知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023075526
(43)【公開日】2023-05-31
(54)【発明の名称】通信管理装置および方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20230524BHJP
【FI】
H04L9/32 200D
H04L9/32 100B
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2021188482
(22)【出願日】2021-11-19
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000350
【氏名又は名称】ポレール弁理士法人
(72)【発明者】
【氏名】亀田 貴之
(72)【発明者】
【氏名】中野 利彦
(72)【発明者】
【氏名】石場 光朗
(57)【要約】
【課題】
本発明では、暗号化通信などの通信において、暗号化手段に不具合安全性の低下を含む不具合が生じた場合でも、より容易に通信を維持することを課題とする。
【解決手段】
上記課題を解決するための本発明の構成は、ネットワークを介して接続される複数の通信機器であって、それぞれが複数の通信方式で通信が可能である複数の通信機器における通信を管理する通信管理装置1において、前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定する監視部12と、前記失効通信機器で可能な通信方式を決定する通信方式決定部13と、前記失効通信機器に、決定された前記通信方式を通知する出力部14を有する通信管理装置1である。
【選択図】 図2
本発明では、暗号化通信などの通信において、暗号化手段に不具合安全性の低下を含む不具合が生じた場合でも、より容易に通信を維持することを課題とする。
【解決手段】
上記課題を解決するための本発明の構成は、ネットワークを介して接続される複数の通信機器であって、それぞれが複数の通信方式で通信が可能である複数の通信機器における通信を管理する通信管理装置1において、前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定する監視部12と、前記失効通信機器で可能な通信方式を決定する通信方式決定部13と、前記失効通信機器に、決定された前記通信方式を通知する出力部14を有する通信管理装置1である。
【選択図】 図2
【特許請求の範囲】
【請求項1】
ネットワークを介して接続される複数の通信機器であって、それぞれが複数の通信方式で通信が可能である複数の通信機器における通信を管理する通信管理装置において、
前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定する監視部と、
前記失効通信機器で可能な通信方式を決定する通信方式決定部と、
前記失効通信機器に、決定された前記通信方式を通知する出力部を有する通信管理装置。
前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定する監視部と、
前記失効通信機器で可能な通信方式を決定する通信方式決定部と、
前記失効通信機器に、決定された前記通信方式を通知する出力部を有する通信管理装置。
【請求項2】
請求項1に記載の通信管理装置において、
前記監視部は、前記複数の通信機器それぞれの安全性を示す失効リストを用いて、前記通信の安全を確保するためのツールが失効した通信機器を、前記失効通信機器として特定する通信管理装置。
前記監視部は、前記複数の通信機器それぞれの安全性を示す失効リストを用いて、前記通信の安全を確保するためのツールが失効した通信機器を、前記失効通信機器として特定する通信管理装置。
【請求項3】
請求項2に記載の通信管理装置において、
前記ツールには、認証局で発行される証明書が含まれ、
前記監視部は、前記失効リストを用いて、前記証明書が期限切れの通信機器、前記証明書の正当性に疑義が生じた通信機器、他装置から前記証明書についての失効の通知があった通信機器の少なくとも1つを前記失効通信機器として特定する通信管理装置。
前記ツールには、認証局で発行される証明書が含まれ、
前記監視部は、前記失効リストを用いて、前記証明書が期限切れの通信機器、前記証明書の正当性に疑義が生じた通信機器、他装置から前記証明書についての失効の通知があった通信機器の少なくとも1つを前記失効通信機器として特定する通信管理装置。
【請求項4】
請求項3に記載の通信管理装置において、
前記通信方式決定部は、前記失効通信機器の通信方式を、前記証明書を用いた証明書通信から共通鍵を用いた共通鍵通信に変更する通信管理装置。
前記通信方式決定部は、前記失効通信機器の通信方式を、前記証明書を用いた証明書通信から共通鍵を用いた共通鍵通信に変更する通信管理装置。
【請求項5】
請求項2に記載の通信管理装置において、
前記通信方式決定部は、前記失効通信機器の複数の機能のうち少なくとも一部を無効化して、他の機能についての通信を維持する通信管理装置。
前記通信方式決定部は、前記失効通信機器の複数の機能のうち少なくとも一部を無効化して、他の機能についての通信を維持する通信管理装置。
【請求項6】
請求項1乃至5の何れかに記載の通信管理装置において、
前記監視部は、前記失効通信機器に関連する関連通信機器として、当該失効通信機器の通信先の通信機器もしくは前記ネットワークに接続される通信機器を特定し、
前記通信方式決定部は、前記失効通信機器と前記関連通信機器の間の通信における通信方式を決定し、
前記出力部は、前記失効通信機器および前記関連通信機器に、決定された前記通信方式を通知する出力部を有する通信管理装置。
前記監視部は、前記失効通信機器に関連する関連通信機器として、当該失効通信機器の通信先の通信機器もしくは前記ネットワークに接続される通信機器を特定し、
前記通信方式決定部は、前記失効通信機器と前記関連通信機器の間の通信における通信方式を決定し、
前記出力部は、前記失効通信機器および前記関連通信機器に、決定された前記通信方式を通知する出力部を有する通信管理装置。
【請求項7】
請求項6に記載の通信管理装置において、
前記出力部は、端末装置に対して、前記失効通信機器に関する情報を表示させる通信管理装置。
前記出力部は、端末装置に対して、前記失効通信機器に関する情報を表示させる通信管理装置。
【請求項8】
ネットワークを介して接続される複数の通信機器であって、それぞれが複数の通信方式で通信が可能である複数の通信機器における通信を、通信管理装置を用いて管理する通信管理方法において、
監視部により、前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定し、
通信方式決定部により、前記失効通信機器で可能な通信方式を決定し、
出力部により、前記失効通信機器に、決定された前記通信方式を通知する通信管理方法。
監視部により、前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定し、
通信方式決定部により、前記失効通信機器で可能な通信方式を決定し、
出力部により、前記失効通信機器に、決定された前記通信方式を通知する通信管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の通信機器間での通信管理に関する。その中でも特に、通信方式の監視や変更に関する。
【背景技術】
【0002】
従来から生産システム、物流システムや金融システムなどの業務システムにおいては、これを構成する機器、装置(以下、単に通信機器と称する)がネットワークを介して互いに通信し、所定の業務のための情報処理を行っていた。従来の業務システムは、セキュリティの観点も考慮し、いわゆるクローズなシステムであり、その通信範囲が限定的であった。例えば、金融システム(特に勘定系システム)では、行内ネットワークにてATMや行員端末等の通信機器が接続され、構成される。そして、他行との連携の際には、ファイアフォールと呼ばれる装置ないしシステムを介して限定的に通信を行うことで、安全性を確保していた。
【0003】
ここで、IoT(Internet of Thing)技術やクラウドなどの進展に伴い、通信の対象機器・範囲が広がってきている。例えば、インターネットバンキングの進展や生産システムにおけるクラウド利用による予兆診断や遠隔コントロールといったニーズが高まっている。このような場合、インターネット等を介して接続される外部機器との通信が必要になってくる。この外部機器との通信を行う場合、従来のクローズなシステムと比較して、安全性に懸念が生じる。例えば、悪意の第三者による不正アクセスのリスクが高まる。
【0004】
このため、暗号化通信といった安全性を高める通信方式が採用されてきた。この暗号化通信の1つの例として、電子証明書(単に証明書とも称する)を利用した通信(以下、単に証明書通信と称する)が存在する。証明書通信では、いわゆる認証局が発行した証明書を利用して、通信先の安全性を確認している。
【0005】
ここで、証明書通信においては、証明書通信に何らかの不具合が生じることがある。このような場合、通信自体停止すると、該当の業務システムでの業務も停止してしまうことになる。例えば、生産システムでは、生産ラインが停止してしまう。但し、このような業務システムは、社会的な影響も加味して、継続的に業務を遂行することが求められている。したがって、業務の継続のために、通信についても継続するニーズが存在する。
【0006】
例えば、特許文献1では、複数の認証局のうち、上位の認証局に危殆化が生じた場合の対応について記載されている。特許文献1では、このような危殆化が生じた場合でも、証明書通信を維持できるように、配布済の証明書を継続して利用できるようにすることを課題としている。この課題を解決するために、特許文献1には、以下の技術が開示されている。
【0007】
特許文献1の認証システム10は、上位中間認証局21及び22と、これらの配下にある下位中間認証局31とを備えている。上位中間認証局は、下位中間認証局31から証明書の発行が要求されると、他の上位中間認証局との間で、ステータス情報を交換し、交換したステータス情報に基づいて、証明書の発行を要求した下位中間認証局31に、要求された証明書を発行する。ステータス情報の交換先の他の上位中間認証局は、ステータス情報に基づいて、証明書の発行を要求した下位中間認証局31に、先に発行された証明書と同一の証明書を、更に発行する。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2014-187475号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、特許文献1に記載の技術においては、証明書通信に何らかの不具合(危殆)が生じた場合、再度電子証明書を発行する必要がある。このため、通信を維持するために、余分な手間が掛かってしまう。また、証明書通信以外の安全性を確保するための通信について不具合が生じた場合の対策については、何ら考慮されていなかった。例えば、暗号化通信における暗号化手段に不具合が生じても安全な通信を維持する手立てがなかった。
【0010】
そこで、本発明では、通信において、安全性の低下を含む不具合が生じた場合でも、より容易に通信を維持することを課題とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明では、各通信機器の通信方式に応じた安全性を監視し、この結果、安全性が低下した場合、該当の通信機器の通信方式を決定する。この安全性の監視には、通信の安全を確保するために用いられるツールが失効したかを監視することが含まれる。なお、ツールの失効とは、失効した事実の他、失効する可能性が所定失効予定や失効の見込みであることも含まれる。そして、ツールには、暗号化手段の例である電子証明書(証明書)や共通鍵が含まれる。
【0012】
より具体的には、ネットワークを介して接続される複数の通信機器であって、それぞれが複数の通信方式で通信が可能である複数の通信機器における通信を管理する通信管理装置において、前記複数の通信機器の通信方式に応じた通信の安全性を監視し、当該監視の結果、前記安全性が低下した失効通信機器を特定する監視部と、前記失効通信機器で可能な通信方式を決定する通信方式決定部と、前記失効通信機器に、決定された前記通信方式を通知する出力部を有する通信管理装置である。
【0013】
また、本発明には、通信管理装置を用いた通信管理方法や通信管理装置をコンピュータとして機能させるためのプログラムならびにこれを格納した記憶媒体も含まれる。
【発明の効果】
【0014】
本発明によれば、より容易に通信方式を決定でき、安全性の疑義が生じた場合にも通信の停止を抑制できる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態における技術的背景を説明するための図である。
【図2】本発明の一実施形態におけるシステム構成図である。
【図3】本発明の一実施形態における通信管理装置の構成を示す図である。
【図4】本発明の一実施形態で用いられる失効リストを示す図である。
【図5】本発明の一実施形態で用いられる機器管理テーブルを示す図である。
【図6】本発明の一実施形態で用いられる通信方式管理テーブルを示す図である。
【図7】本発明の一実施形態で用いられる機能管理テーブルを示す図である。
【図8】本発明の一実施形態における処理フローを示すフローチャートである。
【図9】本発明の一実施形態をクラウドシステムで実現した変形例を示す図である。
【発明を実施するための形態】
【0016】
以下、本発明の一実施形態を、図面を用いて説明する。
<背景>
本実施形態では、生産設備に関する通信について、適用先の一例として説明する。図1は、本実施形態における技術的背景を説明するための図である。図1(a)は、従来の生産設備に関する生産システム70を含むシステム構成を示す。
<背景>
本実施形態では、生産設備に関する通信について、適用先の一例として説明する。図1は、本実施形態における技術的背景を説明するための図である。図1(a)は、従来の生産設備に関する生産システム70を含むシステム構成を示す。
【0017】
図1(a)においては、被制御機器の一種であるロボット3a、3b、コントローラ4や制御用サーバ2が、制御ネットワーク41を介して接続されている。また、生産管理システム(これを構成する端末装置22)、制御用サーバ2やファイアウォール(以下、FW30)が、制御情報ネットワーク42を介して接続されている。そして、制御ネットワーク41と制御情報ネットワーク42が、接続されている。本図では、制御用サーバ2を介して、制御ネットワーク41と制御情報ネットワーク42が接続されている例を示す。また、生産システム70は、FW30を介して、他システム(これを構成する端末装置33)やインターネット43等の外部ネットワークを接続している。
【0018】
ここで、図1(a)では、生産システム70がクローズなシステムとして構成されており、不正アクセス者60からのウイルス61等の攻撃をFW30により防御している。つまり、生産システム70は、FW30により他システムや外部ネットワークとの境界を集中管理している。このように、図1(a)においては、FW30による境界型防御が十便に機能していた。
【0019】
ここで、近年は、システムのオープン化、生産設備のクラウド、IoTの利活用が一般化している。このため、生産システムのシステム構成が、図1(a)から図1(b)に示すように変化しつつある。つまり、オープン化等により、接続先や接続経路が複雑化し境界が曖昧になってきており、生産システム70の境界内への侵入機会が増加している。
【0020】
例えば、制御情報ネットワーク42を介して、外部生産拠点50と生産についての連携することがある。また、制御ネットワーク41を介して、カメラ5による生産設備を監視することもある。また、制御用サーバ2がクラウドシステム80でのAI活用の予兆診断、遠隔コントロールを受けることもある。またさらに、生産設備に持ち込まれた携帯端末91を用いたメンテナンス・点検のために、外部の基地局90と携帯端末91が通信する子こともある。これらは、FW30の管理外通信となり、FW30による境界型防御に、いわゆるセキュリティホールが存在することになる。
【0021】
このため、特に図1(b)の態様を利用する場合、生産システム70を構成する通信機器や外部の通信機器での通信での安全性の確保が重要となる。このため、これらの通信においては、安全性の確保、維持、管理が重要になる。このために、例えば、通信方式として暗号化通信を採用して、一定以上の安全性を確保しようとする。
【0022】
但し、何らかの事情で、通信についての安全性が損なわれることがある。例えば、カメラ5のような通信機器が新たに接続された場合、その正当性には疑義が残る。また、通信に暗号化方式に用いられる暗号化手段の証明書や鍵が時効などにより失効することがある。さらに、その通信機器のふるまいなどにより、証明書や鍵の正当性に疑義が生じることがある。
【0023】
これらの場合、安全性を確保するためには、該当の通信機器の通信自体を停止することが考えられる。但し、生産システムなどの業務システムでは、通信停止を抑止したいとのニーズが存在する。これは、通信停止が業務、サービスの停止に繋がるため、できるだけ通信を維持することが求められる。本実施形態の生産システム70においては、通信停止が生産の停止に繋がり、納期の遅延、納品拒否の問題が生じてしまう。
【0024】
そこで、本実施形態では、通信の安全性が損なわれたり、疑義が生じたりした場合でも、ある程度の安全性を確保して、通信を継続する構成とした。以下、その詳細を、図面を用いて、説明する。
【0025】
<構成>
図2は、本実施形態におけるシステム構成図である。図2において、ネットワークである制御ネットワーク41、制御情報ネットワーク42およびインターネット43が、それぞれ通信機器と接続され、各通信機器間の通信が行われる。このため、図2に示すシステム構成は、ネットワークごとに、大きく3つの階層に分けられる。以下、各階層、つまり、ネットワークごとに、本実施形態の構成を説明する。
図2は、本実施形態におけるシステム構成図である。図2において、ネットワークである制御ネットワーク41、制御情報ネットワーク42およびインターネット43が、それぞれ通信機器と接続され、各通信機器間の通信が行われる。このため、図2に示すシステム構成は、ネットワークごとに、大きく3つの階層に分けられる。以下、各階層、つまり、ネットワークごとに、本実施形態の構成を説明する。
【0026】
まず、制御ネットワーク41の階層について説明する。制御ネットワーク41は、生産設備に対する制御についての情報が主に通信される。そして、制御ネットワーク41には、以下の各種通信機器が接続される。まず、生産設備として、被制御機器であるロボット3a~3c、これに対する制御を行うコントローラ4a~4cが接続される。なお、生産設備(被制御機器)は、ロボット3a~3cに限定されず工作機械なども含まれる。
【0027】
また、コントローラ4a~4cの管理、制御を行う制御用サーバ2も接続される。また、これら生産設備を監視するためのカメラ5やカメラ5の監視結果の表示などの生産設備の管理を行う端末装置6も、制御ネットワーク41に接続される。またさらに、本実施形態の主たる処理を実行する通信管理装置1も、制御ネットワーク41に接続される。
【0028】
ここで、ロボット3a~3cは、コントローラ4a~4cからの制御信号に従って、生産のために稼働する。また、ロボット3a~3cとコントローラ4a~4cは、直接接続してもよいし、制御ネットワーク41を介して接続されていてもよい。さらに、コントローラ4a~4cは、ロボット3a~3c内部に設けてもよい。また、生産設備全体を管理するために、制御用サーバ2がコントローラ4a~4cへ制御用の通知を出力したり、コントローラ4a~4cやロボット3a~3cの稼働状態を受信したりする。この機能を実現するために、制御用サーバ2は、いわゆるコンピュータで実現される。また、カメラ5は、生産設備の画像を取得し、制御用サーバ2や端末装置6に通知する。なお、カメラ5は、端末装置6の指示に従って稼働することが望ましい。またさらに、端末装置6は、いわゆるPC、タブレット、スマートフォンといったコンピュータで実現できる。
【0029】
また、通信管理装置1は、通信機器の安全性を監視し、この監視結果に応じて通信方式を決定する。このために、通信管理装置1は、入力部11、監視部12、通信方式決定部13、出力部14および記憶部15を有する。入力部11は、制御ネットワーク41を介して、通信機器の安全性を確認するための情報を受け付ける。また、監視部12は、受け付けた情報に基づいて、通信の安全性が損なわれたり、疑義が生じたりしたかを判定する。つまり、安全性が低下したかを判定する。ここで、安全性の低下には、通信方式に応じて用いられる安全性を確保するためのツールの失効や通信機器がウイルス、不正プログラム等での攻撃対象もしくは攻撃主体であることが含まれる。また、ツールには、証明書や共通鍵等の鍵が含まれ、その失効には、権限といった有効性の欠如などが含まれる。
【0030】
また、通信方式決定部13は、安全性が低下した場合(例えば、証明書といったツールの失効)に、該当の通信機器である失効通信機器の通信方式を決定する。また、出力部14は、決定された通信方式を、関連する通信機器に通知する。またさらに、記憶部15は、通信管理装置1の処理を実行するための各種情報等を記憶する。また、本実施例における通信方式には、通信の種別、特に、安全性を確保するための暗号化通信の種別や通信の抑止(停止)制御、特に、通信機器が有する機能のうちいずれに関する通信を実行するかの制御が含まれる。なお、通信方式決定部13の実装例やその処理の詳細については、後述する。
【0031】
また、制御ネットワーク41は、これら通信機器の通信内容として、カメラ5の監視結果である画像データや、ロボット3a~3cを制御するための制御信号など通信される。さらに、通信管理装置1が監視を実行するための情報や決定された通信方式の通知も通信される。
【0032】
以上で制御ネットワーク41の階層に関する説明を終わり、次に、制御情報ネットワーク42の階層について説明する。制御情報ネットワーク42は、各種通信機器が接続され、生産管理を行うためのいわゆる情報系の通信が主に行われる。そして、制御情報ネットワーク42には、生産管理を行う生産管理サーバ23や生産管理のための端末装置22が接続される。また、制御情報ネットワーク42には、生産システム70を運用する会社等の組織内部用の認証局である内部CA21も接続される。
【0033】
ここで、生産管理サーバ23は、生産設備における生産計画や生産管理などの生産業務のための情報処理を実行し、このために例えばコンピュータで実現できる。また、端末装置22は、生産業務を遂行する利用者により利用され、生産管理サーバ23への指示を出力したり、生産管理サーバ23での処理結果を表示したりする。このために、端末装置22は、いわゆるPC、タブレット、スマートフォンといったコンピュータで実現できる。
【0034】
また、内部CA21は、公開鍵証明書といった証明書を発行管理するコンピュータで実現できる。
【0035】
また、制御情報ネットワーク42は、生産システム70の外部と接続するためのFW30とも接続される。以上で制御情報ネットワーク42の階層に関する説明を終わり、次に、インターネット43の階層について説明する。インターネット43にも以下説明する各種通信機器が接続される。
【0036】
まず、FW30が、生産システム70を運用する組織における他システムと接続する。他システムは、生産物の販売や流通管理などの生産以外の業務を行うためのシステムで、業務サーバ32や端末装置33を有する。この業務サーバ32は、端末装置33からの指示に応じて各種業務のための情報処理を実行し、端末装置33にその結果を出力する。このように、端末装置33は、業務を実行するために用いられる。このため、業務サーバ32や端末装置33はコンピュータで実現されるが、特に端末装置33はいわゆるPC、タブレット、スマートフォンなどで実現できる。
【0037】
また、インターネット43を介して、外部CA31や端末装置34の他、外部生産拠点50が接続される。外部CA31は、生産システム70を運用する組織以外で運用される認証局である。つまり、外部CA31は、内部CAと同様に、公開鍵証明書といった証明書を発行管理するコンピュータで実現できる。また、端末装置34は、いわゆるPC、タブレット、スマートフォンなどのコンピュータで実現され、利用者の各種操作により各種情報処理を実行する。また、外部生産拠点50は、生産システム70とは別拠点の生産システムが設置される。この生産システムは、FW30などの生産システム70と同様の構成を有することが望ましい。
【0038】
ここで、制御ネットワーク41は、生産システム70において、インターネット43から最も奥に位置、つまり、外部から侵入しにくいネットワークである。逆に、インターネット43は外部そのものであり、制御情報ネットワーク42はより外部に近く構成される。このため、制御ネットワーク41の通信内容については、制御情報ネットワーク42やインターネット43での通信よりも安全性を低下させてもよい。例えば、制御情報ネットワーク42やインターネット43で証明書通信を行うのに対し、制御ネットワーク41では共通鍵通信や暗号化なしの通信(プレーン通信)を実行してもよい。但し、これらは、通信機器や通信ごとに決めてもよく、各ネットワーク(階層)では、一律の通信方式に限定されず、複数の通信方式が混在する構成としてもよい。以上を纏めると、全体的な傾向として、図1や図2面の上方に記載された階層ほど、全体として、安全性が高い通信方式で通信される傾向にある。本実施形態では、このように複数の通信方式が混在する構成であっても、通信方式を、その安全性に応じて決定する。以下、このための構成について説明する。
【0039】
図3は、実施形態における通信管理装置1の構成を示す図である。つまり、図3は、図2に示す通信管理装置1の機能ブロックを実現するための一構成例である。図2では、通信管理装置1を、プログラム(ソフトウエア)に従って、処理を行うコンピュータを一例として説明する。但し、専用ハードウエアやFPGA(field-programmable gate array)などを用いて構成してもよい。
【0040】
図2において、通信管理装置1は、ネットワークI/F110(ネットワークインターフェース)、処理部120、主記憶部130および補助記憶部140を有し、これらは互いにバスなどの通信経路を介して接続されている。ここで、ネットワークI/F110は、制御ネットワーク41を介して他の通信機器と通信する機能を有し、図2の入力部11および出力部14に相当する。なお、ネットワークI/F110は、入力機能と出力機能を独立した構成で実現してもよい。さらに、ネットワークI/F110は、制御ネットワーク41以外のネットワークや直接通信機器と接続してもよい。
【0041】
また、処理部120は、プロセッサ、CPU等で実現され、主記憶部130に展開された各プログラムに従って、演算を行う。つまり、処理部120により、図2の監視部12や通信方式決定部13での処理を実行する。
【0042】
また、主記憶部130は、補助記憶部140やその他記憶媒体に記憶されたプログラムやその他演算に必要な情報が展開される。ここで、主記憶部130に展開されるプログラムには、監視プログラム141や通信方式決定プログラム142が含まれる。ここで、監視プログラム141は、図2の監視部12の機能に相当し、通信方式決定プログラム142は、図2の通信方式決定部13の機能に相当する。また、これら各プログラムは、それぞれ独立したプログラムでなくともよい。つまり、これらのそれぞれをプログラムのモジュールとして実現してもよい。
【0043】
さらに、補助記憶部140は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などのいわゆるストレージで実現できる。そして、補助記憶部140は、情報として上述のプログラムの他、失効リスト143、機器管理テーブル144、通信方式管理テーブル145、機能管理テーブル146を記憶する。なお、補助記憶部140は、通信管理装置1から独立した構成としてもよい。例えば、ネットワークI/F110と介して接続されるファイルサーバで実現できる。ここで、主記憶部130や補助記憶部140が、図2の記憶部15に相当する。
【0044】
なお、通信管理装置1は、複数のコンピュータで実現してもよい。この場合、複数のコンピュータ機能を分担することが可能である。
【0045】
以上で、本実施形態の構成についての説明を終わり、以下、補助記憶部140に記憶される各種情報について説明する。
【0046】
<情報>
図4は、本実施形態で用いられる失効リスト143を示す図である。失効リスト143は、通信方式に応じた安全性が低下した通信機器を特定するための情報である。このために、本実施形態の失効リスト143は、通信機器ごとの安全性を示している。図4に示すように、本実施形態の失効リスト143は、機器ID、機器名および状況の項目を有する。機器IDは、通信機器を識別する情報である。機器名は、通信機器の名称を示す情報である。機器IDと機器名は、いずれか一方のみであってもよい。
図4は、本実施形態で用いられる失効リスト143を示す図である。失効リスト143は、通信方式に応じた安全性が低下した通信機器を特定するための情報である。このために、本実施形態の失効リスト143は、通信機器ごとの安全性を示している。図4に示すように、本実施形態の失効リスト143は、機器ID、機器名および状況の項目を有する。機器IDは、通信機器を識別する情報である。機器名は、通信機器の名称を示す情報である。機器IDと機器名は、いずれか一方のみであってもよい。
【0047】
また、状況は、該当の通信機器の通信方式に基づく安全性の状況を示す。つまり、安全性が失効したかを示す項目である。ここで、本実施形態では、安全性の低下を、安全性を確保するためのツールの一種である証明書が失効しているかで判定している。この場合、以下の条件のうち、少なくとも1つを満たす通信機器については、安全性が低下した判定される。つまり、監視部12により、失効通信機器として特定される。
・証明書が期限切れの通信機器
・証明書の正当性に疑義が生じた通信機器
・他装置から証明書の失効の通知があった通信機器
なお、これら条件の他にも条件を設けてもよい。
・証明書が期限切れの通信機器
・証明書の正当性に疑義が生じた通信機器
・他装置から証明書の失効の通知があった通信機器
なお、これら条件の他にも条件を設けてもよい。
【0048】
以下、図4に示す内容を具体的に説明する。図4では、機器ID=「0000」の「制御用サーバ」は、通信についての安全性は失効しておらず維持されていることを示している。これに対して、機器ID=「1234」の「ロボットA」は、通信についての安全性は失効していることを示している。また、機器ID=「2468」の「コントローラ」は、通信についての安全性が失効予定であることを示している。なお、図4の例では、状況が「維持」であるものも含まれているが、「失効」や「失効予定」に絞ったリストとしてもよい。
【0049】
この失効リスト143は、通信管理装置1が作成してもよいし、端末装置6や内部CA21など他の装置で作成してもよい。通信管理装置1が作成する場合、内部CA21や外部CA31から証明書の有効性に関する情報を受信して作成できる。また、制御ネットワーク41等への通信機器の通信状態や接続状態を確認して作成することも可能である。
【0050】
そして、通信管理装置1は、この失効リスト143を用いて、通信方式を決定することになる。この決定の詳細については、フローチャートを用いて、後述する。
【0051】
次に、図5は、本実施形態で用いられる機器管理テーブル144を示す図である。機器管理テーブル144は、通信機器ごとの通信に関する情報が登録されているテーブルである。図5に示すように、本実施形態の機器管理テーブル144は、機器ID、機器名、IPアドレス、MACアドレス、通信方式、期限、機能、通信状態を有する。
【0052】
ここで、機器IDおよび機器名は、失効リスト143のそれと同じである。IPアドレスおよびMACアドレスは、それぞれ対象の通信機器の通信に関わるアドレスを示すもので、少なくとも一方を設ければよい。また、通信方式は、対象の通信機器で対応可能な通信方式を示している。
【0053】
また、期限は、対象の通信機器の共通鍵や証明書の有効期限(失効するまでの期限)を示している。また、機能は、対象の通信機器が実行可能な機能について、当該機能が停止可能か(無停止稼働が要求されるか)を示している。この機能としては、特に、通信に関する機能であることが望ましい。また、通信状態は、対象の通信機器の通信の安全性に関わる通信状態を示している。
【0054】
図5に示す例では、機器ID=「0000」の「制御用サーバ」は、IPアドレスやMACアドレスは図に示す内容である。そして、通信方式は、証明書通信(その一例であるSSL通信を含む)と共通鍵通信の両方に対応可能であることを示ししている。そして、証明書および共通鍵の有効期限のそれぞれが、3/31の00:00と12/1の00:00であり、全機能とも無停止稼働が要求されていることを示している。そして、現在の通信状態は通常であり、通信の安全性が確保されていることを示している。つまり、「制御用サーバ」は、この時点で失効の必要がないことを示している。
【0055】
これに対して、機器ID=「2400」の「コントローラD」は、通信方式として共有鍵通信のみに対応でき、その共通鍵の期限が12/1の00:00である。また、「コントローラD」の機能として、コマンド通知、緊急受信および通常受信が可能である。そして、コマンド通知および緊急受信は、無停止稼働が求められ、通常受信は、停止が可能であることを示す。なお、コマンド通知とは、コントローラからのロボットへのコマンド(制御信号)の出力を示す。また、緊急受信とは、事故防止等のための緊急停止指令を受信することである。さらに、通常受信とは、緊急受信以外の通常稼働について受信することである。
【0056】
また、「コントローラD」の通信状態は、通常であり、共通鍵の安全性が維持されていることを示している。但し、機器ID=「2468」の「コントローラC」については、通信管理装置1が内部CA21から失効通知を受信し、その証明書が失効予定であることを示している。
【0057】
そして、通信管理装置1は、この機器管理テーブル144も用いて、通信方式を決定することになる。この決定の詳細については、フローチャートを用いて、後述する。なお、機器管理テーブル144のうち、機能の項目については、外出しして後述する機能管理テーブル146で管理してもよい。この場合、機器管理テーブル144から機能の項目を省略できる。
【0058】
次に、図6は、本実施形態で用いられる通信方式管理テーブル145を示す図である。通信方式管理テーブル145は、通信機器間での通信方式を管理する情報が登録されているテーブルである。図6に示すように、本実施形態の通信方式管理テーブル145は、通信機器ごとに、機器ID、相手機器、通信方式、通信状態を有する。
機器IDは、失効リスト143と同様の情報である。相手機器は対象の通信機器と通信を行う通信機器の機器IDを示している。通信方式は、対象の通信機器と相手機器の現状の通信方式を示している。またさらに、通信状態は、対象の通信機器と相手機器の現状の通信状態を示しており、これは機器管理テーブル144と同様の情報である。
機器IDは、失効リスト143と同様の情報である。相手機器は対象の通信機器と通信を行う通信機器の機器IDを示している。通信方式は、対象の通信機器と相手機器の現状の通信方式を示している。またさらに、通信状態は、対象の通信機器と相手機器の現状の通信状態を示しており、これは機器管理テーブル144と同様の情報である。
【0059】
通信管理装置1は、この通信方式管理テーブル145を用いることで、通信方式の決定結果の通知先である関連通信機器を特定できる。例えば、機器ID=「0000」の通信方式を決定した場合、相手機器を関連通信機器として特定し、これらに対して決定した通信方式が通知される。
【0060】
またさらに、通信方式管理テーブル145により、現在の通信方式を把握できる。このため、ある通信機器の証明書が失効した場合に、通信相手ごとに通信方式を決定できる。例えば、機器ID=「1234」の証明書が失効した場合、相手機器=「0000」「1357」については証明書通信を行っているため何らかの対応が必要である。これに対して、相手機器=「2468」とは共通鍵通信を行っているので、共通鍵通信を維持できる、と判定できる。この判定の詳細については、フローチャートを用いて後述する。なお、本実施形態では、通信方式管理テーブル145を用いた判定処理を行うが、この判定処理を省略してもよい。なお、通信方式管理テーブル145を用いた処理の詳細は、フローチャートを用いて後述する。
【0061】
最後に、図7は、本実施形態で用いられる機能管理テーブル146を示す図である。機能管理テーブル146は、通信機器の種別ごとに、その機能に情報が登録されているテーブルである。図7に示すように、本実施形態の機能管理テーブル146は、通信機器の種別ごとに、機器種別、機能、停止可否、対応策を有する。機器種別は、通信機器の種別を示すが、通信機器ごととしてもよい。
【0062】
また、機能および停止可否は、機器管理テーブル144の機能と同じく、対象の通信機器が実行可能な機能について、当該機能が停止可能か(無停止稼働が要求されるか)を示している。さらに、対応策は、通信について失効した場合における該当機能への対応策が示される。例えば、機器種別=「ロボット」の起動機能は無停止稼働が要求されるので、通信方式を変更して対応する必要がある。また、同じ表示機能は、停止が可能であるため、表示に関する通信を抑止(停止)することが可能であることを示す。なお、対応策は、停止可否の裏返しの情報であるため、本項目を省略できる。さらに、機器管理テーブル144を用いることが可能であるため、機能管理テーブル146は省略可能である。この場合、機器管理テーブル144に対応策の項目を設けてもよい。
【0063】
以上で本実施形態の情報の説明を終わり、次に、本実施形態における処理フローを、フローチャートを用いて説明する。
【0064】
【0065】
まず、ステップS1において、監視部12が、通信機器における通信についての安全性の監視を開始する。これは、端末装置6から指示に応じて実行してもよいし、所定周期などの起動条件を満たした場合に実行してもよい。なお、通信管理装置1を連続稼働させて、継続的にステップS2以降の処理を実行してもよい。
【0066】
次に、ステップS2において、監視部12が、監視の結果、通信機器のいずれかで安全性が低下しているかを判定する。本実施形態においては、監視部12は、証明書等が失効したか監視する。このために、監視部12は、失効リスト143を確認する。この結果、失効リスト143の状況に失効ないし失効予定(以下、単に失効とも称する)があれば(YES)、ステップS3に遷移する。失効リスト143の状況に失効ないし失効予定がなければ(NO)、ステップS1に戻り監視を継続する。ここで、失効リスト143の状況については、ステップS2で確認されたレコードを適宜削除して、未確認のレコードを残す構成としてもよいし、確認済を示すフラグを記録してもよい。この結果、ステップS3以降を重複処理することを防止できる。
【0067】
なお、失効とは証明書や鍵が時効などにより失効することや通信機器のふるまいなどにより、証明書や鍵の正当性に疑義が生じることを示し、失効予定も含まれる。鍵には、公開鍵の他、秘密鍵や共通鍵が含まれる。またさらに、失効にはウイルス等での安全性の低下も含めてもよい。
【0068】
次に、ステップS3において、監視部12が、失効リスト143から、失効ないし失効予定の機器IDの示す通信機器を、失効通信機器として特定する。図4の例では、失効通信機器として、機器ID=「1234」のロボットAと「2468」のコントローラCが特定される。
【0069】
次に、ステップS4において、通信方式決定部13が、失効通信機器で失効した通信方式および対応可能な通信方式を特定する。ここで、失効した通信方式を特定するために、通信方式決定部13は、機器管理テーブル144の通信状態を用いてもよいし、通信方式管理テーブル145の通信方式および通信状態を確認してもよい。また、失効リスト143に、失効ないし失効予定の通信方式を記録しておき、これを用いてもよい。また、対応可能な通信方式を特定するために、通信方式決定部13は、機器管理テーブル144の通信方式を用いることになる。
【0070】
また、ステップS5において、通信方式決定部13が、ステップS3で特定された失効通信機器に関する関連通信機器を特定する。このために、通信方式決定部13は、通信方式管理テーブル145を用いる。つまり、監視部12は、失効通信機器の機器IDに対応する相手機器を、関連通信機器として特定する。本実施形態では、失効通信機器の通信先である相手機器を特定するが、関連通信機器はこれに限定されない。例えば、通信管理装置1で管理する各通信機器を関連通信機器としもよいし、失効通信機器と同じネットワークに接続する通信機器を関連通信機器としてもよい。
【0071】
また、ステップS6において、通信方式決定部13が、ステップS5で特定された関連通信機器で可能な通信方式を特定する。このために、通信方式決定部13は、機器管理テーブル144から関連通信機器の通信方式を特定する。
【0072】
そして、ステップS7において、通信方式決定部13は、ステップS4~S6の結果を用いて、通信方式が決定される。以下、その詳細を説明する。
【0073】
この決定方法には、以下の(1)や(2)といった複数の方法が含まれる。
【0074】
(1)関連通信機器の考慮
まず、通信方式決定部13は、ステップS4で特定された対応可能な通信方式のうち、失効していない有効通信方式を特定する。次に、通信方式決定部13は、ステップS6で特定された関連通信機器で対応可能な通信方式と、特定された有効通信方式を突き合せる。
そして、通信方式決定部13は、突合せで一致する通信方式を決定する。
まず、通信方式決定部13は、ステップS4で特定された対応可能な通信方式のうち、失効していない有効通信方式を特定する。次に、通信方式決定部13は、ステップS6で特定された関連通信機器で対応可能な通信方式と、特定された有効通信方式を突き合せる。
そして、通信方式決定部13は、突合せで一致する通信方式を決定する。
【0075】
(2)失効通信機器対応
(1)と同様に、通信方式決定部13は、ステップS4で特定された対応可能な通信方式のうち、失効していない有効通信方式を特定し、これを通信方式として決定する。この場合、ステップS5やS6を省略できる。
(1)と同様に、通信方式決定部13は、ステップS4で特定された対応可能な通信方式のうち、失効していない有効通信方式を特定し、これを通信方式として決定する。この場合、ステップS5やS6を省略できる。
【0076】
なお、ウイルス等により安全性が低下した場合、以下のとおり通信方式を決定することもできる。まず、各通信方式について、その要因に対応できるか否かを設定しておく。そして、ステップS4で、通信方式決定部13が、設定内容を用いて失効通信機器における当該要因に対応できる通信方式とできない通信方式を特定する。また、ステップS6で、通信方式決定部13が設定内容から設定内容を用いて関連通信機器における当該要因に対応できる通信方式とできない通信方式を特定する。その上で、本ステップにおいて、当該要因に対応できる通信方式同士を突き合せることで、通信方式を決定する。この場合、両者で対応できる通信方式のうち、最も安全性の高い通信方式を決定することが望ましい。
【0077】
また、通信方式の決定としては、以下のような態様が含まれる。まず、通信の種類を変更する。例えば、証明書通信を共通鍵通信やプレーン通信に変更することや共通鍵通信をプレーン通信に変更する。これらのように、より安全性が高い通信からこれよりも低い通信に変更することが望ましいが、逆方向の変更を行ってもよい。
【0078】
さらに、決定する通信方式として、失効通信機器の機能ごとに、通信を抑止するか、通信を維持するかを決定してもよい。このために、通信方式決定部13は、機器管理テーブル144の機能もしくは機能管理テーブル146を用いる。以上のように、通信方式には、通信方式自体(通信の種類)や通信機器のうち通信を行う機能を特定することが含まれる。また、これらの組合せで、通信方式を決定してもよい。
【0079】
以上のように、ステップS7では、通信方式決定部13が、少なくとも失効通信機器で通信可能な通信方式を決定している。
【0080】
次に、ステップS8において、出力部14から、ステップS7で決定された通信方式を通知する。この際の通知先は、失効通信機器や関連通信機器である。なお、この際、通信方式決定部13は、通信方式管理テーブル145の通信方式を、決定された通信方式に更新することが望ましい。また、通信方式決定部13は、機器管理テーブル144や通信方式管理テーブル145の通信状態も更新することが望ましい。
【0081】
以上のステップS8の結果、失効通信機器や関連通信機器が、決定された通信方式での通信が行われることになる。次に、ステップS9において、決定された通信方式で通信を行う失効通信機器に対して、監視部12が監視を行う。そして、ステップS10において、監視部12が失効通信機器での失効が回復したかを監視する。これは、ステップS2と同様の処理で実現できる。つまり、監視部12は、失効リスト143の確認などで失効が回復したかを確認できる。この結果、回復した場合(YES)、ステップS11に遷移する。また、回復していない場合、ステップS9に遷移し、監視を継続する。
【0082】
ここで、ステップS10での回復について、失効した証明書を更新する例を用いて説明する。後述のように、失効が発生した場合、各端末装置に対して警告が通知される。そこで、利用者から操作に応じて端末装置が、内部CA21もしくは外部CA31に対して証明書の更新要求を出力する。そして、内部CA21もしくは外部CA31において、更新要求に応じて、証明書が更新されると、本ステップでの回復がされたとの判定が行わることになる。なお、この回復は、内部CA21もしくは外部CA31が自動的に実行してもよい。
【0083】
次に、ステップS11において、通信方式決定部13が、失効通信機器の通信方式を再決定する。これは、ステップS2で失効したと判定された内容を回復させる処理である。つまり、ステップS7で決定された結果、失効通信機器や関連通信機器が証明書通信から共通鍵通信に変更された場合、証明書通信に変更すると再決定(回復)する。
【0084】
次に、ステップS12において、出力部14から、ステップS11で再決定された通信方式を通知する。この通知先は、ステップS8と同様に、失効通信機器や関連通信機器である。また、この際、ステップS8と同様に、通信方式決定部13は、通信方式管理テーブル145の通信方式を、再決定された通信方式に更新することが望ましい。また、通信方式決定部13は、機器管理テーブル144や通信方式管理テーブル145の通信状態も更新することが望ましい。この結果、失効通信機器や関連通信機器が、再決定された通信方式、つまり、元々の通信方式で通信が行われることになる。
【0085】
なお、本フローは継続的に実行され、通信機器間の通信が可能な限り維持されることになる。この結果、生産設備における生産といった業務の停止を最小限に抑えることができ、業務活動の停滞を抑止することが可能となる。
【0086】
以上で、本フローチャートでの処理フローが終了するが、ステップS2、ステップS7、ステップS10での処理に応じて、出力部14から以下のような通知を実行してもよい。
【0087】
まず、ステップS2で失効予定があると判定された場合、出力部14が警告を、端末装置6、端末装置22、端末装置34の少なくとも1つに通知する。これは、予告警告である。このため、失効があると判定された場合、さらに出力部14が警告を、端末装置6、端末装置22、端末装置34の少なくとも1つに通知することが望ましい。このようにして、通信の安全性が低下していることを、事前警告と本警告に分けて通知できる。以上により、通信や業務の管理者といった各端末の利用者が、通信の安全性が変化したこと、例えば、低下したこと把握できる。
【0088】
また、ステップS7で決定された通信方式について、通信方式が変更されたことの警告を、端末装置6、端末装置22、端末装置34の少なくとも1つに通知する。これは、安全性が低下した場合に限定して行ってもよいし、特に条件を付けず行ってもよい。
【0089】
さらに、ステップS11で回復する判定された場合、出力部14が、その旨を端末装置6、端末装置22、端末装置34の少なくとも1つに通知する。このことで各端末装置の利用者が通信の安全性が回復したことを把握できる。
【0090】
また、本実施形態の通信管理装置1での管理は、管掌下にある通信機器の通信に限らない。例えば、生産管理サーバ23が通信管理装置1の管掌下でなく、これと制御用サーバ2が通信することを想定する。この場合、制御用サーバ2の機能として、生産管理サーバ23との通信機能を維持し、他の機能を無効化するとの通信方式の決定を行う。このことで、生産管理サーバ23はそれまでの通信を維持しているように振舞える。
【0091】
本実施形態の処理フローでは、通信の安全性に関して失効された場合(含む失効予定・見込み)、通信方式の変更として、通信の種類を変更したり、通信機器の一部機能の通信を抑止したりすることになる。本実施形態の失効とは、失効それ自体の他、失効する可能性が所定以上であることを含む。以上の結果、通信の停止を抑止でき、業務の継続性を維持できる。以上により、本実施形態の処理フローの説明を終わり、次に、本実施形態のインターフェース(表示)について、説明する。
【0092】
<変形例(クラウド型)>
図9は、本実施形態をクラウドシステムで実現した変形例を示す図である。本変形例では、通信管理装置1は、インターネット43に接続されている。そして、通信管理装置1は、インターネット43と接続する各ネットワークの通信機器を管理することになる。具体的には、FW30aを介して接続された制御情報ネットワーク42a、制御ネットワーク41aの通信機器やFW30bを介して接続された制御情報ネットワーク42b、制御ネットワーク41bの通信機器を管理する。なお、本変形例の構成や処理フローは上述したとおりであり、その内容は省略する。このような構成を採用することで、複数の組織の関する通信機器を管理したり、複数拠点ないし複数の業務システムにおける通信機器を管理したりすることが可能となる。なお、前者においては、通信機器の運用する組織とは別組織において、アウトソーシングとして通信機器の管理が可能となる。
図9は、本実施形態をクラウドシステムで実現した変形例を示す図である。本変形例では、通信管理装置1は、インターネット43に接続されている。そして、通信管理装置1は、インターネット43と接続する各ネットワークの通信機器を管理することになる。具体的には、FW30aを介して接続された制御情報ネットワーク42a、制御ネットワーク41aの通信機器やFW30bを介して接続された制御情報ネットワーク42b、制御ネットワーク41bの通信機器を管理する。なお、本変形例の構成や処理フローは上述したとおりであり、その内容は省略する。このような構成を採用することで、複数の組織の関する通信機器を管理したり、複数拠点ないし複数の業務システムにおける通信機器を管理したりすることが可能となる。なお、前者においては、通信機器の運用する組織とは別組織において、アウトソーシングとして通信機器の管理が可能となる。
【0093】
また、通信管理装置1は、制御情報ネットワーク42aと制御情報ネットワーク42bをつなげるように設けてもよい。
【0094】
以上で、本実施形態の説明を終了するが、本発明は本実施形態に限定されない。例えば、その適用先を、金融業務など生産とは別分野に適用可能である。また、通信機器としても、例示した通信機器以外にも制御に関係する各種機器、移動体、ATMなど様々な機器を用いることができる。また、本実施形態では通信として、暗号化通信を例に挙げたがこれに限定されない。さらに、暗号化通信も、証明書通信や共通鍵通信に限定されない。
【符号の説明】
【0095】
1…通信管理装置、11…入力部、12…監視部、13…通信方式決定部、14…出力部、15…記憶部、2…制御用サーバ、3…ロボット、4…コントローラ、5…カメラ、6…端末装置、21…内部CA、22…端末装置、23…生産管理サーバ、30…FW、31…外部CA、32…業務サーバ、33…端末装置
34…端末装置、41…制御ネットワーク、42…制御情報ネットワーク、43…インターネット、50…外部生産拠点
34…端末装置、41…制御ネットワーク、42…制御情報ネットワーク、43…インターネット、50…外部生産拠点
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】