JP6650755B2 - Remote destruction system and remote destruction method for storage device - Google Patents
Remote destruction system and remote destruction method for storage device Download PDFInfo
- Publication number
- JP6650755B2 JP6650755B2 JP2015253757A JP2015253757A JP6650755B2 JP 6650755 B2 JP6650755 B2 JP 6650755B2 JP 2015253757 A JP2015253757 A JP 2015253757A JP 2015253757 A JP2015253757 A JP 2015253757A JP 6650755 B2 JP6650755 B2 JP 6650755B2
- Authority
- JP
- Japan
- Prior art keywords
- destruction
- information
- storage device
- user
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006378 damage Effects 0.000 title claims description 189
- 238000000034 method Methods 0.000 title claims description 21
- 230000004913 activation Effects 0.000 claims description 17
- 238000004891 communication Methods 0.000 description 32
- 238000010586 diagram Methods 0.000 description 29
- 238000012544 monitoring process Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 24
- 230000010365 information processing Effects 0.000 description 24
- 238000001994 activation Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 14
- 101100293607 Caenorhabditis elegans nas-9 gene Proteins 0.000 description 11
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 210000000554 iris Anatomy 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 2
- 210000003128 head Anatomy 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 210000003462 vein Anatomy 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、情報処理装置が有する記憶装置の遠隔破壊システムに関する。 The present invention relates to a remote destruction system for a storage device included in an information processing device.
パソコンやタブレット、スマートフォン、モバイル機器などの情報処理装置は、今日の情報社会のインフラとして不可欠なものとなっている。インターネットのクラウド上に情報を格納して利用する技術も通信技術の発達で当たり前に利用可能となっているが、WiFi(登録商標)環境や中継局、その他のインフラが混雑したり、通信不能な環境での使用も必要となったりする。よって、情報処理装置が有する記憶装置に情報を格納していれば、使用環境に左右されずにいつでも安心して利用できる。 Information processing devices such as personal computers, tablets, smartphones, and mobile devices have become indispensable as infrastructure of today's information society. The technology of storing and using information on the Internet cloud has become commonplace due to the development of communication technology. However, the WiFi (registered trademark) environment, relay stations, and other infrastructures are congested and communication becomes impossible. It may be necessary to use it in the environment. Therefore, if the information is stored in the storage device of the information processing device, it can be used at any time without worrying about the usage environment.
そのような状況において、それらの情報処理装置が盗難や紛失した場合でも、情報処理装置を起動してもあらかじめ設定された所有者のIDやパスワードを正しく入力しないと、その情報機器の内部の情報にアクセスできないよう操作ロックや情報アクセスのロックがされているなどの情報セキュリティ対策が行われている。これは、NTTドコモが提供している遠隔ロックやおまかせロック(登録商標)というサービスに相当する。 In such a situation, even if those information processing devices are stolen or lost, even if the information processing device is started, if the preset owner ID and password are not correctly entered, the information inside the information device may be lost. Information security measures such as operation lock and information access lock have been taken to prevent access to the Internet. This corresponds to a service provided by NTT DOCOMO, such as a remote lock and an automatic lock (registered trademark).
また、情報処理装置に事前にリモート制御により遠隔初期化など所定の機能を登録し、実行許可情報であるパスワードなどの設定をしておけば、所定の機能の実行を遠隔指令として情報処理装置に送り、情報処理装置のリセットや記憶されている情報の初期化やメモリカードの情報の初期化などの機能が提供され、いざという時のために利用者が安心できるサービスとして提供されている。これは、NTTドコモが提供している遠隔初期化というサービスに相当する。 Also, if a predetermined function such as remote initialization is registered in advance in the information processing device by remote control and a password or the like as execution permission information is set, execution of the predetermined function is transmitted to the information processing device as a remote command. Functions such as resetting the information processing device, resetting the information processing device, initializing the stored information, and initializing the information on the memory card are provided, and are provided as a service that allows the user to feel safe in an emergency. This corresponds to the remote initialization service provided by NTT DOCOMO.
また、特許文献1の要約書の解決手段には、「携帯端末装置の情報保全システム1は、携帯端末装置7との間に電波通信手段を介して接続されている一つ以上の中継基地局6と、所有者であるか否かを識別するための個人認証処理を行う認証装置4と、携帯端末装置7を情報保全処理するための遠隔操作パケットを生成する管理装置5とを備え、携帯端末装置7に対する情報保全要求が行われたときに、認証装置4によって個人認証処理を行い、この個人認証が一致した場合に、管理装置5によって遠隔操作パケットを生成して中継基地局6から携帯端末装置7に送信し、遠隔操作パケットを携帯端末装置7で受信してこれに応じた所定の情報保全処理を行わせる。」と記載されている。
In addition, the solution to the abstract of
しかしながら、情報処理装置に格納された情報を守るために遠隔操作により操作ロック機能の有効化や遠隔からの初期化機能の有効化を行うための事前設定がなされていない場合、それらの機能が実行できないことになり、例えば、実行するためのパスワードが未設定の場合は、それらの機能が使えないなどの問題がある。 However, in order to protect the information stored in the information processing device, if there is no prior setting to enable the operation lock function or enable the initialization function from a remote location by remote control, those functions will be executed. If the password for execution is not set, for example, there is a problem that those functions cannot be used.
また、実行するためのパスワードの設定は、第三者により変更されてしまうとせっかくの機能を有効化していても、指定したパスワードと実際のものが異なるために実行できないおそれもある。そのような背景の中で、情報処理装置の盗難や紛失時に、この情報処理装置に格納された情報が不正な第三者からアクセスされることを未然に防ぎたいというニーズは、日増しに高くなっている。 In addition, even if the password setting for execution is changed by a third party, even if the function is enabled, the password may not be executed because the actual password is different from the specified password. Against this background, the need to prevent information stored in an information processing device from being accessed by an unauthorized third party when the information processing device is stolen or lost is increasing every day. Has become.
そこで、本発明は、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することを課題とする。 Therefore, an object of the present invention is to detect whether or not a target storage device is correctly destroyed after instructing destruction of a storage device included in an information processing device.
前記した課題を解決するため、本発明の記憶装置の遠隔破壊システムは、ネットワークと通信可能に接続される管理装置と、前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、を備える遠隔破壊システムである。前記第2装置の指令手段が、前記第1装置が備える前記記憶装置の破壊を前記管理装置に指令し、前記管理装置は、前記第1装置が備える前記記憶装置の破壊を当該第1装置に指令し、前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置の入れ替えの有無を判定し、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信する。
その他の手段については、発明を実施するための形態のなかで説明する。
In order to solve the above-mentioned problem, a remote destruction system for a storage device of the present invention includes a management device communicably connected to a network, a storage device capable of communicating with the management device via the network, and a storage device. A first device including a remote control unit that controls a storage device according to a command from the management device; and a second device including a command unit that can communicate with the management device via the network and performs a command to the management device. And a remote destruction system comprising: The commanding means of the second device instructs the management device to destroy the storage device provided in the first device, and the management device notifies the first device of the destruction of the storage device provided in the first device. The remote control means of the first device determines whether or not the storage device of the first device is replaced, determines the result of destruction after destroying the storage device of the first device, The result of the destruction of the storage device and the presence / absence of the replacement are transmitted to the management device via the server .
Other means will be described in the embodiments for carrying out the invention.
本発明によれば、情報処理装置が有する記憶装置の破壊を指示した後、正しく目的の記憶装置が破壊されたか否かを検知することが可能となる。 According to the present invention, it is possible to correctly detect whether or not a target storage device has been destroyed after instructing the destruction of the storage device of the information processing device.
以降、本発明を実施するための形態を、各図を参照して詳細に説明する。
図1は、第1の実施形態における遠隔破壊システムSを示す概略の構成図である。
第1の実施形態の遠隔破壊システムSは、利用者が所有するスマートフォン3の盗難・紛失時に、このスマートフォン3が有するフラッシュメモリ(記憶装置)を遠隔制御により破壊するためのものである。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.
FIG. 1 is a schematic configuration diagram illustrating a remote destruction system S according to the first embodiment.
The remote destruction system S of the first embodiment is for remotely destroying a flash memory (storage device) of a
遠隔破壊システムSは、登録端末5と管理サーバ1とを含んで構成される。この管理サーバ1は、顧客端末4と通信可能であり、かつルータ21や基地局22を介してスマートフォン3と通信可能である。
スマートフォン3(第1装置)は、ネットワークを介して管理サーバ1に通信可能であり、記憶装置、およびこの記憶装置を管理サーバ1の指令により制御する遠隔制御手段を備える。
登録端末5(第2装置)は、例えばパソコンやタブレットなどで構成され、遠隔破壊システムSのサービスを利用する際にサービスを利用する利用者の情報を入力し、管理サーバ1へ送信する機能を有する。登録端末5は、ネットワークを介して管理サーバ1に通信可能であり、管理サーバ1に指令を行う指令手段を備える。登録端末5の詳細は、後記する図2(a)で説明する。
顧客端末4は、例えばノートパソコンであり、利用者が所有するスマートフォン3以外に通知された情報を受領する機能を有する。顧客端末4の詳細は、後記する図3(b)で説明する。
管理サーバ1(管理装置)は、ネットワークと通信可能に接続され、CPU(Central Processing Unit)、ROM(Read Only Memory)やRAM(Random Access Memory)などのメモリ、通信機能、表示機能、HDD(Hard Disk Drive)などの補助記憶装置を含む一般的な情報処理装置である。管理サーバ1の詳細は、後記する図2(b)で説明する。
The remote destruction system S includes a
The smartphone 3 (first device) can communicate with the
The registration terminal 5 (second device) includes, for example, a personal computer or a tablet, and has a function of inputting information of a user who uses the service when using the service of the remote destruction system S and transmitting the information to the
The customer terminal 4 is, for example, a notebook computer, and has a function of receiving information notified to a user other than the
The management server 1 (management device) is communicably connected to a network, and includes a CPU (Central Processing Unit), a memory such as a ROM (Read Only Memory) and a RAM (Random Access Memory), a communication function, a display function, and an HDD (Hard). This is a general information processing device including an auxiliary storage device such as a Disk Drive. Details of the
基地局22は、固定電話網のコアネットワーク(不図示)に接続された携帯電話用交換機(不図示)に有線または無線で接続されている。ルータ21は、インターネットのいずれかの回線に有線または無線で接続されている。
管理サーバ1は、これらコアネットワークと携帯電話用交換機と基地局22を介して、またはインターネットとルータ21を介して、利用者のスマートフォン3と通信可能である。
The base station 22 is wired or wirelessly connected to a mobile telephone exchange (not shown) connected to a core network (not shown) of the fixed telephone network. The
The
図2(a)は、登録端末5の構成図である。
登録端末5は、CPU51、RAM52、ROM53、ディスプレイ54、通信部55、リモート制御ソフト561を格納したHDD56を含んで構成される。登録端末5には、マウス57やキーボード59などの入出力装置、指紋や虹彩や静脈などのバイオメトリクス情報などを読み取るための読取装置58が接続される。
CPU51は、ROM53に格納されたBIOS(Basic Input/Output System)やHDD56に格納されたリモート制御ソフト561を読み込んで実行する。RAM52は、揮発性記憶装置であり、CPU51が各種プログラムやデータを一時的に格納するためのものである。HDD56は、不揮発性の補助記憶装置であり、プログラムや大容量のデータなどを好適に格納する。
通信部55は、例えばNIC(Network Interface Controller)であり、ネットワークを介して管理サーバ1などと情報やコマンドを送受信する。
ディスプレイ54は、例えば液晶パネルで構成され、この登録端末5を操作するユーザに対して、プログラムの操作画面や実行結果などを表示する表示装置である。
リモート制御ソフト561(指令手段)は、管理サーバ1に対して利用者のスマートフォン3を遠隔制御可能に設定し、管理サーバ1に指令を行うためのソフトウェアプログラムである。
FIG. 2A is a configuration diagram of the
The
The
The
The
The remote control software 561 (instruction means) is a software program for setting the user's
図2(b)は、管理サーバ1の構成図である。
管理サーバ1は、CPU11、RAM12、ROM13、ディスプレイ14、通信部15、利用者データベース161と破壊情報データベース162とを格納したHDD16を含んで構成される。なお、各図ではデータベースのことを“DB”と省略して記載している。CPU11、RAM12、ROM13、ディスプレイ14、通信部15は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
利用者データベース161は、この遠隔破壊システムSの利用者に係る情報が格納される。この利用者データベース161の詳細は、後記する図4(a)にて説明する。
破壊情報データベース162は、この遠隔破壊システムSによって破壊される記憶装置の情報が格納される。この破壊情報データベース162の詳細は、後記する図4(b)にて説明する。
FIG. 2B is a configuration diagram of the
The
The
The
図3(a)は、スマートフォン3の構成図である。
スマートフォン3は、CPU31、RAM32、ROM33、タッチパネルディスプレイ34、遠隔制御ツール361を格納したフラッシュメモリ36(記憶装置)、WiFi通信部35および3G通信部37を含んで構成される。
スマートフォン3が備えるCPU31、RAM32、ROM33は、登録端末5が備えるCPU51、RAM52、ROM53と同様な機能を有する。タッチパネルディスプレイ34は、各種情報を表示する表示機能を有すると共に、指やタッチペンが接触された位置を検知する入力機能を有する。
WiFi通信部35はルータ21を介して管理サーバ1との通信を行い、3G通信部37は基地局22とキャリア網を介して管理サーバ1との通信を行う。
遠隔制御ツール361(遠隔制御手段)は、CPU31によって実行されるソフトウェアプログラムであり、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
FIG. 3A is a configuration diagram of the
The
The
The
The remote control tool 361 (remote control means) is a software program executed by the
図3(b)は、顧客端末4の構成図である。
顧客端末4は、CPU41、RAM42、ROM43、ディスプレイ44、通信部45、電子メールプログラム461を格納したHDD46を含んで構成される。CPU41、RAM42、ROM43、ディスプレイ44、通信部45は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
電子メールプログラム461は、CPU41に、利用者のアカウントに関するメールの受信と送信とを行わせる。
FIG. 3B is a configuration diagram of the customer terminal 4.
The customer terminal 4 includes a
The
図4(a)は、利用者データベース161の構成を示す図である。
利用者データベース161は、利用者識別情報欄と、認証情報欄と、通知先欄とを含み、更に登録フラグと端末識別情報と記憶装置識別情報の組み合わせからなる情報欄を複数格納している。この利用者データベース161は、遠隔破壊システムSの利用者に係る情報を格納するデータベースである。
FIG. 4A is a diagram showing a configuration of the
The
利用者識別情報は、遠隔破壊システムSにおいてユニークな情報であり、管理サーバ1が生成する。利用者識別情報は、文字や数字を組み合わせて重複なく生成される情報である。なお、利用者識別情報は、追い番などのように重複なく生成される情報であればよく、例えば登録端末から入力されて、受け付けた管理サーバ1側で登録済みのものと重複しないように決定されるものであってもよい。
認証情報は、バイオメトリクス情報であり、遠隔破壊システムSの利用者が希望するサービスの正規の利用者であるかを認証するために用いられる。この認証情報は、読取装置58によって利用者の指紋や虹彩などから読み取られる。しかし、これに限られず、認証情報は、パスワードなどの利用者を特定できる情報であればよく、限定されない。
The user identification information is unique information in the remote destruction system S, and is generated by the
The authentication information is biometrics information, and is used to authenticate whether the user of the remote destruction system S is an authorized user of the desired service. This authentication information is read from the fingerprint or iris of the user by the
通知先は、遠隔破壊システムSの管理サーバ1が破壊結果を通知するメールアドレスである。利用者のスマートフォン3の記憶装置を破壊したか否かの情報が、この通知先のメールアドレスに送信される。
登録フラグは、登録された端末に対する遠隔制御の動作を規定するものである。登録フラグが“0”のとき、端末は未登録であるか、または端末に対する動作が無効である。登録フラグが“1”のとき、管理サーバ1は、端末の記憶装置を即時に破壊するように動作する。登録フラグが“2”のとき、管理サーバ1は、利用者の死亡後に端末の記憶装置を破壊するように動作する。
端末識別情報は、登録された端末を識別するための情報である。管理サーバ1は、この端末識別情報により、登録された端末を遠隔制御する。
記憶装置識別情報は、登録された端末が備える記憶装置を識別するための情報であり、例えば記憶装置のシリアル番号である。
The notification destination is a mail address to which the
The registration flag defines a remote control operation for the registered terminal. When the registration flag is “0”, the terminal has not been registered or the operation for the terminal is invalid. When the registration flag is “1”, the
The terminal identification information is information for identifying a registered terminal. The
The storage device identification information is information for identifying a storage device included in the registered terminal, and is, for example, a serial number of the storage device.
図4(b)は、破壊情報データベース162の構成を示す図である。
破壊情報データベース162は、端末識別情報、遠隔制御情報、破壊指令発行日時、破壊指令受信日時、破壊指令実行日時、実行フェーズ、実行結果、記憶装置識別情報、記憶装置起動回数、端末起動回数などを格納している。この破壊情報データベース162は、記憶装置の破壊指令の結果を格納している。
FIG. 4B is a diagram showing a configuration of the
The
端末識別情報は、登録された端末を識別するための情報である。
遠隔制御情報は、破壊指令の種類を示す情報である。例えば遠隔制御情報が“9999”のとき、端末を即時に破壊する指令である。遠隔制御情報が“1111”のとき、利用者の死亡後に端末の記憶装置を破壊する指令である。
破壊指令発行日時は、利用者が管理サーバ1に対して破壊指令を発行した日時である。破壊指令受信日時は、登録された端末が破壊指令を受信した日時である。破壊指令実行日時は、登録された端末が破壊指令を実行した日時である。
The terminal identification information is information for identifying a registered terminal.
The remote control information is information indicating the type of the destruction command. For example, when the remote control information is “9999”, this is a command to immediately destroy the terminal. When the remote control information is “1111”, the command is to destroy the storage device of the terminal after the death of the user.
The destruction command issue date and time is the date and time when the user issued the destruction command to the
実行フェーズは、破壊指令の実行にかかるフェーズを示している。実行フェーズが“0”のとき、破壊指令の開始前である。“1”のときは端末への破壊指令の発行、“2”のときは登録された端末による破壊指令の受信、“3”のときは端末による破壊指令の実行である。“8”のときは端末による破壊の保留、“9”のときは破壊指令の中止である。
記憶装置識別情報は、破壊した記憶装置を一意に識別する情報であり、例えば記憶装置のシリアル番号である。この破壊情報データベース162の記憶装置識別情報と、利用者データベース161の記憶装置識別情報とを比較することで、目的とする記憶装置が破壊できたか否か、または端末が備える記憶装置が入れ替えられたか否かを判断可能である。
記憶装置起動回数は、破壊した記憶装置が工場出荷後に起動した総回数であり、例えばSSD(solid state drive)やHDD等では、セルフモニタリング・アナリシス・アンド・リポーティング・テクノロジ(S.M.A.R.T)により、記憶装置から読み取り可能であるが、記憶装置の起動回数の取得は、S.M.A.R.Tに限定されない。端末起動回数は、この端末が工場出荷後に起動した総回数であり、端末のファームウェアやOSが起動する度にカウントアップされて、端末内蔵のフラッシュメモリ等に記憶されるものとする。記憶装置起動回数と端末起動回数とを比較することで、記憶装置がこの端末以外の他の端末に接続されて起動したか否かを判断可能である。
The execution phase indicates a phase related to the execution of the destruction command. When the execution phase is “0”, it is before the start of the destruction command. “1” indicates the issuance of the destruction command to the terminal, “2” indicates the reception of the destruction command by the registered terminal, and “3” indicates the execution of the destruction command by the terminal. When "8", the destruction by the terminal is suspended, and when "9", the destruction command is stopped.
The storage device identification information is information for uniquely identifying a destroyed storage device, and is, for example, a serial number of the storage device. By comparing the storage device identification information of the
The storage device activation count is the total number of times the destroyed storage device has been activated after shipment from the factory. For example, in an SSD (solid state drive), HDD, or the like, self-monitoring analysis and reporting technology (SMA. R. T), the data can be read from the storage device. M. A. R. It is not limited to T. The terminal activation count is the total number of times the terminal has been activated after shipment from the factory, and is counted up each time the terminal firmware or OS is activated, and is stored in a flash memory or the like built in the terminal. By comparing the number of times that the storage device has been started with the number of times that the terminal has been started, it is possible to determine whether the storage device has been connected to another terminal other than this terminal and started.
《初期設定フェーズ》
初期設定フェーズにおいて、利用者は、遠隔制御実行サービスを利用したい利用者の情報の登録や遠隔制御したいと思う情報処理装置を、管理サーバ1と通信可能となるように登録する。更に利用者は、管理サーバ1から受信する指令を実行するための遠隔制御ツール361の設定を行う。初期設定フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。
《Initial setting phase》
In the initial setting phase, the user registers information of a user who wants to use the remote control execution service and registers an information processing apparatus that the user wants to remotely control so that the information processing apparatus can communicate with the
図5(a)は、初期登録ダイアログ61を示す図である。この初期登録ダイアログ61は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
初期登録ダイアログ61には、利用者識別情報テキストボックス611、通知用アドレステキストボックス612、端末識別情報テキストボックス613、端末識別情報テキストボックス614がそれぞれ表示され、更にOKボタン615およびキャンセルボタン616が表示される。
FIG. 5A is a diagram illustrating the
In the
利用者識別情報テキストボックス611は、利用者識別情報が表示されるテキストボックスである。通知用アドレステキストボックス612は、破壊結果の通知用メールアドレスを入力するためのテキストボックスである。端末識別情報テキストボックス613,614は、端末識別情報を入力するためのテキストボックスである。
利用者は、利用者識別情報と破壊結果の通知用メールアドレスと端末識別情報とを適宜入力したのち、OKボタン615をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する初期登録ダイアログ62に遷移する。利用者がキャンセルボタン616をクリックすると、一連の端末登録動作をキャンセルして終了する。
The user identification
The user appropriately inputs the user identification information, the e-mail address for notification of the destruction result, and the terminal identification information, and then clicks the
図5(b)は、初期登録ダイアログ62を示す図である。この初期登録ダイアログ62は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
初期登録ダイアログ62には、「認証装置による指紋の読み取りが完了しました」が表示され、更に初期登録ボタン621およびキャンセルボタン622が表示される。利用者が初期登録ボタン621をクリックすると、端末が登録される。利用者がキャンセルボタン622をクリックすると、一連の端末登録動作をキャンセルして終了する。
FIG. 5B is a diagram showing the
In the
図6は、初期登録の動作を示すシーケンス図である。
まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ10)。
利用者がメニューから「初期登録」を選択すると、登録端末5は、初期登録リクエストを管理サーバ1へ送信する(シーケンスQ11)。
管理サーバ1が初期登録リクエストを受信すると、利用者識別情報を生成して利用者データベース161に記憶するとともに、この利用者識別情報を登録端末5に送信する(シーケンスQ12)。なお、利用者識別情報は、登録端末から入力されたのち、管理サーバ1側で登録済みのものと重複しないように決定されてもよい。
FIG. 6 is a sequence diagram showing the operation of the initial registration.
First,
When the user selects "initial registration" from the menu,
When the
登録端末5は、初期登録ダイアログ61(図5(a)参照)により受信した利用者識別情報を表示し、端末識別情報と利用者情報の入力待ちとなる。担当者は、登録端末5に、通知を受け取るためのメールアドレスなどの利用者情報とスマートフォン3を指定する端末識別情報を入力する。なお、初期登録ダイアログ61は、利用者の氏名、住所、電話番号を入力可能に構成されていてもよい。
そののち、利用者が希望するサービスの正規の利用者であるかを識別するための認証情報を読取装置58によって入力する(シーケンスQ13)。認証情報が登録端末5に入力されると、図5(b)に示した初期登録ダイアログ62が、登録端末5のディスプレイ54上に表示される。
The
Thereafter, authentication information for identifying whether the user is a legitimate user of the desired service is input by the reading device 58 (sequence Q13). When the authentication information is input to the
端末識別情報は、複数の端末を利用者が識別できるよう端末毎に異なるものであり、例えば、端末の機種名や型番などでもよく、遠隔実行制御の対象の情報処理装置が複数登録する場合に利用者自身が区別可能であれば、上記に限定されない。 The terminal identification information is different for each terminal so that a user can identify a plurality of terminals, and may be, for example, a model name or a model number of the terminal. The present invention is not limited to the above, as long as the user can distinguish itself.
登録端末5は、入力された情報(認証情報、端末識別情報)と、管理サーバ1より受信した利用者識別情報とを管理サーバ1に送信する(シーケンスQ14)。管理サーバ1は、受信した利用者識別情報に紐づけて、認証情報と端末識別情報を利用者データベース161に記憶し(シーケンスQ15)、遠隔制御ツール361と、この遠隔制御ツール361が起動時に参照する利用者識別情報と端末識別情報とを含んだ起動情報ファイルを生成する(シーケンスQ16)。
管理サーバ1は、新たに端末として登録されたスマートフォン3に、生成した起動情報ファイルのURL(Uniform Resource Locator)を通知する(シーケンスQ17)。以降、利用者は、スマートフォン3に初期登録を行う。
利用者は、スマートフォン3に通知されたURLに基づき、遠隔制御ツール361と起動情報ファイルを管理サーバ1からダウンロードする(シーケンスQ18)。利用者は、遠隔実行制御したい対象のスマートフォン3に遠隔制御ツール361をインストールする(シーケンスQ19)。インストール完了と共に遠隔制御ツール361が起動する。CPU31は、遠隔制御ツール361により、利用者識別情報と端末識別情報を起動情報ファイルから読み込んで、フラッシュメモリ36に記憶する処理を実行する。
The
The user downloads the
CPU31は、遠隔制御ツール361により、SIM(Subscriber Identity Module Card)371のIDをフラッシュメモリ36に記憶する処理を実行する(シーケンスQ20)。CPU31は更に、記憶装置からシリアル番号を取得する処理と(シーケンスQ21)、管理サーバ1へ登録完了信号を送信する処理とを実行する(シーケンスQ22)。この登録完了信号を送信と共に、記憶装置のシリアル番号も管理サーバ1に送信される。
管理サーバ1は、登録完了信号を受信した場合は、利用者データベース161内の利用者識別情報に紐づけられた端末識別情報に対応する登録フラグを“1”とし、即時破壊処理を有効化する。なお、登録フラグが“0”であり、未登録または無効となっている場合、管理サーバ1は破壊指令を受け付けない。管理サーバ1は更に、記憶装置のシリアル番号を利用者データベース161に登録する。
When receiving the registration completion signal, the
以後、遠隔制御ツール361は、スマートフォン3が電源投入される度にCPU31によって実行される。なお、第1の実施形態にて遠隔制御ツール361は、スマートフォン3にインストールされることとしたが、あらかじめスマートフォン3のファームウェアに組み込まれた構成でもよい。また、同様の機能を実現できれば、ソフトウェアによる実現手段に限定されず、ハードウェアとソフトウェアとを組み合わせて実現してもよい。
Thereafter, the
《破壊指令フェーズ》
破壊指令フェーズは、スマートフォン3が盗難された場合や、このスマートフォン3を紛失した場合に、利用者が遠隔実行制御によりスマートフォン3(情報処理装置)の記憶装置を破壊する指令を発行する動作のことをいう。破壊指令フェーズは、登録端末5のCPU51がリモート制御ソフト561を実行することにより実行される。スマートフォン3の記憶装置の破壊により、この記憶装置に格納された個人情報や営業秘密などは読み取れなくなるため、個人情報や営業秘密などの漏洩を抑止することができる。
利用者は、スマートフォン3の盗難・紛失時に、このスマートフォン3を警察に届けるとともに発見・回収に努める。しかし警察からの発見連絡が無く、見つからないと判断し捜索を断念した場合、そのスマートフォン3に記憶した情報の漏えいを防ぐため、スマートフォン3に対して破壊指令を送信する。
《Destruction order phase》
The destruction command phase is an operation in which the user issues a command to destroy the storage device of the smartphone 3 (information processing device) by remote execution control when the
When the
図7(a)は、破壊指令ダイアログ63を示す図である。この破壊指令ダイアログ63は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ63には、利用者識別情報テキストボックス631と端末識別情報テキストボックス632とがそれぞれ表示され、更にOKボタン633およびキャンセルボタン634が表示される。
利用者識別情報テキストボックス631は、利用者識別情報を入力するテキストボックスである。端末識別情報テキストボックス632は、端末識別情報を入力するためのテキストボックスである。
利用者は、利用者識別情報と端末識別情報とを適宜入力したのち、OKボタン633をクリックする。これにより、読取装置58によってバイオメトリクス情報が読み取られ、後記する破壊指令ダイアログ64に遷移する。利用者がキャンセルボタン634をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7A shows the
The
The user identification
The user inputs the user identification information and the terminal identification information as appropriate, and then clicks an
図7(b)は、破壊指令ダイアログ64を示す図である。この破壊指令ダイアログ64は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ64には、「認証装置による指紋の読み取りが完了しました」が表示され、更にOKボタン641およびキャンセルボタン642が表示される。利用者がOKボタン641をクリックすると、破壊指令ダイアログ65に遷移する。利用者がキャンセルボタン642をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7B is a diagram showing the
In the
図7(c)は、破壊指令ダイアログ65を示す図である。この破壊指令ダイアログ65は、登録端末5のCPU51がリモート制御ソフト561を実行することにより、ディスプレイ54上に表示される。
破壊指令ダイアログ65には、ワンタイムパスワードテキストボックス651と再入力テキストボックス652とがそれぞれ表示され、更に破壊指令ボタン653およびキャンセルボタン654が表示される。
ワンタイムパスワードテキストボックス651は、ワンタイムパスワードを表示するテキストボックスである。再入力テキストボックス652は、ワンタイムパスワードを再入力するためのテキストボックスである。
利用者は、ワンタイムパスワードを再入力テキストボックス652に再び入力したのち、破壊指令ボタン653をクリックする。これにより、指定した端末の記憶装置に係る破壊指令を実行する。利用者がキャンセルボタン654をクリックすると、一連の破壊指令動作をキャンセルして終了する。
FIG. 7C shows the
The
One-time
The user inputs the one-time password again in the
図8は、破壊指令の動作を示すシーケンス図である。
まず、登録端末5は、利用者が遠隔制御実行サービスを申し込むために、遠隔実行制御サービスのメニュー(不図示)を表示する(シーケンスQ30)。
利用者がメニューから「破壊指令」を選択すると、登録端末5は、破壊指令ダイアログ63により利用者識別情報を取得したのち、読取装置58から認証情報を取得して破壊指令ダイアログ64を表示したのち、破壊指令と利用者識別情報と認証情報とを管理サーバ1に送信する(シーケンスQ31)。認証情報は、指紋認証に限られず、虹彩認証や指静脈認証などのバイオメトリクス認証によって取得するようにすれば、正規の利用者であることを確実に確認でき、パスワード等を利用者が記憶しておく必要も無くなりすましの防止効果も高い。
FIG. 8 is a sequence diagram showing the operation of the destruction command.
First,
When the user selects “destruction command” from the menu, the
管理サーバ1は、受信した利用者識別情報と認証情報とを、利用者データベース161を検索して登録済みかどうかを確認する(シーケンスQ32)。ここで利用者識別情報と認証情報とは利用者データベース161に登録済みなので、管理サーバ1は、利用者データベース161から端末識別情報を取得して、所定の時間だけ有効なワンタイムパスワードを生成し、このワンタイムパスワードと端末識別情報とを登録端末5に送信する(シーケンスQ33)。
ここで、利用者識別情報と認証情報とが利用者データベース161に登録されていない場合や利用者識別情報と認証情報とが登録されていても一致しない場合(不図示)には、ワンタイムパスワードは生成されず、管理サーバ1は、登録端末5にエラー情報を送信する。登録端末5は、このエラー情報をディスプレイ54に表示する。所定の回数の連続したエラーが発生した場合、管理サーバ1は、所定の期間に亘り、エラーが発生した利用者識別情報に関する処理を受付不可とする。これにより、正規の権限を有さないユーザが、不正に破壊指令を行うことを抑止可能である。
Here, if the user identification information and the authentication information are not registered in the
シーケンスQ33の後、登録端末5は、破壊指令ダイアログ65によりワンタイムパスワードを表示し、入力待ちとなる(シーケンスQ34)。利用者は、表示されたワンタイムパスワードと同じパスワードを再入力テキストボックス652に再入力する(シーケンスQ35)。登録端末5は、入力されたパスワードと端末識別情報を管理サーバ1に送信する(シーケンスQ36)。
After sequence Q33,
管理サーバ1は、登録端末5から受信したワンタイムパスワードが所定の時間内に生成したワンタイムパスワードと一致する場合は、現在日時を破壊指令発行日時として破壊情報データベース162に記録し、破壊を待機する(シーケンスQ37)。なお、管理サーバ1は、ワンタイムパスワードを生成したのちに所定の時間が経過したならば、登録端末5からワンタイムパスワードを受信しても破壊を待機するフェーズには移行しない。これにより、ワンタイムパスワードの漏洩による不正な破壊指令を抑止することができる。
When the one-time password received from the
なお、誤った端末識別情報の選択による破壊指令実行を回避するために、メニューから破壊指令を選択する前に、破壊指令から除外したい端末で遠隔制御ツール361を実行し、管理サーバ1に対し、破壊対象外の端末識別情報と登録端末5に表示されたワンタイムパスワードを送信することにより、一時的に破壊対象から除外される構成としてもよい。この場合、登録端末5が破壊選択した端末の端末識別情報を受信した管理サーバ1は、除外指定された端末識別情報であると確認することにより、登録端末5に対し、除外済みであるとのエラー情報を返す。
Note that, in order to avoid execution of a destruction command due to selection of incorrect terminal identification information, before selecting a destruction command from the menu, execute the
《破壊指令実行フェーズ》
破壊指令実行フェーズにおいて管理サーバ1は、破壊指令を実行する端末を示す端末識別情報を、破壊情報データベース162にアクセスする際のパスワードとして登録し、破壊指令コードを関連付けて登録する。破壊指令コードは、破壊を実行するタイミングを示すものであり、利用者が即時に破壊したいか、利用者の死亡後に破壊するかを示している。
スマートフォン3がネットワークに接続すると、管理サーバ1との間のデータリンクが確立する(シーケンスQ40)。スマートフォン3のCPU31は、遠隔制御ツール361により、電源投入時を含め所定の時間経過毎に管理サーバ1の破壊情報データベース162にアクセスする。スマートフォン3のCPU31は、遠隔制御ツール361を実行することにより、端末識別情報を管理サーバ1へ送信する。管理サーバ1は、受信した端末識別情報が破壊情報データベース162に記憶されているかを検索する。ここでスマートフォン3の端末識別情報は破壊情報データベース162に登録されているので、破壊指令コードと端末識別情報とをスマートフォン3に送信し(シーケンスQ41)、破壊指令コードを受信した日時を破壊情報データベース162に記録する。
《Destruction order execution phase》
In the destruction command execution phase, the
When
スマートフォン3のCPU31は、遠隔制御ツール361の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは即時破壊なので、スマートフォン3のCPU31は、記憶装置(フラッシュメモリ36)の識別情報と起動回数情報とを取得し(シーケンスQ42)、記憶装置(フラッシュメモリ36)の破壊を実行する(シーケンスQ43)。これにより、フラッシュメモリ36が格納する情報へのアクセスを不可能とすることができる。
スマートフォン3のCPU31は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ44)、管理サーバ1は破壊処理の実行結果を、本人宛にメールで通知する(シーケンスQ45)。これにより、顧客端末4のCPU41が、電子メールプログラム461の実行により、破壊処理の結果を確認することができる。
When receiving the destruction command code by executing the
The
記憶装置の破壊処理は、例えば、ハードウェア的に読取不可能な状態に破壊するものであったり、ソフトウェアによりデータ消去する方法であったり、いろいろな方法が考えられるので、破壊処理の内容はいっさい限定されないものとする。フラッシュメモリでは、昇圧回路を付加してメモリチップに高電圧を印加することにより、短時間に破壊することができる。またHDDでは、キュリー温度以上に熱して磁気情報を消去することや、ヘッドを浮上させないようにプラッタの回転数制御を行いヘッドをプラッタに接触するようしたうえでシークさせてプラッタを物理的に破壊することにより、短時間に破壊することができる。このような端末の記憶装置を瞬時に破壊する方法によれば、情報漏えいの安全性はソフトウェア等によるデータ消去等に比べて更に高まる。 The destruction processing of the storage device may be, for example, a method of destructing the storage device in an unreadable state by hardware, a method of erasing data by software, or various methods. It shall not be limited. A flash memory can be destroyed in a short time by adding a booster circuit and applying a high voltage to a memory chip. In HDDs, the magnetic information is erased by heating to a temperature higher than the Curie temperature, and the platter rotation speed is controlled so that the head does not float, and the head is brought into contact with the platter and then seeks to physically destroy the platter. By doing so, it can be destroyed in a short time. According to such a method of instantly destroying the storage device of the terminal, the security of information leakage is further enhanced as compared with data erasure by software or the like.
なお、破壊情報データベース162の実行フェーズに記録された状態が“1”の「指令発行」を示しているにも関わらず、スマートフォン3の電源が所定の期間内に管理サーバ1とスマートフォン3とのデータリンクを確立できない場合が考えられる。
例えば、破壊対象となるスマートフォン3が電源オフ状態ならば、破壊指令を管理サーバ1から取得したり、基地局22を経由して破壊指令を受信することができない。このスマートフォン3は電源が入っていないか電波が届かない状況である。基地局22は、この情報を管理サーバ1に通知する。管理サーバ1は、この情報を破壊情報データベース162にログ情報として記録する。
Note that, although the state recorded in the execution phase of the
For example, if the power of the
その後、スマートフォン3が電源投入された場合、遠隔制御ツール361が自動起動される。スマートフォン3は、管理サーバ1の破壊情報データベース162へアクセスするタイミングか、または基地局22を介した交信タイミングで破壊指令を受け取り、その実行結果を管理サーバ1に送信する。
この場合は、実行完了の日時情報を管理サーバ1は、破壊情報データベース162に記憶するとともに破壊要請された登録端末5および実行完了時に利用者に通知する通知先に登録済の顧客端末4の宛先へメール等で通知する。
なお、スマートフォン3が破壊指令を取得できない場合(指令受信に移行していない場合)には、所定期間内の遠隔制御サービスの実行が出来ないとして破壊指令を中止してもよい。これにより所定期間を超えたときの破壊指令途中であることについてサービス中断を行い、破壊サービス提供が困難であることを利用者に正しく伝えることができる。
Thereafter, when the power of the
In this case, the
When the
図9(a),(b)は、破壊指令の実行結果例を示す図である。
図9(a)に示す受信メールウインドウ66には、登録した記憶装置を破壊した結果が記載されている。この受信メールウインドウ66は、顧客端末4のディスプレイ44上に表示される。
この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とは同一であり、利用者が意図した記憶装置が破壊できている。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置の起動回数と、スマートフォン3の起動回数とは同一であり、記憶装置(フラッシュメモリ36)が、このスマートフォン3以外に接続されていないことが確認できる。
FIGS. 9A and 9B are diagrams showing examples of execution results of the destruction command.
The received
In the received
The received
図9(b)に示す受信メールウインドウ67には、記憶装置が入れ替えられて、登録時とは異なる記憶装置を破壊した結果が記載されている。
この受信メールウインドウ66には、登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが対比可能に記載されている。ここでは登録時の記憶装置の識別情報と、破壊時の記憶装置の識別情報とが異なっており、利用者が意図したものとは違う記憶装置が破壊されたことを示している。
受信メールウインドウ66には更に、記憶装置の起動回数と、スマートフォン3の起動回数とが対比可能に記載されている。ここでは記憶装置は入れ替えられているので、記憶装置の起動回数と、スマートフォン3の起動回数とが異なっている。
In the received
In the received
The received
なお、端末の記憶装置が外されたのち、他の端末に接続されて記憶装置がコピーされ、再び元の端末に接続される場合がある。この場合も、記憶装置に格納された情報が漏洩する。第1の実施形態の受信メールウインドウ66には、記憶装置の起動回数とスマートフォン3の起動回数とが対比可能に記載されている。これにより、記憶装置が他の端末に接続されて起動したことが検知可能となる。
In some cases, after the storage device of the terminal is removed, the storage device is connected to another terminal, the storage device is copied, and then connected to the original terminal again. Also in this case, information stored in the storage device is leaked. In the received
《SIMの取り外しまたは変更が行われた場合》
スマートフォン3が窃取され、窃取者がスマートフォン3のSIMの取り外しまたは変更を行うことが考えられる。この際には、キャリア網との通信が行えなくなり、よって管理サーバ1の破壊指令を受信できなくなるおそれがある。この場合、スマートフォン3は、SIMの取り外しまたは変更をトリガとして、自ら記憶装置を破壊するとよい。
<< When SIM is removed or changed >>
It is conceivable that the
図10は、スマートフォン3によるSIM監視処理を示すフローチャートである。
スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM監視処理が開始する。
スマートフォン3のCPU31は、SIM371のIDが記憶済みでないと判定したならば(ステップS10→No)、このIDをフラッシュメモリ36に記憶する(ステップS11)。ここで記憶されたSIM371を、正規のSIM371と呼ぶ。
CPU31は、記憶されている正規のSIM371のIDと、現在のSIM371のIDとを比較して、SIMの変更を判断する(ステップS12)。
FIG. 10 is a flowchart illustrating the SIM monitoring process performed by the
When the power of the
If the
The
CPU31は、SIMが取り外しまたは変更されていたならば、元々装着されていたSIM371を装着するように画面に促す表示を行うとともに、監視タイマーをスタートして所定時間のカウントダウンを行う(ステップS13)。正規のSIM371の装着の為に電源を途中で切られたのちに電源を再投入しても、監視タイマーは継続カウントされる。正規のSIM371を装着した場合に限り、監視タイマーの初期化を行う。これにより、情報処理装置の電源のオンとオフとを繰り返すことによる正規のSIM371の監視の時間リセットによる回避操作状態は、発生しない。
所定の時間が経過したならば(ステップS14→Yes)、CPU31は、記憶装置であるフラッシュメモリ36のシリアル番号や起動回数などの情報を取得し(ステップS15)、このフラッシュメモリ36を破壊する(ステップS16)。CPU31は更に、WiFi通信部35を介して管理サーバ1に実行結果を送信し(ステップS17)、図10の処理を終了する。
If the SIM has been removed or changed, the
If the predetermined time has elapsed (step S14 → Yes), the
図11は、SIM371の付け替え時の記憶装置破壊動作を示すシーケンス図である。
スマートフォン3は、不正なユーザによって窃取されたのち、SIM371が付け替えられる(シーケンスQ50)。スマートフォン3の電源が投入されたとき、遠隔制御ツール361が起動してSIM371の変更を検知し(シーケンスQ51)、所定時間のカウントダウンを実行する(シーケンスQ52)。
正規のSIM371が未装着のまま所定時間が経過すると(シーケンスQ61)、スマートフォン3は、記憶装置であるフラッシュメモリ36の情報を取得したのち(シーケンスQ62)、このフラッシュメモリ36の破壊を実行する(シーケンスQ63)。
以降、スマートフォン3はフラッシュメモリ36の破壊の実行結果を管理サーバ1に送信する(シーケンスQ64)。管理サーバ1は、通知先メールアドレスに実行結果を送信することにより、この実行結果を顧客端末4に送信する(シーケンスQ65)。利用者が顧客端末4の電子メールプログラム461を起動して、実行結果の電子メールを受信することにより、利用者に実行結果が通知される(シーケンスQ66)。
FIG. 11 is a sequence diagram illustrating a storage device destruction operation when the
After the
When a predetermined time elapses without the
Thereafter, the
なお、利用者が正規のSIM371として別のSIMに登録変更する場合は、登録情報変更のメニューによりスマートフォン3に破壊保留指令を送信し、新たなSIMのIDをスマートフォン3が読み取って更新した後に、更新完了を管理サーバ1へ送信するとよい。このとき管理サーバ1は、更新完了の受信により破壊情報データベース162の実行フェーズを破壊保留前の状態に戻す。
In addition, when the user changes the registration to another SIM as the
《第2の実施形態》
第1の実施形態では、利用者が遠隔実行制御サービスの利用者登録を行い、破壊実行したい場合に対象とする情報処理装置を指定して破壊指令を実行していた。第2の実施形態では、利用者が事前設定した所定の条件で、記憶装置の破壊を実行することができる。具体的には、利用者が死亡した際に、登録した情報処理装置の遠隔実行制御サービスにより情報処理装置が有する記憶装置を全て破壊したいという場合である。
ここでは、利用者の死亡後に、NAS(Network Attached Storage)と呼ばれるネットワーク接続型の記憶装置を破壊する形態について説明する。
<< 2nd Embodiment >>
In the first embodiment, the user registers the user of the remote execution control service, and when the user wants to execute the destruction, specifies the target information processing apparatus and executes the destruction command. In the second embodiment, it is possible to execute the destruction of the storage device under predetermined conditions preset by the user. More specifically, when the user dies, the user wants to destroy all the storage devices of the information processing device by the remote execution control service of the registered information processing device.
Here, a mode of destroying a network-connected storage device called NAS (Network Attached Storage) after a user dies will be described.
図12は、第2の実施形態における遠隔破壊システムSを示す概略の構成図である。図1に示した遠隔破壊システムSと同一の要素には同一の符号を付与している。
第2の実施形態の遠隔破壊システムSは、第1の実施形態のスマートフォン3の代わりにNAS9を備えており、更に死亡管理サーバ7と死亡情報監視サーバ8とを備えている。
死亡管理サーバ7は、例えば行政機関の民間連動型サービスであり、マイナンバー制度のマイポータル/マイガバメントに相当し、利用者の生死情報を管理するサーバである。
死亡情報監視サーバ8(第2装置)は、死亡管理サーバ7に利用者の死亡情報が登録されたか否かを監視するサーバである。死亡情報監視サーバ8は、マイナンバー制度のポータルサイトからNAS9の所有者の死亡情報を取得すると、NAS9が備える記憶装置の破壊を管理サーバ1に指令する。
NAS9(第1装置)は、ネットワークに直接接続して、コンピュータやスマートフォンなどからネットワークを介してアクセス可能な外部記憶装置である。
FIG. 12 is a schematic configuration diagram illustrating a remote destruction system S according to the second embodiment. The same elements as those in the remote destruction system S shown in FIG. 1 are denoted by the same reference numerals.
The remote destruction system S of the second embodiment includes a NAS 9 instead of the
The
The death information monitoring server 8 (second device) is a server that monitors whether the death information of the user has been registered in the
The NAS 9 (first device) is an external storage device directly connected to a network and accessible from a computer, a smartphone, or the like via the network.
図13(a)は、死亡管理サーバ7の構成図である。
死亡管理サーバ7は、CPU71、RAM72、ROM73、ディスプレイ74、通信部75、生死データベース77を格納したHDD76を含んで構成される。CPU71、RAM72、ROM73、ディスプレイ74、通信部75は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
生死データベース77は、各利用者の生死情報を格納するデータベースである。利用者の死亡届に基づき、生死データベース77には利用者の生死情報が登録される。
FIG. 13A is a configuration diagram of the
The
The life and
図13(b)は、死亡情報監視サーバ8の構成図である。
死亡情報監視サーバ8は、CPU81、RAM82、ROM83、ディスプレイ84、通信部85、登録監視プログラム87と監視対象者データベース88とを格納したHDD86を含んで構成される。CPU81、RAM82、ROM83、ディスプレイ84、通信部85は、登録端末5が備えるCPU51、RAM52、ROM53、ディスプレイ54、通信部55と同様な機能を有する。
CPU81は、登録監視プログラム87を実行することにより死亡管理サーバ7にアクセスして、利用者の死亡情報の有無を監視する。
監視対象者データベース88は、死亡情報の有無を監視する対象者を格納するデータベースである。
FIG. 13B is a configuration diagram of the death
The death
The
The
図14は、NAS9の構成図である。
NAS9は、CPU91、RAM92、ROM93、通信部95、HDD96、HDD管理プログラム971と遠隔制御プログラム972とを格納したフラッシュメモリ97を含んで構成される。CPU91、RAM92、ROM93、通信部95は、登録端末5が備えるCPU51、RAM52、ROM53、通信部55と同様な機能を有する。
HDD96は、データやプログラムを格納する不揮発性の記憶装置である。
HDD管理プログラム971は、CPU91によって実行されて、外部装置からネットワークを介してHDD96をアクセス可能とする機能を具現化する。
遠隔制御プログラム972は、CPU91によって実行され、管理サーバ1の破壊指令を受けて、このフラッシュメモリ36を破壊する機能を具現化する。
FIG. 14 is a configuration diagram of the NAS 9.
The NAS 9 includes a
The
The
The
利用者は、第1の実施形態と同様に初期設定フェーズで初期設定を行い、管理サーバ1に利用者識別情報、認証情報、端末識別情報などを登録し、情報処理端末には、端末識別情報が記憶される。
The user performs initial setting in the initial setting phase as in the first embodiment, registers user identification information, authentication information, terminal identification information, and the like in the
図15(a)は、利用者データベース161Aの構成を示す図である。
利用者データベース161Aは、第1の実施形態の利用者データベース161(図4(a)参照)と同様の構成に加えて更に、遺族通知先欄を有している。この遺族通知先には、利用者の遺族のメールアドレスが格納される。初期設定フェーズにて利用者は、本人のメールアドレスに加えて遺族のメールアドレスを入力し、遺族のメールアドレスは遺族通知先欄に格納される。
FIG. 15A is a diagram illustrating a configuration of the
The
初期設定後、破壊指令フェーズにて利用者は、登録端末5を操作して破壊指令実行の条件である登録フラグを「死亡後破壊」に設定する。死亡後破壊に設定された場合は、利用者の死亡情報により指定された情報処理装置に対し実行されることになる。
After the initial setting, in the destruction command phase, the user operates the
図15(b)は、破壊情報データベース162Aの構成を示す図である。
破壊情報データベース162Aは、第1の実施形態の破壊情報データベース162(図4(b)参照)と同様に構成されている。
ここではNAS9のHDD96に対する破壊指令なので、端末識別情報には、“太郎NAS_54321”が格納される。このHDD96は利用者の死亡時に破壊されるので、遠隔制御情報には、“9999”が格納される。
FIG. 15B is a diagram showing a configuration of the
The
Here, since the NAS 9 is a destruction command for the
《利用者情報の収集、監視》
図16は、死亡時の破壊動作を示すシーケンス図である。
ここで利用者データベース161Aに登録された端末識別情報に紐づけられた登録フラグが死亡後破壊を示す“9999”に設定されている。
遺族がマイポータル/マイガバメントに対して利用者の死亡届を提出すると(シーケンスQ70)、マイポータル/マイガバメントに係る死亡管理サーバ7の生死データベース77には、利用者の生死情報が登録される(シーケンスQ70)。
死亡管理サーバ7から死亡情報監視サーバ8に対して利用者の死亡の事実が連絡される(シーケンスQ71)。この死亡情報監視サーバ8は、所定の周期(例えば、毎日)でマイポータル/マイガバメントにアクセスして利用者の死亡情報を監視している。
《Collection and monitoring of user information》
FIG. 16 is a sequence diagram showing a destruction operation at the time of death.
Here, the registration flag associated with the terminal identification information registered in the
When the bereaved family submits a notification of the user's death to My Portal / My Government (sequence Q70), the life and death information of the user is registered in the life and
The
死亡情報監視サーバ8は、管理サーバ1に対して利用者の死亡を通知する(シーケンスQ72)。死亡情報監視サーバ8は、管理サーバ1のアドレス情報と管理サーバ1へのログイン情報とが登録されている。
管理サーバ1は、利用者の死亡時に破壊すべき端末(記憶装置)を特定し(シーケンスQ73)、以降は破壊指令実行フェーズに移行する。
The death
The
《破壊指令実行フェーズ》
管理サーバ1は、破壊指令と端末識別情報とをNAS9に送信する(シーケンスQ74)。NAS9のCPU91は、遠隔制御プログラム972の実行により、破壊指令コードを受信した場合、登録完了信号を受信済かを確認する。登録完了信号を受信済の場合は、破壊指令コードを確認する。ここで破壊指令コードは死亡時破壊なので、NAS9のCPU91は、記憶装置(HDD96)の識別情報と起動回数情報とを取得し(シーケンスQ75)、記憶装置(HDD96)の破壊を実行する(シーケンスQ76)。これにより、HDD96が格納する情報へのアクセスを不可能とすることができる。
《Destruction order execution phase》
NAS9のCPU91は、この破壊処理の実行結果と記憶装置の情報とを管理サーバ1に送信し(シーケンスQ77)、管理サーバ1は破壊処理の実行結果を、遺族宛にメールで通知する(シーケンスQ78)。これにより遺族は、破壊処理の結果を確認することができる。
(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の(a)〜(d)のようなものがある。
(a) 本発明は、スマートフォンやNASに限定されず、デスクトップパソコンなどの据え置き型やノートブックパソコンなどの可搬型のパソコンなども対象としている。また、パソコンより小型のタブレットや携帯電話などのモバイル機器などであってもよい。
The
(Modification)
The present invention is not limited to the above embodiment, and can be modified and implemented without departing from the spirit of the present invention. For example, there are the following (a) to (d).
(A) The present invention is not limited to smartphones and NAS, but also covers stationary personal computers such as desktop personal computers and portable personal computers such as notebook personal computers. Further, a mobile device such as a tablet or a mobile phone smaller than a personal computer may be used.
(b) スマートフォン3は、破壊処理後に届け先の情報を表示する機能があってもよい。これにより、スマートフォン3の破壊処理に、このスマートフォン3の届け先がわかり、紛失の場合などには、利用者が破壊済みの端末を回収して安心できる。スマートフォン3の届け先は、例えば遠隔制御実行サービス事業者が窓口になるとよい。
(B) The
(c) 第1の実施形態では、スマートフォン3が管理サーバ1にある破壊指令の情報の有無を取得し、確認することとした。しかし、これに限られず有線通信や無線通信により管理サーバ1が破壊指令を送信し、中継局や基地局22を介してスマートフォン3が受信してもよい。スマートフォン3が端末識別情報と破壊指令とを受信すると、破壊指令を受信した日時情報を管理サーバ1に送信して、スマートフォン3が有するフラッシュメモリ36を破壊処理する。フラッシュメモリ36が読取不能となった場合、スマートフォン3は、その実行結果を管理サーバ1へ送信し、管理サーバ1は実行結果を本人のメールアドレスに通知する。利用者は、管理サーバ1からの通知メールにより、スマートフォン3が指令を受領した時間、実行時間、実行結果を知ることができ、指定したスマートフォン3のフラッシュメモリ36が確実に破壊されたか否かを知ることができる。
(C) In the first embodiment, the
(d) NASがミラーリング等で複数のHDDで構成されているときに、HDDの取り外しの監視を行ってもよい。これにより、HDDを取り外して情報を他のHDDにコピーした後、再びHDDをNASに戻した場合には、NASを構成するHDDの全てを破壊実行した際に、NASの情報が他にコピーされている可能性を通知メールにより知ることができる。 (D) When the NAS is composed of a plurality of HDDs by mirroring or the like, the monitoring of HDD removal may be performed. Thus, if the HDD is removed and the information is copied to another HDD, and then the HDD is returned to the NAS again, the NAS information is copied to another when all the HDDs constituting the NAS are destroyed and executed. It is possible to know the possibility of having been informed by the notification mail.
S 遠隔破壊システム
1 管理サーバ
161 利用者データベース
162 破壊情報データベース
21 ルータ
22 基地局
3 スマートフォン
35 WiFi通信部
36 フラッシュメモリ
361 遠隔制御ツール
37 3G通信部
371 SIM
4 顧客端末
461 電子メールプログラム
5 登録端末
561 リモート制御ソフト
7 死亡管理サーバ
77 生死データベース
8 死亡情報監視サーバ
87 登録監視プログラム
88 監視対象者データベース
9 NAS
96 HDD
972 遠隔制御プログラム
S
4
96 HDD
972 Remote control program
Claims (4)
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムであって、
前記第2装置の指令手段が、前記第1装置が備える前記記憶装置の破壊を前記管理装置に指令し、
前記管理装置は、前記第1装置が備える前記記憶装置の破壊を当該第1装置に指令し、
前記第1装置の遠隔制御手段は、当該第1装置が備える記憶装置の入れ替えの有無を判定し、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信する、
ことを特徴とする記憶装置の遠隔破壊システム。 A management device communicably connected to the network;
A first device that is communicable with the management device via the network, and includes a storage device, and a remote control unit that controls the storage device according to a command from the management device;
A second device that is communicable with the management device via the network and includes a command unit that issues a command to the management device;
A remote destruction system comprising
Command means of the second device instructs the management device to destroy the storage device included in the first device;
The management device instructs the first device to destroy the storage device included in the first device,
The remote control means of the first device determines whether or not the storage device included in the first device is replaced, determines the destruction result after destroying the storage device included in the first device, and determines via the network Transmitting the storage device destruction result and the presence or absence of replacement to the management device,
A remote destruction system for a storage device.
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。 The remote control unit of the first device monitors whether or not the first device has been replaced based on the identification information of the storage device included in the first device.
The remote destruction system for a storage device according to claim 1 , wherein:
ことを特徴とする請求項1に記載の記憶装置の遠隔破壊システム。 The remote control unit of the first device monitors whether or not the storage device included in the first device has been replaced based on the information on the number of times of activation of the first device and the number of activation times of the storage device included in the first device.
The remote destruction system for a storage device according to claim 1 , wherein:
前記ネットワークを介して前記管理装置に通信可能であり、記憶装置、および当該記憶装置を前記管理装置の指令により制御する遠隔制御手段を備える第1装置と、
前記ネットワークを介して前記管理装置に通信可能であり、前記管理装置に指令を行う指令手段を備える第2装置と、
を備える遠隔破壊システムが実行する遠隔破壊方法であって、
前記第2装置の指令手段が、前記第1装置が備える前記記憶装置の破壊を前記管理装置に指令するステップと、
前記管理装置が、前記第1装置が備える前記記憶装置の破壊を当該第1装置に指令するステップと、
前記第1装置の遠隔制御手段が、当該第1装置が備える記憶装置の入れ替えの有無を判定するステップと、
前記第1装置の遠隔制御手段が、当該第1装置が備える記憶装置を破壊したのちに破壊結果を判断し、前記ネットワークを介して前記管理装置に記憶装置の破壊結果と入れ替えの有無とを送信するステップと、
を含むことを特徴とする遠隔破壊方法。 A management device communicably connected to the network;
A first device that is communicable with the management device via the network, and includes a storage device, and a remote control unit that controls the storage device according to a command from the management device;
A second device that is communicable with the management device via the network and includes a command unit that issues a command to the management device;
A remote destruction method performed by a remote destruction system comprising:
Commanding means of the second device instructing the management device to destroy the storage device included in the first device;
The management device instructs the first device to destroy the storage device included in the first device;
A step in which the remote control means of the first device determines whether or not a storage device included in the first device is replaced;
The remote control means of the first device judges the destruction result after destroying the storage device provided in the first device, and transmits the destruction result of the storage device and the presence or absence of the replacement to the management device via the network. Steps to
A remote destruction method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015253757A JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015253757A JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019219226A Division JP6832413B2 (en) | 2019-12-04 | 2019-12-04 | Information processing equipment and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017118411A JP2017118411A (en) | 2017-06-29 |
JP6650755B2 true JP6650755B2 (en) | 2020-02-19 |
Family
ID=59234656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015253757A Active JP6650755B2 (en) | 2015-12-25 | 2015-12-25 | Remote destruction system and remote destruction method for storage device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6650755B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101836089B1 (en) * | 2017-09-26 | 2018-03-09 | (주)케이컴 | Data storage medium permanent destruction device |
JP7300053B2 (en) * | 2020-02-19 | 2023-06-28 | 三菱電機株式会社 | Refrigeration cycle equipment and refrigeration system |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4030338B2 (en) * | 2002-04-12 | 2008-01-09 | シャープ株式会社 | Communication terminal |
US20080219122A1 (en) * | 2003-03-18 | 2008-09-11 | Roger Detzler | Dead on demand technology |
JP3875250B2 (en) * | 2004-12-22 | 2007-01-31 | ソフトバンクモバイル株式会社 | Information erasing method, mobile communication terminal device, server system, information erasing system, and program |
JP5274263B2 (en) * | 2009-01-06 | 2013-08-28 | キヤノン株式会社 | Information processing apparatus and information processing apparatus control method |
US8972728B2 (en) * | 2012-10-15 | 2015-03-03 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
JP2015149048A (en) * | 2014-02-04 | 2015-08-20 | 楠 信子 | Subscription and automatic execution system for information processing of individual client |
-
2015
- 2015-12-25 JP JP2015253757A patent/JP6650755B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017118411A (en) | 2017-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11019048B2 (en) | Password state machine for accessing protected resources | |
US10447839B2 (en) | Device locator disable authentication | |
US10505983B2 (en) | Enforcing enterprise requirements for devices registered with a registration service | |
EP2812842B1 (en) | Security policy for device data | |
US10147096B2 (en) | Device diagnostic and data retrieval | |
US20200296585A1 (en) | Wireless authentication system | |
US20100218012A1 (en) | Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers | |
CN108933668B (en) | Method and security system for using a control panel device | |
TWI753286B (en) | Self-encrypting device, management server, method for data security, and non-transitory machine-readable srotage medium thereof | |
CN105934751B (en) | Data erasure for target devices | |
US10783088B2 (en) | Systems and methods for providing connected anti-malware backup storage | |
CN103824004A (en) | Application program protection method and device | |
JP2023078262A (en) | Method and system for improved data control and access | |
KR102184305B1 (en) | Method for processing authorization, electronic device and server for supporting the same | |
JP6650755B2 (en) | Remote destruction system and remote destruction method for storage device | |
CN112613011A (en) | USB flash disk system authentication method and device, electronic equipment and storage medium | |
JP6832413B2 (en) | Information processing equipment and programs | |
JP2019125347A (en) | Storage device, data sharing system, and data sharing method | |
US10839055B2 (en) | Storage apparatus managing method and storage apparatus managing system | |
WO2016193176A1 (en) | A remotely protected electronic device | |
TW201939289A (en) | Storage apparatus managing method and storage apparatus managing system | |
US11737155B2 (en) | Communication with a data storage device using an emulated Wi-Fi captive portal | |
JP2019121306A (en) | Storage device, data sharing system, and data sharing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180820 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190821 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190917 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191204 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6650755 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |