JP6655658B2 - 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム - Google Patents

通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム Download PDF

Info

Publication number
JP6655658B2
JP6655658B2 JP2018106217A JP2018106217A JP6655658B2 JP 6655658 B2 JP6655658 B2 JP 6655658B2 JP 2018106217 A JP2018106217 A JP 2018106217A JP 2018106217 A JP2018106217 A JP 2018106217A JP 6655658 B2 JP6655658 B2 JP 6655658B2
Authority
JP
Japan
Prior art keywords
information
transmission
whitelist
destination
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018106217A
Other languages
English (en)
Other versions
JP2019213010A (ja
Inventor
優太郎 清村
優太郎 清村
一展 松崎
一展 松崎
幸生 小池
幸生 小池
桑野 秀豪
秀豪 桑野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2018106217A priority Critical patent/JP6655658B2/ja
Publication of JP2019213010A publication Critical patent/JP2019213010A/ja
Application granted granted Critical
Publication of JP6655658B2 publication Critical patent/JP6655658B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラムに関する。
IoTデバイスの増加に伴い、マルウェアに感染したIoTデバイスに接続されたサーバがマルウェアによる攻撃を受け、サーバの可用性が低下する可能性が増している。マルウェアは、具体的には、IoTデバイスとサーバとの間の通信におけるIoTデバイスの通信先を変更するなどして、IoTデバイスとサーバとの間の通信を阻害し、サーバの可用性を低下させる。IoTデバイスの通信先を限定するホワイトリスト機能によって、このようなマルウェアの攻撃によるサーバの可用性の低下を抑制していた。しかしながら、このようなホワイトリスト機能では、通信制限をするべきIoTデバイスの設定は、IoTデバイスごとに手動で行われた(非特許文献1参照)。そのため、ユーザの負担が大きいとともに、新たなマルウェアに対する対策が遅れ、サーバの可用性が低下する場合があった。
このような問題を解決するため、IoTデバイスとサーバとの間でデータの中継を行うゲートウェイごとに通信を制限する方法が行われることもあった(非特許文献2参照)。しかしながら、このような方法は、ゲートウェイに接続されたIoTデバイス全てとの通信を制限してしまい、マルウェアに感染したIoTデバイスとの通信だけを制限することはできなかった。そのため、不必要に通信を制限してしまい、サーバの可用性が低下する場合があった。
"i−フィルター"、[online]、DigitalArts、[平成30年4月30日検索]、インターネット<URL:http://i-filter.jp/if6/navi/> "Webフィルタリングソリューション"、[online]、NTT西日本、[平成30年4月30日検索]、インターネット<URL:http://www.ntt-west.co.jp/solution/solution/category/web_filtering.html>
上記事情に鑑み、本発明は、マルウェア攻撃によるサーバの可用性の低下を抑制する通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラムを提供することを目的としている。
本発明の一態様は、データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、受信した前記データを前記送信先へ送信する送信部と、前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信部が受信した前記送信元情報とに基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、前記ホワイトリスト情報を、前記受信部が受信した前記送信元情報に基づいて更新するホワイトリスト情報更新部と、を備える、通信先限定システムである。
本発明の一態様は、上記の通信先限定システムであって、前記ホワイトリスト情報更新部は、前記受信部が所定の期間内に、同じ送信元を示す前記送信元情報を受信した回数に基づいて、前記ホワイトリスト送信元情報が、前記送信元情報が示す送信元を示すように、前記ホワイトリスト情報を更新する。
本発明の一態様は、データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、受信した前記データを前記送信先へ送信する送信部と、前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信部が受信した前記送信元情報とに基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、を備える通信先限定装置である。
本発明の一態様は、データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、受信した前記データを前記送信先へ送信する送信部と、前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報に基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、を備える通信先限定装置における前記ホワイトリスト情報を前記受信部が受信した前記送信元情報に基づいて更新するホワイトリスト情報更新部を備える管理装置である。
本発明の一態様は、データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信ステップと、受信した前記データを前記送信先へ送信する送信ステップと、前記データを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信ステップにおいて受信された前記送信元情報とに基づいて、前記受信ステップにおいて受信されたデータを、前記受信ステップにおいて受信された送信先情報が示す送信先に、前記送信ステップにおいて送信するか否かを判定する判定ステップと、前記ホワイトリスト情報を、前記受信ステップにおいて受信された前記送信元情報に基づいて更新するホワイトリスト情報更新ステップと、を有する通信先限定方法である。
本発明の一態様は、上記の通信先限定システムとしてコンピュータを機能させるためのコンピュータプログラムである。
本発明の一態様は、上記の通信先限定装置としてコンピュータを機能させるためのコンピュータプログラムである。
本発明の一態様は、上記の管理装置としてコンピュータを機能させるためのコンピュータプログラムである。
本発明により、マルウェア攻撃によるサーバの可用性の低下を抑制する通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラムを提供することが可能となる。
実施形態の通信システム100の具体的なシステム構成を示す図。 実施形態におけるゲートウェイ3の機能構成の具体例を示す図。 実施形態におけるホワイトリスト情報の具体例を示す図。 実施形態における管理サーバ4の機能構成の具体例を示す図。 実施形態における管理サーバ4がホワイトリスト情報又は通信監視指示情報を送信する具体的な処理の流れを示すフローチャート。 実施形態におけるゲートウェイ3が、通信監視指示情報を取得してから監視対象情報を生成するまでの具体的な処理の流れを示すフローチャート。 実施形態における管理サーバ4が、監視対象情報が示す通信を補助記憶装置41に記録するまでの具体的な処理の流れを示すフローチャート。 実施形態におけるゲートウェイ3がデバイス取得データを宛先サーバ2に送信するまでの具体的な処理の流れを示すフローチャート。
図1は、実施形態の通信システム100の具体的なシステム構成を示す図である。通信システム100は、IoT(Internet of things)デバイス1、宛先サーバ2、ゲートウェイ3−1〜3−N(Nは1以上の整数)及び管理サーバ4を備える。以下、ゲートウェイ3−1〜3−Nをそれぞれ区別しない場合、ゲートウェイ3という。
IoTデバイス1は、所定のデータ(以下「デバイス取得データ」という。)を取得し、取得したデバイス取得データを、ゲートウェイ3及びネットワーク5を介して所定の宛先サーバ2に送信する。所定の宛先サーバ2は、IoTデバイス1ごとに、デバイス取得データの送信先として予め定められたサーバである。IoTデバイス1は、デバイス送信情報をゲートウェイ3に送信する。デバイス送信情報は、デバイス取得データと、送受信先情報とを含む。送受信先情報は、デバイス取得データの送信先の宛先サーバ2とデバイス取得データの送信元のIoTデバイス1とを示す。以下、送受信先情報が示すデバイス取得データの送信先である宛先サーバ2を示す情報を、送信先情報という。以下、送受信先情報が示すデバイス取得データの送信元であるIoTデバイス1を示す情報を、送信元情報という。
送信元情報は、各IoTデバイス1をそれぞれ識別可能に示す情報であればどのような情報であってもよい。送信元情報は、例えば、IoTデバイス1に割り当てられたIP(Internet protocol)アドレスであってもよい。送信元情報は、例えば、IoTデバイス1の製造メーカの名前と型番であってもよい。
送信先情報は、各宛先サーバ2をそれぞれ識別可能に示す情報であればどのような情報であってもよい。送信先情報は、例えば、宛先サーバ2に割り当てられたIPアドレスであってもよい。
また、IoTデバイス1は、ゲートウェイ3にデバイス属性情報を送信する。デバイス属性情報は、IoTデバイス1の属性を示す情報である。デバイス属性情報が示すIoTデバイス1の属性は、どのような属性であってもよい。デバイス属性情報が示すIoTデバイス1の属性は、例えば、IoTデバイス1の製造メーカの名前と型番とIPアドレスとであってもよい。
IoTデバイス1は、デバイス取得データを取得し、取得したデバイス取得データを所定の宛先サーバ2に送信可能であり、かつ、デバイス属性情報を送信可能であれば、どのような装置であってもよい。IoTデバイス1は、例えば、加速度センサであってもよいし、光センサであってもよい。IoTデバイス1は、例えば、冷蔵温度を測定する冷蔵庫であってもよい。
ネットワーク5は、例えば、インターネットである。
ゲートウェイ3−1〜3−Nは、それぞれ1つ又は複数のIoTデバイス1と接続され、接続先のIoTデバイス1が送信するデバイス送信情報及びデバイス属性情報を取得する。ゲートウェイ3は、取得したデバイス送信情報に基づいて、取得したデバイス取得データを送信先情報が示す宛先サーバ2に送信するか否かを判定する。具体的には、ゲートウェイ3は、ホワイトリスト情報に基づいて、取得したデバイス取得データを送信先情報が示す宛先サーバ2に送信するか否かを判定する。ホワイトリスト情報は、通信システム100において実行される可能性のある通信(以下「ホワイトリスト通信」という。)を示す。具体的には、ホワイトリスト情報は、ゲートウェイ3にデバイス取得データを送信する可能性のあるIoTデバイス1と、ゲートウェイ3が受信したデバイス取得データを受信する可能性のある宛先サーバ2とを示すことで、ホワイトリスト通信を示す。
以下、ホワイトリスト情報が示すホワイトリスト通信の送信元を示す情報を、ホワイトリスト送信元情報という。以下、ホワイトリスト情報が示すホワイトリスト通信の送信先を示す情報を、ホワイトリスト送信先情報という。
ゲートウェイ3は、送受信先情報が示す送信元と送受信先情報が示す送信先との間の通信が、ホワイトリスト情報が示すホワイトリスト通信である場合に、取得したデバイス取得データを、ネットワーク5を介して送信先情報が示す宛先サーバ2に送信する。
管理サーバ4は、ゲートウェイ3が受信するデバイス送信情報及びデバイス属性情報に基づいて、ホワイトリスト情報を更新する。管理サーバ4は、更新後のホワイトリスト情報をゲートウェイ3に送信する。管理サーバ4は、ホワイトリスト情報の更新によって、IoTデバイス1から宛先サーバ2へのデバイス取得データの送信を管理する。
図2は、実施形態におけるゲートウェイ3の機能構成の具体例を示す図である。ゲートウェイ3は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置38などを備え、プログラムを実行する。ゲートウェイ3は、プログラムの実行によって受信部31、データ判定部32、フォーマット変換部33、通信部34、ホワイトリスト情報記録部35、通信監視部36及び監視対象情報取得部37を備える装置として機能する。なお、ゲートウェイ3の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。
受信部31は、ゲートウェイ3をIoTデバイス1に接続するための通信インタフェースを含んで構成される。受信部31は、通信インタフェースを介して、IoTデバイス1と通信する。受信部31は、データ受信部311及びデバイス属性情報取得部312を備える。データ受信部311は、IoTデバイス1からデバイス送信情報を受信する。デバイス属性情報取得部312は、デバイス属性情報を取得する。デバイス属性情報取得部312は、どのような方法でデバイス属性情報を取得してもよい。デバイス属性情報取得部312は、例えば、UPnP(Universal Plug and Play)によって、デバイス属性情報を取得してもよい。また、デバイス属性情報取得部312は、IoTデバイス1がゲートウェイ3に接続された後であれば、どのような時にデバイス属性情報を取得してもよい。デバイス属性情報取得部312は、例えば、IoTデバイス1がゲートウェイ3に接続された時に、デバイス属性情報を取得してもよい。デバイス属性情報取得部312は、例えば、定期的に、デバイス属性情報を取得してもよい。
データ判定部32は、データ受信部311が受信したデバイス送信情報に含まれる送受信先情報とホワイトリスト情報とに基づいて、受信したデバイス送信情報が含むデバイス取得データをゲートウェイ3に送信するか否かを判定する。
フォーマット変換部33は、デバイス属性情報取得部312が取得したデバイス属性情報を、管理サーバ4が受信可能な所定のフォーマットに変換する。
通信部34は、ゲートウェイ3を宛先サーバ2及び管理サーバ4に接続するための通信インタフェースを含んで構成される。通信部34は、通信インタフェースを介して、宛先サーバ2及び管理サーバ4と通信する。
通信部34は、デバイス属性情報送信部341、データ送信部342、ホワイトリスト情報受信部343、通信監視指示情報受信部344及び監視対象情報送信部345を備える。
デバイス属性情報送信部341は、フォーマット変換部33によって所定のフォーマットに変換されたデバイス属性情報とゲートウェイ識別情報とを、管理サーバ4に送信する。ゲートウェイ識別情報は、各ゲートウェイ3をそれぞれ識別可能に示す情報である。ゲートウェイ識別情報は、図示しない記憶部に記憶部に予め記憶されていてもよいし、補助記憶装置38に予め記憶されていてもよい。
ゲートウェイ識別情報は、各ゲートウェイ3をそれぞれ識別可能に示す情報であればどのような情報であってもよい。ゲートウェイ識別情報は、例えば、ゲートウェイ3に割り当てられたIPアドレスであってもよい。
データ送信部342は、送受信先情報が示す宛先サーバ2にデバイス取得データを送信する。
ホワイトリスト情報受信部343は、管理サーバ4から、ホワイトリスト情報を受信する。
通信監視指示情報受信部344は、管理サーバ4から、通信監視指示情報を受信する。通信監視指示情報は、ゲートウェイ3に対して、データ受信部311が受信する送受信先情報のうち、所定の条件を満たすIoTデバイス1を送信先情報が示す送受信先情報の取得の指示を示す情報である。以下、通信監視指示情報が示す、所定の条件を満たすIoTデバイス1を監視対象デバイスという。また、以下、監視対象指示情報が示す指示によって、ゲートウェイ3によって取得される情報を監視対象情報という。
監視対象情報送信部345は、監視対象情報を管理サーバ4に送信する。監視対象情報は、具体的には、監視対象デバイスを送信元とする送受信先情報である。
ホワイトリスト情報記録部35は、ホワイトリスト情報を補助記憶装置38に記録する。
通信監視部36は、データ受信部311が受信した送受信先情報のうち、監視対象デバイスを送信元とする送受信先情報を取得する。
監視対象情報取得部37は、通信監視部36が取得した送受信先情報に基づいて、監視対象情報を取得する。監視対象情報取得部37は、監視対象情報送信部345を介して監視対象情報を管理サーバ4に送信する。
補助記憶装置38は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。補助記憶装置38はホワイトリスト情報を記憶する。
図3は、実施形態におけるホワイトリスト情報の具体例を示す図である。
ホワイトリスト情報は、例えば、図3に示すホワイトリスト情報テーブル900として、補助記憶装置38に記憶される。ホワイトリスト情報テーブル900は、“送信元識別情報”ごとにレコードをもつ。各レコードは、ホワイトリスト通信を示す。各レコードは、“送信元識別情報”及び“送信先識別情報”の各値をもつ。“送信元識別情報”は、IoTデバイス1を識別する情報を表す。“送信元識別情報”は、ホワイトリスト送信元情報の具体例である。“送信元識別情報”が表す情報は、IoTデバイス1をそれぞれ識別可能に示す情報であればどのような情報であってもよい。“送信元識別情報”が表す情報は、例えば、IoTデバイス1に割り当てられたIPアドレスであってもよいし、IoTデバイス1の製造メーカの名前と型番であってもよい。
“送信先識別情報”は、宛先サーバ2を識別する情報を表す。送信先識別情報”は、ホワイトリスト送信先情報の具体例である。“送信先識別情報”が表す情報は、宛先サーバ2をそれぞれ識別可能に示す情報であればどのような情報であってもよい。“送信先識別情報”が表す情報は、例えば、宛先サーバ2に割り当てられたIPアドレスであってもよい。
レコード901は、例えば、“Src2”で表されるIoTデバイス1からは“DS2”で表される宛先サーバ2にデバイス送信情報が送信される可能性があることを示す。
図4は、実施形態における管理サーバ4の機能構成の具体例を示す図である。
管理サーバ4は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置41などを備え、プログラムを実行する。管理サーバ4は、プログラムの実行によって通信部42、リスト済み判定部43、ホワイトリスト情報取得部44、通信監視指示情報生成部45及びホワイトリスト情報更新部46を備える装置として機能する。なお、管理サーバ4の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。
補助記憶装置41は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。補助記憶装置41はホワイトリスト情報を記憶する。
通信部42は、管理サーバ4をゲートウェイ3に接続するための通信インタフェースを含んで構成される。通信部42は、通信インタフェースを介して、ゲートウェイ3と通信する。
通信部42は、デバイス属性情報受信部421、ホワイトリスト情報送信部422、通信監視指示情報送信部423及び監視対象情報受信部424を備える。
デバイス属性情報受信部421は、デバイス属性情報及びゲートウェイ識別情報を受信する。ホワイトリスト情報送信部422は、ホワイトリスト情報をデバイス属性情報受信部421が受信したゲートウェイ識別情報が示すゲートウェイ3に送信する。通信監視指示情報送信部423は、デバイス属性情報受信部421が受信したゲートウェイ識別情報が示すゲートウェイ3に通信監視指示情報を送信する。監視対象情報受信部424は、監視対象情報を受信する。
リスト済み判定部43は、デバイス属性情報受信部421が受信したデバイス属性情報に基づいて、デバイス属性情報が示すIoTデバイス1が、ホワイトリスト送信元情報が示すIoTデバイス1であるか否かを判定する。
ホワイトリスト情報取得部44は、リスト済み判定部43の判定結果に基づいて、補助記憶装置41に記憶されたホワイトリスト情報を取得する。
ホワイトリスト情報取得部44が取得した情報は、ホワイトリスト情報送信部422によってゲートウェイ3に送信される。
通信監視指示情報生成部45は、リスト済み判定部43の判定結果に基づいて、デバイス属性情報受信部421が受信したデバイス属性情報が示すIoTデバイス1を監視対象デバイスとする通信監視指示情報を送信する。
ホワイトリスト情報更新部46は、監視対象情報が示す通信をホワイトリスト情報が示す通信のひとつとして補助記憶装置41に記録する。
図5は、実施形態における管理サーバ4がホワイトリスト情報又は通信監視指示情報を送信する具体的な処理の流れを示すフローチャートである。
デバイス属性情報受信部421が、ゲートウェイ3のデバイス属性情報送信部341が送信したデバイス属性情報及びゲートウェイ識別情報を取得する(ステップS101)。リスト済み判定部43が、補助記憶装置41に記憶されたホワイトリスト情報を参照する。リスト済み判定部43はホワイトリスト情報に基づいて、ステップS101において取得されたデバイス属性情報が示すIoTデバイス1が、リスト済み通信送信元情報が示すIoTデバイス1であるか否かを判定する(ステップS102)。ステップS101において取得されたデバイス属性情報が、リスト済み通信送信元情報が示すIoTデバイス1を示す場合(ステップS102:YES)、ホワイトリスト情報取得部44は、補助記憶装置41に記憶されたホワイトリスト情報を取得する(ステップS103)。ホワイトリスト情報送信部422が、ホワイトリスト情報をステップS101において取得されたゲートウェイ識別情報が示すゲートウェイ3に送信する(ステップS104)。
一方、ステップS101において取得されたデバイス属性情報が、リスト済み通信送信元情報が示すIoTデバイス1を示さない場合(ステップS102:NO)、通信監視指示情報生成部45が、ステップS101において取得されたデバイス属性情報が示すIoTデバイス1を監視対象デバイスとする通信監視指示情報を生成する(ステップS105)。通信監視指示情報送信部423が、通信監視指示情報をステップS101において取得されたゲートウェイ識別情報が示すゲートウェイ3に送信する(ステップS106)。
図6は、実施形態におけるゲートウェイ3が、通信監視指示情報を取得してから監視対象情報を生成するまでの具体的な処理の流れを示すフローチャートである。
通信監視指示情報受信部344が、通信監視指示情報を受信する(ステップS201)。通信監視部36が、データ受信部311が受信する送受信先情報のうち、通信監視指示情報によって監視対象デバイスとして指示されるIoTデバイス1を送信元とする送受信先情報を取得する(ステップS202)。監視対象情報取得部37が、監視対象情報を取得する(ステップS203)。監視対象情報取得部37は、データ受信部311が、監視対象デバイスを送信元として示す送受信先情報を所定の期間に所定の回数以上受信した場合に、監視対象デバイスを送信元とする送受信先情報を、監視対象情報として取得する。監視対象情報送信部345が、監視対象情報を管理サーバ4に送信する(ステップS204)。
図7は、実施形態における管理サーバ4が監視対象情報を受信してから、監視対象情報が示す通信が管理サーバ4の補助記憶装置41に記録されるまでの具体的な処理の流れを示すフローチャートである。
監視対象情報受信部424が、監視対象情報を受信する(ステップS301)。ホワイトリスト情報更新部46が、監視対象情報が示す通信をホワイトリスト情報が示す通信のひとつとして補助記憶装置41に記録する(ステップS302)。
図8は、実施形態におけるゲートウェイ3がデバイス送信情報を受信してから、デバイス取得データを宛先サーバ2に送信するまでの具体的な処理の流れを示すフローチャートである。
データ受信部311がデバイス送信情報を受信する(ステップS401)。データ判定部32が、補助記憶装置38に記憶されているホワイトリスト情報を参照する。データ判定部32は、送信先情報が示す宛先サーバ2と、送信元情報が示すIoTデバイス1との間の通信がホワイトリスト通信か否かを判定する(ステップS402)。
ステップS402において、送信先情報が示す宛先サーバ2と、送信元情報が示すIoTデバイス1との間の通信がホワイトリスト通信である場合(ステップS402:YES)、データ送信部342が、送受信先情報が示す宛先サーバ2にデバイス取得データを送信する(ステップS403)。
一方、ステップS402において、送信先情報が示す宛先サーバ2と、送信元情報が示すIoTデバイス1との間の通信がホワイトリスト通信ではない場合(ステップS402:NO)、ゲートウェイ3は、デバイス取得データを送信しないで処理を終了する。
監視対象情報取得部37は、データ受信部311が、監視対象デバイスを送信元として示す送受信先情報を所定の期間に所定の回数以上受信した場合に、監視対象デバイスを送信元とする送受信先情報を、監視対象情報として取得する。そのため、データ受信部311が受信するデバイス送信情報の送信元が、ホワイトリスト送信元情報が示すIoTデバイス1でない場合、ホワイトリスト情報が更新されるまでの一定期間内にデータ受信部311が受信したデバイス送信情報は、データ送信部342から宛先サーバ2に送信されない。
このように構成された実施形態の通信システム100は、IoTデバイス1とゲートウェイ3との間の通信に基づいて、ホワイトリスト情報を更新する。そのため、マルウェアによって、IoTデバイス1がデータを送信する先が変更されてしまった場合であっても、変更後の宛先サーバ2にデータが送信されてしまう可能性が低くなる。このようにして、このように構成された実施形態の通信システム100は、宛先サーバ2の可用性の低下を抑制することができる。
なお、管理サーバ4が備える各機能部の一部又は全部は、必ずしも管理サーバ4に備えられる必要はなく、ゲートウェイ3が備えてもよい。
なお、データ判定部32は、判定部の一例である。なお、データ送信部342は、送信部の一例である。なお通信システム100は、通信先限定システムの一例である。なお、ゲートウェイ3は、通信先限定装置の一例である。なお、管理サーバ4は、管理装置の一例である。なお、監視対象情報は、同じ送信元を示す前記送信元情報の一例である。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1…IoTデバイス、 2…宛先サーバ、 3…ゲートウェイ、 4…管理サーバ、 31…受信部、 32…データ判定部、 33…フォーマット変換部、 34…通信部、 35…ホワイトリスト情報記録部、 36…通信監視部、 37…監視対象情報取得部、 38…補助記憶装置、 311…データ受信部、 312…デバイス属性情報取得部、 341…デバイス属性情報送信部、 342…データ送信部、 343…ホワイトリスト情報受信部、 344…通信監視指示情報受信部、 345…監視対象情報送信部、41…補助記憶装置、 42…通信部、 43…リスト済み判定部、 44…ホワイトリスト情報取得部、 45…通信監視指示情報生成部、 46…ホワイトリスト情報更新部、 421…デバイス属性情報受信部、 422…ホワイトリスト情報送信部、 423…通信監視指示情報送信部、 424…監視対象情報受信部、 100…通信システム

Claims (7)

  1. データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、
    受信した前記データを前記送信先へ送信する送信部と、
    前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信部が受信した前記送信元情報及び前記送信先情報とに基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、
    前記ホワイトリスト情報を、前記受信部が受信した前記送信元情報に基づいて更新するホワイトリスト情報更新部と、
    を備え
    前記ホワイトリスト情報更新部は、前記受信部が所定の期間内に、同じ送信元を示す前記送信元情報を受信した回数が所定の回数以上である場合に、前記ホワイトリスト送信元情報が、前記送信元情報が示す送信元を示すように、前記ホワイトリスト情報を更新する、
    信先限定システム。
  2. データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、
    受信した前記データを前記送信先へ送信する送信部と、
    前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含前記受信部が所定の期間内に同じ送信元を示す前記送信元情報を受信した回数が所定の回数以上である場合に前記受信部が受信した前記送信元情報に基づいて前記ホワイトリスト情報を更新するホワイトリスト情報更新部によって更新されるホワイトリスト情報と、前記受信部が受信した前記送信元情報及び前記送信先情報とに基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、
    を備える通信先限定装置。
  3. データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信部と、受信した前記データを前記送信先へ送信する送信部と、前記受信部にデータを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記受信部が受信した前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信部が受信した前記送信元情報及び前記送信先情報とに基づいて、前記受信部が受信したデータを、前記受信部が受信した送信先情報が示す送信先に、前記送信部によって送信するか否かを判定する判定部と、を備える通信先限定装置における前記ホワイトリスト情報を前記受信部が受信した前記送信元情報に基づいて更新するホワイトリスト情報更新部、
    を備え
    前記ホワイトリスト情報更新部は、前記受信部が所定の期間内に、同じ送信元を示す前記送信元情報を受信した回数が所定の回数以上である場合に、前記ホワイトリスト送信元情報が、前記送信元情報が示す送信元を示すように、前記ホワイトリスト情報を更新する、
    理装置。
  4. データと、前記データの送信元を示す送信元情報と、前記データの送信先を示す送信先情報とを受信する受信ステップと、
    受信した前記データを前記送信先へ送信する送信ステップと、
    前記データを送信する可能性のある送信元を示すホワイトリスト送信元情報と、前記データを送信する可能性のある送信先を示すホワイトリスト送信先情報とを含むホワイトリスト情報と、前記受信ステップにおいて受信された前記送信元情報及び前記送信先情報とに基づいて、前記受信ステップにおいて受信されたデータを、前記受信ステップにおいて受信された送信先情報が示す送信先に、前記送信ステップにおいて送信するか否かを判定する判定ステップと、
    前記ホワイトリスト情報を、前記受信ステップにおいて受信された前記送信元情報に基づいて更新するホワイトリスト情報更新ステップと、
    を有し、
    前記ホワイトリスト情報更新ステップは、前記受信ステップにおいて所定の期間内に、同じ送信元を示す前記送信元情報が受信された回数が所定の回数以上である場合に、前記ホワイトリスト送信元情報が、前記送信元情報が示す送信元を示すように、前記ホワイトリスト情報を更新する、
    信先限定方法。
  5. 請求項1に記載の通信先限定システムとしてコンピュータを機能させるためのコンピュータプログラム。
  6. 請求項に記載した通信先限定装置としてコンピュータを機能させるためのコンピュータプログラム。
  7. 請求項に記載の管理装置としてコンピュータを機能させるためのコンピュータプログラム。
JP2018106217A 2018-06-01 2018-06-01 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム Active JP6655658B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018106217A JP6655658B2 (ja) 2018-06-01 2018-06-01 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018106217A JP6655658B2 (ja) 2018-06-01 2018-06-01 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2019213010A JP2019213010A (ja) 2019-12-12
JP6655658B2 true JP6655658B2 (ja) 2020-02-26

Family

ID=68845562

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018106217A Active JP6655658B2 (ja) 2018-06-01 2018-06-01 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6655658B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6917482B2 (ja) * 2020-01-14 2021-08-11 三菱電機株式会社 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8881276B2 (en) * 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
JP2010178089A (ja) * 2009-01-29 2010-08-12 Daikin Ind Ltd 遠隔管理システム、遠隔管理装置及び接続装置
JP6821311B2 (ja) * 2016-03-11 2021-01-27 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法及び中継プログラム
JP2017216569A (ja) * 2016-05-31 2017-12-07 株式会社日立製作所 通信装置、制御システム、及び、通信制御方法
JP6591504B2 (ja) * 2017-08-31 2019-10-16 セコム株式会社 パケットフィルタリング装置

Also Published As

Publication number Publication date
JP2019213010A (ja) 2019-12-12

Similar Documents

Publication Publication Date Title
US20220046088A1 (en) Systems and methods for distributing partial data to subnetworks
KR20180082555A (ko) M2m 서비스 계층에 대한 교차 리소스 가입
JP2007058275A (ja) ノード装置、共用情報更新処理プログラム、共用情報更新方法、及び情報共有システム
JP6279938B2 (ja) 接続管理装置、通信システム、接続管理方法およびプログラム
CN110635933A (zh) 用于管理sdn的网络的装置、控制方法及记录介质
JP2018503307A5 (ja)
US20150381716A1 (en) Method and system for sharing files over p2p
JP6655658B2 (ja) 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム
JP2006338417A (ja) プロキシ装置
JP2017011487A (ja) 情報処理システム、情報処理システムの制御プログラム及び情報処理システムの制御方法
JP6932715B2 (ja) ネットワーク接続をセキュアに管理するシステム、方法、およびデバイス
JP2011513814A5 (ja)
JP2018156492A (ja) 遠隔管理システム、仲介装置、遠隔管理方法、及び遠隔管理プログラム
JP2011114805A (ja) 通信装置及び方法、並びにプログラム
US9075857B2 (en) Computer-readable non-transitory medium storing therein a control program, management apparatus, and information processing system
JP6591504B2 (ja) パケットフィルタリング装置
KR101359369B1 (ko) ICMPv6 NIQ를 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법
JP2020123875A5 (ja)
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
KR101359372B1 (ko) DHCPv6 패킷을 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법
JP6007753B2 (ja) 管理サーバ、ハードウェア管理装置、情報処理装置、ハードウェア管理システム、ハードウェア管理方法、および、コンピュータ・プログラム
TWI709309B (zh) 網管裝置及其網管方法
JP6591620B1 (ja) 通信管理装置、中継装置、通信システム、通信方法及びコンピュータプログラム
JP6583927B2 (ja) 管理装置、管理方法、及び管理プログラム
JP2011095895A (ja) デバイス情報取得方法および装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190807

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200203

R150 Certificate of patent or registration of utility model

Ref document number: 6655658

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250