JP4493677B2 - Terminal data erasure management method and program. - Google Patents

Terminal data erasure management method and program. Download PDF

Info

Publication number
JP4493677B2
JP4493677B2 JP2007073177A JP2007073177A JP4493677B2 JP 4493677 B2 JP4493677 B2 JP 4493677B2 JP 2007073177 A JP2007073177 A JP 2007073177A JP 2007073177 A JP2007073177 A JP 2007073177A JP 4493677 B2 JP4493677 B2 JP 4493677B2
Authority
JP
Japan
Prior art keywords
erasure
terminal
management
data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2007073177A
Other languages
Japanese (ja)
Other versions
JP2007183992A (en
Inventor
仁志 熊谷
隆志 西出
建樹 原田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2007073177A priority Critical patent/JP4493677B2/en
Publication of JP2007183992A publication Critical patent/JP2007183992A/en
Application granted granted Critical
Publication of JP4493677B2 publication Critical patent/JP4493677B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、コンピュータにおけるデータ消去処理の管理を行う方法等に関するものである。   The present invention relates to a method for managing data erasure processing in a computer.

各企業において、新規コンピュータの購入に伴い、旧コンピュータについて処分業者を通じて廃棄処分する場合や、リースしていたコンピュータのリース会社への返却等を行う場合において、前記旧コンピュータ等のハードディスク装置内に企業のデータが格納されたまま、前記処分業者又はリース会社への引渡し等が行われることがある。このような場合に、前記コンピュータ自体や前記ハードディスク装置等が処分業者を通じて中古市場に出回ることや、前記リース会社が前記コンピュータをリース商品として再利用し、他の企業にリースすることにより、前記コンピュータ内に格納された企業データから、当該企業の機密情報が漏洩する危険性が存在している。   When a company purchases a new computer and disposes of the old computer through a disposal company or returns the leased computer to the leasing company, the company stores the old computer in the hard disk device of the old computer or the like. In some cases, delivery to the disposer or the leasing company may be performed while the data is stored. In such a case, the computer itself, the hard disk device, etc. are put on the secondhand market through a disposal company, or the leasing company reuses the computer as a leased product and leases it to another company. There is a risk that confidential information of the company will be leaked from the company data stored inside.

そのため、コンピュータを前記処分業者やリース会社に引渡す前に、企業において機密データを消去したり、リース会社において回収したコンピュータを再利用の前に初期化したりしている。
この場合、通常のデータ消去方法では、ハードディスク装置内の残留磁気等からデータを復元することができる場合もあるため、データを完全に消去する種々の方法が考えられている。ここで、データの完全消去方法としては、全ての情報の上に「ゼロ」を上書きする方式や、、乱数を複数回上書きする方式等、複数の方式が提唱されており、これらのデータ消去方法を用いることで第三者によるデータの復元等による機密情報の漏洩を防止することが可能となっている。
関連する従来技術として下記の特許文献1に開示されたものがある。
特開平10−177525号 For this reason, before the computer is delivered to the disposal company or the leasing company, confidential data is erased by the company, or the computer collected by the leasing company is initialized before reuse.
In this case, in the normal data erasing method, there are cases where data can be restored from the residual magnetism in the hard disk device, and various methods for completely erasing the data have been considered. Here, as a method of completely erasing data, a plurality of methods such as a method of overwriting all data with "zero" and a method of overwriting a random number multiple times have been proposed. It is possible to prevent leakage of confidential information due to data restoration by a third party.
A related prior art is disclosed in Patent Document 1 below.
JP-A-10-177525

しかし、前述のようなデータ消去方法により、データを復元不可能とすることはできるものの、例えば、リース会社にデータ消去処理を任せる場合には、各企業が、当該リース会社においてデータ消去処理がされたか否かを、実際に確認することはできなかった。また、企業内において、処分業者やリース会社への引渡し前にデータの消去処理を行う場合には、企業内管理者等によりデータの消去が行われたか否かを確認することも可能ではあるが、全ての端末について確認を行うのは、多大な時間と労力を必要とすることとなり、実際上はそのような確認作業は行われていないことも多かった。   However, although it is possible to make the data unrecoverable by the data erasing method as described above, for example, when the data erasure processing is entrusted to the leasing company, each company performs the data erasure processing at the leasing company. It was not possible to actually confirm whether or not. In addition, when deleting data before delivery to a disposal company or leasing company within a company, it is possible to confirm whether or not the data has been deleted by an in-company administrator or the like. In order to confirm all terminals, a great deal of time and labor are required, and in practice, such confirmation work is often not performed.

従って、企業内における消去処理の担当者の不注意等により、各端末についてデータ消去が行われないまま、処分業者やリース会社への引渡しが行われることもあり、また、リース会社においてもデータ消去処理を行われなかった場合には、企業データを有するコンピュータが、中古市場等で流通される場合や他企業へリースされる場合が発生し、その端末から元所有者である企業の機密情報が漏洩する危険性が存在していた。   Therefore, due to carelessness of the person in charge of erasure processing within the company, data may not be erased for each terminal, but it may be handed over to a disposal contractor or a leasing company. If processing is not performed, computers with company data may be distributed in the secondhand market or leased to other companies, and confidential information of the company that is the original owner may be obtained from the terminal. There was a risk of leakage.

本発明は、上記課題を解決するためのもので、コンピュータのデータ消去処理管理において、実際にデータ消去処理が行われたか否かについての確認を容易かつ確実に行うことのできるデータ消去管理方法を提供するものである。   SUMMARY OF THE INVENTION The present invention is to solve the above problems, and in a data erasure processing management of a computer, a data erasure management method capable of easily and surely confirming whether or not data erasure processing has actually been performed. It is to provide.

本発明のデータ消去管理方法は、管理対象となる端末の記憶装置内のデータの消去処理を実施させ、その実施結果を管理するデータ消去管理方法であって、データ消去処理の完了した管理対象端末から、管理用端末で読み込み可能な消去証明情報を発行させる第1のステップと、発行された前記消去証明情報の正当性を管理用端末で判定し、その判定結果に従い管理対象端末の消去処理結果を管理する第2のステップとを有することを特徴とする。
また、前記管理対象端末において生成された認証データを含む消去開始情報を、前記データ消去処理の開始前に、前記管理対象端末から前記管理用端末に送信させるステップと、前記第1のステップにおいて、前記第1のランダムデータを前記消去証明情報に含めて発行するステップとを有し、前記第2のステップにおいて、前記第1のランダムデータに基づいて生成された認証データと、前記管理対象端末から送信された認証データとが一致するか否かを判定し、一致した場合に、前記消去証明情報が正当なものであると認定することを特徴とする。
また、前記管理用端末からデータ消去処理を行う管理対象端末に対して、前記消去開始情報の受信前に、前記管理用端末において生成される第2のランダムデータを含む消去予約情報を送信するステップと、前記消去予約情報を受信した管理対象端末において、前記消去開始情報の送信前に、前記第1のランダムデータと前記第2のランダムデータとにより、前記認証データを生成するステップとを有することを特徴とする。
また、前記認証データは、前記第2のランダムデータを、前記第1のランダムデータを元に暗号化したものであることを特徴とする。
また、前記データ消去処理のされた管理対象端末において、少なくとも前記第2のステップ前に、前記記憶装置内にデータ消去済み情報を書き込む後処理を行うことを特徴とする。
また、前記データ消去処理のされた管理対象端末において、少なくとも前記第2のステップ前に、前記記憶装置に対するデータの書き込み禁止を設定する後処理を行うことを特徴とする。
また、前記消去予約情報には、前記後処理方法の指定に関する情報が含まれるものとし、前記後処理は、前記消去予約情報に含まれる後処理方法の指定に基づいて行うことを特徴とする。
また、前記消去証明情報には、前記予約情報に含まれた後処理方法の指定に関する情報が含まれるものとし、前記後処理の後に、前記管理対象端末に消去証明情報を読み込ませるステップと、前記消去証明情報内に含まれる後処理方法の指定に基づき、前記管理対象端末で前記指定された後処理が行われているか否かの判定を行うステップとを有することを特徴とする。 A data erasure management method according to the present invention is a data erasure management method for performing erasure processing of data in a storage device of a terminal to be managed, and managing the execution result, the managed terminal having completed data erasure processing From the first step of issuing erasure certification information that can be read by the management terminal, the validity of the issued erasure certification information is determined by the management terminal, and the erasure processing result of the managed terminal is determined according to the determination result And a second step of managing.
In addition, in the first step, erasure start information including authentication data generated in the management target terminal is transmitted from the management target terminal to the management terminal before the start of the data erasure process, A step of issuing the first random data included in the erasure certification information, and in the second step, authentication data generated based on the first random data, and from the management target terminal It is determined whether or not the transmitted authentication data matches, and when the authentication data matches, it is determined that the erasure certification information is valid.
A step of transmitting erasure reservation information including second random data generated in the management terminal before receiving the erasure start information to a management target terminal performing data erasure processing from the management terminal; And a step of generating the authentication data from the first random data and the second random data before transmitting the erasure start information in the management target terminal that has received the erasure reservation information. It is characterized by.
Further, the authentication data is obtained by encrypting the second random data based on the first random data.
In the management target terminal that has been subjected to the data erasure process, at least before the second step, a post-process for writing the data erasure information in the storage device is performed.
Further, in the management target terminal that has been subjected to the data erasing process, at least before the second step, post-processing for setting data write prohibition to the storage device is performed.
The erasure reservation information includes information related to designation of the post-processing method, and the post-processing is performed based on designation of the post-processing method included in the erasure reservation information.
Further, the erasure certification information includes information related to designation of a post-processing method included in the reservation information, and after the post-processing, causing the managed terminal to read the erasure certification information; And determining whether or not the specified post-processing is being performed on the managed terminal based on the specification of the post-processing method included in the erasure certification information.

また、本発明のデータ消去プログラムは、管理用端末により管理される管理対象端末内の記憶装置のデータ消去処理を実行する消去プログラムにおいて、データ消去処理の完了した際に、前記管理対象端末が前記管理用端末で読み込み可能な消去証明情報を発行する処理を含むものである。
また、前記データ消去処理の開始前に、認証データを生成する処理と、生成された認証データを含む消去開始情報を前記管理用端末に送信する処理と、前記認証データを生成するための第1のランダムデータを前記消去証明情報に含めて発行する処理とをさらに含むものである。
また、前記認証データは、前記第1のランダムデータと、前記消去予約情報に含まれる第2のランダムデータとにより生成されたものであることを特徴とするものである。
また、データ消去処理完了後に、前記記憶装置内に消去済み情報を書き込む処理をさらに含むものである。
また、データ消去処理完了後に、前記記憶装置へのデータの書き込み禁止設定を行う処理をさらに含むものである。
また、前記後処理は、前記管理用端末の指定に基づいて行うことを特徴とする。
また、本発明の管理用プログラムは、管理用端末において管理対象となる端末の記憶装置内のデータ消去処理を管理するプログラムであって、管理用端末から管理対象端末に対して、消去処理の開始を指示する消去開始受付情報を送信する処理と、データ消去処理の完了した管理対象端末から発行された前記消去証明情報の正当性を判定し、その判定結果に従い管理対象端末の消去処理結果を管理する処理とを有することを特徴とするものである。 Further, the data erasure program of the present invention is an erasure program for executing data erasure processing of a storage device in a management target terminal managed by a management terminal. This includes processing for issuing erasure certification information that can be read by the management terminal.
In addition, before starting the data erasure process, a process for generating authentication data, a process for transmitting erasure start information including the generated authentication data to the management terminal, and a first for generating the authentication data And issuing the random data included in the erasure certification information.
In addition, the authentication data is generated by the first random data and the second random data included in the erasure reservation information.
Further, it further includes a process of writing erased information in the storage device after completion of the data erasure process.
Further, it further includes a process of setting data write prohibition to the storage device after completion of the data erasing process.
The post-processing is performed based on designation of the management terminal.
The management program of the present invention is a program for managing the data erasure process in the storage device of the management target terminal in the management terminal, and starts the erasure process from the management terminal to the management target terminal. To determine the validity of the erasure certification information issued from the managed terminal that has completed the data erasure process, and manage the erasure process result of the managed terminal according to the determination result It is characterized by having processing to perform.

本発明によれば、管理用端末で読み込み可能な消去証明情報を発行するようにしたため、管理用端末において、各管理対象端末でデータ消去実行プログラムによるデータ消去処理が実際に行われたか否かを容易に管理することが可能となる。   According to the present invention, since the erasure certification information that can be read by the management terminal is issued, whether or not the data erasure processing by the data erasure execution program is actually performed in each management target terminal in the management terminal is determined. It can be easily managed.

以下、本発明の一実施の形態について、図面を参照して具体的に説明する。
本実施の形態では、図1に示すように、管理プログラム10を備えた管理用端末1と、データ消去の対象となる記憶装置としてのハードディスク21を備えた管理対象端末2と、当該管理対象端末2において実行される消去準備プログラム30A,消去実行プログラム30B,消去状態確認プログラム30Cの格納されたフロッピーディスク(登録商標)、CD−ROM等の外部記憶媒体3とから構成されている。また、管理用端末1と管理対象端末2とは、LAN等の通信線5により接続されている。 Hereinafter, an embodiment of the present invention will be specifically described with reference to the drawings.
In this embodiment, as shown in FIG. 1, a management terminal 1 having a management program 10, a management target terminal 2 having a hard disk 21 as a storage device to be erased, and the management target terminal 2 includes an external storage medium 3 such as a floppy disk (registered trademark) or a CD-ROM in which an erase preparation program 30A, an erase execution program 30B, and an erase state confirmation program 30C are stored. The management terminal 1 and the management target terminal 2 are connected by a communication line 5 such as a LAN.

本発明は、このような構成において、前記消去実行プログラム30Bを前記管理対象端末2において実行させ、前記ハードディスク21内のデータの消去を行った後、前記管理用端末1で読込み可能な消去証明情報を前記消去実行プログラム30Bにより前記管理対象端末2から発行し、前記管理プログラム10でデータ消去の管理を行うものである。
ここでのデータ消去処理は、前記ハードディスク21内のOSを含む全てのデータを消去するものであるため、前記外部記憶媒体3には、前記消去実行プログラム30Bを動作させるためのOSを格納しておくことが必要となる。また、消去実行プログラム30Bを実行させる際には、前記外部記憶媒体3を読み込ませることにより、コンピュータを再度起動させることが必要となるため、後述するデータ消去処理の前に、予め外部記憶媒体3に対応したドライブを先に読み込むようなBIOSの設定がされていることが必要となる。 According to the present invention, in such a configuration, the erasure certification information that can be read by the management terminal 1 after executing the erasure execution program 30B in the management target terminal 2 and erasing the data in the hard disk 21. Is issued from the management target terminal 2 by the erasure execution program 30B, and the data erasure management is performed by the management program 10.
Since the data erasing process here is to erase all data including the OS in the hard disk 21, the OS for operating the erasing execution program 30B is stored in the external storage medium 3. It is necessary to keep it. Further, when executing the erasing execution program 30B, it is necessary to restart the computer by reading the external storage medium 3, so that the external storage medium 3 is preliminarily stored before the data erasing process described later. It is necessary to set the BIOS so that the drive corresponding to is read first.

また、前記管理用端末1に備えられた前記管理プログラム10は、消去予約処理11と、消去開始受付処理12と、消去完了受付処理13を有している。
なお、前記管理用端末1内には、前記管理プログラム10により生成された情報等のデータ消去処理に関する情報を保存するデータベース14が備えられている。 The management program 10 provided in the management terminal 1 includes an erasure reservation process 11, an erasure start acceptance process 12, and an erasure completion acceptance process 13.
The management terminal 1 is provided with a database 14 for storing information related to data erasure processing such as information generated by the management program 10.

また、前記外部記憶媒体3に格納された消去準備プログラム30Aは、前記管理対象端末2において消去実行プログラム30Bによる処理の準備を行うもので、消去予約受付処理31と、消去開始処理32とを有している。
また、前記外部記憶媒体3に格納された消去実行プログラム30Bは、前記管理対象端末2におけるハードディスク21のデータ消去等を行うもので、データ消去処理33と、消去完了処理34とを有している。
また、前記外部記憶媒体3に格納された消去状態確認プログラム30Cは、データ消去処理の実行された管理対象端末2におけるデータ消去処理の状態を確認する消去状態確認処理35を有している。 The erasure preparation program 30A stored in the external storage medium 3 prepares for processing by the erasure execution program 30B in the managed terminal 2, and has an erasure reservation acceptance process 31 and an erasure start process 32. is doing.
The erasure execution program 30B stored in the external storage medium 3 is for erasing data on the hard disk 21 in the managed terminal 2, and has a data erasure process 33 and an erasure completion process 34. .
The erasure state confirmation program 30C stored in the external storage medium 3 has an erasure state confirmation process 35 for confirming the state of the data erasure process in the managed terminal 2 on which the data erasure process has been executed.

次に、本システムによる管理対象端末のデータ消去管理処理の概略を図2のフローチャートを用いて説明する。
まず、管理用端末1において、消去予約処理が行われ、選択された管理対象端末2に対して、前記消去予約情報が送信される(ステップS201)。この消去予約情報には、図3に示すように、クライアントID301と、サーバランダム値302と、消去確認処理ID303とが含まれる。この場合、前記消去確認処理ID303としては、例えば、データ消去後に処理を行わない場合は「0」、データ消去後の記憶装置内に消去済みマークを書き込む場合には「1」、データ消去後の記憶装置に対してデータの書き込みができないようなBIOSの設定変更等の書き込み禁止設定を行う場合には「2」、前記消去済みマークの書き込み及び書き込み禁止設定の双方を行う場合には「3」を用いる。従って、図3の場合は、データ消去後の処理として、消去済みマークの書き込み及び書き込み禁止設定の双方を指定していることとなる。
この消去予約情報を受信した管理対象端末2では、消去予約受付処理が行われ、認証データが生成された後、管理用端末1に対して、前記認証データを含む予約受付確認情報としての前記消去開始情報が送信される(ステップS202)。この消去開始情報には、図4に示すように、クライアントID401と、サーバランダム値402と、認証データ長403と、認証データ404とが含まれる。
この消去開始情報を受信した管理用端末1では、消去開始受付処理が行われ、前記消去開始情報から消去予約済みの端末から送信されたものか否かが判定された後、管理対象端末2に対して、前記判定結果としての前記消去開始受付情報が送信される(ステップS203)。この消去開始情報には、図5に示すように、クライアントID501と、消去開始受付結果502とが含まれる。 Next, the outline of the data erasure management processing of the management target terminal by this system will be described with reference to the flowchart of FIG.
First, erasure reservation processing is performed in the management terminal 1, and the erasure reservation information is transmitted to the selected management target terminal 2 (step S201). As shown in FIG. 3, the erasure reservation information includes a client ID 301, a server random value 302, and an erasure confirmation process ID 303. In this case, the erasure confirmation processing ID 303 is, for example, “0” when the processing is not performed after the data erasure, “1” when the erased mark is written in the storage device after the data erasure, and after the data erasure. “2” when performing a write prohibition setting such as a BIOS setting change in which data cannot be written to the storage device, and “3” when performing both the erased mark writing and the write prohibition setting. Is used. Therefore, in the case of FIG. 3, both the writing of the erased mark and the write prohibition setting are designated as the processing after the data erasure.
In the managed terminal 2 that has received this erasure reservation information, the erasure reservation acceptance process is performed, and after the authentication data is generated, the erasure as the reservation acceptance confirmation information including the authentication data is sent to the management terminal 1. Start information is transmitted (step S202). As shown in FIG. 4, the erasure start information includes a client ID 401, a server random value 402, an authentication data length 403, and authentication data 404.
In the management terminal 1 that has received this erasure start information, an erasure start acceptance process is performed, and it is determined from the erasure start information whether or not it has been transmitted from a terminal that has been reserved for erasure. On the other hand, the erasure start acceptance information as the determination result is transmitted (step S203). As shown in FIG. 5, the erasure start information includes a client ID 501 and an erasure start acceptance result 502.

この消去開始受付情報を受信した管理対象端末2では、消去開始受付情報に含まれる前記判定結果に基づき、消去開始処理が行われ(ステップS204)、ハードディスク21内のデータの消去処理が行われた後(ステップS205)、消去完了処理が行われ、管理用端末1に対して、消去証明情報が発行される(ステップS206)。この消去証明情報には、図6に示すように、クライアントID601と、クライアントランダム値602と、実行日時603と、消去確認処理ID604とが含まれる。
この消去証明情報を受信した管理用端末1では、消去完了受付処理が行われ、消去証明情報の内容を確認することにより、前記管理対象端末2において、正常にデータ消去処理が行われたか否かを管理することとなる。 In the managed terminal 2 that has received the erasure start acceptance information, the erasure start process is performed based on the determination result included in the erasure start acceptance information (step S204), and the erasure process of data in the hard disk 21 is performed. After that (step S205), an erasure completion process is performed, and erasure certification information is issued to the management terminal 1 (step S206). As shown in FIG. 6, the erasure certification information includes a client ID 601, a client random value 602, an execution date and time 603, and an erasure confirmation process ID 604.
In the management terminal 1 that has received this erasure certification information, an erasure completion acceptance process is performed. By checking the contents of the erasure certification information, whether or not the data erasure process has been normally performed in the managed terminal 2 is determined. Will be managed.

なお、前記管理用端末1内に設けられたデータベース14は、前記消去予約情報,消去開始情報,消去開始受付情報,消去証明情報等に基づく情報が格納され、例えば、図7に示すように、クライアントID701と、処理状態702と、サーバランダム値703と、クライアントランダム値704と、消去確認処理ID705と、認証データ長706と、認証データ707と、消去実行日時708とが含まれる。ここで処理状態702は、管理対象端末2における処理状態を示すものであり、例えば、未処理の場合は「0」、消去予約済みの場合は「1」、消去処理が開始されている場合には「2」、消去処理が完了している場合には「3」で示されることとなる。   The database 14 provided in the management terminal 1 stores information based on the erasure reservation information, erasure start information, erasure start acceptance information, erasure certification information, etc., for example, as shown in FIG. A client ID 701, a processing state 702, a server random value 703, a client random value 704, an erase confirmation processing ID 705, an authentication data length 706, authentication data 707, and an erase execution date and time 708 are included. Here, the processing state 702 indicates the processing state in the management target terminal 2, for example, “0” when not processed, “1” when reserved for deletion, and when deletion processing is started. Is indicated by “2”, and when the erasing process is completed, it is indicated by “3”.

以上のようなデータ消去管理方法における各処理の詳細について、図8〜図13を用いて説明する。
図8は、管理用端末1における消去予約処理(図2のステップS201)を示すフローチャートである。
この図に示すように、消去予約処理では、管理用端末1において管理プログラム10を起動し(ステップS801)、管理者が予め設定された管理対象端末2の中からデータを消去する端末を選択し、かつ、データ消去後の処理方法の指定を行うと(ステップS802)、その管理対象端末2に対して、サーバランダム値302が生成される(ステップS803)。ここで、前記処理方法の指定は、前記消去確認処理ID303により示されることととなる。また、前記サーバランダム値302は、各管理対象端末2毎に生成されることとなる。 Details of each process in the data erasure management method as described above will be described with reference to FIGS.
FIG. 8 is a flowchart showing the erasure reservation process (step S201 in FIG. 2) in the management terminal 1.
As shown in this figure, in the erasure reservation process, the management program 10 is activated in the management terminal 1 (step S801), and the administrator selects a terminal for erasing data from the management target terminals 2 set in advance. When the processing method after data erasure is designated (step S802), a server random value 302 is generated for the management target terminal 2 (step S803). Here, the designation of the processing method is indicated by the erasure confirmation processing ID 303. Further, the server random value 302 is generated for each managed terminal 2.

その後、選択された管理対象端末2を示すクライアントID301と、生成されたサーバランダム値302と、前記消去確認処理IDとを含んだ前記消去予約情報が、選択された管理対象端末2に送信される(ステップS804)。また、管理用端末1のデータベース14内に前記クライアントID301、サーバランダム値302及び廃棄確認処理ID303の情報が格納されるとともに、処理状態が「1」(予約済み)とされ(ステップS805)、処理終了となる。   Thereafter, the deletion reservation information including the client ID 301 indicating the selected management target terminal 2, the generated server random value 302, and the deletion confirmation processing ID is transmitted to the selected management target terminal 2. (Step S804). The information of the client ID 301, the server random value 302, and the discard confirmation processing ID 303 is stored in the database 14 of the management terminal 1, and the processing state is set to “1” (reserved) (step S805). End.

また、図9は、前記消去予約情報を受信した管理対象端末2における消去予約受付処理(図2のステップS202)を示すフローチャートである。
この図に示すように、消去予約受付処理では、管理対象端末2において消去準備プログラム30Aを起動した後(ステップS901)、管理用端末1からの前記消去予約情報が受信されると(ステップS902)、クライアントランダム値が生成される(ステップS903)。その後、前記消去予約情報に含まれるサーバランダム値302が、生成されたクライアントランダム値を元に、暗号化され、認証データ404が生成される(ステップS904)。
この暗号化については、ハッシュ化等周知の方式により行うものとしてよいが、前記クライアントランダム値を知らなければ、同一の認証データ404が生成できないような処理方式を用いる。また、前記クライアントランダム値については、消去準備プログラム30Aの実行毎又は管理用端末1から消去予約情報を受信する毎に生成することが望ましい。
このように生成された認証データ404等を含む消去開始情報は、管理用端末1に送信される(ステップS905)。
その後、管理対象端末2は、データ消去処理の開始の待機状態とされ(ステップS905)処理終了となる。 FIG. 9 is a flowchart showing the erasure reservation acceptance process (step S202 in FIG. 2) in the managed terminal 2 that has received the erasure reservation information.
As shown in this figure, in the erasure reservation accepting process, after the erasure preparation program 30A is activated in the management target terminal 2 (step S901), the erasure reservation information is received from the management terminal 1 (step S902). A client random value is generated (step S903). Thereafter, the server random value 302 included in the erasure reservation information is encrypted based on the generated client random value, and authentication data 404 is generated (step S904).
This encryption may be performed by a well-known method such as hashing, but a processing method is used such that the same authentication data 404 cannot be generated unless the client random value is known. The client random value is preferably generated every time the erasure preparation program 30A is executed or every time erasure reservation information is received from the management terminal 1.
The erase start information including the authentication data 404 and the like generated in this way is transmitted to the management terminal 1 (step S905).
Thereafter, the management target terminal 2 enters a standby state for starting the data erasing process (step S905), and the process ends.

また、図10は、前記消去開始情報を受信した管理用端末1における消去開始受付処理(図2のステップS203)を示すフローチャートである。
この図に示すように、消去開始受付処理では、管理対象端末2からの消去開始情報が受信されると(ステップS1001)、当該消去開始情報内に含まれるクライアントID401について、管理用端末1のデータベース14における検索が行われる(ステップS1002)。その結果、該当するクライアントID701が存在する場合には(ステップS1003)、そのクライアントID701に対応するサーバランダム値703が検索され、当該サーバランダム値703と、前記消去開始情報に含まれるサーバランダム値402とが比較される(ステップS1004)。この比較の結果、両サーバランダム値が一致する場合には(ステップS1005)、前記データベース14内に、前記消去開始情報に含まれる認証データ404及び認証データ長403が格納されるとともに処理状態702が「2」(消去開始)とされ(ステップS1006)、管理対象端末2に対して、消去開始受付情報として消去開始受付結果502を「TRUE」としたものが送信され(ステップS1007)、処理終了となる。なお、前記消去開始情報に含まれるクライアントID401が前記データベース14内に存在しない場合(ステップS1003)、または、前記サーバランダム値の比較の結果不一致の場合には(ステップS1005)、消去開始受付情報として消去開始受付結果502を「FALSE」としたものが、管理対象端末2に送信され(ステップS1008)、処理終了となる。 FIG. 10 is a flowchart showing an erase start acceptance process (step S203 in FIG. 2) in the management terminal 1 that has received the erase start information.
As shown in this figure, in the erasure start acceptance process, when erasure start information is received from the management target terminal 2 (step S1001), the database of the management terminal 1 for the client ID 401 included in the erasure start information is shown. 14 is performed (step S1002). As a result, when the corresponding client ID 701 exists (step S1003), the server random value 703 corresponding to the client ID 701 is searched, and the server random value 703 and the server random value 402 included in the erasure start information are searched. Are compared (step S1004). If the two server random values match as a result of the comparison (step S1005), the database 14 stores the authentication data 404 and the authentication data length 403 included in the erasure start information, and the processing state 702 is “2” (deletion start) is set (step S1006), and the deletion start reception information 502 with the deletion start reception result 502 set to “TRUE” is transmitted to the management target terminal 2 (step S1007). Become. If the client ID 401 included in the erasure start information does not exist in the database 14 (step S1003), or if the result of comparison of the server random values does not match (step S1005), the erasure start acceptance information is The erasure start acceptance result 502 set to “FALSE” is transmitted to the management target terminal 2 (step S1008), and the process ends.

また、図11は、消去開始受付情報を受信した管理対象端末2における消去開始処理から消去完了処理まで(図2のステップS204〜S206)を示すフローチャートである。
この図に示すように、まず、消去開始処理として、管理用端末1からの消去開始受付情報が受信されると(ステップS1101)、当該消去開始受付情報内に含まれる消去開始受付結果502が参照され、その結果が「TRUE」である場合には(ステップS1102)、データ消去処理が行われる(ステップS1103)。
この場合の消去処理方式としては、例えば、乱数を複数回上書きする方式や、すべての情報の上に「0」を上書きする方式等、周知の方式を用いればよい。この場合において、消去実行プログラム30Bを外部記憶媒体3に格納して、前記各管理対象端末2において前記外部記憶媒体3から消去実行プログラム30Bを直接実行することにより、OS及び前記消去準備プログラム30Aを含む前記ハードディスク21内の全データを消去することができる。 FIG. 11 is a flowchart showing from the deletion start process to the deletion completion process (steps S204 to S206 in FIG. 2) in the managed terminal 2 that has received the deletion start acceptance information.
As shown in this figure, first, as erasure start processing, when erasure start acceptance information is received from the management terminal 1 (step S1101), the erasure start acceptance result 502 included in the erasure start acceptance information is referred to. If the result is “TRUE” (step S1102), a data erasure process is performed (step S1103).
As an erasure processing method in this case, for example, a known method such as a method of overwriting a random number a plurality of times or a method of overwriting “0” on all information may be used. In this case, the erasure execution program 30B is stored in the external storage medium 3, and the erasure execution program 30B is directly executed from the external storage medium 3 in each managed terminal 2, thereby causing the OS and the erasure preparation program 30A to be executed. All data in the hard disk 21 can be erased.

その後、消去完了処理として、まず、管理用端末1に対し、前記クライアントID601と、クライアントランダム値602と、消去処理の実行日時603と、消去確認処理ID604とを含む消去証明情報が発行される(ステップS1104)。
次に、前記消去予約情報に含まれる消去確認処理ID303が参照され、当該消去確認処理IDが「1」又は「3」の場合には「TRUE」として(ステップS1105)、ハードディスク21に消去済みマークの書き込みが行われる(ステップS1106)。 Thereafter, as the erasure completion process, first, erasure certification information including the client ID 601, client random value 602, erasure process execution date and time 603, and erasure confirmation process ID 604 is issued to the management terminal 1 ( Step S1104).
Next, the erasure confirmation process ID 303 included in the erasure reservation information is referred to. When the erasure confirmation process ID is “1” or “3”, “TRUE” is set (step S1105), and the erased mark is stored in the hard disk 21. Is written (step S1106).

一方、前記消去確認処理ID303が「0」又は「2」の場合には「FALSE」として(ステップS1105)、消去済みマークの書き込みは行われない。その後、さらに前記消去確認処理ID303が参照され、当該消去確認処理ID303が「2」又は「3」の場合には「TRUE」として(ステップS1107)、管理対象端末2のハードディスク21に対する書き込み禁止の設定が行われ(ステップS1108)、処理終了となる。一方、前記消去確認処理ID303が「0」又は「1」の場合には「FALSE」として(ステップS1107)、管理対象端末2の設定変更は行われずに処理終了となる。
この消去完了処理終了後において、前記外部記憶媒体3を前記管理対象端末2から取り出すことにより、前記管理対象端末2内に、前記消去実行プログラム30Bを残すこともなくなる。
なお、図11では、消去完了処理において、消去証明情報の発行後に、消去済みマークの書き込み,書き込み禁止の設定が行われることとしているが、消去済みマークの書き込み等の後に消去証明情報を発行することとしてもよい。 On the other hand, when the erasure confirmation process ID 303 is “0” or “2”, “FALSE” is set (step S1105), and the erased mark is not written. Thereafter, the erasure confirmation process ID 303 is further referred to. When the erasure confirmation process ID 303 is “2” or “3”, “TRUE” is set (step S1107), and the write prohibition setting for the hard disk 21 of the management target terminal 2 is set. Is performed (step S1108), and the process ends. On the other hand, when the erasure confirmation process ID 303 is “0” or “1”, “FALSE” is set (step S1107), and the process ends without changing the setting of the management target terminal 2.
After the erasure completion processing is completed, the erasure execution program 30B is not left in the management target terminal 2 by removing the external storage medium 3 from the management target terminal 2.
In FIG. 11, in the erasure completion process, the erased mark is written and the write prohibition is set after the erase certification information is issued, but the erase certification information is issued after the erased mark is written. It is good as well.

また、図12は、管理用端末1における消去完了受付処理(図2のステップS207)を示すフローチャートである。
この図に示すように、消去完了受付処理では、管理用端末1において管理プログラム10を起動した後(ステップS1201)、管理対象端末2で発行された前記消去証明情報の読み込みが行われ(ステップS1202)、当該消去証明情報内に含まれるクライアントID601について、管理用端末1のデータベース14における検索が行われる(ステップS1203)。その結果、該当するクライアントID701が存在する場合には(S1204)、そのクライアントID701に対応するサーバランダム値703が検索され、当該サーバランダム値703が、前記消去証明情報に含まれるクライアントランダム値602を元に暗号化され、検証用の認証データが生成される(ステップS1205)。なお、この場合の暗号化は、前記消去予約受付処理における暗号化で用いた方式と同一の方式により行われることとなる。 FIG. 12 is a flowchart showing the deletion completion acceptance process (step S207 in FIG. 2) in the management terminal 1.
As shown in this figure, in the erasure completion acceptance process, after the management program 10 is started in the management terminal 1 (step S1201), the erasure certification information issued by the management target terminal 2 is read (step S1202). ) A search in the database 14 of the management terminal 1 is performed for the client ID 601 included in the erasure certification information (step S1203). As a result, when the corresponding client ID 701 exists (S1204), the server random value 703 corresponding to the client ID 701 is searched, and the server random value 703 is used as the client random value 602 included in the erasure certification information. Originally encrypted and verification authentication data is generated (step S1205). Note that the encryption in this case is performed by the same method as that used for the encryption in the erasure reservation acceptance process.

次に、ここで生成された検証用の認証データと、データベース14内に格納しておいた認証データ707とが比較され(ステップS1206)、両認証データが一致する場合には(ステップS1207)、データベース14内の処理状態702が「3」(消去終了)とされて(ステップS1208)処理終了となる。一方、前記消去証明情報内に含まれるクライアントID601の検索の結果、管理用端末1のデータベース14内に存在しない場合(ステップS1204)、または、前記両認証データが一致しない場合(ステップS1207)は、エラーメッセージが表示される(ステップS1209)。このエラーメッセージが表示された場合には、当該消去証明情報が不正に生成されたものと判断でき、消去処理が正常に行われていないことが推認される。
このように、消去受付完了処理において、前記消去証明情報を管理用端末1で確認することにより、実際に消去処理が行われたか否かを容易に管理することができる。 Next, the verification authentication data generated here is compared with the authentication data 707 stored in the database 14 (step S1206), and if both authentication data match (step S1207), The processing state 702 in the database 14 is set to “3” (erasure end) (step S1208), and the process ends. On the other hand, as a result of searching for the client ID 601 included in the erasure certification information, if it does not exist in the database 14 of the management terminal 1 (step S1204), or if the two authentication data do not match (step S1207), An error message is displayed (step S1209). When this error message is displayed, it can be determined that the erasure certification information has been illegally generated, and it is inferred that the erasure process has not been performed normally.
In this way, in the erasure acceptance completion process, it is possible to easily manage whether or not the erasure process has actually been performed by confirming the erasure certification information with the management terminal 1.

また、図13は、管理対象端末2についての消去状態確認処理を示すフローチャートである。この消去状態確認処理は、主に、消去処理のされた管理対象端末2を廃棄処理業者やリース会社へ引渡す直前に行われるもので、消去状態の最終的な確認と、書き込み禁止設定の解除を行うためのものである。
この図に示すように、消去状態確認処理では、まず、消去状態確認プログラム30Cを起動した後(ステップS1301)、前記消去証明情報を読み込ませる(ステップS1302)。 FIG. 13 is a flowchart showing an erase state confirmation process for the management target terminal 2. This erasure state confirmation process is mainly performed immediately before handing over the managed terminal 2 subjected to the erasure process to a disposal processor or a leasing company, and finally confirms the erasure state and cancels the write prohibition setting. Is to do.
As shown in this figure, in the erase state confirmation process, first, after the erase state confirmation program 30C is started (step S1301), the erase certification information is read (step S1302).

次に、前記消去証明情報に含まれる消去確認処理ID604が参照され、当該消去確認処理ID604が「2」又は「3」の場合には「TRUE」として(ステップS1303)、管理対象端末2の設定の確認がされ(ステップS1304)、書き込み禁止の設定が行われている場合には(ステップS1305)、書き込み禁止設定の解除を行う(ステップS1306)。なお、書き込み禁止の設定が行われていない場合には、エラーメッセージを表示する(ステップS1307)。一方、前記消去確認処理ID604が「0」又は「1」の場合には「FALSE」として(ステップS1303)、管理対象端末2の設定確認が行われずに、次の処理に進むことになる。
その後、さらに前記消去確認処理ID604が参照され、当該消去確認処理ID604が「1」又は「3」の場合には「TRUE」として(ステップS1308)、管理対象端末2のハードディスク21内における消去済みマークの検出が行われ(ステップS1309)、消去済みマークが検出された場合には(ステップS1310)、そのまま処理終了となり、消去済みマークが検出されなかった場合には(ステップS1310)、エラーメッセージが表示され(ステップS1311)、処理終了となる。一方、前記消去確認処理ID604が「0」又は「2」の場合には「FALSE」として(ステップS1308)、消去済みマークの検出が行われずに処理終了となる。なお、ステップS1310において、消去済みマークが検出された場合には、処理終了の前に、当該消去済みマークの消去を行うこととしてもよい。 Next, the erasure confirmation process ID 604 included in the erasure certification information is referred to. When the erasure confirmation process ID 604 is “2” or “3”, “TRUE” is set (step S1303), and the management target terminal 2 is set. Is confirmed (step S1304), and if write prohibition is set (step S1305), the write prohibition setting is canceled (step S1306). If the write prohibition is not set, an error message is displayed (step S1307). On the other hand, if the erasure confirmation process ID 604 is “0” or “1”, “FALSE” is set (step S1303), and the setting confirmation of the management target terminal 2 is not performed, and the process proceeds to the next process.
Thereafter, the erasure confirmation process ID 604 is further referred to, and when the erasure confirmation process ID 604 is “1” or “3”, “TRUE” is set (step S1308), and the erased mark in the hard disk 21 of the management target terminal 2 is set. Is detected (step S1309), and if an erased mark is detected (step S1310), the process ends, and if no erased mark is detected (step S1310), an error message is displayed. (Step S1311), the process ends. On the other hand, when the erasure confirmation process ID 604 is “0” or “2”, “FALSE” is set (step S1308), and the process ends without detecting the erased mark. If an erased mark is detected in step S1310, the erased mark may be erased before the end of the process.

以上のように、本発明のデータ消去管理方法では、データ消去の完了の際に、管理用端末で読み込み可能な消去証明情報を発行することとしたので、実際にデータ消去処理が行われたか否かの管理を、管理用端末において容易に行うことができる。   As described above, in the data erasure management method of the present invention, when the data erasure is completed, the erasure certification information that can be read by the management terminal is issued. Such management can be easily performed at the management terminal.

また、管理用端末が消去処理の都度生成するサーバランダム値を管理対象端末に送信し、管理対象端末ではクライアントランダム値を暗号鍵にしてサーバランダム値を暗号化し、その暗号結果を認証データとして管理用端末に返信してデータベース14に格納させておき、消去完了後に管理対象端末から管理用端末に初めて送信されるクライアントランダム値に基づいて生成した検証用の認証データとデータベースに格納しておいた認証データとが一致するか一致するかを検証し、一致する場合のみ消去証明情報が正当なものであるとして認定する。このため、サーバランダム値を盗聴行為によって不正に取得しておいたとしても、クライアントランダム値については消去処理完了後でなければ盗聴することは出来ない。したがって、消去処理をしていないにも拘わらずクライアントランダム値が含まれる消去証明情報を発行することは出来なくなり、消去処理を完了したことが確実に保証され、通信路の盗聴等がされた場合であっても、消去証明情報の偽造等を防止することができる。
従って、データ消去処理実行の確実性を保証することが可能となり、担当者のデータ消去のし忘れや管理の不備による企業内情報の外部流出を防止することができるため、企業内情報流出による顧客への損害や企業イメージのダウンを未然に防ぐことが可能となる。 In addition, the management terminal sends a server random value generated every time erasure processing is performed to the management target terminal. The management target terminal encrypts the server random value using the client random value as an encryption key and manages the encryption result as authentication data. Returned to the management terminal and stored in the database 14, and stored in the verification authentication data and database generated based on the client random value transmitted for the first time from the management target terminal to the management terminal after the completion of erasure. Whether the authentication data matches or does not match is verified, and only when the authentication data matches, the erasure certification information is recognized as valid. For this reason, even if the server random value is obtained illegally by eavesdropping, the client random value cannot be eavesdropped unless the erasure process is completed. Therefore, even if the erasure process is not performed, it is no longer possible to issue erasure certification information that includes a client random value, and it is guaranteed that the erasure process has been completed and the communication channel has been wiretapped. Even so, forgery of erasure certification information can be prevented.
Therefore, it is possible to guarantee the certainty of the data erasure processing execution, and it is possible to prevent outside leakage of internal information due to forgetting to delete data by the person in charge or inadequate management. It is possible to prevent damage to the company and the corporate image.

また、データ消去処理後のハードディスク内に消去済みマークの書き込みを行うことにより、各管理対象端末において、前記消去済みマークを確認することにより、実際に消去処理が行われたか否かを容易に把握することができる。
また、データ消去処理後にデータの書き込み禁止設定を行うことにより、各管理対象端末に対しデータ消去処理後に誤ってデータの書き込みが行われることや、データ消去処理後のハードディスク内に故意に企業情報等を書き込んで、処理業者等に引渡すというような不正を防止することができる。さらに、書き込み禁止設定を確認することにより実際に消去処理が行われたか否かを容易に把握することができる。 In addition, by writing the erased mark in the hard disk after the data erasure process, it is possible to easily grasp whether or not the erasure process was actually performed by checking the erased mark on each managed terminal. can do.
In addition, by setting data write prohibition after data erasure processing, data is accidentally written to each managed terminal after data erasure processing, and corporate information etc. is intentionally stored in the hard disk after data erasure processing. It is possible to prevent an injustice such as writing a message and handing it over to a processor. Furthermore, it is possible to easily grasp whether or not the erasing process is actually performed by confirming the write prohibition setting.

なお、前記実施の形態では、消去準備プログラム30A,消去実行プログラム30B,消去状態確認プログラム30Cを同一の外部記憶媒体3に格納することとして説明しているが、それぞれを別の外部記憶媒体3に格納することとしてもよい。   In the above embodiment, the erase preparation program 30A, the erase execution program 30B, and the erase state confirmation program 30C are described as being stored in the same external storage medium 3, but each is stored in a separate external storage medium 3. It may be stored.

また、消去準備プログラム30Aについては、図14に示すように、予め管理対象端末2内にインストールすることとしてもよい。
この場合の消去準備プログラム30Aとしては、管理対象端末2におけるデータ消去処理が行われる前に、管理者から配布等されインストールされたものを用いる。
また、消去実行プログラム30Bについては、予め管理者が配布する外部記憶媒体3に格納されたものを用いることとしてもよいが、図2に示す消去開始受付処理の際に、前記管理用端末1から前記外部記憶媒体3に出力することとしている。従って、前記管理用端末1には、図示は省略しているが、予め前記消去実行プログラムが備えられていることとなる。なお、この場合、前記消去開始処理(S204)において前記外部記憶媒体3内に、前述の消去予約受付処理において生成されたクライアントランダム値等の一定の情報が保存されることとなる。 Further, the erasure preparation program 30A may be installed in the management target terminal 2 in advance as shown in FIG.
As the erasure preparation program 30A in this case, a program distributed and installed by the administrator before the data erasure process in the management target terminal 2 is performed is used.
Further, as the erasure execution program 30B, the program stored in the external storage medium 3 distributed in advance by the administrator may be used. However, when the erasure start acceptance process shown in FIG. The data is output to the external storage medium 3. Therefore, although not shown in the figure, the management terminal 1 is provided with the erasure execution program in advance. In this case, certain information such as the client random value generated in the above-described deletion reservation acceptance process is stored in the external storage medium 3 in the deletion start process (S204).

このように、前記消去実行プログラム30Bを、前記管理用端末1から外部記憶媒体3に出力することにより、この消去実行プログラム30Bが改ざんされたものでないことが保証されることとなる。   Thus, by outputting the erasure execution program 30B from the management terminal 1 to the external storage medium 3, it is guaranteed that the erasure execution program 30B has not been tampered with.

また、本実施の形態では、前記管理用端末1に備えられた図外の消去実行プログラムを消去開始受付処理の際に、前記外部記憶媒体3に出力することとしているが、これに限らず、前記消去準備プログラム30Aの消去開始処理32により、前記管理対象端末2から前記外部記憶媒体3に出力することとしてもよい。   Further, in the present embodiment, an erasure execution program (not shown) provided in the management terminal 1 is output to the external storage medium 3 during the erasure start acceptance process. However, the present invention is not limited to this. The data may be output from the management target terminal 2 to the external storage medium 3 by the deletion start process 32 of the deletion preparation program 30A.

本発明の一実施の形態に係るデータ消去管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the data erasure management system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るデータ消去管理方法の概略を示すフローチャートである。It is a flowchart which shows the outline of the data deletion management method which concerns on one embodiment of this invention. 前記データ消去管理方法に用いられる消去予約情報の一例を示す図である。It is a figure which shows an example of the erasure reservation information used for the said data erasure management method. 前記データ消去管理方法に用いられる消去開始情報の一例を示す図である。It is a figure which shows an example of the deletion start information used for the said data deletion management method. 前記データ消去管理方法に用いられる消去開始受付情報の一例を示す図である。It is a figure which shows an example of the deletion start reception information used for the said data deletion management method. 前記データ消去管理方法に用いられる消去証明情報の一例を示す図である。It is a figure which shows an example of the deletion certification | authentication information used for the said data deletion management method. 前記データ消去管理システムを構成する管理用端末内に設けられたデータベースの一例を示す図である。It is a figure which shows an example of the database provided in the management terminal which comprises the said data erasure management system. 前記データ消去管理方法における消去予約処理を示すフローチャートである。It is a flowchart which shows the deletion reservation process in the said data deletion management method. 前記データ消去管理方法における消去予約処理を示すフローチャートである。It is a flowchart which shows the deletion reservation process in the said data deletion management method. 前記データ消去管理方法における消去予約受付処理を示すフローチャートである。It is a flowchart which shows the deletion reservation reception process in the said data deletion management method. 前記データ消去管理方法における消去予約受付開始処理を示すフローチャートである。It is a flowchart which shows the deletion reservation reception start process in the said data deletion management method. 前記データ消去管理方法における消去完了処理を示すフローチャートである。It is a flowchart which shows the erasure | elimination completion process in the said data erasure management method. 前記データ消去管理方法における廃棄前処理を示すフローチャートである。It is a flowchart which shows the disposal pre-processing in the said data erasure management method. 本発明の他の実施の形態に係るデータ消去管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the data deletion management system which concerns on other embodiment of this invention.

符号の説明Explanation of symbols

1・・・管理用端末、10・・・管理プログラム、11・・・消去予約処理、12・・・消去開始受付処理、13・・・消去完了受付処理、14・・・データベース、2・・・管理対象端末、21・・・記憶装置、3・・・外部記憶媒体、30A・・・消去準備プログラム、30B・・・消去実行プログラム、30C・・・消去状態確認プログラム、31消去予約受付処理、32・・・消去開始処理、33・・・データ消去処理、34・・・消去完了処理、35・・・消去状態確認処理。 DESCRIPTION OF SYMBOLS 1 ... Management terminal, 10 ... Management program, 11 ... Erase reservation process, 12 ... Erase start acceptance process, 13 ... Erase completion acceptance process, 14 ... Database, 2 ... Management target terminal, 21 ... storage device, 3 ... external storage medium, 30A ... erase preparation program, 30B ... erase execution program, 30C ... erase state confirmation program, 31 erase reservation acceptance process 32 ... Erase start process, 33 ... Data erase process, 34 ... Erase completion process, 35 ... Erase state confirmation process.

Claims (10)

管理対象となる端末における記憶装置内のデータ消去処理を実施させ、その実施結果を管理対象端末毎に管理用データベースに記録して管理するデータ消去管理方法であって、
管理用端末が、管理対象端末に対して当該端末の識別情報を含む消去予約情報を送信し、データ消去処理を予約する第1のステップと、
管理対象端末が、前記消去予約情報を受信し、消去予約を受付けたことの確認情報として自端末の識別情報を含む消去開始情報を前記管理用端末に対して送信する第2のステップと、
前記管理用端末が、受信した前記消去開始情報が前記消去予約情報を送信した管理対象端末からのものであるかを判定し、そうであればその判定結果を送信元の管理対象端末に返信する第3のステップと、
前記管理対象端末が、前記判定結果を受信し、記憶装置内のデータ消去処理を実行した後、消去処理を実行した管理対象端末の識別情報、実行日時を含む消去証明情報を発行し、前記管理用端末に送信する第4のステップと、
管理用端末が、受信した前記消去証明情報に基づき前記管理用データベースに格納された管理対象端末毎の消去処理状態を更新する第5のステップと、
を備えることを特徴とするデータ消去管理方法。 A data erasure management method for performing data erasure processing in a storage device in a terminal to be managed, and recording and managing the execution result in a management database for each management target terminal ,
A first step in which a management terminal transmits erasure reservation information including identification information of the terminal to a management target terminal and reserves a data erasure process;
A second step in which the management target terminal receives the erasure reservation information and transmits erasure start information including identification information of the terminal as confirmation information that the erasure reservation has been accepted, to the management terminal;
The management terminal determines whether the received erasure start information is from the management target terminal that transmitted the erasure reservation information, and if so, returns the determination result to the transmission source management target terminal A third step;
The management target terminal receives the determination result, executes data erasure processing in the storage device, issues identification information of the management target terminal that executed the erasure processing, and erasure certification information including an execution date and time. A fourth step of transmitting to the communication terminal;
A fifth step in which the management terminal updates the erasure processing state for each management target terminal stored in the management database based on the received erasure certification information;
Data erasing management method, characterized in that it comprises a. 前記第1のステップにおいて、管理用端末は管理対象端末に対して消去処理の後処理に対応する識別情報を送信し、
前記第4のステップにおいて、前記管理対象端末は、前記後処理に対応する識別情報で指示された後処理を消去処理後に実行し、その実行結果を前記消去証明情報に付加して発行することを特徴とする請求項1に記載のデータ消去管理方法。 In the first step, the management terminal transmits identification information corresponding to the post-processing of the erasure process to the management target terminal,
In the fourth step, the management target terminal executes post-processing designated by the identification information corresponding to the post-processing after the erasure processing, and issues the execution result added to the erasure certification information. The data erasure management method according to claim 1, wherein: 前記後処理は、消去済みマークの書き込み、または書き込み禁止設定であることを特徴とする請求項2に記載のデータ消去管理方法。 The data erasure management method according to claim 2, wherein the post-processing is writing of an erased mark or writing prohibition setting . 前記管理対象末が、前記管理対象端末の消去処理結果に応じ、管理対象端末の書き込み禁止設定の解除または消去済みマークの消去を行う第6のステップをさらに備えることを特徴とする請求項3に記載のデータ消去管理方法。 The said management object end is further equipped with the 6th step which cancels | releases the write-protection setting of a management object terminal, or erases the erased mark according to the deletion process result of the said management object terminal. The data erasure management method described. 前記第1のステップにおいて、管理用端末が、データ消去処理を実施する管理対象端末毎に固有の第1のランダムデータを生成し、当該第1のランダムデータを含む消去予約情報をデータ消去処理を実施する管理対象端末に対して送信すると共に、前記第1のランダムデータを送信先の管理対象端末の識別情報と対応付けて前記管理用データベースに格納するステップを備え、
前記第2のステップにおいて前記消去予約情報を受信した管理対象端末が、当該消去予約情報の受信を契機に固有の第2のランダムデータを生成し、当該第2のランダムデータにより前記管理用端末から受信した第1のランダムデータを暗号化し、その暗号化データと前記管理用端末から受信した第1のランダムデータ及び自端末の識別情報とを含む消去開始情報を前記管理用端末に対して送信するステップを備え、
前記第3のステップにおいて前記消去開始情報を受信した管理用端末が、管理対象端末から受信した識別情報により前記管理用データベースを検索し、当該識別情報に対応して格納されている第1のランダムデータと前記管理対象端末から受信した第1のランダムデータとを比較し、両者が一致している場合には前記管理対象端末から受信した前記暗号化データを当該管理対象端末の識別情報に対応付けて前記管理用データベースに格納すると共に、前記管理対象端末に対して消去開始を許可する旨の情報を管理対象端末に送信するステップを備え、
前記第4のステップにおいて消去開始を許可する旨の情報を受信した管理対象端末が、自端末内の記憶装置内のデータの消去処理を実行した後、実行日時、自端末の識別情報及び前記第2のステップで生成した第2のランダムデータから成る消去証明情報を前記管理用端末に送信するステップを備え、
前記第5のステップにおいて前記消去証明情報を受信した管理用端末が、当該消去証明情報を送信した管理対象端末の識別情報により前記管理用データベースから当該識別情報に対応付けて格納されている第1のランダムデータと暗号化データを取得した後、当該第1のランダムデータを前記第4のステップで前記管理対象端末から受信した第2のランダムデータにより暗号化し、その暗号化データと前記管理用データベースから取得した暗号化データとを比較し、両者が一致する場合には、前記消去証明情報が当該管理用端末によりデータ消去処理の実施を予約した管理対象端末からデータ消去処理の実行後に送信された正当な消去証明情報であるものと判定し、当該消去証明情報中のデータ消去処理の実行日時の情報を管理対象端末の識別情報に対応付けて前記管理用データベースに格納するステップを備える
ことを備えることを特徴とする請求項1に記載のデータ消去管理方法。 In the first step, the management terminal generates unique first random data for each managed terminal that performs data erasure processing, and performs data erasure processing on the erasure reservation information including the first random data. Transmitting to the management target terminal to be implemented, and storing the first random data in the management database in association with the identification information of the destination management target terminal;
The management target terminal that has received the erasure reservation information in the second step generates unique second random data triggered by the reception of the erasure reservation information, and from the management terminal using the second random data. The received first random data is encrypted, and erasure start information including the encrypted data, the first random data received from the management terminal, and identification information of the terminal itself is transmitted to the management terminal. With steps,
The management terminal that has received the erasure start information in the third step searches the management database based on the identification information received from the management target terminal, and stores the first random stored in correspondence with the identification information The data is compared with the first random data received from the managed terminal, and if the two match, the encrypted data received from the managed terminal is associated with the identification information of the managed terminal And storing in the management database, and sending to the management target terminal information indicating that the management target terminal is allowed to start erasure,
After the managed terminal that has received the information indicating that the start of erasure is permitted in the fourth step executes the erasure process of the data in the storage device in the own terminal, the execution date and time, the identification information of the own terminal, and the first Transmitting the erasure certification information composed of the second random data generated in step 2 to the management terminal,
The management terminal that has received the erasure certification information in the fifth step is stored in association with the identification information from the management database by the identification information of the management target terminal that has transmitted the erasure certification information. After acquiring the random data and the encrypted data, the first random data is encrypted with the second random data received from the management target terminal in the fourth step, and the encrypted data and the management database are encrypted. When the encrypted data acquired from the management terminal is compared, and the two match, the erasure certification information is transmitted after the execution of the data erasure process from the management target terminal reserved for the execution of the data erasure process by the management terminal. It is determined that the data is legitimate erasure certification information, and the information on the execution date and time of the data erasure process in the erasure certification information is identified by the managed terminal. Data erasing method according to claim 1, characterized in that it comprises a <br/> further comprising the step of storing in the management database in association with the information. 管理端末で実行する第1のプログラムと、管理対象端末でデータ消去処理の実施時に実行する第2のプログラムとで構成され、管理対象端末における記憶装置内のデータ消去処理の実施結果を管理対象端末毎に管理用データベースに記録して管理するために用いるプログラムであって、
前記第1のプログラムが、管理用端末内において、管理対象端末に対して当該端末の識別情報を含む消去予約情報を送信し、データ消去処理を予約する第1のステップと、
前記第2のプログラムが、管理対象端末内において、前記消去予約情報を受信し、消去予約を受付けたことの確認情報として自端末の識別情報を含む消去開始情報を前記管理用端末に対して送信する第2のステップと
前記第1のプログラムが、前記管理用端末内において、受信した前記消去開始情報が前記消去予約情報を送信した管理対象端末からのものであるかを当該管理対象端末の識別情報により判定し、そうであればその判定結果を送信元の管理対象端末に返信する第3のステップと、
前記第2のプログラムが、管理対象端末内において、前記判定結果を受信し、記憶装置内のデータ消去処理を実行した後、消去処理を実行した管理対象端末の識別情報、実行日時を含む消去証明情報を発行し、前記管理用端末に送信する第4のステップと、
前記第1のプログラムが、前記管理用端末内において、受信した前記消去証明情報に基づき前記管理用データベースに格納された管理対象端末毎の消去処理状態を更新する第5のステップと、
を備えることを特徴とするプログラム。 The management target terminal includes a first program executed on the management terminal and a second program executed when the data erasure process is executed on the management target terminal. It is a program used to record and manage each in the management database,
A first step in which, in the management terminal, the first program transmits erasure reservation information including identification information of the terminal to a management target terminal and reserves a data erasure process;
The second program receives the erasure reservation information in the management target terminal, and transmits erasure start information including identification information of the own terminal to the management terminal as confirmation information that the erasure reservation has been accepted. A second step of :
In the management terminal, the first program determines whether the received erasure start information is from the management target terminal that transmitted the erasure reservation information, based on the identification information of the management target terminal. If so, a third step of returning the determination result to the transmission source managed terminal,
After the second program receives the determination result in the management target terminal and executes the data erasure process in the storage device, the erasure certificate including the identification information of the management target terminal that executed the erasure process and the execution date and time A fourth step of issuing information and transmitting to the management terminal;
A fifth step in which the first program updates the erasure processing state for each management target terminal stored in the management database based on the received erasure certification information in the management terminal;
A program comprising: 前記第1のプログラムが、前記第1のステップにおいて、管理用端末は管理対象端末に対して消去処理の後処理に対応する識別情報を送信し、In the first step, the management terminal transmits identification information corresponding to post-processing of the erasure process to the management target terminal in the first step,
前記第2のプログラムが、前記第4のステップにおいて、前記管理対象端末は、前記後処理に対応する識別情報で指示された後処理を消去処理後に実行し、その実行結果を前記消去証明情報に付加して発行することを特徴とする請求項6に記載のプログラム。  In the fourth step, the second terminal executes the post-processing instructed by the identification information corresponding to the post-processing after the erasure processing in the fourth step, and the execution result is used as the erasure certification information. The program according to claim 6, wherein the program is additionally issued. 前記後処理は、消去済みマークの書き込み、または書き込み禁止設定であることを特徴とする請求項7に記載のプログラム。The program according to claim 7, wherein the post-processing is writing of an erased mark or writing prohibition setting. 前記第2のプログラムが、前記管理対象末内において、前記管理対象端末の消去処理結果に応じ、管理対象端末の書き込み禁止設定の解除または消去済みマークの消去を行う第6のステップをさらに備えることを特徴とする請求項8に記載のプログラム。 The second program further includes a sixth step of canceling the write prohibition setting of the management target terminal or erasing the erased mark in accordance with the erasure processing result of the management target terminal within the management target end. The program according to claim 8 . 前記第1のプログラムが、前記第1のステップにおいて、データ消去処理を実施する管理対象端末毎に固有の第1のランダムデータを生成し、当該第1のランダムデータを含む消去予約情報をデータ消去処理を実施する管理対象端末に対して送信すると共に、前記第1のランダムデータを送信先の管理対象端末の識別情報と対応付けて前記管理用データベースに格納するステップを備え、
前記第2のプログラムが、前記第2のステップにおいて前記消去予約情報の受信を契機に固有の第2のランダムデータを生成し、当該第2のランダムデータにより前記管理用端末から受信した第1のランダムデータを暗号化し、その暗号化データと前記管理用端末から受信した第1のランダムデータ及び自端末の識別情報とを含む消去開始情報を前記管理用端末に対して送信するステップを備え、
前記第1のプログラムが、前記第3のステップにおいて前記管理対象端末から受信した識別情報により前記管理用データベースを検索し、当該識別情報に対応して格納されている第1のランダムデータと前記管理対象端末から受信した第1のランダムデータとを比較し、両者が一致している場合には前記管理対象端末から受信した前記暗号化データを当該管理対象端末の識別情報に対応付けて前記管理用データベースに格納すると共に、前記管理対象端末に対して消去開始を許可する旨の情報を管理対象端末に送信するステップを備え、
前記第2のプログラムが、前記第4のステップにおいて消去開始を許可する旨の情報を受信し、自端末内の記憶装置内のデータの消去処理を実行した後、実行日時、自端末の識別情報及び前記第2のステップで生成した第2のランダムデータから成る消去証明情報を前記管理用端末に送信するステップを備え、
前記第1のプログラムが、前記第5のステップにおいて前記消去証明情報を受信し、当該消去証明情報を送信した管理対象端末の識別情報により前記管理用データベースから当該識別情報に対応付けて格納されている第1のランダムデータと暗号化データを取得した後、当該第1のランダムデータを前記第4のステップで前記管理対象端末から受信した第2のランダムデータにより暗号化し、その暗号化データと前記管理用データベースから取得した暗号化データとを比較し、両者が一致する場合には、前記消去証明情報が当該管理用端末によりデータ消去処理の実施を予約した管理対象端末からデータ消去処理の実行後に送信された正当な消去証明情報であるものと判定し、当該消去証明情報中のデータ消去処理の実行日時の情報を管理対象端末の識別情報に対応付けて前記管理用データベースに格納するステップを備える
ことを備えることを特徴とする請求項1に記載のプログラム。 In the first step, the first program generates unique first random data for each managed terminal that performs data erasure processing, and erases erasure reservation information including the first random data. Transmitting to the management target terminal that performs the process, and storing the first random data in the management database in association with the identification information of the destination management target terminal;
In the second step, the second program generates unique second random data triggered by reception of the erasure reservation information in the second step, and the first program received from the management terminal by the second random data. Encrypting random data, and transmitting to the management terminal erase start information including the encrypted data and the first random data received from the management terminal and identification information of the terminal,
The first program searches the management database based on the identification information received from the management target terminal in the third step, and stores the first random data and the management stored corresponding to the identification information The first random data received from the target terminal is compared, and if the two match, the encrypted data received from the management target terminal is associated with the identification information of the management target terminal for the management Storing in the database, and sending information to the management target terminal that indicates that the management target terminal is allowed to start erasure,
After the second program receives the information indicating that the start of erasure is permitted in the fourth step and executes the erasing process of the data in the storage device in the own terminal, the execution date and time, the identification information of the own terminal And transmitting the erasure certification information consisting of the second random data generated in the second step to the management terminal,
The first program is stored in association with the identification information from the management database by the identification information of the managed terminal that has received the erasure certification information in the fifth step and transmitted the erasure certification information. After acquiring the first random data and the encrypted data, the first random data is encrypted with the second random data received from the management target terminal in the fourth step, the encrypted data and the When the encrypted data acquired from the management database is compared and the two match, the erasure certification information is sent from the management target terminal reserved for the execution of the data erasure process by the management terminal after execution of the data erasure process. It is determined that it is the legitimate erasure certification information that has been sent, and the information on the date and time of execution of data erasure processing in the erasure certification information is managed. Comprising the step of storing in the management database in association with the identification information of the terminal
The program according to claim 1, further comprising:
JP2007073177A 2007-03-20 2007-03-20 Terminal data erasure management method and program. Expired - Lifetime JP4493677B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007073177A JP4493677B2 (en) 2007-03-20 2007-03-20 Terminal data erasure management method and program.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007073177A JP4493677B2 (en) 2007-03-20 2007-03-20 Terminal data erasure management method and program.

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2001184009A Division JP3976227B2 (en) 2001-06-18 2001-06-18 Terminal data erasure management method and program.

Publications (2)

Publication Number Publication Date
JP2007183992A JP2007183992A (en) 2007-07-19
JP4493677B2 true JP4493677B2 (en) 2010-06-30

Family

ID=38339954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007073177A Expired - Lifetime JP4493677B2 (en) 2007-03-20 2007-03-20 Terminal data erasure management method and program.

Country Status (1)

Country Link
JP (1) JP4493677B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11856112B2 (en) 2020-09-18 2023-12-26 Kabushiki Kaisha Toshiba System, server device, and storage device

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5345923B2 (en) * 2009-11-26 2013-11-20 シャープ株式会社 Information apparatus, image processing apparatus, information processing apparatus capable of communicating with information apparatus, and information processing system including them
JP5458144B2 (en) * 2012-06-19 2014-04-02 株式会社日立製作所 Server system and virtual machine control method
JP2015232810A (en) * 2014-06-10 2015-12-24 株式会社東芝 Storage device, information processor and information processing method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177525A (en) * 1996-12-16 1998-06-30 Matsushita Electric Ind Co Ltd Protective system for portable electronic device
JP2001134470A (en) * 1999-11-04 2001-05-18 Lightwell Co Ltd State managing device and program recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177525A (en) * 1996-12-16 1998-06-30 Matsushita Electric Ind Co Ltd Protective system for portable electronic device
JP2001134470A (en) * 1999-11-04 2001-05-18 Lightwell Co Ltd State managing device and program recording medium

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11856112B2 (en) 2020-09-18 2023-12-26 Kabushiki Kaisha Toshiba System, server device, and storage device

Also Published As

Publication number Publication date
JP2007183992A (en) 2007-07-19

Similar Documents

Publication Publication Date Title
JP3976227B2 (en) Terminal data erasure management method and program.
US7925879B2 (en) Information processing unit with information division recording function
US6378071B1 (en) File access system for efficiently accessing a file having encrypted data within a storage device
JP5429952B2 (en) Electronic device, password deletion method and program
JP4816012B2 (en) Information processing apparatus, software installation method, and optical disc
JP2007522707A (en) Backup and restoration of DRM security data
JP2010134578A (en) Information processing apparatus and content protection method
JP4493677B2 (en) Terminal data erasure management method and program.
US9910998B2 (en) Deleting information to maintain security level
US20130024698A1 (en) Digital content management system, device, program and method
JP5255991B2 (en) Information processing apparatus and computer program
KR100910075B1 (en) A data processing apparatus, a method and a recording medium having computer program recorded thereon for processing data
CN109214204A (en) Data processing method and storage equipment
JP4266412B2 (en) Data storage system
US8976964B2 (en) Key pair management method and image forming device
JP4765459B2 (en) License authentication device
WO2009147817A1 (en) Authentication system, information processing apparatus, storage apparatus, authentication method and program
JP2007188445A (en) Information leakage prevention system and information leakage prevention method
JP5631251B2 (en) Information leakage prevention method
US8972724B2 (en) Digital content management system, digital watermark embedding device, digital watermark detection device, program, and digital content management method
JP3957919B2 (en) Originality assurance electronic storage method, computer-readable recording medium storing a program for causing computer to execute the method, and originality assurance electronic storage device
JP6585464B2 (en) Information recording apparatus, method for preventing falsification of information recording apparatus, and program
JP4613198B2 (en) Image forming system
JP2018139025A (en) Data erasing method, data erasing program, computer with data erasing program and data erasing management server
JPWO2020138505A1 (en) File transmission system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100406

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100406

R150 Certificate of patent or registration of utility model

Ref document number: 4493677

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160416

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term