JP7086257B2 - Communication control system, master device, communication control method and communication control program - Google Patents

Communication control system, master device, communication control method and communication control program Download PDF

Info

Publication number
JP7086257B2
JP7086257B2 JP2021118367A JP2021118367A JP7086257B2 JP 7086257 B2 JP7086257 B2 JP 7086257B2 JP 2021118367 A JP2021118367 A JP 2021118367A JP 2021118367 A JP2021118367 A JP 2021118367A JP 7086257 B2 JP7086257 B2 JP 7086257B2
Authority
JP
Japan
Prior art keywords
communication
whitelist
log
unit
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021118367A
Other languages
Japanese (ja)
Other versions
JP2021166414A (en
Inventor
直人 森
敏之 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021118367A priority Critical patent/JP7086257B2/en
Publication of JP2021166414A publication Critical patent/JP2021166414A/en
Application granted granted Critical
Publication of JP7086257B2 publication Critical patent/JP7086257B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本開示は、ホワイトリストに基づく通信制御技術に関する。 The present disclosure relates to a communication control technique based on a whitelist.

通信が許可された対象を示すホワイトリストに基づき、通信制御を行う技術がある。ホワイトリストに基づく通信制御は、安全性の観点において有効である。しかし、ホワイトリストに基づく通信制御では、通信が許可されるべき対象がホワイトリストに示されていないと、許可されるべき通信であっても許可されない。その結果、適切な処理が実行できないといった事態が発生し得る。そのため、ホワイトリストを適切に管理する必要がある。したがって、ホワイトリストに基づく通信制御は、ホワイトリストの管理という点において管理者に負担がかかる。 There is a technique for controlling communication based on a white list indicating targets for which communication is permitted. Communication control based on the whitelist is effective from the viewpoint of security. However, in the communication control based on the whitelist, even if the communication should be permitted, it is not permitted unless the target to be permitted is indicated in the whitelist. As a result, a situation may occur in which appropriate processing cannot be executed. Therefore, it is necessary to manage the whitelist appropriately. Therefore, the communication control based on the whitelist imposes a burden on the administrator in terms of managing the whitelist.

特許文献1には、ホワイトリストを自動的に生成する技術が記載されている。これにより、ホワイトリストの管理に係る負担を軽減している。特許文献1では、ホワイトリスト生成期間に行われた通信が許可されるように、ホワイトリストを生成している。 Patent Document 1 describes a technique for automatically generating a whitelist. This reduces the burden of managing the whitelist. In Patent Document 1, a whitelist is generated so that communication performed during the whitelist generation period is permitted.

特開2017-046149号公報Japanese Unexamined Patent Publication No. 2017-406149

特許文献1に記載された技術では、ホワイトリスト生成期間に不適切な通信が行われると、不適切な通信が許可されるようにホワイトリストが生成されてしまう。その結果、ホワイトリストに基づく通信制御が開始された後においても、不適切な通信が許可されてしまう。
本開示は、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能にすることを目的とする。 In the technique described in Patent Document 1, if inappropriate communication is performed during the whitelist generation period, a whitelist is generated so that inappropriate communication is permitted. As a result, inappropriate communication is permitted even after the communication control based on the whitelist is started.
The purpose of this disclosure is to reduce the burden of managing the whitelist and to prevent inappropriate communication from being permitted.

本開示に係る通信制御システムは、
複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記複数のエッジ装置それぞれは、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The communication control system according to this disclosure is
It is a communication control system equipped with multiple edge devices and a master device.
Each of the plurality of edge devices
Acquire a communication log between addresses classified into different groups in a group list in which the addresses of terminals connected to any of the plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal. Equipped with a log acquisition unit
The master device further
A setting reception unit that accepts settings for whether or not to allow communication for which logs have been acquired by the log acquisition unit, and a setting reception unit.
It includes a whitelist generation unit that generates a whitelist that permits communication between addresses classified into the same group in the group list and communication for which communication is permitted by the setting reception unit.

本開示では、同じグループに分類されたアドレス間の通信と、異なるグループに分類されたアドレス間において行われた通信のうち通信を許可すると設定された通信とを許可するホワイトリストが生成される。これにより、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能である。 In the present disclosure, a whitelist is generated that permits communication between addresses classified into the same group and communication performed between addresses classified into different groups, which is set to allow communication. This makes it possible to reduce the burden of managing the whitelist and prevent inappropriate communication from being permitted.

実施の形態1に係る通信制御システム1の構成図。The block diagram of the communication control system 1 which concerns on Embodiment 1. FIG. 実施の形態1に係るマスター装置10の構成図。The block diagram of the master apparatus 10 which concerns on Embodiment 1. FIG. 実施の形態1に係るエッジ装置20の構成図。The block diagram of the edge apparatus 20 which concerns on Embodiment 1. FIG. 実施の形態1に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on Embodiment 1. 実施の形態1に係るアドレス41の説明図。Explanatory drawing of address 41 which concerns on Embodiment 1. FIG. 実施の形態1に係るアドレス41と端末情報42の説明図。The explanatory view of the address 41 and the terminal information 42 which concerns on Embodiment 1. FIG. 実施の形態1に係る端末テーブル43の説明図。The explanatory view of the terminal table 43 which concerns on Embodiment 1. FIG. 実施の形態1に係るグループ44の説明図。Explanatory drawing of group 44 which concerns on Embodiment 1. FIG. 実施の形態1に係る検査用アクセスリスト46の説明図。Explanatory drawing of access list 46 for inspection which concerns on Embodiment 1. FIG. 実施の形態1に係るログデータ47の説明図。Explanatory drawing of log data 47 which concerns on Embodiment 1. FIG. 実施の形態1に係る異グループ間通信リスト48の説明図。The explanatory view of the intergroup communication list 48 which concerns on Embodiment 1. FIG. 実施の形態1に係るホワイトリスト49の説明図。The explanatory view of the white list 49 which concerns on Embodiment 1. FIG. 変形例1に係るマスター装置10の構成図。The block diagram of the master apparatus 10 which concerns on modification 1. 変形例1に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on modification 1. 実施の形態2に係る通信制御システム1の動作を示すフローチャート。The flowchart which shows the operation of the communication control system 1 which concerns on Embodiment 2.

実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30としては、IT(Information Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。 Embodiment 1.
*** Explanation of configuration ***
The configuration of the communication control system 1 according to the first embodiment will be described with reference to FIG.
The communication control system 1 includes a master device 10 and a plurality of edge devices 20. The master device 10 and each edge device 20 are connected via a network device 90.
The master device 10 is a computer installed in a management center or the like and for managing the communication control system 1. Each edge device 20 is a computer installed in a field such as a factory or an office and to which one or more terminals 30 are connected. As the terminal 30, there are a plurality of types of terminals 30, such as an IT (Information Technology) -based terminal 30 and an OT (Operational Technology) -based terminal 30.

図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the master device 10 according to the first embodiment will be described with reference to FIG.
The master device 10 includes hardware for a processor 11, a memory 12, a storage 13, and a communication interface 14. The processor 11 is connected to other hardware via a signal line and controls these other hardware.

マスター装置10は、機能構成要素として、アドレス受信部111と、分類部112と、検査リスト生成部113と、検査リスト送信部114と、ログ受信部115と、設定受付部116と、ホワイトリスト生成部117と、ホワイトリスト送信部118とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、
プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。 The master device 10 has, as functional components, an address receiving unit 111, a classification unit 112, an inspection list generation unit 113, an inspection list transmission unit 114, a log reception unit 115, a setting reception unit 116, and a whitelist generation unit. A unit 117 and a whitelist transmission unit 118 are provided. The functions of each functional component of the master device 10 are realized by software.
The storage 13 stores a program that realizes the functions of each functional component of the master device 10. This program is read into the memory 12 by the processor 11 and is read by the processor 11.
It is executed by the processor 11. As a result, the functions of each functional component of the master device 10 are realized.

図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the edge device 20 according to the first embodiment will be described with reference to FIG.
The edge device 20 includes hardware for a processor 21, a memory 22, a storage 23, and a communication interface 24. The processor 21 is connected to other hardware via a signal line and controls these other hardware.

エッジ装置20は、機能構成要素として、アドレス取得部211と、端末情報受付部212と、アドレス送信部213と、リスト受信部214と、ログ取得部215と、ログ送信部216と、通信制御部217とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。 The edge device 20 has an address acquisition unit 211, a terminal information reception unit 212, an address transmission unit 213, a list reception unit 214, a log acquisition unit 215, a log transmission unit 216, and a communication control unit as functional components. It is equipped with 217. The functions of each functional component of the edge device 20 are realized by software.
The storage 23 stores a program that realizes the functions of each functional component of the edge device 20. This program is read into the memory 22 by the processor 21 and executed by the processor 21. As a result, the functions of each functional component of the edge device 20 are realized.

プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 Processors 11 and 21 are ICs (Integrated Circuits) that perform processing. As a specific example, the processors 11 and 21 are CPUs (Central).
Processing Unit), DSP (Digital Signal Processor), GPU (Graphics Processing Unit).

メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。 The memories 12 and 22 are storage devices for temporarily storing data. Specific examples of the memories 12 and 22 are SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory).

ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。 The storages 13 and 23 are storage devices for storing data. The storages 13 and 23 are, as a specific example, an HDD (Hard Disk Drive). The storages 13 and 23 include SD (registered trademark, Secure Digital) memory card, CF (CompactFlash, registered trademark), NAND flash, flexible disk, optical disk, compact disk, Blu-ray (registered trademark) disk, and DVD (Digital Versaille Disk). ) May be a portable recording medium.

通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。 The communication interfaces 14 and 24 are interfaces for communicating with an external device. Specific examples of the communication interfaces 14 and 24 are Ethernet (registered trademark), USB (Universal Serial Bus), and HDMI (registered trademark, High-Definition Multimedia Interface) ports.

***動作の説明***
図4から図12を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。 *** Explanation of operation ***
The operation of the communication control system 1 according to the first embodiment will be described with reference to FIGS. 4 to 12.
The operation procedure of the communication control system 1 according to the first embodiment corresponds to the communication control method according to the first embodiment. Further, the program that realizes the operation of the communication control system 1 according to the first embodiment corresponds to the communication control program according to the first embodiment.

通信制御システム1は、マスター装置10及びエッジ装置20が設置され、運用が開始されると、図4に示す処理を実行する。 When the master device 10 and the edge device 20 are installed and the operation is started, the communication control system 1 executes the process shown in FIG.

(図4のステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、自身に接続された端末30のアドレス41を取得する。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、図5に示すように、アドレス取得部211は、端末30のアドレス41として、IP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを取得する。 (Step S11 in FIG. 4: Address acquisition process)
The address acquisition unit 211 of each edge device 20 acquires the address 41 of the terminal 30 connected to itself. At this time, the address acquisition unit 211 may acquire the address 41 of the connected terminal 30 for each port.
Here, as shown in FIG. 5, the address acquisition unit 211 acquires an IP (Internet Protocol) address and a MAC (Media Access Control) address as the address 41 of the terminal 30.

(図4のステップS12:端末情報受付処理)
各エッジ装置20の端末情報受付部212は、ステップS11で取得された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。
具体的には、エッジ装置20に入力装置が接続され、エッジ装置20の設置を担当した担当者等によって端末情報42が入力される。そして、端末情報受付部212は、入力された端末情報42を受け付ける。
ここでは、図6に示すように、端末情報受付部212は、端末情報42として、グループ名と、端末名とを受け付け、IPアドレス及びMACアドレスとの関連付けを行う。グループ名は、端末30が属するグループを識別可能な名称である。例えば、IT系とOT系とで端末30をグループ分けする場合には、グループ名はIT系又はOT系になる。端末名は、端末30を識別可能な名称である。例えば、端末名は、端末30が設置された場所と、端末30の役割等とに基づき、予め定められたルールに従って割り当てられる。 (Step S12 in FIG. 4: Terminal information reception process)
The terminal information receiving unit 212 of each edge device 20 receives the input of the terminal information 42 for the terminal 30 indicated by each address 41 acquired in step S11.
Specifically, an input device is connected to the edge device 20, and terminal information 42 is input by a person in charge of installing the edge device 20 or the like. Then, the terminal information receiving unit 212 receives the input terminal information 42.
Here, as shown in FIG. 6, the terminal information receiving unit 212 accepts the group name and the terminal name as the terminal information 42, and associates the IP address and the MAC address. The group name is a name that can identify the group to which the terminal 30 belongs. For example, when the terminal 30 is grouped by the IT system and the OT system, the group name is the IT system or the OT system. The terminal name is a name that can identify the terminal 30. For example, the terminal name is assigned according to a predetermined rule based on the place where the terminal 30 is installed, the role of the terminal 30, and the like.

(図4のステップS13:アドレス送信処理)
各エッジ装置20のアドレス送信部213は、ステップS212で受け付けた端末情報42を付加したアドレス41をマスター装置10に送信する。
すると、マスター装置10のアドレス受信部111は、各エッジ装置20から送信された端末情報42が付加されたアドレス41を受信する。つまり、アドレス受信部111は、複数のエッジ装置20それぞれから、そのエッジ装置20に接続された端末30のアドレス41及び端末情報42を受信する。そして、図7に示すように、アドレス受信部111は、受信されたアドレス41及び端末情報42を集約し、エッジ装置20を判別するエッジ装置IDと関連付けて端末テーブル43を生成する。 (Step S13 in FIG. 4: Address transmission process)
The address transmission unit 213 of each edge device 20 transmits the address 41 to which the terminal information 42 received in step S212 is added to the master device 10.
Then, the address receiving unit 111 of the master device 10 receives the address 41 to which the terminal information 42 transmitted from each edge device 20 is added. That is, the address receiving unit 111 receives the address 41 and the terminal information 42 of the terminal 30 connected to the edge device 20 from each of the plurality of edge devices 20. Then, as shown in FIG. 7, the address receiving unit 111 aggregates the received address 41 and the terminal information 42, and generates the terminal table 43 in association with the edge device ID that determines the edge device 20.

(図4のステップS14:分類処理)
マスター装置10の分類部112は、ステップS13で受信された端末30のアドレス41を、端末30の端末情報42に基づき複数のグループ44に分類する。
具体的には、分類部112は、端末テーブル43から順にレコードを読み出し、読み出されたレコードの端末情報42に基づき、そのレコードのグループ44を特定する。実施の形態1では、分類部112は、端末情報42に含まれるグループ名毎にレコードのグループを特定する。したがって、図7に示す端末テーブル43の場合には、図8に示すように各レコードがIT系のグループ44とOT系のグループ44とに分類される。分類部112は、グループ44に基づきグループリストを生成する。
グループリストについては、図示しないが、図8に示すグループ44に基づき、グループ毎のIPアドレスを特定するリストとなる。例えば、IT系グループには、IP A1、IP A2、IP Am、IP An・・・が含まれ、OT系グループには、IP B1、IP B2、IP Bi、IP Bj・・・が含まれることを示すリストである。 (Step S14 in FIG. 4: Classification process)
The classification unit 112 of the master device 10 classifies the address 41 of the terminal 30 received in step S13 into a plurality of groups 44 based on the terminal information 42 of the terminal 30.
Specifically, the classification unit 112 reads records in order from the terminal table 43, and identifies the group 44 of the records based on the terminal information 42 of the read records. In the first embodiment, the classification unit 112 specifies a group of records for each group name included in the terminal information 42. Therefore, in the case of the terminal table 43 shown in FIG. 7, each record is classified into an IT system group 44 and an OT system group 44 as shown in FIG. The classification unit 112 generates a group list based on the group 44.
Although not shown, the group list is a list that specifies the IP address for each group based on the group 44 shown in FIG. For example, the IT group includes IP A1, IP A2, IP Am, IP An ..., And the OT group includes IP B1, IP B2, IP Bi, IP Bj ... It is a list showing.

(図4のステップS15:検査用アクセスリスト生成処理)
検査リスト生成部113は、実施の形態1では、図9に示すように、全てのグループ44間の通信を許可することと、異なるグループ44間の通信のログを取得することを示す検査用アクセスリスト46を生成する。ここで、全てのグループ44間の通信を許可する
とは、同じグループ44におけるアドレス間での通信を許可するとともに、異なるグループ44におけるアドレス間での通信を許可することを意味する。検査用アクセスリスト46は、全てのグループ44間の通信を許可した上で、異なるグループ44間の通信のログを取得するルールに基づく暫定的なホワイトリストになる。
そして、検査リスト生成部113は、検査用アクセスリスト46と端末テーブル43との組を検査リスト45として扱う。なお検査リスト45に含まれる、端末テーブル43は、具体的には前述したグループリストのような構成となる。 (Step S15 in FIG. 4: Inspection access list generation process)
As shown in FIG. 9, the inspection list generation unit 113 permits inspection access indicating that communication between all groups 44 is permitted and communication logs between different groups 44 are acquired, as shown in FIG. Generate Listing 46. Here, permitting communication between all groups 44 means permitting communication between addresses in the same group 44 and permitting communication between addresses in different groups 44. The inspection access list 46 is a provisional whitelist based on a rule for permitting communication between all groups 44 and then acquiring logs of communication between different groups 44.
Then, the inspection list generation unit 113 treats the pair of the inspection access list 46 and the terminal table 43 as the inspection list 45. The terminal table 43 included in the inspection list 45 is specifically configured like the group list described above.

そして、検査リスト送信部114は、検査リスト45を各エッジ装置20に送信する。すなわち、検査リスト送信部114は、検査用アクセスリスト46とグループリストを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、検査リスト45を受信する。 Then, the inspection list transmission unit 114 transmits the inspection list 45 to each edge device 20. That is, the inspection list transmission unit 114 transmits the inspection access list 46 and the group list to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the inspection list 45.

(図4のステップS16:ログ取得処理)
各エッジ装置20のログ取得部215は、検査リスト45を受信してから観測期間の間、検査リスト45に従い、異なるグループに分類されたアドレス間の通信のログを取得する。実施の形態1では、通信制御部217は、検査リスト45として受信した検査用アクセスリスト46に従い、全てのグループ44間の通信を許可する。そして、ログ取得部215は、検査用アクセスリスト46に従い、実際に行われた通信のうち、異なるグループ44間の通信のログを取得する。観測期間は、通信制御システム1を適用する対象のシステムにおいて、一通りの通信が行われるような期間等が設定される。
通信のログには、データの送信元のIPアドレスと、データ宛先のIPアドレスとが含まれる。図10に示すように、通信制御部217は、端末テーブル43を参照して、データの送信元及びデータの宛先について、MACアドレスとグループ名と端末名とを補って、ログデータ47を生成する。 (Step S16 in FIG. 4: Log acquisition process)
The log acquisition unit 215 of each edge device 20 acquires a log of communication between addresses classified into different groups according to the inspection list 45 during the observation period after receiving the inspection list 45. In the first embodiment, the communication control unit 217 permits communication between all the groups 44 according to the inspection access list 46 received as the inspection list 45. Then, the log acquisition unit 215 acquires a log of communication between different groups 44 among the communication actually performed according to the inspection access list 46. The observation period is set to a period during which communication is performed in the target system to which the communication control system 1 is applied.
The communication log contains the IP address of the data source and the IP address of the data destination. As shown in FIG. 10, the communication control unit 217 refers to the terminal table 43 and supplements the MAC address, the group name, and the terminal name with respect to the data transmission source and the data destination to generate the log data 47. ..

観測期間が終了すると、ログ送信部216は、ログデータ47をマスター装置10に送信する。すると、マスター装置10のログ受信部115は、ログデータ47を受信する。 When the observation period ends, the log transmission unit 216 transmits the log data 47 to the master device 10. Then, the log receiving unit 115 of the master device 10 receives the log data 47.

(図4のステップS17:設定受付処理)
マスター装置10の設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。
具体的には、図11に示すように、設定受付部116は、各エッジ装置20から受信したログデータ47について、重複を排除した異グループ間通信リスト48を生成する。そして、設定受付部116は、異グループ間通信リスト48が示す各アドレス間の通信について、許可するか否かの設定を受け付ける。 (Step S17 in FIG. 4: Setting acceptance processing)
The setting reception unit 116 of the master device 10 accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired.
Specifically, as shown in FIG. 11, the setting receiving unit 116 generates an intergroup communication list 48 from which duplication is eliminated for the log data 47 received from each edge device 20. Then, the setting reception unit 116 accepts the setting of whether or not to permit the communication between the addresses shown in the communication list 48 between different groups.

(図4のステップS18:ホワイトリスト生成処理)
図12に示すように、マスター装置10のホワイトリスト生成部117は、ステップS14で同じグループに分類されたアドレス間の通信と、ステップS17で通信を許可すると設定されたアドレス間の通信とを許可するホワイトリスト49を生成する。図12に示すホワイトリスト49では、IT系間及びOT系間の通信と、ステップS17で通信を許可すると設定されたIPアドレスがIP A1とIP B1との間の通信とが許可されている。図12に示すホワイトリスト49では、IPアドレスがIP A1とIP B1との間の通信以外の異なるグループ44に分類されたアドレス間の通信は遮断するように設定されている。
そして、ホワイトリスト送信部118は、ホワイトリスト49を各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、ホワイトリスト49を受信する。 (Step S18 in FIG. 4: Whitelist generation process)
As shown in FIG. 12, the whitelist generation unit 117 of the master device 10 permits communication between addresses classified into the same group in step S14 and communication between addresses set to allow communication in step S17. Whitelist 49 is generated. In the whitelist 49 shown in FIG. 12, communication between IT systems and OT systems and communication between IP A1 and IP B1 whose IP address is set to allow communication in step S17 are permitted. In the whitelist 49 shown in FIG. 12, communication between addresses whose IP addresses are classified into different groups 44 other than communication between IP A1 and IP B1 is set to be blocked.
Then, the whitelist transmission unit 118 transmits the whitelist 49 to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the whitelist 49.

(図4のステップS19:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS18で受信したホワイトリスト49に従い、通信を制御する。つまり、通信制御部217は、ホワイトリスト49で許可すると設定されている通信のみを許可し、その他の通信については遮断する。 (Step S19 in FIG. 4: Communication control process)
The communication control unit 217 of each edge device 20 controls communication according to the whitelist 49 received in step S18. That is, the communication control unit 217 permits only the communication set to be permitted in the whitelist 49, and blocks other communication.

***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1では、各エッジ装置20に接続された端末30がグループ44に分類され、異なるグループ44に分類されたアドレス間の通信のログが観測期間の間に取得される。そして、ログが取得されたアドレス間の通信を許可するか否かの設定が受け付けられ、同じグループ44に分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可するホワイトリスト49が生成される。つまり暫定的に作成した検査用アクセスリスト46に基づき、観測期間の通信を許可し、そのログに基づきホワイトリスト49を生成する。
これにより、同じグループ44間の通信については逐一ホワイトリスト49に設定する必要がないため、ホワイトリスト49の管理の負担を軽減することが可能である。一方、異なるグループ44間の通信については、観測期間に行われた通信のログに基づき、許可するか否かが判断された上でホワイトリスト49に設定される。そのため、不正な通信が許可されることを防止可能である。 *** Effect of Embodiment 1 ***
As described above, in the communication control system 1 according to the first embodiment, the terminals 30 connected to each edge device 20 are classified into the group 44, and the log of the communication between the addresses classified into the different groups 44 is observed during the observation period. Obtained during. Then, the setting of whether or not to allow the communication between the addresses for which the log is acquired is accepted, and the white that permits the communication between the addresses classified in the same group 44 and the communication between the addresses set to be permitted is allowed. Listing 49 is generated. That is, based on the provisionally created inspection access list 46, communication during the observation period is permitted, and a whitelist 49 is generated based on the log.
As a result, it is not necessary to set the whitelist 49 for communication between the same groups 44 one by one, so that it is possible to reduce the burden of managing the whitelist 49. On the other hand, the communication between different groups 44 is set in the whitelist 49 after it is determined whether or not to allow it based on the log of the communication performed during the observation period. Therefore, it is possible to prevent unauthorized communication from being permitted.

例えば、IT系の端末30とOT系の端末30との間の通信は、安全性の観点から原則として禁止することが望ましい。しかし、OT系の端末30のデータをIT系の端末30で分析するといった処理を行う場合も考えられる。この場合の通信については、例外的にIT系の端末30とOT系の端末30との間の通信であっても許可する必要がある。このような場合に、実施の形態1に係る通信制御システム1では、観測期間に行われたIT系の端末30とOT系の端末30との間の通信について、個別に許可するか否かを設定するだけで、適切なホワイトリスト49を生成可能である。 For example, it is desirable to prohibit communication between the IT terminal 30 and the OT terminal 30 in principle from the viewpoint of safety. However, there may be a case where the data of the OT terminal 30 is analyzed by the IT terminal 30. As for the communication in this case, it is exceptionally necessary to allow the communication between the IT terminal 30 and the OT terminal 30. In such a case, in the communication control system 1 according to the first embodiment, it is determined whether or not the communication between the IT system terminal 30 and the OT system terminal 30 performed during the observation period is individually permitted. It is possible to generate an appropriate whitelist 49 just by setting it.

***他の構成***
<変形例1>
実施の形態1では、各エッジ装置20が端末情報42の入力を受け付けた。これは、エッジ装置20の設置を担当した担当者等であれば、エッジ装置20に接続された端末30についての端末情報42を容易に知り得ると考えられるためである。
しかし、マスター装置10が端末情報42の入力を受け付けてもよい。例えば、各エッジ装置20に接続される端末30を通信制御システム1の管理者が把握しているような場合には、マスター装置10が端末情報42の入力を受け付けることが妥当である。さらにマスター装置10がエッジ装置20から端末30のIPアドレスとMACアドレスを収集したタイミングで、外部組織のデータベース、またはマスター装置10が設置された組織内のデータベースと照合し、グループ名と端末名とを取得するように構成してもよい。その場合、マスター装置10が自動的にアドレス41と対応する端末情報42を生成する。 *** Other configurations ***
<Modification 1>
In the first embodiment, each edge device 20 accepts the input of the terminal information 42. This is because it is considered that a person in charge of installing the edge device 20 can easily know the terminal information 42 about the terminal 30 connected to the edge device 20.
However, the master device 10 may accept the input of the terminal information 42. For example, when the administrator of the communication control system 1 knows the terminal 30 connected to each edge device 20, it is appropriate that the master device 10 accepts the input of the terminal information 42. Further, at the timing when the master device 10 collects the IP address and MAC address of the terminal 30 from the edge device 20, it collates with the database of the external organization or the database in the organization in which the master device 10 is installed, and the group name and the terminal name are obtained. May be configured to obtain. In that case, the master device 10 automatically generates the terminal information 42 corresponding to the address 41.

図13を参照して、変形例1に係るマスター装置10の構成を説明する。
マスター装置10は、機能構成要素として、端末情報受付部119を備える点が、図2に示すマスター装置10と異なる。 The configuration of the master device 10 according to the first modification will be described with reference to FIG.
The master device 10 is different from the master device 10 shown in FIG. 2 in that it includes a terminal information receiving unit 119 as a functional component.

図14を参照して、変形例1に係る通信制御システム1の動作を説明する。
ステップS21の処理は、図4のステップS11の処理と同じである。また、ステップS24からステップS29の処理は、図4のステップS14からステップS19の処理と同じである。
ステップS22では、各エッジ装置20のアドレス送信部213は、ステップS21で取得されたアドレス41をマスター装置10に送信する。つまり、アドレス送信部213
は、端末情報42が付加されていない状態でアドレス41をマスター装置10に送信する。ステップS23では、マスター装置10の端末情報受付部119は、各エッジ装置20から送信された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。 The operation of the communication control system 1 according to the first modification will be described with reference to FIG.
The process of step S21 is the same as the process of step S11 of FIG. Further, the processing from step S24 to step S29 is the same as the processing from step S14 to step S19 in FIG.
In step S22, the address transmission unit 213 of each edge device 20 transmits the address 41 acquired in step S21 to the master device 10. That is, the address transmitter 213
Sends the address 41 to the master device 10 in a state where the terminal information 42 is not added. In step S23, the terminal information receiving unit 119 of the master device 10 receives the input of the terminal information 42 for the terminal 30 indicated by each address 41 transmitted from each edge device 20.

なお、一部のアドレス41についての端末情報42はエッジ装置20が受け付け、残りのアドレス41についての端末情報42はマスター装置10が受け付けるといった構成でもよい。 The terminal information 42 for a part of the addresses 41 may be received by the edge device 20, and the terminal information 42 for the remaining addresses 41 may be received by the master device 10.

<変形例2>
実施の形態1では、ホワイトリスト49は、同じグループに分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可し、残りの通信については遮断するように設定された。ホワイトリスト49は、残りの通信については遮断しつつ、ログを取得するように設定されてもよい。
この場合には、図4のステップS19では、各エッジ装置20の通信制御部217は、ホワイトリスト49に従い遮断するように設定されている通信については遮断する。この際、ログ取得部215は、遮断された通信のログを取得する。定期的にあるいは任意のタイミングに、通信制御部217は、ログからログデータ47を生成してマスター装置10に送信する。ログデータ47が送信された場合に、設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。そして、ホワイトリスト生成部117は、通信を許可するという設定を受け付けた場合に、ホワイトリスト49に設定を追加する。
これにより、観測期間に行われなかった異なるグループ44の端末30間の通信に、許可されるべき通信が含まれる場合に、観測期間の後にホワイトリスト49に追加することが可能になる。 <Modification 2>
In the first embodiment, the whitelist 49 is set to allow communication between addresses classified in the same group and communication between addresses set to be permitted, and to block the remaining communication. The whitelist 49 may be set to acquire logs while blocking the rest of the communication.
In this case, in step S19 of FIG. 4, the communication control unit 217 of each edge device 20 blocks the communication set to be blocked according to the whitelist 49. At this time, the log acquisition unit 215 acquires the log of the blocked communication. Periodically or at an arbitrary timing, the communication control unit 217 generates log data 47 from the log and transmits it to the master device 10. When the log data 47 is transmitted, the setting reception unit 116 accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired. Then, when the whitelist generation unit 117 accepts the setting to allow communication, the whitelist generation unit 117 adds the setting to the whitelist 49.
This makes it possible to add to the whitelist 49 after the observation period if the communication between the terminals 30 of different groups 44 that was not performed during the observation period includes the communication to be permitted.

<変形例3>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。 <Modification 3>
In the first embodiment, each functional component is realized by software. However, as a modification 3, each functional component may be realized by hardware. The difference between the third modification and the first embodiment will be described.

各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。 When each functional component is realized by hardware, the master device 10 includes an electronic circuit instead of the processor 11, the memory 12, and the storage 13. The electronic circuit is a dedicated circuit that realizes the functions of each functional component, the memory 12, and the storage 13.
Similarly, when each functional component is implemented in hardware, the edge device 20 comprises an electronic circuit in place of the processor 21, memory 22, and storage 23. The electronic circuit is a dedicated circuit that realizes the functions of each functional component, the memory 22, and the storage 23.

電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。 As the electronic circuit, a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA (Gate Array), an ASIC (Application Specific Integrated Circuit), and an FPGA (Field-Programmable Gate Array) are assumed. Will be done.
Each functional component may be realized by one electronic circuit, or each functional component may be distributed and realized by a plurality of electronic circuits.

<変形例4>
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。 <Modification example 4>
As a modification 4, some functional components may be realized by hardware, and other functional components may be realized by software.

プロセッサ11,21とメモリ12,22とストレージ13,23と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。 A processor 11, 21, a memory 12, 22, a storage 13, 23, and an electronic circuit are called a processing circuit. That is, the function of each functional component is realized by the processing circuit.

実施の形態2.
実施の形態2では、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続された場合について説明する。実施の形態2では、実施の形態1と同一の点については説明を省略する。 Embodiment 2.
In the second embodiment, a case where a new terminal 30 is connected to the edge device 20 after the operation of the communication control system 1 is started will be described. In the second embodiment, the same points as those in the first embodiment will be omitted.

***動作の説明***
図15を参照して、実施の形態2に係る通信制御システム1の動作を説明する。
(図15のステップS31:設定追加処理)
マスター装置10の設定受付部116は、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続されると、追加された端末30についてのアドレス41及び端末情報42を端末テーブル43に追加する。具体的には、通信制御システム1の管理者によって、追加された端末30についてのアドレス41及び端末情報42が入力される。そして、設定受付部116は、入力されたアドレス41及び端末情報42を端末テーブル43に追加する。 *** Explanation of operation ***
The operation of the communication control system 1 according to the second embodiment will be described with reference to FIG.
(Step S31 in FIG. 15: Setting addition process)
When a new terminal 30 is connected to the edge device 20 after the operation of the communication control system 1 is started, the setting receiving unit 116 of the master device 10 displays the address 41 and the terminal information 42 of the added terminal 30 in the terminal table 43. Add to. Specifically, the administrator of the communication control system 1 inputs the address 41 and the terminal information 42 for the added terminal 30. Then, the setting reception unit 116 adds the input address 41 and the terminal information 42 to the terminal table 43.

また、設定受付部116は、追加された端末30について、異なるグループ44の端末30と通信が必要な場合には、設定をホワイトリスト49に追加する。具体的には、通信制御システム1の管理者によって、許可する通信の設定が入力される。設定受付部116は、入力された設定をホワイトリスト49に追加する。 Further, the setting receiving unit 116 adds the setting to the whitelist 49 when the added terminal 30 needs to communicate with the terminal 30 of a different group 44. Specifically, the administrator of the communication control system 1 inputs the setting of the permitted communication. The setting reception unit 116 adds the input setting to the whitelist 49.

(図15のステップS32:再送付処理)
マスター装置10のホワイトリスト生成部117は、ステップS31でアドレス41及び端末情報42が追加された端末テーブル43と、設定が追加されたホワイトリスト49とを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、端末テーブル43及びホワイトリスト49を受信する。 (Step S32 in FIG. 15: Resending process)
The whitelist generation unit 117 of the master device 10 transmits the terminal table 43 to which the address 41 and the terminal information 42 are added in step S31 and the whitelist 49 to which the settings are added to each edge device 20. Then, the list receiving unit 214 of each edge device 20 receives the terminal table 43 and the white list 49.

(図15のステップS33:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS32で受信したホワイトリスト49に従い、通信を制御する。 (Step S33 in FIG. 15: Communication control process)
The communication control unit 217 of each edge device 20 controls communication according to the whitelist 49 received in step S32.

***実施の形態2の効果***
以上のように、実施の形態2に係る通信制御システム1では、運用開始後にエッジ装置20に新たな端末30が接続された場合には、新たな端末30についての設定がホワイトリスト49に追加される。つまり、新たな端末30が接続されても、再び観測期間を設けてログを取得する必要がない。そのため、新たな端末30が接続された場合にすぐに適切なホワイトリスト49で運用を開始することが可能である。 *** Effect of Embodiment 2 ***
As described above, in the communication control system 1 according to the second embodiment, when a new terminal 30 is connected to the edge device 20 after the start of operation, the setting for the new terminal 30 is added to the whitelist 49. To. That is, even if a new terminal 30 is connected, it is not necessary to set an observation period again and acquire the log. Therefore, when a new terminal 30 is connected, it is possible to immediately start operation with an appropriate whitelist 49.

なお、新たな端末30は、必要になったために追加されるので、役割は明確であると想定される。したがって、通信制御システム1の管理者は、新たな端末30については、アドレス41及び端末情報42と、異なるグループ44の端末30と通信が必要か否かといったことは把握されていると認められる。 Since the new terminal 30 is added because it is needed, it is assumed that the role is clear. Therefore, it is recognized that the administrator of the communication control system 1 is aware of the address 41 and the terminal information 42 and whether or not communication with the terminal 30 of a different group 44 is necessary for the new terminal 30.

以上をまとめると、以下のようになる。
本開示に係る通信制御システムは、複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信部と、
前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と
を備え、
前記複数のエッジ装置それぞれは、
前記分類部によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The above can be summarized as follows.
The communication control system according to the present disclosure is a communication control system including a plurality of edge devices and a master device.
The master device is
An address receiving unit that receives the address of the terminal connected to the edge device from each of the plurality of edge devices.
The address receiving unit includes a classification unit that classifies the address of the terminal received by the address receiving unit into a plurality of groups based on the terminal information of the terminal.
Each of the plurality of edge devices
It is provided with a log acquisition unit that acquires a log of communication between addresses classified into different groups by the classification unit.
The master device further
A setting reception unit that accepts settings for whether or not to allow communication between addresses for which logs have been acquired by the log acquisition unit, and a setting reception unit.
It includes a whitelist generation unit that generates a whitelist that permits communication between addresses classified into the same group by the classification unit and communication between addresses set when communication is permitted by the setting reception unit.

前記マスター装置は、さらに、
前記ホワイトリスト生成部によって生成された前記ホワイトリストを、前記複数のエッジ装置それぞれに送信するホワイトリスト送信部
を備え、
前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリスト送信部によって送信された前記ホワイトリストに従い、通信を制御する通信制御部
を備える。 The master device further
A whitelist transmission unit for transmitting the whitelist generated by the whitelist generation unit to each of the plurality of edge devices is provided.
Each of the plurality of edge devices further
A communication control unit that controls communication according to the whitelist transmitted by the whitelist transmission unit is provided.

前記ログ取得部は、観測期間の間、前記ログを取得し、
前記複数のエッジ装置それぞれは、さらに、
前記観測期間が終わると、前記ログ取得部によって取得された前記ログを前記マスター装置に送信するログ送信部
を備える。 The log acquisition unit acquires the log during the observation period.
Each of the plurality of edge devices further
When the observation period ends, the log transmission unit includes a log transmission unit that transmits the log acquired by the log acquisition unit to the master device.

前記マスター装置は、さらに、
前記分類部によって異なるグループに分類されたアドレス間を指定する検査リストを前記複数のエッジ装置それぞれに送信する検査リスト送信部
を備え、
前記ログ取得部は、前記検査リスト送信部によって送信された前記検査リストによって指定されたアドレス間の通信のログを取得する。 The master device further
It is provided with an inspection list transmission unit that transmits an inspection list designating between addresses classified into different groups by the classification unit to each of the plurality of edge devices.
The log acquisition unit acquires a log of communication between addresses specified by the inspection list transmitted by the inspection list transmission unit.

前記ホワイトリスト生成部は、前記複数のエッジ装置のうちのいずれかのエッジ装置に新たな端末が接続され、かつ、前記新たな端末が異なるグループの端末と通信することを許可する場合に、前記ホワイトリストを更新する。 The whitelist generator is the case where a new terminal is connected to any of the plurality of edge devices and the new terminal is allowed to communicate with a terminal of a different group. Update the whitelist.

本開示に係るマスター装置は、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受
信するアドレス受信部と、
前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と、
前記分類部によって異なるグループに分類されたアドレス間の通信のログを前記複数のエッジ装置それぞれから受信するログ受信部と、
前記ログ受信部によってログが受信されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。 The master device according to the present disclosure is
An address receiving unit that receives the address of the terminal connected to the edge device from each of the plurality of edge devices.
A classification unit that classifies the address of the terminal received by the address receiving unit into a plurality of groups based on the terminal information of the terminal, and a classification unit.
A log receiving unit that receives communication logs between addresses classified into different groups by the classification unit from each of the plurality of edge devices, and a log receiving unit.
A setting receiving unit that accepts a setting of whether or not to allow communication between addresses for which logs are received by the log receiving unit, and a setting receiving unit.
It includes a whitelist generation unit that generates a whitelist that permits communication between addresses classified into the same group by the classification unit and communication between addresses set when communication is permitted by the setting reception unit.

本開示に係る通信制御方法は、
マスター装置が、複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信し、
前記マスター装置が、前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類し、
前記複数のエッジ装置それぞれが、異なるグループに分類されたアドレス間の通信のログを取得し、
前記マスター装置が、前記ログが取得されたアドレス間の通信を許可するか否かの設定を受け付け、
前記マスター装置が、同じグループに分類されたアドレス間の通信と、通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成する。 The communication control method according to the present disclosure is
The master device receives the address of the terminal connected to the edge device from each of the plurality of edge devices, and receives the address of the terminal connected to the edge device.
The master device classifies the address of the terminal into a plurality of groups based on the terminal information of the terminal.
Each of the plurality of edge devices acquires a log of communication between addresses classified into different groups, and obtains a log of communication.
The master device accepts the setting of whether or not to allow communication between the addresses from which the logs have been acquired.
The master device generates a whitelist that allows communication between addresses classified in the same group and communication between addresses that are set to allow communication.

本開示に係る通信制御プログラムは、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信処理と、
前記アドレス受信処理によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類処理と、
前記分類処理によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得処理と、
前記ログ取得処理によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付処理と、
前記分類処理によって同じグループに分類されたアドレス間の通信と、前記設定受付処理によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成処理と
を行う通信制御システムとしてコンピュータを機能させる。 The communication control program related to this disclosure is
Address reception processing for receiving the address of the terminal connected to the edge device from each of the plurality of edge devices, and
A classification process for classifying the address of the terminal received by the address reception process into a plurality of groups based on the terminal information of the terminal, and a classification process.
A log acquisition process for acquiring a log of communication between addresses classified into different groups by the classification process, and a log acquisition process.
The setting acceptance process that accepts the setting of whether to allow communication between the addresses for which logs have been acquired by the log acquisition process, and the setting acceptance process.
Communication control that performs a whitelist generation process that generates a whitelist that permits communication between addresses classified into the same group by the classification process and communication between addresses set to allow communication by the setting acceptance process. Make your computer function as a system.

以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。 The embodiments and modifications of the present disclosure have been described above. Some of these embodiments and modifications may be combined and carried out. In addition, any one or several may be partially carried out. The present disclosure is not limited to the above embodiments and modifications, and various modifications can be made as necessary.

1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、111 アドレス受信部、112 分類部、113 検査リスト生成部、114 検査リスト送信部、115 ログ受信部、116 設定受付部、117 ホワイトリスト生成部、118 ホワイトリスト送信部、119 端末情報受付部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、211 アドレス取得部、212 端末情報受付部、213 アドレス送信部、214 リスト受信部、215 ログ取得部、216 ログ送信部、217 通信制御部、30 端末、41 アドレス、42 端末情報、43 端末テーブル、44 グループ、45 検査リスト、46 検査用アクセスリスト、47 ログデータ、48 異グループ間通信リスト、49 ホワイトリスト、90 ネットワーク機器。 1 communication control system, 10 master device, 11 processor, 12 memory, 13 storage, 14 communication interface, 111 address receiver, 112 classification unit, 113 inspection list generator, 114 inspection list transmitter, 115 log receiver, 116 settings Reception unit, 117 whitelist generation unit, 118 whitelist transmission unit, 119 terminal information reception unit, 20 edge device, 21 processor, 22 memory, 23 storage, 24 communication interface, 211 address acquisition unit, 212 terminal information reception unit, 213 Address transmitter, 214 list receiver, 215 log acquisition unit, 216 log transmitter, 217 communication control unit, 30 terminals, 41 address, 42 terminal information, 43 terminal table, 44 groups, 45 inspection list, 46 inspection access list , 47 log data, 48 intergroup communication list, 49 whitelist, 90 network equipment.

Claims (9)

複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記複数のエッジ装置それぞれは、
前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える通信制御システム。 It is a communication control system equipped with multiple edge devices and a master device.
Each of the plurality of edge devices
Acquire a communication log between addresses classified into different groups in a group list in which the addresses of terminals connected to any of the plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal. Equipped with a log acquisition unit
The master device further
A setting reception unit that accepts settings for whether or not to allow communication for which logs have been acquired by the log acquisition unit, and a setting reception unit.
Communication control including a whitelist generation unit that generates a whitelist that permits communication between addresses classified into the same group in the group list and communication for which communication is permitted by the setting reception unit. system. 前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリストに従い通信を制御する通信制御部であって、前記ホワイトリストで許可されていない通信については遮断する通信制御部を備え、
前記ログ取得部は、前記通信制御部により遮断された通信のログを取得し、
前記設定受付部は、前記ログ取得部によってログが取得された通信であって、遮断された通信を許可するか否かの設定を受け付け、
前記ホワイトリスト生成部は、前記設定受付部によって通信を許可すると設定された通信を許可する通信として、前記ホワイトリストに追加することを特徴とする請求項1に記載の通信制御システム。 Each of the plurality of edge devices further
A communication control unit that controls communication according to the whitelist, and includes a communication control unit that blocks communication that is not permitted by the whitelist.
The log acquisition unit acquires a log of communication blocked by the communication control unit.
The setting reception unit accepts a setting of whether or not to allow blocked communication, which is communication for which a log has been acquired by the log acquisition unit.
The communication control system according to claim 1, wherein the whitelist generation unit is added to the whitelist as communication that permits communication set to allow communication by the setting reception unit. 前記マスター装置は、さらに、
前記ホワイトリスト生成部によって生成された前記ホワイトリストを、前記複数のエッ
ジ装置それぞれに送信するホワイトリスト送信部
を備え、
前記複数のエッジ装置それぞれは、さらに、
前記ホワイトリスト送信部によって送信された前記ホワイトリストに従い、通信を制御
する通信制御部
を備える請求項1又は2に記載の通信制御システム。 The master device further
A whitelist transmission unit for transmitting the whitelist generated by the whitelist generation unit to each of the plurality of edge devices is provided.
Each of the plurality of edge devices further
The communication control system according to claim 1 or 2, further comprising a communication control unit that controls communication according to the whitelist transmitted by the whitelist transmission unit. 前記ログ取得部は、観測期間の間、前記ログを取得し、
前記複数のエッジ装置それぞれは、さらに、
前記観測期間が終わると、前記ログ取得部によって取得された前記ログを前記マスター
装置に送信するログ送信部
を備える請求項1から3までのいずれか1項に記載の通信制御システム。 The log acquisition unit acquires the log during the observation period.
Each of the plurality of edge devices further
The communication control system according to any one of claims 1 to 3, further comprising a log transmission unit that transmits the log acquired by the log acquisition unit to the master device when the observation period ends. 前記マスター装置は、さらに、
前記グループリストにおいて異なるグループに分類されたアドレス間を指定する検査リストを前記複数のエッジ装置それぞれに送信する検査リスト送信部
を備え、
前記ログ取得部は、前記検査リスト送信部によって送信された前記検査リストによって
指定されたアドレス間の通信のログを取得する
請求項1から4までのいずれか1項に記載の通信制御システム。 The master device further
It is provided with an inspection list transmission unit that transmits an inspection list designating between addresses classified into different groups in the group list to each of the plurality of edge devices.
The communication control system according to any one of claims 1 to 4, wherein the log acquisition unit acquires a log of communication between addresses designated by the inspection list transmitted by the inspection list transmission unit. 前記ホワイトリスト生成部は、前記複数のエッジ装置のうちのいずれかのエッジ装置に
新たな端末が接続され、かつ、前記新たな端末が異なるグループの端末と通信することを
許可する場合に、前記ホワイトリストを更新する
請求項1から5までのいずれか1項に記載の通信制御システム。 The whitelist generator is the case where a new terminal is connected to any of the plurality of edge devices and the new terminal is allowed to communicate with a terminal of a different group. The communication control system according to any one of claims 1 to 5, which updates the whitelist. 複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを前記複数のエッジ装置それぞれから受信するログ受信部と、
前記ログ受信部によってログが受信された通信を許可するか否かの設定を受け付ける設定受付部と、
前記グループリストによって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備えるマスター装置。 In the group list in which the addresses of terminals connected to one of a plurality of edge devices are classified into a plurality of groups based on the terminal information of the terminal, the log of communication between the addresses classified into different groups is recorded. Log receivers received from each of the edge devices of
A setting receiving unit that accepts a setting of whether or not to allow communication for which a log has been received by the log receiving unit, and a setting receiving unit.
A master device including a whitelist generation unit that generates a whitelist that permits communication between addresses classified into the same group by the group list and communication that is accepted by the setting reception unit for allowing communication. .. 複数のエッジ装置それぞれが、前記複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得し、
マスター装置が、前記ログが取得されたアドレス間の通信を許可するか否かの設定を受け付け、
前記マスター装置が、前記グループリストにおいて同じグループに分類されたアドレス間の通信と、通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成する通信制御方法。 Each of the plurality of edge devices is an address classified into a different group in a group list in which the address of a terminal connected to one of the plurality of edge devices is classified into a plurality of groups based on the terminal information of the terminal. Get the log of communication between
The master device accepts the setting of whether to allow communication between the addresses from which the log was acquired, and accepts the setting.
A communication control method in which the master device generates a white list that permits communication between addresses classified into the same group in the group list and communication for which a setting to allow communication is accepted. 複数のエッジ装置のうちいずれかのエッジ装置に接続された端末のアドレスを前記端末の端末情報に基づき複数のグループに分類したグループリストにおいて異なるグループに分類されたアドレス間の通信のログを取得するログ取得処理と、
前記ログ取得処理によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付処理と、
前記グループリストにおいて同じグループに分類されたアドレス間の通信と、前記設定受付処理によって通信を許可するとの設定が受け付けされた通信とを許可するホワイトリストを生成するホワイトリスト生成処理と
を行う通信制御システムとしてコンピュータを機能させる通信制御プログラム。 Acquire a communication log between addresses classified into different groups in a group list in which the addresses of terminals connected to any of the edge devices are classified into a plurality of groups based on the terminal information of the terminal. Log acquisition process and
The setting acceptance process that accepts the setting of whether to allow communication between the addresses for which logs have been acquired by the log acquisition process, and the setting acceptance process.
Communication control that performs a whitelist generation process that generates a whitelist that permits communication between addresses classified into the same group in the group list and communication for which communication is permitted by the setting acceptance process. A communication control program that makes a computer function as a system.
JP2021118367A 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program Active JP7086257B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021118367A JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020003790A JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program
JP2021118367A JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020003790A Division JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program

Publications (2)

Publication Number Publication Date
JP2021166414A JP2021166414A (en) 2021-10-14
JP7086257B2 true JP7086257B2 (en) 2022-06-17

Family

ID=77060300

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020003790A Active JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program
JP2021118367A Active JP7086257B2 (en) 2020-01-14 2021-07-19 Communication control system, master device, communication control method and communication control program

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2020003790A Active JP6917482B2 (en) 2020-01-14 2020-01-14 Communication control system, master device, communication control method and communication control program

Country Status (1)

Country Link
JP (2) JP6917482B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7209792B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system
JP7209791B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system
JP7573693B1 (en) 2023-06-19 2024-10-25 三菱電機株式会社 Edge device, communication control method, communication control program, and communication control system
JP7573692B1 (en) 2023-06-19 2024-10-25 三菱電機株式会社 Master device, communication control method, communication control program, and communication control system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3205933B2 (en) 1989-11-27 2001-09-04 ザ・クロロックス・カンパニー Gel-like insecticidal composition
JP2002513245A (en) 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2016171449A (en) 2015-03-12 2016-09-23 株式会社東芝 White list creation system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2782683B2 (en) * 1989-10-19 1998-08-06 三菱電機株式会社 Communication method and node device in LAN
JP4279792B2 (en) * 2005-03-17 2009-06-17 ソフトバンクテレコム株式会社 Communication control system and method
JP2010178089A (en) * 2009-01-29 2010-08-12 Daikin Ind Ltd Remote management system, remote management apparatus and connection device
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
JP6558279B2 (en) * 2016-03-08 2019-08-14 富士通株式会社 Information processing system, information processing apparatus, information processing method, information processing program
JP2018019160A (en) * 2016-07-26 2018-02-01 富士通株式会社 Network controller, and access control method
US10212577B2 (en) * 2016-11-03 2019-02-19 Hewlett Packard Enterprise Development Lp Roaming on low power wide area networks
WO2018101452A1 (en) * 2016-11-30 2018-06-07 株式会社Lte-X Communication method and relay apparatus
JP6655658B2 (en) * 2018-06-01 2020-02-26 西日本電信電話株式会社 Communication destination limitation system, communication destination limitation device, management device, communication destination limitation method, and computer program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3205933B2 (en) 1989-11-27 2001-09-04 ザ・クロロックス・カンパニー Gel-like insecticidal composition
JP2002513245A (en) 1998-04-27 2002-05-08 インターエヌエイピー・ネットワーク・サービシーズ・コーポレイション Establish a connection in the network
JP2016171449A (en) 2015-03-12 2016-09-23 株式会社東芝 White list creation system

Also Published As

Publication number Publication date
JP2021111905A (en) 2021-08-02
JP2021166414A (en) 2021-10-14
JP6917482B2 (en) 2021-08-11

Similar Documents

Publication Publication Date Title
JP7086257B2 (en) Communication control system, master device, communication control method and communication control program
US8156503B2 (en) System, method and computer program product for accessing a memory space allocated to a virtual machine
US8650567B2 (en) Virtual machine monitoring method, system and computer readable storage medium
US20050102395A1 (en) Systems and methods for controlling the number of clients that access a server
US8712917B2 (en) Software execution management apparatus, method, and computer-readable medium thereof
CN107305613B (en) System and method for protecting audio data transmission from microphone to application process
US20200220724A1 (en) Key management device, and communication apparatus
US20120330498A1 (en) Secure data store for vehicle networks
CN113162943A (en) Method, device, equipment and storage medium for dynamically managing firewall policy
US20040205375A1 (en) Method and apparatus for testing network system, and computer-readable medium encoded with program for testing network system
CN109905352B (en) Method, device and storage medium for auditing data based on encryption protocol
CN107919959B (en) Method, system, apparatus, and computer-readable storage medium for authentication of a new device by a trusted device
US20150261810A1 (en) Data transfer apparatus and method
CN113132364A (en) ARP (Address resolution protocol) draft table item generation method and electronic equipment
CN110932982B (en) Maintenance method and device of hardware routing table
US10981523B2 (en) In-vehicle network system and communication setting method
US10938836B2 (en) Transmitting secure information
CN117272358A (en) Data storage encryption method, device, electronic equipment and computer program product
JP7573692B1 (en) Master device, communication control method, communication control program, and communication control system
JP7573693B1 (en) Edge device, communication control method, communication control program, and communication control system
CN111859414A (en) Mounting method and device of file system and storage medium
JP2003223444A (en) Computer system and program to control computer system
CN115543361B (en) File burning method, device, electronic equipment and storage medium
JP2020191614A (en) Information processor, information processing method and program
CN116501680B (en) I2C bus communication method, slave device, master device and I2C network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210719

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220607

R150 Certificate of patent or registration of utility model

Ref document number: 7086257

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150