JP2022157951A - Image forming apparatus - Google Patents
Image forming apparatus Download PDFInfo
- Publication number
- JP2022157951A JP2022157951A JP2021062503A JP2021062503A JP2022157951A JP 2022157951 A JP2022157951 A JP 2022157951A JP 2021062503 A JP2021062503 A JP 2021062503A JP 2021062503 A JP2021062503 A JP 2021062503A JP 2022157951 A JP2022157951 A JP 2022157951A
- Authority
- JP
- Japan
- Prior art keywords
- data
- image forming
- forming apparatus
- area
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Facsimiles In General (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Control Or Security For Electrophotography (AREA)
Abstract
Description
本発明は、不揮発性メモリを備える画像形成装置に関する。さらに詳細には、不揮発性メモリに記憶されるデータを消去する技術に関するものである。 The present invention relates to an image forming apparatus having nonvolatile memory. More particularly, it relates to techniques for erasing data stored in non-volatile memory.
従来、不揮発性メモリを備える画像形成装置において、その不揮発性メモリに記憶されたデータを消去する技術が知られている。例えば特許文献1には、画像形成装置が備える不揮発性メモリの初期化方法が開示されている。
2. Description of the Related Art Conventionally, in an image forming apparatus having a nonvolatile memory, a technique for erasing data stored in the nonvolatile memory is known. For example,
近年、不揮発性メモリへのデータの読み書きを簡便にするため、ファイルシステムが構築されている画像形成装置がある。ファイルシステムを利用することで、画像形成装置に組み込まれたアプリケーションプログラムは、不揮発性メモリにおけるデータの記憶場所となる物理的なアドレスを特定することなく、不揮発性メモリへのデータの読み書きを行うことができる。 2. Description of the Related Art In recent years, there are image forming apparatuses in which a file system is built in order to facilitate reading and writing data to and from a nonvolatile memory. By using the file system, the application program installed in the image forming apparatus can read and write data to the non-volatile memory without specifying the physical address where the data is stored in the non-volatile memory. can be done.
このファイルシステムにおいてデータの削除を行った場合、その削除対象のデータはファイルシステムの管理から外れてファイルシステムを介して読み出すことができなくなるものの、データは不揮発性メモリに残ることがある。そのため、不揮発性メモリに記憶されるデータを消去する場合、安全性を重視すると、不揮発性メモリの記憶領域全体をダミーデータで上書きする等、データを復元困難にすることが望まれる。一方で、不揮発性メモリには、消去したくないデータが混在することもある。そこで、特許文献1に開示されているように、そのようなデータを一時的に別のメモリに退避する方法が採用されることもあるが、別のメモリに一時的に退避する方法の場合、退避するデータを記憶可能な別のメモリが必要になる。
When data is deleted in this file system, the data to be deleted is out of the management of the file system and cannot be read out via the file system, but the data may remain in the non-volatile memory. Therefore, when erasing data stored in a nonvolatile memory, if safety is emphasized, it is desirable to make the data difficult to restore, such as by overwriting the entire storage area of the nonvolatile memory with dummy data. On the other hand, non-volatile memory may contain data that should not be erased. Therefore, as disclosed in
本明細書は、ファイルシステムが構築された画像形成装置において、不揮発性メモリに記憶されるデータを安全に消去することが可能な技術を開示する。 The present specification discloses a technique capable of safely erasing data stored in a nonvolatile memory in an image forming apparatus in which a file system is built.
上述した課題の解決を目的としてなされた画像形成装置は、不揮発性メモリと、画像形成ユニットと、を備える画像形成装置であって、前記画像形成装置は、前記不揮発性メモリへのアクセスに用いるファイルシステムを有し、前記画像形成装置に組み込まれているアプリケーションプログラムは、前記ファイルシステムを介して前記不揮発性メモリへのデータの読み書きが可能であり、前記アプリケーションプログラムには、前記不揮発性メモリに記憶されるデータを用いて、前記画像形成ユニットを動作させるジョブを処理するアプリケーションプログラムが含まれ、前記不揮発性メモリには、前記ファイルシステムによって、パーティションで仕切られた複数の領域が設けられ、前記複数の領域には、第1のデータを記憶可能な第1の領域と、第2のデータを記憶可能な第2の領域と、が含まれ、さらに前記画像形成装置は、セキュリティが施された特定のモジュールを備え、前記特定のモジュールは鍵情報にアクセスしてデータの暗号化が可能であり、さらに前記画像形成装置は、前記第2の領域に前記第2のデータを書き込む指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを暗号化し、暗号化した前記第2のデータを、前記第2の領域に書き込むデータ書込み処理を実行し、さらに前記画像形成装置は、前記第1の領域の消去指示を受け付けた場合、前記不揮発性メモリのうち前記第1の領域の記憶領域を完全消去して前記第1の領域に記憶される前記第1のデータ全てを使用不能にする第1の消去処理を実行し、前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2のデータを前記ファイルシステムによって削除する第2の消去処理を実行する、ことを特徴とする。
An image forming apparatus that aims to solve the above problems is an image forming apparatus that includes a nonvolatile memory and an image forming unit, wherein the image forming apparatus includes a file used to access the nonvolatile memory. An application program that has a system and is installed in the image forming apparatus can read and write data to and from the nonvolatile memory via the file system. an application program for processing a job to operate the image forming unit using the data stored in the image forming unit; the nonvolatile memory is provided with a plurality of partitioned areas by the file system; includes a first area capable of storing first data and a second area capable of storing second data. and the specific module can access key information to encrypt data, and the image forming apparatus receives an instruction to write the second data in the second area. and executing a data write process of encrypting the second data using the specific module and writing the encrypted second data in the second area, and further comprising: When an instruction to erase
上記画像形成装置は、1つの不揮発性メモリをファイルシステムによって複数の領域に分け、第1のデータと第2のデータとを別々の領域に記憶し、領域ごとに異なる消去方法によってデータを消去することで、一方の領域に記憶されたデータを残しつつ、別の領域に記憶されたデータを消去することができる。そして、第1の領域に記憶された第1のデータを完全消去するため、第1のデータの安全性が担保される。第2の領域に記憶された第2のデータを消去する場合は、ファイルシステム上で第2のデータを削除するため、第2のデータが第2の領域に残ることがある。しかし、第2のデータ自体が暗号化されており、さらに、セキュリティが施された特定のモジュールを用いて鍵情報にアクセス可能であることから、第2のデータを復号化して入手することが極めて困難であり、第2のデータそのものを消去した場合と同等に安全性が担保される。 The image forming apparatus divides one nonvolatile memory into a plurality of areas by a file system, stores the first data and the second data in separate areas, and erases the data by a different erasing method for each area. This makes it possible to erase data stored in another area while leaving data stored in one area. Since the first data stored in the first area is completely erased, the safety of the first data is ensured. When erasing the second data stored in the second area, the second data may remain in the second area because the second data is deleted on the file system. However, since the second data itself is encrypted and the key information is accessible using a specific module with security, it is extremely difficult to decrypt and obtain the second data. It is difficult to do so, and security is ensured equivalent to erasing the second data itself.
上記装置の機能を実現するための制御方法、コンピュータプログラム、および当該コンピュータプログラムを格納するコンピュータにて読取可能な記憶媒体も、新規で有用である。 A control method, a computer program, and a computer-readable storage medium storing the computer program for implementing the functions of the above apparatus are also novel and useful.
本明細書に開示される技術によれば、ファイルシステムが構築された画像形成装置において、不揮発性メモリに記憶されるデータを安全に消去することが可能な技術が実現される。 According to the technique disclosed in the present specification, a technique is realized that can safely erase data stored in a nonvolatile memory in an image forming apparatus in which a file system is constructed.
以下、本実施形態にかかる装置について、添付図面を参照しつつ詳細に説明する。本形態では、ファイルシステムを用いてデータを管理する画像形成装置を開示する。 A device according to the present embodiment will be described in detail below with reference to the accompanying drawings. This embodiment discloses an image forming apparatus that manages data using a file system.
図1は、本発明の一実施形態に係るMFP1の構成を示すブロック図である。MFP(Multifunction Printerの略)1は、印刷機能、コピー機能、FAX機能、スキャナ機能を備える装置である。MFP1は「画像形成装置」の一例である。MFP1は、操作表示部11と、印刷部12と、読取部13と、FAXモデム14と、通信インタフェース(以下「通信IF」とする)15と、ASIC(application specific integrated circuitの略)16と、メモリ20とを備え、これらがバス19を介して接続されている。
FIG. 1 is a block diagram showing the configuration of an
操作表示部11は、ユーザによる操作を受け付けるハードウェアと、ユーザに情報を報知するための画面を表示するハードウェアと、を含む。操作表示部11は、例えば、キーボードやマウス等と、情報を表示可能なディスプレイとの組であってもよいし、表示機能と入力受付機能とを備えるタッチパネルであってもよい。操作表示部11は「ユーザインタフェース」の一例である。印刷部12は、印刷媒体に画像を印刷する。印刷部12の印刷方式は、電子写真方式でもインクジェット方式でもよい。画像はカラーでもモノクロでもよい。印刷部12は「画像形成ユニット」の一例である。
The
読取部13は、原稿の画像を読み取り、画像データを生成する。FAXモデム14は、電話回線を介して、外部装置との間でFAXデータの送受信を行う。通信IF15は、ユーザが使用する通信端末(以下「ユーザ端末」とする)2や、MFP1に関するサービスを提供するシステムベンダのサービスマンなど特別なアクセス権限を有する者(以下「システムベンダ等」とする)が使用する通信端末(以下「管理端末」とする)3などの外部装置と通信を行うためのハードウェアを含む。通信IF15の通信規格は、例えば、イーサネット(登録商標)、Wi-Fi(登録商標)、USBなどである。通信IF15は「通信インタフェース」の一例である。
The
なお、システムベンダ等には、MFP1のメーカのサービスマンや、MFP1を含む業務機材システムを販売するシステムベンダのサービスマン、MFP1を販売する販売会社のサービスマン、MFP1、または、MFP1を含む業務機材を搬入した会社のシステム管理者、なども該当する。サービスマンは、例えば、サービスマン、サービスやシステムの管理者、なども該当する。 It should be noted that the system vendors and the like include service personnel of the manufacturer of the MFP1, service personnel of system vendors that sell business equipment systems including the MFP1, service personnel of sales companies that sell the MFP1, MFP1, and business equipment including the MFP1. This also applies to the system administrator of the company that brought in the software. The serviceman corresponds to, for example, a serviceman, a service or system administrator, and the like.
ASIC16は、CPU31を備えている。CPU31は、メモリから読み出したプログラムに従って各種処理を実行する。メモリ20は、例えば、HDD、E2PROM、フラッシュメモリであり、各種のプログラム、画像データや文書データ等のデータ、各種設定を記憶する領域として利用される。
The ASIC 16 has a
メモリ20の一例は、コンピュータが読み取り可能なストレージ媒体であってもよい。コンピュータが読み取り可能なストレージ媒体とは、non-transitoryな媒体である。non-transitoryな媒体には、上記の例の他に、CD-ROM、DVD-ROM等の記録媒体も含まれる。また、non-transitoryな媒体は、tangibleな媒体でもある。一方、インターネット上のサーバなどからダウンロードされるプログラムを搬送する電気信号は、コンピュータが読み取り可能な媒体の一種であるコンピュータが読み取り可能な信号媒体であるが、non-transitoryなコンピュータが読み取り可能なストレージ媒体には含まれない。
An example of
本形態のメモリ20は、第1不揮発性メモリ21と、第2不揮発性メモリ22と、揮発性メモリ24と、を備えている。揮発性メモリ24は、各種処理が実行される際の作業領域としても使用される。
The
第1不揮発性メモリ21には、オペレーティングシステム(以下「OS」とする)41や、各種のアプリケーションプログラム(以下「アプリ」とする)45が記憶されている。アプリ45は、MFP1の機能を実行するためのプログラムである。アプリ45には、例えば保存されている画像データに基づく印刷を所定の認証後に行わせるプログラムが該当する。また例えば、アプリ45には、図3,4,6,8などを参照して説明する画面や、印刷指示や印刷指示やスキャン指示などを受け付ける画面(以下「操作画面」とする)などの各種画面を操作表示部11に表示するプログラム(以下「表示アプリ」とする)や、操作画面を設定するプログラムや、表示画面に基づく操作に対する各処理を行うプログラムが、該当する。MFP1には、ファイルシステムが構築されており、アプリ45は使用するデータのファイル名を指定することによって、データにアクセスする。アプリ45は、「アプリケーションプログラム」の一例である。
The first
また例えば、第1不揮発性メモリ21には、鍵管理アプリ46が記憶されている。鍵管理アプリ46は、セキュリティが施され、鍵情報にアクセス可能である。鍵情報へのアクセスは、鍵管理アプリ46のみ可能であるよう、セキュリティが施されている。そのため鍵情報にアプリ45等からアクセスすることはできない。鍵情報は、後述するように第2不揮発性メモリ22に記憶されるデータの暗号化に用いられる暗号鍵に基づく情報である。鍵管理アプリ46は、鍵情報に基づく暗号鍵を用いてデータの暗号化あるいは復号化を行うプログラムである。
Further, for example, a
鍵情報は、暗号化するデータごと或いはデータの種別ごとに設けられた複数種類の鍵情報で構成されてもよいし、一種類の鍵情報で構成されてもよい。鍵情報は、暗号鍵そのものであってもよいし、暗号鍵を生成するための情報(例えば暗号鍵の一部)であってもよい。鍵情報が暗号鍵の一部である場合、暗号鍵の残部は、対応する暗号鍵の一部と異なる別の不揮発性の記憶領域に記憶されてもよい。鍵情報は、暗号鍵で暗号化したデータを復号化するための鍵として作成された復号鍵であってもよい。 The key information may be composed of multiple types of key information provided for each data to be encrypted or for each type of data, or may be composed of one type of key information. The key information may be the encryption key itself, or information for generating the encryption key (for example, part of the encryption key). If the key information is part of a cryptographic key, the rest of the cryptographic key may be stored in a separate non-volatile storage area different from the corresponding part of the cryptographic key. The key information may be a decryption key created as a key for decrypting data encrypted with an encryption key.
図2は、ファイルシステムを説明する図である。鍵管理アプリ46は、起動したMFP1でなければ使用できないよう、暗号化されていることで、セキュリティが施されている。MFP1は、鍵管理アプリ46に変わるモジュールとして、TPM(trusted platform moduleの略)を備えていてもよい。TPMはセキュアコーティングされている。鍵管理アプリ46またはTPMは「特定のモジュール」の一例である。
FIG. 2 is a diagram for explaining the file system. The
なお、第1不揮発性メモリ21は、OS41やアプリ45や鍵管理アプリ46を記憶するための記憶領域を簡易的に示しているものであり、OS41とアプリ45と鍵管理アプリ46は、物理的に別の不揮発性メモリに記憶されてもよい。OS41が、図示しないROMに記憶されていてもよい。鍵管理アプリ46は、第2不揮発性メモリ22のAドライブ73ともBドライブ75とも異なる不揮発性の記憶領域に記憶されてもよい。
Note that the first
第2不揮発性メモリ22は、データないしプログラムの読み書きが可能なメモリである。第2不揮発性メモリ22は、アプリ45等がファイルシステムを介して用いるデータが記憶されている。第2不揮発性メモリ22は「不揮発性メモリ」の一例である。
The second
ファイルシステム管理部91は、第2不揮発性メモリ22を複数の領域に分けている。ファイルシステム管理部91は、アプリ45等からの指示に応じて、各領域のデータを読み書きする。ファイルシステム管理部91は、指示部と、管理部と、を備えている。
The
指示部は、第2不揮発性メモリ22へデータを書き込んだり、読み出したり、消去したりするための処理(例えば、後述する図5(A)(B)、図6、図8、図10(A)(B)に示す処理)を実行するプログラムにより構成される。指示部は、例えば、後述する図5(A)(B)、図8、図10(A)(B)に示す処理を開始するトリガとなる、各種の指示を受け付ける。指示部は、ファイル名によって、アプリ45等からファイルの指定を受け付ける。指示部は、アプリ45等からの指示に応じて、第2不揮発性メモリ22にデータを書き込む書込み指示や、第2不揮発性メモリ22からデータを読み出す読み出し指示を、管理部に渡す。指示部は、書込み指示や読み出し指示を管理部に渡す際に、「パーティション名」や「ファイル名」でパーティションやファイルを指定する。指示部は、アプリ45等と管理部との間を受け持つ、ミドルウェアだととらえることもできる。指示部は、アプリの一つであってもよい。
The instruction unit performs processing for writing, reading, and erasing data in the second nonvolatile memory 22 (for example, FIG. 5 (A) (B), FIG. 6, FIG. 8, and FIG. 10 (A ) and the processing shown in (B)). The instruction unit receives various instructions that serve as triggers for starting processes shown in FIGS. The instruction unit receives a file designation from the
管理部は、パーティション情報や、ファイル情報を管理するプログラムにより構成されている。パーティション情報は、領域に関する情報であり、例えば、領域の名称(パーティション名)やアドレスを含む。ファイル情報は、領域に記憶されたデータに関する情報であり、例えば、ファイル名やアドレスを含む。つまり、管理部は、パーティション名およびファイル名と、第2不揮発性メモリ22のメモリアドレスと、の関係を示す関係情報を管理している。管理部は、指示部から「パーティション名」や「ファイル名」で領域やファイルを指定した指示を受け取る。管理部は、指示部から受け取った指示に従って、第2不揮発性メモリ22へデータの書き込み、読みだし、消去を行う。管理部は、OSの一部に含まれていてもよい。パーティション情報およびファイル情報のうち、アドレスは、アプリ45に対してブラックボックス化されている。
The management unit is composed of a program for managing partition information and file information. The partition information is information about the area, and includes, for example, the name (partition name) and address of the area. File information is information about data stored in the area, and includes, for example, file names and addresses. In other words, the management unit manages relationship information indicating the relationship between the partition name, file name, and memory address of the second
なお、以下の説明では、指示部および管理部が行う各種の処理を、ファイルシステム管理部91が行う処理として説明する。また、ファイルシステム管理部91が一つのプログラムで構成されていてもよい。
In the following description, various processes performed by the instruction section and the management section will be described as processing performed by the file
本形態では、ファイルシステム管理部91は、第2不揮発性メモリ22を第1の領域(以下「Aドライブ」とする)73と第2の領域(以下「Bドライブ」とする)75とに分け、Aドライブ73とBドライブ75のパーティション情報を管理している。Aドライブ73には、暗号化されておらず、一般ユーザの操作によって消去できるユーザデータが、記憶されている。また、Bドライブ75には、一般ユーザの操作によって消去できない暗号化されたシステムデータが、記憶されている。ファイルシステム管理部91は、ユーザデータとシステムデータのファイル情報を管理している。Aドライブ73は「第1の領域」の一例であり、ユーザデータは「第1のデータ」の一例である。Bドライブ75は「第2の領域」の一例であり、システムデータは「第2のデータ」の一例である。
In this embodiment, the file
ユーザデータには、アドレス帳に登録されるアドレス帳情報(名前、名称、グループ名、電話番号、FAX番号など)が該当する。アドレス帳情報は、例えば、第2ユーザデータファイル84bとしてAドライブ73に記憶されている。ユーザデータは、アドレス帳情報に限定されず、FAXモデム14を介して受信したFAXデータなどであってもよい。
User data corresponds to address book information (name, name, group name, telephone number, FAX number, etc.) registered in the address book. The address book information is stored in the
システムデータには、例えば図3(B)に示すように、背景やアイコンの表示がカスタマイズされたカスタム画面D22を表示するためのカスタムデータが該当する。カスタム画面D22は、例えば背景B22が図3(A)に示す通常画面D21の背景B21から変更されている。例えば、カスタムデータは、暗号化され、第1システムデータファイル86aとしてBドライブ75に書き込まれている。なお、システムデータは、カスタムデータに限定されない。例えば、システムデータは、カスタムデータにアクセスするためのカスタムプログラムであってもよい。カスタムプログラムは、Bドライブ75に第2システムデータファイル86bとして記憶されている。カスタムプログラムは、カスタムデータの有効あるいは無効を示すカスタムデータフラグを含む。 The system data corresponds to, for example, custom data for displaying a custom screen D22 in which the display of the background and icons is customized, as shown in FIG. 3B. In the custom screen D22, for example, the background B22 is changed from the background B21 of the normal screen D21 shown in FIG. 3(A). For example, the custom data is encrypted and written to the B drive 75 as the first system data file 86a. Note that system data is not limited to custom data. For example, system data may be a custom program to access custom data. The custom program is stored in the B drive 75 as a second system data file 86b. A custom program includes a custom data flag that indicates whether custom data is valid or invalid.
続いて、MFP1の動作について図面を参照して説明する。以下の説明において、CPU31による、情報Aは事柄Bであることを示しているか否かを判断する処理を、「情報Aから、事柄Bであるか否かを判断する」のように概念的に記載することがある。CPU31による、情報Aが事柄Bであることを示しているか、事柄Cであるかを示しているかを判断する処理を、「情報Aから、事柄Bであるか事柄Cであるかを判断する」のように概念的に記載することがある。また、以下の説明において説明するCPU31の処理は、ASIC16が行ってもよい。また、処理を実行する主体を、アプリやファイルシステム管理部91とすることがある。この場合、アプリやファイルシステム管理部91が行う処理は、実質的に、CPU31あるいはASIC16が行う。
Next, the operation of
まず、ユーザデータをAドライブ73に書き込む制御手順について説明する。例えば、MFP1は、図4(A)の各種設定画面D11にて、操作表示部11を介してアドレス帳ボタンA11が操作されると、アドレス情報を管理するアドレス帳アプリを起動させる。アドレス帳アプリは、アドレス帳情報の入力操作を受け付けると、ファイルシステム管理部91にアドレス帳情報を第2不揮発性メモリ22に書き込むことを指示する。
First, a control procedure for writing user data to the
当該指示を受け付けたファイルシステム管理部91は、第1データ書込み指示を受け付けたと判断し、図5(A)に示す第1データ書込み処理を実行する。すなわち、ファイルシステム管理部91は、アドレス帳情報を暗号化せずに、第2ユーザデータファイル84bとして第2不揮発性メモリ22のAドライブ73に書き込み(S1)、処理を終了する。このとき、ファイルシステム管理部91は、第2ユーザデータファイル84bのファイル情報を、所定の領域に記憶する。これにより、第2ユーザデータファイル84bがファイルシステムの管理対象となり、アプリ45等がファイルシステムを介して第2ユーザデータファイル84bにアクセスできるようになる。
The file
本形態では、第1データ書込み指示が一般公開されている。そのため、一般ユーザでもシステムベンダ等でも、第1データ書込み指示をMFP1に入力し、ユーザデータを第2不揮発性メモリ22に書き込むことができる。なお、後述する第1消去指示の入力方法も第1データ書込み指示と同様、一般公開されている。第1データ書込み指示と第1消去指示を操作表示部11を介して入力する操作は、「第1のユーザ操作」の一例である。
In this embodiment, the first data write instruction is open to the public. Therefore, a general user, a system vendor, or the like can input the first data write instruction to
次に、システムデータをBドライブ75に書き込む手順について説明する。本形態では、第2データ書込み指示の入力方法が一般公開されず、システムベンダ等だけに公開されている。そのため、システムベンダ等だけが、システムデータを第2不揮発性メモリ22に書き込むことができる。よって、第2データ書込み指示は、第1データ書込み指示と異なる方法でMFP1に入力される。なお、後述する第2消去指示の入力方法も第2データ書込み指示と同様、一般公開されず、システムベンダ等のみに公開されている。
Next, a procedure for writing system data to the
例えば、管理端末3には、一般公開されておらず、システムベンダ等だけに公開されているPCアプリが組み込まれている。PCアプリは、例えば、システムデータを作成するプログラムである。PCアプリがMFP1にシステムデータを送信するコマンドは、公開されていない。そのため、システムデータをMFP1に書き込めるのは、システムベンダ等に限られる。
For example, the
例えば、管理端末3は、自端末に組み込まれたPCアプリでカスタム画面D22のカスタムデータを生成し、そのカスタムデータをMFP1に入力する指示を受け付けると、第2不揮発性メモリ22にカスタムデータを書き込むことを指示するコマンドをMFP1に送信する。管理端末3は「外部デバイス」の一例である。コマンドの受信は「特定の入力方法」の一例である。
For example, the
MFP1は、通信IF15を介してそのコマンドを受信すると、第2データ書込み指示を受け付けたと判断し、図5(B)に示す第2データ書込み処理を実行する。
When
ファイルシステム管理部91は、カスタムデータの暗号化を鍵管理アプリ46に依頼する(S12)。鍵管理アプリ46は、カスタムデータに対応する鍵情報にアクセスし、その鍵情報に基づく暗号鍵を用いて、管理端末3からPC1に入力されたカスタムデータを暗号化する。鍵情報が暗号鍵そのものであれば、鍵管理アプリ46は、その鍵情報を暗号鍵として使用する。鍵情報が暗号鍵の一部であれば、鍵管理アプリ46は、その暗号鍵の一部に基づいて暗号鍵の残部を取得し、暗号鍵を再現する。鍵情報は、暗号鍵を作成するためのデータであって、鍵管理アプリ46は、このデータを元に暗号鍵を作成してもよい。
The file
ファイルシステム管理部91は、鍵管理アプリ46によって暗号化されたカスタムデータを、第1システムデータファイル86aとしてBドライブ75に書き込む(S13)。これに対応して、ファイルシステム管理部91は、第1システムデータファイル86aのファイル情報を所定の領域に書き込む。これにより、第1システムデータファイル86aがファイルシステムの管理対象となる。S12、S13の処理は「データ書込み処理」の一例である。さらに、ファイルシステム管理部91は、カスタムプログラムのカスタムデータフラグを無効から有効に切り替えて更新する。カスタムデータフラグは、システムベンダ等のみに公開された操作により、カスタムデータ書き込み後に有効と無効を任意に切り替えられてもよい。なお、カスタムデータフラグは、システムデータとしてBドライブ75に記憶してもよい。その後、ファイルシステム管理部91は処理を終了する。
The file
なお、システムデータをBドライブ75に書き込むコマンドは、例えば、PJLコマンドであってもよい。MFP1は、PJLコマンドを受信した場合、あるいは、装着された外部メモリ(例えばUSBメモリ)にPJLコマンドが記憶されている場合に、PJLコマンドを解析し、システムデータをBドライブ75へ書き込むコマンドであれば、図5(B)に示す第2データ書込み処理を実行し、そのシステムデータをBドライブ75に書き込む。
The command for writing system data to the
MFP1は、管理端末3からコマンドを受信することでBドライブ75にシステムデータを書き込むのではなく、システムベンダ等が操作表示部11を介して入力した第2データ書込み指示を受け付けて、Bドライブ75にシステムデータを書き込んでもよい。
The
例えば、システムベンダ等は、作成済みのカスタムデータを記憶したUSBメモリをMFP1に装着する。そして、システムベンダ等は、図4(A)に示す各種設定画面D11に表示されるシステム管理ボタンA14を操作する。すると、CPU31は、認証指示を受け付け、図6に示す認証処理を実行する。システム管理ボタンA14の操作は「特定のユーザ操作」の一例である。
For example, a system vendor or the like attaches to the MFP 1 a USB memory storing created custom data. Then, the system vendor or the like operates the system management button A14 displayed on the various setting screen D11 shown in FIG. 4(A). Then, the
CPU31は、図7(A)に示す認証情報入力画面D3を操作表示部11に表示させ(S20)、認証情報を受け付けたか否かを判断する(S21)。システムベンダ等が認証情報入力画面D3の入力欄SAに認証情報を入力し、OKボタンA3を操作すると、CPU31は、認証情報を受け付けたと判断し(S21:YES)、入力された認証情報に基づいて特定のアクセス権限を有するか否かを判断するユーザ認証を行う(S22)。S21、S22の処理は「認証処理」の一例である。
The
CPU31は、認証に成功した場合(S23:YES)、図7(B)に示すようなシステム管理画面D5を操作表示部11に表示させる(S24)。つまり、システム管理画面D5は、認証に成功した特定のユーザのみが操作可能な画面であり、一般ユーザが操作できない画面である。システム管理画面D5は、システムデータの入力を指示するデータ入力ボタンA5と、システムデータの削除を指示するリセットボタンA6と、その他の処理を指示するその他ボタンA7と、を含む。ボタンA5、A6の操作は、「第2のユーザ操作」の一例である。
When the authentication is successful (S23: YES), the
CPU31は、データ入力ボタンA5又はリセットボタンA6の操作を受け付けたか否かを判断する(S25)。CPU31は、データ入力ボタンA5の操作を受け付けた場合(S25:データ入力ボタン)、第2データ書込み指示をファイルシステム管理部91に渡し(S29)、処理を終了する。ファイルシステム管理部91は、第2データ書込み指示を受け付けると、上述した図5(B)に示す第2データ書込み処理を実行する。これにより、MFP1に装着されたUSBメモリに記憶されているカスタムデータは、PC1に入力された後、鍵管理アプリ46を用いて暗号化され、ファイル管理システム91によってBドライブ75に書き込まれる。
The
次に、システムデータをBドライブ75から読み出す際の制御手順について説明する。ファイルシステム管理部91は、例えば、アプリ45等から第1システムデータファイル86aのファイル名を指定した読み出し指示を受け付けると、図8に示すデータ読み出し処理を実行する。
Next, a control procedure for reading system data from the B drive 75 will be described. For example, when the file
ファイルシステム管理部91は、読み出し指示で指定されたファイル名に基づいて、第1システムデータファイル86aを第2不揮発性メモリ22のBドライブ75から取得する(S51)。
The file
そして、ファイルシステム管理部91は、S51にて取得した第1システムデータファイル86aの復号化を鍵管理アプリ46に依頼する(S53)。S53の処理は、「第2のデータを復号化する処理」の一例である。
Then, the file
例えば、鍵管理アプリ46は、第1システムデータファイル86aに対応する鍵情報にアクセスする。アクセス先の鍵情報が暗号鍵そのものであれば、鍵管理アプリ46は、その鍵情報を暗号鍵として用い、第1システムデータファイルを復号化する。また例えば、アクセス先の鍵情報が暗号鍵の一部である場合、鍵管理アプリ46は、その暗号鍵の残部にアクセスして、暗号鍵そのものを再現し、再現した暗号鍵を用いて第1システムデータファイル86aを復号化する。また、アクセス先の鍵情報が、第1システムデータファイル86aを暗号化した暗号鍵に対応する復号鍵である場合、鍵管理アプリ46は、その鍵情報を用いて第1システムデータファイル86aを復号化する。
For example, the
ファイルシステム管理部91は、鍵管理アプリ46によって復号化された第1システムデータファイル86aをアプリ45等に渡し(S54)、処理を終了する。
The file
鍵管理アプリ46にはセキュリティが施されており、鍵情報には鍵管理アプリ46のみがアクセス可能である。そのため、鍵情報が漏洩しにくく、システムデータは安全に使用される。また、鍵管理アプリ46がシステムデータの復号化を一括管理するので、アプリ45等は、各自でデータを復号化する場合と比較して、システムデータの読み出しが容易になる。
Security is applied to the
このデータ読み出し処理は、例えば、表示アプリを用いて操作表示部11に画面表示する場合に実行される。例えば、MFP1は、OS41が起動されると、CPU31が表示アプリを第1不揮発性メモリ21から読み出し、図9に示す表示処理を実行する。
This data reading process is executed, for example, when screen display is performed on the
表示アプリは、例えばファイルシステムを介して、カスタムデータフラグが有効か否かを判断する(S61)。具体的に、表示アプリは、第2システムデータファイル86bのファイル名を指定した読み出し指示を、ファイルシステム管理部91に渡す。ファイルシステム管理部91は、上述したデータ読み出し処理を実行し、鍵管理アプリ46によって復号化された第2システムデータファイル86bを表示アプリに渡す。表示アプリは、復号化された第2システムデータファイル86bに基づいて、カスタムプログラムのカスタムデータフラグが有効か否かを判断する(S61)。表示アプリは、カスタムデータフラグが無効である場合(S61:NO)、図3(A)に示す通常画面D21を表示し(S65)、処理を終了する。
The display application determines whether the custom data flag is valid, for example, via the file system (S61). Specifically, the display application passes to the file system management unit 91 a read instruction designating the file name of the second system data file 86b. The file
一方、表示アプリは、カスタムデータフラグが有効である場合(S61:YES)、カスタムデータが検出されたか否かを判断する(S62)。具体的に、表示アプリには、カスタムデータファイルとしてのファイル名が予め規則化されている。表示アプリは、その規則に則ったファイル名の検索をファイルシステム管理部91に指示する。表示アプリは、例えば第1システムデータファイル86aのファイル名をファイルシステム管理部91に渡し、ファイルシステム管理部91がそのファイルを検出しなかった場合(S62:NO)、通常画面D21を表示して(S65)、処理を終了する。
On the other hand, if the custom data flag is valid (S61: YES), the display application determines whether custom data has been detected (S62). Specifically, the display application has regularized file names as custom data files in advance. The display application instructs the file
これに対して、表示アプリは、ファイルシステム管理部91が第1システムデータファイル86aのファイル名を検出した場合(S62:YES)、ファイルシステム管理部91を介してカスタムデータを取得する(S63)。すなわち、ファイルシステム管理部91は、上述したデータ読み出し処理を実行し、鍵管理アプリ46によって復号化された第1システムデータファイル86aを表示アプリに渡す。表示アプリは、復号化された第1システムデータファイル86aに格納されたカスタムデータを用いて、例えば図3(B)に示すカスタム画面D22を表示し(S64)、処理を終了する。
On the other hand, when the file
次に、MFP1が第2不揮発性メモリ22からユーザデータを消去する制御手順について説明する。ユーザデータは、工場出荷後にユーザの操作により入力されているので、ユーザが任意に消去できることが好ましい。MFP1は、例えば、ファイルシステム管理部91が管理しているファイル情報を削除することにより、ユーザデータをファイルシステム上で削除できる。しかし、この方法では、Aドライブ73に第1ユーザデータファイル84aや第2ユーザデータファイル84bが残る。そのため、第2不揮発性メモリ22を廃棄したり、リサイクルしたりする場合、暗号化されていない第1ユーザデータファイル84aと第2ユーザデータファイル84bがファイル復元ツール(サルベージツール、リカバリーツールとも呼ばれる)を用いて読み出され、流出する可能性がある。そこで、本形態では、Aドライブ73に記憶されるユーザデータを、完全消去する。
Next, a control procedure for erasing user data from the second
例えば、MFP1は、図4(A)に示す各種設定画面D11において、リセットボタンA13が操作された場合、図4(B)に示すリセット画面D1を操作表示部11に表示する。リセット画面D1は、認証を行わずに表示可能な画面であり、一般ユーザでも、システムベンダ等の特定のユーザでも操作可能な画面である。
For example, when the reset button A13 is operated on the various setting screen D11 shown in FIG. 4A, the
ファイルシステム管理部91は、リセット画面D1の全データボタンA1が操作表示部11を介して操作された場合、第1消去指示を受け付けたと判断し、図10(A)に示す第1データ消去処理を実行する。第1消去指示では、Aドライブ73のパーティション名が指定されている。第1消去指示は「第1の領域の消去指示」の一例である。
When the all data button A1 on the reset screen D1 is operated via the
なお、ボタンA1の表示は、「ファクトリーリセット」としてもよい。ファクトリーリセットを表示するボタンA1が操作された場合、後述するAドライブ73の完全消去以外に、工場出荷時に戻す必要があるデータを、工場出荷状態に戻してもよい。ユーザデータ全てを消去することを指示する全データボタンと、データを工場出荷状態に戻すことを指示するファクトリーリセットボタンは、別個に設けてもよい。
Note that the display of the button A1 may be "factory reset". When the button A1 for displaying factory reset is operated, data that needs to be reset to the factory shipping state may be reset to the factory shipping state in addition to the complete erasure of the
図10(A)に示す第1データ消去処理において、ファイルシステム管理部91が第2不揮発性メモリ22に順番に処理を実行するために、ファイルシステム管理部91は、アプリ45等からファイルシステムへのアクセスを停止させる(S41)。これにより、ファイルシステム管理部91が順番通りに第2不揮発性メモリ22に対して処理を行う最中に、アプリ45等からファイルシステム管理部91に余計な指示が入力されることを排他する。
In the first data erasing process shown in FIG. 10(A), the file
ファイルシステム管理部91は、第2不揮発性メモリ22に対して順番に処理を行うことで、図11(A)に示すように、第2不揮発性メモリ22からAドライブ73を完全消去する(S42)。S42の処理は「完全消去処理」の一例である。また、ファイルシステム管理部91は、第1ユーザデータファイル84aと第2ユーザデータファイル84bのファイル情報を所定の領域から削除する。さらに、ファイルシステム管理部91は、所定の領域に記憶されているAドライブ73のパーティション情報を削除する。これにより、Aドライブ73がファイルシステムとして使えなくなる。つまり、アプリ45等がファイルシステム管理部91を介してユーザデータを利用できなくなる。
The file
ここで、本明細書では、「削除」と、「消去」と、「完全消去」とを以下の意味で使用する。「削除」は、ファイルシステム上、ファイルを存在させなくすることを意味する。つまり、アプリ45等がファイル名を用いて第2不揮発性メモリ22にデータを読み書きできないようにすることを意味する。例えば、Aドライブ73に記憶されている第1ユーザデータファイル84aについて、第1ユーザデータファイル84aがAドライブ73に記憶されている状態で、ファイルシステム管理部91から第1ユーザデータファイル84aのファイル情報を削除することは、「削除」に該当する。この場合、アプリ45等は、ファイルシステム管理部91を介して第1ユーザデータファイル84aにアクセスできないが、第1ユーザデータファイル84aはAドライブ73に残っている。
Here, in this specification, "deletion", "erasure", and "complete erasure" are used with the following meanings. "Delete" means to make a file no longer exist on the file system. In other words, it means that the
「消去」は、消去対象となるデータそのものを第2不揮発性メモリ22から読み出せないようにすることを意味する。例えば、第1ユーザデータファイル84aがAドライブ73を占める領域、および、第1ユーザデータファイル84aのファイル情報を記憶している領域に、0xffなどの別のデータを書き込むことは、「消去」に該当する。この場合、第1ユーザデータファイル84aは、ファイルシステムにもAドライブ73にも残らない。なお、第2ユーザデータファイル84bは、ファイルシステム上にもAドライブ73にも残っているため、アプリ45等は第2ユーザデータファイル84bにはアクセスできる。
“Erase” means to prevent the data itself to be erased from being read from the second
「完全消去」は、消去対象となるデータが記憶されている領域を消去し、消去対象となるデータを含め、当該領域に記憶されているデータ全てを第2不揮発性メモリ22から読み出せないようにすることを意味する。例えば、Aドライブ73の領域全体、Aドライブ73のパーティション情報が記憶されている領域全体、さらに、第1ユーザデータファイル84aおよび第2ユーザデータファイル84bのファイル情報が記憶されている領域全体に、0xffなどの別のデータを書き込むことは、「完全消去」に該当する。この場合、Aドライブ73に記憶されていた全データが、ファイルシステム上にも第2不揮発性メモリ22にも残らず、アプリ45等は、第1ユーザデータファイル84aにも第2ユーザデータファイル84bにもアクセスできなくなる。
"Complete erasure" erases an area in which data to be erased is stored so that all data stored in the area, including the data to be erased, cannot be read from the second
図10(A)に示すように、ファイルシステム管理部91は、Aドライブ73を完全消去した後、図11(B)に示すように、初期化処理あるいはフォーマット処理などにより、第2不揮発性メモリ22にAドライブ73xを再構築する(S43)。例えば、ファイルシステム管理部91は、ファイルシステム管理部91が管理しているパーティション情報から、第2不揮発性メモリ22の空き領域を把握する。そして、ファイルシステム管理部91は、その空き領域の状態をチェックし、異常がない領域を再構築用の領域として確保する。そして、ファイルシステム管理部91は、再構築用の領域を示すパーティション情報を所定の領域に記憶させる。よって、Aドライブ73xは、第2不揮発性メモリ22の状態に応じて、完全消去前のAドライブ73と異なる場所に再構築され得る。Aドライブ73xを再構築したファイルシステム管理部91は、図10(A)に示すようにリブートを行い(S44)、処理を終了する。
After completely erasing the
このように、Aドライブ73を完全消去する処理と、再構築によりAドライブ73をメンテナンスする処理をまとめて行うことで、ユーザがMFP1の機能を利用する時間を圧迫せずに、Aドライブ73に記憶されていたユーザデータ全ての安全性を担保できる。
In this way, the process of completely erasing the
MFP1は、例えば廃棄やリサイクルする場合、ユーザ認証を行わずに第1消去指示が入力されることで、ユーザデータ全てを完全消去し、ユーザデータの流出を防ぐことができる。また、システムデータがBドライブ75に残っているので、特定の機能は維持される。
When the
なお、例えば、図4(B)のリセット画面D1にてアドレス帳ボタンA2が操作された場合、ファイルシステム管理部91は、第2ユーザデータファイル84bのファイル名を指定した削除指示を受け付ける。この場合、ファイルシステム管理部91が、第2ユーザデータファイル84bのファイル情報を所定の領域から削除することにより、第2ユーザデータファイル84bがファイルシステム上で個別に削除され、アプリ45等がアドレス帳情報を読み出せなくなる。
For example, when the address book button A2 is operated on the reset screen D1 of FIG. 4B, the file
次に、MFP1が第2不揮発性メモリ22からシステムデータを消去する制御手順について説明する。例えば、システムベンダ等は、図4(A)の各種設定画面D11においてシステム管理ボタンA14を操作する。すると、CPU31は、図6に示す認証処理を実行する。CPU31は、認証情報に基づく認証に成功した後、図7(B)のシステム管理画面D5に表示されるリセットボタンA6の操作を操作表示部11を介して受け付けると(S25:リセットボタン)、ファイルの指定を受け付けたか否かを判断する(S26)。CPU31は、例えば、Bドライブ75に記憶されているファイルのファイル名をファイルシステム管理部91から取得し、一覧表示する。CPU31は、ファイル名が指定されるまで待機する(S26:NO)。
Next, a control procedure for erasing system data from the second
CPU31は、一覧表示されるファイル名の中から、例えば第1システムデータファイル86aのファイル名が指定されると(S26:YES)、指定された第1システムデータファイル86aのファイル名をファイルシステム管理部91に渡す(S27)。そして、CPU31は、第2消去指示をファイルシステム管理部91に渡し(S28)、処理を終了する。第2消去指示は「第2の領域に記憶される第2のデータの消去指示」の一例である。よって、第2消去指示は、第1消去処理と異なる方法でMFP1に入力される。なお、CPU31は、システム管理画面D5のその他ボタンA7が操作された場合(S25:NO)、その他の処理を行い(S30)、処理を終了する。
When, for example, the file name of the first
なお、システムベンダ等によるシステムデータの削除は、操作表示部11からの操作だけでなく、削除用のPCアプリや削除用のPJLコマンドを使って行ってもよい。すなわち、削除用のPCアプリや削除用のPJLコマンドがシステムベンダ等だけに公開されており、MFP1が、削除用のPCアプリからコマンドを受信した場合や、削除用のPJLコマンドを受信した場合に、第2消去指示を受け付けたと判断し、第2データ消去処理を実行してもよい。
The deletion of the system data by the system vendor or the like may be performed not only by operating the
図10(B)に示すように、ファイルシステム管理部91は、第1システムデータファイル86aを指定した第2消去指示を受け付けると、第1システムデータファイル86aのファイル情報を所定の領域から削除することで、第1システムデータファイル86aを削除する(S32)。S32の処理は「第2の消去処理」の一例である。
As shown in FIG. 10B, when the file
この状態では、第1システムデータファイル86aがBドライブ75に残っている。もし、第1システムデータファイル86aが漏洩してしまうと、暗号化されているとはいえ、例えば、将来の超高性能なコンピュータで解読されるなど、何らかの手段で復号化される虞がある。
In this state, the first system data file 86a remains in the
そこで、図10(B)に示すように、ファイルシステム管理部91は、Bドライブ75にダミーデータを書き込む(S33)。これにより、第1システムデータファイル86aがダミーデータXで上書きされ、断片化される。S33の処理は「ダミー書込み処理」の一例である。
Therefore, as shown in FIG. 10B, the file
具体的に、ファイルシステム管理部91は、Bドライブ75のパーティション情報と第2システムデータファイル86bのファイル情報が所定の領域に残っているため、図12に示すように、第2システムデータファイル86bを避けてダミーデータXをBドライブ75に書き込む。このとき、第1システムデータファイル86aのファイル情報が所定の領域から削除されているので、ファイルシステム管理部91は、第1システムデータファイル86aをダミーデータXで上書きできる。これにより、第1システムデータファイル86aは、断片化され、完全に再現することが困難になる。ファイルシステム管理部91は、ダミーデータXのファイル情報を所定の領域に書き込む。ファイルシステム管理部91は、Bドライブ75がメモリフルになるまでBドライブ75にダミーデータXを書き込む。
Specifically, since the partition information of the
図10(B)に示すように、ファイルシステム管理部91は、Bドライブ75に書き込まれたダミーデータXのファイル情報を所定の領域から削除することで、ダミーデータXをファイルシステム上で削除し(S34)、処理を終了する。S34の処理は「ダミー削除処理」の一例である。これにより、第2不揮発性メモリ22は、Bドライブ75に書き込まれたダミーデータXを別のデータで上書きできるようになり、Bドライブ75を利用し易くなる。
As shown in FIG. 10B, the file
なお、S33の処理では、1つのダミーデータXをメモリフルになるサイズまでBドライブ75に書き込んだが、ある程度のサイズのダミーデータを、メモリフルになるまでいくつもBドライブ75に書き込んでもよい。この場合、S34の処理では、Bドライブ75に書き込んだいくつものダミーデータについて、ファイル情報を所定の領域から削除する。
In the process of S33, one dummy data X is written to the
以上説明したように、本形態のMFP1は、第2不揮発性メモリ22をファイルシステムによってAドライブ73、Bドライブ75に分け、ユーザデータとシステムデータとをAドライブ73とBドライブ75に別々に記憶し、Aドライブ73とBドライブ75ごとに異なる消去方法によってユーザデータとシステムデータを消去する。これにより、例えば、Bドライブ75に記憶されたシステムデータを残しつつ、Aドライブ73に記憶されたユーザデータを消去することができる。そして、Aドライブ73に記憶されたユーザデータを完全消去するため、ユーザデータの安全性は担保される。
As described above, the
Bドライブ75に記憶された第1システムデータファイル86aを消去する場合は、ファイルシステム上で第1システムデータファイル86aを削除するため、第1システムデータファイル86aがBドライブ75に残ることがある。しかし、第1システムデータファイル86a自体が暗号化されており、さらに、鍵管理アプリ46のみが鍵情報にアクセス可能である。すなわち、第1システムデータファイル86aが漏洩したとしても、第1システムデータファイル86aが復号化される可能性が低い。つまり、MFP1は、第1システムデータファイル86aそのものを消去した場合と同様に、第1システムデータファイル86aの安全性が担保される。このように、本形態のMFP1によれば、第2不揮発性メモリ22に記憶されるデータを安全に消去することが可能である。
When erasing the first system data file 86a stored in the
また、ユーザデータは、システムデータに比べて、頻繁にアクセスされるデータ、漏洩しても危険性の少ないデータ、であることが多い。そのため、ユーザデータは、暗号化されることなくAドライブ73に書き込まれることで、アプリ45等がファイルシステムを介して第2不揮発性メモリ22にユーザデータを高速で読み書きできるようになる。一方、システムデータは、暗号化されてBドライブ75に書き込まれているため、暗号化されていないユーザデータと比べ、第2不揮発性メモリ22に読み書きするのに時間がかかる。
Moreover, user data is often data that is accessed more frequently than system data, and data that poses less danger even if leaked. Therefore, the user data is written to the
しかし、本形態では、例えば、第1システムデータファイル86aを削除する第2消去指示を受け付けた場合、第1システムデータファイル86aのファイル情報をファイルシステム上で削除することで、第1システムデータファイル86aをアプリ45等から使用不能に消去する。鍵管理アプリ46のみが鍵情報にアクセス可能であるため、第1システムデータファイル86aが復号化される可能性が低い。このような第1システムデータファイル86aの削除方法は、例えば、消去対象でない第2システムデータファイル86bをBドライブ75から退避させた後、Bドライブ75を完全消去し、その後、第2システムデータファイル86bをBドライブ75に戻すことで、第1システムデータファイル86aそのものを消去する場合と比べ、第1システムデータファイル86aの個別消去する処理時間を短縮できる。また、MFP1は、第2不揮発性メモリ22にシステムデータを読み書きする頻度を減らし、第2不揮発性メモリ22の劣化を軽減できる。
However, in the present embodiment, for example, when a second deletion instruction to delete the first
なお、本実施の形態は単なる例示にすぎず、本発明を何ら限定するものではない。したがって本発明は当然に、その要旨を逸脱しない範囲内で種々の改良、変形が可能である。例えば、MFP1は、印刷機能のみを備えるプリンタでもよい。
It should be noted that the present embodiment is merely an example, and does not limit the present invention in any way. Therefore, the present invention can naturally be improved and modified in various ways without departing from the scope of the invention. For example,
図10(B)のS33、S34の処理は省略してもよい。但し、消去対象となるシステムデータをファイルシステム上で削除した後、メモリフルになるまでダミーデータXをBドライブ75にメモリフルになるまで書き込むことで、システムデータの断片化が進み、システムデータを完全に再現することを困難にすることができる。また、ダミーデータをファイルシステムから削除することで、Bドライブ75のファイルシステム上の空きメモリが確保され、その後にBドライブ75を利用し易くなる。
The processing of S33 and S34 in FIG. 10B may be omitted. However, after deleting the system data to be erased on the file system, by writing dummy data X to the
Bドライブ75には、暗号化されていないデータも記憶してよい。ただし、Bドライブ75に暗号化されたデータのみを記憶することで、消去対象となるデータのファイル情報を削除するだけで、Bドライブ75に記憶される他のデータの安全性を確保できる。
The B drive 75 may also store unencrypted data. However, by storing only encrypted data in the
図6のS20~S23の処理を省略し、第1データ書込み指示あるいは第1消去指示と同様、認証に成功しない場合でも、第2データ書込み指示あるいは第2消去指示を受け付けるようにしてもよい。ただし、認証成功後の入力操作によって、第2データ書込み指示と第2消去指示を受け付けることで、一般ユーザがBドライブにデータを書き込んだり、システムベンダ等がMFP1に書き込んだシステムデータを、一般ユーザが消去したりすることを回避できる。
The processing of S20 to S23 in FIG. 6 may be omitted, and the second data write instruction or second erase instruction may be accepted even if the authentication is not successful, like the first data write instruction or first erase instruction. However, by accepting the second data write instruction and the second erase instruction through the input operation after successful authentication, the general user can write data to the B drive, or the system data written to the
図10(A)のS43の処理を省略してもよい。ただし、Aドライブ73を完全消去してユーザデータを消去した後、Aドライブ73xを再構築ないし初期化することで、Aドライブ73xを利用し易くなる。
The process of S43 in FIG. 10A may be omitted. However, after completely erasing the
リセット画面D1に全データボタンA1あるいはファクトリーリセットボタンがある場合には、ファクトリーリセットボタンが操作された場合、Bドライブ75も完全消去する仕様にしてもよい。あるいは、図10(B)に示す処理を、Bドライブ75に記憶されているシステムデータ全てを対象に行ってもよい。また、全データボタンA1を操作された場合には、Aドライブ73のみを完全消去し、ファクトリーリセットボタンが操作された場合には、Aドライブ73とBドライブ75の両方を完全消去する仕様にしてもよい。
If the reset screen D1 has an all data button A1 or a factory reset button, the
第2消去指示を受け付けた場合のみ、Bドライブ75に記憶されているシステムデータを消去できる仕様において、データを工場出荷状態に戻すファクトリーリセットボタンが操作された場合、消去できないデータがあり、システムベンダ等に消去してもらう必要があることをユーザに知らせる報知を行ってもよい。そして、MFP1は、その報知を確認したユーザにデータ消去を続行するか否かを問い合わせ、続行する指示を受け付けた場合には、図10(A)に示す第1データ消去処理を行い、Aドライブ73を消去し、続行する指示を受け付けない場合には、第1データ消去処理を行わないようにしてもよい。これによれば、報知を確認したユーザは、MFP1が工場出荷状態に戻ったと誤認して、Bドライブ75にデータを残したままMFP1を廃棄したり、リサイクルしたりすることを回避できる。
In the specification that the system data stored in the B drive 75 can be erased only when the second erase instruction is accepted, if the factory reset button to return the data to the factory shipment state is operated, there is data that cannot be erased, and the system vendor It is also possible to notify the user that it is necessary to have the user delete the data. Then, the
カスタムデータは、ユーザデータとしてAドライブ73に書き込んでもよい。この場合、カスタムデータは、カスタム材料データの配置などを示すデータである。カスタム材料データは、例えば、カスタム画面D22に使用する背景やアイコンの画像データであり、システムデータとしてBドライブ75に記憶される。MFP1は、Bドライブ75からカスタム材料データを読み出し、操作表示部11を介してカスタム材料データの選択を受け付け、カスタムデータを作成してもよい。この場合、カスタムデータは、ユーザデータとしてAドライブ73に書き込まれる。MFP1は、カスタムデータとカスタム材料データをAドライブ73とBドライブ75からそれぞれ読み出し、カスタムデータに従ってカスタム材料データが示す画像データを配置した画面を操作表示部11に表示してもよい。
Custom data may be written to the
ユーザデータを暗号化した場合、Bドライブ75に記憶してもよい。この場合、暗号化されたユーザデータは「第2のデータ」の一例となる。
If user data is encrypted, it may be stored in the
実施の形態に開示されている任意のフローチャートにおいて、任意の複数のステップにおける複数の処理は、処理内容に矛盾が生じない範囲で、任意に実行順序を変更できる、または並列に実行できる。 In any flow chart disclosed in the embodiments, multiple processes in any multiple steps can be arbitrarily changed in execution order or executed in parallel as long as there is no contradiction in the processing contents.
実施の形態に開示されている処理は、単一のCPU、複数のCPU、ASICなどのハードウェア、またはそれらの組み合わせで実行されてもよい。また、実施の形態に開示されている処理は、その処理を実行するためのプログラムを記録した記録媒体、または方法等の種々の態様で実現することができる。 The processing disclosed in the embodiments may be performed by a single CPU, multiple CPUs, hardware such as an ASIC, or a combination thereof. Further, the processes disclosed in the embodiments can be realized in various forms such as a recording medium recording a program for executing the processes, a method, and the like.
1 MFP
13 印刷部
22 第2不揮発性メモリ
45 アプリ
46 鍵管理アプリ
73 Aドライブ
75 Bドライブ
1 MFP
13
Claims (12)
画像形成ユニットと、
を備える画像形成装置であって、
前記画像形成装置は、
前記不揮発性メモリへのアクセスに用いるファイルシステムを有し、前記画像形成装置に組み込まれているアプリケーションプログラムは、前記ファイルシステムを介して前記不揮発性メモリへのデータの読み書きが可能であり、前記アプリケーションプログラムには、前記不揮発性メモリに記憶されるデータを用いて、前記画像形成ユニットを動作させるジョブを処理するアプリケーションプログラムが含まれ、
前記不揮発性メモリには、前記ファイルシステムによって、パーティションで仕切られた複数の領域が設けられ、前記複数の領域には、第1のデータを記憶可能な第1の領域と、第2のデータを記憶可能な第2の領域と、が含まれ、
さらに前記画像形成装置は、
セキュリティが施された特定のモジュールを備え、前記特定のモジュールは鍵情報にアクセスしてデータの暗号化が可能であり、
さらに前記画像形成装置は、
前記第2の領域に前記第2のデータを書き込む指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを暗号化し、暗号化した前記第2のデータを、前記第2の領域に書き込むデータ書込み処理を実行し、
さらに前記画像形成装置は、
前記第1の領域の消去指示を受け付けた場合、前記不揮発性メモリのうち前記第1の領域の記憶領域を完全消去して前記第1の領域に記憶される前記第1のデータ全てを使用不能にする第1の消去処理を実行し、
前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2のデータを前記ファイルシステムによって削除する第2の消去処理を実行する、
ことを特徴とする画像形成装置。 non-volatile memory;
an image forming unit;
An image forming apparatus comprising
The image forming apparatus is
An application program installed in the image forming apparatus having a file system used for accessing the nonvolatile memory can read and write data to and from the nonvolatile memory via the file system. The program includes an application program for processing a job for operating the image forming unit using data stored in the nonvolatile memory,
The nonvolatile memory is provided with a plurality of areas partitioned by the file system, and the plurality of areas includes a first area capable of storing first data and a second data. a storable second area; and
Further, the image forming apparatus
A specific module with security is provided, the specific module is capable of accessing key information and encrypting data,
Further, the image forming apparatus
When an instruction to write the second data in the second area is received, the second data is encrypted using the specific module, and the encrypted second data is transferred to the second area. Execute data write processing to write to
Further, the image forming apparatus
When an instruction to erase the first area is accepted, the storage area of the first area in the nonvolatile memory is completely erased to make all the first data stored in the first area unusable. perform a first erasure process to
When an instruction to erase the second data stored in the second area is received, executing a second erasing process of deleting the second data by the file system;
An image forming apparatus characterized by:
前記画像形成装置は、
前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2の消去処理を実行した後、ダミーデータをメモリフルとなるまで前記ファイルシステムによって前記第2の領域に書き込むダミー書込み処理を実行する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 1,
The image forming apparatus is
When an instruction to erase the second data stored in the second area is received, after the second erasing process is executed, dummy data is stored in the second area by the file system until the memory becomes full. perform a dummy write operation that writes to
An image forming apparatus characterized by:
前記画像形成装置は、
前記第2の領域に記憶される前記第2のデータの消去指示を受け付けた場合、前記第2の消去処理および前記ダミー書込み処理を実行した後、前記ダミー書込み処理にて前記第2の領域に書き込まれた前記ダミーデータを、前記ファイルシステムによって削除するダミー削除処理を実行する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 2,
The image forming apparatus is
When an instruction to erase the second data stored in the second area is received, after the second erasing process and the dummy write process are executed, the second data is stored in the second area by the dummy write process. Execute a dummy deletion process for deleting the written dummy data by the file system;
An image forming apparatus characterized by:
前記第2の領域には、暗号化された前記第2のデータが記憶され、暗号化されていないデータが記憶されていない、
ことを特徴とする画像形成装置。 In the image forming apparatus according to any one of claims 1 to 3,
the second area stores the encrypted second data and does not store unencrypted data;
An image forming apparatus characterized by:
前記特定のモジュールは、前記鍵情報にアクセスしてデータの復号化が可能であり、
前記画像形成装置は、
前記第2の領域から前記第2のデータを読み出す指示を受け付けた場合、前記特定のモジュールを用いて前記第2のデータを復号化する処理を実行する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to any one of claims 1 to 3,
the specific module is capable of decrypting data by accessing the key information;
The image forming apparatus is
When receiving an instruction to read the second data from the second area, executing a process of decoding the second data using the specific module;
An image forming apparatus characterized by:
ユーザインタフェースを備え、
前記画像形成装置は、
前記ユーザインタフェースを介する第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
前記第1のユーザ操作と異なる特定の入力方法によって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to any one of claims 1 to 5,
with a user interface,
The image forming apparatus is
executing the first erasing process when the erasing instruction for the first area is received by a first user operation via the user interface;
When the erase instruction for the second data is received by a specific input method different from the first user operation, the second erase process is executed.
An image forming apparatus characterized by:
通信インタフェースを備え、
前記画像形成装置は、
前記ユーザインタフェースを介する前記第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
前記特定の入力方法として前記通信インタフェースを介して外部デバイスからコマンドを受信することによって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 6,
Equipped with a communication interface,
The image forming apparatus is
executing the first erasing process when the erasing instruction for the first area is accepted by the first user operation via the user interface;
executing the second erasing process when the erasing instruction for the second data is accepted by receiving a command from an external device via the communication interface as the specific input method;
An image forming apparatus characterized by:
前記画像形成装置は、
前記ユーザインタフェースを介する特定のユーザ操作によって認証指示を受け付けた場合、認証情報の入力を要求し、入力された前記認証情報に基づくユーザ認証を行う認証処理を実行し、
前記ユーザインタフェースを介する前記第1のユーザ操作によって前記第1の領域の前記消去指示を受け付けた場合、前記第1の消去処理を実行し、
前記特定の入力方法として前記ユーザインタフェースを介する前記第1のユーザ操作とは異なる第2のユーザ操作を受け付けることによって前記第2のデータの前記消去指示を受け付けた場合、前記第2の消去処理を実行し、前記第2のユーザ操作は、前記認証処理によって認証が成功した後に入力可能な操作であり、前記第1のユーザ操作は、前記認証処理による認証が成功していなくても入力可能な操作である、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 6,
The image forming apparatus is
When an authentication instruction is received by a specific user operation via the user interface, performing an authentication process of requesting input of authentication information and performing user authentication based on the input authentication information,
executing the first erasing process when the erasing instruction for the first area is accepted by the first user operation via the user interface;
If the erasure instruction for the second data is received by accepting a second user operation different from the first user operation via the user interface as the specific input method, the second erasure process is performed. The second user operation is an operation that can be input after the authentication process has succeeded, and the first user operation can be input even if the authentication process has not succeeded. is an operation,
An image forming apparatus characterized by:
ユーザインタフェースと、
を備え、
前記画像形成装置は、
前記ユーザインタフェースを介する第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
前記第1のユーザ操作と異なる特定の入力方法によって入力された前記第2のデータを、前記第2の領域に記憶する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to any one of claims 1 to 5,
a user interface;
with
The image forming apparatus is
storing the first data input by a first user operation through the user interface in the first area;
storing the second data input by a specific input method different from the first user operation in the second area;
An image forming apparatus characterized by:
通信インタフェースを備え、
前記画像形成装置は、
前記ユーザインタフェースを介する前記第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
前記特定の入力方法として前記通信インタフェースを介して外部デバイスから受信することによって入力された前記第2のデータを、前記第2の領域に記憶する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 9,
Equipped with a communication interface,
The image forming apparatus is
storing the first data input by the first user operation through the user interface in the first area;
storing the second data input by receiving from an external device via the communication interface as the specific input method in the second area;
An image forming apparatus characterized by:
前記画像形成装置は、
前記ユーザインタフェースを介する特定のユーザ操作によって認証指示を受け付けた場合、認証情報の入力を要求し、入力された前記認証情報に基づくユーザ認証を行う認証処理を実行し、
前記ユーザインタフェースを介する前記第1のユーザ操作によって入力された前記第1のデータを、前記第1の領域に記憶し、
前記特定の入力方法として前記ユーザインタフェースを介する前記第1のユーザ操作とは異なる第2のユーザ操作によって入力された前記第2のデータを、前記第2の領域に記憶し、前記第2のユーザ操作は、前記認証処理によって認証が成功した後に入力可能な操作であり、前記第1のユーザ操作は、前記認証処理による認証が成功していなくても入力可能な操作である、
ことを特徴とする画像形成装置。 In the image forming apparatus according to claim 9,
The image forming apparatus is
When an authentication instruction is received by a specific user operation via the user interface, performing an authentication process of requesting input of authentication information and performing user authentication based on the input authentication information,
storing the first data input by the first user operation through the user interface in the first area;
storing in the second area the second data input by a second user operation different from the first user operation via the user interface as the specific input method; The operation is an operation that can be input after successful authentication by the authentication process, and the first user operation is an operation that can be input even if the authentication by the authentication process is not successful.
An image forming apparatus characterized by:
前記画像形成装置は、
前記第1の領域の消去指示を受け付けた場合、前記第1の消去処理を実行した後、前記第1の領域を再構築する、
ことを特徴とする画像形成装置。 In the image forming apparatus according to any one of claims 1 to 11,
The image forming apparatus is
When an instruction to erase the first area is received, after executing the first erasing process, reconstructing the first area;
An image forming apparatus characterized by:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021062503A JP2022157951A (en) | 2021-04-01 | 2021-04-01 | Image forming apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021062503A JP2022157951A (en) | 2021-04-01 | 2021-04-01 | Image forming apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022157951A true JP2022157951A (en) | 2022-10-14 |
Family
ID=83559442
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021062503A Pending JP2022157951A (en) | 2021-04-01 | 2021-04-01 | Image forming apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022157951A (en) |
-
2021
- 2021-04-01 JP JP2021062503A patent/JP2022157951A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8301908B2 (en) | Data security in an information processing device | |
JP4991592B2 (en) | Software alteration detection method, software alteration detection program and device | |
JP4433684B2 (en) | Job processing apparatus and data management method in the apparatus | |
US20070106902A1 (en) | Image processing apparatus, image managing method, document managing apparatus, and document managing method | |
JP6399763B2 (en) | Information processing apparatus and information processing method | |
JP2012018501A (en) | Information processing apparatus, control method of information processing apparatus, and program | |
JP2015052996A (en) | Image forming device and control method of image forming device | |
KR20100059450A (en) | Image forming apparatus, host apparatus and encryption method of job object document thereof | |
US20070055895A1 (en) | Image processing device, recording medium, and program | |
JP4276183B2 (en) | Office machine security management device, office machine security management method, and office machine security management program | |
JP2019114028A (en) | Application development environment program and device | |
US20050201558A1 (en) | Encryption apparatus and image forming apparatus | |
JP3766014B2 (en) | Security system for image forming apparatus, security method for image forming apparatus, and computer-readable storage medium storing program for executing the method | |
JP2022157951A (en) | Image forming apparatus | |
JP5387724B2 (en) | Software alteration detection method, software alteration detection program and device | |
JP2022157950A (en) | Image forming apparatus | |
JP2006293833A (en) | Image processing apparatus, image processing method, and program | |
JP2005092608A (en) | Data protection apparatus and data protection method | |
JP2009026038A (en) | Information processor, program, and recording medium | |
JP2009064168A (en) | Information processing unit, control method therefor, recording medium, and program | |
JP2012066508A (en) | Printer device | |
JP4483996B2 (en) | Job processing apparatus, control method for the apparatus, and control program | |
JP2018097888A (en) | Image forming apparatus and control method of image forming apparatus | |
JP4434310B2 (en) | Job processing apparatus, control method for the apparatus, and control program | |
JP6188469B2 (en) | Printing system and control method thereof |