WO2018073858A1 - Recovery method, terminal, and device - Google Patents

Recovery method, terminal, and device Download PDF

Info

Publication number
WO2018073858A1
WO2018073858A1 PCT/JP2016/080679 JP2016080679W WO2018073858A1 WO 2018073858 A1 WO2018073858 A1 WO 2018073858A1 JP 2016080679 W JP2016080679 W JP 2016080679W WO 2018073858 A1 WO2018073858 A1 WO 2018073858A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
restart
processor
network
communication
Prior art date
Application number
PCT/JP2016/080679
Other languages
French (fr)
Japanese (ja)
Inventor
太一 村川
秀二 石原
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to PCT/JP2016/080679 priority Critical patent/WO2018073858A1/en
Publication of WO2018073858A1 publication Critical patent/WO2018073858A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Definitions

  • the present invention relates to a restoration method for restoring a terminal on a network, a terminal to be restored on a network, and a device that supports the restoration of the terminal.
  • an unexpected incident may occur due to an attack from an attacker via the network.
  • an unauthorized operation such as unauthorized takeover of the terminal or rewriting of data causes the operation of the terminal or the network to become unstable, resulting in an incident.
  • the quality of service provision deteriorates.
  • Patent Document 1 discloses a maintenance system.
  • the maintenance system includes a printer control device installed on the user side and connected to the ink jet printer, a maintenance device installed on the service center side, and a communication line between the printer control device and the maintenance device connected to the maintenance device.
  • a maintenance USB memory storing a maintenance application that enables maintenance of the inkjet printer. Then, by connecting the maintenance USB memory to the printer control device and starting the maintenance application, the communication line between the printer control device and the maintenance device is connected, and the inkjet printer is diagnosed by the maintenance device. .
  • Patent Document 1 provides a maintenance means for starting up an application by inserting a USB device into a terminal, there is a problem that maintenance cannot be performed when the USB device itself is contaminated with a virus or the like. .
  • the present invention aims to improve the safety of terminal recovery.
  • a recovery method includes: a terminal; a first system capable of communicating with the terminal via a first network; and executing a first process on the terminal; the terminal; A second system capable of communicating via a network and executing a second process on the terminal; and a recovery method for the terminal in a network system, the terminal including a processor for executing a program, the program And a tamper-resistant first device including a first memory, wherein the first memory defines the first system as a connection destination of the terminal, and reconnects the terminal.
  • the first attribute information that defines the first restart method for acquiring the start data for starting the terminal from the first system and restarting as the start method is stored.
  • the processor detects that the communication between the terminal and the first system is possible and the communication between the terminal and the second system is not possible.
  • the restart method of the terminal is determined as the first restart method based on the first attribute information.
  • the terminal according to the aspect of the invention disclosed in the present application can communicate with the first system that executes the first process via the first network, and the second system that executes the second process and the second system.
  • 2 is a terminal that can communicate via a network, and includes a processor that executes a program, a storage device that stores the program, and a tamper-resistant first device that includes a first memory.
  • the memory defines the first system as a connection destination of the terminal, and obtains start data for starting the terminal from the first system as a restart method of the terminal and restarts the first restart method
  • the processor is in a communicable state between the terminal and the first system, and the terminal and the second system
  • the device can communicate with the first system that executes the first process via the first network, and the second system and the second system that execute the second process.
  • a device provided in a terminal capable of communicating via a network the terminal having a storage device for storing startup data for starting the terminal, the device including a first processor, a first memory, The first memory defines the first system as a connection destination of the terminal, and the startup data for starting the terminal as a restart method of the terminal.
  • FIG. 1 is an explanatory diagram showing a system configuration example 1 of a network system.
  • FIG. 2 is an explanatory diagram showing a storage content example 1 of the first SIM card and the second SIM card.
  • FIG. 3 is an explanatory diagram illustrating an example of detailed functions of various functions of the first system and the second system.
  • FIG. 4 is an explanatory diagram illustrating an example of a data group stored in the disk of the terminal.
  • FIG. 5A is a sequence diagram illustrating a terminal recovery sequence example 1 (first half) in the network system.
  • FIG. 5B is a sequence diagram illustrating a terminal recovery sequence example 1 (second half) in the network system.
  • FIG. 6 is an explanatory diagram showing a system configuration example 2 of the network system.
  • FIG. 1 is an explanatory diagram showing a system configuration example 1 of a network system.
  • FIG. 2 is an explanatory diagram showing a storage content example 1 of the first SIM card and the second SIM card.
  • FIG. 3 is an explanatory diagram
  • FIG. 7 is an explanatory diagram showing a system configuration example 3 of the network system.
  • FIG. 8 is an explanatory diagram showing another application example of the network system.
  • FIG. 9 is an explanatory diagram showing a storage content example 2 of the first SIM card and the second SIM card.
  • FIG. 10 is an explanatory diagram showing another example of the data group stored in the disk of the terminal.
  • FIG. 11A is a sequence diagram illustrating a terminal recovery sequence example 2 (first half) in the network system.
  • FIG. 11B is a sequence diagram illustrating a terminal recovery sequence example 2 (second half) in the network system.
  • FIG. 1 is an explanatory diagram showing a system configuration example 1 of a network system.
  • the network system 1 includes a terminal 100, a security monitoring system 110 that is an example of a first system that executes a first process on the terminal 100, and an operation system 120 that is an example of a second system that executes a second process on the terminal 100. And having.
  • the terminal 100 is communicably connected to the security monitoring system 110 via the first network NW1.
  • the terminal 100 is connected to the operation system 120 through the second network NW2 so as to be communicable.
  • the terminal 100 is one of a first SIM (Subscriber Identity Module) card 130 that is an example of a tamper-resistant first device having a memory area and a second SIM card 140 that is an example of a second device having a memory area. It is communicably connected to one side.
  • SIM Subscriber Identity Module
  • the security monitoring system 110 includes, in the terminal 100, a vulnerability countermeasure function 111 that executes a vulnerability countermeasure as a first process and a boot server function 112 that executes a restart via the first network NW1 as a first process. It is a system to provide.
  • a system is an aggregate in which one or more computers cooperate.
  • the first network NW1 is a closed network that connects only the terminal 100 and the security monitoring system 110 by wire or wirelessly.
  • the first network NW1 is configured by a private network such as a VPN (Virtual Private Network), for example. Therefore, the terminal 100 and the security monitoring system 110 can communicate securely.
  • the first network NW1 only needs to be more secure than the second network NW2.
  • the operation system 120 is a system that provides the terminal 100 with an operation function 121 that operates a service that can be provided on the second network NW2 as the second processing.
  • the operation system 120 includes, for example, an MME (Mobility Management Entity) that manages the terminal 100 connected to the second network NW2, a distribution system that distributes paid or free content, an inventory management system that manages product inventory, a traveler's inventory Includes an immigration system to manage entry.
  • MME Mobility Management Entity
  • the second network NW2 is a communication network that connects the terminal 100 and the operation system 120 in a wired or wireless manner.
  • the second network NW2 is an open network such as the Internet, for example.
  • the terminal 100 includes a processor 101, a memory 102, a disk 103, a display device 104, a device interface 105, and a communication interface 106, and is connected by a bus 107.
  • the processor 101 controls the terminal 100.
  • the memory 102 serves as a work area for the processor 101.
  • the disk 103 is a non-temporary or temporary recording medium that stores various programs and data. Examples of the disk 103 include an HDD (Hard Disk Drive) and a flash memory.
  • the display device 104 displays data on the display screen.
  • the device interface 105 is an interface through which either the first SIM card 130 or the second SIM card 140 can be inserted and removed. In FIG. 1, there is one device interface 105, but a plurality of device interfaces 105 (described later) may be used.
  • the communication interface 106 is connected to the first network NW1 and the second network NW2, and transmits / receives data to / from the security monitoring system 110 and the operation system 120.
  • the first SIM card 130 is an example of a tamper-resistant first device having a memory area.
  • the first device is an LSI (Large Scale Integration) having a structure such as a TRM (Tamper Resistant Module) structure that cannot store information stored therein.
  • the first device prevents peeping from the outside and prevents alteration of internal data.
  • the first device has software that encrypts an internal program itself and decrypts and executes it as much as necessary during execution.
  • the LSI may be such that the recorded content disappears when the surface of the LSI is exposed to air, or the LSI becomes inoperable when a probe for reading out a signal is attached.
  • the first SIM card 130 has a first processor 131 and a first memory 132.
  • the first processor 131 executes a program stored in the first memory 132.
  • the first processor 131 loads the first access restriction table 133 and the first connection profile 134 onto the disk 103.
  • the first memory 132 stores a first access restriction table 133 and a first connection profile 134.
  • the first access restriction table 133 is information for designating access authority for data held in the disk 103 by the terminal 100 (see FIG. 2A).
  • the first connection profile 134 is information that designates a connection method with the first network NW1 (see FIG. 2A).
  • the first device is not limited to a SIM card as long as it is a tamper-resistant device having a memory area.
  • the first device may be a tamper-resistant memory device that does not include the first processor 131.
  • the second SIM card 140 is an example of a second device having a memory area.
  • the second device is not required to be tamper resistant, but a SIM card is employed to share the device interface 105 with the first SIM card 130.
  • the second SIM card 140 has a second processor 141 and a second memory 142.
  • the second processor 141 executes a program stored in the second memory 142. Further, the second processor 141 loads the second access restriction table 143 and the second connection profile 144 onto the disk 103.
  • the second memory 142 stores a second access restriction table 143 and a second connection profile 144.
  • the second access restriction table 143 is information for designating access authority for data held in the disk 103 by the terminal 100 (see FIG. 2B).
  • the second connection profile 144 is information for designating a connection method with the second network NW2 (see FIG. 2B).
  • the second SIM card 140 is inserted into the terminal 100, and the terminal 100 communicates with the general system via the second network NW2.
  • the terminal 100 detects the occurrence of the incident by itself or by a notification from the operation system 120. Thereby, the recovery work of the terminal 100 starts.
  • the maintenance person of the terminal 100 removes the second SIM card 140 and inserts the first SIM card 130 into the terminal 100.
  • the terminal 100 is connected to only the closed network called the first network NW1.
  • the terminal 100 is restarted by the boot server function 112 of the security monitoring system 110, and the countermeasure against the vulnerability is taken by the vulnerability countermeasure function 111. Thereby, the recovery work of the terminal 100 is completed.
  • the maintenance person of the terminal 100 removes the first SIM card 130 and inserts the second SIM card 140 into the terminal 100. Thereby, the terminal 100 can communicate with the operation system 120 in a state before the incident occurs.
  • the maintenance person of the terminal 100 may have both the first SIM card 130 and the second SIM card 140. Further, each owner of the terminal 100 may always hold only the second SIM card 140 and share the first SIM card 130. In addition, a group of owners of the terminal 100 may store the first SIM card 130 to be shared, and another administrator (for example, a supplier providing a maintenance management service) may store the first SIM card 130 to be shared. Also good.
  • FIG. 2 is an explanatory diagram showing a storage content example 1 of the first SIM card 130 and the second SIM card 140.
  • (A) is an example of stored contents of the first SIM card 130
  • (B) is an example of stored contents of the second SIM card 140.
  • the first access restriction table 133 and the second access restriction table 143 have a data type 201, an authority 202, and a state 203.
  • the data type 201 indicates the type of data that the terminal 100 holds in the disk 103.
  • the authority 202 indicates an operation (reading and writing) for data specified by the data type 201 when the SIM card is inserted.
  • a state 203 indicates whether the operation specified by the authority 202 is permitted or prohibited when the SIM card is inserted.
  • the value of state 203 (permitted or prohibited) is arbitrarily set by the first system and the second system that are the connection partners.
  • the first connection profile 134 and the second connection profile 144 have a connection network destination 204 and a boot method 205.
  • the connection network destination 204 indicates a network (APN (Access Point Name)) that is a connection partner when the SIM card is inserted.
  • the boot method 205 indicates a restart method of the terminal 100 when the SIM card is inserted.
  • the network boot is a method for restarting the terminal 100 under the initiative of the first system (security monitoring system 110). Specifically, for example, the terminal 100 restarts using the startup data downloaded or distributed from the security monitoring system 110 via the first network NW1.
  • the activation data is, for example, an OS image necessary for activation of the terminal 100.
  • the terminal boot is a method of restarting the terminal 100 led by the terminal 100. Specifically, for example, the terminal 100 restarts the terminal 100 using the startup data stored in the disk 103 of the terminal 100 using a restart instruction input from the operator of the terminal 100 as a trigger.
  • the network boot function for realizing the network boot of the terminal 100 conforms to a general PXE (Preboot Execution Environment) standard.
  • the terminal 100 has a PXE-compliant network function in the communication interface 106 and PXE-compliant software in the memory 102.
  • FIG. 3 is an explanatory diagram illustrating an example of detailed functions of various functions of the first system and the second system.
  • the vulnerability countermeasure function 111 implements security countermeasures for the terminal 100.
  • the vulnerability countermeasure function 111 checks the file stored in the disk 103 of the terminal 100 and optimizes the terminal 100.
  • the vulnerability countermeasure function 111 includes a virus removal function 311, an unauthorized application stop function 312, and a security patch update function 313.
  • the virus removal function 311 detects and removes illegal files in the disk 103 of the terminal 100.
  • the unauthorized application stop function 312 stops the execution of the application when an application that is not in the white list owned by the security monitoring system 110 is stored in the disk 103 of the terminal 100.
  • the security patch update function 313 updates the security information of firmware and software in the disk 103 of the terminal 100.
  • the boot server function 112 provides activation of the terminal 100 via the first network NW1.
  • the boot server function 112 includes an OS image providing function 314 that provides an OS image serving as a boot environment, and a DHCP server function 315 that provides IP address assignment.
  • the DHCP server function 315 provides a new IP address that can be used after the network boot because the incident may cause unauthorized access again if the current IP address continues to be used due to an incident.
  • the operation function 121 manages the operating status of the terminal 100, for example.
  • the operation function 121 includes, for example, a terminal control function 321 based on a command, a terminal monitoring function 322 based on a communication content monitor, and a terminal management function 323 that displays a status.
  • FIG. 4 is an explanatory diagram illustrating an example of a data group stored in the disk 103 of the terminal 100.
  • the disk 103 stores operation data 401, setting data 402, and activation data 403 as a data group.
  • the operation data 401 is, for example, surveillance camera video 412 in which personal information such as operation data 411 collected by the terminal 100 and personal numbers and personal privacy are recorded.
  • the setting data 402 is, for example, a network configuration value 421 or an application setting value 422 that changes the behavior of the terminal 100.
  • the activation data 403 is an OS image 430 for activating the terminal 100.
  • ⁇ Recovery sequence example 1> 5A and 5B are sequence diagrams showing a restoration sequence example 1 of the terminal 100 in the network system 1. It is assumed that the second SIM card 140 is inserted into the terminal 100 and recognized, and the terminal 100 is connected to the second network NW2.
  • the operation system 120 notifies the incident via the second network NW2 (step S501). Specifically, for example, when the operation system 120 confirms the change of the setting data 402 of the unplanned terminal 100 or confirms the situation where the data of the terminal 100 has crashed, When a situation where access is extremely slow is confirmed, an incident is notified that an incident has occurred.
  • the terminal 100 receives the incident notification and detects the incident by confirming the content of the incident notification (step S502).
  • the terminal 100 displays a message to that effect and information prompting the replacement of the SIM card on the display screen of the display device 104.
  • the maintenance person of the terminal 100 removes the second SIM card 140 from the device interface 105.
  • the terminal 100 When the terminal 100 detects removal of the second SIM card 140 (step S503), the terminal 100 disconnects communication with the second network NW2 (step S504). When the disconnection is detected, the terminal 100 displays a message to that effect and information prompting the insertion of the first SIM card 130 on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 inserts the first SIM card 130 into the device interface 105.
  • the terminal 100 detects the insertion of the first SIM card 130 (step S505), the terminal 100 recognizes the first SIM card 130. As a result, the first processor 131 of the first SIM card 130 notifies the terminal 100 of the connection destination (step S506). Specifically, for example, the first processor 131 loads “first network NW1”, which is the connection network destination 204 of the first connection profile 134, into the disk 103 of the terminal 100.
  • the terminal 100 is connected to the notified connection destination “first network NW1” (step S507), and is in a state where it can communicate securely with the security monitoring system 110.
  • the terminal 100 transmits a connection completion notification with the first network NW1 to the first SIM card 130 (step S508).
  • the first processor 131 of the first SIM card 130 transmits a network boot request to the terminal 100 (step S509). Specifically, for example, the first processor 131 loads “network boot”, which is the boot method 205 of the first connection profile 134, into the disk 103 of the terminal 100. Thereby, the terminal 100 transmits a network boot request to the security monitoring system 110 via the first network NW1 (step S510).
  • the security monitoring system 110 transmits the OS image 430 and the IP address to the terminal 100 (step S511).
  • the terminal 100 executes network boot with the received OS image 430 (step S512). Specifically, for example, the terminal 100 overwrites the OS image 430 (startup program) on the disk 103 and restarts with the secure OS image 430 after overwriting.
  • the first processor 131 of the first SIM card 130 loads the first access restriction table 133 onto the disk 103 after secure restart (step S513). Thereby, the terminal 100 sets the first access restriction table 133 as a table to be accessed (step S514). As a result, the first processor 131 cannot access (read and write) the operation data 401 and can access the setting data 402 as shown in FIG.
  • the terminal 100 transmits a vulnerability treatment request for optimizing the file of the terminal 100 to the security monitoring system 110 via the first network NW1 (step S515).
  • the security monitoring system 110 executes the vulnerability action by the vulnerability countermeasure function 111 (step S516). Specifically, for example, the security monitoring system 110 executes services such as vulnerability countermeasures on the terminal 100 in a situation where the terminal 100 applies the first access restriction table 133.
  • the security monitoring system 110 transmits a vulnerability treatment completion notification to the terminal 100 (step S517).
  • the terminal 100 when the terminal 100 receives the vulnerability treatment completion notification from the security monitoring system 110, the terminal 100 detects the completion of the vulnerability treatment (step S518), and the terminal 100 displays the message on the display screen of the display device 104. And information for prompting replacement of the SIM card is displayed. As a result, the maintenance person of the terminal 100 removes the first SIM card 130 from the device interface 105.
  • the terminal 100 When the terminal 100 detects removal of the first SIM card 130 (step S519), the terminal 100 disconnects communication with the first network NW1 (step S520). When the disconnection is detected, the terminal 100 displays a message to that effect and information prompting the insertion of the second SIM card 140 on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 inserts the second SIM card 140 into the device interface 105.
  • the terminal 100 detects the insertion of the second SIM card 140 (step S521), the terminal 100 recognizes the second SIM card 140. Accordingly, the second processor 141 of the second SIM card 140 notifies the terminal 100 of the boot method 205 (step S522). Specifically, for example, the second processor 141 loads “terminal boot”, which is the boot method 205 of the second connection profile 144, into the disk 103 of the terminal 100.
  • the terminal 100 performs terminal boot, that is, restarts using the OS image 430 stored in the disk 103 according to the notified boot method “terminal boot” (step S523).
  • the second processor 141 of the second SIM card 140 loads the second access restriction table 143 onto the disk 103 by the restart (step S524). Thereby, the terminal 100 sets the second access restriction table 143 as a table to be accessed (step S525). As a result, the second processor 141 can access (read and write) the operational data 401 as shown in FIG.
  • the second processor 141 of the second SIM card 140 notifies the terminal 100 of the connection destination (step S526). Specifically, for example, the second processor 141 loads “second network NW2”, which is the connection network destination 204 of the second connection profile 144, to the disk 103 of the terminal 100.
  • the terminal 100 is connected to the notified connection destination “second network NW2” (step S527), and can communicate with the operation system 120. Then, the terminal 100 transmits a normality notification to the operation system 120 (step S528), and the operation system 120 receives the normality notification, thereby confirming that the terminal 100 is normal, that is, has been securely restored. Confirmation is made (step S529). Accordingly, the operation system 120 executes the second process (operation function 121) on the terminal 100.
  • the vulnerability treatment of the terminal 100 can be realized by a simple operation such as the replacement operation of the SIM card without requiring special knowledge and technology of the security of the maintenance person.
  • a tamper-resistant secure module is employed as the first device, it is possible to realize a service that is highly resistant to fraud from the outside.
  • the terminal 100 since the terminal 100 has a network booting mechanism, the terminal 100 can be restarted based on the secure start data 403. Further, the service provision by the operation system 120 can be realized by secure information management by the network setting and access authority given to each SIM card.
  • the terminal 100 uses both the first SIM card 130 and the second SIM card 140 as the first device interface.
  • 105 and the second device interface 105 may be included.
  • FIG. 6 is an explanatory diagram showing a system configuration example 2 of the network system 1.
  • the terminal 100 includes a first device interface 601 and a second device interface 602.
  • the first SIM card 130 can be inserted into and removed from the first device interface 601.
  • the second SIM card 140 can be inserted into and removed from the second device interface 602.
  • the removal detection (step S503) of the second SIM card 140 may be performed in the same manner. Communication between 140 and the bus 107 may be disconnected. Thereby, even if the second SIM card 140 is not removed, the processor 101 of the terminal 100 determines that the second SIM card 140 has been removed, and the communication between the terminal 100 and the second network NW2 is disconnected. (Step S504).
  • the removal detection (step S519) of the first SIM card 130 may be similarly performed, but the processor performs communication between the first SIM card 130 and the bus by the operation input of the maintenance person. It may be cut. Thereby, even if the first SIM card 130 is not removed, the processor of the terminal 100 determines that the first SIM card 130 has been removed, and the communication between the terminal 100 and the first network NW1 is disconnected ( Step S520).
  • the first SIM card 130 and the second SIM card 140 are always inserted, so that the maintenance person does not need to insert or remove the first SIM card 130 and the second SIM card 140. . Therefore, loss due to insertion / extraction of the first SIM card 130 and the second SIM card 140 can be suppressed.
  • the first device and the second device may be realized by one eSIM (embedded SIM) card built in the terminal 100. .
  • eSIM embedded SIM
  • FIG. 7 is an explanatory diagram showing a system configuration example 3 of the network system 1. 7, the terminal 100 does not have the device interface 105, the first device interface 601, and the second device interface 602 as shown in FIG. 1 and FIG.
  • the eSIM card 710 is a device that can switch the service of a communication carrier in software without replacement.
  • a standard specification has been formulated as “Embedded SIM Remote Provisioning Architecture” by GSMA Association.
  • eSIM is a technology that allows a communication carrier registered in a SIM card to be updated remotely via a third network NW3, which is an MNO (Mobile Network Operator), using OTA (Over The Air) technology.
  • the eSIM card 710 does not instruct switching of the connection profile as a function of the SIM card alone, but the first connection profile 134 and the second connection profile 144 in the eSIM card 710 according to a switch instruction from an external device called Subscription Manager 701. Switch.
  • the subscription manager 701 is owned and managed by the third network NW3 which is an MNO (Mobile Network Operator).
  • the eSIM card 710 is a tamper-resistant secure device having a third processor 711 and a third memory 712, and is connected to the bus 107.
  • the third memory 712 stores a first access restriction table 133, a first connection profile 134, a second access restriction table 143, and a second connection profile 144.
  • the third processor 711, the first access restriction table 133 and the first connection profile 134 in the third memory 712 correspond to the first SIM card 130 (hereinafter referred to as “the first SIM card 130
  • the third processor 711, the second access restriction table 143 and the second connection profile 144 in the third memory 712 correspond to the second SIM card 140 (hereinafter referred to as “second SIM card 140”). Is called "function of".)
  • the terminal 100 switches the function of the first SIM card 130 and the function of the second SIM card 140 by software from the subscription manager 701. For example, in step S503 of FIG. 5A, the terminal 100 turns off the function of the second SIM card 140 by the operation from the subscription manager 701 to put it in a pseudo removal state. Thereby, in step S503, the terminal 100 detects removal of the function of the second SIM card 140.
  • step S505 of FIG. 5A the terminal 100 turns on the function of the first SIM card 130 and puts it into a pseudo insertion state by an operation from the subscription manager 701. Thereby, in step S505, the terminal 100 detects the insertion of the function of the first SIM card 130.
  • step S519 in FIG. 5B the terminal 100 turns off the function of the first SIM card 130 by the operation from the subscription manager 701 to put it in a pseudo removal state. Thereby, in step S519, the terminal 100 detects removal of the function of the first SIM card 130.
  • step S521 in FIG. 5B the terminal 100 turns on the function of the second SIM card 140 and puts it in a pseudo insertion state by an operation from the subscription manager 701. Thereby, in step S521, the terminal 100 detects insertion of the function of the second SIM card 140.
  • FIG. 8 is an explanatory diagram illustrating another application example of the network system 1.
  • FIG. 8 is an example in which different services are applied. 8 has the same system configuration as that of FIG. 1, but the configuration example of FIG. 6 or 7 can also be applied.
  • the first system is an asset management system 800 as an example.
  • the asset management system 800 is a system operated by a rental equipment company, for example.
  • the asset management system 800 has a life cycle management function 801 and a boot server function 112.
  • the life cycle management function 801 is a function for managing the life cycle of the terminal 100.
  • FIG. 9 is an explanatory diagram showing a storage content example 2 of the first SIM card 130 and the second SIM card 140.
  • (A) is an example of stored contents of the first SIM card 130
  • (B) is an example of stored contents of the second SIM card 140.
  • the data type 201 of the first access restriction table 133 and the second access restriction table 143 stores unique data 1004 in addition to the operation data 401 and the setting data 402. Reading of the unique data 1004 is prohibited when the second SIM card 140 is inserted, but reading of the unique data 1004 is permitted when the first SIM card 130 is inserted.
  • FIG. 10 is an explanatory diagram showing another example of a data group stored in the disk 103 of the terminal 100.
  • the disk 103 stores operation data 401, setting data 402, startup data 403, and unique data 1004.
  • the operational data 401 is, for example, asset management data 1010.
  • the setting data 402 is, for example, a network configuration value 421 or an application setting value 422 that changes the behavior of the terminal 100.
  • the activation data 403 is an OS image 430 for activating the terminal 100.
  • the unique data 1004 is data unique to the terminal 100 such as the production number 1041, the production date 1042, and the power-on date 1043.
  • FIG. 11A and FIG. 11B are sequence diagrams showing a restoration sequence example 2 of the terminal 100 in the network system 1. It is assumed that the second SIM card 140 is inserted into the terminal 100 and recognized, and the terminal 100 is connected to the second network NW2.
  • the operation system 120 sends an inspection request notification via the second network NW2 (step S1101). Specifically, for example, the operation system 120 transmits a notification to check the life cycle of the terminal 100 to the terminal 100 regularly or irregularly.
  • the terminal 100 detects the inspection request by receiving the inspection request notification and confirming the content of the inspection request notification (step S1102).
  • the terminal 100 displays a message to that effect and information for prompting the replacement of the SIM card on the display screen of the display device 104.
  • the maintenance person of the terminal 100 removes the second SIM card 140 from the device interface 105.
  • step S1101 to step S1114 is the same as that from step S503 to S514 in FIG.
  • the terminal 100 reads the unique data 1004 according to the first access restriction table 133 and transmits the unique data 1004 to the asset management system 800 via the first network NW1 (step S1115).
  • the asset management system 800 Upon receiving the specific data 1004, the asset management system 800 performs life cycle management (step S1116). When the life cycle management is completed, the asset management system 800 transmits a life cycle management completion notification to the terminal 100 (step S1117).
  • the terminal 100 when the terminal 100 receives the life cycle management completion notification from the asset management system 800, the terminal 100 detects the completion of the life cycle management (step S1118), and the terminal 100 displays that on the display screen of the display device 104. And information for prompting replacement of the SIM card is displayed. As a result, the maintenance person of the terminal 100 removes the first SIM card 130 from the device interface 105.
  • step S1119 to S1127 in FIG. 11B is the same as the processing from step S519 to S527 in FIG.
  • the terminal 100 transmits an inspection completion notification to the operation system 120 (step S1128), and the operation system 120 receives the inspection completion notification to confirm that the terminal 100 is normal, that is, has been securely restored. (Step S1129).
  • the asset management service of the terminal 100 such as life cycle management accesses the operation data 401 and the setting data 402 stored in the terminal 100 for the inventory use of the asset management system 800. Provided without. Therefore, it is possible to link the unique data 1004 of the terminal 100 that is the minimum necessary for the service.
  • the unique data 1004 can be prevented by blocking the network by the SIM card exchange operation. Further, the life cycle management of the terminal 100 can be realized by a simple operation such as replacement of the SIM card without requiring special knowledge and technology of the security of the maintenance person. In addition, since a tamper-resistant secure module is employed as the first device, it is possible to realize a service that is highly resistant to fraud from outside. Further, since the terminal 100 has a network booting mechanism, the terminal 100 can be restarted based on the secure start data 403. Further, the service provision by the operation system 120 can be realized by secure information management by the network setting and access authority given to each SIM card.
  • the second SIM card 140 may not be a tamper-resistant structure, and is stored in the second memory 142.
  • Information (second access restriction table 143 and second connection profile 144) may be stored in the disk 103 or the memory 102 of the terminal 100.
  • the SIM card or eSIM card 710 has been described as an example.
  • the functions of the first SIM card 130 and the first SIM card 130 are SIM cards or eSIM cards as long as they are tamper-resistant devices. It is not limited to 710.
  • the terminal 100 is securely communicated between the terminal 100 and the first system via the first network NW1 using the functions of the first SIM card 130 and the first SIM card 130.
  • the function of the first system is stored as a program in a tamper-resistant device (for example, the first SIM card 130, the eSIM card 710, or another tamper-resistant secure module connected to the bus) in the terminal 100. May be.
  • the bus 107 in the terminal 100 is the first network NW1.
  • the terminal 100 and the first device may be configured to transmit and receive data by non-contact communication.
  • the functions in the first system and the second system described above are functions realized by causing a processor in the system to execute a program in the system.
  • the terminal 100 the first system capable of communicating with the terminal 100 via the first network NW1, and executing the first process on the terminal 100, the terminal 100, and the second network NW2 And a second system that executes a second process on the terminal 100 and that is capable of communicating via the terminal 100.
  • the terminal 100 includes a processor 101 that executes a program, a storage device (for example, a disk 103) that stores the program, and a tamper-resistant first device that includes a first memory 132.
  • the first memory 132 defines the first system as a connection destination of the terminal 100, and obtains start data 403 for starting the terminal 100 as a restart method of the terminal 100 from the first system and restarts the first re-start.
  • First attribute information (for example, first connection profile 134) that defines the activation method is stored.
  • the processor 101 performs a first detection process (for example, steps S502 to S505), a first determination process (for example, steps S510 and S511), and a first restart process (for example, step S512).
  • the first detection process detects that communication between the terminal 100 and the first system is enabled and communication between the terminal 100 and the second system is disabled.
  • the restart method of the terminal 100 is determined as the first restart method based on the first attribute information.
  • the first restart process restarts the terminal 100 using the start data 403 acquired from the first system in accordance with the first restart method determined by the first determination process.
  • the terminal 100 can be restarted by the secure startup data 403 in a state where the terminal 100 is disconnected from the second network NW2.
  • the processor 101 determines the connection destination of the terminal 100 as the first system (for example, steps S506 to S508). Further, the processor 101 performs a transmission process (for example, step S510) and a reception process (for example, S511).
  • the transmission process the acquisition request for the activation data 403 is transmitted to the first system determined as the connection destination of the terminal 100 by the first determination process.
  • the reception process receives the activation data 403 from the first system as a result of the acquisition request being transmitted by the transmission process, and stores it in the storage device.
  • the processor 101 restarts the terminal 100 using the start data 403 received by the reception process according to the first restart method.
  • the secure activation data 403 is acquired via the first network NW1, and the terminal 100 can be restarted.
  • the processor 101 determines the connection destination of the terminal 100 as the first system. In addition, the processor 101 performs connection processing for connecting to the first system determined by the first determination processing and causing the first system to execute the first processing after the restart by the first restart processing.
  • the first system can securely execute the first process on the terminal 100 in a state where the terminal 100 is disconnected from the second network NW2.
  • the storage device stores a data group used in the second process
  • the first memory 132 includes first restriction information (for example, first access restriction) that defines whether or not the data group can be accessed when communicating with the first system. Table 133) is stored.
  • the processor 101 connects to the first system after the restart by the first restart process according to the first restriction information, and causes the first system to execute the first process.
  • the first system can securely execute the first process on the terminal 100.
  • the terminal 100 includes a second device including a second memory 142.
  • the second memory 142 defines the second system as a connection destination of the terminal 100, and is used as a storage device as a restart method of the terminal 100.
  • Second attribute information defining the second restart method using the stored start data 403 is stored.
  • the processor 101 performs a second detection process (for example, steps S518 to S521), a second determination process (for example, step S522), and a second restart process (for example, step S523).
  • the second detection process detects that communication between the terminal 100 and the first system is disabled and communication between the terminal 100 and the second system is enabled.
  • the restart method of the terminal 100 is determined as the second restart method based on the second attribute information (for example, the second connection profile 144).
  • the terminal 100 is restarted using the start data 403 stored in the storage device in accordance with the second restart method determined by the second determination process.
  • the terminal 100 can be restarted securely.
  • the processor 101 determines the connection destination of the terminal 100 as the second system. After restart by the second restart process, the processor 101 connects to the second system determined by the second determination process, and executes a connection process that causes the second system to execute the second process.
  • the second system can execute the second process on the terminal 100 that has been restored to the secure state.
  • the second memory 142 stores second restriction information (for example, the second access restriction table 143) that defines whether or not a data group can be accessed when communicating with the second system.
  • second restriction information for example, the second access restriction table 143
  • the second system connects to the second system and causes the second system to execute the second process.
  • the second system NW2 can restore the secure state to the data having the access authority, but the second system can execute the second process after the secure state is restored.
  • the first device can be inserted into and removed from the terminal 100, and in the first detection process, the processor communicates between the terminal 100 and the first system when the first device is inserted into the terminal 100 and connected. Detects that it has been made possible.
  • the terminal 100 is disconnected from the second network NW2 by a simple operation of inserting the first device into the terminal 100, the secure startup data 403 is obtained via the first network NW1, and the terminal 100 is Can be restarted.
  • the second device can be inserted into and removed from the terminal 100.
  • the processor In the first detection process, when the second device is removed from the terminal 100, the processor is in a communication disabled state between the terminal 100 and the second system.
  • the processor In the second detection process, when the first device is removed from the terminal 100, the processor is disabled from communicating between the terminal 100 and the first system, and the second device is When the terminal 100 is inserted and connected, it is detected that communication between the terminal 100 and the second system is possible.
  • the terminal 100 is disconnected from the second network NW2 by a simple operation of removing the second device from the terminal 100 and inserting the first device into the terminal 100, and is secured via the first network NW1.
  • the startup data 403 can be acquired and the terminal 100 can be restarted.
  • the terminal 100 is restored by connecting the communication between the second network NW2 and the secure terminal 100 by a simple operation of removing the first device from the terminal 100 and inserting the second device into the terminal 100. can do.
  • the first device and the second device may be tamper-resistant and integrated devices such as the eSIM card 710.
  • the processor 101 In the first detection process, when the first device is selected from the outside, the processor 101 is in a communication capability state between the terminal 100 and the first system, and communicates between the terminal 100 and the second system. Detect that it was disabled.
  • the processor In the second detection process, when the second device is selected from the outside, the processor is in a communication disabled state between the terminal 100 and the first system, and can communicate between the terminal 100 and the second system. Detects that it was in a state.
  • the first network NW1 is a closed network that enables communication only between the terminal 100 and the first system. Thereby, it is possible to securely communicate between the terminal 100 and the first system.
  • the present invention is not limited to the above-described embodiments, and includes various modifications and equivalent configurations within the scope of the appended claims.
  • the above-described embodiments have been described in detail for easy understanding of the present invention, and the present invention is not necessarily limited to those having all the configurations described.
  • a part of the configuration of one embodiment may be replaced with the configuration of another embodiment.
  • each of the above-described configurations, functions, processing units, processing means, etc. may be realized in hardware by designing a part or all of them, for example, with an integrated circuit, and the processor realizes each function. It may be realized by software by interpreting and executing the program to be executed.
  • Information such as programs, tables, and files for realizing each function is recorded on a memory, a hard disk, a storage device such as SSD (Solid State Drive), or an IC (Integrated Circuit) card, SD card, DVD (Digital Versatile Disc). It can be stored on a medium.
  • SSD Solid State Drive
  • IC Integrated Circuit
  • SD card Digital Card
  • DVD Digital Versatile Disc
  • control lines and information lines indicate what is considered necessary for the explanation, and do not necessarily indicate all control lines and information lines necessary for mounting. In practice, it can be considered that almost all the components are connected to each other.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

A terminal recovery method for a network system, said network system including a terminal, a first system that can communicate with the terminal via a first network and performs first processing on the terminal, and a second system that can communicate with the terminal via a second network and performs second processing on the terminal, wherein: the terminal has a tamper-resistant first device including a first memory; the first memory stores first attribute information that specifies the first system as a system to which the terminal is to connect, and that also specifies a first restart method as a method by which the terminal is to be restarted, said first restart method acquiring restart data for restarting the terminal from the first system, and then restarting the terminal; and when a processor in the terminal detects that the terminal and the first system can currently communicate with each other but the terminal and the second system cannot currently communicate with each other, the processor determines the first restart method as a method by which the terminal is to be restarted, on the basis of the first attribute information, and restarts the terminal in accordance with the first restart method using restart data obtained from the first system.

Description

復旧方法、端末、およびデバイスRecovery method, terminal, and device
 本発明は、ネットワーク上の端末を復旧する復旧方法、ネットワーク上で復旧する端末、および、端末の復旧を支援するデバイスに関する。 The present invention relates to a restoration method for restoring a terminal on a network, a terminal to be restored on a network, and a device that supports the restoration of the terminal.
 ネットワークに接続する端末を用いてサービスを運用しているシステムでは、ネットワークを経由した攻撃者からの攻撃によって、想定外のインシデントが発生する可能性がある。例えば、端末への不正な乗っ取りやデータの書き換えといった不正操作により、端末の動作やネットワークの動作が不安定になり、インシデント発生に至る。インシデントが発生すると、サービス提供品質が劣化をする。 In a system that operates a service using a terminal connected to a network, an unexpected incident may occur due to an attack from an attacker via the network. For example, an unauthorized operation such as unauthorized takeover of the terminal or rewriting of data causes the operation of the terminal or the network to become unstable, resulting in an incident. When an incident occurs, the quality of service provision deteriorates.
 この問題解決のため、インシデント発生時には、素早い対応をして現状復旧してサービスの継続性を得ることが課題になるが、解決手段には、特殊な専門知識や技術が必要とされる。この特殊な専門知識や技術とは、一般的には、インシデント対応プロセスの主なフェーズとして、準備、検知と分析、封じ込め、根絶、復旧、事件後の対応が挙げられる。これらの対応には、訓練してノウハウを蓄積した専門のインシデント対応チームが、必要なツールやリソースを取得することが想定される。例えば、ウィルス対策ソフトウェア、スパイウェア駆除ソフト、ファイル完全性チェックソフトウェア等を駆使して、脆弱性処置を行うことが要求される。 In order to solve this problem, when an incident occurs, it becomes a challenge to quickly respond and restore the current state to obtain service continuity, but special technical knowledge and technology are required for the solution. This special expertise and technology generally includes preparation, detection and analysis, containment, eradication, recovery, and post-incident response as the main phases of the incident response process. For these responses, it is assumed that a specialized incident response team that has trained and accumulated know-how will acquire the necessary tools and resources. For example, it is required to take vulnerability measures by using anti-virus software, spyware removal software, file integrity check software, and the like.
 そのほか、安価な通信手段の普及による接続する機器の大量化が潮流となっており、ネットワークに接続する機器台数と通信データ量とが爆発的に増加するとともに多様化する。したがって、接続機器をいかに管理するかという課題が生じる。今後もこの潮流は続くと一般的に認識されており、こうした課題が深刻になる。 In addition, the number of devices to be connected is increasing due to the spread of inexpensive communication means, and the number of devices connected to the network and the amount of communication data will increase and diversify. Therefore, the problem of how to manage connected devices arises. It is generally recognized that this trend will continue in the future, and these issues will become serious.
 このような課題解決のため、たとえば、特許文献1は、メンテナンスシステムを開示する。メンテナンスシステムは、ユーザ側に設置されてインクジェットプリンタに接続されたプリンタ制御装置と、サービスセンター側に設置されたメンテナンス装置と、プリンタ制御装置とメンテナンス装置との間の通信回線を接続してメンテナンス装置によるインクジェットプリンタのメンテナンスを可能とするメンテナンスアプリケーションが格納されたメンテナンスUSBメモリと、を備える。そして、メンテナンスUSBメモリをプリンタ制御装置に接続してメンテナンスアプリケーションを立ち上げることで、プリンタ制御装置とメンテナンス装置との間の通信回線が接続され、メンテナンス装置により、インクジェットプリンタの診断等が成される。 In order to solve such a problem, for example, Patent Document 1 discloses a maintenance system. The maintenance system includes a printer control device installed on the user side and connected to the ink jet printer, a maintenance device installed on the service center side, and a communication line between the printer control device and the maintenance device connected to the maintenance device. And a maintenance USB memory storing a maintenance application that enables maintenance of the inkjet printer. Then, by connecting the maintenance USB memory to the printer control device and starting the maintenance application, the communication line between the printer control device and the maintenance device is connected, and the inkjet printer is diagnosed by the maintenance device. .
特開2012-59123公報JP2012-59123A
 しかしながら、上述した特許文献1の技術では、端末にUSBデバイスを挿してアプリケーションを立ち上げる保守手段を提供しているが、USBデバイス自身がウィルス等に汚染されている場合、メンテナンスできないという問題がある。 However, although the technique of Patent Document 1 described above provides a maintenance means for starting up an application by inserting a USB device into a terminal, there is a problem that maintenance cannot be performed when the USB device itself is contaminated with a virus or the like. .
 本発明は、端末の復旧の安全性の向上を図ることを目的とする。 The present invention aims to improve the safety of terminal recovery.
 本願において開示される発明の一側面となる復旧方法は、端末と、前記端末と第1ネットワークを介して通信可能でかつ前記端末に第1処理を実行する第1システムと、前記端末と第2ネットワークを介して通信可能でかつ前記端末に第2処理を実行する第2システムと、を有するネットワークシステムにおける前記端末の復旧方法であって、前記端末は、プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、第1メモリを含む耐タンパ性の第1デバイスと、を有し、前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、前記復旧方法では、前記プロセッサは、前記端末と前記第1システムとの間が通信可能状態であり、かつ、前記端末と前記第2システムとの間が通信不能状態であることを検出する第1検出処理と、前記第1検出処理によって前記通信可能状態および前記通信不能状態が検出された場合、前記第1属性情報に基づいて、前記端末の再起動方式を前記第1再起動方式に決定する第1決定処理と、前記第1決定処理によって決定された前記第1再起動方式に従って、前記第1システムから取得された前記起動データを用いて、前記端末を再起動する第1再起動処理と、を実行することを特徴とする。 A recovery method according to one aspect of the invention disclosed in the present application includes: a terminal; a first system capable of communicating with the terminal via a first network; and executing a first process on the terminal; the terminal; A second system capable of communicating via a network and executing a second process on the terminal; and a recovery method for the terminal in a network system, the terminal including a processor for executing a program, the program And a tamper-resistant first device including a first memory, wherein the first memory defines the first system as a connection destination of the terminal, and reconnects the terminal. The first attribute information that defines the first restart method for acquiring the start data for starting the terminal from the first system and restarting as the start method is stored. In the restoration method, the processor detects that the communication between the terminal and the first system is possible and the communication between the terminal and the second system is not possible. When the communication enabled state and the communication disabled state are detected by the detection process and the first detection process, the restart method of the terminal is determined as the first restart method based on the first attribute information. A first determination process, and a first restart process for restarting the terminal using the startup data acquired from the first system in accordance with the first restart method determined by the first determination process. , Is executed.
 また、本願において開示される発明の一側面となる端末は、第1処理を実行する第1システムと第1ネットワークを介して通信可能であり、かつ、第2処理を実行する第2システムと第2ネットワークを介して通信可能な端末であって、プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、第1メモリを含む耐タンパ性の第1デバイスと、を有し、前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、前記プロセッサは、前記端末と前記第1システムとの間が通信可能状態であり、かつ、前記端末と前記第2システムとの間が通信不能状態であることを検出する第1検出処理と、前記第1検出処理によって前記通信可能状態および前記通信不能状態が検出された場合、前記第1属性情報に基づいて、前記端末の再起動方式を前記第1再起動方式に決定する第1決定処理と、前記第1決定処理によって決定された前記第1再起動方式に従って、前記第1システムから取得された前記起動データを用いて、前記端末を再起動する第1再起動処理と、を実行することを特徴とする。 In addition, the terminal according to the aspect of the invention disclosed in the present application can communicate with the first system that executes the first process via the first network, and the second system that executes the second process and the second system. 2 is a terminal that can communicate via a network, and includes a processor that executes a program, a storage device that stores the program, and a tamper-resistant first device that includes a first memory. The memory defines the first system as a connection destination of the terminal, and obtains start data for starting the terminal from the first system as a restart method of the terminal and restarts the first restart method And the processor is in a communicable state between the terminal and the first system, and the terminal and the second system A first detection process for detecting that the communication state is incapable of communication, and when the communication enabled state and the communication disabled state are detected by the first detection process, based on the first attribute information, Using the startup data acquired from the first system in accordance with a first determination process for determining the restart system as the first restart system and the first restart system determined by the first determination process And a first restart process for restarting the terminal.
 また、本願において開示される発明の一側面となるデバイスは、第1処理を実行する第1システムと第1ネットワークを介して通信可能であり、かつ、第2処理を実行する第2システムと第2ネットワークを介して通信可能な端末内に設けられるデバイスであって、前記端末は、前記端末を起動させる起動データを記憶する記憶デバイスを有し、前記デバイスは、第1プロセッサと第1メモリとを有する耐タンパ性のデバイスであり、前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、前記第1プロセッサは、前記端末と前記第1システムとの間が通信可能状態である場合、前記第1属性情報で規定する前記端末の接続先を前記端末に通知する通知処理と、前記通知処理によって前記第1属性情報で規定する前記端末の接続先が前記端末に通知された結果、前記端末と前記第1ネットワークとが接続された場合、前記第1再起動方式を含む再起動要求を前記端末に送信する送信処理と、を実行することを特徴とする。 The device according to one aspect of the invention disclosed in the present application can communicate with the first system that executes the first process via the first network, and the second system and the second system that execute the second process. 2 A device provided in a terminal capable of communicating via a network, the terminal having a storage device for storing startup data for starting the terminal, the device including a first processor, a first memory, The first memory defines the first system as a connection destination of the terminal, and the startup data for starting the terminal as a restart method of the terminal. Storing first attribute information defining a first restart method to be acquired and restarted from the system, wherein the first processor is connected between the terminal and the first system; When in a communicable state, a notification process for notifying the terminal of a connection destination of the terminal specified by the first attribute information, and a connection destination of the terminal specified by the first attribute information by the notification process is the terminal When the terminal is connected to the first network as a result of the notification, a transmission process for transmitting a restart request including the first restart method to the terminal is executed.
 本発明の代表的な実施の形態によれば、端末の復旧の安全性の向上を図ることができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。 According to the representative embodiment of the present invention, it is possible to improve the safety of terminal recovery. Problems, configurations, and effects other than those described above will become apparent from the description of the following embodiments.
図1は、ネットワークシステムのシステム構成例1を示す説明図である。FIG. 1 is an explanatory diagram showing a system configuration example 1 of a network system. 図2は、第1SIMカードおよび第2SIMカードの記憶内容例1を示す説明図である。FIG. 2 is an explanatory diagram showing a storage content example 1 of the first SIM card and the second SIM card. 図3は、第1システムおよび第2システムが有する各種機能の詳細機能の一例を示す説明図である。FIG. 3 is an explanatory diagram illustrating an example of detailed functions of various functions of the first system and the second system. 図4は、端末のディスクに記憶されているデータ群の一例を示す説明図である。FIG. 4 is an explanatory diagram illustrating an example of a data group stored in the disk of the terminal. 図5Aは、ネットワークシステムにおける端末の復旧シーケンス例1(前半)を示すシーケンス図である。FIG. 5A is a sequence diagram illustrating a terminal recovery sequence example 1 (first half) in the network system. 図5Bは、ネットワークシステムにおける端末の復旧シーケンス例1(後半)を示すシーケンス図である。FIG. 5B is a sequence diagram illustrating a terminal recovery sequence example 1 (second half) in the network system. 図6は、ネットワークシステムのシステム構成例2を示す説明図である。FIG. 6 is an explanatory diagram showing a system configuration example 2 of the network system. 図7は、ネットワークシステムのシステム構成例3を示す説明図である。FIG. 7 is an explanatory diagram showing a system configuration example 3 of the network system. 図8は、ネットワークシステムの他の適用例を示す説明図である。FIG. 8 is an explanatory diagram showing another application example of the network system. 図9は、第1SIMカードおよび第2SIMカードの記憶内容例2を示す説明図である。FIG. 9 is an explanatory diagram showing a storage content example 2 of the first SIM card and the second SIM card. 図10は、端末のディスクに記憶されているデータ群の他の例を示す説明図である。FIG. 10 is an explanatory diagram showing another example of the data group stored in the disk of the terminal. 図11Aは、ネットワークシステムにおける端末の復旧シーケンス例2(前半)を示すシーケンス図である。FIG. 11A is a sequence diagram illustrating a terminal recovery sequence example 2 (first half) in the network system. 図11Bは、ネットワークシステムにおける端末の復旧シーケンス例2(後半)を示すシーケンス図である。FIG. 11B is a sequence diagram illustrating a terminal recovery sequence example 2 (second half) in the network system.
 <ネットワークシステムのシステム構成例>
 図1は、ネットワークシステムのシステム構成例1を示す説明図である。ネットワークシステム1は、端末100と、端末100に第1処理を実行する第1システムの一例であるセキュリティ監視システム110と、端末100に第2処理を実行する第2システムの一例である運用システム120と、を有する。端末100は、第1ネットワークNW1を介してセキュリティ監視システム110と通信可能に接続される。また、端末100は、第2ネットワークNW2を介して運用システム120と通信可能に接続される。また、端末100は、メモリ領域を有する耐タンパ性の第1デバイスの一例である第1SIM(Subscriber Identity Module)カード130と、メモリ領域を有する第2デバイスの一例である第2SIMカード140のいずれか一方と通信可能に接続される。 <System configuration example of network system>
FIG. 1 is an explanatory diagram showing a system configuration example 1 of a network system. The network system 1 includes a terminal 100, a security monitoring system 110 that is an example of a first system that executes a first process on the terminal 100, and an operation system 120 that is an example of a second system that executes a second process on the terminal 100. And having. The terminal 100 is communicably connected to the security monitoring system 110 via the first network NW1. In addition, the terminal 100 is connected to the operation system 120 through the second network NW2 so as to be communicable. Further, the terminal 100 is one of a first SIM (Subscriber Identity Module) card 130 that is an example of a tamper-resistant first device having a memory area and a second SIM card 140 that is an example of a second device having a memory area. It is communicably connected to one side.
 セキュリティ監視システム110は、第1処理として脆弱性対策を実行する脆弱性対策機能111と、同じく第1処理として第1ネットワークNW1経由での再起動を実行するブートサーバ機能112とを、端末100に提供するシステムである。なお、システムとは、1台以上のコンピュータが連携する集合体である。 The security monitoring system 110 includes, in the terminal 100, a vulnerability countermeasure function 111 that executes a vulnerability countermeasure as a first process and a boot server function 112 that executes a restart via the first network NW1 as a first process. It is a system to provide. A system is an aggregate in which one or more computers cooperate.
 第1ネットワークNW1は、端末100とセキュリティ監視システム110との間のみを有線または無線で接続する閉域網である。第1ネットワークNW1は、具体的には、たとえば、VPN(Virtual Private Network)などのプライベートネットワークにより構成される。したがって、端末100とセキュリティ監視システム110との間は、セキュアに通信可能である。なお、第1ネットワークNW1は、少なくとも、第2ネットワークNW2よりもセキュアであればよい。 The first network NW1 is a closed network that connects only the terminal 100 and the security monitoring system 110 by wire or wirelessly. Specifically, the first network NW1 is configured by a private network such as a VPN (Virtual Private Network), for example. Therefore, the terminal 100 and the security monitoring system 110 can communicate securely. The first network NW1 only needs to be more secure than the second network NW2.
 運用システム120は、第2処理として第2ネットワークNW2上で提供可能なサービスを運用する運用機能121を端末100に提供するシステムである。運用システム120は、たとえば、第2ネットワークNW2に接続する端末100を管理するMME(Mobility Management Entity)、有料または無料のコンテンツを配信する配信システム、商品の在庫を管理する在庫管理システム、渡航者の入国を管理する入国管理システムを含む。 The operation system 120 is a system that provides the terminal 100 with an operation function 121 that operates a service that can be provided on the second network NW2 as the second processing. The operation system 120 includes, for example, an MME (Mobility Management Entity) that manages the terminal 100 connected to the second network NW2, a distribution system that distributes paid or free content, an inventory management system that manages product inventory, a traveler's inventory Includes an immigration system to manage entry.
 第2ネットワークNW2は、端末100と運用システム120との間を有線または無線で接続する通信網である。第2ネットワークNW2は、たとえば、インターネットなどのオープンなネットワークである。 The second network NW2 is a communication network that connects the terminal 100 and the operation system 120 in a wired or wireless manner. The second network NW2 is an open network such as the Internet, for example.
 端末100は、プロセッサ101と、メモリ102と、ディスク103と、表示デバイス104と、デバイスインターフェース105と、通信インターフェース106と、を含み、バス107により接続される。プロセッサ101は、端末100を制御する。メモリ102は、プロセッサ101の作業エリアとなる。ディスク103は、各種プログラムやデータを記憶する非一時的なまたは一時的な記録媒体である。ディスク103としては、たとえば、HDD(Hard Disk Drive)、フラッシュメモリがある。表示デバイス104は、データを表示画面に表示する。 The terminal 100 includes a processor 101, a memory 102, a disk 103, a display device 104, a device interface 105, and a communication interface 106, and is connected by a bus 107. The processor 101 controls the terminal 100. The memory 102 serves as a work area for the processor 101. The disk 103 is a non-temporary or temporary recording medium that stores various programs and data. Examples of the disk 103 include an HDD (Hard Disk Drive) and a flash memory. The display device 104 displays data on the display screen.
 デバイスインターフェース105は、第1SIMカード130または第2SIMカード140のいずれか一方を挿抜可能なインターフェースである。図1では、デバイスインターフェース105は、1つであるが、複数でもよい(後述)。通信インターフェース106は、第1ネットワークNW1および第2ネットワークNW2と接続し、セキュリティ監視システム110および運用システム120とデータを送受信する。 The device interface 105 is an interface through which either the first SIM card 130 or the second SIM card 140 can be inserted and removed. In FIG. 1, there is one device interface 105, but a plurality of device interfaces 105 (described later) may be used. The communication interface 106 is connected to the first network NW1 and the second network NW2, and transmits / receives data to / from the security monitoring system 110 and the operation system 120.
 第1SIMカード130は、メモリ領域を有する耐タンパ性の第1デバイスの一例である。第1デバイスは、TRM(Tamper Resistant Module)構造など内部に格納された情報を外部から参照できない構造を有するLSI(Large Scale Integration)である。これにより、第1デバイスは、外部からの覗き見を防止するとともに、内部のデータの改ざんを防止する。第1デバイスは、たとえば、内部のプログラム自体を暗号化しておき、実行時に必要な分だけ復号して実行するソフトウェアを有する。また、LSIの表面が空気に触れると記録内容が消滅したり、信号を読み出すプローブを取り付けると動作できなくなるLSIとしてもよい。 The first SIM card 130 is an example of a tamper-resistant first device having a memory area. The first device is an LSI (Large Scale Integration) having a structure such as a TRM (Tamper Resistant Module) structure that cannot store information stored therein. As a result, the first device prevents peeping from the outside and prevents alteration of internal data. For example, the first device has software that encrypts an internal program itself and decrypts and executes it as much as necessary during execution. Further, the LSI may be such that the recorded content disappears when the surface of the LSI is exposed to air, or the LSI becomes inoperable when a probe for reading out a signal is attached.
 第1SIMカード130は、第1プロセッサ131と、第1メモリ132と、を有する。第1プロセッサ131は、第1メモリ132に格納されたプログラムを実行する。また、第1プロセッサ131は、第1アクセス制限テーブル133および第1接続プロファイル134をディスク103にロードする。 The first SIM card 130 has a first processor 131 and a first memory 132. The first processor 131 executes a program stored in the first memory 132. In addition, the first processor 131 loads the first access restriction table 133 and the first connection profile 134 onto the disk 103.
 第1メモリ132は、第1アクセス制限テーブル133および第1接続プロファイル134を記憶する。第1アクセス制限テーブル133は、端末100がディスク103に保有するデータに対するアクセス権限を指定する情報である(図2の(A)を参照。)。第1接続プロファイル134は、第1ネットワークNW1との接続方法を指定する情報である(図2の(A)を参照。)。 The first memory 132 stores a first access restriction table 133 and a first connection profile 134. The first access restriction table 133 is information for designating access authority for data held in the disk 103 by the terminal 100 (see FIG. 2A). The first connection profile 134 is information that designates a connection method with the first network NW1 (see FIG. 2A).
 なお、第1デバイスは、メモリ領域を有する耐タンパ性のデバイスであれば、SIMカードに限定されない。たとえば、第1デバイスは、第1プロセッサ131を含まない耐タンパ性のメモリデバイスでもよい。 The first device is not limited to a SIM card as long as it is a tamper-resistant device having a memory area. For example, the first device may be a tamper-resistant memory device that does not include the first processor 131.
 第2SIMカード140は、メモリ領域を有する第2デバイスの一例である。第2デバイスは、耐タンパ性であることは要求されないが、デバイスインターフェース105を第1SIMカード130と共有するため、SIMカードが採用されている。第2SIMカード140は、第2プロセッサ141と、第2メモリ142と、を有する。第2プロセッサ141は、第2メモリ142に格納されたプログラムを実行する。また、第2プロセッサ141は、第2アクセス制限テーブル143および第2接続プロファイル144をディスク103にロードする。 The second SIM card 140 is an example of a second device having a memory area. The second device is not required to be tamper resistant, but a SIM card is employed to share the device interface 105 with the first SIM card 130. The second SIM card 140 has a second processor 141 and a second memory 142. The second processor 141 executes a program stored in the second memory 142. Further, the second processor 141 loads the second access restriction table 143 and the second connection profile 144 onto the disk 103.
 第2メモリ142は、第2アクセス制限テーブル143および第2接続プロファイル144を記憶する。第2アクセス制限テーブル143は、端末100がディスク103に保有するデータに対するアクセス権限を指定する情報である(図2の(B)を参照。)。第2接続プロファイル144は、第2ネットワークNW2との接続方法を指定する情報である(図2の(B)を参照。)。 The second memory 142 stores a second access restriction table 143 and a second connection profile 144. The second access restriction table 143 is information for designating access authority for data held in the disk 103 by the terminal 100 (see FIG. 2B). The second connection profile 144 is information for designating a connection method with the second network NW2 (see FIG. 2B).
 このネットワークシステムでは、通常の運用時では、端末100には第2SIMカード140が挿入されており、端末100は、第2ネットワークNW2を介して通用システムと通信する。端末100と運用システム120との間で、特定の事象として何らかのインシデントが発生した場合、端末100は、自身でまたは運用システム120からの通知により、インシデント発生を検出する。これにより、端末100の復旧作業が開始する。 In this network system, during normal operation, the second SIM card 140 is inserted into the terminal 100, and the terminal 100 communicates with the general system via the second network NW2. When an incident occurs as a specific event between the terminal 100 and the operation system 120, the terminal 100 detects the occurrence of the incident by itself or by a notification from the operation system 120. Thereby, the recovery work of the terminal 100 starts.
 端末100の保守者は、第2SIMカード140を抜去して第1SIMカード130を端末100に挿入する。これにより、端末100は、第1ネットワークNW1という閉域網にのみ接続された状態となる。そして、端末100は、セキュリティ監視システム110のブートサーバ機能112により、再起動し、脆弱性対策機能111により、脆弱性の対策が施される。これにより、端末100の復旧作業が完了する。その後、端末100の保守者は、第1SIMカード130を抜去して第2SIMカード140を端末100に挿入する。これにより、端末100は、インシデント発生前の状態で、運用システム120と通信することができる。 The maintenance person of the terminal 100 removes the second SIM card 140 and inserts the first SIM card 130 into the terminal 100. As a result, the terminal 100 is connected to only the closed network called the first network NW1. Then, the terminal 100 is restarted by the boot server function 112 of the security monitoring system 110, and the countermeasure against the vulnerability is taken by the vulnerability countermeasure function 111. Thereby, the recovery work of the terminal 100 is completed. Thereafter, the maintenance person of the terminal 100 removes the first SIM card 130 and inserts the second SIM card 140 into the terminal 100. Thereby, the terminal 100 can communicate with the operation system 120 in a state before the incident occurs.
 なお、端末100の保守者は、第1SIMカード130および第2SIMカード140の両方を保有してもよい。また、端末100の保有者の各々は、常時第2SIMカード140のみを保有し、第1SIMカード130を共有してもよい。また、端末100の保有者群が、共有する第1SIMカード130を保管してもよく、他の管理者(たとえば、保守管理サービスを提供する業者)が、共有する第1SIMカード130を保管してもよい。 Note that the maintenance person of the terminal 100 may have both the first SIM card 130 and the second SIM card 140. Further, each owner of the terminal 100 may always hold only the second SIM card 140 and share the first SIM card 130. In addition, a group of owners of the terminal 100 may store the first SIM card 130 to be shared, and another administrator (for example, a supplier providing a maintenance management service) may store the first SIM card 130 to be shared. Also good.
 <SIMカードの記憶内容例>
 図2は、第1SIMカード130および第2SIMカード140の記憶内容例1を示す説明図である。(A)は、第1SIMカード130、(B)は第2SIMカード140の記憶内容例である。第1アクセス制限テーブル133および第2アクセス制限テーブル143は、データ種201と、権限202と、状態203と、を有する。データ種201は、端末100がディスク103に保有するデータの種類を示す。権限202は、当該SIMカードが挿入された場合において、データ種201で特定されるデータに対する動作(読み込み、書き込み)を示す。状態203は、当該SIMカードが挿入された場合において、権限202で特定される動作の許可または禁止を示す。状態203の値(許可または禁止)は、接続相手となる第1システムおよび第2システムによって任意に設定される。 <Example of stored contents of SIM card>
FIG. 2 is an explanatory diagram showing a storage content example 1 of the first SIM card 130 and the second SIM card 140. (A) is an example of stored contents of the first SIM card 130, and (B) is an example of stored contents of the second SIM card 140. The first access restriction table 133 and the second access restriction table 143 have a data type 201, an authority 202, and a state 203. The data type 201 indicates the type of data that the terminal 100 holds in the disk 103. The authority 202 indicates an operation (reading and writing) for data specified by the data type 201 when the SIM card is inserted. A state 203 indicates whether the operation specified by the authority 202 is permitted or prohibited when the SIM card is inserted. The value of state 203 (permitted or prohibited) is arbitrarily set by the first system and the second system that are the connection partners.
 第1接続プロファイル134および第2接続プロファイル144は、接続ネットワーク先204とブート方式205を有する。接続ネットワーク先204は、当該SIMカードが挿入された場合の接続相手となるネットワーク(APN(Access Point Name))を示す。ブート方式205は、当該SIMカードが挿入された場合の端末100の再起動方式を示す。ネットワークブートとは、第1システム(セキュリティ監視システム110)主導で端末100を再起動する方式である。具体的には、たとえば、端末100は、第1ネットワークNW1経由でセキュリティ監視システム110からダウンロードまたは配信された起動データを用いて、再起動する。起動データとは、たとえば、端末100の起動に必要なOSイメージである。一方、端末ブートとは、端末100主導で端末100を再起動する方式である。具体的には、たとえば、端末100は、端末100の操作者からの再起動指示入力をトリガとして、端末100のディスク103に記憶されている起動データを用いて端末100を再起動する。 The first connection profile 134 and the second connection profile 144 have a connection network destination 204 and a boot method 205. The connection network destination 204 indicates a network (APN (Access Point Name)) that is a connection partner when the SIM card is inserted. The boot method 205 indicates a restart method of the terminal 100 when the SIM card is inserted. The network boot is a method for restarting the terminal 100 under the initiative of the first system (security monitoring system 110). Specifically, for example, the terminal 100 restarts using the startup data downloaded or distributed from the security monitoring system 110 via the first network NW1. The activation data is, for example, an OS image necessary for activation of the terminal 100. On the other hand, the terminal boot is a method of restarting the terminal 100 led by the terminal 100. Specifically, for example, the terminal 100 restarts the terminal 100 using the startup data stored in the disk 103 of the terminal 100 using a restart instruction input from the operator of the terminal 100 as a trigger.
 なお、端末100のネットワークブートを実現するネットワークブート機能は、一般的なPXE(Preboot eXecution Enviroment)の規格に従う。具体的には、たとえば、端末100は、通信インターフェース106内に、PXE準拠のネットワーク機能を有し、メモリ102内にPXE準拠のソフトウェアを有するものとする。 Note that the network boot function for realizing the network boot of the terminal 100 conforms to a general PXE (Preboot Execution Environment) standard. Specifically, for example, the terminal 100 has a PXE-compliant network function in the communication interface 106 and PXE-compliant software in the memory 102.
 <システム内の機能例>
 図3は、第1システムおよび第2システムが有する各種機能の詳細機能の一例を示す説明図である。セキュリティ監視システム110において、脆弱性対策機能111は、端末100にセキュリティ対策を実施する。脆弱性対策機能111は、端末100のディスク103に保存されているファイルと照合して、端末100を適正化する。脆弱性対策機能111は、ウィルス除去機能311と、不正アプリケーション停止機能312と、セキュリティパッチ更新機能313と、を有する。ウィルス除去機能311は、端末100のディスク103内の不正なファイルを検知して除去する。不正アプリケーション停止機能312は、セキュリティ監視システム110が保有するホワイトリストにないアプリケーションが端末100のディスク103に格納されている場合に、当該アプリケーションの実行を停止する。セキュリティパッチ更新機能313は、端末100のディスク103内のファームウェアやソフトウェアのセキュリティ情報を最新化する。 <Examples of functions in the system>
FIG. 3 is an explanatory diagram illustrating an example of detailed functions of various functions of the first system and the second system. In the security monitoring system 110, the vulnerability countermeasure function 111 implements security countermeasures for the terminal 100. The vulnerability countermeasure function 111 checks the file stored in the disk 103 of the terminal 100 and optimizes the terminal 100. The vulnerability countermeasure function 111 includes a virus removal function 311, an unauthorized application stop function 312, and a security patch update function 313. The virus removal function 311 detects and removes illegal files in the disk 103 of the terminal 100. The unauthorized application stop function 312 stops the execution of the application when an application that is not in the white list owned by the security monitoring system 110 is stored in the disk 103 of the terminal 100. The security patch update function 313 updates the security information of firmware and software in the disk 103 of the terminal 100.
 ブートサーバ機能112は、端末100の第1ネットワークNW1経由による起動を提供する。ブートサーバ機能112は、ブート環境となるOSイメージを提供するOSイメージ提供機能314と、IPアドレスの払い出しを提供するDHCPサーバ機能315と、を有する。インシデントにより、現在のIPアドレスを使用し続けると、不正アクセスを再度受ける可能性があるため、DHCPサーバ機能315が、ネットワークブート後に利用可能な新しいIPアドレスを提供する。 The boot server function 112 provides activation of the terminal 100 via the first network NW1. The boot server function 112 includes an OS image providing function 314 that provides an OS image serving as a boot environment, and a DHCP server function 315 that provides IP address assignment. The DHCP server function 315 provides a new IP address that can be used after the network boot because the incident may cause unauthorized access again if the current IP address continues to be used due to an incident.
 また、運用システム120において、運用機能121は、たとえば、端末100の稼働状況を管理する。運用機能121は、例えば、コマンドによる端末制御機能321と、通信内容のモニタによる端末監視機能322と、状態を表示する端末管理機能323と、を有する。 Also, in the operation system 120, the operation function 121 manages the operating status of the terminal 100, for example. The operation function 121 includes, for example, a terminal control function 321 based on a command, a terminal monitoring function 322 based on a communication content monitor, and a terminal management function 323 that displays a status.
 <ディスク103内のデータ群の一例>
 図4は、端末100のディスク103に記憶されているデータ群の一例を示す説明図である。ディスク103には、データ群として、運用データ401と、設定データ402と、起動データ403と、が記憶されている。運用データ401は、例えば、端末100で収集した稼働データ411やマイナンバーといった個人情報、人物のプライバシーが記録された監視カメラ映像412である。設定データ402は、例えば、端末100の挙動を変更するネットワークコンフィグ値421やアプリケーション設定値422である。起動データ403は、端末100を起動させるためのOSイメージ430である。 <Example of data group in disk 103>
FIG. 4 is an explanatory diagram illustrating an example of a data group stored in the disk 103 of the terminal 100. The disk 103 stores operation data 401, setting data 402, and activation data 403 as a data group. The operation data 401 is, for example, surveillance camera video 412 in which personal information such as operation data 411 collected by the terminal 100 and personal numbers and personal privacy are recorded. The setting data 402 is, for example, a network configuration value 421 or an application setting value 422 that changes the behavior of the terminal 100. The activation data 403 is an OS image 430 for activating the terminal 100.
 <復旧シーケンス例1>
 図5Aおよび図5Bは、ネットワークシステム1における端末100の復旧シーケンス例1を示すシーケンス図である。なお、端末100には、第2SIMカード140が挿入されて認識されており、端末100は、第2ネットワークNW2に接続されているものとする。 <Recovery sequence example 1>
5A and 5B are sequence diagrams showing a restoration sequence example 1 of the terminal 100 in the network system 1. It is assumed that the second SIM card 140 is inserted into the terminal 100 and recognized, and the terminal 100 is connected to the second network NW2.
 図5Aにおいて、運用システム120は、第2ネットワークNW2経由でインシデント通知をおこなう(ステップS501)。具体的には、たとえば、運用システム120は、計画外の端末100の設定データ402の変更を確認した場合や、端末100のデータがクラッシュしている状況を確認した場合、特定の端末100へのアクセスが極端に遅いといった状況を確認した場合に、インシデントが発生したとして、インシデント通知をおこなう。 In FIG. 5A, the operation system 120 notifies the incident via the second network NW2 (step S501). Specifically, for example, when the operation system 120 confirms the change of the setting data 402 of the unplanned terminal 100 or confirms the situation where the data of the terminal 100 has crashed, When a situation where access is extremely slow is confirmed, an incident is notified that an incident has occurred.
 端末100は、インシデント通知を受信して、当該インシデント通知の内容を確認することで、インシデントを検出する(ステップS502)。インシデントを検出すると、端末100は、表示デバイス104の表示画面にその旨およびSIMカードの交換を促す情報を表示する。これにより、端末100の保守者は、第2SIMカード140をデバイスインターフェース105から抜去する。 The terminal 100 receives the incident notification and detects the incident by confirming the content of the incident notification (step S502). When the incident is detected, the terminal 100 displays a message to that effect and information prompting the replacement of the SIM card on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 removes the second SIM card 140 from the device interface 105.
 端末100は、第2SIMカード140の抜去を検出すると(ステップS503)、第2ネットワークNW2との通信を切断する(ステップS504)。当該切断が検出されると、端末100は、表示デバイス104の表示画面にその旨および第1SIMカード130の挿入を促す情報を表示する。これにより、端末100の保守者は、第1SIMカード130をデバイスインターフェース105に挿入する。 When the terminal 100 detects removal of the second SIM card 140 (step S503), the terminal 100 disconnects communication with the second network NW2 (step S504). When the disconnection is detected, the terminal 100 displays a message to that effect and information prompting the insertion of the first SIM card 130 on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 inserts the first SIM card 130 into the device interface 105.
 端末100は、第1SIMカード130の挿入を検出すると(ステップS505)、端末100は、第1SIMカード130を認識する。これにより、第1SIMカード130の第1プロセッサ131は、端末100に接続先を通知する(ステップS506)。具体的には、たとえば、第1プロセッサ131は、第1接続プロファイル134の接続ネットワーク先204である「第1ネットワークNW1」を端末100のディスク103にロードする。 When the terminal 100 detects the insertion of the first SIM card 130 (step S505), the terminal 100 recognizes the first SIM card 130. As a result, the first processor 131 of the first SIM card 130 notifies the terminal 100 of the connection destination (step S506). Specifically, for example, the first processor 131 loads “first network NW1”, which is the connection network destination 204 of the first connection profile 134, into the disk 103 of the terminal 100.
 端末100は、通知された接続先「第1ネットワークNW1」と接続し(ステップS507)、セキュリティ監視システム110とセキュアに通信可能な状態となる。端末100は、第1ネットワークNW1との接続完了通知を第1SIMカード130に送信する(ステップS508)。 The terminal 100 is connected to the notified connection destination “first network NW1” (step S507), and is in a state where it can communicate securely with the security monitoring system 110. The terminal 100 transmits a connection completion notification with the first network NW1 to the first SIM card 130 (step S508).
 第1SIMカード130の第1プロセッサ131は、接続完了通知を受信すると、ネットワークブート要求を端末100に送信する(ステップS509)。具体的には、たとえば、第1プロセッサ131は、第1接続プロファイル134のブート方式205である「ネットワークブート」を端末100のディスク103にロードする。これにより、端末100は、第1ネットワークNW1経由でセキュリティ監視システム110にネットワークブート要求を送信する(ステップS510)。 When receiving the connection completion notification, the first processor 131 of the first SIM card 130 transmits a network boot request to the terminal 100 (step S509). Specifically, for example, the first processor 131 loads “network boot”, which is the boot method 205 of the first connection profile 134, into the disk 103 of the terminal 100. Thereby, the terminal 100 transmits a network boot request to the security monitoring system 110 via the first network NW1 (step S510).
 セキュリティ監視システム110は、端末100にOSイメージ430およびIPアドレスを送信する(ステップS511)。端末100は、受信したOSイメージ430でネットワークブートを実行する(ステップS512)。具体的には、たとえば、端末100は、ディスク103のOSイメージ430(起動プログラム)を上書きして、上書き後のセキュアなOSイメージ430で再起動する。 The security monitoring system 110 transmits the OS image 430 and the IP address to the terminal 100 (step S511). The terminal 100 executes network boot with the received OS image 430 (step S512). Specifically, for example, the terminal 100 overwrites the OS image 430 (startup program) on the disk 103 and restarts with the secure OS image 430 after overwriting.
 第1SIMカード130の第1プロセッサ131は、セキュアな再起動後に、第1アクセス制限テーブル133をディスク103にロードする(ステップS513)。これにより、端末100は、第1アクセス制限テーブル133を、アクセス対象となるテーブルに設定する(ステップS514)。これにより、第1プロセッサ131は、図2の(A)に示したように、運用データ401へのアクセス(読み込みおよび書き込み)することができなくなり、設定データ402にはアクセスできることになる。 The first processor 131 of the first SIM card 130 loads the first access restriction table 133 onto the disk 103 after secure restart (step S513). Thereby, the terminal 100 sets the first access restriction table 133 as a table to be accessed (step S514). As a result, the first processor 131 cannot access (read and write) the operation data 401 and can access the setting data 402 as shown in FIG.
 そして、端末100は、セキュリティ監視システム110に、端末100のファイルを適正化する脆弱性処置要求を、第1ネットワークNW1経由で送信する(ステップS515)。セキュリティ監視システム110は、脆弱性処置要求を受信すると、脆弱性対策機能111により脆弱性処置を実行する(ステップS516)。具体的には、たとえば、セキュリティ監視システム110は、端末100が第1アクセス制限テーブル133を適用した状況下で、端末100に脆弱性対策などのサービスを実行する。脆弱性処置が終わると、セキュリティ監視システム110は、脆弱性処置完了通知を端末100に送信する(ステップS517)。 Then, the terminal 100 transmits a vulnerability treatment request for optimizing the file of the terminal 100 to the security monitoring system 110 via the first network NW1 (step S515). Upon receiving the vulnerability action request, the security monitoring system 110 executes the vulnerability action by the vulnerability countermeasure function 111 (step S516). Specifically, for example, the security monitoring system 110 executes services such as vulnerability countermeasures on the terminal 100 in a situation where the terminal 100 applies the first access restriction table 133. When the vulnerability treatment is finished, the security monitoring system 110 transmits a vulnerability treatment completion notification to the terminal 100 (step S517).
 図5Bにおいて、端末100は、セキュリティ監視システム110からの脆弱性処置完了通知を受信した場合、脆弱性処置の完了を検出し(ステップS518)、端末100は、表示デバイス104の表示画面にその旨およびSIMカードの交換を促す情報を表示する。これにより、端末100の保守者は、第1SIMカード130をデバイスインターフェース105から抜去する。 In FIG. 5B, when the terminal 100 receives the vulnerability treatment completion notification from the security monitoring system 110, the terminal 100 detects the completion of the vulnerability treatment (step S518), and the terminal 100 displays the message on the display screen of the display device 104. And information for prompting replacement of the SIM card is displayed. As a result, the maintenance person of the terminal 100 removes the first SIM card 130 from the device interface 105.
 端末100は、第1SIMカード130の抜去を検出すると(ステップS519)、第1ネットワークNW1との通信を切断する(ステップS520)。当該切断が検出されると、端末100は、表示デバイス104の表示画面にその旨および第2SIMカード140の挿入を促す情報を表示する。これにより、端末100の保守者は、第2SIMカード140をデバイスインターフェース105に挿入する。 When the terminal 100 detects removal of the first SIM card 130 (step S519), the terminal 100 disconnects communication with the first network NW1 (step S520). When the disconnection is detected, the terminal 100 displays a message to that effect and information prompting the insertion of the second SIM card 140 on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 inserts the second SIM card 140 into the device interface 105.
 端末100は、第2SIMカード140の挿入を検出すると(ステップS521)、端末100は、第2SIMカード140を認識する。これにより、第2SIMカード140の第2プロセッサ141は、ブート方式205を端末100に通知する(ステップS522)。具体的には、たとえば、第2プロセッサ141は、第2接続プロファイル144のブート方式205である「端末ブート」を端末100のディスク103にロードする。 When the terminal 100 detects the insertion of the second SIM card 140 (step S521), the terminal 100 recognizes the second SIM card 140. Accordingly, the second processor 141 of the second SIM card 140 notifies the terminal 100 of the boot method 205 (step S522). Specifically, for example, the second processor 141 loads “terminal boot”, which is the boot method 205 of the second connection profile 144, into the disk 103 of the terminal 100.
 端末100は、通知されたブート方式「端末ブート」に従って、ディスク103に保存済みのOSイメージ430を用いて端末ブート、すなわち、再起動する(ステップS523)。第2SIMカード140の第2プロセッサ141は、当該再起動により、第2アクセス制限テーブル143をディスク103にロードする(ステップS524)。これにより、端末100は、第2アクセス制限テーブル143を、アクセス対象となるテーブルに設定する(ステップS525)。これにより、第2プロセッサ141は、図2の(B)に示したように、運用データ401へのアクセス(読み込みおよび書き込み)が可能になる。 The terminal 100 performs terminal boot, that is, restarts using the OS image 430 stored in the disk 103 according to the notified boot method “terminal boot” (step S523). The second processor 141 of the second SIM card 140 loads the second access restriction table 143 onto the disk 103 by the restart (step S524). Thereby, the terminal 100 sets the second access restriction table 143 as a table to be accessed (step S525). As a result, the second processor 141 can access (read and write) the operational data 401 as shown in FIG.
 また、第2SIMカード140の第2プロセッサ141は、端末100に接続先を通知する(ステップS526)。具体的には、たとえば、第2プロセッサ141は、第2接続プロファイル144の接続ネットワーク先204である「第2ネットワークNW2」を端末100のディスク103にロードする。 Also, the second processor 141 of the second SIM card 140 notifies the terminal 100 of the connection destination (step S526). Specifically, for example, the second processor 141 loads “second network NW2”, which is the connection network destination 204 of the second connection profile 144, to the disk 103 of the terminal 100.
 端末100は、通知された接続先「第2ネットワークNW2」と接続し(ステップS527)、運用システム120と通信可能な状態となる。そして、端末100は、正常性通知を運用システム120に送信し(ステップS528)、運用システム120は、正常性通知を受信することで、端末100の正常性、すなわち、セキュアに復旧されたことを確認する(ステップS529)。これにより、運用システム120は、端末100に第2処理(運用機能121)を実行する。 The terminal 100 is connected to the notified connection destination “second network NW2” (step S527), and can communicate with the operation system 120. Then, the terminal 100 transmits a normality notification to the operation system 120 (step S528), and the operation system 120 receives the normality notification, thereby confirming that the terminal 100 is normal, that is, has been securely restored. Confirmation is made (step S529). Accordingly, the operation system 120 executes the second process (operation function 121) on the terminal 100.
 このように、本実施例によれば、SIMカードの交換操作によって、ネットワーク遮断を行うことにより、インシデント被害の拡散を防ぐことができる。また、保守者のセキュリティの特別な知識や技術を必要とせずに、SIMカードの交換操作という単純な操作により、端末100の脆弱性処置を実現することができる。また、第1デバイスとして、耐タンパ性のセキュアモジュールを採用するため、外部からの不正に対して耐性が強いサービスを実現できる。さらに、端末100にネットワークブートする機構を有するため、セキュアな起動データ403を元に、端末100を再起動することができる。また、SIMカードごとに付与されたネットワーク設定やアクセス権限により、セキュアな情報管理で運用システム120によるサービス提供を実現することができる。 As described above, according to the present embodiment, it is possible to prevent the spread of incident damage by cutting off the network by replacing the SIM card. Further, the vulnerability treatment of the terminal 100 can be realized by a simple operation such as the replacement operation of the SIM card without requiring special knowledge and technology of the security of the maintenance person. In addition, since a tamper-resistant secure module is employed as the first device, it is possible to realize a service that is highly resistant to fraud from the outside. Further, since the terminal 100 has a network booting mechanism, the terminal 100 can be restarted based on the secure start data 403. Further, the service provision by the operation system 120 can be realized by secure information management by the network setting and access authority given to each SIM card.
 また、上述した例では、第1SIMカード130および第2SIMカード140でデバイスインターフェース105を共有する例について説明したが、端末100は、第1SIMカード130および第2SIMカード140の両方を、第1デバイスインターフェース105と第2デバイスインターフェース105とを有してもよい。 In the above-described example, the example in which the device interface 105 is shared by the first SIM card 130 and the second SIM card 140 has been described. However, the terminal 100 uses both the first SIM card 130 and the second SIM card 140 as the first device interface. 105 and the second device interface 105 may be included.
 <ネットワークシステム1のシステム構成例2>
 図6は、ネットワークシステム1のシステム構成例2を示す説明図である。端末100は、第1デバイスインターフェース601と第2デバイスインターフェース602とを有する。第1デバイスインターフェース601には、第1SIMカード130が挿抜可能である。また、第2デバイスインターフェース602には、第2SIMカード140が挿抜可能である。 <System configuration example 2 of network system 1>
FIG. 6 is an explanatory diagram showing a system configuration example 2 of the network system 1. The terminal 100 includes a first device interface 601 and a second device interface 602. The first SIM card 130 can be inserted into and removed from the first device interface 601. Further, the second SIM card 140 can be inserted into and removed from the second device interface 602.
 図6の端末100の構成の場合、図5Aでは、第2SIMカード140の抜去検出(ステップS503)については、同様に抜去してもよいが、保守者の操作入力により、プロセッサが、第2SIMカード140とバス107との間の通信を切断してもよい。これにより、第2SIMカード140を抜去しなくても、端末100のプロセッサ101は、第2SIMカード140が抜去されたと判断して、端末100と第2ネットワークNW2との通信が切断されることになる(ステップS504)。 In the case of the configuration of the terminal 100 in FIG. 6, in FIG. 5A, the removal detection (step S503) of the second SIM card 140 may be performed in the same manner. Communication between 140 and the bus 107 may be disconnected. Thereby, even if the second SIM card 140 is not removed, the processor 101 of the terminal 100 determines that the second SIM card 140 has been removed, and the communication between the terminal 100 and the second network NW2 is disconnected. (Step S504).
 図5Bにおいても、第1SIMカード130の抜去検出(ステップS519)については、同様に抜去してもよいが、保守者の操作入力により、プロセッサが、第1SIMカード130とバスとの間の通信を切断してもよい。これにより、第1SIMカード130を抜去しなくても、端末100のプロセッサは、第1SIMカード130が抜去されたと判断して、端末100と第1ネットワークNW1との通信が切断されることになる(ステップS520)。 Also in FIG. 5B, the removal detection (step S519) of the first SIM card 130 may be similarly performed, but the processor performs communication between the first SIM card 130 and the bus by the operation input of the maintenance person. It may be cut. Thereby, even if the first SIM card 130 is not removed, the processor of the terminal 100 determines that the first SIM card 130 has been removed, and the communication between the terminal 100 and the first network NW1 is disconnected ( Step S520).
 このように、図6の端末100の構成では、常時第1SIMカード130と第2SIMカード140は挿入状態であるため、保守者は、第1SIMカード130と第2SIMカード140の挿抜をする必要がない。したがって、第1SIMカード130と第2SIMカード140の挿抜による紛失を抑制することができる。 As described above, in the configuration of the terminal 100 in FIG. 6, the first SIM card 130 and the second SIM card 140 are always inserted, so that the maintenance person does not need to insert or remove the first SIM card 130 and the second SIM card 140. . Therefore, loss due to insertion / extraction of the first SIM card 130 and the second SIM card 140 can be suppressed.
 また、図1~図6では、SIMカードを用いた例について説明したが、端末100に内蔵される1枚のeSIM(embedded SIM)カードにより、第1デバイスおよび第2デバイスを実現してもよい。 In addition, although the example using the SIM card has been described in FIGS. 1 to 6, the first device and the second device may be realized by one eSIM (embedded SIM) card built in the terminal 100. .
 <ネットワークシステム1のシステム構成例3>
 図7は、ネットワークシステム1のシステム構成例3を示す説明図である。図7では、図1や図6のように、端末100には、デバイスインターフェース105、第1デバイスインターフェース601、および第2デバイスインターフェース602が存在しない。 <System configuration example 3 of network system 1>
FIG. 7 is an explanatory diagram showing a system configuration example 3 of the network system 1. 7, the terminal 100 does not have the device interface 105, the first device interface 601, and the second device interface 602 as shown in FIG. 1 and FIG.
 eSIMカード710は、差し替えしなくても通信事業者のサービスをソフトウェア的に切り替え可能なデバイスである。eSIMカード710については、GSMA Associationから「Embedded SIM Remote Provisioning Architecture」として標準仕様が策定されている。eSIMは、SIMカードに登録されている通信事業者をOTA(Over The Air)技術を利用して、MNO(Mobile Network Operator)である第3ネットワークNW3経由で遠隔で更新可能とする技術である。 The eSIM card 710 is a device that can switch the service of a communication carrier in software without replacement. For the eSIM card 710, a standard specification has been formulated as “Embedded SIM Remote Provisioning Architecture” by GSMA Association. eSIM is a technology that allows a communication carrier registered in a SIM card to be updated remotely via a third network NW3, which is an MNO (Mobile Network Operator), using OTA (Over The Air) technology.
 eSIMカード710は、SIMカード単体の機能として接続プロファイルの切り替えを指示するのではなく、Subscription Manager701と呼ばれる外部装置からのスイッチ指示によりeSIMカード710内の第1接続プロファイル134と第2接続プロファイル144とを切り替える。Subscription Manager701は、MNO(Mobile Network Operator)である第3ネットワークNW3が保有し、かつ、管理する。 The eSIM card 710 does not instruct switching of the connection profile as a function of the SIM card alone, but the first connection profile 134 and the second connection profile 144 in the eSIM card 710 according to a switch instruction from an external device called Subscription Manager 701. Switch. The subscription manager 701 is owned and managed by the third network NW3 which is an MNO (Mobile Network Operator).
 eSIMカード710は、第3プロセッサ711と、第3メモリ712と、を有する耐タンパ性のセキュアなデバイスであり、バス107に接続される。第3メモリ712には、第1アクセス制限テーブル133と、第1接続プロファイル134と、第2アクセス制限テーブル143と、第2接続プロファイル144と、が記憶される。eSIMカード710の場合、第3プロセッサ711と、第3メモリ712内の第1アクセス制限テーブル133および第1接続プロファイル134と、が、第1SIMカード130に対応し(以下、「第1SIMカード130の機能」と称す。)、第3プロセッサ711と、第3メモリ712内の第2アクセス制限テーブル143および第2接続プロファイル144と、が、第2SIMカード140に対応する(以下、「第2SIMカード140の機能」と称す。)。 The eSIM card 710 is a tamper-resistant secure device having a third processor 711 and a third memory 712, and is connected to the bus 107. The third memory 712 stores a first access restriction table 133, a first connection profile 134, a second access restriction table 143, and a second connection profile 144. In the case of the eSIM card 710, the third processor 711, the first access restriction table 133 and the first connection profile 134 in the third memory 712 correspond to the first SIM card 130 (hereinafter referred to as “the first SIM card 130 The third processor 711, the second access restriction table 143 and the second connection profile 144 in the third memory 712 correspond to the second SIM card 140 (hereinafter referred to as “second SIM card 140”). Is called "function of".)
 eSIMカード710を内蔵する端末100については、Subscription Manager701からの操作により、端末100は、第1SIMカード130の機能と、第2SIMカード140の機能とを、ソフトウェア的に切り替える。たとえば、図5AのステップS503では、Subscription Manager701からの操作により、端末100は、第2SIMカード140の機能をOFFにして、疑似的な抜去状態とする。これにより、ステップS503では、端末100は、第2SIMカード140の機能の抜去を検出する。 As for the terminal 100 having the built-in eSIM card 710, the terminal 100 switches the function of the first SIM card 130 and the function of the second SIM card 140 by software from the subscription manager 701. For example, in step S503 of FIG. 5A, the terminal 100 turns off the function of the second SIM card 140 by the operation from the subscription manager 701 to put it in a pseudo removal state. Thereby, in step S503, the terminal 100 detects removal of the function of the second SIM card 140.
 また、図5AのステップS505では、Subscription Manager701からの操作により、端末100は、第1SIMカード130の機能をONにして、疑似的な挿入状態とする。これにより、ステップS505では、端末100は、第1SIMカード130の機能の挿入を検出する。 In step S505 of FIG. 5A, the terminal 100 turns on the function of the first SIM card 130 and puts it into a pseudo insertion state by an operation from the subscription manager 701. Thereby, in step S505, the terminal 100 detects the insertion of the function of the first SIM card 130.
 また、図5BのステップS519では、Subscription Manager701からの操作により、端末100は、第1SIMカード130の機能をOFFにして、疑似的な抜去状態とする。これにより、ステップS519では、端末100は、第1SIMカード130の機能の抜去を検出する。 Further, in step S519 in FIG. 5B, the terminal 100 turns off the function of the first SIM card 130 by the operation from the subscription manager 701 to put it in a pseudo removal state. Thereby, in step S519, the terminal 100 detects removal of the function of the first SIM card 130.
 また、図5BのステップS521では、Subscription Manager701からの操作により、端末100は、第2SIMカード140の機能をONにして、疑似的な挿入状態とする。これにより、ステップS521では、端末100は、第2SIMカード140の機能の挿入を検出する。 Further, in step S521 in FIG. 5B, the terminal 100 turns on the function of the second SIM card 140 and puts it in a pseudo insertion state by an operation from the subscription manager 701. Thereby, in step S521, the terminal 100 detects insertion of the function of the second SIM card 140.
 このように、eSIMカード710を適用することにより、SIMカードの差し替えをすることなく切り替えることができ、SIMカードの紛失を防止することができる。 Thus, by applying the eSIM card 710, switching can be performed without replacing the SIM card, and loss of the SIM card can be prevented.
 <ネットワークシステム1の他の適用例>
 図8は、ネットワークシステム1の他の適用例を示す説明図である。図8は、適用するサービスが異なる例である。なお、図8は、図1と同じシステム構成であるが、図6または図7の構成例も適用可能である。 <Another application example of the network system 1>
FIG. 8 is an explanatory diagram illustrating another application example of the network system 1. FIG. 8 is an example in which different services are applied. 8 has the same system configuration as that of FIG. 1, but the configuration example of FIG. 6 or 7 can also be applied.
 図8では、第1システムは、例として、資産管理システム800である。資産管理システム800は、たとえば、レンタル機器会社が運営するシステムである。資産管理システム800は、ライフサイクル管理機能801と、ブートサーバ機能112と、を有する。ライフサイクル管理機能801は、端末100のライフサイクルを管理する機能である。 In FIG. 8, the first system is an asset management system 800 as an example. The asset management system 800 is a system operated by a rental equipment company, for example. The asset management system 800 has a life cycle management function 801 and a boot server function 112. The life cycle management function 801 is a function for managing the life cycle of the terminal 100.
 図9は、第1SIMカード130および第2SIMカード140の記憶内容例2を示す説明図である。(A)は、第1SIMカード130、(B)は第2SIMカード140の記憶内容例である。第1アクセス制限テーブル133および第2アクセス制限テーブル143のデータ種201には、運用データ401および設定データ402のほか、固有データ1004が格納される。第2SIMカード140の挿入時では、固有データ1004の読み込みが禁止されているが、第1SIMカード130の挿入時では、固有データ1004の読み込みが許可される。 FIG. 9 is an explanatory diagram showing a storage content example 2 of the first SIM card 130 and the second SIM card 140. (A) is an example of stored contents of the first SIM card 130, and (B) is an example of stored contents of the second SIM card 140. The data type 201 of the first access restriction table 133 and the second access restriction table 143 stores unique data 1004 in addition to the operation data 401 and the setting data 402. Reading of the unique data 1004 is prohibited when the second SIM card 140 is inserted, but reading of the unique data 1004 is permitted when the first SIM card 130 is inserted.
 図10は、端末100のディスク103に記憶されているデータ群の他の例を示す説明図である。ディスク103には、運用データ401と、設定データ402と、起動データ403と、固有データ1004と、が記憶されている。運用データ401は、例えば、資産管理データ1010である。設定データ402は、例えば、端末100の挙動を変更するネットワークコンフィグ値421やアプリケーション設定値422である。起動データ403は、端末100を起動させるためのOSイメージ430である。固有データ1004は、製造番号1041や製造年月日1042、電源投入日1043等の端末100に固有なデータである。 FIG. 10 is an explanatory diagram showing another example of a data group stored in the disk 103 of the terminal 100. The disk 103 stores operation data 401, setting data 402, startup data 403, and unique data 1004. The operational data 401 is, for example, asset management data 1010. The setting data 402 is, for example, a network configuration value 421 or an application setting value 422 that changes the behavior of the terminal 100. The activation data 403 is an OS image 430 for activating the terminal 100. The unique data 1004 is data unique to the terminal 100 such as the production number 1041, the production date 1042, and the power-on date 1043.
 <復旧シーケンス例2>
 図11Aおよび図11Bは、ネットワークシステム1における端末100の復旧シーケンス例2を示すシーケンス図である。なお、端末100には、第2SIMカード140が挿入されて認識されており、端末100は、第2ネットワークNW2に接続されているものとする。 <Recovery sequence example 2>
FIG. 11A and FIG. 11B are sequence diagrams showing a restoration sequence example 2 of the terminal 100 in the network system 1. It is assumed that the second SIM card 140 is inserted into the terminal 100 and recognized, and the terminal 100 is connected to the second network NW2.
 図11Aにおいて、運用システム120は、第2ネットワークNW2経由で点検要求通知をおこなう(ステップS1101)。具体的には、たとえば、運用システム120は、端末100のライフサイクルを点検すべき通知を、定期的にまたは不定期に、端末100に送信する。 In FIG. 11A, the operation system 120 sends an inspection request notification via the second network NW2 (step S1101). Specifically, for example, the operation system 120 transmits a notification to check the life cycle of the terminal 100 to the terminal 100 regularly or irregularly.
 端末100は、点検要求通知を受信して、当該点検要求通知の内容を確認することで、点検要求を検出する(ステップS1102)。点検要求を検出すると、端末100は、表示デバイス104の表示画面にその旨およびSIMカードの交換を促す情報を表示する。これにより、端末100の保守者は、第2SIMカード140をデバイスインターフェース105から抜去する。 The terminal 100 detects the inspection request by receiving the inspection request notification and confirming the content of the inspection request notification (step S1102). When the inspection request is detected, the terminal 100 displays a message to that effect and information for prompting the replacement of the SIM card on the display screen of the display device 104. Thereby, the maintenance person of the terminal 100 removes the second SIM card 140 from the device interface 105.
 図11Aにおいて、ステップS1101~ステップS1114までの処理は、図5AのステップS503~S514と同一処理であるため、説明を省略する。 In FIG. 11A, the processing from step S1101 to step S1114 is the same as that from step S503 to S514 in FIG.
 端末100は、第1アクセス制限テーブル133にしたがって固有データ1004を読み出し、資産管理システム800に、固有データ1004を第1ネットワークNW1経由で送信する(ステップS1115)。資産管理システム800は、固有データ1004を受信すると、ライフサイクル管理を実行する(ステップS1116)。ライフサイクル管理が終わると、資産管理システム800は、ライフサイクル管理完了通知を端末100に送信する(ステップS1117)。 The terminal 100 reads the unique data 1004 according to the first access restriction table 133 and transmits the unique data 1004 to the asset management system 800 via the first network NW1 (step S1115). Upon receiving the specific data 1004, the asset management system 800 performs life cycle management (step S1116). When the life cycle management is completed, the asset management system 800 transmits a life cycle management completion notification to the terminal 100 (step S1117).
 図11Bにおいて、端末100は、資産管理システム800からのライフサイクル管理完了通知を受信した場合、ライフサイクル管理の完了を検出し(ステップS1118)、端末100は、表示デバイス104の表示画面にその旨およびSIMカードの交換を促す情報を表示する。これにより、端末100の保守者は、第1SIMカード130をデバイスインターフェース105から抜去する。 In FIG. 11B, when the terminal 100 receives the life cycle management completion notification from the asset management system 800, the terminal 100 detects the completion of the life cycle management (step S1118), and the terminal 100 displays that on the display screen of the display device 104. And information for prompting replacement of the SIM card is displayed. As a result, the maintenance person of the terminal 100 removes the first SIM card 130 from the device interface 105.
 図11BのステップS1119~S1127までの処理は、図5BのステップS519~S527と同一処理であるため、説明を省略する。 The processing from step S1119 to S1127 in FIG. 11B is the same as the processing from step S519 to S527 in FIG.
 端末100は、点検完了通知を運用システム120に送信し(ステップS1128)、運用システム120は、点検完了通知を受信することで、端末100の正常性、すなわち、セキュアに復旧されたことを確認する(ステップS1129)。 The terminal 100 transmits an inspection completion notification to the operation system 120 (step S1128), and the operation system 120 receives the inspection completion notification to confirm that the terminal 100 is normal, that is, has been securely restored. (Step S1129).
 このように、本実施例によれば、資産管理システム800の棚卸用途に、ライフサイクル管理といった端末100の資産管理サービスが、端末100内に保存された運用データ401や設定データ402にアクセスすることがなく提供される。したがって、サービスに必要最小限な端末100の固有データ1004を連携することが可能になる。 Thus, according to the present embodiment, the asset management service of the terminal 100 such as life cycle management accesses the operation data 401 and the setting data 402 stored in the terminal 100 for the inventory use of the asset management system 800. Provided without. Therefore, it is possible to link the unique data 1004 of the terminal 100 that is the minimum necessary for the service.
 また、SIMカードの交換操作によって、ネットワーク遮断を行うことにより、固有データ1004の拡散を防ぐことができる。また、保守者のセキュリティの特別な知識や技術を必要とせずに、SIMカードの交換操作という単純な操作により、端末100のライフサイクル管理を実現することができる。また、第1デバイスとして、耐タンパ性のセキュアモジュールを採用するため、外部からの不正に対して耐性が強いサービスを実現できる。さらに、端末100にネットワークブートする機構を有するため、セキュアな起動データ403を元に、端末100を再起動することができる。また、SIMカードごとに付与されたネットワーク設定やアクセス権限により、セキュアな情報管理で運用システム120によるサービス提供を実現することができる。 In addition, spreading of the unique data 1004 can be prevented by blocking the network by the SIM card exchange operation. Further, the life cycle management of the terminal 100 can be realized by a simple operation such as replacement of the SIM card without requiring special knowledge and technology of the security of the maintenance person. In addition, since a tamper-resistant secure module is employed as the first device, it is possible to realize a service that is highly resistant to fraud from outside. Further, since the terminal 100 has a network booting mechanism, the terminal 100 can be restarted based on the secure start data 403. Further, the service provision by the operation system 120 can be realized by secure information management by the network setting and access authority given to each SIM card.
 また、上述した例では、第2デバイスとして、第2SIMカード140を用いた例について説明したが、第2SIMカード140は、耐タンパ性構造でなくてもよいため、第2メモリ142に記憶されている情報(第2アクセス制限テーブル143および第2接続プロファイル144)は、端末100のディスク103またはメモリ102に記憶されていてもよい。 In the above-described example, the example using the second SIM card 140 as the second device has been described. However, the second SIM card 140 may not be a tamper-resistant structure, and is stored in the second memory 142. Information (second access restriction table 143 and second connection profile 144) may be stored in the disk 103 or the memory 102 of the terminal 100.
 また、上記の例では、SIMカードやeSIMカード710を例に挙げて説明したが、第1SIMカード130および第1SIMカード130の機能については、耐タンパ性のデバイスであれば、SIMカードやeSIMカード710に限定されない。 In the above example, the SIM card or eSIM card 710 has been described as an example. However, the functions of the first SIM card 130 and the first SIM card 130 are SIM cards or eSIM cards as long as they are tamper-resistant devices. It is not limited to 710.
 また、上述した例では、第1SIMカード130や第1SIMカード130の機能を用いて、端末100と第1システムとの間を第1ネットワークNW1経由でセキュアに通信することで、端末100をセキュアに復旧したが、第1システムの機能は、端末100内の耐タンパ性のデバイス(たとえば、第1SIMカード130やeSIMカード710、バスに接続された別の耐タンパ性のセキュアモジュール)にプログラムとして格納されてもよい。この場合、端末100内のバス107が、第1ネットワークNW1となる。 Further, in the example described above, the terminal 100 is securely communicated between the terminal 100 and the first system via the first network NW1 using the functions of the first SIM card 130 and the first SIM card 130. Although restored, the function of the first system is stored as a program in a tamper-resistant device (for example, the first SIM card 130, the eSIM card 710, or another tamper-resistant secure module connected to the bus) in the terminal 100. May be. In this case, the bus 107 in the terminal 100 is the first network NW1.
 また、上述した例では、SIMカードにより端末100と挿抜可能な例について説明したが、端末100と第1デバイスとは、非接触通信により、データを送受信する構成としてもよい。 In the example described above, an example in which the SIM card can be inserted into and removed from the terminal 100 has been described. However, the terminal 100 and the first device may be configured to transmit and receive data by non-contact communication.
 また、上述した第1システムおよび第2システム内の機能は、同システム内のプログラムを同システム内のプロセッサに実行させることにより実現する機能である。 Further, the functions in the first system and the second system described above are functions realized by causing a processor in the system to execute a program in the system.
 以上説明したように、本実施例は、端末100と、端末100と第1ネットワークNW1を介して通信可能でかつ端末100に第1処理を実行する第1システムと、端末100と第2ネットワークNW2を介して通信可能でかつ端末100に第2処理を実行する第2システムと、を有するネットワークシステム1における端末100の復旧方法である。 As described above, in the present embodiment, the terminal 100, the first system capable of communicating with the terminal 100 via the first network NW1, and executing the first process on the terminal 100, the terminal 100, and the second network NW2 And a second system that executes a second process on the terminal 100 and that is capable of communicating via the terminal 100.
 端末100は、プログラムを実行するプロセッサ101と、プログラムを記憶する記憶デバイス(たとえば、ディスク103)と、第1メモリ132を含む耐タンパ性の第1デバイスと、を有する。第1メモリ132は、端末100の接続先として第1システムを規定し、かつ、端末100の再起動方式として端末100を起動させる起動データ403を第1システムから取得して再起動する第1再起動方式を規定する第1属性情報(たとえば、第1接続プロファイル134)を記憶する。プロセッサ101は、第1検出処理(たとえば、ステップS502~S505)と、第1決定処理(たとえば、ステップS510、S511)と、第1再起動処理(たとえば、ステップS512)と、を実行する。 The terminal 100 includes a processor 101 that executes a program, a storage device (for example, a disk 103) that stores the program, and a tamper-resistant first device that includes a first memory 132. The first memory 132 defines the first system as a connection destination of the terminal 100, and obtains start data 403 for starting the terminal 100 as a restart method of the terminal 100 from the first system and restarts the first re-start. First attribute information (for example, first connection profile 134) that defines the activation method is stored. The processor 101 performs a first detection process (for example, steps S502 to S505), a first determination process (for example, steps S510 and S511), and a first restart process (for example, step S512).
 第1検出処理は、端末100と第1システムとの間で通信可能状態とされ、かつ、端末100と第2システムとの間で通信不能状態とされたことを検出する。第1決定処理は、第1検出処理によって検出された場合、第1属性情報に基づいて、端末100の再起動方式を第1再起動方式に決定する。第1再起動処理は、第1決定処理によって決定された第1再起動方式に従って、第1システムから取得された起動データ403を用いて、端末100を再起動する。 The first detection process detects that communication between the terminal 100 and the first system is enabled and communication between the terminal 100 and the second system is disabled. When the first determination process is detected by the first detection process, the restart method of the terminal 100 is determined as the first restart method based on the first attribute information. The first restart process restarts the terminal 100 using the start data 403 acquired from the first system in accordance with the first restart method determined by the first determination process.
 これにより、第2ネットワークNW2から端末100を遮断した状態で、セキュアな起動データ403により端末100を再起動することができる。 Thus, the terminal 100 can be restarted by the secure startup data 403 in a state where the terminal 100 is disconnected from the second network NW2.
 また、第1決定処理では、プロセッサ101は、端末100の接続先を第1システムに決定する(たとえば、ステップS506~S508)。また、プロセッサ101は、送信処理(たとえば、ステップS510)と、受信処理(たとえば、S511)と、を実行する。送信処理は、第1決定処理によって端末100の接続先に決定された第1システムに、起動データ403の取得要求を送信する。受信処理は、送信処理によって取得要求が送信された結果、第1システムから起動データ403を受信して、記憶デバイスに格納する。また、第1再起動処理では、プロセッサ101は、第1再起動方式に従って、受信処理によって受信された起動データ403を用いて、端末100を再起動する。 In the first determination process, the processor 101 determines the connection destination of the terminal 100 as the first system (for example, steps S506 to S508). Further, the processor 101 performs a transmission process (for example, step S510) and a reception process (for example, S511). In the transmission process, the acquisition request for the activation data 403 is transmitted to the first system determined as the connection destination of the terminal 100 by the first determination process. The reception process receives the activation data 403 from the first system as a result of the acquisition request being transmitted by the transmission process, and stores it in the storage device. In the first restart process, the processor 101 restarts the terminal 100 using the start data 403 received by the reception process according to the first restart method.
 これにより、第2ネットワークNW2から端末100を遮断した状態で、第1ネットワークNW1経由でセキュアな起動データ403を取得して、端末100を再起動することができる。 Thereby, in a state where the terminal 100 is disconnected from the second network NW2, the secure activation data 403 is acquired via the first network NW1, and the terminal 100 can be restarted.
 また、第1決定処理では、プロセッサ101は、端末100の接続先を第1システムに決定する。また、プロセッサ101は、第1再起動処理による再起動後に、第1決定処理によって決定された第1システムに接続して、第1システムに第1処理を実行させる接続処理を実行する。 In the first determination process, the processor 101 determines the connection destination of the terminal 100 as the first system. In addition, the processor 101 performs connection processing for connecting to the first system determined by the first determination processing and causing the first system to execute the first processing after the restart by the first restart processing.
 これにより、第2ネットワークNW2から端末100を遮断した状態で、第1システムは、端末100に第1処理をセキュアに実行することができる。 Thereby, the first system can securely execute the first process on the terminal 100 in a state where the terminal 100 is disconnected from the second network NW2.
 また、記憶デバイスは、第2処理で用いるデータ群を記憶し、第1メモリ132は、データ群について第1システムと通信する際のアクセス可否を規定する第1制限情報(たとえば、第1アクセス制限テーブル133)を記憶する。また、接続処理では、プロセッサ101は、第1制限情報に従って、第1再起動処理による再起動後に、第1システムに接続して、第1システムに第1処理を実行させる。 In addition, the storage device stores a data group used in the second process, and the first memory 132 includes first restriction information (for example, first access restriction) that defines whether or not the data group can be accessed when communicating with the first system. Table 133) is stored. Further, in the connection process, the processor 101 connects to the first system after the restart by the first restart process according to the first restriction information, and causes the first system to execute the first process.
 これにより、第2ネットワークNW2から端末100を遮断した状態でアクセス権限のあるデータに端末100がアクセスすることにより、第1システムは、端末100に第1処理をセキュアに実行することができる。 Thereby, when the terminal 100 accesses data with access authority in a state where the terminal 100 is disconnected from the second network NW2, the first system can securely execute the first process on the terminal 100.
 また、端末100は、第2メモリ142を含む第2デバイスを有し、第2メモリ142は、端末100の接続先として第2システムを規定し、かつ、端末100の再起動方式として記憶デバイスに記憶されている起動データ403を用いる第2再起動方式を規定する第2属性情報を記憶する。プロセッサ101は、第2検出処理(たとえば、ステップS518~S521)と、第2決定処理(たとえば、ステップS522)と、第2再起動処理(たとえば、ステップS523)と、を実行する。第2検出処理は、端末100と第1システムとの間で通信不能状態とされ、かつ、端末100と第2システムとの間で通信可能状態とされたことを検出する。第2決定処理は、第2検出処理によって検出された場合、第2属性情報(たとえば、第2接続プロファイル144)に基づいて、端末100の再起動方式を第2再起動方式に決定する。第2再起動処理は、第2決定処理によって決定された第2再起動方式に従って、記憶デバイスに記憶された起動データ403を用いて、端末100を再起動する。 In addition, the terminal 100 includes a second device including a second memory 142. The second memory 142 defines the second system as a connection destination of the terminal 100, and is used as a storage device as a restart method of the terminal 100. Second attribute information defining the second restart method using the stored start data 403 is stored. The processor 101 performs a second detection process (for example, steps S518 to S521), a second determination process (for example, step S522), and a second restart process (for example, step S523). The second detection process detects that communication between the terminal 100 and the first system is disabled and communication between the terminal 100 and the second system is enabled. When the second determination process is detected by the second detection process, the restart method of the terminal 100 is determined as the second restart method based on the second attribute information (for example, the second connection profile 144). In the second restart process, the terminal 100 is restarted using the start data 403 stored in the storage device in accordance with the second restart method determined by the second determination process.
 これにより、第2ネットワークNW2との接続前に第2デバイスが適用される場合、端末100は、セキュアに再起動することができる。 Thereby, when the second device is applied before connection with the second network NW2, the terminal 100 can be restarted securely.
 また、第2決定処理では、プロセッサ101は、端末100の接続先を第2システムに決定する。プロセッサ101は、第2再起動処理による再起動後に、第2決定処理によって決定された第2システムに接続して、第2システムに第2処理を実行させる接続処理を実行する。 In the second determination process, the processor 101 determines the connection destination of the terminal 100 as the second system. After restart by the second restart process, the processor 101 connects to the second system determined by the second determination process, and executes a connection process that causes the second system to execute the second process.
 これにより、セキュアな状態に復旧した端末100に対し、第2システムは第2処理を実行することができる。 Thereby, the second system can execute the second process on the terminal 100 that has been restored to the secure state.
 また、第2メモリ142は、データ群について第2システムと通信する際のアクセス可否を規定する第2制限情報(たとえば、第2アクセス制限テーブル143)を記憶しており、接続処理では、プロセッサ101は、第2制限情報に従って、第2再起動処理による再起動後に、第2システムに接続して、第2システムに第2処理を実行させる。 In addition, the second memory 142 stores second restriction information (for example, the second access restriction table 143) that defines whether or not a data group can be accessed when communicating with the second system. In accordance with the second restriction information, after the restart by the second restart process, the second system connects to the second system and causes the second system to execute the second process.
 これにより、第2ネットワークNW2に対しアクセス権限のあるデータにセキュアな状態に復旧したがアクセスすることにより、第2システムは、セキュアな状態に復旧したに第2処理を実行することができる。 As a result, the second system NW2 can restore the secure state to the data having the access authority, but the second system can execute the second process after the secure state is restored.
 また、第1デバイスは、端末100と挿抜可能であり、第1検出処理では、プロセッサは、第1デバイスが端末100に挿入されて接続された場合、端末100と第1システムとの間で通信可能状態とされたことを検出する。 Further, the first device can be inserted into and removed from the terminal 100, and in the first detection process, the processor communicates between the terminal 100 and the first system when the first device is inserted into the terminal 100 and connected. Detects that it has been made possible.
 これにより、第1デバイスを端末100に挿入するという単純な操作により、第2ネットワークNW2から端末100を遮断した状態にし、第1ネットワークNW1経由でセキュアな起動データ403を取得して、端末100を再起動することができる。 As a result, the terminal 100 is disconnected from the second network NW2 by a simple operation of inserting the first device into the terminal 100, the secure startup data 403 is obtained via the first network NW1, and the terminal 100 is Can be restarted.
 また、第2デバイスは、端末100と挿抜可能であり、第1検出処理では、プロセッサは、第2デバイスが端末100から抜去された場合、端末100と第2システムとの間で通信不能状態とされたことを検出し、第2検出処理では、プロセッサは、第1デバイスが端末100から抜去された場合、端末100と第1システムとの間で通信不能状態とされ、かつ、第2デバイスが端末100に挿入されて接続された場合、端末100と第2システムとの間で通信可能状態とされたことを検出する。 In addition, the second device can be inserted into and removed from the terminal 100. In the first detection process, when the second device is removed from the terminal 100, the processor is in a communication disabled state between the terminal 100 and the second system. In the second detection process, when the first device is removed from the terminal 100, the processor is disabled from communicating between the terminal 100 and the first system, and the second device is When the terminal 100 is inserted and connected, it is detected that communication between the terminal 100 and the second system is possible.
 これにより、第2デバイスを端末100から抜去し、かつ、第1デバイスを端末100に挿入するという単純な操作により、第2ネットワークNW2から端末100を遮断した状態にし、第1ネットワークNW1経由でセキュアな起動データ403を取得して、端末100を再起動することができる。また、第1デバイスを端末100から抜去し、かつ、第2デバイスを端末100に挿入するという単純な操作により、第2ネットワークNW2とセキュアな端末100との通信を接続して、端末100を復旧することができる。 As a result, the terminal 100 is disconnected from the second network NW2 by a simple operation of removing the second device from the terminal 100 and inserting the first device into the terminal 100, and is secured via the first network NW1. The startup data 403 can be acquired and the terminal 100 can be restarted. Further, the terminal 100 is restored by connecting the communication between the second network NW2 and the secure terminal 100 by a simple operation of removing the first device from the terminal 100 and inserting the second device into the terminal 100. can do.
 また、第1デバイスおよび第2デバイスは、eSIMカード710のような、耐タンパ性で、かつ、一体型の統合デバイスでもよい。第1検出処理では、プロセッサ101は、外部から第1デバイスが選択された場合、端末100と第1システムとの間で通信能状態とされ、かつ、端末100と第2システムとの間で通信不能状態とされたことを検出する。第2検出処理では、プロセッサは、外部から第2デバイスが選択された場合、端末100と第1システムとの間で通信不能状態とされ、かつ、端末100と第2システムとの間で通信可能状態とされたことを検出する。 Also, the first device and the second device may be tamper-resistant and integrated devices such as the eSIM card 710. In the first detection process, when the first device is selected from the outside, the processor 101 is in a communication capability state between the terminal 100 and the first system, and communicates between the terminal 100 and the second system. Detect that it was disabled. In the second detection process, when the second device is selected from the outside, the processor is in a communication disabled state between the terminal 100 and the first system, and can communicate between the terminal 100 and the second system. Detects that it was in a state.
 これにより、第1デバイスおよび第2デバイスを挿抜する必要がなく、紛失を抑制することができる。 Thereby, it is not necessary to insert and remove the first device and the second device, and loss can be suppressed.
 また、第1ネットワークNW1は、端末100と第1システムとの間のみを通信可能とする閉域網である。これにより、端末100と第1システムとの間をセキュアに通信することができる。 Further, the first network NW1 is a closed network that enables communication only between the terminal 100 and the first system. Thereby, it is possible to securely communicate between the terminal 100 and the first system.
 以上説明したように、本実施例によれば、保守者が特殊な専門知識や技術を備えていなくても、簡単な作業により、端末100のサービス提供品質劣化から容易に復旧することができる。またこれにより、端末100のセキュリティレベルをセキュアに保つ保護効果を得ることができる。 As described above, according to the present embodiment, even if the maintenance person does not have special expertise or technology, it is possible to easily recover from the deterioration in service provision quality of the terminal 100 by simple work. This also provides a protective effect that keeps the security level of the terminal 100 secure.
 なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。 The present invention is not limited to the above-described embodiments, and includes various modifications and equivalent configurations within the scope of the appended claims. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and the present invention is not necessarily limited to those having all the configurations described. A part of the configuration of one embodiment may be replaced with the configuration of another embodiment. Moreover, you may add the structure of another Example to the structure of a certain Example. Moreover, you may add, delete, or replace another structure about a part of structure of each Example.
 また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。 In addition, each of the above-described configurations, functions, processing units, processing means, etc. may be realized in hardware by designing a part or all of them, for example, with an integrated circuit, and the processor realizes each function. It may be realized by software by interpreting and executing the program to be executed.
 各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。 Information such as programs, tables, and files for realizing each function is recorded on a memory, a hard disk, a storage device such as SSD (Solid State Drive), or an IC (Integrated Circuit) card, SD card, DVD (Digital Versatile Disc). It can be stored on a medium.
 また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。 Also, the control lines and information lines indicate what is considered necessary for the explanation, and do not necessarily indicate all control lines and information lines necessary for mounting. In practice, it can be considered that almost all the components are connected to each other.

Claims (13)

  1.  端末と、前記端末と第1ネットワークを介して通信可能でかつ前記端末に第1処理を実行する第1システムと、前記端末と第2ネットワークを介して通信可能でかつ前記端末に第2処理を実行する第2システムと、を有するネットワークシステムにおける前記端末の復旧方法であって、
     前記端末は、
     プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、第1メモリを含む耐タンパ性の第1デバイスと、を有し、
     前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、
     前記復旧方法では、
     前記プロセッサは、
     前記端末と前記第1システムとの間が通信可能状態であり、かつ、前記端末と前記第2システムとの間が通信不能状態であることを検出する第1検出処理と、
     前記第1検出処理によって前記通信可能状態および前記通信不能状態が検出された場合、前記第1属性情報に基づいて、前記端末の再起動方式を前記第1再起動方式に決定する第1決定処理と、
     前記第1決定処理によって決定された前記第1再起動方式に従って、前記第1システムから取得された前記起動データを用いて、前記端末を再起動する第1再起動処理と、
     を実行することを特徴とする復旧方法。     A terminal, a first system capable of communicating with the terminal via a first network and executing a first process on the terminal; a terminal capable of communicating with the terminal via a second network; and performing a second process on the terminal A second system to execute, and a recovery method of the terminal in the network system,
    The terminal
    A processor that executes the program, a storage device that stores the program, and a tamper-resistant first device that includes a first memory;
    The first memory defines the first system as a connection destination of the terminal, and obtains start data for starting the terminal from the first system as a restart method of the terminal and restarts the first system Storing first attribute information defining a restart method;
    In the recovery method,
    The processor is
    A first detection process for detecting that communication between the terminal and the first system is possible and communication between the terminal and the second system is impossible;
    A first determination process for determining a restart method of the terminal as the first restart method based on the first attribute information when the communicable state and the incommunicable state are detected by the first detection process; When,
    In accordance with the first restart method determined by the first determination process, a first restart process for restarting the terminal using the start data acquired from the first system;
    The recovery method characterized by performing.
  2.  請求項1に記載の復旧方法であって、
     前記第1決定処理では、前記プロセッサは、前記端末の接続先を前記第1システムに決定し、
     前記プロセッサは、
     前記第1決定処理によって前記端末の接続先に決定された前記第1システムに、前記起動データの取得要求を送信する送信処理と、
     前記送信処理によって前記取得要求が送信された結果、前記第1システムから前記起動データを受信して、前記記憶デバイスに格納する受信処理と、を実行し、
     前記第1再起動処理では、前記プロセッサは、前記第1再起動方式に従って、前記受信処理によって受信された起動データを用いて、前記端末を再起動することを特徴とする復旧方法。     The recovery method according to claim 1,
    In the first determination process, the processor determines the connection destination of the terminal to the first system,
    The processor is
    A transmission process for transmitting an acquisition request for the startup data to the first system determined as the connection destination of the terminal by the first determination process;
    As a result of the acquisition request being transmitted by the transmission process, the activation data is received from the first system and stored in the storage device;
    In the first restart process, the processor restarts the terminal using the startup data received by the reception process according to the first restart method.
  3.  請求項1に記載の復旧方法であって、
     前記第1決定処理では、前記プロセッサは、前記端末の接続先を前記第1システムに決定し、
     前記プロセッサは、
     前記第1再起動処理による再起動後に、前記第1決定処理によって決定された前記第1システムに接続して、前記第1システムに前記第1処理を実行させる第1接続処理を実行することを特徴とする復旧方法。     The recovery method according to claim 1,
    In the first determination process, the processor determines the connection destination of the terminal to the first system,
    The processor is
    After the restart by the first restart process, connecting to the first system determined by the first determination process, and executing a first connection process for causing the first system to execute the first process Characteristic recovery method.
  4.  請求項3に記載の復旧方法であって、
     前記記憶デバイスは、前記第2処理で用いるデータ群を記憶しており、
     前記第1メモリは、前記データ群について前記第1システムと通信する際のアクセス可否を規定する第1制限情報を記憶しており、
     前記第1接続処理では、前記プロセッサは、前記第1制限情報に従って、前記第1再起動処理による再起動後に、前記第1システムに接続して、前記第1システムに前記第1処理を実行させることを特徴とする復旧方法。     The recovery method according to claim 3,
    The storage device stores a data group used in the second process,
    The first memory stores first restriction information that defines whether or not the data group can be accessed when communicating with the first system;
    In the first connection process, the processor connects to the first system and causes the first system to execute the first process after restart by the first restart process according to the first restriction information. A recovery method characterized by that.
  5.  請求項4に記載の復旧方法であって、
     前記端末は、第2メモリを含む第2デバイスを有し、
     前記第2メモリは、前記端末の接続先として前記第2システムを規定し、かつ、前記端末の再起動方式として前記記憶デバイスに記憶されている前記起動データを用いる第2再起動方式を規定する第2属性情報を記憶しており、
     前記プロセッサは、
     前記端末と前記第1システムとの間で通信不能状態とされ、かつ、前記端末と前記第2システムとの間で通信可能状態とされたことを検出する第2検出処理と、
     前記第2検出処理によって検出された場合、前記第2属性情報に基づいて、前記端末の再起動方式を前記第2再起動方式に決定する第2決定処理と、
     前記第2決定処理によって決定された前記第2再起動方式に従って、前記記憶デバイスに記憶された前記起動データを用いて、前記端末を再起動する第2再起動処理と、
     を実行することを特徴とする復旧方法。     The recovery method according to claim 4,
    The terminal has a second device including a second memory;
    The second memory defines the second system as a connection destination of the terminal, and defines a second restart method using the boot data stored in the storage device as a restart method of the terminal. Storing second attribute information;
    The processor is
    A second detection process for detecting that communication between the terminal and the first system is disabled and communication is enabled between the terminal and the second system;
    A second determination process for determining a restart method of the terminal to be the second restart method based on the second attribute information when detected by the second detection process;
    A second restart process for restarting the terminal using the startup data stored in the storage device in accordance with the second restart method determined by the second determination process;
    The recovery method characterized by performing.
  6.  請求項5に記載の復旧方法であって、
     前記第2決定処理では、前記プロセッサは、前記端末の接続先を前記第2システムに決定し、
     前記プロセッサは、
     前記第2再起動処理による再起動後に、前記第2決定処理によって決定された前記第2システムに接続して、前記第2システムに前記第2処理を実行させる第2接続処理を実行することを特徴とする復旧方法。     The recovery method according to claim 5,
    In the second determination process, the processor determines the connection destination of the terminal to the second system,
    The processor is
    After the restart by the second restart process, connecting to the second system determined by the second determination process, and executing a second connection process for causing the second system to execute the second process Characteristic recovery method.
  7.  請求項6に記載の復旧方法であって、
     前記第2メモリは、前記データ群について前記第2システムと通信する際のアクセス可否を規定する第2制限情報を記憶しており、
     前記接続処理では、前記プロセッサは、前記第2制限情報に従って、前記第2再起動処理による再起動後に、前記第2システムに接続して、前記第2システムに前記第2処理を実行させることを特徴とする復旧方法。     The recovery method according to claim 6,
    The second memory stores second restriction information that defines whether or not the data group can be accessed when communicating with the second system,
    In the connection process, the processor connects to the second system and causes the second system to execute the second process after restart by the second restart process according to the second restriction information. Characteristic recovery method.
  8.  請求項1に記載の復旧方法であって、
     前記第1デバイスは、前記端末と挿抜可能であり、
     前記第1検出処理では、前記プロセッサは、前記第1デバイスが前記端末に挿入されて接続された場合、前記端末と前記第1システムとの間で通信可能状態とされたことを検出することを特徴とする復旧方法。     The recovery method according to claim 1,
    The first device can be inserted into and removed from the terminal;
    In the first detection process, when the first device is inserted and connected to the terminal, the processor detects that the communication is possible between the terminal and the first system. Characteristic recovery method.
  9.  請求項5に記載の復旧方法であって、
     前記第2デバイスは、前記端末と接続可能であり、
     前記第1検出処理では、前記プロセッサは、前記第2デバイスが前記端末から外された場合、前記端末と前記第2システムとの間で通信不能状態とされたことを検出し、
     前記第2検出処理では、前記プロセッサは、前記第1デバイスが前記端末から外された場合、前記端末と前記第1システムとの間で通信不能状態とされ、かつ、前記第2デバイスが前記端末に接続された場合、前記端末と前記第2システムとの間で通信可能状態とされたことを検出することを特徴とする復旧方法。     The recovery method according to claim 5,
    The second device is connectable to the terminal;
    In the first detection process, when the second device is disconnected from the terminal, the processor detects that communication between the terminal and the second system is disabled.
    In the second detection process, when the first device is disconnected from the terminal, the processor is disabled from communicating between the terminal and the first system, and the second device is the terminal. A recovery method, comprising: detecting that the communication is possible between the terminal and the second system.
  10.  請求項5に記載の復旧方法であって、
     前記第1デバイスおよび前記第2デバイスは、耐タンパ性で、かつ、一体型の統合デバイスであり、
     前記第1検出処理では、前記プロセッサは、外部から前記第1デバイスが選択された場合、前記端末と前記第1システムとの間で通信能状態とされ、かつ、前記端末と前記第2システムとの間で通信不能状態とされたことを検出し、
     前記第2検出処理では、前記プロセッサは、前記外部から前記第2デバイスが選択された場合、前記端末と前記第1システムとの間で通信不能状態とされ、かつ、前記端末と前記第2システムとの間で通信可能状態とされたことを検出することを特徴とする復旧方法。     The recovery method according to claim 5,
    The first device and the second device are tamper-resistant and integrated integrated devices,
    In the first detection process, when the first device is selected from the outside, the processor is brought into a communication capability state between the terminal and the first system, and the terminal and the second system Detected that communication was disabled between
    In the second detection process, when the second device is selected from the outside, the processor is in a communication disabled state between the terminal and the first system, and the terminal and the second system A recovery method characterized by detecting that communication with a device is possible.
  11.  請求項1に記載の復旧方法であって、
     前記第1ネットワークは、前記端末と前記第1システムとの間のみを通信可能とする閉域網であることを特徴とする復旧方法。     The recovery method according to claim 1,
    The restoration method according to claim 1, wherein the first network is a closed network that enables communication only between the terminal and the first system.
  12.  第1処理を実行する第1システムと第1ネットワークを介して通信可能であり、かつ、第2処理を実行する第2システムと第2ネットワークを介して通信可能な端末であって、
     プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、第1メモリを含む耐タンパ性の第1デバイスと、を有し、
     前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、
     前記プロセッサは、
     前記端末と前記第1システムとの間が通信可能状態であり、かつ、前記端末と前記第2システムとの間が通信不能状態であることを検出する第1検出処理と、
     前記第1検出処理によって前記通信可能状態および前記通信不能状態が検出された場合、前記第1属性情報に基づいて、前記端末の再起動方式を前記第1再起動方式に決定する第1決定処理と、
     前記第1決定処理によって決定された前記第1再起動方式に従って、前記第1システムから取得された前記起動データを用いて、前記端末を再起動する第1再起動処理と、
     を実行することを特徴とする端末。     A terminal capable of communicating with a first system for executing a first process via a first network and capable of communicating with a second system for executing a second process via a second network;
    A processor that executes the program, a storage device that stores the program, and a tamper-resistant first device that includes a first memory;
    The first memory defines the first system as a connection destination of the terminal, and obtains start data for starting the terminal from the first system as a restart method of the terminal and restarts the first system Storing first attribute information defining a restart method;
    The processor is
    A first detection process for detecting that communication between the terminal and the first system is possible and communication between the terminal and the second system is impossible;
    A first determination process for determining a restart method of the terminal as the first restart method based on the first attribute information when the communicable state and the communication disabled state are detected by the first detection process When,
    In accordance with the first restart method determined by the first determination process, a first restart process for restarting the terminal using the start data acquired from the first system;
    A terminal characterized by executing.
  13.  第1処理を実行する第1システムと第1ネットワークを介して通信可能であり、かつ、第2処理を実行する第2システムと第2ネットワークを介して通信可能な端末内に設けられるデバイスであって、
     前記端末は、前記端末を起動させる起動データを記憶する記憶デバイスを有し、
     前記デバイスは、第1プロセッサと第1メモリとを有する耐タンパ性のデバイスであり、
     前記第1メモリは、前記端末の接続先として前記第1システムを規定し、かつ、前記端末の再起動方式として前記端末を起動させる起動データを前記第1システムから取得して再起動する第1再起動方式を規定する第1属性情報を記憶しており、
     前記第1プロセッサは、
     前記端末と前記第1システムとの間が通信可能状態である場合、前記第1属性情報で規定する前記端末の接続先を前記端末に通知する通知処理と、
     前記通知処理によって前記第1属性情報で規定する前記端末の接続先が前記端末に通知された結果、前記端末と前記第1ネットワークとが接続された場合、前記第1再起動方式を含む再起動要求を前記端末に送信する送信処理と、
     を実行することを特徴とするデバイス。     A device provided in a terminal that can communicate with the first system that executes the first process via the first network and that can communicate with the second system that executes the second process via the second network. And
    The terminal has a storage device for storing startup data for starting the terminal,
    The device is a tamper-resistant device having a first processor and a first memory,
    The first memory defines the first system as a connection destination of the terminal, and obtains start data for starting the terminal from the first system as a restart method of the terminal and restarts the first system Storing first attribute information defining a restart method;
    The first processor is
    When the terminal and the first system are in a communicable state, a notification process for notifying the terminal of the connection destination of the terminal specified by the first attribute information;
    When the terminal is connected to the first network as a result of notifying the terminal of the connection destination of the terminal specified by the first attribute information by the notification process, the restart including the first restart method A transmission process for transmitting a request to the terminal;
    A device characterized by executing.
PCT/JP2016/080679 2016-10-17 2016-10-17 Recovery method, terminal, and device WO2018073858A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/080679 WO2018073858A1 (en) 2016-10-17 2016-10-17 Recovery method, terminal, and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/080679 WO2018073858A1 (en) 2016-10-17 2016-10-17 Recovery method, terminal, and device

Publications (1)

Publication Number Publication Date
WO2018073858A1 true WO2018073858A1 (en) 2018-04-26

Family

ID=62018274

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/080679 WO2018073858A1 (en) 2016-10-17 2016-10-17 Recovery method, terminal, and device

Country Status (1)

Country Link
WO (1) WO2018073858A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6337446A (en) * 1986-08-01 1988-02-18 Hitachi Ltd Inspection system for file access right
JP2003303114A (en) * 2002-02-06 2003-10-24 Ci:Kk Security maintenance system and usb key
JP2010009487A (en) * 2008-06-30 2010-01-14 Toshiba Corp Information processor and boot method
WO2010140222A1 (en) * 2009-06-02 2010-12-09 富士通株式会社 Information processing system, management device, and information processing method
JP2014026669A (en) * 2007-03-30 2014-02-06 Lenovo Singapore Pte Ltd Multimode computer operation
US20140282815A1 (en) * 2013-03-13 2014-09-18 Brian Cockrell Policy-based secure web boot

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6337446A (en) * 1986-08-01 1988-02-18 Hitachi Ltd Inspection system for file access right
JP2003303114A (en) * 2002-02-06 2003-10-24 Ci:Kk Security maintenance system and usb key
JP2014026669A (en) * 2007-03-30 2014-02-06 Lenovo Singapore Pte Ltd Multimode computer operation
JP2010009487A (en) * 2008-06-30 2010-01-14 Toshiba Corp Information processor and boot method
WO2010140222A1 (en) * 2009-06-02 2010-12-09 富士通株式会社 Information processing system, management device, and information processing method
US20140282815A1 (en) * 2013-03-13 2014-09-18 Brian Cockrell Policy-based secure web boot

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JOHO ROEI TAISAKU: "Un'yo Cost Sakugen no Shin 'Kaiho' wa Koreda! Thin Client Saishin Network Kochikujutsu", N+I NETWORK, vol. 5, no. 9, 1 September 2005 (2005-09-01), pages 024 , 054 - 055 *

Similar Documents

Publication Publication Date Title
JP4127315B2 (en) Device management system
CN109543475B (en) External terminal protection device and protection system
CN109561071B (en) Data flow control&#39;s external terminal protective equipment and protection system
JP5508502B2 (en) Persistent service agent
EP3876121B1 (en) Data forwarding control method and system based on hardware control logic
US20160057228A1 (en) Application execution program, application execution method, and information processing terminal device that executes application
JP2009199195A (en) Computer system and terminal
CN105493098B (en) Terminal device, method for protecting terminal device, and terminal management server
CN105303103A (en) Method for protecting service process in mobile terminal and mobile terminal
CN107231245B (en) Method and device for reporting monitoring log, and method and device for processing monitoring log
JP4720959B2 (en) Device management system
JP6282204B2 (en) System and method for monitoring access to network in secure site
JP2008004110A (en) Device management system
KR101448085B1 (en) SE Applet Management Method According to Application Uninstalling, Mobile Device and Service Management Server using the same
WO2018073858A1 (en) Recovery method, terminal, and device
CN103841120A (en) Data security management method, mobile terminal and system based on digital watermarking
US20190297504A1 (en) Terminal device, registration-processing method, and non-transitory computer-readable recording medium storing program
JP4775043B2 (en) Network equipment
US10318933B2 (en) Settlement terminal and method of protecting data stored in the settlement terminal against tampering
JP6919212B2 (en) Controls, control methods, and systems
JP7081242B2 (en) Information processing equipment, equipment management equipment and programs
WO2016115808A1 (en) Method and apparatus for configuring operating mode
CN110727940A (en) Electronic equipment password management method, device, equipment and storage medium
JP6010672B2 (en) Security setting system, security setting method and program
JP6226930B2 (en) Security control device, security control system, security control method and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16919056

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16919056

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP