知財求人 - 知財ポータルサイト「IP Force」
▶ 三菱電機ビルテクノサービス株式会社の特許一覧 ▶ 三菱電機株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6258562
(24)【登録日】2017年12月15日
(45)【発行日】2018年1月10日
(54)【発明の名称】中継装置、ネットワーク監視システム及びプログラム
(51)【国際特許分類】
H04L 12/66 20060101AFI20171227BHJP
【FI】
H04L12/66 B
【請求項の数】7
【全頁数】14
(21)【出願番号】特願2017-521382(P2017-521382)
(86)(22)【出願日】2015年6月2日
(86)【国際出願番号】JP2015065848
(87)【国際公開番号】WO2016194123
(87)【国際公開日】20161208
【審査請求日】2017年3月3日
(73)【特許権者】
【識別番号】000236056
【氏名又は名称】三菱電機ビルテクノサービス株式会社
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110001210
【氏名又は名称】特許業務法人YKI国際特許事務所
(72)【発明者】
【氏名】川▲崎▼ 仁
(72)【発明者】
【氏名】田畠 広泰
(72)【発明者】
【氏名】山口 晃由
(72)【発明者】
【氏名】小林 信博
【審査官】
安藤 一道
(56)【参考文献】
【文献】
特開2012−169731(JP,A)
【文献】
特開2015−231131(JP,A)
【文献】
西原 広史,プロフェッショナルに学ぶ エンタープライズセキュリティ,月刊アスキードットテクノロジーズ 第15巻 第9号,日本,株式会社アスキー・メディアワークス,2010年 7月24日,第15巻 第9号,pp.122-125
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置において、
前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
を有することを特徴とする中継装置。
前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
を有することを特徴とする中継装置。
【請求項2】
前記中継装置にかかる負荷の状態を監視する負荷状態監視手段と、
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
を有し、
前記検出手段は、前記中継装置にかかる負荷が所定以下の場合にのみデータの解析を行うことを特徴とする請求項1に記載の中継装置。
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
を有し、
前記検出手段は、前記中継装置にかかる負荷が所定以下の場合にのみデータの解析を行うことを特徴とする請求項1に記載の中継装置。
【請求項3】
前記データ取得手段により取得されたデータと予め設定されているフィルタ情報とのマッチング処理により前記機器への不正アクセスを検出するマッチング処理手段を有し、
前記検出手段は、前記マッチング処理手段によるマッチング処理により不正アクセスが検出されなかったデータを解析することで前記機器に対する不正アクセスを検出することを特徴とする請求項1に記載の中継装置。
前記検出手段は、前記マッチング処理手段によるマッチング処理により不正アクセスが検出されなかったデータを解析することで前記機器に対する不正アクセスを検出することを特徴とする請求項1に記載の中継装置。
【請求項4】
前記検出手段は、前記ネットワークスイッチの通常ポートから出力される前記機器からのデータを解析することで前記機器に対する不正アクセスを検出することを特徴とする請求項1に記載の中継装置。
【請求項5】
前記中継装置における負荷状態を監視する負荷状態監視手段と、
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
前記中継装置にかかる負荷の状態に応じて前記データ記憶手段に記憶されたデータを前記サーバに送信し、前記検出手段で行う不正アクセスの検出処理の実行を前記サーバに要求する検出処理要求手段と、
を有することを特徴とする請求項1に記載の中継装置。
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
前記中継装置にかかる負荷の状態に応じて前記データ記憶手段に記憶されたデータを前記サーバに送信し、前記検出手段で行う不正アクセスの検出処理の実行を前記サーバに要求する検出処理要求手段と、
を有することを特徴とする請求項1に記載の中継装置。
【請求項6】
施設外の外部ネットワークに接続されたサーバと、
施設内の内部ネットワークに直接又は間接的に接続された機器と、
前記サーバと前記機器との間で通信されるデータを中継する中継装置と、
前記内部ネットワークに接続され、通常ポートから入力されたデータをミラーポートから前記中継装置へ送信するネットワークスイッチと、
を有し、
前記中継装置は、
前記ネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
を有することを特徴とするネットワーク監視システム。
施設内の内部ネットワークに直接又は間接的に接続された機器と、
前記サーバと前記機器との間で通信されるデータを中継する中継装置と、
前記内部ネットワークに接続され、通常ポートから入力されたデータをミラーポートから前記中継装置へ送信するネットワークスイッチと、
を有し、
前記中継装置は、
前記ネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
を有することを特徴とするネットワーク監視システム。
【請求項7】
施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置に搭載されたコンピュータを、
前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段、
として機能させるためのプログラム。
前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段、
前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段、
不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段、
として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置、ネットワーク監視システム及びプログラム、特に中継装置と同じ施設内に設置された設備機器への不正アクセスの検出に関する。【背景技術】
【0002】
制御システムのオープン化に伴い、悪意のある第三者が制御システムに不正にアクセスすることが発生している。そのため、ビル管理システムをはじめとする制御システムの分野では、ネットワークを監視してネットワークに接続された機器への不正アクセスを検知することが求められている。【0003】
従来では、侵入検知システム(IDS:Intrusion Detection System)を利用したり、ネットワーク監視に特化したネットワーク管理装置を設置したりしてネットワークを監視する方法が提案されている(例えば、特許文献1,2)。また、ホームゲートウェイに中継するパケットを解析する機能を搭載して外部ネットワークからの不正アクセスを検知する技術が提案されている(例えば、特許文献3)。【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−157650号公報
【特許文献2】特開2007−274265号公報
【特許文献3】特開2006−067279号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1,2のようにネットワークを監視するための装置を用いると不正アクセスの検出のために多大なコストが必要となってくる。また、装置の設置スペースも必要となってくる。また、特許文献3では、外部ネットワークからのユーザ端末への不正アクセスは検知できても内部ネットワークからのユーザ端末への不正アクセスを検知することができない。【0006】
ところで、従来から、回線やパケットの交換(スイッチング)機能が搭載された通信装置としてネットワークスイッチ(以下、単に「スイッチ」)がある。高性能のスイッチには、通常のポートを通過する全てのトラフィックデータをコピーして出力するためのミラーポートが設けられている機種が存在する。【0007】
本発明は、ネットワークスイッチのミラーポートからの出力を有効利用して施設内に設置された機器への施設内外からの不正アクセスの検出を行うことを目的とする。【課題を解決するための手段】
【0008】
本発明に係る中継装置は、施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置において、前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、を有するものである。【0009】
また、前記中継装置にかかる負荷の状態を監視する負荷状態監視手段と、前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、を有し、前記検出手段は、前記中継装置にかかる負荷が所定以下の場合にのみデータの解析を行うものである。【0010】
また、前記データ取得手段により取得されたデータと予め設定されているフィルタ情報とのマッチング処理により前記機器への不正アクセスを検出するマッチング処理手段を有し、前記検出手段は、前記マッチング処理手段によるマッチング処理により不正アクセスが検出されなかったデータを解析することで前記機器に対する不正アクセスを検出するものである。【0011】
また、前記検出手段は、前記ネットワークスイッチの通常ポートから出力される前記機器からのデータを解析することで前記機器に対する不正アクセスを検出するものである。【0012】
また、前記中継装置における負荷状態を監視する負荷状態監視手段と、【0013】
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、前記中継装置にかかる負荷の状態に応じて前記データ記憶手段に記憶されたデータを前記サーバに送信し、前記検出手段で行う不正アクセスの検出処理の実行を前記サーバに要求する検出処理要求手段と、を有するものである。【0014】
本発明に係るネットワーク監視システムは、施設外の外部ネットワークに接続されたサーバと、施設内の内部ネットワークに直接又は間接的に接続された機器と、前記サーバと前記機器との間で通信されるデータを中継する中継装置と、前記内部ネットワークに接続され、通常ポートから入力されたデータをミラーポートから前記中継装置へ送信するネットワークスイッチと、を有し、前記中継装置は、前記ネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、を有するものである。【0015】
本発明に係るプログラムは、施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置に搭載されたコンピュータを、前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段、として機能させるためのものである。【発明の効果】
【0016】
本発明によれば、ネットワークスイッチのミラーポートからの出力を有効利用して施設内に設置された機器への施設内外からの不正アクセスの検出を行うことができる。【0017】
また、負荷がかかっている状態においては不正アクセスの検出処理の実行を制限することで中継装置にかかる負荷の増大を回避することができる。【0018】
また、相対的に低速な検出手段による不正アクセスの検出に先行して、相対的に高速なフィルタ情報とのマッチング処理による不正アクセスの検出を行うことで、不正アクセスの検出処理の高速化を図ると共に中継装置にかかる処理負荷の低減を図ることができる。【0019】
また、ネットワークスイッチの通信ポートから受信した機器からのデータに基づき機器への施設内からの不正アクセスの検出を行うことができる。【0020】
また、負荷がかかっている状態においては不正アクセスの検出処理の実行をサーバに依頼して中継装置にかかる負荷の増大を回避することができる。【図面の簡単な説明】
【0021】
【図1】実施の形態1におけるゲートウェイ装置を含むネットワーク監視システムの全体構成の一例を示した図である。
【図2】実施の形態1におけるゲートウェイ装置のハードウェア構成図である。
【図3】実施の形態1におけるゲートウェイ装置のブロック構成図である。
【図4】実施の形態1におけるゲートウェイ装置が実施する不正アクセス検出処理を示したフローチャートである。
【図5】実施の形態2におけるゲートウェイ装置のブロック構成図である。
【図6】実施の形態3におけるゲートウェイ装置のブロック構成図である。
【図7】実施の形態4におけるゲートウェイ装置のブロック構成図である。
【図8】実施の形態5におけるゲートウェイ装置のブロック構成図である。
【発明を実施するための形態】
【0022】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。【0023】
実施の形態1.図1は、本発明に係るネットワーク監視システムの一実施の形態を示した全体構成図である。図1には、監視センタ1に設置されたサーバ2と顧客のビル3に設置されたゲートウェイ装置10とがインターネット等の外部ネットワーク4にて接続された構成が示されている。また、ビル3の内部には、ゲートウェイ装置10の他に、スイッチ5、管理装置6、コントローラ7及び電気設備等の機器8が設置され、このうちスイッチ5及びコントローラ7は、LAN等の内部ネットワーク9に接続されている。そして、スイッチ5には、ゲートウェイ装置10及び管理装置6が接続されている。
【0024】
スイッチ5は、回線やパケットの交換(スイッチング)機能が搭載された通信装置である。本実施の形態におけるスイッチ5は、通常のポートを通過する全てのトラフィックデータをコピーして出力するためのミラーポート51を有している。ミラーポート51は、ゲートウェイ装置10の監視ポート361と接続されている。スイッチ5の通常ポートは、ゲートウェイ装置10の通常ポート、管理装置6及び内部ネットワーク9に接続されている。ゲートウェイ装置10は、サーバ2と機器8との間でやり取りされるデータを中継する。管理装置6は、機器8をはじめ内部ネットワーク9に直接又は間接的に接続されている各種機器の監視、管理を行う。コントローラ7は、接続された機器8の動作の制御及び機器8が発信するデータの収集等を行う。ビル3に設置するコントローラ7及び各コントローラ7に接続する機器8の台数は、ビル3の規模に応じて決められている。【0025】
監視センタ1は、サーバ2を用いて、ビル3に設置された各機器8の保守管理等のために機器8へ制御データ等を送信したり、機器8から運用実績値等のデータを取得したりする。なお、監視センタ1は、1又は複数のビル3に設置された機器8を監視するが、監視内容は各ビル3とも同様なので便宜的に1つのビル3のみ図示した。【0026】
図2は、本実施の形態におけるゲートウェイ装置10のハードウェア構成図である。本実施の形態におけるゲートウェイ装置10は、コンピュータを搭載し、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、ゲートウェイ装置10は、図2に示したようにCPU31、ROM32、RAM33、ハードディスクドライブ(HDD)34、通信手段として設けられ、外部ネットワーク4を接続するための外部ネットワークインタフェース(IF)35及び内部ネットワーク9を接続するための内部ネットワークインタフェース(IF)36を内部バス37に接続して構成される。内部ネットワークインタフェース36は、スイッチ5の通常ポートからの出力を受ける通常ポート(図示せず)とは別に、スイッチ5のミラーポート51からの出力を受ける監視ポート361を搭載する。なお、図示していないが、ゲートウェイ装置10の環境設定等のためにコンピュータを接続可能なインタフェースを設けてもよい。【0027】
図3は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、本実施の形態において説明に用いない構成要素に関しては図から省略している。本実施の形態におけるゲートウェイ装置10は、内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、負荷状態監視部16、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有している。内部通信部11は、内部ネットワーク9を介して機器8等のビル3に設置されたネットワーク機器との通信機能を提供する。外部通信部12は、外部ネットワーク4を介したサーバ2等の外部装置との通信機能を提供する。プロトコル変換部13は、サーバ2と機器8のプロトコルを相互に変換する機能を提供する。監視用通信部14は、監視ポート361から入力されてくるパケットデータを受信することで取得する。パケットデータには、やり取りされるデータ及びそのデータの送信元、送信先、データ信号の種類等が含まれているので、監視用データ取得部15は、監視用通信部14により受信されたパケットデータを解析して、受信されたパケットデータのうち不正アクセスの検出に用いるパケットデータを監視用データとして監視用データ記憶部19に格納する。負荷状態監視部16は、ゲートウェイ装置10にかかる負荷の状態を監視する。不正アクセス検出部17は、検出手段として設けられ、判定ルール記憶部20に予め設定されている判定ルールに基づき、監視用データ取得部15により取得され監視用データ記憶部19に格納された監視用データを解析することで機器8に対する不正アクセスを検出する。不正アクセス通知部18は、検出情報送信手段として設けられ、不正アクセスが検出されたときにその不正アクセスに関する検出情報を、外部通信部12を介してサーバ2へ送信する。【0028】
判定ルール記憶部20には、機器8から送出される信号データの種類に応じて、その信号データが正常であると判定するための閾値、範囲等により表される判定ルールが予め設定されている。閾値や正常と判定する範囲等は、運用実績から明らかになっている。【0029】
ゲートウェイ装置10における各構成要素11〜18は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、各記憶部19〜20は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。【0030】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやUSBメモリ等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU31がプログラムを順次実行することで各種処理が実現される。【0031】
本実施の形態におけるネットワーク監視システムは、アプリケーションにより実現されるゲートウェイ装置10の機能に特徴を有し、それ以外は従前からある各装置のハードウェア及び機能を利用することができる。【0032】
次に、本実施の形態におけるゲートウェイ装置10の動作について説明する。【0033】
ゲートウェイ装置10において、外部通信部12が外部ネットワーク4を介して送信されてくるサーバ2からの機器8宛のデータを受信すると、プロトコル変換部13は、そのデータを機器8が採用しているプロトコルに合致した形式に変換する。内部通信部11は、その変換後のデータを機器8宛に送信する。なお、前述した通常動作時における処理とは別に、スイッチ5は、ゲートウェイ装置10から送信されてきたデータをミラーポート51から出力する。また、内部通信部11が内部ネットワーク9を介して送信されてくる機器8からのサーバ2宛のデータを受信すると、プロトコル変換部13は、そのデータをサーバ2が採用しているプロトコルに合致した形式に変換する。外部通信部12は、その変換後のデータをサーバ2宛に送信する。なお、前述した通常動作時における処理とは別に、スイッチ5は、機器8から送信されてきたデータをミラーポート51から出力する。【0034】
このように、ゲートウェイ装置10は、通常の機能処理としてサーバ2と機器8との間でやり取りされるデータの中継を行うが、この通常の機能処理と並行して以下に説明する不正アクセスの検出処理を行う。以下、本実施の形態におけるゲートウェイ装置10が実施する不正アクセスの検出処理について図4に示したフローチャートを用いて説明する。なお、ゲートウェイ装置10では、不正アクセス検出用のアプリケーションをRAM33に常駐させ、不正アクセスの検出処理を常時実行しているが、図4では便宜的に不正アクセスを検出したときにサーバ2に通知すると終了するよう図示した。また、フローチャートにおけるステップ110,120は、ステップ130以降の処理とは非同期に独立して実施されるが、フローチャートでは、便宜的に一連の処理として図示した。【0035】
スイッチ5は、前述したように外部ネットワーク4側及び内部ネットワーク9側から送られてきたデータをミラーポート51から出力するが、監視用通信部14は、このミラーポート51から出力されたデータを受信する(ステップ110)。そして、監視用データ取得部15は、受信したデータのうち予め決められた規則に従い不正アクセスの検出に用いるデータを抽出し、その抽出したデータを監視用データとして監視用データ記憶部19に書き込み保存する(ステップ120)。【0036】
本アプリケーション起動後、負荷状態監視部16は、ゲートウェイ装置10における負荷状態を一定時間間隔で監視している。この監視のタイミングにおいてゲートウェイ装置10にかかっている負荷が予め設定された閾値を超えている場合(ステップ130でY)、不正アクセス検出部17による不正アクセス検出処理を実行することによってゲートウェイ装置10にかかる負荷が増大し、これによりゲートウェイ装置10本来の中継機能の実行に支障を来すおそれがあると判断し、不正アクセス検出部17による不正アクセスの検出処理の実行を見合わせる。【0037】
一方、ゲートウェイ装置10にかかっている負荷が予め設定された閾値以下の場合(ステップ130でN)、不正アクセス検出部17は、負荷状態監視部16からの通知に応じて不正アクセスの有無の確認を行う。すなわち、不正アクセス検出部17は、監視用データ記憶部19に保存されている監視用データを、判定ルール記憶部20に登録されている判定ルールと比較などして監視用データの異常の有無を検証する(ステップ140)。検証の結果、異常有りと判定した場合(ステップ150でY)、この監視用データの異常を不正アクセスとみなして異常有りと判定したデータ及びそのデータの送信元、送信先、送信日時等不正アクセスの解析に必要と考えられる情報を含む検出情報を生成する(ステップ160)。そして、不正アクセス通知部18は、その生成された検出情報を外部通信部12にサーバ2宛に送信させることで、不正アクセスを検出したことをサーバ2に通知する(ステップ170)。【0038】
本実施の形態によれば、監視ポート361から取得した監視用データに基づく異常判定を、ゲートウェイ装置10にかかる負荷が一定以下の場合のみ行うようにしたので、ゲートウェイ装置10にかかる負荷が過大となることを回避し、中継装置として通常行うべき中継機能の実行に支障を来さないようにすることができる。【0039】
なお、本実施の形態では、図4に示した処理手順に従うと、ゲートウェイ装置10にかかる負荷が所定の閾値以下にならないとステップ130を繰り返すばかりで不正アクセスの検出を実施しないことになる。そこで、所定の閾値以下にならなくても、ゲートウェイ装置10にかかる負荷が所定時間を超えている状態が予め設定した時間以上続いた場合、すなわちタイムアウトの発生によりステップ140以降に処理を移行するようにしてもよい。【0040】
また、本実施の形態におけるネットワーク監視システムは、図1に示したようにゲートウェイ装置10を外部ネットワーク4に接続し、スイッチ5を内部ネットワーク9に接続し、そして、ゲートウェイ装置10の監視ポート361とスイッチ5のミラーポート51とを接続するよう構成する必要はあるが、図1に例示したシステム構成に限定されるものではない。例えば、ゲートウェイ装置10とスイッチ5との間に管理装置6を設けてもよい。後述する各実施の形態においても同様である。【0041】
実施の形態2.図5は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更にマッチング処理部21及びフィルタ情報記憶部22を有している。フィルタ情報記憶部22には、マッチング処理部21によるマッチング処理に用いられるフィルタ情報が予め設定されている。本実施の形態では、機器8とデータのやり取りを行う通信相手として信頼できる装置の識別情報が登録されたホワイトリストがフィルタ情報としてフィルタ情報記憶部22に登録されている。マッチング処理部21は、監視用通信部14により受信されたデータの送受信者をホワイトリストと照合するマッチング処理を行うことで機器8への不正アクセスを検出する。
【0042】
マッチング処理部21は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、フィルタ情報記憶部22は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。また、ゲートウェイ装置10のハードウェア構成及びネットワーク監視システムに含まれるその他の装置構成は実施の形態1と同じでよい。【0043】
次に、本実施の形態における不正アクセス検出処理について説明する。なお、通常の中継処理機能については実施の形態1と同じなので説明を省略する。後述する実施の形態においても同様とする。【0044】
本実施の形態における不正アクセス検出処理は、基本的には実施の形態1と同じである。ただ、負荷状態監視部16がないため負荷の状態を確認しない点と、本実施の形態の特徴的な処理が異なる。すなわち、監視用通信部14がデータを受信すると、マッチング処理部21は、1段階目の不正アクセス検出として、その受信されたデータの機器8との通信相手をホワイトリストと照合する。そして、通信相手がホワイトリストに登録されていなければ、当該データに対応するアクセスを不正と判断する。【0045】
ところで、機器8との通信相手がホワイトリストに登録されていた場合でも真に信頼できる通信相手かどうか、不正アクセスでないかどうかの保証はない。そこで、機器8との通信相手がホワイトリストに登録されていた場合でも、マッチング処理部21は、そのデータを監視用データとして監視用データ記憶部19に登録する。そして、登録された監視用データの検証のために、不正アクセス検出部17は、2段階目の不正アクセス検出として、マッチング処理部21では不正アクセスと判定されなかった監視用データの異常の有無を検証する不正アクセス検出部17により実施される2段階目の不正アクセス検出は、実施の形態1と同様の処理内容でよい。【0046】
以上のようにして、マッチング処理部21又は不正アクセス検出部17において不正アクセスが検出された場合、不正アクセス通知部は、実施の形態1と同様に不正アクセスの検出に伴い生成された検出情報を外部通信部12に送信させることで、不正アクセスを検出したことをサーバ2に通知する【0047】
本実施の形態によれば、マッチング処理部21を設けることによって、判定ルールとの比較、照合による相対的に低速な不正アクセス検出部17による不正アクセス検出に先行して、相対的に高速なフィルタ情報とのマッチング処理を行うようにしたので、不正アクセスの検出処理の高速化を図ると共にゲートウェイ装置10にかかる処理負荷の低減を図ることができる。【0048】
なお、本実施の形態では、マッチング処理の際に用いるフィルタ情報として、信頼できる通信相手の装置IDが登録されたホワイトリストを用いたが、これに限らず他の情報、例えば不正な装置の識別情報が登録されたブラックリスト等を用いてもよい。【0049】
実施の形態3.図6は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更に通信状態取得部23及び通信状態記憶部24を有している。通信状態取得部23は、内部通信部11が受信したスイッチ5の通常ポートからの出力データを取得し、通信状態記憶部24に格納する。
【0050】
通信状態取得部23は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、通信状態記憶部24は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。また、ゲートウェイ装置10のハードウェア構成及びネットワーク監視システムに含まれるその他の装置構成は実施の形態1と同じでよい。【0051】
ところで、ビル3の内外の1又は複数の装置がパケットを1台の機器8に対し集中して送信することで、当該機器の動作に悪影響を与える不正行為がある。例えば、DDos(Distributed Denial of Servic attack)攻撃はこの不正行為に該当するが、DDos攻撃による機器8の負荷の増加も不正アクセスの一形態と考えられる。外部ネットワーク4を介さずにビル3内に設置された第三者の機器からの機器8への攻撃だと、ゲートウェイ装置10は、その第三者の機器から発信されたパケットを中継しないので、その攻撃を検出できない。【0052】
そこで、本実施の形態における不正アクセス検出部17は、上記各実施の形態において説明した監視用通信部14による監視ポート361から入力されるデータに基づく不正アクセスの検出とは別個に、内部通信部11による通常ポートから入力される通常のデータに基づき不正アクセスを検出できるようにした。【0053】
すなわち、通信状態取得部23は、内部通信部11が受信したスイッチ5の通常ポートからの出力データを取得して通信状態記憶部24に格納する。不正アクセス検出部17は、サーバ2から機器8へのデータ送信要求等の問合せに対し、当該機器8が応答するまでに多大な時間を要した場合、あるいは応答の内容が異常だと、その理由としてDDos攻撃等の不正アクセスを受けていると推測する。ここで、当該機器8が応答するまでに多大な時間を要したかどうかは、応答に要した時間と予め設定された閾値(タイムリミット)とを比較すればよい。また、応答の内容が異常かどうかは、通常データの値と当該通常データの種類に応じて予め設定された正常範囲とを比較すればよい。【0054】
本実施の形態によれば、内部通信部11により受信された通常のデータをも解析対象とすることで、監視用データから検出できない不正アクセスを検出できるようになる。【0055】
なお、本実施の形態では、サーバ2からの問合せに対する応答データを解析するようにしたが、ゲートウェイ装置10が不正アクセスの検出のために機器8に対し、応答を要する問合せ要求を送信するようにしてもよい。【0056】
また、本実施の形態では、内部からのDDos攻撃を例にして説明したが、不正アクセス検出部17は、その他の不正アクセスに対しても同様に適切な閾値(上下限)、正常範囲、値の変化度合いや変化率等の判定ルールを設定して対処できるようにする。【0057】
実施の形態4.図7は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1に示した構成に、検出処理要求部25を追加した構成を有している。検出処理要求部25は、ゲートウェイ装置10にかかる負荷の状態に応じて監視用データ記憶部19に記憶された監視用データをサーバ2に送信し、不正アクセス検出部17で行う不正アクセスの検出処理の実行をサーバ2に要求する。検出処理要求部25は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。
【0058】
前述したように、不正アクセス検出部17が不正アクセス検出処理を実行することによってゲートウェイ装置10にかかる負荷が増大し、これによりゲートウェイ装置10本来の中継機能の実行に支障を来す可能性が生じうる。【0059】
そこで、本実施の形態における検出処理要求部25は、ゲートウェイ装置10にかかる負荷が大きく不正アクセス検出部17に処理を実行させない方がよい場合、あるいは不正アクセス検出部17では処理が実行できない場合、監視用データ記憶部19に記憶された監視用データを外部通信部12にサーバ2へ送信させ、また、サーバ2に不正アクセスの検出処理の実行を要求するようにした。【0060】
ここで、不正アクセス検出部17に処理を実行させない方がよい場合というのは、例えば膨大な通信量のデータを中継していることからゲートウェイ装置10に多大な負荷がかかっている場合である。ゲートウェイ装置10が過負荷の状態であるときに不正アクセス検出部17に処理を実行させると、ゲートウェイ装置10本来の中継機能の実行に支障を来す可能性が生じうる。また、不正アクセス検出部17では処理が実行できない場合というのは、例えば、不正アクセスを検出するに監視用データの変化の遷移を解析する必要があるけれどもゲートウェイ装置10における記憶容量から大容量の監視用データを保持できないような場合である。【0061】
このように、負荷状態監視部16により検出されたゲートウェイ装置10にかかる負荷の状態を解析することで、ゲートウェイ装置10に所定の閾値以上の負荷がゲートウェイ装置10にかかっている、あるいは監視用データ記憶部19の記憶容量が不足すると判断した場合、検出処理要求部25は、不正アクセスの検出処理の実行をサーバ2に要求する。【0062】
本実施の形態によれば、不正アクセスの検出処理の実行をサーバ2に依頼するようにしたので、ゲートウェイ装置10に過負荷がかからないようにすることができる。また、ゲートウェイ装置10より高性能なサーバ2に不正アクセスの検出処理を依頼することで、より高度な検出処理の実行が可能になる。【0063】
なお、ゲートウェイ装置10は、負荷の高い状態において更に監視用データをサーバ2へ送信することになるが、検出処理要求部25は、監視用データの通信量を考慮して不正アクセスの検出処理を不正アクセス検出部17に実行させるか、あるいはサーバ2に依頼するかを判断することになる。【0064】
実施の形態5.図8は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更に連携処理部26を有している。連携処理部26は、他のゲートウェイ装置10と連携する機能を提供する。連携処理部26は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。
【0065】
本実施の形態では、例えば、所定の地域内にある近隣のビル3、あるいは同一管理者が所有するビル3、という条件に従いゲートウェイ装置10のグループを形成する。そして、ネットワーク監視システムでは、当該グループを代表するゲートウェイ装置10を予め決めておく。【0066】
そして、ゲートウェイ装置10が検出した不正アクセスをサーバ2に通知する際、本実施の形態では、各ゲートウェイ装置10が個々にサーバ2に通知するのではなく、各グループを代表するゲートウェイ装置10が同一グループ内において検出された不正アクセスの検出情報をとりまとめてサーバ2に通知する。【0067】
すなわち、代表でないゲートウェイ装置10において不正アクセスが検出された場合、そのゲートウェイ装置10における連携処理部26は、同一グループ内において代表となるゲートウェイ装置10に検出情報を送信する。そして、代表となるゲートウェイ装置10における連携処理部26は、同一グループ内におけるゲートウェイ装置10から送信されてきた検出情報をまとめてサーバ2へ送信する。各ゲートウェイ装置10がどのグループに所属するか、また自装置が代表かどうかは、連携処理部26に予め設定していてもよいし、図示しない記憶手段に設定登録しておいてもよい。【0068】
なお、サーバ2へ送信するタイミングは、検出情報を受信したら即時に送信してもよいし、所定期間内に受信した検出情報をまとめて送信するようにしてもよい。【0069】
サーバ2からしてみると、検出情報が複数のゲートウェイ装置10から個々に送信されてくるのではなくグループ毎にまとめて送信されてくるので受信回数が少なくて済む。【0070】
上記各実施の形態においては、ゲートウェイ装置10がスイッチ5のミラーポート51からの出力データに基づき機器8を監視し、機器8に発生する異常、すなわち機器8への不正アクセスを検出するための不正アクセス検出処理について説明した。実施の形態3では、スイッチ5の通常ポートからの出力データをも解析対象として機器8を監視するようにした。上記各実施の形態において説明した構成及び処理内容は、別個に実施せずに適宜組み合わせて実施してもよい。また、本実施の形態では、中継装置としてゲートウェイ装置10を例にして説明したが、外部ネットワーク4とビル3の内部ネットワーク9とを接続してサーバ2と機器8との間のデータ通信を中継する中継機能を有する通信装置であればゲートウェイ装置10に限定する必要はない。【符号の説明】
【0071】
1 監視センタ、2 サーバ、3 ビル、4 外部ネットワーク、5 スイッチ、6 管理装置、7 コントローラ、8 機器、9 内部ネットワーク、10 ゲートウェイ装置、11 内部通信部、12 外部通信部、13 プロトコル変換部、14 監視用通信部、15 監視用データ取得部、16 負荷状態監視部、17 不正アクセス検出部、18 不正アクセス通知部、19 監視用データ記憶部、20 判定ルール記憶部、21 マッチング処理部、22 フィルタ情報記憶部、23 通信状態取得部、24 通信状態記憶部、25 検出処理要求部、26 連携処理部、31 CPU、32 ROM、33 RAM、34 ハードディスクドライブ(HDD)、35 外部ネットワークインタフェース(IF)、36 内部ネットワークインタフェース(IF)、37 内部バス、51 ミラーポート、361 監視ポート。