WO2009133695A1 - 電子機器装置の不正取り外し検知方法 - Google Patents

Abstract

　本発明は、整備作業者のヒューマンエラー等によって、機密データが消去されるのを防ぎ、ひいては保守・整備等における作業性を高めることである。具体的には、上位装置２からのコマンドを受信して、そのコマンドに従って処理を実行する電子機器装置（カードリーダ１）の不正取り外し検知方法であって、電子機器装置は、機密データを含む電子情報が格納されるＲＡＭ１１と、電子機器装置の不正な取り外しを検知する検知手段（切替回路１５等）と、検知手段からの信号に基づいて、ＲＡＭ１１への電源供給を遮断する電源制御ＩＣ１３と、ＲＡＭ１１とは別個独立であって、電源制御ＩＣ１３による電源供給の遮断があっても格納データが消去されないＲＡＭ１２と、を有し、ＲＡＭ１１に格納されている機密データがＲＡＭ１２に複製された後、検知手段が有効化される。

Description

電子機器装置の不正取り外し検知方法

　本発明は、機密データを取り扱う電子機器装置の不正取り外しを検知する不正取り外し検知方法に関する。

　カードリーダ等の電子機器装置においては、機密データ（例えば、暗号処理に使用する鍵データ）を、二次電源によりバックアップされている揮発性メモリに保持しておき、必要に応じてその都度、揮発性メモリから作業用メモリに機密データが読み出され、各種処理が実行される。機密データは、各種処理の実行に際して必要なものであることから、通常は消失することがないように保持されている。ただし、電子機器装置の不正取り外しなど何らかの異常を検知した際には、揮発性メモリに対する二次電源及び主電源からの電源供給を遮断して、その機密データが消去されるようになっている。

　ここで、このようなカードリーダ等の電子機器装置は、利用者が操作する利用者操作端末機、例えば、ガソリンスタンドのターミナル等の筐体に取り付けられている。市場に設置された電子機器装置を保守・整備する整備作業者はその電子機器装置を上記利用者操作端末機の筐体から取り外さなければならない場合がある。このため、不必要に機密データが消去されないように、取り外し検知を無効化する機能が搭載されているのが一般的である。保守・整備が完了したら、再び電子機器装置は上述した利用者操作端末機の筐体に取り付けられ、その後、取り外し検知が有効化される。

　例えば、特許文献１に開示された入退室管理システムでは、カードリーダが不正に取り外されたことを検知すると、カードリーダ内に保持されている暗号鍵が消去される。ただし、上述したようにメンテナンス上の便宜を考慮し、カードリーダの上位装置にメンテナンススイッチが設けられている。このメンテナンススイッチが投入されている間は、暗号鍵が消去されない構成となっている。

　なお、ここではメンテナンス時における取り外し検知の無効化・有効化に着目したが、電子機器装置を市場に設置する前の生産工程においても、上述した利用者操作端末機の筐体から取り外された状態で機密データが消去されないようにするために、取り外し検知の無効化・有効化が利用される。

特開２００５－１４８９６９号公報

　しかしながら、上述した特許文献１記載のメンテナンススイッチでは、保守・整備等における作業性に欠ける場合がある。具体的に説明すると、電子機器装置が上述したような利用者操作端末機の筐体に正常に設置されていない状態で、整備作業者がうっかり取り外し検知機能を有効化してしまった場合、即座に取り外しが検知されてしまい、機密データが消去される。機密データの消去は致命的なエラーの一つであって、それ以後、通常の動作は継続できない状態になることが多い。このような状態になると、セキュリティの問題上、その場で即座に復旧させることはできない。その結果、セキュリティが確保された環境まで電子機器装置を戻さねばならず、作業性に欠ける。

　本発明は、このような点に鑑みてなされたものであり、その目的は、整備作業者のヒューマンエラー等によって、機密データが消去されるのを防ぎ、ひいては保守・整備等における作業性を高める電子機器装置の不正取り外し検知方法を提供することにある。

　以上のような課題を解決するために、本発明は、以下のものを提供する。

　（１）　上位装置からのコマンドを受信して、当該コマンドに従って処理を実行する電子機器装置の不正取り外し検知方法であって、前記電子機器装置は、機密データを含む電子情報が格納される第一メモリと、当該電子機器装置の不正な取り外しを検知する検知手段と、前記検知手段からの信号に基づいて、前記第一メモリへの電源供給を遮断する電源制御手段と、前記第一メモリとは別個独立であって、前記電源制御手段による電源供給の遮断があっても格納データが消去されない第二メモリと、を有し、前記第一メモリに格納されている前記機密データが前記第二メモリに複製された後、前記検知手段が有効化されることを特徴とする電子機器装置の不正取り外し検知方法。

　本発明によれば、機密データを含む電子情報が格納される第一メモリと、電子機器装置の不正な取り外しを検知する検知手段と、第一メモリへの電源供給を遮断する電源制御手段と、第一メモリとは別個独立に設けられ、電源制御手段による電源供給の遮断があっても格納データが消去されない第二メモリと、を有する電子機器装置で、第一メモリに格納されている機密データが第二メモリに複製された後に、検知手段が有効化されることとしたので、仮に、電子機器装置が上述したような利用者操作端末機の筐体に正常に設置されていない状態で検知手段が有効化されても、第二メモリに複製された機密データが存在するので、これを用いれば迅速な復旧作業が可能になる。したがって、整備作業者のヒューマンエラー等で機密データが消去されるのを防ぎ、ひいては保守・整備等の作業性を高めることができる。

　ここで、「第一メモリに格納されている機密データが第二メモリに複製（退避）される」タイミングについては、その如何を問わない。例えば、検知手段の検知機能を有効化する直前であってもよいし（上位装置から検知手段の検知機能を有効化するコマンドを受信したタイミング等）、電子機器装置の電源立ち上げ時であってもよい。後者の場合、予め、機密データを第二メモリに複製させておくことになる。

　また、「第一メモリ」及び／又は「第二メモリ」については、その種類の如何を問わない。例えば、ＲＡＭのような揮発性メモリであってもよいし、ＥＥＰＲＯＭやＦＲＯＭのような不揮発性メモリであってもよい。後者の場合、不揮発性メモリ内の機密データを能動的に消去するプログラム等が別途必要になる。

　（２）　前記電子機器装置が前記上位装置から前記検知手段の検知機能を有効化するコマンドを受信した際に、前記第一メモリに格納されている前記機密データが前記第二メモリに複製されることを特徴とする電子機器装置の不正取り外し検知方法。

　本発明によれば、電子機器装置が上位装置から検知手段の検知機能を有効化するコマンドを受信した際に、第一メモリに格納されている機密データが第二メモリに複製されるので、不正取り外し検知機能のセキュリティ性を高めることができる。すなわち、「電子機器装置が上位装置から検知手段の検知機能を有効化するコマンドを受信した際」になって初めて機密データが複製されることで、重要性の高い機密データが（第一メモリと第二メモリに）分散して記憶される時間を短くすることができ、ひいてはセキュリティ性を高めることができる。

　（３）　前記第一メモリ及び／又は前記第二メモリは、揮発性メモリであることを特徴とする電子機器装置の不正取り外し検知方法。

　本発明によれば、第一メモリ及び／又は第二メモリは、揮発性メモリであるので、主電源及び二次電源からの電力供給が遮断されれば、自動的に機密データは消去される。したがって、第一メモリ及び／又は第二メモリとして不揮発性メモリを採用した場合に比べて、機密データがメモリ内に残る時間を短くすることができ、ひいてはセキュリティ性を高めることができる。

　（４）　前記検知手段が有効化された後、前記第一メモリに格納された前記機密データが正常に残っているか否かが判断される判断ステップと、前記判断ステップの結果、前記機密データが正常に残っていなければ、前記検知手段が無効化され、前記機密データが正常に残っていれば、前記第二メモリに格納された前記機密データが消去される処理ステップと、を含むことを特徴とする電子機器装置の不正取り外し検知方法。

　本発明によれば、検知手段が有効化された後、第一メモリに格納された機密データが正常に残っているか否かが判断され、その結果、機密データが正常に残っていなければ、検知手段が無効化され、機密データが正常に残っていれば、第二メモリに格納された機密データが消去されるので、仮に、電子機器装置が利用者操作端末機の筐体に正常に設置されていない状態で検知手段が有効化され、機密データが正常に残っていなくても、検知手段が無効化された状態で機密データを第二メモリから第一メモリに戻すことができ、ひいては保守・整備等の作業性を高めることができる。また、機密データが正常に残っている場合に、第二メモリに格納された機密データが消去されることで、機密データが分散記憶されている時間を短くすることができ、ひいてはセキュリティ性を高めることができる。

　（５）　前記処理ステップが行われた後、前記電子機器装置から前記上位装置に対し、前記処理ステップに関するレスポンスが送信されることを特徴とする電子機器装置の不正取り外し検知方法。

　本発明によれば、上述した、検知手段の無効化又は第二メモリの機密データの消去のいずれかが行われた後、電子機器装置から上位装置に対し、処理ステップに関するレスポンスが送信されるので、上位装置は不正取り外し検知機能の有効化が正常に行えたか否かを認識することができ、その後の対応を迅速にとることができる（例えば、電子機器装置の取り付けが不完全だった旨を、整備作業者が視認し得る画面に表示し、再度の取り付け作業を促す等）。なお、レスポンスが送信されることのみならず、ＬＥＤランプの点滅やブザー等による警告によっても行うことができる。

　本発明に係る電子機器装置の不正取り外し検知方法よれば、第一メモリとは別個独立の第二メモリに機密データが複製された状態で、検知手段を有効化することとしたので、電子機器装置が利用者操作端末機の筐体に正常に設置されていない状態で検知手段が有効化されても、迅速な復旧作業を行うことができ、ひいては保守・整備等の作業性を高めることができる。

本発明の実施の形態に係る不正取り外し検知方法で使用するカードリーダ１の電気的構成を示すブロック図である。 本発明の実施の形態に係る不正取り外し検知方法の流れを示すフローチャートである。

　　１　電子機器装置
　１０　ＣＰＵ
　１１　ＲＡＭ（第一メモリとして）
　１２　ＲＡＭ（第二メモリとして）
　１３　電源制御ＩＣ
　１４　二次電源
　１５　切替回路
　１６　取り外し検知スイッチ

　以下、本発明を実施するための最良の形態について、図面を参照しながら説明する。

［電子機器装置の構成］
　図１は、本発明の実施の形態に係る不正取り外し検知方法で使用するカードリーダ１の電気的構成を示すブロック図である。本実施形態では、カードリーダ１は、利用者が操作する利用者操作端末機、例えば、ガソリンスタンドのターミナルやＡＴＭ等の筐体に取り付けられており、この筐体内には、カードリーダ１と上位装置２とが収納されている。さらに、本実施形態では、カードリーダ１と上位装置２とは、ＲＳ２３２Ｃによって電気的に接続されている（もちろん他の接続態様であってもよい）。なお、上位装置２は利用者操作端末機内に収納せずに、別の制御装置内に配置されていてもよい。また、本実施形態では、「電子機器装置」の一例としてカードリーダ１を採用しているが、本発明はこれに限られず、不正な取り外し操作に対して機密データを保護する必要がある全ての電子機器装置に適用可能である。また、単純な不正取り外しに限らず、保守・整備等（メンテナンス等ともいう）のために有効化／無効化を切り替える機能（不正操作検知機能）を有する装置についても適用可能である。

　カードリーダ１は、ＣＰＵ１０と、ＲＡＭ１１と、ＣＰＵ１０内蔵のＲＡＭ１２と、電源制御ＩＣ１３と、バックアップ電源（電池）（Ｂａｃｋ Ｕｐ Ｂａｔｔｅｒｙ）１４と、切替回路１５と、取り外し検知スイッチ１６と、を有している。なお、各構成要素は、少なくとも図中の実線（又は実線矢印）で示すバス等によって、電気的に接続されている。
なお、本実施形態では、ＲＡＭ１２はＣＰＵ１０内蔵となっているが、これに限定されるものではない。

　ＣＰＵ１０は、カードリーダ１の全体の制御を司る。すなわち、図１では図示しないＲＯＭ等から初期化プログラムや基本プログラムを呼び出し、これらを実行してカードリーダ１の全体の制御を司る。また、上位装置２からのコマンドを受信して、そのコマンドに従って各種処理（アプリケーションプログラム等）を実行する。例えば、Ｈｉ出力によって切替回路１５を有効化したり、Ｌｏ出力によって切替回路１５を無効化したりする。さらに、ＣＰＵ１０は、ＲＡＭ１１やＲＡＭ１２に格納されているデータを読み出したり、これらにデータを書き込んだりする。

　ＲＡＭ１１及びＣＰＵ１０内蔵のＲＡＭ１２は、揮発性メモリの一例であって、ＣＰＵ１０がプログラムを実行するための作業領域を提供する。作業領域には、各種動作に必要な作業データが格納される。なお、両者の違いの詳細については後述する。

　電源制御ＩＣ１３は、主電源（Ｍａｉｎ Ｐｏｗｅｒ Ｓｕｐｐｌｙ）３や二次電源１４からの電力を、ＲＡＭ１１に供給する。通常時は、主電源３からの電力をＲＡＭ１１に供給するが、電源ＯＦＦ時に、二次電源１４からの電力をＲＡＭ１１に供給する。また、電源制御ＩＣ１３は、切替回路１５の出力信号に基づいて、ＲＡＭ１１への電源供給（電力供給）を遮断する「電源制御手段」の一例として機能する。

　切替回路１５及び取り外し検知スイッチ１６は、カードリーダ１の不正な取り外しを検知する「検知手段」の一例として機能する。具体的には、切替回路１５はラッチ付きのリレーを有しており、その切替はＣＰＵ１０によって制御される。切替回路１５（取り外し検知機能）が有効化されている際には、リレーと取り外し検知スイッチ１６とが直列接続されることになるが、切替回路１５が無効化されている際には、リレーと取り外し検知スイッチ１６は直列接続されない。すなわち、前者の場合には、取り外し検知スイッチ１６を介して閉ループを構成し、後者の場合には、取り外し検知スイッチ１６を介さずに閉ループを構成することになる。

　ＣＰＵ１０によって切替回路１５が有効化されている場合において、レバーやボタン等の（機械的な）取り外し検知スイッチ１６が閉状態から開状態になると、導通状態から非導通状態へと切り替わる。その結果、導通状態から非導通状態へと切り替わったことを示す信号が、切替回路１５から電源制御ＩＣ１３に送られる（例えば、非０であった電流が０になったり、回路抵抗値が無限大になったりする）。電源制御ＩＣ１３は、このような信号に基づいて、ＲＡＭ１１への電源供給を遮断する。

　なお、本実施形態では、「検知手段」として切替回路１５と取り外し検知スイッチ１６を考えたが、他の電気要素が加わってもよい。また、取り外し検知スイッチ１６については、機械的なもの以外にも、フォトセンサ等の光学的なものであってもよいし、磁気センサ等の磁気的なものであってもよい。また、図１では図示しないが、ＥＥＰＲＯＭやフラッシュメモリなどがあってもよく、そこには機密データ、実行プログラム、誤り検知符号（ＣＲＣ，チェックＳＵＭ，ＢＣＣ）等の電子情報が格納されていてもよい。

　ここで、上述したＲＡＭ１１とＲＡＭ１２の違いについて詳述すると、ＲＡＭ１１は、機密データを含む電子情報が格納される「第一メモリ」の具体例であり、ＲＡＭ１２は、ＲＡＭ１１とは別個独立であって、電源制御ＩＣ１３による電源供給の遮断があっても格納データが消去されない「第二メモリ」の具体例である。すなわち、ＲＡＭ１１は、切替回路１５が有効化されている場合において、取り外し検知によって格納データが消去されるメモリであり、ＲＡＭ１２は、取り外し検知によっても格納データが消去されないメモリである（切替回路１５とは直接接続されていないメモリである）。

　本実施形態に係る不正取り外し検知方法では、ＲＡＭ１１に格納されている機密データがＲＡＭ１２に複製された後、切替回路１５が有効化されるようになっている。以下、図２を用いて詳述する。

［不正取り外し検知方法の流れ］
　図２は、本発明の実施の形態に係る不正取り外し検知方法の流れを示すフローチャートである。なお、図１を用いて説明したように、前提として、上位装置（例えばＨＯＳＴコンピュータ）２とカードリーダ１は電気的に接続され、カードリーダ１は、上位装置２からのコマンドを受信して、そのコマンドに従い処理を実行する。そして、その処理結果を上位装置２に通知する。

　図２において、まず、上位装置２は、取り外し検知機能有効化コマンドをカードリーダ１に対して送信する（ステップＳ１）。カードリーダ１のＣＰＵ１０は、これを受信したことを契機に、不正取り外し検知によって消去される領域（揮発性メモリであるＲＡＭ１１）に格納されている機密データを、不正取り外しによっても消去されない別領域（揮発性メモリであるＲＡＭ１２）に退避させる（複製する）（ステップＳ２）。

　次に、取り外し検知機能の有効化が行われる（ステップＳ３）。より具体的には、カードリーダ１のＣＰＵ１０は、その出力を変化させる等して、切替回路１５を有効化させる（切替回路１５のリレーを取り外し検知を介して閉ループを構成する状態に切り替える）。

　一定時間（例えば２ｍｓ）待ちとなった後（ステップＳ４）、ＲＡＭ１１のデータチェックが行われる（ステップＳ５）。具体的には、カードリーダ１のＣＰＵ１０は、一定時間経過後に、ＲＡＭ１１内のＣＲＣ（Ｃｙｃｌｉｃ Ｒｅｄｕｎｄａｎｃｙ Ｃｈｅｃｋ）の計算を行う。そして、ＣＰＵ１０は、ＲＡＭ１１に格納された機密データが正常に残っているか否かを判断する（ステップＳ６）。機密データが正常に残っている場合には（カードリーダ１が、上述した利用者が操作する利用者操作端末機の筐体に正常に取り付けられていた場合）（ステップＳ６：ＹＥＳ）、次に規定回数のチェック（ステップＳ５のデータチェック）が終了したか否かを判断する（ステップＳ７）。規定回数チェックし終わると（ステップＳ７：ＹＥＳ）、ＲＡＭ１２に格納された機密データは不要なので、消去される（ステップＳ８）。そして、ＣＰＵ１０は、取り外し検知機能の有効化成功を示すレスポンスを、上位装置２に対して送信する（ステップＳ９）。規定回数のチェックが終わっていなければ（ステップＳ７：ＮＯ）、ステップＳ４～Ｓ７の処理が繰り返される。

　なお、図２のステップＳ７においては、「規定回数」をチェックすることとしたが、例えば「規定時間」をチェックしてもよい。規定時間とは、取り付けが不完全な状態で取り外し検知有効化処理を実行して、機密データが即座に消去されるケースを想定して決定される時間である。取り付けが不完全な状態での取り外し検知有効化であることを特定付けるために、規定時間が設定されてもよい。

　一方で、機密データが正常に残っていなければ（カードリーダ１が利用者操作端末機の筐体に正常に取り付けられていない場合）（ステップＳ６：ＮＯ）、ＣＰＵ１０の指示によって切替回路１５が無効化される（ステップＳ１０）。そして、ＣＰＵ１０は、ＲＡＭ１２に格納されている機密データ（退避データ）を、ＲＡＭ１１にコピーした後（ステップＳ１１）、ＲＡＭ１２に格納された機密データを消去する（ステップＳ１２）。最後に、ＣＰＵ１０は、取り外し検知機能の有効化失敗を示すレスポンスを、上位装置２に対して送信する（ステップＳ１３）。このようにして、本実施形態に係る不正取り外し検知方法は終了する。なお、ステップＳ１３の処理が行われた後、上位装置２は、整備作業者に対してカードリーダ１の取り付け確認・取り外し検知機能の有効化の再試行を促し、再度、図２に示す一連の処理が行われてもよい。

［実施形態の主な効果］
　以上説明したように、本実施形態に係る不正取り外し検知方法では、ＲＡＭ１１に格納されている機密データがＲＡＭ１２に複製されるようにしているので（図２のステップＳ２参照）、整備作業者のミスにより、カードリーダ１を取り付け不完全な状態で取り外し検知機能を有効にしてしまったとしても（図２のステップＳ３）、機密データを消失するような致命的なエラーにはならない（図２のステップＳ１１等参照）。したがって、セキュリティが確保された環境までカードリーダ１を戻さねばならない事態（時間的・経済的に非効率な事態）を防ぐことができ、ひいては保守・整備或いは生産における時間的・経済的な効率向上（作業性の向上）を図ることができる。

　また、本実施形態では、ＲＡＭ１１に格納されている機密データがＲＡＭ１２に複製されるタイミングを、カードリーダ１が上位装置２から切替回路１５の検知機能を有効化するコマンドを受信した際（図２のステップＳ１参照）としているので、機密データが分散して記憶される時間を短くすることができ、ひいてはセキュリティ性を高めることができる。また、機密データを記憶するメモリとして、主電源及び二次電源からの電力供給が遮断されれば自動的に機密データは消去される揮発性メモリ（ＲＡＭ１１，１２）を用いることで、更にセキュリティ性を高めることができる。

　さらに、図２のステップＳ９及びステップＳ１３に示すように、ステップＳ６の結果に関するレスポンスを上位装置２に送信することで、上位装置２はその後の対応を迅速にとることができる。

　本発明に係る電子機器装置の不正取り外し検知方法は、機器の保守・整備等の作業性を高めるものとして有用である。

Claims (5)

1. 　上位装置からのコマンドを受信して、当該コマンドに従って処理を実行する電子機器装置の不正取り外し検知方法であって、前記電子機器装置は、機密データを含む電子情報が格納される第一メモリと、当該電子機器装置の不正な取り外しを検知する検知手段と、前記検知手段からの信号に基づいて、前記第一メモリへの電源供給を遮断する電源制御手段と、前記第一メモリとは別個独立であって、前記電源制御手段による電源供給の遮断があっても格納データが消去されない第二メモリと、を有し、前記第一メモリに格納されている前記機密データが前記第二メモリに複製された後、前記検知手段が有効化されることを特徴とする電子機器装置の不正取り外し検知方法。
2. 　前記電子機器装置が前記上位装置から前記検知手段の検知機能を有効化するコマンドを受信した際に、前記第一メモリに格納されている前記機密データが前記第二メモリに複製されることを特徴とする請求項１記載の電子機器装置の不正取り外し検知方法。
3. 　前記第一メモリ及び／又は前記第二メモリは、揮発性メモリであることを特徴とする請求項１又は２記載の電子機器装置の不正取り外し検知方法。
4. 　前記検知手段が有効化された後、前記第一メモリに格納された前記機密データが正常に残っているか否かが判断される判断ステップと、
   　前記判断ステップの結果、前記機密データが正常に残っていなければ、前記検知手段が無効化され、前記機密データが正常に残っていれば、前記第二メモリに格納された前記機密データが消去される処理ステップと、を含むことを特徴とする請求項１から３のいずれか記載の電子機器装置の不正取り外し検知方法。
5. 　前記処理ステップが行われた後、前記電子機器装置から前記上位装置に対し、前記処理ステップに関するレスポンスが送信されることを特徴とする請求項４記載の電子機器装置の不正取り外し検知方法。

Images