(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-29
(45)【発行日】2023-06-06
(54)【発明の名称】情報処理装置、セキュリティ強度の切替方法、及びプログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20230530BHJP
G06F 9/445 20180101ALI20230530BHJP
【FI】
G06F21/57 320
G06F9/445 130
【請求項の数】
6
(21)【出願番号】P 2019115052
(22)【出願日】2019-06-21
(65)【公開番号】P2021002176
(43)【公開日】2021-01-07
【審査請求日】2022-05-13
(73)【特許権者】
【識別番号】000002233
【氏名又は名称】ニデックインスツルメンツ株式会社
(74)【代理人】
【識別番号】100123788
【弁理士】
【氏名又は名称】宮崎 昭夫
(74)【代理人】
【識別番号】100127454
【弁理士】
【氏名又は名称】緒方 雅昭
(72)【発明者】
【氏名】根岸 明弘
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2019-049814(JP,A)
【文献】特開2018-156638(JP,A)
【文献】特開2015-069315(JP,A)
【文献】特開2009-282810(JP,A)
【文献】特開2019-079118(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 9/445
(57)【特許請求の範囲】
【請求項1】
上位装置に接続される情報処理装置であって、ファームウェアに基づいて動作する実行処理部と、
第1レベルのセキュリティ強度の処理を実行する第1ファームウェアを格納する第1記憶領域と、
前記第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアを格納する第2記憶領域と、
前記第2ファームウェアが前記第2記憶領域に格納されかつ前記実行処理部が前記第1ファームウェアを実行可能な状態で、前記上位装置からの特定の入力により、前記実行処理部が実行するファームウェアを前記第1ファームウェアから前記第2ファームウェアに切り替える制御部と、
を備え、
前記第2ファームウェアは、前記実行処理部が前記第1ファームウェアを実行している状態において前記上位装置から前記第2記憶領域にダウンロードされ、
前記制御部は、前記第2ファームウェアに切り替えたのちは、前記特定の入力に基づく機器認証が行われない限り、前記情報処理装置へのファームウェアのダウンロードを禁止する、情報処理装置。
【請求項2】
前記制御部は、前記第2ファームウェアに切り替えたのちに、前記第1ファームウェアの実行を禁止する、請求項1に記載の情報処理装置。
【請求項3】
上位装置に接続され、ファームウェアに基づいてセキュリティに関する処理を実行する情報処理装置におけるセキュリティ強度の切替方法であって、前記情報処理装置に格納されて第1レベルのセキュリティ強度の処理を実行する第1ファームウェアを前記情報処理装置が実行可能な状態で、上位装置からの特定の入力により、既に前記情報処理装置に格納されていて前記第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアに、前記情報処理装置が実行するファームウェアを切り替え、
前記第2ファームウェアへの切り替えの前に、前記情報処理装置が前記第1ファームウェアを実行している状態において、前記上位装置から前記情報処理装置に前記第2ファームウェアをダウンロードし、
前記第2ファームウェアに切り替えたのちは、前記特定の入力に基づく機器認証が行われない限り、前記情報処理装置へのファームウェアのダウンロードを禁止する、切替方法。
【請求項4】
前記第2ファームウェアに切り替えたのちに、前記第1ファームウェアの実行を禁止する、請求項3に切替方法。
【請求項5】
上位装置に接続されてファームウェアに基づいて動作する情報処理装置において前記ファームウェアの更新を管理するコンピュータに、前記情報処理装置の第1記憶領域に格納されて第1レベルのセキュリティ強度の処理を実行する第1ファームウェアが実行可能とする処理と、
前記第1ファームウェアが実行可能な状態において、前記上位装置からの特定の入力により、既に前記情報処理装置の第2記憶領域に格納されていて前記第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアを実行可能な状態にして、前記情報処理装置が基づくファームウェアの切り替えを行う処理と、
前記第1ファームウェアを実行している状態において前記上位装置から前記第2記憶領域に前記第2ファームウェアをダウンロードする処理と、
前記情報処理装置が基づくファームウェアを前記第2ファームウェアに切り替えたのちは、前記特定の入力に基づく機器認証が行われない限り、前記情報処理装置へのファームウェアのダウンロードを禁止する処理と、
を実行させるプログラム。
【請求項6】
前記情報処理装置が基づくファームウェアを前記第2ファームウェアに切り替えたのちは前記第1ファームウェアの実行を禁止する処理を前記コンピュータに実行させる、請求項5に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティに関する処理を実行するカードリーダなどの情報処理装置に関し、特に、実行する処理のセキュリティ強度の変更が可能な情報処理装置と、そのセキュリティ強度の切替方法と、この切替方法を実施するプログラムとに関する。
【背景技術】
【0002】
セキュリティに関する処理を実行する情報処理機器の例として、磁気カードに記録された磁気データの読み出しや磁気カードへのデータの書き込みを行うカードリーダがある。カードリーダは、例えば、ATM(現金自動預け払い機;Automated teller machine)などにおいて広く用いられている。カードリーダは一般にマイクロプロセッサを内蔵しており、カードリーダ内に格納されたファームウェアをマイクロプロセッサが実行することで動作する。磁気カードに読み書きされるデータは秘匿を要するデータであり、カードリーダ内で暗号化処理などのセキュリティ処理がなされる。このセキュリティ処理もカードリーダ内に格納されたファームウェアに基づいて実行される。暗号化処理は、ファイルや通信データに対しても広く行われている。セキュリティ処理の別の例としては、電子署名、電子透かしの生成などもある。
【0003】
一般にセキュリティ処理におけるセキュリティ強度にはいくつかのレベルが想定されており、一般に、セキュリティ強度が高いほど、処理に要する演算負荷が重くなる。処理内容などに応じてセキュリティ強度を変更することもある。例えば特許文献1には、装置が省電力モードであるときや他の処理によって負荷が高まっているときは、その装置において、相対的にセキュリティ強度が低い暗号化処理を行うことを開示している。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2014-150410号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
処理負荷の高低に応じてセキュリティ強度を変更することは、セキュリティの向上に寄与するとは言えない。ファームウェアに基づいて動作する情報処理機器の場合、情報処理機器の出荷後により強固なセキュリティ処理を実行可能なファームウェアが提供されることがある。情報処理機器の製造者ではない情報処理機器を利用する側での管理者には、任意のタイミングで、セキュリティ上の後退を起こすことなく新しいファームウェアを情報処理機器にインストールしたいという要求がある。しかしながら、セキュリティアップデートを含む新しいファームウェアを運用者の要望に応じて柔軟に情報処理機器にインストールさせる仕組みは今まで提案されていない。
【0006】
本発明の目的は、ファームウェアに基づいてセキュリティに関する処理を実行する情報処理装置であって、実行する処理のセキュリティ強度が異なるファームウェア間の切り替えを容易に行うことができる情報処理装置と、そのような情報処理装置におけるセキュリティ強度の切替方法と、そのような切替方法を実現するプログラムとを提供することにある。
【課題を解決するための手段】
【0007】
本発明の情報処理装置は、上位装置に接続される情報処理装置であって、ファームウェアに基づいて動作する実行処理部と、第1レベルのセキュリティ強度の処理を実行する第1ファームウェアを格納する第1記憶領域と、第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアを格納する第2記憶領域と、第2ファームウェアが第2記憶領域に格納されかつ実行処理部が第1ファームウェアを実行可能な状態で、上位装置からの特定の入力により、実行処理部が実行するファームウェアを第1ファームウェアから第2ファームウェアに切り替える制御部と、を備える。
【0008】
本発明の情報処理装置によれば、実行処理部が第1ファームウェアを実行中であっても、上位装置側から暗号キーなどの特定の入力が与えられるとセキュリティレベルがより高い第2ファームウェアの実行に切り替えることができるので、情報処理装置のセキュリティ強度を簡便に向上させることができる。
【0009】
本発明の情報処理装置では、実行処理部が第1ファームウェアを実行している状態において第2ファームウェアが上位装置から第2記憶領域にダウンロードされる。このように構成することによって、情報処理装置の出荷後に提供される新たなファームウェアにも対応できるようになる。また、制御部は、第2ファームウェアに切り替えたのちは、暗号キーなどの特定の入力に基づく機器認証が行われない限り、情報処理装置へのファームウェアのダウンロードを禁止する。これにより、セキュリティ強度に劣るファームウェアなどが新たにダウンロードされることを防ぐことができ、セキュリティ強度をさらに向上することができる。さらに制御部は、第2ファームウェアに切り替えたのちに第1ファームウェアの実行を禁止することが好ましい。第1ファームウェアの実行を禁止することによって、セキュリティ強度の維持が可能になる。
【0010】
本発明のセキュリティ強度の切替方法は、上位装置に接続され、ファームウェアに基づいてセキュリティに関する処理を実行する情報処理装置におけるセキュリティ強度の切替方法であって、情報処理装置に格納されて第1レベルのセキュリティ強度の処理を実行する第1ファームウェアを情報処理装置が実行可能な状態で、上位装置からの特定の入力により、既に情報処理装置に格納されていて第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアに、情報処理装置が実行するファームウェアを切り替える。
【0011】
本発明の切替方法によれば、情報処理装置が第1ファームウェアを実行中であっても、上位装置側から暗号キーなどの特定の入力が与えられるとセキュリティレベルがより高い第2ファームウェアの実行に切り替えることができるので、情報処理装置のセキュリティ強度を簡便に向上させることができる。
【0012】
本発明の切替方法では、第2ファームウェアへの切り替えの前に、情報処理装置が第1ファームウェアを実行している状態において、上位装置から情報処理装置に第2ファームウェアをダウンロードする。このように構成することによって、情報処理装置の出荷後に提供される新たなファームウェアにも対応できるようになる。また、第2ファームウェアに切り替えたのちは、暗号キーなどの特定の入力に基づく機器認証が行われない限り、情報処理装置へのファームウェアのダウンロードを禁止する。これにより、セキュリティ強度に劣るファームウェアなどが新たにダウンロードされることを防ぐことができ、セキュリティ強度をさらに向上することができる。さらに、第2ファームウェアに切り替えたのちに、第1ファームウェアの実行を禁止することが好ましい。第1ファームウェアの実行を禁止することにより、セキュリティ強度の維持が可能になる。
【0013】
本発明のプログラムは、上位装置に接続されてファームウェアに基づいて動作する情報処理装置においてファームウェアの更新を管理するコンピュータに、情報処理装置の第1記憶領域に格納されて第1レベルのセキュリティ強度の処理を実行する第1ファームウェアが実行可能とする処理と、第1ファームウェアが実行可能な状態において、上位装置からの特定の入力により、既に情報処理装置の第2記憶領域に格納されていて第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行する第2ファームウェアを実行可能な状態にして、情報処理装置が基づくファームウェアの切り替えを行う処理と、を実行させる。
【0014】
本発明のプログラムによれば、情報処理装置が第1ファームウェアを実行中であっても、上位装置側から暗号キーなどの特定の入力が与えられるとセキュリティレベルがより高い第2ファームウェアの実行に切り替えることができるので、情報処理装置のセキュリティ強度を簡便に向上させることができる。
【0015】
本発明のプログラムは、第1ファームウェアを実行している状態において、上位装置から第2記憶領域に第2ファームウェアをダウンロードする処理をコンピュータにさらに実行させる。このように構成することにより、情報処理装置の出荷後に提供される新たなファームウェアにも対応できるようになる。また本発明のプログラムは、情報処理装置が基づくファームウェアを第2ファームウェアに切り替えたのちは、特定の入力に基づく機器認証が行われない限り、情報処理装置へのファームウェアのダウンロードを禁止する処理をコンピュータに実行させる。これにより、セキュリティ強度に劣るファームウェアなどが新たにダウンロードされることを防ぐことができ、セキュリティ強度をさらに向上することができる。さらに本発明のプログラムは、第2ファームウェアにファームウェアを切り替えたのちは第1ファームウェアの実行を禁止する処理をコンピュータに実行させるものであることが好ましい。第1ファームウェアの実行を禁止することにより、セキュリティ強度の維持が可能になる。
【図面の簡単な説明】
【0016】
【発明を実施するための形態】
【0017】
次に、本発明の好ましい実施の形態について、図面を参照して説明する。図1は、本発明の実施の一形態の情報処理装置の構成を示している。この情報処理装置10は、例えばカードリーダとして構成されるものであり、上位装置30に接続している。上位装置30は、情報処理装置10とのデータのやり取りを行い、例えば情報処理装置10がカードリーダである場合には、情報処理装置10から上位装置30に対しては情報処理装置10が磁気カードから読み取ったデータが送られる。また上位装置30は、情報処理装置10で用いられるファームウェアを情報処理装置10に提供するサーバとしての機能も有する。カードリーダである場合を想定して、情報処理装置10自体はその情報処理装置10にコマンドなどを入力するためのキーボードやマウスなどを備えておらず、情報処理装置10に対するコマンドなどは上位装置30側から情報処理装置10に与えられるようになっている。
【0018】
情報処理装置10は、ファームウェアに基づいて動作する実行処理部21と、ファームウェアの管理と更新の処理を実行する制御部22と、第1ファームウェアを格納するための記憶領域である第1記憶領域23と、第2ファームウェアを格納するための記憶領域である第2記憶領域24とを備えている。実行処理部21がファームウェアに基づいて実行する処理には、例えば磁気データの暗号化などの、セキュリティに関する処理が含まれている。実行処理部21が使用するファームウェアを格納する領域として第1記憶領域23と第2記憶領域24との2つが設けられているのは、あるファームウェアを実行処理部21が実行可能な状態において新たなファームウェアを上位装置30側から情報処理装置10にダウンロードして格納することを可能にするためである。第1記憶領域23に格納される第1ファームウェアはいわゆる工場出荷時のファームウェアであり、実行処理部21によって第1レベルのセキュリティ強度の処理を実行するために用いられるものである。これに対して第2記憶領域24に格納されることとなる第2ファームウェアは、第1レベルよりも高強度の第2レベルのセキュリティ強度の処理を実行処理部21によって実行するためのものである。第2ファームウェアも工場出荷時に予め第2記憶領域24に格納しておいてもよいが、工場出荷後、情報処理装置10を実際に使用しているときに、上位装置30を介して第2ファームウェアを第2記憶領域24に格納するようにしてもよい。
【0019】
図1に示すように、実行処理部21、制御部22、第1記憶領域23及び第2記憶領域24は、それらの全体として1つのプロセッサ20を構成する。プロセッサ20は例えばマイクロプロセッサであってよく、第1記憶領域23及び第2記憶領域24は、プロセッサ20における不揮発性メモリ内の記憶領域として設けられる。制御部22は、実行処理部21のためのファームウェアとは独立したファームウェアによって実現することができる。あるいは制御部22も第1記憶領域23または第2記憶領域24に格納されたファームウェアによって実現することができる。この場合、制御部22が第1ファームウェアによって動作しているときに制御部22が使用するファームウェアを第1ファームウェアから第2ファームウェアに切り替えることは、プロセッサ20の再起動といわゆるブートストラップ技術を用いて容易に実現することができる。
【0020】
制御部22は、第1記憶領域23に格納された第1ファームウェアを実行処理部21が実行しているときに、任意のタイミングにおいて第2ファームウェアを上位装置30からダウンロードして第2記憶領域24に格納することを可能にする。第2ファームウェアのダウンロードは、情報処理装置10の管理者からの指示で行ってもよいし、上位装置30側からのプッシュ型の配信によるものであってもよい。第2ファームウェアの第2記憶領域24のダウンロードを行っただけでは、実行処理部21は依然として第1ファームウェアに基づいて処理を実行する。そして制御部22は、上位装置30側から情報処理装置10に対する特定の入力、例えば暗号キーの入力があったときに、実行処理部21が実行するファームウェアを第1ファームウェアから第2ファームウェアに切り替える、すなわち実行処理部21が第2ファームウェアを実行可能な状態にしてファームウェアの更新を行う。本実施形態では、ファームウェアの更新を行う制御部22を設けることにより、実行処理部21が第1ファームウェアを実行中であっても、上位装置30側から暗号キーなどの特定の入力が与えられるとセキュリティレベルがより高い第2ファームウェアの実行に切り替えることができるので、情報処理装置10のセキュリティ強度を簡便に向上させることができる。
【0021】
本実施形態では、実行処理部21が実行するファームウェアを制御部22が第1ファームウェアから第2ファームウェアに切り替えた場合、セキュリティ強度の低い第1ファームウェアが再度実行されることがないように、制御部22は、第1ファームウェアの実行を禁止することができる。さらに制御部22は、セキュリティ強度の低いファームウェアのダウンロードなどを防ぐために、第2ファームウェアに切り替えたのちには、第2ファームウェアへの切り替え際に上位装置30側から与えられた特定の入力(例えば暗号キー)と同じ入力が上位装置30から与えられて機器認証が終了しない限り、さらなるファームウェアの情報処理装置10へのダウンロードを禁止することができる。図2は、このような付加的な機能を有する制御部22を備える場合の、本実施形態の情報処理装置10の動作を示している。
【0022】
図2に示す動作において、情報処理装置10が起動すると、ステップ101に示すように、実行処理部21は第1記憶領域23に格納されている第1ファームウェアを実行し、暗号化などのセキュリティに関する処理を実行する。この時点では第2記憶領域24には第2ファームウェアは格納されていなくてよい。そののち、ステップ102において、第1ファームウェアの実行中に、あるいは第1ファームウェアが実行可能な状態で、第2ファームウェアが第2記憶領域24にダウンロードされる。そして制御部22は、ステップ103において上位装置30の側から任意の暗号キーの入力があるか否かを判定し、暗号キーの入力があるまで待ち合わせる。入力された暗号キーは、後工程での機器認証のために制御部22内に格納される。暗号キーが入力されたら、制御部22は、ステップ104において、上位装置30から情報処理装置10へのダウンロードを禁止し、ステップ105において、実行処理部21が実行するファームウェアを第2ファームウェアに切り替え、ステップ106において、第1ファームウェアの実行を禁止する。
【0023】
その後、新たなファームウェアを情報処理装置10に格納してこのファームウェアによって実行処理部21に処理を行わせたいという要求が発生することがある。このとき、上述のステップ106において、新たなファームウェアのダウンロードが禁止されている。そこで本実施形態では、ステップ103において既に入力されている暗号キーを用いた機器認証を行い、機器認証が成功し場合に新たなファームウェアのダウンロードを可能とする。すなわち制御部22は、ステップ107において、ステップ103で入力された暗号キーと同じ暗号キーが入力されたかどうかを判定し、同じ暗号キーが入力されるまで待ち合わせる。そして、ステップ103で入力された暗号キーと同じ暗号キーが入力されたことにより機器認証に成功したら、制御部22は、ステップ108において、ダウンロードを許可し、新たなファームウェアのダウンロードとその新たなファームウェアによるファームウェアの再更新が可能な状態とする。
【0024】
以上説明した本実施形態の情報処理装置10によれば、情報処理装置10の利用者側の管理者がその任意の判断によって暗号キーの書き込みを行うことによって、管理者の所望のタイミングで、情報処理装置10が実行するセキュリティ関連の処理のセキュリティ強度を高めることが可能になる。セキュリティ強度を高めたのちは、暗号キーを用いた機器認証を経ないとファームウェアの切り替えを行うことができなくなるので、処理のセキュリティ強度を維持することが可能になる。
【0025】
以上、本発明に基づく情報処理装置について、カードリーダにおいて磁気データを暗号化する処理のセキュリティ強度を高める場合を例に挙げて説明したが、本発明が適用可能な情報処理装置はこれに限定されるものではない。例えば、情報処理装置における暗号化強度以外の他の機能変更にも本発明を適用することができる。また、暗号キーの入力によって第1ファームウェアから第2ファームウェアに切り替え、その後は、第1ファームウェアを実行禁止とすることは、従来機能を意図して禁止したい場合や、不可逆性を持たせてシステムの機能を変更したい場合にも適用することができる。一例として試験運用用のファームウェアと本番運用用のファームウェアがあるときに、本番運用用のファームウェアに切り替えたら試験運用用のファームウェアを使用できなくする場合にも本発明を適用することができる。さらに本発明によれば、第2記憶領域に予め第2ファームウェアを格納しておけば、システム運用中にファームウェアのダウンロードを行うことなく柔軟にシステム変更を行うことが可能になる。
【符号の説明】
【0026】
10…情報処理装置;20…プロセッサ;21…処理実行部;22…制御部;23…第1記憶領域;24…第2記憶領域。
【図1】
【図2】