(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022184280
(43)【公開日】2022-12-13
(54)【発明の名称】装置監視システム、および装置監視方法
(51)【国際特許分類】
H04L 65/1066 20220101AFI20221206BHJP
H04L 43/00 20220101ALI20221206BHJP
H04M 11/00 20060101ALI20221206BHJP
【FI】
H04L12/70 A
H04L12/70 100Z
H04M11/00 301
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2021092038
(22)【出願日】2021-06-01
(71)【出願人】
【識別番号】000006297
【氏名又は名称】村田機械株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(72)【発明者】
【氏名】前崎 寿美子
(72)【発明者】
【氏名】加納 昌幸
【テーマコード(参考)】
5K030
5K201
【Fターム(参考)】
5K030GA15
5K030LB02
5K030LD20
5K201AA02
5K201AA07
5K201BA02
5K201BC23
5K201EC05
(57)【要約】
【課題】被監視装置が監視できるか否かを管理者が決定する。
【解決手段】被監視装置110と、ネットワークを介して被監視装置110を監視可能な監視装置140と、監視装置140と被監視装置110とをネットワークを介して中継するサーバ装置130と、を備える装置監視システム100であって、許可信号をサーバ装置130に送信する許可信号送信部121と、許可信号に応答して、被監視装置110と接続するためのポートをサーバ装置130に割り当てるポート設定部131と、割り当てられたポートを用いて被監視装置110とサーバ装置130との間でセキュア接続を確立する接続確立部111と、を備え、監視装置140は、接続確立部111が確立した接続状態に基づきサーバ装置130を介して被監視装置110を監視する監視部141を備える。
【選択図】図2
【解決手段】被監視装置110と、ネットワークを介して被監視装置110を監視可能な監視装置140と、監視装置140と被監視装置110とをネットワークを介して中継するサーバ装置130と、を備える装置監視システム100であって、許可信号をサーバ装置130に送信する許可信号送信部121と、許可信号に応答して、被監視装置110と接続するためのポートをサーバ装置130に割り当てるポート設定部131と、割り当てられたポートを用いて被監視装置110とサーバ装置130との間でセキュア接続を確立する接続確立部111と、を備え、監視装置140は、接続確立部111が確立した接続状態に基づきサーバ装置130を介して被監視装置110を監視する監視部141を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
ネットワークに接続される被監視装置と、ネットワークを介して前記被監視装置を監視可能な監視装置と、前記監視装置と前記被監視装置とをネットワークを介して中継するサーバ装置と、を備える装置監視システムであって、
前記被監視装置への接続を許可する許可信号を前記サーバ装置に送信する許可信号送信部と、
前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置に割り当てるポート設定部と、
割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を確立する接続確立部と、を備え、
前記監視装置は、
前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を監視する監視部を備える
装置監視システム。
前記被監視装置への接続を許可する許可信号を前記サーバ装置に送信する許可信号送信部と、
前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置に割り当てるポート設定部と、
割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を確立する接続確立部と、を備え、
前記監視装置は、
前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を監視する監視部を備える
装置監視システム。
【請求項2】
前記被監視装置に対する監視の許可を要求する許可要求情報を送信する許可要求部と、
前記許可要求部から送信された許可要求情報を前記被監視装置の使用者に提示する許可要求提示部と、
を備える請求項1に記載の装置監視システム。
前記許可要求部から送信された許可要求情報を前記被監視装置の使用者に提示する許可要求提示部と、
を備える請求項1に記載の装置監視システム。
【請求項3】
前記被監視装置の使用者からの入力に基づき、前記監視装置による前記被監視装置の監視状態を停止する監視状態停止部
を備える請求項1または2に記載の装置監視システム。
を備える請求項1または2に記載の装置監視システム。
【請求項4】
前記装置監視システムは、
前記被監視装置に接続される管理装置を備え、
前記管理装置は、
前記監視装置による前記被監視装置の監視状態を前記被監視装置の使用者に提示する監視状態提示部を備える
請求項1から3のいずれか一項に記載の装置監視システム。
前記被監視装置に接続される管理装置を備え、
前記管理装置は、
前記監視装置による前記被監視装置の監視状態を前記被監視装置の使用者に提示する監視状態提示部を備える
請求項1から3のいずれか一項に記載の装置監視システム。
【請求項5】
ネットワークに接続される被監視装置と、ネットワークを介して前記被監視装置を監視可能な監視装置と、前記監視装置と前記被監視装置とをネットワークを介して中継するサーバ装置と、を備える装置監視システムに適用される装置監視方法であって、
前記被監視装置への接続を許可する許可信号を前記サーバ装置に許可信号送信部が送信し、
前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置にポート設定部が割り当て、
割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を接続確立部が確立し、
前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を前記監視装置により監視する
装置監視方法。
前記被監視装置への接続を許可する許可信号を前記サーバ装置に許可信号送信部が送信し、
前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置にポート設定部が割り当て、
割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を接続確立部が確立し、
前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を前記監視装置により監視する
装置監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続される装置、例えばネットワークストレージ装置(NAS(Network Attached Storage))をネットワークを介して監視する装置監視システム、および装置監視方法に関する。
【背景技術】
【0002】
従来、インターネット等のネットワークを介して接続される各種装置を監視する遠隔監視システムが存在している。特許文献1に記載の遠隔監視システムでは、サーバ装置が、監視装置からのアクセス要求があると、監視装置と被監視装置との間にランダムに接続ポートをそれぞれ割り当てる。そして、サーバ装置は、割り当てたポートを利用して被監視装置との間をトンネリング接続(SSH(Secure Shell)接続)し、セキュアな監視状態を創出している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2017-228282号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところが、監視装置側からのアクセス要求をトリガとして監視装置と被監視装置との間でトンネリング接続を実行した場合、被監視装置を管理する管理者の許可無しに被監視装置に保存されている秘匿性の高い情報などにもアクセスできる可能性がある。このような場合、監視装置によって意図せず情報が閲覧されてしまう可能性は否定できない。
【0005】
本発明は、上記課題に鑑みなされたものであり、被監視装置の管理者が知らない状況で、被監視装置に監視装置が接続することのない、装置監視システム、装置監視方法の提供を目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の1つである装置監視システムは、ネットワークに接続される被監視装置と、ネットワークを介して前記被監視装置を監視可能な監視装置と、前記監視装置と前記被監視装置とをネットワークを介して中継するサーバ装置と、を備える装置監視システムであって、前記被監視装置への接続を許可する許可信号を前記サーバ装置に送信する許可信号送信部と、前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置に割り当てるポート設定部と、割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を確立する接続確立部と、を備え、前記監視装置は、前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を監視する監視部を備える。
【0007】
また、上記目的を達成するために、本発明の他の1つである装置監視方法は、ネットワークに接続される被監視装置と、ネットワークを介して前記被監視装置を監視可能な監視装置と、前記監視装置と前記被監視装置とをネットワークを介して中継するサーバ装置と、を備える装置監視システムに適用される装置監視方法であって、前記被監視装置への接続を許可する許可信号を前記サーバ装置に許可信号送信部が送信し、前記許可信号送信部から送信された許可信号に応答して、前記被監視装置と接続するための被監視ポートを前記サーバ装置にポート設定部が割り当て、割り当てられた前記被監視ポートを用いて前記被監視装置と前記サーバ装置との間でセキュア接続を接続確立部が確立し、前記接続確立部が確立した接続状態に基づき前記サーバ装置を介して前記被監視装置を前記監視装置により監視する。
【発明の効果】
【0008】
監視装置が被監視装置を監視することを許可する権限を被監視装置の使用者側に持たせるシステムとすることにより、使用者が知らない状況で被監視装置を監視できる状態が創出されることを回避できる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下、本発明に係る装置監視システムの実施の形態について、図面を参照しつつ説明する。なお、以下の実施の形態は、本発明を説明するために一例を挙示するものであり、本発明を限定する主旨ではない。例えば、以下の実施の形態において示される形状、構造、材料、構成要素、相対的位置関係、接続状態、数値、数式、方法における各段階の内容、各段階の順序などは、一例であり、以下に記載されていない内容を含む場合がある。また、平行、直交などの幾何学的な表現を用いる場合があるが、これらの表現は、数学的な厳密さを示すものではなく、実質的に許容される誤差、ずれなどが含まれる。また、同時、同一などの表現も、実質的に許容される範囲を含んでいる。
【0011】
また、図面は、本発明を説明するために適宜強調、省略、または比率の調整を行った模式的な図となっており、実際の形状、位置関係、および比率とは異なる。
【0012】
また、以下では複数の発明を一つの実施の形態として包括的に説明する場合がある。また、以下に記載する内容の一部は、本発明に関する任意の構成要素として説明している。
【0013】
図1は、装置監視システムの装置構成を示す図である。図2は、装置監視システムの機能構成を示す図である。装置監視システム100は、被監視装置110と、監視装置140と、サーバ装置130と、を備えている。被監視装置110、サーバ装置130、および監視装置140は、それぞれネットワークに接続されている。本実施の形態の場合、装置監視システム100は、ネットワークに接続される管理装置120を備えている。ネットワークは、アドレス変換装置150を介して接続される第一ネットワーク210と、第二ネットワーク220と、を備えている。なお、以下に装置監視システム100の装置構成、機能構成を順に説明するが、説明の順番は制御の順番と必ずしも一致するものではない。制御の順番については後述する。
【0014】
第一ネットワーク210の種類は、特に限定されるものではなく、例えばグローバルIPアドレスに基づき通信可能な通信事業者の提供するWAN(Wide Area Network、広域情報通信網)、いわゆるインターネットを例示することができる。
【0015】
第二ネットワーク220の種類は、特に限定されるものではなく、例えばプライベートIPアドレス(ローカルIPアドレス)に基づき通信を行うLAN(Local Area Network、構内情報通信網)を例示することができる。具体的に第二ネットワーク220は、IEEE(The Institute of Electrical and Electronics Engineers)802.3に準拠するネットワークである。この第二ネットワーク220上には、被監視装置110、管理装置120が接続されている。なお、第二ネットワーク220に接続される装置は、これに限定されるものではない。
【0016】
アドレス変換装置150は、IPアドレスを別のIPアドレスに変換するNAT(Network Address Translation)機能を備えた装置である。本実施の形態の場合、アドレス変換装置150は、いわゆるルーターである。
【0017】
サーバ装置130は、監視装置140と被監視装置110とをネットワークを介して中継する装置であり、第二ネットワーク220に接続される被監視装置110と第一ネットワーク210を介して通信し、第一ネットワーク210を介して監視装置140と通信する。サーバ装置130は、プログラムをプロセッサに実行させることにより実現される処理部としてポート設定部131を備えている。本実施の形態の場合、サーバ装置130は、複数のLANなどにそれぞれ接続される複数の被監視装置とインターネットを介して通信可能であり、またインターネットを介して複数の監視装置140と通信可能である。
【0018】
ポート設定部131は、被監視装置110と接続するための被監視ポートを割り当てる。例えばポート設定部131は、被監視装置110との接続のための被監視ポートとして予め定めた単数、または複数のポート番号を設定する。予め定めたポート番号とは、例えばhttp、ネットワークの規格などで定められたいわゆるウエルノウンポート以外のポート番号(例えば10080など)である。本実施の形態の場合、ポート設定部131は、優先順位が設けられた複数の被監視ポートを記憶しており、ポートの設定が要求された場合優先順位に基づき被監視ポートを設定する。ポートをウエルノウンポート以外とすることで、通信の安全性を向上させることができる。
【0019】
本実施の形態の場合、ポート設定部131は、監視装置140と接続するための監視ポートを設定する。監視装置140との接続のための監視ポートは、いわゆる汎用の接続ポート番号(例えば80)である。監視装置140とサーバ装置130との接続を汎用ポートにすることにより監視装置140とサーバ装置130との接続確立の容易性を確保している。
【0020】
被監視装置110は、ネットワークを介して通信可能であり、プログラムを実行することができるプロセッサ、およびプログラムを記憶する記憶装置などを備えた装置であれば特に限定されるものではない。被監視装置110としては、例えばデスクトップコンピュータ、ラップトップコンピュータ、サーバなどを例示することができる。本実施の形態の場合、被監視装置110として、ネットワークストレージ装置を挙示している。
【0021】
被監視装置110であるネットワークストレージ装置は、ネットワークを介して取得したデータを非一時的に保存し、保存しているデータをネットワークを介して出力することができる装置である。ネットワークストレージ装置は、プロセッサを備えており、所定のプログラムをプロセッサに実行させることにより、各種のアプリケーションを実現させる。アプリケーションとしては、ファイル共有アプリケーション、データ転送アプリケーション、ウェブサーバアプリケーション、ウィルススキャンアプリケーションなどを例示することができる。
【0022】
被監視装置110は、プログラムをプロセッサに実行させることにより実現される処理部として接続確立部111を備えている。本実施の形態の場合被監視装置110は、処理部として監視状態停止部112をさらに備えている。
【0023】
接続確立部111は、サーバ装置130のポート設定部131により割り当てられた被監視ポートを用いて被監視装置110とサーバ装置130との間でセキュア接続を確立する。セキュア接続としては、例えばSSH(Secure Shell)、https(Hypertext Transfer Protocol Secure)、VPN(Virtual Private Network)などを例示できる。被監視ポートは、いわゆるネットワーク規格で定められたWell-knownポートではなく、独自に設定したポートである。なお、被監視ポートは、予め設定した複数のポートを準備するか、又はランダムに設定される。
【0024】
監視状態停止部112は、被監視装置110の使用者からの入力に基づき、監視装置140による被監視装置110の監視状態を強制的に停止する処理部である。本実施の形態の場合、監視状態停止部112は、被監視装置110が実現しており、管理装置120を介して使用者が監視状態の強制的停止を示す緊急停止情報を被監視装置110に出力することで、監視状態停止部112は、接続確立部111により確立されたサーバ装置130との接続を切断する。また、監視状態停止部は、被監視装置110に設けた切断スイッチで実現することもできる。
【0025】
なお、監視状態停止部112は、緊急停止情報の取得に基づき、監視装置140から指示されている処理を強制停止させ、サーバ装置130との接続を切断するなどを実行してもかまわない。
【0026】
許可信号送信部121は、被監視装置110への接続を許可する許可信号をサーバ装置130に送信する処理部である。本実施の形態の場合、許可信号送信部121は、管理装置120が備えるプロセッサにプログラムを実行させることにより実現されている。管理装置120は、第二ネットワーク220を介して被監視装置110に接続され被監視装置110を管理、制御する装置である。管理装置120は、所定の権限に基づき被監視装置110にログインした管理者が被監視装置110を介して許可信号をサーバ装置130に送信する。
【0027】
なお、許可信号送信部121は、管理装置120が実現するばかりでなく、被監視装置110が実現してもかまわない。例えば、被監視装置110に許可信号の送信を要求する物理的なスイッチを備え、使用者が当該スイッチを操作することにより被監視装置110の許可信号送信部121がサーバ装置130に許可信号を送信してもかまわない。
【0028】
本実施の形態の場合、管理装置120は、許可要求提示部122と、監視状態提示部123と、を備えている。
【0029】
許可要求提示部122は、後述する許可要求部142から送信された許可要求情報を被監視装置110の使用者に提示する処理部である。本実施の形態の場合、許可要求提示部122は、管理装置120が備えるプロセッサにプログラムを実行させることにより実現されており、管理装置120が備える表示装置に許可要求情報を視覚的に提示する。
【0030】
監視状態提示部123は、監視装置140による被監視装置110の監視状態を被監視装置110の使用者に提示する処理部である。本実施の形態の場合、監視状態提示部123は、管理装置120が備えるプロセッサにプログラムを実行させることにより実現されている。監視状態提示部123は、監視装置140が被監視装置110に対しどのような制御を行っているかを示す制御情報を逐次的に管理者に提示する。管理者は、提示された制御情報に意図しない制御が含まれるような場合、被監視装置110の監視状態停止部112にアクセスしてサーバ装置130と被監視装置110との接続を強制的に切断することが可能となる。
【0031】
監視装置140は、被監視装置110の接続確立部111がサーバ装置130との間で確立したセキュア接続を用い、サーバ装置130を介して被監視装置110を監視する装置であり、プログラムをプロセッサに実行させることにより実現する監視部を備えている。監視装置140とサーバ装置130との接続は、第一ネットワーク210を介して行われ、特定の監視者のみが接続できる。特定の監視者とは、サーバ装置130が実現する所定のアプリケーションにログインするためのIDとパスワードを知る者である。
【0032】
許可要求部142は、被監視装置110に対する監視の許可を要求する許可要求情報を送信する処理部である。本実施の形態の場合、許可要求部142は、監視装置140が備えるプロセッサにプログラムを実行させることにより実現されている。なお、装置監視システム100は、許可要求情報が送信されない場合でも監視装置140による被監視装置110の監視状態が創出される場合がある。なお、上記した監視部と許可要求部142を実現するプログラムをサーバ装置130に格納しておき、当該プログラムがサーバ装置130で実行され、監視装置140がWEBUIからアプリケーションを操作する構成であってもよい。
【0033】
次に、装置監視システム100の動作について説明する。図3は、装置監視システムの動作を示すシーケンス図である。
【0034】
特定の監視者がIDとパスワードを用いて予めサーバ装置130にログインしておく(S1)。一方、特定の管理者が所定の権限に基づき被監視装置110にログインしておく(S2)。
【0035】
次に、監視者が監視装置140が備える許可要求部142に基づき被監視装置110を監視したい旨を示す許可要求情報をサーバ装置130に送信する(S3)。サーバ装置130は、許可要求情報を被監視装置110に送信し、被監視装置110は許可要求情報を管理装置120に送信する(S4)。管理装置120の許可要求提示部122は、許可要求情報を表示装置に提示する(S5)。ここで管理者は、許可信号を送信するか否かを判断することができる。許可要求情報の送信者などが信頼できると判断した場合、管理者は許可信号を被監視装置110を介してサーバ装置130に送信する(S5)。
【0036】
サーバ装置130のポート設定部131は、許可信号送信部121から送信された許可信号に応答して、被監視装置110と接続するために所定の被監視ポートを被監視装置110に割り当てる(S6)。被監視装置110の接続確立部111は、割り当てられた被監視ポートに基づきSSHトンネル接続を確立する。
【0037】
監視者は、監視装置140の監視部141に基づきサーバ装置130、およびSSHトンネル接続を介して被監視装置110にアクセスし、被監視装置110を監視する(S7)。
【0038】
以上の実施の形態に係る装置監視システム100によれば、被監視装置110を管理する管理者の許可がなければ、いかなる権限を有する監視者であっても被監視装置110を第一ネットワーク210を介して監視することができない。これにより、管理者が知らない状況下で監視者が勝手に被監視装置110を監視し、また被監視装置110を制御する事象の発生を防止できる。
【0039】
また、管理者は、監視者の監視状態を監視することができ、不正な制御などがなされた場合、サーバ装置130と被監視装置110との接続を切断して情報の漏洩などを防止することができる。
【0040】
なお、本発明は、上記実施の形態に限定されるものではない。例えば、本明細書において記載した構成要素を任意に組み合わせて、また、構成要素のいくつかを除外して実現される別の実施の形態を本発明の実施の形態としてもよい。また、上記実施の形態に対して本発明の主旨、すなわち、請求の範囲に記載される文言が示す意味を逸脱しない範囲で当業者が思いつく各種変形を施して得られる変形例も本発明に含まれる。
【0041】
例えば上記実施の形態では、監視者からの許可要求情報を管理者が確認し、管理者の操作に基づき許可信号を出力する場合を説明したが、監視者からの許可要求情報無しに管理者の発意に基づき許可信号を出力させてもかまわない。
【0042】
また、許可信号を被監視装置110を介してサーバ装置130に出力する場合を説明したが、許可信号は管理装置120から直接サーバ装置130に出力してもかまわない。この場合、管理装置120は、予めサーバ装置130の所定のアプリケーションにログインしていてもかまわない。
【産業上の利用可能性】
【0043】
本発明は、インターネットを介してLANに接続されている被監視装置を監視する装置監視システムなどに適用可能である。
【符号の説明】
【0044】
100 装置監視システム
110 被監視装置
111 接続確立部
112 監視状態停止部
120 管理装置
121 許可信号送信部
122 許可要求提示部
123 監視状態提示部
130 サーバ装置
131 ポート設定部
140 監視装置
141 監視部
142 許可要求部
150 アドレス変換装置
210 第一ネットワーク
220 第二ネットワーク
110 被監視装置
111 接続確立部
112 監視状態停止部
120 管理装置
121 許可信号送信部
122 許可要求提示部
123 監視状態提示部
130 サーバ装置
131 ポート設定部
140 監視装置
141 監視部
142 許可要求部
150 アドレス変換装置
210 第一ネットワーク
220 第二ネットワーク
【図1】
【図2】
【図3】