JP2015041958A - ファイアウォール装置 - Google Patents
ファイアウォール装置 Download PDFInfo
- Publication number
- JP2015041958A JP2015041958A JP2013173314A JP2013173314A JP2015041958A JP 2015041958 A JP2015041958 A JP 2015041958A JP 2013173314 A JP2013173314 A JP 2013173314A JP 2013173314 A JP2013173314 A JP 2013173314A JP 2015041958 A JP2015041958 A JP 2015041958A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication
- data
- firewall
- function unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
【課題】第1ネットワークと広域ネットワークに接続された第2ネットワークとを含んだネットワークにおいて、第1ネットワークから第2ネットワークへのデータ送信のみが要求されている場合に、第1ネットワークを、広域ネットワークを介した攻撃から保護する。
【解決手段】第1ネットワークからの通信データを入力する第1装置部と、第1装置部から通信データに基づく信号を入力し、第2ネットワークに通信データを出力する第2装置部とを備え、第1装置部および第2装置部の少なくとも一方が、第1装置部から第2装置部方向にのみ信号を伝達する単方向通信部を備えるファイアウォール装置。
【選択図】図1
【解決手段】第1ネットワークからの通信データを入力する第1装置部と、第1装置部から通信データに基づく信号を入力し、第2ネットワークに通信データを出力する第2装置部とを備え、第1装置部および第2装置部の少なくとも一方が、第1装置部から第2装置部方向にのみ信号を伝達する単方向通信部を備えるファイアウォール装置。
【選択図】図1
Description
本発明は、ファイアウォール装置に関し、特に、データを単方向に伝達する用途のファイアウォール装置において安全性を確保する技術に関する。
図4(a)に一例を示すように、工業プラントでは、コントローラ420の制御下で、計測機器、バルブ類、アクチュエータ機器等のフィールド機器430(430a、430b、430c、…)が稼働している。また、コントローラ420には操作監視端末410が接続され、これらの装置を含んでプラント側ネットワーク400が構成されている。操作監視端末410は、コントローラ420を介して、各フィールド機器430の操作・設定等を行ない、コントローラ420が各フィールド機器430から収集した各種データを取得することができる。
従来、プラント側ネットワーク400は、インターネット等の広域ネットワークに物理的に接続していない独立したネットワークとして構築されているため、外部からの脅威にさらされることなく、安全性が確保されている。
また、工業プラントの運営者は、プラント側ネットワーク400とは別に、オフィス側ネットワーク500を構築しており、複数台のPC510(510a、510b、510c、…)が接続されているものとする。オフィス側ネットワーク500は、インターネット600に接続しており、インターネット600を介した種々のサービスを利用している。
一般に、オフィス側ネットワーク500では、通信プロトコルとしてTCP/IPを利用した標準的な通信が行なわれている。一方、プラント側ネットワーク400では、従来は生産制御システム向けの独自プロトコルが用いられていたが、近年では標準化が進み、独自のプロトコルに加え、TCP/IPを利用した標準的な通信を行なうことも多くなっている。
このように、プラント側ネットワーク400とオフィス側ネットワーク500とは別個のネットワークとして運用していたが、プラント側ネットワーク400でTCP/IPを利用するようになると、図4(b)に示すようにプラント側ネットワーク400とオフィス側ネットワーク500とを接続することが容易に可能となる。プラント側ネットワーク400とオフィス側ネットワーク500とが接続されると、例えば、操作監視端末410がフィールド機器430から取得した各種データをオフィス側ネットワーク500のPC510に送信することで、PC510上で各種データを利用できるようになり便利である。
この場合、インターネット600を介した外部からの攻撃からプラント側ネットワーク400を保護するために、プラント側ネットワーク400とオフィス側ネットワーク500との境界にファイアウォール(FW)装置300が設置される。
ここで、ファイアウォール装置300は、パケットフィルタリング型とアプリケーション型とに大別され、パケットフィルタリング型では、通過しようとする通信パケットの内容を検査し、あらかじめ許可された条件、例えば、通信方向、通信プロトコル種別、MACアドレス、IPアドレス、ポート番号等と比較し、条件に合致する通信パケットを中継し、条件に合致しない通信パケットを遮断することで外部からの攻撃からプラント側ネットワーク400を保護する。
また、アプリケーション型では、ファイアウォール装置300はプロキシサーバとして機能し、プラント側ネットワーク400からの通信は、すべてプロキシサーバを仲介して行なわれる。
図5は、図4(b)に示したファイアウォール装置300を介したネットワークをより一般化したネットワーク構成図であり、インターネット600と接続した外部ネットワーク520と、内部ネットワーク440とがファイアウォール装置300を介して接続された場合を示している。この場合において、内部ネットワーク440から外部ネットワーク520へのデータ送信のみが要求され、外部ネットワーク520から内部ネットワークへのデータ送信の必要はないものとする。
本図のネットワークで、内部ネットワーク440内の内部機器450から外部ネットワーク520の外部機器530にデータを送信する場合の動作について説明する。なお、ファイアウォール装置300は、パケットフィルタリング型であるとする。
まず、内部機器450が外部機器530に通信接続要求を出力する。この通信接続要求は、通信経路上のファイアウォール装置300に受信される。
ファイアウォール装置300は、内部機器450から外部機器530への通信接続要求を受信すると、その内容を検査し、上述したようなあらかじめ許可された条件と比較し、条件に合致する場合には、正常な通信として通信接続要求を外部機器530に伝達する。条件に合致しない場合には、異常な通信として、通信を遮断する。なお、ファイアウォール装置300は、以降の内部機器450から外部機器530への通信においても同様の動作を行なう。
通信接続要求を受信した外部機器530は、内部機器450との通信を確立し、通信確立返答を内部機器450に出力する。この通信確立返答は、通信経路上のファイアウォール装置300に受信される。
ファイアウォール装置300は、外部機器530から内部機器450への通信確立返答を受信すると、その内容を検査し、あらかじめ許可された条件と比較し、条件に合致する場合には、正常な通信として、通信接続要求を内部機器450に伝達する。条件に合致しない場合には、異常な通信として、通信を遮断する。なお、ファイアウォール装置300は、以降の外部機器530から内部機器450への通信においても同様の動作を行なう。
内部機器450は、外部機器530からの通信確立返答を受信し、外部機器530との通信を確立する。そして、内部機器450から外部機器530へのデータ送信が、ファイアウォール装置300を介して行なわれる。
図5に示すように、インターネット600に、内部ネットワーク440への浸入を企てる攻撃者の機器610が接続されている場合を想定する。この場合、攻撃者からの攻撃としては、以下のような複数のパターンが考えられる。
まず、内部ネットワーク440内の内部機器450への不正アクセスが挙げられる。これは、攻撃者が攻撃者機器610を用いて、ファイアウォール装置300を介して内部ネットワーク440への不正アクセスを試みるものである。攻撃者機器610からの通信は許可されていないため、ファイアウォール装置300の設定に不備がなければ、通信は遮断され、不正アクセスは失敗する。しかしながら、ファイアウォール装置300の設定に不備があると、その不備が悪用され不正アクセスが成功するおそれがある。
次に、ファイアウォール装置300の管理者権限を不正取得する攻撃が挙げられる。これは、攻撃者がファイアウォール装置300の管理者パスワードを類推したり、ファイアウォール装置300のソフトウェアや設定の欠陥等の脆弱性を悪用したりすることにより、ファイアウォール装置300の管理者権限の不正取得を試みるものである。
ファイアウォール装置300の管理者権限の不正取得が成功すると、攻撃者は、攻撃者機器610を用いて、ファイアウォール装置300の設定を行なうことができるようになるため、ファイアウォール装置300の機能を無効化する等により、内部ネットワーク440に浸入することが可能となる。
また、外部機器530の管理者権限を不正取得する攻撃も挙げられる。これは、攻撃者が外部機器530の管理者パスワードを類推したり、外部機器530のソフトウェアや設定の欠陥等の脆弱性を悪用したりすることにより、外部機器530の管理者権限の不正取得を試みるものである。
外部機器530の管理者権限の不正取得が成功すると、攻撃者は、攻撃者機器610を用いて、外部機器530の操作を行なうことができるようになる。ファイアウォール装置300の設定により、外部機器530から内部機器450への通信が許可されているため、攻撃者は、外部機器530を介して、内部ネットワーク440に浸入することが可能となる。
また、外部機器530になりすます攻撃も挙げられる。これは、攻撃者が外部ネットワーク520の通信を傍受すること等により、外部機器530のIPアドレスやMACアドレスを取得し、そのIPアドレスやMACアドレスを悪用して、攻撃者機器610が外部機器530になりすますことを試みるものである。
なりすましが成功すると、ファイアウォール装置300の設定により、外部機器530から内部機器450への通信が許可されているため、攻撃者は、内部ネットワーク440に浸入することが可能となる。
このように、内部ネットワーク440に相当する第1ネットワークから外部ネットワーク520に相当する第2ネットワークへのデータ送信のみが要求されている場合に、第1ネットワーク自身は広域ネットワークに接続されていないのにも関わらず、第1ネットワークが広域ネットワークを介して攻撃される場合が起こり得る。
そこで、本発明は、第1ネットワークと広域ネットワークに接続された第2ネットワークとを含んだネットワークにおいて、第1ネットワークから第2ネットワークへのデータ送信のみが要求されている場合に、第1ネットワークを、広域ネットワークを介した攻撃から保護することを目的とする。
上記課題を解決するため、本発明のファイアウォール装置は、第1ネットワークからの通信データを入力する第1装置部と、前記第1装置部から前記通信データに基づく信号を入力し、第2ネットワークに前記通信データを出力する第2装置部とを備え、前記第1装置部および前記第2装置部の少なくとも一方が、前記第1装置部から前記第2装置部方向にのみ信号を伝達する単方向通信部を備えることを特徴とする。
ここで、前記第1装置部と前記第2装置部とが、異なるポリシーでパケットフィルタリングを行なうことができる。
また、前記第1装置部は、前記通信データをFEC符号化し、前記第2装置部は、FEC符号化された前記通信データを復号するようにしてもよい。
また、前記第1装置部と前記第2装置部とを電気的に絶縁するようにしてもよい。
ここで、前記第1装置部と前記第2装置部とが、異なるポリシーでパケットフィルタリングを行なうことができる。
また、前記第1装置部は、前記通信データをFEC符号化し、前記第2装置部は、FEC符号化された前記通信データを復号するようにしてもよい。
また、前記第1装置部と前記第2装置部とを電気的に絶縁するようにしてもよい。
本発明によれば、第1ネットワークと広域ネットワークに接続された第2ネットワークとを含んだネットワークにおいて、第1ネットワークから第2ネットワークへのデータ送信のみが要求されている場合に、第1ネットワークを、広域ネットワークを介した攻撃から保護することができる。
本発明の実施の形態について図面を参照して説明する。図1は、本実施形態に係るファイアウォール装置を用いたネットワークの構成を示すブロック図である。本図に示すように、本実施形態では、インターネット600と接続した外部ネットワーク230と、内部ネットワーク210とがファイアウォール(FW)装置100を介して接続された場合を例に説明する。
内部ネットワーク210は、内部機器220を含み、外部ネットワーク230は、外部機器240を含んでおり、内部機器220から外部機器240にデータを送信する目的で内部ネットワーク210と外部ネットワーク230とをファイアウォール装置100を介して接続している。なお、外部機器240から内部機器220へのデータ送信のニーズはないものとする。このような一方向のデータ送信を目的としたネットワークは、例えば、図4(b)に示したように、プラント側ネットワーク400からオフィス側ネットワーク500にフィールドデータを送信する目的で、両ネットワークを接続することで構成される。
内部機器220は、外部機器240を送信先とするデータ出力部221を備えており、外部機器240は、ネットワークを介してデータを受信するデータ入力部241を備えている。データ出力部221、データ入力部241は、従来のデータ送受信と同じ動作を行なうようにしてもよいし、ファイアウォール装置100とのデータ送受信に特化した動作を行なうようにしてもよい。本実施形態では、内部機器220と外部機器240とは直接的な通信を行なわないため、従来のデータ送受信と同じ動作を行なう場合は、ファイアウォール装置100は、内部機器220に対してプロキシサーバ的な役割も担う。
本実施形態において、ファイアウォール装置100は、内部ネットワーク210と接続する内側ファイアウォール装置11と、外部ネットワーク230と接続する外側ファイアウォール装置12と、内側ファイアウォール装置11と外側ファイアウォール装置12との間に設置されたアイソレータ装置13とを備えている。
アイソレータ装置13は、内側ファイアウォール装置11と外側ファイアウォール装置12とを電気的に絶縁した状態で信号を伝達する装置であり、例えば、フォトカプラ、絶縁トランス等を用いることができる。ただし、安全規格等の要求がなければアイソレータ装置13を省くようにしてもよい。
内側ファイアウォール装置11は、FW処理機能部110、通信処理機能部111、データ内容チェック機能部112、ログ機能部113、FEC符号化機能部114、単方向通信部115、警報機能部116を備えている。内側ファイアウォール装置11は、例えば、PLC(Programmable Logic Controller)を利用して構成することができる。
FW処理機能部110は、内部ネットワーク210から通信処理機能部111に出力されたデータを取得し、FWルール117であらかじめ許可された条件、例えば、通信方向、通信プロトコル種別、MACアドレス、IPアドレス、ポート番号等と比較し、条件に合致する場合は、正常な通信として通信処理機能部111に伝達する。一方、条件に合致しない場合は、異常な通信として遮断し、ログ機能部113を利用して記録する。
通信処理機能部111は、内部ネットワーク210の内部機器220との通信を行なうブロックであり、FW処理機能部110から伝達されたデータをデータ内容チェック機能部112に送信する。
データ内容チェック機能部112は、データの内容があらかじめ定められたデータ内容ルール118に合致しているかを検査する。合致している場合には、正常なデータとして、FEC符号化機能部114に送る。合致していない場合には、異常なデータとして破棄し、ログ機能部113を利用して記録する。
ログ機能部113は、記録したログ内容を警報機能部116に通知する。警報機能部116は、通知されたログ内容が、あらかじめ定められた警報ルール119に合致する場合には、警報を出力する。これにより、通信やデータの異常をユーザに通知することができる。
FEC符号化機能部114は、データ列を誤り検出・訂正符号によって符号化する。この処理によって、外側FW装置12側での誤り検出や誤り訂正が可能となる。符号化したデータ列は、単方向通信部115に送られる。
単方向通信部115は、物理的に、内側FW装置11側から外側FW装置12側への単方向にのみ信号を伝達可能なブロックである。このようなブロックは、例えば、光送受信機、電気信号を電圧値・電流値に変換して伝達する装置、電気信号を空気圧等に変換して伝達する装置等を用いて構成することができる。
なお、単方向通信部115とアイソレータ装置13とはセットで構成することができる。例えば、単方向通信部115を光送受信機や電気信号を空気圧等に変換して伝達する装置で構成すると、別途アイソレータ装置13を設けることなく、アイソレータ機能も実現できることになる。
外側ファイアウォール装置12は、FW処理機能部120、通信処理機能部121、データ内容チェック機能部122、ログ機能部123、FEC復号機能部124、単方向通信部125、警報機能部126を備えている。外側ファイアウォール装置12は、例えば、PLC(Programmable Logic Controller)を利用して構成することができる。
内側ファイアウォール装置11と機能的に重複するブロックも含まれているが、これは、内側ファイアウォール装置11と外側ファイアウォール装置12とで異なる運用管理をすることができるようにするためである。例えば、FWルール、データ内容ルール、警報ルール等について内側ファイアウォール装置11と外側ファイアウォール装置12とで別個のポリシーを用いることができる。ただし、同種の機能ブロックを重複させずに、一方の装置にのみ配置するようにしてもよい。
単方向通信部125は、物理的に、内側FW装置11側から外側FW装置12側への単方向にのみ信号を伝達可能なブロックである。このようなブロックは、例えば、光送受信機、電気信号を電圧値・電流値に変換して伝達する装置、電気信号を空気圧等に変換して伝達する装置等を用いて構成することができる。なお、内側ファイアウォール装置11の単方向通信部115と、外側ファイアウォール装置12の単方向通信部125のどちらか一方を省くようにしてもよい。
FEC復号機能部124は、誤り検出・訂正符号を復号してデータ列を取り出す。このとき、誤り訂正符号を用いて訂正できる範囲の誤りは訂正して復号する。これにより、単方向通信部115、アイソレータ装置13、単方向通信部125で生じたエラーを訂正することができる。復号に成功した場合には、復号したデータをデータ内容チェック機能部122に伝達する。復号に失敗した場合には、異常なデータとして破棄して、異常発生を示す情報をデータ内容チェック機能部122に伝達するとともに、ログ機能部123を利用して異常が発生した旨を記録する。
ログ機能部123は、記録したログ内容を警報機能部126に通知する。警報機能部126は、通知されたログ内容が、あらかじめ定められた警報ルール129に合致する場合には、警報を出力する。これにより、通信やデータの異常をユーザに通知することができる。
データ内容チェック機能部122は、データの内容があらかじめ定められたデータ内容ルール128に合致しているかを検査する。合致している場合には、正常なデータとして、通信処理機能部121に送る。合致していない場合には、異常なデータとして破棄して、異常発生を示す情報を通信処理機能部121に伝達するとともに、ログ機能部123を利用して異常が発生した旨を記録する。
通信処理機能部121は、外部ネットワーク230の外部機器240との通信を行なうブロックであり、データ内容チェック機能部122から伝達されたデータを外部機器240を送信先としてFW処理機能部120に出力する。
FW処理機能部120は、通信処理機能部121から出力されたデータを取得し、FWルール127であらかじめ許可された条件、例えば、通信方向、通信プロトコル種別、MACアドレス、IPアドレス、ポート番号等と比較し、条件に合致する場合は、正常な通信として送信先である外部機器240に伝達する。一方、条件に合致しない場合は、異常な通信として遮断し、ログ機能部123を利用して異常が発生した旨を記録する。
以上のような構成のネットワークにおいて、内部機器220から外部機器240にデータを送信する場合の手順について図2のフローチャートを参照して説明する。
まず、内部機器220のデータ出力部221が、送信すべきデータを送信する(S101)。データの送信は、例えば、ユーザからの指示に基づいたり、定期的、所定量のデータを蓄積したとき等に行なうことができる。このとき、内側FW装置の通信処理機能部111を送信先としてもよいし、外部機器240を送信先としてもよい。後者の場合、外部機器240とは。通信接続要求と通信確立変更をやり取りして通信を確立することはできないため、ファイアウォール装置100をプロキシサーバとして用いるようにする。
このデータ通信を、FW処理機能部110が取得して、通信条件の検査を行なう(S102)。通信が許可されると、通信処理機能部111がデータを受信する(S103)。次いで、データ内容チェック機能部112が、データ内容ルール118に基づいてデータ内容の検査を行なう(S104)。データ内容に問題がなければ、FEC符号化機能部114がFEC符号化を行なう(S105)。
そして、単方向通信部115により単方向通信が行なわれ、アイソレータ装置13を介して、単方向通信部125にデータが伝達される(S106)。デジタル電気信号で表わされたデータは、単方向通信の過程で、光、アナログ物理量等の信号に変換され、再度デジタル電気信号に戻される。
次いで、FEC復号機能部124がFEC符号化されたデータを復号し(S107)、データ内容チェック機能部122が、データ内容ルール128に基づいたデータ内容の検査を行なう(S108)。
データ内容に問題がなければ、通信処理機能部121が外部機器240にデータを送信する(S109)。このデータ通信を、FW処理機能部120が取得して、通信条件の検査を行なう(S110)。通信が許可されると、外部機器240にデータを伝達し、外部機器240が内部機器220からのデータを受信する(S111)。
次に、図1に示したネットワークにおいて、インターネット600に、内部ネットワーク210への浸入を企てる攻撃者の機器610が接続されている場合を想定し、攻撃者からの攻撃があった場合のファイアウォール装置100の動作について説明する。
まず、攻撃者機器610から内部ネットワーク210内の内部機器220への不正アクセスを試みた場合について説明する。攻撃者機器610からの通信は許可されていないため、ファイアウォール装置100の設定ルールに不備がなければ、通信は遮断され、不正アクセスは失敗する。仮に、ファイアウォール装置100の設定ルールに不備があったとしても、外側FW装置12から内側FW装置11への通信は物理的に不可能であるため、攻撃者機器610が内部ネットワーク210にアクセスすることはできず、内部ネットワーク210は完全に保護される。
次に、攻撃者が外部FW装置12の管理者権限の不正取得を試みた場合について説明する。仮に、攻撃者が外部FW装置12の管理者権限の不正取得に成功して、外部FW装置12の設定を行なうことができるようになり、外側FW装置12の機能を無効化したとしても、外側FW装置12から内側FW装置11への通信は物理的に不可能であるため、攻撃者機器610が内部ネットワーク210にアクセスすることはできず、内部ネットワーク210は完全に保護される。
次に、攻撃者が外部機器240の管理者権限の不正取得を試みた場合について説明する。仮に、攻撃者が外部機器240の管理者権限の不正取得に成功して、外部機器240の操作を行なうことができるようになり、外側FW装置12にアクセスできるようになったとしても、外側FW装置12から内側FW装置11への通信は物理的に不可能であるため、攻撃者機器610が内部ネットワーク210にアクセスすることはできず、内部ネットワーク210は完全に保護される。
次に、攻撃者機器610が外部機器240になりすますことを試みた場合について説明する。仮に、なりすましが成功して、攻撃者機器610が外側FW装置12にアクセスできるようになったとしても、外側FW装置12から内側FW装置11への通信は物理的に不可能であるため、攻撃者機器610が内部ネットワーク210にアクセスすることはできず、内部ネットワーク210は完全に保護される。
以上説明したいように、本実施形態のファイアウォール装置100によれば、第1ネットワークと広域ネットワークに接続された第2ネットワークとを含んだネットワークにおいて、第1ネットワークから第2ネットワークへのデータ送信のみが要求されている場合に、第1ネットワークを、広域ネットワークを介した攻撃から保護することができるようになる。
なお、本発明のファイアウォール装置は、工業プラントにおけるネットワークに限られず、種々のネットワークに適用することができる。例えば、図3(a)に示すように、投票機器251を含んだ投票ネットワーク250と、集計機器261を含んだ集計ネットワーク260とが接続されている場合、投票ネットワーク260から集計ネットワーク260への投票データの送信のみが要求され、集計ネットワーク260から投票ネットワーク250へのデータ送信は必要ない。このようなネットワークに、本発明のファイアウォール装置100を適用することで、インターネット600を介した攻撃者機器610から投票ネットワーク250を完全に保護することが可能となる。
また、図3(b)に示すように、操作端末271を含んだ操作端末ネットワーク270と、ログ収集機器281を含んだログ管理ネットワーク280とが接続されている場合、操作端末ネットワーク270からログ管理ネットワーク280への操作情報データの送信のみが要求され、ログ管理ネットワーク280から操作端末ネットワーク270へのデータ送信は必要ない。このようなネットワークに、本発明のファイアウォール装置100を適用することで、インターネット600を介した攻撃者機器610から操作端末ネットワーク270を完全に保護することが可能となる。
11…内側ファイアウォール装置、12…外側ファイアウォール装置、13…アイソレータ装置、100…ファイアウォール装置、110…FW処理機能部、111…通信処理機能部、112…データ内容チェック機能部、113…ログ機能部、114…FEC符号化機能部、115…単方向通信部、116…警報機能部、117…FWルール、118…データ内容ルール、119…警報ルール、120…FW処理機能部、121…通信処理機能部、122…データ内容チェック機能部、123…ログ機能部、124…FEC復号機能部、125…単方向通信部、126…警報機能部、127…FWルール、128…データ内容ルール、129…警報ルール、210…内部ネットワーク、220…内部機器、221…データ出力部、230…外部ネットワーク、240…外部機器、241…データ入力部
Claims (4)
- 第1ネットワークからの通信データを入力する第1装置部と、
前記第1装置部から前記通信データに基づく信号を入力し、第2ネットワークに前記通信データを出力する第2装置部とを備え、
前記第1装置部および前記第2装置部の少なくとも一方が、前記第1装置部から前記第2装置部方向にのみ信号を伝達する単方向通信部を備えることを特徴とするファイアウォール装置。 - 前記第1装置部と前記第2装置部とが、異なるポリシーでパケットフィルタリングを行なうことを特徴とする請求項1に記載のファイアウォール装置。
- 前記第1装置部は、前記通信データをFEC符号化し、前記第2装置部は、FEC符号化された前記通信データを復号することを特徴とする請求項1または2に記載のファイアウォール装置。
- 前記第1装置部と前記第2装置部とが電気的に絶縁されていることを特徴とする請求項1〜3のいずれか1項に記載のファイアウォール装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013173314A JP2015041958A (ja) | 2013-08-23 | 2013-08-23 | ファイアウォール装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013173314A JP2015041958A (ja) | 2013-08-23 | 2013-08-23 | ファイアウォール装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015041958A true JP2015041958A (ja) | 2015-03-02 |
Family
ID=52695861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013173314A Pending JP2015041958A (ja) | 2013-08-23 | 2013-08-23 | ファイアウォール装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015041958A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017084173A (ja) * | 2015-10-29 | 2017-05-18 | 株式会社東芝 | 監視制御システムおよび監視制御方法 |
| JP2017163505A (ja) * | 2016-03-11 | 2017-09-14 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
| JP2021083128A (ja) * | 2021-03-05 | 2021-05-27 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008516469A (ja) * | 2004-09-06 | 2008-05-15 | シリコン・ギャップ・プロプライエタリー・リミテッド | データ通信デバイスおよび方法 |
| US20100290476A1 (en) * | 2009-05-18 | 2010-11-18 | Tresys Technology, Llc | One-Way Router |
-
2013
- 2013-08-23 JP JP2013173314A patent/JP2015041958A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008516469A (ja) * | 2004-09-06 | 2008-05-15 | シリコン・ギャップ・プロプライエタリー・リミテッド | データ通信デバイスおよび方法 |
| US20100290476A1 (en) * | 2009-05-18 | 2010-11-18 | Tresys Technology, Llc | One-Way Router |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017084173A (ja) * | 2015-10-29 | 2017-05-18 | 株式会社東芝 | 監視制御システムおよび監視制御方法 |
| JP2017163505A (ja) * | 2016-03-11 | 2017-09-14 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
| JP2021083128A (ja) * | 2021-03-05 | 2021-05-27 | Necプラットフォームズ株式会社 | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム |
| JP7114769B2 (ja) | 2021-03-05 | 2022-08-08 | Necプラットフォームズ株式会社 | 通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Morris et al. | A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems | |
| US8590035B2 (en) | Network firewall host application identification and authentication | |
| Rao et al. | Security challenges facing IoT layers and its protective measures | |
| Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
| JP7038849B2 (ja) | メッセージを処理するネットワークプローブ及び方法 | |
| CA2938354C (en) | Bi-directional data security for supervisor control and data acquisition networks | |
| EP2767057B1 (en) | Process installation network intrusion detection and prevention | |
| KR20120058913A (ko) | 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법 | |
| US9225703B2 (en) | Protecting end point devices | |
| KR20160006915A (ko) | 사물인터넷 관리 방법 및 장치 | |
| CN106982188A (zh) | 恶意传播源的检测方法及装置 | |
| EP3275157B1 (en) | Bi-directional data security for supervisor control and data acquisition networks | |
| Essa et al. | Cyber physical sensors system security: threats, vulnerabilities, and solutions | |
| JP2015041958A (ja) | ファイアウォール装置 | |
| JP4095076B2 (ja) | セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
| US20170063789A1 (en) | OptiArmor Secure Separation Device | |
| KR20120000942A (ko) | 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| CN104113451A (zh) | 应用于网络的信息检测方法、装置及系统 | |
| US20220417268A1 (en) | Transmission device for transmitting data | |
| Holik | Protecting IoT Devices with Software-Defined Networks | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
| Doroski | Integrity Verification for SCADA Devices Using Bloom Filters and Deep Packet Inspection | |
| Gellért | Overview of the Internet of Things security related threats and possible mitigations | |
| JP2016071384A (ja) | 不正アクセス検知システム、不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160420 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170224 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170307 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170324 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170412 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170613 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170614 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170619 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20170802 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20170825 |