ホーム > 特許ランキング > カシオ計算機株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5768840
(24)【登録日】2015年7月3日
(45)【発行日】2015年8月26日
(54)【発明の名称】電子機器及びプログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20150806BHJP
G06F 21/32 20130101ALI20150806BHJP
H04L 9/32 20060101ALI20150806BHJP
【FI】
G06F21/31
G06F21/32
H04L9/00 673D
【請求項の数】7
【全頁数】16
(21)【出願番号】特願2013-130102(P2013-130102)
(22)【出願日】2013年6月21日
(62)【分割の表示】特願2007-272419(P2007-272419)の分割
【原出願日】2007年10月19日
(65)【公開番号】特開2013-191240(P2013-191240A)
(43)【公開日】2013年9月26日
【審査請求日】2013年7月3日
(73)【特許権者】
【識別番号】000001443
【氏名又は名称】カシオ計算機株式会社
(72)【発明者】
【氏名】横川 裕幸
【審査官】
平井 誠
(56)【参考文献】
【文献】
特開2007−193018(JP,A)
【文献】
特許第5315662(JP,B2)
【文献】
特開2007−190272(JP,A)
【文献】
特開2003−116799(JP,A)
【文献】
特開2000−172851(JP,A)
【文献】
特開2004−297259(JP,A)
【文献】
特開2007−122493(JP,A)
【文献】
特開2005−115485(JP,A)
【文献】
特開昭61−065384(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21
(57)【特許請求の範囲】
【請求項1】
認証処理機能を有する電子機器であって、
当該電子機器に対する過去の認証処理時での処理状況履歴を記憶手段に記憶制御する記憶制御手段と、
ユーザにより新たな認証処理が行われた際は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、今回の認証処理時での処理状況がリスクの可能性のある処理状況か否かを判別する判別手段と、
今回の認証処理時での前記処理状況を外部装置で検証チェックすべく、当該外部装置に対して前記処理状況の検証チェックの依頼情報を送信するチェック依頼手段と、
前記外部装置での検証チェックのチェック結果を取得し、そのチェック結果に基づいて当該電子機器での動作を制御する動作制御手段と、
を具備したことを特徴とする電子機器。
当該電子機器に対する過去の認証処理時での処理状況履歴を記憶手段に記憶制御する記憶制御手段と、
ユーザにより新たな認証処理が行われた際は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、今回の認証処理時での処理状況がリスクの可能性のある処理状況か否かを判別する判別手段と、
今回の認証処理時での前記処理状況を外部装置で検証チェックすべく、当該外部装置に対して前記処理状況の検証チェックの依頼情報を送信するチェック依頼手段と、
前記外部装置での検証チェックのチェック結果を取得し、そのチェック結果に基づいて当該電子機器での動作を制御する動作制御手段と、
を具備したことを特徴とする電子機器。
【請求項2】
前記判別手段は、当該電子機器に対する今回の認証処理が、前回の認証処理時から所定時間経過後における認証処理か否か、あるいは同一ユーザによる短時間における複数回の認証処理か否か、あるいは新たなユーザによる認証処理時での認証登録処理が短期間に複数回行われたか否か、を判定することで、今回の認証処理時での処理状況が不正ユーザによる不正認証処理のリスクの可能性のある処理状況か否かを判別する、
ことを特徴とする請求項1に記載の電子機器。
ことを特徴とする請求項1に記載の電子機器。
【請求項3】
前記判別手段は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、当該電子機器の使用頻度、あるいは認証処理の頻度、あるいは操作ユーザの同一性を判定し、その判定結果に基づいて、今回の認証処理の処理状況が、不正ユーザによる不正認証処理のリスクの可能性ある処理状況か否かを判別する、
ことを特徴とする請求項1に記載の電子機器。
ことを特徴とする請求項1に記載の電子機器。
【請求項4】
前記記憶制御手段は、過去の認証処理時での処理状況履歴を、生体情報によるユーザ認証処理の認証結果の有無に拘わらず前記記憶手段に記憶制御する、
ことを特徴とする請求項1〜3の何れかに記載の電子機器。
ことを特徴とする請求項1〜3の何れかに記載の電子機器。
【請求項5】
前記チェック依頼手段は、今回の認証処理時での処理状況を前記外部装置に対して送信することで、今回の認証処理時での処理状況の検証チェックの依頼を行う、
ことを特徴とする請求項1〜4の何れかに記載の電子機器。
ことを特徴とする請求項1〜4の何れかに記載の電子機器。
【請求項6】
前記動作制御手段は、ユーザによる新たな認証処理時に前記外部装置から取得したチェック結果に基づいて、当該電子機器でのアラーム報知あるいは動作停止を制御する、
ことを特徴とする請求項1〜5の何れかに記載の電子機器。
ことを特徴とする請求項1〜5の何れかに記載の電子機器。
【請求項7】
認証処理機能を有する電子機器のコンピュータを制御するためのプログラムであって、
前記コンピュータを、
当該電子機器に対する過去の認証処理時での処理状況履歴を記憶手段に記憶制御する記憶制御手段、
ユーザにより新たな認証処理が行われた際は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、今回の認証処理時での処理状況がリスクの可能性のある処理状況か否かを判別する判別手段、
今回の認証処理時での前記処理状況を外部装置で検証チェックすべく、当該外部装置に対して前記処理状況の検証チェックの依頼情報を送信するチェック依頼手段、
前記外部装置での検証チェックのチェック結果を取得し、そのチェック結果に基づいて当該電子機器での動作を制御する動作制御手段、
として機能させるようにしたコンピュータ読み取り可能なプログラム。
前記コンピュータを、
当該電子機器に対する過去の認証処理時での処理状況履歴を記憶手段に記憶制御する記憶制御手段、
ユーザにより新たな認証処理が行われた際は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、今回の認証処理時での処理状況がリスクの可能性のある処理状況か否かを判別する判別手段、
今回の認証処理時での前記処理状況を外部装置で検証チェックすべく、当該外部装置に対して前記処理状況の検証チェックの依頼情報を送信するチェック依頼手段、
前記外部装置での検証チェックのチェック結果を取得し、そのチェック結果に基づいて当該電子機器での動作を制御する動作制御手段、
として機能させるようにしたコンピュータ読み取り可能なプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は電子機器及びプログラムに関する。
【背景技術】
【0002】
従来から、操作者(ユーザ)の認証機能を有する電子機器が知られている。当該電子機器では、利用開始時に、ユーザ(又は、ユーザグループ)を特定するためのID(Identification)と、当該IDに対応付けられたパスワードや暗証番号(以下、暗証情報)と、がユーザにより設定される。そして、設定されたID及び暗証情報によりユーザ認証が行われる。
【0003】
上述のユーザ認証は、ユーザ本人しか暗証情報を知らないという前提に立っている。この場合、第三者に暗証情報が知られてしまうと、セキュリティが保障できなくなるという問題があった。
【0004】
上記問題を解決するために、指紋などの生体情報を用いてユーザ認証を行う技術が知られている(例えば、特許文献1参照)。当該技術では、暗証情報を用いる必要はない。このため、暗証情報が第三者に知られることはなく、セキュリティを保障することができる。また、ユーザは暗証情報を暗記しておく必要がない。さらに、ユーザは暗証情報を入力する必要がないので操作性が向上する。
【0005】
しかし、指紋などの生体情報を用いてユーザ認証を行う技術では、ユーザが指を怪我している場合は、生体情報を用いてユーザ認証を行うことができない。また、生体情報の識別率が100%でないため、ユーザ認証に失敗する場合がある。このような場合に対応するため、暗証情報による認証機能及び生体情報による認証機能の両方の機能を有した電子機器が知られている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−155261号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、暗証情報及び生体情報による認証機能を注した電子機器では、セキュリティを保障できないという問題があった。
【0008】
本発明の課題は、セキュリティを高めることである。
【課題を解決するための手段】
【0009】
請求項1は、認証処理機能を有する電子機器であって、当該電子機器に対する過去の認証処理時での処理状況履歴を記憶手段に記憶制御する記憶制御手段と、ユーザにより新たな認証処理が行われた際は、前記記憶手段に記憶された過去の認証処理時の処理状況履歴を参照することで、今回の認証処理時での処理状況がリスクの可能性のある処理状況か否かを判別する判別手段と、今回の認証処理時での前記処理状況を外部装置で検証チェックすべく、当該外部装置に対して前記処理状況の検証チェックの依頼情報を送信するチェック依頼手段と、前記外部装置での検証チェックのチェック結果を取得し、そのチェック結果に基づいて当該電子機器での動作を制御する動作制御手段と、を具備したことを特徴とする。【発明の効果】
【0010】
本発明によれば、セキュリティを高めることができる。
【図面の簡単な説明】
【0011】
【図1】本発明に係る決済システム1を示す概略図である。
【図2】電子機器10の内部構成を示すブロック図である。
【図3】センタサーバ30の内部構成を示すブロック図である。
【図4】セキュリティポリシーテーブル40を示す図である。
【図5】電子機器処理、リスクレベル通知処理を示すフローチャートである。
【図7】監査処理を示すフローチャートである。
【図8】監査証跡抽出処理を示すフローチャートである。
【図9】電子機器10Aの内部構成を示すブロック図である。
【発明を実施するための形態】
【0012】
以下、添付図面を参照して本発明に係る実施の形態の一例を詳細に説明する。ただし、発明の範囲は、図示例に限定されない。
【0014】
図1に示すように、決済システム1は、電子機器10と、センタサーバ30と、を備えて構成される。電子機器10は、通信ネットワークNを介してセンタサーバ30と通信接続されている。なお、図1では、1台の電子機器10が通信ネットワークNを介してセンタサーバ30と通信接続される例を示しているが、電子機器10の台数は、これに限定されるものではなく、電子機器10の台数は任意であり、複数の電子機器10がセンタサーバ30と通信接続されるように構成してもよい。
【0015】
次いで、電子機器10の内部構成を説明する。図2に示すように電子機器10は、制御手段、通知手段としてのCPU(Central Processing Unit)11と、設定手段としての入力部12と、RAM(Random Access Memory)13と、表示部14と、記録手段としてのフラッシュメモリ15と、通信手段としての通信部16と、カードリーダ17と、入力手段としての読取部18と、警報手段としての警報部19と、計時部19aと、を備えて構成され、各部がバス19bを介して接続される。
【0016】
CPU11は、フラッシュメモリ15に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM13に展開し、RAM13に展開されたプログラムとの協働で、各種処理を実行する。
【0017】
CPU11は、電子機器プログラムとの協働により、監査証跡にリスクがあると判別された場合に、当該リスクを回避するための処理を行う。監査証跡とは、読取部18により入力された生体情報を識別するための情報であり、生体情報の入力が正当なものであるかどうかを監査できるようにするための記録である。具体的には、監査証跡は、ID、登録時刻、及び認証時刻のことをいう。IDとは、生体情報を識別するための情報である。登録時刻とは、生体情報が登録された時刻のことをいう。認証時刻とは、ユーザ認証がされた時刻のことをいう。リスクとは、例えば、第三者による電子機器10の不正使用又は転用、第三者による廃棄された電子機器10の再利用、解析の試み等のことをいう。リスクを回避するための処理とは、警報部19による警報(アラーム)の発生、電子機器10の動作停止等の動作を行うことをいう。なお、リスクを回避するための処理は、このような動作に限定されるものではなく、どのような処理を行うかは任意に構成してよい。
【0018】
入力部12は、数字入力キー及び各種機能キーなどを備えたキーパッドを含む構成とし、操作者により各キーが押下された操作信号をCPU11に出力する。また、入力部12は、監査証跡にリスクがあるか否かを判定するためのリスクレベルの設定入力を受け付ける。
【0019】
RAM13は、揮発性のメモリであり、実行される各種プログラムやこれら各種プログラムに係るデータ等を格納するワークエリアを有し、その情報を一時的に格納する。
【0020】
表示部14は、LCD(Liquid Crystal Display)等で構成され、CPU11からの表示信号に従って画面表示を行う。また、入力部12は、表示部14と一体的にタッチパネルを構成することとしてもよい。
【0021】
フラッシュメモリ15は、各種プログラム及び各種データを読み出し及び書き込み可能に記憶する。フラッシュメモリ15は、電子機器プログラム、監査証跡を記憶する。
【0022】
通信部16は、通信制御部により構成され、通信ネットワークNを介してセンタサーバ30と情報を送受信する。
【0023】
カードリーダ17は、図示しないCPU、RAM、ROM、フラッシュメモリ、接続部等を備える。カードリーダ17において、ROMから読み出されたRAMに展開されたプログラムとCPUとの協働で各種処理を実行する。また、接続部は、接続されたICカード17Aの情報を読み取る。また、フラッシュメモリには、暗号鍵(図示省略)が記憶されている。暗号鍵は、例えば、カードリーダ17が電子機器10を認証するための鍵である。電子機器10を認証するとは、電子機器10の動作(例えば、決済処理等の動作)を許可することをいう。
【0024】
ICカード17Aは、各顧客が有する決済用の記録媒体としてのカードである。ICカード17Aは、接触式又は非接触式のカードであり、各ICカードでユニークなカード情報(例えば、暗証番号等)を記憶するICチップを備える。
【0025】
読取部18は、認証対象者(ユーザ)の生体情報(指紋情報)を光学的に読み取り、読み取った生体情報をCPU11に出力する。ここで、生体情報とは、指紋情報,声紋情報,眼球の虹彩情報,手の平や手首の静脈情報等の情報をいう。本実施の形態では、生体情報は、指紋情報として説明する。なお、生体情報として、声紋情報を入力する場合は、声紋情報を音声入力する音声入力部を備えるように構成してもよい。
【0026】
警報部19は、CPU11からの指示に基づいて、警報を示す音(アラーム音)を発生する。なお、警報としては、音の発生に限定されず、警報を表わす音声メッセージを発生させたり、あるいは、表示部14に警報メッセージを表示したり、LEDライトを点滅させたりする光学的な警報としてもよい。
【0027】
次いで、センタサーバ30の構成を説明する。図3にセンタサーバ30の内部構成を示す。
【0028】
図3に示すようにセンタサーバ30は、判別手段としてのCPU31と、入力部32と、RAM33と、表示部34と、記憶部35と、通信部36と、計時部37と、を備えて構成され、各部がバス38を介して接続される。CPU31、入力部32、RAM33、計時部37については、電子機器10のCPU11、入力部12、RAM13、計時部19aの構成と同様であり、異なる部分を主として説明する。
【0029】
CPU31は、リスクレベル通知プログラムとの協働により、フラッシュメモリ15に記録された監査証跡を分析してリスクがあるか否かを判別する。監査証跡を分析してリスクがあるか否かを判別するとは、入力部12を介して設定されたリスクレベルを参照して監査証跡にリスクがあるか否かを判別することをいう。具体的には、入力部12を介して設定された警報発生レベルとしてのアラーム生成レベル、又は動作停止レベルとしての機器動作停止レベルを参照して、監査証跡にリスクがあるか否かを判別することをいう。
【0030】
本実施の形態では、CPU31とリスクレベル通知プログラムとの協働でリスクレベル通知処理を実行することとして説明するが、電子機器10のCPU11とリスクレベル通知プログラムとの協働でリスクレベル通知処理を実行することとしてもよい。この場合、CPU11は、判別手段に該当することとなる。
【0031】
入力部32は、カーソルキー、文字、数字入力キー及び各種機能キーなどを備えたキーボードを含む構成とし、操作者により各キーが押下された操作信号をCPU31に出力する。また、入力部32は、マウス等のポインティングデバイスを含み、位置入力信号を受け付けてCPU31に送信することとしてもよい。
【0032】
表示部34は、LCD、CRT(Cathode Ray Tube)等で構成され、CPU31からの表示信号に従って画面表示を行う。
【0033】
記憶部35は、HDD(Hard Disk Drive)等により構成され、各種プログラム及び各種データを記憶する。
【0034】
通信部36は、モデム、TA(Terminal Adapter)、ルータ、ネットワークカード等により構成され、接続されるネットワークN上の電子機器10と情報を送受信する。
【0035】
次に、図4を参照して、セキュリティポリシーテーブル40について説明する。セキュリティポリシーテーブル40は、監査証跡を扱うポリシーレベルを定めたテーブルである。監査証跡を扱うポリシーレベルとは、リスクレベルがアラーム生成レベルであると判断するための各監査項目の判断基準、リスクレベルが機器動作停止レベルであると判断するための各監査項目の判断基準、指紋情報を保全するための判断基準のことをいう。セキュリティポリシーテーブル40は、電子機器10のフラッシュメモリ15又はセンタサーバ30の記憶部35に記憶される。
【0036】
監査項目は、監査証跡にリスクがあるか否かを判別するための項目である。監査項目には、「機器の使用頻度」、「認証の頻度」、「操作者の同一性」が含まれる。機器の使用頻度は、電子機器10の使用頻度を判別するための項目である。認証の頻度は、ユーザが認証された頻度を監査する項目である。操作者の同一性は、ユーザが同一人であるか否かを監査する項目である。
【0037】
アラーム生成事象(アラーム生成レベル)は、警報部19にアラーム(警報)を発生させるリスクレベルを示している。アラーム生成レベルは、ユーザにより入力部12を介して設定される。例えば、入力部12を介して、機器の使用頻度が「3日以上、機器の使用がない」と設定される。また、入力部12を介して、認証の頻度が「同一人物による1日に10回以上の認証」と設定される。また、入力部12を介して、操作者の同一性が「直近2日の使用者が全員2日以内の登録である」と設定される。
【0038】
機器動作停止事象(機器動作停止レベル)は、電子機器10の動作を停止するリスクレベルを示している。機器動作停止レベルは、ユーザにより入力部12を介して設定される。例えば、入力部12を介して、機器の使用頻度が「1ヶ月以上、機器の使用がない」と設定される。また、入力部12を介して、認証の頻度が「5分以内に5回以上の認証」と設定される。また、入力部12を介して、操作者の同一性が「直近7日の使用者が全員7日以内の登録である(新規利用を除く)」と設定される。
【0039】
証拠保全が必要と判断される条件は、監査証跡にリスクがあると判断された場合に、当該リスクがあると判断された監査証跡に対応する指紋情報をフラッシュメモリ15に記憶するための条件を示している。証拠保全が必要と判断される条件は、ユーザにより入力部12を介して設定される。例えば、入力部12を介して、機器の使用頻度が「3日以上、機器の使用が開いた後の最初の認証者」と設定される。また、入力部12を介して、認証の頻度が「同一人物による5分以内に3回の認証」と設定される。また、入力部12を介して、操作者の同一性が「2日以内に登録された使用者のみの認証」と設定される。
【0040】
想定しているリスクは、監査証跡にリスクがあると判別された場合に、想定されるリスクのことをいう。例えば、アラーム生成レベルにおいて、「3日以上、機器の使用がない」、又は機器動作停止レベルにおいて、「1ヶ月以上、機器の使用がない」と判別された場合は、「機器の不正使用、転用、廃棄された機器の再利用、解析の試み」がリスクとして想定される。また、アラーム生成レベルにおいて、「同一人物による1日に10回以上の認証」、又は機器動作停止レベルにおいて、「5分以内に5回以上の認証」と判別された場合は、「不正な機器の解析の試み」がリスクとして想定される。また、アラーム生成レベルにおいて、「直近2日の使用者が全員2日以内の登録である」、機器動作停止レベルにおいて、「直近7日の使用者が全員7日以内の登録である」と判別された場合は、「機器の不正流用、転用、盗難」がリスクとして想定される。
【0041】
次に、図5〜図8を参照して、決済システム1の動作を説明する。図5に電子機器処理、リスクレベル通知処理の流れを示す。図6に電子機器処理、リスクレベル通知処理の続きの流れを示す。図7に監査証跡抽出処理の流れを示す。図8に監査処理の流れを示す。
【0042】
電子機器10で実行される電子機器処理を説明する。電子機器10において、例えば、入力部12を介して電子機器処理の実行指示が入力されたことをトリガとして、フラッシュメモリ15から読み出されて適宜RAM13に展開された電子機器プログラムとCPU11との協働で、電子機器処理が実行される。
【0043】
先ず、指紋情報の入力が待機される(ステップS11)。そして、読取部18を介して指紋情報が入力された(読み取られた)か否かが判別される(ステップS12)。指紋情報が読み取られていないと判別された場合(ステップS12;NO)、ステップS11に移行される。
【0044】
ステップS12において、指紋情報が入力されたと判別された場合(ステップS12;YES)、入力された指紋情報と、フラッシュメモリ15に記憶されている登録済みの指紋情報と、が比較される(ステップS13)。このとき、指紋情報の比較は、読み取った指紋情報の生データを比較しても、指紋情報の特徴点を抽出したデータを比較してもよい。そして、入力された指紋情報と、フラッシュメモリ15に記憶されている登録済みの指紋情報と、が一致するか否かが判別される(ステップS14)。具体的には、入力された指紋情報と、フラッシュメモリ15に記憶されている複数の指紋情報と、が一致するか否かが判別される。
【0045】
ステップS14において、入力された指紋情報と、フラッシュメモリ15に記憶されている指紋情報と、が一致しないと判別された場合(ステップS14;NO)、次の指紋情報がフラッシュメモリ15から読み出される(ステップS15)。ステップS15の実行後、ステップS13に移行される。
【0046】
ステップS14において、入力された指紋情報と、フラッシュメモリ15に記憶されている指紋情報(全ての指紋情報)と、が一致しないと判別された場合(ステップS14;全件不一致)、入力された指紋情報にIDが割り付けられる(ステップS16)。例えば、フラッシュメモリ15に5人分の指紋情報が既に登録されている場合、ID「6」が指紋情報に割り付けられる。そして、IDが割り付けられた指紋情報がフラッシュメモリ15に登録される(ステップS17)。ステップS17の実行後、登録時刻及び認証時刻がフラッシュメモリ15に登録される(ステップS18)。登録時刻とは、ステップS17において、指紋情報がフラッシュメモリ15に登録された時刻のことをいう。また、認証時刻は、登録時刻と同様の時刻に該当する。ステップS18の実行後、後述するステップS21に移行される。
【0047】
ステップS14において、入力された指紋情報と、フラッシュメモリ15に記憶されている指紋情報と、が一致すると判別された場合(ステップS14;YES)、一致した指紋情報のIDがフラッシュメモリ15から読み出される(ステップS19)。そして、認証時刻が更新される(ステップS20)。本ステップにおける認証時刻とは、ステップS14;YESと判別された時刻のことをいう。
【0048】
ステップS20の実行後、通信部16を介してID及び時刻情報が監査証跡としてセンタサーバ30に送出(送信)される(ステップS21)。時刻情報とは、登録時刻及び認証時刻のことをいう。そして、監査証跡抽出処理が実行される(ステップS22)。監査証跡抽出処理は、リスクがある監査証跡を抽出する処理である。図7を参照して監査証跡抽出処理を説明する。
【0049】
先ず、最新の監査証跡が内部記憶される(ステップS221)。すなわち、受信されたID、登録時刻及び認証時刻が紐付けられてフラッシュメモリ15に記憶される。そして、最新の監査証跡の1件前にフラッシュメモリ15に記憶された監査証跡のチェックが行われる(ステップS222)。ステップS222の実行後、チェックした監査証跡が3日前に記録された監査証跡であるか否かが判別される(ステップS223)。具体的には、チェックした監査証跡に含まれる認証時刻と計時部37で計時された現在時刻とを比較して、現在時刻が監査証跡に含まれる認証時刻から3日以上経過しているか否かが判別される。チェックした監査証跡が3日前以上に記録されたと判別された場合(ステップS223;以上)、処理結果が「該当」として返される(ステップS224)。ステップS224の実行後、監査証跡抽出処理が終了され、ステップS23に移行される。
【0050】
ステップS223において、チェックした監査証跡が3日前未満に記憶されたと判別された場合(ステップS223;未満)、3件前までさかのぼって監査証跡がチェックされる(ステップS225)。すなわち、ステップ221で記録された監査証跡の3件前の監査証跡までさかのぼってチェックが行われる。
【0051】
そして、同一人物により5分以内に3回の認証があったか否かが判別される(ステップS226)。同一人物であるか否かの判別は、監査証跡に含まれるIDに基づいて行われる。5分以内に3回の認証があったか否かの判別は、監査証跡に含まれる認証時刻に基づいて行われる。すなわち、本ステップは、3件前までの監査証跡に含まれるID及び認証時刻に基づいて、同一人物により5分以内に3回の認証があったか否かが判別される。
【0052】
ステップS226において、同一人物により5分以内に3回の認証があったと判別された場合(ステップS226;あり)、ステップS224に移行される。同一人物により5分以内に3回の認証がないと判別された場合(ステップS226;なし)、2日前までさかのぼって監査証跡のチェックが行われる(ステップS227)。そして、全員が登録2日以内であるか否かが判別される(ステップS228)。すなわち、直近2日の登録ユーザが全員2日以内の登録であるか否かが判別される。具体的には、直近2日間の監査証跡に含まれるID及び登録時刻に基づいて、2日以内に登録したユーザが全て同一人であるか否かが判別される。
【0053】
ステップS228において、全員が登録2日以内であると判別された場合(ステップS228;YES)、ステップS224に移行される。全員が登録2日以内でないと判別された場合(ステップS228;NO)、処理結果が「非該当」として返される(ステップS229)。ステップS229の実行後、監査証跡抽出処理が終了され、ステップS23に移行される。
【0054】
そして、処理結果が該当か非該当かが判別される(ステップS23)。処理結果が該当と判別された場合(ステップS23;該当)、認証時に読み込まれた指紋情報とIDとが暗号鍵により暗号化される(ステップS24)。指紋情報とIDとが暗号化されることにより、第三者による指紋情報の改ざんを防ぐことができる。このとき、指紋情報とIDとをまとめた署名を付与してもよい。
【0055】
ステップS24の実行後、暗号化された指紋情報とIDとが通信部16を介してセンタサーバ30へ送出(送信)、又は暗号化された指紋情報とIDとがフラッシュメモリ15に記憶される(ステップS25)。ここで、署名が付与されている場合は、署名とともに、暗号化された指紋情報及びIDがセンタサーバ30へ送信される。ステップS25の実行後、後述するステップS26に移行される。
【0056】
ステップS23において、処理結果が非該当と判別された場合(ステップS23;非該当)、電子機器10が本来目的とする機能が実施される(ステップS26)。電子機器10が本来目的とする機能とは、例えば、決済処理のことをいう。そして、再認証の条件がチェックされる(ステップS27)。例えば、セキュリティを向上させるためにユーザが3時間に1回の割合で再認証を行うように予め設定していたとする。この場合、認証時刻(例えば、ステップS14;YESの場合の認証時刻、又はステップS17の認証時刻)からの経過時刻を参照することにより、再認証の条件のチェックが行われる。
【0057】
ステップS27の実行後、再認証の条件に基づいて、再認証を行うか否かが判別される(ステップS28)。再認証を行うと判別された場合(ステップS28;該当)、ステップS11に移行される。再認証を行わないと判別された場合(ステップS28;非該当)、通信部16を介してセンタサーバ30から通知情報が受信される(ステップS29)。ステップS28;非該当の場合、ステップS26の処理(例えば、次の決済処理)を行う必要がある場合は、ステップS26に移行される。
【0058】
ステップS29の実行後、チェック結果の判別が行われる(ステップS30)。具体的には、センタサーバ30から受信した情報に基づいて、チェック結果の判別が行われる。チェック結果がアラームであった場合(ステップS30;アラーム)、警告が実行される(ステップS31)。警告とは、例えば、警報部19の警報が発生されることをいう。また、警告は、通信部16を介してセンササーバ30に警告を通知(送信)することとしてもよい。ステップS30において、チェック結果が動作停止であった場合(ステップS30;動作停止)、安全処置が実行される(ステップS32)。例えば、暗号鍵の消去などの安全処置が実行される。チェック結果が動作終了であった場合、電子機器処理は終了される。
【0059】
次に、センタサーバ30で実行されるリスクレベル通知処理を説明する。例えば、通信部36を介して電子機器10から監査証跡が受信開始されたことをトリガとして、記憶部35から読み出されて適宜RAM33に展開されたリスクレベル通知プログラムとCPU31との協働で、リスクレベル通知処理が実行される。
【0060】
先ず、監査証跡が通信部36を介して電子機器10から受信完了される(ステップS51)。そして、監査証跡が記憶部35に記憶される(ステップS52)。ステップS52の実行後、記憶部35に一定量の監査証跡が記憶されたか否かが判別される(ステップS53)。記憶部35に一定量の監査証跡が記憶されていないと判別された場合(ステップS53;NO)、ステップS51に移行される。
【0061】
ステップS53において、記憶部35に一定量の監査証跡が記憶されていると判別された場合(ステップS53;YES)、監査処理が実行される(ステップS54)。監査処理は、監査証跡を参照して、アラームレベル又は動作停止レベルを判別するための処理である。図8を参照して、監査処理について説明する。
【0062】
先ず、直近に記録された監査証跡のチェックが行われる(ステップS541)。直近に記録された監査証跡とは、受信された監査証跡の1件前の監査証跡のことをいう。そして、3日間認証動作がないか否かが判別される(ステップS542)。具体的には、直近に記録された監査証跡に含まれる認証時刻を参照することにより、3日間認証動作がないか否かが判別される。3日間認証動作がないと判別された場合(ステップS542;YES)、「アラーム」が返される(ステップS543)。すなわち、リスクレベルがアラーム生成レベルであると判別される。
【0063】
ステップS542において、3日の間に認証動作があると判別された場合(ステップS542;NO)、1ヶ月間認証動作がないか否かが判別される(ステップS544)。具体的には、直近に記録された監査証跡に含まれる認証時刻を参照することにより、1ヶ月間認証動作がないか否かが判別される。1ヶ月間認証動作がないと判別された場合(ステップS544;YES)、電子機器10を設置してから1ヶ月経過しているか否かが判別される(ステップS545)。電子機器10を設置してから1ヶ月経過していると判別された場合(ステップS545;以上)、後述するステップS548に移行される。電子機器10を設置してから1ヶ月経過していないと判別された場合(ステップS545;未満)、監査処理は終了され、ステップS55に移行される。
【0064】
ステップS544において、1ヶ月間認証動作があると判別された場合(ステップS544;NO)、同一人物により5分以内に3回の認証があったか否かが判別される(ステップS546)。
【0065】
ステップS546において、同一人物により5分以内に3回以上の認証があったと判別された場合(ステップS546;あり)、ステップS543に移行される。ステップS546において、同一人物により5分以内に3回以上の認証がないと判別された場合(ステップS546;なし)、同一人物により5分以内に5回以上の認証があったか否かが判別される(ステップS547)。
【0066】
ステップS547において、同一人物により5分以内に5回以上の認証があったと判別された場合(ステップS547;あり)、「動作停止」が返される(ステップS548)。すなわち、リスクレベルが機器動作停止レベルと判別される。ステップS548の実行後、監査処理は終了される。
【0067】
ステップS547において、同一人物により5分以内に5回以上の認証がないと判別された場合(ステップS547;なし)、2日分の監査証跡がチェックされる(ステップS548)。そして、2日分の監査証跡に含まれるID及び登録時刻が参照され、全員が登録2日以内であるか否かが判別される(ステップS550)。
【0068】
ステップS550において、全員が登録2日以内であると判別された場合(ステップS550;YES)、ステップS543に移行される。全員が登録2日以内でないと判別された場合(ステップS550;NO)、7日分の監査証跡がチェックされる(ステップS551)。そして、7日分の監査証跡に含まれるID及び登録時刻が参照され、全員が登録7日以内であるか否かが判別される(ステップS552)。
【0069】
ステップS552において、全員が登録7日以内であると判別された場合(ステップS552;YES)、ステップS545に移行される。全員が登録7日以内でないと判別された場合(ステップS552;NO)、「事象なし」が返される(ステップS553)。すなわち、監査証跡にリスクはないと判別される。ステップS553の実行後、監査処理は終了され、ステップ55に移行される
【0070】
ステップS54の実行後、事象が発生したか否かが判別される(ステップS55)。すなわち、監査証跡はリスクがあるか否かが判別される。事象が発生しないと判別された場合(ステップS55;なし)、リスクレベル通知処理は終了される。事象が発生したと判別された場合(ステップS55;発生)、事象は何かが判別される(ステップS56)。すなわち、リスクレベルは、アラーム生成レベルであるのか機器動作停止レベルであるのかが判別される。
【0071】
ステップS56において、事象がアラーム(リスクレベルがアラーム生成レベル)であると判別された場合(ステップS56;アラーム)、アラームメッセージが通知される(ステップS57)。アラームメッセージとは、リスクレベルがアラームレベルであることを示すメッセージのことをいう。具体的には、本ステップは、通信部36を介して電子機器10にアラームメッセージが送信される。ステップS57の実行後、リスクレベル通知処理は終了される。
【0072】
ここで、電子機器処理のステップS31において、電子機器10から警告がセンタサーバ30に通知された場合は、例えば、ステップS57の実行後にアラームメッセージが表示部34に表示され、センタサーバ30側の管理者に通知される。
【0073】
ステップS56において、事象が停止(リスクレベルが機器動作停止レベル)であると判別された場合(ステップS56;停止)、緊急メッセージが通知される(ステップS58)。緊急メッセージとは、リスクレベルが機器動作停止レベルであることを示すメッセージのことをいう。具体的には、本ステップは、通信部36を介して電子機器10に緊急メッセージが送信される。ステップS58の実行後、リスクレベル通知処理は終了される。
【0074】
以上、本実施の形態によれば、監査証跡にリスクがあるか否かを判別し、リスクがある場合に、リスクを回避するための処理を行う。これにより、ユーザは、暗証情報を入力して認証を行う必要がないので、セキュリティを高めることができる。また、指紋情報を誤認識した場合であっても、再度、指紋情報を入力する必要がないので、指紋情報の入力の手間を軽減することができる。
【0075】
また、ユーザはパスワードや暗証番号等の暗証情報を記憶する必要がないので、記憶に頼った運用を行う必要がない。また、暗証情報を入力する構成を必要としないので、暗証情報による認証機能及び指紋による認証機能を有した電子機器と比べて、余分なコストの発生を抑えることができる。
【0076】
また、電子機器処理のステップS24において、暗号化された指紋情報及びIDをセンタサーバ30へ送信、又はフラッシュメモリ15に記憶する。これにより、記憶された指紋情報及びIDを参照することにより、不正を企図した者を特定することができる。
【0077】
また、ユーザは、指紋情報の識別率を考慮してリスクレベルを設定することができる。これにより、例えば、指紋情報を誤認識した場合であっても、指紋情報を再入力する必要がないので、指紋情報の入力の手間を軽減することができる。
【0078】
また、警報発生レベルを参照して、監査証跡にリスクがあるか否かを判別し、リスクがあると判別された場合に、警報手段に警報を発生させる。これにより、ユーザは、予期しないリスクを発見する(予期しないリスクに気付く)ことができる。また、不要な電子機器10の動作停止の回避措置を取ることができる。
【0079】
また、動作停止レベルを参照して、監査証跡にリスクがあるか否かを判別し、リスクがあると判別された場合に、機器(電子機器)の動作を停止させる。これにより、第三者による不正使用等の被害の広がりを阻止することができる。
【0080】
また、電子機器処理のステップS31において、監査証跡にアラームレベルのリスクがあると判別された場合に、アラームメッセージを通信部16を介してセンタサーバ30に通知する。これにより、センタサーバ30の管理者は、アラームレベルのリスクに対する防護措置を取ることができる。
【0081】
なお、上記実施の形態における記述は、本発明に係る電子機器及びプログラムの一例であり、これに限定されるものではない。
【0082】
例えば、上記実施の形態では、ICカード17Aは、カード情報を記憶する構成としたが、これに限定されるものではない。例えば、指紋情報を識別する機能を有することとしてもよい。具体的に、図9を参照して、ICカードが指紋情報を識別する機能を有する電子機器10Aを説明する。図9に電子機器10Aの内部構成を示す。以下、電子機器10と同様な部分には同一の符号を付し、その詳細な説明を援用し、異なる部分について説明する。
【0083】
電子機器10AのICカード17Bは、記憶部17Cと、識別部17Dと、を備える。記憶部17Cは、指紋情報及び指紋情報を暗号化するための暗号鍵を記憶する。識別部17Dは、読取部18により読み取られた指紋情報と、記憶部17Cに記憶された指紋情報と、が一致するか否かを識別する。すなわち、ICカード17Bによりユーザの認証が行われる。これにより、ICカード17Bでユーザの認証を行うことのできる決済システム1を構築することができる。
【0084】
このとき、電子機器10Aにおいて、指紋情報から電子機器10Aの認証(電子機器10Aの動作許可)を行う構成としてもよい。この場合、指紋情報から電子機器10Aの認証を行うための認証部(図示省略)により、電子機器10Aの認証が行われることとなる。
【0085】
また、電子機器処理のステップS22において、監査証跡抽出処理を行うこととしたが、監査証跡抽出処理を行わない構成としてもよい。すなわち、ステップS21の実行後、監査証跡抽出処理を行うことなく、ステップS23に移行することとしてもよい。
【0086】
また、リスクレベル通知処理において、ステップS55で事象が発生したと判別された場合、事象(アラームレベル又は機器停止レベルである旨の情報)を表示部34に表示させ、表示された事象をセンタサーバ30側の管理者が参照することにより、管理者が事象の判断(リスクレベルがアラームレベルであるのか機器動作停止レベルであるのかの判断)を行う構成としてもよい。
【0087】
また、図4に示したセキュリティポリシーテーブル40は一例である。セキュリティポリシーテーブル40の各項目は、入力部12を介して入力されることにより、電子機器10の利用目的に応じて適正に作成される。
【0088】
また、端末処理及びリスクレベル判定処理において、指紋情報の読取(入力)のみを電子機器10で行い、指紋情報の入力以降の処理は、全てセンタサーバ30で行う構成としてもよい。
【0089】
また、上記実施の形態では、生体情報を指紋情報として説明したが、これに限定されるものではない。例えば、生体情報を声紋情報としてもよい。
【0090】
その他、上記の実施の形態における決済システムの細部構成及び詳細動作に関しても、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
【符号の説明】
【0091】
1 決済システム10,10A 電子機器
11,31 CPU
12,32 入力部
13,33 RAM
14,34 表示部
15 フラッシュメモリ
16,36 通信部
17 カードリーダ
17A,17B カード
17C,35 記憶部
17D 識別部
18 読取部
19 警報部
19a 計時部
30 センタサーバ
40 セキュリティポリシーテーブル