知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝電機サービス株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-02
(45)【発行日】2023-05-15
(54)【発明の名称】通信装置、通信方法、情報処理システムおよびプログラム
(51)【国際特許分類】
H04L 43/04 20220101AFI20230508BHJP
【FI】
H04L43/04
【請求項の数】
12
(21)【出願番号】P 2020049858
(22)【出願日】2020-03-19
(65)【公開番号】P2021150851
(43)【公開日】2021-09-27
【審査請求日】2022-03-04
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】598076591
【氏名又は名称】東芝インフラシステムズ株式会社
(74)【代理人】
【識別番号】100111121
【弁理士】
【氏名又は名称】原 拓実
(74)【代理人】
【識別番号】100149629
【弁理士】
【氏名又は名称】柘 周作
(74)【代理人】
【識別番号】100200148
【弁理士】
【氏名又は名称】今野 徹
(74)【代理人】
【識別番号】100139538
【弁理士】
【氏名又は名称】高橋 航介
(74)【代理人】
【識別番号】100200115
【弁理士】
【氏名又は名称】杉山 元勇
(74)【代理人】
【識別番号】100200137
【弁理士】
【氏名又は名称】浅野 良介
(72)【発明者】
【氏名】小椋 直樹
(72)【発明者】
【氏名】中西 福友
(72)【発明者】
【氏名】金井 遵
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2017-005402(JP,A)
【文献】特開2017-143583(JP,A)
【文献】特開2019-022118(JP,A)
【文献】米国特許出願公開第2019/0028479(US,A1)
【文献】国際公開第2016/194123(WO,A1)
【文献】特開2007-267064(JP,A)
【文献】韓国公開特許第10-2019-0083498(KR,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-13/18,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
制御装置および送信先通信装置に接続可能な通信装置であって、
通信パケットの正常性を判断するための第1情報を記憶する記憶部と、
受信した通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断する解析部と、
前記解析部によって前記通信パケットが正常ではないと判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定部と、
前記送信先決定部によって決定された前記送信先に送信する前記通信パケットを暗号化する生成部と、
を備える通信装置。
【請求項2】
前記第1情報は、通信を許可する通信パケットのパケット情報である、請求項1に記載の通信装置。
【請求項3】
前記解析部は、前記通信パケットのパケット情報と前記第1情報のパケット情報と比較して一致しない場合は、前記通信パケットは正常でないと判断する、請求項2に記載の通信装置。
【請求項4】
前記記憶部は、さらに、前記制御装置と、前記送信先通信装置と、の間で共有するグループ鍵を記憶し、前記生成部は、前記グループ鍵を用いて暗号化を行う、
請求項1乃至3のいずれか一項に記載の通信装置。
【請求項5】
前記通信装置は、前記制御装置を含む複数の制御装置と接続可能であり、さらに前記複数の制御装置のそれぞれは解析装置と接続可能であって、
前記送信先決定部は、前記複数の制御装置の中からいずれかの制御装置を前記通信パケットの送信先として決定する、
請求項1乃至4のいずれか一項に記載の通信装置。
【請求項6】
前記送信先決定部は、通信プロトコルの種別が制御系プロトコルである場合、前記制御系プロトコルの解析に適した解析装置と接続されている制御装置を送信先として決定し、前記通信プロトコルの種別が情報系プロトコルである場合、前記情報系プロトコルの解析に適した解析装置と接続されている制御装置を送信先として決定する、請求項5に記載の通信装置。
【請求項7】
制御装置および送信先通信装置に接続可能な通信装置であって、
通信パケットの正常性を判断するための第1情報を記憶する記憶部と、
受信した前記通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断し、前記通信パケットが正常でないと判断した場合、前記通信パケットを破棄する解析部と、
を備え、
前記記憶部は、通信パケットの不正の疑いを判断するための第2情報をさらに記憶し、
前記解析部は、前記通信パケットが正常であると判断した場合、前記通信パケットと前記第2情報に基づき、前記通信パケットに不正の疑いがあるか否かを判断し、
前記解析部によって前記通信パケットに不正の疑いがあると判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定部と、
前記送信先決定部によって決定された前記送信先に送信する前記通信パケットを暗号化する生成部と、
さらに備える通信装置。
【請求項8】
制御装置および送信先通信装置に接続可能な通信装置の通信方法であって、
通信パケットの正常性を判断するための第1情報を記憶する記憶ステップと、
受信した通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断する解析ステップと、
前記解析ステップによって前記通信パケットが正常ではないと判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定ステップと、
前記送信先決定ステップによって決定された前記送信先に送信する前記通信パケットを暗号化する生成ステップと、
を含む通信方法。
【請求項9】
制御装置と通信装置を備える情報処理システムであり、前記通信装置は、前記制御装置と送信先通信装置とに接続可能であって、
前記通信装置は、
通信パケットの正常性を判断する第1情報を記憶する記憶部と、
受信した通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断する解析部と、
前記解析部によって前記通信パケットが正常ではないと判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定部と、
前記送信先決定部によって決定された前記送信先に送信する前記通信パケットを暗号化する生成部と、
前記生成部によって暗号化された前記通信パケットを前記送信先に送信する送信部と、
を有し、
前記制御装置は、
前記送信部によって送信された前記通信パケットを受信する暗号化通信受信部と、
前記暗号化通信受信部によって受信した前記通信パケットを復号する平文通信生成部と、
を有する、
情報処理システム。
【請求項10】
制御装置および送信先通信装置に接続可能な通信装置のコンピュータを、
通信パケットの正常性を判断するための第1情報を記憶する記憶手段と、
受信した通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断する解析手段と、
前記解析手段によって前記通信パケットが正常ではないと判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定手段と、
前記送信先決定手段によって決定された前記送信先に送信する前記通信パケットを暗号化する生成手段と、
して機能させるためのプログラム。
【請求項11】
制御装置および送信先通信装置に接続可能な通信装置のコンピュータを、
通信パケットの正常性を判断するための第1情報を記憶する記憶手段と、
受信した前記通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断し、前記通信パケットが正常でないと判断した場合、前記通信パケットを破棄する解析手段と、
して機能させ、
前記記憶手段は、通信パケットの不正の疑いを判断するための第2情報をさらに記憶し、
前記解析手段は、前記通信パケットが正常であると判断した場合、前記通信パケットと前記第2情報に基づき、前記通信パケットに不正の疑いがあるか否かを判断し、
前記解析手段によって前記通信パケットに不正の疑いがあると判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定手段と、
前記送信先決定手段によって決定された前記送信先に送信する前記通信パケットを暗号化する生成手段と、
してさらに機能させるためのプログラム。
【請求項12】
制御装置および送信先通信装置に接続可能な通信装置の通信方法であって、
通信パケットの正常性を判断するための第1情報を記憶する記憶ステップと、
受信した前記通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断し、前記通信パケットが正常でないと判断した場合、前記通信パケットを破棄する解析ステップと、
を含み、
前記記憶ステップは、通信パケットの不正の疑いを判断するための第2情報をさらに記憶し、
前記解析ステップは、前記通信パケットが正常であると判断した場合、前記通信パケットと前記第2情報に基づき、前記通信パケットに不正の疑いがあるか否かを判断し、
前記解析ステップによって前記通信パケットに不正の疑いがあると判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する送信先決定ステップと、
前記送信先決定ステップによって決定された前記送信先に送信する前記通信パケットを暗号化する生成ステップと、
をさらに含む通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施の形態は、通信装置、通信方法、情報処理システムおよびプログラムに関する。
【背景技術】
【0002】
進展するサイバー攻撃にさらされ、工場や発電所等のシステムを停止させられ、大きな損害を被る事象が発生している。サイバー攻撃による損害を最小限に抑えるためには、システム上を流れる不正な通信を検知するための通信監視システムの導入が重要になりつつある。
【0003】
通信監視を行う際には、通信を捕捉(キャプチャ)するための通信装置を通信路上に設置する必要がある。巨大なシステムにおいては、多数の通信装置を設置することが考えられる。そのような場合、個々の通信装置の性能は高くないことが多く、通信の解析には適さない。
【0004】
個々の通信装置は不正な通信を検知する処理を行わず、キャプチャした通信を外部の装置に転送し、外部の装置が解析を行う、といった構成が考えられる。
【0005】
一方、システム上を流れる通信を暗号化して保護することで、不要な情報漏洩を防止することが行われている。通信内容が暗号化されている場合、解析を行う外部の装置は送信元の通信装置と協調して通信の復号処理を行ってから解析する必要がある。さらに、復号した通信の解析後、送信元の通信装置もしくは外部の装置は、本来の送信先の通信装置に対して通信を行うために再度暗号化通信機能を提供する必要がある。このため、従来では、複数の暗号化復号処理によって通信遅延が生じていた。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2017-143583号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明が解決しようとする課題は、暗号化通信処理による通信遅延を低減することができる、通信装置、通信方法、情報処理システムおよびプログラムを提供することである。
【課題を解決するための手段】
【0008】
実施形態の通信装置は、記憶部、解析部、送信先決定部および生成部を備える。また、実施形態の通信装置は、制御装置と前記制御装置と接続される複数の通信装置とを含む通信ネットワークに属し、前記複数の通信装置のうちいずれかである送信先通信装置に通信パケットを送信する。前記記憶部は、通信パケットの正常性を判断する第1情報を記憶する。前記解析部は、受信した通信パケットと前記第1情報に基づき、前記通信パケットの正常性を判断する。前記送信先決定部は、前記解析部によって前記通信パケットが正常ではないと判断された場合、前記送信先通信装置と前記制御装置を前記通信パケットの送信先と決定する。前記生成部は、前記送信先決定部によって決定された前記送信先に送信する前記通信パケットを暗号化する。
【図面の簡単な説明】
【0009】
【図1】第1の実施形態に係る情報処理システムの模式図。
【図2】第1の実施形態に係る情報処理システムの機能ブロック図。
【図3】第1の実施形態に係る通信装置(送信元)の処理手順を示すフローチャート。
【図4】第1の実施形態に係る通信装置(送信先)の処理手順を示すフローチャート。
【図5】第1の実施形態に係る制御装置の処理手順を示すフローチャート。
【図6】第1の実施形態に係る解析装置の処理手順を示すフローチャート。
【図7】第1の実施形態に係る表示装置の表示画面の一例を示す模式図。
【図8】第2の実施形態に係る情報処理システムの模式図。
【図9】第2の実施形態に係る情報処理システムの機能ブロック図。
【図10】第2の実施形態に係る通信装置(送信元)の処理手順を示すフローチャート。
【図11】解析ルールの変更手順を示すフローチャート。
【図12】第3の実施形態に係る情報処理システムの模式図。
【図13】第3の実施形態に係る通信装置の機能ブロック図。
【図14】第3の実施形態の実施形態の変形例に係る情報処理システムの模式図。
【図15】第3の実施形態の変形例に係る通信装置の機能ブロック図。
【図16】第4の実施形態に係る情報処理システムの模式図。
【図17】第4の実施形態に係る制御装置の機能ブロック図。
【図18】第1の実施形態に係る通信装置、制御装置および解析装置のハードウエア構成図。
【発明を実施するための形態】
【0010】
以下、図面を参照して、発明を実施するための実施形態について説明する。
【0011】
(第1の実施形態)
---第1の実施形態の概要の説明---
図1は、本実施の形態の情報処理システム1の構成の一例を示す模式図である。図1に示すように、情報処理システム1は、複数の通信装置20(通信装置20-1、通信装置20-2、通信装置20-3、通信装置20-4)、制御装置30、解析装置40および表示装置50を備える。各通信装置20には、対応した機器10(機器10-1、機器10-2、機器10-3、機器10-4)が接続されている。
---第1の実施形態の概要の説明---
図1は、本実施の形態の情報処理システム1の構成の一例を示す模式図である。図1に示すように、情報処理システム1は、複数の通信装置20(通信装置20-1、通信装置20-2、通信装置20-3、通信装置20-4)、制御装置30、解析装置40および表示装置50を備える。各通信装置20には、対応した機器10(機器10-1、機器10-2、機器10-3、機器10-4)が接続されている。
【0012】
本実施形態において、機器10と通信装置20、通信装置20と通信装置20、通信装置20と制御装置30、制御装置30と解析装置40、制御装置30と表示装置50のそれぞれは、有線回線または無線回線を介してデータや信号を互いに授受可能に接続されている。
【0013】
なお、各回線において、リピータ、スイッチングハブ、ルータなどの通信機器を経由して接続されていてもよい。また、本実施形態では、制御装置30と解析装置40は、異なる装置としているが、同じハードウエア上で実行させてもよい。制御装置30と表示装置50についても、同じハードウエア上で実行させてもよい。
【0014】
情報処理システム1において、機器10から機器10への暗号化通信を考える。ここで、送信元の機器10を機器10(送信元)、送信先の機器10を機器10(送信先)と称す。また、機器10(送信元)に接続されている通信装置20を通信装置20(送信元)と称し、機器10(送信先)に接続されている通信装置20を通信装置20(送信先)と称す。
【0015】
情報システム1の機器10(送信元)から機器10(送信先)への通信において、通信装置20(送信元)は、機器10(送信元)から受信した通信パケットに対して簡易解析を行い、さらなる解析の必要があると判断すると、通信パケットを暗号化し、通信パケットを通信装置20(送信先)と制御装置30に対して送信する。
【0016】
制御装置30は、暗号化された通信パケットを復号し、通信パケットを解析装置40に送信する。解析装置40は、通信パケットを詳細に解析し、不正な通信の有無を判断する。解析装置40は、制御装置30に解析結果を送信する。制御装置30は、受信した解析結果を表示装置50に表示させることで、情報処理システム1を運用するオペレータに解析結果を通知する。
【0017】
上述したように、情報処理システム1では、通信装置20(送信元)が通信パケットのさらなる解析の必要があると判断した場合、本来の送信先である通信装置20(送信先)と、解析装置40に接続されている制御装置30と、に対して通信パケットを送信する。
【0018】
このため、情報処理システム1では、本来の送信先である通信装置20(送信先)に対する暗号化通信を実現しながら、詳細な解析が必要な通信パケットについては、詳細な解析を行うことができる。
【0019】
したがって、通信パケットの詳細な解析を行いながら、機器10(送信元)から機器10(送信先)への通信においては、一度の暗号化復号処理の実行で済むため、複数回の暗号化復号処理が必要であった従来の情報処理システムと比較して通信遅延を低減させることができる。
【0020】
また、解析装置40が機器10(送信元)から機器10(送信先)への通信を不正な通信と判断した場合、一例として、オペレータは、図示しない機器10の制御サーバを操作することで、不正な通信を遮断することができる。
【0021】
ここで、機器10は、工場や発電所等の各システムの機能を実現するハードウエア及びソフトウエアである。機器10は、例えば、PC(Personal Computer)、ワークステーション、プリンタ、アプリケーションサーバ、データサーバ、制御サーバ、データヒストリアン、HMI(Human Machine Interface)、SCADA(Supervisоry Control and Data Acquisition)、EWS(Engineering WorkStation)、PLC(Programmable Logic Controller)、IED(Intelligent Electronic Device)やRTU(Remote Terminal Unit)などが該当する。
【0022】
なお、図1では、機器10が4台存在するが、2台以上であればよい。機器10に接続される通信機器20についても同様である。また、図1では、制御装置30が1台であるが、2台以上であってもよい。また、解析装置40が1台であるが、2台以上であってもよい。
【0023】
また、情報処理システム1に含まれる通信装置20は、同一のネットワーク上に存在してもよいし、通信を要する2台の機器10の間で通信が行えるように通信路が確保されていればよい。
【0024】
一例として、通信装置20-1(20)と通信装置20-4(20)の間の通信路が確保され、通信装置20-2(20)と通信装置20-3(20)の間の通信路が先の通信路とは別に確保され、先の2つの通信路上に制御装置30との通信路が別々に確保されている構成でもよい。
【0025】
次に、情報処理システム1の機能構成を説明する。図2は、情報処理システム1を構成する各装置の機能構成の一例を示す機能ブロック図である。以下では、図2を参照しながら情報処理システム1を構成する各装置の機能部の概要について説明を行う。
【0026】
以下では、説明のため、機器10-1(10)が送信元で、機器10-2(10)が送信先である場合を考える。この場合、通信装置20-1(20)が送信元で、通信装置20-2(20)が送信先となる。
【0027】
まず、通信装置20の説明を行う。通信装置20は、機器10から送出される通信及び他の通信装置20を介して受信する通信に対する制御を行うハードウエアおよびソフトウエアである。
【0028】
通信装置20は、他の通信装置20との間で暗号化通信を行う機能を備える。さらに、通信装置20は、機器10から送出された通信パケットをキャプチャし、キャプチャした通信パケットの一部または全てを、暗号化通信を用いて制御装置30に転送する機能を備える。
【0029】
各通信装置20は、送信処理と受信処理の両方を行うため、送信元としての機能と、送信先としての機能と、を併せ持つ。通信装置20-1や通信装置20-2なども同様である。図2では通信処理としての機能を強調するため、通信装置20-1には送信元としての機能のみを、また通信装置20-2には送信先としての機能のみを区別して記載している。機器10についても同様である。
【0030】
図2に示すように、通信装置20-1(送信元)は、平文通信受信部211、簡易通信解析部212、送信先決定部213、暗号化通信生成部214、暗号化通信送信部215、グループ鍵共有部216、暗号化通信情報記憶部217、解析ルール記憶部219および送信先識別子記憶部231を備える。
【0031】
平文通信受信部211は、機器10(送信元)から通信パケットを受信し、簡易通信解析部212に通信パケットを出力する。
【0032】
簡易通信解析部(解析部と称すこともある)212は、解析ルール記憶部219に記憶されている解析ルール情報を用いて、通信パケットの簡易通信解析を行い、さらなる詳細な解析が必要であるか否かを判断する。
【0033】
第1の実施形態の解析ルール記憶部219には、解析ルールとしてホワイトリスト情報が記憶されている。
【0034】
ホワイトリスト情報は、オペレータによって予め設定された通信パケットの正常性を判断するための情報である。ホワイトリスト情報は、例えば、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、送信先ポート番号(あるいは通信プロトコルの種別)などの組ごとに事前に設定された通信を許可する値のリストである。
【0035】
解析ルール記憶部219は、例えば、HDD(Hard Disk Drive)などにより実現される。
【0036】
簡易通信解析部212は、解析ルールを解析ルール記憶部218から取得する。簡易通信解析部212は、通信パケットとホワイトリスト情報とに基づき、通信パケットに含まれる情報が、ホワイトリスト情報の一つと一致する場合、その通信パケットは正常であるとして、さらなる解析は不要と判断する。簡易通信解析部212は、通信パケットと判断結果を送信先決定部213に出力する。
【0037】
送信先決定部213は、簡易通信解析部212の判断結果に基づき、通信パケットの送信先(通信装置20-2あるいは通信装置20-2および制御装置30)を決定する。送信先決定部213は、決定した送信先に対応する識別子(送信先識別子)を送信先識別子記憶部231が記憶する送信先識別子から取得し、通信パケットと送信先識別子を暗号化通信生成部214に出力する。
【0038】
送信先識別子記憶部231は、送信先決定部213が使用する送信先識別子を記憶する。送信先識別子記憶部231は、例えば、HDDなどにより実現される。なお、通信パケットの送信先として、ブロードキャストアドレスやマルチキャストアドレスが用いられる場合があるが、送信先識別記憶部231は、複数の相手を送信先とする通信(同報通信)に対応しており、指定される可能性がある送信先(集合)を表す識別子を管理している。
【0039】
暗号化通信生成部(生成部と称すこともある)214は、暗号化通信情報記憶部217が記憶する暗号化鍵(グループ鍵)を用いて、通信パケットを暗号化する。使用するグループ鍵は、送信先識別子に対応するものが用いられる。
【0040】
暗号化通信送信部(送信部と称すこともある)215は、暗号化された通信パケットに通信ヘッダを付与して、送信先識別子に対応する送信先に送信する。
【0041】
グループ鍵共有部216は、暗号化通信に必要となる情報を制御装置30や通信装置20-2(送信先)と共有し、暗号化通信情報記憶部217に保存する。
【0042】
一例として、通信装置20-1(送信元)が固有の鍵(デバイス鍵)を保持し、制御装置30によって事前に生成されたグループ鍵の生成元となるデータをデバイス鍵で暗号化された通信パケットを、通信装置20-1(送信元)が受信し、暗号化通信に必要となる情報を取得する。
【0043】
グループ鍵共有部216のグループ鍵等を共有する方式としては、一例として、IEEE802.21(https://standards.ieee.org/standard/802_21-2017.html)のグループ操作コマンドを用いてもよい。IEEE802.21では、完全部分木(complete subtree)を用いて、グループ鍵等の共有に必要な通信量を削減している。
【0044】
暗号化通信情報記憶部217は、暗号化通信に必要となる情報を記憶する。暗号化通信情報記憶部217が記憶する暗号化通信に必要となる情報としては、例えば、グループ鍵と、送信先識別子と、送信先マルチキャストアドレスなどである。暗号化通信情報記憶部217は、例えば、HDDなどにより実現される。
【0045】
なお、暗号化通信情報記憶部217、解析ルール記憶部219および送信先識別子記憶部231を別々の記憶部として記載しているが1つの記憶部としてまとめて構成してもよい。
【0046】
次に通信装置20-2(送信先)の各機能部の概要の説明を行う。
【0047】
通信装置20-2(送信先)は、暗号化通信受信部221、平文通信生成部222、平文通信送信部223、グループ鍵共有部224および暗号化通信情報記憶部225を備える。
【0048】
暗号化通信受信部221は、通信装置20-1(送信元)から送信された暗号化された通信パケットを受信し、平文通信生成部222に出力する。
【0049】
平文通信生成部222は、暗号化された通信パケットを復号し、平文の状態の通信パケットを生成し、通信パケットを平文通信送信部223に出力する。
【0050】
平文通信送信部223は、通信パケットを機器10(送信先)に送信する。
【0051】
グループ鍵共有部224は、暗号化通信に必要となる情報を制御装置30や通信装置20-1(送信元)と共有し、暗号化通信情報記憶部225に保存する。
【0052】
暗号化通信情報記憶部225は、暗号化通信に必要となる情報を記憶する。暗号化通信情報記憶部225が記憶する暗号化通信に必要となる情報としては、例えば、グループ鍵と、送信先識別子と、送信先マルチキャストアドレスなどである。暗号化通信情報記憶部225は、例えば、HDDなどにより実現される。
【0053】
次に制御装置30の各機能部の概要の説明を行う。
【0054】
制御装置30は、通信装置20から転送された暗号化された通信パケットを復号し、復号した通信パケットを解析装置40に転送する。
【0055】
制御装置30は、暗号化通信受信部31、平文通信生成部32、平文通信解析依頼部33、解析結果通知部34、グループ鍵共有部35および暗号化通信情報記憶部36を備える。
【0056】
暗号化通信受信部31は、暗号化通信送信部215から送信された暗号化された通信パケットを受信し、平文通信生成部32に出力する。
【0057】
平文通信生成部32は、暗号化された通信パケットを復号し、平文の状態の通信パケットを生成し、通信パケットを平文通信解析依頼部33に出力する。
【0058】
平文通信解析依頼部33は、通信パケットを解析装置40の平文通信受信部41に送信する。
【0059】
解析結果通知部34は、解析装置40から通信パケットの解析結果を受信する。さらに、解析結果通知部34は、表示装置50に解析結果を出力する。
【0060】
ここで、表示装置50について説明を行う。
【0061】
表示装置50は、通信パケットの解析結果を表示することで、情報処理システム1の運用を行うオペレータに解析結果を通知する。
【0062】
グループ鍵共有部35は、暗号化通信に必要となる情報を通信装置20-1(送信元)や通信装置20-2(送信先)と共有し、暗号化通信情報記憶部36に保存する。
【0063】
暗号化通信情報記憶部36は、暗号化通信に必要となる情報を記憶する。暗号化通信に必要な情報は、例えば、グループ鍵、送信先識別子、送信先マルチキャストアドレスなどである。暗号化通信情報記憶部36は、例えば、HDDなどにより実現される。
【0064】
次に解析装置40の各機能部の概要の説明を行う。解析装置40は、制御装置30から復号された通信パケットを受信し、さらに解析することで、不正な通信の有無について判断する。
【0065】
ここで、不正な通信とは、例えば、機器10のポートの開放状態を検査する通信(ポートスキャン)、不正なソフトウエア(マルウエア)によって他の機器10や外部の不正サイトとの接続を試みる通信、異常に多い頻度での通信、などである。
【0066】
解析装置40は、平文通信受信部41、平文通信解析部42および解析結果送信部43を備える。
【0067】
平文通信受信部41は、制御装置30の平文通信解析依頼部33から平文の状態の通信パケットを受信する。
【0068】
平文通信解析部42は、平文の状態の通信パケットを解析し、不正な通信の有無を判断し、解析結果を解析結果送信部43に出力する。
【0069】
解析結果送信部43は、解析結果を制御装置30の解析結果通知部34に送信する。
【0070】
---第1の実施形態に係る情報処理システムの処理手順の説明---
次に、本実施形態に係る情報処理システム1の各装置の処理手順について説明する。通信装置20-1(送信元)、通信装置20-2(送信先)、制御装置30、解析装置40の順で説明を行う。
次に、本実施形態に係る情報処理システム1の各装置の処理手順について説明する。通信装置20-1(送信元)、通信装置20-2(送信先)、制御装置30、解析装置40の順で説明を行う。
【0071】
図3は、通信装置20-1(送信元)の処理手順の一例を示すフローチャートである。
【0072】
まず、平文通信受信部211は、機器10(送信元)から通信パケットを受信し、簡易通信解析部212に通信パケットを出力する(ステップS101)。平文通信受信部211が受信する通信パケットには、送信元IPアドレスや送信元ポート番号などといった送信元通信情報、送信先IPアドレスや送信先ポート番号などといった送信先通信情報、通信データの本体であるペイロードなどが含まれる。
【0073】
簡易通信解析部212は、解析ルール記憶部219が記憶する解析ルール情報を取得した後に通信パケットを解析する(ステップS102)。
【0074】
第1の実施形態では、解析ルール情報は、ホワイトリスト情報である。簡易通信解析部212は、通信パケットとホワイトリスト情報とに基づき、通信パケットの情報がホワイトリストに含まれるか否かの判断を行う(ステップS103)。
【0075】
一例として、通信パケットの送信先IPアドレスが解析ルール記憶部219から取得したホワイトリスト情報に含まれていない送信先IPアドレスである場合、簡易通信解析部212は、通信パケットがホワイトリスト情報に含まれていないと判断する。
【0076】
ステップS103において、簡易通信解析部212が通信パケットと、ホワイトリスト情報とに基づき、通信パケットがホワイトリストに含まれると判断した場合(ステップS103:Yes)、簡易通信解析部212は、通信パケットと判断結果「通信パケットがホワイトリストに含まれる(さらなる解析は不要)」を送信先決定部213に出力する。さらに送信先決定部213は、通信装置20-2(送信先)を送信先として決定する(ステップS104)。
【0077】
同じくステップS103において、通信パケットがホワイトリストに含まれないと判断した場合(ステップS103:No)、簡易通信解析部212は、通信パケットと判断結果「通信パケットがホワイトリストに含まれない(さらなる解析が必要)」を送信先決定部213に出力する。さらに送信先決定部213は、制御装置30と、通信装置20-2(送信先)を送信先として決定する(ステップS105)。
【0078】
送信先決定部213は、決定した送信先に対応する識別子(送信先識別子)を送信先識別子記憶部231に要求して送信先識別子を取得し、取得した送信先識別子と通信パケットを暗号化通信生成部214に出力する(ステップS106)。
【0079】
暗号化通信生成部214は、暗号化通信情報記憶部217が管理する暗号化鍵(グループ鍵)を取得する(ステップS107)。
【0080】
暗号化通信生成部214は、取得したグループ鍵を用いて通信パケットを暗号化する(ステップS108)。暗号化通信生成部が使用するグループ鍵は、送信先識別子に対応するものが用いられる。
【0081】
暗号化通信生成部214は、一例として、送信先識別子が制御装置30と通信装置20-2(送信先)を表す場合、通信装置20-1(送信元)と、制御装置30と、通信装置20-2(送信先)と、が共有するグループ鍵を用いる。
【0082】
暗号化通信生成部214によるグループ鍵を用いた通信パケットを暗号化する方式としては、一例として、IEEE802.21(https://standards.ieee.org/standard/802_21-2017.html)の通信パケットの保護方式を用いてもよい。IEEE802.21では、送信元識別子や送信先識別子を含む通信ヘッダの付与、AES-CCM方式を用いた暗号化、ECDSA-256方式を用いたデジタル署名の付与、シーケンス番号の付与によるリプレイ攻撃の防止、などが規格化されている。
【0083】
なお、暗号化された通信パケットには、送信元識別子や送信先識別子を含む通信ヘッダを付与してもよい。IEEE802.21の通信パケットの保護方式を用いた場合、AES-CCM方式を用いた認証付き暗号化方式を適用することで、付与した通信ヘッダの改ざんについても保護が行われる。
【0084】
暗号化通信送信部215は、暗号化された通信パケットに通信ヘッダを付与する(ステップS109)。一例として、暗号化通信送信部215は、送信先識別子に対応する送信先マルチキャストアドレスを選択する。なお、マルチキャストアドレスは、HDDなどの記憶装置に記憶されている。
【0085】
暗号化通信送信部215は、送信先識別子に対応する送信先に送信する(ステップS110)。一例として、暗号化通信送信部215は、送信先マルチキャストアドレスを含むヘッダを付与した、暗号化された通信パケットを通信路上に送出する。そして、通信装置20-1(送信元)は、処理を終了する。
【0086】
次に、通信装置20-2(送信先)の処理の説明を行う。図4は、通信装置20-2(送信先)の処理手順の一例を示すフローチャートである。
【0087】
暗号化通信受信部221は、通信装置20-1(送信元)から送信された暗号化された通信パケットを受信し、平文通信生成部222に出力する(ステップS201)。
【0088】
平文通信生成部222は、暗号化通信情報記憶部225が管理する暗号化鍵(グループ鍵)を取得する(ステップS202)。なお、本実施形態では、共通鍵暗号方式を使用して暗号化通信を行っているため、暗号化鍵は、復号鍵でもある。平文通信生成部222は、一例として、暗号化された通信パケットに付与された送信先識別子に基づき、暗号化通信情報記憶部225に記憶されているグループ鍵を取得する。
【0089】
平文通信生成部222は、取得したグループ鍵を用いて暗号化された通信パケットを復号することで平文の状態の通信パケットを生成し、通信パケットを平文通信送信部223に出力する(ステップS203)。
【0090】
なお、ステップS203において、平文通信生成部222が復号処理に失敗した場合、不正な鍵で暗号化されている可能性があるため、一例として、平文通信生成部222は、暗号化された通信パケットを破棄してもよい。
【0091】
平文通信送信部223は、通信パケットを機器10(送信先)に送信する(ステップS204)。そして、通信装置20-2(送信先)は、処理を終了する。
【0092】
次に、制御装置30の処理の説明を行う。図5は、制御装置30の処理手順の一例を示すフローチャートである。
【0093】
暗号化通信受信部31は、暗号化通信送信部215から送信された暗号化された通信パケットを受信し、平文通信生成部32に出力する(ステップS301)。
【0094】
平文通信生成部32は、暗号化通信情報記憶部36が記憶する暗号化鍵(グループ鍵)を取得する(ステップS302)。平文通信生成部32は、一例として、暗号化された通信パケットに付与された送信先識別子に基づき、暗号化通信情報記憶部36に記憶されているグループ鍵を取得する。
【0095】
平文通信生成部32は、取得したグループ鍵を用いて暗号化された通信パケットを復号することで平文の状態の通信パケットを生成し、通信パケットを平文通信解析依頼部33に出力する(ステップS303)。
【0096】
なお、ステップS303において、平文通信生成部32が復号処理に失敗した場合、不正な鍵で暗号化されている可能性があるため、一例として、平文通信生成部32は、暗号化された通信パケットを破棄してもよい。
【0097】
平文通信解析依頼部33は、平文の通信パケットを解析装置40に送信する(ステップS304)。なお、平文通信解析依頼部33は、さらに通信パケットの解析に使用する情報を解析装置40に送信してもよい。通信パケットの解析に使用する情報は、例えば、通信パケットを受信した時刻、通信装置20-1(送信元)が管理するホワイトリスト、以前に受信した他の通信パケット、などである。
【0098】
ステップS304の後に解析装置40による通信パケットの解析が行われる。解析装置40による通信パケットの解析が行われた後に、制御装置30は、再び処理を行う。解析結果通知部34は、解析装置40から通信パケットの解析結果を受信する(ステップS305)。解析結果通知部34は、表示装置50に解析結果を表示する(ステップS306)。
【0099】
オペレータは、表示装置50の表示を閲覧することで、解析結果を認識することができる。オペレータは、解析結果に応じて各種の設定を変更してもよい。
【0100】
一例としてオペレータが、図示しない機器10(送信元)の制御サーバの設定を変更し、機器10(送信元)からの不正な通信を遮断してもよい。また、オペレータが図示しない機器10(送信先)の制御サーバの設定を変更し、機器10(送信先)の不正な通信の受信を遮断してもよい。
【0101】
次に解析装置40の処理の説明を行う。図6は、解析装置40の処理手順の一例を示すフローチャートである。
【0102】
平文通信受信部41は、平文通信解析依頼部33から通信パケットを受信し、平文通信解析部42に出力する(ステップS401)。なお、平文通信解析依頼部33が、通信パケットの解析に使用する情報についても送信していた場合は、平文通信受信部41は、この情報も受信する。
【0103】
平文通信解析部42は、通信パケットを解析することで不正な通信であるか否かを判断し、解析結果を解析結果送信部43に出力する(ステップS402)。
【0104】
平文通信解析部42は、一例として、ペイロードに含まれるバイト文字列の中に、不正通信において特徴的であるバイト文字列が含まれているか否かを検査し、含まれていれば不正通信であると判断する。また、平文通信解析部42は、別の一例として、ペイロードに含まれる制御情報が、通常の通信で発生すると考えられる範囲内にあるか否かを検査し、範囲外であれば不正通信であると判断する。
【0105】
平文通信解析部42により不正通信の存在が確認された場合、平文通信解析部42は、さらに不正通信を破棄するための条件を与えるために必要となる情報を生成し、先述した解析結果に加えてこの情報についても解析結果送信部43に出力してもよい。
【0106】
不正通信を破棄するための条件を与えるために必要になる情報とは、例えば、送信元MACアドレス、送信元IPアドレス、送信元ポート番号、送信先MACアドレス、送信先IPアドレス、送信先ポート番号、送信元や送信先に関する情報(機器に付された識別子など)、ペイロードに含まれる特徴的なバイト文字列、通信頻度、などである。
【0107】
解析結果送信部43は、解析結果を解析結果通知部34に送信する(ステップS403)。
【0108】
なお、平文通信解析部42が不正通信を破棄するための条件についても出力していた場合は、解析結果送信部43は、この情報についても、解析結果通知部34に送信する。また、解析結果送信部43は、解析対象であった通信パケットとの関係が分かる情報についても解析結果通知部に送信してもよい。ここで、解析対象であった通信パケットとの関係が分かる情報とは、例えば、通信パケットの制御装置30における受信時刻、通信パケットのハッシュ値、などである。
【0109】
図7は、表示装置50の表示画面の一例を示す図である。例えば、機器10-1(送信元)から機器10-2(送信先)への通信に対し、解析装置40が不正であると判断し、制御装置30が表示装置50にこの結果を表示させた場合を考える。
【0110】
オペレータは、図7に示される表示装置50の表示を閲覧することで、機器10-1(送信元)から機器10-2(送信先)への通信が不正であることを認識することができる。
【0111】
---第1の実施形態の効果---
本実施形態の情報処理システム1の通信装置20-1(送信元)は、簡易通信解析部212の判断により、さらなる解析の必要がある通信パケットを、暗号化通信生成部214でグループ鍵を用いて暗号化し、暗号化通信送信部215で制御装置30と、本来の送信先である通信装置20-2(送信先)と、の2つの送信先に送信する。
本実施形態の情報処理システム1の通信装置20-1(送信元)は、簡易通信解析部212の判断により、さらなる解析の必要がある通信パケットを、暗号化通信生成部214でグループ鍵を用いて暗号化し、暗号化通信送信部215で制御装置30と、本来の送信先である通信装置20-2(送信先)と、の2つの送信先に送信する。
【0112】
制御装置30は、解析の必要性が高い通信パケットの解析を解析装置40に依頼し、解析装置40が通信パケットの解析を行う。
【0113】
通信装置20-2(送信先)は、通信装置20-1(送信元)が暗号化した通信パケットを受信して、さらに、暗号化された通信パケットをグループ鍵で復号し平文の状態の通信パケットを機器10-2(送信先)に送信する。そのため、機器10-1(送信元)から機器10-2(送信先)が通信パケットを受信するまでに暗号化処理が1回、復号処理が1回行われる。
【0114】
従来のシステムにおいては、送信元の機器に接続された通信装置が暗号化処理を行い、解析を行う外部の装置が復号処理を行ってから解析する。さらに、復号した通信パケットの解析後、送信元の通信装置もしくは解析を行う外部の装置が、本来の送信先の機器に接続された通信装置に対して通信を行うために再度通信パケットの暗号化処理を行う。その後、送信元の通信装置もしくは解析を行う外部の装置が本来の送信先の機器に接続された通信装置に通信パケットを送信し、本来の送信先の機器に接続された通信装置において通信パケットの復号処理が行われた後に本来の送信先の機器が通信パケットを受信する。このため、従来のシステムでは、複数の暗号化処理が2回、復号化処理が2回行われることによって通信遅延が生じていた。
【0115】
本実施形態の情報処理システム1では、通信装置20-2(送信先)は、解析装置40による解析のための制御装置30が行う復号処理と解析装置40による解析を待たずに通信装置20-1(送信元)から暗号化された通信パケットを取得することができる。
【0116】
このため、情報処理システム1では、本来の送信先である通信装置20(送信先)に対する暗号化通信を実現しながら、詳細な解析が必要な通信パケットについては、詳細な解析を行うことができる。
【0117】
すなわち、本実施形態の情報処理システム1は、解析装置40による通信パケットの詳細な解析を行いながら、機器10(送信元)から機器10(送信先)への通信においては、1回の暗号化処理と1回の復号処理の実行で済むため、暗号化処理2回、復号処理2回が必要であった従来の情報処理システムと比較して通信遅延を低減させることができる。
【0118】
したがって、本実施形態の通信装置20は、暗号化通信処理による通信遅延を低減した、通信パケット送信機能を実現することができる。
【0119】
また、解析装置40による不正な通信の有無の判断結果(通信パケットの解析結果)を制御装置30が受信して表示装置50に表示させることで、情報処理システム1を運用するオペレータに不正な通信の有無を通知することができる。
【0120】
不正な通信を認識したオペレータは、図示しない機器10(送信元)の制御サーバを操作することで、不正な通信の送信を遮断することができる。また、オペレータは、機器10(送信先)の制御サーバを操作することで、不正な通信の受信を遮断することができる。
【0121】
なお、本発明は第1の実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
【0122】
---(第1の実施形態の変形例)---
第1の実施形態において、通信装置20-2(送信先)の平文通信生成部222が通信パケットの復号に失敗した場合、その通信パケットを破棄するとする。
第1の実施形態において、通信装置20-2(送信先)の平文通信生成部222が通信パケットの復号に失敗した場合、その通信パケットを破棄するとする。
【0123】
機器10-1(送信元)から機器10-2(送信先)への通信において、不正な通信が発見された場合、オペレータの判断により、通信装置20(送信元)と、通信装置20(送信先)とで共有するグループ鍵を更新してもよい。これにより、通信装置20-1(送信元)から通信装置20-2(送信先)への通信パケットを通信装置20-2(送信先)の平文通信生成部222が復号できなくなる。したがって、平文通信生成部222は、通信パケットの復号に失敗した場合、通信を破棄するように設定されているため、通信装置20(送信元)から通信装置20(送信先)への通信を遮断することができる。
【0124】
これにより、通信装置20(送信先)に新たな機能を追加することなく、鍵更新処理を実行することにより、不正な通信を遮断することができる。
【0125】
(第2の実施形態)
---(第2の実施形態の概要と構成の説明)---
図8は、第2の実施形態に係る情報処理システム1Bの構成の一例を示す模式図である。第2の実施形態では、第1の実施形態と同様の構成要素には、第1の実施形態と同一の符号を付して詳細な説明を省略する。
---(第2の実施形態の概要と構成の説明)---
図8は、第2の実施形態に係る情報処理システム1Bの構成の一例を示す模式図である。第2の実施形態では、第1の実施形態と同様の構成要素には、第1の実施形態と同一の符号を付して詳細な説明を省略する。
【0126】
図8に示すように、第2の実施形態に係る情報処理システム1Bでは、第1の実施形態の制御装置30に代えて、制御装置301を備えることと、第1の実施形態の複数の通信装置20に代えて複数の通信装置21(通信装置21-1、通信装置21-2、通信装置21-3、通信装置21-4)を備えることが第1の実施形態と異なる。
【0127】
各通信装置21には、対応した機器10(機器10-1、機器10-2、機器10-3、機器10-4)が接続されている。
【0128】
以下では、説明のため、機器10-1(10)が送信元で、機器10-2(10)が送信先である場合を考える。この場合、通信装置21-1(21)が送信元の通信装置21となり、通信装置21-2(21)が送信先の通信装置となる。
【0129】
図9は、第2の実施形態に係る情報処理システム1Bの機能ブロック図である。
【0130】
通信装置21-1(送信元)は、第1の実施形態に係る通信装置20-1(送信元)の簡易通信解析部212に代えて簡易通信解析部212bを備えることと、簡易解析ルール記憶部219に代えて、解析ルール記憶部219bを備えることと、新たに解析ルール受信部218を備えることが第1の実施形態に係る通信装置20-1(送信元)とは異なる。
【0131】
解析ルール受信部218は、後述する制御装置301の設定部37から解析ルールを受信し、受信した解析ルールを解析ルール記憶部219bに出力する。このプロセスにより、解析ルール記憶部219bが記憶する解析ルールの更新が可能となる。
【0132】
解析ルール記憶部219bが記憶する解析ルールは、ホワイトリスト情報と、不正通信パケット情報と、を含む。その他の点については、解析ルール記憶部219と同様である。
【0133】
ここで、不正通信パケット情報とは、通信パケットの不正が疑われることを判断するための情報である。不正通信パケット情報は、例えば、以前に解析装置40により不正な通信と判断された通信パケットに含まれる情報である。例えば、以前に解析装置40により不正な通信と判断された通信パケットのペイロードに含まれるバイナリ列である。
【0134】
簡易通信解析部212bは、解析ルール記憶部219bから解析ルールを取得し、簡易通信解析対象の通信パケットに含まれる情報が、ホワイトリスト情報の一つに含まれるか否かを判断する。
【0135】
簡易通信解析部212bは、通信パケットに含まれる情報がホワイトリスト情報に含まれないと判断した場合、通信パケットを破棄する。
【0136】
通信パケットに含まれる情報が、ホワイトリスト情報の一つに含まれる場合、簡易通信解析部212bは、さらに通信パケットに含まれる情報が不正通信パケット情報に含まれる情報の一つであるか否かの判断を行う。
【0137】
通信パケットに含まれる情報が不正通信パケット情報に含まれる情報の一つである場合、簡易通信解析部212bは、通信パケットに含まれる情報は不正通信パケット情報に含まれると判断する。すなわち、通信パケットは不正である疑いがある。
【0138】
また、通信パケットに含まれる情報が不正通信パケット情報に含まれない場合、簡易通信解析部212bは、通信パケットに含まれる情報は、不正通信パケット情報に含まれないと判断する。すなわち、通信パケットは不正である疑いがない。
【0139】
簡易通信解析部212bは、通信パケットと判断結果を送信先決定部213に出力する。
【0140】
送信先決定部213は、判断結果「不正通信パケット情報に含まれる(不正である疑いがある)」を取得した場合、制御装置301と通信装置21-2(送信先)を通信パケットの送信先と決定し、対応する識別子を選択する。
【0141】
また、送信先決定部213は、判断結果「不正通信パケット情報に含まれない(不正である疑いがない)」を取得した場合、通信装置21-2(送信先)を通信パケットの送信先と決定し、対応する識別子を選択する。
【0142】
制御装置301は、新たに設定部37を備えることが第1の実施形態に係る制御装置30とは異なる。設定部37は、外部からのオペレータの入力により解析ルールの入力を受付け、さらに解析ルール受信部218に解析ルールを送信する。このプロセスにより、解析ルール記憶部219bが記憶する解析ルールを変更することができる。
【0143】
---第2の実施形態に係る情報処理システムの処理手順の説明---
次に、第2の実施形態に係る情報処理システムの処理手順の説明を行う。
図10は、第2の実施形態に係る通信装置21-1(送信元)が実行する処理の一例を示すフローチャートである。ステップS101乃至ステップS103とステップS106乃至ステップS110については、第1の実施形態と同様であるので、詳細な説明を省略する。
次に、第2の実施形態に係る情報処理システムの処理手順の説明を行う。
図10は、第2の実施形態に係る通信装置21-1(送信元)が実行する処理の一例を示すフローチャートである。ステップS101乃至ステップS103とステップS106乃至ステップS110については、第1の実施形態と同様であるので、詳細な説明を省略する。
【0144】
簡易通信解析部212bは、ステップS103において、対象の通信パケットに含まれる情報が、ホワイトリスト情報の一つに含まれるか否かを判断する。
【0145】
通信パケットに含まれる情報がホワイトリスト情報に含まれない場合(ステップS103:No)、簡易通信解析部212bは、通信パケットを破棄する(ステップS504)。そして処理を終了する。
【0146】
ステップS103において、通信パケットに含まれる情報が、ホワイトリスト情報の一つに含まれる場合、ステップS501に移行する。ステップS501では、通信パケットに含まれる情報が不正通信パケット情報に含まれる情報の一つであるか否かの判断を行う。
【0147】
通信パケットに含まれる情報が不正通信パケット情報の一つと一致する場合、簡易通信解析部212bは通信パケットに含まれる情報が不正通信パケット情報に含まれる(不正な通信パケットの疑いがある)と判断し、送信先決定部213に通信パケットと判断結果「不正通信パケット情報に含まれる(さらなる解析が必要)」を送信する。そして、ステップS502に移行する。
【0148】
ステップS502では、送信先決定部213が制御装置301と通信装置21-2(送信先)を送信先として決定する。
【0149】
ステップS501で、通信パケットに含まれる情報が不正通信パケット情報と一致しない場合、通信パケットに含まれる情報が不正通信パケット情報に含まれない(不正な通信パケットの疑いがない)と判断し、送信先決定部213に通信パケットと判断結果「不正通信パケット情報に含まれない(さらなる解析は不要)」を送信する。
【0150】
そして、ステップS503に移行する。ステップS503では、送信先決定部213が通信装置21-2(送信先)を送信先として決定する。
【0151】
ステップS106乃至ステップS110については、第1の実施形態に係る通信装置20-1と同様である。
【0152】
次に解析ルール記憶部219bが記憶する解析ルールの変更手順について説明する。
【0153】
図11は、オペレータによる解析ルール記憶部219bが記憶する解析ルールの変更手順を示すフローチャートである。
【0154】
オペレータは、解析ルールを設定部37に入力する(ステップS601)。解析ルールのうち、ホワイトリスト情報としては、不正な通信と判断された通信装置21-1(送信元)と通信装置21-2(送信先)のIPアドレスなどである。解析ルールのうち、不正通信パケット情報としては、不正な通信と判断した際の、解析対象の通信パケットのペイロードに含まれるバイナリ列などである。
【0155】
設定部37は、解析ルールを解析ルール受信部218に送信する(ステップS602)。
【0156】
通信装置21-1(送信元)の解析ルール受信部218は、設定部37から解析ルールを受信し、解析ルール記憶部219bに出力する(ステップS603)。
【0157】
解析ルール記憶部219bは、解析ルール受信部218から取得した解析ルールを記憶する(ステップS604)。そして、処理は終了となる。この処理により、解析ルール記憶部219bは、新たな解析ルールを記憶することになる。
【0158】
解析ルールの変更後、図10のステップS103の判断において、簡易通信解析部212bは、新たなホワイトリスト情報を用いる。例えば、以前通信装置21-2(送信先)への通信が不正であると解析装置40が判断していた場合、オペレータにより、通信装置21-2(送信先)のIPアドレスなどがホワイトリスト情報から削除されているとする。
【0159】
この場合、解析ルール変更後のステップS103において、通信パケットの送信先が通信装置21-2(送信先)であった場合に、通信装置21-2(送信先)がホワイトリストに含まれないため通信パケットが破棄される。これにより、不正な通信を遮断することができる。
【0160】
また、図10のステップS501における簡易通信解析部212bによる判断において、簡易通信解析部212bは、新たな不正通信パケット情報を用いるため、解析装置40で不正な通信と判断された通信パケットと同一のバイナリ列をペイロード中に含む通信パケットについては不正な通信パケットの疑いがあることになり、通信装置21-2(送信先)と制御装置301に送信される。
【0161】
したがって、通信パケットに不正の疑いがある場合、制御装置301に対しても通信パケットを送信することで通信パケットの詳細な解析を行うことができる。
【0162】
---第2の実施形態の効果---
第2の実施形態に係る通信装置21-1(送信元)は、オペレータの入力した解析ルールを、制御装置301を介して解析ルール記憶部219bに記憶する。簡易通信解析部212bは、通信パケットに含まれる情報がホワイトリスト情報に含まれない場合、通信を破棄する。このため、以前不正と判断された通信パケットの通信ヘッダ情報などをホワイトリスト情報から削除することで、不正な通信を遮断することができる。
第2の実施形態に係る通信装置21-1(送信元)は、オペレータの入力した解析ルールを、制御装置301を介して解析ルール記憶部219bに記憶する。簡易通信解析部212bは、通信パケットに含まれる情報がホワイトリスト情報に含まれない場合、通信を破棄する。このため、以前不正と判断された通信パケットの通信ヘッダ情報などをホワイトリスト情報から削除することで、不正な通信を遮断することができる。
【0163】
また、通信装置21-1(送信元)は、不正通信パケット情報を用いた簡易通信解析部212の判断により、不正な疑いのある通信パケットを、暗号化通信生成部214でグループ鍵を用いて暗号化し、暗号化通信送信部215で制御装置301と通信装置21-2(送信先)の2つの送信先に送信する。
【0164】
このため、通信装置21-2(送信先)は、第1の実施形態の通信装置20-2(送信先)と同様に、解析装置40による解析のための制御装置301が行う復号処理と解析装置40による解析を待たずに通信装置21-1(送信元)から暗号化された通信パケットを取得することができると共に制御装置301は、解析の必要性が高い通信パケットの解析を解析装置40に依頼することができる。
【0165】
したがって、本実施形態の通信装置21は、暗号化通信処理による通信遅延を低減した、通信パケット送信機能を実現することができる。
【0166】
---(第2の実施形態の変形例)---
第2の実施形態において、制御装置301は、通信装置21について、接続されている機器10の種類に応じて、予めグループ化しておく。例えば、機器10-1と機器10-3が共にPCである場合、機器10-1と機器10-3は、同種であるとして、機器10-1と機器10-3と接続されている通信装置21-1と通信装置21-3をグループ1としてグループ化しておく。
第2の実施形態において、制御装置301は、通信装置21について、接続されている機器10の種類に応じて、予めグループ化しておく。例えば、機器10-1と機器10-3が共にPCである場合、機器10-1と機器10-3は、同種であるとして、機器10-1と機器10-3と接続されている通信装置21-1と通信装置21-3をグループ1としてグループ化しておく。
【0167】
機器10-1(送信元)から機器10-2(送信先)への通信を考えた場合、機器10-1が例えば、マルウエアAに感染することで、機器10-1(送信元)から不正な通信が行われていると仮定する。この場合、機器10-3は、機器10-1と同種類のため、機器10-1が感染したマルウエアAに感染する可能性がある。
【0168】
オペレータは、機器10-1(送信元)から機器10-2(送信先)への通信において、不正な通信を表示装置50の表示により認識すると、通信装置21-1(送信元)のホワイトリストを変更するだけでなく、通信装置21-3のホワイトリストの設定についても変更しておく。これにより、機器10-1と同種類のためマルウエアAに感染する可能性がある機器10-3からの通信も予め遮断することができ、他の機器10へのマルウエア感染を防止することができる。
【0169】
(第3の実施形態)
図12は、第3の実施形態に係る情報処理システム1Cである。第3の実施形態では、第1の実施形態と同様の構成要素には、同一の符号を付して詳細な説明を省略する。
図12は、第3の実施形態に係る情報処理システム1Cである。第3の実施形態では、第1の実施形態と同様の構成要素には、同一の符号を付して詳細な説明を省略する。
【0170】
図12に示すように、情報処理システム1Cは、複数の通信装置22(通信装置22-1、通信装置22-2、通信装置22-3、通信装置22-4)、複数の制御装置30(制御装置30-1、制御装置30-2)、複数の解析装置40(解析装置40-1、解析装置40-2)および表示装置50を備える。
【0171】
各通信装置22には、対応した機器10(機器10-1、機器10-2、機器10-3、機器10-4)が接続されている。
【0172】
情報処理システム1Cは、第1の実施形態に係る情報処理システム1とは、通信装置22と、複数の制御装置30-1、30-2を備える点と、複数の解析装置40-1、40-2を備える点が異なる。制御装置30と解析装置40の組は、2つ以上であればよい。
【0173】
以下では、通信装置22-1(送信元)から通信装置22-2(送信先)への通信を考える。
【0174】
図13は、第3の実施形態に係る通信装置22-1(送信元)の機能ブロック図である。図13に示すように、通信装置22-1(送信元)は、通信装置20-1(送信元)とは、送信先決定部213に代えて213cを備えている点が異なる。
【0175】
送信先決定部213cは、通信パケットの解析が必要である場合に、複数の制御装置30-1、30-2の中からいずれか一方を送信先として決定する。
【0176】
一例として、通信装置22(送信元)の送信先決定部213cは、複数の制御装置30のそれぞれ(制御装置30-1、30-2)に異なる番号を振り、通信パケットの到着順に沿って、小さい番号のものから順に送信先と決定(ラウンドロビン方式)してもよい。
【0177】
また、別の一例として、送信先決定部213cは、複数の制御装置30-1、30-2に対して異なる番号を振り、通信パケットのハッシュ値の制御装置の台数での剰余値に基づき、制御装置30-1、30-2のいずれかに送信することを決定してもよい。
【0178】
通信パケットを受信した制御装置30-1、30-2のうち一方は、自装置に接続されている解析装置40-1、40-2のうち一方に通信パケットの解析(不正な通信の有無の判断)を依頼する。一例として、制御装置30-1が通信パケットを受信した場合、制御装置30-1が解析装置40-1に解析を依頼する。
【0179】
第3の実施形態の情報処理システム1Cによれば、複数の解析装置40-1、40-2に対し、分散させて処理を実行させることができる。制御装置30-1、30-2は、効率的に通信パケットの解析結果(不正な通信の有無の判断結果)を取得し、表示装置50を介してオペレータに解析結果を通知することができる。
【0180】
---(第3の実施形態の変形例)---
図14は、第3の実施形態の変形例に係る情報処理システム1Dの模式図である。情報処理システム1Dは、複数の制御装置30-1、30-2、複数の解析装置411、412、複数の通信装置23(通信装置23-1、通信装置23-2、通信装置23-3、通信装置23-4)、を備える。図14に示すように、制御装置30-1には、解析装置411が接続されており、制御装置30-2には、解析装置412が接続されている。
図14は、第3の実施形態の変形例に係る情報処理システム1Dの模式図である。情報処理システム1Dは、複数の制御装置30-1、30-2、複数の解析装置411、412、複数の通信装置23(通信装置23-1、通信装置23-2、通信装置23-3、通信装置23-4)、を備える。図14に示すように、制御装置30-1には、解析装置411が接続されており、制御装置30-2には、解析装置412が接続されている。
【0181】
解析装置411は、HTTP(HyperText Transfer Protocol)やDNS(Domain Name System)といった情報系のプロトコルの解析に適している。また、解析装置412は、Modbusといった制御系のプロトコルの解析に適している。
【0182】
解析装置411、412は、情報系のプロトコルの通信パケットに適しているか、制御系のプロトコルの通信パケットの解析に適しているかの違いがある。また、解析装置411、412の各機能部については、第1の実施形態で説明した解析装置40と同様であり、解析装置40の機能を備えている。
【0183】
図15は、第3の実施形態の変形例に係る通信装置23-1(送信元)の機能ブロック図である。図15に示すように、通信装置23-1(送信元)は、図2の簡易通信解析部212に代えて簡易通信解析部212dを備える点と図13の送信先決定部213cに代えて送信先決定部213dを備える点が通信装置22-1(送信元)と異なる。その他の機能については、通信装置22-1(送信元)と同様である。
【0184】
簡易通信解析部212dは、簡易通信解析部212cの機能に加え、通信パケットが使用している通信プロトコルの種別を解析し、通信パケットが情報系のプロトコルであるか制御系のプロトコルであるかを判定する。
【0185】
送信先決定部213dは、通信プロトコルの種別に応じて送信する制御装置30-1、30-2のいずれかに決定する。
【0186】
一例として、簡易通信解析部212dにて、通信パケットの送信先ポート番号を元に、解析装置411、解析装置412それぞれについて、事前に作成されたリスト(送信先ポート番号とプロトコルの種別の組のリスト)を用いて、通信パケットが解析装置411の解析に適している(情報系のプロトコルである)か、解析装置412の解析に適している(制御系のプロトコルである)か、を判定し、送信先決定部213cにて、情報系のプロトコルであれば、制御装置30-1を送信先として含め、制御系のプロトコルであれば、制御装置30-2を送信先として含める、という決定を行う。
【0187】
第3の実施形態の変形例の情報処理システム1Dは、第3の実施形態の情報処理システム1Cの効果に加え、情報系のプロトコルの解析に適した解析装置411と接続されている制御装置30-1または、制御系のプロトコルの解析に適した解析装置412と接続されている制御装置30-2のどちらか一方を送信先として決定する。
【0188】
すなわち、通信パケットが使用している通信プロトコルが情報系のプロトコルである場合、情報系のプロトコルの通信パケットの解析に長けている解析装置411が解析を行うことができる。また、同様に、通信パケットが使用している通信プロトコルが制御系のプロトコルである場合、制御系のプロトコルの通信パケットの解析に長けている解析装置412が解析を行うことができる。
【0189】
したがって、情報処理システム1Dは、第3の実施形態に係る情報処理システム1Cの効果に加え、通信パケットの使用している通信プロトコルごとに適した解析装置で通信パケットの解析を行うことができるため、高精度に通信パケットの解析を行うことができる。
【0190】
(第4の実施形態)
図16は、第4の実施形態に係る情報処理システム1Eの模式図である。第4の実施形態では、第1の実施形態と同様の構成要素には同一の符号を付して詳細な説明を省略する。
図16は、第4の実施形態に係る情報処理システム1Eの模式図である。第4の実施形態では、第1の実施形態と同様の構成要素には同一の符号を付して詳細な説明を省略する。
【0191】
図16に示すように、第4の実施形態に係る情報処理システム1Eは、複数の通信装置20(通信装置20-1、通信装置20-2、通信装置20-3、通信装置20-4)、制御装置305、複数の解析装置40(解析装置40-1、解析装置40-2)および表示装置50を備える。
【0192】
第4の実施形態では、制御装置305に対して、解析装置40-1(40)と解析装置40-2(40)の2つの解析装置40が接続されている。
【0193】
なお、図16では、解析装置40の個数は2つであるが、2つ以上であればよい。以下では、通信装置20-1(送信元)から通信装置20-2(送信先)への通信を考える。
【0194】
図17は、第4の実施形態に係る制御装置305の機能ブロック図である。図17に示すように、制御装置305は、第1の実施形態の制御装置30とは、平文通信解析依頼部33に代えて平文通信解析依頼部33eを備えている点が異なる。
【0195】
同一の解析処理を行う解析装置40が複数ある場合、平文通信解析依頼部33eは、通信パケットの送信対象である解析装置40を管理する。平文通信解析依頼部33eは、一例として、解析装置40-1と解析装置40-2とに異なる番号を振り、通信パケットの到着順に沿って、小さい番号のものから順に送信(ラウンドロビン方式)してもよい。
【0196】
また、別の一例として、平文通信解析依頼部33eは、解析装置40-1と解析装置40-2とに異なる番号を振り、通信パケットのハッシュ値の解析装置40の台数(この例の場合2)での剰余値を元に、送信する解析装置40を決定してもよい。
【0197】
第4の実施形態に係る情報処理システム1Eは、第3の実施形態に係る情報処理システム1Cと同様に、複数の解析装置40に対し、分散させて解析処理を実行させることで、制御装置301は、効率的に通信パケットの解析結果(不正な通信の有無の判断結果)を取得することができる。
【0198】
また、第3の実施形態では、複数の制御装置30が必要であったが、第4の実施形態では、少なくとも一台の制御装置305を備えていれば、解析装置40の解析処理の分散を行うことができる。
【0199】
---(ハードウエア構成の説明)---
図18は、第1の実施形態における通信装置20制御装置30および解析装置40のハードウエア構成の一例を示す図である。なお、第2~第4の実施形態における通信装置、制御装置、解析装置についても同様の構成であり、詳細な説明を省略する。
図18は、第1の実施形態における通信装置20制御装置30および解析装置40のハードウエア構成の一例を示す図である。なお、第2~第4の実施形態における通信装置、制御装置、解析装置についても同様の構成であり、詳細な説明を省略する。
【0200】
図18に示すように、通信装置20、制御装置30、解析装置40のそれぞれは、CPU(Central Processing Unit)71と、ROM(Read Only Memory)72や、RAM(Random Access Memory)73や、HDD(Hard Disk Drive)75などの記憶装置と、各種機器との通信を行う通信I/F部74と、各部を接続するバス79と、を備えており通常のコンピュータを利用したハードウエア構成となっている。
【0201】
上記実施形態および変形例の通信装置20、制御装置30、解析装置40は、CPU71がROM72からプログラムをRAM73上に読みだして実行することにより、上述した各機能がコンピュータ上で実現される。
【0202】
なお、上記各処理を実行するためのプログラムは、HDD75に記憶されてもよい。また、上記各処理を実行するためのプログラムは、ROM72に予め組み込まれていてもよい。また、上記各処理を実行するためのプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM(Compact Disk Read Only Memory)、CD-R(Compact Disk Recordable)、メモリーカード、DVD(Digital Versatile Disk)、フレキシブルディスクなどのコンピュータで読み取り可能な記憶媒体に記憶されてコンピュータプログラムプロダクトとして提供されるようにしてもよい。
【0203】
また、上記各処理を実行するためのプログラムをインターネットなどのネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードすることにより提供するようにしてもよい。また、上記各処理を実行するためのプログラムをインターネットなどのネットワーク経由で提供または配布するようにしてもよい。
【0204】
なお、第2の実施形態に係る制御装置301は、上記のハードウエア構成に加え、オペレータから解析ルールの入力を受けつけるための、キーボードやマウスなどの入力部や、入力画面を表示するためのディスプレイなどの表示部を備えていてもよい。
【0205】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0206】
1・・・第1の実施形態に係る情報処理システム
1B・・・第2の実施形態に係る情報処理システム
1C・・・第3の実施形態に係る情報処理システム
1D・・・第3の実施形態の変形例に係る情報処理システム
1E・・・第4の実施形態に係る情報処理システム
10・・・機器
20・・・第1の実施形態に係る通信装置
21・・・第2の実施形態に係る通信装置
22・・・第3の実施形態に係る通信装置
23・・・第3の実施形態の変形例に係る通信装置
30・・・第1の実施形態に係る制御装置
31・・・暗号化通信受信部
32・・・平文通信生成部
33・・・第1の実施形態に係る平文通信解析依頼部
33e・・・第4の実施形態に係る平文通信解析依頼部
34・・・解析結果通知部
35・・・グループ鍵共有部
36・・・暗号化通信情報記憶部
37・・・設定部
40・・・解析装置
41・・・平文通信受信部
42・・・平文通信解析部
43・・・解析結果送信部
50・・・表示装置
71・・・CPU
72・・・ROM
73・・・RAM
74・・・通信I/F部
75・・・HDD
79・・・バス
211・・・平文通信受信部
212・・・簡易通信解析部
212b・・・第2の実施形態に係る簡易通信解析部
212d・・・第3の実施形態の変形例に係る簡易通信解析部
213・・・送信先決定部
213c・・・第3の実施形態に係る送信先決定部
213d・・・第3の実施形態の変形例に係る送信先決定部
214・・・暗号化通信生成部
215・・・暗号化通信送信部
216・・・グループ鍵共有部
217・・・暗号化通信情報記憶部
218・・・解析ルール受信部
219・・・解析ルール記憶部
219b・・・第2の実施形態に係る解析ルール記憶部
221・・・暗号化通信受信部
222・・・平文通信生成部
223・・・平文通信送信部
224・・・グループ鍵共有部
225・・・暗号化通信情報記憶部
231・・・送信先識別子記憶部
301・・・第2の実施形態に係る制御装置
305・・・第4の実施形態に係る制御装置
411・・・第3の実施形態の変形例に係る解析装置
412・・・第3の実施形態の変形例に係る解析装置
1B・・・第2の実施形態に係る情報処理システム
1C・・・第3の実施形態に係る情報処理システム
1D・・・第3の実施形態の変形例に係る情報処理システム
1E・・・第4の実施形態に係る情報処理システム
10・・・機器
20・・・第1の実施形態に係る通信装置
21・・・第2の実施形態に係る通信装置
22・・・第3の実施形態に係る通信装置
23・・・第3の実施形態の変形例に係る通信装置
30・・・第1の実施形態に係る制御装置
31・・・暗号化通信受信部
32・・・平文通信生成部
33・・・第1の実施形態に係る平文通信解析依頼部
33e・・・第4の実施形態に係る平文通信解析依頼部
34・・・解析結果通知部
35・・・グループ鍵共有部
36・・・暗号化通信情報記憶部
37・・・設定部
40・・・解析装置
41・・・平文通信受信部
42・・・平文通信解析部
43・・・解析結果送信部
50・・・表示装置
71・・・CPU
72・・・ROM
73・・・RAM
74・・・通信I/F部
75・・・HDD
79・・・バス
211・・・平文通信受信部
212・・・簡易通信解析部
212b・・・第2の実施形態に係る簡易通信解析部
212d・・・第3の実施形態の変形例に係る簡易通信解析部
213・・・送信先決定部
213c・・・第3の実施形態に係る送信先決定部
213d・・・第3の実施形態の変形例に係る送信先決定部
214・・・暗号化通信生成部
215・・・暗号化通信送信部
216・・・グループ鍵共有部
217・・・暗号化通信情報記憶部
218・・・解析ルール受信部
219・・・解析ルール記憶部
219b・・・第2の実施形態に係る解析ルール記憶部
221・・・暗号化通信受信部
222・・・平文通信生成部
223・・・平文通信送信部
224・・・グループ鍵共有部
225・・・暗号化通信情報記憶部
231・・・送信先識別子記憶部
301・・・第2の実施形態に係る制御装置
305・・・第4の実施形態に係る制御装置
411・・・第3の実施形態の変形例に係る解析装置
412・・・第3の実施形態の変形例に係る解析装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】