知財求人 - 知財ポータルサイト「IP Force」
特許7573692マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-10-17
(45)【発行日】2024-10-25
(54)【発明の名称】マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
(51)【国際特許分類】
H04L 41/044 20220101AFI20241018BHJP
【FI】
H04L41/044
【請求項の数】
7
(21)【出願番号】P 2023099826
(22)【出願日】2023-06-19
【審査請求日】2023-06-19
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】弁理士法人クロスボーダー特許事務所
(72)【発明者】
【氏名】木村 有佑
(72)【発明者】
【氏名】木村 敏之
【審査官】速水 雄太
(56)【参考文献】
【文献】特開2023-047977(JP,A)
【文献】特開平07-107082(JP,A)
【文献】特開2021-111905(JP,A)
【文献】特表2003-502757(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/044
(57)【特許請求の範囲】
【請求項1】
マスター装置と複数のエッジ装置とを備え、前記複数のエッジ装置それぞれには1つ以上の端末が接続された通信制御システムにおけるマスター装置であり、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された複数の端末を接続されたエッジ装置とは無関係に複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と、
前記暗号化設定部によって設定された前記ポリシーと、前記1つ以上の端末それぞれが接続されたエッジ装置の識別情報とを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信部であって、通信の暗号化をすると設定されたグループ間については、宛先の端末が接続されたエッジ装置の識別情報を用いて前記宛先の端末が接続されたエッジ装置が復号を行えるか否かを判定し、前記宛先の端末が接続されたエッジ装置が復号を行える場合には、送信元の端末が接続されたエッジ装置が、前記送信元の端末から受信した通信データを暗号化した上で前記宛先の端末が接続されたエッジ装置に送信し、前記宛先の端末が接続されたエッジ装置が、暗号化された通信データを復号した上で前記宛先の端末に送信するように制御させる設定送信部と
を備えるマスター装置。
【請求項2】
前記暗号化設定部は、通信プロトコルに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する請求項1に記載のマスター装置。
【請求項3】
前記暗号化設定部は、通信プロトコルが指定された場合にポートに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する請求項2に記載のマスター装置。
【請求項4】
前記マスター装置は、さらに、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備え、
前記暗号化設定部は、同一のグループ間を含む、通信を許可するというポリシーが設定されたグループ間について、通信の暗号化をするか否かの設定を前記ポリシーに追加する請求項1に記載のマスター装置。
【請求項5】
マスター装置と複数のエッジ装置とを備え、前記複数のエッジ装置それぞれには1つ以上の端末が接続された通信制御システムにおける通信制御方法であり、
マスター装置が、前記複数のエッジ装置のうちいずれかのエッジ装置に接続された複数の端末を接続されたエッジ装置とは無関係に複数のグループに分類し、
マスター装置が、前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定し、
マスター装置が、前記ポリシーと、前記1つ以上の端末それぞれが接続されたエッジ装置の識別情報とを複数のエッジ装置それぞれに送信して、通信の暗号化をすると設定されたグループ間については、宛先の端末が接続されたエッジ装置の識別情報を用いて前記宛先の端末が接続されたエッジ装置が復号を行えるか否かを判定し、前記宛先の端末が接続されたエッジ装置が復号を行える場合には、送信元の端末が接続されたエッジ装置が、前記送信元の端末から受信した通信データを暗号化した上で前記宛先の端末が接続されたエッジ装置に送信し、前記宛先の端末が接続されたエッジ装置が、暗号化された通信データを復号した上で前記宛先の端末に送信するように制御させる通信制御方法。
【請求項6】
マスター装置と複数のエッジ装置とを備え、前記複数のエッジ装置それぞれには1つ以上の端末が接続された通信制御システムにおける通信制御プログラムであり、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された複数の端末を接続されたエッジ装置とは無関係に複数のグループに分類する端末分類処理と、
前記端末分類処理によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定処理と、
前記暗号化設定処理によって設定された前記ポリシーと、前記1つ以上の端末それぞれが接続されたエッジ装置の識別情報とを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信処理であって、通信の暗号化をすると設定されたグループ間については、宛先の端末が接続されたエッジ装置の識別情報を用いて前記宛先の端末が接続されたエッジ装置が復号を行えるか否かを判定し、前記宛先の端末が接続されたエッジ装置が復号を行える場合には、送信元の端末が接続されたエッジ装置が、前記送信元の端末から受信した通信データを暗号化した上で前記宛先の端末が接続されたエッジ装置に送信し、前記宛先の端末が接続されたエッジ装置が、暗号化された通信データを復号した上で前記宛先の端末に送信するように制御させる設定送信処理と
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。
【請求項7】
マスター装置と複数のエッジ装置とを備え、前記複数のエッジ装置それぞれには1つ以上の端末が接続された通信制御システムであり、前記マスター装置は、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された複数の端末を接続されたエッジ装置とは無関係に複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
前記暗号化設定部によって設定された前記ポリシーと、前記1つ以上の端末それぞれが接続されたエッジ装置の識別情報とを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部であって、前記ポリシーが暗号化することを示すグループ間については、送信元の端末が接続されている場合には、宛先の端末が接続されたエッジ装置の識別情報を用いて前記宛先の端末が接続されたエッジ装置が復号を行えるか否かを判定し、前記宛先の端末が接続されたエッジ装置が復号を行えるなら通信データを暗号化した上で宛先の端末に向けて送信し、前記宛先の端末が接続されている場合には、通信データを復号した上で宛先の端末に向けて送信する通信制御部
を備える通信制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、端末間の通信を制御する技術に関する。
【背景技術】
【0002】
ネットワークセキュリティ機器により、ネットワークセキュリティ機器に接続された端末の通信の制御がされる。この制御は、データの送信元の端末のIP(Internet
Protocol)アドレスと、データの送信先の端末のIPアドレスとの組合せに対して、通信を許可するか否かを事前に設定しておくことにより、実現されている。
Protocol)アドレスと、データの送信先の端末のIPアドレスとの組合せに対して、通信を許可するか否かを事前に設定しておくことにより、実現されている。
【0003】
近年、サイバー攻撃等のリスクが高まっている。そのため、企業等の重要情報の流出及び改竄防止のため、通信の暗号化が必須になっている。
【0004】
特許文献1には、ネットワーク内に複数のグループを定義し、グループの識別子を用いてグループ間の通信を制御することが記載されている。
【先行技術文献】
【特許文献】
【0005】
【文献】特開平11-112559号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
IPアドレスの組合せ毎に通信を許可するか否かを設定する作業は、煩雑で時間がかかる。特許文献1には、グループ間の通信を制御することは記載されているものの、グループ間の通信の制御をどのように設定するかについては記載されていない。グループの組合せ毎に通信を許可するか否かを設定する作業は、IPアドレスの組合せ毎に通信を許可するか否かを設定する作業ほどではないものの、時間がかかる。
【0007】
IPアドレスの組合せ毎に暗号化通信を設定する作業は、通信を許可するか否かを設定する作業と同様に、煩雑で時間がかかる。また、暗号化通信を設定する作業は、ユーザにある程度の知識がないと難しく、知識があるユーザがIPアドレスの全ての組合せについて作業を行うことは時間的に困難な場合がある。
なお、製造業をはじめとした工場の端末は、工場の稼働を優先すること、又は、古いOSを使用していること等の理由から、新たに暗号化のためのソフトウェアを導入することが難しい。そのため、各端末に対して暗号化通信の設定を行うことができない場合もある。
本開示は、暗号化通信の設定に係る作業負担を軽減可能にすることを目的とする。
なお、製造業をはじめとした工場の端末は、工場の稼働を優先すること、又は、古いOSを使用していること等の理由から、新たに暗号化のためのソフトウェアを導入することが難しい。そのため、各端末に対して暗号化通信の設定を行うことができない場合もある。
本開示は、暗号化通信の設定に係る作業負担を軽減可能にすることを目的とする。
【課題を解決するための手段】
【0008】
本開示に係るマスター装置は、
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
を備える。
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
を備える。
【発明の効果】
【0009】
本開示では、端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する。これにより、暗号化通信の設定に係る作業負担を軽減可能である。
【図面の簡単な説明】
【0010】
【図1】実施の形態1に係る通信制御システム1の構成図。
【図2】実施の形態1に係るマスター装置10の構成図。
【図3】実施の形態1に係るエッジ装置20の構成図。
【図4】実施の形態1に係る通信制御システム1の全体的な動作を示すフローチャート。
【図5】実施の形態1に係るアドレス41及び端末情報42の説明図。
【図6】実施の形態1に係るポリシー45の説明図。
【図14】実施の形態1に係る通信制御処理のフローチャート。
【図15】実施の形態1に係る暗号化処理の説明図。
【発明を実施するための形態】
【0011】
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30は、工場等に設置され、製造機器等を制御する装置である。端末30としては、IT(Information
Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30は、工場等に設置され、製造機器等を制御する装置である。端末30としては、IT(Information
Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。
【0012】
図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
【0013】
マスター装置10は、機能構成要素として、アドレス受信部111と、端末抽出部112と、端末分類部113と、ポリシー設定部114と、暗号化設定部115と、設定送信部116とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。
【0014】
図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
【0015】
エッジ装置20は、機能構成要素として、アドレス取得部211と、アドレス送信部212と、設定受信部213と、通信制御部214と、ログ取得部215とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。通信制御部214は、可否判定部216と、暗号化判定部217と、暗号化部218と、送信部219とを備える。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。
【0016】
プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
【0017】
メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
【0018】
ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
【0019】
通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。
【0020】
***動作の説明***
図4から図15を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。
図4から図15を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。
【0021】
図4を参照して、実施の形態1に係る通信制御システム1の全体的な動作を説明する。
(ステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、エッジ装置20と同じネットワーク内に接続された端末30のアドレス41を取得する。同じネットワークとは、同じネットワークアドレスを持つネットワークを指す。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、アドレス取得部211は、図5に示すように、端末30のアドレス41として、IPアドレス及びMAC(Media Access Control)アドレスを取得する。
(ステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、エッジ装置20と同じネットワーク内に接続された端末30のアドレス41を取得する。同じネットワークとは、同じネットワークアドレスを持つネットワークを指す。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、アドレス取得部211は、図5に示すように、端末30のアドレス41として、IPアドレス及びMAC(Media Access Control)アドレスを取得する。
【0022】
各エッジ装置20のアドレス送信部212は、端末情報42を付加したアドレス41をマスター装置10に送信する。
ここでは、アドレス送信部212は、図5に示すように、端末情報42として、グループ名と、端末名称と、エッジ装置名と、備考とを付加する。グループ名は、端末30が属するグループの識別名称であり、ここでは未分類と設定される。端末名称は、端末30を特定し易くするための名称であり、ここではMACアドレスが設定される。エッジ装置名は、端末30が接続されたネットワークに接続されているエッジ装置20の識別名称であり、ここではアドレス送信部212を備えるエッジ装置20の名称が設定される。備考は、端末30を特定し易くするための情報であり、ここではメーカ情報が設定される。メーカ情報は、MACアドレスの企業コードから特定される製造メーカのメーカ名といったメーカを識別可能な情報である。
ここでは、アドレス送信部212は、図5に示すように、端末情報42として、グループ名と、端末名称と、エッジ装置名と、備考とを付加する。グループ名は、端末30が属するグループの識別名称であり、ここでは未分類と設定される。端末名称は、端末30を特定し易くするための名称であり、ここではMACアドレスが設定される。エッジ装置名は、端末30が接続されたネットワークに接続されているエッジ装置20の識別名称であり、ここではアドレス送信部212を備えるエッジ装置20の名称が設定される。備考は、端末30を特定し易くするための情報であり、ここではメーカ情報が設定される。メーカ情報は、MACアドレスの企業コードから特定される製造メーカのメーカ名といったメーカを識別可能な情報である。
【0023】
(ステップS12:分類処理)
マスター装置10のアドレス受信部111は、ステップS11で送信された、端末情報42が付加されたアドレス41を受信する。複数のエッジ装置20から同じ端末30のアドレス41が送信される場合がある。この場合には、アドレス受信部111は、重複がなくなるように同じ端末30のアドレス41を1つだけ残し、残りは削除する。
すると、マスター装置10の端末抽出部112は、受信されたアドレス41のうち、各グループ43に属するアドレス41を示すグループリスト44に存在しないアドレスが示す端末30を未分類端末31として抽出する。そして、マスター装置10の端末分類部113は、未分類端末31に関する情報を表示して、未分類端末31が属するグループ43を指定させる。
これにより、未分類端末31がいずれかのグループに分類され、グループリスト44が更新される。
マスター装置10のアドレス受信部111は、ステップS11で送信された、端末情報42が付加されたアドレス41を受信する。複数のエッジ装置20から同じ端末30のアドレス41が送信される場合がある。この場合には、アドレス受信部111は、重複がなくなるように同じ端末30のアドレス41を1つだけ残し、残りは削除する。
すると、マスター装置10の端末抽出部112は、受信されたアドレス41のうち、各グループ43に属するアドレス41を示すグループリスト44に存在しないアドレスが示す端末30を未分類端末31として抽出する。そして、マスター装置10の端末分類部113は、未分類端末31に関する情報を表示して、未分類端末31が属するグループ43を指定させる。
これにより、未分類端末31がいずれかのグループに分類され、グループリスト44が更新される。
【0024】
(ステップS13:ポリシー設定処理)
マスター装置10のポリシー設定部114は、図6に示すように、グループ間の通信を制御するためのポリシー45を設定する。この際、ポリシー設定部114は、同一のグループ間の通信については自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。なお、ポリシー設定部114は、同一のグループ間の通信についても、許可するか否かの指定を受け付けてポリシー45を設定してもよい。また、ポリシー設定部114は、異なるグループ間の通信についてはログを取得するか否かの指定を受け付けてポリシー45を設定する。
また、マスター装置10の暗号化設定部115は、通信を許可するポリシーが設定されたグループ間について、通信の暗号化をするか否かの指定を受け付けて、通信の暗号化をするか否かの設定を前記ポリシーに追加する。
マスター装置10の設定送信部116は、ポリシー45を複数のエッジ装置20それぞれに送信する。
マスター装置10のポリシー設定部114は、図6に示すように、グループ間の通信を制御するためのポリシー45を設定する。この際、ポリシー設定部114は、同一のグループ間の通信については自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。なお、ポリシー設定部114は、同一のグループ間の通信についても、許可するか否かの指定を受け付けてポリシー45を設定してもよい。また、ポリシー設定部114は、異なるグループ間の通信についてはログを取得するか否かの指定を受け付けてポリシー45を設定する。
また、マスター装置10の暗号化設定部115は、通信を許可するポリシーが設定されたグループ間について、通信の暗号化をするか否かの指定を受け付けて、通信の暗号化をするか否かの設定を前記ポリシーに追加する。
マスター装置10の設定送信部116は、ポリシー45を複数のエッジ装置20それぞれに送信する。
【0025】
(ステップS14:通信制御処理)
各エッジ装置20の設定受信部213は、ステップS13で送信されたポリシー45を受信する。各エッジ装置20の通信制御部214は、ポリシー45に基づき、端末30間の通信を制御する。また、ログ取得部215は、ポリシー45でログを取得することが設定されている場合には、通信のログを取得する。
ポリシー45に基づき、端末30間の通信を制御する際、通信制御部214は、暗号化すると設定されている場合には、通信データを暗号化した上で、通信する。具体的には、通信制御部214は、暗号化すると設定されている場合には、送信元の端末30が接続されたエッジ装置20と、宛先の端末30が接続されたエッジ装置20との間で、通信データを暗号化した上で通信する。つまり、暗号化すると設定されている場合には、端末30間で通信データが暗号化されるのではなく、送信元の端末30が接続されたエッジ装置20と、宛先の端末30が接続されたエッジ装置20との間で、通信データが暗号化される。
各エッジ装置20の設定受信部213は、ステップS13で送信されたポリシー45を受信する。各エッジ装置20の通信制御部214は、ポリシー45に基づき、端末30間の通信を制御する。また、ログ取得部215は、ポリシー45でログを取得することが設定されている場合には、通信のログを取得する。
ポリシー45に基づき、端末30間の通信を制御する際、通信制御部214は、暗号化すると設定されている場合には、通信データを暗号化した上で、通信する。具体的には、通信制御部214は、暗号化すると設定されている場合には、送信元の端末30が接続されたエッジ装置20と、宛先の端末30が接続されたエッジ装置20との間で、通信データを暗号化した上で通信する。つまり、暗号化すると設定されている場合には、端末30間で通信データが暗号化されるのではなく、送信元の端末30が接続されたエッジ装置20と、宛先の端末30が接続されたエッジ装置20との間で、通信データが暗号化される。
【0026】
通信制御システム1を導入する際には、ステップS11からステップS14までの処理が順に実行される。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
【0027】
図7を参照して、実施の形態1に係る分類処理(図4のステップS12)を説明する。
(ステップS21:アドレス受信処理)
アドレス受信部111は、ステップS11で各エッジ装置20から送信された、端末情報42が付加されたアドレス41を受信する。図8に示すように、各エッジ装置20で収集されたアドレス41及び端末情報42がマスター装置10に集約される。
(ステップS21:アドレス受信処理)
アドレス受信部111は、ステップS11で各エッジ装置20から送信された、端末情報42が付加されたアドレス41を受信する。図8に示すように、各エッジ装置20で収集されたアドレス41及び端末情報42がマスター装置10に集約される。
【0028】
(ステップS22:端末抽出処理)
端末抽出部112は、ステップS21で受信されたアドレス41のうち、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。グループリスト44は、複数のエッジ装置20のうちのいずれかのエッジ装置20に接続された端末30を分類したグループ43であって、通信の制御を行うためのグループ43を示す。この際、端末抽出部112は、過去に受信したアドレス41に分類がされていないアドレス41がある場合には、このアドレス41が示す端末30についても未分類端末31として抽出する。
端末抽出部112は、ステップS21で受信されたアドレス41のうち、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。グループリスト44は、複数のエッジ装置20のうちのいずれかのエッジ装置20に接続された端末30を分類したグループ43であって、通信の制御を行うためのグループ43を示す。この際、端末抽出部112は、過去に受信したアドレス41に分類がされていないアドレス41がある場合には、このアドレス41が示す端末30についても未分類端末31として抽出する。
【0029】
ここでは、図9の(A)に示すアドレス41が受信されたとする。また、図9の(B)に示すグループリスト44がストレージ13に記憶されているとする。すると、図9の(C)のように未分類端末31が抽出される。
つまり、グループリスト44に存在しない、又は、分類がされていない2つの端末30が未分類端末31として抽出される。
つまり、グループリスト44に存在しない、又は、分類がされていない2つの端末30が未分類端末31として抽出される。
【0030】
(ステップS23:一覧表示処理)
図10に示すように、端末分類部113は、未分類端末31に関する情報を一覧表示する。ここでは、未分類端末31に関する情報は、アドレス41と、端末情報42のうちの端末名称とエッジ装置名と備考とである。つまり、未分類端末31に関する情報として、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名が表示される。また、未分類端末31に関する情報として、MACアドレスから特定される未分類端末31の製造メーカを示すメーカ情報が表示される。
なお、アドレス41と端末名称とエッジ装置名と備考とのうち、一部の情報だけを一覧表示しておき、カーソルが合わせられるといった操作がされた場合に、残りの情報を表示するようにしてもよい。
図10に示すように、端末分類部113は、未分類端末31に関する情報を一覧表示する。ここでは、未分類端末31に関する情報は、アドレス41と、端末情報42のうちの端末名称とエッジ装置名と備考とである。つまり、未分類端末31に関する情報として、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名が表示される。また、未分類端末31に関する情報として、MACアドレスから特定される未分類端末31の製造メーカを示すメーカ情報が表示される。
なお、アドレス41と端末名称とエッジ装置名と備考とのうち、一部の情報だけを一覧表示しておき、カーソルが合わせられるといった操作がされた場合に、残りの情報を表示するようにしてもよい。
【0031】
(ステップS24:端末分類処理)
端末分類部113は、未分類端末31が属するグループ43をユーザに指定させる。ユーザは、例えば通信制御システム1の管理者等である。具体的には、図10に示すグループ43の指定欄でラジオボタンを選択させることにより、未分類端末31が属するグループ43を指定させる。指定欄による選択はユーザによって行われる。つまり、端末分類部113は、指定可能な前記グループを表示して選択的に指定させる。これにより、端末分類部113は、グループリスト44を更新する。
この際、端末分類部113は、グループ43の指定だけでなく、未分類端末31の端末名称と、未分類端末31に関連する関連情報が登録される備考との少なくともいずれかの情報の変更を受け付けてもよい。未分類端末31の端末名称及び備考は、未分類端末31を識別するために利用される。ここで適切な情報が入力されることにより、後日グループ43の分類を見直す際等に、作業を容易に行うことが可能になる。
端末分類部113は、未分類端末31が属するグループ43をユーザに指定させる。ユーザは、例えば通信制御システム1の管理者等である。具体的には、図10に示すグループ43の指定欄でラジオボタンを選択させることにより、未分類端末31が属するグループ43を指定させる。指定欄による選択はユーザによって行われる。つまり、端末分類部113は、指定可能な前記グループを表示して選択的に指定させる。これにより、端末分類部113は、グループリスト44を更新する。
この際、端末分類部113は、グループ43の指定だけでなく、未分類端末31の端末名称と、未分類端末31に関連する関連情報が登録される備考との少なくともいずれかの情報の変更を受け付けてもよい。未分類端末31の端末名称及び備考は、未分類端末31を識別するために利用される。ここで適切な情報が入力されることにより、後日グループ43の分類を見直す際等に、作業を容易に行うことが可能になる。
【0032】
図11を参照して、実施の形態1に係るポリシー設定処理(図4のステップS13)を説明する。
(ステップS31:一覧表示処理)
図12に示すように、ポリシー設定部114は、グループ間の通信について設定済のポリシー45を一覧表示する。
(ステップS31:一覧表示処理)
図12に示すように、ポリシー設定部114は、グループ間の通信について設定済のポリシー45を一覧表示する。
【0033】
(ステップS32:ポリシー設定処理)
ポリシー設定部114は、グループ間のポリシー45の追加、変更、削除等の入力を受け付ける。ポリシー45の追加、変更、削除等の入力はユーザによって行われる。具体的には、ポリシー設定部114は、図12の追加ボタン又は変更ボタンが押下されると、ポリシー45を追加するための入力画面を表示する。図13に示すように、この入力画面では、データの送信元のグループ及びデータの送信先のグループと、通信プロトコル及び送信先のポート番号と、通信を許可するか否かと、ログを取得するか否かとの指定ができるようになっている。通信を許可するか否かは、アクションの欄で許可又は拒否を選択することにより指定される。また、この入力画面では、ポリシー45を有効にするか否かの指定ができるようになっている。
図12の追加ボタンが押下された場合には、図13に示す入力画面が、デフォルト値が示された状態で表示される。図12の変更ボタンが押下された場合には、図13に示す入力画面が、変更前のポリシー45の設定が示された状態で表示される。
ポリシー設定部114は、入力画面に入力された情報に従い、ポリシー45を設定する。入力画面では通信プロトコルの指定が可能になっているため、グループ間の通信について、通信プロトコルに応じて通信を許可するか否かを指定してポリシー45が設定可能である。通信プロトコルとは、TCP(Transmission Control
Protocol)、UDP(User Datagram Protocol)等である。また、入力画面では通信プロトコルが指定されたときに、ポート単位に通信を許可するか否かの指定が可能になっているため、グループ間の通信について、ポートに応じて通信を許可するか否かを指定してポリシー45が設定可能である。また、入力画面ではログを取得するか否かの指定が可能になっているため、通信の制御とは別に、グループ間の通信について、通信のログを取得するか否かの指定を受け付けてポリシー45が設定可能である。
ポリシー設定部114は、グループ間のポリシー45の追加、変更、削除等の入力を受け付ける。ポリシー45の追加、変更、削除等の入力はユーザによって行われる。具体的には、ポリシー設定部114は、図12の追加ボタン又は変更ボタンが押下されると、ポリシー45を追加するための入力画面を表示する。図13に示すように、この入力画面では、データの送信元のグループ及びデータの送信先のグループと、通信プロトコル及び送信先のポート番号と、通信を許可するか否かと、ログを取得するか否かとの指定ができるようになっている。通信を許可するか否かは、アクションの欄で許可又は拒否を選択することにより指定される。また、この入力画面では、ポリシー45を有効にするか否かの指定ができるようになっている。
図12の追加ボタンが押下された場合には、図13に示す入力画面が、デフォルト値が示された状態で表示される。図12の変更ボタンが押下された場合には、図13に示す入力画面が、変更前のポリシー45の設定が示された状態で表示される。
ポリシー設定部114は、入力画面に入力された情報に従い、ポリシー45を設定する。入力画面では通信プロトコルの指定が可能になっているため、グループ間の通信について、通信プロトコルに応じて通信を許可するか否かを指定してポリシー45が設定可能である。通信プロトコルとは、TCP(Transmission Control
Protocol)、UDP(User Datagram Protocol)等である。また、入力画面では通信プロトコルが指定されたときに、ポート単位に通信を許可するか否かの指定が可能になっているため、グループ間の通信について、ポートに応じて通信を許可するか否かを指定してポリシー45が設定可能である。また、入力画面ではログを取得するか否かの指定が可能になっているため、通信の制御とは別に、グループ間の通信について、通信のログを取得するか否かの指定を受け付けてポリシー45が設定可能である。
【0034】
図13に示す画面では、暗号化をするか否かを指定できるようになっている。暗号化設定部115は、暗号化をするか否かの指定を受け付ける。そして、通信の暗号化をするか否かの設定をポリシー45に追加する。これにより、グループ間のポリシー45に対して、暗号化するか否かが設定される。ポリシー設定部114によって、通信プロトコルが設定されている場合には、通信プロトコルに応じて通信の暗号化をするか否かが設定される。また、ポリシー設定部114によって、ポートが指定された場合には、ポートに応じて通信の暗号化をするか否かが設定される。
なお、暗号化をするか否かは、通信を許可すると設定された場合に設定できるようになるように設定されていてもよい。この場合には、暗号化設定部115は、ポリシー設定部114によって通信を許可すると設定された場合に、暗号化をするか否かの指定を受け付ける。
ここでは、暗号化設定部115は、暗号化するか否かの指定だけを受け付けた。しかし、暗号化設定部115は、暗号化するか否かに加えて、暗号化強度の指定も受け付け、ポリシー45に追加してもよい。暗号化強度は、例えば、暗号化方式と、暗号鍵のビット数といったものである。
なお、暗号化をするか否かは、通信を許可すると設定された場合に設定できるようになるように設定されていてもよい。この場合には、暗号化設定部115は、ポリシー設定部114によって通信を許可すると設定された場合に、暗号化をするか否かの指定を受け付ける。
ここでは、暗号化設定部115は、暗号化するか否かの指定だけを受け付けた。しかし、暗号化設定部115は、暗号化するか否かに加えて、暗号化強度の指定も受け付け、ポリシー45に追加してもよい。暗号化強度は、例えば、暗号化方式と、暗号鍵のビット数といったものである。
【0035】
なお、ポリシー設定部114は、ポリシー45について設定した設定データを読み込んで、ポリシー45の設定をしてもよい。設定データを読み込んでポリシー45の設定をした上で、ポリシー設定部114は、ポリシー45の追加、変更、削除等の入力を受け付けてもよい。
【0036】
(ステップS33:ポリシー送信処理)
設定送信部116は、ステップS32で設定されたポリシー45を、各エッジ装置20に送信する。
設定送信部116は、ステップS32で設定されたポリシー45を、各エッジ装置20に送信する。
【0037】
図14を参照して、実施の形態1に係る通信制御処理(図4のステップS14)を説明する。図14に示す処理は、各エッジ装置20において実行される。
(ステップS41:ポリシー受信処理)
設定受信部213は、ステップS13で送信されたポリシー45を受信する。設定受信部213は、受信されたポリシー45をストレージ13に書き込む。
(ステップS41:ポリシー受信処理)
設定受信部213は、ステップS13で送信されたポリシー45を受信する。設定受信部213は、受信されたポリシー45をストレージ13に書き込む。
【0038】
(ステップS42:メッセージ受信処理)
通信制御部214は、通信メッセージを受信する。
通信メッセージには、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、通信プロトコルを識別可能なプロトコル情報と、通信データとが含まれる。通信メッセージを受信すると、ステップS43の処理とステップS47の処理とが並列に実行される。
通信制御部214は、通信メッセージを受信する。
通信メッセージには、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、通信プロトコルを識別可能なプロトコル情報と、通信データとが含まれる。通信メッセージを受信すると、ステップS43の処理とステップS47の処理とが並列に実行される。
【0039】
(ステップS43:通信可否判定処理)
通信制御部214の可否判定部216は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、通信の可否を判定する。
具体的には、可否判定部216は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45で通信が許可されているか否かを判定する。可否判定部216は、許可されている場合には、処理をステップS44に進める。一方、可否判定部216は、許可されていない場合には、ステップS44からステップS46まで処理をスキップする。
通信制御部214の可否判定部216は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、通信の可否を判定する。
具体的には、可否判定部216は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45で通信が許可されているか否かを判定する。可否判定部216は、許可されている場合には、処理をステップS44に進める。一方、可否判定部216は、許可されていない場合には、ステップS44からステップS46まで処理をスキップする。
【0040】
(ステップS44:暗号化判定処理)
通信制御部214の暗号化判定部217は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、暗号化処理の要否を判定する。
具体的には、暗号化判定部217は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45で暗号化することになっているか否かを判定する。暗号化判定部217は、暗号化することになっている場合には、処理をステップS45に進める。一方、暗号化判定部217は、暗号化することになっていない場合には、処理をステップS46に進める。
通信制御部214の暗号化判定部217は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、暗号化処理の要否を判定する。
具体的には、暗号化判定部217は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45で暗号化することになっているか否かを判定する。暗号化判定部217は、暗号化することになっている場合には、処理をステップS45に進める。一方、暗号化判定部217は、暗号化することになっていない場合には、処理をステップS46に進める。
【0041】
(ステップS45:暗号化処理)
通信制御部214の暗号化部218は、ステップS42で受信した通信メッセージに含まれる通信データのうち、ステップS44で暗号化判定部217が暗号化要と判定した通信データに対して暗号化処理を行う。具体的には、暗号化部218が、送信元の端末30が接続されたエッジ装置20における暗号化部218である場合には、通信データを暗号化する。つまり、暗号化要のグループ間の組み合わせである送信元の端末30が接続されたエッジ装置20である場合には、当該エッジ装置20の暗号化部218は、通信データを暗号化する。一方、暗号化部218が、宛先の端末30が接続されたエッジ装置20における暗号化部218である場合には、通信データを復号する。つまり、暗号化要のグループ間の組み合わせである送信先の端末30が接続されたエッジ装置20である場合には、当該エッジ装置20の暗号化部218は通信データを復号する。
ここで、送信元の端末30が接続されたエッジ装置20とは、エッジ装置20が送信元の端末30と同じネットワークアドレスを持つということである。同様に、宛先の端末30が接続されたエッジ装置20とは、エッジ装置20が宛先の端末30と同じネットワークアドレスを持つということである。
通信制御部214の暗号化部218は、ステップS42で受信した通信メッセージに含まれる通信データのうち、ステップS44で暗号化判定部217が暗号化要と判定した通信データに対して暗号化処理を行う。具体的には、暗号化部218が、送信元の端末30が接続されたエッジ装置20における暗号化部218である場合には、通信データを暗号化する。つまり、暗号化要のグループ間の組み合わせである送信元の端末30が接続されたエッジ装置20である場合には、当該エッジ装置20の暗号化部218は、通信データを暗号化する。一方、暗号化部218が、宛先の端末30が接続されたエッジ装置20における暗号化部218である場合には、通信データを復号する。つまり、暗号化要のグループ間の組み合わせである送信先の端末30が接続されたエッジ装置20である場合には、当該エッジ装置20の暗号化部218は通信データを復号する。
ここで、送信元の端末30が接続されたエッジ装置20とは、エッジ装置20が送信元の端末30と同じネットワークアドレスを持つということである。同様に、宛先の端末30が接続されたエッジ装置20とは、エッジ装置20が宛先の端末30と同じネットワークアドレスを持つということである。
【0042】
なお、暗号化部218は、送信元の端末30と宛先の端末30との両方が接続されたエッジ装置20における暗号化部218である場合には、通信データに対する暗号化処理を省略する。つまり、暗号化部218は、通信データに対して暗号化及び復号を行わない。
【0043】
(ステップS46:送信処理)
通信制御部214の送信部219は、通信メッセージを宛先の端末30に向けて送信する。
通信制御部214の送信部219は、通信メッセージを宛先の端末30に向けて送信する。
【0044】
(ステップS47:ログ判定処理)
通信制御部214は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、ログ取得の要否を判定する。
具体的には、通信制御部214は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45でログ取得が有と設定されているか否かを判定する。通信制御部214は、有と設定されている場合には、処理をステップS48に進める。一方、通信制御部214は、有と設定されていない場合には、ステップS48の処理をスキップする。
通信制御部214は、ステップS42で受信した通信メッセージについて、送信元の端末30のIPアドレスと、宛先の端末30のIPアドレスと、プロトコル情報とから、ログ取得の要否を判定する。
具体的には、通信制御部214は、送信元の端末30のIPアドレスが示すグループと、宛先の端末30のIPアドレスが示すグループと、プロトコル情報が示す通信プロトコルとの組合せについて、ストレージ13に記憶されたポリシー45でログ取得が有と設定されているか否かを判定する。通信制御部214は、有と設定されている場合には、処理をステップS48に進める。一方、通信制御部214は、有と設定されていない場合には、ステップS48の処理をスキップする。
【0045】
(ステップS48:ログ取得処理)
通信制御部214は、ステップS42で受信した通信メッセージについてのログをストレージ13に書き込む。
通信制御部214は、ステップS42で受信した通信メッセージについてのログをストレージ13に書き込む。
【0046】
ステップS46とステップS48の処理の後、処理がステップS42に戻され、通信の制御が継続される。また、マスター装置10からポリシー45が新たに送信された場合には、処理がステップS41に戻され、ポリシー45を受信した上で、通信の制御が継続される。
【0047】
図15を参照して暗号化処理(図14のステップS45)を説明する。ここでは、図6に示すポリシー45が設定されているとする。
エッジ装置20が、送信元の端末30のIPアドレスがITグループに属するものであり、宛先の端末30のIPアドレスがDMZグループに属するものであり、通信プロトコルがXXXである通信データを受信したとする。この場合には、ステップS43で通信制御部214は、ポリシー1に合致すると判定して、通信を許可し、処理をステップS44に進める。また、ステップS44で暗号化をするという設定になっているため、通信制御部214は、処理をステップS45に進める。
ここで、送信元の端末30が端末30Xであり、宛先の端末30が端末30Yであるとする。この場合には、端末30Xが接続されたエッジ装置20Vは、ステップS45で通信データを暗号化する。そして、エッジ装置20Vは、ステップS46で端末30Yに向けて通信メッセージを送信する。端末30Yが接続されたエッジ装置20Wは、ステップS45で通信データを復号する。そして、エッジ装置20Wは、ステップS46で端末30Yに向けて通信メッセージを送信する。これにより、端末30Xと端末30Yとの間で通信する場合には、エッジ装置20Vとエッジ装置20Wとの間で通信データが暗号化された状態になる。
エッジ装置20が、送信元の端末30のIPアドレスがITグループに属するものであり、宛先の端末30のIPアドレスがDMZグループに属するものであり、通信プロトコルがXXXである通信データを受信したとする。この場合には、ステップS43で通信制御部214は、ポリシー1に合致すると判定して、通信を許可し、処理をステップS44に進める。また、ステップS44で暗号化をするという設定になっているため、通信制御部214は、処理をステップS45に進める。
ここで、送信元の端末30が端末30Xであり、宛先の端末30が端末30Yであるとする。この場合には、端末30Xが接続されたエッジ装置20Vは、ステップS45で通信データを暗号化する。そして、エッジ装置20Vは、ステップS46で端末30Yに向けて通信メッセージを送信する。端末30Yが接続されたエッジ装置20Wは、ステップS45で通信データを復号する。そして、エッジ装置20Wは、ステップS46で端末30Yに向けて通信メッセージを送信する。これにより、端末30Xと端末30Yとの間で通信する場合には、エッジ装置20Vとエッジ装置20Wとの間で通信データが暗号化された状態になる。
【0048】
***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1は、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出して、属するグループを指定させる。そして、端末が分類されたグループ間の通信の暗号化をするか否かを設定する。グループ間について通信の暗号化をするか否かを設定するため、暗号化通信の設定に係る作業負担を軽減可能である。
以上のように、実施の形態1に係る通信制御システム1は、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出して、属するグループを指定させる。そして、端末が分類されたグループ間の通信の暗号化をするか否かを設定する。グループ間について通信の暗号化をするか否かを設定するため、暗号化通信の設定に係る作業負担を軽減可能である。
【0049】
また、実施の形態1に係る通信制御システム1は、グループ間の通信について許可するか否かが設定され、通信を許可すると設定されたグループ間について、通信の暗号化をするか否かが設定される。これにより、暗号化通信の設定対象を減らすことができ、暗号化通信の設定に係る作業負荷を軽減可能である。
運用前にグループ間の通信制御のポリシー45を作成することにより、通信制御の設定に時間を割くことなく運用開始できる。また、ポリシー45が複雑化しないため、管理が容易になり、セキュアなネットワークを構築し易くなる。
運用前にグループ間の通信制御のポリシー45を作成することにより、通信制御の設定に時間を割くことなく運用開始できる。また、ポリシー45が複雑化しないため、管理が容易になり、セキュアなネットワークを構築し易くなる。
【0050】
製造業をはじめとした工場の機器は、工場の稼働を優先すること、又は、古いOSを使用していること等の理由から、新たに暗号化のためのソフトウェアを導入することが難しい。そのため、全ての端末30が暗号化を行えるようにすることは難しい場合がある。しかし、実施の形態1に係る通信制御システム1は、端末30間で通信データを暗号化するのではなく、端末30が接続されたエッジ装置20間で通信データを暗号化する。これにより、端末30を暗号化処理できるようにすることなしに、セキュリティが低くなり易い通信経路上で通信データを暗号化した状態で通信するようにできる。
【0051】
***他の構成***
<変形例1>
実施の形態1では、マスター装置10とエッジ装置20とを異なる機能を有する装置として説明した。しかし、マスター装置10の機能とエッジ装置20の機能との両方を備える装置を複数用意しておき、いずれか1つをマスター装置10とし、残りをエッジ装置20として通信制御システム1を構成してもよい。
また、マスター装置10がエッジ装置20の機能を有していてもよい。マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10が同じネットワークに接続された端末30のアドレス41を取得する。マスター装置10がアドレス41を取得した場合には、エッジ装置名としてマスター装置10の装置名が付加される。また、マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10は、エッジ装置20と同様に、ポリシー45に基づき、端末30間の通信を制御する。
<変形例1>
実施の形態1では、マスター装置10とエッジ装置20とを異なる機能を有する装置として説明した。しかし、マスター装置10の機能とエッジ装置20の機能との両方を備える装置を複数用意しておき、いずれか1つをマスター装置10とし、残りをエッジ装置20として通信制御システム1を構成してもよい。
また、マスター装置10がエッジ装置20の機能を有していてもよい。マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10が同じネットワークに接続された端末30のアドレス41を取得する。マスター装置10がアドレス41を取得した場合には、エッジ装置名としてマスター装置10の装置名が付加される。また、マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10は、エッジ装置20と同様に、ポリシー45に基づき、端末30間の通信を制御する。
【0052】
<変形例2>
実施の形態1では、全てのエッジ装置20が暗号化処理を行えることを前提としていた。しかし、一部のエッジ装置20が暗号化処理を行えない場合も考えられる。この場合には、送信元の端末30が接続されたエッジ装置20は、宛先の端末30が接続されたエッジ装置20が復号を行えるエッジ装置20であるかを確認した上で、通信データを暗号化する必要がある。
実施の形態1では、全てのエッジ装置20が暗号化処理を行えることを前提としていた。しかし、一部のエッジ装置20が暗号化処理を行えない場合も考えられる。この場合には、送信元の端末30が接続されたエッジ装置20は、宛先の端末30が接続されたエッジ装置20が復号を行えるエッジ装置20であるかを確認した上で、通信データを暗号化する必要がある。
【0053】
この場合には、図11のステップS33で設定送信部116は、ポリシー45を送信する際、あわせて各端末30について接続されたエッジ装置20の識別情報を送信する。端末30が接続されたエッジ装置20の識別情報は、図4のステップS11で特定されている。エッジ装置20の識別情報を参照して、送信元の端末30が接続されたエッジ装置20では、暗号化判定部217は、宛先の端末30が接続されたエッジ装置20が復号を行えるエッジ装置20であるか否かを判定する。そして、暗号化部218は、復号を行えるエッジ装置20である場合に、通信データを暗号化した上で、送信する。一方、暗号化部218は、復号を行えないエッジ装置20である場合には、通信データを暗号化せずに、送信する。
【0054】
ここで、複数のエッジ装置20から同じ端末30のアドレス41が送信される場合がある。つまり、1つの端末30が複数のエッジ装置20に接続されている場合がある。この場合には、少なくとも1つのエッジ装置20が暗号化処理を行える場合には、暗号化判定部217は、宛先の端末30が接続されたエッジ装置20が復号を行えるエッジ装置20であるか否かを判定する。
【0055】
なお、送信元の端末30が接続されたエッジ装置20が暗号化処理を行えないエッジ装置20である場合には、宛先の端末30が接続されたエッジ装置20が受信した通信データは暗号化されていない。つまり、この場合には、たとえポリシー45が暗号化するように設定されている場合であっても、通信データは暗号化されていない。宛先の端末30が接続されたエッジ装置20の暗号化判定部217は、送信元の端末30が接続されたエッジ装置20の識別情報から、送信元の端末30が接続されたエッジ装置20が暗号化処理を行ったか否かを判定してもよいし、通信データから暗号化されたデータであるか否かを判定してもよい。
【0056】
これにより、暗号化処理を行えるエッジ装置20と、暗号化処理を行えないエッジ装置20とが混在している場合であっても、適切に処理を行うことが可能である。
【0057】
<変形例3>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。
【0058】
各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
【0059】
電子回路15としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
【0060】
<変形例4>
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
【0061】
プロセッサ11とメモリ12とストレージ13と電子回路15とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
【0062】
以下、本開示の諸態様を付記としてまとめて記載する。
(付記1)
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
を備えるマスター装置。
(付記2)
前記暗号化設定部は、通信プロトコルに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する
付記1に記載のマスター装置。
(付記3)
前記暗号化設定部は、通信プロトコルが指定された場合にポートに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する
付記2に記載のマスター装置。
(付記4)
前記マスター装置は、さらに、
同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備え、
前記暗号化設定部は、同一のグループ間を含む、通信を許可するというポリシーが設定されたグループ間について、通信の暗号化をするか否かの設定を前記ポリシーに追加する付記1から3までのいずれか1項に記載のマスター装置。
(付記5)
前記マスター装置は、さらに、
前記暗号化設定部によって設定された前記ポリシーを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信部
を備える付記1から4までのいずれか1項に記載のマスター装置。
(付記6)
前記マスター装置は、通信の暗号化をすると設定されたグループ間については、送信元の端末が接続されたエッジ装置が、前記送信元の端末から受信した通信データを暗号化した上で宛先の端末が接続されたエッジ装置に送信し、前記宛先の端末が接続されたエッジ装置が、暗号化された通信データを復号した上で前記宛先の端末に送信する通信制御システムにおいて前記ポリシーを設定する
付記5に記載のマスター装置。
(付記7)
マスター装置が、ネットワークに接続された複数の端末を複数のグループに分類し、
マスター装置が、前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する通信制御方法。
(付記8)
ネットワークに接続された複数の端末を複数のグループに分類する端末分類処理と、
前記端末分類処理によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定処理と
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。
(付記9)
マスター装置と複数のエッジ装置とを備える通信制御システムであり、
前記マスター装置は、
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
前記暗号化設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部であって、前記ポリシーが暗号化することを示すグループ間については、送信元の端末が接続されている場合には、通信データを暗号化した上で宛先の端末に向けて送信し、宛先の端末が接続されている場合には、通信データを復号した上で宛先の端末に向けて送信する通信制御部
を備える通信制御システム。
(付記1)
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
を備えるマスター装置。
(付記2)
前記暗号化設定部は、通信プロトコルに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する
付記1に記載のマスター装置。
(付記3)
前記暗号化設定部は、通信プロトコルが指定された場合にポートに応じて通信の暗号化をするか否かを示す前記ポリシーを設定する
付記2に記載のマスター装置。
(付記4)
前記マスター装置は、さらに、
同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備え、
前記暗号化設定部は、同一のグループ間を含む、通信を許可するというポリシーが設定されたグループ間について、通信の暗号化をするか否かの設定を前記ポリシーに追加する付記1から3までのいずれか1項に記載のマスター装置。
(付記5)
前記マスター装置は、さらに、
前記暗号化設定部によって設定された前記ポリシーを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信部
を備える付記1から4までのいずれか1項に記載のマスター装置。
(付記6)
前記マスター装置は、通信の暗号化をすると設定されたグループ間については、送信元の端末が接続されたエッジ装置が、前記送信元の端末から受信した通信データを暗号化した上で宛先の端末が接続されたエッジ装置に送信し、前記宛先の端末が接続されたエッジ装置が、暗号化された通信データを復号した上で前記宛先の端末に送信する通信制御システムにおいて前記ポリシーを設定する
付記5に記載のマスター装置。
(付記7)
マスター装置が、ネットワークに接続された複数の端末を複数のグループに分類し、
マスター装置が、前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する通信制御方法。
(付記8)
ネットワークに接続された複数の端末を複数のグループに分類する端末分類処理と、
前記端末分類処理によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定処理と
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。
(付記9)
マスター装置と複数のエッジ装置とを備える通信制御システムであり、
前記マスター装置は、
ネットワークに接続された複数の端末を複数のグループに分類する端末分類部と、
前記端末分類部によって前記複数の端末が分類されたグループ間について、通信の暗号化をするか否かの指定を受け付けてポリシーを設定する暗号化設定部と
前記暗号化設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部であって、前記ポリシーが暗号化することを示すグループ間については、送信元の端末が接続されている場合には、通信データを暗号化した上で宛先の端末に向けて送信し、宛先の端末が接続されている場合には、通信データを復号した上で宛先の端末に向けて送信する通信制御部
を備える通信制御システム。
【0063】
なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。
【0064】
以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。
【符号の説明】
【0065】
1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、111 アドレス受信部、112 端末抽出部、113 端末分類部、114 ポリシー設定部、115 設定送信部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、25 電子回路、211 アドレス取得部、212 アドレス送信部、213 設定受信部、214 通信制御部、215 ログ取得部、30 端末、31 未分類端末、41 アドレス、42 端末情報、43 グループ、44 グループリスト、45 ポリシー、46 検査用ポリシー。
【要約】
【課題】暗号化通信の設定に係る作業負担を軽減可能にする。
【解決手段】マスター装置10は、ネットワークに接続された複数の端末30を複数のグループに分類する。マスター装置10は、複数の端末10が分類されたグループ間の通信について、許可するか否かの指定を受け付けてポリシーを設定する。マスター装置10は、グループ間について、通信の暗号化をするか否かをポリシーに追加で設定する。マスター装置10は、ポリシーを各エッジ装置20に送信して、ポリシーに従い通信を制御させる。
【選択図】図1
【解決手段】マスター装置10は、ネットワークに接続された複数の端末30を複数のグループに分類する。マスター装置10は、複数の端末10が分類されたグループ間の通信について、許可するか否かの指定を受け付けてポリシーを設定する。マスター装置10は、グループ間について、通信の暗号化をするか否かをポリシーに追加で設定する。マスター装置10は、ポリシーを各エッジ装置20に送信して、ポリシーに従い通信を制御させる。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】