知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-05
(45)【発行日】2024-09-13
(54)【発明の名称】空調機、セキュリティ攻撃対処方法及びプログラム
(51)【国際特許分類】
H04L 67/00 20220101AFI20240906BHJP
G06F 21/55 20130101ALI20240906BHJP
【FI】
H04L67/00
G06F21/55
【請求項の数】
7
(21)【出願番号】P 2023520660
(86)(22)【出願日】2021-05-12
(86)【国際出願番号】 JP2021018105
(87)【国際公開番号】W WO2022239159
(87)【国際公開日】2022-11-17
【審査請求日】2023-04-25
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】100095407
【弁理士】
【氏名又は名称】木村 満
(74)【代理人】
【識別番号】100131152
【弁理士】
【氏名又は名称】八島 耕司
(74)【代理人】
【識別番号】100147924
【弁理士】
【氏名又は名称】美恵 英樹
(74)【代理人】
【識別番号】100148149
【弁理士】
【氏名又は名称】渡邉 幸男
(74)【代理人】
【識別番号】100181618
【弁理士】
【氏名又は名称】宮脇 良平
(74)【代理人】
【識別番号】100174388
【弁理士】
【氏名又は名称】龍竹 史朗
(72)【発明者】
【氏名】遠藤 弘明
(72)【発明者】
【氏名】小竹 弘晃
(72)【発明者】
【氏名】佐藤 香
【審査官】岩田 玲彦
(56)【参考文献】
【文献】特開2020-096320(JP,A)
【文献】国際公開第2021/019635(WO,A1)
【文献】特開2006-352669(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 67/00
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段と、前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段と、を備え、
ユーザインタフェースを備える機器から送信された通信フレームの受信時に、前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、前記機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、前記機器から確認したことを示す応答フレームを受信した場合、前記受信した通信フレームを正常な通信フレームとして取り扱う、空調機。
【請求項2】
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段と、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段と、を備え、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、さらに、予め定めた重要性の高い情報の送信及び受信を制限する、空調機。
【請求項3】
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、ユーザに報知するユーザ報知手段をさらに備える、請求項1又は2に記載の空調機。
【請求項4】
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行する、セキュリティ攻撃対処方法であって、
ユーザインタフェースを備える機器から送信された通信フレームの受信時に、セキュリティ攻撃があると判定した場合、前記機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、前記機器から確認したことを示す応答フレームを受信した場合、前記受信した通信フレームを正常な通信フレームとして取り扱う、セキュリティ攻撃対処方法。
【請求項5】
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別し、
セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するとともに予め定めた重要性の高い情報の送信及び受信を制限する、セキュリティ攻撃対処方法。
【請求項6】
空調機を、通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段、として機能させ、
ユーザインタフェースを備える機器から送信された通信フレームの受信時に、前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、前記機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、前記機器から確認したことを示す応答フレームを受信した場合、前記受信した通信フレームを正常な通信フレームとして取り扱う、プログラム。
【請求項7】
空調機を、
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段、として機能させ、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、さらに、予め定めた重要性の高い情報の送信及び受信を制限する、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、空調機、セキュリティ攻撃対処方法及びプログラムに関する。
【背景技術】
【0002】
ビル、店舗等の建物の空気調和を行う空調システムにおいて、空調システム内のフィールドネットワークを介して、複数の室外機、複数の室内機等が接続される構成は一般的に知られている。また、近年、インターネット等のパブリックネットワークへの接続環境の充実化に伴い、空調システムを構成する機器をパブリックネットワークへ直接又は間接的に接続されるようにした技術が進展している。
【0003】
このような空調システムでは、パブリックネットワーク経由、あるいは、空調システム内のフィールドネットワークに直接にアクセスするなどの方法によってセキュリティ攻撃を受ける可能性があり、その対処が求められる。
【0004】
例えば、特許文献1には、ビル管理システムにおいて、空調機器を制御するコントローラと空調機器を監視する監視制御端末との間を接続するネットワークへの侵入を検知する侵入検知装置について開示されている。この侵入検知装置は、ネットワークを流れる空調機器に関する通信データを取得し、取得した通信データに、システム状態、周期を付加して通信判定データを生成する。また、侵入検知装置は、ネットワークにおける通信を許可する通信許可ルールを生成し、通信判定データと比較してネットワークへの侵入を検知する。そして、ネットワークへの侵入を検知した際、侵入検知装置は、ネットワークに警報を出力する。出力された警報は、ネットワークを介して監視制御端末に入力され、監視制御端末のディスプレイに表示される。
【先行技術文献】
【特許文献】
【0005】
【文献】国際公開第2019/004101号
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記の特許文献1で開示される技術では、ネットワークへの侵入が検知されると監視制御端末によって警報が出力されるため、その後、管理者等は、当該ネットワークへの侵入に対する措置をとることは可能である。しかしながら、警報が出力された後の人為的な対応では、当該ネットワークへの侵入に対応した適切な措置を終えるまでに少なからず時間を要してしまい、当該ネットワークへの侵入による当該ビル管理システムへの影響が大きくなってしまうという懸念がある。
【0007】
本開示は、上記課題を解決するためになされたものであり、セキュリティ攻撃による影響を抑えることが可能な空調機、セキュリティ攻撃対処方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本開示に係る空調機は、
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段と、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段と、を備え、
ユーザインタフェースを備える機器から送信された通信フレームの受信時に、前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、前記機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、前記機器から確認したことを示す応答フレームを受信した場合、前記受信した通信フレームを正常な通信フレームとして取り扱う。
通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合、当該セキュリティ攻撃の種類を判別するセキュリティ攻撃検出手段と、
前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、当該セキュリティ攻撃の種類に応じた処理であって、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行するセキュリティ攻撃対応手段と、を備え、
ユーザインタフェースを備える機器から送信された通信フレームの受信時に、前記セキュリティ攻撃検出手段によってセキュリティ攻撃があると判定された場合、前記セキュリティ攻撃対応手段は、前記機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、前記機器から確認したことを示す応答フレームを受信した場合、前記受信した通信フレームを正常な通信フレームとして取り扱う。
【発明の効果】
【0009】
本開示によれば、セキュリティ攻撃による影響を抑えることが可能となる。
【図面の簡単な説明】
【0010】
【図1】実施の形態における空調システムの構成を示すブロック図
【図2】実施の形態における集中管理装置のハードウェア構成を示すブロック図
【図3】実施の形態における室外機のハードウェア構成を示すブロック図
【図4】実施の形態における室内機のハードウェア構成を示すブロック図
【図5】実施の形態におけるリモコンのハードウェア構成を示すブロック図
【図6】実施の形態における通信アダプタのハードウェア構成を示すブロック図
【図7】実施の形態における端末装置のハードウェア構成を示すブロック図
【図8】実施の形態における室内機の機能構成を示す図
【図9】実施の形態における攻撃種類判別用テーブルの一例を示す図
【図10】実施の形態における通信フレーム受信時処理の手順を示すフローチャート
【発明を実施するための形態】
【0011】
以下、本開示の実施の形態について図面を参照して詳細に説明する。
【0012】
図1は、本開示の実施の形態における空調システム1の全体構成を示す図である。空調システム1は、例えば、ビル、店舗等の建物の空気調和を行うシステムであり、サーバ2と、集中管理装置3と、室外機4a~4cと、室内機5a~5fと、リモコン6と、通信アダプタ7とを備える。また、メンテナンス時において、空調システム1には、端末装置8が一時的に接続される。
【0013】
<サーバ2>
サーバ2は、例えば、AWS(Amazon Web Services)等のパブリッククラウドを実現するクラウドサーバであり、インターネット等のネットワークNに接続される。サーバ2は、ファームウェアの更新が必要な空調機(室外機4a~4c、室内機5a~5f)に対して更新用のファームウェアを送信する。また、サーバ2は各空調機(室外機4a~4c、室内機5a~5f)の運転に関するデータを収集し、収集したデータに基づいて各空調機を制御するサービス、あるいは、収集したデータに基づく情報を当該空調システム1の関係者(当該建物のオーナ、システム管理者、メンテナンス担当者等)に提示するサービスを提供する。
サーバ2は、例えば、AWS(Amazon Web Services)等のパブリッククラウドを実現するクラウドサーバであり、インターネット等のネットワークNに接続される。サーバ2は、ファームウェアの更新が必要な空調機(室外機4a~4c、室内機5a~5f)に対して更新用のファームウェアを送信する。また、サーバ2は各空調機(室外機4a~4c、室内機5a~5f)の運転に関するデータを収集し、収集したデータに基づいて各空調機を制御するサービス、あるいは、収集したデータに基づく情報を当該空調システム1の関係者(当該建物のオーナ、システム管理者、メンテナンス担当者等)に提示するサービスを提供する。
【0014】
<集中管理装置3>
集中管理装置3は、当該空調システム1における、各空調機(室外機4a~4c、室内機5a~5f)を集中して管理するための装置であり、当該建物内の管理室等、関係者以外が立ち入ることのできない場所に設置される。図2に示すように、集中管理装置3は、ハードウェア構成として、第1通信インタフェース30と、第2通信インタフェース31と、操作受付部32と、ディスプレイ33と、制御回路34と、補助記憶装置35とを備える。
集中管理装置3は、当該空調システム1における、各空調機(室外機4a~4c、室内機5a~5f)を集中して管理するための装置であり、当該建物内の管理室等、関係者以外が立ち入ることのできない場所に設置される。図2に示すように、集中管理装置3は、ハードウェア構成として、第1通信インタフェース30と、第2通信インタフェース31と、操作受付部32と、ディスプレイ33と、制御回路34と、補助記憶装置35とを備える。
【0015】
第1通信インタフェース30は、ネットワークNに接続してサーバ2と通信するためのインタフェースであり、例えば、Ethernet(登録商標)に基づくインタフェースである。第2通信インタフェース31は、集中伝送ラインである伝送ライン9を介して、例えば、DC電源にAMI波形を重畳させる通信方式で室外機4a~4cと通信するためのインタフェースである。
【0016】
操作受付部32は、例えば、キーボード、マウス、キーパッド、押しボタン、タッチパネル、タッチパッド等の1つ以上の入力デバイスを含んで構成され、ユーザからの入力操作を受け付け、受け付けた入力操作に係る信号を制御回路34に出力する。ディスプレイ33は、液晶ディスプレイ、有機EL(Electro Luminescence)ディスプレイ等の表示デバイスを含んで構成される。ディスプレイ33は、制御回路34の制御の下、当該空調システム1を管理するための画面等を表示する。
【0017】
制御回路34は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等を含んで構成され、集中管理装置3を統括的に制御する。補助記憶装置35は、読み書き可能な不揮発性の半導体メモリ、HDD(Hard Disk Drive)等で構成される。読み書き可能な不揮発性の半導体メモリは、例えば、EEPROM(Electrically Erasable Programmable Read-Only Memory)、フラッシュメモリ等である。補助記憶装置35には、当該空調システムを管理するための管理プログラムと、かかる管理プログラムの実行時に使用されるデータとが記憶される。
【0018】
<室外機4a~4c、室内機5a~5f>
室外機4aと、室内機5a及び室内機5bとは、内外伝送ラインである伝送ライン10aにバス接続されるとともに、冷媒を循環させるための図示しない第1冷媒配管を介して接続される。即ち、室外機4aと室内機5a及び室内機5bとは、一の冷媒系統を構成する。
室外機4aと、室内機5a及び室内機5bとは、内外伝送ラインである伝送ライン10aにバス接続されるとともに、冷媒を循環させるための図示しない第1冷媒配管を介して接続される。即ち、室外機4aと室内機5a及び室内機5bとは、一の冷媒系統を構成する。
【0019】
室外機4bと、室内機5c及び室内機5dとは、内外伝送ラインである伝送ライン10bにバス接続されるとともに、上記の第1冷媒配管とは異なる図示しない第2冷媒配管を介して接続される。即ち、室外機4bと室内機5c及び室内機5dとは、一の冷媒系統を構成する。
【0020】
室外機4cと、室内機5e及び室内機5fとは、内外伝送ラインである伝送ライン10cにバス接続されるとともに、上記の第1冷媒配管及び第2冷媒配管のいずれとも異なる図示しない第3冷媒配管を介して接続される。即ち、室外機4cと室内機5e及び5fとは、一の冷媒系統を構成する。
【0021】
以下、室外機4a~4cにおいて共通する説明については、特に個々を指定せずに室外機4と表記し、室内機5a~5fにおいて共通する説明については、特に個々を指定せずに室内機5と表記し、伝送ライン10a~10cにおいて共通する説明については、特に個々を指定せずに伝送ライン10と表記する。
【0022】
室外機4は、本開示に係る空調機の一例である。図3に示すように、室外機4は、ハードウェア構成として、第1通信インタフェース40と、第2通信インタフェース41と、メインユニット42と、制御回路43と、補助記憶装置44とを備える。第1通信インタフェース40は、伝送ライン9を介して、集中管理装置3、リモコン6及び他の室外機4と通信するためのインタフェースである。第2通信インタフェース41は、内外伝送ラインである伝送ライン10を介して、自機に接続される各室内機5と通信するためのインタフェースである。本実施の形態では、集中伝送ラインである伝送ライン9の通信方式と内外伝送ラインである伝送ライン10の通信方式は同一(例えば、DC電源にAMI波形を重畳させる通信方式)である。
【0023】
メインユニット42は、一般的な室外機の本来的な機能を実現するための構成部であり、例えば、圧縮機、熱交換器、膨張弁、四方弁、ファン、各種のセンサ(電流センサ、温度センサ、圧力センサ、周波数センサ、加速度センサ等)等を備える。制御回路43は、当該室外機4を統括的に制御するマイクロコントローラである。
【0024】
補助記憶装置44は、例えば、EEPROM、フラッシュメモリ等の読み書き可能な不揮発性の半導体メモリ等で構成される。補助記憶装置44には、制御回路43が当該室外機4を制御して空調に係る機能を実現するためのソフトウェアプログラムであるファームウェアと、ファームウェアの実行時に使用されるデータとが記憶される。さらに、補助記憶装置44には、本開示に係る機能を実現するためのプログラムであって、外部からのセキュリティ攻撃に対処するためのプログラムであるセキュリティ攻撃対処プログラムと、セキュリティ攻撃対処プログラムの実行時に使用されるデータとが記憶される。
【0025】
上記のセキュリティ攻撃対処プログラムは、サーバ2等の他の装置からネットワークNを介して室外機4にダウンロードすることができる。また、室外機4は、リモコン6を介した通信により端末装置8からセキュリティ攻撃対処プログラムを受信することも可能である。また、セキュリティ攻撃対処プログラムは、CD-ROM(Compact Disc Read Only Memory)、DVD(Digital Versatile Disc)、光磁気ディスク、USB(Universal Serial Bus)メモリ、HDD、SSD(Solid State Drive)、メモリカード等のコンピュータ読み取り可能な記録媒体に格納して配布することも可能である。室外機4は、そのような記録媒体が当該室外機4に装着されると、当該記録媒体からセキュリティ攻撃対処プログラムを読み出して取り込むことも可能である。
【0026】
室内機5は、本開示に係る空調機の一例である。図4に示すように、室内機5は、ハードウェア構成として、第1通信インタフェース50と、第2通信インタフェース51と、メインユニット52と、制御回路53と、補助記憶装置54とを備える。第1通信インタフェース50は、伝送ライン10を介して、室外機4及び他の室内機5と通信するためのインタフェースである。第2通信インタフェース51は、通信アダプタ7と通信可能に電気的に接続するためのインタフェースである。本実施の形態では、第2通信インタフェース51は、UART(Universal Asynchronous Receiver/Transmitter)等のシリアルインタフェースである。
【0027】
メインユニット52は、一般的な室内機の本来的な機能を実現するための構成部であり、例えば、ファン、熱交換器、温度センサ、湿度センサ等を備える。制御回路53は、当該室内機5を統括的に制御するマイクロコントローラである。
【0028】
補助記憶装置54は、例えば、EEPROM、フラッシュメモリ等の読み書き可能な不揮発性の半導体メモリ等で構成される。補助記憶装置54には、制御回路53が当該室内機5を制御して空調に係る機能を実現するためのソフトウェアプログラムであるファームウェアと、ファームウェアの実行時に使用されるデータとが記憶される。さらに、補助記憶装置54には、室外機4と同様、セキュリティ攻撃対処プログラムと、セキュリティ攻撃対処プログラムの実行時に使用されるデータとが記憶される。
【0029】
上記のセキュリティ攻撃対処プログラムは、サーバ2等の他の装置からネットワークNを介して室内機5にダウンロードすることができる。また、室内機5は、リモコン6を介した通信により端末装置8からセキュリティ攻撃対処プログラムを受信することも可能である。また、室内機5は、セキュリティ攻撃対処プログラムが格納された上述した記録媒体が当該室内機5に装着されると、当該記録媒体からセキュリティ攻撃対処プログラムを読み出して取り込む込むことも可能である。
【0030】
<リモコン6>
リモコン6は、空調用のリモートコントローラであり、伝送ライン9に接続され、ユーザから空調に係る操作を受け付ける。図5に示すように、リモコン6は、ハードウェア構成として、第1通信インタフェース60と、第2通信インタフェース61と、操作受付部62と、ディスプレイ63と、制御回路64と、補助記憶装置65とを備える。
リモコン6は、空調用のリモートコントローラであり、伝送ライン9に接続され、ユーザから空調に係る操作を受け付ける。図5に示すように、リモコン6は、ハードウェア構成として、第1通信インタフェース60と、第2通信インタフェース61と、操作受付部62と、ディスプレイ63と、制御回路64と、補助記憶装置65とを備える。
【0031】
第1通信インタフェース60は、伝送ライン9を介して、各室外機4及び集中管理装置3と通信するためのインタフェースである。第2通信インタフェース61は、端末装置8と、NFC(Near Field Communication)、BLE(Bluetooth(登録商標) Low Energy)通信、可視光通信、赤外線通信等の近距離無線通信を行うためのインタフェースである。
【0032】
操作受付部62は、例えば、押しボタン、タッチパネル、タッチパッド等の1つ以上の入力デバイスを含んで構成され、ユーザからの入力操作を受け付け、受け付けた入力操作に係る信号を制御回路64に出力する。
【0033】
ディスプレイ63は、例えば、液晶ディスプレイ、有機ELディスプレイ等の表示デバイスを含んで構成される。ディスプレイ63は、制御回路64の制御の下、各種の画面を表示する。例えば、ディスプレイ63は、ユーザから運転の開始/停止の切り替え、冷房,暖房,除湿,送風等の運転モードの切り替え、設定温度,設定湿度,風速等の変更等の空調に関する操作を受け付けるための空調操作画面等を表示する。
【0034】
制御回路64は、CPU、ROM、RAM等を含んで構成され、リモコン6を統括的に制御する。補助記憶装置65は、例えば、EEPROM、フラッシュメモリ等の読み書き可能な不揮発性の半導体メモリ等で構成される。補助記憶装置65には、ユーザインタフェースとして機能するためのプログラムと、端末装置8との通信に関するプログラムと、これらのプログラムの実行時に使用されるデータとが記憶される。
【0035】
<通信アダプタ7>
通信アダプタ7は、室内機5をネットワークNに通信接続させるための機器である。図6に示すように、通信アダプタ7は、ハードウェア構成として、第1通信インタフェース70と、第2通信インタフェース71と、制御回路72と、補助記憶装置73とを備える。
通信アダプタ7は、室内機5をネットワークNに通信接続させるための機器である。図6に示すように、通信アダプタ7は、ハードウェア構成として、第1通信インタフェース70と、第2通信インタフェース71と、制御回路72と、補助記憶装置73とを備える。
【0036】
第1通信インタフェース70は、室内機5と通信可能に電気的に接続するためのインタフェースである。本実施の形態では、第1通信インタフェース70は、UART等のシリアルインタフェースである。第2通信インタフェース71は、ネットワークNに接続してサーバ2と通信するための無線LAN(Local Area Network)インタフェース、あるいは、モバイルデータ通信用のハードウェアである。
【0037】
制御回路72は、CPU、ROM、RAM等を含んで構成され、通信アダプタ7を統括的に制御する。補助記憶装置73は、例えば、EEPROM、フラッシュメモリ等の読み書き可能な不揮発性の半導体メモリ等で構成される。補助記憶装置73には、室内機5と通信するためのプログラムと、サーバ2と通信するためのプログラムと、これらのプログラムの実行時に使用されるデータとが記憶される。
【0038】
<端末装置8>
端末装置8は、当該空調システム1のメンテナンス担当者によって所持されるスマートフォン、タブレット端末等の携帯可能な電子機器である。図7に示すように、端末装置8は、ハードウェア構成として、通信インタフェース80と、操作受付部81と、ディスプレイ82と、制御回路83と、補助記憶装置84とを備える。
端末装置8は、当該空調システム1のメンテナンス担当者によって所持されるスマートフォン、タブレット端末等の携帯可能な電子機器である。図7に示すように、端末装置8は、ハードウェア構成として、通信インタフェース80と、操作受付部81と、ディスプレイ82と、制御回路83と、補助記憶装置84とを備える。
【0039】
通信インタフェース80は、リモコン6と上述した近距離無線通信を行うためのインタフェースである。操作受付部81は、押しボタン、タッチパネル、タッチパッド等の1つ以上の入力デバイスを含んで構成され、ユーザからの操作入力を受け付け、受け付けた操作に係る信号を制御回路83に出力する。
【0040】
ディスプレイ82は、液晶ディスプレイ、有機ELディスプレイ等の表示デバイスを含んで構成される。ディスプレイ82は、制御回路83の制御の下、ユーザの操作に応じた各種の画面等を表示する。
【0041】
制御回路83は、CPU、ROM、RAM等を含んで構成され、端末装置8を統括的に制御する。補助記憶装置84は、例えば、EEPROM、フラッシュメモリ等の読み書き可能な不揮発性の半導体メモリ等で構成される。補助記憶装置84には、空調システム1のメンテナンス時に実行されるプログラムと、当該プログラムの実行時に使用されるデータとが記憶される。
【0042】
<室外機4及び室内機5の機能構成>
続いて、いずれも本開示に係る空調機の一例である室外機4及び室内機5の機能構成について説明する。なお、室外機4及び室内機5のそれぞれの機能構成は、本開示に係る特徴的な構成が共通するため、以下では、室内機5の機能構成を両者の代表として詳細に説明する。
続いて、いずれも本開示に係る空調機の一例である室外機4及び室内機5の機能構成について説明する。なお、室外機4及び室内機5のそれぞれの機能構成は、本開示に係る特徴的な構成が共通するため、以下では、室内機5の機能構成を両者の代表として詳細に説明する。
【0043】
図8に示すように、室内機5は、セキュリティ攻撃検出部500と、通信異常検出部501と、通常対応部502と、通信異常対応部503と、セキュリティ攻撃対応部504とを備える。これらの機能部は、制御回路53が補助記憶装置54に記憶されている上述したセキュリティ攻撃対処プログラムを実行することで実現される。
【0044】
セキュリティ攻撃検出部500は、本開示に係るセキュリティ攻撃検出手段の一例である。セキュリティ攻撃検出部500は、通信フレームの受信時にセキュリティ攻撃の有無を判定し、セキュリティ攻撃があると判定した場合には、その種類を判別する。詳細には、セキュリティ攻撃検出部500は、攻撃有無判定部510と、攻撃種類判別部511とを備え、攻撃有無判定部510が、セキュリティ攻撃の有無を判定し、攻撃種類判別部511が、セキュリティ攻撃の種類を判別する。
【0045】
具体的には、攻撃有無判定部510は、受信した通信フレームについて、以下の条件A~Cのそれぞれに該当するか否かを判定する。攻撃有無判定部510は、受信した通信フレームについて、条件A~Cのいずれかに該当する場合、セキュリティ攻撃があると判定し、いずれにも該当しない場合、セキュリティ攻撃がないと判定する。
【0046】
(条件A)送信元アドレスと自身のアドレスが同一
(条件B)一定時間内に同一の送信元から同一の通信フレームを一定回数以上受信
(条件C)送信元とコマンドの組合せが不一致
(条件B)一定時間内に同一の送信元から同一の通信フレームを一定回数以上受信
(条件C)送信元とコマンドの組合せが不一致
【0047】
上記の条件Bにおいて、一定時間は、例えば1分であり、一定回数は、例えば15回である。また、同一の通信フレームとは、コマンド、データ値、シーケンス番号が同一であることを意味する。また、上記の条件Cは、送信元の機器の種類とコマンドの内容とが一致していないことを意味し、例えば、室内機5において、室外機4から運転開始コマンド又は運転停止コマンドを受信した場合等がこれに該当する(通常は、集中管理装置3、リモコン6、室内機5の代表機から他の室内機5、室外機4に運転開始コマンド/運転停止コマンドが送信される。)。機器の種類とコマンドの組合せを示すテーブル(図示しない)は、予め補助記憶装置54に保存されている。
【0048】
攻撃有無判定部510は、セキュリティ攻撃がないと判定すると、セキュリティ攻撃が検出されなかったことを通常対応部502に通知する。一方、攻撃有無判定部510は、セキュリティ攻撃があると判定すると、セキュリティ攻撃が検出されたことと、条件A~Cの各々についての判定結果(即ち、該当する否か)とを攻撃種類判別部511に通知する。
【0049】
攻撃種類判別部511は、攻撃有無判定部510によってセキュリティ攻撃が検出されると、当該セキュリティ攻撃の種類を判別する。本実施の形態では、セキュリティ攻撃として、“リプレイ攻撃”、“なりすまし”、“乗っ取り”の3種類を想定している。攻撃種類判別部511は、攻撃有無判定部510から通知された、条件A~Cの各々について該当したか否かの情報と、予め補助記憶装置54に保存されている攻撃種類判別用テーブルとに基づいて、当該セキュリティ攻撃の種類を判別する。
【0050】
攻撃種類判別用テーブルは、セキュリティ攻撃の種類を判別するための規則が定義されたテーブルであり、具体的には、図9に示すように、攻撃の種類と、各判別条件の該当有無の組み合わせとを対応付けたテーブルである。図9において、“○”は、当該判別条件に該当することを意味し、“×”は、当該判別条件に該当しないことを意味する。また、判別条件には、上記の条件A~Cと、下記の条件Dが含まれている。
【0051】
(条件D)送信元から、周期的通信フレームの正常な受信なし、又は、正常な応答なし
【0052】
上記の条件Dにおいて、周期的通信フレームとは、当該送信元から周期的に受信する通信フレームであり、例えば、空調機の状態(運転モード、風速、吸込温度等)の問合せ(即ち、要求)を示す通信フレームである。また、「周期的通信フレームの正常な受信」とは、当該周期的通信フレームの正しい周期での受信を意味する。当該空調機(ここでは、室内機5)の送信元となる機器(サーバ2、集中管理装置3、室外機4、他の室内機5又はリモコン6)と、周期的通信フレームの内容と、受信周期とを対応付けたテーブル(図示せず)は、予め補助記憶装置54に保存されている。
【0053】
また、条件Dにおいて、「正常な応答なし」とは、当該空調機(ここでは、室内機5)から当該送信元に対して先に送信した通信フレームに対する応答が当該送信元から予め定めたタイムアウト時間以内に返ってこなかった場合を意味する。
【0054】
攻撃種類判別部511は、受信した通信フレームについて、条件A及びCに該当せず、条件Bに該当する場合、条件Dの判定結果にかかわらず、当該セキュリティ攻撃の種類は“リプレイ攻撃”であると判別する。また、攻撃種類判別部511は、受信した通信フレームについて、条件Aに該当せず、条件Cに該当する場合、条件Bの判定結果にかかわらず、さらに当該送信元が条件Dに該当するか否かを判定し、その結果に基づいて当該セキュリティ攻撃の種類を判別する。具体的には、攻撃種類判別部511は、当該送信元が条件Dに該当しない場合、当該セキュリティ攻撃の種類は“なりすまし”であると判定し、当該送信元が条件Dに該当する場合、当該セキュリティ攻撃の種類は“乗っ取り”であると判別する。
【0055】
また、攻撃種類判別部511は、受信した通信フレームについて、条件Aに該当する場合は、条件B~Dの判定結果にかかわらず、当該セキュリティ攻撃の種類は“なりすまし”であると判別する。攻撃種類判別部511は、判別したセキュリティ攻撃の種類をセキュリティ攻撃対応部504に通知する。
【0056】
図8に戻り、通信異常検出部501は、通信異常を検出する。具体的には、通信異常検出部501は、周期的に上記の条件Dに該当する通信先があるか否かを判定する。条件Dに該当する通信先がある場合には、通信異常検出部501は、通信異常を検出したことを通信異常対応部503に通知する。
【0057】
通常対応部502は、受信した通信フレームの内容に基づく通常処理を実行する。例えば、受信した通信フレームに動作の変更を指示するコマンドが含まれている場合、通常対応部502は、当該コマンドに従って、自機(ここでは、室内機5)の動作を変更する処理を実行する。また、受信した通信フレームに状態を問い合わせるコマンドが含まれている場合、通常対応部502は、当該コマンドに従って、自機の状態を当該送信元に送信する処理を実行する。
【0058】
通信異常対応部503は、通信異常の発生に対応した処理を実行する。例えば、通信異常対応部503は、集中管理装置3、リモコン6又は端末装置8に対して、当該通信先との通信に異常が発生したことを通知する。かかる通知を受けた集中管理装置3、リモコン6又は端末装置8は、当該異常に関する情報をディスプレイ33、ディスプレイ63又はディスプレイ82に表示して、ユーザに報知する。また、通信異常対応部503は、自機がLED(Light Emitting Diode)を備えている場合には、当該LEDを予め定めた態様で発光させることでユーザに通信異常を報知してもよいし、自機がスピーカを備えている場合には、当該スピーカから電子音を出力させることでユーザに通信異常を報知してもよい。
【0059】
セキュリティ攻撃対応部504は、本開示に係るセキュリティ攻撃対応手段の一例である。セキュリティ攻撃対応部504は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定されると、当該セキュリティ攻撃による影響を排除するセキュリティ攻撃対応処理を実行する。具体的には、セキュリティ攻撃対応部504は、以下のように、攻撃種類判別部511によって判別された当該セキュリティ攻撃の種類に応じたセキュリティ攻撃対応処理を実行する。
【0060】
(リプレイ攻撃)
セキュリティ攻撃が“リプレイ攻撃”であると判別された場合、セキュリティ攻撃対応部504は、条件Bに該当する通信フレーム、即ち、一定時間内に同一の送信元から多量に送られてきた同一の通信フレームを何もせずに全て破棄する。ただし、条件Bに該当しない通信フレームについては、同じ送信元であっても、通常通り取り扱うこととし、通常対応部502と同様の処理を実行する。
セキュリティ攻撃が“リプレイ攻撃”であると判別された場合、セキュリティ攻撃対応部504は、条件Bに該当する通信フレーム、即ち、一定時間内に同一の送信元から多量に送られてきた同一の通信フレームを何もせずに全て破棄する。ただし、条件Bに該当しない通信フレームについては、同じ送信元であっても、通常通り取り扱うこととし、通常対応部502と同様の処理を実行する。
【0061】
(なりすまし)
セキュリティ攻撃が“なりすまし”であると判別された場合、セキュリティ攻撃対応部504は、条件B又は条件Cに該当する通信フレーム、即ち、一定時間内に同一の送信元から多量に送られてきた同一の通信フレーム又は送信元とコマンドの組合せが不一致な通信フレームを何もせずに全て破棄する。ただし、条件Bと条件Cのいずれにも該当しない通信フレームについては、同じ送信元であっても、通常通り取り扱うこととし、通常対応部502と同様の処理を実行する。
セキュリティ攻撃が“なりすまし”であると判別された場合、セキュリティ攻撃対応部504は、条件B又は条件Cに該当する通信フレーム、即ち、一定時間内に同一の送信元から多量に送られてきた同一の通信フレーム又は送信元とコマンドの組合せが不一致な通信フレームを何もせずに全て破棄する。ただし、条件Bと条件Cのいずれにも該当しない通信フレームについては、同じ送信元であっても、通常通り取り扱うこととし、通常対応部502と同様の処理を実行する。
【0062】
(乗っ取り)
セキュリティ攻撃が“乗っ取り”であると判別された場合、セキュリティ攻撃対応部504は、当該送信元からの通信フレームを何もせずに全て破棄する。また、セキュリティ攻撃対応部504は、当該送信元を宛先とした通信フレームの送信を禁止する。
セキュリティ攻撃が“乗っ取り”であると判別された場合、セキュリティ攻撃対応部504は、当該送信元からの通信フレームを何もせずに全て破棄する。また、セキュリティ攻撃対応部504は、当該送信元を宛先とした通信フレームの送信を禁止する。
【0063】
図10は、空調機(室外機4及び室内機5)が実行する通信フレーム受信時処理の手順を示すフローチャートである。
【0064】
(ステップS101)
空調機は、空調システム1におけるいずれかの機器から新たな通信フレームを受信したか否かを判定する。いずれかの機器から通信フレームを受信した場合(ステップS101;YES)、空調機の処理は、ステップS102に遷移する。
空調機は、空調システム1におけるいずれかの機器から新たな通信フレームを受信したか否かを判定する。いずれかの機器から通信フレームを受信した場合(ステップS101;YES)、空調機の処理は、ステップS102に遷移する。
【0065】
(ステップS102)
空調機は、セキュリティ攻撃の有無を判定する。具体的には、空調機は、受信した通信フレームについて、上述した条件A~Cのそれぞれに該当するか否かを判定する。空調機は、受信した通信フレームについて、条件A~Cのいずれかに該当する場合、セキュリティ攻撃があると判定し、いずれにも該当しない場合、セキュリティ攻撃がないと判定する。セキュリティ攻撃はないと判定した場合(ステップS102;NO)、空調機の処理は、ステップS103に遷移する。一方、セキュリティ攻撃があると判定した場合(ステップS102;YES)、空調機の処理は、ステップS104に遷移する。
空調機は、セキュリティ攻撃の有無を判定する。具体的には、空調機は、受信した通信フレームについて、上述した条件A~Cのそれぞれに該当するか否かを判定する。空調機は、受信した通信フレームについて、条件A~Cのいずれかに該当する場合、セキュリティ攻撃があると判定し、いずれにも該当しない場合、セキュリティ攻撃がないと判定する。セキュリティ攻撃はないと判定した場合(ステップS102;NO)、空調機の処理は、ステップS103に遷移する。一方、セキュリティ攻撃があると判定した場合(ステップS102;YES)、空調機の処理は、ステップS104に遷移する。
【0066】
(ステップS103)
空調機は、受信した通信フレームの内容に基づく通常処理を実行する。その後、空調機の処理は、ステップS101に戻る。
空調機は、受信した通信フレームの内容に基づく通常処理を実行する。その後、空調機の処理は、ステップS101に戻る。
【0067】
(ステップS104)
空調機は、当該セキュリティ攻撃の種類を判別する。具体的には、空調機は、図9に示す攻撃種類判別用テーブルを使用して、当該セキュリティ攻撃の種類が、“リプレイ攻撃”、“なりすまし”及び“乗っ取り”のうちのいずれであるかを判別する。その後、空調機の処理は、ステップS105に遷移する。
空調機は、当該セキュリティ攻撃の種類を判別する。具体的には、空調機は、図9に示す攻撃種類判別用テーブルを使用して、当該セキュリティ攻撃の種類が、“リプレイ攻撃”、“なりすまし”及び“乗っ取り”のうちのいずれであるかを判別する。その後、空調機の処理は、ステップS105に遷移する。
【0068】
(ステップS105)
空調機は、判別したセキュリティ攻撃の種類に応じたセキュリティ攻撃対応処理を実行する。その後、空調機の処理は、ステップS101に戻る。
空調機は、判別したセキュリティ攻撃の種類に応じたセキュリティ攻撃対応処理を実行する。その後、空調機の処理は、ステップS101に戻る。
【0069】
以上説明したように、本実施の形態の空調システム1によれば、各空調機(各室外機4及び各室内機5)は、セキュリティ攻撃を検出すると、当該セキュリティ攻撃の種類を判別し、判別した種類に応じたセキュリティ攻撃対応処理を即座に実行する。このため、早急に当該セキュリティ攻撃による影響を排除することができ、当該セキュリティ攻撃による影響を抑えることが可能となる。
【0070】
また、各空調機は、セキュリティ攻撃対応処理において、セキュリティ攻撃があると判定した当該送信元との通信に基づく特定の処理等を危険性の高い処理として制限するものの、他の処理については通常処理として実行するため、空調システム1における影響を極力抑えることができ、また、ユーザの快適性を維持することが可能となる。
【0071】
本開示は、上記の実施の形態に限定されず、本開示の要旨を逸脱しない範囲での種々の変更は勿論可能である。
【0072】
(変形例1)
例えば、セキュリティ攻撃検出部500が、セキュリティ攻撃の有無を判定する際の条件(例えば、条件Bにおける、一定時間と一定回数、同一の通信フレームとみなす条件等)、セキュリティ攻撃の種類を判別するための規則(図9の攻撃種類判別用テーブルの内容)等については、サーバ2、集中管理装置3、リモコン6、端末装置8等を介して適宜変更できるようにしてもよい。また、空調機が、動作中に条件B等の条件の内容を学習して更新できるようにしてもよい。
例えば、セキュリティ攻撃検出部500が、セキュリティ攻撃の有無を判定する際の条件(例えば、条件Bにおける、一定時間と一定回数、同一の通信フレームとみなす条件等)、セキュリティ攻撃の種類を判別するための規則(図9の攻撃種類判別用テーブルの内容)等については、サーバ2、集中管理装置3、リモコン6、端末装置8等を介して適宜変更できるようにしてもよい。また、空調機が、動作中に条件B等の条件の内容を学習して更新できるようにしてもよい。
【0073】
(変形例2)
空調機(室外機4及び室内機5)において、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃が検出されたことをユーザに報知するユーザ報知部(本開示に係るユーザ報知手段の一例)をさらに備えるようにしてもよい。例えば、ユーザ報知部は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃を検出した時刻(即ち、現在時刻)と、当該セキュリティ攻撃の種類を示す情報とが含まれた通知(セキュリティ攻撃検出通知)を集中管理装置3、サーバ2、リモコン6又は端末装置8(以下、集中管理装置3等という。)に発報する。
空調機(室外機4及び室内機5)において、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃が検出されたことをユーザに報知するユーザ報知部(本開示に係るユーザ報知手段の一例)をさらに備えるようにしてもよい。例えば、ユーザ報知部は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃を検出した時刻(即ち、現在時刻)と、当該セキュリティ攻撃の種類を示す情報とが含まれた通知(セキュリティ攻撃検出通知)を集中管理装置3、サーバ2、リモコン6又は端末装置8(以下、集中管理装置3等という。)に発報する。
【0074】
上記のセキュリティ攻撃検出通知には、さらに、当該セキュリティ攻撃の種類を判別した際の判別条件の組合せと、セキュリティ攻撃対応処理の内容等が含まれていてもよい。セキュリティ攻撃検出通知を受信した集中管理装置3等は、当該セキュリティ攻撃検出通知が示す情報をディスプレイ33等に表示し、あるいは音声出力する等して、システム管理者、メンテナンス担当者等のユーザに報知する。また、セキュリティ攻撃検出部500は、セキュリティ攻撃検出通知を電子メール、SMS(Short Message Service)等によって予め登録された宛先に送信してもよい。
【0075】
上記に代えて、あるいは併用して、ユーザ報知部は、自機が備えるLEDを予め定めた態様で発光させることでユーザにセキュリティ攻撃が検出されたことを報知してもよいし、自機が備えるスピーカから音を出力させることでユーザにセキュリティ攻撃が検出されたことを報知してもよい。
【0076】
(変形例3)
ユーザインタフェースを備える機器(集中管理装置3、リモコン6及び端末装置8)から送信された通信フレームの受信時に、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃対応部504は、当該機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、当該機器から確認したことを示す応答フレームを受信した場合、先に受信した通信フレームを正常な通信フレームとして取り扱うようにし、当該通信フレームの内容に基づく通常処理を実行してもよい。
ユーザインタフェースを備える機器(集中管理装置3、リモコン6及び端末装置8)から送信された通信フレームの受信時に、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、セキュリティ攻撃対応部504は、当該機器に対してユーザの確認を要求する確認要求フレームを送信し、その後、当該機器から確認したことを示す応答フレームを受信した場合、先に受信した通信フレームを正常な通信フレームとして取り扱うようにし、当該通信フレームの内容に基づく通常処理を実行してもよい。
【0077】
(変形例4)
空調機(室外機4及び室内機5)において、“リプレイ攻撃”であると判定した通信フレームと同じ内容の通信フレーム(コマンド、データ値等が同一という意味)の通信フレームを他の機器に送信しなければならない場合、セキュリティ攻撃対応部504は、空調の動作、ユーザの快適性等に影響がない範囲で当該通信フレームの内容を変更してもよい。例えば、“リプレイ攻撃”であると判定された通信フレームが設定温度変更の通知を示すものであり、その設定温度が“26℃”であった場合に、同じ内容の通信フレームの送信が必要になると、セキュリティ攻撃対応部504は、設定温度の値を“25.5℃”に変更した通信フレームを送信する。
空調機(室外機4及び室内機5)において、“リプレイ攻撃”であると判定した通信フレームと同じ内容の通信フレーム(コマンド、データ値等が同一という意味)の通信フレームを他の機器に送信しなければならない場合、セキュリティ攻撃対応部504は、空調の動作、ユーザの快適性等に影響がない範囲で当該通信フレームの内容を変更してもよい。例えば、“リプレイ攻撃”であると判定された通信フレームが設定温度変更の通知を示すものであり、その設定温度が“26℃”であった場合に、同じ内容の通信フレームの送信が必要になると、セキュリティ攻撃対応部504は、設定温度の値を“25.5℃”に変更した通信フレームを送信する。
【0078】
また、セキュリティ攻撃対応部504は、“リプレイ攻撃”であると判別された通信フレームの内容が含まれた通知(以下、リプレイ攻撃検出通知という。)を空調システム1の各機器に対して発報してもよい。この場合、リプレイ攻撃検出通知を受信した各室外機4及び各室内機5は、上記のように、送信する通信フレームの内容を変更する対応を行うようにしてもよい。
【0079】
(変形例5)
セキュリティ攻撃対応部504は、“なりすまし”であると判別された通信フレームの送信元のアドレスが含まれた通知(以下、なりすまし検出通知という。)を空調システム1の各機器に対して発報してもよい。この場合、なりすまし検出通知で示されるアドレスと同一アドレスの正規の機器は、自機のアドレスを別の正規なアドレスに変更し、アドレスの変更を示す通知を空調システム1の各機器に対して送信してもよい。あるいは、集中管理装置3、室外機4等が、なりすまし検出通知で示されるアドレスの正規の機器に対して、別の正規のアドレスを振り直し、当該機器のアドレスの変更を示す通知を空調システム1の各機器に対して発報してもよい。
セキュリティ攻撃対応部504は、“なりすまし”であると判別された通信フレームの送信元のアドレスが含まれた通知(以下、なりすまし検出通知という。)を空調システム1の各機器に対して発報してもよい。この場合、なりすまし検出通知で示されるアドレスと同一アドレスの正規の機器は、自機のアドレスを別の正規なアドレスに変更し、アドレスの変更を示す通知を空調システム1の各機器に対して送信してもよい。あるいは、集中管理装置3、室外機4等が、なりすまし検出通知で示されるアドレスの正規の機器に対して、別の正規のアドレスを振り直し、当該機器のアドレスの変更を示す通知を空調システム1の各機器に対して発報してもよい。
【0080】
(変形例6)
セキュリティ攻撃対応部504は、“乗っ取り”であると判別された通信フレームの送信元のアドレスが含まれた通知(以下、乗っ取り検出通知という。)を空調システム1の各機器に対して発報してもよい。この場合、乗っ取り検出通知を受信した各機器は、以後、当該乗っ取り検出通知で示されるアドレスからの通信フレームを何もせずに全て破棄し、また、当該アドレスを宛先とした通信フレームの送信を行わないようにしてもよい。
セキュリティ攻撃対応部504は、“乗っ取り”であると判別された通信フレームの送信元のアドレスが含まれた通知(以下、乗っ取り検出通知という。)を空調システム1の各機器に対して発報してもよい。この場合、乗っ取り検出通知を受信した各機器は、以後、当該乗っ取り検出通知で示されるアドレスからの通信フレームを何もせずに全て破棄し、また、当該アドレスを宛先とした通信フレームの送信を行わないようにしてもよい。
【0081】
また、乗っ取り検出通知で示されるアドレスと同一アドレスの正規の機器は、自機のアドレスを別の正規なアドレスに変更し、アドレスの変更を示す通知を空調システム1の各機器に対して発報してもよい。あるいは、集中管理装置3、室外機4等が、乗っ取り検出通知で示されるアドレスの正規の機器に対して、別の正規のアドレスを振り直し、当該機器のアドレスの変更を示す通知を空調システム1の各機器に対して発報してもよい。
【0082】
(変形例7)
セキュリティ攻撃対応部504は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、上述した当該セキュリティ攻撃に応じたセキュリティ攻撃対応処理に加え、定常的に予め定めた順序で送信する通信フレームの組において、当該順序を変更する。例えば、空調機の状態(運転モード、風速、吸込温度等)を問い合わせるための通信フレームの組において、従前においては、A状態、B状態、C状態の順に問合せの通信フレームを送信していた場合に、セキュリティ攻撃対応部504は、B状態、A状態、C状態の順に通信フレームを送信するように変更する。また、セキュリティ攻撃対応部504は、当該変更を示す通知(以下、送信順序変更通知という。)を当該状態の問合せ先に発報する。
セキュリティ攻撃対応部504は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、上述した当該セキュリティ攻撃に応じたセキュリティ攻撃対応処理に加え、定常的に予め定めた順序で送信する通信フレームの組において、当該順序を変更する。例えば、空調機の状態(運転モード、風速、吸込温度等)を問い合わせるための通信フレームの組において、従前においては、A状態、B状態、C状態の順に問合せの通信フレームを送信していた場合に、セキュリティ攻撃対応部504は、B状態、A状態、C状態の順に通信フレームを送信するように変更する。また、セキュリティ攻撃対応部504は、当該変更を示す通知(以下、送信順序変更通知という。)を当該状態の問合せ先に発報する。
【0083】
上記の送信順序変更通知を受信した機器は、以後、状態の問合せに係る通信フレームについては、当該送信順序変更通知で示される順番で受信した場合に限り、正常な通信フレームとして取り扱う。
【0084】
(変形例8)
セキュリティ攻撃対応部504は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、上述した当該セキュリティ攻撃に応じたセキュリティ攻撃対応処理に加え、予め定めた重要性の高い情報に係る通信フレームの送信及び受信を制限してもよい。例えば、セキュリティ攻撃対応部504は、室内機5が備える熱画像センサによる人検出の有無を示す情報等の高度な制御に用いる情報の送信及び受信を制限したり、室外機4、室内機5のファームウェアの更新の際のファームウェアのダウンロード等を制限する。
セキュリティ攻撃対応部504は、セキュリティ攻撃検出部500によってセキュリティ攻撃があると判定された場合、上述した当該セキュリティ攻撃に応じたセキュリティ攻撃対応処理に加え、予め定めた重要性の高い情報に係る通信フレームの送信及び受信を制限してもよい。例えば、セキュリティ攻撃対応部504は、室内機5が備える熱画像センサによる人検出の有無を示す情報等の高度な制御に用いる情報の送信及び受信を制限したり、室外機4、室内機5のファームウェアの更新の際のファームウェアのダウンロード等を制限する。
【0085】
(変形例9)
攻撃有無判定部510は、警告の要否判定をさらに行うようにし、また、空調機の機能構成(図8参照)に警告部を新たに追加してもよい。この場合、警告が必要であると判定するための条件は、セキュリティ攻撃があると判定するための条件よりも緩くなる。例えば、条件Bにおいて、一定時間内に同一の通信フレームを15回以上受信した場合は、セキュリティ攻撃があると判定するが、一定時間内に同一の通信フレームを8回以上15回未満受信した場合は、警告の必要があると判定する。
攻撃有無判定部510は、警告の要否判定をさらに行うようにし、また、空調機の機能構成(図8参照)に警告部を新たに追加してもよい。この場合、警告が必要であると判定するための条件は、セキュリティ攻撃があると判定するための条件よりも緩くなる。例えば、条件Bにおいて、一定時間内に同一の通信フレームを15回以上受信した場合は、セキュリティ攻撃があると判定するが、一定時間内に同一の通信フレームを8回以上15回未満受信した場合は、警告の必要があると判定する。
【0086】
セキュリティ攻撃があると判定するための条件は満たさないが、警告が必要であると判定するための条件を満たす場合、警告部は、その旨を示す通知を集中管理装置3、サーバ2、リモコン6、端末装置8等に発報したり、自機のLEDを発光させたり、自機から音声、電子音を出力させる等してユーザに警告する。ただし、この場合、セキュリティ攻撃対応部504は、セキュリティ攻撃対応処理を実行しない。
【0087】
(変形例10)
また、集中管理装置3及びリモコン6が、上記の実施の形態における空調機と同様の機能構成(図8参照)を備えるようにしてもよい。
また、集中管理装置3及びリモコン6が、上記の実施の形態における空調機と同様の機能構成(図8参照)を備えるようにしてもよい。
【0088】
(変形例11)
また、空調機(室外機4及び室内機5)の機能部(図8参照)の全部又は一部が、専用のハードウェアで実現されるようにしてもよい。専用のハードウェアとは、例えば、単一回路、複合回路、プログラム化されたプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)又はこれらの組み合わせである。
また、空調機(室外機4及び室内機5)の機能部(図8参照)の全部又は一部が、専用のハードウェアで実現されるようにしてもよい。専用のハードウェアとは、例えば、単一回路、複合回路、プログラム化されたプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)又はこれらの組み合わせである。
【0089】
上記の各変形例に係る技術思想は、それぞれ単独で実現されてもよいし、適宜組み合わされて実現されてもよい。
【0090】
本開示は、広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能である。また、上述した実施の形態は、本開示を説明するためのものであり、本開示の範囲を限定するものではない。つまり、本開示の範囲は、実施の形態ではなく、請求の範囲によって示される。そして、請求の範囲内及びそれと同等の開示の意義の範囲内で施される様々な変形が、本開示の範囲内とみなされる。
【産業上の利用可能性】
【0091】
本開示は、複数の空調機で構成される空調システムに好適に採用され得る。
【符号の説明】
【0092】
1 空調システム、2 サーバ、3 集中管理装置、4,4a~4c 室外機、5,5a~5f 室内機、6 リモコン、7 通信アダプタ、8 端末装置、9,10,10a~10c 伝送ライン、30,40,50,60,70 第1通信インタフェース、31,41,51,61,71 第2通信インタフェース、32,62,81 操作受付部、33,63,82 ディスプレイ、34,43,53,64,72,83 制御回路、35,44,54,65,73,84 補助記憶装置、42,52 メインユニット、80 通信インタフェース、500 セキュリティ攻撃検出部、501 通信異常検出部、502 通常対応部、503 通信異常対応部、504 セキュリティ攻撃対応部、510 攻撃有無判定部、511 攻撃種類判別部、N ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】