知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-04-28
(45)【発行日】2025-05-09
(54)【発明の名称】不正アクセス監視システム、および不正アクセス監視方法
(51)【国際特許分類】
H04L 41/28 20220101AFI20250430BHJP
H04L 43/08 20220101ALI20250430BHJP
G06F 21/55 20130101ALI20250430BHJP
【FI】
H04L41/28
H04L43/08
G06F21/55 320
【請求項の数】
10
(21)【出願番号】P 2021049359
(22)【出願日】2021-03-24
(65)【公開番号】P2022147898
(43)【公開日】2022-10-06
【審査請求日】2024-02-15
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100178216
【弁理士】
【氏名又は名称】浜野 絢子
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】勝倉 辰之助
【審査官】速水 雄太
(56)【参考文献】
【文献】特開2007-312148(JP,A)
【文献】特開2018-164232(JP,A)
【文献】特開2019-174914(JP,A)
【文献】国際公開第2020/170780(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
41/00-101/695
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス監視システムであって、前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能と、
前記機器リストに含まれる機器への制御要求の受信頻度に関する情報と、不正アクセスの危険度に関する情報と、を前記コントローラごとに保持するコントローラリストを管理するコントローラ管理機能と、
前記機器リストに含まれる機器への制御要求を前記コントローラから受信したときに、前記コントローラリストを用いて前記コントローラとの通信の可否を決定する通信機能と、を含み、
前記コントローラ管理機能は、前記制御要求を受信すると、前記制御要求が行われた対象機器が疑似機器であるか否かと、前記受信頻度とに応じて、前記コントローラリストにおける前記コントローラの前記危険度を変更する、不正アクセス監視システム。
【請求項2】
前記コントローラ管理機能は、前記対象機器が疑似機器である場合に、前記コントローラの前記危険度を上昇させる際の重みづけを実施する、請求項1に記載の不正アクセス監視システム。
【請求項3】
前記コントローラ管理機能は、前記制御要求の制御パラメータが前記対象機器の仕様の範囲外である場合に、前記コントローラリストにおける前記コントローラの前記危険度を上昇させる、請求項1または2に記載の不正アクセス監視システム。
【請求項4】
前記コントローラ管理機能は、前記対象機器が疑似機器であり、かつ前記制御要求の制御パラメータが前記対象機器の仕様の範囲外である場合に、前記受信頻度に依らずに前記コントローラリストにおける前記コントローラの前記危険度を上昇させる、請求項1に記載の不正アクセス監視システム。
【請求項5】
前記通信機能は、通信を行うと決定した場合に前記制御要求に応答してデータを送受信する、請求項1乃至4のいずれか一項に記載の不正アクセス監視システム。
【請求項6】
前記ゲートウェイは、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときには、データを生成して生成したデータを前記制御要求の送信元へ送信する、請求項5に記載の不正アクセス監視システム。
【請求項7】
前記ゲートウェイは、前記1つまたは複数の機器には実在しない疑似機器を生成し、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときに、前記データを生成する疑似機器管理機能をさらに含む、請求項6に記載の不正アクセス監視システム。
【請求項8】
外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス監視方法であって、前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理するものであって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理し、
前記機器リストに含まれる機器への制御要求の受信頻度に関する情報と、不正アクセスの危険度に関する情報と、を前記コントローラごとに保持するコントローラリストを管理し、
前記機器リストに含まれる機器への制御要求を前記コントローラから受信したときに、前記コントローラリストを用いて前記コントローラとの通信の可否を決定し、
前記制御要求を受信すると、前記制御要求が行われた対象機器が疑似機器であるか否かおよび前記受信頻度に応じて、前記コントローラリストにおける前記コントローラの前記危険度を変更する、不正アクセス監視方法。
【請求項9】
前記危険度の変更において、前記対象機器が疑似機器である場合に、前記コントローラリストにおける前記コントローラの前記危険度を上昇させる際の重みづけを実施する、請求項8に記載の不正アクセス監視方法。
【請求項10】
前記ゲートウェイは、通信を行うと決定した場合に前記制御要求に応答してデータを送受信する、請求項8または9に記載の不正アクセス監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス監視システム、および不正アクセス監視方法に関し、特にホームネットワークなどのネットワークへの不正アクセスの監視に関する。
【背景技術】
【0002】
HEMS(Home Energy Management System)やスマートスピーカーの発展により住宅におけるIoT(Internet of Things)システムが急速に発展しつつある。しかしながら、住宅におけるIoTシステムは企業向けのITシステムとは異なり、導入コストやメンテナンスコスト、サポートスキルといった障壁があり、結果として、企業向けのITシステムと比べて十分なセキュリティ対策が取られていることなく、脆弱な状態で居住者はIoTシステムの利用を継続していることが多い。
【0003】
例えば、居住者のパソコンやスマートデバイスにはセキュリティソフトが導入されていることもあるが、企業向けのITシステムのように、すべてのパソコンやスマートデバイスにセキュリティソフトを確実に導入し、かつ、最新の状態に維持することは難しい。さらに、家電や宅内ネットワークに対するセキュリティ対策においては、家電などの機器の内部構造やネットワークにおける基礎知識も理解した上での対策が求められ、一般のユーザである居住者が十分なセキュリティ対策をとることは難しい。また、Wi-Fi(Wireless Fidelity)(Wi-Fiは登録商標)などの無線環境によっては住宅外まで微弱ながら電波が漏れてしまい宅外から攻撃可能な点、友人や宅配業者を含む不特定多数の人間が宅内に不正な機器を持ち込むことを厳密に禁止できない点から宅内環境のセキュリティリスクを低減できない要因にもなっている。
【0004】
住宅におけるIoTシステムで利用されるプロトコルの一例としてECHONET Lite(登録商標)というプロトコルがある。このプロトコルは、家庭用Wi-Fiルータを利用することを想定したプロトコルであり、コントローラが機器を探索するために、ブロードキャストすると機器が自身の情報をユニキャストで返答するプロトコルである。機器のユニキャスト返答後、コントローラと機器間でユニキャスト通信し、状態取得信号と制御指示信号が交わされる。図9にこのような構成の宅内201のネットワークを示す。図9のネットワークは、外部ネットワークの一例としてのインターネット(登録商標)へ接続されるルータ211と、ルータ211へ接続されたコントローラ212と、ルータ211に接続される機器213と、を含む。ECHONET Liteに準拠しているコントローラ、機器は規定上、ブロードキャストに回答しなければならず、悪意を持ったコントローラへの返信および制御指示に対して従ってしまうため、セキュリティ上脆弱なプロトコルとなる。プロトコル上認証の仕組みは規定されておらずアプリケーションごとに対策をとる必要がある。またコントローラは、パナソニック社のHEMSコントローラであるAiSEGや、各社からリリースされているスマホアプリ、コンピュータ端末、組込機器等、多数存在し、一般のユーザである居住者は、比較的容易にECHONET Liteを利用したIoTシステムを導入することができる。
【0005】
なお、ECHONET Liteに限らず、住宅における通信機器のほとんどが他機器との接続性を優先しているため、同一セグメント構成であることやファイアウォールを含まない構成を前提として設計・実装されており、結果としてセキュリティレベルを担保することが難しくなっている。
【0006】
特許文献1は、電力管理システムに関するものであり、ECHONET Liteのセキュリティレベルを上げるために、コントローラと機器間で必ず認証情報を含めたメッセージ交換をすることが提案されている。特許文献1では、セキュリティレベルの低いメッセージ、例えば認証情報がないメッセージであれば制御可能な範囲に制限をかけ、機器を保護すること
特許文献2は、不正アクセス監視システムに関するものであり、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバーを設置すること、囮サーバーからプログラムのダウンロードを要求するダウンロード要求が送信されたときに、不正アクセスの兆候を検知することが、提案されている。
特許文献2は、不正アクセス監視システムに関するものであり、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバーを設置すること、囮サーバーからプログラムのダウンロードを要求するダウンロード要求が送信されたときに、不正アクセスの兆候を検知することが、提案されている。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2017-038515号公報
【文献】特開2010-198386号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上述した不正アクセス監視には以下のような課題がある。
【0009】
特許文献1のように、エンドツーエンドで認証を実施することにより、一般的にセキュリティレベルは向上する。しかしながら、既にリリース済みの製品やサービスは認証処理を追加しなければ安全に利用および運用することができない。つまり、認証処理追加の開発コスト増加とリモートファームウェアアップデートに対応できていない機器は現地でのファームウェアアップデートコスト増加を招く。そのため、特許文献1が提案する技術を容易に導入することができない機器については、結果としてセキュリティレベルが低いままで運用しなければならない、という課題がある。また、ECHONET Liteのようなプロトコルの場合、ブロードキャストに対して応答してしまい(ディスカバリープロトコルにより検知されてしまい)、悪意を持った攻撃者に機器の位置を特定されてしまうという課題もある。そのため、本来通信したい正しいコントローラと機器のペア以外にも複製アクセスされてしまい、攻撃者からサイバー攻撃を受ける可能性がある。
【0010】
例えば、居住者が住宅に友人を招き、招いた友人がマルウェアに感染したスマートフォンを住宅に忘れていった状況を例として考える。マルウェアに感染したスマートフォンはまず宅内ネットワークにアクセスを試み、Wi-Fiルータへの不正アクセスを開始する。その後、宅内ネットワークをスキャンし、宅内機器の把握後、宅内機器への不正アクセスを開始する。セキュリティ対策が施されていなかった場合、かつ、機器のアクセス権を取得されてしまった場合、不正に機器の情報(認証情報を含む)が抜き取られ、機器への不正な制御が行われることにより、居住者の経済的損失、生命の危険にさらされる可能性がある。
【0011】
また、PC(Personal Computer)やスマートデバイスはアプリを比較的簡単にインストール可能なデバイスであるため、スマートホーム向けのアプリを導入しやすい反面、マルウェアを含む不正なアプリも導入しやすい。特に最近のマルウェアには正しいアプリであるように巧妙に偽装されており、一般ユーザでは不正なアプリであることを見抜けず、居住者が意図せず利用を継続してしまい、居住者の経済的損失、生命の危険にさらされる可能性もある。
【0012】
そこで、スマートデバイスやPCといったコントローラとエアコンや照明といった機器との間にゲートウェイを導入し、Wi-Fiルータといったルータ配下のネットワークと保護対象の機器が所属するネットワークをゲートウェイが分離する構成を考える。このゲートウェイは配下の機器を管理し、機器の代理でコントローラと通信をする機能を持つとする。このようなゲートウェイを導入した場合、機器が認証機能を保有するかどうかに関わらず、安全なネットワーク上でゲートウェイ-機器間の通信を行うことができ、仮にコントローラが認証機能を保持しない場合はゲートウェイにて通信を遮断するようなアクセス制御が可能になる。しかしながら、このような構成の場合においても配下の機器数や情報自体はECHONET Liteのようなプロトコルを利用する場合、規約上、ゲートウェイがコントローラへ返答しなければならず、機器情報を隠蔽できないという課題がある。さらに機器への直接通信を回避することはできても、不正なコントローラの検出が難しいという課題がある。
【0013】
このようなセキュリティ上の脆弱性を放置したままIoTシステムを宅内で運用する場合、居住者が宅内で移動中の照明消灯や入浴時の湯温度の異常値設定、玄関上の不正開錠など、居住者の生命や財産の安全を保護できない。
【0014】
また、特許文献2のように囮サーバーを設置する手法では、対処できるのが対象の脆弱性を利用した攻撃に留まる、という課題がある。また特許文献2が提案する手法を適用した場合、保護対象の機器単位で囮サーバーを設置することになり、構成が大がかりになるという、課題がある。
【0015】
本発明の目的は、ネットワーク配下の機器を不正アクセスから保護できる不正アクセス監視システム、および不正アクセス監視方法を提供することにある。
【課題を解決するための手段】
【0016】
前記目的を達成するため、本発明に係る不正アクセス監視システムは、外部ネットワークへ接続されるルータに接続されたゲートウェイと、上記ルータへ接続された1つまたは複数のコントローラと、上記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理システムであって、
上記ゲートウェイは、
上記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能と、
上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する通信機能と、を含む。
上記ゲートウェイは、
上記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能と、
上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する通信機能と、を含む。
【0017】
本発明に係る不正アクセス監視方法は、外部ネットワークへ接続されるルータに接続されたゲートウェイと、上記ルータへ接続された1つまたは複数のコントローラと、上記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理方法であって、
上記ゲートウェイは、
上記ゲートウェイに接続される1つまたは複数の機器を管理するものであって、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理し、
上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する。
上記ゲートウェイは、
上記ゲートウェイに接続される1つまたは複数の機器を管理するものであって、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理し、
上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する。
【発明の効果】
【0018】
本発明によれば、ネットワーク配下の機器を不正アクセスから保護できる不正アクセス監視システム、および不正アクセス監視方法を提供できる。
【図面の簡単な説明】
【0019】
【図1】上位概念の実施形態による不正アクセス管理システムを説明するためのブロック図である。
【図2】一実施形態の不正アクセス管理システムを説明するためのブロック図である。
【図4】機器リストの一例を示すテーブルである。
【図5】機器リストの通知処理を説明するためのフローチャートである。
【図6】コントローラリストの一例を示すテーブルである。
【図7】コントローラの危険度の判定処理を説明するためのフローチャートである。
【図8】機器リストの更新処理を説明するためのフローチャートである。
【図9】攻撃者が不正アクセスしてきたときの状況を説明する概念図である。
【図10A】本発明の実施形態の不正アクセス管理システムについて、攻撃者が不正アクセスしてきたときの状況を説明する概念図である。
【図10B】本発明の実施形態の不正アクセス管理システムについて、攻撃者が不正アクセスしてきたときの状況を説明する概念図である。
【発明を実施するための形態】
【0020】
〔本発明の概要〕
本発明の不正アクセス監視システム、および不正アクセス監視方法では、例えばゲートウェイ配下の実際のデバイスとは別に、疑似的なデバイスを生成する。そしてゲートウェイはコントローラに対して、実際に存在しているかのように疑似的なデバイスの存在を通知する。悪意を持ったコントローラは疑似的なデバイスを含めて全網羅的にアクセスを繰り返すため、疑似的なデバイスに対する通信を行うコントローラをゲートウェイは悪意を持ったコントローラとして検知する。さらにゲートウェイは悪意を持ったコントローラとして検知した対象からの通信を、アクセス制御する。以下、本発明の好ましい実施形態について、図面を参照しながら詳細に説明する。
本発明の不正アクセス監視システム、および不正アクセス監視方法では、例えばゲートウェイ配下の実際のデバイスとは別に、疑似的なデバイスを生成する。そしてゲートウェイはコントローラに対して、実際に存在しているかのように疑似的なデバイスの存在を通知する。悪意を持ったコントローラは疑似的なデバイスを含めて全網羅的にアクセスを繰り返すため、疑似的なデバイスに対する通信を行うコントローラをゲートウェイは悪意を持ったコントローラとして検知する。さらにゲートウェイは悪意を持ったコントローラとして検知した対象からの通信を、アクセス制御する。以下、本発明の好ましい実施形態について、図面を参照しながら詳細に説明する。
【0021】
〔上位概念の実施形態〕
初めに、本発明の上位概念の実施形態による不正アクセス監視システム、および不正アクセス監視方法について説明する。図1は、本発明の上位概念の実施形態による不正アクセス管理システムを説明するためのブロック図である。
初めに、本発明の上位概念の実施形態による不正アクセス監視システム、および不正アクセス監視方法について説明する。図1は、本発明の上位概念の実施形態による不正アクセス管理システムを説明するためのブロック図である。
【0022】
本実施形態の不正アクセス管理システムは、外部ネットワークへ接続されるルータに接続されたゲートウェイと、上記ルータへ接続された1つまたは複数のコントローラと、上記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理システムである。図1の不正アクセス管理システムのゲートウェイ50は、ゲートウェイ50に接続される1つまたは複数の機器を管理する機器管理機能であって、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能51を含む。さらに図1の不正アクセス管理システムのゲートウェイ50は、上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する通信機能52を含む。
【0023】
本実施形態の不正アクセス管理方法では、ゲートウェイ50は、ゲートウェイ50に接続される1つまたは複数の機器を管理するものであり、上記1つまたは複数の機器に実在する機器と、上記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する。さらにゲートウェイ50は、上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する。
【0024】
本実施形態の不正アクセス管理システム、および不正アクセス管理方法では、機器リストでゲートウェイ50に接続される上記1つまたは複数の機器と、上記1つまたは複数の機器には実在しない疑似機器とを監視し、上記機器リストに含まれる機器への制御要求を受信したときに、上記制御要求に応答してデータを送受信する。機器リストには1つまたは複数の機器には実在しない疑似機器も含まれることにより、実在する機器を不正アクセスから部分的に隠蔽することができる。またこのような実在しない疑似機器も機器リストに含まれることにより、制御要求の送信元を自動的に検知し、送信元に対して適切なアクセス制御で対処することができる。以下、具体的な実施形態の不正アクセス監視システム、および不正アクセス監視方法について、説明する。
【0025】
〔一実施形態〕
次に、本発明の一実施形態による不正アクセス監視システム、および不正アクセス監視方法について、説明する。図2は、本発明の一実施形態の不正アクセス管理システムを説明するためのブロック図である。図3は、図2のゲートウェイ10のより詳細な構成を説明するためのブロック図である。
次に、本発明の一実施形態による不正アクセス監視システム、および不正アクセス監視方法について、説明する。図2は、本発明の一実施形態の不正アクセス管理システムを説明するためのブロック図である。図3は、図2のゲートウェイ10のより詳細な構成を説明するためのブロック図である。
【0026】
住宅内部(宅内1)に複数のコントローラがあり、そのコントローラの内、1つが攻撃者であった場合の検知方法について説明する。住宅内部(宅内1)のホームネットワークは、ルータ11、1つまたは複数のコントローラ12、ゲートウェイ10、および複数の機器13を含む。
【0027】
ルータ11は、外部ネットワークの一例としてのインターネット(登録商標)と接続しており、宅内1の端末はインターネット通信をすることができる。図では示していないがインターネットとルータ11の間にONU(Optical Network Unit)のような端末やスイッチングハブやルータ、ファイアウォールやロードバランサ、プロキシといった端末が構成上入っていてもよい。
【0028】
また、ルータ11は1つまたは複数のコントローラ12、およびゲートウェイ10と接続している。ルータ11は各端末に対してIP(Internet Protocol)アドレスのような通信が可能なアドレスを払い出し、各端末に設定する。端末へのアドレス設定は動的設定、静的設定のどちらでも可能とする。さらにアドレスがIPアドレスであった場合、IPv4、IPv6のどちらもでも可能とする。また、ルータは1つまたは複数のコントローラ12、およびゲートウェイ10からの通信を適切にルーティングする。ルータ11がルーティングすることにより、コントローラ12-コントローラ12間やコントローラ12-ゲートウェイ10間、またはコントローラ12-インターネット間、ゲートウェイ10-インターネット間の通信が成り立つ。さらに、ルータ11のNAT(Network Address Translation)機能やNAPT(Network Address Port Translation)機能の有効、無効といった設定は本構成の実施形態に影響を与えない。
【0029】
コントローラ12はPC(Personal Computer)やスマートフォン、タブレット、スマートデバイスといったコンピュータ端末である。このとき、HEMSコントローラのような端末と通信することができるコンピュータ端末も含まれる。マイコンやシングルボードコンピュータなども含まれる。これらのコンピュータ端末上に機器と通信し、情報参照および機器制御するためのアプリケーションが搭載されている。この時、このアプリケーションが通信するための認証機能を有しているかどうかは、本構成の実施形態に影響を与えない。また、コントローラ12のアプリケーションは居住者からの手動操作を元に受動的に動作する場合もあるし、居住者の操作なしに能動的に動作する場合もある。
【0030】
機器13は住宅に設置されるもので、居住者の生活に利用される機器13である。コントローラ12からの要求に対して情報を返却することができるものは全て機器13となる。例えば、エアコンなどの空調、床暖房、給湯機、照明機器、テレビ、TV(Television)レコーダ、メディアプレイヤー、ラジオ、スマートスピーカー、パソコン、スマートフォン、タブレット、スマートデバイスといった家電なども機器13である。また、住宅に設置される監視カメラ、人感センサ、動物監視センサ、温度センサ、湿度センサ、煙感知センサや窓開閉センサ、窓鍵開閉センサ、その他センサなども、機器13である。さらに電気錠や電動シャッターなども、機器13として含まれる。コントローラと同様に機器13には、情報参照要求または機器制御要求に対して情報を返却するためのアプリケーションが搭載されている。この時、アプリケーションは通信するための認証機能を有している場合もあれば、有していない場合もある。
【0031】
(ゲートウェイ10の詳細構成)
次に、本実施形態のゲートウェイ10の詳細構成について、図3を参照して説明する。
次に、本実施形態のゲートウェイ10の詳細構成について、図3を参照して説明する。
【0032】
ゲートウェイ10は、図3の通り、通信機能110、機器管理機能120、コントローラ管理機能130、および疑似機器管理機能140を有する。
【0033】
ゲートウェイ10の通信機能110は、通信インターフェース管理機能111、通信拒絶機能112、および通信内容解析・統計処理機能113を有する。
【0034】
通信インターフェース管理機能111は、ゲートウェイ10がゲートウェイ10ではない他のコンピュータ端末と通信するための機能である。コンピュータ端末には、1つまたは複数のコントローラおよび1つまたは複数の機器を含む。通信インターフェース管理機能111は、1つまたは複数のコントローラおよび1つまたは複数の機器と通信するため、ネットワークインターフェースを経由してデータ送信またはデータ受信する。
【0035】
また、ゲートウェイ10は1つまたは複数の機器と接続しており、通信インターフェース管理機能111は各端末に対してIPアドレスのような通信が可能なアドレスを払い出し、各機器に設定する。ただし、機器へのアドレス設定は動的に設定することもできるし、静的に設定することもできる。さらにアドレスがIPアドレスであった場合、IPv4、IPv6のどちらでも設定することができる。ただし、機器単位でIPv4、IPv6を選択することはできず、ゲートウェイ10と機器13の内、1つでもIPv4であれば、そのほかも同様にIPv4を設定する必要がある。同様にゲートウェイ10と機器13の内、1つでもIPv6であれば、そのほかも同様にIPv6を設定する必要がある。コントローラ12-ゲートウェイ10間のネットワークセグメントと、ゲートウェイ10-機器13間のネットワークセグメントとは一致しないこととする。
【0036】
通信拒絶機能112は、通信インターフェース管理機能111が受信したデータを処理するか、破棄する。コントローラ管理機能130のコントローラリスト131に記載されたコントローラが送信元の場合、通信拒絶機能112はコントローラリスト131の対応する危険度を参照し、危険度が拒絶であればデータを破棄し、危険度が拒絶以外であればデータを処理する。
【0037】
通信内容解析・統計処理機能113は、通信インターフェース管理機能111が受信したデータを解析する。通信内容解析・統計処理機能113は、データを送信したコントローラのアドレスやデータの中身がどのような参照要求、または制御要求なのかといった内容を、データのヘッダ情報から解析する。また、コントローラごとにデータの受信頻度を測定する。
【0038】
ゲートウェイ10の機器管理機能120は、機器リスト121、機器制御機能122、および機器情報参照機能123を有する。
【0039】
機器リスト121は図4のように、ゲートウェイ10が通信する機器13の機器アドレス、機器種別、および機器が生成された疑似機器かどうかを示す情報を管理するリストである。図4の例では、アドレスA、アドレスBは実在する機器の機器アドレスであるが、アドレスC、アドレスDは生成された疑似機器の機器アドレスとなる。アドレスA、アドレスCの機器種別は「エアコン」であり、アドレスB、アドレスDの機器種別は「給湯機」である。
【0040】
この機器リスト121の内容は、図5の機器リスト通知処理のフローチャートのように、任意のタイミングでコントローラ12へ通知する(S1)。コントローラ12への通知は、ユニキャスト、またはブロードキャスト、マルチキャスト、その組合せの場合もある。
【0041】
機器制御機能122は、ゲートウェイ10が機器13を制御するための機能である。コントローラ12から機器制御要求の信号を受信すると、機器制御機能122は制御対象が疑似機器かどうか判定する。制御対象が「実在する機器」であった場合、機器13に対して機器制御要求の信号を送信する。機器13がゲートウェイ10からの機器制御要求の信号に対して応答した場合、応答内容をコントローラ12へ返却する。機器13が応答しなかった場合、ゲートウェイ10も同様にコントローラ12へ応答しない。対象が「疑似機器」であった場合、疑似機器管理機能140の機器レスポンス生成機能143によりデータを生成し、生成したデータをコントローラ12へ返却する。
【0042】
機器情報参照機能123は、ゲートウェイ10が機器情報を参照するための機能である。コントローラ12から情報参照要求の信号を受信すると、機器情報参照機能123は参照対象が「疑似機器」かどうか判定する。参照対象が実在する機器13であった場合、機器13に対して情報参照の信号を送信する。機器13がゲートウェイ10からの情報参照の信号に対して応答した場合、応答内容をコントローラ12へ返却する。機器13が応答しなかった場合、ゲートウェイ10も同様にコントローラへ応答しない。対象が「疑似機器」であった場合、疑似機器管理機能140の機器レスポンス生成機能143によりデータを生成し、生成したデータをコントローラ12へ返却する。
【0043】
ゲートウェイ10のコントローラ管理機能130は、コントローラリスト131を有し、ゲートウェイ10の配下の機器13に対するコントローラ12からのアクセスを管理する。
【0044】
コントローラリスト131は図6のように、ゲートウェイ10が通信するコントローラ12のコントローラアドレス、コントローラ12が攻撃者かどうか判定するための危険度、およびコントローラ12がどの程度ゲートウェイ10に対してアクセスしてきているかを判定するための統計情報を、管理するリストである。図6の例では危険度として「許可」、「制限」、または「拒絶」を保持している。ここで危険度は、「許可」、「制限」、「拒絶」の順に高いものとする。図6の例では統計情報として「頻度低」、「頻度中」、または「頻度高」を保持している。図6の例では、アドレスa、アドレスdは現実的な利用範囲で通信を行っているコントローラと判定されており、アドレスb、アドレスeは、攻撃者と判定されつつある状態、アドレスcは攻撃者と判定されたことを示す。
【0045】
コントローラ管理機能130は、通信機能の通信内容解析・統計処理機能113により、コントローラ12-ゲートウェイ10間の通信状況を確認し、コントローラ12の危険度を判定する。コントローラ12の危険度の判定のフローは、図7のコントローラ危険度判定処理のフローチャートの通りである。コントローラ12の危険度の判定は例えば、コントローラ12からデータをゲートウェイ10が受信したタイミングで行われる。
【0046】
ゲートウェイ10の疑似機器管理機能140は、機器生成機能141、機器破棄機能142、および機器レスポンス生成機能143を有する。
【0047】
機器生成機能141は、疑似機器を生成する機能である。図8のように、機器生成機能141が疑似機器を生成時に機器リスト121に疑似機器のアドレスと機器種別、疑似デバイスであることを示す情報を機器リスト121に追加する。疑似機器のアドレスは、実在する機器に設定されるアドレスとは異なるアドレスを登録する。この際、実在する機器のアドレスと異なるアドレス帯を設定することで、宅内1の居住者は機器13のアドレスから容易に疑似アドレスであることを特定できるようになる。疑似機器を生成するタイミングは、実在する機器が機器リスト121に追加されたタイミング、または任意の期間経過したタイミング、ユーザによる手動追加のタイミングとなる。実在する機器13が機器リスト121に追加されるタイミングは、ゲートウェイ10が通信インターフェース管理機能111により一定間隔で探索時、または、機器リスト121に存在しない機器13からデータを受信したタイミング、ユーザによる手動追加のタイミング、その組合せの場合もある。機器種別は実在する種別であれば、ランダム、または、機器追加のタイミングで生成された場合は追加された機器と同一種別で設定する。
【0048】
機器破棄機能142は、疑似機器を破棄する機能である。機器破棄機能142が疑似機器を破棄時に機器リスト121に存在する疑似機器のアドレスと疑似デバイスであることを示す情報を機器リスト121から削除する。疑似機器を破棄するタイミングは、実在する機器が機器リスト121から削除されたタイミング、または任意の期間経過したタイミング、ユーザによる手動削除のタイミングとなる。実在する機器が機器リスト121から削除されるタイミングは、ゲートウェイ10が通信インターフェース管理機能111により一定間隔で探索した結果、機器リスト121中の実在デバイスから応答がなかった時、または、ユーザによる機器リスト121からの手動削除時、或いはその組合せとなる。
【0049】
機器レスポンス生成機能143は、疑似機器のデータを生成する機能である。機器レスポンス生成機能143は、コントローラ12からの要求に応じて生成するデータを生成する。機器レスポンス生成機能143は、コントローラ12からの制御要求が来た場合、疑似機器の制御結果を示すデータを生成する。機器レスポンス生成機能143は、コントローラ12から情報参照要求が来た場合、疑似機器の情報を生成する。
【0050】
ここで図8の機器リストの更新処理について、説明する。機器を探索し(S30)、現在の機器リスト121と比較する(S31)。S31で機器リスト121に探索した機器13が存在するときは、更新処理を終了する。S31で機器リスト121に存在しないときときは機器13と接続し(S32)、機器リスト121に機器情報を追加する(S33)。さらに疑似機器を生成し(S34)、機器リスト121に疑似機器の機器情報を追加する(S35)。
【0051】
ここで図7のコントローラの危険度の判定処理について、説明する。ゲートウェイ10がコントローラ12から機器13に対する制御要求や情報参照要求などの要求を受信する(S10)。ゲートウェイ10は、コントローラリスト131を参照して、コントローラ12の危険度をチェックする(S11)。コントローラリスト131の危険度が「拒絶」に設定されているときには、コントローラ12との通信を拒絶した(S12)後に、判定処理を終了する。コントローラリスト131の危険度が「許可」または「制限」に設定されているときには、通信の統計情報を更新する(S13)。さらにコントローラ12からの通信頻度とパラメータとをチェックする(S14)。攻撃者が機器13への不正な制御を試みた場合、その制御パラメータは、機器13の仕様上の範囲内に収まらず、範囲外となる可能性がある。そこでS14では、コントローラ12からの通信頻度とパラメータとをチェックしている。S14でコントローラ12からの通信頻度とパラメータが所定の範囲外であるときには、危険度を「制限」または「拒絶」にセット(S15)した後に、S16に進む。S14でコントローラ12からの通信頻度とパラメータが所定の範囲内であるときには、S16に進む。S16で、危険度が「拒絶」、または危険度が「制限」かつ制御処理のとき(S16のYes)には、S12に進んでコントローラ12との通信を拒絶した(S12)後に、判定処理を終了する。S16でNoのときには、対象機器が実在の機器であるか疑似機器であるかを確認する(S17)。S17で対象機器が実在の機器であるときは、機器への情報参照処理や制御処理を行い(S19)、その後に処理結果をコントローラ12へ返却する(S20)。S17で対象機器が疑似機器であるときは、疑似機器のために生成した処理結果をコントローラ12へ返却する(S18)。
【0052】
(実施形態の動作)
次に、本実施形態による不正アクセス監視システムの動作、および不正アクセス監視方法について説明する。具体的には、機器13への情報参照を試みたコントローラ12を攻撃者として判定する流れと、機器13への制御を試みたコントローラ12を攻撃者として判定する流れと、について説明する。初めに、機器13への情報参照を試みたコントローラ12を攻撃者として判定する流れを、説明する。
次に、本実施形態による不正アクセス監視システムの動作、および不正アクセス監視方法について説明する。具体的には、機器13への情報参照を試みたコントローラ12を攻撃者として判定する流れと、機器13への制御を試みたコントローラ12を攻撃者として判定する流れと、について説明する。初めに、機器13への情報参照を試みたコントローラ12を攻撃者として判定する流れを、説明する。
【0053】
(1) ゲートウェイ10が実在する機器を探索し、機器リスト121を作成
まず、ゲートウェイ10が実在する機器13を探索し、機器リスト121を作成する。居住者が機器13を宅内1に配置し、ゲートウェイ10と機器13が通信できるようにネットワークの設定を行う。ゲートウェイ10はその通信インターフェース管理機能111を用いて機器13に対してブロードキャスト通信し、機器13の探索を行う。実在する機器13は、ゲートウェイ10に対して応答する。通信インターフェース管理機能111は、実在する機器13からデータを受信し、通信内容解析・統計処理機能113を用いてデータからアドレス情報、機器種別を抽出する。機器管理機能120が抽出したアドレス情報、機器種別を、図4に示す機器リスト121に追加する。このとき、実在する機器13に対しては、疑似機器ではないことを示す値をリストに登録する。疑似機器管理機能140は、機器リスト121に追加された数だけ、機器生成機能141を用いて疑似機器を生成する。機器管理機能120が、生成された疑似機器を機器リスト121に追加する。
まず、ゲートウェイ10が実在する機器13を探索し、機器リスト121を作成する。居住者が機器13を宅内1に配置し、ゲートウェイ10と機器13が通信できるようにネットワークの設定を行う。ゲートウェイ10はその通信インターフェース管理機能111を用いて機器13に対してブロードキャスト通信し、機器13の探索を行う。実在する機器13は、ゲートウェイ10に対して応答する。通信インターフェース管理機能111は、実在する機器13からデータを受信し、通信内容解析・統計処理機能113を用いてデータからアドレス情報、機器種別を抽出する。機器管理機能120が抽出したアドレス情報、機器種別を、図4に示す機器リスト121に追加する。このとき、実在する機器13に対しては、疑似機器ではないことを示す値をリストに登録する。疑似機器管理機能140は、機器リスト121に追加された数だけ、機器生成機能141を用いて疑似機器を生成する。機器管理機能120が、生成された疑似機器を機器リスト121に追加する。
【0054】
(2) コントローラ12が機器13を探索
次に、コントローラ12が機器13を探索する。コントローラ12が機器13を探索するため、ルータ11配下のネットワークにブロードキャストする。通信インターフェース管理機能111は、コントローラ12からデータを受信し、通信内容解析・統計処理機能113を用いてデータからアドレス情報を抽出する。コントローラ管理機能130が抽出したアドレス情報を、コントローラリスト131に追加する。このとき、危険度は「許可」を示す値、統計情報は「頻度低」を示す値としてリストに登録する。
次に、コントローラ12が機器13を探索する。コントローラ12が機器13を探索するため、ルータ11配下のネットワークにブロードキャストする。通信インターフェース管理機能111は、コントローラ12からデータを受信し、通信内容解析・統計処理機能113を用いてデータからアドレス情報を抽出する。コントローラ管理機能130が抽出したアドレス情報を、コントローラリスト131に追加する。このとき、危険度は「許可」を示す値、統計情報は「頻度低」を示す値としてリストに登録する。
【0055】
(3) ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却
次に、ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却する。通信インターフェース管理機能111は、機器リスト121の情報を返却する。このとき、機器リスト121の情報を一括で送信するのではなく、機器単位で送信する。すなわち通信インターフェース管理機能111はまず、アドレスAの機器情報をコントローラ12へ送信する。次にアドレスB、アドレスC、アドレスDの機器情報を順番にコントローラへ送信する。
次に、ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却する。通信インターフェース管理機能111は、機器リスト121の情報を返却する。このとき、機器リスト121の情報を一括で送信するのではなく、機器単位で送信する。すなわち通信インターフェース管理機能111はまず、アドレスAの機器情報をコントローラ12へ送信する。次にアドレスB、アドレスC、アドレスDの機器情報を順番にコントローラへ送信する。
【0056】
(4) コントローラ12が機器13に対して情報参照
次に、コントローラ12が機器13に対して情報参照を行う。コントローラ12はゲートウェイ10から機器情報を取得したため、コントローラ12は情報取得要求をゲートウェイ10に対して行う。コントローラ12は、情報取得要求を示すデータをゲートウェイ10に対してユニキャストする。
次に、コントローラ12が機器13に対して情報参照を行う。コントローラ12はゲートウェイ10から機器情報を取得したため、コントローラ12は情報取得要求をゲートウェイ10に対して行う。コントローラ12は、情報取得要求を示すデータをゲートウェイ10に対してユニキャストする。
【0057】
(5) ゲートウェイ10がコントローラ12の危険度を判定
次に、ゲートウェイ10がコントローラ12の危険度を判定する。ゲートウェイ10の通信インターフェース管理機能111は、情報取得要求を示すデータを受信する。コントローラ管理機能130は、通信内容解析・統計処理機能113にてデータを送信したコントローラを特定する。対応するコントローラ12は、初期状態では危険度は「許可」、統計情報は「頻度低」であるため、機器情報参照機能123が対象機器に機器情報取得の要求をユニキャストする。通信インターフェース管理機能111が取得した情報をコントローラ12へ返却する。
次に、ゲートウェイ10がコントローラ12の危険度を判定する。ゲートウェイ10の通信インターフェース管理機能111は、情報取得要求を示すデータを受信する。コントローラ管理機能130は、通信内容解析・統計処理機能113にてデータを送信したコントローラを特定する。対応するコントローラ12は、初期状態では危険度は「許可」、統計情報は「頻度低」であるため、機器情報参照機能123が対象機器に機器情報取得の要求をユニキャストする。通信インターフェース管理機能111が取得した情報をコントローラ12へ返却する。
【0058】
(6) ゲートウェイ10がコントローラ12からの通信を拒絶
コントローラ12が短時間で機器13への情報取得を繰り返す場合の動作について、説明する。この場合、通信インターフェース管理機能111は、情報取得要求を示すデータを受信する。コントローラ管理機能130は通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。通信内容解析・統計処理機能113が、コントローラリスト131の統計情報を「頻度中」に設定する。コントローラ管理機能130のコントローラリスト131の対応するコントローラの統計情報が「頻度中」のため、コントローラ管理機能130が危険度を「制限」に設定する。機器情報参照機能123が対象機器に機器情報取得の要求をユニキャストする。通信インターフェース管理機能111が取得した情報をコントローラ12へ返却する。
コントローラ12が短時間で機器13への情報取得を繰り返す場合の動作について、説明する。この場合、通信インターフェース管理機能111は、情報取得要求を示すデータを受信する。コントローラ管理機能130は通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。通信内容解析・統計処理機能113が、コントローラリスト131の統計情報を「頻度中」に設定する。コントローラ管理機能130のコントローラリスト131の対応するコントローラの統計情報が「頻度中」のため、コントローラ管理機能130が危険度を「制限」に設定する。機器情報参照機能123が対象機器に機器情報取得の要求をユニキャストする。通信インターフェース管理機能111が取得した情報をコントローラ12へ返却する。
【0059】
次に、コントローラ12が短時間で機器への情報取得を継続する場合の動作について、説明する。この場合、通信インターフェース管理機能111は、情報取得要求を示すデータを受信する。コントローラ管理機能130は、通信内容解析・統計処理機能113にてデータを送信したコントローラ12を特定する。通信内容解析・統計処理機能113がコントローラリスト131の統計情報を「頻度高」に設定する。コントローラ管理機能130のコントローラリスト131の対応するコントローラの統計情報が「頻度高」のため、コントローラ管理機能130が危険度を「拒絶」に設定する。
【0060】
ゲートウェイ10がコントローラ12からの通信を拒絶する場合の動作について、説明する。上述したように、コントローラ12が短時間で機器13への情報取得を継続した場合、コントローラ管理機能130のコントローラリスト131の対応するコントローラ12の危険度が「拒絶」となっている。この場合、機器情報を取得せず、通信拒絶機能112がコントローラ12からのデータを破棄する。以降、コントローラ12からの通信が破棄される。こうしてゲートウェイ10の配下の機器13は、攻撃者による機器13への情報参照の試みから保護される。
【0061】
次に、機器13への制御を試みたコントローラ12を攻撃者として判定する流れを説明する。
【0062】
(1) ゲートウェイ10が実在する機器13を探索し、機器リスト121を作成
まず、ゲートウェイ10が宅内1に実在する機器13を探索し、機器リスト121を作成する。実在する機器13の探索と、機器リスト121の作成は、上述した情報参照の流れと同じのため、説明を割愛する。
まず、ゲートウェイ10が宅内1に実在する機器13を探索し、機器リスト121を作成する。実在する機器13の探索と、機器リスト121の作成は、上述した情報参照の流れと同じのため、説明を割愛する。
【0063】
(2) コントローラ12が機器13を探索
次に、コントローラ12が機器13を探索する。この機器13の探索は、上述した情報参照の流れと同じのため、説明を割愛する。
次に、コントローラ12が機器13を探索する。この機器13の探索は、上述した情報参照の流れと同じのため、説明を割愛する。
【0064】
(3) ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却
次に、ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却する。この機器リスト121の情報の返却は、上述した情報参照の流れと同じのため、説明を割愛する。
次に、ゲートウェイ10が機器リスト121の情報をコントローラ12へ返却する。この機器リスト121の情報の返却は、上述した情報参照の流れと同じのため、説明を割愛する。
【0065】
(4) コントローラ12が疑似機器に対して制御
次に、コントローラ12が疑似機器に対して制御を行う。コントローラ12はゲートウェイ10から機器情報を取得したため、コントローラ12は機器制御要求をゲートウェイ10に対して行う。コントローラ12は、機器制御要求を示すデータをゲートウェイ10に対してユニキャストする。
次に、コントローラ12が疑似機器に対して制御を行う。コントローラ12はゲートウェイ10から機器情報を取得したため、コントローラ12は機器制御要求をゲートウェイ10に対して行う。コントローラ12は、機器制御要求を示すデータをゲートウェイ10に対してユニキャストする。
【0066】
(5) ゲートウェイ10がコントローラ12の危険度を判定
機器制御要求を示すデータのユニキャストに対応して、ゲートウェイ10の通信インターフェース管理機能111は、機器制御要求を示すデータを受信する。ゲートウェイ10のコントローラ管理機能130は、通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。対応するコントローラ12は初期状態で危険度は「許可」、統計情報は「頻度低」であるため、機器レスポンス生成機能143が対応する疑似機器の制御結果を生成する。通信インターフェース管理機能111が、制御結果をコントローラ12へ返却する。
機器制御要求を示すデータのユニキャストに対応して、ゲートウェイ10の通信インターフェース管理機能111は、機器制御要求を示すデータを受信する。ゲートウェイ10のコントローラ管理機能130は、通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。対応するコントローラ12は初期状態で危険度は「許可」、統計情報は「頻度低」であるため、機器レスポンス生成機能143が対応する疑似機器の制御結果を生成する。通信インターフェース管理機能111が、制御結果をコントローラ12へ返却する。
【0067】
ここで、コントローラ12が短時間で機器13への機器制御を繰り返した場合の動作について説明する。この場合、通信インターフェース管理機能111は、機器制御要求を示すデータを受信する。コントローラ管理機能130は通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。通信内容解析・統計処理機能113が、コントローラリスト131の統計情報を「頻度中」に設定する。コントローラ管理機能130のコントローラリスト131の対応するコントローラの統計情報が「頻度中」のため、コントローラ管理機能130が危険度を「制限」に設定する。機器制御の対象が疑似機器であった場合は、機器レスポンス生成機能143が、対応する疑似機器の制御結果を生成する。通信インターフェース管理機能111が制御結果を、コントローラ12へ返却する。
【0068】
ここで、コントローラ12が短時間で機器13への機器制御を継続した場合の動作について、説明する。この場合、通信インターフェース管理機能111は、情報制御要求を示すデータを受信する。コントローラ管理機能130は通信内容解析・統計処理機能113にて、データを送信したコントローラ12を特定する。さらに通信内容解析・統計処理機能113が、コントローラリスト131の統計情報を「頻度高」に設定する。コントローラ管理機能130のコントローラリスト131の対応するコントローラ12の統計情報が「頻度高」のため、コントローラ管理機能130が危険度を「拒絶」に設定する。
【0069】
(6) ゲートウェイ10がコントローラ12からの通信を拒絶
次に、コントローラ管理機能130のコントローラリスト131の対応するコントローラ12の危険度が「拒絶」となっているため、機器制御を実施せず、通信拒絶機能112がコントローラ12からのデータを破棄する。以降、コントローラ12からの通信が破棄される。こうしてゲートウェイ10の配下の機器13は、攻撃者による機器13への制御の試みから保護される。
次に、コントローラ管理機能130のコントローラリスト131の対応するコントローラ12の危険度が「拒絶」となっているため、機器制御を実施せず、通信拒絶機能112がコントローラ12からのデータを破棄する。以降、コントローラ12からの通信が破棄される。こうしてゲートウェイ10の配下の機器13は、攻撃者による機器13への制御の試みから保護される。
【0070】
図10Aのように、インターネットへ接続されるルータ11に接続されたゲートウェイ10と、ルータ11へ接続されたコントローラ12と、ゲートウェイ10に接続される1つまたは複数の機器の一例としてのデバイスA(機器13a)およびデバイスB(機器13b)と、を含むネットワークの場合について、改めて説明する。ここでデバイスAは認証機能がある機器であり、デバイスBは認証機能がないデバイスである。ゲートウェイ10は、ゲートウェイ10に接続されるデバイスAおよびデバイスBに関して、デバイスA、デバイスB、疑似デバイスC、疑似デバイスD、および疑似デバイスEを含む機器リストを保持する。コントローラ12からゲートウェイ10に接続される機器への制御要求などを受信したときには、疑似デバイスC~疑似デバイスEを含んでいる機器リストに基づいてデバイスの存在を通知する。ゲートウェイ10の代理認証機能によって、コントローラ12とゲートウェイ10との間で認証通信が行われ、ゲートウェイ10とデバイスAとの間の認証通信、およびゲートウェイ10とデバイスBとの間の認証通信が行われる。図10Aのネットワークでは、図10Bのように攻撃者が機器への情報参照や機器への制御を試みた場合、例えば疑似デバイスへのアクセスを試みた場合、不正コントローラとして検知し、このアクセスを制限または拒絶などの制御を行う。本実施形態によれば、ゲートウェイ10に接続される機器がデバイスAのような認証機能がある機器であるか、デバイスBのような認証機能がない機器であるかには関係なく、ゲートウェイ10に接続される機器を不正アクセスから保護することができる。
【0071】
(実施形態の効果)
本実施形態の不正アクセス監視システム、および不正アクセス監視方法によれば、ネットワーク配下の機器13を不正アクセスから保護することができ、ゲートウェイ10に接続される1つまたは複数の機器を不正アクセスから保護することができる。その理由は、ゲートウェイ10が、上記1つまたは複数の機器に実在する機器に加えて、上記1つまたは複数の機器には存在しない疑似機器に関する機器リストを管理することにより、攻撃者から実在する機器を部分的に隠蔽することができるからである。
本実施形態の不正アクセス監視システム、および不正アクセス監視方法によれば、ネットワーク配下の機器13を不正アクセスから保護することができ、ゲートウェイ10に接続される1つまたは複数の機器を不正アクセスから保護することができる。その理由は、ゲートウェイ10が、上記1つまたは複数の機器に実在する機器に加えて、上記1つまたは複数の機器には存在しない疑似機器に関する機器リストを管理することにより、攻撃者から実在する機器を部分的に隠蔽することができるからである。
【0072】
これにより、宅内1のIoTシステムを安全に運用することが可能になる。また、宅内1の機器13には実在デバイスと疑似デバイスが混在するため、実在デバイスを部分的に隠蔽できる。また、疑似デバイスへの不正アクセスを行ったコントローラ12を自動的に検知し、アクセス制御することができる。
【0073】
また当初は正常なコントローラ12であり、運用後のマルウェア感染等により不正なコントローラに変異してしまったようなコントローラ12も自動検知し、アクセス制御することができる。この不正なコントローラ12の検知には、コントローラ12によるアクセス数(短時間に大量アクセス)やアクセス内容(不正な制御パラメータ)から見極めることができる。
【0074】
また、本実施形態の不正アクセス監視システム、および不正アクセス監視方法によれば、コントローラ12側および機器13としてのデバイス側の実装を変更することなく、安全に宅内IoTシステムを活用できる。また本実施形態の不正アクセス監視システム、および不正アクセス監視方法によれば、ゲートウェイ10に接続される機器の数が増加して保護すべき機器の数が増加しても、機器リストなどの更新によって対処することができ、攻撃者の不正アクセスから保護することができる。
【0075】
〔その他の実施形態〕
以上、本発明の好ましい実施形態を説明したが、本発明はこれに限定されるものではない。例えば、上述した実施形態では説明の関係上、情報取得と機器制御に分けて説明したが、情報取得・機器制御の通信内容に関わらず、統計情報と危険度は更新され、危険度が「拒絶」へ変更された場合は、通信内容に関わらずデータを破棄する。
以上、本発明の好ましい実施形態を説明したが、本発明はこれに限定されるものではない。例えば、上述した実施形態では説明の関係上、情報取得と機器制御に分けて説明したが、情報取得・機器制御の通信内容に関わらず、統計情報と危険度は更新され、危険度が「拒絶」へ変更された場合は、通信内容に関わらずデータを破棄する。
【0076】
また、危険度が「制限」となった段階でコントローラ12からの制御要求を破棄して、情報参照要求のみ通信できるようにしてもよい。さらに、危険度が「制限」へ変更された場合に、情報取得の通信も定期的に破棄するようにしてもよい。
【0077】
また、実在する機器と疑似機器へのアクセスの際の危険度を上昇させる際に疑似機器の場合に重みづけを実施し、実在する機器に比べて危険度を上昇しやくするようにしてもよい。
【0078】
危険度は、統計情報に応じて柔軟に変更される。また上述した実施形態では、段階的に状態を遷移させた例を説明したが、統計情報はネットワークの使用状況に応じて常に変更され、統計情報に応じて危険度は設定、変更される。例えば、一度危険度が「拒絶」や「制限」となっても一定期間、通信が発生しないなど、統計情報が変更された場合は、統計情報を「頻度中」や「頻度低」に変更し、危険度を降下、例えば危険度を「許可」または「制限」へ変更するといった、遷移ができるものとする。
【0079】
また危険度の変更については、通信頻度だけでなく、疑似機器への設定パラメータが範囲外を指定したデータをコントローラ12が送信した場合は統計情報に関わらず、危険度を上昇させることもできるものとする。
【0080】
さらに、上述した実施形態では攻撃者として判定されたコントローラ12からの通信をゲートウェイ10にて遮断する例を説明した。このとき、宅内1、および、宅外の端末へ向けて、攻撃者を検出したことを通知することもできるものとする。
【0081】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理システムであって、
前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能と、
前記機器リストに含まれる機器への制御要求を受信したときに、前記制御要求に応答してデータを送受信する通信機能と、を含む、
不正アクセス監視システム。
(付記2)前記ゲートウェイは、前記機器リストに含まれる機器への制御要求が、前記1つまたは複数のコントローラからのものである場合に、前記制御要求の送信元のコントローラに関する情報を保持するコントローラリストを管理するコントローラ管理機能をさらに含む、
付記1に記載の不正アクセス監視システム。
(付記3)前記コントローラ管理機能の前記コントローラリストは、コントローラごとにデータの受信頻度に関する情報と、この受信頻度によって決定される不正アクセスの危険度に関する情報とを保持する、
付記2に記載の不正アクセス監視システム。
(付記4)前記コントローラリストが保持する情報は、前記1つまたは複数のコントローラから前記機器リストに含まれる機器への制御要求を受信されるごとに更新される、
付記3に記載の不正アクセス監視システム。
(付記5)前記ゲートウェイは、前記制御要求が前記1つまたは複数のコントローラからのものである場合には、前記コントローラリストの前記不正アクセスの危険度に関する情報を参照して取り扱いを決定する、
付記3又は付記4に記載の不正アクセス監視システム。
(付記6)前記ゲートウェイは、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときには、データを生成して生成したデータを前記制御要求の送信元へ送信する、
付記1乃至付記5のいずれか一つに記載の不正アクセス監視システム。
(付記7)前記ゲートウェイは、前記1つまたは複数の機器には実在しない疑似機器を生成し、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときに、前記データを生成する疑似機器管理機能をさらに含む、
付記6に記載の不正アクセス監視システム。
(付記8)外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理方法であって、
前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理し、
前記機器リストに含まれる機器への制御要求を受信したときに、前記制御要求に応答してデータを送受信する、
不正アクセス監視方法。
(付記9)前記ゲートウェイは、前記機器リストに含まれる機器への制御要求が、前記1つまたは複数のコントローラからのものである場合に、前記制御要求の送信元のコントローラに関する情報を保持するコントローラリストを管理する、
付記8に記載の不正アクセス監視方法。
(付記10)前記コントローラ管理機能の前記コントローラリストは、コントローラごとにデータの受信頻度に関する情報と、この受信頻度によって決定される不正アクセスの危険度に関する情報とを保持する、
付記9に記載の不正アクセス監視方法。
(付記11)前記コントローラリストが保持する情報は、前記1つまたは複数のコントローラから前記機器リストに含まれる機器への制御要求を受信されるごとに更新される、
付記10に記載の不正アクセス監視方法。
(付記12)前記ゲートウェイは、前記制御要求が前記1つまたは複数のコントローラからのものである場合には、前記コントローラリストの前記不正アクセスの危険度に関する情報を参照して取り扱いを決定する、
付記10又は付記11に記載の不正アクセス監視方法。
(付記13)前記ゲートウェイは、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときには、データを生成して生成したデータを前記制御要求の送信元へ送信する、
付記8乃至付記12のいずれか一つに記載の不正アクセス監視方法。
(付記14)前記ゲートウェイは、前記1つまたは複数の機器には実在しない疑似機器を生成し、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときに、前記データを生成する、
付記12に記載の不正アクセス監視方法。
(付記1)外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理システムであって、
前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理する機器管理機能と、
前記機器リストに含まれる機器への制御要求を受信したときに、前記制御要求に応答してデータを送受信する通信機能と、を含む、
不正アクセス監視システム。
(付記2)前記ゲートウェイは、前記機器リストに含まれる機器への制御要求が、前記1つまたは複数のコントローラからのものである場合に、前記制御要求の送信元のコントローラに関する情報を保持するコントローラリストを管理するコントローラ管理機能をさらに含む、
付記1に記載の不正アクセス監視システム。
(付記3)前記コントローラ管理機能の前記コントローラリストは、コントローラごとにデータの受信頻度に関する情報と、この受信頻度によって決定される不正アクセスの危険度に関する情報とを保持する、
付記2に記載の不正アクセス監視システム。
(付記4)前記コントローラリストが保持する情報は、前記1つまたは複数のコントローラから前記機器リストに含まれる機器への制御要求を受信されるごとに更新される、
付記3に記載の不正アクセス監視システム。
(付記5)前記ゲートウェイは、前記制御要求が前記1つまたは複数のコントローラからのものである場合には、前記コントローラリストの前記不正アクセスの危険度に関する情報を参照して取り扱いを決定する、
付記3又は付記4に記載の不正アクセス監視システム。
(付記6)前記ゲートウェイは、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときには、データを生成して生成したデータを前記制御要求の送信元へ送信する、
付記1乃至付記5のいずれか一つに記載の不正アクセス監視システム。
(付記7)前記ゲートウェイは、前記1つまたは複数の機器には実在しない疑似機器を生成し、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときに、前記データを生成する疑似機器管理機能をさらに含む、
付記6に記載の不正アクセス監視システム。
(付記8)外部ネットワークへ接続されるルータに接続されたゲートウェイと、前記ルータへ接続された1つまたは複数のコントローラと、前記ゲートウェイに接続される1つまたは複数の機器と、を含むネットワークのための不正アクセス管理方法であって、
前記ゲートウェイは、
前記ゲートウェイに接続される1つまたは複数の機器を管理する機器管理機能であって、前記1つまたは複数の機器に実在する機器と、前記1つまたは複数の機器には実在しない疑似機器とに関する機器リストを管理し、
前記機器リストに含まれる機器への制御要求を受信したときに、前記制御要求に応答してデータを送受信する、
不正アクセス監視方法。
(付記9)前記ゲートウェイは、前記機器リストに含まれる機器への制御要求が、前記1つまたは複数のコントローラからのものである場合に、前記制御要求の送信元のコントローラに関する情報を保持するコントローラリストを管理する、
付記8に記載の不正アクセス監視方法。
(付記10)前記コントローラ管理機能の前記コントローラリストは、コントローラごとにデータの受信頻度に関する情報と、この受信頻度によって決定される不正アクセスの危険度に関する情報とを保持する、
付記9に記載の不正アクセス監視方法。
(付記11)前記コントローラリストが保持する情報は、前記1つまたは複数のコントローラから前記機器リストに含まれる機器への制御要求を受信されるごとに更新される、
付記10に記載の不正アクセス監視方法。
(付記12)前記ゲートウェイは、前記制御要求が前記1つまたは複数のコントローラからのものである場合には、前記コントローラリストの前記不正アクセスの危険度に関する情報を参照して取り扱いを決定する、
付記10又は付記11に記載の不正アクセス監視方法。
(付記13)前記ゲートウェイは、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときには、データを生成して生成したデータを前記制御要求の送信元へ送信する、
付記8乃至付記12のいずれか一つに記載の不正アクセス監視方法。
(付記14)前記ゲートウェイは、前記1つまたは複数の機器には実在しない疑似機器を生成し、前記制御要求が前記機器リストの前記1つまたは複数の機器には実在しない疑似機器に対するものであるときに、前記データを生成する、
付記12に記載の不正アクセス監視方法。
【符号の説明】
【0082】
1 宅内
10 ゲートウェイ
11 ルータ
12 コントローラ
13、13a、13b 機器
110 通信機能
111 通信インターフェース管理機能
112 通信拒絶機能
113 通信内容解析・統計処理機能
120 機器管理機能
121 機器リスト
122 機器制御機能
123 機器情報参照機能
130 コントローラ管理機能
131 コントローラリスト
140 疑似機器管理機能
141 機器生成機能
142 機器破棄機能
143 機器レスポンス生成機能
10 ゲートウェイ
11 ルータ
12 コントローラ
13、13a、13b 機器
110 通信機能
111 通信インターフェース管理機能
112 通信拒絶機能
113 通信内容解析・統計処理機能
120 機器管理機能
121 機器リスト
122 機器制御機能
123 機器情報参照機能
130 コントローラ管理機能
131 コントローラリスト
140 疑似機器管理機能
141 機器生成機能
142 機器破棄機能
143 機器レスポンス生成機能
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】