JP6021552B2 - 監視装置、監視システム、プログラム、及び監視方法 - Google Patents

監視装置、監視システム、プログラム、及び監視方法 Download PDF

Info

Publication number
JP6021552B2
JP6021552B2 JP2012213598A JP2012213598A JP6021552B2 JP 6021552 B2 JP6021552 B2 JP 6021552B2 JP 2012213598 A JP2012213598 A JP 2012213598A JP 2012213598 A JP2012213598 A JP 2012213598A JP 6021552 B2 JP6021552 B2 JP 6021552B2
Authority
JP
Japan
Prior art keywords
information
communication
network
monitoring
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012213598A
Other languages
English (en)
Other versions
JP2014068293A (ja
Inventor
和夫 橋本
和夫 橋本
健太郎 大西
健太郎 大西
史雄 延命
史雄 延命
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2012213598A priority Critical patent/JP6021552B2/ja
Publication of JP2014068293A publication Critical patent/JP2014068293A/ja
Application granted granted Critical
Publication of JP6021552B2 publication Critical patent/JP6021552B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、エネルギー管理システムにおける監視装置、監視システム、プログラム、及び監視方法に関する。
建物の設備機器の監視や制御を行うことで建物のエネルギー消費を管理するエネルギー管理システム(例えば、BEMS(Building and Energy Management System)など)が知られている。
また、顧客の建物のエネルギー管理システムを、クラウトシステムなどのシステムにより遠隔から管理することで、顧客に対してエネルギー管理の支援サービスを提供するエネルギー管理支援システムが知られている。
例えば、特許文献1には、顧客施設内の設備機器の運転状態や室内環境に関するデータが顧客施設の外部のサービス提供施設に送られ、サービス提供施設が顧客施設内の設備機器を最適化制御するための支援を行うことが記載されている。
特開2011−248568号公報
ところで、近年エネルギー管理の重要性が高まる中、建物内の設備機器だけでなく、PC(Personal Computer)やサーバなどのいわゆるIT(Information Technology)機器についても統合的に管理して、管理を効率化したいという要望が高まっている。また、インターネットなどのネットワークを介して設備機器を遠隔操作することができるシステムでは、従来想定されていない設備機器の不正操作などのセキュリティリスクが高まっている。そのため、設備機器を含むネットワーク全体を統合的に監視することが求められている。
そこで、本発明は、エネルギー管理システムにおいて、設備機器及びIT機器を統合的に管理することを目的とする。
本願は、上記課題の少なくとも一部を解決する手段を複数含んでいるが、その例を挙げるならば、以下のとおりである。
上記の課題を解決するための本発明の第一の態様は、監視装置であって、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有する、ことを特徴とする。
上記の監視装置は、前記第一のネットワーク上の通信をキャプチャするキャプチャ部と、前記第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集部と、前記キャプチャ部によりキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する経路情報を生成する第一の生成部と、前記ログ収集部により収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する経路情報を生成する第二の生成部と、を有し、前記第一の取得部は、前記第一の生成部が生成した経路情報を前記第一の経路情報として取得し、前記第二の取得部は、前記第二の生成部が生成した経路情報を前記第二の経路情報として取得する、ことを特徴としてもよい。
上記の監視装置は、宛先のアドレス情報と、当該宛先へのアクセスが許可される送信元のアドレス情報とを関連付けたアクセス許可情報を取得する第三の取得部と、前記第一のネットワーク上の通信を監視し、当該通信に含まれるアドレス情報と、前記アクセス情報に含まれるアドレス情報とに基づいて、当該通信のアクセスが許可されているか否かを監視する第一の監視部と、を有し、前記出力部は、前記第一の監視部により許可されていないと判定された通信を特定する表示情報を出力する、ことを特徴としてもよい。
上記の監視装置は、前記第一のネットワーク上の通信経路及び前記第二ネットワーク上の通信経路ごとに、当該通信経路上の通信に関するパラメータと比較するための閾値を関連付けた閾値情報を取得する第四の取得部と、前記第一のネットワーク上の通信経路及び前記第二のネットワーク上の通信経路を監視し、前記通信経路ごとに、当該通信経路における通信に関する前記パラメータを求め、前記閾値情報に基づいて当該パラメータが前記閾値を超えているか否かを判定する第二の監視部と、を有し、前記出力部は、前記第二の監視部により前記閾値を超えていると判定された通信経路を特定する表示情報を出力する、ことを特徴としてもよい。
上記の監視装置は、前記出力部により出力される前記接続関係を表す表示情報に対する入力を受け付ける入力部を有し、前記出力部は、前記IT機器、前記設備機器、及び前記制御装置に対応するオブジェクトと、前記オブジェクト間のリンクと、により前記接続関係を表す表示情報を出力し、前記入力部は、前記オブジェクトについて、関連するファイルを特定する情報の設定を受け付けて保持し、前記出力部は、前記ファイルを特定する情報が設定されたオブジェクトに関連付けて、当該ファイル内容を表す表示情報を出力する、ことを特徴としてもよい。
上記の監視装置であって、前記出力部は、前記システム構成情報に基づいて、前記IT機器及び前記制御装置の接続関係に関連付けて前記第一のネットワークの範囲を表す表示情報を出力し、前記制御装置及び前記設備機器の接続関係に関連付けて前記第二のネットワークの範囲を表す表示情報を出力する、ことを特徴としてもよい。
上記の課題を解決するための本発明の第二の態様は、監視システムであって、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続される監視装置と、前記エネルギー管理システムに接続される端末とを備え、前記監視装置は、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有し、前記端末は、前記出力部から出力された表示情報を表示する表示部を有する、ことを特徴とする。
上記の課題を解決するための本発明の第三の態様は、監視装置のプログラムであって、前記監視装置は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、前記プログラムは、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を前記監視装置に実行させる、ことを特徴とする。
上記の課題を解決するための本発明の第四の態様は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムの監視方法であって、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を含む、ことを特徴とする。
上記した以外の課題、構成、及び効果は、以下の実施形態の説明により明らかにされる。
本発明の一実施形態に係るエネルギー管理システム1のシステム構成の一例を示す図。 通信監視装置100の機能構成の一例を示す図。 通信情報テーブル191の一例を示す図。 通信情報テーブル192の一例を示す図。 システム構成テーブル201の一例を示す図。 監視ルールテーブル211の一例を示す図。 監視ルールテーブル212の一例を示す図。 アクセスリスト221の一例を示す図。 コンピューター300のハードウェア構成の一例を示す図。 通信情報生成処理の一例を示すフロー図。 システム構成情報生成処理の一例を示すフロー図。 システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その1)。 システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その2)。 システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その3)。 システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その4)。 監視ルール生成処理の一例を示すフロー図。 監視ルールを編集するユーザーインターフェイス画面600の一例を示す図。 不正通信監視処理の一例を示すフロー図。 不正通信を通知するユーザーインターフェイス画面700の一例を示す図。 システム構成を編集するユーザーインターフェイス画面500の変形例を示す図。
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本発明の一実施形態に係るエネルギー管理システム1のシステム構成の一例を示す図である。
エネルギー管理システム1では、BEMSなどのエネルギー管理システムが構築された顧客施設10と、顧客施設10に対してエネルギー管理に関する支援サービスを提供するサービス提供施設20とが、インターネット40を介して接続されている。
顧客施設10には、管理サーバ11と、管理端末12と、エネルギー制御装置14と、設備機器15と、計測機器16とが含まれている。なお、設備機器15及び計測機器16は、それぞれ一以上含まれている。
管理サーバ11、管理端末12、及びエネルギー制御装置14は、いわゆるIT機器としての機能を備えており、ネットワーク(以下、「IT機器ネットワーク」ともいう。)を介して互いに通信可能である。IT機器ネットワークは、例えば、IEEE802.3の規格のLANであり、ルーターなどの通信機器を介して、インターネット40に接続されている。IT機器ネットワークでは、通信プロトコルとして、例えば、IP(Internet Protocol)などが用いられる。
エネルギー制御装置14は、設備機器15及び計測機器16と、ネットワーク(以下、「設備機器ネットワーク」ともいう。)を介して互いに通信可能である。設備機器ネットワークは、エネルギー制御装置14を介してIT機器ネットワークと接続されており、IT機器が、直接的に設備機器15及び計測機器16にアクセスできないようになっている。すなわち、設備機器ネットワークでは、IT機器ネットワークとは異なる既存の通信プロトコルが用いられる。
設備機器15は、例えば、ガス設備、電気設備、空調設備などの建物の所要の場所に設置された設備を構成する機器である。また、計測機器16は、各設備の所要の場所に設けられ、各設備や設備機器15の消費エネルギーなどの運転状態や、温度などの環境に関する情報を計測する機器である。なお、設備機器及び計測機器の両方を含めて、単に設備機器と呼んでもよい。
エネルギー制御装置14は、設備機器15及び計測機器16の運転状態の監視、制御などを行う装置であり、ビルコントローラーなどとも呼ばれる。エネルギー制御装置14は、設備機器15及び計測機器16の個々を監視、制御するコントローラーを集約していてもよい。また、エネルギー制御装置14は、設備機器15及び計測機器16から取得した情報を、管理サーバ11又は遠隔管理サーバ21に送信できる。また、エネルギー制御装置14は、管理サーバ11又は遠隔管理サーバ21から、設備機器15及び計測機器16の動作を直接的または間接的に決める制御パラメータ値を受信し、この制御パラメータ値に基づいて、設備機器15及び計測機器16を制御することができる。
本実施形態では、エネルギー制御装置14は、設備機器15及び計測機器16との通信のログを記録することができるようになっている。また、ログ情報をIT機器ネットワーク側に送信することができるようになっている。ログ情報には、例えば、通信した宛先の設備機器15及び計測機器16の識別情報、宛先との通信内容(日付時刻、通信種別、データ量など)などが含まれる。
管理サーバ11は、エネルギー制御装置14を制御する。管理サーバ11は、例えば、エネルギー制御装置14を介して設備機器15及び計測機器16の情報を取得する。また、例えば、取得した情報に基づいて、設備機器15の消費エネルギーなどの情報を含むグラフを生成し、管理端末12に出力して表示させる。また、管理サーバ11は、管理端末12を介して制御パラメータ値などの入力を受け付け、エネルギー制御装置14に送信してもよい。また、管理サーバ11は、設備機器15及び計測機器16の情報を、遠隔管理サーバ21に送信してもよい。
管理端末12は、管理サーバ11を操作するための装置である。顧客側管理者13は、管理端末12を介して管理サーバ11を操作することで、エネルギー情報の確認や、設備機器15の制御などを行うことができる。管理サーバ11を用いることにより、顧客施設10に、いわゆるBEMSが構築される。
サービス提供施設20には、遠隔管理サーバ21と、管理端末22とが含まれている。これらは、LANなどのネットワークを介して接続されている。
遠隔管理サーバ21及び管理端末22は、いわゆるIT機器としての機能を備えており、ネットワーク(以下、「IT機器ネットワーク」ともいう。)を介して互いに通信可能である。IT機器ネットワークは、例えば、LANであり、ルーターなどの通信機器を介して、インターネット40に接続されている。
遠隔管理サーバ21は、顧客施設10に対するエネルギー管理支援を行う。遠隔管理サーバ21は、例えば、管理サーバ11又はエネルギー制御装置14から、設備機器15及び計測機器16の情報を取得する。また、例えば、取得した情報に基づいて、分析、評価、シミュレーションなどを行って、省エネルギー効果の高い制御を行うための制御パラメータ値を生成し、管理サーバ11又はエネルギー制御装置14に送信する。
管理端末22は、遠隔管理サーバ21を操作するための装置である。サービス側管理者23は、管理端末22を介して遠隔管理サーバ21を操作することで、エネルギー情報の確認や、分析、評価、シミュレーションなどに関する入力などを行うことができる。このように、遠隔管理サーバ21により、顧客施設10に対するエネルギー管理支援が提供される。
本実施形態では、上述のようにBEMSが構築された顧客施設10内に、通信監視装置100が設置され、IT機器ネットワークに接続される。詳細は後述するが、通信監視装置100は、IT機器ネットワーク及び設備機器ネットワークの情報を収集し、収集した情報に基づいて、IT機器ネットワーク及び設備機器ネットワークを統合したシステム構成情報を生成する。また、IT機器ネットワーク及び設備機器ネットワークを統合したシステムにおける、不正通信(例えば、不正アクセス者51による、インターネット40に接続された端末50からの管理サーバ11、管理端末12、エネルギー制御装置14などに対する攻撃が考えられる。)の監視を行う。通信監視装置100を用いることにより、エネルギー管理システム1を監視する監視システムが構築される。
上記の図1のエネルギー管理システム1の構成は、本願発明の特徴を説明するにあたって主要構成を説明したのであって、上記の構成に限られない。また、一般的なエネルギー管理システムが備える構成を排除するものではない。
図2は、通信監視装置100の機能構成の一例を示す図である。
通信監視装置100は、制御部110と、記憶部180と、通信部230とを有する。
記憶部180には、通信情報記憶部190と、システム構成情報記憶部200と、監視ルール記憶部210と、アクセスリスト記憶部220とが含まれる。
通信情報記憶部190は、顧客施設10のIT機器ネットワーク上の通信に関する情報(以下、「通信情報」ともいう。)と、設備機器ネットワーク上の通信情報とを格納する。
IT機器ネットワークの通信情報は、例えば、図3(通信情報テーブル191の一例を示す図)に示すように構成される。通信情報テーブル191には、送信元アドレス情報1911と、宛先アドレス情報1912と、通信データ量1913と、通信頻度1914と、を関連付けたレコードが格納される。
送信元アドレス情報1911及び宛先アドレス情報1912は、送信元及び宛先を特定するアドレス情報であり、例えば、IPアドレスである。通信データ量1913は、送信元アドレス情報1911及び宛先アドレス情報1912で特定される通信(「通信経路」と呼んでもよい。)のデータ量であり、例えば、当該通信の単位時間あたりのデータ量である。通信頻度1914は、送信元アドレス情報1911及び宛先アドレス情報1912で特定される通信の頻度であり、例えば、当該通信の単位時間あたりのIPパケットの数である。
設備機器ネットワークの通信情報は、例えば、図4(通信情報テーブル192の一例を示す図)に示すように構成される。通信情報テーブル192には、エネルギー制御装置ID1921と、機器ID1922と、通信データ量1923と、通信頻度1924と、を関連付けたレコードが格納される。
エネルギー制御装置ID1921は、エネルギー制御装置14の識別情報であり、例えば、IPアドレスである。機器ID1922は、設備機器15及び計測機器16の識別情報であり、例えば、エネルギー制御装置ID1921が各機器の監視、制御に使用している各機器のIDである。通信データ量1923は、エネルギー制御装置ID1921及び機器ID1922で特定される通信(「通信経路」と呼んでもよい。)のデータ量であり、例えば、当該通信の単位時間あたりのデータ量である。通信頻度1924は、エネルギー制御装置ID1921及び機器ID1922で特定される通信の頻度であり、例えば、当該通信の単位時間あたりの通信パケットなどの通信単位の数である。
なお、上述した通信データ量や通信頻度は、後述する不正通信の監視において使用される尺度である。ただし、不正通信の監視ができれば、使用する尺度は、通信データ量や通信頻度に限定されるものではない。また、使用する尺度は、一つでも複数でもよい。また、不正通信の監視ができれば、通信データ量や通信頻度の定義は、上述した定義に限られない。例えば、通信データ量は、一連の通信(一回の通信)ごとのデータ量の平均や最大値であってもよし、通信頻度は、単位時間あたりの一連の通信の回数であってもよい。
図2に戻って、システム構成情報記憶部200は、顧客施設10のIT機器ネットワーク及び設備機器ネットワークの両方を含むシステムの構成情報(以下、「システム構成情報」ともいう。)を格納する。
システム構成情報は、例えば、図5(システム構成テーブル201の一例を示す図)に示すように構成される。システム構成テーブル201には、構成要素ID2011と、名称2012と、補足情報2013と、オブジェクト情報2014と、接続関係2015と、を関連付けたレコードが格納される。
構成要素ID2011は、システムを構成する各構成要素(IT機器、設備機器等)の識別情報であり、例えば、上述したIPアドレスや機器IDなどである。名称2012は、構成要素ID2011で特定される構成要素の名称であり、例えば、文字列などである。補足情報2013は、構成要素に関する補足情報であり、例えば、文字列、関連ファイルへのパスなどである。オブジェクト情報2014は、構成要素に対応するオブジェクトを表示する画面上の位置、当該オブジェクトの大きさなどを特定する情報である。接続関係2015は、構成要素ID2011で特定される構成要素の他の構成要素との接続関係を特定する情報であり、例えば、当該他の構成要素の構成要素IDである。
図2に戻って、監視ルール記憶部210は、顧客施設10のIT機器ネットワーク上の不正通信の監視ルールと、設備機器ネットワーク上の不正通信の監視ルールとを格納する。
IT機器ネットワークの監視ルールは、例えば、図6(監視ルールテーブル211の一例を示す図)に示すように構成される。監視ルールテーブル211には、送信元アドレス情報2111と、宛先アドレス情報2112と、通信データ量閾値2113と、通信頻度閾値2114と、を関連付けたレコードが格納される。
送信元アドレス情報2111及び宛先アドレス情報2112は、監視対象の通信を特定する送信元アドレス及び宛先アドレスである。通信データ量閾値2113は、送信元アドレス情報2111及び宛先アドレス情報2112で特定される通信が不正通信であるか否かを判定するための通信データ量の閾値である。通信頻度閾値2114は、送信元アドレス情報2111及び宛先アドレス情報2112で特定される通信が不正通信であるか否かを判定するための通信頻度の閾値である。
設備機器ネットワークの監視ルールは、例えば、図7(監視ルールテーブル212の一例を示す図)に示すように構成される。監視ルールテーブル212には、エネルギー制御装置ID2121と、機器ID2122と、通信データ量閾値2123と、通信頻度閾値2124と、を関連付けたレコードが格納される。
エネルギー制御装置ID2121及び機器ID2122は、監視対象の通信を特定するエネルギー制御装置14のIPアドレス及び機器IDである。通信データ量閾値2123は、エネルギー制御装置ID2121及び機器ID2122で特定される通信が不正通信であるか否かを判定するための通信データ量の閾値である。通信頻度閾値2124は、エネルギー制御装置ID2121及び機器ID2122で特定される通信が不正通信であるか否かを判定するための通信頻度の閾値である。
図2に戻って、アクセスリスト記憶部220は、顧客施設10の宛先のIT機器に対してアクセスが許可される送信元の情報(以下、「アクセスリスト」ともいう。)を格納する。
アクセスリストは、例えば、図8(アクセスリスト221の一例を示す図)に示すように構成される。アクセスリスト221には、宛先アドレス情報2211と、許可送信元アドレス情報2212と、を関連付けたレコードが格納される。
宛先アドレス情報2211及び許可送信元アドレス情報2212は、宛先及び当該宛先に対してアクセスが許可される送信元を特定するアドレス情報であり、例えば、IPアドレスである。
なお、上述したアクセスリストは、後述する不正アクセスの監視において使用される。ただし、不正アクセスの監視ができれば、アクセスリストの構成や使用方法は限定されない。例えば、アクセスリストに送信元アドレス(又は宛先アドレス、又は送信元アドレスと宛先アドレスの組み合わせ)を登録し、登録されていない送信アドレスからの通信(又は登録されていない宛先アドレスへの通信、又は登録されていない送信元アドレスと宛先アドレスの組み合わせの通信)を不正アクセスと判断してもよい。また、逆に、登録されている送信アドレスからの通信(又は登録されている宛先アドレスへの通信、又は登録されている送信元アドレスと宛先アドレスの組み合わせの通信)を不正アクセスと判断してもよい。
図2に戻って、制御部110は、情報生成部120と、キャプチャ部130と、ログ収集部140と、監視部150と、入力制御部160と、出力制御部170とを有する。
情報生成部120は、キャプチャ部130が収集する顧客施設10のIT機器ネットワーク上の通信のキャプチャ情報に基づいて、通信情報テーブル191を生成する。また、ログ収集部140が収集する顧客施設10の設備機器ネットワーク上の通信のログ情報に基づいて、通信情報テーブル192を生成する。
また、情報生成部120は、通信情報テーブル191、通信情報テーブル192、及び入力制御部160を介して取得した入力情報に基づいて、システム構成テーブル201を生成する。また、情報生成部120は、入力制御部160を介して取得した入力情報に基づいて、監視ルールテーブル211、及び監視ルールテーブル212、アクセスリスト221を生成する。
キャプチャ部130は、通信部230を介してIT機器ネットワーク上の通信パケットなどをキャプチャし、記憶部180などにバッファリングする。なお、キャプチャ技術は、公知の技術を用いることができる。
ログ収集部140は、通信部230を介してエネルギー制御装置14にログ情報を要求し、収集する。そして、記憶部180などにバッファリングする。
監視部150は、キャプチャ部130からキャプチャ情報を取得し、取得したキャプチャ情報に基づいて、監視ルールテーブル211に含まれる送信元アドレス情報2111及び宛先アドレス情報2112から特定される通信ごとに、当該通信の通信データ量及び通信頻度を算出し、更新する。また、対応する通信ごとに、更新した通信データ量及び通信頻度と、通信データ量閾値2113及び通信頻度閾値2114とを比較することで、不正通信の発生を監視する。
また、監視部150は、ログ収集部140からログ情報を取得し、取得したログ情報に基づいて、監視ルールテーブル212に含まれるエネルギー制御装置ID2121及び機器ID2122から特定される通信ごとに、当該通信の通信データ量及び通信頻度を算出し、更新する。また、対応する通信ごとに、更新した通信データ量及び通信頻度と、通信データ量閾値2123及び通信頻度閾値2124とを比較することで、不正通信の発生を監視する。
また、監視部150は、キャプチャ部130からキャプチャ情報を取得し、取得したキャプチャ情報に基づいて、アクセスリスト221の宛先アドレス情報2211と一致する宛先アドレスを含む通信を特定する。そして、当該特定した通信の送信元アドレスが、許可送信元アドレス情報2212と一致するか否かを判定することで、不正通信の発生を監視する。
入力制御部160は、通信部230を介して、管理端末12又は管理端末22からの情報の入力を制御する。入力制御部160は、例えば、管理端末12又は管理端末22に表示された通信監視装置100を操作するためのユーザーインターフェイス画面に対する入力を受け付ける。なお、入力制御部160は、後述する自装置の入力装置350を介した情報の入力を制御する。
出力制御部170は、通信部230を介して、管理端末12又は管理端末22への情報の出力を制御する。出力制御部170は、例えば、通信監視装置100を操作するためのユーザーインターフェイス画面を、管理端末12又は管理端末22に出力する。なお、出力制御部170は、後述する自装置の出力装置360を介した情報の出力を制御してもよい。
通信部230は、IT機器ネットワークと接続し、IT機器ネットワークを介した情報の送受信を行う。
上述した通信監視装置100は、例えば、図9(コンピューター300のハードウェア構成の一例を示す図)に示すような、CPU(Central Processing Unit)310と、メモリー320と、HDD等の外部記憶装置330と、無線や有線により通信ネットワークに接続するための通信装置340と、マウスやキーボードなどの入力装置350と、液晶ディスプレイなどの出力装置360と、DVD(Digital Versatile Disk)などの記録媒体に対する情報の読書きを行う読書き装置370、を備えるコンピューター300で実現できる。
例えば、制御部110は、外部記憶装置330に記憶されている所定のプログラムをメモリー320にロードしてCPU310で実行することで実現可能である。記憶部180は、CPU310がメモリー320又は外部記憶装置330を利用することにより実現可能である。通信部230は、CPU310が通信装置340を利用することで実現可能である。
上記の所定のプログラムは、通信装置340を介してネットワークから、外部記憶装置330にダウンロードされ、それから、メモリー320上にロードされてCPU310により実行されるようにしてもよい。また、通信装置340を介してネットワークから、メモリー320上に直接ロードされ、CPU310により実行されるようにしてもよい。また、コンピューター300が、読書き装置370にセットされた記憶媒体から、上記の所定のプログラムを、外部記憶装置330あるいはメモリー320にロードするようにしてもよい。
なお、上述した管理サーバ11、管理端末12、遠隔管理サーバ21、及び管理端末22も、例えば、図9に示すようなコンピューター300で実現することができる。
上記の図2の通信監視装置100の構成は、理解容易にするために、主な処理内容に応じて分類したものである。構成要素の分類の仕方や名称によって、本願発明が制限されることはない。通信監視装置100の構成は、処理内容に応じて、さらに多くの構成要素に分類することもできる。また、1つの構成要素がさらに多くの処理を実行するように分類することもできる。また、各構成要素の処理は、1つのハードウェアで実行されてもよいし、複数のハードウェアで実行されてもよい。また、各構成要素の処理は、1つのプログラムで実現されてもよいし、複数のプログラムで実現されてもよい。
また、上記の図3〜図8の各情報のテーブルは、一例であり、図示した例に限られない。また、各情報は、テーブル構造に限られず、他のデータ構造であってもよい。
次に、上記の通信監視装置100で実現される動作について説明する。
図10は、通信情報生成処理の一例を示すフロー図である。なお、キャプチャ部130によるキャプチャ処理と、ログ収集部140によるログ情報の収集処理は、例えば、本フローと並列的に実行される。
本フローが開始されると、情報生成部120は、キャプチャ部130からキャプチャ情報を取得する(S11)。キャプチャ情報には、例えば、IT機器ネットワーク上を流れるIPパケットの情報などが含まれる。
また、情報生成部120は、ステップS11で取得したキャプチャ情報に基づいて、通信情報を生成する(S12)。具体的には、情報生成部120は、取得したキャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスに対応する送信元アドレス情報1911及び宛先アドレス情報1912が通信情報テーブル191に含まれているか否かを判定する。含まれていない場合、取得した送信元アドレス及び宛先アドレスを含むレコードを通信情報テーブル191に追加する。また、情報生成部120は、取得したキャプチャ情報に含まれるIPパケットに対応するレコードの通信データ量1913及び通信頻度1914を更新する。
なお、情報生成部120は、例えば、通信情報テーブル191に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内にキャプチャされた各IPパケットのデータ量を、キャプチャした時刻情報とともに記録する。情報生成部120は、この記録を用いて、各レコードの通信データ量1913及び通信頻度1914を算出することができる。
それから、情報生成部120は、通信情報の生成を終了するか否かを判定する(S13)。具体的には、情報生成部120は、本フローの開始から一定時間が経過したか否か、又は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。通信情報の生成を終了しない場合(S13:N)、処理をS11に戻す。
通信情報の生成を終了する場合(S13:Y)、情報生成部120は、ログ収集部140からログ情報を取得する(S14)。ログ情報には、例えば、エネルギー制御装置14のIPアドレス、通信した宛先の設備機器15及び計測機器16の機器IDや、宛先との通信内容(日付時刻、通信種別、データ量など)が含まれる。
また、情報生成部120は、ステップS14で取得したログ情報に基づいて、通信情報を生成する(S15)。具体的には、情報生成部120は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するエネルギー制御装置ID1921及び機器ID1922が通信情報テーブル192に含まれているか否かを判定する。含まれていない場合、取得したエネルギー制御装置14のIPアドレス及び宛先の機器IDを含むレコードを通信情報テーブル192に追加する。また、情報生成部120は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するレコードの通信データ量1923及び通信頻度1924を更新する。
なお、情報生成部120は、例えば、通信情報テーブル192に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内に収集した各通信のデータ量を、収集した時刻情報とともに記録する。情報生成部120は、この記録を用いて、各レコードの通信データ量1923及び通信頻度1924を算出することができる。
それから、情報生成部120は、通信情報の生成を終了するか否かを判定する(S16)。具体的には、情報生成部120は、本フローの開始から一定時間が経過したか否か、又は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。通信情報の生成を終了しない場合(S16:N)、処理をS14に戻す。通信情報の生成を終了する場合(S16:Y)、本フローを終了する。
上記のフローにより、後述の図11のシステム構成情報生成処理で使用される通信経路の情報を含む通信情報を生成することができる。また、後述の図16の監視ルール生成処理で表示される通信情報を生成することができる。なお、S11〜S13の処理と、S14〜S16の処理は、別々に、例えば、並列的に行われるようにしてもよい。
図11は、システム構成情報生成処理の一例を示すフロー図である。
本フローが開始されると、情報生成部120は、通信情報を取得する(S21)。具体的には、情報生成部120は、通信情報記憶部190から、通信情報テーブル191及び通信情報テーブル192を取得する。
それから、情報生成部120は、システム構成情報を生成する(S22)。具体的には、情報生成部120は、通信情報テーブル191に含まれる各レコードの通信経路(送信元アドレス情報1911及び宛先アドレス情報1912で特定できる。)に基づいて、各構成要素(送信元アドレス情報1911又は宛先アドレス情報1912で識別できる。)の間の接続関係を特定する。
また、情報生成部120は、システム構成テーブル201に、識別した構成要素ごとに、レコードを追加し、当該構成要素のIPアドレスを構成要素ID2011として設定するとともに、当該構成要素と接続関係を有する他の構成要素のIPアドレスを接続関係2015として設定する。本ステップでは、名称2012、補足情報2013、及びオブジェクト情報2014には、情報を設定しない。
また、情報生成部120は、通信情報テーブル192に含まれる各レコードの通信経路(エネルギー制御装置ID1921及び機器ID1922で特定できる。)に基づいて、各構成要素(エネルギー制御装置ID1921又は機器ID1922で識別できる。)の間の接続関係を特定する。
また情報生成部120は、システム構成テーブル201に、識別した構成要素ごとに、レコードを追加し、当該構成要素の識別情報(エネルギー制御装置ID1921又は機器ID1922)を構成要素ID2011として設定するとともに、当該構成要素と接続関係を有する他の構成要素の識別情報を接続関係2015として設定する。本ステップでは、名称2012、補足情報2013、及びオブジェクト情報2014には、情報を設定しない。
それから、出力制御部170は、システム構成を表示する(S23)。具体的には、出力制御部170は、システム構成情報記憶部200から、システム構成テーブル201を取得する。そして、システム構成テーブル201の各レコードの構成要素ID2011に基づいて、各構成要素に対応するオブジェクトを配置した表示情報を生成する。なお、各オブジェクトは、表示の際に互いに重ならないように配置するものとする。また、各レコードの接続関係2015に基づいて、接続関係がある各構成要素のオブジェクト間を結ぶリンクの表示情報を生成する。そして、生成した表示情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図12(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その1))に示すようなユーザーインターフェイス画面500を、ディスプレイに出力する。本図に示すように、ユーザーインターフェイス画面500には、オブジェクト510とリンク520とから構成されるシステム構成が表示される。オブジェクト510の中には、構成要素ID2011(「20.1.2.101」、「20.1.2.110」、「20.1.2.111」、「1」、「2」、「3」)が表示される。なお、本図の例は、システム構成テーブル201(図5)の各レコードの構成要素ID2011及び接続関係2015に設定されている値に基づいている。
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成が表示される。
ここで、管理端末12又は管理端末22は、キーボードやマウスなどの入力装置により、ユーザーインターフェイス画面500に表示されたシステム構成に関する編集操作を受け付けることができる。
図11に戻って、入力制御部160は、通信部230を介して、管理端末12又は管理端末22からシステム構成を編集する操作の入力を受け付ける(S24)。なお、出力制御部170は、編集操作に応じた表示情報を生成して出力するものとする。
具体的には、例えば、入力制御部160は、ユーザーインターフェイス画面500に表示されたオブジェクト510の位置及び大きさを調整する操作を受け付ける。例えば、図13(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その2))に示すように、図12と比べて、各IT機器及び各設備機器のオブジェクト(「20.1.2.101」、「20.1.2.110」、「20.1.2.111」、「1」、「2」、「3」)510の配置が変更されるとともに、各設備機器のオブジェクト(「1」、「2」、「3」)510の大きさが小さく変更されている。なお、リンク520は、接続関係2015に基づいてオブジェクト520間の接続を保ったまま表示される。入力制御部160は、各オブジェクト510の位置及び大きさを示す情報を保持する。
また、例えば、入力制御部160は、オブジェクト510に対して、関連する情報の入力を受け付ける。例えば、図14(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その3))に示すように、オブジェクト「1」の選択を受け付けた場合、出力制御部170は、当該オブジェクトに関する詳細情報を設定するためのダイアログ530を表示する。ダイアログ530では、オブジェクト(構成要素)の名称、補足情報としてのメモ、補足情報としてファイルのパスの設定を受け付けることができる。入力制御部160は、ダイアログ530に設定された詳細情報(名称、メモ、ファイル)を受け付け、保持する。なお、名称には、例えば、IT機器、設備機器、計測機器の名称などを設定し、メモには、例えば、各機器の設置場所など、ファイルには、例えば、各機器の外観を撮影した写真などを設定することが考えられる。
図15は、システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その4)である。本図は、各オブジェクト510の名称及び補足情報が設定された場合を示している。本図に示すように、各オブジェクト510には、構成要素ID2011と名称2012(「管理端末」、「管理サーバ」、「制御装置」、「空調設備」、「照明設備」、「防犯設備」)が表示されている。また、例えば、オブジェクト「1」が選択された場合、出力制御部170は、当該オブジェクトに関する詳細情報を表示するダイアログ540を表示する。ダイアログ540では、オブジェクトの補足情報としてのメモと、補足情報としての画像情報のパスで指定された画像とが表示されている。
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、各機器の詳細情報が表示される。そのため、例えば、作業者が、設備機器に直接作業を行いたい場合などに、位置や外観を事前に確認することができる。
図11に戻って、情報生成部120は、システム構成の編集が終了したか否かを判定する(S25)。具体的には、情報生成部120は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。編集が終了していない場合(S25:N)、処理をS24に戻す。
編集が終了した場合(S25:Y)、情報生成部120は、本フローを終了する。この場合、情報生成部120は、ステップS24で設定された各オブジェクトの位置、大きさ、詳細情報などを、入力制御部160から取得し、システム構成テーブル201を更新する。例えば、オブジェクトの位置及び大きさを、オブジェクト情報2014に設定し、ダイアログ530で設定された名称を、名称2012に設定し、補足情報(メモ、画像ファイルのパス)を、補足情報2013に設定する。
なお、本フローの手順に限らず、出力制御部170は、管理端末12又は管理端末22からの要求に応じて、システム構成を出力することができる。すなわち、出力制御部170は、要求を受け付けた場合、システム構成テーブル201に基づいてシステム構成の表示情報を生成し、当該システム構成を含むユーザーインターフェイス画面の表示情報を生成し、管理端末12又は管理端末22に出力する。また、入力制御部160は、当該ユーザーインターフェイス画面における編集操作を受け付けることができる。
このように、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に対して、顧客側管理者13又はサービス側管理者23の要望に応じてシステム構成を編集できる。
図16は、監視ルール生成処理の一例を示すフロー図である。
本フローが開始されると、出力制御部170は、通信情報及び監視ルールを取得する(S31)。具体的には、出力制御部170は、通信情報記憶部190から、通信情報テーブル191及び通信情報テーブル192を取得するとともに、監視ルール記憶部210から、監視ルールテーブル211及び監視ルールテーブル212を取得する。
それから、出力制御部170は、通信情報及び監視ルールを表示する(S32)。例えば、出力制御部170は、通信情報テーブル191及び通信情報テーブル192と、監視ルールの各レコードの情報を入力する欄と、を含むユーザーインターフェイス画面の表示情報を、通信部230を介して管理端末12又は管理端末22に出力する。
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図17(監視ルールを編集するユーザーインターフェイス画面600の一例を示す図)に示すようなユーザーインターフェイス画面600を、ディスプレイに出力する。ユーザーインターフェイス画面600には、通信情報テーブル191に対応する通信情報テーブル610と、通信情報テーブル192に対応する通信情報テーブル620とが、実績データとして表示される。
また、ユーザーインターフェイス画面600には、監視ルールテーブル211に対応する監視ルールテーブル630と、監視ルールテーブル212に対応する監視ルールテーブル640とが、監視ルールとして表示される。なお、監視ルールテーブルに、レコードが格納されていない場合は、空欄を表示するようにすればよい。
ここで、管理端末12又は管理端末22は、キーボードやマウスなどの入力装置により、ユーザーインターフェイス画面600上で、監視ルールの編集操作を受け付けることができる。
図16に戻って、入力制御部160は、監視ルールを編集する操作の入力を受け付ける(S33)。なお、出力制御部170は、編集操作に応じた表示情報を生成して出力するものとする。
例えば、入力制御部160は、監視ルールテーブル630の各情報(送信元アドレス情報、宛先アドレス情報、通信データ量閾値、通信頻度閾値)の設定、及び、監視ルールテーブル640の各情報(エネルギー制御装置ID、機器ID、通信データ量閾値、通信頻度閾値)の設定を、通信部230を介して受け付ける。
図16に戻って、情報生成部120は、監視ルールの編集が終了したか否かを判定する(S34)。例えば、情報生成部120は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。編集が終了していない場合(S34:N)、処理をS33に戻す。
編集が終了した場合(S34:Y)、情報生成部120は、本フローを終了する。この場合、情報生成部120は、ステップS33で設定された、監視ルールテーブル630及び、監視ルールテーブル640の各レコードの情報を、入力制御部160から取得し、監視ルールテーブル211及び監視ルールテーブル212に設定する。
このように、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に対して、管理者13又は管理者23の要望に応じて不正通信を監視する監視ルールを設定することができる。
なお、アクセスリスト221についても同様にして生成することができる。例えば、出力制御部170は、アクセスリストの各レコードの情報を入力する欄を含むユーザーインターフェイス画面を出力する。また、入力制御部160は、アクセスリストの各情報(宛先アドレス情報、許可送信元アドレス情報)の設定を、通信部230を介して受け付ける。編集が終了した場合、情報生成部120は、設定されたアクセスリストの各レコードの情報を、入力制御部160から取得し、アクセスリスト221に設定する。
図18は、不正通信監視処理の一例を示すフロー図である。なお、キャプチャ部130によるキャプチャ処理と、ログ収集部140によるログ情報の収集処理は、例えば、本フローと並列的に実行される。
本フローが開始されると、監視部150は、監視ルール記憶部210から、監視ルールテーブル211及び監視ルールテーブル212を取得する(S41)。また、監視部150は、アクセスリスト記憶部220から、アクセスリスト221を取得する(S42)。
それから、監視部150は、キャプチャ部130からキャプチャ情報を取得する(S43)。
また、監視部150は、ステップS43で取得したキャプチャ情報に基づいて、通信がアクセス許可されているか否かを判定する(S44)。具体的には、監視部150は、キャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスを取得する。そして、取得した宛先アドレスと一致する宛先アドレス情報2211が、ステップS42で取得したアクセスリスト221に含まれているか否かを判定する。含まれていない場合、アクセス許可されていると判定して(S44:Y)、処理をS46に進める。含まれている場合、取得した宛先アドレスと一致する宛先アドレス情報2211に関連付けられている許可送信元アドレス情報2212と、取得した送信元アドレスとが一致するか否かを判定する。一致する場合、アクセス許可されていると判定して(S44:Y)、処理をS46に進める。一致しない場合、アクセス許可されていない(アクセス禁止されている)と判定して(S44:N)、処理をS45に進める。
ステップS45では、出力制御部170は、アクセス許可されていない通信があったことを、通知する(S45)。例えば、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS44でアクセス許可されていないと判定された送信元アドレスのオブジェクト及び宛先アドレスのオブジェクトと、これらのオブジェクトを結ぶリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して管理端末12又は管理端末22に出力する。
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図19(不正通信を通知するユーザーインターフェイス画面700の一例を示す図)に示すようなユーザーインターフェイス画面700を、ディスプレイに出力する。ユーザーインターフェイス画面700には、図15と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、アクセス許可されていないと判定された送信元アドレスのオブジェクト710と、当該オブジェクト710及び当該オブジェクト710の宛先アドレスのオブジェクトを結ぶリンク720と、当該リンク720の通信が未許可であることを示すダイアログ730とが表示される。
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、不正アクセスと予想される通信を特定する情報が表示される。
図18に戻って、ステップS46では、監視部150は、ステップS43で取得したキャプチャ情報の集計を行う(S46)。具体的には、監視部150は、取得したキャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスに対応する送信元アドレス情報2111及び宛先アドレス情報2112を有するレコードが、監視ルールテーブル211に含まれているか否かを判定する。含まれている場合、監視部150は、当該レコードに関連付けている通信データ量及び通信頻度の実績値を更新する。
なお、監視部150は、監視ルールテーブル211に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内にキャプチャされた各IPパケットのデータ量を、キャプチャした時刻情報とともに記録する。監視部150は、この記録を用いて、各レコードの通信データ量及び通信頻度の実績値を算出することができる。
それから、監視部150は、ステップS46で集計したキャプチャ情報の通信データ量及び通信頻度の実績値が、閾値を超えたか否かを判定する(S47)。具体的には、監視部150は、ステップS46で更新した通信データ量及び通信頻度の実績値が、対応する通信データ量閾値2113及び通信頻度閾値2114を超えているか否かを判定する。いずれの実績値も閾値を超えていない場合(S47:N)、処理をS49に進める。その他の場合(S47:Y)、処理をS48に進める。
ステップS48では、出力制御部170は、閾値を超えている通信経路が検出されたことを、通知する(S48)。具体的には、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS47で閾値を超えていると判定されたリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図19(不正通信を通知するユーザーインターフェイス画面700の一例を示す図)に示すようなユーザーインターフェイス画面700を、ディスプレイに出力する。ユーザーインターフェイス画面700には、図15と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていると判定された通信を結ぶリンク740が、他のリンク520及びリンク720と区別して分かる態様で表示される。また、当該リンク740の通信が、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていることを示すダイアログ750が表示される。なお、ダイアログ750では、閾値を超えていると判定された項目(通信データ量及び通信頻度の少なくともいずれか一方)について、通知すればよい。
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、IT機器ネットワーク上の不正通信が発生している可能性がある通信を特定する情報が表示される。
図18に戻って、監視部150は、ログ収集部140からログ情報を取得する(S49)。
また、監視部150は、ステップS49で取得したログ情報の集計を行う(S50)。具体的には、監視部150は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するエネルギー制御装置ID2121及び機器ID2122を有するレコードが、監視ルールテーブル212に含まれているか否かを判定する。含まれている場合、監視部150は、当該レコードに関連付けている通信データ量及び通信頻度の実績値を更新する。
なお、監視部150は、監視ルールテーブル212に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内に収集した各通信のデータ量を、収集した時刻情報とともに記録する。監視部150は、この記録を用いて、各レコードの通信データ量及び通信頻度の実績値を算出することができる。
それから、監視部150は、ステップS50で集計したログ情報の通信データ量及び通信頻度の実績値が、閾値を超えたか否かを判定する(S51)。具体的には、監視部150は、ステップS50で更新した通信データ量及び通信頻度の実績値が、対応する通信データ量閾値2123及び通信頻度閾値2124を超えているか否かを判定する。いずれの実績値も閾値を超えていない場合(S51:N)、処理をS43に戻す。その他の場合(S51:Y)、処理をS52に進める。
ステップS52では、出力制御部170は、閾値を超えている通信があったことを、通知する(S52)。具体的には、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS51で閾値を超えていると判定された通信のリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
例えば、ユーザーインターフェイス画面700には、図19と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていると判定された通信を結ぶリンク760が、他のリンク520及びリンク720と区別して分かる態様で表示される。また、当該リンク760の通信が、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていることを示すダイアログ770が表示される。なお、ダイアログ770では、閾値を超えていると判定された項目(通信データ量及び通信頻度の少なくともいずれか一方)について、通知すればよい。
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、設備機器ネットワーク上の不正通信が発生している可能性がある通信を特定する情報が表示される。
図18に戻って、監視部150は、ステップS52の終了後、処理をステップS43に戻す。
上記の図10、図11、図16、及び図18のフローチャートの処理単位は、制御部110の処理を理解容易にするために、主な処理内容に応じて分割したものである。処理単位の分割の仕方や名称によって、本願発明が制限されることはない。制御部110の処理は、処理内容に応じて、さらに多くの処理単位に分割することもできる。また、1つの処理単位がさらに多くの処理を含むように分割することもできる。また、上記のフローチャートの処理順序も、図示した例に限られるものではない。
また、上記の図12〜図15、図17、及び図19のユーザーインターフェイス画面の構成は、図示された例に限られない。
以上、本発明の一実施形態について説明した。本実施形態によれば、エネルギー管理システムにおいて、設備機器及びIT機器を統合的に管理することができる。
また、通信監視装置100を顧客施設10に設置することで、顧客施設10のシステム変更等をほぼ行わずに、監視システムを構築することができるため、コストをなるべく抑えつつ監視サービスを提供することができる。
なお、以上の本発明の実施形態は、本発明の要旨と範囲を例示することを意図し、限定するものではない。多くの代替物、修正、変形例は当業者にとって明らかである。
例えば、複数の顧客施設10それぞれに通信監視装置100を設置し、管理端末22で、顧客施設10それぞれのシステム構成及び不正通信を、集中的に監視するようにしてもよい。このようにすれば、複数の顧客施設10のシステム構成及び不正通信を効率的に監視することができる。
例えば、出力制御部170は、システム構成を表示する場合、IT機器ネットワークの範囲と設備機器ネットワークの範囲とを示す情報を出力ようにしてもよい。具体的には、例えば、図20(システム構成を編集するユーザーインターフェイス画面500の変形例を示す図)に示すように、IT機器ネットワークを構成するオブジェクト510及びリンク520を含むIT機器ネットワークの範囲550が表示される。また、設備機器ネットワークを構成するオブジェクト510及びリンク520を含む設備機器ネットワークの範囲560が表示される。なお、出力制御部170は、例えば、システム構成テーブル201の構成要素ID2011が、通信情報テーブル191及び通信情報テーブル192のいずれに含まれるかを判定することで、構成要素ID2011が示す機器がIT機器であるか設備機器であるかを特定することができる。このようにすれば、顧客側管理者13又はサービス側管理者23は、IT機器ネットワーク及び設備機器ネットワークの範囲を認識し易くなる。
1:エネルギー管理システム、10:顧客施設、11:管理サーバ、12:管理端末、13:顧客側管理者、14:エネルギー制御装置、15:設備機器、16:計測機器、20:サービス提供施設、21:遠隔管理サーバ、22:管理端末、23:サービス側管理者、40:インターネット、50:端末、51:不正アクセス者、100:通信監視装置、110:制御部、120:情報生成部、130:キャプチャ部、140:ログ収集部、150:監視部、160:入力制御部、170:出力制御部、180:記憶部、190:通信情報記憶部、191:通信情報テーブル、192:通信情報テーブル、200:システム構成情報記憶部、201:システム構成テーブル、210:監視ルール記憶部、211:監視ルールテーブル、212:監視ルールテーブル、220:アクセスリスト記憶部、221:アクセスリスト、230:通信部、300:コンピューター、310:CPU、320:メモリー、330:外部記憶装置、340:通信装置、350:入力装置、360:出力装置、370:読書き装置、500:ユーザーインターフェイス画面、510:オブジェクト、520:リンク、530:ダイアログ、540:ダイアログ、550:範囲、560:範囲、600:ユーザーインターフェイス画面、610:通信情報テーブル、620:通信情報テーブル、630:監視ルールテーブル、640:監視ルールテーブル、700:ユーザーインターフェイス画面、710:オブジェクト、720:リンク、730:ダイアログ、740:リンク、750:ダイアログ、760:リンク、770:ダイアログ、1911:送信元アドレス情報、1912:宛先アドレス情報、1913:通信データ量、1914:通信頻度、1921:エネルギー制御装置ID、1922:機器ID、1923:通信データ量、1924:通信頻度、2011:構成要素ID、2012:名称、2013:補足情報、2014:オブジェクト情報、2015:接続関係、2111:送信元アドレス情報、2112:宛先アドレス情報、2113:通信データ量閾値、2114:通信頻度閾値、2121:エネルギー制御装置ID、2122:機器ID、2123:通信データ量閾値、2124:通信頻度閾値、2211:宛先アドレス情報、2212:許可送信元アドレス情報

Claims (8)

  1. 監視装置であって、
    IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、
    前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信をキャプチャするキャプチャ部と、
    前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集部と、
    前記キャプチャ部によりキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する第一の経路情報を生成する第一の生成部と、
    前記ログ収集部により収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する第二の経路情報を生成する第二の生成部と、
    前記生成された第一の経路情報を取得する第一の取得部と、
    前記生成された第二の経路情報を取得する第二の取得部と、
    前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、
    前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有する
    ことを特徴とする監視装置。
  2. 請求項1に記載の監視装置であって、
    アドレス情報を含むアクセス情報を取得する第三の取得部と、
    前記第一のネットワーク上の通信を監視し、当該通信に含まれるアドレス情報と、前記アクセス情報に含まれるアドレス情報とに基づいて、当該通信のアクセスが許可されているか否かを監視する第一の監視部と、を有し、
    前記出力部は、前記第一の監視部により許可されていないと判定された通信を特定する表示情報を出力する、
    ことを特徴とする監視装置。
  3. 請求項1又は2に記載の監視装置であって、
    前記第一のネットワーク上の通信経路及び前記第二ネットワーク上の通信経路ごとに、当該通信経路上の通信に関するパラメータと比較するための閾値を関連付けた閾値情報を取得する第四の取得部と、
    前記第一のネットワーク上の通信経路及び前記第二のネットワーク上の通信経路を監視し、前記通信経路ごとに、当該通信経路における通信に関する前記パラメータを求め、前記閾値情報に基づいて当該パラメータが前記閾値を超えているか否かを判定する第二の監視部と、を有し、
    前記出力部は、前記第二の監視部により前記閾値を超えていると判定された通信経路を特定する表示情報を出力する、
    ことを特徴とする監視装置。
  4. 請求項1〜3のいずれか一項に記載の監視装置であって、
    前記出力部により出力される前記接続関係を表す表示情報に対する入力を受け付ける入力部を有し、
    前記出力部は、前記IT機器、前記設備機器、及び前記制御装置に対応するオブジェクトと、前記オブジェクト間のリンクと、により前記接続関係を表す表示情報を出力し、
    前記入力部は、前記オブジェクトについて、関連するファイルを特定する情報の設定を受け付けて保持し、
    前記出力部は、前記ファイルを特定する情報が設定されたオブジェクトに関連付けて、当該ファイル内容を表す表示情報を出力する、
    ことを特徴とする監視装置。
  5. 請求項1〜4のいずれか一項に記載の監視装置であって、
    前記出力部は、前記システム構成情報に基づいて、前記IT機器及び前記制御装置の接続関係に関連付けて前記第一のネットワークの範囲を表す表示情報を出力し、前記制御装置及び前記設備機器の接続関係に関連付けて前記第二のネットワークの範囲を表す表示情報を出力する、
    ことを特徴とする監視装置。
  6. 監視システムであって、
    IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続される監視装置と、前記エネルギー管理システムに接続される端末とを備え、
    前記監視装置は、
    前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信をキャプチャするキャプチャ部と、
    前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集部と、
    前記キャプチャ部によりキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する第一の経路情報を生成する第一の生成部と、
    前記ログ収集部により収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する第二の経路情報を生成する第二の生成部と、
    前記生成された第一の経路情報を取得する第一の取得部と、
    前記生成された第二の経路情報を取得する第二の取得部と、
    前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、
    前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有し、
    前記端末は、
    前記出力部から出力された表示情報を表示する表示部を有する、
    ことを特徴とする監視システム。
  7. 監視装置のプログラムであって、
    前記監視装置は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、
    前記プログラムは、
    前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信をキャプチャするキャプチャステップと、
    前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集ステップと、
    前記キャプチャステップでキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する第一の経路情報を生成する第一の生成ステップと、
    前記ログ収集ステップで収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する第二の経路情報を生成する第二の生成ステップと、
    前記生成された第一の経路情報を取得する第一の取得ステップと、
    前記生成された第二の経路情報を取得する第二の取得ステップと、
    前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、
    前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を前記監視装置に実行させる、
    ことを特徴とするプログラム。
  8. IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続される監視装置における監視方法であって、
    前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信をキャプチャするキャプチャステップと、
    前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集ステップと、
    前記キャプチャステップでキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する第一の経路情報を生成する第一の生成ステップと、
    前記ログ収集ステップで収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する第二の経路情報を生成する第二の生成ステップと、
    前記生成された第一の経路情報を取得する第一の取得ステップと、
    前記生成された第二の経路情報を取得する第二の取得ステップと、
    前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、
    前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を含む、
    ことを特徴とする監視方法。
JP2012213598A 2012-09-27 2012-09-27 監視装置、監視システム、プログラム、及び監視方法 Active JP6021552B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012213598A JP6021552B2 (ja) 2012-09-27 2012-09-27 監視装置、監視システム、プログラム、及び監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012213598A JP6021552B2 (ja) 2012-09-27 2012-09-27 監視装置、監視システム、プログラム、及び監視方法

Publications (2)

Publication Number Publication Date
JP2014068293A JP2014068293A (ja) 2014-04-17
JP6021552B2 true JP6021552B2 (ja) 2016-11-09

Family

ID=50744265

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012213598A Active JP6021552B2 (ja) 2012-09-27 2012-09-27 監視装置、監視システム、プログラム、及び監視方法

Country Status (1)

Country Link
JP (1) JP6021552B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6350602B2 (ja) 2016-06-23 2018-07-04 日本電気株式会社 通信ネットワーク判定装置、通信ネットワーク判定方法、及び、通信ネットワーク判定プログラム
JP2018029276A (ja) * 2016-08-18 2018-02-22 ヤフー株式会社 ネットワーク構成管理装置、ネットワーク構成管理システム、ネットワーク構成管理方法、及びネットワーク構成管理プログラム
JP7230677B2 (ja) 2019-05-13 2023-03-01 オムロン株式会社 制御装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH081628B2 (ja) * 1993-06-10 1996-01-10 日本電気株式会社 情報ネットワークの管理方法
JP2002259508A (ja) * 2001-03-05 2002-09-13 Hitachi Ltd エネルギー監視システム
JP2004032377A (ja) * 2002-06-26 2004-01-29 Nippon Telegr & Teleph Corp <Ntt> ボトルネック推定方法並びに装置および前記方法のプログラムを記録したコンピュータ読取り可能な記録媒体
JP2006302297A (ja) * 2003-10-22 2006-11-02 Omron Corp 制御システム設定装置および制御システム設定方法ならびに設定プログラム
JP4616785B2 (ja) * 2006-03-28 2011-01-19 富士通株式会社 サービス品質管理装置及びサービス品質管理方法
JP4996496B2 (ja) * 2008-02-12 2012-08-08 株式会社Pfu ネットワーク監視システム、および、ネットワーク監視方法
JP5030852B2 (ja) * 2008-04-26 2012-09-19 三菱電機株式会社 機器管理装置及び機器管理方法及びプログラム
JP4809880B2 (ja) * 2008-09-09 2011-11-09 日本電信電話株式会社 ネットワークトポロジ推定システム、ネットワークトポロジ推定方法及び記録媒体
JP5407883B2 (ja) * 2010-01-14 2014-02-05 富士通株式会社 トポロジーツリー作成装置、プログラム、及び方法

Also Published As

Publication number Publication date
JP2014068293A (ja) 2014-04-17

Similar Documents

Publication Publication Date Title
JP6672141B2 (ja) 試験デバイスを監視する遠隔コンピューティングデバイスのためのモバイルアプリケーション相互作用ユーザインターフェース
JP6371707B2 (ja) 情報管理方法、制御システム及び表示機器の制御方法
JP4894619B2 (ja) 画面出力設定方法、情報処理装置及び情報処理システム
JP5966270B2 (ja) システム及び機器管理プログラム
US10621069B2 (en) Information processing apparatus and non-transitory computer readable medium
JP2014219962A (ja) セキュリティ管理システム、入力装置、セキュリティ管理方法およびプログラム
JPWO2014185052A1 (ja) 情報管理方法
JP2010218062A (ja) 情報提供装置、情報提供システム、情報提供方法、情報提供プログラム、及びそのプログラムを記録した記録媒体
JP6021552B2 (ja) 監視装置、監視システム、プログラム、及び監視方法
JP2014153806A (ja) 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
JP2011065289A (ja) 遠隔管理装置、遠隔管理システム、改善提案方法、改善提案プログラム、及びそのプログラムを記録した記録媒体
JP5066222B2 (ja) ネットワーク解析支援装置、ネットワーク解析支援方法及びプログラム
JP5089716B2 (ja) データ収集装置、空気調和装置、データ収集システム、データ収集方法及びプログラム
JP6028830B2 (ja) 遠隔管理装置、機器管理方法、及びプログラム
JP5250614B2 (ja) データ収集システム
JP4826221B2 (ja) アクセス分析システム
JP2009169863A (ja) 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
JP6362102B2 (ja) 管理装置及び制御方法
JP6292223B2 (ja) 情報処理装置、情報処理システム、及び情報処理方法
JP6007320B2 (ja) 計算機、関連性算出方法及び記憶媒体
JP2016119037A (ja) 情報管理装置、情報管理システム、情報管理方法、プログラムおよび情報機器
US20190121688A1 (en) Information processing apparatus
JP2014132492A (ja) 情報提供装置、情報提供システム、情報提供方法、情報提供プログラム、及びそのプログラムを記録した記録媒体
WO2023195190A1 (ja) 連携提案装置、連携提案システム、連携提案方法及びプログラム
JP5805166B2 (ja) 通信試験装置、通信試験方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160902

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161004

R150 Certificate of patent or registration of utility model

Ref document number: 6021552

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250