JP2023047950A - Master device, communication control method, communication control program, and communication control system - Google Patents
Master device, communication control method, communication control program, and communication control system Download PDFInfo
- Publication number
- JP2023047950A JP2023047950A JP2021157156A JP2021157156A JP2023047950A JP 2023047950 A JP2023047950 A JP 2023047950A JP 2021157156 A JP2021157156 A JP 2021157156A JP 2021157156 A JP2021157156 A JP 2021157156A JP 2023047950 A JP2023047950 A JP 2023047950A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- policy
- master device
- terminal
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 169
- 238000000034 method Methods 0.000 title claims description 38
- 238000012545 processing Methods 0.000 claims description 33
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000007689 inspection Methods 0.000 claims description 24
- 230000008859 change Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 description 31
- 238000003860 storage Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 15
- 230000015654 memory Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000012986 modification Methods 0.000 description 9
- 230000004048 modification Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 238000000605 extraction Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000014759 maintenance of location Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本開示は、端末間の通信を制御する技術に関する。 The present disclosure relates to technology for controlling communication between terminals.
ネットワークセキュリティ機器により、ネットワークセキュリティ機器に接続された端末の通信の制御がされる。この制御は、データの送信元の端末のIP(Internet
Protocol)アドレスと、データの送信先の端末のIPアドレスとの組合せに対して、通信を許可するか否かを事前に設定しておくことにより、実現されている。
A network security device controls communication of a terminal connected to the network security device. This control is based on the IP (Internet
This is achieved by setting in advance whether or not to permit communication for a combination of the IP address of the data destination terminal and the IP address of the data destination terminal.
特許文献1には、ネットワーク内に複数のグループを定義し、グループの識別子を用いてグループ間の通信を制御することが記載されている。
IPアドレスの組合せ毎に通信を許可するか否かを設定する作業は、煩雑で時間がかかる。特許文献1には、グループ間の通信を制御することは記載されているものの、グループ間の通信の制御をどのように設定するかについては記載されていない。グループの組合せ毎に通信を許可するか否かを設定する作業は、IPアドレスの組合せ毎に通信を許可するか否かを設定する作業ほどではないものの、時間がかかる。
本開示は、設定に係る作業負担を軽減可能にすることを目的とする。
The task of setting whether or not to permit communication for each combination of IP addresses is complicated and takes time. Although
An object of the present disclosure is to make it possible to reduce the work load associated with setting.
本開示に係るマスター装置は、
ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定部であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備える。
The master device according to the present disclosure is
A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A policy setting unit that accepts a designation of whether or not to set the policy.
本開示では、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシーを設定する。これにより、設定に係る作業負担を軽減可能である。 In the present disclosure, a policy is set by receiving a specification as to whether or not communication between the same group is permitted, and communication between different groups is permitted. As a result, it is possible to reduce the work load related to setting.
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30としては、IT(Information Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。
*** Configuration description ***
A configuration of a
A
The
図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
A configuration of the
The
マスター装置10は、機能構成要素として、アドレス受信部111と、端末抽出部112と、端末分類部113と、ポリシー設定部114と、設定送信部115とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。
The
The
図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
The configuration of the
The
エッジ装置20は、機能構成要素として、アドレス取得部211と、アドレス送信部212と、設定受信部213と、通信制御部214と、ログ取得部215とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。
The
The
プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
The
Processing Unit), DSP (Digital Signal Processor), and GPU (Graphics Processing Unit).
メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
The
ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
The
通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。
***動作の説明***
図4から図13を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。
***Description of operation***
The operation of the
The operation procedure of the
図4を参照して、実施の形態1に係る通信制御システム1の全体的な動作を説明する。
(ステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、エッジ装置20と同じネットワーク内に接続された端末30のアドレス41を取得する。同じネットワークとは、同じネットワークアドレスを持つネットワークを指す。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、アドレス取得部211は、図5に示すように、端末30のアドレス41として、IPアドレス及びMAC(Media Access Control)アドレスを取得する。
Overall operation of the
(Step S11: Address Acquisition Processing)
The
Here, the
各エッジ装置20のアドレス送信部212は、端末情報42を付加したアドレス41をマスター装置10に送信する。
ここでは、アドレス送信部212は、図5に示すように、端末情報42として、グループ名と、端末名称と、エッジ装置名と、備考とを付加する。グループ名は、端末30が属するグループの識別名称であり、ここでは未分類と設定される。端末名称は、端末30を特定し易くするための名称であり、ここではMACアドレスが設定される。エッジ装置名は、端末30が接続されたネットワークに接続されているエッジ装置20の識別名称であり、ここではアドレス送信部212を備えるエッジ装置20の名称が設定される。備考は、端末30を特定し易くするための情報であり、ここではメーカ情報が設定される。メーカ情報は、MACアドレスの企業コードから特定される製造メーカのメーカ名といったメーカを識別可能な情報である。
The
Here, as shown in FIG. 5, the
(ステップS12:分類処理)
マスター装置10のアドレス受信部111は、ステップS11で送信された、端末情報42が付加されたアドレス41を受信する。複数のエッジ装置20から同じ端末30のアドレス41が送信される場合がある。この場合には、アドレス受信部111は、重複がなくなるように同じ端末30のアドレス41を1つだけ残し、残りは削除する。
すると、マスター装置10の端末抽出部112は、受信されたアドレス41のうち、各グループ43に属するアドレス41を示すグループリスト44に存在しないアドレスが示す端末30を未分類端末31として抽出する。そして、マスター装置10の端末分類部113は、未分類端末31に関する情報を表示して、未分類端末31が属するグループ43を指定させる。
これにより、未分類端末31がいずれかのグループに分類され、グループリスト44が更新される。
(Step S12: Classification process)
The
Then, the
As a result, the unclassified terminal 31 is classified into one of the groups, and the
(ステップS13:ポリシー設定処理)
マスター装置10のポリシー設定部114は、図6に示すように、グループ間の通信を制御するためのポリシー45を設定する。この際、ポリシー設定部114は、同一のグループ間の通信については自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。また、ポリシー設定部114は、異なるグループ間の通信についてはログを取得するか否かの指定を受け付けてポリシー45を設定する。
マスター装置10の設定送信部115は、ポリシー45を複数のエッジ装置20それぞれに送信する。
(Step S13: Policy setting process)
The
The setting
(ステップS14:通信制御処理)
各エッジ装置20の設定受信部213は、ステップS13で送信されたポリシー45を受信する。各エッジ装置20の通信制御部214は、ポリシー45に基づき、端末30間の通信を制御する。また、ログ取得部215は、ポリシー45でログを取得することが設定されている場合には、通信のログを取得する。
(Step S14: communication control processing)
The
例えば、図6に示すポリシー45が設定されているとする。そして、エッジ装置20が、送信元のIPアドレスがITグループに属するものであり、送信先のIPアドレスがDMZグループに属するものであり、通信プロトコルがXXXであるデータを受信したとする。この場合には、設定受信部213は、ポリシー1に合致すると判定して、通信を許可する。また、ログ取得部215は、通信のログを取得する。
For example, assume that the
通信制御システム1を導入する際には、ステップS11からステップS14までの処理が順に実行される。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
When the
After that, the process of step S14 is continuously executed, and communication between the
図7を参照して、実施の形態1に係る分類処理(図4のステップS12)を説明する。 (ステップS21:アドレス受信処理)
アドレス受信部111は、ステップS11で各エッジ装置20から送信された、端末情報42が付加されたアドレス41を受信する。図8に示すように、各エッジ装置20で収集されたアドレス41及び端末情報42がマスター装置10に集約される。
The classification process (step S12 in FIG. 4) according to the first embodiment will be described with reference to FIG. (Step S21: Address reception processing)
The
(ステップS22:端末抽出処理)
端末抽出部112は、ステップS21で受信されたアドレス41のうち、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。グループリスト44は、複数のエッジ装置20のうちのいずれかのエッジ装置20に接続された端末30を分類したグループ43であって、通信の制御を行うためのグループ43を示す。この際、端末抽出部112は、過去に受信したアドレス41に分類がされていないアドレス41がある場合には、このアドレス41が示す端末30についても未分類端末31として抽出する。
(Step S22: terminal extraction process)
The
ここでは、図9の(A)に示すアドレス41が受信されたとする。また、図9の(B)に示すグループリスト44がストレージ13に記憶されているとする。すると、図9の(C)のように未分類端末31が抽出される。
つまり、グループリスト44に存在しない、又は、分類がされていない2つの端末30が未分類端末31として抽出される。
Here, it is assumed that address 41 shown in FIG. 9A is received. It is also assumed that the
That is, two
(ステップS23:一覧表示処理)
図10に示すように、端末分類部113は、未分類端末31に関する情報を一覧表示する。ここでは、未分類端末31に関する情報は、アドレス41と、端末情報42のうちの端末名称とエッジ装置名と備考とである。つまり、未分類端末31に関する情報として、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名が表示される。また、未分類端末31に関する情報として、MACアドレスから特定される未分類端末31の製造メーカを示すメーカ情報が表示される。
なお、アドレス41と端末名称とエッジ装置名と備考とのうち、一部の情報だけを一覧表示しておき、カーソルが合わせられるといった操作がされた場合に、残りの情報を表示するようにしてもよい。
(Step S23: list display processing)
As shown in FIG. 10 , the
Of the address 41, the terminal name, the edge device name, and the remarks, only a part of the information is displayed in a list, and the rest of the information is displayed when the cursor is moved. good too.
(ステップS24:端末分類処理)
端末分類部113は、未分類端末31が属するグループ43をユーザに指定させる。ユーザは、例えば通信制御システム1の管理者等である。具体的には、図10に示すグループ43の指定欄でラジオボタンを選択させることにより、未分類端末31が属するグループ43を指定させる。指定欄による選択はユーザによって行われる。つまり、端末分類部113は、指定可能な前記グループを表示して選択的に指定させる。これにより、端末分類部113は、グループリスト44を更新する。
この際、端末分類部113は、グループ43の指定だけでなく、未分類端末31の端末名称と、未分類端末31に関連する関連情報が登録される備考との少なくともいずれかの情報の変更を受け付けてもよい。未分類端末31の端末名称及び備考は、未分類端末31を識別するために利用される。ここで適切な情報が入力されることにより、後日グループ43の分類を見直す際等に、作業を容易に行うことが可能になる。
(Step S24: terminal classification process)
The
At this time, the
図11を参照して、実施の形態1に係るポリシー設定処理(図4のステップS13)を説明する。
(ステップS31:一覧表示処理)
図12に示すように、ポリシー設定部114は、異なるグループ間の通信について設定済のポリシー45を一覧表示する。
The policy setting process (step S13 in FIG. 4) according to the first embodiment will be described with reference to FIG.
(Step S31: list display processing)
As shown in FIG. 12, the
(ステップS32:ポリシー設定処理)
ポリシー設定部114は、異なるグループ間のポリシー45の追加、変更、削除等の入力を受け付ける。ポリシー45の追加、変更、削除等の入力はユーザによって行われる。具体的には、ポリシー設定部114は、図12の追加ボタン又は変更ボタンが押下されると、ポリシー45を追加するための入力画面を表示する。図13に示すように、この入力画面では、データの送信元のグループ及びデータの送信先のグループと、通信プロトコル及び送信先のポート番号と、通信を許可するか否かと、ログを取得するか否かとの指定ができるようになっている。通信を許可するか否かは、アクションの欄で許可又は拒否を選択することにより指定される。また、この入力画面では、ポリシー45を有効にするか否かの指定ができるようになっている。図12の追加ボタンが押下された場合には、図13に示す入力画面が、デフォルト値が示された状態で表示される。図12の変更ボタンが押下された場合には、図13に示す入力画面が、変更前のポリシー45の設定が示された状態で表示される。
ポリシー設定部114は、入力画面に入力された情報に従い、ポリシー45を設定する。入力画面では通信プロトコルの指定が可能になっているため、異なるグループ間の通信について、通信プロトコルに応じて通信を許可するか否かを指定してポリシー45が設定可能である。通信プロトコルとは、TCP(Transmission Control
Protocol)、UDP(User Datagram Protocol)等である。また、入力画面では通信プロトコルが指定されたときに、ポート単位に通信を許可するか否かの指定が可能になっているため、異なるグループ間の通信について、ポートに応じて通信を許可するか否かを指定してポリシー45が設定可能である。また、入力画面ではログを取得するか否かの指定が可能になっているため、通信の制御とは別に、異なるグループ間の通信について、通信のログを取得するか否かの指定を受け付けてポリシー45が設定可能である。
(Step S32: Policy setting process)
The
The
Protocol), UDP (User Datagram Protocol), and the like. In addition, when the communication protocol is specified on the input screen, it is possible to specify whether or not to allow communication for each port, so whether communication between different groups is allowed according to the port The
なお、ポリシー設定部114は、ポリシー45について設定した設定データを読み込んで、ポリシー45の設定をしてもよい。設定データを読み込んでポリシー45の設定をした上で、ポリシー設定部114は、ポリシー45の追加、変更、削除等の入力を受け付けてもよい。
Note that the
(ステップS33:ポリシー送信処理)
設定送信部115は、ステップS32で設定されたポリシー45を、各エッジ装置20に送信する。
(Step S33: Policy transmission processing)
The setting
***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1は、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。これにより、通信制御システム1のユーザが、多くの端末30の中から、グループ43への分類が必要な端末30を探す手間が省け、簡便に端末30のグループ43への分類を行うことが可能である。
*** Effect of
As described above, the
また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、必要な情報を1つの画面にまとめて表示する。これにより、様々な画面を表示させて分類を検討する必要がなくなり、グループの分類を指定する際の操作ミス及び指定ミスを防止することができる。
Further, the
また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名を表示する。これにより、接続予定でない端末30が接続されたこと等の特定が容易になり、不正な端末30を早期発見することが可能である。
Further, the
また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、MACアドレスから特定されるメーカ情報を表示する。これにより、未分類端末31がどの端末30であるかを特定し易くなり、グループ43への分類を行いやすくなる。
Further, the
また、実施の形態1に係る通信制御システム1は、同一のグループ間の通信についてはマスター装置10側で自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。これにより、異なるグループ間の通信についてだけ許可するか否かを設定すればよく、設定に係る作業負担を軽減可能である。運用前にグループ間の通信制御のポリシー45を作成することにより、通信制御の設定に時間を割くことなく運用開始できる。また、ポリシー45が複雑化しないため、管理が容易になり、セキュアなネットワークを構築し易くなる。
Further, the
また、実施の形態1に係る通信制御システム1は、通信プロトコルに応じて通信を許可するか否かの指定を受け付けてポリシーを設定する。また、実施の形態1に係る通信制御システム1は、通信プロトコルが指定されたときに、ポートに応じて通信を許可するか否かの指定を受け付けてポリシーを設定する。これにより、通信の適切な制御を実現可能である。
Further, the
また、実施の形態1に係る通信制御システム1は、異なるグループ間の通信のログを取得するか否かの指定を受け付けてポリシー45を設定する。これにより、一部のグループ間については、通信を許可しつつ、ログを取得しておき、通信内容を監視するといった対応を取ることも可能である。
In addition, the
また、実施の形態1に係る通信制御システム1は、ポリシー45を一覧表示する。そして、必要に応じて一覧表示した画面の変更ボタンを押下することにより、ポリシー45の変更が可能である。これにより、ポリシー45を変更した際の変更ミスを減らすことが可能である。また、ポリシー45の管理が容易になる。
Further, the
***他の構成***
<変形例1>
実施の形態1では、マスター装置10とエッジ装置20とを異なる機能を有する装置として説明した。しかし、マスター装置10の機能とエッジ装置20の機能との両方を備える装置を複数用意しておき、いずれか1つをマスター装置10とし、残りをエッジ装置20として通信制御システム1を構成してもよい。
また、マスター装置10がエッジ装置20の機能を有していてもよい。マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10が同じネットワークに接続された端末30のアドレス41を取得する。マスター装置10がアドレス41を取得した場合には、エッジ装置名としてマスター装置10の装置名が付加される。また、マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10は、エッジ装置20と同様に、ポリシー45に基づき、端末30間の通信を制御する。
***Other Configurations***
<
In the first embodiment, the
Also, the
<変形例2>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例2として、各機能構成要素はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
<
In
各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
When each functional component is implemented by hardware, the
Similarly, when each functional component is implemented by hardware, the
電子回路15としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
The electronic circuit 15 includes a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA (Gate Array), an ASIC (Application Specific Integrated Circuit), and an FPGA (Field-Programmable Gate Array). is assumed.
Each functional component may be implemented by one electronic circuit 15, or each functional component may be implemented by being distributed among a plurality of electronic circuits 15. FIG.
<変形例3>
変形例3として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
<Modification 3>
As a modified example 3, some functional components may be implemented by hardware, and other functional components may be implemented by software.
プロセッサ11とメモリ12とストレージ13と電子回路15とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
The
実施の形態2.
実施の形態2は、検査用ポリシー46を設定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
***動作の説明***
図14から図17を参照して、実施の形態2に係る通信制御システム1の動作を説明する。
実施の形態2に係る通信制御システム1の動作手順は、実施の形態2に係る通信制御方法に相当する。また、実施の形態2に係る通信制御システム1の動作を実現するプログラムは、実施の形態2に係る通信制御プログラムに相当する。
***Description of operation***
The operation of the
The operation procedure of the
図14を参照して、実施の形態2に係る通信制御システム1の全体的な動作を説明する。
ステップS41からステップS42の処理は、図4のステップS11からステップS12の処理と同じである。
Overall operation of the
The processing from step S41 to step S42 is the same as the processing from step S11 to step S12 in FIG.
(ステップS43:ポリシー設定処理)
マスター装置10のポリシー設定部114は、図15に示すように、グループ間の通信を制御するためのポリシー45を設定する。ここでは、検査用ポリシー46を含むポリシー45が設定される点が図4のステップS13の処理と異なる。検査用ポリシー46は、異なるグループ間について、通信を全て許可するとともに、ログを取得するように設定されたポリシー45である。
(Step S43: Policy setting process)
The
(ステップS44:検査処理)
ステップS44の処理は、図4のステップS14の処理と同様である。但し、検査用ポリシー46が設定された状態において実行される点が異なる。ステップS44の処理が実行されることにより、異なるグループ間の通信のログが取得される。ステップS44の処理が実行される期間を検査期間と呼ぶ。検査期間は、事前に設定される、又は、指示がされるまで継続する。
図15のようにポリシー45が設定されているとする。なお、ポリシー45は優先度の高い順に設定されている。ポリシー45の優先度はユーザが変更できる。この場合には、上のポリシー45から順に通信が対応しているか否かが判定される。つまり、送信元のグループと、送信先のグループと、通信プロトコルとによって、上のポリシー45から順にポリシーに当てはまる通信かが判定される。例えば、ポリシー2に対応する通信の場合には、ポリシー2が適用され、通信が許可されるとともにログが取得されない。また、ポリシー3に対応する通信の場合には、ポリシー3が適用され、通信が拒否されるとともにログが取得される。有効になっているポリシー1からポリシー3に対応していない場合には、検査用ポリシー46が適用され、通信が許可されるとともにログが取得される。
つまり、検査用ポリシー46よりも上に設定されたポリシー45が適用される場合には、検査用ポリシー46は適用されない。
(Step S44: inspection processing)
The processing of step S44 is the same as the processing of step S14 in FIG. However, it differs in that it is executed in a state where the
Assume that the
That is, when the
(ステップS45:ログ収集処理)
各エッジ装置20のログ取得部215は、ステップS44で取得されたログをマスター装置10に送信する。マスター装置10の端末分類部113は、ログを受信する。
(Step S45: Log collection process)
The
(ステップS46:分類変更処理)
図16に示すように、マスター装置10の端末分類部113は、ステップS45で収集されたログを一覧表示する。
ログには、アクションと、送信元名称と、送信元IPアドレスと、送信先名称と、送信先IPアドレスと、通信プロトコルといった情報が含まれる。アクションは、通信が許可されたか否かを示す。送信元名称は、送信元の端末30の端末名称である。送信元IPアドレスは、送信元の端末30のIPアドレスである。送信先名称は、送信先の端末30の端末名称である。送信先IPアドレスは、送信先の端末30のIPアドレスである。通信プロトコルは、使用された通信プロトコルである。なお、ログには、他の情報が含まれてもよい。
(Step S46: Classification change processing)
As shown in FIG. 16, the
The log includes information such as action, source name, source IP address, destination name, destination IP address, and communication protocol. Action indicates whether or not communication is permitted. The sender name is the terminal name of the terminal 30 that is the sender. The source IP address is the IP address of the terminal 30 that is the source. The destination name is the terminal name of the
そして、端末分類部113は、ログが示す通信におけるデータの送信元の端末30と送信先の端末30との少なくともいずれかの端末30が属するグループ43を変更させる。具体的には、端末分類部113は、図16に示す対象のログについての通信制御ボタンが押下されると、図17に示すように、対象のログが示す通信における送信元と送信先との少なくともいずれかの端末30が属するグループ43を変更させる変更画面を表示する。そして、送信元と送信先との少なくともいずれかの端末30が属するグループ43の指定を受け付ける。
Then, the
(ステップS47:ポリシー変更処理)
検査期間が終了すると、ユーザによって検査用ポリシー46が無効に設定される。
(Step S47: Policy change processing)
When the inspection period ends, the user sets the
ステップS48の処理は、図4のステップS14の処理と同じである。 The processing of step S48 is the same as the processing of step S14 in FIG.
検査期間が終了し、検査用ポリシー46が無効に設定された後は、図4のステップS11からステップS14までの処理が順に実行される。そして、図13のような入力画面でポリシー45の設定がされる。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
After the inspection period has ended and the
After that, the process of step S14 is continuously executed, and communication between the
***実施の形態2の効果***
以上のように、実施の形態2に係る通信制御システム1は、検査用ポリシー46を設定して、一時的に他のポリシー45に該当しない全てのグループ43間の通信を許可して、ログを収集する。そして、ログに基づき端末30が属するグループ43を変更させる。
これにより、既に稼働しているネットワークに対して、通信制御システム1の技術を適用する場合にも、既存の処理の動作が阻害されることを抑制可能である。
*** Effect of
As described above, the
As a result, even when applying the technology of the
既に稼働しているネットワークに対して、通信制御システム1の技術を適用するとする。この場合には、既に端末30間で通信が行われており、通信制御システム1の技術を適用して通信が制限されることで、既存の処理が正しく動作しなくなる恐れがある。そこで、検査用ポリシー46を設定して、一時的に全ての通信を許可する等して、既存の処理が正しく動作する状態にする。そして、この間に検査用ポリシー46が適用されて許可された通信についてログを収集しておく。その後、ログを参照して、端末30が属するグループを変更することにより、検査用ポリシー46を無効にしても、既存の処理が正しく動作するようにできる。
Assume that the technology of the
上述した通り、検査用ポリシー46よりも上に設定されたポリシー45が適用される場合には、検査用ポリシー46は適用されない。そのため、既存の処理の動作が阻害されることがないポリシー45が分かっている場合には、検査用ポリシー46とともに他のポリシー45も設定可能である。例えば、既存の処理の動作が阻害されることがなく、許可すべきでない通信については、拒否するポリシー45を、検査用ポリシー46とともに設定することが考えられる。これにより、明らかに拒否すべき通信については拒否しつつ、検討すべき通信についてのログを収集することが可能である。
As described above, when the
未稼働のネットワークに対して通信制御システム1の技術を適用する。この場合、検査用ポリシー46のみが適用される状態でネットワークを稼働させることにより、ネットワーク内で発生する全ての通信のログを収集することが可能である。また、ログを参照して端末30が属するグループ43を変更することで通信の制御を設定できるので、作業負担を軽減できる。
The technology of the
なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。 Note that "unit" in the above description may be read as "circuit", "process", "procedure", "process", or "processing circuit".
以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。 The embodiments and modifications of the present disclosure have been described above. Some of these embodiments and modifications may be combined and implemented. Also, any one or some may be partially implemented. It should be noted that the present disclosure is not limited to the above embodiments and modifications, and various modifications are possible as necessary.
1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、111 アドレス受信部、112 端末抽出部、113 端末分類部、114 ポリシー設定部、115 設定送信部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、25 電子回路、211 アドレス取得部、212 アドレス送信部、213 設定受信部、214 通信制御部、215 ログ取得部、30 端末、31 未分類端末、41 アドレス、42 端末情報、43 グループ、44 グループリスト、45 ポリシー、46 検査用ポリシー。 1 communication control system, 10 master device, 11 processor, 12 memory, 13 storage, 14 communication interface, 15 electronic circuit, 111 address reception unit, 112 terminal extraction unit, 113 terminal classification unit, 114 policy setting unit, 115 setting transmission unit , 20 edge device, 21 processor, 22 memory, 23 storage, 24 communication interface, 25 electronic circuit, 211 address acquisition unit, 212 address transmission unit, 213 setting reception unit, 214 communication control unit, 215 log acquisition unit, 30 terminal, 31 unclassified terminal, 41 address, 42 terminal information, 43 group, 44 group list, 45 policy, 46 inspection policy.
Claims (11)
を備えるマスター装置。 A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A master device comprising a policy setting unit that accepts a designation of whether or not to set the policy.
請求項1に記載のマスター装置。 2. The master device according to claim 1, wherein the policy setting unit accepts designation of whether or not to permit communication according to a communication protocol and sets a policy for communication between different groups.
請求項2に記載のマスター装置。 3. The master device according to claim 2, wherein for communication between different groups, when a communication protocol is specified, the policy setting unit accepts a specification as to whether or not to permit communication according to a port and sets the policy. .
請求項1から3までのいずれか1項に記載のマスター装置。 4. The master device according to any one of claims 1 to 3, wherein the policy setting unit receives a designation as to whether or not to obtain a communication log for communication between different groups, and sets the policy.
請求項1から4までのいずれか1項に記載のマスター装置。 5. Any one of claims 1 to 4, wherein said policy setting unit displays an input screen for accepting designation of whether or not to permit communication between different groups, and sets information input on said input screen to said policy. 1. A master device according to claim 1.
前記ポリシー設定部によって設定された前記ポリシーを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信部
を備える請求項1から5までのいずれか1項に記載のマスター装置。 The master device further
6. The master according to any one of claims 1 to 5, further comprising a setting transmission unit that transmits the policy set by the policy setting unit to each of a plurality of edge devices to control communication based on the policy. Device.
通信のログを表示して、前記ログが示す通信におけるデータの送信元と送信先との少なくともいずれかの端末が属するグループの変更を受け付ける端末分類部
を備える請求項1から6までのいずれか1項に記載のマスター装置。 The master device further
7. Any one of claims 1 to 6, further comprising a terminal classification unit that displays a communication log and accepts a change of the group to which at least one of the terminal of the transmission source and the transmission destination of the data in the communication indicated by the log belongs. A master device as described above.
請求項1から7までのいずれか1項に記載のマスター装置。 During the inspection period, the policy setting unit permits communication between all different groups that do not fall under other policies, and accepts and inspects a specification to acquire a log of communication between all different groups. 8. The master device according to any one of claims 1 to 7, wherein a usage policy is set as said policy.
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。 Policy setting processing for setting a policy for controlling communication between groups in which terminals connected to a network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A communication control program that causes a computer to function as a master device that accepts a designation of whether or not and performs policy setting processing for setting the policy.
前記マスター装置は、
ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定部であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部と、
前記ポリシー設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部
を備える通信制御システム。 A communication control system comprising a plurality of edge devices and a master device,
The master device
A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted a policy setting unit that receives a specification of whether or not to set the policy;
a setting transmission unit that transmits the policy set by the policy setting unit to each of the plurality of edge devices;
Each of the plurality of edge devices,
A communication control system comprising a communication control unit that controls communication between terminals based on the policy transmitted by the setting transmission unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021157156A JP7209791B1 (en) | 2021-09-27 | 2021-09-27 | Master device, communication control method, communication control program and communication control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021157156A JP7209791B1 (en) | 2021-09-27 | 2021-09-27 | Master device, communication control method, communication control program and communication control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP7209791B1 JP7209791B1 (en) | 2023-01-20 |
JP2023047950A true JP2023047950A (en) | 2023-04-06 |
Family
ID=84974988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021157156A Active JP7209791B1 (en) | 2021-09-27 | 2021-09-27 | Master device, communication control method, communication control program and communication control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7209791B1 (en) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH03205933A (en) * | 1989-10-19 | 1991-09-09 | Mitsubishi Electric Corp | Communication method in lan |
JPH10243021A (en) * | 1997-02-21 | 1998-09-11 | Nippon Telegr & Teleph Corp <Ntt> | Destination selection type address resolution method and device therefor |
JP2002513245A (en) * | 1998-04-27 | 2002-05-08 | インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション | Establish a connection in the network |
JP2003316745A (en) * | 2002-04-23 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Access control system and access right managing method |
JP2006352754A (en) * | 2005-06-20 | 2006-12-28 | Kddi Corp | Peer-to-peer communication control apparatus and computer program |
US20080022357A1 (en) * | 2005-08-20 | 2008-01-24 | Ankit Agarwal | Assessing network and device compliance with security policies |
JP2009232314A (en) * | 2008-03-25 | 2009-10-08 | Nec Corp | Vlan design supporting system, vlan design supporting method, and vlan design supporting program |
JP2018125669A (en) * | 2017-01-31 | 2018-08-09 | 株式会社日立製作所 | Device for monitoring transmission packet |
JP2021111905A (en) * | 2020-01-14 | 2021-08-02 | 三菱電機株式会社 | Communication control system, master device, communication control method, and communication control program |
-
2021
- 2021-09-27 JP JP2021157156A patent/JP7209791B1/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH03205933A (en) * | 1989-10-19 | 1991-09-09 | Mitsubishi Electric Corp | Communication method in lan |
JPH10243021A (en) * | 1997-02-21 | 1998-09-11 | Nippon Telegr & Teleph Corp <Ntt> | Destination selection type address resolution method and device therefor |
JP2002513245A (en) * | 1998-04-27 | 2002-05-08 | インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション | Establish a connection in the network |
JP2003316745A (en) * | 2002-04-23 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Access control system and access right managing method |
JP2006352754A (en) * | 2005-06-20 | 2006-12-28 | Kddi Corp | Peer-to-peer communication control apparatus and computer program |
US20080022357A1 (en) * | 2005-08-20 | 2008-01-24 | Ankit Agarwal | Assessing network and device compliance with security policies |
JP2009232314A (en) * | 2008-03-25 | 2009-10-08 | Nec Corp | Vlan design supporting system, vlan design supporting method, and vlan design supporting program |
JP2018125669A (en) * | 2017-01-31 | 2018-08-09 | 株式会社日立製作所 | Device for monitoring transmission packet |
JP2021111905A (en) * | 2020-01-14 | 2021-08-02 | 三菱電機株式会社 | Communication control system, master device, communication control method, and communication control program |
Also Published As
Publication number | Publication date |
---|---|
JP7209791B1 (en) | 2023-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11522835B2 (en) | Context based firewall service for agentless machines | |
CN114902627B (en) | Defining wide area network policies for internet of things endpoint automation software | |
US8332431B2 (en) | Configuration information management apparatus, configuration information management program, and configuration information management method | |
US9013743B2 (en) | Data processing apparatus, data processing system, and computer-readable storage medium | |
JP7209792B1 (en) | Master device, communication control method, communication control program and communication control system | |
US9811279B2 (en) | Securing physical-storage-media data transfers | |
US20100131950A1 (en) | Storage system and virtual interface management method | |
DE112012003808T5 (en) | Determine the migration of the network adapter hardware health in a healthful environment | |
TW201401092A (en) | Method, computer system and program product for dynamically adjusting log level of a transaction | |
JP2009017298A (en) | Data analysis apparatus | |
US10621070B2 (en) | Information processing system and updating method | |
US20130263222A1 (en) | Computer system and security management method | |
CN106506302A (en) | Support the communicator of dynamic MODBUS agreements mapping | |
WO2023249763A1 (en) | Firewall rule and data flow analysis and modification | |
JP7209791B1 (en) | Master device, communication control method, communication control program and communication control system | |
US20020129132A1 (en) | Network management apparatus, network communication apparatus, network communication program, network communication method and computer network system | |
US10367781B2 (en) | Information processing apparatus, method of controlling the same, and storage medium | |
US20200110899A1 (en) | Screen capturing and masking system and method | |
JP2018526700A (en) | System and method for content storage and retrieval | |
US9300631B2 (en) | Information processing system, information processing apparatus, apparatus, and non-transitory computer readable medium storing information processing program | |
JP2022050655A (en) | Business management device, business management method and business management program | |
JP7573693B1 (en) | Edge device, communication control method, communication control program, and communication control system | |
JP7573692B1 (en) | Master device, communication control method, communication control program, and communication control system | |
WO2023073952A1 (en) | Security analysis device, security analysis method, and computer-readable recording medium | |
CN113076273B (en) | Component access method, device, electronic equipment, storage medium and program product |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220927 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7209791 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |