JP2019061469A - 端末、データを保全する方法、及びデータ保全システム - Google Patents

端末、データを保全する方法、及びデータ保全システム Download PDF

Info

Publication number
JP2019061469A
JP2019061469A JP2017185202A JP2017185202A JP2019061469A JP 2019061469 A JP2019061469 A JP 2019061469A JP 2017185202 A JP2017185202 A JP 2017185202A JP 2017185202 A JP2017185202 A JP 2017185202A JP 2019061469 A JP2019061469 A JP 2019061469A
Authority
JP
Japan
Prior art keywords
data
operation mode
terminal
processor
backup
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017185202A
Other languages
English (en)
Inventor
耕三 野呂
Kozo Noro
耕三 野呂
祐之 山口
Hiroyuki Yamaguchi
祐之 山口
毅 福恵
Takeshi Fukue
毅 福恵
芳樹 日沖
Yoshiki Hioki
芳樹 日沖
優之 神谷
Masayuki Kamiya
優之 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information and Telecommunication Engineering Ltd
Original Assignee
Hitachi Information and Telecommunication Engineering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information and Telecommunication Engineering Ltd filed Critical Hitachi Information and Telecommunication Engineering Ltd
Priority to JP2017185202A priority Critical patent/JP2019061469A/ja
Publication of JP2019061469A publication Critical patent/JP2019061469A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephone Function (AREA)

Abstract

【課題】紛失時におけるセキュリティを確保し、データ復旧時間を短縮する。【解決手段】バックアップデータを格納する計算機と接続される端末であって、通常の動作モードと、第1のセキュリティポリシーに従う第1の動作モードとで動作可能であって、前記通常の動作モードにおいて、所定のタイミングで、記憶デバイスに格納されたデータを前記計算機にバックアップし、前記通常の動作モードから他の動作モードへ遷移する条件を満たすか否かを判定し、前記第1の動作モードに遷移する場合、バックアップされていないデータを前記計算機にバックアップし、前記第1のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成する。【選択図】図4

Description

本発明は、端末に格納されたデータをセキュアに保全する方法に関する。
携帯情報端末として、スマートフォンをはじめとする携帯電話機、タブレット型PC、PDA(Personal Digital Assistance)等が広く使用されている。
近年の携帯情報端末の高性能化及び通信技術との高度な融合により、個人のみならず、ビジネ分野においてもスマートフォンなどの携帯情報端末が広く活用されている。このような携帯情報端末には、個人情報、業務アプリケーション、業務データなどの大量の重要な情報が格納されており、携帯情報端末の盗難や紛失に対するセキュリティの確保が重要である。
紛失や盗難の場合における携帯情報端末のセキュリティを確保する方法の背景技術として、特許文献1から4がある。特許文献1(特開2010−146475号公報)には、携帯端末の情報漏洩防止システムが記載されている。該情報漏洩防止システムでは、携帯端末は、暗証番号の誤入力回数をカウントし、誤入力回数が閾値を超えた場合は、制御装置から取得した暗号化鍵を用いて自己に保存されているデータを暗号化すると共に、携帯端末を探索するために必要な特定機能以外の一般機能を停止する。次に、携帯端末は、制御装置から送信されたデータ送信命令とデータ削除命令とに従って、暗号化されたデータを記憶装置へ送信して格納させると共に、携帯端末に保存されているデータを削除する。尚、携帯端末は、予め指定された優先度の順序に従って、暗号化されたデータを記憶装置へ順次送信する。これにより、携帯端末内のデータ、及び送信中のデータの漏洩は完全に防止される。
また、特許文献2(特表2010−539856号公報)には、ユーザが遠隔的に活性化するときに移動ハンドセット上のデータを保護するための方法およびシステムが記載されている。該システムは、暗号化鍵を使用してデータを暗号化すること、暗号化データを記憶すること、および暗号化されていないデータとともに暗号化鍵を削除することを含む。移動ハンドセットをバックアップする際に使用するために、データをセルラデータ呼によってサーバにアップロードすることもできる。移動ハンドセット・アプリケーションは、データを暗号化し、アップロードし、またはダウンロードするための活性化命令をサーバから受信するためにハンドセットを構成する。暗号化鍵はサーバから受信するか、または移動ハンドセットが生成し、サーバに伝える。データファイルを暗号化した後にハンドセット・アプリケーションが正常に機能できるようにするために、モック・データファイルを生成し、移動ハンドセット上に記憶することができる。
また、特許文献3(特開2008−154080号公報)には、盗難あるいは紛失した状況にあることの検出結果に基づいて、セキュリティ管理部11は所定のセキュリティ動作を行う携帯情報端末が記載されている。該携帯情報端末は、(i)人感監視部12により「人感反応なし」と判断し、かつ、(ii)電源監視部13により電源オンと判断したとき、あるいは電源オフに移行しつつあると判断してこれを電源オンに戻したとき、(iii)電波状態監視部14により圏外か圏内か判定した結果に応じて、データアクセスのロックか、データの外部への退避か、データの削除を行う。
また、特許文献4(特開2008−235951号公報)には、バックアップサーバとワイヤレスデバイスにバックアップ用の差分エンジンとバックアップエージェントを実装し,必要なときにワイヤレスデバイス上に蓄積したユーザデータをワイヤレスネットワーク経由で遠隔地にあるバックアップサーバに差分方式によってバックアップするユーザデータのバックアップ方法が記載されている。該バックアップ方法では、バックアップ先として,遠隔地にあるバックアップサーバ以外に,ワイヤレスデバイスに直接接続できるコンピュータ,ワイヤレスデバイスに差し込むメモリカードもある。バックアップしたユーザデータが,必要なときに同じ又は異機種のワイヤレスデバイスにリストアさせる。
特開2010−146475号公報 特表2010−539856号公報 特開2008−154080号公報 特開2008−235951号公報
セキュリティを確保するための代表的な手段として、データの暗号化及び消去がある。前述した特許文献1から4を組み合わせると、無線通信で転送したデータをバックアップして、携帯情報端末の紛失時や盗難時には重要な内部データを暗号化や消去でき、携帯情報端末に格納されたデータのセキュリティを確保できる。
しかしながら、バックアップデータを用いて、携帯情報端末から消去されたデータをリストアする必要があり、正当なユーザの元に当該携帯情報端末が戻っても、データが回復するまでの長時間において当該携帯情報端末が使用できない。そのため、データ回復に要する時間の短縮が求められている。
また、携帯情報端末のOSによる認証メカニズムを用いて他人による携帯情報端末へのアクセスを防止している場合は、複雑化したOSが内包するセキュリティホール等の脆弱性が使用されて不正にアクセスされるリスクがある。この場合には、暗号化された端末上のデータが復元されるだけでなく、クラウド上のバックアップデータからも情報を盗み出される可能性がある。このため、紛失時や盗難時に、OSの機能と隔離した手段により当該情報端末を起動させる方が、セキュリティを高められる。
本発明は以上の点を考慮してなされたもので、携帯情報端末に効果的なセキュリティを導入しつつ、正当なユーザに当該情報端末が戻った場合には、迅速に当該情報端末を使用可能とする携帯情報端末の提供を目的とする。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、バックアップデータを格納する計算機と接続される端末であって、プログラムを実行するプロセッサと、前記プロセッサに接続された記憶デバイスと、前記プロセッサに接続された通信インターフェースとを備え、前記端末は、通常の動作モードと、第1のセキュリティポリシーに従う第1の動作モードとで動作可能であって、前記通常の動作モードにおいて、前記プロセッサは、所定のタイミングで、前記記憶デバイスに格納されたデータを前記計算機にバックアップし、前記プロセッサは、前記通常の動作モードから他の動作モードへ遷移する条件を満たすか否かを判定し、前記第1の動作モードに遷移する場合、前記プロセッサは、バックアップされていないデータを前記計算機にバックアップし、前記第1のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成することを特徴とする。
本発明の一態様によれば、携帯情報端末の紛失時におけるセキュリティを確保しつつ、データ復旧時間を短縮できる。
本発明の実施の形態における情報システムの全体構成を示す図である。 本発明の実施の形態における携帯情報端末の内部構成を示す図である。 本発明の実施の形態におけるセキュリティ管理プログラムが使用する管理テーブルの論理構成図である。 本発明の実施の形態におけるセキュリティポリシーの例を示す図である。 本発明の実施の形態におけるセキュリティ管理プログラムの全体動作を示すフローチャートである。 本発明の実施の形態における「通常モード」及び「紛失モード」処理の詳細を示すフローチャートである。 本発明の実施の形態におけるデータ操作の詳細処理を示すフローチャートである。 本発明の実施の形態における「緊急モード」遷移処理の詳細を示すフローチャートである。 本発明の実施の形態における端末情報回復処理の詳細を示すフローチャートである。 本発明の実施の形態における携帯情報端末の記憶装置の記憶領域における概念的なレイアウトの一例を示す図である。
以下、図面を参照しながら本発明の実施の形態を説明する。なお、以下の説明では、「管理テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、テーブル以外のデータ構造(例えば、リスト、リポジトリ、キューなど)で表現されてもよい。また、データ構造に依存しないことを示すために「管理テーブル」を「管理情報」と称すことができる。
また、「プログラム」を主語として処理を説明する場合がある。そのプログラムは、プロセッサ、例えば、MPU(Micro Processor Unit)やCPU(Central Processing Unit)によって実行され、定められた処理をするものである。なお、適宜に記憶資源(例えば、メモリ)及び通信インターフェース装置(例えば、LANポート)を用いながら行うため、処理の主語がプロセッサとされてもよい。プロセッサは、CPUの他に専用ハードウェアを有してもよい。コンピュータプログラムは、プログラムソースから各コンピュータにインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアなどで提供されるものでもよい。
また、各要素、例えば、記憶装置は番号などで識別可能であるが、識別可能な情報であれば、名前など他種の識別情報が用いられてもよい。本発明の図及び説明において同一部分には同一符号を付与しているが、本発明が本実施例に制限されず、本発明の思想に合致するあらゆる応用例が本発明の技術的範囲に含まれる。また、特に明示しない限り、各構成要素は複数でも単数でも構わない。
<システム構成と発明概要>
図1は、本発明の実施の形態における情報システム1の全体構成を示す図である。
情報システム1は、携帯情報端末2及びクラウドネットワーク3に接続された複数の物理計算機4を備えて構成される。物理計算機4は、CPU41、メモリ42、記憶装置43及びデータ通信機構44を有し、これらのデバイスは通信可能に接続されている。
CPU41は、メモリ42に格納されたプログラムを実行し、仮想マシンを構成する処理やデータのバックアップサービス等の処理を行う。メモリ42は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU41が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
メモリ42には、CPU41が実行するクラウドバックアップサービス提供プログラム421や情報端末再使用化プログラム422等の各種プログラムや、それらの実行に必要な各種データが格納されている。メモリ42に格納された各種プログラムは、携帯情報端末2と連携して動作する。
記憶装置43は、例えば、磁気記憶装置(HDD)、フラッシュメモリ等からなる半導体記憶装置(SSD)等の大容量かつ不揮発性の記憶装置によって構成されており、CPU41が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、記憶装置43から読み出されて、メモリ42にロードされて、CPU41によって実行される。
記憶装置43内には、後述する緊急モード用暗号鍵バックアップ431や、携帯情報端末2に格納されたデータのバックアップデータ433などが格納される。これらのデータは、必ずしも1台の物理計算機4内に格納されていなくても、複数の物理計算機4に分散して格納されてもよい。また、暗号鍵とデータとは、異なるサービスを用いる等の方法によって、分離してバックアップされると、セキュリティ上望ましい。
また、ネットワーク3及び物理計算機4はクラウド環境ではなく、いわゆるオンプレミス環境でもよい。すなわち、クラウドネットワーク3は、通常のネットワーク(インターネットやイントラネット)であり、物理計算機4は1台の物理計算機で構成されてもよい。
物理計算機4は、入力インターフェース及び出力インターフェースを有してもよい。入力インターフェースは、キーボードやマウスなどが接続され、オペレータからの入力を受けるインターフェースである。出力インターフェースは、ディスプレイ装置やプリンタなどが接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースである。なお、物理計算機4は、入出力インターフェースを有する端末(図示省略)に接続されてもよい。
データ通信機構44は、所定のプロトコルに従って、ネットワークを介して他の装置(携帯情報端末2など)との通信を制御する通信インターフェース装置である。
CPU41が実行するプログラムは、リムーバブルメディア(CD−ROM、フラッシュメモリなど)又はネットワークを介して物理計算機4に提供され、非一時的記憶媒体である不揮発性の記憶装置43に格納される。このため、物理計算機4は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。
携帯情報端末2に格納されたデータは無線通信等によりクラウド側に転送され、最終的に物理計算機4内の記憶装置43にバックアップされる。携帯情報端末2に格納されたデータと記憶装置43にバックアップされたデータとが少なくともファイル単位で一致している状態を、ファイル同士が同期している「同期状態」と称し、携帯情報端末2内のデータがバックアップされていない、又は古いデータがバックアップされている状態を「非同期状態」と称する。
図2は、本発明の実施の形態における携帯情報端末2の内部構成を示す図である。
携帯情報端末2は、CPU21、メモリ22、記憶装置23、無線データ通信機構24、バッテリ27、入力部33、ディスプレイ36を有する。携帯情報端末2は、バッテリ容量計測機構26、位置情報センサ30、生体情報センサ31、カメラ32、マイク34、スピーカ35を有してもよい。これらのデバイスは、通信可能に接続されている。
CPU21は、メモリ22に格納されたプログラムを実行し、携帯情報端末2に実装されたアプリケーションによる処理や、データを物理計算機4へバックアップする処理などを行う。メモリ22は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラムなどを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU21が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
メモリ22は、本実施の形態の中心的な処理を行うセキュリティ管理プログラム40及びプログラムの制御に必要な管理テーブル300が格納する。セキュリティ管理プログラム40の処理の詳細及びプログラムの制御に必要な管理テーブル300に格納される制御情報の詳細は後述する。
記憶装置23は、例えば、フラッシュメモリ等からなる半導体記憶装置(SSD)、磁気記憶装置(HDD)等の大容量かつ不揮発性の記憶装置であり、論理的な記憶領域900(図9参照)を提供する。記憶領域900には、CPU21が実行するプログラム(OS、アプリケーション)及びプログラムの実行時に使用されるデータやユーザデータ等が格納される。すなわち、プログラムは、記憶装置23から読み出されて、メモリ22にロードされて、CPU21によって実行される。記憶領域900には、ユーザが使用可能な未使用の空き領域が含まれる。
無線データ通信機構24は、クラウドネットワーク3を経由した物理計算機4との通信や、インターネット接続、音声通話情報の送受信に使用される無線通信インターフェース装置である。
バッテリ27は、携帯情報端末2が動作するための電源を供給する。バッテリ容量計測機構26は、バッテリ27の残容量を監視し、バッテリ27により携帯情報端末2の稼動時間を計測する。
位置情報センサ30は、携帯情報端末2の位置を取得するデバイスであり、例えば、GPS受信機や、ビーコンを用いた測位センサや、携帯電話網の基地局を用いて位置を取得するデバイスでもよい。位置情報センサ30が取得した位置情報は、管理テーブル300の現在位置情報314に格納され、事前に登録された安全エリア内かの判定に使用される。
生体情報センサ31は、例えば指紋センサであり、予め登録された生体情報が入力された場合、正当なユーザが携帯情報端末2を操作していると判定できる。カメラ32は、正当なユーザが携帯情報端末2を操作しているか否かを判定するために、操作中のユーザの顔や目の虹彩を撮影する。入力部33は、タッチパネルやキーボードなどであり、ユーザからの操作入力を受けるインターフェースである。
マイク34は、ユーザからの音声入力を受けるインターフェースであり、正当なユーザが携帯情報端末2を操作しているか否かを判定するために使用できる。スピーカ35は、ユーザへ音響を出力するインターフェースである。ディスプレイ36は、文字や図形等を画面に表示するインターフェースであり、プログラムの実行結果等をオペレータが視認可能な形式で出力する。
図3Aは、本発明の実施の形態におけるセキュリティ管理プログラム40が使用する管理テーブル300の論理構成図であり、図3Bは、セキュリティポリシーの例を示す図である。
管理テーブル300に設定される情報は、大きく「動作状態管理」、「バックアップ情報管理」、「セキュリティ情報管理」の3種類の目的に応じて使用される。
「動作状態管理」用の各種要素(あるいはレコード、変数等)の欄は、例えば、現在のモード311、通信状況312、端末無操作時間累積313、及び現在位置情報314がある。現在のモード311には、通常/通常(リストア中)/紛失/緊急の各状態に応じた値が格納される。通信状況312には、クラウド環境とのネットワークコネクションを確立して暗号鍵や携帯情報端末2内のデータのバックアップが可能となる前提である通信状態を示す値が格納される。図ではOK/NGのような状況に応じた値としているが、単位時間当たりの転送レートや通信速度を示す値が格納されてもよい。端末無操作時間累積313には、最後の操作からの経過時間を示す情報が格納され、ユーザによる操作が行われた場合にリセットされる。紛失モードや緊急モードへの遷移判定に当該欄に格納された時間情報が使用される。
現在位置情報314は、携帯情報端末2内の位置情報センサ30等から得られた位置情報に基づく現在位置に関する情報であり、図示した例ではユーザが事前に登録した安全エリア内に携帯情報端末2が存在するか否かの状況を示す値が格納されている。原則的には、ユーザの安全エリアとして識別される領域内では、端末無操作時間累積313が紛失判定の閾値を超過しても、紛失とは判定されない。
次に「バックアップ情報管理」用の各種要素欄として、暗号鍵ペア生成周期321、前回暗号鍵バックアップ時刻322、即時バックアップ設定323、定期バックアップ実施条件324、次回バックアップ時刻325、更新データ量326、端末空き容量327、想定バックアップ所要時間328、及びバッテリ残稼働時間329がある。
暗号鍵ペア生成周期321には、非常用暗号鍵のペア(秘密鍵、公開鍵)を自動生成してバックアップする周期に関する情報が格納されている。図示した例では720(分)となっており、12時間おきに新しい鍵情報に更新されバックアップされることを示している。前回暗号鍵バックアップ時刻322には、前回の非常用暗号鍵のバックアップが成功した時刻が格納される。これらの値は、図5のS506における判定や図4のS403の処理において使用される。
即時バックアップ設定323には、即時バックアップを行う条件に関する値が格納される。例えば、ファイルの属性に応じてバックアップを行うかの設定条件を格納するとよい。図示した例では、重要データ等の特定の属性を持つファイル等が格納又は更新された場合に、即時バックアップを行うための設定条件が格納されている。設定例としては、全てのファイルの格納又は更新時に、即時バックアップを行う場合はON、重要データの属性を持つファイルのみ即時バックアップする場合は、ON/重要データのみ(図示した例)、即時バックアップを行わない場合はOFFに、それぞれ対応する値が格納される。
定期バックアップ実施条件324には、即時バックアップ対象外の更新データをバックアップする契機を指定するための情報が格納される。条件は時間間隔や更新容量のいずれか一方の指定でもよいし、両者を組み合わせて指定してもよい。図示した例では、720分間隔又は更新容量が1GBに到達した場合にバックアップが実施される。次回バックアップ時刻325及び更新データ量326は、定期バックアップ実施条件324と組み合わせた判定を行うための情報であり、これらの値は、図5のS504における判定や図4のS402の処理において使用される。
残りの端末空き容量327には、記憶装置23によって提供される論理的な記憶領域900の未使用領域の容量が格納される。想定バックアップ所要時間328には、データバックアップ処理に必要な時間が格納される。想定バックアップ所要時間328は、バックアップすべきデータ量(更新データ量326)とバックアップのためのデータ転送速度とによって計算される。バッテリ残稼働時間329には、バッテリ容量計測機構26が計測した、携帯情報端末2の稼動時間が格納される。
次に「セキュリティ情報管理」用の各種要素欄として、選択中のセキュリティレベル331、紛失モード用セキュリティレベル332、(紛失モードにおいて)使用するセキュリティポリシーファイル333、想定データ無効化所要時間334、想定回復所要時間335、緊急モード用セキュリティレベル336、(緊急モードにおいて)使用するセキュリティポリシーファイル337、想定データ無効化所要時間338、想定回復所要時間339、チャンクファイル容量340、及びチャンクファイルバックアップ済フラグ341がある。
選択中のセキュリティレベル331には、携帯情報端末2の動作モード(通常モード、紛失モード、緊急モード)に応じて、紛失モード用セキュリティレベル332又は緊急モード用セキュリティレベル336に格納された値のいずれかが格納される。なお、通常モードにおいては、紛失モード用セキュリティレベル332の値が格納される。図にはシンプルに紛失モードと緊急モードとで異なるセキュリティレベルが格納される例を示すが、例えば、二つの動作モードが同一のセキュリティレベルでもパラメータが異なるセキュリティポリシーを使用する場合など、緊急モード用か紛失モード用かを識別可能な値を格納してもよい。このようにすると、選択中のセキュリティレベル331を見て携帯情報端末2の動作モードが紛失モードか緊急モードかを識別できる。
使用するセキュリティポリシーファイル333、想定データ無効化所要時間334及び想定回復所要時間335には、紛失モード用の情報が格納され、使用するセキュリティポリシーファイル337、想定データ無効化所要時間338及び想定回復所要時間339には、緊急モード用の情報が格納される。
使用するセキュリティポリシーファイル333、337には、各モードに設定されたセキュリティレベルに従ったセキュリティポリシーを実現するためのセキュリティファイルへアクセスするための情報が格納される。想定データ無効化所要時間334、338には、各モードにおいて、記憶装置23に格納されたデータを無効化するための時間が格納される。想定回復所要時間335、339には、各モードにおいて、記憶装置23のデータを復元するための時間が格納される。
本実施例では設定されたセキュリティレベルの値に応じて、使用するセキュリティポリシーファイルが一意的に決定されているが、複数(例えば全て)のセキュリティレベルのセキュリティポリシーを設定したセキュリティポリシーファイルを指定してもよい。
図3Bは、 セキュリティポリシーの例を示す図であり、使用するセキュリティポリシーファイル333、337により指定されたセキュリティポリシーファイルに記述されたセキュリティポリシーの例を示す。セキュリティポリシー353が「高い」セキュリティレベル用のものであり、セキュリティポリシー357が「最高の」セキュリティレベル用のものである。
セキュリティポリシー353に於いて、「バックアップタイミング:」の指定条件として、即時バックアップ:重要データのみ、定期バックアップ条件:720分毎又は差分容量1GB到達時、バックアップ対象外:非重要かつ入手容易性高のファイルという複数の条件からなるポリシーが指定されている。これらの指定された条件に基づいて、前述の管理テーブル300の即時バックアップ設定323、定期バックアップ実施条件324、次回バックアップ時刻325、更新データ量326に値が格納(設定)される。
続いて、セキュリティポリシー353において、「データ保護手段:」の指定条件として、ファイルの「削除対象:」重要データ、小容量データ(50MB未満)及びドキュメントファイルが指定されており、またファイルのデータを部分削除する対象である「部分削除:」大容量データ(200MB以上)が指定されている。また上記指定のいずれにも該当しないファイル(例:150MBの動画データ等)については、端末の「復旧時間制限:」10分以下を満足するように、ファイルサイズやファイルの属性等に基づいてファイル削除/部分削除/データ暗号化等のデータ操作が選択される。
なお、セキュリティポリシー357は、セキュリティポリシー353と同様に定義されるので、その詳細説明は省略する。
図3Aの管理テーブル300に戻って、チャンクファイル容量340及びチャンクファイルバックアップ済フラグ341について説明する。チャンクファイルは、詳細を後述するように、ファイルアクセスのための情報と、前述のデータ操作に関する情報(メタデータ)を含むファイルである。チャンクファイルを用いて、ファイルシステムや記憶装置23のデータを復旧できる。チャンクファイルは通常は紛失モードや緊急モードへ遷移する処理において生成されるが、当該モードへの遷移時におけるデータバックアップ時間の短縮等を目的として、一部を事前に生成しておき、さらにバックアップしてもよい。予めバックアップを生成可能なデータは、基本的に更新されていないファイル群のアクセス情報と、それらをデータ操作した場合にチャンクファイルに格納されるデータのコピーや、処理に伴い生成されるメタデータ等である。
このようにして事前にバックアップが生成されたチャンクファイルの対象ファイルは、紛失モードや緊急モードへ遷移する処理においてデータ操作のみが実施される。チャンクファイル容量340及びチャンクファイルバックアップ済フラグ341に格納される情報は、それぞれの項目名が意味する通りの値が格納される。
図4は、本発明の実施の形態におけるセキュリティ管理プログラム40の全体動作を示すフローチャートである。
S401で、CPU21は、ユーザ又は管理者によるセキュリティレベルの入力によって、「紛失モード」用のセキュリティレベル332と「緊急モード」用のセキュリティレベル336とを設定する。セキュリティレベルは、強度/大小/番号等の基準に基づいて定義され、順位付けされた所定の範囲や値で表され、例えば、最高/高/中/低/最低(無)や1、2、3、4、5のように表現される。当該設定されたセキュリティレベルは、紛失モード用セキュリティレベル332及び緊急モード用セキュリティレベル336に格納される。さらに、設定されたセキュリティレベルに対応してセキュリティポリシーファイル333、337や各種パラメータ(想定データ無効化所要時間334、338、想定回復所要時間335、339)が設定される。
S402で、管理テーブル300に設定された、バックアップ周期やバックアップ予定時刻等に基づいて、新規作成又は更新されたファイル、若しくはその差分データが物理計算機4により提供されるクラウドストレージにバックアップされる。物理計算機4側では、CP01で、受領したバックアップデータを自身又は他の物理計算機4が有する記憶装置43に格納する。この処理により、携帯情報端末2内のデータと物理計算機4にバックアップされたデータとが同期される。同期の間隔(周期)はセキュリティレベルが高いほど短く、また重要なデータほど短く設定されることが望ましい。なお、後述するS411からS402に移行した場合、重要ファイル以外の未リストアのファイルがバックグラウンド処理により携帯情報端末2にリストアされる。
S403で、緊急モードにおいて使用する暗号鍵のペアを生成し、タイムスタンプと共に物理計算機4へバックアップする。なお、ステップS403は繰り返し実行され、例えば、所定の時間間隔で定期的に暗号鍵のペアが生成される。この暗号鍵生成及びバックアップの周期は、S402のステップにおけるバックアップ周期と同じである必要はなく、また、暗号鍵はバックアップデータとは異なる記憶領域に格納すると望ましい。また、暗号鍵生成及びバックアップ周期は、セキュリティレベルが高くなるほど短くてもよい。また、物理計算機4は、CP02で、受領した暗号鍵とタイムスタンプを格納又は更新(上書き)する。
S404で、緊急モードに遷移すべきか否かを判定する。判定結果において、遷移要(YES)の場合は、S405で緊急モード用セキュリティレベルを選択し、選択中のセキュリティレベル331に格納して、S408へ移行する。判定結果が遷移不要(NO)の場合、S406で紛失モードに遷移すべきか否かを判定する。
S406で、紛失モードに遷移すべきかの判定結果が遷移要(YES)である場合、S407で、紛失モード用セキュリティレベルを選択し、選択中のセキュリティレベル331に格納して、S408へ移行する。判定結果が遷移不要(NO)の場合、S402へ戻る。ここで、ステップS402及びS403が「通常モード」時に実行される主な処理である。
S408で、S405及びS407で選択され、選択中のセキュリティレベル331に格納されたセキュリティレベルに基づいて、携帯情報端末2内のデータに、削除/部分削除/順序入替え/暗号化等の操作を行う処理を実行する。本ステップの処理については、図6を参照して詳述する。
データを保全した後、非常用BOOTプログラム922から非常用OSを起動し、S409で、携帯情報端末2を通常の状態に復旧するための再使用化要求の受領を待ち受ける。この状態においては、当該要求の対応以外は端末探索要求に応答する程度の処理しか行えないプログラムが動作しており、携帯情報端末2の機能が大幅に制限された状態となる。携帯情報端末2が正当なユーザに戻った場合、ユーザは、PC等の別の情報端末からネットワーク経由で、物理計算機4に再使用化要求の発行を依頼する(図示省略)。
CP03で、物理計算機4は、再使用化要求を発行する。携帯情報端末2は、当該要求を受領したら(判定:YES)、S410で端末情報回復処理を実行する。なお、S410〜S411は非常用BOOTプログラム922によって起動される非常用OSの機能であり、その詳細は図8を参照して詳述する。
S411で、少なくとも重要ファイルの復旧が完了したか否かを判定する。判定結果がNOである場合、重要ファイルの復旧が完了するまでS410の処理を継続する。復旧が完了した(判定:YES)の場合、ステップS402に移行して、通常モードに復帰する。この場合、未リストアのファイルのリストアはバックグラウンド処理で継続する。
図5は、本発明の実施の形態における「通常モード」及び「紛失モード」における処理の詳細を示すフローチャートである。
S501で、携帯情報端末2のCPU21は、記憶装置23にデータが書き込まれた状態、つまりファイルが格納又は更新されたか否かを判定する。当該判定の結果がNoの場合、S504へ分岐する。判定結果がYesの場合は、S502及びS503の処理を実行する。
S502で、格納又は更新されたファイルの属性判定処理を実行する。具体的には、(1)ファイルタイプを判別する。ファイルタイプの例として、ドキュメント、画像/映像、アプリケーション(本体)、アプリケーション(データ)等がある。これらの種別とファイルサイズの区分などとを組み合わせて、ファイルを分類する。(2)ファイルの重要度を判別する。例えばファイルのダウンロード元や、データの作成元によって重要度を決定する。ファイルのダウンロード元アドレスが会社のサーバのアドレスであったり、自分の携帯情報端末2でデータが作成及び更新された場合、重要度が高いと判定する。また、一定期間アクセスされていないファイルは重要度を下げる処理を定期的に行ってもよい。(3)ファイルの入手容易性を判別する。ファイルの入手容易性とは、暗号化によるセキュリティ保護などが不要であり、インターネット等で誰でも入手可能なファイルは入手容易性が高く、個人のローカルフォルダに格納されており、自分で作成したドキュメントファイルは入手容易性が低いと定義する。例えば、入手容易性が高いファイルは重要度が低く、バックアップが不要などの条件を定めてもよい。
S503で、ステップS502で得られた属性情報をメタデータとして格納する。メタデータの格納形態はデータベースでもよい。また、iノード情報にメタデータを追加してもよい。
S504で、格納又は更新されたファイルをバックアップする期限に到達したか否か、又は、前回のバックアップ後に格納又は更新されたファイルのサイズ合計が所定量に到達したか否かを判定する。バックアップ期限は設定されたセキュリティレベルが高い程、短い時間で到来するとよい。セキュリティレベルが最も高い場合は、ファイルが格納又は更新された直後にバックアップされる。判定結果がNo(バックアップ期限に到達しておらず、かつ、対象ファイルのサイズ合計が所定量に到達していない)の場合は、S506へ分岐する。判定結果がYes(バックアップ期限に到達した、又は、対象ファイルのサイズ合計が所定量に到達した)の場合は、S505のデータバックアップ(同期)処理が実行される。S505の処理は、図4のS402と同じである。物理計算機4側の処理も、図4のCP01と同様であり、説明を省略する。
S506で、管理テーブル300の暗号鍵ペア生成周期321及び前回暗号鍵バックアップ時刻322を参照して、紛失/緊急モードにおいて使用する暗号鍵である緊急用暗号鍵の更新期限に到達したか否かを判定する。判定結果がNoの場合は、S508へ分岐する。判定結果がYes(更新期限に到達した)の場合は、S507で暗号鍵のペア(秘密鍵、公開鍵)をランダムに生成して、生成した暗号鍵の少なくとも一つをタイムスタンプと共にバックアップする。この処理は、図4のS403と同じである。
S508で、正当なユーザの職場や自宅等の安全エリアに指定されているエリア外(非安全エリア)において、最後の操作時刻からカウントされる未操作時間の累積が閾値を超えたか否かを判定する。判定結果がNo(紛失状態でない)と判定された場合は、再びS501から処理を繰り返す。一方、判定がYesの場合は、紛失モードに移行する。S508は、図4のS406に相当する。なお、前述した以外にも、例えば、自身への位置探索要求信号の受領により、紛失モードに移行してもよい。なお、図4のS407では紛失モード用のセキュリティレベルを選択しているが、前述したように、通常モードにおいては、紛失モード用セキュリティレベルが採用され、紛失モード用のセキュリティレベルに基づくセキュリティポリシーに従ってデータのバックアップなどが実行される。このため、図5のフローチャートの開始時点で、紛失モード用のセキュリティレベルが既に選択されていることになり、図5ではS407に対応するステップは省略した。
S509で、セキュリティ保全のためのデータ操作を行う。本ステップは図4のS408と同様であり、その処理は図6を参照して詳述する。
S510で、S509で作成されたチャンクファイルをバックアップする。なお、チャンクファイルの詳細は後述する。また後処理として、通信不能状態などでチャンクファイルのバックアップができなかった場合には、チャンクファイルの状態を示すフラグ(図9の902)を記録する。チャンクファイルがバックアップできた場合、携帯情報端末2の当該チャンクファイルを削除する。さらに、緊急用暗号鍵の消去、空き領域に非常用BOOTファイルの複製等が実行される。
S511で、空き領域に複製された非常用BOOTファイルを参照するようGPT(GUID Partition Table)を上書きし、システムを再起動する。これにより携帯情報端末2を起動しても、非常用BOOTファイルが実行され、携帯情報端末2の機能は大幅に制限された状態となる。以上で図5の処理は終了し、以降図4のS409が実行される。
図6は、本発明の実施の形態におけるデータ操作の詳細処理を示すフローチャートである。
S601で、管理テーブル300を参照して、現在選択されているセキュリティレベルレベルに対応するセキュリティポリシーを取得する。本実施の形態ではセキュリティポリシーはファイルに格納されており、セキュリティポリシーの内容は、ファイル属性等に応じた各種判定条件やパラメータ、閾値等を含む。
S602で、通信状況312を参照して、外部との通信が可能か否か、特にクラウドのバックアップサービスと通信可能か否かを判定する。通信不能(判定:No)の場合、バックアップ処理が不可能のため、S605へ分岐する。通信可能(判定:Yes)の場合、バックアップが必要なファイルが存在するか否かを判定する(S603)。例えば、予めバックアップが作成済みのファイルは、あらためてバックアップ不要である。
S603で、バックアップが必要なファイルが存在する(Yes)と判定された場合、当該ファイルのバックアップ処理を実行する(S604)。複数のファイルがバックアップの対象の場合は、それらを全てバックアップする。バックアップが必要なファイルが存在しない(No)と判定された場合は、S605へ分岐する。
S605で、データ操作が必要なファイルから一つを選択して当該ファイルの属性情報とセキュリティポリシーを対比し、S606で当該ファイルのデータに対して行うデータ操作を決定する。なお、ファイルは、重要ファイルから選択される等の優先順位を与えてもよい。
S606で、S605で決定したデータ操作(ファイル削除、部分削除、その他データ操作)に応じて処理を分岐する。ファイル削除の場合はS607、S608が実行され、データの部分削除の場合はS609に分岐し、その他データ操作の場合はS612に分岐する。また、全てのデータ操作において、データを復元するための情報がチャンクファイルに記録される。チャンクファイルとはファイルにアクセスするための情報(例えばFAT(File Allocation Table)のような、ファイル名とデータが格納されているブロックへのポインタ等のマッピング情報(通常モードで使用されるOSが管理)のコピー)、データ操作を可逆的に復元するための情報(例えば、部分消去したブロックのデータ及び消去ブロックの位置等)、及び現時点のGPT901aの情報を含むデータである。
S607で、削除対象のファイル名やデータの位置情報等をチャンクファイルに追加する。削除されたファイルは、クラウドストレージに格納されたバックアップを読み出して、チャンクファイルを参照してデータを復元するが、復元されるデータは消去前と同じ位置に格納されることになる。
S608で、対象のファイルを削除する。なお、ファイル削除では、望ましくは、対象ブロックへのランダムデータの上書き等によるデータ破壊やサニタイズ処理等を行う。この処理が終了したらS614に移行する。
S609で、サイズが大きいファイル内でデータを部分的に削除するブロックを決定し、削除対象ブロックのデータをチャンクファイルに退避すると共に、対象ファイル名や削除対象ブロックの位置情報等をチャンクファイルに追加する。削除対象ブロックは複数選択してもよい。また、ファイルヘッダ情報を含むブロックは必ず削除対象として選択する方が、セキュリティ上望ましい。削除対象ブロックのデータはチャンクファイルに退避せずに、クラウドストレージにバックアップしてもよい。
S610で、削除対象ブロックを削除する。S608同様、対象ブロックへのランダムデータの上書き等によるデータ破壊やサニタイズ処理等を行うと望ましい。
S611で、削除対象ブロック以外のデータに対して、さらに、追加のデータ操作を行うか否かを判定する。例えば、重要度が高いデータには、削除対象とならなかったブロックに暗号化やデータ順序の入れ替え等のデータ操作を行うとよい。判定結果がYesの場合はS612に移行し、Noの場合はS614に移行する。
S612で、暗号化やデータの順序入れ替え等のデータ操作を実施する。なお、本図では便宜的に暗号化とデータ順序入れ替えを同じ処理ステップで行うように記述しているが、別々の処理として実行されてもよい。
S613で、暗号化やデータの順序入れ替え等のデータ操作をS612で実施したファイル名やデータの位置情報及び処理の内容(暗号化有無、データ順序入れ替え情報等)をチャンクファイルに追加する。
S614で、対象ファイルの処理が全て完了したか否かを判定する。なお、必ずしも携帯情報端末2内の全てのファイルについてデータ操作処理を実施しなくてもよい。OSやアプリケーション(本体)のファイルに対しては、起動ができなくする程度に選択して、部分的に削除する方が、処理速度やバッテリ消費の点から望ましい。判定結果がNoの場合、別のファイルに対しS605からの手順を繰り返す。判定結果がYesの場合、S615に移行する。
S615で、現時点のGPT情報をチャンクファイルに追加して、完成したチャンクファイルを非常用暗号鍵のペアの内の一方(バックアップされていない鍵)を用いて暗号化する。なお、二つの暗号鍵をバックアップしている場合は、いずれを使用してもよい。
一般的には公開鍵を用いて暗号化することが望ましいが、本実施例では、いずれの鍵も公開されないため、どちらの鍵を用いて暗号化してもよい。暗号化済チャンクファイルの作成後、暗号化前のチャンクファイルを削除し、ファイルアクセス情報領域を無効化(例えば、データを破壊)する。以上で図6の処理は終了である。
図9は、携帯情報端末2の記憶装置23の記憶領域900における概念的なレイアウトの一例を示す図であり、紛失モードや緊急モードへ遷移する処理の前後の状態を説明する。通常時は、上方の図に示すように、GPT901a、OS格納領域920a、アプリケーション格納領域930a、ユーザデータ940aからなる既使用領域及び未使用領域950aが論理ボリューム910a内に形成されている状態である。なお、既使用領域は図のように整然と分割されて配置されておらず、実際にはそれぞれのデータが混在して配置されている。
通常時において、GPT901aは、通常BOOTプログラム921が格納されている記憶ブロックをポイントしているので、通常のOSが起動される。また論理ボリューム910aとして、記憶領域900の大部分が提供される。
携帯情報端末2が紛失モードや緊急モードに遷移した場合、前述の図6のデータ操作処理により、既使用領域のデータ削除等が行われると共に、未使用領域950aの一部領域951にチャンクファイルが作成される。チャンクファイルの作成後、さらに、チャンクファイルを暗号化するための領域(図示省略)が消費される。当該領域の後に、チャンクファイルがバックアップできたか否かを示すフラグ341を格納するチャンクバックアップ済みフラグ格納領域952を割り当て、チャンクバックアップ済みフラグ341を格納する。なお、チャンクファイルがバックアップできなかった場合には、チャンクバックアップ済みフラグ格納領域952には、チャンクファイルが格納されている位置を示すチャンクファイル位置情報が格納される。
さらに領域952の後に、非常用BOOTプログラム922が格納され、非常用BOOTプログラム922が格納された領域をポイントするようGPT901aを更新する。紛失モードや緊急モードに遷移した後には、チャンクバックアップ済みフラグ格納領域952を参照するために、新GPT901bのポイントする非常用BOOTプログラムの位置情報のみが使用可能であるため、新GPT901bがポイントするブロックから所定ブロック分だけ前にオフセットした位置にチャンクバックアップ済みフラグ格納領域952を設けるとよい。つまり、非常用BOOTプログラム922は、チャンクバックアップ済みフラグ格納領域952から所定ブロック分だけ後にオフセットした位置に格納するとよい。
データ操作処理の完了後は、論理的な記憶領域900のレイアウトは、新GPT901b、無効化領域970、非常用BOOTプログラム922、未使用領域950bとなり、記憶領域900の一部が論理ボリューム910bとして提供される。
図7は、本発明の実施の形態における「緊急モード」遷移処理の詳細を示すフローチャートである。なお、本処理は図4のS404を詳細化したものであり、S403に続いて実行される。
S701で、現時点のバッテリ残容量から、次回のデータのバックアップ予定時刻においてデータのバックアップ処理及びセキュリティ保全処理に必要な電力が残っているか(残容量が充分か)否かを判定する。残容量が充分でない(No)と判定された場合は、緊急モードに遷移(S404に分岐)する。残容量が充分(Yes)と判定された場合は、S702の判定を実行する。
S702で、携帯情報端末2の位置が職場や自宅以外の非安全エリアにあり、さらに定期バックアップが不能(通信不可等)であるか否かを判定する。なお、緊急モードへ遷移するための猶予時間に短時間の閾値が設定されていると、すぐに緊急モードに遷移してしまい携帯情報端末2の可用性が損なわれることがある。このため、短時間での緊急モードへの遷移を防止するために、紛失モードの判定より短い時間で、かつ、可用性に影響を与えない現実的な時間の閾値を猶予時間として設定するとよい。判定結果がYesの場合は、緊急モードに遷移(S404へ分岐)する。判定結果がNoの場合は、S703の判定を実行する。
S703で、非正規ユーザが携帯情報端末2のセキュリティロックを解除しようとしている等の状況である不正アクセスが検知されたか否かを判定する。具体的には、入力部33からのパスコード入力時に、カメラ32が撮影した入力された映像を用いて正規ユーザ以外の顔画像や目の虹彩パターンを検知した場合に、不正アクセスを検知する。判定結果がYesの場合は、緊急モードに遷移(S404は分岐)する。判定結果がNoの場合は、S406へ分岐(紛失モードの判定)する。
図8は、本発明の実施の形態における端末情報回復処理の詳細を示すフローチャートである。なお、本処理は図4のS410及びS411を詳細化したものであり、S409に続いて実行される。
S801で、GPT領域を参照して、新GPT901bがポイントする非常用BOOTプログラム922の先頭ブロックから所定のブロック分前方にあるチャンクバックアップ済みフラグ格納領域952の位置を特定し、内容を読み出す。
S802で、読み出したチャンクバックアップ済フラグ格納領域952を参照して、チャンクファイルがクラウドストレージにバックアップ済みか否かを判定する。バックアップ済み(判定:Yes)の場合は、S803に移行して、バックアップされたチャンクファイルを未使用領域にダウンロードする。バックアップされていない(判定:No)場合は、S804に移行して、チャンクバックアップ済みフラグ格納領域952に格納されているチャンクファイルデータ位置情報に基づいて、チャンクファイルデータを特定する。
次にS805で、クラウドストレージにバックアップ済みの非常用暗号鍵をダウンロードし、S806で、当該非常用暗号鍵を用いて、チャンクファイルのデータを復号する。
S807で、チャンクファイルに格納されたデータからファイルアクセス情報を復元し、ファイルのデータを完全に削除したもの以外(データ部分削除/データ順序入れ替え/暗号化等のデータ操作を実施したもの)について、図6の処理において加えられたデータ操作を元に戻すためのデータ操作を実施してデータを復旧する。
S808で、GPTのデータをチャンクファイルから読み出して、GPT901aに復旧する。
S810で、クラウドストレージにバックアップ済みのファイルのデータから削除したファイルを復旧する。この時、重要ファイル属性を有するファイルを優先してリストアする。
S811で、少なくとも重要ファイルが全てリストアされたか否かを判定する。判定結果がNoの場合は、S810の処理で重要ファイルのリストアを続ける。判定結果がYesの場合は、S812に移行する。なお、本ステップは、図4のステップS411に相当する。
S812で、ファイルリストア中フラグを設定してOSを起動する。例えば、管理テーブル300の現在のモード311にリストア中であるフラグのついた「通常モード(リストア中)」を格納する。その後、OSが起動すると、携帯情報端末2は通常モード(図4のS402)に遷移し、通常状態での使用が可能となる。なお、S402では、重要ファイル以外の未リストアのファイルのリストアをバックグラウンド処理によって実行する。
以上に説明したように、本発明の実施形態では、携帯情報端末2は、通常モードから紛失モードに遷移する場合、バックアップされていないデータをクラウドストレージにバックアップし、紛失モードのセキュリティポリシーに従って、記憶装置23に格納されたデータをアクセス不能化し、アクセス不能化したデータを復旧するためのチャンクファイル433aを生成する。このため、紛失時に格納された全てのデータをリストアするより、短い時間で携帯情報端末2のデータを復旧できる。
また、携帯情報端末2は、次のバックアップタイミングにおけるデータバックアップ処理及びデータをアクセス不能化する処理に必要な電力がバッテリ27に残っていない場合には緊急モードに遷移し、バックアップされていないデータをクラウドストレージにバックアップせずに、緊急モードのセキュリティポリシーに従って、記憶装置23に格納されたデータをアクセス不能化し、アクセス不能化したデータを復旧するためのチャンクファイル433aを生成する。このため、通常の手順でデータを保全できない場合でも、最低限のセキュリティを確保できる。
また、携帯情報端末2は、通常モードから紛失モード又は緊急モードに遷移する場合、携帯情報端末2の起動時に非常用BOOTプログラム922が実行されるようにGPTを更新するので、紛失モード及び緊急モードでは、ユーザデータやアプリケーションにアクセスできず、高いセキュリティを確保できる。
また、携帯情報端末2は、通常モードから紛失モード又は緊急モードに遷移する場合、アクセス不能化されたデータが格納されている以外の領域を論理ボリューム910bとして提供するので、紛失モード及び緊急モード中はアクセス不能化されたデータへの不正なアクセスから保護できる。また、紛失モード及び緊急モードへ中もアクセス不能化されたデータがそのまま保持されるので、リストア時にアクセス不能化されたデータが利用でき、リストア時間を短縮できる。
また、携帯情報端末2は、通常モードから紛失モード又は緊急モードに遷移する場合、記憶装置23に格納されたファイルの一部のブロックを部分的に削除し、他のブロックを記憶装置23に残すので、リストア時に記憶領域に残されたデータが利用でき、リストア時間を短縮できる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
1:情報システム、2:携帯情報端末、3:クラウドネットワーク環境、4:物理計算機、40:セキュリティ管理プログラム、300:管理テーブル、431:緊急モード用暗号鍵バックアップ、433:情報端末バックアップデータ、900:論理記憶領域、901:GPT

Claims (11)

  1. バックアップデータを格納する計算機と接続される端末であって、
    プログラムを実行するプロセッサと、
    前記プロセッサに接続された記憶デバイスと、
    前記プロセッサに接続された通信インターフェースとを備え、
    前記端末は、通常の動作モードと、第1のセキュリティポリシーに従う第1の動作モードとで動作可能であって、
    前記通常の動作モードにおいて、前記プロセッサは、所定のタイミングで、前記記憶デバイスに格納されたデータを前記計算機にバックアップし、
    前記プロセッサは、前記通常の動作モードから他の動作モードへ遷移する条件を満たすか否かを判定し、
    前記第1の動作モードに遷移する場合、前記プロセッサは、バックアップされていないデータを前記計算機にバックアップし、前記第1のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成することを特徴とする端末。
  2. 請求項1に記載の端末であって、
    前記端末の各部に電源を供給する電池を備え、
    前記端末は、前記通常の動作モード及び前記第1の動作モードの他に、第2のセキュリティポリシーに従う第2の動作モードで動作可能であって、
    前記プロセッサは、次のバックアップタイミングにおけるデータのバックアップ処理及び前記アクセス不能化する処理に必要な電力が前記電池に残っていない場合、前記第2の動作モードに遷移すると判定し、
    前記第2の動作モードに遷移する場合、前記プロセッサは、バックアップされていないデータを前記計算機にバックアップせずに、前記第2のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成することを特徴とする端末。
  3. 請求項1又は2に記載の端末であって、
    前記プロセッサは、前記通常の動作モードから前記他の動作モードに遷移する場合、前記端末の起動時に実行されるプログラムを変更するための情報を前記記憶デバイスに記録することを特徴とする端末。
  4. 請求項1又は2に記載の端末であって、
    前記プロセッサは、前記通常の動作モードから前記他の動作モードに遷移する場合、前記アクセス不能化されたデータが格納されている以外の未使用領域を使用可能な領域として提供することを特徴とする端末。
  5. 請求項1又は2に記載の端末であって、
    前記プロセッサは、前記通常の動作モードから前記他の動作モードに遷移する場合、前記端末に格納されたファイルの一部のデータを無効化して、データをアクセス不能化することを特徴とする端末。
  6. バックアップデータを格納する計算機と接続される端末におけるデータを保全する方法であって、
    前記端末は、プログラムを実行するプロセッサと、前記プロセッサに接続された記憶デバイスと、前記プロセッサに接続された通信インターフェースとを有し、
    前記端末は、通常の動作モードと、第1のセキュリティポリシーに従う第1の動作モードとで動作可能であって、
    前記方法は、
    前記通常の動作モードにおいて、前記プロセッサが、所定のタイミングで、前記記憶デバイスに格納されたデータを前記計算機にバックアップする第1のステップと、
    前記プロセッサが、前記通常の動作モードから他の動作モードへ遷移する条件を満たすか否かを判定する第2のステップと、
    前記第1の動作モードに遷移する場合、前記プロセッサが、バックアップされていないデータを前記計算機にバックアップし、前記第1のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成する第3のステップとを含むことを特徴とする方法。
  7. 請求項6に記載の方法であって、
    前記端末は、前記端末の各部に電源を供給する電池を有し、
    前記端末は、前記通常の動作モード及び前記第1の動作モードの他に、第2のセキュリティポリシーに従う第2の動作モードで動作可能であって、
    前記第2のステップでは、前記プロセッサが、次のバックアップタイミングにおけるデータのバックアップ処理及び前記アクセス不能化する処理に必要な電力が前記電池に残っていない場合、前記第2の動作モードに遷移すると判定し、
    前記方法は、前記第2の動作モードに遷移する場合、前記プロセッサが、バックアップされていないデータを前記計算機にバックアップせずに、前記第2のセキュリティポリシーに従って、前記記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成するステップを含むことを特徴とする方法。
  8. 請求項6又は7に記載の方法であって、
    前記プロセッサが、前記通常の動作モードから前記他の動作モードに遷移する場合、前記端末の起動時に実行されるプログラムを変更するための情報を前記記憶デバイスに記録するステップを含むことを特徴とする方法。
  9. 請求項6又は7に記載の方法であって、
    前記プロセッサが、前記通常の動作モードから前記他の動作モードに遷移する場合、前記アクセス不能化されたデータが格納されている以外の未使用領域を使用可能な領域として提供するステップを含むことを特徴とする方法。
  10. 請求項6に記載の方法であって、
    前記第3のステップでは、前記通常の動作モードから前記他の動作モードに遷移する場合、前記プロセッサが、前記端末に格納されたファイルの一部のデータを無効化して、データをアクセス不能化することを特徴とする方法。
  11. 計算機と、前記計算機と接続される端末とを備えるデータ保全システムであって、
    前記計算機は、プログラムを実行する第1のプロセッサと、前記第1のプロセッサに接続された第1の記憶デバイスと、前記第1のプロセッサに接続された第1の通信インターフェースとを有し、
    前記端末は、プログラムを実行する第2のプロセッサと、前記第2のプロセッサに接続された第2の記憶デバイスと、前記第2のプロセッサに接続された第2の通信インターフェースとを有し、
    前記端末は、通常の動作モードと、第1のセキュリティポリシーに従う第1の動作モードとで動作可能であって、
    前記通常の動作モードにおいて、前記第2のプロセッサは、所定のタイミングで、前記第2の記憶デバイスに格納されたデータを前記計算機にバックアップし、
    前記第2のプロセッサは、前記通常の動作モードから他の動作モードへ遷移する条件を満たすか否かを判定し、
    前記第1の動作モードに遷移する場合、前記第2のプロセッサは、バックアップされていないデータを前記計算機にバックアップし、前記第1のセキュリティポリシーに従って、前記第2の記憶デバイスに格納されたデータをアクセス不能化し、前記アクセス不能化したデータを復旧するためのデータを生成することを特徴とするデータ保全システム。
JP2017185202A 2017-09-26 2017-09-26 端末、データを保全する方法、及びデータ保全システム Pending JP2019061469A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017185202A JP2019061469A (ja) 2017-09-26 2017-09-26 端末、データを保全する方法、及びデータ保全システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017185202A JP2019061469A (ja) 2017-09-26 2017-09-26 端末、データを保全する方法、及びデータ保全システム

Publications (1)

Publication Number Publication Date
JP2019061469A true JP2019061469A (ja) 2019-04-18

Family

ID=66177488

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017185202A Pending JP2019061469A (ja) 2017-09-26 2017-09-26 端末、データを保全する方法、及びデータ保全システム

Country Status (1)

Country Link
JP (1) JP2019061469A (ja)

Similar Documents

Publication Publication Date Title
US20170206353A1 (en) Method and system for preventing malicious alteration of data in computer system
US10204235B2 (en) Content item encryption on mobile devices
EP3161645B1 (en) Fast data protection using dual file systems
CA2732831C (en) Secure computing environment using a client heartbeat to address theft and unauthorized access
US8539572B2 (en) System and method for secure usage of peripheral devices using shared secrets
US7421589B2 (en) System and method for lost data destruction of electronic data stored on a portable electronic device using a security interval
JP5020857B2 (ja) 計算機システム及び端末
US20150081644A1 (en) Method and system for backing up and restoring a virtual file system
EP2474932A1 (en) Efficient volume encryption
CN106991321B (zh) 多容器系统中无痕运行应用程序的方法及装置
JP5895523B2 (ja) 情報処理装置及びデータ管理方法
US10768941B2 (en) Operating system management
US11341230B1 (en) Maintaining dual-party authentication requirements for data retention compliance
JP2010213104A (ja) コンテンツ処理装置、コンテンツ処理システム、およびコンテンツ処理プログラム
US10503920B2 (en) Methods and systems for management of data stored in discrete data containers
US20160179624A1 (en) Expedited Device Backup, Wipe, and Enrollment
WO2016018217A1 (en) Location-locked data
JP4044126B1 (ja) 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム
JP2008305287A (ja) ユーザ操作端末の記憶装置情報制御方式
JPWO2013054584A1 (ja) セキュリティレベルを維持するために情報を削除する方法、システム、仲介サーバ、クライアント及びコンピュータプログラム
JP2019061469A (ja) 端末、データを保全する方法、及びデータ保全システム
JP5528198B2 (ja) 情報処理装置及びプログラム
JP2008507774A (ja) ポータブル電子装置に記憶されている電子データの失われたデータ破壊に対するシステム及び方法
US10999310B2 (en) Endpoint security client embedded in storage drive firmware
JP2003256287A (ja) モバイル端末管理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200611

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210406

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20211012