記憶装置、および記憶装置へのアクセスを制御するためのプログラム
【課題】記憶装置へのアクセスを不能化する複数のレベルの保護を与える。
【解決手段】記憶装置(100)は、インタフェース部(110)を介して受け取った認証情報が正当かどうかを判定し、認証情報が正当な場合は、インタフェース部を介した記憶部(134)のデータへのアクセスを可能にする認証部(22)と、インタフェース部を介した記憶部のデータへのアクセスを不能化するアクセス不能化処理部(34)と、記憶部に格納されているデータへのアクセスを不能化するための複数の条件を現在の時間または状態情報が満たすかどうかを判定し、現在の時間または状態情報が複数の条件の中の或る条件を満たす場合に、或る条件に従ってアクセス不能部を動作させる評価部(20)と、を具える。
【解決手段】記憶装置(100)は、インタフェース部(110)を介して受け取った認証情報が正当かどうかを判定し、認証情報が正当な場合は、インタフェース部を介した記憶部(134)のデータへのアクセスを可能にする認証部(22)と、インタフェース部を介した記憶部のデータへのアクセスを不能化するアクセス不能化処理部(34)と、記憶部に格納されているデータへのアクセスを不能化するための複数の条件を現在の時間または状態情報が満たすかどうかを判定し、現在の時間または状態情報が複数の条件の中の或る条件を満たす場合に、或る条件に従ってアクセス不能部を動作させる評価部(20)と、を具える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記憶装置に関し、特に、例えばUSBメモリ(USBフラッシュ・ドライブ)のようなインタフェースを介してアクセス可能な記憶装置に関する。
【背景技術】
【0002】
USB(Universal Serial Bus)メモリを紛失することがある。既知のUSBメモリにおいて、USBメモリの紛失による情報の漏洩を防止するために、例えば、USBメモリにパスワードを用いてロックをかける機能、データ・ファイルを暗号化する機能、パスワード・エラーに応じてデータ・ファイルを消去する機能が、利用可能である。
【0003】
データの不正な利用を抑制できるコンピュータ端末用記憶媒体が知られている。そのような記憶媒体は、コンピュータ端末に着脱可能とされ、そのコンピュータ端末において利用可能なデータを読み出し並びに書換え可能に記憶するための記憶部と、その記憶部にデータが記憶された後における経過期間を特定するための経過期間特定手段と、その経過時間特定手段を少なくとも動作させるための電力を供給するための電源手段と、その経過時間特定手段により特定される経過期間が、予め設定された所定の利用可能期間を経過しているか否かを判定する期間経過判定手段と、その判定において経過していると判定されたことを条件として記憶部に記憶されているデータを利用不能とする不能化手段と、を備えている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−338583号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
発明者は、既知のUSBメモリでは、不正アクセスの発生時にデータ消去を行うが、その消去まではUSBメモリにデータ・ファイルが存在するので、そのデータが漏洩するリスクがある、と認識した。また、発明者は、そのデータ・ファイルが暗号化されていても、ファイル自体が消去されない限り暗号鍵が解析されてそのデータが漏洩するリスクがある、と認識した。
【0006】
また、発明者は、既知の記憶媒体では、指定された時間になったときにデータ・ファイルを上書き消去するので、その消去中は正規のユーザであってもその記憶媒体を利用することができないので不便である、と認識した。
【0007】
発明者は、記憶装置において、記憶装置へのアクセスを不能化する複数レベルの保護と、それぞれの保護を与える複数の時間の設定を可能にすれば、ユーザの利便性を損なうことなくデータの漏洩を効果的に防止することができる、と認識した。
【0008】
本発明の目的は、記憶装置へのアクセスを不能化する複数レベルの保護を与えることができるようにすることである。
【0009】
本発明の別の目的は、記憶装置へのアクセスを不能化するそれぞれの異なる時間に異なる保護を与えることができるようにすることである。
【課題を解決するための手段】
【0010】
本発明の特徴によれば、インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置は、そのインタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と;その不能化処理を特定する不能化識別情報と、その不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と;その設定情報記憶部に格納されているその設定情報を参照し、その設定情報に示されるその条件とその記憶装置の動作状態とを比較し、その設定情報に示されるその条件が充足されるかどうかを判定する判定部と;その判定部によりその条件が充足されると判定された場合、その設定情報に示されるその不能化識別情報により特定されるその不能化処理の実行を指示する不能化制御部と、を具えている。
【発明の効果】
【0011】
本発明の特徴によれば、記憶装置へのアクセスを不能化する複数レベルの保護を与えることができ、記憶装置へのアクセスを不能化するそれぞれの異なる時間に異なる保護を与えることができる。
【0012】
発明の目的および利点は、請求の範囲に具体的に記載された構成要素および組み合わせによって実現され達成される。
前述の一般的な説明および以下の詳細な説明は、典型例および説明のためのものであって、本発明を限定するためのものではない、と理解すべきである。
【図面の簡単な説明】
【0013】
【図1】図1は、本発明の実施形態に用いられる、例えばパーソナル・コンピュータのような情報処理装置または端末と、リムーバブル・メディアまたは可搬記憶媒体としてのUSBメモリとを示している。
【図2】図2は、本発明の実施形態によるUSBメモリの概略的な機器構成または配置を示している。
【図3】図3は、本発明の別の実施形態によるUSBメモリの別の概略的な機器構成または配置を示している。
【図4】図4は、USBメモリにおけるフラッシュ・メモリに格納されるログのフォーマットの例を示している。
【図5】図5は、図2および3のマイクロコンピュータの内部の主要な機能部の機能構成または配置を示している。
【図6A】図6Aおよび6Bは、認証処理部22においていずれかの認証に失敗したときに、USBメモリのマイクロコンピュータによって実行される、データ保護のためのポリシー評価のためのフローチャートの例を示している。
【図6B】(図6Aで説明)
【図7】図7Aは、アクセス不能化ポリシーのフォーマットの例を示している。図7Bは、図7Aのフォーマットにおけるアクセス不能化を生じさせる要因の値の定義の例を示している。図7Cは、図7Aのフォーマットにおけるアクセス不能化方法の値の定義の例を示している。
【図8】図8Aは、要因としての経過時間に対するアクセス不能化方法および閾値のテーブルの例を示している。図8Bは、設定されたアクセス不能化方法および閾値の例を示している。
【図9】図9は、USBメモリのマイクロコンピュータによって使用される状態遷移図を示している。
【図10】図10は、情報処理装置と、USBメモリの間の処理手順を示している。
【図11】図11は、情報処理装置と、USBメモリの間の別の処理手順を示している。
【図12】図12は、情報処理装置と、USBメモリの間におけるUSBメモリの復旧の処理手順を示している。
【図13】図13は、ユーザ用USBメモリ・ユティリティ・プログラムに従って情報処理装置のプロセッサによって実行される、ユーザ認証およびファイル・システム構築のためのフローチャートを示している。
【図14A】図14Aおよび14Bは、管理者用のUSBメモリ・ユティリティ・プログラムに従って情報処理装置のプロセッサによって実行される、アクセスを許容する情報処理装置の識別情報の設定および追加、およびアクセス不能化ポリシーの設定および追加のためのフローチャートを示している。
【図14B】(図14Aで説明)
【図15】図15Aは、図14Aのステップ764において情報処理装置の表示装置に表示される、USBメモリへのアクセスを許容する情報処理装置の識別情報の設定、追加または変更のための管理者用の画面を示している。図15Bは、図14Aのステップ764において情報処理装置の表示装置に表示される、USBメモリにアクセス不能化ポリシーを設定、追加または変更するための管理者用の表示画面を示している。
【図16】図16は、第2の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図17】図17は、第2の実施形態において、図6Aのステップ402の代わりに実行される処理を示すフローチャートである。
【図18】図18は、第3の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図19】図19は、第3の実施形態において、図6Bのステップ424の判断が肯定されたときに、ステップ426の代わりに実行される処理を示すフローチャートである。
【図20】図20は、第4の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図21】図21は、第5の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図22】図22は、第5の実施形態に係るUSBメモリの使用に好適なオフィスを示す図である。
【図23】図23は、第5の実施形態において、図6A,図6Bの処理と並行して行われる処理を示すフローチャートである。
【図24】図24は、第6の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図25】図25は、第6の実施形態におけるRFIDゲートの配置の一例を示す図である。
【図26】図26Aは、RFIDゲートC→B→Aの順に通って、オフィス内にUSBメモリが搬入されたときに、読み込みID履歴記憶部に記憶されるIDを示す図であり、図26Bは、RFIDゲートA→B→C→Cの順にUSBメモリが搬送されたときに、読み込みID履歴記憶部に記憶されるIDを示す図である。
【図27】図27は、第6の実施形態において、図6A,図6Bの処理と並行して行われる処理を示すフローチャートである。
【発明を実施するための形態】
【0014】
≪第1の実施形態≫
本発明の第1の実施形態を、図面を参照して説明する。図面において、同様のコンポーネントには同じ参照番号が付されている。
【0015】
図1は、本発明の第1の実施形態に用いられる、例えばパーソナル・コンピュータのようなホスト装置としての情報処理装置または端末40と、リムーバブル・メディアまたは可搬記憶媒体としてのUSBメモリ(USBフラッシュ・ドライブ)100とを示している。USBメモリ100は、情報処理装置40のUSBポート49に結合または接続される。情報処理装置40は、ローカルエリア・ネットワーク(LAN)等を介してサーバ20に接続されてもよい。情報処理装置40は、管理者および/またはユーザによって使用することができるものとする。
【0016】
情報処理装置40は、プロセッサ42、記憶装置44(例えばハードディスク)、入力装置46、表示装置48およびUSBポート(端子)49を含んでいる。
【0017】
図2は、本発明の第1の実施形態によるUSBメモリ100の概略的な機器構成(configuration)または配置(arrangement)を示している。
【0018】
USBメモリ100は、USBインタフェース(I/F)110、USBハブ112、ROM118、マイクロコンピュータ(μC)120、ハブ・スイッチ130、主要なフラッシュ・メモリ134、開閉センサ142、および例えばLED等の表示器(インジケータ)144を含んでいる。USBメモリ100は、さらに、主要電源回路150、バッテリおよび充電回路160、補助電源回路162、時間表示または時間監視用のリアルタイム・クロック(RTC)164、およびスイッチ166を含んでいる。フラッシュ・メモリ134は、情報処理装置40から受け取ったユーザのデータ・ファイルを格納する。バッテリおよび充電回路160は、再充電可能なバッテリ(二次電池)とそのバッテリを充電する充電回路とを含んでいる。
【0019】
USBインタフェース110は、電源ラインまたはピンPL(破線矢印)と、データ・ラインまたはピンDL(双頭の実線矢印)とを含んでいる。USBハブ112は、USBインタフェース110に結合されていて、分岐電源ラインPL(破線矢印)と、分岐データ・ラインDL(双頭の実線矢印)とを含んでいる。
【0020】
開閉センサ142は、本体100bとキャップ102またはストラップ104との結合部または係合部付近に設けられた磁気検出器、電流検出器、または近接スイッチ、等(図示せず)を含んでいる。キャップ102またはストラップ104には、その磁気検出器によって検出される永久磁石、その電流検出器に結合可能な抵抗体、またはその近接スイッチによって検出可能な近接部材(図示せず)が設けられていてもよい。開閉センサ142は、USBメモリ100からキャップ102またはストラップ104が外されたことを検出し、USBメモリ100にキャップ102またはストラップ104が結合または係合されたことを検出する。マイクロコンピュータ120(CPU122)は、開閉センサ142の検出出力を監視制御してもよい。開閉センサ142の検出によって、マイクロコンピュータ120(CPU122)を介してまたは直接的にスイッチ166がターンオン/ターンオフされる。
【0021】
表示器144は、マイクロコンピュータ120(CPU122)によって制御され駆動されて、USBメモリ100の動作状態、およびマイクロコンピュータ120による最初または次のアクセス不能化または保護護処理までの残り時間を表示してもよい。
【0022】
マイクロコンピュータ120は、CPU122、RAM126、内部のフラッシュ・メモリ124、および電源制御回路128を含んでいる。内部のフラッシュ・メモリ124は、CPU122によって用いられるファームウェア・プログラム(FW)、およびデータ(認証用の識別情報、データ・ファイル等の暗号鍵、アクセス不能化(無効化)ポリシー、ログ、状態情報)を格納することができる。
【0023】
情報処理装置100(プロセッサ42)によって用いられるユーザ用のUSBメモリ・ユティリティ・プログラム(PRG_U)が、ROM118に格納されている。マイクロコンピュータ120のCPU122によって用いられるUSBメモリ・ユティリティ(管理、認証、ポリシー評価、等用)プログラム(PRG_F)が、フラッシュ・メモリ124に格納されている。
【0024】
USBメモリ100はそのUSBインタフェース110(DL)を介して情報処理装置40のUSBポート49に結合される。ROM118およびマイクロコンピュータ120は、USBハブ112(DL)を介してUSBインタフェース110に結合されている。マイクロコンピュータ120は、ハブ・スイッチ130(DL)を介してフラッシュ・メモリ134に結合され、バッテリおよび充電回路160、リアルタイム・クロック164、開閉センサ142および表示器144に結合されている。フラッシュ・メモリ134は、ハブ・スイッチ130およびUSBハブ112(DL)を介してUSBインタフェース110またはマイクロコンピュータ120に結合される。
【0025】
バッテリおよび充電回路160は、USBハブ112およびUSBインタフェース110(PL)を介して、情報処理装置40のUSBポート49から給電を受けて再充電可能なバッテリに充電し、補助電源回路162に給電し、スイッチ166を介して主要電源回路150に給電する。バッテリおよび充電回路160は補助電源回路162に結合されている。主要電源回路150は、USBハブ112およびUSBインタフェース110(PL)を介して情報処理装置40のUSBポート49からも給電を受ける。また、主要電源回路150は、USBメモリ100が情報処理装置40に結合されていない場合には、スイッチ166によってオン/オフ制御され、バッテリおよび充電回路160から給電を受ける。
【0026】
スイッチ166は、マイクロコンピュータ120、リアルタイム・クロック164、および/または開閉センサ142によって制御される。
【0027】
主要電源回路150は、USBインタフェース110が情報処理装置40のUSBポートに結合されたときまたはスイッチ166によってターンオンされてバッテリおよび充電回路160から給電されたとき、ROM118、マイクロコンピュータ120、フラッシュ・メモリ134、および表示器144に電力を供給する。補助電源回路162は、開閉センサ142、リアルタイム・クロック164、およびスイッチ166に電力を供給する。表示器144は、主要電源回路150によってではなく、補助電源回路162によって電力を供給されてもよい。
【0028】
情報処理装置40のプロセッサ42は、記憶装置44またはUSBメモリ100(ROM118)に格納されているプログラム(PRG_M、PRG_U)に従って動作することができる。記憶装置44には、管理者用のユティリティ・プログラム(PRG_M)、および/またはユーザ用のユティリティ・プログラム(PRG_U)が格納される。
【0029】
ユーザ用のユティリティ・プログラム(PRG_U)は、USBメモリ100が情報処理装置40に結合されたときに、USBメモリ100のROM118から読み込まれて記憶装置44に格納される。ユーザ用のユティリティ・プログラムは、例えば、ユーザ認証、情報処理装置認証、USBメモリ100(フラッシュ・メモリ134)のファイル・システム構築用の管理プログラムを含んでいる。
【0030】
管理者用のユティリティ・プログラム(PRG_M)は、例えば、管理者認証、情報処理装置認証、アクセスを許容する情報処理装置の設定(追加、変更、削除)、アクセス不能化ポリシーの設定(追加、変更、削除)、USBメモリ100(フラッシュ・メモリ134)のファイル・システム構築用の管理プログラムを含んでいる。そのアクセス不能化ポリシーは、ルールまたは条件および不能化処理法の識別情報および/またはパラメータを含んでいてもよい。入力装置46には、例えばキーボード、ポインティング・デバイス等が含まれる。
【0031】
認証処理部22は、認証情報の保存、ユーザ認証、管理者(特権ユーザ)認証、または情報処理装置または端末の認証を行う。それによって、USBメモリ100の正規の情報処理装置との接続、およびUSBメモリ100の正規のユーザまたは管理者による使用が検出(検知)される。CPU122は、ログまたは状態情報として、現在の日時、認証等のイベント発生日時、情報処理装置を介してサーバ20に接続された日時、USBメモリ100(フラッシュ・メモリ134)が開かれおよび閉じられた(キャップの開閉またはストラップ着脱)日時、連続的なユーザ認証失敗回数、連続的な管理者(特権ユーザ)認証失敗回数、情報処理装置40の連続的な認証失敗回数、バッテリ電力残量、状態情報、等を、状態情報およびログ保存部(36)に記録する。
【0032】
図4は、USBメモリ100におけるフラッシュ・メモリ124に格納されるログのフォーマットの例を示している。ログは、例えば、イベント発生日時、アクセス不能化の発生の要因、アクセス不能化方法、および適用された閾値を含んでいる。USBメモリ100へのアクセス不能化の要因は、例えば、最後の許可されたアクセスの時点からの経過時間、パスワード認証の失敗の回数、バッテリ電力残量の低下、等がある。アクセス不能化方法には、暗号鍵の消去、データの部分的消去、フラッシュ・メモリ134の上書き消去、フラッシュ・メモリ134のロック、機能制限(例、認証機能の制限)、等がある。図4において、2月28日11:00においてバッテリが2200mVに低下しそれによって暗号鍵が消去され、その後でバッテリ電力が切れてUSBメモリ100の設定が初期化されリアルタイム・クロック164が初期状態の2008年に設定されている。
【0033】
図3は、本発明の別の実施形態によるUSBメモリ100の別の概略的な機器構成または配置を示している。
【0034】
図3において、図2のハブ・スイッチ130の代わりに、マイクロコンピュータ120内に設けられたハブ・スイッチ132の機能が用いられる。図3に示すUSBメモリ100のその他の機器構成または配置やその動作は図2のものと同様である。
【0035】
図5は、図2および3のマイクロコンピュータ120の内部の主要な機能部の機能構成または配置を示している。
【0036】
マイクロコンピュータ120は、機能部分または回路部分として、ポリシー評価部または判定部20、認証処理部22、コマンド処理部24、アクセス不能化ポリシー保存部(設定情報記憶部)26、時間管理部28、状態出力部30を含んでいる。また、マイクロコンピュータ120は、他の機能部分または回路部分として、アクセス不能化を選択または制御する選択部または制御部32、アクセス不能化処理部(実行部)またはデータ保護処理部34、および状態情報およびログ(記録)保存部(状態情報保持部)36を含んでいる。これらの機能は、フラッシュ・メモリ124内のファームウェアFWまたはプログラムPRG_Fによって実現(実装)される。認証処理部22は認証情報保存部を有する。認証処理部22の認証情報保存部、アクセス不能化ポリシー保存部26、および状態情報およびログ保存部36は、マイクロコンピュータ120内のフラッシュ・メモリ124の領域である。フラッシュ・メモリ124内のファームウェアFW、プログラムPRG_Fおよびデータは、バッテリおよび充電回路160のバッテリの電力残量がなくなっても消失しない。
【0037】
アクセス不能化処理部34の保護処理1の暗号鍵消去は、フラッシュ・メモリ124または134内に保存された複数の暗号鍵を消去する処理である。それら複数の暗号鍵は、暗号化されたデータ・ファイルがフラッシュ・メモリ134に格納されるときに生成されてフラッシュ・メモリ124または134に保存される。
【0038】
ポリシー評価部20は、アクセス不能化ポリシー保存部(ルールまたは条件および不能化処理法の記憶部)26に保存されているそれぞれのアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)に従って、現在の日時、ログおよび状態情報に基づいて、USBメモリ100を保護すべきかどうか、即ちUSBメモリ100のフラッシュ・メモリ134内のデータ・ファイルへのアクセスをそれぞれの保護レベルで不能化すべきかどうかを判定する。USBメモリ100を保護すべきと判定された場合には、ポリシー評価部20は選択部32を制御してアクセス不能化方法または保護方法を選択して、暗号鍵消去、データ消去、機能制限、等の、フラッシュ・メモリ134内データへのアクセス不能化を行う。
【0039】
認証処理部22は、認証用の識別情報を設定し、管理者によって設定された認証用の識別情報に基づいて、アクセスを許容された情報処理装置の認証、管理者の認証、ユーザの認証、等を行う。
【0040】
コマンド処理部24は情報処理装置40から受け取ったコマンドを実行する。コマンド処理部24は、コマンドに従って、管理者によって設定されたアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をアクセス不能化ポリシー保存部26に格納する。コマンド処理部24は、コマンドに従って、ハブ・スイッチ130または132を制御する。コマンド処理部24は、コマンドに従って、状態出力部または状態転送部30に、状態情報またはログをUSBインタフェース110およびUSBハブ112を介して情報処理装置40へと転送し出力させる。
【0041】
時間管理部28は、ポリシー評価部20の要求または評価結果に従って、リアルタイム・クロック164を管理し設定し制御する。
【0042】
図6Aおよび6Bは、認証処理部22においていずれかの認証に失敗したときに、USBメモリ100のマイクロコンピュータ120(CPU122)によって実行される、データ保護のためのポリシー評価のためのフローチャートの例を示している。図6Bは、図6Aにおけるステップ422、423の詳細なフローチャートを示している。
【0043】
ステップ402において、USBインタフェース110が情報処理装置40のUSBポート49に結合されてUSBポート49から主要電源回路150に給電されたとき、主要電源回路150は、ターンオン状態になって、マイクロコンピュータ120、主要フラッシュ・メモリ134および表示器144に電力を供給する。スイッチ166がオン状態になってバッテリおよび充電回路160から主要電源回路150に給電されたときも、主要電源回路150は同様に動作する。従って、マイクロコンピュータ120が起動して、ポリシー評価部20が動作する。
【0044】
USBメモリ100のUSBインタフェース110が情報処理装置40のUSBポート49に動作上結合されたとき、ROM118に格納されていたユーザ用のUSBメモリ・ユティリティ(管理、認証、ファイル・システム構築、等)プログラム(PRG_U)が情報処理装置40のプロセッサ42によって自動的に読み込まれて実行される。それによって、USBメモリ100へのアクセスのためのユーザ用の認証画面が表示装置48に表示される。
【0045】
管理者用USBメモリ・ユティリティ・プログラム(PRG_M)が、記憶装置44に格納されていて、管理者(特権ユーザ)の操作に従って情報処理装置40のプロセッサ42によって実行される。それによって、USBメモリ100へのアクセスのための管理者用の認証画面が表示装置48に表示される。
【0046】
情報処理装置40のプロセッサ42は、ユーザまたは管理者によって入力されプロセッサ42によって供給された識別情報(ID、パスワード、等)、または記憶装置44に格納された情報処理装置40の認証用の識別情報をUSBメモリ100に供給する。USBメモリ100のマイクロコンピュータ120の認証処理部22は、受け取った識別情報と、フラッシュ・メモリ124またはフラッシュ・メモリ134に予め格納された識別情報とを比較して、情報処理装置40の装置認証、ユーザ認証または管理者認証を行う。
【0047】
認証が成功したと判定された場合は、コマンド処理部24は、情報処理装置40からコマンドを受け取って、そのコマンドに従ってハブ・スイッチ130または132をUSBハブ112側に切り換えてフラッシュ・メモリ134をUSBハブ112に接続し情報処理装置40のUSBポート49に接続する。それによって、情報処理装置40のプロセッサ42は、フラッシュ・メモリ134中のデータ・ファイルにアクセス可能となる。プロセッサ42は、ユーザまたは管理者(特権ユーザ)の操作またはコマンドに従ってフラッシュ・メモリ134内のデータ・ファイルを処理し、またはフラッシュ・メモリ134に新しいデータ・ファイルを追加する。
【0048】
ステップ404においてポリシー評価部20は認証処理部22による現在の認証状態または認証結果を確認する。ポリシー評価部20は、表示器144に、最初のまたは次のアクセス不能化処理の開始までの残り時間を表す情報、および現在のバッテリ電力残量を表す情報を表示する。その表示の形態は、その情報に対応する色のLEDの発光および/または発光の形態またはパターン(例えば、点灯するLEDの色、連続点灯、長い周期の点滅、短い周期の点滅、等)であってもよい。それによって、アクセス不能化に関してユーザに注意を促すことができる。ステップ406において、ポリシー評価部20は、現時点で認証が成功したかどうかを判定する。認証が成功したと判定された場合は、手順はステップ410に進む。
【0049】
ステップ410において、ポリシー評価部20または認証処理部22(CPU122)は、フラッシュ・メモリ134がユーザ、管理者(特権ユーザ)または情報処理装置40によってアクセスされた日時(結合の日時、開閉センサ142が検出した開いた日時、開閉センサ142が検出した閉じた日時)をログとして記録してもよい。ポリシー評価部20または認証処理部22(CPU122)は、状態情報およびログ保存部36のログにおける認証失敗の記録を消去しリセットする。
【0050】
ステップ406において認証がなされずまたは認証に失敗したと判定された場合は、ステップ408において、ポリシー評価部20または認証処理部22(CPU122)は、現在の日時(日付と時刻)および認証失敗回数をログとして記録する。その後、手順はステップ474に進む。
【0051】
ステップ420において、ポリシー評価部20は、アクセス不能化ポリシー保存部26、状態情報およびログ保存部36、およびリアルタイム・クロック164または状態情報およびログ保存部36にアクセスして、管理者(特権ユーザ)またはユーザによってその設定された各アクセス不能化ポリシー(そのルールまたは条件(要因、閾値))に従って現在の日時に基づいてUSBメモリ100の状態またはログ(記録)を判定し評価する。
【0052】
ステップ422において、ポリシー評価部20は、評価の結果に従って、フラッシュ・メモリ134中のデータ・ファイルを保護すべきかどうかを判定する。保護すべきと判定された場合は、手順はステップ423に進む。保護する必要がないと判定された場合は、手順はステップ474に進む。
【0053】
ステップ423において、ポリシー評価部20は、選択器32を制御して所要の保護処理を実行する。その後、手順はステップ404に戻る。
【0054】
ステップ474において、ポリシー評価部20は、現在、USBメモリ100が情報処理装置40に結合されているかどうかを判定する。それが結合されていると判定された場合は、ステップ476において、コマンド処理部24は、情報処理装置100からのコマンドを受け付け、バッテリおよび充電回路160への充電を継続する。その後、手順はステップ404に戻る。
【0055】
ステップ474においてUSBメモリ100が情報処理装置40に結合されていないと判定された場合は、ステップ478において、ポリシー評価部20は、アクセス不能化ポリシー保存部26を参照して各アクセス不能化ポリシー(そのルールまたは条件)の要因および閾値の時間に基づいて次のおよびその後のポリシー評価の開始時間を決定して時間管理部28に供給する。例えば、最も先に到来する時間閾値が時間計測開始時点から3×24時間であれば、ポリシー評価の開始時間を、24時間、48時間、60時間、66時間、69時間、72時間の経過点としてもよい。ポリシー評価部20のポリシー評価の開始時間に基づいて、時間管理部28は、次の主要電源150の起動時間(日時)を決定して、その時間をリアルタイム・クロック164に設定する。
【0056】
また、ポリシー評価部20は、USBメモリ100が情報処理装置40に結合されたときまたは常に、最初のまたは次のアクセス不能化処理の実行開始までの残り時間を表す情報およびバッテリ電力残量を表す情報を、表示器144に表示してもよい。ステップ480において、ポリシー評価部20は、時間管理部28を介して主要電源150をターンオフする。その後、手順は図6Aのルーチンを出る。
【0057】
図6Bを参照すると、ステップ420の後のステップ424において、ポリシー評価部20は、ポリシー1(その不能化識別情報)のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がアクセス不能化ポリシー保存部26内のポリシー1のルールまたは条件を満たすまたは充足するかどうかを判定する。そのルールは、例えば、認証により許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)24時間を超えている場合に、フラッシュ・メモリ134中のデータ・ファイルに用いられるフラッシュ・メモリ124または134に格納された暗号鍵を消去することである。ステップ424においてポリシー1のルールによる保護処理が実行済みであるかまたはその状態がポリシー1のルールまたは条件を満たさないと判定された場合は、手順はステップ434に進む。
【0058】
ステップ424においてポリシー1のルールまたは条件を満たすと判定された場合は、ステップ426において、ポリシー評価部20は、USBメモリ100へのアクセスを防止するためにUSBインタフェース112を一時的にロックする。即ち、ポリシー評価部20は、ハブ・スイッチ130または132により、フラッシュ・メモリ134をUSBインタフェース112側からマイクロコンピュータ120側へ切り換える。ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理1(暗号鍵の消去)を選択して、データ・ファイル用のフラッシュ・メモリ124または134中の全ての暗号鍵を消去する。その後、手順はステップ470に進む。
【0059】
ステップ434において、ポリシー評価部20は、ポリシー2のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー2のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)48時間を超えている場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブルまたは一部のファイルを消去することである。その一部のファイルとは、例えば、暗号化されているファイル、または作成日または更新日が現在より1カ月未満前の新しいファイルである。ステップ434においてポリシー2のルールによる保護処理が実行済みであるかまたはその状態がポリシー2のルールまたは条件を満たさないと判定された場合は、手順はステップ444に進む。
【0060】
フラッシュ・メモリ134内の一部のファイルが消去されると、その一部のファイルへのアクセスが困難になる。
【0061】
ステップ434においてポリシー2のルールまたは条件を満たすと判定された場合は、ステップ436において、ポリシー評価部20は、USBインタフェース112を一時的にロックする。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理2を選択して、フラッシュ・メモリ134内のファイル・テーブルまたは一部のファイルを消去する。その後、手順はステップ470に進む。
【0062】
フラッシュ・メモリ134内のファイル・テーブルまたは一部のファイルが消去されると、そのファイル・テーブルまたは一部のファイルへのアクセスは困難になる。
【0063】
ステップ444において、ポリシー評価部20は、ポリシー3のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー3のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)5日(5×24時間)を超えている場合に、フラッシュ・メモリ134内の全てのデータを上書き消去することである。ステップ444においてポリシー3のルールによる保護処理が実行済みであるかまたはその状態がポリシー3のルールまたは条件を満たさないと判定された場合は、手順はステップ454に進む。
【0064】
ステップ444においてポリシー3のルールまたは条件を満たすと判定された場合は、ステップ446において、ポリシー評価部20は、USBインタフェース112を一時的にロックする。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理3を選択して、フラッシュ・メモリ134内の全てのデータ(ログ以外のデータ)を上書き消去する。その後、手順はステップ470に進む。
【0065】
フラッシュ・メモリ134内の全データが上書き消去されると、その全てのデータは技術的に分析しても復活させることができない。従って、USBメモリ100(フラッシュ・メモリ134)内のデータへのアクセスは不可能になる。
【0066】
ステップ454において、ポリシー評価部20は、ポリシー4のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー4のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)6日(6×24時間)を超えている場合に、USBインタフェース112を固定的にロックすることである。ステップ454においてポリシー4のルールによる保護処理が実行済みであるかまたはその状態がポリシー4のルールまたは条件を満たさないと判定された場合は、手順はステップ464に進む。
【0067】
ステップ454においてポリシー4のルールまたは条件を満たすと判定された場合は、ステップ446において、ポリシー評価部20は、保護処理として、USBインタフェース112を固定的にロックする。即ち、ポリシー評価部20は、ハブ・スイッチ130または132により、フラッシュ・メモリ134をUSBインタフェース112側からマイクロコンピュータ120側へ切り換える。その後、手順はステップ470に進む。
【0068】
USBインタフェース112が固定的にロックされると、権限ある管理者以外の者は、フラッシュ・メモリ134にアクセスできなくなる。
【0069】
ステップ464において、ポリシー評価部20は、ポリシー5のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー5のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)7日(7×24時間)を超えている場合に、フラッシュ・メモリ134内の全データを上書き消去し、フラッシュ・メモリ124の一部の機能、例えば認証機能を停止させることである。ステップ464においてポリシー5のルールによる保護処理が実行済みであるかまたはその状態がポリシー5のルールまたは条件を満たさないと判定された場合は、手順は図6Aのステップ474に進む。
【0070】
ステップ464においてポリシー5のルールまたは条件を満たすと判定された場合は、ステップ466において、ポリシー評価部20は、USBインタフェース112がロックされていない場合は、USBインタフェース112を一時的にロックする。USBインタフェース112が既にロックされている場合は、そのロック状態を一時的ロックとして維持する。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理5を選択して、フラッシュ・メモリ134内の全てのデータ(ログ以外のデータ)を上書き消去する。ポリシー評価部20は、さらに、フラッシュ・メモリ124の一部の機能、例えば認証機能のファームウェアFMまたはプログラムPRG_Fを部分的に消去または書き換えてその機能を停止させる。その後、ステップ448において保護処理が完了したと判定された場合は、手順はステップ470に進む。
【0071】
認証処理部22の認証機能が停止すると、コマンド処理部24は情報処理装置40からのコマンドを受け付けなくなる。従って、USBメモリ100(フラッシュ・メモリ134)内のデータへのアクセスは不可能になり、USBメモリ100を使用することもできなくなる。
【0072】
ポリシー評価部20は、さらにアクセス不能化ポリシー保存部26内の他のアクセス不能化ポリシー(そのルールまたは条件)についても同様に判定し、対応する保護処理を実行してもよい。そのルールは、例えば、USBメモリ100の情報処理装置40への接続後から正当なユーザ認証までの経過時間(要因)が閾値(パラメータ)12時間を超え、かつ連続的なユーザ認証失敗回数が5回を超えた場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブル、一部のファイルまたは全てのデータを上書き消去するものであってもよい。そのルールは、例えば、バッテリおよび充電回路160中のバッテリ電力残量を表す電圧が2200mV以下に低下し、かつ連続的なユーザ認証失敗回数が5回を超えた場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブル、一部のファイルまたは全てのデータを上書き消去するものであってもよい。
【0073】
ステップ470において、ポリシー評価部20は、保護処理の結果として生じたUSBメモリ100の状態をログとして状態情報およびログ保存部36に保存する。保護処理におけるロックが一時的ロックであった場合は、ポリシー評価部20は、さらに、選択部32を介して、USBインタフェース112のロックを解除し、即ちハブ・スイッチ130または132により、フラッシュ・メモリ134をマイクロコンピュータ120側への強制的接続状態を解除してもよい。フラッシュ・メモリ134は、ハブ・スイッチ130または132によってUSBインタフェース110に接続可能となる。但し、保護処理におけるロックが固定的ロックである場合(ポリシー4)は、ポリシー評価部20はロック解除を行わない。
【0074】
図7Aは、アクセス不能化ポリシーのフォーマットの例を示している。図7Bは、図7Aのフォーマットにおけるアクセス不能化を生じさせる要因の値の定義の例を示している。図7Cは、図7Aのフォーマットにおけるアクセス不能化方法の値の定義の例を示している。
【0075】
図7Aにおいて、アクセス不能化ポリシーのフォーマットは、例えば、アクセス不能化を生じさせる要因(1バイト)、アクセス不能化方法(1バイト)、アクセス不能化を生じさせるための閾値(4バイト)を含んでいる。閾値は、アクセス不能化を生じさせる要因に関する閾値である。
【0076】
図7Bにおいて、アクセス不能化を生じさせる要因として、例えば、正当な最後のアクセスからの経過時間、バッテリの電力残量、情報処理装置の認証の失敗回数、ユーザ認証の失敗回数、管理者(特権ユーザ)認証の失敗回数、USBメモリ100の情報処理装置への結合開始から情報処理装置の認証完了(成功)までの時間、ユーザによるアクセス不能化コマンド、開閉センサ142が検出したキャップ102またはストラップ104が開いた後の経過時間、等の項目を含んでいる。アクセス不能化を生じさせる要因として、開閉センサ142が検出したキャップ102またはストラップ104が閉じた後の経過時間を用いてもよい。開閉センサ142によって検出された物理的開閉からの経過時間を用いることによって、ユーザが最後にUSBメモリ100のキャップ102またはストラップ104を開いたまたは閉じた時点からの経過時間をアクセス不能化を生じさせる要因とすることができる。
【0077】
上述のように経過時間に応じてUSBメモリ100のデータへのアクセスを異なるレベルで不能化することによって、権限のない者がUSBメモリ100に時間をかけて様々な手法でアクセスしようとした場合にもUSBメモリ100内のユーザのデータへの不正なアクセスの可能性をより低くしまたはなくすことができる。経過時間が或る閾値以下であれば、正規のユーザは正当な認証によってUSBメモリ100を使用できる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0078】
上述のように、経過時間が増加するにしたがって、USBメモリ100におけるデータの消去の範囲を段階的に拡大することによって、不正なデータ流出を防止すると共に、当該消去処理から復帰するまで正規のユーザであってもその記憶媒体を利用することができないという不都合を最小限にすることが期待される。即ち、経過時間が比較的短い段階では、USBメモリ100からデータを消去する範囲も少なくすることによって、当該消去処理から復帰するまでの所要時間を少なく済ませることができる。
【0079】
上述のように認証の失敗回数に応じてUSBメモリ100のデータへのアクセスを異なるレベルで不能化することによって、権限のない者がUSBメモリ100にアクセスしようと多数回認証を試みた場合にもUSBメモリ100内のユーザのデータへの不正なアクセスの可能性をより低くしまたはなくすことができる。認証の連続的失敗回数が或る閾値以下であれば、正規のユーザは正当な認証によってUSBメモリ100を使用できるようになる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0080】
図7Cにおいて、アクセス不能化方法として、例えば、データの上書き消去、データの部分的消去、ファイルのリストの消去、フラッシュ・メモリ134(ハブ・スイッチ130、132)のロック、暗号鍵の消去、機能制限、等を含んでいる。
【0081】
図8Aは、要因としての経過時間に対するアクセス不能化方法および閾値のテーブルの例を示している。図8Bは、設定されたアクセス不能化方法および閾値の例を示している。この場合、要因は全て経過時間である。
【0082】
図8A中のいくつかの項目(行)の内容(条件(要因、閾値)および不能化処理法)が適用されるのもとして選択されて、USBメモリ100(フラッシュ・メモリ124、アクセス不能化ポリシー保存部26)に設定される。図8Bの例において、図8Aの複数の項目の内容の中の幾つかの項目が選択されて設定されている。
例えば、図8Bの項目1の内容(条件および不能化処理法)が設定された場合、閾値120時間が経過したときフラッシュ・メモリ134のデータの上書き消去が生じる。例えば、図8Bの項目2の内容(条件および不能化処理法)が設定された場合、閾値144時間が経過したとき、フラッシュ・メモリ134のデータの上書き消去と、ハブ・スイッチ130または132によるフラッシュ・メモリ134のロックとが発生する。例えば、図8Bの項目3の内容(条件および不能化処理法)が設定された場合、閾値168時間が経過したとき、フラッシュ・メモリ134のデータの上書き消去と、暗号鍵の消去と、機能制限とが発生する。機能制限は、フラッシュ・メモリ124のファームウェア(FW)またはユティリティ・プログラム(PRG_F)の対応する機能部分の部分的な消去または書き換えであってもよい。
【0083】
上述のように異なる複数のアクセス不能化形態を用意することによって、それぞれの要因に応じて異なるレベルでUSBメモリ100またはそのデータを保護することができる。それによって、正規のユーザがUSBメモリ100のデータにアクセスしようとする可能性が高い状況においては、そのデータへのアクセスの可能性を高くすることができる。また、権限のない者がUSBメモリ100のデータに不正にアクセスしようとする可能性が高い状況においては、そのデータの保護の度合いを高くすることができる。データの種類に応じてデータを異なるレベルで保護することによって、秘密性の高いデータにはより高い保護を与え、秘密性の低いデータはより低い保護を与えることができる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0084】
図9は、USBメモリ100のマイクロコンピュータ120によって使用される状態遷移図を示している。
【0085】
USBメモリ100は、工場から出荷した時には初期モード502で動作する。管理者または特権ユーザが、そのUSBメモリ100を情報処理装置40のUSBポート49に結合して、管理者の所要の識別情報(ID)またはパスワードを入力してUSBメモリ100に設定すると、USBメモリ100は管理者モード504に移行する。
【0086】
管理者モード504において、管理者は、情報処理装置40を操作して、アクセスを許容する情報処理装置40の装置識別情報、アクセスを許容するユーザの識別情報、およびアクセス不能化ポリシーを、USBメモリ100に設定し、追加または変更することができる。アクセス不能化ポリシーは、そのルールまたは条件(要因、閾値)および不能化処理法を表す識別情報および/またはパラメータによって表される。管理者モード504において、管理者が装置識別情報およびアクセス不能化ポリシー等の設定、追加または変更を完了させると、USBメモリ100は正常モード506に移行する。正常モード506において、USBメモリ100においてアクセス不能化ポリシーが有効化される。
【0087】
正常モード506において、ユーザは、USBメモリ100を情報処理装置40に結合してUSBメモリ100のフラッシュ・メモリ134にアクセスすることができ、フラッシュ・メモリ134中の有効なデータ・ファイルを開くことができ、フラッシュ・メモリ134に新しいデータ・ファイルを追加し、USBメモリ100を削除することができる。
【0088】
正常モード506においてアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)が適用される状態が発生すると、USBメモリ100は、アクセス不能化のための保護処理を実行してアクセス不能化モード508に移行する。アクセス不能化の結果として、USBメモリ100の機能制限が発生した場合は、機能制限モード512に移行する。
【0089】
アクセス不能化モード508において、他の複数のアクセス不能化ポリシーが継続的に有効である。アクセス不能化モード508において、別のアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)が適用される状態が発生すると、USBメモリ100は、アクセス不能化のための別の保護処理を実行してアクセス不能化モード508を維持する。アクセス不能化モード508には、例えば、暗号鍵の消去状態、データ・ファイルの消去状態、データの消去状態、ロック状態、等が存在する。アクセス不能化の結果として、USBメモリ100の機能制限が発生した場合は、機能制限モード512に移行する。
【0090】
アクセス不能化モード508において、管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証すると、アクセス不能化モード508が解除される。保護処理の結果としてUSBメモリ100がロック状態にある場合は、管理者による認証によってそのロック状態が解除される。それによって、USBメモリ100は、自己の状態情報およびログを更新して管理者モード504に移行する。管理者モード504において、管理者が解除または復旧処理を完了させると、USBメモリ100は正常モード506に移行する。
【0091】
但し、保護処理の結果として、少なくともデータの一部が消去され、暗号鍵が消去されて少なくとも一部のデータ・ファイルへのセクセスができず、または少なくとも一部のデータ・ファイルが消去されていることがある。フラッシュ・メモリ134の全てのデータが上書き消去されている場合は、管理者は、管理者用のユティリティ・プログラム(PRG_M)を用いて、ファイル・システムを再構築することができる。
【0092】
アクセス不能化モード508において、ユーザがUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証してアクセス不能化モード508を解除すると、USBメモリ100は、自己の状態情報およびログを更新して正常モード506に移行する。
【0093】
但し、保護処理の結果として、USBメモリ100がロック状態にあることがあり、または、少なくともデータの一部が消去され、少なくとも一部のデータ・ファイルへのセクセスができず、少なくとも一部のデータ・ファイルが消去されていることがある。保護処理の結果としてUSBメモリ100がロック状態にある場合は、管理者のみによってそのロック状態が解除され、ユーザによってはそのロック状態が解除できないようにしてもよい。フラッシュ・メモリ134の全てのデータが上書き消去されている場合は、ユーザは、フラッシュ・メモリ124のファームウェア(ユティリティ・プログラム)を用いて、ファイル・システムを再構築することができる。
【0094】
正常モード506において管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証を行うと、USBメモリ100は管理者モード504に移行する。それによって、USBメモリ100への装置識別情報およびアクセス不能化ポリシー等の設定、追加または更新が可能になる。USBメモリ100のログは更新される。
【0095】
アクセス不能化モード508または正常モード506において機能制限が発生すると、USBメモリ100は機能制限モードに移行する。機能制限モード512において、ユーザまたは管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して認証を行おうとしても、USBメモリ100はいかなる認証をも受け付けず、新しいコマンドを受け付けない。
【0096】
機能制限モード512において、製造業者の権限でオペレータがUSBメモリ100の機能制限を解除して復旧処理すると、USBメモリ100は初期モード502で動作する。その復旧処理は、例えばフラッシュ・メモリ124のファームウェア(FW)またはユティリティ・プログラム(PRG_F)の修復による復旧処理であってもよい。
【0097】
図10は、情報処理装置40とUSBメモリ100の間の処理手順を示している。
【0098】
ステップ602においてユーザがUSBメモリ100を情報処理装置40に結合すると、ステップ432において、ユーザ用のユティリティ・プログラム(PRG_U)を実行する。ユーザ用のユティリティ・プログラムが情報処理装置40にインストールされていない場合は、情報処理装置40(プロセッサ42)はUSBメモリ100(ROM118)から自動的にプログラム(PRG_U)を読み込んでまたは呼び出して実行してもよい。ステップ604において、情報処理装置40(プロセッサ42)はUSBメモリ100から状態情報を取得する。
【0099】
ステップ634において、情報処理装置40(プロセッサ42)は取得した状態情報に基づいてUSBメモリ100の動作状態を判定し、正常モードまたはアクセス不能化モードかどうかを判定する。その動作状態が正常モードまたはアクセス不能化モードであれば、ステップ606において、情報処理装置40(プロセッサ42)は自己の装置識別情報(例、BIOS/TPM(Trusted Platform Module)のID)をUSBメモリ100に供給する。
【0100】
ステップ612において、USBメモリ100(CPU122)は情報処理装置100の装置識別情報を検証して、情報処理装置100の認証を行う。ステップ608において、USBメモリ100(CPU122)はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0101】
認証結果が成功の場合は、ステップ636において、情報処理装置40(プロセッサ42)はユーザ認証画面を表示装置48に表示し認証情報の入力を要求する。ユーザは入力装置46を操作してユーザ認証情報(例、ID、パスワード)を入力する。ステップ644において、認証情報は情報処理装置40からUSBメモリ100へ供給される。
【0102】
ステップ614において、USBメモリ100(CPU122)は認証情報を検証して、ユーザの認証を行う。ステップ610において、USBメモリ100はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が成功の場合は、ステップ638において、情報処理装置40はUSBメモリ100のフラッシュ・メモリ134にアクセスすることが許容される。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0103】
図11は、情報処理装置40とUSBメモリ100の間の別の処理手順を示している。
【0104】
ステップ662において、管理者は情報処理装置40を操作して情報処理装置40上で管理者用のユティリティ・プログラム(PRG_M)を起動する。ステップ672において、情報処理装置40(プロセッサ42)は管理者用のユティリティ・プログラム(PRG_M)を実行する。
【0105】
ステップ682において管理者がUSBメモリ100を情報処理装置40に結合すると、ステップ664において、情報処理装置40(プロセッサ42)は管理者認証画面を表示装置48に表示し認証情報の入力を要求する。管理者は入力装置46を操作して管理者認証情報(例、ID、パスワード)を入力する。管理者認証画面を表示する前に、USBメモリ100は、情報処理装置40から装置識別情報を受け取って情報処理装置40の認証を行い、その認証結果(成功または失敗)を情報処理装置40に供給してもよい。ステップ666において、認証情報は情報処理装置40からUSBメモリ100へ供給される。
【0106】
ステップ692において、USBメモリ100(CPU122)は認証情報を検証して、ユーザの認証を行う。ステップ684において、USBメモリ100(CPU122)はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が成功した後、USBメモリ100の状態が管理者モードになれば、ステップ674において、情報処理装置40(プロセッサ42)は表示装置48にアクセス不能化ポリシー(そのルールまたは条件(要因、閾値)および不能化処理法)設定、追加または変更の画面を表示する。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0107】
ステップ668において、管理者は、情報処理装置40を操作して、情報処理装置40の表示装置48の画面上で、アクセスを許容すべき情報処理装置の装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件(要因、閾値))を入力する。
【0108】
ステップ686において、情報処理装置40(プロセッサ42)は、装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をUSBメモリ100に書き込む。USBメモリ100(CPU122)は、受け取った装置識別情報およびアクセス不能化ポリシー(その識別情報および/またはパラメータ)を設定する。ステップ688において、USBメモリ100は、その設定の結果(成功または失敗)を情報処理装置40に送る。情報処理装置40はその設定結果を表示装置46に表示する。
【0109】
このようにして、アクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)がUSBメモリ100に設定され、追加され、またはそれが変更される。
【0110】
図12は、情報処理装置40とUSBメモリ100の間におけるUSBメモリ100の復旧の処理手順を示している。
【0111】
ステップ602、632および604は図10のものと同様である。
【0112】
ステップ635において情報処理装置40(プロセッサ42)によってUSBメモリ100がアクセス不能化モードでありフラッシュ・メモリ134が全て消去されていると判定された場合、ステップ609において、情報処理装置40はUSBメモリ100(状態出力部30)からログを取得する。
【0113】
ステップ646において、情報処理装置40(プロセッサ42)は表示装置48に現在のモードおよび状態とその取得したログを表示する。ステップ612において、ユーザは、情報処理装置40を操作して情報処理装置40上でファイル・システムの再構築コマンドを入力する。情報処理装置40(プロセッサ42)はUSBメモリ100にファイル・システムの再構築コマンドを供給する。
【0114】
ステップ616において、USBメモリ100(CPU122)は、情報処理装置100の装置識別情報およびコマンドの正当性を検証する。コマンドが正当であれば、USBメモリ100(CPU122)は、フラッシュ・メモリ134のファイル・システムを再構築する。ステップ614において、USBメモリ100(CPU122)はその現在の状態(正常)を情報処理装置40に供給する。ステップ648において、情報処理装置40は、現在の状態(正常)およびフラッシュ・メモリ134のファイルのリスト(即ち、ファイル識別情報の存在しないファイル・リスト)を表示装置48に表示する。
【0115】
このようにして、フラッシュ・メモリ134のファイル・システムが再構築され、USBメモリ100へのアクセスが可能になる。
【0116】
図13は、ユーザ用USBメモリ・ユティリティ・プログラム(PRG_U)に従って情報処理装置40のプロセッサ42によって実行される、ユーザ認証およびファイル・システム構築のためのフローチャートを示している。USBメモリ100がUSBインタフェース110を介して情報処理装置40のUSBポート49に結合されると、プロセッサ42は、ROM118内のユーザ用のUSBメモリ・ユティリティ・プログラムPRG_Uを呼び出して実行する。
【0117】
ステップ702において、情報処理装置40のプロセッサ42は、USBメモリ100からUSBメモリ100の現在の状態情報(図9)を取得する。
【0118】
ステップ704において、プロセッサ42は、その取得した状態情報が“正常モード”かどうかを判定する。それが正常モードであると判定された場合は、ステップ726において、プロセッサ42は、情報処理装置40の記憶装置44に格納された情報処理装置40の装置識別情報を取得する。
【0119】
ステップ728において、プロセッサ42は、USBメモリ100に認証用の装置識別情報を供給し、USBメモリ100における装置認証の結果を受け取る。
【0120】
ステップ730において、プロセッサ42は、受け取った認証結果に基づいて装置認証が成功したかどうかを判定する。失敗したと判定された場合は、手順はステップ702に戻る。
【0121】
ステップ730において認証に成功したと判定された場合は、ステップ732において、プロセッサ42は、ユーザ認証用の表示画面を表示して、ユーザにIDおよびパスワードを入力するよう指示する。
【0122】
ステップ734において、プロセッサ42は、入力されたIDおよびパスワードをUSBメモリ100に供給し、USBメモリ100におけるユーザ認証の結果を受け取る。
【0123】
ステップ736において、プロセッサ42は、プロセッサ42は、受け取った認証結果に基づいてユーザ認証が成功したかどうかを判定する。失敗したと判定された場合は、手順はステップ702に戻る。
【0124】
ステップ736において認証に成功したと判定された場合は、ステップ738において、プロセッサ42は、USBメモリ100へのアクセスを許容し、例えばUSBメモリ100内のフォルダおよびファイルのリストを表示する。
【0125】
ステップ704において正常モードでないと判定された場合は、ステップ782において、プロセッサ42は、取得した状態情報が“アクセス不能化モード”かどうかを判定する。それがアクセス不能化モードであると判定された場合は、ステップ784において、プロセッサ42は、状態情報が“ロック状態”かどうかを判定する。
【0126】
ステップ784において状態情報がロック状態でないと判定された場合は、ステップ786において、プロセッサ42は、USBメモリ100にログ要求コマンドを供給して、USBメモリ100からログを読み込む。
【0127】
ステップ788において、プロセッサ42は、受け取ったログを表示装置48に表示するか、またはそれをサーバ20に供給する。それによって、サーバ20はUSBメモリ100の完全性および安全性を管理することができる。そのログ表示において、ファイル・システムを再構築するようUSBメモリ100に対して要求することができるようにしてもよい。
【0128】
ステップ790において、プロセッサ42は、ユーザの指示、サーバ20またはサーバ20のコマンドに従って、USBメモリ100にファイル・システムの再構築を要求するコマンドをUSBメモリ100に与える。USBメモリ100は、フラッシュ・メモリ134にファイル・システムを再構築する。その後、手順はステップ702に戻る。
【0129】
ステップ782において状態情報がアクセス不能化モードでないまたはステップ784において状態情報がロック状態であると判定された場合は、ステップ792において、プロセッサ42は、復旧処理を指示するメッセージを表示する。復旧処理において、USBメモリ100がアクセス不能化モードのロック状態である場合は、管理者の認証処理によってUSBメモリ100は管理者モードに移行する。復旧処理において、USBメモリ100が機能制限モードにある場合は、製造業者または管理者の操作によってUSBメモリ100は初期モードに戻される。
【0130】
図14Aおよび14Bは、管理者用のUSBメモリ・ユティリティ・プログラム(PRG_M)に従って情報処理装置40のプロセッサ42によって実行される、アクセスを許容する情報処理装置の識別情報の設定、追加または変更、およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)の設定、追加または変更のためのフローチャートを示している。
【0131】
図14Aを参照すると、ステップ752において、プロセッサ42は、USBメモリを情報処理装置40に結合するよう指示するメッセージを表示装置48に表示する。その指示に従って、管理者はUSBメモリ100を情報処理装置40に結合させる。
【0132】
ステップ754において、プロセッサ42は、USBメモリを検出したかどうかを判定する。USBメモリが検出された場合には、手順はステップ756へ進む。USBメモリが検出されるまで、ステップ752および754は繰り返される。
【0133】
ステップ756において、プロセッサ42は、状態情報を要求するコマンドをUSBメモリ100に供給し、USBメモリ100から現在の状態情報を取得する。そのコマンドに応答して、USBメモリ100のCPU122上に実装されたコマンド処理部24は状態出力部30を介して現在の状態情報を情報処理装置100に送る。
【0134】
ステップ758において、プロセッサ42は、USBメモリ100の現在の状態が“初期モード”(出荷時の状態)かどうかを判定する。初期モードであると判定された場合は、ステップ760において、プロセッサ42は、表示装置48に管理者のIDおよびパスワードを入力するよう指示し、入力されたIDおよびパスワードをUSBメモリ100に供給する。USBメモリ100の認証処理部22は、管理者認証のためにその管理者のIDおよびパスワードを設定する。それによって、USBメモリ100は管理者モードに移行する。その後、手順はステップ756に戻る。
【0135】
ステップ762において、プロセッサ42は、USBメモリ100の現在の状態が“管理者モード”かどうかを判定する。管理者モードであると判定された場合は、ステップ764において、プロセッサ42は、アクセスを許容する情報処理装置の装置識別情報とアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)とを設定、追加および変更するための画面を表示する。プロセッサ42は、USBメモリ100のフラッシュ・メモリ124から現在のアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)を取得して表示してもよい。管理者は、その画面において、アクセス不能化ポリシー(そのルールまたは条件および不能化処理法)、および装置識別情報を設定、追加または変更する。
【0136】
ステップ766において、プロセッサ42は、管理者によって設定、追加または変更された装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をUSBメモリ100に送る。USBメモリ100において、コマンド処理部24は、認証処理部22にその受け取った装置識別情報を保存させ、アクセス不能化ポリシー保存部26にその受け取ったアクセス不能化ポリシー(識別情報および/またはパラメータ)を保存する。
【0137】
ステップ768において、プロセッサ42は、表示装置48に管理者モードを終了させるよう指示する画面を表示する。管理者が管理者モードを終了させると、USBメモリ100は通常モードに移行する。
【0138】
ステップ762において状態が管理者モードでないと判定された場合は、図14Bのステップ772において、プロセッサ42は、USBメモリ100の現在の状態が“正常モード”または“ロック状態”かどうかを判定する。そのいずれの状態でもないと判定された場合は、手順はステップ782に進む。
【0139】
ステップ772において状態が正常モードまたはロック状態であると判定された場合は、ステップ774において、プロセッサ42は、表示装置48に管理者認証用の画面を表示する。管理者はその画面上でIDおよびパスワードを入力する。
【0140】
ステップ776において、プロセッサ42は、USBメモリ100にその入力された管理者IDおよびパスワードを送る。それによってUSBメモリ100は管理者モードへ移行する。但し、暗号鍵および/またはデータが消去されている場合は、USBメモリ100は、ロック解除状態でアクセス不能化モードへ移行する。その後、手順はステップ756に戻る。
【0141】
ステップ782、および786〜792は図13のものと同様である。ステップ782においてロック状態以外のアクセス不能化モードであると判定された場合は、手順はステップ786に進む。ステップ790の後、手順はステップ756へ戻る。
【0142】
ステップ782において状態情報がアクセス不能化モードでないと判定された場合は、ステップ792において、プロセッサ42は、復旧処理を指示するメッセージを表示する。復旧処理において、USBメモリ100が機能制限モードにある場合は、製造業者または管理者の操作によってUSBメモリ100は初期モードに戻される。
【0143】
図15Aは、図14Aのステップ764において情報処理装置40の表示装置48に表示される、USBメモリ100へのアクセスを許容する情報処理装置の識別情報の設定、追加および変更のための管理者用の画面を示している。図15Aの画面において、USBメモリ100へのアクセスを許容する情報処理装置の種類および識別情報のリストが表示され、管理者によって新たにアクセスを許容すべき情報処理装置にチェック記号(O)が付される。
【0144】
図15Bは、図14Aのステップ764において情報処理装置40の表示装置48に表示される、USBメモリ100にアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)を設定、追加および変更するための管理者用の表示画面を示している。図15Bの表示画面において、USBメモリ100におけるアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)のリストが表示され、管理者によって新たに設定および追加すべきアクセス不能化ポリシーにチェック記号(O)が付される。
【0145】
≪第2の実施形態≫
次に、第2の実施形態について、図16、図17に基づいて説明する。図16には、本第2の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図16と、図5(第1の実施形態)とを比較すると分かるように、本第2の実施形態では、ポリシー評価部20に、給電開始検知部としての給電チェックモジュール35が接続されている。この給電チェックモジュール35は、情報処理装置40側からの給電が開始されたか否かをチェックするモジュールである。なお、給電チェックモジュール35は、給電の開始を、情報処理装置40との接続がされたか否か、及び情報処理装置40からの供給電力量が所定の閾値を超えたか否かにより判断する。
【0146】
図17は、本第2の実施形態において、図6Aのステップ402の代わりに実行される処理を示すフローチャートである。この図17の処理では、まず、ステップ800において、給電チェックモジュール35が、情報処理装置40から給電が開始されたか否かを判断する。ここでの判断が肯定されると、ステップ802に移行し、給電チェックモジュール35が、ポリシー評価部20に給電が開始された旨を通知する。
【0147】
次いで、ステップ804では、ポリシー評価部20が、リアルタイム・クロック164において測定された現在の日時を、リアルタイム・クロック164を管理する時間管理部28から取得する。次いで、ステップ806では、ポリシー評価部20が、アクセス不能化ポリシー保存部26に保存されているアクセス不能化ポリシーと、現在の日時と、に基づいて、USBメモリ100を保護すべきかどうか、すなわち、フラッシュ・メモリ134内のデータ・ファイルへのアクセスを不能化すべきかどうかを判定する。なお、本第2の実施形態では、アクセス不能化ポリシー保存部26に、図8Bのようなアクセス不能化ポリシーが保存されているものとする。
【0148】
ここでの判断が肯定された場合には、ステップ808において、アクセス不能化処理部34に、アクション(不能化処理)実施を指示する。アクセス不能化処理部34は、当該指示に基づいて、アクション(不能化処理)を実施する。その後は、図6Aのステップ404に移行する。ここで、ステップ806の判断が肯定される場合とは、情報処理装置40にUSBメモリを接続していない間に、アクセス不能化ポリシーに設定されている時間(図8Bの閾値)を超過した場合である。すなわち、本第2の実施形態では、情報処理装置40にUSBメモリ100を接続する以前に、USBメモリ100が既に不能化処理をすべき状態になっているのであれば、情報処理装置40にUSBメモリ100が接続された直後に、不能化処理を実施することとしている。
【0149】
これに対し、ステップ806の判断が否定された場合には、不能化処理を行うことなく、そのままステップ404へ移行する。これ以降は、上記第1の実施形態と同様の処理を実行する。
【0150】
以上説明したように、本第2の実施形態によると、給電チェックモジュール35が、情報処理装置40からの給電開始を検知して、ポリシー評価部20に通知し、ポリシー評価部20は、給電が開始された際に、情報処理装置40からの給電が行われるまでの間にアクセス不能化ポリシーに設定されている時間を超えていたか否かを判定する。そして、当該時間を超えていた場合には、ポリシー評価部20は、アクセス不能化処理部34に対して、アクセス不能化処理の実行を指示する。すなわち、本第2の実施形態では、情報処理装置40からUSBメモリ100に対して給電が行われていないときには、内蔵のバッテリ160を用いたアクセス不能化処理を一切行わない。このため、本第2の実施形態では、バッテリ160の容量を小さくすることができ、ひいてはバッテリ160やUSBメモリ100全体を小型化することができる。これに対し、リアルタイム・クロック164は、上記第1の実施形態と同様、バッテリ160の電力を用いているので、外部からの給電が無くとも時間測定を行うことができる。これにより、リアルタイム・クロック164の時間測定を、情報処理装置40との接続とは無関係に行うことができるので、リアルタイム・クロック164の測定時間が情報処理装置40により改ざん等されるのを防止することができる。
【0151】
なお、上記実施形態では、ポリシー評価部20は、情報処理装置40からの給電が行われるまでの間に所定時間経過したことを条件として、アクセス不能化処理を実行する場合について、説明したが、これに限られるものではない。ポリシー評価部20は、その他の条件(例えば、バッテリ残量の低下など)に基づいて、アクセス不能化処理を実行することとしても良い。
【0152】
≪第3の実施形態≫
次に、第3の実施形態について、図18、図19に基づいて説明する。図18には、本第3の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図18と、図5(第1の実施形態)とを比較すると分かるように、本第3の実施形態では、記憶部としての2つのフラッシュ・メモリ134a,134bが設けられているとともに、これら2つのフラッシュ・メモリ134a,134bを切り替えて使用するためのスイッチ部としてのハブ・スイッチ131が設けられている。ハブ・スイッチ131は、2つのスイッチA,Bを有している。これら2つのスイッチA,Bでは、図18に示すように、スイッチAの端子A1が有効となり、スイッチBの端子B2が有効となった状態で、フラッシュ・メモリ134aを不能化する処理ができるようになる。また、この状態では、フラッシュ・メモリ134bへのデータの書き込み(保存)や閲覧ができるようになる。一方、スイッチAの端子A2が有効となり、スイッチBの端子B1が有効となった状態では、フラッシュ・メモリ134bを不能化する処理ができるようになる。また、この状態では、フラッシュ・メモリ134aへのデータの書き込み(保存)や閲覧ができるようになる。なお、ハブ・スイッチ131が上述した状態以外の状態となった場合には、エラーとなる。
【0153】
図19は、本第3の実施形態において、図6Bのステップ424の判断が肯定されたときに、ステップ426の代わりに実行される処理を示すフローチャートである。この図19の処理においては、まず、ステップ820において、ハブ・スイッチ131のスイッチAの端子A1が有効となっており、かつスイッチBの端子B2が有効となっているか否かを、ポリシー評価部20が判断する。ここでの判断が肯定される場合とは、これまで、フラッシュ・メモリ134bへのデータの書き込み(保存)や閲覧ができる状態であったことを意味する。このステップ820の判断が肯定されるとステップ822に移行し、ポリシー評価部20は、ハブ・スイッチ131のスイッチAにおいて端子A2を有効にし、スイッチBにおいて、端子B1を有効にする。すなわち、スイッチA,Bのそれぞれを切り替える。次いで、ステップ824では、ハブ・スイッチ131の端子A2、B1を有効に維持したまま、アクセス不能化処理部34に対して、アクション(不能化処理)実行を指示する。アクセス不能化処理部34では、当該指示に基づいて、不能化処理を実行する。ここでは、ハブ・スイッチ131の端子A2、B1が有効となっているため、アクセス不能化処理部34は、これまでデータの書き込みや閲覧ができる状態になっていたフラッシュ・メモリ134bに対する不能化処理を実行する。この場合、一方のフラッシュ・メモリ134bに対する不能化処理を行っている間でも、他方のフラッシュ・メモリ134aへのデータの書き込みや閲覧は可能となっている。その後は、図6Bのステップ470へ移行する。
【0154】
一方、ステップ820の判断が否定された場合には、ステップ826に移行する。このステップ826では、ハブ・スイッチ131のスイッチAの端子A2が有効となっており、かつスイッチBの端子B1が有効となっているか否かを、ポリシー評価部20が判断する。ここでの判断が肯定される場合とは、これまで、フラッシュ・メモリ134aへのデータの書き込み(保存)や閲覧ができる状態であったことを意味する。このステップ826の判断が肯定されるとステップ828に移行し、ポリシー評価部20は、ハブ・スイッチ131のスイッチAにおいて端子A1を有効にし、スイッチBにおいて、端子B2を有効にする。そして、ステップ824において、ハブ・スイッチ131の端子A1、B2を有効に維持したまま、アクセス不能化処理部34に対して、アクション(不能化処理)実行を指示する。アクセス不能化処理部34では、当該指示に基づいて、不能化処理を実行する。ここでは、ハブ・スイッチ131の端子A2、B1が有効となっているため、アクセス不能化処理部34は、これまでデータの書き込みや閲覧ができる状態になっていたフラッシュ・メモリ134aに対する不能化処理を実行する。この場合、一方のフラッシュ・メモリ134aに対する不能化処理を行っている間でも、他方のフラッシュ・メモリ134bへのデータの書き込みや閲覧は可能となっている。その後は、図6Bのステップ470へ移行する。
【0155】
なお、ステップ826の判断が否定された場合には、ステップ830において、ポリシー評価部20が、エラー処理を実行し、図19の処理を終了する。ステップ830のエラー処理としては、例えば、表示器144へのエラー表示などが挙げられる。
【0156】
なお、上記第3の実施形態では、図19の処理をステップ424の判断が肯定された場合に行うこととしたが、これに限られるものではない。例えば、図6Bのその他の判断、例えば、ステップ434の判断などが肯定された場合にも図19の処理を行うこととしても良い。
【0157】
以上、説明したように、本第3の実施形態によると、ハブ・スイッチ131は、2つのフラッシュ・メモリ134a、134bのうちの一方に対してアクセス不能化処理が実行されている間に、他方のフラッシュ・メモリへの情報処理装置40からのアクセスを可能にする。このため、一方のフラッシュ・メモリに対する不能化処理が行われている間(例えば、数分間)であっても、他方のフラッシュ・メモリに対するアクセスが可能となる。これにより、USBメモリ100のユーザは、不能化処理が完了するまで待つ必要がなくなるので、USBメモリ100の使い勝手を向上することができる。
【0158】
なお、上記実施形態では、USBメモリ100が2つのフラッシュ・メモリを備える場合について説明したが、これに限らず、USBメモリ100は、3つ以上のフラッシュ・メモリを備えていてもよい。この場合、ハブ・スイッチ131は、それまで情報処理装置40からのアクセスが可能であったフラッシュ・メモリに対してアクセス不能化処理を行う際に、情報処理装置40から別のフラッシュ・メモリへのアクセスが可能となるように切り替える機能を有していれば良い。
【0159】
≪第4の実施形態≫
次に、第4の実施形態について、図20に基づいて説明する。図20には、本第4の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図20と、図5(第1の実施形態)とを比較すると分かるように、本第4の実施形態では、ハブ・スイッチ130(又は132)とフラッシュ・メモリ134との間に、暗号化部としての暗号化モジュール133が設けられているとともに、当該暗号化モジュール133に揮発性の暗号鍵記憶部としての揮発性メモリ135が接続されている。揮発性メモリ135には、バッテリ及び充電回路160から給電が行われる。
【0160】
暗号化モジュール133は、フラッシュ・メモリ134に書き込むデータを暗号化するとともに、暗号鍵を生成する。また、暗号化モジュール133は、生成した暗号鍵を用いて、暗号化したデータを復号する。揮発性メモリ135は、暗号化モジュール133において生成された暗号鍵を保存する。この揮発性メモリ135には、バッテリ及び充電回路160から給電が行われているため、バッテリがUSBメモリ100から取り外されると、揮発性メモリ135に保存されている暗号鍵も消去されることになる。
【0161】
このように、本第4の実施形態によると、暗号化モジュール133が、情報処理装置40から受け付けたデータを暗号化するとともに、暗号鍵を生成し、その暗号鍵を揮発性メモリ135が記憶する。したがって、USBメモリ100から不正にバッテリ160が外され、不能化処理を行えないような場合であっても、揮発性メモリ135に対する給電が行われないことにより、暗号鍵が揮発性メモリ135から消去される。このように、暗号鍵が揮発性メモリ135から消去されることで、上記各実施形態で説明したようなアクセス不能化処理を行う場合と同等の効果を得ることができる。これにより、USBメモリ100のセキュリティを向上することが可能である。
【0162】
≪第5の実施形態≫
次に、第5の実施形態について、図21〜図23に基づいて説明する。図21には、本第5の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図21と、図5(第1の実施形態)とを比較すると分かるように、本第5の実施形態では、マイクロコンピュータ120の内部に、受信部としてのRFIDリーダ137を備えている。このRFIDリーダ137は、ポリシー評価部20に接続されている。
【0163】
RFIDリーダ137は、図22に示すようなオフィスにおいて、情報発信装置としてのRFIDゲートAを通過した場合に、RFIDゲートAからID:1000を読み込み、取得する。また、RFIDリーダ137は、情報発信装置としてのRFIDゲートBを通過した時点で、RFIDゲートBからID:2000を読み込み、取得する。すなわち、図22のようなRFIDゲートの配置を採用すれば、オフィス内にUSBメモリ100が存在している場合には、RFIDリーダ137は、必ず、ID:1000を取得していることになる。また、オフィス内からオフィス外に搬出されたUSBメモリ100では、RFIDリーダ137は、必ず、ID:2000を取得していることになる。なお、アクセス不能化ポリシー保存部26に保存されているアクセス不能化ポリシーには、ID:1000の場合には、アクション(アクセス不能化処理)を許可する旨規定され、ID:2000の場合には、アクション(アクセス不能化処理)を禁止する旨規定されているものとする。
【0164】
図23には、本第5の実施形態において、図6A,図6Bの処理と並行して行われる処理のフローチャートが示されている。この図23に示すように、まず、ステップ840では、RFIDリーダ137が、RFIDゲートを通過したか否かを判断する。ここでの判断が否定された場合には、再度ステップ840の処理を行うが、ここでの判断が肯定された場合には、ステップ842に移行する。ステップ842では、RFIDリーダ137がRFID(ID)を読み込み、取得する。例えば、RFIDゲートBを通過した場合には、RFIDリーダ137は、ID:2000を取得する。ここで取得されたIDは、ポリシー評価部20に送信される。
【0165】
次いで、ステップ844では、ポリシー評価部20が、RFIDのIDが1000であるか否かを判断する。ここでの判断が肯定された場合には、ポリシー評価部20は、アクション(アクセス不能化処理)を禁止する(ステップ846)。一方、ステップ844の判断が否定された場合には、ポリシー評価部20は、アクション(アクセス不能化処理)を許可する(ステップ848)。
【0166】
上記図23の処理において、アクションが許可された場合には、図6A,図6Bにおいて行われるアクセス不能化処理は、実行される。一方、図23の処理においてアクションが禁止された場合には、図6A,図6Bの処理において、アクセス不能化処理のステップに至った場合にも、アクセス不能化処理は実行されない。このようにすることで、本実施形態では、USBを紛失しても、データの悪用される可能性が低いオフィス内では、アクセス不能化処理を行わないようにすることができる。また、これとは逆に、データの悪用の可能性が高いオフィス外ではアクセス不能化処理を行うようにすることができる。
【0167】
なお、上記実施形態においては、アクセス不能化処理の許可・禁止にかかわらず、アクセス不能化処理を行うまでの時間をカウントする場合を想定しているが、これに限られるものではない。例えば、アクセス不能化処理が禁止されている間は、アクセス不能化処理を行うまでの時間のカウントを中止しても良い。このようにすることで、USBメモリ100がオフィス外に持ち出されてから一定時間経過後に、アクセス不能化処理を行うことができるようになる。
【0168】
以上、説明したように、本第5の実施形態によると、USBメモリ100は、RFIDゲートA又はBから、IDを受信するRFIDリーダ137を有しており、ポリシー評価部20は、RFIDリーダ137において受信されたIDに基づいて、アクセス不能化処理の実行を許可又は禁止する。このため、本第5の実施形態では、USBメモリ100に対する操作を行わなくても、アクセス不能化処理の実行の許可・禁止を切り替えることができる。これにより、アクセス不能化処理を実行すべき場所にUSBメモリ100が存在するときと、アクセス不能化処理を実行する必要の無い場所にUSBメモリ100が存在するときとで、アクセス不能化処理の実行・非実行を自動で切り替えることができる。
【0169】
なお、上記第5の実施形態では、取得したIDに応じて、アクセス不能化処理の許可・禁止を切り替える場合について説明したが、これに限らず、その他のアクションの許可・禁止を切り替えることとしても良い。例えば、データの読み出しの許可・禁止を切り替えても良いし、データの書き込み及び読み出しの許可・禁止を切り替えても良い。
【0170】
なお、上記第5の実施形態では、図6A,図6Bと、図23とを並行して実行する場合について説明したが、これに限られるものではなく、図6A,図6Bに、図23の処理の内容を組み込んでも良い。
【0171】
なお、上記第5の実施形態では、USBメモリのアクセス不能化処理の許可・禁止を切り替える手段として、RFID、RFIDリーダを用いることとしたが、これに限られるものではない。例えば、オフィス内に無線の発信機を設置するとともに、USBメモリに受信機を設置することとし、発信機から発信される電波を受信機が受信できているか否かに応じて、アクセス不能化処理の許可・禁止を切り替えても良い。この場合、受信機の感度や発信機から発信される電波の強度は、オフィス内又はオフィス近傍にUSBメモリが存在している場合に、受信機が電波を受信できる程度に設定すれば良い。
【0172】
≪第6の実施形態≫
次に、第6の実施形態について、図24〜図27に基づいて説明する。図24には、本第6の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図26と、図21(第5の実施形態)とを比較すると分かるように、本第6の実施形態のマイクロコンピュータ120においては、RFIDリーダ137とポリシー評価部20との間に、読み込みID履歴記憶部139が設けられている。
【0173】
読み込みID履歴記憶部139は、RFIDリーダ137において取得したIDを、取得時期が新しい順に、N個(ここでは3個とする)だけ記憶する。例えば、オフィスに、図25に示すように、3つのRFIDゲートA,B,Cが設けられている場合において、ゲートC→B→Aの順に通って、オフィス内にUSBメモリ100が搬入されたとする。この場合、読み込みID履歴記憶部139には、図26Aに示すように、3つのID:3000,2000,1000が下側から記憶される。また、例えば、オフィス内から一旦オフィス外に出て、再度ゲートCを通った場合には、USBメモリ100は、ゲートA→B→C→Cの順に通過することになる。このため、読み込みID履歴記憶部139には、図26Aに示すように、新しい順に3つのID:3000,3000,2000が記憶されることとなる。
【0174】
なお、本第5の実施形態のアクセス不能化ポリシーには、読み込みID履歴記憶部139が記憶している3つのIDが、新しい順に1000,2000,3000である場合にアクションを禁止する、旨規定されているものとする。また、その他の場合には、アクション(アクセス不能化処理)を許可する旨規定されているものとする。
【0175】
図27には、本第6の実施形態において、図6A,図6Bの処理と並行して行われる処理のフローチャートが示されている。この図27に示すように、まず、ステップ860では、RFIDリーダ137が、RFIDゲートを通過したか否かを判断する。ここでの判断が否定された場合には、再度ステップ860を実行し、判断が肯定された場合には、ステップ862に移行する。ステップ862では、RFIDリーダ137が、RFIDゲートからIDを読み込み、当該読み込んだIDを、読み込みID履歴記憶部139に記憶する。
【0176】
次いで、ステップ864では、ポリシー評価部20が、読み込みID履歴記憶部139にIDがN個(ここでは、N=3とする)記憶されているか否かを判断する。ここでの判断が否定された場合には、ステップ868に移行し、読み込みID履歴記憶部139が、今回取得したIDを記憶した後、ステップ870に移行する。
【0177】
次いで、ステップ870では、ポリシー評価部20が、読み込みID履歴記憶部139にIDがN個(ここでは、N=3とする)記憶されているか否かを判断する。ここでの判断が否定された場合には、ステップ860に戻る。そして、IDがN(=3)個記憶されるまで、上記処理を繰り返す。その後、読み込みID履歴記憶部139にIDがN(=3)個記憶された段階で、ステップ870が肯定され、ステップ872に移行する。
【0178】
一方、ステップ864における判断が肯定された場合、すなわち、読み込みID履歴記憶部139にIDがN(=3)個記憶された場合には、ステップ866に移行する。ステップ866では、読み込みID履歴記憶部139は、最も古いIDを削除して、今回のIDを記憶する。そして、ステップ872に移行する。
【0179】
ステップ872では、読み込みID履歴記憶部139が、ポリシー評価部20に対して、N(=3)個のIDを送信する。次いで、ステップ874では、ポリシー評価部20が、N(=3)個のIDが所定の配列か否かを判断する。この場合の所定の配列とは、アクセス不能化ポリシーに規定されているIDの配列「1000,2000,3000」を意味する。ここでの判断が肯定された場合には、USBメモリ100がオフィス内に存在している可能性が高いので、アクション(アクセス不能化処理)を禁止する(ステップ876)。一方、ステップ874の判断が否定された場合には、USBメモリ100がオフィス内には存在していない可能性が高いので、アクション(アクセス不能化処理)を許可する(ステップ876)。
【0180】
その他の処理は、第5の実施形態と同様である。
【0181】
このように、本第6の実施形態では、ポリシー評価部20が、RFIDリーダ137で受信した情報の受信順に基づいて、不能化処理の実行を許可又は禁止するので、上記第5の実施形態のようにオフィス内外の別により、アクセス不能化処理を行うことができるという効果に加え、正当なルートでオフィス内に入ってきた場合にのみ、アクセス不能化処理を禁止するなどの効果を得ることができる。
【0182】
なお、上記実施形態では、読み込みID履歴記憶部139に、N個以上IDが記憶されているときには、最も古いIDを消去して、新しいIDを記憶することとしたがこれに限られるものではない。例えば、特定のゲートを通過した場合に、読み込みID履歴記憶部139に記憶されているIDの全てを消去することとしても良い。また、特定のゲートをある順番で通過した場合に、読み込みID履歴記憶部139に記憶されているIDの全てを消去することとしても良い。
【0183】
なお、上記実施形態では、IDが記憶された順序に従って、アクセス不能化処理の許可・禁止を切り替えることとしたが、これに限らず、IDに代えて、カウンタを用いることとしても良い。
【0184】
なお、上記第2〜第6の実施形態のうちの、2以上の実施形態を適宜組み合わせることとしても良い。これらの組み合わせにより、組み合わせた各実施形態の効果を奏することが可能となる。
【0185】
ここで挙げた全ての例および条件的表現は、発明者が技術促進に貢献した発明および概念を読者が理解するのを助けるためのものであり、ここで具体的に挙げたそのような例および条件に限定することなく解釈すべきであり、また、明細書におけるそのような例の編成は本発明の優劣を示すこととは関係ない。本発明の実施形態を詳細に説明したが、本発明の精神および範囲から逸脱することなく、それに対して種々の変更、置換および変形を施すことができると理解すべきである。
【0186】
以上の実施例を含む実施形態に関して、さらに以下の付記を開示する。
(付記1)
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置であって、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部と、
を具える記憶装置。
(付記2)
前記設定情報は、前記インタフェース部を介して設定または変更可能であることを特徴とする、付記1に記載の記憶装置。
(付記3)
前記不能化処理を実行する条件は、経時的に変化する要素について所定の閾値を設定したものであり、
前記設定情報記憶部は、
時間の経過が小さい閾値を示す第一の条件と、データの消去範囲が小さい第一の不能化処理を示す第一の不能化識別情報と、を有する第一の設定情報と、
前記第一の条件よりも時間の経過が大きい閾値を示す第二の条件と、前記第一の不能化処理よりもデータの消去範囲が大きい第二の不能化処理を示す第二の不能化識別情報と、を有する第二の設定情報と、
を格納し、
前記判定部は、前記記憶装置の動作において経時的に変化する要素を、前記設定情報に示される前記条件と比較し、当該条件が充足されるかどうかを判定すること
を特徴とする、付記1または2に記載の記憶装置。
(付記4)
前記ホスト装置の存在を前記インタフェース部を介して検知可能な検知部と、
前記検知部により前記ホスト装置の存在を検知した場合、前記判定部における判定処理を休止させる判定制御部と、
を有することを特徴とする、付記1乃至3のいずれかに記載の記憶装置。
(付記5)
前記不能化制御部が前記不能化処理の実行を指示した場合、当該指示された不能化処理を示す情報を、前記不能化処理によりアクセスが不能とされるデータとは別の格納領域へ格納するログ部と、
前記ログ部に格納された情報を、前記ホスト装置へ前記インタフェース部を介して転送可能なログ転送部と、
を有することを特徴とする、付記1乃至4のいずれかに記載の記憶装置。
(付記6)
さらに、前記条件が充足されると推定される時間、または前記記憶装置の状態を表示する表示器を具えることを特徴とする、付記1乃至5のいずれかに記載の記憶装置。
(付記7)
さらに、前記判定部を動作させる時間を指示する時間管理部を含む、付記1乃至6のいずれかに記載の記憶装置。
(付記8)
前記ホスト装置からの給電開始を検知して前記不能化制御部に通知する、給電開始検知部を有し、
前記ホスト装置からの給電が行われていない間に、前記判定部により前記条件が充足されたと判定された場合には、前記不能化制御部は、前記ホスト装置からの給電が開始された際に、前記不能化処理の実行を指示することを特徴とする付記1乃至7のいずれかに記載の記憶装置。
(付記9)
前記ホスト装置から受け付けたデータを記憶する複数の記憶部と、
前記不能化実行部が前記一の記憶部に対する前記不能化処理を実行している間に、前記他の記憶部への前記ホスト装置からのアクセスを可能にするスイッチ部、を有することを特徴とする付記1乃至8のいずれかに記載の記憶装置。
(付記10)
前記ホスト装置から受け付けたデータを暗号化するとともに、暗号鍵を生成する暗号化部と、
前記暗号鍵を記憶する揮発性の暗号鍵記憶部と、を有することを特徴とする付記1乃至9のいずれかに記載の記憶装置。
(付記11)
外部に設置された情報発信装置から、情報を受信する受信部を有し、
前記不能化制御部は、前記受信部の受信した情報に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする付記1乃至10のいずれかに記載の記憶装置。
(付記12)
前記受信部は、複数の前記情報発信装置から情報を受信し、
前記不能化制御部は、前記受信部で受信した情報の受信順に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする付記11に記載の記憶装置。
(付記13)
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置において用いられるプログラムであって、
前記記憶装置を、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部、
として機能させるプログラム。
【符号の説明】
【0187】
100 USBメモリ
110 USBインタフェース
120 マイクロコンピュータ
124 内部フラッシュ・メモリ
130、132 ハブ・スイッチ
134 主要フラッシュ・メモリ
142 開閉センサ
144 表示器
160 バッテリおよび充電回路
164 リアルタイム・クロック
20 ポリシー評価部
22 認証処理部
24 コマンド処理部
28 時間管理部
30 状態出力部
32 選択部
34 アクセス不能化処理部
36 状態情報およびログ保存部
【技術分野】
【0001】
本発明は、記憶装置に関し、特に、例えばUSBメモリ(USBフラッシュ・ドライブ)のようなインタフェースを介してアクセス可能な記憶装置に関する。
【背景技術】
【0002】
USB(Universal Serial Bus)メモリを紛失することがある。既知のUSBメモリにおいて、USBメモリの紛失による情報の漏洩を防止するために、例えば、USBメモリにパスワードを用いてロックをかける機能、データ・ファイルを暗号化する機能、パスワード・エラーに応じてデータ・ファイルを消去する機能が、利用可能である。
【0003】
データの不正な利用を抑制できるコンピュータ端末用記憶媒体が知られている。そのような記憶媒体は、コンピュータ端末に着脱可能とされ、そのコンピュータ端末において利用可能なデータを読み出し並びに書換え可能に記憶するための記憶部と、その記憶部にデータが記憶された後における経過期間を特定するための経過期間特定手段と、その経過時間特定手段を少なくとも動作させるための電力を供給するための電源手段と、その経過時間特定手段により特定される経過期間が、予め設定された所定の利用可能期間を経過しているか否かを判定する期間経過判定手段と、その判定において経過していると判定されたことを条件として記憶部に記憶されているデータを利用不能とする不能化手段と、を備えている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−338583号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
発明者は、既知のUSBメモリでは、不正アクセスの発生時にデータ消去を行うが、その消去まではUSBメモリにデータ・ファイルが存在するので、そのデータが漏洩するリスクがある、と認識した。また、発明者は、そのデータ・ファイルが暗号化されていても、ファイル自体が消去されない限り暗号鍵が解析されてそのデータが漏洩するリスクがある、と認識した。
【0006】
また、発明者は、既知の記憶媒体では、指定された時間になったときにデータ・ファイルを上書き消去するので、その消去中は正規のユーザであってもその記憶媒体を利用することができないので不便である、と認識した。
【0007】
発明者は、記憶装置において、記憶装置へのアクセスを不能化する複数レベルの保護と、それぞれの保護を与える複数の時間の設定を可能にすれば、ユーザの利便性を損なうことなくデータの漏洩を効果的に防止することができる、と認識した。
【0008】
本発明の目的は、記憶装置へのアクセスを不能化する複数レベルの保護を与えることができるようにすることである。
【0009】
本発明の別の目的は、記憶装置へのアクセスを不能化するそれぞれの異なる時間に異なる保護を与えることができるようにすることである。
【課題を解決するための手段】
【0010】
本発明の特徴によれば、インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置は、そのインタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と;その不能化処理を特定する不能化識別情報と、その不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と;その設定情報記憶部に格納されているその設定情報を参照し、その設定情報に示されるその条件とその記憶装置の動作状態とを比較し、その設定情報に示されるその条件が充足されるかどうかを判定する判定部と;その判定部によりその条件が充足されると判定された場合、その設定情報に示されるその不能化識別情報により特定されるその不能化処理の実行を指示する不能化制御部と、を具えている。
【発明の効果】
【0011】
本発明の特徴によれば、記憶装置へのアクセスを不能化する複数レベルの保護を与えることができ、記憶装置へのアクセスを不能化するそれぞれの異なる時間に異なる保護を与えることができる。
【0012】
発明の目的および利点は、請求の範囲に具体的に記載された構成要素および組み合わせによって実現され達成される。
前述の一般的な説明および以下の詳細な説明は、典型例および説明のためのものであって、本発明を限定するためのものではない、と理解すべきである。
【図面の簡単な説明】
【0013】
【図1】図1は、本発明の実施形態に用いられる、例えばパーソナル・コンピュータのような情報処理装置または端末と、リムーバブル・メディアまたは可搬記憶媒体としてのUSBメモリとを示している。
【図2】図2は、本発明の実施形態によるUSBメモリの概略的な機器構成または配置を示している。
【図3】図3は、本発明の別の実施形態によるUSBメモリの別の概略的な機器構成または配置を示している。
【図4】図4は、USBメモリにおけるフラッシュ・メモリに格納されるログのフォーマットの例を示している。
【図5】図5は、図2および3のマイクロコンピュータの内部の主要な機能部の機能構成または配置を示している。
【図6A】図6Aおよび6Bは、認証処理部22においていずれかの認証に失敗したときに、USBメモリのマイクロコンピュータによって実行される、データ保護のためのポリシー評価のためのフローチャートの例を示している。
【図6B】(図6Aで説明)
【図7】図7Aは、アクセス不能化ポリシーのフォーマットの例を示している。図7Bは、図7Aのフォーマットにおけるアクセス不能化を生じさせる要因の値の定義の例を示している。図7Cは、図7Aのフォーマットにおけるアクセス不能化方法の値の定義の例を示している。
【図8】図8Aは、要因としての経過時間に対するアクセス不能化方法および閾値のテーブルの例を示している。図8Bは、設定されたアクセス不能化方法および閾値の例を示している。
【図9】図9は、USBメモリのマイクロコンピュータによって使用される状態遷移図を示している。
【図10】図10は、情報処理装置と、USBメモリの間の処理手順を示している。
【図11】図11は、情報処理装置と、USBメモリの間の別の処理手順を示している。
【図12】図12は、情報処理装置と、USBメモリの間におけるUSBメモリの復旧の処理手順を示している。
【図13】図13は、ユーザ用USBメモリ・ユティリティ・プログラムに従って情報処理装置のプロセッサによって実行される、ユーザ認証およびファイル・システム構築のためのフローチャートを示している。
【図14A】図14Aおよび14Bは、管理者用のUSBメモリ・ユティリティ・プログラムに従って情報処理装置のプロセッサによって実行される、アクセスを許容する情報処理装置の識別情報の設定および追加、およびアクセス不能化ポリシーの設定および追加のためのフローチャートを示している。
【図14B】(図14Aで説明)
【図15】図15Aは、図14Aのステップ764において情報処理装置の表示装置に表示される、USBメモリへのアクセスを許容する情報処理装置の識別情報の設定、追加または変更のための管理者用の画面を示している。図15Bは、図14Aのステップ764において情報処理装置の表示装置に表示される、USBメモリにアクセス不能化ポリシーを設定、追加または変更するための管理者用の表示画面を示している。
【図16】図16は、第2の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図17】図17は、第2の実施形態において、図6Aのステップ402の代わりに実行される処理を示すフローチャートである。
【図18】図18は、第3の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図19】図19は、第3の実施形態において、図6Bのステップ424の判断が肯定されたときに、ステップ426の代わりに実行される処理を示すフローチャートである。
【図20】図20は、第4の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図21】図21は、第5の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図22】図22は、第5の実施形態に係るUSBメモリの使用に好適なオフィスを示す図である。
【図23】図23は、第5の実施形態において、図6A,図6Bの処理と並行して行われる処理を示すフローチャートである。
【図24】図24は、第6の実施形態に係るマイクロコンピュータの内部の主要な機能部の機能構成または配置を示す図である。
【図25】図25は、第6の実施形態におけるRFIDゲートの配置の一例を示す図である。
【図26】図26Aは、RFIDゲートC→B→Aの順に通って、オフィス内にUSBメモリが搬入されたときに、読み込みID履歴記憶部に記憶されるIDを示す図であり、図26Bは、RFIDゲートA→B→C→Cの順にUSBメモリが搬送されたときに、読み込みID履歴記憶部に記憶されるIDを示す図である。
【図27】図27は、第6の実施形態において、図6A,図6Bの処理と並行して行われる処理を示すフローチャートである。
【発明を実施するための形態】
【0014】
≪第1の実施形態≫
本発明の第1の実施形態を、図面を参照して説明する。図面において、同様のコンポーネントには同じ参照番号が付されている。
【0015】
図1は、本発明の第1の実施形態に用いられる、例えばパーソナル・コンピュータのようなホスト装置としての情報処理装置または端末40と、リムーバブル・メディアまたは可搬記憶媒体としてのUSBメモリ(USBフラッシュ・ドライブ)100とを示している。USBメモリ100は、情報処理装置40のUSBポート49に結合または接続される。情報処理装置40は、ローカルエリア・ネットワーク(LAN)等を介してサーバ20に接続されてもよい。情報処理装置40は、管理者および/またはユーザによって使用することができるものとする。
【0016】
情報処理装置40は、プロセッサ42、記憶装置44(例えばハードディスク)、入力装置46、表示装置48およびUSBポート(端子)49を含んでいる。
【0017】
図2は、本発明の第1の実施形態によるUSBメモリ100の概略的な機器構成(configuration)または配置(arrangement)を示している。
【0018】
USBメモリ100は、USBインタフェース(I/F)110、USBハブ112、ROM118、マイクロコンピュータ(μC)120、ハブ・スイッチ130、主要なフラッシュ・メモリ134、開閉センサ142、および例えばLED等の表示器(インジケータ)144を含んでいる。USBメモリ100は、さらに、主要電源回路150、バッテリおよび充電回路160、補助電源回路162、時間表示または時間監視用のリアルタイム・クロック(RTC)164、およびスイッチ166を含んでいる。フラッシュ・メモリ134は、情報処理装置40から受け取ったユーザのデータ・ファイルを格納する。バッテリおよび充電回路160は、再充電可能なバッテリ(二次電池)とそのバッテリを充電する充電回路とを含んでいる。
【0019】
USBインタフェース110は、電源ラインまたはピンPL(破線矢印)と、データ・ラインまたはピンDL(双頭の実線矢印)とを含んでいる。USBハブ112は、USBインタフェース110に結合されていて、分岐電源ラインPL(破線矢印)と、分岐データ・ラインDL(双頭の実線矢印)とを含んでいる。
【0020】
開閉センサ142は、本体100bとキャップ102またはストラップ104との結合部または係合部付近に設けられた磁気検出器、電流検出器、または近接スイッチ、等(図示せず)を含んでいる。キャップ102またはストラップ104には、その磁気検出器によって検出される永久磁石、その電流検出器に結合可能な抵抗体、またはその近接スイッチによって検出可能な近接部材(図示せず)が設けられていてもよい。開閉センサ142は、USBメモリ100からキャップ102またはストラップ104が外されたことを検出し、USBメモリ100にキャップ102またはストラップ104が結合または係合されたことを検出する。マイクロコンピュータ120(CPU122)は、開閉センサ142の検出出力を監視制御してもよい。開閉センサ142の検出によって、マイクロコンピュータ120(CPU122)を介してまたは直接的にスイッチ166がターンオン/ターンオフされる。
【0021】
表示器144は、マイクロコンピュータ120(CPU122)によって制御され駆動されて、USBメモリ100の動作状態、およびマイクロコンピュータ120による最初または次のアクセス不能化または保護護処理までの残り時間を表示してもよい。
【0022】
マイクロコンピュータ120は、CPU122、RAM126、内部のフラッシュ・メモリ124、および電源制御回路128を含んでいる。内部のフラッシュ・メモリ124は、CPU122によって用いられるファームウェア・プログラム(FW)、およびデータ(認証用の識別情報、データ・ファイル等の暗号鍵、アクセス不能化(無効化)ポリシー、ログ、状態情報)を格納することができる。
【0023】
情報処理装置100(プロセッサ42)によって用いられるユーザ用のUSBメモリ・ユティリティ・プログラム(PRG_U)が、ROM118に格納されている。マイクロコンピュータ120のCPU122によって用いられるUSBメモリ・ユティリティ(管理、認証、ポリシー評価、等用)プログラム(PRG_F)が、フラッシュ・メモリ124に格納されている。
【0024】
USBメモリ100はそのUSBインタフェース110(DL)を介して情報処理装置40のUSBポート49に結合される。ROM118およびマイクロコンピュータ120は、USBハブ112(DL)を介してUSBインタフェース110に結合されている。マイクロコンピュータ120は、ハブ・スイッチ130(DL)を介してフラッシュ・メモリ134に結合され、バッテリおよび充電回路160、リアルタイム・クロック164、開閉センサ142および表示器144に結合されている。フラッシュ・メモリ134は、ハブ・スイッチ130およびUSBハブ112(DL)を介してUSBインタフェース110またはマイクロコンピュータ120に結合される。
【0025】
バッテリおよび充電回路160は、USBハブ112およびUSBインタフェース110(PL)を介して、情報処理装置40のUSBポート49から給電を受けて再充電可能なバッテリに充電し、補助電源回路162に給電し、スイッチ166を介して主要電源回路150に給電する。バッテリおよび充電回路160は補助電源回路162に結合されている。主要電源回路150は、USBハブ112およびUSBインタフェース110(PL)を介して情報処理装置40のUSBポート49からも給電を受ける。また、主要電源回路150は、USBメモリ100が情報処理装置40に結合されていない場合には、スイッチ166によってオン/オフ制御され、バッテリおよび充電回路160から給電を受ける。
【0026】
スイッチ166は、マイクロコンピュータ120、リアルタイム・クロック164、および/または開閉センサ142によって制御される。
【0027】
主要電源回路150は、USBインタフェース110が情報処理装置40のUSBポートに結合されたときまたはスイッチ166によってターンオンされてバッテリおよび充電回路160から給電されたとき、ROM118、マイクロコンピュータ120、フラッシュ・メモリ134、および表示器144に電力を供給する。補助電源回路162は、開閉センサ142、リアルタイム・クロック164、およびスイッチ166に電力を供給する。表示器144は、主要電源回路150によってではなく、補助電源回路162によって電力を供給されてもよい。
【0028】
情報処理装置40のプロセッサ42は、記憶装置44またはUSBメモリ100(ROM118)に格納されているプログラム(PRG_M、PRG_U)に従って動作することができる。記憶装置44には、管理者用のユティリティ・プログラム(PRG_M)、および/またはユーザ用のユティリティ・プログラム(PRG_U)が格納される。
【0029】
ユーザ用のユティリティ・プログラム(PRG_U)は、USBメモリ100が情報処理装置40に結合されたときに、USBメモリ100のROM118から読み込まれて記憶装置44に格納される。ユーザ用のユティリティ・プログラムは、例えば、ユーザ認証、情報処理装置認証、USBメモリ100(フラッシュ・メモリ134)のファイル・システム構築用の管理プログラムを含んでいる。
【0030】
管理者用のユティリティ・プログラム(PRG_M)は、例えば、管理者認証、情報処理装置認証、アクセスを許容する情報処理装置の設定(追加、変更、削除)、アクセス不能化ポリシーの設定(追加、変更、削除)、USBメモリ100(フラッシュ・メモリ134)のファイル・システム構築用の管理プログラムを含んでいる。そのアクセス不能化ポリシーは、ルールまたは条件および不能化処理法の識別情報および/またはパラメータを含んでいてもよい。入力装置46には、例えばキーボード、ポインティング・デバイス等が含まれる。
【0031】
認証処理部22は、認証情報の保存、ユーザ認証、管理者(特権ユーザ)認証、または情報処理装置または端末の認証を行う。それによって、USBメモリ100の正規の情報処理装置との接続、およびUSBメモリ100の正規のユーザまたは管理者による使用が検出(検知)される。CPU122は、ログまたは状態情報として、現在の日時、認証等のイベント発生日時、情報処理装置を介してサーバ20に接続された日時、USBメモリ100(フラッシュ・メモリ134)が開かれおよび閉じられた(キャップの開閉またはストラップ着脱)日時、連続的なユーザ認証失敗回数、連続的な管理者(特権ユーザ)認証失敗回数、情報処理装置40の連続的な認証失敗回数、バッテリ電力残量、状態情報、等を、状態情報およびログ保存部(36)に記録する。
【0032】
図4は、USBメモリ100におけるフラッシュ・メモリ124に格納されるログのフォーマットの例を示している。ログは、例えば、イベント発生日時、アクセス不能化の発生の要因、アクセス不能化方法、および適用された閾値を含んでいる。USBメモリ100へのアクセス不能化の要因は、例えば、最後の許可されたアクセスの時点からの経過時間、パスワード認証の失敗の回数、バッテリ電力残量の低下、等がある。アクセス不能化方法には、暗号鍵の消去、データの部分的消去、フラッシュ・メモリ134の上書き消去、フラッシュ・メモリ134のロック、機能制限(例、認証機能の制限)、等がある。図4において、2月28日11:00においてバッテリが2200mVに低下しそれによって暗号鍵が消去され、その後でバッテリ電力が切れてUSBメモリ100の設定が初期化されリアルタイム・クロック164が初期状態の2008年に設定されている。
【0033】
図3は、本発明の別の実施形態によるUSBメモリ100の別の概略的な機器構成または配置を示している。
【0034】
図3において、図2のハブ・スイッチ130の代わりに、マイクロコンピュータ120内に設けられたハブ・スイッチ132の機能が用いられる。図3に示すUSBメモリ100のその他の機器構成または配置やその動作は図2のものと同様である。
【0035】
図5は、図2および3のマイクロコンピュータ120の内部の主要な機能部の機能構成または配置を示している。
【0036】
マイクロコンピュータ120は、機能部分または回路部分として、ポリシー評価部または判定部20、認証処理部22、コマンド処理部24、アクセス不能化ポリシー保存部(設定情報記憶部)26、時間管理部28、状態出力部30を含んでいる。また、マイクロコンピュータ120は、他の機能部分または回路部分として、アクセス不能化を選択または制御する選択部または制御部32、アクセス不能化処理部(実行部)またはデータ保護処理部34、および状態情報およびログ(記録)保存部(状態情報保持部)36を含んでいる。これらの機能は、フラッシュ・メモリ124内のファームウェアFWまたはプログラムPRG_Fによって実現(実装)される。認証処理部22は認証情報保存部を有する。認証処理部22の認証情報保存部、アクセス不能化ポリシー保存部26、および状態情報およびログ保存部36は、マイクロコンピュータ120内のフラッシュ・メモリ124の領域である。フラッシュ・メモリ124内のファームウェアFW、プログラムPRG_Fおよびデータは、バッテリおよび充電回路160のバッテリの電力残量がなくなっても消失しない。
【0037】
アクセス不能化処理部34の保護処理1の暗号鍵消去は、フラッシュ・メモリ124または134内に保存された複数の暗号鍵を消去する処理である。それら複数の暗号鍵は、暗号化されたデータ・ファイルがフラッシュ・メモリ134に格納されるときに生成されてフラッシュ・メモリ124または134に保存される。
【0038】
ポリシー評価部20は、アクセス不能化ポリシー保存部(ルールまたは条件および不能化処理法の記憶部)26に保存されているそれぞれのアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)に従って、現在の日時、ログおよび状態情報に基づいて、USBメモリ100を保護すべきかどうか、即ちUSBメモリ100のフラッシュ・メモリ134内のデータ・ファイルへのアクセスをそれぞれの保護レベルで不能化すべきかどうかを判定する。USBメモリ100を保護すべきと判定された場合には、ポリシー評価部20は選択部32を制御してアクセス不能化方法または保護方法を選択して、暗号鍵消去、データ消去、機能制限、等の、フラッシュ・メモリ134内データへのアクセス不能化を行う。
【0039】
認証処理部22は、認証用の識別情報を設定し、管理者によって設定された認証用の識別情報に基づいて、アクセスを許容された情報処理装置の認証、管理者の認証、ユーザの認証、等を行う。
【0040】
コマンド処理部24は情報処理装置40から受け取ったコマンドを実行する。コマンド処理部24は、コマンドに従って、管理者によって設定されたアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をアクセス不能化ポリシー保存部26に格納する。コマンド処理部24は、コマンドに従って、ハブ・スイッチ130または132を制御する。コマンド処理部24は、コマンドに従って、状態出力部または状態転送部30に、状態情報またはログをUSBインタフェース110およびUSBハブ112を介して情報処理装置40へと転送し出力させる。
【0041】
時間管理部28は、ポリシー評価部20の要求または評価結果に従って、リアルタイム・クロック164を管理し設定し制御する。
【0042】
図6Aおよび6Bは、認証処理部22においていずれかの認証に失敗したときに、USBメモリ100のマイクロコンピュータ120(CPU122)によって実行される、データ保護のためのポリシー評価のためのフローチャートの例を示している。図6Bは、図6Aにおけるステップ422、423の詳細なフローチャートを示している。
【0043】
ステップ402において、USBインタフェース110が情報処理装置40のUSBポート49に結合されてUSBポート49から主要電源回路150に給電されたとき、主要電源回路150は、ターンオン状態になって、マイクロコンピュータ120、主要フラッシュ・メモリ134および表示器144に電力を供給する。スイッチ166がオン状態になってバッテリおよび充電回路160から主要電源回路150に給電されたときも、主要電源回路150は同様に動作する。従って、マイクロコンピュータ120が起動して、ポリシー評価部20が動作する。
【0044】
USBメモリ100のUSBインタフェース110が情報処理装置40のUSBポート49に動作上結合されたとき、ROM118に格納されていたユーザ用のUSBメモリ・ユティリティ(管理、認証、ファイル・システム構築、等)プログラム(PRG_U)が情報処理装置40のプロセッサ42によって自動的に読み込まれて実行される。それによって、USBメモリ100へのアクセスのためのユーザ用の認証画面が表示装置48に表示される。
【0045】
管理者用USBメモリ・ユティリティ・プログラム(PRG_M)が、記憶装置44に格納されていて、管理者(特権ユーザ)の操作に従って情報処理装置40のプロセッサ42によって実行される。それによって、USBメモリ100へのアクセスのための管理者用の認証画面が表示装置48に表示される。
【0046】
情報処理装置40のプロセッサ42は、ユーザまたは管理者によって入力されプロセッサ42によって供給された識別情報(ID、パスワード、等)、または記憶装置44に格納された情報処理装置40の認証用の識別情報をUSBメモリ100に供給する。USBメモリ100のマイクロコンピュータ120の認証処理部22は、受け取った識別情報と、フラッシュ・メモリ124またはフラッシュ・メモリ134に予め格納された識別情報とを比較して、情報処理装置40の装置認証、ユーザ認証または管理者認証を行う。
【0047】
認証が成功したと判定された場合は、コマンド処理部24は、情報処理装置40からコマンドを受け取って、そのコマンドに従ってハブ・スイッチ130または132をUSBハブ112側に切り換えてフラッシュ・メモリ134をUSBハブ112に接続し情報処理装置40のUSBポート49に接続する。それによって、情報処理装置40のプロセッサ42は、フラッシュ・メモリ134中のデータ・ファイルにアクセス可能となる。プロセッサ42は、ユーザまたは管理者(特権ユーザ)の操作またはコマンドに従ってフラッシュ・メモリ134内のデータ・ファイルを処理し、またはフラッシュ・メモリ134に新しいデータ・ファイルを追加する。
【0048】
ステップ404においてポリシー評価部20は認証処理部22による現在の認証状態または認証結果を確認する。ポリシー評価部20は、表示器144に、最初のまたは次のアクセス不能化処理の開始までの残り時間を表す情報、および現在のバッテリ電力残量を表す情報を表示する。その表示の形態は、その情報に対応する色のLEDの発光および/または発光の形態またはパターン(例えば、点灯するLEDの色、連続点灯、長い周期の点滅、短い周期の点滅、等)であってもよい。それによって、アクセス不能化に関してユーザに注意を促すことができる。ステップ406において、ポリシー評価部20は、現時点で認証が成功したかどうかを判定する。認証が成功したと判定された場合は、手順はステップ410に進む。
【0049】
ステップ410において、ポリシー評価部20または認証処理部22(CPU122)は、フラッシュ・メモリ134がユーザ、管理者(特権ユーザ)または情報処理装置40によってアクセスされた日時(結合の日時、開閉センサ142が検出した開いた日時、開閉センサ142が検出した閉じた日時)をログとして記録してもよい。ポリシー評価部20または認証処理部22(CPU122)は、状態情報およびログ保存部36のログにおける認証失敗の記録を消去しリセットする。
【0050】
ステップ406において認証がなされずまたは認証に失敗したと判定された場合は、ステップ408において、ポリシー評価部20または認証処理部22(CPU122)は、現在の日時(日付と時刻)および認証失敗回数をログとして記録する。その後、手順はステップ474に進む。
【0051】
ステップ420において、ポリシー評価部20は、アクセス不能化ポリシー保存部26、状態情報およびログ保存部36、およびリアルタイム・クロック164または状態情報およびログ保存部36にアクセスして、管理者(特権ユーザ)またはユーザによってその設定された各アクセス不能化ポリシー(そのルールまたは条件(要因、閾値))に従って現在の日時に基づいてUSBメモリ100の状態またはログ(記録)を判定し評価する。
【0052】
ステップ422において、ポリシー評価部20は、評価の結果に従って、フラッシュ・メモリ134中のデータ・ファイルを保護すべきかどうかを判定する。保護すべきと判定された場合は、手順はステップ423に進む。保護する必要がないと判定された場合は、手順はステップ474に進む。
【0053】
ステップ423において、ポリシー評価部20は、選択器32を制御して所要の保護処理を実行する。その後、手順はステップ404に戻る。
【0054】
ステップ474において、ポリシー評価部20は、現在、USBメモリ100が情報処理装置40に結合されているかどうかを判定する。それが結合されていると判定された場合は、ステップ476において、コマンド処理部24は、情報処理装置100からのコマンドを受け付け、バッテリおよび充電回路160への充電を継続する。その後、手順はステップ404に戻る。
【0055】
ステップ474においてUSBメモリ100が情報処理装置40に結合されていないと判定された場合は、ステップ478において、ポリシー評価部20は、アクセス不能化ポリシー保存部26を参照して各アクセス不能化ポリシー(そのルールまたは条件)の要因および閾値の時間に基づいて次のおよびその後のポリシー評価の開始時間を決定して時間管理部28に供給する。例えば、最も先に到来する時間閾値が時間計測開始時点から3×24時間であれば、ポリシー評価の開始時間を、24時間、48時間、60時間、66時間、69時間、72時間の経過点としてもよい。ポリシー評価部20のポリシー評価の開始時間に基づいて、時間管理部28は、次の主要電源150の起動時間(日時)を決定して、その時間をリアルタイム・クロック164に設定する。
【0056】
また、ポリシー評価部20は、USBメモリ100が情報処理装置40に結合されたときまたは常に、最初のまたは次のアクセス不能化処理の実行開始までの残り時間を表す情報およびバッテリ電力残量を表す情報を、表示器144に表示してもよい。ステップ480において、ポリシー評価部20は、時間管理部28を介して主要電源150をターンオフする。その後、手順は図6Aのルーチンを出る。
【0057】
図6Bを参照すると、ステップ420の後のステップ424において、ポリシー評価部20は、ポリシー1(その不能化識別情報)のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がアクセス不能化ポリシー保存部26内のポリシー1のルールまたは条件を満たすまたは充足するかどうかを判定する。そのルールは、例えば、認証により許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)24時間を超えている場合に、フラッシュ・メモリ134中のデータ・ファイルに用いられるフラッシュ・メモリ124または134に格納された暗号鍵を消去することである。ステップ424においてポリシー1のルールによる保護処理が実行済みであるかまたはその状態がポリシー1のルールまたは条件を満たさないと判定された場合は、手順はステップ434に進む。
【0058】
ステップ424においてポリシー1のルールまたは条件を満たすと判定された場合は、ステップ426において、ポリシー評価部20は、USBメモリ100へのアクセスを防止するためにUSBインタフェース112を一時的にロックする。即ち、ポリシー評価部20は、ハブ・スイッチ130または132により、フラッシュ・メモリ134をUSBインタフェース112側からマイクロコンピュータ120側へ切り換える。ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理1(暗号鍵の消去)を選択して、データ・ファイル用のフラッシュ・メモリ124または134中の全ての暗号鍵を消去する。その後、手順はステップ470に進む。
【0059】
ステップ434において、ポリシー評価部20は、ポリシー2のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー2のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)48時間を超えている場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブルまたは一部のファイルを消去することである。その一部のファイルとは、例えば、暗号化されているファイル、または作成日または更新日が現在より1カ月未満前の新しいファイルである。ステップ434においてポリシー2のルールによる保護処理が実行済みであるかまたはその状態がポリシー2のルールまたは条件を満たさないと判定された場合は、手順はステップ444に進む。
【0060】
フラッシュ・メモリ134内の一部のファイルが消去されると、その一部のファイルへのアクセスが困難になる。
【0061】
ステップ434においてポリシー2のルールまたは条件を満たすと判定された場合は、ステップ436において、ポリシー評価部20は、USBインタフェース112を一時的にロックする。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理2を選択して、フラッシュ・メモリ134内のファイル・テーブルまたは一部のファイルを消去する。その後、手順はステップ470に進む。
【0062】
フラッシュ・メモリ134内のファイル・テーブルまたは一部のファイルが消去されると、そのファイル・テーブルまたは一部のファイルへのアクセスは困難になる。
【0063】
ステップ444において、ポリシー評価部20は、ポリシー3のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー3のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)5日(5×24時間)を超えている場合に、フラッシュ・メモリ134内の全てのデータを上書き消去することである。ステップ444においてポリシー3のルールによる保護処理が実行済みであるかまたはその状態がポリシー3のルールまたは条件を満たさないと判定された場合は、手順はステップ454に進む。
【0064】
ステップ444においてポリシー3のルールまたは条件を満たすと判定された場合は、ステップ446において、ポリシー評価部20は、USBインタフェース112を一時的にロックする。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理3を選択して、フラッシュ・メモリ134内の全てのデータ(ログ以外のデータ)を上書き消去する。その後、手順はステップ470に進む。
【0065】
フラッシュ・メモリ134内の全データが上書き消去されると、その全てのデータは技術的に分析しても復活させることができない。従って、USBメモリ100(フラッシュ・メモリ134)内のデータへのアクセスは不可能になる。
【0066】
ステップ454において、ポリシー評価部20は、ポリシー4のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー4のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)6日(6×24時間)を超えている場合に、USBインタフェース112を固定的にロックすることである。ステップ454においてポリシー4のルールによる保護処理が実行済みであるかまたはその状態がポリシー4のルールまたは条件を満たさないと判定された場合は、手順はステップ464に進む。
【0067】
ステップ454においてポリシー4のルールまたは条件を満たすと判定された場合は、ステップ446において、ポリシー評価部20は、保護処理として、USBインタフェース112を固定的にロックする。即ち、ポリシー評価部20は、ハブ・スイッチ130または132により、フラッシュ・メモリ134をUSBインタフェース112側からマイクロコンピュータ120側へ切り換える。その後、手順はステップ470に進む。
【0068】
USBインタフェース112が固定的にロックされると、権限ある管理者以外の者は、フラッシュ・メモリ134にアクセスできなくなる。
【0069】
ステップ464において、ポリシー評価部20は、ポリシー5のルールによる保護処理が未だ実行されておらず、かつ現在のUSBメモリ100の状態がポリシー5のルールまたは条件を満たすかどうかを判定する。そのルールは、例えば、許可された最後のアクセスの時間またはUSBメモリ100を閉じた時間からの経過時間(要因)が閾値(パラメータ)7日(7×24時間)を超えている場合に、フラッシュ・メモリ134内の全データを上書き消去し、フラッシュ・メモリ124の一部の機能、例えば認証機能を停止させることである。ステップ464においてポリシー5のルールによる保護処理が実行済みであるかまたはその状態がポリシー5のルールまたは条件を満たさないと判定された場合は、手順は図6Aのステップ474に進む。
【0070】
ステップ464においてポリシー5のルールまたは条件を満たすと判定された場合は、ステップ466において、ポリシー評価部20は、USBインタフェース112がロックされていない場合は、USBインタフェース112を一時的にロックする。USBインタフェース112が既にロックされている場合は、そのロック状態を一時的ロックとして維持する。次いで、ポリシー評価部20は、保護処理として、選択器32によりアクセス不能化処理部34中の保護処理5を選択して、フラッシュ・メモリ134内の全てのデータ(ログ以外のデータ)を上書き消去する。ポリシー評価部20は、さらに、フラッシュ・メモリ124の一部の機能、例えば認証機能のファームウェアFMまたはプログラムPRG_Fを部分的に消去または書き換えてその機能を停止させる。その後、ステップ448において保護処理が完了したと判定された場合は、手順はステップ470に進む。
【0071】
認証処理部22の認証機能が停止すると、コマンド処理部24は情報処理装置40からのコマンドを受け付けなくなる。従って、USBメモリ100(フラッシュ・メモリ134)内のデータへのアクセスは不可能になり、USBメモリ100を使用することもできなくなる。
【0072】
ポリシー評価部20は、さらにアクセス不能化ポリシー保存部26内の他のアクセス不能化ポリシー(そのルールまたは条件)についても同様に判定し、対応する保護処理を実行してもよい。そのルールは、例えば、USBメモリ100の情報処理装置40への接続後から正当なユーザ認証までの経過時間(要因)が閾値(パラメータ)12時間を超え、かつ連続的なユーザ認証失敗回数が5回を超えた場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブル、一部のファイルまたは全てのデータを上書き消去するものであってもよい。そのルールは、例えば、バッテリおよび充電回路160中のバッテリ電力残量を表す電圧が2200mV以下に低下し、かつ連続的なユーザ認証失敗回数が5回を超えた場合に、フラッシュ・メモリ134内のデータ・ファイル中のファイル・テーブル、一部のファイルまたは全てのデータを上書き消去するものであってもよい。
【0073】
ステップ470において、ポリシー評価部20は、保護処理の結果として生じたUSBメモリ100の状態をログとして状態情報およびログ保存部36に保存する。保護処理におけるロックが一時的ロックであった場合は、ポリシー評価部20は、さらに、選択部32を介して、USBインタフェース112のロックを解除し、即ちハブ・スイッチ130または132により、フラッシュ・メモリ134をマイクロコンピュータ120側への強制的接続状態を解除してもよい。フラッシュ・メモリ134は、ハブ・スイッチ130または132によってUSBインタフェース110に接続可能となる。但し、保護処理におけるロックが固定的ロックである場合(ポリシー4)は、ポリシー評価部20はロック解除を行わない。
【0074】
図7Aは、アクセス不能化ポリシーのフォーマットの例を示している。図7Bは、図7Aのフォーマットにおけるアクセス不能化を生じさせる要因の値の定義の例を示している。図7Cは、図7Aのフォーマットにおけるアクセス不能化方法の値の定義の例を示している。
【0075】
図7Aにおいて、アクセス不能化ポリシーのフォーマットは、例えば、アクセス不能化を生じさせる要因(1バイト)、アクセス不能化方法(1バイト)、アクセス不能化を生じさせるための閾値(4バイト)を含んでいる。閾値は、アクセス不能化を生じさせる要因に関する閾値である。
【0076】
図7Bにおいて、アクセス不能化を生じさせる要因として、例えば、正当な最後のアクセスからの経過時間、バッテリの電力残量、情報処理装置の認証の失敗回数、ユーザ認証の失敗回数、管理者(特権ユーザ)認証の失敗回数、USBメモリ100の情報処理装置への結合開始から情報処理装置の認証完了(成功)までの時間、ユーザによるアクセス不能化コマンド、開閉センサ142が検出したキャップ102またはストラップ104が開いた後の経過時間、等の項目を含んでいる。アクセス不能化を生じさせる要因として、開閉センサ142が検出したキャップ102またはストラップ104が閉じた後の経過時間を用いてもよい。開閉センサ142によって検出された物理的開閉からの経過時間を用いることによって、ユーザが最後にUSBメモリ100のキャップ102またはストラップ104を開いたまたは閉じた時点からの経過時間をアクセス不能化を生じさせる要因とすることができる。
【0077】
上述のように経過時間に応じてUSBメモリ100のデータへのアクセスを異なるレベルで不能化することによって、権限のない者がUSBメモリ100に時間をかけて様々な手法でアクセスしようとした場合にもUSBメモリ100内のユーザのデータへの不正なアクセスの可能性をより低くしまたはなくすことができる。経過時間が或る閾値以下であれば、正規のユーザは正当な認証によってUSBメモリ100を使用できる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0078】
上述のように、経過時間が増加するにしたがって、USBメモリ100におけるデータの消去の範囲を段階的に拡大することによって、不正なデータ流出を防止すると共に、当該消去処理から復帰するまで正規のユーザであってもその記憶媒体を利用することができないという不都合を最小限にすることが期待される。即ち、経過時間が比較的短い段階では、USBメモリ100からデータを消去する範囲も少なくすることによって、当該消去処理から復帰するまでの所要時間を少なく済ませることができる。
【0079】
上述のように認証の失敗回数に応じてUSBメモリ100のデータへのアクセスを異なるレベルで不能化することによって、権限のない者がUSBメモリ100にアクセスしようと多数回認証を試みた場合にもUSBメモリ100内のユーザのデータへの不正なアクセスの可能性をより低くしまたはなくすことができる。認証の連続的失敗回数が或る閾値以下であれば、正規のユーザは正当な認証によってUSBメモリ100を使用できるようになる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0080】
図7Cにおいて、アクセス不能化方法として、例えば、データの上書き消去、データの部分的消去、ファイルのリストの消去、フラッシュ・メモリ134(ハブ・スイッチ130、132)のロック、暗号鍵の消去、機能制限、等を含んでいる。
【0081】
図8Aは、要因としての経過時間に対するアクセス不能化方法および閾値のテーブルの例を示している。図8Bは、設定されたアクセス不能化方法および閾値の例を示している。この場合、要因は全て経過時間である。
【0082】
図8A中のいくつかの項目(行)の内容(条件(要因、閾値)および不能化処理法)が適用されるのもとして選択されて、USBメモリ100(フラッシュ・メモリ124、アクセス不能化ポリシー保存部26)に設定される。図8Bの例において、図8Aの複数の項目の内容の中の幾つかの項目が選択されて設定されている。
例えば、図8Bの項目1の内容(条件および不能化処理法)が設定された場合、閾値120時間が経過したときフラッシュ・メモリ134のデータの上書き消去が生じる。例えば、図8Bの項目2の内容(条件および不能化処理法)が設定された場合、閾値144時間が経過したとき、フラッシュ・メモリ134のデータの上書き消去と、ハブ・スイッチ130または132によるフラッシュ・メモリ134のロックとが発生する。例えば、図8Bの項目3の内容(条件および不能化処理法)が設定された場合、閾値168時間が経過したとき、フラッシュ・メモリ134のデータの上書き消去と、暗号鍵の消去と、機能制限とが発生する。機能制限は、フラッシュ・メモリ124のファームウェア(FW)またはユティリティ・プログラム(PRG_F)の対応する機能部分の部分的な消去または書き換えであってもよい。
【0083】
上述のように異なる複数のアクセス不能化形態を用意することによって、それぞれの要因に応じて異なるレベルでUSBメモリ100またはそのデータを保護することができる。それによって、正規のユーザがUSBメモリ100のデータにアクセスしようとする可能性が高い状況においては、そのデータへのアクセスの可能性を高くすることができる。また、権限のない者がUSBメモリ100のデータに不正にアクセスしようとする可能性が高い状況においては、そのデータの保護の度合いを高くすることができる。データの種類に応じてデータを異なるレベルで保護することによって、秘密性の高いデータにはより高い保護を与え、秘密性の低いデータはより低い保護を与えることができる。それによって、USBメモリ100の利用における正規のユーザの利便性を確保することができる。
【0084】
図9は、USBメモリ100のマイクロコンピュータ120によって使用される状態遷移図を示している。
【0085】
USBメモリ100は、工場から出荷した時には初期モード502で動作する。管理者または特権ユーザが、そのUSBメモリ100を情報処理装置40のUSBポート49に結合して、管理者の所要の識別情報(ID)またはパスワードを入力してUSBメモリ100に設定すると、USBメモリ100は管理者モード504に移行する。
【0086】
管理者モード504において、管理者は、情報処理装置40を操作して、アクセスを許容する情報処理装置40の装置識別情報、アクセスを許容するユーザの識別情報、およびアクセス不能化ポリシーを、USBメモリ100に設定し、追加または変更することができる。アクセス不能化ポリシーは、そのルールまたは条件(要因、閾値)および不能化処理法を表す識別情報および/またはパラメータによって表される。管理者モード504において、管理者が装置識別情報およびアクセス不能化ポリシー等の設定、追加または変更を完了させると、USBメモリ100は正常モード506に移行する。正常モード506において、USBメモリ100においてアクセス不能化ポリシーが有効化される。
【0087】
正常モード506において、ユーザは、USBメモリ100を情報処理装置40に結合してUSBメモリ100のフラッシュ・メモリ134にアクセスすることができ、フラッシュ・メモリ134中の有効なデータ・ファイルを開くことができ、フラッシュ・メモリ134に新しいデータ・ファイルを追加し、USBメモリ100を削除することができる。
【0088】
正常モード506においてアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)が適用される状態が発生すると、USBメモリ100は、アクセス不能化のための保護処理を実行してアクセス不能化モード508に移行する。アクセス不能化の結果として、USBメモリ100の機能制限が発生した場合は、機能制限モード512に移行する。
【0089】
アクセス不能化モード508において、他の複数のアクセス不能化ポリシーが継続的に有効である。アクセス不能化モード508において、別のアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)が適用される状態が発生すると、USBメモリ100は、アクセス不能化のための別の保護処理を実行してアクセス不能化モード508を維持する。アクセス不能化モード508には、例えば、暗号鍵の消去状態、データ・ファイルの消去状態、データの消去状態、ロック状態、等が存在する。アクセス不能化の結果として、USBメモリ100の機能制限が発生した場合は、機能制限モード512に移行する。
【0090】
アクセス不能化モード508において、管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証すると、アクセス不能化モード508が解除される。保護処理の結果としてUSBメモリ100がロック状態にある場合は、管理者による認証によってそのロック状態が解除される。それによって、USBメモリ100は、自己の状態情報およびログを更新して管理者モード504に移行する。管理者モード504において、管理者が解除または復旧処理を完了させると、USBメモリ100は正常モード506に移行する。
【0091】
但し、保護処理の結果として、少なくともデータの一部が消去され、暗号鍵が消去されて少なくとも一部のデータ・ファイルへのセクセスができず、または少なくとも一部のデータ・ファイルが消去されていることがある。フラッシュ・メモリ134の全てのデータが上書き消去されている場合は、管理者は、管理者用のユティリティ・プログラム(PRG_M)を用いて、ファイル・システムを再構築することができる。
【0092】
アクセス不能化モード508において、ユーザがUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証してアクセス不能化モード508を解除すると、USBメモリ100は、自己の状態情報およびログを更新して正常モード506に移行する。
【0093】
但し、保護処理の結果として、USBメモリ100がロック状態にあることがあり、または、少なくともデータの一部が消去され、少なくとも一部のデータ・ファイルへのセクセスができず、少なくとも一部のデータ・ファイルが消去されていることがある。保護処理の結果としてUSBメモリ100がロック状態にある場合は、管理者のみによってそのロック状態が解除され、ユーザによってはそのロック状態が解除できないようにしてもよい。フラッシュ・メモリ134の全てのデータが上書き消去されている場合は、ユーザは、フラッシュ・メモリ124のファームウェア(ユティリティ・プログラム)を用いて、ファイル・システムを再構築することができる。
【0094】
正常モード506において管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して正常に認証を行うと、USBメモリ100は管理者モード504に移行する。それによって、USBメモリ100への装置識別情報およびアクセス不能化ポリシー等の設定、追加または更新が可能になる。USBメモリ100のログは更新される。
【0095】
アクセス不能化モード508または正常モード506において機能制限が発生すると、USBメモリ100は機能制限モードに移行する。機能制限モード512において、ユーザまたは管理者がUSBメモリ100を情報処理装置40のUSBポート49に結合して認証を行おうとしても、USBメモリ100はいかなる認証をも受け付けず、新しいコマンドを受け付けない。
【0096】
機能制限モード512において、製造業者の権限でオペレータがUSBメモリ100の機能制限を解除して復旧処理すると、USBメモリ100は初期モード502で動作する。その復旧処理は、例えばフラッシュ・メモリ124のファームウェア(FW)またはユティリティ・プログラム(PRG_F)の修復による復旧処理であってもよい。
【0097】
図10は、情報処理装置40とUSBメモリ100の間の処理手順を示している。
【0098】
ステップ602においてユーザがUSBメモリ100を情報処理装置40に結合すると、ステップ432において、ユーザ用のユティリティ・プログラム(PRG_U)を実行する。ユーザ用のユティリティ・プログラムが情報処理装置40にインストールされていない場合は、情報処理装置40(プロセッサ42)はUSBメモリ100(ROM118)から自動的にプログラム(PRG_U)を読み込んでまたは呼び出して実行してもよい。ステップ604において、情報処理装置40(プロセッサ42)はUSBメモリ100から状態情報を取得する。
【0099】
ステップ634において、情報処理装置40(プロセッサ42)は取得した状態情報に基づいてUSBメモリ100の動作状態を判定し、正常モードまたはアクセス不能化モードかどうかを判定する。その動作状態が正常モードまたはアクセス不能化モードであれば、ステップ606において、情報処理装置40(プロセッサ42)は自己の装置識別情報(例、BIOS/TPM(Trusted Platform Module)のID)をUSBメモリ100に供給する。
【0100】
ステップ612において、USBメモリ100(CPU122)は情報処理装置100の装置識別情報を検証して、情報処理装置100の認証を行う。ステップ608において、USBメモリ100(CPU122)はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0101】
認証結果が成功の場合は、ステップ636において、情報処理装置40(プロセッサ42)はユーザ認証画面を表示装置48に表示し認証情報の入力を要求する。ユーザは入力装置46を操作してユーザ認証情報(例、ID、パスワード)を入力する。ステップ644において、認証情報は情報処理装置40からUSBメモリ100へ供給される。
【0102】
ステップ614において、USBメモリ100(CPU122)は認証情報を検証して、ユーザの認証を行う。ステップ610において、USBメモリ100はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が成功の場合は、ステップ638において、情報処理装置40はUSBメモリ100のフラッシュ・メモリ134にアクセスすることが許容される。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0103】
図11は、情報処理装置40とUSBメモリ100の間の別の処理手順を示している。
【0104】
ステップ662において、管理者は情報処理装置40を操作して情報処理装置40上で管理者用のユティリティ・プログラム(PRG_M)を起動する。ステップ672において、情報処理装置40(プロセッサ42)は管理者用のユティリティ・プログラム(PRG_M)を実行する。
【0105】
ステップ682において管理者がUSBメモリ100を情報処理装置40に結合すると、ステップ664において、情報処理装置40(プロセッサ42)は管理者認証画面を表示装置48に表示し認証情報の入力を要求する。管理者は入力装置46を操作して管理者認証情報(例、ID、パスワード)を入力する。管理者認証画面を表示する前に、USBメモリ100は、情報処理装置40から装置識別情報を受け取って情報処理装置40の認証を行い、その認証結果(成功または失敗)を情報処理装置40に供給してもよい。ステップ666において、認証情報は情報処理装置40からUSBメモリ100へ供給される。
【0106】
ステップ692において、USBメモリ100(CPU122)は認証情報を検証して、ユーザの認証を行う。ステップ684において、USBメモリ100(CPU122)はその認証結果(成功または失敗)を情報処理装置40に供給する。認証結果が成功した後、USBメモリ100の状態が管理者モードになれば、ステップ674において、情報処理装置40(プロセッサ42)は表示装置48にアクセス不能化ポリシー(そのルールまたは条件(要因、閾値)および不能化処理法)設定、追加または変更の画面を表示する。認証結果が失敗の場合は、USBメモリ100および情報処理装置100は処理を終了する。
【0107】
ステップ668において、管理者は、情報処理装置40を操作して、情報処理装置40の表示装置48の画面上で、アクセスを許容すべき情報処理装置の装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件(要因、閾値))を入力する。
【0108】
ステップ686において、情報処理装置40(プロセッサ42)は、装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をUSBメモリ100に書き込む。USBメモリ100(CPU122)は、受け取った装置識別情報およびアクセス不能化ポリシー(その識別情報および/またはパラメータ)を設定する。ステップ688において、USBメモリ100は、その設定の結果(成功または失敗)を情報処理装置40に送る。情報処理装置40はその設定結果を表示装置46に表示する。
【0109】
このようにして、アクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)がUSBメモリ100に設定され、追加され、またはそれが変更される。
【0110】
図12は、情報処理装置40とUSBメモリ100の間におけるUSBメモリ100の復旧の処理手順を示している。
【0111】
ステップ602、632および604は図10のものと同様である。
【0112】
ステップ635において情報処理装置40(プロセッサ42)によってUSBメモリ100がアクセス不能化モードでありフラッシュ・メモリ134が全て消去されていると判定された場合、ステップ609において、情報処理装置40はUSBメモリ100(状態出力部30)からログを取得する。
【0113】
ステップ646において、情報処理装置40(プロセッサ42)は表示装置48に現在のモードおよび状態とその取得したログを表示する。ステップ612において、ユーザは、情報処理装置40を操作して情報処理装置40上でファイル・システムの再構築コマンドを入力する。情報処理装置40(プロセッサ42)はUSBメモリ100にファイル・システムの再構築コマンドを供給する。
【0114】
ステップ616において、USBメモリ100(CPU122)は、情報処理装置100の装置識別情報およびコマンドの正当性を検証する。コマンドが正当であれば、USBメモリ100(CPU122)は、フラッシュ・メモリ134のファイル・システムを再構築する。ステップ614において、USBメモリ100(CPU122)はその現在の状態(正常)を情報処理装置40に供給する。ステップ648において、情報処理装置40は、現在の状態(正常)およびフラッシュ・メモリ134のファイルのリスト(即ち、ファイル識別情報の存在しないファイル・リスト)を表示装置48に表示する。
【0115】
このようにして、フラッシュ・メモリ134のファイル・システムが再構築され、USBメモリ100へのアクセスが可能になる。
【0116】
図13は、ユーザ用USBメモリ・ユティリティ・プログラム(PRG_U)に従って情報処理装置40のプロセッサ42によって実行される、ユーザ認証およびファイル・システム構築のためのフローチャートを示している。USBメモリ100がUSBインタフェース110を介して情報処理装置40のUSBポート49に結合されると、プロセッサ42は、ROM118内のユーザ用のUSBメモリ・ユティリティ・プログラムPRG_Uを呼び出して実行する。
【0117】
ステップ702において、情報処理装置40のプロセッサ42は、USBメモリ100からUSBメモリ100の現在の状態情報(図9)を取得する。
【0118】
ステップ704において、プロセッサ42は、その取得した状態情報が“正常モード”かどうかを判定する。それが正常モードであると判定された場合は、ステップ726において、プロセッサ42は、情報処理装置40の記憶装置44に格納された情報処理装置40の装置識別情報を取得する。
【0119】
ステップ728において、プロセッサ42は、USBメモリ100に認証用の装置識別情報を供給し、USBメモリ100における装置認証の結果を受け取る。
【0120】
ステップ730において、プロセッサ42は、受け取った認証結果に基づいて装置認証が成功したかどうかを判定する。失敗したと判定された場合は、手順はステップ702に戻る。
【0121】
ステップ730において認証に成功したと判定された場合は、ステップ732において、プロセッサ42は、ユーザ認証用の表示画面を表示して、ユーザにIDおよびパスワードを入力するよう指示する。
【0122】
ステップ734において、プロセッサ42は、入力されたIDおよびパスワードをUSBメモリ100に供給し、USBメモリ100におけるユーザ認証の結果を受け取る。
【0123】
ステップ736において、プロセッサ42は、プロセッサ42は、受け取った認証結果に基づいてユーザ認証が成功したかどうかを判定する。失敗したと判定された場合は、手順はステップ702に戻る。
【0124】
ステップ736において認証に成功したと判定された場合は、ステップ738において、プロセッサ42は、USBメモリ100へのアクセスを許容し、例えばUSBメモリ100内のフォルダおよびファイルのリストを表示する。
【0125】
ステップ704において正常モードでないと判定された場合は、ステップ782において、プロセッサ42は、取得した状態情報が“アクセス不能化モード”かどうかを判定する。それがアクセス不能化モードであると判定された場合は、ステップ784において、プロセッサ42は、状態情報が“ロック状態”かどうかを判定する。
【0126】
ステップ784において状態情報がロック状態でないと判定された場合は、ステップ786において、プロセッサ42は、USBメモリ100にログ要求コマンドを供給して、USBメモリ100からログを読み込む。
【0127】
ステップ788において、プロセッサ42は、受け取ったログを表示装置48に表示するか、またはそれをサーバ20に供給する。それによって、サーバ20はUSBメモリ100の完全性および安全性を管理することができる。そのログ表示において、ファイル・システムを再構築するようUSBメモリ100に対して要求することができるようにしてもよい。
【0128】
ステップ790において、プロセッサ42は、ユーザの指示、サーバ20またはサーバ20のコマンドに従って、USBメモリ100にファイル・システムの再構築を要求するコマンドをUSBメモリ100に与える。USBメモリ100は、フラッシュ・メモリ134にファイル・システムを再構築する。その後、手順はステップ702に戻る。
【0129】
ステップ782において状態情報がアクセス不能化モードでないまたはステップ784において状態情報がロック状態であると判定された場合は、ステップ792において、プロセッサ42は、復旧処理を指示するメッセージを表示する。復旧処理において、USBメモリ100がアクセス不能化モードのロック状態である場合は、管理者の認証処理によってUSBメモリ100は管理者モードに移行する。復旧処理において、USBメモリ100が機能制限モードにある場合は、製造業者または管理者の操作によってUSBメモリ100は初期モードに戻される。
【0130】
図14Aおよび14Bは、管理者用のUSBメモリ・ユティリティ・プログラム(PRG_M)に従って情報処理装置40のプロセッサ42によって実行される、アクセスを許容する情報処理装置の識別情報の設定、追加または変更、およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)の設定、追加または変更のためのフローチャートを示している。
【0131】
図14Aを参照すると、ステップ752において、プロセッサ42は、USBメモリを情報処理装置40に結合するよう指示するメッセージを表示装置48に表示する。その指示に従って、管理者はUSBメモリ100を情報処理装置40に結合させる。
【0132】
ステップ754において、プロセッサ42は、USBメモリを検出したかどうかを判定する。USBメモリが検出された場合には、手順はステップ756へ進む。USBメモリが検出されるまで、ステップ752および754は繰り返される。
【0133】
ステップ756において、プロセッサ42は、状態情報を要求するコマンドをUSBメモリ100に供給し、USBメモリ100から現在の状態情報を取得する。そのコマンドに応答して、USBメモリ100のCPU122上に実装されたコマンド処理部24は状態出力部30を介して現在の状態情報を情報処理装置100に送る。
【0134】
ステップ758において、プロセッサ42は、USBメモリ100の現在の状態が“初期モード”(出荷時の状態)かどうかを判定する。初期モードであると判定された場合は、ステップ760において、プロセッサ42は、表示装置48に管理者のIDおよびパスワードを入力するよう指示し、入力されたIDおよびパスワードをUSBメモリ100に供給する。USBメモリ100の認証処理部22は、管理者認証のためにその管理者のIDおよびパスワードを設定する。それによって、USBメモリ100は管理者モードに移行する。その後、手順はステップ756に戻る。
【0135】
ステップ762において、プロセッサ42は、USBメモリ100の現在の状態が“管理者モード”かどうかを判定する。管理者モードであると判定された場合は、ステップ764において、プロセッサ42は、アクセスを許容する情報処理装置の装置識別情報とアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)とを設定、追加および変更するための画面を表示する。プロセッサ42は、USBメモリ100のフラッシュ・メモリ124から現在のアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)を取得して表示してもよい。管理者は、その画面において、アクセス不能化ポリシー(そのルールまたは条件および不能化処理法)、および装置識別情報を設定、追加または変更する。
【0136】
ステップ766において、プロセッサ42は、管理者によって設定、追加または変更された装置識別情報およびアクセス不能化ポリシー(そのルールまたは条件および不能化処理法を表す識別情報および/またはパラメータ)をUSBメモリ100に送る。USBメモリ100において、コマンド処理部24は、認証処理部22にその受け取った装置識別情報を保存させ、アクセス不能化ポリシー保存部26にその受け取ったアクセス不能化ポリシー(識別情報および/またはパラメータ)を保存する。
【0137】
ステップ768において、プロセッサ42は、表示装置48に管理者モードを終了させるよう指示する画面を表示する。管理者が管理者モードを終了させると、USBメモリ100は通常モードに移行する。
【0138】
ステップ762において状態が管理者モードでないと判定された場合は、図14Bのステップ772において、プロセッサ42は、USBメモリ100の現在の状態が“正常モード”または“ロック状態”かどうかを判定する。そのいずれの状態でもないと判定された場合は、手順はステップ782に進む。
【0139】
ステップ772において状態が正常モードまたはロック状態であると判定された場合は、ステップ774において、プロセッサ42は、表示装置48に管理者認証用の画面を表示する。管理者はその画面上でIDおよびパスワードを入力する。
【0140】
ステップ776において、プロセッサ42は、USBメモリ100にその入力された管理者IDおよびパスワードを送る。それによってUSBメモリ100は管理者モードへ移行する。但し、暗号鍵および/またはデータが消去されている場合は、USBメモリ100は、ロック解除状態でアクセス不能化モードへ移行する。その後、手順はステップ756に戻る。
【0141】
ステップ782、および786〜792は図13のものと同様である。ステップ782においてロック状態以外のアクセス不能化モードであると判定された場合は、手順はステップ786に進む。ステップ790の後、手順はステップ756へ戻る。
【0142】
ステップ782において状態情報がアクセス不能化モードでないと判定された場合は、ステップ792において、プロセッサ42は、復旧処理を指示するメッセージを表示する。復旧処理において、USBメモリ100が機能制限モードにある場合は、製造業者または管理者の操作によってUSBメモリ100は初期モードに戻される。
【0143】
図15Aは、図14Aのステップ764において情報処理装置40の表示装置48に表示される、USBメモリ100へのアクセスを許容する情報処理装置の識別情報の設定、追加および変更のための管理者用の画面を示している。図15Aの画面において、USBメモリ100へのアクセスを許容する情報処理装置の種類および識別情報のリストが表示され、管理者によって新たにアクセスを許容すべき情報処理装置にチェック記号(O)が付される。
【0144】
図15Bは、図14Aのステップ764において情報処理装置40の表示装置48に表示される、USBメモリ100にアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)を設定、追加および変更するための管理者用の表示画面を示している。図15Bの表示画面において、USBメモリ100におけるアクセス不能化ポリシー(そのルールまたは条件および不能化処理法)のリストが表示され、管理者によって新たに設定および追加すべきアクセス不能化ポリシーにチェック記号(O)が付される。
【0145】
≪第2の実施形態≫
次に、第2の実施形態について、図16、図17に基づいて説明する。図16には、本第2の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図16と、図5(第1の実施形態)とを比較すると分かるように、本第2の実施形態では、ポリシー評価部20に、給電開始検知部としての給電チェックモジュール35が接続されている。この給電チェックモジュール35は、情報処理装置40側からの給電が開始されたか否かをチェックするモジュールである。なお、給電チェックモジュール35は、給電の開始を、情報処理装置40との接続がされたか否か、及び情報処理装置40からの供給電力量が所定の閾値を超えたか否かにより判断する。
【0146】
図17は、本第2の実施形態において、図6Aのステップ402の代わりに実行される処理を示すフローチャートである。この図17の処理では、まず、ステップ800において、給電チェックモジュール35が、情報処理装置40から給電が開始されたか否かを判断する。ここでの判断が肯定されると、ステップ802に移行し、給電チェックモジュール35が、ポリシー評価部20に給電が開始された旨を通知する。
【0147】
次いで、ステップ804では、ポリシー評価部20が、リアルタイム・クロック164において測定された現在の日時を、リアルタイム・クロック164を管理する時間管理部28から取得する。次いで、ステップ806では、ポリシー評価部20が、アクセス不能化ポリシー保存部26に保存されているアクセス不能化ポリシーと、現在の日時と、に基づいて、USBメモリ100を保護すべきかどうか、すなわち、フラッシュ・メモリ134内のデータ・ファイルへのアクセスを不能化すべきかどうかを判定する。なお、本第2の実施形態では、アクセス不能化ポリシー保存部26に、図8Bのようなアクセス不能化ポリシーが保存されているものとする。
【0148】
ここでの判断が肯定された場合には、ステップ808において、アクセス不能化処理部34に、アクション(不能化処理)実施を指示する。アクセス不能化処理部34は、当該指示に基づいて、アクション(不能化処理)を実施する。その後は、図6Aのステップ404に移行する。ここで、ステップ806の判断が肯定される場合とは、情報処理装置40にUSBメモリを接続していない間に、アクセス不能化ポリシーに設定されている時間(図8Bの閾値)を超過した場合である。すなわち、本第2の実施形態では、情報処理装置40にUSBメモリ100を接続する以前に、USBメモリ100が既に不能化処理をすべき状態になっているのであれば、情報処理装置40にUSBメモリ100が接続された直後に、不能化処理を実施することとしている。
【0149】
これに対し、ステップ806の判断が否定された場合には、不能化処理を行うことなく、そのままステップ404へ移行する。これ以降は、上記第1の実施形態と同様の処理を実行する。
【0150】
以上説明したように、本第2の実施形態によると、給電チェックモジュール35が、情報処理装置40からの給電開始を検知して、ポリシー評価部20に通知し、ポリシー評価部20は、給電が開始された際に、情報処理装置40からの給電が行われるまでの間にアクセス不能化ポリシーに設定されている時間を超えていたか否かを判定する。そして、当該時間を超えていた場合には、ポリシー評価部20は、アクセス不能化処理部34に対して、アクセス不能化処理の実行を指示する。すなわち、本第2の実施形態では、情報処理装置40からUSBメモリ100に対して給電が行われていないときには、内蔵のバッテリ160を用いたアクセス不能化処理を一切行わない。このため、本第2の実施形態では、バッテリ160の容量を小さくすることができ、ひいてはバッテリ160やUSBメモリ100全体を小型化することができる。これに対し、リアルタイム・クロック164は、上記第1の実施形態と同様、バッテリ160の電力を用いているので、外部からの給電が無くとも時間測定を行うことができる。これにより、リアルタイム・クロック164の時間測定を、情報処理装置40との接続とは無関係に行うことができるので、リアルタイム・クロック164の測定時間が情報処理装置40により改ざん等されるのを防止することができる。
【0151】
なお、上記実施形態では、ポリシー評価部20は、情報処理装置40からの給電が行われるまでの間に所定時間経過したことを条件として、アクセス不能化処理を実行する場合について、説明したが、これに限られるものではない。ポリシー評価部20は、その他の条件(例えば、バッテリ残量の低下など)に基づいて、アクセス不能化処理を実行することとしても良い。
【0152】
≪第3の実施形態≫
次に、第3の実施形態について、図18、図19に基づいて説明する。図18には、本第3の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図18と、図5(第1の実施形態)とを比較すると分かるように、本第3の実施形態では、記憶部としての2つのフラッシュ・メモリ134a,134bが設けられているとともに、これら2つのフラッシュ・メモリ134a,134bを切り替えて使用するためのスイッチ部としてのハブ・スイッチ131が設けられている。ハブ・スイッチ131は、2つのスイッチA,Bを有している。これら2つのスイッチA,Bでは、図18に示すように、スイッチAの端子A1が有効となり、スイッチBの端子B2が有効となった状態で、フラッシュ・メモリ134aを不能化する処理ができるようになる。また、この状態では、フラッシュ・メモリ134bへのデータの書き込み(保存)や閲覧ができるようになる。一方、スイッチAの端子A2が有効となり、スイッチBの端子B1が有効となった状態では、フラッシュ・メモリ134bを不能化する処理ができるようになる。また、この状態では、フラッシュ・メモリ134aへのデータの書き込み(保存)や閲覧ができるようになる。なお、ハブ・スイッチ131が上述した状態以外の状態となった場合には、エラーとなる。
【0153】
図19は、本第3の実施形態において、図6Bのステップ424の判断が肯定されたときに、ステップ426の代わりに実行される処理を示すフローチャートである。この図19の処理においては、まず、ステップ820において、ハブ・スイッチ131のスイッチAの端子A1が有効となっており、かつスイッチBの端子B2が有効となっているか否かを、ポリシー評価部20が判断する。ここでの判断が肯定される場合とは、これまで、フラッシュ・メモリ134bへのデータの書き込み(保存)や閲覧ができる状態であったことを意味する。このステップ820の判断が肯定されるとステップ822に移行し、ポリシー評価部20は、ハブ・スイッチ131のスイッチAにおいて端子A2を有効にし、スイッチBにおいて、端子B1を有効にする。すなわち、スイッチA,Bのそれぞれを切り替える。次いで、ステップ824では、ハブ・スイッチ131の端子A2、B1を有効に維持したまま、アクセス不能化処理部34に対して、アクション(不能化処理)実行を指示する。アクセス不能化処理部34では、当該指示に基づいて、不能化処理を実行する。ここでは、ハブ・スイッチ131の端子A2、B1が有効となっているため、アクセス不能化処理部34は、これまでデータの書き込みや閲覧ができる状態になっていたフラッシュ・メモリ134bに対する不能化処理を実行する。この場合、一方のフラッシュ・メモリ134bに対する不能化処理を行っている間でも、他方のフラッシュ・メモリ134aへのデータの書き込みや閲覧は可能となっている。その後は、図6Bのステップ470へ移行する。
【0154】
一方、ステップ820の判断が否定された場合には、ステップ826に移行する。このステップ826では、ハブ・スイッチ131のスイッチAの端子A2が有効となっており、かつスイッチBの端子B1が有効となっているか否かを、ポリシー評価部20が判断する。ここでの判断が肯定される場合とは、これまで、フラッシュ・メモリ134aへのデータの書き込み(保存)や閲覧ができる状態であったことを意味する。このステップ826の判断が肯定されるとステップ828に移行し、ポリシー評価部20は、ハブ・スイッチ131のスイッチAにおいて端子A1を有効にし、スイッチBにおいて、端子B2を有効にする。そして、ステップ824において、ハブ・スイッチ131の端子A1、B2を有効に維持したまま、アクセス不能化処理部34に対して、アクション(不能化処理)実行を指示する。アクセス不能化処理部34では、当該指示に基づいて、不能化処理を実行する。ここでは、ハブ・スイッチ131の端子A2、B1が有効となっているため、アクセス不能化処理部34は、これまでデータの書き込みや閲覧ができる状態になっていたフラッシュ・メモリ134aに対する不能化処理を実行する。この場合、一方のフラッシュ・メモリ134aに対する不能化処理を行っている間でも、他方のフラッシュ・メモリ134bへのデータの書き込みや閲覧は可能となっている。その後は、図6Bのステップ470へ移行する。
【0155】
なお、ステップ826の判断が否定された場合には、ステップ830において、ポリシー評価部20が、エラー処理を実行し、図19の処理を終了する。ステップ830のエラー処理としては、例えば、表示器144へのエラー表示などが挙げられる。
【0156】
なお、上記第3の実施形態では、図19の処理をステップ424の判断が肯定された場合に行うこととしたが、これに限られるものではない。例えば、図6Bのその他の判断、例えば、ステップ434の判断などが肯定された場合にも図19の処理を行うこととしても良い。
【0157】
以上、説明したように、本第3の実施形態によると、ハブ・スイッチ131は、2つのフラッシュ・メモリ134a、134bのうちの一方に対してアクセス不能化処理が実行されている間に、他方のフラッシュ・メモリへの情報処理装置40からのアクセスを可能にする。このため、一方のフラッシュ・メモリに対する不能化処理が行われている間(例えば、数分間)であっても、他方のフラッシュ・メモリに対するアクセスが可能となる。これにより、USBメモリ100のユーザは、不能化処理が完了するまで待つ必要がなくなるので、USBメモリ100の使い勝手を向上することができる。
【0158】
なお、上記実施形態では、USBメモリ100が2つのフラッシュ・メモリを備える場合について説明したが、これに限らず、USBメモリ100は、3つ以上のフラッシュ・メモリを備えていてもよい。この場合、ハブ・スイッチ131は、それまで情報処理装置40からのアクセスが可能であったフラッシュ・メモリに対してアクセス不能化処理を行う際に、情報処理装置40から別のフラッシュ・メモリへのアクセスが可能となるように切り替える機能を有していれば良い。
【0159】
≪第4の実施形態≫
次に、第4の実施形態について、図20に基づいて説明する。図20には、本第4の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図20と、図5(第1の実施形態)とを比較すると分かるように、本第4の実施形態では、ハブ・スイッチ130(又は132)とフラッシュ・メモリ134との間に、暗号化部としての暗号化モジュール133が設けられているとともに、当該暗号化モジュール133に揮発性の暗号鍵記憶部としての揮発性メモリ135が接続されている。揮発性メモリ135には、バッテリ及び充電回路160から給電が行われる。
【0160】
暗号化モジュール133は、フラッシュ・メモリ134に書き込むデータを暗号化するとともに、暗号鍵を生成する。また、暗号化モジュール133は、生成した暗号鍵を用いて、暗号化したデータを復号する。揮発性メモリ135は、暗号化モジュール133において生成された暗号鍵を保存する。この揮発性メモリ135には、バッテリ及び充電回路160から給電が行われているため、バッテリがUSBメモリ100から取り外されると、揮発性メモリ135に保存されている暗号鍵も消去されることになる。
【0161】
このように、本第4の実施形態によると、暗号化モジュール133が、情報処理装置40から受け付けたデータを暗号化するとともに、暗号鍵を生成し、その暗号鍵を揮発性メモリ135が記憶する。したがって、USBメモリ100から不正にバッテリ160が外され、不能化処理を行えないような場合であっても、揮発性メモリ135に対する給電が行われないことにより、暗号鍵が揮発性メモリ135から消去される。このように、暗号鍵が揮発性メモリ135から消去されることで、上記各実施形態で説明したようなアクセス不能化処理を行う場合と同等の効果を得ることができる。これにより、USBメモリ100のセキュリティを向上することが可能である。
【0162】
≪第5の実施形態≫
次に、第5の実施形態について、図21〜図23に基づいて説明する。図21には、本第5の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図21と、図5(第1の実施形態)とを比較すると分かるように、本第5の実施形態では、マイクロコンピュータ120の内部に、受信部としてのRFIDリーダ137を備えている。このRFIDリーダ137は、ポリシー評価部20に接続されている。
【0163】
RFIDリーダ137は、図22に示すようなオフィスにおいて、情報発信装置としてのRFIDゲートAを通過した場合に、RFIDゲートAからID:1000を読み込み、取得する。また、RFIDリーダ137は、情報発信装置としてのRFIDゲートBを通過した時点で、RFIDゲートBからID:2000を読み込み、取得する。すなわち、図22のようなRFIDゲートの配置を採用すれば、オフィス内にUSBメモリ100が存在している場合には、RFIDリーダ137は、必ず、ID:1000を取得していることになる。また、オフィス内からオフィス外に搬出されたUSBメモリ100では、RFIDリーダ137は、必ず、ID:2000を取得していることになる。なお、アクセス不能化ポリシー保存部26に保存されているアクセス不能化ポリシーには、ID:1000の場合には、アクション(アクセス不能化処理)を許可する旨規定され、ID:2000の場合には、アクション(アクセス不能化処理)を禁止する旨規定されているものとする。
【0164】
図23には、本第5の実施形態において、図6A,図6Bの処理と並行して行われる処理のフローチャートが示されている。この図23に示すように、まず、ステップ840では、RFIDリーダ137が、RFIDゲートを通過したか否かを判断する。ここでの判断が否定された場合には、再度ステップ840の処理を行うが、ここでの判断が肯定された場合には、ステップ842に移行する。ステップ842では、RFIDリーダ137がRFID(ID)を読み込み、取得する。例えば、RFIDゲートBを通過した場合には、RFIDリーダ137は、ID:2000を取得する。ここで取得されたIDは、ポリシー評価部20に送信される。
【0165】
次いで、ステップ844では、ポリシー評価部20が、RFIDのIDが1000であるか否かを判断する。ここでの判断が肯定された場合には、ポリシー評価部20は、アクション(アクセス不能化処理)を禁止する(ステップ846)。一方、ステップ844の判断が否定された場合には、ポリシー評価部20は、アクション(アクセス不能化処理)を許可する(ステップ848)。
【0166】
上記図23の処理において、アクションが許可された場合には、図6A,図6Bにおいて行われるアクセス不能化処理は、実行される。一方、図23の処理においてアクションが禁止された場合には、図6A,図6Bの処理において、アクセス不能化処理のステップに至った場合にも、アクセス不能化処理は実行されない。このようにすることで、本実施形態では、USBを紛失しても、データの悪用される可能性が低いオフィス内では、アクセス不能化処理を行わないようにすることができる。また、これとは逆に、データの悪用の可能性が高いオフィス外ではアクセス不能化処理を行うようにすることができる。
【0167】
なお、上記実施形態においては、アクセス不能化処理の許可・禁止にかかわらず、アクセス不能化処理を行うまでの時間をカウントする場合を想定しているが、これに限られるものではない。例えば、アクセス不能化処理が禁止されている間は、アクセス不能化処理を行うまでの時間のカウントを中止しても良い。このようにすることで、USBメモリ100がオフィス外に持ち出されてから一定時間経過後に、アクセス不能化処理を行うことができるようになる。
【0168】
以上、説明したように、本第5の実施形態によると、USBメモリ100は、RFIDゲートA又はBから、IDを受信するRFIDリーダ137を有しており、ポリシー評価部20は、RFIDリーダ137において受信されたIDに基づいて、アクセス不能化処理の実行を許可又は禁止する。このため、本第5の実施形態では、USBメモリ100に対する操作を行わなくても、アクセス不能化処理の実行の許可・禁止を切り替えることができる。これにより、アクセス不能化処理を実行すべき場所にUSBメモリ100が存在するときと、アクセス不能化処理を実行する必要の無い場所にUSBメモリ100が存在するときとで、アクセス不能化処理の実行・非実行を自動で切り替えることができる。
【0169】
なお、上記第5の実施形態では、取得したIDに応じて、アクセス不能化処理の許可・禁止を切り替える場合について説明したが、これに限らず、その他のアクションの許可・禁止を切り替えることとしても良い。例えば、データの読み出しの許可・禁止を切り替えても良いし、データの書き込み及び読み出しの許可・禁止を切り替えても良い。
【0170】
なお、上記第5の実施形態では、図6A,図6Bと、図23とを並行して実行する場合について説明したが、これに限られるものではなく、図6A,図6Bに、図23の処理の内容を組み込んでも良い。
【0171】
なお、上記第5の実施形態では、USBメモリのアクセス不能化処理の許可・禁止を切り替える手段として、RFID、RFIDリーダを用いることとしたが、これに限られるものではない。例えば、オフィス内に無線の発信機を設置するとともに、USBメモリに受信機を設置することとし、発信機から発信される電波を受信機が受信できているか否かに応じて、アクセス不能化処理の許可・禁止を切り替えても良い。この場合、受信機の感度や発信機から発信される電波の強度は、オフィス内又はオフィス近傍にUSBメモリが存在している場合に、受信機が電波を受信できる程度に設定すれば良い。
【0172】
≪第6の実施形態≫
次に、第6の実施形態について、図24〜図27に基づいて説明する。図24には、本第6の実施形態におけるマイクロコンピュータ120の内部の主要な機能部の機能構成または配置が示されている。この図26と、図21(第5の実施形態)とを比較すると分かるように、本第6の実施形態のマイクロコンピュータ120においては、RFIDリーダ137とポリシー評価部20との間に、読み込みID履歴記憶部139が設けられている。
【0173】
読み込みID履歴記憶部139は、RFIDリーダ137において取得したIDを、取得時期が新しい順に、N個(ここでは3個とする)だけ記憶する。例えば、オフィスに、図25に示すように、3つのRFIDゲートA,B,Cが設けられている場合において、ゲートC→B→Aの順に通って、オフィス内にUSBメモリ100が搬入されたとする。この場合、読み込みID履歴記憶部139には、図26Aに示すように、3つのID:3000,2000,1000が下側から記憶される。また、例えば、オフィス内から一旦オフィス外に出て、再度ゲートCを通った場合には、USBメモリ100は、ゲートA→B→C→Cの順に通過することになる。このため、読み込みID履歴記憶部139には、図26Aに示すように、新しい順に3つのID:3000,3000,2000が記憶されることとなる。
【0174】
なお、本第5の実施形態のアクセス不能化ポリシーには、読み込みID履歴記憶部139が記憶している3つのIDが、新しい順に1000,2000,3000である場合にアクションを禁止する、旨規定されているものとする。また、その他の場合には、アクション(アクセス不能化処理)を許可する旨規定されているものとする。
【0175】
図27には、本第6の実施形態において、図6A,図6Bの処理と並行して行われる処理のフローチャートが示されている。この図27に示すように、まず、ステップ860では、RFIDリーダ137が、RFIDゲートを通過したか否かを判断する。ここでの判断が否定された場合には、再度ステップ860を実行し、判断が肯定された場合には、ステップ862に移行する。ステップ862では、RFIDリーダ137が、RFIDゲートからIDを読み込み、当該読み込んだIDを、読み込みID履歴記憶部139に記憶する。
【0176】
次いで、ステップ864では、ポリシー評価部20が、読み込みID履歴記憶部139にIDがN個(ここでは、N=3とする)記憶されているか否かを判断する。ここでの判断が否定された場合には、ステップ868に移行し、読み込みID履歴記憶部139が、今回取得したIDを記憶した後、ステップ870に移行する。
【0177】
次いで、ステップ870では、ポリシー評価部20が、読み込みID履歴記憶部139にIDがN個(ここでは、N=3とする)記憶されているか否かを判断する。ここでの判断が否定された場合には、ステップ860に戻る。そして、IDがN(=3)個記憶されるまで、上記処理を繰り返す。その後、読み込みID履歴記憶部139にIDがN(=3)個記憶された段階で、ステップ870が肯定され、ステップ872に移行する。
【0178】
一方、ステップ864における判断が肯定された場合、すなわち、読み込みID履歴記憶部139にIDがN(=3)個記憶された場合には、ステップ866に移行する。ステップ866では、読み込みID履歴記憶部139は、最も古いIDを削除して、今回のIDを記憶する。そして、ステップ872に移行する。
【0179】
ステップ872では、読み込みID履歴記憶部139が、ポリシー評価部20に対して、N(=3)個のIDを送信する。次いで、ステップ874では、ポリシー評価部20が、N(=3)個のIDが所定の配列か否かを判断する。この場合の所定の配列とは、アクセス不能化ポリシーに規定されているIDの配列「1000,2000,3000」を意味する。ここでの判断が肯定された場合には、USBメモリ100がオフィス内に存在している可能性が高いので、アクション(アクセス不能化処理)を禁止する(ステップ876)。一方、ステップ874の判断が否定された場合には、USBメモリ100がオフィス内には存在していない可能性が高いので、アクション(アクセス不能化処理)を許可する(ステップ876)。
【0180】
その他の処理は、第5の実施形態と同様である。
【0181】
このように、本第6の実施形態では、ポリシー評価部20が、RFIDリーダ137で受信した情報の受信順に基づいて、不能化処理の実行を許可又は禁止するので、上記第5の実施形態のようにオフィス内外の別により、アクセス不能化処理を行うことができるという効果に加え、正当なルートでオフィス内に入ってきた場合にのみ、アクセス不能化処理を禁止するなどの効果を得ることができる。
【0182】
なお、上記実施形態では、読み込みID履歴記憶部139に、N個以上IDが記憶されているときには、最も古いIDを消去して、新しいIDを記憶することとしたがこれに限られるものではない。例えば、特定のゲートを通過した場合に、読み込みID履歴記憶部139に記憶されているIDの全てを消去することとしても良い。また、特定のゲートをある順番で通過した場合に、読み込みID履歴記憶部139に記憶されているIDの全てを消去することとしても良い。
【0183】
なお、上記実施形態では、IDが記憶された順序に従って、アクセス不能化処理の許可・禁止を切り替えることとしたが、これに限らず、IDに代えて、カウンタを用いることとしても良い。
【0184】
なお、上記第2〜第6の実施形態のうちの、2以上の実施形態を適宜組み合わせることとしても良い。これらの組み合わせにより、組み合わせた各実施形態の効果を奏することが可能となる。
【0185】
ここで挙げた全ての例および条件的表現は、発明者が技術促進に貢献した発明および概念を読者が理解するのを助けるためのものであり、ここで具体的に挙げたそのような例および条件に限定することなく解釈すべきであり、また、明細書におけるそのような例の編成は本発明の優劣を示すこととは関係ない。本発明の実施形態を詳細に説明したが、本発明の精神および範囲から逸脱することなく、それに対して種々の変更、置換および変形を施すことができると理解すべきである。
【0186】
以上の実施例を含む実施形態に関して、さらに以下の付記を開示する。
(付記1)
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置であって、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部と、
を具える記憶装置。
(付記2)
前記設定情報は、前記インタフェース部を介して設定または変更可能であることを特徴とする、付記1に記載の記憶装置。
(付記3)
前記不能化処理を実行する条件は、経時的に変化する要素について所定の閾値を設定したものであり、
前記設定情報記憶部は、
時間の経過が小さい閾値を示す第一の条件と、データの消去範囲が小さい第一の不能化処理を示す第一の不能化識別情報と、を有する第一の設定情報と、
前記第一の条件よりも時間の経過が大きい閾値を示す第二の条件と、前記第一の不能化処理よりもデータの消去範囲が大きい第二の不能化処理を示す第二の不能化識別情報と、を有する第二の設定情報と、
を格納し、
前記判定部は、前記記憶装置の動作において経時的に変化する要素を、前記設定情報に示される前記条件と比較し、当該条件が充足されるかどうかを判定すること
を特徴とする、付記1または2に記載の記憶装置。
(付記4)
前記ホスト装置の存在を前記インタフェース部を介して検知可能な検知部と、
前記検知部により前記ホスト装置の存在を検知した場合、前記判定部における判定処理を休止させる判定制御部と、
を有することを特徴とする、付記1乃至3のいずれかに記載の記憶装置。
(付記5)
前記不能化制御部が前記不能化処理の実行を指示した場合、当該指示された不能化処理を示す情報を、前記不能化処理によりアクセスが不能とされるデータとは別の格納領域へ格納するログ部と、
前記ログ部に格納された情報を、前記ホスト装置へ前記インタフェース部を介して転送可能なログ転送部と、
を有することを特徴とする、付記1乃至4のいずれかに記載の記憶装置。
(付記6)
さらに、前記条件が充足されると推定される時間、または前記記憶装置の状態を表示する表示器を具えることを特徴とする、付記1乃至5のいずれかに記載の記憶装置。
(付記7)
さらに、前記判定部を動作させる時間を指示する時間管理部を含む、付記1乃至6のいずれかに記載の記憶装置。
(付記8)
前記ホスト装置からの給電開始を検知して前記不能化制御部に通知する、給電開始検知部を有し、
前記ホスト装置からの給電が行われていない間に、前記判定部により前記条件が充足されたと判定された場合には、前記不能化制御部は、前記ホスト装置からの給電が開始された際に、前記不能化処理の実行を指示することを特徴とする付記1乃至7のいずれかに記載の記憶装置。
(付記9)
前記ホスト装置から受け付けたデータを記憶する複数の記憶部と、
前記不能化実行部が前記一の記憶部に対する前記不能化処理を実行している間に、前記他の記憶部への前記ホスト装置からのアクセスを可能にするスイッチ部、を有することを特徴とする付記1乃至8のいずれかに記載の記憶装置。
(付記10)
前記ホスト装置から受け付けたデータを暗号化するとともに、暗号鍵を生成する暗号化部と、
前記暗号鍵を記憶する揮発性の暗号鍵記憶部と、を有することを特徴とする付記1乃至9のいずれかに記載の記憶装置。
(付記11)
外部に設置された情報発信装置から、情報を受信する受信部を有し、
前記不能化制御部は、前記受信部の受信した情報に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする付記1乃至10のいずれかに記載の記憶装置。
(付記12)
前記受信部は、複数の前記情報発信装置から情報を受信し、
前記不能化制御部は、前記受信部で受信した情報の受信順に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする付記11に記載の記憶装置。
(付記13)
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置において用いられるプログラムであって、
前記記憶装置を、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部、
として機能させるプログラム。
【符号の説明】
【0187】
100 USBメモリ
110 USBインタフェース
120 マイクロコンピュータ
124 内部フラッシュ・メモリ
130、132 ハブ・スイッチ
134 主要フラッシュ・メモリ
142 開閉センサ
144 表示器
160 バッテリおよび充電回路
164 リアルタイム・クロック
20 ポリシー評価部
22 認証処理部
24 コマンド処理部
28 時間管理部
30 状態出力部
32 選択部
34 アクセス不能化処理部
36 状態情報およびログ保存部
【特許請求の範囲】
【請求項1】
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置であって、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部と、
を具える記憶装置。
【請求項2】
前記設定情報は、前記インタフェース部を介して設定または変更可能であることを特徴とする、請求項1に記載の記憶装置。
【請求項3】
前記不能化処理を実行する条件は、経時的に変化する要素について所定の閾値を設定したものであり、
前記設定情報記憶部は、
時間の経過が小さい閾値を示す第一の条件と、データの消去範囲が小さい第一の不能化処理を示す第一の不能化識別情報と、を有する第一の設定情報と、
前記第一の条件よりも時間の経過が大きい閾値を示す第二の条件と、前記第一の不能化処理よりもデータの消去範囲が大きい第二の不能化処理を示す第二の不能化識別情報と、を有する第二の設定情報と、
を格納し、
前記判定部は、前記記憶装置の動作において経時的に変化する要素を、前記設定情報に示される前記条件と比較し、当該条件が充足されるかどうかを判定すること
を特徴とする、請求項1または2に記載の記憶装置。
【請求項4】
前記ホスト装置の存在を前記インタフェース部を介して検知可能な検知部と、
前記検知部により前記ホスト装置の存在を検知した場合、前記判定部における判定処理を休止させる判定制御部と、
を有することを特徴とする、請求項3に記載の記憶装置。
【請求項5】
前記不能化制御部が前記不能化処理の実行を指示した場合、当該指示された不能化処理を示す情報を、前記不能化処理によりアクセスが不能とされるデータとは別の格納領域へ格納するログ部と、
前記ログ部に格納された情報を、前記ホスト装置へ前記インタフェース部を介して転送可能なログ転送部と、
を有することを特徴とする、請求項1乃至4のいずれかに記載の記憶装置。
【請求項6】
前記ホスト装置からの給電開始を検知して前記不能化制御部に通知する、給電開始検知部を有し、
前記ホスト装置からの給電が行われていない間に、前記判定部により前記条件が充足されたと判定された場合には、前記不能化制御部は、前記ホスト装置からの給電が開始された際に、前記不能化処理の実行を指示することを特徴とする請求項1乃至5のいずれかに記載の記憶装置。
【請求項7】
前記ホスト装置から受け付けたデータを記憶する複数の記憶部と、
前記不能化実行部が前記一の記憶部に対する前記不能化処理を実行している間に、前記他の記憶部への前記ホスト装置からのアクセスを可能にするスイッチ部、を有することを特徴とする請求項1乃至6のいずれかに記載の記憶装置。
【請求項8】
前記ホスト装置から受け付けたデータを暗号化するとともに、暗号鍵を生成する暗号化部と、
前記暗号鍵を記憶する揮発性の暗号鍵記憶部と、を有することを特徴とする請求項1乃至7のいずれかに記載の記憶装置。
【請求項9】
外部に設置された情報発信装置から、情報を受信する受信部を有し、
前記不能化制御部は、前記受信部の受信した情報に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする請求項1乃至8のいずれかに記載の記憶装置。
【請求項10】
前記受信部は、複数の前記情報発信装置から情報を受信し、
前記不能化制御部は、前記受信部で受信した情報の受信順に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする請求項9に記載の記憶装置。
【請求項11】
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置において用いられるプログラムであって、
前記記憶装置を、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部、
として機能させるプログラム。
【請求項1】
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置であって、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部と、
を具える記憶装置。
【請求項2】
前記設定情報は、前記インタフェース部を介して設定または変更可能であることを特徴とする、請求項1に記載の記憶装置。
【請求項3】
前記不能化処理を実行する条件は、経時的に変化する要素について所定の閾値を設定したものであり、
前記設定情報記憶部は、
時間の経過が小さい閾値を示す第一の条件と、データの消去範囲が小さい第一の不能化処理を示す第一の不能化識別情報と、を有する第一の設定情報と、
前記第一の条件よりも時間の経過が大きい閾値を示す第二の条件と、前記第一の不能化処理よりもデータの消去範囲が大きい第二の不能化処理を示す第二の不能化識別情報と、を有する第二の設定情報と、
を格納し、
前記判定部は、前記記憶装置の動作において経時的に変化する要素を、前記設定情報に示される前記条件と比較し、当該条件が充足されるかどうかを判定すること
を特徴とする、請求項1または2に記載の記憶装置。
【請求項4】
前記ホスト装置の存在を前記インタフェース部を介して検知可能な検知部と、
前記検知部により前記ホスト装置の存在を検知した場合、前記判定部における判定処理を休止させる判定制御部と、
を有することを特徴とする、請求項3に記載の記憶装置。
【請求項5】
前記不能化制御部が前記不能化処理の実行を指示した場合、当該指示された不能化処理を示す情報を、前記不能化処理によりアクセスが不能とされるデータとは別の格納領域へ格納するログ部と、
前記ログ部に格納された情報を、前記ホスト装置へ前記インタフェース部を介して転送可能なログ転送部と、
を有することを特徴とする、請求項1乃至4のいずれかに記載の記憶装置。
【請求項6】
前記ホスト装置からの給電開始を検知して前記不能化制御部に通知する、給電開始検知部を有し、
前記ホスト装置からの給電が行われていない間に、前記判定部により前記条件が充足されたと判定された場合には、前記不能化制御部は、前記ホスト装置からの給電が開始された際に、前記不能化処理の実行を指示することを特徴とする請求項1乃至5のいずれかに記載の記憶装置。
【請求項7】
前記ホスト装置から受け付けたデータを記憶する複数の記憶部と、
前記不能化実行部が前記一の記憶部に対する前記不能化処理を実行している間に、前記他の記憶部への前記ホスト装置からのアクセスを可能にするスイッチ部、を有することを特徴とする請求項1乃至6のいずれかに記載の記憶装置。
【請求項8】
前記ホスト装置から受け付けたデータを暗号化するとともに、暗号鍵を生成する暗号化部と、
前記暗号鍵を記憶する揮発性の暗号鍵記憶部と、を有することを特徴とする請求項1乃至7のいずれかに記載の記憶装置。
【請求項9】
外部に設置された情報発信装置から、情報を受信する受信部を有し、
前記不能化制御部は、前記受信部の受信した情報に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする請求項1乃至8のいずれかに記載の記憶装置。
【請求項10】
前記受信部は、複数の前記情報発信装置から情報を受信し、
前記不能化制御部は、前記受信部で受信した情報の受信順に基づいて、前記不能化処理の実行を許可又は禁止することを特徴とする請求項9に記載の記憶装置。
【請求項11】
インタフェース部を介してホスト装置から受け付けたデータを記憶可能な記憶装置において用いられるプログラムであって、
前記記憶装置を、
前記インタフェース部を介したデータへのアクセスを異なるレベルで不能化する複数の不能化処理を実行する不能化実行部と、
前記不能化処理を特定する不能化識別情報と、前記不能化処理を実行する条件と、を有する設定情報を格納可能な設定情報記憶部と、
前記設定情報記憶部に格納されている前記設定情報を参照し、当該設定情報に示される前記条件と前記記憶装置の動作状態とを比較し、当該設定情報に示される前記条件が充足されるかどうかを判定する判定部と、
前記判定部により前記条件が充足されると判定された場合、当該設定情報に示される前記不能化識別情報により特定される前記不能化処理の実行を指示する不能化制御部、
として機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14A】
【図14B】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14A】
【図14B】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2010−238216(P2010−238216A)
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願番号】特願2009−224555(P2009−224555)
【出願日】平成21年9月29日(2009.9.29)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願日】平成21年9月29日(2009.9.29)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]