JP5304229B2 - 端末装置 - Google Patents

端末装置 Download PDF

Info

Publication number
JP5304229B2
JP5304229B2 JP2008331497A JP2008331497A JP5304229B2 JP 5304229 B2 JP5304229 B2 JP 5304229B2 JP 2008331497 A JP2008331497 A JP 2008331497A JP 2008331497 A JP2008331497 A JP 2008331497A JP 5304229 B2 JP5304229 B2 JP 5304229B2
Authority
JP
Japan
Prior art keywords
information
terminal device
area
cpu
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008331497A
Other languages
English (en)
Other versions
JP2010152750A (ja
Inventor
洋介 中村
和明 二村
文雄 本田
勇 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2008331497A priority Critical patent/JP5304229B2/ja
Priority to US12/605,502 priority patent/US8190813B2/en
Priority to EP09175235.2A priority patent/EP2204753B1/en
Publication of JP2010152750A publication Critical patent/JP2010152750A/ja
Application granted granted Critical
Publication of JP5304229B2 publication Critical patent/JP5304229B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

本発明は、電子機器を用いて利用される不揮発性記憶媒体に記憶してある情報の漏洩を抑止する技術に関する。
従来、電子機器に記憶してある秘密情報が漏洩することが問題とされている。例えば、携帯電話機やパーソナルコンピュータが盗難されることにより、それらが備える不揮発性記憶媒体に記憶してある個人情報などの秘密情報が漏洩し、悪用される、という可能性がある。
そこで、電子機器に記憶してある情報を暗号化しておき、ネットワークを介して接続されるサーバ装置から取得した暗号鍵を用いて、電子機器に記憶してある情報を利用時に利用する分だけ復号する、というシステムが提案されている。
文献1には、公開鍵を用いて暗号化を行い、秘密鍵を用いて復号を行う公開鍵暗号方式で用いられる秘密鍵を管理する秘密鍵管理装置であって、当該秘密鍵管理装置とネットワークを介して接続可能な外部の端末で用いられる秘密鍵を、前記外部の端末の利用者に関する情報(利用者情報)に対応付けて記憶する秘密鍵記憶手段と、前記外部の端末の利用者に固有の情報(利用者固有情報)を、前記利用者情報に対応付けて記憶する利用者固有情報記憶手段と、秘密鍵の取り出し要求を行う外部の端末から受け取った利用者固有情報を、前記利用者固有情報記憶手段に記憶されている利用者固有情報と照合する利用者固有情報照合手段と、前記利用者固有情報照合手段で照合した結果、一致した利用者固有情報に対応する利用者情報に基づいて、前記秘密鍵記憶手段から当該利用者情報に対応する秘密鍵を抽出する秘密鍵抽出手段と、を備える秘密鍵管理装置が提案されている。
これにより、利用者固有情報照合手段による照合の結果、利用者固有情報が利用者固有情報記憶手段に記憶されている利用者固有情報と一致した場合のみ、秘密鍵抽出手段は、当該利用者の利用者情報に対応する秘密鍵を抽出する。そのため、利用者固有情報を用いて真正性が確認された利用者のみが、自身の秘密鍵を取得することができる。結果として、利用者の秘密鍵を第三者によって盗み取られることなく安全に保管できると共に容易に取り出すことができる秘密鍵管理装置を提供することができる、とされている。
特開2004−208184号公報
暗号化された情報を復号するために本来ならば必要とされる鍵データを用いずに、暗号化された情報を復元させる解読処理が、電子機器の性能の向上に伴い、現実的な時間範囲で成功する事例が報告されている。
暗号技術を用いた情報管理には、復号に必要な鍵データを厳重に管理していたとしても、暗号化した情報が解読される可能性がある、という技術的な問題がある。
秘密情報を暗号化したとしても情報漏洩の可能性が残るため、秘密情報を管理する者にとって、情報漏洩対策が大きな負担となっている。
そこで、本発明は、外部装置から受信される設定情報に基づいて、不揮発性記憶媒体に記憶されている情報の存在を操作者に気付き難くさせることができる技術を提供することを目的とする。
発明者らは、電子機器の性能が向上する状況において、電子機器に記憶されている秘密情報の存在を第三者に気付かせないことが重要である、という点を着想し、以下の解決手段を開示する。
開示の端末装置によれば、オペレーティングシステムを用いて、不揮発性記憶媒体に格納されたプログラムの実行や、不揮発性記憶媒体に格納されたデータの再生が可能な端末装置であって、前記端末装置に所定のデータが入力され、該データが認証された後に前記端末装置を起動する際に、前記不揮発性記憶媒体が有する区画された記憶領域ごとの利用可否を制御する設定情報を、ネットワークを介して接続される外部装置から取得する、設定情報取得部と、前記取得した設定情報が前記区画された記憶領域の利用を制限する内容である場合、前記利用を制限される記憶領域を前記オペレーティングシステムが認識できない状態となるように、前記不揮発性記憶媒体における前記利用を制限される区画された記憶領域のデータ構造を定義する領域定義情報を更新する、領域定義情報更新部と、前記取得した設定情報が前記区画された記憶領域の利用を制限する内容である場合、前記領域定義情報の更新処理の終了後に、前記オペレーティングシステムの起動処理を行なう、起動部と、を有する。
開示の端末装置によれば、オペレーティングシステムの起動処理を実行する前に、ネットワークを介して接続される外部装置から取得した設定情報に基づいて、不揮発性記憶媒体の領域定義情報が更新される。
すなわち、外部装置に登録してある設定情報に基づいて、不揮発性記憶媒体が有する記憶領域の利用可否を制御することが可能となる。
その結果、オペレーティングシステムが認識できない状態に更新された記憶領域に格納されているデータを、端末装置の操作者に気付き難くさせることができる。
また、端末装置を紛失等した場合であっても、オペレーティングシステムが認識できない状態に更新させる設定情報を、外部装置に登録しておくことにより、紛失等した端末装置が有する不揮発性記憶媒体の記憶領域に格納したデータを、第三者に気付き難くさせることができ、情報の漏洩を効果的に抑止することが期待される。
以下、本発明の好適な実施の形態について、図面を参照して詳細に説明する。
〔1.システムの構成〕
図1は、本実施例に係るシステムの構成を示す。図1に示すシステムは、端末装置100と、管理装置200とを有する。
端末装置100と管理装置200は、通信網300を介して、TCP/IP(Transmission Control Protocol/Internet Protocol)、UDP/IP(User Datagram Protocol/Internet Protocol)等、予め定められたプロトコルを用いて通信することができる。
端末装置100は、1以上の記憶領域(例えば4つの記憶領域)を有する不揮発性記憶媒体に情報を書込み、また、書き込んだ情報を読み出す機能を有する。
端末装置100は、不揮発性記憶媒体が有する記憶領域ごとに利用可否を制御する設定情報、例えば、利用可能な状態に記憶領域を表示するか否かを制御する設定情報を、管理装置200から取得する機能を有する。
端末装置100は、上述の管理装置200から取得する設定情報に基づいて、例えば、記憶領域を利用可能な状態に表示するか否かを制御する機能を有する。
端末装置100は、上述の機能を連動させることにより、不揮発性記憶媒体が有する所定の記憶領域の存在を、端末装置100の操作者に気付かせないようにすることができる。
その結果、そのような記憶領域に秘密情報を記憶させておくことにより、秘密情報の存在を第三者に気付き難くさせることができる。
また、端末装置100は、暗号化されて格納されている情報を利用する際の復号処理に用いる鍵データを、通信網300を介して接続される管理装置200から受信する機能を有する。
端末装置100は、例えば、起動処理の実行時に、管理装置200から鍵データを取得する。
端末装置100は、ハードディスク装置などに格納されている暗号化された情報を、管理装置200から取得した鍵データを用いて復号処理し、復号した情報を表示部に表示したり、復号した情報に基づいて処理を実行したりする。
管理装置200は、端末装置100へ提供する鍵データを管理する機能や、端末装置100の動作を制御する機能を有する。
例えば、端末装置を紛失等した場合に、端末装置の不揮発性記憶媒体が有する所定の記憶領域を利用可能な状態に表示させない設定を、管理装置200に登録することにより、端末装置が有する不揮発性記憶媒体の利用が制限される。
〔2.端末装置のハードウェア構成〕
図2は、端末装置100のハードウェア構成を示す。図2に示す端末装置100は、CPU(Central Processing Unit)110、主記憶部120、BIOS(Basic Input Output System)部130、通信部140、補助記憶部150、操作部160、表示部170、不揮発性記憶媒体180、通信線190を有している。
CPU110は、通信線190を介して端末装置のハードウェア各部と接続されており、プログラムの手順に従って所定の機能を実現する。CPU110は、例えば、主記憶部120から読み込んだ命令を一時的に格納する命令レジスタ(Instruction Register)、命令レジスタに格納されている機械語命令(2進数)を解読しその命令に応じて端末装置100が有する各部を制御する命令解読回路(Instruction Decoder)、命令解読回路からの制御に従って加算・減算・数値の比較などの演算を行なう演算回路(Arithmetic Logic Unit)、演算対象のデータや演算の結果などを一時的に格納するアキュムレータ(Accumulator)、CPU110が読み書きする主記憶部120が有する記憶領域の番地を格納する番地レジスタ(Address Register)、次に実行するべき命令が格納されている主記憶部が有する記憶領域の番地を示すプログラムカウンタ(Program Counter)などで構成される。
主記憶部120は、CPU110の実行により生じたデータや、補助記憶部150から読み出したデータなどを、記憶する。例えば、SDRAM(Synchronous Dynamic Random Access Memory)や、SRAM(Static Random Access Memory)などの半導体メモリを用いることができる。
BIOS部130は、端末装置が有するハードウェア各部の初期化処理など、端末装置の電源投入時に最初に実行される処理を、CPU110に実行させる、BIOSプログラムを格納する。例えば、フラッシュメモリ(Flash Memory)やEEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性半導体メモリを用いることができる。
通信部140は、有線又は無線方式により通信網300を介して管理装置200と信号を送受信する。
補助記憶部150は、CPU110から受信する書込み命令に応じて不揮発性記憶媒体180に情報を格納し、CPU110から受信する読込み命令に応じて不揮発性記憶媒体180に格納した情報を読み出して出力する。例えば、HDD(Hard Disk Drive)などの磁気記録装置や、SSD(Solid State Disk)などの不揮発性半導体記憶装置を用いることができる。
不揮発性記憶媒体180は、例えば、磁気記録媒体や、不揮発性半導体メモリである。なお、不揮発性記憶媒体180は、補助記憶部150の内部に格納されていても良いし、端末装置100の外部から挿入する可搬型の不揮発性記憶媒体であってもよい。
操作部160は、利用者の操作を受付ける。操作部160は、利用者の操作に応じた信号を、通信線190を介してCPU110へ出力する。例えば、操作部160として、キーボードや、マウスやタッチパッドなどの指示装置、入力ボタンなどを用いることができる。
表示部170は、CPU110からの制御命令に応じた情報を、液晶ディスプレイ装置などの表示装置に出力させる。なお、表示装置は、端末装置の内部に有する通信線を用いて端末装置と接続し端末装置と一体として構成しても良いし、D−Sub(D-Subminiature)15pinケーブル等を用いて端末装置と接続する構成としても良い。
〔3.端末装置により実行されるプログラムの構成〕
図3は、端末装置100により実行されるプログラムの構成及び格納場所を示す。図3に示すBIOS(Basic Input Output System)プログラムPG100は、端末装置100の起動時に、端末装置100が有するハードウェアを初期化し各種設定を行なう構成要素として、CPU110を機能させる。
図3に示す起動プログラムPG200は、不揮発性記憶媒体180に格納されたオペレーティングシステムを起動させる構成要素として、CPU110を機能させる。起動プログラムPG200は、例えば、ブートストラップローダ(Bootstrap Loader)や、OSローダ(Operating System Loader)などとも呼ばれる。
図3に示す盗難対策プログラムPG300は、認証部PG301と、設定情報取得部PG302と、鍵設定部PG303と、領域定義情報更新部PG304と、起動プログラム実行部PG305と、鍵消去部PG306と、領域情報取得部PG307と、を有する。
認証部PG301は、盗難対策プログラムによる処理を続行させても良い状況にあるか否かを判定する構成要素として、CPU110を機能させる。
設定情報取得部PG302は、管理装置200が有する管理ポリシDB(T301)に登録されている定義情報(T3015)などを有する設定情報を、管理装置200から取得する構成要素として、CPU110を機能させる。
鍵設定部PG303は、管理装置200が有する鍵管理DB(T302)から取得した鍵データを、補助記憶部150に設定する構成要素として、CPU110を機能させる。
領域定義情報更新部PG304は、管理装置200から取得した設定情報に基づいて、不揮発性記憶媒体180の記憶領域の領域定義情報(T100)を更新する構成要素として、CPU110を機能させる。
起動プログラム実行部PG305は、オペレーティングシステムを起動させる起動プログラムを実行開始させる構成要素として、CPU110を機能させる。
鍵消去部PG306は、補助記憶部150に設定された鍵データを消去させる構成要素として、CPU110を機能させる。
領域情報取得部PG307は、管理装置200が有する管理ポリシDB(T301)に登録されている領域情報(T3012)を、管理装置200から取得する構成要素として、CPU110を機能させる。
図3に示す盗難対策プログラムPG300は、端末装置100が有するBIOS部130に格納されている。図3に示す格納例では、BIOSプログラムPG100を実行するCPU110は、BIOS部130から盗難対策プログラムPG300を読み出して、主記憶部120に格納した後、主記憶部120に格納された盗難対策プログラムPG300を実行する。なお、主記憶部120への盗難対策部PG300の格納は、BIOS部130に格納されている盗難対策プログラムPG300の全体を一括して主記憶部120へ格納しても良いし、CPU110の実行状況に応じて必要となる部分のみBIOS部130から読み出して主記憶部120へ格納しても良い。
図3に示す例では、端末装置100が有する不揮発性記憶媒体180を他の不揮発性記憶媒体に組み替えたとしても、本実施例に係る盗難対策プログラムPG300を実行することができる。
図4は、上述の盗難対策プログラムPG300を、不揮発性記憶媒体180に格納した例を示している。図4に示す格納例では、BIOSプログラムPG100を実行するCPU110は、補助記憶部150を用いて不揮発性記憶媒体180から盗難対策プログラムPG300を読み出して、主記憶部120に格納した後、主記憶部120に格納された盗難対策プログラムPG300を実行する。
この場合、補助記憶部150は、不揮発性記憶媒体180の先頭のアドレスに格納された情報の読込み要求を受けた場合、その要求が電源投入されてから初回目の読込み要求であるとき、読込み対象のアドレスを盗難対策プログラムPG300が格納されているアドレスに変更する機能を有する。
通常、不揮発性記憶媒体180の先頭アドレスには、図7に示す起動プログラムと領域定義情報が格納されている。そのため、標準的なBIOSプログラムは、端末装置が有するハードウェア各部の初期化処理などを実行した後、不揮発性記憶部180の先頭アドレスから起動プログラムPG100などを読み込む処理を実行する。
そこで、電源が投入されてから初回目の、不揮発記憶媒体180の先頭アドレスに格納されている情報の読込み要求を受け付けた場合に、読込対象のアドレスを先頭アドレスから盗難対策プログラムを格納しているアドレスへ、補助記憶部150に変更させることにより、標準的なBIOSプログラムに修正を加えることなく、盗難対策プログラムを起動させることができる。
図5は、上述の盗難対策プログラムPG300を、補助記憶部150が有する不揮発性記憶媒体180とは別の記憶領域を提供する不揮発性記憶部1502に格納した例を示している。図5に示す格納例では、BIOSプログラムPG100を実行するCPU110からの指示を受けた補助記憶部150が、不揮発性記憶部1502に格納された盗難対策プログラムPG300を読み出して、盗難対策プログラム実行部1501を用いて盗難対策プログラムPG300を実行する。図5に示す例において、補助記憶装置150が有する盗難対策プログラム実行部1501は、補助記憶装置150の内部に実装されたCPU(Central Processing Unit)や、MPU(Micro Processing Unit)などが該当する。
この場合、補助記憶部150は、電源が投入されてから初回目の、不揮発記憶媒体180の先頭アドレスに格納されている情報の読込み要求を受け付けた場合に、読み込み対象を不揮発性記憶部1502に格納されている盗難対策プログラムに変更する。
なお、図5に示す例では、補助記憶装置150が有する盗難対策プログラム実行部1501が、盗難対策プログラムPG300を実行する例を示したが、本実施例はこれに限定されるものではない。例えば、図5に示す例において、不揮発性記憶部1502から読み込んだ盗難対策プログラムPG300を、主記憶部200に格納し、CPU110が実行する構成としても良い。この場合、図5に示す補助記憶部1501から盗難対策プログラム実行部1501を省略することができる。
図4及び図5に示す例では、補助記憶部1501を他の端末装置に組み替えて使用する場合でも、その端末装置において本実施例に係る盗難対策プログラムPG300を実行することができる。
このように、本実施例に係る盗難対策プログラムPG300は、端末装置100内の様々な記憶領域に格納することができる。
〔4.管理装置のハードウェア構成〕
図10は、管理装置200のハードウェア構成を示す。図10に示す管理装置200は、CPU(Central Processing Unit)210と、主記憶部220と、BIOS(Basic Input Output System)部230と、通信部240と、補助記憶部250と、不揮発性記憶媒体260、通信線270と、操作部280と、表示部290を有している。
CPU210は、通信線270を介して端末装置のハードウェア各部と接続されており、プログラムの手順に従って所定の機能を実現する。CPU210は、例えば、主記憶部220から読み込んだ命令を一時的に格納する命令レジスタ(Instruction Register)、命令レジスタに格納されている機械語命令(2進数)を解読しその命令に応じて端末装置100が有する各部を制御する命令解読回路(Instruction Decoder)、命令解読回路からの制御に従って加算・減算・数値の比較などの演算を行なう演算回路(Arithmetic Logic Unit)、演算対象のデータや演算の結果などを一時的に格納するアキュムレータ(Accumulator)、CPU210が読み書きする主記憶部220が有する記憶領域の番地を格納する番地レジスタ(Address Register)、次に実行するべき命令が格納されている主記憶部が有する記憶領域の番地を示すプログラムカウンタ(Program Counter)などで構成される。
主記憶部220は、CPU210の実行により生じたデータや、補助記憶部250から読み出したデータなどを、記憶する。例えば、SDRAM(Synchronous Dynamic Random Access Memory)や、SRAM(Static Random Access Memory)などの半導体メモリを用いることができる。
BIOS部230は、端末装置の電源投入時に最初に実行されるハードウェアの初期化処理などをCPU210に実行させるBIOSプログラムを格納する。例えば、フラッシュメモリ(Flash Memory)やEEPROM(Electrically Erasable Programmable Read Only Memory)などの不揮発性半導体メモリを用いることができる。
通信部240は、有線又は無線方式により通信網300を介して端末装置100と信号を送受信する。
補助記憶部250は、CPU210から受信する書込み命令に応じて不揮発性記憶媒体260に情報を格納し、CPU210から受信する読込み命令に応じて不揮発性記憶媒体260に格納した情報を読み出して出力する。補助記憶部250は、例えば、HDD(Hard Disk Drive)などの磁気記録装置や、SSD(Solid State Disk)などの不揮発性半導体記憶装置である。
不揮発性記憶媒体260は、例えば、磁気記録媒体や、不揮発性半導体メモリである。なお、不揮発性記憶媒体260は、補助記憶部250の内部に格納されていても良いし、管理装置200の外部から挿入する可搬型の不揮発性記憶媒体であってもよい。
操作部280は、利用者の操作を受付ける。操作部280は、利用者の操作に応じた信号を、通信線270を介してCPU210へ出力する。例えば、操作部280として、キーボードや、マウスやタッチパッドなどの指示装置、入力ボタンなどを用いることができる。
表示部290は、CPU210からの制御命令に応じた情報を、液晶ディスプレイ装置などの表示装置に出力させる。なお、表示装置は、端末装置の内部に有する通信線を用いて端末装置と接続し端末装置と一体として構成しても良いし、D−Sub(D-Subminiature)15pinケーブル等を用いて端末装置と接続する構成としても良い。
〔5.管理装置により実行されるプログラムの構成〕
図11は、管理装置200により実行されるプログラムの構成を示す。
送信要求受信部PG401は、端末装置100から送信される設定情報の送信要求や領域情報の送信要求を、通信部240を用いて受信する構成要素として、CPU210を機能させる。
機器特定部PG402は、受信した送信要求に基づいて、端末装置100を特定する構成要素として、CPU210を機能させる。
ポリシ取得部PG403は、受信した送信要求に基づいて、各種DB(T301、T303)に登録されている情報から、ポリシ情報を取得する構成要素として、CPU210を機能させる。
鍵取得部PG404は、受信した送信要求に基づいて、鍵管理DB(T302)から鍵データを取得する構成要素として、CPU210を機能させる。
設定情報送信部PG405は、取得したポリシ情報や鍵データなどを用いて生成された設定情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する構成要素として、CPU210を機能させる。
領域情報取得部PG406は、受信した送信要求に基づいて、各種DB(T301)に登録されている情報から、領域情報を取得する構成要素として、CPU210を機能させる。
領域情報送信部PG407は、取得した領域情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する構成要素として、CPU210を機能させる。
管理ポリシDB(T301)は、機器識別情報(T3011)と、領域情報(T3012)と、定義情報(T3015)とを有する(図12参照)。
機器識別情報(T3011)は、端末装置100を識別する情報であり、少なくとも、端末装置100を分類することができる情報であればよい。例えば、端末装置100の製造番号や、端末装置100が有する通信部140に設定されたMACアドレスや、端末装置100が有する補助記憶部150に設定された製造番号や、端末装置100の利用者を識別する情報などを、機器識別情報(T3011)として用いることができる。
領域情報(T3012)は、端末装置100が有する不揮発性記憶媒体180に設定されている記憶領域に関する情報を示す。図13に示す領域情報(T3012)は、領域識別情報(T3013)と、領域種別(T3014)と、を有する。
図13に示す領域識別情報(T3013)は、端末装置100が有する不揮発性記憶媒体180が有する1以上の記憶領域を識別する情報を示す。例えば、端末装置の不揮発性記憶媒体180の記憶領域を定義するMBR(Master Boot Record)のパーティションテーブルリストの要素番号を示すパーティション番号を用いることができる。
図13に示す領域種別(T3014)は、端末装置100が有する不揮発性記憶媒体180の記憶領域に設定されている種別を示す。例えば、図8に示す例において、端末装置の不揮発性記憶媒体180の記憶領域を定義するMBR(Master Boot Record)のパーティションテーブルに設定されているパーティションタイプ(T18023)を、領域種別として用いる。
定義情報(T3015)は、盗難対策プログラム(PG300)の処理の内容を定義する情報を示す。図13に示す定義情報(T3015)は、定義種別(T3016)と、ドライブ表示(T3017)と、を有する。
図13に示す定義種別(T3016)は、定義情報の種別を示す。図13に示す例では、定義種別(T3016)として、通常時の処理内容を定義することを示す「通常」と、端末装置の不揮発性記憶媒体180が有する記憶領域の利用を制限する制限時の処理内容を定義することを示す「制限」と、のいずれかが設定されている例を示している。なお、定義種別(T3016)は、「通常」と「制限」との2種類に限定されるものではなく、3種類以上の種別を定義しても良い。例えば、定義種別(T3016)に設定され得る値を、「種別1」「種別2」「種別3」「種別4」とすれば、4種類の定義種別を定義することができる。
図13に示すドライブ表示(T3017)は、端末装置100が有する不揮発性記憶媒体180に設定された記憶領域をオペレーティングシステム上で表示可能とさせるか否かを制御する情報を示す。図13に示す例では、ドライブ表示(T3017)として、記憶領域を表示させることを示す「許可」と、記憶領域を表示させないことを示す「不許可」と、のいずれかが設定されている例を示している。
図13は、機器識別情報(T3011)として「0001」、領域識別情報(T3013)として「1」、領域種別(T3014)として「07」、定義種別(T3016)として「通常」、ドライブ表示(T3017)として「許可」が設定されている情報(13−1)が、管理ポリシDB(T301)に登録されている例を示している。この例では、機器識別情報「0001」で識別される端末装置100の不揮発性記憶媒体180が有する記憶領域のうち、領域識別情報「1」で識別される記憶領域の領域種別が「07」であり、通常時の盗難対策プログラムの処理内容として、領域識別情報「1」で識別される記憶領域のドライブ表示が「許可」されることを示している。
また、図13は、機器識別情報(T3011)として「0001」、領域識別情報(T3013)として「2」、領域種別(T3014)として「07」、定義種別(T3016)として「制限」、ドライブ表示(T3017)として「不許可」が設定されている情報(13−2)が、管理ポリシDB(T301)に登録されている例を示している。この例では、機器識別情報「0001」で識別される端末装置100の不揮発性記憶媒体180が有する記憶領域のうち、領域識別情報「2」で識別される記憶領域の領域種別が「07」であり、制限時の盗難対策プログラムの処理内容として、領域識別情報「2」で識別される記憶領域のドライブ表示が「不許可」であることを示している。
また、図13は、機器識別情報(T3011)として「0001」、領域識別情報(T3013)として「4」、領域種別(T3014)として「00」、定義種別(T3016)として「通常」、ドライブ表示(T3017)として「−」が設定されている情報(13−3)が、管理ポリシDB(T301)に登録されている例を示している。この例では、機器識別情報「0001」で識別される端末装置100の不揮発性記憶媒体180が有する記憶領域のうち、領域識別情報「4」で識別される記憶領域の領域種別が「00」であり、すなわち、領域識別情報「4」で識別される記憶領域が未使用であるか、又は、領域識別情報「4」で識別される記憶領域が存在しないことを示している。そのため、図13に示すドライブ表示(T3017)「−」は、通常時の盗難対策プログラムの処理内容として、領域識別情報「4」で識別される記憶領域のドライブ表示(T3017)が未設定であることを示している。
図14は、鍵管理DB(T302)のデータ構造を示す。図14に示す鍵管理DB(T302)は、機器識別情報(T3021)と、領域識別情報(T3022)と、鍵データ(T3023)と、を有する。
機器識別情報(T3021)は、端末装置100を識別する情報であり、少なくとも、端末装置100を分類することができる情報であればよい。例えば、端末装置100の製造番号や、端末装置100が有する通信部140に設定されたMACアドレスや、端末装置100が有する補助記憶部150に設定された製造番号や、端末装置100の利用者を識別する情報などを、機器識別情報(T3021)として用いることができる。
領域識別情報(T3022)は、端末装置100の不揮発性記憶媒体180が有する記憶領域を識別する情報を示す。例えば、端末装置の不揮発性記憶媒体180の記憶領域を定義するMBR(Master Boot Record)のパーティションテーブルリストの要素番号を示すパーティション番号を用いることができる。すなわち、図7に示す例では、パーティションテーブル1(T1802−1)のパーティション番号は「1」であることから領域識別情報は「1」となり、パーティションテーブル2(T1802−2)のパーティション番号は「2」であることから領域識別情報は「2」となり、パーティションテーブル3(T1802−3)のパーティション番号は「3」であることから識別情報は「3」となり、パーティションテーブル4(T1802−4)のパーティション番号は「4」であることから識別情報は「4」となる。
鍵データ(T3023)は、端末装置100における暗号化処理及び復号処理に用いられる鍵データを示す。
図15は、端末情報DB(T303)のデータ構造を示す。図15に示す端末情報DB(T303)は、機器識別情報(T3031)と、状態情報(T3032)と、を有する。
機器識別情報(T3031)は、上述の図14に示す鍵管理DB(T302)の機器識別情報(T3021)と同様であり、少なくとも、端末装置100を分類することができる情報であればよい。
状態情報(T3032)は、端末装置100において実行される盗難対策プログラム(PG300)の処理内容を設定する情報を示す。図15に示す例では、機器識別情報「0001」で識別される端末装置100に対する状態情報(T3032)として「通常」が設定されている。すなわち、機器識別情報「0001」で識別される端末装置100は、通常の機能が利用できる状態が設定されていることを示している。
図15に示す例において、識別情報(T3031)「0002」で識別される端末装置100に対する状態情報(T3032)として「制限」が設定されている。すなわち、機器識別情報「0002」で識別される端末装置100は、通常の機能の利用を制限された状態が設定されていることを示している。
また、管理装置200が有する各種DB(T301、T302、T303)に対して、機器識別情報(T3011,T3021,T3031)とは別に、端末装置100が有する補助記憶部150又は不揮発性記憶媒体180を識別する媒体識別情報を追加することができる。
図20に示す管理ポリシDB(T301)のデータ構造は、図13に示す管理ポリシDB(T301)のデータ構造に対して媒体識別情報(T3018)を追加した例を示している。
図20に示す媒体識別情報(T3018)は、端末装置100が有する補助記憶装置150又は不揮発性記憶媒体180を識別する情報を示す。例えば、補助記憶部150又は不揮発性記憶媒体180に設定されている製造番号などを、媒体識別情報(T3018)として用いることができる。この場合、機器識別情報(T3031)は、端末装置100の製造番号や、通信部140に設定されているMACアドレスや、端末装置100の所有者を識別する情報などを用いることができる。
これにより、管理装置200において実行される機器特定処理(S202)において、機器識別情報のみを用いた機器特定処理よりも機器の特定精度を向上させることが期待できる。例えば、1つの端末装置100が複数個の補助記憶部150又は不揮発性記憶媒体180を有する場合、補助記憶部150又は不揮発性記憶媒体180ごとに盗難対策処理の設定を行なうことが可能となる。また、1つの端末装置100が有する補助記憶部150又は不揮発性記憶媒体180を入れ替えて使用する場合であっても、補助記憶部150又は不揮発性記憶媒体180ごとに盗難対策処理の設定を行なうことが可能となる。
図21に示す鍵管理DB(T302)のデータ構造も、図22に示す端末情報DB(T303)のデータ構造も、同様に、媒体識別情報(T3024、T3033)を追加した例を示している。以上が、管理装置200により実行されるプログラムの構成である。
〔6.端末装置の処理の概要〕
図17は、端末装置100における起動時の処理の概要を示す。まず、端末装置100は、電源を投入されるなどしたことに応じて、起動時の処理を開始する。
端末装置100は、初期化処理S001を実行する。例えば、端末装置100は、BIOS部130に格納するBIOSプログラムPG100を主記憶120にロードし、主記憶120に展開されたBIOSプログラムPG100を、CPU110を用いて実行する。
端末装置100のCPU110は、BIOSプログラムPG100の制御に従い、端末装置100が備える各デバイスの初期化を行なう(S001)。
BIOSプログラムPG100を実行するCPU110は、端末装置100が備える各デバイスの初期化を行なった後(S001)、起動装置として機能するデバイスを検索する(S002)。例えば、フロッピー(登録商標)ディスクドライブ(FDD: Floppy(登録商標) Disk Drive)、ハードディスクドライブ(HDD: Hard Disk Drive)、CD−ROMドライブ(Compact Disc - Read Only Memory Drive)などが起動装置として機能するデバイスの候補となる。
BIOSプログラムPG100を実行するCPU110は、所定の優先順位に従って、各デバイスの存在を検索し、存在を確認できたデバイスのうち優先順位の最も高いデバイスを起動装置として検出する(S002)。
次に、CPU110は、盗難対策プログラムPG300を主記憶部120にロードする(S003)。CPU110は、主記憶部120に展開した盗難対策プログラムPG300を実行する(S004)。
盗難対策プログラムを実行するCPU110は、盗難対策プログラムにより定義される処理手順に従い後述する盗難対策処理を実行し、上述の処理S002において検出した起動装置に格納されている起動プログラムPG200を主記憶部120にロードする(S005)。
図7は、起動プログラムPG200と領域定義情報(T100)との実装例としてのMBR(Master Boot Record)のデータ構造を示す。図7に示すMBRは、ブートストラップローダ(T1801)、パーティションリスト(T1802)、ブートシグニチャ(T1803)を有する。図7に示すパーティションリスト(T1802)は、パーティション番号が「1」となるパーティションテーブル1(T1802−1)、パーティション番号が「2」となるパーティションテーブル2(T1802−2)、パーティション番号が「3」となるパーティションテーブル3(T1802−3)、パーティション番号が「4」となるパーティションテーブル4(T1802−4)を有する。
図7に示すブートストラップローダ(T1801)は、起動プログラム(PG200)に対応する。図7に示すパーティションテーブル1乃至4(T1802−1,T1802−2,T1802−3,T1802−4)は、領域定義情報(T100)に対応する。
CPU110は、上述の処理S005においてロードする起動プログラムPG200として、図7に示すブートストラップローダ(T1801)を主記憶部120にロードする(S005)。
CPU110は、後述する盗難対策処理を実行した後、主記憶部120に展開した起動プログラムPG200を実行する(S006)。
起動プログラムPG200を実行するCPU110は、起動装置に格納されている領域定義情報(T100)の活性指定(T1001)を参照し、起動領域として設定されている領域を検索する(S007)。
CPU110は、上述の処理S007において参照する領域定義情報(T100)として、図7に示すパーティションテーブル1(T1802−1)、パーティションテーブル2(T1802−2)、パーティションテーブル3(T1802−3)、パーティションテーブル4(T1802−4)を参照する。
図8は、パーティションテーブルのデータ構造を示す。図8に示すパーティションテーブルは、ブートフラグ(T18021)と、開始位置(CHSアドレス)(T18022)と、パーティションタイプ(T18023)と、終了位置(CHSアドレス)(T18024)と、開始位置(LBAアドレス)(T18025)と、総セクター数(LBAアドレス)(T18026)とを有する。
図8に示すブートフラグ(T18021)は、図6に示す領域定義情報(T100)の活性指定(T1001)に対応する。
図8に示す開始位置(CHSアドレス)(T18022)と、終了位置(CHSアドレス)(T18024)と、開始位置(LBAアドレス)(T18025)と、総セクター数(LBAアドレス)(T18026)は、図6に示す領域定義情報(T100)のアドレス情報(T1003)に対応する。
図8に示すパーティションタイプ(T18023)は、図6に示す領域種別(T1002)に対応する。
CPU110は、図7に示す各パーティションテーブル(T1802−1,T1802−2,T1802−3,T1802−4)を順次参照し、パーティションが有するブートフラグ(図8のT18021;アクティブフラグとも呼称する)に示される値が活性を示す値(例えば、0x80)である場合、そのパーティションテーブルに示される領域がアクティブな基本領域(起動領域)であると判定する(S007)。
CPU110は、上述の処理S007で特定した起動領域に格納されているオペレーティングシステム(Operating System)固有の起動プログラムを主記憶部120にロードし(S008)、実行する(S009)。
オペレーティングシステム固有の起動プログラムを実行するCPU110は、オペレーティングシステム固有の起動処理を実行し(S010)、オペレーティングシステムを起動させる。以上が、図17に示す端末装置における起動時の処理の概要である。
〔7.起動時の処理の流れ〕
次に、上述の処理S004において端末装置100により実行される盗難対策プログラムの処理手順を、図18を用いて説明する。図18は、上述の処理S004で実行される盗難対策プログラムの起動時の処理の流れを示す。
まず、認証部PG301として機能するCPU110は、盗難対策プログラムによる処理を続行させても良い状況にあるか否かを判定する認証処理を実行する(S101)。すなわち、CPU110は、端末装置100を起動させても良い状況にあるか否かを判定する(S101)。
CPU110は、例えば、操作部160を用いて入力された利用者の入力パスワードと、予めBIOS部130等に格納しておいた認証パスワードとを比較し、両データが一致する場合に、端末装置100を起動させても良い状況にあると判定することができる(S102でYES)。なお、上述のパスワードは、英数字等を用いて表現される文字列であってもよいし、利用者の手のひらの静脈パターン等の特徴を示した生体情報であってもよい。
また、CPU110は、例えば、通信部140を用いて、通信網300を介して接続される管理装置200へ通信電文を送信し、所定期間内に管理装置200からの応答電文を受信した場合に、端末装置100を起動させても良い状況にあると判定することができる(S102でYES)。
CPU110は、上述の処理S101において、端末装置100を起動させても良い状況にあると判定した場合(S102でYES)、設定情報の送信要求を、通信部140を用いて、通信網300を介して接続される管理装置200へ送信する(S103)。ここで、設定情報の送信要求は、機器識別情報を有する。
CPU110は、設定情報の送信要求を管理装置200へ送信するに当たり、例えば、補助記憶部150に設定されている製造番号などの補助記憶部150の識別情報を機器識別情報として用いて、設定情報の送信要求を示す送信電文を生成する(S103)。
端末装置100は、例えば、ATAコマンドの“IDENTIFY DEVICE”を使用することにより、補助記憶部150のシリアルナンバーを取得することができる。
また、機器識別情報の他の例として、CPU110は、例えば、通信部140に設定されているMACアドレスや、端末装置100の製造番号などを識別情報として用いて、設定情報の送信要求を示す送信電文を生成することもできる(S103)。すなわち、不揮発性記憶媒体180を備えた端末装置100を分類することができる情報であれば、機器識別情報として用いることができる。例えば、端末装置100の所有者を識別する情報は、所有者を識別することにより端末装置100を分類することができるため、機器識別情報として用いることができる。
さらに、CPU110は、上述の処理S103において、補助記憶部150又は不揮発性記憶媒体180を識別する情報(媒体識別情報)を、設定情報の送信要求を示す送信電文に含ませてもよい。ここで、CPU110は、補助記憶部150に設定されている製造番号などの補助記憶部150の識別情報を補助記憶部150から取得し、補助記憶部150から取得した識別情報を媒体識別情報として用いることができる。この場合、CPU110は、機器識別情報として、端末装置100の製造番号や、通信部140に設定されているMACアドレスや、端末装置100の所有者を識別する情報などを用いることができる。
これにより、管理装置200において実行される機器特定処理(S202)において、機器識別情報のみを用いた機器特定処理よりも機器の特定精度を向上させることが期待できる。例えば、1つの端末装置が複数個の不揮発性記憶媒体180を有する場合、不揮発性記憶媒体ごとに盗難対策処理の設定を行なうことが可能となる。また、1つの端末装置が有する不揮発性記憶媒体を入れ替えて使用する場合であっても、不揮発性記憶媒体180ごとに盗難対策処理の設定を行なうことが可能となる。
管理装置200は、通信網300を介して接続される端末装置100から送信される設定情報の送信要求を受信し(S201)、受信した送信要求に基づいて機器特定処理を行なう(S202)。例えば、管理装置200のCPU210は、端末情報DB(T303)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定する(S202)。また、CPU210は、鍵管理DB(T302)や管理ポリシDB(T301)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定することもできる(S202)。
その結果、対応する情報が登録されている場合、CPU210は、特定に成功したと判定することができる(S203でYES)。一方、対応する情報が登録されていない場合、CPU210は、特定に失敗したと判定することができる(S203でNO)。
また、上述の処理S103において機器識別情報とともに媒体識別情報を送信要求に含めて送信された場合、CPU210は、上述の処理S201で受信した送信要求に含まれる機器識別情報と媒体識別情報との組合せに対応する情報が、上述の各種DBに登録されているか否かを判定することにより、特定に成功したか否かを判定することができる。これにより、機器識別情報又は媒体識別情報の一方が一致する場合であっても、上述の機器特定処理における特定に失敗させることができる。例えば、管理装置200に登録済みの不揮発性記憶媒体180を、管理装置200に登録されていない端末装置100に組み込んで利用しようとした場合に、上述の特定処理(S202)における特定に失敗させることができる。
CPU210は、特定に成功したと判定した場合(S203でYES)、端末情報DB(T303)を参照し、送信要求を送信した端末装置100に対して設定されている状態情報を特定する(S204)。一方、CPU210は、特定に失敗したと判定した場合(S203でNO)、特定に失敗した旨の情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する。
図15は、端末情報DB(T303)のデータ構造とその内容例を示す。図15に示す端末情報DB(T303)は、機器識別情報(T3031)と、状態情報(T3032)と、を有する。状態情報(T3032)は、端末装置100の状態を設定する項目として機能する。
図15に示す例では、機器識別情報(T3031)「0001」で識別される端末装置100に対する状態情報(T3032)として「通常」が設定されている。すなわち、機器識別情報「0001」で識別される端末装置100は、通常の機能が利用できる状態が設定されていることを示している。
一方、図15に示す例において、識別情報(T3031)「0002」で識別される端末装置100に対する状態情報(T3032)として「制限」が設定されている。すなわち、機器識別情報「0002」で識別される端末装置100は、通常の機能の利用を制限された状態が設定されていることを示している。
管理装置200のCPU210は、上述の処理S204で特定した状態情報に対応するポリシ情報を、管理ポリシDB(T301)から取得する(S205)。すなわち、CPU210は、受信した送信要求に示される機器識別情報に対応する領域情報(T3012)を特定し、特定した領域情報に対応付けられた定義情報(T3015)のうち、状態情報に対応する定義種別(T3016)が設定されている定義情報を特定する。例えば、状態情報(T3022)が「通常」である場合、定義種別(T3016)が「通常」の定義情報が特定される。
CPU210は、特定した領域情報(T3012)と定義情報(T3015)に基づいてポリシ情報を生成する(S205)。
図16は、ポリシ情報の内容例を示す。図16に示すポリシ情報は、領域識別情報(T3041)と、ドライブ表示(T3042)を有する。領域識別情報(T3041)は、管理ポリシDBに登録されている領域情報(T3012)が有する領域識別情報(T3013)に対応する。ドライブ表示(T3042)は、管理ポリシDBに登録されている定義情報(T3015)が有するドライブ表示(T3017)に対応する。
図16に示す例は、図13に示す管理ポリシDBの内容例において、機器識別情報(T3011)「0001」に対応する領域情報(T3012)と、定義種別(T3016)が「通常」の定義情報とに基づいて取得されるポリシ情報を示している。すなわち、図16に示すポリシ情報は、領域識別情報「1」とドライブ表示「許可」との組合せ、領域識別情報「2」とドライブ表示「許可」との組合せ、領域識別情報「3」とドライブ表示「許可」との組合せ、領域識別情報「4」とドライブ表示「−」との組合せ、を有する。なお、領域識別情報「4」に対するドライブ表示「−」は、領域識別情報「4」で識別される記憶領域が未設定であることを示す。領域情報が有する領域種別(T3014)を、ポリシ情報に含めても良い。
次に、管理装置200は、受信した送信要求に示される機器識別情報に対応する鍵データを、鍵管理DB(T302)から取得する(S206)。
図14は、鍵管理DB(T302)のデータ構造を示す。図14に示す鍵管理DBは、機器識別情報(T3021)と、領域識別情報(T3022)と、鍵データ(T3023)とを有する。
領域識別情報(T3022)は、機器識別情報(T3021)で識別される端末装置100が有する不揮発性記憶媒体180に構成されている記憶領域を識別する情報である。
鍵データ(T3023)は、領域識別情報(T3022)で識別される記憶領域に格納される情報の暗号化及び復号の処理に用いられる鍵データを示す。
なお、図14に示す例において、鍵管理DB(T302)の領域識別情報(T3022)を省略しても良い。例えば、不揮発性記憶媒体180上に設定された記憶領域について共有した鍵データを用いる場合には、鍵管理DB(T302)において領域識別情報(T3022)を省略することができる。
管理装置200のCPU210は、上述の処理S206において、上述のS205において取得したポリシ情報に示されるドライブ表示(T3042)に基づいて、鍵管理DB(T302)から鍵データを取得するか否かを制御してもよい。例えば、取得したポリシ情報において「許可」を示すドライブ表示(T3042)に対応する領域識別情報(T3041)で特定される記憶領域に対しては、鍵管理DB(T302)から鍵データを取得する。一方、取得したポリシ情報において「不許可」を示すドライブ表示(T3042)に対応する領域識別情報(T3041)で特定される記憶領域に対しては、鍵管理DB(T302)から鍵データを取得しない。これにより、オペレーティングシステム(OS)のファイルシステム上に表示させない記憶領域について、鍵データを端末装置100へ送信しないことになる。したがって、端末装置100において、オペレーティングシステム(OS)のファイルシステム上に表示させない記憶領域に格納されたデータを復元することが困難となり、情報の漏洩を効果的に抑止することができる。
管理装置200のCPU210は、上述の処理S205で取得したポリシ情報と、上述の処理S206で取得した鍵データと、を有する設定情報を生成し、設定情報の送信要求を送信した端末装置100へ、通信部240を用いて送信する(S207)。
図9は、設定情報のデータ構造を示す。図9に示す設定情報のデータ構造は、リスト数(T1501)と、領域識別情報(T1502)と、鍵データ(T1503)と、ドライブ表示(T1504)と、を有する。
図9に示すリスト数(T1501)は、設定情報に含まれる、領域識別情報(T1502)と、鍵データ(T1503)と、ドライブ表示(T1504)と、の組合せ要素の数を示す。
図9に示す領域識別情報(T1502)は、上述の処理S205で取得したポリシ情報(図16参照)に示される領域識別情報(T3041)に対応する。
図9に示す鍵データ(T1503)は、上述の処理S206で取得した鍵データに対応する。
図9に示すドライブ表示(T1504)は、上述の処理S205で取得したポリシ情報(図16参照)に示されるドライブ表示(T3042)に対応する。
なお、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち鍵データを省略してもよい。例えば、端末装置100において、不揮発性記憶媒体180に格納する情報に対する暗号化及び復号の処理を行なわない場合、あるいは、暗号化及び復号の処理に用いる鍵データを設定情報以外から取得する場合、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち鍵データを省略することができる。この場合、上述の処理S206における鍵データの取得処理を省略しても良い。
また、CPU210は、上述の処理S201において受信した送信要求に鍵データが含まれていた場合、受信した送信要求に含まれている鍵データを用いて、上述の処理S207において送信する設定情報を暗号化したものを、端末装置100へ送信しても良い。この場合、上述の処理S103において送信する送信要求に含ませる鍵データは、公開鍵暗号方式における公開鍵を用いることが望ましい。
端末装置100は、通信網300を介して接続される管理装置200から送信される設定情報を受信し(S106)、各種設定処理を行なう(S107、S108)。例えば、設定情報に鍵データが含まれている場合、端末装置100のCPU110は、受信した設定情報に含まれる鍵データを、補助記憶部150に設定する(S107)。例えば、補助記憶部150内に不揮発性記憶媒体180とは別に備えられた記憶部に、鍵データを格納させる。
また、端末装置100のCPU110は、受信した設定情報に含まれるポリシ情報に基づいて、不揮発性記憶媒体180が有する領域定義情報(T100)を設定する(S108)。
すなわち、CPU110は、補助記憶部150を用いて、不揮発性記憶媒体180から領域定義情報(T100)を読込み、読み込んだ領域定義情報(T100)を主記憶部120に格納する。
CPU110は、受信した設定情報に含まれるポリシ情報に基づいて、主記憶部120に格納した領域定義情報(T100)の領域種別(T1002)を更新する。
CPU110は、更新した領域定義情報(T100)を、補助記憶部150を用いて、不揮発性記憶媒体180に書込む。
これにより、CPU110は、不揮発性記憶媒体180に格納されていた領域定義情報(T100)を、受信した設定情報に含まれるポリシ情報に基づいて更新する。
CPU110は、受信したポリシ情報のドライブ表示(T3042)のデータ項目が「不許可」を示す場合、対応する領域識別情報(T3041)により識別される領域定義情報(T100)の領域種別(T1002)を、オペレーティングシステム(OS)のファイルシステム上に表示させない領域を示す種別に設定する。
図7に示す実装例を用いて説明する。図7の例において、受信した領域識別情報(T3042)は、MBRに格納されたパーティションテーブル(T1802)の位置を示す。すなわち、受信した領域識別情報(T3041)が「1」を示す場合、パーティションテーブル1(T1802−1)が識別される。受信した領域識別情報(T3041)が「2」を示す場合、パーティションテーブル2(T1802−2)が識別される。
図8に示す実装例を用いて説明する。図8の例において、CPU110は、パーティションタイプ(T18023)の値を、受信したポリシ情報に基づいて更新する。受信したポリシ情報のドライブ表示の項目が「不許可」であった場合、CPU110は、パーティションタイプ(T18023)の値を、オペレーティングシステムのファイルシステム上に表示させない領域を示す種別に設定する。例えば、オペレーティングシステムが使用できない領域として判断するように、オペレーティングシステムがサポートする値以外の適当な値に設定することができる。また、空の領域であることを示す「00」を設定してもよい。
次に、CPU110は、起動プログラムPG200を実行する(S109)。すなわち、CPU110は、領域定義情報の活性指定(T1001)を参照し、活性指定に「活性状態」が設定されているか否かを判定する。
CPU110は、「活性状態」が設定されている領域定義情報のアドレス情報(T1003)に示される記憶領域を参照することにより、起動プログラムPG200の格納場所を特定する。図8に示す実装例を用いて説明すると、CPU110は、パーティションテーブルのブートフラグ(T18021)を参照し、「活性状態」が設定されているパーティションを特定する。CPU110は、特定したパーティションテーブルの開始位置(T18022)又は開始位置(T18025)で示される記憶領域を参照することにより、起動プログラムPG200の格納場所を特定する。
CPU110は、特定された起動プログラムPG200を、補助記憶部150を用いて読み込み、読み込んだ起動プログラムを主記憶部120に格納する。
CPU110は、主記憶部120に格納された起動プログラムPG200の処理を開始し、盗難対策PG300による盗難対策処理を終了させる。
一方、上述の処理S101において、端末装置100を起動させても良い状況ではないと判定した場合(S102でNO)、CPU110は、端末装置100の電源を切断するなどして、端末装置100の起動処理を終了させる(S105)。CPU110は、例えば、操作部160を用いて入力された利用者の入力パスワードと、予めBIOS部130等に格納しておいた認証パスワードとを比較し、両データが一致しない場合に、端末装置100を起動させても良い状況ではないと判定することができる(S102でNO)。
また、CPU110は、例えば、通信部140を用いて、通信網300を介して接続される管理装置200へ通信電文を送信し、所定期間内に管理装置200からの応答電文を受信できなかった場合に、端末装置100を起動させても良い状況ではないと判定することができる(S102でNO)。
また、管理装置200における上述の処理S203において機器の特定に失敗したと判定された場合(S203でNO)、特定に失敗した旨の情報が、送信要求を送信した端末装置100へ送信される。
特定に失敗した旨の情報を受信した端末装置100のCPU110は、端末装置100の電源を切断するなどして、端末装置100の起動処理を終了させる(S105)。以上が、端末装置100の起動時のシステムの処理の流れである。
なお、上述の説明では、処理S103において端末装置100から管理装置200へ設定情報の送信要求を送信したことに応じて、処理S104において管理装置200から設定情報を受信する、という実施例を示したが、本発明はこれに限定されるものではない。
例えば、端末装置100の起動を指示する起動命令を、管理装置200から受信したことに応じて、端末装置100は図17に示す起動処理を開始しても良い。この場合、管理装置200から受信する起動命令に設定情報を含ませることにより、図18に示す処理S103乃至処理S104を省略させることができる。
〔8.終了時の処理の流れ〕
次に、端末装置100の終了時の処理を、図19を用いて説明する。図19は、端末装置100の終了時におけるシステムの処理の流れを示す。なお、図19に示す処理手順は、図3に示す盗難対策プログラムPG300が有する認証部PG301、領域定義情報更新部PG304、鍵消去部PG306、領域情報取得部PG307として機能する端末装置100のCPU110と、図11に示す送信要求受信部PG401、機器特定部PG402、領域情報取得部PG406、領域情報送信部PG407として機能する管理装置300のCPU210により実行される。
例えば、端末装置100のCPU110は、端末装置100の動作状態の変更指示を受けた場合、図19に示す処理手順を開始する。ここで、動作状態の変更指示とは、端末装置100への電源の供給を遮断し動作を停止させる停止状態や、端末装置100への電源の供給を一部継続させながら大部分の動作を休止させる休止状態などへの動作状態の変更が含まれる。
CPU110は、まず、認証部PG301として機能するCPU110は、盗難対策プログラムによる処理を続行させても良い状況にあるか否かを判定する認証処理を実行する(S301)。すなわち、CPU110は、管理装置200との通信が可能であるか否かを判定する(S301)。例えば、CPU110は、通信部140を用いて、通信網300を介して接続される管理装置200へ通信電文を送信し、所定期間内に管理装置200からの応答電文を受信した場合に、管理装置200との通信が可能であると判定する(S301でYES)。
CPU110は、管理装置200との通信が可能であると判定した場合(S301でYES)、領域情報の送信要求を、管理装置200へ送信する(S302)。なお、上述のS301において、領域情報の送信要求を管理装置200への送信処理を実行した結果、送信要求の送信処理に失敗した場合に、管理装置200との通信が可能でないと判定してもよい(S301でNO)。すなわち、この場合には、上述の処理S301の判定処理を行なう前に、上述の処理S302を実行することになる。
ここで、領域情報の送信要求は、機器識別情報を有する。CPU110は、設定情報の送信要求を管理装置200へ送信するに当たり、例えば、補助記憶部150に設定されている製造番号などの補助記憶部150の識別情報を機器識別情報として用いて、設定情報の送信要求を示す送信電文を生成する(S302)。また、機器識別情報の他の例として、CPU110は、例えば、通信部140に設定されているMACアドレスや、端末装置100の製造番号などを識別情報として用いて、設定情報の送信要求を示す送信電文を生成することもできる(S302)。すなわち、不揮発性記憶媒体180を備えた端末装置100を分類することができる情報であれば、機器識別情報として用いることができる。例えば、端末装置100の所有者を識別する情報は、所有者を識別することにより端末装置100を分類することができるため、機器識別情報として用いることができる。
さらに、CPU110は、上述の処理S103において、不揮発性記憶媒体180を識別する情報(媒体識別情報)を、設定情報の送信要求を示す送信電文に含ませてもよい。ここで、CPU110は、補助記憶部150に設定されている製造番号などの補助記憶部150の識別情報を補助記憶部150から取得し、補助記憶部150から取得した識別情報を、媒体識別情報として用いることができる。この場合、CPU110は、機器識別情報として、通信部140に設定されているMACアドレスや、端末装置100の所有者を識別する情報などを用いることができる。
管理装置200は、通信網300を介して接続される端末装置100から送信される領域情報の送信要求を受信し(S401)、受信した送信要求に基づいて機器特定処理を行なう(S402)。例えば、管理装置200のCPU210は、端末情報DB(T303)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定する(S402)。また、CPU210は、鍵管理DB(T302)や管理ポリシDB(T301)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定することもできる(S402)。
その結果、対応する情報が登録されている場合、CPU210は、特定に成功したと判定することができる(S403でYES)。一方、対応する情報が登録されていない場合、CPU210は、特定に失敗したと判定することができる(S403でNO)。
また、上述の処理S302において機器識別情報とともに媒体識別情報を送信要求に含めて送信された場合、CPU210は、上述の処理S401で受信した送信要求に含まれる機器識別情報と媒体識別情報との組合せに対応する情報が、上述の各種DBに登録されているか否かを判定することにより、特定に成功したか否かを判定することができる。例えば、受信した機器識別情報との一致判定を行なった後に、一致する情報について受信した媒体識別情報との一致判定を行なうことにより、一つの端末装置100が複数の不揮発性記憶媒体180を備える場合でも、不揮発性記憶媒体180ごとの領域情報を効率的に特定することができる。
CPU210は、特定に成功したと判定した場合(S403でYES)、管理ポリシDB(T301)を参照し、送信要求を送信した端末装置100に対して設定されている領域情報(T3012)を取得する(S404)。図13に示す領域情報(T3012)は、領域識別情報(T3013)と、領域種別(T3014)を有する。
CPU210は、領域情報の送信要求を送信した端末装置100へ、通信部240を用いて送信する(S406)。
端末装置100は、通信網300を介して接続される管理装置200から送信される領域情報を受信し(S306)、各種設定処理を行なう(S307、S308)。例えば、CPU110は、補助記憶部150に設定されている鍵データを、補助記憶部150から消去させる(S307)。
また、CPU110は、受信した領域情報に基づいて、不揮発性記憶媒体180が有する領域定義情報(T100)を設定する。
すなわち、CPU110は、補助記憶部150を用いて、不揮発性記憶媒体180から領域定義情報(T100)を読込み、読み込んだ領域定義情報(T100)を主記憶部120に格納する。
CPU110は、受信した領域情報が示す領域識別情報に基づいて特定される領域定義情報が有する領域種別を、受信した領域情報が示す領域種別を用いて更新する。
CPU110は、更新した領域定義情報(T100)を、補助記憶部150を用いて、不揮発性記憶媒体180に書込む。
これにより、CPU110は、端末装置100の起動時における処理S108において更新した領域定義情報の領域種別を、管理装置200が有する管理ポリシDB(T301)に登録されている領域情報(T3012)を用いて更新することができる。すなわち、管理装置200が有する管理ポリシDBに、上述の処理S108において更新する前の領域種別を登録した場合、上述の処理S308により、上述の処理S108において更新する前の領域種別を復元させることができる。
CPU110は、上述の更新処理(S308)が終了した後、端末装置100の動作状態を停止状態や休止状態などに変更し(S309)、図19に示す処理手順を終了させる。
また、管理装置200における上述の処理S402において機器の特定に失敗したと判定された場合(S403でNO)、特定に失敗した旨の情報が、送信要求を送信した端末装置100へ送信される。
特定に失敗した旨の情報を受信した端末装置100のCPU110は、補助記憶部150に設定されている鍵データを、補助記憶部150から消去させる(S304)。
CPU110は、端末装置100の動作状態を停止状態や休止状態などに変更し(S309)、図19に示す処理手順を終了させる。
また、上述の処理S301において管理装置と通信可能でないと判定された場合(S301でNO)も同様に、CPU110は、上述の処理304及び処理S305を実行し、図19に示す処理手順を終了させる。以上が、端末装置100の終了時のシステムの処理の流れである。
〔1.実施例2に係る端末装置により実行されるプログラムの構成〕
図23は、実施例2に係る端末装置により実行されるプログラムの構成及び格納場所を示す。図23に示すプログラムの構成は、実施例1に係るプログラムの構成(図3参照)と同様の構成に対して、同一の参照符号を付している。
図23に示すプログラムの構成は、例えば、データ消去部(PG308)が追加されている点で、図3に示す構成と相違する。そこで、説明の簡略化のため、同じ内容となる構成については部分的に説明を省略する。
図23に示すデータ消去部PG308は、管理装置200から取得した設定情報に基づいて、端末装置100が有する不揮発性記憶媒体180の記憶領域を消去する構成要素として、CPU110を機能させる。
図23に示すプログラムPG300のうち、データ消去部PG308は、不揮発性記憶媒体180に格納されている。図23に示す格納例では、オペレーティングシステムを構成するプログラムを実行するCPU110は、オペレーティングシステムの起動処理の実行中又は起動処理の完了後に、データ消去部PG308を実行する。
例えば、オペレーティングシステムとしてLinuxを使用する場合、/etc/rc.d等に起動スクリプトを登録することにより、データ消去部PG308を、オペレーティングシステムの起動処理と連携して実行させることができる。
なお、実施例1と同様に、本実施例に係る盗難対策プログラムPG300は、端末装置100内の様々な記憶領域に格納することができる。
〔2.実施例2に係る管理ポリシDBの内容例について〕
図24は、実施例2に係る管理ポリシDBの内容例を示す。図24に示す管理ポリシDBは、実施例1に係る管理ポリシDBの内容例と同様の内容に対して、同一の参照符号を付している。図24に示す管理ポリシDBは、例えば、定義情報(T3015)にデータ消去(T3018)が追加されている点で、図13に示す管理ポリシDBの内容例と相違する。そこで、説明の簡略化のため、同じ内容については部分的に説明を省略する。
図24に示す管理ポリシDB(T301)は、定義情報(T3015)にデータ消去(T3018)の項目を有する。
図24に示すデータ消去(T3018)は、端末装置100が有する不揮発性記憶媒体180に設定された記憶領域に格納されているデータを消去するか否かを制御する情報を示す。図24に示す例では、データ消去(T3018)として、データを消去することを示す「する」と、データを消去しないことを示す「しない」と、のいずれかが設定されている例を示している。なお、データ消去(T3018)は、「する」と「しない」との2種類に限定されるものではなく、3種類以上の消去方法を定義しても良い。例えば、データを消去しないことを示す「しない」と、消去対象の領域に格納されている全データを所定のデータ値で上書きをすることを示す「消去1」と、消去対象の領域に格納されているデータを部分的に所定のデータ値で上書きすることを示す「消去2」と、などの3種類以上の消去方法を定義しても良い。
図24は、機器識別情報(T3011)として「0001」、領域識別情報(T3013)として「1」、領域種別(T3014)として「07」、定義種別(T3016)として「通常」、ドライブ表示(T3017)として「許可」、データ消去(T3018)として「しない」が設定されている情報(24−1)が、管理ポリシDB(T301)に登録されている例を示している。この例では、機器識別情報「0001」で識別される端末装置100が有する不揮発性記憶媒体180に設定された記憶領域のうち、領域識別情報「1」で識別される記憶領域の領域種別が「07」であり、通常時の盗難対策プログラムの処理内容として、領域識別情報「1」で識別される記憶領域のドライブ表示が「許可」されること、領域識別情報「1」で識別される記憶領域に格納されているデータの消去処理を実行しないことを示している。
また、図24は、機器識別情報(T3011)として「0001」、領域識別情報(T3013)として「3」、領域種別(T3014)として「07」、定義種別(T3016)として「制限」、ドライブ表示(T3017)として「不許可」、データ消去(T3018)として「する」が設定されている情報(24−2)が、管理ポリシDB(T301)に登録されている例を示している。この例では、機器識別情報「0001」で識別される端末装置100が有する不揮発性記憶媒体180に設定された記憶領域のうち、領域識別情報「3」で識別される記憶領域の領域種別が「07」であり、通常時の盗難対策プログラムの処理内容として、領域識別情報「4」で識別される記憶領域のドライブ表示が「不許可」であること、領域識別情報「4」で識別される記憶領域に格納されているデータの消去処理を実行することを示している。
〔3.実施例2に係る起動時の処理の流れ〕
図26及び図27は、実施例2に係る端末装置の起動時のシステムの処理の流れを示す。図26及び図27に示す処理手順は、実施例1に係る端末装置の起動時のシステムの処理の流れ(図18参照)と同様の内容に対して、同一の参照符号を付している。
図26及び図27に示す処理手順は、例えば、処理S110乃至処理S114が追加されている点で、図18に示す処理の流れと相違する。そこで、説明の簡略化のため、同じ内容については部分的に説明を省略する。
まず、管理装置200は、通信網300を介して接続される端末装置100から送信される設定情報の送信要求を受信し(S201)、受信した送信要求に基づいて機器特定処理を行なう(S202)。例えば、管理装置200のCPU210は、端末情報DB(T303)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定する(S202)。また、CPU210は、鍵管理DB(T302)や管理ポリシDB(T301)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定することもできる(S202)。
その結果、対応する情報が登録されている場合、CPU210は、特定に成功したと判定することができる(S203でYES)。一方、対応する情報が登録されていない場合、CPU210は、特定に失敗したと判定することができる(S203でNO)。
また、上述の処理S103において機器識別情報とともに媒体識別情報を送信要求に含めて送信された場合、CPU210は、上述の処理S201で受信した送信要求に含まれる機器識別情報と媒体識別情報との組合せに対応する情報が、上述の各種DBに登録されているか否かを判定することにより、特定に成功したか否かを判定することができる。これにより、機器識別情報又は媒体識別情報の一方が一致する場合であっても、上述の機器特定処理における特定に失敗させることができる。例えば、管理装置200に登録済みの不揮発性記憶媒体180を、管理装置200に登録されていない端末装置100に組み込んで利用しようとした場合に、上述の特定処理(S202)における特定に失敗させることができる。
CPU210は、特定に成功したと判定した場合(S203でYES)、端末情報DB(T303)を参照し、送信要求を送信した端末装置100に対して設定されている状態情報を特定する(S204)。一方、CPU210は、特定に失敗したと判定した場合(S203でNO)、特定に失敗した旨の情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する。
管理装置200のCPU210は、上述の処理S204で特定した状態情報に対応するポリシ情報を、管理ポリシDB(T301)から取得する(S205)。すなわち、CPU210は、受信した送信要求に示される機器識別情報に対応する領域情報(T3012)を特定し、特定した領域情報に対応付けられた定義情報(T3015)のうち、状態情報に対応する定義種別(T3016)が設定されている定義情報を特定する。例えば、状態情報(T3022)が「制限」である場合、定義種別(T3016)が「制限」の定義情報が特定される。
CPU210は、特定した領域情報(T3012)と定義情報(T3015)に基づいてポリシ情報を生成する(S205)。図25は、ポリシ情報の内容例を示す。図25に示すポリシ情報は、領域識別情報(T3041)と、ドライブ表示(T3042)と、データ消去(T2043)を有する。領域識別情報(T3041)は、管理ポリシDBに登録されている領域情報(T3012)が有する領域識別情報(T3013)に対応する。ドライブ表示(T3042)は、管理ポリシDBに登録されている定義情報(T3015)が有するドライブ表示(T3017)に対応する。データ消去(T3043)は、管理ポリシDBに登録されている定義情報(T3015)が有するデータ消去(T3018)に対応する。
図25に示す例は、図24に示す管理ポリシDBの内容例において、機器識別情報(T3011)「0001」に対応する領域情報(T3012)と、定義種別(T3016)が「制限」の定義情報とに基づいて取得されるポリシ情報を示している。すなわち、図25に示すポリシ情報は、領域識別情報「1」とドライブ表示「許可」とデータ消去「しない」との組合せ、領域識別情報「2」とドライブ表示「不許可」とデータ消去「しない」との組合せ、領域識別情報「3」とドライブ表示「不許可」とデータ消去「する」との組合せ、領域識別情報「4」とドライブ表示「−」とデータ消去「−」との組合せ、を有する。なお、領域識別情報「4」に対するドライブ表示「−」及びデータ消去「−」は、領域識別情報「4」で識別される記憶領域が未設定であることを示す。領域情報が有する領域種別(T3014)を、ポリシ情報に含めても良い。
次に、管理装置200は、受信した送信要求に示される機器識別情報に対応する鍵データを、鍵管理DB(T302)から取得し(S206)、取得した鍵データと、上述の処理S205で取得したポリシ情報と、を有する設定情報を生成し、設定情報の送信要求を送信した端末装置100へ、通信部240を用いて送信する(S207)。
なお、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち鍵データを省略してもよい。例えば、端末装置100において、不揮発性記憶媒体180に格納する情報に対する暗号化及び復号の処理を行なわない場合、あるいは、暗号化及び復号の処理に用いる鍵データを設定情報以外から取得する場合、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち鍵データを省略することができる。この場合、上述の処理S206における鍵データの取得処理を省略しても良い。
端末装置100は、通信網300を介して接続される管理装置200から送信される設定情報を受信し(S106)、各種設定処理を行なう(S107、S108)。例えば、設定情報に鍵データが含まれている場合、端末装置100のCPU110は、受信した設定情報に含まれる鍵データを、補助記憶部150に設定する(S107)。例えば、補助記憶部150内に不揮発性記憶媒体180とは別に備えられた記憶部に、鍵データを格納させる。
また、端末装置100のCPU110は、受信した設定情報に含まれるポリシ情報に基づいて、不揮発性記憶媒体180が有する領域定義情報(T100)を設定する(S108)。
次に、CPU110は、受信した設定情報に示されるポリシ情報のデータ消去(T3043)を参照し、記憶領域に格納されたデータの消去処理の実行が指定されているか否かを判定する(S110)。例えば、受信した設定情報に示されるポリシ情報のデータ消去(T3043)に「する」が設定されている場合、CPU110は、データ消去の指定があると判定する(S110でYES)。
一方、受信した設定情報に示されるポリシ情報のデータ消去(T3043)に「しない」が設定されている場合、CPU110は、データ消去の指定がないと判定する(S110でNO)。
CPU110は、処理S110において、データ消去の指定があると判定した場合、データ消去(T3043)の定義情報に対応する領域識別情報(T3041)により識別される領域定義情報(T100)を取得する(S111)。
図7に示す領域定義情報の実装例を用いて説明する。図7の例において、受信した領域識別情報(T3041)は、MBRに格納されたパーティションテーブル(T1802)の位置を示す。すなわち、受信した領域識別情報(T3041)が「3」を示す場合、パーティションテーブル3(T1802−3)が識別される。
CPU110は、取得した領域定義情報(T100)のアドレス情報(T1003)により特定される記憶領域に対する消去要求を、データ消去部PG308を実行するCPU110から参照可能な記憶領域に登録する(S112)。
消去要求は、例えば、消去対象を特定する情報として、記憶領域の開始位置を示す情報と、記憶領域の大きさを示す情報と、を有する。図8に示す実装例を用いて説明する。図8に示す例では、記憶領域の開始位置を示す情報として開始位置(T18025)を用いることができる。
さらに、図8に示す例では、記憶領域の大きさを示す情報として総セクター数(T18026)を用いることができる。すなわち、図8に示す実装例では、CPU110は、開始位置(T18025)と、総セクター数(T18026)と、を有する消去要求を、データ消去部PG308を実行するCPU110から参照可能な記憶領域(共有領域A)に登録する。
データ消去部PG308を実行するCPU110から参照可能な記憶領域(共有領域A)は、例えば、主記憶部120の特定の記憶領域に設けても良いし、BIOS部130や不揮発性記憶媒体180の特定の記憶領域に設けても良い。
CPU110は、起動プログラムPG200を実行する(S109)。すなわち、CPU110は、起動プログラムPG200を、補助記憶部150を用いて読み込み、読み込んだ起動プログラムを主記憶部120に格納する。
CPU110は、主記憶部120に格納された起動プログラムPG200の処理を開始し、盗難対策PG300による盗難対策処理を終了させる。
起動プログラムPG200を実行するCPU110は、不揮発性記憶媒体180に格納されたオペレーティングシステムを構成するプログラムを、補助記憶部150を用いて読み込み、読み込んだプログラムを主記憶部120に格納する。
CPU110は、主記憶部120に格納されたオペレーティングシステムを構成するプログラムを実行し、オペレーティングシステムを起動させる。
オペレーティングシステムを構成するプログラムを実行するCPU110は、不揮発性記憶部180に格納されたデータ消去部PG308を、補助記憶部150を用いて読込み、読み込んだ補助記憶部PG307を主記憶部120に格納する。CPU110は、主記憶部120に格納された補助記憶部PG307を実行する。
補助記憶部PG307を実行するCPU110は、上述の参照可能な記憶領域(共有領域A)を参照し、消去要求が登録されているか否かを判定する(S113)。
CPU110は、共有領域Aに消去要求が登録されている場合(S113でYES)、消去要求の対象となる記憶領域を特定する情報を、共有領域Aから取得し、対象となる記憶領域に格納されたデータを消去する(S114)。例えば、ATAコマンドの“CFA ERASE SECTORS”を使用することにより、データの消去を行なうことができる。この場合、消去対象の記憶領域の開始位置を示すLBA(Logical Block Addressing)値と、消去対象の記憶領域の大きさを示す総セクター数と、を指定することにより、消去対象の記憶領域を指定することができる(図28参照)。
ここで、消去対象とされる記憶領域は、上述の処理S108において、領域定義情報の領域種別(T1002)の設定を、オペレーティングシステム(OS)のファイルシステム上に表示させない領域を示す種別に変更することにより、上述の処理S114の消去処理が実行される時点ではオペレーティングシステムのファイルシステム上に表示されない。
したがって、上述の処理S114の消去処理を、端末装置100の操作者に気付きにくくさせることができる。以上が、実施例2に係る端末装置100の起動時のシステムの処理の流れである。
〔1.実施例3に係る端末装置により実行されるプログラムの構成〕
図29は、実施例3に係る端末装置により実行されるプログラムの構成及び格納場所の例を示す。図29に示すプログラムの構成は、実施例1に係る端末装置により実行されるプログラムの構成(図3参照)と同様の構成に対して、同一の参照符号を付している。
図29に示すプログラムの構成は、例えば、更新検知部PG309と、領域定義取得部PG310と、更新要求送信部PG311が追加されている点で、図3に示す構成と相違する。そこで、説明の簡略化のため、同じ内容となる構成については部分的に説明を省略する。
図29に示す更新検知部PG309は、不揮発性記憶媒体180の領域定義情報(T100)が更新されたことを検知する構成要素として、端末装置100のCPU110を機能させる。
図29に示す領域定義取得部PG310は、領域定義情報(T100)が更新されたことを検知した際に、更新された領域定義情報(T100)を取得する構成要素として、端末装置100のCPU110を機能させる。
図29に示す更新要求送信部PG311は、管理装置200が有する管理ポリシDB(T301)の領域情報(T3012)を更新する要求を、通信部140を用いて管理装置200へ送信する構成要素として、端末装置100のCPU110を機能させる。
図29に示す盗難対策プログラムPG300のうち、更新検知部PG309、領域定義取得部PG310、更新要求送信部PG311は、不揮発性記憶媒体180に格納されている。
図29に示す格納例では、オペレーティングシステムを構成するプログラムを実行するCPU110は、オペレーティングシステムの起動完了後に、更新検知部PG309を実行する。
図29に示す格納例では、さらに、更新検知部PGとして機能するCPU110は、領域定義情報(T100)の更新を検知した際に、領域定義取得部PG310、更新要求送信部PG311を実行する。
なお、実施例1と同様に、本実施例に係る盗難対策プログラムPG300は、端末装置100内の様々な記憶領域に格納することができる。
〔2.実施例3に係る管理装置により実行されるプログラムの構成〕
図30は、実施例3に係る管理装置により実行されるプログラムの構成を示す。図30に示すプログラムの構成は、実施例1に係る管理装置により実行されるプログラムの構成(図11参照)と同様の構成に対して、同一の参照符号を付している。
図30に示すプログラムの構成は、例えば、更新要求受信部PG408、領域情報更新部PG409が追加されている点で、図11に示す構成と相違する。そこで、説明の簡略化のため、同様の構成については部分的に説明を省略する。
図30に示す更新要求受信部PG408は、端末装置から送信される更新要求を、通信部240を用いて受信する構成要素として、管理装置200のCPU210を機能させる。
図30に示す領域情報更新部PG409は、受信した更新要求に基づいて、管理ポリシDB(T301)の領域情報(T3012)を更新する構成要素として、管理装置200のCPU210を機能させる。以上が、実施例3に係る管理装置により実行されるプログラムの構成である。
〔3.領域情報の更新処理の流れ〕
図31は、実施例3に係る端末装置の更新時におけるシステムの処理の流れを示す。まず、更新検知部PG309として機能するCPU110は、不揮発性記憶部180の領域定義情報(T100)を補助記憶部150に更新させる指示命令が、端末装置100において実行される他のプログラムから出力されるのを監視する(S501)。
領域定義情報の更新を検知した場合、すなわち、不揮発性記憶部180の領域定義情報(T100)を補助記憶部150に更新させる指示命令が出力されるのを検知した場合、CPU110は、更新後の領域定義情報(T100)を、補助記憶部150を用いて不揮発性記憶媒体180から取得する(S502)。
CPU110は、取得した領域定義情報(T100)に基づいて管理装置200が有する管理ポリシDB(T301)の領域情報(T3012)の更新を要求する更新要求を、通信部140を用いて管理装置200へ送信する(S503)。
図32は、更新要求のデータ構造を示す。図32に示す更新要求は、機器識別情報(T2001)と、リスト数(T2002)と、領域識別情報(T2003)と、領域種別(T2004)と、を有する。
機器識別情報(T2001)は、例えば、補助記憶部150に設定されている製造番号(シリアルナンバー)などの補助記憶部150の識別情報や、通信部140に設定されているMACアドレスや、端末装置100の製造番号などを示す情報を用いることができる。すなわち、不揮発性記憶媒体180を備えた端末装置100を分類することができる情報であれば、機器識別情報として用いることができる。例えば、端末装置100の所有者を識別する情報は、所有者を識別することにより端末装置100を分類することができるため、機器識別情報として用いることができる。
リスト数(T2002)は、更新要求に含まれる、領域識別情報(T2003)と領域種別(T2004)との組合せ要素の数を示す。
領域識別情報(T2002)は、端末装置100が有する不揮発性記憶媒体180に設定されている記憶領域を識別する情報を示す。例えば、端末装置の不揮発性記憶媒体180の記憶領域を定義するMBR(Master Boot Record)のパーティションテーブルリストの要素番号を示すパーティション番号を用いることができる。すなわち、図7に示す例では、パーティションテーブル1(T1802−1)の領域識別情報は「1」となり、パーティションテーブル2(T1802−2)の領域識別情報は「2」となり、パーティションテーブル3(T1802−3)の識別情報は「3」となり、パーティションテーブル4(T1802−4)の識別情報は「4」となる。
領域種別(T2004)は、端末装置100が有する不揮発性記憶媒体180の記憶領域に設定されている種別を示す。例えば、図8に示す例において、端末装置の不揮発性記憶媒体180の記憶領域を定義するMBR(Master Boot Record)のパーティションテーブルに設定されているパーティションタイプ(T18023)を、領域種別として用いる。
管理装置200は、端末装置100から送信される更新要求を受信し(S600)、受信した更新要求に基づいて機器特定処理を行なう(S601)。例えば、管理装置200のCPU210は、端末情報DB(T303)を参照し、受信した更新要求に示される機器識別情報に対応する情報が登録されているか否かを判定する(S601)。また、CPU210は、鍵管理DB(T302)や管理ポリシDB(T301)を参照し、受信した更新要求に示される機器識別情報に対応する情報が登録されているか否かを判定することもできる(S601)。
その結果、対応する情報が登録されている場合、CPU210は、特定に成功したと判定することができる(S602でYES)。一方、対応する情報が登録されていない場合、CPU210は、特定に失敗したと判定することができる(S602でNO)。
CPU210は、特定に成功したと判定した場合(S602でYES)、受信した更新要求に基づいて管理ポリシDB(T301)の領域情報(T3012)を更新し(S603)、更新処理の結果を、送信要求を送信した端末装置100へ、通信部240を用いて送信する(S604)。
上述の処理S603において、CPU210は、受信した更新要求に示される領域種別(T2003)に対応する領域情報(T3012)を管理ポリシDB(T301)から取得する。
上述の処理S603において、CPU210は、取得した領域情報(T3012)の領域種別(T3014)を、受信した更新要求に示される領域種別(T2004)の値で更新する。
上述の処理S603において、CPU210は、更新した領域情報(T3012)を、管理ポリシDB(T301)に再登録することにより、受信した更新要求に基づいて管理ポリシDB(T301)の領域情報(T3012)を更新する。
一方、CPU210は、特定に失敗したと判定した場合(S602でNO)、特定に失敗した旨の情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する。
端末装置100は、管理装置200から送信される更新結果を受信し(S504)、更新処理に失敗したか否かを判定し(S505)、受信した更新結果が更新処理に失敗したことを示す場合(S505でYES)、所定の異常処理を実行する(S506)。以上が、実施例3における更新処理の流れである。
〔1.実施例4に係る端末装置により実行されるプログラムの構成〕
本実施例は、管理ポリシDB(T301)を端末装置100に配置した場合の実施例である。図33は、実施例4に係る端末装置により実行されるプログラムの構成、及び格納場所の例を示す。
図33に示すプログラムの構成は、実施例1に係る端末装置により実行されるプログラムの構成(図3参照)と同様の構成に対して、同一の参照符号を付している。
図33に示すプログラムの構成は、ポリシ情報取得部PG312と、管理ポリシDB(T301)を有する点で、図3に示す構成と相違する。そこで、説明の簡略化のため、同じ内容となる構成については部分的に説明を省略する。
図33に示すポリシ情報取得部PG312は、管理装置200から取得した設定情報に基づいて、本実施例に係る管理ポリシDB(T301)からポリシ情報を取得する構成要素として、CPU110を機能させる。
図34は、本実施例に係る管理ポリシDB(T301)のデータ構造及び内容例を示す。図34に示す管理ポリシDB(T301)は、領域情報(T3012)と、定義情報(T3015)を有する。図34に示す領域情報(T3012)は、領域識別情報(T3013)と、領域種別(T3014)を有する。図34に示す定義情報(T3015)は、定義種別(T3016)と、ドライブ表示(T3017)を有する。各情報の内容は、実施例1と同様であるため、説明を省略する。
〔2.実施例4に係る管理装置により実行されるプログラムの構成〕
図35は、実施例4に係る管理装置200により実行されるプログラムの構成を示す。図35に示すプログラムの構成は、実施例1に係る管理装置により実行されるプログラムの構成(図11参照)と同様の構成に対して、同一の参照符号を付している。
図35に示すプログラムの構成は、例えば、ポリシ取得部PG403を有さない点で、図11に示す構成と相違する。また、実施例4に係る管理装置200により実行される設定情報送信部PG405が送信する設定情報のデータ構造は、例えば、状態情報を有する点で、実施例1と相違する。そこで、説明の簡略化のため、同じ内容となる構成については部分的に説明を省略する。
図35に示す設定情報送信部PG405は、端末情報DB(T303)から取得した状態情報(T3032)などを用いて生成された設定情報を、送信要求を送信した端末装置100へ、通信部240を用いて送信する構成要素として、CPU210を機能させる。
図36は、実施例4に係る管理装置200が送信する設定情報のデータ構造を示す。図36に示す設定情報のデータ構造は、状態情報(T1504)と、リスト数(T1501)と、リスト数(T1501)に示される個数分の領域識別情報(T1502)と鍵データ(T1503)との組合せを有する。
〔3.実施例4に係る起動時の処理の流れ〕
図37は、実施例4に係る端末装置の起動時のシステムの処理の流れを示す。図37に示す処理手順は、実施例1に係る端末装置の起動時のシステムの処理の流れ(図18参照)と同様の内容に対して、同一の参照符号を付している。
図37に示す処理手順は、例えば、処理S120が追加されている点で、図18に示す処理の流れと相違する。そこで、説明の簡略化のため、同じ内容については部分的に説明を省略する。
まず、管理装置200は、通信網300を介して接続される端末装置100から送信される設定情報の送信要求を受信し(S201)、受信した送信要求に基づいて機器特定処理を行なう(S202)。例えば、管理装置200のCPU210は、端末情報DB(T303)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定する(S202)。また、CPU210は、鍵管理DB(T302)を参照し、受信した送信要求に示される機器識別情報に対応する情報が登録されているか否かを判定することもできる(S202)。
その結果、対応する情報が登録されている場合、CPU210は、特定に成功したと判定することができる(S203でYES)。一方、対応する情報が登録されていない場合、CPU210は、特定に失敗したと判定することができる(S203でNO)。
また、上述の処理S103において機器識別情報とともに媒体識別情報を送信要求に含めて送信された場合、CPU210は、上述の処理S201で受信した送信要求に含まれる機器識別情報と媒体識別情報との組合せに対応する情報が、上述の各種DBに登録されているか否かを判定することにより、特定に成功したか否かを判定することができる。これにより、機器識別情報又は媒体識別情報の一方が一致する場合であっても、上述の機器特定処理における特定に失敗させることができる。例えば、管理装置200に登録済みの不揮発性記憶媒体180を、管理装置200に登録されていない端末装置100に組み込んで利用しようとした場合に、上述の特定処理(S202)における特定に失敗させることができる。
CPU210は、特定に成功したと判定した場合(S203でYES)、端末情報DB(T303)を参照し、送信要求を送信した端末装置100に対して設定されている状態情報を特定する(S204)。
次に、管理装置200のCPU210は、受信した送信要求に示される機器識別情報に対応する領域識別情報(T3022)と鍵データ(T3023)との組合せを、鍵管理DB(T302)から取得する(S206)。
CPU210は、取得した領域識別情報(T3022)と鍵データ(T3023)との組合せと、上述の処理S204で特定した状態情報と、を有する設定情報を生成し、設定情報の送信要求を送信した端末装置100へ、通信部240を用いて送信する(S207)。
図36は、上述のS207において送信される設定情報のデータ構造を示す。図36に示す設定情報は、状態情報(T1504)と、リスト数(T1501)と、リスト数(T1501)に示される個数分の領域識別情報(T1502)と鍵データ(T1503)との組合せと、を有する。
なお、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち、リスト数(T1501)と、領域識別情報(T1502)と鍵データ(T1503)との組合せと、を省略してもよい。例えば、端末装置100において、不揮発性記憶媒体180に格納する情報に対する暗号化及び復号の処理を行なわない場合、あるいは、暗号化及び復号の処理に用いる鍵データを設定情報以外から取得する場合、管理装置200のCPU210は、上述の処理S207において送信する設定情報の要素のうち鍵データなどを省略することができる。この場合、上述の処理S206における鍵データの取得処理を省略しても良い。
端末装置100は、通信網300を介して接続される管理装置200から送信される設定情報を受信し(S106)、各種設定処理を行なう(S107、S108)。例えば、設定情報に鍵データが含まれている場合、端末装置100のCPU110は、受信した設定情報に含まれる鍵データを、補助記憶部150に設定する(S107)。例えば、補助記憶部150内に不揮発性記憶媒体180とは別に備えられた記憶部に、鍵データを格納させる。
CPU110は、受信した設定情報に示される状態情報(T1504)に基づいて、管理ポリシDB(T301)からポリシ情報を取得する(S120)。すなわち、CPU110は、受信した設定情報に示される状態情報に対応する定義種別(T3016)が設定されている定義情報を特定する。例えば、受信した設定情報に示される状態情報(T1504)が「制限」である場合、定義種別(T3016)が「制限」の定義情報が特定される。さらに、CPU110は、特定した定義情報(T3015)を、不揮発性記憶媒体180が有する記憶領域に対応する領域情報(T3012)と対応付けて取得し、ポリシ情報を生成する(S120)。
ここで、不揮発性記憶媒体180が有する記憶領域に対応する領域情報(T3012)は、不揮発性記憶媒体180の領域定義情報(T100)を参照することにより特定することができる。図7に示す領域定義情報の実装例を用いて説明する。CPU110は、図7に示すパーティションリスト(T1802)におけるパーティションテーブルの位置を示すパーティション番号を領域識別情報として取得する。CPU110は、領域定義情報(T100)を参照することにより取得した領域識別情報と、管理ポリシDB(T301)に登録されている領域識別情報(T3013)と、を照合することにより、領域情報(T3012)を特定することができる。
CPU110は、取得したポリシ情報に基づいて、主記憶部120に格納した領域定義情報(T100)の領域種別(T1002)を更新する。
CPU110は、更新した領域定義情報(T100)を、補助記憶部150を用いて、不揮発性記憶媒体180に書込む。
これにより、CPU110は、管理装置200から受信した設定情報に示され状態情報を用いて取得されたポリシ情報に基づいて、不揮発性記憶媒体180に格納されていた領域定義情報(T100)を更新する。更新処理の詳細については、実施例1と同様であるため、説明を省略する。
システムの構成を示した図 端末装置のハードウェア構成を示した図 端末装置により実行されるプログラムの構成及び格納場所を示した図 端末装置により実行されるプログラムの構成及び格納場所を示した図(その2) 端末装置により実行されるプログラムの構成及び格納場所を示した図(その3) 領域定義情報のデータ構造を示した図 起動プログラムと領域定義情報の実装例を示した図 パーティションテーブルのデータ構造を示した図 設定情報のデータ構造を示した図 管理装置のハードウェア構成を示した図 管理装置により実行されるプログラムの構成を示した図 管理ポリシDBのデータ構造を示した図 管理ポリシDBの内容例を示した図 鍵管理DBのデータ構造を示した図 端末情報DBのデータ構造と内容例を示した図 ポリシ情報の内容例を示した図 端末装置における起動時の処理の概要を示した図 端末装置の起動時におけるシステムの処理の流れを示した図 端末装置の終了時におけるシステムの処理の流れを示した図 管理ポリシDBの内容例を示した図(その2) 鍵管理DBのデータ構造を示した図(その2) 端末情報DBのデータ構造と内容例を示した図(その2) 実施例2に係る端末装置により実行されるプログラムの構成及び格納場所を示した図 実施例2に係る管理ポリシDBの内容例を示した図 実施例2に係るポリシ情報の内容例を示した図 実施例2に係る端末装置の起動時におけるシステムの処理の流れを示した図 実施例2に係る端末装置の起動時におけるシステムの処理の流れを示した図(その2) 消去要求のデータ構造を示した図 実施例3に係る端末装置により実行されるプログラムの構成及び格納場所を示した図 実施例3に係る管理装置により実行されるプログラムの構成を示した図 実施例3に係る端末装置の更新時におけるシステムの処理の流れを示した図 更新要求のデータ構造を示した図 実施例4に係る端末装置により実行されるプログラムの構成を示した図 実施例4に係る管理ポリシDBのデータ構造と内容例を示した図 実施例4に係る管理装置により実行されるプログラムの構成を示した図 実施例4に係る設定情報のデータ構造を示した図 実施例4に係る端末装置の起動時におけるシステムの処理の流れを示した図

Claims (7)

  1. オペレーティングシステムを用いて、不揮発性記憶媒体に格納されたプログラムの実行や、不揮発性記憶媒体に格納されたデータの再生が可能な端末装置であって、
    前記端末装置に所定のデータが入力され、該データが認証された後に前記端末装置を起動する際に、前記不揮発性記憶媒体が有する区画された記憶領域ごとの利用可否を制御する設定情報を、ネットワークを介して接続される外部装置から取得する、設定情報取得部と、
    前記取得した設定情報が前記区画された記憶領域の利用を制限する内容である場合、前記利用を制限される区画された記憶領域を前記オペレーティングシステムが認識できない状態となるように、前記不揮発性記憶媒体における前記利用を制限される区画された記憶領域のデータ構造を定義する領域定義情報を更新する、領域定義情報更新部と、
    前記取得した設定情報が前記区画された記憶領域の利用を制限する内容である場合、前記領域定義情報の更新処理の終了後に、前記オペレーティングシステムの起動処理を行なう、起動部と、
    を有する端末装置。
  2. 請求項1に記載の端末装置であって、さらに、
    前記取得した設定情報が前記記憶領域の利用を制限する内容である場合、前記領域定義情報の更新処理の終了後に、前記受信した設定情報に示される記憶領域に格納されたデータを、前記不揮発性記憶媒体から消去する処理を実行する、データ消去部と、
    を有する端末装置。
  3. 請求項2に記載の端末装置であって、
    前記領域定義情報更新部は、前記取得した設定情報に基づいて前記利用を制限される記憶領域について、データ消去の指示が前記取得した設定情報に示されている場合、前記不揮発性記憶媒体における前記記憶領域の位置を示すアドレス情報を、前記端末装置が有する所定の記憶領域に格納し、
    前記データ消去部は、前記所定の記憶領域から前記アドレス情報を取得し、前記アドレス情報に基づいて前記不揮発性記憶媒体からデータを消去する、
    端末装置。
  4. 請求項1乃至3に記載の端末装置であって、
    前記起動部による起動処理を実行した後、前記領域定義情報に対する更新処理を検知する、更新検知部と、
    前記更新処理の実行を検知した場合に、更新後の前記領域定義情報を取得する、領域定義取得部と、
    前記取得した領域定義情報に示される前記記憶領域のデータ構造に関する情報を、ネットワークを介して接続される外部装置へ送信する、更新要求送信部と、
    を有する端末装置。
  5. 請求項1乃至4に記載の端末装置であって、
    前記領域定義情報更新部は、前記起動部による起動処理が実行された後に前記端末装置への電源の供給を遮断し前記端末装置の動作を停止させる停止状態または、前記電源の供給を一部継続させながら前記端末装置の大部分の動作を休止させる休止状態に動作状態変更させる際に、起動時に更新した領域定義情報を、更新前の内容に復元する、
    端末装置。
  6. 請求項5に記載の端末装置であって、
    前記領域定義情報更新部は、
    前記起動時の更新処理において、更新前の領域定義情報の内容を、前記端末装置が有する所定の記憶領域に格納し、
    前記動作状態の変更時の復元処理において、前記所定の記憶領域に格納された更新前の領域定義情報の内容に基づいて、前記領域定義情報を復元する、
    端末装置。
  7. オペレーティングシステムを用いて、不揮発性記憶媒体に格納されたプログラムの実行や、不揮発性記憶媒体に格納されたデータの再生が可能な端末装置において用いられるプログラムであって、
    前記端末装置を、
    前記端末装置に所定のデータが入力され、該データが認証された後に前記端末装置を起動する際に、前記不揮発性記憶媒体が有する区画された記憶領域ごとの利用可否を制御する設定情報を、ネットワークを介して接続される外部装置から取得する、設定情報取得部と、
    前記取得した設定情報が前記区画された記憶領域の利用を制限する内容であった場合、前記利用を制限される区画された記憶領域を前記オペレーティングシステムが認識できない状態となるように、前記不揮発性記憶媒体における前記利用を制限される区画された記憶領域のデータ構造を定義する領域定義情報を更新する、領域定義情報更新部と、
    前記取得した設定情報が前記区画された記憶領域の利用を制限する内容であった場合、前記領域定義情報の更新処理の終了後に、前記オペレーティングシステムの起動処理を行なう、起動部、
    として機能させるプログラム。
JP2008331497A 2008-12-25 2008-12-25 端末装置 Expired - Fee Related JP5304229B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2008331497A JP5304229B2 (ja) 2008-12-25 2008-12-25 端末装置
US12/605,502 US8190813B2 (en) 2008-12-25 2009-10-26 Terminal apparatus with restricted non-volatile storage medium
EP09175235.2A EP2204753B1 (en) 2008-12-25 2009-11-06 Terminal apparatuses

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008331497A JP5304229B2 (ja) 2008-12-25 2008-12-25 端末装置

Publications (2)

Publication Number Publication Date
JP2010152750A JP2010152750A (ja) 2010-07-08
JP5304229B2 true JP5304229B2 (ja) 2013-10-02

Family

ID=41860260

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008331497A Expired - Fee Related JP5304229B2 (ja) 2008-12-25 2008-12-25 端末装置

Country Status (3)

Country Link
US (1) US8190813B2 (ja)
EP (1) EP2204753B1 (ja)
JP (1) JP5304229B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5446439B2 (ja) * 2008-07-24 2014-03-19 富士通株式会社 通信制御装置、データ保全システム、通信制御方法、およびプログラム
JP6045104B2 (ja) * 2012-12-06 2016-12-14 ワンビ株式会社 データ消去プログラム、データ消去方法、データ消去機能を備えたコンピュータおよびデータ消去管理サーバ
FR3003057B1 (fr) * 2013-03-07 2016-07-15 Thales Sa Systeme de securisation de donnees critiques d'un systeme avionique embarque a bord d'un aeronef.
US9773108B1 (en) * 2014-12-03 2017-09-26 Symantec Corporation Systems and methods for performing operations on restricted mobile computing platforms
JP6732068B1 (ja) * 2019-02-26 2020-07-29 レノボ・シンガポール・プライベート・リミテッド 情報処理装置、情報処理方法およびプログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2750746B2 (ja) * 1989-09-14 1998-05-13 日立マクセル株式会社 携帯用端末装置の不正使用防止方式
JPH09215057A (ja) * 1996-02-01 1997-08-15 Hitachi Ltd 携帯端末および携帯端末情報保護方法
JPH11212730A (ja) * 1998-01-21 1999-08-06 Matsushita Electric Ind Co Ltd 二次記憶装置の情報漏洩防止方法および装置
JP3611964B2 (ja) * 1998-04-16 2005-01-19 富士通株式会社 記憶装置、記憶制御方法及び記憶媒体
JP2000259472A (ja) * 1999-03-05 2000-09-22 Fuji Xerox Co Ltd 情報共有装置
US6564286B2 (en) * 2001-03-07 2003-05-13 Sony Corporation Non-volatile memory system for instant-on
JP3732764B2 (ja) * 2001-07-18 2006-01-11 東芝ソリューション株式会社 Os立上げ方法およびos立上げシステム
JP2003173660A (ja) * 2001-11-30 2003-06-20 Fujitsu Ten Ltd 移動可能な情報処理装置および移動時の情報利用方法
EP1495400B1 (en) * 2002-04-18 2016-06-29 Citrix Systems, Inc. System for and method of streaming data to a computer in a network
JP2004208184A (ja) 2002-12-26 2004-07-22 Matsushita Electric Ind Co Ltd 秘密鍵管理装置、秘密鍵管理方法および秘密鍵管理プログラム
US7321990B2 (en) * 2003-12-30 2008-01-22 Intel Corporation System software to self-migrate from a faulty memory location to a safe memory location
JP2006344112A (ja) * 2005-06-10 2006-12-21 Matsushita Electric Ind Co Ltd 情報処理装置のセキュリティ装置およびセキュリティ方法
JP2007316789A (ja) * 2006-05-24 2007-12-06 Takashi Kato クライアントシステム、サーバシステム、これらの制御方法、制御プログラム、データ消去システム及び方法
JP2008009503A (ja) * 2006-06-27 2008-01-17 Hitachi Software Eng Co Ltd データ保護方法及びデータ保護プログラム
WO2008009112A1 (en) * 2006-07-18 2008-01-24 Certicom Corp. System and method for authenticating a gaming device
JP4923928B2 (ja) 2006-09-29 2012-04-25 富士通株式会社 情報処理装置、その制御方法およびプログラム
US8396214B2 (en) 2006-11-02 2013-03-12 SAP Portals Israel Limited Method and apparatus for centrally managed encrypted partition
WO2008065725A1 (fr) * 2006-11-29 2008-06-05 Universal Solution Systems Inc. Système serveur de fichiers sécurisés
JP4793949B2 (ja) * 2006-12-04 2011-10-12 Eugrid株式会社 コンピュータ情報処理装置および情報管理プログラム
JP4537423B2 (ja) 2007-06-11 2010-09-01 株式会社日立製作所 ユーザ操作端末の記憶装置情報制御方式

Also Published As

Publication number Publication date
EP2204753B1 (en) 2017-01-04
US20100169554A1 (en) 2010-07-01
EP2204753A3 (en) 2012-12-12
US8190813B2 (en) 2012-05-29
JP2010152750A (ja) 2010-07-08
EP2204753A2 (en) 2010-07-07

Similar Documents

Publication Publication Date Title
US7730326B2 (en) Method and system for updating firmware stored in non-volatile memory
JP5565040B2 (ja) 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム
US8745365B2 (en) Method and system for secure booting a computer by booting a first operating system from a secure peripheral device and launching a second operating system stored a secure area in the secure peripheral device on the first operating system
US8745386B2 (en) Single-use authentication methods for accessing encrypted data
US20140115316A1 (en) Boot loading of secure operating system from external device
JP4757066B2 (ja) 利用者端末における二次記憶装置の管理方法及び利用者端末
JP5349114B2 (ja) 記憶装置
US20100058066A1 (en) Method and system for protecting data
US20080181406A1 (en) System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
US20110264925A1 (en) Securing data on a self-encrypting storage device
CN102549594A (zh) 临时秘密的安全存储
KR102195344B1 (ko) Usb 저장 매체를 이용하는 컴퓨터용 보안 시스템 및 방법
JP5304229B2 (ja) 端末装置
US20050193195A1 (en) Method and system for protecting data of storage unit
US20090327755A1 (en) Information-processing device and information management program
JP5026908B2 (ja) スティックサーバ
CN112613011A (zh) U盘***认证方法、装置、电子设备及存储介质
US20050055566A1 (en) Computer system and method for controlling the same
JP2018139025A (ja) データ消去方法、データ消去プログラム、データ消去プログラムを備えたコンピュータおよびデータ消去管理サーバ
US20090187898A1 (en) Method for securely updating an autorun program and portable electronic entity executing it
JP2006031575A (ja) ハードディスクセキュリティ管理システムおよびその方法
JP6045104B2 (ja) データ消去プログラム、データ消去方法、データ消去機能を備えたコンピュータおよびデータ消去管理サーバ
JP2000250818A (ja) 記憶システム、記憶装置及び記憶データ保護方法
US20120137089A1 (en) Storage device, electronic device, and access control method for storage device
JP4708942B2 (ja) Hdd用情報漏洩防止システム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130528

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130610

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5304229

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees