知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022186046
(43)【公開日】2022-12-15
(54)【発明の名称】設備機器制御装置、制御方法及びプログラム
(51)【国際特許分類】
H04L 43/00 20220101AFI20221208BHJP
G06F 21/57 20130101ALI20221208BHJP
【FI】
H04L12/70 100Z
G06F21/57 370
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2021094066
(22)【出願日】2021-06-04
(71)【出願人】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】100095407
【弁理士】
【氏名又は名称】木村 満
(74)【代理人】
【識別番号】100131152
【弁理士】
【氏名又は名称】八島 耕司
(74)【代理人】
【識別番号】100147924
【弁理士】
【氏名又は名称】美恵 英樹
(74)【代理人】
【識別番号】100148149
【弁理士】
【氏名又は名称】渡邉 幸男
(74)【代理人】
【識別番号】100181618
【弁理士】
【氏名又は名称】宮脇 良平
(74)【代理人】
【識別番号】100174388
【弁理士】
【氏名又は名称】龍竹 史朗
(72)【発明者】
【氏名】佐藤 香
(72)【発明者】
【氏名】遠藤 弘明
(72)【発明者】
【氏名】小竹 弘晃
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HB06
5K030LC13
(57)【要約】
【課題】遠隔制御システムを悪意のある第三者からの攻撃を受けにくくすることが可能な設備機器制御装置、制御方法及びプログラムを提供する。
【解決手段】設備機器制御装置100は、ネットワークを介して遠隔監視装置300から設備機器200を遠隔制御する遠隔制御システムにおいて、遠隔監視装置300からの指示に従って設備機器200を制御する。取得部101は、遠隔監視装置300との間で送受信するパケットを取得する。判定部102は、パケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、遠隔制御システムが設備機器制御装置100に接続するVPNルータを設置していない不正な構成であるか否かを判定する。警告部103は、不正な構成であると判定されると、設備機器制御装置100のユーザに、遠隔制御システムが不正な構成である旨を警告する。
【選択図】図3
【解決手段】設備機器制御装置100は、ネットワークを介して遠隔監視装置300から設備機器200を遠隔制御する遠隔制御システムにおいて、遠隔監視装置300からの指示に従って設備機器200を制御する。取得部101は、遠隔監視装置300との間で送受信するパケットを取得する。判定部102は、パケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、遠隔制御システムが設備機器制御装置100に接続するVPNルータを設置していない不正な構成であるか否かを判定する。警告部103は、不正な構成であると判定されると、設備機器制御装置100のユーザに、遠隔制御システムが不正な構成である旨を警告する。
【選択図】図3
【特許請求の範囲】
【請求項1】
ネットワークを介して遠隔監視装置から設備機器を遠隔制御する遠隔制御システムにおいて、前記遠隔監視装置からの指示に従って前記設備機器を制御する設備機器制御装置であって、
前記遠隔監視装置との間で送受信するパケットを取得する取得手段と、
前記取得されたパケットの送信元IP(Internet Protocol)アドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段と、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段と、
を備える設備機器制御装置。
前記遠隔監視装置との間で送受信するパケットを取得する取得手段と、
前記取得されたパケットの送信元IP(Internet Protocol)アドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段と、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段と、
を備える設備機器制御装置。
【請求項2】
前記判定手段は、前記取得されたパケットのうち、前記遠隔監視装置から送信されたパケットの送信元IPアドレスがグローバルIPアドレスである場合、前記不正な構成であると判定する、
請求項1に記載の設備機器制御装置。
請求項1に記載の設備機器制御装置。
【請求項3】
前記判定手段は、前記取得されたパケットのうち、前記設備機器制御装置から前記遠隔監視装置に送信するパケットの送信元IPアドレスがグローバルIPアドレスである場合、前記不正な構成であると判定する、
請求項1又は2に記載の設備機器制御装置。
請求項1又は2に記載の設備機器制御装置。
【請求項4】
前記判定手段は、前記取得されたパケットのうち、前記遠隔監視装置から送信されたパケットの宛先IPアドレスがグローバルIPアドレスである場合、前記不正な構成であると判定する、
請求項1から3のいずれか1項に記載の設備機器制御装置。
請求項1から3のいずれか1項に記載の設備機器制御装置。
【請求項5】
前記不正な構成であると判定されると、前記遠隔監視装置による遠隔制御が可能な内容を制限する制御手段をさらに備える、
請求項1から4のいずれか1項に記載の設備機器制御装置。
請求項1から4のいずれか1項に記載の設備機器制御装置。
【請求項6】
前記不正な構成であると判定されると、前記遠隔監視装置から前記指示を受信する度に、前記遠隔監視装置に、前記設備機器制御装置を遠隔制御するための認証情報の提示要求を送信する認証手段をさらに備える、
請求項1から5のいずれか1項に記載の設備機器制御装置。
請求項1から5のいずれか1項に記載の設備機器制御装置。
【請求項7】
前記警告手段は、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成であることを了承するか否かを問い合わせ、
前記警告手段が、前記遠隔制御システムが不正な構成であることを了承する回答を受け付けると、
前記制御手段は、前記遠隔監視装置による遠隔制御が可能な内容を制限しない、
請求項5に記載の設備機器制御装置。
前記警告手段が、前記遠隔制御システムが不正な構成であることを了承する回答を受け付けると、
前記制御手段は、前記遠隔監視装置による遠隔制御が可能な内容を制限しない、
請求項5に記載の設備機器制御装置。
【請求項8】
前記警告手段は、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成であることを了承するか否かを問い合わせ、
前記警告手段が、前記遠隔制御システムが不正な構成であることを了承する回答を受け付けると、
前記認証手段は、前記遠隔監視装置に前記認証情報の提示要求を送信しない、
請求項6に記載の設備機器制御装置。
前記警告手段が、前記遠隔制御システムが不正な構成であることを了承する回答を受け付けると、
前記認証手段は、前記遠隔監視装置に前記認証情報の提示要求を送信しない、
請求項6に記載の設備機器制御装置。
【請求項9】
前記設備機器は、空気調和機である、
請求項1から8のいずれか1項に記載の設備機器制御装置。
請求項1から8のいずれか1項に記載の設備機器制御装置。
【請求項10】
遠隔監視装置からの指示に従って設備機器を制御する設備機器制御装置が、
前記遠隔監視装置との間で送受信するパケットを取得し、
前記取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記設備機器を遠隔制御する遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定し、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する、
制御方法。
前記遠隔監視装置との間で送受信するパケットを取得し、
前記取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記設備機器を遠隔制御する遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定し、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する、
制御方法。
【請求項11】
遠隔監視装置からの指示に従って設備機器を制御するコンピュータを、
前記遠隔監視装置との間で送受信するパケットを取得する取得手段、
前記取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記設備機器を遠隔制御する遠隔制御システムが前記コンピュータに接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段、
前記不正な構成であると判定されると、前記コンピュータのユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段、
として機能させるプログラム。
前記遠隔監視装置との間で送受信するパケットを取得する取得手段、
前記取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記設備機器を遠隔制御する遠隔制御システムが前記コンピュータに接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段、
前記不正な構成であると判定されると、前記コンピュータのユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段、
として機能させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、設備機器制御装置、制御方法及びプログラムに関する。
【背景技術】
【0002】
物件に設置された空気調和機のような設備機器を、インターネットのような公共のネットワークを介して、物件とは異なる場所に存在する遠隔監視装置から遠隔制御する遠隔制御システムが知られている。例えば、特許文献1には、通信端末からインターネットを介して家屋内の電気機器を遠隔制御する技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006-287639号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
このような遠隔制御システムでは、遠隔から制御内容を指示する遠隔監視装置と通信を行い、遠隔監視装置からの指示に基づき設備機器を制御する設備機器制御装置が設けられる。設備機器制御装置は、一般的に、設備機器と同じ物件に設置され、設備機器制御装置のユーザが、設備機器を管理する。設備機器制御装置のユーザは、安全な遠隔制御を行うために、設備機器制御装置と遠隔監視装置との間に、設備機器制御装置に接続するVPN(Virtual Private Network)ルータを設置することが求められる。
【0005】
しかしながら、設備機器制御装置のユーザは、VPNルータの設置の煩雑さ、費用が係る等の理由により、VPNルータを設置しないことがある。遠隔制御システムを、設備機器制御装置に接続するVPNルータを設置しない不正な構成とすると、悪意のある第三者からの攻撃を受けるという恐れがある。よって、設備機器制御装置のユーザにVPNルータの設置を促し、遠隔制御システムを悪意のある第三者からの攻撃にくくする必要がある。
【0006】
本開示は、上記事情に鑑みてなされたものであり、遠隔制御システムを悪意のある第三者からの攻撃を受けにくくすることが可能な設備機器制御装置、制御方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本開示に係る設備機器制御装置は、
ネットワークを介して遠隔監視装置から設備機器を遠隔制御する遠隔制御システムにおいて、前記遠隔監視装置からの指示に従って前記設備機器を制御する設備機器制御装置であって、
前記遠隔監視装置との間で送受信するパケットを取得する取得手段と、
前記取得されたパケットの送信元IP(Internet Protocol)アドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段と、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段と、
を備える。
ネットワークを介して遠隔監視装置から設備機器を遠隔制御する遠隔制御システムにおいて、前記遠隔監視装置からの指示に従って前記設備機器を制御する設備機器制御装置であって、
前記遠隔監視装置との間で送受信するパケットを取得する取得手段と、
前記取得されたパケットの送信元IP(Internet Protocol)アドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、前記遠隔制御システムが前記設備機器制御装置に接続するVPNルータを設置していない不正な構成であるか否かを判定する判定手段と、
前記不正な構成であると判定されると、前記設備機器制御装置のユーザに、前記遠隔制御システムが不正な構成である旨を警告する警告手段と、
を備える。
【発明の効果】
【0008】
本開示によれば、遠隔制御システムを悪意のある第三者からの攻撃を受けにくくすることが可能な設備機器制御装置、制御方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0009】
【図1】実施形態に係る遠隔制御システムのブロック図
【図2】実施形態に係る設備機器制御装置のハードウェア構成を示すブロック図
【図3】実施形態に係る設備機器制御装置の機能構成を示すブロック図
【図4】実施形態に係る警告画像の例を示す図
【図5】実施形態に係る設備機器制御装置が実行する制御処理を示すフローチャート
【図6】実施形態に係る設備機器制御装置と遠隔監視装置との間で行われる通信の例を示すシーケンス図
【発明を実施するための形態】
【0010】
(実施形態)
実施形態に係る遠隔制御システム1は、ネットワークを介して遠隔監視装置から設備機器を遠隔制御するシステムである。
実施形態に係る遠隔制御システム1は、ネットワークを介して遠隔監視装置から設備機器を遠隔制御するシステムである。
【0011】
図1に示すように、遠隔制御システム1は、設備機器制御装置100と、1以上の設備機器200と、遠隔監視装置300と、を備える。設備機器制御装置100は、ネットワーク400を介して、遠隔監視装置300に通信可能に接続する。設備機器制御装置100と設備機器200とは、同じ物件に設置されている。ここで、物件とは、例えば、オフィスビル、商業施設、住宅等である。
【0012】
以下では、遠隔制御システム1において、遠隔制御サービスが提供される場合を例に説明をする。遠隔制御サービスとは、例えば、遠隔監視装置300から設備機器200の運転状況の監視、自動運転、保守等の遠隔制御を行うサービスである。
【0013】
設備機器制御装置100は、遠隔監視装置300から送信された指示に従って設備機器を制御する。設備機器制御装置100は、例えば、システムコントローラである。設備機器制御装置100は、設備機器200と、無線又は有線により通信可能に接続されている。設備機器制御装置100のユーザは、遠隔制御サービスの提供を受ける者であり、例えば、設備機器200の管理者である。
【0014】
設備機器200は、物件に設置された電気機器である。設備機器200は、例えば、空気調和機、照明機器、換気装置等である。
【0015】
遠隔監視装置300は、設備機器200の遠隔制御の内容を示す指示を、設備機器制御装置100に送信する。遠隔監視装置300は、例えば、パーソナルコンピュータ、タブレットコンピュータ等である。遠隔監視装置300のユーザは、物件の設備機器200についての遠隔制御サービスを提供する者である。
【0016】
ネットワーク400は、無線又は有線による通信ネットワークであり、例えば、インターネットである。
【0017】
図1の遠隔制御システム1においては、設備機器制御装置100と遠隔監視装置300との間にVPNルータ500が設置されていない。安全な遠隔制御を行うために、設備機器制御装置100と遠隔監視装置300との間に、設備機器制御装置100と接続するVPNルータを設置し、VPN接続を行った上での通信が求められる。したがって、設備機器200の管理者には、設備機器制御装置100と接続するVPNルータ500の設置が求められる。VPNルータ500を設置しない場合、悪意のある第三者からの攻撃を受ける恐れがあり、安全な遠隔制御が保証されない。以下、設備機器制御装置100と遠隔監視装置との間にVPNルータ500が設置されていない遠隔制御システム1の構成を、「不正な構成」という。
【0018】
次に、図2を参照して設備機器制御装置100のハードウェア構成について説明する。
【0019】
まず、設備機器制御装置100のハードウェア構成について説明する。設備機器制御装置100は、種々の処理を実行するプロセッサ11と、プロセッサ11の作業領域として用いられる主記憶部12と、プロセッサ11の処理に用いられる種々のデータを記憶する補助記憶部13と、外部の装置と通信するための通信部14と、入力された情報を取得する入力部15と、種々の情報を提示する出力部16と、計時を行うRTC(Real Time Clock)17と、を有する。主記憶部12、補助記憶部13、通信部14、入力部15、出力部16及びRTC17はいずれも、バス18を介してプロセッサ11に接続される。
【0020】
プロセッサ11は、CPU(Central Processing Unit)を含む。プロセッサ11は、補助記憶部13に記憶されるプログラムを実行することにより、設備機器制御装置100の種々の機能を実現する。
【0021】
主記憶部12は、RAM(Random Access Memory)を含む。主記憶部12には、補助記憶部13からプログラムがロードされる。そして、主記憶部12は、プロセッサ11の作業領域として用いられる。
【0022】
補助記憶部13は、EEPROM(Electrically Erasable Programmable Read-Only Memory)に代表される不揮発性メモリを含む。補助記憶部13は、プログラムの他に、プロセッサ11の処理に用いられる種々のデータを記憶する。補助記憶部13は、プロセッサ11の指示に従って、プロセッサ11によって利用されるデータをプロセッサ11に供給し、プロセッサ11から供給されたデータを記憶する。
【0023】
通信部14は、外部の装置と通信するためのネットワークインタフェース回路を含む。通信部14は、外部の装置から信号を受信して、この信号により示されるデータをプロセッサ11へ出力する。また、通信部14は、プロセッサ11から出力されたデータを示す信号を外部の装置へ送信する。
【0024】
入力部15は、入力キー、ポインティングデバイス等の入力デバイスを含む。入力部15は、設備機器制御装置100のユーザによって入力された情報を取得して、取得した情報をプロセッサ11に通知する。
【0025】
出力部16は、LCD(Liquid Crystal Display)、スピーカ等の出力デバイスを含む。出力部16は、入力部15を構成するポインティングデバイスと一体的に形成されたタッチスクリーンを構成してもよい。出力部16は、プロセッサ11の指示に従って、種々の情報をユーザに提示する。
【0026】
RTC17は、水晶発振子による発振回路を備えた計時用のデバイスである。RTC17は、例えば、電池を内蔵し、設備機器制御装置100の電源がオフの間も計時を継続する。
【0027】
次に、図3を参照して、設備機器制御装置100の機能について説明する。
【0028】
設備機器制御装置100は、機能的には、遠隔監視装置との間で送受信するパケットを取得する取得部101と、不正な構成か否かを判定する判定部102と、不正な構成である旨を警告する警告部103と、設備機器200を制御する制御部104と、認証情報の提示要求を送信する認証部105と、を備える。
【0029】
取得部101は、遠隔監視装置300との間で送受信するパケットを取得する。取得部101は、プロセッサ11と、通信部14とが協働することにより実現される。なお、取得部101は、取得手段の一例である。
【0030】
例えば、設備機器制御装置100と遠隔監視装置300との通信の初期設定を行うために、遠隔監視装置300から設定に関する情報を含むパケットが送信されると、取得部101は、遠隔監視装置300から送信されたパケットを取得する。あるいは、通信の初期設定を行うために、設備機器制御装置100から遠隔監視装置300に、設定に関する情報を含むパケットを送信する場合、取得部101は、設備機器制御装置100の内部にある、設備機器制御装置100から送信するパケットを取得する。
【0031】
判定部102は、取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、遠隔制御システム1が設備機器制御装置100に接続するVPNルータ500を設置していない不正な構成であるか否かを判定する。判定部102は、プロセッサ11により実現される。なお、判定部102は、判定手段の一例である。
【0032】
不正な構成とは、遠隔制御システム1において、設備機器制御装置100と遠隔監視装置との間に、設備機器制御装置100に接続するVPNルータ500が設置されていない構成であり、セキュリティリスクの高い構成である。
【0033】
例えば、補助記憶部13には、プライベートIPアドレスの範囲が示されたアドレス情報が格納されているとする。判定部102は、アドレス情報を参照して、取得されたパケットの送信元IPアドレス又は宛先IPアドレスパケットの送信元IPアドレスがグローバルIPアドレスか否かを判断する。
【0034】
具体的には、判定部102は、取得されたパケットのうち、遠隔監視装置300から送信されたパケットの送信元IPアドレスがグローバルIPアドレスである場合、不正な構成であると判定する。例えば、判定部102は、遠隔監視装置300から送信されたパケットの送信元IPアドレスが、アドレス情報に示された範囲のプライベートIPアドレスに一致しない場合、送信元IPアドレスがグローバルIPアドレスと判断する。
【0035】
例えば、設備機器制御装置100と遠隔監視装置300との間に、設備機器制御装置100に接続するVPNルータ500が設置されていれば、遠隔監視装置300から送信され、設備機器制御装置100が受信したパケットの送信元IPアドレスは、VPNルータ500に割り当てられたプライベートIPアドレスであり、グローバルIPアドレスではない。したがって、遠隔監視装置300から送信されたパケットの送信元IPアドレスがグローバルIPアドレスである場合、判定部102は、遠隔制御システム1が不正な構成と判定する。
【0036】
或いは、判定部102は、取得されたパケットのうち、設備機器制御装置100から遠隔監視装置300に送信するパケットの送信元IPアドレスがグローバルIPアドレスである場合、不正な構成であると判定する。例えば、判定部102は、設備機器制御装置100から遠隔監視装置300に送信する送信元IPアドレスが、アドレス情報に示された範囲のプライベートIPアドレスに一致する場合、送信元IPアドレスがグローバルIPアドレスと判断する。
【0037】
例えば、設備機器制御装置100と遠隔監視装置300との間に、設備機器制御装置100に接続するVPNルータ500が設置されていれば、設備機器制御装置100から遠隔監視装置300に送信するパケットの送信元IPアドレスは、設備機器制御装置100に割り当てられたプライベートIPアドレスであり、グローバルIPアドレスではない。したがって、設備機器制御装置100から遠隔監視装置300に送信するパケットの送信元IPアドレスがグローバルIPアドレスである場合、判定部102は、遠隔制御システム1が不正な構成と判定する。
【0038】
また、或いは、判定部102は、取得されたパケットのうち、遠隔監視装置300から送信されたパケットの宛先IPアドレスがグローバルIPアドレスである場合、不正な構成であると判定する。例えば、判定部102は、遠隔監視装置300から送信されたパケットの宛先IPアドレスが、アドレス情報に示された範囲のプライベートIPアドレスに一致しない場合、宛先IPアドレスがグローバルIPアドレスと判断する。
【0039】
例えば、設備機器制御装置100と遠隔監視装置300との間に、設備機器制御装置100に接続するVPNルータ500が設置されていれば、遠隔監視装置300から送信され、設備機器制御装置100が受信したパケットの宛先IPアドレスは、設備機器制御装置100に割り当てられたプライベートIPアドレスであり、グローバルIPアドレスではない。したがって、遠隔監視装置300から送信されたパケットの宛先IPアドレスがグローバルIPアドレスである場合、判定部102は、遠隔制御システム1が不正な構成と判定する。
【0040】
警告部103は、不正な構成であると判定されると、設備機器制御装置100のユーザに、遠隔制御システム1が不正な構成である旨を警告する。また、警告部103は、設備機器制御装置100のユーザに、遠隔制御システム1が不正な構成であることを了承するか否かを問い合わせる。警告部103は、プロセッサ11、通信部14、入力部15及び出力部16により実現される。なお、警告部103は、警告手段の一例である。
【0041】
例えば、判定部102により不正な構成であると判定されると、警告部103は、図4に示す警告画像600を、設備機器制御装置100の画面に表示する。警告画像600には、警告メッセージ601と、警告メッセージ601の内容を了承することを示すボタン602と、警告メッセージ601の内容を了承しないことを示すボタン603と、が含まれる。警告メッセージ601には、VPNルータを使用していない不正な構成であることを通知する内容、セキュリティリスクが高い状態にあることを通知する内容、VPNルータの設置を求める内容、及び、VPNルータを用いず通信を継続した場合に生じる不具合については、サービスの保証外であることを通知する内容が含まれる。
【0042】
警告部103が、遠隔制御システム1が不正な構成であることを了承する回答を受け付けると、設備機器制御装置100は、遠隔監視装置300からの指示に従って設備機器200を制御する通常の制御を行う。
【0043】
例えば、図4の警告画像600において、ボタン602が選択されると、警告部103は、遠隔制御システム1が不正な構成であることを了承する回答を受け付けたと判断し、設備機器制御装置100は、遠隔監視装置300からの指示に従って設備機器200を制御する通常の制御を行う。以下、通常の制御が行われる設備機器制御装置100の動作モードを、「通常モード」という。なお、設備機器制御装置100の動作モードには、「通常モード」の他に、後述する「制限モード」、「認証モード」がある。現在の動作モードを示す動作モード情報は、補助記憶部13に格納される。動作モード情報を、「通常モード」、「制限モード」、「認証モード」のいずれかの値に設定すると、設備機器制御装置100は設定された動作モードの動作を行う。
【0044】
一方、警告部103が、遠隔制御システムが不正な構成であることを了承しない回答を受け付けると、制御部104は、遠隔監視装置300による遠隔制御が可能な内容を制限する。制限される遠隔制御が可能な内容は、遠隔監視装置300のユーザが任意に設定することができる。例えば、補助記憶部13には、遠隔制御システムが不正な構成であることを了承しない回答を受け付けた場合に許可される遠隔制御の内容と、許可されない遠隔制御の内容とが示された制限情報が格納される。そして、遠隔監視装置300のユーザは、制限情報の内容を任意に設定することができる。以下、遠隔制御が可能な内容が制限される設備機器制御装置100の動作モードを、「制限モード」という。制御部104は、プロセッサ11及び通信部14により実現される。なお、制御部104は、制御手段の一例である。
【0045】
例えば、図4の警告画像600において、ボタン603が選択されると、警告部103は、遠隔制御システム1が不正な構成であることを了承しない回答を受け付けたと判断する。制御部104は、補助記憶部13に格納された動作モード情報の値を「制限モード」にすることにより、動作モードを制限モードに設定する。そして、制御部104は、その後に遠隔監視装置300から遠隔制御の指示を受け付けると、補助記憶部13に格納された制限情報を参照し、その指示が許可される遠隔制御の指示の場合に、指示に従い設備機器200を制御する。
【0046】
例えば、制限情報において、遠隔監視装置300に対し、設備機器制御装置100、設備機器200、設備機器200が設置される物件に関する情報の取得のみを許可し、設備機器200の運転に関する制御を許可しないという設定がされているとする。この場合、制御部104は、遠隔監視装置300から情報の取得要求を受信すると、取得要求に係る情報を遠隔監視装置300に送信する。一方、制御部104は、遠隔監視装置300から設備機器200の運転に関する指示を受信すると、指示を破棄し、指示に係る運転を実行できない旨のメッセージを遠隔監視装置300に送信する。運転に関する指示とは、例えば、設備機器200が空気調和機の場合、運転の開始、運転の停止、温度設定の変更等の指示である。
【0047】
また、例えば、遠隔監視装置300からの情報取得を許可する情報を、機密性の低い情報に限定し、機密性の高い情報の情報取得を許可しないよう設定することもできる。ここで、機密性の低い情報とは、例えば、設備機器200の仕様、メンテナンス履歴等の情報である。一方、機密性の高い情報とは、例えば、人の在否を判断することができる設備機器200の現在の運転情報、課金情報のようなプライバシーに関する情報である。制御部104は、遠隔監視装置300から機密性の低い情報の取得要求を受信すると、取得要求に係る情報を遠隔監視装置300に送信する。一方、制御部104は、遠隔監視装置300から機密性の高い情報の取得要求を受信すると、取得要求に係る情報を送信できない旨のメッセージを遠隔監視装置300に送信する。
【0048】
或いは、警告部103が、遠隔制御システムが不正な構成であることを了承しない回答を受け付けると、認証部105は、遠隔監視装置300から指示を受信する度に、遠隔監視装置300に、設備機器制御装置100を遠隔制御するための認証情報の提示要求を送信する。遠隔監視装置300から指示を受信する度に認証情報の提示要求を送信する設備機器制御装置100の動作モードを、「認証モード」という。認証部105は、プロセッサ11及び通信部14により実現される。なお、認証部105は、認証手段の一例である。
【0049】
設備機器制御装置100を遠隔制御するための認証情報とは、例えば、設備機器制御装置100に登録されているログインID及びパスワードである。認証情報は、例えば、設備機器制御装置100と遠隔監視装置300との通信を行うための初期設定の際に、遠隔監視装置300のユーザにより登録され、補助記憶部13に格納される。
【0050】
例えば、図4の警告画像600において、ボタン603が選択されると、警告部103は、遠隔制御システム1が不正な構成であることを了承しない回答を受け付けたと判断する。認証部105は、補助記憶部13に格納された動作モード情報の値を「認証モード」にすることにより、動作モードを認証モードに設定する。そして、認証部105は、その後に遠隔監視装置300から、情報の取得要求、運転に関する指示等の遠隔制御の指示を受け付ける度に、遠隔監視装置300にログインID及びパスワードの提示要求を送信する。遠隔監視装置300のユーザが、ログインID及びパスワードを入力し、認証部105が、遠隔監視装置300から予め登録されたログインID及びパスワードを受信すると、制御部104は、遠隔監視装置300から指示に従って設備機器200を制御する。
【0051】
次に、本実施形態に係る設備機器制御装置100が実行する制御処理について、図5のフローチャートを用いて説明する。図5の制御処理は、例えば、設備機器制御装置100と遠隔監視装置300との通信を行うための、初期設定の際に実行される。
【0052】
取得部101は、遠隔監視装置300との間で送受信するパケットを取得したか否かを判断する(ステップS101)。取得部101は、遠隔監視装置300との間で送受信するパケットを取得した判断すると(ステップS101;YES)、判定部102は、取得されたパケットの送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスであるか否かに基づいて、遠隔制御システム1がVPNルータ500を設置してない不正な構成であるか否かを判定する(ステップS102)。一方、取得部101は、遠隔監視装置300との間で送受信するパケットを取得した判断していないと判断すると(ステップS101;NO)、そのまま待機する。
【0053】
例えば、取得部101が、遠隔監視装置300から送信されたパケットを取得すると、判定部102は、遠隔監視装置300から送信されたパケットの送信元IPアドレスがグローバルIPアドレスか否かに基づいて、遠隔制御システム1が不正な構成であるか否かを判定する。一方、取得部101が、遠隔監視装置300との間で送受信するパケットを取得していない場合は、そのまま待機する。
【0054】
ステップS102において、判定部102が、遠隔制御システム1が不正な構成と判定すると(ステップS102;YES)、警告部103は、設備機器制御装置100のユーザに、遠隔制御システム1が不正な構成である旨を警告する(ステップS103)。一方、判定部102が、遠隔制御システム1が不正な構成でないと判定すると(ステップS102;NO)、設備機器制御装置100は、図5の処理を終了する。
【0055】
例えば、判定部102が、遠隔監視装置300から送信されたパケットの送信元IPアドレスがグローバルIPアドレスと判断すると、遠隔制御システム1が不正な構成と判定する。そして、警告部103は、図4に示す警告画像600を、設備機器制御装置100の画面に表示する。一方、判定部102は、遠隔監視装置300から送信されたパケットの送信元IPアドレスがグローバルIPアドレスでないと判断すると、遠隔制御システム1が不正な構成でないと判定する。そして、設備機器制御装置100は、図5の処理を終了する。
【0056】
次に、警告部103は、設備機器200を管理する者に、遠隔制御システム1が不正な構成であることを了承するか否かを問い合わせ、了承する回答を受け付けたか否かを判断する(ステップS104)。警告部103が、了承する回答を受け付けたと判断すると(ステップS104;YES)、設備機器制御装置100は、図5の処理を終了する。一方、警告部103が、了承する回答を受け付けなかったと判断すると(ステップS104;NO)、ステップS105に進む。
【0057】
例えば、図4の警告画像600において、ボタン602が選択されると、警告部103は、遠隔制御システム1が不正な構成であることを了承する回答を受け付けたと判断する。一方、図4の警告画像600において、ボタン603が選択されると、警告部103は、遠隔制御システム1が不正な構成であることを了承しない回答を受け付けたと判断する。
【0058】
ステップS105において、制御部104は、動作モードを、遠隔監視装置300による遠隔制御が可能な内容を制限する制限モードに設定する。又は、認証部105は、動作モードを、遠隔監視装置300から指示を受信する度に認証情報の提示要求を送信する認証モードに設定する。
【0059】
例えば、ステップS105において、動作モードが制限モードに設定されたとする。この場合、図5の処理の終了後に、制御部104は、遠隔監視装置300から情報の取得要求を受信すると、取得要求に係る情報を遠隔監視装置300に送信する。また、制御部104は、設備機器200の運転を開始する指示を受信すると、指示を破棄し、運転を開始できない旨のメッセージを遠隔監視装置300に送信する。また、例えば、ステップS105において、動作モードが認証モードに設定されたとする。この場合、図5の処理の終了後に、制御部104は、遠隔監視装置300から、情報の取得要求、運転に関する指示等の遠隔制御の指示を受け付ける度に、遠隔監視装置300にログインID及びパスワードの提示要求を送信する。
【0060】
次に、本実施形態に係る設備機器制御装置100と遠隔監視装置300との間で実行される処理であって、動作モードが認証モードに設定された後の処理の例を、図6のシーケンス図を用いて説明する。
【0061】
まず、遠隔監視装置300が、遠隔制御の指示の実行を要求するリクエストを送信する(ステップS201)。ここで、リクエストには、セッションID1が割り当てられているとする。設備機器制御装置100は、リクエストを受信すると、ログインID及びパスワードの提示要求を送信する(ステップS202)。遠隔監視装置300が、提示要求に応答して、ログインID及びパスワードを送信すると(ステップS203)、設備機器制御装置100は、受信したログインID及びパスワードが、補助記憶部13に格納されたログインID及びパスワードと一致するか否かを確認する認証処理を行う(ステップS204)。
【0062】
設備機器制御装置100は、受信したログインID及びパスワードが補助記憶部13に格納されたログインID及びパスワードと一致すると判断すると、認証が成功した旨の通知を送信する(ステップS205)。この際に、設備機器制御装置100は、設備機器制御装置100と遠隔監視装置300との通信に新たに、セッションID2を割り当てる。遠隔監視装置300は、新たなセッションID2を指定して、ステップS201と同様のリクエストを送信し(ステップS206)、設備機器制御装置100は、リクエストに対するレスポンスを送信する(ステップS207)。
【0063】
本実施形態によれば、遠隔制御システムが、設備機器制御装置に接続するVPNルータを設置していない不正な構成であることを、設備機器制御装置のユーザに警告することができる。これにより、設備機器制御装置のユーザに、VPNルータを設置するよう促すことができ、遠隔制御システムを悪意のある第三者からの攻撃を受けにくくすることができる。また、設備機器制御装置のユーザに不正な構成であることを了承するか否かを問い合わせることにより、通信において不具合が生じた場合の責任範囲を明確にすることができる。
【0064】
また、本実施形態によれば、送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスか否かに基づいて不正な構成か否かを判定することができる。一般的に、物件に設置されるシステムコントローラのような設備機器制御装置は、性能が高くなく、搭載可能なアプリケーションも限られるが、このような構成により、設備機器制御装置において、VPNルータを設置していない不正な構成であるか否かを判定することができる。
【0065】
また、本実施形態によれば、遠隔制御システムが不正な構成であり、継続して通信が行われる場合に、遠隔制御が可能な内容を制限することができる。これにより、サイバー攻撃があった場合に備え、悪意のある第三者からの不正な機器の制御、機密性の高い情報の漏洩等を防ぐことができる。
【0066】
また、本実施形態によれば、遠隔制御システムが不正な構成であり、継続して通信が行われる場合に、遠隔制御の指示を受信する度に、認証情報の提示を求めることができる。これにより、サイバー攻撃があった場合に備え、悪意のある第三者からの不正な機器の制御、機密性の高い情報の漏洩等を防ぐことができる。
【0067】
また、本実施形態によれば、遠隔制御システムが不正な構成であることを、設備機器制御装置のユーザが了承して、継続して通信が行われる場合、通信において不具合が生じた場合の責任範囲を明確にしつつ、ユーザの利便性を損なわずに、設備機器の遠隔制御を可能にすることができる。
【0068】
(変形例)
以上、本開示の実施形態を説明したが、本開示を実施するにあたっては、種々の形態による変形及び応用が可能である。
以上、本開示の実施形態を説明したが、本開示を実施するにあたっては、種々の形態による変形及び応用が可能である。
【0069】
上記実施形態において、遠隔制御システム1において、設備機器制御装置100及び遠隔監視装置300を1つずつ示したが、これに限らず、それぞれが複数あってもよい。また、設備機器制御装置100と設備機器200とは同じ物件に設置されるとしたが、別の物件に設置されてもよい。また、設備機器制御装置100は、複数の物件に設置された設備機器200を制御してもよい。
【0070】
また、上記実施形態において、補助記憶部13には、プライベートIPアドレスの範囲が示されたアドレス情報が格納されるとしたが、これに限らない。補助記憶部13には、グローバルIPアドレスの範囲が示されたアドレス情報、又は、プライベートIPアドレス及びグローバルIPアドレスの両方の範囲が示されたアドレス情報が格納されてもよい。このような場合、判定部102は、送信元IPアドレス又は宛先IPアドレスがアドレス情報に示された範囲のグローバルIPアドレスに一致する場合、送信元IPアドレス又は宛先IPアドレスがグローバルIPアドレスと判断する。
【0071】
また、上記実施形態の判定部102は、取得されたパケットのうち、設備機器制御装置100から遠隔監視装置300に送信するパケットの宛先IPアドレスがグローバルIPアドレスである場合、不正な構成であると判定してもよい。例えば、判定部102は、設備機器制御装置100から遠隔監視装置300に送信する宛先IPアドレスが、アドレス情報に示された範囲のプライベートIPアドレスに一致する場合、宛先IPアドレスがグローバルIPアドレスと判断する。
【0072】
例えば、設備機器制御装置100と遠隔監視装置300との間に、設備機器制御装置100に接続するVPNルータ500が設置されていれば、設備機器制御装置100から遠隔監視装置300に送信するパケットの宛先IPアドレスは、VPNルータに割り当てられたプライベートIPアドレスであり、グローバルIPアドレスではない。したがって、設備機器制御装置100から遠隔監視装置300に送信するパケットの宛先IPアドレスがグローバルIPアドレスである場合、判定部102は、遠隔制御システム1が不正な構成と判定する。
【0073】
また、上記実施形態及び変形例において、判定部102は、遠隔監視装置300から送信されたパケットの送信元IPアドレス及び宛先IPアドレス、並びに、設備機器制御装置100から遠隔監視装置300に送信するパケット送信元IPアドレス及び宛先IPアドレスがグローバルIPアドレスか否かに基づいて、不正な構成か否かを判定する例を示したが、いずれの送信元又は宛先IPアドレスを判定に用いるかは、遠隔監視装置300のユーザが任意に設定することができる。
【0074】
また、上記実施形態において、警告部103は、図4の警告画像600を、設備機器制御装置100の画面に表示するとしたが、これに限らない。警告部103は、予め設定された設備機器制御装置100のユーザの連絡先に、警告画像600が示す内容の情報を、送信してもよい。
【0075】
また、上記実施形態において、警告部103が、遠隔制御システムが不正な構成であることを了承しない回答を受け付けると、制御部104が、遠隔監視装置300による遠隔制御が可能な内容を制限するとしたが、これに限らない。制御部104は、不正な構成であると判定されると、遠隔監視装置300による遠隔制御が可能な内容を制限する。例えば、判定部102により遠隔制御システム1が不正な構成であると判定されると、制御部104は、直ちに、設備機器制御装置100の動作モードを制限モードに設定し、遠隔制御が可能な内容を制限する。
【0076】
また、上記実施形態において、警告部103が、遠隔制御システムが不正な構成であることを了承しない回答を受け付けると、認証部105が、遠隔監視装置300から指示を受信する度に、遠隔監視装置300に設備機器制御装置100を遠隔制御するための認証情報の提示要求を送信するとしたが、これに限らない。認証部105は、不正な構成であると判定されると、遠隔監視装置300から指示を受信する度に、遠隔監視装置300に、設備機器制御装置100を遠隔制御するための認証情報の提示要求を送信する。例えば、判定部102により遠隔制御システム1が不正な構成であると判定されると、認証部105は、直ちに、設備機器制御装置100の動作モードを認証モードに設定し、遠隔監視装置300から指示を受信する度に認証情報の提示要求を送信する。
【0077】
また、上記実施形態において、警告部103は、判定部102により不正な構成であると判定されると、設備機器制御装置100のユーザに、遠隔制御システム1が不正な構成である旨を警告するとしたが、これに限らない。判定部102により不正な構成であると判定されると、警告部103による警告、制御部104による遠隔制御が可能な内容の制限、又は、認証部105による認証情報の提示要求を送信、のいずれかの処理を行うように、遠隔監視装置300のユーザが指定するようにしてもよい。
【0078】
また、上記実施形態において、図5のフローチャートが示す処理は、設備機器制御装置100と遠隔監視装置300との通信を行うための、初期設定の際に実行されるとしたが、これに限らない。例えば、遠隔監視装置300のユーザが指定した任意のタイミングで行ってもよい。例えば、1週間に1度のように周期的に実行されてもよいし、遠隔監視装置300から遠隔制御に関する指示を受信する度に実行されてもよい。
【0079】
また、図5のフローチャートのステップS105において、動作モードが制限モード又は認証モードに設定されるとしたが、これに限らない。ステップS105において、動作モードが制限モード及び認証モードの両方に設定されてもよい。
【0080】
また、上記実施形態に係る設備機器制御装置100の動作を規定する動作プログラムを既存のパーソナルコンピュータ又は情報端末装置に適用することで、当該パーソナルコンピュータ又は情報端末装置を実施形態に係る設備機器制御装置100として機能させることも可能である。
【0081】
また、このようなプログラムの配布方法は任意であり、例えば、CD-ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、メモリカード等のコンピュータ読み取り可能な記録媒体に格納して配布してもよいし、インターネットのような通信ネットワークを介して配布してもよい。
【0082】
本開示は、本開示の広義の精神と範囲を逸脱することなく、様々な実施形態及び変形が可能とされるものである。また、上述した実施形態は、本開示を説明するためのものであり、本開示の範囲を限定するものではない。つまり、本開示の範囲は、実施形態ではなく、請求の範囲によって示される。そして、請求の範囲内及びそれと同等の開示の意義の範囲内で施される様々な変形が、本開示の範囲内とみなされる。
【産業上の利用可能性】
【0083】
本開示は、遠隔制御システムを悪意のある第三者からの攻撃を受けにくくすることが可能な設備機器制御装置、遠隔制御システム、制御方法及びプログラムを提供することができる。
【符号の説明】
【0084】
1 遠隔制御システム、11 プロセッサ、12 主記憶部、13 補助記憶部、14 通信部、15 入力部、16 出力部、17 RTC、18 バス、100 設備機器制御装置、101 取得部、102 判定部、103 警告部、104 制御部、105 認証部、200 設備機器、300 遠隔監視装置、400 ネットワーク、500 VPNルータ、600 警告画像、601 警告メッセージ、602,603 ボタン。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】