WO2017082102A1

WO2017082102A1 - ファイルの送受信システム

Info

Publication number: WO2017082102A1
Application number: PCT/JP2016/082283
Authority: WO
Inventors: 直人 ▲高▼野
Original assignee: 直人 ▲高▼野
Priority date: 2015-11-11
Filing date: 2016-10-31
Publication date: 2017-05-18
Also published as: CN107852330A; JP2017092722A; EP3376707A1; US20180239917A1

Abstract

本発明は、ＩｏＴ装置とサーバーとの間で、改竄不可能かつ侵入不可能なファイル送受信手段を実現する事を課題とする。データ処理装置宛てのファイルを暗号化してネットワークに送信するサーバーと、前記ファイルをネットワークから受信するネットワーク接続端末と、２つのＩ/Ｏポートを持つ２ポートストレージと、データ処理装置から構成され、２ポートストレージの第１のＩ/Ｏポートの機能はネットワーク接続端末から２ポートストレージにデータを書き加える事のみであり、第２のＩ/Ｏポートの機能は２ポートストレージに書かれたデータの暗号を解除してからデータ処理装置に読ませるか、又は不要なファイルを削除する事のみであり、前記２つのＩ/Ｏポートの機能は２ポートストレージに内蔵或いは直結されたハードウエアまたはファームウエアで定められているファイルの送受信システム。

Description

ファイルの送受信システム

　本発明は、セキュリティーを保ってネットワーク経由で、ファイルを送受信するシステムに関するものである。

スマートフォンやパソコンなどの情報機器ではなく、今迄は単なる“物”であった物にインターネットが接続されるＩｏＴ（Internet of Things）の時代が到来している。既に家電製品が始まっている。
それらについて、セキュリティーも大きな課題であり、インターネットで接続された物（以降ＩｏＴ装置と記す）がハッカーに乗っ取られ、機能が狂わされたり、個人情報の漏洩が起きたりする。以下でＩｏＴ装置のセキュリティー技術について述べる。

最近、ＩｏＴ装置の典型とも言える「コネクテッドカー」が自動運転との関連で注目されていて、インターネットに接続された自動車が乗っ取られ、遠隔地から運転手の意思に反する操作が行われた事について、米国の議員の下記調査報告［非特許文献３］が有った。

車載制御装置と外部ネットワークを直に接続した場合、車載制御装置のソフトウエアを如何に守るかは容易ではない。外部ネットワークから侵入する攻撃は、自動車制御用のソフトウエアを攻撃して、制御を狂わせたり、情報を盗んだり、ウイルスに感染させたりする。これら車載制御装置側のソフトウエアの脆弱性を無くす事が求められている。しかしソフトウエアにセキュリティーパッチを当てる方法でインターネットからの侵入を防ぐのは容易ではないのが、パソコンなどの経験から分っている。

パソコンではセキュリティー対策として、ファイアウォールやアンチウイルスソフト等のセキュリティーソフトで対抗する。ソフトウエアは容易に変えられる点が長所であり、一方セキュリティーにとっては欠点になる。より優秀な方が勝つと言う宿命があり、その結果、新しい攻撃方法と新しい防御方法が次々に出てきている（以降“イタチごっこ”と記す）。
しかし特に自動車の場合は人命に直接関わるため、“イタチごっこ”を断ち切る完全なセキュリティーが必要であり、さらに、破られる不安が無い事が誰の目にも明らかな手段で防護することが、必要になる。
これらのセキュリティーに関する問題は自動車に限らず、多くのＩｏＴ装置に共通の課題である。

自動車は車載制御装置を構成する車内ネットワークの接続端子を利用して点検整備出来ることが定められているが、この端子にインターネットを接続すると前記のように乗っ取られるので、現状、一般的にインターネット接続は行われていない。
　しかし自動運転技術の進歩に伴い、遠隔地からの自動運転のニーズが予想され、車載制御装置を何らかの方法でインターネット接続する事が検討されている。また遠隔地からの点検、制御ソフト更新の要求は強い。
インターネットに接続し、しかも安全を確保するための１つの方法は、車載制御装置の内部を流れる情報を、例えばハードウエアで暗号化する事である［非特許文献１］。
また信号を解析されないようにファイアウォールや認証を用いる技術も公開されている［特許文献２］。
しかしこれらは自動車の制御ソフトをモニター・更新する時の利便性とのトレードオフであり、また自動車の制御ソフトの使われ方の実態を考えると、パソコンのように頻繁なアップデートを行うとすれば、好適な方法とは言い難い。

その他に専門家の間では「セキュリティーの特効薬はなく、今迄に得られた進化を十分に反映させる必要がある」との見解が聞かれる。その中でも、末端の機器の対策の他に、ネットワーク上の例えば企業のサーバー、クラウド等で採られるべき対策が検討されている。
ＩｏＴ装置側で採られる対策として、デバイス認証、ファイアウォール、デバイスロックダウン、セキュアブート、難読化など、サーバー側で採られる対策として、プライベートクラウド、ＶＰＮ（仮想私設通信網）、ＤＰＩ（通信内容などを詳細に監視・分析）、シグネチャ照合、アクセス制御、ＩＤＳ（侵入検知）／ＩＰＳ（侵入防止）、アプリケーションサンドボックス、コードサイニング証明書、ルート証明書とコード保護、暗号化が挙げられている。

自動車自体への不正工作は本来、他の手段で対抗すべき問題であるとして別け、これら自動車のセキュリティーに関する背景技術を以下のように整理し、解決すべき課題を纏めた。
1.認証を用いる。
2.ファイアウォールを用いる。
車載制御装置の内部を流れる情報を解析されないように
3．ハードウエアで暗号化する。
4．難読化する。

現状では車載ネットワークが公開されているので、車載制御装置ネットワークへの不正な侵入が防げなかった場合をも想定した上で、車載制御装置を構成する要素の間の通信の内容を解読されたり、偽通信が行われるのを防ごうとしている、と言う見方をすることが出来る。
ただし盗聴、ウイルス感染などの車載制御装置への不正侵入を防ごうとして、ソフトウエアに拠る対策ではイタチごっこを免れない。ゆえに車載制御装置内部でハードウエアの暗号通信、認証など、不正侵入されても障害を起こしにくい方法が検討されているが高度で複雑であり、正規の使用も簡単では無くなる。
故に、ネットワークから車載制御装置への侵入そのものを基から遮断し、車載制御装置及び、車載制御装置と連携するサーバーとの間で、盗聴と改竄を受けずにネットワークを経由して情報を受け渡しする事が出来るならベストである。
そして特に自動車の場合は人命に直接関わるため、破られる不安が無い事が誰の目にも明らかな手段で防護することが重要である。
［非特許文献２］によるとパソコンの機密保護のために、自動的な暗号化・復号化機能をもつハードウエアをハードディスク内部へ組み込む事が実現されており、また［特許文献１］ではコンピュータのファイル改竄・ウイルス感染を、オフラインの考え方を用いた２ポートストレージ（２ヘッドディスク）で完全に防止する技術が開示されている。

特開２００２－１４０１７１特開２０１４－１６５６４１

日経テクノロジーオンライン、"トヨタがハッキング対策に本腰、富士通と「設計指針」"、［online］、2015/4/10 6:00平成２７年４月１０日、日本経済新聞、［平成２７年１１月４日検索］、インターネット＜http://www.nikkei.com/article/DGXMZO85475460Z00C15A4000000/＞レノボ・ジャパンサポート頁、"Full Disk Encryption 対応ハードディスクドライブに関してよくある質問と回答"、［online］、平成２６年６月２３日、レノボ・ジャパン株式会社、［平成２７年１１月４日検索］、インターネット＜https://support.lenovo.com/jp/ja/documents/migr-69621＞ AFP＝時事、"「コネクティッド・カー」大半にハッカー侵入の恐れ米報告書"、［online］、平成２７年２月１０日、MSNニュース、［平成２７年１１月４日検索］、インターネット＜http://www.msn.com/ja-jp/news/techandscience/%E3%80%8C%E3%82%B3%E3%83%8D%E3%82%AF%E3%83%86%E3%82%A3%E3%83%83%E3%83%89%E3%83%BB%E3%82%AB%E3%83%BC%E3%80%8D%E5%A4%A7%E5%8D%8A%E3%81%AB%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E4%BE%B5%E5%85%A5%E3%81%AE%E6%81%90%E3%82%8C-%E7%B1%B3%E5%A0%B1%E5%91%8A%E6%9B%B8/ar-AA9bWzu＞

ＩｏＴ装置のセキュリティーを確保するため、様々な方法が検討されているが、インターネットからＩｏＴ装置への不正侵入そのものを確実に防ぐ事が最も望まれる。
本発明が解決しようとする課題は、ＩｏＴ装置及び、そのＩｏＴ装置と連携するネットワーク越しのサーバーとの間で、改竄不可能かつ侵入不可能なファイル送受信手段を、簡明かつ確実に実現する事である。

［００１４］～［００２５］で本発明が課題を解決するために採用する手段を述べ、
［００２６］～［００４７］でそれらの手段が、課題を解決する効果を持つ事を示す。
請求項１のファイルの送受信システムは下記の考え方に基づいている。
　　　・　何があっても暗号解読機能を改変されないように、［非特許文献２］のようにハードウエアで暗号解読する。
　　　・　ＩｏＴ装置への侵入が出来ないように、［特許文献１］のようにオフライン又はオフラインと見なせる手法で暗号化情報を送受信する。

　請求項１のファイルの送受信システムにおいて、請求項１のサーバー（以降単にサーバーと表す）は請求項１のネットワーク（以降単にネットワークと表す）に接続されている。サーバーは請求項１のデータ処理装置（以降単にデータ処理装置と表す）宛てのファイルを暗号化し、ネットワークに送信する。

　請求項１のファイルの送受信システムにおいて、ネットワークは請求項１のネットワーク接続端末（以降単にネットワーク接続端末と表す）に接続されている。ネットワーク接続端末は、データ処理装置宛の暗号化ファイルをネットワークから受信する。
２ポートストレージは２つのＩ/Ｏポートを持ち、第１のＩ/ＯポートＡがネットワーク接続端末に接続され、第２のＩ/ＯポートＢがデータ処理装置に接続され、ネットワーク接
続端末とデータ処理装置を中継している。

ネットワーク接続端末は、受信したデータ処理装置宛の暗号化ファイルを、２ポートストレージの第１のＩ/ＯポートＡを使って２ポートストレージに書き込む。Ｉ/ＯポートＡの機能はネットワーク接続端末から２ポートストレージにデータを書き加える事のみであり、２ポートストレージに内蔵或いは直結されたハードウエアまたはファームウエアで機能限定されている。

　データ処理装置は２ポートストレージの第２のＩ/ＯポートＢを使って２ポートストレ
ージから前記暗号化ファイルの暗号解読結果を受け取る。
Ｉ/ＯポートＢの機能は、２ポートストレージからデータを読み出し、暗号を解読してか
らデータ処理装置に渡す事、または不要なファイルを削除する事のみであり、２ポートス
トレージに内蔵または直結されたハードウエアで機能限定されている。

データ処理装置は、受け取った解読済みの前記暗号化ファイルを使って、所定の処理を行う。ＩｏＴ装置をデータ処理装置に接続すると、ＩｏＴ装置は請求項１のファイルの送受信システムを経由してネットワークに接続される。

　請求項２のファイルの送受信システムは、請求項１のファイルの送受信システムの暗号解読機能の設置位置をＩ/ＯポートＢからＩ/ＯポートＡに移動している。
請求項２のＩ/ＯポートＡの機能はネットワーク接続端末からデータを受け取った後で暗
号を解読してから２ポートストレージに書き込む事のみであり、２ポートストレージに内蔵或いは直結されたハードウエアまたはファームウエアで機能限定されている。

請求項２のＩ/ＯポートＢの機能は、データ処理装置から２ポートストレージに対してRead/Write可能である。
請求項２のファイルの送受信システムの機能は、全体として請求項１のファイルの送受信システムと同じである。

　請求項３のファイルの送受信システムは、請求項１または請求項２に記載のデータのファイルの送受信システムに加えて、２ポートストレージに第２のパーティションまたは第２の２ポートストレージを持つ。
　請求項３のファイルの送受信システムは、２ポートストレージの第２のパーティションに代えて［００２２］～［００２４］に対応する第２の２ポートストレージを用いる事が出来る。

請求項３のファイルの送受信システムは、情報をＩ/ＯポートＢを用いて第２のパーティ
ションに書き込むことが出来る。また請求項３のファイルの送受信システムは、所持しているソフトウエアによって情報を暗号化した後、Ｉ/ＯポートＢを用いて第２のパーティ
ションに書き込む事が出来る。Ｉ/ＯポートＢは第２のパーティションにアクセスする時
はRead/Write 可能だからである。

　ネットワーク接続端末はＩ/ＯポートＡを用いて第２のパーティションからこの情報を
読み出す事が出来る。Ｉ/ＯポートＡが第２のパーティションにアクセスするときは Read
Only 機能を持つからである。

このＩ/ＯポートＡが第２のパーティションにアクセスするときのRead Onlyの機能制限は、ソフトウエアではなくて２ポートストレージに内蔵或いは直結されたハードウエアまたはファームウエアで実現されている。
　ネットワーク接続端末は２ポートストレージの第２のパーティションから暗号化したデータを読み出してサーバーに送信し、サーバーは暗号を解読して内容を知ることが出来る。

請求項４のファイルの送受信システムでは、ネットワーク接続端末がパソコン或いはスマートフォン或いはWebサーバーであり、パソコン、スマートフォン、Webサーバーに請求項３のファイルの送受信システムを組み込んでセキュリティーの強化を実現している。

　請求項１の発明を構成する手法の内の、暗号化の効果を説明する。
請求項１のファイルの送受信システムにおいて、サーバーはデータ処理装置宛てに送信するファイルを暗号化し、暗号化ファイルをネットワークに送る。ファイルを暗号化して送信すると、暗号鍵がネットワークから利用出来なければ、ネットワーク中では解読される
事も、改竄される事も無いのでこのファイルの内容は秘匿され、改竄から保護される。

　請求項１のファイルの送受信システムのデータ処理装置は、ファイルの送受信システムの製造業者または管理者または運用者から送られてくるファイルを解読するのであって不特定な者から送られてくるファイルを解読する必要は無く、サーバーとＩ/ＯポートＢは
共に暗号鍵を持てば通信が成立する。

ネットワーク接続端末が前記暗号化ファイルを受け取り、２ポートストレージに接続されている第１のＩ/ＯポートＡを使って２ポートストレージに書き込む。
ハッカーがネットワークからネットワーク接続端末に不正侵入し、２ポートストレージに書き込む前の前記暗号化ファイルを解読しようとした場合であっても、暗号鍵が無ければ、前記暗号化ファイルを解読する事も改竄することも出来ない。ハッカーが出来るのは、前記暗号化ファイルの書き込みを妨害することだけであり、この種の妨害はネットワーク上でも可能である。

請求項１の発明を構成する手法の内の、書き加え専用ポートの効果を説明する。
ハッカーが２ポートストレージにウイルスファイルを感染させたとしても、Ｉ/Ｏポート
Ａはソフトウエアではなくて２ポートストレージに内蔵または直結されたハードウエアまたはファームウエアで書き加え専用に機能制限されていて、Ｉ/ＯポートＡがどのような
データを取り扱っても機能制限を改変されてしまう事は無く、書き加え以外の動作が出来ず、ウイルスファイルを読み出して使用される事は無い。
ネットワーク接続端末にRead/Write可能なストレージが無ければ、ウイルス感染を完全に防いでいるのと同じ効果であり、この端末のメモリー上に何らかの不正な機能を作り、不正な動作をさせたとしても、ネットワーク接続端末の再起動でそれら不正機能は消滅する。

　データ処理装置は２ポートストレージに接続されているＩ/ＯポートＢを使って２ポー
トストレージに書かれている前記暗号化ファイルにアクセスする。

請求項１の発明を構成する手法の内の、オフラインの効果を説明する。
請求項１のファイルの送受信システムは、ネットワーク接続端末がＩ/ＯポートＡを用い
てストレージに書き込んだデータを、書き込んだネットワーク接続端末とは独立のデータ処理装置が、ネットワーク接続端末に接続されているのとは別のＩ/ＯポートＢから読み
出す構造になっているので、ネットワーク接続端末とデータ処理装置の間に直接データを伝送する回路が存在せず、この関係はオフラインである。特に２ポートストレージが２ヘッドディスク（特許文献１参照）の場合は物理的にオフラインであり、そうでない場合もオフラインと見なす事が出来る。
ネットワークからデータ処理装置へ、２ポートストレージを通らずに到達可能な経路は無いので、ネットワーク接続端末からデータ処理装置へ侵入する事も、そのＯＳにウイルスを感染させたり、バックドアを設けたりする事も不可能である。
ファイアウォールやアンチウイルスソフト等のセキュリティーソフトによる対抗策では、“イタチごっこ”になってしまうが、データ処理装置に関する“オフライン”の防護機能はハードウエアの構造が持つ効果であって、“イタチごっこ”にならない。

請求項１の発明を構成する手法の内の、暗号解読ハードウエアの効果を説明する。
Ｉ/ＯポートＢは２ポートストレージから前記暗号化ファイルを読み出し、暗号を解読し
てから、データ処理装置に渡す。
Ｉ/ＯポートＢは、２ポートストレージからデータを読み出し、暗号を解読してからデー
タ処理装置に渡す事、及び不要なファイルを削除する事に機能制限されている。
この機能制限はソフトウエアではなくて２ポートストレージに内蔵或いは直結されたハー
ドウエアまたはファームウエアで実現されているので、Ｉ/ＯポートＢがどのようなデー
タを取り扱っても機能制限を変更されてしまう事は無く、定められた暗号解読以外の動作が出来ない。正しく暗号化されたファイル以外は、全て無意味化される。

ネットワークからデータ処理装置へは、オフラインであってＩ/ＯポートＢを通らずに到
達できる経路は無いから、ハッカーは、本発明のファイルの送受信システムのデータ処理装置に侵入して操作する事が出来ず、そのＯＳにウイルスを感染させる事も出来ず、バックドアを設ける事も出来ず、暗号化されたファイルを解読・改竄することも出来ない。
　正しく暗号化されたファイルだけが解読されて２ポートストレージを通過し、その内容がデータ処理装置に到達し、データ処理装置に接続されたＩｏＴ装置はその内容を利用する事が出来る。

また、請求項１のファイルの送受信システムのネットワーク接続端末がRead/Write 可能
なストレージを持たなければ、ハッカーはネットワーク接続端末にウイルスを感染させることも出来ない。

請求項１のファイルの送受信システムのセキュリティーは、ハードウエアが改変不可能で有る事を利用しており、ハッカーは２ポートストレージに対し
「Ｉ/ＯポートＡ及びＩ/ＯポートＢの機能を変更する」如何なる書き込みも成し得ず、“イタチごっこ”は起きず、破られる不安が無い事が誰の目にも明らかであり［０００５］で述べた課題が解決されている。

　請求項２のファイルの送受信システムは、請求項１のファイルの送受信システムの暗号解読機能をＩ/ＯポートＢからＩ/ＯポートＡに移動している事だけが違うので、請求項２のファイルの送受信システムは、［００２６］～［００３５］に記載した請求項１のファイルの送受信システムと同じセキュリティー効果を持つ。

　請求項３のファイルの送受信システムは、請求項１または請求項２に記載のデータのファイルの送受信システムに加えて、第２の２ポートストレージまたは２ポートストレージに第２のパーティションを持つ。

請求項３のファイルの送受信システムは、持っている情報をＩ/ＯポートＢを用いて第２
のパーティションに書き込む事が出来る。Ｉ/ＯポートＢは第２のパーティションにアク
セスする時はRead/Write 可能だからである。

請求項３のファイルの送受信システムは持っている情報を安全に暗号化する事が出来る。なぜなら［００３３］に述べた通り、請求項１または請求項２に記載のデータ処理装置へは、Ｉ/ＯポートＢを通らずに到達できる経路は無いから、ハッカーは、本発明のファイ
ルの送受信システムのデータ処理装置に侵入して操作する事が出来ず、そのＯＳにウイルスを感染させる事も出来ず、バックドアを設ける事も出来ず、暗号化されたファイルを解読・改竄することも出来ず、正しく暗号化されたファイルの内容だけがデータ処理装置に到達するので、データ処理装置はクリーンな状態が維持されるからである。

　請求項３のネットワーク接続端末はＩ/ＯポートＡを用いて第２のパーティションから
この情報を読み出す事が出来る。Ｉ/ＯポートＡが第２のパーティションにアクセスする
ときは Read Only 機能を持つからである。

Read Onlyポートの効果を説明する。
このＩ/ＯポートＡが第２のパーティションにアクセスするときのRead Onlyの機能制限は、ソフトウエアではなくて２ポートストレージに内蔵或いは直結されたハードウエアまた
はファームウエアで実現されているのでＩ/ＯポートＡがどのようなデータを取り扱って
も機能制限を改変されてしまう事は無く、読み取り以外の動作が出来ず、ネットワーク接続端末への不正侵入者は２ポートストレージの第２のパーティションにウイルスを感染させる事が出来ない。

請求項３のデータ処理装置はＩ/ＯポートＢを使用すれば第２のパーティションを読み出
せるが、第２のパーティションには［００３９］、［００４１］に記載の通り、データ処理装置自身しか書き込みが出来ないので、安全である。

ネットワーク接続端末のソフトウエア更新について説明する。
請求項３のファイルの送受信システムによると、サーバーはネットワーク接続端末で使用するソフトウエアを安全に２ポートストレージの第２のパーティションに送り込む事も出来る。
データ処理装置用のファイル同様にネットワーク接続端末で使用するソフトウエアを暗号化してデータ処理装置に送り込み、その後、データ処理装置によって第２のパーティションに転送されれば、このソフトウエアをネットワーク接続端末から利用できる。

　請求項３のファイルの送受信システムは、［００３８］、［００４０］、［００４１］、［００４２］に述べている２ポートストレージの第２のパーティションに代えて第２の２ポートストレージを用いる事が出来る。
　請求項３のネットワーク接続端末は２ポートストレージの第２のパーティションから暗号化されたデータを読み出し、サーバーに送信し、サーバーは暗号を解読して内容を知ることが出来るので、リアルタイム性は無いが双方向の交信が成り立つ。

請求項４のファイルの送受信システムによると、スマートフォンのセキュリティーを強化できる。第１のパーティション又はデータ処理装置所属のストレージに個人情報、電話帳を置けば秘匿され、盗まれなくなる。
またデータ処理装置に通話機能、ナビゲーション機能、ウエアラブル・デバイスの処理機能を持たせ、それらのソフトウエアとデータを第１のパーティション又はデータ処理装置所属のストレージに置くとネットワークから完全に不可侵になり、秘匿できる。しかも第１のパーティションのソフトウエアとデータは暗号鍵を共有する提供者が更新出来る。
また［００３８］～［００４２］に記載した通りデータ処理装置が生成したデータを安全にサーバー3に送る事も出来る。

請求項５のファイルの送受信システムによると、パソコンのセキュリティーを強化できる。第２のパーティションにパソコンのＯＳ、重要なソフト、重要なコンテンツを置けば、前項に記載されている通り、パソコンから利用でき、しかもネットワークからの侵入でウイルス感染、改竄を受けない。またこれらは、暗号鍵を共有する提供者がサーバーを用いて更新可能である。

　請求項６のファイルの送受信システムによると、Webサーバーのセキュリティーを強化
できる。［００４３］に記載した通り、Webサーバー用のコンテンツはサーバーから安全
に受信できる。このコンテンツを第２のパーティションに転送し、２ポートストレージのＩ/ＯポートＡを利用して公開すればネットワークからの不正侵入によって改竄を受ける
事はない。

ファイルの送受信システムを説明する図である。動作原理を説明する図である。動作原理を説明する図である。ウエアラブル・デバイスに適用した図である。パソコン、スマートフォンに適用した図である。 Webサーバーに適用した図である。ナビゲーションに適用した図である。ＩｏＴ装置に適用した図である。第２の２ポートストレージを備えたファイルの送受信システムを説明する図である。暗号解読機能をＩ/ＯポートＢからＩ/ＯポートＡに移動している、ファイルの送受信システムを説明する図である。

（実施態様１）
図２～３に基づいて、自動車の車載制御システムに適用した図１に記載のファイルの送受信システムについて説明する。自動車の車載制御装置はデータ処理装置1に接続され、デ
ータ処理装置1と連係して動作する。

自動車メーカーが自社製の自動車の車載制御装置にメンテナンスファイルを書き込むには、図２のようにメンテナンスファイルを自社のサーバー3で定められた暗号鍵で暗号化し
、ネットワーク4に送信する。ネットワーク接続端末2は受信した暗号化メンテナンスファイルを、２ポートストレージ5の第１のパーティション8に書き込む。この書き込みに使用するＩ/ＯポートＡ61はストレージ内部のハードウエアまたはファームウエアで書き加え
専用に機能限定されている。このため、ネットワーク接続端末2は正規のメンテナンスフ
ァイルとは異なるウイルスファイルを書き込んでしまっても、どのファイルも読み出す事が出来ないので、ネットワーク接続端末2は感染を起こさなかったのと同じ効果がある。

データ処理装置1は、前記Ｉ/ＯポートＡとは別の、独立に動作してハードウエアまたはファームウエアによって前記暗号鍵で暗号解読・読み出し専用に機能限定されるＩ/Ｏポー
トＢ71を経由して２ポートストレージ5の第１のパーティション8からメンテナンスファイルを読み出し、車載制御装置のファイルを更新する。車載制御装置は更新された新しい版のソフトウエアを用いて制御を開始する。
Ｉ/ＯポートＢ7に第２の機能として削除専用機能があるので、当該メンテナンスファイルが不要となったときにＩ/ＯポートＢ7を削除専用モードにして削除できる。

データ処理装置1がメンテナンスファイルを受け取るよりも前に暗号が解読されるから、
正しいファイルは暗号を解読されて正常に働くが、不正なファイルであれば破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は攻撃を受ける事がない。
ハードウエアの暗号解読回路は製造された通りの方法で暗号を解読するのみであり、正しく暗号化されていないファイルは破壊・無意味化される。ハードウエアを利用すればソフトウエアと異なり、製造されたとおりの動作しか出来ないが、どんなに優秀なハッカーであってもその動作を変える事も出来ない。

暗号は、暗号鍵が秘匿され、暗号化する環境、暗号を解読する環境、そしてアルゴリズムが正しければ安全である。本ファイルの送受信システムで暗号化はメーカー内のサーバー3での情報処理であり、また解読はネットワーク4経由のハッカーが関与できないハードウエアで行われる。
　セキュリティーが強固である事はもとより、破られる不安が無い事が誰の目にも明らかな手段で、ファイル送受信を防護するという課題も解決されている。

　ネットワーク4を経由してファイル送受信を安全に行うことが出来るならば、ネットワ
ーク4を経由してデータ処理装置1へ車載制御装置の命令書ファイル、操作ファイルを送る
事も可能であり、自動運転で迎車の目的地を、ネットワーク4経由で安全に指示できる。

以下、双方向のデータ交換について説明する。データ処理装置1への侵入を許さないとい
う事は、一方でネットワーク接続端末2とデータ処理装置1との間でポーリングなどによるリアルタイムの交信が出来ず、オフラインである。
しかし図１に記載のファイルの送受信システムなら２ポートストレージ5を介する双方向
のデータ交換が可能であり、データ処理装置1が得た車載制御装置のログもネットワーク
接続端末2からサーバー3へ送信できる。

図３を用いて説明すると、２ポートストレージ5には第２のパーティション9が有り、データ処理装置1 は車載制御装置のセンサーや制御系からの情報を得て編集・暗号化してＩ/
ＯポートＢ72から第２のパーティション9に書き込む事が出来る。データ処理装置1に接続されたＩ/ＯポートＢ72 が第２のパーティション9にアクセスするときはRead/Write 可能だからである。図９では、第２の２ポートストレージによって、第２のパーティションと同じ機能を持つ事が出来るのが表されている。

ネットワーク接続端末2に接続されたＩ/ＯポートＡ62が第２のパーティション9にアクセ
スするときは Read Only に機能制限されて動作する。
この機能制限は、ストレージに内蔵或いは直結されたハードウエアまたはファームウエアで実現されている。
ネットワーク接続端末2 は２ポートストレージ5のＩ/ＯポートＡ62を用いて第２のパーティション9 を適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサ
ーバー 3に送る。
このようにして、車載制御装置のログや、サーバー3から送られた命令・操作・更新等の
ファイルの実行結果を返信する事が出来る。

（実施態様２）
血圧・脈拍・呼吸・体温を検知するウエアラブル・デバイス11を図３に記載のデータ処理装置1で制御、操作、監視し、ネットワーク接続端末2がスマートフォン10である図４に記載のファイルの送受信システムについて説明する。

ウエアラブル・デバイス11製造業者がメンテナンスファイルを自社の製品に書き込むには、図２のようにメンテナンスファイルを自社のサーバー 3で予め定められた暗号化し、ネットワーク4に送信する。スマートフォン10は受信した暗号化メンテナンスファイルを、
２ポートストレージ5の第１のパーティション8に書き込む。この書き込みに使用する
Ｉ/ＯポートＡ61は書き加え専用に機能限定されている。このため、スマートフォン10は
書き込んだファイルを読み出す事が出来ない。

データ処理装置1は、前記Ｉ/ＯポートＡ61とは独立の、暗号解読読み出し専用に機能限定されるＩ/ＯポートＢ71を経由して２ポートストレージ5からメンテナンスファイルを読み出し、ウエアラブル・デバイス11のファイルを更新する。ウエアラブル・デバイス11は更新された新しい版のソフトウエアを用いて制御・監視を開始する。
Ｉ/Ｏポート7に第２の機能として削除専用があれば、当該メンテナンスファイルが不要となったときにＩ/ＯポートＢ71を削除専用モードに切り替えて削除できる。

データ処理装置1がメンテナンスファイルを受け取るよりも前に暗号が解読されるから、
正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は攻撃を受ける事がない。
ハードウエアの暗号解読回路は製造された通りの方法で暗号を解読するのみであり、正しく暗号化されていないファイルは破壊・無意味化される。ハードウエアを利用すればソフ
トウエアと異なり、製造されたとおりの動作しか出来ないが、どんなに優秀な攻撃者であってもその動作を変える事も出来ない。
　セキュリティーが強固である事はもとより、破られる不安が無い事が誰の目にも明らかな手段で防護するという課題も解決されている。

　ネットワーク4を経由してファイル更新を安全に行うことが出来るならば、ネットワー
ク4を経由してデータ処理装置1にウエアラブル・デバイス11への命令書ファイル、操作ファイルを送る事も可能であり、ネットワーク4経由で安全に指示できる。

　データ処理装置1への侵入を許さないのだから、一方でスマートフォン10とデータ処理
装置1との間でポーリングなどによるリアルタイムの交信が出来なくなる。
しかし図１に記載のファイルの送受信システムなら２ポートストレージ5を介する安全な
双方向のデータ交換が可能であり、スマートフォン10を経由してデータ処理装置1からウ
エアラブル・デバイス11のログも送信できる。
図３を用いて説明すると、２ポートストレージ5には第２のパーティション9が有り、スマートフォン10に接続されたＩ/ＯポートＡ62が第２のパーティション9にアクセスするときは Read Only に機能制限されて動作し、データ処理装置1に接続されたＩ/ＯポートＢ72
が第２のパーティション9にアクセスするときは Read/Write 可能になるからである。

データ処理装置1はウエアラブル・デバイス11からの情報を編集・暗号化してＩ/ＯポートＢ72から第２のパーティション9に書き込む事が出来る。スマートフォン10は２ポートス
トレージ5のＩ/ＯポートＡ62を用いて第２のパーティション9 を適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送る。このようにして、ウ
エアラブル・デバイス11のログや、サーバー3から送られた命令・操作・更新等のファイ
ルの実行結果をサーバー3に返信する事が出来る。

（実施態様３）
図５に基づいて、ネットワーク接続端末2がパソコン又はスマートフォンであるファイル
の送受信システムを説明する。図１に記載のファイルの送受信システムのネットワーク接続端末2がパソコン又はスマートフォン12であるとき、２ポートストレージ5の第２のパーティション9に、パソコン又はスマートフォン12のＯＳ、重要なソフト、重要なコンテン
ツが置いてあれば、ネットワーク4からの侵入でウイルス感染、改竄を受けない。またこ
れらは、暗号鍵を共有する提供者がサーバー3を用いて更新可能である。

実施態様３のファイルの送受信システムによると、ネットワーク接続端末2がパソコン又
はスマートフォン12であるとき、パソコン又はスマートフォン12のセキュリティーを強化できる。データ処理装置1に電話に関係する機能を置き、第１のパーティション8又はデータ処理装置1所属のストレージに個人情報、電話帳を置けばネットワーク4から秘匿される。
なお第１のパーティション8のソフトウエアとデータは暗号鍵を共有する提供者が更新で
きて、暗号解読後第２のパーティション9に転送されればパソコン又はスマートフォン12
で読み取る事が出来る。
またデータ処理装置1にナビゲーション機能を持たせ、それらのソフトウエアとデータを
データ処理装置1所属のストレージに置くとネットワーク4から秘匿される。さらに、パソコン又はスマートフォン12の移動の軌跡が第２のパーティション9に、ネットワーク4からは改竄不可能な形態で保存できる。これはパソコン又はスマートフォン12が移動する軌跡の追跡に利用できる。

また実施態様３のファイルの送受信システムはパソコン又はスマートフォン12のコンテンツの著作権保護が強化できる。図１に記載のファイルの送受信システムの２ポートストレ
ージ5の第１のパーティション8に暗号化されたコンテンツが書かれた時、それらコンテンツをデータ処理装置1で再生する。この方式の場合、暗号化コンテンツが２ポートストレ
ージ5の第１のパーティション8に保存されているのみであり、平文のコンテンツは何処にも保存されないからである。

（実施態様４）
図６に基づいて、ネットワーク接続端末2がWebサーバー13であるファイルの送受信システムを説明する。ネットワーク接続端末2がWebサーバー13である、ファイルの送受信システムは、Webサーバー13のセキュリティーを強化できる。［００４３］に記載した通り、Webサーバー13のコンテンツはサーバー3から安全に受信できる。

このコンテンツを２ポートストレージ5の第２のパーティション9に転送し、２ポートストレージのＩ/ＯポートＡ61を利用してWebサーバー13から公開すれば良い。ネットワーク4
からの不正侵入によって２ポートストレージ5の第２のパーティション9のコンテンツは改竄を受ける事がないからである。また２ポートストレージ5の第２のパーティション9にはWebサーバー13のＯＳ等の重要なファイルを置いて改竄を防ぐ事が出来る。

（実施態様５）
図７に基づいて、図１のファイルの送受信システムを適用したナビゲーション・システムについて説明する。
ナビゲーション装置15は図１のデータ処理装置1で制御され、ナビゲーションを行い、ネ
ットワーク4を経由したナビゲーションソフトの更新ファイルや地図情報の更新ファイル
や指令ファイルをサーバー3から受信し、その実行結果、得たログ情報等のファイルを返
信する。
　ネットワーク接続端末2には、ナビゲーションを補助する機能を加える事が出来て、ネ
ットワーク4から、必ずしもセキュアーとは言えないWebサイトにアクセスし、店舗情報、観光情報、SNS等を利用可能なナビゲーション補助端末16として働く事も出来る。
ナビゲーション補助端末16は、ウイルス感染しても再起動で復旧する。

以下は図１に記載のファイルの送受信システムの動作である。
ナビゲーション装置15製造業者はメンテナンスファイル、指令ファイルを自社のサーバー
3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージからメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1はナビゲーション装置15からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ナビゲーション補助端末16は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9
を適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に
送る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図７に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様６）
図８に基づいて、図１に記載のファイルの送受信システムを適用した医療機器制御システムについて説明する。
医療機器制御装置17は図１のデータ処理装置1で制御され、ネットワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、医療機器を制御し、その
実行結果、得た情報のファイルをデータ処理装置1経由でサーバー3に返信する。
この医療機器制御システムは遠隔地や在宅患者の医療機器17、例えば酸素吸入装置の操作や医療データの監視に用いる事が出来る。

本医療機器制御システムを構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
医療機器制御装置17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1は医療機器制御装置17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様７）
図８に基づいて、図１に記載のファイルの送受信システムを適用したエアコン等の電化製品制御システムについて説明する。
電化製品17は図１に記載のデータ処理装置1で制御され、運転され、ネットワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、その実行結果、
得たログ情報のファイルをデータ処理装置1経由でサーバー3に返信する。
外出先からスマートフォンを利用して電化製品17管理業者のサーバー3にアクセスし、電
化製品運転の操作に使用することも可能になる。

本電化製品制御システムを構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
電化製品17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1は電化製品17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様８）
図８に基づいて、図１に記載のファイルの送受信システムを適用したホームセキュリティー装置17について説明する。
ホームセキュリティー装置17は図１に記載のデータ処理装置1で制御され、運用され、ネ
ットワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、その実行結果、得た情報のファイルをデータ処理装置1経由でサーバー3に返信する。
外出先からスマートフォンを利用して、ホームセキュリティー装置17管理業者のサーバー3にアクセスして盗難や不法侵入、災害などをモニターし、戸締まりなどの操作に使用す
ることも可能になる。

本ホームセキュリティー装置17を構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
ホームセキュリティー装置17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1はホームセキュリティー装置17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様９）
図８に基づいて、図１に記載のファイルの送受信システムを適用した監視カメラ装置について説明する。
監視カメラ17は図１に記載のデータ処理装置1で制御され、監視し、ネットワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、その実行結果、
得た情報のファイルをデータ処理装置1経由でサーバー3に返信する。
この監視カメラ装置はネットワーク4を経由して遠隔地の監視カメラ17のモニターや操作
に適用することが出来、監視カメラの“ネットワーク化”もネットワーク4上で実現でき
る。

本監視カメラ装置を構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
監視カメラ17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1は監視カメラ17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様１０）
図８に基づいて、図１に記載のファイルの送受信システムを適用した例えば洪水の排水ポンプなどの施設・設備の制御システムについて説明する。
施設・設備の制御装置17は図１に記載のデータ処理装置1で制御され、運用され、ネット
ワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、その実行結果、得た情報のファイルをデータ処理装置1経由でサーバー3に返信する。
施設・設備の制御システムはネットワーク4を経由して遠隔地の施設・設備17のモニター
や操作はもとより、無人の施設、工場、防潮堤などの災害防止施設の操作に適用することが出来る。

本施設・設備の制御システムを構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
施設・設備の制御装置17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1は施設・設備の制御装置17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

（実施態様１１）
図８に基づいて、図１に記載のファイルの送受信システムを適用したドローンの制御システムについて説明する。
ドローン17は図１に記載のデータ処理装置1で制御され、運用され、ネットワーク4を経由した制御ソフトの更新ファイルや指令ファイルをサーバー3から受信し、その実行結果、
得た情報のファイルをデータ処理装置1経由でサーバー3に返信する。
ドローンの制御システムはネットワーク4を経由して遠隔地のドローン17のモニターや操
作に適用することが出来る。

ドローンの制御システムを構成する図１に記載のファイルの送受信システムの動作は以下に記す通り００７１に述べたのと同様である。
ドローン17製造業者はメンテナンスファイル、指令ファイルを自社のサーバー 3で暗号化し、ネットワーク4に送信する。
ファイルの送受信システムのネットワーク接続端末2は受信した暗号化メンテナンスファ
イル、暗号化指令ファイルを、２ポートストレージ5の第１のパーティション8に書き込む。書き込みに使用するＩ/Ｏポート61は書き加え専用に機能限定されているので、ネット
ワーク接続端末2はRead/Write可能なストレージを持たなければウイルス感染を起こさな
い。
データ処理装置1は、暗号解読読み出し専用に機能限定されるＩ/Ｏポート71を経由して２ポートストレージ5からメンテナンスファイル、指令ファイルを読み出して処理する。
データ処理装置1がメンテナンスファイル、指令ファイルを受け取るよりも前に暗号が解
読されるから、正しいファイルは暗号を解読されて正常に働くが、不正なファイルは破壊されて機能を失い無意味なデータになる。ゆえにデータ処理装置1は不正侵入されない。
データ処理装置1はドローン17からの情報を編集・暗号化して
Ｉ/Ｏポート72から第２のパーティション9に書き込む事が出来る。ネットワーク接続端末2 は２ポートストレージ5のRead OnlyＩ/Ｏポート62を用いて第２のパーティション9 を
適宜監視し、新たなファイルが追加された時にはネットワーク4を通してサーバー 3に送
る。
Ｉ/Ｏポート61、Ｉ/Ｏポート71、Ｉ/Ｏポート62の機能は２ポートストレージ内部のハー
ドウエアまたはファームウエアで限定されている。
このようにして図８に記載のファイルの送受信システムは、ネットワーク4を経由したフ
ァイルの送受信において、破られる不安が無い事が誰の目にも明らかな手段で強固なセキュリティーを実現している。

1　データ処理装置
2　ネットワーク接続端末
3　サーバー
4　ネットワーク
5　２ポートストレージ
61　Ｉ/ＯポートＡ：書き加え専用（または暗号解読後・書き加え専用）
62　Ｉ/ＯポートＡ：Read Only
71　Ｉ/ＯポートＢ：暗号解読・読み出し及び削除専用（またはRead/Write）
72　Ｉ/ＯポートＢ：Read/Write
8　第１のパーティション
9　第２のパーティション
10 スマートフォン
11 ウエアラブル・デバイス
12 パソコン、スマートフォン
13 Webサーバー
14 閲覧者
15 ナビゲーション装置（ＧＰＳ、地図）
16 ナビゲーション補助端末
　　　　　　　　17 ＩｏＴ装置（医療機器制御、電化製品制御、ホームセキュリティー、監視カメラ制御、施設・設備制御、ドローン）

Claims

送信するデータを暗号化した暗号化ファイルをネットワークに送信するサーバーと、
前記暗号化ファイルを伝送するネットワークと、
前記暗号化ファイルをネットワークから受信するネットワーク接続端末と、
解読された前記暗号化ファイルを使用するデータ処理装置と、
前記ネットワーク接続端末と前記データ処理装置を中継する２ポートストレージを備え、前記２ポートストレージの第１のＩ/ＯポートＡがネットワーク接続端末に接続され、
第２のＩ/ＯポートＢがデータ処理装置に接続され、
Ｉ/ＯポートＡはネットワーク接続端末から２ポートストレージにデータを書き加える事
のみに機能制限されて動作し、
Ｉ/ＯポートＢは、２ポートストレージのデータを読み出して前記暗号化ファイルを解読
した後にデータ処理装置に渡す「読出し・暗号解読専用」と不要なファイルを削除するための「ファイル削除」の２つの機能に機能制限されて動作し、
前記の機能制限は、２ポートストレージに内蔵または直結されたハードウエアまたはファームウエアで実現されている事を特徴とするファイルの送受信システム。
請求項１に記載のファイルの送受信システムにおいて、Ｉ/ＯポートＡの書き加え専用機
能を、ネットワーク接続端末からデータを受け取った後に暗号を解読し、解読後に２ポートストレージに書き加える以外の動作をしない「暗号解読・書き加え専用」機能とし、
Ｉ/ＯポートＢの暗号解読機能を単なるRead/Writeとし、
前記の機能制限は、２ポートストレージに内蔵または直結されたハードウエアまたはファームウエアで実現されている事を特徴とするファイルの送受信システム。
第２の２ポートストレージを備えるか、または２ポートストレージに第２のパーティションを備え、
第２の２ポートストレージを備える場合は、
ネットワーク接続端末から第２の２ポートストレージに対して付属の第２のＩ/Ｏポート
Ａを用いてアクセスするときは Read Only 動作に機能制限され、
データ処理装置から第２の２ポートストレージに対して付属の第２のＩ/ＯポートＢを用
いてアクセスするときは Read/Write 動作になり、
２ポートストレージに第２のパーティションを備える場合は、
ネットワーク接続端末からＩ/ＯポートＡを用いて２ポートストレージの第２のパーティ
ションにアクセスするときは Read Only 動作に機能制限され、
データ処理装置からＩ/ＯポートＢを用いて２ポートストレージの第２のパーティション
にアクセスするときはRead/Write動作になり、
前記機能制限は、２ポートストレージに内蔵或いは直結されたハードウエアまたはファームウエアで実現されている請求項１または請求項２に記載のファイルの送受信システム。
　ネットワーク接続端末がスマートフォンである請求項３に記載のファイルの送受信システム。
　ネットワーク接続端末がパソコンである請求項３に記載のファイルの送受信システム。
　ネットワーク接続端末がWebサーバーである請求項３に記載のファイルの送受信システ
ム。