JP6927081B2 - 管理システム及び管理方法 - Google Patents

管理システム及び管理方法 Download PDF

Info

Publication number
JP6927081B2
JP6927081B2 JP2018033919A JP2018033919A JP6927081B2 JP 6927081 B2 JP6927081 B2 JP 6927081B2 JP 2018033919 A JP2018033919 A JP 2018033919A JP 2018033919 A JP2018033919 A JP 2018033919A JP 6927081 B2 JP6927081 B2 JP 6927081B2
Authority
JP
Japan
Prior art keywords
terminal
management
network
unit
filtering rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018033919A
Other languages
English (en)
Other versions
JP2019149741A (ja
Inventor
伸悟 加島
伸悟 加島
上野 正巳
正巳 上野
哲彦 村田
哲彦 村田
毅 近藤
毅 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018033919A priority Critical patent/JP6927081B2/ja
Priority to PCT/JP2019/007393 priority patent/WO2019167969A1/ja
Priority to US16/975,396 priority patent/US11483289B2/en
Publication of JP2019149741A publication Critical patent/JP2019149741A/ja
Application granted granted Critical
Publication of JP6927081B2 publication Critical patent/JP6927081B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、管理システム及び管理方法に関する。
従来、ホームゲートウェイに対してWAN(Wide Area Network)からLAN(Local Area Network)へのアクセスを許可するフィルタリングルールを設定する方法として、UPnP(Universal Plug and Play) IGD(Internet Gateway Device)によるフィルタリング設定を行う方法が知られている。
RFC6970 Universal Plug and Play (UPnP) Internet Gateway Device - Port Control Protocol Interworking Function (IGD-PCP IWF)、[online]、[平成30年2月17日検索]、インターネット(https://tools.ietf.org/html/rfc6970)
しかしながら、従来の方法には、不正アクセスを防止するフィルタリングルールの設定を、ホームゲートウェイに対して容易に行うことが困難な場合があるという問題がある。例えば、UPnP IGDによって不正アクセスを防止するフィルタリング設定を行うためには、アクセス先の端末が事前にアクセス元のIPアドレスを把握しておく必要がある。しかし、アクセス先の端末がアクセス元のIPアドレスを事前に把握することは困難であるため、UPnP IGDによるフィルタリング設定では任意のIPアドレスからアクセスを許可するフィルタリング設定しか実装されておらず、不正アクセスが行われる場合がある。
上述した課題を解決し、目的を達成するために、本発明の管理システムは、第1のネットワークと第2のネットワークとの間でパケットのフィルタリング及び転送を行うゲートウェイ装置と、前記ゲートウェイ装置の管理を行う管理装置と、を有する管理システムであって、前記ゲートウェイ装置は、前記第1のネットワークの端末を送信元とし、前記第2のネットワークの端末を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する記憶部と、前記第2のネットワークの第2の端末から送信されたパケットを基に、前記第2の端末を識別する識別情報を取得する取得部と、前記取得部によって取得された前記第2の端末の識別情報を、前記管理装置に通知する通知部と、前記管理装置からの指示に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を行う設定部と、を有し、前記管理装置は、前記通知部から通知された前記第2の端末の識別情報を基に、前記第2の端末に関する前記第1のフィルタリングルールを管理する管理画面を生成し、生成した管理画面を所定の表示装置に送信する生成部と、前記表示装置を介した前記管理画面への入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示する指示部と、を有することを特徴とする。
本発明によれば、不正アクセスを防止するフィルタリングルールをホームゲートウェイに対して容易かつ安価に行うことができる。
図1は、第1の実施形態に係る管理システムの構成の一例を示す図である。 図2は、第1の実施形態に係るゲートウェイ装置の構成の一例を示す図である。 図3は、第1の実施形態に係る変換テーブルの一例を示す図である。 図4は、第1の実施形態に係る第1のフィルタリングルールの一例を示す図である。 図5は、第1の実施形態に係る第2のフィルタリングルールの一例を示す図である。 図6は、第1の実施形態に係る管理装置の構成の一例を示す図である。 図7は、第1の実施形態に係る表示装置の構成の一例を示す図である。 図8は、第1の実施形態に係る管理画面の一例を示す図である。 図9は、第1の実施形態に係るゲートウェイ装置の設定処理の流れを示すフローチャートである。 図10は、第1の実施形態に係る管理装置の指示処理の流れを示すフローチャートである。 図11は、第1の実施形態に係るゲートウェイ装置の転送処理の流れを示すフローチャートである。 図12は、管理プログラムを実行するゲートウェイ装置又は管理装置として機能するコンピュータの一例を示す図である。
以下に、本願に係る管理システム及び管理方法の実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の管理システムの構成]
まず、図1を用いて、第1の実施形態に係る管理システムの構成について説明する。図1は、第1の実施形態に係る管理システムの構成の一例を示す図である。図1に示すように、管理システム1は、ゲートウェイ装置10、端末20、管理装置30及び表示装置40を有する。
ゲートウェイ装置10は、ネットワーク2とネットワーク3との間でパケットのフィルタリング及び転送を行う。管理装置30は、ゲートウェイ装置10の管理を行う。例えば、ネットワーク2は、公衆ネットワークである。また、例えば、ネットワーク3は、ローカルネットワークである。また、ネットワーク2は、第1のネットワークの一例である。また、ネットワーク3は、第2のネットワークの一例である。
ゲートウェイ装置10には、ネットワーク2側のアドレスとして「100.64.1.1」が設定されている。また、ゲートウェイ装置10には、ネットワーク3側のアドレスとして「192.168.1.1」が設定されている。また、3つの端末20のアドレスには、それぞれ「192.168.1.11」、「192.168.1.12」及び「192.168.1.13」が設定されている。また、表示装置40のアドレスには、「100.64.100.99」が設定されている。
管理装置30は、ゲートウェイ装置10から取得した情報を基に、ゲートウェイ装置10によって使用されるフィルタリングルールを管理するための管理画面を生成する。また、表示装置40は、管理装置30によって生成された管理画面を表示し、管理画面を介した入力を受け付ける。
図1の例では、1つの管理装置30は1つのゲートウェイ装置10に対応しているが、1つの管理装置30は複数のゲートウェイ装置10に対応していてもよい。また、ゲートウェイ装置10と管理装置30との間の通信は、物理的又は仮想的な閉域網により安全が確保されているものとする。
また、管理装置30と表示装置40との間の通信では、表示装置40のユーザがゲートウェイ装置10の正当な利用者であることを確認するためのユーザ認証が行われる。管理システム1においては、ユーザは、表示装置40に表示された管理画面を介してゲートウェイ装置10の設定を指示することができる。
[第1の実施形態のゲートウェイ装置の構成]
ここで、図2を用いて、ゲートウェイ装置10の構成について説明する。図2は、第1の実施形態に係るゲートウェイ装置の構成の一例を示す図である。図2に示すようにゲートウェイ装置10は、通信部11、記憶部12及び制御部13を有する。
通信部11は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部11はNIC(Network Interface Card)である。通信部11は、ネットワーク2に接続された装置、及びネットワーク3に接続された装置との間で通信を行うことができる。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、ゲートウェイ装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部12は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部12は、変換テーブル121、識別情報122、第1のフィルタリングテーブル123及び第2のフィルタリングテーブル124を記憶する。
変換テーブル121には、変換ルールが格納される。ここで、変換ルールは、ゲートウェイ装置10が、ネットワーク2とネットワーク3との間で転送されるパケットの宛先又は送信元の情報を変換するためのルールである。
図3は、第1の実施形態に係る変換テーブルの一例を示す図である。図3に示すように、変換テーブル121には、プロトコル、変換前の宛先アドレス、変換前の宛先ポート番号、変換後の宛先アドレス及び変換後の宛先ポート番号が格納される。
例えば、図3に示すように、変換テーブル121の1行目には、プロトコル「tcp」、変換前の宛先アドレス「100.64.1.1」、変換前の宛先ポート番号「8080」、変換後の宛先アドレス「192.168.1.11」及び変換後の宛先ポート番号「80」が格納されている。
このとき、ゲートウェイ装置10は、宛先アドレス「100.64.1.1」及び宛先ポート番号「8080」が設定されたTCPプロトコルのパケットをネットワーク2側から受信した場合、宛先アドレス及び宛先ポート番号をそれぞれ「192.168.1.11」及び「80」に変更した上で、パケットをネットワーク3内の該当する端末20に転送する。
一方、ゲートウェイ装置10は、送信元アドレス「192.168.1.11」及び送信元ポート番号「80」が設定されたTCPプロトコルのパケットをネットワーク3側から受信した場合、宛先アドレス及び宛先ポート番号をそれぞれ「100.64.1.1」及び「8080」に変更した上で、パケットをネットワーク2に転送する。
識別情報122は、端末20を識別するための情報である。識別情報122は、端末20が送信したパケットを基に、ゲートウェイ装置10によって取得される。例えば、識別情報122は、製造メーカ、機種及び型番等のハードウェア情報を含む。また、例えば、識別情報122は、OS、ファームウェア等のソフトウェア情報を含む。また、識別情報122は、端末20に設定されたホスト名等の情報を含む。
第1のフィルタリングテーブル123には、第1のフィルタリングルールが格納される。ここで、第1のフィルタリングルールは、ゲートウェイ装置10によって用いられるパケットのフィルタリングルールのうち、管理装置30及び表示装置40を介したユーザの操作により設定可能なフィルタリングルールである。
図4は、第1の実施形態に係る第1のフィルタリングルールの一例を示す図である。図4に示すように、第1のフィルタリングテーブル123には、プロトコル、送信元アドレス、送信元ポート番号、宛先アドレス、宛先ポート番号及び動作が格納される。
例えば、図4に示すように、第1のフィルタリングテーブル123の1行目には、プロトコル「tcp」、送信元アドレス「100.64.100.99」、送信元ポート番号「any」、宛先アドレス「192.168.1.11」、宛先ポート番号「any」及び動作「第2のフィルタリングルール」が格納されている。なお、「any」は任意の値を示す。
このとき、ゲートウェイ装置10は、送信元アドレス「100.64.100.99」、宛先アドレス「192.168.1.11」が設定されたTCPプロトコルのパケットを受信した場合、当該パケットに対する動作として「第2のフィルタリングルール」を決定する。ここで、動作「第2のフィルタリングルール」は、第1のフィルタリングルールにおいて転送が許可されたことを意味し、当該パケットの転送可否は、第2のフィルタリングルールを用いてさらに判断される。なお、動作「拒否」は、当該パケットの転送が拒否されたことを意味する。
第1のフィルタリングルールは、ブラックリストとして公開されている悪性のアドレスに関するパケットを拒否するように設定されていてもよい。
また、ゲートウェイ装置10がパケットの転送可否を判断する際は、第1のフィルタリングテーブル123を上から順に見ていく。つまり、図4の例では、3行目の条件で動作「拒否」が決定されるパケットであっても、1行目又は2行目の条件に合致すれば転送が許可される。
第2のフィルタリングテーブル124には、第2のフィルタリングルールが格納される。ここで、第2のフィルタリングルールは、ゲートウェイ装置10によって用いられるパケットのフィルタリングルールのうち、あらかじめ設定されたものである。
図5は、第1の実施形態に係る第2のフィルタリングルールの一例を示す図である。図5に示すように、第2のフィルタリングテーブル124には、プロトコル、送信元アドレス、送信元ポート番号、宛先アドレス、宛先ポート番号及び動作が格納される。
例えば、図5に示すように、第2のフィルタリングテーブル124の1行目には、プロトコル「tcp」、送信元アドレス「0.0.0.0/0」、送信元ポート番号「any」、宛先アドレス「192.168.1.11」、宛先ポート番号「80」及び動作「許可」が格納されている。
このとき、ゲートウェイ装置10は、宛先アドレス「192.168.1.11」及び宛先ポート番号「80」が設定されたTCPプロトコルのパケットを受信した場合、当該パケットに対する動作として「許可」を決定する。
制御部13は、ゲートウェイ装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、取得部131、通知部132、設定部133及び転送部134を有する。
取得部131は、ネットワーク3の端末20から送信されたパケットを基に、端末20を識別する識別情報122を取得する。取得部131は、第2のフィルタリングルールによってネットワーク3の端末20への転送が許可されていないパケットを基に、パケットの宛先の端末20の識別情報122を取得する。
取得部131は、識別情報122を、ゲートウェイ装置10が端末20に対して送信したパケットに対する応答パケットを基に取得してもよいし、端末20が自発的に送信したパケットを基に取得してもよい。また、取得部131は、端末20が送信したUPnPのDescriptionメッセージを用いて識別情報122を取得してもよいし、端末が送信したパケットとあらかじめ保持する辞書データとを照合し、識別情報122を取得してもよい。
通知部132は、取得部131によって取得された端末20の識別情報122を、管理装置30に通知する。また、通知部132は、端末20に関する第2のフィルタリングルールを、管理装置30にさらに通知することができる。また、通知部132は、端末20に関する変換ルールを、管理装置30にさらに通知することができる。また、通知部132は、取得部131によって取得された識別情報122及びパケットの送信元アドレスを管理装置30に通知することができる。
設定部133は、管理装置30からの指示に基づいて、端末20に関する第1のフィルタリングルールの設定を行う。例えば、設定部133は、第1のフィルタリングルールの追加及び削除を行うことができる。
また、設定部133は、ネットワーク3の端末20から送信されたパケットを基に、特定のプロトコルかつ特定の宛先ポート番号のパケットを端末20へ転送することを許可する第2のフィルタリングルールを追加することができる。また、設定部133は、ネットワーク3に対して送信された所定のパケットの宛先アドレス及び宛先ポート番号を、端末20のアドレス及び特定の宛先ポート番号に変換する変換ルールを追加することができる。このように、設定部133は、変換ルール及び第2のフィルタリングルールの追加を、自動的に行うことができる。
転送部134は、ネットワーク2を送信元とし、ネットワーク3を宛先とするパケットのフィルタリング及び転送を行う。このとき、転送部134は、第1のフィルタリングルールを基に決定された動作が「第2のフィルタリングルール」であったパケットのうち、第2のフィルタリングルールを基に決定された動作が「許可」であったパケットの転送を許可することができる。
また、転送部134は、ネットワーク3を送信元とし、ネットワーク2を宛先とするパケットのフィルタリング及び転送を行う。ここで、転送部134は、ネットワーク3の端末20を送信元とし、ネットワーク2を宛先とするパケットの転送を常に許可することとしてもよい。
指示部332は、インスタントメッセージサービスを介した入力に基づいて、端末20に関する第1のフィルタリングルールの設定をゲートウェイ装置10に指示することができる。これにより、ユーザは容易に設定指示の入力を行うことができる。
[第1の実施形態の管理装置の構成]
次に、図6を用いて、管理装置30の構成について説明する。図6は、第1の実施形態に係る管理装置の構成の一例を示す図である。図6に示すように管理装置30は、通信部31、記憶部32及び制御部33を有する。
通信部31は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部31はNICである。通信部31は、ゲートウェイ装置10及び表示装置40との間で通信を行うことができる。
記憶部32は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部32は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部32は、ゲートウェイ装置10で実行されるOSや各種プログラムを記憶する。さらに、記憶部32は、プログラムの実行で用いられる各種情報を記憶する。
制御部33は、管理装置30全体を制御する。制御部33は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部33は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部33は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部33は、生成部331及び指示部332を有する。
生成部331は、通知部132から通知された端末20の識別情報122を基に、端末20に関する第1のフィルタリングルールを管理する管理画面を生成し、生成した管理画面を所定の表示装置40に送信する。
図8は、第1の実施形態に係る管理画面の一例を示す図である。図8に示すように、生成部331は、ゲートウェイ装置10の通知部132によって通知された情報を管理画面に表示させることができる。
生成部331は、通知部132によって通知された第2のフィルタリングルールに関する情報を管理画面に表示させることができる。また、生成部331は、通知部132によって通知された変換ルールに関する情報を管理画面に表示させることができる。
また、生成部331は、通知部132によって通知された送信元アドレス及び当該送信元アドレスから送信されたパケットの転送を許可する第1のフィルタリングルールを追加する指示を行うためのボタンを管理画面に表示させる。また、生成部331は、第1のフィルタリングルールを管理する対象の送信元アドレスのDSN逆引き情報又はWHOIS情報を管理画面に表示させてもよい。
図8に示すように、管理画面には、端末識別情報、変換ルールから抽出した情報、第2のフィルタリングルールから抽出した情報及び第1のフィルタリングルールが表示される。なお、変換ルールから抽出した情報及び第2のフィルタリングルールから抽出した情報は、それぞれ元になる情報が通知部132によって通知された場合に表示される。
指示部332は、表示装置40を介した管理画面への入力に基づいて、端末20に関する第1のフィルタリングルールの設定をゲートウェイ装置10に指示する。例えば、指示部332は、端末識別情報及び追加する送信元アドレスをゲートウェイ装置10に送信することができる。また、指示部332は、インスタントメッセージサービスを介した入力に基づいて、端末20に関する第1のフィルタリングルールの設定をゲートウェイ装置10に指示することができる。
[第1の実施形態の表示装置の構成]
次に、図7を用いて、表示装置40の構成について説明する。図7は、第1の実施形態に係る表示装置の構成の一例を示す図である。図7に示すように表示装置40は、通信部41、表示部42、入力部43、記憶部44及び制御部45を有する。
通信部41は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部41は、NICである。通信部41は、管理装置30との間で通信を行うことができる。
表示部42は、画面を表示する。例えば、表示部42は、ディスプレイ装置等である。また、入力部43はユーザからの入力を受け付けるためのインタフェース装置である。例えば、入力部43は、マウス、キーボード及びタッチパネル等である。
記憶部44は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部44は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部44は、ゲートウェイ装置10で実行されるOSや各種プログラムを記憶する。さらに、記憶部44は、プログラムの実行で用いられる各種情報を記憶する。
制御部45は、表示装置40全体を制御する。制御部45は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部45は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部45は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部45は、表示制御部451及び指示部452を有する。
表示制御部451は、管理装置30の生成部331によって生成され、表示装置40に送信された管理画面を表示部42に表示させる。また、指示部452は、表示部42に表示された管理画面を介したユーザの入力に基づく設定指示を管理装置30に送信する。
ここで、例えば、表示部42には、図8の管理画面が表示されているものとする。このとき、表示部42に表示された管理画面の追加ボタンがクリックされた場合、指示部452は、当該クリックされた送信元アドレスが設定されたパケットを、対応する端末識別情報によって識別される端末20に転送することを許可する設定を行うことを指示する。また、例えば、表示部42に表示された管理画面の削除ボタンがクリックされた場合、指示部452は、当該クリックされた送信元アドレスが設定されたパケットを、対応する端末識別情報によって識別される端末20に転送することを許可する設定を削除することを指示する。
また、全て拒否ボタンがクリックされた場合、全てのパケットについて、対応する端末識別情報によって識別される端末20に転送することを拒否する設定を行うことを指示する。なお、転送を拒否する設定を行うことは、動作として「許可」が設定された行を削除することであってもよい。
[第1の実施形態の処理]
図9を用いて、ゲートウェイ装置10の設定処理について説明する。図9は、第1の実施形態に係るゲートウェイ装置の設定処理の流れを示すフローチャートである。図9に示すように、まず、ゲートウェイ装置10は、端末の識別情報、変換ルール及び第2のフィルタリングルールを取得する(ステップS101)。そして、ゲートウェイ装置10は、取得した情報を管理装置30に通知する(ステップS102)。
ここで、ゲートウェイ装置10は、管理装置30からの指示を待機する(ステップS103、No)。そして、ゲートウェイ装置10は、管理装置30からの指示があった場合(ステップS103、Yes)、指示に従って第1のフィルタリングルールを設定する(ステップS104)。
図10を用いて、管理装置30の指示処理について説明する。図10は、第1の実施形態に係る管理装置の指示処理の流れを示すフローチャートである。図10に示すように、まず、管理装置30は、ゲートウェイ装置10から送信された情報を基に、管理画面を生成し、表示装置40に送信する(ステップS201)。
そして、管理装置30は、管理画面を介して表示装置40からの設定指示を受け付け(ステップS202)、受け付けた指示に基づいてゲートウェイ装置10に設定を指示する(ステップS203)。
図11を用いて、ゲートウェイ装置10の転送処理について説明する。図11は、第1の実施形態に係るゲートウェイ装置における第1のネットワークから第2のネットワークへの転送処理の流れを示すフローチャートである。図11に示すように、まず、ゲートウェイ装置10は、ネットワーク3からパケットを受信する(ステップS301)。次に、宛先変換ルールを参照し、受信したパケットの宛先等を必要に応じて変換する(ステップS302)。
そして、ゲートウェイ装置10は、第1のフィルタリングルールでパケットをフィルタリングする(ステップS303)。ここで、第1のフィルタリングルールでパケットの転送が許可されなかった場合(ステップS304、No)、ゲートウェイ装置10は、当該パケットを転送せずに処理を終了する。
一方、第1のフィルタリングルールでパケットの転送が許可された場合(ステップS304、Yes)、ゲートウェイ装置10は、第2のフィルタリングルールでパケットをさらにフィルタリングする(ステップS305)。
ここで、第2のフィルタリングルールでパケットの転送が許可されなかった場合(ステップS306、No)、ゲートウェイ装置10は、当該パケットを転送せずに処理を終了する。
一方、第2のフィルタリングルールでパケットの転送が許可された場合(ステップS306、Yes)、ゲートウェイ装置10は、ネットワーク2の端末にパケットを転送する(ステップS307)。
[第1の実施形態の効果]
管理システム1は、ネットワーク2とネットワーク3との間でパケットのフィルタリング及び転送を行うゲートウェイ装置10と、ゲートウェイ装置10の管理を行う管理装置30と、を有する。また、記憶部12は、ネットワーク2の端末20を送信元とし、ネットワーク3の端末20を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する。また、取得部131は、ネットワーク3の端末20から送信されたパケットを基に、端末20を識別する識別情報122を取得する。また、通知部132は、取得部131によって取得された端末20の識別情報122を、管理装置30に通知する。また、設定部133は、管理装置30からの指示に基づいて、端末20に関する第1のフィルタリングルールの設定を行う。また、生成部331は、通知部132から通知された端末20の識別情報122を基に、端末20に関する第1のフィルタリングルールを管理する管理画面を生成し、生成した管理画面を所定の表示装置に送信する。また、指示部332は、表示装置40を介した管理画面への入力に基づいて、端末20に関する第1のフィルタリングルールの設定をゲートウェイ装置10に指示する。
このように、本実施形態では、ゲートウェイ装置10の設定は、管理装置30を介して行われる。また、本実施形態では、管理装置30では、事前に設定対象のアドレス等を把握しておく必要がない。その上、第2のフィルタリングルールは、既存のUPnP IGGDによって設定可能であることから、UPnP IGDに関する既存の端末及びゲートウェイ装置の仕様を変更する必要がない。さらに、端末へのアクセス元のIPアドレスを固定化するための、専用プロキシを用意する必要もない。このため、本実施形態によれば、不正アクセスを防止するフィルタリングルールの設定をホームゲートウェイに対して、容易かつ安価に行うことができる。
通知部132は、端末20に関する第2のフィルタリングルールを、管理装置30にさらに通知する。また、生成部331は、通知部132によって通知された第2のフィルタリングルールに関する情報を管理画面に表示させる。これにより、本実施形態によれば、管理画面において、第2のフィルタリングルールを確認しつつ第1のフィルタリングルールの設定を行うことが可能となる。
記憶部12は、ネットワーク3に対して送信されたパケットの宛先を、ネットワーク3の端末20を特定可能な宛先に変換する変換ルールをさらに記憶する。また、通知部132は、端末20に関する変換ルールを、管理装置30にさらに通知する。また、生成部331は、通知部132によって通知された変換ルールに関する情報を管理画面に表示させる。これにより、本実施形態によれば、管理画面において、変換後の送信元及び宛先を確認しつつ第1のフィルタリングルールの設定を行うことが可能となる。
設定部133は、ネットワーク3の端末20から送信されたパケットを基に、特定のプロトコルかつ特定の宛先ポート番号のパケットを端末20へ転送することを許可する第2のフィルタリングルールを追加し、さらに、ネットワーク3に対して送信された所定のパケットの宛先アドレス及び宛先ポート番号を、端末20のアドレス及び特定の宛先ポート番号に変換する変換ルールを追加する。これにより、本実施形態によれば、変換ルール及び第2のフィルタリングルールを自動的に設定することが可能となる。
取得部131は、第2のフィルタリングルールによってネットワーク3の端末20への転送が許可されていないパケットを基に、パケットの宛先の端末20の識別情報122を取得する。また、通知部132は、取得部131によって取得された識別情報122及びパケットの送信元アドレスを管理装置30に通知する。また、生成部331は、通知部132によって通知された送信元アドレス及び当該送信元アドレスから送信されたパケットの転送を許可する第1のフィルタリングルールを追加する指示を行うためのボタンを管理画面に表示させる。これにより、本実施形態によれば、管理画面において、直感的な操作で第1のフィルタリングルールの設定を行うことが可能となる。
また、生成部331は、表示装置40のアドレスから送信されたパケットの転送を許可する第1のフィルタリングルールを追加する指示を行うためのボタンを管理画面に表示させてもよい。この場合、表示装置40は、第1のネットワークの端末の一例である。
生成部331は、第1のフィルタリングルールを管理する対象の送信元アドレスのDSN逆引き情報又はWHOIS情報を管理画面に表示させる。これにより、本実施形態によれば、管理画面において、アドレスに対応するISP(Internet Service Provider)等を確認しつつ第1のフィルタリングルールの設定を行うことが可能となる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、管理装置30は、パッケージソフトウェアやオンラインソフトウェアとして上記の管理を実行する管理プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の管理プログラムを情報処理装置に実行させることにより、情報処理装置を管理装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
図12は、管理プログラムを実行するゲートウェイ装置又は管理装置として機能するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ゲートウェイ装置10又は管理装置30の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ゲートウェイ装置10又は管理装置30における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 管理システム
10 ゲートウェイ装置
20 端末
30 管理装置
40 表示装置
11、31、41 通信部
12、32、44 記憶部
13、33、45 制御部
42 表示部
43 入力部
121 変換テーブル
122 識別情報
123 第1のフィルタリングテーブル
124 第2のフィルタリングテーブル
131 取得部
132 通知部
133 設定部
134 転送部
331 生成部
332、452 指示部
451 表示制御部

Claims (8)

  1. 第1のネットワークと第2のネットワークとの間でパケットのフィルタリング及び転送を行うゲートウェイ装置と、前記ゲートウェイ装置の管理を行う管理装置と、を有する管理システムであって、
    前記ゲートウェイ装置は、
    前記第1のネットワークの端末を送信元とし、前記第2のネットワークの端末を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する記憶部と、
    前記第2のネットワークの第2の端末から送信されたパケットを基に、前記第2の端末を識別する識別情報を取得する取得部と、
    前記取得部によって取得された前記第2の端末の識別情報を、前記管理装置に通知する通知部と、
    前記管理装置からの指示に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を行う設定部と、
    を有し、
    前記管理装置は、
    前記通知部から通知された前記第2の端末の識別情報を基に、前記第2の端末に関する前記第1のフィルタリングルールを管理する管理画面であって、前記第1のフィルタリングルールによって転送が許可されるパケットの送信元の追加又は削除を行うためのボタンを表示する管理画面を生成し、生成した管理画面を所定の表示装置に送信する生成部と、
    前記表示装置を介した前記管理画面への入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示する指示部と、
    を有することを特徴とする管理システム。
  2. 前記通知部は、前記第2の端末に関する前記第2のフィルタリングルールを、前記管理装置にさらに通知し、
    前記生成部は、前記通知部によって通知された前記第2のフィルタリングルールに関する情報を前記管理画面に表示させることを特徴とする請求項1に記載の管理システム。
  3. 第1のネットワークと第2のネットワークとの間でパケットのフィルタリング及び転送を行うゲートウェイ装置と、前記ゲートウェイ装置の管理を行う管理装置と、を有する管理システムであって、
    前記ゲートウェイ装置は、
    前記第1のネットワークの端末を送信元とし、前記第2のネットワークの端末を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する記憶部と、
    前記第2のネットワークの第2の端末から送信されたパケットを基に、前記第2の端末を識別する識別情報を取得する取得部と、
    前記取得部によって取得された前記第2の端末の識別情報を、前記管理装置に通知する通知部と、
    前記管理装置からの指示に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を行う設定部と、
    を有し、
    前記管理装置は、
    前記通知部から通知された前記第2の端末の識別情報を基に、前記第2の端末に関する前記第1のフィルタリングルールを管理する管理画面を生成し、生成した管理画面を所定の表示装置に送信する生成部と、
    前記表示装置を介した前記管理画面への入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示する指示部と、
    を有し、
    前記記憶部は、前記第2のネットワークに対して送信されたパケットの宛先を、前記第2のネットワークの端末を特定可能な宛先に変換する変換ルールをさらに記憶し、
    前記通知部は、前記第2の端末に関する前記変換ルールを、前記管理装置にさらに通知し、
    前記生成部は、前記通知部によって通知された前記変換ルールに関する情報を前記管理画面に表示させることを特徴とする管理システム。
  4. 前記設定部は、前記第2のネットワークの端末から送信されたパケットを基に、特定のプロトコルかつ特定の宛先ポート番号のパケットを前記端末へ転送することを許可する前記第2のフィルタリングルールを追加し、さらに、前記第2のネットワークに対して送信された所定のパケットの宛先アドレス及び宛先ポート番号を、前記端末のアドレス及び前記特定の宛先ポート番号に変換する前記変換ルールを追加することを特徴とする請求項3に記載の管理システム。
  5. 第1のネットワークと第2のネットワークとの間でパケットのフィルタリング及び転送を行うゲートウェイ装置と、前記ゲートウェイ装置の管理を行う管理装置と、を有する管理システムであって、
    前記ゲートウェイ装置は、
    前記第1のネットワークの端末を送信元とし、前記第2のネットワークの端末を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する記憶部と、
    前記第2のネットワークの第2の端末から送信されたパケットを基に、前記第2の端末を識別する識別情報を取得する取得部と、
    前記取得部によって取得された前記第2の端末の識別情報を、前記管理装置に通知する通知部と、
    前記管理装置からの指示に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を行う設定部と、
    を有し、
    前記管理装置は、
    前記通知部から通知された前記第2の端末の識別情報を基に、前記第2の端末に関する前記第1のフィルタリングルールを管理する管理画面を生成し、生成した管理画面を所定の表示装置に送信する生成部と、
    前記表示装置を介した前記管理画面への入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示する指示部と、
    を有し、
    前記取得部は、前記第2のフィルタリングルールによって前記第2のネットワークの端末への転送が許可されていないパケットを基に、前記パケットの宛先の端末の識別情報を取得し、
    前記通知部は、前記取得部によって取得された識別情報及び前記パケットの送信元アドレスを前記管理装置に通知し、
    前記生成部は、前記通知部によって通知された送信元アドレス及び当該送信元アドレスから送信されたパケットの転送を許可する前記第1のフィルタリングルールを追加する指示を行うためのボタンを前記管理画面に表示させることを特徴とする管理システム。
  6. 前記生成部は、前記第1のフィルタリングルールを管理する対象の送信元アドレスのDSN逆引き情報又はWHOIS情報を前記管理画面に表示させることを特徴とする請求項1から5のいずれか1項に記載の管理システム。
  7. 前記指示部は、インスタントメッセージサービスを介した入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示することを特徴とする請求項1から6のいずれか1項に記載の管理システム。
  8. 第1のネットワークと第2のネットワークとの間でパケットのフィルタリング及び転送を行うゲートウェイ装置であって、前記第1のネットワークの端末を送信元とし、前記第2のネットワークの端末を宛先とするパケットのフィルタリングを行う第1のフィルタリングルール及び第2のフィルタリングルールを記憶する記憶部を有するゲートウェイ装置と、前記ゲートウェイ装置の管理を行う管理装置と、を有する管理システムによって実行される管理方法であって、
    前記ゲートウェイ装置が、前記第2のネットワークの第2の端末から送信されたパケットを基に、前記第2の端末を識別する識別情報を取得する取得工程と、
    前記ゲートウェイ装置が、前記取得工程において取得された前記第2の端末の識別情報を、前記管理装置に通知する通知工程と、
    前記管理装置が、前記通知工程において通知された前記第2の端末の識別情報を基に、前記第2の端末に関する前記第1のフィルタリングルールを管理する管理画面であって、前記第1のフィルタリングルールによって転送が許可されるパケットの送信元の追加又は削除を行うためのボタンを表示する管理画面を生成し、生成した管理画面を所定の表示装置に送信する生成工程と、
    前記管理装置が、前記表示装置を介した前記管理画面への入力に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を前記ゲートウェイ装置に指示する指示工程と、
    前記ゲートウェイ装置が、前記管理装置からの指示に基づいて、前記第2の端末に関する前記第1のフィルタリングルールの設定を行う設定工程と、
    を含むことを特徴とする管理方法。
JP2018033919A 2018-02-27 2018-02-27 管理システム及び管理方法 Active JP6927081B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018033919A JP6927081B2 (ja) 2018-02-27 2018-02-27 管理システム及び管理方法
PCT/JP2019/007393 WO2019167969A1 (ja) 2018-02-27 2019-02-26 管理システム及び管理方法
US16/975,396 US11483289B2 (en) 2018-02-27 2019-02-26 Management system and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018033919A JP6927081B2 (ja) 2018-02-27 2018-02-27 管理システム及び管理方法

Publications (2)

Publication Number Publication Date
JP2019149741A JP2019149741A (ja) 2019-09-05
JP6927081B2 true JP6927081B2 (ja) 2021-08-25

Family

ID=67806204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018033919A Active JP6927081B2 (ja) 2018-02-27 2018-02-27 管理システム及び管理方法

Country Status (3)

Country Link
US (1) US11483289B2 (ja)
JP (1) JP6927081B2 (ja)
WO (1) WO2019167969A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7311780B2 (ja) * 2019-10-28 2023-07-20 株式会社バッファロー ルータ、制御プログラム、端末装置、通信システム
US20230214388A1 (en) * 2021-12-31 2023-07-06 Fortinet, Inc. Generic tree policy search optimization for high-speed network processor configuration

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002261788A (ja) * 2001-02-27 2002-09-13 Mitsubishi Electric Corp ファイアウォール管理装置および方法
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US20050240758A1 (en) * 2004-03-31 2005-10-27 Lord Christopher J Controlling devices on an internal network from an external network
US10015140B2 (en) * 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
JP4693174B2 (ja) * 2006-05-22 2011-06-01 日本電信電話株式会社 中間ノード
JP2008078822A (ja) * 2006-09-19 2008-04-03 Ricoh Co Ltd 管理端末、ポート開閉制御方法およびポート開閉制御プログラム
JP5176983B2 (ja) * 2008-09-22 2013-04-03 富士通株式会社 フィルタ装置、フィルタプログラム及び方法

Also Published As

Publication number Publication date
JP2019149741A (ja) 2019-09-05
US11483289B2 (en) 2022-10-25
US20200403975A1 (en) 2020-12-24
WO2019167969A1 (ja) 2019-09-06

Similar Documents

Publication Publication Date Title
US8649297B2 (en) System and method for simplifying secure network setup
US10623232B2 (en) System and method for determining and forming a list of update agents
US9363285B2 (en) Communication system, network for qualification screening/setting, communication device, and network connection method
US11665052B2 (en) Internet of things gateway onboarding
JP2022020946A (ja) 情報処理装置、情報処理システム、通信形式決定方法およびプログラム
US11722458B2 (en) Method and system for restricting transmission of data traffic for devices with networking capabilities
US10965789B2 (en) Method and system for updating a whitelist at a network node
JP6927081B2 (ja) 管理システム及び管理方法
JP7047441B2 (ja) 情報収集方法
EP3506596A1 (en) System and method for securing communication between devices on a network
JP2016158236A (ja) ネットワーク伝送を傍受する手段を選択するシステムおよび方法
US20150047009A1 (en) Access control method, access control system and access control device
JP6958176B2 (ja) 情報処理装置、情報処理システム、制御方法およびプログラム
US10367781B2 (en) Information processing apparatus, method of controlling the same, and storage medium
JP2018156492A (ja) 遠隔管理システム、仲介装置、遠隔管理方法、及び遠隔管理プログラム
CN110289979B (zh) 桥接器及网络的管理方法
JP6985209B2 (ja) 通信システム、通信装置および管理装置
JP6795535B2 (ja) 特定システム及び特定方法
JP2009278317A (ja) ネットワークドライバ、該ネットワークドライバが組み込まれたコンピュータ及びサーバ
JP6542722B2 (ja) 機器リスト作成システムおよび機器リスト作成方法
JP6286314B2 (ja) マルウェア通信制御装置
TWI763449B (zh) 私有網路服務存取方法和服務閘道設備
US20220407884A1 (en) Device communication class based network security
JP2021087190A (ja) ネットワークシステム及び接続方法
JP2013186487A (ja) 情報処理装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210617

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210706

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210719

R150 Certificate of patent or registration of utility model

Ref document number: 6927081

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150