知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022160511
(43)【公開日】2022-10-19
(54)【発明の名称】エンド端末、中継装置、PLC装置、および通信システム
(51)【国際特許分類】
H04L 12/28 20060101AFI20221012BHJP
H04L 43/028 20220101ALI20221012BHJP
【FI】
H04L12/28 200Z
H04L12/28 100F
H04L43/028
【審査請求】有
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2022118407
(22)【出願日】2022-07-26
(62)【分割の表示】P 2021034990の分割
【原出願日】2016-03-11
(71)【出願人】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】上原 和彦
(57)【要約】 (修正有)
【課題】不適切な通信を防止する為に通信の監視をするためのエンド端末、中継装置、PLC装置及び通信システムを提供する。
【解決手段】エンド端末は、データを送受信する送受信部と、所定の条件を記憶する記憶部と、前記所定の条件に基づき前記データを判断する判断部と、送受信部と記憶部と判断部とを格納する筐体と、を備える。送受信部は、中継装置と接続され、前記中継装置と接続された他のエンド端末またはPLC装置との間でのみデータを送受信する。
【選択図】図1
【解決手段】エンド端末は、データを送受信する送受信部と、所定の条件を記憶する記憶部と、前記所定の条件に基づき前記データを判断する判断部と、送受信部と記憶部と判断部とを格納する筐体と、を備える。送受信部は、中継装置と接続され、前記中継装置と接続された他のエンド端末またはPLC装置との間でのみデータを送受信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
データを送受信する送受信部と、
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する判断部と、
前記送受信部と前記記憶部と前記判断部とを格納する筐体と、
を備えるエンド端末。
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する判断部と、
前記送受信部と前記記憶部と前記判断部とを格納する筐体と、
を備えるエンド端末。
【請求項2】
前記送受信部は、中継装置と接続され、前記中継装置と接続された他のエンド端末またはPLC装置との間でのみデータを送受信する、
請求項1に記載のエンド端末。
請求項1に記載のエンド端末。
【請求項3】
前記所定の条件は、前記データが正規の通信であることである、
請求項1または2に記載のエンド端末。
請求項1または2に記載のエンド端末。
【請求項4】
前記所定の条件は、前記データの送信元が予め定められた条件を満たすことである、
請求項1-3のいずれかに記載のエンド端末。
請求項1-3のいずれかに記載のエンド端末。
【請求項5】
前記所定の条件は、前記データの送信先が予め定められた条件を満たすことである、
請求項1-4のいずれかに記載のエンド端末。
請求項1-4のいずれかに記載のエンド端末。
【請求項6】
前記エンド端末は、工場内の、工作機器、センサ、あるいはカメラのいずれかである 、
請求項1-5のいずれかに記載のエンド端末。
請求項1-5のいずれかに記載のエンド端末。
【請求項7】
前記エンド端末は、ウイルス対策ソフトをインストールすることができない端末である、
請求項1-6のいずれかに記載のエンド端末。
請求項1-6のいずれかに記載のエンド端末。
【請求項8】
前記判断部は、前記判断の結果、前記データが前記条件を満たさない場合に、前記データを廃棄する、
請求項1-7のいずれかに記載のエンド端末。
請求項1-7のいずれかに記載のエンド端末。
【請求項9】
前記判断部は、前記判断の結果、前記データが前記条件を満たさない場合に、判断結果を通知するための信号を出力する、
請求項1-8のいずれかに記載のエンド端末。
請求項1-8のいずれかに記載のエンド端末。
【請求項10】
エンド端末間、または前記エンド端末とPLC装置との間で送受信されるデータを転送する転送部と、
前記エンド端末または前記PLC装置のいずれか1つと接続する通信部と、
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する、判断部と、
前記転送部と、複数の前記通信部と、前記記憶部と、1つの前記通信部に対して1つ備えられる複数の前記判断部とを格納する筐体と、
を備える、中継装置。
前記エンド端末または前記PLC装置のいずれか1つと接続する通信部と、
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する、判断部と、
前記転送部と、複数の前記通信部と、前記記憶部と、1つの前記通信部に対して1つ備えられる複数の前記判断部とを格納する筐体と、
を備える、中継装置。
【請求項11】
第1のネットワーク内の機器との間でデータを送受信する第1の送受信部と、
第2のネットワーク内のエンド端末との間で、前記エンド端末を制御するためのデータを送受信する第2の送受信部と、
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する判断部と、
前記第1の送受信部と、前記第2の送受信部と、前記記憶部と、前記判断部とを格納する筐体と、
を備える、PLC装置。
第2のネットワーク内のエンド端末との間で、前記エンド端末を制御するためのデータを送受信する第2の送受信部と、
所定の条件を記憶する記憶部と、
前記条件に基づき前記データを判断する判断部と、
前記第1の送受信部と、前記第2の送受信部と、前記記憶部と、前記判断部とを格納する筐体と、
を備える、PLC装置。
【請求項12】
PLC装置と、中継装置と、複数の、請求項1-9のいずれかに記載の前記エンド端末と、を備え、
前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、
複数の前記エンド端末および前記中継装置は、第2のネットワークに接続される、
通信システム。
前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、
複数の前記エンド端末および前記中継装置は、第2のネットワークに接続される、
通信システム。
【請求項13】
請求項10に記載の前記中継装置と、複数の前記エンド端末と、前記PLC装置と、を備え、
前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、
前記中継装置および複数の前記エンド端末は、第2のネットワークに接続される、
通信システム。
前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、
前記中継装置および複数の前記エンド端末は、第2のネットワークに接続される、
通信システム。
【請求項14】
請求項11に記載の前記PLC装置と、複数の前記エンド端末と、中継装置と、を備え、
前記PLC装置および複数の前記エンド端末は、中継装置に接続され、
前記データは前記中継装置により転送されて、前記PLC装置と前記エンド端末との間で送受信される、
通信システム。
前記PLC装置および複数の前記エンド端末は、中継装置に接続され、
前記データは前記中継装置により転送されて、前記PLC装置と前記エンド端末との間で送受信される、
通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信の監視をするための、エンド端末、中継装置、PLC装置、および通信システムに関する。
【背景技術】
【0002】
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。従い、工場内の工作機器、センサやカメラといったエンドポイントの端末(以下、「エンド端末」と呼ぶ。)もインターネットに接続されることとなる。
【0003】
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)、ウイルスといった手段を用いた、悪意のある者からの脅威にさらされることにもなる。
【0004】
そこで、このような脅威からエンド端末を守る手段として、エンド端末にウイルス対策ソフトをインストールすることがまず考えられる。
【0005】
例えば、特許文献1の明細書段落番号[0007]や[0008]には、ウイルスや、ハッカー等によるデータ破壊に対抗するために、システム内に含まれるエンド端末のそれぞれにウイルス対策ソフトウェア搭載することにより、悪意のある者からの脅威から、エンド端末を守ることが記載されている。
【0006】
また、悪意のある者からの脅威からエンド端末を守るための他の手段としては、例えば、これらのエンド端末を制御するLAN(Local Area Network)と、インターネットとの接続部分においてファイアウォールを設けることが考えられる。このようにしてファイアウォールを設ければ、インターネットを介した悪意のある者からの脅威から、エンド端末を守ることが可能となる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2015-72704号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したように、各エンド端末にウイルス対策ソフトをインストールしたり、ファイアウォールを設けたりすることにより、エンド端末を守ることができる。
【0009】
しかしながら、上記の説明で一例として挙げた、工場やプラントに設置されている、工作端末、センサ及びカメラといったエンド端末には、汎用OS(Operating System)が実装されてない場合が多く、この場合ウイルス対策ソフトをインストールすることができない。
【0010】
そのため、ウイルス対策ソフトによってエンド端末を脅威から守ることができず、エンド端末がウイルスなどに感染し、想定しない宛先にフレームを送付したり、想定外の量のフレームを送信し、回線を圧迫したりする。また、ファイアウォールなど専用アプライアンスは、インターネットと内部LANの出入り口に配置されるため、内部LANに接続されたエンド端末同士の想定していない通信(例えば、ウイルス感染に起因する異常な通信)や、エンド端末の故障等により生じるエンド端末固有の異常な通信の検出はできない。
【0011】
つまり、特許文献1等に記載の既存の技術では、不適切な通信を防止することが困難であった。
【0012】
そこで、本発明は、不適切な通信を防止することが可能な、監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明の第1の観点によれば、データを送受信する送受信部と、所定の条件を記憶する記憶部と、前記条件に基づき前記データを判断する判断部と、前記送受信部と前記記憶部と前記判断部とを格納する筐体と、を備えるエンド端末が提供される。
【0014】
本発明の第2の観点によれば、エンド端末間、または前記エンド端末とPLC装置との間で送受信されるデータを転送する転送部と、前記エンド端末または前記PLC装置のいずれか1つと接続する通信部と、所定の条件を記憶する記憶部と、前記条件に基づき前記データを判断する、判断部と、前記転送部と、複数の前記通信部と、前記記憶部と、1つの前記通信部に対して1つ備えられる複数の前記判断部とを格納する筐体と、を備える、中継装置提供される。
【0015】
本発明の第3の観点によれば、第1のネットワーク内の機器との間でデータを送受信する第1の送受信部と、第2のネットワーク内のエンド端末との間で、前記エンド端末を制御するためのデータを送受信する第2の送受信部と、所定の条件を記憶する記憶部と、前記条件に基づき前記データを判断する判断部と、前記第1の送受信部と、前記第2の送受信部と、前記記憶部と、前記判断部とを格納する筐体と、を備える、PLC装置が提供される。
【0016】
本発明の第4の観点によれば、上記本発明の第1の観点により提供される複数のエンド端末と、PLC装置と、中継装置と、を備え、前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、複数の前記エンド端末および前記中継装置は、第2のネットワークに接続される、通信システムが提供される。
【0017】
本発明の第5の観点によれば、上記本発明の第2の観点により提供される中継装置と、複数の前記エンド端末と、前記PLC装置と、を備え、前記PLC装置は、第1のネットワークおよび第2のネットワークに接続され、前記中継装置および複数の前記エンド端末は、第2のネットワークに接続される、通信システムが提供される。
【0018】
本発明の第6の観点によれば、上記本発明の第3の観点により提供されるPLC装置と、の前記エンド端末と、中継装置と、を備え、前記PLC装置および複数の前記エンド端末は、中継装置に接続され、前記データは前記中継装置により転送されて、前記PLC装置と前記エンド端末との間で送受信される、通信システムが提供される。
【発明の効果】
【0019】
本発明によれば、不適切な通信を防止することが可能となる。
【図面の簡単な説明】
【0020】
【図1】本発明の各実施形態全体の基本的構成を表す図である。
【図2】本発明の第1の実施形態における監視装置に含まれる機能ブロック図である。
【図3-1】本発明の各実施形態における第1の監視装置におけるフローリストの一例を表す図である。
【図3-2】本発明の各実施形態における第2の監視装置におけるフローリストの一例を表す図である。
【図3-3】本発明の各実施形態における第Nの監視装置におけるフローリストの一例を表す図である。
【図3-4】本発明の各実施形態における第Mの監視装置におけるフローリストの一例を表す図である。
【図4】本発明の第1の実施形態における基本的動作を表すフローチャートである。
【図5】本発明の各実施形態における第Mの監視装置が受信したフレームの一例及び解析部に設定されたフローリストに関しての設定例を表す図である。
【図6】本発明の第2の実施形態における監視装置に含まれる機能ブロック図である。
【図7】本発明の第2の実施形態における登録期間での基本的動作を表すフローチャートである。
【図8】本発明の第2の実施形態における登録期間にて第Mの監視装置が受信したフレームの一例及び解析部に設定された登録期間における関しての設定例を表す図である。
【図9】本発明の各実施形態全体の基本的構成の変形例の1つを表す図である。
【図10】本発明の各実施形態全体の基本的構成の変形例の1つを表す図である。
【発明を実施するための形態】
【0021】
次に、本発明の第1の実施形態と第2の実施形態それぞれの概略を説明する。
【0022】
まず本発明の第1の実施形態では、各エンド端末それぞれに対して監視装置を接続し、各エンド端末がこの監視装置を介して他のエンド端末とフレームを送受信する構成とする。そして、監視装置は、各エンド端末が送信又は受信するフレームを監視する。そして、監視結果に応じて、フレームを通過させたり、フレームを通過させずに廃棄等したりといった処理を行う。
【0023】
これにより、通過させるべきフレームを通過させ、通過させるべきではないと考えられる想定外の不適切なフレームを通過させないことが可能となり、不適切な通信を防止することが可能となる。
【0024】
ここで、通過させるべきフレームであるか否かの判定方法としては、例えば、マルウェア感染やDos攻撃に関連すると考えられる送信元や宛先のアドレス等や、プロトコル種別等をリストとして用意しておき、このリストとフレームを比較することにより判定を行うという方法が考えられる。
【0025】
しかしながら、未知の通信先からの未知の攻撃を新たに受けること等も考えられるため、問題があると考えられる全ての通信先のアドレス等やプロトコル種別等を1つ残らず網羅してリスト化するのは非常に困難である。
【0026】
そこで、本発明の第1の実施形態では、問題があると考えられる通信先を特定するアドレス等やプロトコル種別等をリストとするのではなく、問題の無いと考えられる通信先を特定するアドレス等やプロトコル種別等をリストとし、このリストに合致するフレームについては例えば転送を許可し、このリストに合致しないフレームについては例えば破棄する、という方法を採用する。
【0027】
更に、本発明の第2の実施形態では、かかるリストの少なくとも一部を自動的に生成する機能を更に追加する。
【0028】
具体的には、監視装置に、登録期間と運用期間を設ける。そして、登録期間において監視装置に入力したフレームから抽出した情報をリストに追加することによりリストを自動生成する。ただし、このとき、自動生成したリストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。
【0029】
その後、登録期間から運用期間に切り替え、監視装置に入力したフレームの情報と、登録期間で自動生成したリストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等することを継続する。
【0030】
これにより、リストの自動生成及びリストによるセキュリティ管理を行うことができる。
【0031】
次に、図面を参照して各実施形態について詳細に説明をする。
【0032】
<第1の実施形態>
図1を参照すると本実施形態は、複数の監視装置100、複数のエンド端末200、スイッチ300、PLC400、PC500、ファイアウォール装置600、インターネット700、第1のネットワーク800、第2のネットワーク900及び設定用端末1000を含む。
図1を参照すると本実施形態は、複数の監視装置100、複数のエンド端末200、スイッチ300、PLC400、PC500、ファイアウォール装置600、インターネット700、第1のネットワーク800、第2のネットワーク900及び設定用端末1000を含む。
【0033】
なお、以下の説明において、第1の監視装置100-1、第2の監視装置100-2、第Nの監視装置100-N及び100-Mの何れかを特定する場合には、第1の監視装置100-1や第Nの監視装置100-Nのように末尾の数字やアルファベットまで表記するが、何れかを特定しない場合には、単に監視装置100と表記する。例えば、各監視装置100において共通する構成等を説明する場合には、単に監視装置100と表記する。同様に、何れかを特定しない場合には、単にエンド端末200と表記する。また、本例において、Nは「3以上の自然数」であり、Mは「Nに1を加算した自然数」であるとする。
【0034】
次に、これら各機器の接続について説明する。本実施形態において、PLC400やPC500は、第1のネットワーク800において通信を行う。ここで、第1のネットワーク800は、例えば、工場やプラントに併設されたオフィスに構築されたLAN(Local Area Network)である。また、第1のネットワーク800には、任意の機器を接続でき、例えば、プリンター等の他の図示をしていない機器が含まれていても良い。第1のネットワーク800はインターネット700と接続されており、第1のネットワーク800とインターネット700の境界にはファイアウォール装置600が設けられている。そして、ファイアウォール装置600により、ウイルス等の不適切なデータの侵入等を防止している。
【0035】
一方で、PLC400と、各エンド端末200は、第2のネットワーク900において通信を行う。ここで、第2のネットワーク900は、例えば、工場やプラントに構築された機器を制御するための制御ネットワークである。
【0036】
ここで、上述のファイアウォール装置600は、インターネット700に存在する機器との間の通信において機能するが、各エンド端末200間の通信については機能しない。そこで、本実施形態では、各エンド端末200間での不適切な通信を防止するために、各エンド端末200に、一対一の関係で、監視装置100を接続する。
【0037】
なお、第Nの監視装置100-Nについては、今後エンド端末200が接続される可能性があるが、現時点ではエンド端末200は接続されていないものとする。この点を表すために、図1において「(未配置)」と表す。
【0038】
ここで、監視装置100は、スイッチ300を介して行なわれる、エンド端末200間の通信やエンド端末200とPLC400間の通信を監視するための監視装置である。
【0039】
監視装置100は、上述したようにフローリストを利用した処理を行うことにより、悪意のある者等の行為により送信された不適切なフレームを廃棄等する。
【0040】
ここで、監視装置100には、図中に「P0」「P1」と記載されているように、2つの接続用のポートが設けられている。そして、かかるポート「P0」にエンド端末200やPLC400が接続される。一方で、ポート「P1」には、スイッチ300が接続される。
【0041】
なお、ポート「P1」とスイッチ300間には、図示を省略した中継装置等が更に存在しても良い。なぜならば、P1にて送受信されるフレームは、既に、何れかの監視装置100による監視が行なわれているフレームだからであり、かかるフレームはウイルス等に関連しない適切なフレームであり、中継装置による経路選択で本来の宛先に転送されるべきものだからである。
【0042】
一方で、ポート「P0」とエンド端末スイッチ300間や、ポート「P0」とエンド端末100間には、経路選択を行う中継装置が存在しておらず、直接接続される構成にすることが好ましい。
【0043】
その理由について説明する。例えば、第1のエンド端末200-1がウイルスに感染し、宛先が不適切な不要なフレームを大量に送信したような場合に、第1の監視装置100-1と第1のエンド端末200-1の間に中継装置が存在していると、かかる中継装置が、不要なフレームを他のエンド端末等に転送してしまうような場合があるからである。これを防ぐためには、「P0」とエンド端末スイッチ300間や、「P0」とPLC400間を、それぞれ直接接続し、例えば、第1のエンド端末200-1が送信するフレームを、まず第1の監視装置100-1にて全て監視する必要があるからである。
【0044】
複数のエンド端末200は、それぞれが通信機能を有する端末である。エンド端末200は、スイッチ300を介して他のエンド端末200やPLC400との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control
Protocol)や、UDP(User Datagram Protocol)といった一般的なプロトコルに準拠して実行される。なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
Protocol)や、UDP(User Datagram Protocol)といった一般的なプロトコルに準拠して実行される。なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
【0045】
また、エンド端末200は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。以下の説明では、第1のエンド端末200-1が、工場に設置された工作機械であり、第2のエンド端末200-2がセンサであると想定して説明を行う。
【0046】
スイッチ300は、各エンド端末スイッチ300間や、各エンド端末スイッチ300とPLC400間で行なわれるフレームを、フレーム内の宛先アドレスに応じて転送する中継装置である。スイッチ300は、例えば、L2スイッチにより実現される。
【0047】
PLC400は、工作機械を制御するPLC(Programmable Logic Controller)である。PLC400は、各エンド端末200に対して所定の動作指示を出したり、各エンド端末200の故障監視を行なったりするために、各エンド端末200との間でフレームを送受信する。
【0048】
PC500は、第1のネットワーク800内で使用されるパーソナルコンピュータであり、ファイアウォール装置600を介してインターネット700に存在する他の装置と通信をしたり、PLC400と通信を行ったりする。
【0049】
ファイアウォール装置600は、上述したようにファイアウォールを実現するための装置である。ファイアウォール装置600は、第1のネットワーク800とインターネット700間で送受信されるデータについての制御を行うことにより、例えば、意図しないソフトウェアによる通信等を防止することができる。
【0050】
インターネット700、第1のネットワーク800及び第2のネットワーク900による接続については上述した通りである。
【0051】
設定用端末1000は、各監視装置100に対しての設定を行ったり、各監視装置100からの通知を受信したりするための端末である。なお、図中では、設定用端末1000は、スイッチ300を介して各監視装置100と接続されているが、必ずしもこのようにスイッチ300を介する必要はない。つまり、スイッチ300を介することなく、設定用端末1000と各監視装置100とを直接接続するようにしてもよい。このようにスイッチ300を介することなく直接接続した場合であっても、設定用端末1000は、各監視装置100に対しての設定を行ったり、各監視装置100からの通知を受信したりすることができる。
【0052】
ここで、設定用端末1000は、本実施形態を管理する管理者等により用いられる。設定用端末1000は、監視装置100を設定するための専用の端末で実現しても良いが、監視装置100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。設定用端末1000による設定や、監視装置100からの通知の具体的な内容については後述する。
【0053】
【0054】
フレーム解析部110は、監視装置100が、ポート「P0」やポート「P1」において外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
【0055】
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。
【0056】
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。
【0057】
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC-DA(Destination address))や、宛先アドレス(MAC-SA(Source address))を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。
【0058】
更に、フレーム解析部110は、入力フレーム受信時に、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、フローリスト記憶部130が記憶しているフローリストに登録されているフレーム情報を比較する。そして、監視装置100は、比較の結果、一致した場合と、一致しなかった場合とで、それぞれ所定の動作を行う。
【0059】
かかる所定の動作が具体的にどのような動作であるのかということは、「動作設定」として設定される。動作設定は、例えば、設定用端末1000からの指示や、監視装置100に設けられたディップスイッチ等により行なわれる。
【0060】
例えば、フローリストに一致した場合には、対応するフレームを通過させるように設定できる。ここで、通過とは、受信した入力フレームを、フレーム解析部110を含む監視装置100を通過させて出力フレームとして出力するということである。ここで、ポート「P0」において受信した入力フレームは、ポート「P1」から出力フレームとしてされる。一方で、ポート「P1」において受信した入力フレームは、ポート「P0」から出力フレームとしてされる。
【0061】
すなわち、本実施形態の監視装置100は、スイッチのようにルーティングを行う訳ではないので、通過の場合は、フレームが監視装置100を素通りするということである。
【0062】
一方で、フローリストに一致しなかった場合には、比較したフレーム情報の抽出元のフレームである、対応するフレームを廃棄させるように設定できる。
【0063】
また、これのみならず、フローリストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、フローリストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末1000により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
【0064】
通知先は、例えば、設定用端末1000であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、監視装置100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、監視装置100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。なお、かかる記録を行うことを以下では、「ログを取る」と表現し、かかる記録を行なわないことを以下では、「ログを取らない」と表現する。
【0065】
なお、フレーム解析部110が行う、通知やログを取るための出力を図2において「通知出力(記録)」と記載する。
【0066】
フローリスト生成部120は、フローリスト記憶部130が記憶するフローリストを生成し、生成したフローリストをフローリスト記憶部130が記憶させる部分であるフローリスト生成部120による、フローリストの生成について説明をする。
【0067】
まず、本実施形態を利用する管理者等のユーザは、設定用端末1000を利用して、各エンド端末200やPLC400が、ウイルス等に感染していない通常時に送受信する正規のフレームのフレーム情報をフローリスト生成部120に設定する。かかる設定を図2において「フロー設定」と記載する。
【0068】
この点、前提として、各エンド端末200やPLC400は、予め想定される所定のフレームを所定の通信先と送受信する機器であり、想定外の通信先と想定外のフレームを送受信したり等はしないものと想定する。例えば、各エンド端末200やPLC400の機器仕様に基づいて、どのような所定のフレームを、どの通信先と送受信するかを特定することができる。
【0069】
そのため、管理者等のユーザは、予め想定されるフレームのフレーム情報を知ることができ、これをフローリスト生成部120に設定することができる。
【0070】
フローリスト生成部120は、設定用端末1000から設定されたフレーム情報を、フレーム解析部110が参照できるデータ構造に変換してフローリストとする。そして、作成したフローリストを、フローリスト記憶部130に登録する。
【0071】
なお、本実施形態を利用する当初に、フローリスト生成部120によるフローリストを作成するが、その後、設定用端末1000からの設定にてフローリストが修正されるようにしても良い。
【0072】
例えば、設定用端末1000を利用する管理者がフローリストの一部のフレーム情報を削除したり、新たなフレーム情報をフローリストに追加したりできるようにしても良い。このようにすれば、例えばエンド端末200を新たに追加するような場合に、フローリスト全体を再設定しなくとも、新たに追加するエンド端末200に関連するフレームを通過させることが可能となる。
【0073】
また、他にも、例えば既存のエンド端末200を一部取り外した場合に、取り外したエンド端末200に関連するフレーム情報をフローリストから削除することができる。
【0074】
フローリスト記憶部130は、フローリストを記憶する記憶部である。フローリスト記憶部130が記憶するフローリストは、上述したようにフローリスト生成部120により生成される。そして、フローリスト記憶部130が記憶するフローリストは、フレーム解析部110に参照されて利用される。
【0075】
フローリストは、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各エンド端末200において利用されるプロトコルのフレームを特定するためのフレーム情報や、各エンド端末200において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報がフローリストに含まれる。
【0076】
なお今回、フローリストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
【0077】
次に、本実施形態において、各監視装置100それぞれにおいて、フローリスト生成部120に作成され、フローリスト記憶部130が記憶するフローリストの具体例について説明をする。
【0078】
各エンド端末200やPLC400の機器仕様に基づいて、予め想定される正規のフレームは以下の通りであるとする。そして、以下のフレーム以外のフレームは、想定外の適切とは考えられないフレームであるとする。
【0079】
<想定される正規のフレーム>
(1)各エンド端末200は、PLC400に対してフレームを送信するものとする。そのため、第1のエンド端末200-1からPLC400に対してのフレームと、第2のエンド端末200-2からPLC400に対してのフレームが想定される。
(2)PLC400は、第2のエンド端末200-2に対してのみフレームを送信するので、PLC400から第2のエンド端末200-2に対してのフレームが想定される。以上の送信元及び宛先以外のフレームは想定されない。
(3)レイヤ2において通信に用いられるタイプは「IPv4」であるとする。また、レイヤ3にて用いられるプロトコルは「6(TCP)」であるとする。
(1)各エンド端末200は、PLC400に対してフレームを送信するものとする。そのため、第1のエンド端末200-1からPLC400に対してのフレームと、第2のエンド端末200-2からPLC400に対してのフレームが想定される。
(2)PLC400は、第2のエンド端末200-2に対してのみフレームを送信するので、PLC400から第2のエンド端末200-2に対してのフレームが想定される。以上の送信元及び宛先以外のフレームは想定されない。
(3)レイヤ2において通信に用いられるタイプは「IPv4」であるとする。また、レイヤ3にて用いられるプロトコルは「6(TCP)」であるとする。
【0080】
このような想定される正規のフレームに対応するフレーム情報が、設定用端末1000により設定され、これに応じて、フローリストがフローリスト生成部120に作成され、フローリスト記憶部130に記憶される。
【0081】
【0082】
まず、図3-1に第1の監視装置100-1のフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)がフローリストに含まれる。かかるフレーム情報は上記(3)も満たす。
【0083】
次に、図3-2に第2の監視装置100-2のフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)がフローリストに含まれる。かかるフレーム情報は上記(3)も満たす。
【0084】
次に、図3-3に第Nの監視装置100-Nのフローリスト記憶部130に記憶されるフローリストを示す。この点、第Nの監視装置100-Nにはエンド端末200は接続されていないため、第Nの監視装置100-Nを経由するフレームは想定されない。そのため、何らのフレーム情報もフローリストに含まれない。
【0085】
次に、図3-4に100-Mのフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)と、第2のエンド端末200-2からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番2に相当)がフローリストに含まれる。加えて上記(2)より、PLC400から第2のエンド端末200-2に対して送信するフレームのフレーム情報(図中のフローリスト項番3に相当)がフローリストに含まれる。これらのフレーム情報は上記(3)も満たす。
【0086】
次に、このようにして記憶されているフローリストを利用して、監視を実行する際の動作について、図4のフローチャートを参照して説明をする。なお、今回は、100-Mによる監視を例に取って説明するが、他の監視装置100も同様の動作をするものとする。
【0087】
まず、監視装置100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する(ステップS11)。ここで、受信したフレームから抽出したフレーム情報の例を図5の上段に表2として示す。
【0088】
今回、受信した入力フレームのフレーム情報が表2の順に6フレーム分抽出されたとする。なお、今回は、上記(1)乃至(3)により想定される正規のフレームが受信されているが、その後、しばらくするとPLC400がウイルスに感染し、上記正規のフレーム以外の想定外の不適切なフレームが受信されている状況であると想定する。詳細については後述する。
【0089】
また、フレーム解析部110に設定されている「動作設定」について、図5の下段に表3として示す。
【0090】
表3に記載のように、本例では、受信したフレームから抽出したフレーム情報がフローリストに登録されているフレーム情報と一致した場合には、このフレーム情報の抽出元のフレームを通過させる。また、この場合に、通知は行なわず、ログも取らない。
【0091】
一方で、表3に記載のように、本例では、受信したフレームから抽出したフレーム情報がフローリストに登録されているフレーム情報と一致しなかった場合には、このフレーム情報の抽出元のフレームを廃棄する。また、この場合に、その旨の通知を行うと共に、ログも取る。
【0092】
次に、フレーム解析部110は抽出したフレーム情報とフローリスト記憶部130が記憶するフローリストを比較し、両者が一致するか否かを判定する(ステップS12)。
【0093】
ここで、例えば、表3における、入力順番号1のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1と一致する(ステップS12においてYes)。また、例えば、表3における、入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番2と一致する(ステップS12においてYes)。更に、例えば、表3における、入力順番号3のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番3と一致する(ステップS12においてYes)。
【0094】
そのため、これらの場合にはステップS13に進む。
【0095】
ステップS13において、フレーム解析部110は、フローリストと一致したフレーム情報に対応する、入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレームに対して、フローリストと一致した場合の動作設定の指示に従い処理をする(ステップS13)。
【0096】
一致した場合は、上述したように、表3において「対応フレーム通過、通知しない、ログ取らない」となっているので、フレーム解析部110は、フレームにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
【0097】
ステップS13の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0098】
他方、ステップS12において、フレーム情報がフローリストと一致しなかった場合は(ステップS12においてNo)、ステップS14に進む。
【0099】
例えば、表2における、入力順番号4のフレームのフレーム情報及び入力順番号5のフレームのフレーム情報が判定の対象であったとする。これらのフレームは、PLC400がウイルスに感染したことに起因してPLC400から送信されたフレームであり正規のフレームで想定される宛先である第1のエンド端末200-1ではなく、第2のエンド端末200-2に対して送信されたフレームである。この場合、このようなフレームは想定しておらず、フローリストにもこのようなフレームに対応するフレーム情報は含まれていない。そのため、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1、項番2及び項番3の何れとも一致しない(ステップS12においてNo)。そのため、ステップS14に進む。また、例えば、表2における、入力順番号6のフレームのフレーム情報が判定の対象であったとする。このフレームは、PLC400がウイルスに感染したことに起因してPLC400から送信されたフレームであり正規のフレームで想定される第2のエンド端末200-2に宛てられたものではあるが、正規のフレームで想定されるIPv4ではなく、IPv6に準拠したフレームである。この場合、このようなフレームは想定しておらず、フローリストにもこのようなフレームに対応するフレーム情報は含まれていない。そのため、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1、項番2及び項番3の何れとも一致しない(ステップS12においてNo)。そのため、ステップS14に進む。
【0100】
ステップS14において、フレーム解析部110は、フローリストと一致しなかったフレーム情報に対応する、入力順番号4のフレーム、入力順番号5のフレーム、及び入力順番号6のフレームに対して、フローリストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS14)。
【0101】
一致しなかった場合は、上述したように、表3において「対応フレーム廃棄、通知する、ログ取る」となっているので、フレーム解析部110は、フレームを廃棄する。加えて、フレーム解析部110は、廃棄をした旨を設定用端末1000に通知すると共に、廃棄した旨のログを取る。このとき、通知やログに廃棄したフレームの複製を含ませるようにすると良い。
【0102】
ステップS13の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0103】
上述した動作により、本実施形態では、フローリストと一致するフレーム情報を有するフレームはフレーム解析部110を含む監視装置100を通過させ、フローリストと一致しないフレーム情報を有するフレームはフレーム解析部110にて廃棄させることが可能となる。
【0104】
これにより、フローリストとフレーム情報が一致しない、想定外の不適切と考えられるフレームを廃棄できるので、ウイルス等に起因する悪意のあるフレームが第2のネットワーク900で拡散するようなことを防止することができる。
【0105】
一方で、フローリストとフレーム情報が一致する、想定内の適切と考えられるフレームを通過させることができるので、仮にウイルス等に起因する悪意のあるフレームが送信されているような状況となったとしても、適切なフレームによる通信は継続することができる。つまり、一部のエンド端末200がウイルスに感染した場合に、速やかにこのエンド端末200を隔離できなかったとしても、可用性を保つことができる。
【0106】
<第2の実施形態>
次に、第2の実施形態について説明をする。上述した第1の実施形態では、(1)(2)及び(3)と例示したような、エンド端末200間で送受信することが想定される正規のフレームに対応するフレーム情報が、設定用端末1000により設定され、これに応じて、フローリストがフローリスト生成部120に作成され、フローリスト記憶部130に記憶されていた。
次に、第2の実施形態について説明をする。上述した第1の実施形態では、(1)(2)及び(3)と例示したような、エンド端末200間で送受信することが想定される正規のフレームに対応するフレーム情報が、設定用端末1000により設定され、これに応じて、フローリストがフローリスト生成部120に作成され、フローリスト記憶部130に記憶されていた。
【0107】
これに対して、本実施形態では、フローリスト生成部120が設定用端末1000による設定を要すること無く、フローリストの少なくとも一部を自動生成する機能を備える。
【0108】
【0109】
図6に示すように、本実施形態では、設定用端末1000が、上述した「フロー設定」や「動作設定」のみならず、「登録期間設定」を行う。
【0110】
具体的には、フレーム解析部110には、設定用端末1000により「登録期間設定」と「動作設定」の2つの設定がなされる。
【0111】
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。また、一度登録期間に設定されてから所定時間が経過すると、自動的に運用期間に遷移するようにする。かかる所定時間の長さは、環境に応じて任意に設定することができる。例えば、エンド端末200間で送受信されるフレームの内容が限定されているような環境下において、1時間あれば、限定されているフレームが全て送受信されるような場合であれば、上記の所定時間を1時間とすると良い。これが、限定されているフレームが全て送受信されるのに一週間を要するような場合であれば、上記の所定時間を一週間とすると良い。
【0112】
そして、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述のフローリスト生成部120に渡す。
【0113】
そして、フローリスト生成部120は、渡されたフレーム情報を、想定される正規のフレームのフレーム情報として、フローリスト記憶部130が記憶するフローリストに追加する。このようにすることにより、登録期間においてフローリストを自動生成することができる。なお、登録期間において、受信したフレームについては、動作設定の指示に従い処理をする。
【0114】
例えば、「対応フレーム通過、通知しない、ログ取らない」となっているのであれば、フレーム解析部110は、フレームにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
【0115】
その後、所定時間が経過して、又は、設定用端末1000からの操作にて、運用期間に遷移したならば、フローリスト生成部120は、かかるフローリストの自動生成の処理を終了する。その後の、運用期間における本実施形態の動作は、第1の実施形態の動作と同じとなる。なお、本実施形態においても、設定用端末1000からのフロー設定の操作によってフローリストからフロー情報を一部削除したり、フローリストにフロー情報を追加したりすることは可能であるとする。
【0116】
次に、図7のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。なお、以下では、100-Mの動作を例に取って説明するが、他の監視装置100も同様の動作を行うものとする。
【0117】
監視装置100は、まずフレーム解析部110が登録期間に設定されているか否かを判定する(ステップS21)。ここで、登録期間に設定されているならば(ステップS21においてYes)、ステップS22に進む。一方で、登録期間に設定されていないならば(ステップS21においてNo)、すなわち、運用期間に設定されているのであれば、図4を参照して説明をしたステップS11乃至ステップS14の処理を行う。かかる、ステップS11乃至ステップS14の処理の内容は、第1の実施形態と同様である。
【0118】
ステップS22では、フレーム解析部110が受信したフレームを解析し、フレーム情報を抽出する。そして、抽出したフレーム情報を、フローリスト生成部120に渡す(ステップS22)。
【0119】
登録期間において受信したフレームから抽出したフレーム情報の例を図8の上段に表4-Mとして示す。今回、受信した入力フレームのフレーム情報が表4-Mの順に3フレーム分フローリスト生成部120に渡されるとする。具体的には、上述した、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)と、第2のエンド端末200-2からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番2に相当)がフローリストに含まれる。加えて上記(2)より、PLC400から第2のエンド端末200-2に対して送信するフレームのフレーム情報(図中のフローリスト項番3に相当)がフローリストに含まれる。これらのフレーム情報は上記(3)も満たす。
【0120】
次に、フローリスト生成部120は、渡されたフレーム情報を、フレーム解析部110が参照できるデータ構造に変換してフローリストとする。そして、作成したフローリストを、フローリスト記憶部130に記憶させる(ステップS23)。
【0121】
以上の処理により、図3-4の表1-Mと同様のフローリストがフローリスト記憶部130に記憶される。つまり、本実施形態でのフローリストの自動生成を実現することができる。
【0122】
一方で、フレーム解析部110は、フレーム情報を抽出後、受信した入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレームに対して、登録期間における動作設定の指示に従い処理をする(ステップS24)。ここで、図8の下段に表5に示すように、登録期間における動作設定が「対応フレーム通過、通知しない、ログ取らない」となっていたとする。するとフレーム解析部110は、かかる動作設定に従い、入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレーム、のそれぞれにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
【0123】
次に、ステップS25において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS25においてYes)、ステップS26として、図4を参照して説明をしたステップS11乃至ステップS14の処理を行う。かかる、ステップS11乃至ステップS14の処理の内容は、第1の実施形態と同様である。
【0124】
一方で、経過していないのであれば(ステップS25においてNo)、ステップS22に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0125】
上述した動作により、本実施形態では、登録期間開始から所定時間が経過するまでの間、フローリストを自動生成できると共に、受信したフレームはフレーム解析部110を通過させることが可能となる。従って、通常通りにフレームを送受信しながら、フローリストを自動生成させることができ、管理者等のユーザが、設定用端末1000を用いてフロー設定を行う手間を省くことが可能となる。
【0126】
上記の監視装置、エンド端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記の監視装置、エンド端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
【0127】
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
【0128】
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
【0129】
例えば、以下のように各実施形態を変形することが可能である。
【0130】
上述の各実施形態では、スイッチ300とPLC400の間、又は、スイッチ300とエンド端末200の間に監視装置100を接続していた。つまり、経路選択を行うスイッチ300と、監視を行う監視装置100とを別個の装置として実現していた。
【0131】
しかしそうするのではなく、図9に示すセキュリティスイッチ2000のように、1つの装置にスイッチ300としての経路選択機能を持たせると共に、かかるスイッチ300の各ポートに監視装置100としての監視機能を持たせるようにしても良い。このようにすれば、セキュリティスイッチ2000という単体の装置で、経路選択及び監視を実行することができるので良い。単体の監視装置100と、セキュリティスイッチ2000の双方が1つのネットワーク内に混在するようにしても良い。
【0132】
また、他にも、図10に示すように、エンド端末200が通信を行うためのNIC(Network Interface Card)として監視装置100を実装し、監視装置100とエンド端末200との組で1つの通信装置3000を実現するようにしても良い。なお、PLC400のNICを監視装置100で実現して、単一の装置とするようにしても良い。また、単体の監視装置100と、通信装置3000の双方が1つのネットワーク内に混在するようにしても良いし、更に、セキュリティスイッチ2000が混在するようにしても良い。
【0133】
更に、他にも、上述の各実施形態では、フローリストと一致した場合の動作設定、フローリストと不一致した場合の動作設定、及び登録期間における動作設定は、各監視装置100にて共通する内容に設定されると想定していた。しかしながら、このようにするのではなく、各監視装置100にて設定される内容が異なるようにしても良い。例えば、第1の監視装置100-1では、フローリストと不一致した場合に、通知をするように設定する一方で、第1の監視装置100-1では、フローリストと不一致した場合であっても通知をしないように設定するようにしても良い。
【0134】
また、上述の各実施形態では、第2のネットワーク900が、第1のネットワーク800に接続していたが、必ずしも第1のネットワーク800に接続する必要はない。第1のネットワーク800に接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正なエンド端末200を接続したような場合に発生する悪意のあるフレームを検出することができる。
【0135】
上述の第2の実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、フローリストを更新するようにしても良い。
【0136】
例えば、運用期間遷移後に、新たにエンド端末を追加した場合に、再登録を行うことにより、かかる追加したエンド端末に関するフレームをフローリストに追加するようにしても良い。この場合に、フローリストをまっさらな状態として、ゼロからフローリストを作りなおしても良いし、既存のフローリストに新たにフレーム情報を追加するようにしても良い。
【0137】
更に、各実施形態の動作の説明において、フローチャートを参照しながら、受信した複数のフレーム情報について並列に説明を行ったが、このように複数のフレームについて一度に動作を行うのではなく、フレーム情報を1つ受信する度に動作を行うようにしても良い。つまり、フレーム1つを受信する度に、上記の各ステップを実行するようにしても良い。
【0138】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0139】
(付記1) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段と、
データの解析を行う解析手段と、
を備えた監視装置であって、
前記解析手段は、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視装置。
データの解析を行う解析手段と、
を備えた監視装置であって、
前記解析手段は、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視装置。
【0140】
(付記2) 前記所定の処理とは、前記データを該データの送信元が指定する宛先に送信するための処理であり、前記所定の処理以外の処理とは前記データを該データの送信元が指定する宛先に送信することを含まない処理であることを特徴とする付記1に記載の監視装置。
【0141】
(付記3) 前記解析手段は、前記経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信する全てのデータを対象として動作することを特徴とする付記1又は2に記載の監視装置。
【0142】
(付記4) 前記解析手段は、所定の期間において、端末が送受信するデータを解析し、該解析結果を前記所定の処理の対象とするデータの条件として前記リストに追加することを特徴とする付記1乃至3の何れか1に記載の監視装置。
【0143】
(付記5) 前記解析手段は、前記所定の処理及び前記所定の処理以外の処理の何れか又は双方の処理の一環として、前記解析結果が前記リストに含まれる何れかの条件と一致したか否かの結果を外部に対して通知することを特徴とする付記1乃至4の何れか1に記載の監視装置。
【0144】
(付記6) 付記1乃至5の何れか1に記載の監視装置を複数含むと共に、前記端末も複数含む通信システムであって、
前記複数の端末のそれぞれが、前記複数の監視装置の何れかと1対1で接続されることを特徴とする通信システム。
前記複数の端末のそれぞれが、前記複数の監視装置の何れかと1対1で接続されることを特徴とする通信システム。
【0145】
(付記7) 付記1乃至5の何れか1に記載の監視装置を複数含むと共に、前記端末を接続するための複数のポートも複数含むスイッチであって、
前記ポートのそれぞれは、前記複数の監視装置の内の少なくとも何れかに対応し、
前記端末のそれぞれは、自端末が接続されるポートに対応する監視装置にも接続されることを特徴とするスイッチ。
前記ポートのそれぞれは、前記複数の監視装置の内の少なくとも何れかに対応し、
前記端末のそれぞれは、自端末が接続されるポートに対応する監視装置にも接続されることを特徴とするスイッチ。
【0146】
(付記8) 付記1乃至5の何れか1に記載の監視装置と該監視装置に接続された前記端末とを含む通信装置であって、
該通信装置に含まれる前記端末は、該通信装置に含まれる前記監視装置を介して通信を行うことを特徴とする通信装置。
該通信装置に含まれる前記端末は、該通信装置に含まれる前記監視装置を介して通信を行うことを特徴とする通信装置。
【0147】
(付記9) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えた監視装置が行う監視方法であって、
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視方法。
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視方法。
【0148】
(付記10) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えたコンピュータを監視装置として機能させる監視プログラムであって、
前記コンピュータを、
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なう監視装置として機能させることを特徴とする監視プログラム。
前記コンピュータを、
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なう監視装置として機能させることを特徴とする監視プログラム。
【産業上の利用可能性】
【0149】
本発明は、中継装置におけるセキュリティ対策に好適である。
【符号の説明】
【0150】
100-1 第1の監視装置
100-2 第2の監視装置
100-N 第Nの監視装置
100-M 第Mの監視装置
110 フレーム解析部
120 フローリスト生成部
130 フローリスト記憶部
200-1 第1のエンド端末
200-2 第2のエンド端末
300 スイッチ
400 PLC
500 PC
600 ファイアウォール装置
700 インターネット
800 第1のネットワーク
900 第2のネットワーク
1000 設定用端末
2000 セキュリティスイッチ
3000 通信装置
100-2 第2の監視装置
100-N 第Nの監視装置
100-M 第Mの監視装置
110 フレーム解析部
120 フローリスト生成部
130 フローリスト記憶部
200-1 第1のエンド端末
200-2 第2のエンド端末
300 スイッチ
400 PLC
500 PC
600 ファイアウォール装置
700 インターネット
800 第1のネットワーク
900 第2のネットワーク
1000 設定用端末
2000 セキュリティスイッチ
3000 通信装置
【図1】
【図2】
【図3-1】
【図3-2】
【図3-3】
【図3-4】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】