知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6518771
(24)【登録日】2019年4月26日
(45)【発行日】2019年5月22日
(54)【発明の名称】セキュリティシステム、通信制御方法
(51)【国際特許分類】
H04L 12/66 20060101AFI20190513BHJP
【FI】
H04L12/66 B
【請求項の数】18
【全頁数】24
(21)【出願番号】特願2017-535570(P2017-535570)
(86)(22)【出願日】2016年8月19日
(86)【国際出願番号】JP2016074219
(87)【国際公開番号】WO2017030186
(87)【国際公開日】20170223
【審査請求日】2017年11月2日
(31)【優先権主張番号】14/831,077
(32)【優先日】2015年8月20日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】514030104
【氏名又は名称】三菱日立パワーシステムズ株式会社
(74)【代理人】
【識別番号】110000785
【氏名又は名称】誠真IP特許業務法人
(72)【発明者】
【氏名】石垣 博康
(72)【発明者】
【氏名】バッチスミス リサ
【審査官】
大石 博見
(56)【参考文献】
【文献】
特開2006−099590(JP,A)
【文献】
特開2011−151606(JP,A)
【文献】
特開2014−140096(JP,A)
【文献】
米国特許出願公開第2013/0152206(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
外部ネットワークに接続されるよう構成される第1ゲートウェイ装置と、
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインと、を備え、
前記第1ゲートウェイ装置は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第1プロキシ部を有し、
前記第2ゲートウェイ装置は、前記特定プロトコルを処理するよう構成される第2プロキシ部を有し、
前記第1ゲートウェイ装置が前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信すると、前記第1プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第2ゲートウェイ装置に送信し、前記インバウンドの伝送データが前記特定プロトコルの通信情報のものではない場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成され、
前記第2プロキシ部は、前記双方向通信ラインを介して前記第1プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成され、
前記第2ゲートウェイ装置は、前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データを、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信することを特徴とするセキュリティシステム。
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインと、を備え、
前記第1ゲートウェイ装置は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第1プロキシ部を有し、
前記第2ゲートウェイ装置は、前記特定プロトコルを処理するよう構成される第2プロキシ部を有し、
前記第1ゲートウェイ装置が前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信すると、前記第1プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第2ゲートウェイ装置に送信し、前記インバウンドの伝送データが前記特定プロトコルの通信情報のものではない場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成され、
前記第2プロキシ部は、前記双方向通信ラインを介して前記第1プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成され、
前記第2ゲートウェイ装置は、前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データを、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信することを特徴とするセキュリティシステム。
【請求項2】
前記第1ゲートウェイ装置および前記第2ゲートウェイ装置の各々は、それぞれ、送信物理ポートおよび受信物理ポートを有し、
前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであり、
前記セキュリティシステムは、前記第1ゲートウェイ装置の送信物理ポートと前記第2ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルを有しないことにより前記片方向通信を可能とすることを特徴とする請求項1に記載のセキュリティシステム。
前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであり、
前記セキュリティシステムは、前記第1ゲートウェイ装置の送信物理ポートと前記第2ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルを有しないことにより前記片方向通信を可能とすることを特徴とする請求項1に記載のセキュリティシステム。
【請求項3】
前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成されることを特徴とする請求項1または2に記載のセキュリティシステム。
【請求項4】
前記外部ネットワークおよび前記内部ネットワークはIPネットワークであることを特徴とする請求項1〜3のいずれか1項に記載のセキュリティシステム。
【請求項5】
前記第1ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別することを特徴とする請求項4に記載のセキュリティシステム。
【請求項6】
前記第2ゲートウェイ装置は、前記内部ネットワークから受信した前記アウトバンド伝送データがUDP/IP通信である場合には、前記片方向通信ラインを使用して、前記アウトバンド伝送データを前記第1ゲートウェイ装置に送信することを特徴とする請求項5に記載のセキュリティシステム。
【請求項7】
前記特定プロトコルは、標準化されていない独自プロトコルであることを特徴とする請求項1〜6のいずれか1項に記載のセキュリティシステム。
【請求項8】
前記双方向通信ラインは、RS−232Cを含むシリアル通信であることを特徴とする請求項1〜7のいずれか1項に記載のセキュリティシステム。
【請求項9】
前記第1ゲートウェイ装置は、第1ファイアウォールを介して前記外部ネットワークに接続され、
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項1〜8のいずれか1項に記載のセキュリティシステム。
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項1〜8のいずれか1項に記載のセキュリティシステム。
【請求項10】
外部ネットワークに接続されるよう構成される第1ゲートウェイ装置と、
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを相互に接続する双方向通信ラインと、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインと、を備えるセキュリティシステムによって実行される通信制御方法であって、
前記第1ゲートウェイ装置が、前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信するインバウントデータ受信ステップと、
前記第1ゲートウェイ装置が、前記インバウンドの伝送データのアプリケーションレイヤのプロトコルを確認し、前記アプリケーションレイヤのプロトコルが特定プロトコルである場合には、前記インバウンドの伝送データを前記第2ゲートウェイ装置に前記双方向通信ラインを使用して送信し、前記特定プロトコルの通信情報以外の場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成される第1インバウンド通信処理ステップと、
前記第2ゲートウェイ装置が、前記第1ゲートウェイ装置から受信した前記インバウンドの伝送データが前記特定プロトコルの通信情報である場合には、前記特定プロトコルの情報に基づいて、前記内部ネットワークにおける通信の宛先アドレスを取得し、前記宛先アドレスに対して前記インバウンドの伝送データを送信する第2インバウンド通信処理ステップと、
前記第2ゲートウェイ装置は、前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データを、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信するアウトバウンド通信処理ステップと、を有することを特徴とする通信制御方法。
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを相互に接続する双方向通信ラインと、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインと、を備えるセキュリティシステムによって実行される通信制御方法であって、
前記第1ゲートウェイ装置が、前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信するインバウントデータ受信ステップと、
前記第1ゲートウェイ装置が、前記インバウンドの伝送データのアプリケーションレイヤのプロトコルを確認し、前記アプリケーションレイヤのプロトコルが特定プロトコルである場合には、前記インバウンドの伝送データを前記第2ゲートウェイ装置に前記双方向通信ラインを使用して送信し、前記特定プロトコルの通信情報以外の場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成される第1インバウンド通信処理ステップと、
前記第2ゲートウェイ装置が、前記第1ゲートウェイ装置から受信した前記インバウンドの伝送データが前記特定プロトコルの通信情報である場合には、前記特定プロトコルの情報に基づいて、前記内部ネットワークにおける通信の宛先アドレスを取得し、前記宛先アドレスに対して前記インバウンドの伝送データを送信する第2インバウンド通信処理ステップと、
前記第2ゲートウェイ装置は、前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データを、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信するアウトバウンド通信処理ステップと、を有することを特徴とする通信制御方法。
【請求項11】
前記第1ゲートウェイ装置および前記第2ゲートウェイ装置の各々は、それぞれ、送信物理ポートおよび受信物理ポートを有し、
前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであり、
前記セキュリティシステムは、前記第1ゲートウェイ装置の送信物理ポートと前記第2ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルを有しないことにより前記片方向通信を可能とすることを特徴とする請求項10に記載の通信制御方法。
前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであり、
前記セキュリティシステムは、前記第1ゲートウェイ装置の送信物理ポートと前記第2ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルを有しないことにより前記片方向通信を可能とすることを特徴とする請求項10に記載の通信制御方法。
【請求項12】
前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成されることを特徴とする請求項10または11に記載の通信制御方法。
【請求項13】
前記外部ネットワークおよび前記内部ネットワークはIPネットワークであることを特徴とする請求項10〜12のいずれか1項に記載の通信制御方法。
【請求項14】
前記第1ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別することを特徴とする請求項13に記載の通信制御方法。
【請求項15】
前記アウトバウンド通信処理ステップは、前記内部ネットワークから受信した前記アウトバンド伝送データがUDP/IP通信である場合には、前記片方向通信ラインを使用した前記アウトバンド伝送データの送信を許可するアウトバウンド通信フィルタリングステップを有することを特徴とする請求項14に記載の通信制御方法。
【請求項16】
前記特定プロトコルは、標準化されていない独自プロトコルであることを特徴とする請求項10〜15のいずれか1項に記載の通信制御方法。
【請求項17】
前記双方向通信ラインは、RS−232Cを含むシリアル通信であることを特徴とする請求項10〜16のいずれか1項に記載の通信制御方法。
【請求項18】
前記第1ゲートウェイ装置は、第1ファイアウォールを介して前記外部ネットワークに接続され、
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項10〜17のいずれか1項に記載の通信制御方法。
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項10〜17のいずれか1項に記載の通信制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、内部ネットワークと外部ネットワークとを相互に接続すると共に、内部ネットワークを保護するセキュリティシステム、通信制御方法に関する。【背景技術】
【0002】
現在、重要インフラ(発電、化学薬品、水、石油、ガス等のなど)の制御ネットワーク(制御システムネットワーク)をインターネットに接続することで、インターネットを介した遠隔監視、遠隔操作などが実現されている。これによって、制御ネットワークの遠隔監視や遠隔操作などのサービスが、IP通信を基盤として比較的容易に安価に実現されている。また、このようなサービスビジネスを拡大するためには、制御ネットワークをインターネットやクラウドに接続することは必須と言えるほど重要となっている。その一方で、このような重要インフラ(産業資産)に対するサイバーセキュリティへの要求は日増しに厳しくなっている。例えば、北米では、発電プラントなど電力システムに対するサイバーセキュリティ基準を定めたNERC CIP要求(NERC:North American ElectricReliability Council、CIP:Critical Infrastructure Protection)が規定されており、重要インフラ事業を遂行する上で実施すべきセキュリティ規準が定義されている。このため、インターネットを介したサービスの提供とサイバー攻撃からの制御ネットワークの保護という双方の要求を低コストに実現するインフラやシステムの開発が緊急に必要とされている。
【0003】
ところで、制御ネットワークのような内部ネットワークをサイバー攻撃から保護する技術としてファイアウォールが広く知られている(例えば、特許文献1〜2)。ファイアウォールは、保護対象となる内部ネットワークとインターネットのような外部ネットワークとの境界に設置されることで、内部ネットワークをサイバー攻撃から保護する。例えば、特許文献1では、ローカルネットワーク(内部ネットワーク)とインターネットとがファイアウォールを介して接続されている。そして、インターネット側からローカルネットワーク側へ入力する通信はファイアウォールによって絶対的に拒否されている。その一方で、ローカルネットワーク内のエージェントから、インターネットを介して接続された第2のローカルネットワーク内のコンソールへの通信時には、ファイアウォールのポートがダイナミックに開けられ、通信が許可されている。このようにして、外部からの攻撃から内部ネットワークを保護しつつ、内部ネットワークと外部ネットワークとの間の通信を可能としている。【0004】
また、特許文献2でも、インターネットと公開サブネットとの間、および、公開サブネットと非公開内部サブネットとの間のそれぞれにルータが設置されており、これらのルータによって通過するパケットがフィルタリングされている。例えば、公開サブネットと非公開内部サブネットとの間に設置されるルータは、公開サブネット内の計算機と非公開内部サブネットの計算機とをIEEE1394によって相互に接続している。そして、このルータは、IEEE1394の送信元IDや、公開サブネット内の計算機と非公開内部サブネットの計算機との間のフレームバッファ転送に基づく遠隔操作に必要なパケットか否かによって、パケットのフィルタリングを行っている。また、非公開内部サブネットの計算機は、公開サブネットの計算機を一定間隔でリードトランザクションによりポーリングすることでデータを受信し、ライトトランザクションによりデータを送信している。これによって、公開サブネットの計算機から不正な大量のデータ送信があったとしても、データ転送量をチェックすることで、異常な転送を検出可能であると共に、その影響が直ちに非公開内部サブネットの計算機に発生することがないとされている。【0005】
一方、セキュリティ対策を目的として、ゲートウェイの通信路を完全に片方向しかデータが流れないようにしたデータダイオードと呼ばれる装置も知られている。このデータダイオードによって、許可された方向と逆方向のデータの流れが完全に阻止されることにより、外部からのウイルス攻撃やハッキングなどのサイバー攻撃を防御可能とされている。例えば、特許文献3では、このようなデータダイオードで計算機間を接続すると共に、計算機間を別の汎用通信路で接続している。そして、データダイオードを介して送られた送信データの送達確認を別の汎用通信路を介して行うことにより、データダイオードを使ったセキュリティ対策を実現しつつ、データ送信の信頼性を確保している。【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2001−325163号公報
【特許文献2】特開2000−354056号公報
【特許文献3】特開2014−140096号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1、3では、TCP/UDP/IP通信をベースとした一般的な技術によって通信のエンド装置間が接続されている。このため、オペレーティングシステムや通信機器等に何らかの脆弱性があった場合に、制御ネットワークへの影響を完全に回避することは論理的に困難となる。【0008】
また、特許文献2では、非公開内部サブネット内の計算機と公開サブネットの計算機とをIEEE1394によって接続することで、インターネット側の外部計算機と非公開内部サブネットの計算機との間の通信は、公開サブネットの計算機によって終端されている。【0009】
上述の事情に鑑みて、本発明の少なくとも一実施形態は、制御ネットワークなどの内部ネットワークをサイバー攻撃から強固に保護しつつ、内部ネットワークと外部ネットワークとの間の双方向通信を可能とするセキュリティシステム、通信制御方法を提供することを目的とする。【課題を解決するための手段】
【0010】
(1)本発明の少なくとも一実施形態に係るセキュリティシステムは、外部ネットワークに接続されるよう構成される第1ゲートウェイ装置と、
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、を備え、
前記第1ゲートウェイ装置は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第1プロキシ部を有し、
前記第2ゲートウェイ装置は、前記特定プロトコルを処理するよう構成される第2プロキシ部を有し、
前記第1ゲートウェイ装置が前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信すると、前記第1プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第2ゲートウェイ装置に送信し、前記インバウンドの伝送データが前記特定プロトコルの通信情報のものではない場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成され、
前記第2プロキシ部は、前記双方向通信ラインを介して前記第1プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成される。
【0011】
上記(1)の構成によれば、外部ネットワークから内部ネットワークへ向けたインバウンド通信は、特定プロトコルの通信情報のための通信である場合には、第1ゲートウェイ装置から第2ゲートウェイ装置へ送信(中継)される。この際、第1ゲートウェイ装置は、インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を第1プロキシ部で受信した上で、第2ゲートウェイ装置へ送信(中継)する。すなわち、この特定プロトコルの通信情報は、受信側エンド装置とメッセージ(制御コマンドなど)を交換するために送信側エンド装置が生成した通信データである。また、第1ゲートウェイ装置は、外部ネットワークのネットワークレイヤプロトコル(例えば、IP)を終端した後に、内部ネットワークに向けて特定プロトコルの通信情報を送信しなおす。このように、外部ネットワークの送信側エンド装置と内部ネットワークの受信側エンド装置との間を論理的に分断すると共に、この論理的に分断されたネットワークを中継可能な通信の主体を、特定プロトコルを処理可能な第1プロキシ部および第2プロキシ部に制限することで、特定プロトコル以外の通信は内部に侵入できない。このため、外部ネットワークから内部ネットワークへの攻撃や不正侵入といった不正アクセスを遮断することができ、内部ネットワークを保護することができる。【0012】
また、第2ゲートウェイ装置の第2プロキシ部は、第1ゲートウェイ装置から受信した特定プロトコルの通信情報に基づいて内部ネットワークの受信側エンド装置の宛先アドレス(例えば、宛先IPアドレスなど)を取得することで、受信側エンド装置に特定プロトコルの通信情報を送信することができる。つまり、特定プロトコル以外の通信は、受信側エンド装置の宛先アドレスが取得できず、内部ネットワークの受信側エンド装置に送信(中継)されない。このため、第2ゲートウェイ装置によって、内部ネットワークの保護を強固にすることができる。このように、セキュリティシステムは、第1ゲートウェイ装置と第2ゲートウェイ装置の二段構えで内部ネットワークを保護しており、セキュリティシステムによって内部ネットワークを強固に保護することができる。また、第1ゲートウェイ装置(第1プロキシ部)および第2ゲートウェイ装置(第2プロキシ部)による通信制御は、送信側エンド装置および受信側エンド装置の通信処理(IPパケット化や特定の通信インタフェースの採用など)に影響を与えることがなく、セキュア(安全)かつ自由度の高い通信経路を構築することができる。【0013】
(2)幾つかの実施形態では、上記(1)の構成において、前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
前記第2ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信される。
上記(2)の構成によれば、アウトバウンド通信は片方向通信ラインを必ず経由するように構成される。このため、片方向通信ラインによって、データダイオードのように、外部ネットワークからの攻撃や不正侵入を確実に遮断しながら、内部ネットワークの送信側エンド装置から外部ネットワークの受信側エンド装置(宛先)にプラントの運転情報などを送ることができる。
【0014】
(3)幾つかの実施形態では、上記(2)の構成において、前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルである。
上記(3)の構成によれば、第2ゲートウェイ装置から第1ゲートウェイ装置への片方向通信ラインを容易に実装することができる。また、光ファイバケーブルにより通信を行うため、大量のデータを高速に通信することができる。例えば、内部ネットワークが制御ネットワークの場合には、プラントなどの運転情報を内部ネットワークの外部に送ることになるが、このような場合に高速通信を行うことができる。
【0015】
(4)幾つかの実施形態では、上記(2)〜(3)の構成において、前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成される。
上記(4)の構成によれば、シリアル通信などのルーティング不可能なプロトコルによって、第1ゲートウェイ装置と第2ゲートウェイ装置とが接続される。つまり、外部ネットワークからのインバウンド通信は、一旦シリアル通信に変換されることになる。このため、内部ネットワークおよび外部ネットワークがIPネットワークである場合など、外部ネットワークからのインバウンド通信がそのままセキュリティシステム1を経由して内部ネットワークにルーティングされることはなく、セキュアな通信経路を構築することができる。
【0016】
(5)幾つかの実施形態では、上記(2)〜(4)の構成において、前記外部ネットワークおよび前記内部ネットワークはIPネットワークである。
上記(5)の構成によれば、内部ネットワークと外部ネットワークとによってIPネットワークが形成されており、このIPネットワークは、第1ゲートウェイ装置および第2ゲートウェイ装置によって論理的に分離される。このため、インターネットなどの外部ネットワークからのIP通信は、特定プロトコルの通信以外は内部ネットワークから遮断されており、IPを基盤とするインターネットなどからのサイバー攻撃から内部ネットワークを保護することができる。
【0017】
(6)幾つかの実施形態では、上記(5)の構成において、前記第1ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別する。
上記(6)の構成によれば、UDPやTCPのポート番号によって、特定プロトコルの通信を容易に識別することができる。
【0018】
(7)幾つかの実施形態では、上記(6)の構成において、前記第2ゲートウェイ装置は、前記内部ネットワークから受信した前記アウトバウンドの伝送データがUDP/IP通信である場合には、前記片方向通信ラインを使用して、前記アウトバウンドの伝送データを前記第1ゲートウェイ装置に送信する。
上記(7)の構成によれば、UDP/IPはコネクションレス型の通信であり、外部ネットワークの宛先装置からの送達確認なしにデータを送ることができる。このため、内部ネットワークの送信元装置から外部ネットワークの宛先装置に対して、片方向通信ラインを使用した片方向通信を容易に行うことができる。
【0019】
(8)幾つかの実施形態では、上記(1)〜(7)の構成において、前記特定プロトコルは、標準化されていない独自プロトコルである。
上記(8)の構成によれば、独自プロトコルである特定プロトコルを解釈可能な装置である第1ゲートウェイ装置および第2ゲートウェイ装置のみが、外部ネットワークから受信した独自プロトコル(特定プロトコル)の伝送データを内部ネットワークの宛先に向けて中継可能に構成される。このため、外部ネットワークから内部ネットワークへ標準化されたアプリケーションレイヤのプロトコルの伝送データを送ることはできず、サイバー攻撃に対する防御力を増強することができる。
【0020】
(9)幾つかの実施形態では、上記(1)〜(8)の構成において、前記双方向通信ラインは、RS−232Cを含むシリアル通信である。
上記(9)の構成によれば、第1ゲートウェイ装置と第2ゲートウェイ装置の間の特定プロトコルの通信情報の送受信を、標準のインタフェースを用いた簡易な方法により行うことができる。また、内部ネットワークが制御ネットワークの場合である場合には、外部ネットワーク側に接続されるリモートPC(送信側エンド装置)から通信される制御ネットワークの制御要求などの通信データは小容量であり、このような通信に対して適切な通信速度を提供することもできる。
【0021】
(10)幾つかの実施形態では、上記(1)〜(9)の構成において、前記第1ゲートウェイ装置は、第1ファイアウォールを介して前記外部ネットワークに接続され、
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続される。
上記(10)の構成によれば、第1ファイアウォールおよび第2ファイアウォールによって、予め定義された所定の通信を許可しつつ、外部ネットワークから内部ネットワークへのサイバー攻撃を遮断することができ、内部ネットワークをより強固に保護することができる。また、第1ゲートウェイ装置および第2ゲートウェイ装置の処理負荷の軽減を図ることもできる。
【0022】
(11)本発明の少なくとも一実施形態に係る通信制御方法は、外部ネットワークに接続されるよう構成される第1ゲートウェイ装置と、
内部ネットワークに接続されると共に、前記第1ゲートウェイ装置に接続されるよう構成される第2ゲートウェイ装置と、
前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを相互に接続する双方向通信ラインと、を備えるセキュリティシステムによって実行される通信制御方法であって、
前記第1ゲートウェイ装置が、前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信するインバウントデータ受信ステップと、
前記第1ゲートウェイ装置が、前記インバウンドの伝送データのアプリケーションレイヤのプロトコルを確認し、前記アプリケーションレイヤのプロトコルが特定プロトコルである場合には、前記インバウンドの伝送データを前記第2ゲートウェイ装置に前記双方向通信ラインを使用して送信し、前記特定プロトコルの通信情報以外の場合には前記インバウンドの伝送データを前記第2ゲートウェイ装置へ送信しないよう構成される第1インバウンド通信処理ステップと、
前記第2ゲートウェイ装置が、前記第1ゲートウェイ装置から受信した前記インバウンドの伝送データが前記特定プロトコルの通信情報である場合には、前記特定プロトコルの情報に基づいて、前記内部ネットワークにおける通信の宛先アドレスを取得し、前記宛先アドレスに対して前記インバウンドの伝送データを送信する第2インバウンド通信処理ステップと、を有する。
【0023】
上記(11)の構成によれば、上記(1)と同様の効果を得ることができる。【0024】
(12)幾つかの実施形態では、上記(11)の構成において、前記セキュリティシステムは、前記第1ゲートウェイ装置と前記第2ゲートウェイ装置とを、前記第2ゲートウェイ装置から前記第1ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
前記第2ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第1ゲートウェイ装置へ送信されるアウトバウンド通信処理ステップを、さらに有する。
上記(12)の構成によれば、上記(2)と同様の効果を得ることができる。
【0025】
(13)幾つかの実施形態では、上記(12)の構成において、前記片方向通信ラインは、前記第2ゲートウェイ装置の送信物理ポートと前記第1ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルである。
上記(13)の構成によれば、上記(3)と同様の効果を得ることができる。
【0026】
(14)幾つかの実施形態では、上記(12)〜(13)の構成において、前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成される。
上記(14)の構成によれば、上記(4)と同様の効果を得ることができる。
【0027】
(15)幾つかの実施形態では、上記(12)〜(14)の構成において、前記外部ネットワークおよび前記内部ネットワークはIPネットワークである。
上記(15)の構成によれば、上記(5)と同様の効果を得ることができる。
【0028】
(16)幾つかの実施形態では、上記(15)の構成において、前記第1ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別する。
上記(16)の構成によれば、上記(6)と同様の効果を得ることができる。
【0029】
(17)幾つかの実施形態では、上記(16)の構成において、前記アウトバウンド通信処理ステップは、前記内部ネットワークから受信した前記アウトバウンドの伝送データがUDP/IP通信である場合には、前記片方向通信ラインを使用した前記アウトバウンドの伝送データの送信を許可するアウトバウンド通信フィルタリングステップを有する。
上記(17)の構成によれば、上記(7)と同様の効果を得ることができる。
【0030】
(18)幾つかの実施形態では、上記(11)〜(17)の構成において、前記特定プロトコルは、標準化されていない独自プロトコルである。
上記(18)の構成によれば、上記(8)と同様の効果を得ることができる。
【0031】
(19)幾つかの実施形態では、上記(11)〜(18)の構成において、前記双方向通信ラインは、RS−232Cを含むシリアル通信である。
上記(19)の構成によれば、上記(9)と同様の効果を得ることができる。
【0032】
(20)幾つかの実施形態では、上記(11)〜(19)の構成において、前記第1ゲートウェイ装置は、第1ファイアウォールを介して前記外部ネットワークに接続され、
前記第2ゲートウェイ装置は、第2ファイアウォールを介して前記内部ネットワークに接続される。
上記(20)の構成によれば、上記(10)と同様の効果を得ることができる。
【発明の効果】
【0033】
本発明の少なくとも一実施形態によれば、制御ネットワークなどの内部ネットワークをサイバー攻撃から強固に保護しつつ、内部ネットワークと外部ネットワークとの間の双方向通信を可能とするセキュリティシステム、通信制御方法が提供される。【図面の簡単な説明】
【0034】
【図1】本発明の一実施形態に係るセキュリティシステムを含むネットワーク全体の構成を概略的に示す図である。
【図2】本発明の一実施形態に係るセキュリティシステムの構成を概略的に示す図である。
【図3】本発明の一実施形態に係るネットワークを伝送されるインバンド通信のプロトコルスタックを示す図である。
【図4】本発明の一実施形態に係るネットワークを伝送されるアウトバンド通信のプロトコルスタックを示す図である。
【図5】本発明の一実施形態に係るセキュリティシステムのインバンド通信の通信制御フローを示す図である。
【図6】本発明の一実施形態に係るセキュリティシステムのアウトバンド通信の通信制御フローを示す図である。
【発明を実施するための形態】
【0035】
以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。【0036】
図1は、本発明の一実施形態に係るセキュリティシステム1を含むネットワーク全体の構成を概略的に示す図である。また、図2は、本発明の一実施形態に係るセキュリティシステム1の構成を概略的に示す図である。このセキュリティシステム1は、内部ネットワークの通信装置と外部ネットワークの通信装置との間のエンドツーエンド(E2E)の通信を可能としつつ、外部ネットワークを介したサイバー攻撃などから内部ネットワークを保護するもの(装置)である。後述するように、例えば、内部ネットワークは発電プラントなどの制御ネットワーク6であり、外部ネットワークはインターネット5などであり、外部ネットワークを介した内部ネットワークの通信装置の遠隔監視や遠隔操作などのサービスが提供されている。そして、セキュリティシステム1は、内部ネットワークの入口(境界)において、上記のサービスに関連するような必要な通信を許可しつつ、サイバー攻撃などの不正な許可されていない通信を遮断する。【0037】
このような通信制御を実現するために、セキュリティシステム1は、図1〜図2に示されるように、異なるネットワーク間を接続する装置である第1ゲートウェイ装置2および第2ゲートウェイ装置3と、第1ゲートウェイ装置2と第2ゲートウェイ装置とを相互に接続する双方向通信ライン41および片方向通信ライン42と、を備える。また、第1ゲートウェイ装置2は外部ネットワークに接続されるよう構成され、第2ゲートウェイ装置3は、保護対象となる内部ネットワークに接続されるよう構成される。上述の通り、内部ネットワークはセキュリティシステム1によって保護されるネットワークであり、外部ネットワークは、保護対象となる内部ネットワークと通信可能に接続された内部ネットワークの外部にある他のネットワークである。図1〜図2に例示される実施形態では、内部ネットワークは、下記に説明するような制御ネットワーク6であり、外部ネットワークはインターネット5や拠点ネットワーク7(後述)となっている。【0038】
この制御ネットワーク6は、図1〜図2では、イーサネット(登録商標)で構築されたローカルエリアネットワーク(LAN)となっている。また、制御ネットワーク6は発電プラントの制御ネットワークであり、制御ネットワーク6には、図示されるように、プラントの制御を行うコントローラとなるプロセスステーション(MPS)や、現場の製造機器の制御を行う装置との入出力や各種演算処理を行うためのローカルコントローラであるCPUモジュール(CPS)などの制御装置63や、制御装置63などからのデータ収集、保存などを行うと共に外部とのインタフェースとなる端末であるアクセサリーステーション64(ACS64)、制御装置63等の監視・操作用の機器となるオペレータステーション65(OPS65)などが接続されている。そして、これらの各装置(制御装置63やACS64、OPS65など)や第2ゲートウェイ装置3には相互に異なるプライベートIPアドレスがそれぞれ割り当てられており、LAN上でのIP通信が可能となっている。【0039】
拠点ネットワーク7は、図1〜図2では、ファイアウォール74を介してインターネット5に接続されたネットワークであり、インターネット5と共に外部ネットワークの一部を構成している。また、拠点ネットワーク7は、上記の制御装置63の監視・操作用の機器となるオペレータステーション72(OPS72)や、遠隔監視用のサーバ、タブレット端末などの各種装置(以下、適宜、リモートPC)が接続される社内ネットワークである。拠点ネットワーク7も、イーサネット(登録商標)で構築されたローカルエリアネットワーク(LAN)であり、拠点ネットワーク7に接続される各装置(リモートPCなど)に相互に異なるプライベートIPアドレスが割り当てられることで、LAN上でのIP通信が可能となっている。【0040】
また、図1〜図2に例示される実施形態では、制御ネットワーク6(内部ネットワーク)と拠点ネットワーク7とは、インターネット5に構築されたVPN(Virtual Private Network)を介して接続されている。具体的には、拠点ネットワーク7のファイアウォール74の内側のVPN装置75(例えば、VPN対応ルータなど)と、第1ゲートウェイ装置2とインターネット5との境界に設置された第1ファイアウォール14aの内側のVPN装置15との間でVPNが構築されており、インターネット5上に仮想的なトンネル(VPNトンネル55)が構築されている。【0041】
そして、上述のVPN接続と、下記に説明する第1ゲートウェイ装置2と第2ゲートウェイ装置3と間の接続とを介して、制御ネットワーク6の制御装置63とリモートPCとの間でE2Eの通信が確立される。つまり、拠点ネットワーク7に接続された上記のOPS72などの各種装置をリモートPCとして、制御ネットワーク6に接続された制御装置63などの遠隔監視、遠隔制御などが行われる。この第1ゲートウェイ装置2と第2ゲートウェイ装置3との間の接続は、下記に説明する双方向通信ライン41および片方向通信ライン42の2つの通信ライン4によってそれぞれ行われる。【0042】
双方向通信ライン41は、図1〜図2に示されるように、第1ゲートウェイ装置2と第2ゲートウェイ装置3とを双方向通信が可能に接続する通信ライン4である。図1〜図2に例示される実施形態では、双方向通信ライン41はRS232Cなどのシリアル通信が行われる通信ライン4であり、第1ゲートウェイ装置2と第2ゲートウェイ装置3とが双方向通信ライン41によって一対一に接続される。つまり、双方向通信ライン41を介した通信の宛先は直接接続された相手側の装置であり、第1ゲートウェイ装置2から双方向通信ライン41を介して送られる通信データは、第2ゲートウェイ装置3以外の装置に自動的に転送されることはない。同様に、第2ゲートウェイ装置3から双方向通信ライン41を介して送られる通信データは、第1ゲートウェイ装置2以外の装置に自動的に転送されることはない。このように、双方向通信ライン41を介した通信は、ルーティングがされないプロトコル(ルーティング不可能なプロトコル)で行われるよう構成されている。図2では、第1ゲートウェイ装置2の外部通信インタフェース(外部通信IF23d)と第2ゲートウェイ装置3の外部通信IF33dとがRS232Cケーブルで接続されている。【0043】
この双方向通信ライン41は、主に、リモートPC(OPS72)から制御ネットワーク6の制御装置63に対して制御コマンド(後述する特定プロトコルの通信情報)などを送信するための回線である。このような制御コマンドの通信量は比較的小さく、RS232Cのような比較的低速な通信ライン4によって、通信量による制限を設けながら、適切な通信速度を提供することが可能となっている。後述するように、双方向通信ライン41を経由した通信は、第1ゲートウェイ装置2の第1プロキシ部21と第2ゲートウェイ装置3の第2プロキシ部31とによって制御されており、これによって、制御ネットワーク6(内部ネットワーク)の保護を図っている。【0044】
一方、片方向通信ライン42は、図1〜図2に示されるように、第1ゲートウェイ装置2と第2ゲートウェイ装置3とを、第2ゲートウェイ装置3から第1ゲートウェイ装置2に向けた片方向通信が可能に接続する通信ライン4である。この片方向通信ライン42は、例えば、第2ゲートウェイ装置3の有する外部通信IF33s(例えば、NIC:Network Interface Card)の送信物理ポートと第1ゲートウェイ装置2の有する外部通信IF23sの受信物理ポートを接続すると共に、第1ゲートウェイ装置2の外部通信IF23sの送信物理ポートと第2ゲートウェイ装置3の外部通信IF33sの受信物理ポートを接続しないことで、片方向通信を実現しても良い。具体的には、図1〜2では、図2に示されるように、片方向通信ライン42は、第2ゲートウェイ装置3の外部通信IF33dの送信物理ポート(Txポート)と第1ゲートウェイ装置2の外部通信IF23dの受信物理ポート(Rxポート)を光ファイバケーブルによって接続すると共に、第1ゲートウェイ装置2の外部通信IF23dの送信物理ポート(Txポート)と第2ゲートウェイ装置3の外部通信IF33dの受信物理ポート(Rxポート)を光ファイバケーブルなどで接続していないことで形成されている。このように、一方向の通信ライン4を物理的に形成することで、片方向通信の通信ライン4を構成している。【0045】
この片方向通信ライン42は、主に、プラントの運転データなどの大量のデータを制御ネットワーク6の内部から外部のOPS72や各種サーバなどのリモートPCに送るための通信ライン4であり、光ファイバケーブルで構成することで、高速通信を提供することが可能となっている。このように、外部ネットワークからの通信は、片方向通信ライン42を経由して制御ネットワーク6に到達することができないように構成することで、制御ネットワーク6(内部ネットワーク)の保護を図っている。【0046】
上述したようなネットワークの全体構成において、第1ゲートウェイ装置2および第2ゲートウェイ装置3は、両装置を接続する通信ライン4(双方向通信ライン41と片方向通信ライン42)を経由した通信を制御することで、内部ネットワークの保護を図っている。詳述すると、図2に示されるように、第1ゲートウェイ装置2は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第1プロキシ部21を有し、第2ゲートウェイ装置3は、この特定プロトコルを処理するよう構成される第2プロキシ部31を有する。そして、第1プロキシ部21および第2プロキシ部31は、下記に説明するように、双方向通信ライン41およびと片方向通信ライン42を介した通信データに対して後述する送信処理および受信処理(送受信処理)を行うことで通過しようとする通信の通信制御を行う。【0047】
ここで、特定プロトコルは、制御ネットワーク6の通信装置(制御装置63、ACS64など)と外部ネットワークの通信装置(リモートPC)との間で情報を交換するためのプロトコルであり、特定プロトコルの通信情報が交換される。つまり、特定プロトコルの通信情報は、制御装置63などの受信側エンド装置とリモートPCなどの送信側エンド装置との間で交換されるE2Eの通信データ(メッセージ形式の制御コマンドや監視データ要求など)であり、送信側エンド装置が生成したものである。すなわち、リモートPC(例えば、OPS72)や制御ネットワーク6の制御装置63やACS64は、上記の特定プロトコルの通信情報の処理(例えば、制御コマンドの生成、解釈、実行など)を行うための専用アプリケーション(専用プログラム)を備えている。そして、この専用アプリケーションのプロセスは、それぞれの装置のOS(Operating System)上で動作しており、特定プロトコルによって装置間でのプロセス間通信を行うことで、特定プロトコルの通信情報の内容に応じた制御(例えば、制御装置63の設定変更など)がなされる。【0048】
また、特定プロトコルの通信情報は、特定プロトコルのフォーマットを有している。例えば、ヘッダ部(制御部)とデータ部とを有しても良い。また、このフォーマットには、受信側エンド装置(宛先)を識別するための宛先アドレス情報が含まれても良く、後述するように少なくとも第2プロキシ部31によって利用される。そして、送信側エンド装置の専用プログラムによってソケットAPIがコールされることで、特定プロトコルの通信情報を含むUDP/IPパケットが生成されて、ネットワーク上に送信される。この際、専用プログラムによって、特定プロトコルの通信情報は圧縮、暗号化されても良く、このような通信データがIPパケット化されることで、データの盗聴、改ざんに対する耐力を向上させることができる。また、送信側エンド装置の専用プログラムから送信される通信は受信側エンド装置の専用プログラムによって監視されることで、通信データに対する解凍、復号化を通してメッセージの交換がなされる。なお、専用プログラムは、TCP/IPパケットを生成して通信を行っても良い。【0049】
図1〜図2に例示される実施形態では、特定プロトコルは、標準化されていない独自プロトコルであり、その仕様は一般に公開されているものではない。つまり、独自プロトコルである特定プロトコルを解釈可能な装置である第1ゲートウェイ装置2および第2ゲートウェイ装置3のみが、外部ネットワークから受信した独自プロトコル(特定プロトコル)の伝送データを内部ネットワークの宛先に向けて送信(中継)可能に構成される。このため、外部ネットワークから内部ネットワークへ標準化されたアプリケーションレイヤのプロトコルの伝送データを送ることはできず、サイバー攻撃に対する防御力を増強することができる。【0050】
このような特定プロトコル(独自プロトコル)の通信情報を第1プロキシ部21および第2プロキシ部31(プロキシ部)は処理する。これらのプロキシ部(第1プロキシ部21および第2プロキシ部31)は、図2に示されるように、第1ゲートウェイ装置2および第2ゲートウェイ装置3のプラットフォームのOS上で動作するアプリケーションソフトウェアのプロセスやスレッドである。つまり、第1ゲートウェイ装置2および第2ゲートウェイ装置3は、プロセッサ(CPU)やメモリを備えている。そして、プロキシ部として機能するプログラム(ソフトウェア)は、メインメモリに展開(ロード)されることでOSなどのプラットフォームの機能を利用しながら動作する。具体的には、プロキシ部は、プロセッサを用いてプログラムの命令を実行することで、特定プロトコルを処理するよう構成されている。また、プロキシ部は、プロセッサを用いてプログラムの命令を実行することで、プラットフォームの通信機能(OSや外部通信IFなど)を利用して、装置の外部との通信を行うよう構成されている。なお、プロキシ部は、DOS系、Unix系、Linux(登録商標)系、Windows系などの様々なプラットフォーム上で動作しても良い。【0051】
そして、ゲートウェイ装置(第1ゲートウェイ装置2や第2ゲートウェイ装置3)の外部通信IF(23、33)に伝送データが到達することで、第1ゲートウェイ装置2や第2ゲートウェイ装置3は伝送データを受信する。また、ゲートウェイ装置では、プロキシ部(第1プロキシ部21や第2プロキシ部31)が処理対象となる通信データの受信を監視しており、受信した伝送データは、ゲートウェイ装置のプラットフォームの通信処理部(OSや外部通信IF(23、33)など)による処理を通して、プロキシ部に受信される。この際、プロキシ部は、処理対象となる特定プロトコルの通信情報のみ受信するように構成されても良い。あるいは、プロキシ部は、ゲートウェイ装置によって受信される全ての伝送データの通信データを受信した上で、特定プロトコルの通信情報を識別し、対象であるものについて送受信処理(後述)を継続して実行し、それ以外の通信データに対しては処理を終了(例えば廃棄)するよう構成しても良い。【0052】
通信データが特定プロトコルの通信情報であるか否かの判断は、IPパケットに含まれるポート番号(UDPポート番号あるいはTCPポート番号)により行われても良い。図1〜図2の実施形態では、この判断はポート番号によって行われている。この構成によれば、ポート番号によって特定プロトコルの通信を容易に識別することができる。このようにして、プロキシ部は特定プロトコルの通信情報を取得する。なお、特定プロトコルの通信情報が複数のIPパケットに分割されてネットワーク上(内部ネットワークや外部ネットワーク)を伝送されている場合には、分割されたIPパケットを全て受信して組み立てることで、特定プロトコルの通信情報がプロキシ部によって取得されることになる。【0053】
以下、図3〜図4を用いて、第1ゲートウェイ装置2および第2ゲートウェイ装置3による通信制御(送受信処理)を、インバウンドの通信とアウトバウンドの通信とに分けて順に説明する。これらの図は、図1〜図2に対応するものであり、リモートPC(例えば、OPS72やサーバ)と制御ネットワーク6の制御装置63(図3)やACS64(図4)との間で、エンドツーエンド(E2E)の通信が行われる場合を例として記載されている。ここで、インバウンド通信は、外部ネットワークから内部ネットワークに向けた方向の通信である。また、アウトバウンド通信は、内部ネットワークから外部ネットワークへ向けた方向の通信である。また、各エンド装置は、宛先となるエンド装置のネットワーク上の宛先アドレス(IPアドレス)を通信時に知ることができ、IP通信の際の宛先IPアドレスとして設定することができるものとする。【0054】
インバウンドの通信は、図3に示されるように、外部ネットワークの通信装置を送信元(送信側エンド装置)、内部ネットワークの通信装置を宛先(受信側エンド装置)として行われるデータ通信に対応する。そして、第1ゲートウェイ装置2が、外部ネットワークから内部ネットワークへ向けたインバウンドの伝送データを受信すると、第1プロキシ部21は、インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第2ゲートウェイ装置に送信するよう構成される。逆に、第1プロキシ部21は、第1ゲートウェイ装置2が受信したインバウンドの伝送データが特定プロトコルの通信情報のものではない場合にはインバウンドの伝送データを第2ゲートウェイ装置へ送信しないよう構成される。【0055】
詳述すると、図3は、本発明の一実施形態に係るネットワークを伝送されるインバンドの伝送データのプロトコルスタックを示す図である。図3では、リモートPC(図3の例示ではOPS72)からは、特定プロトコル(独自プロトコル)の通信情報がデータ部にセットされたIPパケットが送信される。図3の例示では、リモートPCからのIPパケットは、拠点ネットワーク7をイーサネット(登録商標)フレームによって伝送された後、インターネット5のVPNトンネル55を通って第1ゲートウェイ装置2に到達し、第1ゲートウェイ装置2に外部通信IF23oを介して受信される。【0056】
第1プロキシ部21は、特定プロトコルの通信情報を受信すると受信処理を行う。この第1プロキシ部21による受信処理は、受信した特定プロトコルの通信情報の宛先アドレス(受信側エンド装置のアドレス)を取得することが含まれても良い。この受信した宛先アドレスに基づいて、通信が例えば自身宛てではなく、双方向通信ライン41の先の制御ネットワーク6に受信側エンド装置充てであることが分かるので、双方向通信ライン41を介した通信を行うことができる。この宛先アドレスの取得方法には、下記に説明するように様々な方法がある。なお、後述するように、第2プロキシ部31は、第1プロキシ部21から受信する特定プロトコルの通信情報から、受信側エンド装置の宛先アドレスを取得する点は同じとなる。【0057】
例えば、幾つかの実施形態では、第1プロキシ部21は、リモートPC(OPS72)が送信した伝送データの宛先アドレス(IPパケットの宛先IPアドレス)を使用することなく、宛先アドレスを、特定プロトコルの通信情報から取得している。すなわち、特定プロトコルの通信情報には宛先アドレスを格納する宛先アドレスフィールドがあり、受信側エンド装置の宛先アドレスがリモートPC側で予めセットされている。そして、第1プロキシ部21は、この宛先アドレスフィールドを検索することで宛先アドレスを取得している。例えば、宛先アドレスフィールドには宛先IPアドレスが直接的に格納されていても良いし、宛先アドレスフィールドに格納されたアドレス情報(URLなど)から、ゲートウェイ装置の内部あるいは外部のDNS(Domain Name System)などを利用して宛先IPアドレスを取得するよう構成しても良い。また、宛先アドレスフィールドは、特定プロトコルの通信情報のフォーマット上の固定位置に存在しても良いし、タグ情報などにより任意の位置に存在しても良い。上記の構成によれば、第1プロキシ部21は、特定プロトコル以外の通信情報から宛先を知ることは困難であり、特定プロトコルの仕様に沿ったインバウンドの通信以外が第1ゲートウェイ装置2を通過するのを防止することができる。【0058】
他の幾つかの実施形態では、第1プロキシ部21は、特定プロトコルの通信情報をOSから引き渡される際に、リモートPC(OPS72)が送信した伝送データの宛先アドレス(IPパケットの宛先IPアドレス)を同時に受け取ることで取得する。この場合には、リモートPCが生成した直後の特定プロトコルの通信情報には宛先アドレスの情報は含まれていなくても良い。なお、この場合には、第1プロキシ部21の送信処理は、この取得した宛先アドレスを特定プロトコルの通信情報と共に、双方向通信ライン41を介して第2プロキシ部31に送信するよう構成される。例えば、特定プロトコルの通信情報の宛先アドレスフィールドなどに宛先アドレスを付加するなど、第1プロキシ部21および第2プロキシ部31との間で決められた方法により、特定プロトコルの通信情報に宛先アドレスを付加しても良い。上記の構成によれば、特定プロトコルの仕様に沿ったインバウンドの通信以外が第1ゲートウェイ装置2を通過するのを防止することができる。【0059】
なお、上記のいずれの実施形態においても、受信処理には、リモートPC側で圧縮や暗号化がなされた特定プロトコルの通信情報を解凍、復号化することが含まれても良い。この場合には、第1プロキシ部21は、解凍や復号化によって正しい特定プロトコルの通信情報を取得することが、第2プロキシ部31へ送信することの前提としても良い。【0060】
また、第1プロキシ部21は、上述のような受信処理の後に、特定プロトコルの通信情報の送信処理を実行する。具体的には、図3に示されるように、第1プロキシ部21は、双方向通信ライン41を介してシリアル通信(1対1接続)により特定プロトコルの通信情報を第2ゲートウェイ装置3に送信する。具体的には、取得された宛先アドレスに基づいて制御ネットワーク6に受信側エンド装置が存在することを認識し、双方向通信ライン41経由で第2プロキシ部31に特定プロトコルの通信情報を送信する。この送信処理には、特定プロトコルの通信情報の圧縮や暗号化が含まれても良い。図1〜図3に例示される実施形態では、第1ゲートウェイ装置2の第1プロキシ部21は、RS232Cのシリアルポート(COMポート)を介して順次通信データを送信している。また、第2ゲートウェイ装置3の第2プロキシ部31は、RS232Cのシリアルポート(COMポート)を介して順次通信データを受け取り、下記に説明する送受信処理を行う。【0061】
なお、第1プロキシ部21による送受信処理は上記に限定されない。他の幾つかの実施形態では、第1プロキシ部21は、受信側エンド装置が双方向通信ライン41の先の制御ネットワーク6に存在することを前提としても良い。つまり、第1プロキシ部21は、受信処理によって宛先アドレスを取得しなくても良く、受信した特定プロトコルの通信情報は常に制御ネットワーク6宛てと認識して送信処理を行う。この場合には、リモートPCが生成した直後の特定プロトコルの通信情報には宛先アドレスの情報が含まれている必要がある。このような構成であっても、第1ゲートウェイ装置2を通過することが可能な通信データを特定プロトコルの通信情報に限定することができ、それ以外の通信データが内部ネットワークに侵入するのを阻止することができる。【0062】
一方、第2プロキシ部31は、上述のように第1プロキシ部21から送信された通信データを受信すると、受信処理を行う。具体的には、第2プロキシ部31は、双方向通信ライン41を介して第1プロキシ部21から特定プロトコルの通信情報を受信した場合には、内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成される。すなわち、第1プロキシ部21と第2プロキシ部31とは1対1に接続されており、このような通信では、IPパケットのような数ホップ先の宛先アドレスを示す情報は不要であり、標準的にはない。言い換えると、第1ゲートウェイ装置2によって外部ネットワークからのIP通信は一旦終端されており、RS232Cなどのシリアル通信にIP通信を単に置き換えるだけでは、終端されたIP通信の宛先IPアドレスは不要のため、通信先の第2プロキシ部31は受信側エンド装置の宛先アドレスを通常は得られない。そこで、第2プロキシ部31は、第1プロキシ部21によって送られた通信情報からアドレス情報を取得する。例えば、上述のように、特定プロトコルの通信情報には宛先アドレスを格納する宛先アドレスフィールドがあり、この宛先アドレスフィールドを検索することで宛先アドレスを取得しても良い。特定プロトコルの通信情報から宛先アドレスを取得することには、リモートPCによって生成された特定プロトコルの通信情報の通信データ(メッセージ)に付加されることで、宛先アドレス情報が第1プロキシ部21から送られることも含まれる。【0063】
また、第2プロキシ部31は、上記の受信処理の後に、送信処理を実行する。具体的には、受信処理によって取得した宛先アドレスを通信の宛先アドレス(IPパケットの宛先IPアドレス)として、特定プロトコルの通信情報を受信側エンド装置に送信する。図3に例示される実施形態では、受信処理によって取得された宛先アドレスを宛先IPアドレスフィールドに指定してソケットAPIをコールすることで、特定プロトコルの通信情報を含むUDP/IPパケットが生成されて、外部通信IF33iから制御ネットワーク6上に送信される。このIPパケットは、イーサネット(登録商標)フレームに乗せられて制御ネットワーク6内をルーティングされて、受信側エンド装置(宛先)に受信される。このようにして、受信側エンド装置(宛先)は、リモートPCからの通信データを受信することができる。なお、第2プロキシ部31による受信処理には、特定プロトコルの通信情報を解凍、復号化が含まれても良く、送信処理には、特定プロトコルの通信情報の圧縮や暗号化が含まれても良い。【0064】
続いて、アウトバンドの通信に対する通信制御について説明する。アウトバンドの通信は、図4に示されるように、内部ネットワークの通信装置を送信元(送信側エンド装置)、外部ネットワークの通信装置を宛先(受信側エンド装置)として行われるデータ通信に対応する。上述の通り、セキュリティシステム1は、第1ゲートウェイ装置2と第2ゲートウェイ装置3とを、第2ゲートウェイ装置3から第1ゲートウェイ装置2に向けた片方向通信が可能に接続する片方向通信ラインを備えており、第2ゲートウェイ装置3が受信するアウトバンドの伝送データは、双方向通信ライン41を経由することなく、片方向通信ライン42を経由して第1ゲートウェイ装置2へ送信される。例えば、特定プロトコル(独自プロトコル)が、HTTP通信のようなリクエストと、リクエストに対するレスポンスとがセットで行われるような仕様となっている場合でも、アウトバンドの送信は片方向通信ライン42を経由し、インバウンドの送信は双方向通信ライン41を経由する。すなわち、アウトバウンド通信は片方向通信ライン42を必ず経由するように構成される。このため、片方向通信ライン42によって、データダイオードのように、外部ネットワークからの攻撃や不正侵入を確実に遮断しながら、内部ネットワークの送信側エンド装置から外部ネットワークの受信側エンド装置(宛先)にプラントの運転情報などを送ることができる。
【0065】
詳述すると、図4は、本発明の一実施形態に係るネットワークを伝送されるアウトバンドの伝送データのプロトコルスタックを示す図である。図4では、制御ネットワーク6のACS54からは、特定プロトコル(独自プロトコル)の通信情報がデータ部にセットされたIPパケットが送信される。図4の例示では、ACSからのIPパケットはイーサネット(登録商標)フレームによって制御ネットワーク6を伝送されて、第2ゲートウェイ装置3に外部通信IF33iを介して受信される。【0066】
そして、第2プロキシ部31は、アウトバンド通信による特定プロトコルの通信情報を受信すると、受信処理、および、受信処理の後の送信処理を行う。他方、第1プロキシ部21も、第2プロキシ部31から双方向通信ライン41を介して受信するアウトバンド通信に対して、受信処理および送信処理を行う。このようなアウトバンド通信に対する送受信処理は、下記に説明するように様々な方法がある。【0067】
幾つかの実施形態では、図4に示されるように、第2プロキシ部31は、受信したアウトバウンド通信の伝送データ(IPパケット)のアプリケーションレイヤのプロトコルの種類にかかわらず、伝送データの宛先アドレス(IPパケットの宛先IPアドレス)に基づいて伝送データを転送(送信)するように構成される。この場合には、第1プロキシ部21も、第2ゲートウェイ装置3から受信したアウトバウンドの伝送データを宛先アドレスに基づいて、宛先エンド装置に向けてIPパケットを送信する。すなわち、第2プロキシ部31および第1プロキシ部21は、アウトバウンドの通信に対してIPレイヤまでしか処理しない。これによって、ゲートウェイ装置の処理負荷を低減することができる。また、制御ネットワーク6における片方向通信ライン42を介した通信は、プラントの運転データなど通信量が多い。このため、第2プロキシ部31及び第1プロキシ部21による送受信処理を簡略化することで、適切な通信速度を得ることができる。また、このように簡略化したとしても、片方向通信ライン42を介したアウトバンドの通信は片方向通信に限られるので、片方向通信ライン42を介した外部ネットワークからのサイバー攻撃は遮断されることに変わりはない。【0068】
他の幾つかの実施形態では、第2プロキシ部31によるアウトバウンド通信に対する受信処理と送信処理は、片方向通信ライン42経由でIP通信すること以外は、上記に説明したインバウンド通信に対する第1プロキシ部21の受信処理と送信処理とそれぞれ同様であっても良い。この場合には、第1プロキシ部21によるアウトバンド通信に対する受信処理および送信処理も、片方向通信ライン42経由でIP通信すること以外は、上記に説明したインバウンド通信に対する第2プロキシ部31の受信処理と送信処理とそれぞれ同様となる。上記の構成によれば、セキュリティシステム1を経由したアウトバウンドの通信を特定プロトコルの通信に制限することができ、内部ネットワークからの情報漏えいの防止を図ることができる。【0069】
また、幾つかの実施形態では、図4に示されるように、セキュリティシステム1を介したアウトバウンドの通信をUDP/IP通信に限定しても良い。すなわち、幾つかの実施形態では、第2ゲートウェイ装置3は、内部ネットワークから受信したアウトバウンドの伝送データがUDP/IP通信である場合には、片方向通信ライン42を使用して、アウトバウンドの伝送データを第1ゲートウェイ装置2に送信(中継)する。UDP/IPはコネクションレス型の通信であり、外部ネットワークの宛先装置からの送達確認なしにデータを送ることができるプロトコルである。このため、内部ネットワークの送信元装置から外部ネットワークの宛先装置に対して、片方向通信ラインを使用した片方向通信を容易に行うことができる。他の幾つかの実施形態では、第2ゲートウェイ装置3は、上記の特定プロトコルの通信情報を運ぶUDP/IPパケットのみ、中継するように構成しても良い。これによって、第2ゲートウェイ装置3は許可された通信のみを処理し、それ以外のパケットを廃棄などすることで、転送処理の負荷を軽減することができる。これらのフィルタリングは、第2プロキシ部31が行っても良いし、他のプログラム機能(フィルタリング部)が行っても良く、フィルタリング部はフィルタリング後に第2プロキシ部31に通信データを転送しても良い。また、UDP/IPパケットは、ポート番号でパケットフィルタリングされても良く、予め定められたリストに基づいて判断しても良い。【0070】
次に、第1ゲートウェイ装置2および第2ゲートウェイ装置3による通信制御方法を、図5〜図6を用いて具体的に説明する。図5は、本発明の一実施形態に係るセキュリティシステム1によるインバンド通信の通信制御フローを示す図である。また、図6は、本発明の一実施形態に係るセキュリティシステム1によるアウトバンド通信の通信制御フローを示す図である。これらの図は、図1〜図4に対応したものであり、第1ゲートウェイ装置2や第2ゲートウェイ装置3の備えるプロセッサがプロキシ部(第1プロキシ部21、第2プロキシ部31)からの命令を実行することで行われる。【0071】
図5について説明すると、ステップS50において、第1ゲートウェイ装置2は、外部ネットワーク側からのインバウンドのIPパケット(伝送データ)の受信を監視している。ステップS51においてIPパケットを受信すると、第1ゲートウェイ装置2の通信処理部や第1プロキシ部21はIPパケットの処理を行う。具体的には、ステップS52おいて、IPパケットが特定プロトコル(独自プロトコル)による通信ものであるかをポート番号で確認し、特定プロトコルの通信のものではない場合には、通信制御を終了する。例えば、確認した受信IPパケットを廃棄することで通信制御を終了しても良い。また、ステップS52において、受信したIPパケットが特定プロトコル(独自プロトコル)のものである場合には、ステップS53において、第1プロキシ部21は、特定プロトコルの通信情報に対して上述した送受信処理を実行する。【0072】
ステップS54において、第1プロキシ部21は、双方向通信ライン41を経由で特定プロトコルの通信情報を第2ゲートウェイ装置3の第2プロキシ部31へ送信すると、ステップS55において、第2プロキシ部31は双方向通信ライン41を介して特定プロトコルの通信情報を受信する。これを受信した第2プロキシ部31は、ステップS56において、宛先アドレス(受信側エンド装置のIPアドレス)を取得するために、特定プロトコルの通信情報を解析する。そして、ステップS57において、特定プロトコルの通信情報から宛先アドレスを取得した場合には、第2プロキシ部31は、宛先アドレスに対して特定プロトコルの通信情報をIP通信により送信する。逆に、ステップS58において、特定プロトコルの通信情報から宛先アドレスを取得できない場合には、通信制御を終了する。【0073】
図6について説明すると、図6は、第2ゲートウェイ装置3(第2プロキシ部31)がアプリケーションレイヤのプロトコルの種類にかかわらず受信したIPパケットを転送する実施形態の通信制御フローを示している。図6のステップS60において、第2ゲートウェイ装置3(第2プロキシ部31)は、内部ネットワーク側からのアウトバウンドの伝送データ(パケット)の受信を監視している。ステップS61においてIPパケットを受信すると、第2ゲートウェイ装置3のプラットフォームの通信処理部や第2プロキシ部31はIPパケットの処理を行う。具体的には、ステップS62おいて、受信IPパケットの宛先を確認する。そして、受信IPパケットの宛先が外部ネットワーク側である場合には、ステップS63において、第2ゲートウェイ装置3の通信制御部は、片方向通信ライン42を介して、第1ゲートウェイ装置2にIPパケットを送信する。逆に、ステップS62において、受信IPパケットの宛先は外部ネットワーク側でない場合には、ステップS67においてIPパケットに対して処理を行った後に、通信制御を終了する。このステップS67での処理は、例えば、自身宛てのIPパケットの場合には自身で処理し、宛先IPアドレスが内部ネットワーク内の装置を示す場合には、IPパケットを内部ネットワーク内の宛先に対して送信することを含んでも良い。【0074】
ステップS64において、第1ゲートウェイ装置2は、片方向通信ライン42を介して、第2ゲートウェイ装置3からIPパケットを受信する。そして、ステップS65において、受信IPパケットの宛先を確認する。そして、宛先アドレスが外部ネットワーク側を示す場合には、ステップS66において、第1ゲートウェイ装置2(第1プロキシ部21)は、宛先アドレスに向けて外部ネットワークにIPパケットを送信する。逆に、ステップS65において、宛先アドレスが外部ネットワーク側を示していない場合には、ステップS67において受信IPパケットを処理する。このステップS67では、例えば、自身宛てのIPパケットの場合には自身で処理し、それ以外には、例えばIPパケットを廃棄しても良い。【0075】
上記の構成によれば、外部ネットワークから内部ネットワークへ向けたインバウンド通信は、特定プロトコルの通信情報のための通信である場合には、第1ゲートウェイ装置2から第2ゲートウェイ装置3へ送信(中継)される。この際、第1ゲートウェイ装置2は、インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を第1プロキシ部21で受信した上で、第2ゲートウェイ装置3へ送信(中継)する。すなわち、この特定プロトコルの通信情報は、受信側エンド装置とメッセージ(制御コマンドなど)を交換するために送信側エンド装置が生成した通信データである。また、第1ゲートウェイ装置2は、外部ネットワークのネットワークレイヤプロトコル(例えば、IP)を終端した後に、内部ネットワークに向けて特定プロトコルの通信情報を送信しなおす。このように、外部ネットワークの送信側エンド装置と内部ネットワークの受信側エンド装置との間を論理的に分断すると共に、この論理的に分断されたネットワークを中継可能な通信の主体を、特定プロトコルを処理可能な第1プロキシ部21および第2プロキシ部31に制限することで、特定プロトコル以外の通信は内部に侵入できない。このため、外部ネットワークから内部ネットワークへの攻撃や不正侵入といった不正アクセスを遮断することができ、内部ネットワークを保護することができる。【0076】
また、第2ゲートウェイ装置3の第2プロキシ部31は、第1ゲートウェイ装置2から受信した特定プロトコルの通信情報に基づいて内部ネットワークの受信側エンド装置の宛先アドレス(例えば、宛先IPアドレスなど)を取得することで、受信側エンド装置に特定プロトコルの通信情報を送信することができる。つまり、特定プロトコル以外の通信は、受信側エンド装置の宛先アドレスが取得できず、内部ネットワーク(制御ネットワーク6)の受信側エンド装置に送信(中継)されない。このため、第2ゲートウェイ装置3によって、内部ネットワークの保護を強固にすることができる。このように、セキュリティシステム1は、第1ゲートウェイ装置2と第2ゲートウェイ装置3の二段構えで内部ネットワークを保護しており、セキュリティシステム1によって内部ネットワークを強固に保護することができる。また、第1ゲートウェイ装置2(第1プロキシ部21)および第2ゲートウェイ装置3(第2プロキシ部31)による上述の通信制御は、送信側エンド装置および受信側エンド装置の通信処理(IPパケット化や特定の通信インタフェースの採用など)に影響を与えることがなく、セキュアかつ自由度の高い通信経路を構築することができる。【0077】
さらに、内部ネットワークと外部ネットワークとによってIPネットワークが形成されており、このIPネットワークは、第1ゲートウェイ装置および第2ゲートウェイ装置によって論理的に分離される。このため、インターネットなどの外部ネットワークからのIP通信は、特定プロトコル(独自プロトコル)の通信以外は内部ネットワークから遮断されており、IPを基盤とするインターネットなどからのサイバー攻撃から内部ネットワークを保護することができる。【0078】
また、幾つかの実施形態では、図1に示されるように、第1ゲートウェイ装置2は、第1ファイアウォール14aを介して外部ネットワークに接続され、第2ゲートウェイ装置3は、第2ファイアウォール14bを介して内部ネットワークに接続される。図1に例示される実施形態では、第1ゲートウェイ装置2とインターネット5との間に第1ファイアウォール14aが設置されており、第2ゲートウェイ装置3と制御ネットワーク6との間に第2ファイアウォール14bが設置されている。そして、これらのファイアウォールによってパケットのフィルタリングを行うことで、予め定義された所定の通信のみ許可するようにしている。これらの通信(IPパケット)のフィルタリングは、フィルタ条件を定義するリスト(アクセスリスト)に基づいて行われる。例えば、フィルタ条件の一項目として、上述の特定プロトコル(独自プロトコル)の通過を許可するという条件を有しても良い。また、UDP通信の場合には通過を許可するという条件を有しても良い。このように第1ファイアウォール14aや第2ファイアウォール14bによってフィルタリングする場合には、第1ゲートウェイ装置2や上述の第2ゲートウェイ装置3でのフィルタリングは省略することができる。【0079】
上記の構成によれば、第1ファイアウォール14aおよび第2ファイアウォール14bによって、予め定義された所定の通信を許可しつつ、外部ネットワークから内部ネットワークへのサイバー攻撃を遮断することができ、内部ネットワークをより強固に保護することができる。また、第1ゲートウェイ装置および第2ゲートウェイ装置の処理負荷の軽減を図ることもできる。【0080】
本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。例えば、図1に示される実施形態ではリモートPC(OPS72など)は拠点ネットワーク7に接続されているが、他の幾つかの実施形態では、リモートPCは拠点ネットワーク7に接続されていなくても良く、リモートアクセスVPN技術によって、リモートPCと第1ファイアウォール14aとの間でVPN接続が構築されても良い。また、リモートPCなどにグローバルIPアドレスが付与されていても良い。
【0081】
また、リモートPCは、第1ゲートウェイ装置2を宛先エンド装置としたパケットを送信しても良い。この場合には、第1ゲートウェイ装置2および第2ゲートウェイ装置3は、特定プロトコルの通信情報に含まれる宛先アドレスに基づいて、転送先(制御ネットワーク6の制御装置63など)を判断することになる。【0082】
図1に示される実施形態では、双方向通信ライン41や片方向通信ライン42は有線であるが、他の幾つかの実施形態では少なくとも一方の通信ライン4が無線によって構成されても良い。図1に示される実施形態では、双方向通信ライン41はRS232Cで構成されているが、これに限定されず、双方向通信ライン41は、1対1接続を可能とする通信規格であれば、他の標準的な通信規格(プロトコル)を採用しても良い。また、図1に示される実施形態では、片方向通信ライン42による片方向通信は物理ポートの接続によって形成されているが、これには限定されず、LANケーブルなどの配線を変更しても良く、例えば、第1ゲートウェイ装置2から第2ゲートウェイ装置3への通信配線を取り除いたり、絶縁するなどしても良い。この場合も、物理ポート間を接続することに含まれるとする。また、片方向通信ライン42は物理的に通信を片方向としているが、他の幾つかの実施形態では、論理的(通信レイヤL2以上)に片方向通信を実現しても良く、ソフトウェアによって片方向通信を実現しても良い。あるいは、物理的および論理的に片方向通信を実現しても良い。【符号の説明】
【0084】
1 セキュリティシステム14a 第1ファイアウォール
14b 第2ファイアウォール
15 VPN装置
2 第1ゲートウェイ装置
21 第1プロキシ部
23 外部通信インタフェース
23d 外部通信IF
23s 外部通信IF
23o 外部通信IF
3 第2ゲートウェイ装置
31 第2プロキシ部
33 外部通信インタフェース
33d 外部通信IF
33s 外部通信IF
33o 外部通信IF
4 通信ライン
41 双方向通信ライン
42 片方向通信ライン
5 インターネット(外部ネットワーク)
55 VPNトンネル
6 制御ネットワーク(内部ネットワーク)
63 制御装置
64 アクセサリーステーション(ACS)
65 オペレータステーション(OPS)
7 拠点ネットワーク(外部ネットワーク)
72 オペレータステーション(OPS)
74 ファイアウォール
75 VPN装置