▶ NECプラットフォームズ株式会社の特許一覧 ▶ 日本電気株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-09
(45)【発行日】2024-09-18
(54)【発明の名称】中継装置、中継方法、及び中継用プログラム
(51)【国際特許分類】
H04L 12/28 20060101AFI20240910BHJP
H04L 12/22 20060101ALI20240910BHJP
【FI】
H04L12/28 200Z
H04L12/22
【請求項の数】
9
(21)【出願番号】P 2023036113
(22)【出願日】2023-03-09
(62)【分割の表示】P 2021151800の分割
【原出願日】2016-08-24
(65)【公開番号】P2023060297
(43)【公開日】2023-04-27
【審査請求日】2023-03-09
(73)【特許権者】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】上原 和彦
【審査官】長谷川 未貴
(56)【参考文献】
【文献】特開2015-050767(JP,A)
【文献】特開2011-029900(JP,A)
【文献】特開平10-210164(JP,A)
【文献】特開平08-280057(JP,A)
【文献】米国特許出願公開第2010/0165878(US,A1)
【文献】国際公開第2015/174100(WO,A1)
【文献】特開2015-179925(JP,A)
【文献】特開2002-232453(JP,A)
【文献】特開2013-070183(JP,A)
【文献】特開2016-152453(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-101/00
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
中継装置であって、1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、
1のIoT(Internet Of Things)機器のみと接続する第2の接続ポートと、
第1の処理の対象となるフレームの、前記第1または前記第2の接続ポートを識別する情報を含む、第1のリストを記憶する記憶手段と、
前記PLCと前記IoT機器との間の通信を中継する中継手段と、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合する照合手段と、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する制御手段と、
を備え、
前記記憶手段は、前記第1の処理の対象となるフレームの、前記第1または前記第2の接続ポートを識別する情報を含むリストを曜日、時間帯、および運用時の通信量に応じて複数記憶し、
前記第1のリストは、曜日、時間帯、および通信量に基づいて前記複数のリストから選択される
中継装置。
【請求項2】
前記第1の処理は、前記受信したフレームの宛先に前記受信したフレームを転送する処理である、請求項1の中継装置。
【請求項3】
前記照合の結果、合致しなかった場合は、さらに前記受信したフレームを破棄する請求項1または請求項2の中継装置。
【請求項4】
前記複数のリストは、3以上のリストである、請求項1から請求項3のいずれかに記載の中継装置。
【請求項5】
中継装置が、第1の処理の対象となるフレームの、1のPLCのみと接続する第1の接続ポートまたは1のIoT機器のみと接続する第2の接続ポートを識別する情報を含む、第1のリストを記憶し、
前記PLCと前記IoT機器との間の通信を中継し、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合し、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する、
処理を行い、
前記記憶する処理は、前記第1の処理の対象となるフレームの、前記第1または前記第2の接続ポートを識別する情報を含むリストを曜日、時間帯、および運用時の通信量に応じて複数記憶し、
前記第1のリストは、曜日、時間帯、および通信量に基づいて前記複数のリストから選択される
中継方法。
【請求項6】
前記第1の処理は、前記受信したフレームの宛先に前記受信したフレームを転送する処理である、請求項5の中継方法。
【請求項7】
前記照合の結果、合致しなかった場合は、さらに前記受信したフレームを破棄する請求項5または請求項6の中継方法。
【請求項8】
前記複数のリストは、3以上のリストである、請求項5から請求項7のいずれかに記載の中継方法。
【請求項9】
コンピュータに、第1の処理の対象となるフレームの、1のPLCのみと接続する第1の接続ポートまたは1のIoT機器のみと接続する第2の接続ポートを識別する情報を含む、第1のリストを記憶し、
前記PLCと前記IoT機器との間の通信を中継し、
前記第1または第2の接続ポートから受信したフレームを、前記第1または前記第2の接続ポートを識別する情報を用いて、前記第1のリストと照合し、
前記照合の結果、前記受信したフレームが前記第1のリストと合致した場合は、前記第1の処理をし、合致しなかった場合は、管理者に通知する、
処理を実行させ、
前記記憶する処理は、前記第1の処理の対象となるフレームの、前記第1または前記第2の接続ポートを識別する情報を含むリストを曜日、時間帯、および運用時の通信量に応じて複数記憶し、
前記第1のリストは、曜日、時間帯、および通信量に基づいて前記複数のリストから選択される
中継用プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ通信におけるデータの中継をするための中継装置、通信システム、中継方法、及び中継用プログラムに関する。
【背景技術】
【0002】
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。
【0003】
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)といった手段を用いた、悪意のある者からの脅威にさらされることにもなる。
【0004】
しかしながら、例えば、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器のそれぞれに、悪意のある者からの脅威の対策を施すことは容易ではない。なぜならば、工作機器、センサ及びカメラ等の機器には、そもそもこのような対策を施すための機能が実装されていないことがあるからである。
【0005】
そのため、これら機器そのものではなく、これらの機器の通信を中継する中継装置が、悪意のある者からの脅威に対応するためのセキュリティ機能を備えることが重要となる。
【0006】
そのような中、例えば、特許文献1においては、許容された通信規制に合致するパケットのリストを予め格納し、当該リストに合致するパケットの通信を許容するネットワークスイッチが開示されている。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2015-050767号公報
【文献】特開2014-1201381号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、特許文献1に係る装置においては、特定の端末において、平常時は通信させたくないが、ある曜日のある時間にのみ通信させたいといった場合に対応できないという問題があった。更に、正規の通信フローにおいて、特定ポート向けの通信量が、通常時などと比較し増減があった場合に、正規の通信フローを遮断、或いは、迂回、帯域制御等を含む通信制御が出来ないという問題があった。
【0009】
この点、例えば特許文献2においては、ユーザの操作と当該操作をした時に発生した異常との対応関係が、異常発生時の日時と共に記載されたリストが生成され、当該リストに基づいて、異常が発生する確度の高いユーザの操作を警告する発明が開示されている。しかし、特許文献2に係る発明においては、リストに記載の日時はあくまで過去の時刻であり、リストのデータは過去の実績を蓄積したものにすぎないため、現時点以降のスケジュールに応じて動作を制御するものではない。更に、現時点の日時によって参照するリストを切り替えるものでもない。
【0010】
そこで、本発明は、運用時の曜日と時刻に応じて通信を制御することのできる中継装置を提供することを目的とする。更に、正規の通信フローにおいて、通信量が通常時と比較し増減があった場合に、正規の通信フローに対し、遮断、迂回、帯域制御、監視等の制御を実施可能な中継装置を提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明の第1の観点によれば、中継装置であって、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLC(Programmable Logic Controller)のみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置が提供される。
【0012】
本発明の第2の観点によれば、中継装置と、前記中継装置に接続された設定用端末と、を備え、前記中継装置は、当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポートと、1のIoT機器のみと接続する第2の接続ポートと、前記第1または第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、を備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とし、前記設定用端末は、前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更する、通信システムが提供される。
【0013】
本発明の第3の観点によれば、中継装置で用いられる中継方法であって、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合するステップと、前記照合するステップによる前記照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップと、を有し、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記照合するステップでは、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継方法が提供される。
【0014】
本発明の第4の観点によれば、コンピュータを中継装置として機能させる中継用プログラムであって、前記コンピュータを、前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、1のPLCのみと接続する第1の接続ポート、または1のIoT機器のみと接続する第2の接続ポートから受信したフレームを前記リストと照合する解析手段と、前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段と、備え、前記リストは、前記第1または第2の接続ポートを識別する情報を含み、前記解析手段は、前記照合時に、さらに、前記第1または第2の接続ポートを識別する情報を条件とする、中継装置として機能させる中継用プログラムが提供される。
【発明の効果】
【0015】
本発明によれば、中継時に適切な処理を行うことが可能となる。
【図面の簡単な説明】
【0016】
【図1】本発明の各実施形態全体の基本的構成を表す図である。
【図2】本発明の第1の実施形態における曜日・時間毎の通信例を示す図である。
【図3】本発明の第1の実施形態における曜日・時間毎の許可リストの一覧を示す図である。
【図4】本発明の第1の実施形態における許可リスト例を示す図である。
【図5】本発明の第1の実施形態における許可リスト例を示す図である。
【図6】本発明の第1の実施形態における動作設定例を示す図である。
【図7】本発明の第1の実施形態における中継装置の構成例を示す図である。
【図8-1】本発明の第1の実施形態における中継装置の動作フローを示すフローチャートである。
【図8-2】本発明の第1の実施形態における中継装置の動作フローを示すフローチャートである。
【図9】本発明の第2の実施形態における通信量毎の通信例を示す図である。
【図10】本発明の第2の実施形態における通信量毎の許可リストの一覧を示す図である。
【図11】本発明の第2の実施形態における許可リスト例を示す図である。
【図12】本発明の第2の実施形態における許可リスト例を示す図である。
【図13】本発明の第2の実施形態における中継装置の構成例を示す図である。
【図14-1】本発明の第2の実施形態における中継装置の動作フローを示すフローチャートである。
【図14-2】本発明の第2の実施形態における中継装置の動作フローを示すフローチャートである。
【図15】本発明の第3の実施形態における曜日・時間・通信量毎の通信例を示す図である。
【図16】本発明の第3の実施形態における曜日・時間・通信量毎の許可リストの一覧を示す図である。
【図17】本発明の第3の実施形態における許可リスト例を示す図である。
【図18】本発明の第3の実施形態における許可リスト例を示す図である。
【図19】本発明の第3の実施形態における許可リスト例を示す図である。
【図20】本発明の第3の実施形態における中継装置の構成例を示す図である。
【図21-1】本発明の第3の実施形態における中継装置の動作フローを示すフローチャートである。
【図21-2】本発明の第3の実施形態における中継装置の動作フローを示すフローチャートである。
【発明を実施するための形態】
【0017】
<本発明の各実施形態の概略>
まず、本発明の各実施形態の概略について説明する。
まず、本発明の各実施形態の概略について説明する。
【0018】
本発明の実施形態では、問題の無いと考えられる通信先を特定する情報をリストとし(このようなリストを、以下「許可リスト」と呼ぶ。)、この許可リストに一致するフレームについては転送を許可し、この許可リストに一致しないフレームについては破棄する方法を採用する。
【0019】
ここで、本発明においては、複数の許可リストを用意する。例えば、曜日及び時間に応じ、各曜日の8:30~17:29用の許可リストと、各曜日の17:30~8:29用の許可リストとを用意する。これにより、曜日及び時間に応じて、通信制御の方法を切り替えるセキュリティスイッチを提供することが可能となる。
【0020】
あるいは、通信量に応じ、通信量が正常の場合の許可リストと、通信量が異常の場合の許可リストとを用意する。これにより、通信量に異常が見られた場合に、正規の通信フローに対し遮断などの制御をすることが可能なセキュリティスイッチを提供することが可能となる。
【0021】
更に、本発明の実施形態では、かかる許可リストの少なくとも一部を自動的に生成する機能も提供する。
【0022】
具体的には、中継装置に、登録期間と運用期間を設ける。そして、登録期間において中継装置に入力したフレームを許可リストに追加することにより許可リストを自動生成する。このとき、自動生成した許可リストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。
【0023】
その後、登録期間から運用期間に切り替え、中継装置に入力したフレームと、登録期間で自動生成した許可リストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等する。
【0024】
これにより、許可リストの自動生成及び許可リストによるセキュリティ管理を行うことができる。
【0025】
以上が、本発明の実施形態の概略である。
【0026】
次に、本発明の実施形態について図面を参照して詳細に説明する。ここで、以下では、本発明の実施形態を3つ説明する。
まず、第1の実施形態は、曜日・時間毎に許可リストを生成し、運用時の曜日・時間に応じて参照する許可リストを切り替える形態である。
次に、第2の実施形態は、通信量毎に許可リストを生成し、運用時の通信量に応じて参照する許可リストを切り替える形態である。
更に、第3の実施形態は、曜日・時間・通信量毎に許可リストを生成し、運用時の曜日・時間・通信量に応じて参照する許可リストを切り替える形態である。
以下では、これら3つの実施形態について順に説明する。
まず、第1の実施形態は、曜日・時間毎に許可リストを生成し、運用時の曜日・時間に応じて参照する許可リストを切り替える形態である。
次に、第2の実施形態は、通信量毎に許可リストを生成し、運用時の通信量に応じて参照する許可リストを切り替える形態である。
更に、第3の実施形態は、曜日・時間・通信量毎に許可リストを生成し、運用時の曜日・時間・通信量に応じて参照する許可リストを切り替える形態である。
以下では、これら3つの実施形態について順に説明する。
【0027】
【0028】
図1を参照すると本実施形態は、セキュリティスイッチ100、複数の通信端末10-1乃至10-n(これらをここでは、「通信端末10」とも総称する)、設定用端末50、ファイアウォール500及びインターネット700を含む。(なお、セキュリティスイッチは、本明細書において「中継装置」とも呼称する。)
【0029】
ここで、セキュリティスイッチ100は、通信端末10間の通信や、通信端末10によるファイアウォール500及びインターネット700を介した通信を中継するためのセキュリティスイッチである。
【0030】
この点、本実施形態では、図示しているようにセキュリティスイッチ100とインターネット700との間にファイアウォール500を設けている。そして、このファイアウォール500に対してユーザのポリシーに従った設定を行うことにより、インターネット700からの、ウイルス等の悪意のあるデータの流入や、意図しないデータのインターネット700への流出を防止することができる。
【0031】
しかしながら、ファイアウォール500は、インターネット700に存在する機器との間の通信において機能するが、各通信端末10間の通信については機能しない。そこで、本実施形態では、各通信端末10間での不適切な通信を防止するために、単なる中継装置ではなくセキュリティ機能を搭載したセキュリティスイッチ100を接続する。
【0032】
そして、セキュリティスイッチ100は、上述している許可リストを利用した処理を行うことにより、悪意のあるフレームを転送しないようにする。セキュリティスイッチ100には複数の接続用のポートが設けられ、かかるポートに各通信端末10やファイアウォール500が接続される。
【0033】
複数の通信端末10は、それぞれが通信機能を有する端末である。通信端末10は、セキュリティスイッチ100を介して他の通信端末10との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control Protocol)や、FTP(File Transfer Protocol)といった一般的なプロトコルに準拠して実行される。
なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
【0034】
また、例えば一部の通信端末10が、インターネット700に存在する端末と通信を行う機能を有していても良い。更に、通信端末10は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。また、工作機械を制御するPLC(Programmable Logic Controller)等の機器であっても良い。
【0035】
設定用端末50は、セキュリティスイッチ100についての設定を行うための端末である。設定用端末50は、本実施形態を管理する管理者等により用いられる。設定用端末50は、セキュリティスイッチ100を設定するための専用の端末で実現しても良いが、セキュリティスイッチ100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。
【0036】
インターネット700は、通信端末10等が外部と通信を行うためにファイアウォール500を介してセキュリティスイッチ100に接続されている。
【0037】
ファイアウォール500は、インターネット700との間で送受信するデータを監視し、悪意があると考えられるデータを廃棄する機能を有する。
【0038】
ここで、図2(A)に示すように、例えば平日(月曜日から金曜日)の8:30~17:29の時間帯においては、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するものとする。一方で、平日(月曜日から金曜日)の17:30~8:29の時間帯においては、図2(B)に示すように、サーバPC10-3とバックアップ・サーバPC10-4との間に通信のみを許可するものとする。
【0039】
そこで、図3に示すように複数の許可リストを用意する。すなわち、各曜日の8:30~17:29及び17:30~8:29のそれぞれの時間帯毎に、許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30~17:29の時間帯におけるセキュリティスイッチ100の運用のために、「日-昼」という許可リストを生成し、当該時間帯においては、「日-昼」という許可リストを参照して通信を制御する。同様に、日曜日の17:30~8:29の時間帯におけるセキュリティスイッチ100の運用のために、「日-夜」という許可リストを生成し、当該時間帯においては、「日-夜」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30~17:29及び17:30~8:29の時間帯毎に、許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
【0040】
図4に示すのは、平日(月~金)の8:30~17:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月-昼」、「火-昼」、「水-昼」、「木-昼」、「金-昼」なる名称の許可リストの例である。
【0041】
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス(Destination address))が“M-PC3”、MAC-SA(送信元マックアドレス(Source address))が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
【0042】
また、図5に示すのは、平日(月~金)の17:30~8:29の時間帯に対応する許可リストの例である。すなわち、図3の表における、「月-夜」、「火-夜」、「水-夜」、「木-夜」、「金-夜」の許可リストの例である。
【0043】
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC4”、MAC-SA(送信元マックアドレス)が“M-PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC3”、IP-DA(宛先IPアドレス)が“IP-PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
【0044】
許可リストには、例えば、セキュリティスイッチ100を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
【0045】
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
【0046】
図6に示すのは、図4及び図5に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定の一例を示す表である。具体的には、図6の表は、フレームが許可リストと一致したフレームは、セキュリティスイッチ100を通過させると共に、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知することを示す。
【0047】
次に、図7を参照して、第1の実施形態に係るセキュリティスイッチ100に含まれる機能ブロックについて説明する。図7を参照すると、セキュリティスイッチ100は、フレーム解析部110、許可リスト生成部120、許可リスト記憶部130、曜日・時間管理部140、通信制御部150を含む。なお、ここでは、上記のフレーム解析部110を「解析手段」、許可リスト記憶部130を「記憶手段」、通信制御部150を「制御手段」とも呼称する。
【0048】
フレーム解析部110は、セキュリティスイッチ100が外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
【0049】
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。
【0050】
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。
【0051】
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC-DA)や、送信元アドレス(MAC-SA)を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。
【0052】
フレーム解析部110には、設定用端末50により「登録期間設定」と「動作設定」の2つの設定がなされる。
【0053】
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。具体的には、例えば「月-昼」のリストを生成する際は、登録期間を、月曜日の8:30~17:29とする。
【0054】
また、動作設定では、受信した入力フレームのフレーム情報が、各リストと一致した場合と、各リストと一致しなかった場合とで、それぞれどのような動作を行うのかが設定される。例えば、許可リストに一致した場合には、対応するフレームを通過させるように設定できる。また、許可リストに一致しなかった場合には、対応するフレームを廃棄させるように設定できる。また、ここで、通過とは、受信した入力フレームを、フレーム解析部110を通過させて出力することにより、フレームを、フレーム内の宛先アドレスに対応する宛先に転送するということである。
【0055】
また、これのみならず、各リストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、各リストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末50により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
【0056】
通知先は、例えば、設定用端末50であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、セキュリティスイッチ100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、セキュリティスイッチ100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。
【0057】
また、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述の曜日・時間管理部140から受信した、現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
【0058】
更に、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、フレーム情報を受信した入力フレームから抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間に対応する許可リストとを比較する。
【0059】
比較の結果、フレーム情報が許可リストと一致したならば、対応する動作設定の設定に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
【0060】
一方で、比較の結果、フレーム情報が許可リストと一致しないのであれば、対応する動作設定の設定に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄すると共に、廃棄したことを設定用端末50に対して通知する。
【0061】
許可リスト生成部120は、登録期間において、フレーム解析部110からフレーム情報を受信すると動作を開始する。受信したフレーム情報から許可リスト情報を生成し、許可リスト記憶部130に許可リスト情報を記憶する。
【0062】
許可リスト記憶部130は、許可リストを記憶する記憶部である。許可リスト記憶部130が記憶する許可リストは、登録期間において許可リスト生成部120により生成される。そして、許可リスト記憶部130が記憶する許可リストは、運用期間においてフレーム解析部110に参照されて利用される。
【0063】
許可リストには、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末10において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末10において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
【0064】
なお、許可リストは、上述したように、登録期間において、許可リスト生成部120により生成される。これに加えて、設定用端末50からの「リスト設定」にて許可リストが修正されるようにしても良い。例えば、設定用端末50を利用する管理者が許可リストの一部を削除したり、新たなフレーム情報を許可リストに追加したりできるようにしても良い。このようにすれば、例えば通信端末10を新たに追加するような場合に、再度登録期間を得なくとも、新たに追加する通信端末10に関連するフレームを通過させることが可能となる。また、他にも、例えば既存の通信端末10を一部取り外した場合に、再度登録期間を得なくとも、取り外した通信端末10に関連するフレーム情報を許可リストから削除することができる。
【0065】
なお今回、許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
【0066】
曜日・時間管理部140は、いわゆるカレンダーの役割を果たし、現時点での曜日・時間のデータを出力する。
【0067】
通信制御部150は、必要により許可リスト記憶部130に記憶された許可リストを参照しながら、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。
【0068】
次に、図8-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。
【0069】
まず、ステップS101において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30~17:29」と設定した場合は、月曜日の8:30~17:29が学習期間になると共に、月曜日の8:30~17:29における運用時に参照される許可リストが生成される。
【0070】
次に、ステップS102において、セキュリティスイッチ100は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S102:Yes)、ステップS103に進む。一方で、登録期間に設定されていないならば(S102:No)、すなわち、運用期間に設定されているならば、図8-2のステップS108に進む。
【0071】
次に、ステップS103において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信制御部150を経由して、出力フレームとして出力される。
【0072】
次に、ステップS104において、フレーム解析部110が送信したフレーム情報に対し、曜日・時間管理部140が、現時点の曜日と時間のデータを付与する。
【0073】
次に、ステップS105において、許可リスト生成部120が、現時点の曜日と時間のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
【0074】
次に、ステップS106において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
【0075】
次に、ステップS107において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
【0076】
次に、ステップS108において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S108:Yes)は、図8-2のステップS109に移行する。登録期間が終了していない場合(S108:No)は、ステップS103に戻る。
【0077】
次に、このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図8-2を参照して説明をする。
【0078】
まず、ステップS109において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
【0079】
次に、ステップS110において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば、現時点が月曜日の12:30である場合は、「月-昼」の選択を指示する。
【0080】
次に、ステップS111において、フレーム解析部110は、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば上記の例においては、「月-昼」の許可リストを参照する。
【0081】
次に、ステップS112において、フレーム解析部110は抽出したフレーム情報と参照した許可リストを比較し、両者が一致するか否かを判定する。
【0082】
両者が一致した場合(S112:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS113)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
ただし、通知はしない。
【0083】
ステップS113の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0084】
両者が一致しない場合(S112:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS114)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
【0085】
ステップS114の処理が終了すると、ステップS109に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0086】
上記の第1の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。
【0087】
なお、上記の第1の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。
【0088】
【0089】
【0090】
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。一方で、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替える。
【0091】
図9に示すように、通信量正常時は、(A)に示すように、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するとする。一方で、(B)に示すように、通信量異常時には、一切の通信を許可しないものとする。
【0092】
そこで、図10に示すように、通信量に応じて、参照する許可リストを切り替える。例えば、通信量が0Mbps~5Mbpsの通信量の際は、通信量が正常である際に用いる、「正常」という名称の許可リストを参照して通信を制御する。一方で、通信量が5Mbpsを超えた場合は、通信量が異常である際に用いる、「異常」という名称の許可リストを参照して通信を制御する。なお、ここで述べる通信量とはセキュリティスイッチ単位での通信量でもよいし、ポート単位での通信量でもよい。
【0093】
【0094】
第1の実施形態に係る図4の表と同様に、具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC3”、MAC-SA(送信元マックアドレス)が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
【0095】
【0096】
【0097】
図11及び図12に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図11に示す許可リストに一致したフレームは、セキュリティスイッチ200を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図12に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
【0098】
次に、図13を参照して、第2の実施形態に係るセキュリティスイッチ200に含まれる機能ブロックについて説明する。なお、図13においては、第1の実施形態に係るセキュリティスイッチ100と同一の構成要素については、同一の符号を用いて示す。
【0099】
セキュリティスイッチ200は、曜日・時間管理部140、及び通信制御部150を含まない代わりに、通信量監視部210、通信量管理部220、及び通信制御部230を含む点で、第1の実施形態に係るセキュリティスイッチ100とは異なる。
【0100】
通信量監視部210は、通過するデータの通信量を監視し、定期的に通信量管理部220に通信量を通知する。監視する粒度は、物理ポート単位でもよいし、装置単位でもよい。監視する通信量の範囲は、通信量管理部220の指示に従う。
【0101】
通信量管理部220は、通信量設定手段により、学習期間における通信量期待値を設定する。設定は、ある程度の幅を持たせた設定がされる。例えば、「0Mbps以上、5Mbps以下」と設定しても良く、「5Mbps±20%」と設定しても良い。実際の通信量がこの幅の範囲内にある場合は、通信量が正常であると判断され、この幅を超えた場合は、通信量が異常であると判断される。この通信量期待値は、フレーム解析部110から許可リスト生成部120にフレーム情報を受け渡す際、フレーム情報に付与される。その後、当該通信量期待値は、許可リスト記憶部130に許可リストが記憶される際、当該許可リストの属性として、同時に記憶される。
【0102】
また、通信量管理部220は、通信量監視部210から通信量を定期的に入手すると共に、許可リスト記憶部130から許可リストが対応する通信量期待値のデータを入手する。更に、定期的に通信量監視部210から入手した通信量と、許可リスト記憶部130から入手した通信量期待値データとを比較し、実際の通信量が通信量期待値の範囲外にある場合は、フレーム解析部110が参照する許可リストの選択を指示する。加えて、通信制御部230に対して帯域制御等の指示をしても良い。実際の通信量が通信量期待値の範囲内に戻った場合は、再度、フレーム解析部110が参照する許可リストの選択、及び通信制御部230に対する指示を実施する。
【0103】
通信制御部230は、フレーム解析部110に設定された動作設定に従い、フレームを実際に処理する。更に、通信量管理部220からの指示に従い、帯域制御などの通信制御を行ってもよい。
【0104】
次に、図14-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。
【0105】
まず、ステップS201において、セキュリティスイッチ200は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S201:Yes)、ステップS202に進む。一方で、登録期間に設定されていないならば(S201:No)、すなわち、運用期間に設定されているならば、図14-2のステップS209に進む。
【0106】
次に、ステップS202において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
【0107】
次に、ステップS203において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps~5Mbpsを通信量正常の範囲内とする場合は、「0Mbps~5Mbps」なるデータを付与する。
【0108】
次に、ステップS204において、許可リスト生成部120が、通信量期待値が付与されたフレーム情報を受信し、実際の通信量が通信量期待値の範囲内である場合の許可リスト情報を生成する。
【0109】
次に、ステップS205において、許可リスト生成部120が、生成した許可リスト情報を許可リスト記憶部130に転送する。
【0110】
次に、ステップS206において、許可リスト記憶部130が、転送されてきた許可リスト情報を記憶する。
【0111】
次に、ステップS207において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S207:Yes)は、ステップS208に移行する。登録期間が終了していない場合(S207:No)は、ステップS202に戻る。
【0112】
次に、ステップS208において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図12の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図12のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
【0113】
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図14-2を参照して説明をする。
【0114】
まず、ステップS209において、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
【0115】
次に、ステップS210において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
【0116】
次に、ステップS211において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、図10の表の項番1である「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、図10の表の項番2である「通信量異常」の選択を指示する。
【0117】
次に、ステップS212において、フレーム解析部110が、ステップS211において、通信量管理部220により選択を指示された通信量範囲に対応する許可リストを参照する。
【0118】
次に、ステップS213において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
【0119】
両者が一致した場合(S213:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS214)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
ただし、通知はしない。
【0120】
ステップS214の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0121】
両者が一致しない場合(S213:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS215)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
【0122】
ステップS215の処理が終了すると、ステップS209に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0123】
上記の第2の実施形態により、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と正常時の通信量期待値とを通信量管理部220で比較し、範囲外であれば、通信制御部230で通信制御するためである。
【0124】
なお、上記の説明では、通信量が正常の場合と異常の場合の2通りの許可リストのみ例示しているが、本実施形態はこれには限定されず、通信量に応じて3通り以上の許可リストを生成・参照しても良い。
【0125】
【0126】
【0127】
第1の実施形態においては、曜日・時間毎に許可リストを生成し、運用している時点での曜日・時間に応じて、参照する許可リストを切り替えていた。また、第2の実施形態においては、通信量に応じた許可リストを生成し、運用している時点での通信量に応じて、参照する許可リストを切り替えていた。第3の実施形態は、これらの複合、すなわち、曜日・時間・通信量に応じた許可リストを生成し、運用している時点での曜日・時間・通信量に応じて、参照する許可リストを切り替える。
【0128】
図15(A)に示すように、例えば、平日(月曜日から金曜日)の8:30~17:29の時間帯において通信量が正常である場合は、PC10-1とサーバPC10-3との間、及びPC10-2とサーバPC10-3との間の通信のみを許可するものとする。また、平日(月曜日から金曜日)の17:30~8:29の時間帯において通信量が正常である場合は、図15(B)に示すように、サーバPC10-3とバックアップ・サーバPC10-4との間に通信のみを許可するものとする。更に、平日(月曜日から金曜日)において通信量が異常である場合は、図15(C)に示すように、一切の通信を許可しないものとする。
【0129】
そこで、図16に示すように複数の許可リストを用意する。すなわち、各曜日の8:30~17:29及び17:30~8:29のそれぞれの時間帯毎に、通信量が正常の場合と異常の場合の許可リストを生成し、運用の際に参照するとする。例えば、日曜日の8:30~17:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ300の運用のために、「日-昼-正常」という許可リストを生成し、当該時間帯での運用時においては、「日-昼-正常」という許可リストを参照して通信を制御する。また、日曜日の8:30~17:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ300の運用のために、「日-昼-異常」という許可リストを生成し、当該時間帯においては、「日-昼-異常」という許可リストを参照して通信を制御する。
同様に、日曜日の17:30~8:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-正常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-正常」という許可リストを参照して通信を制御する。また、日曜日の17:30~8:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-異常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-異常」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30~17:29及び17:30~8:29の時間帯毎に、通信量が正常である場合と異常である場合の許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
同様に、日曜日の17:30~8:29の時間帯において通信量が正常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-正常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-正常」という許可リストを参照して通信を制御する。また、日曜日の17:30~8:29の時間帯において通信量が異常である場合におけるセキュリティスイッチ100の運用のために、「日-夜-異常」という許可リストを生成し、当該時間帯での運用時においては、「日-夜-異常」という許可リストを参照して通信を制御する。以下同様に、月曜日から土曜日各々の、8:30~17:29及び17:30~8:29の時間帯毎に、通信量が正常である場合と異常である場合の許可リストを生成し、各許可リストが対応する時間帯に当該許可リストを参照することにより、セキュリティスイッチ100を運用する。
【0130】
図17に示すのは、平日(月曜日から金曜日)の8:30~17:29の時間帯において通信量が正常の場合に対応する許可リストの例である。すなわち、図16の表における、「月-昼-正常」、「火-昼-正常」、「水-昼-正常」、「木-昼-正常」、「金-昼-正常」なる名称の許可リストの例である。
【0131】
具体的には、例えば、項番1は、受信ポート1から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC3”、MAC-SA(送信元マックアドレス)が“M-PC1”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC1”、IP-DA(宛先IPアドレス)が“IP-PC3”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“3000”、L4DP(TCPヘッダ内の宛先ポート番号)が“23”のフレームを示す。
【0132】
また、図18に示すのは、平日(月曜日から金曜日)の17:30~8:29の時間帯において通信量が正常である場合に対応する許可リストの例である。すなわち、図3の表における、「月-夜-正常」、「火-夜-正常」、「水-夜-正常」、「木-夜-正常」、「金-夜-正常」の許可リストの例である。
【0133】
具体的には、例えば、項番5は、受信ポート3から受信したフレームのMAC-DA(宛先マックアドレス)が“M-PC4”、MAC-SA(送信元マックアドレス)が“M-PC3”、Typeが“0x0800”(IPv4)、VIDが“0”、IP-SA(送信元IPアドレス)が“IP-PC3”、IP-DA(宛先IPアドレス)が“IP-PC4”、プロトコルが“6”(TCP)、L4SP(TCPヘッダ内の送信元ポート番号)が“any”、L4DP(TCPヘッダ内の宛先ポート番号)が“any”のフレームを示す。
【0134】
また、図19に示すのは、通信量が異常である際に参照する許可リストの例である。すなわち、図16の表における「月-昼-異常」、「月-夜-異常」、「火-昼-異常」、「火-夜-異常」、「水-昼-異常」、「水-夜-異常」、「木-昼-異常」、「木-夜-異常」、「金-昼-異常」、「金-夜-異常」なる名称の許可リストの例である。
【0135】
【0136】
図17乃至図19に例示した許可リストにフレームが一致した場合、及び一致しない場合の動作設定例は、図6と同様である。具体的には、図17及び図18に示す許可リストに一致したフレームは、セキュリティスイッチ300を通過させるとともに、設定用端末50には通知しない。一方で、許可リストと一致しないフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。また、図19に示す許可リストを参照する場合は、許可リストに一致するフレームは存在しないため、全てのフレームは、廃棄されると共に、廃棄された旨を、設定用端末50に通知する。
【0137】
次に、図20を参照して、第3の実施形態に係るセキュリティスイッチ300に含まれる機能ブロックについて説明する。なお、図20においては、第1の実施形態に係るセキュリティスイッチ100、及び第2の実施形態に係るセキュリティスイッチ200と同一の構成要素については、同一の符号を用いて示す。
【0138】
セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100と第2の実施形態に係るセキュリティスイッチ200とが共に有する、フレーム解析部110、許可リスト生成部120、及び許可リスト記憶部130を含む。また、セキュリティスイッチ300は、第1の実施形態に係るセキュリティスイッチ100が有する、曜日・時間管理部140を含む。更に、セキュリティスイッチ300は、第2の実施形態に係るセキュリティスイッチ200が有する、通信量監視部210、通信量管理部220、及び通信制御部230を含む。
【0139】
セキュリティスイッチ300の各ブロックの動作のうち、セキュリティスイッチ100及びセキュリティスイッチ200が含む、対応するブロックの動作と異なる点は、以下の通りである。
【0140】
フレーム解析部110は、入力フレーム受信時、登録期間であった場合、受信した入力フレームからフレーム情報を抽出し、通信量管理部220から受信した通信量期待値、及び、曜日・時間管理部140から受信した現時点での曜日・時間のデータを付与した上で、後述の許可リスト生成部120に渡す。
【0141】
また、フレーム解析部110は、入力フレーム受信時、運用期間であった場合、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、許可リスト記憶部130が記憶している許可リストのうち、現時点での曜日・時間・通信量に対応する許可リストとを比較する。
【0142】
更に、通信量監視部210が監視する通信量の粒度は、物理ポート単位でもよく、装置単位でもよく、各許可リストが対応する曜日・時間範囲単位でもよい。
【0143】
次に、図21-1のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。
【0144】
まず、ステップS301において、これから生成しようとする許可リストの曜日・時間を登録する。例えば、「月曜日:8:30~17:29」と設定した場合は、月曜日の8:30~17:29が学習期間になると共に、月曜日の8:30~17:29における運用時に参照される許可リストが生成される。
【0145】
次に、ステップS302において、セキュリティスイッチ300は、フレーム解析部110が登録期間に設定されているか否かを判定する。ここで、登録期間に設定されているならば(S302:Yes)、ステップS303に進む。一方で、登録期間に設定されていないならば(S302:No)、すなわち、運用期間に設定されているならば、図21-2のステップS311に進む。
【0146】
次に、ステップS303において、フレーム解析部110がフレーム解析をし、許可リスト生成部120に向けてフレーム情報を送信する。なお、この際、実際のフレームは、通信量監視部210及び通信制御部230を経由して、出力フレームとして出力される。
【0147】
次に、ステップS304において、フレーム解析部110が送信したフレーム情報に対し、通信量管理部220が、通信量期待値のデータを付与する。例えば、通信量0Mbps~5Mbpsを通信量正常の範囲内とする場合は、「0Mbps~5Mbps」なるデータを付与する。
【0148】
次に、ステップS305において、通信量期待値が付与されたフレーム情報に対し、曜日・時間管理部140が、更に、現時点の曜日と時間のデータを付与する。
【0149】
次に、ステップS306において、許可リスト生成部120が、現時点の曜日と時間のデータ、及び通信量期待値のデータが付与されたフレーム情報を受信し、許可リスト情報を生成する。
【0150】
次に、ステップS307において、許可リスト生成部120が、生成した許可リストを許可リスト記憶部130に転送する。
【0151】
次に、ステップS308において、許可リスト記憶部130が、転送されてきた許可リストを記憶する。
【0152】
次に、ステップS309において、セキュリティスイッチ100が、登録期間が終了したか否か判断する。登録期間が終了している場合(S309:Yes)は、ステップS310に移行する。登録期間が終了していない場合(S309:No)は、ステップS303に戻る。
【0153】
次に、ステップS310において、利用者が許可リスト記憶部130に対して直接操作することにより、通信量が通信量期待値の範囲外だった場合の許可リスト、例えば図19の許可リストを生成する。なお、例えば、通信量が通信量期待値の範囲外だった場合の許可リストを、図19のような空リストとすることが事前に定まっているような場合は、利用者の操作を介することなく、許可リスト生成部120が、自動的に、通信量が通信量期待値の範囲外だった場合の許可リストを生成しても良い。
【0154】
このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図21-2を参照して説明をする。
【0155】
まず、ステップS311において、運用期間中にセキュリティスイッチ300が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する。
【0156】
次に、ステップS312において、通信量監視部210が、現時点の通信量を通信量管理部220に送信する。
【0157】
次に、ステップS313において、通信量管理部220が、現時点の通信量と、許可リスト記憶部130に記憶された許可リストの属性となっている通信量期待値の範囲とを比較し、フレーム解析部110に対し、現時点の通信量に対応する通信量期待値範囲の選択を指示する。例えば現時点での通信量が2Mbpsの場合は、「通信量正常」の選択を指示し、現時点の通信量が10Mbpsの場合は、「通信量異常」の選択を指示する。
【0158】
次に、ステップS314において、曜日・時間管理部140が、フレーム解析部110に対し、現時点の曜日・時間に対応する曜日・時間範囲の選択を指示する。例えば現時点が月曜日の12:30である場合は、「月-昼」の選択を指示する。
【0159】
次に、ステップS315において、フレーム解析部110が、ステップS313において、通信量管理部220により選択指示された通信量範囲、及びステップS314において、曜日・時間管理部140により選択指示された曜日・時間範囲に対応する許可リストを参照する。例えば、ステップS313において「通信量正常」を選択し、ステップS314において「月-昼」を選択した場合は、「月-昼-正常」の許可リストを参照する。
【0160】
次に、ステップS316において、フレーム解析部110は抽出したフレーム情報と参照した許可リストとを比較し、両者が一致するか否かを判定する。
【0161】
両者が一致した場合(S316:Yes)は、フレーム解析部110は、許可リストと一致したフレーム情報に対応するフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS317)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。
ただし、通知はしない。
ただし、通知はしない。
【0162】
ステップS317の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0163】
両者が一致しない場合(S316:No)は、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応するフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS318)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末50に対して通知する。
【0164】
ステップS318の処理が終了すると、ステップS311に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
【0165】
上記の第3の実施形態により、特定の端末において、ある曜日のある時間のみ通信させることができるようになり、よりセキュリティを向上させることができるようになる。その理由は、曜日、時間毎に許可リスト記憶部から参照する許可リストを切り替え、フレーム解析部で、受信したフレームのデータと比較、判定するためである。更に、正規の通信フローの通信量が、通常時と比較して、一定の範囲を超えた場合に通信制御(遮断、迂回、帯域制御など)することができるようになる。その理由は、通信量監視部210により監視される通信量と通常時の通信量を通信量管理部220で比較し、範囲外であれば、通信制御部230で、通信制御するためである。
【0166】
なお、上記の第3の実施形態では、特定の曜日・時間の許可リストを生成する際、最初の学習期間の設定の段階で、当該特定の曜日・時間の間、学習する設定とした。そうではなく、例えば、学習期間を1週間として、いったん1週間単位での許可リストを生成し、許可リスト記憶部に対する直接操作により、当該1週間単位での許可リストを、曜日・時間単位で分割してもよい。
【0167】
上記のセキュリティスイッチ、通信端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記のセキュリティスイッチ、通信端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
【0168】
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
【0169】
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
【0170】
例えば、以下のように各実施形態を変形することが可能である。
【0171】
上述の各実施形態では、セキュリティスイッチがインターネットに接続していたが、必ずしもインターネットに接続する必要はない。インターネットに接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正な端末を接続したような場合に発生する悪意のあるフレームを検出することができる。
【0172】
上述の各実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、許可リストを更新するようにしても良い。
【0173】
例えば、運用期間遷移後に、新たに通信端末を追加した場合に、再登録を行うことにより、かかる追加した通信端末に関するフレームを許可リストに追加するようにしても良い。この場合に、許可リストをまっさらな状態として、ゼロから許可リストを作りなおしても良いし、既存の許可リストに新たにフレーム情報を追加するようにしても良い。
【0174】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0175】
(付記1)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継装置。
【0176】
(付記2)
付記1に記載の中継装置であって、
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。
付記1に記載の中継装置であって、
前記リストは、前記曜日及び前記時間に加え、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日、時間、及び通信量に対応したリストとを照合することを特徴とする中継装置。
【0177】
(付記3)
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。
中継装置であって、
当該中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは、運用時の通信量に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の通信量に対応したリストとを照合することを特徴とする中継装置。
【0178】
(付記4)
付記1乃至3のいずれか1に記載の中継装置であって、
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。
付記1乃至3のいずれか1に記載の中継装置であって、
前記第1の処理は、前記フレームの宛先に前記フレームを転送することを含み、前記第2の処理は、前記フレームの宛先に前記フレームを転送することを含まないことを特徴とする中継装置。
【0179】
(付記5)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置単位の通信量が監視されることを特徴とする中継装置。
【0180】
(付記6)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、当該中継装置の物理ポート単位の通信量が監視されることを特徴とする中継装置。
【0181】
(付記7)
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。
付記2乃至4のいずれか1に記載の中継装置であって、
前記運用時の通信量として、前記曜日及び前記時間単位の通信量が監視されることを特徴とする中継装置。
【0182】
(付記8)
付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。
付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記リストの内容の、一部又は全部を変更することを特徴とする通信システム。
【0183】
(付記9)
中継装置で用いられる中継方法であって、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。
中継装置で用いられる中継方法であって、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶するステップと、
受信したフレームを前記リストと照合するステップと、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をするステップとを有し、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合することを特徴とする中継方法。
【0184】
(付記10)
コンピュータを中継装置として機能させる中継用プログラムであって、
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
コンピュータを中継装置として機能させる中継用プログラムであって、
前記コンピュータを、
前記中継装置による受信後、第1の処理の対象となるフレームのリストを記憶する記憶手段と、
受信したフレームを前記リストと照合する解析手段と、
前記解析手段による照合時に、前記受信したフレームが前記リストに記載のフレームと合致した場合は、前記受信したフレームに前記第1の処理をし、合致しなかった場合は、前記受信したフレームに第2の処理をする制御手段とを備え、
前記リストは曜日及び時間に応じて複数存在し、前記解析手段は、前記受信したフレームと運用時の曜日及び時間に対応したリストとを照合する中継装置として機能させる中継用プログラム。
【産業上の利用可能性】
【0185】
本発明は、中継装置におけるセキュリティ対策に好適である。
【符号の説明】
【0186】
10 10-1 10-2 10-3 10-4 10-n 通信端末
50 設定用端末
100 200 300 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 許可リスト記憶部
140 曜日・時間管理部
150 通信制御部
210 通信量監視部
220 通信量管理部
230 通信制御部
500 ファイアウォール
700 インターネット
50 設定用端末
100 200 300 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 許可リスト記憶部
140 曜日・時間管理部
150 通信制御部
210 通信量監視部
220 通信量管理部
230 通信制御部
500 ファイアウォール
700 インターネット
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8-1】
【図8-2】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14-1】
【図14-2】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21-1】
【図21-2】