まず、実施例1におけるRAID装置の構成に� �いて説明する。図1は、RAID装置の構成図であ る。RAID装置1は、RAID1レベルのRAIDグループに� ��する複数のディスク(記録媒体)を管理する� �憶装置であって、データを暗号化した状態� �記憶させておくことができる。ここで、RAID� ��、ディスクを管理するための技術であり、� ��ィスク故障によるデータ損失を防ぐととも� ��、処理性能を向上させるための技術である� ��RAIDには、RAID0~RAID6までのレベルが定義され� ��いる。本実施例で採用するRAID1は、データ� �二台のディスクに同時に書き込むレベルで� �り、ミラーリングとも呼ばれている。

 同図に示すように、RAID装置1は、サーバ2� ��の接続を制御するCA(Channel Adapter)20と、ディ スク40に記憶されているデータの暗号化を制� ��するCM(Controller Module)10と、CM10とディスク40� ��の間の接続を制御するDA(Device Adapter)30と、R AID1レベルのRAIDグループに属するディスク40� �、RAIDグループに属さない予備のディスク41� �を有する。CM10は、制御部11と、フラグテー� �ル121等の各種データやアプリケーションを� �納する制御メモリ12と、キャッシュメモリ13� ��、暗号化処理や複写処理の対象となるデー� ��を一時的に記憶するデータバッファ14とを� �する。なお、以下において、RAID1レベルのRAI Dグループに属する二台のディスクを区別し� �説明する必要があるときには、二つのディ� �クをディスク40aおよびディスク40bと記載す� �。

 ここで、図2を参照して、フラグテーブル 121のデータ構成について説明する。図2は、� �ラグテーブルのデータ構成図である。フラ� �テーブル121は、データ項目として、例えば� �ディスクID、暗号化フラグ、グループIDを有� ��る。ディスクIDには、ディスク40を一意に特 定するための識別コードが格納され、暗号化 フラグには、暗号化処理の進捗状況を示す暗 号化変数が格納され、グループIDには、ディ� ��クが属するRAIDグループを一意に特定するた めの識別コードが格納される。暗号化フラグ には、例えば、“0”、“1”、“2”で表され る変数が格納される。“0”は、ディスクに� �憶されているデータが非暗号化の状態であ� �ことを示し、“1”は、ディスクに記憶され� ��いるデータが暗号化中の状態であることを� ��し、“2”は、ディスクに記憶されているデ ータが暗号化済の状態であることを示す。

 なお、暗号化フラグを格納する場所は、� ��ラグテーブル121に限定されない。例えば、� ��御メモリ12に格納されている各ディスクの� �成を管理するディスク構成テーブルに暗号� �フラグを格納することとしてもよいし、各� �ィスク40の記憶領域のうち、ユーザが使用し ない特定の領域に暗号化フラグを格納するこ ととしてもよい。

 図1に示す制御部11は、暗号化部111と、暗� ��化データ複写部112と、フラグ変更部113とを� ��する。

 暗号化部111は、サーバ2から受信した暗号 化要求に含まれるグループIDに基づいて、こ� ��グループIDに対応するRAIDグループを暗号化� ��理の対象として特定し、このRAIDグループに 属する二台のディスク40a、40bのうちの一方の ディスク、例えば、ディスク40bに記憶されて いるデータを暗号化し、この暗号化したデー タをディスク40bに書き込む。以下においては 、二台のディスク40a、40bのうち、ディスク40b に記憶されているデータが暗号化部111によっ て暗号化された場合を例にして説明すること にする。しかし、これは、暗号化部111によっ て暗号化されるディスクをディスク40bに限定 するものではない。暗号化部111によって暗号 化されるディスクは、ディスク40a、40bのいず れであってもよい。暗号化されるディスクを いずれのディスク40a、40bにするのかは、例え ば、暗号化要求にディスクIDを含め、このデ� ��スクIDに基づいて決定させることとしても� �いし、暗号化を行うディスクをグループご� �に予め設定しておくこととしてもよい。ま� �、暗号化処理の対象となるデータの単位は� �ディスク単位であってもよいし、パーティ� �ョン単位であってもよいし、ボリューム単� �であってもよい。

 暗号化データ複写部112は、暗号化部111に� ��って暗号化されたディスク40bのデータを、� ��じRAIDグループに属する他方のディスクであ るディスク40aに複写する。

 フラグ変更部113は、暗号化フラグを以下� ��ように変更する。フラグ変更部113は、暗号� ��要求が受信されてからディスク40bに記憶さ� ��ているデータの暗号化が開始されるまでの� ��に、ディスク40bに対応する暗号化フラグを� ��非暗号化であることを示す“0”から暗号化 中であることを示す“1”に変更する。

 フラグ変更部113は、ディスク40bに記憶さ� ��ているデータの暗号化が完了してからこの� ��ータのディスク40aへの複写が開始されるま� ��の間に、ディスク40bに対応する暗号化フラ� ��を、暗号化中であることを示す“1”から暗 号化済であることを示す“2”に変更すると� �もに、ディスク40aに対応する暗号化フラグ� �、非暗号化であることを示す“0”から暗号� ��中であることを示す“1”に変更する。

 フラグ変更部113は、ディスク40aへの複写� ��完了した後に、ディスク40aに対応する暗号� ��フラグを、暗号化中であることを示す“1” から暗号化済であることを示す“2”に変更� �る。

 次に、図3を参照して、本実施例1におけ� �RAID装置1の処理手順について説明する。図3� �、実施例1のRAID装置における暗号化の処理手 順を示すフローチャートである。この処理手 順では、RAID1レベルのRAIDグループに属するデ ィスク40aおよびディスク40bに記憶されている データを暗号化する際の手順について説明す る。

 最初に、サーバ2から送信された暗号化要 求を受信した場合(ステップS101)に、RAID装置1� ��暗号化部111は、この暗号化要求に含まれる� ��ループIDを用いて、このグループIDに対応す る二台のディスク40a、40bを暗号化処理の対象 として特定する(ステップS102)。

 続いて、RAID装置1のフラグ変更部113は、� �ィスク40bに対応する暗号化フラグを、非暗� �化であることを示す“0”から暗号化中であ� ��ことを示す“1”に変更する(ステップS103)。

 続いて、RAID装置1の暗号化部111は、ディ� �ク40bに記憶されているデータを暗号化して� �ィスク40bに書き込む(ステップS104)。このス� �ップS104における各ディスク40a、40bの状態を� ��4に示す。図4は、ディスク40bに記憶されて� �るデータを暗号化している状態を表す概念� �である。

 続いて、ディスク40bに記憶されているデ� ��タの暗号化が完了すると、RAID装置1のフラ� �変更部113は、ディスク40bに対応する暗号化� �ラグを暗号化済であることを示す“2”に変� ��するとともに、ディスク40aに対応する暗号� ��フラグを、非暗号化であることを示す“0” から暗号化中であることを示す“1”に変更� �る(ステップS105)。

 続いて、RAID装置1の暗号化データ複写部11 2は、上記ステップS104で暗号化されたディス� ��40bの暗号化データを、ディスク40aに複写す� ��(ステップS106)。このステップS106における各 ディスク40a、40bの状態を図5に示す。図5は、� ��ィスク40bの暗号化データをディスク40aに複� ��している状態を表す概念図である。

 続いて、ディスク40aへの複写が完了する� ��、RAID装置1のフラグ変更部113は、ディスク40 aに対応する暗号化フラグを暗号化済である� �とを示す“2”に変更する(ステップS107)。

 このように、暗号化処理の進捗状況に応� ��て各ディスクに対応する暗号化フラグを変� ��させることで、例えば、CM10が故障する等し て暗号化処理が途中で停止した場合であって も、暗号化フラグを参照することで、暗号化 を確実に再開させることができる。

 具体的には、ディスク40aの暗号化フラグ� ��非暗号化であることを示す“0”であり、デ ィスク40bの暗号化フラグが暗号化中であるこ とを示す“1”である場合には、ディスク40a� �データをディスク40bに複写してから、上述� �たステップS104以降を実行する。なお、この� ��合には、ディスク40aのデータをディスク40b� ��複写することなく、ディスク40aに記憶され� ��いるデータを暗号化してディスク40bに書き� ��むこととしてもよい。

 ディスク40aの暗号化フラグが非暗号化で� ��ることを示す“0”または暗号化中であるこ とを示す“1”であり、ディスク40bの暗号化� �ラグが暗号化済であることを示す“2”であ� ��場合には、上述したステップS106以降を実行 する。ディスク40aおよびディスク40bの暗号化 フラグがともに暗号化済であることを示す“ 2”である場合には、暗号化処理を終了させ� �。

 上述してきたように、本実施例1のRAID装� �1では、非暗号化状態のディスクか暗号化済� ��ディスクのいずれか一方が存在する状態で� ��号化処理を実行させ、暗号化処理の進捗状� ��に応じて各ディスクに対応する暗号化フラ� ��を変更させている。これにより、暗号化処� ��の最中に故障等が発生した場合であっても� ��非暗号化状態のディスクか暗号化済のディ� ��クのいずれか一方を用いて暗号化処理を確� ��に再開させることができる。

 実施例2について説明する。実施例2にお� �るRAID装置の構成は、図1に示す実施例1にお� �るRAID装置の構成と同様である。実施例2が実 施例1と異なる点は、暗号化したデータを書� �込むディスクが異なる点である。具体的に� �、実施例1では、例えば、ディスク40bに記憶� ��れたデータを暗号化した場合に、同じディ� ��ク40bに暗号化したデータを書き込むのに対� ��、実施例2では、例えば、ディスク40bに記憶 されたデータを暗号化した場合に、RAIDグル� �プに属さない予備のディスク41に暗号化した データを書き込む点で異なる。以下において は、このような実施例2におけるRAID装置の構� ��および動作を、実施例1との相違点を中心に して説明する。なお、実施例1と同様に、RAID1 レベルのRAIDグループに属する二台のディス� �40を区別して説明する必要があるときには、 二つのディスク40をディスク40aおよびディス� ��40bと記載する。

 暗号化部111は、サーバ2から受信した暗号 化要求に含まれるグループIDに基づいて、こ� ��グループIDに対応するRAIDグループに属する� ��台のディスク40a、40bを暗号化処理の対象と� ��て特定するとともに、予備のディスク41の� �から暗号化処理に用いるディスク41zを1台選� ��し、暗号化処理の対象に付加する。暗号化� ��111は、二台のディスク40a、40bのうち、一方� ��ディスク40bに記憶されているデータを暗号� ��し、この暗号化したデータをディスク41zに� ��き込む。なお、暗号化部111によって暗号化� ��れるディスクは、ディスク40a、40bのいずれ� ��あってもよい。暗号化されるディスクをい� ��れのディスク40a、40bにするのかは、例えば� ��暗号化要求にディスクIDを含め、このディ� �クIDに基づいて決定させることとしてもよい し、暗号化を行うディスクをグループごとに 予め設定しておくこととしてもよい。

 暗号化データ複写部112は、暗号化部111に� ��って暗号化されたディスク41zのデータを、� ��ィスク40aおよびディスク40bに複写する。

 フラグ変更部113は、暗号化フラグを以下� ��ように変更する。フラグ変更部113は、暗号� ��要求が受信されてからディスク40bに記憶さ� ��ているデータの暗号化が開始されるまでの� ��に、ディスク41zに対応する暗号化フラグを� ��非暗号化であることを示す“0”から暗号化 中であることを示す“1”に変更する。

 フラグ変更部113は、ディスク40bに記憶さ� ��ているデータの暗号化が完了してからディ� ��ク41zに記憶されている暗号化データのディ� ��ク40bへの複写が開始されるまでの間に、デ� ��スク41zに対応する暗号化フラグを、暗号化� ��であることを示す“1”から暗号化済である ことを示す“2”に変更するとともに、ディ� �ク40bに対応する暗号化フラグを、非暗号化� �あることを示す“0”から暗号化中であるこ� ��を示す“1”に変更する。

 フラグ変更部113は、ディスク40bへの複写� ��完了してからディスク40aへの複写が開始さ� ��るまでの間に、ディスク40bに対応する暗号� ��フラグを、暗号化中であることを示す“1” から暗号化済であることを示す“2”に変更� �るとともに、ディスク40aに対応する暗号化� �ラグを、非暗号化であることを示す“0”か� ��暗号化中であることを示す“1”に変更する 。

 フラグ変更部113は、ディスク40aへの複写� ��完了した後に、ディスク40aに対応する暗号� ��フラグを、暗号化中であることを示す“1” から暗号化済であることを示す“2”に変更� �る。

 次に、図6を参照して、本実施例2におけ� �RAID装置1の処理手順について説明する。図6� �、実施例2のRAID装置における暗号化の処理手 順を示すフローチャートである。この処理手 順では、RAID1レベルのRAIDグループに属するデ ィスク40aおよびディスク40bに記憶されている データを暗号化する際の手順について説明す る。

 最初に、サーバ2から送信された暗号化要 求を受信した場合(ステップS201)に、RAID装置1� ��暗号化部111は、この暗号化要求に含まれる� ��ループIDを用いて、このグループIDに対応す る二台のディスク40a、40bを暗号化処理の対象 として特定するとともに、予備のディスク41� ��中から暗号化処理に用いるディスク41zを1台 選択し、暗号化処理の対象に含ませる(ステ� �プS202)。

 続いて、RAID装置1のフラグ変更部113は、� �ィスク41zに対応する暗号化フラグを、非暗� �化であることを示す“0”から暗号化中であ� ��ことを示す“1”に変更する(ステップS203)。

 続いて、RAID装置1の暗号化部111は、ディ� �ク40bに記憶されているデータを暗号化して� �ィスク41zに書き込む(ステップS204)。このス� �ップS204における各ディスク40a、40b、40zの状� ��を図7に示す。図7は、ディスク40bに記憶さ� �ているデータを暗号化してディスク41zに書� �込んでいる状態を表す概念図である。

 続いて、ディスク40bに記憶されているデ� ��タの暗号化が完了すると、RAID装置1のフラ� �変更部113は、ディスク41zに対応する暗号化� �ラグを暗号化済であることを示す“2”に変� ��するとともに、ディスク40bに対応する暗号� ��フラグを、非暗号化であることを示す“0” から暗号化中であることを示す“1”に変更� �る(ステップS205)。

 続いて、RAID装置1の暗号化データ複写部11 2は、上記ステップS204で書き込まれたディス� ��41zの暗号化データを、ディスク40bに複写す� ��(ステップS206)。このステップS206における各 ディスク40a、40b、40zの状態を図8に示す。図8� ��、ディスク41zの暗号化データをディスク40b� ��複写している状態を表す概念図である。

 続いて、ディスク40bへの複写が完了する� ��、RAID装置1のフラグ変更部113は、ディスク40 bに対応する暗号化フラグを暗号化済である� �とを示す“2”に変更するとともに、ディス� ��40aに対応する暗号化フラグを、非暗号化で� ��ることを示す“0”から暗号化中であること を示す“1”に変更する(ステップS207)。

 続いて、RAID装置1の暗号化データ複写部11 2は、上記ステップS204で書き込まれたディス� ��41zの暗号化データを、ディスク40aに複写す� ��(ステップS208)。

 続いて、ディスク40aへの複写が完了する� ��、RAID装置1のフラグ変更部113は、ディスク40 aに対応する暗号化フラグを暗号化済である� �とを示す“2”に変更する(ステップS209)。

 このように、暗号化処理の進捗状況に応� ��て各ディスクに対応する暗号化フラグを変� ��させることで、例えば、CM10が故障する等し て暗号化処理が途中で停止した場合であって も、暗号化フラグを参照することで、暗号化 を確実に再開させることができる。

 具体的には、ディスク40aおよびディスク4 0bの暗号化フラグが非暗号化であることを示� ��“0”であり、ディスク41zの暗号化フラグが 暗号化中であることを示す“1”である場合� �は、上述したステップS204以降を実行する。

 ディスク40aの暗号化フラグが非暗号化で� ��ることを示す“0”であり、ディスク40bの暗 号化フラグが暗号化中であることを示す“1� �であり、ディスク41zの暗号化フラグが暗号� �済であることを示す“2”である場合には、� ��述したステップS206以降を実行する。

 ディスク40aの暗号化フラグが非暗号化で� ��ることを示す“0”または暗号化中であるこ とを示す“1”であり、ディスク40bおよびデ� �スク41zの暗号化フラグがともに暗号化済で� �ることを示す“2”である場合には、上述し� ��ステップS208以降を実行する。

 ディスク40a、ディスク40bおよびディスク4 1zの暗号化フラグがともに暗号化済であるこ� ��を示す“2”である場合には、暗号化処理を 終了させる。

 上述してきたように、本実施例2のRAID装� �1では、非暗号化状態のディスクか暗号化済� ��ディスクのいずれか一方が存在する状態で� ��号化処理を実行させ、暗号化処理の進捗状� ��に応じて各ディスクに対応する暗号化フラ� ��を変更させている。これにより、暗号化処� ��の最中に故障等が発生した場合であっても� ��非暗号化状態のディスクか暗号化済のディ� ��クのいずれか一方を用いて暗号化処理を確� ��に再開させることができる。

 また、本実施例2のRAID装置1によれば、予� ��のディスク41を暗号化している最中に故障� �が発生した場合には、RAIDグループに属する� ��ィスク40a、40bが非暗号化状態のままで維持� ��れているため、予備のディスク41を他の予� �のディスクに交換するだけで容易に暗号化� �理を再開させることができる。

 なお、上述した実施例2においては、暗号 化する複数のディスク40が、RAID1レベルのRAID� ��ループに属している場合について説明して� ��るが、他のRAIDレベルのRAIDグループに属し� �いる場合にも適用可能である。例えば、RAID4 ~6レベルのいずれかのRAIDグループに属する複 数のディスク40に適用する場合には、予備の� ��ィスク41を、RAIDグループに属するディスク� ��台数分用意し、RAIDグループに属する各ディ スク40の暗号化データを、それぞれのディス� ��40に対応する予備ディスク41に書き込み、そ の後、予備ディスク41からRAIDグループに属す るディスク40に暗号化データを複写すること� ��すればよい。

 最後に、図1に示した各実施例におけるRAI D装置1の構成は、本発明の要旨を逸脱しない� ��囲で種々に変更することができる。例えば� ��RAID装置1の制御部11の機能をソフトウェアと して実装し、これをコンピュータで実行する ことにより、RAID装置1と同等の機能を実現す� ��こともできる。以下に、制御部11の機能を� �フトウェアとして実装した暗号化プログラ� �1071を実行するコンピュータの一例を示す。

 図9は、暗号化プログラムを実行するコン ピュータの機能構成図である。このコンピュ ータ1000は、各種演算処理を実行するCPU(Central  Processing Unit)1010と、ユーザからのデータの� ��力を受け付ける入力装置1020と、各種情報を 表示するモニタ1030と、記録媒体からプログ� �ム等を読み取る媒体読取装置1040と、ネット� ��ークを介して他のコンピュータとの間でデ� ��タの授受をおこなう通信装置1050と、各種情 報を一時記憶するRAM(Random Access Memory)1060と� �ハードディスク装置1070とをバス1080で接続し て構成される。

 そして、ハードディスク装置1070には、図 1に示した制御部11と同様の機能を有する暗号 化プログラム1071と、暗号化プログラム1071に� ��って用いられる各種データに対応する暗号� ��用データ1072とが記憶される。なお、暗号化 用データ1072を、適宜分散させ、ネットワー� �を介して接続された他のコンピュータに記� �させておくこともできる。

 そして、CPU1010が暗号化プログラム1071を� �ードディスク装置1070から読み出してRAM1060に 展開することにより、暗号化プログラム1071� �、暗号化プロセス1061として機能するように� ��る。そして、暗号化プロセス1061は、暗号化 用データ1072から読み出した情報等を適宜RAM10 60上の自身に割り当てられた領域に展開し、� ��の展開したデータ等に基づいて各種データ� ��理を実行する。

 なお、暗号化プログラム1071は、必ずしも ハードディスク装置1070に格納されている必� �はなく、CD-ROM等の記録媒体に記憶されたこ� �プログラムを、コンピュータ1000が読み出し� ��実行するようにしてもよい。また、公衆回� ��、インターネット、LAN(Local Area Network)、WAN (Wide Area Network)等を介してコンピュータ1000� �接続される他のコンピュータ(またはサーバ) 等にこのプログラムを記憶させておき、コン ピュータ1000がこれらからプログラムを読み� �して実行するようにしてもよい。