WO2014002699A1 - ネットワーク管理システム - Google Patents

Abstract

　複数のセキュリティポリシーを有する無線ネットワーク管理機器を用いることで、複数のセキュリティレベルのネットワークにおける同時使用を可能にするとともに、外部にファイアウォールを設置することなくセキュリティを確保し、冗長化用のネットワーク設定や運用の手間を省くことできるネットワーク管理システムを提供する。　プラント管理機器１１，１２が接続される第１のネットワークＮＷ１と、フィールド機器５１～５ｎが接続される第２のネットワークＮＷ２と、ファイアウォール機能を有し、前記第１のネットワークＮＷ１と前記第２のネットワークＮＷ２に接続された無線ネットワーク管理機器６１，６２と、により構成されたことを特徴とするネットワーク管理システム。

Description

ネットワーク管理システム

　本発明は、ネットワーク管理システムに関し、詳しくは、ネットワークのセキュリティ管理に関する。

　図３は、インダストリアルオートメーション用無線通信規格ISA100.11aに基づき構築された従来のネットワークの一例を示すブロック図である。プラント管理機器１１，１２は第１のネットワークＮＷ１に接続されていて、これらプラント管理機器１１，１２は、第１のセキュリティエリアＳＡ１を構成している。

　第１のネットワークＮＷ１は、ファイアウォール２１を介して第２のネットワークＮＷ２に接続されている。

　無線ネットワーク管理機器３１，３２は、ISA100.11aにおけるシステムマネージャーの機能とゲートウェイの機能を持つ機器であり、無線ネットワークの管理を行うとともに、無線ネットワーク上の機器との情報のやりとりを行うものである。

　また、無線ネットワーク管理機器３１，３２は、第２のネットワークＮＷ２に接続されるとともに第３のネットワークＮＷ３に接続されている。

　第３のネットワークＮＷ３には、メンテナンス用端末４も接続されている。これら無線ネットワーク管理機器３１，３２とメンテナンス用端末４は、第３のセキュリティエリアＳＡ３を構成している。

　第３のネットワークＮＷ３は、ファイアウォール２２を介して第４のネットワークＮＷ４に接続されている。

　第４のネットワークＮＷ４には、フィールド機器５１～５ｎが接続されている。これらフィールド機器５１～５ｎは、第５のセキュリティエリアＳＡ５を構成している。

　ここで、ファイアウォール２１，２２は、第１のセキュリティエリアＳＡ１、第３のセキュリティエリアＳＡ３および第５のセキュリティエリアＳＡ５それぞれの異なるセキュリティポリシーを満たすために、各ネットワークの境界に設けられている。

　なお、セキュリティポリシーとは、たとえば該当するネットワークに接続を許可するＩＰアドレス情報を含む情報である。接続を許可するＩＰアドレスが設定された場合、該当する通信ポートでは、他のＩＰアドレスからの接続を許可しない。

　第１のセキュリティエリアＳＡ１には、プラント管理機器１１，１２を冗長構成で使用するためのセキュリティポリシーが設定される。

　第３のセキュリティエリアＳＡ３には、無線ネットワーク管理機器３１，３２を冗長構成で使用するためのセキュリティポリシーが設定される。

　第５のセキュリティエリアＳＡ５には、複数台のフィールド機器５１～５ｎを並列駆動するためのセキュリティポリシーが設定される。

　特許文献１には、インダストリアルオートメーションにおけるプロセス制御システムを無線制御ネットワークシステムとして構成するのにあたり、悪意の第三者による改ざん等を回避するとともに、優先度を保証して高度なリアルタイム性が要求されるプロセス制御用無線通信信号とリアルタイム性がそれほど要求されない信号とを同一のネットワークに同居させることを可能とする制御ネットワーク管理システムの技術について記載されている。

日本国特開２０１１－１４２４４１号公報

　しかし、図３の構成において、無線ネットワーク管理機器を新たに接続するのにあたっては、ファイアウォールを利用してネットワークの境界を守る必要があり、ファイアウォールを設置するためのコストがかかることになる。

　また、無線ネットワーク管理機器に直接接続するメンテナンス用端末や、冗長化用の第３のセキュリティエリアＳＡ３のセキュリティを考慮する必要があり、セキュリティポリシーの管理が複雑になってしまう。

　また、ファイアウォールの設置だけでなく、冗長化用のネットワークを構成するためのネットワークスイッチなどの設備も必要となる。

　さらに、ネットワークの構成にもよるが、冗長化構成を制御する通信が、他のネットワーク上を経由することにより、他のネットワークに影響を与える可能性がある。

　本発明は、このような従来の問題点に着目したものであり、その目的は、複数のセキュリティポリシーを有する無線ネットワーク管理機器を用いることで、複数のセキュリティレベルのネットワークにおける同時使用を可能にする。

　他の目的は、ファイアウォール機能を内蔵する無線ネットワーク管理機器を用いることにより、外部にファイアウォールを設置することなくセキュリティを確保し、冗長化用のネットワーク設定や運用の手間を省くことにある。

本発明の目的は、以下の構成によって達成される。

　（１）　プラント管理機器が接続される第１のネットワークと、
　フィールド機器が接続される第２のネットワークと、
　ファイアウォール機能を有し、前記第１のネットワークと前記第２のネットワークに接続されたネットワーク管理機器と、により構成されたことを特徴とするネットワーク管理システム。

　（２）　前記ネットワーク管理機器は、専用の接続線を介して接続することにより冗長化されていることを特徴とする上記（１）に記載のネットワーク管理システム。

　（３）　前記ネットワーク管理機器は、複数のネットワークに接続するための複数の通信ポートを有することを特徴とする上記（１）または（２）に記載のネットワーク管理システム。

　（４）　前記複数の通信ポートは、通信ポート毎にセキュリティポリシーを割り当てて、セキュリティエリアの異なる前記複数のネットワークに接続することを特徴とする上記（３）に記載のネットワーク管理システム。

　（５）　インダストリアルオートメーション用無線通信規格ISA100.11aに基づいて構築されるネットワークの管理システムであることを特徴とする上記（１）から（４）のいずれかに記載のネットワーク管理システム。

　これらの構成により、ネットワーク管理機器を、複数のセキュリティレベルのネットワークで同時に使用できる。

　また、別途ファイアウォールを設けることなくセキュリティを確保でき、冗長化用のネットワークの設定、運用の手間を省くことができる。

本発明の一実施例を示すブロック図である。 無線ネットワーク管理機器６１の具体例を示すブロック図である。 従来のネットワークの一例を示すブロック図である。

　以下、本発明について、図面を用いて説明する。図１は本発明の一実施例を示すブロック図であり、図３と共通する部分には同一の符号を付けている。

　プラント管理機器１１，１２は第１のネットワークＮＷ１に接続されていて、これらプラント管理機器１１，１２は、第１のセキュリティエリアＳＡ１を構成している。

　無線ネットワーク管理機器６１，６２は、第１のネットワークＮＷ１と第２のネットワークＮＷ２に接続されている。無線ネットワーク管理機器６１と６２は専用の接続線で接続されている。メンテナンス用端末７は、無線ネットワーク管理機器６１または６２に直接接続される。これら無線ネットワーク管理機器６１，６２とメンテナンス用端末７は、第６のセキュリティエリアＳＡ６を構成している。

　フィールド機器５１～５ｎは、第２のネットワークＮＷ２に接続されている。

　無線ネットワーク管理機器６１，６２は、インダストリアルオートメーション用無線通信規格ISA100.11aにおけるシステムマネージャーの機能とゲートウェイの機能の他、ファイアウォール機能も有するものである。無線ネットワーク管理機器６１，６２にファイアウォール機能を持たせることで、無線ネットワーク管理機器６１，６２と各ネットワークＮＷ１，ＮＷ２を直接接続できる。

　そして、無線ネットワーク管理機器６１，６２のポート毎にセキュリティポリシーを割り当てることで、セキュリティポリシーの異なる複数のネットワークに接続することができる。

　また、無線ネットワーク管理機器６１，６２間の通信に専用の接続線を使用することで、冗長化構成を構築できる。

　図２は、無線ネットワーク管理機器６１の具体例を示すブロック図である。図２において、パケット処理部６１ａには冗長化管理機器接続用通信ポート６１ｂが接続されるとともに、ファイアウォール機能部６１ｃが接続されている。

　ファイアウォール機能部６１ｃには、フィルタリングルール設定データベース６１ｄが接続されるとともに、メンテナンス端末直結用通信ポート６１ｅ、上位ネットワーク接続用通信ポート６１ｆ、下位ネットワーク接続用通信ポート６１ｇが接続されている。

　図２の構成において、ファイアウォール機能部６１ｃは、フィルタリングルール設定データベース６１ｄからフィルタリングルールを取得して動作する。ここで、フィルタリングルールとは、各通信ポートで通信を許可するＩＰアドレス一覧などの情報である。

　ファイアウォール機能部６１ｃは、フィルタリングルール設定データベース６１ｄから取得したフィルタリングルールに基づいて受信したパケットの制御を行い、通信が許可されるものはパケット処理部６１ａに渡す。

　冗長化構成された無線ネットワーク管理機器６１，６２間では、一方の無線ネットワーク管理機器（たとえば６１）内のデータベースがペアとなる他方の無線ネットワーク管理機器（たとえば６２）内のデータベースと等しくなるように、情報の同期を行う。

　データベースの同期を行うための通信は、たとえば一方の無線ネットワーク管理機器６１に他方の無線ネットワーク管理機器６２を直接接続するための冗長化管理機器接続用通信ポート６１ｂを使用する。これにより、上位側ネットワークＮＷ１および下位側ネットワークＮＷ２上にデータベース同期の通信が流れることはない。

　このような構成によれば、無線ネットワーク管理機器６１，６２を、セキュリティレベルの異なる複数のネットワークＮＷ１，ＮＷ２に接続することができる。

　別途ファイアウォールを使用することなく、セキュリティレベルの境界に、無線ネットワーク管理機器６１，６２を設置することができる。

　無線ネットワーク管理機器６１，６２相互を専用の接続線で直接接続することで、冗長化構成のためのネットワークを構築する必要はなく、冗長化を容易に実現できる。

　さらに、無線ネットワーク管理機器６１，６２を冗長化構成で運用する際に必要な通信は、専用の接続線を介して行うことから、他のネットワークに影響を与えない。この場合の専用接続線としては、ネットワークケーブルに限るものではなく、専用ケーブルや、プリント配線板のバックプレーンを利用してもよい。

　また、上記実施例では、ネットワーク管理機器が無線ネットワーク管理機器の例について説明したが、これに限るものではなく、有線のネットワーク管理機器についても同等の効果が得られる。

　以上説明したように、本発明によれば、ファイアウォール機能を内蔵する無線ネットワーク管理機器を用いることにより、複数のセキュリティレベルのネットワークにおける同時使用が可能で、外部にファイアウォールを設置することなくセキュリティを確保し、冗長化用のネットワーク設定や運用の手間を省くことができるネットワーク管理システムが実現できる。　

　なお、以上の説明は、本発明の説明および例示を目的として特定の好適な実施例を示したに過ぎない。従って本発明は、上記実施例に限定されることなく、その本質から逸脱しない範囲で更に多くの変更、変形を含むものである。

　本出願は、２０１２年６月２５日に提出された日本国特許出願（特願２０１２－１４２２２４）に基づくものであり、その内容はここに参照として取り込まれる。

　１１，１２　プラント管理機器
　５１～５ｎ　フィールド機器
　６１，６２　無線ネットワーク管理機器
　６１ａ　パケット処理部
　６１ｂ　冗長化管理機器接続用通信ポート
　６１ｃ　ファイアウォール機能部
　６１ｄ　フィルタリングルール設定データベース
　６１ｅ　メンテナンス端末直結用通信ポート
　６１ｆ　上位ネットワーク接続用通信ポート
　６１ｇ　下位ネットワーク接続用通信ポート

Claims (5)

1. 　プラント管理機器が接続される第１のネットワークと、
   　フィールド機器が接続される第２のネットワークと、
   　ファイアウォール機能を有し、前記第１のネットワークと前記第２のネットワークに接続されたネットワーク管理機器と、により構成されたことを特徴とするネットワーク管理システム。
2. 　前記ネットワーク管理機器は、専用の接続線を介して接続することにより冗長化されていることを特徴とする請求項１に記載のネットワーク管理システム。
3. 　前記ネットワーク管理機器は、複数のネットワークに接続するための複数の通信ポートを有することを特徴とする請求項１または請求項２に記載のネットワーク管理システム。
4. 　前記複数の通信ポートは、通信ポート毎にセキュリティポリシーを割り当てて、セキュリティエリアの異なる前記複数のネットワークに接続することを特徴とする請求項３に記載のネットワーク管理システム。
5. 　インダストリアルオートメーション用無線通信規格ISA100.11aに基づいて構築されるネットワークの管理システムであることを特徴とする請求項１から請求項４のいずれかに記載のネットワーク管理システム。

Images