JP2021166414A - Communication control system, master device, communication control method, and communication control program - Google Patents

Communication control system, master device, communication control method, and communication control program Download PDF

Info

Publication number
JP2021166414A
JP2021166414A JP2021118367A JP2021118367A JP2021166414A JP 2021166414 A JP2021166414 A JP 2021166414A JP 2021118367 A JP2021118367 A JP 2021118367A JP 2021118367 A JP2021118367 A JP 2021118367A JP 2021166414 A JP2021166414 A JP 2021166414A
Authority
JP
Japan
Prior art keywords
communication
log
white list
unit
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021118367A
Other languages
Japanese (ja)
Other versions
JP7086257B2 (en
Inventor
直人 森
Naoto Mori
敏之 木村
Toshiyuki Kimura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021118367A priority Critical patent/JP7086257B2/en
Publication of JP2021166414A publication Critical patent/JP2021166414A/en
Application granted granted Critical
Publication of JP7086257B2 publication Critical patent/JP7086257B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To prevent inappropriate communication from being permitted while reducing the burden of managing a white list.SOLUTION: Each of a plurality of edge devices 20 obtains a communication log between addresses classified into different groups in a group list in which the addresses of terminals 30 connected to one of the edge devices 20 are classified into a plurality of groups on the basis of terminal information of the terminal 30. A master device 10 accepts a setting of whether to allow communication between the addresses from which logs have been acquired. The master device 10 generates a white list that allows communication between the addresses classified in the same group and communication that has been set to be allowed.SELECTED DRAWING: Figure 1

Description

本開示は、ホワイトリストに基づく通信制御技術に関する。 The present disclosure relates to communication control technology based on a white list.

通信が許可された対象を示すホワイトリストに基づき、通信制御を行う技術がある。ホワイトリストに基づく通信制御は、安全性の観点において有効である。しかし、ホワイトリストに基づく通信制御では、通信が許可されるべき対象がホワイトリストに示されていないと、許可されるべき通信であっても許可されない。その結果、適切な処理が実行できないといった事態が発生し得る。そのため、ホワイトリストを適切に管理する必要がある。したがって、ホワイトリストに基づく通信制御は、ホワイトリストの管理という点において管理者に負担がかかる。 There is a technology that controls communication based on a white list that indicates the targets for which communication is permitted. Communication control based on the white list is effective from the viewpoint of security. However, in the communication control based on the white list, even if the communication should be permitted, it is not permitted unless the target to be permitted is indicated in the white list. As a result, a situation may occur in which appropriate processing cannot be executed. Therefore, it is necessary to manage the white list appropriately. Therefore, the communication control based on the white list imposes a burden on the administrator in terms of managing the white list.

特許文献1には、ホワイトリストを自動的に生成する技術が記載されている。これにより、ホワイトリストの管理に係る負担を軽減している。特許文献1では、ホワイトリスト生成期間に行われた通信が許可されるように、ホワイトリストを生成している。 Patent Document 1 describes a technique for automatically generating a white list. This reduces the burden of managing the white list. In Patent Document 1, a white list is generated so that communication performed during the white list generation period is permitted.

特開2017−046149号公報Japanese Unexamined Patent Publication No. 2017-046149

特許文献1に記載された技術では、ホワイトリスト生成期間に不適切な通信が行われると、不適切な通信が許可されるようにホワイトリストが生成されてしまう。その結果、ホワイトリストに基づく通信制御が開始された後においても、不適切な通信が許可されてしまう。
本開示は、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能にすることを目的とする。 In the technique described in Patent Document 1, if inappropriate communication is performed during the white list generation period, a white list is generated so that inappropriate communication is permitted. As a result, inappropriate communication is permitted even after communication control based on the white list is started.
It is an object of the present disclosure to reduce the burden of managing the white list and to prevent inappropriate communication from being permitted.

本開示に係る通信制御システムは、
複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記複数のエッジ装置それぞれは、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The communication control system according to the present disclosure is
It is a communication control system equipped with a plurality of edge devices and a master device.
Each of the plurality of edge devices
Acquires a log of communication between addresses classified into different groups in a group list in which the addresses of terminals connected to one of the plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal. Equipped with a log acquisition unit
The master device further
A setting reception unit that accepts settings for whether or not to allow communication for which logs have been acquired by the log acquisition unit, and a setting reception unit.
It includes a white list generation unit that generates a white list that permits communication between addresses classified into the same group in the group list and communication for which communication is permitted by the setting reception unit.

本開示では、同じグループに分類されたアドレス間の通信と、異なるグループに分類されたアドレス間において行われた通信のうち通信を許可すると設定された通信とを許可するホワイトリストが生成される。これにより、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能である。 In the present disclosure, a white list is generated that allows communication between addresses classified into the same group and communication performed between addresses classified into different groups that is set to allow communication. As a result, it is possible to reduce the burden of managing the white list and prevent inappropriate communication from being permitted.

実施の形態1に係る通信制御システム1の構成図。The block diagram of the communication control system 1 which concerns on Embodiment 1. FIG. 実施の形態1に係るマスター装置10の構成図。The block diagram of the master apparatus 10 which concerns on Embodiment 1. FIG. 実施の形態1に係るエッジ装置20の構成図。The block diagram of the edge apparatus 20 which concerns on Embodiment 1. FIG. 実施の形態1に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on Embodiment 1. FIG. 実施の形態1に係るアドレス41の説明図。The explanatory view of the address 41 which concerns on Embodiment 1. FIG. 実施の形態1に係るアドレス41と端末情報42の説明図。The explanatory view of the address 41 and the terminal information 42 which concerns on Embodiment 1. FIG. 実施の形態1に係る端末テーブル43の説明図。The explanatory view of the terminal table 43 which concerns on Embodiment 1. FIG. 実施の形態1に係るグループ44の説明図。Explanatory drawing of group 44 which concerns on Embodiment 1. FIG. 実施の形態1に係る検査用アクセスリスト46の説明図。The explanatory view of the access list 46 for inspection which concerns on Embodiment 1. FIG. 実施の形態1に係るログデータ47の説明図。Explanatory drawing of log data 47 which concerns on Embodiment 1. FIG. 実施の形態1に係る異グループ間通信リスト48の説明図。Explanatory drawing of intergroup communication list 48 which concerns on Embodiment 1. FIG. 実施の形態1に係るホワイトリスト49の説明図。The explanatory view of the white list 49 which concerns on Embodiment 1. FIG. 変形例1に係るマスター装置10の構成図。The block diagram of the master apparatus 10 which concerns on modification 1. FIG. 変形例1に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on modification 1. 実施の形態2に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on Embodiment 2.

実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30としては、IT(Information Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。 Embodiment 1.
*** Explanation of configuration ***
The configuration of the communication control system 1 according to the first embodiment will be described with reference to FIG.
The communication control system 1 includes a master device 10 and a plurality of edge devices 20. The master device 10 and each edge device 20 are connected via a network device 90.
The master device 10 is a computer installed in a management center or the like for managing the communication control system 1. Each edge device 20 is a computer installed in a field such as a factory or an office and to which one or more terminals 30 are connected. As the terminal 30, there are a plurality of types of terminals 30, such as an IT (Information Technology) type terminal 30 and an OT (Operational Technology) type terminal 30.

図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the master device 10 according to the first embodiment will be described with reference to FIG.
The master device 10 includes hardware for a processor 11, a memory 12, a storage 13, and a communication interface 14. The processor 11 is connected to other hardware via a signal line and controls these other hardware.

マスター装置10は、機能構成要素として、アドレス受信部111と、分類部112と、検査リスト生成部113と、検査リスト送信部114と、ログ受信部115と、設定受付部116と、ホワイトリスト生成部117と、ホワイトリスト送信部118とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、
プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。 The master device 10 has an address receiving unit 111, a classification unit 112, an inspection list generation unit 113, an inspection list transmission unit 114, a log reception unit 115, a setting reception unit 116, and a white list generation as functional components. A unit 117 and a white list transmission unit 118 are provided. The functions of each functional component of the master device 10 are realized by software.
The storage 13 stores a program that realizes the functions of each functional component of the master device 10. This program is read into memory 12 by processor 11 and loaded into memory 12.
It is executed by the processor 11. As a result, the functions of each functional component of the master device 10 are realized.

図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the edge device 20 according to the first embodiment will be described with reference to FIG.
The edge device 20 includes hardware for a processor 21, a memory 22, a storage 23, and a communication interface 24. The processor 21 is connected to other hardware via a signal line and controls these other hardware.

エッジ装置20は、機能構成要素として、アドレス取得部211と、端末情報受付部212と、アドレス送信部213と、リスト受信部214と、ログ取得部215と、ログ送信部216と、通信制御部217とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。 The edge device 20 has an address acquisition unit 211, a terminal information reception unit 212, an address transmission unit 213, a list reception unit 214, a log acquisition unit 215, a log transmission unit 216, and a communication control unit as functional components. It is equipped with 217. The functions of each functional component of the edge device 20 are realized by software.
The storage 23 stores a program that realizes the functions of each functional component of the edge device 20. This program is read into the memory 22 by the processor 21 and executed by the processor 21. As a result, the functions of each functional component of the edge device 20 are realized.

プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 Processors 11 and 21 are ICs (Integrated Circuits) that perform processing. As a specific example, the processors 11 and 21 are CPUs (Central).
Processing Unit), DSP (Digital Signal Processor), GPU (Graphics Processing Unit).

メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。 The memories 12 and 22 are storage devices for temporarily storing data. Specific examples of the memories 12 and 22 are SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory).

ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。 The storages 13 and 23 are storage devices for storing data. The storages 13 and 23 are, as a specific example, an HDD (Hard Disk Drive). The storages 13 and 23 include SD (registered trademark, Secure Digital) memory card, CF (Compact Flash, registered trademark), NAND flash, flexible disk, optical disk, compact disk, Blu-ray (registered trademark) disk, and DVD (Digital Versaille Disk). ) May be a portable recording medium.

通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。 Communication interfaces 14 and 24 are interfaces for communicating with an external device. Specific examples of the communication interfaces 14 and 24 are Ethernet (registered trademark), USB (Universal Serial Bus), and HDMI (registered trademark, High-Definition Multimedia Interface) ports.

***動作の説明***
図4から図12を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。 *** Explanation of operation ***
The operation of the communication control system 1 according to the first embodiment will be described with reference to FIGS. 4 to 12.
The operation procedure of the communication control system 1 according to the first embodiment corresponds to the communication control method according to the first embodiment. Further, the program that realizes the operation of the communication control system 1 according to the first embodiment corresponds to the communication control program according to the first embodiment.

通信制御システム1は、マスター装置10及びエッジ装置20が設置され、運用が開始されると、図4に示す処理を実行する。 When the master device 10 and the edge device 20 are installed and the operation is started, the communication control system 1 executes the process shown in FIG.

(図4のステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、自身に接続された端末30のアドレス41を取得する。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、図5に示すように、アドレス取得部211は、端末30のアドレス41として、IP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを取得する。 (Step S11 in FIG. 4: Address acquisition process)
The address acquisition unit 211 of each edge device 20 acquires the address 41 of the terminal 30 connected to itself. At this time, the address acquisition unit 211 may acquire the address 41 of the connected terminal 30 for each port.
Here, as shown in FIG. 5, the address acquisition unit 211 acquires an IP (Internet Protocol) address and a MAC (Media Access Control) address as the address 41 of the terminal 30.

(図4のステップS12:端末情報受付処理)
各エッジ装置20の端末情報受付部212は、ステップS11で取得された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。
具体的には、エッジ装置20に入力装置が接続され、エッジ装置20の設置を担当した担当者等によって端末情報42が入力される。そして、端末情報受付部212は、入力された端末情報42を受け付ける。
ここでは、図6に示すように、端末情報受付部212は、端末情報42として、グループ名と、端末名とを受け付け、IPアドレス及びMACアドレスとの関連付けを行う。グループ名は、端末30が属するグループを識別可能な名称である。例えば、IT系とOT系とで端末30をグループ分けする場合には、グループ名はIT系又はOT系になる。端末名は、端末30を識別可能な名称である。例えば、端末名は、端末30が設置された場所と、端末30の役割等とに基づき、予め定められたルールに従って割り当てられる。 (Step S12 in FIG. 4: Terminal information reception process)
The terminal information receiving unit 212 of each edge device 20 receives the input of the terminal information 42 about the terminal 30 indicated by each address 41 acquired in step S11.
Specifically, the input device is connected to the edge device 20, and the terminal information 42 is input by the person in charge of installing the edge device 20 or the like. Then, the terminal information receiving unit 212 receives the input terminal information 42.
Here, as shown in FIG. 6, the terminal information receiving unit 212 accepts the group name and the terminal name as the terminal information 42, and associates the IP address and the MAC address. The group name is a name that can identify the group to which the terminal 30 belongs. For example, when the terminal 30 is grouped by the IT system and the OT system, the group name is the IT system or the OT system. The terminal name is a name that can identify the terminal 30. For example, the terminal name is assigned according to a predetermined rule based on the place where the terminal 30 is installed, the role of the terminal 30, and the like.

(図4のステップS13:アドレス送信処理)
各エッジ装置20のアドレス送信部213は、ステップS212で受け付けた端末情報42を付加したアドレス41をマスター装置10に送信する。
すると、マスター装置10のアドレス受信部111は、各エッジ装置20から送信された端末情報42が付加されたアドレス41を受信する。つまり、アドレス受信部111は、複数のエッジ装置20それぞれから、そのエッジ装置20に接続された端末30のアドレス41及び端末情報42を受信する。そして、図7に示すように、アドレス受信部111は、受信されたアドレス41及び端末情報42を集約し、エッジ装置20を判別するエッジ装置IDと関連付けて端末テーブル43を生成する。 (Step S13 in FIG. 4: Address transmission process)
The address transmission unit 213 of each edge device 20 transmits the address 41 to which the terminal information 42 received in step S212 is added to the master device 10.
Then, the address receiving unit 111 of the master device 10 receives the address 41 to which the terminal information 42 transmitted from each edge device 20 is added. That is, the address receiving unit 111 receives the address 41 and the terminal information 42 of the terminal 30 connected to the edge device 20 from each of the plurality of edge devices 20. Then, as shown in FIG. 7, the address receiving unit 111 aggregates the received address 41 and the terminal information 42, and generates the terminal table 43 in association with the edge device ID that determines the edge device 20.

(図4のステップS14:分類処理)
マスター装置10の分類部112は、ステップS13で受信された端末30のアドレス41を、端末30の端末情報42に基づき複数のグループ44に分類する。
具体的には、分類部112は、端末テーブル43から順にレコードを読み出し、読み出されたレコードの端末情報42に基づき、そのレコードのグループ44を特定する。実施の形態1では、分類部112は、端末情報42に含まれるグループ名毎にレコードのグループを特定する。したがって、図7に示す端末テーブル43の場合には、図8に示すように各レコードがIT系のグループ44とOT系のグループ44とに分類される。分類部112は、グループ44に基づきグループリストを生成する。
グループリストについては、図示しないが、図8に示すグループ44に基づき、グループ毎のIPアドレスを特定するリストとなる。例えば、IT系グループには、IP A1、IP A2、IP Am、IP An・・・が含まれ、OT系グループには、IP B1、IP B2、IP Bi、IP Bj・・・が含まれることを示すリストである。 (Step S14 of FIG. 4: Classification process)
The classification unit 112 of the master device 10 classifies the address 41 of the terminal 30 received in step S13 into a plurality of groups 44 based on the terminal information 42 of the terminal 30.
Specifically, the classification unit 112 reads records in order from the terminal table 43, and identifies the group 44 of the records based on the terminal information 42 of the read records. In the first embodiment, the classification unit 112 specifies a group of records for each group name included in the terminal information 42. Therefore, in the case of the terminal table 43 shown in FIG. 7, each record is classified into an IT system group 44 and an OT system group 44 as shown in FIG. The classification unit 112 generates a group list based on the group 44.
Although not shown, the group list is a list that specifies the IP address for each group based on the group 44 shown in FIG. For example, the IT group includes IP A1, IP A2, IP Am, IP An ..., And the OT group includes IP B1, IP B2, IP Bi, IP Bj ... It is a list showing.

(図4のステップS15:検査用アクセスリスト生成処理)
検査リスト生成部113は、実施の形態1では、図9に示すように、全てのグループ44間の通信を許可することと、異なるグループ44間の通信のログを取得することを示す検査用アクセスリスト46を生成する。ここで、全てのグループ44間の通信を許可する
とは、同じグループ44におけるアドレス間での通信を許可するとともに、異なるグループ44におけるアドレス間での通信を許可することを意味する。検査用アクセスリスト46は、全てのグループ44間の通信を許可した上で、異なるグループ44間の通信のログを取得するルールに基づく暫定的なホワイトリストになる。
そして、検査リスト生成部113は、検査用アクセスリスト46と端末テーブル43との組を検査リスト45として扱う。なお検査リスト45に含まれる、端末テーブル43は、具体的には前述したグループリストのような構成となる。 (Step S15 of FIG. 4: Inspection access list generation process)
In the first embodiment, the inspection list generation unit 113 permits the communication between all the groups 44 and acquires the log of the communication between the different groups 44, as shown in FIG. Generate Listing 46. Here, permitting communication between all groups 44 means permitting communication between addresses in the same group 44 and permitting communication between addresses in different groups 44. The inspection access list 46 is a provisional white list based on a rule for permitting communication between all groups 44 and then acquiring a log of communication between different groups 44.
Then, the inspection list generation unit 113 treats the pair of the inspection access list 46 and the terminal table 43 as the inspection list 45. The terminal table 43 included in the inspection list 45 has a specific structure similar to that of the group list described above.

そして、検査リスト送信部114は、検査リスト45を各エッジ装置20に送信する。すなわち、検査リスト送信部114は、検査用アクセスリスト46とグループリストを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、検査リスト45を受信する。 Then, the inspection list transmission unit 114 transmits the inspection list 45 to each edge device 20. That is, the inspection list transmission unit 114 transmits the inspection access list 46 and the group list to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the inspection list 45.

(図4のステップS16:ログ取得処理)
各エッジ装置20のログ取得部215は、検査リスト45を受信してから観測期間の間、検査リスト45に従い、異なるグループに分類されたアドレス間の通信のログを取得する。実施の形態1では、通信制御部217は、検査リスト45として受信した検査用アクセスリスト46に従い、全てのグループ44間の通信を許可する。そして、ログ取得部215は、検査用アクセスリスト46に従い、実際に行われた通信のうち、異なるグループ44間の通信のログを取得する。観測期間は、通信制御システム1を適用する対象のシステムにおいて、一通りの通信が行われるような期間等が設定される。
通信のログには、データの送信元のIPアドレスと、データ宛先のIPアドレスとが含まれる。図10に示すように、通信制御部217は、端末テーブル43を参照して、データの送信元及びデータの宛先について、MACアドレスとグループ名と端末名とを補って、ログデータ47を生成する。 (Step S16 in FIG. 4: Log acquisition process)
The log acquisition unit 215 of each edge device 20 acquires a log of communication between addresses classified into different groups according to the inspection list 45 during the observation period after receiving the inspection list 45. In the first embodiment, the communication control unit 217 permits communication between all the groups 44 according to the inspection access list 46 received as the inspection list 45. Then, the log acquisition unit 215 acquires a log of communication between different groups 44 among the communication actually performed according to the inspection access list 46. The observation period is set such that a general communication is performed in the target system to which the communication control system 1 is applied.
The communication log contains the IP address of the data source and the IP address of the data destination. As shown in FIG. 10, the communication control unit 217 generates log data 47 by supplementing the MAC address, the group name, and the terminal name with respect to the data transmission source and the data destination with reference to the terminal table 43. ..

観測期間が終了すると、ログ送信部216は、ログデータ47をマスター装置10に送信する。すると、マスター装置10のログ受信部115は、ログデータ47を受信する。 When the observation period ends, the log transmission unit 216 transmits the log data 47 to the master device 10. Then, the log receiving unit 115 of the master device 10 receives the log data 47.

(図4のステップS17:設定受付処理)
マスター装置10の設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。
具体的には、図11に示すように、設定受付部116は、各エッジ装置20から受信したログデータ47について、重複を排除した異グループ間通信リスト48を生成する。そして、設定受付部116は、異グループ間通信リスト48が示す各アドレス間の通信について、許可するか否かの設定を受け付ける。 (Step S17 in FIG. 4: Setting acceptance process)
The setting reception unit 116 of the master device 10 accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired.
Specifically, as shown in FIG. 11, the setting reception unit 116 generates an intergroup communication list 48 from which duplicates are eliminated for the log data 47 received from each edge device 20. Then, the setting reception unit 116 accepts the setting of whether or not to allow the communication between the addresses shown in the intergroup communication list 48.

(図4のステップS18:ホワイトリスト生成処理)
図12に示すように、マスター装置10のホワイトリスト生成部117は、ステップS14で同じグループに分類されたアドレス間の通信と、ステップS17で通信を許可すると設定されたアドレス間の通信とを許可するホワイトリスト49を生成する。図12に示すホワイトリスト49では、IT系間及びOT系間の通信と、ステップS17で通信を許可すると設定されたIPアドレスがIP A1とIP B1との間の通信とが許可されている。図12に示すホワイトリスト49では、IPアドレスがIP A1とIP B1との間の通信以外の異なるグループ44に分類されたアドレス間の通信は遮断するように設定されている。
そして、ホワイトリスト送信部118は、ホワイトリスト49を各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、ホワイトリスト49を受信する。 (Step S18 in FIG. 4: White list generation process)
As shown in FIG. 12, the white list generation unit 117 of the master device 10 permits communication between addresses classified into the same group in step S14 and communication between addresses set to allow communication in step S17. White list 49 is generated. In the white list 49 shown in FIG. 12, communication between IT systems and OT systems and communication between IP A1 and IP B1 whose IP address is set to allow communication in step S17 are permitted. In the white list 49 shown in FIG. 12, communication between addresses whose IP addresses are classified into different groups 44 other than communication between IP A1 and IP B1 is set to be blocked.
Then, the white list transmission unit 118 transmits the white list 49 to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the white list 49.

(図4のステップS19:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS18で受信したホワイトリスト49に従い、通信を制御する。つまり、通信制御部217は、ホワイトリスト49で許可すると設定されている通信のみを許可し、その他の通信については遮断する。 (Step S19 in FIG. 4: Communication control process)
The communication control unit 217 of each edge device 20 controls the communication according to the white list 49 received in step S18. That is, the communication control unit 217 permits only the communication set to be permitted in the white list 49, and blocks other communication.

***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1では、各エッジ装置20に接続された端末30がグループ44に分類され、異なるグループ44に分類されたアドレス間の通信のログが観測期間の間に取得される。そして、ログが取得されたアドレス間の通信を許可するか否かの設定が受け付けられ、同じグループ44に分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可するホワイトリスト49が生成される。つまり暫定的に作成した検査用アクセスリスト46に基づき、観測期間の通信を許可し、そのログに基づきホワイトリスト49を生成する。
これにより、同じグループ44間の通信については逐一ホワイトリスト49に設定する必要がないため、ホワイトリスト49の管理の負担を軽減することが可能である。一方、異なるグループ44間の通信については、観測期間に行われた通信のログに基づき、許可するか否かが判断された上でホワイトリスト49に設定される。そのため、不正な通信が許可されることを防止可能である。 *** Effect of Embodiment 1 ***
As described above, in the communication control system 1 according to the first embodiment, the terminals 30 connected to each edge device 20 are classified into the group 44, and the log of the communication between the addresses classified into the different groups 44 is observed during the observation period. Obtained during. Then, the setting of whether or not to allow the communication between the addresses for which the log is acquired is accepted, and the white that permits the communication between the addresses classified in the same group 44 and the communication between the addresses set to be permitted is permitted. Listing 49 is generated. That is, based on the provisionally created access list 46 for inspection, communication during the observation period is permitted, and a white list 49 is generated based on the log.
As a result, it is not necessary to set the white list 49 for each communication between the same groups 44, so that the burden of managing the white list 49 can be reduced. On the other hand, the communication between different groups 44 is set in the white list 49 after it is determined whether or not to allow it based on the log of the communication performed during the observation period. Therefore, it is possible to prevent unauthorized communication from being permitted.

例えば、IT系の端末30とOT系の端末30との間の通信は、安全性の観点から原則として禁止することが望ましい。しかし、OT系の端末30のデータをIT系の端末30で分析するといった処理を行う場合も考えられる。この場合の通信については、例外的にIT系の端末30とOT系の端末30との間の通信であっても許可する必要がある。このような場合に、実施の形態1に係る通信制御システム1では、観測期間に行われたIT系の端末30とOT系の端末30との間の通信について、個別に許可するか否かを設定するだけで、適切なホワイトリスト49を生成可能である。 For example, it is desirable to prohibit communication between the IT terminal 30 and the OT terminal 30 in principle from the viewpoint of safety. However, there may be a case where the data of the OT terminal 30 is analyzed by the IT terminal 30. As for the communication in this case, it is exceptionally necessary to allow the communication between the IT terminal 30 and the OT terminal 30. In such a case, in the communication control system 1 according to the first embodiment, it is determined whether or not the communication between the IT system terminal 30 and the OT system terminal 30 performed during the observation period is individually permitted. It is possible to generate an appropriate white list 49 just by setting it.

***他の構成***
<変形例1>
実施の形態1では、各エッジ装置20が端末情報42の入力を受け付けた。これは、エッジ装置20の設置を担当した担当者等であれば、エッジ装置20に接続された端末30についての端末情報42を容易に知り得ると考えられるためである。
しかし、マスター装置10が端末情報42の入力を受け付けてもよい。例えば、各エッジ装置20に接続される端末30を通信制御システム1の管理者が把握しているような場合には、マスター装置10が端末情報42の入力を受け付けることが妥当である。さらにマスター装置10がエッジ装置20から端末30のIPアドレスとMACアドレスを収集したタイミングで、外部組織のデータベース、またはマスター装置10が設置された組織内のデータベースと照合し、グループ名と端末名とを取得するように構成してもよい。その場合、マスター装置10が自動的にアドレス41と対応する端末情報42を生成する。 *** Other configurations ***
<Modification example 1>
In the first embodiment, each edge device 20 accepts the input of the terminal information 42. This is because it is considered that a person in charge of installing the edge device 20 or the like can easily know the terminal information 42 about the terminal 30 connected to the edge device 20.
However, the master device 10 may accept the input of the terminal information 42. For example, when the administrator of the communication control system 1 knows the terminal 30 connected to each edge device 20, it is appropriate that the master device 10 accepts the input of the terminal information 42. Further, at the timing when the master device 10 collects the IP address and MAC address of the terminal 30 from the edge device 20, it is collated with the database of the external organization or the database in the organization where the master device 10 is installed, and the group name and the terminal name are obtained. May be configured to obtain. In that case, the master device 10 automatically generates the terminal information 42 corresponding to the address 41.

図13を参照して、変形例1に係るマスター装置10の構成を説明する。
マスター装置10は、機能構成要素として、端末情報受付部119を備える点が、図2に示すマスター装置10と異なる。 The configuration of the master device 10 according to the first modification will be described with reference to FIG.
The master device 10 is different from the master device 10 shown in FIG. 2 in that it includes a terminal information receiving unit 119 as a functional component.

図14を参照して、変形例1に係る通信制御システム1の動作を説明する。
ステップS21の処理は、図4のステップS11の処理と同じである。また、ステップS24からステップS29の処理は、図4のステップS14からステップS19の処理と同じである。
ステップS22では、各エッジ装置20のアドレス送信部213は、ステップS21で取得されたアドレス41をマスター装置10に送信する。つまり、アドレス送信部213
は、端末情報42が付加されていない状態でアドレス41をマスター装置10に送信する。ステップS23では、マスター装置10の端末情報受付部119は、各エッジ装置20から送信された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。 The operation of the communication control system 1 according to the first modification will be described with reference to FIG.
The process of step S21 is the same as the process of step S11 of FIG. Further, the processing of steps S24 to S29 is the same as the processing of steps S14 to S19 of FIG.
In step S22, the address transmission unit 213 of each edge device 20 transmits the address 41 acquired in step S21 to the master device 10. That is, the address transmitter 213
Sends the address 41 to the master device 10 in a state where the terminal information 42 is not added. In step S23, the terminal information receiving unit 119 of the master device 10 receives the input of the terminal information 42 about the terminal 30 indicated by each address 41 transmitted from each edge device 20.

なお、一部のアドレス41についての端末情報42はエッジ装置20が受け付け、残りのアドレス41についての端末情報42はマスター装置10が受け付けるといった構成でもよい。 The terminal information 42 for a part of the addresses 41 may be received by the edge device 20, and the terminal information 42 for the remaining addresses 41 may be received by the master device 10.

<変形例2>
実施の形態1では、ホワイトリスト49は、同じグループに分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可し、残りの通信については遮断するように設定された。ホワイトリスト49は、残りの通信については遮断しつつ、ログを取得するように設定されてもよい。
この場合には、図4のステップS19では、各エッジ装置20の通信制御部217は、ホワイトリスト49に従い遮断するように設定されている通信については遮断する。この際、ログ取得部215は、遮断された通信のログを取得する。定期的にあるいは任意のタイミングに、通信制御部217は、ログからログデータ47を生成してマスター装置10に送信する。ログデータ47が送信された場合に、設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。そして、ホワイトリスト生成部117は、通信を許可するという設定を受け付けた場合に、ホワイトリスト49に設定を追加する。
これにより、観測期間に行われなかった異なるグループ44の端末30間の通信に、許可されるべき通信が含まれる場合に、観測期間の後にホワイトリスト49に追加することが可能になる。 <Modification 2>
In the first embodiment, the white list 49 is set to allow communication between addresses classified in the same group and communication between addresses set to be permitted, and to block the remaining communication. The white list 49 may be set to acquire a log while blocking the remaining communication.
In this case, in step S19 of FIG. 4, the communication control unit 217 of each edge device 20 blocks the communication set to be blocked according to the white list 49. At this time, the log acquisition unit 215 acquires the log of the blocked communication. Periodically or at an arbitrary timing, the communication control unit 217 generates log data 47 from the log and transmits it to the master device 10. When the log data 47 is transmitted, the setting reception unit 116 accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired. Then, when the white list generation unit 117 accepts the setting to allow communication, the white list generation unit 117 adds the setting to the white list 49.
This makes it possible to add to the white list 49 after the observation period when the communication between the terminals 30 of different groups 44 that was not performed during the observation period includes the communication to be permitted.

<変形例3>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。 <Modification example 3>
In the first embodiment, each functional component is realized by software. However, as a modification 3, each functional component may be realized by hardware. The difference between the third modification and the first embodiment will be described.

各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。 When each functional component is realized by hardware, the master device 10 includes an electronic circuit instead of the processor 11, the memory 12, and the storage 13. The electronic circuit is a dedicated circuit that realizes the functions of each functional component, the memory 12, and the storage 13.
Similarly, when each functional component is implemented in hardware, the edge device 20 includes an electronic circuit instead of the processor 21, the memory 22, and the storage 23. The electronic circuit is a dedicated circuit that realizes the functions of each functional component, the memory 22, and the storage 23.

電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。 As the electronic circuit, a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA (Gate Array), an ASIC (Application Special Integrated Circuit), and an FPGA (Field-Programmable Gate Array) are assumed. Will be done.
Each functional component may be realized by one electronic circuit, or each functional component may be distributed and realized by a plurality of electronic circuits.

<変形例4>
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。 <Modification example 4>
As a modification 4, some functional components may be realized by hardware, and other functional components may be realized by software.

プロセッサ11,21とメモリ12,22とストレージ13,23と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。 Processors 11 and 21, memories 12, 22, storages 13, 23, and electronic circuits are called processing circuits. That is, the function of each functional component is realized by the processing circuit.

実施の形態2.
実施の形態2では、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続された場合について説明する。実施の形態2では、実施の形態1と同一の点については説明を省略する。 Embodiment 2.
In the second embodiment, a case where a new terminal 30 is connected to the edge device 20 after the operation of the communication control system 1 is started will be described. In the second embodiment, the same points as those in the first embodiment will be omitted.

***動作の説明***
図15を参照して、実施の形態2に係る通信制御システム1の動作を説明する。
(図15のステップS31:設定追加処理)
マスター装置10の設定受付部116は、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続されると、追加された端末30についてのアドレス41及び端末情報42を端末テーブル43に追加する。具体的には、通信制御システム1の管理者によって、追加された端末30についてのアドレス41及び端末情報42が入力される。そして、設定受付部116は、入力されたアドレス41及び端末情報42を端末テーブル43に追加する。 *** Explanation of operation ***
The operation of the communication control system 1 according to the second embodiment will be described with reference to FIG.
(Step S31 in FIG. 15: Setting addition process)
When a new terminal 30 is connected to the edge device 20 after the operation of the communication control system 1 is started, the setting reception unit 116 of the master device 10 displays the address 41 and the terminal information 42 of the added terminal 30 in the terminal table 43. Add to. Specifically, the administrator of the communication control system 1 inputs the address 41 and the terminal information 42 for the added terminal 30. Then, the setting reception unit 116 adds the input address 41 and the terminal information 42 to the terminal table 43.

また、設定受付部116は、追加された端末30について、異なるグループ44の端末30と通信が必要な場合には、設定をホワイトリスト49に追加する。具体的には、通信制御システム1の管理者によって、許可する通信の設定が入力される。設定受付部116は、入力された設定をホワイトリスト49に追加する。 Further, the setting reception unit 116 adds the setting to the white list 49 when the added terminal 30 needs to communicate with the terminal 30 of a different group 44. Specifically, the administrator of the communication control system 1 inputs the settings for permitted communication. The setting reception unit 116 adds the input setting to the white list 49.

(図15のステップS32:再送付処理)
マスター装置10のホワイトリスト生成部117は、ステップS31でアドレス41及び端末情報42が追加された端末テーブル43と、設定が追加されたホワイトリスト49とを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、端末テーブル43及びホワイトリスト49を受信する。 (Step S32 in FIG. 15: Resending process)
The white list generation unit 117 of the master device 10 transmits the terminal table 43 to which the address 41 and the terminal information 42 are added in step S31 and the white list 49 to which the settings are added to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the terminal table 43 and the white list 49.

(図15のステップS33:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS32で受信したホワイトリスト49に従い、通信を制御する。 (Step S33 in FIG. 15: Communication control process)
The communication control unit 217 of each edge device 20 controls the communication according to the white list 49 received in step S32.

***実施の形態2の効果***
以上のように、実施の形態2に係る通信制御システム1では、運用開始後にエッジ装置20に新たな端末30が接続された場合には、新たな端末30についての設定がホワイトリスト49に追加される。つまり、新たな端末30が接続されても、再び観測期間を設けてログを取得する必要がない。そのため、新たな端末30が接続された場合にすぐに適切なホワイトリスト49で運用を開始することが可能である。 *** Effect of Embodiment 2 ***
As described above, in the communication control system 1 according to the second embodiment, when a new terminal 30 is connected to the edge device 20 after the start of operation, the setting for the new terminal 30 is added to the white list 49. NS. That is, even if a new terminal 30 is connected, it is not necessary to set an observation period again and acquire the log. Therefore, when a new terminal 30 is connected, it is possible to immediately start the operation with an appropriate white list 49.

なお、新たな端末30は、必要になったために追加されるので、役割は明確であると想定される。したがって、通信制御システム1の管理者は、新たな端末30については、アドレス41及び端末情報42と、異なるグループ44の端末30と通信が必要か否かといったことは把握されていると認められる。 Since the new terminal 30 is added because it is needed, it is assumed that the role is clear. Therefore, it is recognized that the administrator of the communication control system 1 is aware of the address 41 and the terminal information 42 and whether or not communication with the terminal 30 of a different group 44 is necessary for the new terminal 30.

以上をまとめると、以下のようになる。
本開示に係る通信制御システムは、複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信部と、
前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と
を備え、
前記複数のエッジ装置それぞれは、
前記分類部によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The above can be summarized as follows.
The communication control system according to the present disclosure is a communication control system including a plurality of edge devices and a master device.
The master device is
An address receiving unit that receives the address of the terminal connected to the edge device from each of the plurality of edge devices, and
It is provided with a classification unit that classifies the address of the terminal received by the address receiving unit into a plurality of groups based on the terminal information of the terminal.
Each of the plurality of edge devices
It is provided with a log acquisition unit that acquires a log of communication between addresses classified into different groups by the classification unit.
The master device further
A setting reception unit that accepts settings for whether or not to allow communication between addresses for which logs have been acquired by the log acquisition unit, and a setting reception unit.
It includes a white list generation unit that generates a white list that permits communication between addresses classified into the same group by the classification unit and communication between addresses set when communication is permitted by the setting reception unit.

前記マスター装置は、さらに、
前記ホワイトリスト生成部によって生成された前記ホワイトリストを、前記複数のエッジ装置それぞれに送信するホワイトリスト送信部
を備え、
前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリスト送信部によって送信された前記ホワイトリストに従い、通信を制御する通信制御部
を備える。 The master device further
A white list transmission unit that transmits the white list generated by the white list generation unit to each of the plurality of edge devices is provided.
Each of the plurality of edge devices further
A communication control unit that controls communication according to the white list transmitted by the white list transmission unit is provided.

前記ログ取得部は、観測期間の間、前記ログを取得し、
前記複数のエッジ装置それぞれは、さらに、
前記観測期間が終わると、前記ログ取得部によって取得された前記ログを前記マスター装置に送信するログ送信部
を備える。 The log acquisition unit acquires the log during the observation period.
Each of the plurality of edge devices further
When the observation period ends, the log transmission unit includes a log transmission unit that transmits the log acquired by the log acquisition unit to the master device.

前記マスター装置は、さらに、
前記分類部によって異なるグループに分類されたアドレス間を指定する検査リストを前記複数のエッジ装置それぞれに送信する検査リスト送信部
を備え、
前記ログ取得部は、前記検査リスト送信部によって送信された前記検査リストによって指定されたアドレス間の通信のログを取得する。 The master device further
It is provided with an inspection list transmission unit that transmits an inspection list that specifies between addresses classified into different groups by the classification unit to each of the plurality of edge devices.
The log acquisition unit acquires a log of communication between addresses specified by the inspection list transmitted by the inspection list transmission unit.

前記ホワイトリスト生成部は、前記複数のエッジ装置のうちのいずれかのエッジ装置に新たな端末が接続され、かつ、前記新たな端末が異なるグループの端末と通信することを許可する場合に、前記ホワイトリストを更新する。 The white list generator is a case where a new terminal is connected to an edge device among the plurality of edge devices and the new terminal is allowed to communicate with a terminal of a different group. Update the white list.

本開示に係るマスター装置は、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受
信するアドレス受信部と、
前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と、
前記分類部によって異なるグループに分類されたアドレス間の通信のログを前記複数のエッジ装置それぞれから受信するログ受信部と、
前記ログ受信部によってログが受信されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The master device according to the present disclosure is
An address receiving unit that receives the address of the terminal connected to the edge device from each of the plurality of edge devices, and
A classification unit that classifies the address of the terminal received by the address receiving unit into a plurality of groups based on the terminal information of the terminal.
A log receiving unit that receives communication logs between addresses classified into different groups by the classification unit from each of the plurality of edge devices, and a log receiving unit.
A setting receiving unit that accepts a setting of whether or not to allow communication between addresses for which logs have been received by the log receiving unit, and a setting receiving unit.
It includes a white list generation unit that generates a white list that permits communication between addresses classified into the same group by the classification unit and communication between addresses set when communication is permitted by the setting reception unit.

本開示に係る通信制御方法は、
マスター装置が、複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信し、
前記マスター装置が、前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類し、
前記複数のエッジ装置それぞれが、異なるグループに分類されたアドレス間の通信のログを取得し、
前記マスター装置が、前記ログが取得されたアドレス間の通信を許可するか否かの設定を受け付け、
前記マスター装置が、同じグループに分類されたアドレス間の通信と、通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成する。 The communication control method according to the present disclosure is
The master device receives the address of the terminal connected to the edge device from each of the plurality of edge devices, and receives the address of the terminal connected to the edge device.
The master device classifies the address of the terminal into a plurality of groups based on the terminal information of the terminal.
Each of the plurality of edge devices acquires a log of communication between addresses classified into different groups, and obtains a log of communication.
The master device accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired.
The master device generates a white list that allows communication between addresses classified in the same group and communication between addresses that are set to allow communication.

本開示に係る通信制御プログラムは、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信処理と、
前記アドレス受信処理によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類処理と、
前記分類処理によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得処理と、
前記ログ取得処理によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付処理と、
前記分類処理によって同じグループに分類されたアドレス間の通信と、前記設定受付処理によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成処理と
を行う通信制御システムとしてコンピュータを機能させる。 The communication control program according to the present disclosure is
Address reception processing for receiving the address of the terminal connected to the edge device from each of the plurality of edge devices, and
A classification process for classifying the address of the terminal received by the address reception process into a plurality of groups based on the terminal information of the terminal, and a classification process.
A log acquisition process for acquiring a log of communication between addresses classified into different groups by the classification process, and a log acquisition process.
Setting acceptance processing that accepts the setting of whether to allow communication between the addresses for which logs have been acquired by the log acquisition process, and
Communication control that performs a white list generation process that generates a white list that allows communication between addresses classified into the same group by the classification process and communication between addresses set to allow communication by the setting reception process. Make your computer function as a system.

以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。 The embodiments and modifications of the present disclosure have been described above. Some of these embodiments and modifications may be combined and carried out. In addition, any one or several may be partially carried out. The present disclosure is not limited to the above embodiments and modifications, and various modifications can be made as necessary.

1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、111 アドレス受信部、112 分類部、113 検査リスト生成部、114 検査リスト送信部、115 ログ受信部、116 設定受付部、117 ホワイトリスト生成部、118 ホワイトリスト送信部、119 端末情報受付部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、211 アドレス取得部、212 端末情報受付部、213 アドレス送信部、214 リスト受信部、215 ログ取得部、216 ログ送信部、217 通信制御部、30 端末、41 アドレス、42 端末情報、43 端末テーブル、44 グループ、45 検査リスト、46 検査用アクセスリスト、47 ログデータ、48 異グループ間通信リスト、49 ホワイトリスト、90 ネットワーク機器。 1 Communication control system, 10 master device, 11 processor, 12 memory, 13 storage, 14 communication interface, 111 address receiver, 112 classification unit, 113 inspection list generator, 114 inspection list transmitter, 115 log receiver, 116 settings Reception unit, 117 white list generation unit, 118 white list transmission unit, 119 terminal information reception unit, 20 edge device, 21 processor, 22 memory, 23 storage, 24 communication interface, 211 address acquisition unit, 212 terminal information reception unit, 213 Address transmitter, 214 list receiver, 215 log acquisition unit, 216 log transmitter, 217 communication control unit, 30 terminals, 41 addresses, 42 terminal information, 43 terminal table, 44 groups, 45 inspection list, 46 inspection access list , 47 log data, 48 intergroup communication list, 49 white list, 90 network equipment.

Claims (9)

複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記複数のエッジ装置それぞれは、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える通信制御システム。 It is a communication control system equipped with a plurality of edge devices and a master device.
Each of the plurality of edge devices
Acquires a log of communication between addresses classified into different groups in a group list in which the addresses of terminals connected to one of the plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal. Equipped with a log acquisition unit
The master device further
A setting reception unit that accepts settings for whether or not to allow communication for which logs have been acquired by the log acquisition unit, and a setting reception unit.
A communication control including a white list generating unit that generates a white list that permits communication between addresses classified into the same group in the group list and communication that is set to allow communication by the setting receiving unit. system. 前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリストに従い通信を制御する通信制御部であって、前記ホワイトリストで許可されていない通信については遮断する通信制御部を備え、
前記ログ取得部は、前記通信制御部により遮断された通信のログを取得し、
前記設定受付部は、前記ログ取得部によってログが取得された通信であって、遮断された通信を許可するか否かの設定を受け付け、
前記ホワイトリスト生成部は、前記設定受付部によって通信を許可すると設定された通信を許可する通信として、前記ホワイトリストに追加することを特徴とする請求項1に記載の通信制御システム。 Each of the plurality of edge devices further
A communication control unit that controls communication according to the white list, and includes a communication control unit that blocks communication that is not permitted by the white list.
The log acquisition unit acquires a log of communication blocked by the communication control unit, and obtains a log of communication.
The setting reception unit accepts a setting of whether or not to allow blocked communication, which is communication for which a log has been acquired by the log acquisition unit.
The communication control system according to claim 1, wherein the white list generation unit is added to the white list as communication that permits communication set to allow communication by the setting reception unit. 前記マスター装置は、さらに、
前記ホワイトリスト生成部によって生成された前記ホワイトリストを、前記複数のエッ
ジ装置それぞれに送信するホワイトリスト送信部
を備え、
前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリスト送信部によって送信された前記ホワイトリストに従い、通信を制御
する通信制御部
を備える請求項1又は2に記載の通信制御システム。 The master device further
A white list transmission unit that transmits the white list generated by the white list generation unit to each of the plurality of edge devices is provided.
Each of the plurality of edge devices further
The communication control system according to claim 1 or 2, further comprising a communication control unit that controls communication according to the white list transmitted by the white list transmission unit. 前記ログ取得部は、観測期間の間、前記ログを取得し、
前記複数のエッジ装置それぞれは、さらに、
前記観測期間が終わると、前記ログ取得部によって取得された前記ログを前記マスター
装置に送信するログ送信部
を備える請求項1から3までのいずれか1項に記載の通信制御システム。 The log acquisition unit acquires the log during the observation period.
Each of the plurality of edge devices further
The communication control system according to any one of claims 1 to 3, further comprising a log transmission unit that transmits the log acquired by the log acquisition unit to the master device when the observation period ends. 前記マスター装置は、さらに、
前記グループリストにおいて異なるグループに分類されたアドレス間を指定する検査リストを前記複数のエッジ装置それぞれに送信する検査リスト送信部
を備え、
前記ログ取得部は、前記検査リスト送信部によって送信された前記検査リストによって
指定されたアドレス間の通信のログを取得する
請求項1から4までのいずれか1項に記載の通信制御システム。 The master device further
It is provided with an inspection list transmission unit that transmits an inspection list that specifies between addresses classified into different groups in the group list to each of the plurality of edge devices.
The communication control system according to any one of claims 1 to 4, wherein the log acquisition unit acquires a log of communication between addresses specified by the inspection list transmitted by the inspection list transmission unit. 前記ホワイトリスト生成部は、前記複数のエッジ装置のうちのいずれかのエッジ装置に
新たな端末が接続され、かつ、前記新たな端末が異なるグループの端末と通信することを
許可する場合に、前記ホワイトリストを更新する
請求項1から5までのいずれか1項に記載の通信制御システム。 The white list generator is a case where a new terminal is connected to an edge device among the plurality of edge devices and the new terminal is allowed to communicate with a terminal of a different group. The communication control system according to any one of claims 1 to 5, which updates the white list. 複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを前記複数のエッジ装置それぞれから受信するログ受信部と、
前記ログ受信部によってログが受信された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストによって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備えるマスター装置。 In the group list in which the addresses of terminals connected to one of a plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal, the plurality of communication logs between the addresses classified into different groups are recorded. The log receiver that receives from each of the edge devices of
A setting receiving unit that accepts a setting of whether or not to allow communication for which a log has been received by the log receiving unit, and a setting receiving unit.
A master device including a white list generating unit that generates a white list that permits communication between addresses classified into the same group by the group list and communication that is set to allow communication by the setting receiving unit. .. 複数のエッジ装置それぞれが、前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得し、
マスター装置が、前記ログが取得されたアドレス間の通信を許可するか否かの設定を受け付け、
前記マスター装置が、前記グループリストにおいて同じグループに分類されたアドレス間の通信と、通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成する通信制御方法。 Each of the plurality of edge devices is an address classified into a different group in a group list in which the address of a terminal connected to one of the plurality of edge devices is classified into a plurality of groups based on the terminal information of the terminal. Get the log of communication between
The master device accepts the setting of whether to allow communication between the addresses from which the log was acquired, and accepts the setting.
A communication control method in which the master device generates a white list that permits communication between addresses classified into the same group in the group list and communication for which a setting to allow communication is accepted. 複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得処理と、
前記ログ取得処理によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付処理と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付処理によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成処理と
を行う通信制御システムとしてコンピュータを機能させる通信制御プログラム。 Acquires a log of communication between addresses classified into different groups in a group list in which the addresses of terminals connected to one of a plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal. Log acquisition process and
Setting acceptance processing that accepts the setting of whether to allow communication between the addresses for which logs have been acquired by the log acquisition process, and
Communication control that performs a white list generation process that generates a white list that permits communication between addresses classified into the same group in the group list and communication for which communication is permitted by the setting reception process. A communication control program that makes a computer function as a system.
JP2021118367A 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program Active JP7086257B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021118367A JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020003790A JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program
JP2021118367A JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020003790A Division JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program

Publications (2)

Publication Number Publication Date
JP2021166414A true JP2021166414A (en) 2021-10-14
JP7086257B2 JP7086257B2 (en) 2022-06-17

Family

ID=77060300

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020003790A Active JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program
JP2021118367A Active JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2020003790A Active JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program

Country Status (1)

Country Link
JP (2) JP6917482B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7209791B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system
JP7209792B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03205933A (en) * 1989-10-19 1991-09-09 Mitsubishi Electric Corp Communication method in lan
JP2002513245A (en) * 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2016171449A (en) * 2015-03-12 2016-09-23 株式会社東芝 White list creation system
JP2018019160A (en) * 2016-07-26 2018-02-01 富士通株式会社 Network controller, and access control method
JP2018093492A (en) * 2016-11-30 2018-06-14 株式会社Lte−X Communication method and relay device

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5021237A (en) 1989-11-27 1991-06-04 The Clorox Company Gel insecticidal compositions
JP4279792B2 (en) * 2005-03-17 2009-06-17 ソフトバンクテレコム株式会社 Communication control system and method
JP2010178089A (en) * 2009-01-29 2010-08-12 Daikin Ind Ltd Remote management system, remote management apparatus and connection device
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
JP6558279B2 (en) * 2016-03-08 2019-08-14 富士通株式会社 Information processing system, information processing apparatus, information processing method, information processing program
US10212577B2 (en) * 2016-11-03 2019-02-19 Hewlett Packard Enterprise Development Lp Roaming on low power wide area networks
JP6655658B2 (en) * 2018-06-01 2020-02-26 西日本電信電話株式会社 Communication destination limitation system, communication destination limitation device, management device, communication destination limitation method, and computer program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03205933A (en) * 1989-10-19 1991-09-09 Mitsubishi Electric Corp Communication method in lan
JP2002513245A (en) * 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2016171449A (en) * 2015-03-12 2016-09-23 株式会社東芝 White list creation system
JP2018019160A (en) * 2016-07-26 2018-02-01 富士通株式会社 Network controller, and access control method
JP2018093492A (en) * 2016-11-30 2018-06-14 株式会社Lte−X Communication method and relay device

Also Published As

Publication number Publication date
JP7086257B2 (en) 2022-06-17
JP2021111905A (en) 2021-08-02
JP6917482B2 (en) 2021-08-11

Similar Documents

Publication Publication Date Title
CN108923908B (en) Authorization processing method, device, equipment and storage medium
JP7086257B2 (en) Communication control system, master device, communication control method and communication control program
US7516228B2 (en) Systems and methods for controlling the number of clients that access a server
CN102713926B (en) Confidential information is revealed and is prevented system and method
US20020146002A1 (en) Network administration apparatus, network administrating program, network administrating method and computer network system
US20130067470A1 (en) Virtual Machine Monitoring Method, System and Computer Readable Storage Medium
KR100954370B1 (en) Software execution management device and method thereof
US20200220724A1 (en) Key management device, and communication apparatus
US11552953B1 (en) Identity-based authentication and access control mechanism
CN108763963B (en) Distributed processing method, device and system based on data access authority
US20040205375A1 (en) Method and apparatus for testing network system, and computer-readable medium encoded with program for testing network system
EP3896931B1 (en) Spark shuffle-based remote direct memory access system and method
CN110932982B (en) Maintenance method and device of hardware routing table
US10981523B2 (en) In-vehicle network system and communication setting method
US20170118197A1 (en) Sharing data between sandboxed applications with certificates
US8938400B2 (en) Apparatus, system, and method for checking the health of encryption key managers
CN107919959B (en) Method, system, apparatus, and computer-readable storage medium for authentication of a new device by a trusted device
CN114740820A (en) Vehicle diagnosis processing method and device
KR20220016692A (en) System for processing diagnosis message of vehicle and method thereof
KR102128832B1 (en) Network interface apparatus and data processing method for network interface apparauts thereof
CN113472715A (en) Data transmission method and device
JP2020191614A (en) Information processor, information processing method and program
US20240095378A1 (en) Method for encrypting security-relevant data in a vehicle
US8015154B1 (en) Starting database software in response to a broadcast message
JP2003223444A (en) Computer system and program to control computer system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210719

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220607

R150 Certificate of patent or registration of utility model

Ref document number: 7086257

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150