JP2023047950A - Master device, communication control method, communication control program, and communication control system - Google Patents

Master device, communication control method, communication control program, and communication control system Download PDF

Info

Publication number
JP2023047950A
JP2023047950A JP2021157156A JP2021157156A JP2023047950A JP 2023047950 A JP2023047950 A JP 2023047950A JP 2021157156 A JP2021157156 A JP 2021157156A JP 2021157156 A JP2021157156 A JP 2021157156A JP 2023047950 A JP2023047950 A JP 2023047950A
Authority
JP
Japan
Prior art keywords
communication
policy
master device
terminal
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021157156A
Other languages
Japanese (ja)
Other versions
JP7209791B1 (en
Inventor
有佑 木村
Yusuke Kimura
敏之 木村
Toshiyuki Kimura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021157156A priority Critical patent/JP7209791B1/en
Application granted granted Critical
Publication of JP7209791B1 publication Critical patent/JP7209791B1/en
Publication of JP2023047950A publication Critical patent/JP2023047950A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To make it possible to reduce the work burden required for communication control settings in a network.SOLUTION: A master device 10 sets a policy for controlling communication between groups into which terminals 30 connected any of edge devices 20 among the plurality of edge devices 20 are classified. The master device 10 permits communication between the same groups, accepts an indication as to whether to permit regarding communication between different groups, and sets the policy. Each of the edge devices 20 controls communication between the terminals 30 based on the policy set by the master device 10.SELECTED DRAWING: Figure 1

Description

本開示は、端末間の通信を制御する技術に関する。 The present disclosure relates to technology for controlling communication between terminals.

ネットワークセキュリティ機器により、ネットワークセキュリティ機器に接続された端末の通信の制御がされる。この制御は、データの送信元の端末のIP(Internet
Protocol)アドレスと、データの送信先の端末のIPアドレスとの組合せに対して、通信を許可するか否かを事前に設定しておくことにより、実現されている。
A network security device controls communication of a terminal connected to the network security device. This control is based on the IP (Internet
This is achieved by setting in advance whether or not to permit communication for a combination of the IP address of the data destination terminal and the IP address of the data destination terminal.

特許文献1には、ネットワーク内に複数のグループを定義し、グループの識別子を用いてグループ間の通信を制御することが記載されている。 Patent Literature 1 describes defining a plurality of groups in a network and controlling communication between groups using group identifiers.

特開平11-112559号公報JP-A-11-112559

IPアドレスの組合せ毎に通信を許可するか否かを設定する作業は、煩雑で時間がかかる。特許文献1には、グループ間の通信を制御することは記載されているものの、グループ間の通信の制御をどのように設定するかについては記載されていない。グループの組合せ毎に通信を許可するか否かを設定する作業は、IPアドレスの組合せ毎に通信を許可するか否かを設定する作業ほどではないものの、時間がかかる。
本開示は、設定に係る作業負担を軽減可能にすることを目的とする。
The task of setting whether or not to permit communication for each combination of IP addresses is complicated and takes time. Although Patent Document 1 describes controlling communication between groups, it does not describe how to set the control of communication between groups. The task of setting whether or not to permit communication for each combination of groups is not as long as the work of setting whether or not to permit communication for each combination of IP addresses, but it takes time.
An object of the present disclosure is to make it possible to reduce the work load associated with setting.

本開示に係るマスター装置は、
ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定部であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備える。
The master device according to the present disclosure is
A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A policy setting unit that accepts a designation of whether or not to set the policy.

本開示では、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシーを設定する。これにより、設定に係る作業負担を軽減可能である。 In the present disclosure, a policy is set by receiving a specification as to whether or not communication between the same group is permitted, and communication between different groups is permitted. As a result, it is possible to reduce the work load related to setting.

実施の形態1に係る通信制御システム1の構成図。1 is a configuration diagram of a communication control system 1 according to Embodiment 1. FIG. 実施の形態1に係るマスター装置10の構成図。1 is a configuration diagram of a master device 10 according to Embodiment 1; FIG. 実施の形態1に係るエッジ装置20の構成図。2 is a configuration diagram of the edge device 20 according to the first embodiment; FIG. 実施の形態1に係る通信制御システム1の全体的な動作を示すフローチャート。4 is a flowchart showing the overall operation of the communication control system 1 according to Embodiment 1; 実施の形態1に係るアドレス41及び端末情報42の説明図。4 is an explanatory diagram of an address 41 and terminal information 42 according to Embodiment 1; FIG. 実施の形態1に係るポリシー45の説明図。FIG. 4 is an explanatory diagram of a policy 45 according to the first embodiment; FIG. 実施の形態1に係る分類処理(図4のステップS12)のフローチャート。5 is a flowchart of classification processing (step S12 in FIG. 4) according to the first embodiment; 実施の形態1に係るアドレス受信処理(図7のステップS21)の説明図。FIG. 8 is an explanatory diagram of address reception processing (step S21 in FIG. 7) according to the first embodiment; 実施の形態1に係る端末抽出処理(図7のステップS22)の説明図。FIG. 8 is an explanatory diagram of terminal extraction processing (step S22 in FIG. 7) according to the first embodiment; 実施の形態1に係る一覧表示処理(図7のステップS23)の説明図。FIG. 8 is an explanatory diagram of the list display process (step S23 in FIG. 7) according to the first embodiment; FIG. 実施の形態1に係るポリシー設定処理(図4のステップS13)のフローチャート。5 is a flowchart of policy setting processing (step S13 in FIG. 4) according to the first embodiment; 実施の形態1に係る一覧表示処理(図11のステップS31)の説明図。FIG. 12 is an explanatory diagram of the list display process (step S31 in FIG. 11) according to the first embodiment; FIG. 実施の形態1に係るポリシー設定処理(図11のステップS32)の説明図。FIG. 12 is an explanatory diagram of the policy setting process (step S32 in FIG. 11) according to the first embodiment; FIG. 実施の形態2に係る通信制御システム1の全体的な動作を示すフローチャート。9 is a flowchart showing the overall operation of the communication control system 1 according to Embodiment 2; 実施の形態2に係るポリシー設定処理(図14のステップS43)の説明図。FIG. 15 is an explanatory diagram of a policy setting process (step S43 in FIG. 14) according to the second embodiment; FIG. 実施の形態2に係る分類変更処理(図14のステップS46)の説明図。FIG. 15 is an explanatory diagram of a classification change process (step S46 in FIG. 14) according to the second embodiment; FIG. 実施の形態2に係る分類変更処理(図14のステップS46)の説明図。FIG. 15 is an explanatory diagram of a classification change process (step S46 in FIG. 14) according to the second embodiment; FIG.

実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30としては、IT(Information Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。
Embodiment 1.
*** Configuration description ***
A configuration of a communication control system 1 according to Embodiment 1 will be described with reference to FIG.
A communication control system 1 includes a master device 10 and a plurality of edge devices 20 . The master device 10 and each edge device 20 are connected via a network device 90 .
The master device 10 is a computer installed in a management center or the like for managing the communication control system 1 . Each edge device 20 is a computer installed at a site such as a factory or office and connected to one or more terminals 30 . As the terminal 30 , there are a plurality of types of terminals 30 , such as an IT (Information Technology) type terminal 30 and an OT (Operational Technology) type terminal 30 .

図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
A configuration of the master device 10 according to the first embodiment will be described with reference to FIG.
The master device 10 comprises hardware including a processor 11 , a memory 12 , a storage 13 and a communication interface 14 . The processor 11 is connected to other hardware via signal lines and controls these other hardware.

マスター装置10は、機能構成要素として、アドレス受信部111と、端末抽出部112と、端末分類部113と、ポリシー設定部114と、設定送信部115とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。
The master device 10 includes an address reception unit 111, a terminal extraction unit 112, a terminal classification unit 113, a policy setting unit 114, and a setting transmission unit 115 as functional components. The functions of each functional component of the master device 10 are realized by software.
The storage 13 stores a program that implements the function of each functional component of the master device 10 . This program is read into the memory 12 by the processor 11 and executed by the processor 11 . Thereby, the function of each functional component of the master device 10 is realized.

図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
The configuration of the edge device 20 according to the first embodiment will be described with reference to FIG.
The edge device 20 includes hardware including a processor 21 , a memory 22 , a storage 23 and a communication interface 24 . The processor 21 is connected to other hardware via signal lines and controls these other hardware.

エッジ装置20は、機能構成要素として、アドレス取得部211と、アドレス送信部212と、設定受信部213と、通信制御部214と、ログ取得部215とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。
The edge device 20 includes an address acquisition unit 211, an address transmission unit 212, a setting reception unit 213, a communication control unit 214, and a log acquisition unit 215 as functional components. The function of each functional component of the edge device 20 is realized by software.
The storage 23 stores a program that implements the function of each functional component of the edge device 20 . This program is read into the memory 22 by the processor 21 and executed by the processor 21 . Thereby, the function of each functional component of the edge device 20 is realized.

プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
The processors 11 and 21 are ICs (Integrated Circuits) that perform processing. As a specific example, the processors 11 and 21 are CPUs (Central
Processing Unit), DSP (Digital Signal Processor), and GPU (Graphics Processing Unit).

メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。 The memories 12 and 22 are storage devices that temporarily store data. Specific examples of the memories 12 and 22 are SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory).

ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。 The storages 13 and 23 are storage devices that store data. As a specific example, the storages 13 and 23 are HDDs (Hard Disk Drives). The storages 13 and 23 are SD (registered trademark, Secure Digital) memory cards, CF (Compact Flash, registered trademark), NAND flashes, flexible disks, optical disks, compact disks, Blu-ray (registered trademark) disks, DVDs (Digital Versatile Disks). ) may be a portable recording medium.

通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。 Communication interfaces 14 and 24 are interfaces for communicating with external devices. Specific examples of the communication interfaces 14 and 24 are Ethernet (registered trademark), USB (Universal Serial Bus), and HDMI (registered trademark, High-Definition Multimedia Interface) ports.

***動作の説明***
図4から図13を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。
***Description of operation***
The operation of the communication control system 1 according to the first embodiment will be described with reference to FIGS. 4 to 13. FIG.
The operation procedure of the communication control system 1 according to the first embodiment corresponds to the communication control method according to the first embodiment. A program that realizes the operation of the communication control system 1 according to the first embodiment corresponds to the communication control program according to the first embodiment.

図4を参照して、実施の形態1に係る通信制御システム1の全体的な動作を説明する。
(ステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、エッジ装置20と同じネットワーク内に接続された端末30のアドレス41を取得する。同じネットワークとは、同じネットワークアドレスを持つネットワークを指す。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、アドレス取得部211は、図5に示すように、端末30のアドレス41として、IPアドレス及びMAC(Media Access Control)アドレスを取得する。
Overall operation of the communication control system 1 according to the first embodiment will be described with reference to FIG.
(Step S11: Address Acquisition Processing)
The address acquisition unit 211 of each edge device 20 acquires the address 41 of the terminal 30 connected to the same network as the edge device 20 . The same network refers to networks with the same network address. At this time, the address acquisition unit 211 may acquire the address 41 of the connected terminal 30 for each port.
Here, the address acquisition unit 211 acquires an IP address and a MAC (Media Access Control) address as the address 41 of the terminal 30, as shown in FIG.

各エッジ装置20のアドレス送信部212は、端末情報42を付加したアドレス41をマスター装置10に送信する。
ここでは、アドレス送信部212は、図5に示すように、端末情報42として、グループ名と、端末名称と、エッジ装置名と、備考とを付加する。グループ名は、端末30が属するグループの識別名称であり、ここでは未分類と設定される。端末名称は、端末30を特定し易くするための名称であり、ここではMACアドレスが設定される。エッジ装置名は、端末30が接続されたネットワークに接続されているエッジ装置20の識別名称であり、ここではアドレス送信部212を備えるエッジ装置20の名称が設定される。備考は、端末30を特定し易くするための情報であり、ここではメーカ情報が設定される。メーカ情報は、MACアドレスの企業コードから特定される製造メーカのメーカ名といったメーカを識別可能な情報である。
The address transmission unit 212 of each edge device 20 transmits the address 41 to which the terminal information 42 is added to the master device 10 .
Here, as shown in FIG. 5, the address transmission unit 212 adds the group name, terminal name, edge device name, and remarks as the terminal information 42 . The group name is the identification name of the group to which the terminal 30 belongs, and is set to unclassified here. The terminal name is a name for facilitating identification of the terminal 30, and the MAC address is set here. The edge device name is the identification name of the edge device 20 connected to the network to which the terminal 30 is connected. Here, the name of the edge device 20 including the address transmission unit 212 is set. The remark is information for facilitating identification of the terminal 30, and manufacturer information is set here. The manufacturer information is information that can identify the manufacturer, such as the name of the manufacturer specified from the company code of the MAC address.

(ステップS12:分類処理)
マスター装置10のアドレス受信部111は、ステップS11で送信された、端末情報42が付加されたアドレス41を受信する。複数のエッジ装置20から同じ端末30のアドレス41が送信される場合がある。この場合には、アドレス受信部111は、重複がなくなるように同じ端末30のアドレス41を1つだけ残し、残りは削除する。
すると、マスター装置10の端末抽出部112は、受信されたアドレス41のうち、各グループ43に属するアドレス41を示すグループリスト44に存在しないアドレスが示す端末30を未分類端末31として抽出する。そして、マスター装置10の端末分類部113は、未分類端末31に関する情報を表示して、未分類端末31が属するグループ43を指定させる。
これにより、未分類端末31がいずれかのグループに分類され、グループリスト44が更新される。
(Step S12: Classification process)
The address receiving unit 111 of the master device 10 receives the address 41 to which the terminal information 42 is added, which is transmitted in step S11. The address 41 of the same terminal 30 may be transmitted from a plurality of edge devices 20 . In this case, the address receiving unit 111 leaves only one address 41 of the same terminal 30 and deletes the rest so as to eliminate duplication.
Then, the terminal extraction unit 112 of the master device 10 extracts the terminals 30 indicated by the addresses that do not exist in the group list 44 indicating the addresses 41 belonging to each group 43 among the received addresses 41 as unclassified terminals 31 . Then, the terminal classification unit 113 of the master device 10 displays information about the unclassified terminal 31 and allows the user to specify the group 43 to which the unclassified terminal 31 belongs.
As a result, the unclassified terminal 31 is classified into one of the groups, and the group list 44 is updated.

(ステップS13:ポリシー設定処理)
マスター装置10のポリシー設定部114は、図6に示すように、グループ間の通信を制御するためのポリシー45を設定する。この際、ポリシー設定部114は、同一のグループ間の通信については自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。また、ポリシー設定部114は、異なるグループ間の通信についてはログを取得するか否かの指定を受け付けてポリシー45を設定する。
マスター装置10の設定送信部115は、ポリシー45を複数のエッジ装置20それぞれに送信する。
(Step S13: Policy setting process)
The policy setting unit 114 of the master device 10 sets a policy 45 for controlling communication between groups, as shown in FIG. At this time, the policy setting unit 114 automatically permits communication between the same groups and sets the policy 45 by accepting designation as to whether or not to permit communication between different groups. In addition, the policy setting unit 114 sets the policy 45 by receiving a specification as to whether or not to acquire a log for communication between different groups.
The setting transmission unit 115 of the master device 10 transmits the policy 45 to each of the edge devices 20 .

(ステップS14:通信制御処理)
各エッジ装置20の設定受信部213は、ステップS13で送信されたポリシー45を受信する。各エッジ装置20の通信制御部214は、ポリシー45に基づき、端末30間の通信を制御する。また、ログ取得部215は、ポリシー45でログを取得することが設定されている場合には、通信のログを取得する。
(Step S14: communication control processing)
The setting reception unit 213 of each edge device 20 receives the policy 45 transmitted in step S13. The communication control unit 214 of each edge device 20 controls communication between terminals 30 based on the policy 45 . Further, the log acquisition unit 215 acquires a communication log when the policy 45 is set to acquire a log.

例えば、図6に示すポリシー45が設定されているとする。そして、エッジ装置20が、送信元のIPアドレスがITグループに属するものであり、送信先のIPアドレスがDMZグループに属するものであり、通信プロトコルがXXXであるデータを受信したとする。この場合には、設定受信部213は、ポリシー1に合致すると判定して、通信を許可する。また、ログ取得部215は、通信のログを取得する。 For example, assume that the policy 45 shown in FIG. 6 is set. Assume that the edge device 20 receives data whose source IP address belongs to the IT group, whose destination IP address belongs to the DMZ group, and whose communication protocol is XXX. In this case, the setting reception unit 213 determines that policy 1 is met, and permits communication. Also, the log acquisition unit 215 acquires a communication log.

通信制御システム1を導入する際には、ステップS11からステップS14までの処理が順に実行される。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
When the communication control system 1 is introduced, the processes from step S11 to step S14 are executed in order.
After that, the process of step S14 is continuously executed, and communication between the terminals 30 is controlled. Moreover, even when the process of step S14 is being executed, the process of step S11 is periodically executed. Then, the process of step S12 is executed each time the address 41 is transmitted in step S11 or at regular time intervals. The process of step S13 is performed as needed.

図7を参照して、実施の形態1に係る分類処理(図4のステップS12)を説明する。 (ステップS21:アドレス受信処理)
アドレス受信部111は、ステップS11で各エッジ装置20から送信された、端末情報42が付加されたアドレス41を受信する。図8に示すように、各エッジ装置20で収集されたアドレス41及び端末情報42がマスター装置10に集約される。
The classification process (step S12 in FIG. 4) according to the first embodiment will be described with reference to FIG. (Step S21: Address reception processing)
The address receiving unit 111 receives the address 41 to which the terminal information 42 is added, which is transmitted from each edge device 20 in step S11. As shown in FIG. 8 , the addresses 41 and terminal information 42 collected by each edge device 20 are aggregated in the master device 10 .

(ステップS22:端末抽出処理)
端末抽出部112は、ステップS21で受信されたアドレス41のうち、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。グループリスト44は、複数のエッジ装置20のうちのいずれかのエッジ装置20に接続された端末30を分類したグループ43であって、通信の制御を行うためのグループ43を示す。この際、端末抽出部112は、過去に受信したアドレス41に分類がされていないアドレス41がある場合には、このアドレス41が示す端末30についても未分類端末31として抽出する。
(Step S22: terminal extraction process)
The terminal extraction unit 112 extracts terminals 30 indicated by addresses 41 that do not exist in the group list 44 from among the addresses 41 received in step S21 as unclassified terminals 31 . The group list 44 is a group 43 in which the terminals 30 connected to one of the edge devices 20 among the plurality of edge devices 20 are classified, and indicates the group 43 for controlling communication. At this time, if there is an unclassified address 41 among the addresses 41 received in the past, the terminal extraction unit 112 also extracts the terminal 30 indicated by this address 41 as an unclassified terminal 31 .

ここでは、図9の(A)に示すアドレス41が受信されたとする。また、図9の(B)に示すグループリスト44がストレージ13に記憶されているとする。すると、図9の(C)のように未分類端末31が抽出される。
つまり、グループリスト44に存在しない、又は、分類がされていない2つの端末30が未分類端末31として抽出される。
Here, it is assumed that address 41 shown in FIG. 9A is received. It is also assumed that the group list 44 shown in (B) of FIG. 9 is stored in the storage 13 . Then, unclassified terminals 31 are extracted as shown in FIG. 9C.
That is, two terminals 30 that do not exist in the group list 44 or are not classified are extracted as unclassified terminals 31 .

(ステップS23:一覧表示処理)
図10に示すように、端末分類部113は、未分類端末31に関する情報を一覧表示する。ここでは、未分類端末31に関する情報は、アドレス41と、端末情報42のうちの端末名称とエッジ装置名と備考とである。つまり、未分類端末31に関する情報として、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名が表示される。また、未分類端末31に関する情報として、MACアドレスから特定される未分類端末31の製造メーカを示すメーカ情報が表示される。
なお、アドレス41と端末名称とエッジ装置名と備考とのうち、一部の情報だけを一覧表示しておき、カーソルが合わせられるといった操作がされた場合に、残りの情報を表示するようにしてもよい。
(Step S23: list display processing)
As shown in FIG. 10 , the terminal classification unit 113 displays a list of information regarding the unclassified terminals 31 . Here, the information about the unclassified terminal 31 is the address 41 and the terminal name, edge device name and remarks in the terminal information 42 . That is, as the information about the unclassified terminal 31, the edge device name, which is the identification information of the edge device 20 that received the address 41 of the unclassified terminal 31, is displayed. As information on the unclassified terminal 31, manufacturer information indicating the manufacturer of the unclassified terminal 31 specified from the MAC address is displayed.
Of the address 41, the terminal name, the edge device name, and the remarks, only a part of the information is displayed in a list, and the rest of the information is displayed when the cursor is moved. good too.

(ステップS24:端末分類処理)
端末分類部113は、未分類端末31が属するグループ43をユーザに指定させる。ユーザは、例えば通信制御システム1の管理者等である。具体的には、図10に示すグループ43の指定欄でラジオボタンを選択させることにより、未分類端末31が属するグループ43を指定させる。指定欄による選択はユーザによって行われる。つまり、端末分類部113は、指定可能な前記グループを表示して選択的に指定させる。これにより、端末分類部113は、グループリスト44を更新する。
この際、端末分類部113は、グループ43の指定だけでなく、未分類端末31の端末名称と、未分類端末31に関連する関連情報が登録される備考との少なくともいずれかの情報の変更を受け付けてもよい。未分類端末31の端末名称及び備考は、未分類端末31を識別するために利用される。ここで適切な情報が入力されることにより、後日グループ43の分類を見直す際等に、作業を容易に行うことが可能になる。
(Step S24: terminal classification process)
The terminal classification unit 113 allows the user to specify the group 43 to which the unclassified terminal 31 belongs. The user is, for example, an administrator of the communication control system 1 or the like. Specifically, the group 43 to which the unclassified terminal 31 belongs is designated by selecting a radio button in the designation column of the group 43 shown in FIG. The selection by the designated field is made by the user. That is, the terminal classification unit 113 displays the specifiable groups and allows them to be selectively specified. Thereby, the terminal classification unit 113 updates the group list 44 .
At this time, the terminal classification unit 113 not only designates the group 43, but also changes at least one of the terminal name of the unclassified terminal 31 and the remark in which related information related to the unclassified terminal 31 is registered. may be accepted. The terminal name and remarks of the unclassified terminal 31 are used to identify the unclassified terminal 31 . By inputting appropriate information here, it becomes possible to easily carry out the work when reviewing the classification of the group 43 at a later date.

図11を参照して、実施の形態1に係るポリシー設定処理(図4のステップS13)を説明する。
(ステップS31:一覧表示処理)
図12に示すように、ポリシー設定部114は、異なるグループ間の通信について設定済のポリシー45を一覧表示する。
The policy setting process (step S13 in FIG. 4) according to the first embodiment will be described with reference to FIG.
(Step S31: list display processing)
As shown in FIG. 12, the policy setting unit 114 displays a list of policies 45 that have been set for communication between different groups.

(ステップS32:ポリシー設定処理)
ポリシー設定部114は、異なるグループ間のポリシー45の追加、変更、削除等の入力を受け付ける。ポリシー45の追加、変更、削除等の入力はユーザによって行われる。具体的には、ポリシー設定部114は、図12の追加ボタン又は変更ボタンが押下されると、ポリシー45を追加するための入力画面を表示する。図13に示すように、この入力画面では、データの送信元のグループ及びデータの送信先のグループと、通信プロトコル及び送信先のポート番号と、通信を許可するか否かと、ログを取得するか否かとの指定ができるようになっている。通信を許可するか否かは、アクションの欄で許可又は拒否を選択することにより指定される。また、この入力画面では、ポリシー45を有効にするか否かの指定ができるようになっている。図12の追加ボタンが押下された場合には、図13に示す入力画面が、デフォルト値が示された状態で表示される。図12の変更ボタンが押下された場合には、図13に示す入力画面が、変更前のポリシー45の設定が示された状態で表示される。
ポリシー設定部114は、入力画面に入力された情報に従い、ポリシー45を設定する。入力画面では通信プロトコルの指定が可能になっているため、異なるグループ間の通信について、通信プロトコルに応じて通信を許可するか否かを指定してポリシー45が設定可能である。通信プロトコルとは、TCP(Transmission Control
Protocol)、UDP(User Datagram Protocol)等である。また、入力画面では通信プロトコルが指定されたときに、ポート単位に通信を許可するか否かの指定が可能になっているため、異なるグループ間の通信について、ポートに応じて通信を許可するか否かを指定してポリシー45が設定可能である。また、入力画面ではログを取得するか否かの指定が可能になっているため、通信の制御とは別に、異なるグループ間の通信について、通信のログを取得するか否かの指定を受け付けてポリシー45が設定可能である。
(Step S32: Policy setting process)
The policy setting unit 114 receives inputs such as addition, change, and deletion of policies 45 between different groups. Inputs such as addition, change, and deletion of the policy 45 are performed by the user. Specifically, the policy setting unit 114 displays an input screen for adding the policy 45 when the add button or the change button in FIG. 12 is pressed. As shown in FIG. 13, on this input screen, a data transmission source group, a data transmission destination group, a communication protocol, a transmission destination port number, whether or not to permit communication, and whether or not to acquire a log are displayed. It can be specified whether or not. Whether or not to permit communication is specified by selecting permit or deny in the action column. Also, on this input screen, it is possible to specify whether or not to validate the policy 45 . When the add button in FIG. 12 is pressed, the input screen shown in FIG. 13 is displayed with default values displayed. When the change button in FIG. 12 is pressed, the input screen shown in FIG. 13 is displayed with the setting of the policy 45 before change displayed.
The policy setting unit 114 sets the policy 45 according to the information input on the input screen. Since it is possible to specify the communication protocol on the input screen, it is possible to set the policy 45 by specifying whether or not to permit communication between different groups according to the communication protocol. The communication protocol is TCP (Transmission Control
Protocol), UDP (User Datagram Protocol), and the like. In addition, when the communication protocol is specified on the input screen, it is possible to specify whether or not to allow communication for each port, so whether communication between different groups is allowed according to the port The policy 45 can be set by specifying whether or not. In addition, since it is possible to specify whether or not to acquire a log on the input screen, it is possible to specify whether or not to acquire a communication log for communication between different groups, apart from communication control. A policy 45 is configurable.

なお、ポリシー設定部114は、ポリシー45について設定した設定データを読み込んで、ポリシー45の設定をしてもよい。設定データを読み込んでポリシー45の設定をした上で、ポリシー設定部114は、ポリシー45の追加、変更、削除等の入力を受け付けてもよい。 Note that the policy setting unit 114 may set the policy 45 by reading setting data set for the policy 45 . After setting the policy 45 by reading the setting data, the policy setting unit 114 may receive input such as addition, change, or deletion of the policy 45 .

(ステップS33:ポリシー送信処理)
設定送信部115は、ステップS32で設定されたポリシー45を、各エッジ装置20に送信する。
(Step S33: Policy transmission processing)
The setting transmission unit 115 transmits the policy 45 set in step S32 to each edge device 20 .

***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1は、グループリスト44に存在しないアドレス41が示す端末30を未分類端末31として抽出する。これにより、通信制御システム1のユーザが、多くの端末30の中から、グループ43への分類が必要な端末30を探す手間が省け、簡便に端末30のグループ43への分類を行うことが可能である。
*** Effect of Embodiment 1 ***
As described above, the communication control system 1 according to Embodiment 1 extracts the terminal 30 indicated by the address 41 that does not exist in the group list 44 as the unclassified terminal 31 . This saves the user of the communication control system 1 from having to search for the terminal 30 that needs to be classified into the group 43 from among many terminals 30, and makes it possible to easily classify the terminal 30 into the group 43. is.

また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、必要な情報を1つの画面にまとめて表示する。これにより、様々な画面を表示させて分類を検討する必要がなくなり、グループの分類を指定する際の操作ミス及び指定ミスを防止することができる。 Further, the communication control system 1 according to Embodiment 1 collectively displays necessary information on one screen when the classification into the group 43 is designated. This eliminates the need to consider the classification by displaying various screens, and prevents operational errors and specification errors when specifying the group classification.

また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、未分類端末31のアドレス41の受信元のエッジ装置20の識別情報であるエッジ装置名を表示する。これにより、接続予定でない端末30が接続されたこと等の特定が容易になり、不正な端末30を早期発見することが可能である。 Further, the communication control system 1 according to the first embodiment displays the edge device name, which is the identification information of the edge device 20 from which the address 41 of the unclassified terminal 31 is received, when specifying the classification into the group 43 . This makes it easy to identify that a terminal 30 not scheduled to be connected has been connected, and it is possible to detect an unauthorized terminal 30 at an early stage.

また、実施の形態1に係る通信制御システム1は、グループ43への分類を指定させる際、MACアドレスから特定されるメーカ情報を表示する。これにより、未分類端末31がどの端末30であるかを特定し易くなり、グループ43への分類を行いやすくなる。 Further, the communication control system 1 according to Embodiment 1 displays the manufacturer information specified from the MAC address when specifying the classification into the group 43 . This makes it easier to identify which terminal 30 the unclassified terminal 31 is and to easily classify it into the group 43 .

また、実施の形態1に係る通信制御システム1は、同一のグループ間の通信についてはマスター装置10側で自動的に許可し、異なるグループ間の通信については許可するか否かの指定を受け付けてポリシー45を設定する。これにより、異なるグループ間の通信についてだけ許可するか否かを設定すればよく、設定に係る作業負担を軽減可能である。運用前にグループ間の通信制御のポリシー45を作成することにより、通信制御の設定に時間を割くことなく運用開始できる。また、ポリシー45が複雑化しないため、管理が容易になり、セキュアなネットワークを構築し易くなる。 Further, the communication control system 1 according to Embodiment 1 automatically permits communication between the same group on the master device 10 side, and accepts designation of whether or not to permit communication between different groups. Set policy 45 . As a result, it is only necessary to set whether or not to permit communication between different groups, and it is possible to reduce the work load related to the setting. By creating the inter-group communication control policy 45 before operation, the operation can be started without spending time setting the communication control. Also, since the policy 45 does not become complicated, it becomes easier to manage and build a secure network.

また、実施の形態1に係る通信制御システム1は、通信プロトコルに応じて通信を許可するか否かの指定を受け付けてポリシーを設定する。また、実施の形態1に係る通信制御システム1は、通信プロトコルが指定されたときに、ポートに応じて通信を許可するか否かの指定を受け付けてポリシーを設定する。これにより、通信の適切な制御を実現可能である。 Further, the communication control system 1 according to Embodiment 1 accepts a specification as to whether or not to permit communication according to a communication protocol, and sets a policy. Further, the communication control system 1 according to Embodiment 1 accepts a specification as to whether or not to permit communication according to a port when a communication protocol is specified, and sets a policy. This makes it possible to implement appropriate control of communication.

また、実施の形態1に係る通信制御システム1は、異なるグループ間の通信のログを取得するか否かの指定を受け付けてポリシー45を設定する。これにより、一部のグループ間については、通信を許可しつつ、ログを取得しておき、通信内容を監視するといった対応を取ることも可能である。 In addition, the communication control system 1 according to Embodiment 1 sets the policy 45 by receiving a designation as to whether or not to acquire a log of communication between different groups. As a result, while permitting communication between some groups, it is also possible to take measures such as acquiring logs and monitoring the content of communication.

また、実施の形態1に係る通信制御システム1は、ポリシー45を一覧表示する。そして、必要に応じて一覧表示した画面の変更ボタンを押下することにより、ポリシー45の変更が可能である。これにより、ポリシー45を変更した際の変更ミスを減らすことが可能である。また、ポリシー45の管理が容易になる。 Further, the communication control system 1 according to Embodiment 1 displays the policy 45 as a list. The policy 45 can be changed as needed by pressing a change button on the screen displaying the list. This makes it possible to reduce change mistakes when changing the policy 45 . Also, management of the policy 45 becomes easier.

***他の構成***
<変形例1>
実施の形態1では、マスター装置10とエッジ装置20とを異なる機能を有する装置として説明した。しかし、マスター装置10の機能とエッジ装置20の機能との両方を備える装置を複数用意しておき、いずれか1つをマスター装置10とし、残りをエッジ装置20として通信制御システム1を構成してもよい。
また、マスター装置10がエッジ装置20の機能を有していてもよい。マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10が同じネットワークに接続された端末30のアドレス41を取得する。マスター装置10がアドレス41を取得した場合には、エッジ装置名としてマスター装置10の装置名が付加される。また、マスター装置10がエッジ装置20の機能を有する場合には、マスター装置10は、エッジ装置20と同様に、ポリシー45に基づき、端末30間の通信を制御する。
***Other Configurations***
<Modification 1>
In the first embodiment, the master device 10 and the edge device 20 are described as devices having different functions. However, a plurality of devices having both the function of the master device 10 and the function of the edge device 20 are prepared, and the communication control system 1 is configured with one of them as the master device 10 and the rest as the edge devices 20. good too.
Also, the master device 10 may have the function of the edge device 20 . When the master device 10 has the function of the edge device 20, the master device 10 acquires the address 41 of the terminal 30 connected to the same network. When the master device 10 acquires the address 41, the device name of the master device 10 is added as the edge device name. In addition, when the master device 10 has the function of the edge device 20 , the master device 10 controls communication between the terminals 30 based on the policy 45 like the edge device 20 .

<変形例2>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例2として、各機能構成要素はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
<Modification 2>
In Embodiment 1, each functional component is realized by software. However, as Modification 2, each functional component may be implemented by hardware. Regarding this modification 2, the points different from the first embodiment will be described.

各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
When each functional component is implemented by hardware, the master device 10 has electronic circuits instead of the processor 11, the memory 12 and the storage 13. FIG. The electronic circuit is a dedicated circuit that realizes the functions of each functional component, memory 12 and storage 13 .
Similarly, when each functional component is implemented by hardware, the edge device 20 is provided with electronic circuits instead of the processor 21 , memory 22 and storage 23 . The electronic circuit is a dedicated circuit that realizes the functions of each functional component, memory 22 and storage 23 .

電子回路15としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
The electronic circuit 15 includes a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA (Gate Array), an ASIC (Application Specific Integrated Circuit), and an FPGA (Field-Programmable Gate Array). is assumed.
Each functional component may be implemented by one electronic circuit 15, or each functional component may be implemented by being distributed among a plurality of electronic circuits 15. FIG.

<変形例3>
変形例3として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
<Modification 3>
As a modified example 3, some functional components may be implemented by hardware, and other functional components may be implemented by software.

プロセッサ11とメモリ12とストレージ13と電子回路15とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。 The processor 11, the memory 12, the storage 13 and the electronic circuit 15 are called a processing circuit. That is, the function of each functional component is realized by the processing circuit.

実施の形態2.
実施の形態2は、検査用ポリシー46を設定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
Embodiment 2.
Embodiment 2 differs from Embodiment 1 in that an inspection policy 46 is set. In the second embodiment, this different point will be explained, and the explanation of the same point will be omitted.

***動作の説明***
図14から図17を参照して、実施の形態2に係る通信制御システム1の動作を説明する。
実施の形態2に係る通信制御システム1の動作手順は、実施の形態2に係る通信制御方法に相当する。また、実施の形態2に係る通信制御システム1の動作を実現するプログラムは、実施の形態2に係る通信制御プログラムに相当する。
***Description of operation***
The operation of the communication control system 1 according to the second embodiment will be described with reference to FIGS. 14 to 17. FIG.
The operation procedure of the communication control system 1 according to the second embodiment corresponds to the communication control method according to the second embodiment. A program that realizes the operation of the communication control system 1 according to the second embodiment corresponds to the communication control program according to the second embodiment.

図14を参照して、実施の形態2に係る通信制御システム1の全体的な動作を説明する。
ステップS41からステップS42の処理は、図4のステップS11からステップS12の処理と同じである。
Overall operation of the communication control system 1 according to the second embodiment will be described with reference to FIG.
The processing from step S41 to step S42 is the same as the processing from step S11 to step S12 in FIG.

(ステップS43:ポリシー設定処理)
マスター装置10のポリシー設定部114は、図15に示すように、グループ間の通信を制御するためのポリシー45を設定する。ここでは、検査用ポリシー46を含むポリシー45が設定される点が図4のステップS13の処理と異なる。検査用ポリシー46は、異なるグループ間について、通信を全て許可するとともに、ログを取得するように設定されたポリシー45である。
(Step S43: Policy setting process)
The policy setting unit 114 of the master device 10 sets a policy 45 for controlling communication between groups, as shown in FIG. Here, it differs from the processing in step S13 of FIG. 4 in that the policy 45 including the inspection policy 46 is set. The inspection policy 46 is the policy 45 set to permit all communications between different groups and to acquire logs.

(ステップS44:検査処理)
ステップS44の処理は、図4のステップS14の処理と同様である。但し、検査用ポリシー46が設定された状態において実行される点が異なる。ステップS44の処理が実行されることにより、異なるグループ間の通信のログが取得される。ステップS44の処理が実行される期間を検査期間と呼ぶ。検査期間は、事前に設定される、又は、指示がされるまで継続する。
図15のようにポリシー45が設定されているとする。なお、ポリシー45は優先度の高い順に設定されている。ポリシー45の優先度はユーザが変更できる。この場合には、上のポリシー45から順に通信が対応しているか否かが判定される。つまり、送信元のグループと、送信先のグループと、通信プロトコルとによって、上のポリシー45から順にポリシーに当てはまる通信かが判定される。例えば、ポリシー2に対応する通信の場合には、ポリシー2が適用され、通信が許可されるとともにログが取得されない。また、ポリシー3に対応する通信の場合には、ポリシー3が適用され、通信が拒否されるとともにログが取得される。有効になっているポリシー1からポリシー3に対応していない場合には、検査用ポリシー46が適用され、通信が許可されるとともにログが取得される。
つまり、検査用ポリシー46よりも上に設定されたポリシー45が適用される場合には、検査用ポリシー46は適用されない。
(Step S44: inspection processing)
The processing of step S44 is the same as the processing of step S14 in FIG. However, it differs in that it is executed in a state where the inspection policy 46 is set. By executing the process of step S44, a log of communication between different groups is obtained. A period during which the process of step S44 is executed is called an inspection period. The test period is preset or lasts until instructed.
Assume that the policy 45 is set as shown in FIG. Note that the policies 45 are set in descending order of priority. The priority of policy 45 can be changed by the user. In this case, it is determined whether or not communication is supported in order from the policy 45 above. That is, it is determined whether or not the communication conforms to the policy in order from the policy 45 on the basis of the source group, the destination group, and the communication protocol. For example, in the case of communication corresponding to policy 2, policy 2 is applied, the communication is permitted, and the log is not acquired. In addition, in the case of communication corresponding to policy 3, policy 3 is applied, the communication is rejected, and a log is acquired. If none of the enabled policies 1 to 3 are compliant, the inspection policy 46 is applied, communication is permitted, and a log is acquired.
That is, when the policy 45 set above the inspection policy 46 is applied, the inspection policy 46 is not applied.

(ステップS45:ログ収集処理)
各エッジ装置20のログ取得部215は、ステップS44で取得されたログをマスター装置10に送信する。マスター装置10の端末分類部113は、ログを受信する。
(Step S45: Log collection process)
The log acquisition unit 215 of each edge device 20 transmits the log acquired in step S44 to the master device 10. FIG. Terminal classification unit 113 of master device 10 receives the log.

(ステップS46:分類変更処理)
図16に示すように、マスター装置10の端末分類部113は、ステップS45で収集されたログを一覧表示する。
ログには、アクションと、送信元名称と、送信元IPアドレスと、送信先名称と、送信先IPアドレスと、通信プロトコルといった情報が含まれる。アクションは、通信が許可されたか否かを示す。送信元名称は、送信元の端末30の端末名称である。送信元IPアドレスは、送信元の端末30のIPアドレスである。送信先名称は、送信先の端末30の端末名称である。送信先IPアドレスは、送信先の端末30のIPアドレスである。通信プロトコルは、使用された通信プロトコルである。なお、ログには、他の情報が含まれてもよい。
(Step S46: Classification change processing)
As shown in FIG. 16, the terminal classification unit 113 of the master device 10 displays a list of logs collected in step S45.
The log includes information such as action, source name, source IP address, destination name, destination IP address, and communication protocol. Action indicates whether or not communication is permitted. The sender name is the terminal name of the terminal 30 that is the sender. The source IP address is the IP address of the terminal 30 that is the source. The destination name is the terminal name of the destination terminal 30 . The destination IP address is the IP address of the destination terminal 30 . communication protocol is the communication protocol used. Note that the log may include other information.

そして、端末分類部113は、ログが示す通信におけるデータの送信元の端末30と送信先の端末30との少なくともいずれかの端末30が属するグループ43を変更させる。具体的には、端末分類部113は、図16に示す対象のログについての通信制御ボタンが押下されると、図17に示すように、対象のログが示す通信における送信元と送信先との少なくともいずれかの端末30が属するグループ43を変更させる変更画面を表示する。そして、送信元と送信先との少なくともいずれかの端末30が属するグループ43の指定を受け付ける。 Then, the terminal classification unit 113 changes the group 43 to which at least one of the data transmission source terminal 30 and the transmission destination terminal 30 in the communication indicated by the log belongs. Specifically, when the communication control button for the target log shown in FIG. 16 is pressed, the terminal classification unit 113 causes the transmission source and the transmission destination in the communication indicated by the target log to be identified as shown in FIG. A change screen for changing the group 43 to which at least one of the terminals 30 belongs is displayed. Then, the designation of the group 43 to which at least one of the terminal 30 of the transmission source and the transmission destination belongs is accepted.

(ステップS47:ポリシー変更処理)
検査期間が終了すると、ユーザによって検査用ポリシー46が無効に設定される。
(Step S47: Policy change processing)
When the inspection period ends, the user sets the inspection policy 46 to invalid.

ステップS48の処理は、図4のステップS14の処理と同じである。 The processing of step S48 is the same as the processing of step S14 in FIG.

検査期間が終了し、検査用ポリシー46が無効に設定された後は、図4のステップS11からステップS14までの処理が順に実行される。そして、図13のような入力画面でポリシー45の設定がされる。
その後は、ステップS14の処理が継続して実行され、端末30間の通信が制御される。また、ステップS14の処理が実行されている際にも、ステップS11の処理は定期的に実行される。そして、ステップS11でアドレス41が送信される度、あるいは、一定時間毎にステップS12の処理が実行される。ステップS13の処理は、必要に応じて実行される。
After the inspection period has ended and the inspection policy 46 has been set to invalid, the processes from step S11 to step S14 in FIG. 4 are executed in order. Then, the policy 45 is set on the input screen as shown in FIG.
After that, the process of step S14 is continuously executed, and communication between the terminals 30 is controlled. Moreover, even when the process of step S14 is being executed, the process of step S11 is periodically executed. Then, the process of step S12 is executed each time the address 41 is transmitted in step S11 or at regular time intervals. The process of step S13 is performed as needed.

***実施の形態2の効果***
以上のように、実施の形態2に係る通信制御システム1は、検査用ポリシー46を設定して、一時的に他のポリシー45に該当しない全てのグループ43間の通信を許可して、ログを収集する。そして、ログに基づき端末30が属するグループ43を変更させる。
これにより、既に稼働しているネットワークに対して、通信制御システム1の技術を適用する場合にも、既存の処理の動作が阻害されることを抑制可能である。
*** Effect of Embodiment 2 ***
As described above, the communication control system 1 according to the second embodiment sets the inspection policy 46, temporarily permits communication between all the groups 43 that do not fall under other policies 45, and saves logs. collect. Then, the group 43 to which the terminal 30 belongs is changed based on the log.
As a result, even when applying the technology of the communication control system 1 to a network that is already in operation, it is possible to prevent the operation of existing processes from being hindered.

既に稼働しているネットワークに対して、通信制御システム1の技術を適用するとする。この場合には、既に端末30間で通信が行われており、通信制御システム1の技術を適用して通信が制限されることで、既存の処理が正しく動作しなくなる恐れがある。そこで、検査用ポリシー46を設定して、一時的に全ての通信を許可する等して、既存の処理が正しく動作する状態にする。そして、この間に検査用ポリシー46が適用されて許可された通信についてログを収集しておく。その後、ログを参照して、端末30が属するグループを変更することにより、検査用ポリシー46を無効にしても、既存の処理が正しく動作するようにできる。 Assume that the technology of the communication control system 1 is applied to an already operating network. In this case, communication is already being performed between the terminals 30, and there is a risk that the existing processing will not operate properly due to the communication being restricted by applying the technology of the communication control system 1. FIG. Therefore, by setting the inspection policy 46 and temporarily permitting all communications, the existing processing is made to operate correctly. During this period, logs are collected for communications permitted by the inspection policy 46 being applied. After that, by referring to the log and changing the group to which the terminal 30 belongs, even if the inspection policy 46 is invalidated, the existing processing can be operated correctly.

上述した通り、検査用ポリシー46よりも上に設定されたポリシー45が適用される場合には、検査用ポリシー46は適用されない。そのため、既存の処理の動作が阻害されることがないポリシー45が分かっている場合には、検査用ポリシー46とともに他のポリシー45も設定可能である。例えば、既存の処理の動作が阻害されることがなく、許可すべきでない通信については、拒否するポリシー45を、検査用ポリシー46とともに設定することが考えられる。これにより、明らかに拒否すべき通信については拒否しつつ、検討すべき通信についてのログを収集することが可能である。 As described above, when the policy 45 set above the inspection policy 46 is applied, the inspection policy 46 is not applied. Therefore, if a policy 45 that does not hinder the operation of existing processing is known, other policies 45 can be set along with the inspection policy 46 . For example, it is conceivable to set a rejection policy 45 together with an inspection policy 46 for communication that should not be permitted without interfering with the operation of existing processing. As a result, it is possible to collect logs of communications to be considered while rejecting communications that should be clearly rejected.

未稼働のネットワークに対して通信制御システム1の技術を適用する。この場合、検査用ポリシー46のみが適用される状態でネットワークを稼働させることにより、ネットワーク内で発生する全ての通信のログを収集することが可能である。また、ログを参照して端末30が属するグループ43を変更することで通信の制御を設定できるので、作業負担を軽減できる。 The technology of the communication control system 1 is applied to the non-operating network. In this case, by operating the network with only the inspection policy 46 applied, it is possible to collect logs of all communications that occur within the network. Further, by referring to the log and changing the group 43 to which the terminal 30 belongs, communication control can be set, so that the work load can be reduced.

なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。 Note that "unit" in the above description may be read as "circuit", "process", "procedure", "process", or "processing circuit".

以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。 The embodiments and modifications of the present disclosure have been described above. Some of these embodiments and modifications may be combined and implemented. Also, any one or some may be partially implemented. It should be noted that the present disclosure is not limited to the above embodiments and modifications, and various modifications are possible as necessary.

1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、111 アドレス受信部、112 端末抽出部、113 端末分類部、114 ポリシー設定部、115 設定送信部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、25 電子回路、211 アドレス取得部、212 アドレス送信部、213 設定受信部、214 通信制御部、215 ログ取得部、30 端末、31 未分類端末、41 アドレス、42 端末情報、43 グループ、44 グループリスト、45 ポリシー、46 検査用ポリシー。 1 communication control system, 10 master device, 11 processor, 12 memory, 13 storage, 14 communication interface, 15 electronic circuit, 111 address reception unit, 112 terminal extraction unit, 113 terminal classification unit, 114 policy setting unit, 115 setting transmission unit , 20 edge device, 21 processor, 22 memory, 23 storage, 24 communication interface, 25 electronic circuit, 211 address acquisition unit, 212 address transmission unit, 213 setting reception unit, 214 communication control unit, 215 log acquisition unit, 30 terminal, 31 unclassified terminal, 41 address, 42 terminal information, 43 group, 44 group list, 45 policy, 46 inspection policy.

Claims (11)

ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定部であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部
を備えるマスター装置。
A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A master device comprising a policy setting unit that accepts a designation of whether or not to set the policy.
前記ポリシー設定部は、異なるグループ間の通信について、通信プロトコルに応じて通信を許可するか否かの指定を受け付けてポリシーを設定する
請求項1に記載のマスター装置。
2. The master device according to claim 1, wherein the policy setting unit accepts designation of whether or not to permit communication according to a communication protocol and sets a policy for communication between different groups.
前記ポリシー設定部は、異なるグループ間の通信について、通信プロトコルが指定された場合にポートに応じて通信を許可するか否かの指定を受け付けて前記ポリシーを設定する
請求項2に記載のマスター装置。
3. The master device according to claim 2, wherein for communication between different groups, when a communication protocol is specified, the policy setting unit accepts a specification as to whether or not to permit communication according to a port and sets the policy. .
前記ポリシー設定部は、異なるグループ間の通信について、通信のログを取得するか否かの指定を受け付けて前記ポリシーを設定する
請求項1から3までのいずれか1項に記載のマスター装置。
4. The master device according to any one of claims 1 to 3, wherein the policy setting unit receives a designation as to whether or not to obtain a communication log for communication between different groups, and sets the policy.
前記ポリシー設定部は、異なるグループ間の通信については許可するか否かの指定を受付ける入力画面を表示し、前記入力画面に入力された情報を前記ポリシーに設定する
請求項1から4までのいずれか1項に記載のマスター装置。
5. Any one of claims 1 to 4, wherein said policy setting unit displays an input screen for accepting designation of whether or not to permit communication between different groups, and sets information input on said input screen to said policy. 1. A master device according to claim 1.
前記マスター装置は、さらに、
前記ポリシー設定部によって設定された前記ポリシーを複数のエッジ装置それぞれに送信して、前記ポリシーに基づき通信の制御をさせる設定送信部
を備える請求項1から5までのいずれか1項に記載のマスター装置。
The master device further
6. The master according to any one of claims 1 to 5, further comprising a setting transmission unit that transmits the policy set by the policy setting unit to each of a plurality of edge devices to control communication based on the policy. Device.
前記マスター装置は、さらに、
通信のログを表示して、前記ログが示す通信におけるデータの送信元と送信先との少なくともいずれかの端末が属するグループの変更を受け付ける端末分類部
を備える請求項1から6までのいずれか1項に記載のマスター装置。
The master device further
7. Any one of claims 1 to 6, further comprising a terminal classification unit that displays a communication log and accepts a change of the group to which at least one of the terminal of the transmission source and the transmission destination of the data in the communication indicated by the log belongs. A master device as described above.
前記ポリシー設定部は、検査期間の間には、他のポリシーに該当しない全ての異なるグループ間の通信を許可するとともに、全ての異なるグループ間の通信のログを取得することの指定を受け付けて検査用ポリシーを前記ポリシーとして設定する
請求項1から7までのいずれか1項に記載のマスター装置。
During the inspection period, the policy setting unit permits communication between all different groups that do not fall under other policies, and accepts and inspects a specification to acquire a log of communication between all different groups. 8. The master device according to any one of claims 1 to 7, wherein a usage policy is set as said policy.
コンピュータが、ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて設定する通信制御方法。 Specify whether or not a policy for controlling communication between groups that classify terminals connected to a network by a computer is permitted for communication between the same group and communication between different groups. Communication control method to accept and set. ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定処理であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定処理
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。
Policy setting processing for setting a policy for controlling communication between groups in which terminals connected to a network are classified, and whether communication between the same group is permitted or communication between different groups is permitted A communication control program that causes a computer to function as a master device that accepts a designation of whether or not and performs policy setting processing for setting the policy.
複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
ネットワークに接続された端末を分類したグループ間の通信を制御するためのポリシーを設定するポリシー設定部であって、同一のグループ間の通信については許可し、異なるグループ間の通信については許可するか否かの指定を受け付けて前記ポリシーを設定するポリシー設定部と、
前記ポリシー設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部
を備える通信制御システム。
A communication control system comprising a plurality of edge devices and a master device,
The master device
A policy setting unit that sets a policy for controlling communication between groups in which terminals connected to the network are classified, and whether communication between the same group is permitted or communication between different groups is permitted a policy setting unit that receives a specification of whether or not to set the policy;
a setting transmission unit that transmits the policy set by the policy setting unit to each of the plurality of edge devices;
Each of the plurality of edge devices,
A communication control system comprising a communication control unit that controls communication between terminals based on the policy transmitted by the setting transmission unit.
JP2021157156A 2021-09-27 2021-09-27 Master device, communication control method, communication control program and communication control system Active JP7209791B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021157156A JP7209791B1 (en) 2021-09-27 2021-09-27 Master device, communication control method, communication control program and communication control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021157156A JP7209791B1 (en) 2021-09-27 2021-09-27 Master device, communication control method, communication control program and communication control system

Publications (2)

Publication Number Publication Date
JP7209791B1 JP7209791B1 (en) 2023-01-20
JP2023047950A true JP2023047950A (en) 2023-04-06

Family

ID=84974988

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021157156A Active JP7209791B1 (en) 2021-09-27 2021-09-27 Master device, communication control method, communication control program and communication control system

Country Status (1)

Country Link
JP (1) JP7209791B1 (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03205933A (en) * 1989-10-19 1991-09-09 Mitsubishi Electric Corp Communication method in lan
JPH10243021A (en) * 1997-02-21 1998-09-11 Nippon Telegr & Teleph Corp <Ntt> Destination selection type address resolution method and device therefor
JP2002513245A (en) * 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2003316745A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Access control system and access right managing method
JP2006352754A (en) * 2005-06-20 2006-12-28 Kddi Corp Peer-to-peer communication control apparatus and computer program
US20080022357A1 (en) * 2005-08-20 2008-01-24 Ankit Agarwal Assessing network and device compliance with security policies
JP2009232314A (en) * 2008-03-25 2009-10-08 Nec Corp Vlan design supporting system, vlan design supporting method, and vlan design supporting program
JP2018125669A (en) * 2017-01-31 2018-08-09 株式会社日立製作所 Device for monitoring transmission packet
JP2021111905A (en) * 2020-01-14 2021-08-02 三菱電機株式会社 Communication control system, master device, communication control method, and communication control program

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03205933A (en) * 1989-10-19 1991-09-09 Mitsubishi Electric Corp Communication method in lan
JPH10243021A (en) * 1997-02-21 1998-09-11 Nippon Telegr & Teleph Corp <Ntt> Destination selection type address resolution method and device therefor
JP2002513245A (en) * 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2003316745A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Access control system and access right managing method
JP2006352754A (en) * 2005-06-20 2006-12-28 Kddi Corp Peer-to-peer communication control apparatus and computer program
US20080022357A1 (en) * 2005-08-20 2008-01-24 Ankit Agarwal Assessing network and device compliance with security policies
JP2009232314A (en) * 2008-03-25 2009-10-08 Nec Corp Vlan design supporting system, vlan design supporting method, and vlan design supporting program
JP2018125669A (en) * 2017-01-31 2018-08-09 株式会社日立製作所 Device for monitoring transmission packet
JP2021111905A (en) * 2020-01-14 2021-08-02 三菱電機株式会社 Communication control system, master device, communication control method, and communication control program

Also Published As

Publication number Publication date
JP7209791B1 (en) 2023-01-20

Similar Documents

Publication Publication Date Title
US11522835B2 (en) Context based firewall service for agentless machines
CN114902627B (en) Defining wide area network policies for internet of things endpoint automation software
US8332431B2 (en) Configuration information management apparatus, configuration information management program, and configuration information management method
US9013743B2 (en) Data processing apparatus, data processing system, and computer-readable storage medium
JP7209792B1 (en) Master device, communication control method, communication control program and communication control system
US9811279B2 (en) Securing physical-storage-media data transfers
US20100131950A1 (en) Storage system and virtual interface management method
DE112012003808T5 (en) Determine the migration of the network adapter hardware health in a healthful environment
TW201401092A (en) Method, computer system and program product for dynamically adjusting log level of a transaction
JP2009017298A (en) Data analysis apparatus
US10621070B2 (en) Information processing system and updating method
US20130263222A1 (en) Computer system and security management method
CN106506302A (en) Support the communicator of dynamic MODBUS agreements mapping
WO2023249763A1 (en) Firewall rule and data flow analysis and modification
JP7209791B1 (en) Master device, communication control method, communication control program and communication control system
US20020129132A1 (en) Network management apparatus, network communication apparatus, network communication program, network communication method and computer network system
US10367781B2 (en) Information processing apparatus, method of controlling the same, and storage medium
US20200110899A1 (en) Screen capturing and masking system and method
JP2018526700A (en) System and method for content storage and retrieval
US9300631B2 (en) Information processing system, information processing apparatus, apparatus, and non-transitory computer readable medium storing information processing program
JP2022050655A (en) Business management device, business management method and business management program
JP7573693B1 (en) Edge device, communication control method, communication control program, and communication control system
JP7573692B1 (en) Master device, communication control method, communication control program, and communication control system
WO2023073952A1 (en) Security analysis device, security analysis method, and computer-readable recording medium
CN113076273B (en) Component access method, device, electronic equipment, storage medium and program product

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230110

R150 Certificate of patent or registration of utility model

Ref document number: 7209791

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150