記憶装置、制御方法、およびコンピュータプログラム
【課題】セキュリティをより一層向上させた記憶装置を提供すること。
【解決手段】情報処理装置2に接続可能な記憶装置1に、暗号化されたデータを記憶する不揮発性メモリ12と、データを削除する時期を示す削除予定時刻を記憶する制御部11の記憶部と、情報処理装置2に接続されているか否かに関わらず、現在時刻が削除予定時刻に達したときに、復号化に必要な暗号鍵を削除することによりデータへのアクセスを不可能とするキー/データ削除部107と、を設ける。
【解決手段】情報処理装置2に接続可能な記憶装置1に、暗号化されたデータを記憶する不揮発性メモリ12と、データを削除する時期を示す削除予定時刻を記憶する制御部11の記憶部と、情報処理装置2に接続されているか否かに関わらず、現在時刻が削除予定時刻に達したときに、復号化に必要な暗号鍵を削除することによりデータへのアクセスを不可能とするキー/データ削除部107と、を設ける。
【発明の詳細な説明】
【技術分野】
【0001】
情報処理装置に接続可能な記憶装置などに関する。
【背景技術】
【0002】
近年、USBメモリをはじめとする可搬型の記憶装置が広く普及している。
【0003】
ユーザは、そのような記憶装置をパーソナルコンピュータなどの情報処理装置に接続し、記憶装置にデータを書き込んだり、記憶装置からデータを読み出したりすることができる。
【0004】
可搬型の記憶装置は、一般に、操作方法が単純で扱いやすく、コンパクトで持ち運びに適しているので、ある情報処理装置に記憶されたデータを持ち出して他の情報処理装置で使用したい場合などに便利である。
【0005】
しかしながら、その扱いやすさおよびコンパクトさゆえ、ユーザは、しばしば、それを情報処理装置に差し込んだまま抜き忘れてしまったり、持ち運んでいる間に紛失してしまったりすることがある。また、盗難にあってしまうこともある。
【0006】
そのような場合に、記憶装置に保存されたデータに含まれる機密性の高い情報などが、第三者に漏えいしてしまうおそれがある。すなわち、可搬型の記憶装置は、便利な反面、セキュリティ上の問題を有している。
【0007】
そこで、記憶装置のセキュリティの向上を図るため、USBメモリ等の携帯型記憶媒体に対して、通信機能を持たせることにより、遠隔から内部に記憶された情報の操作を可能とし、且つ通信が確立しない状態においても、時限的に内部情報を消去する、携帯型記憶媒体の管理システムが提案されている(特許文献1)。
【0008】
また、記憶装置に記憶されたデータを削除する削除時期を特定し、削除時期が経過したか否かを判定し、外部装置が接続されていないことが検知され、かつ、削除時期を経過したと判定された場合に、データを記憶手段から削除する記憶装置が提案されている(特許文献2)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2008−269285
【特許文献2】特開2009−199216
【発明の概要】
【発明が解決しようとする課題】
【0010】
特許文献1で提案されている記憶媒体の管理システム、および特許文献2で提案されている記憶装置では、ある程度セキュリティが確保されるもののいまだ不十分である。
【0011】
すなわち、それらでは、ユーザが記憶装置を情報処理装置に差し込んだまま席を離れてしまった後に、第三者がその場で記憶装置に記憶されたデータを参照したり、記憶装置を抜き取って持ち去ったりした場合などには、セキュリティを確保できない。
【0012】
本発明は、このような事情に鑑みてなされたものであり、セキュリティをより一層向上させた記憶装置を提供することを目的とする。
【課題を解決するための手段】
【0013】
以下に述べる記憶装置は、情報処理装置に接続可能な記憶装置であって、データを記憶する第一の記憶手段と、前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、を有する。
【発明の効果】
【0014】
本発明によれば、セキュリティをより一層向上させた記憶装置を提供することができる。
【図面の簡単な説明】
【0015】
【図1】記憶装置のハードウェア構成の例を示す図である。
【図2】記憶装置の機能的な構成の例を示す図である。
【図3】記憶装置の初期化の際に行われる処理の流れの例を示すシーケンス図である。
【図4】初期設定テーブルの例を示す図である。
【図5】削除タイミングリストの例を示す図である。
【図6】記憶装置にデータが保存される際の処理の流れの例を示すフローチャートである。
【図7】記憶装置が取り外された際に行われる処理の流れの例を示すフローチャートである。
【図8】図7のアラーム時刻決定処理の流れの例を示すフローチャートである。
【図9】記憶装置が取り外された後に行われる処理の流れの例を示すフローチャートである。
【図10】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【図11】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【図12】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【発明を実施するための形態】
【0016】
まず、図1に示されるような、本実施形態に係る記憶装置1が有する機能を説明する。
【0017】
記憶装置1は、持ち運びに適した可搬型(リムーバブル型)の記憶装置であり、内部に不揮発性メモリ12を備えている。
【0018】
利用者は、記憶装置1を自己が使用するパソコンなどの情報処理装置2に接続し、認証を受けた後、持ち出したいデータを記憶装置1に記憶させることができる。
【0019】
記憶装置1に記憶されたデータは、情報漏えいを防止する観点から、様々なタイミングで読出しが不可能となる。具体的には、下記(1)〜(9)のタイミングで読出しが不可能となる。ただし、利用者またはその管理者は、下記(1)〜(9)のタイミングのうち有効にすべきタイミングを、記憶装置1の使用目的に応じて選択することができる。
(1)設定された日時に達した時
(2)記憶装置1が情報処理装置2から取り外されてから所定の時間が経過した時
(3)接続が許可されていない情報処理装置2に記憶装置1が接続された回数が所定の回数に達した時
(4)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま記憶装置1が情報処理装置2から取り外された回数が所定の回数に達した時
(5)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま所定の時間が経過した時
(6)記憶装置1が情報処理装置2に接続された後、利用者の認証に失敗した回数が所定の回数に達した時
(7)記憶装置1が情報処理装置2に接続され利用者の認証が成功した後、利用者による操作が行われないまま所定の時間が経過した時
(8)利用者より記憶装置1を情報処理装置2から取り外す意思が示された後、取り外されないまま所定の時間が経過した時
(9)二次電池の残量が所定の値を下回った時
記憶装置1に記憶されたデータは、上記(1)のタイミングで読出しが不可能となるので、記憶装置1の使用状況などに関わらず、設定された日時に達すれば確実に読出しが不可能となる。
【0020】
記憶装置1に記憶されたデータは、上記(2)のタイミングで読出しが不可能となるので、所定の時間、記憶装置1が使用されなければ確実に読出しが不可能となる。
【0021】
なお、上記(1)、(2)のタイミングは、原則として記憶装置1が情報処理装置2に単に接続されることによっては延長されないことが、従来の記憶装置と異なる点の1つである。
【0022】
記憶装置1に記憶されたデータは、上記(3)〜(6)のタイミングで読出しが不可能となるので、第三者による不正な使用が疑われる場合などに読出しが不可能となる。
【0023】
記憶装置1に記憶されたデータは、上記(7)、(8)のタイミングで読出しが不可能となるので、利用者が記憶装置1を情報処理装置2から抜き忘れたと考えられる場合などに読出しが不可能となる。
【0024】
記憶装置1に記憶されたデータは、上記(9)のタイミングで読出しが不可能となるので、二次電池の残量が足りないために読出しを不可能とする動作を実行できなくなってしまうということがない。
【0025】
このように、記憶装置1では、記憶されたデータは様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
【0026】
以下、このような機能を有する記憶装置1の実施形態について、図面を用いて説明する。
〔記憶装置1の構成〕
図1は記憶装置1のハードウェア構成の例を示す図であり、図2は記憶装置1の機能的な構成の例を示す図である。
【0027】
図1に示すように、記憶装置1は、コネクタ部10、制御部11、不揮発性メモリ12、ハブ13、切換えスイッチ14a、14b、充電回路15、二次電池16、DC/DCコンバータ17、および計時部18などを有している。
【0028】
コネクタ部10は、信号端子10aおよび電源端子10bなどを有しており、記憶装置1と情報処理装置2とを物理的に接続する際の接点となる。コネクタ部10の形状は、記憶装置1と情報処理装置2との接続に用いられるインタフェースに対応した形状となっている。インタフェースとして、例えば、USB(Universal Serial Bus)規格に準拠したシリアルインタフェースが用いられる。
【0029】
コネクタ部10が、情報処理装置2の側に設けられた対応するコネクタ部に差し込まれることで、記憶装置1と情報処理装置2とが電気的に接続される。そして、信号端子10aを介して、記憶装置1と情報処理装置2との間で各種のデータがやり取りされる。また、電源端子10bを介して、情報処理装置2から記憶装置1へ電力が供給される。例えば、+5Vの直流電圧の電力が供給される。電源端子10bを介して供給された電力は、DC/DCコンバータ17を介して記憶装置1の各部に供給される。
【0030】
制御部11は、不揮発性のメモリからなる記憶部を内蔵したCPU(Central Processing Unit)であり、記憶部に格納されているプログラムおよびデータならびに情報処理装置2から入力される各種のデータなどに基づいて、記憶装置1の全体的な制御を行う。
【0031】
制御部11の記憶部には、図2に示すような各機能部を実現するためのプログラムが格納されている。
【0032】
図2をも参照して、接続/非接続検知部101は、記憶装置1が情報処理装置2に接続されたこと、および記憶装置1が情報処理装置2から取り外されたことを検知する。検知は、電源端子10bに電圧が加わっているか否か、または電源端子10bに電流が流れているか否かなどを検出することにより行われる。
【0033】
電力供給指示部102は、電源オン/オフ信号S02をDC/DCコンバータ17に出力する。電源オン/オフ信号S02は、電源のオンまたはオフを指示するレベル信号である。
【0034】
初期設定部103は、情報処理装置2から入力された情報などに基づいて記憶装置1の初期設定を行う。
【0035】
機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2、および記憶装置1を使用する利用者を認証する。
【0036】
アラーム設定部105は、アラーム時刻S05を計時部18に設定する。
【0037】
削除判別部106は、不揮発性メモリ12に記憶されたデータへのアクセスを不可能にするか否かを判別する。
【0038】
キー/データ削除部107は、制御部11の記憶部などに記憶された暗号鍵、または不揮発性メモリ12に記憶されたデータを消去する。
【0039】
制御部11の記憶部には、そのほか、所定のインタフェースに則って情報処理装置2と通信を行うためのプログラムが格納されている。
【0040】
これらのプログラムが制御部11のCPUによって適宜実行されることで、制御部11による各種の制御が実現される。
【0041】
不揮発性メモリ12は、データの記憶領域、およびデータの書込みおよび読出しを制御するためのコントローラなどを有している。不揮発性メモリ12の記憶領域に記憶されたデータは、不揮発性メモリ12に電力が供給されていない状態でも保持される。不揮発性メモリ12として、例えば、フラッシュメモリなどの半導体メモリが用いられる。
【0042】
信号端子10aと制御部11および不揮発性メモリ12との間には、制御部11および不揮発性メモリ12の側に2つのポートを有するハブ13が設けられている。また、ハブ13と制御部11および不揮発性メモリ12との間、つまりハブ13の後段には、切換えスイッチ14a、14bが設けられている。このような構成により、制御部11および不揮発性メモリ12をそれぞれ情報処理装置2に接続することも、制御部11および不揮発性メモリ12を互いに接続することも可能となっている。
【0043】
充電回路15は、記憶装置1が情報処理装置2に接続されているときに、電源端子10bを介して供給される電力を二次電池16に充電するための回路である。
【0044】
二次電池16は、記憶装置1が情報処理装置2に接続されている間、時間の経過とともに充電され、記憶装置1が情報処理装置2に接続されていないときに、記憶装置1の各部に電力を供給するための電源となる。二次電池16として、例えば、大容量キャパシタが用いられる。
【0045】
DC/DCコンバータ17は、制御部11または計時部18からの指示に応じて、制御部11、不揮発性メモリ12、およびハブ13などの記憶装置1の各部に電力を分配する。その際、記憶装置1の各部の動作に適した電圧に変換する。例えば、+3.3Vの直流電圧に変換する。記憶装置1が情報処理装置2に接続されているときは、電源端子10bを介して供給される電力を分配する。記憶装置1が情報処理装置2に接続されていないときは、制御部11から出力される電源オン/オフ信号S02において電源のオンが指示されている間、二次電池16から供給される電力を分配する。
【0046】
計時部18は、常時、電力の供給を受けて現在時刻(現在日時)を計時し続けるためのIC(Integrated Circuit)であり、RTC(Real Time Clock)と呼ばれることもある。計時部18は、記憶装置1が情報処理装置2に接続されていないときは、二次電池16から電力の供給を受ける。計時部18で計時されている現在時刻は、記憶装置1が情報処理装置2に接続されたときに、情報処理装置2において計時されている現在時刻に適宜補正される。
【0047】
計時部18には、アラーム時刻S05を設定することが可能となっており、計時部18は、現在時刻がアラーム時刻S05に達すると、図2に示すように、電源オン信号S18をDC/DCコンバータ17に出力するようになっている。
〔初期化の際に行われる処理〕
次に、記憶装置1の初期化について説明する。
【0048】
記憶装置1の初期化は、初期化を行う作業者が情報処理装置2を用いて行う。作業者は、記憶装置1の利用者自身またはその管理者である。
【0049】
具体的には、作業者には、記憶装置1を初期化するための、情報処理装置2のOS(Operating System)に対応の初期化用プログラムが格納されたCD−ROMが配布される。初期化用プログラムには、ドライバ、初期設定用アプリケーション、および操作用アプリケーションなどが含まれている。初期設定用アプリケーションは、記憶装置1の初期化の際に必要となるプログラムである。操作用アプリケーションは、初期化済みの記憶装置1を使用する際に必要となるプログラムである。
【0050】
作業者は、初期化用プログラムを情報処理装置2にインストールする。そして、記憶装置1を情報処理装置2に接続し、初期設定用アプリケーションを情報処理装置2において起動する。
【0051】
記憶装置1が情報処理装置2に接続されると、DC/DCコンバータ17を介して記憶装置1の各部に電源端子10bからの電力が供給される。
【0052】
一方、初期設定用アプリケーションは、作業者を誘導するための画面を情報処理装置2の表示装置に表示する。作業者はその画面の内容に従って必要な事項を入力して記憶装置1の初期化を行う。
【0053】
図3は記憶装置1の初期化の際に行われる処理の流れの例を示すシーケンス図であり、図4は初期設定テーブルFTの例を示す図である。
【0054】
以下、記憶装置1の初期化の際に行われる処理について、図3を用いて説明する。ただし、以下に説明する処理が実行される順序は、必ずしも図3に示される順序の通りでなくてもよい。
【0055】
初期設定用アプリケーションは、制御部11に対して記憶内容をリセットするよう要求する(#301)。そして、制御部11における記憶内容は、工場出荷時の状態に戻される。
【0056】
次に、初期設定用アプリケーションは、記憶装置1を使用する際の運用上の設定(ポリシー設定)を行う上で必要な事項を入力するよう作業者に促し、入力された内容を制御部11に送信する(#302〜#304)。制御部11の初期設定部103は、受信した内容を図4に示すような初期設定テーブルFTに設定する。初期設定テーブルFTは、制御部11の記憶部に保存される。
【0057】
具体的には、初期設定用アプリケーションは、管理者パスワードおよび利用者パスワードを入力するよう作業者に促し、入力された両パスワードを制御部11に送信する(#302)。制御部11の初期設定部103は、受信した両パスワードを初期設定テーブルFTの管理者パスワードFT1および利用者パスワードFT2にそれぞれ設定する。
【0058】
また、初期設定用アプリケーションは、記憶装置1の接続を許可する情報処理装置2を特定するための情報である固有IDを入力するよう促し、入力された固有IDを制御部11に送信する(#303)。ここで、作業者は、記憶装置1を接続して使用することを予定している情報処理装置2の固有IDを入力する。なお、初期化に用いた情報処理装置2の固有IDは、自動的に送信されるようにしてもよい。固有IDとして、例えば、MACアドレス(Media Access Control address)が用いられる。制御部11の初期設定部103は、受信した固有IDを初期設定テーブルFTの接続許可機器リストFT3に登録する。
【0059】
また、初期設定用アプリケーションは、記憶装置1に記憶されたデータを読出し不可能とするタイミングを示す削除設定情報を、指定または選択するなどの方法により入力するよう作業者に促し、入力された削除設定情報を制御部11に送信する(#304)。制御部11の初期設定部103は、受信した削除設定情報を初期設定テーブルFTの削除タイミングリストFT4の各削除タイミング情報DTに設定する。削除タイミングリストFT4の詳細については後述する。
【0060】
また、初期設定用アプリケーションは、初期化用プログラムの一部としてインストールされた操作用アプリケーションをCD−ROMのフォーマットに変換したファイルであるCD−ROMイメージを作成し、作成したCD−ROMイメージを不揮発性メモリ12の所定の記憶領域に格納する(#305)。CD−ROMイメージが格納された記憶領域は、情報処理装置2のOSにおいて仮想的にCD−ROMドライブとして認識される。利用者は、CD−ROMに格納されたプログラムを利用する要領で操作用アプリケーションを利用することができる。
【0061】
また、初期設定用アプリケーションは、情報処理装置2のOSに対応したファイルシステムに則って、不揮発性メモリ12の所定の記憶領域をリムーバブルディスクとしてフォーマットする(#306)。さらに、暗号化されたデータを格納するための暗号化領域をフォーマット済みの記憶領域に作成する(#307)。暗号化領域は、対応する暗号鍵が適用されることにより、情報処理装置2のOSにおいてディスクドライブとして認識される。利用者は、認証を受ければ、通常のファイル操作の要領で、暗号化領域にファイルを保存したり保存したファイルを開いたりすることができる。
【0062】
また、初期設定用アプリケーションは、暗号化領域へのアクセスに用いられる暗号鍵を生成し、生成した暗号鍵を制御部11に送信する(#308)。制御部11の初期設定部103は、受信した暗号鍵を初期設定テーブルFTの暗号鍵FT5に設定する。
【0063】
また、初期設定用アプリケーションは、情報処理装置2において計時されている現在時刻を取得し、取得した現在時刻を制御部11に送信する(#309)。制御部11の初期設定部103は、受信した現在時刻を計時部18に設定する。
【0064】
以上のようにして、記憶装置1が初期化され、初期化済みの制御部11の記憶部には、図4に示すような初期設定テーブルFTが保存される。
【0065】
以下、初期設定テーブルFTの削除タイミングリストFT4の詳細について説明する。
【0066】
図5は削除タイミングリストFT4の例を示す図である。
【0067】
削除タイミングリストFT4には、不揮発性メモリ12に記憶されたデータの読出しを不可能とするタイミングを示す各種の削除タイミング情報DTが登録される。各削除タイミング情報DTの値は、あらかじめ定められた値が設定されることもあるし、作業者によって入力された削除設定情報に基づいて設定されることもある。作業者によって入力される削除設定情報に示される値は、初期設定用アプリケーションから提供されるデフォルトの値であってもよい。
【0068】
データ保持期限DT1は、データを保持しておく絶対的な期限を示す情報であり、本例では「2010年7月4日24時00分00秒」に設定されている。
【0069】
データ保持期間DT2は、記憶装置1が情報処理装置2から取り外された時を起点としてデータを保持しておく期間を示す情報であり、本例では「24時間」に設定されている。
【0070】
未登録機器接続回数DT3は、接続が許可されていない情報処理装置2に記憶装置1が接続された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
【0071】
未認証取外し回数DT4は、利用者の認証が成功しない状態において記憶装置1が情報処理装置2から取り外された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
【0072】
未認証時間DT5は、記憶装置1が情報処理装置2に接続されてから利用者の認証が成功しない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「10分」に設定されている。
【0073】
認証失敗回数DT6は、利用者の認証に失敗した回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「5回」に設定されている。
【0074】
未操作時間DT7は、利用者の認証が成功してから利用者による操作が行われない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「15分」に設定されている。
【0075】
取外し時間DT8は、記憶装置1と情報処理装置2との論理的な接続が解除されてから物理的な接続が切断されない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「5分」に設定されている。
【0076】
電池下限電圧DT9は、二次電池16に充電された電圧がどれだけ低下するまでデータを保持しておくかの下限電圧を示す情報であり、本例では「3V」に設定されている。
【0077】
電池下限電圧DT9には、あらかじめ定められた値が設定され、作業者はその設定内容を変更できないようになっていることが好ましい。なお、電池下限電圧DT9は、DC/DCコンバータ17が動作可能な下限電圧、記憶装置1の各部における消費電力、および後述する電力監視周期などに基づいて設定される。
【0078】
データの読出しを不可能とするタイミングとして各削除タイミング情報DT(DT1〜DT9)を適用するか否かは、あらかじめ設定されているか、作業者が選択できるようになっている。図5の例において、適用する削除タイミング情報DTには「有効」が設定され、適用しない削除タイミング情報DTには「無効」が設定されている。ここで、複数の削除タイミング情報DTの適用の有無が互いに連動するようになっていてもよい。例えば、データ保持期限DT1が適用される場合は、データ保持期間DT2が適用されないようになっていてもよい。なお、電池下限電圧DT9は、常に適用されることが好ましい。
【0079】
また、利用者またはその管理者は、記憶装置1の初期化の後も、利用者パスワード、管理者パスワード、またはその両方による認証を受ければ、データ保持期限DT1、データ保持期間DT2をはじめとする各削除タイミング情報DTの設定内容を適宜変更することができるようになっている。
【0080】
以下、データ保持期限DT1およびデータ保持期間DT2についてはいずれか一方のみが適用され、そのほかの各削除タイミング情報DTについてはすべてが適用されることを前提に説明する。そのため、以下の説明において、各削除タイミング情報DTが関係する処理にあっては、その削除タイミング情報DTを適用しない場合は行う必要がない。
〔データの保存の際に行われる処理〕
図6は、記憶装置1にデータが保存される際に行われる処理の流れの例を示すフローチャートである。
【0081】
以下、記憶装置1にデータが保存される際に行われる処理について、図6を用いて説明する。
【0082】
利用者は、初期化済みの記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。なお、操作用アプリケーションは、情報処理装置2のOSの機能によって記憶装置1を接続すれば自動的に起動されるようになっていてもよい。
【0083】
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#401)。これより先、制御部11の電力供給指示部102は、記憶装置1を待機状態に移行させる(図7の#508)までの間、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオンを指示する。
【0084】
制御部11の機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2からその固有IDを取得し、取得した固有IDと初期設定テーブルFTの接続許可機器リストFT3に登録されている固有IDとを照合する(#402)。照合の結果、取得した固有IDが接続許可機器リストFT3に登録されている固有IDでないことが判明した場合は(#402でNo)、機器認証が失敗した旨を操作用アプリケーションに通知する(#403)。他方、登録されている固有IDであることが判明した場合は(#402でYes)、機器認証が成功した旨を操作用アプリケーションに通知する(#404)。
【0085】
操作用アプリケーションは、機器認証が成功した旨の通知を受け取ると、利用者に利用者パスワードを入力するよう促すためのダイアログボックスなどの画面を情報処理装置2の表示装置に表示し、入力された利用者パスワードを制御部11に送信する。
【0086】
他方、操作用アプリケーションは、機器認証が失敗した旨の通知を受け取ると、利用者に情報処理装置2は記憶装置1を接続することが認められていない装置であることを知らせるための画面を情報処理装置2の表示装置に表示する。
【0087】
制御部11の機器/ユーザ認証部104は、利用者パスワードを受信すると、受信した利用者パスワードと初期設定テーブルFTの利用者パスワードFT2に設定されているパスワードとを照合する(#405)。照合の結果、両者が一致しなかった場合は(#405でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知し(#406)、利用者パスワードを再び受信するまで待機する。他方、両者が一致した場合は(#405でYes)、操作用アプリケーションに、ユーザ認証が成功した旨を通知する(#407)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#408)。
【0088】
操作用アプリケーションは、暗号鍵を受信すると、受信した暗号鍵を不揮発性メモリ12の暗号化領域を管理する暗号化ファイルシステムに引き渡す。これにより、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、情報処理装置2の記憶装置などに記憶されているファイルのうち持ち出したいファイルを暗号化領域にコピーする選択を行えばよい。利用者によって選択されたファイルは、暗号鍵によって暗号化された状態で暗号化領域に保存される。
【0089】
他方、操作用アプリケーションは、ユーザ認証が失敗した旨の通知を受け取ると、利用者に、入力されたパスワードが誤りであることを知らせるための画面、および正しいパスワードを再入力するよう促すための画面を情報処理装置2の表示装置に表示する。
【0090】
なお、制御部11の機器/ユーザ認証部104は、機器認証(#402)またはユーザ認証(#405)のいずれか一方のみしか行わなくてもよい。
〔取外しの際に行われる処理〕
図7は記憶装置1が情報処理装置2から取り外された際に行われる処理の流れの例を示すフローチャート、図8は図7のアラーム時刻決定処理(#505)の例を示すフローチャートである。
【0091】
以下、記憶装置1が情報処理装置2から取り外された際に行われる処理について、図7および図8を用いて説明する。
【0092】
利用者は、データを記憶装置1に保存し終えると、操作用アプリケーションなどを介して、記憶装置1を情報処理装置2から取り外す旨の選択を行う。すなわち、記憶装置1を情報処理装置2のOSから論理的に取り外す選択を行う。利用者は、その後に、記憶装置1を情報処理装置2から物理的に取り外す。
【0093】
操作用アプリケーションは、利用者によって取外しが選択されると、取外しが選択された旨を制御部11に送信する。この時点で、記憶装置1は、情報処理装置2に物理的には接続されているが、論理的には接続が解除された状態である。すなわち、通信が切断された状態であり、獲得した認証も解除された状態である。
【0094】
制御部11の削除判別部106は、取外しが選択された旨を受信すると(#501)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#502)。時間内に接続/非接続検知部101によって取外しが検知されなかった場合は(#502でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#503)。なお、暗号鍵が消去された後は、不揮発性メモリ12の暗号化領域に記憶されたデータにアクセスすることは不可能となる。他方、時間内に取外しが検知された場合は(#502でYes)、以降のステップ(#504〜#508)に進む。なお、以降のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
【0095】
アラーム設定部105は、計時部18で計時されている現在時刻を取得する(#504)。そして、次のようにしてアラーム時刻S05を決定する(#505)。
【0096】
すなわち、図8に示すように、アラーム設定部105は、初期設定テーブルFTを参照し、削除タイミングリストFT4のデータ保持期限DT1が有効(データ保持期間DT2が無効)に設定されている場合は(#601でYes)、削除タイミングリストFT4のデータ保持期限DT1に設定されている期限をデータ削除予定時刻として取得する(#602)。そして、データ削除予定時刻から現時時刻を引いた値をデータ保持予定時間として算出する(#603)。
【0097】
他方、データ保持期限DT1が無効(データ保持期間DT2が有効)に設定されている場合は(#601でNo)、削除タイミングリストFT4のデータ保持期間DT2に設定されている期間をデータ保持予定時間として取得する(#604)。そして、現在時刻にデータ保持予定時間を足した値をデータ削除予定時刻として算出する(#605)。
【0098】
次に、#603で算出しまたは#604で取得したデータ保持予定時間と電力監視周期とを比較する(#606)。ここで、電力監視周期とは、記憶装置1の各部に二次電池16からの電力が供給されている場合に、二次電池16の充電における残りの電圧を監視する周期(時間間隔)である。電力監視周期は、制御部11の記憶部にあらかじめ登録されている。
【0099】
データ保持予定時間が電力監視周期以下であれば(#606でYes)、#602で取得しまたは#605で算出したデータ削除予定時刻をアラーム時刻S05に決定する(#607)。他方、データ保持予定時間が電力監視周期よりも大きければ(#606でNo)、現在時刻に電力監視周期を足した値をアラーム時刻S05に決定する(#608)。
【0100】
アラーム設定部105は、このようにして決定したアラーム時刻S05を計時部18に設定する(#506)。また、#602で取得しまたは#605で算出したデータ削除予定時刻を制御部11の記憶部に登録する(#507)。
【0101】
なお、#507において、データ削除予定時刻を登録するのではなく、#504で取得した現在時刻を、データを保持する期間の起点となる起点時刻として登録してもよい。または、データ削除予定時刻を登録するとともに、起点時刻も登録してもよい。この場合に、削除タイミングリストFT4のデータ保持期限DT1が有効に設定されている場合は、#603で算出したデータ保持予定時間もあわせて登録しておく。また、利用者またはその管理者によって所定の操作が行われた際に、起点時刻の値を変更するようにしてもよい。例えば、記憶装置1が情報処理装置2に接続され、所定の認証が成功した後に、利用者またはその管理者によって起点時刻の変更を指示する操作がなされた際に、起点時刻の値を指定された時刻に変更してもよいし、利用者またはその管理者によって削除タイミングリストFT4のデータ保持期間DT2の設定の変更を指示する操作がなされた際に、起点時刻の値を自動的にその時点の現在時刻に変更してもよい。これらの点は、後述する図9の#709においても同様である。
【0102】
アラーム設定部105によってアラーム時刻S05の設定およびデータ削除予定時刻の登録がなされると、電力供給指示部102は、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオフを指示する。その結果、記憶装置1の計時部18を除く各部には電力が供給されなくなり、記憶装置1は待機状態に移行する(#508)。ただし、計時部18は、その後も、二次電池16から供給される電力によって現在時刻の計時を継続する。
〔取外しの後に行われる処理〕
図9は、記憶装置1が情報処理装置2から取り外された後に行われる処理の流れの例を示すフローチャートである。
【0103】
以下、記憶装置1が情報処理装置2から取り外された後に行われる処理について、図9を用いて説明する。
【0104】
計時部18は、計時している現在時刻が、設定されたアラーム時刻S05に達すると、DC/DCコンバータ17に電源オン信号S18を出力する。その結果、DC/DCコンバータ17を介して記憶装置1の各部に二次電池16からの電力が供給され、制御部11が起動する(#701)。これより先、制御部11の電力供給指示部102は、記憶装置1を再び待機状態に移行させる(#710)までの間、DC/DCコンバータ17に電源のオンを指示する。その間、次のような処理が行われる。
【0105】
制御部11の削除判別部106は、計時部18で計時されている現在時刻を取得する(#702)。また、二次電池16の充電における残りの電圧を示す充電電圧S16を二次電池16から取得する(#703)。
【0106】
次に、削除判別部106は、取得した現在時刻と記憶装置1の取外しの際に登録しておいたデータ削除予定時刻とを比較する(#704)。現在時刻がデータ削除予定時刻に達している場合は(#704でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。
【0107】
なお、記憶装置1の取外しの際に起点時刻を登録しておいた場合は、#704において、削除タイミングリストFT4のデータ保持期間DT2に設定されている時間または登録しておいたデータ保持予定時間を起点時刻に足すことにより、データ削除予定時刻をその都度算出してもよい。後述する図12の#906においても同様である。
【0108】
他方、現在時刻がデータ削除予定時刻に達していない場合は(#704でNo)、取得した充電電圧S16と削除タイミングリストFT4の電池下限電圧DT9に設定されている下限電圧とを比較する(#706)。充電電圧S16が下限電圧より小さい場合は(#706でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。ここで、暗号鍵を消去する理由は、データ削除予定時刻を迎える頃には二次電池16が制御部11のCPUを動作させるのに必要な電力を供給できなくなることにより、暗号鍵を消去できなくなることを回避するためである。
【0109】
他方、充電電圧S16が下限電圧以上である場合は(#706でNo)、図7に示した#505〜#508と同様の処理を行う。すなわち、アラーム時刻S05を決定し(#707)、決定したアラーム時刻S05を計時部18に設定する(#708)。また、データ削除予定時刻を制御部11の記憶部に登録する(#709)。そして、電力供給指示部102によってDC/DCコンバータ17に電源のオフが指示されることにより、記憶装置1は、再び待機状態に移行し(#710)、次のアラーム時刻S05に達するまで待機する。
〔再接続の際に行われる処理〕
図10〜12は、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理の流れの例を示すフローチャートである。
【0110】
以下、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理について、図10〜12を用いて説明する。
【0111】
利用者は、データを保存した記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。
【0112】
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#801)
制御部11の機器/ユーザ認証部104は、機器認証が失敗した回数を計数するための機器認証失敗カウンタ、およびユーザ認証が失敗した回数を計数するためのユーザ認証失敗カウンタを用意する。また、制御部11の削除判別部106は、ユーザ認証を受けずに記憶装置1が取り外された回数を計数するための未認証取外しカウンタを用意する。
【0113】
これらのカウンタは、制御部11の記憶部に保存される。よって、記憶装置1の取外しを挟んでも、それらのカウンタに示される回数はリセットされない。
【0114】
機器/ユーザ認証部104は、図6に示した#402と同様の方法により機器認証を行う(#802)。機器認証が失敗した場合は(#802でNo)、機器認証が失敗した旨を操作用アプリケーションに通知するとともに(#803)、機器認証失敗カウンタをカウントアップする(#804)。そして、削除判別部106は、カウントアップ後の機器認証失敗カウンタに示される回数が削除タイミングリストFT4の未登録機器接続回数DT3に設定されている回数に達している場合は(#805でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#806)。他方、未登録機器接続回数DT3に設定されている回数に達していない場合は(#805でNo)、暗号鍵を消去しない。
【0115】
機器/ユーザ認証部104は、機器認証が成功した場合は(#802でYes)、機器認証が成功した旨を操作用アプリケーションに通知するとともに(#807)、機器認証失敗カウンタをクリアする(#808)。
【0116】
また、削除判別部106は、ユーザ認証が成功(#815でYes)していない状態で記憶装置1が情報処理装置2から物理的に取り外されたことが接続/非接続検知部101によって検知された場合は(#809でYes)、未認証取外しカウンタをカウントアップする(#810)。そして、カウントアップ後の未認証取外しカウンタに示される回数が削除タイミングリストFT4の未認証取外し回数DT4に設定されている回数に達している場合は(#811でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#812)。他方、未認証取外し回数DT4に設定されている回数に達していない場合は(#811でNo)、暗号鍵を消去しない。なお、#810〜#812のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
【0117】
また、削除判別部106は、#801で接続が検知された時点からユーザ認証が成功(#815でYes)していない状態で削除タイミングリストFT4の未認証時間DT5に設定されている時間が経過した場合は(#813でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#814)。
【0118】
機器/ユーザ認証部104は、操作用アプリケーションから利用者パスワードを受信し、図6に示した#405と同様の方法によりユーザ認証を行う(#815)。ユーザ認証が失敗した場合は(#815でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知するとともに(#816)、ユーザ認証失敗カウンタをカウントアップする(#817)。そして、削除判別部106は、カウントアップ後のユーザ認証失敗カウンタに示される回数が削除タイミングリストFT4の認証失敗回数DT6に設定されている回数に達している場合は(#818でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#819)。他方、認証失敗回数DT6に設定されている回数に達していない場合は(#818でNo)、暗号鍵を消去せずに、利用者パスワードを再び受信するまで待機する。
【0119】
機器/ユーザ認証部104は、ユーザ認証が成功した場合は(#815でYes)、ユーザ認証が成功した旨を操作用アプリケーションに通知するとともに(#820)、ユーザ認証失敗カウンタおよび未認証取外しカウンタをクリアする(#821、#822)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#823)。
【0120】
操作用アプリケーションが暗号鍵を受信すると、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、不揮発性メモリ12に保存したファイルを読み出したり、削除したり、新たなファイルを保存したりすることができる。
【0121】
また、削除判別部106は、操作用アプリケーションにおいてユーザによる操作が行われるたびにそれを検知し、ユーザによる操作が前回行われた時点から削除タイミングリストFT4の未操作時間DT7に設定されている時間が経過するまでにユーザによる操作が行われるか否かを監視する(#824)。時間内にユーザによる操作が行われなかった場合は(#824でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#825)。
【0122】
また、削除判別部106は、図7に示した#501〜503と同様の処理を行う。すなわち、操作用アプリケーションから記憶装置1の取外しが選択された旨を受信すると(#826)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#827)。時間内に取外しが検知されなかった場合は(#827でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#828)。
【0123】
記憶装置1が情報処理装置2に再接続されている間、以上のような処理が行われるが、制御部11の削除判別部106は、それと並行して図12に示すような処理を行う。
【0124】
すなわち、削除判別部106は、計時部18で計時されている現在時刻を取得する(#901)。そして、登録されているデータ削除予定時刻から現在時刻を引いた値を残り時間として算出し(#902)、算出した残り時間を操作用アプリケーションに送信する(#903)。また、残り時間が初めて所定の時間を切った場合に(#904でYes)、データの削除時期が近づいている旨を操作用アプリケーションに通知する(#905)。
【0125】
操作用アプリケーションは、利用者に残り時間を知らせるための画面を情報処理装置2の表示装置に表示し、残り時間を受信するたびに表示している残り時間を更新する。また、データの削除時期が近づいている旨の通知を受け取ると、利用者にその旨を知らせるためのポップアップなどの画面を情報処理装置2の表示装置に表示する。このような画面を表示する理由は、利用者が記憶装置1を使用している最中に不揮発性メモリ12に保存したデータが不意に消去されてしまうことがないようにするためである。
【0126】
なお、残り時間の送信は、図11の#815でユーザ認証が成功した際に一度だけ行われるようにしてもよい。
【0127】
また、記憶装置1の側で残り時間を算出して送信するのではなく、操作用アプリケーションの側で残り時間を算出してもよい。例えば、起点時刻が登録されている場合に、削除判別部106は、削除タイミングリストFT4のデータ保持期間DT2などに設定されている、データの保持時間と、現在時刻から起点時刻を引いた値である経過時間とを操作用アプリケーションに送信する。そして、操作用アプリケーションは、データの保持時間から経過時間を引いた値を残り時間として算出するとよい。
【0128】
削除判別部106は、残り時間がなくなるまで、つまり、現在時刻がデータ削除予定時刻に達するまでの間(#906でNo)、一定時間ごとに#901〜#905のステップに係る処理を行う。現在時刻がデータ削除予定時刻に達すると(#906でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#907)。
【0129】
このように、記憶装置1が情報処理装置2に接続されている状態であっても、現在時刻がデータ削除予定時刻に達すれば暗号鍵が消去され、その後は不揮発性メモリ12に記憶されたデータを復号化することは不可能となる。
【0130】
ただし、記憶装置1が接続された情報処理装置2が特別な情報処理装置2である場合には、登録されているデータ削除予定時刻をいったん無効にするなどして、接続中は暗号鍵の消去が行われないようにしてもよい。
【0131】
具体的には、機器/ユーザ認証部104は、機器認証(#802)において、取得した固有IDがユーザによって特別に指定された情報処理装置2の固有IDであるか否かをも判別する。そして、そのような固有IDである場合は、ユーザ認証が成功(#815でYes)した時点などにおいて、アラーム設定部105は、登録されているデータ削除予定時刻を消去する。また、計時部18に設定したアラーム時刻S05も解除する。削除判別部106は、データ削除予定時刻が消去されているので、図12に示した処理を行わない。つまり、データ削除予定時刻の到達に基づく暗号鍵の消去が抑止される。
【0132】
特に、削除タイミングリストFT4のデータ保持期間DT2が有効(データ保持期限DT1が無効)に設定されている場合に、そのようにすると効果的である。
【0133】
例えば、利用者またはその管理者は、記憶装置1の初期化の際に、記憶装置1の接続を許可する情報処理装置2の中でも、日常使用する情報処理装置2の固有IDなどを特別な固有IDとして指定しておく。また、日常使用する情報処理装置2を使用しない可能性のある最大時間をデータ保持期間DT2に設定する。そうすることで、データ保持期間DT2に設定した最大時間を空けずに、日常使用する情報処理装置2に記憶装置1を接続して使用している限り、記憶装置1に保存したデータへアクセスすることができる。
【0134】
以上に説明したように、記憶装置1では、記憶されたデータが様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
【0135】
特に、図9の#705および図12の#907に示したように、記憶装置1が情報処理装置2に接続されていようがいまいが、データ保持期限DT1またはデータ保持期間DT2の設定に基づいて算出されるデータ削除予定時刻に現在時刻が達すれば、暗号鍵が消去され、その後に記憶装置1に記憶されたデータにアクセスすることはできなくなる。つまり、記憶装置1が情報処理装置2に単に差し込まれていることによっては、データを保持する期限は延長されない。よって、記憶装置1は、従来の記憶装置と較べてセキュリティがより一層向上している。
【0136】
前述の実施形態において、初期設定テーブルFTは、制御部11に内蔵された記憶部に格納されるようになっていたが、それとは別に用意された不揮発性メモリからなる記憶部に格納されるようにしてもよい。または、不揮発性メモリ12の一部の領域をそのために利用してもよい。また、初期設定テーブルFTに登録された個々の情報をまとめて1つのテーブルで管理する必要はなく、各情報を個別に、また異なる記憶部において管理してもよい。例えば、暗号鍵について、初期設定テーブルFTに登録されたその他の情報とは別に管理し、また不揮発性メモリ12の一部の領域に格納してもよい。
【0137】
また、前述の実施形態において、記憶装置1にデータが保存されていない場合には、暗号鍵の消去を行わなかったが、図10〜図12に示した、データが保存されている場合の処理と同様に、暗号鍵の消去を行ってもよい。その場合には、初期化済みの記憶装置1が初めて情報処理装置2に接続されたときに、機器認証失敗カウンタ、ユーザ認証失敗カウンタ、および未認証失敗カウンタを用意するとよい。
【0138】
また、前述の実施形態において、機器認証失敗カウンタは、機器認証が成功した時点でクリアされ、ユーザ認証失敗カウンタおよび未認証取外しカウンタは、ユーザ認証が成功した時点でクリアされていた。これらのカウンタは、それぞれそれらの時点でクリアされないようにしてもよい。つまり、認証の成功を挟んでそれらのカウンタに示される回数が累積されるようにしてもよい。
【0139】
また、前述の実施形態において、記憶装置1の接続の時点からユーザ認証が成功していない状態で所定の時間が経過した場合に暗号鍵を消去したが、そのような状態にある時間の累積時間を算出し、算出した累積時間があらかじめ設定された時間に達したときに暗号鍵を消去するようにしてもよい。
【0140】
また、前述の実施形態において、キー/データ削除部107は、所定のタイミングで不揮発性メモリ12の暗号化領域に保存されたデータの読出しを不可能とするために暗号鍵を消去したが、データの実体そのものを消去するようにしてもよい。その場合に、制御部11は、切換えスイッチ14a、14bを作動して制御部11と不揮発性メモリ12とを接続することにより、不揮発性メモリ12に直接アクセスすることができる。
【0141】
前述の実施形態において、記憶装置1のハードウェア構成および機能的構成などは、本発明の主旨に沿って適宜変更することができる。また、記憶装置1において行われる処理内容および処理順序なども、本発明の主旨に沿って適宜変更することができる。
【符号の説明】
【0142】
1 記憶装置
2 情報処理装置
11 制御部(第二の記憶手段)
12 不揮発性メモリ(第一の記憶手段)
16 二次電池(電力供給手段)
107 キー/データ削除部(第一のアクセス無効化手段、第二のアクセス無効化手段)
【技術分野】
【0001】
情報処理装置に接続可能な記憶装置などに関する。
【背景技術】
【0002】
近年、USBメモリをはじめとする可搬型の記憶装置が広く普及している。
【0003】
ユーザは、そのような記憶装置をパーソナルコンピュータなどの情報処理装置に接続し、記憶装置にデータを書き込んだり、記憶装置からデータを読み出したりすることができる。
【0004】
可搬型の記憶装置は、一般に、操作方法が単純で扱いやすく、コンパクトで持ち運びに適しているので、ある情報処理装置に記憶されたデータを持ち出して他の情報処理装置で使用したい場合などに便利である。
【0005】
しかしながら、その扱いやすさおよびコンパクトさゆえ、ユーザは、しばしば、それを情報処理装置に差し込んだまま抜き忘れてしまったり、持ち運んでいる間に紛失してしまったりすることがある。また、盗難にあってしまうこともある。
【0006】
そのような場合に、記憶装置に保存されたデータに含まれる機密性の高い情報などが、第三者に漏えいしてしまうおそれがある。すなわち、可搬型の記憶装置は、便利な反面、セキュリティ上の問題を有している。
【0007】
そこで、記憶装置のセキュリティの向上を図るため、USBメモリ等の携帯型記憶媒体に対して、通信機能を持たせることにより、遠隔から内部に記憶された情報の操作を可能とし、且つ通信が確立しない状態においても、時限的に内部情報を消去する、携帯型記憶媒体の管理システムが提案されている(特許文献1)。
【0008】
また、記憶装置に記憶されたデータを削除する削除時期を特定し、削除時期が経過したか否かを判定し、外部装置が接続されていないことが検知され、かつ、削除時期を経過したと判定された場合に、データを記憶手段から削除する記憶装置が提案されている(特許文献2)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2008−269285
【特許文献2】特開2009−199216
【発明の概要】
【発明が解決しようとする課題】
【0010】
特許文献1で提案されている記憶媒体の管理システム、および特許文献2で提案されている記憶装置では、ある程度セキュリティが確保されるもののいまだ不十分である。
【0011】
すなわち、それらでは、ユーザが記憶装置を情報処理装置に差し込んだまま席を離れてしまった後に、第三者がその場で記憶装置に記憶されたデータを参照したり、記憶装置を抜き取って持ち去ったりした場合などには、セキュリティを確保できない。
【0012】
本発明は、このような事情に鑑みてなされたものであり、セキュリティをより一層向上させた記憶装置を提供することを目的とする。
【課題を解決するための手段】
【0013】
以下に述べる記憶装置は、情報処理装置に接続可能な記憶装置であって、データを記憶する第一の記憶手段と、前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、を有する。
【発明の効果】
【0014】
本発明によれば、セキュリティをより一層向上させた記憶装置を提供することができる。
【図面の簡単な説明】
【0015】
【図1】記憶装置のハードウェア構成の例を示す図である。
【図2】記憶装置の機能的な構成の例を示す図である。
【図3】記憶装置の初期化の際に行われる処理の流れの例を示すシーケンス図である。
【図4】初期設定テーブルの例を示す図である。
【図5】削除タイミングリストの例を示す図である。
【図6】記憶装置にデータが保存される際の処理の流れの例を示すフローチャートである。
【図7】記憶装置が取り外された際に行われる処理の流れの例を示すフローチャートである。
【図8】図7のアラーム時刻決定処理の流れの例を示すフローチャートである。
【図9】記憶装置が取り外された後に行われる処理の流れの例を示すフローチャートである。
【図10】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【図11】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【図12】記憶装置が再び接続された際に行われる処理の流れの例を示すフローチャートである。
【発明を実施するための形態】
【0016】
まず、図1に示されるような、本実施形態に係る記憶装置1が有する機能を説明する。
【0017】
記憶装置1は、持ち運びに適した可搬型(リムーバブル型)の記憶装置であり、内部に不揮発性メモリ12を備えている。
【0018】
利用者は、記憶装置1を自己が使用するパソコンなどの情報処理装置2に接続し、認証を受けた後、持ち出したいデータを記憶装置1に記憶させることができる。
【0019】
記憶装置1に記憶されたデータは、情報漏えいを防止する観点から、様々なタイミングで読出しが不可能となる。具体的には、下記(1)〜(9)のタイミングで読出しが不可能となる。ただし、利用者またはその管理者は、下記(1)〜(9)のタイミングのうち有効にすべきタイミングを、記憶装置1の使用目的に応じて選択することができる。
(1)設定された日時に達した時
(2)記憶装置1が情報処理装置2から取り外されてから所定の時間が経過した時
(3)接続が許可されていない情報処理装置2に記憶装置1が接続された回数が所定の回数に達した時
(4)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま記憶装置1が情報処理装置2から取り外された回数が所定の回数に達した時
(5)記憶装置1が情報処理装置2に接続された後、利用者の認証が成功しないまま所定の時間が経過した時
(6)記憶装置1が情報処理装置2に接続された後、利用者の認証に失敗した回数が所定の回数に達した時
(7)記憶装置1が情報処理装置2に接続され利用者の認証が成功した後、利用者による操作が行われないまま所定の時間が経過した時
(8)利用者より記憶装置1を情報処理装置2から取り外す意思が示された後、取り外されないまま所定の時間が経過した時
(9)二次電池の残量が所定の値を下回った時
記憶装置1に記憶されたデータは、上記(1)のタイミングで読出しが不可能となるので、記憶装置1の使用状況などに関わらず、設定された日時に達すれば確実に読出しが不可能となる。
【0020】
記憶装置1に記憶されたデータは、上記(2)のタイミングで読出しが不可能となるので、所定の時間、記憶装置1が使用されなければ確実に読出しが不可能となる。
【0021】
なお、上記(1)、(2)のタイミングは、原則として記憶装置1が情報処理装置2に単に接続されることによっては延長されないことが、従来の記憶装置と異なる点の1つである。
【0022】
記憶装置1に記憶されたデータは、上記(3)〜(6)のタイミングで読出しが不可能となるので、第三者による不正な使用が疑われる場合などに読出しが不可能となる。
【0023】
記憶装置1に記憶されたデータは、上記(7)、(8)のタイミングで読出しが不可能となるので、利用者が記憶装置1を情報処理装置2から抜き忘れたと考えられる場合などに読出しが不可能となる。
【0024】
記憶装置1に記憶されたデータは、上記(9)のタイミングで読出しが不可能となるので、二次電池の残量が足りないために読出しを不可能とする動作を実行できなくなってしまうということがない。
【0025】
このように、記憶装置1では、記憶されたデータは様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
【0026】
以下、このような機能を有する記憶装置1の実施形態について、図面を用いて説明する。
〔記憶装置1の構成〕
図1は記憶装置1のハードウェア構成の例を示す図であり、図2は記憶装置1の機能的な構成の例を示す図である。
【0027】
図1に示すように、記憶装置1は、コネクタ部10、制御部11、不揮発性メモリ12、ハブ13、切換えスイッチ14a、14b、充電回路15、二次電池16、DC/DCコンバータ17、および計時部18などを有している。
【0028】
コネクタ部10は、信号端子10aおよび電源端子10bなどを有しており、記憶装置1と情報処理装置2とを物理的に接続する際の接点となる。コネクタ部10の形状は、記憶装置1と情報処理装置2との接続に用いられるインタフェースに対応した形状となっている。インタフェースとして、例えば、USB(Universal Serial Bus)規格に準拠したシリアルインタフェースが用いられる。
【0029】
コネクタ部10が、情報処理装置2の側に設けられた対応するコネクタ部に差し込まれることで、記憶装置1と情報処理装置2とが電気的に接続される。そして、信号端子10aを介して、記憶装置1と情報処理装置2との間で各種のデータがやり取りされる。また、電源端子10bを介して、情報処理装置2から記憶装置1へ電力が供給される。例えば、+5Vの直流電圧の電力が供給される。電源端子10bを介して供給された電力は、DC/DCコンバータ17を介して記憶装置1の各部に供給される。
【0030】
制御部11は、不揮発性のメモリからなる記憶部を内蔵したCPU(Central Processing Unit)であり、記憶部に格納されているプログラムおよびデータならびに情報処理装置2から入力される各種のデータなどに基づいて、記憶装置1の全体的な制御を行う。
【0031】
制御部11の記憶部には、図2に示すような各機能部を実現するためのプログラムが格納されている。
【0032】
図2をも参照して、接続/非接続検知部101は、記憶装置1が情報処理装置2に接続されたこと、および記憶装置1が情報処理装置2から取り外されたことを検知する。検知は、電源端子10bに電圧が加わっているか否か、または電源端子10bに電流が流れているか否かなどを検出することにより行われる。
【0033】
電力供給指示部102は、電源オン/オフ信号S02をDC/DCコンバータ17に出力する。電源オン/オフ信号S02は、電源のオンまたはオフを指示するレベル信号である。
【0034】
初期設定部103は、情報処理装置2から入力された情報などに基づいて記憶装置1の初期設定を行う。
【0035】
機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2、および記憶装置1を使用する利用者を認証する。
【0036】
アラーム設定部105は、アラーム時刻S05を計時部18に設定する。
【0037】
削除判別部106は、不揮発性メモリ12に記憶されたデータへのアクセスを不可能にするか否かを判別する。
【0038】
キー/データ削除部107は、制御部11の記憶部などに記憶された暗号鍵、または不揮発性メモリ12に記憶されたデータを消去する。
【0039】
制御部11の記憶部には、そのほか、所定のインタフェースに則って情報処理装置2と通信を行うためのプログラムが格納されている。
【0040】
これらのプログラムが制御部11のCPUによって適宜実行されることで、制御部11による各種の制御が実現される。
【0041】
不揮発性メモリ12は、データの記憶領域、およびデータの書込みおよび読出しを制御するためのコントローラなどを有している。不揮発性メモリ12の記憶領域に記憶されたデータは、不揮発性メモリ12に電力が供給されていない状態でも保持される。不揮発性メモリ12として、例えば、フラッシュメモリなどの半導体メモリが用いられる。
【0042】
信号端子10aと制御部11および不揮発性メモリ12との間には、制御部11および不揮発性メモリ12の側に2つのポートを有するハブ13が設けられている。また、ハブ13と制御部11および不揮発性メモリ12との間、つまりハブ13の後段には、切換えスイッチ14a、14bが設けられている。このような構成により、制御部11および不揮発性メモリ12をそれぞれ情報処理装置2に接続することも、制御部11および不揮発性メモリ12を互いに接続することも可能となっている。
【0043】
充電回路15は、記憶装置1が情報処理装置2に接続されているときに、電源端子10bを介して供給される電力を二次電池16に充電するための回路である。
【0044】
二次電池16は、記憶装置1が情報処理装置2に接続されている間、時間の経過とともに充電され、記憶装置1が情報処理装置2に接続されていないときに、記憶装置1の各部に電力を供給するための電源となる。二次電池16として、例えば、大容量キャパシタが用いられる。
【0045】
DC/DCコンバータ17は、制御部11または計時部18からの指示に応じて、制御部11、不揮発性メモリ12、およびハブ13などの記憶装置1の各部に電力を分配する。その際、記憶装置1の各部の動作に適した電圧に変換する。例えば、+3.3Vの直流電圧に変換する。記憶装置1が情報処理装置2に接続されているときは、電源端子10bを介して供給される電力を分配する。記憶装置1が情報処理装置2に接続されていないときは、制御部11から出力される電源オン/オフ信号S02において電源のオンが指示されている間、二次電池16から供給される電力を分配する。
【0046】
計時部18は、常時、電力の供給を受けて現在時刻(現在日時)を計時し続けるためのIC(Integrated Circuit)であり、RTC(Real Time Clock)と呼ばれることもある。計時部18は、記憶装置1が情報処理装置2に接続されていないときは、二次電池16から電力の供給を受ける。計時部18で計時されている現在時刻は、記憶装置1が情報処理装置2に接続されたときに、情報処理装置2において計時されている現在時刻に適宜補正される。
【0047】
計時部18には、アラーム時刻S05を設定することが可能となっており、計時部18は、現在時刻がアラーム時刻S05に達すると、図2に示すように、電源オン信号S18をDC/DCコンバータ17に出力するようになっている。
〔初期化の際に行われる処理〕
次に、記憶装置1の初期化について説明する。
【0048】
記憶装置1の初期化は、初期化を行う作業者が情報処理装置2を用いて行う。作業者は、記憶装置1の利用者自身またはその管理者である。
【0049】
具体的には、作業者には、記憶装置1を初期化するための、情報処理装置2のOS(Operating System)に対応の初期化用プログラムが格納されたCD−ROMが配布される。初期化用プログラムには、ドライバ、初期設定用アプリケーション、および操作用アプリケーションなどが含まれている。初期設定用アプリケーションは、記憶装置1の初期化の際に必要となるプログラムである。操作用アプリケーションは、初期化済みの記憶装置1を使用する際に必要となるプログラムである。
【0050】
作業者は、初期化用プログラムを情報処理装置2にインストールする。そして、記憶装置1を情報処理装置2に接続し、初期設定用アプリケーションを情報処理装置2において起動する。
【0051】
記憶装置1が情報処理装置2に接続されると、DC/DCコンバータ17を介して記憶装置1の各部に電源端子10bからの電力が供給される。
【0052】
一方、初期設定用アプリケーションは、作業者を誘導するための画面を情報処理装置2の表示装置に表示する。作業者はその画面の内容に従って必要な事項を入力して記憶装置1の初期化を行う。
【0053】
図3は記憶装置1の初期化の際に行われる処理の流れの例を示すシーケンス図であり、図4は初期設定テーブルFTの例を示す図である。
【0054】
以下、記憶装置1の初期化の際に行われる処理について、図3を用いて説明する。ただし、以下に説明する処理が実行される順序は、必ずしも図3に示される順序の通りでなくてもよい。
【0055】
初期設定用アプリケーションは、制御部11に対して記憶内容をリセットするよう要求する(#301)。そして、制御部11における記憶内容は、工場出荷時の状態に戻される。
【0056】
次に、初期設定用アプリケーションは、記憶装置1を使用する際の運用上の設定(ポリシー設定)を行う上で必要な事項を入力するよう作業者に促し、入力された内容を制御部11に送信する(#302〜#304)。制御部11の初期設定部103は、受信した内容を図4に示すような初期設定テーブルFTに設定する。初期設定テーブルFTは、制御部11の記憶部に保存される。
【0057】
具体的には、初期設定用アプリケーションは、管理者パスワードおよび利用者パスワードを入力するよう作業者に促し、入力された両パスワードを制御部11に送信する(#302)。制御部11の初期設定部103は、受信した両パスワードを初期設定テーブルFTの管理者パスワードFT1および利用者パスワードFT2にそれぞれ設定する。
【0058】
また、初期設定用アプリケーションは、記憶装置1の接続を許可する情報処理装置2を特定するための情報である固有IDを入力するよう促し、入力された固有IDを制御部11に送信する(#303)。ここで、作業者は、記憶装置1を接続して使用することを予定している情報処理装置2の固有IDを入力する。なお、初期化に用いた情報処理装置2の固有IDは、自動的に送信されるようにしてもよい。固有IDとして、例えば、MACアドレス(Media Access Control address)が用いられる。制御部11の初期設定部103は、受信した固有IDを初期設定テーブルFTの接続許可機器リストFT3に登録する。
【0059】
また、初期設定用アプリケーションは、記憶装置1に記憶されたデータを読出し不可能とするタイミングを示す削除設定情報を、指定または選択するなどの方法により入力するよう作業者に促し、入力された削除設定情報を制御部11に送信する(#304)。制御部11の初期設定部103は、受信した削除設定情報を初期設定テーブルFTの削除タイミングリストFT4の各削除タイミング情報DTに設定する。削除タイミングリストFT4の詳細については後述する。
【0060】
また、初期設定用アプリケーションは、初期化用プログラムの一部としてインストールされた操作用アプリケーションをCD−ROMのフォーマットに変換したファイルであるCD−ROMイメージを作成し、作成したCD−ROMイメージを不揮発性メモリ12の所定の記憶領域に格納する(#305)。CD−ROMイメージが格納された記憶領域は、情報処理装置2のOSにおいて仮想的にCD−ROMドライブとして認識される。利用者は、CD−ROMに格納されたプログラムを利用する要領で操作用アプリケーションを利用することができる。
【0061】
また、初期設定用アプリケーションは、情報処理装置2のOSに対応したファイルシステムに則って、不揮発性メモリ12の所定の記憶領域をリムーバブルディスクとしてフォーマットする(#306)。さらに、暗号化されたデータを格納するための暗号化領域をフォーマット済みの記憶領域に作成する(#307)。暗号化領域は、対応する暗号鍵が適用されることにより、情報処理装置2のOSにおいてディスクドライブとして認識される。利用者は、認証を受ければ、通常のファイル操作の要領で、暗号化領域にファイルを保存したり保存したファイルを開いたりすることができる。
【0062】
また、初期設定用アプリケーションは、暗号化領域へのアクセスに用いられる暗号鍵を生成し、生成した暗号鍵を制御部11に送信する(#308)。制御部11の初期設定部103は、受信した暗号鍵を初期設定テーブルFTの暗号鍵FT5に設定する。
【0063】
また、初期設定用アプリケーションは、情報処理装置2において計時されている現在時刻を取得し、取得した現在時刻を制御部11に送信する(#309)。制御部11の初期設定部103は、受信した現在時刻を計時部18に設定する。
【0064】
以上のようにして、記憶装置1が初期化され、初期化済みの制御部11の記憶部には、図4に示すような初期設定テーブルFTが保存される。
【0065】
以下、初期設定テーブルFTの削除タイミングリストFT4の詳細について説明する。
【0066】
図5は削除タイミングリストFT4の例を示す図である。
【0067】
削除タイミングリストFT4には、不揮発性メモリ12に記憶されたデータの読出しを不可能とするタイミングを示す各種の削除タイミング情報DTが登録される。各削除タイミング情報DTの値は、あらかじめ定められた値が設定されることもあるし、作業者によって入力された削除設定情報に基づいて設定されることもある。作業者によって入力される削除設定情報に示される値は、初期設定用アプリケーションから提供されるデフォルトの値であってもよい。
【0068】
データ保持期限DT1は、データを保持しておく絶対的な期限を示す情報であり、本例では「2010年7月4日24時00分00秒」に設定されている。
【0069】
データ保持期間DT2は、記憶装置1が情報処理装置2から取り外された時を起点としてデータを保持しておく期間を示す情報であり、本例では「24時間」に設定されている。
【0070】
未登録機器接続回数DT3は、接続が許可されていない情報処理装置2に記憶装置1が接続された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
【0071】
未認証取外し回数DT4は、利用者の認証が成功しない状態において記憶装置1が情報処理装置2から取り外された回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「3回」に設定されている。
【0072】
未認証時間DT5は、記憶装置1が情報処理装置2に接続されてから利用者の認証が成功しない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「10分」に設定されている。
【0073】
認証失敗回数DT6は、利用者の認証に失敗した回数が累積して何回目に達した時にデータを削除するかを示す情報であり、本例では「5回」に設定されている。
【0074】
未操作時間DT7は、利用者の認証が成功してから利用者による操作が行われない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「15分」に設定されている。
【0075】
取外し時間DT8は、記憶装置1と情報処理装置2との論理的な接続が解除されてから物理的な接続が切断されない状態が続いた場合に、データを保持しておく時間を示す情報であり、本例では「5分」に設定されている。
【0076】
電池下限電圧DT9は、二次電池16に充電された電圧がどれだけ低下するまでデータを保持しておくかの下限電圧を示す情報であり、本例では「3V」に設定されている。
【0077】
電池下限電圧DT9には、あらかじめ定められた値が設定され、作業者はその設定内容を変更できないようになっていることが好ましい。なお、電池下限電圧DT9は、DC/DCコンバータ17が動作可能な下限電圧、記憶装置1の各部における消費電力、および後述する電力監視周期などに基づいて設定される。
【0078】
データの読出しを不可能とするタイミングとして各削除タイミング情報DT(DT1〜DT9)を適用するか否かは、あらかじめ設定されているか、作業者が選択できるようになっている。図5の例において、適用する削除タイミング情報DTには「有効」が設定され、適用しない削除タイミング情報DTには「無効」が設定されている。ここで、複数の削除タイミング情報DTの適用の有無が互いに連動するようになっていてもよい。例えば、データ保持期限DT1が適用される場合は、データ保持期間DT2が適用されないようになっていてもよい。なお、電池下限電圧DT9は、常に適用されることが好ましい。
【0079】
また、利用者またはその管理者は、記憶装置1の初期化の後も、利用者パスワード、管理者パスワード、またはその両方による認証を受ければ、データ保持期限DT1、データ保持期間DT2をはじめとする各削除タイミング情報DTの設定内容を適宜変更することができるようになっている。
【0080】
以下、データ保持期限DT1およびデータ保持期間DT2についてはいずれか一方のみが適用され、そのほかの各削除タイミング情報DTについてはすべてが適用されることを前提に説明する。そのため、以下の説明において、各削除タイミング情報DTが関係する処理にあっては、その削除タイミング情報DTを適用しない場合は行う必要がない。
〔データの保存の際に行われる処理〕
図6は、記憶装置1にデータが保存される際に行われる処理の流れの例を示すフローチャートである。
【0081】
以下、記憶装置1にデータが保存される際に行われる処理について、図6を用いて説明する。
【0082】
利用者は、初期化済みの記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。なお、操作用アプリケーションは、情報処理装置2のOSの機能によって記憶装置1を接続すれば自動的に起動されるようになっていてもよい。
【0083】
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#401)。これより先、制御部11の電力供給指示部102は、記憶装置1を待機状態に移行させる(図7の#508)までの間、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオンを指示する。
【0084】
制御部11の機器/ユーザ認証部104は、記憶装置1が接続された情報処理装置2からその固有IDを取得し、取得した固有IDと初期設定テーブルFTの接続許可機器リストFT3に登録されている固有IDとを照合する(#402)。照合の結果、取得した固有IDが接続許可機器リストFT3に登録されている固有IDでないことが判明した場合は(#402でNo)、機器認証が失敗した旨を操作用アプリケーションに通知する(#403)。他方、登録されている固有IDであることが判明した場合は(#402でYes)、機器認証が成功した旨を操作用アプリケーションに通知する(#404)。
【0085】
操作用アプリケーションは、機器認証が成功した旨の通知を受け取ると、利用者に利用者パスワードを入力するよう促すためのダイアログボックスなどの画面を情報処理装置2の表示装置に表示し、入力された利用者パスワードを制御部11に送信する。
【0086】
他方、操作用アプリケーションは、機器認証が失敗した旨の通知を受け取ると、利用者に情報処理装置2は記憶装置1を接続することが認められていない装置であることを知らせるための画面を情報処理装置2の表示装置に表示する。
【0087】
制御部11の機器/ユーザ認証部104は、利用者パスワードを受信すると、受信した利用者パスワードと初期設定テーブルFTの利用者パスワードFT2に設定されているパスワードとを照合する(#405)。照合の結果、両者が一致しなかった場合は(#405でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知し(#406)、利用者パスワードを再び受信するまで待機する。他方、両者が一致した場合は(#405でYes)、操作用アプリケーションに、ユーザ認証が成功した旨を通知する(#407)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#408)。
【0088】
操作用アプリケーションは、暗号鍵を受信すると、受信した暗号鍵を不揮発性メモリ12の暗号化領域を管理する暗号化ファイルシステムに引き渡す。これにより、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、情報処理装置2の記憶装置などに記憶されているファイルのうち持ち出したいファイルを暗号化領域にコピーする選択を行えばよい。利用者によって選択されたファイルは、暗号鍵によって暗号化された状態で暗号化領域に保存される。
【0089】
他方、操作用アプリケーションは、ユーザ認証が失敗した旨の通知を受け取ると、利用者に、入力されたパスワードが誤りであることを知らせるための画面、および正しいパスワードを再入力するよう促すための画面を情報処理装置2の表示装置に表示する。
【0090】
なお、制御部11の機器/ユーザ認証部104は、機器認証(#402)またはユーザ認証(#405)のいずれか一方のみしか行わなくてもよい。
〔取外しの際に行われる処理〕
図7は記憶装置1が情報処理装置2から取り外された際に行われる処理の流れの例を示すフローチャート、図8は図7のアラーム時刻決定処理(#505)の例を示すフローチャートである。
【0091】
以下、記憶装置1が情報処理装置2から取り外された際に行われる処理について、図7および図8を用いて説明する。
【0092】
利用者は、データを記憶装置1に保存し終えると、操作用アプリケーションなどを介して、記憶装置1を情報処理装置2から取り外す旨の選択を行う。すなわち、記憶装置1を情報処理装置2のOSから論理的に取り外す選択を行う。利用者は、その後に、記憶装置1を情報処理装置2から物理的に取り外す。
【0093】
操作用アプリケーションは、利用者によって取外しが選択されると、取外しが選択された旨を制御部11に送信する。この時点で、記憶装置1は、情報処理装置2に物理的には接続されているが、論理的には接続が解除された状態である。すなわち、通信が切断された状態であり、獲得した認証も解除された状態である。
【0094】
制御部11の削除判別部106は、取外しが選択された旨を受信すると(#501)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#502)。時間内に接続/非接続検知部101によって取外しが検知されなかった場合は(#502でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#503)。なお、暗号鍵が消去された後は、不揮発性メモリ12の暗号化領域に記憶されたデータにアクセスすることは不可能となる。他方、時間内に取外しが検知された場合は(#502でYes)、以降のステップ(#504〜#508)に進む。なお、以降のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
【0095】
アラーム設定部105は、計時部18で計時されている現在時刻を取得する(#504)。そして、次のようにしてアラーム時刻S05を決定する(#505)。
【0096】
すなわち、図8に示すように、アラーム設定部105は、初期設定テーブルFTを参照し、削除タイミングリストFT4のデータ保持期限DT1が有効(データ保持期間DT2が無効)に設定されている場合は(#601でYes)、削除タイミングリストFT4のデータ保持期限DT1に設定されている期限をデータ削除予定時刻として取得する(#602)。そして、データ削除予定時刻から現時時刻を引いた値をデータ保持予定時間として算出する(#603)。
【0097】
他方、データ保持期限DT1が無効(データ保持期間DT2が有効)に設定されている場合は(#601でNo)、削除タイミングリストFT4のデータ保持期間DT2に設定されている期間をデータ保持予定時間として取得する(#604)。そして、現在時刻にデータ保持予定時間を足した値をデータ削除予定時刻として算出する(#605)。
【0098】
次に、#603で算出しまたは#604で取得したデータ保持予定時間と電力監視周期とを比較する(#606)。ここで、電力監視周期とは、記憶装置1の各部に二次電池16からの電力が供給されている場合に、二次電池16の充電における残りの電圧を監視する周期(時間間隔)である。電力監視周期は、制御部11の記憶部にあらかじめ登録されている。
【0099】
データ保持予定時間が電力監視周期以下であれば(#606でYes)、#602で取得しまたは#605で算出したデータ削除予定時刻をアラーム時刻S05に決定する(#607)。他方、データ保持予定時間が電力監視周期よりも大きければ(#606でNo)、現在時刻に電力監視周期を足した値をアラーム時刻S05に決定する(#608)。
【0100】
アラーム設定部105は、このようにして決定したアラーム時刻S05を計時部18に設定する(#506)。また、#602で取得しまたは#605で算出したデータ削除予定時刻を制御部11の記憶部に登録する(#507)。
【0101】
なお、#507において、データ削除予定時刻を登録するのではなく、#504で取得した現在時刻を、データを保持する期間の起点となる起点時刻として登録してもよい。または、データ削除予定時刻を登録するとともに、起点時刻も登録してもよい。この場合に、削除タイミングリストFT4のデータ保持期限DT1が有効に設定されている場合は、#603で算出したデータ保持予定時間もあわせて登録しておく。また、利用者またはその管理者によって所定の操作が行われた際に、起点時刻の値を変更するようにしてもよい。例えば、記憶装置1が情報処理装置2に接続され、所定の認証が成功した後に、利用者またはその管理者によって起点時刻の変更を指示する操作がなされた際に、起点時刻の値を指定された時刻に変更してもよいし、利用者またはその管理者によって削除タイミングリストFT4のデータ保持期間DT2の設定の変更を指示する操作がなされた際に、起点時刻の値を自動的にその時点の現在時刻に変更してもよい。これらの点は、後述する図9の#709においても同様である。
【0102】
アラーム設定部105によってアラーム時刻S05の設定およびデータ削除予定時刻の登録がなされると、電力供給指示部102は、DC/DCコンバータ17に出力する電源オン/オフ信号S02において電源のオフを指示する。その結果、記憶装置1の計時部18を除く各部には電力が供給されなくなり、記憶装置1は待機状態に移行する(#508)。ただし、計時部18は、その後も、二次電池16から供給される電力によって現在時刻の計時を継続する。
〔取外しの後に行われる処理〕
図9は、記憶装置1が情報処理装置2から取り外された後に行われる処理の流れの例を示すフローチャートである。
【0103】
以下、記憶装置1が情報処理装置2から取り外された後に行われる処理について、図9を用いて説明する。
【0104】
計時部18は、計時している現在時刻が、設定されたアラーム時刻S05に達すると、DC/DCコンバータ17に電源オン信号S18を出力する。その結果、DC/DCコンバータ17を介して記憶装置1の各部に二次電池16からの電力が供給され、制御部11が起動する(#701)。これより先、制御部11の電力供給指示部102は、記憶装置1を再び待機状態に移行させる(#710)までの間、DC/DCコンバータ17に電源のオンを指示する。その間、次のような処理が行われる。
【0105】
制御部11の削除判別部106は、計時部18で計時されている現在時刻を取得する(#702)。また、二次電池16の充電における残りの電圧を示す充電電圧S16を二次電池16から取得する(#703)。
【0106】
次に、削除判別部106は、取得した現在時刻と記憶装置1の取外しの際に登録しておいたデータ削除予定時刻とを比較する(#704)。現在時刻がデータ削除予定時刻に達している場合は(#704でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。
【0107】
なお、記憶装置1の取外しの際に起点時刻を登録しておいた場合は、#704において、削除タイミングリストFT4のデータ保持期間DT2に設定されている時間または登録しておいたデータ保持予定時間を起点時刻に足すことにより、データ削除予定時刻をその都度算出してもよい。後述する図12の#906においても同様である。
【0108】
他方、現在時刻がデータ削除予定時刻に達していない場合は(#704でNo)、取得した充電電圧S16と削除タイミングリストFT4の電池下限電圧DT9に設定されている下限電圧とを比較する(#706)。充電電圧S16が下限電圧より小さい場合は(#706でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#705)。ここで、暗号鍵を消去する理由は、データ削除予定時刻を迎える頃には二次電池16が制御部11のCPUを動作させるのに必要な電力を供給できなくなることにより、暗号鍵を消去できなくなることを回避するためである。
【0109】
他方、充電電圧S16が下限電圧以上である場合は(#706でNo)、図7に示した#505〜#508と同様の処理を行う。すなわち、アラーム時刻S05を決定し(#707)、決定したアラーム時刻S05を計時部18に設定する(#708)。また、データ削除予定時刻を制御部11の記憶部に登録する(#709)。そして、電力供給指示部102によってDC/DCコンバータ17に電源のオフが指示されることにより、記憶装置1は、再び待機状態に移行し(#710)、次のアラーム時刻S05に達するまで待機する。
〔再接続の際に行われる処理〕
図10〜12は、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理の流れの例を示すフローチャートである。
【0110】
以下、データが保存された記憶装置1が再び情報処理装置2に接続された際に行われる処理について、図10〜12を用いて説明する。
【0111】
利用者は、データを保存した記憶装置1を情報処理装置2に接続し、記憶装置1の不揮発性メモリ12に格納されている操作用アプリケーションを情報処理装置2において起動する。
【0112】
記憶装置1が情報処理装置2に接続されると、記憶装置1の各部に電源端子10bからの電力が供給され、制御部11が起動する(#801)
制御部11の機器/ユーザ認証部104は、機器認証が失敗した回数を計数するための機器認証失敗カウンタ、およびユーザ認証が失敗した回数を計数するためのユーザ認証失敗カウンタを用意する。また、制御部11の削除判別部106は、ユーザ認証を受けずに記憶装置1が取り外された回数を計数するための未認証取外しカウンタを用意する。
【0113】
これらのカウンタは、制御部11の記憶部に保存される。よって、記憶装置1の取外しを挟んでも、それらのカウンタに示される回数はリセットされない。
【0114】
機器/ユーザ認証部104は、図6に示した#402と同様の方法により機器認証を行う(#802)。機器認証が失敗した場合は(#802でNo)、機器認証が失敗した旨を操作用アプリケーションに通知するとともに(#803)、機器認証失敗カウンタをカウントアップする(#804)。そして、削除判別部106は、カウントアップ後の機器認証失敗カウンタに示される回数が削除タイミングリストFT4の未登録機器接続回数DT3に設定されている回数に達している場合は(#805でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#806)。他方、未登録機器接続回数DT3に設定されている回数に達していない場合は(#805でNo)、暗号鍵を消去しない。
【0115】
機器/ユーザ認証部104は、機器認証が成功した場合は(#802でYes)、機器認証が成功した旨を操作用アプリケーションに通知するとともに(#807)、機器認証失敗カウンタをクリアする(#808)。
【0116】
また、削除判別部106は、ユーザ認証が成功(#815でYes)していない状態で記憶装置1が情報処理装置2から物理的に取り外されたことが接続/非接続検知部101によって検知された場合は(#809でYes)、未認証取外しカウンタをカウントアップする(#810)。そして、カウントアップ後の未認証取外しカウンタに示される回数が削除タイミングリストFT4の未認証取外し回数DT4に設定されている回数に達している場合は(#811でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#812)。他方、未認証取外し回数DT4に設定されている回数に達していない場合は(#811でNo)、暗号鍵を消去しない。なお、#810〜#812のステップに係る処理は、二次電池16から供給される電力によって制御部11のCPUが動作することにより行われる。
【0117】
また、削除判別部106は、#801で接続が検知された時点からユーザ認証が成功(#815でYes)していない状態で削除タイミングリストFT4の未認証時間DT5に設定されている時間が経過した場合は(#813でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#814)。
【0118】
機器/ユーザ認証部104は、操作用アプリケーションから利用者パスワードを受信し、図6に示した#405と同様の方法によりユーザ認証を行う(#815)。ユーザ認証が失敗した場合は(#815でNo)、ユーザ認証が失敗した旨を操作用アプリケーションに通知するとともに(#816)、ユーザ認証失敗カウンタをカウントアップする(#817)。そして、削除判別部106は、カウントアップ後のユーザ認証失敗カウンタに示される回数が削除タイミングリストFT4の認証失敗回数DT6に設定されている回数に達している場合は(#818でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#819)。他方、認証失敗回数DT6に設定されている回数に達していない場合は(#818でNo)、暗号鍵を消去せずに、利用者パスワードを再び受信するまで待機する。
【0119】
機器/ユーザ認証部104は、ユーザ認証が成功した場合は(#815でYes)、ユーザ認証が成功した旨を操作用アプリケーションに通知するとともに(#820)、ユーザ認証失敗カウンタおよび未認証取外しカウンタをクリアする(#821、#822)。また、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵を送信する(#823)。
【0120】
操作用アプリケーションが暗号鍵を受信すると、不揮発性メモリ12の暗号化領域が情報処理装置2のOSにおいてディスクドライブとして認識されるようになる。利用者は、通常のファイル操作の要領で、不揮発性メモリ12に保存したファイルを読み出したり、削除したり、新たなファイルを保存したりすることができる。
【0121】
また、削除判別部106は、操作用アプリケーションにおいてユーザによる操作が行われるたびにそれを検知し、ユーザによる操作が前回行われた時点から削除タイミングリストFT4の未操作時間DT7に設定されている時間が経過するまでにユーザによる操作が行われるか否かを監視する(#824)。時間内にユーザによる操作が行われなかった場合は(#824でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#825)。
【0122】
また、削除判別部106は、図7に示した#501〜503と同様の処理を行う。すなわち、操作用アプリケーションから記憶装置1の取外しが選択された旨を受信すると(#826)、その時点から削除タイミングリストFT4の取外し時間DT8に設定されている時間が経過するまでに記憶装置1が情報処理装置2から物理的に取り外されるか否かを監視する(#827)。時間内に取外しが検知されなかった場合は(#827でNo)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#828)。
【0123】
記憶装置1が情報処理装置2に再接続されている間、以上のような処理が行われるが、制御部11の削除判別部106は、それと並行して図12に示すような処理を行う。
【0124】
すなわち、削除判別部106は、計時部18で計時されている現在時刻を取得する(#901)。そして、登録されているデータ削除予定時刻から現在時刻を引いた値を残り時間として算出し(#902)、算出した残り時間を操作用アプリケーションに送信する(#903)。また、残り時間が初めて所定の時間を切った場合に(#904でYes)、データの削除時期が近づいている旨を操作用アプリケーションに通知する(#905)。
【0125】
操作用アプリケーションは、利用者に残り時間を知らせるための画面を情報処理装置2の表示装置に表示し、残り時間を受信するたびに表示している残り時間を更新する。また、データの削除時期が近づいている旨の通知を受け取ると、利用者にその旨を知らせるためのポップアップなどの画面を情報処理装置2の表示装置に表示する。このような画面を表示する理由は、利用者が記憶装置1を使用している最中に不揮発性メモリ12に保存したデータが不意に消去されてしまうことがないようにするためである。
【0126】
なお、残り時間の送信は、図11の#815でユーザ認証が成功した際に一度だけ行われるようにしてもよい。
【0127】
また、記憶装置1の側で残り時間を算出して送信するのではなく、操作用アプリケーションの側で残り時間を算出してもよい。例えば、起点時刻が登録されている場合に、削除判別部106は、削除タイミングリストFT4のデータ保持期間DT2などに設定されている、データの保持時間と、現在時刻から起点時刻を引いた値である経過時間とを操作用アプリケーションに送信する。そして、操作用アプリケーションは、データの保持時間から経過時間を引いた値を残り時間として算出するとよい。
【0128】
削除判別部106は、残り時間がなくなるまで、つまり、現在時刻がデータ削除予定時刻に達するまでの間(#906でNo)、一定時間ごとに#901〜#905のステップに係る処理を行う。現在時刻がデータ削除予定時刻に達すると(#906でYes)、初期設定テーブルFTの暗号鍵FT5に設定されている暗号鍵をキー/データ削除部107によって消去する(#907)。
【0129】
このように、記憶装置1が情報処理装置2に接続されている状態であっても、現在時刻がデータ削除予定時刻に達すれば暗号鍵が消去され、その後は不揮発性メモリ12に記憶されたデータを復号化することは不可能となる。
【0130】
ただし、記憶装置1が接続された情報処理装置2が特別な情報処理装置2である場合には、登録されているデータ削除予定時刻をいったん無効にするなどして、接続中は暗号鍵の消去が行われないようにしてもよい。
【0131】
具体的には、機器/ユーザ認証部104は、機器認証(#802)において、取得した固有IDがユーザによって特別に指定された情報処理装置2の固有IDであるか否かをも判別する。そして、そのような固有IDである場合は、ユーザ認証が成功(#815でYes)した時点などにおいて、アラーム設定部105は、登録されているデータ削除予定時刻を消去する。また、計時部18に設定したアラーム時刻S05も解除する。削除判別部106は、データ削除予定時刻が消去されているので、図12に示した処理を行わない。つまり、データ削除予定時刻の到達に基づく暗号鍵の消去が抑止される。
【0132】
特に、削除タイミングリストFT4のデータ保持期間DT2が有効(データ保持期限DT1が無効)に設定されている場合に、そのようにすると効果的である。
【0133】
例えば、利用者またはその管理者は、記憶装置1の初期化の際に、記憶装置1の接続を許可する情報処理装置2の中でも、日常使用する情報処理装置2の固有IDなどを特別な固有IDとして指定しておく。また、日常使用する情報処理装置2を使用しない可能性のある最大時間をデータ保持期間DT2に設定する。そうすることで、データ保持期間DT2に設定した最大時間を空けずに、日常使用する情報処理装置2に記憶装置1を接続して使用している限り、記憶装置1に保存したデータへアクセスすることができる。
【0134】
以上に説明したように、記憶装置1では、記憶されたデータが様々なタイミングで読出しが不可能となるので、情報漏えいを防止することができる。
【0135】
特に、図9の#705および図12の#907に示したように、記憶装置1が情報処理装置2に接続されていようがいまいが、データ保持期限DT1またはデータ保持期間DT2の設定に基づいて算出されるデータ削除予定時刻に現在時刻が達すれば、暗号鍵が消去され、その後に記憶装置1に記憶されたデータにアクセスすることはできなくなる。つまり、記憶装置1が情報処理装置2に単に差し込まれていることによっては、データを保持する期限は延長されない。よって、記憶装置1は、従来の記憶装置と較べてセキュリティがより一層向上している。
【0136】
前述の実施形態において、初期設定テーブルFTは、制御部11に内蔵された記憶部に格納されるようになっていたが、それとは別に用意された不揮発性メモリからなる記憶部に格納されるようにしてもよい。または、不揮発性メモリ12の一部の領域をそのために利用してもよい。また、初期設定テーブルFTに登録された個々の情報をまとめて1つのテーブルで管理する必要はなく、各情報を個別に、また異なる記憶部において管理してもよい。例えば、暗号鍵について、初期設定テーブルFTに登録されたその他の情報とは別に管理し、また不揮発性メモリ12の一部の領域に格納してもよい。
【0137】
また、前述の実施形態において、記憶装置1にデータが保存されていない場合には、暗号鍵の消去を行わなかったが、図10〜図12に示した、データが保存されている場合の処理と同様に、暗号鍵の消去を行ってもよい。その場合には、初期化済みの記憶装置1が初めて情報処理装置2に接続されたときに、機器認証失敗カウンタ、ユーザ認証失敗カウンタ、および未認証失敗カウンタを用意するとよい。
【0138】
また、前述の実施形態において、機器認証失敗カウンタは、機器認証が成功した時点でクリアされ、ユーザ認証失敗カウンタおよび未認証取外しカウンタは、ユーザ認証が成功した時点でクリアされていた。これらのカウンタは、それぞれそれらの時点でクリアされないようにしてもよい。つまり、認証の成功を挟んでそれらのカウンタに示される回数が累積されるようにしてもよい。
【0139】
また、前述の実施形態において、記憶装置1の接続の時点からユーザ認証が成功していない状態で所定の時間が経過した場合に暗号鍵を消去したが、そのような状態にある時間の累積時間を算出し、算出した累積時間があらかじめ設定された時間に達したときに暗号鍵を消去するようにしてもよい。
【0140】
また、前述の実施形態において、キー/データ削除部107は、所定のタイミングで不揮発性メモリ12の暗号化領域に保存されたデータの読出しを不可能とするために暗号鍵を消去したが、データの実体そのものを消去するようにしてもよい。その場合に、制御部11は、切換えスイッチ14a、14bを作動して制御部11と不揮発性メモリ12とを接続することにより、不揮発性メモリ12に直接アクセスすることができる。
【0141】
前述の実施形態において、記憶装置1のハードウェア構成および機能的構成などは、本発明の主旨に沿って適宜変更することができる。また、記憶装置1において行われる処理内容および処理順序なども、本発明の主旨に沿って適宜変更することができる。
【符号の説明】
【0142】
1 記憶装置
2 情報処理装置
11 制御部(第二の記憶手段)
12 不揮発性メモリ(第一の記憶手段)
16 二次電池(電力供給手段)
107 キー/データ削除部(第一のアクセス無効化手段、第二のアクセス無効化手段)
【特許請求の範囲】
【請求項1】
情報処理装置に接続可能な記憶装置であって、
データを記憶する第一の記憶手段と、
前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、
を有する記憶装置。
【請求項2】
前記データは、暗号化されて前記第一の記憶手段に記憶され、
前記第一のアクセス無効化手段は、前記データの復号化に必要な暗号鍵を削除することにより前記アクセスを不可能とする、
請求項1記載の記憶装置。
【請求項3】
前記情報処理装置に接続されている場合に、前記削除予定時刻から現在時刻を引いた残り時間を算出し、当該残り時間をユーザに知らせるための画面を前記情報処理装置に表示させるための処理を行う第一の表示制御手段を有する、
請求項1または2記載の記憶装置。
【請求項4】
前記情報処理装置に接続されている場合であって前記残り時間が所定の時間以下となった場合に、前記削除予定時刻が近づいていることをユーザに知らせるための画面を前記情報処理装置に表示させるための処理を行う第二の表示制御手段を有する、
請求項3記載の記憶装置。
【請求項5】
ユーザによって特別に指定された前記情報処理装置に接続されている場合に、前記第一のアクセス無効化手段が前記アクセスを不可能とすることを抑止するアクセス無効化抑止手段を有する、
請求項1または2記載の記憶装置。
【請求項6】
前記情報処理装置に接続されていないときに自身の動作に必要な電力を供給する電力供給手段と、
前記情報処理装置に接続されていない場合であって前記電力供給手段が供給することができる電力が所定の値よりも低下した場合に、前記データへのアクセスを不可能とする第二のアクセス無効化手段と、
を有する請求項1ないし5のいずれかに記載の記憶装置。
【請求項7】
情報処理装置に接続可能な記憶装置の制御方法であって、
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を実行させる記憶装置の制御方法。
【請求項8】
情報処理装置に接続可能な記憶装置に用いられるコンピュータプログラムであって、
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を前記記憶装置に実行させるコンピュータプログラム。
【請求項1】
情報処理装置に接続可能な記憶装置であって、
データを記憶する第一の記憶手段と、
前記データを削除する時期を示す削除予定時刻を記憶する第二の記憶手段と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする第一のアクセス無効化手段と、
を有する記憶装置。
【請求項2】
前記データは、暗号化されて前記第一の記憶手段に記憶され、
前記第一のアクセス無効化手段は、前記データの復号化に必要な暗号鍵を削除することにより前記アクセスを不可能とする、
請求項1記載の記憶装置。
【請求項3】
前記情報処理装置に接続されている場合に、前記削除予定時刻から現在時刻を引いた残り時間を算出し、当該残り時間をユーザに知らせるための画面を前記情報処理装置に表示させるための処理を行う第一の表示制御手段を有する、
請求項1または2記載の記憶装置。
【請求項4】
前記情報処理装置に接続されている場合であって前記残り時間が所定の時間以下となった場合に、前記削除予定時刻が近づいていることをユーザに知らせるための画面を前記情報処理装置に表示させるための処理を行う第二の表示制御手段を有する、
請求項3記載の記憶装置。
【請求項5】
ユーザによって特別に指定された前記情報処理装置に接続されている場合に、前記第一のアクセス無効化手段が前記アクセスを不可能とすることを抑止するアクセス無効化抑止手段を有する、
請求項1または2記載の記憶装置。
【請求項6】
前記情報処理装置に接続されていないときに自身の動作に必要な電力を供給する電力供給手段と、
前記情報処理装置に接続されていない場合であって前記電力供給手段が供給することができる電力が所定の値よりも低下した場合に、前記データへのアクセスを不可能とする第二のアクセス無効化手段と、
を有する請求項1ないし5のいずれかに記載の記憶装置。
【請求項7】
情報処理装置に接続可能な記憶装置の制御方法であって、
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を実行させる記憶装置の制御方法。
【請求項8】
情報処理装置に接続可能な記憶装置に用いられるコンピュータプログラムであって、
データを第一の記憶手段に記憶させる処理と、
前記データを削除する時期を示す削除予定時刻を第二の記憶手段に記憶させる処理と、
前記情報処理装置に接続されているか否かに関わらず、現在時刻が前記削除予定時刻に達したときに、前記データへのアクセスを不可能とする処理と、
を前記記憶装置に実行させるコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−233087(P2011−233087A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−105319(P2010−105319)
【出願日】平成22年4月30日(2010.4.30)
【出願人】(390028967)富士通関西中部ネットテック株式会社 (1)
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年4月30日(2010.4.30)
【出願人】(390028967)富士通関西中部ネットテック株式会社 (1)
【Fターム(参考)】
[ Back to top ]