(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024126994
(43)【公開日】2024-09-20
(54)【発明の名称】情報機器およびその起動プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20240912BHJP
【FI】
G06F21/57 350
G06F21/57 370
【審査請求】未請求
【請求項の数】3
【出願形態】OL
(21)【出願番号】P 2023035807
(22)【出願日】2023-03-08
(71)【出願人】
【識別番号】000003562
【氏名又は名称】東芝テック株式会社
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】池上 史彦
(57)【要約】 (修正有)
【課題】脆弱なソフトウェアの使用を回避して起動する情報機器及びその起動プログラムを提供する。
【解決手段】情報機器は、記憶装置、通信部及び制御部を有する。記憶装置は、通常使用する通常領域とバックアップを格納しているバックアップ領域を有する。制御部は、改ざん検査部と領域切り替え部を有する。改ざん検査部は、通常領域の起動時に、通常領域が改ざんされていないかを検査する。領域切り替え部は、改ざん検査部が改ざんを検出した場合には、通信部を介して、バックアップのソフトウェアに脆弱性がないかをサーバに問い合わせ、脆弱性がないとの回答に対しては、バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、通信部の通信機能を最低限必要な機能に制限し、制限をした場合は、通信部を介して最新バージョンのソフトウェアをダウンロードし、アップデート後に通信部の通信機能の制限を解除する。
【選択図】図1
【解決手段】情報機器は、記憶装置、通信部及び制御部を有する。記憶装置は、通常使用する通常領域とバックアップを格納しているバックアップ領域を有する。制御部は、改ざん検査部と領域切り替え部を有する。改ざん検査部は、通常領域の起動時に、通常領域が改ざんされていないかを検査する。領域切り替え部は、改ざん検査部が改ざんを検出した場合には、通信部を介して、バックアップのソフトウェアに脆弱性がないかをサーバに問い合わせ、脆弱性がないとの回答に対しては、バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、通信部の通信機能を最低限必要な機能に制限し、制限をした場合は、通信部を介して最新バージョンのソフトウェアをダウンロードし、アップデート後に通信部の通信機能の制限を解除する。
【選択図】図1
【特許請求の範囲】
【請求項1】
通常使用するソフトウェアを格納している通常領域と、前記ソフトウェアのバックアップを格納しているバックアップ領域とを有する記憶装置と、
前記ソフトウェアの最新バージョンと、前記ソフトウェアの各バージョンの脆弱性の情報とを保有するサーバと通信する通信機能を有する通信部と、
前記記憶装置と前記通信部を制御する制御部と、
を有し、
前記制御部は、
前記通常領域に格納されている前記ソフトウェアの起動時に、前記通常領域に格納されている前記ソフトウェアが改ざんされていないかを検査する改ざん検査部と、
前記改ざん検査部が前記通常領域の前記ソフトウェアが改ざんされていることを検出した場合には、前記通信部を介して、前記バックアップのバージョンのソフトウェアに既知の脆弱性がないかを前記サーバに問い合わせ、脆弱性がないとの回答に対しては、前記バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、前記通信部の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限し、前記通信部を介して、前記最新バージョンのソフトウェアをダウンロードし、前記バックアップのソフトウェアを前記最新バージョンのソフトウェアにアップデートした後に、前記通信部の通信機能の制限を解除する領域切り替え部と、
を有する情報機器。
前記ソフトウェアの最新バージョンと、前記ソフトウェアの各バージョンの脆弱性の情報とを保有するサーバと通信する通信機能を有する通信部と、
前記記憶装置と前記通信部を制御する制御部と、
を有し、
前記制御部は、
前記通常領域に格納されている前記ソフトウェアの起動時に、前記通常領域に格納されている前記ソフトウェアが改ざんされていないかを検査する改ざん検査部と、
前記改ざん検査部が前記通常領域の前記ソフトウェアが改ざんされていることを検出した場合には、前記通信部を介して、前記バックアップのバージョンのソフトウェアに既知の脆弱性がないかを前記サーバに問い合わせ、脆弱性がないとの回答に対しては、前記バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、前記通信部の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限し、前記通信部を介して、前記最新バージョンのソフトウェアをダウンロードし、前記バックアップのソフトウェアを前記最新バージョンのソフトウェアにアップデートした後に、前記通信部の通信機能の制限を解除する領域切り替え部と、
を有する情報機器。
【請求項2】
前記制御部は、ハードウェアプロセッサを有し、
前記バックアップ領域は、前記ハードウェアプロセッサに、前記通信部の通信機能を制限させるプログラムを格納している、
請求項1に記載の情報機器。
前記バックアップ領域は、前記ハードウェアプロセッサに、前記通信部の通信機能を制限させるプログラムを格納している、
請求項1に記載の情報機器。
【請求項3】
通常使用するソフトウェアを格納している通常領域と、前記ソフトウェアのバックアップを格納しているバックアップ領域とを有する記憶装置、及び、前記ソフトウェアの最新バージョンと、前記ソフトウェアの各バージョンの脆弱性の情報とを保有するサーバと通信する通信機能を有する通信部と、を備えた情報機器のコンピュータに、
前記通常領域に格納されている前記ソフトウェアの起動時に、前記通常領域に格納されている前記ソフトウェアが改ざんされていないかを検査する機能、
前記検査により前記通常領域の前記ソフトウェアが改ざんされていることを検出した場合には、前記通信部を介して、前記バックアップのバージョンのソフトウェアに既知の脆弱性がないかを前記サーバに問い合わせる機能、
前記問い合わせに対して脆弱性がないとの回答に対しては、前記バックアップのソフトウェアを起動する機能、及び、
前記問い合わせに対して脆弱性があるとの回答に対しては、前記通信部の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限し、前記通信部を介して、前記最新バージョンのソフトウェアをダウンロードし、前記バックアップのソフトウェアを前記最新バージョンのソフトウェアにアップデートした後に、前記通信部の通信機能の制限を解除する機能、
を実現させるための起動プログラム。
前記通常領域に格納されている前記ソフトウェアの起動時に、前記通常領域に格納されている前記ソフトウェアが改ざんされていないかを検査する機能、
前記検査により前記通常領域の前記ソフトウェアが改ざんされていることを検出した場合には、前記通信部を介して、前記バックアップのバージョンのソフトウェアに既知の脆弱性がないかを前記サーバに問い合わせる機能、
前記問い合わせに対して脆弱性がないとの回答に対しては、前記バックアップのソフトウェアを起動する機能、及び、
前記問い合わせに対して脆弱性があるとの回答に対しては、前記通信部の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限し、前記通信部を介して、前記最新バージョンのソフトウェアをダウンロードし、前記バックアップのソフトウェアを前記最新バージョンのソフトウェアにアップデートした後に、前記通信部の通信機能の制限を解除する機能、
を実現させるための起動プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報機器およびその起動プログラムに関する。
【背景技術】
【0002】
PCなどに搭載される記憶装置に、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)がある。それらの記憶装置のなかに、記憶領域を複数に分割し、その分割された領域にデータを自動的に暗号化しながら格納し、正当な権限を持つユーザ以外がデータを読み書きできないように保護する記憶装置がある。そのような記憶装置が、コンピュータの信頼性と安全性を向上させるための標準技術を策定する業界団体であるTrusted Computing Group(TCG)によってTrusted Computing Group Opal Security Subsystem Class(TCG Opal SSC)として規格化されている。
【0003】
以下では、TCG Opal SSC規格に準拠した記憶装置をOpal仕様SEDと称する。なお、SEDは、Self Encrypting Drive(自己暗号化ドライブ)の略である。Opal仕様SEDでは、その内部を論理的に複数の記憶領域に区切ることができ、そのそれぞれにデータ(ソフトウェアやテキスト、画像、音声等のデジタルデータ)を格納することができる。
【0004】
ソフトウェアを格納する領域の1つを通常使用するソフトウェアを格納する領域、他の領域の1つを当該ソフトウェアの破損や改ざんに備えたバックアップを格納する領域として使用し、通常使用する領域が破損もしくは不正に改ざんされた(書き換えられた)ときに、バックアップ領域に切り替えて起動するといった使い方がTCGによって示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2011-210129号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
通常使用する領域は、定期的にセキュリティパッチが適用されるなどして適宜更新される。これに対して、バックアップを格納する領域は、通常は情報機器のリリース時点におけるソフトウェアがそのまま格納されている。このため、バックアップを格納する領域に切り替えて起動する際に、セキュリティパッチが未適用の脆弱なバージョンのソフトウェアが使用されるおそれがある。
【0007】
本発明が解決しようとする課題は、脆弱なバージョンのソフトウェアの使用を回避して起動する情報機器およびその起動プログラムを提供することである。
【課題を解決するための手段】
【0008】
実施形態に係る情報機器は、記憶装置と、通信部と、制御部とを有する。記憶装置は、通常領域とバックアップ領域とを有する。通常領域は、通常使用するソフトウェアを格納している。バックアップ領域は、ソフトウェアのバックアップを格納している。通信部は、サーバと通信する通信機能を有する。サーバは、ソフトウェアの最新バージョンと、ソフトウェアの各バージョンの脆弱性の情報とを保有している。制御部は、記憶装置と通信部を制御する。制御部は、改ざん検査部と、領域切り替え部とを有する。改ざん検査部は、通常領域に格納されているソフトウェアの起動時に、通常領域に格納されているソフトウェアが改ざんされていないかを検査する。領域切り替え部は、改ざん検査部が通常領域のソフトウェアが改ざんされていることを検出した場合には、通信部を介して、バックアップのバージョンのソフトウェアに既知の脆弱性がないかをサーバに問い合わせる。脆弱性がないとの回答に対しては、領域切り替え部は、バックアップのソフトウェアを起動する。脆弱性があるとの回答に対しては、領域切り替え部は、通信部の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限し、通信部を介して、最新バージョンのソフトウェアをダウンロードし、バックアップのソフトウェアを最新バージョンのソフトウェアにアップデートした後に、通信部の通信機能の制限を解除する。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
[構成]
図1を参照して、実施形態に係る情報機器10の構成について説明する。図1は、実施形態に係る情報機器10の構成を示す図である。情報機器10は、たとえば、コンピュータ、タブレット、携帯端末等である。
図1を参照して、実施形態に係る情報機器10の構成について説明する。図1は、実施形態に係る情報機器10の構成を示す図である。情報機器10は、たとえば、コンピュータ、タブレット、携帯端末等である。
【0011】
情報機器10は、記憶装置20と、制御部30と、通信部40とを有する。図1には図示されていないが、情報機器10はさらに、入出力インタフェース、表示デバイス、入力デバイス、タッチパネル等を有していてもよい。
【0012】
記憶装置20は、TCG(Trusted Computing Group)が規格化したTCG Opal SSC(Trusted Computing Group Opal Security Subsystem Class)規格に準拠する記憶装置である。すなわち、記憶装置20は、Opal仕様SEDである。記憶装置20は、たとえば、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)等である。
【0013】
Opal仕様SEDである記憶装置20は、前述したように、データを暗号化して格納する複数の記憶領域を有する。データとは、OSやアプリケーション等のプログラムのコードや情報を表すデータのほか、テキストや画像や音声等の情報を表すデータも含む。すなわち、データとは、あらゆるデジタルデータを指す。
【0014】
記憶装置20は、通常領域21とバックアップ領域22とを有する。通常領域21は、通常使用するソフトウェアを格納している。バックアップ領域22は、ソフトウェアのバックアップを格納している。
【0015】
通常領域21に格納されている通常使用するソフトウェアは、定期的にセキュリティパッチが適用されたOSやアプリケーション等のプログラムのコードや情報を表すデータや、ユーザによる入力情報を表すデータであり、適宜更新されるデジタルデータである。
【0016】
バックアップ領域22に格納されているバックアップのソフトウェアは、情報機器10のリリース時点におけるOSやアプリケーション等のプログラムのコードや情報を表すデータであり、更新されないデジタルデータである。たとえば、プログラムの情報を表すデータは、バックアップのプログラムのバージョンの情報を表すデータである。
【0017】
通常領域21は、制御部30により、普段は読み書き可能な状態に設定されている。また、バックアップ領域22は、制御部30により、普段は読み書き不可能な状態に設定されている。
【0018】
通信部40は、ネットワークを介して、サーバと通信する通信機能を有する。サーバは、ソフトウェアの最新バージョンと、ソフトウェアの各バージョンの脆弱性の情報とを保有している。ここで言うソフトウェアは、OSやアプリケーション等のプログラムのコードや情報を表すデータである。
【0019】
制御部30は、記憶装置20と通信部40を制御する。制御部30は、機能的には、改ざん検査部31と、領域切り替え部32とを有する。
【0020】
改ざん検査部31は、通常領域21に格納されているソフトウェア(OS)の起動時に、通常領域21に格納されているソフトウェアが不正に改ざんされていないかを検査する。たとえば、改ざんの検査は、ハッシュ関数を利用する手法によりおこなわれる。
【0021】
領域切り替え部32は、改ざん検査部31が通常領域21のソフトウェアが不正に改ざんされていることを検出した場合には、通常領域21を読み書き不可能な状態に、バックアップ領域22を読み書き可能な状態に、それぞれ変更する。通常領域21の読み書き不可能な状態への変更は、通常領域21の不正な改ざん(不正な書き換え)の事後解析のためである。
【0022】
領域切り替え部32は、通信部40を介して、バックアップ領域22に格納されているバックアップのバージョンのソフトウェアに既知の脆弱性がないかをサーバに問い合わせる。
【0023】
脆弱性がないとの回答に対しては、領域切り替え部32は、バックアップのソフトウェアを起動する。
【0024】
脆弱性があるとの回答に対しては、領域切り替え部32は、通信部40の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限する。具体的には、領域切り替え部32は、接続先をプログラム配信サーバに限定し、ダウンロードに必要なポート以外をすべて閉じる。
【0025】
続いて、領域切り替え部32は、通信部40を介して、脆弱性に問題がない最新バージョンのソフトウェアをダウンロードし、バックアップのソフトウェアを最新バージョンのソフトウェアにアップデートする。ここで、アップデートとは、ソフトウェアを再インストールすることのほか、必要であれば、情報機器10を再起動することも含む。
【0026】
その後、領域切り替え部32は、通信部40の通信機能の制限を解除する。具体的には、領域切り替え部32は、接続先の限定を解除し、すべてのポートを開く。
【0027】
また、制御部30は、ハードウェア的には、ハードウェアプロセッサと、メインメモリを有する。たとえば、ハードウェアプロセッサは、CPU(Central Processing Unit)である。メインメモリは、ROM(Read Only Memory)と、RAM(Random Access Memory)とを有する。
【0028】
制御部30は、ROMや記憶装置20に格納されているプログラム等をRAMに読み込み、ハードウェアプロセッサがプログラムを実行することにより、制御部30の機能、たとえば、改ざん検査部31と領域切り替え部32の機能を実行する。
【0029】
たとえば、改ざん検査部31の機能をハードウェアプロセッサに実行させるプログラムはROMに格納されている。同様に、領域切り替え部32の機能をハードウェアプロセッサに実行させるプログラムは、ROMに格納されていてもよい。また、領域切り替え部32の一部の機能、たとえば、通信部40の通信機能を制御(制限・解除)する機能や、最新バージョンのソフトウェアをダウンロードしアップデートする機能を、ハードウェアプロセッサに実行させるプログラムは、記憶装置20のバックアップ領域22に格納されていてもよい。
【0030】
[動作]
次に、図2を参照して、情報機器10の起動動作について説明する。図2は、実施形態に係る情報機器10の起動動作を示すフローチャートである。起動動作は、制御部30のハードウェアプロセッサが、RAMに読み込まれた起動プログラムを実行することによって行われる。なお、情報機器10の起動時において、記憶装置20は、制御部30により、通常領域21は読み書き可能な状態に、バックアップ領域22を読み書き不可能な状態に、それぞれ設定されている。
次に、図2を参照して、情報機器10の起動動作について説明する。図2は、実施形態に係る情報機器10の起動動作を示すフローチャートである。起動動作は、制御部30のハードウェアプロセッサが、RAMに読み込まれた起動プログラムを実行することによって行われる。なお、情報機器10の起動時において、記憶装置20は、制御部30により、通常領域21は読み書き可能な状態に、バックアップ領域22を読み書き不可能な状態に、それぞれ設定されている。
【0031】
Act1において、改ざん検査部31は、通常領域21に格納されているソフトウェア(OS)の起動時に、通常領域21に格納されているソフトウェアが不正に改ざんされていないかを検査する。
【0032】
Act2における判定の結果、改ざん検査部31が通常領域21のソフトウェアが不正に改ざんされていることを検出しなかった場合(Act2においてNo)、Act3において、制御部30は、通常領域21に格納されているソフトウェアを起動する。
【0033】
Act2における判定の結果、改ざん検査部31が通常領域21のソフトウェアが不正に改ざんされていることを検出した場合(Act2においてYes)、Act4において、制御部30の領域切り替え部32は、通常領域21を読み書き不可能な状態に、バックアップ領域22を読み書き可能な状態に、それぞれ変更する。
【0034】
次に、Act5において、領域切り替え部32は、通信部40を介して、バックアップ領域22に格納されているバックアップのソフトウェアに既知の脆弱性がないかをサーバに問い合わせる。すなわち、領域切り替え部32は、バックアップのバージョンの情報をサーバに送信し、そのバージョンのソフトウェアの脆弱性の有無の情報をサーバから受信する。
【0035】
Act6における判定の結果、脆弱性がない(Act6においてNo)との回答に対しては、Act7において、領域切り替え部32は、バックアップ領域22に格納されているバックアップのソフトウェアを起動する。
【0036】
Act6における判定の結果、脆弱性がある(Act6においてYes)との回答に対しては、Act8において、領域切り替え部32は、通信部40の通信機能を、最新バージョンのソフトウェアをダウンロードするために最低限必要な機能のみに制限する。
【0037】
次に、Act9において、領域切り替え部32は、通信部40を介して、最新バージョンのソフトウェアをサーバからダウンロードする。
【0038】
続いて、Act10において、領域切り替え部32は、バックアップ領域22に格納されているバックアップのソフトウェアを最新バージョンのソフトウェアにアップデートする。すなわち、領域切り替え部32は、バックアップ領域22に格納されているソフトウェアを再インストールする。
【0039】
その後、Act11において、領域切り替え部32は、バックアップ領域22に格納されている再インストール後のソフトウェアを起動する。再インストール後のソフトウェアの起動の際、必要であれば、領域切り替え部32は、情報機器10を再起動する。
【0040】
続いて、Act12において、領域切り替え部32は、Act8においておこなった通信部40の通信機能の制限を解除する。
【0041】
[効果]
実施形態の情報機器10は、通常領域21に格納されている通常使用するソフトウェアの起動時に、通常使用するソフトウェアが改ざんされていないかを検査し、通常使用するソフトウェアが改ざんされていた場合には、バックアップのソフトウェアに脆弱性がないかをサーバに問い合わせ、脆弱性がないとの回答に対しては、バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、通信部の通信機能を最低限必要な機能のみに制限した上でバックアップのソフトウェアを最新バージョンにアップデートした後に通信部の通信機能の制限を解除する。これにより、脆弱なバージョンのソフトウェアの使用を回避して情報機器10を起動することができる。
実施形態の情報機器10は、通常領域21に格納されている通常使用するソフトウェアの起動時に、通常使用するソフトウェアが改ざんされていないかを検査し、通常使用するソフトウェアが改ざんされていた場合には、バックアップのソフトウェアに脆弱性がないかをサーバに問い合わせ、脆弱性がないとの回答に対しては、バックアップのソフトウェアを起動し、脆弱性があるとの回答に対しては、通信部の通信機能を最低限必要な機能のみに制限した上でバックアップのソフトウェアを最新バージョンにアップデートした後に通信部の通信機能の制限を解除する。これにより、脆弱なバージョンのソフトウェアの使用を回避して情報機器10を起動することができる。
【0042】
本実施形態に係るプログラムは、電子機器に記憶された状態で譲渡されてよいし、電子機器に記憶されていない状態で譲渡されてもよい。後者の場合は、プログラムは、ネットワークを介して譲渡されてよいし、記憶媒体に記憶された状態で譲渡されてもよい。記憶媒体は、非一時的な有形の媒体である。記憶媒体は、コンピュータ可読媒体である。記憶媒体は、CD-ROM、メモリカード等のプログラムを記憶可能かつコンピュータで読取可能な媒体であればよく、その形態は問わない。
【0043】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0044】
10…情報機器、20…記憶装置、21…通常領域、22…バックアップ領域、30…制御部、31…改ざん検査部、32…領域切り替え部、40…通信部。
【図1】
【図2】
