JP6056567B2 - 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム - Google Patents

情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム Download PDF

Info

Publication number
JP6056567B2
JP6056567B2 JP2013048683A JP2013048683A JP6056567B2 JP 6056567 B2 JP6056567 B2 JP 6056567B2 JP 2013048683 A JP2013048683 A JP 2013048683A JP 2013048683 A JP2013048683 A JP 2013048683A JP 6056567 B2 JP6056567 B2 JP 6056567B2
Authority
JP
Japan
Prior art keywords
data
erasing
identification information
erasure
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013048683A
Other languages
English (en)
Other versions
JP2014174862A (ja
Inventor
智広 山▲崎▼
智広 山▲崎▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013048683A priority Critical patent/JP6056567B2/ja
Publication of JP2014174862A publication Critical patent/JP2014174862A/ja
Application granted granted Critical
Publication of JP6056567B2 publication Critical patent/JP6056567B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Facsimiles In General (AREA)
  • Storing Facsimile Image Data (AREA)

Description

本発明は、情報処理装置、この情報処理装置を備えた画像形成装置、データ消去方法、および、データ消去プログラムに関する。
近年のセキュリティ意識の高まりにより、オフィス等では、情報のセキュリティ管理が求められるようになった。例えばパーソナルコンピュータ(PC)で扱う情報のセキュリティ管理は一般的である。さらに、オフィス等では、複写機、プリンタ、ファクシミリ、プロッタ、および、これらの複合機((MFP:Multi Function Peripherals)等の画像処理装置(画像形成装置)で扱う情報のセキュリティ管理が求められるようになっている。
例えば、MFPでは内蔵しているハードディスク装置(以下、「HDD」という)に画像データの他、システム情報やユーザ情報が記録されている。このHDDは電源を切断してもデータを保持する不揮発性の記憶装置であるため、セキュリティ上の脅威の対象となり得る。したがって、MFPでは、このセキュリティ上の脅威からHDDに記録された画像データの他、システム情報やユーザ情報(以下、「データ等」という)を保護するために、以下のような方法を取ることが既に知られている。
(1)HDDに記録するデータ等を暗号化する。
(2)HDDを破棄またはシステムを初期化する際に、HDDの全内容を破棄する。
(3)システムの動作において不要となったデータ等を完全消去する。
特に、MFPのHDDを交換する場合や、MFP自体を交換する場合等は、上記(2)または(3)のように、データを破棄、消去することが、セキュリティ上、重要かつ有効な手段である。
しかしながら、従来は、一括消去によりデータ等を完全に消去するため、システムが通常行っているフォーマット等の動作によりデータの消去処理を行っているが、データ等がHDD上に残存することがあり、十分とは言えなかった。この残存したデータ等を完全に消去するには、データ等を複数回、上書きする必要がある。そのため、従来のMFPでは、一括消去又は逐次消去によりデータ等を完全に消すために、データ等を複数回上書きする必要があり消去に時間がかかるという問題があった。
これに対して、HDDのデータ消去を高速に行う目的で、ブロック単位で上書き消去処理して細かく領域を解放していくことにより、HDDの記憶領域を効率よく利用できるようにする手法が開示されている(たとえば、特許文献1参照)。
また、データ消去を高速に行う方式として,“Secure Erase”コマンドがATA規格で定められている。この“Secure Erase”コマンドを実行することで、一回の上書きで、データの消去を高速に行うことができる。この”Secure Erase”コマンドによるデータ消去の手順としては、まず、“Security Set Password”コマンドによってHDDにユーザ・パスワードを設定し、HDDへのアクセスを許可しないロック状態とする。このようにロック状態としたうえで、“Secure Erase”コマンドを発行することによりデータ消去が実行される。
しかしながら、いずれの場合でも、データ消去の実行途中に停電等で電源が切られてしまうと、その後再起動した場合に、データ消去が未完状態で、データが残ったままとなることがある。特に“Secure Erase”コマンドの実行途中に停電などで電源が切られてしまうと、再起動した場合にHDDがロック状態のまま立ち上がる。その結果、当該HDDに対して、限定されたコマンドしか利用できない状態になってしまう。
本発明は、上記の事情に鑑みて為されたもので、ハードディスク装置等の記憶装置のデータ消去を、処理途中の電源断等に影響されることなく、より高速に行うことが可能な情報処理装置、この情報処理装置を備えた画像形成装置、データ消去方法、および、データ消去プログラムを提供することを目的とする。
上記の目的を達成するため、本願に係る情報処理装置は、記憶装置にアクセスして、記憶装置のデータを消去する情報処理装置であって、記憶装置のデータ消去の実行状況を記憶する第1の識別情報およびデータ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、第2の識別情報に基づいて、“Secure Erase”コマンドを含む少なくとも1以上のデータ消去方式を用いて、記憶装置のデータ消去を行うとともに、該データの消去実行中は第1の識別情報にデータ消去中を示す情報を設定するデータ消去手段と、を備え、データ消去の実行時に、第2の識別情報のデータ消去方式が“Secure Erase”である場合、データ消去手段は、第1の識別情報を参照し、データ消去実行中でない場合には、記憶装置へのアクセスを制限するパスワード設定を行った後、“Secure Erase”コマンドを発行してデータ消去を行い、データ消去実行中である場合には、記憶装置へのパスワード設定を行うことなく、“Secure Erase”コマンドを発行してデータ消去を行うよう構成されたことを特徴とする。
本発明によれば、ハードディスク等の記憶装置のデータを高速に消去することができ、停電等によりデータ消去実行中に電源が切られた場合であっても、次回起動時にデータ消去途中であったことを検知し、再度データ消去を実行することができる。そのため、ハードディスク装置等の記憶装置のデータ消去を、処理途中の電源断等に影響されることなく、より高速に行うことが可能な情報処理装置、この情報処理装置を備えた画像形成装置、データ消去方法、および、データ消去プログラムを提供することができる。特に、“Secure Erase”コマンドを用いることで、記憶装置のデータ消去を、より高速に行うことができる。また、コマンド実行中に、ロック状態のまま電源が切られた場合であっても、再起動時にロック状態であるかを検出し、ロック状態であった場合は再度“Secure Erase”を実行することで、電源断等に影響されることなく、データ消去を高速かつ良好に行うことができる。
本願の実施例1に係る画像形成装置のハードウェア構成例を示すブロック図である。 図1に示す画像形成装置における、コントローラ上で実行されるソフトウェア構成例を示すブロック図である。 識別情報テーブルを説明するための説明図であり、(a)はNVRAM上の識別情報テーブルの構成例を示す図であり、(b)はデータの消去方式とその種別との対応を示す表である。 データ消去手段の機能構成例を示すブロック図である。 通常モードでのデータ消去処理工程を表すフローチャートである。 再起動モードでのデータ消去処理工程を表すフローチャートである。 “Secure Erase”コマンドでのデータ消去処理工程を表すフローチャートである。 データ消去中に操作部に表示されるメッセージの一例を示す概略図である。 データ消去中に電源断となり、再起動時に処理が停止してしまった場合に操作部に表示されるメッセージの一例を示す概略図である。
以下、本願の実施の形態を説明する。本願に係る情報処理装置は、ハードディスク等の記憶装置からデータを消去(初期化)するものであり、記憶装置のデータ消去の実行状況を記憶する第1の識別情報およびデータ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、第2の識別情報に基づいて、“Secure Erase”コマンドを含む少なくとも1以上のデータ消去方式を用いて、記憶装置のデータ消去を行うとともに、該データの消去実行中は第1の識別情報にデータ消去中を示す情報を設定するデータ消去手段と、を備えて構成されている。本願に係る画像形成装置は、このような情報処理装置を備え、複写機、プリンタ、ファクシミリ、プロッタ装置、またはこれらの複合機等の画像形成装置である。また、本願のデータ消去方法は、ハードディスク等の記憶装置からデータを消去する方法であり、情報処理装置によって実行される。
ここで、高速にデータ消去を行う方式として、“Secure Erase”コマンドがATA規格で定められている。この“Secure Erase”は一回の上書きではあるものの消去の安全性は高いとして、トレードオフの関係にある安全性のレベルと速度を両立させるものである。この処理は、まず、対応したディスクに“Security Set Password”コマンドによってユーザ・パスワードを設定し、ハードディスクへのアクセスを許可しないロック状態にする。このようにロック状態としたところで、“Secure Erase”コマンドを発行することにより実行される。そのため、“Secure Erase”実行途中に停電などで電源が切られてしまうと,再起動した場合にハードディスクがロック状態のまま立ち上がってしまい、限定されたコマンドしか利用できない状態になる。また、“Secure Erase”以外のデータ消去方式の場合でも、データ消去の実行途中で電源断や再起動がされてしまうと、HDDにデータが残留してしまうことがある。
以上を鑑みて、本願に係る情報処理装置では、記憶装置のデータ全体を消去する際に、データ消去を実行中であることを示すため、第1の識別情報としてのフラグ(以下、「実行フラグ」と呼ぶ)をONにして不揮発性メモリに保持しておく。そして、データ消去が正常に完了した場合に、実行フラグを落とす(クリアする)ことで、データ消去が完了したか否かを容易に判断できるような構成としている。さらに、データ消去に“Secure Erase”を用いたか、または他の消去方式を用いたかを識別するために、第2の識別情報としてフラグ(以下、「種別フラグ」と呼ぶ)に種別を設定し、不揮発メモリに保存している。
これらのフラグにより、データ消去実行中に電源が切られた場合は、次回起動時に不揮発性メモリから実行フラグを読み出し、実行フラグが立っていた場合にデータ消去が正常に完了しなかったとして、再度データ消去を実行する。その際、種別フラグを読み出して、電源断前のデータ消去の種類を取得し、“Secure Erase”コマンドを用いていた場合には、パスワード設定をスキップして、“Secure Erase”コマンドを実行する。これにより、ハードディスクがロック状態となったままとなることがなく、記憶装置のデータ消去を効率的かつ良好に行うことができる。また、他の消去方式の場合でも、種別フラグに記憶された消去方式を用いることで、データ消去を良好に行うことができる。以上のように、データ消去途中の電源断等に影響されることなく、データ消去を完了して、セキュリティの脅威からHDDを保護することができる。
[画像形成装置]
以下に、本願に係る、情報処理装置を備えた画像形成装置の一実施例について、図面を参照しながら説明する。図1は、実施例1に係る情報処理装置を備えた画像形成装置のシステム構成図である。図1に示すように、実施例1の画像形成装置(画像形成装置本体)100は、画像形成手段111と、この画像形成手段111を制御するコントローラボード(以下、「コントローラ」と呼ぶ)101と、を備えて構成されている。
画像形成手段111は、プロッタ部112、および、スキャナ部113を備えている。プロッタ部112は、コントローラ101から送信される画像処理結果の画像データに基づいて、画像を印刷出力する。スキャナ部113は、画像読取装置であり、紙等の媒体に記録された画像をスキャンし、画像データをコントローラ101に転送する。
コントローラ101は、CPU(Central Processing Unit)102、不揮発性メモリとしてのNVRAM(Non-volatile RAM)103、ROM(Read Only Memory)104、データの一時記憶のためのRAM(Random Access Memory)105、画像処理手段106、ファクシミリ装置(不図示)を備えるFCU(Facsimile Control Unit)107、操作部108、HDD(Hard Disk Drive)109、および、ネットワーク制御手段110を備えている。
CPU102は、OS(Operating System)221(図2参照)や、画像形成手段111等を制御するための制御プログラムを実行することで、画像形成装置100の動作を制御する。また、CPU102上では、HDD109のデータ消去を行うデータ消去手段120が動作する。
データ消去手段120の機能構成例を、図4に示す。この図4に示すように、データ消去手段120は、ユーザから入力されたデータ消去の指定を取得するデータ消去指定取得部121と、データ消去方式を取得するデータ消去方式取得部122と、HDD109の詳細情報を取得する詳細情報取得部123と、データ消去種別に対応してデータ消去を実行するデータ消去実行部124と、識別情報であるフラグの設定やクリアを行うフラグ設定部125と、操作部108にメッセージを表示するメッセージ表示部126と、等を有している。
NVRAM103は、識別情報記憶手段であり、データ消去処理を行う際に、データ消去手段120がアクセスして設定または参照する識別情報が、テーブル形式で記憶されている。図3は、識別情報記憶手段としての識別情報テーブル10の構成を示す図である。図3(a)に示すように、識別情報テーブル10には、第一識別情報としての実行フラグ11と、第二識別情報としての種別フラグ12とが記憶される。なお、本実施例では、識別情報として、フラグを用いているが、本願がこれに限定されることはなく、フラグ以外で識別情報を保持するようにしてもよい。また、本実施例では、識別情報記憶手段として、NVRAM103を用いている。しかし、本願がこれに限定されることはなく、電源の供給がなくとも記憶した情報を保持することが可能であればよく、HDD、フロッピィディスク、光ディスク、フラッシュメモリ等、他の記憶手段を用いてもよい。
実行フラグ11は、データ消去の実行中であるか否かを識別するフラグである。この実行フラグ11は、データ消去手段120によって設定および参照される。データ消去手段120は、データ消去処理を実行する際に、実行フラグ11をON(1)に設定し、データ消去処理が正常に終了した時に、実行フラグ11をOFF(0)に設定する。また、データ消去手段120は、起動時または再起動時に、実行フラグ11を参照して、データ消去処理が正常に完了しているか否かを判断する。起動時または再起動時に実行フラグ11がONとなっている場合は、データ消去処理が実行中または実行途中で処理が中断されたことを示す。実行フラグ11がOFFとなっている場合は、データ消去処理が行われていないか、または、正常に終了したことを示す。
種別フラグ12は、データ消去方式の種別を識別するフラグである。図3(b)に、データ消去方式と、その種別を表す識別子とを対応付けた表を示す。図3(b)に示すように、本実施例で使用するデータ消去方式には、1:NSA方式、2:DoD方式、3:乱数方式、4:フォーマット、5:BSI/VSITR方式、6:“Secure Erase”コマンドがある。種別フラグ12には、各消去方式に対応する種別として、1〜6から選択される数値を設定しているが、本願がこれに限定されることはなく、文字等、数値以外のものを設定してもよいし、ビットのON、OFF等で識別するようにしてもよい。
また、この種別フラグ12も、データ消去手段120によって設定および参照される。データ消去手段120は、ユーザより操作部108からデータ消去指定があった時に、ユーザにより指定されたデータ消去の方式に対応した種別を、種別フラグ12に設定する。また、再起動時に、データ消去手段120が再度消去処理を実行する際に、この種別フラグ12を参照し、前回実行された消去方式の種別を取得し、この種別に対応した消去方式で、データ消去処理を再度実行する。
RAM105は、CPU102の作業用領域として使用される揮発性メモリである。ROM104は、CPU102が実行する画像形成、画像処理、データ消去、その他のアプリケーション・プログラムが格納される不揮発性メモリである。これらのアプリケーション・プログラムは、RAM105上に展開されて、CPU102によって実行される。
操作部108は、ユーザの操作情報の入力受け付けを行う。また、ユーザへの情報表示を行う表示手段としての機能をも有している。HDD109は、画像形成手段111のスキャナ部113等から送信される画像データ、文書データを保存する。HDD109は、さらに、本実施例の画像形成装置100に係るアプリケーション・プログラムを含む、画像形成装置(複合機)100上で動作させる各種のアプリケーション・プログラム、フォントデータ、システム情報、ユーザ情報等を含む各種のデータを蓄積する大容量の記憶装置である。なお、本実施例では、このような記憶装置として、HDD109を有しているが、本願がこれに限定されることはなく、例えば、SDD(Solid State Drive)などであってもよい。
ネットワーク制御手段110は、LAN等のネットワーク115経由で、画像形成装置100と外部装置114等とのデータ通信を制御する。ネットワーク制御手段110は、さらに、USBインタフェースを備え、外部機器であるUSB機器(不図示)との通信を行なうよう構成してもよい。外部装置114は、例えばパーソナルコンピュータ(PC:Personal Computer)等であり、画像形成装置100に印刷指示(印刷要求)等を送信して、画像形成装置100の動作を制御する。
画像処理手段106は、スキャナ部113から入力された画像やHDD109から取得した画像に対して、色補正等の画像処理を行い、処理後の画像データをプロッタ部112等へ出力する。
また、画像形成装置100は、コントローラ101内に、データ消去手段120を有している。前述のように、CPU102は、ROM104等に格納されたアプリケーション・プログラムをRAM105に展開して実行することで各種機能が実現される。すなわち、データ消去プログラムの実行により、CPU102がデータ消去の処理手順を実行するデータ消去手段120として機能する。
なお、上記構成の画像形成装置100において、図1に示す点線で囲った部分が、本実施例における情報処理装置116を構成する。図1に示すように、情報処理装置116は、データ消去プログラムを実行するCPU102、識別手段を記憶するNVRAM103、データ消去プログラムが展開されるRAM105、および、データ消去処理の対象となるHDD109を備え、さらに、データ消去プログラムを格納するROM104、データ消去指示等を与える操作部108等を備えて構成されている。
次に、コントローラ101上で実行されるソフトウェアについて、図2を用いて説明する。図2は、コントローラ101上で実行されるソフトウェア群200の構成を示すブロック図である。このソフトウェア群200は、アプリケーション群201と、プラットホーム210とを備えている
プラットホーム210は、アプリケーションプログラムインタフェース(API)230を利用して、アプリケーション群201からの処理要求を受信し、各種情報処理を実行する。プラットホーム210は、アプリケーション群201からの処理要求を解釈して、ハードウェア資源の獲得要求を発生させるコントロールサービス211と、ハードウェアを直接的に制御するBIOS(Basic Input / Output System)220(またはモニタプログラム)と、BIOS220上で動作するOS221と、一または複数のハードウェア資源の管理を行い、コントロールサービス211からの獲得要求を調停するシステムリソースマネージャ(SRM)222と、を備えている。
OS221は、例えば、UNIX(登録商標)などの汎用オペレーティングシステムであり、プラットホーム210およびアプリケーション群201の各ソフトウェアを並列的に実行する。OS221は、画像形成装置100の各種デバイスを動作させるためのデバイスドライバと、起動時に実行される起動処理プログラムを備え、これらのアプリケーション・プログラムがCPU102により実行されることにより、図1に示すデータ消去手段120等の各機能の実現手段が実現される。
アプリケーション群201は、コピー用のアプリケーション・プログラム(以下、単に「アプリケーション」または「アプリ」という)であるコピーアプリ202、プリンタ用のアプリケーションであるプリンタアプリ203、スキャナ用のアプリケーションであるスキャナアプリ204、ファクシミリ用のアプリケーションであるFAX(ファクシミリ)アプリ205等の、各種のアプリケーションを有している。
コントロールサービス211は、以下の複数のサービスモジュールから形成される。サービスモジュールは、SCS(システムコントロールサービス)217と、ECS(エンジンコントロールサービス)212と、MCS(メモリコントロールサービス)213と、OCS(オペレーションパネルコントロールサービス)214と、FCS(ファックスコントロールサービス)215と、NCS(ネットワークコントロールサービス)216と、から構成されている。
SCS217のプロセスは、アプリケーション管理、操作部制御、システム画面表示、LED表示、リソース管理、割り込みアプリケーション制御などを行う。また、SCS217のプロセスは、データ消去手段120からの要求に従って、HDD109のデータを消去するための各種コマンドの発行を行う等、データ消去の処理を実行する。
ECS212のプロセスは、スキャナ部113等のハードウェアリソースのエンジンの制御を行う。MCS213のプロセスは、システムメモリの領域の取得および解放、RAM105やHDD109等の記憶装置の利用などの制御を行う。OCS214のプロセスは、利用者と本体制御との間の情報伝達手段となる操作部108の制御を行う。
FCS215のプロセスは、ISDN(Integrated Services Digital Network)網などを利用したファクシミリの送受信、各種ファクシミリデータの登録や読み取り、あるいは、ファクシミリ受信印刷などを、FAXアプリ205等から行うためのソフトウェア・インタフェースを提供する。
NCS216のプロセスは、ネットワークI/O(インプット/アウトプット)を必要とするアプリケーションに対して共通に利用できるサービスを提供する。NCS216のプロセスは、ネットワーク側から各プロトコルによって受信したデータを各アプリケーションに振り分け、また、各アプリケーションからのデータをネットワーク側に送信する際の仲介を行う。
SRM222のプロセスは、SCS217とともにシステムの制御およびリソースの管理を行うものである。SRM222のプロセスは、スキャナ部113やプロッタ部112等のエンジン、メモリ(NVRAM103,ROM104,RAM105)、HDD109等のハードウェア資源を利用する上位層からの要求にしたがって調停を行い、実行制御する。
具体的には、このSRM222は、要求されたハードウェア資源が利用可能であるか(他の要求により利用されていないかどうか)を判断し、利用可能であれば要求されたハードウェア資源が利用可能である旨を上位層に伝える。また、SRM222は、上位層からの要求に対してハードウェア資源の利用スケジューリングを行い、要求内容(例えば、プロッタエンジンにより紙搬送と作像動作、メモリ確保、ファイル生成、データ消去など)を直接実施している。
以上のソフトウェア構成により、コントローラ101上でBIOS220がOS221を起動する。OS221上では、コピーアプリ202、プリンタアプリ203、スキャナアプリ204、FAXアプリ205等のアプリケーションからの処理要求を解釈してハードウェア資源の獲得要求を発生させるコントロールサービス211と、一または複数のハードウェア資源の管理を行い、コントロールサービス211を構成する各コントロールサービスからの獲得要求を調停するSRM222が動作する。
[データ消去方法]
上述のような構成の画像形成装置100において、データ消去手段120で実現されるデータ消去方法について説明する。データ消去処理は、本実施例では以下の2つのタイミングで行われる。このデータ消去処理の後述の“Secure Erase”コマンド、その他のコマンド発行等は、SCS217で実行される。
(1)画像形成装置100を起動しているときに、ユーザによりデータ消去の指示が与えられた時。
(2)画像形成装置100を起動または再起動した時であって、前回の起動時にデータ消去処理を実行している途中で、電源断等によりデータ消去処理が中断され、データ消去が完了していなかった時。
(1)の状態を、「通常モード」と呼び、(2)の状態を「再起動モード」と呼ぶ。システム上では、「通常モード」とは、データ消去処理の実行中を示す実行フラグ11がOFFであり、データ消去方式を示す種別フラグ12もクリアされている状態である。「再起動モード」とは、実行フラグ11がONであり、種別フラグ12にも、1〜6のいずれかの種別設定されている状態である。
以下、「通常モード」および「再起動モード」でのそれぞれのデータ消去処理の詳細を、図5〜図7のフローチャートを用いて説明する。図5は、「通常モード」でのデータ消去処理工程を表すフローチャートである。図6は、「再起動モード」でのデータ消去処理工程を表すフローチャートである。図7は、“Secure Erase”コマンドでのデータ消去処理工程を表すフローチャートである。
<通常モードでのデータ消去処理>
「通常モード」でのデータ消去処理は、前述のように、画像形成装置100が起動し、コピー、プリント等の通常の画像処理を行えるよう待機状態の時に、操作部108においてユーザがデータ消去の指定を行うことで実行される。なお、このような起動の他にも、例えば、画像形成装置100が再起動され、「再起動モード」で処理が実行された後に、図6に示すステップS55で、画像形成装置100が通常起動シーケンスで起動する。この起動後においても、ユーザが操作部108からHDD109のデータ消去の要求を入力することで「通常モード」のデータ消去が開始される。このデータ消去の指定は、OCS214を介してデータ消去手段120に伝達される
以下、通常モードでのデータ消去処理について、図5のフローチャートを用いて詳細に説明する。画像形成装置100のデータ消去手段120では、ステップS10に示すように、データ消去指定取得部121が、ユーザよりデータ消去の指定の有無を常時、監視している。データ消去の指示があった場合、次のステップS11で、データ消去方式取得部122が、ユーザにより操作部108から入力されたデータの消去方式を取得する。本実施例では、図3(b)に示したようなデータ消去方式のいずれかが指定される。
次に、ステップS12で、データ消去手段120は、指定された消去方式が“Secure Erase”コマンドであるか否かを判定する。YESの場合は、ステップS30に進み、“Secure Erase”コマンドでのデータ消去を実行する。“Secure Erase”コマンドでのデータ消去の詳細は後述する。
これに対して、消去方式が“Secure Erase”コマンド以外(NO)の場合は、ユーザにより指定されたそれぞれの消去方式でデータ消去を実行するため、ステップS13に進む。
このステップS13では、フラグ設定部125が、データ消去処理の実行中であることを示す実行フラグ11をONにし、種別フラグ12に、指定された消去方式の種別:1〜5(6:“Secure Erase”以外)を設定し、NVRAM103を更新する。次に、ステップS14では、メッセージ表示部126が、操作部108にデータ消去中である旨のメッセージ(例えば、図8に示すように、「メモリー消去中です。」)を表示する。また、この時に、他のアプリケーションによってHDD109がアクセスされないように、画像形成装置100では、データ消去手段120によるデータ消去処理を優先して実行し、他の操作ができないよう制御する。なお、このステップS14のメッセージ表示処理は、ステップS13の前に行ってもよいし、同時に行ってもよい。また、ステップS13、S14を、次のステップS15のデータ消去実行時に同時に行ってもよい。また、特にメッセージ表示が必要なければ、同ステップを行わなくてもよい。
次に、ステップS15で、データ消去手段120のデータ消去実行部124により、指定された消去方式に従って、以下のようにHDD109のデータ消去を実行する。
種別フラグ12が「1」の場合、NSA方式を用いてデータ消去を実行する。NSA方式は、NSA(米国国家安全保償局)の勧告に準拠した消去方式であり、図3(b)に記載のように、「乱数1(所定の乱数)→乱数2(乱数1とは異なる所定の乱数)→ゼロ」の順でデータを書き込むことで、HDD109内に記憶されていたデータを消去する。
種別フラグ12が「2」の場合、DoD方式を用いてデータ消去を実行する。DoD方式は、例えば、DoD 5220.22−M等、米国国防総省規格に準拠した消去方式で、乱数1→乱数1の1の補数→乱数2の順でデータを書き込むことで、HDD109内に記憶されていたデータを消去する。
種別フラグ12が「3」の場合、乱数方式を用いてデータ消去を実行する。単数方式では、ユーザによって指定された回数、または、NVRAM103等に予め設定されている回数で、異なる乱数を上書きすることで、HDD109内に記憶されていたデータを消去する。
種別フラグ12が「4」の場合、HDD109のフォーマットを実行して、データ消去を実行する。この場合、ファイルシステムの初期化のみ実施を行い、セクタ単位での消去は実施しない。このような条件でフォーマットすることにより、データ消去を迅速に行うことができる。
種別フラグ12が「5」であれば、BSI/VSITR方式を用いてデータ消去を実行する。BSI/VSITR方式は、ドイツ標準方式の消去方式で、「“00”,“FF”,“00”,“FF”,“00”,“FF”,“AA”」の順で、合計7回の書き込みを行うことで、HDD109内に記憶されていたデータを消去する。
以上、データ消去処理が完了すると、ステップS16で、フラグ設定部125は、実行フラグ11をOFFに設定し、種別フラグ12をクリア(たとえば、「0」を設定する等)し、NVRAM103を更新する(フラグクリア)。また、ステップS17で、メッセージ表示部126が、データ消去中である旨の操作部108へのメッセージ表示を解除する。この時、データ消去が完了した旨のメッセージをさらに表示してもよい。
以上により、HDD109の通常モードでのデータ消去処理が完了する。ユーザは、データ消去が完了したHDD109を、新たなHDD109と交換することができる。または、データが消去された画像形成装置100全体を新機種等と交換することもできる。また、データが消去された古いHDD109やこれを備えた画像形成装置100を、再利用することもできる。いずれの場合でも、本実施例のデータ消去処理により、古いHDD109のデータの消去が完了しているため、セキュリティ上の脅威からHDD109を保護するとことができる。
(“Secure Erase”コマンドを用いた「通常モード」でのデータ消去方法)
以下、図7のフローチャートを用いて、「通常モード」でのステップS30の“Secure Erase”コマンドによるデータ消去実行処理の詳細について説明する。なお、図7のフローチャートは、「通常モード」および「再起動モード」の双方のモードでの処理が組み込まれているため、ここでは、「通常モード」の場合に実行されるステップを中心に説明する。
“Secure Erase”コマンドは、ATA、SATAのHDD109に実装されているコマンドであり、米国国立標準技術研究所により承認されているものである。前述したように、“Secure Erase”コマンドは、上記の他の消去方式と比較して、一回の上書きで、データの消去を高速に行うことができるため、本実施例の画像形成装置100におけるデータ消去方式として好ましい。なお、本実施例では、データ消去対象の記憶装置として、HDD109を例としているが、“Secure Erase”コマンドに対応していれば、SSD等、他の記憶装置でも同様の処理フローでデータ消去を行うことができる。また、SSDでパーティションがある場合等は、“Secure Erase”コマンドでのデータ消去ができないことがあるため、パーティションを削除しておくなどの対応を行っておくことが望ましい。
「通常モード」でのデータ消去の際には、まず、ステップS31で、データ消去手段120の詳細情報取得部123が、ATAの“Identify”コマンドを発行して、HDD109の詳細情報を取得する。これは、次のステップS32で行うHDD109が“Secure Erase”に対応しているか否かの判定と、ステップS33で行う“Secure Erase”動作モードの確認と、ステップS34で行うHDD109がロックモードか否かを判定するために行うものである。また、「再起動モード」の場合には、HDD109の交換があったか否かの判定にも用いられる。
次に、ステップS32では、HDD109が“Secure Erase”に対応しているか否か判定する。この判定は、具体的には、HDD109が“Identify”コマンドを受け付けたか否かで行う。当該コマンドを受け付けた場合(詳細情報の取得成功)は、“Secure Erase”に対応しているとして、次のステップS33に進む。当該コマンドを受け付けない場合(コマンドエラー:詳細情報取得エラー)は、非対応であり、“Secure Erase”によるデータ消去ができない。そのため、ステップS47に進み、メッセージ表示部126によりデータ消去ができない旨の警告メッセージを操作部108に表示して、処理を終了する。
ステップS33では、データ消去対象のHDD109が“Enhanced”モードが利用可能であるかチェックする。具体的にはステップS31で発行した“Identify”コマンドの結果において、128ワードのbit6を参照して判定する。この情報は、後述のステップS38で使用する。
次に、ステップS34で、データ消去実行部124は、データ消去対象のHDD109がロックモードであるか否かを判定する。この判定は、具体的には、ステップS31で取得したHDD109の詳細情報の128ワードの中の、bit2を参照して行なうことができる。このbit2がON(1)であれば、ロックモードであり、OFF(0)であれば、ロックモードでないと判定する。ロックモードとは、HDD109にパスワードがかかった状態をいう。“Secure Erase”でのデータ消去中に、他のアプリケーションからHDD109がアクセスされるのを防止するために行われる。
しかし「通常モード」では、データ消去処理が初めて行われるか、または、「再起動モード」でのデータ消去処理が正常に終了した後に、改めて「通常モード」が指定されてデータ消去が実行されるものである。そのため、「通常モード」にて当該処理に進んだ場合は、HDD109はロックモードにはなってはおらず、ステップS34では、NOと判定される。この場合、次のステップS35に進む。ロックモードの詳細については、後述の「再起動モード」でのデータ消去処理にて詳細に説明する。
ステップS35では、NVRAM103のデータ消去の実行フラグ11がONであるか否かを判定する。「通常モード」では、当該処理前に、データ消去は行われていないか、または、正常に完了しているため、実行フラグ11はOFFと判定されるため、次のステップS36に進む。なお、ロックモードでないにも関わらず、実行フラグ11がONである場合がある。これは、データ消去処理中に、停電または処理が完了したと認識したユーザによって、電源が切断され、データ消去処理が中断されたにも関わらず、HDD109が交換されてしまった場合である。その詳細は、後述の「再起動モード」でのデータ消去処理にて詳細に説明する。
ステップS36では、データ消去実行部124が、HDD109に対してパスワード設定を行う。具体的には、他のアプリケーション等からのアクセスを制限するために任意のパスワードをパラメータに設定し、“SET SECURITY PASSWORD”コマンドをHDD109に対して発行することにより行う。
次に、ステップS37では、“Secure Erase”の前準備を行う。これはデータ消去実行部124が、ATAの“SECURITY ERASE PREPARE”コマンドをHDD109に対して発行することにより行う。
次に、ステップS38で、当該HDD109が“Normal”モードか(または“Enhanced”モードか)の判定を行う。“Normal”モードの場合は、次のステップS39で、“Enhanced”モードの場合は、ステップS40で、モードごとのパラメータ設定を行う。この判定および設定も、ステップS31で発行した“Identify”コマンドで取得したHDD109の詳細情報を、ステップS33でチェックした結果(128ワードのbit6)で判定する。ここで、“Normal”モードは、ドライブ全体を“0”消去するモードであり、“Enhanced”モードは、代替領域を含めたドライブ全体を“0”消去するモードである。“Normal”モードでは不良セクタの消去は行われないが“Enhanced”モードでは、不良セクタも含めた消去が行われる。
以上のように“Secure Erase”の準備が終了したら、まず、ステップS41で、フラグ設定部125により実行フラグ11をONにし、種別フラグ12に、消去方式“Secure Erase”の種別:6を設定し、NVRAM103を更新する。次に、ステップS42では、メッセージ表示部126により、図8に示すように、操作部108に「メモリー消去中」である旨のメッセージを表示する。また、画像形成装置100を制御して、データ消去処理を優先的に行うか、または、他の操作ができないようにする。その後、ステップS43で、データ消去実行部124が“Secure Erase”コマンドを発行することで、HDD109のデータ消去を開始する。このステップS41〜S43は、順番を入れ替えて行ってもよいし、並列に行ってもよい。
次に、ステップS44で、データ消去実行部124は、データ消去処理が完了したか否かを監視する。データ消去処理が完了したら(YES)、ステップS45で、フラグ設定部125により実行フラグ11をOFFに設定し、種別フラグ12をクリアし、NVRAM103を更新する(フラグクリア)。最後に、ステップS46で、メッセージ表示部126により、データ消去中である旨の操作部108へのメッセージ表示を解除する。この際に、データ消去が終了した旨のメッセージを表示してもよい。以上で、「通常モード」における“Secure Erase”コマンドを使用したデータ消去処理が完了する。
<再起動モードでのデータ消去処理>
「再起動モード」でのデータ消去処理は、前述のように、画像形成装置100を起動または再起動した時であって、前回の起動時にデータ消去処理を実行している途中で、停電等により電源が切断され、データ消去処理が中断され、HDD109のデータ消去が完了していなかった時に実行される。
以下、画像形成装置100が起動または再起動された後、前回データ消去処理が中断されていた場合に、データ消去処理を再実行する際の動作について、図6のフローチャートを用いて説明する。
まず、ステップS50で、ユーザが画像形成装置100の電源をONにすることで、画像形成装置100が起動する。この起動により、CPU102や各種メモリ(ROM104、RAM105,HDD109等)等の初期設定が行われ、各種アプリケーションの展開等が実行される。
再起動時には、本実施例では、最初にデータ消去プログラムが起動するよう制御されている。データ消去プログラムが起動すると、ステップS51で、前回、データ消去処理中であったかを判定する。この判定は、データ消去手段120のフラグ設定部125が、NVRAM103にアクセスして、識別情報テーブル10に設定された実行フラグ11を参照することにより行う。
前述の通り、前回“Secure Erase”コマンドでのデータ消去の実行が完了する前に電源が切られた場合、今回の起動に当たり、HDD109がロックモードで起動してしまうため、HDD109へのアクセスができなくなってしまう。また、“Secure Erase”以外でデータ消去の実行中に、電源が切られた場合でも、データ消去が完了していないため、HDD109には、データが残留している場合がある。そのため、画像形成装置100の起動前に、データ消去処理を再実行してHDD109のデータを完全に消去するとともに、HDD109のアクセス等が正常に行えるようにする。
ここで、データ消去処理の途中であった場合は、前回のデータ消去で設定した実行フラグ11(図5の「通常モード」におけるステップS13参照)のクリア(OFF)が行われない。そのため、実行フラグ11がONのままであることで、データ消去の実行途中であったことが判断できる。この場合、HDD109のデータ消去処理を実行するため、ステップS53に進む。
これに対して、実行フラグ11がOFFであった場合は、HDD109のデータ消去処理は行われていなかったか、または、データ消去処理が正常に完了した後に、画像形成装置100が起動されたと判断できる。この場合、ステップS53、S54のデータ消去処理をスキップして、ステップS59に進み、画像形成装置100の通常の起動シーケンスを実行する。
以下、データ消去を再実行する場合について説明する。まず、ステップS52では、前回のデータ消去の方式に対応したデータ処理プログラムを起動するため、フラグ設定部125がNVRAM103にアクセスして、種別フラグ12を参照し、データ消去方式を取得する。データ消去実行部124では、このデータ消去方式に対応して、HDD109のデータ消去を行うが、その前に、ステップS53でデータ処理方式が“Secure Erase”であるか否かを判定する。YESの場合は、ステップS30に進み、“Secure Erase”コマンドでのデータ消去を実行する。“Secure Erase”コマンドでのデータ消去の詳細は後述する。これに対して、消去方式が“Secure Erase”コマンド以外(NO)の場合は、前回と同様の消去方式でデータ消去を実行する。
なお、いずれの場合でも、データ消去処理アプリケーションが起動する前に、別のアプリケーションがHDD109へアクセスしてしまうと、その段階でアクセス完了待ちが発生して動作が止まってしまう場合がある。そのため、実行フラグ11がONの場合は、データ消去以外の処理が実行されないよう、データ消去処理アプリケーションを最優先で起動するよう制御する。または、実行フラグ11がONの場合は、データ消去処理のみを起動するよう制御する。これらの制御により、データ消去処理が途中で停止するのを防止することができる。なお、この場合は,他のプログラムを実行するために、データ消去実行後に、画像形成装置100の再起動を行う必要がある。この場合は、後述のステップS60の通常起動シーケンス実行の前等に、画像形成装置100の再起動ステップを組み込んでもよい。
次に、消去方式が“Secure Erase”コマンド以外(NO)の場合のデータ消去処理について説明する。この場合は、前回と同様の消去方式でデータ消去を実行する。この実行の前に、まず、ステップS54で、詳細情報取得部123が、HDD109のデバイス情報に基づいて、パーティション情報を取得する。次に、ステップS55で、取得した情報に基づいて、当該HDD109にパーティション情報が設定されているか否かを判定する。パーティション情報が設定されている場合(YES)は、次のステップS56に進み、データ消去を続行するが、パーティション情報が設定されていない場合(NO)は、データ消去を行わないため、処理ステップS61に進む。
処理ステップS61での処理の説明にあたり、ステップS55で詳細情報が取得できない場合について説明する。「再起動モード」(実行フラグがON)で起動した場合であって、HDD109のパーティション情報が設定されていない原因として、前回のデータ消去の実行途中に、処理が完了したとしてユーザが電源を切り、その後でHDD109を交換したこと等が考えられる。このように交換された直後のHDD109は、未フォーマット状態であり、パーティション情報が設定されていないため、このような齟齬が生じる。
したがって、この場合は、データ消去を再実行する必要はない。つまり、交換されたHDD109に対してデータ消去を実行すると、当該データ消去アプリケーションを優先的に起動するか、または、当該アプリケーションのみを起動することとなり、無用のデータ消去が発生する。また、データ消去の完了待ちが発生するため、画像形成装置100の起動までに時間がかかってしまうことになる。
よって、画像形成装置100の起動を迅速に行うためにも、その後のデータ消去処理ステップをスキップする。ただし、交換前のHDD109のデータ消去が未完であることをユーザに知らせるため、ステップS61では、メッセージ表示部126により、操作部108に対して、HDD109が交換されたため、データ消去を実行しなかった旨の警告メッセージを表示する。さらに、交換前の元のHDD109は、データ消去処理が未完で終了しているため、データ消去を再実行すべき旨のメッセージを表示してもよい。このメッセージにより、交換前のHDD109のデータ等をセキュリティの脅威から保護することも可能となる。
また、交換後の新規のHDD109については、データ消去実行部124は、ステップS62で、HDD109にパーティションを作成し、各パーティションをフォーマットすることで、パーティション情報を設定する。この処理により、画像形成装置100で、この交換後のHDD109を使用することができる。その後、ステップS58に進んで、実行フラグ11をOFFに設定し、種別フラグ12をクリアし、NVRAM103を更新する(フラグクリア)。その後、ステップS59でメッセージ表示を終了した後、ステップS60で通常起動シーケンスを実行する。
次に、ステップS55で詳細情報を取得でき、ステップS56に進んで“Secure Erase”コマンド以外の処理方式で、データ消去処理を実行する場合の処理について説明する。ステップS56では、まず、メッセージ表示部126が、図8に示すように、操作部108に「メモリー消去中」である旨のメッセージを表示する。次に、ステップS57で、データ消去実行部124が、種別フラグ12に記憶された前回のデータ消去方式に従って、データ消去を実行する。各方式でのデータ消去の詳細は、図3(b)の表の記載および「通常モード」でのデータ消去の説明で述べたとおりである。
上記ステップS57のデータ消去処理が完了したら、データ消去手段120は、ステップS58で、実行フラグ11をOFFに設定し、種別フラグ12をクリアし、NVRAM103を更新する(フラグクリア)。なお、データ消去途中で電源断等により処理が中断されると、このステップS58の各種フラグの初期化が行われない。そのため、次の再起動の際に実行フラグ11のON状態が検出され、再度データ消去処理が実行される。
フラグクリアが終了したら、ステップS59で、メッセージ表示部126は、データ消去中である旨の操作部108へのメッセージ表示を解除する。この場合も、データ消去が終了した旨のメッセージを表示してもよい。また、データ消去処理が完了したら、他のアプリケーションの実行待ち状態等を解除するよう制御することで、これらのアプリケーションの実行が可能となる。以上により、データ消去処理が正常に完了する。この完了後は、ステップS60で、通常の起動シーケンスを実行することで、画像形成装置100が起動する。
このステップS60での画像形成装置100の起動後は、操作部108や外部装置114等からの指示により、各種アプリケーションが実行される。また、ユーザにより操作部108からデータ消去の指定があった場合には、前述の「通常モード」でのデータ消去処理が実行される。
(“Secure Erase”コマンドを用いた「再起動モード」でのデータ消去方法)
以下、図7のフローチャートを用いて、「再起動モード」でのステップS30の“Secure Erase”コマンドによるデータ消去実行処理の詳細について説明する。なお、「通常モード」と同様の処理については、詳細な説明は省略する。
まず、ステップS31で、データ消去手段120の詳細情報取得部123が、ATAの“Identify”コマンドを発行して、HDD109の詳細情報を取得する。次に、ステップS32では、HDD109が“Identify”コマンドを受け付けたか否かで、“Secure Erase”に対応しているか否かを判定する。YES(詳細情報取得成功)の場合は、“Secure Erase”に対応しているとして、次のステップS33に進む。NO(取得エラー)の場合は、“Secure Erase”に非対応であるとして、ステップS47に進み、メッセージ表示部126によりデータ消去ができない旨の警告メッセージを操作部108に表示して、処理を終了する。
ステップS33では、データ消去実行部124が、“Identify”コマンドで取得した詳細情報の128ワードのbit6を参照し、HDD109が“Enhanced”モードが利用可能であるかチェックする。
次に、ステップS34で、データ消去実行部124は、詳細情報の128ワードの中の、bit2を参照して、HDD109がロックモードであるか否かを判定する。「再起動モード」で、当該処理フローが実行されるのは、データ消去が完了せずに途中で終了した場合である。そのため、実行フラグ11はONとなっており、ステップS34では、ロックモードであると判定される。
ここで、ロックモードについて説明する。ロックモードへは、前述の「通常モード」での“Secure Erase”コマンドでのデータ消去処理等で、本フローのステップS36で、HDD109に対してアクセスを制限するパスワードが設定された際に移行する。このようにロックモードとなると、HDD109は“Identify”コマンドなどの特定のATAコマンド以外のデータ転送要求などは実行できなくなる。そのため、例えば、後述のステップS41で“Secure Erase”コマンドを実際に実行している途中で、画像形成装置100の電源が切られてしまうと、次回起動時にHDD109は、ロックモードのまま起動してしまう。このロックモード状態で、アプリケーションがHDD109へアクセスすると、そこでアクセス完了待ちとなってしまい、アプリケーションを正常に起動することができなくなる。この場合、再起動時の操作部108は、例えば、図9に示すようなメッセージを表示した状態で停止し、画像形成装置100が起動中のまま停止してしまう。
また、ロックモードの状態で、ステップS36でパスワード設定コマンド(“SET SECURITY PASSWORD”)を実行しても、コマンドエラーとなってしまう。この場合、データ消去を続行するために、ステップS36のパスワード設定処理はスキップし、次のステップS37の“Secure Erase”の前処理に進んで、その後、データ消去を強制的に実行するように制御している。このように、ステップS34でロックモードであると(ロックモードのまま起動した)判定された場合は、“Secure Erase”実行中に、停電などの電源断でデータ消去処理が中断され、その後再起動されてデータ消去が再開された(「再起動モード」)ことが判断できる。
以上より、「再起動モード」で当該処理フローが実行された場合は、HDD109がロックモードとなっているため、ステップS36のパスワード設定をスキップして、次のステップS37の処理に進み、データ消去の準備段階に進む。
しかしながら、「再起動モード」(実行フラグがON)であっても、ステップS34で、ロックモードではないと判定される場合がある。これは、前回のデータ消去実行中に、まだ処理が完了していないにも関わらず、処理が完了したとして、ユーザが電源を切り、HDD109を交換したこと等が原因である。この場合、実行フラグ11が有効のまま(ON)になってしまう。その結果、実行フラグがONにもかかわらず、ロックモードではないと判断されるという不一致が生じる。
この場合、HDD109の交換がされているので、前述したように、データ消去を行う必要はない。しかし、上記のようにデータ消去中を示す実行フラグ11がONのままでは、データ消去アプリケーションが実行されてしまう。すると、データ消去アプリケーションを優先的に起動するか、または、当該アプリケーションのみを起動することとなり、無用のデータ消去が発生する。また、データ消去の完了待ちが発生するため、画像形成装置100の起動までに時間がかかってしまうことになる。
そのため、ステップS35では、実行フラグ11が有効のまま(ON)であるか否かを判定する。この判定がYES、すなわち、ロックモードではないにもかかわらず、実行フラグ11がONであると判定された場合は、新規のHDD109が接続されたものとして、ステップS36以降のデータ消去の再実行は行わず、ステップS48に進む。このステップS48では、操作部108に対して、HDD109が交換されたため、データ消去を実行しなかった旨の警告メッセージを表示する。さらに、交換前の元のHDD109は、データ消去処理が未完状態であるため、データ消去を再実行すべき旨のメッセージを表示してもよい。このメッセージにより、交換元のHDD109のデータ等をセキュリティの脅威から保護することも可能となる。
次に、ステップS49に進み、交換後の新規のHDD109について、データ消去実行部124にて、フォーマット処理を行う。この処理により、画像形成装置100で、交換後のHDD109を使用することができる。その後、ステップS45に進み、前回のデータ消去で設定された実行フラグ11をOFFに設定し、種別フラグ12をクリアしてNVRAM103を更新し、フラグを初期化する。その後、“Secure Erase”によるデータ消去処理を終了する。以上により、新規のHDD109が接続された場合に、不必要なデータ消去が発生するのを防止することができ、画像形成装置100の起動を効率的に行うことができる。以上、「再起動モード」でのイレギュラーな場合の処理、すなわち、HDD109が交換されたときの処理が終了する。
以下、「再起動モード」での通常の処理について説明する。「再起動モード」では、HDD109がロックモードとなってパスワード設定されているため、前述したように、ステップS35、ステップS36のパスワード設定をスキップして、ステップS37以降の処理を実行する。このステップS37以降の処理は、前述の「通常モード」でのデータ消去処理とほぼ同一であるため、詳細な説明は省略する。
「再起動モード」の場合、まず、ステップS37で、データ消去実行部124がATAの“SECURITY ERASE PREPARE”コマンドをHDD109に対して発行し、“Secure Erase”の前準備を行う。次に、ステップS38で、ステップS31の“Identify”コマンドで取得したHDD109の詳細情報(128ワードのbit6)に基づいて、“Normal”モードか“Enhanced”モードかの判定を行う。“Normal”モードの場合は、次のステップS39で、“Enhanced”モードの場合は、ステップS40で、モードごとのパラメータ設定を行う。
次に、ステップS41で、フラグ設定部125により実行フラグ11をONにし、種別フラグ12に、消去方式“Secure Erase”の種別:6を設定し、NVRAM103を更新する。そして、ステップS42では、メッセージ表示部126により、図8に示すように、操作部108に「メモリー消去中」である旨のメッセージを表示する。この処理とともに、画像形成装置100において、データ消去処理を優先的に行うか、または、他の操作ができないように制御する。その後、または同時に、ステップS43で、データ消去実行部124が“Secure Erase”コマンドを発行し、データ消去を開始する。
そして、ステップS44で、データ消去処理の完了を監視する。データ消去処理が完了したら(YES)、ステップS45で、フラグ設定部125により実行フラグ11をOFFに設定し、種別フラグ12をクリアし、NVRAM103を更新する(フラグ初期化)。最後に、ステップS46で、メッセージ表示部126により、データ消去中である旨の操作部108へのメッセージ表示を解除する。この際に、データ消去が終了した旨のメッセージを表示してもよい。以上で、「再起動モード」における“Secure Erase”コマンドを使用したデータ消去処理が完了する。
なお、上記 “Secure Erase”コマンドでのデータ消去実行途中であって、実行フラグ11をOFFする前、すなわち、ステップS43〜ステップS44の間に、停電等の不測の事態で電源断となった場合、または、データ消去処理が完了したとしてユーザが電源断を実行した場合、前述したように、データ消去処理が未完のままで終了する。そのため、再起動時に、HDD109がロックモードで、かつ、実行フラグ11がONのままとなり、他のアプリケーションがHDD109をアクセスできなくなる。そのため、データ消去を再実行する必要があるが、HDD109がロックモードであるため、“Secure Erase”コマンド以外の方式では、データ消去を実行することができなくなる。そのため、次回の画像形成装置100の起動時でも、「再起動モード」でのデータ消去処理が起動され、“Secure Erase”コマンドでのデータ消去が実行される。この処理が正常に完了することにより、HDD109のデータ消去を迅速かつ良好に実施することができる。
以上、本願の情報処理装置を備えた画像形成装置、および、情報処理装置で実施されるデータ消去方法の一実施例について説明した。しかし、この実施例は一例であって、本願がこの実施例に限定されるものではない。データ消去を迅速に行って、かつ、データ消去処理中に電源断等で処理が中断されても、再起動時にデータ消去を実施して、ハードウェアをセキュリティの脅威から保護することが可能な構成であれば、本願の課題を解決できるものである。また、上記実施例では、データ消去の際に、HDDをロックモードとする方式として、“Secure Erase”コマンドによるデータ消去方式を説明した。しかしながら、本願が“Secure Erase”に限定されることはなく、HDDをロックモードとするコマンドやアプリケーションであり、再起動時に良好にデータ消去を完了することができるものであれば、いずれのものを用いてもよい。
また、データ消去の対象として、HDD109やSDD等に適用できる旨説明したが、RAM、ROM、NVRAM等のデータ消去に、本願の情報処理装置、画像形成装置、データ消去方法を用いてもよい。また、このような内部記憶装置のデータ消去に限定されることもなく、USBメモリ、フロッピィ、その他の外部メモリに対して用いてもよいし、PC等の外部装置114に接続された所定の記憶部のデータ消去に用いることもできる。
また、上記実施例では、本願をカラー複合機に適用した例について述べたが、
本願の情報処理装置および情報処理方法が適用されるのは、画像形成装置に限定されることはない。ハードディスク等の記憶装置と、この記憶装置にアクセスして情報処理を行うアプリケーションを有する装置であれば、本願の情報処理装置を適用することができる。また、情報処理装置を備えることで、本願の情報処理方法を実行することができる。また、情報処理装置を画像形成装置等に組み込まずに、データ消去を行う単体の装置として機能するよう構成することもできる。
10 識別情報テーブル
11 実行フラグ(第1の識別情報)
12 種別フラグ(第2の識別情報)
100 画像形成装置(画像形成装置本体)
101 コントローラ(コントローラボード)
102 CPU
103 NVRAM(識別情報設定手段)
108 操作部(表示手段)
109 HDD(ハードディスク装置、記憶装置)
116 情報処理装置
120 データ消去手段
121 データ消去指定取得部
122 データ消去方式取得部
123 詳細情報取得部
124 データ消去実行部
125 フラグ設定部
126 メッセージ表示部
特許第4895990号公報

Claims (12)

  1. 記憶装置にアクセスして、前記記憶装置のデータを消去する情報処理装置であって、
    前記記憶装置のデータ消去の実行状況を記憶する第1の識別情報および前記データ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、
    前記第2の識別情報に基づいて、“Secure Erase”コマンドを含む少なくとも1以上の前記データ消去方式を用いて、前記記憶装置のデータ消去を行うとともに、該データの消去実行中は前記第1の識別情報にデータ消去中を示す情報を設定するデータ消去手段と、を備え、
    データ消去の実行時に、前記第2の識別情報のデータ消去方式が“Secure Erase”である場合、前記データ消去手段は、前記第1の識別情報を参照し、データ消去実行中でない場合には、前記記憶装置へのアクセスを制限するパスワード設定を行った後、“Secure Erase”コマンドを発行してデータ消去を行い、データ消去実行中である場合には、前記記憶装置へのパスワード設定を行うことなく、“Secure Erase”コマンドを発行してデータ消去を行うよう構成されたことを特徴とする情報処理装置。
  2. メッセージを表示する表示手段を有し、データ消去手段は、データ消去の実行中に、データ消去中であることを示すメッセージを前記表示手段に表示することを特徴とする請求項1に記載の情報処理装置。
  3. 前記データ消去手段によるデータ消去中は、データ消去以外の処理を実行しないよう制御されていることを特徴とする請求項1または2に記載の情報処理装置。
  4. 前記データ消去手段は、前記“Secure Erase”コマンドを用いてデータ消去を実行する時に、前記第1の識別情報を参照し、データ消去実行中である場合に、前記記憶装置の詳細情報を取得し、取得エラーとなった場合は、データ消去を行うことなく、前記記憶装置のフォーマット処理を実行するとともに、前記第1の識別情報および前記第2の識別情報をクリアすることを特徴とする請求項1〜3のいずれか一項に記載の情報処理装置。
  5. 前記データ消去手段は、前記記憶装置の詳細情報の取得エラーとなった場合に、メッセージを表示する表示手段に、取得エラーであるメッセージを表示することを特徴とする請求項4に記載の情報処理装置。
  6. 前記識別情報設定手段は、不揮発性メモリであることを特徴とする請求項1〜5のいずれか一項に記載の情報処理装置。
  7. 記憶装置にアクセスして、前記記憶装置のデータを消去する情報処理装置であって、
    前記記憶装置のデータ消去の実行状況を記憶する第1の識別情報および前記データ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、
    前記第2の識別情報に基づいて、前記記憶装置へのアクセスを制限した状態でデータ消去を行う消去方式を含む少なくとも1つのデータ消去方式を用いて、データ消去を行うデータ消去手段と、を備え、
    前記第2の識別情報のデータ消去方式が、前記記憶装置へのアクセスを制限してデータ消去を行う消去方式である場合に、前記データ消去手段は、前記第1の識別情報を参照し、データ消去の実行中でない場合には、前記記憶装置へのアクセスを制限した後に、データ消去を行い、データ消去実行中である場合には、前記記憶装置へのアクセスの制限を行うことなく、データ消去を行うよう構成されたことを特徴とする情報処理装置。
  8. 少なくとも1以上のデータ消去方式を用いて、記憶装置のデータ消去を行うデータ消去手段と、前記記憶装置のデータ消去の実行状況を記憶する第1の識別情報および前記データ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、を備えた請求項1〜7のいずれか一項に記載の情報処理装置を備えたことを特徴とする画像形成装置。
  9. 画像形成装置本体の起動時に、前記情報処理装置が、前記第1の識別情報を参照し、データ消去の実行中である場合には、前記データ消去手段により、前記記憶装置のデータ消去を優先して実行し、データ消去の完了後に前記第1の識別情報をクリアすることを特徴とする請求項8に記載の画像形成装置。
  10. 画像形成装置本体の起動時に、前記情報処理装置が、前記第1の識別情報を参照し、データ消去の実行中であった時に、前記データ消去手段により、記憶装置のデータ消去のみを実行し、データ消去が完了した後に、前記第1の識別情報をクリアするとともに、前記画像形成装置本体を再起動することを特徴とする請求項8に記載の画像形成装置。
  11. “Secure Erase”コマンドを含む少なくとも1以上のデータ消去方式を用いて、記憶装置のデータ消去を行うデータ消去手段と、前記記憶装置のデータ消去の実行状況を記憶する第1の識別情報および前記データ消去手段で実行するデータ消去方式を記憶する第2の識別情報を有する識別情報記憶手段と、を備えた請求項1〜7のいずれか一項に記載の情報処理装置を用いたデータ消去方法であって、
    前記データ消去手段により実行され、
    前記第1の識別情報を参照して、データ消去の実行中であるか否かの情報を取得するステップと、
    前記第2の識別情報を参照して、データ消去方式を取得するステップと、
    前記データ消去方式が“Secure Erase”以外である場合に、当該データ消去方式を用いて、前記記憶装置のデータ消去を行うとともに、前記第1の識別情報にデータ消去の実行中であることを記憶するステップと、
    前記データ消去方式が“Secure Erase”である場合であって、データ消去実行中でない場合に、前記記憶装置へのアクセスを制限するパスワード設定を行った後、“Secure Erase”コマンドを発行してデータ消去を行うとともに、前記第1の識別情報にデータ消去の実行中を記憶するステップと、
    前記データ消去方式が“Secure Erase”であった場合であって、データ消去実行中である場合には、前記記憶装置へのパスワード設定を行うことなく、“Secure Erase”コマンドを発行してデータ消去を行うステップと、
    データ消去が完了した後に、前記第1の識別情報にデータ消去の実行中でないことを記憶するステップと、
    を有することを特徴とするデータ消去方法。
  12. 請求項11に記載のデータ消去方法をコンピュータに実行させることを特徴とするデータ消去プログラム。
JP2013048683A 2013-03-12 2013-03-12 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム Active JP6056567B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013048683A JP6056567B2 (ja) 2013-03-12 2013-03-12 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013048683A JP6056567B2 (ja) 2013-03-12 2013-03-12 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム

Publications (2)

Publication Number Publication Date
JP2014174862A JP2014174862A (ja) 2014-09-22
JP6056567B2 true JP6056567B2 (ja) 2017-01-11

Family

ID=51695989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013048683A Active JP6056567B2 (ja) 2013-03-12 2013-03-12 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム

Country Status (1)

Country Link
JP (1) JP6056567B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11360680B2 (en) 2017-09-21 2022-06-14 Kioxia Corporation Storage device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4644967B2 (ja) * 2001-04-17 2011-03-09 株式会社デンソー 携帯情報端末装置
US7971241B2 (en) * 2006-12-22 2011-06-28 Hitachi Global Storage Technologies Netherlands, B.V. Techniques for providing verifiable security in storage devices

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11360680B2 (en) 2017-09-21 2022-06-14 Kioxia Corporation Storage device
US11861194B2 (en) 2017-09-21 2024-01-02 Kioxia Corporation Storage device configuration and method managing storage configuration

Also Published As

Publication number Publication date
JP2014174862A (ja) 2014-09-22

Similar Documents

Publication Publication Date Title
JP4704233B2 (ja) 情報処理装置及びその制御方法
JP4848190B2 (ja) アプリケーション実行装置、アプリケーション実行方法及びアプリケーション実行プログラム
JP6257170B2 (ja) 画像形成システム、並びに画像形成装置及びその制御方法
US8854388B2 (en) Image processing apparatus and memory management method for image processing apparatus
US20070253013A1 (en) Image forming apparatus performing image formation on print data, image processing system including plurality of image forming apparatuses, print data output method executed on image forming apparatus, and print data output program product
JP6034555B2 (ja) 印刷制御装置及びその制御方法
US8654367B2 (en) Image forming apparatus, method for controlling the same, and storage medium
JP4209789B2 (ja) ファイル作成方法、サーバ、記録媒体及びプログラム追加システム
JP4209790B2 (ja) 情報処理装置,画像形成装置,プログラム起動時のエラー処理方法および記録媒体
JP4698211B2 (ja) 情報処理装置、画像形成装置、電子データの移動の取り消し方法
JP5573357B2 (ja) 画像処理装置、印刷制御装置、印刷制御システム、印刷制御方法、印刷制御プログラム、及びそのプログラムを記録した記録媒体
JP6049299B2 (ja) 画像処理装置、その制御方法およびプログラム。
US10073792B2 (en) Device, system, and method for detecting, identifying, and communicating with a storage medium
JP5533161B2 (ja) 画像処理装置、ログ管理方法、ログ管理プログラム、及びそのプログラムを記録した記録媒体
US9019523B2 (en) Printing system, printing device and computer readable medium therefor
JP6265589B2 (ja) ジョブ処理装置、ジョブ管理方法、ジョブ管理システム、およびプログラム
JP2006041764A (ja) ログ記録装置、ログ記録プログラムおよび記録媒体
JP6056567B2 (ja) 情報処理装置、画像形成装置、データ消去方法、および、データ消去プログラム
JP6264572B2 (ja) 電子機器、バックアップ先決定プログラムおよびバックアッププログラム
JP4962727B2 (ja) データ保存装置
KR102278901B1 (ko) 화상 형성 장치, 그 제어 방법, 및 기억 매체
JP4444641B2 (ja) 情報処理装置、画像形成装置、及び電子データ移動方法
US20160162233A1 (en) Electronic apparatus, management system, and recording medium
US20120257242A1 (en) Information processing apparatus, information processing method, and storage medium
JP2011255651A (ja) 画像形成装置、その制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161121

R151 Written notification of patent or utility model registration

Ref document number: 6056567

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151