知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-04-21
(45)【発行日】2025-04-30
(54)【発明の名称】情報通信システム、情報通信方法、およびプログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20250422BHJP
G06F 21/44 20130101ALI20250422BHJP
【FI】
G06F21/57 350
G06F21/44
【請求項の数】
9
(21)【出願番号】P 2023578324
(86)(22)【出願日】2022-02-07
(86)【国際出願番号】 JP2022004590
(87)【国際公開番号】W WO2023148951
(87)【国際公開日】2023-08-10
【審査請求日】2024-07-16
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100178216
【弁理士】
【氏名又は名称】浜野 絢子
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】永田 篤志
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2018-081349(JP,A)
【文献】特開2016-139883(JP,A)
【文献】特開2015-018477(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
通信機と、当該通信機の真正性を検証する検証装置を備える、情報通信システムであって、前記通信機が管理する複数の機器それぞれの真正性を検証する検証手段と、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記検証装置に前記機器の異常報告を通知する通知手段を備え、
前記通信機と最上位検証装置の間に一又は複数の上位検証装置を備え、
前記上位検証装置は、前記上位検証装置の下位に存在する前記通信機又は上位検証装置の真正性を検証する検証手段と、前記真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置又は最上位検証装置に異常報告を通知する通知手段を備える、
情報通信システム。
【請求項2】
前記最上位検証装置は、前記最上位検証装置の下位に存在する通信機又は上位検証装置の真正性を検証する検証手段と、前記情報通信システムを構成する機器、通信機および上位検証装置のいずれかの検証結果を出力する出力手段と、を備える、請求項1に記載の情報通信システム。
【請求項3】
前記最上位検証装置における出力手段は、前記情報通信システムを構成する機器、通信機および上位検証装置の検証結果をドリルダウンにより表示する、請求項2に記載の情報通信システム。
【請求項4】
前記最上位検証装置は、真正性の異常が検出された機器を管理する通信機の動作を制御する制御手段を更に備える、請求項2又は3に記載の情報通信システム。
【請求項5】
前記制御手段は、前記通信機の属性証明書を書き換えることにより、前記通信機との通信を停止する、請求項4に記載の情報通信システム。
【請求項6】
異常が検出された機器に対する復旧用のAPIを前記通信機と前記最上位検証装置との間に更に備え、前記通信機の記憶手段には、復旧のためのプログラムが暗号化されて記憶されており、
前記制御手段は、前記通信機に対し、前記APIを通じて前記異常が検出された機器のプログラムの復旧を指示する、請求項4に記載の情報通信システム。
【請求項7】
前記制御手段は、前記通信機又は前記上位検証装置の真正性の異常が検出された場合、更に、当該通信機又は当該上位検証装置に対する復旧動作を制御する、請求項4~6のいずれか一項に記載の情報通信システム。
【請求項8】
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記機器の異常報告を通知し、
前記通信機と最上位検証装置の間に一又は複数の上位検証装置が備えられ、
前記上位検証装置において、前記上位検証装置の下位に存在する前記通信機又は上位検証装置の真正性を検証する検証手段と、前記真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置又は最上位検証装置に異常報告を通知する、
情報通信方法。
【請求項9】
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記機器の異常報告を通知する、ことをコンピュータに実行させ、
前記通信機と最上位検証装置の間に一又は複数の上位検証装置が備えられ、
前記上位検証装置において、前記上位検証装置の下位に存在する前記通信機又は上位検証装置の真正性を検証する検証手段と、前記真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置又は最上位検証装置に異常報告を通知する、ことをさらにコンピュータに実行させる、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報通信システム、情報通信方法、および記録媒体に関する。
【背景技術】
【0002】
様々な業務の現場に設置される機器(エッジコンピュータ)に対するサイバー攻撃が現実的になってきている。例えば、システムベンダーが構築したシステムを顧客に引き渡す際に、悪意をもった第三者により、機器に対して不正な改ざんがなされ、システムが異常動作を起こす場合がある。不正な改ざんは、機器の輸送時や倉庫での保管時、又はシステム構築後の不法侵入等によりなされることがある。
【0003】
これに対し、システムの異常動作を実行させないために、システムを起動する前に機器の真正性を検証することが知られている。例えば、特許文献1には、機器とスマートメータとを備える通信システムにおいて、機器からスマートメータに対して認証要求を行い、認証処理を経た後に機器のデータを読み出す技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2016-039564号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載された発明は、機器毎にそれぞれ認証処理を実行する。このため、例えば、検証対象のシステムの構成が階層化し、最下位層に位置する複数の機器が枝分かれした状態で配置されている場合に、どの装置の管理下に存在する機器の異常であるのか特定できない。
【0006】
本開示の目的の一例は、検証対象のシステムの構成が階層化しても、異常が検出された機器がどの装置の管理下であるかを特定可能な情報通信システムを提供することにある。
【課題を解決するための手段】
【0007】
本開示の一態様における情報通信システムは、通信機と、当該通信機の真正性を検証する検証装置を備える情報通信システムであって、通信機が管理する複数の機器それぞれの真正性を検証する検証手段と、複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、検証装置に機器の異常報告を通知する通知手段を備える。
【0008】
本開示の一態様における情報通信方法は、通信機が管理する複数の機器それぞれの真正性を検証し、複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、通信機の上位に存在する検証装置に、前記機器の異常報告を通知する。
【0009】
本開示の一態様における記録媒体は、通信機が管理する複数の機器それぞれの真正性を検証し、複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、通信機の上位に存在する検証装置に、機器の異常報告を通知する、ことをコンピュータに実行させるプログラムを格納する。
【発明の効果】
【0010】
本開示による効果の一例は、検証対象のシステムの構成が階層化しても、異常が検出された機器がどの装置の管理下であるかを特定可能な情報通信システムを提供できる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
次に、実施形態について図面を参照して詳細に説明する。
【0013】
[第一の実施形態]
図1は、第一の実施形態における情報通信システム10の構成を示す図である。図1を参照すると、情報通信システム10は、複数の機器100(100a、100b)、通信機200、上位検証装置300および最上位検証装置400を有する。内部システム20は、複数の機器100と通信機200とからなる。第一の実施形態における情報通信システム10は、最上位検証装置400を頂点とした階層構造となっており、最上位検証装置400が管理する複数の上位検証装置300が存在し、各上位検証装置300が管理する複数の内部システム20(通信機200)が存在する。複数の上位検証装置300は、同じ階層に上位検証装置300が複数存在する場合と、複数階層に上位検証装置30が存在する場合とを含む。
図1は、第一の実施形態における情報通信システム10の構成を示す図である。図1を参照すると、情報通信システム10は、複数の機器100(100a、100b)、通信機200、上位検証装置300および最上位検証装置400を有する。内部システム20は、複数の機器100と通信機200とからなる。第一の実施形態における情報通信システム10は、最上位検証装置400を頂点とした階層構造となっており、最上位検証装置400が管理する複数の上位検証装置300が存在し、各上位検証装置300が管理する複数の内部システム20(通信機200)が存在する。複数の上位検証装置300は、同じ階層に上位検証装置300が複数存在する場合と、複数階層に上位検証装置30が存在する場合とを含む。
【0014】
各機器100の真正性は、各機器の起動時に生成された各機器100の構成部品およびプログラムのハッシュ値に基づき、上位の検証装置である通信機200が検証する。通信機200は、各機器100の電源投入等によって開始されるOS等のプログラム起動までの一連の起動動作における真正性を検証する。通信機200は、いずれかの機器100の真正性が異常であることを検出すると、上位検証装置300を介して最上位検証装置400まで異常報告を通知する。情報通信システム10は、例えば、機器100の起動動作が開始される度に機器100の真正性を検証する。なお、本実施形態において真正性とは、各機器100において、テスト済みの既知の構成部品およびプログラムだけが動作しており、機器供給やシステム構築過程で不正な改ざんが行われていない状態を意味する。
【0015】
内部システム20は、例えば、遠隔地に置かれたシステム等、データセンタとの衛星通信や無線通信等のネットワークが完全に遮断されるとクローズド環境となるシステムである。内部システム20は、例えば、車両、船舶、航空機等の装備品をリアルタイムに制御する装備品システムである。情報通信システム10において、通信機200は、各機器100の検証結果を集約し、衛星通信又は無線通信を使って、上位検証装置300を介して最上位検証装置400に送信する。また、通信機200は、各機器100の検証結果を同じ上位検証装置の管理下にある別の通信機200を経由し、上位検証装置300を介して最上位検証装置400に送信してもよい。内部システム20が情報通信システム10から切り離され、クローズド環境となった場合、後述するように、通信機200に備えられたランプ又はブザーにより、機器100の検証結果の異常を報知しても構わない。また、内部システム20が装備品システムの場合、検証結果は、無線通信により別の車両、船舶又は航空機内の通信機200を経由し、上位検証装置を介して最上位検証装置400まで送信されても構わない。その他の内部システム20に該当するシステムとしては、例えば、コネクテッドカー又は工場内でのOT(Operational Technology)で用いられるシステムが挙げられる。
【0016】
図2は、本開示の第一の実施形態における機器100および通信機200のそれぞれを、プロセッサを含むコンピュータ装置500で実現したハードウェア構成の一例を示す図である。図2に示されるように、機器100および通信機200は、それぞれCPU(Central Processing Unit)501、ROM(Read Only Memory)502、RAM(Random Access Memory)503等のメモリ、プログラム504を格納するハードディスク等の記憶装置505、ネットワーク接続用の通信I/F(Interface)508、データの入出力を行う入出力インターフェース511を含む。
【0017】
CPU501は、OSを動作させて本発明の第一の実施の形態に係る機器100、通信機200、上位検証装置300および最上位検証装置400の全体を制御する。また、CPU501は、例えばドライブ装置507などに装着された記録媒体506からメモリにプログラムやデータを読み出す。また、CPU501は、第一の実施の形態における機器100、通信機200、上位検証装置300および最上位検証装置400が備える各部の実現手段およびこれらの一部として機能し、プログラムに基づいて後述する図3に示すフローチャートにおける処理または命令を実行する。
【0018】
記録媒体506は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、または半導体メモリ等である。記憶装置の一部の記録媒体は、不揮発性記憶装置であり、そこにプログラムを記録する。また、プログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされてもよい。
【0019】
入力装置509は、例えば、マウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力装置509は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネルでもよい。出力装置510は、例えばディスプレイで実現され、出力を確認するために用いられる。
【0020】
以上のように、図1に示す第一の実施形態は、図2に示されるコンピュータ・ハードウェアによって実現される。ただし、図1の機器100、通信機200、上位検証装置300および最上位検証装置400が備える各部の実現手段は、以上説明した構成に限定されない。
【0021】
<機器100>
機器100(100a、100b)のそれぞれは、プログラム実行部101(101a、101b)と、セキュリティ機能部102(102a、102b)と、送信部103(103a、103b)と、を備える。なお、図1に図示された複数の機器100は、2台であるが、複数の機器100の台数は2台に限られない。複数の機器100の台数は、実際に内部システム20内に存在する機器の台数に対応する。
機器100(100a、100b)のそれぞれは、プログラム実行部101(101a、101b)と、セキュリティ機能部102(102a、102b)と、送信部103(103a、103b)と、を備える。なお、図1に図示された複数の機器100は、2台であるが、複数の機器100の台数は2台に限られない。複数の機器100の台数は、実際に内部システム20内に存在する機器の台数に対応する。
【0022】
プログラム実行部101は、機器100の起動プログラムを実行し、構成部品および起動プログラムのハッシュ値を生成する。プログラム実行部101は、例えば、機器100の電源が投入されると、ブートローダ、BIOS(Basic Input Output System)又はUEFI(Unified Extensible Firmware Interface)、OSの順にプログラムを実行する。但し、実行するプログラムはこれに限らない。プログラムは、ブートローダだけが存在するプログラムであっても構わないし、ブートローダ自体が多段であるプログラムであっても構わない。プログラム実行部101は、各プログラムを実行しながらCPU等の構成部品のハッシュ値および各起動プログラムのハッシュ値を生成すると、生成したハッシュ値をセキュリティ機能部102に入力する。なお、ハッシュ値は、電子署名されてハッシュ値自体の真正性を確保してもよい。
【0023】
セキュリティ機能部102は、耐タンパー性を持った記憶領域を含む。セキュリティ機能部102は、悪意を持った第三者による改ざんが難しい領域である。セキュリティ機能部102は、プログラム実行部101から入力された各ハッシュ値を記憶するとともに、通信機200に対してハッシュ値を安全に送信するための暗号化処理に必要とする暗号鍵を持ってもよいし、情報発信元を定義した属性証明書を持っていてもよい。セキュリティ機能部102は、例えば、TPM(Trusted Platform Module)で構成されるが、耐タンパー性を実現できる構成であればこれに限らない。TPMは、OSやハードウェア、外部からの物理ハッキングに対して改ざんが難しい特性をもつため、耐タンパー性が高い。
【0024】
送信部103は、セキュリティ機能部102内に格納されたハッシュ値を通信機200に送信し、機器100の真正性の検証を要求する。
【0025】
<通信機200>
通信機200は、送受信部201と、認証情報記憶部202と、検証部203と、通知部204と、を備える。なお、通信機200は、1台で複数のサーバとして運用させる仮想化サーバにより構成されも構わない。
通信機200は、送受信部201と、認証情報記憶部202と、検証部203と、通知部204と、を備える。なお、通信機200は、1台で複数のサーバとして運用させる仮想化サーバにより構成されも構わない。
【0026】
送受信部201は、機器100から送信されたデータを受信し、上位検証装置300に送信する。送受信部201は、内部システム20内のファイアーウォール機能を持っていてもよい。すなわち、送受信部201は、内部システム20の外部とのネットワーク通信について、通信させるかどうかを判定し、許可又は拒否する。
【0027】
認証情報記憶部202は、各機器100の構成部品および各プログラムのハッシュ期待値を記憶する。ハッシュ期待値とは、構成部品や起動プログラムの不正な改ざんがされていない場合に生成される正常時のハッシュ値である。認証情報記憶部202は、予め、各機器100から送受信部201を介して受信したハッシュ期待値を記憶する。
【0028】
検証部203は、各機器100の構成部品および各機器100で実行された起動プログラムの真正性を検証する。検証部203は、例えば、真正性が担保されているか否かの2値で判定される。検証部203は、いずれかの機器100から検証要求を受け取ると、起動プログラム実行時に生成されたハッシュ値と認証情報記憶部202に格納されたハッシュ期待値とを比較する。但し、検証部203による検証方法はこれに限らず、起動プログラム実行時のハッシュ値が正常時のハッシュ値であることを確認できる方法であればよい。
【0029】
検証部203は、起動時に取得したハッシュ値がハッシュ期待値と同一である場合、真正性があると判定し、検証結果を通知部204に出力する。検証部203は、取得されたハッシュ値がハッシュ期待値と異なる場合、真正性がないと判定し、検証結果を通知部204に出力する。検証部203は、機器100のいずれかのプログラムのハッシュ値がハッシュ期待値と一致しない場合には、その時点で、真正性がないと判定し、検証結果を通知部204に出力しても構わない。
【0030】
通知部204は、通信機200が管理する複数の機器のうち、いずれかの機器100の真正性の異常が検出された場合に、上位検証装置300に対して機器100の異常報告を通知する。通知部204は、検証部203から真正性がないとの検証結果を受け取ったタイミングで上位検証装置300に異常報告を通知しても構わない。また、通知部204は、最上位検証装置400から上位検証装置300経由で真正性の検証結果の送信要求があった場合に、上位検証装置300に異常報告を通知しても構わない。また、通知部204は、ディスプレイ装置等の出力装置510に対して機器100の異常報告を示す情報を表示するように制御しても構わない。また、通知部204は、真正性がないとの検証結果を受け取った場合は、通信機200に備えられたランプ又はブザーにより、異常があることを報知しても構わない。この場合、内部システム20が情報通信システム10から切り離され、クローズド環境となった場合でも、機器100の異常を報知できる。
【0031】
<上位検証装置300>
上位検証装置300は、送受信部301を備えており、通信機200からの異常報告を受信すると、最上位検証装置400に異常報告をそのまま通知する。
上位検証装置300は、送受信部301を備えており、通信機200からの異常報告を受信すると、最上位検証装置400に異常報告をそのまま通知する。
【0032】
<最上位検証装置400>
最上位検証装置400は、受信部401と、出力部402と、を備える。受信部401は、上位検証装置300から異常報告を受信する。出力部402は、受信した異常報告を出力する。出力部402は、異常報告を受信したことを表示装置等の出力装置510に出力する。
最上位検証装置400は、受信部401と、出力部402と、を備える。受信部401は、上位検証装置300から異常報告を受信する。出力部402は、受信した異常報告を出力する。出力部402は、異常報告を受信したことを表示装置等の出力装置510に出力する。
【0033】
以上のように構成された情報通信システム10の動作について、図3のフローチャートを参照して説明する。
【0034】
図3は、第一の実施形態における情報通信システム10の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。
【0035】
図3に示すように、まず、機器100のプログラム実行部101は、起動プログラムを実行し、構成部品および起動プログラムのハッシュ値を生成し(ステップS101)、生成したハッシュ値をセキュリティ機能部102に記憶する(ステップS102)。送信部103は、セキュリティ機能部102内に格納されたハッシュ値を通信機200に送信する(ステップS103)。次いで、通信機200の送受信部201は、生成されたハッシュ値を受信する(ステップS104)。次に、検証部203は、生成されたハッシュ値と認証情報記憶部202に格納されたハッシュ期待値とを比較する(ステップS105)。検証部203は、生成されたハッシュ値とハッシュ期待値とが一致する場合(S105;YES)、真正性があると判定し(ステップS106)、フローを終了する。一方、検証部203は、生成されたハッシュ値とハッシュ期待値とが一致しない場合(S105;NO)、真正性がないと判定し(ステップS107)、通知部204は、上位検証装置300を介して最上位検証装置400に異常報告を通知する(ステップS108)。以上で、情報通信システム10は、情報通信の動作を終了する。
【0036】
第一の実施形態では、通信機200が管理する機器100のいずれかに真正性がないと判定された場合、通知部204が上位検証装置300を介して最上位検証装置400に異常報告を通知する。このため、最上位検証装置400は、異常報告を受信した上位検証装置300の管理下に存在する機器100が異常であることを特定できる。よって、検証対象のシステムの構成が階層化しても、異常が検出された機器100がどの装置の管理下にあるかを特定可能である。
【0037】
次に、本開示の第一の実施形態の変形例について説明する。第一の実施形態では、通信機200が管理する機器100のいずれかに真正性の異常が検出された場合、上位検証装置300を介して最上位検証装置400に異常報告を通知した。この場合、最上位検証装置400は、異常報告を受信したタイミングで、上位検証装置300に対し、異常報告を通知した通信機200を特定する情報を送信するよう要求しても構わない。更に、最上位検証装置400は、上位検証装置300を介して、通信機200に対し、真正性の異常が検出された機器100を特定する情報を送信するよう要求しても構わない。これにより、最上位検証装置400は、情報通信システム10を管理する管理者に対して、異常が検出された機器100又は当該機器100を管理する通信機200を特定する情報を通知することができる。
【0038】
次に、本開示の第二の実施形態について説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図2に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ソフトウェアで実現することができる。
【0039】
図4は、第二の実施形態における情報通信システム11の構成を示す図である。第二の実施形態は、通信機210の通知部214の構成と、上位検証装置310および最上位検証装置410の構成が第一の実施形態の構成と異なる。上位検証装置310は、送受信部311と、認証情報記憶部312と、検証部313と、通知部314と、を備える。また、最上位検証装置410は、受信部411と、認証情報記憶部412と、検証部413、出力部414とを備える。
【0040】
<通信機210>
第二の実施形態において、通知部214は、検証部213から真正性がないとの検証結果を受け取ると、真正性がないと判定された機器110の情報を異常報告に含めて上位検証装置310に対して通知する。この場合、通知部214は、例えば、TPM内の真正性の検証に用いないPCR(Platform Configuration Register)の番号に真正性がないと判定された機器110の識別子のハッシュ値を記憶し、記憶したハッシュ値を上位検証装置310に対して通知してもよい。
第二の実施形態において、通知部214は、検証部213から真正性がないとの検証結果を受け取ると、真正性がないと判定された機器110の情報を異常報告に含めて上位検証装置310に対して通知する。この場合、通知部214は、例えば、TPM内の真正性の検証に用いないPCR(Platform Configuration Register)の番号に真正性がないと判定された機器110の識別子のハッシュ値を記憶し、記憶したハッシュ値を上位検証装置310に対して通知してもよい。
【0041】
<上位検証装置310>
送受信部311は、通信機210から受信した異常報告を受信すると、通知部314に異常報告を受信したことを出力する。
送受信部311は、通信機210から受信した異常報告を受信すると、通知部314に異常報告を受信したことを出力する。
【0042】
認証情報記憶部312は、通信機210の構成部品および起動プログラムのハッシュ期待値を記憶する。
【0043】
検証部313は、通信機210が起動するタイミングで通信機210の真正性を検証する。検証部313は、通信機210の起動時に生成されたハッシュ値と認証情報記憶部312に記憶されたハッシュ期待値に基づいて、通信機210の真正性を検証する。検証部313が実行する真正性の検証方法は、第一の実施形態おける通信機200による機器100の真正性の検証方法と同様である。検証部313は、通信機210に真正性がないと判定した場合のみ、検証結果を通知部214に出力する。一方、検証部313は、通信機210に真正性があると判定した場合、検証結果を通知部214に出力しない。
【0044】
通知部314は、最上位検証装置410に対して異常報告を通知する。また、通知部314は、検証部313から入力された、通信機210の真正性の検証結果を保持している。通知部314は、送受信部311から異常報告が入力されると、通信機210の真正性の検証結果を反映して、最上位検証装置410に対して異常報告を通知する。すなわち、通知部314は、検証部313から通信機210の真正性の検証結果を受信している場合、機器110に対する異常報告に加え、通信機210に対する異常報告を通知する。一方、通知部314は、検証部313から通信機210の真正性の検証結果を受信していない場合、機器110に対する異常報告のみを通知する。
【0045】
通知部314は、真正性がないと判定された機器110に及び通信機210の情報を異常報告に含めて最上位検証装置410に対して通知する。この場合も、通知部314は、TPM内の真正性の検証に用いないPCRの番号に、真正性がないと判定された機器110や通信機210の識別子のハッシュ値を記憶し、記憶したハッシュ値を最上位検証装置410に対して通知してもよい。また、通知部314は、ディスプレイ装置等の出力装置510に対して機器110や通信機210の異常報告を示す情報を表示するように制御しても構わない。また、通知部314は、真正性がないとの検証結果を受け取った場合は、上位検証装置310に備えられたランプ又はブザーにより、異常があることを報知しても構わない。この場合、上位検証装置310と最上位検証装置410との間のネットワークが遮断された場合でも、上位検証装置310が通信機210の異常を報知できる。
【0046】
<最上位検証装置410>
最上位検証装置410は、受信部411と、認証情報記憶部412と、検証部413と、出力部414とを備える。
最上位検証装置410は、受信部411と、認証情報記憶部412と、検証部413と、出力部414とを備える。
【0047】
受信部411は、上位検証装置310からハッシュ値を含む異常報告を受信すると、出力部414に異常報告を受信したことを出力する。
【0048】
認証情報記憶部412は、上位検証装置310の構成部品および起動プログラムのハッシュ期待値を記憶する。
【0049】
検証部413は、上位検証装置310が起動するタイミングで、上位検証装置310の真正性を検証する。検証部413は、上位検証装置310の起動時に生成されたハッシュ値と認証情報記憶部412に記憶されたハッシュ期待値に基づいて、上位検証装置310の真正性を検証する。検証部413による真正性の検証方法は、通信機200による機器100の真正性の検証方法と同様である。検証部413は、上位検証装置310の真正性がないと判定した場合、出力部414に検証結果を出力する。一方、検証部413は、上位検証装置310の真正性があると判定した場合、出力部414に検証結果を出力しない。
【0050】
出力部414は、情報通信システム11を構成する機器110、通信機210および上位検証装置310の真正性の検証結果を出力する。また、出力部414は、検証部413から入力された、上位検証装置310の真正性の検証結果を保持している。出力部414は、上位検証装置310から異常報告を受信すると、異常報告に含まれるハッシュ値および検証部413から入力された検証結果に基づき、情報通信システム11の各階層における構成の異常の有無を特定し、特定した異常の有無をディスプレイ装置等の出力装置510に対して表示する。この場合、出力部414は、異常報告に含まれるハッシュ値を復号化して、異常が検出された機器110及び通信機210を特定する。また、出力部414は、検証部413からの上位検証装置310の検証結果の受信の有無によって、上位検証装置310の異常の有無を特定する。すなわち、出力部414は、検証部413から上位検証装置310の検証結果を受信している場合、上位検証装置310が異常であると特定する。一方、出力部414は、検証部413から上位検証装置310の検証結果を受信していない場合、上位検証装置310が正常であると特定する。
【0051】
図5および図6は、出力部414による検証結果の出力例である。図5は、情報通信システム11の構成を示し、図6は、通信機Xが管理する機器110の構成と検証結果を示す。例えば、出力部414は、図5における通信機Xが選択されたことを検知すると、図6に示すような通信機Xが管理する各機器110の異常の有無および検証時刻を表示する。また、出力部414は、図6に示すように、異常が検出された機器110を強調表示させても構わない。
【0052】
以上のように構成された情報通信システム11の動作について、図7のフローチャートを参照して説明する。
【0053】
図7は、第二の実施形態における情報通信システム11の動作の概要を示すフローチャートである。第二の実施形態における情報通信システム11は、通信機210の検証部213が、機器110の真正性を検証し、いずれかの機器110の真正性がないと判定した場合に動作を開始する。尚、このフローチャートによる処理は、前述したプロセッサによるプログラム制御に基づいて、実行されてもよい。
【0054】
図7に示すように、まず、通信機210の検証部213がいずれかの機器の真正性がないと判定すると(ステップS201)、通知部214が、真正性がないと判定された機器110のハッシュ値を上位検証装置310に通知する(ステップS202)。次いで、上位検証装置310の送受信部311は、通信機210から受信したハッシュ値を受信する(ステップS203)。次いで、通知部314は、通信機210の真正性の検証結果を反映する(ステップS204)。次いで、通知部314は、真正性がないと判定された機器110および通信機のハッシュ値を含む異常報告を最上位検証装置410に通知する(ステップS205)。最上位検証装置410は、受信部411が、ハッシュ値を含む異常報告を受信すると(ステップS206)、出力部414が上位検証装置310の真正性の検証結果を反映する(ステップS207)。次いで、情報通信システム11に含まれる構成(機器110、通信機210及び上位検証装置310)の真正性の検証結果を出力する(ステップS208)。以上で、情報通信システム11は、情報通信の動作を終了する。
【0055】
本実施形態における情報通信システム11は、通信機210、上位検証装置310および最上位検証装置410のそれぞれが、自身の下の階層に存在する機器又は装置(通信機)の真正性を検証し、真正性がないと判定した機器又は装置を特定した情報を含めて最上位検証装置410まで異常報告を通知する。また、最上位検証装置410の出力部414が情報通信システム11に含まれる構成の真正性の検証結果を出力する。これにより、情報通信システム11に含まれる構成の真正性を情報通信システム11の管理者が把握することができる。
【0056】
第二の実施形態では、いずれかの機器110の真正性に異常が検知されたタイミングで、上位検証装置310および最上位検証装置410の各検証部が下位の通信機210および上位検証装置310の真正性をそれぞれ順に検証した。しかし、本実施形態の検証するタイミングは、これに限られない。例えば、通信機210および上位検証装置310が起動するタイミングで、通信機210および上位検証装置310がそれぞれの上位の装置に対して真正性の検証要求を行い、各上位の装置が通信機210又は上位検証装置310の真正性を検証しても構わない。この場合、第二実施形態と同様に、真正性がないと判定された通信機210又は上位検証装置310を特定するハッシュ値を含む異常報告を最上位検証装置410まで送信する。
【0057】
また、第二の実施形態の情報通信システム11では、通信機210と最上位検証装置410との間に上位検証装置310のみが存在していたが、通信機210と最上位検証装置410との間に複数の上位検証装置310が存在しても構わない。この場合であっても、各上位検証装置310は、上位検証装置310自身の下位に存在する通信機210又は上位検証装置310の真正性を検証する検証部313と、真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置310又は最上位検証装置410に異常報告を通知する通知部314を備える。
【0058】
[第三の実施形態]
次に、本開示の第三の実施形態について説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図2に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ソフトウェアで実現することができる。
次に、本開示の第三の実施形態について説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。本開示の各実施形態における各構成要素は、図2に示すコンピュータ装置と同様に、その機能をハードウェア的に実現することはもちろんプログラム制御に基づくコンピュータ装置、ソフトウェアで実現することができる。
【0059】
第三の実施形態は、第二の実施形態において、異常報告された機器120のプログラムの復旧を実行する。
【0060】
図8は、第一の実施形態における情報通信システム12の構成を示す図である。図8に示すように、情報通信システム12は、異常が検出された機器に対してプログラムの復旧用のAPI(Application Programming Interface)を通信機220と最上位検証装置420との間に備える。また、最上位検証装置420が制御部425を更に備える。また、通信機220において記憶装置505に復旧用のプログラムが暗号化されて記憶されている。
【0061】
最上位検証装置420は、受信部421と、認証情報記憶部422と、検証部423と、出力部424と、制御部425とを備える。
【0062】
制御部425は、検証部423により真正性の異常が検出された機器120を管理する通信機220を制御して機器120の復旧動作を実行する。制御部425は、内部システム22に備えられた代替用の機器を起動させてもよい。この場合、制御部425は、異常が検出された機器120を物理的又は論理的にネットワークから切り離すると共に、遠隔実行により内部システム22内の代替用の機器を起動する。また、制御部425は、当該通信機220に対し、APIを通じて異常が検出された機器120のプログラムの復旧を指示しても構わない。通信機220は、制御部425からの指示を受けると、記憶装置505に記憶している復旧用のプログラムを復号化し、真正性の異常が検出された機器120に対してプログラムをインストールするように制御する。
【0063】
図9は、出力部424による真正性の検証結果の出力例である。図9に示すように、情報通信システム12の各構成の検証結果がドリルダウンにより表示されている。図9の例は、図5および図6で示されたシステムの構成をドリルダウンにより表示したものである。図5で示されたシステムの各構成は、図9中のリスト5に該当し、図6で示されたシステムの各構成は、図9中のリスト6に該当する。また、図9で示されるシステムの構成では、衛星Cと衛星通信を行うシステムCに該当することが示されている。出力部424は、図9に示すように、異常が検知された機器120、機器120を管理する通信機名、通信機が設置されているシステム名、システムが通信する衛星名の表示箇所に色が付けられて強調表示しても構わない。なお、情報通信システム12の各構成の名称や表示方法は図9の例に限られない。例えば、図9におけるシステム名の代わりに、例えば、システムを利用する組織名やシステムが設置されている場所名を表示しても構わない。
【0064】
また、図9の出力例では、異常が検出された機器(機器C)の表示の横に、復旧ボタンが設けられている。制御部425は、この復旧ボタンがクリックされたことを検知すると、通信機220に対してプログラムの復旧を指示する。
【0065】
また、制御部425は、検証部423により真正性の異常が検出された機器を管理する通信機220(内部システム22)との通信を、証明書情報を書き換えることにより停止させても構わない。例えば、制御部425は、RFC5755の仕組みを使って、異常が検出された内部システム22内の通信機220の属性証明書を書き換える。制御部425は、異常が検出された内部システム22を除いて情報通信システム10を再構成し、情報通信システム12の縮退運転を実行するように制御しても構わない。
【0066】
第三の実施形態では、制御部425が、通信機220に対し、復旧用APIを通じて異常が検出された機器120のプログラムの復旧を指示する。第三の実施形態のように、最上位検証装置420からの復旧用APIを備えることで、内部システム22が遠隔地にあり、すぐに現地に赴いて復旧対処することが難しい場合であっても、内部システム22の機能を継続するための対処をすることができる。
【0067】
以上、各実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しえる様々な変更をすることができる。
【0068】
例えば、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。また、第三の実施形態では、最上位検証装置420の制御部425が、通信機220に対し、復旧用APIを通じて異常が検出された機器120のプログラムの復旧を指示した。しかし、通信機220は、自身が管理するいずれかの機器120の異常を検出した場合に、図示しない通信機220の制御部が記憶装置505に記憶された復旧プログラムを復号化し、真正性の異常が検出された機器120に対してプログラムをインストールするように制御しても構わない。この場合、通信機220により機器120の真正性の異常が検出された場合に、内部システム22内で自動的に機能を継続するための対処をすることができる。
【0069】
また、第三の実施形態において、制御部425は、通信機220又は上位検証装置320の真正性の異常が検出された場合も同様に、異常が検出された通信機220又は上位検証装置320に対する復旧動作を制御してもよい。この場合、制御部425は、予め情報通信システム12内に用意している代替機を起動させても構わないし、異常が検出された通信機220又は上位検証装置320との通信を停止しても構わない。また、制御部425は、上述のAPIを通じて異常が検出された通信機220又は上位検証装置320のプログラムの復旧を指示しても構わない。各復旧用のプログラムは、通信機220及び上位検証装置320の記憶装置505にそれぞれ記憶されている。
【0070】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0071】
(付記1)
通信機と、当該通信機の真正性を検証する検証装置を備える、情報通信システムであって、
通信機が管理する複数の機器それぞれの真正性を検証する検証手段と、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記検証装置に前記機器の異常報告を通知する通知手段を備える、情報通信システム。
通信機と、当該通信機の真正性を検証する検証装置を備える、情報通信システムであって、
通信機が管理する複数の機器それぞれの真正性を検証する検証手段と、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記検証装置に前記機器の異常報告を通知する通知手段を備える、情報通信システム。
【0072】
(付記2)
前記通信機と最上位検証装置の間に一又は複数の上位検証装置を備え、
前記上位検証装置は、前記上位検証装置の下位に存在する前記通信機又は上位検証装置の真正性を検証する検証手段と、前記真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置又は最上位検証装置に異常報告を通知する通知手段を備える、付記1に記載の情報通信システム。
前記通信機と最上位検証装置の間に一又は複数の上位検証装置を備え、
前記上位検証装置は、前記上位検証装置の下位に存在する前記通信機又は上位検証装置の真正性を検証する検証手段と、前記真正性の検証結果に異常が検出された場合に、自身の上位に存在する上位検証装置又は最上位検証装置に異常報告を通知する通知手段を備える、付記1に記載の情報通信システム。
【0073】
(付記3)
前記異常報告は、前記異常が検出された機器、通信機又は上位検証装置を特定する情報を含む、付記1又は付記2に記載の情報通信システム。
前記異常報告は、前記異常が検出された機器、通信機又は上位検証装置を特定する情報を含む、付記1又は付記2に記載の情報通信システム。
【0074】
(付記4)
前記最上位検証装置は、
前記最上位検証装置の下位に存在する通信機又は上位検証装置の真正性を検証する検証手段と、前記情報通信システムを構成する機器、通信機および上位検証装置のいずれかの検証結果を出力する出力手段と、を備える、付記2に記載の情報通信システム。
前記最上位検証装置は、
前記最上位検証装置の下位に存在する通信機又は上位検証装置の真正性を検証する検証手段と、前記情報通信システムを構成する機器、通信機および上位検証装置のいずれかの検証結果を出力する出力手段と、を備える、付記2に記載の情報通信システム。
【0075】
(付記5)
前記最上位検証装置における出力手段は、前記情報通信システムを構成する機器、通信機および上位検証装置の検証結果をドリルダウンにより表示する、付記4に記載の情報通信システム。
前記最上位検証装置における出力手段は、前記情報通信システムを構成する機器、通信機および上位検証装置の検証結果をドリルダウンにより表示する、付記4に記載の情報通信システム。
【0076】
(付記6)
前記最上位検証装置は、真正性の異常が検出された機器を管理する通信機の動作を制御する制御手段を更に備える、付記4又は付記5に記載の情報通信システム。
前記最上位検証装置は、真正性の異常が検出された機器を管理する通信機の動作を制御する制御手段を更に備える、付記4又は付記5に記載の情報通信システム。
【0077】
(付記7)
前記制御手段は、前記通信機の属性証明書を書き換えることにより、前記通信機との通信を停止する、付記6に記載の情報通信システム。
前記制御手段は、前記通信機の属性証明書を書き換えることにより、前記通信機との通信を停止する、付記6に記載の情報通信システム。
【0078】
(付記8)
異常が検出された機器に対する復旧用のAPIを前記通信機と前記最上位検証装置との間に更に備え、
前記通信機の記憶手段には、復旧のためのプログラムが暗号化されて記憶されており、
前記制御手段は、前記通信機に対し、前記APIを通じて前記異常が検出された機器のプログラムの復旧を指示する、付記6に記載の情報通信システム。
異常が検出された機器に対する復旧用のAPIを前記通信機と前記最上位検証装置との間に更に備え、
前記通信機の記憶手段には、復旧のためのプログラムが暗号化されて記憶されており、
前記制御手段は、前記通信機に対し、前記APIを通じて前記異常が検出された機器のプログラムの復旧を指示する、付記6に記載の情報通信システム。
【0079】
(付記9)
前記制御手段は、前記通信機又は前記上位検証装置の真正性の異常が検出された場合、更に、当該通信機又は当該上位検証装置に対する復旧動作を制御する、付記6~8のいずれかに記載の情報通信システム。
前記制御手段は、前記通信機又は前記上位検証装置の真正性の異常が検出された場合、更に、当該通信機又は当該上位検証装置に対する復旧動作を制御する、付記6~8のいずれかに記載の情報通信システム。
【0080】
(付記10)
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記機器の異常報告を通知する、情報通信方法。
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記機器の異常報告を通知する、情報通信方法。
【0081】
(付記11)
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記複数の機器の異常報告を通知する、ことをコンピュータに実行させるプログラムを格納する記録媒体。
通信機が管理する複数の機器それぞれの真正性を検証し、前記複数の機器のうち、いずれかの機器に真正性の異常が検出された場合に、前記通信機の上位に存在する検証装置に、前記複数の機器の異常報告を通知する、ことをコンピュータに実行させるプログラムを格納する記録媒体。
【符号の説明】
【0082】
10、11、12 情報通信システム
100、110、120 機器
101、111、121 プログラム実行部
102、112、122 セキュリティ機能部
103、113、123 送信部
200、210、220 通信機
201、211、221 送受信部
202、212、222 認証情報記憶部
203、213、223 検証部
204、214、224 通知部
300、310、320 上位検証装置
301、311、321 送受信部
312、322 認証情報記憶部
313、323 検証部
314、324 通知部
400、410、420 最上位検証装置
401、411、421 受信部
402、414、424 出力部
412、422 認証情報記憶部
413、423 検証部
425 制御部
100、110、120 機器
101、111、121 プログラム実行部
102、112、122 セキュリティ機能部
103、113、123 送信部
200、210、220 通信機
201、211、221 送受信部
202、212、222 認証情報記憶部
203、213、223 検証部
204、214、224 通知部
300、310、320 上位検証装置
301、311、321 送受信部
312、322 認証情報記憶部
313、323 検証部
314、324 通知部
400、410、420 最上位検証装置
401、411、421 受信部
402、414、424 出力部
412、422 認証情報記憶部
413、423 検証部
425 制御部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】