WO2021241109A1

WO2021241109A1 - 情報処理システム、サーバ装置、情報処理装置及び動作制御装置

Info

Publication number: WO2021241109A1
Application number: PCT/JP2021/016708
Authority: WO
Inventors: 康之紀伊; 崇押切
Original assignee: 株式会社メガチップス
Priority date: 2020-05-29
Filing date: 2021-04-27
Publication date: 2021-12-02
Also published as: JP2021189715A

Abstract

動作制御装置が、第１記憶部内の第１署名が正しいと判定した場合、情報処理装置が第１バージョン情報を送信する。サーバ装置は、第１バージョン情報が示すバージョンが第２バージョン情報が示すバージョンよりも古いと判定したとき、所定データを送信する。動作制御装置が、所定データに含まれる第２署名が正しいと判定した場合、情報処理装置が、所定データに含まれる第２ソフトウェア、第２バージョン情報及び第２署名で、第１記憶部内の第１ソフトウェア、第１バージョン情報及び第１署名をそれぞれ更新する。

Description

情報処理システム、サーバ装置、情報処理装置及び動作制御装置

　本開示は、情報処理装置に関する。

　特許文献１には、ユーザ端末に関する技術が開示されている。

特開２００５－２８４５７３号公報

　ユーザ端末などの情報処理装置の安全性を向上させることは望ましい。

　そこで、本開示は上述の点に鑑みて成されたものであり、情報処理装置の安全性を向上させることが可能な技術を提供することを目的とする。

　情報処理システムの一態様は、所定機能を有する情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備え、前記情報処理装置は、前記所定機能を制御する動作制御装置を有し、前記動作制御装置は、前記動作制御装置の識別情報を記憶し、前記情報処理装置は、前記動作制御装置が記憶する前記識別情報を前記サーバ装置に送信し、前記情報処理装置は、第１ソフトウェアと、前記第１ソフトウェアのバージョンを示す第１バージョン情報と、前記第１バージョン情報及び前記識別情報の両方に対応する第１署名とを記憶する第１記憶部を有し、前記サーバ装置は、第２ソフトウェアと、前記第２ソフトウェアのバージョンを示す第２バージョン情報とを記憶する第２記憶部を有し、前記サーバ装置は、前記第２バージョン情報及び前記情報処理装置から受信した前記識別情報の両方に対応する第２署名を生成し、前記情報処理装置では、前記動作制御装置が、前記第１記憶部内の前記第１署名を検証し、前記動作制御装置が、前記第１署名が正しいと判定した場合、前記情報処理装置が、前記第１バージョン情報を前記サーバ装置に送信するという第１処理が実行され、前記サーバ装置は、前記第１バージョン情報を受信した場合、前記第１バージョン情報と前記第２バージョン情報とを比較し、前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定したとき、前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名を含む所定データを前記情報処理装置に送信し、前記情報処理装置が前記所定データを受信した場合、前記情報処理装置では、前記動作制御装置が、前記所定データに含まれる前記第２署名を検証し、前記動作制御装置が、前記第２署名が正しいと判定した場合、前記情報処理装置が、前記所定データに含まれる前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名で、前記第１記憶部内の前記第１ソフトウェア、前記第１バージョン情報及び前記第１署名をそれぞれ更新する更新処理を行うという第２処理が実行され、前記サーバ装置が前記第１バージョン情報を受信しないと判定した場合、前記動作制御装置によって前記所定機能が停止あるいは制限され、前記情報処理装置は、前記第１処理を繰り返し実行し、前記サーバ装置が、前記所定データを送信した後に前記情報処理装置から受信した前記第１バージョン情報が示すバージョンが、前記第２バージョン情報が示すバージョンと一致しないと判定した場合、前記動作制御装置によって前記所定機能が停止あるいは制限される。

　また、情報処理システムの一態様は、所定機能を有する情報処理装置と、前記情報処理装置と通信ネットワークを通じて通信するサーバ装置とを備え、前記情報処理装置は、前記所定機能を制御する動作制御装置を有し、前記動作制御装置は、前記動作制御装置の識別情報を記憶し、前記情報処理装置は、前記動作制御装置が記憶する前記識別情報を前記サーバ装置に送信し、前記情報処理装置は、第１ソフトウェアと、前記第１ソフトウェアのバージョンを示す第１バージョン情報と、前記第１バージョン情報及び前記識別情報の両方に対応する第１署名とを記憶する第１記憶部を有し、前記サーバ装置は、第２ソフトウェアと、前記第２ソフトウェアのバージョンを示す第２バージョン情報とを記憶する第２記憶部を有し、前記サーバ装置は、前記第２バージョン情報及び前記情報処理装置から受信した前記識別情報の両方に対応する第２署名を生成し、前記サーバ装置は、前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名を含む所定データを前記情報処理装置に送信し、前記動作制御装置は、前記第１記憶部内の前記第１署名を検証し、前記情報処理装置が受信した前記所定データに含まれる前記第２署名を検証し、前記第１バージョン情報と前記所定データに含まれる前記第２バージョン情報とを比較し、前記動作制御装置が、前記第１及び第２署名のそれぞれが正しいと判定し、かつ前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定した場合、前記情報処理装置は、前記所定データに含まれる前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名で、前記第１記憶部内の前記第１ソフトウェア、前記第１バージョン情報及び前記第１署名をそれぞれ更新する更新処理を行う。

　また、サーバ装置の一態様は、上記の情報処理システムが備えるサーバ装置である。

　また、情報処理装置の一態様は、上記の情報処理システムが備える情報処理装置である。

　また、動作制御装置の一態様は、上記の情報処理システムが備える動作制御装置である。

　情報処理装置の安全性を向上することができる。

情報処理システムの構成の一例を示す図である。サーバ装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。主装置の構成の一例を示す図である。主装置が記憶するデータの一例を示す図である。動作制御装置の構成の一例を示す図である。情報処理システムの動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を説明するための図である。情報処理システムの動作の一例を示すフローチャートである。情報処理装置の動作の一例を説明するための図である。情報処理装置の動作の一例を説明するための図である。情報処理装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。情報処理装置の構成の一例を示す図である。サーバ装置が記憶するデータの一例を示す図である。情報処理装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。主装置の構成の一例を示す図である。情報処理装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。動作制御装置の構成の一例を示す図である。動作制御装置の構成の一例を示す図である。情報処理装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。サーバ装置の動作の一例を示すフローチャートである。情報処理装置の動作の一例を示すフローチャートである。

　＜システム概要＞
　図１は情報処理システム１の構成の一例を示す図である。図１に示されるように、情報処理システム１は、サーバ装置２と、当該サーバ装置２と通信ネットワーク４を通じて接続された複数の情報処理装置３とを備えている。各情報処理装置３は、通信ネットワーク４を通じて、サーバ装置２と通信可能である。

　通信ネットワーク４には、無線ネットワーク及び有線ネットワークの少なくとも一方が含まれる。本例では、通信ネットワーク４には、例えば、基地局等を含む、携帯電話システムのネットワーク、無線ＬＡＮ（Local Area Network）及びインターネット等が含まれる。

　サーバ装置２は、一種のコンピュータ装置であって、例えばクラウドサーバと呼ばれる。サーバ装置２は、各情報処理装置３を制御することが可能である。

　各情報処理装置３は、例えば、センサを有し、当該センサが検出した情報をサーバ装置２に送信することが可能である。情報処理装置３は、例えば、家、オフィス、工場あるいは屋外などで使用されるＩｏＴ（Internet of Things）端末である。ＩｏＴ端末を含む情報処理システムはＩｏＴシステムと呼ばれることがある。

　サーバ装置２は、情報処理装置３から受信した情報に基づいて各種処理を行うことが可能である。サーバ装置２は、例えば、情報処理装置３から受信した情報を解析し、その解析結果に基づいて、当該情報処理装置３を制御したり、あるいは他の情報処理装置３を制御したりすることが可能である。またサーバ装置２は、その解析結果を表示してもよい。またサーバ装置２は、複数の情報処理装置３が送信する情報を収集し、収集した情報を表示してもよい。なお情報処理システム１は、複数のサーバ装置２を備えてもよい。またサーバ装置２は、情報処理装置３以外の装置と通信可能であってもよい。

　＜サーバ装置の構成例＞
　図２はサーバ装置２の構成の一例を示す図である。図２に示されるように、サーバ装置２は、例えば、制御部２０と、記憶部２１と、通信ネットワーク４に接続された通信部２２と、表示部２３とを備える。制御部２０、記憶部２１、通信部２２及び表示部２３は、例えば、バス２５で互いに電気的に接続されている。

　表示部２３は、例えば、液晶ディスプレイあるいは有機ＥＬディスプレイである。表示部２３は、制御部２０によって制御されることによって、文字、記号、図形などの各種情報を表示することが可能である。

　記憶部２１は、ＲＯＭ（Read Only Memory）及びＲＡＭ（Random Access Memory）などの、コンピュータが読み取り可能な非一時的な記録媒体を含む。記憶部２１には、サーバ装置２を制御するためのプログラム（言い換えればソフトウェア）が記憶されている。記憶部２１は記憶回路とも言える。

　制御部２０は、サーバ装置２の他の構成要素を制御することによって、サーバ装置２の動作を統括的に管理することが可能である。制御部２０は制御回路とも言える。制御部２０は、例えば、ＣＰＵ（Central Processing Unit）を備える。制御部２０の各種機能は、当該制御部２０が備えるＣＰＵが記憶部２１内のプログラムを実行することによって実現される。

　通信部２２は、有線あるいは無線で通信ネットワーク４に接続されている。通信部２２は通信回路とも言える。通信部２２は、通信ネットワーク４を通じて、当該通信ネットワーク４に接続された、情報処理装置３等の装置と通信することが可能である。通信部２２は、通信ネットワーク４から受け取った情報を制御部２０に入力することが可能である。また通信部２２は、制御部２０から受け取った情報を通信ネットワーク４に出力することが可能である。

　なお、サーバ装置２の構成は図２の例には限られない。例えば、制御部２０は、複数のＣＰＵを備えてもよい。また制御部２０は、少なくとも一つのＤＳＰ（Digital Signal Processor）を備えてもよい。また、制御部２０の全ての機能あるいは制御部２０の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。

　また記憶部２１は、ＲＯＭ及びＲＡＭ以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。記憶部２１は、例えば、小型のハードディスクドライブ及びＳＳＤ（Solid State Drive）などを備えてもよい。

　またサーバ装置２は、制御部２０、記憶部２１、通信部２２及び表示部２３以外の構成を備えてもよい。サーバ装置２は、例えば、タッチパネル等の、ユーザがサーバ装置２に情報を入力するための入力装置（入力部ともいう）を備えてもよい。また、サーバ装置２は表示部２３を備えなくてもよい。

　＜情報処理装置の構成例＞
　図３は情報処理装置３の構成の一例を示す図である。本例では、情報処理装置３の主な機能は、例えば、センサで情報を検出し、検出した情報に対して所定の処理を行うことである。情報処理装置３の主な機能は、これに限られず、他の機能であってもよい。

　情報処理装置３は、例えば、物理的なハッキングが行われにくい場所に配置される。物理的なハッキングとは、例えば、情報処理装置３を分解して改造したり、情報処理装置３内の信号線を直接観測したりしてハッキングする方法である。物理的なハッキングが行われにくい場所としては、例えば、家、オフィス及び学校など、原則特定の人しか出入りできない場所が考えられる。

　図３に示されるように、情報処理装置３は、当該情報処理装置３の主な機能を実行する主装置３０と、当該主装置３０を制御することによって、当該情報処理装置３の安全性を向上させる動作制御装置４０と、ユーザが操作するリセットスイッチ５０とを備える。

　主装置３０は、例えば、樹脂等から成るパッケージ３００と、当該パッケージ３００に収容された集積回路とを備える。主装置３０が備える集積回路は、複数のダイに形成されてもよいし、一つのダイに形成されてもよい。ダイは、ウェハチップとも呼ばれる。

　動作制御装置４０は、例えば、樹脂等から成るパッケージ４００と、当該パッケージ４００に収納された集積回路とを備える。動作制御装置４０が備える集積回路は、複数のダイに形成されてもよいし、一つのダイに形成されてもよい。

　主装置３０と動作制御装置４０とは、例えば同じ基板６０に実装されている。主装置３０及び動作制御装置４０は、基板６０に設けられた配線によって互いに電気的に接続されている。

　主装置３０と動作制御装置４０とは、互いに通信することによって、情報のやり取りを互いに行うことができる。主装置３０と動作制御装置４０とは、例えば、ＳＰＩ（Serial Peripheral Interface）あるいはＩ２Ｃ（Inter-Integrated Circuit）に基づいて互いに通信することが可能である。なお、主装置３０と動作制御装置４０との間の通信方式はこれに限られない。また本例では、主装置３０と動作制御装置４０とは、互いに有線通信を行っているが、互いに無線通信を行ってもよい。

　主装置３０は、センサを有し、当該センサが検出する情報を通信ネットワーク４を通じてサーバ装置２に送信する。また、主装置３０は、動作制御装置４０が出力するクロック信号に基づいて動作を行う。動作制御装置４０は、後述するように、クロック信号を主装置３０に対して供給しないことによって、主装置３０の動作を停止することができる。動作制御装置４０は、主装置３０が有する機能を制御することができるとも言える。

　リセットスイッチ５０は、ユーザが操作できるように、情報処理装置３のケースから露出するように、当該情報処理装置３に設けられる。リセットスイッチ５０は、ユーザによって操作されると（例えば押されると）、操作されたことを示す操作信号ＳＳを動作制御装置４０に出力する。動作制御装置４０は、リセットスイッチ５０からの操作信号ＳＳ等に基づいて、当該動作制御装置４０が備える各種回路に入力されるリセット信号をアサートすることができる。これにより、動作制御装置４０の動作が初期化される。また動作制御装置４０は、主装置３０に入力されるリセット信号をアサートすることが可能である。これにより、主装置３０の動作が初期化される。

　＜主装置の構成例＞
　図４は主装置３０の構成の一例を示す図である。図４に示されるように、主装置３０は、例えば、制御部３１０と、処理回路３２０と、少なくとも一つのセンサを備えるセンサ装置３３０と、第１通信部３４０と、第２通信部３５０と、不揮発性メモリ３６０及び３７０と、揮発性メモリ３８０とを備える。主装置３０が備えるこれらの構成要素は、パッケージ３００に収納されている。制御部３１０、処理回路３２０、センサ装置３３０、第１通信部３４０、第２通信部３５０、不揮発性メモリ３６０、不揮発性メモリ３７０及び揮発性メモリ３８０は、例えば、バス３９０で互いに電気的に接続されている。主装置３０が備える、制御部３１０等を含む集積回路は、情報処理装置３の主な機能を実現する主回路を構成する。

　不揮発性メモリ３６０は、例えば、記憶するデータを書き換えることができないＲＯＭである。不揮発性メモリ３６０は、マスクＲＯＭであってもよいし、ＯＴＰＲＯＭ（One Time Programmable ROM）であってもよい。不揮発性メモリ３６０は、例えば、主装置３０の起動時に実行されるブートプログラム３６１を記憶する。

　不揮発性メモリ３７０（メモリ３７０ともいう）は、例えば、記憶するデータを書き換えることが可能なＲＯＭである。不揮発性メモリ３７０は、例えばフラッシュメモリ（フラッシュＲＯＭともいう）である。不揮発性メモリ３７０の記憶容量は、例えば、不揮発性メモリ３６０の記憶容量よりも大きい。不揮発性メモリ３７０は、フラッシュメモリ以外であってもよい。

　図５は、メモリ３７０が記憶するデータの一例を示す図である。図５に示されるように、メモリ３７０は、例えば、一種のソフトウェアであるＯＳ（Operating System）３７１と、ＯＳ３７１に対応する署名３７２とを互いに対応付けて記憶する。署名３７２は、電子署名あるいはデジタル署名とも呼ばれる。署名３７２はＯＳ３７１から生成される。例えば、署名３７２は、ＯＳ３７１から生成されたハッシュ値が秘密鍵で暗号化されたものである。情報処理装置３は、署名３７２を検証することによって、ＯＳ３７１が改ざんされているか否かを検出することができる。

　メモリ３７０は、ＯＳ３７１以外の少なくとも一つのソフトウェア３７３を記憶する。ソフトウェア３７３は、例えば、ＯＳ３７１上で実行されるアプリケーションソフトウェアである。メモリ３７０は、ソフトウェア３７３と、それに対応する署名３７４とを互いに対応付けて記憶する。メモリ３７０が複数のソフトウェア３７３を記憶する場合には、複数のソフトウェア３７３にそれぞれ対応する複数の署名３７４がメモリ３７０に記憶される。署名３７４は、それに対応するソフトウェア３７３から生成される。例えば、署名３７４は、それに対応するソフトウェア３７３から生成されたハッシュ値が秘密鍵で暗号化されたものである。情報処理装置３は、署名３７４を検証することによって、ソフトウェア３７３が改ざんされているか否かを検出することができる。

　メモリ３７０は、ソフトウェア３７３のバージョンを示すバージョン情報３７６を記憶する。また、メモリ３７０は、動作制御装置４０を識別するための識別情報を記憶する。この識別情報は、ユニークＩＤ（identifier）とも呼ばれ、各情報処理装置３の動作制御装置４０に固有の情報である。

　ここで、本例では、動作制御装置４０の識別情報が、メモリ３７０だけではなく、動作制御装置４０にも記憶されている。以後、メモリ３７０に記憶される識別情報を識別情報４３２と呼び、動作制御装置４０に記憶される識別情報を識別情報４３１と呼ぶ。

　メモリ３７０は、バージョン情報３７６及び識別情報４３２の両方に対応する署名３７７を記憶する。署名３７７は、バージョン情報３７６及び識別情報４３２から生成される。例えば、署名３７７は、バージョン情報３７６及び識別情報４３２から生成されたハッシュ値が秘密鍵で暗号化されたものである。署名３７７は、バージョン情報３７６と識別情報４３２とが単に連結されたデータから生成されたハッシュ値が秘密鍵で暗号化されたものであってもよい。あるいは、署名３７７は、バージョン情報３７６と識別情報４３２との排他的論理和を算出することによって得られたデータから生成されたハッシュ値が秘密鍵で暗号化されたものであってもよい。メモリ３７０が複数のソフトウェア３７３を記憶する場合には、複数のソフトウェア３７３のバージョンをそれぞれ示す複数のバージョン情報３７６がメモリ３７０に記憶される。そして、複数のバージョン情報３７６のそれぞれについて、当該バージョン情報３７６及び識別情報４３２の両方に対応する署名３７７がメモリ３７０に記憶される。情報処理装置３は、署名３７７を検証することによって、バージョン情報３７６及び識別情報４３２の少なくとも一方が改ざんされているか否かを検出することができる。

　揮発性メモリ３８０は、ワークメモリとも呼ばれる。揮発性メモリ３８０は、例えば、ＳＲＡＭ（Static RAM）及びＤＲＡＭ（Dynamic RAM）の少なくとも一方を備える。不揮発性メモリ３６０、不揮発性メモリ３７０及び揮発性メモリ３８０のそれぞれは、コンピュータが読み取り可能な非一時的な記録媒体と言える。また、不揮発性メモリ３６０、不揮発性メモリ３７０及び揮発性メモリ３８０のそれぞれは、記憶部あるいは記録回路とも言える。

　制御部３１０は、主装置３０の他の構成要素を制御することによって、主装置３０の動作を統括的に管理することが可能である。制御部３１０は制御回路とも言える。制御部３１０は、例えばＣＰＵを備えている。制御部３１０の各種機能は、当該制御部３１０が備えるＣＰＵが、不揮発性メモリ３６０及び３７０内のプログラム（言い換えればソフトウェア）を実行することによって実現される。制御部３１０は、不揮発性メモリ３７０内のプログラム（言い換えればソフトウェア）を実行する場合には、まず、不揮発性メモリ３７０内のプログラムを、ワークメモリである揮発性メモリ３８０にコピーする。そして、制御部３１０は、揮発性メモリ３８０内のコピーされたプログラムを実行する。

　制御部３１０は、例えば、不揮発性メモリ３６０が形成されたダイと同じダイに形成されている。言い換えれば、制御部３１０及び不揮発性メモリ３６０は、例えば、同じウェハチップに形成されている。制御部３１０及び不揮発性メモリ３６０は、不揮発性メモリ３７０が形成されたダイと同じダイに形成されてもよいし、別のダイに形成されてもよい。また、制御部３１０及び不揮発性メモリ３６０は、揮発性メモリ３８０が形成されたダイと同じダイに形成されてもよいし、別のダイに形成されてもよい。

　センサ装置３３０は、例えば、温度センサ、加速度センサ、地磁気センサ、ジャイロセンサ、圧力センサ及びイメージセンサの少なくとも一つを備える。センサ装置３３０が備えるセンサは、これに限られず、センサ装置３３０は他のセンサを備えてもよい。センサ装置３３０で検出された情報（例えば、温度及び加速度など）はメモリ３７０に記憶される。以後、センサ装置３３０で検出された情報を「センサ情報」と呼ぶことがある。

　第１通信部３４０は、動作制御装置４０と、例えばＳＰＩあるいはＩ２Ｃに基づいて通信することが可能である。第１通信部３４０は通信回路とも言える。第１通信部３４０は、動作制御装置４０から受け取った情報を制御部３１０に入力することが可能である。また第１通信部３４０は、制御部３１０から受け取った情報を動作制御装置４０に出力することが可能である。

　第２通信部３５０は、有線あるいは無線で通信ネットワーク４に接続されている。第２通信部３５０は通信回路とも言える。第２通信部３５０は、通信ネットワーク４を通じて、当該通信ネットワーク４に接続された、サーバ装置２等の装置と通信することが可能である。第２通信部３５０は、通信ネットワーク４から受け取った情報を制御部３１０に入力することが可能である。また第２通信部３５０は、制御部３１０から受け取った情報を通信ネットワーク４に出力することが可能である。

　処理回路３２０は、制御部３１０に制御されることによって、メモリ３７０内のセンサ情報に対して所定の処理を行うことが可能である。処理回路３２０は、メモリ３７０からセンサ情報を読み出して、読み出したセンサ情報に対して、例えば、フィルタ処理等を含む加工処理を行う。処理回路３２０は、加工処理後のセンサ情報を、処理済みセンサ情報としてメモリ３７０に記憶する。本例では、情報処理装置３の主な機能は、センサ装置３３０で情報を検出し、検出した情報を処理回路３２０で処理することである。処理回路３２０は、例えば、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されている。なお、処理回路３２０が実行する処理はこの限りではない。

　主装置３０は、動作制御装置４０から出力されるクロック信号ＣＬＫｍ及びリセット信号ＲＳがそれぞれ入力されるクロック入力口３０１及びリセット入力口３０２を備える。本例では、クロック入力口３０１及びリセット入力口３０２のそれぞれは、パッケージ３００に設けられた金属端子となっている。したがって、本例では、クロック入力口３０１及びリセット入力口３０２は、クロック入力端子３０１及びリセット入力端子３０２とも言える。主装置３０は、クロック入力口３０１に入力されるクロック信号ＣＬＫｍに基づいて動作を行う。また主装置３０は、リセット入力口３０２に入力されるリセット信号ＲＳがアサートされると、その動作を初期化して再起動する。

　なお、主装置３０の構成は図３～５の例に限られない。例えば、主装置３０が備える複数の回路が、複数のパッケージに分けられて収納されてもよい。また制御部３１０は、複数のＣＰＵを備えてもよい。また制御部３１０は、少なくとも一つのＤＳＰを備えてもよい。また、制御部３１０の全ての機能あるいは制御部３１０の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。また主装置３０は、ＲＯＭ及びＲＡＭ以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。主装置３０は、例えば、小型のハードディスクドライブ及びＳＳＤなどを備えてもよい。また、主装置３０は、ＯＳ３７１及び署名３７２を記憶する不揮発性メモリと、ソフトウェア３７３、署名３７４、バージョン情報３７６、識別情報４３２及び署名３７７を記憶する不揮発性メモリとを別々に備えてもよい。また、主装置３０は、不揮発性メモリ３６０を備えていなくても良い。この場合、不揮発性メモリ３７０がブートプログラム３６１を記憶してもよい。

　以上のような構成を有する主装置３０が起動する際には（再起動も含む）、まず、制御部３１０が不揮発性メモリ３６０内のブートプログラム３６１を実行する。ブートプログラム３６１には、ＯＳ３７１に対応する署名３７２を検証する命令、ＯＳ３７１を実行する命令などが記述されている。ブートプログラム３６１を実行中の制御部３１０は、不揮発性メモリ３７０内のＯＳ３７１及び署名３７２を揮発性メモリ３８０にコピーする。そして、制御部３１０は、揮発性メモリ３８０内の署名３７２を検証する。制御部３１０は、署名３７２が正しければ、揮発性メモリ３８０内のＯＳ３７１を実行する。一方で、制御部３１０は、署名３７２が正しくなければ、動作を停止する。その結果、主装置３０の動作が停止する。

　制御部３１０は、ＯＳ３７１の実行を開始すると、実行中のＯＳ３７１上でソフトウェア３７３を実行する。制御部３１０は、ソフトウェア３７３に対応する署名３７４を検証し、署名３７４が正しければソフトウェア３７３を実行する。一方で、制御部３１０は、署名３７４が正しくなければソフトウェア３７３を実行しない。

　このように、本例では、ブートプログラム３６１を記憶する不揮発性メモリ３６０と、ブートプログラム３６１を実行する制御部３１０とが同一のウェハチップに形成されている。そして、ブートプログラム３６１の実行に基づいて実行されるＯＳ３７１には署名３７２がつけられている。これにより、ＯＳ３７１がハッキングされる可能性が低減し、ＯＳ３７１の安全性が担保されている。

　以上のように、本例では、主装置３０は、情報処理装置３の主な機能を実行する。また、主装置３０は、サーバ装置２と通信することが可能であることから、サーバ装置２と通信する機能も実行する。以後、情報処理装置３がサーバ装置２と通信する機能を「サーバ通信機能」と呼ぶことがある。主装置３０は、情報処理装置３が有する主な機能とサーバ通信機能を実現する回路を備えると言える。

　＜動作制御装置の構成例＞
　図６は動作制御装置４０の構成の一例を示す図である。図６に示されるように、動作制御装置４０は、例えば、制御部４１０と、タイマー４２０と、記憶部４３０と、動作許可レジスタ４５０と、動作制御部４６０と、通信部４７０と、クロック生成部４８０と、リセット信号生成部４９０とを備える。動作制御装置４０が備えるこれらの構成要素は、パッケージ４００に収納されている。制御部４１０、タイマー４２０、記憶部４３０、動作許可レジスタ４５０及び通信部４７０は、例えば、バス５５０で互いに電気的に接続されている。

　クロック生成部４８０は、情報処理装置３の動作の基準となるクロック信号ＣＬＫを生成する。クロック生成部４８０はクロック生成回路とも言える。クロック信号ＣＬＫは、動作制御装置４０が備える、制御部４１０及び通信部４７０等を含む内部回路に供給される。動作制御装置４０は、クロック信号ＣＬＫに基づいて動作する。クロック生成部４８０は、水晶発振器を備えてもよいし、水晶を利用しない発振器を備えてもよい。水晶を利用しない発振器としては、例えば、ＭＥＭＳ（Micro Electro Mechanical Systems）を利用した発振器がある。

　リセット信号生成部４９０は、リセットスイッチ５０から操作信号ＳＳが入力されると、リセット信号ＲＳを一定時間アサートする。リセット信号生成部４９０はリセット信号生成回路とも言える。また、リセット信号生成部４９０は、情報処理装置３の電源がオフからオンに切り替われると、リセット信号ＲＳを一定時間アサートする。リセット信号ＲＳは、動作制御装置４０が備える、制御部４１０及び通信部４７０等を含む内部回路に入力される。これにより、リセットスイッチ５０が操作されたとき、動作制御装置４０の動作が初期化されて動作制御装置４０が再起動する。また、情報処理装置３の電源がオフからオンに切り替わったときに、動作制御装置４０の動作が初期化されて動作制御装置４０が再起動する。リセット信号生成部４９０で生成されたリセット信号ＲＳは、主装置３０のリセット入力口３０２にも入力される。

　記憶部４３０は、ＲＯＭ及びＲＡＭなどの、コンピュータが読み取り可能な非一時的な記録媒体を含む。記憶部４３０には、動作制御装置４０を制御するためのプログラムが記憶されている。また、記憶部４３０には、動作制御装置４０を識別するための識別情報４３１が記憶されている。識別情報４３１は、原則、主装置３０のメモリ３７０内の識別情報４３２と同じである。ただし、情報処理システム１に対するハッキングによって、識別情報４３１が識別情報４３２と異なる可能性がある。この点については後述する。

　制御部４１０は、動作制御装置４０の他の構成要素を制御することによって、動作制御装置４０の動作を統括的に管理することが可能である。制御部４１０は制御回路であるとも言える。制御部４１０は、例えばＣＰＵを備えている。制御部４１０の各種機能は、当該制御部４１０が備えるＣＰＵが記憶部４３０内のプログラムを実行することによって実現される。

　本例では、制御部４１０は、情報処理装置３からサーバ装置２に送信される情報を暗号化することができる。また、制御部４１０は、サーバ装置２から情報処理装置３が受信する、暗号化された情報を復号化することができる。記憶部４３０には、暗号化及び復号化に必要な鍵が記憶されている。制御部４１０は、情報処理装置３からサーバ装置２に送信される情報を記憶部４３０内の鍵を用いて暗号化する。また制御部４１０は、サーバ装置２から情報処理装置３が受信する、暗号化された情報を、記憶部４３０内の鍵を用いて復号化する。

　タイマー４２０は、制御部４１０によって設定された所定時間を計測することが可能な回路である。通信部４７０は、主装置３０と、例えばＳＰＩあるいはＩ２Ｃに基づいて通信することが可能である。通信部４７０は通信回路とも言える。通信部４７０は、主装置３０から受け取った情報を制御部４１０に入力することが可能である。また通信部４７０は、制御部４１０から受け取った情報を主装置３０に出力することが可能である。

　動作許可レジスタ４５０は、情報処理装置３がサーバ装置２から受信する動作許可情報５００を記憶することが可能である。動作許可レジスタ４５０は、記憶部の一種であると言える。言い換えれば、動作許可レジスタ４５０は、記憶回路の一種であると言える。ここで、動作許可情報５００は、情報処理装置３の所定機能の動作許可を示す情報である。情報処理装置３は、動作許可情報に応じて、所定機能を動作させる。以後、当該所定機能を「許可対象機能」と呼ぶことがある。

　許可対象機能には、例えば、情報処理装置３の主な機能とサーバ通信機能とが含まれる。情報処理装置３では、主装置３０がサーバ装置２からの動作許可情報５００を受信し、受信した動作許可情報５００を動作制御装置４０に送信する。動作制御装置４０は、通信部４７０において、主装置３０からの動作許可情報５００を受信する。制御部４１０は、通信部４７０で受信された動作許可情報５００を動作許可レジスタ４５０に記憶する。

　動作制御部４６０は、動作許可レジスタ４５０内の動作許可情報５００に基づいて、許可対象機能を制御することが可能である。動作制御部４６０は動作制御回路とも言える。本例では、動作制御部４６０は、動作許可情報５００に基づいて主装置３０の動作を制御することによって、許可対象機能を制御する。動作制御部４６０は、例えば、クロック信号の主装置３０に対する供給を制御することによって、主装置３０を動作させるか否かを制御することが可能である。

　動作制御部４６０は、例えば、カウントダウンタイマー４６１及びクロックゲート４６２を備えている。カウントダウンタイマー４６１は、所定時間を計測することが可能な回路である。クロックゲート４６２は、カウントダウンタイマー４６１が所定時間を計測している間だけ、入力されるクロック信号ＣＬＫを、クロック信号ＣＬＫｍとして、主装置３０のクロック入力口３０１に出力することが可能な回路である。カウントダウンタイマー４６１及びクロックゲート４６２には、クロック信号ＣＬＫが入力される。

　ここで、動作許可情報５００には、例えば、許可対象機能が動作することが可能な動作可能期間を示す期間情報が含まれる。本例では、期間情報は、許可対象機能を実行する主装置３０が動作することが可能な動作可能期間を示すとも言える。期間情報が示す動作可能期間は、例えば、数時間から数十時間に設定される。なお、期間情報が示す動作可能期間はこれに限られない。以後、単に動作可能期間と言えば、期間情報が示す動作可能期間（言い換えれば、動作許可情報５００が示す動作可能期間）を意味する。動作可能期間をＴ１で表すと、Ｔ１は数時間から数十時間となる。

　動作許可情報５００に含まれる期間情報は、例えば、主装置３０がクロック信号ＣＬＫに基づいて動作することが可能な入力クロック数で表される。つまり、動作可能期間Ｔ１は、クロック信号ＣＬＫの入力クロック数で表される。

　ここで、クロックとは、クロック信号ＣＬＫの立ち上がり（言い換えれば立ち上がりエッジ）あるいは立ち下り（言い換えれば立ち下がりエッジ）を意味する。そして、入力クロックとは、クロック信号ＣＬＫについての入力される立ち上がり（言い換えれば立ち上がりエッジ）あるいは入力される立ち下がり（言い換えれば立ち下がりエッジ）を意味する。したがって、入力クロック数は、クロック信号ＣＬＫについての入力される立ち上がりの数（言い換えれば立ち上がりエッジの数）あるいは入力される立ち下がりの数（言い換えれば立ち下がりエッジの数）を意味する。以後、主装置３０がクロック信号ＣＬＫに基づいて動作することが可能な入力クロック数を「動作可能クロック数」と呼ぶことがある。また、動作可能クロック数をＮで表すことがある。

　動作許可レジスタ４５０に動作許可情報５００が書き込まれると、動作許可レジスタ４５０内の動作許可情報５００に含まれる動作可能クロック数Ｎが、自動的にカウントダウンタイマー４６１のカウント値に設定される。カウントダウンタイマー４６１は、カウント値が設定されるとカウント動作を開始する。これにより、カウントダウンタイマー４６１は、クロック信号ＣＬＫが立ち上がるたびにあるいは立ち下がるたびに、カウント値を１つだけカウントダウンする。言い換えれば、カウントダウンタイマー４６１は、クロックが入力されるたびに、カウント値を１つだけカウントダウンする。そして、カウントダウンタイマー４６１は、カウント値が零になると、カウント動作を停止する。これにより、カウントダウンタイマー４６１は、入力されるクロックを、動作可能クロック数Ｎ、カウントすることができる。言い換えれば、カウントダウンタイマー４６１は、動作許可情報５００が示す動作可能期間を計測することができる。

　カウントダウンタイマー４６１は、クロックゲート４６２の動作を制御するためのイネーブル信号ＥＮＳを、クロックゲート４６２のイネーブル入力口ＥＮに入力する。カウントダウンタイマー４６１は、カウント動作を行っていないときには、イネーブル信号ＥＮＳをＬｏｗレベルに設定し、カウント動作を行っているときには、イネーブル信号ＥＮＳをＨｉｇｈレベルに設定する。クロックゲート４６２は、イネーブル入力口ＥＮに入力されるイネーブル信号ＥＮＳがＨｉｇｈレベルのときだけ、クロック入力口ＣＬＫｉｎに入力されるクロック信号ＣＬＫをクロック信号ＣＬＫｍとして出力する。クロックゲート４６２から出力されるクロック信号ＣＬＫｍは主装置３０のクロック入力口３０１に入力される。これにより、カウントダウンタイマー４６１が、動作可能クロック数、入力クロックをカウントすると、クロック信号ＣＬＫｍのクロックが動作可能クロック数だけ主装置３０に入力される。つまり、動作許可情報５００が示す動作可能期間だけクロック信号ＣＬＫｍが主装置３０に入力される。よって、主装置３０は、動作許可情報５００が示す動作可能期間、動作することが可能となる。言い換えれば、主装置３０は、クロック信号ＣＬＫｍが入力されている間、許可対象機能を実行することが可能となる。本例では、主装置３０は、クロック信号ＣＬＫｍが入力されている間、センサ装置３３０で情報を検出し、検出した情報を処理回路３２０で処理することが可能となる。また、主装置３０は、クロック信号ＣＬＫｍが入力されている間、サーバ通信機能を実行することが可能である。

　このように、情報処理装置３は、サーバ装置２から送信される動作許可情報５００に含まれる期間情報に応じて、許可対象機能を動作させる。よって、サーバ装置２は、動作許可情報５００を情報処理装置３に送信することによって、情報処理装置３の許可対象機能を制御することができると言える。

　動作制御装置４０の制御部４１０の動作モードには、例えば、通常モードと、動作制御装置４０の安全性を高めるためのセキュアモードとが含まれる。制御部４１０の動作モードは、基本的には通常モードに設定される。そして、制御部４１０の動作モードは、動作制御装置４０の安全性を高めたいときに例外的にセキュアモードに設定される。

　制御部４１０は、例えば、動作モードがセキュアモードに設定されている場合にだけ、記憶部４３０にアクセスすることができる。つまり、制御部４１０が記憶部４３０にアクセスする場合には、動作モードはセキュアモードに設定されている。したがって、制御部４１０は、動作モードがセキュアモードに設定されている場合だけしか、記憶部４３０内のプログラムを実行することができない。また、制御部４１０は、動作モードがセキュアモードに設定されている場合だけしか、記憶部４３０内の鍵を用いて、情報を暗号化したり、暗号化された情報を復号化したりすることはできない。また、制御部４１０は、動作モードがセキュアモードに設定されている場合だけしか、記憶部４３０内の識別情報４３１を読み出すことができない。このような記憶部４３０は、セキュアメモリとも呼ばれる。

　本例では、制御部４１０は、動作制御装置４０のリセットが解除されて動作制御装置４０が起動すると、つまり、リセット信号ＲＳがネゲートされて動作制御装置４０が起動すると、まず動作モードをセキュアモードに設定する。そして、制御部４１０は、記憶部４３０内のプログラムを実行して、動作制御装置４０の初期設定を行う。その後、制御部４１０は、動作モードを通常モードに設定する。以後、制御部４１０は、必要なときにだけ動作モードをセキュアモードに設定する。

　また制御部４１０は、動作モードがセキュアモードに設定されている場合にだけ、動作許可レジスタ４５０に情報を書き込むことが可能である。つまり、制御部４１０が、動作許可レジスタ４５０に情報を書き込む場合には、動作モードはセキュアモードに設定されている。また制御部４１０は、動作モードがセキュアモードに設定されている場合にだけ、タイマー４２０が計測する所定期間を当該タイマー４２０に設定することができる。通信部４７０が主装置３０と通信する場合には、動作モードは通常モードに設定される。なお、通信部４７０が主装置３０と通信する場合、動作モードがセキュアモードに設定されてもよい。

　このように、制御部４１０の動作モードには、通常モードとセキュアモードが含まれることから、通常モードで動作する動作制御装置４０が仮にハッキングされたとしても、セキュアモードで動作する動作制御装置４０を保護することができる。よって、記憶部４３０及び動作許可レジスタ４５０内の重要な情報が書き換えられる可能性を低減することができる。さらに、記憶部４３０内の重要な情報が外部に漏れる可能性を低減することができる。その結果、動作制御装置４０の安全性を向上することができる。

　なお、動作制御装置４０の構成は図３及び６の例には限られない。例えば、動作制御装置４０が備える複数の回路が、複数のパッケージに分けられて収納されてもよい。また制御部４１０は、複数のＣＰＵを備えてもよい。また制御部４１０は、少なくとも一つのＤＳＰを備えてもよい。また、制御部４１０の全ての機能あるいは制御部４１０の一部の機能は、その機能の実現にソフトウェアが不要なハードウェア回路によって実現されてもよい。また記憶部４３０は、ＲＯＭ及びＲＡＭ以外の、コンピュータが読み取り可能な非一時的な記録媒体を備えてもよい。記憶部４３０は、例えば、小型のハードディスクドライブ及びＳＳＤなどを備えてもよい。また記憶部４３０内の情報が暗号化されていてもよい。また動作制御装置４０は、リセット信号生成部４９０を備えなくてもよい。この場合、リセット信号生成部４９０は、例えば、動作制御装置４０及び主装置３０とは異なるパッケージに収納されて、基板６０上に実装されてもよい。

　＜サーバ装置が動作許可情報を送信する際の情報処理システムの動作例＞
　本例では、サーバ装置２は、情報処理装置３に関する所定の条件の成立に応じて、動作許可情報を情報処理装置３に送信する。この所定の条件を「動作許可条件」と呼ぶことがある。

　動作許可条件としては、例えば、サーバ装置２と情報処理装置３との間の相互認証の成功が考えられる。本例では、サーバ装置２は、情報処理装置３との間の相互認証が成功したと判断すると、それを条件として動作許可情報を情報処理装置３に送信する。

　図７は、情報処理装置３の起動時の情報処理システム１の動作の一例を示すフローチャートである。本例では、情報処理装置３の起動時に、情報処理装置３とサーバ装置２との間で相互認証が行われる。情報処理装置３とサーバ装置２との間で相互認証では、例えば、公開鍵暗号方式が用いられる。

　本例では、情報処理装置３のリセットが解除されて情報処理装置３が起動すると、動作制御装置４０の動作許可レジスタ４５０に対して初期値Ｍ（＞０）が設定される。初期値Ｍは、例えば、主装置３０が数秒間動作することが可能な値に設定される。言い換えれば、初期値Ｍは、主装置３０にクロック信号ＣＬＫｍが数秒間入力されるような値に設定される。動作許可レジスタ４５０に初期値Ｍが設定されると、カウントダウンタイマー４６１は、初期値Ｍをカウント値に設定してカウント動作を行う。これにより、動作許可レジスタ４５０の値が書き換えられなければ、主装置３０には、クロックが初期値Ｍと同じ数だけ入力される。言い換えれば、主装置３０には、数秒間、クロック信号ＣＬＫｍが供給される。よって、情報処理装置３のリセットが解除された後、主装置３０は動作することができる。以後、初期値Ｍに応じた、主装置３０が動作することが可能な期間を「初期動作可能期間」と呼ぶことがある。情報処理装置３は、初期動作可能期間において、サーバ装置２との間で相互認証を行う。初期動作可能期間をＴ０で表すと、Ｔ０は数秒程度となり、Ｔ０＜Ｔ１となる。つまり、初期動作可能期間Ｔ０は、動作許可情報５００が示す動作可能期間Ｔ１よりも短い。なお、Ｔ０≧Ｔ１であってもよい。

　情報処理装置３が起動すると、図７に示されるように、ステップｓ１において、情報処理装置３とサーバ装置２との間で相互認証が行われる。その後、ステップｓ２において、サーバ装置２の制御部２０は、相互認証に成功したと判断すると、ステップｓ３において、動作許可情報を生成し、生成した動作許可情報を暗号化する。制御部２０は、記憶部２１内の鍵を用いて、動作許可情報を暗号化する。次にステップｓ４において、制御部２０は、通信部２２に、暗号化した動作許可情報（暗号化動作許可情報ともいう）を情報処理装置３に送信させる。なお、サーバ装置２は、相互認証に失敗した場合には、動作許可情報を送信しない。

　情報処理装置３は、暗号化動作許可情報を受信すると、ステップｓ５において、受信した暗号化動作許可情報を復号化する。ステップｓ５では、主装置３０の制御部３１０が、第２通信部３５０で受信された暗号化動作許可情報を第１通信部３４０に送信させる。これにより、暗号化動作許可情報が動作制御装置４０に入力される。動作制御装置４０では、制御部４１０は、通信部４７０で受信された暗号化動作許可情報を復号化する。具体的には、制御部２０は、記憶部４３０内の鍵を用いて暗号化動作許可情報を復号化する。これにより、平文の動作化許可情報が得られる。

　次にステップｓ６において、制御部４１０は、平文の動作許可情報を、動作許可レジスタ４５０に書き込む。これにより、カウントダウンタイマー４６１のカウント値が、動作許可レジスタ４５０内の動作許可情報が示す動作可能クロック数Ｎに設定される。以降、主装置３０は、動作許可レジスタ４５０内の動作許可情報が示す動作可能期間（例えば数時間から数十時間）、動作することが可能となる。

　以上のステップｓ１～ｓ６から成る処理は、情報処理装置３の初期動作可能期間において実行される。したがって、相互認証が成功してステップｓ６が実行される場合には、主装置３０は、ステップｓ６の後も継続して動作することが可能となる。動作許可情報が動作許可レジスタ４５０に書き込まれた後においては、情報処理装置３は許可対象機能を実行する。

　一方で、相互認証が失敗した場合には、動作許可レジスタ４５０に動作許可情報が設定されないことから、初期動作可能期間の経過後、主装置３０に対するクロック信号ＣＬＫの供給が停止する。これにより、主装置３０の動作が停止する。相互認証が失敗した場合には、情報処理装置３は許可対象機能を実行しない。

　なおサーバ装置２は、情報処理装置３に対して、動作許可情報を暗号化せずに送信してもよい。

　＜主な機能を実行する場合の情報処理装置の動作例＞
　図８は、主な機能を実行する場合の情報処理装置の動作の一例を示すフローチャートである。図８に示されるように、ステップｓ１１において、情報処理装置３は、センサ情報を取得する。ステップｓ１１では、主装置３０の制御部３１０が、センサ装置３３０を動作させて、センサ装置３３０に情報を検出させる。そして、制御部３１０は、センサ装置３３０で検出されたセンサ情報をメモリ３７０に記憶する。これにより、センサ情報が取得される。

　次にステップｓ１２において、情報処理装置３は、取得したセンサ情報に対して所定の処理を行う。ステップｓ１２では、制御部３１０は、処理回路３２０を動作させる。処理回路３２０は、メモリ３７０からセンサ情報を取得し、取得したセンサ情報に対して所定の処理を行う。そして、処理回路３２０は、処理後のセンサ情報を、処理済みセンサ情報としてメモリ３７０に記憶する。

　次にステップｓ１３において、情報処理装置３は、処理済みセンサ情報を暗号化する。ステップｓ１３では、制御部３１０は、メモリ３７０から処理済みセンサ情報を読み出して第１通信部３４０に入力する。第１通信部３４０は、入力された処理済みセンサ情報を動作制御装置４０に送信する。動作制御装置４０では、制御部４１０は、通信部４７０で受信された処理済みセンサ情報を、記憶部４３０内の鍵を用いて暗号化する。以後、暗号化された処理済みセンサ情報を「暗号化処理済みセンサ情報」と呼ぶことがある。

　次にステップｓ１４において、情報処理装置３は、ステップｓ１３で得られた暗号化処理済みセンサ情報をサーバ装置２に送信する。ステップｓ１４では、主装置３０は、動作制御装置４０から暗号化処理済みセンサ情報を受け取り、受け取った暗号化処理済みセンサ情報をサーバ装置２に送信する。

　以上のステップｓ１１～ｓ１４から成る処理を、情報処理装置３は、動作可能期間において、つまり、主装置３０にクロック信号ＣＬＫが供給されているときに、繰り返し実行する。以後、図８に示される、センサ情報の取得及び送信を「情報取得送信処理」と呼ぶことがある。

　サーバ装置２では、通信部２２が暗号化処理済みセンサ情報を受信すると、制御部２０が、受信された暗号化処理済みセンサ情報を記憶部２１内の鍵を用いて復号化する。これにより、平文の処理済みセンサ情報が得られる。そして、制御部２０は、平文の処理済みセンサ情報を記憶部２１に記憶する。その後、制御部２０は、記憶部２１内の処理済みセンサ情報を用いた処理を行う。例えば、制御部２０は、処理済みセンサ情報を解析し、その解析結果を表示部２３に表示させたり、複数の情報処理装置３からの処理済みセンサ情報をグラフ化して表示部２３に表示させたりする。

　なお情報処理装置３は、サーバ装置２に対して、処理済みセンサ情報を暗号化せずに送信してもよい。

　＜動作許可情報の繰り返し送信＞
　上述の説明から理解できるように、情報処理装置３は、サーバ装置２から動作許可情報を受け取った後、当該動作許可情報が示す動作可能期間において、新たに動作許可情報を受信しない場合には、当該動作可能期間の経過後に、許可対象機能を停止することになる。したがって、この場合には、情報処理装置３は、許可対象機能を長い期間実行することが難しくなる。

　そこで、本例では、情報処理装置３は、サーバ装置２から受信した動作許可情報が示す動作可能期間において、サーバ装置２との間で、動作許可情報をサーバ装置２から受信するための処理を行う。以後、当該処理を「動作許可用処理」と呼ぶことがある。情報処理装置３は、サーバ装置２から受信した動作許可情報が示す動作可能期間において、サーバ装置２との間で、動作許可情報を再度サーバ装置２が送信するための処理を行うとも言える。動作許可用処理は、情報処理装置３がサーバ装置２に対して許可対象機能の動作許可を要求する処理であるとも言える。

　サーバ装置２は、動作許可用処理に応じた動作許可条件の成立に応じて、動作許可情報を情報処理装置３に送信する。これにより、情報処理装置３は、動作可能期間が経過するまでに、新たな動作許可情報を受信することが可能となる。よって、情報処理装置３は、長い期間、主装置３０を動作させることが可能となる。つまり、情報処理装置３は、長い期間、許可対象機能を実行することが可能となる。

　動作許可用処理としては、例えば、動作許可情報の送信を要求するための要求信号を情報処理装置３がサーバ装置２に送信する処理が考えられる。また、動作許可用処理に応じた動作許可条件とは、例えば、情報処理装置３が送信する要求信号についてのサーバ装置２の受信が考えられる。本例では、情報処理装置３は、動作可能期間において、要求信号を送信する。そして、サーバ装置２は、要求信号の受信に応じて、動作許可情報を情報処理装置３に送信する。

　なお、相互認証が成功したときには、サーバ装置２は動作許可情報を送信することから、情報処理装置３がサーバ装置２と行う相互認証は、動作許可用処理であると言える。

　また、情報処理装置３のリセットが解除した後にサーバ装置２が最初に動作許可情報を送信するための動作許可条件は、上記の例では、相互認証の成功となっている。一方で、情報処理装置３のリセットが解除した後にサーバ装置２が二回目以降に動作許可情報を送信するための動作許可条件は、サーバ装置２が要求信号を受信することとなっている。

　このように、本例では、サーバ装置２の動作許可情報の最初の送信についての動作許可条件と、サーバ装置２の動作許可情報の二回目以降の送信についての動作許可条件とは、互いに異なっている。

　図９は、情報処理装置３が要求信号を送信する様子を示す図である。本例では、情報処理装置３は、上述の図７のステップｓ６の後、主装置３０が動作しているときには、送信間隔Ｔ２で要求信号ＲＥＱを繰り返し送信する。送信間隔Ｔ２は、動作可能期間Ｔ１以下に設定される。言い換えれば、動作許可用処理の実行間隔は、動作可能期間Ｔ１以下に設定される。送信間隔Ｔ２は、例えば１時間に設定される。なお、送信間隔Ｔ２は一定でなくてもよい。

　図１０は、サーバ装置２及び情報処理装置３の動作の一例を示すフローチャートである。図１０に示されるように、上述のステップｓ６の後、ステップｓ２１において、情報処理装置３は、動作可能期間Ｔ１内に要求信号を送信する。このとき、情報処理装置３は、例えば、暗号化した要求信号を送信する。ステップｓ２１では、動作制御装置４０の制御部４１０は、要求信号を生成し、生成した要求信号を記憶部４３０内の鍵で暗号化する。そして、制御部４１０は、暗号化された要求信号を通信部４７０に送信させる。これにより、要求信号が主装置３０に入力される。主装置３０は、第１通信部３４０で受信された要求信号をサーバ装置２に送信する。

　サーバ装置２は、要求信号を受信すると、つまり、動作許可条件が成立すると、ステップｓ２２を実行する。制御部２０は、通信部２２で受信された、暗号化された要求信号を記憶部２１内の鍵で復号化する。そして、制御部２０は、ステップｓ２２において、上述のステップｓ３と同様にして、暗号化動作許可情報を生成する。その後、ステップｓ２３において、サーバ装置２は、暗号化動作許可情報を情報処理装置３に送信する。

　情報処理装置３は、上述のステップｓ５と同様にして、ステップｓ２４において、受信した暗号化動作許可情報を復号化する。そして、情報処理装置３は、ステップｓ６と同様にして、ステップｓ２５において、平文の動作許可情報を、動作制御装置４０の動作許可レジスタ４５０に設定する。これにより、動作許可レジスタ４５０に再度動作許可情報が設定され、あらたな動作可能期間Ｔ１が設定される。つまり、動作可能期間Ｔ１が更新される。

　ステップｓ２５の後、情報処理装置３は、ステップｓ２１の実行から送信間隔Ｔ２後に、要求信号（詳細には暗号化された要求信号）を再度サーバ装置２に送信する（ステップｓ２６）。サーバ装置２は、要求信号を受信すると、ステップｓ２７において、ステップｓ３と同様にして、暗号化動作許可情報を生成する。そして、ステップｓ２８において、サーバ装置２は、暗号化動作許可情報を情報処理装置３に送信する。

　情報処理装置３は、ステップｓ５と同様にして、ステップｓ２９において、受信した暗号化動作許可情報を復号化する。そして、情報処理装置３は、ステップｓ６と同様にして、ステップｓ３０おいて、平文の動作許可情報を、動作制御装置４０の動作許可レジスタ４５０に設定する。これにより、動作許可レジスタ４５０に再度動作許可情報が設定され、動作可能期間Ｔ１がさらに更新される。

　ステップｓ３０の後、情報処理装置３は、ステップｓ２６の実行から送信間隔Ｔ２後に要求信号を再度サーバ装置２に送信する（ステップｓ３１）。以後、情報処理装置３及びサーバ装置２は同様に動作する。なお情報処理装置３は、要求信号を暗号化せずにサーバ装置２に送信してもよい。

　このように、情報処理装置３が、動作可能期間Ｔ１以下の間隔で要求信号をサーバ装置２に送信することによって、情報処理装置３は、動作可能期間Ｔ１が経過する前に、新たな動作許可情報を受信することが可能となる。言い換えれば、情報処理装置３が、動作可能期間Ｔ１以下の間隔で、動作許可用処理を実行することによって、情報処理装置３は、動作可能期間Ｔ１が経過する前に、新たな動作許可情報を受信することが可能となる。よって、情報処理装置３は、動作可能期間Ｔ１が経過する前に、動作可能期間Ｔ１を更新することができる。これにより、情報処理装置３は、相互認証が成功した後、主装置３０を継続して動作させることができる。よって、情報処理装置３は、長い期間、許可対象機能を実行することが可能となる。

　図１１は、動作可能期間Ｔ１が更新される様子の一例を示す図である。図１１に示されるように、本例では、動作可能期間Ｔ１内に動作許可情報が動作許可レジスタ４５０に設定されて動作可能期間Ｔ１が更新される処理が繰り返されることによって、主装置３０が継続して動作することが可能となる。

　また、送信間隔Ｔ２が、動作可能期間Ｔ１の半分未満に設定される場合には、情報処理装置３とサーバ装置２との間の通信が一時的に適切に行われなかった場合であっても、情報処理装置３が、動作可能期間Ｔ１が経過する前に、動作可能期間Ｔ１を更新できる可能性を向上することができる。以下にこの点について説明する。

　例えば、上述の図１０のステップｓ２５で設定される動作可能期間Ｔ１を「動作可能期間Ｔ１ｔ」と呼ぶ。また、ステップｓ２６及びｓ３１で送信される要求信号ＲＥＱを、それぞれ要求信号ＲＥＱ１及びＲＥＱ２と呼ぶ。また、情報処理装置３が、要求信号ＲＥＱ２の次に送信する要求信号ＲＥＱを要求信号ＲＥＱ３と呼ぶ。

　情報処理装置３が送信した要求信号ＲＥＱ１が、通信品質の一時的な悪化等の理由で、サーバ装置２に届かなかった場合、ステップｓ２７～ｓ３０が実行されない。したがって、情報処理装置３は、要求信号ＲＥＱ１の送信に応じた動作可能期間の更新を実行することができない。また、情報処理装置３が送信した要求信号ＲＥＱ１を受信したサーバ装置２が送信する動作許可情報が、通信品質の一時的な悪化等の理由で、情報処理装置３に届かなかった場合、ステップｓ２９及びｓ３０が実行されない。したがって、情報処理装置３は、要求信号ＲＥＱ１の送信に応じた動作可能期間の更新を実行することができない。

　このように、情報処理装置３は、送信した要求信号ＲＥＱ１に応じた動作許可情報を受信できない場合には、要求信号ＲＥＱ１の送信に応じた動作可能期間の更新を実行することができない。このような場合、送信間隔Ｔ２が、動作可能期間Ｔ１の半分未満に設定される場合には、図１２に示されるように、情報処理装置３は、要求信号ＲＥＱ１を送信する動作可能期間Ｔ１ｔにおいて、次の要求信号ＲＥＱ２を送信することができる。つまり、情報処理装置３は、送信した要求信号に応じた動作許可情報を受信できない場合であって、当該要求信号を送信した動作可能期間と同じ期間において、再度要求信号を送信することができる。これにより、情報処理装置３は、動作可能期間Ｔ１ｔにおいて、動作許可情報を受信できる可能性が向上する。つまり、情報処理装置３が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

　また、情報処理装置３は、通信品質の一時的な悪化等の理由で、送信した要求信号ＲＥＱ２に応じた動作許可情報を受信できない場合であっても、送信間隔Ｔ２によっては、図１２に示されるように、情報処理装置３は、動作可能期間Ｔ１ｔにおいて、次の要求信号ＲＥＱ３を送信できることがある。この場合には、情報処理装置３は、動作可能期間Ｔ１ｔにおいて、要求信号ＲＥＱ３に応じた動作許可情報を受信できる可能性がある。よって、情報処理装置３は、要求信号ＲＥＱ１及びＲＥＱ２に応じた動作許可情報を受信できない場合であっても、動作可能期間Ｔ１ｔにおいて、動作許可情報を受信できる可能性が向上する。これにより、情報処理装置３が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

　このように、情報処理装置３が、動作可能期間において送信した要求信号に応じた動作許可情報を受信しないときに、当該動作可能期間と同じ期間において要求信号を再度送信することができるように、要求信号を繰り返し送信することによって、情報処理装置３が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。言い換えれば、情報処理装置３が、動作可能期間において実行した動作許可用処理に応じた動作許可情報を受信しないときに、当該動作可能期間と同じ期間において動作許可用処理を再度実行することができるように、動作許可用処理を繰り返し実行することによって、情報処理装置３が、動作可能期間が経過する前に、動作可能期間を更新できる可能性を向上することができる。

　なお上記の例では、サーバ装置２の動作許可情報の最初の送信についての動作許可条件と、サーバ装置２の動作許可情報の二回目以降の送信についての動作許可条件とは、互いに異なっていたが、両者は同じであってもよい。例えば、サーバ装置２の動作許可情報の最初の送信についての動作許可条件は、サーバ装置２が要求信号ＲＥＱを受信することであってもよい。この場合、情報処理装置３のリセット解除後においては、相互認証が実行されずに、情報処理装置３は要求信号ＲＥＱをサーバ装置２に送信する。サーバ装置２は、要求信号ＲＥＱを受信すると、上述のステップｓ３及びｓ４を実行して、暗号化動作許可情報を情報処理装置３に送信する。情報処理装置３は、暗号化動作許可情報を受信すると、上述のステップｓ５及びｓ６を実行して、平文の動作許可情報を動作許可レジスタ４５０に書き込む。これにより、情報処理装置３に動作可能期間が初めて設定される。

　また、サーバ装置２の動作許可情報の二回目以降の送信についての動作許可条件は、相互認証の成功であってもよい。この場合、上述のステップｓ６の後、サーバ装置２と情報処理装置３との間の相互認証が行われる。その後、サーバ装置２は、相互認証に成功したと判断すると、上述のステップｓ２及びｓ３を実行して、暗号化動作許可情報を情報処理装置３に送信する。情報処理装置３は、暗号化動作許可情報を受信すると、上述のステップｓ２４及びｓ２５を実行して、平文の動作許可情報を動作許可レジスタ４５０に書き込む。これにより、動作可能期間が更新される。

　なお、サーバ装置２の動作許可情報の二回目以降の送信においては、相互認証の成功という動作許可条件と、サーバ装置２の要求信号の受信という動作許可条件とが混在してもよい。

　上記の例では、制御部４１０の動作モードには、通常モード及びセキュアモードが含まれているが、制御部４１０は常にセキュアモードで動作してもよい。この場合には、制御部４１０について説明した上記の動作はすべてセキュアモードで実行される。

　以上のように、本例では、情報処理装置３は、サーバ装置２から受信する動作許可情報に応じて、許可対象機能を動作させる。したがって、情報処理装置３がハッキングされてサーバ装置２から動作許可情報を受信できない場合には、情報処理装置３は許可対象機能を停止することができる。よって、情報処理装置３の許可対象機能がハッカーによって利用される可能性を低減することができる。その結果、情報処理装置３の安全性が向上する。

　例えば、通信ネットワーク４に接続された主装置３０がハッキングされた結果、ＤｏＳ（Denial of Service attack）攻撃のように、情報処理装置３が、本来の通信相手のサーバ装置２とは異なる通信装置と頻繁に通信する場合を考える。この場合、情報処理装置３の本来の通信相手であるサーバ装置２は、情報処理装置３から信号を受信することができないことから、動作許可条件が成立しない。したがって、サーバ装置２は、動作許可情報を送信しない。これにより、情報処理装置３の主装置３０の動作が停止する。その結果、情報処理装置３の主な機能及びサーバ通信機能がハッカーによって利用される可能性を低減することができる。さらに、情報処理装置３のサーバ通信機能が停止することによって、ハッキングされた情報処理装置３が外部に悪影響を与える可能性を低減することができる。

　他の例として、制御部４１０の動作モードに、通常モード及びセキュアモードが含まれる場合に、主装置３０と通信することが可能な通常モードの動作制御装置４０がハッキングされた結果、動作制御装置４０の通信部４７０が主装置３０と通信できない場合を考える。この場合、サーバ装置２は、情報処理装置３から、動作許可条件の成立に必要な信号（例えば、要求信号あるいは相互認証で使用される乱数など）を受信することができないことから、動作許可情報を送信しない。これにより、情報処理装置３の主装置３０の動作が停止し、その結果、許可対象機能がハッカーによって利用される可能性を低減することができる。

　また本例では、主装置３０、言い換えれば、情報処理装置３の許可対象機能を実現する回路と、動作制御装置４０とは、互いに異なるパッケージに収納されている。したがって、例えば、主装置３０として機能する既存の機器に対して、後から動作制御装置４０を接続することによって、安全性の高い情報処理装置３を簡単に実現することができる。

　上記の例では、動作制御装置４０は、動作可能期間の経過後、許可対象機能を停止していたが、許可対象機能を制限してもよい。この場合、動作制御装置４０は、例えば、動作可能期間の経過後においても、主装置３０のクロック入力口３０１にクロック信号を入力する。そして、動作制御装置４０は、動作可能期間においてクロック入力口３０１に入力されるクロック信号の周波数よりも、動作可能期間の経過後にクロック入力口３０１に入力されるクロック信号の周波数を分周器等を用いて小さくする。これにより、動作可能期間の経過後においては、主装置３０の動作速度が低減し、許可対象機能が動作可能期間内よりも制限される。

　＜主装置の動作の復帰方法の一例＞
　主装置３０に対するクロック信号ＣＬＫの供給が停止して、主装置３０の動作が停止した場合には、ユーザは、例えば、リセットスイッチ５０を操作することによって、情報処理装置３に主装置３０の動作を復帰させることができる。

　リセットスイッチ５０が操作されると、リセット信号生成部４９０はリセット信号ＲＳをアサートする。これにより、情報処理装置３の動作が初期化される。情報処理装置３の動作が初期化されると、上述のように、動作許可レジスタ４５０には初期値Ｍが設定され、主装置３０は、初期動作可能期間、動作することが可能となる。情報処理装置３は、初期動作可能期間において、サーバ装置２との間で動作許可用処理（例えば、相互認証あるいは要求信号の送信）を実行する。動作許可用処理の実行の結果、動作許可条件が成立すると、動作許可レジスタ４５０に動作許可情報が設定される。これにより、情報処理装置３に動作可能期間が設定され、主装置３０は引き続き動作することが可能となる。

　なお上述のように、リセット信号生成部４９０は、情報処理装置３の電源がオフからオンに切り替われると、リセット信号ＲＳをアサートする。したがって、情報処理装置３に電源スイッチが設けられている場合には、ユーザは、当該電源スイッチを操作して、情報処理装置３の電源をいったんオフにした後に再度オンにすることによって、情報処理装置３に主装置３０の動作を復帰させることができる。

　上記の例では、情報処理装置３は、主装置３０に対するクロック信号ＣＬＫｍの供給を停止することによって許可対象機能を停止していたが、他の方法を用いて許可対象機能を停止してもよい。例えば、情報処理装置３は、主装置３０に入力されるリセット信号をアサートすることによって、許可対象機能を停止してもよい。図１３は、この場合の情報処理装置３が備える動作制御装置４０の構成の一例を示す図である。図１３に示される動作制御装置４０は、リセット信号ＲＳとは別に、主装置３０用のリセット信号ＲＳｍを生成する。リセット信号ＲＳは、動作制御装置４０用のリセット信号であるとも言える。

　図６に示される動作制御装置４０と比較して、図１３に示される動作制御装置４０は、クロックゲート４６２を備えていない。また、図１３に示される動作制御装置４０では、クロック生成部４８０が出力するクロック信号ＣＬＫが主装置３０のクロック入力口３０１に直接入力されている。そして、図１３に示される動作制御装置４０には、リセット信号ＲＳｍを生成するリセット信号生成部５１０が設けられている。主装置３０のリセット入力口３０２には、リセット信号ＲＳではなく、リセット信号ＲＳｍが入力される。図１３の例では、カウントダウンタイマー４６１とリセット信号生成部５１０とで、主装置３０を動作させるか否かを制御する動作制御部５２０が構成される。

　リセット信号生成部５１０には、リセット信号ＲＳと、カウントダウンタイマー４６１から出力されるイネーブル信号ＥＮＳが入力される。リセット信号生成部５１０は、入力されるリセット信号ＲＳがアサートされると、主装置３０用のリセット信号ＲＳｍをアサートする。したがって、リセット信号ＲＳがアサートされる場合には、リセット信号ＲＳｍがアサートされて、主装置３０の動作が初期化される。

　またリセット信号生成部５１０は、イネーブル信号ＥＮＳがＬｏｗレベルのとき、リセット信号ＲＳｍをアサートする。言い換えれば、リセット信号生成部５１０は、カウントダウンタイマー４６１がカウント動作を行わないとき、リセット信号ＲＳｍをアサートする。一方で、リセット信号生成部５１０は、イネーブル信号ＥＮＳがＨｉｇｈレベルのとき、リセット信号ＲＳｍをアサートしない。言い換えれば、リセット信号生成部５１０は、カウントダウンタイマー４６１がカウント動作を行っているとき、リセット信号ＲＳｍをネゲートする。図１３に示される動作制御装置４０の他の動作については、上述の図６に示される動作制御装置４０と同様である。

　このような構成を有する動作制御装置４０では、情報処理装置３のリセット解除後に(言い換えれば、情報処理装置３の起動後に）、動作許可レジスタ４５０に初期値が設定されると、イネーブル信号ＥＮＳがＬｏｗレベルからＨｉｇｈレベルに変化して、主装置３０のリセット入力口３０２に入力されるリセット信号ＲＳｍがネゲートされる。これより、主装置３０は初期動作可能期間、動作することが可能となる。そして、初期動作可能期間において、動作許可条件が成立して、動作許可レジスタ４５０に動作許可情報５００が設定されると、イネーブル信号ＥＮＳはＨｉｇｈレベルを維持し、主装置３０は動作を継続する。その後、動作許可レジスタ４５０内の動作許可情報５００が更新されない場合には、情報処理装置３に現在設定されている動作可能期間が経過すると、リセット入力口３０２に入力されるリセット信号ＲＳｍがアサートされ、その結果、主装置３０の動作が停止する。

　このように、情報処理装置３が、主装置３０に入力されるリセット信号をアサートすることによって許可対象機能を停止する場合であっても、上記と同様に、情報処理装置３の安全性を向上することができる。

　主装置３０と動作制御装置４０とは同一のパッケージに収納されてもよい。また、主装置３０と動作制御装置４０とが同一のパッケージに収納される場合には、主装置３０の第２通信部３５０の代わりに、動作制御装置４０の通信部４７０が通信ネットワーク４と通信してもよい。図１４は、この場合の情報処理装置３の構成の一例を示す図である。図１４ではリセットスイッチ５０の図示を省略している。

　図１４の例では、動作制御装置４０の通信部４７０が通信ネットワーク４に接続されている。通信部４７０は、通信ネットワーク４を通じてサーバ装置２と通信可能である。また、主装置３０はバス５５０に接続されている。以後、バス５５０に接続された主装置３０を「機能ブロック３０」と呼ぶことがある。

　機能ブロック３０には、例えば、上述の制御部３１０、処理回路３２０、センサ装置３３０、不揮発性メモリ３６０、不揮発性メモリ３７０及び揮発性メモリ３８０が含まれており、これらはバス３９０に接続されている。機能ブロック３０には、上述の第１通信部３４０及び第２通信部３５０は含まれていない。制御部３１０は、動作制御装置４０のバス５５０に接続されており、バス５５０を通じて制御部４１０と情報のやり取りを行う。動作制御装置４０の制御部４１０は、動作モードが通常モードのとき、機能ブロック３０の制御部３１０と情報のやり取りを行う。また、機能ブロック３０の制御部３１０は、バス５５０を通じて、動作制御装置４０のタイマー４２０、記憶部４３０及び動作許可レジスタ４５０に対して直接アクセスすることができないようになっている。

　このような構成を有する情報処理装置３では、当該情報処理装置３がサーバ装置２に送信する要求信号及び処理済みセンサ情報等の情報は、通信部４７０からサーバ装置２に送信される。また、サーバ装置２が情報処理装置３に送信する動作許可情報は、通信部４７０で受信される。

　また、上述の図８に示される情報取得送信処理においては、制御部４１０は、ステップｓ１３において、機能ブロック３０の制御部３１０から処理済みセンサ情報をバス５５０を通じて受け取り、受け取った処理済みセンサ情報を暗号化する。その後、ステップｓ１４において、制御部３１０は、通信部４７０に、暗号化処理済みセンサ情報をサーバ装置２に送信させる。

　図１４に示される例であっても、上記と同様に、情報処理装置３の安全性を向上することができる。例えば、サーバ装置２と通信することが可能な通常モードの動作制御装置４０がハッキングされた結果、ＤｏＳ攻撃のように、情報処理装置３が、本来の通信相手のサーバ装置２とは異なる通信装置と頻繁に通信する場合を考える。この場合、情報処理装置３の本来の通信相手であるサーバ装置２は、情報処理装置３から信号を受信することができないことから、動作許可条件が成立しない。その結果、サーバ装置２は、動作許可情報を送信しない。これにより、情報処理装置３の機能ブロック３０の動作が停止する。その結果、情報処理装置３の許可対象機能がハッカーによって利用される可能性を低減することができる。図１４の例では、機能ブロック３０に対するクロック信号ＣＬＫの供給が停止すると、情報処理装置３の主な機能が停止するものの、サーバ通信機能は停止しない。よって、図１４の例では、許可対象機能にはサーバ通信機能が含まれない。

　なお図１４の例では、情報処理装置３は、機能ブロック３０に対するクロック信号ＣＬＫｍの供給を停止することによって、機能ブロック３０を停止しているが、上述の図１３の例のように、機能ブロック３０用のリセット信号ＲＳｍを生成し、リセット信号ＲＳｍをアサートすることによって、機能ブロック３０を停止してもよい。

　また図１４の例では、許可対象機能に、サーバ通信機能が含まれていないが、サーバ通信機能を含めてもよい。例えば、通信部４７０に対して、クロック生成部４８０が生成するクロック信号ＣＬＫを直接入力するのではなく、クロックゲート４６２が出力するクロック信号ＣＬＫｍを入力することによって、許可対象機能に、サーバ通信機能を含めることができる。

　また図１５に示されるように、通信部４７０用のリセット信号ＲＳｎを生成するリセット信号生成部５４０を動作制御装置４０に設けることによって、許可対象機能にサーバ通信機能を含めることができる。リセット信号生成部５４０は、リセット信号ＲＳがアサートされると、通信部４７０に入力されるリセット信号ＲＳｎをアサートする。また、リセット信号生成部５４０は、イネーブル信号ＥＮＳがＬｏｗレベルになると、リセット信号ＲＳｎをアサートする。これより、通信部４７０に入力されるリセット信号ＲＳｎは、カウントダウンタイマー４６１がカウント動作しているとき（イネーブル信号ＥＮＳがＨｉｇｈレベル）ネゲートされ、カウントダウンタイマー４６１がカウント動作していないとき（イネーブル信号ＥＮＳがＬｏｗレベル）アサートされる。

　また図１６に示されるように、イネーブル信号ＥＮＳに基づいてバス５５０と通信部４７０の接続を制御するスイッチ回路５３０を設けることによって、許可対象機能にサーバ通信機能を含めてもよい。図１６の例では、スイッチ回路５３０は、イネーブル信号ＥＮＳがＨｉｇｈレベルのとき、通信部４７０をバス５５０に接続する。この場合、情報処理装置３は、通信部４７０を使用して、サーバ装置２と通信することができる。よって、サーバ通信機能が動作する。一方で、スイッチ回路５３０は、イネーブル信号ＥＮＳがＬｏｗレベルのとき、通信部４７０をバス５５０に接続しない。この場合、情報処理装置３は、通信部４７０を使用して、サーバ装置２と通信することができない。よって、サーバ通信機能が停止する。

　また、情報処理装置３は、主装置３０に対する電源供給を停止することによって、主装置３０の動作を停止してもよい。図１７はこの場合の動作制御装置４０の構成の一例を主に示す図である。図１７の例では、情報処理装置３は、その電源を生成するバッテリ７０を備えている。動作制御装置４０及び主装置３０は、バッテリ７０の出力電圧Ｖｂに基づいて動作する。

　図１７に示される動作制御装置４０は、上述の図１３に示される動作制御装置４０において、リセット信号生成部５１０の替わりに電源回路６１０を備え、リセット信号ＲＳを主装置３０に入力するものである。

　電源回路６１０は、主装置３０の電源電圧Ｖｍを生成する。電源回路６１０は、バッテリ７０の出力電圧Ｖｂに基づいて電源電圧Ｖｍを生成して出力することが可能である。電源回路６１０は例えば降圧回路であって、バッテリ７０の出力電圧Ｖｂを降圧して出力する。

　主装置３０には電源電圧Ｖｍが入力される電源入力口３０３が設けられている。主装置３０は、電源入力口３０３に入力される電源電圧Ｖｍに基づいて動作を行う。図１７の例では、カウントダウンタイマー４６１と電源回路６１０とで、主装置３０の動作を制御する動作制御部６２０が構成される。

　電源回路６１０には、カウントダウンタイマー４６１から出力されるイネーブル信号ＥＮＳが入力される。電源回路６１０は、イネーブル信号ＥＮＳがＬｏｗレベルのとき電源電圧Ｖｍを出力しない。一方で、電源回路６１０は、イネーブル信号ＥＮＳがＨｉｇｈレベルのとき電源電圧Ｖｍを出力する。

　このような構成を有する動作制御装置４０では、情報処理装置３のリセット解除後に、動作許可レジスタ４５０に初期値が設定されると、イネーブル信号ＥＮＳがＬｏｗレベルからＨｉｇｈレベルに変化して、主装置３０の電源入力口３０３に電源電圧Ｖｍが入力される。これより、主装置３０は初期動作可能期間、動作することが可能となる。そして、初期動作可能期間において、動作許可条件が成立して、動作許可レジスタ４５０に動作許可情報５００が設定されると、イネーブル信号ＥＮＳはＨｉｇｈレベルを維持し、主装置３０は動作を継続する。その後、動作許可レジスタ４５０内の動作許可情報５００が更新されない場合には、情報処理装置３に現在設定されている動作可能期間が経過すると、電源入力口３０３に電源電圧Ｖｍが入力されなくなり、その結果、主装置３０の動作が停止する。

　なお、図１４等に示されるように、主装置３０と動作制御装置４０とが同一のパッケージ６００に収納される場合においても、図１７の例と同様に、動作制御装置４０は、主装置３０（言い換えれば機能ブロック３０）に対する電源供給を停止することによって、主装置３０の動作を停止してもよい。

　また、動作制御装置４０は、通信部４７０に対する電源供給を停止することによって、通信部４７０の動作を停止してもよい。図１８はこの場合の動作制御装置４０の構成の一例を主に示す図である。

　図１８に示される動作制御装置４０は、図１５に示される動作制御装置４０において、リセット信号生成部５４０の替わりに電源回路６３０を備えるものである。電源回路６３０は、バッテリ７０の出力電圧Ｖｂに基づいて、通信部４７０の電源電圧Ｖｎを生成して出力することが可能である。電源回路６３０は、例えば降圧回路であって、出力電圧Ｖｂを降圧して出力する。電源回路６３０には、カウントダウンタイマー４６１から出力されるイネーブル信号ＥＮＳが入力される。電源回路６３０は、イネーブル信号ＥＮＳがＬｏｗレベルのとき電源電圧Ｖｎを出力しない。一方で、電源回路６３０は、イネーブル信号ＥＮＳがＨｉｇｈレベルのとき電源電圧Ｖｎを出力する。

　上記の例では、許可対象機能に、情報処理装置３の主な機能が含まれているが、当該主な機能が含まれなくてもよい。例えば、図１５及び１６の構成において、クロックゲート４６２を削除して、クロック生成部４８０が出力するクロック信号ＣＬＫを直接機能ブロック３０に入力する場合には、許可対象機能に、情報処理装置３の主な機能が含まれなくなる。

　＜ソフトウェアの更新の一例＞
　本例に係る情報処理システム１では、情報処理装置３とサーバ装置２とが通信することによって、情報処理装置３に記憶されるソフトウェア３７３が更新される。サーバ装置２は、例えば、最新バージョンのソフトウェア３７３である更新ソフトウェア２１３を記憶部２１に記憶している。情報処理装置３は、サーバ装置２から更新ソフトウェア２１３を受信し、受信した更新ソフトウェア２１３でメモリ３７０内のソフトウェア３７３を更新する。これにより、情報処理装置３内のソフトウェア３７３が最新バージョンに更新される。

　図１９は、サーバ装置２の記憶部２１が記憶する情報の一例を示す図である。記憶部２１は、情報処理装置３が記憶するソフトウェア３７３の最新バージョンである更新ソフトウェア２１３と、それに対応する署名２１４とを互いに対応付けて記憶している。署名２１４は、それに対応する更新ソフトウェア２１３から生成される。例えば、署名２１４は、それに対応する更新ソフトウェア２１３から生成されたハッシュ値が、サーバ装置２の秘密鍵で暗号化されたものである。署名２１４を検証することによって、それに対応する更新ソフトウェア２１３が改ざんされているか否かを検出することができる。また、記憶部２１は、更新ソフトウェア２１３のバージョン（つまり、ソフトウェア３７３の最新バージョン）を示す更新バージョン情報２１６を記憶している。情報処理装置３が複数のソフトウェア３７３を記憶する場合には、複数のソフトウェア３７３のそれぞれについて、当該ソフトウェア３７３の最新バージョンの更新ソフトウェア２１３と、それに対応する署名２１４と、そのバージョンを示す更新バージョン情報２１６とが記憶部２１に記憶されている。更新ソフトウェア２１３、署名２１４及び更新バージョン情報２１６は適宜更新される。

　図２０及び２１は、情報処理装置３でのソフトウェア更新処理の一例を示すフローチャートである。図２２は、情報処理装置３でのソフトウェア更新処理に応じたサーバ装置２の動作の一例を示すフローチャートである。情報処理装置３が複数のソフトウェア３７３を記憶する場合には、複数のソフトウェア３７３のそれぞれについてソフトウェア更新処理が行われる。

　本例では、ソフトウェア更新処理のうち、主装置３０が行う処理については、例えば、メモリ３７０内のＯＳ３７１に記述されている。上述のように、ＯＳ３７１はハッキングされにくくなっている。また、動作制御装置４０はハッキングされにくくなっている。したがって、本例では、情報処理装置３が行うソフトウェア更新処理（言い換えれば、ソフトウェア更新機能）はハッキングされにくくなっている。

　以後、説明対象のソフトウェア３７３を対象ソフトウェア３７３と呼ぶことがある。また、対象ソフトウェア３７３のバージョンを示すバージョン情報３７６を対象バージョン情報３７６と呼ぶことがある。また、対象バージョン情報３７６に対応する署名３７７を対象署名３７７と呼ぶことがある。

　また、以下では特に説明しないが、情報処理装置３がサーバ装置２に送信する情報は、上述のように動作制御装置４０の制御部４１０によって暗号化されているものとする。また、サーバ装置２が情報処理装置３に送信する情報は、上述のように制御部２０によって暗号化されているものとする。また、情報処理装置３がサーバ装置２から受信した情報は、上述のように制御部４１０によって復号化された後に情報処理装置３で使用されるものとする。また、サーバ装置２が情報処理装置３から受信した情報は、上述のように制御部２０によって復号化された後にサーバ装置２で使用されるものとする。

　図２０に示されるように、ステップｓ５１において、情報処理装置３は、メモリ３７０に記憶されている対象署名３７７を検証する。ステップｓ５１では、主装置３０の制御部３１０が対象署名３７７、バージョン情報３７６及び識別情報４３２をメモリ３７０から読み出す。メモリ３７０から読み出された対象署名３７７、バージョン情報３７６及び識別情報４３２は、動作制御装置４０に入力される。動作制御装置４０では、制御部４１０が対象署名３７７を検証する。ここで、署名３７７は、例えば、対象バージョン情報３７６及び識別情報４３２から生成されたハッシュ値がサーバ装置２の秘密鍵で暗号化されたものである。ステップｓ５１において、制御部４１０は、対象署名３７７をサーバ装置２の公開鍵で復号化する。また、制御部４１０は、主装置３０からの対象バージョン情報３７６及び識別情報４３２からハッシュ値を生成する。そして、制御部４１０は、対象署名３７７を復号化して得られた値と、生成したハッシュ値と比較する。制御部４１０は、対象署名３７７を復号化して得られた値と、生成したハッシュ値とが一致すれば、対象署名３７７が正しいと判定する。一方で、制御部４１０は、対象署名３７７を復号化して得られた値と、生成したハッシュ値とが一致しなければ、対象署名３７７が正しくないと判定する。対象署名３７７の復号化で使用される公開鍵は、対象署名３７７の作成で使用された、サーバ装置２の秘密鍵と対となる公開鍵であって、例えば記憶部４３０内に記憶されている。

　ステップｓ５１での署名検証の結果、制御部４１０が対象署名３７７が正しいと判定すると（ステップｓ５２のＹＥＳ）、ステップｓ５３が実行される。言い換えれば、制御部４１０が、対象バージョン情報３７６及び識別情報４３２の両方が改ざんされていないと判定すると、ステップｓ５３が実行される。一方で、制御部４１０が、対象署名３７７が正しくないと判定すると（ステップｓ５２のＮＯ）、対象ソフトウェア３７３が更新されずにソフトウェア更新処理が終了する。言い換えれば、制御部４１０が、対象バージョン情報３７６及び識別情報４３２の少なくとも一方が改ざんされていると判定すると、ソフトウェア更新処理が終了する。

　ステップｓ５３において、情報処理装置３は、動作制御装置４０の記憶部４３０内の識別情報４３１と、主装置３０のメモリ３７０内の識別情報４３２とを比較する。ステップｓ５３では、例えば、動作制御装置４０の制御部４１０が、ステップｓ５１で動作制御装置４０が主装置３０から受信した識別情報４３２と、記憶部４３０内の識別情報４３１とを比較する。

　ステップｓ５３での識別情報の比較の結果、制御部４１０が識別情報４３２と識別情報４３１とが一致すると判定すると（ステップｓ５４のＹＥＳ）、ステップｓ５５が実行される。一方で、制御部４１０が、識別情報４３２と識別情報４３１とが一致しないと判定すると（ステップｓ５４のＮＯ）、対象ソフトウェア３７３が更新されずにソフトウェア更新処理が終了する。

　ステップｓ５５において、情報処理装置３は、メモリ３７０内の対象バージョン情報３７６をサーバ装置２に送信する。ステップｓ５５では、制御部３１０がメモリ３７０から対象バージョン情報３７６を読み出する。そして、読み出された対象バージョン情報３７６が、第２通信部３５０あるいは通信部４７０からサーバ装置２に送信される。

　サーバ装置２では、図２２に示されるように、ステップｓ７１において、通信部２２が対象バージョン情報３７６を受信すると、ステップｓ７２が実行される。ステップｓ７２では、制御部２０が、通信部２２が受信した対象バージョン情報３７６が示すバージョン（受信バージョンともいう）と、記憶部２１に記憶されている、対象ソフトウェア３７３に対応する更新バージョン情報２１６が示すバージョン（更新バージョンともいう）とを比較する。更新バージョンは、対象ソフトウェア３７３の最新バージョンであると言える。

　なお、情報処理装置３は、対象バージョン情報３７６を送信する場合には、対象ソフトウェアを特定するための特定情報もサーバ装置２に送信する。サーバ装置２は、受信した特定情報に基づいて対象ソフトウェア３７３を特定することできる。

　ステップｓ７２でのバージョン比較の結果、制御部２０が、受信バージョンが更新バージョンより古いと判定すると（ステップｓ７３のＹＥＳ）、ステップｓ７４が実行される。一方で、制御部２０が、受信バージョンが更新バージョンより古くないと判定すると（ステップｓ７３のＮＯ）、サーバ装置２では、ソフトウェア更新処理に応じた処理が終了する。

　ステップｓ７４において、制御部２０は、対象ソフトウェア３７３の更新を情報処理装置３に要求する更新要求コマンドを生成する。そして、制御部２０は、更新要求コマンドを通信部２２に送信させる。更新要求コマンドは更新要求情報であるとも言える。

　情報処理装置３は、ステップｓ５５の後、ステップｓ５６においてサーバ装置２から更新要求コマンドを受信すると、ステップｓ５７を実行する。ステップｓ５７において、情報処理装置３は、受信した更新要求コマンドに応じて、記憶部４３０内の識別情報４３１をサーバ装置２に送信する。ステップｓ５７では、動作制御装置４０の制御部４１０が記憶部４３０から識別情報４３１を読み出す。読み出された識別情報４３１はサーバ装置２に送信される。

　サーバ装置２は、ステップｓ７４の後、ステップｓ７５において識別情報４３１を情報処理装置３から受信すると、ステップｓ７６を実行する。ステップｓ７６では、制御部２０が、対象ソフトウェア３７３に対応する更新ソフトウェア２１３のバージョンを示す更新バージョン情報２１６と、通信部２２が受信した識別情報４３１との両方に対応する署名を生成する。この署名をサーバ生成署名と呼ぶことがある。

　サーバ生成署名は、情報処理装置３内の署名３７７と同様に生成される。例えば、署名３７７が、バージョン情報３７６と識別情報４３２とが単に連結されたデータから生成されたハッシュ値がサーバ装置２の秘密鍵で暗号化されたものである場合、サーバ生成署名は、更新バージョン情報２１６と識別情報４３１とが単に連結されたデータから生成されたハッシュ値がサーバ装置２の秘密鍵で暗号化されたものである。また、署名３７７が、バージョン情報３７６と識別情報４３２との排他的論理和を算出することによって得られたデータから生成されたハッシュ値が秘密鍵で暗号化されたものであれば、サーバ生成署名は、更新バージョン情報２１６と識別情報４３１との排他的論理和を算出することによって得られたデータから生成されたハッシュ値が秘密鍵で暗号化されたものである。

　ステップｓ７６の後、ステップｓ７７において、制御部２０は、更新ソフトウェア関連データを通信部２２に送信させる。更新ソフトウェア関連データには、対象ソフトウェア３７３に対応する更新ソフトウェア２１３と、それに対応する署名２１４と、サーバ生成署名と、それに対応する更新バージョン情報２１６及び識別情報４３１とが含まれる。

　情報処理装置３は、ステップｓ５７の後、ステップｓ５８において、サーバ装置２から更新ソフトウェア関連データを受信すると、ステップｓ５９を実行する。以後、サーバ装置２が受信した更新ソフトウェア関連データに含まれる識別情報４３１を受信識別情報と呼ぶことがある。

　ステップｓ５９において、情報処理装置３は、更新ソフトウェア関連データに含まれる署名２１４の検証を行う。ステップｓ５９では、動作制御装置４０の制御部４１０が記憶部４３０内の公開鍵で署名２１４を復号化する。また、制御部４１０は、更新ソフトウェア関連データに含まれる更新ソフトウェア２１３からハッシュ値を生成する。そして、制御部４１０は、署名２１４を復号化して得られた値と、生成したハッシュ値とを比較する。制御部４１０は、署名２１４を復号化して得られた値と、生成したハッシュ値とが一致する場合には、署名２１４が正しいと判定する。一方で、制御部４１０は、署名２１４を復号化して得られた値と、生成したハッシュ値とが一致しない場合には、署名２１４が正しくないと判定する。

　ステップｓ５９での署名検証の結果、制御部４１０が署名２１４が正しいと判定すると（ステップｓ６０のＹＥＳ）、ステップｓ６１が実行される。言い換えれば、制御部４１０が、更新ソフトウェア２１３が改ざんされていないと判定すると、ステップｓ６１が実行される。一方で、制御部４１０が、署名２１４が正しくないと判定すると（ステップｓ６０のＮＯ）、対象ソフトウェア３７３が更新されずにソフトウェア更新処理が終了する。言い換えれば、制御部４１０が、更新ソフトウェア２１３が改ざんされていると判定すると、ソフトウェア更新処理が終了する。

　ステップｓ６１において、情報処理装置３は、更新ソフトウェア関連データに含まれるサーバ生成署名の検証を行う。ステップｓ６１では、動作制御装置４０の制御部４１０が、記憶部４３０内の公開鍵でサーバ生成署名を復号化する。また、制御部４１０は、更新ソフトウェア関連データに含まれる更新バージョン情報２１６及び受信識別情報からハッシュ値を生成する。そして、制御部４１０は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とを比較する。制御部４１０は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とが一致する場合には、サーバ生成署名が正しいと判定する。一方で、制御部４１０は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とが一致しない場合には、サーバ生成署名が正しくないと判定する。

　ステップｓ６１での署名検証の結果、制御部４１０がサーバ生成署名が正しいと判定すると（ステップｓ６２のＹＥＳ）、ステップｓ６３が実行される。一方で、制御部４１０が、サーバ生成署名が正しくないと判定すると（ステップｓ６２のＮＯ）、対象ソフトウェア３７３が更新されずにソフトウェア更新処理が終了する。

　ステップｓ６３において、情報処理装置３は、動作制御装置４０の記憶部４３０内の識別情報４３１と、受信した更新ソフトウェア関連データに含まれる受信識別情報とを比較する。ステップｓ６３では、動作制御装置４０の制御部４１０が、記憶部４３０内の識別情報４３１と受信識別情報とを比較する。

　ステップｓ６３での識別情報の比較の結果、制御部４１０が識別情報４３１と受信識別情報とが一致すると判定すると（ステップｓ６４のＹＥＳ）、ステップｓ６５が実行される。一方で、制御部４１０が、識別情報４３１と受信識別情報とが一致しないと判定すると（ステップｓ６３のＮＯ）、対象ソフトウェア３７３が更新されずにソフトウェア更新処理が終了する。

　ステップｓ６５において、情報処理装置３は、受信した更新ソフトウェア関連データに含まれる更新ソフトウェア２１３、それに対応する署名２１４、更新バージョン情報２１６及びサーバ生成署名で、メモリ３７０内の対象ソフトウェア３７３、それに対応する署名３７４、対象バージョン情報３７６及び対象署名３７７をそれぞれ更新する更新処理を行う。この更新処理は、例えば、主装置３０の制御部３１０で実行される。

　制御部３１０は、更新処理において、メモリ３７０内の対象ソフトウェア３７３を、更新ソフトウェア関連データに含まれる更新ソフトウェア２１３に置き換えることによって、対象ソフトウェア３７３を更新する。これにより、対象ソフトウェア３７３が最新バージョンに更新される。また、制御部３１０は、更新処理において、メモリ３７０内の、対象ソフトウェア３７３に対応する署名３７４を、更新ソフトウェア関連データに含まれる署名２１４に置き換えることによって、当該署名３７４を更新する。また、制御部３１０は、更新処理において、メモリ３７０内の対象バージョン情報３７６を、更新ソフトウェア関連データに含まれる更新バージョン情報２１６に置き換えることによって、対象バージョン情報３７６を更新する。そして、制御部３１０は、更新処理において、メモリ３７０内の対象署名３７７を、更新ソフトウェア関連データに含まれるサーバ生成署名に置き換えることによって、対象署名３７７を更新する。ステップｓ６５の更新処理が終了すると、ソフトウェア更新処理が終了する。

　以上の説明から理解できるように、情報処理装置３には、ソフトウェア３７３に対応する署名３７４として、サーバ装置２で生成された署名が記憶される。また、情報処理装置３には、バージョン情報３７６及び識別情報４３２（言い換えれば識別情報４３１）に対応する署名３７７として、サーバ装置２で生成された署名が記憶される。

　情報処理装置３は、以上のようなソフトウェア更新処理を、動作可能期間において実行する。情報処理装置３は、動作可能期間において、ソフトウェア更新処理のステップｓ５１～ｓ５５までのバージョン通知処理を、例えば一定間隔ごとに複数回実行してもよい。

　なお、情報処理装置３は、要求信号をサーバ装置２に送信する場合にバージョン通知処理（ステップｓ５１～ｓ５５）を実行し、要求信号とともにバージョン情報３７６をサーバ装置２に送信してもよい。また、情報処理装置３は、サーバ装置２との間の相互認証を行っているときにバージョン通知処理を実行し、サーバ装置２との間の相互認証を行っているときにバージョン情報３７６をサーバ装置２に送信してもよい。

　また、ソフトウェア３７３及び更新ソフトウェア２１３には署名がつけられていなくてもよい。この場合、更新ソフトウェア関連データには署名２１４が含まれない。また、ソフトウェア更新処理では、ステップｓ５９及びｓ６０が実行されずに、ステップｓ５８の直後にステップｓ６１が実行される。

　また、ソフトウェア更新処理は、上記の例に限られない。例えば、バージョン通知処理において、ステップｓ５１及びｓ５２から成る第１処理と、ステップｓ５３及びｓ５４から成る第２処理の実行順序が入れ替えられてもよい。また、ステップｓ５９及びｓ６０から成る第３処理と、ステップｓ６１及びｓ６２から成る第４処理と、ステップｓ６３及びｓ６４から成る第５処理の実行順序が入れ替えられてもよい。例えば、ステップｓ５８の後に、第５処理、第３処理及び第４処理がこの順で実行されてもよい。また、ステップｓ５８の後に、第４処理、第５処理及び第３処理がこの順で実行されてもよい。

　また、ステップｓ５５において、情報処理装置３は、対象バージョン情報３７６と、記憶部４３０内の識別情報４３１とをサーバ装置２に送信してもよい。図２３及び２４は、この場合の情報処理装置３及びサーバ装置２の動作の一例をそれぞれ示すフローチャートである。図２３に示されるように、ステップｓ５４においてＹＥＳと判定されると、ステップｓ１５５が実行される。ステップｓ１５５において、情報処理装置３は、メモリ３７０内の対象バージョン情報３７６と、記憶部４３０内の識別情報４３１とをサーバ装置２に送信する。ステップｓ１５５では、制御部３１０がメモリ３７０から対象バージョン情報３７６を読み出す。また、制御部４１０が記憶部４３０から識別情報４３１を読み出す。そして、読み出された対象バージョン情報３７６及び識別情報４３１が情報処理装置３からサーバ装置２に送信される。

　図２４に示されるように、サーバ装置２は、ステップｓ１７１において、情報処理装置３から対象バージョン情報３７６及び識別情報４３１を受信すると、上述のステップｓ７２を実行する。ステップｓ７２でのバージョン比較の結果、制御部２０が、受信バージョンが更新バージョンより古いと判定すると（ステップｓ７３のＹＥＳ）、上述のステップｓ７６及びｓ７７が順次実行される。一方で、制御部２０が、受信バージョンが更新バージョンより古くないと判定すると（ステップｓ７３のＮＯ）、サーバ装置２では、ソフトウェア更新処理に応じた処理が終了する。

　情報処理装置３では、ステップｓ１５５の後、上述のステップｓ５８が実行される。その後、情報処理装置３は上記と同様に動作する。

　以上のように、本例に係る情報処理装置３では、動作制御装置４０が、主装置３０のメモリ３７０内のバージョン情報３７６及び識別情報４３２に対応する署名３７７が正しいと判定し、かつメモリ３７０内の識別情報４３２が、自身が記憶する識別情報４３１と一致すると判定した場合、メモリ３７０内のバージョン情報３７６がサーバ装置２に送信される。これにより、ハッキングによって、誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される可能性を低減することができる。以下にこの点について詳細に説明する。以後、説明対象の情報処理装置３を対象情報処理装置３と呼ぶことがある。

　ここで、本例とは異なり、メモリ３７０には識別情報４３２が記憶されておらず、署名３７７がバージョン情報３７６のみに対応する署名であるような仮想例を考える。仮想例でのソフトウェア更新処理では、ステップｓ５３及びｓ５４が実行されずに、ステップｓ５２においてＹＥＳと判定されると、ステップｓ５５あるいはステップｓ１５５が実行されてバージョン情報３７６がサーバ装置２に送信される。

　仮想例において情報処理システム１がハッキングされた場合、対象情報処理装置３とは別の情報処理装置３が記憶する、対象ソフトウェア３７３に対応するバージョン情報３７６及び署名３７７がハッカーに盗まれる可能性がある。そして、対象情報処理装置３での対象ソフトウェア３７３に対応するバージョン情報３７６及び署名３７７が、ハッカーによって、別の情報処理装置３から盗まれたバージョン情報３７６及び署名３７７に置き換えられる可能性がある。このとき、別の情報処理装置３から盗まれたバージョン情報３７６が示すバージョンが、対象情報処理装置３が現在記憶する対象ソフトウェアのバージョンと異なる場合、対象情報処理装置３は、誤ったバージョンを示すバージョン情報３７６を記憶することになる。対象情報処理装置３が記憶する署名３７７は、別の情報処理装置３から盗まれた正規の署名であることから、署名検証では正しいと判定される。つまり、上述のステップｓ５２ではＹＥＳと判定される。したがって、ステップｓ５５あるいはステップｓ１５５が実行され、対象情報処理装置３が記憶する対象ソフトウェア３７３のバージョンとは異なるバージョン、つまり誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される。その結果、サーバ装置２は、誤ったバージョンを示すバージョン情報３７６に基づいて動作することになる。

　これに対して、本例では、動作制御装置４０が、主装置３０のメモリ３７０内の署名３７７が正しいと判定し、かつメモリ３７０内の識別情報４３２が、自身が記憶する識別情報４３１と一致すると判定した場合に、メモリ３７０内のバージョン情報３７６がサーバ装置２に送信される。仮に、対象情報処理装置３のメモリ３７０内のバージョン情報３７６、識別情報４３２及び署名３７７が、ハッカーによって、別の情報処理装置３のメモリ３７０から盗まれたバージョン情報３７６、識別情報４３２及び署名３７７に置き換えられた場合、メモリ３７０内の識別情報４３２が、動作制御装置４０が記憶する識別情報４３１と一致しなくなる。そのため、ステップｓ５４ではＮＯと判定され、ステップｓ５５あるいはｓ１５５が実行されない。よって、誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される可能性が低下する。その結果、サーバ装置２が、誤ったバージョンを示すバージョン情報３７６に基づいて動作する可能性が低減する。

　また、対象情報処理装置３のメモリ３７０内のバージョン情報３７６、識別情報４３２及び署名３７７のうち、バージョン情報３７６及び署名３７７だけが、ハッカーによって、別の情報処理装置３のメモリ３７０から盗まれたバージョン情報３７６及び署名３７７に置き換えられた場合を考える。この場合、本例では、対象情報処理装置３のメモリ３７０内のバージョン情報３７６及び識別情報４３２から生成されたハッシュ値と、対象情報処理装置３のメモリ３７０内の署名３７７が復号化されて得られた値とが一致しなくなる。つまり、署名３７７が正しくないと判定される。よって、ステップｓ５２ではＮＯと判定され、ステップｓ５５あるいはステップｓ１５５が実行されない。これにより、誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される可能性が低下する。

　また、本例では、動作制御装置４０が、サーバ装置２からのサーバ生成署名が正しいと判定し、かつサーバ装置２からの受信識別情報が、自身が記憶する識別情報４３１と一致すると判定した場合、情報処理装置３は、サーバ装置２からの更新ソフトウェア２１３、更新バージョン情報２１６及びサーバ生成署名で、メモリ３７０内のソフトウェア３７３、バージョン情報３７６及び署名３７７をそれぞれ更新する更新処理を行う。したがって、対象情報処理装置３は、サーバ装置２からの更新バージョン情報２１６及び受信識別情報のそれぞれがハッカーによって改ざんされておらず、かつ、更新バージョン情報２１６、受信識別情報及びサーバ生成署名がハッカーによって別の情報処理装置３のものと入れ換えられていないときに更新処理を実行することができる。よって、情報処理装置３は、情報処理システム１がハッキングされていないときに、更新処理を実行することができる。したがって、情報処理装置３は、メモリ３７０内のソフトウェア３７３、バージョン情報３７６及び署名３７７を適切に更新することができる。ソフトウェア３７３が適切に更新されない場合には、ソフトウェア３７３の脆弱性に基づいて情報処理装置３がハッキングされる可能性がある。ソフトウェア３７３が適切に更新されることによって、情報処理装置３がハッキングされにくくなり、その結果、情報処理装置３の安全性が向上する。

　なお、サーバ装置２は、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３に送信しなくてもよい。図２５及び２６は、この場合のサーバ装置２の動作の一例を示すフローチャートである。

　図２５に示されるように、サーバ装置２の制御部２０は、ステップｓ８１において、情報処理装置３からバージョン情報３７６を通信部２２が一定期間受信しないと判定すると、ステップｓ８２を実行する。例えば、情報処理装置３が、動作可能期間において、バージョン通知処理（ステップｓ５１～ｓ５５）を一定間隔ごとに実行する場合には、当該一定間隔よりも大きい値に、ステップｓ８１の一定期間は設定される。

　ステップｓ８１の後、ステップｓ８２において、制御部２０は、情報処理装置３に異常が発生したと判定する。そして、制御部２０は、情報処理装置３に異常が発生したと判定したことを示す異常判定情報を記憶部２１に記憶する。

　一方で、サーバ装置２の制御部２０は、図２６に示されるように、ステップｓ８５において、情報処理装置３から要求信号をサーバ装置２が受信するなどして、動作許可用処理に応じた動作許可条件が成立したと判定すると、ステップｓ８６を実行する。ステップｓ８６において、制御部２０は、記憶部２１に異常判定情報が記憶されているか否かを確認する。制御部２０は、記憶部２１に異常判定情報が記憶されていないと判定すると、ステップｓ８７を実行する。ステップｓ８７において、制御部２０は、動作許可情報を生成し、通信部２２に、生成した動作許可情報を情報処理装置３に送信させる。一方で、制御部２０は、記憶部２１に異常判定情報が記憶されていると判定すると、動作許可情報を生成しない。

　図２５及び２６の例では、サーバ装置２は、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３に送信しない。サーバ装置２が動作許可情報を情報処理装置３に送信しない場合には、情報処理装置３では、現在の動作許可期間が終了すると、許可対象機能が停止あるいは制限される。このため、図２５及び２６の例では、サーバ装置２が、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、動作制御装置４０によって許可対象機能が停止あるいは制限される。

　例えば、情報処理装置３のサーバ通信機能がハッキングされた場合、サーバ装置２は、情報処理装置３からバージョン情報３７６を受信できない可能性がある。この場合、サーバ装置２が一定期間バージョン情報３７６を受信できず、許可対象機能が停止あるいは制限される可能性がある。

　また、情報処理装置３のメモリ３７０内のバージョン情報３７６がハッキングにより改ざんされた場合には、上述のステップｓ５２でＮＯと判定される。この場合、サーバ装置２は、一定期間バージョン情報３７６を情報処理装置３から受信できず、許可対象機能が停止あるいは制限される可能性がある。

　本例では、サーバ装置２が、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、動作制御装置４０によって許可対象機能が停止あるいは制限されることから、情報処理装置３がハッキングされた場合に、動作制御装置４０は許可対象機能を停止あるいは制限することが可能となる。これにより、ハッカーは、情報処理装置３をハッキングしたとしても、許可対象機能を十分に利用することができる可能性が低くなる。よって、ハッカーにおいては、情報処理装置３をハッキングする動機付けが低下し、その結果、情報処理装置３の安全性を向上することができる。

　また、サーバ装置２は、情報処理装置３に対して更新ソフトウェア関連データを送信した後、情報処理装置３から受信した受信バージョンが更新バージョンと一致しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３に送信しなくてもよい。これにより、サーバ装置２が、更新ソフトウェア関連データを送信した後、受信バージョンが更新バージョンと一致しないと判定した場合、動作制御装置４０により許可対象機能が停止あるいは制限されることになる。

　例えば、サーバ装置２の制御部２０は、上述のステップｓ７７の実行直後のステップｓ７２のバージョン比較の結果、受信バージョンが更新バージョンに一致しないと判定すると、情報処理装置３に異常が発生したと判定する。そして、制御部２０は異常判定情報を記憶部２１に記憶する。一方で、サーバ装置２は、上述の図２６に示される処理を実行する。これにより、サーバ装置２は、情報処理装置３に対して更新ソフトウェア関連データを送信した後、情報処理装置３から受信した受信バージョンが更新バージョンと一致しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３に送信しなくなる。よって、動作制御装置４０によって許可対象機能が停止あるいは制限される。

　なお、制御部２０は、ステップｓ７７の実行直後に、連続して、受信バージョンが更新バージョンに一致しないと判定したときに、異常判定情報を記憶部２１に記憶してもよい。つまり、制御部２０は、ステップｓ７７の実行直後に行われる連続した複数回のステップｓ７２のバージョン比較のそれぞれの結果において、受信バージョンが更新バージョンに一致しないと判定すると、異常判定情報を記憶部２１に記憶してもよい。

　このように、サーバ装置２が、更新ソフトウェア関連データを送信した後、受信バージョンが更新バージョンと一致しないと判定した場合、動作制御装置４０により許可対象機能が停止されることによって、情報処理装置３がハッキングされた場合に、動作制御装置４０は許可対象機能を停止あるいは制限することが可能となる。

　例えば、対象ソフトウェア３７３の実行中に、上述の図２１のステップｓ６４においてＹＥＳと判定された場合、主装置３０の制御部３１は、対象ソフトウェア３７３の実行を終了した後に、ステップｓ６５の更新処理を実行する場合を考える。上述のように、ソフトウェア更新処理において主装置３０が実行する処理は、ハッキングされにくいＯＳ３７１に記述されていることから、ステップｓ６５の更新処理自体はハッキングされにくい。しかしながら、主装置３０がハッキングされて、制御部３１が対象ソフトウェア３７３の実行を終了することができないことは考えられる。この場合、ステップｓ６５の更新処理が実行されずに、対象ソフトウェア３７３及び対象バージョン情報３７６等がいつまでも更新されない可能性がある。その結果、ステップｓ７７の実行後のステップｓ７２のバージョン比較では、受信バージョンが更新バージョンと一致しないと判定される可能性がある。

　本例では、サーバ装置２が、更新ソフトウェア関連データを送信した後、受信バージョンが更新バージョンと一致しないと判定した場合、動作制御装置４０により許可対象機能が停止あるいは制限されることから、例えば、実行中の対象ソフトウェア３７３の実行が終了できないように主装置３０がハッキングされた場合には、動作制御装置４０は許可対象機能を停止あるいは制限することができる。よって、主装置３０がハッキングされた場合に、ハッカーによって許可対象機能が十分に利用される可能性を低減することができる。よって、ハッカーにおいては、情報処理装置３をハッキングする動機付けが低下し、その結果、情報処理装置３の安全性を向上することができる。

　＜情報処理システムの他の例＞
　＜第１の他の例＞
　上記の例では、情報処理システム１は、ソフトウェア３７３を自動更新しているが、ユーザの指示に応じてソフトウェア３７３を更新してもよい。図２７は、この場合の情報処理装置３（情報処理装置３Ａともいう）の主装置３０の構成の一例を示す図である。

　本例では、図２７に示されるように、主装置３０は、情報処理装置３Ａのユーザからの入力を受け付ける入力部３８５と、当該ユーザに対する通知を行う通知部３８６とをさらに備える。制御部３１０は、入力部３８５及び通知部３８６を制御することが可能である。

　入力部３８５は、例えば、少なくとも一つの操作ボタンを備える。ユーザは、操作ボタンを操作することによって、主装置３０に対する入力を行うことができる。操作ボタンはハードウェアボタンであってもよい。また、主装置３０が、タッチパネルディスプレイを備える場合には、当該タッチパネルディスプレイに表示されるソフトウェアボタンであってもよい。入力部３８５はマイクを備えてもよい。ユーザはマイクに対して音を入力することによって、主装置３０に対する入力を行うことができる。入力部３８５は、操作ボタン及びマイク以外の、ユーザの入力を受け付ける入力手段を備えてもよい。

　通知部３８６は、例えば、少なくとも一つの発光部を備える。発光部は、発光することによって、ユーザに対する通知を行うことができる。発光部は、例えば、発光ダイオードであってもよいし、他の発光手段であってもよい。また、通知部３８６は、スピーカを備えてもよい。スピーカは、音を出力することによって、ユーザに対する通知を行うことができる。また、通知部３８６は、表示部を備えてもよい。表示部は、表示を行うことによって、ユーザに対する通知を行うことができる。表示部は、液晶ディスプレイであってもよいし、有機ＥＬディスプレイであってもよいし、他の表示手段であってもよい。

　図２８は、情報処理装置３Ａの動作の一例を示すフローチャートである。上述の図２１のステップｓ６１の署名検証の結果、動作制御装置４０の制御部４１０がサーバ生成署名が正しいと判定すると（ステップｓ６２のＹＥＳ）、上述のように、ステップｓ６３が実行される。ステップｓ６３での識別情報の比較の結果、制御部４１０が識別情報４３１と受信識別情報とが一致すると判定すると（ステップｓ６４のＹＥＳ）、ステップｓ９１が実行される。

　ステップｓ９１において、主装置３０の通知部３８６は、制御部３１０による制御により、ユーザに対して通知を行う。通知部３８６は、発光部を発光させるなどによって、メモリ３７０内に記憶されているソフトウェア３７３のバージョンよりも新しいバージョンの更新ソフトウェア２１３が存在することをユーザに通知する。

　ステップｓ９１の後、ステップｓ９２において、制御部３１０は、ユーザからのソフトウェア３７３の更新指示を入力部３８５が受け付けたか否かを判定する。ユーザは、ステップｓ９１での通知を受けると、ソフトウェア３７３の更新指示を入力部３８５に対して行う。ステップｓ９２においてＹＥＳと判定されると、ステップｓ６５の更新処理が実行される。これにより、ユーザの更新指示に応じて、対象ソフトウェア３７３、対象バージョン情報３７６及び対象署名３７７が更新される。

　このように、情報処理装置３Ａでは、動作制御装置４０がサーバ装置２からのサーバ生成署名が正しいと判定し、かつ動作制御装置４０が、サーバ装置２からの受信識別情報が、自身が記憶する識別情報４３１と一致すると判定し、かつ入力部３８５がユーザから更新指示を受け付けた場合、更新処理が実行される。この場合であっても、情報処理装置３Ａは、サーバ装置２からの更新バージョン情報２１６及び受信識別情報のそれぞれがハッカーによって改ざんされておらず、かつ、更新バージョン情報２１６、受信識別情報及びサーバ生成署名がハッカーによって別の情報処理装置３のものと入れ換えられていないときに更新処理を実行することができる。よって、情報処理装置３Ａは、情報処理システム１がハッキングされていないときに、更新処理を実行することができる。したがって、情報処理装置３Ａは、メモリ３７０内のソフトウェア３７３、バージョン情報３７６及び署名３７７を適切に更新することができる。

　なお、情報処理装置３Ａと通信するサーバ装置２は、上述の図２５及び２６のように、情報処理装置３Ａからバージョン情報３７６を受信しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３Ａに送信しなくてもよい。

　また、サーバ装置２は、情報処理装置３Ａに対して更新ソフトウェア関連データを送信した後、情報処理装置３Ａから受信した受信バージョンが更新バージョンと一致しないと判定した場合、動作許可条件が成立したとしても、動作許可情報を情報処理装置３Ａに送信しなくてもよい。例えば、上述のステップｓ９１の後、ユーザが入力部３８５に更新指示を行わない場合、サーバ装置２は、情報処理装置３Ａに対して更新ソフトウェア関連データを送信した後、情報処理装置３Ａから受信した受信バージョンが更新バージョンと一致しないと判定する可能性がある。この場合には、情報処理装置３Ａがハッキングされていなくても、情報処理装置３Ａでは、許可対象機能が停止あるいは制限される。情報処理装置３Ａにおいて、許可対象機能が停止あるいは制限されることによって、更新指示をいつまでも行わないユーザに対して更新指示を行うように促すことができる。そして、情報処理装置３Ａは、許可対象機能が停止あるいは制限された後、入力部３８５がユーザからの更新指示を受け付けた場合に、ステップｓ６５の更新処理を実行することにより、ソフトウェア３７３が長時間更新されない可能性を低減することができる。その結果、情報処理装置３Ａの安全性を向上することができる。なお、動作可能期間が経過した後であっても、主装置３０のクロック入力口３０１にクロック信号が入力される場合には、許可対象機能が停止あるいは制限された後であっても、主装置３０は、入力部３８５においてユーザからの更新指示を受け付けて更新処理を実行することができる。

　また、情報処理装置３Ａでは、動作制御装置４０は、許可対象機能が停止あるいは制限されているときに、入力部３８５がユーザからの更新指示を受け付けて更新処理が行われる場合には、当該更新処理の実行中に許可対象機能の停止あるいは制限を一時的に解除してもよい。この場合、動作制御装置４０は、更新処理が完了した後、再び、許可対象機能を停止あるいは制限する。これにより、例えば、主装置３０に入力されるクロック信号の周波数が小さくされることによって許可対象機能の制限が行われる場合、更新処理の実行中に許可対象機能の制限が一時的に解除されることによって、更新処理の実行中において主装置３０の動作速度を元に戻すことができる。よって、更新処理にかかる時間を短縮することができる。

　また、サーバ装置２は、情報処理装置３Ａにおいて、許可対象機能が停止あるいは制限された後にユーザの更新指示に応じて更新処理が実行され、その後、情報処理装置３Ａから受信した受信バージョンが更新バージョンと一致したと判定した場合、情報処理装置３Ａに動作許可情報を送信してもよい。この場合、動作許可情報を受信した情報処理装置３Ａでは、動作制御装置４０が、動作許可情報を動作許可レジスタ４５０に設定する。これにより、許可対象機能の停止あるいは制限が解除され、情報処理装置３Ａは、動作許可期間において許可対象機能を通常通りに実行する。

　このように、サーバ装置２が、情報処理装置３Ａにおいて許可対象機能が停止あるいは制限された後、情報処理装置３Ａから受信した受信バージョンが更新バージョンと一致したと判定した場合、動作制御装置４０によって許可対象機能の停止あるいは制限が解除されることによって、情報処理装置３Ａでは、更新処理が実行されないことにより許可対象機能が停止あるいは制限されたとしても、その後に更新処理が実行されたときに、許可対象機能の停止あるいは制限が解除される。よって、情報処理装置３Ａは、許可対象機能が停止あるいは制限されたとしても、更新処理を実行した後には、許可対象機能を通常通り実行することができる。

　＜第２の他の例＞
　情報処理装置３は、上述のステップｓ５４でＮＯと判定した場合には、図２９に示されるように、ステップｓ１０１において、動作制御装置４０が記憶する識別情報４３１と、更新ソフトウェア関連データの送信を要求するデータ要求情報とをサーバ装置２に送信してもよい。ステップｓ１０１では、例えば、主装置３０の制御部３１０が、データ要求情報を生成する。制御部３１０で生成されたデータ要求情報と、識別情報４３１とはサーバ装置２に送信される。

　サーバ装置２は、図３０に示されるように、ステップｓ１１１において、識別情報４３１及びデータ要求情報を受信すると、上述のステップｓ７６及びｓ７７を実行する。これにより、サーバ装置２は、情報処理装置３から受信したデータ要求情報に応じて、対象ソフトウェア３７３に応じた更新ソフトウェア関連データを送信する。なお、情報処理装置３は、データ要求情報及び識別情報４３１を送信する場合には、対象ソフトウェアを特定するための特定情報もサーバ装置２に送信する。サーバ装置２は、受信した特定情報に基づいて対象ソフトウェア３７３を特定することができる。

　情報処理装置３は、サーバ装置２から更新ソフトウェア関連データを受信すると（上述のステップｓ５８）、上述のステップｓ５９を実行し、以後同様に動作する。これにより、更新ソフトウェア関連データに含まれる更新ソフトウェア２１３、更新バージョン情報２１６、受信識別情報及びサーバ生成署名で、メモリ３７０内の対象ソフトウェア３７３、対象バージョン情報３７６、識別情報４３２及び対象署名３７７がそれぞれ書き換えられる。

　上述のように、対象情報処理装置３のメモリ３７０内のバージョン情報３７６、識別情報４３２及び署名３７７が、ハッカーによって、別の情報処理装置３のメモリ３７０から盗まれたバージョン情報３７６、識別情報４３２及び署名３７７に置き換えられる可能性がある。この場合には、メモリ３７０内の識別情報４３２が、動作制御装置４０が記憶する識別情報４３１と一致しなくなり、ステップｓ５４ではＮＯと判定される。図２９の例のように、ステップｓ５４でＮＯと判定された場合に、対象情報処理装置３がデータ要求情報をサーバ装置２に送信することによって、対象情報処理装置３は、サーバ装置２から、対象ソフトウェア３７３に応じた更新ソフトウェア関連データを受信することができる。そして、対象情報処理装置３は、受信した更新ソフトウェア関連データに基づいて、メモリ３７０内の対象ソフトウェア３７３、対象バージョン情報３７６、識別情報４３２及び対象署名３７７を更新することによって、メモリ３７０内に記憶されている、別の情報処理装置３のメモリ３７０から盗まれたバージョン情報３７６、識別情報４３２及び署名３７７を正しい情報に書き換えることができる。

　＜第３の他の例＞
　サーバ装置２は、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、許可対象機能の停止あるいは制限を指示する指示情報を情報処理装置３に送信してもよい。図３１はこの場合のサーバ装置２の動作の一例を示すフローチャートである。

　図３１に示されるように、サーバ装置２は、上述のステップｓ８１を実行すると、ステップｓ８３において、指示情報を情報処理装置３に送信する。ステップｓ８３では、制御部２０は、指示情報を生成し、生成した指示情報を通信部２２に通信させる。

　図３２は、サーバ装置２から指示情報を受信した情報処理装置３の動作の一例を示すフローチャートである。図３２に示されるように、ステップｓ１２１において情報処理装置３が指示情報を受信すると、ステップｓ１２２において、動作制御装置４０は、受信された指示情報に応じて許可対象機を停止あるいは制限する。これにより、上述の図２５及び２６の例と同様に、サーバ装置２が、情報処理装置３からバージョン情報３７６を受信しないと判定した場合、動作制御装置４０によって許可対象機能が停止あるいは制限される。よって、対象情報処理装置３がハッキングされた場合に、動作制御装置４０は許可対象機能を停止あるいは制限することが可能となる。

　また、サーバ装置２は、情報処理装置３に対して更新ソフトウェア関連データを送信した後、対象情報処理装置３から受信した受信バージョンが更新バージョンと一致しないと判定した場合、指示情報を情報処理装置３に送信してもよい。これにより、サーバ装置２が、更新ソフトウェア関連データを送信した後、受信バージョンが更新バージョンと一致しないと判定した場合、動作制御装置４０により許可対象機能が停止あるいは制限されることになる。この場合であっても、情報処理装置３がハッキングされたときに、動作制御装置４０は許可対象機能を停止あるいは制限することが可能となる。

　＜第４の他の例＞
　情報処理装置３の動作制御装置４０は、図３３に示されるように、ＲＴＣ（リアルタイムクロック）５９０を備えてもよい。ＲＴＣ５９０は、例えば、クロック生成部４８０が有するＭＥＭＳ等の発振器が出力するクロック信号に基づいて動作を行う。ＲＴＣ５９０は、現在の時刻ｔｍを出力することが可能である。動作制御装置４０がＲＴＣ５９０を備える場合、動作可能期間は、クロック数ではなく、ある時刻から別のある時刻までの期間という時間帯で表されてもよい。この場合、動作制御装置４０は、ＲＴＣ５９０から出力される時刻ｔｍに基づいて動作可能期間を計測する。例えば、動作可能期間が、２０２０年５月１日午前１０時から２０２０年５月２日午前１０時までの期間を示す場合、動作制御装置４０の制御部４１０は、ＲＴＣ５９０から出力される時刻ｔｍが２０２０年５月１日午前１０時を示す場合、動作可能期間が開始したと判定する。そして、動作制御装置４０の制御部４１０は、時刻ｔｍが２０２０年５月２日午前１０時を示す場合、動作可能期間が終了したと判定する。

　＜第５の他の例＞
　上記の例では、ソフトウェア３７３等を記憶する不揮発性メモリ３７０は、主装置３０に設けられているが、図３４に示されるように、動作制御装置４０に設けられてもよい。図３４の例の場合、不揮発性メモリ３７０は、例えば、制御部４１０等と同様にバス５５０に接続されている。制御部４１０は、バス５５０を通じて、不揮発性メモリ３７０からデータを読み出すことが可能である。情報処理システム１が例えば上述の図６の構成を備える場合、不揮発性メモリ３７０から読み出されたデータは、通信部４７０及び主装置３０の第１通信部３４０を通じて、制御部３１０に入力される。また、情報処理システム１が例えば上述の図１５～１８の構成を備える場合、バス５５０に接続された制御部３１０は、不揮発性メモリ３７０から直接データを読み出してもよい。不揮発性メモリ３７０は、動作制御装置４０が備える他の構成の少なくとも一部と同じチップに搭載されてもよいし、動作制御装置４０が備える他の構成の少なくとも一部とは別のチップに搭載されてもよい。

　動作制御装置４０が不揮発性メモリ３７０を備える場合、制御部４１０は、動作可能期間が経過すると、不揮発性メモリ３７０内のデータを外部から読み出せないようにしてもよい。制御部４１０は、例えば、不揮発性メモリ３７０に入力される、選択信号等の制御信号を強制的にネゲートすることによって、不揮発性メモリ３７０内のデータを外部から読み出せないようにしてもよい。あるいは、制御部４１０は、不揮発性メモリ３７０に接続された各データ線のレベルを強制的に固定することによって、不揮発性メモリ３７０内のデータを外部から読み出せないようにしてもよい。

　このように、動作制御装置４０が、動作可能期間が経過すると、不揮発性メモリ３７０内のデータを外部から読み出せないようにすることによって、動作可能期間の経過後、主装置３０の制御部３１０の動作が停止する。これにより、動作可能期間の経過後においては、クロック入力口３０１に対するクロック信号の供給が停止する場合と同様に主装置３０の動作が停止する。つまり、設定対象機能が停止する。

　＜第６の他の例＞
　上記の例では、情報処理装置３内のバージョン情報３７６が示すバージョンと、サーバ装置２内の更新バージョン情報２１６が示すバージョンとの比較は、サーバ装置２で実行されているが、情報処理装置３で実行されてもよい。図３５～３７はこの場合の情報処理システム１の動作の一例を示すフローチャートである。図３５及び図３６は情報処理装置３の動作の一例を示し、図３７はサーバ装置２の動作の一例を示す。

　図３５に示されるように、情報処理装置３は、上述のステップｓ５１～ｓ５４を実行する。情報処理装置３は、ステップｓ５４においてＹＥＳと判定すると、上述のステップｓ５７を実行する。これにより、動作制御装置４０が記憶する識別情報４３１がサーバ装置２に送信される。このとき、対象ソフトウェアを特定するための特定情報もサーバ装置２に送信される。

　サーバ装置２は、図３７に示されるように、ステップｓ７５において、情報処理装置３から識別情報４３１を受信すると、上述のステップｓ７６及びｓ７７を実行する。これにより、対象ソフトウェア３７３に応じた更新ソフトウェア２１３と、それに対応する署名２１４と、サーバ生成署名と、それに対応する更新バージョン情報２１６及び識別情報４３１とを含む更新ソフトウェア関連データがサーバ装置２から情報処理装置３に送信される。

　情報処理装置３は、図３５及び３６に示されるように、ステップｓ５７の後、ステップｓ５８において、サーバ装置２から更新ソフトウェア関連データを受信すると、上述のステップｓ５９～ｓ６４を実行する。情報処理装置３は、ステップ６４においてＹＥＳと判定すると、ステップｓ１３１を実行する。ステップｓ１３１において、動作制御装置４０の制御部４１０は、情報処理装置３が受信した更新ソフトウェア関連データに含まれる更新バージョン情報２１６が示す更新バージョンと、主装置３０のメモリ３７０内の対象バージョン情報３７６が示すバージョン（記憶バージョンともいう）とを比較する。ステップｓ１３１でのバージョン比較の結果、制御部４１０は、記憶バージョンが更新バージョンよりも古いと判定すると（ステップｓ１３２のＹＥＳ）、上述のステップｓ６５を実行する。これにより、メモリ３７０内の対象ソフトウェア３７３、対象バージョン情報３７６及び対象署名３７７が更新される。一方で、ステップｓ１３１でのバージョン比較の結果、制御部４１０は、記憶バージョンが更新バージョンよりも古くはないと判定すると（ステップｓ１３２のＮＯ）、更新処理が実行されずにソフトウェア更新処理が終了する。

　このように、情報処理装置３内のバージョン情報３７６が示すバージョンと、サーバ装置２内の更新バージョン情報２１６が示すバージョンとの比較が、情報処理装置３で実行される場合には、ソフトウェアの更新に関してサーバ装置２が行う処理を簡素化することができる。

　なお、図３５及び図３６に示されるソフトウェア更新処理において、ステップｓ５９及びｓ６０から成る第３処理と、ステップｓ６１及びｓ６２から成る第４処理と、ステップｓ６３及びｓ６４から成る第５処理と、ステップｓ１３１及びｓ１３２から成る第６処理の実行順序が入れ替えられてもよい。例えば、ステップｓ５８の直後に第６処理が実行されてもよいし、第３処理の直後に第６処理が実行されてもよい。

　また、図３５及び図３６の例では、ソフトウェア３７３が自動更新されているが、ユーザの指示に応じてソフトウェア３７３が更新されてもよい。この場合の情報処理装置３（情報処理装置３Ｂともいう）の主装置３０の構成は、例えば、上述の図２７に示される構成と同様の構成を有する。

　図３８は、情報処理装置３Ｂの動作の一例を示すフローチャートである。図３８に示されるように、上述のステップｓ６３での識別情報の比較の結果、動作制御装置４０が識別情報４３１と受信識別情報とが一致すると判定すると（ステップｓ６４のＹＥＳ）、上述のステップｓ１３１が実行される。ステップｓ１３１でのバージョン比較の結果、制御部４１０が、記憶バージョンが更新バージョンよりも古いと判定すると（ステップｓ１３２のＹＥＳ）、上述のステップｓ９１及びｓ９２が実行される。ステップｓ９２においてＹＥＳと判定されると、つまり、入力部３８５がユーザからの更新指示を受け付けると、ステップｓ６５の更新処理が実行される。これにより、ユーザの更新指示に応じて、対象ソフトウェア３７３、対象バージョン情報３７６及び対象署名３７７が更新される。

　図３５，３６，３８の例において、情報処理装置３の動作制御装置４０は、ステップｓ５２においてＮＯと判定したとき、動作可能期間であっても、主装置３０のクロック入力口３０１に対するクロック信号の供給を停止するなどして、自ら設定対象機能を停止あるいは制限してもよい。また、動作制御装置４０は、ステップｓ５４においてＮＯと判定したとき、動作可能期間であっても、自ら設定対象機能を停止あるいは制限してもよい。また、動作制御装置４０は、ステップｓ６０においてＮＯと判定したとき、動作可能期間であっても、自ら設定対象機能を停止あるいは制限してもよい。また、動作制御装置４０は、ステップｓ６２においてＮＯと判定したとき、動作可能期間であっても、自ら設定対象機能を停止あるいは制限してもよい。また、動作制御装置４０は、ステップｓ６４においてＮＯと判定したとき、動作可能期間であっても、自ら設定対象機能を停止あるいは制限してもよい。

　上記の各種例では、サーバ装置２が生成する更新ソフトウェア関連データに、識別情報４３１が含まれているが、識別情報４３１が含まれなくてもよい。この場合、情報処理装置３は、上述の図２１，２８等に示されるステップｓ６３及びステップｓ６４を実行しない。また、情報処理装置３は、上述のステップｓ６１において、更新ソフトウェア関連データに含まれる更新バージョン情報２１６と動作制御装置４０の記憶部４３０内の識別情報４３１からハッシュ値を生成する。そして、情報処理装置３は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とを比較する。情報処理装置３は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とが一致する場合には、サーバ生成署名が正しいと判定する。一方で、情報処理装置３は、サーバ生成署名を復号化して得られた値と、生成したハッシュ値とが一致しない場合には、サーバ生成署名が正しくないと判定する。

　このように、情報処理装置３においてステップｓ６３及びｓ６４が実行されない場合には、情報処理装置３は、サーバ生成署名が正しいと判定した場合、サーバ装置２からの更新ソフトウェア２１３、更新バージョン情報２１６及びサーバ生成署名で、メモリ３７０内のソフトウェア３７３、バージョン情報３７６及び署名３７７をそれぞれ更新する更新処理を行う。したがって、対象情報処理装置３は、サーバ装置２からの更新バージョン情報２１６がハッカーによって改ざんされておらず、かつ、更新バージョン情報２１６及びサーバ生成署名がハッカーによって別の情報処理装置３のものと入れ換えられていないときに更新処理を実行することができる。よって、情報処理装置３は、情報処理システム１がハッキングされていないときに、更新処理を実行することができる。したがって、情報処理装置３は、メモリ３７０内のソフトウェア３７３、バージョン情報３７６及び署名３７７を適切に更新することができる。

　また、情報処理装置３は、上述の図２０及び２３等に示されるステップｓ５３及びｓ５４を実行しなくてもよい。この場合、主装置３０のメモリ３７０は識別情報４３２を記憶しなくてもよい。メモリ３７０が識別情報４３２を記憶しない場合には、上述のステップｓ５１において、情報処理装置３は、メモリ３７０内の対象バージョン情報３７６と動作制御装置４０の記憶部４３０内の識別情報４３１からハッシュ値を生成する。そして、情報処理装置３は、対象署名３７７を復号化して得られた値と、生成したハッシュ値と比較する。情報処理装置３は、対象署名３７７を復号化して得られた値と、生成したハッシュ値とが一致すれば、対象署名３７７が正しいと判定する。一方で、情報処理装置３は、対象署名３７７を復号化して得られた値と、生成したハッシュ値とが一致しなければ、対象署名３７７が正しくないと判定する。

　このように、情報処理装置３においてステップｓ５３及びｓ５４が実行されない場合には、情報処理装置３は、署名３７７が正しいと判定した場合、メモリ３７０内のバージョン情報３７６をサーバ装置２に送信する。これにより、ハッキングによって、誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される可能性を低減することができる。例えば、対象情報処理装置３のメモリ３７０内のバージョン情報３７６及び署名３７７が、ハッカーによって、別の情報処理装置３のメモリ３７０から盗まれたバージョン情報３７６及び署名３７７に置き換えられた場合を考える。この場合、本例では、例えば、対象情報処理装置３のメモリ３７０内のバージョン情報３７６と対象情報処理装置３の記憶部４３０内の識別情報４３１から生成されたハッシュ値と、対象情報処理装置３のメモリ３７０内の署名３７７が復号化されて得られた値とが一致しなくなる。つまり、署名３７７が正しくないと判定される。これにより、ステップｓ５５あるいはステップｓ１５５が実行されない。よって、誤ったバージョンを示すバージョン情報３７６がサーバ装置２に送信される可能性が低下する。

　ここに開示される要素の機能は、当該開示される要素を実行するように構成された、あるいは当該開示される機能を実行するようにプログラミングされた汎用プロセッサ、専用プロセッサ、集積回路、ＡＳＩＣ（「特定用途向け集積回路」）、従来の回路構成及び／またはそれらの組み合わせを含む回路構成あるいは処理回路構成が用いられて実装されてもよい。プロセッサは、それが、その中にトランジスタ及び他の回路構成を含むとき、処理回路構成あるいは回路構成として見なされる。本開示において、回路構成、ユニットあるいは手段は、挙げられた機能を実行するハードウェア、あるいは当該機能を実行するようにプログラミングされたハードウェアである。ハードウェアは、挙げられた機能を実行するようにプログラミングされた、あるいは当該機能を実行するように構成された、ここで開示されるいかなるハードウェアあるいは既知の他のものであってもよい。ハードウェアが、あるタイプの回路構成として見なされるかもしれないプロセッサであるとき、回路構成、手段あるいはユニットは、ハードウェアとソフトウェアの組み合わせ、ハードウェアを構成するために用いられるソフトウェア及び／またはプロセッサである。

　以上のように、情報処理システム１は詳細に説明されたが、上記した説明は、全ての局面において例示であって、この発明がそれに限定されるものではない。また、上述した各種変形例は、相互に矛盾しない限り組み合わせて適用可能である。そして、例示されていない無数の変形例が、この発明の範囲から外れることなく想定され得るものと解される。

　１　情報処理システム
　２　サーバ装置
　３，３Ａ，３Ｂ　情報処理装置
　４０　動作制御装置
　２１３　更新ソフトウェア
　２１６　更新バージョン情報
　３６０　不揮発性メモリ
　３７３　ソフトウェア
　３７６　バージョン情報
　３７７　署名
　３８５　入力部
　４３０　記憶部
　４３１，４３２　識別情報

Claims

　所定機能を有する情報処理装置と、
　前記情報処理装置と通信ネットワークを通じて通信するサーバ装置と
を備え、
　前記情報処理装置は、前記所定機能を制御する動作制御装置を有し、
　前記動作制御装置は、前記動作制御装置の識別情報を記憶し、
　前記情報処理装置は、前記動作制御装置が記憶する前記識別情報を前記サーバ装置に送信し、
　前記情報処理装置は、第１ソフトウェアと、前記第１ソフトウェアのバージョンを示す第１バージョン情報と、前記第１バージョン情報及び前記識別情報の両方に対応する第１署名とを記憶する第１記憶部を有し、
　前記サーバ装置は、第２ソフトウェアと、前記第２ソフトウェアのバージョンを示す第２バージョン情報とを記憶する第２記憶部を有し、
　前記サーバ装置は、前記第２バージョン情報及び前記情報処理装置から受信した前記識別情報の両方に対応する第２署名を生成し、
　前記情報処理装置では、
　　前記動作制御装置が、前記第１記憶部内の前記第１署名を検証し、前記動作制御装置が、前記第１署名が正しいと判定した場合、前記情報処理装置が、前記第１バージョン情報を前記サーバ装置に送信するという第１処理が実行され、
　前記サーバ装置は、前記第１バージョン情報を受信した場合、前記第１バージョン情報と前記第２バージョン情報とを比較し、前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定したとき、前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名を含む所定データを前記情報処理装置に送信し、
　前記情報処理装置が前記所定データを受信した場合、前記情報処理装置では、
　　前記動作制御装置が、前記所定データに含まれる前記第２署名を検証し、前記動作制御装置が、前記第２署名が正しいと判定した場合、前記情報処理装置が、前記所定データに含まれる前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名で、前記第１記憶部内の前記第１ソフトウェア、前記第１バージョン情報及び前記第１署名をそれぞれ更新する更新処理を行うという第２処理が実行され、
　前記サーバ装置が前記第１バージョン情報を受信しないと判定した場合、前記動作制御装置によって前記所定機能が停止あるいは制限され、
　前記情報処理装置は、前記第１処理を繰り返し実行し、
　前記サーバ装置が、前記所定データを送信した後に前記情報処理装置から受信した前記第１バージョン情報が示すバージョンが、前記第２バージョン情報が示すバージョンと一致しないと判定した場合、前記動作制御装置によって前記所定機能が停止あるいは制限される、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記情報処理装置は、ユーザからの前記第１ソフトウェアの更新指示を受け付ける入力部を有し、
　前記第２処理においては、
　　前記動作制御装置が前記第２署名が正しいと判定し、かつ前記入力部が前記更新指示を受け付けた場合、前記情報処理装置は前記更新処理を行う、情報処理システム。
　請求項２に記載の情報処理システムであって、
　前記第２処理においては、
　　前記動作制御装置が、前記第２署名が正しいと判定した場合、前記情報処理装置は前記ユーザに第１通知を行い、前記第１通知を受けた前記ユーザからの前記更新指示を前記入力部が受け付けたとき、前記情報処理装置は前記更新処理を行う、情報処理システム。
　請求項２に記載の情報処理システムであって、
　前記所定機能が停止あるいは制限された後、前記入力部が前記更新指示を受け付けた場合、前記情報処理装置は前記更新処理を実行する、情報処理システム。
　請求項４に記載の情報処理システムであって、
　前記所定機能が停止あるいは制限された後、前記情報処理装置は前記ユーザに第２通知を行い、前記第２通知を受けた前記ユーザからの前記更新指示を前記入力部が受け付けた場合、前記情報処理装置は前記更新処理を行う、情報処理システム。
　請求項４に記載の情報処理システムであって、
　前記動作制御装置は、前記所定機能が停止あるいは制限されているときに前記更新処理が行われる場合、前記更新処理の実行中に前記所定機能の停止あるいは制限を一時的に解除する、情報処理システム。
　請求項４に記載の情報処理システムであって、
　前記サーバ装置が、前記所定機能が停止あるいは制限された後に前記情報処理装置から受信した前記第１バージョン情報が示すバージョンが、前記第２バージョン情報が示すバージョンと一致したと判定した場合、前記動作制御装置によって前記所定機能の停止あるいは制限が解除される、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記サーバ装置は、前記情報処理装置に関する所定の条件の成立に応じて、前記所定機能の動作許可を示す動作許可情報を前記情報処理装置に送信し、
　前記動作制御装置は、前記情報処理装置が受信する前記動作許可情報に応じて、前記所定機能を動作させ、
　前記サーバ装置は、前記第１バージョン情報を受信しないと判定した場合、前記所定の条件が成立したとしても、前記動作許可情報を前記情報処理装置に送信せず、
　前記動作制御装置は、前記情報処理装置が前記動作許可情報を受信しない場合、前記所定機能を停止あるいは制限する、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記サーバ装置は、前記情報処理装置に関する所定の条件の成立に応じて、前記所定機能の動作許可を示す動作許可情報を前記情報処理装置に送信し、
　前記動作制御装置は、前記情報処理装置が受信する前記動作許可情報に応じて、前記所定機能を動作させ、
　前記サーバ装置は、前記所定データを送信した後に前記情報処理装置から受信した前記第１バージョン情報が示すバージョンが、前記第２バージョン情報が示すバージョンと一致しないと判定した場合、前記所定の条件が成立したとしても、前記動作許可情報を前記情報処理装置に送信せず、
　前記動作制御装置は、前記情報処理装置が前記動作許可情報を受信しない場合、前記所定機能を停止あるいは制限する、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記サーバ装置は、前記第１バージョン情報を受信しない場合、前記所定機能の停止あるいは制限を指示する指示情報を前記情報処理装置に送信し、
　前記動作制御装置は、前記情報処理装置が受信した前記指示情報に応じて、前記所定機能を停止あるいは制限する、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記サーバ装置は、前記所定データを送信した後に前記情報処理装置から受信した前記第１バージョン情報が示すバージョンが、前記第２バージョン情報が示すバージョンと一致しないと判定した場合、前記所定機能の停止あるいは制限を指示する指示情報を前記情報処理装置に送信し、
　前記動作制御装置は、前記情報処理装置が受信した前記指示情報に応じて、前記所定機能を停止あるいは制限する、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記第１記憶部は前記識別情報を記憶し、
　前記情報処理装置では、前記第１処理において、
　　前記動作制御装置が、前記第１記憶部内の前記第１署名を検証し、前記第１記憶部内の前記識別情報が、自身が記憶する前記識別情報と一致するか否かを判定し、前記動作制御装置が、前記第１署名が正しいと判定し、かつ前記第１記憶部内の前記識別情報が、自身が記憶する前記識別情報と一致すると判定した場合、前記情報処理装置が、前記第１バージョン情報を前記サーバ装置に送信し、
　前記サーバ装置は、前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定したとき、前記第２ソフトウェア、前記第２バージョン情報、前記第２署名及び前記識別情報を含む前記所定データを前記情報処理装置に送信し、
　前記情報処理装置では、前記第２処理において、
　　前記動作制御装置が、前記所定データに含まれる前記第２署名を検証し、前記所定データに含まれる前記識別情報が、自身が記憶する前記識別情報と一致するか否かを判定し、前記動作制御装置が、前記第２署名が正しいと判定し、かつ前記所定データに含まれる前記識別情報が、自身が記憶する前記識別情報と一致すると判定した場合、前記情報処理装置が前記更新処理を行う、情報処理システム。
　請求項１に記載の情報処理システムであって、
　前記情報処理装置は、前記動作制御装置が、前記第１記憶部内の前記識別情報が、自身が記憶する前記識別情報と一致しないと判定した場合、前記動作制御装置が記憶する前記識別情報と前記所定データの送信を要求する要求情報とを前記サーバ装置に送信し、
　前記サーバ装置は、前記情報処理装置から受信した前記要求情報に応じて前記所定データを送信し、
　前記要求情報に応じて前記サーバ装置が送信した前記所定データを受信した前記情報処理装置では、
　　前記動作制御装置が、前記所定データに含まれる前記第２署名を検証し、前記所定データに含まれる前記識別情報が、自身が記憶する前記識別情報と一致するか否かを判定し、前記動作制御装置が、前記第２署名が正しいと判定し、かつ前記所定データに含まれる前記識別情報が、自身が記憶する前記識別情報と一致すると判定した場合、前記情報処理装置が、前記所定データに含まれる前記第２ソフトウェア、前記第２バージョン情報、前記識別情報及び前記第２署名で、前記第１記憶部内の前記第１ソフトウェア、前記第１バージョン情報、前記識別情報及び前記第１署名をそれぞれ書き換える、情報処理システム。
　所定機能を有する情報処理装置と、
　前記情報処理装置と通信ネットワークを通じて通信するサーバ装置と
を備え、
　前記情報処理装置は、前記所定機能を制御する動作制御装置を有し、
　前記動作制御装置は、前記動作制御装置の識別情報を記憶し、
　前記情報処理装置は、前記動作制御装置が記憶する前記識別情報を前記サーバ装置に送信し、
　前記情報処理装置は、第１ソフトウェアと、前記第１ソフトウェアのバージョンを示す第１バージョン情報と、前記第１バージョン情報及び前記識別情報の両方に対応する第１署名とを記憶する第１記憶部を有し、
　前記サーバ装置は、第２ソフトウェアと、前記第２ソフトウェアのバージョンを示す第２バージョン情報とを記憶する第２記憶部を有し、
　前記サーバ装置は、前記第２バージョン情報及び前記情報処理装置から受信した前記識別情報の両方に対応する第２署名を生成し、
　前記サーバ装置は、前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名を含む所定データを前記情報処理装置に送信し、
　前記動作制御装置は、
　　前記第１記憶部内の前記第１署名を検証し、
　　前記情報処理装置が受信した前記所定データに含まれる前記第２署名を検証し、
　　前記第１バージョン情報と前記所定データに含まれる前記第２バージョン情報とを比較し、
　前記動作制御装置が、前記第１及び第２署名のそれぞれが正しいと判定し、かつ前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定した場合、前記情報処理装置は、前記所定データに含まれる前記第２ソフトウェア、前記第２バージョン情報及び前記第２署名で、前記第１記憶部内の前記第１ソフトウェア、前記第１バージョン情報及び前記第１署名をそれぞれ更新する更新処理を行う、情報処理システム。
　請求項１４に記載の情報処理システムであって、
　前記情報処理装置は、ユーザからの前記第１ソフトウェアの更新指示を受け付ける入力部を有し、
　前記動作制御装置が前記第１及び第２署名のそれぞれが正しいと判定し、かつ前記動作制御装置が、前記第１バージョン情報が示すバージョンが前記第２バージョン情報が示すバージョンよりも古いと判定し、かつ前記入力部が前記更新指示を受け付けた場合、前記情報処理装置は前記更新処理を行う、情報処理システム。
　請求項１４に記載の情報処理システムであって、
　前記動作制御装置は、
　　前記第１署名が正しくないと判定した場合及び前記第２署名が正しくないと判定した場合の少なくとも一つの場合において、前記所定機能を停止あるいは制限する、情報処理システム。
　請求項１に記載の情報処理システムが備えるサーバ装置。
　請求項１に記載の情報処理システムが備える情報処理装置。
　請求項１に記載の情報処理システムが備える動作制御装置。