知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6433821
(24)【登録日】2018年11月16日
(45)【発行日】2018年12月5日
(54)【発明の名称】アクセス管理装置およびアクセス管理システム
(51)【国際特許分類】
G06F 21/62 20130101AFI20181126BHJP
G06F 3/06 20060101ALI20181126BHJP
G06F 13/10 20060101ALI20181126BHJP
G06F 13/14 20060101ALI20181126BHJP
G06F 21/31 20130101ALI20181126BHJP
【FI】
G06F21/62 318
G06F3/06 540
G06F3/06 304M
G06F3/06 301G
G06F3/06 301P
G06F13/10 340A
G06F13/14 310D
G06F13/14 310H
G06F21/31
【請求項の数】5
【全頁数】19
(21)【出願番号】特願2015-40838(P2015-40838)
(22)【出願日】2015年3月3日
(65)【公開番号】特開2016-162251(P2016-162251A)
(43)【公開日】2016年9月5日
【審査請求日】2018年2月6日
(73)【特許権者】
【識別番号】300057403
【氏名又は名称】株式会社広田製作所
(74)【代理人】
【識別番号】100104787
【弁理士】
【氏名又は名称】酒井 伸司
(72)【発明者】
【氏名】市村 久男
【審査官】
岸野 徹
(56)【参考文献】
【文献】
特開2013−125473(JP,A)
【文献】
特開2014−137783(JP,A)
【文献】
特開2012−252653(JP,A)
【文献】
特開2013−214135(JP,A)
【文献】
米国特許出願公開第2013/0262795(US,A1)
【文献】
特開2007−102761(JP,A)
【文献】
国際公開第2015/022908(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 3/06
G06F 13/10
G06F 13/14
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
RAID制御装置に配設されている複数の情報記録装置接続用コネクタのうちのN個(Nは、2以上の自然数)に接続可能なN個の制御装置側コネクタと、
情報記録装置に配設されている情報処理装置接続用コネクタを接続可能なN個の記録装置側コネクタと、
前記各制御装置側コネクタのうちの1つと前記各記録装置側コネクタのうちの1つとを接続することで当該1つの制御装置側コネクタに接続されている前記情報記録装置接続用コネクタと当該1つの記録装置側コネクタに接続されている前記情報処理装置接続用コネクタとを接続する接続状態、および当該1つの制御装置側コネクタと当該1つの記録装置側コネクタとを切り離すことで当該情報記録装置接続用コネクタと当該情報処理装置接続用コネクタとを切り離す切断状態のいずれかに切り替えるN個の切替えスイッチと、
パスワードロック状態に設定されている前記情報記録装置に対して前記RAID制御装置がアクセスを開始したときに当該情報記録装置に対してパスワード情報を出力して当該情報記録装置に対するデータの読み書きを許容させる第1処理を実行する処理部とを備え、
前記処理部は、前記RAID制御装置が前記各情報記録装置に対するアクセスを開始したときに、前記各切替えスイッチを前記切断状態に切り替えると共に、前記情報記録装置から当該情報記録装置の識別情報を取得し、取得した当該識別情報の文字列を予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を当該情報記録装置に対して出力する処理を前記第1処理として前記各記録装置側コネクタに接続されている当該各情報記録装置毎にそれぞれ実行した後に、前記各切替えスイッチを前記接続状態に切り替えることで前記RAID制御装置を前記各情報記録装置にアクセス可能とするアクセス管理装置。
情報記録装置に配設されている情報処理装置接続用コネクタを接続可能なN個の記録装置側コネクタと、
前記各制御装置側コネクタのうちの1つと前記各記録装置側コネクタのうちの1つとを接続することで当該1つの制御装置側コネクタに接続されている前記情報記録装置接続用コネクタと当該1つの記録装置側コネクタに接続されている前記情報処理装置接続用コネクタとを接続する接続状態、および当該1つの制御装置側コネクタと当該1つの記録装置側コネクタとを切り離すことで当該情報記録装置接続用コネクタと当該情報処理装置接続用コネクタとを切り離す切断状態のいずれかに切り替えるN個の切替えスイッチと、
パスワードロック状態に設定されている前記情報記録装置に対して前記RAID制御装置がアクセスを開始したときに当該情報記録装置に対してパスワード情報を出力して当該情報記録装置に対するデータの読み書きを許容させる第1処理を実行する処理部とを備え、
前記処理部は、前記RAID制御装置が前記各情報記録装置に対するアクセスを開始したときに、前記各切替えスイッチを前記切断状態に切り替えると共に、前記情報記録装置から当該情報記録装置の識別情報を取得し、取得した当該識別情報の文字列を予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を当該情報記録装置に対して出力する処理を前記第1処理として前記各記録装置側コネクタに接続されている当該各情報記録装置毎にそれぞれ実行した後に、前記各切替えスイッチを前記接続状態に切り替えることで前記RAID制御装置を前記各情報記録装置にアクセス可能とするアクセス管理装置。
【請求項2】
前記処理部は、前記RAID制御装置が前記各情報記録装置に対するアクセスを開始したときに、当該各情報記録装置が前記パスワードロック状態に設定されているか否かを判別し、当該各情報記録装置のうちの少なくとも1台が前記パスワードロック状態に設定されていないときに、前記各切替えスイッチを前記接続状態に切り替えることなく、予め規定された第2処理を実行する請求項1記載のアクセス管理装置。
【請求項3】
前記処理部は、前記パスワードロック状態に設定されていない前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態に設定する処理を前記第2処理として実行した後に、前記第1処理を実行する請求項2記載のアクセス管理装置。
【請求項4】
請求項1から3のいずれかに記載のアクセス管理装置と、
前記パスワードロック状態に設定されている前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態が設定されていない状態に設定する第3処理を実行可能に構成された携帯端末装置を備えているアクセス管理システム。
前記パスワードロック状態に設定されている前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態が設定されていない状態に設定する第3処理を実行可能に構成された携帯端末装置を備えているアクセス管理システム。
【請求項5】
前記携帯端末装置は、前記パスワードロック状態に設定されていない前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態に設定する第4処理を実行可能に構成されている請求項4記載のアクセス管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ハードディスクドライブ装置などの情報記録装置に対するアクセスを管理するアクセス管理装置およびアクセス管理システムに関するものである。
【背景技術】
【0002】
例えば、下記の特許文献1には、ハードディスク駆動装置(ハードディスクドライブ装置:HDD)をパスワードロック状態(セキュリティロック状態:以下、「ロック状態」ともいう)に遷移させることでHDDに対する記録データの読み書きを規制して情報の漏洩を防止するHDD用情報漏洩防止装置(以下、単に「情報漏洩防止装置」ともいう)の発明が開示されている。
【0003】
この場合、HDDなどの情報記録装置について標準化されたATA/ATAPI規格では、「SECURITY SET PASSWORD コマンド(以下、「SSPコマンド」ともいう)」を用いて情報記録装置にロック用のパスワードを設定することで情報記録装置がロック状態となってデータの読み書きが規制され、「SECURITY DISABLE PASSWORD コマンド(以下、「SDPコマンド」ともいう)」を用いてパスワードを無効化するまで、パスワードを知らない者がデータの読み書きを行うことができない状態が維持されるように規定されている。したがって、この情報漏洩防止装置では、ATA/ATAPI規格における上記のパスワードロック機能を利用することで、情報記録装置に記録されているデータを保護する構成が採用されている。
【0004】
具体的には、この情報漏洩防止装置によってHDD内のデータを保護する際には、まず、保護対象のデータが記録されたHDDを情報漏洩防止装置に接続すると共に、パスワード設定用のパーソナルコンピュータを情報漏洩防止装置に接続する。次いで、パーソナルコンピュータを操作して英数字の任意の組合せからなる32文字の文字列(パスワード)を入力する。この際には、情報漏洩防止装置において、入力された文字列に基づいて32バイトのバイナリデータが生成されてパスワードメモリに記憶される。なお、上記の文字列(パスワード)の入力、および入力した文字列に対応するバイナリデータ(以下、このデータを「パスワード情報」ともいう)の情報漏洩防止装置(パスワードメモリ)への記憶については、情報漏洩防止装置にHDDを接続する以前に実行してもよい。
【0005】
続いて、情報漏洩防止装置の機能選択スイッチを操作して「セキュリティロック」との処理を開始させる。この際に、情報漏洩防止装置のシステムコントローラは、まず、HDDコントローラを制御してHDDをオン状態に移行させ、次いで、HDDコントローラを介して確認コマンドをHDDに送信することにより、HDD情報メモリに記憶されているHDD情報を取得する。また、システムコントローラは、取得したHDD情報に基づき、接続されているHDDがロック(セキュリティロック)可能な状態であるか否かを判別する。
【0006】
この際に、システムコントローラは、ロック可能と判別したとき(その時点においてHDDがロック状態に遷移させられていないとき)に、パスワードメモリからパスワード情報を読み出すと共に、HDDコントローラを制御して、SSPコマンドと共にパスワード情報をHDDに送信させることにより、送信したパスワード情報をHDD情報メモリに格納させてHDDをロック状態に遷移させる。この後、システムコントローラは、HDDが正常にロック状態に設定されたか否かを確認し、「セキュリティロック」との処理を終了する。これにより、上記の情報漏洩防止装置を所有していない者がHDDにアクセスしようとしても、ロック状態に設定されているHDDに対するデータの読み書きを行うことができないため、HDDに記録されている各種情報の漏洩や書き換えが規制される。
【0007】
また、HDDの正規の所有者(上記の情報漏洩防止装置を所有する者)がHDDからのデータの読み書きを行う際には、まず、ロック状態のHDDを情報漏洩防止装置に接続すると共に、機能選択スイッチを操作して「セキュリティアンロック」との処理を実行させる。この際に、システムコントローラは、HDDコントローラを制御してHDDをオン状態に移行させ、次いで、HDDからHDD情報を取得すると共に、取得したHDD情報に基づき、接続されているHDDがアンロック(セキュリティアンロック)可能な状態であるか否かを判別する。
【0008】
この際に、システムコントローラは、アンロック可能と判別したとき(HDDがロック状態となっているとき)に、HDDコントローラを介して「SECURITY UNLOCK コマンド(以下、「SULコマンド」ともいう)」をHDDに送信し、続いて、パスワードメモリから読み出したパスワード情報をSDPコマンドと共にHDDに送信させる。これに応じて、HDDでは、HD駆動部が、送信されたパスワード情報とHDD情報メモリに格納されているパスワード情報とを照合し、両パスワード情報が一致するときには、設定されているパスワードを無効化して、HDDをアンロック状態に遷移させる。この後、システムコントローラは、HDDが正常にアンロック状態に設定されたか否かを確認し、「セキュリティアンロック」との処理を終了する。これにより、HDDに対するデータの読み書きを行うことが可能な状態となる。
【0009】
一方、例えば上記の情報漏洩防止装置によってロック状態に設定したHDDをパーソナルコンピュータ(情報処理装置)に接続して使用するには、パーソナルコンピュータを起動させる都度(HDDの使用を開始する都度)、パーソナルコンピュータを操作して、ロック解除用のパスワードを入力する必要がある。このパスワードの入力作業が非常に煩雑であるため、下記の特許文献2には、ロック解除用のパスワード情報をパーソナルコンピュータに予め記憶させておき、パーソナルコンピュータを起動させたとき(HDDの使用を開始したとき)に、パーソナルコンピュータが利用者に代わってパスワード情報をHDDに送信することでHDDをアンロック状態に遷移させる構成のコンピュータシステムの発明が開示されている。
【0010】
このコンピュータシステムでは、ロック状態に設定されていないHDDを接続した状態で、最初に1回だけパスワードを入力することで、入力したパスワードに対応するパスワード情報がパーソナルコンピュータに記憶されると共に、記憶されたパスワード情報によってHDDがロック状態に設定される。また、このコンピュータシステムでは、システムの可動中はロック状態が一時的に解除されてHDDに対するデータの読み書きが許容されると共に、システムの停止時や、パーソナルコンピュータからHDDが取り外されたときには、ロック状態のHDDに対するデータの読み書きが規制される。さらに、このコンピュータシステムでは、再稼働時に、パーソナルコンピュータに記憶されているパスワード情報によってHDDのロック状態が自動的に一時解除されるため、ロック状態に遷移させたパーソナルコンピュータ(パスワードが記憶されているパーソナルコンピュータ)にHDDが接続されているときには、煩雑なパスワードの入力作業を行うことなく、HDDに対するデータの読み書きが許容される。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特許第4480513号公報(第4−9頁、第1−6図)
【特許文献2】特開平11−85407号公報(第3−9頁、第1−9図)
【発明の概要】
【発明が解決しようとする課題】
【0012】
ところが、上記の特許文献1に開示されている情報漏洩防止装置や、特許文献2に開示されているコンピュータシステムには、以下の解決すべき問題点が存在する。すなわち、上記の特許文献1に開示の情報漏洩防止装置では、情報漏洩防止装置に接続したパーソナルコンピュータを操作して任意の文字列(パスワード)を入力することで情報漏洩防止装置(パスワードメモリ)にパスワード情報を予め記憶させ、このパスワード情報をSSPコマンドと共にHDDに送信することでHDDをロック状態に遷移させると共に、パスワード情報をSDPコマンドと共にHDDに送信することでHDDをアンロック状態に遷移させる構成が採用されている。
【0013】
この場合、この種の装置の利用形態の1つとして、例えば、機密情報が記録されたHDDを所定の場所(以下、「場所A」ともいう)でロック状態に設定し、場所Aから遠く離れた場所(以下、「場所B」ともいう)にHDDを移送した後にアンロック状態に設定して機密情報を読み出すといった利用形態が存在する。このような利用形態においては、移送中にHDDから機密情報が読み出されるのを回避するために、場所Aにおいて使用した情報漏洩防止装置、すなわち、ロック状態に設定する際に入力されたパスワードに対応するパスワード情報が記憶されている情報漏洩防止装置をHDDと一緒に場所Bに移送することができないため、HDDと情報漏洩防止装置とを別個に移送したり、上記の場所A,Bの双方にそれぞれ情報漏洩防止装置を用意したりする必要がある。
【0014】
この場合、HDDと情報漏洩防止装置とを別個に移送するのは、梱包作業や荷解き作業が煩雑である。また、情報漏洩防止装置を場所A,Bの双方に用意しておくことでHDDだけを場所Aから場所Bに移送すれば済むものの、場所Bに用意した情報漏洩防止装置にはパスワード情報が記憶されていないため、場所AにおいてHDDをロック状態に設定する作業を行った者が、場所Bにおいてアンロック状態に設定する者にパスワード(文字列)を連絡して情報漏洩防止装置にパスワード情報を記憶させる作業を予め実施する必要がある。したがって、従来の情報漏洩防止装置には、梱包作業、荷解き作業、パスワードを連絡する作業、および連絡されたパスワードに対応するパスワード情報を情報漏洩防止装置に記憶させる作業などが非常に煩雑であるという問題点が存在する。また、パスワードの漏洩を危惧して電話等でパスワードを連絡したときには、聞き間違い等に起因して場所Bにおいて正確なパスワードを情報漏洩防止装置に入力することができず、HDDをアンロック状態に設定できないことがあるという問題点も存在する。なお、このような問題点は、上記の特許文献2に開示されている発明にも同様にして存在する。
【0015】
一方、上記の特許文献2に開示されているコンピュータシステムでは、パスワードロック機能を有する情報記録装置に対するアクセスを行う既存の構成を変更し、利用者によって入力操作されたパスワードに対応するパスワード情報を記憶しておき、ロック解除を必要とするとき(パーソナルコンピュータの起動時)に、利用者に代わって、記憶しているパスワード情報をHDDに送信することでデータの読み書きが一時的に許容される構成が採用されている。これにより、HDDが接続されたコンピュータを使用する者は、HDDがパスワードロック状態となっているか否かを意識することなく、HDDに対するデータの読み書きを行うことが可能となり、パーソナルコンピュータからHDDが取り外されたときには、パスワードロック機能によってデータの読み書きが自動的に規制された状態となる。
【0016】
この場合、今日では、情報記録装置からのデータの意図しない消失を回避するためにRAIDシステムを導入して複数台のHDDをミラーリング動作(データの並列記録)させたり、膨大なデータを記録するためにRAIDシステムを導入して複数台のHDDを1台の大容量ドライブとして動作させたりすることが広く行われている。この場合、RAIDシステムでは、情報処理装置(パーソナルコンピュータ)における情報記録装置接続部に接続したRAIDコントローラに複数台の情報記録装置(HDD等)を接続することにより、情報処理装置に対して、RAIDコントローラに接続されている複数台の情報記録装置を単一の情報記録装置(または、RAIDコントローラに接続されている実際の情報記録装置とは記憶容量等が相違する複数台の情報記憶装置)として認識させる構成が採用されている。
【0017】
したがって、特許文献2に開示のコンピュータシステムにRAIDシステムを導入したときには、パーソナルコンピュータが、RAIDシステムによって構築された仮想的な情報記録装置に対するパスワードロックを行おうとするため、RAIDコントローラに接続されている実際のHDDをロック状態に遷移させることができない。このため、特許文献2に開示のコンピュータシステムの発明では、RAIDシステムを導入したときに、RAIDコントローラに接続されている各HDDに対するデータの読み書きを規制することができないという問題点がある。
【0018】
本発明は、かかる問題点に鑑みてなされたものであり、RAIDシステムを導入した状態において、利用者の手を煩わせることなく、情報記録装置からの不正なデータの読み書きを確実に防止し得るアクセス管理装置およびアクセス管理システムを提供することを主目的とする。
【課題を解決するための手段】
【0019】
上記目的を達成すべく請求項1記載のアクセス管理装置は、RAID制御装置に配設されている複数の情報記録装置接続用コネクタのうちのN個(Nは、2以上の自然数)に接続可能なN個の制御装置側コネクタと、情報記録装置に配設されている情報処理装置接続用コネクタを接続可能なN個の記録装置側コネクタと、前記各制御装置側コネクタのうちの1つと前記各記録装置側コネクタのうちの1つとを接続することで当該1つの制御装置側コネクタに接続されている前記情報記録装置接続用コネクタと当該1つの記録装置側コネクタに接続されている前記情報処理装置接続用コネクタとを接続する接続状態、および当該1つの制御装置側コネクタと当該1つの記録装置側コネクタとを切り離すことで当該情報記録装置接続用コネクタと当該情報処理装置接続用コネクタとを切り離す切断状態のいずれかに切り替えるN個の切替えスイッチと、パスワードロック状態に設定されている前記情報記録装置に対して前記RAID制御装置がアクセスを開始したときに当該情報記録装置に対してパスワード情報を出力して当該情報記録装置に対するデータの読み書きを許容させる第1処理を実行する処理部とを備え、前記処理部は、前記RAID制御装置が前記各情報記録装置に対するアクセスを開始したときに、前記各切替えスイッチを前記切断状態に切り替えると共に、前記情報記録装置から当該情報記録装置の識別情報を取得し、取得した当該識別情報の文字列を予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を当該情報記録装置に対して出力する処理を前記第1処理として前記各記録装置側コネクタに接続されている当該各情報記録装置毎にそれぞれ実行した後に、前記各切替えスイッチを前記接続状態に切り替えることで前記RAID制御装置を前記各情報記録装置にアクセス可能とする。
【0020】
請求項2記載のアクセス管理装置は、請求項1記載のアクセス管理装置において、前記処理部は、前記RAID制御装置が前記各情報記録装置に対するアクセスを開始したときに、当該各情報記録装置が前記パスワードロック状態に設定されているか否かを判別し、当該各情報記録装置のうちの少なくとも1台が前記パスワードロック状態に設定されていないときに、前記各切替えスイッチを前記接続状態に切り替えることなく、予め規定された第2処理を実行する。
【0021】
請求項3記載のアクセス管理装置は、請求項2記載のアクセス管理装置において、前記処理部は、前記パスワードロック状態に設定されていない前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態に設定する処理を前記第2処理として実行した後に、前記第1処理を実行する。
【0022】
請求項4記載のアクセス管理システムは、請求項1から3のいずれかに記載のアクセス管理装置と、前記パスワードロック状態に設定されている前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態が設定されていない状態に設定する第3処理を実行可能に構成された携帯端末装置を備えている。
【0023】
請求項5記載のアクセス管理システムは、請求項4記載のアクセス管理システムにおいて、前記携帯端末装置は、前記パスワードロック状態に設定されていない前記情報記録装置から前記識別情報を取得し、取得した当該識別情報の文字列を前記予め規定された文字列変換手順に従って変換して前記パスワード情報を生成し、かつ生成した当該パスワード情報を使用して当該情報記録装置を前記パスワードロック状態に設定する第4処理を実行可能に構成されている。
【発明の効果】
【0024】
請求項1記載のアクセス管理装置では、パスワードロック状態に設定されている各情報記録装置に対してRAID制御装置がアクセスを開始したときに、処理部が、各切替えスイッチを切断状態に切り替えると共に、情報記録装置から識別情報を取得し、取得した識別情報の文字列を予め規定された文字列変換手順に従って変換してパスワード情報を生成し、かつ生成したパスワード情報を情報記録装置に対して出力して、情報記録装置に対するデータの読み書きを許容させる第1処理を、各記録装置側コネクタに接続されている各情報記録装置毎にそれぞれ実行した後に、各切替えスイッチを接続状態に切り替えることでRAID制御装置を各情報記録装置にアクセス可能とする。
【0025】
したがって、請求項1記載のアクセス管理装置によれば、情報記録装置から取得可能な識別情報に基づいて一義的に生成されるパスワード情報によって情報記録装置をパスワードロック状態に設定しておくことで、情報記録装置がアクセス管理装置やRAID制御装置から取り外された状態(情報記録装置に対する電源供給が停止した状態)においてパスワードを知らない者が情報記録装置に対するデータの読み書きを行うことができなくなる。一方、情報記録装置の正規の利用者がこれを使用するときには、情報記録装置を記録装置側コネクタに接続した状態で、RAID制御装置が接続されている情報処理装置、およびRAID制御装置を起動させるだけで、パスワードを入力する作業を行うことなく、情報記録装置から取得される識別情報に基づいて一義的に生成されるパスワード情報によって情報記録装置に対するデータの読み書きが一時的に許容された状態となる。このため、RAIDシステムを導入した状態において、利用者の手を煩わせることなく、アクセス管理装置を所有しない者による情報記録装置からの不正なデータの読み書きを確実かつ容易に防止することができる。
【0026】
請求項2記載のアクセス管理装置によれば、RAID制御装置が各情報記録装置に対するアクセスを開始したときに、処理部が、各情報記録装置がパスワードロック状態に設定されているか否かを判別し、各情報記録装置のうちの少なくとも1台がパスワードロック状態に設定されていないときに、各切替えスイッチを接続状態に切り替えることなく、予め規定された第2処理を実行することにより、パスワードロック状態に設定されていない情報記録装置、すなわち、アクセス管理装置によるアクセス管理を実行することができない状態の情報記録装置が継続的に使用されるのを好適に回避することができる。
【0027】
請求項3記載のアクセス管理装置によれば、処理部が、パスワードロック状態に設定されていない情報記録装置から識別情報を取得し、取得した識別情報の文字列を予め規定された文字列変換手順に従って変換してパスワード情報を生成し、かつ生成したパスワード情報を使用して情報記録装置をパスワードロック状態に設定する処理を第2処理として実行した後に、第1処理を実行することにより、利用者にパスワードを意識させることなく、アクセス管理装置によってデータの読み書きを行うことができるパスワード情報を識別情報に基づいて生成し、生成したパスワード情報を用いて情報記録装置をパスワードロック状態に設定することができるため、この種の装置に不慣れな利用者であっても、情報記録装置を確実かつ容易にパスワードロック状態に設定することができる。
【0028】
請求項4記載のアクセス管理システムによれば、上記のアクセス管理装置に加えて、パスワードロック状態に設定されている情報記録装置から識別情報を取得し、取得した識別情報の文字列を予め規定された文字列変換手順に従って変換してパスワード情報を生成し、かつ生成したパスワード情報を使用して情報記録装置をパスワードロック状態が設定されていない状態に設定する第3処理を実行可能に構成された携帯端末装置を備えたことにより、アクセス管理装置が配設されていない既存のシステムによって情報記録装置に対するデータの読み書きを行う必要が生じたときに、そのシステムにアクセス管理装置を配設することなく、パスワードロック状態に設定された情報記録装置を携帯端末装置によってアンロック状態(パスワードロック状態ではない状態)に設定することで情報記録装置に対するデータの読み書きが許容された状態となり、しかも、利用者にパスワードロック状態に設定した際に用いられたパスワードを意識させることなく、アンロック状態に設定することができる。
【0029】
請求項5記載のアクセス管理システムによれば、パスワードロック状態に設定されていない情報記録装置から識別情報を取得し、取得した識別情報の文字列を予め規定された文字列変換手順に従って変換してパスワード情報を生成し、かつ生成したパスワード情報を使用して情報記録装置をパスワードロック状態に設定する第4処理を実行可能に携帯端末装置を構成したことにより、利用者にパスワードを意識させることなく、アクセス管理装置や携帯端末装置によってデータの読み書きを行うことができるパスワード情報を識別情報に基づいて生成し、生成したパスワード情報を用いて情報記録装置をパスワードロック状態に設定することができるため、この種の装置に不慣れな利用者であっても、情報記録装置を確実かつ容易にパスワードロック状態に設定することができる。
【図面の簡単な説明】
【0030】
【図1】セキュリティシステム100(アクセス管理装置1および携帯端末装置2)、情報処理装置5、RAIDコントローラ6並びにハードディスクドライブ装置7a,7bの構成の一例を示す構成図である。
【図2】アクセス管理装置1の処理部14によって実行されるアクセス管理処理30のフローチャートである。
【発明を実施するための形態】
【0031】
以下、本発明に係るアクセス管理装置およびアクセス管理システムの実施の形態について、添付図面を参照して説明する。
【0032】
最初に、セキュリティシステム100(アクセス管理装置1および携帯端末装置2)の構成について説明する。
【0033】
図1に示すセキュリティシステム100は、「アクセス管理システム」の一例であって、アクセス管理装置1および携帯端末装置2を備え、一例として、SATA規格において規定されたパスワードロック機能を利用して、ハードディスクドライブ装置(HDD)やソリッドステートドライブ装置(SSD)などの各種情報記録装置(SATA規格に準拠している記憶媒体)に対するアクセスを管理することができるように構成されている。なお、本例では、一例として、RAIDコントローラ6を介して情報処理装置5にハードディスクドライブ装置7a,7bの2台を接続して使用する際のセキュリティシステム100によるアクセス管理について以下に説明する。
【0034】
この場合、情報処理装置5は、一例として、各種製造ラインに配設された工作機械などをコントロールする制御端末であって、SATA規格に準拠する各種の情報記録装置を接続可能な接続用コネクタ51を備えて構成されている。また、RAIDコントローラ6は、「RAID制御装置」の一例であって、情報処理装置5における接続用コネクタ51などに接続可能な接続用コネクタ61と、仮想ドライブを構築するための実ドライブを接続可能な接続用コネクタ62a,62b(2個の「情報記録装置接続用コネクタ」の一例:以下、区別しないときには「接続用コネクタ62」ともいう)とを備え、両接続用コネクタ62に接続された実ドライブを用いて予め設定された仮想ドライブを構築することができるように構成されている。
【0035】
なお、本例では、一例として、RAIDコントローラ6の接続用コネクタ62aにハードディスクドライブ装置7aが接続され、かつ接続用コネクタ62bにハードディスクドライブ装置7bが接続された既存のシステム(図示せず)に対してセキュリティシステム100を導入する例について説明する。また、本例では、一例として、RAIDコントローラ6が両接続用コネクタ62にそれぞれ接続されるハードディスクドライブ装置7a,7bをミラーリングすることで情報処理装置5に対して単一の仮想ドライブを提供するものとして以下に説明する。
【0036】
ハードディスクドライブ装置7a,7b(以下、区別しないときには「ハードディスクドライブ装置7」ともいう)は、「情報記録装置」の一例であって、情報処理装置5の接続用コネクタ51やRAIDコントローラ6の接続用コネクタ62などに接続可能な接続用コネクタ71(「情報処理装置接続用コネクタ」の一例)を備えて構成されている。なお、本例では、STAT規格に準拠する同一メーカの同一モデルのHDDで両ハードディスクドライブ装置7が構成されているものとする。この場合、同一メーカの同一モデルで構成された両ハードディスクドライブ装置7は、HDD情報メモリ(図示せず)に記憶されているHDD情報Da(「識別情報」の一例)における「モデル名(製品名)」が同一の「モデル名(製品名)」となっているが、HDD情報Daの一部としてそれぞれ記憶させられているシリアル番号は、各ハードディスクドライブ装置7毎のユニークな番号となっている。
【0037】
一方、アクセス管理装置1は、「アクセス管理装置」の一例であって、接続用コネクタ11a,11b、接続用コネクタ12a,12b、切替えスイッチ13a,13b、処理部14および記憶部15を備えて構成されている。接続用コネクタ11a,11b(以下、区別しないときには「接続用コネクタ11」ともいう)は、N=2個の「制御装置側コネクタ」に相当し、RAIDコントローラ6の両接続用コネクタ62にそれぞれ接続することができるよう構成されている。接続用コネクタ12a,12b(以下、区別しないときには「接続用コネクタ12」ともいう)は、N=2個の「記録装置側コネクタ」に相当し、ハードディスクドライブ装置7の接続用コネクタ71をそれぞれ接続することができるように構成されている。切替えスイッチ13a,13b(以下、区別しないときには「切替えスイッチ13」ともいう)は、N=2個の「切替えスイッチ」に相当し、ハードディスクドライブ装置7をRAIDコントローラ6および処理部14のいずれかに対して選択的に接続させる。
【0038】
この場合、本例のアクセス管理装置1では、切替えスイッチ13aが、処理部14の制御に従い、接続用コネクタ11a(「各制御装置側コネクタのうちの1つ」の一例)および処理部14のいずれかに対して接続用コネクタ12a(「各記録装置側コネクタのうちの1つ」の一例)を接続させることにより、接続用コネクタ11aが接続されている接続用コネクタ62a、および処理部14のいずれかに対して、接続用コネクタ12aに接続されているハードディスクドライブ装置7を選択的に接続させる。また、本例のアクセス管理装置1では、切替えスイッチ13bが、処理部14の制御に従い、接続用コネクタ11b(「各制御装置側コネクタのうちの1つ」の他の一例)および処理部14のいずれかに対して接続用コネクタ12b(「各記録装置側コネクタのうちの1つ」の他の一例)を接続させることにより、接続用コネクタ11bが接続されている接続用コネクタ62b、および処理部14のいずれかに対して、接続用コネクタ12bに接続されているハードディスクドライブ装置7を選択的に接続させる。
【0039】
なお、本例のアクセス管理装置1では、切替えスイッチ13が接続用コネクタ11に対して接続用コネクタ12を接続している状態(RAIDコントローラ6に対してハードディスクドライブ装置7を接続している状態)が「接続状態」に相当する。また、本例のアクセス管理装置1では、切替えスイッチ13が処理部14に対して接続用コネクタ12を接続している状態、すなわち、接続用コネクタ11に対して接続用コネクタ12を切り離している状態(RAIDコントローラ6に対してハードディスクドライブ装置7を切り離している状態)が「切断状態」に相当する。この場合、「接続用コネクタ11に対して接続用コネクタ12を切り離す」との状態は、接続用コネクタ11,12間を結線する全信号線を切り離す状態に限定されず、SATA規格における制御信号伝達用の信号線を切り離すことで接続用コネクタ11,12間の実質的な信号伝達路を切断する状態がこれに含まれる。
【0040】
処理部14は、「処理部」の一例であって、アクセス管理装置1を総括的に制御する。具体的には、処理部14は、図2に示すアクセス管理処理30を実行して両ハードディスクドライブ装置7に対するRAIDコントローラ6のアクセスを管理する。なお、処理部14による具体的な処理手順(アクセス管理処理30の具体的な内容)については、後に詳細に説明する。記憶部15は、処理部14の動作プログラムや、処理部14の演算結果などを記憶する。
【0041】
なお、本例では、情報処理装置5からRAIDコントローラ6を介して両ハードディスクドライブ装置7に対して供給される電力の一部を利用して上記のアクセス管理装置1の各構成要素が動作する構成が採用されている。したがって、本例のアクセス管理装置1では、動作用の電力を供給する構成を別途用意することなく、既存のRAIDシステムにおけるRAIDコントローラ6および両ハードディスクドライブ装置7の間にアクセス管理装置1を介在させるだけで両ハードディスクドライブ装置7に対するRAIDコントローラ6のアクセスを管理することが可能となっている。
【0042】
携帯端末装置2は、「携帯端末装置」の一例であって、接続用コネクタ21a,21b、操作部22、インジケータ23、処理部24および記憶部25を備えて構成されている。接続用コネクタ21a,21b(以下、区別しないときには「接続用コネクタ21」ともいう)は、アクセス管理装置1における接続用コネクタ12と同様にして、ハードディスクドライブ装置7の接続用コネクタ71をそれぞれ接続することができるように構成されている。操作部22は、後述する「ロック処理」および「アンロック処理」や、「イレーズ処理」および「コピー処理」などの各種の処理のうちから利用者が希望する処理を行うための選択スイッチ(図示せず)を備え、スイッチ操作に応じた操作信号を処理部24に出力する。インジケータ23は、処理部24の制御に従い、携帯端末装置2の動作状態や、上記の選択された処理の完了を報知する。
【0043】
処理部24は、携帯端末装置2を総括的に制御する。具体的には、処理部24は、「ロック処理」、「アンロック処理」、「イレーズ処理」および「コピー処理」のうちから操作部22の操作によって選択された処理を実行する。この場合、「ロック処理」が選択されたときに、処理部24は、接続用コネクタ21に接続されているハードディスクドライブ装置7からHDD情報Da(ハードディスクドライブ装置7に関する各種情報を示す文字列のバイナリデータ)を取得し、取得したHDD情報Daの文字列を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbを使用してハードディスクドライブ装置7を「パスワードロック状態」に設定する(「第4処理」の一例)
【0044】
また、「アンロック処理」が選択されたときに、処理部24は、「パスワードロック状態」に設定されて接続用コネクタ21に接続されているハードディスクドライブ装置7からHDD情報Daを取得し、取得したHDD情報Daの文字列を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbを使用してハードディスクドライブ装置7を「アンロック状態(パスワードロック状態が設定されていない状態)」に設定する(「第3処理」の一例)。
【0045】
さらに、「イレーズ処理」が選択されたときに、処理部24は、接続用コネクタ21に接続されているハードディスクドライブ装置7に記憶されているすべてのデータを消去する処理を実行し、「コピー処理」が選択されたときには、一例として、接続用コネクタ21aに接続されているハードディスクドライブ装置7のすべてのデータを接続用コネクタ21bに接続されているハードディスクドライブ装置7にコピーする処理を実行する。記憶部25は、処理部24の動作プログラムや、処理部24の演算結果などを記憶する。
【0046】
次に、情報処理装置5に接続されたRAIDコントローラ6の両接続用コネクタ62にハードディスクドライブ装置7がそれぞれ接続されている既存のシステム(セキュリティシステム100を導入する以前の状態のシステム)にセキュリティシステム100を導入して両ハードディスクドライブ装置7に対するアクセスを管理する方法について説明する。
【0047】
まず、既存のシステムにおけるRAIDコントローラ6の両接続用コネクタ62からハードディスクドライブ装置7をそれぞれ取り外す。この場合、既存のシステムにおけるRAIDコントローラ6では、「パスワードロック状態」のハードディスクドライブ装置7に対するデータの読み書きを実行できないため、RAIDコントローラ6から取り外したハードディスクドライブ装置7は、それぞれ「アンロック状態」となっている。
【0048】
次いで、取り外したハードディスクドライブ装置7のうちの1台における接続用コネクタ71を携帯端末装置2の接続用コネクタ21(一例として、接続用コネクタ21a)に接続すると共に、操作部22を操作して「ロック処理」の実行を選択する。これに応じて、処理部24は、接続用コネクタ21に接続されているハードディスクドライブ装置7に対する電源の供給を開始すると共に、動作状態となったハードディスクドライブ装置7からHDD情報Daを取得して記憶部25に記憶させる。
【0049】
続いて、処理部24は、取得したHDD情報Daから、ハードディスクドライブ装置7のモデル名およびシリアル番号を抽出すると共に、抽出した文字列を、予め規定された「文字列変換手順」に従って変換して32バイトのバイナリデータからなるパスワード情報Dbを生成する。なお、この「文字列変換手順」については、アクセス管理装置1の処理部14が実行する動作プログラムにも同様の手順が記録されている。次いで、処理部24は、生成したパスワード情報Dbを、SSPコマンドと共にハードディスクドライブ装置7に送信する。これにより、パスワード情報Dbがハードディスクドライブ装置7に記録されて1台目のハードディスクドライブ装置7が「パスワードロック状態」に設定され(「第4処理」の一例)、次回起動時以降、パスワードを知らない者がこのハードディスクドライブ装置7に対するデータの読み書きを実行したり、パスワードロックの解除を行ったりすることができない状態となる。
【0050】
続いて、「パスワードロック状態」に設定したハードディスクドライブ装置7を接続用コネクタ21から取り外し、2台目のハードディスクドライブ装置7における接続用コネクタ71を携帯端末装置2の接続用コネクタ21に接続すると共に、操作部22を操作して「ロック処理」の実行を選択する。これに応じて、処理部24は、接続用コネクタ21に接続されているハードディスクドライブ装置7に対する電源の供給を開始すると共に、動作状態となったハードディスクドライブ装置7からHDD情報Daを取得して記憶部25に記憶させる。
【0051】
続いて、処理部24は、取得したHDD情報Daから、ハードディスクドライブ装置7のモデル名およびシリアル番号を抽出すると共に、抽出した文字列を、予め規定された「文字列変換手順」に従って変換して32バイトのバイナリデータからなるパスワード情報Dbを生成する。なお、2台目のハードディスクドライブ装置7から取得したHDD情報Daは、1台目のハードディスクドライブ装置7から取得したHDD情報Daとは相違するシリアル番号が記録されているため、この際に生成されるパスワード情報Dbは、1台目のハードディスクドライブ装置7を「パスワードロック状態」に設定したときのパスワード情報Dbとは相違するパスワード情報Dbが生成される。次いで、処理部24は、生成したパスワード情報Dbを、SSPコマンドと共にハードディスクドライブ装置7に送信する。これにより、パスワード情報Dbがハードディスクドライブ装置7に記録されて2台目のハードディスクドライブ装置7が「パスワードロック状態」に設定され(「第4処理」の他の一例)、次回起動時以降、パスワードを知らない者がこのハードディスクドライブ装置7に対するデータの読み書きを実行したり、パスワードロックの解除を行ったりすることができない状態となる。
【0052】
続いて、RAIDコントローラ6にアクセス管理装置1を接続し、かつアクセス管理装置1に両ハードディスクドライブ装置7をそれぞれ接続する。具体的には、情報処理装置5に接続されているRAIDコントローラ6の接続用コネクタ62a,62bにアクセス管理装置1の接続用コネクタ11a,11bをそれぞれ接続すると共に、アクセス管理装置1の接続用コネクタ12a,12bにハードディスクドライブ装置7の接続用コネクタ71をそれぞれ接続する。これにより、図1に示すように、情報処理装置5、RAIDコントローラ6およびハードディスクドライブ装置7a,7bが接続された状態となり、セキュリティシステム100(アクセス管理装置1)によるアクセス管理を行う準備作業が完了する。
【0053】
一方、この状態において情報処理装置5が起動させられたときには、情報処理装置5に接続されているRAIDコントローラ6がハードディスクドライブ装置7a,7bに対するアクセスを開始する。この際に、アクセス管理装置1では、処理部14が、ハードディスクドライブ装置7を起動させる制御信号が接続用コネクタ62を介してRAIDコントローラ6から出力されたときに、RAIDコントローラ6がハードディスクドライブ装置7に対するアクセスを開始したと判別し、図2に示すアクセス管理処理30を開始する。このアクセス管理処理30では、処理部14は、まず、両切替えスイッチ13を制御して両接続用コネクタ12を処理部14に対して接続させる(接続状態の切替え:ステップ31)。この際には、前述したように、接続用コネクタ11が接続用コネクタ12から切り離された状態となり、接続用コネクタ11に接続されているRAIDコントローラ6が両接続用コネクタ12に接続されているハードディスクドライブ装置7から切り離された状態(切断状態)となる。
【0054】
次いで、処理部14は、両ハードディスクドライブ装置7からHDD情報Daをそれぞれ取得すると共に(ステップ32)、取得したHDD情報Daに基づき、両ハードディスクドライブ装置7がそれぞれ「パスワードロック状態」に設定されているか否かを判別する(ステップ33)。
【0055】
この際に、本例とは相違するが、携帯端末装置2を用いた「ロック処理」を行っていないハードディスクドライブ装置7が接続用コネクタ12に接続されているとき(「各情報記録装置のうちの少なくとも1台がパスワードロック状態に設定されていないとき」の一例)には、アクセス管理装置1によるアクセス管理を行うことができない。このため、処理部14は、切替えスイッチ13を「接続状態」に制御することなく(「切断状態」を維持させつつ)、一例として、図示しないスピーカからブザー音を出力して(「予め規定された第2処理」の一例)、このアクセス管理処理30を終了する。この際には、RAIDコントローラ6が両ハードディスクドライブ装置7にアクセスできない状態が維持されて、RAIDコントローラ6が情報処理装置5に対して仮想ドライブを提供できない状態となる結果、情報処理装置5のブートチェック時にディスクアクセス不良が発生して情報処理装置5が異常停止する。
【0056】
一方、上記したように携帯端末装置2を用いた「ロック処理」を行ったハードディスクドライブ装置7が接続用コネクタ12に接続されているときに、処理部14は、両ハードディスクドライブ装置7がロック状態であると判別し(ステップ33)、ステップ32で取得したHDD情報Daからハードディスクドライブ装置7のモデル名およびシリアル番号を抽出する(ステップ34)。次いで、処理部14は、抽出した文字列を、予め規定された「文字列変換手順」に従って変換して32バイトのバイナリデータからなるパスワード情報Dbを生成し(ステップ35)、記憶部15に記憶させる。この際に、本例のセキュリティシステム100では、携帯端末装置2の処理部24がパスワード情報Dbを生成した際に用いた「文字列変換手順」と同様の変換手順が処理部14の動作プログラムの一部として記憶部15に記憶されている。
【0057】
したがって、接続用コネクタ12aに記憶されているハードディスクドライブ装置7a(一例として、上記の1台目のハードディスクドライブ装置7)から取得したHDD情報Daに基づいて生成されるパスワード情報Dbは、携帯端末装置2が1台目のハードディスクドライブ装置7に対して送信した(「パスワードロック状態」に設定する際に用いた)パスワード情報Dbと同じパスワード情報Dbが生成され、接続用コネクタ12bに記憶されているハードディスクドライブ装置7b(一例として、上記の2台目のハードディスクドライブ装置7)から取得したHDD情報Daに基づいて生成されるパスワード情報Dbは、携帯端末装置2が2台目のハードディスクドライブ装置7に対して送信した(「パスワードロック状態」に設定する際に用いた)パスワード情報Dbと同じパスワード情報Dbが生成される。
【0058】
次いで、処理部14は、生成したパスワード情報DbをSULコマンドと共に両ハードディスクドライブ装置7にそれぞれ送信することにより、両ハードディスクドライブ装置7のロック状態を一時的に解除させる(「第1処理」の一例:ステップ36)。この際に、SULコマンドと共にパスワード情報Dbが送信されたハードディスクドライブ装置7では、駆動制御部(図示せず)が、アクセス管理装置1から送信されたパスワード情報Dbと、HDD情報メモリに記憶されているパスワード情報とを比較して、両情報が一致するときに、ハードディスクドライブ装置7に対するデータの読み書きを一時的に解除する。なお、データの読み書きが一時的に解除された状態のハードディスクドライブ装置7は、その状態で電源が遮断されたとき(停止させられたとき)に、一時的に解除されているデータの読み書きが自動的に規制される状態となるものの、電源の供給が継続されている間は、データの読み書きが許容された状態が維持される。
【0059】
続いて、処理部14は、両切替えスイッチ13を制御して両接続用コネクタ11に対して両接続用コネクタ12をそれぞれ接続させ(接続状態の切替え:ステップ37)このアクセス管理処理30を終了する。この際には、両切替えスイッチ13を介して接続用コネクタ11,12が相互に接続された状態となり、接続用コネクタ11に接続されているRAIDコントローラ6が両接続用コネクタ12に接続されているハードディスクドライブ装置7に対してそれぞれ接続された状態(接続状態)となる。
【0060】
これにより、両ハードディスクドライブ装置7に対するアクセスが許容された状態のRAIDコントローラ6が両ハードディスクドライブ装置7を用いて仮想ドライブを構築し(本例では、両ハードディスクドライブ装置7をミラーリングして単一の仮想ドライブを構築し)、構築した仮想ドライブを情報処理装置5に提供する。この後、情報処理装置5が、RAIDコントローラ6に対して両ハードディスクドライブ装置7が直接接続されていた状態(セキュリティシステム100を導入する以前の状態)と同様にして、RAIDコントローラ6によって提供される仮想ドライブにアクセスして起動処理を実行する。
【0061】
なお、本例のアクセス管理装置1では、情報処理装置5が起動されてRAIDコントローラ6がハードディスクドライブ装置7に対するアクセスを開始してから、アクセス管理装置1による上記の一連の処理が行われてハードディスクドライブ装置7に対するRAIDコントローラ6のアクセスが許容され、ハードディスクドライブ装置7を用いて構築した仮想ドライブが情報処理装置5に提供されるまでに要する時間が、情報処理装置5の起動時にブートデバイスエラー(起動処理を行うデバイスが検出されないエラー)が発生することのない非常に短い時間となっている。
【0062】
また、情報処理装置5による図示しない工作機械などのコントロールが終了して情報処理装置5の電源が遮断されたときには、データの読み書きが一時的に解除されているハードディスクドライブ装置7のパスワードロック機能が働いて、ハードディスクドライブ装置7に対するデータの読み書きが規制された状態となる。したがって、アクセス管理装置1に接続されている両ハードディスクドライブ装置7をアクセス管理装置1から取り外して、他の場所に移送する際には、移送中のハードディスクドライブ装置7からデータが読み出されたり、ハードディスクドライブ装置7内のデータが意図しないデータで上書きされたりする事態が好適に回避される。この結果、ハードディスクドライブ装置7からの不正なデータの読み出しやデータの消失が好適に回避される。
【0063】
一方、一例として、アクセス管理装置1から取り外されて移送されたハードディスクドライブ装置7に対するデータの読み書きを行う際には、一例として、前述した携帯端末装置2を使用してハードディスクドライブ装置7をアンロック状態とする。具体的には、移送先に予め用意しておいた携帯端末装置2の接続用コネクタ21(一例として、接続用コネクタ21a)に、移送されたハードディスクドライブ装置7のうちの1台目を接続すると共に、携帯端末装置2の操作部22を操作して「アンロック処理」の実行を選択する。これに応じて、処理部24は、接続用コネクタ21に接続されているハードディスクドライブ装置7に対する電源の供給を開始すると共に、動作状態となったハードディスクドライブ装置7からHDD情報Daを取得して記憶部25に記憶させる。
【0064】
続いて、処理部24は、取得したHDD情報Daから、ハードディスクドライブ装置7のモデル名およびシリアル番号を抽出すると共に、抽出した文字列を、予め規定された「文字列変換手順」に従って変換して32バイトのバイナリデータからなるパスワード情報Dbを生成する。この際には、両ハードディスクドライブ装置7を「パスワードロック状態」に設定した前述の処理時や、アクセス管理装置1による「パスワードロック状態」の一時的な解除時と同じパスワード情報Dbが生成される。
【0065】
次いで、処理部24は、SULコマンドと共にパスワード情報Dbをハードディスクドライブ装置7に送信することで「パスワードロック状態」を一時的に解除させ、続いて、SDPコマンドと共にパスワード情報Dbをハードディスクドライブ装置7に送信することで「アンロック状態(パスワードロック状態の恒久的な解除)」に設定する。これにより、ハードディスクドライブ装置7に対するデータの読み書きが許容された状態となり、SATA規格に準拠したコネクタを有する端末(パーソナルコンピュータ等)にハードディスクドライブ装置7を接続することで、ハードディスクドライブ装置7に対するデータの読み書きを行うことができる状態となる(「第3処理」の一例)。
【0066】
このように、このアクセス管理装置1では、「パスワードロック状態」に設定されている各ハードディスクドライブ装置7に対してRAIDコントローラ6がアクセスを開始したときに、処理部14が、各切替えスイッチ13を「切断状態」に切り替えると共に、ハードディスクドライブ装置7からHDD情報Daを取得し、取得したHDD情報Daの文字列(本例では、モデル名およびシリアル番号)を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbをハードディスクドライブ装置7に対して出力して、ハードディスクドライブ装置7に対するデータの読み書きを許容させる「第1処理」を、各接続用コネクタ12に接続されている各ハードディスクドライブ装置7毎にそれぞれ実行した後に、各切替えスイッチ13を「接続状態」に切り替えることにより、各ハードディスクドライブ装置7に対してRAIDコントローラ6がアクセス可能な状態とする。
【0067】
したがって、このアクセス管理装置1によれば、ハードディスクドライブ装置7から取得可能なHDD情報Daに基づいて一義的に生成されるパスワード情報Dbによってハードディスクドライブ装置7を「パスワードロック状態」に設定しておくことで、ハードディスクドライブ装置7がアクセス管理装置1やRAIDコントローラ6から取り外された状態(ハードディスクドライブ装置7に対する電源供給が停止した状態)においてパスワードを知らない者がハードディスクドライブ装置7に対するデータの読み書きを行うことができなくなる。一方、ハードディスクドライブ装置7の正規の利用者がこれを使用するときには、ハードディスクドライブ装置7を接続用コネクタ12に接続した状態で情報処理装置5やRAIDコントローラ6を起動させるだけで、「パスワード」を入力する作業を行うことなく、ハードディスクドライブ装置7から取得されるHDD情報Daに基づいて一義的に生成されるパスワード情報Dbによってハードディスクドライブ装置7に対するデータの読み書きが一時的に許容された状態となる。このため、RAIDシステムを導入した状態において、利用者の手を煩わせることなく、アクセス管理装置1を所有しない者によるハードディスクドライブ装置7からの不正なデータの読み書きを確実かつ容易に防止することができる。
【0068】
また、このアクセス管理装置1によれば、RAIDコントローラ6が各ハードディスクドライブ装置7に対するアクセスを開始したときに、処理部14が、各ハードディスクドライブ装置7が「パスワードロック状態」に設定されているか否かを判別し、各ハードディスクドライブ装置7のうちの少なくとも1台が「パスワードロック状態」に設定されていないときに、各切替えスイッチ13を「接続状態」に切り替えることなく、予め規定された「第2処理(本例では、ブザー音の出力)」を実行することにより、「パスワードロック状態」に設定されていないハードディスクドライブ装置7、すなわち、アクセス管理装置1によるアクセス管理を実行することができない状態のハードディスクドライブ装置7が継続的に使用されるのを好適に回避することができる。
【0069】
さらに、このアクセス管理システムによれば、上記のアクセス管理装置1に加えて、「パスワードロック状態」に設定されているハードディスクドライブ装置7からHDD情報Daを取得し、取得したHDD情報Daの文字列を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbを使用してハードディスクドライブ装置7を「パスワードロック状態」が設定されていない状態(アンロック状態)に設定する「第3処理」を実行可能に構成された携帯端末装置2を備えたことにより、アクセス管理装置1が配設されていない既存のシステムによってハードディスクドライブ装置7に対するデータの読み書きを行う必要が生じたときに、そのシステムにアクセス管理装置1を配設することなく、「パスワードロック状態」に設定されたハードディスクドライブ装置7を携帯端末装置2によって「アンロック状態(パスワードロック状態ではない状態)」に設定することでハードディスクドライブ装置7に対するデータの読み書きが許容された状態となり、しかも、利用者に「パスワードロック状態」に設定した際に用いられたパスワードを意識させることなく、「アンロック状態」に設定することができる。
【0070】
また、このアクセス管理システムによれば、「パスワードロック状態」に設定されていない(アンロック状態の)ハードディスクドライブ装置7からHDD情報Daを取得し、取得したHDD情報Daの文字列を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbを使用してハードディスクドライブ装置7を「パスワードロック状態」に設定する「第4処理」を実行可能に携帯端末装置2を構成したことにより、利用者に「パスワード」を意識させることなく、アクセス管理装置1や携帯端末装置2によってデータの読み書きを行うことができるパスワード情報DbをHDD情報Daに基づいて生成し、生成したパスワード情報Dbを用いてハードディスクドライブ装置7を「パスワードロック状態」に設定することができるため、この種の装置に不慣れな利用者であっても、ハードディスクドライブ装置7を確実かつ容易に「パスワードロック状態」に設定することができる。
【0071】
なお、「アクセス管理装置」および「アクセス管理システム」の構成は、上記のアクセス管理装置1およびセキュリティシステム100の構成に限定されない。例えば、RAIDコントローラ6に対して両ハードディスクドライブ装置7が接続されている状態の既存のシステムにセキュリティシステム100(アクセス管理装置1)を導入する際に、RAIDコントローラ6から取り外した両ハードディスクドライブ装置7を携帯端末装置2によって「パスワードロック状態」に設定してからアクセス管理装置1に接続する例について説明したが、上記のアクセス管理装置1に関して、携帯端末装置2を使用せずに、「パスワードロック状態」ではない(アンロック状態の)ハードディスクドライブ装置7をアクセス管理装置1によって「パスワードロック状態」に設定する構成を採用することもできる。
【0072】
具体的には、前述した構成のセキュリティシステム100における携帯端末装置2によって実行される「ロック処理(第4処理)」をアクセス管理装置1の処理部14が実行可能にアクセス管理装置1の構成を変更することで、携帯端末装置2を用いることなく、アクセス管理装置1によってハードディスクドライブ装置7を「パスワードロック状態」に設定することができる。より具体的には、上記のように変更したアクセス管理装置1では、「パスワードロック状態」に設定されていない(アンロック状態の)ハードディスクドライブ装置7が両接続用コネクタ12にそれぞれ接続された状態で情報処理装置5が起動させられ、これに応じてRAIDコントローラ6が両ハードディスクドライブ装置7に対するアクセスを開始したときに、処理部14が、前述したアクセス管理処理30におけるステップ31と同様にして、両切替えスイッチ13を「切断状態」に切り替えると共に、アクセス管理処理30におけるステップ32と同様にして、両ハードディスクドライブ装置7からHDD情報Daをそれぞれ取得する。
【0073】
続いて、処理部14が、取得したHDD情報Daから、ハードディスクドライブ装置7のモデル名およびシリアル番号を抽出すると共に、抽出した文字列を、予め規定された「文字列変換手順」に従って変換して32バイトのバイナリデータからなるパスワード情報Dbを生成する。次いで、処理部14は、生成したパスワード情報Dbを、SSPコマンドと共にハードディスクドライブ装置7に送信する。これにより、パスワード情報Dbがハードディスクドライブ装置7に記録されてハードディスクドライブ装置7が「パスワードロック状態」に設定され(「第2処理」の一例)、次回起動時以降、パスワードを知らない者がこのハードディスクドライブ装置7に対するデータの読み書きを実行したり、パスワードロックの解除を行ったりすることができない状態となる。
【0074】
この後、処理部14は、前述したアクセス管理処理30におけるステップ36の処理(データの読み書きを一時的に許容させる処理:「第1の処理」の一例)、およびステップ37の処理(両切替えスイッチ13を「接続状態」に切り替える処理)を実行する。これにより、両ハードディスクドライブ装置7に対するアクセスが許容された状態のRAIDコントローラ6が両ハードディスクドライブ装置7を用いて仮想ドライブを構築し(例えば、両ハードディスクドライブ装置7をミラーリングして単一の仮想ドライブを構築し)、構築した仮想ドライブを情報処理装置5に提供する。
【0075】
このように構成したアクセス管理装置1によれば、処理部14が、「パスワードロック状態」に設定されていない(アンロック状態の)ハードディスクドライブ装置7からHDD情報Daを取得し、取得したHDD情報Daの文字列(本例では、モデル名およびシリアル番号)を予め規定された「文字列変換手順」に従って変換してパスワード情報Dbを生成し、かつ生成したパスワード情報Dbを使用してハードディスクドライブ装置7を「パスワードロック状態」に設定する処理を「第2処理」として実行した後に、前述した「第1処理」を実行することにより、利用者に「パスワード」を意識させることなく、アクセス管理装置1によってデータの読み書きを行うことができるパスワード情報DbをHDD情報Daに基づいて生成し、生成したパスワード情報Dbを用いてハードディスクドライブ装置7を「パスワードロック状態」に設定することができるため、この種の装置に不慣れな利用者であっても、ハードディスクドライブ装置7を確実かつ容易に「パスワードロック状態」に設定することができる。
【0076】
また、2個の接続用コネクタ62を備えたRAIDコントローラ6に接続可能なN=2個の接続用コネクタ11を備え、かつハードディスクドライブ装置7等を接続可能なN=2個の接続用コネクタ12を備えたアクセス管理装置1の構成を例に挙げて説明したが、上記のNの数は、3以上の任意の数とすることができる。さらに、「識別情報」としてのHDD情報Daから「モデル名」や「シリアル番号」を抽出してパスワード情報Dbを生成する例について説明したが、このような構成に代えて(または、このような構成に加えて)、ハードディスクドライブ装置7の製造時期を示す文字列や、ディスク容量を示す文字列を取得し、これらの文字列を「文字列変換手順」に従って変換して「パスワード情報」を生成する構成を採用することもできる。
【符号の説明】
【0077】
100 セキュリティシステム1 アクセス管理装置
2 携帯端末装置
5 情報処理装置
6 RAIDコントローラ
7a,7b ハードディスクドライブ装置
11a,11b,12a,12b,21a,21b,51,61,62a,62b,71 接続用コネクタ
13a,13b 切替えスイッチ
14,24 処理部
15,25 記憶部
22 操作部
23 インジケータ
30 アクセス管理処理
Da HDD情報
Db パスワード情報