知財求人 - 知財ポータルサイト「IP Force」
特開2018-139025データ消去方法、データ消去プログラム、データ消去プログラムを備えたコンピュータおよびデータ消去管理サーバ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2018-139025(P2018-139025A)
(43)【公開日】2018年9月6日
(54)【発明の名称】データ消去方法、データ消去プログラム、データ消去プログラムを備えたコンピュータおよびデータ消去管理サーバ
(51)【国際特許分類】
G06F 21/60 20130101AFI20180810BHJP
【FI】
G06F21/60
【審査請求】未請求
【請求項の数】12
【出願形態】OL
【全頁数】15
(21)【出願番号】特願2017-32962(P2017-32962)
(22)【出願日】2017年2月24日
(71)【出願人】
【識別番号】506149162
【氏名又は名称】加藤 貴
(71)【出願人】
【識別番号】517062436
【氏名又は名称】板井 清司
(74)【代理人】
【識別番号】100100365
【弁理士】
【氏名又は名称】増子 尚道
(72)【発明者】
【氏名】加藤 貴
(72)【発明者】
【氏名】板井 清司
(57)【要約】
【課題】記憶装置のデータ消去が確実に行われたことを迅速に確認し保証する。【解決手段】PCの記憶装置内に格納されている情報を消去用データで上書きすることにより消去するデータ消去がPCで行われたことを管理サーバが判定するデータ消去方法である。消去用データは、管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列である。PCが、記憶装置の記憶領域に消去用データを上書した後、記憶領域に書き込まれた消去用データに含まれる識別データを読み出す。管理サーバは、前記記憶装置から読み出された識別データを、管理サーバに予め記憶させてある識別データと比較し、両者が一致したときにPCでデータ消去が実行されたと判定する。識別データは、消去用データの先頭部に配置される第一識別データと、消去用データの最後部に配置される第二識別データを含むことが好ましい。
【選択図】図2
【特許請求の範囲】
【請求項1】
コンピュータの記憶装置内に格納されている情報を消去用データで上書きすることにより消去するデータ消去が前記コンピュータで行われたことを管理サーバが判定するデータ消去方法であって、
前記消去用データは、前記管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列であり、
前記データ消去方法は、
前記コンピュータが実行するステップとして、
前記記憶装置の記憶領域に前記消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、
前記消去ステップで前記記憶領域に書き込まれた消去用データに含まれる前記識別データを読み出す読出しステップと
を含むとともに、
前記管理サーバが実行するステップとして、
前記読出しステップで前記記憶装置から読み出された前記識別データを、前記管理サーバに予め記憶させてある識別データと比較する比較ステップと、
当該比較ステップで、前記記憶装置から読み出された識別データと、前記管理サーバに予め記憶させてある識別データとが一致したときに前記コンピュータでデータ消去が実行されたと判定する判定ステップと
を含む
ことを特徴とするデータ消去方法。
前記消去用データは、前記管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列であり、
前記データ消去方法は、
前記コンピュータが実行するステップとして、
前記記憶装置の記憶領域に前記消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、
前記消去ステップで前記記憶領域に書き込まれた消去用データに含まれる前記識別データを読み出す読出しステップと
を含むとともに、
前記管理サーバが実行するステップとして、
前記読出しステップで前記記憶装置から読み出された前記識別データを、前記管理サーバに予め記憶させてある識別データと比較する比較ステップと、
当該比較ステップで、前記記憶装置から読み出された識別データと、前記管理サーバに予め記憶させてある識別データとが一致したときに前記コンピュータでデータ消去が実行されたと判定する判定ステップと
を含む
ことを特徴とするデータ消去方法。
【請求項2】
前記識別データは、
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項1に記載のデータ消去方法。
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項1に記載のデータ消去方法。
【請求項3】
前記判定ステップで、データ消去が実行されたと判定された場合に、データ消去が行われたことを示す消去証明書を前記管理サーバが発行する証明書発行ステップ
をさらに含む請求項1または2に記載のデータ消去方法。
をさらに含む請求項1または2に記載のデータ消去方法。
【請求項4】
前記読出しステップで読み出した識別データを前記コンピュータがコンピュータネットワークを通じて前記管理サーバへ送信する識別データ送信ステップと、
前記証明書発行ステップで発行した消去証明書を前記管理サーバが前記コンピュータネットワークを通じて前記コンピュータへ送信する証明書送信ステップと
をさらに含む請求項3に記載のデータ消去方法。
前記証明書発行ステップで発行した消去証明書を前記管理サーバが前記コンピュータネットワークを通じて前記コンピュータへ送信する証明書送信ステップと
をさらに含む請求項3に記載のデータ消去方法。
【請求項5】
コンピュータの記憶装置内に格納されている情報を消去用データで上書きすることにより消去するデータ消去プログラムであって、
前記消去用データは、管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列であり、
前記データ消去プログラムは、
前記記憶装置の記憶領域に前記消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、
前記消去ステップで前記記憶領域に書き込まれた消去用データに含まれる前記識別データを読み出す読出しステップと
を前記コンピュータに行わせることを特徴とするデータ消去プログラム。
前記消去用データは、管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列であり、
前記データ消去プログラムは、
前記記憶装置の記憶領域に前記消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、
前記消去ステップで前記記憶領域に書き込まれた消去用データに含まれる前記識別データを読み出す読出しステップと
を前記コンピュータに行わせることを特徴とするデータ消去プログラム。
【請求項6】
前記識別データは、
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項5に記載のデータ消去プログラム。
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項5に記載のデータ消去プログラム。
【請求項7】
前記読出しステップで読み出した識別データを前記管理サーバへコンピュータネットワークを通じて送信する識別データ送信ステップと、
前記読出しステップで読み出した識別データが前記管理サーバに予め記憶されている識別データと一致した場合に前記管理サーバにより発行される消去証明書を前記管理サーバから前記コンピュータネットワークを通じて受信する消去証明受信ステップと
を前記コンピュータにさらに行わせる請求項5または6に記載のデータ消去プログラム。
前記読出しステップで読み出した識別データが前記管理サーバに予め記憶されている識別データと一致した場合に前記管理サーバにより発行される消去証明書を前記管理サーバから前記コンピュータネットワークを通じて受信する消去証明受信ステップと
を前記コンピュータにさらに行わせる請求項5または6に記載のデータ消去プログラム。
【請求項8】
前記請求項5から7のいずれか一項に記載のデータ消去プログラムを備えた
ことを特徴とするコンピュータ。
ことを特徴とするコンピュータ。
【請求項9】
コンピュータの記憶装置内に格納されている情報を、識別データを一部に含むランダムなデータ列である消去用データで上書きすることにより消去するデータ消去が、当該コンピュータで行われたことを判定する管理サーバであって、
前記識別データを記憶する検証データ記憶部と、
前記コンピュータで前記データ消去が行われた後に前記記憶装置から読み出された識別データを格納する読出しデータ記憶部と、
前記読出しデータ記憶部に格納された識別データを、前記検証データ記憶部に記憶されている識別データと比較し、前記読出しデータ記憶部に格納された識別データが前記検証データ記憶部に記憶されている識別データと一致したときに前記データ消去が行われたと判定するデータ消去判定部と
を備えたことを特徴とするデータ消去管理サーバ。
前記識別データを記憶する検証データ記憶部と、
前記コンピュータで前記データ消去が行われた後に前記記憶装置から読み出された識別データを格納する読出しデータ記憶部と、
前記読出しデータ記憶部に格納された識別データを、前記検証データ記憶部に記憶されている識別データと比較し、前記読出しデータ記憶部に格納された識別データが前記検証データ記憶部に記憶されている識別データと一致したときに前記データ消去が行われたと判定するデータ消去判定部と
を備えたことを特徴とするデータ消去管理サーバ。
【請求項10】
前記識別データは、
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項9に記載のデータ消去管理サーバ。
前記消去用データの先頭部に配置される第一識別データと、
前記消去用データの最後部に配置される第二識別データと
を含む
請求項9に記載のデータ消去管理サーバ。
【請求項11】
前記データ消去判定部によりデータ消去が行われたと判定された場合に、データ消去が行われたことを示す消去証明書を発行する消去証明発行部
をさらに備えた請求項9または10に記載のデータ消去管理サーバ。
をさらに備えた請求項9または10に記載のデータ消去管理サーバ。
【請求項12】
コンピュータネットワークを通じて前記コンピュータから送信される前記識別データを受信するとともに、前記消去証明発行部によって発行された前記消去証明書を前記コンピュータへ前記コンピュータネットワークを通じて送信する証明要求受付部
をさらに備えた請求項11に記載のデータ消去管理サーバ。
をさらに備えた請求項11に記載のデータ消去管理サーバ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ消去方法、データ消去プログラム、データ消去プログラムを備えたコンピュータおよびデータ消去管理サーバに係り、特に、コンピュータの記憶装置に特有のデータを上書きすることによりデータを消去し、消去が完了したことを管理サーバが確認し保証する技術に関する。
【背景技術】
【0002】
官公庁や公的機関、民間企業から個人に至るまでパーソナルコンピュータ(以下「PC」と言う)が広く普及した今日、記憶装置内に格納された情報の流出が問題となっている。記憶装置内には、個人情報や業務上必要な機密情報など各種の秘匿すべき情報が格納されていることが少なくないからである。このため、PCを処分(廃棄や売却等)するにあたっては、記憶装置内のデータを完全に消去することが望まれる。
【0003】
データ消去の方式としては、ファイルの管理情報を単に削除するだけでなく、データ本体を消去するために記憶装置のすべての記憶領域に2進数の「0」や「1」を上書きしたり、媒体面の残留磁気の痕跡も消去するためにランダムなデータを複数回上書きするなどソフトウェア的な様々な方法が提案されている。
【0004】
また、記憶装置内のデータ消去を行う技術に関連し、本発明者の提案に係る下記特許文献がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−316789号公報
【特許文献2】特開2014−115724号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、完全なデータ消去を行うには、消去の方式(消去した情報が復元されない処理自体の信頼性)も重要であるが、所定の消去処理が確実かつ完全に実行されたこと、すなわち、情報が格納されている記憶領域の全域に亘って処理が途中で中止されることなく最後まで行われることが必要である。
【0007】
しかしながら、例えば業務で使用されていたPCを処分するにあたって専門業者にデータ消去が依頼されることもあるものの、消去処理をPCの使用者や社内管理者任せになされているケースも少なくない。このため、不注意から消去処理が実施されずに、あるいは、何らかのアクシデントから処理が完全に行われずに記憶装置内にデータが残留したままPCが処分され、情報が外部に漏洩する事故が現実に生じている。
【0008】
したがって、PCを所有・使用していた者ではなく、客観的な第三者の立場からデータ消去を確認し、消去が確実に行われたことを保証するサービスを提供することは情報漏洩を防ぎ、PC資源の再利用を図る観点からも有意義であると考えられる。しかも、そのような消去の確認作業は、短時間で効率良く実施できる必要がある。なぜなら、記憶装置の容量は今後益々増大すると予想され、社会全体として膨大な数量になる記憶装置に対応できることが望ましいからである。
【0009】
一方、本発明者の提案に係る前記特許文献に記載の発明は、いずれもノートPCを置き忘れたり盗難に遭ったときに離れた場所からPC内のデータを遠隔消去できるようにしたもので、上記のような第三者的な立場からデータ消去を効率良く確認・保証しようするものではない。
【0010】
したがって、本発明の目的は、記憶装置のデータ消去が確実に行われたことを迅速に効率良く確認し保証できるようにする点にある。
【課題を解決するための手段】
【0011】
前記課題を解決し目的を達成するため、本発明に係るデータ消去方法は、コンピュータの記憶装置内に格納されている情報を消去用データで上書きすることにより消去するとともに、このデータ消去が当該コンピュータで行われたことを管理サーバが判定するものである。なお、本発明において「記憶装置」とは、主記憶装置(メインメモリ)を指すものではなく、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)のような補助記憶装置(記録装置)を意味する。
【0012】
上記消去用データは、管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列である。また当該データ消去方法は、上記コンピュータが実行するステップとして、記憶装置の記憶領域に消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、この消去ステップで記憶領域に書き込まれた消去用データに含まれる前記識別データを読み出す読出しステップを含む。
【0013】
また管理サーバが実行するステップとして、前記読出しステップで記憶装置から読み出された識別データを、管理サーバに予め記憶させてある識別データと比較する比較ステップと、この比較ステップで、記憶装置から読み出された識別データと、管理サーバに予め記憶させてある識別データとが一致したときに上記コンピュータでデータ消去が実行されたと判定する判定ステップを含む。
【0014】
ランダムなデータで上書きすることにより消去を行えば、消去されたデータの復元可能性を低下させ安全性を向上させることが出来ることが知られている一方で、そのような処理を行い、上書き処理が記憶装置の全域に亘って完全に行われたか確認しようとした場合には、非常に時間がかかることが予想される。しかも、記憶容量が大きくなればなるほど作業に要する時間は長くなる。また特に、第三者的な立場から(例えば業界団体や公的機関等が)消去の認定を行う(客観的な立場から証明書を発行する)ようなサービスを考えた場合、膨大な数量の記憶装置に対して確認作業を行う必要性が予想される。
【0015】
そこで、本発明のデータ消去方法では、ランダムなデータ列である消去用データを上書きすることによりデータ消去を行うが、この消去用データには特有のデータ列である識別データを含ませてあり、処理対象であるコンピュータで消去処理を行った後に、当該識別データを読み出してこれを管理サーバに提供する。管理サーバには予め当該識別データを記憶させてあり、消去処理が終了したコンピュータから読み出された識別データと、管理サーバが予め記憶している識別データとを管理サーバが比較し、両識別データが一致することを確認することでデータ消去が完了したと判定する。
【0016】
なお、記憶装置への消去用データの書込み時や、記憶装置からの識別データの読出し時には一部にエラーが生じる可能性もあることから、本発明において上記識別データの「一致」とは、完全な一致に限定されるものではなく、識別データ同士の比較において予め定めた一定値以上(例えば90%以上や95%以上など)一致すれば管理サーバは両識別データが一致したと判定する。この一定値(どの程度一致すれば一致と判定するか)は、予め管理サーバに設定しておけば良い。
【0017】
上記のような比較・確認作業では、記憶装置に上書きしたデータのすべてを扱う必要はなく識別データだけを比較するだけ良いから、記憶装置が大容量となっても迅速に作業を行うことができ、膨大な数量の記憶装置に対しても効率良く対応することが出来る。
【0018】
消去用データ内における識別データの数および配置する位置は特に限定されず、消去用データに幾つの(何組の)識別データを含ませても、また識別データを消去用データのどの位置に配置しても良い。ただし、好ましい態様としては、消去用データの先頭部と最後部にそれぞれ識別データを配置する。消去用データの先頭部に第一の識別データ(第一識別データ)が、最後部に第二の識別データ(第二識別データ)が正常に書き込まれていることを管理サーバが確認することにより、当該消去用データのすべてが当該記憶装置に上書きされ、データ消去が全域に亘り(最初から最後まで)行われていると推定できるからである。
【0019】
また、かかる推定(管理サーバによる判断)の信頼性をより一層高めるため、上記第一識別データと第二識別データに加えて消去用データの中間部にも1以上の同様の識別データをさらに含ませ、管理サーバに予め保存しておくこととし、消去処理完了後、これら中間部の識別データも当該記憶装置から読み出して管理サーバで同様の比較確認作業を行うようにしても良い。
【0020】
消去用データのうち識別データ以外の部分については、それがどのようなものであるかは特に問わない。典型的には後述の実施形態のように乱数データとするが、それ以外のデータであって良い。
【0021】
また、消去用データは規則性のないデータ列であり、したがって記憶装置への上書き回数は1回で十分に信頼性を確保できる(要求されるセキュリティレベルによるが、一般的な業務用PCや個人使用のPCの場合等)と考えられるが、特に高度なセキュリティレベルが要求される場合には、安全性(消去の確実性)をさらに向上させるために複数回上書きするようにしても良い。複数回上書きする場合には、例えば、それぞれの書き込み操作で異なるデータ列(例えばランダムなデータ列)を書き込み、最後の書き込み操作で上記識別データを含む消去用データを上書きすれば良い。
【0022】
消去用データを書き込む領域は、当該記憶装置についてデータ消去を望む記憶領域、例えば後述する実施形態のようにデータ領域全域とすることができ、この場合、例えばデータ領域の先頭セクタ(又は先頭から数セクタ/以下同様)に第一識別データを、最終セクタ(又は最後尾の数セクタ/以下同様)に第二識別データを、また先頭セクタと最終セクタの間の全セクタにランダムなデータをそれぞれ上書きする(データ領域全域を消去用データで埋めるように上書きする)。消去の確認作業にあたっては、先頭セクタと最終セクタから識別データをそれぞれ読み出して管理サーバに提供し、管理サーバはこれらの識別データを管理サーバに保存してある識別データと比較すれば良い。これにより、当該データ領域の全セクタについてデータ消去が行われたことを確認することが出来る。
【0023】
なお、上記データ消去を望む記憶領域としては、例えばデータ領域に加えて保護領域(HPA)などの隠し領域も含める(隠し領域もデータ消去の対象とする)ことが出来るが、この場合、消去用データを書き込んでデータ消去を実行する消去実行プログラム(後述の実施形態では消去OS)は、消去対象とならない別の隠し領域に格納しておけば良い。また、当該コンピュータの記憶装置が「Secure Erase」機能が搭載されたSSDの場合には、「Secure Erase」機能によるデータ消去の後に当該コンピュータ(後述の実施形態では消去OS)が識別データを含む上記消去用データによってさらに上書き処理を行うようにしておけば良い。
【0024】
消去処理に係るコンピュータ(記憶装置)から読み出した識別データを管理サーバが入手するには、典型的には後述の実施形態のように、コンピュータ(消去OS)が通信回線(コンピュータネットワーク)を通じて管理サーバへ送信することにより行うが、他の方法によることも可能である。例えば、コンピュータ(消去OS)が、コンピュータに装填されたCDやDVD、フラッシュメモリなどの記憶媒体に識別データを格納するようにしても良く、この場合、管理サーバへの識別データの提供は、ユーザが当該記憶媒体を送付し、あるいは、他のコンピュータを使用して当該記憶媒体から識別データを読出し、当該他のコンピュータから管理サーバへ送信しても良い。
【0025】
また、本発明に係るデータ消去プログラム、コンピュータおよびデータ消去管理サーバは、上記データ消去方法と同様の特徴を備える。
【0026】
具体的には、本発明に係るデータ消去プログラムは、コンピュータの記憶装置内に格納されている情報を消去用データで上書きすることにより消去するデータ消去プログラムであって、前記消去用データは、管理サーバに予め記憶させてある識別データを一部に含むランダムなデータ列であり、前記データ消去プログラムは、前記記憶装置の記憶領域に前記消去用データを上書きすることにより、当該記憶領域内に格納されている情報を消去する消去ステップと、前記消去ステップで前記記憶領域に書き込まれた消去用データに含まれる識別データを読み出す読出しステップを前記コンピュータに行わせる。
【0027】
また、上記データ消去プログラムは、読出しステップで読み出した識別データを管理サーバへ送信する識別データ送信ステップと、読出しステップで読み出した識別データが管理サーバに予め記憶されている識別データと一致した場合に管理サーバにより発行される消去証明書を管理サーバからコンピュータネットワークを通じて受信する消去証明受信ステップを前記コンピュータにさらに行わせることがある。
【0028】
また、本発明に係るコンピュータは、上記本発明に係るデータ消去プログラムを備えたものである。
【0029】
さらに、本発明に係るデータ消去管理サーバは、コンピュータの記憶装置内に格納されている情報を、識別データを一部に含むランダムなデータ列である消去用データで上書きすることにより消去するデータ消去が、当該コンピュータで行われたことを判定する管理サーバであって、前記識別データを記憶する検証データ記憶部と、前記コンピュータでデータ消去が行われた後に前記記憶装置から読み出された識別データを格納する読出しデータ記憶部と、当該読出しデータ記憶部に格納された識別データを、前記検証データ記憶部に記憶されている識別データと比較し、読出しデータ記憶部に格納された識別データが検証データ記憶部に記憶されている識別データと一致したときにデータ消去が行われたと判定するデータ消去判定部とを備えている。
【0030】
また、上記データ消去プログラムならびにデータ消去管理サーバにおいても前記データ消去方法と同様に、好ましくは識別データが、消去用データの先頭部に配置される第一識別データと、消去用データの最後部に配置される第二識別データとを含む。
【0031】
さらに、上記データ消去管理サーバならびに前記データ消去方法では、データ消去が実行されたと管理サーバが判定した場合に、データ消去が行われたことを示す消去証明書を管理サーバが発行するようにしても良い。客観的な第三者の立場からデータ消去が完了していることを示すためである。
【0032】
具体的には、当該消去証明書を管理サーバが発行する証明書発行ステップを前記本発明に係るデータ消去方法に含める。また本発明に係るデータ消去管理サーバでは、データ消去判定部によりデータ消去が行われたと判定された場合に上記消去証明書を発行する消去証明発行部をさらに備える。
【0033】
消去証明書には、例えばコンピュータを特定する情報(型名、型番、製造番号等)や、記憶装置を特定する情報(型名、型番、製造番号等)、記憶装置の容量、消去の方式を示す情報、上書き回数、データ消去を行った日付(年月日・時刻等)などの情報を含めることが出来る。
【0034】
また、このような消去証明書を発行する態様では、データ消去完了後、前記コンピュータが識別データを管理サーバ(データ消去管理サーバ)へ送信し、管理サーバは消去証明書を当該コンピュータへ送信するようにしても良い。
【0035】
すなわち、当該態様に係るデータ消去方法では、前記読出しステップで読み出した識別データを前記コンピュータがコンピュータネットワークを通じて管理サーバへ送信する識別データ送信ステップと、前記証明書発行ステップで発行した消去証明書を前記管理サーバがコンピュータネットワークを通じて前記コンピュータへ送信する証明書送信ステップとをさらに含む。
【0036】
また、当該態様に係るデータ消去管理サーバは、コンピュータネットワークを通じて前記コンピュータから送信される前記識別データを受信するとともに、前記消去証明発行部によって発行された前記消去証明書を前記コンピュータへコンピュータネットワークを通じて送信する証明要求受付部をさらに備える。
【発明の効果】
【0037】
本発明によれば、記憶装置のデータ消去が確実に行われたことを迅速に効率良く確認し保証することが出来る。
【0038】
本発明の他の目的、特徴および利点は、図面に基づいて述べる以下の本発明の実施の形態の説明により明らかにする。なお、各図中、同一の符号は、同一又は相当部分を示す。
【図面の簡単な説明】
【0039】
【発明を実施するための形態】
【0040】
図1に示すように本発明の一実施形態に係るデータ消去システムは、本発明に係るデータ消去機能を備えたコンピュータ(ユーザPC/以下単に「PC」と言うことがある)11と、管理サーバ31とを含み、PC11でデータ消去を実行した後に、管理サーバ31がこれを確認し、データ消去が確実に行われたことを証明する消去証明書を管理サーバ31が発行するものである。なお、管理サーバ31は、複数のユーザがそれぞれ所有する複数のPCについてデータ消去の確認や消去証明書の発行を行うことが出来るが、図では1台のPC11のみを示している。
【0041】
ユーザPC11は、バス6で互いに接続された、演算処理装置(CPU)1と、主記憶装置(RAM(Random Access Memory)からなるメインメモリ)2と、BIOSプログラムを格納した不揮発性メモリ(BIOS ROM)16と、ハードディスクドライブ(HDD)からなる補助記憶装置(本発明に言う記憶装置)3と、インターネット10との接続を可能とするネットワーク通信制御部(ネットワークインターフェース)25と、キーボードおよびマウスを含む入力装置4と、表示装置であるディスプレイ5を有する。
【0042】
HDD3は起動ディスクであり、PC11の起動時に最初に読み込まれる先頭セクタであるMBR(Master Boot Record/マスターブートレコード)と、既定OS(デフォルトで起動するOS)やアプリケーションプログラム、データ等を格納可能なデータ領域と、既定OSから隠匿され既定OSからアクセス不能な保護領域とを有する。なお、この例ではHDD3のデータ領域は単一の領域として示しているが、複数のパーティションに区分されていても良く、前述したように全パーティションをデータ消去の対象とすることも或いは一部のみのパーティションをデータ消去の対象とすることも可能である。
【0043】
MBRには、OSを起動するブートローダ(起動プログラム)を格納してある。データ領域には、例えばWindows(登録商標)、Mac OSまたはLinux(登録商標)等の既定OSや、当該既定OS上で動作する各種のアプリケーションプログラム、ユーザが作成したデータを含む様々なデータが格納される。保護領域は、HPA(Host Protected Area/ホスト保護領域)などと称され、BIOSレベルで保護される領域で、この保護領域にはデータ消去を実行する消去実行プログラム(以下「消去OS」と言う)が格納される。
【0044】
消去OSは、データ領域に格納される消去管理プログラムとともに、本発明に係るデータ消去プログラムを構成するもので、消去OSは、データ消去の実行(消去用データの書き込み)や、管理サーバ31に対する消去証明書の要求などを行う。一方、消去管理プログラムは、管理サーバ31に対するユーザ登録や、入力装置4を通じてのデータ消去の受け付け、OSの切り替え(既定OSから消去OSへの切り替え)などを行う。なお、これらのプログラムによる動作・処理については、後に詳しく説明する。
【0045】
図2はPC11を機能面から把握したブロック図である。この図に示すように本実施形態におけるPC11は、管理サーバ31に対してユーザ登録を行う登録設定部12と、ユーザを識別するユーザIDや当該PC11を特定する情報(型名・型番・製造番号)、HDDに関する情報(型名・型番・製造番号・記憶容量)を記憶するID記憶部13と、入力装置4を通じて入力されるデータ消去の指示を検出する消去命令検出部14と、PC11の電源を制御する電源制御部15と、BIOS16と、OS起動部17と、起動OS記憶部18と、既定OS19と、データ消去部20と、消去用データを生成する消去用データ生成部21と、識別データを記憶する識別データ記憶部22と、乱数を発生する乱数発生部23と、管理サーバ31に対して消去証明を要求する消去証明要求部24と、インターネット10の通信インターフェースであるネットワーク通信制御部25とを備えている。
【0046】
BIOS16は前述した不揮発性メモリに格納されたBIOSプログラムからなり、OS起動部17は前記ブートローダにより構成する。起動OS記憶部18は前記MBR内のパーティションテーブルにより構成し、登録設定部12および消去命令検出部14は消去管理プログラムにより実現する。また、データ消去部20、消去用データ生成部21、識別データ記憶部22、乱数発生部23および消去証明要求部24は、消去OSにより構成する。
【0047】
なお、前記図1に示したように既定OSと消去管理プログラム(消去命令検出部14等)は共にHDD3のデータ領域に格納し、消去OS(データ消去部20等)はHDD3の保護領域に格納するが、図2では、HDD3のデータ領域を消去する消去OSの機能を示すため、これら各部とは別にHDD3を一つのブロックとして図に示した。
【0048】
一方、管理サーバ31は、ユーザ登録を受け付ける登録受付部32と、ユーザやデータ消去の対象となるPC・記憶装置に関する情報など記憶するユーザ情報記憶部33と、ユーザPC11から送信される消去証明要求を受け付ける証明要求受付部34と、データ消去完了後にHDD3から読み出されて消去証明要求とともにユーザPC11から送信される識別データを格納する読出しデータ記憶部35と、識別データ(第一識別データおよび第二識別データ)を予め格納しておく検証データ記憶部36と、読出しデータ記憶部35に格納された識別データと検証データ記憶部36に格納された識別データとを比較するデータ消去判定部37と、消去証明書を発行する消去証明発行部38と、インターネット通信のインターフェースであるネットワーク通信制御部39とを備えている。
【0049】
〔導入とユーザ登録〕本実施形態のシステムによるサービスを利用するにあたっては、データ消去の対象となるPC11に、前記データ消去プログラム(消去管理プログラムおよび消去実行プログラム)を予めインストールしておく。なお、このインストールは、PC11の購入後ユーザ自身が行っても良いし、メーカーがPC11の販売前に行っておいても(プリインストールしても)構わない。
【0050】
ユーザは管理サーバ31にユーザ登録を行う。具体的には、ユーザは入力装置4および登録設定部12を介しコンピュータネットワーク10を通じて管理サーバ31へユーザ情報を送信する。このユーザ情報には、ユーザ名や、PC11に関する情報(型名・型番・製造番号)、HDD3に関する情報(型名・型番・製造番号・記憶容量)が含まれる。登録設定部12は、ユーザ登録にあたってID記憶部13からPC11とHDD3に関する各情報を読み出し、管理サーバ31へ提供する。
【0051】
管理サーバ31では、登録受付部32が上記ユーザ登録を受け付け、ユーザIDを発行してこれをユーザPC11へ送信するとともに、ユーザ情報をユーザIDと関連付けてユーザ情報記憶部33に格納する。ユーザPC11へ送信されたユーザIDは、登録設定部12によりIC記憶部13に格納される。
【0052】
〔データ消去の実行〕ユーザPC11におけるデータ消去は、当該PC11を再起動させ、この再起動時に既定OS19に代えて消去OSを起動させることにより行う。図4はPC11の起動シーケンスを示し、図5はユーザPC11から消去証明要求を受信した管理サーバ31が消去証明書を発行する手順を示すものであるが、これらの図も参照して本実施形態のシステムによる消去処理について説明する。
【0053】
まず、PC11の電源が入れられると(ステップS101)、通常のブートシーケンスに従って、BIOSプログラムがPOST(Power On Self Test/初期化処理)を実行し、起動ドライブ(本実施形態の場合HDD3)を検索した後、MBR内のブートローダ(起動プログラム/OS起動部)を主記憶装置(RAM)2にロードする(ステップS102)。BIOS16はブートローダに制御を移し、ブートローダ(OS起動部17)がMBR内のパーティションテーブル(起動OS記憶部18)を参照して起動すべきOSを決定する(ステップS103)。このとき、当該パーティションテーブルでは既定OS19がアクティブにされているから、ブートローダ(OS起動部17)は既定OS(例えばWindows(登録商標))19を起動する(ステップS104)。
【0054】
既定OS19が起動されると、本発明に係る消去管理プログラムを立ち上げることが可能となる。ユーザが消去管理プログラムを立ち上げ(ステップS105)、入力装置4を通じてデータ消去の実行を命令すると消去命令検出部14がこの命令を検出する(ステップS106)。消去命令を受けた消去命令検出部14は、既定OS19に代えて消去OSがアクティブになるように起動OS記憶部18(MBRのパーティションテーブル)を書き換えた後(ステップS107)、電源制御部15を通じて当該PC11を強制終了させ再起動する(ステップS108)。
【0055】
PC11が再起動されると、再び、BIOSプログラム16がPOSTを実行し、起動ドライブ(HDD3)を検索した後、MBR内のブートローダ(OS起動部17)をロードする(ステップS102)。BIOS16はブートローダ17に制御を移し、ブートローダ(OS起動部17)がMBR内のパーティションテーブル(起動OS記憶部18)を参照して起動すべきOSを決定する(ステップS103)。このとき、当該パーティションテーブルでは、前記消去管理プログラム(消去命令検出部14)による書き換えによって消去OSがアクティブにされているから、ブートローダ17は消去OSを起動する(ステップS109)。
【0056】
そして、消去OSが起動されるとデータ消去部20は、データ消去が既に行われているか判定し(ステップS110)、データ消去が未だ行われていない場合には、データ領域全域(先頭セクタから最終セクタまで)に消去用データを上書きすることによりHDD3のデータ領域の全情報を消去する(ステップS111)。また、データ消去が既に行われている場合には、消去証明書をディスプレイ5に表示することにより、当該PC11は既にデータ消去完了済であることを示す(ステップS115)。なお、データ消去が既に行われている場合には、後に述べるように消去証明書がデータ領域に格納されており(ステップS114)、データ消去部20は当該消去証明書がHDD3に格納されているか否かによりデータ消去が完了済か否かを判定する。
【0057】
図3は消去用データの一例(10進数で表示)を示すものである。この図に示すように消去用データは、先頭部分に第一識別データ(この例の場合「0478153493」)を、最後尾部分に第二識別データ(この例の場合「9636758138」)をそれぞれ含んでおり、中間部(第一識別データと第二識別データの間)は乱数データで構成されている。第一識別データと第二識別データは、ともに規則性のないランダムなデータであり、互いに異なるデータ列により構成してある。
【0058】
第一識別データと第二識別データは識別データ記憶部22に予め格納してあり、乱数データは乱数発生部23で生成する。消去用データ生成部21は、識別データ記憶部22から読み出した第一識別データと、乱数発生部23で発生させた乱数データと、識別データ記憶部22から読み出した第二識別データを順にデータ消去部20に提供する。データ消去部20は、消去用データ生成部21から得たデータを、データ領域の先頭から順に上書きすることによりデータ領域の情報を消去していく。
【0059】
なお、消去用データの書き込み回数(上書き回数)は、本実施形態では1回とするが、セキュリティレベル(消去の確実性)を高めるために複数回の書き込みを行うようにしても良い。この場合には、例えば、乱数発生部23で発生させた乱数データのみで構成した消去用データを1回以上書き込み、最後の書込み操作で上記識別データを含む消去用データを書き込むようにすれば良い。
【0060】
データ消去部20は、データ領域の全域に消去用データを書き込むと(第二識別データまで書き込み終わると)、当該データ領域から第一識別データと第二識別データを読み出してこれらを消去証明要求部24に提供する(ステップS112)。消去証明要求部24は、ID記憶部13からユーザIDとPC11に関する情報(型名・型番・製造番号)、HDD3に関する情報(型名・型番・製造番号・記憶容量)を読み出し、これらを前記データ消去部20から得た第一識別データおよび第二識別データと一緒に消去証明要求としてネットワーク通信制御部25およびインターネット10を介して管理サーバ31へ送信する(ステップS113)。
【0061】
管理サーバ31では、証明要求受付部34がネットワーク通信制御部39を介して上記消去証明要求を受信する。証明要求受付部34は、消去証明要求に含まれるユーザIDを手掛かりとしてユーザ情報記憶部33を検索し、当該ユーザ情報記憶部33に格納されているPC11とHDD3に関する情報(型名・型番・製造番号・記憶容量)を読み出し、消去証明要求に含まれているPC11とHDD3に関する情報(型名・型番・製造番号・記憶容量)が、ユーザ情報記憶部33に格納されているユーザ登録時のPC11とHDD3に関する情報と一致するか確認する(図5のステップS201)。
【0062】
そして上記PC11とHDD3に関する情報が一致しない場合には、証明要求受付部34は、当該証明要求は受け付けない旨ユーザPC11に通知する(ステップS207)。一方、上記PC11とHDD3に関する情報が一致した場合には、証明要求受付部34は、消去証明要求に含まれる第一識別データと第二識別データを、読出しデータ記憶部35に格納するとともに(ステップS202)、データ消去判定部37に対してデータ消去の判定を行うよう要求する。
【0063】
この要求を受けてデータ消去判定部37は、読出しデータ記憶部35と検証データ記憶部36からそれぞれ第一識別データと第二識別データを読み出して、読出しデータ記憶部35に格納されている第一識別データと、検証データ記憶部36に格納されている第一識別データとを比較するとともに、読出しデータ記憶部35に格納されている第二識別データと、検証データ記憶部36に格納されている第二識別データとを比較する(ステップS203)。
【0064】
比較の結果、これら第一識別データと第二識別データが共に一致する場合には、データ消去が成功したものとして消去証明発行部38に通知し、消去証明発行部38は消去証明書を発行する(ステップS204〜S205)。なお、識別データの「一致」とは、データ消去時の書き込みエラーや、消去後の識別データの読み出しエラーを考慮し、完全な(100%の)一致を言うものではなく、予め設定した一定値(例えば90%)以上一致すれば「一致」とすることは既に述べたとおりである。
【0065】
消去証明発行部38により発行された消去証明書は、証明要求受付部34がユーザ情報記憶部33に格納するとともに、ユーザPC11へ送信する(ステップS206)。消去証明書には、PC11に関する情報(型名・型番・製造番号)、データ消去に係る記憶装置3に関する情報(型名・型番・製造番号・記憶容量)、実行された消去の方式を示す情報、上書き回数、消去証明書の発行日付(年月日・時刻)等の情報を含める。
【0066】
一方、両識別データが一致しない場合(ステップS204)には、消去証明発行部38は消去証明書を発行せず、データ消去判定部37は、データ消去は失敗であると証明要求受付部34に通知し、証明要求受付部34はその旨ユーザPC11に通知する(ステップS208)。
【0067】
消去証明書を受信したユーザPC11では、消去証明要求部24がデータ消去部20を介してHDD3のデータ領域に消去証明書を格納するとともに(図4のステップS114)、当該消去証明書をデータ消去部20がディスプレイ5に表示し(ステップS115)、データ消去の確認が完了したことを示す。
【0068】
本実施形態のシステムによれば、例えば業界団体や公的機関のような第三者機関が管理サーバ31を運営することで、客観的な第三者の立場からデータ消去を確認し、証明書を発行することによってデータ消去が完了していることを認定・保証することが出来る。PC11の利用者・管理者は、このような証明書を入手しておくことで、安心して当該PC11を廃棄し譲渡するなど処分することが出来る。
【0069】
しかも、管理サーバ31での判定作業は、消去領域(記憶装置)の全容量に対応した消去用データのすべてをチェックする必要はなく、特定箇所に配置した識別データのみを比較するだけで良いから、短時間で効率良く判定を行うことができ、多数のユーザから大量のPC11について消去証明が要求されても迅速に対応することが可能である。したがって、情報漏洩を防ぎつつPC11のリサイクルの促進にも寄与できる。
【0070】
以上、本発明の実施形態について説明したが、これらは本発明の具体的な構成および処理手順の一例を示すものであって、本発明は上記実施形態に限定されるものではない。本発明は上記以外にも様々な態様を採ることができ、特許請求の範囲に記載の範囲内で種々の変更を行うことができることは当業者に明らかである。
【0071】
例えば、前記実施形態ではユーザPC11としてBIOSとMBRを持つPCを例にとって説明したが、UEFI(Unified Extensible Firmware Interface)とGPT(GUIDパーティションテーブル)を有するユーザPCについても本発明を同様に適用することが可能である。
【符号の説明】
【0072】
1 演算処理装置(CPU)2 主記憶装置(メインメモリ)
3 補助記憶装置(ハードディスクドライブ)
4 入力装置
5 ディスプレイ
6 バス
10 コンピュータネットワーク(インターネット)
11 ユーザPC(コンピュータ)
12 登録設定部
13 ID記憶部
14 消去命令検出部
15 電源制御部
16 BIOS
17 OS起動部
18 起動OS記憶部
19 既定OS
20 データ消去部
21 消去用データ生成部
22 識別データ記憶部
23 乱数発生部
24 消去証明要求部
25,39 ネットワーク通信制御部
31 管理サーバ
32 登録受付部
33 ユーザ情報記憶部
34 証明要求受付部
35 読出しデータ記憶部
36 検証データ記憶部
37 データ消去判定部
38 消去証明発行部