記憶装置

【課題】ＵＳＢメモリ等の記憶装置のセキュリティ性を向上する。
【解決手段】ＵＳＢ１のコントローラは、ロストタイマ部及びエマージェンシタイマ部を有する。両タイマ部は正規ユーザの使用開始により計時を停止し、ロストタイマ部は正規ユーザの使用終了により計時を開始し、エマージェンジタイマ部は正規の抜き取り以外の抜き取りにより計時を開始する。ＣＰＵは、ロストタイマ部あるいはエマージェンシタイマ部のいずれかのカウントアップに応じ、フラッシュＲＯＭ１４に格納されたデータを消去する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は記憶装置、特にセキュリティ機能に関する。
【背景技術】
【０００２】
フラッシュメモリは、小型、大容量かつ不揮発性メモリであることから急速にその用途が拡大している。例えば、ＵＳＢメモリは大容量化が進み、コンピュータの補助記憶装置として広く用いられている。一方、ＵＳＢメモリ等は未だセキュリティ性が万全とは言い難く、紛失や盗難等によりメモリ内の重要データが流出してしまうおそれがある。
【０００３】
下記の特許文献１には、所定の情報処理装置から取り外して一時的に保存するようなデータを特定の事象が発生したとき確実に消去することを目的とする記憶装置が開示されており、パーソナルコンピュータからＵＳＢ端子を介して取り込んだデータを揮発性メモリとしてＲＡＭに格納し、タイマによりユーザが選択した時間が経過したことを検知すると、リフレッシュ回路によるＲＡＭのリフレッシュ動作を停止してＲＡＭに保存されたデータ及び暗号化に用いるユーザの認証データを消去することが開示されている。
【０００４】
また、特許文献２には、情報機器を分解して記憶情報を取り出すような不正アクセスを確実に防止することを目的とする補助記憶装置が開示されており、不正取り外しを検出したときにセキュリティ処理部がデータの消去、暗号化、別領域への退避等の処理を行うことが開示されている。
【０００５】
【特許文献１】特開２００６−５９２２８号公報
【特許文献２】特開平１１−１７５４０６号公報
【発明の開示】
【発明が解決しようとする課題】
【０００６】
しかしながら、揮発性メモリ全体を内蔵電池にてリフレッシュし続ける構成では、データ保持の絶対時間に影響を与え、フラッシュメモリの容量に反比例してしまう。また、内蔵電池の電圧低下により、ユーザが設定したタイマ以前にリフレッシュ動作に支障をきたすおそれもある。さらに、ＵＳＢメモリの使用中に悪意をもった他人が不正にパーソナルコンピュータから抜き取った場合でも、予め設定していたタイマ時間まではデータの抜き取りや分解等の時間的余裕を与えてしまうおそれもある。
【０００７】
本発明の目的は、保存されたデータを確実に保持するとともに、盗難や置き忘れ、パーソナルコンピュータ等の処理装置からの不正な抜き取り等の多様な事態に対応して確実にデータを消去できる記憶装置を提供することにある。
【課題を解決するための手段】
【０００８】
本発明は、データを記憶する不揮発性記憶部と、第１所定時間を計時する第１タイマ部であって、正規ユーザによる使用終了をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第１タイマ部と、前記第１所定時間よりも短い第２所定時間を計時する第２タイマ部であって、所定の情報処理装置からの正規の抜取以外の抜取をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第２タイマ部と、前記第１タイマ部による前記第１所定時間の計時、あるいは前記第２タイマ部による前記第２所定時間の計時の少なくともいずれかにより、前記不揮発性記憶部に記憶された前記データを消去する制御部とを有することを特徴とする。
【０００９】
また、本発明は、データを分割して記憶する不揮発性記憶部及び揮発性記憶部と、前記揮発性記憶部をリフレッシュするリフレッシュ部と、第１所定時間を計時する第１タイマ部であって、正規ユーザによる使用終了をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第１タイマ部と、前記第１所定時間よりも短い第２所定時間を計時する第２タイマ部であって、所定の情報処理装置からの正規の抜取以外の抜取をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第２タイマ部と、前記第１タイマ部による前記第１所定時間の計時、あるいは前記第２タイマ部による前記第２所定時間の計時の少なくともいずれかにより、前記リフレッシュ部によるリフレッシュ動作を停止することで前記揮発性記憶部に記憶された前記データを消去する制御部とを有することを特徴とする。
【００１０】
本発明において、データの消去には、データを読み出すことができない状態とする任意の方法、例えばデータの破壊やデータの暗号化が含まれる。
【発明の効果】
【００１１】
本発明によれば、第１タイマ部と第２タイマ部により時間管理を行うことで、不正な抜き取り等の多様な事態に対応してデータを確実に消去しセキュリティ性を向上させることができる。
【発明を実施するための最良の形態】
【００１２】
以下、図面に基づき本発明の実施形態について説明する。
【００１３】
図１に、本実施形態における記憶装置としてのＵＳＢメモリ１の構成を示す。ＵＳＢメモリ１は、コントローラ１０、ＳＲＡＭ１２、フラッシュＲＯＭ１４、認証部１６、内蔵蓄電池１８及び外部インタフェース部２０を有する。
【００１４】
コントローラ１０は、ＣＰＵ及びプログラムＲＯＭの他に、ロストタイマ部及びエマージェンシタイマ部を有する。ロストタイマ部はＵＳＢメモリ１の置き忘れや盗難時などに計時を開始するタイマであり、第１所定時間経過するとカウントアップ信号を出力するタイマである。より具体的には、正規ユーザによるＵＳＢメモリ１の使用終了の時点から計時を開始し、ＵＳＢメモリ１がパーソナルコンピュータに接続され、正規ユーザと認証されたとき、つまり正規ユーザが使用を開始したときに計時を停止する。また、エマージェンシタイマ部はＵＳＢメモリ１の正規の抜き取り以外の不正な抜き取り等が生じた場合に計時を開始するタイマであり、第２所定時間経過するとカウントアップ信号を出力するタイマである。より具体的には、パーソナルコンピュータからＵＳＢメモリ１が正規の手続きを経ることなく抜き取られたとき、例えば正規ユーザ以外の他人により抜き取られたときや正規ユーザであっても誤ってパーソナルコンピュータから抜き取ってしまったときに計時を開始し、ＵＳＢメモリ１がパーソナルコンピュータに接続され、正規ユーザと認証されたとき、つまり正規ユーザが使用を開始したときに計時を停止する。ロストタイマ部とエマージェンシタイマ部はそれぞれ独立に計時の開始／停止を行う。第１所定時間＞第２所定時間であり、第１所定時間は例えば数時間から数日間に設定され、第２所定時間は例えば数分に設定される。
【００１５】
ＳＲＡＭ１２は、ユーザが正規ユーザであることを認証するための認証アプリケーションプログラムを格納する。フラッシュＲＯＭ１４は外部インタフェース部２０を介してパーソナルコンピュータから供給されたデータを格納する。蓄電池１８はコントローラ１０に動作電力を供給し、認証部１６は指紋等の生体認証データをコントローラ１０に供給する。
【００１６】
コントローラ１０のＣＰＵは、ＵＳＢメモリ１がパーソナルコンピュータに接続されたことを検知すると、ＳＲＡＭ１２に格納された認証アプリケーションプログラムを実行し、パーソナルコンピュータの画面に所定の認証画面を表示する。ユーザは、この認証画面を用いて自己が正規のユーザであることの認証を行う。認証は、例えば指紋認証や光彩認証、静脈認証等であるが、ＩＤやパスワードによる認証でもよい。以下では、パスワードによる認証を例にとり説明する。ＣＰＵは、正規ユーザであることを認証すると、フラッシュＲＯＭ１４に格納されたデータへのアクセスを許可する。また、上記のように、ＵＳＢメモリ１がパーソナルコンピュータに接続され、正規ユーザと認証されたときにロストタイマ部及びエマージェンシタイマ部にストップ信号を出力してロストタイマ部及びエマージェンシタイマ部の計時を停止する。また、ＣＰＵは、ロストタイマ部あるいはエマージェンシタイマ部の少なくともいずれかからカウントアップ信号が出力された場合、フラッシュＲＯＭ１４に格納されたデータを完全に消去する。
【００１７】
図２に、本実施形態の処理を示す。ＵＳＢメモリ１をパーソナルコンピュータ（ＰＣ）に接続した場合の処理である。
【００１８】
ＵＳＢメモリ１がパーソナルコンピュータ（ＰＣ）のＵＳＢコネクタに接続されると（Ｓ１０１）、ＣＰＵは認証アプリケーションプログラムを実行し、パーソナルコンピュータの画面にパスワードの入力を促す画面を表示する。ＣＰＵは入力されたパスワードが正規ユーザのパスワードと一致するか否かを判定し（Ｓ１０２）、一致する場合に正規ユーザであると認証してリムーブＯＫフラグをＯＦＦに設定する（Ｓ１０３）。ここで、リムーブＯＫフラグは、抜き取りを許容するためのフラグであり、リムーブＯＫフラグをＯＦＦに設定することは抜き取りが許可されていないことを意味する。リムーブＯＫフラグがＯＦＦであるにもかかわらずＵＳＢメモリ１が抜き取られた場合、正規ユーザ以外の他人による不正な抜き取りがあった、あるいは正規ユーザが誤って抜き取ってしまったと判定できる。リムーブＯＫフラグをＯＦＦに設定した後、ＣＰＵはさらにロストタイマ部及びエマージェンシタイマ部にストップ信号を出力して両タイマの計時を停止する（Ｓ１０４）。なお、ロストタイマ部に関しては、計時の停止は計時の中断を意味し、次に開始する場合には中断時のカウント値から計時を開始する。一方、エマージェンシタイマ部に関しては、計時の停止はゼロにリセットすることを意味し、次に開始する場合にはゼロからの計時を意味する。もちろん、正規ユーザが希望する場合には、ロストタイマ部の計時をゼロにリセットすることができる。正規ユーザ以外の管理者のみがロストタイマ部の計時をゼロにリセットできるように設定することも好適である。これにより、正規ユーザを含めデータ利用時間を一定時間に制限することができる。
【００１９】
その後、正規ユーザがＵＳＢメモリ１にデータを書き込み、あるいはデータを読み出して（Ｓ１０５）、終了処理を行う（Ｓ１０６）。ＣＰＵは、終了処理時にも再び認証のためのパスワードを要求し（Ｓ１０７）、入力されたパスワードが正しい場合にはリムーブＯＫフラグをＯＮに設定して抜き取りを許可する（Ｓ１０８）。また、ＣＰＵはロストタイマ部にスタート信号を出力し、ロストタイマ部の計時を再開（リスタート）させる（Ｓ１０９）。入力されたパスワードが正しくない場合（パスワードの入力がない場合も含む）、リムーブＯＫフラグはＯＦＦのまま維持される。また、ロストタイマ部が停止している場合にはロストタイマ部の計時を再開させる。ロストタイマ部が計時し続けている場合にはリスタートする必要はない。正規のユーザでないユーザがＵＳＢメモリ１を使用した場合には、ロストタイマ部、エマージェンシタイマ部のいずれも計時が停止されないので計時を維持し続ける。
【００２０】
以上のようにして、正規ユーザがＵＳＢメモリ１をパーソナルコンピュータに接続し、データの書き込み等を行った後、ＵＳＢメモリ１をパーソナルコンピュータから正規に取り出す、つまり予め定められた正規の手続きに則って取り出すと、ロストタイマ部は計時を開始して第１所定時間までカウントし続ける。
【００２１】
図３に、ＵＳＢメモリ１単体時の処理を示す。まず、ＣＰＵはイレースフラグが１に設定されているか否かを判定する（Ｓ２０１）。イレースフラグは、ＣＰＵがフラッシュＲＯＭ１４に格納されたデータを既に消去済みの場合に１に設定されるフラグであり、未だ消去していない場合（デフォルト状態）では０に設定される。イレースフラグが０でデータが未だ消去されていない場合、次にリムーブＯＫフラグがＯＮに設定されているか否かを判定する（Ｓ２０２）。上記のように、ＵＳＢメモリ１が正規に抜き取られた場合にはリムーブＯＫフラグはＯＮに設定されており、不正に抜き取られた場合や正規ユーザが誤って抜き取った場合にはＯＦＦに設定されたままとなる。そこで、リムーブＯＫフラグがＯＮである場合には、正規に抜き取られたものであるから置き忘れや盗難等に対応すべく、ＣＰＵはロストタイマ部がＯＫか否か、つまりロストタイマ部からカウントアップ信号が出力されたか否かを監視する（Ｓ２０７）。
【００２２】
ロストタイマ部がカウントアップしていない場合にはＯＫと判定される。ロストタイマ部が未だカウントアップ信号を出力しておらずＹＥＳと判定された場合、データの消去処理は行わない。ロストタイマ部からカウントアップ信号が出力されＮＯと判定された場合、ＣＰＵはフラッシュＲＯＭ１４に格納されたデータを全て消去する（Ｓ２０６）。これにより、データの流用等が防止される。
【００２３】
一方、リムーブＯＫフラグがＯＦＦのままである場合、不正に抜き取られたもの、あるいは誤って抜き取られたものと判定し、ＣＰＵはエマージェンシタイマ部の動作を確認した後に（Ｓ２０３）、イマージェンシタイマ部が動作していないのであればスタート信号を出力して計時を開始させる（Ｓ２０４）。そして、タイマ部がＯＫであるか否か、つまりタイマ部からカウントアップ信号が出力されたか否かを判定する（Ｓ２０５）。この処理におけるタイマ部はロストタイマ部あるいはエマージェンシタイマ部のいずれかであり、ロストタイマ部からカウントアップ信号が出力される、あるいはエマージェンシタイマ部からカウントアップ信号が出力された場合にＮＯと判定され、ＣＰＵはフラッシュＲＯＭ１４に格納されたデータを全て消去する（Ｓ２０６）。例えば、Ｓ２０４でエマージェンシタイマ部の計時が開始され、第２所定時間経過した場合にはＳ２０５でＮＯと判定されてフラッシュＲＯＭ１４のデータは消去される。また、Ｓ２０４でエマージェンシタイマ部の計時が開始され、第２所定時間が経過していなくても、ロストタイマ部が計時を開始してから第１所定時間が経過するとＳ２０５でＮＯと判定されてフラッシュＲＯＭ１４のデータは消去される。
【００２４】
なお、正規ユーザ以外の他人がＵＳＢメモリ１をパーソナルコンピュータに接続した場合、図３に示したＵＳＢメモリ１単体時の処理フローチャートと同様に処理されることは言うまでもない。
【００２５】
具体的な事例に則して説明すると以下のようになる。
【００２６】
＜正規ユーザがＵＳＢメモリ１を使用してＰＣから正規に抜き取った場合＞
Ｓ１０８でリムーブＯＫフラグがＯＮに設定され、Ｓ１０９でロストタイム部の計時が再開される。エマージェンシタイマ部は停止したままであり、ＵＳＢメモリ１の置き忘れ、あるいは盗難によりロストタイマ部がカウントアップした場合にのみフラッシュＲＯＭ１４のデータが消去される。
【００２７】
＜正規ユーザがＵＳＢメモリ１を使用し、他人がＰＣから抜き取った、あるいは正規ユーザが誤って抜き取った場合＞
リムーブＯＫフラグはＯＦＦのままであり、Ｓ２０３でエマージェンシタイマ部の計時が開始される。また、正規ユーザが使用を開始したためＳ１０４でロストタイマ部は停止しているので、Ｓ１０９で再びロストタイマ部の計時が再開される。Ｓ２０５でエマージェンシタイマ部あるいはロストタイマ部のいずれかがカウントアップした場合にフラッシュＲＯＭ１４のデータが消去される。正規の抜き取り以外の抜き取りがあった場合でも直ちにデータを消去するのではなく、エマージェンシタイマ部あるいはロストタイマ部のいずれかのカウントアップでデータを消去する、つまり、一定の猶予時間をもってデータを消去することで、正規ユーザが誤って抜き取った場合にも直ちにデータが消去されるのではなく、正規ユーザが再びパーソナルコンピュータに接続して認証することでデータを保全する機会を確保できる。
【００２８】
＜他人がＵＳＢメモリ１を使用した場合＞
ロストタイマ部及びエマージェンシタイマ部のいずれも計時を維持しており、Ｓ２０５でエマージェンシタイマ部あるいはロストタイマ部のいずれかがカウントアップした場合にフラッシュＲＯＭ１４のデータが消去される。正規ユーザがＰＣから抜き取った直後に他人がＵＳＢメモリ１を入手して使用しても、ロストタイマ部は計時を再開しているので、エマージェンシタイマ部がカウントアップするか、あるいはロストタイマ部がカウントアップすることでフラッシュＲＯＭ１４のデータが消去される。
【００２９】
このように、本実施形態では、ロストタイマ部及びエマージェンシタイマ部の２つのタイマ部で時間管理してデータを消去するので、正規ユーザの置き忘れや他人による抜き取り等の多様な事態に対応してデータを保護することができる。
【００３０】
本実施形態では、基本的にロストタイマ部の計時は正規ユーザによる使用中のみ中断し、それ以外は計時を維持するので、この間はＵＳＢメモリ１の所定位置、具体的には外観上視認できる位置に設けられたＬＥＤ等を点滅させてロストタイマ部による計時が進んでいることを表示してもよい。
【００３１】
本実施形態では、データの全てをフラッシュＲＯＭ１４に格納しているが、データを分割してその一部をフラッシュＲＯＭ１４に格納し、残りをリフレッシュ動作が必要なＤＲＡＭに格納してもよい。リフレッシュ動作が必要な分、内蔵蓄電池１８が消耗するが、データの一部を格納するだけの容量があればよいので、消耗量を抑制することができる。
【００３２】
図４に、この場合のＵＳＢメモリ１の構成を示す。図１の構成に加え、ＤＲＡＭ２２及びリフレッシュ回路２４が設けられる。パーソナルコンピュータからのデータは２つに分割され、フラッシュＲＯＭ１４とＤＲＡＭ２２に格納される。例えば、フラッシュＲＯＭ１４内でファイルを不連続なクラスタ（セクタ）として配置しておき、そのディレクトリ情報とＦＡＴ情報をメモリ情報としてＤＲＡＭ２２に格納しておく。ＣＰＵは、ロストタイマ部あるいはエマージェンシタイマ部のいずれかからカウントアップ信号が出力されると、リフレッシュ回路２４によるリフレッシュ動作を停止してＤＲＡＭ２２に格納されたデータを消去する。メモリ管理情報が消去されることでフラッシュＲＯＭ１４に格納されたデータを読み出すことができなくなるため、この構成によってもセキュリティを確保できる。もちろん、ディレクトリ情報とＦＡＴ情報をＤＲＡＭ２２に格納するのではなく、暗号化ＩＣチップを搭載してデータを暗号化して記憶するとともに暗号化キーをＤＲＡＭ２２に格納する、あるいはデータバスの信号線をアドレスの関数として入れ替えたり、反転させたりする制御回路を設け、この情報をＤＲＡＭ２２に格納する、あるいは００ｈ〜ＦＦｈのデータの１対１変換テーブルをＤＲＡＭ２２に格納する、等でもよい。
【００３３】
本実施形態では、フラッシュＲＯＭ１４あるいはＤＲＡＭ２２に格納されたデータを消去することでデータを保護しているが、「データの消去」には無意味なデータを上書きすることで元のデータを破壊する場合、あるいは元のデータを暗号化することで元のデータを解読不能とする場合のいずれも含まれる。要するに、元のデータに何らかの処理を加えて、元のデータが元の形態で存在しない状態にすればよい。
【００３４】
本実施形態では、記憶装置としてＵＳＢメモリ１を例にとり説明したが、本発明はこれに限定されるものではなく例えばＳＤメモリ等にも適用できる。また、情報処理装置もパーソナルコンピュータに限定されるものではなく例えばデジタルカメラやビデオカメラ等にも適用できる。
【図面の簡単な説明】
【００３５】
【図１】実施形態の構成図である。
【図２】実施形態のＰＣ接続時の処理フローチャートである。
【図３】実施形態のＵＳＢメモリ単体時の処理フローチャートである。
【図４】他の実施形態の構成図である。
【符号の説明】
【００３６】
１ＵＳＢメモリ１０コントローラ、１２ＳＲＡＭ、１４フラッシュＲＯＭ、１６認証部、１８蓄電池、２０外部インタフェース部、２２ＤＲＡＭ、２４リフレッシュ回路。

【特許請求の範囲】
【請求項１】
データを記憶する不揮発性記憶部と、
第１所定時間を計時する第１タイマ部であって、正規ユーザによる使用終了をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第１タイマ部と、
前記第１所定時間よりも短い第２所定時間を計時する第２タイマ部であって、所定の情報処理装置からの正規の抜取以外の抜取をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第２タイマ部と、
前記第１タイマ部による前記第１所定時間の計時、あるいは前記第２タイマ部による前記第２所定時間の計時の少なくともいずれかにより、前記不揮発性記憶部に記憶された前記データを消去する制御部と、
を有することを特徴とする記憶装置。
【請求項２】
データを分割して記憶する不揮発性記憶部及び揮発性記憶部と、
前記揮発性記憶部をリフレッシュするリフレッシュ部と、
第１所定時間を計時する第１タイマ部であって、正規ユーザによる使用終了をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第１タイマ部と、
前記第１所定時間よりも短い第２所定時間を計時する第２タイマ部であって、所定の情報処理装置からの正規の抜取以外の抜取をトリガとして計時を開始し正規ユーザによる使用開始をトリガとして計時を中止する第２タイマ部と、
前記第１タイマ部による前記第１所定時間の計時、あるいは前記第２タイマ部による前記第２所定時間の計時の少なくともいずれかにより、前記リフレッシュ部によるリフレッシュ動作を停止することで前記揮発性記憶部に記憶された前記データを消去する制御部と、
を有することを特徴とする記憶装置。

【図１】