JP2010267089A - Information processor, control method, computer program, and storage medium - Google Patents

Information processor, control method, computer program, and storage medium Download PDF

Info

Publication number
JP2010267089A
JP2010267089A JP2009117998A JP2009117998A JP2010267089A JP 2010267089 A JP2010267089 A JP 2010267089A JP 2009117998 A JP2009117998 A JP 2009117998A JP 2009117998 A JP2009117998 A JP 2009117998A JP 2010267089 A JP2010267089 A JP 2010267089A
Authority
JP
Japan
Prior art keywords
data
storage medium
information processing
processing apparatus
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009117998A
Other languages
Japanese (ja)
Other versions
JP5465920B2 (en
Inventor
Satoshi Yonekawa
智 米川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Priority to JP2009117998A priority Critical patent/JP5465920B2/en
Publication of JP2010267089A publication Critical patent/JP2010267089A/en
Application granted granted Critical
Publication of JP5465920B2 publication Critical patent/JP5465920B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security function which easily prevents leakage of information even in a general-purpose storage medium for example, and is advantageous in cost. <P>SOLUTION: This invention may be applied to an information processor equipped with an interface to be connected to a detachable storage medium, and a control means for reading and executing a security program stored in the storage medium through the interface. The control means functions as a read/write control means for permitting writing of the data to the security region secured in the storage medium and reading of the data from the security region by reading and executing the security program. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、情報処理装置、情報処理装置の制御方法、コンピュータプログラム、記録媒体に関し、特に、着脱可能な記憶媒体が関与した情報漏洩を抑制する技術に関する。   The present invention relates to an information processing apparatus, a control method for the information processing apparatus, a computer program, and a recording medium, and more particularly, to a technique for suppressing information leakage involving a removable storage medium.

現在、パーソナルコンピュータなどの情報処理装置の外部記憶装置として、持ち運びが可能なUSBストレージデバイスが普及している。しかし、USBストレージデバイスは利便性が高い反面、ユーザーの使用方法次第では機密情報の漏洩の元となりうる。特許文献1には、指紋認証部を備えたUSBストレージデバイスが記載されている。USBストレージデバイスには、自由にユーザーが使用できる自由領域と、指紋認証部により認証された者だけが使用できる秘匿領域とが設けられている。   Currently, portable USB storage devices are widely used as external storage devices for information processing apparatuses such as personal computers. However, the USB storage device is highly convenient, but it can be a source of leakage of confidential information depending on how the user uses it. Patent Document 1 describes a USB storage device including a fingerprint authentication unit. The USB storage device is provided with a free area that a user can freely use and a secret area that can be used only by a person who has been authenticated by the fingerprint authentication unit.

特開2006−301772号公報、図1ないし図3Japanese Unexamined Patent Publication No. 2006-301772, FIGS. 1 to 3

しかし、特許文献1に記載の技術では、USBストレージデバイスが指紋認証部を実装しているため、汎用的な記憶媒体よりもコストが高くなり、使い勝手も低下するであろう。一般にUSBストレージデバイスは、デバイスごとに仕様が異なる。よって、指紋認証部などの個人認証機能もデバイスの仕様に合わせてデバイスごとに用意しなければならない。また、特許文献1に記載の発明では、現在普及しているUSBストレージデバイスに後付けでセキュリティ機能を搭載することもできない。また、個人認証機能が故障して、秘匿領域に直接アクセスできるようになってしまうと、ユーザーの情報を保護することができなくなる。すなわち、情報の漏洩やソフトウェアの無断使用などのおそれがある。   However, in the technique described in Patent Document 1, since the USB storage device has a fingerprint authentication unit mounted thereon, the cost will be higher than that of a general-purpose storage medium, and usability will be reduced. In general, USB storage devices have different specifications for each device. Therefore, a personal authentication function such as a fingerprint authentication unit must be prepared for each device in accordance with the specifications of the device. Further, in the invention described in Patent Document 1, a security function cannot be installed later on a USB storage device that is currently popular. If the personal authentication function breaks down and the secret area can be directly accessed, the user information cannot be protected. That is, there is a risk of information leakage or unauthorized use of software.

そこで、本発明は、このような課題および他の課題のうち、少なくとも1つを解決することを目的とする。たとえば、本発明は、汎用の記憶媒体であっても情報の漏洩を抑制しやすい、コスト的に有利なセキュリティ機能を提供することを目的とする。なお、他の課題については明細書の全体を通して理解できよう。   Therefore, an object of the present invention is to solve at least one of such problems and other problems. For example, an object of the present invention is to provide a cost-effective security function that easily suppresses information leakage even in a general-purpose storage medium. Other issues can be understood throughout the specification.

本発明は、たとえば、着脱可能な記憶媒体を接続するインターフェースと、記憶媒体に記憶されているセキュリティプログラムを、インターフェースを介して、読み出して実行する制御手段とを備えた情報処理装置に適用できる。制御手段は、セキュリティプログラムを実行することで、記憶媒体に確保されたセキュリティ領域へのデータの書き込みとセキュリティ領域からのデータの読み出しを許可する読み書き制御手段として機能する。   The present invention can be applied to, for example, an information processing apparatus including an interface for connecting a removable storage medium and a control unit that reads and executes a security program stored in the storage medium via the interface. The control unit functions as a read / write control unit that allows data to be written to and read from the security area secured in the storage medium by executing the security program.

本発明によれば、記憶媒体の一部の領域に対するデータの読み書きがセキュリティプログラムにしたがって許可される。よって、記憶媒体の仕様に依存することなく、情報の漏洩を抑制するためのセキュリティ機能を追加できるため、コストを低下させやすい。   According to the present invention, reading / writing of data with respect to a partial area of the storage medium is permitted according to the security program. Therefore, since it is possible to add a security function for suppressing information leakage without depending on the specifications of the storage medium, it is easy to reduce the cost.

情報処理装置1と、それに接続される汎用のUSBストレージデバイス10とを示す概略構成図である。1 is a schematic configuration diagram showing an information processing apparatus 1 and a general-purpose USB storage device 10 connected thereto. 情報処理装置1において、USBストレージデバイス10の初期化処理を示すフローチャートである。4 is a flowchart showing initialization processing of the USB storage device 10 in the information processing apparatus 1. フォルダ階層の一例を示した図である。It is the figure which showed an example of the folder hierarchy. 設定データの一例を示す図である。It is a figure which shows an example of setting data. 情報処理装置1にUSBストレージデバイス10が挿入された際、情報処理装置1の処理の流れを示すフローチャートである。4 is a flowchart showing a processing flow of the information processing apparatus 1 when the USB storage device 10 is inserted into the information processing apparatus 1. USBストレージデバイス10へのデータの書き込みについて、情報処理装置1における処理を示すフローチャートである。4 is a flowchart showing processing in the information processing apparatus 1 for writing data to the USB storage device 10. USBストレージデバイス10からのデータの読み込みについて、情報処理装置1における処理を示すフローチャートである。4 is a flowchart showing processing in the information processing apparatus 1 for reading data from the USB storage device 10. 情報処理装置1と、それに接続される汎用のUSBストレージデバイス10とを示す概略構成図である。1 is a schematic configuration diagram showing an information processing apparatus 1 and a general-purpose USB storage device 10 connected thereto. 情報処理装置1にUSBストレージデバイス10が挿入された際、情報処理装置1の処理の流れを示すフローチャートである。4 is a flowchart showing a processing flow of the information processing apparatus 1 when the USB storage device 10 is inserted into the information processing apparatus 1.

図1は、情報処理装置1と、それに接続される汎用のUSBストレージデバイス10とを示す概略構成図である。情報処理装置1は、パーソナルコンピュータなど、汎用のインターフェースを介して外部記憶装置を接続可能なコンピュータである。USBストレージデバイス10は、情報処理装置1が備えるインターフェース8に対して着脱可能な記憶媒体の一例である。なお、記憶媒体は、FD(フレキシブルディスク)やSDカードなど、記憶領域を備えた他の種類の記憶装置であってもよい。すなわち、セキュリティプログラムを記憶しておくプログラム記憶領域と、本発明に係る読み書きの制限されるセキュリティ領域とを確保できる記憶装置であれば、どのような種類の記憶装置であってもよい。   FIG. 1 is a schematic configuration diagram showing an information processing apparatus 1 and a general-purpose USB storage device 10 connected thereto. The information processing apparatus 1 is a computer that can be connected to an external storage device via a general-purpose interface, such as a personal computer. The USB storage device 10 is an example of a storage medium that can be attached to and detached from the interface 8 included in the information processing apparatus 1. The storage medium may be another type of storage device having a storage area, such as an FD (flexible disk) or an SD card. In other words, any type of storage device may be used as long as it can secure a program storage area for storing a security program and a security area for which reading and writing are restricted according to the present invention.

ここでは説明をわかりやすくするために、USBストレージデバイス10を接続するためのインターフェース8がUSBインターフェースであるものと仮定する。しかし、本発明のインターフェースは、これに限定されず、IEEE1394、ワイヤレスUSB、eSATAなど、他の種類のインターフェースであってもよい。   Here, for ease of explanation, it is assumed that the interface 8 for connecting the USB storage device 10 is a USB interface. However, the interface of the present invention is not limited to this, and may be another type of interface such as IEEE 1394, wireless USB, or eSATA.

情報処理装置1は、たとえば、CPU2、ROM3、RAM4、ハードディスクドライブ(HDD)5、入力装置6、表示装置7、インターフェース8及びシステムバス9を備えている。CPU2は、ROM3やHDD5に記憶されているコンピュータプログラムに基づいて各部を制御するプロセッサである。本発明のCPU2は、USBストレージデバイス10から読み出した自動インストールプログラム101やセキュリティプログラム102を実行する。これにより、CPU2は、USBストレージデバイス10に確保されたセキュリティ領域へのデータの書き込みとセキュリティ領域からのデータの読み出しを許可する読み書き制御手段として機能する。   The information processing apparatus 1 includes, for example, a CPU 2, a ROM 3, a RAM 4, a hard disk drive (HDD) 5, an input device 6, a display device 7, an interface 8, and a system bus 9. The CPU 2 is a processor that controls each unit based on computer programs stored in the ROM 3 and the HDD 5. The CPU 2 of the present invention executes the automatic installation program 101 and the security program 102 read from the USB storage device 10. As a result, the CPU 2 functions as a read / write control unit that permits data writing to the security area secured in the USB storage device 10 and data reading from the security area.

RAM(Random Access Memory)4は、ワークエリアとして機能する。ROM(Read Only Memory)3は、不揮発性の記憶素子であり、ファームウエアなどを記憶する。HDD5には、OS(オペレーティングシステム)、アプリケーションプログラムなどが記憶されている。なお、CPU2は、自動インストールプログラム101を実行することで、セキュリティプログラム102をHDD5に格納及びインストールする。CPU2と各部は、システムバス9を介して命令やデータの送受信を実行する。   A RAM (Random Access Memory) 4 functions as a work area. A ROM (Read Only Memory) 3 is a non-volatile storage element and stores firmware and the like. The HDD 5 stores an OS (Operating System), application programs, and the like. Note that the CPU 2 stores and installs the security program 102 in the HDD 5 by executing the automatic installation program 101. The CPU 2 and each unit send and receive commands and data via the system bus 9.

入力装置6は、ユーザーが情報処理装置1に対して指示を入力するための装置であり、キーボードやマウスなどにより構成されている。入力装置6は、たとえば、認証データ(パスワード)やセキュリティ領域の設定情報を入力する際に使用される。入力された情報はCPU2よって受け付けられる。表示装置7は、たとえば、CRTや液晶表示装置により構成されており、CPU2による処理結果を画像や文字などによって表示する。インターフェース8は、USBバス15を介してUSBストレージデバイス10が備えるUSBインターフェース11と接続する。すなわち、USBバス15を介して情報処理装置1とUSBストレージデバイス10とが双方向にデータの送受信を行う。   The input device 6 is a device for a user to input an instruction to the information processing device 1 and includes a keyboard and a mouse. The input device 6 is used, for example, when inputting authentication data (password) and security area setting information. The input information is accepted by the CPU 2. The display device 7 is composed of, for example, a CRT or a liquid crystal display device, and displays a processing result by the CPU 2 by an image, characters, or the like. The interface 8 is connected to the USB interface 11 included in the USB storage device 10 via the USB bus 15. That is, the information processing apparatus 1 and the USB storage device 10 transmit and receive data bidirectionally via the USB bus 15.

以降では、情報処理装置1がパーソナルコンピュータであることを前提にして説明する。ただし、演算処理能力を有する機器であるならばその種類や機種は限定されることはなく、情報処理装置1として本発明を適用できる。たとえば、ネットワークを介さない情報処理装置であっても、情報処理装置1として採用できる。   Hereinafter, description will be made on the assumption that the information processing apparatus 1 is a personal computer. However, the type and model are not limited as long as the device has arithmetic processing capability, and the present invention can be applied as the information processing apparatus 1. For example, even an information processing apparatus not via a network can be employed as the information processing apparatus 1.

一方、USBストレージデバイス10は、USBインターフェース11、コントローラ12、発光ダイオード(LED)14、不揮発性記憶手段であるフラッシュメモリ13を備えている。コントローラ12は、情報処理装置1からUSBインターフェース11を介して受信した命令に従って、フラッシュメモリ13に対してデータの読み出し、書き込みおよび削除を実行する。USBインターフェース11は、USBバス15を介して、情報処理装置1と通信を行う。すなわち、USB規格に基づいたパケットが送受信される。LED14は、フラッシュメモリ13に対してファイルの読み出し、書き込み、削除が実行されている際に点灯する発光体である。LED14は、フラッシュメモリ13に対してファイルの読み出し、書き込みおよび削除が実行中であることをユーザーに示す。   On the other hand, the USB storage device 10 includes a USB interface 11, a controller 12, a light emitting diode (LED) 14, and a flash memory 13 that is a nonvolatile storage unit. The controller 12 reads, writes, and deletes data from and to the flash memory 13 in accordance with instructions received from the information processing apparatus 1 via the USB interface 11. The USB interface 11 communicates with the information processing apparatus 1 via the USB bus 15. That is, packets based on the USB standard are transmitted and received. The LED 14 is a light emitter that is lit when a file is being read from, written to, or deleted from the flash memory 13. The LED 14 indicates to the user that a file is being read from, written to, and deleted from the flash memory 13.

フラッシュメモリ13は、記憶保持動作が不要な半導体メモリであり、ファイルや情報を記憶することができる。フラッシュメモリ13に代えて、他の種類の不揮発性記憶装置が採用されてもよい。フラッシュメモリ13には、たとえば、プログラム格納領域、自由領域及び秘匿領域とが存在する。プログラム格納領域には、自動インストールプログラム101、セキュリティプログラム102及び設定データ103などが記憶される。なお、プログラム格納領域は自由領域そのものまたはその一部であってもよい。   The flash memory 13 is a semiconductor memory that does not require a memory holding operation, and can store files and information. Instead of the flash memory 13, other types of nonvolatile storage devices may be employed. The flash memory 13 includes, for example, a program storage area, a free area, and a secret area. The program storage area stores an automatic installation program 101, a security program 102, setting data 103, and the like. The program storage area may be the free area itself or a part thereof.

自動インストールプログラム101は、USBストレージデバイス10が情報処理装置1に接続されたときに実行されるコンピュータプログラムまたはスクリプトである(例:autorn.inf)。ここでは、自動インストールプログラム101は、セキュリティプログラム102を情報処理装置1へとインストールするために使用される。セキュリティプログラム102は、自身が情報処理装置で実行されている場合に限り、USBストレージデバイス10に確保されたセキュリティ領域へのデータの書き込みとセキュリティ領域からのデータの読み出しを許可する。セキュリティ領域に対するデータの読み書きは、実行中のセキュリティプログラム102が許可しなければ、実行できない。ただし、セキュリティプログラム102が実行中でない場合は、セキュリティ領域(秘匿領域)への書き込みがOSを通じて許可されてもよい。一方、非セキュリティ領域である自由領域に対するデータの読み書きは、セキュリティプログラム102が実行中であるか否かとは無関係に許可される。すなわち、通常のOSの制御にしたがって自由にデータの読み書きが実行可能である。   The automatic installation program 101 is a computer program or script that is executed when the USB storage device 10 is connected to the information processing apparatus 1 (for example, autorun.inf). Here, the automatic installation program 101 is used to install the security program 102 into the information processing apparatus 1. The security program 102 permits writing data into and reading data from the security area secured in the USB storage device 10 only when the security program 102 is executed by the information processing apparatus. Reading and writing data to the security area cannot be executed unless the security program 102 being executed permits it. However, when the security program 102 is not being executed, writing to the security area (secret area) may be permitted through the OS. On the other hand, reading / writing of data to / from a free area that is a non-security area is permitted regardless of whether or not the security program 102 is being executed. That is, data can be freely read and written according to normal OS control.

本実施形態においては、データの読み書きの制限(セキュリティ機能)を暗号化処理、復号化処理及び認証処理によって実現するものとして説明する。すなわち、セキュリティ領域である秘匿領域へ書き込まれるデータは基本的に暗号化される。一方、認証の成功したユーザーが、秘匿領域から暗号化されたデータを読み出すことを指示した場合には、暗号化されたデータの復号化が実行される。   In the present embodiment, description will be made assuming that data read / write restriction (security function) is realized by encryption processing, decryption processing, and authentication processing. That is, data written to the secret area, which is a security area, is basically encrypted. On the other hand, when the user who has succeeded in the authentication instructs to read the encrypted data from the secret area, the encrypted data is decrypted.

図2は、情報処理装置1において、USBストレージデバイス10の初期化処理を示すフローチャートである。ここでは、USBストレージデバイス10には、セキュリティプログラム102が導入済みでないものとする。よって、初期化処理は、情報処理装置1内のHDD5に記憶されているセキュリティプログラム102をUSBストレージデバイス10へインストールする処理となる。情報処理装置1内のHDD5に記憶されているセキュリティプログラム102をCPU2が起動し、CPU2はセキュリティプログラム102にしたがってUSBストレージデバイス10の初期化処理を実行する。   FIG. 2 is a flowchart showing the initialization process of the USB storage device 10 in the information processing apparatus 1. Here, it is assumed that the security program 102 has not been installed in the USB storage device 10. Therefore, the initialization process is a process for installing the security program 102 stored in the HDD 5 in the information processing apparatus 1 in the USB storage device 10. The CPU 2 starts the security program 102 stored in the HDD 5 in the information processing apparatus 1, and the CPU 2 executes initialization processing of the USB storage device 10 according to the security program 102.

ステップS21で、CPU2は、フラッシュメモリ13に特定の使用者のみがアクセスできる秘匿領域(セキュリティ領域)と、第三者も自由に使用できる自由領域(非セキュリティ領域)領域とを、入力装置6から入力された情報にしたがって定義及び設定する。最も簡単な例としては、秘匿領域と自由領域とを異なるフォルダによって実現することであろう。CPU2は、秘匿領域にすべきフォルダの名称(例:秘匿領域)やファイルパスを入力することを促すためのメッセージを表示装置7から出力する。ユーザーは、秘匿領域にすべきフォルダの名称やファイルパスを入力装置6から入力する。なお、自由領域は本来なくてもよいが、ユーザーが任意で設定してもよい。つまり、秘匿領域として明示的に指定されていない他のフォルダは自由領域として黙示的に指定されたことになる。さらに、秘匿領域と自由領域の記憶容量を設定できるようにしてもよい。記憶容量の設定は、たとえば、フラッシュメモリ13を論理フォーマットした後で、記憶容量を指定した複数の基本領域や拡張領域を確保することで実現される。このように、CPU2は、記憶媒体にセキュリティ領域を定義する定義手段として機能する。   In step S21, the CPU 2 determines from the input device 6 a secret area (security area) that only a specific user can access the flash memory 13 and a free area (non-security area) area that can be freely used by a third party. Define and set according to the information entered. In the simplest example, the secret area and the free area may be realized by different folders. The CPU 2 outputs from the display device 7 a message for prompting the user to input the name of the folder to be set as the secret area (eg, the secret area) and the file path. The user inputs the name of the folder and the file path to be set as the secret area from the input device 6. Note that the free area is not necessarily provided, but may be arbitrarily set by the user. That is, other folders that are not explicitly designated as secret areas are implicitly designated as free areas. Further, the storage capacity of the secret area and the free area may be set. The setting of the storage capacity is realized, for example, by securing a plurality of basic areas and expansion areas specifying the storage capacity after the flash memory 13 is logically formatted. Thus, the CPU 2 functions as a definition unit that defines a security area in the storage medium.

図3は、フォルダ階層の一例を示した図である。フォルダ階層301によれば、ローカルディスク(Cドライブ)と、リムーバブルディスク302(Dドライブ)とが情報処理装置1に内蔵ないしは接続されていることがわかる。さらに、リムーバブルディスク302には、秘匿領域303と自由領域304とがフォルダとして設定されている。なお、自動インストールプログラム101、セキュリティプログラム102及び設定データ103は、ルートディレクトリに記憶されているものとする。   FIG. 3 is a diagram showing an example of a folder hierarchy. According to the folder hierarchy 301, it can be seen that a local disk (C drive) and a removable disk 302 (D drive) are built in or connected to the information processing apparatus 1. Further, a secret area 303 and a free area 304 are set as folders on the removable disk 302. It is assumed that the automatic installation program 101, the security program 102, and the setting data 103 are stored in the root directory.

図4は、設定データの一例を示す図である。CPU2は、セキュリティ領域として設定されたフォルダの名称(ファイルパス)401を設定データ103に保存する。なお、複数のセキュリティ領域が設定されてもよい。さらに、ユーザーIDとパスワードとを複数のセキュリティ領域に関連付けて設定データ103に記憶しておけば、複数のユーザー間でUSBストレージデバイス10を共用する際にもセキュリティを維持できる。設定データ103には、後述する認証データ402も保存される。設定データ103は、フラッシュメモリ13に記憶されてもよいし、HDD5に記憶されてもよい。   FIG. 4 is a diagram illustrating an example of setting data. The CPU 2 stores the folder name (file path) 401 set as the security area in the setting data 103. A plurality of security areas may be set. Furthermore, if the user ID and password are associated with a plurality of security areas and stored in the setting data 103, security can be maintained even when the USB storage device 10 is shared among a plurality of users. The setting data 103 also stores authentication data 402 described later. The setting data 103 may be stored in the flash memory 13 or may be stored in the HDD 5.

ここで、秘匿領域や自由領域をフォルダにより実現しているが、本発明はこれにのみ限定されるわけではない。たとえば、フラッシュメモリ13の物理メモリアドレスを利用して各領域が決定されてもよい。   Here, the secret area and the free area are realized by folders, but the present invention is not limited to this. For example, each area may be determined using the physical memory address of the flash memory 13.

ステップS22で、CPU2は、認証処理で使用するための認証データ(例:パスワード)を決定し、設定データ103に保存する。パスワードは、入力装置6からユーザーによって指定されたものであってもよいし、CPU2が一定のルールに基づいて決定してもよい。後者の場合、CPU2は、決定したパスワードを表示装置7に表示することで、ユーザーにパスワードを覚えてもらうことになる。また、パスワードは、ユーザーの生体認証(例:指紋認証、虹彩認証、声紋認証)データであってもよい。この場合は、生体認証データの入力装置が必要となろう。このように、CPU2は、セキュリティ領域に対するデータの読み出し書き込みを許可するための認証データを設定する設定手段として機能する。   In step S <b> 22, the CPU 2 determines authentication data (e.g., password) for use in the authentication process and stores it in the setting data 103. The password may be designated by the user from the input device 6 or may be determined by the CPU 2 based on a certain rule. In the latter case, the CPU 2 displays the determined password on the display device 7 so that the user can remember the password. The password may be user biometric authentication (eg, fingerprint authentication, iris authentication, voiceprint authentication) data. In this case, a biometric data input device will be required. Thus, the CPU 2 functions as a setting unit that sets authentication data for permitting reading and writing of data to the security area.

なお、CPU2は、セキュリティ領域(すなわちフォルダ)ごと、または、情報処理装置ごとに異なる暗号鍵を生成する暗号鍵生成手段として機能してもよい。これにより、ある情報処理装置1において暗号化されたUSBストレージデバイス10内のデータは、他の情報処理装置1では復号できなくなる。   The CPU 2 may function as an encryption key generation unit that generates different encryption keys for each security area (that is, a folder) or for each information processing apparatus. As a result, data in the USB storage device 10 encrypted in one information processing apparatus 1 cannot be decrypted in another information processing apparatus 1.

ステップS23で、CPU2は、HDD5に記憶されているセキュリティプログラム102、自動インストールプログラム101及び設定データ103をUSBストレージデバイス10のフラッシュメモリ13にインストールし、初期化処理を終了する。このような初期化処理により、ユーザーの事情に合わせて、各領域の容量やパスワードの設定・変更を行うことができる。   In step S23, the CPU 2 installs the security program 102, automatic installation program 101, and setting data 103 stored in the HDD 5 in the flash memory 13 of the USB storage device 10, and ends the initialization process. By such initialization processing, the capacity and password of each area can be set / changed according to the user's circumstances.

図5は、情報処理装置1にUSBストレージデバイス10が挿入された際、情報処理装置1の処理の流れを示すフローチャートである。なお、CPU2は、OSにしたがってUSBストレージデバイス10が情報処理装置1に接続されたか否か、USBストレージデバイス10が情報処理装置1から取り外されたか否かを監視しているものとする。このように、CPU2は、インターフェースに記憶媒体が接続されたか、または、インターフェースから取り外されたかを検出する検出手段として機能する。   FIG. 5 is a flowchart illustrating a processing flow of the information processing apparatus 1 when the USB storage device 10 is inserted into the information processing apparatus 1. It is assumed that the CPU 2 monitors whether the USB storage device 10 is connected to the information processing apparatus 1 according to the OS and whether the USB storage device 10 is removed from the information processing apparatus 1. As described above, the CPU 2 functions as a detection unit that detects whether the storage medium is connected to the interface or removed from the interface.

ステップS51で、初期化処理が終了したUSBストレージデバイス10が情報処理装置1に挿入(接続)される。CPU2は、USBストレージデバイス10が情報処理装置1に接続されたことを検出すると、ステップS52に進む。なお、この際に、CPU2は、OSにしたがってUSBストレージデバイス10にリムーバブルティスクとして認識し、ドライブレターを割り当てたり、フォルダの構成などを認識したりする。   In step S51, the USB storage device 10 for which the initialization process has been completed is inserted (connected) into the information processing apparatus 1. When the CPU 2 detects that the USB storage device 10 is connected to the information processing apparatus 1, the CPU 2 proceeds to step S52. At this time, the CPU 2 recognizes the USB storage device 10 as a removable disk according to the OS, assigns a drive letter, recognizes a folder structure, and the like.

ステップS52で、CPU2は、USBストレージデバイス10内の自動インストールプログラム101を読み出して実行し、自動インストールプログラム101にしたがってセキュリティプログラム102を情報処理装置1のHDD5にインストールする。このように、CPU2は、インターフェースに記憶媒体が接続されると、セキュリティプログラムを情報処理装置にインストールするインストール手段として機能する。   In step S52, the CPU 2 reads and executes the automatic installation program 101 in the USB storage device 10, and installs the security program 102 in the HDD 5 of the information processing apparatus 1 according to the automatic installation program 101. As described above, when the storage medium is connected to the interface, the CPU 2 functions as an installation unit that installs the security program in the information processing apparatus.

CPU2は、インストールしたセキュリティプログラム102を自動インストールプログラム101にしたがって起動する。CPU2は、セキュリティプログラム102にしたがって表示装置7を介してユーザーにパスワードの入力を促すためのダイアログなどを表示する。このように、CPU2は、セキュリティプログラムが起動されたときに認証データを受け付ける受付手段として機能する。   The CPU 2 starts the installed security program 102 according to the automatic installation program 101. The CPU 2 displays a dialog or the like for prompting the user to input a password via the display device 7 according to the security program 102. Thus, the CPU 2 functions as a receiving unit that receives authentication data when the security program is activated.

ステップS53で、CPU2は、入力装置6から入力されたパスワードと、フラッシュメモリ13またはHDD5に記憶されているパスワードとに基づいて認証処理を実行する。このように、CPU2は、受け付けられた認証データと設定手段により設定された認証データとを比較することで認証処理を実行する認証手段として機能する。CPU2は、両者を比較し、両者が一致すれば、認証成功と判定し、両者が一致しなければ認証失敗と判定する。認証が失敗すると、ステップS56に進む。ステップS56で、CPU2は、セキュリティプログラム102を終了させ、セキュリティプログラム102を情報処理装置1からアンインストールする。このように、CPU2は、インターフェースから記憶媒体が取り外されると、セキュリティプログラムを情報処理装置からアンインストールするアンインストール手段として機能する。   In step S53, the CPU 2 executes authentication processing based on the password input from the input device 6 and the password stored in the flash memory 13 or the HDD 5. As described above, the CPU 2 functions as an authentication unit that executes the authentication process by comparing the received authentication data with the authentication data set by the setting unit. The CPU 2 compares the two and determines that the authentication is successful if the two match, and determines that the authentication fails if the two do not match. If the authentication fails, the process proceeds to step S56. In step S <b> 56, the CPU 2 ends the security program 102 and uninstalls the security program 102 from the information processing apparatus 1. In this manner, the CPU 2 functions as an uninstalling unit that uninstalls the security program from the information processing apparatus when the storage medium is removed from the interface.

一方、ステップS53で、認証が成功すると、ステップS54に進む。ステップS54で、CPU2は、セキュリティプログラム102が備える機能の一つである秘匿領域モードをONに切り替える。CPU2は、秘匿領域モード情報をRAM4に記憶する。秘匿領域モード情報は、秘匿領域モードがONかOFFかを示すフラグのようなデータである。秘匿領域モードがONになると、セキュリティプログラム102は、その後も常駐しつづける。すなわち、CPU2は、セキュリティプログラム102及び設定データ103にしたがって秘匿領域303を特定し、秘匿領域303に対するデータの読み書きを監視する。これは、CPU2が、秘匿領域303へ書き込まれるデータを暗号化し、秘匿領域303から読み出されるデータを復号化するためである。   On the other hand, if the authentication is successful in step S53, the process proceeds to step S54. In step S54, the CPU 2 switches on the secret area mode, which is one of the functions provided in the security program 102, to ON. The CPU 2 stores the secret area mode information in the RAM 4. The secret area mode information is data such as a flag indicating whether the secret area mode is ON or OFF. When the secret area mode is turned on, the security program 102 continues to be resident thereafter. That is, the CPU 2 identifies the secret area 303 in accordance with the security program 102 and the setting data 103 and monitors data reading / writing with respect to the secret area 303. This is because the CPU 2 encrypts data to be written to the secret area 303 and decrypts data read from the secret area 303.

ステップS55で、CPU2は、USBストレージデバイス10が情報処理装置1から取り外されたか否かを判定する。USBストレージデバイス10が情報処理装置1から取り外されると、ステップS56に進む。ステップS56では、セキュリティプログラム102の終了と、自動アンインストールが実行される。   In step S <b> 55, the CPU 2 determines whether the USB storage device 10 has been removed from the information processing apparatus 1. When the USB storage device 10 is removed from the information processing apparatus 1, the process proceeds to step S56. In step S56, the security program 102 is terminated and automatic uninstallation is performed.

図6は、USBストレージデバイス10へのデータの書き込みについて、情報処理装置1における処理を示すフローチャートである。ステップS61で、CPU2は、アプリケーションプログラムにしたがってデータ(情報)の書き込み要求を発生する。CPU2は、常駐しているセキュリティプログラム102にしたがって、データ(情報)の書き込み要求を監視しており、書き込み要求の発生を検出すると、ステップS62へ進む。   FIG. 6 is a flowchart showing processing in the information processing apparatus 1 for writing data to the USB storage device 10. In step S61, the CPU 2 generates a data (information) write request in accordance with the application program. The CPU 2 monitors the data (information) write request in accordance with the resident security program 102. If the CPU 2 detects the occurrence of the write request, the process proceeds to step S62.

ステップS62で、CPU2は、セキュリティプログラム102にしたがってRAM4から秘匿領域モード情報を読み出し、秘匿領域モードがONであるか否か判定する。秘匿領域モードがONであれば、ステップS63に進む。   In step S62, the CPU 2 reads the secret area mode information from the RAM 4 according to the security program 102, and determines whether or not the secret area mode is ON. If the secret area mode is ON, the process proceeds to step S63.

ステップS63で、CPU2は、セキュリティプログラム102にしたがって、データが書き込まれる領域が秘匿領域303であるか否かを判定する。データが書き込まれる領域を特定するための情報は、OSから受け取るものとする。秘匿領域303がターゲットフォルダである場合、ステップS64に進む。   In step S <b> 63, the CPU 2 determines whether the area in which data is written is the secret area 303 according to the security program 102. Information for specifying an area in which data is written is received from the OS. When the secret area 303 is the target folder, the process proceeds to step S64.

ステップS64で、CPU2は、セキュリティプログラム102にしたがって、書き込み対象データを暗号化する。このように、CPU2は、セキュリティ領域に対してデータを書き込む際にデータを暗号化する暗号化手段として機能する。   In step S <b> 64, the CPU 2 encrypts the write target data according to the security program 102. Thus, the CPU 2 functions as an encryption unit that encrypts data when writing data to the security area.

ステップS65で、CPU2は、セキュリティプログラム102にしたがって、フラッシュメモリ13内の秘匿領域303に暗号化されたデータを書き込む。このように、フラッシュメモリ13に格納する前に暗号化が実行されるため、ユーザーによる機密情報の暗号化のし忘れを防止できる。   In step S <b> 65, the CPU 2 writes the encrypted data in the secret area 303 in the flash memory 13 in accordance with the security program 102. Thus, since encryption is performed before storing in the flash memory 13, it is possible to prevent the user from forgetting to encrypt the confidential information.

一方、ステップS63で、データの書き込みターゲットフォルダが秘匿領域303でなければ(例:データの書き込みターゲットフォルダが自由領域304)、ステップS64をスキップして、ステップS65に進む。   On the other hand, if the data write target folder is not the secret area 303 (eg, the data write target folder is the free area 304) in step S63, step S64 is skipped and the process proceeds to step S65.

ステップS65で、CPU2は、暗号化せずに、データを自由領域304に書き込む。   In step S65, the CPU 2 writes the data in the free area 304 without encryption.

また、ステップS62で、秘匿領域モードがONでない場合、ステップS63及びステップS64をスキップして、ステップS65に進む。ステップS65で、CPU2は、データを書き込むターゲットとなる領域が秘匿領域303であるか自由領域304であるかとは無関係に、データを暗号化することなくそのまま書き込む。   If the secret area mode is not ON in step S62, step S63 and step S64 are skipped and the process proceeds to step S65. In step S <b> 65, the CPU 2 writes the data as it is without encrypting it regardless of whether the target area for writing the data is the secret area 303 or the free area 304.

図7は、USBストレージデバイス10からのデータの読み込みについて、情報処理装置1における処理を示すフローチャートである。   FIG. 7 is a flowchart showing processing in the information processing apparatus 1 for reading data from the USB storage device 10.

ステップ71で、CPU2は、任意のアプリケーションプログラムにしたがって、USBストレージデバイス10に対するデータの読み込み要求を発生する。ステップS72で、CPU2は、セキュリティプログラム102にしたがってRAM4から秘匿領域モード情報を読み出し、秘匿領域モードがONであるか否か判定する。秘匿領域モードがONであれば、ステップS73に進む。   In step 71, the CPU 2 generates a data read request to the USB storage device 10 according to an arbitrary application program. In step S72, the CPU 2 reads the secret area mode information from the RAM 4 according to the security program 102, and determines whether or not the secret area mode is ON. If the secret area mode is ON, the process proceeds to step S73.

ステップS73で、CPU2は、セキュリティプログラム102にしたがって、データを読み出される対象の領域が秘匿領域303か否かを判定する。CPU2は、データを読み出される対象となっている領域(読み出し対象領域)を特定するための情報もOSから取得する。読み出し対象領域が秘匿領域303であれば、ステップS74に進む。CPU2は、読み出しのターゲットとなっているデータが暗号化データであるか否かを判定する。暗号化データか否かは、たとえば、暗号化データの先頭部分に特有の情報が存在するか否かなどにしたがって判定される。暗号化データであれば、ステップS75に進む。   In step S <b> 73, the CPU 2 determines whether or not the area from which data is read is the secret area 303 according to the security program 102. The CPU 2 also acquires information for specifying an area (read target area) from which data is read from the OS. If the read target area is the secret area 303, the process proceeds to step S74. The CPU 2 determines whether the data that is the target of reading is encrypted data. Whether or not it is encrypted data is determined, for example, according to whether or not specific information exists in the head portion of the encrypted data. If it is encrypted data, the process proceeds to step S75.

ステップS75で、CPU2は、セキュリティプログラム102にしたがって、暗号化データを復号化する。このように、CPU2は、セキュリティ領域から暗号化されたデータを読み出す際にデータを復号化する復号化手段として機能する。   In step S75, the CPU 2 decrypts the encrypted data according to the security program 102. As described above, the CPU 2 functions as a decryption unit that decrypts data when the encrypted data is read from the security area.

ステップS76で、CPU2は、セキュリティプログラム102にしたがって、アプリケーションプログラムにデータを渡し、RAM4にデータを書き込む。すなわち、復号化されたデータは、フラッシュメモリ13に格納されない。よって、復号化処理後にUSBストレージデバイス10が情報処理装置1から抜かれた場合でも、復号化されたデータをUSBストレージデバイス10から読み込むことはできない。その結果、機密情報の漏洩を防ぐことができる。このように、CPU2は、復号化したデータを記憶媒体に記憶せずに、情報処理装置が備えている揮発性の記憶手段に記憶させる読み書き制御手段として機能する。   In step S76, the CPU 2 passes data to the application program according to the security program 102, and writes the data to the RAM 4. That is, the decrypted data is not stored in the flash memory 13. Therefore, even when the USB storage device 10 is removed from the information processing apparatus 1 after the decryption process, the decrypted data cannot be read from the USB storage device 10. As a result, leakage of confidential information can be prevented. As described above, the CPU 2 functions as a read / write control unit that stores the decrypted data in the volatile storage unit included in the information processing apparatus without storing the decrypted data in the storage medium.

一方、ステップS73で、秘匿領域303ではない領域(例:自由領域304)が読み出し対象と判別されると、ステップS74及びS75をスキップして、ステップS76に進む。同様に、ステップS74で、読み出し対象データが暗号化データでないと判定された場合は、ステップS75をスキップして、ステップS76に進む。ステップS76で、CPU2は、データを復号化処理せずにアプリケーションプログラムに渡す。   On the other hand, if it is determined in step S73 that an area (eg, free area 304) that is not the secret area 303 is a read target, steps S74 and S75 are skipped and the process proceeds to step S76. Similarly, if it is determined in step S74 that the data to be read is not encrypted data, step S75 is skipped and the process proceeds to step S76. In step S76, the CPU 2 passes the data to the application program without decrypting the data.

なお、ステップS72で、秘匿領域モードがONでないと判定された場合、ステップS73ないし75をスキップし、ステップS76に進む。ステップS76で、CPU2は、読み出し対象領域が秘匿領域303であるか自由領域304であるかとは無関係に、読み出し対象データを復号化処理せずに読み出す。   If it is determined in step S72 that the secret area mode is not ON, steps S73 to 75 are skipped and the process proceeds to step S76. In step S76, the CPU 2 reads the read target data without performing the decryption process regardless of whether the read target area is the secret area 303 or the free area 304.

上述した自動インストールプログラム101やセキュリティプログラム102が実行する処理のうち、コンピュータ上で稼働しているオペレーティングシステム(OS)などがその処理の一部または全部を行ってもよい。その処理によって前述した実施形態の機能が実現される場合も本発明の技術的範囲に含まれることは言うまでもない。   Of the processes executed by the automatic installation program 101 and the security program 102 described above, an operating system (OS) running on the computer may perform part or all of the processes. It goes without saying that the case where the functions of the above-described embodiments are realized by the processing is also included in the technical scope of the present invention.

以上より、秘匿領域303に格納されていたデータの読み込みと秘匿領域303への書き込みは、セキュリティプログラム102にしたがってCPU2により制御される。つまり、CPU2は、セキュリティプログラムが情報処理装置で実行されている場合に認証処理に成功すると、セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施す。一方、CPU2は、認証処理に失敗すると、セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施さない。よって、秘匿領域303に書き込まれるべきデータは、ユーザーが意図することなく、自動で暗号化されて書き込まれる。秘匿領域303から読み込まれるべきデータも、ユーザーが意図することなく、自動で復号化される。よって、認証に成功したユーザーであれば、暗号化や復号化の処理を意図して指示する必要はない。   As described above, reading of data stored in the secret area 303 and writing to the secret area 303 are controlled by the CPU 2 in accordance with the security program 102. In other words, if the authentication process is successful when the security program is being executed by the information processing apparatus, the CPU 2 performs encryption and decryption for reading and writing data to and from the security area. On the other hand, if the authentication process fails, the CPU 2 does not perform encryption and decryption for reading and writing data to and from the security area. Therefore, the data to be written in the secret area 303 is automatically encrypted and written without the user's intention. Data to be read from the secret area 303 is also automatically decrypted without the user's intention. Therefore, if the user has succeeded in authentication, there is no need to instruct for the encryption or decryption process.

また、認証に成功したことで秘匿領域モードがONになっているときは、秘匿領域303に書き込まれたデータは暗号化されている。よって、認証に失敗したなど、秘匿領域モードがOFFのときは、そのデータを復号化することができない。すなわち、認証されていないユーザーは、暗号化されたデータを復号して利用することができない。これは、セキュリティプログラム102が実行中であれば認証に成功した特定のユーザーのみが、保護・秘匿すべきデータを保存・消去できることを意味する。なお、認証の必要がない自由領域304も用意すれば、第三者はこの自由領域304を使用すればよい。これは、記憶媒体に確保された非セキュリティ領域に対するデータの読み書きは、ユーザー認証の成否とは無関係に、CPU2が許可するからである。よって、単一のUSBストレージデバイス10を特定のユーザーと第三者とで安全に共用することもできる。   In addition, when the secret area mode is ON due to successful authentication, the data written in the secret area 303 is encrypted. Therefore, when the secret area mode is OFF, such as when authentication fails, the data cannot be decrypted. That is, an unauthenticated user cannot decrypt and use the encrypted data. This means that if the security program 102 is being executed, only a specific user who has succeeded in authentication can save and delete data to be protected and concealed. If a free area 304 that does not require authentication is also prepared, a third party may use this free area 304. This is because the CPU 2 permits reading / writing of data to / from the non-security area secured in the storage medium regardless of the success or failure of user authentication. Therefore, a single USB storage device 10 can be safely shared by a specific user and a third party.

フラッシュメモリ13から暗号化されたデータを読み込む場合、復号化されたデータはフラッシュメモリ13ではなくRAM4に書き込まれる。すなわち、復号化されたデータはフラッシュメモリ13には書き込まれない。よって、復号化処理後にUSBストレージデバイス10が情報処理装置1から抜かれた場合でも、秘匿領域303に格納されているデータは依然として暗号化されたままである。よって、秘匿領域303に格納されている機密情報の漏洩を防ぐことができる。   When the encrypted data is read from the flash memory 13, the decrypted data is written to the RAM 4 instead of the flash memory 13. That is, the decrypted data is not written to the flash memory 13. Therefore, even when the USB storage device 10 is removed from the information processing apparatus 1 after the decryption process, the data stored in the secret area 303 is still encrypted. Therefore, leakage of confidential information stored in the secret area 303 can be prevented.

ところで、上述の実施形態では、USBストレージデバイス10のフラッシュメモリ13にセキュリティプログラム102を記憶して持ち歩き、それを起動することを想定していた。しかし、セキュリティプログラム102等をUSBストレージデバイス10に記憶して持ち歩く必要はない。すなわち、情報処理装置1のHDD5にセキュリティプログラム102を記憶しておき、それをユーザーによる入力装置6からの起動指示に基づいて、または、USBストレージデバイス10に記憶してある自動起動プログラム(autorun.infなど)に基づいて、CPU2がセキュリティプログラム102を起動する。   By the way, in the above-described embodiment, it is assumed that the security program 102 is stored in the flash memory 13 of the USB storage device 10 and carried and started. However, it is not necessary to store the security program 102 or the like in the USB storage device 10 and carry it around. That is, the security program 102 is stored in the HDD 5 of the information processing apparatus 1, and an automatic start program (autorun.) Stored in the USB storage device 10 based on a start instruction from the input device 6 by the user. CPU2 starts the security program 102 based on inf).

図8は、情報処理装置1と、それに接続される汎用のUSBストレージデバイス10とを示す概略構成図である。すでに説明した箇所には同一の参照符号を付与している。   FIG. 8 is a schematic configuration diagram showing the information processing apparatus 1 and a general-purpose USB storage device 10 connected thereto. The parts already described are given the same reference numerals.

図1と比較すると、図8では、セキュリティプログラム102と設定データ103が情報処理装置1のHDD5に記憶されている。すなわち、上述した初期化処理のステップS23では、CPU2が、設定データ103をHDD5に記憶したものとする。また、設定データ103はフラッシュメモリ13に記憶されていてもよい。   Compared to FIG. 1, in FIG. 8, the security program 102 and setting data 103 are stored in the HDD 5 of the information processing apparatus 1. That is, it is assumed that the CPU 2 stores the setting data 103 in the HDD 5 in step S23 of the initialization process described above. The setting data 103 may be stored in the flash memory 13.

なお、USBストレージデバイス10ごと、または、フォルダごとに暗号鍵を生成し、設定データ103に保存しておいてもよい。また、情報処理装置1が異なれば、暗号鍵も異なるようにCPU2が生成してもよい。これにより、ある情報処理装置1において暗号化されたUSBストレージデバイス10内のデータは、他の情報処理装置1では復号できなくなる。   Note that an encryption key may be generated for each USB storage device 10 or for each folder and stored in the setting data 103. Further, if the information processing apparatus 1 is different, the CPU 2 may generate the encryption key so as to be different. As a result, data in the USB storage device 10 encrypted in one information processing apparatus 1 cannot be decrypted in another information processing apparatus 1.

図8によれば、自動起動プログラム801がフラッシュメモリ13に記憶されている。なお、セキュリティプログラム102をユーザーに起動させる実施形態では、自動起動プログラム801は必ずしも必要ではない。   According to FIG. 8, an automatic startup program 801 is stored in the flash memory 13. In the embodiment in which the security program 102 is activated by the user, the automatic activation program 801 is not always necessary.

図9は、情報処理装置1にUSBストレージデバイス10が挿入された際、情報処理装置1の処理の流れを示すフローチャートである。すでに説明した箇所には同一の参照符号を付与している。図5と比較すると、図9では、ステップS52とS56が、それぞれステップS92とS96に置換されている。ステップS51で、USBストレージデバイス10がインターフェース8に接続されたことをCPU2が検出すると、ステップS92へ進む。なお、CPU2は、インターフェースに記憶媒体が接続されたか否かを検出する検出手段として機能する。   FIG. 9 is a flowchart illustrating a processing flow of the information processing apparatus 1 when the USB storage device 10 is inserted into the information processing apparatus 1. The parts already described are given the same reference numerals. Compared with FIG. 5, in FIG. 9, steps S52 and S56 are replaced with steps S92 and S96, respectively. When the CPU 2 detects that the USB storage device 10 is connected to the interface 8 in step S51, the process proceeds to step S92. The CPU 2 functions as a detection unit that detects whether a storage medium is connected to the interface.

ステップS92で、CPU2は、USBストレージデバイス10内の自動起動プログラム801を読み出して実行し、自動起動プログラム801にしたがって、HDD5に記憶されているセキュリティプログラム102を起動する。なお、自動起動プログラム801をautorun.infで実行する場合は、セキュリティプログラム102のファイルパスがどの情報処理装置1でも同一となるように、各情報処理装置1にセキュリティプログラム102をインストールすることが前提となる。このように、CPU2は、インターフェースに記憶媒体が接続されたことを検出手段が検出すると、記憶装置(HDD5)に記憶されているセキュリティプログラムを実行する制御手段として機能する。   In step S92, the CPU 2 reads and executes the automatic startup program 801 in the USB storage device 10, and starts the security program 102 stored in the HDD 5 according to the automatic startup program 801. When executing the auto-start program 801 with autorun.inf, it is assumed that the security program 102 is installed in each information processing apparatus 1 so that the file path of the security program 102 is the same in any information processing apparatus 1. It becomes. As described above, when the detection unit detects that the storage medium is connected to the interface, the CPU 2 functions as a control unit that executes the security program stored in the storage device (HDD 5).

その後、CPU2は、セキュリティプログラム102にしたがって表示装置7を介してユーザーにパスワードの入力を促すためのダイアログなどを表示する。その後、ステップS53ないしS55を実行し、ステップS96に進む。   Thereafter, the CPU 2 displays a dialog or the like for prompting the user to input a password via the display device 7 in accordance with the security program 102. Thereafter, steps S53 to S55 are executed, and the process proceeds to step S96.

ステップS96で、CPU2は、セキュリティプログラム102をクローズ(終了)させる。   In step S96, the CPU 2 closes (ends) the security program 102.

以上説明したように、セキュリティプログラム102が情報処理装置1に記憶されていたとしても、記憶媒体の仕様に依存することなく、情報の漏洩を抑制するためのセキュリティ機能を追加できる。よって、セキュリティプログラム102やUSBストレージデバイス10のコストを低下させやすくなろう。   As described above, even if the security program 102 is stored in the information processing apparatus 1, a security function for suppressing information leakage can be added without depending on the specifications of the storage medium. Therefore, the cost of the security program 102 and the USB storage device 10 will be likely to be reduced.

1 情報処理装置
10 USBストレージデバイス 1 Information processing device 10 USB storage device

Claims (17)

情報処理装置であって、
着脱可能な記憶媒体を接続するインターフェースと、
前記記憶媒体に記憶されているセキュリティプログラムを、前記インターフェースを介して読み出して実行する制御手段と
を備え、
前記制御手段は、
前記記憶媒体に記憶されているセキュリティプログラムを読み出して実行することで、
前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可する読み書き制御手段として機能する
ことを特徴とする情報処理装置。 An information processing apparatus,
An interface for connecting a removable storage medium;
Control means for reading and executing the security program stored in the storage medium via the interface;
The control means includes
By reading and executing the security program stored in the storage medium,
An information processing apparatus that functions as a read / write control unit that permits writing of data to a security area secured in the storage medium and reading of data from the security area. 前記読み書き制御手段は、
前記セキュリティ領域に対してデータを書き込む際に該データを暗号化する暗号化手段と、
前記セキュリティ領域から暗号化されたデータを読み出す際に該データを復号化する復号化手段と
を備え、
前記読み書き制御手段は、復号化したデータを前記記憶媒体に記憶せずに、前記情報処理装置が備えている揮発性の記憶手段に記憶させることを特徴とする請求項1に記載の情報処理装置。 The read / write control means includes
Encryption means for encrypting the data when writing the data to the security area;
Decrypting means for decrypting the data when reading the encrypted data from the security area,
The information processing apparatus according to claim 1, wherein the read / write control unit stores the decrypted data in a volatile storage unit included in the information processing apparatus without storing the decrypted data in the storage medium. . 前記読み書き制御手段は、
セキュリティ領域ごと、または、情報処理装置ごとに異なる暗号鍵を生成する暗号鍵生成手段
を備えることを特徴とする請求項2に記載の情報処理装置。 The read / write control means includes
The information processing apparatus according to claim 2, further comprising an encryption key generation unit configured to generate a different encryption key for each security area or for each information processing apparatus. 前記制御手段は、
前記記憶媒体に記憶されている前記セキュリティプログラムを読み出して実行することで、
前記記憶媒体に前記セキュリティ領域を定義する定義手段と、
前記セキュリティ領域に対するデータの読み出し書き込みを許可するための認証データを設定する設定手段と、
前記セキュリティプログラムが起動されたときに認証データを受け付ける受付手段と、
前記受け付けられた認証データと前記設定手段により設定された認証データとを比較することで認証処理を実行する認証手段と
してさらに機能し、
前記読み書き制御手段は、
前記セキュリティプログラムが前記情報処理装置で実行されている場合に、前記認証処理に成功すると、前記セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施し、
前記認証処理に失敗すると、前記セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施さない
ことを特徴とする請求項2または3に記載の情報処理装置。 The control means includes
By reading and executing the security program stored in the storage medium,
Defining means for defining the security area in the storage medium;
Setting means for setting authentication data for permitting reading and writing of data to the security area;
Accepting means for accepting authentication data when the security program is activated;
It further functions as an authentication unit that executes an authentication process by comparing the received authentication data with the authentication data set by the setting unit,
The read / write control means includes
When the security program is executed by the information processing apparatus, if the authentication process is successful, encryption and decryption are performed on reading and writing of data with respect to the security area,
4. The information processing apparatus according to claim 2, wherein when the authentication process fails, encryption and decryption are not performed for reading and writing of data with respect to the security area. 5. 前記読み書き制御手段は、
前記記憶媒体に確保された非セキュリティ領域に対するデータの読み書きは、ユーザー認証の成否とは無関係に、許可する
ことを特徴とする請求項4に記載の情報処理装置。 The read / write control means includes
5. The information processing apparatus according to claim 4, wherein reading / writing of data with respect to the non-security area secured in the storage medium is permitted regardless of success or failure of user authentication. 前記制御手段は、
前記インターフェースに前記記憶媒体が接続されたか、または、前記インターフェースから取り外されたかを検出する検出手段と、
前記インターフェースに前記記憶媒体が接続されると、前記セキュリティプログラムを前記情報処理装置にインストールするインストール手段と、
前記インターフェースから前記記憶媒体が取り外されると、前記セキュリティプログラムを前記情報処理装置からアンインストールするアンインストール手段と
を備えることを特徴とする請求項1ないし5のいずれか1項に記載の情報処理装置。 The control means includes
Detecting means for detecting whether the storage medium is connected to the interface or removed from the interface;
An installation means for installing the security program in the information processing apparatus when the storage medium is connected to the interface;
6. The information processing apparatus according to claim 1, further comprising an uninstaller configured to uninstall the security program from the information processing apparatus when the storage medium is removed from the interface. . 着脱可能な記憶媒体を接続するインターフェースと、前記記憶媒体に記憶されているセキュリティプログラムを前記インターフェースを介して読み出して実行する制御手段とを備えた情報処理装置におけるデータの読み書きの制御方法であって、
前記制御手段が、前記記憶媒体に記憶されているセキュリティプログラムを読み出して実行するステップと、
前記制御手段が、前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可するステップと
を備えることを特徴とする制御方法。 A control method for reading and writing data in an information processing apparatus comprising an interface for connecting a removable storage medium and a control means for reading and executing a security program stored in the storage medium via the interface ,
The control means reading and executing a security program stored in the storage medium;
A control method comprising the step of allowing the control means to write data to a security area secured in the storage medium and to read data from the security area. 着脱可能な記憶媒体を接続するインターフェースと、前記記憶媒体に記憶されているコンピュータプログラムを前記インターフェースを介して読み出して実行する制御手段とを備えた情報処理装置におけるデータの読み書きを制御するコンピュータプログラムであって、
前記コンピュータプログラムが前記制御手段によって実行されると、
前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可する読み書き制御手段として前記情報処理装置を機能させることを特徴とするコンピュータプログラム。 A computer program for controlling reading and writing of data in an information processing apparatus comprising an interface for connecting a removable storage medium and a control means for reading and executing a computer program stored in the storage medium via the interface There,
When the computer program is executed by the control means,
A computer program for causing the information processing apparatus to function as read / write control means for permitting writing of data to a security area secured in the storage medium and reading of data from the security area. 記憶媒体であって、
請求項8に記載のコンピュータプログラムを記憶していることを特徴とした記憶媒体。 A storage medium,
A storage medium storing the computer program according to claim 8. 情報処理装置であって、
着脱可能な記憶媒体を接続するインターフェースと、
セキュリティプログラムを記憶した記憶装置と、
前記インターフェースに前記記憶媒体が接続されたか否かを検出する検出手段と、
前記検出手段が前記インターフェースに前記記憶媒体が接続されたことを検出すると、前記記憶装置に記憶されているセキュリティプログラムを実行する制御手段と
を備え、
前記制御手段は、
前記セキュリティプログラムを実行することで、
前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可する読み書き制御手段として機能する
ことを特徴とする情報処理装置。 An information processing apparatus,
An interface for connecting a removable storage medium;
A storage device storing a security program;
Detecting means for detecting whether or not the storage medium is connected to the interface;
Control means for executing a security program stored in the storage device when the detection means detects that the storage medium is connected to the interface;
The control means includes
By executing the security program,
An information processing apparatus that functions as a read / write control unit that permits writing of data to a security area secured in the storage medium and reading of data from the security area. 前記読み書き制御手段は、
前記セキュリティ領域に対してデータを書き込む際に該データを暗号化する暗号化手段と、
前記セキュリティ領域から暗号化されたデータを読み出す際に該データを復号化する復号化手段と
を備え、
前記読み書き制御手段は、復号化したデータを前記記憶媒体に記憶せずに、前記情報処理装置が備えている揮発性の記憶手段に記憶させることを特徴とする請求項10に記載の情報処理装置。 The read / write control means includes
Encryption means for encrypting the data when writing the data to the security area;
Decrypting means for decrypting the data when reading the encrypted data from the security area,
The information processing apparatus according to claim 10, wherein the read / write control unit stores the decrypted data in a volatile storage unit included in the information processing apparatus without storing the decrypted data in the storage medium. . 前記制御手段は、
前記セキュリティプログラムを実行することで、
前記記憶媒体に前記セキュリティ領域を定義する定義手段と、
前記セキュリティ領域に対するデータの読み出し書き込みを許可するための認証データを設定する設定手段と、
前記キュリティプログラムが起動されたときに認証データを受け付ける受付手段と、
前記受け付けられた認証データと前記設定手段により設定された認証データとを比較することで認証処理を実行する認証手段と
してさらに機能し、
前記読み書き制御手段は、
前記セキュリティプログラムが前記情報処理装置で実行されている場合に、前記認証処理に成功すると、前記セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施し、
前記認証処理に失敗すると、前記セキュリティ領域に対するデータの読み出し書き込みに暗号化及び復号化を施さない
ことを特徴とする請求項11に記載の情報処理装置。 The control means includes
By executing the security program,
Defining means for defining the security area in the storage medium;
Setting means for setting authentication data for permitting reading and writing of data to the security area;
Receiving means for receiving authentication data when the security program is activated;
It further functions as an authentication unit that executes an authentication process by comparing the received authentication data with the authentication data set by the setting unit,
The read / write control means includes
When the security program is executed by the information processing apparatus, if the authentication process is successful, encryption and decryption are performed on reading and writing of data with respect to the security area,
12. The information processing apparatus according to claim 11, wherein when the authentication process fails, encryption and decryption are not performed for reading and writing data to and from the security area. 前記読み書き制御手段は、
セキュリティ領域ごと、または、情報処理装置ごとに異なる暗号鍵を生成する暗号鍵生成手段
を備えることを特徴とする請求項12に記載の情報処理装置。 The read / write control means includes
The information processing apparatus according to claim 12, further comprising an encryption key generation unit configured to generate a different encryption key for each security area or for each information processing apparatus. 前記読み書き制御手段は、
前記記憶媒体に確保された非セキュリティ領域に対するデータの読み書きは、ユーザー認証の成否とは無関係に、許可する
ことを特徴とする請求項12または13に記載の情報処理装置。 The read / write control means includes
The information processing apparatus according to claim 12 or 13, wherein reading / writing of data to / from a non-security area secured in the storage medium is permitted regardless of success or failure of user authentication. 前記制御手段は、
前記インターフェースから前記記憶媒体が取り外されると、前記セキュリティプログラムを終了させる手段
を備えることを特徴とする請求項10ないし14のいずれか1項に記載の情報処理装置。 The control means includes
15. The information processing apparatus according to claim 10, further comprising means for terminating the security program when the storage medium is removed from the interface. 着脱可能な記憶媒体を接続するインターフェースと、セキュリティプログラムを記憶した記憶装置と、制御手段とを備えた情報処理装置におけるデータの読み書きの制御方法であって、
前記制御手段は、
前記インターフェースに前記記憶媒体が接続されたか否かを検出するステップと、
前記インターフェースに前記記憶媒体が接続されたことを検出すると、前記記憶装置に記憶されているセキュリティプログラムを実行するステップと、
前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可するステップと
を実行することを特徴とする制御方法。 A control method for reading and writing data in an information processing device comprising an interface for connecting a removable storage medium, a storage device storing a security program, and a control means,
The control means includes
Detecting whether the storage medium is connected to the interface;
Upon detecting that the storage medium is connected to the interface, executing a security program stored in the storage device;
A control method, comprising: writing data to a security area secured in the storage medium and permitting reading of data from the security area. コンピュータプログラムであって、
着脱可能な記憶媒体を接続するインターフェースと、前記コンピュータプログラムを記憶した記憶装置と、前記インターフェースに前記記憶媒体が接続されたか否かを検出する検出手段と、前記検出手段が前記インターフェースに前記記憶媒体が接続されたことを検出すると、前記記憶装置に記憶されている前記コンピュータプログラムを実行する制御手段とを備えた情報処理装置におけるデータの読み書きを制御するコンピュータプログラムであって、
前記コンピュータプログラムを実行することで、
前記記憶媒体に確保されたセキュリティ領域へのデータの書き込みと該セキュリティ領域からのデータの読み出しを許可する読み書き制御手段として前記情報処理装置を機能させることを特徴とするコンピュータプログラム。 A computer program,
An interface that connects a removable storage medium, a storage device that stores the computer program, a detection unit that detects whether the storage medium is connected to the interface, and the detection unit that connects the storage medium to the interface A computer program for controlling reading and writing of data in an information processing device comprising control means for executing the computer program stored in the storage device,
By executing the computer program,
A computer program for causing the information processing apparatus to function as read / write control means for permitting writing of data to a security area secured in the storage medium and reading of data from the security area.
JP2009117998A 2009-05-14 2009-05-14 Information processing apparatus, control method, computer program, and storage medium Active JP5465920B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009117998A JP5465920B2 (en) 2009-05-14 2009-05-14 Information processing apparatus, control method, computer program, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009117998A JP5465920B2 (en) 2009-05-14 2009-05-14 Information processing apparatus, control method, computer program, and storage medium

Publications (2)

Publication Number Publication Date
JP2010267089A true JP2010267089A (en) 2010-11-25
JP5465920B2 JP5465920B2 (en) 2014-04-09

Family

ID=43364006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009117998A Active JP5465920B2 (en) 2009-05-14 2009-05-14 Information processing apparatus, control method, computer program, and storage medium

Country Status (1)

Country Link
JP (1) JP5465920B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012203699A (en) * 2011-03-25 2012-10-22 Hitachi Solutions Ltd Portable storage medium
JP2012215973A (en) * 2011-03-31 2012-11-08 Hitachi Solutions Ltd Method for preventing information leakage
JP2013058179A (en) * 2011-08-18 2013-03-28 Yuji Oishi External storage device and control method thereof
JP2014086089A (en) * 2012-10-19 2014-05-12 Samsung Electronics Co Ltd Security management unit and host controller interface including the same, and operation method thereof, and computer system including host controller interface
JP2014191671A (en) * 2013-03-28 2014-10-06 Mitsubishi Space Software Co Ltd Security storage medium, file management system and file management method
JP2015525934A (en) * 2012-07-24 2015-09-07 スプリント コミュニケーションズ カンパニー エル.ピー. Trusted security zone for accessing peripherals
JP7527539B2 (en) 2020-04-30 2024-08-05 サイエンスパーク株式会社 Electronic data management method, electronic data management device, program therefor, and recording medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150285A (en) * 2001-11-13 2003-05-23 Nec Access Technica Ltd Usb peripheral equipment setup device
JP2005092745A (en) * 2003-09-19 2005-04-07 Sangikyou:Kk Personal computer control system using mobile storage medium and mobile storage medium
JP2005128996A (en) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd Information processing apparatus and system, and program
JP2007241562A (en) * 2006-03-07 2007-09-20 Fujitsu Ltd Computer readable recording medium having device driver program recorded thereon, storage device access method and storage device access system
JP2008059286A (en) * 2006-08-31 2008-03-13 Hitachi Software Eng Co Ltd Portable storage medium encryption system, method for carrying data by using the system, and portable storage medium

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150285A (en) * 2001-11-13 2003-05-23 Nec Access Technica Ltd Usb peripheral equipment setup device
JP2005092745A (en) * 2003-09-19 2005-04-07 Sangikyou:Kk Personal computer control system using mobile storage medium and mobile storage medium
JP2005128996A (en) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd Information processing apparatus and system, and program
JP2007241562A (en) * 2006-03-07 2007-09-20 Fujitsu Ltd Computer readable recording medium having device driver program recorded thereon, storage device access method and storage device access system
JP2008059286A (en) * 2006-08-31 2008-03-13 Hitachi Software Eng Co Ltd Portable storage medium encryption system, method for carrying data by using the system, and portable storage medium

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012203699A (en) * 2011-03-25 2012-10-22 Hitachi Solutions Ltd Portable storage medium
JP2012215973A (en) * 2011-03-31 2012-11-08 Hitachi Solutions Ltd Method for preventing information leakage
JP2013058179A (en) * 2011-08-18 2013-03-28 Yuji Oishi External storage device and control method thereof
JP2015525934A (en) * 2012-07-24 2015-09-07 スプリント コミュニケーションズ カンパニー エル.ピー. Trusted security zone for accessing peripherals
JP2014086089A (en) * 2012-10-19 2014-05-12 Samsung Electronics Co Ltd Security management unit and host controller interface including the same, and operation method thereof, and computer system including host controller interface
JP2014191671A (en) * 2013-03-28 2014-10-06 Mitsubishi Space Software Co Ltd Security storage medium, file management system and file management method
JP7527539B2 (en) 2020-04-30 2024-08-05 サイエンスパーク株式会社 Electronic data management method, electronic data management device, program therefor, and recording medium

Also Published As

Publication number Publication date
JP5465920B2 (en) 2014-04-09

Similar Documents

Publication Publication Date Title
JP5465920B2 (en) Information processing apparatus, control method, computer program, and storage medium
JP4982825B2 (en) Computer and shared password management methods
JP5565040B2 (en) Storage device, data processing device, registration method, and computer program
US20110131418A1 (en) Method of password management and authentication suitable for trusted platform module
JP2009294859A (en) Equipment, equipment management device, equipment management system and equipment management method, and program and storage medium therefor
JP2007066123A (en) Os starting method and device using it
JP2009003676A (en) Electronic apparatus and information processing method
US20130166869A1 (en) Unlock a storage device
JP2007336287A (en) Electronic equipment and radio connection control method
WO2005088461A1 (en) Method and device for protecting data stored in a computing device
JP5676145B2 (en) Storage medium, information processing apparatus, and computer program
JP6751856B2 (en) Information processing equipment and information processing system
JP2007148466A (en) Portable storage device and os
JP2009129461A (en) Storage device, terminal device using the storage device, and using method thereof
JP2010097550A (en) Virus prevention program, storage device detachable from computer, and virus prevention method
JP4724107B2 (en) User authentication method using removable device and computer
JP2008225661A (en) Electronic apparatus and information processing method
JP2007048008A (en) External storage, computer, and sbc control method
JP2007282064A (en) Device and method for processing data, storage medium and program
CN110674525A (en) Electronic equipment and file processing method thereof
JP5961059B2 (en) Information processing apparatus and activation method thereof
JP2009169868A (en) Storage area access device and method for accessing storage area
JP2013254506A (en) Information processing apparatus, authenticity confirmation method, and record medium
JP2003295964A (en) Data supply system, program and data supply method
JP2009169759A (en) Electronic equipment and information processing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120502

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130614

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131011

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131203

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20131211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140123

R150 Certificate of patent or registration of utility model

Ref document number: 5465920

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250