以下、図面を参照して、本技術を適用した実施の形態について説明する。
〈第1の実施の形態〉
〈IoTについて〉
本技術の具体的な実施の形態を説明する前に、まずIoTについて説明する。
IoTは物のインターネットであり、人の手を介す通信と異なり、ものとものが直接通信を行う通信システムである。例えばMTC(Machine Type Communication)やM2M(Machine to Machine)もIoTを実現するための通信トポロジを表した言葉であり、これらは機械と機械が通信する通信形態を表している。
IoTの1つの特徴として、通信をするデバイスの数が多いということが挙げられる。1人の人間にかかわる機会が10倍から100倍くらいあると想定すると、通信をする機械(機器)については、人間対人間の通信に使用される電話等よりも10倍から100倍の数の通信機器があらゆる場所に配置される。
通信には、無線通信と有線通信があるが、IoTの場合には無線通信が向いている。それは、機器を配置する場所の制約が少ないからである。
〈ヘルスケアIoTについて〉
ヘルスケアIoTには、以下のような特徴がある。すなわち、ヘルスケアIoTには、プレーヤの多様性、データ経路の多様性、およびデータの種類の多様性がある。
ここで、図1にヘルスケアIoTシステムの概要を示す。
図1に示す例では、ヘルスケアIoTシステムはヘルスケアIoTシステムの利用者であるクライアント11-1乃至クライアント11-Z、測定センサ12、スマートホン13、環境センサ14、およびサーバ15-1乃至サーバ15-3からなる。
なお、以下、クライアント11-1乃至クライアント11-Zを特に区別する必要のない場合、単にクライアント11とも称する。また、以下、サーバ15-1乃至サーバ15-3を特に区別する必要のない場合、単にサーバ15とも称する。
ヘルスケアIoTシステムでは、測定センサ12乃至サーバ15がネットワークにより接続されている。
測定センサ12は、例えばクライアント11-1の体温を測定する体温計等のセンサなどからなり、スマートホン13はクライアント11が所持する端末装置である。また、環境センサ14は、例えばクライアント11の周囲の環境を撮影するカメラなどからなる。さらにサーバ15は、例えば各種のサービスを提供する事業者等により管理されるサーバなどとされる。
なお、図1ではハッチが施された丸印が描かれている機器(デバイス)は、その機器においてデータに対してユーザに関する個人ID等が付与されるID付与ポイントであることを示しており、この例ではスマートホン13およびサーバ15-1がID付与ポイントとなっている。また、ハッチが施されていない丸印が描かれている機器は、その機器において生データが解析後のデータ等に変換される変換ポイントであることを示しており、この例ではスマートホン13およびサーバ15-1が変換ポイントとなっている。
(1)プレーヤの多様性
ヘルスケアIoTの特徴の1つとしてプレーヤ(Player)の多様性がある。
ヘルスケアIoTのプレーヤとして、例えば多数のクライアント、測定センサ、環境センサ、1次事業者、2次事業者が存在し、さらにサービス事業者、デバイスベンダ、通信サービスオペレータも存在する。したがって、Focus Areaには非常に多くのプレーヤがいるという特徴がある。
以下にヘルスケアIoTのプレーヤを示す。
(クライアント)
ヘルスケアIoTシステムにおいては、クライアントはデータ収集ターゲットである。また、クライアントは、ヘルスケア解析データの使用者である。クライアントは、最も重要なプレーヤである。セキュリティの保護はクライアントのためといっても過言ではない。
(センサ)
クライアントの近傍には、体温計等のクライアントの状態を測定するセンサデバイスが配置されるだろう。さらに、クライアントの近隣ではあるが、クライアントとは離れた場所に設置される環境センサ(例えばカメラによるモニタ)もあるだろう。これらのセンサを提供するデバイスベンダも様々であるだろう。
(スマートホン)
センサは、スマートホンに内蔵される場合もあるが、センサがスマートホンの外に配置される場合もあるだろう。スマートホンは、様々なセンサのゲートウェイ的な役割を持つであろう。
(Mobile Network Operator)
データのアップロードやダウンロードには、MNO(Mobile Network Operator)のサービスが必要となるだろう。現在では、LTE(Long Term Evolution)ネットワークがセルラー網として広く普及している。ヘルスケアIoTシステムは、単一のMNOの網では不十分であり、様々なMNOの網を使用して構築されるだろう。
(サーバ)
ネットワーク側には、データを収集するサーバがあり、それは最初にクライアントからデータを受け取る一次事業者と、そのような一次事業者からデータを譲り受ける二次事業者があるだろう。これらのヘルスケア事業者は、データを管理する事業者やサービスを提供する事業者等、様々な事業者があるだろう。さらに、それらの事業者は世界中に分散して配置されると予想される。
また、事業者主体が異なれば、セキュリティに対する信頼性は異なるだろう。さらにデバイスに関しても、異なるベンダから提供されるこれらのデバイスは、システムとしてセキュリティを保証しないとクライアントの個人情報を保護することはできないだろう。単一事業者が管理したシステムとデバイスを用いて提供するサービスでは、セキュリティ保護は提供しやすい。しかし、ヘルスケアIoTシステムは、様々な事業者、様々なデバイスベンダが提供するデバイス、様々なアプリケーションが同時に動くシステムであり、セキュリティ保護にかかる負担は増大するだろう。
(2)データ経路の多様性
ヘルスケアIoTの他の特徴の1つとしてデータ経路の多様性がある。すなわち、ヘルスケアIoTシステムでは、様々な信号の向き、宛先、経由ポイントが存在する。
ここで、図2乃至図5を参照して、アプリケーションレベルでのデータ経路の例について説明する。なお、図2乃至図5において、図1における場合と対応する部分には同一の符号を付してあり、その説明は適宜省略する。
まず、例えば図2に示すようにクライアント11が自分の測定データをサーバ15に送り、サーバ15では、その測定データに基づく分析結果をクライアント11にフィードバックするという基本的なデータ経路がある。
また、例えば図3はクライアント11の周囲のカメラ、録音機等の環境を測定するセンサがクライアント11の状態や、クライアント11の周りの騒音状態等、そのクライアント11に関係する情報を収集して、それをサーバ15にレポートするモデルを示している。
クライアント11に関係する環境情報は、クライアント11を特定するための個人IDとともにレポートされるケースがあるだろう。また、環境情報は後でクライアント11と関連付けを行うための個人IDとともに送られる場合もあるだろう。さらに最終的にもクライアント11と関連付けを行わない場合もあるだろう。
図4は、サーバ15が複数のクライアント11からの情報を解析して、そのレポートをクライアント11に返すのではなく、公共機関等にレポートするモデルを示している。複数のクライアント11の体温を収集して、デパートの空調を調整するようなケースがこのモデルに含まれる。
図5は、サーバ15-1に蓄えられたクライアントデータが、さらに別の業者に貸し出されるモデルを示している。この例では、サーバ15-1に供給されたクライアントデータがサーバ15-1からサーバ15-2に提供されている。
ある事業者は、複数の事業者からデータを集めて、そのデータを解析した上で公開する場合もあるだろう。次々とデータが別の事業者に貸し出されるような事態は、データが独り歩きを始める危険性があり、セキュリティ上望ましくない。データを取り戻そうとしても容易ではないからである。
図6は、通信プラットフォームから見たデータの経路を表している。
この例では、センサ41から、端末側通信インターフェース42およびネットワーク側通信インターフェース43を介してサーバ44へとデータが供給される経路がある。また、サーバ44からネットワーク側通信インターフェース43および端末側通信インターフェース42を介してセンサ41へとデータが供給される経路もある。
この場合、例えば端末側通信インターフェース42において、データに対して、SIM(Subscriber Identity Module)のIDやアプリケーションレベルのIDなど、個人を特定可能なIDが付与されることもある。
複数のデータの経路について、各経路上で求められるセキュリティ上の重要度や役割は異なると考えられる。センサ41から送られてきた情報のセキュリティイ上の重要度は低くても、それが個人IDと結びついたデータとなると、セキュリティの重要度が向上するだろう。サーバ44で個人情報を収集した後に統計情報として情報を作り出した場合には、その統計情報は個人の情報が薄められているので、セキュリティ上の重要度が低下すると考えられる。
(3)データの種類の多様性
さらにヘルスケアIoTの他の特徴の1つとしてデータの種類の多様性がある。
ヘルスケアIoTでは、未加工のデータである生データ、解析後のデータ、クライアントの個人IDが付与されたデータなど様々なデータが存在する。
ヘルスケアIoTではアプリケーションが多岐に渡るため、保護すべきデータの種類も様々である。セキュリティ上の重要度が高いデータもあれば、セキュリティ上の重要度が低いデータもある。
ここで、図7乃至図9を参照して、データのセキュリティ上の重要度について説明する。すなわち、図7にはセキュリティ上の重要度が高いデータの例が示されており、図8にはセキュリティ上の重要度が低いデータの例が示されている。
また、データの重要度は変化するケースがあり、図9にはセキュリティ上の重要度が変化するケースが示されている。すなわち、図9では、ある機器(デバイス)やサーバの処理の前後でデータのセキュリティ上の重要度が変化するケースについて示されている。
まず、図7には、セキュリティ上の重要度が高いデータの例が示されている。
すなわち、図7では、セキュリティ上の重要度が高いデータ(情報)の例として、個人に特化した情報、個人に対する重大な判断に影響を与える情報、および装着された機器の制御に用いられるコントロールデータが示されている。
個人の趣味嗜好、個人の居所等の場所、病気等の身体の状態等に関する個人に特化した情報はプライバシの観点から保護されるべきである。例えば個人の映像を取得したデータはストリーミングであるが強く保護されるべきである。
また、個人に対する重大な判断に影響を与える情報、すなわち、その情報をもとに重大な判断を医師等が行う可能性があるような情報は、データの改ざんにより重大な判断に影響を与えるため強い保護が求められる。
さらに、装着された機器の制御に用いられるコントロールデータ、すなわち、例えば高信頼性が求められる機器の制御に用いられる制御データは、改ざんされることにより重大な事故を招くことがあるので、データの改ざん等の攻撃から保護する必要がある。
次に、図8にはセキュリティ上の重要度が低いデータの例が示されている。
例えば個人IDと関連付けされずに収集されたデータなどの個人が特定できないデータや、1000万人分の統計分析が加えられたデータなどの個人データから加工されて、もはや個人が特定できないデータなどのセキュリティ上の重要度は低いと考えられる。
また、リアルタイムに個人の血圧の情報が漏れると重大なセキュリティ事故になるが、20年前のデータなどの十分に古いデータであれば問題ない場合もある。その他、例えば人の周りの騒音レベルや、温度、湿度などの個人の周囲の環境データのセキュリティの重要度は若干低いと考えられる。
さらに、図9には、データの重要度が変化するケースについて示されている。
ここでは、例えば生データと解析後データ、および個人IDの関連付け前後のデータが例として示されている。
すなわち、例えばセンサによる測定により得られたデータは、解析が行われる前の生データである。生データは所定の機器(デバイス)またはサーバにより解析されて、解析後データに変換されるが、これらの生データと解析後データとではセキュリティ上の重要度が異なる。
同様に、センサによる測定では、測定対象が何者であるかが分からずに測定が行われる場合もある。そのような場合、測定で得られたデータはクライアントを特定する個人IDと関連付けされる前のデータである。その後、所定の機器(デバイス)またはサーバにより、そのような個人IDと関連付けされていないデータが、個人IDと結び付けられるとデータの質、つまりセキュリティ上の重要度が変化する場合がある。
また、様々な統計処理でもデータのセキュリティ上の重要度は変化する。例えば解析も1回目の解析データをもとに、さらに別の上位概念の解析が2回目にされる場合がある。そのような場合、解析を繰り返すことによってセキュリティ上のデータの重要度は変化していく。
さらに、ヘルスケア機器を制御する制御信号は、制御する前まではセキュリティ上の重要度は高い。これは誤った制御を行うと重大事故を招く可能性があるからである。しかし、制御を実施した後は、どのように制御したかという情報に変化するので制御信号のセキュリティ上の重要度は低下すると考えられる。
医師が診断のために用いたデータは、医師が診断を行って、それに基づく指示をクライアントに出した後は、そのセキュリティ上の重要度は若干下がると考えられる。但し履歴としての重要度はある。
〈低コストで実現するセキュリティの重要性〉
IoT機器は非常に数が多い。したがってセキュリティ耐性を向上させるために、そのような膨大な数のIoT機器に対する暗号化鍵を適切に保管および転送することは非常に難易度が高いと考えられる。
例えば、郵送で鍵を届ける方法は、非常に数の多いIoT機器には非現実的な方法となる。IoT機器は、低コストに作られることが求められる。さらに、ヘルスケアIoTでは、高い通信頻度が求められるユースケースが散見されることから、全てのデータに対して強力にセキュリティ保護を行うことは困難な場合がある。
ヘルスケアIoTには、低コスト、すなわち低デバイスコスト、低計算コスト、低トランザクションコスト、低オペレーションコストで実現するセキュリティシステムが求められるであろう。
〈ヘルスケアIoTに求められるセキュリティ〉
例えばセキュリティ技術の技術範囲を考える上で、以下のような方向性が考えられる。
方向性(1)
厳密にデータ保護を行うための強力なセキュリティ技術を提案する
方向性(2)
データの種類が様々あり、それらのデータの種類は変化するというヘルスケアIoTの特徴を捉えてセキュリティを担保する労力を低減した効率的なセキュリティ技術を提案する
方向性(3)
データがユーザの意図に反して拡散していってしまうというヘルスケアIoTの特徴を捉えて効率的なセキュリティ技術を提案する
ここで、少なくとも方向性(1)、つまり強力なセキュリティ技術を提案するという方向性は望ましくないと考えられる。そして、方向性(2)および方向性(3)で技術を創出することが重要であると考えられる。
また、セキュリティを考える時には以下の3つを考えることが重要である。すなわち、セキュリティ耐性を向上させるための手段(処理)として、図10に示すセキュリティ手段がある。
図10では、セキュリティ耐性を向上させるためのセキュリティ手段として、つまりセキュリティ保護のための処理としてAuthentication(認証)、Ciphering(暗号)、およびIntegrity Check(データ完全性チェック)が示されている。
認証、つまり認証処理とは、通信相手が信頼できる通信相手であるか否かを判断する機能であり、例えば通信相手のIDの正当性を判定することにより認証が行われる。
このような認証はアクセスセキュリティとも呼ばれており、適切ではない相手に重要なデータを送信することを未然に防止するための機能である。
認証は特になりすましに有効であり、この認証機能が最も基本となるセキュリティ手段である。通常、認証は以下の2つのセキュリティ手段を使用する前に実施される。
暗号、つまり暗号化および復号による暗号機能は通信のデータの内容を他人から分からなくするためのものであり、特に盗聴に有効である。
データ完全性チェックは、通信のデータの内容が改ざんされていないことを確認するための機能であり、改ざんに有効である。特に改ざんされると重大な事故につながるデータに対しては、データ完全性チェックが行われるべきである。
以上の認証、暗号、およびデータ完全性チェックという3つのセキュリティ手段には、鍵が必要となる。それらのセキュリティ手段で共通の同じ鍵を使ってもよいが別々の鍵を用意する方が望ましい。例えば認証の鍵から他の2つのセキュリティ手段のための鍵を生成する場合もある。
また、これらのセキュリティ手段を実施するには、通信のコストやデバイスの計算コストが必要となる。そのため、認証、暗号、およびデータ完全性チェックのうち、どのセキュリティ手段を省略して、どのセキュリティ手段を実施すべきかをシステムのなかの各通信経路ごとに変えることが重要になってくる。
〈ヘルスケアIoTシステムの構成例〉
ところで、世界に統一された1つのヘルスケアIoTのシステムができる場合であれば、データが他のデータに変換される等の変換ポイントを定義して、その変換ポイントの場所も明確に把握することができる。例えば、データがスマートホンを経由すると、そのデータに対して個人IDが必ず付与されることが技術標準として定義される場合である。
しかし、ヘルスケアIoTシステムでは様々なプレーヤが存在して、様々な機器を利用してシステムを組み上げるため、事業者が提供するヘルスケアIoTシステムは事業者ごとに異なる。また、単一の事業者が提供するシステム内であっても、アプリケーションごとに個人IDを付与する場所や、生データが解析後データに変換される場所が様々である。
したがって、事業者が変換ポイントの前後で、セキュリティを最適化しようとしても、その変換ポイントの状況を把握することが容易ではなかった。そのため、システムのフレキシビリティを担保しつつ変換ポイントの前後で、効率的なセキュリティ手段を提供することが求められている。
そこで、本技術では各IoT機器間でのセキュリティ手段を決定してセキュリティ管理(セキュリティマネジメント)を行うセキュリティマネジメントエンティティを設け、ネットワーク構成に対して柔軟に適応可能なセキュリティマネジメントシステムを実現できるようにした。
図11は、本技術を適用したヘルスケアIoTシステムの一実施の形態の構成例を示す図である。
図11に示す例では、ヘルスケアIoTシステムはヘルスケアIoTシステムの利用者であるクライアント71-1乃至クライアント71-Z、IoT機器72-1乃至IoT機器72-6、およびセキュリティマネジメントエンティティ73を有している。
なお、ここでは説明を簡単にするため、クライアント71-1についてのみIoT機器が図示されている。以下、クライアント71-1乃至クライアント71-Zを特に区別する必要のない場合、単にクライアント71とも称することとする。
IoT機器72-1乃至IoT機器72-6は、クライアント71に所定のサービスを提供するための情報処理装置である。
IoT機器72-1は、例えばクライアント71の体温を測定する体温計等のセンサなどからなり、体温などのクライアント71に関する情報(データ)を、クライアント71から直接測定し、測定により得られた未加工の生データをIoT機器72-2に供給する。
IoT機器72-2は、例えばスマートホンからなる。なお、IoT機器72-2は、スマートホンに限らずタブレット型端末装置やパーソナルコンピュータなどのクライアント71が所有する端末装置とされてもよい。
例えばIoT機器72-2は、IoT機器72-1から供給された生データに対してクライアント71を識別する個人IDを付与(付加)したり、IoT機器72-1から供給された生データに対する解析等を行って解析後データ等の他のデータへの変換を行ったりする。さらに、IoT機器72-2は、IoT機器72-1から供給された生データや、その生データに対する変換等により得られたデータなどをIoT機器72-4やIoT機器72-5に送信したり、IoT機器72-4やIoT機器72-5から提供されるサービスに関するデータを受信して表示したりする。
IoT機器72-3は、例えばクライアント71の周囲の環境を撮影するカメラなどの環境センサからなり、クライアント71を撮影するなどして得られた生データをIoT機器72-4に送信する。
IoT機器72-4やIoT機器72-5は、例えばサービスを提供する一次事業者等により管理されるサーバからなる。例えばIoT機器72-4は、IoT機器72-2やIoT機器72-3から供給されたデータに対する解析等を行って解析後データ等の他のデータへの変換を行ったり、変換により得られたデータにクライアント71の個人IDを付加したりする。また、例えばIoT機器72-4やIoT機器72-5は、クライアント71に関するデータをIoT機器72-6に送信する。
IoT機器72-6は、例えばサービスを提供する二次事業者等により管理されるサーバからなり、IoT機器72-4やIoT機器72-5から受信したデータを加工したり、加工により得られたデータをIoT機器72-4やIoT機器72-5に送信したりする。
なお、以下、IoT機器72-1乃至IoT機器72-6を特に区別する必要のない場合、単にIoT機器72とも称する。
なお、図11においては、ハッチが施された丸印が描かれているIoT機器72は、そのIoT機器72においてデータに対して個人ID等のIDが付与されるID付与ポイントであることを示している。この例ではIoT機器72-2とIoT機器72-4がID付与ポイントとなっている。
また、ハッチが施されていない丸印が描かれているIoT機器72は、そのIoT機器72において生データが他の解析後データ等に変換されるなどのデータ変換(加工)が行われる変換ポイントであることを示している。この例ではIoT機器72-2とIoT機器72-4が変換ポイントとなっている。
ID付与ポイントや変換ポイントは、IoT機器72に入力されるデータと、IoT機器72から出力されるデータとでセキュリティ上の重要度が異なるポイント、つまりデータのセキュリティ上の重要度が変化するポイント(位置)である。
セキュリティマネジメントエンティティ73は、ヘルスケアIoTシステムにおけるセキュリティを管理する情報処理装置である。セキュリティマネジメントエンティティ73は、各IoT機器72間でのデータの授受が行われるときに、どのようにしてセキュリティを確保するか、つまりどのようなセキュリティ手段を適用するかを示すセキュリティポリシーを決定し、そのセキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを各IoT機器72に配布する。
〈セキュリティ管理について〉
ここで、セキュリティマネジメントエンティティ73によるセキュリティ管理について説明する。
例えば図12に示すように、セキュリティマネジメントエンティティ73は、IoT機器72から直接または他のIoT機器72を介して、IoT機器72がセキュリティに関して有する能力であるセキュリティケーパビリティを示すセキュリティケーパビリティレポートを各IoT機器72から収集する。このセキュリティケーパビリティレポートは、IoT機器72自身のセキュリティに関する情報である。
具体的には、例えば矢印Q11に示すように、セキュリティマネジメントエンティティ73は、セキュリティケーパビリティレポートの送信を要求する送信要求であるセキュリティケーパビリティリクエストをIoT機器72に送信し、IoT機器72はそのセキュリティケーパビリティリクエストを受信する。
そして、IoT機器72は矢印Q12に示すように、セキュリティケーパビリティリクエストに応じて、自身のセキュリティケーパビリティを示すセキュリティケーパビリティレポートをセキュリティマネジメントエンティティ73に送信する。
セキュリティマネジメントエンティティ73は、IoT機器72から送信されてきたセキュリティケーパビリティレポートを受信すると、矢印Q13に示すようにセキュリティケーパビリティレポートを受信した旨のAcknowledgeをIoT機器72に送信する。
ここでセキュリティケーパビリティは、例えば生データを解析後データに変換する能力、つまりデータの変換能力やデータに対して個人IDを付与(付加)する能力、認証等のセキュリティ保護(確保)のための処理の実行能力など、セキュリティに関する能力である。
例えばIoT機器72は、図13に示すようにセキュリティケーパビリティを示すCapability IDを含むセキュリティケーパビリティレポートを送信することで、セキュリティマネジメントエンティティ73に対して自身が有するセキュリティケーパビリティを報告する。
図13に示す例では、セキュリティケーパビリティレポートには、Capability ID「1」乃至「5」が含まれており、IoT機器72がそれらのCapability IDにより示されるセキュリティケーパビリティを有していることが分かる。
ここでCapability ID「1」は、認証(認証処理)を行う能力を示しており、Capability ID「2」は暗号化を行う能力を示しており、Capability ID「3」は、データ完全性チェックを行う能力を示している。
これらのCapability ID「1」乃至「3」に示される能力は、IoT機器72がセキュリティ保護、つまりセキュリティ確保のために実行可能な処理を示している。換言すれば、Capability ID「1」乃至「3」に示される能力は、セキュリティ確保のために実行可能なセキュリティ手段を示している。
また、Capability ID「4」は、個人ID、すなわちクライアント71を識別する個人識別情報を付加(付与)する能力を示しており、Capability ID「5」は生データを解析後データに変換する能力、つまりデータ変換処理を行う能力を示している。
これらのCapability ID「4」および「5」に示される能力は、ヘルスケアIoTシステムで取り扱われるクライアント71に関するデータに対して行われる処理であって、特に処理の前後でデータのセキュリティ上の重要度が変化する処理の実行能力を示している。すなわち、これらのCapability ID「4」や「5」は、IoT機器72自身がIoT機器72間で授受されるデータに対して実行可能な処理を示す情報である。
したがって、Capability ID「4」に示される能力を有するIoT機器72は、ID付与ポイントとなることが分かり、Capability ID「5」に示される能力を有するIoT機器72は、変換ポイントとなることが分かる。
このように、セキュリティケーパビリティレポートにより、IoT機器72が有しているセキュリティ手段だけでなく、セキュリティ上の重要度の変化に関わる処理を行う能力についても報告(レポート)を行うのは、個人ID付与や解析後データへの変換は、セキュリティポリシー決定に重大な影響を与える情報だからである。
図12の説明に戻り、セキュリティマネジメントエンティティ73は、各IoT機器72からセキュリティケーパビリティレポートを収集して、各IoT機器72が有するセキュリティケーパビリティを把握するとともに、各IoT機器72の接続関係、つまりヘルスケアIoTシステムのネットワークトポロジを把握する。
そして、セキュリティマネジメントエンティティ73は、把握した各IoT機器72のセキュリティケーパビリティとネットワークトポロジに基づいて、セキュリティポリシーを決定する。
ここで、セキュリティポリシーとは、IoT機器72間でデータを授受するにあたり、どのようにしてセキュリティを確保するか、つまり授受されるデータに対してどのようなセキュリティ手段を適用し、セキュリティ保護を行うかを示すものである。
ヘルスケアIoTシステムでは、各IoT機器72について、通信相手となる他のIoT機器72ごとに、つまりIoT機器72と他のIoT機器72との間の通信経路であるセグメントごとに適用すべきセキュリティ手段が決定される。
セキュリティマネジメントエンティティ73は、このようにして各IoT機器72のセグメントごとに適用すべきセキュリティ手段、すなわちセキュリティポリシーを決定すると、矢印Q14に示すように、その決定結果を示すセキュリティポリシーコンフィギュレーションをIoT機器72に対して送信する。
このセキュリティポリシーコンフィギュレーションは、所定のIoT機器72が他のIoT機器72に対してデータを送信するか、または他のIoT機器72から送信されたデータを受信する場合に、セキュリティ保護のために実行すべき処理を示す情報である。換言すれば、セキュリティポリシーコンフィギュレーションは、他のIoT機器72とのデータ授受の際に、IoT機器72が実行すべきセキュリティ保護のための処理を指定する指定情報である。
また、IoT機器72は、セキュリティマネジメントエンティティ73からセキュリティポリシーコンフィギュレーションを受信すると、矢印Q15に示すように、セキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをセキュリティマネジメントエンティティ73に送信する。
セキュリティポリシーコンフィギュレーションには、例えば図14に示すようにセキュリティポリシーを示すConfiguration IDが含まれている。
この例では、Configuration ID「1」はセキュリティ保護のために暗号化のみを行うことを示しており、Configuration ID「2」はキュリティ保護のために暗号化とデータ完全性チェックを行うことを示している。また、Configuration ID「3」はキュリティ保護のために認証と暗号化を行うことを示しており、Configuration ID「4」はキュリティ保護のために認証と暗号化とデータ完全性チェックを行うことを示している。
セキュリティポリシーの決定(選択)の一例として、例えばCapability ID「5」に示される能力を有さないIoT機器72については、そのIoT機器72がデータの送信側となるセグメントもIoT機器72がデータの受信側となるセグメントもConfiguration ID「1」に示されるセキュリティポリシーに従ったセキュリティ保護が行われるようになされる。
また、例えばCapability ID「1」に示される能力を有さないIoT機器72については、そのIoT機器72に関するセグメントに対してConfiguration ID「1」または「2」に示されるセキュリティポリシーが選択される。
さらに、例えばCapability ID「4」に示される能力を有するIoT機器72については、そのIoT機器72がデータの送信側となるセグメントではConfiguration ID「4」に示されるセキュリティポリシーが選択され、そのIoT機器72がデータの受信側となるセグメントではConfiguration ID「1」に示されるセキュリティポリシーが選択される。
セキュリティポリシーは、ヘルスケアIoTシステムごとに適切に定められればよく、どのようにして決定するようにしてもよい。
以上のようにして各IoT機器72にセキュリティポリシーコンフィギュレーションが配布されると、各IoT機器72は、セキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従って、他のIoT機器72とのデータの授受を行う。
これにより、例えば図15に示すようにセキュリティ手段が適用される。なお、図15において図11における場合と対応する部分には同一の符号を付してあり、その説明は適宜省略する。
図15に示す例では、IoT機器72同士を結ぶ矢印が通信経路、つまりセグメントを表している。
特に、実線で描かれたセグメントは、そのセグメントの両端にあるIoT機器72間でセキュリティ手段として暗号化が行われることを示している。また、点線で描かれたセグメントは、そのセグメントの両端にあるIoT機器72間でセキュリティ手段として認証と暗号化とデータ完全性チェックが行われることを示している。さらに、一点鎖線で描かれたセグメントは、そのセグメントの両端にあるIoT機器72間でセキュリティ手段として暗号化とデータ完全性チェックが行われることを示している。
したがって、例えばIoT機器72-2とIoT機器72-5との間でデータの授受が行われるときには、セキュリティ保護のための処理としてデータに対して暗号化処理が行われる。すなわち、IoT機器72-2とIoT機器72-5との間では、暗号化処理が施されたデータが授受される。
また、例えばIoT機器72-2とIoT機器72-4との間では、データの授受が行われるときにはセキュリティ保護のための処理として、認証と暗号化とデータ完全性チェックが行われる。
なお、ここではセキュリティマネジメントエンティティ73とIoT機器72は異なる情報処理装置である例について説明するが、IoT機器72がIoT機器としてだけでなく、セキュリティマネジメントエンティティ73としても機能するようにしてもよい。
〈IoT機器の構成例〉
続いて、図11に示したIoT機器72とセキュリティマネジメントエンティティ73の具体的な構成例について説明する。
まず、IoT機器72の構成例について説明する。図16は、IoT機器72の構成例を示す図である。
図16に示すIoT機器72は、通信部101、記録部102、および制御部103を有している。
通信部101は、ネットワークを介して他のIoT機器72やセキュリティマネジメントエンティティ73と通信し、送信されてきた各種のデータ(情報)を受信して制御部103に供給したり、制御部103から供給されたデータを送信したりする。記録部102は、制御部103から供給されたデータを記録したり、記録しているデータを制御部103に供給したりする。
制御部103は、IoT機器72全体の動作を制御する。制御部103は、データ処理部111およびセキュリティ処理部112を有している。
データ処理部111は、IoT機器72間で授受されるデータに対して適宜、加工等の処理を施す。例えばデータ処理部111は、生データに対して解析処理を行い、生データを解析後データに変換したり、生データや解析後データに対して個人IDを付加したりする。
セキュリティ処理部112は、セキュリティマネジメントエンティティ73から供給されたセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従ってセキュリティ保護のための処理を行う。例えばセキュリティ保護のための処理として、IoT機器72間で授受されるデータに対する暗号化処理や、暗号化されたデータの復号処理、データ完全性チェックのための処理、通信相手であるIoT機器72または自身の認証を行うための認証に関する処理などが行われる。
〈セキュリティマネジメントエンティティの構成例〉
次に、セキュリティマネジメントエンティティ73の構成例について説明する。図17は、セキュリティマネジメントエンティティ73の構成例を示す図である。
図17に示すセキュリティマネジメントエンティティ73は、通信部141、記録部142、および制御部143を有している。
通信部141は、ネットワークを介してIoT機器72と通信し、送信されてきた各種のデータ(情報)を受信して制御部143に供給したり、制御部143から供給されたデータを送信したりする。記録部142は、制御部143から供給されたデータを記録したり、記録しているデータを制御部143に供給したりする。
制御部143は、セキュリティマネジメントエンティティ73全体の動作を制御する。制御部143は、セキュリティポリシー決定部151を有している。
セキュリティポリシー決定部151は、各IoT機器72から収集されたセキュリティケーパビリティレポートに基づいて、各IoT機器72に対してセグメントごとにセキュリティポリシーを決定(選択)する。
〈配布処理および受信処理の説明〉
ここで、IoT機器72とセキュリティマネジメントエンティティ73との間で行われる処理について説明する。
すなわち、以下、図18のフローチャートを参照して、セキュリティマネジメントエンティティ73により行われる配布処理と、IoT機器72により行われる受信処理について説明する。
ステップS11において、セキュリティマネジメントエンティティ73の通信部141は、セキュリティケーパビリティリクエストを送信する。
すなわち、制御部143は、セキュリティケーパビリティリクエストを生成し、通信部141に供給する。すると通信部141は、制御部143から供給されたセキュリティケーパビリティリクエストをIoT機器72に送信する。なお、セキュリティケーパビリティリクエストは、セキュリティマネジメントエンティティ73が接続(通信)可能な全てのIoT機器72に対して送信される。
セキュリティケーパビリティリクエストが送信されると、ステップS21において、IoT機器72の通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティケーパビリティリクエストを受信して制御部103に供給する。
制御部103は、通信部101から供給されたセキュリティケーパビリティリクエストに応じて、IoT機器72が有する能力を示すセキュリティケーパビリティレポートを生成し、通信部101に供給する。これにより、例えば図13に示したセキュリティケーパビリティレポートが生成される。
ステップS22において、通信部101は、制御部103から供給されたセキュリティケーパビリティレポートをセキュリティマネジメントエンティティ73に送信する。
すると、ステップS12において、セキュリティマネジメントエンティティ73の通信部141は、IoT機器72から送信されてきたセキュリティケーパビリティレポートを受信して制御部143に供給する。なお、より詳細には、セキュリティケーパビリティレポートが受信されると、図12を参照して説明したようにAcknowledgeが送信される。
ステップS13において、セキュリティポリシー決定部151は、通信部141から供給されたセキュリティケーパビリティレポートに基づいて、IoT機器72に対してセグメントごとにセキュリティポリシーを決定する。
このとき、セキュリティポリシー決定部151は、必要に応じて他のIoT機器72から受信したセキュリティケーパビリティレポートも参照して各IoT機器72が有するセキュリティケーパビリティやネットワークトポロジを把握し、例えば図14を参照して説明したようにセキュリティポリシーを決定する。
セキュリティポリシー決定部151は、セキュリティポリシーを決定すると、その決定結果に基づいてセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
例えばセキュリティポリシー決定部151は、決定されたセキュリティポリシーを示す、図14に示したConfiguration IDが含まれるセキュリティポリシーコンフィギュレーションを、IoT機器72のセグメントごとに生成する。
ステップS14において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションをIoT機器72に送信し、配布処理は終了する。
また、ステップS23において、IoT機器72の通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティポリシーコンフィギュレーションを受信して制御部103に供給する。
また、セキュリティポリシーコンフィギュレーションが受信されると、通信部101は制御部103の制御に従って、セキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをセキュリティマネジメントエンティティ73に送信する。
ステップS24において、制御部103は、ステップS23で受信されたセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従った動作を行い、受信処理は終了する。
具体的には、例えばデータ処理部111は、他のIoT機器72に対して送信する生データに対してクライアント71の個人IDを付加したり、生データに対する解析処理を行って、生データを他のIoT機器72に対して送信する解析後データに変換したりする。
また、例えばセキュリティ処理部112はセキュリティポリシーに従って、個人IDが付加された生データや解析後データの送信前に他のIoT機器72に対して認証に必要なデータの送信を要求し、他のIoT機器72の認証を行う。その他、例えばセキュリティ処理部112は、送信する生データや解析後データに対して暗号化処理を行ったり、送信する生データや解析後データに対してデータ完全性チェックのためのデジタル署名等を施したりする。
そして、通信部101は、必要に応じて認証処理が行われた後、セキュリティポリシーに従って暗号化処理やデジタル署名等が施された、個人IDが付加された生データや解析後データを、通信相手である他のIoT機器72に送信する。
さらに、例えばIoT機器72がデータの受信側である場合には、セキュリティ処理部112は、データの受信前に通信相手である他のIoT機器72に対して認証に必要なデータを送信し、認証を受ける。また、セキュリティ処理部112は、他のIoT機器72から受信した、暗号化されたデータに対する復号やデータ完全性チェックなどの処理を行う。
なお、他のIoT機器72へのデータの送信時、または他のIoT機器72から送信されたデータの受信時に行われる、データのセキュリティ保護のための処理は、認証や暗号化、データ完全性チェックなどに限らず、他のどのような処理が行われてもよい。
以上のようにして、セキュリティマネジメントエンティティ73は、IoT機器72からセキュリティケーパビリティレポートを受信してセキュリティポリシーを決定し、その決定結果を示すセキュリティポリシーコンフィギュレーションをIoT機器72に送信する。
また、IoT機器72は、セキュリティマネジメントエンティティ73からの要求に応じてセキュリティケーパビリティレポートを送信するとともに、セキュリティポリシーコンフィギュレーションを受信し、指定されたセキュリティポリシーに従った動作を行う。
このようにすることで、ヘルスケアIoTシステムのネットワーク構成に対して、各IoT機器72のセグメントごとに柔軟かつ適切にセキュリティポリシーを決定し、十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
〈第2の実施の形態〉
〈セキュリティポリシーの決定について〉
ところで、ID付与ポイントや変換ポイントとなるIoT機器72の前後の通信経路の状態、つまりIoT機器72間のセグメントの状態によって、セグメントのセキュリティ耐性は異なる。
すなわち、例えばセグメントでの通信が無線通信であるのか、または有線通信であるのかによってセキュリティ耐性は異なる。
また、無線通信であっても3G networkであるのか、GSM(登録商標)(Global System for Mobile Communications)であるのか、4G networkであるのか、または無線LAN(Local Area Network)であるのかによってもセキュリティ耐性は異なる。さらに、有線通信であってもADSL(Asymmetric Digital Subscriber Line)であるのか、光ファイバ通信であるのか、またそこにIP Secが適用されているかによってもセキュリティ耐性が異なる。
このように各IoT機器72間のセグメントの状態によって、セグメントごとに許容されるセキュリティは異なる。そこで、セグメントのセキュリティに関する状態に応じてセキュリティポリシーを決定するようにしてもよい。
そのような場合、セキュリティマネジメントエンティティ73は、IoT機器72のセグメントごとに、特にID付与ポイントや変換ポイントの前後のセグメントについて、セグメントのセキュリティの観点から見た危険度に関する報告(レポート)を各IoT機器72に対して要求する。すなわち、セキュリティポリシーを決定するために用いるセキュリティに関する情報として、セキュリティに関するIoT機器72間のセグメントの状態であるセグメントセキュリティ状態に関する報告が要求される。
セキュリティマネジメントエンティティ73からの要求を受けたIoT機器72は、自身と他のIoT機器72との間のセグメントごとにセグメントセキュリティ状態を示すセグメントセキュリティレポートを生成し、セキュリティマネジメントエンティティ73に送信する。
例えばセグメントセキュリティレポートは、図19に示すようにセグメントのセキュリティに関する構成要素「1」乃至構成要素「4」ごとのフラグを含む情報となっている。
図19に示す例では、構成要素「1」のフラグは、IoT機器72から見てセグメントがアップリンク(Up Link)であるか、またはダウンリンク(Down Link)であるかを示している。具体的には、構成要素「1」のフラグの値が「0」であれば、セグメントはアップリンクであることを示しており、構成要素「1」のフラグの値が「1」であれば、セグメントはダウンリンクであることを示している。
また、構成要素「2」のフラグは、セグメントでの通信が有線通信であるか、または無線通信であるかを示している。具体的には、構成要素「2」のフラグの値が「0」であれば有線通信であることを示しており、構成要素「2」のフラグの値が「1」であれば無線通信であることを示している。
構成要素「3」のフラグは、セグメントを介して送受信されるデータが生データであるか、または解析後データであるか、すなわち生データまたは解析後データの何れのデータが伝送されるセグメントであるかを示している。具体的には、構成要素「3」のフラグの値が「0」であれば生データが送受信されるセグメントであることを示しており、構成要素「3」のフラグの値が「1」であれば解析後データが送受信されるセグメントであることを示している。
構成要素「4」のフラグは、セグメントを介して送受信(伝送)されるデータが個人IDの付加されたデータであるか否か、すなわち個人IDが付加されたデータまたは個人IDが付加されていないデータの何れのデータが伝送されるセグメントであるかを示している。具体的には、構成要素「4」のフラグの値が「0」であれば個人IDが付加されていないデータが送受信されるセグメントであることを示しており、構成要素「4」のフラグの値が「1」であれば個人IDが付加されたデータが送受信されるセグメントであることを示している。
セキュリティマネジメントエンティティ73は、各IoT機器72のセグメントごとにセグメントセキュリティレポートを受信すると、そのセグメントセキュリティレポートにより示されるセグメントセキュリティ状態に基づいて、セキュリティポリシーを決定する。
具体的には、例えば構成要素「4」のフラグや構成要素「5」のフラグの値が「1」であり、セキュリティ上の重要度が高いデータが送受信されるセグメントに対しては、図14に示したConfiguration ID「3」や「4」に示されるセキュリティポリシーが選択されるなどとすればよい。
第1の実施の形態ではセキュリティケーパビリティレポートに基づいてセキュリティポリシーが決定されていたのに対して、この例ではセグメントセキュリティレポートに基づいてセキュリティポリシーが決定される。すなわち、この実施の形態では、IoT機器72に隣接するセグメントにおいて、セキュリティの観点で、どのような状態で通信が行われるかに基づいてセキュリティポリシーが決定される。
〈配布処理および受信処理の説明〉
ここで、セグメントセキュリティレポートに基づいてセキュリティポリシーを決定する場合にIoT機器72とセキュリティマネジメントエンティティ73との間で行われる処理について説明する。
すなわち、以下、図20のフローチャートを参照して、セキュリティマネジメントエンティティ73により行われる配布処理と、IoT機器72により行われる受信処理について説明する。
ステップS51において、セキュリティマネジメントエンティティ73の通信部141は、セグメントセキュリティレポートの送信を要求するセグメントセキュリティリクエストを送信する。
すなわち、制御部143は、セグメントセキュリティリクエストを生成し、通信部141に供給する。すると通信部141は、制御部143から供給されたセグメントセキュリティリクエストをIoT機器72に送信する。なお、セグメントセキュリティリクエストは、セキュリティマネジメントエンティティ73が接続(通信)可能な全てのIoT機器72に対して送信される。
セグメントセキュリティリクエストが送信されると、ステップS61において、IoT機器72の通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセグメントセキュリティリクエストを受信して制御部103に供給する。
制御部103は、通信部101から供給されたセグメントセキュリティリクエストに応じて、IoT機器72に接続されたセグメント、つまりIoT機器72に隣接するセグメントのセグメントセキュリティ状態を示すセグメントセキュリティレポートを生成し、通信部101に供給する。これにより、例えば図19に示した各構成要素のフラグが含まれるセグメントセキュリティレポートが生成される。
ステップS62において、通信部101は、制御部103から供給されたセグメントセキュリティレポートをセキュリティマネジメントエンティティ73に送信する。
すると、ステップS52において、セキュリティマネジメントエンティティ73の通信部141は、IoT機器72から送信されてきたセグメントセキュリティレポートを受信して制御部143に供給する。
ステップS53において、セキュリティポリシー決定部151は、通信部141から供給されたセグメントセキュリティレポートに基づいて、IoT機器72に対してセグメントごとにセキュリティポリシーを決定する。
なお、セキュリティポリシーの決定にあたっては、セグメントセキュリティレポートだけでなく、セキュリティケーパビリティレポートも参照するようにしてもよい。この場合、セキュリティマネジメントエンティティ73は、IoT機器72からセグメントセキュリティレポートとセキュリティケーパビリティレポートを受信する。
セキュリティポリシー決定部151は、セキュリティポリシーを決定すると、その決定結果に基づいてセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
そして、その後、ステップS54の処理が行われてセキュリティポリシーコンフィギュレーションが送信され、配布処理は終了するが、ステップS54の処理は図18のステップS14の処理と同様であるので、その説明は省略する。
また、セキュリティポリシーコンフィギュレーションが送信されると、IoT機器72ではステップS63およびステップS64の処理が行われて受信処理は終了するが、これらの処理は図18のステップS23およびステップS24の処理と同様であるので、その説明は省略する。
以上のようにしてセキュリティマネジメントエンティティ73は、IoT機器72からセグメントセキュリティレポートを受信してセキュリティポリシーを決定し、その決定結果を示すセキュリティポリシーコンフィギュレーションをIoT機器72に送信する。
また、IoT機器72は、セキュリティマネジメントエンティティ73からの要求に応じてセグメントセキュリティレポートを送信するとともに、セキュリティポリシーコンフィギュレーションを受信し、指定されたセキュリティポリシーに従った動作を行う。
このようにすることで、各IoT機器72のセグメントごとに、セグメントのセキュリティ状態に応じて柔軟かつ適切にセキュリティポリシーを決定し、十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
〈第3の実施の形態〉
〈セキュリティポリシーの決定について〉
以上において説明した実施の形態では、セキュリティマネジメントエンティティ73は、各IoT機器72から受信したセキュリティケーパビリティレポートやセグメントセキュリティレポートに基づいて、セキュリティポリシーを決定している。
例えばヘルスケアIoTシステムのなかには、全くセキュリティ手段を有さないデバイスやセンサがIoT機器72として含まれていることもある。
また、セキュリティマネジメントエンティティ73がセキュリティケーパビリティレポートやセグメントセキュリティレポートを収集しようとしても、そもそもIoT機器72がレポート能力を有していない場合もある。つまり、要求された情報を相手に対して送信するという、要求に応答する能力を有していない場合もある。
そのような場合、セキュリティマネジメントエンティティ73は、どのようにしてヘルスケアIoTシステムを設計すればよいか分からなくなってしまう。すなわち、IoT機器72のセグメントについて適切なセキュリティポリシーを決定することが困難となる。
そこで、例えばレポート能力を有するIoT機器72が、そのIoT機器72に隣接する他のIoT機器72に対して、セキュリティケーパビリティリクエストやセグメントセキュリティリクエストを送信するようにしてもよい。
この場合、IoT機器72は、他のIoT機器72からセキュリティケーパビリティリクエストやセグメントセキュリティリクエストの送信に対する応答がない場合には、他のIoT機器72にはレポート能力がない旨のレポートをセキュリティマネジメントエンティティ73に送信する。すなわち、レポート能力のないIoT機器72が存在する旨のレポート(情報)が送信される。
これにより、セキュリティマネジメントエンティティ73は、IoT機器72に対して、レポート能力のない他のIoT機器72が接続されていることを把握することができるので、セキュリティポリシー決定時に他のIoT機器72についてのレポートも考慮することができる。
このようにセキュリティマネジメントエンティティ73がIoT機器72の補助を受けてセキュリティポリシーを決定する場合、セキュリティマネジメントエンティティ73とIoT機器72の間では、例えば図21に示す通信が行われる。
すなわち、まず矢印Q21に示すように、セキュリティマネジメントエンティティ73はセキュリティケーパビリティリクエストをIoT機器72に送信し、IoT機器72はそのセキュリティケーパビリティリクエストを受信する。
なお、IoT機器72に対してセグメントセキュリティリクエストが送信されるようにしてもよいし、セキュリティケーパビリティリクエストとセグメントセキュリティリクエストの両方が送信されるようにしてもよい。
IoT機器72は、セキュリティケーパビリティリクエストを受信すると、矢印Q22に示すように、そのセキュリティケーパビリティリクエストを自身に隣接する他のIoT機器72に送信する。また、IoT機器72は、セキュリティケーパビリティリクエストに応じて、自身についてのセキュリティケーパビリティレポートをセキュリティマネジメントエンティティ73に送信する。
その後、IoT機器72は、隣接する他のIoT機器72から応答があり、セキュリティケーパビリティレポートが送信されてきたときには、そのセキュリティケーパビリティレポートを受信してセキュリティマネジメントエンティティ73に送信する。以下、IoT機器72に隣接する他のIoT機器72を特に隣接IoT機器とも称することとする。
なお、この場合、隣接IoT機器がIoT機器72に対して応答するが、セキュリティケーパビリティレポートについては、隣接IoT機器から直接、セキュリティマネジメントエンティティ73に送信されるようにしてもよい。
一方、セキュリティケーパビリティリクエストの送信に対して、一定期間、隣接IoT機器からの応答がない場合には、IoT機器72は隣接IoT機器がレポート能力を有していないとする。
そして、IoT機器72は、矢印Q23に示すように、IoT機器72に隣接する機器としてレポート能力を有していない隣接IoT機器が存在する旨のレポート(情報)、換言すれば隣接IoT機器がレポート能力を有していない旨のレポートをセキュリティマネジメントエンティティ73に送信する。セキュリティマネジメントエンティティ73は、IoT機器72から、レポート能力を有していない隣接IoT機器が存在する旨のレポートを受信する。
セキュリティマネジメントエンティティ73は、IoT機器72のセキュリティケーパビリティレポートと、レポート能力を有していない隣接IoT機器が存在する旨のレポートとに基づいてセキュリティポリシーを決定し、セキュリティポリシーコンフィギュレーションを生成する。
この場合、例えばIoT機器72と、レポート能力を有していない隣接IoT機器との間のセグメントについては、特にセキュリティポリシーが決定されず、IoT機器72と隣接IoT機器との間で予め定められたセキュリティ手段が適用されるようになされる。換言すれば、IoT機器72と隣接IoT機器との間で予め定められたセキュリティ保護のための処理を行う旨のセキュリティポリシーが決定される。
セキュリティマネジメントエンティティ73は、矢印Q24に示すように、生成したセキュリティポリシーコンフィギュレーションをIoT機器72に対して送信する。
また、IoT機器72は、セキュリティマネジメントエンティティ73からセキュリティポリシーコンフィギュレーションを受信すると、矢印Q25に示すように、セキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをセキュリティマネジメントエンティティ73に送信する。
また、IoT機器72がセキュリティポリシーコンフィギュレーションを受信して、通常の動作を開始した後に、IoT機器72が隣接IoT機器とのデータの授受から、隣接IoT機器のセキュリティケーパビリティを知ることができる場合がある。
これは、IoT機器72が隣接IoT機器とデータの授受を行う際に、適宜、認証や暗号化などのセキュリティ保護のための処理を行うことがあるからである。
すなわち、IoT機器72と、レポート能力を有さない隣接IoT機器との間では、セキュリティ保護のための処理として、それらの機器間で予め定められた処理が行われる。そのため、IoT機器72は隣接IoT機器とのデータの授受から、隣接IoT機器が有する少なくとも一部のセキュリティケーパビリティを特定することができる。
これにより、IoT機器72は隣接IoT機器が有する、例えば図13を参照して説明したCapability IDにより示されるセキュリティケーパビリティを把握することが可能である。
このように隣接IoT機器がレポート能力を有していないが、IoT機器72が隣接IoT機器とのデータの授受を開始した後に、隣接IoT機器が有するセキュリティケーパビリティを把握(特定)することができたときには、その隣接IoT機器のセキュリティケーパビリティをセキュリティマネジメントエンティティ73にレポートするようにしてもよい。
この場合、セキュリティマネジメントエンティティ73とIoT機器72の間では、例えば図22に示す通信が行われる。
なお、図22において、矢印Q31乃至矢印Q35により示される処理は、図21の矢印Q21乃至矢印Q25により示される処理と同様であるため、その説明は省略する。
IoT機器72は、セキュリティマネジメントエンティティ73からセキュリティポリシーコンフィギュレーションを受信すると、矢印Q36に示すように、隣接IoT機器との間でセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従ってデータの授受を行う。特に、この例では隣接IoT機器はレポート能力を有していないので、IoT機器72と隣接IoT機器との間で予め定められた処理が、セキュリティポリシーにより示される処理として行われることになる。
そして、このようなデータの授受により、隣接IoT機器が有しているセキュリティケーパビリティの少なくとも一部を、IoT機器72が特定したとする。この場合、矢印Q37に示すようにIoT機器72は、特定されたセキュリティケーパビリティを示す隣接IoT機器のセキュリティケーパビリティレポートをセキュリティマネジメントエンティティ73に送信する。
セキュリティマネジメントエンティティ73は、隣接IoT機器のセキュリティケーパビリティレポートに基づいてセキュリティポリシーを決定する。
この場合、例えばセキュリティマネジメントエンティティ73は、隣接IoT機器に接続された他のIoT機器72の隣接IoT機器との間のセキュリティポリシーを決定するが、必要に応じてIoT機器72のセキュリティポリシーも決定し直すようにしてもよい。
セキュリティポリシーが決定されると、セキュリティマネジメントエンティティ73は、その決定結果に応じてセキュリティポリシーコンフィギュレーションを他のIoT機器72に送信する。
〈配布処理の説明〉
ここで、図21や図22に示した動作が行われる場合にIoT機器72とセキュリティマネジメントエンティティ73により行われる処理について説明する。
まず、図23のフローチャートを参照して、セキュリティマネジメントエンティティ73により行われる配布処理について説明する。
配布処理が開始されると、ステップS91の処理が行われてセキュリティケーパビリティリクエストが送信されるが、ステップS91の処理は図18のステップS11の処理と同様であるので、その説明は省略する。但し、この場合、セキュリティケーパビリティリクエストは、さらにIoT機器72から隣接IoT機器へも送信(転送)される。
すると、IoT機器72からは、IoT機器72のセキュリティケーパビリティレポートが送信されてくるので、ステップS92において通信部141は、IoT機器72から送信されてきたセキュリティケーパビリティレポートを受信して制御部143に供給する。
より詳細には、ステップS92では、隣接IoT機器がレポート能力を有している場合には、IoT機器72自身のセキュリティケーパビリティレポートと、隣接IoT機器のセキュリティケーパビリティレポートとがIoT機器72から送信されてくる。この場合には、通信部141は、それらのセキュリティケーパビリティレポートを受信して制御部143に供給する。
また、隣接IoT機器がセキュリティケーパビリティのレポート能力を有していない場合には、ステップS92では、IoT機器72のセキュリティケーパビリティレポートと、隣接IoT機器についてのレポート、すなわちレポート能力を有していない隣接IoT機器が存在する旨のレポートとがIoT機器72から送信されてくる。この場合には、通信部141は、セキュリティケーパビリティレポートと、レポート能力を有していない隣接IoT機器が存在する旨のレポートとを受信して制御部143に供給する。
ステップS93において、セキュリティポリシー決定部151は、ステップS92で受信されたセキュリティケーパビリティレポートに基づいて、セキュリティポリシーを決定する。この場合、IoT機器72のセキュリティケーパビリティレポートと、隣接IoT機器のセキュリティケーパビリティレポート、またはレポート能力を有していない隣接IoT機器が存在する旨のレポートとに基づいて、IoT機器72や隣接IoT機器についてセグメントごとにセキュリティポリシーが決定される。
例えば、隣接IoT機器がレポート能力を有していない場合には、隣接IoT機器とIoT機器72との間ではセキュリティ保護のための処理として、それらの機器間で予め定められた処理が行われる。
セキュリティポリシーが決定されると、セキュリティポリシー決定部151は、その決定結果に応じたセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
ステップS94において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションをIoT機器72に送信する。
また、ステップS92でレポート能力を有していない隣接IoT機器が存在する旨のレポートが受信された場合、IoT機器72と隣接IoT機器の間でのデータの授受の開始後に、隣接IoT機器のセキュリティケーパビリティレポートがIoT機器72から送信されてくることがある。これは、上述したようにIoT機器72により隣接IoT機器のセキュリティケーパビリティが特定されることがあるからである。
ステップS95において、セキュリティポリシー決定部151は、IoT機器72から隣接IoT機器のセキュリティケーパビリティレポートが送信されてきたか否かを判定する。
ステップS95において、送信されてこなかったと判定された場合、ステップS96乃至ステップS98の処理は行われず、配布処理は終了する。
これに対して、ステップS95において送信されてきたと判定された場合、ステップS96において、通信部141はIoT機器72から送信されてきた隣接IoT機器のセキュリティケーパビリティレポートを受信して制御部143に供給する。
ステップS97において、セキュリティポリシー決定部151は、ステップS96において受信したセキュリティケーパビリティレポートに基づいて、隣接IoT機器に接続された、IoT機器72とは異なる他のIoT機器72のセキュリティポリシーを決定する。
このとき、セキュリティポリシー決定部151は、他のIoT機器72から受信したセキュリティケーパビリティレポートがある場合には、そのセキュリティケーパビリティレポートも用いてセキュリティポリシーを決定する。なお、IoT機器72や隣接IoT機器のセキュリティポリシーが再決定(更新)されるようにしてもよい。
また、セキュリティポリシー決定部151は、決定したセキュリティポリシーを示す他のIoT機器72のセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
ステップS98において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションを他のIoT機器72に送信し、配布処理は終了する。これにより、他のIoT機器72では、隣接IoT機器のセキュリティケーパビリティが考慮されたセキュリティポリシーに従って、他のIoT機器72と隣接IoT機器との間のデータ授受を行うことができるようになる。
以上のようにして、セキュリティマネジメントエンティティ73は、IoT機器72だけでなく隣接IoT機器についてのレポートも受信してセキュリティポリシーを決定する。このようにすることで、各IoT機器72のセグメントごとに柔軟かつ適切にセキュリティポリシーを決定し、十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
〈受信処理の説明〉
次に、図23を参照して説明した配布処理が行われるときに、IoT機器72により行われる受信処理について説明する。すなわち、以下、図24のフローチャートを参照して、IoT機器72により行われる受信処理について説明する。
ステップS121において、通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティケーパビリティリクエストを受信して制御部103に供給する。ここでは、図23のステップS91の処理により送信されたセキュリティケーパビリティリクエストが受信される。
また、制御部103は、受信されたセキュリティケーパビリティリクエストを通信部101に供給し、隣接IoT機器への送信を制御する。すなわち、ステップS122において、通信部101は、制御部103から供給されたセキュリティケーパビリティリクエストを隣接IoT機器に送信する。
この場合、隣接IoT機器がセキュリティケーパビリティのレポート能力を有しているときには、隣接IoT機器からIoT機器72に対して、セキュリティケーパビリティリクエストに応じてセキュリティケーパビリティレポートが送信されてくる。これに対して隣接IoT機器がレポート能力を有していない場合には、例えばIoT機器72に対する応答は特になされない。
ステップS123において、制御部103は、隣接IoT機器からセキュリティケーパビリティレポートが送信されてきたか否かを判定する。
ステップS123において送信されてきたと判定された場合、ステップS124において、通信部101は隣接IoT機器から送信されてきたセキュリティケーパビリティレポートを受信して制御部103に供給する。
また、制御部103は、IoT機器72自身についてのセキュリティケーパビリティレポートを生成する。制御部103は、生成されたIoT機器72自身のセキュリティケーパビリティレポートと、隣接IoT機器から受信した、隣接IoT機器のセキュリティケーパビリティレポートとを通信部101に供給する。
ステップS125において、通信部101は、制御部103から供給された、IoT機器72自身のセキュリティケーパビリティレポートと、隣接IoT機器のセキュリティケーパビリティレポートとをセキュリティマネジメントエンティティ73に送信する。
これにより、図23のステップS92では、IoT機器72と隣接IoT機器のセキュリティケーパビリティレポートが受信され、図23のステップS94の処理により、IoT機器72と隣接IoT機器のそれぞれについてのセグメントごとのセキュリティポリシーコンフィギュレーションが送信されてくる。
ステップS126において、通信部101は、セキュリティマネジメントエンティティ73からセキュリティポリシーコンフィギュレーションを受信して制御部103に供給する。また制御部103は、受信したセキュリティポリシーコンフィギュレーションのうち、隣接IoT機器のものを通信部101に供給する。また、より詳細には、セキュリティポリシーコンフィギュレーションが受信されると、図21や図22を参照して説明したようにAcknowledgeが送信される。
ステップS127において、通信部101は、制御部103から供給された隣接IoT機器のセキュリティポリシーコンフィギュレーションを、隣接IoT機器に送信する。
このようにしてセキュリティポリシーコンフィギュレーションが得られると、その後、処理はステップS130へと進む。
一方、ステップS123において、隣接IoT機器からセキュリティケーパビリティレポートが送信されてこなかったと判定された場合、すなわち一定期間、隣接IoT機器から応答がなかった場合、処理はステップS128へと進む。
この場合、制御部103は、レポート能力を有していない隣接IoT機器が存在する旨のレポートを生成して通信部101に供給するとともに、セキュリティケーパビリティリクエストに応じて生成されたIoT機器72のセキュリティケーパビリティレポートを通信部101に供給する。
ステップS128において、通信部101は、制御部103から供給されたIoT機器72自身のセキュリティケーパビリティレポートと、レポート能力を有していない隣接IoT機器が存在する旨のレポートをセキュリティマネジメントエンティティ73に送信する。
これらのレポートは、図23のステップS92において受信され、図23のステップS94の処理により、IoT機器72のセキュリティポリシーコンフィギュレーションが送信されてくる。
ステップS129において、通信部101は、セキュリティマネジメントエンティティ73から送信されてきた、IoT機器72のセキュリティポリシーコンフィギュレーションを受信して制御部103に供給し、その後、処理はステップS130に進む。
ステップS129の処理が行われたか、またはステップS127の処理が行われると、ステップS130の処理が行われる。
ステップS130において、制御部103は、ステップS126またはステップS129で受信されたIoT機器72のセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従った動作を行う。なお、ステップS130では、図18のステップS24と同様の処理が行われる。
ステップS131において、制御部103は、隣接IoT機器についてセキュリティケーパビリティのレポートを行うか否かを判定する。
例えば、ステップS130の処理として、隣接IoT機器とのデータの授受を行うと、隣接IoT機器が有しているセキュリティケーパビリティを把握(特定)できる場合がある。
例えばステップS131では、ステップS123で隣接IoT機器のセキュリティケーパビリティレポートが送信されてこなかったと判定され、かつステップS130の処理によって隣接IoT機器のセキュリティケーパビリティの少なくとも一部が特定された場合、レポートを行うと判定される。
ステップS131においてレポートを行わないと判定された場合、ステップS132の処理は行われず、受信処理は終了する。
これに対して、ステップS131においてレポートを行うと判定された場合、制御部103は、特定された隣接IoT機器のセキュリティケーパビリティを示すセキュリティケーパビリティレポートを生成して通信部101に供給し、処理はステップS132に進む。
ステップS132において、通信部101は、制御部103から供給された隣接IoT機器のセキュリティケーパビリティレポートを、セキュリティマネジメントエンティティ73に送信し、受信処理は終了する。この場合、ステップS132で送信されたセキュリティケーパビリティレポートは、図23のステップS96において受信される。
以上のようにして、IoT機器72は、セキュリティマネジメントエンティティ73からの要求に応じて隣接IoT機器にもセキュリティケーパビリティリクエストを送信し、適宜、隣接IoT機器のセキュリティケーパビリティレポートを送信する。このようにすることで、セキュリティマネジメントエンティティ73では、各IoT機器72のセグメントごとに柔軟かつ適切にセキュリティポリシーを決定することができるようになり、十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
なお、ここではセキュリティに関する情報として、IoT機器72とセキュリティマネジメントエンティティ73との間で、セキュリティケーパビリティレポートを授受する例について説明した。しかし、上述したようにセキュリティに関する情報として、セキュリティケーパビリティレポートとセグメントセキュリティレポートのうちの少なくとも何れか一方が授受されてセキュリティポリシーが決定されるようにしてもよい。
〈第3の実施の形態の変形例1〉
〈配布処理の説明〉
また、セキュリティケーパビリティやセグメントセキュリティ状態のレポート能力を有していないIoT機器72については、ヘルスケアIoTシステムのネットワークに接続できないようにして、セキュリティ耐性を向上させるようにしてもよい。
以下、そのような場合にセキュリティマネジメントエンティティ73とIoT機器72により行われる処理について説明する。
まず、図25のフローチャートを参照して、セキュリティマネジメントエンティティ73による配布処理について説明する。なお、ステップS161乃至ステップS163の処理は、図23のステップS91乃至ステップS93の処理と同様であるので、その説明は省略する。なお、ステップS162では、隣接IoT機器がレポート能力を有しているか否かに応じて、隣接IoT機器についてセキュリティケーパビリティレポートまたはレポート能力を有していない隣接IoT機器が存在する旨のレポートの何れかが受信される。
ステップS164において、セキュリティポリシー決定部151は、レポート能力のない隣接IoT機器があるか否かを判定する。
例えばステップS164では、ステップS162においてレポート能力を有していない隣接IoT機器が存在する旨のレポートが受信された場合、レポート能力のない隣接IoT機器があると判定される。
ステップS164において、レポート能力のない隣接IoT機器があると判定された場合、処理はステップS165へと進む。
この場合、セキュリティポリシー決定部151は、IoT機器72についてのセキュリティポリシーコンフィギュレーションを生成して通信部141に供給するとともに、IoT機器72に対して隣接IoT機器との接続拒否を要求する接続拒否要求を生成し、通信部141に供給する。換言すれば、レポート能力を有していない隣接IoT機器との通信の拒否、つまりデータの授受の拒否を要求する接続拒否要求が生成される。
ステップS165において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションおよび接続拒否要求をIoT機器72に送信し、配布処理は終了する。この場合、レポート能力を有している隣接IoT機器との間のセグメントについてのセキュリティポリシーコンフィギュレーションが送信される。
これに対して、ステップS164においてレポート能力のない隣接IoT機器がないと判定された場合、処理はステップS166へと進む。
この場合、セキュリティポリシー決定部151は、IoT機器72と隣接IoT機器について、それぞれセキュリティポリシーコンフィギュレーションを生成して通信部141に供給する。
ステップS166において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションをIoT機器72に送信し、配布処理は終了する。
以上のようにして、セキュリティマネジメントエンティティ73は、レポート能力のない隣接IoT機器については接続拒否要求を生成し、IoT機器72に隣接IoT機器との接続の拒否を要求する。これにより、不適切な隣接IoT機器との接続を排除し、セキュリティ耐性を向上させることができる。
〈受信処理の説明〉
また、図25に示した配布処理が行われると、IoT機器72では図26に示す受信処理が行われる。以下、図26のフローチャートを参照して、IoT機器72による受信処理について説明する。
なお、ステップS191乃至ステップS198の処理は、図24のステップS121乃至ステップS127およびステップS130の処理と同様であるので、その説明は省略する。ステップS198の処理が行われると受信処理は終了する。
また、ステップS193において、隣接IoT機器のセキュリティケーパビリティレポートが送信されてこなかったと判定された場合、つまり隣接IoT機器がレポート能力を有していない場合、処理はステップS199へと進む。
ステップS199において、通信部101は、IoT機器72自身のセキュリティケーパビリティレポートと、レポート能力を有していない隣接IoT機器が存在する旨のレポートをセキュリティマネジメントエンティティ73に送信する。なお、ステップS199では、図24のステップS128と同様の処理が行われる。
セキュリティマネジメントエンティティ73にIoT機器72のセキュリティケーパビリティレポートと、レポート能力を有していない隣接IoT機器が存在する旨のレポートが送信されると、図25のステップS165の処理が行われる。
これにより、セキュリティマネジメントエンティティ73からIoT機器72には、IoT機器72のセキュリティポリシーコンフィギュレーションと、隣接IoT機器についての接続拒否要求が送信されてくる。
ステップS200において、通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティポリシーコンフィギュレーションおよび接続拒否要求を受信して、制御部103に供給する。
ステップS201において、制御部103は、ステップS200において受信されたセキュリティポリシーコンフィギュレーションおよび接続拒否要求に従った動作を行い、受信処理は終了する。
この場合、例えば制御部103は、接続拒否要求に従って、レポート能力を有さない隣接IoT機器との間のデータの授受が行われないように制御する。これに対して、レポート能力を有する隣接IoT機器との間では、セキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従って動作が行われる。
以上のようにしてIoT機器72は、セキュリティマネジメントエンティティ73から隣接IoT機器についてのセキュリティポリシーコンフィギュレーションまたは接続拒否要求を受信し、受信したセキュリティポリシーコンフィギュレーションまたは接続拒否要求に従って動作を行う。これにより、不適切な隣接IoT機器との接続を排除し、セキュリティ耐性を向上させることができる。
なお、ここではセキュリティケーパビリティのレポート能力のない隣接IoT機器との接続を行わない場合を例として説明したが、同様にしてセグメントセキュリティ状態のレポート能力のない隣接IoT機器との接続を行わないようにしてもよい。
〈第4の実施の形態〉
〈セキュリティポリシーの決定について〉
また、以上においては、セキュリティマネジメントエンティティ73においてセキュリティケーパビリティやセグメントセキュリティ状態に基づいて、セキュリティポリシーを決定する例について説明した。
しかし、それらの情報から単純にID付与ポイントや変換ポイントの前後のセグメント等についてセキュリティポリシーを決定しようとしても、適切なセキュリティポリシーを決定することができないこともある。
例えば生データが解析後データへと変換される変換ポイントの前、つまり変換ポイントとなる、生データを受信するIoT機器72と、そのIoT機器72に生データを送信する他のIoT機器72との間のセグメントでは、生データが頻繁に送信されることが予想される。しかし、このセグメントを介して授受される生データは解析前のデータであるので、生データ自体のセキュリティ上の重要度は低いと判断することができる。
そのため、例えばそのような生データに対してはデータ完全性チェックが省かれたセキュリティポリシーを適用することができた。しかし、生データのトラフィック量(通信量)、つまり送受信される生データのデータ量を考慮すると、データ完全性チェックが省かれたセキュリティポリシーを適用することが最適であるとはいえない。
そこで、セキュリティマネジメントエンティティ73において、セキュリティに関する情報として得られるセグメントにおけるトラフィック量に関する情報に基づいてセキュリティポリシーを決定することで、より適切なセキュリティポリシーを適用することができるようにしてもよい。
なお、セキュリティポリシーの決定にあたっては、セグメントのトラフィック量だけでなくセキュリティケーパビリティやセグメントセキュリティ状態も考慮することも勿論可能である。すなわち、セキュリティケーパビリティおよびセグメントセキュリティ状態の少なくとも何れか一方と、トラフィック量とに基づいてセキュリティポリシーを決定するようにしてもよい。しかし、ここでは説明を簡単にするためセキュリティケーパビリティとトラフィック量が考慮されるものとして説明を続ける。
そのような場合、セキュリティマネジメントエンティティ73とIoT機器72の間では、例えば図27に示す通信が行われる。
なお、図27において、矢印Q41と矢印Q42により示される処理は、図12の矢印Q11および矢印Q12により示される処理と同様であるため、その説明は省略する。これらの処理では、セキュリティケーパビリティリクエストに応じて、セキュリティケーパビリティレポートが送信される。
また、IoT機器72は、セキュリティケーパビリティリクエストを受信すると、IoT機器72自身が接続されるセグメントごとに、そのセグメントを介して他のIoT機器72との間で授受されるデータのトラフィック量の予測値である予測トラフィック量を示す予測トラフィック量レポートを生成する。
そして、IoT機器72は、矢印Q43に示すように、生成した予測トラフィック量レポートをセキュリティマネジメントエンティティ73に送信する。
ここで、予測トラフィック量は、例えばデータの過去のトラフィック量等に基づいて決定されてもよいし、授受されるデータの種別等に対して予め定められていてもよい。
セキュリティマネジメントエンティティ73は、IoT機器72からセキュリティケーパビリティレポートと予測トラフィック量レポートを受信すると、矢印Q44に示すように、それらのレポートを受信した旨のAcknowledgeをIoT機器72に送信する。
また、セキュリティマネジメントエンティティ73は、受信したセキュリティケーパビリティレポートと予測トラフィック量レポートに基づいて、IoT機器72のセグメントごとにセキュリティポリシーを決定してセキュリティポリシーコンフィギュレーションを生成する。
この場合、例えば予測トラフィック量が多いときには、セキュリティケーパビリティのみを考慮したときに選択(決定)されるセキュリティポリシーよりも、よりセキュリティ耐性(強度)が強いセキュリティポリシーが選択されるようになされる。
さらに、矢印Q45に示すように、セキュリティマネジメントエンティティ73は、生成したセキュリティポリシーコンフィギュレーションをIoT機器72に対して送信する。
IoT機器72は、セキュリティマネジメントエンティティ73からセキュリティポリシーコンフィギュレーションを受信すると、矢印Q46に示すように、セキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをセキュリティマネジメントエンティティ73に送信する。
そして、その後、IoT機器72は、受信したセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従って、他のIoT機器72との間でデータの授受を行う。
その結果、IoT機器72では、各セグメントについて実際のデータのトラフィック量が分かるので、IoT機器72は、矢印Q47に示すように、実際のトラフィック量を示すトラフィック量レポートを生成し、セキュリティマネジメントエンティティ73に送信する。
すると、セキュリティマネジメントエンティティ73は、IoT機器72から新たに受信したトラフィック量レポートと、矢印Q42に示すタイミングで受信されたセキュリティケーパビリティレポートとに基づいて、セキュリティポリシーを再決定する。すなわち、セキュリティポリシーコンフィギュレーションが更新(アップデート)される。
セキュリティマネジメントエンティティ73は、矢印Q48に示すように、更新後のセキュリティポリシーコンフィギュレーションをIoT機器72に送信する。
また、IoT機器72は、更新後のセキュリティポリシーコンフィギュレーションを受信すると、矢印Q49に示すように、セキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをセキュリティマネジメントエンティティ73に送信する。そして、その後、IoT機器72は更新後のセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従って、他のIoT機器72との間でデータの授受を行う。
このように、予測トラフィック量や実際のトラフィック量を用いることで、より適切にセキュリティポリシーを決定することができる。
〈配布処理および受信処理の説明〉
ここで、セキュリティポリシーの決定に予測トラフィック量や実際のトラフィック量を用いる場合におけるIoT機器72とセキュリティマネジメントエンティティ73により行われる処理について説明する。
すなわち、以下、図28のフローチャートを参照して、セキュリティマネジメントエンティティ73により行われる配布処理と、IoT機器72により行われる受信処理について説明する。なお、ステップS231およびステップS251の処理は、図18のステップS11およびステップS21の処理と同様であるので、その説明は省略する。
ステップS251の処理が行われると、IoT機器72の制御部103は、受信されたセキュリティケーパビリティリクエストに応じて、セキュリティケーパビリティレポートおよび予測トラフィック量レポートを生成し、通信部101に供給する。
そして、ステップS252において、通信部101は、制御部103から供給されたセキュリティケーパビリティレポートおよび予測トラフィック量レポートをセキュリティマネジメントエンティティ73に送信する。
なお、セキュリティケーパビリティレポートと予測トラフィック量レポートは、同時に送信されてもよいし、別々に送信されてもよい。
ステップS252の処理が行われると、ステップS232において、セキュリティマネジメントエンティティ73の通信部141は、IoT機器72から送信されてきたセキュリティケーパビリティレポートおよび予測トラフィック量レポートを受信して制御部143に供給する。また、セキュリティケーパビリティレポートおよび予測トラフィック量レポートが受信されると、図27を参照して説明したようにAcknowledgeが送信される。
ステップS233において、セキュリティポリシー決定部151は、通信部141から供給されたセキュリティケーパビリティレポートおよび予測トラフィック量レポートに基づいて、IoT機器72のセグメントごとにセキュリティポリシーを決定する。そして、セキュリティポリシー決定部151は、決定したセキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
セキュリティポリシーコンフィギュレーションが生成されると、その後、ステップS234の処理が行われてセキュリティポリシーコンフィギュレーションが送信される。なお、ステップS234では、図18のステップS14と同様の処理が行われる。
また、セキュリティポリシーコンフィギュレーションが送信されると、IoT機器72ではステップS253およびステップS254の処理が行われるが、これらの処理は図18のステップS23およびステップS24の処理と同様であるので、その説明は省略する。
さらに、セキュリティポリシーに従って他のIoT機器72との間でデータの授受が行われると、IoT機器72自身と他のIoT機器72との間のセグメントにおける実際のトラフィック量が分かる。そこで、制御部103は、実際のトラフィック量を示すトラフィック量レポートを生成し、通信部101に供給する。
ステップS255において、通信部101は、制御部103から供給されたトラフィック量レポートをセキュリティマネジメントエンティティ73に送信する。
すると、ステップS235において、セキュリティマネジメントエンティティ73の通信部141は、IoT機器72から送信されてきたトラフィック量レポートを受信して制御部143に供給する。
ステップS236において、制御部143のセキュリティポリシー決定部151は、通信部141から供給されたトラフィック量レポートと、ステップS232で受信されたセキュリティケーパビリティレポートとに基づいて、セキュリティポリシーを更新する。
すなわち、セキュリティポリシーの再決定が行われ、これによりステップS233で決定されたIoT機器72のセグメントごとのセキュリティポリシーが更新される。
セキュリティポリシー決定部151は、更新後のセキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
ステップS237において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションをIoT機器72に送信し、配布処理は終了する。
また、ステップS256において、IoT機器72の通信部101は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティポリシーコンフィギュレーションを受信して制御部103に供給する。さらに、このとき図27を参照して説明したようにAcknowledgeが送信される。
そして制御部103は、通信部101から供給されたセキュリティポリシーコンフィギュレーションを更新後のセキュリティポリシーコンフィギュレーションとして用いる。すなわち、セキュリティ処理部112は、他のIoT機器72とのデータの授受を行うにあたり、更新後のセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従ってセキュリティ保護のための処理を行う。
このようにしてIoT機器72側でセキュリティポリシーが更新されると、受信処理は終了する。
以上のようにして、IoT機器72は、セキュリティマネジメントエンティティ73に対して予測トラフィック量レポートやトラフィック量レポートを送信する。また、セキュリティマネジメントエンティティ73は、受信した予測トラフィック量レポートやトラフィック量レポートを考慮してセキュリティポリシーを決定したり更新したりする。
このようにすることで、セグメントのトラフィック量も考慮して、セグメントごとに、より柔軟かつ適切にセキュリティポリシーを決定し、十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
〈第5の実施の形態〉
〈セキュリティポリシーの決定について〉
ところで、以上においてはヘルスケアIoTシステム全体に対して、1つのセキュリティマネジメントエンティティ73が設けられ、そのセキュリティマネジメントエンティティ73によって各IoT機器72についてセグメントごとにセキュリティポリシーが決定されていた。すなわち、セキュリティマネジメントエンティティ73による中央制御に基づいて、セキュリティ管理が行われていた。
しかし、ヘルスケアIoTシステムでは、システムが煩雑に入り組んでいることもあり、セキュリティ管理全てを中央制御により行おうとすると、サポートしきれない部分が生じてしまうユースケースがある。
具体的には、例えばIoT機器72としてのセンサである温度計と、他のIoT機器72としてのスマートホンとの間でクライアント71(ユーザ)の体温の測定結果等のデータのやり取りがあり、スマートホンに温度計からのデータが蓄積されるが、そのデータの送り先が1ヶ月後まで決まらないような場合などである。例えば、このようなユースケースは、とりあえずスマートホンにデータを蓄積しておき、データの解析を依頼する業者を後で選択するなどというときに生じ得るが、このような場合、温度計とスマートホンとの間のセキュリティを管理する中央制御型のセキュリティマネジメントエンティティが存在しない。
そこで、ローカルなセキュリティマネジメントエンティティを定め、そのローカルなセキュリティマネジメントエンティティにより、ヘルスケアIoTシステムの一部のIoT機器72間のセキュリティ管理を行うようにすることができる。これにより、より効率的に十分なセキュリティ保護を行うことができる。
この場合、例えばIoT機器72のなかに、セキュリティのシステムマネジメント用のソフトウェアをインストールできるIoT機器72があれば、そのIoT機器72にソフトウェアをインストールしておく。これにより、IoT機器72は、ローカルなセキュリティマネジメントエンティティ(以下、ローカルセキュリティマネジメントエンティティとも称する)として機能することができるようになる。
セキュリティのシステムマネジメント用のソフトウェアがインストールされたIoT機器72は、互いに近隣にある他のIoT機器72と通信して交渉を行い、どのIoT機器72をローカルセキュリティマネジメントエンティティとして機能させるかを決定する。
そして、ローカルセキュリティマネジメントエンティティとなるIoT機器72は、ローカルなネットワーク内の各IoT機器72について、セグメント(通信経路)の状態、ID付与ポイントや変換ポイントの有無、ネットワークトポロジを把握したうえで、ローカルなネットワーク中でのセキュリティポリシーを決定する。
さらに、ローカルセキュリティマネジメントエンティティは、各IoT機器72に決定したセキュリティポリシー(以下、特にローカルセキュリティポリシーとも称する)を配布し、各IoT機器72はローカルセキュリティポリシーに従って動作する。なお、より詳細には、各IoT機器72には、ローカルセキュリティポリシーを示すローカルセキュリティポリシーコンフィギュレーションが配布される。
その後、例えば1ヶ月後にローカルなネットワーク内のIoT機器72が、ローカルなネットワーク外のIoT機器72にデータを送信するなどのタイミングで、ローカルセキュリティマネジメントエンティティが中央のセキュリティマネジメントエンティティ73に接続するとする。
この場合、ローカルセキュリティマネジメントエンティティは、セキュリティマネジメントエンティティ73に対して、ローカルなネットワークにおいて、どのようなローカルセキュリティポリシーを配布および運用して、データを取得していたかをレポートする。セキュリティマネジメントエンティティ73は、ローカルセキュリティマネジメントエンティティからのレポートに基づいて、ローカルなネットワーク内のIoT機器72と、ローカルなネットワーク外のIoT機器72との間でデータを授受する際のセキュリティポリシーを決定する。
このような場合、ヘルスケアIoTシステムは、例えば図29に示すように構成される。なお、図29において図11における場合と対応する部分には同一の符号を付してあり、その説明は適宜省略する。
図29に示すヘルスケアIoTシステムは、クライアント71、IoT機器72、セキュリティマネジメントエンティティ73、およびローカルセキュリティマネジメントエンティティ181を有している。すなわち、図29に示すヘルスケアIoTシステムは、図11に示したヘルスケアIoTシステムに対して、新たにローカルセキュリティマネジメントエンティティ181が加えられている。
この例では、例えばIoT機器72-1乃至IoT機器72-3、およびローカルセキュリティマネジメントエンティティ181によりローカルなネットワークが構成されている。
ローカルセキュリティマネジメントエンティティ181は、IoT機器72としても機能し、自身を含むローカルなネットワーク内のIoT機器72についてローカルセキュリティポリシーを決定し、ローカルなネットワークのキュリティ管理を行う。
以下では、ローカルセキュリティマネジメントエンティティ181が属すローカルなネットワークをローカルネットワークとも称し、そのローカルネットワークに属すIoT機器72をローカルIoT機器72とも称することとする。
また、セキュリティマネジメントエンティティ73は、ローカルセキュリティマネジメントエンティティ181等により構成されるローカルネットワークを含む、より大きいネットワークのセキュリティ管理を行う。
さらに、ローカルセキュリティマネジメントエンティティ181は、所定のタイミングでセキュリティマネジメントエンティティ73に対して、ローカルセキュリティポリシーの配布や運用状況等をローカルセキュリティマネジメントレポートとして送信する。このローカルセキュリティマネジメントレポートは、ローカルネットワークにおけるセキュリティの管理状況を示す情報である。
このような場合、例えば図30に示すように、ローカルセキュリティマネジメントエンティティ181は、図12を参照して説明したセキュリティマネジメントエンティティ73における場合と同様にしてローカルセキュリティポリシーを配布する。
すなわち、ローカルセキュリティマネジメントエンティティ181は、矢印Q61に示すようにセキュリティケーパビリティリクエストをローカルIoT機器72に送信する。
そして、ローカルIoT機器72は、セキュリティケーパビリティリクエストを受信すると、それに応じて、矢印Q62に示すようにセキュリティケーパビリティレポートをローカルセキュリティマネジメントエンティティ181に送信する。
また、ローカルセキュリティマネジメントエンティティ181は、セキュリティケーパビリティレポートを受信すると、矢印Q63に示すようにセキュリティケーパビリティレポートを受信した旨のAcknowledgeをローカルIoT機器72に送信する。
その後、ローカルセキュリティマネジメントエンティティ181は、セキュリティケーパビリティレポートに基づいてローカルセキュリティポリシーを決定し、矢印Q64に示すように、その決定結果を示すローカルセキュリティポリシーコンフィギュレーションを送信する。
また、ローカルIoT機器72は、矢印Q65を示すようにローカルセキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeをローカルセキュリティマネジメントエンティティ181に送信する。
そして、ローカルIoT機器72とローカルセキュリティマネジメントエンティティ181は、矢印Q66に示すようにローカルセキュリティポリシーに従ってデータの授受を行う。また、ローカルIoT機器72と他のローカルIoT機器72もローカルセキュリティポリシーに従ってデータの授受を行う。
このようなデータの授受を行いながら、例えばローカルセキュリティマネジメントエンティティ181が、ローカルIoT機器72から受信したデータに対する解析等を適宜行い、その結果得られたデータ(以下、蓄積データとも称する)を蓄積するものとする。
そして、例えば1ヶ月後などのタイミングで、ローカルセキュリティマネジメントエンティティ181は、矢印Q67に示すように、ローカルセキュリティマネジメントレポートをセキュリティマネジメントエンティティ73に送信する。
また、ローカルセキュリティマネジメントエンティティ181は、セキュリティマネジメントエンティティ73により決定されたセキュリティポリシーに従って、蓄積データをローカルネットワーク外のIoT機器72に送信する。
〈ローカルセキュリティマネジメントエンティティの構成例〉
次に、図29に示したローカルセキュリティマネジメントエンティティ181の構成例について説明する。
例えばローカルセキュリティマネジメントエンティティ181は、図31に示すように構成される。
ローカルセキュリティマネジメントエンティティ181は、通信部211、記録部212、および制御部213を有している。
通信部211は、ネットワークを介してIoT機器72やセキュリティマネジメントエンティティ73と通信し、送信されてきた各種のデータ(情報)を受信して制御部213に供給したり、制御部213から供給されたデータを送信したりする。記録部212は、制御部213から供給されたデータを記録したり、記録しているデータを制御部213に供給したりする。
制御部213は、ローカルセキュリティマネジメントエンティティ181全体の動作を制御する。制御部213は、セキュリティポリシー決定部221、データ処理部222、およびセキュリティ処理部223を有している。
セキュリティポリシー決定部221は、自身を含むローカルネットワーク内のローカルIoT機器72について、セグメントごとにローカルセキュリティポリシーを決定する。また、データ処理部222およびセキュリティ処理部223は、IoT機器72のデータ処理部111およびセキュリティ処理部112に対応し、それらのデータ処理部111およびセキュリティ処理部112と同様の動作を行う。
〈ヘルスケアIoTシステムの動作の説明〉
続いて、ローカルセキュリティマネジメントエンティティ181、ローカルIoT機器72、およびセキュリティマネジメントエンティティ73の動作について説明する。
すなわち、以下、図32のフローチャートを参照して、ローカルセキュリティマネジメントエンティティ181によるローカルセキュリティポリシー配布処理、ローカルIoT機器72による受信処理、およびセキュリティマネジメントエンティティ73によるセキュリティポリシー配布処理について説明する。
ローカルセキュリティポリシー配布処理が開始されると、ローカルセキュリティマネジメントエンティティ181によりステップS281乃至ステップS283の処理が行われるとともに、ローカルIoT機器72によりステップS301およびステップS302の処理が行われる。
なお、ステップS281乃至ステップS283の処理は、図18のステップS11乃至ステップS13の処理と同様であり、ステップS301およびステップS302の処理は図18のステップS21およびステップS22の処理と同様であるので、その説明は、適宜、省略する。
ここでは、ステップS281では通信部211によりセキュリティケーパビリティリクエストがローカルIoT機器72に送信され、これに応じて送信されてきたセキュリティケーパビリティレポートがステップS282で通信部211により受信される。
そして、ステップS283では、受信されたローカルIoT機器72のセキュリティケーパビリティレポートに基づいてセキュリティポリシー決定部221によりローカルセキュリティポリシーが決定される。セキュリティポリシー決定部221は、決定したローカルセキュリティポリシーを示すローカルセキュリティポリシーコンフィギュレーションを生成し、通信部211に供給する。
ステップS284において、通信部211は、セキュリティポリシー決定部221から供給されたローカルセキュリティポリシーコンフィギュレーションをローカルIoT機器72に送信する。
すると、ステップS303において、ローカルIoT機器72の通信部101は、ローカルセキュリティマネジメントエンティティ181から送信されてきたローカルセキュリティポリシーコンフィギュレーションを受信して制御部103に供給する。
そして、ステップS304において、制御部103は、ステップS303で受信されたローカルセキュリティポリシーコンフィギュレーションにより示されるローカルセキュリティポリシーに従った動作を行い、受信処理は終了する。なお、ステップS304では、図18のステップS24と同様の処理が行われ、ローカルセキュリティマネジメントエンティティ181や他のローカルIoT機器72との間でデータの授受が行われる。
また、ローカルセキュリティマネジメントエンティティ181では、ステップS285において、制御部213は、ステップS283で決定されたローカルセキュリティポリシーに従った動作を行う。ステップS285では、例えばステップS304と同様の処理が行われ、ローカルIoT機器72との間でデータの授受が行われる。
なお、ここではステップS285の処理の結果として蓄積データが得られるとし、その蓄積データは、所定のタイミングでローカルネットワーク外のIoT機器72(以下、外部IoT機器72とも称することとする)に送信されるものとする。
さらに、例えば所定期間後に蓄積データを外部IoT機器72に送信するなど、ローカルネットワーク内のローカルセキュリティマネジメントエンティティ181やローカルIoT機器72が、ローカルネットワーク外のIoT機器72との間でデータの授受を行うタイミングとなったとする。
この場合、制御部213は、ステップS283で決定された各ローカルIoT機器72やローカルセキュリティマネジメントエンティティ181のローカルセキュリティポリシー等に基づいて、ローカルセキュリティマネジメントレポートを生成し、通信部211に供給する。
ステップS286において、通信部211は、制御部213から供給されたローカルセキュリティマネジメントレポートをセキュリティマネジメントエンティティ73に送信する。
すると、ステップS321において、セキュリティマネジメントエンティティ73の通信部141は、ローカルセキュリティマネジメントエンティティ181から送信されてきたローカルセキュリティマネジメントレポートを受信して制御部143に供給する。
ステップS322において、制御部143は、ローカルネットワーク外の外部IoT機器72からセキュリティケーパビリティレポートを取得する。すなわち、ステップS322では図18のステップS11およびステップS12の処理と同様の処理が行われてセキュリティケーパビリティレポートが取得される。このとき、必要に応じてローカルネットワーク内のローカルセキュリティマネジメントエンティティ181やローカルIoT機器72からもセキュリティケーパビリティレポートが取得されるようにしてもよい。
ステップS323において、セキュリティポリシー決定部151は、ステップS321で受信されたローカルセキュリティマネジメントレポートと、ステップS322で取得されたセキュリティケーパビリティレポートとに基づいて、セキュリティポリシーを決定する。ここでは、例えば外部IoT機器72やローカルセキュリティマネジメントエンティティ181のセグメントごとにセキュリティポリシーが決定される。
そして、セキュリティポリシー決定部151は、決定されたセキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
ステップS324において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションをローカルセキュリティマネジメントエンティティ181に送信し、セキュリティポリシー配布処理は終了する。なお、ステップS324では、外部IoT機器72等にもセキュリティポリシーコンフィギュレーションが送信される。
ステップS287において、ローカルセキュリティマネジメントエンティティ181の通信部211は、セキュリティマネジメントエンティティ73から送信されてきたセキュリティポリシーコンフィギュレーションを受信して制御部213に供給する。
そして、ステップS288において、制御部213は、通信部211から供給されたセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーに従った動作を行い、ローカルセキュリティポリシー配布処理は終了する。例えばステップS288では、ローカルセキュリティマネジメントエンティティ181と外部IoT機器72との間で、セキュリティポリシーに従って蓄積データの授受が行われる。
以上のようにしてローカルIoT機器72とローカルセキュリティマネジメントエンティティ181は、ローカルセキュリティポリシーに従って動作し、その後、ローカルセキュリティマネジメントエンティティ181は、ローカルセキュリティマネジメントレポートをセキュリティマネジメントエンティティ73に送信する。
このようにすることで、必要に応じてローカルネットワーク単位でもセキュリティ管理を行い、より柔軟かつ適切に十分なセキュリティ保護を行うことができる。すなわち、効率的に十分なセキュリティ耐性を得ることができる。
〈第6の実施の形態〉
〈セキュリティポリシーの決定について〉
なお、第1の実施の形態乃至第4の実施の形態においては、セキュリティマネジメントエンティティ73による中央制御型のセキュリティ管理を行う場合に、サービスを提供するヘルスケアサービス事業者が1事業者であることが想定されていた。
しかし、例えばIoT機器72としての1つの温度センサで得られたデータが、複数のヘルスケアサービス事業者に同時に提供されるべきデータであるときには、中央制御型のセキュリティマネジメントを行うセキュリティマネジメントエンティティが複数存在することもある。
ところが、そのような場合、温度センサに複数のセキュリティマネジメントエンティティのそれぞれからセキュリティポリシーコンフィギュレーションが供給されたときには、温度センサは、どのセキュリティポリシーに従って動作すればよいのかが分からなくなる。
例えば、単純に全く別のシステムが複数存在すると仮定して、温度センサがセキュリティマネジメントエンティティごとのセキュリティポリシーに従ってデータを送信すると、全く同じデータがセキュリティマネジメントエンティティの数の分だけ送信されることになる。そうすると、セキュリティの観点からは、データの送信回数が増える分だけ漏洩や改ざんの機会が増えることになり、セキュリティ耐性が低下してしまう。
そこで、複数のセキュリティマネジメントエンティティ同士がコーディネーションを行ったうえで、統一的なセキュリティポリシーを決定することで重複するデータの送信を防止し、漏洩や改ざんの機会を低減させるようにしてもよい。
そのような場合、ヘルスケアIoTシステムは、例えば図33に示すように構成される。なお、図33において図11における場合と対応する部分には同一の符号を付してあり、その説明は適宜省略する。
図33に示すヘルスケアIoTシステムは、クライアント71、IoT機器72、セキュリティマネジメントエンティティ73、およびセキュリティマネジメントエンティティ251を有している。すなわち、図33に示すヘルスケアIoTシステムは、図11に示したヘルスケアIoTシステムに対して、新たにセキュリティマネジメントエンティティ251が加えられた構成となっている。
ここでは、セキュリティマネジメントエンティティ251は、セキュリティマネジメントエンティティ73を管理するヘルスケアサービス事業者とは異なるヘルスケアサービス事業者により管理されるものとなっている。
このセキュリティマネジメントエンティティ251は、セキュリティマネジメントエンティティ73と同様の処理を行う。
また、IoT機器72のなかには、セキュリティマネジメントエンティティ251により管理されるネットワークに属すだけでなく、セキュリティマネジメントエンティティ73により管理されるネットワークにも属すものもあるとする。
以下では、例えばIoT機器72-2からIoT機器72-4へと送信されるデータが、セキュリティマネジメントエンティティ251を管理するヘルスケアサービス事業者により提供されるサービスだけでなく、セキュリティマネジメントエンティティ73を管理するヘルスケアサービス事業者により提供されるサービスにも用いられるものとする。
換言すれば、IoT機器72-2とIoT機器72-4との間のセグメントは、セキュリティマネジメントエンティティ251により管理されるネットワークと、セキュリティマネジメントエンティティ73により管理されるネットワークとの共通するセグメント部分となる。以下では、このような複数のネットワークの共通するセグメントを共通セグメントとも称することとする。また、この例におけるIoT機器72-2とIoT機器72-4のように共通セグメントに接続されている、つまり共通セグメントの端に位置するIoT機器72を、共通IoT機器72とも称することとする。この例では共通IoT機器72は、セキュリティマネジメントエンティティ251にもセキュリティマネジメントエンティティ73にも管理されることになる。
このような場合、例えば図34に示すようにして、共通セグメントのセキュリティポリシーが決定される。
すなわち、まず矢印Q71に示すようにセキュリティマネジメントエンティティ73から共通IoT機器72に対してセキュリティケーパビリティリクエストが送信され、これに応じて、矢印Q72に示すように共通IoT機器72からセキュリティマネジメントエンティティ73にセキュリティケーパビリティレポートが送信される。
そして、セキュリティマネジメントエンティティ73は、受信したセキュリティケーパビリティレポートに基づいて、共通IoT機器72の各セグメントについてセキュリティポリシーを決定する。なお、ここでは共通IoT機器72はIoT機器72-2であるものとし、IoT機器72-2が接続されるセグメントはIoT機器72-4との間の共通セグメントのみであるとする。
また、セキュリティマネジメントエンティティ251もセキュリティマネジメントエンティティ73と同様にして、共通IoT機器72の共通セグメントのセキュリティポリシーを決定する。
すなわち、セキュリティマネジメントエンティティ251は、矢印Q73に示すように共通IoT機器72にセキュリティケーパビリティリクエストを送信し、矢印Q74に示すように共通IoT機器72からセキュリティケーパビリティレポートを受信する。そして、セキュリティマネジメントエンティティ251は、受信したセキュリティケーパビリティレポートに基づいて、共通IoT機器72の共通セグメントのセキュリティポリシーを決定する。
その後、矢印Q75に示すように、セキュリティマネジメントエンティティ73とセキュリティマネジメントエンティティ251とが互いに通信してコーディネーションを行い、共通IoT機器72の共通セグメントについて最終的な、つまり統一的な1つのセキュリティポリシーを決定する。
具体的には、例えばセキュリティマネジメントエンティティ73で決定されたセキュリティポリシーと、セキュリティマネジメントエンティティ251で決定されたセキュリティポリシーとのうち、よりセキュリティ耐性が強い方が最終的なセキュリティポリシーとして選択される。
その他、例えばセキュリティマネジメントエンティティ73で決定されたセキュリティポリシーにより示されるセキュリティ保護のための処理と、セキュリティマネジメントエンティティ251で決定されたセキュリティポリシーにより示されるセキュリティ保護のための処理とが全て行われるセキュリティポリシーが最終的なセキュリティポリシーとされてもよい。
このようにして決定された最終的なセキュリティポリシーは、セキュリティマネジメントエンティティ73によるセキュリティ管理と、セキュリティマネジメントエンティティ251によるセキュリティ管理で共通して用いられる。以下では、このようなコーディネーションにより決定された最終的なセキュリティポリシーを共通セキュリティポリシーとも称することとする。
共通セキュリティポリシーが決定されると、セキュリティマネジメントエンティティ73は、矢印Q76に示すように、セキュリティケーパビリティレポートを受信した旨のAcknowledgeを共通IoT機器72に対して送信する。
その後、セキュリティマネジメントエンティティ73は、矢印Q77に示すように、共通セキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを共通IoT機器72に送信する。また、これに応じて矢印Q78に示すように共通IoT機器72からセキュリティマネジメントエンティティ73へとセキュリティポリシーコンフィギュレーションを受信した旨のAcknowledgeが送信される。
そして、共通IoT機器72は、矢印Q79に示すように、セキュリティマネジメントエンティティ73から受信したセキュリティポリシーコンフィギュレーションにより示される共通セキュリティポリシーに従って、他の共通IoT機器72とデータの授受を行う。この場合、例えばIoT機器72-2とIoT機器72-4との間でデータの授受が行われる。
このように共通のセキュリティポリシーを用いることで、IoT機器72-2とIoT機器72-4との間でのデータの授受を削減することができる。すなわち、複数のセキュリティポリシーごとに、それらのセキュリティポリシーに従ってデータを授受する必要がなくなり、1つの共通セキュリティポリシーに従って、1度のデータ授受を行うだけでよい。
なお、ここではセキュリティポリシーを決定するのにセキュリティケーパビリティが用いられる例について説明するが、その他、セグメントセキュリティ状態やトラフィック量などが用いられるようにしてもよいし、それらを組み合わせて用いるようにしてもよい。
〈配布処理の説明〉
ここで、セキュリティマネジメントエンティティ73がコーディネーションを行って共通セキュリティポリシーを決定する場合にセキュリティマネジメントエンティティ73と共通IoT機器72により行われる処理について説明する。
まず、図35のフローチャートを参照して、セキュリティマネジメントエンティティ73による配布処理について説明する。なお、ステップS351乃至ステップS353の処理は、図18のステップS11乃至ステップS13の処理と同様であるので、その説明は省略する。ステップS353が行われると、共通IoT機器72の共通セグメントについて、セキュリティポリシーが決定される。
ステップS354において、通信部141は、セキュリティマネジメントエンティティ251から送信されてくるセキュリティポリシーに関する情報を受信して、制御部143に供給する。
ここでは、例えばセキュリティポリシーに関する情報として、セキュリティマネジメントエンティティ251で決定された共通IoT機器72の共通セグメントについてのセキュリティポリシーを示す情報が受信される。なお、ステップS354において、コーディネーションのため、セキュリティマネジメントエンティティ73で決定された共通IoT機器72の共通セグメントのセキュリティポリシーに関する情報がセキュリティマネジメントエンティティ251に送信されてもよい。
ステップS355において、セキュリティポリシー決定部151は、ステップS353で決定されたセキュリティポリシーと、ステップS354で受信されたセキュリティポリシーに関する情報とに基づいて、共通セキュリティポリシーを決定する。すなわち、互いに異なる装置で得られたセキュリティポリシーの決定結果に基づいて、共通セキュリティポリシーが決定される。
セキュリティマネジメントエンティティ73とセキュリティマネジメントエンティティ251との間では、ステップS354およびステップS355の処理がコーディネーションとして行われる。より詳細には、共通セキュリティポリシーが決定されると、例えば図34の矢印Q76に示したようにAcknowledgeが送信される。
また、セキュリティポリシー決定部151は、決定された共通セキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを生成し、通信部141に供給する。
ステップS356において、通信部141は、セキュリティポリシー決定部151から供給されたセキュリティポリシーコンフィギュレーションを共通IoT機器72に送信し、配布処理は終了する。
以上のようにしてセキュリティマネジメントエンティティ73は、セキュリティマネジメントエンティティ251との間でコーディネーションを行い、共通セキュリティポリシーを決定する。これにより、同じデータが重複して授受されることを防止することができるようになり、効率的に十分なセキュリティ耐性を得ることができる。
〈受信処理の説明〉
次に、図35を参照して説明した配布処理が行われるときに共通IoT機器72により行われる処理について説明する。すなわち、以下、図36のフローチャートを参照して、共通IoT機器72による受信処理について説明する。
受信処理が開始されると、ステップS381およびステップS382の処理が行われてセキュリティケーパビリティリクエストの受信、およびセキュリティケーパビリティレポートの送信が行われる。
なお、これらのステップS381およびステップS382の処理は、図18のステップS21およびステップS22の処理と同様であるので、その説明は省略する。
但し、この例では、セキュリティマネジメントエンティティ73と、セキュリティマネジメントエンティティ251のそれぞれについて、ステップS381およびステップS382の処理が行われる。例えばセキュリティマネジメントエンティティ73については、図35のステップS351の処理に応じてステップS381の処理が行われ、ステップS382の処理に応じて、図35のステップS352の処理が行われる。
ステップS383において、通信部101は、図35のステップS356の処理によりセキュリティマネジメントエンティティ73から送信されてきた共通セキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを受信し、制御部103に供給する。
セキュリティポリシーコンフィギュレーションが受信されると、その後、ステップS384の処理が行われて受信処理は終了するが、ステップS384の処理は図18のステップS24の処理と同様であるので、その説明は省略する。
例えばステップS384では、共通IoT機器72と他の共通IoT機器72との間で、共通セグメントを介して、複数の異なるサービスで共通して用いられるデータが、共通セキュリティポリシーに従った動作により授受される。
以上のようにして、共通IoT機器72は共通セキュリティポリシーを示すセキュリティポリシーコンフィギュレーションを受信し、共通セキュリティポリシーに従った動作を行う。これにより、同じデータが重複して授受されることを防止し、効率的に十分なセキュリティ耐性を得ることができる。
〈第6の実施の形態の変形例1〉
〈セキュリティポリシーの決定について〉
なお、第6の実施の形態では、セキュリティマネジメントエンティティ73と、セキュリティマネジメントエンティティ251との間でコーディネーションを行って共通セキュリティポリシーを決定する例について説明した。しかし、これに限らず、共通IoT機器72側で共通セキュリティポリシーを決定するようにしてもよい。
そのような場合、共通IoT機器72は、セキュリティマネジメントエンティティ73やセキュリティマネジメントエンティティ251から、それぞれセキュリティポリシーコンフィギュレーションを受信し、それらのセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーのなかの1つを共通セキュリティポリシーとする。
具体的には、例えば図37の矢印Q91に示すように、セキュリティマネジメントエンティティ73は、共通IoT機器72に対してセキュリティポリシーの選択基準を示す選択基準情報を送信する。
ここで、選択基準情報は、複数のセキュリティポリシーのなかから、どのセキュリティポリシーを共通セキュリティポリシーとして選択するかを示す情報である。具体的には、例えば選択基準情報は、図14を参照して説明した各Configuration IDにより示されるセキュリティポリシーの優先度を示す情報、つまり各Configuration IDにより示されるセキュリティポリシーの優先度の一覧情報などとされる。
この場合、例えば、よりセキュリティ耐性が強いセキュリティポリシーほど優先度が高くなるようになされており、複数のセキュリティポリシーのうち、最も優先度の高いものが共通セキュリティポリシーとして選択される。
このような選択基準情報は、全ての共通IoT機器72に対して配布される。なお、選択基準情報は共通IoT機器72に予め記録されているようにしてもよい。
選択基準情報が配布されると、その後、矢印Q92に示すようにセキュリティマネジメントエンティティ73から共通IoT機器72に対してセキュリティケーパビリティリクエストが送信され、これに応じて、矢印Q93に示すように共通IoT機器72からセキュリティマネジメントエンティティ73にセキュリティケーパビリティレポートが送信される。
そして、矢印Q94に示すようにセキュリティケーパビリティレポートを受信した旨のAcknowledgeがセキュリティマネジメントエンティティ73から共通IoT機器72に送信される。
その後、セキュリティマネジメントエンティティ73は、矢印Q95に示すように共通IoT機器72にセキュリティポリシーコンフィギュレーションを送信し、これに応じて矢印Q96に示すように共通IoT機器72からAcknowledgeを受信する。
また、セキュリティマネジメントエンティティ251もセキュリティマネジメントエンティティ73と同様にして、セキュリティポリシーコンフィギュレーションを送信する。
すなわち、セキュリティマネジメントエンティティ251は、矢印Q97に示すように共通IoT機器72にセキュリティケーパビリティリクエストを送信し、矢印Q98に示すように共通IoT機器72からセキュリティケーパビリティレポートを受信する。
そして、セキュリティマネジメントエンティティ251は、矢印Q99に示すように共通IoT機器72にAcknowledgeを送信し、矢印Q100に示すように共通IoT機器72にセキュリティポリシーコンフィギュレーションを送信する。さらにセキュリティマネジメントエンティティ251は、矢印Q101に示すように共通IoT機器72からAcknowledgeを受信する。
これにより、共通IoT機器72は、1つの共通セグメントについて、セキュリティマネジメントエンティティ73と、セキュリティマネジメントエンティティ251という互いに異なる複数の装置から、それぞれセキュリティポリシーコンフィギュレーションを受信したことになる。
共通IoT機器72は、選択基準情報に基づいて、これらのセキュリティポリシーコンフィギュレーションにより示されるセキュリティポリシーの何れか一方を共通セキュリティポリシーとして選択する。
そして、共通IoT機器72は、矢印Q102に示すように共通セキュリティポリシーの選択結果をセキュリティマネジメントエンティティ73にレポートするとともに、矢印Q103に示すように共通セキュリティポリシーの選択結果をセキュリティマネジメントエンティティ251にもレポートする。これにより、セキュリティマネジメントエンティティ73やセキュリティマネジメントエンティティ251は、どのセキュリティポリシーが共通セキュリティポリシーとされたかを把握することができる。
共通IoT機器72は、このようにして選択された共通セキュリティポリシーに従って、他の共通IoT機器72との間でデータの授受を行う。
なお、ここでは共通IoT機器72が選択基準情報に基づいて、複数のセキュリティポリシーのなかの1つを共通セキュリティポリシーとして選択する例について説明した。しかし、複数のセキュリティポリシーのそれぞれにより示されるセキュリティ保護のための処理全てが行われるセキュリティポリシーが共通セキュリティポリシーとされるなど、共通IoT機器72が選択基準情報に基づいて共通セキュリティポリシーを決定してもよい。
また、この実施の形態においてもセキュリティケーパビリティレポートに限らず、セグメントセキュリティ状態やトラフィック量も考慮されてセキュリティポリシーが決定されるようにしてもよい。
〈配布処理の説明〉
ここで、共通IoT機器72が共通セキュリティポリシーを決定(選択)する場合に、セキュリティマネジメントエンティティ73と共通IoT機器72により行われる処理について説明する。
まず、図38のフローチャートを参照して、セキュリティマネジメントエンティティ73による配布処理について説明する。
ステップS411において、通信部141は、選択基準情報を共通IoT機器72に送信する。
すなわち、例えば制御部143は、記録部142から予め用意された選択基準情報を読み出して通信部141に供給する。そして、通信部141は、制御部143から供給された選択基準情報を共通IoT機器72に送信する。
ステップS411の処理が行われると、その後、ステップS412乃至ステップS415の処理が行われて、セキュリティポリシーコンフィギュレーションが共通IoT機器72に送信される。なお、これらのステップS412乃至ステップS415の処理は、図18のステップS11乃至ステップS14の処理と同様であるので、その説明は省略する。
共通IoT機器72にセキュリティポリシーコンフィギュレーションが送信されると、その後、共通IoT機器72からセキュリティマネジメントエンティティ73には、共通セキュリティポリシーの選択結果を示す選択結果情報が送信されてくる。
ステップS416において、通信部141は、共通IoT機器72から送信されてきた共通セキュリティポリシーの選択結果情報を受信して制御部143に供給し、配布処理は終了する。これにより、制御部143は、共通セグメントについて、どのセキュリティポリシーが共通セキュリティポリシーとして選択されたかを把握することができる。
以上のようにしてセキュリティマネジメントエンティティ73は、選択基準情報とセキュリティポリシーコンフィギュレーションを共通IoT機器72に送信する。これにより、共通IoT機器72において、適切な共通セキュリティポリシーを選択することができ、効率的に十分なセキュリティ耐性を得ることができる。
〈受信処理の説明〉
次に、図38を参照して説明した配布処理が行われるときに共通IoT機器72により行われる処理について説明する。すなわち、以下、図39のフローチャートを参照して、共通IoT機器72による受信処理について説明する。
ステップS441において、通信部101は、セキュリティマネジメントエンティティ73から送信されてきた選択基準情報を受信して制御部103に供給する。
選択基準情報が受信されると、その後、ステップS442乃至ステップS444の処理が行われて、セキュリティポリシーコンフィギュレーションが受信される。
なお、これらのステップS442乃至ステップS444の処理は、図18のステップS21乃至ステップS23の処理と同様であるのでその説明は省略する。
但し、この例では、セキュリティマネジメントエンティティ73と、セキュリティマネジメントエンティティ251のそれぞれについて、ステップS442乃至ステップS444の処理が行われる。例えばセキュリティマネジメントエンティティ73については、図38のステップS412の処理に応じてステップS442の処理が行われ、ステップS443の処理に応じて、図38のステップS413の処理が行われる。また、例えば図38のステップS415の処理に応じてステップS444の処理が行われる。
ステップS445において、制御部103は、ステップS441で受信した選択基準情報に基づいて、ステップS444の処理で受信した複数のセキュリティポリシーコンフィギュレーションのそれぞれにより示されるセキュリティポリシーのなかから、1つのセキュリティポリシーを選択し、共通セキュリティポリシーとする。
また、制御部103は、共通セキュリティポリシーの選択結果を示す選択結果情報を生成し、通信部101に供給する。
ステップS446において、通信部101は、制御部103から供給された選択結果情報をセキュリティマネジメントエンティティ73およびセキュリティマネジメントエンティティ251に送信する。これにより、例えば図38のステップS416の処理が行われることになる。
ステップS447において、制御部103はステップS445で選択した共通セキュリティポリシーに従った動作を行い、受信処理は終了する。なお、ステップS447では、図36のステップS384と同様の処理が行われる。
以上のようにして共通IoT機器72は、選択基準情報と、複数のセキュリティポリシーコンフィギュレーションとを受信して、共通セキュリティポリシーを選択(決定)し、選択された共通セキュリティポリシーに応じた動作を行う。このようにすることで、適切な共通セキュリティポリシーを選択して同じデータが重複して授受されることを防止し、効率的に十分なセキュリティ耐性を得ることができる。
なお、以上において説明した各実施の形態を適宜組み合わせるようにしてもよい。
〈コンピュータの構成例〉
ところで、上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウェアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のコンピュータなどが含まれる。
図40は、上述した一連の処理をプログラムにより実行するコンピュータのハードウェアの構成例を示すブロック図である。
コンピュータにおいて、CPU(Central Processing Unit)501,ROM(Read Only Memory)502,RAM(Random Access Memory)503は、バス504により相互に接続されている。
バス504には、さらに、入出力インターフェース505が接続されている。入出力インターフェース505には、入力部506、出力部507、記録部508、通信部509、及びドライブ510が接続されている。
入力部506は、キーボード、マウス、マイクロホン、撮像素子などよりなる。出力部507は、ディスプレイ、スピーカなどよりなる。記録部508は、ハードディスクや不揮発性のメモリなどよりなる。通信部509は、ネットワークインターフェースなどよりなる。ドライブ510は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブル記録媒体511を駆動する。
以上のように構成されるコンピュータでは、CPU501が、例えば、記録部508に記録されているプログラムを、入出力インターフェース505及びバス504を介して、RAM503にロードして実行することにより、上述した一連の処理が行われる。
コンピュータ(CPU501)が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブル記録媒体511に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線または無線の伝送媒体を介して提供することができる。
コンピュータでは、プログラムは、リムーバブル記録媒体511をドライブ510に装着することにより、入出力インターフェース505を介して、記録部508にインストールすることができる。また、プログラムは、有線または無線の伝送媒体を介して、通信部509で受信し、記録部508にインストールすることができる。その他、プログラムは、ROM502や記録部508に、あらかじめインストールしておくことができる。
なお、コンピュータが実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。
また、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。
例えば、本技術は、1つの機能をネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。
また、上述のフローチャートで説明した各ステップは、1つの装置で実行する他、複数の装置で分担して実行することができる。
さらに、1つのステップに複数の処理が含まれる場合には、その1つのステップに含まれる複数の処理は、1つの装置で実行する他、複数の装置で分担して実行することができる。
また、本明細書中に記載された効果はあくまで例示であって限定されるものではなく、他の効果があってもよい。
さらに、本技術は、以下の構成とすることも可能である。
(1)
自身のセキュリティに関する情報を送信し、前記セキュリティに関する情報の送信に応じて送信されてきた、セキュリティ保護のために実行すべき処理を示す指定情報を受信する通信部と、
所定の機器に対してデータを送信するか、または前記機器から送信されたデータを受信する場合に、前記指定情報に基づいてセキュリティ保護のための処理を行う制御部と
を備える情報処理装置。
(2)
前記セキュリティに関する情報には、前記情報処理装置が実行可能な前記セキュリティ保護のための処理を示す情報が含まれている
(1)に記載の情報処理装置。
(3)
前記セキュリティ保護のための処理は暗号化、データ完全性チェック、または認証である
(1)または(2)に記載の情報処理装置。
(4)
前記セキュリティに関する情報には、前記情報処理装置がデータに対して実行可能な処理を示す情報が含まれている
(1)乃至(3)の何れか一項に記載の情報処理装置。
(5)
前記情報処理装置がデータに対して実行可能な処理は、データに対する個人識別情報の付加、またはデータに対する変換処理である
(4)に記載の情報処理装置。
(6)
前記セキュリティに関する情報には、セキュリティに関する前記情報処理装置と前記機器との間のセグメントの状態を示す情報が含まれている
(1)乃至(5)の何れか一項に記載の情報処理装置。
(7)
前記通信部は、前記セキュリティに関する情報の送信要求を受信した場合、前記送信要求を前記機器に送信するとともに、前記送信要求に応じて自身の前記セキュリティに関する情報を送信する
(1)乃至(6)の何れか一項に記載の情報処理装置。
(8)
前記通信部は、前記機器から前記送信要求に対する応答がなかった場合、前記セキュリティに関する情報のレポート能力を有していない前記機器が存在する旨の情報を送信する
(7)に記載の情報処理装置。
(9)
前記制御部は、前記レポート能力を有していない前記機器との接続拒否を要求する接続拒否要求が前記通信部により受信されたとき、前記レポート能力を有していない前記機器とのデータの授受を行わないように制御する
(8)に記載の情報処理装置。
(10)
前記通信部は、前記機器から前記送信要求に対する応答がなかった場合、前記機器とのデータの授受により前記機器の前記セキュリティに関する情報が特定されたとき、特定された前記機器の前記セキュリティに関する情報を送信する
(7)または(8)に記載の情報処理装置。
(11)
前記セキュリティに関する情報には、前記情報処理装置と前記機器との間のセグメントにおけるデータのトラフィック量に関する情報が含まれている
(1)乃至(10)の何れか一項に記載の情報処理装置。
(12)
前記制御部は、前記情報処理装置と前記機器との間のセグメントについて、互いに異なる複数の装置から前記指定情報を受信した場合、受信された複数の前記指定情報のなかから1つの前記指定情報を選択し、選択した前記指定情報に基づいて前記セキュリティ保護のための処理を行う
(1)乃至(11)の何れか一項に記載の情報処理装置。
(13)
前記通信部は、前記指定情報の選択結果を示す情報を前記複数の装置に送信する
(12)に記載の情報処理装置。
(14)
前記通信部は、前記指定情報の選択基準を示す選択基準情報をさらに受信し、
前記制御部は、前記選択基準情報に基づいて前記指定情報を選択する
(12)または(13)に記載の情報処理装置。
(15)
情報処理装置の情報処理方法であって、
自身のセキュリティに関する情報を送信し、前記セキュリティに関する情報の送信に応じて送信されてきた、セキュリティ保護のために実行すべき処理を示す指定情報を受信し、
所定の機器に対してデータを送信するか、または前記機器から送信されたデータを受信する場合に、前記指定情報に基づいてセキュリティ保護のための処理を行う
ステップを含む情報処理方法。
(16)
情報処理装置を制御するコンピュータに、
自身のセキュリティに関する情報を送信し、前記セキュリティに関する情報の送信に応じて送信されてきた、セキュリティ保護のために実行すべき処理を示す指定情報を受信し、
所定の機器に対してデータを送信するか、または前記機器から送信されたデータを受信する場合に、前記指定情報に基づいてセキュリティ保護のための処理を行う
ステップを含む処理を実行させるプログラム。
(17)
所定の機器のセキュリティに関する情報を受信し、前記機器においてセキュリティ保護のために実行すべき処理を示す指定情報を送信する通信部と、
前記セキュリティに関する情報に基づいて前記指定情報を生成する制御部と
を備える情報処理装置。
(18)
前記セキュリティに関する情報には、前記機器が実行可能な前記セキュリティ保護のための処理を示す情報が含まれている
(17)に記載の情報処理装置。
(19)
前記セキュリティ保護のための処理は暗号化、データ完全性チェック、または認証である
(17)または(18)に記載の情報処理装置。
(20)
前記セキュリティに関する情報には、前記機器がデータに対して実行可能な処理を示す情報が含まれている
(17)乃至(19)の何れか一項に記載の情報処理装置。
(21)
前記機器がデータに対して実行可能な処理は、データに対する個人識別情報の付加、またはデータに対する変換処理である
(20)に記載の情報処理装置。
(22)
前記セキュリティに関する情報には、セキュリティに関する前記機器と他の機器との間のセグメントの状態を示す情報が含まれている
(17)乃至(21)の何れか一項に記載の情報処理装置。
(23)
前記制御部は、前記通信部により前記セキュリティに関する情報のレポート能力を有していない他の機器が存在する旨の情報を前記機器から受信した場合、前記セキュリティに関する情報、および前記レポート能力を有していない前記他の機器が存在する旨の情報に基づいて前記指定情報を生成する
(17)乃至(22)の何れか一項に記載の情報処理装置。
(24)
前記制御部は、前記レポート能力を有していない前記他の機器が存在する旨の情報の受信後、前記機器により特定された前記他の機器の前記セキュリティに関する情報が前記通信部により受信された場合、前記他の機器の前記セキュリティに関する情報に基づいて、前記他の機器に接続された、前記機器とは異なる機器の前記指定情報を生成する
(23)に記載の情報処理装置。
(25)
前記通信部は、前記レポート能力を有していない前記他の機器との接続拒否を要求する接続拒否要求を前記機器に送信する
(23)に記載の情報処理装置。
(26)
前記セキュリティに関する情報には、前記機器と他の機器との間のセグメントにおけるデータのトラフィック量に関する情報が含まれている
(17)乃至(25)の何れか一項に記載の情報処理装置。
(27)
前記通信部は、ローカルネットワークを構成する前記機器に前記指定情報を送信し、前記ローカルネットワークを含むネットワークのセキュリティ管理を行う装置に対して、前記ローカルネットワークにおけるセキュリティの管理状況を示す情報を送信する
(17)乃至(26)の何れか一項に記載の情報処理装置。
(28)
前記制御部は、前記機器と他の機器との間のセグメントについて、前記セキュリティに関する情報に基づいて前記機器においてセキュリティ保護のために実行すべき処理を決定し、その決定結果と、前記機器においてセキュリティ保護のために実行すべき処理の前記情報処理装置とは異なる他の情報処理装置による決定結果とに基づいて前記指定情報を生成する
(17)乃至(26)の何れか一項に記載の情報処理装置。
(29)
前記通信部は、
前記指定情報の選択基準を示す選択基準情報を前記機器に送信し、
前記機器と他の機器との間のセグメントについて、前記機器において前記情報処理装置を含む複数の装置から受信した複数の前記指定情報のなかから選択された1つの前記指定情報を示す情報を前記機器から受信する
(17)乃至(26)の何れか一項に記載の情報処理装置。
(30)
所定の機器のセキュリティに関する情報を受信し、
前記セキュリティに関する情報に基づいて、前記機器においてセキュリティ保護のために実行すべき処理を示す指定情報を生成し、
前記指定情報を送信する
ステップを含む情報処理方法。
(31)
所定の機器のセキュリティに関する情報を受信し、
前記セキュリティに関する情報に基づいて、前記機器においてセキュリティ保護のために実行すべき処理を示す指定情報を生成し、
前記指定情報を送信する
ステップを含む処理をコンピュータに実行させるプログラム。