特許7364855不正デバイス隔離装置、不正デバイス隔離システム、不正デバイス隔離プログラム、および不正デバイス隔離方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-10-11
(45)【発行日】2023-10-19
(54)【発明の名称】不正デバイス隔離装置、不正デバイス隔離システム、不正デバイス隔離プログラム、および不正デバイス隔離方法
(51)【国際特許分類】
H04L 12/66 20060101AFI20231012BHJP
G06F 21/56 20130101ALI20231012BHJP
H04L 12/22 20060101ALI20231012BHJP
H04L 12/46 20060101ALI20231012BHJP
H04L 41/0895 20220101ALI20231012BHJP
【FI】
H04L12/66
G06F21/56
H04L12/22
H04L12/46 E
H04L41/0895
【請求項の数】
8
(21)【出願番号】P 2019098006
(22)【出願日】2019-05-24
(65)【公開番号】P2020195010
(43)【公開日】2020-12-03
【審査請求日】2022-02-08
(73)【特許権者】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100087480
【弁理士】
【氏名又は名称】片山 修平
(72)【発明者】
【氏名】大谷 武
(72)【発明者】
【氏名】松倉 隆一
(72)【発明者】
【氏名】角田 潤
【審査官】鈴木 香苗
(56)【参考文献】
【文献】特開2006-165877(JP,A)
【文献】国際公開第2012/127634(WO,A1)
【文献】特開2012-114856(JP,A)
【文献】特開2007-104351(JP,A)
【文献】特表2009-519663(JP,A)
【文献】特開2005-250761(JP,A)
【文献】特開2013-070308(JP,A)
【文献】長谷川 皓一 ほか,標的型攻撃に対するインシデント対応支援システム A Countermeasure Support System against Incidents caused by Targeted Attacks,情報処理学会 論文誌(ジャーナル) Vol.57 No.3 [online] ,日本,情報処理学会,2016年03月15日,pp.836-848
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
G06F 21/56
H04L 12/22
H04L 12/46
H04L 41/0895
(57)【特許請求の範囲】
【請求項1】
複数のデバイスそれぞれと通信を行うネットワーク機器によって構成される通信ネットワークにおいて、複数のスライスのそれぞれが、複数の前記デバイスのうちの少なくとも1つを含むように、前記複数のスライスを設定する設定部と、
前記ネットワーク機器から収集した前記複数のスライスそれぞれの運用情報に基づいて、前記複数のスライスそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する第1の処理を実行する判定部と、
前記リスク度合いが前記閾値以上となった第1のスライスを、複数の第2のスライスに分離する第2の処理を実行する分離部と、を備える制御部を有し、
前記分離部は、前記複数の第2のスライスそれぞれに、前記第1のスライスに含まれている複数の第1のデバイスのうちの少なくとも1つが含まれるように分離し、
前記制御部は、前記分離部によって生成されたスライスに対して前記第1の処理と前記第2の処理を、前記リスク度合いが前記閾値未満になるまで繰り返し実行することを特徴とする不正デバイス隔離装置。
【請求項2】
前記リスク度合いが前記閾値未満となっている複数のスライスを1つのスライスに統合する統合部を備えることを特徴とする請求項1記載の不正デバイス隔離装置。
【請求項3】
前記分離部は、前記ネットワーク機器の仮想ネットワーク生成の制限に応じて分離することを特徴とする請求項1または2に記載の不正デバイス隔離装置。
【請求項4】
前記分離部によって生成される前記スライスの個数は、前記ネットワーク機器の仮想ネットワーク最大生成数以下の値であることを特徴とする請求項1~3のいずれか一項に記載の不正デバイス隔離装置。
【請求項5】
前記ネットワーク機器から前記通信ネットワークのトポロジ情報を収集することで、前記通信ネットワークのトポロジ情報を更新するトポロジ更新部を備え、前記トポロジ更新部によって更新された前記トポロジ情報に応じて、前記通信ネットワークのスライスを更新する更新部を備えることを特徴とする請求項1~4のいずれか一項に記載の不正デバイス隔離装置。
【請求項6】
複数のデバイスと、不正デバイス隔離装置と、
前記不正デバイス隔離装置と前記複数のデバイスそれぞれと通信を行う1以上のネットワーク機器と、を備え、
前記不正デバイス隔離装置は、複数のデバイスとネットワーク機器とによって構成される通信ネットワークにおいて、
複数のスライスのそれぞれが、複数の前記デバイスのうちの少なくとも1つを含むように、前記複数のスライスを設定する設定部と、
前記ネットワーク機器から収集した前記複数のスライスそれぞれの運用情報に基づいて、前記複数のスライスそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する第1の処理を実行する判定部と、
前記リスク度合いが前記閾値以上となった第1のスライスを複数の第2のスライスに分離する第2の処理を実行する分離部と、を備える制御部を有し、
前記分離部は、前記複数の第2のスライスそれぞれに、前記第1のスライスに含まれている複数の第1のデバイスのうちの少なくとも1つが含まれるように分離し、
前記制御部は、前記分離部によって生成されたスライスに対して前記第1の処理と前記第2の処理を、前記リスク度合いが前記閾値未満になるまで繰り返し実行することを特徴とする不正デバイス隔離システム。
【請求項7】
複数のデバイスそれぞれと通信を行うネットワーク機器によって構成される通信ネットワークにおいて、複数のスライスのそれぞれが、複数の前記デバイスのうちの少なくとも1つを含むように、前記複数のスライスを設定し、
前記ネットワーク機器から収集した前記複数のスライスそれぞれの運用情報に基づいて、前記複数のスライスそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する第1の処理を実行し、
前記リスク度合いが前記閾値以上となった第1のスライスを、複数の第2のスライスに分離する第2の処理を実行し、
前記複数の第2のスライスそれぞれに、前記第1のスライスに含まれている複数の第1のデバイスのうちの少なくとも1つが含まれるように分離し、
生成されたスライスに対して前記第1の処理と前記第2の処理を、前記リスク度合いが前記閾値未満になるまで繰り返し実行する
ことをコンピュータに実行させることを特徴とする不正デバイス隔離プログラム。
【請求項8】
複数のデバイスそれぞれと通信を行うネットワーク機器によって構成される通信ネットワークにおいて、複数のスライスのそれぞれが、複数の前記デバイスのうちの少なくとも1つを含むように、前記複数のスライスを設定し、
前記ネットワーク機器から収集した前記複数のスライスそれぞれの運用情報に基づいて、前記複数のスライスそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する第1の処理を実行し、
前記リスク度合いが前記閾値以上となった第1のスライスを、複数の第2のスライスに分離する第2の処理を実行し、
前記複数の第2のスライスそれぞれに、前記第1のスライスに含まれている複数の第1のデバイスのうちの少なくとも1つが含まれるように分離し、
生成されたスライスに対して前記第1の処理と前記第2の処理を、前記リスク度合いが前記閾値未満になるまで繰り返し実行する
ことをコンピュータが実行することを特徴とする不正デバイス隔離方法。
【発明の詳細な説明】
【技術分野】
【0001】
本件は、不正デバイス隔離装置、不正デバイス隔離システム、不正デバイス隔離プログラム、および不正デバイス隔離方法に関する。
【背景技術】
【0002】
種々の業界にIoTの導入が進められている。例えば、工場などの製造業にもIoTの導入が進められている。IoTが導入された工場がサイバー攻撃を受けた場合に、生産ラインの停止などの膨大な被害が発生するおそれがある。そこで、セキュリティを強化することが望まれている。例えば、デバイスをVLANで隔離することで不正アクセスを抑制する技術が開示されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2005-250761号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記技術では、マルウェアに感染したデバイスと同じVLANに収容されている他のデバイスも当該マルウェアに感染するおそれがある。
【0005】
1つの側面では、本発明は、デバイスがマルウェアに感染した場合の被害を低減することができる不正デバイス隔離装置、不正デバイス隔離システム、不正デバイス隔離プログラム、および不正デバイス隔離方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
1つの態様では、不正デバイス隔離装置は、複数のデバイスそれぞれと通信を行うネットワーク機器によって構成される通信ネットワークにおいて、複数のスライスのそれぞれが、複数の前記デバイスのうちの少なくとも1つを含むように、前記複数のスライスを設定する設定部と、前記ネットワーク機器から収集した前記複数のスライスそれぞれの運用情報に基づいて、前記複数のスライスそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する第1の処理を実行する判定部と、前記リスク度合いが前記閾値以上となった第1のスライスを、複数の第2のスライスに分離する第2の処理を実行する分離部と、を備える制御部を有し、前記分離部は、前記複数の第2のスライスそれぞれに、前記第1のスライスに含まれている複数の第1のデバイスのうちの少なくとも1つが含まれるように分離し、前記制御部は、前記分離部によって生成されたスライスに対して前記第1の処理と前記第2の処理を、前記リスク度合いが前記閾値未満になるまで繰り返し実行する。
【発明の効果】
【0007】
デバイスがマルウェアに感染した場合の被害を低減することができる。
【図面の簡単な説明】
【0008】
【図1】OTエリアを例示する図である。
【図2】(a)および(b)はマルウェア感染対策を例示する図である。
【図3】マルウェア感染対策を例示する図である。
【図4】(a)~(c)は実施例の概要を説明するための図である。
【図5】不正デバイス隔離システムの全体構成を例示する機能ブロック図である。
【図6】機器プロファイル管理テーブルを例示する図である。
【図7】ゲートウェイのハードウェア構成を例示するブロック図である。
【図8】ゲートウェイが実行する処理を表すフローチャート例示する図である。
【図9】スライス構成の制御を例示する図である。
【図10】感染予兆検知時のスライス分離を例示する図である。
【発明を実施するための形態】
【0009】
実施例の説明に先立って、OT(Operation Technology)エリアの概要について説明する。ゲートウェイは、OTエリアにおいて、通信ネットワークによって各デバイスと通信可能となっている。ゲートウェイは、OTエリアの各デバイスからデータを収集する。例えば、各デバイスは、ネットワーク機器を介して有線または無線でゲートウェイにデータを送信する。
【0010】
図1は、OTエリアを例示する図である。図1で例示するように、ゲートウェイGWは、複数のネットワーク機器20a,20bと有線LAN(Local Area Network)で通信する。ネットワーク機器20a,20bは、例えばスイッチングハブなどである。ネットワーク機器20aは、ネットワーク機器20cおよびネットワーク機器20dと有線LANで通信する。ネットワーク機器20c,20dは、例えば、BLE(Bluetooth(登録商標) Low Energy)中継器、Wi-Fiアクセスポイントなどである。ネットワーク機器20cは、デバイス10aと無線で通信するとともに、デバイス10bと無線で通信する。ネットワーク機器20dは、デバイス10cと無線で通信する。ネットワーク機器20bは、ネットワーク機器20eと有線LANで通信する。ネットワーク機器20eは、例えば、BLE中継器、Wi-Fiアクセスポイントなどである。ネットワーク機器20eは、デバイス10dと無線で通信するとともに、デバイス10eと無線で通信する。また、ゲートウェイGWがBLEやWi-Fi通信機能を持ち、デバイスが直接ゲートウェイと通信する場合もある。
【0011】
ゲートウェイGWは、スイッチングハブなどを介して、インターネットを経由してクラウド上のプラットフォームに各デバイスのデータを送信する。プラットフォームは、アプリケーションからの要求に応じて、各デバイスから収集したデータを分析し、現場で起きた障害やその原因を特定することで、OTエリアの運用管理を効率化する。
【0012】
このようなOTエリア運用管理は、工場の生産効率の向上や予知保全の目的のために、製造業にも導入されつつある。しかしながら、工場がインターネット等に繋がると、工場に対するサイバー攻撃も増加し、生産ライン停止や生産機械が破壊され膨大な被害が発生するおそれがある。そのため、セキュリティが強く要望されている。
【0013】
しかしながら、工場の生産機械の制御装置や、現場に設置された環境センサなどのデバイスには制約があり、マルウェアの攻撃を防げないおそれがある。例えば、CPUやメモリに制約があり、ソフトウェアをインストールできない等の制限があり、ウィルス対策ソフトを導入することが困難な場合がある。また、デバイスや生産設備のライフサイクルが長く、継続的にパッチが提供されなかったり、パッチが提供されても、生産ラインへの影響からデバイスの停止・再起動が許されずパッチが適用できなかったりするおそれがある。また、デバイス数が膨大であると、管理もれ・管理ミスが生じるおそれがある。そこで、デバイス自体の置換え・改造なしでセキュアな運用を実現することが望まれている。
【0014】
例えば、図2(a)で例示するように、デバイスが通信ネットワークで繋がるOTエリアをゲートウェイで分離し、ゲートウェイでOTエリア外部(ITエリア)からの不正アクセスをブロックし安全なリクエストのみをデバイスに転送することが考えられる。しかしながら、この手法では、機械のメンテナンス用にUSBメモリや端末がOTエリア内に持込まれた場合に、デバイスがマルウェア感染する可能性がある。
【0015】
そこで、図2(b)で例示するように、OTエリア内のネットワーク機器で、デバイスによるゲートウェイ以外との通信という不正通信を監視し、不正通信が検知されるとそのデバイスの通信を遮断することが考えられる。例えば、ネットワーク機器がスイッチングハブの場合、不正デバイスが接続するポートをクローズすることが考えられる。または、ネットワーク機器がWi-Fiのアクセスポイントである場合には、SSIDの無効化や無線インタフェースを停止することが考えられる。しかしながら、この手法では、デバイスが攻撃し始めてから通信遮断することになるため、遮断が間に合わず、他のデバイスが感染する可能性がある。
【0016】
そこで、図3で例示するように、あらかじめデバイス1台ずつを異なるスライスに収容しておくことで、デバイス間の通信を遮断しておくことが考えられる。スライスとは、VLAN(Virtual Local Area Network)、SSID(Servive Set Identifier)などによるコネクション分離の組み合わせによる仮想ネットワークのことである。この手法では、いずれかのデバイスがマルウェアに感染しても、他のデバイスは異なるスライスに収容されているため攻撃を受けなくなる。しかしながら、ネットワーク機器によっては、VLANの数に上限があり、デバイスを1台ずつ分離できない場合がある。特に、Wi-Fiデバイスは、1台ずつ分離しようとするとSSIDを分ける必要があるが、SSIDを増やすとスループットが低下する。
【0017】
そこで、以下の実施例では、デバイスがマルウェアに感染した場合の被害を低減することができる不正デバイス隔離装置および不正デバイス隔離システムについて説明する。
【実施例1】
【0018】
図4(a)~図4(c)は、実施例の概要を説明するための図である。本実施例においては、スライス内の感染リスク度合いと、スライスを構成するネットワーク機器の仮想ネットワーク生成の制限とに応じて、スライスを動的に分離または統合する。具体的には、図4(a)で例示するように、複数のスライス1,2を生成し、各スライスに1以上のデバイスを収容する。これにより、異なるスライス間では、マルウェアの攻撃を抑制することができる。
【0019】
次に、図4(b)で例示するように、VLAN(有線ネットワークのスライス構成要素)単位のトラフィック量、発生エラーの変化などを監視し、その分析によりスライスごとの感染リスク度合いを推定する。図4(b)の例では、検査機と監視センサを含むスライス1の感染リスク度合いが高くなっているものと推定されるものとする。
【0020】
この場合において、図4(c)で例示するように、感染リスク度合いが閾値以上のスライス内のデバイスのいくつかを、新たに生成した複数のスライスに振り分ける。新しいスライスに振り分けるデバイスの選択方法は任意で、ランダムに選択しても良いし、デバイスの信頼性が低く感染リスクが高いと考えられるものを優先的に選択しても構わない。これにより感染リスク度合いが高いスライス内のデバイス数は減少するのでマルウェアの攻撃開始時の影響を低減することができる。その後、感染リスク評価とスライス分離を繰り返すと、最終的に感染リスクの高いデバイスのみを含むスライスが構成される。このように、マルウェアに感染したデバイスが特定できたら、特定されたデバイスの通信を遮断する。通信遮断方法は前述のようにスイッチングハブのポートクローズやWi-FiのアクセスポイントのSSIDの無効化や無線インタフェースの無効化などである。スライス分離の繰り返しによって、仮想ネットワーク数の閾値を超えるまたは超えそうなネットワーク機器が発見されれば、感染リスク度合いが閾値以下の安全な複数のスライスを1つのスライスに統合することで、当該ネットワーク機器の仮想ネットワーク数を低減する。
【0021】
以下、本実施例の詳細について説明する。図5は、不正デバイス隔離システム100の全体構成を例示する機能ブロック図である。図5で例示するように、不正デバイス隔離システム100は、OTエリアに配置された複数のデバイス10、複数のネットワーク機器20、ゲートウェイ30などを備える。各デバイス10は、Ethernet、Wi-Fi、BLEなどのネットワークを介して、いずれかのネットワーク機器20と通信可能となっている。各ネットワーク機器20は、Ethernet、Wi-Fi、BLEなどのネットワークを介して、ゲートウェイ30と通信可能となっている。各デバイス10からゲートウェイ30に至る経路において、複数のネットワーク機器20が介在してもよい。ゲートウェイ30は、LAN、インターネットなどを介して外部のアプリケーションと通信可能となっている。
【0022】
ゲートウェイ30は、運用情報収集部31、感染リスク判定部32、スライス管理部33、トポロジ管理部34、機器プロファイル管理部35、NW機器制御部36、仮想NWIF管理部37、仮想NWIF38、パケット中継部39などとして機能する。
【0023】
運用情報収集部31は、SNMP(Simple Network Management Protocol)等のプロトコルで,各ネットワーク機器20からトラフィック量等の運用情報を収集する。感染リスク判定部32は、収集したスライス単位のトラフィック情報等を、機械学習やIDS(ネットワーク侵入検知システム)などの手段などを用いてマルウェア感染の予兆を判定する。スライス管理部33は、現状のスライス構成を管理し、ネットワーク機器の仮想ネットワークに関する制限、トポロジとスライス毎のマルウェア感染リスクからスライスの構成を決定し構築する。トポロジ管理部34は、ネットワーク全体のトポロジ情報を格納している。
【0024】
機器プロファイル管理部35は、ネットワーク機器の種別、仮想ネットワークに関する制限、制御用インタフェース等のプロファイル情報を管理する。例えば、機器プロファイル管理部35は、図6で例示するようなテーブルを格納している。図6のテーブルでは、ネットワーク機器のIDに関連付けて、ネットワーク機器の種別、仮想ネットワーク数の閾値(仮想ネットワークの最大数以下の値)、制御用インタフェースが格納されている。制御用インタフェースは、ネットワーク機器を制御する際に使用するインタフェースを特定する情報で、トランスポートプロトコルとコマンドを表す。例えば、ネットワーク機器IDが「001」の機器は種別がスイッチングハブ、仮想ネットワークの上限は60、制御はSNMPでA社独自のVLAN用のMIB(Management Information Base)で行うことを表している。
【0025】
NW機器制御部36は、上述の制御用インタフェースの情報を利用し、ネットワーク機器に対してSNMP等のプロトコルで仮想ネットワークの生成または解除を指示する。仮想NWIF管理部37は、ゲートウェイの仮想ネットワークとのインタフェースの生成または解除を行う。仮想NWIF38は、ゲートウェイ側のスライスの出入り口である仮想ネットワークのインタフェースである。パケット中継部39は、アプリケーションからのパケットを、デバイスが所属するスライスを経由して転送し、逆にネットワークデバイスからのパケットをアプリケーションに転送する。
【0026】
図7は、スライス構成の制御を例示する図である。図7で例示するように、スライス管理部33は、複数のスライスを生成する。例えば、スライス管理部33は、トポロジ管理部34からOTエリアの通信ネットワーク全体のトポロジ情報を取得する。次に、スライス管理部33は、各デバイス10を複数のスライスに振り分ける。例えば、スライス管理部33は、図1の例において、デバイス10a~10cをスライス1に振り分け、デバイス10d,10eをスライス2に振り分けるものとする。
【0027】
スライス管理部33は、スライス1にネットワーク機器20a,20c,20dを含め、スライス2にネットワーク機器20b,20eを含める。この場合において、NW機器制御部36は、各ネットワーク機器に対してSNMP等のプロトコルで仮想ネットワークの生成を指示する。具体的には、NW機器制御部36は、スイッチングハブのVLAN設定、BLE中継器のVLAN設定やWi-FiアクセスポイントのVLANおよびSSID設定などを行うことによって、各ネットワーク機器を各スライスに収容する。仮想NWIF管理部37は、ゲートウェイ30の、各スライスとのインタフェースを生成する。
【0028】
図8は、ゲートウェイ30のハードウェア構成を例示するブロック図である。図8で例示するようにゲートウェイ30は、CPU101、RAM102、記憶装置103、表示装置104、操作装置105、通信インタフェース106、複数の通信インタフェース107などを備える。
【0029】
CPU(Central Processing Unit)101は、中央演算処理装置である。CPU101は、1以上のコアを含む。RAM(Random Access Memory)102は、CPU101が実行するプログラム、CPU101が処理するデータなどを一時的に記憶する揮発性メモリである。
【0030】
記憶装置103は、不揮発性記憶装置である。記憶装置103として、例えば、ROM(Read Only Memory)、フラッシュメモリなどのソリッド・ステート・ドライブ(SSD)、ハードディスクドライブに駆動されるハードディスクなどを用いることができる。記憶装置103は、制御プログラムやプロファイル情報などを記憶している。
【0031】
表示装置104は、液晶ディスプレイ、エレクトロルミネッセンスパネルなどであり、処理結果などを表示する。操作装置105は、ユーザがゲートウェイ30を操作するための装置である。通信インタフェース106は、ゲートウェイ30がアプリケーションなどと通信するための通信インタフェースである。複数の通信インタフェース107は、ゲートウェイ30が各ネットワーク機器と通信するための通信インタフェースである。
【0032】
図9は、各デバイスが複数のスライスに振り分けられている状態で、ゲートウェイ30が実行する処理を表すフローチャート例示する図である。以下、図9を参照しつつ、ゲートウェイ30の動作の詳細について説明する。まず、運用情報収集部31は、SNMP等のプロトコルで、各ネットワーク機器20からトラフィック量等の運用情報を収集する(ステップS1)。
【0033】
次に、感染リスク判定部32は、運用情報収集部31が収集した運用情報を用いて、スライス単位でマルウェアの感染リスクを分析する(ステップS2)。例えば、感染リスク判定部32は、収集したスライス単位のトラフィック情報等に基づいて、機械学習によって学習された基準、IDSなどの手段を用いてマルウェア感染のリスク度合いを算出する。
【0034】
感染リスク判定部32は、各スライスについてマルウェア感染のリスク度合いが閾値以上となったか否かを判定することで、感染予兆が有るスライスが有るか否かを判定する(ステップS3)。例えば、感染リスク判定部32は、スライスに、マルウェア感染のリスク度合いが閾値以上となるデバイスが少なくとも1つ含まれている場合に、当該スライスのマルウェア感染のリスク度合いが閾値以上となったと判定する。ステップS3で「No」と判定された場合、所定時間後にステップS1から再度実行される。
【0035】
ステップS3で「Yes」と判定された場合、スライス管理部33は、感染の予兆が有るスライスに属するデバイス10を、新たな複数のグループに振り分ける(ステップS4)。次に、仮想NWIF管理部37は、新たなグループに対応した新たなスライスのための仮想ネットワークインタフェースを生成する(ステップS5)。
【0036】
次に、スライス管理部33は、トポロジ管理部34からトポロジ情報を取得し、各デバイス10とゲートウェイ30との経路を取得する(ステップS6)。次に、NW機器制御部36は、各経路のネットワーク機器20に対して仮想ネットワークを変更する制御コマンドを送信する(ステップS7)。
【0037】
例えば、図7の例において、スライス2に感染予兆が有るものとする。この場合、スライス管理部33は、図10で例示するように、デバイス10dをスライス2に振り分け、デバイス10eをスライス3に振り分ける。仮想NWIF管理部37は、スライス2およびスライス3のための仮想ネットワークインタフェースを生成する。次に、スライス管理部33は、デバイス10dおよびデバイス10eと、ゲートウェイ30との間の経路を取得する。NW機器制御部36は、各経路のネットワーク機器20b,20eに対して仮想ネットワークを変更する制御コマンドを送信する。それにより、新たなスライスとしてスライス2およびスライス3が生成される。この場合においては、ネットワーク機器20eの仮想ネットワーク数は2個に増加することになる。
【0038】
再度、図9を参照する。次に、仮想NWIF管理部37は、新たに生成されたスライス内の各ネットワーク機器の仮想ネットワーク数が図6で例示した仮想ネットワーク数の閾値を超えていないか確認する(ステップS8)。仮想NWIF管理部37は、閾値を超えるネットワーク機器が有るか否かを判定する(ステップS9)。ステップS9で「No」と判定された場合、所定時間後にステップS1から再度実行される。
【0039】
ステップS9で「Yes」と判定された場合、スライス管理部33は、感染リスク判定部32の分析結果を用いて、マルウェア感染のおそれが低い(リスク度合いが閾値未満の)スライスを2個以上選択する(ステップS10)。例えば、スライス管理部33は、収容される全てのデバイスのリスク度合いが閾値未満となっているスライスを2個以上選択する。この場合の閾値は、ステップS3の閾値と同じでもよく、より小さい値であってもよい。
【0040】
スライス管理部33は、ステップS10で2個以上の選択ができたか否かを判定する(ステップS11)。ステップS11で「No」と判定された場合、スライス管理部33は、表示装置104にアラートを表示させる(ステップS12)。その後、所定時間後にステップS1から再度実行される。
【0041】
ステップS11で「Yes」と判定された場合、スライス管理部33は、各スライスに属するデバイス10を全て含むスライスを決定する(ステップS13)。次に、スライス管理部33は、トポロジ管理部34からトポロジ情報を取得し、当該トポロジ情報を利用して、各デバイスとゲートウェイ30との経路を取得する(ステップS14)。次に、NW機器制御部36は、各経路のネットワーク機器に対して仮想ネットワークを変更する制御コマンドを送信する(ステップS15)。次に、仮想NWIF管理部37は、ゲートウェイ30の仮想ネットワークインタフェースのうち、不要のものを削除する(ステップS16)。その後、所定時間後にステップS1から再度実行される。
【0042】
本実施例によれば、複数のデバイスと1以上のネットワーク機器とによって構成される通信ネットワークから得られた1以上のスライスのそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かが判定される。当該リスク度合いが閾値以上となったスライスが、当該スライスに収容されるネットワーク機器の仮想ネットワーク生成の制限に応じて、2以上のスライスに分離される。この構成では、マルウェアの攻撃を検知するのではなく、マルウェアの感染のリスク度合いを用いている。この場合、マルウェアの攻撃が開始されるまでに、マルウェアに感染した不正なデバイス10を隔離することができる。それにより、デバイス10がマルウェアに感染した場合の被害を低減することができる。また、デバイス10に改良を加えなくてもよいため、デバイス10の運用を継続させることができる。
【0043】
感染リスクが高いスライスの分離とデバイス10の振り分けを繰り返すことで、感染の危険性の高いデバイス10が単独でひとつのスライスが割り当たるようになる。それにより、マルウェアが攻撃を開始しても、他のデバイス10の影響を抑制することができる。
【0044】
マルウェア感染のリスク度合いが閾値未満となっている2以上のスライスを1つのスライスに統合することで、各ネットワーク機器の仮想ネットワーク数を低減することができる。
【0045】
なお、各デバイス10の重要度に応じてスライス構成を決定してもよい。例えば、重要度の高いデバイス10については、常に特定のスライスに単独で収容されていてもよい。この場合、他のデバイスがマルウェアに感染しても、当該重要度の高いデバイス10はマルウェアの攻撃を受けず、マルウェア感染の損害を低減することができる。この場合の重要度が高いとは、デバイス停止時のシステムへの影響の大きさに基づいて決定してもよい。例えば、代替機がなく企業活動が停滞するものや、人命にかかわる損害を生むものについて、重要度が高いと決定してもよい。
【0046】
トポロジ管理部34は、各ネットワーク機器20から、LLDP(Link Layer Discovery Protocol)やHTIP(Home-network Topology Identifying Protocol)などのプロトコルを利用して隣接情報を収集し、OTエリアの通信ネットワークのトポロジ情報を自動更新してもよい。この場合、スライス管理部33は、当該トポロジ情報が更新されると、更新されたトポロジ情報に応じて、通信ネットワークのスライスを自動更新することができる。例えば、ネットワーク機器20やデバイス10の接続関係が変化しても、トポロジ情報もそれに追従して更新されるため、適切なスライス構成が可能となる。この場合、運用者がトポロジ情報を管理しなくてもよいため、運用コストを削減することができる。
【0047】
上記例において、感染リスク判定部32が、複数のデバイスと1以上のネットワーク機器とによって構成される通信ネットワークから得られた1以上のスライスのそれぞれにおけるマルウェア感染のリスク度合いが閾値以上となったか否かを判定する判定部の一例として機能する。スライス管理部33が、前記リスク度合いが前記閾値以上となったスライスを、当該スライスに収容されるネットワーク機器の仮想ネットワーク生成の制限に応じて、2以上のスライスに分離する分離部の一例として機能する。
【0048】
また、スライス管理部33は、前記リスク度合いが閾値未満となっている2以上のスライスを1つのスライスに統合する統合部の一例としても機能する。トポロジ管理部34は、前記1以上のネットワーク機器から前記通信ネットワークのトポロジ情報を収集することで、前記通信ネットワークのトポロジ情報を更新するトポロジ更新部の一例として機能する。スライス管理部33は、前記トポロジ更新部によって更新された前記トポロジ情報に応じて、前記通信ネットワークのスライスを更新する更新部の一例としても機能する。ゲートウェイ30が、不正デバイス隔離装置の一例として機能する。
【0049】
以上、本発明の実施例について詳述したが、本発明は係る特定の実施例に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0050】
10 デバイス
20 ネットワーク機器
30 ゲートウェイ
31 運用情報収集部
32 感染リスク判定部
33 スライス管理部
34 トポロジ管理部
35 機器プロファイル管理部
36 NW機器制御部
37 仮想NWIF管理部
38 仮想NWIF
39 パケット中継部
100 不正デバイス隔離システム
20 ネットワーク機器
30 ゲートウェイ
31 運用情報収集部
32 感染リスク判定部
33 スライス管理部
34 トポロジ管理部
35 機器プロファイル管理部
36 NW機器制御部
37 仮想NWIF管理部
38 仮想NWIF
39 パケット中継部
100 不正デバイス隔離システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】