JP2017118411A - Remote destruction system and remote destruction method for storage device - Google Patents
Remote destruction system and remote destruction method for storage device Download PDFInfo
- Publication number
- JP2017118411A JP2017118411A JP2015253757A JP2015253757A JP2017118411A JP 2017118411 A JP2017118411 A JP 2017118411A JP 2015253757 A JP2015253757 A JP 2015253757A JP 2015253757 A JP2015253757 A JP 2015253757A JP 2017118411 A JP2017118411 A JP 2017118411A
- Authority
- JP
- Japan
- Prior art keywords
- destruction
- storage device
- information
- management server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006378 damage Effects 0.000 title claims abstract description 196
- 238000000034 method Methods 0.000 title claims description 22
- 230000010365 information processing Effects 0.000 abstract description 24
- 238000007726 management method Methods 0.000 description 109
- 238000004891 communication Methods 0.000 description 32
- 238000010586 diagram Methods 0.000 description 31
- 230000006870 function Effects 0.000 description 24
- 238000012544 monitoring process Methods 0.000 description 23
- 230000004913 activation Effects 0.000 description 22
- 238000001994 activation Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 17
- 101100293607 Caenorhabditis elegans nas-9 gene Proteins 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 210000000554 iris Anatomy 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- 210000003462 vein Anatomy 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 210000003128 head Anatomy 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、情報処理装置が有する記憶装置の遠隔破壊システムに関する。 The present invention relates to a remote destruction system for a storage device included in an information processing apparatus.
パソコンやタブレット、スマートフォン、モバイル機器などの情報処理装置は、今日の情報社会のインフラとして不可欠なものとなっている。インターネットのクラウド上に情報を格納して利用する技術も通信技術の発達で当たり前に利用可能となっているが、WiFi(登録商標)環境や中継局、その他のインフラが混雑したり、通信不能な環境での使用も必要となったりする。よって、情報処理装置が有する記憶装置に情報を格納していれば、使用環境に左右されずにいつでも安心して利用できる。 Information processing devices such as personal computers, tablets, smartphones, and mobile devices are indispensable as the infrastructure of today's information society. Technology that stores and uses information on the Internet cloud has become available as a matter of course with the development of communication technology, but the WiFi (registered trademark) environment, relay stations, and other infrastructure are congested and communication is impossible. It may be necessary to use it in the environment. Therefore, as long as information is stored in a storage device included in the information processing apparatus, it can be used at any time without being influenced by the use environment.
そのような状況において、それらの情報処理装置が盗難や紛失した場合でも、情報処理装置を起動してもあらかじめ設定された所有者のIDやパスワードを正しく入力しないと、その情報機器の内部の情報にアクセスできないよう操作ロックや情報アクセスのロックがされているなどの情報セキュリティ対策が行われている。これは、NTTドコモが提供している遠隔ロックやおまかせロック(登録商標)というサービスに相当する。 In such a situation, even if these information processing devices are stolen or lost, if the owner's ID and password set in advance are not correctly entered even if the information processing device is started, the information inside the information device Information security measures have been taken, such as operation locks and information access locks to prevent access. This corresponds to a service called remote lock or Omakase Lock (registered trademark) provided by NTT DOCOMO.
また、情報処理装置に事前にリモート制御により遠隔初期化など所定の機能を登録し、実行許可情報であるパスワードなどの設定をしておけば、所定の機能の実行を遠隔指令として情報処理装置に送り、情報処理装置のリセットや記憶されている情報の初期化やメモリカードの情報の初期化などの機能が提供され、いざという時のために利用者が安心できるサービスとして提供されている。これは、NTTドコモが提供している遠隔初期化というサービスに相当する。 In addition, if a predetermined function such as remote initialization is registered in advance in the information processing apparatus by remote control and a password or the like as execution permission information is set, the execution of the predetermined function is transmitted to the information processing apparatus as a remote command. Functions such as sending, resetting the information processing device, initializing stored information, and initializing information on the memory card are provided, and provided as a service that can be reassured by the user in case of emergency. This corresponds to a service called remote initialization provided by NTT DOCOMO.
また、特許文献1の要約書の解決手段には、「携帯端末装置の情報保全システム1は、携帯端末装置7との間に電波通信手段を介して接続されている一つ以上の中継基地局6と、所有者であるか否かを識別するための個人認証処理を行う認証装置4と、携帯端末装置7を情報保全処理するための遠隔操作パケットを生成する管理装置5とを備え、携帯端末装置7に対する情報保全要求が行われたときに、認証装置4によって個人認証処理を行い、この個人認証が一致した場合に、管理装置5によって遠隔操作パケットを生成して中継基地局6から携帯端末装置7に送信し、遠隔操作パケットを携帯端末装置7で受信してこれに応じた所定の情報保全処理を行わせる。」と記載されている。
Further, the means for solving the abstract of
しかしながら、情報処理装置に格納された情報を守るために遠隔操作により操作ロック機能の有効化や遠隔からの初期化機能の有効化を行うための事前設定がなされていない場合、それらの機能が実行できないことになり、例えば、実行するためのパスワードが未設定の場合は、それらの機能が使えないなどの問題がある。 However, in order to protect the information stored in the information processing device, if the operation lock function is enabled by remote operation or the initialization function from remote is not set in advance, those functions are executed. For example, when a password for execution is not set, there is a problem that those functions cannot be used.
また、実行するためのパスワードの設定は、第三者により変更されてしまうとせっかくの機能を有効化していても、指定したパスワードと実際のものが異なるために実行できないおそれもある。そのような背景の中で、情報処理装置の盗難や紛失時に、この情報処理装置に格納された情報が不正な第三者からアクセスされることを未然に防ぎたいというニーズは、日増しに高くなっている。 In addition, if the password is set to be executed by a third party, it may not be executed because the specified password is different from the actual password even if the function is enabled. Under such circumstances, there is a growing need for preventing information stored in the information processing device from being accessed by unauthorized third parties when the information processing device is stolen or lost. It has become.
そこで、本発明は、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することを課題とする。 Therefore, an object of the present invention is to correctly detect whether or not the target storage device is destroyed after instructing the destruction of the storage device included in the information processing apparatus.
前記した課題を解決するため、本発明の記憶装置の遠隔破壊システムは、ネットワークと通信可能に接続される管理装置と、前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置とを備える。前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令し、前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令し、前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信する。
その他の手段については、発明を実施するための形態のなかで説明する。
In order to solve the above-described problem, a remote destruction system for a storage device according to the present invention includes a management device that is communicably connected to a network, can communicate with the management device via the network, A first device comprising a remote control means for controlling the storage device according to a command from the management device; a second device comprising a command means capable of communicating with the management device via the network and for giving a command to the management device; Is provided. The command means of the second device instructs the management device to destroy the storage device provided in the first device, and the management device instructs the first device to destroy the storage device provided in the first device. The remote control means of the first device determines the destruction result after destroying the storage device included in the first device, and transmits the destruction result of the storage device to the management device via the network.
Other means will be described in the embodiment for carrying out the invention.
本発明によれば、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することが可能となる。 According to the present invention, it is possible to correctly detect whether or not the target storage device has been destroyed after instructing the destruction of the storage device included in the information processing apparatus.
以降、本発明を実施するための形態を、各図を参照して詳細に説明する。
図1は、第1の実施形態における遠隔破壊システムSを示す概略の構成図である。
第1の実施形態の遠隔破壊システムSは、利用者が所有するスマートフォン3の盗難・紛失時に、このスマートフォン3が有するフラッシュメモリ(記憶装置)を遠隔制御により破壊するためのものである。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.
FIG. 1 is a schematic configuration diagram showing a remote destruction system S in the first embodiment.
The remote destruction system S of 1st Embodiment is for destroying the flash memory (memory | storage device) which this
遠隔破壊システムSは、登録端末5と管理サーバ1とを含んで構成される。この管理サーバ1は、顧客端末4と通信可能であり、かつルータ21や基地局22を介してスマートフォン3と通信可能である。
スマートフォン3(第1装置)は、ネットワークを介して管理サーバ1に通信可能であり、記憶装置、およびこの記憶装置を管理サーバ1の指令により制御する遠隔制御手段を備える。
登録端末5(第2装置)は、例えばパソコンやタブレットなどで構成され、遠隔破壊システムSのサービスを利用する際にサービスを利用する利用者の情報を入力し、管理サーバ1へ送信する機能を有する。登録端末5は、ネットワークを介して管理サーバ1に通信可能であり、管理サーバ1に指令を行う指令手段を備える。登録端末5の詳細は、後記する図2(a)で説明する。
顧客端末4は、例えばノートパソコンであり、利用者が所有するスマートフォン3以外に通知された情報を受領する機能を有する。顧客端末4の詳細は、後記する図3(b)で説明する。
管理サーバ1(管理装置)は、ネットワークと通信可能に接続され、CPU(Central Processing Unit)、ROM(Read Only Memory)やRAM(Random Access Memory)などのメモリ、通信機能、表示機能、HDD(Hard Disk Drive)などの補助記憶装置を含む一般的な情報処理装置である。管理サーバ1の詳細は、後記する図2(b)で説明する。
The remote destruction system S includes a
The smartphone 3 (first device) can communicate with the
The registration terminal 5 (second device) is configured by, for example, a personal computer or a tablet, and has a function of inputting information of a user who uses the service when using the service of the remote destruction system S and transmitting it to the
The
The management server 1 (management device) is communicably connected to a network, and has a CPU (Central Processing Unit), a memory such as a ROM (Read Only Memory) and a RAM (Random Access Memory), a communication function, a display function, and an HDD (Hard). It is a general information processing apparatus including an auxiliary storage device such as a disk drive. Details of the
基地局22は、固定電話網のコアネットワーク(不図示)に接続された携帯電話用交換機(不図示)に有線または無線で接続されている。ルータ21は、インターネットのいずれかの回線に有線または無線で接続されている。
管理サーバ1は、これらコアネットワークと携帯電話用交換機と基地局22を介して、またはインターネットとルータ21を介して、利用者のスマートフォン3と通信可能である。
The
The
図2(a)は、登録端末5の構成図である。
登録端末5は、CPU51、RAM52、ROM53、ディスプレイ54、通信部55、リモート制御ソフト561を格納したHDD56を含んで構成される。登録端末5には、マウス57やキーボード59などの入出力装置、指紋や虹彩や静脈などのバイオメトリクス情報などを読み取るための読取装置58が接続される。
CPU51は、ROM53に格納されたBIOS(Basic Input/Output System)やHDD56に格納されたリモート制御ソフト561を読み込んで実行する。RAM52は、揮発性記憶装置であり、CPU51が各種プログラムやデータを一時的に格納するためのものである。HDD56は、不揮発性の補助記憶装置であり、プログラムや大容量のデータなどを好適に格納する。
通信部55は、例えばNIC(Network Interface Controller)であり、ネットワークを介して管理サーバ1などと情報やコマンドを送受信する。
ディスプレイ54は、例えば液晶パネルで構成され、この登録端末5を操作するユーザに対して、プログラムの操作画面や実行結果などを表示する表示装置である。
リモート制御ソフト561(指令手段)は、管理サーバ1に対して利用者のスマートフォン3を遠隔制御可能に設定し、管理サーバ1に指令を行うためのソフトウェアプログラムである。
FIG. 2A is a configuration diagram of the
The
The
The
The
The remote control software 561 (command means) is a software program for setting the user's
図2(b)は、管理サーバ1の構成図である。
管理サーバ1は、CPU11、RAM12、ROM13、ディスプレイ14、通信部15、利用者データベース161と破壊情報データベース162とを格納したHDD16を含んで構成される。なお、各図ではデータベースのことを“DB”と省略して記載している。CPU11、RAM12、ROM13、ディスプレイ14、通信部15は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
利用者データベース161は、この遠隔破壊システムSの利用者に係る情報が格納される。この利用者データベース161の詳細は、後記する図4(a)にて説明する。
破壊情報データベース162は、この遠隔破壊システムSによって破壊される記憶装置の情報が格納される。この破壊情報データベース162の詳細は、後記する図4(b)にて説明する。
FIG. 2B is a configuration diagram of the
The
The
The
図3(a)は、スマートフォン3の構成図である。
スマートフォン3は、CPU31、RAM32、ROM33、タッチパネルディスプレイ34、遠隔制御ツール361を格納したフラッシュメモリ36(記憶装置)、WiFi通信部35および3G通信部37を含んで構成される。
スマートフォン3が備えるCPU31、RAM32、ROM33は、登録端末5が備えるCPU51、RAM52、ROM53と同様な機能を有する。タッチパネルディスプレイ34は、各種情報を表示する表示機能を有すると共に、指やタッチペンが接触された位置を検知する入力機能を有する。
WiFi通信部35はルータ21を介して管理サーバ1との通信を行い、3G通信部37は基地局22とキャリア網を介して管理サーバ1との通信を行う。
遠隔制御ツール361(遠隔制御手段)は、CPU31によって実行されるソフトウェアプログラムであり、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
FIG. 3A is a configuration diagram of the
The
The
The
The remote control tool 361 (remote control means) is a software program executed by the
図3(b)は、顧客端末4の構成図である。
顧客端末4は、CPU41、RAM42、ROM43、ディスプレイ44、通信部45、電子メールプログラム461を格納したHDD46を含んで構成される。CPU41、RAM42、ROM43、ディスプレイ44、通信部45は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
電子メールプログラム461は、CPU41に、利用者のアカウントに関するメールの受信と送信とを行わせる。
FIG. 3B is a configuration diagram of the
The
The
図4(a)は、利用者データベース161の構成を示す図である。
利用者データベース161は、利用者識別情報欄と、認証情報欄と、通知先欄とを含み、更に登録フラグと端末識別情報と記憶装置識別情報の組み合わせからなる情報欄を複数格納している。この利用者データベース161は、遠隔破壊システムSの利用者に係る情報を格納するデータベースである。
FIG. 4A is a diagram showing the configuration of the
The
利用者識別情報は、遠隔破壊システムSにおいてユニークな情報であり、管理サーバ1が生成する。利用者識別情報は、文字や数字を組み合わせて重複なく生成される情報である。なお、利用者識別情報は、追い番などのように重複なく生成される情報であればよく、例えば登録端末から入力されて、受け付けた管理サーバ1側で登録済みのものと重複しないように決定されるものであってもよい。
認証情報は、バイオメトリクス情報であり、遠隔破壊システムSの利用者が希望するサービスの正規の利用者であるかを認証するために用いられる。この認証情報は、読取装置58によって利用者の指紋や虹彩などから読み取られる。しかし、これに限られず、認証情報は、パスワードなどの利用者を特定できる情報であればよく、限定されない。
The user identification information is unique information in the remote destruction system S and is generated by the
The authentication information is biometric information, and is used to authenticate whether the user of the remote destruction system S is an authorized user of a desired service. This authentication information is read from the user's fingerprint or iris by the
通知先は、遠隔破壊システムSの管理サーバ1が破壊結果を通知するメールアドレスである。利用者のスマートフォン3の記憶装置を破壊したか否かの情報が、この通知先のメールアドレスに送信される。
登録フラグは、登録された端末に対する遠隔制御の動作を規定するものである。登録フラグが“0”のとき、端末は未登録であるか、または端末に対する動作が無効である。登録フラグが“1”のとき、管理サーバ1は、端末の記憶装置を即時に破壊するように動作する。登録フラグが“2”のとき、管理サーバ1は、利用者の死亡後に端末の記憶装置を破壊するように動作する。
端末識別情報は、登録された端末を識別するための情報である。管理サーバ1は、この端末識別情報により、登録された端末を遠隔制御する。
記憶装置識別情報は、登録された端末が備える記憶装置を識別するための情報であり、例えば記憶装置のシリアル番号である。
The notification destination is an email address to which the
The registration flag defines a remote control operation for the registered terminal. When the registration flag is “0”, the terminal is not registered or the operation for the terminal is invalid. When the registration flag is “1”, the
The terminal identification information is information for identifying a registered terminal. The
The storage device identification information is information for identifying a storage device included in a registered terminal, and is, for example, a serial number of the storage device.
図4(b)は、破壊情報データベース162の構成を示す図である。
破壊情報データベース162は、端末識別情報、遠隔制御情報、破壊指令発行日時、破壊指令受信日時、破壊指令実行日時、実行フェーズ、実行結果、記憶装置識別情報、記憶装置起動回数、端末起動回数などを格納している。この破壊情報データベース162は、記憶装置の破壊指令の結果を格納している。
FIG. 4B is a diagram showing the configuration of the
The
端末識別情報は、登録された端末を識別するための情報である。
遠隔制御情報は、破壊指令の種類を示す情報である。例えば遠隔制御情報が“9999”のとき、端末を即時に破壊する指令である。遠隔制御情報が“1111”のとき、利用者の死亡後に端末の記憶装置を破壊する指令である。
破壊指令発行日時は、利用者が管理サーバ1に対して破壊指令を発行した日時である。破壊指令受信日時は、登録された端末が破壊指令を受信した日時である。破壊指令実行日時は、登録された端末が破壊指令を実行した日時である。
The terminal identification information is information for identifying a registered terminal.
The remote control information is information indicating the type of destruction command. For example, when the remote control information is “9999”, the command is an instruction to destroy the terminal immediately. When the remote control information is “1111”, it is a command to destroy the storage device of the terminal after the user dies.
The destruction command issue date and time is the date and time when the user issued a destruction command to the
実行フェーズは、破壊指令の実行にかかるフェーズを示している。実行フェーズが“0”のとき、破壊指令の開始前である。“1”のときは端末への破壊指令の発行、“2”のときは登録された端末による破壊指令の受信、“3”のときは端末による破壊指令の実行である。“8”のときは端末による破壊の保留、“9”のときは破壊指令の中止である。
記憶装置識別情報は、破壊した記憶装置を一意に識別する情報であり、例えば記憶装置のシリアル番号である。この破壊情報データベース162の記憶装置識別情報と、利用者データベース161の記憶装置識別情報とを比較することで、目的とする記憶装置が破壊できたか否か、または端末が備える記憶装置が入れ替えられたか否かを判断可能である。
記憶装置起動回数は、破壊した記憶装置が工場出荷後に起動した総回数であり、例えばSSD(solid state drive)やHDD等では、セルフモニタリング・アナリシス・アンド・リポーティング・テクノロジ(S.M.A.R.T)により、記憶装置から読み取り可能であるが、記憶装置の起動回数の取得は、S.M.A.R.Tに限定されない。端末起動回数は、この端末が工場出荷後に起動した総回数であり、端末のファームウェアやOSが起動する度にカウントアップされて、端末内蔵のフラッシュメモリ等に記憶されるものとする。記憶装置起動回数と端末起動回数とを比較することで、記憶装置がこの端末以外の他の端末に接続されて起動したか否かを判断可能である。
The execution phase indicates a phase related to execution of the destruction command. When the execution phase is “0”, it is before the start of the destruction command. When “1”, the destruction command is issued to the terminal. When “2”, the destruction command is received by the registered terminal. When “3”, the destruction command is executed by the terminal. When “8”, the destruction is suspended by the terminal, and when “9”, the destruction command is canceled.
The storage device identification information is information for uniquely identifying the destroyed storage device, for example, a serial number of the storage device. Whether the target storage device could be destroyed by comparing the storage device identification information in the
The number of activations of the storage device is the total number of times that the destroyed storage device has been activated after shipment from the factory. For example, in a solid state drive (SSD) or HDD, self-monitoring, analysis and reporting technology (SMA. RT) can be read from the storage device, but acquisition of the number of activations of the storage device is performed by S.T. M.M. A. R. It is not limited to T. The number of terminal activations is the total number of times this terminal has been activated after shipment from the factory, and is counted up each time the terminal firmware or OS is activated and stored in a flash memory or the like built in the terminal. By comparing the number of times the storage device is activated and the number of times the terminal is activated, it is possible to determine whether or not the storage device has been activated by being connected to another terminal other than this terminal.
《初期設定フェーズ》
初期設定フェーズにおいて、利用者は、遠隔制御実行サービスを利用したい利用者の情報の登録や遠隔制御したいと思う情報処理装置を、管理サーバ1と通信可能となるように登録する。更に利用者は、管理サーバ1から受信する指令を実行するための遠隔制御ツール361の設定を行う。初期設定フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。
<Initial setting phase>
In the initial setting phase, the user registers information about the user who wants to use the remote control execution service and registers an information processing apparatus that wants to perform remote control so that it can communicate with the
図5(a)は、初期登録ダイアログ61を示す図である。この初期登録ダイアログ61は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
初期登録ダイアログ61には、利用者識別情報テキストボックス611、通知用アドレステキストボックス612、端末識別情報テキストボックス613、端末識別情報テキストボックス614がそれぞれ表示され、更にOKボタン615およびキャンセルボタン616が表示される。
FIG. 5A shows an
In the
利用者識別情報テキストボックス611は、利用者識別情報が表示されるテキストボックスである。通知用アドレステキストボックス612は、破壊結果の通知用メールアドレスを入力するためのテキストボックスである。端末識別情報テキストボックス613,614は、端末識別情報を入力するためのテキストボックスである。
利用者は、利用者識別情報と破壊結果の通知用メールアドレスと端末識別情報とを適宜入力したのち、OKボタン615をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する初期登録ダイアログ62に遷移する。利用者がキャンセルボタン616をクリックすると、一連の端末登録動作をキャンセルして終了する。
The user identification
The user appropriately inputs the user identification information, the e-mail address for notification of the destruction result, and the terminal identification information, and then clicks an
図5(b)は、初期登録ダイアログ62を示す図である。この初期登録ダイアログ62は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
初期登録ダイアログ62には、「認証装置による指紋の読み取りが完了しました」が表示され、更に初期登録ボタン621およびキャンセルボタン622が表示される。利用者が初期登録ボタン621をクリックすると、端末が登録される。利用者がキャンセルボタン622をクリックすると、一連の端末登録動作をキャンセルして終了する。
FIG. 5B is a diagram showing the
The
図6は、初期登録の動作を示すシーケンス図である。
まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ10)。
利用者がメニューから「初期登録」を選択すると、登録端末5は、初期登録リクエストを管理サーバ1へ送信する(シーケンスQ11)。
管理サーバ1が初期登録リクエストを受信すると、利用者識別情報を生成して利用者データベース161に記憶するとともに、この利用者識別情報を登録端末5に送信する(シーケンスQ12)。なお、利用者識別情報は、登録端末から入力されたのち、管理サーバ1側で登録済みのものと重複しないように決定されてもよい。
FIG. 6 is a sequence diagram showing an initial registration operation.
First, the
When the user selects “initial registration” from the menu,
When
登録端末5は、初期登録ダイアログ61(図5(a)参照)により受信した利用者識別情報を表示し、端末識別情報と利用者情報の入力待ちとなる。担当者は、登録端末5に、通知を受け取るためのメールアドレスなどの利用者情報とスマートフォン3を指定する端末識別情報を入力する。なお、初期登録ダイアログ61は、利用者の氏名、住所、電話番号を入力可能に構成されていてもよい。
そののち、利用者が希望するサービスの正規の利用者であるかを識別するための認証情報を読取装置58によって入力する(シーケンスQ13)。認証情報が登録端末5に入力されると、図5(b)に示した初期登録ダイアログ62が、登録端末5のディスプレイ54上に表示される。
The
Thereafter, authentication information for identifying whether the user is an authorized user of the desired service is input by the reading device 58 (sequence Q13). When the authentication information is input to the
端末識別情報は、複数の端末を利用者が識別できるよう端末毎に異なるものであり、例えば、端末の機種名や型番などでもよく、遠隔実行制御の対象の情報処理装置が複数登録する場合に利用者自身が区別可能であれば、上記に限定されない。 The terminal identification information is different for each terminal so that a user can identify a plurality of terminals. For example, the terminal model name or model number may be used, and when a plurality of information processing apparatuses subject to remote execution control are registered. As long as the user can distinguish, it is not limited to the above.
登録端末5は、入力された情報(認証情報、端末識別情報)と、管理サーバ1より受信した利用者識別情報とを管理サーバ1に送信する(シーケンスQ14)。管理サーバ1は、受信した利用者識別情報に紐づけて、認証情報と端末識別情報を利用者データベース161に記憶し(シーケンスQ15)、遠隔制御ツール361と、この遠隔制御ツール361が起動時に参照する利用者識別情報と端末識別情報とを含んだ起動情報ファイルを生成する(シーケンスQ16)。
管理サーバ1は、新たに端末として登録されたスマートフォン3に、生成した起動情報ファイルのURL(Uniform Resource Locator)を通知する(シーケンスQ17)。以降、利用者は、スマートフォン3に初期登録を行う。
利用者は、スマートフォン3に通知されたURLに基づき、遠隔制御ツール361と起動情報ファイルを管理サーバ1からダウンロードする(シーケンスQ18)。利用者は、遠隔実行制御したい対象のスマートフォン3に遠隔制御ツール361をインストールする(シーケンスQ19)。インストール完了と共に遠隔制御ツール361が起動する。CPU31は、遠隔制御ツール361により、利用者識別情報と端末識別情報を起動情報ファイルから読み込んで、フラッシュメモリ36に記憶する処理を実行する。
The
The user downloads the
CPU31は、遠隔制御ツール361により、SIM(Subscriber Identity Module Card)371のIDをフラッシュメモリ36に記憶する処理を実行する(シーケンスQ20)。CPU31は更に、記憶装置からシリアル番号を取得する処理と(シーケンスQ21)、管理サーバ1へ登録完了信号を送信する処理とを実行する(シーケンスQ22)。この登録完了信号を送信と共に、記憶装置のシリアル番号も管理サーバ1に送信される。
管理サーバ1は、登録完了信号を受信した場合は、利用者データベース161内の利用者識別情報に紐づけられた端末識別情報に対応する登録フラグを“1”とし、即時破壊処理を有効化する。なお、登録フラグが“0”であり、未登録または無効となっている場合、管理サーバ1は破壊指令を受け付けない。管理サーバ1は更に、記憶装置のシリアル番号を利用者データベース161に登録する。
When the
以後、遠隔制御ツール361は、スマートフォン3が電源投入される度にCPU31によって実行される。なお、第1の実施形態にて遠隔制御ツール361は、スマートフォン3にインストールされることとしたが、あらかじめスマートフォン3のファームウェアに組み込まれた構成でもよい。また、同様の機能を実現できれば、ソフトウェアによる実現手段に限定されず、ハードウェアとソフトウェアとを組み合わせて実現してもよい。
Thereafter, the
《破壊指令フェーズ》
破壊指令フェーズは、スマートフォン3が盗難された場合や、このスマートフォン3を紛失した場合に、利用者が遠隔実行制御によりスマートフォン3(情報処理装置)の記憶装置を破壊する指令を発行する動作のことをいう。破壊指令フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。スマートフォン3の記憶装置の破壊により、この記憶装置に格納された個人情報や営業秘密などは読み取れなくなるため、個人情報や営業秘密などの漏洩を抑止することができる。
利用者は、スマートフォン3の盗難・紛失時に、このスマートフォン3を警察に届けるとともに発見・回収に努める。しかし警察からの発見連絡が無く、見つからないと判断し捜索を断念した場合、そのスマートフォン3に記憶した情報の漏えいを防ぐため、スマートフォン3に対して破壊指令を送信する。
<< Destruction Command Phase >>
The destruction command phase is an operation in which the user issues a command to destroy the storage device of the smartphone 3 (information processing device) by remote execution control when the
When the
図7(a)は、破壊指令ダイアログ63を示す図である。この破壊指令ダイアログ63は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ63には、利用者識別情報テキストボックス631と端末識別情報テキストボックス632とがそれぞれ表示され、更にOKボタン633およびキャンセルボタン634が表示される。
利用者識別情報テキストボックス631は、利用者識別情報を入力するテキストボックスである。端末識別情報テキストボックス632は、端末識別情報を入力するためのテキストボックスである。
利用者は、利用者識別情報と端末識別情報とを適宜入力したのち、OKボタン633をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する破壊指令ダイアログ64に遷移する。利用者がキャンセルボタン634をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7A shows the
In the
The user identification
The user clicks an
図7(b)は、破壊指令ダイアログ64を示す図である。この破壊指令ダイアログ64は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ64には、「認証装置による指紋の読み取りが完了しました」が表示され、更にOKボタン641およびキャンセルボタン642が表示される。利用者がOKボタン641をクリックすると、破壊指令ダイアログ65に遷移する。利用者がキャンセルボタン642をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7B is a diagram showing the
In the
図7(c)は、破壊指令ダイアログ65を示す図である。この破壊指令ダイアログ65は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ65には、ワンタイムパスワードテキストボックス651と再入力テキストボックス652とがそれぞれ表示され、更に破壊指令ボタン653およびキャンセルボタン654が表示される。
ワンタイムパスワードテキストボックス651は、ワンタイムパスワードを表示するテキストボックスである。再入力テキストボックス652は、ワンタイムパスワードを再入力するためのテキストボックスである。
利用者は、ワンタイムパスワードを再入力テキストボックス652に再び入力したのち、破壊指令ボタン653をクリックする。これにより、指定した端末の記憶装置に係る破壊指令を実行する。利用者がキャンセルボタン654をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7C is a diagram showing the
In the
The one-time
The user re-enters the one-time password in the
図8は、破壊指令の動作を示すシーケンス図である。
まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ30)。
利用者がメニューから「破壊指令」を選択すると、登録端末5は、破壊指令ダイアログ63により利用者識別情報を取得したのち、読取装置58から認証情報を取得して破壊指令ダイアログ64を表示したのち、破壊指令と利用者識別情報と認証情報とを管理サーバ1に送信する(シーケンスQ31)。認証情報は、指紋認証に限られず、虹彩認証や指静脈認証などのバイオメトリクス認証によって取得するようにすれば、正規の利用者であることを確実に確認でき、パスワード等を利用者が記憶しておく必要も無くなりすましの防止効果も高い。
FIG. 8 is a sequence diagram showing the operation of the destruction command.
First, the
When the user selects “destruction command” from the menu, the
管理サーバ1は、受信した利用者識別情報と認証情報とを、利用者データベース161を検索して登録済みかどうかを確認する(シーケンスQ32)。ここで利用者識別情報と認証情報とは利用者データベース161に登録済みなので、管理サーバ1は、利用者データベース161から端末識別情報を取得して、所定の時間だけ有効なワンタイムパスワードを生成し、このワンタイムパスワードと端末識別情報とを登録端末5に送信する(シーケンスQ33)。
The
ここで、利用者識別情報と認証情報とが利用者データベース161に登録されていない場合や利用者識別情報と認証情報とが登録されていても一致しない場合(不図示)には、ワンタイムパスワードは生成されず、管理サーバ1は、登録端末5にエラー情報を送信する。登録端末5は、このエラー情報をディスプレイ54に表示する。所定の回数の連続したエラーが発生した場合、管理サーバ1は、所定の期間に亘り、エラーが発生した利用者識別情報に関する処理を受付不可とする。これにより、正規の権限を有さないユーザが、不正に破壊指令を行うことを抑止可能である。
Here, when the user identification information and the authentication information are not registered in the
シーケンスQ33の後、登録端末5は、破壊指令ダイアログ65によりワンタイムパスワードを表示し、入力待ちとなる(シーケンスQ34)。利用者は、表示されたワンタイムパスワードと同じパスワードを再入力テキストボックス652に再入力する(シーケンスQ35)。登録端末5は、入力されたパスワードと端末識別情報を管理サーバ1に送信する(シーケンスQ36)。
After the sequence Q33, the
管理サーバ1は、登録端末5から受信したワンタイムパスワードが所定の時間内に生成したワンタイムパスワードと一致する場合は、現在日時を破壊指令発行日時として破壊情報データベース162に記録し、破壊を待機する(シーケンスQ37)。なお、管理サーバ1は、ワンタイムパスワードを生成したのちに所定の時間が経過したならば、登録端末5からワンタイムパスワードを受信しても破壊を待機するフェーズには移行しない。これにより、ワンタイムパスワードの漏洩による不正な破壊指令を抑止することができる。
When the one-time password received from the
なお、誤った端末識別情報の選択による破壊指令実行を回避するために、メニューから破壊指令を選択する前に、破壊指令から除外したい端末で遠隔制御ツール361を実行し、管理サーバ1に対し、破壊対象外の端末識別情報と登録端末5に表示されたワンタイムパスワードを送信することにより、一時的に破壊対象から除外される構成としてもよい。この場合、登録端末5が破壊選択した端末の端末識別情報を受信した管理サーバ1は、除外指定された端末識別情報であると確認することにより、登録端末5に対し、除外済みであるとのエラー情報を返す。
In order to avoid execution of a destruction command due to incorrect selection of terminal identification information, before selecting a destruction command from the menu, the
《破壊指令実行フェーズ》
破壊指令実行フェーズにおいて管理サーバ1は、破壊指令を実行する端末を示す端末識別情報を、破壊情報データベース162にアクセスする際のパスワードとして登録し、破壊指令コードを関連付けて登録する。破壊指令コードは、破壊を実行するタイミングを示すものであり、利用者が即時に破壊したいか、利用者の死亡後に破壊するかを示している。
スマートフォン3がネットワークに接続すると、管理サーバ1との間のデータリンクが確立する(シーケンスQ40)。スマートフォン3のCPU31は、遠隔制御ツール361により、電源投入時を含め所定の時間経過毎に管理サーバ1の破壊情報データベース162にアクセスする。スマートフォン3のCPU31は、遠隔制御ツール361を実行することにより、端末識別情報を管理サーバ1へ送信する。管理サーバ1は、受信した端末識別情報が破壊情報データベース162に記憶されているかを検索する。ここでスマートフォン3の端末識別情報は破壊情報データベース162に登録されているので、破壊指令コードと端末識別情報とをスマートフォン3に送信し(シーケンスQ41)、破壊指令コードを受信した日時を破壊情報データベース162に記録する。
<< Destruction command execution phase >>
In the destruction command execution phase, the
When
スマートフォン3のCPU31は、遠隔制御ツール361の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは即時破壊なので、スマートフォン3のCPU31は、記憶装置(フラッシュメモリ36)の識別情報と起動回数情報とを取得し(シーケンスQ42)、記憶装置(フラッシュメモリ36)の破壊を実行する(シーケンスQ43)。これにより、フラッシュメモリ36が格納する情報へのアクセスを不可能とすることができる。
スマートフォン3のCPU31は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ44)、管理サーバ1は破壊処理の実行結果を、本人宛にメールで通知する(シーケンスQ45)。これにより、顧客端末4のCPU41が、電子メールプログラム461の実行により、破壊処理の結果を確認することができる。
When the
The
記憶装置の破壊処理は、例えば、ハードウェア的に読取不可能な状態に破壊するものであったり、ソフトウェアによりデータ消去する方法であったり、いろいろな方法が考えられるので、破壊処理の内容はいっさい限定されないものとする。フラッシュメモリでは、昇圧回路を付加してメモリチップに高電圧を印加することにより、短時間に破壊することができる。またHDDでは、キュリー温度以上に熱して磁気情報を消去することや、ヘッドを浮上させないようにプラッタの回転数制御を行いヘッドをプラッタに接触するようしたうえでシークさせてプラッタを物理的に破壊することにより、短時間に破壊することができる。このような端末の記憶装置を瞬時に破壊する方法によれば、情報漏えいの安全性はソフトウェア等によるデータ消去等に比べて更に高まる。 There are various methods for destroying the storage device, such as destroying it in a hardware unreadable state, or erasing data with software. It is not limited. The flash memory can be destroyed in a short time by adding a booster circuit and applying a high voltage to the memory chip. Also, in HDDs, the magnetic information is erased by heating above the Curie temperature, and the platter rotation speed is controlled so that the head does not float up. By doing so, it can be destroyed in a short time. According to such a method for instantaneously destroying the storage device of the terminal, the safety of information leakage is further enhanced as compared with data erasure by software or the like.
なお、破壊情報データベース162の実行フェーズに記録された状態が“1”の「指令発行」を示しているにも関わらず、スマートフォン3の電源が所定の期間内に管理サーバ1とスマートフォン3とのデータリンクを確立できない場合が考えられる。
例えば、破壊対象となるスマートフォン3が電源オフ状態ならば、破壊指令を管理サーバ1から取得したり、基地局22を経由して破壊指令を受信することができない。このスマートフォン3は電源が入っていないか電波が届かない状況である。基地局22は、この情報を管理サーバ1に通知する。管理サーバ1は、この情報を破壊情報データベース162にログ情報として記録する。
Although the state recorded in the execution phase of the
For example, if the
その後、スマートフォン3が電源投入された場合、遠隔制御ツール361が自動起動される。スマートフォン3は、管理サーバ1の破壊情報データベース162へアクセスするタイミングか、または基地局22を介した交信タイミングで破壊指令を受け取り、その実行結果を管理サーバ1に送信する。
この場合は、実行完了の日時情報を管理サーバ1は、破壊情報データベース162に記憶するとともに破壊要請された登録端末5および実行完了時に利用者に通知する通知先に登録済の顧客端末4の宛先へメール等で通知する。
なお、スマートフォン3が破壊指令を取得できない場合(指令受信に移行していない場合)には、所定期間内の遠隔制御サービスの実行が出来ないとして破壊指令を中止してもよい。これにより所定期間を超えたときの破壊指令途中であることについてサービス中断を行い、破壊サービス提供が困難であることを利用者に正しく伝えることができる。
Thereafter, when the
In this case, the
In addition, when the
図9(a),(b)は、破壊指令の実行結果例を示す図である。
図9(a)に示す受信メールウインドウ66には、登録した記憶装置を破壊した結果が記載されている。この受信メールウインドウ66は、顧客端末4のディスプレイ44上に表示される。
この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とは同一であり、利用者が意図した記憶装置が破壊できている。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置の起動回数と、スマートフォン3の起動回数とは同一であり、記憶装置(フラッシュメモリ36)が、このスマートフォン3以外に接続されていないことが確認できる。
FIGS. 9A and 9B are diagrams illustrating examples of execution results of the destruction command.
The received
In the received
The received
図9(b)に示す受信メールウインドウ67には、記憶装置が入れ替えられて、登録時とは異なる記憶装置を破壊した結果が記載されている。
この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが異なっており、利用者が意図したものとは違う記憶装置が破壊されたことを示している。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置は入れ替えられているので、記憶装置の起動回数と、スマートフォン3の起動回数とが異なっている。
In the received
In the received
The received
なお、端末の記憶装置が外されたのち、他の端末に接続されて記憶装置がコピーされ、再び元の端末に接続される場合がある。この場合も、記憶装置に格納された情報が漏洩する。第1の実施形態の受信メールウインドウ66には、記憶装置の起動回数とスマートフォン3の起動回数とが対比可能に記載されている。これにより、記憶装置が他の端末に接続されて起動したことが検知可能となる。
In some cases, after the storage device of the terminal is removed, the storage device is copied by being connected to another terminal, and is connected to the original terminal again. Also in this case, information stored in the storage device leaks. In the received
《SIMの取り外しまたは変更が行われた場合》
スマートフォン3が窃取され、窃取者がスマートフォン3のSIMの取り外しまたは変更を行うことが考えられる。この際には、キャリア網との通信が行えなくなり、よって管理サーバ1の破壊指令を受信できなくなるおそれがある。この場合、スマートフォン3は、SIMの取り外しまたは変更をトリガとして、自ら記憶装置を破壊するとよい。
<< When SIM is removed or changed >>
It is conceivable that the
図10は、スマートフォン3によるSIM監視処理を示すフローチャートである。
スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM監視処理が開始する。
スマートフォン3のCPU31は、SIM371のIDが記憶済みでないと判定したならば(ステップS10→No)、このIDをフラッシュメモリ36に記憶する(ステップS11)。ここで記憶されたSIM371を、正規のSIM371と呼ぶ。
CPU31は、記憶されている正規のSIM371のIDと、現在のSIM371のIDとを比較して、SIMの変更を判断する(ステップS12)。
FIG. 10 is a flowchart showing SIM monitoring processing by the
When the power of the
If the
The
CPU31は、SIMが取り外しまたは変更されていたならば、元々装着されていたSIM371を装着するように画面に促す表示を行うとともに、監視タイマーをスタートして所定時間のカウントダウンを行う(ステップS13)。正規のSIM371の装着の為に電源を途中で切られたのちに電源を再投入しても、監視タイマーは継続カウントされる。正規のSIM371を装着した場合に限り、監視タイマーの初期化を行う。これにより、情報処理装置の電源のオンとオフとを繰り返すことによる正規のSIM371の監視の時間リセットによる回避操作状態は、発生しない。
所定の時間が経過したならば(ステップS14→Yes)、CPU31は、記憶装置であるフラッシュメモリ36のシリアル番号や起動回数などの情報を取得し(ステップS15)、このフラッシュメモリ36を破壊する(ステップS16)。CPU31は更に、WiFi通信部35を介して管理サーバ1に実行結果を送信し(ステップS17)、図10の処理を終了する。
If the SIM has been removed or changed, the
If the predetermined time has elapsed (step S14 → Yes), the
図11は、SIM371の付け替え時の記憶装置破壊動作を示すシーケンス図である。
スマートフォン3は、不正なユーザによって窃取されたのち、SIM371が付け替えられる(シーケンスQ50)。スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM371の変更を検知し(シーケンスQ51)、所定時間のカウントダウンを実行する(シーケンスQ52)。
正規のSIM371が未装着のまま所定時間が経過すると(シーケンスQ61)、スマートフォン3は、記憶装置であるフラッシュメモリ36の情報を取得したのち(シーケンスQ62)、このフラッシュメモリ36の破壊を実行する(シーケンスQ63)。
以降、スマートフォン3はフラッシュメモリ36の破壊の実行結果を管理サーバ1に送信する(シーケンスQ64)。管理サーバ1は、通知先メールアドレスに実行結果を送信することにより、この実行結果を顧客端末4に送信する(シーケンスQ65)。利用者が顧客端末4の電子メールプログラム461を起動して、実行結果の電子メールを受信することにより、利用者に実行結果が通知される(シーケンスQ66)。
FIG. 11 is a sequence diagram showing the storage device destruction operation when the
After the
When a predetermined time elapses with the
Thereafter, the
なお、利用者が正規のSIM371として別のSIMに登録変更する場合は、登録情報変更のメニューによりスマートフォン3に破壊保留指令を送信し、新たなSIMのIDをスマートフォン3が読み取って更新した後に、更新完了を管理サーバ1へ送信するとよい。このとき管理サーバ1は、更新完了の受信により破壊情報データベース162の実行フェーズを破壊保留前の状態に戻す。
In addition, when a user changes registration to another SIM as a
《第2の実施形態》
第1の実施形態では、利用者が遠隔実行制御サービスの利用者登録を行い、破壊実行したい場合に対象とする情報処理装置を指定して破壊指令を実行していた。第2の実施形態では、利用者が事前設定した所定の条件で、記憶装置の破壊を実行することができる。具体的には、利用者が死亡した際に、登録した情報処理装置の遠隔実行制御サービスにより情報処理装置が有する記憶装置を全て破壊したいという場合である。
ここでは、利用者の死亡後に、NAS(Network Attached Storage)と呼ばれるネットワーク接続型の記憶装置を破壊する形態について説明する。
<< Second Embodiment >>
In the first embodiment, when a user performs user registration of the remote execution control service and wants to execute destruction, a target information processing apparatus is specified and a destruction instruction is executed. In the second embodiment, the storage device can be destroyed under a predetermined condition set in advance by the user. Specifically, when the user dies, the user wants to destroy all the storage devices included in the information processing device by the remote execution control service of the registered information processing device.
Here, a mode in which a network-connected storage device called NAS (Network Attached Storage) is destroyed after the user dies will be described.
図12は、第2の実施形態における遠隔破壊システムSを示す概略の構成図である。図1に示した遠隔破壊システムSと同一の要素には同一の符号を付与している。
第2の実施形態の遠隔破壊システムSは、第1の実施形態のスマートフォン3の代わりにNAS9を備えており、更に死亡管理サーバ7と死亡情報監視サーバ8とを備えている。
死亡管理サーバ7は、例えば行政機関の民間連動型サービスであり、マイナンバー制度のマイポータル/マイガバメントに相当し、利用者の生死情報を管理するサーバである。
死亡情報監視サーバ8(第2装置)は、死亡管理サーバ7に利用者の死亡情報が登録されたか否かを監視するサーバである。死亡情報監視サーバ8は、マイナンバー制度のポータルサイトからNAS9の所有者の死亡情報を取得すると、NAS9が備える記憶装置の破壊を管理サーバ1に指令する。
NAS9(第1装置)は、ネットワークに直接接続して、コンピュータやスマートフォンなどからネットワークを介してアクセス可能な外部記憶装置である。
FIG. 12 is a schematic configuration diagram showing a remote destruction system S in the second embodiment. The same elements as those in the remote destruction system S shown in FIG.
The remote destruction system S of the second embodiment includes a NAS 9 instead of the
The
The death information monitoring server 8 (second device) is a server that monitors whether or not the death information of the user is registered in the
The NAS 9 (first device) is an external storage device that is directly connected to a network and can be accessed via a network from a computer, a smartphone, or the like.
図13(a)は、死亡管理サーバ7の構成図である。
死亡管理サーバ7は、CPU71、RAM72、ROM73、ディスプレイ74、通信部75、生死データベース77を格納したHDD76を含んで構成される。CPU71、RAM72、ROM73、ディスプレイ74、通信部75は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
生死データベース77は、各利用者の生死情報を格納するデータベースである。利用者の死亡届に基づき、生死データベース77には利用者の生死情報が登録される。
FIG. 13A is a configuration diagram of the
The
The life /
図13(b)は、死亡情報監視サーバ8の構成図である。
死亡情報監視サーバ8は、CPU81、RAM82、ROM83、ディスプレイ84、通信部85、登録監視プログラム87と監視対象者データベース88とを格納したHDD86を含んで構成される。CPU81、RAM82、ROM83、ディスプレイ84、通信部85は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
CPU81は、登録監視プログラム87を実行することにより死亡管理サーバ7にアクセスして、利用者の死亡情報の有無を監視する。
監視対象者データベース88は、死亡情報の有無を監視する対象者を格納するデータベースである。
FIG. 13B is a configuration diagram of the death
The death
The
The monitoring
図14は、NAS9の構成図である。
NAS9は、CPU91、RAM92、ROM93、通信部95、HDD96、HDD管理プログラム971と遠隔制御プログラム972とを格納したフラッシュメモリ97を含んで構成される。CPU91、RAM92、ROM93、通信部95は、登録端末5が備えるCPU51、RAM52、ROM53、通信部55と同様な機能を有する。
HDD96は、データやプログラムを格納する不揮発性の記憶装置である。
HDD管理プログラム971は、CPU91によって実行されて、外部装置からネットワークを介してHDD96をアクセス可能とする機能を具現化する。
遠隔制御プログラム972は、CPU91によって実行され、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
FIG. 14 is a configuration diagram of the NAS 9.
The NAS 9 includes a
The
The
The
利用者は、第1の実施形態と同様に初期設定フェーズで初期設定を行い、管理サーバ1に利用者識別情報、認証情報、端末識別情報などを登録し、情報処理端末には、端末識別情報が記憶される。
As in the first embodiment, the user performs initial setting in the initial setting phase, registers user identification information, authentication information, terminal identification information, and the like in the
図15(a)は、利用者データベース161Aの構成を示す図である。
利用者データベース161Aは、第1の実施形態の利用者データベース161(図4(a)参照)と同様の構成に加えて更に、遺族通知先欄を有している。この遺族通知先には、利用者の遺族のメールアドレスが格納される。初期設定フェーズにて利用者は、本人のメールアドレスに加えて遺族のメールアドレスを入力し、遺族のメールアドレスは遺族通知先欄に格納される。
FIG. 15A is a diagram showing the configuration of the
The
初期設定後、破壊指令フェーズにて利用者は、登録端末5を操作して破壊指令実行の条件である登録フラグを「死亡後破壊」に設定する。死亡後破壊に設定された場合は、利用者の死亡情報により指定された情報処理装置に対し実行されることになる。
After the initial setting, in the destruction command phase, the user operates the
図15(b)は、破壊情報データベース162Aの構成を示す図である。
破壊情報データベース162Aは、第1の実施形態の破壊情報データベース162(図4(b)参照)と同様に構成されている。
ここではNAS9のHDD96に対する破壊指令なので、端末識別情報には、“太郎NAS_54321”が格納される。このHDD96は利用者の死亡時に破壊されるので、遠隔制御情報には、“9999”が格納される。
FIG. 15B is a diagram showing the configuration of the
The
Here, since it is a destruction command for the
《利用者情報の収集、監視》
図16は、死亡時の破壊動作を示すシーケンス図である。
ここで利用者データベース161Aに登録された端末識別情報に紐づけられた登録フラグが死亡後破壊を示す“9999”に設定されている。
遺族がマイポータル/マイガバメントに対して利用者の死亡届を提出すると(シーケンスQ70)、マイポータル/マイガバメントに係る死亡管理サーバ7の生死データベース77には、利用者の生死情報が登録される(シーケンスQ70)。
死亡管理サーバ7から死亡情報監視サーバ8に対して利用者の死亡の事実が連絡される(シーケンスQ71)。この死亡情報監視サーバ8は、所定の周期(例えば、毎日)でマイポータル/マイガバメントにアクセスして利用者の死亡情報を監視している。
<< Collecting and monitoring user information >>
FIG. 16 is a sequence diagram showing a destructive operation at the time of death.
Here, the registration flag associated with the terminal identification information registered in the
When the bereaved family submits the death notice of the user to My Portal / My Government (sequence Q70), the life /
死亡情報監視サーバ8は、管理サーバ1に対して利用者の死亡を通知する(シーケンスQ72)。死亡情報監視サーバ8は、管理サーバ1のアドレス情報と管理サーバ1へのログイン情報とが登録されている。
管理サーバ1は、利用者の死亡時に破壊すべき端末(記憶装置)を特定し(シーケンスQ73)、以降は破壊指令実行フェーズに移行する。
Death
The
《破壊指令実行フェーズ》
管理サーバ1は、破壊指令と端末識別情報とをNAS9に送信する(シーケンスQ74)。NAS9のCPU91は、遠隔制御プログラム972の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは死亡時破壊なので、NAS9のCPU91は、記憶装置(HDD96)の識別情報と起動回数情報とを取得し(シーケンスQ75)、記憶装置(HDD96)の破壊を実行する(シーケンスQ76)。これにより、HDD96が格納する情報へのアクセスを不可能とすることができる。
<< Destruction command execution phase >>
NAS9のCPU91は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ77)、管理サーバ1は破壊処理の実行結果を、遺族宛にメールで通知する(シーケンスQ78)。これにより遺族は、破壊処理の結果を確認することができる。
(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の(a)〜(d)のようなものがある。
(a) 本発明は、スマートフォンやNASに限定されず、デスクトップパソコンなどの据え置き型やノートブックパソコンなどの可搬型のパソコンなども対象としている。また、パソコンより小型のタブレットや携帯電話などのモバイル機器などであってもよい。
The
(Modification)
The present invention is not limited to the above-described embodiment, and can be modified without departing from the spirit of the present invention. For example, there are the following (a) to (d).
(A) The present invention is not limited to smartphones and NAS, but also targets stationary computers such as desktop personal computers and portable personal computers such as notebook personal computers. Further, it may be a mobile device such as a tablet or a mobile phone that is smaller than a personal computer.
(b) スマートフォン3は、破壊処理後に届け先の情報を表示する機能があってもよい。これにより、スマートフォン3の破壊処理に、このスマートフォン3の届け先がわかり、紛失の場合などには、利用者が破壊済みの端末を回収して安心できる。スマートフォン3の届け先は、例えば遠隔制御実行サービス事業者が窓口になるとよい。
(B) The
(c) 第1の実施形態では、スマートフォン3が管理サーバ1にある破壊指令の情報の有無を取得し、確認することとした。しかし、これに限られず有線通信や無線通信により管理サーバ1が破壊指令を送信し、中継局や基地局22を介してスマートフォン3が受信してもよい。スマートフォン3が端末識別情報と破壊指令とを受信すると、破壊指令を受信した日時情報を管理サーバ1に送信して、スマートフォン3が有するフラッシュメモリ36を破壊処理する。フラッシュメモリ36が読取不能となった場合、スマートフォン3は、その実行結果を管理サーバ1へ送信し、管理サーバ1は実行結果を本人のメールアドレスに通知する。利用者は、管理サーバ1からの通知メールにより、スマートフォン3が指令を受領した時間、実行時間、実行結果を知ることができ、指定したスマートフォン3のフラッシュメモリ36が確実に破壊されたか否かを知ることができる。
(C) In the first embodiment, the
(d) NASがミラーリング等で複数のHDDで構成されているときに、HDDの取り外しの監視を行ってもよい。これにより、HDDを取り外して情報を他のHDDにコピーした後、再びHDDをNASに戻した場合には、NASを構成するHDDの全てを破壊実行した際に、NASの情報が他にコピーされている可能性を通知メールにより知ることができる。 (D) When the NAS is configured with a plurality of HDDs by mirroring or the like, the removal of the HDDs may be monitored. As a result, if the HDD is removed and the information is copied to another HDD and then returned to the NAS, the NAS information is copied to the other when all the HDDs constituting the NAS are destroyed. The possibility of being able to know by notification mail.
S 遠隔破壊システム
1 管理サーバ
161 利用者データベース
162 破壊情報データベース
21 ルータ
22 基地局
3 スマートフォン
35 WiFi通信部
36 フラッシュメモリ
361 遠隔制御ツール
37 3G通信部
371 SIM
4 顧客端末
461 電子メールプログラム
5 登録端末
561 リモート制御ソフト
7 死亡管理サーバ
77 生死データベース
8 死亡情報監視サーバ
87 登録監視プログラム
88 監視対象者データベース
9 NAS
96 HDD
972 遠隔制御プログラム
S
4
96 HDD
972 Remote control program
Claims (9)
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムであって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令し、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令し、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信する、
ことを特徴とする記憶装置の遠隔破壊システム。 A management device communicably connected to the network;
A first device that is communicable with the management device via the network, and includes a storage device, and remote control means for controlling the storage device according to a command from the management device;
A second device that is communicable with the management device via the network and comprises command means for commanding the management device;
A remote destruction system comprising:
The command means of the second device commands the management device to destroy the storage device provided in the first device,
The management device instructs the first device to destroy the storage device included in the first device;
The remote control means of the first device determines the destruction result after destroying the storage device included in the first device, and transmits the destruction result of the storage device to the management device via the network.
A remote destruction system for storage devices.
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。 The management device further transmits a result of destruction of the storage device included in the first device to an email address of the owner of the first device.
The remote destruction system for a storage device according to claim 1.
ことを特徴とする請求項2に記載の記憶装置の遠隔破壊システム。 When the management device receives the same one-time password from the command device of the second device after transmitting the one-time password to the command device of the second device, the management device receives the same one-time password from the command device of the second device. To accept and execute
The remote destruction system for a storage device according to claim 2.
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。 When the second device acquires the death information of the owner of the first device from the portal site of the My Number system, it instructs the management device to destroy the storage device provided in the first device.
The remote destruction system for a storage device according to claim 1.
ことを特徴とする請求項4に記載の記憶装置の遠隔破壊システム。 The management device further transmits a result of destruction of the storage device included in the first device to a mail address of a bereaved family of the owner of the first device.
The remote destruction system for a storage device according to claim 4.
当該第1装置が備える記憶装置を破壊したのち、前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信する、
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。 The remote control unit of the first device monitors whether or not the storage device included in the first device is replaced,
After destroying the storage device included in the first device, the destruction result of the storage device and the presence or absence of replacement are transmitted to the management device.
The remote destruction system for a storage device according to claim 1.
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。 The remote control unit of the first device monitors the presence or absence of replacement based on the identification information of the storage device included in the first device.
The remote destruction system for a storage device according to claim 6.
ことを特徴とする請求項6に記載の記憶装置の遠隔破壊システム。 The remote control unit of the first device monitors the presence / absence of replacement of the storage device included in the first device based on the startup number information of the first device and the startup number information of the storage device included in the first device.
The remote destruction system for a storage device according to claim 6.
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムが実行する遠隔破壊方法であって、
前記第2装置の指令手段が、前記第1装置が備える記憶装置の破壊を前記管理装置に指令するステップと、
前記管理装置は、前記第1装置が備える記憶装置の破壊を当該第1装置に指令するステップと、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果を送信するステップと、
を含むことを特徴とする記憶装置の遠隔破壊方法。 A management device communicably connected to the network;
A first device that is communicable with the management device via the network, and includes a storage device, and remote control means for controlling the storage device according to a command from the management device;
A second device that is communicable with the management device via the network and comprises command means for commanding the management device;
A remote destruction method executed by a remote destruction system comprising:
The command means of the second device commands the management device to destroy the storage device provided in the first device;
The management device instructs the first device to destroy the storage device included in the first device;
The remote control means of the first device determines the destruction result after destroying the storage device included in the first device, and transmits the destruction result of the storage device to the management device via the network;
A method for remotely destroying a storage device, comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015253757A JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015253757A JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019219226A Division JP6832413B2 (en) | 2019-12-04 | 2019-12-04 | Information processing equipment and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017118411A true JP2017118411A (en) | 2017-06-29 |
JP6650755B2 JP6650755B2 (en) | 2020-02-19 |
Family
ID=59234656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015253757A Active JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6650755B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101836089B1 (en) * | 2017-09-26 | 2018-03-09 | (주)케이컴 | Data storage medium permanent destruction device |
JPWO2021166105A1 (en) * | 2020-02-19 | 2021-08-26 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003304580A (en) * | 2002-04-12 | 2003-10-24 | Sharp Corp | Communication terminal |
JP2006180171A (en) * | 2004-12-22 | 2006-07-06 | Vodafone Kk | Information erasing method, mobile communication terminal device, server system, information erasure system, and program |
US20080219122A1 (en) * | 2003-03-18 | 2008-09-11 | Roger Detzler | Dead on demand technology |
JP2010160545A (en) * | 2009-01-06 | 2010-07-22 | Canon Inc | Information processor and method for controlling information processor |
US20150186638A1 (en) * | 2012-10-15 | 2015-07-02 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
JP2015149048A (en) * | 2014-02-04 | 2015-08-20 | 楠 信子 | Subscription and automatic execution system for information processing of individual client |
-
2015
- 2015-12-25 JP JP2015253757A patent/JP6650755B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003304580A (en) * | 2002-04-12 | 2003-10-24 | Sharp Corp | Communication terminal |
US20080219122A1 (en) * | 2003-03-18 | 2008-09-11 | Roger Detzler | Dead on demand technology |
JP2006180171A (en) * | 2004-12-22 | 2006-07-06 | Vodafone Kk | Information erasing method, mobile communication terminal device, server system, information erasure system, and program |
JP2010160545A (en) * | 2009-01-06 | 2010-07-22 | Canon Inc | Information processor and method for controlling information processor |
US20150186638A1 (en) * | 2012-10-15 | 2015-07-02 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
JP2015149048A (en) * | 2014-02-04 | 2015-08-20 | 楠 信子 | Subscription and automatic execution system for information processing of individual client |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101836089B1 (en) * | 2017-09-26 | 2018-03-09 | (주)케이컴 | Data storage medium permanent destruction device |
JPWO2021166105A1 (en) * | 2020-02-19 | 2021-08-26 | ||
JP7300053B2 (en) | 2020-02-19 | 2023-06-28 | 三菱電機株式会社 | Refrigeration cycle equipment and refrigeration system |
Also Published As
Publication number | Publication date |
---|---|
JP6650755B2 (en) | 2020-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10447839B2 (en) | Device locator disable authentication | |
US10505983B2 (en) | Enforcing enterprise requirements for devices registered with a registration service | |
US9811682B2 (en) | Security policy for device data | |
US20100218012A1 (en) | Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers | |
EP3161645B1 (en) | Fast data protection using dual file systems | |
US10147096B2 (en) | Device diagnostic and data retrieval | |
CN108933668B (en) | Method and security system for using a control panel device | |
CN105934751B (en) | Data erasure for target devices | |
CN106462711B (en) | Verified starting | |
US8640213B2 (en) | Method and system for automatic authentication | |
TWI753286B (en) | Self-encrypting device, management server, method for data security, and non-transitory machine-readable srotage medium thereof | |
CN103679001A (en) | Method and device for controlling behaviors of application program in mobile communication terminal | |
CN103824004A (en) | Application program protection method and device | |
KR102184305B1 (en) | Method for processing authorization, electronic device and server for supporting the same | |
JP6650755B2 (en) | Remote destruction system and remote destruction method for storage device | |
JP6832413B2 (en) | Information processing equipment and programs | |
WO2016157704A1 (en) | Electronic device and remote control system | |
EP4075313A1 (en) | Systems and methods for purging data from memory | |
EP3098744A1 (en) | A remotely protected electronic device | |
US10839055B2 (en) | Storage apparatus managing method and storage apparatus managing system | |
JP2008507774A (en) | System and method for lost data corruption of electronic data stored in a portable electronic device | |
JP6287491B2 (en) | Information processing apparatus, authentication control method, and program | |
US11737155B2 (en) | Communication with a data storage device using an emulated Wi-Fi captive portal | |
CN113892064A (en) | Information providing method, information providing system, and server | |
JP2012216015A (en) | Information terminal and security management method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180820 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190821 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190917 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191204 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6650755 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |