WO2020261340A1

WO2020261340A1 - 情報処理装置、制御方法及び制御プログラム

Info

Publication number: WO2020261340A1
Application number: PCT/JP2019/024990
Authority: WO
Inventors: 健一郎武藤; 公洋山越; 中津留　毅
Original assignee: 日本電信電話株式会社
Priority date: 2019-06-24
Filing date: 2019-06-24
Publication date: 2020-12-30
Also published as: US20220350612A1; EP3979112A1; AU2019455635A1; AU2019455635B2; EP3979112B1; JPWO2020261340A1; US11983543B2; JP7160202B2; EP3979112A4; CN114026561A

Abstract

情報処理装置１０は、OSのシャットダウンの実行中に、OSの起動時におけるファイルの更新を定義する更新定義データ（例えば、設定ファイル及びレジストリのエントリ）、OSの起動時に実行されるプログラム、及び、プログラムを更新するためのファイルに完全性があるか否かを判定する。情報処理装置１０は、所定のデータに完全性がないと判定した場合、改ざんがあったと判断し、OSのシャットダウンを中止させる。また、情報処理装置１０は、改ざんの内容を通知する。

Description

情報処理装置、制御方法及び制御プログラム

　本発明は、情報処理装置、制御方法及び制御プログラムに関する。

　従来、サーバ等の機器において、当該機器の起動シーケンス中に実行されたプログラムに対し、完全性を確認する技術が提案されている。例えば、システムの起動シーケンス中に実行された各プログラムのハッシュ値と、TPM（Trusted　Platform　Module）にあらかじめ記録されたハッシュ値とを用いて、各プログラムの完全性を検証する方法が知られている（例えば非特許文献１を参照）。また、システムの起動シーケンス中に、事前に付与された電子署名により完全性が確認されたプログラムのみを実行する方法を連鎖させていくことで、完全性が検証されたOS（Operating　System）環境を構成する方法が知られている。

　また、サーバ等の機器を再起動した際の起動シーケンス中に、ファイルの更新を行う技術が存在する。例えば、Windows（登録商標）　OSでは、レジストリや設定ファイルを用いてファイルの更新を行う仕組みが存在する（例えば非特許文献３から５を参照）。

IPA,　"情報セキュリティ技術動向調査タスクグループ報告書（2009年上期）",　pp.11-13,　2009年　9月,　https://www.ipa.go.jp/security/fy21/reports/tech1-tg/indexa.html UEFI　"Unified　Extensible　Firmware　Interface　Specification　Version　2.6",　pp.1803-1808,　January,　2016,　http://www.uefi.org/sites/default/files/resources/ACPI_6_1.pdf Microsoft,　"Windows　が使用しているファイルを再起動時に置き換える方法",　2018/04/20,　https://support.microsoft.com/ja-jp/help/181345/how-to-replace-in-use-files-at-windows-restart Microsoft,　"MoveFileEx　function",　https://msdn.microsoft.com/ja-jp/windows/aa365240(v=vs.80) TechNet,　"wininit.exeについて",　https://social.technet.microsoft.com/Forums/ja-JP/b0114542-e0ad-4e87-8306-170396f6d5f6/wininitexe12395123881235612390?forum=windowsvistaja

　しかしながら、従来の技術には、ファイルの改ざん及び改ざんされたプログラムの実行を未然に回避することが困難な場合があるという問題がある。

　例えば、非特許文献３から５に記載の設定ファイルやレジストリのエントリが改ざんされた場合、TPMが非搭載の機器及び署名検証が実行できない環境等では、非特許文献１及び２に記載の方法が実行できず、ファイルの改ざん及び改ざんされたプログラムの実行を回避できないことが考えられる。

　具体的には、TPM非搭載機器では、非特許文献１に記載のTrusted　Bootが適用できない場合がある。また、BootLoaderやOS改造が許容されない環境下では、非特許文献２に記載のSecureBootが適用できない場合がある。

　上述した課題を解決し、目的を達成するために、情報処理装置は、OS（Operating　System）のシャットダウンの実行中に、前記OSの起動に関する所定のデータに完全性があるか否かを判定する判定部と、前記判定部によって、前記所定のデータに完全性がないと判定された場合、前記OSのシャットダウンを中止させる中止部と、を有することを特徴とする。

　本発明によれば、ファイルの改ざん及び改ざんされたプログラムの実行を未然に回避することができる。

図１は、第１の実施形態に係る情報処理装置の構成の一例を示す図である。図２は、改ざんについて説明するための図である。図３は、改ざんの回避方法について説明するための図である。図４は、第１の実施形態に係る情報処理装置を制御する処理の流れを示すフローチャートである。図５は、判定処理の流れを示すフローチャートである。図６は、制御プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願に係る情報処理装置、制御方法及び制御プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

［機能構成］
　図１を用いて、第１の実施形態に係る情報処理装置の構成について説明する。図２は、第１の実施形態に係る情報処理装置の構成の一例を示す図である。図１に示すように、情報処理装置１０は、通信部１１、入力部１２、出力部１３、記憶部１４及び制御部１５を有する。

　通信部１１は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部１１はNIC（Network　Interface　Card）である。入力部１２は、ユーザからのデータの入力の受け付けるマウスやキーボード等の入力装置である。出力部１３は、データを出力するディスプレイ等の出力装置である。

　記憶部１４は、HDD（Hard　Disk　Drive）、SSD（Solid　State　Drive）、光ディスク等の記憶装置である。なお、記憶部１４は、RAM（Random　Access　Memory）、フラッシュメモリ、NVSRAM（Non　Volatile　Static　Random　Access　Memory）等のデータを書き換え可能な半導体メモリであってもよい。記憶部１４は、情報処理装置１０で実行されるOSや各種プログラムを記憶する。さらに、記憶部１４は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部１４は、更新定義データ１４１、起動時実行プログラム１４２及び更新用ファイル１４３を記憶する。

　更新定義データ１４１は、OSの再起動時に実行されるファイルの更新を定義するためのデータである。図１に示すように、更新定義データ１４１には、更新定義ファイル１４１ａ及び更新定義エントリ１４１ｂが含まれる。例えば、OSがWindows　OSであれば、更新定義ファイル１４１ａは「wininit.ini」等のファイルである。また、例えば、OSがWindows　OSであれば、更新定義エントリ１４１ｂは、レジストリの「PendingFileRenameOperations」等のエントリである。

　起動時実行プログラム１４２は、OSの起動シーケンス中に実行されるプログラムである。例えば、OSがWindows　OSであれば、起動時実行プログラム１４２は、「wininit.exe」等の実行ファイルである。

　更新用ファイル１４３は、起動時実行プログラム１４２を置換等により更新（アップデート）するためのファイルである。例えば、OSがWindows　OSであれば、更新用ファイル１４３は更新版の「wininit.exe」等である。

　制御部１５は、情報処理装置１０全体を制御する。制御部１５は、例えば、CPU（Central　Processing　Unit）、MPU（Micro　Processing　Unit）等の電子回路や、ASIC（Application　Specific　Integrated　Circuit）、FPGA（Field　Programmable　Gate　Array）等の集積回路である。また、制御部１５は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部１５は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１５は、起動部１５１、停止部１５２、判定部１５３、中止部１５４及び通知部１５５を有する。

　起動部１５１は、OSの起動シーケンスを実行しOSを構成する。停止部１５２は、OSのシャットダウンを実行しOSを停止する。

　判定部１５３は、OSのシャットダウンの実行中に、OSの起動に関する所定のデータに完全性があるか否かを判定する。判定部１５３は、OSの起動時におけるファイルの更新を定義する更新定義データ１４１に完全性があるか否かを判定することができる。判定部１５３は、OSの起動時に実行される起動時実行プログラム１４２、又は起動時実行プログラム１４２を更新するための更新用ファイル１４３に完全性があるか否かを判定することができる。

　ここで、データの更新は、ユーザ等により許容されるデータの変更を指すものとする。例えば、データの更新は、新規プログラムのインストールや定期的なシステムのアップデート等に伴って生じる。一方、データの改ざんは、ユーザ等により許容されないデータの変更を指すものとする。例えば、データの改ざんは、悪意のある者及びマルウェア等（以降、攻撃主体）によって行われる。

　判定部１５３は、ファイルのハッシュ値及び設定内容を照合することによって完全性の有無を判定する。例えば、情報処理装置１０は、所定のデータに対して更新があった場合、更新後のデータの第１のハッシュ値を算出し、当該所定のデータにアクセスするためのパスとともに不揮発性の記憶領域であるROM（Read　Only　Memory）に記憶しておく。そして、判定部１５３は、判定を行うタイミングで当該所定のデータの第２のハッシュ値を算出する。そして、判定部１５３は、第１のハッシュ値と第２のハッシュ値が同じであれば、当該所定のデータに完全性があると判定する。また、判定部１５３は、第１のハッシュ値と第２のハッシュ値が異なっていれば、当該所定のデータに完全性がないと判定する。

　なお、情報処理装置１０は、同様の方法で、本実施形態の制御処理を実行するためのプログラム、すなわち判定部１５３等を実現するためのプログラムの完全性を確認することができる。特に、判定部１５３は、判定処理を実行するための判定プログラムに完全性があるか否かを判定する。

　また、判定部１５３は、更新定義データ１４１の更新状況に応じて各判定処理を行ってもよい。この場合、判定部１５３は、OSの起動時におけるファイルの更新を定義する更新定義データ１４１によって、ファイルの更新が定義されているか否かを判定する。判定部１５３は、更新定義データ１４１によってファイルの更新が定義されていないと判定した場合、OSの起動時に実行される起動時実行プログラム１４２に完全性があるか否かを判定する。一方、判定部１５３は、更新定義データ１４１によってファイルの更新が定義されていると判定した場合、更新定義データ１４１、OSの起動時に実行される起動時実行プログラム１４２、及び、プログラムを更新するための更新用ファイル１４３に完全性があるか否かを判定する。

　ここで、判定部１５３は、ファイルの更新が定義されているか否かについても、データの完全性を判定する方法と同様の方法で判定することができる。つまり、判定部１５３は、OSが構成された時点の更新定義データ１４１のハッシュ値と、シャットダウンが始まったときの更新定義データ１４１のハッシュ値とが異なっている場合、更新定義データ１４１によって、ファイルの更新が定義されていると判定する。なお、ここで定義されたファイルの更新は、次回のOSの起動時に実行されるものである。

　中止部１５４は、判定部１５３によって所定のデータに完全性がないと判定された場合、OSのシャットダウンを中止させる。通知部１５５は、判定部１５３によって、所定のデータに完全性がないと判定された場合、所定のデータに対する改ざん内容を通知する。例えば、通知部１５５は、改ざんが行われた可能性がある旨のワーニング及び改ざん内容を示すテキストをディスプレイである出力部１３に表示してもよい。

　ここで、判定部１５３による判定処理を実行するための判定プログラムについて具体的に説明する。前提として、判定プログラムは、OSのブートシーケンスにより起動し、揮発性の記憶領域（いわゆるメモリ）に常駐する。また、判定プログラムのデータは、不揮発性の記憶領域（ROM）に記憶される。また、不揮発性の記憶領域に記憶されたデータは、情報処理装置１０の電源がオフの時には改ざんされることはなく、情報処理装置１０の電源がオンの時に改ざんされる可能性がある。

　メモリに常駐している判定プログラムは、OSのシャットダウン命令を検知すると、ROMから対象データを取得する。ここでの対象データには、更新定義データ１４１、起動時実行プログラム１４２及び更新用ファイル１４３に加え、判定部１５３による判定処理を実行する判定プログラム自体のデータが含まれる。

　判定部１５３は、取得した対象データのハッシュ値を計算する。さらに、判定部１５３は、ROMからハッシュ値の正解値を取得する。そして、計算したハッシュ値と正解値とが一致する場合、判定部１５３は改ざんなしと判定する。一方、計算したハッシュ値と正解値とが一致しない場合、判定部１５３は改ざんありと判定する。また、判定プログラム自体のデータに改ざんがあると判定された場合、情報処理装置１０は判定プログラムのリカバリ処理を行ってもよい。

　ここで、図２を用いて、データの改ざん及び改ざんに伴って生じる被害について説明する。図２は、改ざんについて説明するための図である。図２の例では、本実施形態による改ざんの回避が行われないものとする。まず、攻撃主体は、OS稼働中に、更新定義ファイル１４１ａ、更新定義エントリ１４１ｂ、起動時実行プログラム１４２及び更新用ファイル１４３に対し改ざんを行う（ステップＳ１１）。

　その後、改ざんの回避が行われない場合、OSがシャットダウンされると停止中になり、改ざんされた状態でシステムが起動される。このとき、更新定義ファイル１４１ａ及び更新定義エントリ１４１ｂが改ざんされている場合、改ざんされた設定に従って不正なファイルの更新が行われる（ステップＳ１２、Ｓ１３）。また、更新用ファイル１４３が改ざんされている場合、起動時実行プログラム１４２が不正なファイルへ置き換えられる（ステップＳ１４）。また、起動時実行プログラム１４２が改ざんされている場合であって、起動時実行プログラム１４２の更新が定義されていない場合、改ざんされた起動時実行プログラム１４２が実行される（ステップＳ１５）。

　図３を用いて、本実施形態による改ざんの回避方法について説明する。図３は、改ざんの回避方法について説明するための図である。図３に示すように、シャットダウンが開始されると、判定部１５３は、更新定義ファイル１４１ａ、更新定義エントリ１４１ｂ、起動時実行プログラム１４２及び更新用ファイル１４３に完全性があるか否かを判定する（ステップＳ２１）。

　ここで、更新定義ファイル１４１ａ及び更新定義エントリ１４１ｂの完全性があると判定されると、情報処理装置１０は、次回のシステム起動時には、完全性が確認された更新定義ファイル１４１ａ及び更新定義エントリ１４１ｂに従ってファイルの更新を行うことになる（ステップＳ２２）。

　また、更新用ファイル１４３の完全性があると判定されると、起動時実行プログラム１４２は、改ざんされていない正規の更新用ファイル１４３へ置き換えられる（ステップＳ２３、Ｓ２４）。また、起動時実行プログラム１４２の完全性があると判定されると、起動時実行プログラム１４２の更新が定義されていない場合、改ざんされていない正規の起動時実行プログラム１４２が実行される（ステップＳ２５）。

［第１の実施形態の処理］
　図４を用いて、情報処理装置１０を制御する制御処理の流れを説明する。図４は、第１の実施形態に係る情報処理装置を制御する処理の流れを示すフローチャートである。図４に示すように、停止部１５２は、情報処理装置１０に備えられたOSのシャットダウンを開始する（ステップＳ１０１）。

　ここで、判定部１５３は、まず判定部１５３自身の処理を実行するための判定プログラムの完全性を確認する（ステップＳ１０２）。判定部１５３が判定プログラムの改ざんがないと判定した場合（ステップＳ１０３、Ｎｏ）、情報処理装置１０はステップＳ１０４に進む。一方、判定部１５３が判定プログラムの改ざんがあると判定した場合（ステップＳ１０３、Ｙｅｓ）、情報処理装置１０はステップＳ１１０に進む。

　次に、判定部１５３は、更新定義データ１４１の更新の有無を判定する（ステップＳ１０４）。更新がある場合（ステップＳ１０５、Ｙｅｓ）、判定部１５３は、さらに更新定義データ１４１、起動時実行プログラム１４２及び更新用ファイル１４３の完全性を確認する（ステップＳ１０６）。このとき、判定部１５３は、各データに完全性があるか否かを判定することにより、改ざんがあったか否かを判定することになる。

　改ざんがあると判定された場合（ステップＳ１０７、Ｙｅｓ）、中止部１５４はシャットダウンを中止させる（ステップＳ１１０）。そして、通知部１５５は、改ざん内容を通知する（ステップＳ１１１）。一方、改ざんがないと判定された場合（ステップＳ１０７、Ｎｏ）、停止部１５２はシャットダウンを引き続き実行する（ステップＳ１０８）。

　ステップＳ１０５に戻り、更新がない場合（ステップＳ１０５、Ｎｏ）、判定部１５３は、さらに起動時実行プログラム１４２の完全性を確認する（ステップＳ１０９）。改ざんがあると判定された場合（ステップＳ１０７、Ｙｅｓ）、中止部１５４はシャットダウンを中止させる（ステップＳ１１０）。そして、通知部１５５は、改ざん内容を通知する（ステップＳ１１１）。一方、改ざんがないと判定された場合（ステップＳ１０７、Ｎｏ）、停止部１５２はシャットダウンを引き続き実行する（ステップＳ１０８）。

　図５を用いて、判定部１５３による判定処理について説明する。図５は、判定処理の流れを示すフローチャートである。判定部１５３による判定処理を実行する判定プログラムは、OSの起動時に実行が開始され、不揮発性の記憶領域（RAM）に常駐しているものとする。

　図５に示すように、判定部１５３は、対象データのハッシュ値を計算する（ステップＳ２０１）。ここでの対象データには、更新定義データ１４１、起動時実行プログラム１４２及び更新用ファイル１４３に加え、判定部１５３による判定処理を実行する判定プログラム自体が含まれる。

　次に、判定部１５３は、ROMからハッシュ値の正解値を取得する（ステップＳ２０２）。そして、計算したハッシュ値と正解値とが一致する場合（ステップＳ２０３、Ｙｅｓ）、判定部１５３は改ざんなしと判定する（ステップＳ２０５）。一方、計算したハッシュ値と正解値とが一致しない場合（ステップＳ２０３、Ｎｏ）、判定部１５３は改ざんありと判定する（ステップＳ２０４）。

［第１の実施形態の効果］
　これまで説明してきたように、判定部１５３は、OSのシャットダウンの実行中に、OSの起動に関する所定のデータに完全性があるか否かを判定する。中止部１５４は、判定部１５３によって所定のデータに完全性がないと判定された場合、OSのシャットダウンを中止させる。このように、情報処理装置１０は、起動に関するデータの完全性を、シャットダウンの際に確認することができる。このため、本実施形態によれば、TPMが非搭載の機器及び署名検証が実行できない環境等であっても、ファイルの改ざん及び改ざんされたプログラムの実行を未然に回避することができる。

　通知部１５５は、判定部１５３によって、所定のデータに完全性がないと判定された場合、所定のデータに対する改ざん内容を通知する。これにより、ユーザは改ざんされたプログラム等が実行される前に対策を取ることができる。

　判定部１５３は、OSの起動時におけるファイルの更新を定義する更新定義データ１４１に完全性があるか否かを判定する。これにより、更新用ファイル自体は改ざんされておらず、更新を定義するファイルが改ざんされている場合であっても、改ざんによる影響を防止することができる。

　判定部１５３は、OSの起動時に実行される起動時実行プログラム１４２、又は起動時実行プログラム１４２を更新するための更新用ファイル１４３に完全性があるか否かを判定する。これにより、更新用ファイル自体が改ざんされた場合に、改ざんによる影響を防止することができる。

　判定部１５３は、OSの起動時におけるファイルの更新を定義する更新定義データ１４１によって、ファイルの更新が定義されているか否かを判定する。判定部１５３は、更新定義データ１４１によってファイルの更新が定義されていないと判定した場合、OSの起動時に実行される起動時実行プログラム１４２に完全性があるか否かを判定する。判定部１５３は、更新定義データ１４１によってファイルの更新が定義されていると判定した場合、更新定義データ１４１、OSの起動時に実行される起動時実行プログラム１４２、及び、プログラムを更新するための更新用ファイル１４３に完全性があるか否かを判定する。このように、情報処理装置１０は、各データの更新状況に応じて、完全性を確認するデータを決定することができる。これにより、情報処理装置１０は、改ざんを回避するための処理を効率良く実行することができる。

　判定部１５３は、揮発性の記憶領域に常駐する判定プログラムによって、判定プログラムのデータを含む所定のデータの完全性があるか否かを判定する処理を行う。判定部１５３は、完全性があるか否かを判定する処理を、揮発性の記憶領域に常駐するプログラムによって行う。判定部１５３は、不揮発性の記憶領域に記憶された所定のデータから計算される所定の計算値と、不揮発性の記憶領域に記憶された正解値とが一致するか否かによって、所定のデータに完全性があるか否かを判定する。不揮発性の領域に記憶されたデータの改ざんが行われるのは、情報処理装置１０が起動中の場合である。このため、本実施形態によれば、システムシャットダウン時に判定部プログラム自体に改ざんが無かったことを確認することにより、次回システム起動時に再び正しい判定部プログラムが起動し揮発メモリに常駐することを確実に保証できる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、情報処理装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の制御を実行する制御プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の制御プログラムを情報処理装置に実行させることにより、情報処理装置を情報処理装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　図６は、制御プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、CPU１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM１０１１及びRAM１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、情報処理装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、情報処理装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSDにより代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、CPU１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してCPU１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してCPU１０２０によって読み出されてもよい。

　１０　情報処理装置
　１１　通信部
　１２　入力部
　１３　出力部
　１４　記憶部
　１５　制御部
　１４１　更新定義データ
　１４１ａ　更新定義ファイル
　１４１ｂ　更新定義エントリ
　１４２　起動時実行プログラム
　１４３　更新用ファイル
　１５１　起動部
　１５２　停止部
　１５３　判定部
　１５４　中止部
　１５５　通知部

Claims

　OS（Operating　System）のシャットダウンの実行中に、前記OSの起動に関する所定のデータに完全性があるか否かを判定する判定部と、
　前記判定部によって、前記所定のデータに完全性がないと判定された場合、前記OSのシャットダウンを中止させる中止部と、
　を有することを特徴とする情報処理装置。
　前記判定部によって、前記所定のデータに完全性がないと判定された場合、前記所定のデータに対する改ざん内容を通知する通知部をさらに有することを特徴とする請求項１に記載の情報処理装置。
　前記判定部は、前記OSの起動時におけるファイルの更新を定義する更新定義データに完全性があるか否かを判定することを特徴とする請求項１又は２に記載の情報処理装置。
　前記判定部は、前記OSの起動時に実行されるプログラム、又は前記プログラムを更新するためのファイルに完全性があるか否かを判定することを特徴とする請求項１又は２に記載の情報処理装置。
　前記判定部は、
　前記OSの起動時におけるファイルの更新を定義する更新定義データによって、ファイルの更新が定義されているか否かを判定し、
　前記更新定義データによってファイルの更新が定義されていないと判定した場合、前記OSの起動時に実行されるプログラムに完全性があるか否かを判定し、
　前記更新定義データによってファイルの更新が定義されていると判定した場合、前記更新定義データ、前記OSの起動時に実行されるプログラム、及び、前記プログラムを更新するためのファイルに完全性があるか否かを判定することを特徴とする請求項１又は２に記載の情報処理装置。
　前記判定部は、揮発性の記憶領域に常駐する判定プログラムによって、前記判定プログラムのデータを含む所定のデータの完全性があるか否かを判定する処理を行い、
　前記判定部は、不揮発性の記憶領域に記憶された前記所定のデータから計算される所定の計算値と、前記不揮発性の記憶領域に記憶された正解値とが一致するか否かによって、前記所定のデータに完全性があるか否かを判定することを特徴とする請求項１又は２に記載の情報処理装置。
　情報処理装置によって実行される制御方法であって、
　前記情報処理装置に備えられたOS（Operating　System）のシャットダウンの実行中に、前記OSの起動に関する所定のデータに完全性があるか否かを判定する判定工程と、
　前記判定工程によって、前記所定のデータに完全性がないと判定された場合、前記OSのシャットダウンを中止させる中止工程と、
　を含むことを特徴とする制御方法。
　情報処理装置に、
　前記情報処理装置に備えられたOS（Operating　System）のシャットダウンの実行中に、前記OSの起動に関する所定のデータに完全性があるか否かを判定する判定ステップと、
　前記判定ステップによって、前記所定のデータに完全性がないと判定された場合、前記OSのシャットダウンを中止させる中止ステップと、
　を実行させることを特徴とする制御プログラム。