(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-02
(45)【発行日】2024-12-10
(54)【発明の名称】情報処理装置、情報処理方法、プログラム、及び情報処理システム
(51)【国際特許分類】
H04L 41/0654 20220101AFI20241203BHJP
【FI】
H04L41/0654
(21)【出願番号】P 2023525133
(86)(22)【出願日】2021-05-31
(86)【国際出願番号】 JP2021020607
(87)【国際公開番号】W WO2022254482
(87)【国際公開日】2022-12-08
【審査請求日】2023-11-22
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【氏名又は名称】家入 健
(72)【発明者】
【氏名】西岡 淳
(72)【発明者】
【氏名】榮 純明
(72)【発明者】
【氏名】多賀戸 裕樹
(72)【発明者】
【氏名】小梨 貴史
(72)【発明者】
【氏名】小林 佑嗣
(72)【発明者】
【氏名】市原 悦子
(72)【発明者】
【氏名】児玉 純
【審査官】浜岸 広明
(56)【参考文献】
【文献】国際公開第2017/159508(WO,A1)
【文献】特開2012-124803(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/00-43/55
(57)【特許請求の範囲】
【請求項1】
第1中継装置の欠陥を示す情報を取得する取得手段と、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットをカプセル化して前記第1中継装置に送信するように、前記第1中継装置と通信を行う第2中継装置の設定を変更させる制御手段と、
を有する情報処理装置。
【請求項2】
第1中継装置の欠陥を示す情報を取得する取得手段と、
前記第1中継装置のファイアウォール機能に欠陥がある場合、前記第1中継装置と通信を行う第2中継装置のファイアウォール機能を起動させる制御手段と、
を有する情報処理装置。
【請求項3】
前記制御手段は、
前記第1中継装置における欠陥を有する機能の使用が低減されるように、前記第1中継装置と前記第2中継装置との少なくとも一方の通信に関する設定を決定する、
請求項1
または2に記載の情報処理装置。
【請求項4】
前記制御手段は、
前記第1中継装置において欠陥を有するソフトウェアが更新された場合、前記第1中継装置と前記第2中継装置との少なくとも一方の通信に関する設定を元に戻す、
請求項1
から3のいずれか一項に記載の情報処理装置。
【請求項5】
前記制御手段は、
前記第1中継装置の欠陥の内容を示す文章から、前記第1中継装置における欠陥を有する機能を特定する、
請求項1から
4のいずれか一項に記載の情報処理装置。
【請求項6】
前記制御手段は、
前記第1中継装置のルータ機能に欠陥がある場合、前記第1中継装置のルータ機能を停止させ、前記第1中継装置のレイヤ2スイッチ機能を実行させる、
請求項1から5のいずれか一項に記載の情報処理装置。
【請求項7】
前記制御手段は、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットを、前記第1中継装置を介さない経路で送信するように前記第2中継装置の設定を変更させる、
請求項1から
6のいずれか一項に記載の情報処理装置。
【請求項8】
第1中継装置の欠陥を示す情報を取得し、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットをカプセル化して前記第1中継装置に送信するように、前記第1中継装置と通信を行う第2中継装置の設定を変更させる、
情報処理方法。
【請求項9】
第1中継装置の欠陥を示す情報を取得し、
前記第1中継装置のファイアウォール機能に欠陥がある場合、前記第1中継装置と通信を行う第2中継装置のファイアウォール機能を起動させる、
情報処理方法。
【請求項10】
情報処理装置に、
第1中継装置の欠陥を示す情報を取得する処理と、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットをカプセル化して前記第1中継装置に送信するように、前記第1中継装置と通信を行う第2中継装置の設定を変更させる処理と、
を実行させるプログラム。
【請求項11】
情報処理装置に、
第1中継装置の欠陥を示す情報を取得する処理と、
前記第1中継装置のファイアウォール機能に欠陥がある場合、前記第1中継装置と通信を行う第2中継装置のファイアウォール機能を起動させる処理と、
を実行させるプログラム。
【請求項12】
情報処理装置と、第1中継装置と、第2中継装置とを有する情報処理システムであって、
前記情報処理装置は、
第1中継装置の欠陥を示す情報を取得する取得手段と、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットをカプセル化して前記第1中継装置に送信するように、前記第1中継装置と通信を行う前記第2中継装置の設定を変更させる制御手段と、
を有する、情報処理システム。
【請求項13】
情報処理装置と、第1中継装置と、第2中継装置とを有する情報処理システムであって、
前記情報処理装置は、
第1中継装置の欠陥を示す情報を取得する取得手段と、
前記第1中継装置のファイアウォール機能に欠陥がある場合、前記第1中継装置と通信を行う前記第2中継装置のファイアウォール機能を起動させる制御手段と、
を有する、情報処理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報処理装置、情報処理方法、プログラムが格納された非一時的なコンピュータ可読媒体、及び情報処理システムに関する。
【背景技術】
【0002】
ルータ等の中継装置のソフトウェア(ファームウェア)にバグ(不具合)や情報セキュリティ上の脆弱性(セキュリティホール)等の欠陥が発見された場合、当該中継装置のソフトウェアを更新(アップデート)することにより、当該欠陥を修正することが知られている。
【0003】
特許文献1には、ルータにおいて、不具合を生じさせる特定のコマンドを受信した場合、当該特定のコマンドの代わりに、予め登録されている他のコマンドを実行することにより不具合を回避することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1記載の技術では、例えば、バグや情報セキュリティ上の脆弱性等の欠陥を有する中継装置を用いる通信ネットワークの運用を適切に行えない場合があるという問題点がある。
【0006】
本開示の目的は、上述した課題を鑑み、欠陥を有する中継装置を用いる通信ネットワークの運用を適切に行うことができる情報処理装置、情報処理方法、情報処理システム、及びプログラムが格納された非一時的なコンピュータ可読媒体を提供することである。
【課題を解決するための手段】
【0007】
本開示に係る第1の態様では、情報処理装置が、第1中継装置の欠陥を示す情報を取得する取得手段と、前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる制御手段と、を有する。
【0008】
また、本開示に係る第2の態様では、第1中継装置の欠陥を示す情報を取得し、前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる、情報処理方法が提供される。
【0009】
また、本開示に係る第3の態様では、情報処理装置に、第1中継装置の欠陥を示す情報を取得する処理と、前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる処理と、を実行させるプログラムが格納された非一時的なコンピュータ可読媒体が提供される。
【0010】
また、本開示に係る第4の態様では、情報処理装置と、第1中継装置と、第2中継装置とを有する情報処理システムが提供される。この情報処理システムにおいて、前記情報処理装置は、前記第1中継装置の欠陥を示す情報を取得する取得手段と、前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う前記第2中継装置との少なくとも一方の通信に関する設定を変更させる制御手段と、を有する。
【発明の効果】
【0011】
一側面によれば、欠陥を有する中継装置を用いる通信ネットワークの運用を適切に行うことができる。
【図面の簡単な説明】
【0012】
【
図1】実施形態に係る情報処理装置の構成の一例を示す図である。
【
図2】実施形態に係る情報処理システムの構成例を示す図である。
【
図3】実施形態に係る情報処理装置のハードウェア構成例を示す図である。
【
図4】実施形態に係る情報処理システムの処理の一例を示すシーケンス図である。
【
図5】実施形態に係る中継装置DBに記録されるデータの一例を示す図である。
【
図6】実施形態に係る制御内容DBに記録されるデータの一例を示す図である。
【発明を実施するための形態】
【0013】
本開示の原理は、いくつかの例示的な実施形態を参照して説明される。これらの実施形態は、例示のみを目的として記載されており、本開示の範囲に関する制限を示唆することなく、当業者が本開示を理解および実施するのを助けることを理解されたい。本明細書で説明される開示は、以下で説明されるもの以外の様々な方法で実装される。
【0014】
以下の説明および特許請求の範囲において、他に定義されない限り、本明細書で使用されるすべての技術用語および科学用語は、本開示が属する技術分野の当業者によって一般に理解されるのと同じ意味を有する。
【0015】
以下、図面を参照して、本開示の実施形態を説明する。
(実施の形態1)
<構成>
図1を参照し、実施形態に係る情報処理装置10の構成について説明する。
図1は、実施形態に係る情報処理装置10の構成の一例を示す図である。情報処理装置10は、取得部11、及び制御部12を有する。これら各部は、情報処理装置10にインストールされた1以上のプログラムと、情報処理装置10のプロセッサ101、及びメモリ102等のハードウェアとの協働により実現されてもよい。
【0016】
取得部11は、情報処理装置10の内部または外部の記憶部、及び外部装置から各種の情報を取得する。取得部11は、例えば、中継装置におけるバグや情報セキュリティ上の脆弱性等の欠陥を示す情報を取得する。
【0017】
制御部12は、情報処理装置10における各種の処理を行う。制御部12は、例えば、取得部11により取得された情報に基づいて、中継装置の通信に関する設定を変更させる。
【0018】
(実施の形態2)
次に、
図2を参照し、実施形態に係る情報処理システム1の構成について説明する。
<システム構成>
図2は、実施形態に係る情報処理システム1の構成例を示す図である。
図2において、情報処理システム1は、情報処理装置10を有する。また、情報処理システム1は、中継装置20A、中継装置20B、中継装置20C、中継装置20D、中継装置20E(以下で、区別する必要がない場合は、単に「中継装置20」と称する。)を有する。なお、情報処理装置10、及び中継装置20の数は
図2の例に限定されない。
【0019】
情報処理装置10、及び中継装置20は、例えば、LAN(Local Area Network)ケーブル等により、通信できるように接続される。
図2の例では、中継装置20Aは、ネットワークN1、中継装置20B、及び中継装置20Eに接続されている。中継装置20Cは、中継装置20B、及び中継装置20Dに接続されている。中継装置20Dは、中継装置20E、及びネットワークN2に接続されている。ネットワークN1は、例えば、インターネット、社外ネットワーク、他社ネットワーク等の外部ネットワークでもよい。この場合、ネットワークN1は、ローカル5Gのコアネットワークでもよい。
【0020】
ネットワークN2は、例えば、中継装置20を運用する事業者のネットワーク(内部ネットワーク)でもよい。この場合、ネットワークN2は、第5世代移動通信システム(5G)のコアネットワークでもよい。なお、各中継装置20には、1以上の通信装置が接続されていてもよい。
【0021】
情報処理装置10は、中継装置20の運用を管理する。情報処理装置10は、例えば、中継装置20に欠陥があることを示す情報を取得すると、当該欠陥による影響を低減するように、当該中継装置20、及び他の中継装置20の少なくとも一方の設定を変更する。
【0022】
中継装置20は、ネットワークN1等とネットワークN2等との間の通信を中継する。中継装置20は、例えば、ルータ機能とレイヤ2スイッチとの機能を含むレイヤ3スイッチ等の機能を有してもよい。
【0023】
<ハードウェア構成>
図3は、実施形態に係る情報処理装置10、及び中継装置20のハードウェア構成例を示す図である。以下では、情報処理装置10を例として説明する。なお、中継装置20のハードウェア構成は、
図3の情報処理装置10のハードウェア構成と同様でもよい。
【0024】
図3の例では、情報処理装置10(コンピュータ100)は、プロセッサ101、メモリ102、通信インターフェイス103を含む。これら各部は、バス等により接続されてもよい。メモリ102は、プログラム104の少なくとも一部を格納する。通信インターフェイス103は、他のネットワーク要素との通信に必要なインターフェイスを含む。
【0025】
プログラム104が、プロセッサ101及びメモリ102等の協働により実行されると、コンピュータ100により本開示の実施形態の少なくとも一部の処理が行われる。メモリ102は、ローカル技術ネットワークに適した任意のタイプのものであってもよい。メモリ102は、非限定的な例として、非一時的なコンピュータ可読記憶媒体でもよい。また、メモリ102は、半導体ベースのメモリデバイス、磁気メモリデバイスおよびシステム、光学メモリデバイスおよびシステム、固定メモリおよびリムーバブルメモリなどの任意の適切なデータストレージ技術を使用して実装されてもよい。コンピュータ100には1つのメモリ102のみが示されているが、コンピュータ100にはいくつかの物理的に異なるメモリモジュールが存在してもよい。プロセッサ101は、任意のタイプのものであってよい。プロセッサ101は、汎用コンピュータ、専用コンピュータ、マイクロプロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processor)、および非限定的な例としてマルチコアプロセッサアーキテクチャに基づくプロセッサの1つ以上を含んでよい。コンピュータ100は、メインプロセッサを同期させるクロックに時間的に従属する特定用途向け集積回路チップなどの複数のプロセッサを有してもよい。
【0026】
本開示の実施形態は、ハードウェアまたは専用回路、ソフトウェア、ロジックまたはそれらの任意の組み合わせで実装され得る。いくつかの態様はハードウェアで実装されてもよく、一方、他の態様はコントローラ、マイクロプロセッサまたは他のコンピューティングデバイスによって実行され得るファームウェアまたはソフトウェアで実装されてもよい。
【0027】
本開示はまた、非一時的なコンピュータ可読記憶媒体に有形に記憶された少なくとも1つのコンピュータプログラム製品を提供する。コンピュータプログラム製品は、プログラムモジュールに含まれる命令などのコンピュータ実行可能命令を含み、対象の実プロセッサまたは仮想プロセッサ上のデバイスで実行され、本開示のプロセスまたは方法を実行する。プログラムモジュールには、特定のタスクを実行したり、特定の抽象データ型を実装したりするルーチン、プログラム、ライブラリ、オブジェクト、クラス、コンポーネント、データ構造などが含まれる。プログラムモジュールの機能は、様々な実施形態で望まれるようにプログラムモジュール間で結合または分割されてもよい。プログラムモジュールのマシン実行可能命令は、ローカルまたは分散デバイス内で実行できる。分散デバイスでは、プログラムモジュールはローカルとリモートの両方のストレージメディアに配置できる。
【0028】
本開示の方法を実行するためのプログラムコードは、1つ以上のプログラミング言語の任意の組み合わせで書かれてもよい。これらのプログラムコードは、汎用コンピュータ、専用コンピュータ、またはその他のプログラム可能なデータ処理装置のプロセッサまたはコントローラに提供される。プログラムコードがプロセッサまたはコントローラによって実行されると、フローチャートおよび/または実装するブロック図内の機能/動作が実行される。プログラムコードは、完全にマシン上で実行され、一部はマシン上で、スタンドアロンソフトウェアパッケージとして、一部はマシン上で、一部はリモートマシン上で、または完全にリモートマシンまたはサーバ上で実行される。
【0029】
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例には、磁気記録媒体、光磁気記録媒体、光ディスク媒体、半導体メモリ等が含まれる。磁気記録媒体には、例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ等が含まれる。光磁気記録媒体には、例えば、光磁気ディスク等が含まれる。光ディスク媒体には、例えば、ブルーレイディスク、CD(Compact Disc)-ROM(Read Only Memory)、CD-R(Recordable)、CD-RW(ReWritable)等が含まれる。半導体メモリには、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory)等が含まれる。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0030】
<処理>
図4から
図6を参照し、実施形態に係る情報処理システム1の処理の一例について説明する。
図4は、実施形態に係る情報処理システム1の処理の一例を示すシーケンス図である。
図5は、実施形態に係る中継装置DB(Data Base)501に記録されるデータの一例を示す図である。
図6は、実施形態に係る制御内容DB601に記録されるデータの一例を示す図である。
【0031】
ステップS101において、情報処理装置10の取得部11は、中継装置20の欠陥情報を取得する。欠陥情報は、欠陥を有するものを示す情報である。欠陥情報には、例えば、欠陥を有する、中継装置20の型番(機種)、中継装置の製造事業者(メーカ)、機能名(プロトコル名)、ソフトウェアの名称またはハードウェア部品の型番、ソフトウェア(ファームウェア)のバージョン、中継装置20のソフトウェアまたはハードウェア部品の製造事業者名等の情報が含まれてもよい。
【0032】
ここで、情報処理装置10は、例えば、中継装置20を製造した事業者の所定のWebサイトから、中継装置20の欠陥情報を取得してもよい。また、情報処理装置10は、例えば、中継装置20を製造した事業者から送付されたメール等により、中継装置20の欠陥情報を取得してもよい。この場合、情報処理装置10のオペレータは、欠陥情報の受信用のメールアドレスを、中継装置20を製造した事業者に予め登録しておいてもよい。また、情報処理装置10は、例えば、所定の団体が運営する脆弱性情報の共有サイト等から、中継装置20の欠陥情報を取得してもよい。
【0033】
情報処理装置10は、中継装置20における欠陥の内容を示す文章のデータを、当該中継装置20を製造した事業者等から取得してもよい。そして、情報処理装置10は、取得した文章を形態素解析し、文章データから所定のキーワードを抽出することにより、欠陥情報を取得してもよい。また、情報処理装置10は、例えば、ディープラーニング等を用いたAI(Artificial Intelligence)により、文章データから欠陥情報を取得してもよい。
【0034】
また、情報処理装置10は、中継装置20を製造した事業者等が提供している特定のソフトウェアの最新のバージョンと、当該中継装置20で現在使用されている当該ソフトウェアのバージョンとの世代の差が閾値以上である場合、当該ソフトウェアに欠陥が含まれると判定してもよい。
【0035】
また、情報処理装置10は、中継装置20の特定のソフトウェアにより出力されるログを取得し、取得したログに含まれる警告及びエラー等の比率が閾値以上である場合、当該ソフトウェアに欠陥が含まれると判定してもよい。
【0036】
続いて、情報処理装置10の制御部12は、中継装置DB501を参照し、欠陥を有する中継装置20及び欠陥を有する機能を特定する(ステップS102)。
図5の例では、中継装置DB501には、中継装置IDに対応付けて、中継装置の型番、及び中継装置の製造事業者の情報が記録されている。中継装置IDは、中継装置20の識別情報である。中継装置IDは、例えば、中継装置20の通信アドレス(例えば、IPアドレス、MACアドレス)等でもよい。
【0037】
また、中継装置DB501には、中継装置IDと機能名に対応付けて、通信設定、ソフトウェアの名称またはハードウェア部品の型番、ソフトウェア(ファームウェア)のバージョン、ソフトウェアまたはハードウェア部品の製造事業者名、起動の有無が記録されている。ソフトウェアの名称は、機能名に係る機能を実現するソフトウェアの名称である。ソフトウェアのバージョンは、機能名に係る機能を実現するソフトウェアのバージョンである。起動の有無は、機能名に係る機能が中継装置20において起動されるか否かを示す情報である。
【0038】
通信設定は、機能名に係る機能での通信に関する設定の情報である。ルータの通信設定には、例えば、経路表(ルーティングテーブル)の情報が含まれてもよい。経路表には、例えば、宛先ネットワーク、ネクストホップ(転送先)、出力インターフェイス(出力ポート)等の情報がふくまれてもよい。
【0039】
中継装置DB501に記録されているデータは、情報処理装置10のオペレータ等の操作により予め登録されていてもよい。また、中継装置DB501に記録されているデータのうち少なくとも一部は、情報処理装置10により中継装置20から取得されて記録されてもよい。なお、中継装置DB501は、情報処理装置10の内部の記憶装置に記憶されてもよいし、情報処理装置10の外部の記憶装置に記憶されてもよい。
【0040】
情報処理装置10は、中継装置DB501に記録されている中継装置20のうち、例えば、型番、機能名またはソフトウェアの名称、及びソフトウェアのバージョンがステップS101で取得した欠陥情報に含まれるものと合致する各中継装置20を抽出する。そして、合致する機能名またはソフトウェアの名称に対応付けられた機能の起動の有無が「有」である中継装置20の当該機能を、欠陥を有する中継装置20であると特定してもよい。
【0041】
続いて、情報処理装置10の制御部12は、欠陥情報に基づいて制御内容DB601を参照し、欠陥を有する中継装置20における欠陥を有する機能の使用が低減されるように、1以上の各中継装置20の設定の制御内容を決定する(ステップS103)。
図6の例では、制御内容DB601には、機能名に対応付けて、制御内容が登録されている。なお、制御内容DB601に記録されているデータは、情報処理装置10のオペレータ等の操作により予め登録されていてもよい。なお、制御内容DB601は、情報処理装置10の内部の記憶装置に記憶されてもよいし、情報処理装置10の外部の記憶装置に記憶されてもよい。
【0042】
制御内容には、例えば、欠陥を有する機能について、他の中継装置20(例えば、隣接する中継装置20)にて当該機能を起動させること、当該機能の少なくとも一部を制限(縮退、停止)させること、等が含まれてもよい。また、制御内容には、例えば、当該機能を用いるパケットを他の中継装置20にカプセル化させること、当該機能を用いる通信の経路を変更させること、等が含まれてもよい。
【0043】
(他の中継装置20にて機能を起動させる例)
情報処理装置10は、第1中継装置20のファイアウォール機能に欠陥がある場合、第1中継装置20とは異なる第2中継装置20のファイアウォール機能を起動させてもよい。これにより、例えば、欠陥がある第1中継装置20の代わりに、または欠陥がある第1中継装置20に加えて、第2中継装置20によりファイアウォール機能を実行させることができる。
【0044】
図6の例では、ある中継装置20でファイアウォール機能に欠陥がある場合、欠陥がある中継装置20に隣接する中継装置20でファイアウォール機能を起動させ、欠陥がある中継装置20でのファイアウォール機能を停止させることが規定されている。また、ある中継装置20でレイヤ2スイッチ機能に欠陥がある場合、当該中継装置20での当該機能を停止させることが規定されている。この場合、
図2の例では、例えば、中継装置20Aでファイアウォール機能に欠陥がある場合、中継装置20Aに隣接する中継装置20B及び中継装置20Dでファイアウォール機能が起動され、中継装置20Aでのファイアウォール機能が停止される。
【0045】
(機能の少なくとも一部を制限(縮退、停止)させる例)
情報処理装置10は、ある中継装置20のレイヤ3スイッチ機能に欠陥がある場合、当該中継装置20のレイヤ3スイッチ機能を停止させ、当該中継装置20のレイヤ2スイッチ機能を実行させてもよい。これにより、例えば、欠陥がある機能を停止させたことによるネットワークへの影響を低減できる。
【0046】
図6の例では、ある中継装置20でルータ機能に欠陥がある場合、当該中継装置20でのルータ機能を停止させてレイヤ2スイッチを起動させること(レイヤ3スイッチからレイヤ2スイッチに縮退させること)が規定されている。また、欠陥を有する中継装置20を含まないレイヤ3の経路表を、他のルータである中継装置20に設定することが規定されている。
【0047】
(機能を用いる通信の経路を変更させる例)
情報処理装置10は、ある中継装置20における特定のプロトコルのパケットの中継機能に欠陥がある場合、当該特定のプロトコルのパケットを、当該中継装置20を介さない経路で送信するように他の中継装置20の設定を変更させてもよい。これにより、例えば、欠陥を有する中継装置20における機能が利用されることを低減できる。
【0048】
図6の例では、ある中継装置20でVLAN機能に欠陥がある場合、優先順位1として欠陥がある中継装置20での当該機能を停止させ、欠陥がある中継装置20をVLANのパケットが経由しない経路表を他の中継装置20に設定することが規定されている。この場合、
図2の例では、例えば、中継装置20BでVLAN機能に欠陥がある場合、中継装置20BでのVLAN機能が停止される。また、中継装置20BにVLANパケットが転送されないよう、中継装置20A及び中継装置20D等における経路表が変更される。
【0049】
また、ある中継装置20でSyncE(同期イーサネット)機能に欠陥がある場合、当該中継装置20がクロックの配信経路の下流になるように経路変更させることが規定されている。
【0050】
(機能を用いるパケットを他の中継装置20にカプセル化させる例)
情報処理装置10は、ある中継装置20における特定のプロトコルのパケットの中継機能に欠陥がある場合、当該特定のプロトコルのパケットをカプセル化して当該中継装置20に送信するように他の中継装置20の設定を変更させてもよい。これにより、例えば、欠陥を有する中継装置20における機能が利用されることを低減できる。
【0051】
図6の例では、ある中継装置20でVLAN機能に欠陥があり、当該中継装置20での当該機能を停止させることが可能でない場合は、優先順位2として、隣接する中継装置20間でVLANのパケットをカプセル化させることが規定されている。なお、隣接する中継装置20間でVLANのパケットをカプセル化させる場合、
図2の例では、例えば、中継装置20BでVLAN機能に欠陥がある場合、中継装置20Bに隣接する中継装置20Aと中継装置20Cとの間でVLANのパケットがカプセル化される。なお、カプセル化とは、例えば、パケット全体を、当該パケットのものとは異なる通信プロトコルのペイロードに埋込んで通信することである。
【0052】
続いて、情報処理装置10の制御部12は、決定した制御内容が実行可能であるか否かを判定する(ステップS104)。ここで、情報処理装置10は、例えば、欠陥を有する中継装置20にてファイアウォール機能またはゲートウェイ(プロトコルコンバータ)機能が起動される場合は、ルータ機能を停止させることが不可能であると判定してもよい。
【0053】
また、情報処理装置10は、例えば、欠陥を有する中継装置20にてある機能を停止させるとネットワークの機能が維持されなくなる場合、当該機能を停止させることが不可能であると判定してもよい。この場合、例えば、所定のプロトコルのパケットを転送する機能(例えば、VLAN機能)を停止させると、当該中継装置20を経由しない経路が存在しなくなる場合に、ネットワークの機能が維持されなくなると判定されてもよい。
【0054】
また、情報処理装置10は、例えば、隣接する中継装置20が特定の機能(例えば、ファイアウォール機能、VLAN機能等)を有しない場合、隣接する中継装置20にて当該機能を起動させることが不可能であると判定してもよい。
【0055】
決定した制御内容が実行可能では無いと判定した場合、情報処理装置10は、決定した制御内容が実行可能では無いことを示す通知を、情報処理システム1の管理者の端末に送信してもよい。なお、情報処理装置10は、例えば、ステップS101で取得した欠陥情報、ステップS103で決定した制御内容を示す情報を当該通知に含めてもよい。
【0056】
決定した制御内容が実行可能であると判定した場合、以下の処理が実行される。なお、情報処理装置10は、決定した制御内容が実行可能であることを示す通知を、情報処理システム1の管理者の端末に送信してもよい。なお、情報処理装置10は、例えば、ステップS101で取得した欠陥情報、ステップS103で決定した制御内容を示す情報を当該通知に含めてもよい。そして、情報処理装置10は、情報処理システム1の管理者により承認操作が行われない場合は以下の処理を実行しないようにしてもよい。一方、承認操作が行われた場合は以下の処理を実行してもよい。
【0057】
続いて、情報処理装置10の制御部12は、決定した制御内容に従った設定内容に変更させるコマンドを、欠陥を有する中継装置20、及び他の中継装置20の少なくとも一つに送信する(ステップS105)。ここで、当該コマンドには、例えば、変更後の経路表等の通信設定のデータが含まれてもよい。
【0058】
続いて、コマンドを受信した中継装置20は、受信したコマンドに従って通信設定を変更する(ステップS106)。これにより、例えば、中継装置20のソフトウェアにバグや情報セキュリティ上の脆弱性等の欠陥が発見された場合、当該ソフトウェアがアップデートされるまでの間においても、当該欠陥の影響を低減できる。そのため、通信ネットワークの運用を適切に行うことができる。
【0059】
なお、情報処理装置10は、ある中継装置20において欠陥を有するソフトウェアが更新された場合、ステップS105の処理で設定内容を変更した1以上の各中継装置20の通信に関する設定を元に戻してもよい。これにより、例えば、欠陥が修正された場合は、以前の設定に復帰させることができる。この場合、情報処理装置10は、ステップS105の処理で設定内容を変更する際に、各中継装置20の元の通信に関する設定内容を履歴として記録しておいてもよい。そして、中継装置20は、例えば、中継装置20の管理者により所定の操作が実行された場合に、欠陥が修正されたソフトウェアを中継装置20の製造事業者のWebサイト等からダウンロードしてインストールしてもよい。そして、情報処理装置10は、オペレータから所定の操作が行われた場合、または当該中継装置20から所定の通知を受信した場合、記録していた履歴に基づいて、各中継装置20の通信に関する設定を元に戻してもよい。
【0060】
<変形例>
情報処理装置10は、例えば1以上のコンピュータにより構成されるクラウドコンピューティングにより実現されていてもよい。また、情報処理装置10と中継装置20とを一体のサーバ(装置)として構成してもよい。これらのような情報処理装置10についても、本開示の「情報処理装置」の一例に含まれる。
【0061】
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0062】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
第1中継装置の欠陥を示す情報を取得する取得手段と、
前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる制御手段と、
を有する情報処理装置。
(付記2)
前記制御手段は、
前記第1中継装置における欠陥を有する機能の使用が低減されるように、前記第1中継装置と前記第2中継装置との少なくとも一方の通信に関する設定を決定する、
付記1に記載の情報処理装置。
(付記3)
前記制御手段は、
前記第1中継装置において欠陥を有するソフトウェアが更新された場合、前記第1中継装置と前記第2中継装置との少なくとも一方の通信に関する設定を元に戻す、
付記1または2に記載の情報処理装置。
(付記4)
前記制御手段は、
前記第1中継装置の欠陥の内容を示す文章から、前記第1中継装置における欠陥を有する機能を特定する、
付記1から3のいずれか一項に記載の情報処理装置。
(付記5)
前記制御手段は、
前記第1中継装置のファイアウォール機能に欠陥がある場合、前記第2中継装置のファイアウォール機能を起動させる、
付記1から4のいずれか一項に記載の情報処理装置。
(付記6)
前記制御手段は、
前記第1中継装置のルータ機能に欠陥がある場合、前記第1中継装置のルータ機能を停止させ、前記第1中継装置のレイヤ2スイッチ機能を実行させる、
付記1から5のいずれか一項に記載の情報処理装置。
(付記7)
前記制御手段は、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットをカプセル化して前記第1中継装置に送信するように前記第2中継装置の設定を変更させる、
付記1から6のいずれか一項に記載の情報処理装置。
(付記8)
前記制御手段は、
前記第1中継装置における特定のプロトコルのパケットの中継機能に欠陥がある場合、前記特定のプロトコルのパケットを、前記第1中継装置を介さない経路で送信するように前記第2中継装置の設定を変更させる、
付記1から7のいずれか一項に記載の情報処理装置。
(付記9)
第1中継装置の欠陥を示す情報を取得し、
取得した情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる、
情報処理方法。
(付記10)
情報処理装置に、
第1中継装置の欠陥を示す情報を取得する処理と、
取得した情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う第2中継装置との少なくとも一方の通信に関する設定を変更させる処理と、
を実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
(付記11)
情報処理装置と、第1中継装置と、第2中継装置とを有する情報処理システムであって、
前記情報処理装置は、
前記第1中継装置の欠陥を示す情報を取得する取得手段と、
前記取得手段により取得された情報に基づいて、前記第1中継装置と、前記第1中継装置と通信を行う前記第2中継装置との少なくとも一方の通信に関する設定を変更させる制御手段と、
を有する、情報処理システム。
(付記12)
前記制御手段は、
前記第1中継装置における欠陥を有する機能の使用が低減されるように、前記第1中継装置と前記第2中継装置との少なくとも一方の通信に関する設定を決定する、
付記11に記載の情報処理システム。
【符号の説明】
【0063】
1 情報処理システム
10 情報処理装置
11 取得部
12 制御部
20 中継装置