IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 沖電気工業株式会社の特許一覧

特開2024-7058監視装置、監視プログラム、及び監視方法
<>
  • 特開-監視装置、監視プログラム、及び監視方法 図1
  • 特開-監視装置、監視プログラム、及び監視方法 図2
  • 特開-監視装置、監視プログラム、及び監視方法 図3
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024007058
(43)【公開日】2024-01-18
(54)【発明の名称】監視装置、監視プログラム、及び監視方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20240111BHJP
   G06F 21/60 20130101ALI20240111BHJP
   H04W 12/041 20210101ALI20240111BHJP
   H04W 12/03 20210101ALI20240111BHJP
   H04W 76/30 20180101ALI20240111BHJP
   H04W 24/08 20090101ALI20240111BHJP
【FI】
G06F21/55
G06F21/60 320
H04W12/041
H04W12/03
H04W76/30
H04W24/08
【審査請求】未請求
【請求項の数】13
【出願形態】OL
(21)【出願番号】P 2022108245
(22)【出願日】2022-07-05
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】八百 健嗣
(72)【発明者】
【氏名】土江 康太
(72)【発明者】
【氏名】中村 信之
(72)【発明者】
【氏名】松永 聡彦
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067EE02
5K067EE10
5K067FF23
5K067HH36
5K067LL01
(57)【要約】
【課題】 運用中の無線ネットワークや装置の稼働に影響を与えることなく、装置の脆弱性や異常が存在するか否かを監視できる監視装置を提供する。
【解決手段】 本発明は、基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置であって、基地局に接続する無線通信装置のトラフィックを全パケット受信モードでキャプチャする無線通信キャプチャ手段と、無線ネットワークにアクセスするための鍵情報を取得し、無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成する暗号鍵生成部手段と、無線通信キャプチャ手段がキャプチャした暗号化された無線パケットを暗号鍵を用いて復号してIPパケットを取得する通信データ取得手段と、通信データ取得手段が取得したIPパケットを用いて無線通信装置の異常を検知する異常検知手段とを有する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置であって、
前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャする無線通信キャプチャ手段と、
前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成する暗号鍵生成部手段と、
前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得する通信データ取得手段と、
前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知する異常検知手段と
を有することを特徴とする監視装置。
【請求項2】
前記暗号鍵生成部手段は、前記鍵情報を、前記無線パケットをキャプチャし解析することで取得することを特徴とする請求項1に記載の監視装置。
【請求項3】
前記異常検知手段は、前記無線通信装置に対してアクティブスキャンを行い、スキャンした結果に基づき、前記無線通信装置の異常を検知することを特徴とする請求項1に記載の監視装置。
【請求項4】
前記基地局に対して、異常と検知された前記無線通信装置との通信を遮断するよう要請する通信遮断要求手段をさらに有することを特徴とする請求項1に記載の監視装置。
【請求項5】
外部の通信装置に対して異常と検知された前記無線通信装置の状態の確認を依頼する装置状態確認要求手段をさらに有することを特徴とする請求項1に記載の監視装置。
【請求項6】
前記無線通信装置の状態を表示する装置情報表示手段をさらに有することを特徴とする請求項1~5のいずれかに記載の監視装置。
【請求項7】
前記装置情報表示手段は、前記無線ネットワークの識別情報やチャネルを表示し、表示対象となる前記無線ネットワークやチャネルを選択可能であることを特徴とする請求項6に記載の監視装置。
【請求項8】
前記装置情報表示手段は、前記無線ネットワークの識別情報やチャネルを表示し、表示対象となる前記無線ネットワークやチャネルを並べ替えて表示できることを特徴とする請求項6に記載の監視装置。
【請求項9】
前記装置情報表示手段は、異常があった前記無線ネットワークの識別情報やチャネルを強調表示することを特徴とする請求項6に記載の監視装置。
【請求項10】
前記無線通信キャプチャ手段は、複数の無線ネットワークの通信をキャプチャすることを特徴とする請求項1に記載の監視装置。
【請求項11】
前記無線通信キャプチャ手段は、複数のチャネルをキャプチャすることを特徴とする請求項1に記載の監視装置。
【請求項12】
基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置に搭載されるコンピュータを、
前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャする無線通信キャプチャ手段と、
前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成する暗号鍵生成部手段と、
前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得する通信データ取得手段と、
前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知する異常検知手段と
して機能させることを特徴とする監視プログラム。
【請求項13】
基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置に使用する監視方法であって、
無線通信キャプチャ手段は、前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャし、
暗号鍵生成部手段は、前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成し、
通信データ取得手段は、前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得し、
異常検知手段は、前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知する
ことを特徴とする監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監視装置、監視プログラム、及び監視方法に関し、例えば、企業等の組織における各拠点や工場などにおいて利用される無線ネットワーク内の装置に脆弱性や異常がないかを監視する装置に適用し得るものである。
【背景技術】
【0002】
近年、サイバー攻撃の脅威は増大し、その手口は高度化・巧妙化している。例えば、脆弱なIoT(Internet of Things)機器を踏み台にしたネットワークへの不正侵入や情報漏洩の被害が増加している。
【0003】
そのため、企業等の組織においては従来のPC(Personal Computer)やサーバだけでは無く小型の組込み機器やWEBカメラ等をはじめとした様々な機器が攻撃の起点になるリスクを把握した上で、それら機器の管理徹底も求められている。
【0004】
一般にセキュリティ対策は、インターネットとの境界となるプロキシサーバやファイアーウォールでの出入口対策だけでなく、ウィルス対策ソフトのインストールによるエンドポイント対策により多層的に防御される。
【0005】
しかし、上述のような組込み機器は必ずしもウィルス対策ソフトを搭載できるとは限らず、また、インターネットとの接続がないようなクローズ環境では汎用PCやサーバも最新のセキュリティパッチを適用できているとは限らない。
【0006】
さらに、工場拠点などではレガシーな装置も多く、稼働に悪影響が及ぶリスクを考慮して最新のセキュリティパッチを当てにくいといった課題もある。このような機器に関しては、エンドポイント対策よりも、通信トラフィックの挙動から異常がないかを見るようなアプローチが有効である。
【0007】
例えば、特許文献1では、ファイアーウォールのログ解析や侵入検知システムの設置、運用に頼らずに、プラントネットワーク内でのセキュリティの脅威となりうる不正トラフィックやその予兆を検出できる不正通信検出システムが開示されている。このシステムは、ネットワークスイッチのトラフィックをミラーリングすることで不正通信を検出するため、プラントネットワーク内で運用中の装置に影響を与えることなく、不正通信を検出できるというメリットがある。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2012-34273号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、特許文献1に記載の技術は、工場内に存在する無線ネットワークをスコープに考えるものではない。即ち、工場内のネットワーク無線化が進む中、無線ネットワークであっても運用中の装置に影響を与えることなく、ネットワーク内の装置に脆弱性や異常がないかを監視する装置が必要である。
【0010】
そのため、運用中の無線ネットワークや装置の稼働に影響を与えることなく、装置の脆弱性や異常が存在するか否かを監視できる監視装置、監視プログラム、及び監視方法が望まれている。
【課題を解決するための手段】
【0011】
第1の本発明は、基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置であって、(1)前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャする無線通信キャプチャ手段と、(2)前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成する暗号鍵生成部手段と、(3)前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得する通信データ取得手段と、(4)前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知する異常検知手段とを有することを特徴とする。
【0012】
第2の本発明の監視プログラムは、基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置に搭載されるコンピュータを、(1)前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャする無線通信キャプチャ手段と、(2)前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成する暗号鍵生成部手段と、(3)前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得する通信データ取得手段と、(4)前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知する異常検知手段として機能させることを特徴とする。
【0013】
第3の本発明は、基地局と、無線通信装置とで形成される無線ネットワークを監視する監視装置に使用する監視方法であって、(1)無線通信キャプチャ手段は、前記基地局に接続する前記無線通信装置のトラフィックを全パケット受信モードでキャプチャし、(2)暗号鍵生成部手段は、前記無線ネットワークにアクセスするための鍵情報を取得し、前記無線通信装置が送受信する無線パケットを復号するための暗号鍵を生成し、(3)通信データ取得手段は、前記無線通信キャプチャ手段がキャプチャした暗号化された前記無線パケットを前記暗号鍵を用いて復号してIPパケットを取得し、(4)異常検知手段は、前記通信データ取得手段が取得した前記IPパケットを用いて前記無線通信装置の異常を検知することを特徴とする。
【発明の効果】
【0014】
本発明によれば、運用中の無線ネットワークや装置の稼働に影響を与えることなく、装置の脆弱性や異常が存在するか否かを監視できる。
【図面の簡単な説明】
【0015】
図1】実施形態に係る無線エッジ監視装置の内部構成を示すブロック図である。
図2】実施形態に係る監視システムの全体構成を示すブロック図である。
図3】実施形態に係る無線エッジ監視装置の特徴動作を示すフローチャートである。
【発明を実施するための形態】
【0016】
(A)主たる実施形態
以下、本発明による監視装置、監視プログラム、及び監視方法の主たる実施形態を、図面を参照しながら詳述する。
【0017】
(A-1)実施形態の構成
(A-1-1)全体構成
図2は、実施形態に係る監視システムの全体構成を示すブロック図である。
【0018】
図2において、監視システム1は、基地局2と、無線エッジ監視装置3と、監視対象機器4(4-1~4-n)とを有する。
【0019】
監視システム1では、基地局2及び各監視対象機器4により、無線ネットワークNが形成される。無線ネットワークNの通信方式(基地局2及び各監視対象機器4の通信方式)は、特に限定されるものではなく、種々の無線LANインタフェースを適用することができる。例えば、無線ネットワークNは、IEEE802.15.4を利用したマルチホップ無線通信や、ローカル5Gネットワーク等を適用することができる。何れにしても無線ネットワークNの通信方式は特に限定されるものでは無い。
【0020】
他ネットワークMは、監視対象の無線ネットワークNとは異なるネットワークである。他ネットワークMは、有線無線を問わず、限定されないが、例えば、基幹ネットワーク(Ethernet(登録商標))である。
【0021】
基地局2は、無線ネットワークN全体(各監視対象機器4)を管理する装置である。この実施形態では、基地局2と無線エッジ監視装置3とは、有線接続されることを前提とする。
【0022】
無線エッジ監視装置3は、無線ネットワークNを形成する通信装置(監視対象機器4)に脆弱性や異常がないかを監視する装置である。無線エッジ監視装置3は、後述するように監視対象とする無線ネットワークNの通信をプロミスキャスモードでキャプチャすることを特徴とする。
【0023】
また、無線エッジ監視装置3は、基地局2の近傍に配置され、基地局2(無線ネットワークN)又は他ネットワークMを介して、他の通信装置と通信できることを想定している。例えば、前記基地局2と有線接続し、監視対象の無線ネットワークNを形成する各監視対象機器4や、他ネットワークMに存在する通信装置(例えば、システム管理者の端末)と通信できるように構成して良い。
【0024】
なお、この実施形態の無線エッジ監視装置3は、既設の無線ネットワークNに対して後付けで設置されることを想定している。即ち、無線エッジ監視装置3は、無線ネットワークNに影響を与えること無く設置可能である。
【0025】
監視対象機器4は、無線ネットワークNに接続可能な通信端末である。監視対象機器4の種類は特に限定されないが、PC、タブレット、スマートフォンに限らず、小型組込み機器やWEBカメラ等の通信機能を有する機器が対象である。
【0026】
(A-1-2)無線エッジ監視装置3の詳細な構成
図1は、実施形態に係る無線エッジ監視装置の内部構成を示すブロック図である。図1において、無線エッジ監視装置3は、無線通信キャプチャ部31、暗号鍵生成部32、鍵管理部33、通信データ取得部34、異常検知部35、装置情報表示部36、通信遮断要求部37、及び装置情報確認要求部38を有する。
【0027】
無線エッジ監視装置3は、すべてハードウェア的に構成(例えば、専用の半導体チップを用いて構成)するようにしても良いし、一部または全部についてソフトウェア的に構成するようにしても良い。
【0028】
無線通信キャプチャ部31は、監視対象とする無線ネットワークNの基地局2の識別情報やチャンネルを取得し、基地局2に接続する監視対象機器4のトラフィックをキャプチャするものである。無線通信キャプチャ部31は、例えば、無線通信のネットワークインタフェースをプロミスキャスモードで動作させ、自身が送信元または宛先でないパケットも含めたすべてのパケットを受信する。無線通信キャプチャ部31は、取得した無線通信パケットを暗号鍵生成部32および通信データ取得部34へ与える。なお、基地局2の識別情報やチャネルは、本無線エッジ監視装置3が備えるユーザーインターフェースを介して指定してもらうことにより取得しても良い。
【0029】
暗号鍵生成部32は、無線通信パケットを解析し暗号鍵を生成するものである。暗号鍵生成部32は、通常暗号化されている無線パケットを復号するために、基地局2が利用している暗号化方式やアクセスするための鍵情報を取得し、鍵交換のパケットをキャプチャして、各監視対象機器4が現在利用している暗号鍵を生成する。暗号鍵生成部32は、生成した監視対象機器4の暗号鍵を鍵管理部33へ与える。なお、前記暗号方式やアクセスするための鍵情報は、本無線エッジ監視装置3が備えるユーザーインターフェースを介して指定してもらうことにより取得しても良い。
【0030】
暗号鍵生成部32の動作としては、前記アクセスするための鍵情報を、事前に取得している場合と取得していない場合の2つのパターンが考えられる。
【0031】
(1)鍵情報を事前に取得している場合:
暗号鍵生成部32は、各監視対象機器4と基地局2で交換される無線パケットを観測することにより、各監視対象機器4が利用する暗号鍵を前記鍵情報と交換される無線パケットに含まれる情報から各監視対象機器4と同じ手順で生成可能である。なお、鍵更新時にも追従し、交換される無線パケットを観測することにより、最新の暗号鍵を生成可能である。
【0032】
(2)鍵情報を事前に取得していない場合:
暗号鍵生成部32は、既存のツール又は公知となっている手法を用いて、無線ネットワークNにアクセスするための鍵情報を特定可能な場合がある。暗号鍵生成部32は、一度鍵情報を入手できれば、上述の鍵情報を事前に取得している場合の動作に示すように、無線パケットを観測することにより最新の暗号鍵を生成可能である。
【0033】
鍵管理部33は、基地局2と各監視対象機器4との間で送受信される暗号化された無線パケットを復号するための暗号鍵を管理するものである。鍵管理部33は暗号鍵生成部32から与えられた各監視対象機器4の暗号鍵を通信データ取得部34へ与える。ここで暗号鍵は、各監視対象機器4と基地局2との間の通信で利用する暗号鍵と、同報通信時などで利用する暗号鍵があっても良い。各監視対象機器4と基地局2との間の通信で利用する暗号鍵は、暗号化方式によって、監視対象機器4ごとに個別な場合もあるし、共通である場合もあるが本実施形態では特に限定しない。鍵管理部33は、暗号鍵生成部32から最新の暗号鍵を与えられることにより、各監視対象機器4の鍵更新に追従して現在利用する暗号鍵を管理する。
【0034】
通信データ取得部34は、無線通信キャプチャ部31から与えられた無線パケットを、鍵管理部33から取得した暗号化鍵を用いて復号し、IPパケットを取得するものである。通信データ取得部34は取得したIPパケットを異常検知部35へ与える。
【0035】
異常検知部35は、通信データ取得部34から与えられたIPパケットを用いて、無線ネットワークNを形成する各監視対象機器4に、設定・管理不備や異常がないかを検知するものである。異常検知部35は、多種多様な検知エンジンを適用することができるが、特に限定するものでは無い。以下に検知エンジンを例示する。
【0036】
(1)新規通信装置検知エンジン:IPパケットの送信元となる監視対象機器4の識別情報を調査し、過去に存在しない場合に検知する。
【0037】
(2)ポートスキャンエンジン:監視対象機器4をポートスキャンし、不適切なポートが空いている場合に検知する。
【0038】
(3)パスワードスキャンエンジン:監視対象機器4の認証付きのポート(サービス)に対して、あらかじめ保有するID、パスワードのリストで認証試行し、認証に通る場合に検知する。
【0039】
(4)レア通信検知エンジン:IPパケットの送信元を起点にして、接続先となる通信装置の識別情報やポート番号が、過去に存在しない場合に検知する。
【0040】
(5)機器種別推定エンジン:IPパケットのヘッダー部から取得できる送信元、宛先、送信元ポート番号、宛先ポート番号、プロトコル情報等から、トラフィックをフロー単位で分類した後、あらかじめ指定した計算に基づき算出された統計量をトラフィックの特徴量として利用し、機械学習等を利用してその特徴量を持つ監視対象機器4の機器種別が実際の機器種別と異なる場合に検知する。
【0041】
(6)トラフィック異常検知エンジン:IPパケットの送信元、宛先のペアごとに通常発生し得るトラフィック量を定義しておき、そこから逸脱する場合に検知する。
【0042】
異常検知部35は、上述したように搭載するエンジンに応じて、各監視対象機器4と送受信することがある。また、異常検知部35は、検知した結果に応じて、通信遮断要求部37に監視対象機器4の識別情報を与えることがある。また、異常検知部35は、検知した結果に応じて、装置情報確認要求部38に検知した監視対象機器4の識別情報とその検知内容を与えることがある。
【0043】
装置情報表示部36は、異常検知部35より与えられた監視対象機器4に関する情報や、検知結果を保持し、ダッシュボード等の形で表現する機能を有する。また、装置情報表示部36は、表示対象となる無線ネットワークNの識別情報やチャネルを表示しても良い。装置情報表示部36は、WEBサーバ機能を持ち、他の通信装置に対してHTTP形式で装置情報を表示するようにしても良い。
【0044】
通信遮断要求部37は、異常検知部35より或る監視対象機器4の識別情報を与えられることにより、当該監視対象機器4との通信を制御要求するものである。例えば、通信遮断要求部37は、基地局2や他の監視対象機器4に対して、当該監視対象機器4との通信を遮断するように要求する手段を有しても良い。
【0045】
装置情報確認要求部38は、異常検知部35より与えられた或る監視対象機器4の識別情報とその検知内容を他の通信装置(例えば、他ネットワークMに存在する管理者の通信装置)に通知するものである。例えば、装置情報確認要求部38は、他の通信装置に対して、メール等により検知された通信装置の識別情報とその検知結果を通信する手段を有しても良い。
【0046】
(A-2)実施形態の動作
次に、以上のような構成を有する実施形態の監視システム1の動作を、図面を参照しながら説明する。
【0047】
図3は、実施形態に係る無線エッジ監視装置の特徴動作を示すフローチャートである。
【0048】
<S101>監視対象無線ネットワーク情報の取得
無線エッジ監視装置3は、自身が備えるユーザーインターフェースを介して、監視対象となる無線ネットワークNの識別情報、チャネル、暗号方式、無線ネットワークNにアクセスするための鍵情報を取得する。
【0049】
無線エッジ監視装置3は、無線通信キャプチャ部31において、監視対象となる無線ネットワークNに流れる無線パケットをプロミスキャスモードで受信する。
【0050】
<S102>無線パケットのキャプチャと暗号鍵の取得
暗号鍵生成部32は、鍵交換のパケットをキャプチャして、各監視対象機器4が現在利用している暗号鍵を生成する。また、鍵管理部33は、各監視対象機器4の鍵更新に追従して現在利用される暗号鍵を管理する。
【0051】
<S103>無線パケットの復号とIPパケットの取得
通信データ取得部34は、鍵管理部33から与えられた暗号鍵を用いて、暗号化されている無線パケットを復号し、IPパケットを取得する。
【0052】
<S104>設定・管理不備や異常がないかの検知
異常検知部35は、通信データ取得部34から与えられたIPパケットを分析し、無線ネットワークNを形成する監視対象機器4に、設定・管理不備や異常がないかを検知する。異常検知部35は、上述したように多種多様な検知エンジンを備える。
【0053】
<S105>通信遮断や検知内容通知等の対処
装置情報表示部36は、異常検知部35より与えられた監視対象機器4に関する情報や、検知結果を保持し、ダッシュボード等の形で他の通信装置に閲覧可能とする。
【0054】
通信遮断要求部37は、異常検知部35より或る監視対象機器4の識別情報を与えられることにより、基地局2や他の監視対象機器4に対して、当該監視対象機器4との通信を遮断するように要求しても良い。
【0055】
装置情報確認要求部38は、異常検知部35より或る監視対象機器4の識別情報とその検知内容を与えられることにより、他の通信装置(例えば、システム管理者の端末)に対して、メール等により検知された当該監視対象機器4の識別情報とその検知結果を通知しても良い。
【0056】
(A-3)実施形態の効果
本発明によれば、以下の効果を奏する。
【0057】
本実施形態の無線エッジ監視装置3は、無線ネットワークNの通信をプロミスキャスモードでキャプチャし、暗号化された無線パケットを復号し、IPパケットを取得することにより、無線ネットワークNを形成する各監視対象機器4に設定・管理不備や異常がないかを検知し、必要に応じて対処する。
【0058】
これにより、無線エッジ監視装置3は、既設の無線ネットワークNに対して後付けで設置し、また、無線ネットワークNを形成する各監視対象機器4に別途ソフトウェア等を搭載することなく、異常等がないかを監視することができる。
【0059】
さらに、工場やプラントといった常時稼動する施設内のネットワークの無線化が進む中で、運用中のネットワークや装置の稼働に影響を与えることなく、ネットワーク内の装置に脆弱性や異常がないかを監視することができる。
【0060】
(B)他の実施形態
本発明は、上記の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0061】
(B-1)上記の実施形態では、無線エッジ監視装置3は、他の通信装置と通信するために基地局2に有線接続する構成を説明したがこれに限定するものではない。例えば、無線エッジ監視装置3は、基地局2以外のルーター機器やネットワークスイッチに有線接続することで他の通信装置と通信できるようにしても良い。また、無線エッジ監視装置3が、無線ネットワークインタフェースを追加で持ち、無線エッジ監視装置3が基地局2の無線子機としてつながる構成としても良い。
【0062】
(B-2)上記の実施形態では、1台の無線エッジ監視装置3で1つのチャネルで通信する無線パケットをキャプチャする例で説明したがこれに限定するものではない。例えば、1つの受信アンテナで複数のチャネルを切り替えながらキャプチャしても良いし、複数の受信アンテナを持ち複数のチャネルをキャプチャする構成としても良い。
【0063】
(B-3)上記の実施形態では、異常検知部35はIPパケットを対象に検知する例で説明したがこれに限定するものではない。異常検知部35は、無線通信キャプチャ部31から直接無線パケットを与えられ、無線パケットを対象に異常検知しても良い。例えば、検知エンジンの例としては以下が考えられる。
【0064】
無線ネットワークの設定不備検知エンジン:基地局2の識別情報が間違っていてネットワークスキャンを繰り返している監視対象機器4や、ネットワークへアクセスするための鍵情報が間違っており、接続認証をリトライしている監視対象機器4を検知する。
【0065】
(B-4)変形例として、装置情報表示部36は、無線ネットワークNの識別情報やチャネルを選択し、表示対象とする監視対象機器4を絞り込み表示できるようにしても良い。また、無線ネットワークの識別情報やチャネルにもとづき表示順を変更できるようにしても良い。また、異常検知された無線ネットワークNの識別情報やチャネルを強調表示するようにしても良い。これにより、どの無線ネットワークやチャネルに異常があったかを早期に発見できるようになるという効果が得られる。
【符号の説明】
【0066】
1…監視システム、2…基地局、3…無線エッジ監視装置、4(4-1~4-n)…監視対象機器、31…無線通信キャプチャ部、32…暗号鍵生成部、33…鍵管理部、34…通信データ取得部、35…異常検知部、36…装置情報表示部、37…通信遮断要求部、38…装置情報確認要求部、M…他ネットワーク、N…無線ネットワーク。
図1
図2
図3