JP6438850B2 - 評価システム - Google Patents

評価システム Download PDF

Info

Publication number
JP6438850B2
JP6438850B2 JP2015117065A JP2015117065A JP6438850B2 JP 6438850 B2 JP6438850 B2 JP 6438850B2 JP 2015117065 A JP2015117065 A JP 2015117065A JP 2015117065 A JP2015117065 A JP 2015117065A JP 6438850 B2 JP6438850 B2 JP 6438850B2
Authority
JP
Japan
Prior art keywords
policy
evaluation
result
storage unit
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015117065A
Other languages
English (en)
Other versions
JP2017005482A (ja
Inventor
宏樹 内山
宏樹 内山
雄介 藤原
雄介 藤原
大和田 徹
徹 大和田
信 萱島
信 萱島
訓 大久保
訓 大久保
純 濱中
純 濱中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015117065A priority Critical patent/JP6438850B2/ja
Priority to US15/067,484 priority patent/US10051004B2/en
Priority to DE102016207144.0A priority patent/DE102016207144B4/de
Publication of JP2017005482A publication Critical patent/JP2017005482A/ja
Application granted granted Critical
Publication of JP6438850B2 publication Critical patent/JP6438850B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、評価システムに関するものである。
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、定期的にセンサからの情報を取得し、状態を確認し、必要に応じて制御を行うということが必要となる。
このため、制御システムでは周期的に処理を行うことが通例であり、システム内の各装置で実行される処理は1周期の中で完結することが要求される。このように構築されている現在の制御システムに対して新たな処理や機器の追加や設定変更を行う際には、1周期の中で完結する処理時間となっており、制御システムの通常業務に影響を与えないことが必要であった。
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service)攻撃といったサイバー攻撃からは無縁であると考えられてきた。
しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスを防止する技術が必要となっている。
さらに、これらの攻撃は日々進化しており、新たな攻撃を予防・検知するためにはファイアウォール等で利用する通信パケットのフィルタリングポリシを定期的に更新することが必要となっている。
これらに関する技術として特許文献1には、予め対象システムを模擬したシミュレーション環境を構築し、シミュレーション環境とフィルタリング装置間で通信パケットの送受信を行うことにより、フィルタリングポリシの妥当性を評価する技術が開示されている。
国際公開第2004/062216号
特許文献1に開示された技術を使用すれば、シミュレーション可能な環境におけるフィルタリングポリシの妥当性を評価することができる。しかしながら、制御システムは利用されるアプリケーションや環境によって様々な構成があり、また、システムベンダがシステムを納入した後に顧客側で動作環境や構成を変更する可能性もあるため、シミュレーション環境を用いて現場の環境を再現することは困難である。
また、現場の環境をそのまま利用すると、制御システムの通常業務に影響を与えてしまう可能性もあるため、フィルタリングポリシを実環境に適用する前に完全に評価することはできなかった。
そこで、本発明の目的は、上記事情に鑑みてなされたものであり、制御システムの実環境を利用できるとともに通常業務に影響を与えることなく、新たなフィルタリングポリシの妥当性を評価するシステムを提供することにある。
本発明に係る代表的な評価システムは、ネットワーク装置とゲートウェイ装置とポリシ評価装置と第1の制御装置と第2の制御装置を有する評価システムであって、前記ネットワーク装置は、前記第1の制御装置から受信したパケットを複製して、前記ゲートウェイ装置と前記ポリシ評価装置へ送信し、前記ゲートウェイ装置は、前記複製されたパケットを受信して、第1のポリシ格納部に格納されたポリシに基づき第1のフィルタリング処理を実行し、前記第1のフィルタリング処理を通過したパケットを前記第2の制御装置へ送信するとともに前記第1のフィルタリング処理の結果を格納し、前記格納した第1のフィルタリング処理の結果を前記ポリシ評価装置へ送信し、前記ポリシ評価装置は、前記複製されたパケットを受信して、第2のポリシ格納部に格納されたポリシに基づき第2のフィルタリング処理を実行し、前記第2のフィルタリング処理の結果を格納し、前記送信された第1のフィルタリング処理の結果と前記格納した第2のフィルタリング処理の結果とに基づき前記第2のポリシ格納部に格納されたポリシを評価することを特徴とする。
本発明によれば、制御システムの実環境を利用できるとともに通常業務に影響与えることなく、新たなフィルタリングポリシの妥当性を評価するシステムを提供できる。
フィルタリングポリシ評価システムの構成の例を示す図である。 制御装置のハードウェア構成の例を示す図である。 ネットワーク装置、ゲートウェイ装置、ポリシ評価装置のハードウェア構成の例を示す図である。 テストサーバのハードウェア構成の例を示す図である。 実際の通信を用いてポリシ評価装置によりフィルタリングポリシを評価する処理フローの例を示す図である。 テストサーバを用いてポリシ評価装置によりフィルタリングポリシを評価する処理フローの例を示す図である。 ポリシ評価の処理フローの例を示す図である。 フィルタリングポリシの例を示す図である。 フィルタログの例を示す図である。 業務リストの例を示す図である。 評価リストの例を示す図である。 対策方針リストの例を示す図である。 ゲートウェイ装置によるフィルタリングポリシ評価システムの構成の例を示す図である。 ゲートウェイ装置のハードウェア構成の例を示す図である。 実際の通信を用いてゲートウェイ装置によりフィルタリングポリシを評価する処理フローの例を示す図である。 テストサーバを用いてゲートウェイ装置によりフィルタリングポリシを評価する処理フローの例を示す図である。
以下、本発明の好ましい実施形態について図面を参照しながら説明する。
図1は、フィルタリングポリシ評価システムの構成の例を示す図である。実施例1のフィルタリングポリシ評価システムは、図1に例示するように、制御装置10−1、制御装置10−2、ネットワーク装置20、ゲートウェイ装置30、ポリシ評価装置40、テストサーバ50、ネットワーク60から構成される。
制御装置10−1と制御装置10−2は、ネットワーク60経由の通信パケットにより送受信される制御コマンドに基づき制御業務を行う装置である。図1の例は、制御装置10−1が制御コマンドを生成し、生成した制御コマンドを制御装置10−2へ向けて送信し、制御コマンドを受信した制御装置10−2が制御業務を行う構成である。システムにおける制御装置の構成はこれに限定されるものではなく、複数の制御装置がネットワーク60に接続され、複数の制御装置がゲートウェイ装置30に接続される構成であってもよい。
制御装置10−1と制御装置10−2は、制御処理を行う制御処理部101−1と制御装置部101−2をそれぞれ備え、ネットワーク60やゲートウェイ装置30等と通信を行う通信部102−1と通信部102−2をそれぞれ備える。各部はハードウェアで構成されてもよい。また、制御装置10−1には、さらに不図示の上位サーバが接続され、上位サーバから制御装置10−1が制御されて制御コマンドを生成してもよい。なお、以下の説明において、制御装置10−1と制御装置10−2に共通の説明では制御装置10と記載する。
ネットワーク装置20は、通信パケットを中継する装置である。ネットワーク装置20は、ネットワーク装置20にネットワーク60から入力される通信パケットを複製するパケット複製部201、ネットワーク60と通信を行う第一通信部202、ポリシ評価装置40と通信を行う第二通信部203、ゲートウェイ装置30と通信を行う第三通信部204を備える。
ゲートウェイ装置30は、通信パケットをフィルタリングする装置である。ゲートウェイ装置30は、ゲートウェイ装置30に入力される通信パケットに対してフィルタリング処理を行うフィルタリング処理部301、ゲートウェイ装置30に格納されているフィルタリングポリシを更新するポリシ更新部302、ネットワーク装置20と通信を行う第一通信部303を備える。
また、ゲートウェイ装置30は、フィルタリング処理部301で利用するフィルタリングポリシを格納するポリシ格納部304、フィルタリング処理部301でフィルタリング処理を実行した結果として生成されるフィルタログを格納するフィルタログ格納部305、ポリシ評価装置40と通信を行う第二通信部306、制御装置10−2通信を行う第三通信部307を備える。各部はハードウェアで構成されてもよい。
ポリシ評価装置40は、新たに更新される予定のフィルタリングポリシを評価するための装置である。ポリシ評価装置40は、ネットワーク60と通信を行う第一通信部401、ネットワーク装置20と通信を行う第二通信部402、ポリシ評価装置40に入力される通信パケットに対してフィルタリング処理を行うフィルタリング処理部403、ポリシ評価装置40に設定されている更新用のフィルタリングポリシの妥当性を評価するポリシ評価部404を備える。
また、ポリシ評価装置40は、フィルタリングポリシを評価した結果、問題点があると判定された場合に対策案を抽出する対策方針抽出部405、業務毎に評価結果および対策方針が記載された評価リストを出力する評価リスト出力部406、所定の標準時の時刻に同期した日時情報を取得する日時情報取得部407、ゲートウェイ装置30と通信を行う第三通信部408、フィルタリング処理部403で利用するフィルタリングポリシを格納するポリシ格納部409を備える。
また、ポリシ評価装置40は、フィルタリング処理部403でフィルタリング処理を実行した結果生成されるフィルタログを格納する新フィルタログ格納部410、ゲートウェイ装置30から受信したフィルタログを格納する旧フィルタログ格納部411、ポリシ変更に伴う影響を評価する必要がある業務一覧を格納する業務リスト格納部412、業務毎に評価結果および対策方針が記載された評価リストを格納する評価リスト格納部413を備える。
また、ポリシ評価装置40は、フィルタリングポリシの評価を開始した日時を格納する評価開始日時格納部414、実際の業務データを用いて評価を行う期間を示す評価期間を格納する評価期間格納部415、フィルタリングポリシの評価結果が設計許容範囲を越えた場合の対策方針リストを格納する対策方針リスト格納部416を備える。なお、各部はハードウェアで構成されてもよい。
業務は、予め設定された業務IDにより識別されるものであり、例えば制御装置10−1に接続する1台の上位サーバが1つの業務を担当するように設定されてもよく、1台の制御装置10−2が複数の業務で使用されるように設定されてもよい。このため、業務に応じて制御装置10−1と制御装置10−2の組み合わせが特定されてもよく、業務に応じて通信パケットの送信元と送信先を含むパターンなどが予め設定されてもよい。
テストサーバ50は、ポリシ評価装置40に対して送信するテストパケットを生成するテストパケット生成部501、ネットワーク60と通信を行う通信部502、テストパケット生成部501で予め生成したテストパケットを格納するテストパケット格納部503を備える。なお、各部はハードウェアで構成されてもよい。
図2は制御装置10のハードウェア構成の例を示す図である。制御装置10は、図1を用いて説明したような制御処理部101−1、101−2と通信部102−1、102−2を備える構成以外に、図2に示すような構成、例えば一般的なコンピュータの構成であってもよい。
図2に示す制御装置10は、ネットワーク60あるいはゲートウェイ装置30の第三通信部307と接続する通信装置11、図示を省略したキーボードやディスプレイなどあるいはそれらと接続する入出力装置12、ハードディスクドライブやフラッシュメモリなどの記憶装置13、CPU(Central Processing Unit)14、メモリ15、これらを連結するバスなどの内部通信線16から構成される。
さらに、制御装置10−2は制御処理を行うための専用ハードウェアを含んでもよい。CPU14はメモリ15あるいは記憶装置13に格納されたプログラムを実行することにより、制御処理部101−1、101−2と同等の処理を実現してもよい。通信装置11は通信部102−1、102−2に相当する装置であってもよい。
図3はネットワーク装置20、ゲートウェイ装置30およびポリシ評価装置40のハードウェア構成の例を示す図である。ネットワーク装置20、ゲートウェイ装置30およびポリシ評価装置40は、図1を用いて説明したような構成以外に、図3に示すような構成、例えば一般的なコンピュータの構成であってもよい。図3に示すような構成において、ネットワーク装置20、ゲートウェイ装置30およびポリシ評価装置40は同じ構成であってもよい。
ネットワーク装置20、ゲートウェイ装置30およびポリシ評価装置40は、第一通信装置21−1、第二通信装置21−2、第三通信装置21−3、記憶装置22、入出力装置23、CPU24、メモリ25、これらを連結するバスなどの内部通信線26から構成される。
ここで、第一通信装置21−1は第一通信部202と第一通信部303と第一通信部401に相当する装置であってもよく、第二通信装置21−2は第二通信部203と第二通信部306と第二通信部402に相当する装置であってもよく、第三通信装置21−3は第三通信部204と第三通信部307と第三通信部408に相当する装置であってもよい。
これらの部を除く図1を用いて説明したネットワーク装置20、ゲートウェイ装置30およびポリシ評価装置40の各部と同等の処理を、CPU24がメモリ25あるいは記憶装置22に格納されたプログラムを実行することにより、実現してもよい。
図4はテストサーバ50のハードウェア構成の例を示す図である。テストサーバ50は、図1を用いて説明したようなテストパケット生成部501と通信部502とテストパケット格納部503を備える構成以外に、図4に示すような構成、例えば一般的なコンピュータの構成であってもよい。
テストサーバ50は、ネットワーク60と接続する通信装置51、入出力装置52、記憶装置53、CPU54、メモリ55、記憶媒体57を読み込む読取装置56、これらを連結するバスなどの内部通信線58で構成される。記憶媒体57は例えば着脱可能な可搬型の記憶媒体であり、取り外し可能なフラッシュメモリや光ディスクなどであってもよい。記憶媒体57に格納された情報は、読取装置56で読み取られ、記憶装置53に格納されてもよい。
また、CPU54はメモリ55あるいは記憶装置53に格納されたプログラムを実行することにより、テストパケット生成部501およびテストパケット格納部503と同等の処理を実現してもよい。通信装置51は通信部502に相当する装置であってもよい。
以下、フィルタリングポリシ評価システムにおける処理フローについて説明する。以下で説明する処理フローは、制御装置10、ネットワーク装置20、ゲートウェイ装置30、ポリシ評価装置40、テストサーバ50の記憶装置13、22、53に格納されたプログラムがメモリ15、25、55にそれぞれロードされ、CPU14、24、54によりそれぞれ実行されることにより、フィルタリングポリシ評価システムを構成する装置上に具現化される各処理部により実行されるものである。
ここで、各プログラムは予め記憶装置13、22、53に格納されてもよいし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されてもよい。
図5は、フィルタリングポリシ評価システムにおいて、制御装置10間の実際の通信を用いてポリシ評価装置40がフィルタリングポリシを評価する処理フローの例を示す図である。ここでは制御装置10−1から制御装置10−2に対して制御コマンドを送信する処理の例を示し、ポリシ評価装置40のポリシ格納部409に格納されたポリシが評価される。
ポリシ格納部409に格納されたポリシは、ゲートウェイ装置30のポリシ格納部304に格納されたポリシを新たに更新する予定のポリシであり、ゲートウェイ装置30で実際に使用される前に評価されるポリシである。
ポリシ評価装置40は評価開始処理を行う(S501)。ここで、評価開始処理は、日時情報取得部407が現在の日時を取得して評価開始日時格納部414に格納する処理と、業務リスト格納部412に格納されている業務リストのログ取得状況を未取得に設定する処理と、評価リスト格納部413に格納されている評価リストの実処理時間、評価結果、対策方針をクリアする処理とから構成される。なお、この処理を単にS501と表現することもあり、以下の処理でも同様の表現をすることがある。
S501とは関わりなく、制御装置10−1は制御措置10−2へ向けて複数の制御コマンドを送信する。この複数の送信の中で、S501の後にも、制御装置10−1は、制御コマンドを生成し(S502)、生成した制御コマンドを制御装置10−2へ向けて送信する。
具体的には制御コマンドの送信先を制御装置10−2のアドレスとして、ネットワーク60へ送信する。ここで、最終的な送信先が制御装置10−2のアドレスとされ、最初に到着する送信先がネットワーク装置20のアドレスとされてもよい。なお、S501でポリシ評価装置40が制御装置10−1へ通知してS502が実行されてもよい。
ネットワーク装置20は、ネットワーク60を経由して制御装置10−1から制御コマンドを受信する。そして、ネットワーク装置20は、制御装置10−1から受信した制御コマンドを複製し(S503)、複製した制御コマンドをゲートウェイ装置30およびポリシ評価装置40に送信する。
ゲートウェイ装置30は、ネットワーク装置20から受信した制御コマンドに対し、ポリシ格納部304に格納されているフィルタリングポリシを用いてフィルタリング処理を行う(S504)。フィルタリングポリシの例については図8を用いて後で説明する。そして、フィルタリング処理の結果を示す旧フィルタログを生成する(S506)。旧フィルタログの例については図9を用いて後で説明する。
ゲートウェイ装置30は、生成された旧フィルタログをフィルタログ格納部305に格納し(S508)、フィルタリング処理を行った制御コマンドを制御装置10−2に対して送信する。この例では、制御コマンドが制御装置10−1から送信される正規の通信であり、ポリシ格納部304に格納されているフィルタリングポリシに基づきフィルタリング処理を通過するとしている。
制御装置10−2は、受信した制御コマンドをもとに制御業務を行う(S510)。制御業務の内容そのものは、フィルタリング処理とは関係がないため、説明を省略する。
一方、ポリシ評価装置40は、ネットワーク装置20から受信した制御コマンドに対し、ポリシ格納部409に格納されているフィルタリングポリシを用いてフィルタリング処理を行う(S505)。そして、フィルタリング処理の結果を示す新フィルタログを生成し(S507)、生成した新フィルタログを新フィルタログ格納部410に格納する(S509)。
S502からS510までの破線で囲まれた動作が1回または複数回繰り返され、一つまたは複数の制御コマンドに対して一つまたは複数の旧フィルタログと新フィルタログが格納されてもよい。ゲートウェイ装置30は予め設定された量の旧フィルタログを格納すると、ポリシ評価装置40に対して旧フィルタログを送信する。
なお、図5において旧フィルタログの送信を破線の外に記載したが、破線の中に含めて、予め設定される量ではなく、制御コマンドごとに旧フィルタログはポリシ評価装置40へ送信されてもよい。また、所定の条件を起点とする予め設定された時間あるいは予め設定された時刻に旧フィルタログはポリシ評価装置40へ送信されてもよい。また、旧フィルタログが送信された後に、制御コマンドの送信が継続されてもよい。
旧フィルタログが送信されると、ポリシ評価装置40は、ゲートウェイ装置30から受信した旧フィルタログを旧フィルタログ格納部411に格納する(S511)。次に、ポリシ評価装置40は、受信した旧フィルタログの中に含まれる制御コマンドを業務リスト格納部412に格納されている業務リストのパケットパターンを用いて抽出し、業務リストのログ取得状況を更新する(S512)。業務リストの例については図10を用いて後で説明する。
ポリシ評価装置40は、更新した業務リストの中で旧フィルタログを取得していない業務の有無を判定する(S513)。この判定の結果、旧フィルタログをまだ取得していない業務が存在すると判定された場合には、処理を終了する(S514)。一方、全ての業務において旧フィルタログが取得されたと判定された場合には、フィルタリングポリシの評価を行う(S515)。このフィルタリングポリシの評価の詳細な手順に関しては図7を用いて後で説明する。
ポリシ評価装置40は、S515で生成された評価リストを評価リスト格納部413に格納し(S516)、格納された評価リストをポリシ評価装置40の入出力装置23や図示を省略した外部の装置等に出力する(S517)。ここで、処理を終了してもよい。
ポリシ評価装置40は、評価リストをもとに業務への影響有無を判定する(S518)。この判定の結果、業務への影響があると判定された場合には、処理を終了する(S514)。一方、業務への影響がないと判定された場合には、ポリシ評価装置40のポリシ格納部409に格納されている新たなフィルタリングポリシをゲートウェイ装置30に送信する。ゲートウェイ装置30は、受信した新たなフィルタリングポリシをポリシ格納部304に格納してポリシを更新する(S519)。
図6は、フィルタリングポリシ評価システムにおいて、テストサーバ50を用いてポリシ評価装置40がフィルタリングポリシを評価する処理フローの例を示す図である。この処理は、図5を用いて説明した処理フローと並行して実行され、S513で旧フィルタログを取得していない業務が存在すると判定され、S515が実行されず、フィルタリングポリシの評価されない状態が続くことを防ぐ。このため、所定の時間が経過すると、テストサーバ50のテストパケットを用いてフィルタリングポリシを評価する。
ポリシ評価装置40は、現在日時を取得する(S601)。次に、評価開始日時格納部414から評価開始日時を取得して評価開始日時からの経過時間を算出し(S602)、評価期間格納部415から予め設定されている評価期間を取得してS602で算出した経過時間が評価期間を経過しているか判定する(S603)。
この判定の結果、経過していないと判定された場合には、S601に戻り、現在日時を取得する。一方、経過していると判定された場合には、業務リスト格納部412に格納されている業務リストを取得し、フィルタログがまだ取得されていない業務を抽出する(S604)。ポリシ評価装置40は、この抽出された業務のIDと、この抽出された業務に対するテストパケットの要求コマンドをテストサーバ50に送信する。
これに対してテストサーバ50は、受信したテストパケット要求コマンドと業務IDをもとにテストパケット生成部502においてテストパケットの生成もしくはテストパケット格納部503に格納されているテストパケットの抽出により、テストパケットを生成する(S605)。ここで、テストパケットはシステム構築時などの試運転等のタイミングで全制御コマンドを収集してもよいし、このテストサーバ50のため人手により予め生成されて設定されてもよい。
テストサーバ50は、生成したテストパケットをポリシ評価装置40に送信する。この際、ネットワーク装置20は経由せずにポリシ評価装置40の第一通信部401に送信する。これは本来流れないテストパケットが制御装置10−2に対して送信され、業務に影響が出ることを防ぐためである。
ポリシ評価装置40は、受信したテストパケットに対して、ポリシ格納部409に格納されているフィルタリングポリシを用いてフィルタリング処理を行い(S606)、フィルタリング処理の結果を示す新フィルタログを生成する(S607)。次に、生成した新フィルタログを新フィルタログ格納部410に格納する(S608)。
ポリシ評価装置40は、生成された新フィルタログの中に含まれる制御コマンドを業務リスト格納部412に格納されている業務リストのパケットパターンを用いて抽出し、業務リストのログ取得状況を更新する(S609)。そして、更新した業務リストの中でフィルタログを取得していない業務の有無を判定する(S610)。この判定の結果、フィルタログをまだ取得していない業務が存在すると判定された場合には、S604に戻って再度テストパケットの要求とフィルタリング処理を行う。
一方、全ての業務においてフィルタログが取得されたと判定された場合には、フィルタリングポリシの評価を行う(S611)。このフィルタリングポリシの評価の詳細な手順に関しては図7を用いて後で説明する。ポリシ評価装置40は、S611で生成した評価リストを評価リスト格納部413に格納し(S612)、格納した評価リストをポリシ評価装置40の入出力装置23や図示を省略した外部の装置等に出力する(S613)。
これで処理を終了してもよい。また、図5のS518とS519を用いて説明したように、ゲートウェイ装置30のポリシ格納部304へ新たなフィルタリングポリシを格納してポリシを更新してもよい。
なお、ポリシ格納部304に格納されたフィルタリングポリシでテストパケットをフィルタリング処理した結果の旧フィルタログを、フィルタリング処理部301で実際に処理することなく、旧フィルタログ格納部411へ予め格納しておいてもよい。このために、試運転時に旧フィルタログを旧フィルタログ格納部411へ予め格納しておいてもよいし、テストパケットの内容を決定したときにそのテストパケットに対して発生する旧フィルタログを旧フィルタログ格納部411へ予め格納しておいてもよい。
図7は、フィルタリングポリシ評価システムにおいて、ポリシ評価装置40内で実行されるポリシ評価(S515、S611)の処理フローの例を示す図である。既に説明したように制御装置10−1から送信される正規の通信は、ゲートウェイ装置30のポリシ格納部304に格納されているフィルタリングポリシに基づきフィルタリング処理を通過するものである。
これに対して、制御装置10−1から送信される正規の通信が、ポリシ評価装置40のポリシ格納部409に格納されているフィルタリングポリシに基づきフィルタリング処理を通過しないのであれば、ポリシ格納部409に格納されている新たなフィルタリングポリシはシステムの正常な動作を阻害するものとなる。
このため、旧フィルタログと新フィルタログとを比較することにより、新たなフィルタリングポリシは評価される。また、フィルタリング処理の時間が長くなるフィルタリングポリシも、システムの正常な動作を阻害するものとして評価される。
まず、ポリシ評価装置40が、ポリシ評価処理を開始すると(S701)、新フィルタログ格納部410に格納されている新フィルタログを取得する(S702)。次に、旧フィルタログ格納部411に格納されている旧フィルタログを取得し(S703)、業務リスト格納部412に格納されている業務リストを取得する(S704)。
ポリシ評価装置40は、S704で取得した業務リストに含まれる1つの業務のパケットパターンをもとに新フィルタログおよび旧フィルタログに含まれる業務関連パケットを抽出する(S705)。次に、抽出した新フィルタログに含まれる業務関連パケットと旧フィルタログに含まれる業務関連パケットのフィルタリング結果を比較する(S706)。
この比較の結果、フィルタリング結果に差分があると判定された場合には、対策方針抽出を実行する(S708)。対策方針抽出の処理内容については後で説明する。一方、フィルタリング結果に差分がないと判定された場合には、新フィルタログに含まれる業務関連パケットの処理時間評価を行う(S707)。
この処理時間評価は、業務毎に予め設定されたフィルタリング処理にかけられる最大許容処理時間であって、業務リスト格納部412に格納されている業務リストに含まれる業務毎の最大許容処理時間と、抽出した業務関連パケットのログから算出されるパケットのフィルタリング処理時間とを比較し、最大許容処理時間を越えているか否かを判定する。
この判定の結果、最大許容処理時間以内であると判定された場合、ポリシ評価装置40は評価リスト作成処理を実行する(S709)。評価リスト作成の処理内容については後で説明する。一方、最大許容処理時間を越えていると判定された場合、対策方針リスト格納部416に格納されている対策方針リストの差分パターンに基づき対策案を抽出する(S708)。この対策方針リストの構成および差分パターンと対策案については、図12を用いて後で説明する。
ポリシ評価装置40は、S706からS708の結果をもとに評価リストを作成する(S709)。この評価リストの構成については図11を用いて後で説明する。S704で取得した業務リストに含まれる全ての業務の評価が終了したか、すなわち全ての業務のパケットパターンを処理したかを判定する(S710)。
この判定の結果、全ての業務の評価が終了していないと判定した場合、S705へ戻り、S704で取得した業務リストに含まれる他の業務のパケットパターンをもとに新フィルタログおよび旧フィルタログに含まれる業務関連パケットを抽出する。全ての業務の評価が終了したと判定した場合、ポリシ評価装置40はポリシ評価処理を終了し、ポリシ評価処理を実行する前の処理へ戻る(S711)。
図8は、フィルタリングポリシ評価システムにおいて、ポリシ格納部に格納されるフィルタリングポリシの例を示す図である。ここでポリシ格納部は、ゲートウェイ装置30のポリシ格納部304やポリシ評価装置40のポリシ格納部409であり、格納される情報の構成は共通である。
1つのフィルタリングポリシは、受信したパケットの通過の許可や拒否といったフィルタリングの設定情報を示すフィルタリングルール802、パケットの送信元803、パケットの送信先804、使用プロトコル805、ポート番号806という要素から構成される。フィルタリングポリシのパケットの送信元803パケットの送信先804、使用プロトコル805、ポート番号806の各値と、受信したパケットの各値とが全て一致した場合に、フィルタリングルール802が適用されるものであってもよい。
また、各値の全ての一致以外に、これらの構成要素の一部の各値が一致した場合に、フィルタリングルール802が適用されるものであってもよい。どの構成要素の値の一致を判定するかは予め設定されてもよい。フィルタリングポリシの構成要素の各値は入出力装置23あるいは図示を省略したネットワーク経由などにより予め設定されてもよい。
なお、フィルタリングポリシの構成要素はこれらに限定されるものではなく、少なくともこれらの構成要素が含まれていればよい。また、1つのフィルタリングポリシの構成要素の順序は図8に示した順序に限定されるものではない。そして、図8の例では1つのフィルタリングポリシを示したが、ポリシ格納部に複数のフィルタリングポリシが格納され、格納された順番に実行されてもよい。
図9は、フィルタリングポリシ評価システムにおいて、フィルタログ格納部に格納されるフィルタログの例を示す図である。ここでフィルタログ格納部は、ゲートウェイ装置30のフィルタログ格納部305やポリシ評価装置40の新フィルタログ格納部410および旧フィルタログ格納部411であり、格納される情報の構成は共通である。
1つのフィルタログは、入時刻901、出時刻902、フィルタリング結果903、ヘッダ904、データ905という要素から構成される。入時刻901と出時刻902はそれぞれフィルタリング処理を開始した時刻と終了した時刻であり、入時刻901の値と出時刻902の値の差分を計算することによりフィルタリング処理にかかる時間を算出できる。
このために例えば、ゲートウェイ装置30は、第一通信部303がパケットを受信した時刻を入時刻901へ格納し、第三通信部307からパケットを送信した時刻あるいはパケットを拒否と判定した時刻を出時刻902へ格納してもよい。ポリシ評価装置40は、第二通信部402がパケットを受信した時刻を入時刻901へ格納し、パケットを許可あるいは拒否と判定した時刻を出時刻902へ格納してもよい。
フィルタリング結果903は、図8を用いて説明したフィルタリングポリシに基づいてフィルタリング処理が実行された結果が格納される。フィルタリング結果903の値は許可や拒否であってもよい。ヘッダ904は、受信したパケットのヘッダであり、パケットの送信元906、パケットの送信先907、使用プロトコル908、ポート番号909から構成される。
データ905は、受信したパケットのデータであり、パケットのデータそのものでもよいし、そのようなデータを変換した値であってもよい。また、データ905はなくてもよい。パケットを受信すると、受信したパケットのヘッダとデータがヘッダ904とデータ905へ複製されて、入時刻901へ値が格納され、フィルタリング処理が終了すると、フィルタリング結果903と出時刻902へ値が格納される。
なお、フィルタログの構成要素はこれらに限定されるものではなく、少なくともフィルタリング処理時間を得られる情報、フィルタリング結果903、ヘッダ904の3要素が含まれていればよい。また、フィルタログの構成要素の順序は図9に示した順序に限定されるものではない。そして、図9の例では1つのフィルタログを示したが、フィルタログ格納部に複数のフィルタログが格納されてもよい。
図10は、フィルタリングポリシ評価システムにおいて、ポリシ評価装置40の業務リスト格納部412に格納される業務リストの例を示す図である。1つの業務リストは、業務を識別する情報を示す業務ID1002、業務毎の通信パケットの構成を示すパケットパターン1003、各業務において許容されているパケット処理時間の最大値を示す最大許容処理時間1004、各業務に関するフィルタログが取得されたか否かを示すログ取得状況1005という要素から構成される。
パケットパターン1003は、パケットの送信元1006、パケットの送信先1007、使用プロトコル1008、ポート番号1009、および特徴データ1010から構成される。この特徴データ1010は、実際に送受信されるはずのデータそのものでもよいし、そのようなデータの所定の位置の一部のデータでもよいし、そのようなデータを変換した値でもよい。また、フィルタログにデータが含まれない場合には、特徴データ1010はなくてもよい。
業務ID1002とパケットパターン1003と最大許容処理時間1004の各値は、各業務に応じて入出力装置23あるいは図示を省略したネットワーク経由などにより予め設定されてもよい。ログ取得状況1005の初期値は未取得であってもよい。
フィルタログのヘッダ904の値およびデータ905の値と業務リストのパケットパターン1003のパターンとが比較され、この比較の結果が一致するフィルタログの業務は業務ID1002の業務であると特定されてもよい。そして、一致するパケットパターン1003に対応するログ取得状況1005の値が取得済みとされてもよい。
なお、業務リストの構成要素はこれらに限定されるものではなく、少なくともこれらの要素が含まれていればよい。また、業務リストの構成要素の順序は図10に示した順序に限定されるものではない。そして、図10の例では1つの業務リストを示したが、業務リスト格納部412に複数の業務リストが格納されてもよい。
図11は、フィルタリングポリシ評価システムにおいて、ポリシ評価装置40の評価リスト格納部413に格納される評価リストの例を示す図である。1つの評価リストは、業務を識別する情報を示す業務ID1102、各業務において許容されているパケット処理時間の最大値を示す最大許容処理時間1103、取得したログから算出した実際のパケットの処理時間を示す実処理時間1104、各業務への影響有無を示す評価結果1105、評価した結果影響がある場合に出力する対策案1106という要素から構成される。
業務ID1102は業務リストの業務ID1002に対応しており、最大許容処理時間1103は業務リストの最大許容処理時間1004の値が格納される。そして、業務ID1002に対応するパケットパターン1003のパターンと一致するヘッダ904の値およびデータ905の値の入時刻901と出時刻902の差分が、実処理時間1104に格納される。
評価結果1105は、図7を用いて説明したS708により対策方針抽出をした場合に、業務への影響有を示す情報とされ、それ以外の場合は業務への影響無を示す情報とされる。また、対策案1106は、S708により抽出された対策案1203の対策内容が格納される。
なお、評価リストの構成要素はこれらに限定されるものではなく、少なくともこれらの要素が含まれていればよい。また、評価リストの構成要素の順序は図11に示した順序に限定されるものではない。そして、図11の例では1つの評価リストを示したが、評価リスト格納部413に複数の評価リストが格納されてもよい。
図12は、フィルタリングポリシ評価システムにおいて、ポリシ評価装置40の対策方針リスト格納部416に格納される対策方針リストの例を示す図である。1つの対策方針リストは、更新前ポリシ(旧ポリシ)を適用した際のログ出力と更新用ポリシ(新ポリシ)を適用した際のログ出力の2つのログの差分を分類した差分パターン1202と、差分パターンが発生している場合の対策内容である対策案1203から構成される。
ここで、更新前ポリシはゲートウェイ装置30のポリシ格納部304に格納されたポリシであり、更新用ポリシはポリシ評価装置40のポリシ格納部409に格納されたポリシであってもよい。
また、差分パターン1202は、例えば2つのログに含まれるフィルタリング結果(許可、拒否)の違いであってもよいし、処理時間の違いであってもよい。フィルタリング結果に違いである場合は、本来は許可されるべきパケットが拒否されて業務への影響が出ることが明確であるため、フィルタリング以外での対策を要求するという対策内容としてもよい。
一方、処理時間に違いがある場合は、更新用ポリシによるフィルタリング処理の時間と最大許容処理時間1004との差が予め設定された一定値以下であるか否かという点を含めてさらなる差分パターンを作成してもよい。
一定値以下の場合には、ポリシ格納部409に格納されている更新用ポリシの実行順序の見直しやポリシの内容の見直しを要求する対策内容としてもよい。一定値を越える場合には、フィルタリング結果に違いがある場合と同様にフィルタリング以外での対策を要求するといった対策内容としてもよい。
これらの差分パターン1202と対策案1203の各内容は、入出力装置23あるいは図示を省略したネットワーク経由などにより予め設定されてもよい。
なお、対策方針リストの構成要素はこれらに限定されるものではなく、少なくともこれらの要素が含まれていればよい。また、対策方針リストの構成要素の順序は図12に示した順序に限定されるものではない。そして、図11の例では1つの対策方針リストを示したが、対策方針リスト格納部416に複数の評価リストが格納されてもよい。
以上で説明したように、実際に使用する制御装置10、ゲートウェイ装置30、ネットワーク60を使用することにより実環境でのフィルタリングポリシの評価が可能になる。また、ネットワーク装置20でパケットを複製し、ポリシ評価装置40で評価することにより、実環境の通常業務へ影響を与えずに評価することができる。
さらに、実環境では発生の稀なパケットについても、所定の期間発生しない場合はテストサーバでテストパケットとして発生することにより評価が可能になる。そして、制御システムでは重要なフィルタリング処理時間の評価もできる。
実施例1のフィルタリングポリシ評価システムでは、ネットワーク装置20、ゲートウェイ装置30、ポリシ評価装置40を有したが、実施例2のフィルタリングポリシ評価システムでは、これら3つの装置を1つのゲートウェイ装置30−1にまとめる。これにより、少ないハードウェア資源でフィルタリングポリシ評価システムを構築することも可能になる。
図13は、フィルタリングポリシ評価システムの構成の例を示す図である。実施例2のフィルタリングポリシ評価システムは、図13に例示するように、制御装置10−1、10−2、ゲートウェイ装置30−1、テストサーバ50、ネットワーク60から構成される。制御装置10−1、10−2、テストサーバ50、ネットワーク60は同じ符号の既に説明した構成と同じであるので説明を省略する。
ゲートウェイ装置30−1は、ゲートウェイ装置30−1に入力される通信パケットに対して、旧ポリシ格納部304−1に格納されているフィルタリングポリシに基づいてフィルタリング処理を行う旧フィルタリング処理部301−1、新ポリシ格納部304−2に格納されているフィルタリングポリシに基づいてフィルタリング処理を行う新フィルタリング処理部301−2、旧ポリシ格納部304−1に格納されているフィルタリングポリシを更新するポリシ更新部302を備える。
また、ゲートウェイ装置30−1は、ネットワーク60と通信を行う第一通信部303、旧フィルタリング処理部301−1で利用するフィルタリングポリシを格納する旧ポリシ格納部304−1、新フィルタリング処理部301−2で利用するフィルタリングポリシを格納する新ポリシ格納部304−2、旧フィルタリング処理部301−1でフィルタリング処理を実行した結果生成されるフィルタログを格納する旧フィルタログ格納部305−1、新フィルタリング処理部301−2でフィルタリング処理を実行した結果生成されるフィルタログを格納する新フィルタログ格納部305−2を備える。
また、ゲートウェイ装置30−1は、ネットワーク60を経由してテストサーバ50と通信を行う第二通信部306と、制御装置10−2と通信を行う第三通信部307、新ポリシ格納部304−2に格納されている更新用フィルタリングポリシの妥当性を評価するポリシ評価部308、更新用フィルタリングポリシを評価した結果、問題点があると判定された場合に対策案を抽出する対策方針抽出部309を備える。
また、ゲートウェイ装置30−1は、業務毎に評価結果および対策方針が記載された評価リストを出力する評価リスト出力部310、所定の標準時の時刻に同期した日時情報を取得する日時情報取得部311、ゲートウェイ装置30−1に入力された通信パケットを複製するパケット複製部312、ポリシ変更に伴う影響を評価する必要がある業務一覧を格納する業務リスト格納部313を備える。
また、ゲートウェイ装置30−1は、業務毎に評価結果および対策方針が記載された評価リストを格納する評価リスト格納部314、更新用フィルタリングポリシの評価を開始した日時を格納する評価開始日時格納部315、実際の業務データを用いて評価を行う期間を示す評価期間を格納する評価期間格納部316、更新用フィルタリングポリシの評価結果が設計許容範囲を越えた場合の対策方針リストを格納する対策方針リスト格納部317を備える。
図14はゲートウェイ装置30−1のハードウェア構成の例を示す図である。ゲートウェイ装置30−1は、図13を用いて説明したような構成以外に、図14に示すような構成、例えば一般的なコンピュータの構成であってもよい。
ゲートウェイ装置30−1は、第一通信装置21−1、第二通信装置21−2、第三通信装置21−3、第一記憶装置22−1、第二記憶装置22−2、入出力装置23、第一CPU24−1、第二CPU24−2、第一メモリ25−1、第二メモリ25−2、これらを連結するバスなどの内部通信線26で構成される。
ここで、図13に示した各処理部のうち、例えば旧フィルタリング処理部301−1、旧ポリシ格納部304−1、旧フィルタログ格納部305−1の動作内容は、第一記憶装置22−1、第一CPU24−1、第一メモリ25−1の動作内容に対応し、その他の処理部や格納部の動作内容は第二記憶装置22−2、第二CPU24−2、第二メモリ25−2の動作内容に対応してもよい。
このよう動作内容とすることで、実業務の関連処理(旧フィルタリング処理関係)とポリシ評価関連処理(新フィルタリング処理関係)を別の実行環境で実施することができ、実業務への影響を最小化することができる。
なお、パケット複製部312の動作内容は第二CPU24−2の動作内容に対応してもよい。また、CPUの処理性能が十分に高い場合は、第一CPU24−1と第二CPU24−2に分けず、1つのCPUで構成してもよいし、第一CPU24−1と第二CPU24−2のそれぞれはCPUでなく、CPUのコアであってもよいが、実業務の関連処理の実行環境とポリシ評価関連処理の実行環境とは独立性が高く、同じ程度の処理能力の環境が望ましい。
実施例2のフィルタリングポリシ評価システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10−1、10−2やゲートウェイ装置30−1やテストサーバ50の記憶装置13、22−1、22−2、53に格納されたプログラムがメモリ15、24−1、24−2、55にロードされ、CPU14、24−1、24−2、54により実行されることにより、フィルタリングポリシ評価システムを構成する装置上に具現化される各処理部により実行されるものである。
また、各プログラムは予め記憶装置13、22−1、22−2、53に格納されてもよいし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されてもよい。
図15は、フィルタリングポリシ評価システムにおいて、制御装置10−1と10−2間の実際の通信を用いてゲートウェイ装置30−1がフィルタリングポリシを評価する処理フローの例を示す図である。ここでは制御装置10−1から制御装置10−2に対して制御コマンドを送信する処理の例を示し、ゲートウェイ装置30−1の新ポリシ格納部304−2に格納されたポリシが評価される。
ゲートウェイ装置30−1のポリシ評価部308は評価開始処理を行う(S1501)。ここで、評価開始処理とは、現在の日時を取得し、評価開始日時格納部315に格納する処理と、業務リスト格納部313に格納されている業務リストのログ取得状況を未取得に設定する処理と、評価リスト格納部314に格納されている評価リストの実処理時間、評価結果、対策方針をクリアする処理とから構成される。
S1501とは関わりなく、制御装置10−1は制御措置10−2へ向けて複数の制御コマンドを送信する。この複数の送信の中で、S1501の後にも、制御装置10−1は、制御コマンドを生成し(S1502)、生成した制御コマンドを制御装置10−2へ向けて送信する。
ゲートウェイ装置30−1のパケット複製部312は、制御装置10−1から受信した制御コマンドを複製し(S1503)、複製した制御コマンドを旧フィルタリング処理部301−1および新フィルタリング処理部301−2に送信する。
ゲートウェイ装置30−1の旧フィルタリング処理部301−1は、パケット複製部312から受信したパケットに対して旧ポリシ格納部304−1に格納されているフィルタリングポリシを用いてフィルタリング処理を行う(S1504)。次に、フィルタリング処理の結果を示す旧フィルタログを生成し(S1506)、生成した旧フィルタログを旧フィルタログ格納部305−1に格納する(S1508)。そして、フィルタリング処理を行った制御コマンドを制御装置10−2に対して送信し、ゲートウェイ装置30−1のポリシ評価部308に対して旧フィルタログ格納完了通知を送信する。
制御装置10−2は、受信した制御コマンドをもとに制御業務を行う(S1510)。
一方、ゲートウェイ装置30−1の新フィルタリング処理部301−2は、パケット複製部312から受信したパケットに対して新ポリシ格納部304−2に格納されているフィルタリングポリシを用いてフィルタリング処理を行う(S1505)。そして、フィルタリング処理の結果を示す新フィルタログを生成し(S1507)、生成した新フィルタログを新フィルタログ格納部305−2に格納し(S1509)、ゲートウェイ装置30−1のポリシ評価部308に対して新フィルタログ格納完了通知を送信する。
S1502からS1510までの破線で囲まれた動作が1回または複数回繰り返され、一つまたは複数の制御コマンドに対して一つまたは複数の旧フィルタログと新フィルタログが格納されてもよい。また、破線で囲まれた動作以降に制御コマンドの送信が継続されてもよい。
次に、ゲートウェイ装置30−1のポリシ評価部308は、旧フィルタログ格納部305−1に格納されている旧フィルタログの中に含まれる業務パケットを業務リスト格納部313に格納されている業務リストのパケットパターンを用いて抽出し、業務リストのログ取得状況を更新する(S1511)。
ポリシ評価部308は、更新した業務リストの中で旧フィルタログを取得していない業務の有無を判定する(S1512)。この判定の結果、旧フィルタログをまだ取得していない業務が存在すると判定された場合には、処理を終了する(S1513)。一方、全ての業務において旧フィルタログが取得されたと判定された場合には、フィルタリングポリシの評価を行う(S1514)。ここで、フィルタリングポリシの評価の詳細な手順に関しては、図7を用いて説明した通りである。
次に、S1514で生成した評価リストを評価リスト格納部314に格納する(S1515)。ここで、処理を終了してもよいし(S1513)、既に説明したように業務への影響有無を判定し、業務への影響がないと判定された場合には、新ポリシ格納部304−2に格納されたフィルタリングポリシを旧ポリシ格納部304−1へ格納してもよい。
図16は、フィルタリングポリシ評価システムにおいて、テストサーバ50を用いてポリシ評価装置40がフィルタリングポリシを評価する処理フローの例を示す図である。ゲートウェイ装置30−1を用いて適用するフィルタリングポリシを評価する際に評価開始日時からの経過時間が予め設定されている評価期間を経過した際に実行されてもよい。
ゲートウェイ装置30−1の日時情報取得部311は、現在日時を取得する(S1601)。次に、評価開始日時格納部315から評価開始日時を取得して評価開始日時からの経過時間を算出し(S1602)、評価期間格納部316から予め設定されている評価期間を取得し、S1602で算出した経過時間が評価期間を経過しているか判定する(S1603)。
この判定の結果、経過していないと判定された場合には、S1601に戻り、現在日時を取得する。一方、経過していると判定された場合、日時情報取得部311は、経過時間が評価期間を経過したことを示す評価期間経過通知をポリシ評価部308に送信する。
ゲートウェイ装置30−1のポリシ評価部308は、業務リスト格納部313に格納されている業務リストを取得し、フィルタログがまだ取得されていない業務を抽出する(S1604)。ポリシ評価部308は、この抽出された業務のIDと、この抽出された業務に対するテストパケットの要求コマンドをテストサーバ50に送信する。
これに対してテストサーバ50は、受信したテストパケット要求コマンドと業務IDをもとにテストパケット生成部502においてテストパケットの生成もしくはテストパケット格納部503に格納されているテストパケットの抽出により、テストパケットを生成する(S1605)。ここで、テストパケットは試運転等のタイミングで収集してもよいし、人手により予め生成されて設定されてもよい。
テストサーバ50は、生成したテストパケットをゲートウェイ装置30−1の新フィルタリング処理部301−2に送信する。この際、第一通信部303ではなく、第二通信部306に対して送信する。これは本来流れないテストパケットが制御装置10−2に対して送信され、業務に影響が出ることを防ぐためである。
ゲートウェイ装置30−1の新フィルタリング処理部301−2は、受信したテストパケットに対して新ポリシ格納部304−2に格納されているフィルタリングポリシを用いてフィルタリング処理を行い(S1606)、フィルタリング処理の結果を示す新フィルタログを生成する(S1607)。次に、生成した新フィルタログを新フィルタログ格納部305−2に格納し(S1608)、ゲートウェイ装置30−1のポリシ評価部308に対して新フィルタログ格納完了通知を送信する。
ゲートウェイ装置30−1のポリシ評価部308は、生成された新フィルタログの中に含まれる制御コマンドを業務リスト格納部313に格納されている業務リストのパケットパターンを用いて抽出し、業務リストのログ取得状況を更新する(S1609)。そして、更新した業務リストの中でフィルタログを取得していない業務の有無を判定する(S1610)。この判定の結果、フィルタログをまだ取得していない業務が存在すると判定された場合には、S1604に戻って再度テストパケットの要求とフィルタリング処理を行う。
一方、全ての業務においてフィルタログが取得されたと判定された場合には、フィルタリングポリシの評価を行う(S1611)。ここで、フィルタリングポリシの評価の詳細な手順に関しては、図7を用いて既に説明した通りである。ポリシ評価部308は、S1611で生成した評価リストを評価リスト格納部314に格納する(S1612)。
なお、旧ポリシ格納部304−1に格納されたフィルタリングポリシでテストパケットをフィルタリング処理した結果の旧フィルタログを、旧フィルタリング処理部301−1で実際に処理することなく、旧フィルタログ格納部305−1へ予め格納しておいてもよい。
以上で説明したように、実際に使用する制御装置10、ゲートウェイ装置30−1、ネットワーク60を使用することにより実環境でのフィルタリングポリシの評価が可能になる。また、ゲートウェイ装置30−1内でパケットを複製し、通常業務に対するフィルタリング処理とは別に評価することにより、実環境の通常業務へ影響を与えずに評価することができる。
さらに、実環境では発生の稀なパケットについても、所定の期間発生しない場合はテストサーバでテストパケットとして発生することにより評価が可能になる。そして、制御システムでは重要なフィルタリング処理時間の評価もでき、ゲートウェイ装置30−1が1つで評価できる。
なお、本発明の実施形態は、以上で説明した実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。たとえば、制御装置内にゲートウェイ装置の処理を含める構成や、制御装置やゲートウェイ装置にネットワークとの通信部が含まれておらず、別の装置を経由してネットワークと通信を行う構成などでもよい。これらの実施形態においてもシステム全体において行う処理に本質的な相違はない。
10−1、10−2:制御装置
20:ネットワーク装置
30、30−1:ゲートウェイ装置
40:ポリシ評価装置
50:テストサーバ
60:ネットワーク

Claims (15)

  1. ネットワーク装置とゲートウェイ装置とポリシ評価装置と第1の制御装置と第2の制御装置を有する評価システムであって、
    前記ネットワーク装置は、前記第1の制御装置から受信したパケットを複製して、前記ゲートウェイ装置と前記ポリシ評価装置へ送信し、
    前記ゲートウェイ装置は、前記複製されたパケットを受信して、第1のポリシ格納部に格納されたポリシに基づき第1のフィルタリング処理を実行し、前記第1のフィルタリング処理を通過したパケットを前記第2の制御装置へ送信するとともに前記第1のフィルタリング処理の結果を格納し、前記格納された第1のフィルタリング処理の結果を前記ポリシ評価装置へ送信し、
    前記ポリシ評価装置は、前記複製されたパケットを受信して、第2のポリシ格納部に格納されたポリシに基づき第2のフィルタリング処理を実行し、前記第2のフィルタリング処理の結果を格納し、前記送信された第1のフィルタリング処理の結果と前記格納された第2のフィルタリング処理の結果とに基づき前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする評価システム。
  2. 前記ゲートウェイ装置は、前記第1のフィルタリング処理の結果に前記複製されたパケットの通過の許可あるいは拒否である第1の結果を含め、
    前記ポリシ評価装置は、前記第2のフィルタリング処理の結果に前記複製されたパケットの通過の許可あるいは拒否である第2の結果を含め、前記第1の結果と前記第2の結果の差異を判定して、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項1に記載の評価システム。
  3. 前記ゲートウェイ装置は、前記第1のフィルタリング処理の結果に前記第1のフィルタリング処理の第1の処理時間を含め、
    前記ポリシ評価装置は、前記第2のフィルタリング処理の結果に前記第2のフィルタリング処理の第2の処理時間を含め、前記第1の処理時間と前記第2の処理時間の差異を判定し、予め設定された制約となる処理時間と前記第2の処理時間を比較して、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項2に記載の評価システム。
  4. 前記ポリシ評価装置は、前記第1の結果と前記第2の結果の差異に応じた対策案、あるいは前記予め設定された制約となる処理時間と前記第2の処理時間を比較した結果に応じた対策案の抽出により評価リストを作成し、前記評価リストを出力すること
    を特徴とする請求項3に記載の評価システム。
  5. 前記ポリシ評価装置は、前記評価の結果に基づき前記第2のポリシ格納部に格納されたポリシを前記ゲートウェイ装置へ送信し、
    前記ゲートウェイ装置は、前記送信されたポリシを前記第1のポリシ格納部へ格納すること
    を特徴とする請求項4に記載の評価システム。
  6. 前記ポリシ評価装置は、前記送信された第1のフィルタリング処理の結果から予め設定された業務に関連する結果を抽出し、前記格納された第2のフィルタリング処理の結果から前記予め設定された業務に関連する結果を抽出し、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項5に記載の評価システム。
  7. 前記ポリシ評価装置は、前記送信された第1のフィルタリング処理の結果に含まれるパケットと前記予め設定された業務に使用されるパケットとのパターンを比較して前記予め設定された業務に関連する結果を抽出し、前記格納された第2のフィルタリング処理の結果に含まれるパケットと前記予め設定された業務に使用されるパケットとのパターンを比較して前記予め設定された業務に関連する結果を抽出し、前記予め設定された業務に関連する結果を抽出すること
    を特徴とする請求項6に記載の評価システム。
  8. 前記ポリシ評価装置は、前記送信された第1のフィルタリング処理の結果が前記予め設定された業務全てに関連する結果を含むと判定した場合、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項7に記載の評価システム。
  9. 前記評価システムは、テストサーバをさらに有し、
    前記テストサーバは、前記ポリシ評価装置の要求に応じて、前記ポリシ評価装置へテストパケットを送信し、
    前記ポリシ評価装置は、前記ネットワーク装置と通信する第1の通信部および前記テストサーバと通信する第2の通信部を有し、前記第2の通信部経由で前記テストパケットを受信して、第2のポリシ格納部に格納されたポリシに基づき第2のフィルタリング処理を実行し、前記第2のフィルタリング処理の結果を格納すること
    を特徴とする請求項8に記載の評価システム。
  10. 前記ポリシ評価装置は、予め設定された評価期間が経過したと判定した場合、前記テストサーバへ前記要求を送信すること
    を特徴とする請求項9に記載の評価システム。
  11. ゲートウェイ装置とポリシ評価装置と第1の制御装置と第2の制御装置を有する評価システムであって、
    前記ゲートウェイ装置は、
    前記第1の制御装置からパケットを受信する第1の通信部と、
    前記第1の通信部で受信したパケットを複製して、前記ゲートウェイ装置と前記ポリシ評価装置へ送信するパケット複製部と、
    ポリシが格納される第1のポリシ格納部と、
    前記複製されたパケットを前記第1のポリシ格納部に格納されたポリシに基づき第1のフィルタリング処理を実行する第1のフィルタリング処理部と、
    前記第1のフィルタリング処理部による第1のフィルタリング処理を通過したパケットを前記第2の制御装置へ送信する第1の通信部と、
    前記第1のフィルタリング処理部による第1のフィルタリング処理の結果が格納される第1のフィルタログ格納部と、
    ポリシが格納される第2のポリシ格納部と、
    前記複製されたパケットを前記第2のポリシ格納部に格納されたポリシに基づき第2のフィルタリング処理を実行する第2のフィルタリング処理部と、
    前記第2のフィルタリング処理部による第2のフィルタリング処理の結果が格納される第2のフィルタログ格納部と、
    前記第1のフィルタログ格納部に格納された第1のフィルタリング処理の結果と前記第2のフィルタログ格納部に格納された第2のフィルタリング処理の結果とに基づき前記第2のポリシ格納部に格納されたポリシを評価するポリシ評価部と
    を有することを特徴とする評価システム。
  12. 前記第1のフィルタログ格納部は、前記第1のフィルタリング処理の結果に前記複製されたパケットの通過の許可あるいは拒否である第1の結果を含めて格納され、 前記第2のフィルタログ格納部は、前記第2のフィルタリング処理の結果に前記複製されたパケットの通過の許可あるいは拒否である第2の結果を含めて格納され、
    前記ポリシ評価部は、前記第1の結果と前記第2の結果の差異を判定して、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項11に記載の評価システム。
  13. 前記第1のフィルタログ格納部は、前記第1のフィルタリング処理の結果に前記第1のフィルタリング処理の第1の処理時間を含めて格納され、
    前記第2のフィルタログ格納部は、前記第2のフィルタリング処理の結果に前記第2のフィルタリング処理の第2の処理時間を含めて格納され、
    前記ポリシ評価部は、前記第1の処理時間と前記第2の処理時間の差異を判定し、予め設定された制約となる処理時間と前記第2の処理時間を比較して、前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項12に記載の評価システム。
  14. 前記ポリシ評価部は、前記第1のフィルタリング処理部と前記第2のフィルタリング処理部の完了通知に基づき前記第2のポリシ格納部に格納されたポリシを評価すること
    を特徴とする請求項13に記載の評価システム。
  15. 前記評価システムは、テストサーバをさらに有し、
    前記テストサーバは、前記ゲートウェイ装置の要求に応じて、前記ポリシ評価装置へテストパケットを送信し、
    前記ゲートウェイ装置は、前記テストサーバと通信する第3の通信部をさらに有し、
    前記第2のフィルタリング処理部は、前記第3の通信部で受信したパケットを前記第2のポリシ格納部に格納されたポリシに基づき第2のフィルタリング処理を実行すること
    を特徴とする請求項14に記載の評価システム。
JP2015117065A 2015-06-10 2015-06-10 評価システム Active JP6438850B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015117065A JP6438850B2 (ja) 2015-06-10 2015-06-10 評価システム
US15/067,484 US10051004B2 (en) 2015-06-10 2016-03-11 Evaluation system
DE102016207144.0A DE102016207144B4 (de) 2015-06-10 2016-04-27 Auswertungssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015117065A JP6438850B2 (ja) 2015-06-10 2015-06-10 評価システム

Publications (2)

Publication Number Publication Date
JP2017005482A JP2017005482A (ja) 2017-01-05
JP6438850B2 true JP6438850B2 (ja) 2018-12-19

Family

ID=57395445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015117065A Active JP6438850B2 (ja) 2015-06-10 2015-06-10 評価システム

Country Status (3)

Country Link
US (1) US10051004B2 (ja)
JP (1) JP6438850B2 (ja)
DE (1) DE102016207144B4 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
JP6869869B2 (ja) * 2017-10-26 2021-05-12 株式会社日立製作所 制御システムのための対策立案システムおよび監視装置
CN115037513A (zh) * 2022-04-27 2022-09-09 锐捷网络股份有限公司 一种安全策略的配置方法及装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7100201B2 (en) * 2002-01-24 2006-08-29 Arxceo Corporation Undetectable firewall
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US20050125697A1 (en) 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
JPWO2004062216A1 (ja) * 2002-12-27 2006-05-18 富士通株式会社 ファイアウォールのポリシをチェックする装置
US20050050316A1 (en) * 2003-08-25 2005-03-03 Amir Peles Passive SSL decryption
US8179895B2 (en) * 2006-08-01 2012-05-15 Tekelec Methods, systems, and computer program products for monitoring tunneled internet protocol (IP) traffic on a high bandwidth IP network
US20090174551A1 (en) * 2008-01-07 2009-07-09 William Vincent Quinn Internet activity evaluation system
US20130179936A1 (en) 2012-01-09 2013-07-11 International Business Machines Corporation Security policy management using incident analysis
KR101312125B1 (ko) * 2012-02-22 2013-09-26 주식회사 팬택 콘텐츠 필터링 장치 및 방법
WO2014076821A1 (ja) * 2012-11-16 2014-05-22 富士通株式会社 検証システム、管理装置、検証方法およびプログラム
US9819551B2 (en) * 2013-11-20 2017-11-14 Big Switch Networks, Inc. Systems and methods for testing networks with a controller
JP5783238B2 (ja) 2013-12-20 2015-09-24 東洋製罐株式会社 容器の密封装置
RO131470A2 (ro) * 2015-04-10 2016-10-28 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru măsurarea întârzierii unei linii de comunicaţii unidirecţionale

Also Published As

Publication number Publication date
DE102016207144A1 (de) 2016-12-15
US20160366182A1 (en) 2016-12-15
US10051004B2 (en) 2018-08-14
DE102016207144B4 (de) 2023-02-09
JP2017005482A (ja) 2017-01-05

Similar Documents

Publication Publication Date Title
EP2987090B1 (en) Distributed event correlation system
US9762546B2 (en) Multi-connection system and method for service using internet protocol
US20140283079A1 (en) Stem cell grid
CN106911648B (zh) 一种环境隔离方法及设备
US9245147B1 (en) State machine reference monitor for information system security
JP6379013B2 (ja) ネットワーク制御システム、ネットワーク制御方法及びプログラム
JP6438850B2 (ja) 評価システム
JP2008084266A (ja) 検疫システム、検疫方法、および検疫プログラム
TW201509151A (zh) 具安全防護連結之遠端診斷的方法與電腦程式產品及實施該方法之資訊設備
CN113507480B (zh) 网络设备、网闸设备和系统、网络间数据传输及汇报方法
KR102594203B1 (ko) 비정상 트랜잭션 요청의 발생 위치 제공 방법 및 그 장치
CN113614718A (zh) 异常用户会话检测器
CN107800722A (zh) 隔离工控设备与外部网络服务器的方法及装置
CN111104282A (zh) 一种基于区块链的节点处理方法和装置
JP7274438B2 (ja) 資産情報管理システム、及び資産情報管理方法
KR102229438B1 (ko) 클라우드 컴퓨팅 및 블록체인 기반의 스마트 홈 시스템
WO2017043073A1 (ja) 通信先判定装置、通信先判定方法、及び、記録媒体
US9936008B2 (en) Method and system for dynamically shifting a service
JP2019022099A (ja) セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム
JP7074187B2 (ja) 監視装置、監視方法及びプログラム
JP6890073B2 (ja) 情報収集装置、情報収集システム
JP2018113493A (ja) クライアント装置、システム、情報処理方法及びプログラム
JP6356075B2 (ja) ログ収集システムおよびログ収集方法
KR102253506B1 (ko) 블록체인 기반 분산 원장 관리 장치 및 방법
CN113190364A (zh) 远程调用管理方法、装置、计算机设备及可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181119

R150 Certificate of patent or registration of utility model

Ref document number: 6438850

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150