WO2014147710A1

WO2014147710A1 - 端末装置、起動制御方法およびプログラム

Info

Publication number: WO2014147710A1
Application number: PCT/JP2013/057674
Authority: WO
Inventors: 濱田圭
Original assignee: 富士通株式会社
Priority date: 2013-03-18
Filing date: 2013-03-18
Publication date: 2014-09-25
Also published as: JPWO2014147710A1; JP6024821B2

Abstract

　第１のＯＳが記憶された第１の記憶領域と、第１のＯＳが記憶されている領域と異なる領域に第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶手段と、管理サーバが指定する起動ＯＳに応じて、記憶手段から第１のＯＳを読み出してメモリに実行可能なように展開する第１の処理と、管理サーバから第２のＯＳの暗号鍵を取得し、記憶手段から読み出した第２のＯＳを暗号鍵を使用してメモリに実行可能なように展開する第２の処理と、を切替える制御手段と、メモリに展開された第１のＯＳまたは第２のＯＳを実行する実行手段と、を備える端末装置。

Description

端末装置、起動制御方法およびプログラム

　本発明は、端末装置、端末装置の起動制御を行なう起動制御方法およびプログラムに関する。

　近年、デスクトップ仮想化やアプリケーション仮想化を利用したシンクライアント端末が知られている。
　シンクライアント端末は、ネットワーク経由で接続するシンクライアントサーバが提供する仮想デスクトップや仮想アプリケーションを利用する。したがって、シンクライアント端末を利用すると端末側にデータが残らないので、データの漏洩などセキュリティ管理を容易に行うことができる。

　しかし、災害発生などの緊急時には、会社で使用しているシンクライアント端末を社外や自宅に持ち出して業務を継続しなくてはならない場合が考えられる。シンクライアント端末は、シンクライアントサーバとネットワークで接続できる環境が必要であるため、会社のシンクライアントサーバに接続できなければ仮想デスクトップや仮想アプリケーションが利用できなくなる。この場合、業務を継続することが出来なくなる。そのため、緊急時用に別のパソコンを準備しておくなどの対応が必要となる。

　上記技術に関連して、認証されたサーバから認証されたクライアントにブートファイルが転送されると、このブートファイルをクライアントが認証した後に実行してオペレーティングシステムを作成する方法が知られている。

　また、ＨＤＤ１に記録されたＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）を使用してシンクライアントを稼動させる第１の運用形態と、ＨＤＤ２に記録されたＯＳを使用してシンクライアントを稼動させる第２の運用形態とを切り替えて運用するシンクライアントが知られている。このシンクライアントは、何れの運用形態で稼動されている場合であっても、ＯＳが認識不可な予め定められた書込命令コマンドが入力された場合にはＨＤＤ１へのデータ書き込みを許可する。一方、このシンクライアントは、第１の運用形態によって稼動されている場合、ＯＳによって認識可能な書込命令がシンクライアントに入力されても、ＨＤＤ１へのデータ書き込みを禁止する。

　また、シンクライアン端末として用いるためのＯＳと、汎用の一般的なＯＳと、の切り替えを容易に行えるシンクライアントコンピュータ装置が知られている。

特開２００５－０１８７８６号公報特開２００８－０７７４１３号公報特開２０１２－０３７９５６号公報

　本端末装置は、１つの側面では、必要なときに特定のＯＳを使用することができる端末装置を提供することを目的とする。

　本端末装置の１つの観点によれば、本端末装置は、以下の構成要素を備える。
　記憶手段は、暗号化されていない第１のＯＳが記憶された第１の記憶領域と、前記第１のＯＳが記憶されている領域と異なる領域に前記第１のＯＳと異なる第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶装置である。

　制御手段は、前記第２のＯＳの暗号鍵を有する管理サーバが指定する起動ＯＳに応じて、第１の処理と第２の処理とを切替える。前記第１の処理は、前記記憶手段から前記第１のＯＳを読み出してメモリに実行可能なように展開する処理である。前記第２の処理は、前記管理サーバから前記第２のＯＳの暗号鍵を取得し、前記記憶手段から読み出した前記第２のＯＳを前記暗号鍵を使用して前記メモリに実行可能なように展開する処理である。

　実行手段は、前記メモリに展開された前記第１のＯＳまたは前記第２のＯＳを実行する。

　本端末装置は、１つの態様では、必要なときに特定のＯＳを使用することができる端末装置を提供することができる。

一実施例に係る端末装置１１０を使用する情報処理システム１００の概要を説明する図である。端末装置１１０の構成の一例を示す図である。外部記憶装置２０５の構成の一例を説明する図である。管理サーバ１２０の構成の一例を示す図である。端末管理情報５００の一例を示す図である。端末装置１１０の初期設定処理の一例を示すフローチャートである。管理サーバ１２０の初期設定処理の一例を示すフローチャートである。端末装置１１０の起動処理の一例を示すフローチャートである。端末装置１１０の起動処理の一例を示すフローチャートである。ＢＩＯＳ設定画面９００の一例を示す図である。端末管理メニュー画面１０００の一例を示す図である。端末登録画面１１００の一例を示す図である。起動ＯＳ変更画面１２００の一例を示す図である。登録端末削除画面１３００の一例を示す図である。起動ＯＳに変更がない場合の端末装置１１０起動時の情報処理システム１００の動作シーケンスの一例を示す図である。起動ＯＳに変更がある場合の端末装置１１０起動時の情報処理システム１００の動作シーケンスの一例を示す図である。

　以下、本発明の実施形態の一例について、図１～図１５に基づいて説明する。なお、以下に説明する実施形態はあくまでも例示であり、以下に明示しない種々の変形や技術の適用を排除する意図ではない。すなわち、本実施形態は、その趣旨を逸脱しない範囲で、実施例に含まれる技術を組み合わせるなど種々変形して実施することができる。また、図６、図７、図８（ａ）および図８（ｂ）にフローチャートの形式で示した処理手順は、処理の順番を限定する趣旨ではない。したがって、可能な場合には、処理の順番を入れ替えても良いのは当然である。

　≪実施例≫
　図１は、一実施例に係る端末装置１１０を使用する情報処理システム１００の概要を説明する図である。

　情報処理システム１００は、端末装置１１０と、端末装置１１０を管理する管理サーバ１２０と、を含むことができる。管理サーバ１２０には、端末装置１１０に関する情報を含む端末情報を登録する端末管理情報５００などを記憶する外部記憶装置２０５を含むことができる。また、情報処理システム１００には、管理サーバ１２０にアクセスして管理サーバ１２０を操作するための管理者端末１２２を含むことができる。端末装置１１０と管理サーバ１２０、管理サーバ１２０と管理者端末１２２は、それぞれネットワークまたは専用回線を介して接続することができる。

　なお、図１の例では、端末装置１１０を１台だけ例示しているが、端末装置１１０の数を１台に限定する趣旨ではない。管理サーバ１２０が管理する端末装置は複数あってもよい。以下の説明では、管理サーバ１２０が管理する端末装置のうちの１つを代表して「端末装置１１０」という。

　図２は、端末装置１１０の構成の一例を示す図である。
　端末装置１１０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２０１と、メモリ２０２と、ＴＰＭ（Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ）２０３と、ＥＰＲＯＭ（Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２０４と、外部記憶装置２０５と、ネットワークＩ／Ｆ（Ｉｎｔｅｒｆａｃｅ）２０６と、ＶＧＡ（Ｖｉｄｅｏ　Ｇｒａｐｈｉｃｓ　Ａｒｒａｙ）２０７と、入力装置２０８と、媒体駆動装置２０９と、チップセット２１０と、を含むことができる。ＣＰＵ２０１、メモリ２０２、ＴＰＭ２０３、ＥＰＲＯＭ２０４、外部記憶装置２０５、ネットワークＩ／Ｆ２０６、ＶＧＡ２０７、入力装置２０８および媒体駆動装置２０９は、チップセット２１０を介して相互に接続することができる。

　ＣＰＵ２０１は、周辺機器や各種ソフトウェアを実行する他に本実施例に係る端末制御を実現するプログラムを実行する演算装置である。メモリ２０２は、ＣＰＵ２０１が実行するプログラムやデータを一時的に記憶する揮発性の記憶装置である。メモリ２０２には、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などを使用することができる。

　ＴＰＭ２０３は、ＴＣＧ（Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｉｎｇ　Ｇｒｏｕｐ）が策定した標準仕様にしたがってセキュリティ関連の処理機能を提供するＬＳＩチップである。例えば、ＴＰＭ２０３は、所定の方式にしたがって暗号鍵を暗号化し、暗号化された暗号鍵を復号化することができる。

　ＥＰＲＯＭ２０４は、ＢＩＯＳ（Ｂａｓｉｃ　Ｉｎｐｕｔ／Ｏｕｔｐｕｔ　Ｓｙｓｔｅｍ）やＴＰＭ２０３によって暗号化された暗号鍵などを記憶する不揮発性の記憶装置である。外部記憶装置２０５は、端末装置１１０が動作するために必要なプログラムやデータの他に本実施例に係る端末制御を実現するためのプログラムを記憶する不揮発性の記憶装置である。外部記憶装置２０５には、例えば、磁気ディスク記憶装置などを使用することができる。外部記憶装置２０５には、複数のパーティションが生成され、別々のパーティションそれぞれに後述の第１のＯＳや第２のＯＳがインストールされている。

　ネットワークＩ／Ｆ２０６は、ネットワークに接続するためのインタフェースである。ＶＧＡ２０７は、ＣＰＵ２０１の指示にしたがって、ＢＩＯＳ設定画面９００などを表示装置２１１に出力して表示させる装置である。入力装置２０８は、外部からのデータ入力手段である。入力装置２０８には、例えば、キーボードやマウスなどを使用することができる。

　媒体駆動装置２０９は、ＣＰＵ２０１の指示にしたがって、後述の暗号化した暗号鍵、メモリ２０２や外部記憶装置２０５のデータなどを可搬記憶媒体、例えば、フロッピイディスクやＭＯディスク、ＣＤ－ＲやＤＶＤ－Ｒなどに出力する。また、媒体駆動装置２０９は、ＣＰＵ２０１の指示にしたがって、可搬記憶媒体から暗号化された暗号鍵やプログラム、データ等を読み出す。

　なお、メモリ２０２や外部記憶装置２０５、可搬記憶媒体などの端末装置１１０に読取り可能な記憶媒体には、非一時的（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ）な媒体を使用することができる。

　図３は、外部記憶装置２０５の記憶領域３００の一例を説明する図である。
　外部記憶装置２０５の記憶領域３００には、ブート領域と、パーティション１および２と、を含むことができる。

　ブート領域には、端末装置１１０が起動時に実行するＯＳ、以下では「起動ＯＳ」という、が設定される。本実施例では、端末装置１１０でＢＩＯＳを使用するので、ブート領域として、ＭＢＲ（Ｍａｓｔｅｒ　Ｂｏｏｔ　Ｒｅｃｏｒｄ）を使用することができる。また、ＥＦＩ（Ｅｘｔｅｎｓｉｂｌｅ　Ｆｉｒｍｗａｒｅ　Ｉｎｔｅｒｆａｃｅ）やＵＥＦＩ（Ｕｎｉｆｉｅｄ　Ｅｘｔｅｎｓｉｂｌｅ　Ｆｉｒｍｗａｒｅ　Ｉｎｔｅｒｆａｃｅ）を使用する場合、ブート領域としてＧＰＴ（ＧＵＩＤ　Ｐａｒｔｉｔｉｏｎ　Ｔａｂｌｅ）などを使用することもできる。

　パーティション１には、第１のＯＳがインストールされている。第１のＯＳには、例えば、シンクライアント用ＯＳのＷｉｎｄｏｗｓ（登録商標）　ｅｎｂｅｄｄｅｄやＬｉｎｕｘ（登録商標）などを使用することができる。また、パーティション２には、第２のＯＳが暗号化されてインストールされている。第２のＯＳには、第１のＯＳとは別のＯＳ、例えば、業務で使用するアプリケーションやセキュリティソフトなどをあらかじめインストールしてスタンドアロンで作業をすることができる状態のＷｉｎｄｏｗｓ（登録商標）　ＯＳやＬｉｎｕｘ(登録商標）などを使用することができる。なお、ＯＳの暗号化インストールについては、例えば、Ｗｉｎｄｏｗｓ（登録商標）　ＯＳが提供するＷｉｎｄｏｗｓ（登録商標）　ＢｉｔＬｏｃｋｅｒドライブ暗号化の機能など公知の機能を使用することができる。

　以下では、暗号化せずにインストールされたＯＳを「第１のＯＳ」といい、暗号化してインストールされたＯＳを「第２のＯＳ」という。図３には、外部記憶装置２０５の記憶領域３００に２つのパーティションだけを例示したが、３つ以上のパーティションが含まれてもよい。そして、複数のパーティションそれぞれに第１のＯＳをインストールしてもよいし、複数のパーティションそれぞれに第２のＯＳをインストールしてもよい。外部記憶装置２０５の記憶領域３００には、少なくとも２つ以上のパーティションがあり、少なくとも第１のＯＳと第２のＯＳがそれぞれ１つ以上インストールされていればよい。

　図４は、管理サーバ１２０の構成の一例を示す図である。
　管理サーバ１２０は、ＣＰＵ４０１と、メモリ４０２と、ＥＰＲＯＭ４０３と、外部記憶装置４０４と、ネットワークＩ／Ｆ４０５と、ＶＧＡ４０６と、入力装置４０７と、媒体駆動装置４０８と、チップセット４０９と、を含むことができる。ＣＰＵ４０１、メモリ４０２、ＥＰＲＯＭ４０３、外部記憶装置４０４、ネットワークＩ／Ｆ４０５、ＶＧＡ４０６、入力装置４０７および媒体駆動装置４０８は、チップセット４０９を介して相互に接続することができる。

　ＣＰＵ４０１は、周辺機器や各種ソフトウェアを実行する他に本実施例に係る端末制御を実現するプログラムを実行する演算装置である。メモリ４０２は、ＣＰＵ４０１が実行するプログラムやデータを一時的に記憶する揮発性の記憶装置である。メモリ４０２には、例えば、ＲＡＭなどを使用することができる。

　ＥＰＲＯＭ４０３は、ＢＩＯＳなどを記憶する不揮発性の記憶装置である。外部記憶装置４０４は、管理サーバ１２０が動作するために必要なプログラムやデータの他に本実施例に係る端末制御を実現するためのプログラムを記憶する不揮発性の記憶装置である。外部記憶装置４０４には、図５で例示する端末管理情報５００やＯＳやその他のプログラムなどを記憶することができる。外部記憶装置４０４には、例えば、磁気ディスク記憶装置などを使用することができる。

　ネットワークＩ／Ｆ４０５は、ネットワークに接続するためのインタフェースである。ＶＧＡ４０６は、ＣＰＵ４０１の指示にしたがって、端末管理メニュー画面１０００、端末登録画面１１００、起動ＯＳ変更画面１２００および登録端末削除画面１３００などを表示装置４１０に出力して表示させる装置である。入力装置４０７は、外部からのデータ入力手段である。入力装置４０７には、例えば、キーボードやマウスなどを使用することができる。

　媒体駆動装置４０８は、ＣＰＵ４０１の指示にしたがって、メモリ４０２や外部記憶装置４０４のデータを可搬記憶媒体、例えば、フロッピイディスクやＭＯディスク、ＣＤ－ＲやＤＶＤ－Ｒなどに出力する。また、媒体駆動装置４０８は、ＣＰＵ４０１の指示にしたがって、可搬記憶媒体から暗号化された暗号鍵やプログラム、データ等を読み出す。

　なお、メモリ４０２や外部記憶装置４０４、可搬記憶媒体などの管理サーバ１２０に読取り可能な記憶媒体には、非一時的（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ）な媒体を使用することができる。

　図５は、端末管理情報５００の一例を示す図である。
　端末管理情報５００は、端末装置毎に、端末名称、ＩＤ（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）、パスワード、暗号化された暗号鍵、起動ＯＳ種類および有効期限を含む端末情報が登録されている情報である。端末管理情報５００は、データベースを利用して実現することもできる。

　端末名称は、端末装置１１０に割り当てられた固有の名称である。ＩＤは、端末装置１１０に割り当てられた管理サーバ１２０へのログインＩＤである。パスワードは、端末装置１１０の管理サーバ１２０へのログインパスワードである。暗号化された暗号鍵は、端末装置１１０にインストールする際に第２のＯＳの暗号化に使用された暗号鍵がＴＰＭ２０３によって暗号化された暗号鍵である。起動ＯＳ情報は、端末装置１１０の起動ＯＳを指定する情報である。起動ＯＳ情報には、例えば、第１のＯＳまたは第２のＯＳが設定される。有効期限は、第２のＯＳの有効期限を示す情報である。

　図６は、端末装置１１０の初期設定処理の一例を示すフローチャートである。
　利用者が端末装置１１０に電源を投入すると、ＣＰＵ２０１はＥＰＲＯＭ２０４からＢＩＯＳを読み出して、以下の処理を開始する（ステップＳ６００ａ）。

　入力装置２０８を介して利用者から指示を受けると、ＣＰＵ２０１は、利用者からの指示にしたがって、外部記憶装置２０５にパーティションを生成する（ステップＳ６０１ａ）。そして、ＣＰＵ２０１は、利用者が指定する可搬記憶媒体等から第１のＯＳを読み出して、ステップＳ６０１ａで生成したパーティションのいずれかに第１のＯＳをインストールする（ステップＳ６０２ａ）。

　また、ＣＰＵ２０１は、利用者からマルチブート用に指定された第２のＯＳを、利用者が指定する可搬記憶媒体等から読み出して、ステップＳ６０１ａで生成したパーティションのいずれかにインストールする（ステップＳ６０３ａ）。なお、第１のＯＳと第２のＯＳは異なるパーティションにインストールしてもよいし、可能であれば、同じパーティションにインストールしてもよい。また、第２のＯＳをインストールする際に暗号化を行うことが可能であれば、第２のＯＳを暗号化してからインストールしてもよい。

　第２のＯＳのインストールが完了すると、ＣＰＵ２０１は、第２のＯＳを起動する（ステップＳ６０４ａ）。そして、ＣＰＵ２０１は、処理をステップＳ６０１ｂに移行する。

　ＣＰＵ２０１は、入力装置２０８を介して利用者から受ける指示にしたがって、初期設定を行う（ステップＳ６０１ｂ）。初期設定には、ネットワークの設定やログインＩＤおよびパスワードなどの設定などを含むことができる。また、ＣＰＵ２０１は、記憶媒体等から利用者が指定するアプリケーション、例えば、業務に使用する文書作成ソフトや表計算ソフトなどを読み出してインストールを行う（ステップＳ６０１ｂ）。

　さらに、ＣＰＵ２０１は、ステップＳ６０３ａでインストールした第２のＯＳを暗号化する（ステップＳ６０２ｂ）。そして、ＣＰＵ２０１は、第２のＯＳの暗号化に使用した暗号鍵をＴＰＭ２０３を使用して暗号化して可搬記憶媒体等に出力する（ステップＳ６０３ｂ、Ｓ６０４ｂ）。なお、ステップＳ６０２ｂおよびＳ６０３ｂで使用する暗号化手法には公知の手法を使用することができるので具体的な説明は省略する。

　暗号化した暗号鍵を可搬記憶媒体等に出力すると、ＣＰＵ２０１は、メモリ２０２または外部記憶装置２０５などに一時的に記憶されている暗号化された暗号鍵を削除する（ステップＳ６０５ｂ）。これで、端末装置１１０には、暗号化された暗号鍵は存在しないことになる。したがって、端末装置１１０は、後述するように暗号化された暗号鍵を管理サーバ１２０から取得しないかぎり第２のＯＳを起動できないことになる。

　以上の処理が完了すると、ＣＰＵ２０１は、第２のＯＳのシャットダウンを行う（ステップＳ６０６ｂ）。そして、ＣＰＵ２０１は、処理をステップＳ６０５ａに移行する。

　第２のＯＳをシャットダウンすると、ＣＰＵ２０１は、ＢＩＯＳ設定画面９００を表示する（ステップＳ６０５ａ）。ＢＩＯＳ設定画面９００については、図９で例示する。ＢＩＯＳ設定画面９００に、端末名称、ＩＤ、パスワード、管理サーバおよび初期起動ＯＳが入力されたことを検出すると、ＣＰＵ２０１は、ＢＩＯＳ設定画面９００に入力された、端末名称、ＩＤ、パスワード、管理サーバおよび初期起動ＯＳを取得してＥＰＲＯＭ２０４の所定の領域に格納する（ステップＳ６０６ａ）。この取得した端末名称、ＩＤおよびパスワードは、管理サーバ１２０へのログイン時に使用することができる。その後、ＣＰＵ２０１は、端末装置１１０を再起動し（ステップＳ６０７ａ）、ステップＳ６０６ａで取得した初期起動ＯＳを起動ＯＳとしてブート領域に設定する（ステップＳ６０８ａ）。

　以上の処理が終了すると、端末装置１１０は、初期設定処理を終了する（ステップＳ６０９ａ、Ｓ６０７ｂ）。

　図７は、管理サーバ１２０の初期設定処理の一例を示すフローチャートである。
　利用者の所定の操作を検出すると、管理サーバ１２０は、端末管理メニュー画面１０００を表示装置４１０に表示する（ステップＳ７０１）。そして、端末管理メニュー画面１０００に表示された「端末登録」ボタン１００１が選択されたことを検出すると（ステップＳ７０２　ＹＥＳ）、管理サーバ１２０は、端末登録画面１１００を表示装置４１０に表示する（ステップＳ７０３）。

　端末登録画面１１００に、登録対象の端末装置の端末名称、ＩＤ、パスワード、暗号化された暗号鍵および起動ＯＳが入力されたことを検出すると、管理サーバ１２０は、入力された端末名称、ＩＤ、パスワード、暗号化された暗号鍵および起動ＯＳを、登録対象の端末装置の端末情報として取得する（ステップＳ７０４）。そして、管理サーバ１２０は、取得した端末情報を端末管理情報５００に登録する（ステップＳ７０５）。

　また、ステップＳ７０２において、端末管理メニュー画面１０００に表示された「起動ＯＳ変更」ボタン１００２が選択されたことを検出すると（ステップＳ７０２　ＮＯ、Ｓ７０６　ＹＥＳ）、管理サーバ１２０は、起動ＯＳ変更画面１２００を表示装置４１０に表示する（ステップＳ７０７）。そして、起動ＯＳ変更画面１２００に設定対象の端末装置の端末名称、ＩＤ、パスワード、起動ＯＳおよび有効期限が入力されたことを検出すると、入力された端末名称、ＩＤ、パスワード、起動ＯＳおよび有効期限を取得する（ステップＳ７０８）。そして、管理サーバ１２０は、端末管理情報５００を参照し、ステップＳ７０８で取得した端末名称、ＩＤとおよびパスワードが一致する端末情報に、ステップＳ７０８で取得した起動ＯＳと有効期限を設定する（ステップＳ７０９）。

　また、ステップＳ７０２において、端末管理メニュー画面１０００に表示された「登録端末削除」ボタン１００３が選択されたことを検出すると（ステップＳ７０２　ＮＯ、Ｓ７０６　ＮＯ）、管理サーバ１２０は、登録端末削除画面１３００を表示装置４１０に表示する（ステップＳ７１０）。そして、登録端末削除画面１３００に削除対象の端末装置の端末名称、ＩＤおよびパスワードが入力されたことをと検出すると、管理サーバ１２０は、入力された端末名称、ＩＤおよびパスワードを取得する（ステップＳ７１１）。そして、管理サーバ１２０は、端末管理情報５００を参照し、ステップＳ７１１で取得した端末名称、ＩＤとおよびパスワードと一致する端末情報を端末管理情報５００から削除する（ステップＳ７１２）。

　以上の処理が完了すると、管理サーバ１２０は、初期設定処理を終了する（ステップＳ７１３）。

　図８（ａ）および図８（ｂ）は、端末装置１１０の起動処理の一例を示すフローチャートである。
　利用者が端末装置１１０に電源を投入すると、ＣＰＵ２０１はＥＰＲＯＭ２０４からＢＩＯＳを読み出して、以下の処理を開始する（ステップＳ８００）。

　ＣＰＵ２０１は、ＥＰＲＯＭ２０４の所定の領域を参照し、管理サーバ１２０から取得した有効期限が設定されているか否かを判別する（ステップＳ８０１）。有効期限が設定されている場合（ステップＳ８０１　ＹＥＳ）、ＣＰＵ２０１は、ＥＰＲＯＭ２０４の所定の領域に設定されている有効期限を読み出す（ステップＳ８０２）。

　有効期限が設定されていない、または、設定されている有効期限内の場合（ステップＳ８０１　ＮＯ、Ｓ８０３　ＮＯ）、ＣＰＵ２０１は、ネットワークの接続状態を確認する（ステップＳ８０４）。ネットワークに接続されている場合（ステップＳ８０４　ＹＥＳ）、ＣＰＵ２０１は、ＥＰＲＯＭ２０４の所定の領域から、ステップＳ６０６ａで取得したＩＤとパスワードを読み出して管理サーバ１２０に送信する（ステップＳ８０５、Ｓ８０６）。そして、ＣＰＵ２０１は、管理サーバ１２０の外部記憶装置４０４に記憶されている端末管理情報５００に登録された自装置の端末情報から起動ＯＳ情報を取得する（ステップＳ８０７）。

　管理サーバ１２０から起動ＯＳ情報を取得すると、ＣＰＵ２０１は、現在起動ＯＳとしてブート領域に設定されているＯＳと、管理サーバ１２０から取得した起動ＯＳ情報に起動ＯＳとして設定されているＯＳと、を比較して起動ＯＳの変更の有無を確認する（ステップＳ８０８）。

　起動ＯＳに変更があると判別すると（ステップＳ８０８　ＹＥＳ）、ＣＰＵ２０１は、変更後の起動ＯＳ、すなわち、ステップＳ８０７で取得した起動ＯＳ情報に起動ＯＳとして設定されているＯＳは、初期起動ＯＳか否かを判別する（ステップＳ８０９）。

　変更後の起動ＯＳが初期起動ＯＳでない場合（ステップＳ８０９　ＮＯ）、ＣＰＵ２０１は、ステップＳ８０７で取得した起動ＯＳ情報にしたがって、ブート領域に設定されている起動ＯＳを変更する（ステップＳ８１０）。この場合、例えば、ＣＰＵ２０１は、起動ＯＳ情報に起動ＯＳとして設定されているＯＳの実行開始アドレスをブート領域の所定のアドレスに設定する。

　さらに、ＣＰＵ２０１は、管理サーバ１２０から暗号化された暗号鍵を取得してＥＰＲＯＭ２０４の所定の領域に格納する（ステップＳ８１１）。また、ＣＰＵ２０１は、ステップＳ８１１で取得した暗号化された暗号鍵をＴＰＭ２０３を使用して復号化してメモリ２０２にロードする（ステップＳ８１２）。そして、ＣＰＵ２０１は、メモリ２０２にロードした暗号鍵を使用して、ブート領域に起動ＯＳとして設定されているＯＳを起動する（ステップＳ８１３）。この場合、例えば、ＣＰＵ２０１は、暗号鍵とともにメモリ２０２にロードした暗号化および復号化の機能を含む暗号モジュールにしたがって、外部記憶装置２０５から読み出した暗号化されたＯＳを復号化しつつメモリ２０２に実行可能なように展開する。ＯＳのメモリ２０２への展開が完了すると、ＣＰＵ２０１は、メモリ２０２に展開したＯＳを実行する。また、ＣＰＵ２０１は、メモリ２０２に展開されたＯＳやＯＳに含まれるアプリケーション等の変更データを、暗号モジュールにしたがって、暗号化しつつ外部記憶装置２０５の所定のアドレスに書き込んで反映することができる。これらの機能の実現には、例えば、例えば、Ｗｉｎｄｏｗｓ（登録商標）　ＯＳが提供するＷｉｎｄｏｗｓ（登録商標）　ＢｉｔＬｏｃｋｅｒドライブ暗号化の機能など公知の機能を使用することができる。なお、ＯＳをメモリ２０２に実行可能なように展開するとは、例えば、あらかじめ決められたメモリマップ等にしたがって、ＯＳに含まれる所定のライブラリなどをメモリ２０２の所定のアドレスに配置することをいう。

　また、端末装置１１０がネットワークに接続されていない（ステップＳ８０４　ＮＯ）、または、起動ＯＳに変更がない場合（ステップＳ８０８　ＮＯ）、ＣＰＵ２０１は、ステップＳ８１４に移行してブート領域に設定された起動ＯＳを起動する（ステップＳ８１４）。この場合、ＣＰＵ２０１は、ブート領域に設定された起動ＯＳを外部記憶装置２０５から読み出して実行可能なようにメモリ２０２に展開する。そして、ＯＳのメモリ２０２への展開が完了すると、ＣＰＵ２０１は、メモリ２０２に展開したＯＳを実行する。

　また、有効期限が切れている（ステップＳ８０３　ＹＥＳ）、変更後の起動ＯＳが初期起動ＯＳの場合（ステップＳ８０９　ＹＥＳ）、ＣＰＵ２０１は、ブート領域に起動ＯＳとして初期起動ＯＳを設定する（ステップＳ８１５）。この場合、例えば、ＣＰＵ２０１は、初期起動ＯＳの実行開始アドレスを、ブート領域の所定のアドレスに設定する（ステップＳ８１５）。そして、ＣＰＵ２０１は、ＥＰＲＯＭ２０４の所定の領域に格納した暗号化された暗号鍵を削除し（ステップＳ８１６）、ステップＳ８１４に移行してブート領域に設定された起動ＯＳを起動する（ステップＳ８１４）。

　図９は、ＢＩＯＳ設定画面９００の一例を示す図である。
　ＢＩＯＳ設定画面９００には、端末名称の入力欄９０１、ＩＤの入力欄９０２、パスワードの入力欄９０３、管理サーバ１２０のＩＰアドレスの入力欄９０４および初期起動ＯＳの入力欄９０５を含むことができる。

　端末名称の入力欄９０１には、端末装置に割り当てられた名称を入力することができる。ＩＤの入力欄９０２には、端末装置の管理サーバ１２０へのログインＩＤを入力することができる。パスワードの入力欄９０３には、端末装置の管理サーバ１２０へのログインパスワードを入力することができる。初期起動ＯＳの入力欄９０５には、初期値として端末装置に与える起動ＯＳを入力することができる。この場合、ＯＳがインストールされているパーティションを指定することもできる。初期起動ＯＳには、通常使用するＯＳ、例えば、第１のＯＳを設定することが望ましい。第２のＯＳには有効期限が設定されるからである。ＣＰＵ２０１は、設定ボタン９０６を利用者が選択したことを検出すると、入力欄９０１－９０５に入力されたデータを取得する。また、ＣＰＵ２０１は、キャンセルボタン９０７を利用者が選択したことを検出すると、ＢＩＯＳ設定画面９００を非表示にする。

　図１０は、端末管理メニュー画面１０００の一例を示す図である。
　端末管理メニュー画面１０００には、「端末登録」ボタン１００１、「起動ＯＳ変更」ボタン１００２および「登録端末削除」ボタン１００３を含むことができる。

　ＣＰＵ４０１は、利用者が「端末登録」ボタン１００１を選択したことを検出すると、端末登録画面１１００を表示する。また、ＣＰＵ４０１は、利用者が「起動ＯＳ変更」ボタン１００２を選択したことを検出すると、起動ＯＳ変更画面１２００を表示する。また、ＣＰＵ４０１は、利用者が「登録端末削除」ボタン１００３を選択したことを検出すると、登録端末削除画面１３００を表示する。

　図１１は、端末登録画面１１００の一例を示す図である。
　端末登録画面１１００には、端末名称の入力欄１１０１、ＩＤの入力欄１１０２、パスワードの入力欄１１０３、暗号化された暗号鍵の指定欄１１０４および起動ＯＳ情報の入力欄１１０５を含むことができる。

　端末名称の入力欄１１０１には、端末管理情報５００に登録する端末装置の端末名称を入力することができる。ＩＤの入力欄１１０２には、端末管理情報５００に登録する端末装置の管理サーバ１２０へのログインＩＤを入力することができる。パスワードの入力欄１１０３には、端末管理情報５００に登録する端末装置の管理サーバ１２０へのログインパスワードを入力することができる。暗号化された暗号鍵の指定欄１１０４には、端末管理情報５００に登録する端末装置にインストールされた第２のＯＳの暗号化に使用された暗号鍵がＴＰＭ２０３によって暗号化された暗号鍵が記憶されている記憶媒体までのパスおよび暗号化された暗号鍵のファイル名を指定することができる。起動ＯＳ情報の入力欄１１０５は、端末管理情報５００に登録する端末装置の起動ＯＳを入力することができる。

　図１２は、起動ＯＳ変更画面１２００の一例を示す図である。
　起動ＯＳ変更画面１２００には、端末名称の入力欄１２０１、ＩＤの入力欄１２０２、パスワードの入力欄１２０３、起動ＯＳ情報の入力欄１２０４および有効期限の入力欄１２０５を含むことができる。

　端末名称の入力欄１２０１には、起動ＯＳ変更の対象となる端末装置の端末名称を入力することができる。ＩＤの入力欄１２０２には、起動ＯＳ変更の対象となる端末装置の管理サーバ１２０へのログインＩＤを入力することができる。パスワードの入力欄１２０３には、起動ＯＳ変更の対象となる端末装置の管理サーバ１２０へのログインパスワードを入力することができる。起動ＯＳ情報の入力欄１２０４には、変更後の起動ＯＳを入力することができる。例えば、起動ＯＳ情報の入力欄１２０４には、第２のＯＳ名を入力することができる。有効期限の入力欄１２０５には、起動ＯＳ情報の入力欄１２０４に入力した起動ＯＳの有効期限を入力することができる。

　図１３は、登録端末削除画面１３００の一例を示す図である。
　登録端末削除画面１３００には、端末名称の入力欄１３０１、ＩＤの入力欄１３０２およびパスワードの入力欄１３０３を含むことができる。

　端末名称の入力欄１３０１には、端末管理情報５００から登録を削除する対象の端末装置の端末名称を入力することができる。ＩＤの入力欄１３０２には、端末管理情報５００から登録を削除する対象の端末装置の管理サーバ１２０へのログインＩＤを入力することができる。パスワードの入力欄１３０３には、端末管理情報５００から登録を削除する対象の端末装置の管理サーバ１２０へのログインパスワードを入力することができる。

　図１４は、起動ＯＳに変更がない場合の端末装置１１０起動時の情報処理システム１００の動作シーケンスの一例を示す図である。図１４に記載の（１）－（３）は、以下の（１）－（３）に対応する。図１４の例では、端末装置１１０の起動ＯＳとして第１のＯＳがブート領域に設定されているものとする。

　（１）利用者が端末装置１１０に電源を投入すると、ＣＰＵ２０１は、ＥＰＲＯＭ２０４からＢＩＯＳを読み出して端末装置１１０の起動処理を実行する。

　（２）ＣＰＵ２０１は、管理サーバ１２０にＩＤおよびパスワードを送信してログインし、管理サーバ１２０に接続される外部記憶装置４０４に記憶されている端末管理情報５００を参照する。そして、ＣＰＵ２０１は、端末管理情報５００に登録されている自装置の端末情報に設定されている起動ＯＳ情報を読み出して起動ＯＳの変更の有無を確認する。起動ＯＳの変更の有無の確認の具体的な処理は、ステップＳ８０８で示したとおりである。

　（３）起動ＯＳ情報に第１のＯＳが設定されている場合、ＣＰＵ２０１は、起動ＯＳに変更がないと判別し、ブート領域の設定にしたがって第１のＯＳを起動する。

　図１５は、起動ＯＳに変更がある場合の端末装置１１０起動時の情報処理システム１００の動作シーケンスの一例を示す図である。図１５に記載の（１）－（８）は、以下の（１）－（８）に対応する。図１５の例では、端末装置１１０の起動ＯＳとして第１のＯＳがブート領域に設定されているものとする。

　（１）管理者は、管理者端末１２２を使用して管理サーバ１２０にログインする。そして、管理者は、管理サーバ１２０が出力する起動ＯＳ変更画面１２００を操作して起動ＯＳの変更を管理サーバ１２０に指示する。

　（２）すると、管理サーバ１２０は、管理者からの指示に応じて、外部記憶装置４０４に記憶されている端末管理情報５００に登録されている端末情報のうち、管理者から指示された端末装置の端末情報に設定されている起動ＯＳ情報を変更する。図１５の例では、起動ＯＳ情報を第１のＯＳから第２のＯＳに変更したと仮定する。

　（３）一方、利用者が端末装置１１０に電源を投入すると、ＣＰＵ２０１は、ＥＰＲＯＭ２０４からＢＩＯＳを読み出して端末装置１１０の起動処理を実行する。

　（４）ＣＰＵ２０１は、ＥＰＲＯＭ２０４から読み出したＩＤおよびパスワードを管理サーバ１２０に送信してログインし、管理サーバ１２０の外部記憶装置４０４に記憶されている端末管理情報５００を参照する。そして、ＣＰＵ２０１は、端末管理情報５００に登録されている自装置の端末情報に設定されている起動ＯＳ情報を読み出して起動ＯＳの変更の有無を確認する。起動ＯＳの変更の有無の確認の具体的な処理は、ステップＳ８０８で示したとおりである。

　（５）管理サーバ１２０から取得した起動ＯＳ情報に第２のＯＳが設定されている場合、ＣＰＵ２０１は、起動ＯＳに変更があると判別する。この場合、ＣＰＵ２０１は、ブート領域に設定されている起動ＯＳを第１のＯＳから第２のＯＳに変更する。

　（６）さらに、ＣＰＵ２０１は、管理サーバ１２０の外部記憶装置４０４に記憶されている端末管理情報５００を参照する。そして、ＣＰＵ２０１は、端末管理情報５００に登録されている自装置の端末情報から暗号化された暗号鍵を取得してＥＰＲＯＭ２０４の所定の領域に記憶する。

　（７）ＣＰＵ２０１は、ブート領域の設定にしたがって第２のＯＳを起動する。この場合、ＣＰＵ２０１は、ＴＰＭ２０３を使用して暗号化された第２のＯＳを復号化してメモリ２０２に実行可能なように展開したあと、メモリ２０２に展開した第２のＯＳを実行する。

　以上に述べたように、端末装置１１０は、起動時に、管理サーバ１２０の端末管理情報５００に登録された端末情報に設定された起動ＯＳ情報を取得する（ステップＳ８０７）。そして、端末装置１１０は、取得した起動ＯＳ情報に設定されたＯＳを起動する（ステップＳ８１３、Ｓ８１４）。その結果、管理者が管理サーバ１２０の端末管理情報５００に登録された端末情報の起動ＯＳ情報を変更することで、端末装置１１０は、必要なときにだけ特定のＯＳ、例えば、実施例で述べた第２のＯＳを使用することが可能となる。

　また、端末装置１１０は、管理サーバ１２０の端末管理情報５００に登録された端末情報の起動ＯＳ情報に応じて使用するＯＳを変更する。すなわち、端末装置１１０が使用するＯＳの切替えは、管理サーバ１２０から行なうことができるので、１または２以上の端末装置１１０の管理が容易となる。

　また、端末装置１１０が使用するＯＳの切替えは、端末装置１１０単独で行なうことができない。そのため、例えば、第１のＯＳに書込みが制限されたＯＳ、例えば、シンクライアント用ＯＳを使用しておけば、端末装置１１０の利用者が、書込み可能なＯＳに勝手に切替えて端末装置１１０を起動してアプリケーション等をインストールすることを防止することができる。この場合、書込みが可能なＯＳに切替えて様々なアプリケーションがインストールされることにより端末装置１１０がコンピュータウィルスに感染するなどの危険を防止して端末装置１１０のセキュリティを確保することが可能となる。さらに、第２のＯＳに書込み可能なＯＳ、例えば、一般的なＷｉｎｄｏｗｓ（登録商標）　ＯＳやＬｉｎｕｘ（登録商標）などを使用しても、第２のＯＳには有効期限があるので、第２のＯＳを使用する期間を一定期間に制限して端末装置１１０のセキュリティを向上させることができる。

　また、管理サーバ１２０の端末管理情報５００に登録された端末情報の起動ＯＳ情報を変更するだけで端末装置１１０が使用するＯＳを変更することができる。その結果、たくさんの端末装置１１０がネットワークを介して管理サーバ１２０と接続している場合でも、管理サーバ１２０からＯＳをダウンロードしてインストールするなどの作業をすることなく、簡単かつ短時間で端末装置１１０が使用するＯＳを変更することが可能となる。

Claims

　暗号化されていない第１のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶された第１の記憶領域と、前記第１のＯＳが記憶されている領域と異なる領域に前記第１のＯＳと異なる第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶手段と、
　前記第２のＯＳの暗号鍵を有する管理サーバが指定する起動ＯＳに応じて、
　　前記記憶手段から前記第１のＯＳを読み出して実行可能なようにメモリに展開する第１の処理と、
　　前記管理サーバから前記第２のＯＳの暗号鍵を取得し、前記記憶手段から読み出した前記第２のＯＳを前記暗号鍵を使用して実行可能なように前記メモリに展開する第２の処理と、
　を切替える制御手段と、
　前記メモリに展開された前記第１のＯＳまたは前記第２のＯＳを実行する実行手段と、
　を備える端末装置。
　前記制御手段は、前記管理サーバが指定した有効期限を経過した場合、前記第１の処理を実行する、
　ことを特徴とする請求項１に記載の端末装置。
　前記制御手段は、前記管理サーバが備える記憶手段に記憶された端末装置を管理するための端末管理情報に含まれる自装置の端末情報に設定された前記起動ＯＳについての情報を前記管理サーバから取得する、
　ことを特徴とする請求項１に記載の端末装置。
　前記制御手段は、前記端末管理情報に含まれる自装置の端末情報に設定された前記暗号鍵を前記管理サーバから取得する、
　ことを特徴とする請求項１に記載の端末装置。
　所定の情報を暗号化する暗号化手段をさらに有し、
　前記管理サーバから取得する前記暗号鍵は、前記暗号化手段によってあらかじめ暗号化された暗号鍵である、
　ことを特徴とする請求項１に記載の端末装置。
　端末管理情報には、端末装置毎に、端末情報として少なくとも起動ＯＳについての情報と第２のＯＳの暗号鍵と第２のＯＳの有効期限とが含まれる、
　ことを特徴とする請求項２から５に記載の端末装置。
　暗号化されていない第１のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶された第１の記憶領域と、前記第１のＯＳが記憶されている領域と異なる領域に前記第１のＯＳと異なる第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶手段から前記第１のＯＳまたは前記第２のＯＳを読出し、
　前記第２のＯＳの暗号鍵を有する管理サーバが指定する起動ＯＳに応じて、前記記憶手段から前記第１のＯＳを読み出してメモリに実行可能なように展開する第１の処理と、前記管理サーバから前記第２のＯＳの暗号鍵を取得し、前記記憶手段から読み出した前記第２のＯＳを前記暗号鍵を使用して前記メモリに実行可能なように展開する第２の処理と、を切替え、
　前記メモリに展開された前記第１のＯＳまたは前記第２のＯＳを実行する、
　処理を情報処理装置に行なわせる起動制御方法。
　暗号化されていない第１のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶された第１の記憶領域と、前記第１のＯＳが記憶されている領域と異なる領域に前記第１のＯＳと異なる第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶手段から前記第１のＯＳまたは前記第２のＯＳを読出し、
　前記第２のＯＳの暗号鍵を有する管理サーバが指定する起動ＯＳに応じて、前記記憶手段から前記第１のＯＳを読み出してメモリに実行可能なように展開する第１の処理と、前記管理サーバから前記第２のＯＳの暗号鍵を取得し、前記記憶手段から読み出した前記第２のＯＳを前記暗号鍵を使用して前記メモリに実行可能なように展開する第２の処理と、を切替え、
　前記メモリに展開された前記第１のＯＳまたは前記第２のＯＳを実行する、
　処理を情報処理装置に行なわせるためのプログラム。
　暗号化されていない第１のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶された第１の記憶領域と、前記第１のＯＳが記憶されている領域と異なる領域に前記第１のＯＳと異なる第２のＯＳが暗号化されて記憶された第２の領域と、を有する記憶手段を備え、指定された起動ＯＳに応じて、前記記憶手段から前記第１のＯＳを読み出してメモリに実行可能なように展開する第１の処理と、前記記憶手段から読み出した前記第２のＯＳを暗号鍵を使用して前記メモリに実行可能なように展開する第２の処理と、のいずれかを実行し、前記メモリに展開された前記第１のＯＳまたは前記第２のＯＳを実行する端末装置を管理するための端末管理情報を記憶する記憶手段を備え、
　前記端末管理情報に含まれる端末装置毎の端末情報には、前記端末装置が参照する前記起動ＯＳと前記暗号鍵とが少なくとも含まれる、
　ことを特徴とする情報処理装置。