電子機器及びその制御方法
【課題】 装着する際の人的ミスや装着した装置の不具合のために、長期間に亘ってセキュリティ機能が動作しない無防備状態(セキュリティ・ホール)が継続する危険性がある。
【解決手段】 セキュリティ機能の解除を指示した後、そのセキュリティ機能のセキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知するまでの(S406)経過時間、或いは装着された装置の動作が有効であることを確認する(S407)まで経過時間が所定時間を超えたかどうかを判定し(S405)、その経過時間が所定時間を超えたと判定されると、機器本来のセキュリティ機能を再度有効にする(408)。
【解決手段】 セキュリティ機能の解除を指示した後、そのセキュリティ機能のセキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知するまでの(S406)経過時間、或いは装着された装置の動作が有効であることを確認する(S407)まで経過時間が所定時間を超えたかどうかを判定し(S405)、その経過時間が所定時間を超えたと判定されると、機器本来のセキュリティ機能を再度有効にする(408)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ機能を有する電子機器及びその制御方法に関する。
【背景技術】
【0002】
セキュリティ機能1を実行中の印刷装置に、セキュリティレベルが上位であるセキュリティ機能2を有する装置を取り付ける場合、セキュリティの干渉を引き起こすため、現在実行中のセキュリティ機能1を停止しなければならないケースが発生する。
【0003】
例えば、ハードディスク装置が対応するATA(Advanced Technology Attachment)規格では、セキュリティコマンド群が定義されている。そして、この規格の下で、ハードディスク装置の標準的な機能としてパスワードによるセキュリティ機能がある。ハードディスク装置のパスワードを用いたセキュリティ機能(パスワード機能)を有効にすると、適正なパスワードをハードディスク装置に対して送信しないと、そのハードディスク装置のデータ領域へのアクセスが許可されない。また、ハードディスク装置へのアクセスが許可されている状態でも、そのハードディスク装置の電源がオフされてオンされると、再びパスワード機能が有効な状態で起動する仕組みとなっている。
【0004】
また他のセキュリティ機能として、ハードディスク装置へのデータ書き込み時に、そのデータを暗号化する暗号化方法がある。前述のパスワード機能では、データ領域は平文であるため、パスワードが盗まれるか、ハードディスク装置内部のディスクを直接読み取ることによりセキュリティを破られる可能性がある。一方、暗号化方法であると、例えハードディスク装置を盗まれても内部情報を読み取られる心配がない。従って、パスワード方法と暗号化方法とを比較すると、後者の方がよりセキュリティレベルが高いといえる。
【0005】
ここで、パスワード機能を実行中の印刷装置に対して暗号化装置をオプションとして装着する場合を説明する。前述のようにパスワード機能よりも暗号化方法の方がセキュリティレベルが高いため、暗号化を実施する印刷装置にパスワード機能を実施しても制御方法の煩雑さが増すばかりで意味をなさない。従って、暗号化装置自体が、よりセキュリティレベルが低い、ATA規格のセキュリティコマンド群について非対応であるのが一般的である。
【0006】
上述したように、パスワード機能を実行中の印刷装置に対して、よりセキュリティレベルが高い暗号化装置を装着する際に干渉が発生する。よって、暗号化装置を印刷装置に装着するためには、一旦、印刷装置の電源をオフしなければならない。パスワード機能を有効にしたハードディスク装置は、電源オフからの起動時にパスワード設定コマンドを送信するか、パスワード解除コマンドを送信しなければアクセスすることができない。しかし前述のように、暗号化装置がセキュリティコマンド群に非対応であるため、装着された暗号化装置を介してハードディスク装置にパスワード関連のコマンドを送信して、パスワード機能を解除することができない。従って、パスワード機能を実行中の印刷装置に対して暗号化装置を装着する場合には、まず印刷装置のパスワード機能を無効にした後に暗号化装置を取り付けなければならない。
【0007】
このパスワード機能の無効化処理は、暗号化装置の取付け時に印刷装置の操作パネルをユーザやサービスマン等が操作することで人的に処理される。この場合、人的ミスや取り付けた暗号化装置の不具合等によりセキュリティ・ホールが生じる可能性がある。例えば、複数の印刷装置に暗号化装置を取り付ける際に、複数の印刷装置のパスワード機能の無効化処理を一度にまとめて行い、その後、暗号化装置を取り付けると、一部の印刷装置への取り付け忘れが発生する可能性がある。また、取り付けた暗号化装置の不具合により、暗号化機能が有効状態にならないまま放置される危険性も考えられる。いずれの場合でも長期間に亘ってセキュリティが無効な状態にさらされる危険性がある。
【0008】
上記に近い状況下で、セキュリティ・ホールを排除する方法として、内部端末と外部ネットワークとを接続するための情報機器のセキュリティ管理方法が提案されている(例えば、特許文献1参照)。特許文献1では、ネットワーク上の情報機器に対して設定を行う際に、予め予定された時刻に情報機器のセキュリティを解除する。そして、終了予定時刻又は設定終了後に、その情報機器に保持されたセキュリティ管理モジュールによって、再び元のセキュリティが有効な状態に復帰させることが記載されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−40155号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら特許文献1の方法は、一旦、解除されたセキュリティ状態を、終了予定時刻又は設定終了後に元のセキュリティが有効な状態に復帰する技術であって、元のセキュリティ状態を完全に無効化する場合には適用できない。また、終了予定時刻又は取り付け設定終了以外にも、暗号化装置のようなオプション装置を取り付ける際には、電源のオフ/オン状態、及びその回数が重要となる場合があるが、そのような場合についても特許文献1では対応できないという問題があった。
【0011】
本発明の目的は、上記従来技術の問題点を解決することにある。
【0012】
本発明の特徴は、機器本来が有するセキュリティ機能に、よりセキュリティレベルの高いセキュリティ機能を追加する場合における、セキュリティ・ホールの発生を防止することにある。
【課題を解決するための手段】
【0013】
上記目的を達成するために本発明の一態様に係る電子機器は以下のような構成を備える。即ち、
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、機器本来が有するセキュリティ機能に、よりセキュリティレベルの高いセキュリティ機能を追加する場合におけるセキュリティ・ホールを排除できる。これにより、キュリティ機能を実行中の電子機器に対して、より高いセキュリティレベルのセキュリティ機能を有する装置を安全、且つ確実に装着できるという効果がある。
【図面の簡単な説明】
【0015】
【図1】本実施形態に係る複合機(MFP)の構成を主制御部(メインコントローラ)の構成を中心に示すブロック図。
【図2】本実施形態に係る暗号化装置の内部構成例を説明するブロック図。
【図3】メインコントローラとHDDとの接続形態を示す図で、(A)は暗号化装置が未接続の状態を示し、(B)は、暗号化装置が接続された状態を示す図。
【図4】本実施形態1に係るMFPのCPUの処理を説明するフローチャート。
【図5】本実施形態2に係るMFPのCPUの処理を説明するフローチャート。
【図6】ROMに予め設定された条件設定レジスタの例を示す図。
【発明を実施するための形態】
【0016】
以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。尚、本実施形態では、本発明の電子機器を、複合機(MFP)を例に説明するが、この電子機器は、このようなMFPに限定されるものでなく、印刷装置、通信装置、情報処理装置等にも適用できる。
【0017】
図1は、本実施形態に係る複合機(MFP)の構成を主制御部(メインコントローラ)の構成を中心に示すブロック図である。
【0018】
CPU(中央処理演算器)101は、システム制御や演算処理を行う。メモリ制御部102は、各種メモリデバイスへの入出力制御やDMA(ダイレクトメモリアクセス)制御を行う。ROM103は、フラッシュメモリに代表されるリード専用メモリで、起動プログラム、各種処理及び制御プログラムや制御パラメータを格納している。RAM104は、DDR(Double-Data-Rate)メモリに代表される書き換え専用メモリで、プログラムの作業領域や印刷データの格納領域等の用途に用いられる。
【0019】
LAN−IF部105は、このMFPに接続されるローカルエリアネットワーク106とのインターフェイスを制御する。一般的にはTCP/IPプロトコルを用い、ネットワークケーブルを介して外部ホストコンピュータ107などのネットワーク対応機器と接続され、ネットワーク経由で印刷データを受信して印刷を行う。リーダインタフェース部108は、スキャナ部109との通信制御を行い、スキャナ部109によってスキャンして得られた画像データを入力することでコピー機能を実現する。FAX−IF部110は、FAX装置111との通信制御を行い、電話回線に接続されたFAX装置との間でデータの送受信を行う。画像処理部112は、LAN−IF部105、リーダインタフェース部108、FAX−IF部110を介して取り込んだ画像データに対して、各種画像処理を行う。
【0020】
パネルIF部113は、操作パネル114との通信制御を行う。UI(ユーザインターフェイス)として、操作パネル114の液晶表示やボタン等を操作することにより、このMFPの各種設定及び状態の確認ができる。
【0021】
HDD−IF部115は、ATA規格に準拠したハードディスク装置(HDD)(ストレージデバイス)117との通信制御を行う。HDD117は不揮発性の大容量記憶装置で、ファイルの保存や印刷データの一時格納場所として使用される。尚、本実施形態では、HDD117を用いて説明するが、ATA規格に準拠したデバイス、例えばSSD等であっても構わない。
【0022】
このシステム構成例では、HDD−IF部115とHDD117の間にセキュリティオプションである暗号化装置116を装着した例を示す。この暗号化装置116は、HDD117に書き込むデータに対して暗号化処理を行う。
【0023】
ビデオIF部118は、印刷部119とのコマンド/ステータスの通信制御や印刷データの転送を行う。印刷部119は、ここでは図示しないがプリンタエンジンと給紙系及び排紙系機能を具備し、主にビデオIF部118からのコマンド情報に従い、印刷データを基に紙(シート)上に画像を印刷する。システムバス120は、制御バス、データバス及び任意ブロック間のローカルバスを便宜的にまとめて表現したものである。
【0024】
図2は、本実施形態に係る暗号化装置116の内部構成例を説明するブロック図である。
【0025】
CPU(中央処理演算器)201は、システム制御、暗号化処理、演算処理及びATA規格のコマンド処理などを行う。メモリ制御部202は、各種メモリデバイスへの入出力制御やDMA制御を行う。ROM203には、起動プログラム、各種処理及び制御プログラムや制御パラメータが格納される。RAM204は、プログラムの作業領域や一時的なデータの格納領域、レジスタ等の用途に用いられる。デバイスインタフェース部205は、デバイス側、即ち、メインコントローラのHDD−IF115をホスト側としてATA規格に準拠したコマンドプロトコル処理を行う。ホストインタフェース部206は、ホスト側、即ち、HDD117をデバイス側としてATA規格に準拠したコマンドプロトコル処理を行う。暗号/復号化処理部207は、メインコントローラからHDD117への書き込みデータに対して暗号化処理を施し、逆にHDD117からの読み出しデータに対して復号化処理を行う。システムバス208は、制御バス、データバス及び任意ブロック間のローカルバスを便宜的にまとめて表現したものである。
【0026】
図1及び図2で説明したシステムの構成例に基づいて、以下、本実施形態を詳しく説明する。
【0027】
この実施形態では、パスワード機能(セキュリティ機能1)を実行中のMFPに対して、上位レベルの暗号化機能(セキュリティ機能2)を有する暗号化装置116を取り付ける。この際、一旦、MFPで解除されたパスワード機能を、暗号化機能が有効状態になったことを判定した後に、MFPの機能から完全に無効化する。即ち、暗号化機能が有効である限り、パスワード機能を有効にできないようにする。また、予め設定された幾つかの条件の下で、暗号化機能が有効にならなかったと判定された場合には、再びパスワード機能を有効にすることにより、人的ミス等によるセキュリティ・ホールを排除することを目的としている。
【0028】
図3(A)は、セキュリティオプションである暗号化装置が未接続の状態を示す図である。この構成では、メインコントローラ301にHDD302が直接接続されている。ここで、ATA規格に準拠したパスワード機能を有効にすると、HDD302にアクセスする前に、パスワード設定コマンドをHDD302に対して送信しなければならない。また、一旦アクセスが許可された状態でもHDD302の電源をオフすると、次回の起動時に再びパスワード設定コマンドを送信する必要がある。
【0029】
一方、図3(B)は、パスワード機能を有効状態にし、メインコントローラ301とHDD302の間にセキュリティオプションである暗号化装置303(図1の暗号化装置116に対応)を接続した状態を示す図である。当然ながら暗号化装置303を装着する際には、一旦、MFPの電源をオフしなければならない。先に説明したように、ATA規格に準拠したパスワード機能と比較して、暗号化機能の方がよりセキュリティレベルが高い。従って、暗号化装置303を装着したMFPに対してパスワード機能を有効にすること自体に意味がない。それ故に、暗号化装置303は、パスワード機能を有効にするATA規格のセキュリティコマンド群に対して非対応であるのが一般的である。
【0030】
ここで、図3(B)のように暗号化装置303を装着した後に、HDD302に対してパスワード解除コマンドを送信して、パスワード機能を無効に設定しようとする。しかし、暗号化装置303自体がパスワード解除コマンドに非対応であるために、パスワード機能を無効にすることができないという干渉状態が発生する。
【0031】
このような干渉状態を解決するためには、暗号化装置303を装着する前の図3(A)の状態で、メインコントローラ301でパスワード機能を無効化しなければならない。図3(A)におけるパスワード機能の無効化処理は、ここでは図示しないがメインコントローラ301のUI(操作パネル等)により、特定の権限を持った管理者もしくはサービスマン等の人手によって、特殊なモードに移行して処理される。しかしながら、パスワード機能の無効化処理は、あくまでも人的に為されるため、ここにセキュリティ・ホールの生じる可能性がある。
【0032】
次に、セキュリティ・ホールを排除するための本実施形態を説明する。
【0033】
図4は、本実施形態1に係るMFPのCPU101の処理を説明するフローチャートである。尚、この処理を実行する監視プログラムはROM103に記憶されており、CPU101の制御の下に実行される。尚、ここでは、MFPのパスワード機能が有効状態であることを前提としている。
【0034】
この処理は、例えばMFPの電源がオンになることにより開始され、まずS401で、ROM103に記憶されている、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間を読み出して取得する。
【0035】
図6は、ROM103に予め設定された条件設定レジスタの例を示す図である。
【0036】
ここで設定される条件は、複数あっても構わない。図6では、解除許容時間601と、電源のオフ/オンの回数の上限値602が設定されている。本実施形態1では、解除許容時間(所定時間)601を設定条件とする場合について説明する。電源オフ/オンの回数の上限値602を含むケースは、後述の実施形態2で説明する。また、この解除許容時間601は、MFPの電源を一旦オフして暗号化装置116を装着し、再びMFPの電源をオンするまでの、暗号化装置116の取り付け処理にかかる時間を十分に考慮した時間である。例えば、取り付け作業に平均10分程度の時間を要する場合には、この解除許容時間の設定値としては、例えば15〜20分程度が妥当である。
【0037】
次にS402で、オペレータの操作待ちに入る。ここではパスワード機能が有効なMFPに対して、ある時点で暗号化装置116を装着するためのオペレータの操作が発生するのを待つ。ここでは図示しないがサービスマン等のオペレータは、まず操作パネル114のUIから、暗号化装置116の装着を指示するための特殊なモードに移行し、S403で、パスワードの解除処理を実施する。次にS404で、メインコントローラに搭載された監視プログラムによって、S403のパスワード解除処理に応答して、経過時間の計時が開始される。尚、この経過時間の計時は、タイマ等のハードウェアにより行ってもよく、或いはソフトウェアによる計時でも構わない。
【0038】
また、時間計測の方法は、S403のパスワード解除処理からの絶対経過時間を計測しても良く、或いは電源オフ・オン毎に時間計測を初期化して、再計測を行う相対時間計測のどちらのであってもよく、特にどちらかに限定するものではない。本実施形態では、計時途中で電源がオフされても、その時点までの計時時間を保存し、次回の電源オン時(即ち、起動時)に、前回からの継続時間として時間を計時する絶対時間計測を前提として説明を行う。
【0039】
次にS405で、一定時間間隔で、計測時間と解除許容時間601とを比較する。この比較の結果、計測時間が解除許容時間601を超過していなければS406に進み、取り付けてあることが想定される暗号化装置116の存在確認処理を行う。ここでは図示しないが、暗号化装置116が装着されたことを検知できる手段を有している。例えば、メインコントローラ側でポートに接続したプルアップされた信号ライン(通常、ハイレベル)が、暗号化装置116側でグランドに接続されていることにより、これらの結合によってその信号ラインがロウレベルに状態が変わることで存在を知る。また或いは、ATA規格に準拠した存在確認用の拡張コマンドを定義して通信を行う事で暗号化装置116の存在を知る方法などによって実現できる。
【0040】
S406で、暗号化装置116の存在が確認できないときはS405に戻り、S405とS406との間をループしている間に、それまでの計測時間の累積と解除許容時間との比較結果により時間が超過する。この場合はS408に進み、再びパスワード機能の有効化処理を実施する。
【0041】
このようなS405〜S406のループに陥った原因としては、例えば、サービスマンがユーザ先で複数のMFPに暗号化装置116の取り付け作業を行う場合が考えられる。このような場合、まず対象となるMFPの全てのパスワード機能を無効化した後に、一部のMFPに対して暗号化装置116を装着し忘れた場合が想定される。この場合、まだ暗号化装置116自体が装着されていないため、再び、タイムアウト(時間超過)が発生しS408で、パスワード機能が再度有効にされる。こうしてS409でパスワード機能が有効化された後はS403に進み、再びオペレータの操作待ちに入る。
【0042】
一方、S406の暗号化装置116の存在確認処理で、その存在が確認された場合はS407に進み、暗号化装置116の暗号化機能(装置の動作)が有効になったかどうかを判定する。ここで、暗号化機能が有効状態であるかどうかは、例えば状態を取得する拡張コマンドを定義して通信を行う事で状態を取得することができる。この判定処理で、暗号化機能が有効になったと判定された場合は、MFPでパスワード機能が完全に無効化されたことになる。即ち、ここでは図示しないが、この時点でMFPのUI(操作パネル114)からパスワード機能を有効化しようとしても、有効化ボタンが操作不能状態(ハイライト状態)となっていることを意味する。よって再び、パスワード機能を有効化するためには、まず暗号化機能を無効化しなければならない。
【0043】
他方、S407の判定処理において、暗号化機能が有効状態となっていないときはS405に進み、S405〜S407間をループしている間に、それまでの計測時間の累積と解除許容時間との比較結果で、時間が超過したと判定される。この場合はS408に進み、再びパスワード機能の有効化処理を実施する。
【0044】
ここでS407を含むループに陥った原因として、取り付け完了した暗号化装置116の不具合による初期化失敗が想定される。この場合、先に説明したように暗号化装置116がATA規格のパスワード設定コマンドに非対応であるため、S408のパスワード有効化処理の実行自体が不能となる。よって、この場合は、S409でパスワード機能が有効にならないためS410に進み、最終的に操作パネル114によりオペレータへの警告表示を出すと同時に、予め指定された管理者等に通知する。これにより、セキュリティ・ホールを回避できる。
【0045】
以上説明したように本実施形態1によれば、パスワード機能を解除するMFPの内部状態として、一時的にパスワード機能の解除処理を実行し(S403)、MFPとしてはあくまでも仮解除レベルにする。その後、暗号化装置116が装着され、その暗号化機能が有効であることを確認(S407)することで、パスワード機能が完全に解除されたレベルに移行する。従って、MFPの内部状態としては、より低いセキュリティレベルの仮解除レベル状態と完全解除レベル状態の2つを持つことによってセキュリティ・ホールの回避処理を実施している。
【0046】
[実施形態2]
本発明の実施形態2として、先に説明した図6の条件設定レジスタにおいて、電源オフ/オン回数の上限値602を含む実施形態2を、図5を用いて説明する。メインコントローラのROM103には、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間601と電源オフ/オンの回数の上限値602が予め設定されている。以下、図5のS502〜S507及びS510〜S512は、図4のS402〜S407及びS408〜S410と同じであるため簡単に説明し、本実施形態2で追加されたS508、S509の処理を中心に説明する。
【0047】
尚、MFPの電源オフ/オン回数を比較条件として追加する理由は、よりセキュリティの強化を図るために暗号化装置116の初期化失敗時のリブート処理に対応するためである。図4のフローで説明したように、暗号化装置116の存在確認処理において装置の不具合により初期化に失敗した場合には、同時にパスワード機能を有効化することも不可能となる。それ故に、最終的にS410で、UIによるオペレータへの警告表示を出すと同時に管理者へも通知をすることになる。しかしながら、このときオペレータが離席している場合には、管理者が不具合に対処するまでの間、無防備状態が継続される。その間に悪意のある者からHDD117のデータを盗み取られる可能性がある。
【0048】
セキュリティ・ホールの回避強化策として、自動的にリブートして暗号化装置116の再初期化を試みる方法が考えられる。この処理フローを図4に追加したのが、図5のS508及びS509である。
【0049】
図5は、本実施形態2に係るMFPのCPU101の処理を説明するフローチャートである。尚、この処理を実行する監視プログラムはROM103に記憶されており、CPU101の制御の下に実行される。尚、ここでは、MFPのパスワード機能が有効状態であることを前提としている。
【0050】
まずS501で、ROM103に記憶されている、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間601と、電源オフ/オンの回数の上限値602とを読み出して取得する。
【0051】
次にS502で、パスワード機能が有効なMFPに対して、ある時点で暗号化装置116を装着するためのオペレータの操作が発生するのを待つ。そしてその操作により、S503で、パスワード解除処理を実施する。次にS504で、S503のパスワード解除処理からの時間の経過の計測が開始される。
【0052】
こうしてS506で、解除許容時間601内に暗号化装置116が取り付けられたが、暗号化装置116が初期化処理に失敗したときは、S507で、暗号化機能が有効にならい。この場合はS508に進み、電源オフ/オンの回数の上限値602と、前回までのリブート回数N、即ち、電源オフ/オンの回数Nとの比較処理を行う。ここで、回数Nが上限値602を超過していなければS509に進み、回数Nに1を加算してS505に進み、リブート処理を試みる。尚、この回数Nをカウントするカウンタは、RAM104に設けられている。一方、S508で回数Nが上限値(所定回数)602を超過しているとS510に進み、解除許容時間の超過とは無関係に、S510で、パスワード機能の有効化処理を実施する。そしてS510,S511の処理を経て、最終的に操作パネル114によるオペレータへの警告表示を出すと同時に管理者へも通知を行う。
【0053】
以上説明したように本実施形態2によれば、パスワード機能を解除するMFPの内部状態として、一時的にパスワード機能の解除処理を実行し(S503)、MFPとしてはあくまでも仮解除レベルにする。その後、暗号化装置116が装着され、その暗号化機能が有効であることを確認(S507)することで、パスワード機能が完全に解除されたレベルに移行する。従って、MFPの内部状態としては、より低いセキュリティレベルの仮解除レベル状態と完全解除レベル状態の2つを持つことによってセキュリティ・ホールの回避処理を実施している。
【0054】
また実施形態2では、暗号化装置116が装着され他にも拘らず、その暗号化機能が有効にならないとき、自動的に暗号化装置116の再初期化を試みるリブート処理を行い、その回数が所定値を超えると自動的に、より低いセキュリティレベルに復帰する。これにより、オペレータが離席していたりして、管理者が不具合に対処するまでの間にセキュリティが解除された状態が継続されるのを防止でき、セキュリティ・ホールを回避できるという効果がある。
【0055】
(その他の実施例)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【技術分野】
【0001】
本発明は、セキュリティ機能を有する電子機器及びその制御方法に関する。
【背景技術】
【0002】
セキュリティ機能1を実行中の印刷装置に、セキュリティレベルが上位であるセキュリティ機能2を有する装置を取り付ける場合、セキュリティの干渉を引き起こすため、現在実行中のセキュリティ機能1を停止しなければならないケースが発生する。
【0003】
例えば、ハードディスク装置が対応するATA(Advanced Technology Attachment)規格では、セキュリティコマンド群が定義されている。そして、この規格の下で、ハードディスク装置の標準的な機能としてパスワードによるセキュリティ機能がある。ハードディスク装置のパスワードを用いたセキュリティ機能(パスワード機能)を有効にすると、適正なパスワードをハードディスク装置に対して送信しないと、そのハードディスク装置のデータ領域へのアクセスが許可されない。また、ハードディスク装置へのアクセスが許可されている状態でも、そのハードディスク装置の電源がオフされてオンされると、再びパスワード機能が有効な状態で起動する仕組みとなっている。
【0004】
また他のセキュリティ機能として、ハードディスク装置へのデータ書き込み時に、そのデータを暗号化する暗号化方法がある。前述のパスワード機能では、データ領域は平文であるため、パスワードが盗まれるか、ハードディスク装置内部のディスクを直接読み取ることによりセキュリティを破られる可能性がある。一方、暗号化方法であると、例えハードディスク装置を盗まれても内部情報を読み取られる心配がない。従って、パスワード方法と暗号化方法とを比較すると、後者の方がよりセキュリティレベルが高いといえる。
【0005】
ここで、パスワード機能を実行中の印刷装置に対して暗号化装置をオプションとして装着する場合を説明する。前述のようにパスワード機能よりも暗号化方法の方がセキュリティレベルが高いため、暗号化を実施する印刷装置にパスワード機能を実施しても制御方法の煩雑さが増すばかりで意味をなさない。従って、暗号化装置自体が、よりセキュリティレベルが低い、ATA規格のセキュリティコマンド群について非対応であるのが一般的である。
【0006】
上述したように、パスワード機能を実行中の印刷装置に対して、よりセキュリティレベルが高い暗号化装置を装着する際に干渉が発生する。よって、暗号化装置を印刷装置に装着するためには、一旦、印刷装置の電源をオフしなければならない。パスワード機能を有効にしたハードディスク装置は、電源オフからの起動時にパスワード設定コマンドを送信するか、パスワード解除コマンドを送信しなければアクセスすることができない。しかし前述のように、暗号化装置がセキュリティコマンド群に非対応であるため、装着された暗号化装置を介してハードディスク装置にパスワード関連のコマンドを送信して、パスワード機能を解除することができない。従って、パスワード機能を実行中の印刷装置に対して暗号化装置を装着する場合には、まず印刷装置のパスワード機能を無効にした後に暗号化装置を取り付けなければならない。
【0007】
このパスワード機能の無効化処理は、暗号化装置の取付け時に印刷装置の操作パネルをユーザやサービスマン等が操作することで人的に処理される。この場合、人的ミスや取り付けた暗号化装置の不具合等によりセキュリティ・ホールが生じる可能性がある。例えば、複数の印刷装置に暗号化装置を取り付ける際に、複数の印刷装置のパスワード機能の無効化処理を一度にまとめて行い、その後、暗号化装置を取り付けると、一部の印刷装置への取り付け忘れが発生する可能性がある。また、取り付けた暗号化装置の不具合により、暗号化機能が有効状態にならないまま放置される危険性も考えられる。いずれの場合でも長期間に亘ってセキュリティが無効な状態にさらされる危険性がある。
【0008】
上記に近い状況下で、セキュリティ・ホールを排除する方法として、内部端末と外部ネットワークとを接続するための情報機器のセキュリティ管理方法が提案されている(例えば、特許文献1参照)。特許文献1では、ネットワーク上の情報機器に対して設定を行う際に、予め予定された時刻に情報機器のセキュリティを解除する。そして、終了予定時刻又は設定終了後に、その情報機器に保持されたセキュリティ管理モジュールによって、再び元のセキュリティが有効な状態に復帰させることが記載されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−40155号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら特許文献1の方法は、一旦、解除されたセキュリティ状態を、終了予定時刻又は設定終了後に元のセキュリティが有効な状態に復帰する技術であって、元のセキュリティ状態を完全に無効化する場合には適用できない。また、終了予定時刻又は取り付け設定終了以外にも、暗号化装置のようなオプション装置を取り付ける際には、電源のオフ/オン状態、及びその回数が重要となる場合があるが、そのような場合についても特許文献1では対応できないという問題があった。
【0011】
本発明の目的は、上記従来技術の問題点を解決することにある。
【0012】
本発明の特徴は、機器本来が有するセキュリティ機能に、よりセキュリティレベルの高いセキュリティ機能を追加する場合における、セキュリティ・ホールの発生を防止することにある。
【課題を解決するための手段】
【0013】
上記目的を達成するために本発明の一態様に係る電子機器は以下のような構成を備える。即ち、
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明によれば、機器本来が有するセキュリティ機能に、よりセキュリティレベルの高いセキュリティ機能を追加する場合におけるセキュリティ・ホールを排除できる。これにより、キュリティ機能を実行中の電子機器に対して、より高いセキュリティレベルのセキュリティ機能を有する装置を安全、且つ確実に装着できるという効果がある。
【図面の簡単な説明】
【0015】
【図1】本実施形態に係る複合機(MFP)の構成を主制御部(メインコントローラ)の構成を中心に示すブロック図。
【図2】本実施形態に係る暗号化装置の内部構成例を説明するブロック図。
【図3】メインコントローラとHDDとの接続形態を示す図で、(A)は暗号化装置が未接続の状態を示し、(B)は、暗号化装置が接続された状態を示す図。
【図4】本実施形態1に係るMFPのCPUの処理を説明するフローチャート。
【図5】本実施形態2に係るMFPのCPUの処理を説明するフローチャート。
【図6】ROMに予め設定された条件設定レジスタの例を示す図。
【発明を実施するための形態】
【0016】
以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。尚、本実施形態では、本発明の電子機器を、複合機(MFP)を例に説明するが、この電子機器は、このようなMFPに限定されるものでなく、印刷装置、通信装置、情報処理装置等にも適用できる。
【0017】
図1は、本実施形態に係る複合機(MFP)の構成を主制御部(メインコントローラ)の構成を中心に示すブロック図である。
【0018】
CPU(中央処理演算器)101は、システム制御や演算処理を行う。メモリ制御部102は、各種メモリデバイスへの入出力制御やDMA(ダイレクトメモリアクセス)制御を行う。ROM103は、フラッシュメモリに代表されるリード専用メモリで、起動プログラム、各種処理及び制御プログラムや制御パラメータを格納している。RAM104は、DDR(Double-Data-Rate)メモリに代表される書き換え専用メモリで、プログラムの作業領域や印刷データの格納領域等の用途に用いられる。
【0019】
LAN−IF部105は、このMFPに接続されるローカルエリアネットワーク106とのインターフェイスを制御する。一般的にはTCP/IPプロトコルを用い、ネットワークケーブルを介して外部ホストコンピュータ107などのネットワーク対応機器と接続され、ネットワーク経由で印刷データを受信して印刷を行う。リーダインタフェース部108は、スキャナ部109との通信制御を行い、スキャナ部109によってスキャンして得られた画像データを入力することでコピー機能を実現する。FAX−IF部110は、FAX装置111との通信制御を行い、電話回線に接続されたFAX装置との間でデータの送受信を行う。画像処理部112は、LAN−IF部105、リーダインタフェース部108、FAX−IF部110を介して取り込んだ画像データに対して、各種画像処理を行う。
【0020】
パネルIF部113は、操作パネル114との通信制御を行う。UI(ユーザインターフェイス)として、操作パネル114の液晶表示やボタン等を操作することにより、このMFPの各種設定及び状態の確認ができる。
【0021】
HDD−IF部115は、ATA規格に準拠したハードディスク装置(HDD)(ストレージデバイス)117との通信制御を行う。HDD117は不揮発性の大容量記憶装置で、ファイルの保存や印刷データの一時格納場所として使用される。尚、本実施形態では、HDD117を用いて説明するが、ATA規格に準拠したデバイス、例えばSSD等であっても構わない。
【0022】
このシステム構成例では、HDD−IF部115とHDD117の間にセキュリティオプションである暗号化装置116を装着した例を示す。この暗号化装置116は、HDD117に書き込むデータに対して暗号化処理を行う。
【0023】
ビデオIF部118は、印刷部119とのコマンド/ステータスの通信制御や印刷データの転送を行う。印刷部119は、ここでは図示しないがプリンタエンジンと給紙系及び排紙系機能を具備し、主にビデオIF部118からのコマンド情報に従い、印刷データを基に紙(シート)上に画像を印刷する。システムバス120は、制御バス、データバス及び任意ブロック間のローカルバスを便宜的にまとめて表現したものである。
【0024】
図2は、本実施形態に係る暗号化装置116の内部構成例を説明するブロック図である。
【0025】
CPU(中央処理演算器)201は、システム制御、暗号化処理、演算処理及びATA規格のコマンド処理などを行う。メモリ制御部202は、各種メモリデバイスへの入出力制御やDMA制御を行う。ROM203には、起動プログラム、各種処理及び制御プログラムや制御パラメータが格納される。RAM204は、プログラムの作業領域や一時的なデータの格納領域、レジスタ等の用途に用いられる。デバイスインタフェース部205は、デバイス側、即ち、メインコントローラのHDD−IF115をホスト側としてATA規格に準拠したコマンドプロトコル処理を行う。ホストインタフェース部206は、ホスト側、即ち、HDD117をデバイス側としてATA規格に準拠したコマンドプロトコル処理を行う。暗号/復号化処理部207は、メインコントローラからHDD117への書き込みデータに対して暗号化処理を施し、逆にHDD117からの読み出しデータに対して復号化処理を行う。システムバス208は、制御バス、データバス及び任意ブロック間のローカルバスを便宜的にまとめて表現したものである。
【0026】
図1及び図2で説明したシステムの構成例に基づいて、以下、本実施形態を詳しく説明する。
【0027】
この実施形態では、パスワード機能(セキュリティ機能1)を実行中のMFPに対して、上位レベルの暗号化機能(セキュリティ機能2)を有する暗号化装置116を取り付ける。この際、一旦、MFPで解除されたパスワード機能を、暗号化機能が有効状態になったことを判定した後に、MFPの機能から完全に無効化する。即ち、暗号化機能が有効である限り、パスワード機能を有効にできないようにする。また、予め設定された幾つかの条件の下で、暗号化機能が有効にならなかったと判定された場合には、再びパスワード機能を有効にすることにより、人的ミス等によるセキュリティ・ホールを排除することを目的としている。
【0028】
図3(A)は、セキュリティオプションである暗号化装置が未接続の状態を示す図である。この構成では、メインコントローラ301にHDD302が直接接続されている。ここで、ATA規格に準拠したパスワード機能を有効にすると、HDD302にアクセスする前に、パスワード設定コマンドをHDD302に対して送信しなければならない。また、一旦アクセスが許可された状態でもHDD302の電源をオフすると、次回の起動時に再びパスワード設定コマンドを送信する必要がある。
【0029】
一方、図3(B)は、パスワード機能を有効状態にし、メインコントローラ301とHDD302の間にセキュリティオプションである暗号化装置303(図1の暗号化装置116に対応)を接続した状態を示す図である。当然ながら暗号化装置303を装着する際には、一旦、MFPの電源をオフしなければならない。先に説明したように、ATA規格に準拠したパスワード機能と比較して、暗号化機能の方がよりセキュリティレベルが高い。従って、暗号化装置303を装着したMFPに対してパスワード機能を有効にすること自体に意味がない。それ故に、暗号化装置303は、パスワード機能を有効にするATA規格のセキュリティコマンド群に対して非対応であるのが一般的である。
【0030】
ここで、図3(B)のように暗号化装置303を装着した後に、HDD302に対してパスワード解除コマンドを送信して、パスワード機能を無効に設定しようとする。しかし、暗号化装置303自体がパスワード解除コマンドに非対応であるために、パスワード機能を無効にすることができないという干渉状態が発生する。
【0031】
このような干渉状態を解決するためには、暗号化装置303を装着する前の図3(A)の状態で、メインコントローラ301でパスワード機能を無効化しなければならない。図3(A)におけるパスワード機能の無効化処理は、ここでは図示しないがメインコントローラ301のUI(操作パネル等)により、特定の権限を持った管理者もしくはサービスマン等の人手によって、特殊なモードに移行して処理される。しかしながら、パスワード機能の無効化処理は、あくまでも人的に為されるため、ここにセキュリティ・ホールの生じる可能性がある。
【0032】
次に、セキュリティ・ホールを排除するための本実施形態を説明する。
【0033】
図4は、本実施形態1に係るMFPのCPU101の処理を説明するフローチャートである。尚、この処理を実行する監視プログラムはROM103に記憶されており、CPU101の制御の下に実行される。尚、ここでは、MFPのパスワード機能が有効状態であることを前提としている。
【0034】
この処理は、例えばMFPの電源がオンになることにより開始され、まずS401で、ROM103に記憶されている、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間を読み出して取得する。
【0035】
図6は、ROM103に予め設定された条件設定レジスタの例を示す図である。
【0036】
ここで設定される条件は、複数あっても構わない。図6では、解除許容時間601と、電源のオフ/オンの回数の上限値602が設定されている。本実施形態1では、解除許容時間(所定時間)601を設定条件とする場合について説明する。電源オフ/オンの回数の上限値602を含むケースは、後述の実施形態2で説明する。また、この解除許容時間601は、MFPの電源を一旦オフして暗号化装置116を装着し、再びMFPの電源をオンするまでの、暗号化装置116の取り付け処理にかかる時間を十分に考慮した時間である。例えば、取り付け作業に平均10分程度の時間を要する場合には、この解除許容時間の設定値としては、例えば15〜20分程度が妥当である。
【0037】
次にS402で、オペレータの操作待ちに入る。ここではパスワード機能が有効なMFPに対して、ある時点で暗号化装置116を装着するためのオペレータの操作が発生するのを待つ。ここでは図示しないがサービスマン等のオペレータは、まず操作パネル114のUIから、暗号化装置116の装着を指示するための特殊なモードに移行し、S403で、パスワードの解除処理を実施する。次にS404で、メインコントローラに搭載された監視プログラムによって、S403のパスワード解除処理に応答して、経過時間の計時が開始される。尚、この経過時間の計時は、タイマ等のハードウェアにより行ってもよく、或いはソフトウェアによる計時でも構わない。
【0038】
また、時間計測の方法は、S403のパスワード解除処理からの絶対経過時間を計測しても良く、或いは電源オフ・オン毎に時間計測を初期化して、再計測を行う相対時間計測のどちらのであってもよく、特にどちらかに限定するものではない。本実施形態では、計時途中で電源がオフされても、その時点までの計時時間を保存し、次回の電源オン時(即ち、起動時)に、前回からの継続時間として時間を計時する絶対時間計測を前提として説明を行う。
【0039】
次にS405で、一定時間間隔で、計測時間と解除許容時間601とを比較する。この比較の結果、計測時間が解除許容時間601を超過していなければS406に進み、取り付けてあることが想定される暗号化装置116の存在確認処理を行う。ここでは図示しないが、暗号化装置116が装着されたことを検知できる手段を有している。例えば、メインコントローラ側でポートに接続したプルアップされた信号ライン(通常、ハイレベル)が、暗号化装置116側でグランドに接続されていることにより、これらの結合によってその信号ラインがロウレベルに状態が変わることで存在を知る。また或いは、ATA規格に準拠した存在確認用の拡張コマンドを定義して通信を行う事で暗号化装置116の存在を知る方法などによって実現できる。
【0040】
S406で、暗号化装置116の存在が確認できないときはS405に戻り、S405とS406との間をループしている間に、それまでの計測時間の累積と解除許容時間との比較結果により時間が超過する。この場合はS408に進み、再びパスワード機能の有効化処理を実施する。
【0041】
このようなS405〜S406のループに陥った原因としては、例えば、サービスマンがユーザ先で複数のMFPに暗号化装置116の取り付け作業を行う場合が考えられる。このような場合、まず対象となるMFPの全てのパスワード機能を無効化した後に、一部のMFPに対して暗号化装置116を装着し忘れた場合が想定される。この場合、まだ暗号化装置116自体が装着されていないため、再び、タイムアウト(時間超過)が発生しS408で、パスワード機能が再度有効にされる。こうしてS409でパスワード機能が有効化された後はS403に進み、再びオペレータの操作待ちに入る。
【0042】
一方、S406の暗号化装置116の存在確認処理で、その存在が確認された場合はS407に進み、暗号化装置116の暗号化機能(装置の動作)が有効になったかどうかを判定する。ここで、暗号化機能が有効状態であるかどうかは、例えば状態を取得する拡張コマンドを定義して通信を行う事で状態を取得することができる。この判定処理で、暗号化機能が有効になったと判定された場合は、MFPでパスワード機能が完全に無効化されたことになる。即ち、ここでは図示しないが、この時点でMFPのUI(操作パネル114)からパスワード機能を有効化しようとしても、有効化ボタンが操作不能状態(ハイライト状態)となっていることを意味する。よって再び、パスワード機能を有効化するためには、まず暗号化機能を無効化しなければならない。
【0043】
他方、S407の判定処理において、暗号化機能が有効状態となっていないときはS405に進み、S405〜S407間をループしている間に、それまでの計測時間の累積と解除許容時間との比較結果で、時間が超過したと判定される。この場合はS408に進み、再びパスワード機能の有効化処理を実施する。
【0044】
ここでS407を含むループに陥った原因として、取り付け完了した暗号化装置116の不具合による初期化失敗が想定される。この場合、先に説明したように暗号化装置116がATA規格のパスワード設定コマンドに非対応であるため、S408のパスワード有効化処理の実行自体が不能となる。よって、この場合は、S409でパスワード機能が有効にならないためS410に進み、最終的に操作パネル114によりオペレータへの警告表示を出すと同時に、予め指定された管理者等に通知する。これにより、セキュリティ・ホールを回避できる。
【0045】
以上説明したように本実施形態1によれば、パスワード機能を解除するMFPの内部状態として、一時的にパスワード機能の解除処理を実行し(S403)、MFPとしてはあくまでも仮解除レベルにする。その後、暗号化装置116が装着され、その暗号化機能が有効であることを確認(S407)することで、パスワード機能が完全に解除されたレベルに移行する。従って、MFPの内部状態としては、より低いセキュリティレベルの仮解除レベル状態と完全解除レベル状態の2つを持つことによってセキュリティ・ホールの回避処理を実施している。
【0046】
[実施形態2]
本発明の実施形態2として、先に説明した図6の条件設定レジスタにおいて、電源オフ/オン回数の上限値602を含む実施形態2を、図5を用いて説明する。メインコントローラのROM103には、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間601と電源オフ/オンの回数の上限値602が予め設定されている。以下、図5のS502〜S507及びS510〜S512は、図4のS402〜S407及びS408〜S410と同じであるため簡単に説明し、本実施形態2で追加されたS508、S509の処理を中心に説明する。
【0047】
尚、MFPの電源オフ/オン回数を比較条件として追加する理由は、よりセキュリティの強化を図るために暗号化装置116の初期化失敗時のリブート処理に対応するためである。図4のフローで説明したように、暗号化装置116の存在確認処理において装置の不具合により初期化に失敗した場合には、同時にパスワード機能を有効化することも不可能となる。それ故に、最終的にS410で、UIによるオペレータへの警告表示を出すと同時に管理者へも通知をすることになる。しかしながら、このときオペレータが離席している場合には、管理者が不具合に対処するまでの間、無防備状態が継続される。その間に悪意のある者からHDD117のデータを盗み取られる可能性がある。
【0048】
セキュリティ・ホールの回避強化策として、自動的にリブートして暗号化装置116の再初期化を試みる方法が考えられる。この処理フローを図4に追加したのが、図5のS508及びS509である。
【0049】
図5は、本実施形態2に係るMFPのCPU101の処理を説明するフローチャートである。尚、この処理を実行する監視プログラムはROM103に記憶されており、CPU101の制御の下に実行される。尚、ここでは、MFPのパスワード機能が有効状態であることを前提としている。
【0050】
まずS501で、ROM103に記憶されている、パスワード機能が解除された時点から、その状態の継続が許される解除許容時間601と、電源オフ/オンの回数の上限値602とを読み出して取得する。
【0051】
次にS502で、パスワード機能が有効なMFPに対して、ある時点で暗号化装置116を装着するためのオペレータの操作が発生するのを待つ。そしてその操作により、S503で、パスワード解除処理を実施する。次にS504で、S503のパスワード解除処理からの時間の経過の計測が開始される。
【0052】
こうしてS506で、解除許容時間601内に暗号化装置116が取り付けられたが、暗号化装置116が初期化処理に失敗したときは、S507で、暗号化機能が有効にならい。この場合はS508に進み、電源オフ/オンの回数の上限値602と、前回までのリブート回数N、即ち、電源オフ/オンの回数Nとの比較処理を行う。ここで、回数Nが上限値602を超過していなければS509に進み、回数Nに1を加算してS505に進み、リブート処理を試みる。尚、この回数Nをカウントするカウンタは、RAM104に設けられている。一方、S508で回数Nが上限値(所定回数)602を超過しているとS510に進み、解除許容時間の超過とは無関係に、S510で、パスワード機能の有効化処理を実施する。そしてS510,S511の処理を経て、最終的に操作パネル114によるオペレータへの警告表示を出すと同時に管理者へも通知を行う。
【0053】
以上説明したように本実施形態2によれば、パスワード機能を解除するMFPの内部状態として、一時的にパスワード機能の解除処理を実行し(S503)、MFPとしてはあくまでも仮解除レベルにする。その後、暗号化装置116が装着され、その暗号化機能が有効であることを確認(S507)することで、パスワード機能が完全に解除されたレベルに移行する。従って、MFPの内部状態としては、より低いセキュリティレベルの仮解除レベル状態と完全解除レベル状態の2つを持つことによってセキュリティ・ホールの回避処理を実施している。
【0054】
また実施形態2では、暗号化装置116が装着され他にも拘らず、その暗号化機能が有効にならないとき、自動的に暗号化装置116の再初期化を試みるリブート処理を行い、その回数が所定値を超えると自動的に、より低いセキュリティレベルに復帰する。これにより、オペレータが離席していたりして、管理者が不具合に対処するまでの間にセキュリティが解除された状態が継続されるのを防止でき、セキュリティ・ホールを回避できるという効果がある。
【0055】
(その他の実施例)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【特許請求の範囲】
【請求項1】
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理手段と、
を有することを特徴とする電子機器。
【請求項2】
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記電子機器の電源がオフ/オンされた回数を取得する取得手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうか、又は前記回数が所定回数を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えた、或いは、前記回数が所定回数を超えたと判定されると、前記セキュリティ機能を有効にする有効化処理手段と、
を有することを特徴とする電子機器。
【請求項3】
前記指示手段による指示は、前記装置の装着が指示されることによりなされることを特徴とする請求項1又は2に記載の電子機器。
【請求項4】
前記有効化処理手段により前記セキュリティ機能を有効にできない場合、ユーザ或いは管理者に通知する通知手段を更に有することを特徴とする請求項1乃至3のいずれか1項に記載の電子機器。
【請求項5】
前記セキュリティ機能はパスワードによるセキュリティ機能であり、前記セキュリティレベルよりも高いセキュリティ機能は暗号化によるセキュリティ機能であることを特徴とする請求項1乃至4のいずれか1項に記載の電子機器。
【請求項6】
セキュリティ機能を有する電子機器を制御する制御方法であって、
指示手段が、前記セキュリティ機能の解除を指示する指示工程と、
検知手段が、前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知工程と、
計時手段が、前記指示工程の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時工程と、
判定手段が、前記検知工程で前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時工程で計時された前記経過時間が所定時間を超えたかどうかを判定する判定工程と、
有効化処理手段が、前記判定工程で前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理工程と、
を有することを特徴とする電子機器の制御方法。
【請求項1】
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理手段と、
を有することを特徴とする電子機器。
【請求項2】
セキュリティ機能を有する電子機器であって、
前記セキュリティ機能の解除を指示する指示手段と、
前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知手段と、
前記指示手段の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時手段と、
前記電子機器の電源がオフ/オンされた回数を取得する取得手段と、
前記検知手段が前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時手段により計時された前記経過時間が所定時間を超えたかどうか、又は前記回数が所定回数を超えたかどうかを判定する判定手段と、
前記判定手段により前記経過時間が前記所定時間を超えた、或いは、前記回数が所定回数を超えたと判定されると、前記セキュリティ機能を有効にする有効化処理手段と、
を有することを特徴とする電子機器。
【請求項3】
前記指示手段による指示は、前記装置の装着が指示されることによりなされることを特徴とする請求項1又は2に記載の電子機器。
【請求項4】
前記有効化処理手段により前記セキュリティ機能を有効にできない場合、ユーザ或いは管理者に通知する通知手段を更に有することを特徴とする請求項1乃至3のいずれか1項に記載の電子機器。
【請求項5】
前記セキュリティ機能はパスワードによるセキュリティ機能であり、前記セキュリティレベルよりも高いセキュリティ機能は暗号化によるセキュリティ機能であることを特徴とする請求項1乃至4のいずれか1項に記載の電子機器。
【請求項6】
セキュリティ機能を有する電子機器を制御する制御方法であって、
指示手段が、前記セキュリティ機能の解除を指示する指示工程と、
検知手段が、前記セキュリティレベルよりも高いセキュリティ機能を有する装置の装着を検知する検知工程と、
計時手段が、前記指示工程の指示に応答して前記セキュリティ機能を解除してからの経過時間を計時する計時工程と、
判定手段が、前記検知工程で前記装置の装着を検知するまで、或いは前記装置の動作が有効であることを確認するまでに、前記計時工程で計時された前記経過時間が所定時間を超えたかどうかを判定する判定工程と、
有効化処理手段が、前記判定工程で前記経過時間が前記所定時間を超えたと判定されると、前記セキュリティ機能を再度有効にする有効化処理工程と、
を有することを特徴とする電子機器の制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−257061(P2012−257061A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2011−128643(P2011−128643)
【出願日】平成23年6月8日(2011.6.8)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願日】平成23年6月8日(2011.6.8)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]