、却って、かかる認証情報を一括保持していることに因り、セキュリティ上の問題を生じてしまう。
【0007】
そこで、本案の課題は、記憶媒体ユニットの識別情報を用いることなく、正規のコンピュータ以外のコンピュータに接続された場合には記憶媒体中の記憶情報を消去できるが、保守用PCに接続された場合には記憶情報が消去されない記憶媒体ユニット,及び、かかる記憶媒体ユニットを含む記憶媒体自動消去システムを、提供することである。
【課題を解決するための手段】
【0008】
本案では、記憶媒体を内蔵する記憶媒体ユニットに、当該記憶媒体上の記憶内容を消去するためのコントローラを内蔵させた。このコントローラは、インタフェースを通じてコンピュータと通信可能であり、固有の識別子を保持する識別子保持部,及び、記憶媒体上の記憶内容を消去するための記憶媒体消去部を備えている。記憶媒体消去部は、コンピュータに対して当該コンピュータ固有の暗号化用鍵を要求し、当該要求に応じて前記コンピュータが応答した暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化し、暗号化された識別子を前記コンピュータ固有の復号化用鍵を用いて復号化することによって得られた情報を応答することを前記コンピュータに要求し、当該要求に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する。
【0009】
従って、固有の暗号化用鍵と復号化用鍵との組合せを格納しているとともに、記憶媒体ユニットからの暗号化用鍵の要求に応じて、保持している暗号化用鍵を応答する処理,及び、記憶媒体ユニットからの復号化の要求に応じて、保持している復号化用鍵を用いて、記憶媒体消去部によって暗号化された識別子を復号化して、記憶媒体ユニットに応答する処理を実行する機能を備えたコンピュータに、当該記憶媒体ユニットを接続させれば、当該コンピュータ固有の公開鍵が記憶媒体ユニットのコントローラ(記憶媒体消去部)によって記憶されるので、以後、当該コンピュータに当該記憶媒体ユニットが接続されている限り、記憶媒体ユニットのコントローラ(記憶媒体消去部)が記憶媒体の記憶内容を消去することはない。
【0010】
その後、記憶媒体ユニットが、上記機能を有する別のコンピュータ(以下、「流用コンピュータ」という)に接続された場合、記憶媒体ユニットのコントローラ(記憶媒体消去部)が、暗号化した識別子の復号化を流用コンピュータに要求しても、流用コンピュータ固有の復号化要鍵は、当該識別子の暗号化に用いられた暗号化用鍵とは対応していないので、復号化によって得られた情報は、暗号化前の識別子とは不一致となる。よって、記憶媒体ユニットのコントローラ(記憶媒体消去部)は、記憶媒体の記憶内容を消去する。
【0011】
他方、記憶媒体ユニットを、上記コンピュータ固有の復号化用鍵を書換自在に保持するとともに、上記機能を有する保守用コンピュータに接続した場合、当該保守用コンピュータのオペレータが事前に上記コンピュータ固有の復号化用鍵を当該保守用コンピュータに入力することにより、当該保守用コンピュータは、上記コンピュータと同様に振る舞うことができるので、記憶媒体ユニットのコントローラ(記憶媒体消去部)が記憶媒体の記憶内容を消去しまうことがない。
【発明の効果】
【0012】
本案によると、記憶媒体ユニットの識別情報を用いる必要がないにも拘わらず、正規のコンピュータ以外のコンピュータに接続された場合には記憶媒体中の記憶情報を消去できるが、記憶媒体ユニットが保守用PCに接続された場合には、記憶媒体上の記憶情報が消去されてしまうことを防止することができる。
【図面の簡単な説明】
【0013】
【図1】コンピュータ及びDEの構成を示すブロック図
【図2】保守用PC,DE及び保守センターサーバの構成を示すブロック図
【図3】保守契約締結CPU管理テーブルのデータ構造を示す表
【図4】ディスク正当性確認プログラムによる処理を示すフローチャート
【図5】CPU正当性確認部による処理を示すフローチャート
【図6】販売管理部による処理を示すフローチャート
【図7】DE保守管理部による処理を示すフローチャート
【図8】応用例におけるディスク正当性確認プログラムによる処理を示すフローチャート
【発明を実施するための形態】
【0014】
以下、図面に基づいて、本案の実施の形態を説明する。
<販売形態>
本実施形態において想定されるコンピュータの販売形態においては、コンピュータシステムの販売会社又は製造会社における例えば顧客管理部門の拠点に設置された一台のサーバ(図2に示す保守センターサーバ4)に、当該販売会社又は製造会社と保守契約を締結した顧客及び保守契約の対象となったコンピュータ1に関する販売管理情報(即ち、各販売されたコンピュータ毎に、コンピュータ自体の識別番号(CPU号機番号),購入した顧客の住所,氏名,電子メールアドレス等を一覧した表)47が記録される。かかる販売管理情報は、例えば、コンピュータを顧客に販売した営業担当者によって営業用の端末から入力されるか、コンピュータを購入した顧客によってネットワークを通じて直接入力されるか、顧客からの保守契約申込書に記載された情報に基づいて顧客サービス担当者によって端末を通じて入力される。なお、以後の説明では、コンピュータを顧客に「販売」するとの表現が用いられるが、本案は、コンピュータが売買される場合に適用が限定されるものではなく、コンピュータが無償譲渡される場合,貸借される場合にも、適用可能なものである。
<販売されるコンピュータの構成>
図1は、本実施形態において顧客に販売(無償譲渡又は貸借も含まれる)されるコンピュータ(記憶媒体自動消去システム)の構成を示すブロック図である。この図1に示すように、筐体内に固定されたマザーボード10上に設けられたコネクタ17に、記憶媒体ユニットとしての磁気ディスク装置(以下、「DE:Disk Enclosure」2という)を、着脱自在に接続できるように、構成されている。当該コンピュータの筐体には、DE2を収容できるスロットが設けられており、このスロットにDE2を挿入することにより、当該DE2の背面に設けたれたコネクタが、上記マザーボード10上のコネクタ17に、接続されるようになっている。なお、DE2は、コンピュータ1に内蔵された状態でセット販売される場合もあるし、コンピュータ1とは別売される場合もある。また、DE2は、使用途中において新規のものと交換される場合もある。また、マザーボード10上には、複数のコネクタ17が設けられている場合もある。
【0015】
マザーボード10上には、CPU12,ROM13,RAM11等の回路部品が設置されており、これら回路部品は、上記コネクタ17にも接続されたバスBを通じて相互に接続されている。
【0016】
ROM13は、図示せぬBIOS(Basic Input/Output System)プログラム等のCP
U12の基本動作を制御するためのプログラムを格納するための記憶媒体であり、例えば、フラッシュメモリのような書換自在な不揮発性メモリから構成されている。本例においては、このROM13内に、本例によるDE2に対応した専用ドライバプログラムであるディスク正当性確認プログラム15及び当該コンピュータ1に固有の公開鍵/秘密鍵16が、格納されている。なお、この公開鍵/秘密鍵16は、当該コンピュータ1が製造会社又は販売会社によって販売された際に、一意のものとして付与された秘密鍵(復号化用鍵)と公開鍵(暗号化用鍵)との組合せであり、保守センターサーバ4内において、当該秘密鍵及び公開鍵のコピーが管理されている。
【0017】
RAM11は、CPU12による作業領域が展開される主記憶装置である。
【0018】
CPU12は、ROM13から図示せぬBIOSプログラムを、DE2内のハードディスク22から図示せぬOS(Operation system)プログラム及び各種アプリケーションプログラムを、夫々読み込んで、これらプログラムに従って本来の業務処理を実行する中央処理装置である。また、CPU12は、ROM13からディスク正当性確認プログラム15を読み込むことによって、ディスク正当性確認部14の機能を生じ、DE2内の後述するDEC21と協働した正当性確認処理を実行する。
【0019】
DE2は、記憶媒体としてのハードディスク22及びコントローラ(以下、「DEC:Disk Enclosure Controller」21という)をパッケージ内に内蔵してなるユニットであ
る。DEC12の内部では、上述したコネクタ26,ハードディスク22及びDEC21が、バスBを通じて相互に接続されている。
【0020】
ハードディスク6には、上述したOSプログラムやアプリケーションプログラム等の通常業務用のプログラムが格納されている他、コンピュータ1のCPU12から送信されてくる公開鍵(CPU−PK)16を格納保持するための領域(以下、「CPU−PKエリア25」という)が、確保されている。
【0021】
DEC21は、CPU及び当該CPUによって実行されるプログラムを格納したメモリ(識別子保持部)から構成されたCPU正当性確認部(記憶媒体消去部)23,及びメモリから構成されるDE−ID保持部24を備える。DE−ID保持部24には、当該DE4の製造会社によって生成された一意の識別番号であるDE−IDが、当該DE2の工場出荷時に書き込まれている。但し、当該DE−ID自体は、保守センターサーバ4によって管理されていない。
<保守用PC及び保守センターサーバ4の構成>
図2は、上記DE2の保守(例えば、ハードディスク22に格納されているプログラムやデータの修正,更新,復旧答)を行うために、製造会社又は販売会社のサービスセンター等の拠点に設置された保守用PC3及び保守センターサーバ4の構成を示すブロック図である。
【0022】
この図2に示すように、保守用PC3は、相互にバスBを通じて接続されたCPU31,RAM32,ハードディスク33,コネクタ37,入力装置38及び通信アダプタ36を有している。
【0023】
通信アダプタ36は、ネットワークNを通じて保守センターサーバ4に接続されたネットワークインタフェースである。
【0024】
CPU3,RAM32,ハードディスク33,コネクタ37の基本的な機能は、上述したコンピュータ1のものと同じである。但し、ハードディスク32には、DE2に対する保守を実行するためのDE保守プログラム35が格納されている。また、RAM32には、DE保守プログラム35を実行しているCPU31が、通信アダプタ36を通じて保守センターサーバ4から受け取った、保守対象DE2に対応したコンピュータ1についての公開鍵及び秘密鍵34が、一時記憶される。入力装置38が、オペレータによって操作されることにより、CPU31に各種コマンド及びデータを入力するキーボード.ポインティングデバイス等である。
【0025】
保守センターサーバ4は、相互にバスBを通じて接続されたCPU41,ハードディスク43及び通信アダプタ49を有している。
【0026】
通信アダプタ49は、ネットワークNを通じて保守センターサーバ4に接続されたネットワークインタフェースである。
【0027】
ハードディスク43には、CPU41に読み出されて実行される各種プログラム46及び上述した販売管理情報47が格納されている。販売管理情報47内には、更に、各コンピュータ1のCPU号機番号に夫々対応させて上記公開鍵及び秘密鍵の組合せを一覧したテーブル(保守契約締結CPU管理テーブル48,図3参照)が、含まれている。
【0028】
CPU41は、ハードディスク43からプログラム46を選択的に読み出して実行することにより、DE保守管理部44の機能,及び、販売管理部45の機能を生じる。販売管理部45の機能は、上述したように、販売されたコンピュータ1についての販売管理情報47をハードディスク43内に保存する機能である。また、DE保守管理部44の機能とは、保守用PC3からの要求に応じて、指定されたCPU号機番号に対応した公開鍵及び秘密鍵の組合せを応答する機能である。
<処理内容>
以下、ディスク正当性確認プログラム15に応じてコンピュータ1のCPU12(ディスク正当性確認部)が実行する処理,DEC21のCPU正当性確認部23が実行する処理,DE保守プログラム35に従って保守用PC3が実行する処理,及び、保守センターサーバ4のCPU41(DE保守管理部44,販売管理部45)が実行する処理を、説明する。
[ディスク正当性確認プログラムによる処理]
図4は、ディスク正当性確認プログラム15に応じてコンピュータ1のCPU12が実行する処理を概略的に示すフローチャートである。当該処理は、図示せぬOSによる制御下で、CPU12の起動時に自動的にスタートする。
【0029】
スタート後最初のS001では、CPU12は、コネクタ17の先に接続されたDE2に電源を投入する。
【0030】
次のS002では、CPU12は、DE2からの要求(S102)を待ち、要求があると、ROM13に格納している当該コンピュータ1に固有の公開鍵(CPU−PK)を、DE2に応答する。
【0031】
CPU12は、次のS003において、DE2からの暗号化DE−IDの通知(S107)を待ち、暗号化DE−IDを受信すると、次の004において、受信した暗号化DE−IDを、ROM13に格納している当該コンピュータ1に固有の秘密鍵により復号化する。
【0032】
次のS005では、CPU12は、S005にて復号化したDE−IDを、DE2に応答する。
[DE保守プログラムによる処理]
図5は、DEC21のCPU正当性確認部23が実行する処理を示すフローチャートである。当該処理は、コネクタ26及びバスBを通じてコンピュータ1側から主電源が供給されることにより、スタートする。そして、スタート後最初のS101において、CPU正当性確認部23がハードディスク43に主電源を投入する。
【0033】
次のS102では、DEC21は、コネクタ26の先に接続されているコンピュータに対して、固有の公開鍵(CPU−PK)を要求する。
【0034】
次のS103では、DEC21は、コネクタ26の先に接続されているコンピュータから固有の公開鍵(CPU−PK)の応答が一定時間内にあったか否かをチェックする。そして、応答がなければ、コネクタ26の先に接続されているコンピュータにはディスク正当性確認プログラム15が備えられていない為に、ハードディスク43の自動消去機能に
対応していないと判断して、処理をS111へ進める。
【0035】
これに対して、固有の公開鍵(CPU−PK)の応答があれば、コネクタ26の先に接続されているコンピュータは、ディスク正当性確認プログラム15が備えられているハードディスク43の自動消去機能に対応したコンピュータ1であると判断して、処理をS104へ進める。
【0036】
S104では、DEC21は、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているか否かをチェックする。そして、DEC21は、CPU−PKエリア25が空であれば、当該DEを新規購入後最初に使用する状況であると判断して、S105においてコンピュータ100から受信した固有の公開鍵(CPU−PK)をCPU−PKエリア25に書き込んだ後に、処理をS106へ進める。
【0037】
これに対して、DEC21は、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているのであれば、当該DE2を最初に使用する状況ではないと判断して、処理をそのままS106へ進める。
【0038】
S106では、DEC21は、CPU−PKエリア25内の公開鍵(CPU−PK)によりDE−ID24を暗号化する。
【0039】
次のS107では、DEC21は、S106にて暗号化したDE−ID24を、コンピュータ1のCPU12へ送信する。
【0040】
次のS108では、DEC21は、コンピュータ1のCPU12が固有の秘密鍵により復号化(S004)することによって得られるDE−ID相当のデータを送信(S005)してくるのを待つ。そして、復号化したDE−ID相当のデータを受信すると、DEC21は、処理をS109へ進める。
【0041】
次のS109では、DEC21は、108にて受信したデータが、DEC21内に保管されているDE−ID24と一致しているかどうかをチェックする。そして、両者が一致している場合には、DEC21は、当該DE2が(新規購入後,ないし、一旦ハードディス22が消去された後)最初に接続されたコンピュータ1に、現在も接続されているのであると判断して、処理をそのまま終了する。これに対して、両者が一致していない場合には、DEC21は、当該DE2が新規購入後最初に接続されたコンピュータ1とは別のコンピュータ1に現在接続されているのであると判断して、S110において、CPU−PKエリア25を除くハードディスク22内の全データを消去した後に、処理を終了する。
【0042】
一方、コネクタ26の先に接続されているコンピュータから固有の公開鍵(CPU−PK)の応答が一定時間内になかったとS103にて判断した場合には、DEC21は、S11にて、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているか否かをチェックする。そして、DEC21は、CPU−PKエリア25が空であれば、当該DE2を新規購入後最初に使用する状況であると判断して、処理をそのまま終了する。これに対して、ハードディスク22内のCPU−PKエリア25に既に何れかの公開鍵が格納されているのであれば、当該DE2が新規購入後最初に接続されたディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータ1とは別のコンピュータに、現在接続されているのであると判断して、S110において、CPU−PKエリア25を除くハードディスク22内の全データを消去した後に、処理を終了する。
[DE保守プログラムによる処理]
DE保守プログラム35に従って保守用PC3のCPU31が実行する処理は、当該保
守用PC3のCPU31が、ディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータ1として振る舞うための処理である。そのため、CPU31は、オペレータにより、入力装置38を通じて、保守対象DE2に常時接続されているコンピュータ1のCPU号機番号が入力されると、このCPU号機番号を保守センターサーバ4へ送信する。そして、当該CPU号機番号に対応して保守契約締結CPU管理テーブル48に登録されている秘密鍵及び公開鍵の組合せが、保守センターサーバ4から送られて来ると(S303)、当該公開鍵及び秘密鍵34をRAM32に一時記憶した上で、図4に示す処理を実行する。
[販売管理部による処理]
図6は、保守センターサーバ4のCPU41が、プログラム46に基づいて販売管理部45として実行する処理である。図6に示されるように、販売管理部45は、上述したようにして、当該製造会社又は販売会社と保守契約を締結したユーザが登録を求めたコンピュータ1のCPU号機番号,公開鍵(CPU−PK),秘密鍵が入力されると(S201)、S202において、入力されたCPU号機番号,公開鍵(CPU−PK),秘密鍵を相互に対応付けて、保守契約締結CPU管理テーブル48に登録する。
[DE保守管理部による処理]
図7は、保守センターサーバ4のCPU41が、プログラム46に基づいてDE保守管理部44として実行する処理である。図7に示されるように、DE保守管理部44は、保守用PC3のCPU31からCPU号機番号を指定した要求を受信すると(S301)、S302において、保守契約締結CPU管理テーブル48から、受信したCPU号機番号に対応した公開鍵(CPU−PK)及び秘密鍵の組合せを取得する。そして、DE保守管理部44は、次のS303において、取得した公開鍵(CPU−PK)及び秘密鍵の組合せを、要求元の保守用PC3に応答する。
<動作>
以下、本例による記憶媒体自動消去システムの動作を、通常使用時,盗用時,及び保守時に分けて、夫々説明する。
[通常使用時]
先ず、コンピュータ1の保守契約が製造会社又は販売会社と顧客との間で締結されると、そのコンピュータ1のCPU号機番号,公開鍵(CPU−PK)及び秘密鍵が、保守センターサーバ4の保守契約締結CPU管理テーブル48に登録される。
【0043】
新規購入したコンピュータ1を最初に起動した場合、若しくは、既に購入済みのコンピュータ1に新規購入のDE2を装填して起動すると、当該コンピュータ1に固有の公開鍵(CPU−PK)が、DE2のハードディスク22上のCPU−PKエリア25に書き込まれる(S002,S102,S105)。
【0044】
そのため、以後、コンピュータ1を起動する毎に、CPU−PKエリア25に書き込まれた当該コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24が暗号化され(S106)、暗号化されたDE−ID24が当該コンピュータ1において固有の秘密鍵によって復号されて(S004)、応答される(S005)。よって、DE2が当該コンピュータ1に接続されているのであれば、暗号化前のDE−IDと復号化後のDE−IDとは一致するので、DEC21は、当該DE2が正規のコンピュータ1に接続されているのであるとして、ハードディスク22の自動消去を行わない。
【0045】
なお、新規購入されたDE2が、ディスク正当性確認プログラム15を備えていないコンピュータに接続された場合、コンピュータからDEC21に対して公開鍵(CPU−PK)が送信されてくることないので、DEC21は、CPU−PKエリア25上に公開鍵(CPU−PK)が格納されていないことを確認した上で、当該DE2が当該記憶媒体自動消去システムの対象外であるとして、ハードディスク22の自動消去を行わない。
[盗用時]
DE2が最初に接続されたコンピュータ(以下、「正規コンピュータ」という)1から当該DE2のみが盗難紛失し、無権限の取得者によって、正規コンピュータ1以外のコンピュータ(以下、「流用コンピュータ」という)に接続された場合、当該DE2が接続された流用コンピュータが、ディスク正当性確認プログラム15を備えたハードディスク22の自動消去機能対応のコンピュータである場合と、それ以外のコンピュータである場合とで、処理が異なる。
【0046】
前者の場合、当該DE2のハードディスク22上のCPU−PKエリア25上には、既に正規コンピュータ1の公開鍵(CPU−PK)が格納されているので、流用コンピュータの公開鍵(CPU−PK)が上書きされることはない。
【0047】
そして、DEC21は、通常使用時と同様に、CPU−PKエリア25に書き込まれた正規コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24が暗号化するが(S106)、暗号化されたDE−ID24は流用コンピュータ1において流用コンピュータ固有の秘密鍵によって復号されるので(S004)、暗号化前のDE−IDと復号化後のDE−IDとは一致しない。よって、DEC21は、当該DE2が正規コンピュータ1以外のコンピュータに接続されていると判断して、ハードディスク22の自動消去を行う(S110)。このとき、DEC21は、CPU−PKエリア25の内容を残すので、当該DE2を使用することはできないままとなる。
【0048】
他方、後者の場合、流用コンピュータからDEC21に対して公開鍵(CPU−PK)が送信されてくることないので、DECは、CPU−PKエリア25上に公開鍵(CPU−PK)が格納されていることを確認して、当該DE2が正規コンピュータ1以外のコンピュータに接続されていると判断して、ハードディスク22の自動消去を行う(S112)。このとき、DEC21は、CPU−PKエリア25の内容を残すので、当該DE2を使用することはできないままとなる。
[保守時]
保守時には、正規コンピュータ1から取り外された保守対象DE2がサービスセンターに持ち込まれ、保守用PC3に接続される。このとき、保守用PC3のオペレータは、正規コンピュータ1のCPU号機番号を調べて、入力装置38を通じて入力する。すると、保守用PC3のCPU31は、入力されたCPU号機番号に対応する公開鍵(CPU−PK)及び秘密鍵の組合せを保守センターサーバ4から取得し(S301〜S303)、RAM32に一時記憶させる。
【0049】
その上で、CPU31は、当該公開鍵(CPU−PK)を保守対象DE2に送信するが(S002)、保守対象DE2のハードディスク22には、正規コンピュータ1固有の公開鍵(CPU−PK)が既に格納されているので、上書きはなされない。続いて、DEC21は、CPU−PKエリア25に書き込まれた正規コンピュータ1に固有の公開鍵(CPU−PK)により、当該DE2中のDEC21に格納されたDE−ID24を暗号化し(S106)、暗号化されたDE−ID24を保守用PCのCPU31に送信する(S107)。すると、CPU31は、受信した暗号化DE−ID24を当該コンピュータ1固有の秘密鍵によって復号し(S004)、応答する(S005)。応答されたDE−IDは、暗号化前のDE−IDと当然に一致するので、DEC21は、ハードディスク22の自動消去を行わない。そのため、保守用PC3を用いたDE2に対する保守作業が、以後、可能となるのである。
<利点>
上述したことから明らかなように、本実施形態による記憶媒体自動消去システムによれば、一旦正規コンピュータ1に接続されたDE2が、他の流用コンピュータに接続された
場合には、当該DE2内のハードディスク22内の情報がCPU−PKエリア25を除いて全て自動消去されるので、情報漏洩の問題が生じない。それにも拘わらず、保守のためにDE2を正規コンピュータ1から取り外して保守用コンピュータ3に接続する場合には、保守用PC3のCPU31が、保守センターサーバ4から正規コンピュータの公開鍵(CPU−PK)及び秘密鍵を取得して、あたかも正規コンピュータ1の如く振る舞うので、保守対象DE2内のハードディスク22内の情報が自動消去されてしまうことが防止される。
<応用1>
上記例では、DE2内にはハードディスク22が収容されているが、このハードディスク22は複数個からなるディスクアレイ構造となっていても良い。また、大容量記憶媒体であれば、ハードディスク22に替えることができる。例えば、フラッシュメモリが記憶媒体であっても良い。また、コンピュータ1のCPU12とDE2とのインタフェースは、コネクタの形態を持つものでなくても良く、例えば、電磁波を通じて無線通信するものであっても良い。また、保守用PC3は、正規コンピュータ1固有の秘密鍵を一時記憶する必要があるものの、保守対象DE2のハードディスク22のCPU−PKエリア25には既に正規コンピュータ1の公開鍵(CPU−PK)が格納されているので、正規コンピュータ1固有の公開鍵を有することは必ずしも必要ではなく、最小限、S103にて公開鍵であるとの判定がなされる形態を有するダミーの鍵を送信できれば良い。よって、保守契約締結CPU管理テーブル48においても、公開鍵を保持することは必須ではない。また、DEC21によるS106以降の処理の実行タイミングは、上述した起動時における公開鍵の受信後のタイミングに限らず、例えば、通常の使用中においても、所定時間毎に、上記処理を実行しても良い。要は、一旦コンピュータ1固有の公開鍵を記憶した後であれば良い。DEC21は、S107での送信後所定時間経過してもコンピュータ1が復号化されたDE−IDを送信して来ない場合には、S108をスキップして、S109において“NO”との判断を行うことにより、S110での消去を行っても良い。
<応用2>
一旦正規コンピュータに接続されたDEを、再度、流通市場に戻す、あるいは、社内で流用する場合がある。この場合、自動消去処理が動作した後にCPU−PKエリア25に前の正規コンピュータのCPU−PKが残っているため、そのままでは、流用できない。この問題を解決するために、CPU側のプログラムに再利用モードを追加してもよい。この場合、正規コンピュータに接続中に再利用モードを起動してもよいし、上記再利用化処理を保守センターで集中して行うことをルール化するのであれば、保守センターの保守用CPUに再利用モードのプログラムを容易すればよい。すなわち、再利用させるために保守センターに持ち込まれたDEは、保守用CPUに接続される。該保守用CPUのDE保守プログラム35は再利用モードで起動され、前記、DE保守プログラムの動作ののち、CPU−PKエリアを含む全領域の消去を行う。この機能により、正規の手続を経た場合は、再度、市場に出したり、社内で再利用したりすることができるが、盗用あるいは非正規の流用については、CPU−PKが残っているために再利用できなくなり、DEの盗難あるいは非正規の流用を抑止することができる。
【0050】
図8に、本応用例による再利用モードのDE保守プログラムを示す。当該図8を図4と比較すれば明らかなように、当該再利用モードのDE保守プログラムは、図4に示す処理を行った後に、S006において、保守時のプログラムにCPU−PKエリアを含む全領域の消去処理を実行するものである。
【符号の説明】
【0051】
1 コンピュータ
2 DE
3 保守用PC
4 保守センターサーバ
12 CPU
13 ROM
14 ディスク正当性確認部
15 ディスク正当性確認プログラム
16 公開鍵/秘密鍵
17 コネクタ
21 DEC
22 ハードディスク
23 CPU正当性確認部
24 DE−ID
25 CPU−PKエリア
26 コネクタ
31 CPU
32 RAM
33 ハードディスク
34 保守対象CPUの公開鍵/秘密鍵
35 DE保守プログラム
38 入力装置
41 CPU
43 ハードディスク
44 DE保守管理部
48 保守契約締結CPU管理テーブル
【特許請求の範囲】
【請求項1】
インタフェースを通じてコンピュータと接続され外部記憶装置として用いられる記憶媒体ユニットにおいて、
前記インタフェースを通じて前記コンピュータからアクセスされる記憶媒体と、
前記インタフェースを通じて前記コンピュータと通信可能なコントローラであって、固有の識別子を保持する識別子保持部,及び、前記コンピュータから取得した当該コンピュータ固有の暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化して前記コンピュータに送信し、当該送信に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する記憶媒体消去部とを有するコントローラとを
備えたことを特徴とする記憶媒体ユニット。
【請求項2】
前記記憶媒体には、前記暗号化用鍵を保持する領域が確保されているとともに、
前記記憶媒体消去部は、前記コンピュータが応答した暗号化用鍵を前記記憶媒体の前記領域に記憶し、前記記憶媒体の記憶内容を消去する際には、前記領域以外の領域を初期化する
ことを特徴とする請求項1記載の記憶媒体ユニット。
【請求項3】
前記記憶媒体消去部は、何れのコンピュータ固有の暗号化用鍵も記憶していない場合に限り、前記コンピュータから受信した当該コンピュータ固有の暗号化用鍵を記憶する
ことを特徴とする請求項1又は2記載の記憶媒体ユニット。
【請求項4】
前記記憶媒体消去部は、前記要求に応じて前記コンピュータが前記暗号化用鍵を送信してこない場合には、既に何れかのコンピュータの暗号化用鍵を記憶していれば前記記憶媒体の記憶内容を消去する
ことを特徴とする請求項1又は2記載の記憶媒体ユニット。
【請求項5】
外部記憶装置を接続可能なインタフェースを備えたコンピュータと、インタフェースを通じて当該コンピュータと接続され外部記憶装置として用いられる記憶媒体ユニットとを有する記憶媒体自動消去システムにおいて、
前記記憶媒体ユニットは、
前記インタフェースを通じて前記コンピュータからアクセスされる記憶媒体と、
前記インタフェースを通じて前記コンピュータと通信可能なコントローラであって、固有の識別子を保持する識別子保持部,及び、前記コンピュータから取得した当該コンピュータ固有の暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化して前記コンピュータに送信し、当該送信に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する記憶媒体消去部とを有するコントローラとを備え、
前記コンピュータは、
CPUと、
固有の暗号化用鍵と復号化用鍵との組合せを格納している記憶部と、
前記CPUに対して、前記暗号化用鍵を送信する処理,及び、前記記憶媒体ユニットからの前記暗号化された識別子の受信に応じて、当該復号化用鍵を用いて当該暗号化された識別子を復号化して、前記記憶媒体ユニットに応答する処理を実行させる制御部とを備えた
ことを特徴とする記憶媒体自動消去システム。
【請求項1】
インタフェースを通じてコンピュータと接続され外部記憶装置として用いられる記憶媒体ユニットにおいて、
前記インタフェースを通じて前記コンピュータからアクセスされる記憶媒体と、
前記インタフェースを通じて前記コンピュータと通信可能なコントローラであって、固有の識別子を保持する識別子保持部,及び、前記コンピュータから取得した当該コンピュータ固有の暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化して前記コンピュータに送信し、当該送信に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する記憶媒体消去部とを有するコントローラとを
備えたことを特徴とする記憶媒体ユニット。
【請求項2】
前記記憶媒体には、前記暗号化用鍵を保持する領域が確保されているとともに、
前記記憶媒体消去部は、前記コンピュータが応答した暗号化用鍵を前記記憶媒体の前記領域に記憶し、前記記憶媒体の記憶内容を消去する際には、前記領域以外の領域を初期化する
ことを特徴とする請求項1記載の記憶媒体ユニット。
【請求項3】
前記記憶媒体消去部は、何れのコンピュータ固有の暗号化用鍵も記憶していない場合に限り、前記コンピュータから受信した当該コンピュータ固有の暗号化用鍵を記憶する
ことを特徴とする請求項1又は2記載の記憶媒体ユニット。
【請求項4】
前記記憶媒体消去部は、前記要求に応じて前記コンピュータが前記暗号化用鍵を送信してこない場合には、既に何れかのコンピュータの暗号化用鍵を記憶していれば前記記憶媒体の記憶内容を消去する
ことを特徴とする請求項1又は2記載の記憶媒体ユニット。
【請求項5】
外部記憶装置を接続可能なインタフェースを備えたコンピュータと、インタフェースを通じて当該コンピュータと接続され外部記憶装置として用いられる記憶媒体ユニットとを有する記憶媒体自動消去システムにおいて、
前記記憶媒体ユニットは、
前記インタフェースを通じて前記コンピュータからアクセスされる記憶媒体と、
前記インタフェースを通じて前記コンピュータと通信可能なコントローラであって、固有の識別子を保持する識別子保持部,及び、前記コンピュータから取得した当該コンピュータ固有の暗号化用鍵を記憶し、その後、所定のタイミングにて、記憶している前記暗号化用鍵を用いて前記識別子保持部内に保持されている前記識別子を暗号化して前記コンピュータに送信し、当該送信に応じて、前記識別子保持部内に保持されている前記識別子と同一の情報が前記コンピュータから応答されなかった場合に、前記記憶媒体の記憶内容を消去する記憶媒体消去部とを有するコントローラとを備え、
前記コンピュータは、
CPUと、
固有の暗号化用鍵と復号化用鍵との組合せを格納している記憶部と、
前記CPUに対して、前記暗号化用鍵を送信する処理,及び、前記記憶媒体ユニットからの前記暗号化された識別子の受信に応じて、当該復号化用鍵を用いて当該暗号化された識別子を復号化して、前記記憶媒体ユニットに応答する処理を実行させる制御部とを備えた
ことを特徴とする記憶媒体自動消去システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−224613(P2010−224613A)
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願番号】特願2009−68079(P2009−68079)
【出願日】平成21年3月19日(2009.3.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年10月7日(2010.10.7)
【国際特許分類】
【出願日】平成21年3月19日(2009.3.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]