JP2014116753A - データ処理装置及び制御プログラム並びにデータ処理装置の動作方法 - Google Patents

データ処理装置及び制御プログラム並びにデータ処理装置の動作方法 Download PDF

Info

Publication number
JP2014116753A
JP2014116753A JP2012268632A JP2012268632A JP2014116753A JP 2014116753 A JP2014116753 A JP 2014116753A JP 2012268632 A JP2012268632 A JP 2012268632A JP 2012268632 A JP2012268632 A JP 2012268632A JP 2014116753 A JP2014116753 A JP 2014116753A
Authority
JP
Japan
Prior art keywords
data
storage unit
encrypted
unit
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012268632A
Other languages
English (en)
Inventor
Masafumi Kuramoto
雅史 倉本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MegaChips Corp
Original Assignee
MegaChips Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MegaChips Corp filed Critical MegaChips Corp
Priority to JP2012268632A priority Critical patent/JP2014116753A/ja
Publication of JP2014116753A publication Critical patent/JP2014116753A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】記憶部に対するデータ消去回数を抑制しつつ、データの機密性を確保することが可能な技術を提供する。
【解決手段】暗号化部101は、第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する。メモリ制御部100は、暗号化部101で生成された暗号化データを、第1記憶部よりもデータ消去可能回数が少ない第2記憶部に書き込む。復号化部103は、第2記憶部に記憶されている暗号化データの生成に用いられた、第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する。メモリ制御部100は、復号化部103において暗号化データの復号化で用いられる鍵データを第1記憶部から消去することによって、当該暗号化データをデータ処理装置1から擬似的に消去する。
【選択図】図3

Description

本発明は、データ処理装置に関する。
従来からデータ処理装置に関して様々な技術が提案されている。例えば特許文献1には、データ処理装置の一種である複合機(MFP:Multi-Function Peripheral)に関する技術が開示されている。
特開2010−124213号公報
データ処理装置に記憶されているデータの機密性を確保するために、記憶部からデータが消去されることが考えられる。
しかしながら、フラッシュメモリなどの、データ消去可能回数が少ない記憶部にデータが記憶されている場合には、データの機密性を確保するために当該記憶部からデータを消去すると、当該記憶部の寿命を縮めることとなり好ましくない。
そこで、本発明は上述の点に鑑みて成されたものであり、記憶部に対するデータ消去回数を抑制しつつ、データの機密性を確保することが可能な技術を提供することを目的とする。
上記課題を解決するため、本発明に係るデータ処理装置の一態様は、第1記憶部と、前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する復号化部と、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去するデータ消去部とを備える。
また、本発明に係るデータ処理装置の一態様は、第1記憶部と、前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む第2データ書き込み部と、前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する復号化部と、前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去するデータ消去部とを備える。
また、本発明に係るデータ処理装置の一態様は、第1記憶部と、前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する復号化部と、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去するデータ消去部と、前記データ消去部が前記第1記憶部から消去した鍵データを、前記データ処理装置に着脱可能な可搬性記憶装置に書き込む第2データ書き込み部と備え、前記第2データ書き込み部によって鍵データが書き込まれた前記可搬性記憶装置が前記データ処理装置に接続されていない場合には、当該鍵データが用いられて復号化される前記暗号化データが前記データ処理装置から擬似的に消去された状態となっている。
また、本発明に係るデータ処理装置の一態様では、前記暗号化部は、データごとに異なる鍵データを用いる。
また、本発明に係るデータ処理装置の一態様では、前記第1記憶部は揮発性メモリであって、前記第2記憶部は不揮発性メモリである。
また、本発明に係るデータ処理装置の一態様では、前記第2記憶部では、記憶素子としてフラッシュメモリが使用されている。
また、本発明に係るデータ処理装置の一態様では、前記暗号化データの生成に用いられる鍵データは前記第1記憶部に記憶されている。
また、本発明に係るデータ処理装置の一態様では、前記データ消去部において擬似的に消去された前記暗号化データを特定するための特定情報を前記第1及び第2記憶部のどちらか一方である第3記憶部に書き込む第3データ書き込み部がさらに設けられている。
また、本発明に係るデータ処理装置の一態様では、前記第2記憶部は不揮発性メモリであって、前記第3記憶部は前記第2記憶部である。
また、本発明に係るデータ処理装置の一態様では、前記第1記憶部はバックアップ電源に接続された揮発性メモリであって、前記第3記憶部は前記第1記憶部である。
また、本発明に係るデータ処理装置の一態様では、前記復号化部は、鍵データを記憶する前記可搬性記憶装置が前記データ処理装置に接続されている場合に、当該鍵データを用いて前記暗号化データを復号化する。
また、本発明に係るデータ処理装置の一態様では、前記データ処理装置に前記可搬性記憶装置が接続されていない場合に、前記データ消去部が、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去すると、当該暗号化データは前記データ処理装置から擬似的に消去される。
また、本発明に係るデータ処理装置の一態様では、擬似的に消去された前記暗号化データを特定するための特定情報を、前記第1及び第2記憶部のどちらか一方である第3記憶部に書き込む第3データ書き込み部がさらに設けられ、前記第3データ書き込み部は、前記データ処理装置に前記可搬性記憶装置が接続されていない場合に、前記データ消去部が、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去して当該暗号化データが擬似的に消去されると、当該暗号化データを特定するための特定情報を前記第3記憶部に書き込み、前記復号化部において前記暗号化データの復号化で用いられる鍵データが書き込まれた前記可搬性記憶装置が前記データ処理装置から取り外されて当該暗号化データが擬似的に消去されたとしても、当該暗号化データを特定するための特定情報を前記第3記憶部に書き込まない。
また、本発明に係る制御プログラムの一態様は、第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置を制御するための制御プログラムであって、前記データ処理装置に、(a)前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する工程と、(b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、(c)前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する工程と、(d)前記工程(c)において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程とを実行させるためのものである。
また、本発明に係る制御プログラムの一態様は、第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置を制御するための制御プログラムであって、前記データ処理装置に、(a)鍵データを用いてデータを暗号化して暗号化データを生成する工程と、(b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、(c)前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む工程と、(d)前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する工程と、(e)前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程とを実行させるためのものである。
また、本発明に係るデータ処理装置の動作方法の一態様は、第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置の動作方法であって、(a)前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する工程と、(b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、(c)前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する工程と、(d)前記工程(c)において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程とを備える。
また、本発明に係るデータ処理装置の動作方法の一態様は、第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置の動作方法であって、(a)鍵データを用いてデータを暗号化して暗号化データを生成する工程と、(b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、(c)前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む工程と、(d)前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する工程と、(e)前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程とを備える。
本発明によれば、記憶部に対するデータ消去回数を抑制しつつ、データの機密性を確保することができる。
データ処理装置の構成を示す図である。 データ処理装置にネットワークを通じて複数の通信装置が接続されている様子を示す図である。 制御部の構成を示す図である。 データ処理装置の動作を示すフローチャートである。 第2記憶装置が記憶する情報の一例を示す図である。 鍵データテーブルの一例を示す図である。 データ処理装置の動作を示すフローチャートである。 データ処理装置の変形例の構成を示す図である。
図1は実施の形態に係るデータ処理装置1の構成を示す図である。本実施の形態に係るデータ処理装置1は、例えばデジタル複合機(デジタルMFP)であって、コピー機能、ファックス機能、プリンター機能、スキャナー機能などを有している。以後、本実施の形態に係るデータ処理装置1を「複合機1」と呼ぶ。
図2に示されるように、複合機1には、LAN(Local Area Network)等のネットワーク5を通じて、複数のパーソナルコンピュータ2が接続されている。また、複合機1には、ネットワーク5及び無線LANのアクセスポイント3を通じて、携帯電話機(いわゆるスマートフォンも含む)、PDA(Personal Digital Assistant)等の携帯型電子機器4が接続されている。パーソナルコンピュータ2と携帯型電子機器4は、複合機1との間でデータの送受信、より具体的にはファイルの送受信を行うことができる。パーソナルコンピュータ2等から複合機1に入力されたファイルは、複合機1から、例えば、プリントアウトされたり、ファックス送信されたりする。
本実施の形態に係る複合機1は、図1に示されるように、制御部10と、第1記憶部11と、第2記憶部12と、第3記憶部13と、操作部14とを備えている。さらに複合機1は、読み取り部15と、プリンター出力部16と、ネットワーク通信部17と、ファックス通信部18とを備えている。
制御部10は、CPU(Central Processing Unit)等で構成されている。制御部10は、複合機1の他の構成要素を制御することによって、複合機1全体の動作を統括的に管理する。
第1記憶部11は、ワークメモリとして機能し、例えば揮発性メモリで構成されている。第1記憶部11は、例えば、半導体メモリであるRAM(Random Access Memory)で構成されている。
第2記憶部12は、データストレージとして機能し、例えば不揮発性メモリで構成されている。第2記憶部12は、例えばSSD(Solid State Drive)で構成されている。SSDでは、記憶素子として、半導体メモリであるNAND型フラッシュメモリが使用されている。フラッシュメモリについては、データ消去回数に制限が設けられていることから、第2記憶部12でのデータ消去可能回数は、第1記憶部11でのデータ消去可能回数よりも少なくなっている。なお、第2記憶部12での記憶素子はNOR型フラッシュメモリで構成されても良い。
第3記憶部13は、複合機1を制御するための制御プログラム130を記憶しており、例えば不揮発性メモリで構成されている。第3記憶部13は、例えばROM(Read Only Memory)で構成されている。制御部10の各種機能は、当該制御部10が有するCPUが第3記憶部13内の制御プログラム130を実行することによって実現される。なお、制御プログラム130は、第2記憶部12に記憶されても良い。
ネットワーク通信部17は、ネットワーク5と接続されている。ネットワーク通信部17は、パーソナルコンピュータ2及び携帯型電子機器4等、ネットワーク5に接続されている通信機器と双方向の通信を行う。ネットワーク通信部17は、ネットワーク5から送られてきたファイルを制御部10に出力し、制御部10からのファイルをネットワーク5に出力する。制御部10はネットワーク通信部17から入力されたファイルを第2記憶部12に書き込む。
操作部14は、複数の操作ボタン及びタッチパネル等で構成されており、ユーザの操作を受け付けて、その操作内容を制御部10に通知する。ユーザは操作部14を操作することによって、複合機1に対してコピー実行指示等の各種指示を行ったり、複合機1に対してコピー枚数の設定等の各種設定を行ったりすることができる。
読み取り部15は、コピー処理及びスキャン処理等の際に、原稿から画像情報を読み取って当該画像情報を示すファイル(画像ファイル)を生成して制御部10に出力する。制御部10は、読み取り部15から入力されたファイルを第2記憶部12に書き込んだり、ネットワーク通信部17に出力したりする。
プリンター出力部16は、制御部10による制御によって、第2記憶部12に記憶されているファイルをプリントアウトする。具体的には、プリンター出力部16は、プリントアウト対象のファイルに含まれる文書あるいは画像等の情報を紙に印字し、印字後の紙をトレイに排出する。プリンター出力部16が第2記憶部12に記憶されているファイルをプリントアウトする際には、まず制御部10が、第2記憶部12に記憶されているファイルを読み出して第1記憶部11に展開する。その後、プリンター出力部16は、第1記憶部11内に展開されたファイルをプリントアウトする。
ファックス通信部18は電話回線に接続されている。ファックス通信部18は、制御部10による制御によって、第2記憶部12に記憶されている画像データ(画像ファイル)をファックス送信する。またファックス通信部18は、電話回線からファックス送信されてくる画像データを受信して制御部10に出力する。制御部10は、ファックス通信部18から入力される画像データを所定のファイル形式に変換し、その後、暗号化してから第2記憶部12に記憶する。なお、ファイルの暗号化については後で詳細に説明する。
図3は、制御部10に形成される複数の機能ブロックの一部を示す図である。制御部10が第3記憶部13内の制御プログラム130を実行することによって、図3に示されるように、制御部10には、メモリ制御部100、暗号化部101、鍵生成部102及び復号化部103等の複数の機能ブロックが形成される。
メモリ制御部100は、第1記憶部11、第2記憶部12及び第3記憶部13を制御する。具体的には、メモリ制御部100は、第1記憶部11、第2記憶部12及び第3記憶部13に対してデータ読み出しを行う。さらに、メモリ制御部100は、第1記憶部11及び第2記憶部12に対してデータ消去及びデータ書き込みを行う。したがって、メモリ制御部100は、第1記憶部11及び第2記憶部12に対してデータ消去を行うデータ消去部として機能するとともに、第1記憶部11及び第2記憶部12に対してデータ書き込みを行うデータ書き込み部として機能する。
暗号化部101は、鍵生成部102で生成された鍵データを用いてデータを暗号化して暗号化データを生成する。具体的には、暗号化部101は、ネットワーク5から複合機1に入力されたファイルや、読み取り部15で読み取られた画像情報を示すファイルを、鍵生成部102で生成された鍵データを用いて暗号化して暗号化ファイルを生成する。暗号化部101は、暗号アルゴリズムとして、例えば、共通鍵暗号アルゴリズムの一種であるAES(Advanced Encryption Standard)を用いる。以後、あるファイルが暗号化されて暗号化ファイルが生成される際の当該あるファイルを「元ファイル」と呼ぶことがある。
鍵生成部102は、暗号化部101で使用される鍵データを生成する。鍵生成部102は、疑似乱数発生器を備えており、当該疑似乱数発生器で生成された疑似乱数を用いて鍵データを生成する。本実施の形態では、例えば、暗号化されるファイルごとに個別に鍵データが生成される。したがって、本実施の形態では、原則、ファイルごとに当該ファイルの暗号化で使用される鍵データが異なることになる。
復号化部103は、暗号化部101での暗号化ファイルの生成に用いられた鍵データを用いて当該暗号化ファイルを復号化し、元ファイルを復元する。
なお、メモリ制御部100、暗号化部101、鍵生成部102及び復号化部103については、制御プログラム130が実行されることによって実現される機能ブロックではなく、ハードウェア回路で実現しても良い。この場合には、制御部10は、メモリ制御部100、暗号化部101、鍵生成部102及び復号化部103を実現するハードウェア回路と、当該ハードウェア回路を制御するCPU等で構成されることになる。
<ファイル保存処理について>
次に複合機1に入力されたファイル(文書ファイル、画像ファイルなど)が当該複合機1において保存される際の当該複合機1の動作について説明する。図4は当該動作を示すフローチャートである。本実施の形態では、複合機1に入力されたファイルは暗号化された状態で第2記憶部12(データストレージ)に保存される。
図4に示されるように、ステップs1において、ネットワーク通信部17が、パーソナルコンピュータ2等からの文書ファイル等のファイルをネットワーク5から受信すると、当該ファイルは制御部10に入力される。
次にステップs2において、メモリ制御部100は、制御部10に入力されたファイルを第1記憶部11(ワークメモリ)に書き込んで、当該ファイルを第1記憶部11にいったん記憶する。
次にステップs3において、鍵生成部102は、疑似乱数を使用して鍵データを生成する。
次にステップs4において、メモリ制御部100は、ステップs2において第1記憶部11にいったん記憶したファイルを読み出す。
次にステップs5において、暗号化部101は、ステップs4においてメモリ制御部100が第1記憶部11から読み出したファイルを、ステップs3において鍵生成部102で生成された鍵データを用いて暗号化して、暗号化ファイルを生成する。
次にステップs6において、メモリ制御部100は、ステップs5において暗号化部101が生成した暗号化ファイルを第2記憶部12(データストレージ)に書き込む。これにより、複合機1に入力されたファイルが暗号化された状態で第2記憶部12に保存される。
次にステップs7において、メモリ制御部100は、ステップs6で第2記憶部12に記憶された暗号化ファイルに関する情報を示すファイル情報を、第2記憶部12に記憶されているファイル管理情報に登録する。
図5は第2記憶部12に記憶されている情報の一例を示す図である。図5に示されるように、第2記憶部12の記憶領域200には、ファイル管理領域201とファイル保存領域202とが設けられている。ファイル管理領域201にはファイル管理情報300と後述する消去リスト350が記憶される。また、ファイル保存領域202には、暗号化部101で生成された暗号化ファイルが記憶される。
ファイル管理情報300には、第2記憶部12のファイル保存領域202に記憶されている各暗号化ファイルについてのファイル情報310が登録されている。ファイル情報310には、対応する暗号化ファイルについてのファイル番号310a(本例では1から始まる整数)、ファイル名310b、保存アドレス情報310c及びデータ量310dが含まれている。暗号化ファイルについての保存アドレス情報310cは、ファイル保存領域202において、当該暗号化ファイルが記憶されている領域に割り当てられたアドレスを特定するための情報である。暗号化ファイルについての保存アドレス情報310cには、例えば、ファイル保存領域202において、当該暗号化ファイルが記憶されている領域の先頭のアドレス及び当該領域の末尾のアドレスが含まれている。
また、暗号化ファイルについてのファイル情報310には、当該暗号化ファイルがプリンター出力部16からプリントアウトされると、そのプリントアウトを複合機1に指示したユーザに関するユーザ情報310eも含められる。ユーザ情報310eには、例えば、ユーザ名などが含まれる。
図5の例では、ファイル保存領域202には、ファイル番号1の暗号化ファイル400aと、ファイル番号2の暗号化ファイル400bと、ファイル番号3の暗号化ファイル400cと、ファイル番号4の暗号化ファイル400dと、ファイル番号5の暗号化ファイル400eとが記憶されている。したがって、ファイル管理情報300には、ファイル番号1〜5の暗号化ファイル400a〜400eについてのファイル情報310が登録されている。
ステップs7において、メモリ制御部100は、ステップs6で第2記憶部12のファイル保存領域202に記憶された暗号化ファイルについてのファイル情報310を、第2記憶部12のファイル管理領域201に記憶されているファイル管理情報300に登録する。
なお、本実施の形態では、第2記憶部12の記憶素子はNAND型フラッシュメモリで構成されていることから、第2記憶部12の記憶領域200に対するデータ書き込みはページ単位で行われる。そして、第2記憶部12の記憶領域200に対するデータ消去はブロック単位で行われる。一つのブロックは複数のページで構成されている。また、記憶領域200のうち、すでにデータが書き込まれているページに対して別のデータが書き込まれる際には、当該ページが属するブロックに書き込まれているデータがすべて消去された上で、当該ページに対して別のデータが書き込まれる。ファイル管理領域201は例えば1つのブロックで構成されている。
次にステップs8において、メモリ制御部100は、ステップs6で第2記憶部12に記憶された暗号化ファイルの生成で使用された鍵データ(ステップs3で生成された鍵データ)を、第1記憶部11に記憶されている鍵データテーブル500に登録する。図6は鍵データテーブル500の一例を示す図である。
図6に示されるように、鍵データテーブル500では、鍵データが、当該鍵データが用いられて生成された暗号化ファイルのファイル番号に対応付けられて登録されている。図6の例では、鍵データCが、それが用いられて生成された暗号化ファイルのファイル番号3に対応付けられている。また、鍵データEが、それが用いられて生成された暗号化ファイルのファイル番号5に対応付けられている。
ステップs8において、メモリ制御部100は、ステップs6で第2記憶部12に記憶された暗号化ファイルの生成で使用された鍵データを、当該暗号化ファイルのファイル番号に対応付けて、第1記憶部11内の鍵データテーブル500に登録する。
以上のようなステップs1〜s8の処理を、複合機1は、ネットワーク5からファイルを受信するたびに行う。
なお、読み取り部15で読み取られた画像情報を示すファイルが第2記憶部12に保存される場合も複合機1は同様に動作する。つまり、複合機1では、上述のステップs2〜s8が実行されて、読み取り部15で読み取られた画像情報を示すファイルは暗号化された状態で第2記憶部12に記憶される。
このように、本実施の形態に係る複合機1では、データが暗号化された状態で第2記憶部12に記憶される。したがって、悪意の第三者が、第2記憶部12を複合機1から取り外したとしても、第2記憶部12内のデータの内容が悪意の第三者に漏れることを抑制することができる。よって、データの機密性が確保される。
また、本実施の形態では、鍵データが、暗号化データが保存される第2記憶部12とは別の第1記憶部11に保存される。したがって、悪意の第三者が、第2記憶部12を複合機1から取り外したとしても、第2記憶部12内の暗号化データが復号化されて当該暗号化データの内容が悪意の第三者に漏れることを抑制することができる。
また、本実施の形態では、鍵データが保存される第1記憶部11が揮発性メモリである。したがって、悪意の第三者が、鍵データを取得するために第1記憶部11を複合機1から取り外すと、第1記憶部11に電源が供給されなくなって、第1記憶部11内の鍵データが消去する。よって、鍵データが悪意の第三者に取得されることを抑制できる。
<第2記憶部のコスト及び耐久性について>
HDD(Hard Disk Drive)については高容量の装置しか存在しないことから、一時的に使用される記憶部(テンポラリの記憶部)として、上記の特許文献1に記載の複合機のようにHDDを使用すると、必要以上のメモリ容量を有するHDDを採用せざるを得ず、その結果、コストが高くなるといった問題がある。
そこで、本実施の形態では、第2記憶部12として、フラッシュメモリが用いられたSSDを採用している。これにより、適切なメモリ容量を有するSSDを第2記憶部12として採用することができる。よって、第2記憶部12のコストを抑えることができる。
また、フラッシュメモリについてはデータ消去回数に制限があるため、その耐久性を考慮すると、データの機密性を確保するためにフラッシュメモリに記憶されたデータを消去することは好ましくない。
そこで、本実施の形態では、SSDで構成された第2記憶部12に記憶されているデータを複合機1から実際に消去するのではなく擬似的に消去することによって、第2記憶部12に対するデータ消去の実行回数を抑制しつつデータの機密性を確保している。以下に、この点について、複合機1が第2記憶部12に保存されている暗号化ファイルを用いて処理を行う際の当該複合機1の動作を説明しながら詳細に説明する。
<保存ファイルを用いた処理について>
図7は、複合機1が第2記憶部12に保存されている暗号化ファイルをプリンター出力部16からプリントアウトする際の当該複合機1の動作を示すフローチャートである。
図7に示されるように、ステップs11において、制御部10は、処理対象の暗号化ファイル、具体的にはプリントアウトを行う対象の暗号化ファイルを特定する。ユーザは操作部14を操作することによって処理対象の暗号化ファイルを選択することができる。制御部10は、操作部14から通知される操作内容に基づいて、ユーザによって選択された処理対象の暗号化ファイルを特定する。また、パーソナルコンピュータ2等からファイルが送信されるのと同時に当該ファイルをプリントアウトする指示が送信される場合には、制御部10は、上述のステップs8に続けてステップs11を実行する。このステップs11では、制御部10は、上述のステップs6で第2記憶部12に記憶した暗号化ファイルを処理対象の暗号化ファイルとして特定する。
次にステップs12において、メモリ制御部100は、ステップs11で特定された処理対象の暗号化ファイルについてのファイル情報310を、第2記憶部12のファイル管理領域201に記憶されているファイル管理情報300から取得する。そしてメモリ制御部100は、取得したファイル情報310に含まれる保存アドレス情報310cから、第2記憶部12のファイル保存領域202において処理対象の暗号化ファイルが記憶されている領域を特定し、当該領域から処理対象の暗号化ファイルを読み出す。
次にステップs13において、メモリ制御部100は、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データを、第1記憶部11に記憶されている鍵データテーブル500から取得する。これにより、メモリ制御部100では、処理対象の暗号化ファイルの生成で用いられた鍵データが取得される。
次にステップs14において、復号化部103は、メモリ制御部100で取得された、処理対象の暗号化ファイルの生成で用いられた鍵データを用いて当該暗号化ファイルを復号化し、元ファイルを復元する。
次にステップs15において、プリンター出力部16は、制御部10による制御によって、ステップs14で復元された元ファイルをプリントアウトする。具体的には、プリンター出力部16は、元ファイルに含まれる文書等の情報を紙に印字し、印字後の紙をトレイに排出する。
次にステップs16において、メモリ制御部100は、ステップs14で処理対象の暗号化ファイルの復号化で使用された鍵データを、それに対応付けられているファイル番号とともに、第1記憶部11に記憶されている鍵データテーブル500から消去することによって、処理対象の暗号化ファイルを複合機1から擬似的に消去する。第1記憶部11から消去された鍵データ及びファイル番号は複合機1から完全に消去される。暗号化ファイルの復号化に必要な鍵データが複合機1から消去されると、複合機1では処理対象の暗号化ファイルが復号化されないことから、処理対象の暗号化ファイルが複合機1から消去された場合と同様に、複合機1では処理対象の暗号化ファイルに含まれる文書情報等の情報は取得されない。したがって、処理対象の暗号化ファイルの復号化で使用される鍵データが複合機1から消去されることによって、処理対象の暗号化ファイルが複合機1から擬似的に消去されると言える。
次にステップs17において、メモリ制御部100は、ステップs16において擬似的に消去された暗号化ファイルを特定するための特定情報を、第2記憶部12のファイル管理領域201に記憶されている消去リスト350に登録する。本例では、上述の図5に示されるように、擬似的に消去された暗号化ファイルを特定するための特定情報として、当該暗号化ファイルのファイル番号が消去リスト350に登録される。図5の例では、ファイル番号1,2,4の暗号化ファイルが擬似的に消去されて、消去リスト350には、ファイル番号1,2,4が登録されている。また図5の例では、消去リスト350において左側から記載されているファイル番号の順番で暗号化ファイルが擬似的に消去されている。つまり、ファイル番号1,4,2の順番で暗号化ファイルが擬似的に消去されている。また図5では、ファイル保存領域202に記憶されている暗号化ファイルのうち、擬似的に消去された暗号化ファイルが斜線で示されている。
複合機1は、暗号化ファイルを擬似的に消去すると、ユーザが操作部14を操作して当該暗号化ファイルを選択することができないようにする。したがって、ユーザは、擬似的に消去された暗号化ファイルについて、プリントアウト及びファックス送信等の処理を複合機1に実行させることができなくなる。
なお、本実施の形態に係る複合機1は、プリントアウト等の処理を行った暗号化ファイルだけではなく、ユーザによって暗号化ファイルの消去が指示された場合であっても、同様にして当該暗号化データを擬似的に消去する。ユーザは、操作部14を操作することによって、第2記憶部12内の暗号化ファイルを選択して当該暗号化ファイルを消去する指示を複合機1に入力することができる。複合機1は、暗号化ファイルを消去する指示がユーザから入力されると、当該暗号化ファイルの復号化で用いられる鍵データを第1記憶部11から消去して、当該暗号化ファイルを複合機1から擬似的に消去する。複合機1は、暗号化ファイルを擬似的に消去すると、当該暗号化ファイルは消去されたものとして、ユーザが操作部14を操作して当該暗号化ファイルを選択することができないようにする。
<暗号化ファイルの第2記憶部からの消去について>
上述のように、本実施の形態では、メモリ制御部100は、暗号化ファイルを第2記憶部12にいったん記憶すると、当該暗号化ファイルを第2記憶部12から原則消去しない。
しかしながら、メモリ制御部100は、第2記憶部12の記憶領域200において空き領域(空き容量)が不足する際には、必要な空き領域を確保するために、例外的に、擬似的に消去された暗号化ファイルを第2記憶部12から実際に消去する。このとき、メモリ制御部100は、消去リスト350を用いて、記憶領域200においてデータ消去を行うブロックを決定する。具体的には、メモリ制御部100は、消去リスト350を参照して、擬似的に消去された暗号化ファイルを特定する。そして、メモリ制御部100は、特定した暗号化ファイルについてのファイル情報310に含まれる保存アドレス情報310cを参照して、記憶領域200において、擬似的に消去された暗号化ファイルだけが記憶されているブロックを消去対象ブロックとして特定する。メモリ制御部100は、消去対象ブロックとして特定したブロックに対してデータ消去を行って、当該ブロックに記憶されている暗号化ファイルを消去する。
メモリ制御部100は、擬似的に消去された暗号化ファイルを第2記憶部12から実際に消去すると、当該暗号化ファイルについてのファイル情報310をファイル管理情報300から消去する。さらにメモリ制御部100は、当該暗号化ファイルについての特定情報(本例ではファイル番号)を消去リスト350から消去する。
このように、メモリ制御部100は、消去リスト350を使用して、擬似的に消去された暗号化ファイルを第2記憶部12から実際に消去することができることから、メモリ制御部100は、不要なデータを消去して必要な空き領域を確保することができる。言い換えれば、メモリ制御部100が、必要な空き領域を確保する際に、擬似的に消去されていない必要な暗号化データを消去することを抑制することができる。
また、本実施の形態では、擬似的に消去された暗号化ファイルが消去される際には、ブロック単位でデータ消去が行われることから、擬似的に消去された暗号化ファイルが効率よく消去される。
なお、上記の例においては、ファイル管理情報300は第2記憶部12に記憶されていたが、第1記憶部11に記憶されても良い。また、第1記憶部11は、電池等で構成されたバックアップ電源に接続された揮発性メモリで構成されても良い。
ファイル管理情報300が、不揮発性メモリで構成された第2記憶部12に記憶されたり、バックアップ電源に接続された揮発性メモリで構成された第1記憶部11に記憶されたりする場合には、複合機1の電源(主電源)がオフとなった場合であっても、ファイル管理情報300が複合機1から消えることが無い。したがって、この場合には、複合機1は、電源がオフになったとしても、その後電源がオンとなれば、第2記憶部12に記憶されている暗号化ファイルを使用してプリントアウト等の処理を行うことができる。
また、上記の例では、消去リスト350は第2記憶部12に記憶されていたが、第1記憶部11に記憶されても良い。消去リスト350が、不揮発性メモリで構成された第2記憶部12に記憶されたり、バックアップ電源に接続された揮発性メモリで構成された第1記憶部11に記憶されたりする場合には、複合機1の電源(主電源)がオフとなった場合であっても、消去リスト350が複合機1から消えることが無い。したがって、この場合には、複合機1は、電源がオフになったとしても、その後電源がオンとなれば、第2記憶部12に記憶されている暗号化ファイルのうち、擬似的に消去された暗号化ファイルを特定することができる。よって、メモリ制御部100は、必要な場合には、擬似的に消去された暗号化ファイルを第2記憶部12から実際に消去することができる。
また、上記の例では、鍵データテーブル500から、鍵データとともにそれに対応付けられたファイル番号が消去されたが、鍵データのみが消去されても良い。
また、上記の例では、鍵データテーブル500には、鍵データと、当該鍵データが用いられて復号化される暗号化ファイルのファイル番号とが互いに対応付けられて記憶されたが、鍵データと、当該鍵データが用いられて復号化される暗号化ファイルのファイル名とが互いに対応付けられて記憶されても良い。また、鍵データテーブル500には、鍵データと、当該鍵データが用いられて復号化される暗号化ファイルについてのファイル情報310に含まれる保存アドレス情報310cとが互いに対応付けられて記憶されても良い。これらの場合であっても、上述のステップs13において、メモリ制御部100では、処理対象の暗号化ファイルの生成で用いられた鍵データを取得することができる。
以上のように、本実施の形態に係る複合機1では、第2記憶部12内のデータの機密性を確保するために、第2記憶部12内のデータ(暗号化データ)が消去されるのではなく、第1記憶部11内の鍵データが消去されるため、データ消去可能回数が少ない第2記憶部12に対するデータ消去の実行回数を抑えつつ、データの機密性を確保することができる。よって、データ消去可能回数が少ない第2記憶部12の寿命が縮まることを抑制しつつ、データの機密性を確保することができる。
<各種変形例>
以下に、本実施の形態に係る複合機1の各種変形例について説明する。
<第1変形例>
第2記憶部12に記憶される暗号化ファイルについては、パーソナルコンピュータ等で使用されるFAT(File Allocation Table)ファイルシステムを用いて管理しても良い。
複合機1においてFATファイルシステムが使用される場合には、第2記憶部12のファイル保存領域202に対しては、クラスタと呼ばれる単位でデータの書き込みが行われる。暗号化ファイルがファイル保存領域202に対して書き込まれる際には、複数のクラスタにまたがって書き込まれることがある。
また、複合機1においてFATファイルシステムが使用される場合には、第2記憶部12のファイル管理領域201に記憶されるファイル管理情報300には、上述の図5に示されるようなファイル情報310ではなく、ディレクトリエントリ及びFATで構成されたファイル情報310がファイルごとに登録される。
あるファイルについてのディレクトリエントリには、当該ファイルのファイル名、当該ファイルが作成された日付、当該ファイルのデータサイズ、当該ファイルが書き込まれている複数のクラスタのうちの先頭クラスタの番号などが含まれている。また、あるファイルについてのFATには、当該ファイルが書き込まれている複数のクラスタのうちの先頭クラスタ以外の各クラスタの番号が含まれている。
このように、ファイルが書き込まれている複数のクラスタのうち、先頭クラスタの番号についてはディレクトリエントリに含まれ、残りの各クラスタの番号についてはFATに含まれていることから、メモリ制御部100は、ファイルについてのディレクトリエントリ及びFATを参照することによって、ファイル保存領域202において当該ファイルが記憶されている領域を特定することができる。
なお、ファイルが一つのクラスタのみに書き込まれている場合には、当該ファイルについてのFATにはクラスタの番号が含まれていない。
複合機1においてFATファイルシステムが採用される際には、ファイル管理情報300に登録されるファイル情報310にはファイル番号が含まれていないことから、消去リスト350には、例えば、擬似的に消去されたファイルのファイル名が登録される。また、鍵データテーブル500には、例えば、鍵データとともに、当該鍵データが用いられて生成された暗号化ファイルのファイル名が登録される。
このように、複合機1においてFATファイルシステムが採用される場合であっても、複合機1は上記と同様に動作することによって、データ消去可能回数が少ない第2記憶部12に対するデータ消去の実行回数を抑えつつ、データの機密性を確保することができる。
<第2変形例>
図8は本変形例に係る複合機1の構成を示す図である。本変形例に係る複合機1には、可搬性記憶装置19が着脱可能となっている。可搬性記憶装置19は、例えば、USB(Universal Serial Bus)メモリあるいはSDメモリカードなどである。可搬性記憶装置19は、制御部10のメモリ制御部100によって制御される。本変形例に係る複合機1は、第1記憶部11から消去した鍵データを可搬性記憶装置19に書き込むことによって、擬似的に消去された暗号化ファイルを、後から復号化できるようになっている。以下にこの点について詳細に説明する。
本変形例に係る複合機1では、上述のステップs15が実行されると、メモリ制御部100は、ステップs14で処理対象の暗号化ファイルの復号化で使用された鍵データを、それに対応付けられているファイル番号とともに、第1記憶部11に記憶されている鍵データテーブル500から消去する。このとき、メモリ制御部100は、可搬性記憶装置19が複合機1に装着されている場合には、第1記憶部11から当該鍵データ及び当該ファイル番号を読み出した後に、当該鍵データ及び当該ファイル番号を第1記憶部11から消去する。一方で、可搬性記憶装置19が複合機1に装着されていない場合には、メモリ制御部100は、第1記憶部11から当該鍵データ及び当該ファイル番号を読み出すことなく、当該鍵データ及び当該ファイル番号を第1記憶部11から消去する。メモリ制御部100は、可搬性記憶装置19が複合機1に装着されている場合に、処理対象の暗号化ファイルの復号化で使用された鍵データと、それに対応付けられているファイル番号とを第1記憶部11から読み出した後に消去すると、当該鍵データ及び当該ファイル番号を互いに対応付けて可搬性記憶装置19に書き込む。これにより、可搬性記憶装置19には、第1記憶部11から消去された鍵データと、当該鍵データが用いられて復号化される暗号化ファイルを特定するためのファイル番号とが記憶される。
このように、本変形例では、可搬性記憶装置19が複合機1に接続されていない場合に、処理対象の暗号化ファイルの復号化で使用された鍵データが第1記憶部11から消去されると、当該鍵データは可搬性記憶装置19に記憶されず、複合機1は、当該鍵データを用いて処理対象の暗号化ファイルを復号化できなくなる。したがって、可搬性記憶装置19が複合機1に装着されていない場合に、処理対象の暗号化ファイルの復号化で使用された鍵データが第1記憶部11から消去されると、処理対象の暗号化ファイルは複合機1から擬似的に消去される。
一方で、可搬性記憶装置19が複合機1に接続されている場合に、処理対象の暗号化ファイルの復号化で使用された鍵データが第1記憶部11から消去されると、当該鍵データは可搬性記憶装置19に記憶される。したがって、この場合には、可搬性記憶装置19が複合機1に接続されている限り、複合機1は、可搬性記憶装置19が記憶する鍵データを用いて処理対象の暗号化ファイルを復号化することができる。そして、鍵データが書き込まれた可搬性記憶装置19が複合機1から接続されなくなると、複合機1は、処理対象の暗号化ファイルを復号化できなくなることから、処理対象の暗号化ファイルが擬似的に消去された状態となる。つまり、鍵データが書き込まれた可搬性記憶装置19が複合機1に接続されている場合には、当該鍵データが用いられて復号化される暗号ファイルは擬似的に消去されていない状態であって、鍵データが書き込まれた可搬性記憶装置19が複合機1に接続されていない場合には、当該鍵データが用いられて復号化される暗号ファイルが擬似的に消去された状態となる。
メモリ制御部100は、可搬性記憶装置19が複合機1に接続されていない場合に、処理対象の暗号化ファイルの復号化で使用された鍵データを第1記憶部11から消去して処理対象の暗号化ファイルを擬似的に消去すると、上述のステップs17と同様に、擬似的に消去した処理対象の暗号化ファイルを特定するための特定情報を、第2記憶部12のファイル管理領域201に記憶されている消去リスト350に登録する。
一方で、メモリ制御部100は、可搬性記憶装置19が複合機1に接続されている場合に、処理対象の暗号化ファイルの復号化で使用された鍵データを第1記憶部11から消去したとしても、処理対象の暗号化ファイルを特定するための特定情報を消去リスト350に登録しない。また、メモリ制御部100は、鍵データが書き込まれた可搬性記憶装置19が複合機1に接続されず、当該鍵データが用いられて復号化される暗号化データが擬似的に消去される際には、当該暗号化データを特定するための特定情報を消去リスト350に登録しない。
また、本変形例に係る複合機1は、暗号化ファイルの復号化で用いられる鍵データを記憶する可搬性記憶装置19が当該複合機1に接続されている場合には、ユーザが操作部14を操作して当該暗号化ファイルを選択できるようになっている。したがって、ユーザは、暗号化ファイルの復号化で用いられる鍵データを記憶する可搬性記憶装置19を複合機1から取り外して、当該暗号化ファイルがいったん擬似的に消去された場合であっても、当該可搬性記憶装置19を複合機1に接続することによって、操作部14を操作して当該暗号化ファイルを選択することができる。よって、ユーザは、暗号化ファイルがいったん擬似的に消去された場合であっても、当該暗号化ファイルの復号化で用いられる鍵データが記憶された可搬性記憶装置19を複合機1に接続することによって、当該暗号化ファイルについてプリントアウト等の処理を複合機1に実行させることができる。
また、本変形例に係る複合機1では、上述のステップs13において、メモリ制御部100は、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データが、第1記憶部11に記憶されている鍵データテーブル500に登録されていない場合であって、可搬性記憶装置19が複合機1に接続されている場合には、可搬性記憶装置19において、当該鍵データが記憶されていないかを確認する。可搬性記憶装置19には、鍵データに対応付けてファイル番号が記憶されていることから、メモリ制御部100は、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データが可搬性記憶装置19に記憶されているかを確認することができる。
メモリ制御部100は、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データが可搬性記憶装置19に記憶されている場合には、当該鍵データを可搬性記憶装置19から読み出す。その後、ステップs14において、復号化部103は、ステップs13で取得された鍵データを用いて処理対象の暗号化ファイルを復号化する。以後、複合機1は同様に動作する。
なお、上述のステップs13において、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データが鍵データテーブル500に登録されていない場合であって、可搬性記憶装置19が複合機1に接続されていない場合には、複合機1はプリントアウト処理を終了して、複合機1に設けられた表示部(図示せず)等を利用して処理エラーをユーザに通知する。また、上述のステップs13において、ステップs12で取得されたファイル情報310に含まれるファイル番号に対応する鍵データが鍵データテーブル500に登録されていない場合であって、複合機1に接続された可搬性記憶装置19に当該鍵データが記憶されていない場合には、同様にして、複合機1はプリントアウト処理を終了して、処理エラーをユーザに通知する。
このように、本変形例では、第1記憶部11から消去された鍵データが可搬性記憶装置19に書き込まれるため、鍵データが書き込まれた可搬性記憶装置19が複合機1から取り外されることによって、当該鍵データが用いられて生成された暗号化データが複合機1から擬似的に消去され、当該暗号化データが複合機1で復号化できなくなる。よって、鍵データが書き込まれた可搬性記憶装置19を複合機1から取り外すことによって、当該鍵データが用いられて生成された暗号化データの機密性を確保することができる。
また、鍵データが書き込まれた可搬性記憶装置19が複合機1に接続されることによって、複合機1は、当該鍵データを用いて暗号化データを復号化することができる。なお、複合機1は、自身に接続されている可搬性記憶装置19に鍵データを書き込んだときに、可搬性記憶装置19を複合機1から取り外す旨をユーザに通知するための表示を、自身が有する表示部に行っても良い。
また、上記の例では、可搬性記憶装置19に記憶されている鍵データが使用されて生成された暗号化ファイルを特定するための特定情報(ファイル番号)が消去リスト350には登録されないため、当該暗号化ファイルはいつまでも第2記憶部12に記憶されることになる。したがって、上記の例では、第2記憶部12の空き領域が不足し易くなる。
そこで、メモリ制御部100は、可搬性記憶装置19が複合機1に接続されている場合には、暗号化ファイルの生成で使用された鍵データが第1記憶部11から消去されてから所定期間(例えば1週間)が経過すると、当該暗号化ファイルを特定するための特定情報(ファイル番号)を消去リスト350に登録しても良い。あるいは、暗号化ファイルの生成で使用された鍵データが複合機1に接続された可搬性記憶装置19に記憶されてから所定期間が経過すると、当該暗号化ファイルを特定するための特定情報を消去リスト350に登録しても良い。これにより、暗号化ファイルの生成で使用された鍵データが可搬性記憶装置19に書き込まれてからある程度時間が経過すれば、メモリ制御部100は、当該暗号化ファイルを第2記憶部12から実際に消去することが可能となる。よって、第2記憶部12の空き領域が不足しにくくなる。
また、このように、それが生成される際に用いられた鍵データが可搬性記憶装置19に記憶されている暗号化ファイルを特定するための特定情報が消去リスト350に登録される場合には、当該特定情報が消去リスト350に登録された後に、可搬性記憶装置19に記憶されている当該鍵データについては使用できないようにしても良い。具体的には、暗号化ファイルを特定するための特定情報が消去リスト350に登録された後においては、復号化部103は、当該暗号化ファイルの生成で使用された鍵データを記憶する可搬性記憶装置19が複合機1に接続され、かつ当該暗号化ファイルが第2記憶部12に記憶されている場合であっても、当該鍵データを使用して当該暗号化ファイルを復号化しない。これにより、可搬性記憶装置19に記憶されている鍵データについては、当該鍵データが可搬性記憶装置19に記憶されてから、当該暗号化ファイルを特定するための特定情報が消去リスト350に登録されるまでの間だけ(例えば1週間だけ)有効となり、当該暗号化ファイルの復号化に使用されることができる。
<第3変形例>
複合機1は、暗号化ファイルを擬似的に消去する際に、当該暗号化ファイルの復号化で用いられる鍵データを消去するのではなく、第1記憶部11に記憶されている、当該鍵データと当該暗号化ファイルとを関連付けるリンク情報を当該第1記憶部11から消去しても良い。つまり、複合機1は、暗号化ファイルを復号化するための鍵データを消去するのではなく、第1記憶部11に記憶されている、当該鍵データと当該暗号化ファイルとを関連付けるリンク情報を当該第1記憶部11から消去することによって、当該暗号化ファイルを複合機1から擬似的に消去しても良い。この場合には、複合機1に鍵データが記憶されているものの、暗号化ファイルを復号化するための鍵データが特定されにくくなることから、当該暗号化ファイルは復号化されにくくなる。よって、鍵データが第1記憶部11から消去されるのと同様に、データ消去可能回数が少ない第2記憶部12に対するデータ消去の実行回数を抑えつつ、データの機密性を確保することができる。
上記の例では、鍵データテーブル500において、鍵データとファイル番号とが対応付けられていることから、ファイル番号がリンク情報となる。したがって、複合機1は、暗号化ファイルを擬似的に消去する際には、当該暗号化ファイルについてのファイル番号を鍵データテーブル500から消去する。これにより、ファイル番号が消去された暗号化ファイルの復号化で用いられる鍵データが特定されにくくなることから、当該暗号化ファイルが復号化されにくくなる。
また、鍵データテーブル500において、鍵データと、当該鍵データが用いられて復号化される暗号化ファイルのファイル名とが対応付けられている場合には、ファイル名がリンク情報となる。したがって、この場合には、複合機1は、暗号化データについてのファイル名を鍵データテーブル500から消去することによって、当該暗号化データを擬似的に消去しても良い。
また、鍵データテーブル500において、鍵データと、当該鍵データが用いられて復号化される暗号化ファイルのファイル情報310に含まれる保存アドレス情報310cとが対応付けられている場合には、保存アドレス情報310cがリンク情報となる。したがって、この場合には、複合機1は、暗号化データについての保存アドレス情報310cを鍵データテーブル500から消去することによって、当該暗号化データを擬似的に消去しても良い。
また、上記のように、ファイル番号がリンク情報となる場合であって、ファイル管理情報300が第1記憶部11に記憶されている場合には、複合機1は、暗号化ファイルについてのファイル番号を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去することによって、当該暗号化ファイルを擬似的に消去しても良い。暗号化ファイルのファイル番号が、ファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去された場合には、鍵データテーブル500において当該ファイル番号が登録されていたとしても、当該暗号化ファイルに対応する鍵データが特定されにくくなる。したがって、当該暗号化ファイルが復号化されにくくなる。なお、この場合には、消去リスト350には、疑似的に消去された暗号化ファイルのファイル名あるいは保存アドレス情報が登録される。また、複合機1は、暗号化ファイルのファイル番号を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去する代わりに、暗号化ファイルのファイル情報310に含まれている情報のすべてを第1記憶部11内のファイル管理情報300から消去しても良い。この場合には、消去リスト350には、第2記憶部12において、擬似的に消去された暗号化ファイルが記憶されている領域を特定するための情報、例えば保存アドレス情報が登録される。また、暗号化ファイルのファイル情報310が第1記憶部11内のファイル管理情報300から消去される場合には、鍵データテーブル500は、データ消去可能回数が少ない第2記憶部12に記憶されても良い。
また、上記のように、ファイル名がリンク情報となる場合であって、ファイル管理情報300が第1記憶部11に記憶されている場合には、複合機1は、暗号化ファイルについてのファイル名を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去することによって、当該暗号化ファイルを擬似的に消去しても良い。なお、この場合には、複合機1は、暗号化ファイルのファイル名を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去する代わりに、暗号化ファイルのファイル情報310に含まれている情報のすべてを第1記憶部11内のファイル管理情報300から消去しても良い。このとき、消去リスト350には、第2記憶部12において、擬似的に消去された暗号化ファイルが記憶されている領域を特定するための情報、例えば保存アドレス情報が登録される。また、暗号化ファイルのファイル情報310が第1記憶部11内のファイル管理情報300から消去される場合には、鍵データテーブル500は、データ消去可能回数が少ない第2記憶部12に記憶しても良い。
また、上記のように、保存アドレス情報がリンク情報となる場合であって、ファイル管理情報300が第1記憶部11に記憶されている場合には、複合機1は、暗号化ファイルについての保存アドレス情報を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去することによって、当該暗号化ファイルを擬似的に消去しても良い。なお、この場合には、複合機1は、暗号化ファイルの保存アドレス情報を、第1記憶部11内のファイル管理情報300に登録されている当該暗号化ファイルのファイル情報310から消去する代わりに、暗号化ファイルのファイル情報310に含まれている情報のすべてを第1記憶部11内のファイル管理情報300から消去しても良い。このとき、消去リスト350には、第2記憶部12において、擬似的に消去された暗号化ファイルが記憶されている領域を特定するための情報、例えば保存アドレス情報が登録される。また、暗号化ファイルのファイル情報310が第1記憶部11内のファイル管理情報300から消去される場合には、鍵データテーブル500は、データ消去可能回数が少ない第2記憶部12に記憶しても良い。
なお、上記の第1変形例のように、複合機1においてFATファイルシステムが使用される場合であって、ディレクトリエントリ及びFATで構成されたファイル情報310がファイルごとに登録されたファイル管理情報300が第1記憶部11に記憶される場合には、複合機1は、暗号化ファイルについてのディレクトリエントリ及びFAT(ファイル情報310)を第1記憶部11内のファイル管理情報300から消去することによって、当該暗号化ファイルを擬似的に消去しても良い。これにより、当該暗号化ファイルと、当該暗号化ファイルの復号化で用いられる鍵データとを関連付けるリンク情報が消去されることから、データの機密性を確保することができる。
このように、複合機1が、第1記憶部11に記憶されている、鍵データと暗号化ファイルとを関連付けるリンク情報を当該第1記憶部11から消去して当該暗号化ファイルを擬似的に消去することによって、データ消去可能回数が少ない第2記憶部12に対するデータ消去の実行回数を抑えつつ、データの機密性を確保することができる。
<その他の変形例>
上記の例では、一例として、本願発明を複合機に適用する場合について説明したが、複合機以外の他のデータ処理装置に対しても本願発明を適用することができる。
また、上記の説明は、すべての局面において、例示であって、本発明がそれに限定されるものではない。例示されていない無数の変形例が、本発明の範囲から外れることなく想定され得る。
1 データ処理装置
10 制御部
11 第1記憶部
12 第2記憶部
19 可搬性記憶装置
100 メモリ制御部
101 暗号化部
103 復号化部
130 制御プログラム

Claims (17)

  1. データ処理装置であって、
    第1記憶部と、
    前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、
    前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、
    前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、
    前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する復号化部と、
    前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去するデータ消去部と
    を備える、データ処理装置。
  2. データ処理装置であって、
    第1記憶部と、
    前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、
    鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、
    前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、
    前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む第2データ書き込み部と、
    前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する復号化部と、
    前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去するデータ消去部と
    を備える、データ処理装置。
  3. データ処理装置であって、
    第1記憶部と、
    前記第1記憶部よりもデータ消去可能回数が少ない第2記憶部と、
    前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する暗号化部と、
    前記暗号化部で生成された前記暗号化データを前記第2記憶部に書き込む第1データ書き込み部と、
    前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する復号化部と、
    前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去するデータ消去部と、
    前記データ処理装置に着脱可能な可搬性記憶装置が前記データ処理装置に接続されている場合に、前記データ消去部が前記第1記憶部から消去した鍵データを前記可搬性記憶装置に書き込む第2データ書き込み部と
    備え、
    前記第2データ書き込み部によって鍵データが書き込まれた前記可搬性記憶装置が前記データ処理装置に接続されていない場合には、当該鍵データが用いられて復号化される前記暗号化データが前記データ処理装置から擬似的に消去された状態となっている、データ処理装置。
  4. 請求項1乃至請求項3のいずれか一つに記載のデータ処理装置であって、
    前記暗号化部は、データごとに異なる鍵データを用いる、データ処理装置。
  5. 請求項1乃至請求項4のいずれか一つに記載のデータ処理装置であって、
    前記第1記憶部は揮発性メモリであって、
    前記第2記憶部は不揮発性メモリである、データ処理装置。
  6. 請求項1乃至請求項5のいずれか一つに記載のデータ処理装置であって、
    前記第2記憶部では、記憶素子としてフラッシュメモリが使用されている、データ処理装置。
  7. 請求項2に記載のデータ処理装置であって、
    前記暗号化データの生成に用いられる鍵データは前記第1記憶部に記憶されている、データ処理装置。
  8. 請求項1及び請求項2のいずれか一つに記載のデータ処理装置であって、
    前記データ消去部において擬似的に消去された前記暗号化データを特定するための特定情報を、前記第1及び第2記憶部のどちらか一方である第3記憶部に書き込む第3データ書き込み部をさらに備える、データ処理装置。
  9. 請求項8に記載のデータ処理装置であって、
    前記第2記憶部は不揮発性メモリであって、
    前記第3記憶部は前記第2記憶部である、データ処理装置。
  10. 請求項8に記載のデータ処理装置であって、
    前記第1記憶部はバックアップ電源に接続された揮発性メモリであって、
    前記第3記憶部は前記第1記憶部である、データ処理装置。
  11. 請求項3に記載のデータ処理装置であって、
    前記復号化部は、鍵データを記憶する前記可搬性記憶装置が前記データ処理装置に接続されている場合に、当該鍵データを用いて前記暗号化データを復号化する、データ処理装置。
  12. 請求項3及び請求項11のいずれか一つに記載のデータ処理装置であって、
    前記データ処理装置に前記可搬性記憶装置が接続されていない場合に、前記データ消去部が、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去すると、当該暗号化データは前記データ処理装置から擬似的に消去される、データ処理装置。
  13. 請求項12に記載のデータ処理装置であって、
    擬似的に消去された前記暗号化データを特定するための特定情報を、前記第1及び第2記憶部のどちらか一方である第3記憶部に書き込む第3データ書き込み部をさらに備え、
    前記第3データ書き込み部は、
    前記データ処理装置に前記可搬性記憶装置が接続されていない場合に、前記データ消去部が、前記復号化部において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去して当該暗号化データが擬似的に消去されると、当該暗号化データを特定するための特定情報を前記第3記憶部に書き込み、
    前記復号化部において前記暗号化データの復号化で用いられる鍵データが書き込まれた前記可搬性記憶装置が前記データ処理装置から取り外されて当該暗号化データが擬似的に消去されたとしても、当該暗号化データを特定するための特定情報を前記第3記憶部に書き込まない、データ処理装置。
  14. 第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置を制御するための制御プログラムであって、
    前記データ処理装置に、
    (a)前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する工程と、
    (b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、
    (c)前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する工程と、
    (d)前記工程(c)において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程と
    を実行させるための制御プログラム。
  15. 第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置を制御するための制御プログラムであって、
    前記データ処理装置に、
    (a)鍵データを用いてデータを暗号化して暗号化データを生成する工程と、
    (b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、
    (c)前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む工程と、
    (d)前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する工程と、
    (e)前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程と
    を実行させるための制御プログラム。
  16. 第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置の動作方法であって、
    (a)前記第1記憶部に記憶されている鍵データを用いてデータを暗号化して暗号化データを生成する工程と、
    (b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、
    (c)前記第2記憶部に記憶されている前記暗号化データの生成に用いられた、前記第1記憶部に記憶されている鍵データを用いて、当該暗号化データを復号化する工程と、
    (d)前記工程(c)において前記暗号化データの復号化で用いられる鍵データを前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程と
    を備える、データ処理装置の動作方法。
  17. 第1記憶部と、当該第1記憶部よりもデータ消去可能回数が少ない第2記憶部とを備えるデータ処理装置の動作方法であって、
    (a)鍵データを用いてデータを暗号化して暗号化データを生成する工程と、
    (b)前記工程(a)で生成された前記暗号化データを前記第2記憶部に書き込む工程と、
    (c)前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付けるリンク情報を前記第1記憶部に書き込む工程と、
    (d)前記第1記憶部が記憶する前記リンク情報を用いて、前記第2記憶部が記憶する前記暗号化データの生成に用いられた鍵データを特定し、特定した当該鍵データを用いて当該暗号化データを復号化する工程と、
    (e)前記第2記憶部が記憶する前記暗号化データと、当該暗号化データの生成で用いられた鍵データとを関連付ける前記リンク情報を前記第1記憶部から消去することによって、当該暗号化データを前記データ処理装置から擬似的に消去する工程と
    を備える、データ処理装置の動作方法。
JP2012268632A 2012-12-07 2012-12-07 データ処理装置及び制御プログラム並びにデータ処理装置の動作方法 Pending JP2014116753A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012268632A JP2014116753A (ja) 2012-12-07 2012-12-07 データ処理装置及び制御プログラム並びにデータ処理装置の動作方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012268632A JP2014116753A (ja) 2012-12-07 2012-12-07 データ処理装置及び制御プログラム並びにデータ処理装置の動作方法

Publications (1)

Publication Number Publication Date
JP2014116753A true JP2014116753A (ja) 2014-06-26

Family

ID=51172348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012268632A Pending JP2014116753A (ja) 2012-12-07 2012-12-07 データ処理装置及び制御プログラム並びにデータ処理装置の動作方法

Country Status (1)

Country Link
JP (1) JP2014116753A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10985916B2 (en) * 2017-10-31 2021-04-20 International Business Machines Corporation Obfuscation of keys on a storage medium to enable storage erasure

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05282880A (ja) * 1992-01-10 1993-10-29 Toshiba Corp 半導体ディスク装置
JPH09230786A (ja) * 1996-02-28 1997-09-05 Hitachi Ltd データの暗号化方法及び装置
WO2000052581A1 (fr) * 1999-03-03 2000-09-08 Sony Corporation Dispositif de traitement de donnees, procede de traitement de donnees, terminal et procede de transmission pour dispositif de traitement de donnees
US6496910B1 (en) * 1998-06-05 2002-12-17 International Business Machines Corporation Method and device for loading instruction codes to a memory and linking said instruction codes
JP2004341768A (ja) * 2003-05-15 2004-12-02 Fujitsu Ltd 磁気ディスク装置、暗号処理方法及びプログラム
JP2007193413A (ja) * 2006-01-17 2007-08-02 Nec Personal Products Co Ltd データ記憶装置および暗号鍵保存方法
JP2008252543A (ja) * 2007-03-30 2008-10-16 Canon Inc 記録再生装置、記録再生システム、及び記録再生装置の制御方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05282880A (ja) * 1992-01-10 1993-10-29 Toshiba Corp 半導体ディスク装置
JPH09230786A (ja) * 1996-02-28 1997-09-05 Hitachi Ltd データの暗号化方法及び装置
US6496910B1 (en) * 1998-06-05 2002-12-17 International Business Machines Corporation Method and device for loading instruction codes to a memory and linking said instruction codes
WO2000052581A1 (fr) * 1999-03-03 2000-09-08 Sony Corporation Dispositif de traitement de donnees, procede de traitement de donnees, terminal et procede de transmission pour dispositif de traitement de donnees
JP2004341768A (ja) * 2003-05-15 2004-12-02 Fujitsu Ltd 磁気ディスク装置、暗号処理方法及びプログラム
JP2007193413A (ja) * 2006-01-17 2007-08-02 Nec Personal Products Co Ltd データ記憶装置および暗号鍵保存方法
JP2008252543A (ja) * 2007-03-30 2008-10-16 Canon Inc 記録再生装置、記録再生システム、及び記録再生装置の制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10985916B2 (en) * 2017-10-31 2021-04-20 International Business Machines Corporation Obfuscation of keys on a storage medium to enable storage erasure

Similar Documents

Publication Publication Date Title
US7669060B2 (en) Data processing apparatus
US8850149B2 (en) Information processing apparatus, control method of the information processing apparatus and program
US9361472B2 (en) Information processing apparatus, control method of information processing apparatus, and program
JP2008210369A (ja) デジタル複合機およびその管理方法
JP2004288049A (ja) ジョブ処理装置及び該装置におけるデータ管理方法
US8161297B2 (en) Printing system, information processing apparatus, printing apparatus, print management method, and storage medium
JP2015204073A (ja) 情報処理装置、情報処理端末、情報処理方法およびプログラム
JP2015141603A (ja) 画像処理装置およびその制御方法、並びにプログラム
JP4380614B2 (ja) データ記憶装置、画像形成装置、およびデータ記憶装置の制御方法
JP5658574B2 (ja) 画像形成装置及びその制御方法、並びにプログラム
JP2014116753A (ja) データ処理装置及び制御プログラム並びにデータ処理装置の動作方法
JP2007313795A (ja) 設定情報の保存及び復元が可能な画像形成装置
JP2016181836A (ja) 情報処理装置、暗号装置、情報処理装置の制御方法、およびプログラム
JP2009126033A (ja) プリンタ、および、プリンタ機能を備えた複合機
JP2005130261A (ja) 画像形成装置、その制御方法及びその制御プログラム
JP6903944B2 (ja) 情報処理装置、印刷システムおよびプログラム
JP6965322B2 (ja) 情報処理装置、暗号装置、情報処理装置の制御方法、およびプログラム
JP4282502B2 (ja) 画像処理装置
US20160357470A1 (en) Computer readable medium, information processing apparatus, and method
JP4197169B2 (ja) 画像形成装置
JP4434310B2 (ja) ジョブ処理装置及び該装置の制御方法及び制御プログラム
JP4924089B2 (ja) 印刷処理システム及び印刷処理プログラム
JP2007318569A (ja) 電子機器
JP4483996B2 (ja) ジョブ処理装置及び該装置の制御方法及び制御プログラム
JP2017050737A (ja) 画像処理装置及びその制御方法、並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161115

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161228

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170124