JP2009026038A - 情報処理装置、プログラムおよび記録媒体 - Google Patents

情報処理装置、プログラムおよび記録媒体 Download PDF

Info

Publication number
JP2009026038A
JP2009026038A JP2007188078A JP2007188078A JP2009026038A JP 2009026038 A JP2009026038 A JP 2009026038A JP 2007188078 A JP2007188078 A JP 2007188078A JP 2007188078 A JP2007188078 A JP 2007188078A JP 2009026038 A JP2009026038 A JP 2009026038A
Authority
JP
Japan
Prior art keywords
data
erasure
hdd
encryption
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007188078A
Other languages
English (en)
Inventor
Takeshi Norota
健 野呂田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2007188078A priority Critical patent/JP2009026038A/ja
Publication of JP2009026038A publication Critical patent/JP2009026038A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】データ蓄積装置への暗号化書込み、および、書込まれたデータの安全な消去を可能とする情報処理装置、プログラムおよび記録媒体を提供すること。
【解決手段】本発明の情報処理装置10は、データ蓄積装置24を備え、データ蓄積装置24へのデータ書込みを制御する制御手段106と、制御手段106に対して非暗号化によるデータ書込みを行なわせて、データ蓄積装置24に蓄積されたデータの上書消去処理を実行するデータ消去手段104とを含み構成され、上書消去処理以外のデータ蓄積装置24へのデータ書込みについては、暗号化により行なう。
【選択図】図3

Description

本発明は、情報漏洩に対するセキュリティ技術に関し、より詳細には、データ蓄積装置への暗号化書込み、および、書込まれたデータの安全な消去を可能とする情報処理装置、プログラムおよび記録媒体に関する。
近年、ますます、個人情報や顧客情報などの機密情報の漏洩リスクを回避することが求められている。オフィスに設置される複写機や複合機などの画像形成装置が備えるハードディスクには、読取り原稿の画像データやユーザデータなどの様々な情報がディジタルデータとして保存されている。しかしながら、このような情報は、例えば、ハードディスクの抜き取りにより、また装置の返却、譲渡または廃棄の際に、情報漏洩してしまう可能性があり、情報セキュリティ管理上、見過ごすことができない。
画像形成装置などの情報漏洩に対するセキュリティ技術に関しては、例えば、特開2004−288049号公報(特許文献1)は、ジョブデータのセキュリティを高めることを目的として、ジョブデータに暗号化を施した上で、データの一部をRAM上に格納して残りをHDDに格納し、ジョブが終了したときに、RAM上のデータの一部を消去するジョブ処理装置を開示する。また特開2006−53875号公報(特許文献2)は、セキュリティを高めるために、暗号化した画像データを一定時間経過後に自動消去する画像形成装置を開示する。
またハードディスクなどの磁気記憶装置に格納された情報は、実データを消去したとしても、残留磁気から消去前のデータが復元される可能性を有しており、このような情報漏洩を防止するために、近年では、複数回の上書消去処理を実施してデータを安全に消去する機能を備えた画像形成装置も開発されている。安全なデータ消去としては、例えば、NAS(米国国家安全保証局)方式、DoD(米国国防省標準)方式などの上書消去方式が挙げられ、前者は、乱数の書込みを2回、固定値[0x00]の書込みを1回行なう方式であり、後者は、固定値の書込みを1回、固定値の2の補数の書込みを1回、乱数の書込みを1回行なう方式である。これらの方式は、データ消去の際に固定値の書込みを行なうという点で共通している。
特開2004−288049号公報 特開2006−53875号公報
しかしながら、データ蓄積装置への書込みデータが暗号化されるような場合、上述のような固定値の書込みを含むデータ消去方式を適用できないという問題点があった。これは、書込むべき固定値自体が暗号化されてしまい、方式に準拠したデータの上書消去が実現できなかったためである。
本発明は、上記問題点に鑑みてなされたものであり、暗号化によるデータ蓄積装置へのアクセスを可能とし、かつ、固定値の書込みを含む上書消去方式による安全なデータ消去を実施可能とし、もって、情報漏洩に対して高いセキュリティを有する情報処理装置、プログラムおよび記録媒体を提供することを目的とする。
本発明は、上記課題を解決するために、データ蓄積装置へのデータ書込みを制御する制御手段に対して、非暗号化によるデータ書込みを行なわせて、データ蓄積装置に蓄積されたデータの上書消去処理を実行するデータ消去手段を備え、上書消去処理以外のデータ蓄積装置へのデータ書込みについては、暗号化により行なうとの構成を採用する。
上書消去処理の際のデータ書込みが暗号化されずに行なわれるため、固定値の書込みを含む上書消去処理であっても、そのまま固定値がデータ蓄積装置に書込まれることとなり、所望の方式に準拠したデータ消去を実現することができる。一方、上書消去処理以外のデータ蓄積装置へのデータ書込みについては、例えば、上述の制御手段が暗号化によるデータ書込み機能を備えない場合には、別途、暗号化によるデータ書込みを制御する暗号化書込み制御手段を用いて実行する。また上述の制御手段が書込時のデータの暗号化の要否を切換え可能である場合には、暗号化を要に設定し、暗号化によるデータ書込みを実行する。これにより、固定値を含む上書消去処理を可能とするとともに、データ蓄積装置への暗号化によるアクセスが可能となる。
すなわち本発明によれば、データ蓄積装置を備える情報処理装置であって、前記情報処理装置は、
前記データ蓄積装置へのデータ書込みを制御する制御手段と、
前記制御手段に対して非暗号化によるデータ書込みを行なわせて、前記データ蓄積装置に蓄積されたデータの上書消去処理を実行するデータ消去手段と
を含み、前記情報処理装置は、前記上書消去処理以外の前記データ蓄積装置へのデータ書込みについては、暗号化により行なう、情報処理装置が提供される。
前記情報処理装置は、前記上書消去処理以外のデータ書込みのために、暗号化によるデータ書込みを制御する暗号化書込み制御手段をさらに含み、前記データ消去手段は、前記暗号化書込み制御手段とは別の非暗号化によるデータ書込みを制御する前記制御手段を用いて、前記上書消去処理を実行することができる。また前記情報処理装置は、前記データ消去手段による指定の記憶領域に対する上書消去処理が完了または中断したことに応答して、暗号化によるデータ書込みを制御する前記暗号化書込み制御手段を使用するよう設定する手段をさらに含むことができる。
さらに前記情報処理装置は、データ書込みでの暗号化要否の設定値を記憶する記憶手段と、前記設定値を暗号化不要に書換えるとともに、前記データ消去手段に対して前記上書消去処理の開始要求を発行する消去処理制御手段とを含み、前記制御手段は、前記設定値を参照して、書込むべきデータを暗号化するか否かを判定することができる。前記消去処理制御手段は、前記データ消去手段による指定の記憶領域に対する上書消去処理が完了または中断したことに応答して、前記設定値を暗号化要に書換えることができる。
前記中断は、外部指令または書込みエラーの発生によることができる。前記情報処理装置は、起動時に前記データ蓄積装置の上書消去処理を開始させる起動様式か、通常の起動様式かを判定する起動様式判定手段と、指令に応答して、前記起動時に上書消去処理を開始させる起動様式に設定し、再起動を開始させるための設定手段をさらに含むことができる。また、前記上書消去処理は、固定値の書込みを含むことができる。
また本発明によれば、情報処理装置を、上記の各手段として機能させるための装置実行可能なプログラムが提供される。さらに本発明によれば、上記の各手段として、情報処理装置を機能させるための装置実行可能なプログラムを記録した装置可読な記録媒体が提供される。
以下、本発明の実施形態を説明するが、本発明の実施形態は、以下の実施形態に限定されるものではない。なお本実施形態では、情報処理装置の一例として、コピー、ファクシミリ、スキャナ、プリント等の画像を扱う複合機能を有する複合機10を用いた例を説明する。
図1は、複合機10のハードウェア構成の実施形態を示す。複合機10は、コントローラ12と、オペレーション・パネル42と、FCU(ファクシミリ・コントロール・ユニット)44と、エンジン部46とを含み構成される。コントローラ12は、CPU(中央演算処理装置)14と、NB(ノース・ブリッジ)18と、NB18を介してCPU14と接続するASIC20と、システムメモリ16とを含み構成される。ASIC20は、各種画像処理を実行し、AGP(Accelerated Graphic Port)48を介してNB18と接続される。システムメモリ16は、描画用メモリなどとして用いられる。
ASIC20は、ローカルメモリ22と、ハードディスクドライブ(以下、HDDとして参照する。)24と、フラッシュメモリなどの不揮発性メモリ(以下、NV−RAMとして参照する。)26と接続する。HDD24は、画像データなどを蓄積するストレージであり、本実施形態では、後述するデータ消去処理の対象となる。NV−RAM26は、複合機10を制御するためのプログラムや各種システム情報や各種設定情報を格納する。
コントローラ12は、さらにSB(サウス・ブリッジ)28と、NIC(ネットワーク・インタフェース・カード)30と、SDカード・スロット32と、USBインタフェース34と、IEEE1394インタフェース36と、セントロニクス・インタフェース38とを含み構成され、これらはPCIバス50を介してNB18と接続される。NIC30は、複合機10をインターネットやLANなどのネットワークに接続するインタフェース機器であり、ネットワークを介した指令を受付けている。USBインタフェース34、IEEE1394インタフェース36およびセントロニクス・インタフェース38は、それぞれの規格に準じたインタフェースであり、印刷ジョブなどを受付けている。
オペレーション・パネル42は、コントローラ12のASIC20と接続され、オペレータからの各種指示の入力を受付けや、画面表示を行なうためのユーザ・インタフェースを提供する。FCU44およびエンジン部46は、PCIバス50を介してASIC20と接続する。エンジン部46は、アプリケーションが発行したプリント指令やスキャン指令を受け、画像形成処理や画像読取処理を実行する。
図2は、本実施形態の複合機10のソフトウェアおよびハードウェア構成を示す。図2に示した複合機10は、各種機能を提供するための各種アプリケーション62〜70からなるアプリケーション層60と、API72に含まれる予め定義された関数により、各種アプリケーション62〜70からの処理要求を受付けているプラットフォーム層100と、エンジン・インタフェース(I/F)98を介してプラットフォーム層100と接続するハードウェア・リソース102とを含んで構成される。
アプリケーション層60は、図2に示した実施形態では、コピー・アプリケーション62と、ファックス・アプリケーション64と、スキャナ・アプリケーション66と、ネットファイル・アプリケーション68と、プリンタ・アプリケーション70とを含み構成され、画像に関連するユーザ・サービスに固有の処理を行なう。
プラットフォーム層100は、OS94とともにアプリケーション62〜70からの処理要求を解釈して、ハードウェア資源の獲得要求を発生する各制御部74〜88と、1つまたは複数のハードウェア資源の管理を行ない、制御部74〜88からの獲得要求を調停するシステム資源管理部(SRM)90と、OS94を通してエンジン部46とコントローラ間のイメージデータの転送を制御するイメージメモリハンドラ(IMH)92とを含み構成される。OS94としては例えば、UNIX(登録商標)を採用することができるが、WINDOWS(登録商標)やその他いかなるOSを採用することができる。OS94のカーネルは、HDD24などのデバイス・ドライバ群96を管理する。
プラットフォーム層100の上記各制御部としては、図2に示した実施形態では、エンジン制御部(ECS)74と、メモリ制御部(MCS)76と、オペレーション制御部(OCS)78と、ファクシミリ制御部(FCS)80と、ネットワーク制御部(NCS)82と、ユーザ情報制御部(UCS)84と、ハードディスク消去制御部(HDDERASE:以下HDD消去制御部として参照する。)86と、システム制御部(SCS)88とを含んで構成されている。
SCS88は、複合機10上で動作しているアプリケーションを管理し、設定情報についても管理する。またSCS88は、オペレータからの要求に応じて、HDD消去制御部86のHDD一括消去機能を起動する。OCS78は、オペレーション・パネル42を制御する。UCS84は、ユーザ情報を管理する。HDD消去制御部86は、米国国家安全保障局(NSA)方式や、米国国防省(DoD)方式や、乱数書込方式などの所定の方式に準拠したHDD24に対するデータ消去処理の実行を制御する。
複合機起動部58は、複合機10の電源投入時に最初に起動され、上述までのプラットフォーム層100およびアプリケーション層60のソフトウェア群(プロセス)に対応する制御プログラムを、図示しないROMやHDD24や図示しないSDカードなどから読出して、CPU14の作業メモリ領域を提供するシステムメモリ16上に展開して、各プロセスを起動する。これにより、上記したソフトウェア手段および後述の各機能手段が実現される。また、複合機起動部58は、NV−RAM26に格納されるフラグを参照して起動様式を判断し、HDD一括消去フラグが[true]に設定されている場合には、起動処理の際にHDD消去制御部86およびOS94を起動して、データ消去処理に関わる機能手段に対してのみ排他的にHDD24へのアクセスを行なわせ、一括消去処理を実行させる。
以下、本実施形態の複合機10が実行するデータ消去処理の詳細を説明する。図3は、本実施形態の複合機10が備えるデータ消去処理に関する主要構成の機能ブロック図を示す。複合機10は、データ消去処理の対象となるHDD24と、データ消去処理の実行を制御するHDD消去制御部86と、各方式による実際のHDD24への上書消去処理を行なうハードディスク消去ライブラリ(以下、HDD消去ライブラリとして参照する。)104と、HDD24へのデータアクセスを制御するハードディスクドライバ(以下、HDDドライバとして参照する。)106とを含み構成される。
本実施形態のHDDドライバ106は、常に非暗号化によりデータ書込みを行ない、所定方式による上書消去の際に、固定値による上書処理を実現する。以下、非暗号化によるデータ書込みを行なうドライバを非暗号化HDDドライバ106として参照する。また本実施形態の複合機10は、暗号化によりHDD24へのデータアクセスを制御する他のHDDドライバ108を含み構成され、アプリケーション62〜70などからの通常のデータアクセスは、このHDDドライバ(以下、暗号化ドライバとして参照する。)108を用いて行なう。これらのHDDドライバ106,108は、起動様式に応じてカーネルに組込まれるドライバを変更したり、使用中のHDDドライバの機能を停止させ、必要とされるHDDドライバを動的に組み込むことによって、適宜切換えることができる。
HDD一括消去処理の実行時は、HDD消去ライブラリ104あるいはHDD消去制御部86によって排他的にHDD24にアクセスすることが好ましい。本実施形態の複合機10は、HDD24にアクセスする可能性のある他の制御部のプロセスやアプリケーション・プロセスを起動させない起動様式を用意し、HDD一括消去を行なう場合は、その起動様式を設定して再起動することにより、上記排他的なアクセスを実現する。以下、HDD一括消去を実行するための起動様式を一括消去様式として参照し、通常の起動様式を通常様式として参照する。
図4は、本実施形態の複合機10が実行するHDD一括消去処理のフローチャートを示す。図4に示した処理は、ステップS100から開始し、ステップS101でオペレーション・パネル42などを介した一括消去処理実行の指令およびその設定を受領する。ステップS101では、データ消去処理の方式指定や、消去完了後に再起動を行なうかまたはそのまま電源を切断するかの動作指定などが設定され、設定値がメモリなどの記憶手段に格納される。なお、ステップS101で用いるユーザ・インタフェースについては後述する。指令を受けてステップS102では、一括消去処理実行の指令に応答して、NV−RAM26のHDD一括消去フラグを[true]に設定して、一括消去様式に起動様式を設定し、ステップS103で再起動を開始する。
一括消去様式での再起動を開始すると複合機起動部58は、ステップS104でOS94を起動し、ステップS105でHDD一括消去フラグを参照して、ステップS106でHDD一括消去フラグが[true]であるか否かを判定する。ステップS106でHDD一括消去フラグが[false]であると判定された場合(NO)には、処理をステップS109へ分岐させ、通常様式による起動処理を実行し、ステップS108で処理を終了させる。通常様式による起動処理では、図2に示した制御部のプロセスやアプリケーションのプロセスがHDD24へアクセス可能に起動されることとなる。
一方、ステップS106の判定で、HDD一括消去フラグが[true]であると判定された場合(YES)には、処理をステップS107へ分岐させ、一括消去様式による起動処理を実行し、ステップS108で処理を終了させる。以下、一括消去様式による起動処理の詳細を説明する。
図5は、本実施形態の複合機10が実行する一括消去様式による起動処理のフローチャートを示す。図5に示した処理は、ステップS200で、図4に示したステップS107の処理により開始される。ステップS201では、複合機起動部58が複合機10のシステムを管理するSCS88を起動し、ステップS202では、SCS88がHDD消去制御部86を起動する。起動後にHDD消去制御部86は、ステップS203で、HDD消去ライブラリ104を用いて、HDD24のすべての記憶領域に対するデータ消去処理を実行する。
HDD24のすべての記憶領域に対するデータ消去処理が完了すると、ステップS204では、HDD一括消去フラグを[False]に設定し、起動様式を通常様式に設定する。ステップS205では、図4のステップS101において、消去完了後に再起動を行なう動作指定がなされているか否かの判定を行なう。ステップS205で消去完了後に再起動を行なう旨の動作指定がなされていた場合(YES)には、ステップS206で再起動処理を開始し、ステップS207で処理を終了させる。そして、以降の再起動処理では、通常様式による起動処理が行なわれることとなる。一方、ステップS205で、消去完了後に電源を切断する旨の動作指定がなされていた場合(NO)には、ステップS208へ処理を分岐させ、ステップS208で複合機10の電源の切断処理を実行し、ステップS207で処理を終了させる。
以下、上書消去処理の詳細を説明する。図6は、本実施形態の複合機10が実行する上書消去処理のフローチャートを示す。図6に示した処理は、ステップS300で、図5におけるステップS203の処理により開始される。ステップS301でHDD消去制御部86は、通常使用され暗号化によるデータ書込みを制御する暗号化HDDドライバ108の機能を停止させ、非暗号化HDDドライバ106を用いるドライバとして機能させる。そして、ステップS302でHDD消去制御部86は、図4のステップS101で指定された方式によるデータ消去処理の実行の開始要求をHDD消去ライブラリ104へ発行し、データ消去処理を開始させる。
データ消去処理の実行の開始要求を受けてHDD消去ライブラリ104は、ステップS303で、指定の方式に従い、非暗号化HDDドライバ106を介して、HDD24の記憶領域の先頭位置から順に上書処理を施す。ステップS304では、書込エラーなどのエラーが発生したか否かを判定し、エラーが発生していないと判定した場合(NO)には、処理をステップS305へ分岐させる。ステップS305では、オペレータからの中止指令を受領したか否かを判定し、中止指令を受領していないと判定した場合(NO)には、処理をステップS306へ分岐させる。
ステップS306では、HDD24のすべての記憶領域に対して、所定方式に従った上書消去処理が完了したか否かを判定し、データ消去処理が未だ完了していないと判定された場合(NO)には、処理をステップS303へ再びループさせ、すべての上書消去処理が完了するまで処理を繰返させる。一方、ステップS306で、すべての上書消去処理が完了したと判定された場合(YES)には、ステップS307へ処理を分岐させ、ステップS307で本処理ルーチンを終了させる。
ステップS304でエラーが発生したと判定された場合(YES)またはステップS305で中止指令を受領したと判定された場合(YES)には、一括消去処理が未完了であっても、ステップS307へ処理を分岐させ、データ消去処理を中断し、ステップS307で処理ルーチンを終了させる。本処理ルーチンが終了した以降は、図5に示した処理フローに従って、電源が切断されるか、または通常様式により再起動されることとなる。通常様式による再起動が設定される場合には、暗号化HDDドライバ108が組込まれ、暗号化によるデータ書込みが可能となる。なお、データ消去処理を中断した際には、他の実施形態では、オペレーション・パネル42を介してHDD一括データ消去が中断した旨のエラー通知を行なう制御とすることもできる。
以下、図7に示すシーケンス図を参照して、HDD一括消去の処理フローをより具体的に説明する。図7は、本実施形態の複合機10が実行するHDD一括消去のシーケンス図を示す。図7に示した処理は、ステップS400で、HDD一括消去フラグが[true]に設定され一括消去様式により再起動されたところから開始する。ステップS401でHDD消去制御部86は、HDD消去ライブラリ104に対して、方式指定を含むデータ消去処理の開始要求を発行し、開始要求を受けてHDD消去ライブラリ104は、ステップS402で指定された方式によるデータ消去処理を開始する。
ステップS403では、HDD消去ライブラリ104は、非暗号化HDDドライバ106に対して、指定の方式に従って、順次、固定値またはランダム値のデータ上書き要求する。上書き要求を受けて非暗号化HDDドライバ106は、ステップS404で、HDD24に対して平文によるデータ上書きを実行する。以降、HDD消去ライブラリ104は、HDD24の先頭位置から末尾位置までの記憶領域に対する上書き要求を発行し、すべての記憶領域への上書処理を実行する。ステップS405でHDD消去ライブラリ104は、すべての記憶領域に対する上書処理が完了したことを検知し、ステップS406でデータ書込完了応答をHDD消去制御部86に通知する。
本実施形態の複合機10は、非暗号化HDDドライバ106を使用してデータ消去処理を行なうことにより、固定値によるデータ書込みが要求されるデータ消去方式であっても、当該方式に準拠したデータ消去が可能となる。また、データ消去処理以外の通常のデータ読書きは、暗号化および復号して実行されるため、データ消去される前にHDD24が抜取られた場合を想定しても、その際の情報漏洩のリスクを低減することが可能となる。さらにデータ消去処理が完了すると、データ復元が極めて困難となるため、所定の方式に準拠した高いセキュリティを提供することが可能となる。
なお上述までは、通常使用される暗号化HDDドライバ108の機能を停止させ、非暗号化HDDドライバ106を機能させて切換える制御として説明したが、他の実施形態では、起動様式に応じて使用するHDDドライバの設定変更した後に再起動させることにより、OSの起動時に、通常様式では暗号化ドライバ108が組込まれ、一括消去様式では非暗号化ドライバ106が組込まれるように制御することもできる。
以下、データ消去処理の他の実施形態について説明する。以下に説明する実施形態では、暗号化または非暗号化によるデータ書込みの切換が可能なHDDドライバを使用する。図8は、他の実施形態におけるデータ消去処理に関する主要構成の機能ブロック図を示す。なお、図3に示した機能手段と同様の機能を有するものには、同一符号を割り当てている。図8に示した実施形態では、複合機10は、HDD24と、HDD消去制御部86と、HDD消去ライブラリ104と、書き込むべきデータの暗号化の要否の設定値を格納する暗号化要否設定格納部112と、暗号化の要否の設定値に応じたHDD24へのデータアクセスを制御するHDDドライバ110とを含み構成される。
本実施形態のHDDドライバ110は、暗号化要否設定格納部112の設定値を参照して、書込むべきデータに暗号化処理を施すか否かを判定する。HDD消去制御部86は、データ消去処理の開始前に、暗号化要否設定格納部112の設定値を[暗号化不要]に変更する。よって、HDDドライバ110は、所定の方式による上書消去の際には、暗号化せずにデータ書込みを行なう。またHDD消去制御部86は、データ消去処理が完了または中断した場合には、暗号化要否設定格納部112の設定値を[暗号化要]に設定し、暗号化による通常のデータアクセスを行なう。なお、暗号化要否設定格納部112は、例えばNV−RAM26の記憶領域によって提供される。また、他の実施形態では、暗号化要否設定格納部112は、SDメモリカード、フラッシュメモリ、コンパクトフラッシュ(登録商標)などのリムーバルメディアの記憶領域を使用してもよい。なお、データアクセスにおける暗号化の要否の判定や暗号化および復号の処理は、特に処理上の制限がない限り、フィルタドライバまたは中間ドライバとしとして実装することもでき、またいかなる他の機能モジュールとして実装してもよい。
図9は、他の実施形態における上書消去処理のフローチャートを示す。図9に示した処理は、ステップS500で、図5のステップS203の処理により開始される。ステップS501でHDD消去制御部86は、暗号化要否設定格納部112が格納する設定値を[暗号化不要]に設定する。そして、ステップS502でHDD消去制御部86は、図4のステップS101で指定された方式によるデータ消去処理実行の開始要求をHDD消去ライブラリ104へ発行し、データ消去処理を開始させる。
開始要求を受けてHDD消去ライブラリ104は、ステップS503で、指定の方式に従い、HDDドライバ110を介してHDD24の記憶領域の先頭位置から順に上書処理を施す。ステップS504では、書込エラーなどのエラーが発生したか否かを判定し、エラーが発生していないと判定した場合(NO)には、処理をステップS505へ分岐させる。ステップS505では、中止指令を受領したか否かを判定し、中止指令を受領していないと判定した場合(NO)には、処理をステップS506へ分岐させる。
ステップS506では、HDD24のすべての記憶領域に対して、所定方式に従った上書消去処理が完了したか否かを判定し、データ消去処理が未だ完了していないと判定された場合(NO)には、処理をステップS503へ再びループさせる。一方、ステップS506で、すべての上書消去処理が完了したと判定された場合(YES)には、ステップS507へ処理を分岐させ、暗号化要否設定格納部112の設定値を、データ消去処理開始前の元の値に設定し直し、ステップS508で本処理ルーチンを終了させる。
ステップS504でエラーが発生したと判定された場合(YES)またはステップS505で中止指令を受領したと判定された場合(YES)には、一括消去処理が未完了であっても、ステップS507へ処理を分岐させ、データ消去処理を中断し、設定値を元の値に戻して、ステップS508で処理ルーチンを終了させる。
以下、図10に示すシーケンス図を参照して、HDD一括消去が完了するまでの処理フローについて、より具体的に説明する。図10に示した処理は、ステップS600で、HDD一括消去フラグが[true]に設定され一括消去様式により再起動されたところから開始する。ステップS601でHDD消去制御部86は、暗号要否設定格納部112に対して、設定値を[暗号化不要]とするよう要求を発行し、ステップS602で暗号化要否設定格納部112は、設定値を[暗号化不要]に書換える。ステップS603でHDD消去制御部86は、HDD消去ライブラリ104に対して、データ消去方式指定を含むデータ消去処理の開始要求を発行し、開始要求を受けてHDD消去ライブラリ104は、ステップS604で指定方式によるデータ消去処理を開始する。
ステップS605では、HDD消去ライブラリ104は、指定の方式に従って、HDDドライバ110に対して、順次、固定値またはランダム値のデータ上書き要求を発行する。HDDドライバ110は、ステップS606で、暗号化要否設定格納部112の設定値を参照して暗号化を行なうか否かを判定し、ステップS607で、暗号化不要とされた設定値に応じて、HDD24に対して平文によるデータ上書を実行する。以降、HDD消去ライブラリ104は、HDD24の先頭位置から末尾位置までの記憶領域に対するデータ上書きを繰り返す。HDD消去ライブラリ104は、ステップS608ですべての記憶領域に対する上書処理の完了を検知し、ステップS609でHDD消去制御部86にデータ書込完了応答を通知する。完了応答を受けてHDD消去制御部86は、ステップS610で、暗号要否設定格納部112に対して元の値である[暗号化要]に設定要求を発行し、ステップS611で暗号化要否設定格納部112は、設定値を[暗号化要]に書換える。
以下、さらに図11に示すシーケンス図を参照して、HDD一括消去が書込エラーにより中断した場合の処理フローについて、より具体的に説明する。図11に示したステップS700〜ステップS707までの処理は、図10に示したステップS600〜S607までの処理に対応するため、ここでは説明を省略する。ステップS707以降、ステップS708では、HDDドライバ110がHDD24の書込みの失敗を検知し、ステップS709で、HDD消去ライブラリ104に書込エラー通知を行なう。書込エラー通知を受けてHDD消去ライブラリ104は、ステップS710でデータ消去処理を中断させ、ステップS711でHDD消去制御部86に対して中断完了通知を行なう。中断完了通知を受けてHDD消去制御部86は、ステップS712で、暗号化要否設定格納部112に対して、設定値を元の値である[暗号化要]とするよう要求を行ない、ステップS713で、暗号化要否設定格納部112は、設定値を[暗号化要]に書換える。
以下、さらに図12に示すシーケンス図を参照して、HDD一括消去がオペレータからの中止指令により中断した場合の処理フローについて、より具体的に説明する。図12に示したステップS800〜ステップS807までの処理は、図10に示したステップS600〜607までの処理に対応するため、ここでは説明を省略する。ステップS807以降、ステップS808では、オペレーション・パネル42などを介したオペレータからデータ消去処理の中止指令を受領して、HDD消去制御部86は、中止イベントの発生を検知し、ステップS809で、HDD消去ライブラリ104に対して中断要求を発行する。中断要求を受けてHDD消去ライブラリ104は、ステップS810で、データ消去処理を中断し、ステップS811でHDD消去制御部86に対して中断完了通知を行なう。中断完了通知を受けてHDD消去制御部86は、ステップS812で、暗号化要否設定格納部112に対して元の値である[暗号化要]とするよう要求を行ない、ステップS813で、暗号化要否設定格納部112は、設定値を[暗号化要]に書換える。
本実施形態の複合機10は、暗号化要否の設定値に応じて動作が制御されるHDDドライバ110を使用し、暗号化不要に設定してデータ消去処理を行なうことにより、固定値によるデータ書込みが要求されるデータ消去方式であっても、当該方式に準拠したデータ消去が可能となる。従って、所定の方式に準拠した高いセキュリティを提供することが可能となる。一方、通常のデータアクセスについては、暗号化要に設定して行なうことができるため、暗号化されたデータ蓄積が可能となり、もって、さらに高いセキュリティが提供される。また、オペレータによる中止指令を受付可能に構成されるため、オペレータが緊急に複合機10を利用する必要性に迫られた場合であっても、迅速にHDD一括消去処理を中断して、画像読取りや画像形成などのサービスを提供することが可能となる。
なお上述までの実施形態では、HDD一括消去時の排他的アクセスを行なうために、他のHDD24にアクセスする可能性のある制御部やアプリケーションを起動させない起動様式を用意し、その起動様式により再起動した後で、HDD一括消去を行なっているが、特に限定されるものではない。他の実施形態では、例えば、HDD24にアクセスする可能性のある他の制御部やアプリケーションをHDD24のアクセスを禁止した状態で起動する起動様式を用意し、プリントやスキャンなどのサービスのバックグラウンドにおいて、HDD一括消去を行なう制御とすることもできる。
また上述までの実施形態では、HDD24全体の記憶領域を一括消去の対象としたが、特に限定されるものではなく、他の実施形態では、HDD24の所定範囲の記憶領域をデータ消去処理の対象としてもよい。この場合、一時的に他のプロセスによるHDD24へのアクセスを禁止し、HDDドライバまたは暗号化要否の設定値を切換えて、例えば、スキャンやプリントのジョブ実行のために一時的に格納した画像データなどを、ジョブが終了した後に逐次消去させる制御とすることもできる。またHDD一括消去処理は、オペレーション・パネル42を介した外部指令の他にも、ネットワークI/Fを介した外部指令や、実行日時の設定によるタイマイベントなどに応答して処理を開始させる制御とすることができる。
以下、図4のステップS101で用いられるユーザ・インタフェースについて詳細を説明する。図13は、HDD一括消去処理を指令するための複合機10のオペレーション・パネル42に表示されるGUI(グラフィカル・ユーザ・インタフェース)画面の実施形態を示す。以下、説明を容易にするために、オペレーション・パネル42がタッチパネルなどにより構成された場合を一例として説明する。
図13に示したGUI画面300は、複合機10のシステム設定画面に対応し、HDD一括消去を行なうための設定画面を呼出す管理者用設定タブ302と、HDD一括消去を指令するためのメモリー全消去ボタン304と、設定の終了を指令するための終了ボタン306とを含み構成される。なお、この管理者用設定タブ302は、管理者用パスワード等によりユーザ認証を行ない、認証され正当な権限を有するユーザに対してのみ選択可能とすることが好ましい。前画面において、管理者用設定タブ302が押下され、管理者用設定画面の表示が選択されると、図13に示したメモリー全消去ボタン304を含むGUI画面300が表示されることとなる。
図14は、GUI画面300のメモリー全消去ボタン304の押下に応答して表示されるGUI画面320を示す。図14に示したGUI画面320は、HDDの消去方式を指定するための方式指定ボタン322a〜cと、消去処理が完了した後の動作を指定するための動作指定ボタン324aおよびbと、HDD一括消去を指令するための消去実行ボタン326と、元の図13の画面に戻るための閉じるボタン328とを含み構成される。各方式指定ボタン322は、オペレータから指令を待受け、押下されたことに応答して、方式指定値をメモリ上に格納して、選択された旨の表示を行なう。図14に示した例では、NAS方式と、DoD方式と、乱数方式とが選択可能に表示され、オペレータにより方式が指定され、消去実行ボタン326が押下されたことに応答して、HDD一括消去が開始される。動作指定ボタン324aは、処理終了後に再起動を行なう旨の動作指定を待受け、動作指定ボタン324bは、処理終了後に電源を切断する旨の動作指定を待受け、押下されたことに応答して、各動作指定の指定値をメモリ上に格納して、選択された旨の表示を行なう。
図15は、GUI画面320の消去実行ボタン326の押下に応答して表示されるGUI画面340を示す。GUI画面340は、メッセージ342を含み構成され、再起動後にHDD一括消去の実行を開始する旨をオペレータに通知している。
図13〜図14に示すGUI画面をオペレーション・パネル42上に表示させることにより、オペレータは、容易に、複合機10のHDD一括消去処理を指令することが可能となり、高い利便性を備えた情報処理装置を提供することが可能となる。
以上説明したように本実施形態によれば、暗号化によるデータ蓄積装置へのアクセスを可能とし、かつ、固定値の書込みを含む上書消去方式による安全なデータ消去を実施可能とし、もって、情報漏洩に対して高いセキュリティを有する情報処理装置、プログラムおよび記録媒体を提供することが可能となる。
情報処理装置としては、上述した実施形態の複合機能を有した複合機に限られるものではなく、特定の用途に応じて、パーソナル・コンピュータやサーバ、複写機やプリンタや印刷機などの画像形成装置、スキャナなどの画像読取装置、ファクシミリなどの画像通信装置など、データ蓄積装置を備える装置として構成することができる。
またデータ蓄積装置としては、上述した実施形態では、ハードディスクドライブを例として説明してきたが、他の如何なる記憶装置または記憶媒体を採用することができ、蓄積情報が残留してしまうような記録原理を基礎とした不揮発性の記憶装置または記録媒体に対して特に有効である。
さらに本実施形態のデータ消去機能は、米国国防省(NAS)方式、米国安全保障局(DoD)方式の他、固定値書込み方式、米国陸軍方式、米国海軍方式、北大西洋条約機構方式またはGutmann方式など、固定値の書込処理を含む如何なるデータ消去方式に対しても有効である。
また、上記機能は、アセンブラ、C、C++、C#、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述された装置実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD、SDメモリ、MOなど装置可読な記録媒体に格納して頒布することができる。
以上本発明の特定の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
複合機のハードウェア構成の実施形態を示す図。 本実施形態の複合機のソフトウェアおよびハードウェア構成を示す図。 本実施形態の複合機が備えるデータ消去処理に関する主要構成の機能ブロック図。 本実施形態の複合機が実行するHDD一括消去処理のフローチャート。 本実施形態の複合機が実行する一括消去様式による起動処理のフローチャート。 本実施形態の複合機が実行する上書消去処理のフローチャート。 HDD一括消去が完了するまでの処理フローのシーケンス図。 他の実施形態におけるデータ消去処理に関する主要構成の機能ブロック図。 他の実施形態における上書消去処理のフローチャートを示す。 HDD一括消去が完了するまでの処理フローを示すシーケンス図。 HDD一括消去が書込エラーにより中断した場合の処理フローを示すシーケンス図。 HDD一括消去がオペレータからの中止指令により中断した場合の処理フローを示すシーケンス図。 HDD一括消去処理を指令するためのGUI画面の実施形態を示す図。 方式指定および完了後の動作指定を行なうためのGUI画面を示す図。 一括消去実行の指令の後に表示されるGUI画面を示す図。
符号の説明
10…複合機、12…コントローラ、14…CPU、16…システムメモリ、18…NB、20…ASIC、22…ローカルメモリ、24…HDD、26…NV−RAM、28…SB、30…NIC、32…SDカード・スロット、34…USBインタフェース、36…IEEE1394インタフェース、38…セントロニクス・インタフェース、42…オペレーション・パネル、44…FCU、46…エンジン部、48…AGP、50…PCIバス、58…複合機起動部、60…アプリケーション層、62…コピー・アプリケーション、64…ファックス・アプリケーション、66…スキャナ・アプリケーション、68…ネットファイル・アプリケーション、70…プリンタ・アプリケーション、72…API、74…ECS、76…MCS、78…OCS、80…FCS、82…NCS、84…UCS、86…HDD消去制御部、88…SCS、90…SRM、92…IMH、94…OS、96…デバイス・ドライバ群、98…エンジン・インタフェース(I/F)、100…プラットフォーム層、102…ハードウェア・リソース、104…HDD消去ライブラリ、106…非暗号化HDDドライバ、108…暗号化HDDドライバ、110…HDDドライバ、112…暗号化要否設定格納部、300…GUI画面、320…GUI画面、340…GUI画面

Claims (10)

  1. データ蓄積装置を備える情報処理装置であって、前記情報処理装置は、
    前記データ蓄積装置へのデータ書込みを制御する制御手段と、
    前記制御手段に対して非暗号化によるデータ書込みを行なわせて、前記データ蓄積装置に蓄積されたデータの上書消去処理を実行するデータ消去手段と
    を含み、前記情報処理装置は、前記上書消去処理以外の前記データ蓄積装置へのデータ書込みについては、暗号化により行なう、情報処理装置。
  2. 前記情報処理装置は、前記上書消去処理以外のデータ書込みのために、暗号化によるデータ書込みを制御する暗号化書込み制御手段をさらに含み、
    前記データ消去手段は、前記暗号化書込み制御手段とは別の非暗号化によるデータ書込みを制御する前記制御手段を用いて、前記上書消去処理を実行する、請求項1に記載の情報処理装置。
  3. 前記情報処理装置は、前記データ消去手段による指定の記憶領域に対する上書消去処理が完了または中断したことに応答して、暗号化によるデータ書込みを制御する前記暗号化書込み制御手段を使用するよう設定する手段をさらに含む、請求項2に記載の情報処理装置。
  4. 前記情報処理装置は、データ書込みでの暗号化要否の設定値を記憶する記憶手段と、前記設定値を暗号化不要に書換えるとともに、前記データ消去手段に対して前記上書消去処理の開始要求を発行する消去処理制御手段とを含み、
    前記制御手段は、前記設定値を参照して、書込むべきデータを暗号化するか否かを判定する、請求項1に記載の情報処理装置。
  5. 前記消去処理制御手段は、前記データ消去手段による指定の記憶領域に対する上書消去処理が完了または中断したことに応答して、前記設定値を暗号化要に書換える、請求項4に記載の情報処理装置。
  6. 前記中断は、外部指令または書込みエラーの発生による、請求項3または5に記載の情報処理装置。
  7. 前記情報処理装置は、起動時に前記データ蓄積装置の上書消去処理を開始させる起動様式か、通常の起動様式かを判定する起動様式判定手段と、
    指令に応答して、前記起動時に上書消去処理を開始させる起動様式に設定し、再起動を開始させるための設定手段をさらに含む、請求項1〜6のいずれか1項に記載の情報処理装置。
  8. 前記上書消去処理は、固定値の書込みを含む、請求項1〜7のいずれか1項に記載の情報処理装置。
  9. 情報処理装置を、請求項1〜8のいずれか1項に記載の各手段として機能させるための装置実行可能なプログラム。
  10. 請求項1〜8のいずれか1項に記載の各手段として、情報処理装置を機能させるための装置実行可能なプログラムを記録した装置可読な記録媒体。
JP2007188078A 2007-07-19 2007-07-19 情報処理装置、プログラムおよび記録媒体 Pending JP2009026038A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007188078A JP2009026038A (ja) 2007-07-19 2007-07-19 情報処理装置、プログラムおよび記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007188078A JP2009026038A (ja) 2007-07-19 2007-07-19 情報処理装置、プログラムおよび記録媒体

Publications (1)

Publication Number Publication Date
JP2009026038A true JP2009026038A (ja) 2009-02-05

Family

ID=40397796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007188078A Pending JP2009026038A (ja) 2007-07-19 2007-07-19 情報処理装置、プログラムおよび記録媒体

Country Status (1)

Country Link
JP (1) JP2009026038A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011248124A (ja) * 2010-05-27 2011-12-08 Canon Inc データ暗号化装置およびその制御方法
JP2012531687A (ja) * 2009-06-29 2012-12-10 トムソン ライセンシング ソリッドステートメモリにおけるデータセキュリティ
CN105389526A (zh) * 2015-12-03 2016-03-09 泰华智慧产业集团股份有限公司 加密区和非加密区一体化的移动硬盘及其数据存储方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531687A (ja) * 2009-06-29 2012-12-10 トムソン ライセンシング ソリッドステートメモリにおけるデータセキュリティ
JP2011248124A (ja) * 2010-05-27 2011-12-08 Canon Inc データ暗号化装置およびその制御方法
CN105389526A (zh) * 2015-12-03 2016-03-09 泰华智慧产业集团股份有限公司 加密区和非加密区一体化的移动硬盘及其数据存储方法
CN105389526B (zh) * 2015-12-03 2018-02-23 泰华智慧产业集团股份有限公司 加密区和非加密区一体化的移动硬盘及其数据存储方法

Similar Documents

Publication Publication Date Title
US7502944B2 (en) Job processing device and data management for the device
JP2008072427A (ja) 画像形成装置及びクライアント/サーバ型情報処理システム並びに情報処理方法
JP4209789B2 (ja) ファイル作成方法、サーバ、記録媒体及びプログラム追加システム
JP2004120356A (ja) 画像処理装置
JP6875808B2 (ja) 情報処理装置
JP2011120176A (ja) 画像形成装置、画像形成装置の制御方法及びプログラム
JP4836083B2 (ja) 画像形成装置、画像形成装置の制御方法、及びコンピュータプログラム
JP5743475B2 (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
JP4274845B2 (ja) 情報処理装置
JP5294795B2 (ja) 印刷制御装置、印刷制御方法、及びコンピュータプログラム
JP2009026038A (ja) 情報処理装置、プログラムおよび記録媒体
JP2006094054A (ja) 画像形成装置、画像形成システム、及び中継装置
JP3766014B2 (ja) 画像形成装置のセキュリティシステム、画像形成装置のセキュリティ方法及び該方法を実行するためのプログラムを格納したコンピュータ読み取り可能な記憶媒体
US20050231756A1 (en) Image forming apparatus
KR20170015171A (ko) 정보 처리 장치, 그 제어 방법 및 저장 매체
US11330129B2 (en) Image forming system, image forming apparatus, and storing medium storing application control program
JP2004072139A (ja) 画像処理装置
JP4480692B2 (ja) 情報処理装置
WO2005022895A1 (ja) 画像処理装置
JP2021002755A (ja) 画像形成装置およびプログラム
JP4386762B2 (ja) データ処理装置及び画像形成装置
JP2006350775A (ja) 画像処理装置、データ管理プログラムおよびデータ管理方法
JP7248947B2 (ja) 画像形成装置およびホーム画面表示プログラム
JP2005084974A (ja) 情報処理装置
JP2004072138A (ja) 画像処理装置