JP2024022079A - 情報処理装置および情報処理装置の制御方法 - Google Patents
情報処理装置および情報処理装置の制御方法 Download PDFInfo
- Publication number
- JP2024022079A JP2024022079A JP2022125414A JP2022125414A JP2024022079A JP 2024022079 A JP2024022079 A JP 2024022079A JP 2022125414 A JP2022125414 A JP 2022125414A JP 2022125414 A JP2022125414 A JP 2022125414A JP 2024022079 A JP2024022079 A JP 2024022079A
- Authority
- JP
- Japan
- Prior art keywords
- area
- encryption key
- data
- information
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000005192 partition Methods 0.000 claims abstract description 135
- 238000012545 processing Methods 0.000 claims abstract description 22
- 238000003860 storage Methods 0.000 claims description 43
- 239000004065 semiconductor Substances 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 62
- 238000013500 data storage Methods 0.000 description 26
- 238000012217 deletion Methods 0.000 description 12
- 230000037430 deletion Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】暗号鍵を複数のパーティションで共通化する構成において、特定のパーティションの暗号データを復号できない状態にし、他のパーティションの暗号データを復号できる状態を維持することが可能となる情報処理装置及びその制御方法を提供する。【解決手段】複数のパーティションでデータを記憶する際や読み出す際に用いる暗号鍵を共通にする構成の情報処理装置において、情報処理装置のCPUは、第1領域に記憶された暗号データをデータ処理できない状態にする指示に基づいて、消去手段によって共通の暗号鍵を消去せずに、管理手段によって、前記第1領域に対応する管理情報レコードを示す第1情報を消去する。【選択図】図5
Description
本発明は、情報処理装置および情報処理装置の制御方法に関する。
近年の情報処理装置は、多くの場合、HDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)といった大容量の記憶装置を備えている。これらの記憶装置は、例えば、情報処理装置を動作させるファームウェアやアプリケーション、ユーザ毎の個別の設定値、アプリケーションやファームウェアアップデート時のワークといった用途ごとの領域(パーティション)に論理的に分割して利用される。
セキュリティの観点から、パーティションは、用途に応じてデータを読み出せなくする機能が求められる。一般的に、パーティション毎に適切なファイルシステムを介して管理されるため、データを読み出せなくする方法として、パーティションに対するフォーマット処理(Linux(登録商標)における“mkfs”)がある。
HDDやSSDは、通常着脱可能であるため、持ち出された場合のリスクに備えて、装置全体またはパーティション毎にデータを暗号化するケースがある。そしてセキュリティの観点からHDDやSSDに記憶した暗号データを無効化するケースがある。無効化する方法として、例えば、特許文献1のようにHDDの暗号化チップを破棄したりすることで暗号データを復号不能にすることでデータを無効化する方法がある。また、暗号鍵が破棄されることによって、暗号データを復号不能にし、データを無効化する方法がある。
複数のパーティションの各々で記憶するデータを暗号化する構成において各々のパーティションに対応して鍵情報を持たせると暗号鍵を保持する容量が必要となる。しかしながら、暗号鍵を記憶するメモリには、その他のプログラムも格納されており、充分な容量を確保することが出来ない場合がある。
そこで暗号鍵を保持するための容量を削減するために、複数のパーティションでデータを記憶する際や読み出す際に用いる暗号鍵を共通にする構成が存在する。
このような構成において、例えば、特定のパーティションのデータを無効化する場合には、データを暗号化するために用いた暗号鍵を破棄してしまうと、暗号鍵を共通化していたパーティションの暗号データを復号できなくなってしまう。
本発明は、暗号鍵を複数のパーティションで共通化する構成において、特定のパーティションの暗号データを復号できない状態にし、他のパーティションの暗号データを復号できる状態を維持することを目的とする。
本発明は、情報処理装置であって、暗号鍵に基づいてデータの暗号化又は復号化のデータ処理を行うデータ処理手段と、記憶領域が複数のパーティション領域に分割され、前記複数のパーティション領域に少なくとも第1領域と第2領域を含む不揮発性の第1記憶手段と、前記第1領域と前記第2領域に記憶されたデータに前記データ処理を行う際に用いる共通の暗号鍵を記憶する第2記憶手段と、前記複数のパーティション領域のうち第1領域と前記共通の暗号鍵を用いることを示す第1情報を関連付けた管理情報を少なくとも管理する管理手段と、前記第2記憶手段に記憶した暗号鍵を消去する消去手段と、を有し、前記第1領域に記憶された暗号データを前記データ処理できない状態にする指示に基づいて、前記消去手段によって前記共通の暗号鍵を消去せずに前記管理手段によって前記第1情報を消去することを特徴とする。
本発明によれば、暗号鍵を複数のパーティションで共通化した際に、特定のパーティションの暗号データを復号できない状態にし、他のパーティションの暗号データを復号できる状態を維持することが可能となる。
添付図面を参照して本発明の各実施例を詳しく説明する。なお、以下の実施例は特許請求の範囲に係る発明を限定するものではなく、また各実施例で説明されている特徴の組み合わせのすべてが本発明の解決手段に必須のものとは限らない。本実施形態では、情報処理装置の一例として画像形成装置を用いて説明するがこれに限らない。
(実施例1)
<装置の説明>
図1は、情報処理装置100のハードウェア構成図の一例である。
<装置の説明>
図1は、情報処理装置100のハードウェア構成図の一例である。
CPU210を含む制御部200は、情報処理装置100全体の動作を制御する。CPU210は、SSD218に記憶された制御プログラムを読み出して読取制御や印刷制御、ファームアップデート制御などの各種制御処理を実行する。
また、SSD218は、ワークエリア、またユーザデータ領域としても用いられる。なおここでは例として、不揮発性の半導体記憶装置であるSSDを挙げたが、例えば、不揮発性の半導体記憶装置であるEMMCや不揮発性の磁気記憶装置であるHDDであってもよい。
ROM291は、リードオンリーメモリで、情報処理装置100のBIOS、固定パラメータ等を格納している。また、ROM291は、後述のSSD218の各パーティションを暗号化するための暗号鍵292と、暗号鍵292のバックアップ暗号鍵293とパーティションと暗号鍵の管理情報テーブル400も格納している。暗号鍵292は、例えば、ファームの暗号化に用いるファーム用暗号鍵、画像データの暗号化に用いる画像データ用暗号鍵、設定データの暗号化に用いる設定データ用暗号鍵、ワーク領域に格納するデータの暗号化に用いるワーク用暗号鍵を含む。
RAM212は、CPU210の主メモリ、ワークエリア等の一時記憶領域として用いられる。SRAM213は、不揮発メモリであり、情報処理装置100で必要となる設定値や画像調整値などを記憶しており、電源を再投入してもデータが消えないようになっている。SSD218は、ファームアップデート用のファイル格納領域を備え、画像データやユーザデータ等も記憶する。
操作部I/F215は、操作部220と制御部200とを接続する。操作部220には、タッチパネル機能を有する液晶表示部やキーボードなどが備えられている。プリンタI/F216は、プリンタエンジン221と制御部200とを接続する。プリンタエンジン221内に含む図示しないROMにはプリンタエンジンファーム231が格納されている。
プリンタエンジン221で印刷すべき画像データはプリンタI/F216を介して制御部200からプリンタエンジン221に転送され、プリンタエンジン221において記録媒体上に印刷される。スキャナI/F217は、スキャナエンジン222と制御部200とを接続する。スキャナエンジン222内に含む図示しないROMにはスキャナエンジンファーム232が格納されている。スキャナエンジン222は、原稿上の画像を読み取って画像データを生成し、スキャナI/F217を介して制御部200に入力する。
NIC(ネットワークI/Fカード)214は、制御部200(情報処理装置100)をLAN110に接続する。NIC214は、LAN110上の外部装置(例えば、外部サーバ250やPC260)に画像データや情報を送信したり、逆にアップデートファームや各種情報を受信したりする。外部サーバ250はインターネット上に存在するケースもある。PC260上に存在する図示しないWebブラウザから情報処理装置100の操作を行うこともある。Chipset211はある一連の関連のある複数の集積回路のことを示す。RTC270はRealTimeClock(リアルタイムクロック)であり、計時専用のチップである。
外部電源240はSSD218に格納される制御プログラムからの指示により電源の供給を断つが、外部電源240が接続されていなくとも、図示しない内蔵電池から電源供給を受けるため、スリープ時も動作することができる。これにより、Chipset211に対して一部の電源供給が行われる状態に置いては、スリープからの復帰が実現できる。
逆に、Chipset211に電源供給がまったく行われないシャットダウン状態の場合には、RTC270は動作することができない。CPU281はEmbedded Controller280のソフトウェアプログラムを実行し、情報処理装置100の中で一部の制御を行う。RAM282はランダムアクセスメモリで、CPU281が情報処理装置100を制御する際に、プログラムや一時的なデータの格納などに使用される。LED290は必要に応じて点灯し、ソフトウェアやハードウェアの異常を外部に伝えるために利用される。
<パーティション構成>
図2は情報処理装置100が有するSSD218内のシステム領域300のパーティション構成図の一例である。
図2は情報処理装置100が有するSSD218内のシステム領域300のパーティション構成図の一例である。
パーティションとは、SSD218の記憶領域を用途に応じて分割される単位であり、ファイルシステムによって管理される。それぞれのパーティションは、パーティション番号やパーティションサイズを有し、それぞれ個別に制御可能である。
通常ファーム格納領域301は、制御部200のCPU210が実行する通常のソフトウェアプログラムを格納する。通常のソフトウェアプログラムは、複合機としてユーザのジョブを受け付け実行する。アップデートファーム格納領域302は、制御部200のCPU210が実行するアップデート用のソフトウェアプログラムを格納する。
アップデート用のソフトウェアプログラムは、通常ファーム格納領域301のアップデートをおこなう。画像格納領域303は、情報処理装置100が圧縮された画像を展開する等、一時的に使用するデータを格納する。アプリケーションデータ格納領域304は、設置後にユーザがインストールして利用可能であるアプリケーションとその設定値を保持する。ユーザデータ格納領域305は、ユーザが変更可能な設定値を格納する。アップデートワーク領域306は、アップデート不具合発生時のロールバックに備えたバックアップデータを保持する等、通常ファーム格納領域301に格納されたソフトウェアプログラムをアップデートする際のワーク領域に用いる。なお、ここでは、6種類のパーティションを例として挙げたがこれに限らない。
<パーティションと暗号鍵の管理情報>
図3は情報処理装置100が有するSSD218内のシステム領域300の各パーティション領域(以下、パーティション)に記憶するデータのデータ処理に用いる暗号鍵の管理情報テーブルの一例であり、管理情報テーブル400はROM291に格納される。管理情報テーブル400は、複数の管理情報レコードを有する。管理情報レコードは、図2に示したパーティション番号とパーティション番号のパーティションに記憶するデータの暗号化/復号化のデータ処理に用いられる暗号鍵へのリンクを含む。
図3は情報処理装置100が有するSSD218内のシステム領域300の各パーティション領域(以下、パーティション)に記憶するデータのデータ処理に用いる暗号鍵の管理情報テーブルの一例であり、管理情報テーブル400はROM291に格納される。管理情報テーブル400は、複数の管理情報レコードを有する。管理情報レコードは、図2に示したパーティション番号とパーティション番号のパーティションに記憶するデータの暗号化/復号化のデータ処理に用いられる暗号鍵へのリンクを含む。
管理情報テーブル400は、通常ファーム格納領域301とアップデートファーム格納領域302をパーティショングループとして構成し、共通のファーム用暗号鍵で暗号化している。さらに、管理情報テーブル400は、アプリケーションデータ格納領域304とユーザデータ格納領域305をパーティショングループとして構成し、共通の設定データ用暗号鍵で暗号化している。また、画像格納領域303は、画像データ用暗号鍵で暗号化している。アップデートワーク領域306は、ワーク用暗号鍵で暗号化している。
管理情報レコード401は、通常ファーム格納領域301を指し示すパーティション番号1をファーム用暗号鍵で暗号化することを示す。なお、図3において、パーティション番号と暗号鍵の名称を管理情報レコードと表現するが、具体的な管理情報レコードは、パーティション番号に関連付けて暗闘鍵へのアクセスリンクが設定される構成である。
管理情報レコード402は、アップデートファーム格納領域302を指し示すパーティション番号2を、管理情報レコード401同様にファーム用暗号鍵で暗号化することを示す。管理情報レコード403は、画像格納領域303を指し示すパーティション番号3を画像データ用暗号鍵で暗号化することを示す。
管理情報レコード404は、アプリケーションデータ格納領域304を指し示すパーティション番号4を設定データ用暗号鍵で暗号化することを示す。管理情報レコード405は、ユーザデータ格納領域305を指し示すパーティション番号5を、管理情報レコード404同様に設定データ用暗号鍵で暗号化することを示す。管理情報レコード406は、アップデートワーク領域306を指し示すパーティション番号6をワーク用暗号鍵で暗号化することを示す。なお、管理情報テーブル400は、書き換え可能である。
図4は、情報処理装置100の制御部200で実行され、MFPの制御を行なうコントローラソフトの構成図である。
コントローラソフトはMFP独自のエンジン制御や画像処理、ジョブ制御を実現するコントローラアプリ部分と、それ以外のオペレーティングシステム(以下OSと略する)380から構成されている。OS380は、システム制御のコアとなるカーネルと、各種ハードウェアを制御しコントローラソフトに対して各種基本サービスを提供する。
OS380は、ストレージの暗号化を担う暗号処理部382、および各デバイス特有の制御を担うデバイスドライバ383から構成される。ストレージドライバ384は、ストレージのデータの読み書きを実現するデバイスドライバであり、SSD218やROM291に対するコマンドを送出する。暗号処理部382は、ストレージドライバ384を介して、ROM291に含まれる暗号鍵292及び、暗号鍵292のバックアップであるバックアップ暗号鍵293を取得する。そして取得した暗号鍵を用いて、SSD218内のシステム領域300の各パーティションを復号化する。これにより各パーティションのデータを読み書きできる。
BIOS370は、OS380と同様に暗号処理部371、ストレージドライバ372から構成される。OS380は、SSD218内の通常ファーム格納領域301に通常のソフトウェアプログラムの一部、もしくはアップデートファーム格納領域302にアップデート用のソフトウェアプログラムの一部として含まれる。そのため、システム起動時は、最初にROM291に格納されたBIOS370が動作し、暗号処理部371がストレージドライバ372を介して、暗号鍵292を取得し、SSD218内のシステム領域300の通常ファーム格納領域301を復号化する。BIOS370から正常に読み出された通常のソフトウェアプログラムは、他のパーティションを復号化する。
UI制御アプリケーション350は、操作部220の画面表示や入力受付を行なう。UI制御アプリケーション350は、操作部220やリモートユーザインタフェースを介してユーザからのパーティションを指定したデータ無効化要求も受け付ける。コントローラAPI360は、MFP全体の制御受付および状態通知を外部と行なうためのAPI層であり、上位層のアプリケーション層、動作指示を受け付け、下位層のジョブ、デバイス制御モジュールに動作指示を行なう。また、コントローラAPI360は、下位層のジョブ、デバイスから発生する状態変化の通知を行なう。データ無効アプリケーション351は、コントローラAPI360を介してUI制御アプリケーション350からのデータ無効化要求を受け付ける。
デバイス制御アプリケーション352は、各アプリケーションからのデバイス操作要求を受け付け、デバイスドライバ383を介して各種ハードウェアを動作させる。例えば、デバイス制御アプリケーション352は、UI制御アプリケーションからの操作部表示要求を受けて、操作部220の制御をおこなう。また、コピージョブが発生した際、デバイス制御アプリケーション352は、デバイスドライバ383を介してスキャナエンジン222、プリンタエンジン221への動作指示を行う。
図5は、データ無効化要求を受けた際の制御フローチャートである。本フローチャートは、CPU210が各アプリケーションを実行することによって実現する。
S501においてUI制御アプリケーション350は、ユーザからのデータ無効化要求を待つ。UI制御アプリケーション350は、S501においてユーザからあるパーティションに対するデータ無効化要求を受け付けるとデータ無効アプリケーション351にデータ無効化要求を通知する。
S502において通知を受け付けたデータ無効アプリケーション351は、データ無効化要求のあったパーティションが他のパーティションと暗号鍵が共通であるか否かを判定する。なお、共通とは、同じ暗号鍵が関連付けられていることを示す。また、データ無効化要求は、例えば、ユーザが、機器設定画面からデータの無効化をしたいパーティションを選択し、データ無効化指示を出すことによって出力される。なお、無効化とは、読み出した暗号データを復号できないことをいう。復号できない状況を作ることによって、ユーザは、読み出したデータを有効なデータ(理解できるデータ)として活用できない状況となる。
S502がYesの場合(暗号鍵が共通している場合)、データ無効アプリケーション351は、パーティションをグループとして管理する構成であると判断し、確認結果をUI制御アプリケーション350に通知する。
S503において、データ無効アプリケーション351の確認結果を受けたUI制御アプリケーション350は、無効化方法の選択画面(図6)を表示する。図6の詳細な説明は後述する。次にS504において、UI制御アプリケーション350は、データ無効化の対象を指定のパーティションのみとするか否かのユーザの選択を確認する。
S504がYesの場合(指定のパーティションのみ無効化が選択された場合)、S505において、データ無効アプリケーション351は、指定のパーティションに対応する管理情報レコードをクリアする。つまり、指定のパーティションと指定のパーティションに対応する暗号鍵の紐づけである管理情報レコードをクリアし、使用していた暗号鍵は消去しない。具体的には、例えば、図3の管理情報レコード404をクリアし、設定データ用暗号鍵は削除しない。なお、「クリア」の例は、後述の図7で説明する。
S502の説明に戻る。S502がNo(共通していない)の場合、パーティションをグループとして管理する構成でないと判断し、S507に進む。S507において、データ無効アプリケーション351は、指定のパーティションと関係づけられた暗号鍵を削除する。さらに、データ無効アプリケーション351は、指定のパーティションに対応する管理情報レコードをクリアする(例えば、図3の管理情報レコード405のみをクリアし、且つ、設定データ用暗号鍵を削除する。)。
また、S504がNOの場合(関連する領域も無効化)、データ無効アプリケーション351は、無効化の対象が指定のパーティションだけでなく関連パーティションも含むと判断し、S506に進む。
S506において、データ無効アプリケーション351は、指定のパーティションと関係づけられた暗号鍵(指定のパーティションを含むパーティショングループで使用する暗号鍵)を削除する。さらに、データ無効アプリケーション351は、指定のパーティションを含むパーティショングループに対応する管理情報レコードをクリアする(例えば、図3の管理情報レコード404,405をクリアし、且つ、設定データ用暗号鍵を削除する。)。
なお、ここでは管理情報レコードをクリアする例を示したが、削除してもよい。削除の場合には、管理情報テーブルから、パーティション番号を含めて削除する。ただし、削除の場合には、改めてあるパーティションに暗号鍵を設定した際に、パーティション番号と暗号鍵の両方を管理情報テーブルに追加することになる。
図6は、データ無効化方法の選択画面の一例である。
選択画面600は、指定した領域に記憶された暗号データを削除するための選択ボタン601と、関連する領域に記憶された暗号データも削除するための選択ボタン602を含む。前述したS504において選択ボタン601が選択されると、S505に遷移する。S504において選択ボタン602が選択されると、S506に遷移する。
次に図6が操作された際の具体的なCPU201の処理について説明する。
UI制御アプリケーション350は、パーティションのデータ無効化を実施可能なユーザメニューを提供する。UI制御アプリケーション350は、例えば、ユーザからアプリケーションデータ格納領域304のデータ無効化要求を受けると、データ無効アプリケーション351に通知する。データ無効アプリケーション351は、無効化要求のあったパーティション番号と関連する暗号鍵が共通しているパーティションを管理情報テーブル400から割り出す。具体的には、管理情報レコード404と管理情報レコード405から、設定データ用暗号鍵をアプリケーションデータ格納領域304とユーザデータ格納領域305で共用していることを確認し、UI制御アプリケーション350に応答する。
UI制御アプリケーション350は、指定されたパーティションであるアプリケーションデータ格納領域304と、関連するパーティションとしてユーザデータ格納領域305を表示し、選択ボタン601と選択ボタン602を表示する。
これによりユーザは指定したパーティションと関連するパーティションを確認した上で、適切なデータ無効化方法を選択できる。
図7は、管理情報レコードをクリアした後の管理情報テーブルである。
まず、図7(a)は、図5のS504において指定した領域のみ無効化するための選択ボタン601をユーザが選択した場合における、無効化後の暗号鍵の管理情報テーブルの一例である。
管理情報テーブル700aにおいては、管理情報レコード701、管理情報レコード702、703、706は、それぞれ管理情報レコード401、402、403、406と同内容のレコードである。
管理情報レコード704aは、データ無効化の対象とはならず、結果として管理情報レコード404と同内容となる。
管理情報レコード705は、ユーザデータ格納領域305を指し示すパーティション番号5がデータ無効化対象として選択されたため、対応の暗号鍵(リンク)の情報は消去される。これにより、OS380は、ユーザデータ格納領域305に記憶された暗号化データにアクセスしても、復号化する暗号鍵を読み出すことが出来ないため、復号化することができなくなる。(暗号データが使用できなくなって無効化される)
なお、本実施例においてクリアとは、パーティション番号を残し、対応の暗号鍵(リンク)の情報を消去することを示す。
なお、本実施例においてクリアとは、パーティション番号を残し、対応の暗号鍵(リンク)の情報を消去することを示す。
まず、図7(b)は、図5のS506において指定した領域を含むパーティショングループをする選択ボタン602をユーザが選択した場合における、無効化後の暗号鍵の管理情報テーブルの一例である。ここでは、図7(a)との差分を説明する。
管理情報レコード705は、ユーザデータ格納領域305を指し示すパーティション番号5がデータ無効化対象として選択されたため、対応の暗号鍵(リンク)はクリアされる。同様に、管理情報レコード704bは、ユーザデータ格納領域305のパーティショングループとしてパーティション番号4もデータ無効化対象として選択されたことになり、対応の暗号鍵(リンク)はクリアされる。
これにより、OS380は、ユーザデータ格納領域305、アプリケーションデータ格納領域304に記憶された暗号化データにアクセスしても、復号化する暗号鍵を読み出すことが出来ないため、復号化できなくなる。
以上説明したように、本実施例の構成においても暗号鍵を複数のパーティションで共通化する構成において、特定のパーティションの暗号データを復号できない状態にし、他のパーティションの暗号データを復号できる状態を維持することが可能である。
なお本実施例は、ユーザが特定のパーティションに対するデータ無効化を要求する際に、構成に応じたデータ無効化手段を選択可能となる。これによりユーザは指定したパーティションと関連するパーティションを確認した上で、当初の指定パーティションのみデータ無効化するか、グループパーティションも含めてデータ無効化するか、状況に合わせた適切なデータ無効化方法を選択できる。
(実施例2)
実施例1では管理情報レコードをクリアすることで、暗号データを無効化する例を示した。実施例2では、暗号鍵をバックアップしてから元の暗号鍵を破棄し、無効化対象外のパーティションを改めてバックアップした暗号鍵で暗号化することにより暗号データを無効化する例を示す。
実施例1では管理情報レコードをクリアすることで、暗号データを無効化する例を示した。実施例2では、暗号鍵をバックアップしてから元の暗号鍵を破棄し、無効化対象外のパーティションを改めてバックアップした暗号鍵で暗号化することにより暗号データを無効化する例を示す。
図8は、CPU210による無効化要求時の制御フローチャートである。S501、S502,S507は、図5と同様であるため説明を省略する。
S502がYesの場合(暗号鍵が共通している場合)、データ無効アプリケーション351は、パーティションをグループとして管理する構成であると判断し、S803に遷移する。
S803において、データ無効アプリケーション351は、指定のパーティションと関連する暗号鍵292を、バックアップ暗号鍵293として退避する。
次にS804において、データ無効アプリケーション351は、暗号鍵292をROM291から削除する。これにより、OS380は、アプリケーションデータ格納領域304、ユーザデータ格納領域305に記憶された暗号化データを復号化できない状態となる。
次にS805において、データ無効アプリケーション351は、管理情報テーブル900を更新する。具体的には、指定のパーティション、即ち、本例におけるユーザデータ格納領域305の管理情報レコードを初期化する。さらに、バックアップ暗号鍵293と、指定のパーティション以外のパーティション、即ち、本例におけるアプリケーションデータ格納領域304を関連づける。
なお、図8のフローチャートにおいても、管理情報レコードをクリアした後の管理情報テーブルは、図7と同様になる。
以上説明したように、本実施例においては、パーティションと暗号鍵の管理情報レコードを読み出せなくするだけでなく、暗号鍵のバックアップをとることで配置を変えることになり、暗号化データを復元することをさらに困難にできる。尚、バックアップ暗号鍵293は、暗号鍵292の格納先と同じROM291である例を示したが、BIOS370、OS380が参照可能な他の領域に格納してもよい。
(実施例3)
実施例1および実施例2では、暗号鍵および管理情報レコードをクリアすることで、暗号データを無効化する例を示した。実施例3では、暗号データを削除し、更に管理情報レコードをクリアすることで、暗号データを復号できない状態にする例を示す。
実施例1および実施例2では、暗号鍵および管理情報レコードをクリアすることで、暗号データを無効化する例を示した。実施例3では、暗号データを削除し、更に管理情報レコードをクリアすることで、暗号データを復号できない状態にする例を示す。
図9は、CPU210による無効化要求時の制御フローチャートである。S901においてUI制御アプリケーション350は、ユーザからのデータ消去要求を待つ。UI制御アプリケーション350は、ユーザからあるパーティションに対するデータ消去要求を受け付けるとデータ無効アプリケーション351にデータ消去要求を通知する。S901を終えるとS502に遷移する。
S502がYesの場合(暗号鍵が共通している場合)、データ無効アプリケーション351は、パーティションをグループとして管理する構成であると判断し、確認結果をUI制御アプリケーション350に通知する。
S902において、データ無効アプリケーション351の確認結果を受けたUI制御アプリケーション350は、消去方法の選択画面(図10)を表示する。図10の詳細な説明は後述する。
S903において、YESの場合指定のパーティションのみ無効化が選択された場合)、S904において、指定のパーティションに記憶された暗号データを削除する。例えば、CPU210は、SSD218に対して論理消去のみ又は論理消去とTrimコマンドによる消去を行う。なお、ここではSSDを例としているが、例えば、HDDの場合には、通常の消去または上書き消去を行い、EMMCの場合にはSSDと同様の消去を行う。データの消去処理が行われるとS505に遷移する。S505は、図5と同様であるため説明を省略する。
S502の説明に戻る。S502がNo(共通していない)の場合、パーティションをグループとして管理する構成でないと判断し、S507に進む。
また、S903がNOの場合(関連する領域も消去)にも、データ無効アプリケーション351は、無効化の対象が指定のパーティションだけでなく関連パーティションも含むと判断し、S506に進む。S506とS507は、図5と同様であるため説明を省略する。
図10は、データ消去方法の選択画面の一例である。
選択画面1000は、指定した領域に記憶された暗号データを削除するための選択ボタン1001と、関連する領域に記憶された暗号データも削除するための選択ボタン1002を含む。前述したS903において選択ボタン1001が選択されると、S904に遷移する。S903において選択ボタン1002が選択されると、S905に遷移する。
次に図10が操作された際の具体的なCPU201の処理について説明する。
UI制御アプリケーション350は、パーティションのデータ消去を実施可能なユーザメニューを提供する。UI制御アプリケーション350は、例えば、ユーザからアプリケーションデータ格納領域304のデータ消去要求を受けると、データ無効アプリケーション351に通知する。データ無効アプリケーション351は、消去要求のあったパーティション番号と関連する暗号鍵が共通しているパーティションを管理情報テーブル400から割り出す。具体的には、管理情報レコード404と管理情報レコード405から、設定データ用暗号鍵をアプリケーションデータ格納領域304とユーザデータ格納領域305で共用していることを確認し、UI制御アプリケーション350に応答する。
UI制御アプリケーション350は、指定されたパーティションであるアプリケーションデータ格納領域304と、関連するパーティションとしてユーザデータ格納領域305を表示し、選択ボタン1001と選択ボタン1002を表示する。
これによりユーザは指定したパーティションと関連するパーティションを確認した上で、適切なデータ消去方法を選択できる。
以上説明したように、本実施例の構成においても暗号鍵を複数のパーティションで共通化する構成において、特定のパーティションの暗号データを復号できない状態にし、他のパーティションの暗号データを復号できる状態を維持することが可能である。なお、本実施例の構成では、特定のパーティションの暗号データを消去し、且つ、暗号鍵にアクセスできない状態になる。つまり、特定のパーティションの暗号データを削除することでセキュリティを向上し、仮に削除された暗号データが復旧されても、暗号鍵にアクセス不能であるため復号できない状態となり、セキュリティがより強固となる。
なお、実施例3では、実施例1の変形例を説明したが、実施例2に適用してもよい。
(その他の実施形態)
以上、本発明の様々な例と実施形態を示して説明したが、本発明の趣旨と範囲は、本明細書内の特定の説明に限定されるものではない。
以上、本発明の様々な例と実施形態を示して説明したが、本発明の趣旨と範囲は、本明細書内の特定の説明に限定されるものではない。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
100 情報処理装置
210 CPU
291 ROM
218 SSD
210 CPU
291 ROM
218 SSD
Claims (14)
- 情報処理装置であって、
暗号鍵に基づいてデータの暗号化又は復号化のデータ処理を行うデータ処理手段と、
記憶領域が複数のパーティション領域に分割され、前記複数のパーティション領域に少なくとも第1領域と第2領域を含む不揮発性の第1記憶手段と、
前記第1領域と前記第2領域に記憶されたデータに前記データ処理を行う際に用いる共通の暗号鍵を記憶する第2記憶手段と、
前記複数のパーティション領域のうち第1領域と前記共通の暗号鍵を用いることを示す第1情報を関連付けた管理情報を少なくとも管理する管理手段と、
前記第2記憶手段に記憶した暗号鍵を消去する消去手段と、を有し、
前記第1領域に記憶された暗号データを前記データ処理できない状態にする指示に基づいて、前記消去手段によって前記共通の暗号鍵を消去せずに前記管理手段によって前記第1情報を消去することを特徴とする情報処理装置。 - 前記管理情報は、前記複数のパーティション領域のうち第2領域と前記共通の暗号鍵を用いることを示す第2情報を関連付けた管理情報を管理し、
前記第1領域に記憶された暗号データのみを前記データ処理できない状態にする指示に基づいて、前記消去手段によって前記共通の暗号鍵を消去せず、前記管理手段によって前記第2情報を消去せず且つ前記第1情報を消去することを特徴とする請求項1に記載の情報処理装置。 - 前記管理情報は、前記複数のパーティション領域のうち第2領域と前記共通の暗号鍵を用いることを示す第2情報を関連付けた管理情報を管理し、
前記第1領域に記憶された暗号データおよび前記第1領域と同じ暗号鍵を用いることを示す情報に対応する領域の暗号データを前記データ処理できない状態にする指示に基づいて、前記消去手段によって前記共通の暗号鍵を消去し、前記管理手段によって、前記第1情報および前記第2情報を消去することを特徴とする請求項1に記載の情報処理装置。 - 前記データ処理できない状態にする指示は、前記複数のパーティション領域のうち指定された領域に記憶された暗号データを復号できない状態にする指示であることを特徴とする請求項1に記載の情報処理装置。
- 前記データ処理できない状態にする指示は、前記複数のパーティション領域のうち指定された領域に記憶された暗号データを削除する指示であることを特徴とする請求項1に記載の情報処理装置。
- ユーザの指示を受け付ける操作手段を有し、
前記第1領域に記憶された暗号データを前記データ処理できない状態にする指示に従って、前記複数のパーティション領域に同じ暗号鍵に関連付けられた領域が複数あるか否かを判定する判定手段を有し、
前記操作手段は、
前記同じ暗号鍵に関連付けられた領域が複数ある場合に、前記第1領域に記憶されたデータおよび前記第1領域と同じ暗号鍵を用いることを示す情報に対応する領域のデータを前記データ処理できない状態にする指示と、前記第1領域に記憶されたデータのみを前記データ処理できない状態にする指示と、を選択可能に通知することを特徴とする請求項1に記載の情報処理装置。 - 前記消去手段は、前記第1領域に記憶されたデータのみを前記データ処理できない状態にする指示に基づいて、前記第1領域に記憶された前記暗号データを削除することを特徴とする請求項2に記載の情報処理装置。
- 前記消去手段は、前記第1領域に記憶された暗号データおよび前記第1領域と同じ暗号鍵を用いることを示す情報に対応する領域の暗号データを前記データ処理できない状態にする指示に基づいて、前記第1領域に記憶された前記暗号データおよび前記第2領域に記憶された前記暗号データを削除することを特徴とする請求項2に記載の情報処理装置。
- 前記第1記憶手段は、不揮発性の半導体記憶装置であることを特徴とする請求項1に記載の情報処理装置。
- 前記第1記憶手段は、不揮発性の磁気記憶装置であることを特徴とする請求項1に記載の情報処理装置。
- 前記第1領域は、ユーザデータを記憶する領域であり、前記第2領域は、アプリケーションデータを記憶する領域であることを特徴とする請求項1に記載の情報処理装置。
- 暗号鍵に基づいてデータの暗号化又は復号化のデータ処理を行うデータ処理手段と、記憶領域が複数のパーティション領域に分割され、前記複数のパーティション領域に少なくとも第1領域と第2領域を含む不揮発性の第1記憶手段と、前記第1領域と前記第2領域に記憶されたデータに前記データ処理を行う際に用いる共通の暗号鍵を記憶する第2記憶手段と、前記複数のパーティション領域のうち第1領域と前記共通の暗号鍵を用いることを示す第1情報を関連付けた管理情報を少なくとも管理する管理手段と、暗号鍵を消去する消去手段と、を有する情報処理装置の制御方法であって、
前記第1領域に記憶された暗号データを前記データ処理できない状態にする指示を受け付けるステップと、
前記第1領域に記憶された暗号データを前記データ処理できない状態にする指示に基づいて、前記消去手段によって前記共通の暗号鍵を消去せずに前記管理手段によって前記第1情報を消去するステップと、を有することを特徴とする情報処理装置の制御方法。 - 請求項12に記載の制御方法を、コンピュータに実行させるためのプログラム。
- 請求項13に記載のプログラムを格納したコンピュータで読み取り可能な記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022125414A JP2024022079A (ja) | 2022-08-05 | 2022-08-05 | 情報処理装置および情報処理装置の制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022125414A JP2024022079A (ja) | 2022-08-05 | 2022-08-05 | 情報処理装置および情報処理装置の制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024022079A true JP2024022079A (ja) | 2024-02-16 |
Family
ID=89855180
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022125414A Pending JP2024022079A (ja) | 2022-08-05 | 2022-08-05 | 情報処理装置および情報処理装置の制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2024022079A (ja) |
-
2022
- 2022-08-05 JP JP2022125414A patent/JP2024022079A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8631203B2 (en) | Management of external memory functioning as virtual cache | |
JP2006127106A (ja) | ストレージシステム及びその制御方法 | |
JP6875808B2 (ja) | 情報処理装置 | |
JP2015029191A (ja) | 画像形成装置、画像形成装置の制御方法、及びプログラム | |
JP2012018501A (ja) | 情報処理装置、情報処理装置の制御方法、プログラム | |
JP2017027244A (ja) | 情報処理装置と、前記情報処理装置による不揮発記憶装置の初期化方法、及びプログラム | |
JP2015141603A (ja) | 画像処理装置およびその制御方法、並びにプログラム | |
JP2007265492A (ja) | データ消去機能付きディスク装置 | |
JP4962727B2 (ja) | データ保存装置 | |
JP5658574B2 (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
JP2024022079A (ja) | 情報処理装置および情報処理装置の制御方法 | |
JP2008146514A (ja) | 情報処理装置、情報処理装置の制御方法、および情報処理装置の制御プログラム | |
JP2014106918A (ja) | 情報処理装置及びその制御方法とプログラム | |
JP2010009553A (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
JP5871497B2 (ja) | 情報処理装置、データ消去管理方法およびコンピュータプログラム | |
JP2008077600A (ja) | シンクライアント、シンクライアントシステム、及びプログラム | |
JP2019191910A (ja) | メモリコントローラ、不揮発性記憶装置、不揮発性記憶システム、及びメモリ制御方法 | |
JP7401215B2 (ja) | 情報処理装置、その制御方法およびプログラム | |
JP5133230B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
JP2018063676A (ja) | 情報処理装置及びその制御方法、並びにプログラム | |
JP2008059388A (ja) | 情報処理装置および情報処理装置に適用されるハードディスクのデータ消去方法 | |
JP2005313568A (ja) | 印刷装置、印刷装置におけるデータの消去方法およびプログラムならびに記録媒体 | |
JP2024024444A (ja) | 印刷装置、印刷装置の制御方法、プログラム | |
JP2002351723A (ja) | 耐ウィルスコンピュータシステム | |
JP4434310B2 (ja) | ジョブ処理装置及び該装置の制御方法及び制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20231213 |