以下に図面を参照して、本発明にかかる持ち出し管理プログラム、持ち出し管理方法、持ち出し管理装置およびデバイスの実施の形態を詳細に説明する。
(実施の形態)
図1は、実施の形態にかかる持ち出し管理プログラム、持ち出し管理方法および持ち出し管理装置の概要の一例を示す説明図である。図1は、パーソナルコンピュータなどの端末装置(PC(Personal Computer))の「持ち出し」の状態と「持ち帰り」の状態とを示している。
図1において、上側に示す、保護/管理対象パーソナルコンピュータ(PC)100が、セキュリティワイヤー101によってロックされていない状態(セキュリティワイヤー101のデバイス103の電子錠が解錠されている状態)が、「PC持ち出し」の状態である。図1からもわかるように、「PC持ち出し」の状態においては、セキュリティスロット111にセキュリティワイヤー101のデバイス103が接続されていない。また、USB(Universal Serial Bus)ポート112に、USB接続ケーブル104を介してデバイス103に接続されているUSB端子105が接続されていない。ユーザは、この状態において、保護/管理対象PC100の持ち出しをすることができる。
一方、図1の下側に示す、保護/管理対象PC100がセキュリティワイヤー101によってロックされている状態(セキュリティワイヤー101の電子錠が施錠されている状態)が、「PC持ち帰り」の状態である。セキュリティワイヤー101による施錠(ロック)は、以下の手順によりおこなわれる。
セキュリティワイヤー101のワイヤー部102を、机などの脚に巻き付ける。つぎに、保護/管理対象PC100のセキュリティスロット111にセキュリティワイヤー101の一端に設けられたデバイス103の電子錠のフック(図2に示すフック201)を挿入するとともに、USBポート112にUSB端子105を接続することで、デバイス103に対して給電をおこなう。USBのプラグアンドプレイ機能によって、保護/管理対象PC100にPINコード入力画面が表示され、ユーザはPINコードを入力する。
ここで、正しいPINコードが入力された場合は、保護/管理対象PC100は、セキュリティワイヤー101をデバイスとして有効化(デバイス認識)の状態にする。それにともない、フック201が作動して、セキュリティスロット111からセキュリティワイヤー101が抜けない状態となる。これにより、ロックが完了する。ロックされた状態では、ユーザは、保護/管理対象PC100の持ち出しをすることはできない。
また、セキュリティワイヤー101がデバイス認識状態であるということを検出することによって、保護/管理対象PC100が「持ち帰り状態」であることを認識し、保護/管理対象PC100の保護および管理をおこなうことができる。
「PC持ち帰り」の状態において、再び、「PC持ち出し」の状態にするには、ユーザは、保護/管理対象PC100にPINコード入力画面を表示させ、PINコードを入力する。正しいPINコードが入力された場合は、保護/管理対象PC100は、セキュリティワイヤー101をデバイスとして無効化(デバイス切り離し)の状態にする。それにともない、フック201が、ロックするときとは反対の方向へ作動して、セキュリティスロット111にセキュリティワイヤー101を抜くことができる状態となる。
これにより、ロックが解除され、ユーザは、セキュリティスロット111からデバイス103(のフック201)を抜き取り、USBポート112からUSB端子105を抜き取る。この状態において、ユーザは、保護/管理対象PC100の持ち出しをすることができる。
また、セキュリティワイヤー101がデバイス切り離し状態であるということを検出することによって、保護/管理対象PC100が「持ち帰り状態」であることを認識し、保護/管理対象PC100の管理をおこなうことができる。
このようにして、保護/管理対象PC100のUSBポート112を用いて、セキュリティワイヤー101をデバイス認証(有効化)することにより、電子錠を施錠するとともに、持ち帰り状態を認識する。また、セキュリティワイヤー101をデバイス切り離し(無効化)することにより、電子錠を解錠するとともに、持ち出し状態を認識する。そして、デバイス認証(有効化)とデバイス切り離し(無効化)を、PINコードを用いておこなうことにより、より簡易に保護/管理対象PC100の盗難・紛失防止などの保護ができるとともに、保護/管理対象PC100の適正な管理をおこなうことができる。
(セキュリティワイヤーの外観例)
図2は、セキュリティワイヤーの外観の一例を示す説明図である。図2において、セキュリティワイヤー101は、ワイヤー部102と、ワイヤー部102の一端に、取り外しできないように固着されたデバイス103と、デバイス103とUSB端子105とが接続されたUSB接続ケーブル104と、から構成される。
ワイヤー部102は、盗難防止用ワイヤーによる構成されており、切断や破壊が容易にはできない金属性の材質が用いられる。ワイヤー部102のデバイス103が固着されている反対側の一端は、ループ(輪)状になっている。セキュリティワイヤー101を使用する際は、図1にも示したように、机の脚など、固定したい所にワイヤー部102を巻き付けた後、デバイス103を、ワイヤー部102の先端の輪の部分にくぐらせてから、保護/管理対象PC100(のセキュリティスロット111)に接続する。
このようにして、保護/管理対象PC100は、セキュリティワイヤー101につながれることで、固定した机から離れないようにすることができる。この状態では、保護/管理対象PC100を、その場から持ち出すことはできない。
デバイス103には、フック201と、表示部202と、複数のキースイッチ203と、が備えられている。フック201は、具体的には、一対の鍵状の部材から構成されておいる。この鍵状の部材が互いに離れるように稼働することによって、セキュリティスロット111の突起部分に引っかかるようにして、セキュリティスロット111に嵌合する構成となっている。
表示部202は、デバイス103に対して、PINコードの入力画面のほか、各種表示内容を表示することができる。また、キースイッチ203は、PINコードの入力のほか、デバイス103に対する各種指示の入力をおこなう際に用いることができる。
(システム構成例)
図3Aおよび図3Bは、実施の形態にかかる持ち出し管理プログラム、持ち出し管理方法および持ち出し管理装置を実現するシステム構成の一例を示すブロック図である。図3Aは、保護/管理対象PC100に、デバイス103およびPC持出管理システム(Webサーバ)300が接続されていない状態を示している。
図3Aにおいて、保護/管理対象PC100は、LANケーブル111を介して、PC持出管理システム(Webサーバ)300に接続することができる。具体的には、LANケーブル311に接続されたLAN接続端子312をLANポート313に挿入することによって、保護/管理対象PC100と、PC持出管理システム(Webサーバ)300とが接続される。
LANポート313は、保護/管理対象PC100をネットワーク接続するための一般的なネットワーク接続ポートであり、LANポート313を介して、図示を省略するネットワーク上のPC持出管理システム300と接続することができる。
PC持出管理システム(Webサーバ)300は、可搬型設備機器の持ち出し、持ち帰り申請や該当機器の状態を集中管理するためのソフトウェアシステムである。PC持出管理システム300は、たとえば、Webサーバによって構成される。
そして、PC持出管理システム(Webサーバ)300は、主に以下機能を提供することができる。たとえば、PC100の利用者からの申請により、PC100の持ち出し/持ち帰り起票とPC100の状態管理をおこなうことができる。また、利用者からの申請を、あらかじめ登録された、あるいは、外部の組織情報や人事情報などのデータベースと連携させ、所定のワークフロー処理により、管理責任者の承認処理を得るようにすることができる。また、本承認の履歴や申請の有効/無効を記録し、その状態の管理をおこなう。また、PC持ち出し時と持ち帰り時に、PC100内ファイル一覧を取得し、持ち帰り時に差異をチェックする機能を持つようにしてもよい。
保護/管理対象PC100は、具体的には、たとえばノート型PC、タブレット端末装置などの可搬型の端末装置である。また、タワー型PCその他のディスクトップ型の情報処理装置などであってもよい。
保護/管理対象PC100は、LANポート313のほか、図1にも示した、セキュリティスロット111と、USBポート112と、を有する。セキュリティスロット111は、セキュリティワイヤー101と接続して、固定するために、フック201挿入するスロットである。
USBポート112は、外部USB接続機器との可能とするためのポートである。具体的には、PCで標準的に提供されるUSBインターフェースの接続口である。USBポート112に、セキュリティワイヤー101を接続することで、USBポート112がセキュリティワイヤー101(のデバイス103)への電源供給をおこなう。
また、保護/管理対象PC100は、オペレーティングシステムソフトウェア(OS)301と、Webブラウザ302と、PC持出管理システム状態連携用プログラム303と、有する。
オペレーティングシステムソフトウェア(OS)301は、保護/管理対象PC100の全体や他のプログラムやドライバを制御する。OS301は、具体的には、たとえば、Windows(登録商標)、Linux(登録商標)、Android(登録商標)、macOS(登録商標)などによって構成される。
Webブラウザ302は、Web(World Wide Web)の利用に供するユーザエージェントである。Webブラウザ302は、具体的には、たとえば、Internet Explorer(登録商標)、Microsoft Edge(登録商標)、Google Chrome(登録商標)などによって構成される。
PC持出管理システム状態連携用プログラム303は、PC持出管理システム(Webサーバ)300と連携して、保護/管理対象PC100の持ち出し、持ち帰り申請や、保護/管理対象PC100の状態を管理するための情報収集をおこない、収集した情報をLANケーブル311を介してPC持出管理システム(Webサーバ)300へ送信したりするプログラムである。
PC持出管理システム状態連携用プログラム303を実行することによって、保護/管理対象PC100の持ち出し/持ち帰りをセキュリティワイヤー101の接続状態(マウント)で判定し、PC持出管理システム300に所定の状態通知や処理をおこなうことができる。
図3Bは、保護/管理対象PC100に、デバイス103およびPC持出管理システム(Webサーバ)300が接続されている状態を示している。図3Bにおいて、保護/管理対象PC100は、オペレーティングシステムソフトウェア(OS)301、Webブラウザ302、PC持出管理システム状態連携用プログラム303のほか、セキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304と、ドライバ305と、を有する。
USBポート112は、セキュリティワイヤー101のデバイス103が本ポートを経由して接続された際に、OS301のプラグアンドプレイ機能により、汎用の入出力デバイス(USBキーボード、マウスと同様)としてデバイス認識する。デバイス認識時に、本ポートを通じて解錠用の識別鍵(PIN情報)設定と、セキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304およびドライバ305の保護/管理対象PC100へのインストールをおこなう。
また、図3Bにおいては、セキュリティスロット111には、デバイス103に設けられた電子錠のフック201がロックされた状態を示している。フック201が閉じた状態でセキュリティスロット111に挿入された後、電子錠の施錠の動作により、フック201が互いに離間する方向に移動することによって、セキュリティスロット111の爪部に引っ掛かるようにして、ロックがおこなわれる。この状態においては、電子錠をセキュリティスロット111から抜き出すことはできない。
このようにして、保護/管理対象PC100が、USB接続されたセキュリティワイヤー101をデバイス認識する。そして、セキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304を実行させることによって、PINコートの入力による、デバイス認識(有効化)状態とデバイス切り離し(無効化)状態の切替えを制御する。セキュリティワイヤー101のデバイス103は、デバイス認識の有効化/無効化の状態に基づいて、電子錠の施錠/解錠を制御することができる。
また、PC持出管理システム状態連携用プログラム303を実行させることによって、デバイス認識の有効化/無効化の状態に基づいて、PC持出管理システム(Webサーバ)300における保護/管理対象PC100の持ち帰りおよび持ち出しを管理する。
(PC100のハードウェア構成例)
図4は、保護/管理対象パーソナルコンピュータ(PC)のハードウェア構成の一例を示すブロック図である。図4において、保護/管理対象PC100は、CPU(Central Processing Unit)401と、メモリ402と、ネットワークI/F(Interface)403と、USB I/F404と、入力装置405と、ディスプレイ406と、を有する。また、各構成部は、バス400によってそれぞれ接続される。
ここで、CPU401は、保護/管理対象PC100の全体の制御を司る。メモリ402は、たとえば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、たとえば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU401のワークエリアとして使用される。メモリ402に記憶されるプログラムは、CPU401にロードされることで、コーディングされている処理をCPU401に実行させることができる。
ネットワークI/F403は、通信回線を通じて、図示を省略するインターネットなどのネットワークに接続され、ネットワークを介して他の装置(PC持出管理システム(Webサーバ)300など)に接続される。そして、ネットワークI/F403は、ネットワークと自装置内部とのインターフェースを司り、他の装置からのデータの入出力を制御する。ネットワークI/F403には、たとえば、モデムやLANアダプタなどを採用することができる。
USB I/F404は、周辺機器(デバイス)を接続するための、ユニバーサル・シリアル・バスのバス規格に基づくインターフェースであり、USBポート112を介して、接続されたデバイスとのインターフェースを司り、デバイスからのデータの入出力を制御する。また、USB I/F404は、接続されたデバイスに対する電力の供給(給電)の制御をおこなう。
入力装置405は、PINコードを含む各種情報の入力に用いる。入力装置405は、具体的には、たとえば、キーボード、ポインティングデバイス、ディスプレイなどの各種デバイスを含む。また、ディスプレイ406は、各種情報を表示する。ディスプレイは、液晶ディスプレイ、有機ELなどを含む。
(デバイス103のハードウェア構成例)
図5は、デバイスのハードウェア構成の一例を示すブロック図である。図5において、デバイス103は、マイコン501と、メモリ502と、フック駆動機構503と、USB I/F504と、ディスプレイ505と、キースイッチ506と、を有する。また、各構成部は、バス500によってそれぞれ接続される。
マイコン501は、デバイス103の全体の制御を司る。メモリ502は、たとえば、ROM、RAMなどを有する。メモリ502に記憶されるプログラムによってコーディングされている処理をマイコン501に実行させることができる。
フック駆動機構503は、フックの駆動をおこなう。具体的には、ギヤや磁力などを用いて、駆動信号が入力された場合のみ、フックを駆動させ、それ以外ではフックが動かないように固定する。
USB I/F504は、USB端子105を介して、接続されたPCとのインターフェースを司り、PCからのデータの入出力を制御する。また、USB I/F504は、接続されたPCからの電力の供給(給電)を受ける。
ディスプレイ505は、図2に示した表示部202を構成する。ディスプレイは、ディスプレイは、液晶ディスプレイ、有機ELなどを含む。また、キースイッチ506は、図2に示したキースイッチ203を構成する。キースイッチ506は、図示は省略するが、ディスプレイ505に設けられたタッチパネルによってその機能を実現するようにしてもよい。
(PC持出管理システム(Webサーバ)300のハードウェア構成例)
図6は、PC持出管理システム(Webサーバ)のハードウェア構成の一例を示すブロック図である。図6において、PC持出管理システム(Webサーバ)300は、CPU601と、メモリ602と、ネットワークI/F603と、記録媒体I/F604と、記録媒体605と、を有する。また、各構成部は、バス600によってそれぞれ接続される。
ここで、CPU601は、PC持出管理システム(Webサーバ)300の全体の制御を司る。メモリ602は、たとえば、ROM、RAMおよびフラッシュROMなどを有する。具体的には、たとえば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU601のワークエリアとして使用される。メモリ602に記憶されるプログラムは、CPU601にロードされることで、コーディングされている処理をCPU601に実行させることができる。
ネットワークI/F603は、通信回線を通じてインターネットなどのネットワークに接続され、図示を省略するネットワークを介して他の装置(保護/管理対象PC100、他のサーバ、データベース、あるいは、他のシステム)に接続される。そして、ネットワークI/F603は、ネットワークと自装置内部とのインターフェースを司り、他の装置からのデータの入出力を制御する。ネットワークI/F603には、たとえば、モデムやLANアダプタなどを採用することができる。
記録媒体I/F604は、CPU601の制御にしたがって記録媒体605に対するデータのリード/ライトを制御する。記録媒体605は、記録媒体I/F604の制御で書き込まれたデータを記憶する。記録媒体605としては、たとえば、磁気ディスク、光ディスクなどが挙げられる。
なお、PC持出管理システム(Webサーバ)300は、上述した構成部のほかに、たとえば、SSD(Solid State Drive)、キーボード、ポインティングデバイス、ディスプレイなどの各種デバイスを有することにしてもよい。
(PC100の機能的構成例)
図7は、保護/管理対象PCの機能的構成の一例を示すブロック図である。図7において、保護/管理対象PC100は、受信部701と、記憶部702と、PINコード受付部703と、判断部704と、状態変更部705と、送信部706と、給電制御部707と、接続監視部708と、を有する構成となっている。これらの各構成部701~708によって、PC100の制御部を構成することができる。
受信部701は、デバイス103からドライバ305を受信し、受信したドライバ305を記憶部702へ送る。また、受信部701は、デバイス103からPIN設定プログラム304を受信し、受信したPIN設定プログラム304を記憶部702へ送る。また、受付部701は、デバイスから送られてきたPINコードを受信するようにしてもよい。そして、初回設定時においては、受信したPINコードを記憶部702へ送る。初回設定時以外は、受信したPINコードを判断部704へ送る。
受信部701は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、また、ネットワークI/F403、USB I/F404などによって、その機能を実現することができる。
記憶部702は、受信部701から送られてきたドライバ305をインストールして所定の記憶領域に記憶する。また、記憶部702は、受信部701から送られてきたPIN設定プログラム304をインストールして所定の記憶領域に記憶する。また、受信部701から受け取ったPINコードを認証用PINコードとして所定の記憶領域に記憶するようにしてもよい。記憶部702は、具体的には、たとえば、図4に示したメモリ402などによって、その機能を実現することができる。
PINコード受付部703は、電子錠のパスワードとして用いられるPINコードのユーザによる入力を受け付ける。PINコード受付部703は、具体的には、たとえば、図4に示した入力装置405などによってその機能を実現することができる。
初回設定時は、入力を受け付けたPINコードを記憶部702へ送る。初回設定時以外は、入力を受け付けたPINコードを判断部704へ送る。記憶部702は、PINコード受付部703から送られてきたPINコードを認証用PINコード所定の記憶領域に記憶する。この認証用PINコードは、送信部706へ送られ、送信部706がこの認証用PINコードをデバイス103へ送信する。
判断部704は、PINコード受付部703によって入力が受け付けられたPINコード、または、受信部701によって受信されたPINコードが、記憶部702に記憶されている正規のPINコードと合致するか否かを判断する。判断部704は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、その機能を実現することができる。
状態変更部705は、判断部704による、合致するとの判断に基づいて、電子錠を備えたデバイス103の状態を、利用可能な状態(認識状態)から切り離し状態へ、または、切り離し状態から利用可能な状態へ、と変更する。そして、変更したデバイス103の状態に関する情報を記憶(保持)する。なお、記憶するのは、記憶部702の所定の領域であってもよい。状態変更部705は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、その機能を実現することができる。
状態変更部705は、より具体的には、現在のデバイス103の状態を保持し、保持されている現在のデバイス103の状態が利用可能な状態であれば、合致信号を受け取ると、切り離し状態へ変更する。一方、現在のデバイス103の状態が切り離し状態であれば、合致信号を受け取ると、利用可能な状態へ変更する。このように、合致信号を受け取るごとに、利用可能な状態と切り離し状態とを切り替えるように変更する。
送信部706は、状態変更部705によってデバイスの状態が変更された場合に、その旨の信号をデバイスへ送信する。送信される信号は、『利用可能→切り離しへ変更』または『切り離し→利用可能へ変更』のいずれかを送信する。あるいは、単に『変更あり』という信号を送信するようにしてもよい。デバイスでは、『変更あり』という信号を受信することで、フックの状態を反転させるだけでよいように構成してもよい。
送信部706は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、また、ネットワークI/F403、USB I/F404などによって、その機能を実現することができる。
給電制御部707は、接続されているデバイスへの給電を制御する。給電制御部707は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、その機能を実現することができる。
給電制御部707は、USB端子105がUSBポート112に接続されると給電を開始し、USB端子105がUSBポート112から取り外されると給電を終了する。また、給電制御部707は、USB端子105がUSBポート112に接続されている場合においても、給電の開始および終了を保護/管理対象PC100側の状態に基づいて制御するようにしてもよい。
接続監視部708は、給電制御部707がデバイス103へ給電をおこなっているか否か、具体的には、USB端子105がUSBポート112から切り離されているか否かを監視する。そして、その監視結果を判断部704へ送る。接続監視部708は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラムをCPU401に実行させることによって、その機能を実現することができる。
判断部704は、PINコードが、記憶部702に記憶されている正規のPINコードと合致するか否かを判断する際に、接続監視部708から送られた監視結果を参照する。そして、給電制御部707がデバイス103へ給電をおこなっている(USB端子105がUSBポート112に接続されている)ことを前提として、上記判断をおこなうようにしてもよい。
状態監視部709は、状態変更部705におけるデバイス103の状態を所定の周期で監視する。そして、デバイス103が端末装置100における利用可能な状態である場合に、端末装置100が持ち帰りの状態であると判断する。また、デバイス103が端末装置100からの切り離し状態である場合に、端末装置100が持ち出しの状態であると判断する。送信部706は、状態監視部709において判断された状態に対する情報をWebサーバへ送信する。
状態監視部709は、具体的には、たとえば、図4に示した、メモリ402などに記憶されたプログラム(たとえば、PC持出管理システム状態連携用プログラムなど)をCPU401に実行させることによって、その機能を実現することができる。
(デバイス103の機能的構成例)
図8は、デバイスの機能的構成の一例を示すブロック図である。デバイス103は、電子錠制御部800と、電子錠801と、記憶部802と、送信部803と、受信部804と、電源制御部805と、表示制御部806と、表示画面807と、を有する構成となっている。これらの各構成部801~807によって、デバイス103の制御部を構成することができる。
電子錠制御部800は、デバイス103全体の制御を司るとともに、電子錠801の動作、すなわち、電子錠801の施錠/解錠を制御する。電子錠制御部800は、たとえば、接続先の端末装置(保護/管理対象100)によりUSB端子105を介して電力の供給を受けて、デバイス103が保護/管理対象100において利用可能な状態になった場合に、電子錠801を制御して施錠状態に設定する。
また、電子錠制御部800は、たとえば、接続先の保護/管理対象PC100によりUSB端子105を介して電力の供給を受けた状態で、デバイス103が保護/管理対象PC100において利用可能な状態から、保護/管理対象100からの切り離し状態に移行した場合に、電子錠801を制御して解錠状態に設定する。電子錠制御部800は、具体的には、たとえば、図5に示した、メモリ502などに記憶されたプログラムをマイコン501に実行させることによって、その機能を実現することができる。
電子錠801は、電子錠制御部800の制御により、フック201を駆動し、電子錠の施錠/解錠処理をおこなう。電子錠801は、具体的には、たとえば、図5に示した、フック201およびフック駆動機構503などによって、その機能を実現することができる。
記憶部802は、デバイス103を認識可能とするドライバ305を、接続されたPC100に提供可能に記憶する。また、記憶部802は、電子錠801の施錠/解錠を制御するプログラム、具体的には、セキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304を、接続された保護/管理対象PC100に提供可能に記憶する。記憶部802は、具体的には、たとえば、図5に示した、メモリ502などによって、その機能を実現することができる。
送信部803は、電子錠制御部800の制御に基づいて、記憶部802に記憶されているドライバ305、PIN設定プログラム304を、保護/管理対象PC100へ送信する。送信部803は、具体的には、たとえば、図5に示した、USB I/F504などによって、その機能を実現することができる。
受信部804は、接続先の保護/管理対象PC100から、デバイス103が保護/管理対象PC100において利用可能な状態となったことを示す情報を受信し、当該情報を電子錠制御部800へ送る。受信部804は、具体的には、たとえば、図5に示した、USB I/F504などによって、その機能を実現することができる。
電子錠制御部800は、受信部804からデバイス103が保護/管理対象PC100において利用可能な状態となったことを示す情報を受け取った場合に、電子錠801を制御して施錠状態に設定する。
また、受信部804は、接続先の保護/管理対象PC100から、デバイス103が保護/管理対象PC100から切り離し状態となったことを示す情報を受信し、当該情報を電子錠制御部800へ送る。そして、電子錠制御部800は、受信部804からデバイス103が保護/管理対象PC100から切り離し状態となったことを示す情報を受け取った場合に、電子錠801を制御して解錠状態に設定する。
電源制御部805は、USB端子105を介して、保護/管理対象PC100(あるいは、後述する、図示を省略する解除用PC)から給電を受け、各構成部に電力供給の制御をおこなう。電源制御部805は、具体的には、たとえば、図5に示した、メモリ502などに記憶されたプログラムをマイコン501に実行させることによって、その機能を実現することができる。
表示制御部806は、表示画面807を制御して、デバイスの操作内容に関する画面、PINコードの入力画面、その他の通知画面を表示する。表示制御部806は、具体的には、たとえば、図5に示した、メモリ502などに記憶されたプログラムをマイコン501に実行させることによって、その機能を実現することができる。また、表示画面807は、具体的には、たとえば、図5に示した、ディスプレイ505などによって、その機能を実現することができる。
PINコード入力部808は、PINコードの入力を受け付ける。PINコードの入力は、たとえば、表示画面807に表示される操作内容にしたがっておこなわれる。PINコード入力部808は、具体的には、たとえば、図5に示した、キースイッチ506などによって、その機能を実現することができる。
通常、本システムにおいては、認証用PINコードは、図7に示したように、保護/管理対象PC100のPINコード受付部703によって受け付けられ、保護/管理対象PC100とデバイス703の双方において記憶される。これ代わって、デバイス103のPINコード入力部808において入力されたPINコードを、送信部803が保護/管理対象PC100へ送信することによって、このPINコードを、認証用PINコードとして、保護/管理対象PC100(の記憶部702)とデバイス703(の記憶部802)の双方に記憶するようにしてもよい。
また、保護/管理対象PC100の判断部704は、PINコード受付部703によって入力が受け付けられたPINコードに代わって、あるいは、当該PINコードに加えて、デバイス103の送信部803によって保護/管理対象PC100へ送信され、保護/管理対象PC100の受信部701によって受信されたPINコード用いて、当該PINコードが、記憶部702に記憶されている正規のPINコードと合致するか否かを判断するようにしてもよい。
このように、保護/管理対象PC100とデバイス103とが、USB接続ケーブ104によって接続されている状態においては、PINコードの入力は、保護/管理対象PC100側、デバイス103側のどちらか一方からおこなうことができる。また、セキュリティ強化のため、保護/管理対象PC100側、デバイス103側の双方からそれぞれおこなうようにし、両者が一致するかの照合をおこうようにしてもよい。
これにより、端末装置(保護/管理対象PC100)および電子錠(デバイス103)の少なくともいずれかへのパスワード(PINコード)の入力に基づいて電子錠の施錠/解錠を制御をおこなうことができる。
また、電子錠制御部800は、たとえば、接続先の保護/管理対象PC100以外の端末装置(たとえば、図示を省略する解除用PC)によりUSB端子105を介して電力の供給を受けた状態で、PINコード入力部808からPINコードの入力を受け付けた場合に、入力されたPINコードと記憶部802に記憶されている認証用PINコードとを比較する。そして、両者が合致する場合は、電子錠801を制御して解錠状態に設定するようにしてもよい。これは、たとえば、緊急用の処置として、保護/管理対象PC100が故障した場合などに実施される(後述する図13のフローチャートを参照)。
(保護/管理対象PC100の処理の手順)
図9~11は、保護/管理対象PCの処理の手順の一例を示すフローチャートである。ここで、図9のフローチャートは、デバイス103の初回設定時における処理の内容を示している。
図9のフローチャートにおいて、USBポート112に、デバイス103(のUSB端子105)が接続されたか否かを判断する(ステップS901)。ここで、デバイス103が接続されるのを待って(ステップS901:No)、接続された場合(ステップS901:Yes)は、デバイス103への給電を開始する(ステップS902)。そして、プラグアンドプレイ機能によって、デバイス103との同期を開始する(ステップS903)。
つぎに、デバイス103の設定情報があるか否かを判断する(ステップS904)。ここで、デバイス103の設定情報がある場合(ステップS904:Yes)は、後述する図11のフローチャートのステップS1103へ移行する。一方、デバイス103の設定情報がない場合(ステップS904:No)は、初回設定をするため、デバイス103によって送信されるドライバ305を受信したか否かを判断する(ステップS905)。
ステップS905において、ドライバ305を受信するのを待って(ステップS905:No)は、ドライバ305を受信した場合(ステップS905:Yes)は、受信したドライバ305をインストールする(ステップS906)。つぎに、デバイス103によって送信されるデバイス固有の情報を受信したか否かを判断する(ステップS907)。ここで、デバイス固有の情報を受信するのを待って(ステップS907:No)は、デバイス固有の情報を受信した場合(ステップS907:Yes)は、受信したデバイス固有の情報を、あらかじめ設けられたデバイス設定情報領域に記憶する(ステップS908)。
つぎに、デバイス103によって送信されるセキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304を受信したか否かを判断する(ステップS909)。ここで、PIN設定プログラム304を受信するのを待って(ステップS909:No)は、PIN設定プログラム304を受信した場合(ステップS909:Yes)は、受信したPIN設定プログラム304をインストールする(ステップS910)。そして、インストールが終了し次第、インストールされたPIN設定プログラム304を起動する(ステップS911)。
PIN設定プログラム304が起動されると、PINコードを入力作業を含むPIN情報の初回登録を促す(ステップS912)。具体的には、初回登録を促す画面をディスプレイ406に表示し、ユーザが初回登録をおこなうことを促すことができる。そして、ユーザによってPINコードが入力されたか否かを判断する(ステップS913)。ここで、PINコードが入力されるのを待って(ステップS913:No)、PINコードが入力された場合(ステップS913:Yes)に、初回設定の登録の確定処理をおこなう(ステップS914)。
ここで、確定処理とは、入力されたPINコード情報を所定の領域に記憶することによる認証用PINコードの登録処理、および、デバイス103の状態をデバイス認識状態(有効化状態)とする処理が含まれる。
つぎに、登録されたPINコード情報をデバイス103へ送信する(ステップS915)。これにより、デバイス103は、ユーザにより入力されたPINコード情報を知ることができ、そのPINコード情報は、デバイス103の記憶部802に記憶される(後述する図12のフローチャートのステップS1207を参照)。また、デバイス認証信号をデバイス103へ送信する(ステップS916)。その後、図10のフローチャートのステップS1001へ移行する。
図10のフローチャートは、デバイス103の初回設定の登録が終了し、持ち帰り状態となっている保護/管理対象PC100を、持ち出し状態へと変更する際の処理の内容を示している。
図10のフローチャートにおいて、USBポート112から、デバイス103(のUSB端子105)が切り離されたか否かを判断する(ステップS1001)。ここで、デバイス103が切り離されていない場合(ステップS1001:No)は、つぎに、保護/管理対象PC100の電源がOFFになったか否かを判断する(ステップS1002)。ここで、保護/管理対象PC100の電源がOFFになった場合(ステップS1002:Yes)は、その後は、何もせずに(電源がOFFになっているので何もできないので)、保護/管理対象PC100での一連の処理は終了する。
ステップS1002において、PCの電源がOFFになっていない場合(ステップS1002:No)は、つぎに、PIN設定プログラム304の起動要求があったか否かを判断する(ステップS1003)。ここで、PIN設定プログラム304の移動要求がない場合(ステップS1003:No)は、ステップS1001へ戻る。一方、PIN設定プログラム304の起動要求があった場合(ステップS1003:Yes)は、PIN設定プログラム304を起動する(ステップS1004)。
つぎに、PINコードが入力されたか否かを判断する(ステップS1005)。ここで、PINコードが入力された場合(ステップS1005:Yes)は、つぎに、入力されたPINコードが登録された認証用PINコードと合致するか否かを判断する(ステップS1006)。ここで、両者が合致する場合(ステップS1006:Yes)は、デバイス103の状態をデバイス切り離し状態に変更する(ステップS1007)。そして、デバイス切り離し状態になったことを示すデバイス切断信号をデバイス103へ送信する(ステップS1008)。これにより、一連の処理を終了する。
一方、ステップS1006において、入力されたPINコードが登録された認証用PINコードと合致しなかった場合(ステップS1006:No)は、エラー処理を実行し(テップS1009)、その後、一連の処理を終了する。エラー処理は、具体的には、所定回数だけ、PINコードの入力を繰り返しおこなわせる。その入力において合致した場合は、ステップS1007へ移行する。所定回数繰り返し入力をおこなわせた結果、いずれも合致しなかった場合は、認証に失敗したとして、ディスプレイ406にエラーメッセージを表示する。
また、保護/管理対象PC100の不正な持ち出しを阻止するため、その後の処理はおこなわない。したがって、デバイスを切り離し状態には変更せず、それにより、電子錠801の施錠の状態を維持する。その場合は、たとえば管理者などによる対応により、電子錠801の解錠処理をおこなうようにするとよい。
ステップS1001において、USBポート112から、デバイス103(のUSB端子105)が切り離された場合(ステップS1001:Yes)は、つぎに、USBポート112に、デバイス103が接続されたか否かを判断する(ステップS1010)。ここで、USBポート112にデバイス103が接続されるのを待って(ステップS1010:No)、接続された場合(ステップS1010:Yes)は、デバイス103への給電を開始し(ステップS1011)、その後、ステップS1001へ戻る。
このステップS1010~S1011の処理は、たとえば、不用意にUSB端子105がUSBポート112から切り離された場合であって、その後、同じ端末装置(保護/管理対象PC100)に接続をし直すことによって、元の状態へ復旧できることを想定している。また、ステップS1010において、同じ端末装置のUSBポートに接続されなかった場合、あるいは、別の端末装置のUSBポートに接続された場合は、不正な持ち出し操作の可能性があるため、その後の処理はおこなわない。したがって、デバイス103をデバイス切り離し状態には変更せず、デバイス103の電子錠801は施錠の状態を維持する。
ステップS1005において、PINコードが入力されていない状態(ステップS1005:No)で、USBポート112から、デバイス103(のUSB端子105)が切り離された場合(ステップS1012:Yes)は、ステップS1010へ移行し、以後、ステップS1010~S1011の処理を実行する。
ステップS1012において、端末装置のUSBポート112から、デバイス103が切り離されなかった場合(ステップS1012:No)は、つぎに、電源がOFFになったか否かを判断する(ステップS1013)。そして、電源がOFFになっていない場合(ステップS1013:No)は、ステップS1005へ戻る。一方、電源がOFFになった場合(ステップS1013:Yes)は、その後、何もせずに、一連の処理を終了する。
図11のフローチャートは、持ち出し状態となっている保護/管理対象PC100を、持ち帰り状態へと変更する際の処理の内容を示している。
図11のフローチャートにおいて、USBポート112に、デバイス103(のUSB端子105)が接続されているか否かを判断する(ステップS1101)。ここで、デバイス103が接続されるのを待って(ステップS1101:No)、接続された場合(ステップS1101:Yes)は、デバイス103への給電を開始する(ステップS1102)。
そして、プラグアンドプレイ機能によって、デバイス103との同期を開始し、デバイス103へ設定情報有りを示す信号を送信する(ステップS1103)。これによって、デバイス103からのドライバ305およびセキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304の送信はおこなわれない。
つぎに、USBポート112から、デバイス103(のUSB端子105)が切り離されたか否かを判断する(ステップS1104)。ここで、デバイス103が切り離されていない場合(ステップS1104:No)は、すでにインストールされているPIN設定プログラム304の起動要求があったか否かを判断する(ステップS1105)。ここで、PIN設定プログラム304の起動要求がない場合(ステップS1105:No)は、ステップS1104へ戻る。一方、PIN設定プログラム304の起動要求があった場合(ステップS1105:Yes)は、PIN設定プログラム304を起動する(ステップS1106)。
そして、PINコードが入力されたか否かを判断する(ステップS1107)。ここで、PINコードが入力された場合(ステップS1107:Yes)は、つぎに、入力されたPINコードが登録された認証用PINコードと合致するか否かを判断する(ステップS1108)。ここで、両者が合致する場合(ステップS1108:Yes)は、デバイス103の状態をデバイス認識状態に変更する(ステップS1109)。そして、デバイス認識状態になったことを示すデバイス認識信号をデバイス103へ送信する(ステップS1110)。これにより、一連の処理を終了し、図10のフローチャートのステップS1001へ移行する。
一方、ステップS1108において、入力されたPINコードが登録された認証用PINコードと合致しなかった場合(ステップS1108:No)は、エラー処理を実行し(ステップS1111)、その後、一連の処理を終了する。エラー処理は、図10のフローチャートのステップS1009と同様の処理をおこなうようにしてもよい。
また、保護/管理対象PC100の不正な持ち帰り(たとえば、何らかの方法で不正な持ち出しに成功したPC100をこっそりと元の持ち帰り状態に戻すような行為)を阻止するため、その後の処理はおこなわない。したがって、デバイスを認識状態には変更せず、それにより、電子錠の解錠の状態を維持し、施錠はおこなわない。
ステップS1104において、端末装置のUSBポート112から、デバイス103(のUSB端子105)が切り離された場合(ステップS1104:Yes)は、つぎに、USBポート112に、デバイス103が接続されたか否かを判断する(ステップS1112)。ここで、USBポート112にデバイス103が接続されるのを待って(ステップS1112:No)、接続された場合(ステップS1112:Yes)は、ステップS1102へ戻る。
このステップS1104およびS1112の処理は、たとえば、不用意にUSB端子105がUSBポート112から切り離された場合であって、その後、同じ端末装置(保護/管理対象PC100)に接続をし直すことによって、元の状態へ復旧できることを想定している。また、ステップS1112において、同じ端末装置のUSBポートに接続されなかった場合、あるいは、別の端末装置のUSBポートの接続された場合は、不正な持ち帰り操作の可能性があるため、その後の処理はおこなわない。したがって、デバイス103をデバイス認識状態には変更せず、デバイス103の電子錠801は解錠の状態を維持する。
ステップS1107において、PINコードが入力されていない状態(ステップS1107:No)で、USBポート112から、デバイス103(のUSB端子105)が切り離された場合(ステップS1113:Yes)は、ステップS1112へ移行する。一方、ステップS1113において、端末装置のUSBポート112から、デバイス103が切り離されなかった場合(ステップS1113:No)は、つぎに、電源がOFFになったか否かを判断する(ステップS1114)。そして、電源がOFFになっていない場合(ステップS1114:No)は、ステップS1107へ戻る。一方、電源がOFFになった場合(ステップS1114:Yes)は、その後、何もせずに、一連の処理を終了する。
(デバイス103の処理の手順)
図12および図13は、デバイスの処理の手順の一例を示すフローチャートである。ここで、図12のフローチャートは、デバイス103の初回設定時における処理および保護/管理対象PC100の持ち帰り時における処理の内容を示している。
図12のフローチャートにおいて、保護/管理対象PC100からの給電があったか否かを判断する(ステップS1201)。ここで、給電があるのを待って(ステップS1201:No)、給電があった場合(ステップS1201:Yes)は、つぎに、保護/管理対象PC100から設定情報有りを示す信号を受信したか否かを判断する(ステップS1202)。
ステップS1202において、設定情報有りを示す信号を受信した場合(ステップS1202:Yes)は、初回設定の登録は不要であるので、ステップS1208へ移行する。一方、設定情報有りを示す信号を受信しなかった場合(ステップS1202:No)は、初回設定の登録をするために、ドライバ305を保護/管理対象PC100へ送信する(ステップS1203)。また、デバイス固有の情報を保護/管理対象PC100へ送信する(ステップS1204)。そして、PIN設定プログラム304を保護/管理対象PC100へ送信する(ステップS1205)。
つぎに、保護/管理対象PC100からPINコード情報を受信したか否かを判断する(ステップS1206)。ここで、PINコード情報を受信するのを待って(ステップS1206:No)、PINコード情報を受信した場合(ステップS1206:Yes)は、受信したPINコード情報に基づいて、PINコード情報の設定処理(受信したPINコードを認証用PINコードとして登録するなどの処理)をおこなう(ステップS1207)。
つぎに、デバイス認証信号を保護/管理対象PC100から受信したか否かを判断する(ステップS1208)。ここでデバイス認証信号を受信するのを待って(ステップS1208:No)、デバイス認証信号を受信した場合(ステップS1208:Yes)は、電子錠801を施錠する(ステップS1209)。その後、図13のフローチャートのステップS1301へ移行する。
図13のフローチャートは、保護/管理対象PC100の持ち出し時における処理および保護/管理対象PC100の故障時における処理の内容を示している。
図13のフローチャートにおいて、保護/管理対象PC100からの給電がOFFになったか否かを判断する(ステップS1301)。ここで、給電がOFFになっていない場合(ステップS1301:No)は、つぎに、保護/管理対象PC100からデバイス切断信号を受信したか否かを判断する(ステップS1302)。
ステップS1302において、デバイス切断信号を受信しない場合(ステップS1302:No)は、ステップS1301へ戻り、デバイス切断信号の受信を待つ。そして、デバイス切断信号を受信した場合(ステップS1302:Yes)は、電子錠801を解錠する(ステップS1303)。これにより、一連の処理を終了する。
ステップS1301において、給電がOFFになった場合(ステップS1301:Yes)は、つぎに、給電がONになったか否かを判断する(ステップS1304)。ここで、給電がない以上、デバイス103は動作することができないため、給電がONになるのを待って(ステップS1304:No)、給電がONになった場合(ステップS1304:Yes)は、その給電が保護/管理対象PC100からのものであるか否かを判断する(ステップS1305)。
ステップS1305において、給電が保護/管理対象PC100からのものである場合(ステップS1305:Yes)は、ステップS1302へ移行する。この場合は、保護/管理対象PC100の電源がOFFになった場合、あるいは、不用意にUSB端子105がUSBポート112から切り離された場合であり、給電がONになることで、元の状態へ復旧できることを想定している。
ステップS1305において、給電が保護/管理対象PC100からのものではない場合(ステップS1305:No)は、その給電が、電子錠801の解除用のPCであるか否かを判断する(ステップS1306)。電子錠801の解除用のPCはその識別情報があらかじめ登録されており、その識別情報によって解除用のPCか否かを判断することができる。
ステップS1306において、解除用のPCではないと判断した場合(ステップS1306:No)は、不正な持ち出しの可能性があると判断して、一連の処理を終了する。一方、解除用のPCである場合(ステップS1306:Yes)は、保護/管理対象PC100が故障などにより動作できなくなり、それに代わって、解除用のPCからの給電によって、デバイス103を作動させようとしていると判断することができる。そのため、デバイス103の表示部202において、電子錠を解消させるためにPINコードを入力する旨の表示画面をONする(ステップS1307)。
そして、PINコードが入力されたか否かを判断する(ステップS1308)。ここで、PINコードが入力されるのを待って(ステップS1308:No)、PINコードが入力された場合(ステップS1308:Yes)は、入力されたPINコードがデバイスに登録された認証用PINコードと合致するか否かを判断する(ステップS1309)。ここで、両者が合致する場合(ステップS1309:Yes)は、電子錠801を解錠する(ステップS1310)。
その後、保護/管理対象PC100が故障したと判断しているので、登録されている内容についてリセット処理し(ステップS1311)、一連の処理を終了する。
一方、ステップS1309において、入力されたPINコードが登録された認証用PINコードと合致しなかった場合(ステップS1309:No)は、エラー処理を実行し(ステップS1312)、その後、一連の処理を終了する。エラー処理は、具体的には、図10のフローチャートのステップS1009と同様に、所定回数だけ、PINコードの入力を繰り返しおこなわせる。その入力において合致した場合は、ステップS1310へ移行する。所定回数繰り返し入力をおこなわせた結果、いずれも合致しなかった場合は、認証に失敗したとして、表示部202にエラーメッセージを表示する。
(PC持出管理システム状態連携用プログラムの処理の手順)
図14および図15は、PC持出管理システム状態連携用プログラムが実行する処理の手順の一例を示すフローチャートである。
図14のフローチャートは、PC持出管理システム状態連携用プログラム303が、OS301内のドライバ設定情報領域内におけるデバイスの情報の確認に関する処理の内容を示している。
図14のフローチャートにおいて、所定のタイミング(周期)になったか否かを判断する(ステップS1401)。ここで、所定のタイミングになるのを待って(ステップS1401:No)、所定のタイミングになった場合(ステップS1401:Yes)は、OS301内のドライバ設定情報領域を確認する(ステップS1402)。そして、当該領域に、デバイスの情報があるか否かを判断する(ステップS1403)。
ステップS1403において、デバイスの情報がある場合(ステップS1403:Yes)は、PC持出管理システム(Webサーバ)300へ、保護/管理対象PC100に関する情報およびデバイス103に関する情報を送信する(ステップS1404)。これにより一連の処理を終了する。一方、デバイスの情報がない場合(ステップS1403:No)は、何もせずに、一連の処理を終了する。
図15のフローチャートは、PC持出管理システム状態連携用プログラム303が、OS301内のドライバ設定情報領域内におけるデバイスの情報(USBデバイス状態)の変更の確認に関する処理の内容を示している。
図15のフローチャートにおいて、所定のタイミング(周期)になったか否かを判断する(ステップS1501)。ここで、所定のタイミングになるのを待って(ステップS1501:No)、所定のタイミングになった場合(ステップS1501:Yes)は、OS301内のUSBデバイス接続状態を確認する(ステップS1502)。そして、USBデバイス接続状態に変更があったか(デバイス接続が有効化の状態(デバイス認識の状態)になった変更があったか)否かを判断する(ステップS1503)。
ここで、デバイス接続が有効化の状態となるような変更があった場合(ステップS1503:Yes)は、保護/管理対象PC100が持ち帰り状態にあると判定する(ステップS1504)。そして、PC持出管理システム(Webサーバ)300の持ち帰り申請処理を実行する(ステップS1505)。これにより、保護/管理対象PC100は持ち帰りの状態であることが、PC持出管理システム(Webサーバ)300により管理される。
ステップS1503において、デバイス接続が有効化の状態となるような変更がない場合(ステップS1503:No)は、何もせずに、ステップS1506へ移行する。
つぎに、ステップS1506において、USBデバイス接続状態に変更があったか(デバイス接続が無効化の状態(デバイス切り離しの状態)になった変更があったか)否かを判断する(ステップS1506)。ここで、デバイス接続が無効化の状態となるような変更があった場合(ステップS1506:Yes)は、保護/管理対象PC100が持ち出し状態にあると判定する(ステップS1507)。そして、PC持出管理システム(Webサーバ)300の持ち出し申請処理を実行する(ステップS1508)。これにより、保護/管理対象PC100は持ち出しの状態であることが、PC持出管理システム(Webサーバ)300により管理される。
ステップS1506において、デバイス接続が無効化の状態となるような変更がない場合(ステップS1506:No)、すなわち、USBデバイス接続状態に変化がない場合は、何もせずに、一連の処理を終了する。
このように、PC持出管理システム状態連携用プログラム303は、OS301内のUSBデバイス接続状態を確認することで、その状態の変化から、保護/管理対象PC100の持ち出し/持ち帰りの状態を判定する。そして、その判定結果に基づいて、PC持出管理システム(Webサーバ)300に、保護/管理対象PC100の持ち出し/持ち帰りを管理させることができる。
(全体動作の概要)
図16は、全体動作の概要を示す説明図である。図16において、処理項目は、「1.初期利用時」、「2.電子錠解錠用の復号鍵(PIN)の登録」、「3.PC持ち出し時」、「4.PC持ち帰り時」、「5.異常処理」からなる。
「1.初期利用時」における動作内容
(1)セキュリティワイヤー101を物理的に固定する。具体的には、机の脚などに巻き付ける。そして、保護/管理対象PC100を起動する。この際、電子錠の状態は「OPEN」、すなわちフック201が、図2、図3Aに示したように、互いに近づいている状態である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態である。また、PC持出管理システム300での状態は「無効(管理対象外)」である。
(2)USB接続ケーブル104(USB端子105)を保護/管理対象PC100のUSBポートに接続する。この際、電子錠の状態は「OPEN」の状態である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態である。また、PC持出管理システム300での状態は「無効(管理対象外)」である。
(3)ドライバ305をインストールする。この際、電子錠の状態は「OPEN」の状態である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態である。また、PC持出管理システム300での状態は「管理対象に追加」となる。
「2.電子錠解錠用の復号鍵(PIN)の登録」における動作内容
(1)セキュリティワイヤー101(のフック201)をセキュリティスロット111に接続する。この際、電子錠の状態は「OPEN」である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態である。また、PC持出管理システム300での状態は「持出前」である。
(2)PINコード情報を設定する。PINコード情報の入力を受け付け、認証用のPINコードとする。この際、電子錠の状態は「OPEN」である。そして、保護/管理対象PC100上でのデバイスの状態は、「有効」の状態となる。また、PC持出管理システム300での状態は「持ち帰り」となる。
(3)デバイス103へPINコード情報を送信する。この際、電子錠の状態は「CLOSE」、すなわちフック201が、図3Bに示したように、互いに離れている状態となる。保護/管理対象PC100上でのデバイスの状態は、「有効」の状態であり、PC持出管理システム300での状態は「持ち帰り」である。
「3.PC持ち出し時」における動作内容
(1)PIN設定プログラム304を起動し、PINコードの入力を受ける。この際の電子錠の状態は「CLOSE」である。また、保護/管理対象PC100上でのデバイスの状態は、「有効」の状態であり、PC持出管理システム300での状態は「持ち帰り」である。
(2)そして、「デバイス切り離し状態(有効化)」に変更する。この際の電子錠の状態は「CLOSE」である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態となる。また、PC持出管理システム300での状態は「持ち出し」となる。
(3)デバイス103が切断信号を受信する。この際の電子錠の状態は「OPEN」となる。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態であり、PC持出管理システム300での状態は「持ち出し」である。
「4.PC持ち帰り時」における動作内容
(1)セキュリティワイヤー101(のフック201)をセキュリティスロット111に接続し、USB接続ケーブル104(USB端子105)を保護/管理対象PC100のUSBポートに接続する。この際の電子錠の状態は「OPEN」である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態であり、PC持出管理システム300での状態は「持ち出し」である。
(2)PIN設定プログラム304を起動し、PINコードの入力を受ける。この際の電子錠の状態は「OPEN」である。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態であり、PC持出管理システム300での状態は「持ち出し」である。
(3)そして、「デバイス認識状態(無効化)」に変更する。この際の電子錠の状態は「OPEN」である。また、保護/管理対象PC100上でのデバイスの状態は、「有効」の状態となる。また、PC持出管理システム300での状態は「持ち帰り」となる。
(4)デバイス103が認識信号を受信する。この際の電子錠の状態は「CLOSE」となる。また、保護/管理対象PC100上でのデバイスの状態は、「有効」の状態であり、PC持出管理システム300での状態は「持ち帰り」である。
「5.異常処理」における動作内容
(1)セキュリティワイヤー101をセキュリティスロット111に固定中、USB接続ケーブル104のみ切断した場合、電子錠の状態は「CLOSE」、すなわち現状のままである。また、保護/管理対象PC100上でのデバイスの状態は、「無効」の状態のままである。また、PC持出管理システム300での状態も、元状態(「持ち帰り」の状態)を維持したままである。
(2)セキュリティワイヤー101をセキュリティスロット111に固定中、保護/管理対象PC100の電源がOFF(サスペンド状態)になった場合、電子錠の状態は「CLOSE」、すなわち現状のままである。また、保護/管理対象PC100上でのデバイスの状態も、PC持出管理システム300での状態も、元状態(「持ち帰り」の状態)を維持したままである。
(3)セキュリティワイヤー101をセキュリティスロット111に固定中、保護/管理対象PC100が故障した場合、電子錠の状態は「CLOSE」、すなわち現状のままである。また、保護/管理対象PC100上でのデバイスの状態も、PC持出管理システム300での状態も、機能しなくなる。
(4)そして、デバイス103が解除用PCから給電を受け、キーススイッチ203からPINコードの入力を受けた場合、電子錠の状態は「OPEN」となり、セキュリティワイヤー101をセキュリティスロット111から抜き取ることができるようになる。
このように、各動作内容によって、PC上でのデバイス状態が推移し、それによって、電子錠801(フック201)の状態が変わり、PC持出管理システム300での管理の状態も変わる。このように、保護/管理対象PC100上でのデバイス状態に基づいて、電子錠の施錠または解錠を制御することができるとともに、PC持出管理システム300での保護/管理対象PC100の持ち出し管理をおこなうことができる。
以上説明したように、本実施の形態によれば、端末装置(保護/管理対象PC100)の持ち出しを制御するにあたり、セキュリティワイヤー101の一端に設けられたUSB端子105を介して、端末装置100から供給される電力によって稼働する電子錠801が作動している際に、端末装置100および電子錠801の少なくともいずれかへのパスワードの入力に基づいて、電子錠801の施錠または解錠を制御する。また、電子錠801の施錠または解錠の状況に基づく端末装置100の持ち出し管理をおこなう。
より具体的には、パスワードの入力に基づいて、電子錠801を備えたデバイス103の状態を、端末装置100における利用可能な状態から、端末装置100からの切り離し状態へ、または、端末装置100からの切り離し状態から端末装置100における利用可能な状態へと変更する。
そして、デバイス103が端末装置100における利用可能な状態である場合に、端末装置100が持ち帰りの状態であると判断する。また、デバイス103が端末装置100からの切り離し状態である場合に、端末装置100が持ち出しの状態であると判断する。
これによって、セキュリティワイヤー101を、汎用のUSBポートデバイスとして動作させることが可能となる。したがって、PC100とデバイス103間で、所定のソフトウェアアプリケーションが使用可能な通信プロトコルや情報の送受をおこなわなくて済む。したがって、PC100側の設定やプログラム改ざんなどにより、デバイス103の施錠または解錠を侵害するリスクを局所化することができる。
また、すでにPC持ち出し/持ち帰りを判定する管理システムがある場合に、本盗難防止用ワイヤーを使用した持ち出し/持ち帰り判定する際に、必要最小限の改造で実現が可能となる。
また、OSのUSBデバイス接続状態で自動的にセキュリティポートの施錠または解錠を制御することで、ヒューマンエラーや誤認識での操作不全や不備を検知し、認知させることができる。
また、本実施の形態によれば、パスワードとして、PINコードに関する情報を用いることができる。これによって、より簡易にかつ確実に、電子錠801の施錠または解錠を制御することができる。
また、本実施の形態によれば、電子錠801を備えたデバイス103が、接続先から電力の供給を受けることが可能なUSB端子105と、USB端子105が接続され、接続先の端末装置100によりUSBポート112から端子105を介して電力の供給を受けて、デバイス103が端末装置100において利用可能な状態になると、電子錠801を制御して施錠状態に設定する制御部800を備えている。
その制御部800は、接続先の端末装置100によりUSBポート112から端子105を介して電力の供給を受けて、デバイス103が端末装置100において利用可能な状態になると、電子錠801を制御して施錠状態に設定するようにしたが、接続先の端末装置100によりUSBポート112から端子105を介して電力の供給を受けると、デバイス103が端末装置100において利用可能な状態になるようにしてもよい。
デバイス103が端末装置100において利用可能な状態になるということは、たとえば、電力供給を受けるだけでなく、利用に向けた準備処理も終えることを示している。また、端子105が接続され、接続先の端末装置100により端子105を介して電力の供給を受けると、電子錠801を制御して施錠状態に設定するということは、たとえば、単に電力供給で作動することを示している。
このように、構成することによって、パスワードの入力をしなくても給電を受けるだけで、電子錠801を制御して施錠状態に設定することができる。したがって、施錠状態にする際に、パスワードの入力処理を省略することができる。これにより、ユーザに対して、PC持ち帰りの際の操作をより簡易にかつ確実におこなわせることができるようになる。
また、その制御部800は、たとえば、接続先の端末装置100から、デバイス103が端末装置100において利用可能な状態となったことを示す情報を受信した場合に、電子錠801を制御して施錠状態に設定することができる。
また、その制御部800は、接続先の端末装置100によりUSB端子105を介して電力の供給を受けた状態で、デバイス103が端末装置100において利用可能な状態から端末装置100からの切り離し状態に移行した場合に、電子錠801を制御して解錠状態に設定することができる。
その制御部800は、たとえば、接続先の端末装置100から、デバイス103が切り離し状態となったことを示す情報を受信した場合に、電子錠801を制御して解錠状態に設定することができる。
これによって、セキュリティワイヤー101は、より確実にかつ簡易に電子錠801の施錠または解錠を制御することができる。
また、本実施の形態によれば、デバイス103は、デバイスを認識可能とするドライバ305、または、電子錠の施錠または解錠を制御するプログラム(セキュリティワイヤー鍵復号プログラム(PIN設定プログラム)304)を、接続された端末装置100に提供可能に記憶する記憶部802を備える。
これによって、USB端子105を接続するだけで、プラグアンドプレイ機能によって、デバイス103との同期を図り、電子錠の施錠または解錠を制御するプログラムを自動的にインストールすることができ、ユーザの負担をより軽減することができる。
このように、本実施の形態によれば、保護/管理対象PC100に対するセキュリティを向上させることができるとともに、保護/管理対象PC100の持ち出し管理をより簡易におこなうことができる。
なお、本実施の形態で説明した持ち出し管理方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することにより実現することができる。持ち出し管理プログラムは、ハードディスク、フレキシブルディスク、CD(Compact Disc)-ROM、MO(Magneto-Optical Disk)、DVD(Digital Versatile Disk)、フラッシュメモリ、USB(Universal Serial Bus)メモリなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、持ち出し管理プログラムは、インターネットなどのネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)端末装置の持ち出しを制御する持ち出し管理プログラムであって、
セキュリティワイヤーの一端に設けられた端子を介して、前記端末装置から供給される電力によって稼働する電子錠が作動している際に、前記端末装置および前記電子錠の少なくともいずれかへのパスワードの入力に基づいて前記電子錠の施錠または解錠を制御し、
前記電子錠の施錠または解錠の状況に基づく前記端末装置の持ち出し管理をおこなう、
処理をコンピュータに実行させることを特徴とする持ち出し管理プログラム。
(付記2)前記パスワードの入力に基づいて、前記電子錠を備えたデバイスの状態を、前記端末装置における利用可能な状態から、前記端末装置からの切り離し状態へ、または、前記端末装置からの切り離し状態から前記端末装置における利用可能な状態へ、と変更する、
ことを特徴とする付記1に記載の持ち出し管理プログラム。
(付記3)前記デバイスが前記端末装置における利用可能な状態である場合に、前記端末装置が持ち帰りの状態であると判断することを特徴とする付記2に記載の持ち出し管理プログラム。
(付記4)前記デバイスが前記端末装置からの切り離し状態である場合に、前記端末装置が持ち出しの状態であると判断することを特徴とする付記2または3に記載の持ち出し管理プログラム。
(付記5)前記端子はUSB端子であって、当該USB端子が前記端末装置のUSBポートに接続されることを特徴とする付記1~4のいずれか一つに記載の持ち出し管理プログラム。
(付記6)前記パスワードは、PINコードに関する情報であることを特徴とする付記1~5のいずれか一つに記載の持ち出し管理プログラム。
(付記7)端末装置の持ち出しを制御する持ち出し管理方法であって、
セキュリティワイヤーの一端に設けられた端子を介して、前記端末装置から供給される電力によって稼働する電子錠が作動している際に、前記端末装置および前記電子錠の少なくともいずれかへのパスワードの入力に基づいて前記電子錠の施錠または解錠を制御し、
前記電子錠の施錠または解錠の状況に基づく前記端末装置の持ち出し管理をおこなう、
処理をコンピュータが実行することを特徴とする持ち出し管理方法。
(付記8)端末装置の持ち出しを制御する持ち出し管理装置であって、
セキュリティワイヤーの一端に設けられた端子を介して、前記端末装置から供給される電力によって稼働する電子錠が作動している際に、前記端末装置および前記電子錠の少なくともいずれかへのパスワードの入力に基づいて前記電子錠の施錠または解錠を制御し、
前記電子錠の施錠または解錠の状況に基づく前記端末装置の持ち出し管理をおこなう、
制御部を有することを特徴とする持ち出し管理装置。
(付記9)電子錠を備えたデバイスであって、
接続先から電力の供給を受けることが可能な端子と、
前記端子が接続され、接続先の端末装置により前記端子を介して電力の供給を受けて、前記デバイスが前記端末装置において利用可能な状態になると、または、前記端子が接続され、接続先の端末装置により前記端子を介して電力の供給を受けると、前記電子錠を制御して施錠状態に設定する制御部と、
を備えることを特徴とするデバイス。
(付記10)前記制御部は、前記接続先の端末装置から、前記デバイスが前記端末装置において利用可能な状態となったことを示す情報を受信した場合に、前記電子錠を制御して施錠状態に設定する、
ことを特徴とする付記9に記載のデバイス。
(付記11)前記制御部は、前記接続先の端末装置により前記端子を介して電力の供給を受けた状態で、前記デバイスが前記端末装置において利用可能な状態から前記端末装置からの切り離し状態に移行した場合に、前記電子錠を制御して解錠状態に設定する、
ことを特徴とする付記9または10に記載のデバイス。
(付記12)前記制御部は、前記接続先の端末装置から、前記デバイスが切り離し状態となったことを示す情報を受信した場合に、前記電子錠を制御して解錠状態に設定する、
ことを特徴とする付記11に記載のデバイス。
(付記13)前記デバイスを認識可能とするドライバを、接続された前記端末装置に提供可能に記憶する記憶部を備える、
ことを特徴とする付記9~12のいずれか一つに記載のデバイス。
(付記14)前記記憶部は、前記電子錠の施錠または解錠を制御するプログラムを、接続された前記端末装置に提供可能に記憶する、
ことを特徴とする付記13に記載のデバイス。
(付記15)前記端子はUSB端子であることを特徴とする付記9~14のいずれか一つに記載のデバイス。