WO2013125222A1

WO2013125222A1 - 仮想計算機システム、秘匿情報保護方法及び秘匿情報保護プログラム

Info

Publication number: WO2013125222A1
Application number: PCT/JP2013/000962
Authority: WO
Inventors: 忠雄谷川; 齊藤　雅彦; 克重天野; 寿昭竹内
Original assignee: パナソニック株式会社
Priority date: 2012-02-22
Filing date: 2013-02-20
Publication date: 2013-08-29
Also published as: US20140020086A1; US9460276B2; JPWO2013125222A1; JP5981984B2; CN103502993A

Abstract

　本発明は、秘匿情報の使用を認証が成功した場合に制限することができる仮想計算機システムを提供する。本仮想計算機システムは、第１の仮想計算機と第２の仮想計算機とハイパーバイザとを含み、第１の仮想計算機は、秘匿情報を保持する保持手段と、認証処理を行い、認証結果をハイパーバイザに通知する認証手段とを備え、第２の仮想計算機は、仮想化された記憶装置である仮想デバイスを利用し、ハイパーバイザは、認証手段から認証成功を示す認証結果が得られているときには、第２の仮想計算機による仮想デバイスの実体へのアクセスとして、秘匿情報が記憶されている記憶領域へのアクセスを可能化し、認証手段から認証成功を示す認証結果が得られていないときには、第２の仮想計算機による秘匿情報が記憶されている記憶領域へのアクセスを不能化する。

Description

仮想計算機システム、秘匿情報保護方法及び秘匿情報保護プログラム

　本発明は、秘匿情報を扱う仮想計算機システムに関し、特に、秘匿情報について使用制限を行う技術に関する。

　近年、タブレット端末などの秘匿情報を扱う情報端末を、仮想計算機システム（特許文献１参照）を用いて構成する例が増えている。秘匿情報とは一定の条件下において使用が認められる情報をいい、一例としてユーザの画像、メールなどが該当する。

　仮想計算機システムでは、一の仮想計算機において画像ビューア、メーラなどの秘匿情報を扱うユーザアプリケーションを動作させることで画像表示、メール送受信等の機能を実現する。一の仮想計算機では、ユーザアプリケーションがユーザ認証を行い、そのユーザ認証に成功した場合にのみ秘匿情報を使用することで、秘匿情報の使用をユーザ本人に制限している。

特開昭５０－２３１４６号公報

　ところで、上述の技術では、ユーザ認証を行いその成否に応じて秘匿情報の使用可否を切り替える機構が一の仮想計算機内に設けられている。よって、その秘匿情報の使用可否を切り替える機構に改ざんや不具合などがある場合に、認証が成功していないにもかかわらず、一の仮想計算機内に保持されている秘匿情報が一の仮想計算機において使用されてしまうということが起こり得る。

　本発明は、係る問題に鑑みてなされたものであり、仮想計算機における秘匿情報の使用を、認証が成功した場合に制限することができる仮想計算機システムを提供することを目的とする。

　上記課題を解決するために本発明に係る仮想計算機システムは、コンピュータを含み、プログラムを実行することにより前記コンピュータが、第１の仮想計算機と、第２の仮想計算機と、前記第１の仮想計算機及び前記第２の仮想計算機を実行制御するハイパーバイザとして機能する仮想計算機システムであって、前記第１の仮想計算機は、秘匿情報を保持する保持手段と、認証処理を行い、認証結果を前記ハイパーバイザに通知する認証手段とを備え、前記第２の仮想計算機は、仮想化された記憶装置である仮想デバイスを利用し、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化する。

　この構成により、本発明に係る仮想計算機システムでは、第２の仮想計算機は、認証の機構を有しておらず、認証の成否を偽って秘匿情報へアクセス可能とするような不正を行うことはできない。そして、第２の仮想計算機は、認証について何ら認識せずに、単に仮想デバイスを利用するのみであり、秘匿情報の使用可否については、第１の仮想計算機の認証手段による認証の成否に従うことになる。よって、本発明に係る仮想計算機システムは、第２の仮想計算機による秘匿情報の使用を認証が成功した場合に制限することができる。

本発明の実施の形態１に係る仮想計算機システムの主要なハードウェア構成を示すブロック図本発明の実施の形態１に係る仮想計算機システムの機能構成を模式的に示す図本発明の実施の形態１に係るマッピングについて模式的に示す図本発明の実施の形態１に係る認証サービス処理の一例を示すフローチャート本発明の実施の形態１に係るマッピング処理の一例を示すフローチャート本発明の実施の形態１に係る仮想デバイスの読み出し処理の一例を示すフローチャート本発明の実施の形態１に係る仮想デバイスへのデータの書き込み処理の一例を示すフローチャート本発明の実施の形態１に係る画面表示の一例を示す図本発明の実施の形態２に係る仮想計算機システムの機能構成を模式的に示す図本発明の実施の形態２に係るマッピングについて模式的に示す図本発明の実施の形態２に係る認証サービス処理の一例を示すフローチャート本発明の実施の形態２に係るマッピング処理の一例を示すフローチャート本発明の実施の形態２に係る仮想メールフォルダの読み出し処理の一例を示すフローチャート本発明の実施の形態２に係る仮想メールフォルダへのデータの書き込み処理の一例を示すフローチャート本発明の実施の形態２に係る画面表示の一例を示す図本発明の変形例に係る仮想計算機システムの機能構成を模式的に示す図本発明の変形例に係る仮想計算機システムの機能構成を模式的に示す図本発明の変形例に係る仮想計算機システムの機能構成を模式的に示す図

＜１．実施の形態１＞
　以下、本発明の一実施の形態に係る仮想計算機システム１００について説明する。
＜１．１．概要＞
　仮想計算機システム１００は、一例として、ユーザ情報などの秘匿情報を取り扱う情報端末である。本実施の形態では、秘匿情報の一例として特権情報を用いる。特権情報は、第１の仮想計算機では使用可能であり、第２の仮想計算機では原則使用できないが、一定の条件として、認証コードによるユーザ認証に成功したという特権がある場合にのみ使用が認められる情報である。

　仮想計算機システム１００は、セキュアＯＳ（オペレーティングシステム）等が動作する第１の仮想計算機と、一般的なＯＳ等が動作する第２の仮想計算機と、第１の仮想計算機及び第２の仮想計算機の実行制御を行うハイパーバイザとを含む。特権情報の使用を要求するアプリケーションプログラムは第２の仮想計算機で動作するが、特権情報は、第１の仮想計算機により保持されている。そして、仮想計算機システム１００では、特権情報の使用可否は、実際に特権情報を使用する第２の仮想計算機により制御されるのではなく、第１の仮想計算機で行われる認証の結果に基づきハイパーバイザによって制御される。

　これにより、特権情報を使用する第２の仮想計算機が特権情報の使用可否を制御するための認証機構を備えている場合に生じ得る問題、すなわち認証機構が改ざん等され、認証が成功していないにもかかわらず第２の仮想計算機において秘匿情報が使用され得るという問題が生じるのを防いでいる。
＜１．２．構成＞
＜１．２．１．ハードウェア構成＞
　図１は、本発明の一実施の形態に係る仮想計算機システム１００の主要なハードウェア構成を示すブロック図である。

　図１に示すように、仮想計算機システム１００は、ハードウェアとしてはコンピュータ装置であり、集積回路１０１、入力装置１０２、表示装置１０３及び記憶装置１０４を含んで構成される。そして、集積回路１０１は、プロセッサ１２０、キャッシュ記憶装置１２１、メモリ１２２、外部Ｉ／Ｆ（インターフェース）１２３及びバス１２４を含んで構成される。

　メモリ１２２は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）で構成され、バス１２４に接続され、プロセッサ１２０の動作を規定するプログラム、プロセッサ１２０が利用するデータなどを記憶する。

　キャッシュ記憶装置１２１は、メモリ１２２よりも高速に動作するメモリで構成されるキャッシュメモリであり、プロセッサ１２０とバス１２４とに接続される。キャッシュ記憶装置１２１は、メモリ１２２に記憶されるデータのうち使用頻度の高いデータを一時的に蓄積するキャッシュ機能を有する。

　バス１２４は、プロセッサ１２０とキャッシュ記憶装置１２１とメモリ１２２と外部Ｉ／Ｆ１２３とに接続され、接続される回路間の信号を伝達する機能を有する。

　外部Ｉ／Ｆ１２３は、バス１２４と入力装置１０２と表示装置１０３と記憶装置１０４とに接続される。外部Ｉ／Ｆ１２３は、接続される回路間の信号のやり取りを仲介する機能を有する。

　入力装置１０２は、キーボード、マウス等から構成され、外部Ｉ／Ｆ１２３に接続されている。入力装置１０２は、プログラムを実行するプロセッサ１２０によって制御され、仮想計算機システム１００を利用するユーザがキーボード、マウス等を操作することにより入力される入力情報を受け付ける機能を有する。

　表示装置１０３は、ディスプレイ等から構成され、外部Ｉ／Ｆ１２３に接続されている。表示装置１０３は、プログラムを実行するプロセッサ１２０によって制御され、プロセッサ１２０から送られる信号に基づいて、画像、文字列等を表示する機能を有する。

　記憶装置１０４は、フラッシュメモリなどの不揮発性の記憶媒体で構成され、外部Ｉ／Ｆ１２３に接続されている。記憶装置１０４は、プロセッサ１２０によって制御され、データを記憶する機能を有する。

　プロセッサ１２０は、キャッシュ記憶装置１２１とバス１２４とに接続される。プロセッサ１２０は、メモリ１２２に記憶されるプログラムを、キャッシュ記憶装置１２１を介して読み出して実行することで、後述する第１仮想計算機２０１、第２仮想計算機２０２、並びに、第１及び第２仮想計算機の実行制御を行うハイパーバイザ２０３として機能する。また、プロセッサ１２０は、バス１２４を用いて外部Ｉ／Ｆ１２３との間で各種の制御信号を送受信することにより入力装置１０２、表示装置１０３及び記憶装置１０４を制御する。
＜１．２．２．機能構成＞
　次に、図１を用いて説明したハードウェア構成を備える仮想計算機システム１００の機能面から見た構成について、図面を参照しながら説明する。

　図２は、仮想計算機システム１００の機能構成を模式的に示す図である。

　仮想計算機システム１００は、図２に示すように、第１仮想計算機２０１、第２仮想計算機２０２、ハイパーバイザ２０３、入力部２０４、記憶部２０５、及び表示部２０６を含んで構成される。
＜入力部２０４、記憶部２０５及び表示部２０６＞
　入力部２０４は、入力装置１０２で構成され、ユーザが入力装置１０２を操作して入力する入力情報を、第１仮想計算機２０１及び第２仮想計算機２０２のいずれかに適切に振り分けて通知する機能を有する。

　記憶部２０５は、記憶装置１０４で構成され、データを記憶する機能を有する。本実施の形態では、記憶部２０５は、認証情報ＤＢ２３１、特権情報２３２、及び通常情報２３３を記憶する。ここで、特権情報２３２は、認証コードによるユーザ認証に成功した場合に使用を認める特権情報であり、一例として１０枚の画像を含む画像データである。また、通常情報２３３は、使用に特段の条件が課されていない情報であり、一例として５枚の画像を含む画像データである。

　表示部２０６は、表示装置１０３で構成され、第１仮想計算機２０１及び第２仮想計算機２０２から表示要求される画像、文字列等を表示する機能を有する。

　なお、入力部２０４、記憶部２０５及び表示部２０６と、第１仮想計算機２０１及び第２仮想計算機２０２との間のデータの受け渡しは、ハイパーバイザ２０３が介在して行われる。以下では、特に説明を要する場合を除きハイパーバイザ２０３が介在している旨の記載は省略する。
＜第１仮想計算機２０１＞
　第１仮想計算機２０１は、第１ＯＳ２１１と、第１ＯＳ２１１により実行制御されるタスク群とによる情報処理を、ハイパーバイザ２０３により割り当てられるハードウェア資源を用いて具体的に実現する仮想的な計算機である。
（１）第１ＯＳ２１１
　第１ＯＳ２１１は、セキュアＯＳであり、外部からの侵入の検出と防御、ファイルの保護といったセキュリティ機能が一般的なＯＳに比べて強化されている。第１ＯＳ２１１は、認証サービス２１２、特権情報管理サービス２１３、及び通常情報管理サービス２１４などのタスクについて実行制御を行う機能を有する。以下、第１ＯＳ２１１により実行制御されるタスクを総称して「管理タスク」という。

　なお、各管理タスクとハイパーバイザ２０３との間の信号及びデータの受け渡しは、実際には第１ＯＳ２１１が介在して行われる。以下では、特に説明を要する場合を除き第１ＯＳ２１１が介在している旨の記載は省略する。
（２）認証サービス２１２
　認証サービス２１２は、仮想計算機システム１００のユーザについて認証を行う認証機能（図４参照）を有する。認証サービス２１２は、認証に用いる認証情報ＤＢ（データベース）２３１を記憶部２０５から読み出して使用する。ここで、認証情報ＤＢ２３１は、認証コードを記録しているデータベースである。認証コードは、一例としてパスワードとする。

　認証サービス２１２は、認証機能を以下のように実現する。まず、認証サービス２１２は、入力部２０４からユーザにより入力される認証コードが通知されるのを待つ。認証コードが通知されると、認証サービス２１２は、認証コードが認証情報ＤＢ２３１に記録されているか否か検証し、記録されている場合には認証成功と判断し、記録されていない場合には認証失敗と判断する。

　認証サービス２１２は、認証成功と判断した場合には、認証成功を示す信号を情報選択信号としてハイパーバイザ２０３に送信する。また、認証サービス２１２は、認証失敗と判断した場合には、認証失敗を示す信号を情報選択信号としてハイパーバイザ２０３に送信する。

　また、認証サービス２１２は、入力部２０４からの、ユーザにより入力される認証解除指示を受け付ける。認証サービス２１２は、認証解除指示を受け取った場合には、認証失敗を示す信号を情報選択信号としてハイパーバイザ２０３に送信する。

　なお、記憶部２０５からの認証情報ＤＢ２３１の読み出し、記憶部２０５への認証情報ＤＢ２３１の書き込みは、認証サービス２１２のみが行えるよう第１ＯＳ２１１及びハイパーバイザ２０３により制御されるものとする。
（３）特権情報管理サービス２１３、通常情報管理サービス２１４
　特権情報管理サービス２１３は、特権情報２３２の管理を行う機能を有する。特権情報２３２の管理として、特権情報管理サービス２１３は、記憶部２０５から特権情報２３２を読み出して保持する。そして、特権情報管理サービス２１３は、特権情報２３２を保持している記憶領域の論理アドレス（第１ＯＳ２１１により管理されている論理アドレス空間におけるアドレスである。以下、「特権情報論理アドレス」という。）をハイパーバイザ２０３に通知する。なお、以下、特権情報２３２を記憶している記憶領域の物理アドレスを「特権情報物理アドレス」という。

　また、記憶部２０５からの特権情報２３２の読み出し、記憶部２０５への特権情報２３２の書き込みは、特権情報管理サービス２１３のみが行えるよう第１ＯＳ２１１及びハイパーバイザ２０３により制御されるものとする。

　通常情報管理サービス２１４は、通常情報２３３の管理を行う機能を有する。通常情報２３３の管理として、通常情報管理サービス２１４は、記憶部２０５から通常情報２３３を読み出して保持する。そして、通常情報管理サービス２１４は、通常情報２３３を保持している記憶領域の論理アドレス（第１ＯＳ２１１により管理されている論理アドレス空間におけるアドレスである。以下、「通常情報論理アドレス」という。）をハイパーバイザ２０３に通知する。なお、以下、通常情報２３３を記憶している記憶領域の物理アドレスを「通常情報物理アドレス」という。

　また、記憶部２０５からの通常情報２３３の読み出し、記憶部２０５への通常情報２３３の書き込みは、通常情報管理サービス２１４のみが行えるよう第１ＯＳ２１１及びハイパーバイザ２０３により制御されるものとする。
＜第２仮想計算機２０２＞
　第２仮想計算機２０２は、第２ＯＳ２５１と、第２ＯＳ２５１により実行制御されるタスク群とによる情報処理を、ハイパーバイザ２０３により割り当てられるハードウェア資源を用いて具体的に実現する仮想的な計算機である。第２ＯＳ２５１により実行制御されるタスク群には、タスク１（２５２）、タスク２（２５３）、・・・タスクＮ（Ｎは任意の自然数）（２５４）が含まれる。以下、第２ＯＳ２５１により実行制御されるタスクを総称して「一般タスク」という。
（１）第２ＯＳ２５１
　第２ＯＳ２５１は、セキュアＯＳではない一般的なＯＳであり、タスク１（２５２）～タスクＮ（２５４）の実行制御を行う機能を有する。

　また、第２ＯＳ２５１は、一般タスクが仮想デバイス２６１に対するアクセスを要求するためのインターフェース（以下、「仮想デバイスＩ／Ｆ」という。）を有する。仮想デバイス２６１は、データ列、ファイル（群）、フォルダ（群）などの情報を記憶しているデバイスとして取り扱われる仮想的なデバイスであり、ハイパーバイザ２０３の仮想デバイス提供機能により実現される。
（２）タスク１（２５２）、タスク２（２５３）、・・・タスクＮ（２５４）
　タスク１（２５２）～タスクＮ（２５４）は、処理の実行単位であり、ユーザやアプリケーションベンダにより作成されるプログラムとして実装されている。

　本実施の形態では、一例として、タスク１（２５２）は、画像表示を行うアプリケーションプログラムであるとする。また、タスク１（２５２）は、予め、表示対象とする画像データが仮想デバイス２６１に記録されていることを認識しているが、どのような画像データが記憶されているかまでは認識していないものとする。そして、タスク１（２５２）は、画像を表示する場合に、仮想デバイスＩ／Ｆを用いて仮想デバイス２６１からの画像データの読み出しを要求する。そして、タスク１（２５２）は、仮想デバイス２６１から画像データを読み出せた場合に、読み出した画像データを表示部２０６に表示させる。

　なお、本実施の形態では、仮想デバイス２６１から読み出される画像データについては、画像データの先頭部分など特定の位置（以下、「ヘッダ」という。）に、この画像データに含まれる画像の枚数、各画像の画像データ内における記録位置など、画像データから各画像を抽出するための各種の情報（以下、「ヘッダ情報」という。）が含まれているものとする。タスク１（２５２）は、ヘッダ情報を参照して、画像データから各画像を抽出する。
＜ハイパーバイザ２０３＞
　ハイパーバイザ２０３は、ハードウェアをソフトウェアで仮想化した複数の仮想計算機環境を含み、各仮想計算機環境を用いてＯＳ等を含む仮想計算機を動作させる制御プログラムである。ハイパーバイザ２０３は、主要な機能として、スケジューリング機能、マッピング機能及び仮想デバイス提供機能を有する。ハイパーバイザ２０３は、主に仮想デバイス提供機能を実現する選択サービス２７１を含む。
（１）スケジューリング機能
　スケジューリング機能は、仮想計算機システム１００のハードウェア資源を、第１仮想計算機２０１及び第２仮想計算機２０２に割り当てる機能である。ハイパーバイザ２０３は、各仮想計算機に対し、割り当てるハードウェア資源に応じて予め定めているスケジューリング手法（時分割、固定割り当てなど）に基づき、各ハードウェア資源を割り当てる。
（２）マッピング機能
　マッピング機能は、メモリ１２２の記憶領域である物理メモリ領域を第１仮想計算機２０１及び第２仮想計算機２０２に割り当てて、論理アドレスと物理アドレスとの対応付けを管理する機能である（図５参照）。第１仮想計算機２０１及び第２仮想計算機２０２は、割り当てられた物理メモリ領域を論理メモリ領域として管理する。すなわち、第１仮想計算機２０１及び第２仮想計算機２０２は、割り当てられたメモリ領域における各記憶領域を、論理アドレスを用いて特定する。

　図３は、物理メモリ領域と論理メモリ領域との対応付け（以下、単に「マッピング」という。）について模式的に示す図である。

　図３の物理メモリ領域３０１は、メモリ１２２の記憶領域全体を模式的に示したものである。物理メモリ領域３０１には、物理アドレスとして０番地からＣ番地までが付されているものとする。ここで、本実施の形態では、物理アドレス及び論理アドレスは、一例として３２ビット長で表されるものとする。

　ハイパーバイザ２０３は、物理メモリ領域３０１のうち、物理アドレスＡ番地からＢ番地までの第１物理メモリ領域３０２を第１仮想計算機２０１に割り当てる。第１仮想計算機２０１は、第１物理メモリ領域３０２を第１論理メモリ領域３１１として認識する。第１論理メモリ領域３１１は、第１物理メモリ領域３０２の物理アドレスを論理アドレスに変換したものである。すなわち、第１論理メモリ領域３１１の実体と第１物理メモリ領域３０２の実体は同じである。

　また、ハイパーバイザ２０３は、物理メモリ領域３０１のうち、物理アドレスＢ番地からＣ番地までの第２物理メモリ領域３０３を第２仮想計算機２０２に割り当てる。第２仮想計算機２０２は、第２物理メモリ領域３０３を第２論理メモリ領域３１２として認識する。第２論理メモリ領域３１２は、第２物理メモリ領域３０３の物理アドレスを論理アドレスに変換したものである。すなわち、第２論理メモリ領域３１２の実体と第２物理メモリ領域３０３の実体は同じである。

　論理アドレスと物理アドレスとの変換は、ハイパーバイザ２０３が行う。ハイパーバイザ２０３は、第１仮想計算機２０１が用いる論理アドレスと、物理アドレスとを相互に変換するための表（以下、本実施の形態において「第１変換表」という。）を生成し、保持している。第１変換表には、具体的には、第１論理メモリ領域３１１の論理アドレスと、第１物理メモリ領域３０２の物理アドレスとが対応付けて記載されている。そして、ハイパーバイザ２０３は、第１仮想計算機２０１から論理アドレスを指定したアクセス要求を受け付けると、指定された論理アドレスを、第１変換表を用いて物理アドレスに変換し、この物理アドレスで示される記憶領域にアクセスする。

　また、ハイパーバイザ２０３は、第２仮想計算機２０２が用いる論理アドレスと、物理アドレスとを相互に変換するための表（以下、本実施の形態において「第２変換表」という。）を生成し、保持している。第２変換表には、具体的には、第２論理メモリ領域３１２の論理アドレスと、第２物理メモリ領域３０３の物理アドレスとが対応付けて記載されている。そして、ハイパーバイザ２０３は、第２仮想計算機２０２から論理アドレスを指定したアクセス要求を受け付けると、指定された論理アドレスを、第２変換表を用いて物理アドレスに変換し、この物理アドレスで示される記憶領域にアクセスする。

　ここで、論理アドレスを指定して行われる記憶領域の読み出し、論理アドレスを指定して行われる記憶領域へのデータの書き込みについて、具体例をあげて説明する。

　一例として、第１変換表において、第１論理メモリ領域３１１のＥ番地が、第１物理メモリ領域３０２のＦ番地に対応付けられているものとする。このとき、ハイパーバイザ２０３は、第１仮想計算機２０１から、論理アドレス（例えば、図３の第１論理メモリ領域３１１のＥ番地）を指定したデータの読み出し要求を受け付けると、指定された論理アドレスを第１変換表を用いて物理アドレス（例えば、図３の第１物理メモリ領域３０２のＦ番地）に変換し、この物理アドレスで示される記憶領域（３２１）からデータを読み出して、第１仮想計算機２０１に受け渡す。

　また、第１変換表において、第１論理メモリ領域３１１のＧ番地が、第１物理メモリ領域３０２のＨ番地に対応付けられているものとする。このとき、ハイパーバイザ２０３は、第１仮想計算機２０１から、論理アドレス（例えば、図３の第１論理メモリ領域３１１のＧ番地）を指定したデータの書き込み要求を受け付けると、指定された論理アドレスを第１変換表を用いて物理アドレス（例えば、図３の第１物理メモリ領域３０２のＨ番地）に変換し、この物理アドレスで示される記憶領域（３２２）にデータを記憶する。
（３）仮想デバイス提供機能
　仮想デバイス提供機能は、第１仮想計算機２０１の認証サービス２１２における認証が成功した場合に限り、第２仮想計算機２０２における一般タスクから、仮想デバイス２６１を用いて第１仮想計算機２０１に保持されている特権情報２３２にアクセスできるよう制御する機能である（図６及び図７参照）。仮想計算機システム１００では、仮想デバイスＩ／Ｆとして、仮想デバイス２６１における仮想的な記憶領域を特定する論理アドレス（以下、「仮想デバイスアドレス」という。）が定められているものとする。

　仮想デバイス提供機能は、以下のように実現される。すなわち、ハイパーバイザ２０３の選択サービス２７１は、第２変換表に、仮想デバイスアドレス（一例として図３のＤ番地）と、物理アドレスとを対応付けて記載する。選択サービス２７１は、認証サービス２１２から情報選択信号を受信すると、受信した情報選択信号の内容に応じて仮想デバイスアドレスに対応付ける物理アドレスを変更する。

　本実施の形態では、選択サービス２７１は、受信した情報選択信号が認証成功を示す場合には、第２変換表における仮想デバイスアドレスに特権情報２３２が記憶されている記憶領域の物理アドレスを対応付ける。また、受信した情報選択信号が認証失敗を示す場合には、選択サービス２７１は、第２変換表における仮想デバイスアドレスに、通常情報２３３が記憶されている記憶領域の物理アドレスを対応付ける。なお、選択サービス２７１は、第２変換表が生成されたときに、仮想デバイスアドレスに対応付ける物理アドレスとして、初期値として、仮想計算機システム１００において予め無効なアドレスを示す値として規定されている無効値（例えば、０ｘＦＦＦＦＦＦＦＦなど）を対応付ける。

　ハイパーバイザ２０３は、第２仮想計算機２０２から仮想デバイスアドレスを指定した読み出し要求がなされた場合には、第２変換表を参照し、仮想デバイスアドレスを、対応付けられている物理アドレスに変換する。そして、この物理アドレスで示される記憶領域からデータを読み出して第２仮想計算機２０２に受け渡す。また、ハイパーバイザ２０３は、第２仮想計算機２０２から仮想デバイスアドレスを指定したデータの書き込み要求がなされた場合には、第２変換表を参照し、仮想デバイスアドレスを、対応付けられている物理アドレスに変換する。そして、この物理アドレスで示される記憶領域にデータを書き込む。

　なお、ハイパーバイザ２０３は、第２仮想計算機２０２から仮想デバイスアドレスを指定した読み出し要求、データの書き込み要求がなされた場合に、第２変換表を参照し、仮想デバイスアドレスが無効値に対応付けられていたときには、第２仮想計算機２０２に対し、アクセスエラーを通知するものとする。

　（具体例）
　ここで、仮想デバイス提供機能について、図３を参照しながら具体例を用いて説明する。前提として、物理アドレスがＦ番地である記憶領域３２１に特権情報２３２が記憶されているものとする。すなわち、特権情報物理アドレスはＦ番地である。また、特権情報論理アドレスはＥ番地であるとする。選択サービス２７１は、特権情報管理サービス２１３から特権情報論理アドレスの通知を受け取っているものとする。

　また、物理アドレスがＨ番地である記憶領域３２２に通常情報２３３が記憶されているものとする。すなわち、通常情報物理アドレスはＨ番地である。また、通常情報論理アドレスはＧ番地であるとする。選択サービス２７１は、通常情報管理サービス２１４から通常情報論理アドレスの通知を受け取っているものとする。

　以上の前提の下、まず、選択サービス２７１は、第１仮想計算機２０１における認証サービス２１２から情報選択信号を受信する。選択サービス２７１は、情報選択信号が認証成功を示しているときには、第２変換表において仮想デバイスアドレスに対応付けられている物理アドレスの値を、特権情報物理アドレスの値に変更する。

　選択サービス２７１は、第２仮想計算機２０２のタスク１（２５２）から、仮想デバイスアドレスを指定した仮想デバイス２６１の読み出しの要求を受け取ると、仮想デバイスアドレスを、第２変換表において対応付けられている物理アドレスである特権情報物理アドレスに変換する。そして、仮想デバイス２６１は、特権情報物理アドレスで示される記憶領域（３２１）から特権情報２３２を読み出し、タスク１（２５２）に受け渡す。

　また、タスク１（２５２）から、仮想デバイスアドレスを指定した仮想デバイス２６１へのデータの書き込みの要求を受け取ると、選択サービス２７１は、仮想デバイスアドレスを、第２変換表において対応付けられている物理アドレスである特権情報物理アドレスに変換する。そして、仮想デバイス２６１は、特権情報物理アドレスで示される記憶領域（３２１）にデータを書き込む。

　一方、選択サービス２７１は、受信した情報選択信号が認証失敗を示している場合には、第２変換表において仮想デバイスアドレスに対応付けられている物理アドレスの値を、通常情報物理アドレスの値に変更する。

　選択サービス２７１は、タスク１（２５２）から、仮想デバイスアドレスを指定した仮想デバイス２６１の読み出しの要求を受け取ると、仮想デバイスアドレスを、第２変換表において対応付けられている物理アドレスである通常情報物理アドレスに変換する。そして、仮想デバイス２６１は、通常情報物理アドレスで示される記憶領域（３２２）から通常情報２３３を読み出し、タスク１（２５２）に受け渡す。

　また、選択サービス２７１は、タスク１（２５２）から、仮想デバイスアドレスを指定した仮想デバイス２６１へのデータの書き込みの要求を受け取ると、仮想デバイスアドレスを、第２変換表において対応付けられている物理アドレスである通常情報物理アドレスに変換する。そして、仮想デバイス２６１は、通常情報物理アドレスで示される記憶領域（３２２）にデータを書き込む。

　以上のように、仮想デバイス提供機能において、ハイパーバイザ２０３は、第２仮想計算機２０２から仮想デバイス２６１に対するアクセス要求があった場合に、第１仮想計算機２０１における認証が成功している場合にのみ、特権情報にアクセスさせることができる。
＜１．３．動作＞
＜１．３．１．認証サービス処理の動作＞
　以下、認証サービス２１２による認証サービス処理について説明する。

　図４は、認証サービス処理の手順を示すフローチャートである。まず、認証サービス２１２は、認証コードが入力されるのを待つ（ステップＳ４０１でｎｏ）。認証コードが入力された場合（ステップＳ４０１でｙｅｓ）、認証サービス２１２は、入力された認証コードと同じ認証コードが認証情報ＤＢ２３１に記録されているか否か検証する（ステップＳ４０２）。記録されていると判断した場合（ステップＳ４０２でｙｅｓ）、ユーザが正しい認証コードを入力していることになるので、情報選択信号として認証成功を示す信号をハイパーバイザ２０３の選択サービス２７１に通知する（ステップＳ４０３）。

　そして、認証サービス２１２は、ユーザにより認証解除指示が入力されるのを待つ（ステップＳ４０４でｎｏ）。認証解除指示が入力された場合（ステップＳ４０４でｙｅｓ）、情報選択信号として認証失敗を示す信号をハイパーバイザ２０３の選択サービス２７１に通知し（ステップＳ４０５）、ステップＳ４０１に移行する。また、ステップＳ４０２において、入力された認証コードと同じ認証コードが認証情報ＤＢ２３１に記録されていないと判断した場合（ステップＳ４０２でｎｏ）、ステップＳ４０５に移行する。
＜１．３．２．選択サービス２７１によるマッピング処理＞
　以下、ハイパーバイザ２０３の選択サービス２７１によるマッピング処理について説明する。

　図５は、マッピング処理の手順を示すフローチャートである。まず、選択サービス２７１は、第１変換表及び第２変換表を生成する（ステップＳ５０１）。このとき、選択サービス２７１は、第２変換表における仮想デバイスアドレスに、初期値として通常情報物理アドレスを対応付ける（ステップＳ５０２）。

　そして、選択サービス２７１は、認証サービス２１２から情報選択信号を取得するのを待つ（ステップＳ５０３でｎｏ）。選択サービス２７１は、認証サービス２１２から情報選択信号を取得した場合（ステップＳ５０３でｙｅｓ）、情報選択信号が認証成功を示すか否かを検証する（ステップＳ５０４）。

　情報選択信号が認証成功を示している場合には（ステップＳ５０４でｙｅｓ）、第２変換表における仮想デバイスアドレスに特権情報物理アドレスを対応付ける（ステップＳ５０５）。一方、情報選択信号が認証失敗を示している場合には（ステップＳ５０４でｎｏ）、第２変換表における仮想デバイスアドレスに通常情報物理アドレスを対応付ける（ステップＳ５０６）。
＜１．３．３．仮想デバイス２６１の読み出し処理＞
　以下、仮想デバイス２６１の読み出し処理の一例として、第２仮想計算機２０２の一般タスクであるタスク１（２５２）による読み出し処理について説明する。

　図６は、仮想デバイス２６１の読み出し処理の手順を示すフローチャートである。まず、タスク１（２５２）は、第２ＯＳ２５１のデバイスドライバＩ／Ｆを使用して、仮想デバイス２６１の読み出し要求を行う（ステップＳ６０１）。

　第２ＯＳ２５１は、仮想デバイス２６１に対して、仮想デバイスアドレスを指定して読み出し要求を行う。

　ハイパーバイザ２０３の選択サービス２７１は、仮想デバイス２６１の読み出し要求を受け取ると、第２変換表を参照し、第２変換表において仮想デバイスアドレスが特権情報物理アドレスに対応付けられている場合には（ステップＳ６０２でｙｅｓ）、仮想デバイスアドレスを特権情報物理アドレスに変換する（ステップＳ６０３）。一方、第２変換表を参照し、第２変換表において仮想デバイスアドレスが特権情報物理アドレスに対応付けられていない場合、すなわち通常情報物理アドレスに対応付けられている場合には（ステップＳ６０２でｎｏ）、選択サービス２７１は、仮想デバイスアドレスを通常情報物理アドレスに変換する（ステップＳ６０４）。

　そして、仮想デバイス２６１は、ステップＳ６０３又はステップＳ６０４における変換後の物理アドレスにより示される記憶領域からデータを読み出す（ステップＳ６０５）。なお、ステップＳ６０５で読み出されるデータは、ステップＳ６０３で論理アドレスから物理アドレスへの変換がされている場合には、特権情報となる。また、ステップＳ６０４で論理アドレスから物理アドレスへの変換がされている場合には、ステップＳ６０５で読み出されるデータは、通常情報となる。

　そして、仮想デバイス２６１は、読み出したデータをタスク１（２５２）に通知する。
＜１．３．４．仮想デバイス２６１へのデータの書き込み処理＞
　以下、仮想デバイス２６１へのデータの書き込み処理の一例として、第２仮想計算機２０２の一般タスクであるタスク１（２５２）による、仮想デバイス２６１へのデータの書き込み処理について説明する。

　図７は、仮想デバイス２６１へのデータの書き込み処理の手順を示すフローチャートである。

　まず、タスク１（２５２）は、第２ＯＳ２５１のデバイスドライバＩ／Ｆを使用して、仮想デバイス２６１へのデータの書き込み要求を行う（ステップＳ７０１）。

　第２ＯＳ２５１は、仮想デバイス２６１に対して、仮想デバイスアドレスを指定してデータの書き込み要求を行う。

　ハイパーバイザ２０３の選択サービス２７１は、仮想デバイス２６１へのデータの書き込み要求を受け取ると、第２変換表を参照し、第２変換表において仮想デバイスアドレスが特権情報物理アドレスに対応付けられている場合には（ステップＳ７０２でｙｅｓ）、仮想デバイスアドレスを特権情報物理アドレスに変換する（ステップＳ７０３）。一方、第２変換表を参照し、第２変換表において仮想デバイスアドレスが特権情報物理アドレスに対応付けられていない場合、すなわち通常情報物理アドレスに対応付けられている場合には（ステップＳ７０２でｎｏ）、選択サービス２７１は、仮想デバイスアドレスを通常情報物理アドレスに変換する（ステップＳ７０４）。

　そして、仮想デバイス２６１は、ステップＳ７０３又はステップＳ７０４における変換後の物理アドレスにより示される記憶領域に、書き込み要求されたデータを書き込む（ステップＳ７０５）。
＜１．３．５．画面表示例＞
　図８に、タスク１（２５２）が特権情報２３２及び通常情報２３３を用いて行う処理の一例である、画像表示処理における画像表示例を示す。画面８００は、認証サービス２１２における認証が失敗している場合の、表示部２０６におけるディスプレイの表示画面を表している。また、画面８０２は、認証サービス２１２における認証が成功している場合の、表示部２０６におけるディスプレイの表示画面を表している。

　ここで、前提として、タスク１（２５２）は、画像ビューアであり、起動すると表示部２０６にサムネイル画像を表示するものとする。

　タスク１（２５２）は、認証サービス２１２における認証が失敗している場合には、仮想デバイス２６１から特権情報２３２を読み出すことはできず、通常情報２３３を読み出すことになる。この場合、タスク１（２５２）は、画面８００の画像表示領域８０１として示すように、通常情報２３３に含まれる５枚の画像それぞれのサムネイル画像であるサムネイル１（８１１）～サムネイル５（８１５）を表示する。

　一方、タスク１（２５２）は、認証サービス２１２における認証が成功している場合には、仮想デバイス２６１から特権情報２３２を読み出す。この場合、タスク１（２５２）は、画面８０２の画像表示領域８０３として示すように、特権情報２３２に含まれる１０枚の画像それぞれのサムネイル画像であるサムネイル１１（８２１）～サムネイル２０（８３０）を表示する。なお、本実施の形態では、認証成功時には、ユーザに対して認証が成功していることを示すこととしている。具体的には、解錠を意味するアイコンやピクトなど、認証が成功していることを示す画像８０４を画面８０２に表示する。

　以上のように、仮想計算機システム１００においては、認証の成否に応じて、タスク１（２５２）による表示画像が異なるものとなる。
＜２．実施の形態２＞
＜２．１．概要＞
　実施の形態１では、第２仮想計算機２０２が仮想デバイス２６１にアクセスした場合に、第１仮想計算機２０１における認証結果に応じて、第１仮想計算機２０１が保持している特権情報か通常情報のいずれかにアクセスできるようハイパーバイザ２０３が制御する例について説明した。

　本実施の形態では、仮想デバイスとして仮想的なメールフォルダである仮想メールフォルダを用いる。ここで、メールフォルダは、メールに係る一アカウントについてのメール本文、アドレス帳などメールに関する情報が記憶されるフォルダである。そして、第２仮想計算機（９０２）が仮想メールフォルダにアクセスした場合に、第１仮想計算機（９０１）におけるユーザ認証に成功したユーザが第１のユーザ、第２のユーザのいずれであるかに応じて、第１仮想計算機（９０１）が保持している第１のユーザに係る第１メールフォルダ、第２のユーザに係る第２メールフォルダのいずれにアクセスできるかをハイパーバイザ（９０３）が制御する。以下、本実施の形態について、実施の形態１との相違点を中心に説明する。
＜２．２．構成＞
　本実施の形態に係る仮想計算機システムのハードウェア構成は、実施の形態１において図１を用いて説明したものと同様である。

　以下、本実施の形態に係る仮想計算機システム９００の機能面から見た構成について図面を参照しながら説明する。なお、本実施の形態において、実施の形態１と同様の構成要素には同じ符号を付すものとし、特に必要な場合を除き説明は省略する。

　図９は、仮想計算機システム９００の機能構成を模式的に示す図である。仮想計算機システム９００は、図９に示すように、第１仮想計算機９０１、第２仮想計算機９０２、ハイパーバイザ９０３、入力部２０４、記憶部２０５、及び表示部２０６を含んで構成される。
＜第１仮想計算機９０１＞
　第１仮想計算機９０１は、管理タスクとして、認証サービス９１１及びメール管理サービス９１２が動作している点が、第１の実施の形態に係る第１仮想計算機２０１と異なる。
（１）認証サービス９１１
　認証サービス９１１は、認証コードに加え、ユーザ名を用いて認証処理を行う点が実施の形態１と異なる。認証サービス９１１は、データベースとして、各ユーザのユーザ名と各ユーザ固有の認証コードとを対応付けて記録している認証情報ＤＢ９３１を使用する。認証サービス９１１は、入力部２０４から、ユーザにより入力されるユーザ名と認証コードとを取得する。そして、取得したユーザ名と認証コードとが対応付けて認証情報ＤＢ９３１に記録されているか否か検証し、記録されている場合には情報選択信号として、認証成功を示す認証成否情報と認証に成功したユーザのユーザ名とを表す信号をハイパーバイザ９０３に通知する。また、認証サービス９１１は、取得したユーザ名と認証コードとが対応付けて認証情報ＤＢ９３１に記録されていない場合には、情報選択信号として、認証失敗を示す認証成否情報を表す信号をハイパーバイザ９０３に通知する。
（２）メール管理サービス９１２
　メール管理サービス９１２は、メールの本文及びアドレス帳などメールに係るデータが記録されたメールフォルダの管理を行う機能を有する。メールフォルダの管理として、メール管理サービス９１２は、以下の処理を行う。まず、メール管理サービス９１２は、記憶部２０５から第１メールフォルダ９８１及び第２メールフォルダ９９１を読み出して保持する。

　ここで、第１メールフォルダ９８１は、第１ユーザのメールに関するデータが記録されたフォルダである。第１メールフォルダ９８１には、メール本文を表すデータである第１メール９８２、第１ユーザが用いる１以上のメールアドレスが記載された第１アドレス帳９８３などが含まれる。第１メール９８２は、一例として８通のメールを含むものとする。

　第２メールフォルダ９９１は、第２ユーザのメールに関するデータが記録されたフォルダである。第２メールフォルダ９９１には、メール本文を表すデータである第２メール９９２、第２ユーザが用いる１以上のメールアドレスが記載された第２アドレス帳９９３などが含まれる。第２メール９８２は、一例として８通のメールを含むものとする。

　そして、メール管理サービス９１２は、第１メールフォルダ９８１を保持している記憶領域の論理アドレス（第１ＯＳ２１１により管理されている論理アドレス空間におけるアドレスである。以下、「第１メールフォルダ論理アドレス」という。）、及び、第２メールフォルダ９９１を保持している記憶領域の論理アドレス（第１ＯＳ２１１により管理されている論理アドレス空間におけるアドレスである。以下、「第２メールフォルダ論理アドレス」という。）をハイパーバイザ９０３に通知する。

　なお、以下、第１メールフォルダ９８１を記憶している記憶領域の物理アドレスを「第１メールフォルダ物理アドレス」という。また、第２メールフォルダ９９１を記憶している記憶領域の物理アドレスを「第２メールフォルダ物理アドレス」という。

　なお、記憶部２０５からの第１メールフォルダ９８１及び第２メールフォルダ９９１の読み出し、記憶部２０５への第１メールフォルダ９８１及び第２メールフォルダ９９１の書き込みは、メール管理サービス９１２のみが行えるよう第１ＯＳ２１１及びハイパーバイザ９０３により制御されているものとする。
＜第２仮想計算機９０２＞
　第２仮想計算機９０２は、一般タスクとしてタスク１（２５２）に代えてメーラ９５１が動作する点が実施の形態１の第２仮想計算機２０２と異なる。また、本実施の形態では、仮想デバイスＩ／Ｆとして、仮想メールフォルダにアクセスするための特定の論理アドレスである仮想メールフォルダアドレスが用いられる。

　メーラ９５１は、メールの作成、表示及び送受信などメールに関する処理（以下、「メール処理」という。）を実行するアプリケーションプログラムである。メーラ９５１は、メール処理を行うため、メール本文を含むメールデータ、及び、ユーザが用いるメールアドレスが記載されたアドレス帳などが記録されたメールフォルダにアクセスする。

　ここで、メーラ９５１は、メールフォルダにアクセスするには、仮想メールフォルダにアクセスすればよいことを予め認識しており、メール処理を行う場合に、仮想メールフォルダにアクセスする。そして、メーラ９５１は、仮想メールフォルダを用いて、メールデータ及びアドレス帳などにアクセスし、メールデータに含まれるメール本文、アドレス帳の内容を表示部２０６に表示するなどのメール処理を行う。

　なお、本実施の形態では、メールフォルダは、特定のフォーマットに従ったデータ構造を有するものとする。そして、このデータ構造における特定の位置のデータ（以下、「フォルダ管理情報」という。）を参照することで、メールフォルダに含まれるメールデータ、アドレス帳などのデータサイズ、個数などを知ることができるものとする。また、メールフォルダに含まれるメールデータについても、特定のフォーマットに従ったデータ構造を有しており、そのデータ構造の特定の位置に、メールデータに含まれるメールの個数、各メールのメールデータ内における記録位置など、メールデータから各メールを抽出するための情報（以下、「メール管理情報」という。）が含まれるものとする。
＜ハイパーバイザ９０３＞
　ハイパーバイザ９０３は、実施の形態１のハイパーバイザ２０３とは、仮想デバイス提供機能に代えて仮想メールフォルダ提供機能を有する点が異なる。また、ハイパーバイザ９０３は、仮想メールフォルダ提供機能を実現する選択サービス９７１を含む。
（仮想メールフォルダ提供機能）
　仮想メールフォルダ提供機能は、第１仮想計算機９０１の認証サービス９１１における認証が成功した場合に限り、第２仮想計算機９０２における一般タスクであるメーラ９５１から、仮想メールフォルダを用いて、第１仮想計算機９０１に保持されている第１メールフォルダ９８１又は第２メールフォルダ９９１にアクセスできるよう制御する機能である（図１３及び図１４参照）。

　仮想メールフォルダ提供機能は、以下のように実現される。すなわち、選択サービス９７１は、第２変換表に、仮想メールフォルダアドレスと、物理アドレスとを対応付けて記載する。選択サービス９７１は、認証サービス９１１から情報選択信号を受信すると、受信した情報選択信号の内容に応じ、第２変換表において仮想メールフォルダアドレスに対応付ける物理アドレスを変更する。

　選択サービス９７１は、情報選択信号に含まれる認証成否情報が認証成功を示す場合において、情報選択信号に含まれるユーザ名が第１ユーザのユーザ名を示すときには、第２変換表における仮想メールフォルダアドレスアドレスに第１メールフォルダ物理アドレスを対応付ける。また、情報選択信号に含まれるユーザ名が第２ユーザのユーザ名を示すときには、第２変換表における仮想メールフォルダアドレスアドレスに第２メールフォルダ物理アドレスを対応付ける。

　選択サービス９７１は、情報選択信号に含まれる認証成否情報が認証失敗を示す場合には、第２変換表における仮想メールフォルダアドレスに、仮想計算機システム９００において予め無効なアドレスを示す値として規定されている無効値（例えば、０ｘＦＦＦＦＦＦＦＦなど）を対応付ける。なお、選択サービス９７１は、第２変換表の生成時には、仮想メールフォルダアドレスに、初期値として無効値を対応付けて記載するものとする。

　ハイパーバイザ９０３は、メーラ９５１から仮想メールフォルダアドレスを指定した仮想メールフォルダの読み出し要求があった場合には、指定された仮想メールフォルダアドレスを、第２変換表において対応付けられている物理アドレスに変換する。そして、ハイパーバイザ９０３は、変換後の物理アドレスで示される記憶領域からデータを読み出して、メーラ９５１に受け渡す。

　また、ハイパーバイザ９０３は、メーラ９５１から仮想メールフォルダアドレスを指定した仮想メールフォルダに対するデータの書き込み要求があった場合には、指定された仮想メールフォルダアドレスを、第２変換表において対応付けられている物理アドレスに変換する。そして、ハイパーバイザ９０３は、変換後の物理アドレスで示される記憶領域にデータを書き込む。

　なお、メーラ９５１から仮想メールフォルダアドレスを指定した仮想メールフォルダに対するアクセス要求があった場合に、第２変換表において仮想メールフォルダアドレスに無効値が対応付けられているときには、ハイパーバイザ９０３は、メーラ９５１にアクセスエラーを通知する。
（マッピング）
　ここで、本実施の形態におけるマッピングについて図１０を用いて説明する。本実施の形態では、一例として、物理アドレスがＦ番地である記憶領域３２１に第１メールフォルダ９８１が記憶され、物理アドレスがＨ番地である記憶領域３２２に第２メールフォルダ９９１が記憶されるものとする。よって、第１メールフォルダ物理アドレスはＦ番地であり、第１メールフォルダ論理アドレスはＥ番地である。また、第２メールフォルダ物理アドレスはＨ番地であり、第２メールフォルダ論理アドレスはＧ番地である。

　また、仮想メールフォルダアドレスはＤ番地である。そして、選択サービス９７１が情報選択信号を受け取った場合に、情報選択信号に含まれる認証成否情報が認証成功を示しており、ユーザ名が第１ユーザのユーザ名を示しているときには、選択サービス９７１は、第２変換表において、仮想メールフォルダアドレスを第１メールフォルダ物理アドレスであるＦ番地に対応付ける。また、情報選択信号に含まれる認証成否情報が認証成功を示しており、ユーザ名が第２ユーザのユーザ名を示しているときには、選択サービス９７１は、第２変換表において、仮想メールフォルダアドレスを、第２メールフォルダ物理アドレスであるＨ番地に対応付ける。
＜２．３．動作＞
＜２．３．１．認証サービス処理の動作＞
　以下、認証サービス９１１による認証サービス処理について説明する。

　図１１は、認証サービス処理の手順を示すフローチャートである。まず、認証サービス９１１は、ユーザ名及び認証コードが入力されるのを待つ（ステップＳ１１０１でｎｏ）。ユーザ名及び認証コードが入力された場合（ステップＳ１１０１でｙｅｓ）、入力されたユーザ名と認証コードとが対応付けて認証情報ＤＢ９３１に記録されているか否か検証する（ステップＳ１１０２）。記録されていると判断した場合（ステップＳ１１０２でｙｅｓ）、ユーザが正しいユーザ名及び認証コードを入力していることになるので、認証成功を示す認証成否情報及びユーザ名を表す情報選択信号をハイパーバイザ９０３の選択サービス９７１に通知する（ステップＳ１１０３）。

　そして、認証サービス９１１は、ユーザにより認証解除指示が入力されるのを待つ（ステップＳ１１０４でｎｏ）。認証解除指示が入力された場合（ステップＳ１１０４でｙｅｓ）、認証失敗を示す認証成否情報を表す情報選択信号を選択サービス９７１に通知し（ステップＳ１１０５）、ステップＳ１１０１に移行する。また、ステップＳ１１０２において、入力されたユーザ名と認証コードとの組が認証情報ＤＢ９３１に記録されていないと判断した場合（ステップＳ１１０２でｎｏ）、ステップＳ１１０５に移行する。
＜２．３．２．選択サービス９７１によるマッピング処理＞
　以下、ハイパーバイザ９０３の選択サービス９７１によるマッピング処理について説明する。

　図１２は、マッピング処理の手順を示すフローチャートである。まず、選択サービス９７１は、第１変換表及び第２変換表を生成する（ステップＳ１２０１）。このとき、選択サービス９７１は、第２変換表における仮想メールフォルダアドレスに、初期値として無効値を対応付ける（ステップＳ１２０２）。

　そして、選択サービス９７１は、認証サービス９１１から情報選択信号を取得するのを待つ（ステップＳ１２０３でｎｏ）。選択サービス９７１は、認証サービス９１１から情報選択信号を取得した場合（ステップＳ１２０３でｙｅｓ）、情報選択信号に含まれる認証成否情報が認証成功を示すか否かを検証する（ステップＳ１２０４）。

　認証成否情報が認証成功を示していると判断した場合には（ステップＳ１２０４でｙｅｓ）、情報選択信号に含まれるユーザ名が第１ユーザのユーザ名を示すか否かを検証する（ステップＳ１２０５）。ユーザ名が第１ユーザのユーザ名を示す場合（ステップＳ１２０５でｙｅｓ）、選択サービス９７１は、第２変換表において、仮想メールフォルダアドレスに第１メールフォルダ物理アドレスを対応付ける記載をし（ステップＳ１２０６）、ステップＳ１２０３に移行する。一方、情報選択信号に含まれるユーザ名が第２ユーザのユーザ名を示す場合（ステップＳ１２０５でｎｏ）、選択サービス９７１は、第２変換表において、仮想メールフォルダアドレスに第２メールフォルダ物理アドレスを対応付ける記載をし（ステップＳ１２０７）、ステップＳ１２０３に移行する。

　また、ステップＳ１２０４において、情報選択信号に含まれる認証成否情報が認証失敗を示していると判断した場合には（ステップＳ１２０４でｎｏ）、選択サービス９７１は、第２変換表における仮想メールフォルダアドレスに無効値を対応付ける記載をし（ステップＳ１２０８）、ステップＳ１２０３に移行する。
＜２．３．３．仮想メールフォルダの読み出し処理＞
　以下、仮想メールフォルダの読み出し処理の一例として、第２仮想計算機９０２の一般タスクであるメーラ９５１による読み出し処理について説明する。

　図１３は、仮想メールフォルダの読み出し処理の手順を示すフローチャートである。まず、メーラ９５１は、第２ＯＳ２５１のファイルシステムＩ／Ｆを使用して、仮想メールフォルダの読み出し要求を行う（ステップＳ１３０１）。

　第２ＯＳ２５１は、仮想メールフォルダ９６１に対して、仮想メールフォルダアドレスを指定して読み出し要求を行う。

　ハイパーバイザ９０３の選択サービス９７１は、仮想メールフォルダの読み出し要求を受け取り、第２変換表において仮想メールフォルダアドレスに、無効値でない値が対応付けられているか否か検証する（ステップＳ１３０２）。

　第２変換表において仮想メールフォルダアドレスに無効値でない値が対応付けられていると判断した場合において（ステップＳ１３０２でｙｅｓ）、第２変換表において仮想メールフォルダアドレスに第１メールフォルダ物理アドレスが対応付けられているときには（ステップＳ１３０３でｙｅｓ）、ハイパーバイザ９０３は、指定された仮想メールフォルダアドレスを第１メールフォルダ物理アドレスに変換し（ステップＳ１３０４）、ステップＳ１３０６に移行する。一方、第２変換表において仮想メールフォルダアドレスに第１メールフォルダ物理アドレスが対応付けられていない、すなわち仮想メールフォルダアドレスに第２メールフォルダ物理アドレスが対応付けられているときには（ステップＳ１３０３でｎｏ）、ハイパーバイザ９０３は、指定された仮想メールフォルダアドレスを第２メールフォルダ物理アドレスに変換し（ステップＳ１３０５）、ステップＳ１３０６に移行する。

　ステップＳ１３０６において、仮想メールフォルダ９６１は、ステップＳ１３０４又はステップＳ１３０５における変換後の物理アドレスにより示される記憶領域からデータを読み出す（ステップＳ１３０６）。そして、読み出したデータをメーラ９５１に通知する（ステップＳ１３０７）。なお、ステップＳ１３０６で読み出されるデータは、Ｓ１３０４でアドレスの変換がされている場合には、第１メールフォルダ９８１の内容を表すデータとなる。また、Ｓ１３０５でアドレスの変換がされている場合には、ステップＳ１３０６で読み出されるデータは、第２メールフォルダ９９１の内容を表すデータとなる。

　また、ステップＳ１３０２において、第２変換表で仮想メールフォルダアドレスに無効値が対応付けられていると判断した場合（ステップＳ１３０２でｎｏ）、読み出しエラーをメーラ９５１に通知する（ステップＳ１３１１）。
＜２．３．４．仮想メールフォルダへのデータの書き込み処理＞
　以下、仮想メールフォルダへのデータの書き込み処理の一例として、第２仮想計算機９０２の一般タスクであるメーラ９５１による、仮想メールフォルダへのデータの書き込み処理について説明する。

　図１４は、仮想メールフォルダへのデータの書き込み処理の手順を示すフローチャートである。

　まず、メーラ９５１は、第２ＯＳ２５１のファイルシステムＩ／Ｆを使用して、仮想メールフォルダへのデータの書き込み要求を行う（ステップＳ１４０１）。第２ＯＳ２５１は、仮想メールフォルダ９６１に対して、仮想メールフォルダアドレスを指定してデータの書き込み要求を行う。ハイパーバイザ９０３の選択サービス９７１は、仮想メールフォルダへのデータの書き込み要求を受け取ると、第２変換表において、仮想メールフォルダアドレスに無効値ではない値が対応付けられているか否か検証する（ステップＳ１４０２）。

　第２変換表において仮想メールフォルダアドレスに無効値ではない値が対応付けられていると判断した場合において（ステップＳ１４０２でｙｅｓ）、仮想メールフォルダアドレスに第１メールフォルダ物理アドレスが対応付けられているときには（ステップＳ１４０３でｙｅｓ）、ハイパーバイザ９０３は、指定された仮想メールフォルダアドレスを、第１メールフォルダ物理アドレスに変換し（ステップＳ１４０４）、ステップＳ１４０６に移行する。一方、第２変換表において、仮想メールフォルダアドレスに第１メールフォルダ物理アドレスが対応付けられていないと判断したとき、すなわち仮想メールフォルダアドレスに第２メールフォルダ物理アドレスが対応付けられているときには（ステップＳ１４０３でｎｏ）、ハイパーバイザ９０３は、メーラ９５１により指定された仮想メールフォルダアドレスを第２メールフォルダ物理アドレスに変換し（ステップＳ１４０５）、ステップＳ１４０６に移行する。

　ステップＳ１４０６において、仮想メールフォルダ９６１は、ステップＳ１４０４及びステップＳ１４０５における変換後の物理アドレスにより示される記憶領域に、メーラ９５１により指定されたデータを書き込む（ステップＳ１４０６）。

　なお、ステップＳ１４０６でデータが書き込まれる記憶領域は、ステップＳ１４０４でアドレスの変換がされている場合には、第１メールフォルダ９８１が記憶されている記憶領域である。よって、ステップＳ１４０６において、第１メールフォルダ９８１の内容が変更等されることになる。

　また、Ｓ１４０５でアドレスの変換がされている場合には、ステップＳ１４０６でデータが書き込まれる記憶領域は、第２メールフォルダ９９１が記憶されている記憶領域である。よって、ステップＳ１４０６において、第２メールフォルダ９９１の内容が変更等されることになる。

　また、ステップＳ１４０２で、第２変換表において仮想メールフォルダアドレスに無効値が対応付けられていると判断した場合（ステップＳ１４０２でｎｏ）には、書き込みエラーをメーラ９５１に通知する（ステップＳ１４１１）。

　以上説明したように、仮想計算機システム９００を用いることにより、第１仮想計算機９０１における認証の成否、及び、認証成功したユーザの別に応じて、第２仮想計算機９０２のメーラ９５１が認識することなく、メーラ９５１が用いるメールフォルダを差し替えたり、見えなくしたりすることができる。
＜２．３．５．画面表示例＞
　図１５に、第１メールフォルダ及び第２メールフォルダを用いてメーラ９５１が行う処理の一例である、メール表示処理における画面表示例を示す。画面１５００は、認証サービス９１１における認証が失敗している場合の、表示部２０６におけるディスプレイの表示画面を表している。また、画面１５０２は、認証サービス９１１における認証が成功している場合の、表示部２０６におけるディスプレイの表示画面を表している。

　ここで、前提として、メーラ９５１は、起動すると、第１メールフォルダ９８１又は第２メールフォルダ９９１内の第１メール９８２又は第２メール９９２に含まれるメールのメールヘッダを解析し、件名の一覧を表示するものとする。

　上記の前提のもと、メーラ９５１は、認証サービス９１１における認証が成功しており、かつユーザが第２ユーザである場合には、仮想メールフォルダにアクセスすることにより、第１メールフォルダ９８１の内容を読み出すことはできず、第２メールフォルダ９９１の内容を読み出すことになる。この場合、メーラ９５１は、画面１５００のメール表示領域１５０１として示すように、第２メール９９２に含まれる８個のメールそれぞれの件名１（１５１１）～件名８（１５１８）を表示する。

　また、メーラ９５１は、認証サービス９１１における認証が成功しており、かつユーザが第１ユーザである場合には、仮想メールフォルダ９６１にアクセスすることにより第１メールフォルダ９８１の内容を読み出すことになる。この場合、メーラ９５１は、画面１５０２のメール表示領域１５０３として示すように、第１メール９８２に含まれる８個のメールそれぞれの件名１１（１５２１）～件名１８（１５２８）を表示する。

　なお、本実施の形態では、認証成功時には、ユーザに対して認証が成功していることを示すこととしている。具体的には、解錠を意味するアイコンやピクトなど、認証が成功していることを示す画像１５０４などを画面１５０２に表示する。
＜３．変形例＞
　以上、本発明に係る仮想計算機システムの実施の形態を説明したが、例示した仮想計算機システムを以下のように変形することも可能であり、本発明が上述の実施の形態で示した通りの仮想計算機システムに限られないことは勿論である。

　（１）実施の形態１では、認証サービス２１２における認証が成功した場合には、仮想デバイス２６１に特権情報２３２が記憶されている記憶領域の物理アドレスをマッピングしていた。また、認証が失敗した場合には、仮想デバイス２６１に通常情報２３３が記憶されている記憶領域の物理アドレスをマッピングしていた。

　しかしながら、必ずしも認証の成否に応じて２つの情報のうちの１つに択一的にアクセスできるようマッピングする必要はなく、認証の成否に応じ、秘匿したい情報（例えば、特権情報２３２）へのアクセス可否が制御できれば足りる。

　例えば、選択サービス２７１は、マッピング機能として、情報選択信号が認証成功を示す場合に、第２変換表における仮想デバイスアドレスに特権情報物理アドレスを対応付け、認証失敗を示す場合には仮想デバイスアドレスに上述の無効値を対応付けることとしてもよい。このようにすることで、第２仮想計算機２０２から、認証成功時には特権情報２３２に対するアクセスが可能となり、認証失敗時には特権情報２３２に対するアクセスが不能となる。

　また、通常情報２３３については、第１仮想計算機２０１側で管理をせず、第２仮想計算機２０２側で管理をし、第２仮想計算機２０２において動作するタスク１（２５２）などから常に参照可能とすることとしてもよい。

　（２）実施の形態２では、第１ユーザ及び第２ユーザについての２個のアカウントを用いる例を示したが、３個以上のアカウントを用いてもよい。

　また、１個のアカウント（一例として第１ユーザに関するアカウント）のみを用いてもよい。この場合、選択サービス９７１は、認証サービス９１１における認証が成功した場合には、第２変換表における仮想メールフォルダアドレスに、第１メールフォルダ物理アドレスを対応付ける。また、認証サービス９１１における認証が失敗した場合には、第２変換表における仮想メールフォルダアドレスに無効値を対応付ける。

　その後、メーラ９５１が仮想メールフォルダへのアクセスを要求した場合に、認証が成功しているときには、ハイパーバイザ９０３は、第２変換表を参照して仮想メールフォルダアドレスを第１メールフォルダ物理アドレスに変換する。そして、ハイパーバイザ９０３は、第１メールフォルダ物理アドレスにより示される記憶領域へのアクセスを行う。

　一方、認証が失敗している場合には、ハイパーバイザ９０３は、第２変換表を参照して仮想メールフォルダアドレスに対応付けられている物理アドレスが無効値であると認識する。この場合、ハイパーバイザ９０３は、第１メールフォルダ物理アドレスにより示される記憶領域へのアクセスはできず、メーラ９５１に対し、アクセスエラーを通知することになる。

　（３）実施の形態２では、認証サービス９１１において認証が失敗したときには、第２変換表において仮想メールフォルダアドレスに無効値を対応付けることにより、メーラ９５１から、仮想メールフォルダを介して、第１メールフォルダ９８１及び第２メールフォルダ９９１のいずれにもアクセスできないよう制御をしていた。

　しかしながら、認証サービス９１１において認証が失敗したときに、仮想メールフォルダを介して、どのメールフォルダにもアクセスできないように制御する必要はない。例えば、デフォルトユーザのメールフォルダ（以下、「第３メールフォルダ」という。）を用意しておき、認証サービス９１１において認証が失敗したときに、仮想メールフォルダを介して第３メールフォルダにアクセスできることとしてもよい。この場合、選択サービス９７１は、認証サービス９１１から認証失敗を示す認証成否情報を取得すると、第２変換表において、仮想メールフォルダアドレスに第３メールフォルダが記憶されている論理アドレスを対応付けて記載する。

　（４）実施の形態１及び２では、認証コード（パスワードなど）、又は、ユーザ名及び認証コードを用いた認証をしたが、ユーザを認証できれば足りる。例えば、周知の技術であるＩＤ（ＩＤｅｎｔｉｙ）カード、生体情報（指紋、声紋等）を用いた認証などを行うこととしてもよい。

　（５）実施の形態１と実施の形態２とを組み合わせ、認証サービスにおける認証成功／認証失敗に応じて特権情報２３２及び通常情報２３３のいずれにアクセス可能とするかを切り替えるとともに、認証成功した場合にはユーザ名に応じて、第１メールフォルダ９８１及び第２メールフォルダ９９１のいずれにアクセス可能とするかも切り替えるよう制御してもよい。

　（６）実施の形態１及び２では、認証サービス２１２及び認証サービス９１１が有する機能の全てを第１仮想計算機２０１及び第１仮想計算機９０１側に配しているが、セキュリティの高低に影響を及ぼさない一部機能を、第２仮想計算機２０２及び第２仮想計算機９０２側に配してもよい。

　例えば、認証機能のうち、認証コードとしてのパスワード、ＩＤカード、指紋、声紋などをユーザが入力するための入力用ユーザインターフェースを第２仮想計算機２０２及び第２仮想計算機９０２に配し、ユーザにより入力されたデータを第１仮想計算機２０１及び第１仮想計算機９０１に通知することとしてもよい。この場合に、第２仮想計算機２０２及び第２仮想計算機９０２について、ユーザ、プログラムベンダによるプログラム変更を許すこととすれば、ユーザ、プログラムベンダなどがユーザインターフェースを所望のものに変更できることとなり、結果的にユーザの利便性向上を図ることができる。

　（７）実施の形態１及び２では、第１ＯＳ２１１と第２ＯＳ２５１とは、異なる種類のＯＳであるとしたが、同種のＯＳであってもよい。また、実施の形態１及び２で示した仮想計算機の数、ＯＳの数及びタスクの数などは、一例であり、これらに限るものではない。

　（８）実施の形態１及び２では、仮想デバイスをソフトウェアによってエミュレーションしていたが、これらをＭＭＵ（Ｍｅｍｏｒｙ　Ｍａｎａｇｅｍｅｎｔ　Ｕｎｉｔ）などのハードウェアを用いて実現することとしてもよい。

　（９）実施の形態１及び２では、認証サービス２１２及び認証サービス９１１における認証解除指示はユーザが入力することとしているが、認証が成功している状態を適時に解除できれば足りる。例えば、実施の形態１の場合であれば、タスク１（２５２）の実行が終了するときに認証解除することが考えられる。具体的には、認証サービス２１２が、タスク１（２５２）の実行が終了することを検知して認証解除指示を選択サービス２７１に送信すればよい。また、実施の形態２の場合も同様に、認証サービス９１１が、メーラ９５１の実行が終了することを検知して認証解除指示を選択サービス２７１に送信すればよい。

　（１０）実施の形態１では、認証サービス２１２が選択サービス２７１に対し通知する情報選択信号は、認証成功又は認証失敗の２状態のいずれであるかを通知していたが、３個以上の状態を通知するよう拡張してもよい。

　例えば、情報選択信号は、実施の形態１における認証成功又は認証失敗の２状態に省電力状態を加えた３状態を通知することとしてもよい。この場合、選択サービス２７１は、情報選択信号が認証成功、認証失敗、及び省電力状態のいずれを示しているか判断する。そして、情報選択情報がいずれを示しているかに応じて、第２変換表において、仮想デバイスアドレスに、特権情報２３２が記録されている記憶領域の物理アドレス、通常情報２３３が記録されている記憶領域の物理アドレス、又は省電力状態において使用すべき情報が記録されている記憶領域の物理アドレスのいずれかを対応付けることになる。

　（１１）実施の形態１では、ハイパーバイザ２０３が選択サービス２７１を有し、仮想デバイス提供機能を提供していたが、一部又は全ての機能を第１仮想計算機２０１に実現させてもよい。例えば、一部機能として、第２変換表の作成を第１仮想計算機２０２が行ってもよい。また、ハイパーバイザ２０３と第１仮想計算機２０１とを統合し１つのプログラムで実装してもよい。

　（１２）実施の形態１及び２では、ハイパーバイザ（２０３、９０３）は、第１仮想計算機（２０１、９０１）、第２仮想計算機（２０２、９０２）へメモリを割り当てる場合に、物理メモリ領域における特定サイズの固定的な領域を割り当てていた。しかしながら、ハイパーバイザは、周知の仮想記憶方式によるメモリ割り当てを行うこととしてもよい。

　（１３）実施の形態１及び２では、仮想デバイス提供機能及び仮想メールフォルダ提供機能において、第２仮想計算機（２０２、９０２）から仮想デバイス（仮想メールフォルダ）へのアクセス要求があった場合に、ハイパーバイザ（２０３、９０３）は、特権情報２３２、通常情報２３３、第１メールフォルダ９８１、第２メールフォルダ９９１など特定バイトのデータ列やフォルダを単位として、第２仮想計算機（２０２、９０２）によるアクセスを可能化していたが、どのような単位でアクセスを可能化してもよい。例えば、特定バイト数のデータ列を単位としてもよいし、ファイル、パーティションなどを単位としてもよい。

　例えば、実施の形態１では、仮想デバイス提供機能において、第２仮想計算機２０２（タスク１（２５２））から仮想デバイスへのアクセス要求があった場合、ハイパーバイザ２０３は、第２仮想計算機２０２に、実際には、第１仮想計算機２０１が管理している特権情報２３２にアクセスさせている。すなわち、第２仮想計算機２０２は、特権情報２３２という決まったデータ長のデータ列を単位としてアクセスしている。

　ハイパーバイザ２０３（選択サービス２７１）は、仮想デバイスアドレスを特権情報２３２に対応付ける場合、実施の形態１において図３を用いて説明したように、仮想デバイスアドレスであるＤ番地を、特権情報物理アドレスであるＦ番地に対応付けている。このとき、一例として、ハイパーバイザ２０３は、特権情報２３２が記憶されている記憶領域に付された物理アドレスの全てについて、仮想デバイスアドレスを用いてアクセスできるように第２変換表に記載してよい。

　例えば、論理アドレスである（Ｄ＋１）番地を、物理アドレスである（Ｆ＋１）番地に対応付け、（Ｄ＋１０）番地を（Ｆ＋１０）番地に対応付ける。この場合に、タスク１（２５２）が、仮想デバイスへのアクセスとして（Ｄ＋１０）番地を読み出すよう要求すると、ハイパーバイザ２０３は、第２変換表を用いて（Ｄ＋１０）番地を（Ｆ＋１０）番地に変換する。そして、メモリ１２２における物理アドレス（Ｆ＋１０）番地に記憶されているデータを読み出し、タスク１（２５２）に受け渡す。タスク１（２５２）に仮想デバイスへのアクセスとしてデータの書き込みを行う場合にも、読み出しの場合と同様の、ハイパーバイザ２０３による論理アドレスから物理アドレスへの変換が行われる。

　（１４）上述の実施の形態１では、不正に読み出されると認証コードが暴露されてしまう認証情報ＤＢ２３１、秘匿情報の一例である特権情報２３２の暗号化については何ら言及しなかったが、これらを保護するために暗号化技術を組み合わせてもよい。

　図１６は、本変形例に係る仮想計算機システム１６０１の機能構成を示す図である。仮想計算機システム１６０１は、図２に示した仮想計算機システム１００に対し暗号処理部１６１０を追加したものである。暗号処理部１６１０は、ハードウェア構成としては、暗号及び復号処理用のＬＳＩなどで構成される。第１仮想計算機１６０２では、認証情報ＤＢ２３１及び特権情報２３２が記憶部２０５に記憶されるときには、暗号処理部１６１０により暗号化がされた上で記憶される。また、第１仮想計算機１６０２では、認証情報ＤＢ２３１及び特権情報２３２は、記憶部２０５から読み出されたときに暗号処理部１６１０により復号された上で、認証サービス２１２及び特権情報管理サービス２１３により管理される。

　この構成により、認証情報ＤＢ２３１及び特権情報２３２は、記憶部２０５に記憶されているときには暗号化された状態になっている。よって、記憶装置１０４が仮想計算機システム１００から物理的に取り出され、内容が読み出された場合にも、認証情報ＤＢ２３１及び特権情報２３２の内容が理解される可能性を低減することができる。

　また、暗号化処理は、認証情報ＤＢ２３１、特権情報２３２といった個別の情報ごとに行うのではなく、第１仮想計算機２０１全体について行ってもよい。

　図１７に示す仮想計算機システム１７０１は、図２に示した仮想計算機システム１００に対し暗号処理部１７１０を追加したものである。

　仮想計算機システム１７０１は、第１仮想計算機２０１を構成する第１ＯＳ２１１、認証サービス２１２、特権情報管理サービス２１３、通常情報管理サービス２１４、及び、第１ＯＳ２１１が利用するファイルなどを記憶装置１０４に記憶する際に、暗号処理部１７１０により暗号化処理を行った上で記憶する。また、仮想計算機システム１７０１においては、第１仮想計算機２０１を構成する第１ＯＳ２１１などのプログラムを記憶部２０５から読み出し、メモリ１２２に展開する際に、暗号処理部１７１０により復号した上で展開する。

　なお、暗号処理部１７１０と暗号処理部１６１０とを組み合わせて、第１仮想計算機全体を暗号処理部１７１０で暗号化することにより保護し、さらに、認証情報ＤＢ２３１及び特権情報２３２を暗号処理部１６１０で暗号化することにより保護してもよい。また、認証情報ＤＢ２３１及び特権情報２３２については暗号処理部１６１０を用いて暗号化することにより保護し、認証情報ＤＢ２３１及び特権情報２３２以外について暗号処理部１７１０を用いて暗号化することにより保護してもよい。

　また、暗号処理部１６１０及び暗号処理部１７１０のセキュリティ強度を異なるものとしてもよい。一般的に、セキュリティ強度を高めるほど暗号化に要する処理負荷は高くなる。よって、例えば、認証情報ＤＢ２３１及び特権情報２３２についてより高い秘匿性が要求される場合に、暗号処理部１６１０のセキュリティ強度を、暗号処理部１７１０のセキュリティ強度よりも高くしてもよい。このようにすることで、暗号化処理に係る処理負荷の増加を必要程度に抑えつつ、暗号処理部１７１０のみを用いる場合よりもセキュリティ強度を向上させることができる。

　（１５）実施の形態１では、第２仮想計算機２０２から仮想デバイスへのアクセス要求がされた場合に、ハイパーバイザ２０３が、第２変換表を参照して仮想デバイスアドレスを特権情報２３２が記憶されている物理アドレスに変換していた。そして、ハイパーバイザ２０３は、第２仮想計算機２０２に、その変換後の物理アドレスで示される記憶領域へのアクセスを可能化していた。しかしながら、第２仮想計算機２０２側から、第１仮想計算機２０１側で管理している記憶領域にアクセスできれば足り、必ずしも第２変換表などのような変換表を用いなくてもよい。

　例えば、第２仮想計算機２０２側から、第１仮想計算機２０１側で管理している記憶領域にアクセスさせる機構を、データベースを用いて実現することとしてもよい。データベースの一例としては、周知のキー・バリュー型の関係データベースを用いる。

　図１８は、本変形例に係る仮想計算機システム１８００の機能構成を示す図である。

　仮想計算機システム１８００は、図２に示した仮想計算機システム１００と比べ、特権情報管理サービス２１３及び通常情報管理サービス２１４に代えて、関係データベース（ＤＢ）１８１０を有する点が主に異なる。

　関係ＤＢ１８１０は、第１仮想計算機１８０１が有するものとする。関係ＤＢ１８１０においては、第１キー１８１１を用いて検索することで第１バリュー１８１２が得られ、第２キー１８１３を用いて検索することで第２バリュー１８１４が得られるものとする。

　また、ハイパーバイザ１８０３の選択サービス１８７１は、情報選択信号が認証成功を示す場合に対応するキー（本変形例では、第１キー１８１１とする）と、認証失敗を示す場合に対応するキー（本変形例では、第２キー１８１３とする。）とを予め保持している。

　そして、選択サービス１８７１は、認証サービス２１２から情報選択信号を受け付ける。

　この後に、第２仮想計算機２０２（タスク１（２５２））が仮想デバイスへのアクセス要求（例えば読み出し要求）を行った場合、ハイパーバイザ１８０３の選択サービス１８７１は、情報選択信号が認証成功を示すときには第１キー１８１１を選出し、情報選択信号が認証失敗を示すときには第２キー１８１３を選出する。そして、選択サービス１８７１は、選出したキーを用いて関係ＤＢ１８１０にアクセスし、選出したキーを用いて検索することにより得られたバリューを読み出す。そして、選択サービス１８７１は、得られたバリューを第２仮想計算機２０２に受け渡す。

　また、第２仮想計算機２０２が仮想デバイスへのアクセス要求としてデータの書き込み要求を行った場合、選択サービス１８７１は、情報選択信号が認証成功を示すときには第１キーを選出し、情報選択信号が認証失敗を示すときには第２キーを選出する。そして、選択サービス１８７１は、選出したキーを用いてデータベースにアクセスし、キーに対応するバリューの記憶領域に、指定されたデータを書き込む。

　（１６）上述の実施の形態で示した認証サービス処理、マッピング処理及び仮想デバイス提供処理などの各種処理を仮想計算機システムのプロセッサ、及びそのプロセッサに接続された各種回路に実行させるための機械語或いは高級言語のプログラムコードからなる制御プログラムを、記録媒体に記録すること、又は各種通信路等を介して流通させ頒布することもできる。このような記録媒体には、ＩＣカード、ハードディスク、光ディスク、フレキシブルディスク、ＲＯＭ、フラッシュメモリ等がある。流通、頒布された制御プログラムはプロセッサに読み出され得るメモリ等に格納されることにより利用に供され、そのプロセッサがその制御プログラムを実行することにより各実施形態で示したような各機能が実現されるようになる。なお、プロセッサは、制御プログラムを直接実行する他、コンパイルして実行或いはインタプリタにより実行してもよい。

　（１７）上述の実施の形態では、秘匿情報の一例として特権情報を用いたが、これに限るものではなく、一定の条件下で使用される情報であれば足りる。

　（１８）上述の実施の形態で示した各機能構成要素（第１ＯＳ２１１、認証サービス（２１２、９１１）、特権情報管理サービス２１３、通常情報管理サービス２１４、第２ＯＳ２５１、タスク１（２５２）～タスクＮ（２５４）、ハイパーバイザ（２０３、９０３）、選択サービス（２７１、９７１）入力部２０４、記憶部２０５、表示部２０６、メーラ９５１、メール管理サービス９１２、暗号処理部（１６１０、１７１０）など）は、その機能を実行する回路として実現されてもよいし、１又は複数のプロセッサによりプログラムを実行することで実現されてもよい。

　なお、上述の各機能構成要素は典型的には集積回路であるＬＳＩとして実現される。これらは個別に１チップされてもよいし、一部又は全てを含むように１チップ化されてもよい。ここでは、ＬＳＩとしたが、集積度の違いにより、ＩＣ、システムＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてありえる。

　（１９）上述の各実施の形態及び各変形例を、部分的に組み合せてもよい。
＜４．補足＞
　以下、更に本発明の一実施の形態としての仮想計算機システムの構成及びその変形例と効果について説明する。

　（１）本発明の一実施形態に係る仮想計算機システムは、コンピュータを含み、プログラムを実行することにより前記コンピュータが、第１の仮想計算機と、第２の仮想計算機と、前記第１の仮想計算機及び前記第２の仮想計算機を実行制御するハイパーバイザとして機能する仮想計算機システムであって、前記第１の仮想計算機は、秘匿情報を保持する保持手段と、認証処理を行い、認証結果を前記ハイパーバイザに通知する認証手段とを備え、前記第２の仮想計算機は、仮想化された記憶装置である仮想デバイスを利用し、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化する。

　保持手段は、一例として、上述の実施の形態における特権情報管理サービス２１３、メール管理サービス９１２、又は関係ＤＢ１８１０である。

　（２）また、前記仮想計算機システムは、前記秘匿情報とは異なる情報である通常情報を、前記秘匿情報とは異なる記憶領域に保持しており、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域へのアクセスを可能化することとしてもよい。

　この構成により、第２の仮想計算機において秘匿情報と通常情報のいずれが利用できるかを、第１の仮想計算機が備える認証手段による認証の成否に基づき切り替えることができる。
（３）また、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているか否かにかかわらず、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られているときには、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域に加え、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化することとしてもよい。

　この構成により、第２の仮想計算機における通常情報の利用が常に可能化されると共に、第１の仮想計算機が備える認証手段による認証の成否に基づき、秘匿情報へのアクセス可否を制御することができる。
（４）また、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られたときには、前記仮想デバイスと前記秘匿情報が記憶されている記憶領域との対応付けを行い、前記対応付けを行った後においては、前記第２の仮想計算機による前記仮想デバイスに対応付けた前記記憶領域へのアクセスを可能化することとしてもよい。

　この構成により、ハイパーバイザが一旦対応付けを行った後は、この対応付けに従い、仮想デバイスへのアクセスを、前記秘匿情報が記憶されている記憶領域へのアクセスに置き換えることができる。
（５）また、前記認証手段は、前記認証処理としてユーザ認証を行い、前記ユーザ認証に成功した場合には、前記認証結果に加えて、前記ユーザ認証に成功したユーザを識別するユーザ識別情報を通知し、前記保持手段は、前記秘匿情報として、第１のユーザ識別情報に対応する第１のユーザ情報と、第２のユーザ識別情報に対応する第２のユーザ情報とを保持し、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られ、かつ通知されたユーザ識別情報が第１のユーザ識別情報である場合には、前記仮想デバイスの実体として、前記第１のユーザ情報が記憶されている記憶領域へのアクセスを可能化し、通知されたユーザ識別情報が前記第２のユーザ識別情報である場合には、前記仮想デバイスの実体として、前記第２のユーザ情報が記憶されている記憶領域へのアクセスを可能化することとしてもよい。

　この構成により、第２の仮想計算機は、第１のユーザ及び第２のユーザに関する認証について意識することなく、単に仮想デバイスにアクセスすることで、認証に成功したユーザに対応するユーザ情報を利用することができる。
（６）前記秘匿情報は、ファイルであり、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報であるファイルへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報であるファイルへのアクセスを不能化することとしてもよい。

　この構成により、ファイルが記憶されている記憶領域を、仮想デバイスを用いたアクセスの対象にすることができる。
（７）また、前記秘匿情報は、データベースにおけるデータの一部である部分データであり、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報である部分データへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報である部分データへのアクセスを不能化することとしてもよい。

　この構成により、データベースにおけるデータの一部が記憶されている記憶領域を、仮想デバイスを用いたアクセスの対象にすることができる。
（８）また、前記秘匿情報は、一アカウントに対応するメールに係るデータであり、前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報であるメールに係るデータへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報であるメールに係るデータへのアクセスを不能化することとしてもよい。

　この構成により、メールに係るデータを、仮想デバイスを用いたアクセスの対象にすることができる。
（９）本発明の一実施形態に係る秘匿情報保護方法は、コンピュータを含み、プログラムを実行することにより前記コンピュータが、第１の仮想計算機と、第２の仮想計算機と、前記第１の仮想計算機及び前記第２の仮想計算機を実行制御するハイパーバイザとして機能する仮想計算機システムが実行する秘匿情報保護方法であって、前記第１の仮想計算機における保持手段が、秘匿情報を保持する保持ステップと、前記第１の仮想計算機における認証手段が、認証処理を行い、認証結果を前記ハイパーバイザに通知する認証ステップと、前記第２の仮想計算機が、仮想化された記憶装置である仮想デバイスを利用する利用ステップと、前記ハイパーバイザが、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化する制御ステップとを含む。

　この構成により、本発明に係る秘匿情報保護方法では、第２の仮想計算機は、認証の機構を有しておらず、認証の成否を偽って秘匿情報へアクセス可能とするような不正を行うことはできない。そして、第２の仮想計算機は、認証について何ら認識せずに、単に仮想デバイスを利用するのみであり、秘匿情報の使用可否については、第１の仮想計算機の認証手段による認証の成否に従うことになる。よって、本発明に係る秘匿情報保護方法は、第２の仮想計算機による秘匿情報の使用を認証が成功した場合に制限することができる。
（１０）本発明の一実施形態に係る秘匿情報保護プログラムは、コンピュータを、一の仮想計算機と、前記一の仮想計算機及び仮想デバイスを利用する他の仮想計算機を実行制御するハイパーバイザを含む仮想計算機システムとして機能させるための秘匿情報保護プログラムであって、前記コンピュータを、秘匿情報を保持する保持手段と、認証処理を行い、認証結果を前記ハイパーバイザに通知する認証手段とを備える前記一の仮想計算機と、前記認証手段から認証成功を示す認証結果が得られているときには、前記他の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記他の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化するハイパーバイザとして機能させる。

　この構成により、本発明に係る秘匿情報保護プログラムでは、他の仮想計算機は、認証の機構を有しておらず、認証の成否を偽って秘匿情報へアクセス可能とするような不正を行うことはできない。そして、他の仮想計算機は、認証について何ら認識せずに、単に仮想デバイスを利用するのみであり、秘匿情報の使用可否については、一の仮想計算機の認証手段による認証の成否に従うことになる。よって、本発明に係る秘匿情報保護プログラムは、他の仮想計算機による秘匿情報の使用を認証が成功した場合に制限することができる。

　本発明の一実施形態に係る仮想計算機システムは、秘匿情報の使用を認証が成功した場合に制限することができるものであり、写真、メール、アドレスなどの多くの秘匿情報が記憶される情報端末などに有用である。

　　１００、９００、１６０１、１７０１、１８００　　仮想計算機システム
　　２０１、９０１、１６０２、１８０１　　第１仮想計算機
　　２０２、９０２　　第２仮想計算機
　　２０３、９０３、１８０３　　ハイパーバイザ
　　２０４　　入力部
　　２０５　　記憶部
　　２０６　　表示部
　　２１１　　第１ＯＳ
　　２１２、９１１　　認証サービス
　　２１３　　特権情報管理サービス
　　２１４　　通常情報管理サービス
　　２３１、９３１　　識別情報ＤＢ
　　２３２　　特権情報
　　２３３　　通常情報
　　２５１　　第２ＯＳ
　　２６１　　仮想デバイス
　　２７１、９７１、１８７１　　選択サービス
　　９１２　　メール管理サービス
　　９５１　　メーラ
　　９８１　　第１メールフォルダ
　　９９１　　第２メールフォルダ

Claims

　コンピュータを含み、プログラムを実行することにより前記コンピュータが、第１の仮想計算機と、第２の仮想計算機と、前記第１の仮想計算機及び前記第２の仮想計算機を実行制御するハイパーバイザとして機能する仮想計算機システムであって、
　前記第１の仮想計算機は、
　秘匿情報を保持する保持手段と、
　認証処理を行い、認証結果を前記ハイパーバイザに通知する認証手段とを備え、
　前記第２の仮想計算機は、仮想化された記憶装置である仮想デバイスを利用し、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化する
　ことを特徴とする仮想計算機システム。
　前記仮想計算機システムは、前記秘匿情報とは異なる情報である通常情報を、前記秘匿情報とは異なる記憶領域に保持しており、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域へのアクセスを可能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているか否かにかかわらず、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られているときには、前記仮想デバイスの実体として、前記通常情報が記憶されている記憶領域に加え、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られたときには、前記仮想デバイスと前記秘匿情報が記憶されている記憶領域との対応付けを行い、前記対応付けを行った後においては、前記第２の仮想計算機による前記仮想デバイスに対応付けた前記記憶領域へのアクセスを可能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記認証手段は、前記認証処理としてユーザ認証を行い、前記ユーザ認証に成功した場合には、前記認証結果に加えて、前記ユーザ認証に成功したユーザを識別するユーザ識別情報を通知し、
　前記保持手段は、前記秘匿情報として、第１のユーザ識別情報に対応する第１のユーザ情報と、第２のユーザ識別情報に対応する第２のユーザ情報とを保持し、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られ、かつ通知されたユーザ識別情報が第１のユーザ識別情報である場合には、前記仮想デバイスの実体として、前記第１のユーザ情報が記憶されている記憶領域へのアクセスを可能化し、通知されたユーザ識別情報が前記第２のユーザ識別情報である場合には、前記仮想デバイスの実体として、前記第２のユーザ情報が記憶されている記憶領域へのアクセスを可能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記秘匿情報は、ファイルであり、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報であるファイルへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報であるファイルへのアクセスを不能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記秘匿情報は、データベースにおけるデータの一部である部分データであり、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報である部分データへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報である部分データへのアクセスを不能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　前記秘匿情報は、一アカウントに対応するメールに係るデータであり、
　前記ハイパーバイザは、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報であるメールに係るデータへのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報であるメールに係るデータへのアクセスを不能化する
　ことを特徴とする請求項１記載の仮想計算機システム。
　コンピュータを含み、プログラムを実行することにより前記コンピュータが、第１の仮想計算機と、第２の仮想計算機と、前記第１の仮想計算機及び前記第２の仮想計算機を実行制御するハイパーバイザとして機能する仮想計算機システムが実行する秘匿情報保護方法であって、
　前記第１の仮想計算機における保持手段が、秘匿情報を保持する保持ステップと、
　前記第１の仮想計算機における認証手段が、認証処理を行い、認証結果を前記ハイパーバイザに通知する認証ステップと、
　前記第２の仮想計算機が、仮想化された記憶装置である仮想デバイスを利用する利用ステップと、
　前記ハイパーバイザが、前記認証手段から認証成功を示す認証結果が得られているときには、前記第２の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記第２の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化する制御ステップと
　を含むことを特徴とする秘匿情報保護方法。
　コンピュータを、一の仮想計算機と、前記一の仮想計算機及び仮想デバイスを利用する他の仮想計算機を実行制御するハイパーバイザを含む仮想計算機システムとして機能させるための秘匿情報保護プログラムであって、
　前記コンピュータを、
　秘匿情報を保持する保持手段と、
　認証処理を行い、認証結果を前記ハイパーバイザに通知する認証手段とを備える前記一の仮想計算機と、
　前記認証手段から認証成功を示す認証結果が得られているときには、前記他の仮想計算機による、前記仮想デバイスの実体として、前記秘匿情報が記憶されている記憶領域へのアクセスを可能化し、前記認証手段から認証成功を示す認証結果が得られていないときには、前記他の仮想計算機による前記秘匿情報が記憶されている記憶領域へのアクセスを不能化するハイパーバイザとして機能させる
　ことを特徴とする秘匿情報保護プログラム。