知財求人 - 知財ポータルサイト「IP Force」
▶ NECソリューションイノベータ株式会社の特許一覧 ▶ 日本電気株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-13
(45)【発行日】2022-01-13
(54)【発明の名称】情報転送装置、情報転送方法及び情報転送プログラム
(51)【国際特許分類】
G06F 21/53 20130101AFI20220105BHJP
H04L 12/22 20060101ALI20220105BHJP
G06F 13/00 20060101ALI20220105BHJP
G06F 21/62 20130101ALI20220105BHJP
G06F 9/455 20060101ALI20220105BHJP
【FI】
G06F21/53
H04L12/66 B
G06F13/00 351Z
G06F21/62
G06F9/455 150
【請求項の数】
9
(21)【出願番号】P 2018031370
(22)【出願日】2018-02-23
(65)【公開番号】P2019145050
(43)【公開日】2019-08-29
【審査請求日】2021-01-06
(73)【特許権者】
【識別番号】000232092
【氏名又は名称】NECソリューションイノベータ株式会社
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】110002044
【氏名又は名称】特許業務法人ブライタス
(72)【発明者】
【氏名】武田 伸悟
【審査官】平井 誠
(56)【参考文献】
【文献】登録実用新案第3210462(JP,U)
【文献】特開2013-137745(JP,A)
【文献】特表2014-513834(JP,A)
【文献】国際公開第2006/046659(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/53
H04L 12/22
G06F 13/00
G06F 21/62
G06F 9/455
(57)【特許請求の範囲】
【請求項1】
第一のネットワークから取得した第一の情報を記憶部へ記憶する第一の仮想マシンと、第二のネットワークから取得した第二の情報を前記記憶部へ記憶する第二の仮想マシンと、前記記憶部に記憶された前記第一の情報又は前記第二の情報を検査する第三の仮想マシンと、前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える切替部とを仮想化により構築する、構築部と、前記切替部の切り替えを制御する、制御部と、
を有することを特徴とする情報転送装置。
【請求項2】
請求項1に記載の情報転送装置であって、前記制御部は、
前記第一の仮想マシンが前記第一のネットワークから取得した情報を前記記憶部に記憶した後、前記切替部を制御して、前記第一の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替え、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記切替部を制御して、前記第三の仮想マシンと前記記憶部との接続から、前記第二の仮想マシンと前記記憶部との接続へ切り替える
ことを特徴とする情報転送装置。
【請求項3】
請求項1に記載の情報転送装置であって、前記制御部は、
前記第二の仮想マシンが前記第二のネットワークから取得した情報を前記記憶部に記憶した後、前記切替部を制御して、前記第二の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替え、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記切替部を制御して、前記第三の仮想マシンと前記記憶部との接続から、前記第一の仮想マシンと前記記憶部との接続へ切り替える
ことを特徴とする情報転送装置。
【請求項4】
仮想化を実現するコンピュータは、(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶する、ステップと、
(b)第二のネットワークから取得した第二の情報を、第二の仮想マシンを介して前記記憶部へ記憶する、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査する、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える、ステップと、
を実行することを特徴とする情報転送方法。
【請求項5】
請求項4に記載の情報転送方法であって、前記コンピュータは、前記(d)のステップにおいて、
前記第一の仮想マシンが前記第一のネットワークから取得した情報を前記記憶部に記憶させた後、前記第一の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替え、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記第三の仮想マシンと前記記憶部との接続から、前記第二の仮想マシンと前記記憶部との接続へ切り替える
ことを特徴とする情報転送方法。
【請求項6】
請求項4に記載の情報転送方法であって、前記コンピュータは、前記(d)のステップにおいて、
前記第二の仮想マシンが前記第二のネットワークから取得した情報を前記記憶部に記憶させた後、前記第二の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替え、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記第三の仮想マシンと前記記憶部との接続から、前記第一の仮想マシンと前記記憶部との接続へ切り替える
ことを特徴とする情報転送方法。
【請求項7】
仮想化を実現させるコンピュータに、(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶させる、ステップと、
(b)第二のネットワークから取得した第二の情報を、第二の仮想マシンを介して前記記憶部へ記憶させる、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査させる、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替えさせる、ステップと、
を実行させる情報転送プログラム。
【請求項8】
請求項7に記載の情報転送プログラムであって、前記コンピュータに、前記(d)のステップにおいて、
前記第一の仮想マシンが前記第一のネットワークから取得した情報を前記記憶部に記憶させた後、前記第一の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替えさせ、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記第三の仮想マシンと前記記憶部との接続から、前記第二の仮想マシンと前記記憶部との接続へ切り替えさせる
ことを特徴とする情報転送プログラム。
【請求項9】
請求項7に記載の情報転送プログラムであって、前記コンピュータに、前記(d)のステップにおいて、
前記第二の仮想マシンが前記第二のネットワークから取得した情報を前記記憶部に記憶させた後、前記第二の仮想マシンと前記記憶部との接続から、前記第三の仮想マシンと前記記憶部との接続へ切り替えさせ、
前記第三の仮想マシンの検査により、前記記憶部に記憶されている当該情報が安全であると判定された場合、前記第三の仮想マシンと前記記憶部との接続から、前記第一の仮想マシンと前記記憶部との接続へ切り替えさせる
ことを特徴とする情報転送プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続して用いる情報転送装置、情報転送方法及び情報転送プログラムに関する。
【背景技術】
【0002】
システムの安全を確保する方法として、(1)システムの外部に設けられた外部ネットワークと、システムの内部に設けられた内部ネットワークとを隔離して、外部ネットワークと内部ネットワークとの不正接続を防止する方法がある。
【0003】
また、(2)外部ネットワークと内部ネットワークとを一時的又は恒久的に接続して、不正接続防止ソフトウェア(ファイアウォール)を用いて、外部ネットワークと内部ネットワークとの不正接続を防止する方法がある。
【0004】
更に、(3)データダイオードを用いて、外部ネットワークと内部ネットワークとの不正接続を防止する方法がある。
【0005】
また、関連する技術として、第一のネットワークに接続された第一のサーバと、第一のネットワークと異なる第二のネットワークに接続された第二のサーバと、第一のサーバと第二のサーバの双方からアクセスができる共有メモリとを有するデータ交換システムが開示されている。特許文献1を参照。
【0006】
このデータ交換システムによれば、第一のサーバは、第一のネットワークに接続された端末から受信した情報が、適正条件を満たしていると判定した場合、受信した情報を共有メモリに書き込む。また、第二のサーバは、共有メモリに書き込まれた情報を読み込み、読み込んだ情報の内容に基づいて、読み込んだ情報を第二のネットワークに接続された端末へ送信する。このように、開示のデータ交換システムは、システムの安全を確保している。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2009-245017号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、(1)の方法によれば、例えば、内部ネットワークに接続された機器を保守する場合、外部ネットワークと内部ネットワークとが隔離されているため、外部ネットワークに接続された端末は、保守対象の機器へ、修正情報(例えば、パッチファイル)を送信することができない。そのため、現状では、保守担当者が、外部記憶媒体(例えば、CD-ROM(Compact Disc Read only memory)、USB(Universal Serial Bus)メモリなど)に修正情報を記憶し、外部記憶媒体を経由して、保守対象の機器に修正情報を記憶しなければならない。
【0009】
また、保守対象の機器は、外部ネットワークに接続された端末へ、保守対象の機器に関する状況情報(例えば、ログファイル)を送信することができない。そのため、保守担当者が、外部記憶媒体に状況情報を記憶して取り出さなければならない。このように、(1)の方法では、保守担当者が外部記憶媒体を運搬するため、運搬時間とそれにともなう費用が発生する。
【0010】
また、(2)の方法によれば、(2)の方法を適用したシステムは、不正接続防止ソフトウェアの脆弱性、又は不正接続防止ソフトウェアの設定ミスにより、システムの安全が確保できない。
【0011】
更に、(3)の方法によれば、(3)の方法を適用したシステムは、データダイオードを用いて安全を確保しているので、一方向の通信しかできない。そのため、上述した内部ネットワークに接続された機器を保守する場合、(3)の方法を適用したシステムは、状況情報(ログファイル)を、保守対象の機器から取り出すことができない。
【0012】
また、特許文献1に開示のシステムによれば、第一のネットワークと第二のネットワークとは、第一のサーバと第二のサーバとを介して物理的に隔離されていない。そこで、特許文献1に開示のシステムに(2)の方法を適用したシステムが考えられる。しかし、その場合においても、そのシステムは、不正接続防止ソフトウェアの脆弱性、又は不正接続防止ソフトウェアの設定ミスにより安全を確保できない。
【0013】
本発明の目的の一例は、ネットワークへの不正接続を防止して安全に情報を転送する情報転送装置、情報転送方法及び情報転送プログラムを提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するため、本発明の一側面における情報転送装置は、
第一のネットワークから取得した第一の情報を記憶部へ記憶する第一の仮想マシンと、第二のネットワークから取得した第二の情報を前記記憶部へ記憶する第二の仮想マシンと、前記記憶部に記憶された前記第一の情報又は前記第二の情報を検査する第三の仮想マシンと、前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える切替部とを仮想化により構築する、構築部と、
前記切替部の切り替えを制御する、制御部と、
を有することを特徴とする。
第一のネットワークから取得した第一の情報を記憶部へ記憶する第一の仮想マシンと、第二のネットワークから取得した第二の情報を前記記憶部へ記憶する第二の仮想マシンと、前記記憶部に記憶された前記第一の情報又は前記第二の情報を検査する第三の仮想マシンと、前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える切替部とを仮想化により構築する、構築部と、
前記切替部の切り替えを制御する、制御部と、
を有することを特徴とする。
【0015】
また、上記目的を達成するため、本発明の一側面における情報転送方法は、
仮想化を実現するコンピュータは、
(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶する、ステップと、
(b)前記第二のネットワークから取得した第二の情報を、前記第二の仮想マシンを介して前記記憶部へ記憶する、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査する、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える、ステップと、
を実行することを特徴とする。
仮想化を実現するコンピュータは、
(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶する、ステップと、
(b)前記第二のネットワークから取得した第二の情報を、前記第二の仮想マシンを介して前記記憶部へ記憶する、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査する、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替える、ステップと、
を実行することを特徴とする。
【0016】
更に、上記目的を達成するため、本発明の一側面における情報転送プログラムは、
仮想化を実現させるコンピュータに、
(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶させる、ステップと、
(b)前記第二のネットワークから取得した第二の情報を、前記第二の仮想マシンを介して前記記憶部へ記憶させる、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査させる、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替えさせる、ステップと、
を実行させる。
仮想化を実現させるコンピュータに、
(a)第一のネットワークから取得した第一の情報を、第一の仮想マシンを介して記憶部へ記憶させる、ステップと、
(b)前記第二のネットワークから取得した第二の情報を、前記第二の仮想マシンを介して前記記憶部へ記憶させる、ステップと、
(c)前記記憶部に記憶された前記第一の情報又は前記第二の情報を、第三の仮想マシンを用いて検査させる、ステップと、
(d)前記第一の仮想マシンと前記記憶部との接続、前記第二の仮想マシンと前記記憶部との接続、前記第三の仮想マシンと前記記憶部との接続を切り替えさせる、ステップと、
を実行させる。
【発明の効果】
【0017】
以上のように本発明によれば、ネットワークへの不正接続を防止して安全に情報を転送することができる。
【図面の簡単な説明】
【0018】
【発明を実施するための形態】
【0019】
【0020】
【0021】
図1に示す本実施の形態における情報転送装置1は、ネットワークへの不正接続を防止して安全に情報を転送するための装置である。また、情報転送装置1は、仮想化により仮想マシンを構築する構築部2と、構築部2により実現された仮想マシン、切替部を制御する制御部3とを有する。
【0022】
このうち、仮想マシンは、少なくとも外部用仮想マシン4(第一の仮想マシン)と、内部用仮想マシン5(第二の仮想マシン)と、検査用仮想マシン6(第三の仮想マシン)とを有する。外部用仮想マシン4は、外部ネットワーク(第一のネットワーク)から取得した情報(第一の情報)を記憶部7へ記憶する。また、内部用仮想マシン5は、内部ネットワーク(第二のネットワーク)から取得した情報(第二の情報)を記憶部7へ記憶する。検査用仮想マシン6は、記憶部7に記憶された情報(第一の情報又は第二の情報)を検査する。
【0023】
更に、構築部2は切替部8を構築する。切替部8は、外部用仮想マシン4と記憶部7との接続、内部用仮想マシン5と記憶部7との接続、検査用仮想マシン6と記憶部7との接続を切り替える。また、制御部3は、外部用仮想マシン4と、内部用仮想マシン5と、検査用仮想マシン6と、記憶部7と、切替部8とを制御する。
【0024】
このように、本実施の形態では、仮想化によりハードウェア上で独立した外部用仮想マシン4と、内部用仮想マシン5と、検査用仮想マシン6と、記憶部7と、切替部8とを用いることで、外部ネットワークと内部ネットワークとが直接接続できない構成としている。すなわち、記憶部の情報を入出力するポートを一つにし、外部用仮想マシン4と内部用仮想マシン5とが同時に接続できないようにすることで、外部ネットワークと内部ネット
ワークとが直接接続できないようにしている。更に、検査用仮想マシン6は、外部ネットワーク又は内部ネットワークから取得した情報が、不正情報(例えば、悪意のあるプログラムなど)である場合、外部ネットワーク又は内部ネットワークへ不正情報を転送できないようにしている。このようにすることで、ネットワークへの不正接続を防止して安全に情報を転送することができる。
ワークとが直接接続できないようにしている。更に、検査用仮想マシン6は、外部ネットワーク又は内部ネットワークから取得した情報が、不正情報(例えば、悪意のあるプログラムなど)である場合、外部ネットワーク又は内部ネットワークへ不正情報を転送できないようにしている。このようにすることで、ネットワークへの不正接続を防止して安全に情報を転送することができる。
【0025】
【0026】
情報転送装置1の構成について説明する。情報転送装置1は、例えば、コンピュータを用いて構成される。図3に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics
Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。
Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。
【0027】
CPU111は、記憶装置113に格納された、本実施の形態における仮想化を実現するプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。
【0028】
メインメモリ112は、例えば、DRAM(Dynamic Random Access Memory)などの揮発性の記憶装置である。また、本実施の形態における仮想化を実現するプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態における仮想化を実現するプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通させてもよい。
【0029】
記憶装置113は、例えば、ハードディスクドライブの他、フラッシュメモリなどの半導体記憶装置があげられる。
【0030】
入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
【0031】
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
【0032】
記録媒体120は、例えば、CF(Compact Flash(登録商標))及びSD(Secure Digital)などの汎用的な半導体記憶装置、フレキシブルディスク(Flexible Disk)などの磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体があげられる。
【0033】
また、本実施の形態において、コンピュータは、例えば、ハイパーバイザ型、ホスト型、コンテナ型などの仮想化方式を用いて、仮想化を実現する。なお、上述した構築部2は、コンピュータのハードウェアと、仮想化を実現するソフトウェアとを用いて、仮想化を実現する。なお、複数のコンピュータを利用して、仮想化を実現してもよい。
【0034】
制御部3について具体的に説明する。制御部3は、外部用仮想マシン4と、内部用仮想マシン5と、検査用仮想マシン6と、記憶部7と、切替部8との制御を、切替制御部21を用い実行する。なお、制御部3は、コンピュータのハードウェア、又はハードウェア上のオペレーティングシステム、又は仮想マシンのいずれかに設ける。
【0035】
切替制御部21は、本実施の形態においては、外部用仮想マシン4が外部ネットワークから情報を取得すると、切替部8を制御して、外部用仮想マシン4と記憶部7とを接続する。すなわち、切替制御部21は、外部用仮想マシン4から、情報を取得したことを示す取得通知を受信すると、切替部8の接点P0と接点P1とを接続状態にする。続いて、切替制御部21は、情報が記憶部7に記憶されると、切替部8を制御して、外部用仮想マシン4と記憶部7との接続から、検査用仮想マシン6と記憶部7との接続へ切り替える。すなわち、切替制御部21は、切替部8の接点P0と接点P2とを接続状態にする。
【0036】
続いて、切替制御部21は、検査用仮想マシン6の検査により、記憶部7に記憶されている当該情報が安全であると判定された場合、切替部8を制御して、検査用仮想マシン6と記憶部7との接続から、内部用仮想マシン5と記憶部7との接続へ切り替える。すなわち、切替制御部21は、切替部8の接点P0と接点P3とを接続状態にする。なお、切替制御部21は、内部用仮想マシン5が情報を取得すると、切替部8を制御して、オープン状態にする。
【0037】
また、切替制御部21は、本実施の形態においては、内部用仮想マシン5が内部ネットワークから情報を取得すると、切替部8を制御して、内部用仮想マシン5と記憶部7とを接続する。すなわち、切替制御部21は、内部用仮想マシン5から、情報を取得したことを示す取得通知を受信すると、切替部8の接点P0と接点P3とを接続状態にする。続いて、切替制御部21は、情報が記憶部7に記憶されると、切替部8を制御して、内部用仮想マシン5と記憶部7との接続から、検査用仮想マシン6と記憶部7との接続へ切り替える。すなわち、切替制御部21は、切替部8の接点P0と接点P2とを接続状態にする。
【0038】
続いて、切替制御部21は、検査用仮想マシン6の検査により、記憶部7に記憶されている当該情報が安全であると判定された場合、切替部8を制御して、検査用仮想マシン6と記憶部7との接続から、外部用仮想マシン4と記憶部7との接続へ切り替える。すなわち、切替制御部21は、切替部8の接点P0と接点P1とを接続状態にする。なお、切替制御部21は、外部用仮想マシン4が情報を取得すると、切替部8を制御して、オープン状態にする。
【0039】
外部用仮想マシン4について具体的に説明する。外部用仮想マシン4は取得部23を有する。取得部23は、例えば、情報を取得するウェブインターフェイスを用いて、外部ネットワークから情報を取得する。続いて、取得部23は、情報を取得したことを示す取得通知を、切替制御部21へ送信する。その後、取得部23は、切替部8の接点P0と接点P1とが接続されると、取得部23から記憶部7へ情報を転送する。
内部用仮想マシン5について具体的に説明する。内部用仮想マシン5は取得部25を有する。取得部25は、例えば、情報を取得するウェブインターフェイスを用いて、内部ネットワークから情報を取得する。続いて、取得部25は、情報を取得したことを示す取得通知を、切替制御部21へ送信する。その後、取得部25は、切替部8の接点P0と接点P3とが接続されると、取得部25から記憶部7へ情報を転送する。
内部用仮想マシン5について具体的に説明する。内部用仮想マシン5は取得部25を有する。取得部25は、例えば、情報を取得するウェブインターフェイスを用いて、内部ネットワークから情報を取得する。続いて、取得部25は、情報を取得したことを示す取得通知を、切替制御部21へ送信する。その後、取得部25は、切替部8の接点P0と接点P3とが接続されると、取得部25から記憶部7へ情報を転送する。
【0040】
変形例として、制御部3に操作制御部22を設け、外部用仮想マシン4に停止依頼部24を設け、内部用仮想マシン5に停止依頼部26を設けた場合について説明する。
【0041】
操作制御部22は、外部用仮想マシン4又は内部用仮想マシン5により記憶部7に情報が記憶された後、外部用仮想マシン4又は内部用仮想マシン5が停止したことを検出する。
【0042】
停止依頼部24は、例えば、外部用仮想マシン4を停止させるウェッブインターフェイスを有する。保守担当者は、外部ネットワークに接続された端末などを用いて、停止依頼部24が有するウェッブインターフェイスを操作して外部用仮想マシン4を停止させる。
【0043】
停止依頼部26は、例えば、内部用仮想マシン5を停止させるウェッブインターフェイスを有する。保守担当者は、外部ネットワークに接続される端末から、停止依頼部26が有するウェッブインターフェイスを、KVM(Keyboard video mouse)などを用いて操作し、内部用仮想マシン5を停止させる。又は、保守担当者は、内部ネットワークに接続された端末などを用いて、停止依頼部26が有するウェッブインターフェイスを操作して内部用仮想マシン5を停止させる。
【0044】
具体的に説明する。まず、外部用仮想マシン4又は内部用仮想マシン5により記憶部7に情報が記憶された後、保守担当者が、端末を用いて外部用仮想マシン4又は内部用仮想マシン5を停止させる。すると、操作制御部22は、外部用仮想マシン4又は内部用仮想マシン5の停止を検出する。次に、操作制御部22は、外部用仮想マシン4又は内部用仮想マシン5が停止させられたこと、すなわち記憶部7に情報が記憶されたことを、切替制御部21へ送信する。切替制御部21は、通知を受信すると、切替部8を制御して、検査用仮想マシン6と記憶部7との接続へと切り替える。このようにすることで、制御部3と外部用仮想マシン4又は内部用仮想マシン5と通信をせず、検査用仮想マシン6に記憶部7に記憶されている情報を検査させることができる。
【0045】
検査用仮想マシン6について具体的に説明する。検査用仮想マシン6は、検査部27と証拠記録部28とを有する。検査部27は、記憶部7に記憶されている情報を検査する。検査は、例えば、ウイルス感染、電子署名、チェックサムなどの検査を実行し、記憶部7に記憶されている情報が不正情報であるか否かを判定する。検査部27は、不正情報でないと判定した場合、不正でないことを示す検査結果を制御部3に送信する。また、検査部27が不正情報であると判定した場合、不正であることを示す検査結果を制御部3に送信する。
【0046】
また、検査部27には、管理者が検査結果を確認するためのウェッブインターフェイスを設けてもよい。更に、検査部27には、管理者に検査結果を承認させるためのウェッブインターフェイスを設けてもよい。
【0047】
更に、検査用仮想マシン6に証拠記録部28を設けてもよい。証拠記録部28は、修正情報、状況情報などの転送した情報、又は検査結果を記憶する。検査結果は、例えば、ウイルス感染、電子署名、チェックサムなどの検査を、時系列に記憶する、ログファイルなどである。
【0048】
記憶部7について具体的に説明する。記憶部7は、例えば、仮想ボリューム、又はハードディスク、又はRAID(Redundant Array of Inexpensive Disks)、又はSSD(Solid State Drive)、又はRAM(Random Access Memory)などの半導体記憶装置を用いる。また、記憶部7は、本実施の形態におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築してもよい。更に、記憶部7から情報の転送が完了すると、制御部3は、記憶部7を制御して、記憶部7に記憶されている情報を削除する。
【0049】
切替部8について具体的に説明する。切替部8は、例えば、仮想スイッチなどである。
切替部8が有するスイッチは、接点P0、P1、P2、P3を有する。また、切替部8は、制御部3から受信した切替指示に基づいて、接点P0を支点に接続点P1、P2、P3と接続する。接点P0は記憶部7のポートに接続される。また、切替部8の接点P1は外部用仮想マシン4のポートに接続される。また、切替部8の接点P2は検査用仮想マシン6のポートに接続される。また、切替部8の接点P3は内部用仮想マシン5のポートに接続される。
切替部8が有するスイッチは、接点P0、P1、P2、P3を有する。また、切替部8は、制御部3から受信した切替指示に基づいて、接点P0を支点に接続点P1、P2、P3と接続する。接点P0は記憶部7のポートに接続される。また、切替部8の接点P1は外部用仮想マシン4のポートに接続される。また、切替部8の接点P2は検査用仮想マシン6のポートに接続される。また、切替部8の接点P3は内部用仮想マシン5のポートに接続される。
【0050】
[装置動作]
次に、本発明の実施の形態における情報転送装置1の動作について図2、図4から図6を用いて説明する。また、本実施の形態では、情報転送装置1を動作させることにより、情報転送方法が実施される。よって、本実施の形態における情報転送方法の説明は、以下の情報転送装置1の動作説明に代える。
次に、本発明の実施の形態における情報転送装置1の動作について図2、図4から図6を用いて説明する。また、本実施の形態では、情報転送装置1を動作させることにより、情報転送方法が実施される。よって、本実施の形態における情報転送方法の説明は、以下の情報転送装置1の動作説明に代える。
【0051】
最初に、図4を用いて、情報転送装置1が情報を外部ネットワークから内部ネットワークへ転送する動作について説明をする。図4は、情報転送装置における、情報を外部ネットワークから内部ネットワークへ転送する動作の一例を示す図である。
【0052】
情報転送装置1において、外部用仮想マシン4は、外部ネットワーク54を介して、修正情報を取得する(ステップA1)。続いて、制御部3は、切替部8を制御して、外部用仮想マシン4と記憶部7とを接続する(ステップA2)。続いて、外部用仮想マシン4は、修正情報を記憶部7へ記憶する(ステップA3)。続いて、制御部3は、切替部8を制御して、検査用仮想マシン6と記憶部7とを接続する(ステップA4)。続いて、検査用仮想マシン6は、修正情報を検査する(ステップA5)。修正情報に異常がない場合(ステップA6:Yes)、制御部3は、切替部8を制御して、内部用仮想マシン5と記憶部7とを接続する(ステップA7)。内部用仮想マシン5は、記憶部7から修正情報を取得する(ステップA8)。また、修正情報に異常がない場合(ステップA6:No)、制御部3は、記憶部7から修正情報を削除する(ステップA9)。
【0053】
次に、図2、図5を用いて、ステップA1からA9について説明する。具体的には、端末56から機器51へ修正情報(パッチファイル:第一の情報)を転送する場合について説明する。図5は、情報転送装置を有するシステムの一例を示す図である。
【0054】
図5に示す施設50は、例えば、データセンタ、又は原子力発電所などの施設である。また、施設50には、情報転送装置1、機器51、端末52などが設けられている。情報転送装置1と機器51とは、施設50内に設けられた内部ネットワーク53に接続される。機器51は、例えば、保守対象の機器である。端末52は、情報転送装置1を管理する端末である。更に、施設50内には、外部ネットワーク54が設けられている。外部ネットワーク54は、無線、又は有線、又は電力線、又は光ファイバ、又はそれらを組み合わせて構築されたネットワーク55(施設外に設けられた外部ネットワーク)と接続される。図5の例では、ネットワーク55に接続される端末56は、機器51を保守するために用いる。
【0055】
ステップA1において、外部用仮想マシン4の取得部23は、端末56からネットワーク55及び外部ネットワーク54を介して、修正情報を取得する。また、取得部23は、修正情報を取得すると、取得通知を制御部3の切替制御部21へ送信する。
【0056】
ステップA2において、制御部3の切替制御部21は、取得通知を受信すると、切替部8を制御して、切替部8の接点P1と接点P0とを接続し、外部用仮想マシン4と記憶部7とを接続状態にする。
【0057】
ステップA3において、外部用仮想マシン4の取得部23は、外部用仮想マシン4と記憶部7とが接続状態になると、記憶部7へ修正情報を転送する。記憶部7は、修正情報を記憶する。なお、外部用仮想マシン4の取得部23は、修正情報が記憶部7に記憶されると、外部用仮想マシン4から修正情報を削除する。
【0058】
ステップA4において、制御部3の切替制御部21は、記憶部7に修正情報が記憶されると、切替部8を制御して、切替部8の接点P2と接点P0とを接続し、検査用仮想マシン6と記憶部7とを接続状態にする。
【0059】
ステップA5において、検査用仮想マシン6の検査部27は、記憶部7の修正情報に対して、例えば、ウイルス感染、電子署名、チェックサムなどの検査をする。
【0060】
ステップA6において、検査用仮想マシン6の検査部27は、修正情報に異常がないか否かを判定する。検査部27は、異常がない場合、修正情報に異常がないことを示す検査結果を、制御部3の切替制御部21に送信する。また、検査部27は、異常がある場合、修正情報に異常があることを示す検査結果を、制御部3の切替制御部21に送信する。なお、検査結果の確認及び承認を、管理者が端末52を用いて行えるようにし、管理者が承認をした場合、検査部27が、修正情報に異常がないことを示す検査結果を、切替制御部21へ送信してもよい。
【0061】
ステップA7において、制御部3の切替制御部21は、修正情報に異常がないことを示す検査結果を取得すると、切替部8を制御して、切替部8の接点P3と接点P0とを接続し、内部用仮想マシン5と記憶部7とを接続状態にする。
【0062】
ステップA8において、内部用仮想マシン5の取得部25は、記憶部7から修正情報を取得し、取得した修正情報を機器51へ送信する。また、取得部25は、修正情報を取得すると、取得通知を制御部3の切替制御部21へ送信する。なお、内部用仮想マシン5の取得部25は、修正情報が機器51へ送信された場合、内部用仮想マシン5から修正情報を削除する。更に、切替制御部21は、切替部8を制御して、スイッチの接続状態をオープン状態にする。
【0063】
ステップA9において、制御部3の切替制御部21は、修正情報に異常があることを示す検査結果を取得すると、記憶部7を制御して、記憶部7から修正情報を削除する。
【0064】
次に、図2、図6を用いて、ステップB1からB9について説明する。具体的には、機器51から端末56へ状況情報(ログファイル:第二の情報)を転送する場合について説明する。図6は、情報転送装置における、情報を内部ネットワークから外部ネットワークへ転送する動作の一例を示す図である。
【0065】
情報転送装置1において、内部用仮想マシン5は、内部ネットワーク53を介して、状況情報を取得する(ステップB1)。続いて、制御部3は、切替部8を制御して、内部用仮想マシン5と記憶部7とを接続する(ステップB2)。続いて、内部用仮想マシン5は、状況情報を記憶部7へ記憶する(ステップB3)。続いて、制御部3は、切替部8を制御して、検査用仮想マシン6と記憶部7とを接続する(ステップB4)。続いて、検査用仮想マシン6は、状況情報を検査する(ステップB5)。状況情報に異常がない場合(ステップB6:Yes)、制御部3は、切替部8を制御して、外部用仮想マシン4と記憶部7とを接続する(ステップB7)。外部用仮想マシン4は、記憶部7から状況情報を取得する(ステップB8)。また、状況情報に異常がない場合(ステップB6:No)、制御部3は、記憶部7から状況情報を削除する(ステップB9)。
【0066】
ステップB1において、内部用仮想マシン5の取得部25は、機器51から内部ネットワーク53を介して、状況情報を取得する。また、取得部25は、状況情報を取得すると、取得通知を制御部3の切替制御部21へ送信する。なお、取得部25は、対象とする機器以外から、情報が転送されてきた場合、情報を取得しないようにしてもよい。
【0067】
ステップB2において、制御部3の切替制御部21は、取得通知を受信すると、切替部8を制御して、切替部8の接点P3と接点P0とを接続し、内部用仮想マシン5と記憶部7とを接続状態にする。
【0068】
ステップB3において、内部用仮想マシン5の取得部25は、内部用仮想マシン5と記憶部7とが接続状態になると、記憶部7へ状況情報を転送する。記憶部7は、状況情報を記憶する。なお、内部用仮想マシン5の取得部25は、状況情報が記憶部7に記憶されると、内部用仮想マシン5から状況情報を削除する。
【0069】
ステップB4において、制御部3の切替制御部21は、記憶部7に状況情報が記憶されると、切替部8を制御して、切替部8の接点P2と接点P0とを接続し、検査用仮想マシン6と記憶部7とを接続状態にする。
【0070】
ステップB5において、検査用仮想マシン6の検査部27は、記憶部7の状況情報に対して、例えば、ウイルス感染、電子署名、チェックサムなどの検査をする。
【0071】
ステップB6において、検査用仮想マシン6の検査部27は、状況情報に異常がないか否かを判定する。検査部27は、異常がない場合、状況情報に異常がないことを示す検査結果を、制御部3の切替制御部21に送信する。また、検査部27は、異常がある場合、状況情報に異常があることを示す検査結果を、制御部3の切替制御部21に送信する。なお、検査結果の確認及び承認を、管理者が端末52を用いて行えるようにし、管理者が承認をした場合、検査部27が、状況情報に異常がないことを示す検査結果を、切替制御部21へ送信してもよい。
【0072】
ステップB7において、制御部3の切替制御部21は、状況情報に異常がないことを示す検査結果を取得すると、切替部8を制御して、切替部8の接点P1と接点P0とを接続し、外部用仮想マシン4と記憶部7とを接続状態にする。
【0073】
ステップB8において、外部用仮想マシン4の取得部23は、記憶部7から状況情報を取得し、取得した状況情報を端末56へ送信する。また、取得部23は、状況情報を取得すると、取得通知を制御部3の切替制御部21へ送信する。なお、外部用仮想マシン4の取得部23は、状況情報が端末56へ送信された場合、外部用仮想マシン4から状況情報を削除する。更に、切替制御部21は、切替部8を制御して、スイッチの接続状態をオープン状態にする。
【0074】
ステップB9において、制御部3の切替制御部21は、状況情報に異常があることを示す検査結果を取得すると、記憶部7を制御して、記憶部7から状況情報を削除する。
【0075】
[本実施の形態の効果]
以上のように、本実施の形態では、仮想化によりハードウェア上で独立した外部用仮想マシン4と、内部用仮想マシン5と、検査用仮想マシン6と、記憶部7と、切替部8とを用いることで、外部ネットワークと内部ネットワークとが直接接続できない構成としている。
以上のように、本実施の形態では、仮想化によりハードウェア上で独立した外部用仮想マシン4と、内部用仮想マシン5と、検査用仮想マシン6と、記憶部7と、切替部8とを用いることで、外部ネットワークと内部ネットワークとが直接接続できない構成としている。
【0076】
言い換えれば、記憶部の情報を入出力するポートを一つにし、外部用仮想マシン4と内
部用仮想マシン5とが同時に接続できないようにすることで、外部ネットワークと内部ネットワークとが直接接続できないようにしている。
部用仮想マシン5とが同時に接続できないようにすることで、外部ネットワークと内部ネットワークとが直接接続できないようにしている。
【0077】
更に、検査用仮想マシン6を用いて、外部ネットワーク又は内部ネットワークから取得した情報が、不正情報(例えば、悪意のあるプログラムなど)である場合、外部ネットワーク又は内部ネットワークへ不正情報を転送できないようにしている。
【0078】
このようにすることで、ネットワークへの不正接続を防止して安全に情報を転送することができる。
【0079】
[プログラム]
本発明の実施の形態におけるプログラムは、コンピュータに、図4に示すステップA1からA9、図6に示すステップB1からB9を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報転送装置1と情報転送方法とを実現することができる。この場合、コンピュータのプロセッサは、構築部2、制御部3として機能し、処理を行なう。
本発明の実施の形態におけるプログラムは、コンピュータに、図4に示すステップA1からA9、図6に示すステップB1からB9を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報転送装置1と情報転送方法とを実現することができる。この場合、コンピュータのプロセッサは、構築部2、制御部3として機能し、処理を行なう。
【0080】
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、構築部2、制御部3のいずれかとして機能してもよい。
【産業上の利用可能性】
【0081】
以上のように本発明によれば、ネットワークへの不正接続を防止して安全に情報を転送することができる。本発明は、情報転送が必要な分野において有用である。
【符号の説明】
【0082】
1 情報転送装置
2 構築部
3 制御部
4 外部用仮想マシン
5 内部用仮想マシン
6 検査用仮想マシン
7 記憶部
8 切替部
21 切替制御部
22 操作制御部
23、25 取得部
24、26 停止依頼部
27 検査部
28 証拠記録部
50 システム
51 機器
52、56 端末
53 内部ネットワーク
54 外部ネットワーク
55 ネットワーク
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
2 構築部
3 制御部
4 外部用仮想マシン
5 内部用仮想マシン
6 検査用仮想マシン
7 記憶部
8 切替部
21 切替制御部
22 操作制御部
23、25 取得部
24、26 停止依頼部
27 検査部
28 証拠記録部
50 システム
51 機器
52、56 端末
53 内部ネットワーク
54 外部ネットワーク
55 ネットワーク
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】