JP7114769B2 - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP7114769B2
JP7114769B2 JP2021034990A JP2021034990A JP7114769B2 JP 7114769 B2 JP7114769 B2 JP 7114769B2 JP 2021034990 A JP2021034990 A JP 2021034990A JP 2021034990 A JP2021034990 A JP 2021034990A JP 7114769 B2 JP7114769 B2 JP 7114769B2
Authority
JP
Japan
Prior art keywords
communication port
frame
communication
end terminal
criteria
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021034990A
Other languages
English (en)
Other versions
JP2021083128A (ja
Inventor
和彦 上原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
NEC Corp
Original Assignee
NEC Platforms Ltd
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd, NEC Corp filed Critical NEC Platforms Ltd
Priority to JP2021034990A priority Critical patent/JP7114769B2/ja
Publication of JP2021083128A publication Critical patent/JP2021083128A/ja
Priority to JP2022118407A priority patent/JP2022160511A/ja
Application granted granted Critical
Publication of JP7114769B2 publication Critical patent/JP7114769B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信の監視をするための、監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラムに関する。
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。従い、工場内の工作機器、センサやカメラといったエンドポイントの端末(以下、「エンド端末」と呼ぶ。)もインターネットに接続されることとなる。
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)、ウイルスといった手段を用いた、悪意のある者からの脅威にさらされることにもなる。
そこで、このような脅威からエンド端末を守る手段として、エンド端末にウイルス対策ソフトをインストールすることがまず考えられる。
例えば、特許文献1の明細書段落番号[0007]や[0008]には、ウイルスや、ハッカー等によるデータ破壊に対抗するために、システム内に含まれるエンド端末のそれぞれにウイルス対策ソフトウェア搭載することにより、悪意のある者からの脅威から、エンド端末を守ることが記載されている。
また、悪意のある者からの脅威からエンド端末を守るための他の手段としては、例えば、これらのエンド端末を制御するLAN(Local Area Network)と、インターネットとの接続部分においてファイアウォールを設けることが考えられる。このようにしてファイアウォールを設ければ、インターネットを介した悪意のある者からの脅威から、エンド端末を守ることが可能となる。
特開2015-72704号公報
上述したように、各エンド端末にウイルス対策ソフトをインストールしたり、ファイアウォールを設けたりすることにより、エンド端末を守ることができる。
しかしながら、上記の説明で一例として挙げた、工場やプラントに設置されている、工作端末、センサ及びカメラといったエンド端末には、汎用OS(Operating System)が実装されてない場合が多く、この場合ウイルス対策ソフトをインストールすることができない。
そのため、ウイルス対策ソフトによってエンド端末を脅威から守ることができず、エンド端末がウイルスなどに感染し、想定しない宛先にフレームを送付したり、想定外の量のフレームを送信し、回線を圧迫したりする。また、ファイアウォールなど専用アプライアンスは、インターネットと内部LANの出入り口に配置されるため、内部LANに接続されたエンド端末同士の想定していない通信(例えば、ウイルス感染に起因する異常な通信)や、エンド端末の故障等により生じるエンド端末固有の異常な通信の検出はできない。
つまり、特許文献1等に記載の既存の技術では、不適切な通信を防止することが困難であった。
そこで、本発明は、不適切な通信を防止することが可能な、監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラムを提供することを目的とする。
本発明の第1の観点によれば、所定の処理の対象とするデータの条件のリストを記憶する記憶手段と、データの解析を行う解析手段と、を備えた監視装置であって、前記解析手段は、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視装置が提供される。
本発明の第2の観点によれば、上記本発明の第1の観点により提供される監視装置を複数含むと共に、前記端末も複数含む通信システムであって、前記複数の端末のそれぞれは、前記複数の監視装置の内の少なくとも何れかの監視装置に接続されることを特徴とする通信システムが提供される。
本発明の第3の観点によれば、上記本発明の第1の観点により提供される監視装置を複数含むと共に、前記端末を接続するための複数のポートも複数含むスイッチであって、前記ポートのそれぞれは、前記複数の監視装置の内の少なくとも何れかに対応し、前記端末のそれぞれは、自端末が接続されるポートに対応する監視装置にも接続されることを特徴とするスイッチが提供される。
本発明の第4の観点によれば、上記本発明の第1の観点により提供される監視装置と該監視装置に接続された前記端末とを含む通信装置であって、前記端末は、前記監視装置を介して通信を行うことを特徴とする通信装置が提供される。
本発明の第5の観点によれば、所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えた監視装置が行う監視方法であって、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視方法が提供される。
本発明の第6の観点によれば、所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えたコンピュータを監視装置として機能させる監視プログラムであって、前記コンピュータを、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なう監視装置として機能させることを特徴とする監視プログラムが提供される。
本発明によれば、不適切な通信を防止することが可能となる。
本発明の各実施形態全体の基本的構成を表す図である。 本発明の第1の実施形態における監視装置に含まれる機能ブロック図である。 本発明の各実施形態における第1の監視装置におけるフローリストの一例を表す図である。 本発明の各実施形態における第2の監視装置におけるフローリストの一例を表す図である。 本発明の各実施形態における第Nの監視装置におけるフローリストの一例を表す図である。 本発明の各実施形態における第Mの監視装置におけるフローリストの一例を表す図である。 本発明の第1の実施形態における基本的動作を表すフローチャートである。 本発明の各実施形態における第Mの監視装置が受信したフレームの一例及び解析部に設定されたフローリストに関しての設定例を表す図である。 本発明の第2の実施形態における監視装置に含まれる機能ブロック図である。 本発明の第2の実施形態における登録期間での基本的動作を表すフローチャートである。 本発明の第2の実施形態における登録期間にて第Mの監視装置が受信したフレームの一例及び解析部に設定された登録期間における関しての設定例を表す図である。 本発明の各実施形態全体の基本的構成の変形例の1つを表す図である。 本発明の各実施形態全体の基本的構成の変形例の1つを表す図である。
次に、本発明の第1の実施形態と第2の実施形態それぞれの概略を説明する。
まず本発明の第1の実施形態では、各エンド端末それぞれに対して監視装置を接続し、各エンド端末がこの監視装置を介して他のエンド端末とフレームを送受信する構成とする。そして、監視装置は、各エンド端末が送信又は受信するフレームを監視する。そして、監視結果に応じて、フレームを通過させたり、フレームを通過させずに廃棄等したりといった処理を行う。
これにより、通過させるべきフレームを通過させ、通過させるべきではないと考えられる想定外の不適切なフレームを通過させないことが可能となり、不適切な通信を防止することが可能となる。
ここで、通過させるべきフレームであるか否かの判定方法としては、例えば、マルウェア感染やDos攻撃に関連すると考えられる送信元や宛先のアドレス等や、プロトコル種別等をリストとして用意しておき、このリストとフレームを比較することにより判定を行うという方法が考えられる。
しかしながら、未知の通信先からの未知の攻撃を新たに受けること等も考えられるため、問題があると考えられる全ての通信先のアドレス等やプロトコル種別等を1つ残らず網羅してリスト化するのは非常に困難である。
そこで、本発明の第1の実施形態では、問題があると考えられる通信先を特定するアドレス等やプロトコル種別等をリストとするのではなく、問題の無いと考えられる通信先を特定するアドレス等やプロトコル種別等をリストとし、このリストに合致するフレームについては例えば転送を許可し、このリストに合致しないフレームについては例えば破棄する、という方法を採用する。
更に、本発明の第2の実施形態では、かかるリストの少なくとも一部を自動的に生成する機能を更に追加する。
具体的には、監視装置に、登録期間と運用期間を設ける。そして、登録期間において監視装置に入力したフレームから抽出した情報をリストに追加することによりリストを自動生成する。ただし、このとき、自動生成したリストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。
その後、登録期間から運用期間に切り替え、監視装置に入力したフレームの情報と、登録期間で自動生成したリストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等することを継続する。
これにより、リストの自動生成及びリストによるセキュリティ管理を行うことができる。
次に、図面を参照して各実施形態について詳細に説明をする。
<第1の実施形態>
図1を参照すると本実施形態は、複数の監視装置100、複数のエンド端末200、スイッチ300、PLC400、PC500、ファイアウォール装置600、インターネット700、第1のネットワーク800、第2のネットワーク900及び設定用端末1000を含む。
なお、以下の説明において、第1の監視装置100-1、第2の監視装置100-2、第Nの監視装置100-N及び100-Mの何れかを特定する場合には、第1の監視装置100-1や第Nの監視装置100-Nのように末尾の数字やアルファベットまで表記するが、何れかを特定しない場合には、単に監視装置100と表記する。例えば、各監視装置100において共通する構成等を説明する場合には、単に監視装置100と表記する。同様に、何れかを特定しない場合には、単にエンド端末200と表記する。また、本例において、Nは「3以上の自然数」であり、Mは「Nに1を加算した自然数」であるとする。
次に、これら各機器の接続について説明する。本実施形態において、PLC400やPC500は、第1のネットワーク800において通信を行う。ここで、第1のネットワーク800は、例えば、工場やプラントに併設されたオフィスに構築されたLAN(Local Area Network)である。また、第1のネットワーク800には、任意の機器を接続でき、例えば、プリンター等の他の図示をしていない機器が含まれていても良い。第1のネットワーク800はインターネット700と接続されており、第1のネットワーク800とインターネット700の境界にはファイアウォール装置600が設けられている。そして、ファイアウォール装置600により、ウイルス等の不適切なデータの侵入等を防止している。
一方で、PLC400と、各エンド端末200は、第2のネットワーク900において通信を行う。ここで、第2のネットワーク900は、例えば、工場やプラントに構築された機器を制御するための制御ネットワークである。
ここで、上述のファイアウォール装置600は、インターネット700に存在する機器との間の通信において機能するが、各エンド端末200間の通信については機能しない。そこで、本実施形態では、各エンド端末200間での不適切な通信を防止するために、各エンド端末200に、一対一の関係で、監視装置100を接続する。
なお、第Nの監視装置100-Nについては、今後エンド端末200が接続される可能性があるが、現時点ではエンド端末200は接続されていないものとする。この点を表すために、図1において「(未配置)」と表す。
ここで、監視装置100は、スイッチ300を介して行なわれる、エンド端末200間の通信やエンド端末200とPLC400間の通信を監視するための監視装置である。
監視装置100は、上述したようにフローリストを利用した処理を行うことにより、悪意のある者等の行為により送信された不適切なフレームを廃棄等する。
ここで、監視装置100には、図中に「P0」「P1」と記載されているように、2つの接続用のポートが設けられている。そして、かかるポート「P0」にエンド端末200やPLC400が接続される。一方で、ポート「P1」には、スイッチ300が接続される。
なお、ポート「P1」とスイッチ300間には、図示を省略した中継装置等が更に存在しても良い。なぜならば、P1にて送受信されるフレームは、既に、何れかの監視装置100による監視が行なわれているフレームだからであり、かかるフレームはウイルス等に関連しない適切なフレームであり、中継装置による経路選択で本来の宛先に転送されるべきものだからである。
一方で、ポート「P0」とエンド端末スイッチ300間や、ポート「P0」とエンド端末100間には、経路選択を行う中継装置が存在しておらず、直接接続される構成にすることが好ましい。
その理由について説明する。例えば、第1のエンド端末200-1がウイルスに感染し、宛先が不適切な不要なフレームを大量に送信したような場合に、第1の監視装置100-1と第1のエンド端末200-1の間に中継装置が存在していると、かかる中継装置が、不要なフレームを他のエンド端末等に転送してしまうような場合があるからである。これを防ぐためには、「P0」とエンド端末スイッチ300間や、「P0」とPLC400間を、それぞれ直接接続し、例えば、第1のエンド端末200-1が送信するフレームを、まず第1の監視装置100-1にて全て監視する必要があるからである。
複数のエンド端末200は、それぞれが通信機能を有する端末である。エンド端末200は、スイッチ300を介して他のエンド端末200やPLC400との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control
Protocol)や、UDP(User Datagram Protocol)といった一般的なプロトコルに準拠して実行される。なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
また、エンド端末200は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。以下の説明では、第1のエンド端末200-1が、工場に設置された工作機械であり、第2のエンド端末200-2がセンサであると想定して説明を行う。
スイッチ300は、各エンド端末スイッチ300間や、各エンド端末スイッチ300とPLC400間で行なわれるフレームを、フレーム内の宛先アドレスに応じて転送する中継装置である。スイッチ300は、例えば、L2スイッチにより実現される。
PLC400は、工作機械を制御するPLC(Programmable Logic Controller)である。PLC400は、各エンド端末200に対して所定の動作指示を出したり、各エンド端末200の故障監視を行なったりするために、各エンド端末200との間でフレームを送受信する。
PC500は、第1のネットワーク800内で使用されるパーソナルコンピュータであり、ファイアウォール装置600を介してインターネット700に存在する他の装置と通信をしたり、PLC400と通信を行ったりする。
ファイアウォール装置600は、上述したようにファイアウォールを実現するための装置である。ファイアウォール装置600は、第1のネットワーク800とインターネット700間で送受信されるデータについての制御を行うことにより、例えば、意図しないソフトウェアによる通信等を防止することができる。
インターネット700、第1のネットワーク800及び第2のネットワーク900による接続については上述した通りである。
設定用端末1000は、各監視装置100に対しての設定を行ったり、各監視装置100からの通知を受信したりするための端末である。なお、図中では、設定用端末1000は、スイッチ300を介して各監視装置100と接続されているが、必ずしもこのようにスイッチ300を介する必要はない。つまり、スイッチ300を介することなく、設定用端末1000と各監視装置100とを直接接続するようにしてもよい。このようにスイッチ300を介することなく直接接続した場合であっても、設定用端末1000は、各監視装置100に対しての設定を行ったり、各監視装置100からの通知を受信したりすることができる。
ここで、設定用端末1000は、本実施形態を管理する管理者等により用いられる。設定用端末1000は、監視装置100を設定するための専用の端末で実現しても良いが、監視装置100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。設定用端末1000による設定や、監視装置100からの通知の具体的な内容については後述する。
次に、図2を参照して、監視装置100に含まれる機能ブロックについて説明をする。図2を参照すると、監視装置100は、フレーム解析部110、フローリスト生成部120及びフローリスト記憶部130を含む。
フレーム解析部110は、監視装置100が、ポート「P0」やポート「P1」において外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC-DA(Destination address))や、宛先アドレス(MAC-SA(Source address))を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。
更に、フレーム解析部110は、入力フレーム受信時に、受信した入力フレームからフレーム情報を抽出する。そして、抽出したフレーム情報と、フローリスト記憶部130が記憶しているフローリストに登録されているフレーム情報を比較する。そして、監視装置100は、比較の結果、一致した場合と、一致しなかった場合とで、それぞれ所定の動作を行う。
かかる所定の動作が具体的にどのような動作であるのかということは、「動作設定」として設定される。動作設定は、例えば、設定用端末1000からの指示や、監視装置100に設けられたディップスイッチ等により行なわれる。
例えば、フローリストに一致した場合には、対応するフレームを通過させるように設定できる。ここで、通過とは、受信した入力フレームを、フレーム解析部110を含む監視装置100を通過させて出力フレームとして出力するということである。ここで、ポート「P0」において受信した入力フレームは、ポート「P1」から出力フレームとしてされる。一方で、ポート「P1」において受信した入力フレームは、ポート「P0」から出力フレームとしてされる。
すなわち、本実施形態の監視装置100は、スイッチのようにルーティングを行う訳ではないので、通過の場合は、フレームが監視装置100を素通りするということである。
一方で、フローリストに一致しなかった場合には、比較したフレーム情報の抽出元のフレームである、対応するフレームを廃棄させるように設定できる。
また、これのみならず、フローリストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、フローリストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末1000により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
通知先は、例えば、設定用端末1000であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、監視装置100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、監視装置100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。なお、かかる記録を行うことを以下では、「ログを取る」と表現し、かかる記録を行なわないことを以下では、「ログを取らない」と表現する。
なお、フレーム解析部110が行う、通知やログを取るための出力を図2において「通知出力(記録)」と記載する。
フローリスト生成部120は、フローリスト記憶部130が記憶するフローリストを生成し、生成したフローリストをフローリスト記憶部130が記憶させる部分であるフローリスト生成部120による、フローリストの生成について説明をする。
まず、本実施形態を利用する管理者等のユーザは、設定用端末1000を利用して、各エンド端末200やPLC400が、ウイルス等に感染していない通常時に送受信する正規のフレームのフレーム情報をフローリスト生成部120に設定する。かかる設定を図2において「フロー設定」と記載する。
この点、前提として、各エンド端末200やPLC400は、予め想定される所定のフレームを所定の通信先と送受信する機器であり、想定外の通信先と想定外のフレームを送受信したり等はしないものと想定する。例えば、各エンド端末200やPLC400の機器仕様に基づいて、どのような所定のフレームを、どの通信先と送受信するかを特定することができる。
そのため、管理者等のユーザは、予め想定されるフレームのフレーム情報を知ることができ、これをフローリスト生成部120に設定することができる。
フローリスト生成部120は、設定用端末1000から設定されたフレーム情報を、フレーム解析部110が参照できるデータ構造に変換してフローリストとする。そして、作成したフローリストを、フローリスト記憶部130に登録する。
なお、本実施形態を利用する当初に、フローリスト生成部120によるフローリストを作成するが、その後、設定用端末1000からの設定にてフローリストが修正されるようにしても良い。
例えば、設定用端末1000を利用する管理者がフローリストの一部のフレーム情報を削除したり、新たなフレーム情報をフローリストに追加したりできるようにしても良い。このようにすれば、例えばエンド端末200を新たに追加するような場合に、フローリスト全体を再設定しなくとも、新たに追加するエンド端末200に関連するフレームを通過させることが可能となる。
また、他にも、例えば既存のエンド端末200を一部取り外した場合に、取り外したエンド端末200に関連するフレーム情報をフローリストから削除することができる。
フローリスト記憶部130は、フローリストを記憶する記憶部である。フローリスト記憶部130が記憶するフローリストは、上述したようにフローリスト生成部120により生成される。そして、フローリスト記憶部130が記憶するフローリストは、フレーム解析部110に参照されて利用される。
フローリストは、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各エンド端末200において利用されるプロトコルのフレームを特定するためのフレーム情報や、各エンド端末200において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報がフローリストに含まれる。
なお今回、フローリストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
次に、本実施形態において、各監視装置100それぞれにおいて、フローリスト生成部120に作成され、フローリスト記憶部130が記憶するフローリストの具体例について説明をする。
各エンド端末200やPLC400の機器仕様に基づいて、予め想定される正規のフレームは以下の通りであるとする。そして、以下のフレーム以外のフレームは、想定外の適切とは考えられないフレームであるとする。
<想定される正規のフレーム>
(1)各エンド端末200は、PLC400に対してフレームを送信するものとする。そのため、第1のエンド端末200-1からPLC400に対してのフレームと、第2のエンド端末200-2からPLC400に対してのフレームが想定される。
(2)PLC400は、第2のエンド端末200-2に対してのみフレームを送信するので、PLC400から第2のエンド端末200-2に対してのフレームが想定される。以上の送信元及び宛先以外のフレームは想定されない。
(3)レイヤ2において通信に用いられるタイプは「IPv4」であるとする。また、レイヤ3にて用いられるプロトコルは「6(TCP)」であるとする。
このような想定される正規のフレームに対応するフレーム情報が、設定用端末1000により設定され、これに応じて、フローリストがフローリスト生成部120に作成され、フローリスト記憶部130に記憶される。
この場合に、各監視装置100それぞれのフローリスト記憶部130に記憶されるフローリストについて図3-1乃至図3-4を参照して説明をする。
まず、図3-1に第1の監視装置100-1のフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)がフローリストに含まれる。かかるフレーム情報は上記(3)も満たす。
次に、図3-2に第2の監視装置100-2のフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)がフローリストに含まれる。かかるフレーム情報は上記(3)も満たす。
次に、図3-3に第Nの監視装置100-Nのフローリスト記憶部130に記憶されるフローリストを示す。この点、第Nの監視装置100-Nにはエンド端末200は接続されていないため、第Nの監視装置100-Nを経由するフレームは想定されない。そのため、何らのフレーム情報もフローリストに含まれない。
次に、図3-4に100-Mのフローリスト記憶部130に記憶されるフローリストを示す。この点、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)と、第2のエンド端末200-2からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番2に相当)がフローリストに含まれる。加えて上記(2)より、PLC400から第2のエンド端末200-2に対して送信するフレームのフレーム情報(図中のフローリスト項番3に相当)がフローリストに含まれる。これらのフレーム情報は上記(3)も満たす。
次に、このようにして記憶されているフローリストを利用して、監視を実行する際の動作について、図4のフローチャートを参照して説明をする。なお、今回は、100-Mによる監視を例に取って説明するが、他の監視装置100も同様の動作をするものとする。
まず、監視装置100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する(ステップS11)。ここで、受信したフレームから抽出したフレーム情報の例を図5の上段に表2として示す。
今回、受信した入力フレームのフレーム情報が表2の順に6フレーム分抽出されたとする。なお、今回は、上記(1)乃至(3)により想定される正規のフレームが受信されているが、その後、しばらくするとPLC400がウイルスに感染し、上記正規のフレーム以外の想定外の不適切なフレームが受信されている状況であると想定する。詳細については後述する。
また、フレーム解析部110に設定されている「動作設定」について、図5の下段に表3として示す。
表3に記載のように、本例では、受信したフレームから抽出したフレーム情報がフローリストに登録されているフレーム情報と一致した場合には、このフレーム情報の抽出元のフレームを通過させる。また、この場合に、通知は行なわず、ログも取らない。
一方で、表3に記載のように、本例では、受信したフレームから抽出したフレーム情報がフローリストに登録されているフレーム情報と一致しなかった場合には、このフレーム情報の抽出元のフレームを廃棄する。また、この場合に、その旨の通知を行うと共に、ログも取る。
次に、フレーム解析部110は抽出したフレーム情報とフローリスト記憶部130が記憶するフローリストを比較し、両者が一致するか否かを判定する(ステップS12)。
ここで、例えば、表3における、入力順番号1のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1と一致する(ステップS12においてYes)。また、例えば、表3における、入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番2と一致する(ステップS12においてYes)。更に、例えば、表3における、入力順番号3のフレームのフレーム情報が判定の対象であったとする。この場合、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番3と一致する(ステップS12においてYes)。
そのため、これらの場合にはステップS13に進む。
ステップS13において、フレーム解析部110は、フローリストと一致したフレーム情報に対応する、入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレームに対して、フローリストと一致した場合の動作設定の指示に従い処理をする(ステップS13)。
一致した場合は、上述したように、表3において「対応フレーム通過、通知しない、ログ取らない」となっているので、フレーム解析部110は、フレームにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
ステップS13の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS12において、フレーム情報がフローリストと一致しなかった場合は(ステップS12においてNo)、ステップS14に進む。
例えば、表2における、入力順番号4のフレームのフレーム情報及び入力順番号5のフレームのフレーム情報が判定の対象であったとする。これらのフレームは、PLC400がウイルスに感染したことに起因してPLC400から送信されたフレームであり正規のフレームで想定される宛先である第1のエンド端末200-1ではなく、第2のエンド端末200-2に対して送信されたフレームである。この場合、このようなフレームは想定しておらず、フローリストにもこのようなフレームに対応するフレーム情報は含まれていない。そのため、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1、項番2及び項番3の何れとも一致しない(ステップS12においてNo)。そのため、ステップS14に進む。また、例えば、表2における、入力順番号6のフレームのフレーム情報が判定の対象であったとする。このフレームは、PLC400がウイルスに感染したことに起因してPLC400から送信されたフレームであり正規のフレームで想定される第2のエンド端末200-2に宛てられたものではあるが、正規のフレームで想定されるIPv4ではなく、IPv6に準拠したフレームである。この場合、このようなフレームは想定しておらず、フローリストにもこのようなフレームに対応するフレーム情報は含まれていない。そのため、表1-Mにおける、禁止リスト記憶部130に記憶されたフローリストの項番1、項番2及び項番3の何れとも一致しない(ステップS12においてNo)。そのため、ステップS14に進む。
ステップS14において、フレーム解析部110は、フローリストと一致しなかったフレーム情報に対応する、入力順番号4のフレーム、入力順番号5のフレーム、及び入力順番号6のフレームに対して、フローリストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS14)。
一致しなかった場合は、上述したように、表3において「対応フレーム廃棄、通知する、ログ取る」となっているので、フレーム解析部110は、フレームを廃棄する。加えて、フレーム解析部110は、廃棄をした旨を設定用端末1000に通知すると共に、廃棄した旨のログを取る。このとき、通知やログに廃棄したフレームの複製を含ませるようにすると良い。
ステップS13の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
上述した動作により、本実施形態では、フローリストと一致するフレーム情報を有するフレームはフレーム解析部110を含む監視装置100を通過させ、フローリストと一致しないフレーム情報を有するフレームはフレーム解析部110にて廃棄させることが可能となる。
これにより、フローリストとフレーム情報が一致しない、想定外の不適切と考えられるフレームを廃棄できるので、ウイルス等に起因する悪意のあるフレームが第2のネットワーク900で拡散するようなことを防止することができる。
一方で、フローリストとフレーム情報が一致する、想定内の適切と考えられるフレームを通過させることができるので、仮にウイルス等に起因する悪意のあるフレームが送信されているような状況となったとしても、適切なフレームによる通信は継続することができる。つまり、一部のエンド端末200がウイルスに感染した場合に、速やかにこのエンド端末200を隔離できなかったとしても、可用性を保つことができる。
<第2の実施形態>
次に、第2の実施形態について説明をする。上述した第1の実施形態では、(1)(2)及び(3)と例示したような、エンド端末200間で送受信することが想定される正規のフレームに対応するフレーム情報が、設定用端末1000により設定され、これに応じて、フローリストがフローリスト生成部120に作成され、フローリスト記憶部130に記憶されていた。
これに対して、本実施形態では、フローリスト生成部120が設定用端末1000による設定を要すること無く、フローリストの少なくとも一部を自動生成する機能を備える。
この点について、図6及び図7を参照して説明をする。なお、本実施形態と第1の実施形態とで共通する部分については、再度の説明を省略する。
図6に示すように、本実施形態では、設定用端末1000が、上述した「フロー設定」や「動作設定」のみならず、「登録期間設定」を行う。
具体的には、フレーム解析部110には、設定用端末1000により「登録期間設定」と「動作設定」の2つの設定がなされる。
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。また、一度登録期間に設定されてから所定時間が経過すると、自動的に運用期間に遷移するようにする。かかる所定時間の長さは、環境に応じて任意に設定することができる。例えば、エンド端末200間で送受信されるフレームの内容が限定されているような環境下において、1時間あれば、限定されているフレームが全て送受信されるような場合であれば、上記の所定時間を1時間とすると良い。これが、限定されているフレームが全て送受信されるのに一週間を要するような場合であれば、上記の所定時間を一週間とすると良い。
そして、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述のフローリスト生成部120に渡す。
そして、フローリスト生成部120は、渡されたフレーム情報を、想定される正規のフレームのフレーム情報として、フローリスト記憶部130が記憶するフローリストに追加する。このようにすることにより、登録期間においてフローリストを自動生成することができる。なお、登録期間において、受信したフレームについては、動作設定の指示に従い処理をする。
例えば、「対応フレーム通過、通知しない、ログ取らない」となっているのであれば、フレーム解析部110は、フレームにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
その後、所定時間が経過して、又は、設定用端末1000からの操作にて、運用期間に遷移したならば、フローリスト生成部120は、かかるフローリストの自動生成の処理を終了する。その後の、運用期間における本実施形態の動作は、第1の実施形態の動作と同じとなる。なお、本実施形態においても、設定用端末1000からのフロー設定の操作によってフローリストからフロー情報を一部削除したり、フローリストにフロー情報を追加したりすることは可能であるとする。
次に、図7のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。なお、以下では、100-Mの動作を例に取って説明するが、他の監視装置100も同様の動作を行うものとする。
監視装置100は、まずフレーム解析部110が登録期間に設定されているか否かを判定する(ステップS21)。ここで、登録期間に設定されているならば(ステップS21においてYes)、ステップS22に進む。一方で、登録期間に設定されていないならば(ステップS21においてNo)、すなわち、運用期間に設定されているのであれば、図4を参照して説明をしたステップS11乃至ステップS14の処理を行う。かかる、ステップS11乃至ステップS14の処理の内容は、第1の実施形態と同様である。
ステップS22では、フレーム解析部110が受信したフレームを解析し、フレーム情報を抽出する。そして、抽出したフレーム情報を、フローリスト生成部120に渡す(ステップS22)。
登録期間において受信したフレームから抽出したフレーム情報の例を図8の上段に表4-Mとして示す。今回、受信した入力フレームのフレーム情報が表4-Mの順に3フレーム分フローリスト生成部120に渡されるとする。具体的には、上述した、上記(1)より、第1のエンド端末200-1からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番1に相当)と、第2のエンド端末200-2からPLC400に対して送信するフレームのフレーム情報(図中のフローリスト項番2に相当)がフローリストに含まれる。加えて上記(2)より、PLC400から第2のエンド端末200-2に対して送信するフレームのフレーム情報(図中のフローリスト項番3に相当)がフローリストに含まれる。これらのフレーム情報は上記(3)も満たす。
次に、フローリスト生成部120は、渡されたフレーム情報を、フレーム解析部110が参照できるデータ構造に変換してフローリストとする。そして、作成したフローリストを、フローリスト記憶部130に記憶させる(ステップS23)。
以上の処理により、図3-4の表1-Mと同様のフローリストがフローリスト記憶部130に記憶される。つまり、本実施形態でのフローリストの自動生成を実現することができる。
一方で、フレーム解析部110は、フレーム情報を抽出後、受信した入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレームに対して、登録期間における動作設定の指示に従い処理をする(ステップS24)。ここで、図8の下段に表5に示すように、登録期間における動作設定が「対応フレーム通過、通知しない、ログ取らない」となっていたとする。するとフレーム解析部110は、かかる動作設定に従い、入力順番号1のフレーム、入力順番号2のフレーム、及び入力順番号3のフレーム、のそれぞれにフレーム解析部110を含む監視装置100を通過させることによりフレームを出力する。ただし、通知はせず、ログも取らない。
次に、ステップS25において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS25においてYes)、ステップS26として、図4を参照して説明をしたステップS11乃至ステップS14の処理を行う。かかる、ステップS11乃至ステップS14の処理の内容は、第1の実施形態と同様である。
一方で、経過していないのであれば(ステップS25においてNo)、ステップS22に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
上述した動作により、本実施形態では、登録期間開始から所定時間が経過するまでの間、フローリストを自動生成できると共に、受信したフレームはフレーム解析部110を通過させることが可能となる。従って、通常通りにフレームを送受信しながら、フローリストを自動生成させることができ、管理者等のユーザが、設定用端末1000を用いてフロー設定を行う手間を省くことが可能となる。
上記の監視装置、エンド端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記の監視装置、エンド端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
例えば、以下のように各実施形態を変形することが可能である。
上述の各実施形態では、スイッチ300とPLC400の間、又は、スイッチ300とエンド端末200の間に監視装置100を接続していた。つまり、経路選択を行うスイッチ300と、監視を行う監視装置100とを別個の装置として実現していた。
しかしそうするのではなく、図9に示すセキュリティスイッチ2000のように、1つの装置にスイッチ300としての経路選択機能を持たせると共に、かかるスイッチ300の各ポートに監視装置100としての監視機能を持たせるようにしても良い。このようにすれば、セキュリティスイッチ2000という単体の装置で、経路選択及び監視を実行することができるので良い。単体の監視装置100と、セキュリティスイッチ2000の双方が1つのネットワーク内に混在するようにしても良い。
また、他にも、図10に示すように、エンド端末200が通信を行うためのNIC(Network Interface Card)として監視装置100を実装し、監視装置100とエンド端末200との組で1つの通信装置3000を実現するようにしても良い。なお、PLC400のNICを監視装置100で実現して、単一の装置とするようにしても良い。また、単体の監視装置100と、通信装置3000の双方が1つのネットワーク内に混在するようにしても良いし、更に、セキュリティスイッチ2000が混在するようにしても良い。
更に、他にも、上述の各実施形態では、フローリストと一致した場合の動作設定、フローリストと不一致した場合の動作設定、及び登録期間における動作設定は、各監視装置100にて共通する内容に設定されると想定していた。しかしながら、このようにするのではなく、各監視装置100にて設定される内容が異なるようにしても良い。例えば、第1の監視装置100-1では、フローリストと不一致した場合に、通知をするように設定する一方で、第1の監視装置100-1では、フローリストと不一致した場合であっても通知をしないように設定するようにしても良い。
また、上述の各実施形態では、第2のネットワーク900が、第1のネットワーク800に接続していたが、必ずしも第1のネットワーク800に接続する必要はない。第1のネットワーク800に接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正なエンド端末200を接続したような場合に発生する悪意のあるフレームを検出することができる。
上述の第2の実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、フローリストを更新するようにしても良い。
例えば、運用期間遷移後に、新たにエンド端末を追加した場合に、再登録を行うことにより、かかる追加したエンド端末に関するフレームをフローリストに追加するようにしても良い。この場合に、フローリストをまっさらな状態として、ゼロからフローリストを作りなおしても良いし、既存のフローリストに新たにフレーム情報を追加するようにしても良い。
更に、各実施形態の動作の説明において、フローチャートを参照しながら、受信した複数のフレーム情報について並列に説明を行ったが、このように複数のフレームについて一度に動作を行うのではなく、フレーム情報を1つ受信する度に動作を行うようにしても良い。つまり、フレーム1つを受信する度に、上記の各ステップを実行するようにしても良い。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段と、
データの解析を行う解析手段と、
を備えた監視装置であって、
前記解析手段は、経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視装置。
(付記2) 前記所定の処理とは、前記データを該データの送信元が指定する宛先に送信するための処理であり、前記所定の処理以外の処理とは前記データを該データの送信元が指定する宛先に送信することを含まない処理であることを特徴とする付記1に記載の監視装置。
(付記3) 前記解析手段は、前記経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信する全てのデータを対象として動作することを特徴とする付記1又は2に記載の監視装置。
(付記4) 前記解析手段は、所定の期間において、端末が送受信するデータを解析し、該解析結果を前記所定の処理の対象とするデータの条件として前記リストに追加することを特徴とする付記1乃至3の何れか1に記載の監視装置。
(付記5) 前記解析手段は、前記所定の処理及び前記所定の処理以外の処理の何れか又は双方の処理の一環として、前記解析結果が前記リストに含まれる何れかの条件と一致したか否かの結果を外部に対して通知することを特徴とする付記1乃至4の何れか1に記載の監視装置。
(付記6) 付記1乃至5の何れか1に記載の監視装置を複数含むと共に、前記端末も複数含む通信システムであって、
前記複数の端末のそれぞれが、前記複数の監視装置の何れかと1対1で接続されることを特徴とする通信システム。
(付記7) 付記1乃至5の何れか1に記載の監視装置を複数含むと共に、前記端末を接続するための複数のポートも複数含むスイッチであって、
前記ポートのそれぞれは、前記複数の監視装置の内の少なくとも何れかに対応し、
前記端末のそれぞれは、自端末が接続されるポートに対応する監視装置にも接続されることを特徴とするスイッチ。
(付記8) 付記1乃至5の何れか1に記載の監視装置と該監視装置に接続された前記端末とを含む通信装置であって、
該通信装置に含まれる前記端末は、該通信装置に含まれる前記監視装置を介して通信を行うことを特徴とする通信装置。
(付記9) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えた監視装置が行う監視方法であって、
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なうことを特徴とする監視方法。
(付記10) 所定の処理の対象とするデータの条件のリストを記憶する記憶手段を備えたコンピュータを監視装置として機能させる監視プログラムであって、
前記コンピュータを、
経路選択を行う中継装置を介することなく自監視装置に接続された端末が送受信するデータを解析し、該解析結果が前記リストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記所定の処理を行ない、該比較した解析結果が前記リストに含まれる何れかの条件と一致しないならば該データに対応する受信データに対して前記所定の処理以外の処理を行なう監視装置として機能させることを特徴とする監視プログラム。
本発明は、中継装置におけるセキュリティ対策に好適である。
100-1 第1の監視装置
100-2 第2の監視装置
100-N 第Nの監視装置
100-M 第Mの監視装置
110 フレーム解析部
120 フローリスト生成部
130 フローリスト記憶部
200-1 第1のエンド端末
200-2 第2のエンド端末
300 スイッチ
400 PLC
500 PC
600 ファイアウォール装置
700 インターネット
800 第1のネットワーク
900 第2のネットワーク
1000 設定用端末
2000 セキュリティスイッチ
3000 通信装置

Claims (12)

  1. 第1の通信ポートを備える複数のエンド端末と、
    第2および第3の通信ポートを備え、前記エンド端末を制御するPLC装置と、
    第4および第5の通信ポートを備える複数の監視部と、
    転送部と、
    を含む通信システムであって、
    前記第1の通信ポートおよび前記第2の通信ポートは、各々個別の前記第4の通信ポートと接続され、
    前記第5の通信ポートは、前記転送部に接続され、
    前記第3の通信ポートは第1のネットワークに接続され、
    前記PLC装置は前記エンド端末に対し制御フレームを送信し、
    前記エンド端末は、他の前記エンド端末または前記PLC装置との間でフレームを送受信し、
    前記監視部は、
    自装置の前記第4の通信ポートが接続されている前記第1の通信ポートから送信された、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートから送信された、あるいは、自装置の前記第4の通信ポートが接続されている前記第1の通信ポートで受信する、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートで受信する、フレームの解析を行う解析手段と、
    前記フレームが正規のフレームであるかを判断する基準と、前記基準に合致する場合に行う処理、又は、合致しない場合に行う処理の少なくとも一方と、を記憶する記憶手段と、を備え、
    前記転送部は、各前記第5の通信ポート間で送受信されるフレームを転送し、
    前記転送部と前記複数の監視部とは同じ筐体に格納されている
    ことを特徴とする通信システム。
  2. 第1の通信ポートを備える複数のエンド端末と、
    第2および第3の通信ポートを備え、前記エンド端末を制御するPLC装置と、
    第4および第5の通信ポートを備える複数の監視部と、
    転送部と、
    を含む通信システムであって、
    前記第1の通信ポートおよび前記第2の通信ポートは、各々個別の前記第4の通信ポートと接続され、
    前記第5の通信ポートは、前記転送部に接続され、
    前記第3の通信ポートは第1のネットワークに接続され、
    前記PLC装置は前記エンド端末に対し制御フレームを送信し、
    前記エンド端末は、他の前記エンド端末または前記PLC装置との間でフレームを送受信し、
    前記監視部は、
    自装置の前記第4の通信ポートが接続されている前記第1の通信ポートから送信された、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートから送信された、あるいは、自装置の前記第4の通信ポートが接続されている前記第1の通信ポートで受信する、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートで受信する、フレームの解析を行う解析手段と、
    前記フレームが正規のフレームであるかを判断する基準と、前記基準に合致する場合に行う処理、又は、合致しない場合に行う処理の少なくとも一方と、を記憶する記憶手段と、を備え、
    前記転送部は、各前記第5の通信ポート間で送受信されるフレームを転送し、
    前記エンド端末と当該エンド端末と接続される前記監視部とは同じ筐体に格納されている
    ことを特徴とする通信システム。
  3. 第1の通信ポートを備える複数のエンド端末と、
    第2および第3の通信ポートを備え、前記エンド端末を制御するPLC装置と、
    第4および第5の通信ポートを備える複数の監視部と、
    転送部と、
    を含む通信システムであって、
    前記第1の通信ポートおよび前記第2の通信ポートは、各々個別の前記第4の通信ポートと接続され、
    前記第5の通信ポートは、前記転送部に接続され、
    前記第3の通信ポートは第1のネットワークに接続され、
    前記PLC装置は前記エンド端末に対し制御フレームを送信し、
    前記エンド端末は、他の前記エンド端末または前記PLC装置との間でフレームを送受信し、
    前記監視部は、
    自装置の前記第4の通信ポートが接続されている前記第1の通信ポートから送信された、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートから送信された、あるいは、自装置の前記第4の通信ポートが接続されている前記第1の通信ポートで受信する、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートで受信する、フレームの解析を行う解析手段と、
    前記フレームが正規のフレームであるかを判断する基準と、前記基準に合致する場合に行う処理、又は、合致しない場合に行う処理の少なくとも一方と、を記憶する記憶手段と、を備え、
    前記転送部は、各前記第5の通信ポート間で送受信されるフレームを転送し、
    前記PLC装置と当該PLC装置と接続される前記監視部とは同じ筐体に格納されている
    ことを特徴とする通信システム。
  4. 第1の通信ポートを備える複数のエンド端末と、
    第2および第3の通信ポートを備え、前記エンド端末を制御するPLC装置と、
    第4および第5の通信ポートを備える複数の監視部と、
    転送部と、
    を含む通信システムであって、
    前記第1の通信ポートおよび前記第2の通信ポートは、各々個別の前記第4の通信ポートと接続され、
    前記第5の通信ポートは、前記転送部に接続され、
    前記第3の通信ポートは第1のネットワークに接続され、
    前記PLC装置は前記エンド端末に対し制御フレームを送信し、
    前記エンド端末は、他の前記エンド端末または前記PLC装置との間でフレームを送受信し、
    前記監視部は、
    自装置の前記第4の通信ポートが接続されている前記第1の通信ポートから送信された、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートから送信された、あるいは、自装置の前記第4の通信ポートが接続されている前記第1の通信ポートで受信する、または自装置の前記第4の通信ポートが接続されている前記第2の通信ポートで受信する、フレームの解析を行う解析手段と、
    前記フレームが正規のフレームであるかを判断する基準と、前記基準に合致する場合に行う処理、又は、合致しない場合に行う処理の少なくとも一方と、を記憶する記憶手段と、を備え、
    前記転送部は、各前記第5の通信ポート間で送受信されるフレームを転送し、
    前記エンド端末と接続される前記監視部は、それぞれ、前記転送部または当該エンド端末と同じ筐体に格納され、
    前記PLC装置と接続される前記監視部は、前記転送部または当該PLC装置と同じ筐体に格納されている
    ことを特徴とする通信システム。
  5. 前記PLC装置と当該PLC装置と接続される前記監視部とは同じ筐体に格納されている
    ことを特徴とする請求項に記載の通信システム。
  6. 前記転送部は、レイヤ2による転送を行う
    ことを特徴とする請求項1乃至のいずれか1項に記載の通信システム。
  7. 前記監視部は、
    解析した結果が前記基準の何れかと一致する場合、第1の処理を行い、
    前記解析した結果が前記基準の全てと一致しない場合、第2の処理を行う
    ことを特徴とする請求項1乃至のいずれか1項に記載の通信システム。
  8. 前記第1の処理は、前記フレームを前記フレームの送信元が指定する宛先に送信するための処理であり、
    前記第2の処理は、前記フレームを前記フレームの送信元が指定する宛先に送信しない処理である
    ことを特徴とする請求項に記載の通信システム。
  9. 前記解析手段は、
    所定の期間において、前記解析した結果を前記基準に追加する
    ことを特徴とする請求項1乃至の何れか1項に記載の通信システム。
  10. 前記解析手段は、
    前記第1の処理及び前記第2の処理の何れか又は双方の処理の一環として、前記解析した結果が前記基準のいずれかと一致したか否かの結果を外部に対して通知する
    ことを特徴とする請求項又はに記載の通信システム。
  11. 前記フレームの宛先は、前記PLC装置または前記エンド端末のいずれかであることを特徴する請求項1乃至10の何れか1項に記載の通信システム。
  12. 前記第1の通信ポートおよび前記第2の通信ポートは、すべて各々前記監視部の前記第4の通信ポートに接続されている
    ことを特徴とする請求項1乃至11の何れか1項に記載の通信システム。
JP2021034990A 2021-03-05 2021-03-05 通信システム Active JP7114769B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021034990A JP7114769B2 (ja) 2021-03-05 2021-03-05 通信システム
JP2022118407A JP2022160511A (ja) 2021-03-05 2022-07-26 エンド端末、中継装置、plc装置、および通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021034990A JP7114769B2 (ja) 2021-03-05 2021-03-05 通信システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016048780A Division JP7028543B2 (ja) 2016-03-11 2016-03-11 通信システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022118407A Division JP2022160511A (ja) 2021-03-05 2022-07-26 エンド端末、中継装置、plc装置、および通信システム

Publications (2)

Publication Number Publication Date
JP2021083128A JP2021083128A (ja) 2021-05-27
JP7114769B2 true JP7114769B2 (ja) 2022-08-08

Family

ID=75963372

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021034990A Active JP7114769B2 (ja) 2021-03-05 2021-03-05 通信システム
JP2022118407A Pending JP2022160511A (ja) 2021-03-05 2022-07-26 エンド端末、中継装置、plc装置、および通信システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022118407A Pending JP2022160511A (ja) 2021-03-05 2022-07-26 エンド端末、中継装置、plc装置、および通信システム

Country Status (1)

Country Link
JP (2) JP7114769B2 (ja)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001077811A (ja) 1999-09-01 2001-03-23 Akuton Technology Kk ネットワークインターフェースカード
JP2004535096A (ja) 2001-04-11 2004-11-18 サフェイ カンパニー リミテッド 外部からのアクセスを規制するための方法およびシステム
JP2005182640A (ja) 2003-12-22 2005-07-07 Japan Telecom Co Ltd ファイアウォール装置、及びそれを用いた通信システム、通信方法
JP2006295937A (ja) 2005-04-12 2006-10-26 Fujitsu Ltd スイッチの入力ポートにおけるフレームフィルタリング
JP2009065294A (ja) 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP2010028505A (ja) 2008-07-22 2010-02-04 Yokogawa Electric Corp フィールドネットワークシステムおよびフィールドコントローラ
JP2011100443A (ja) 2009-09-24 2011-05-19 Fisher-Rosemount Systems Inc プロセス制御システムのための一体型統合脅威管理
WO2012081631A1 (ja) 2010-12-16 2012-06-21 日本電気株式会社 スイッチング装置、その上位装置、ネットワーク及びパケット転送方法
JP2015041958A (ja) 2013-08-23 2015-03-02 横河電機株式会社 ファイアウォール装置
JP2016015715A (ja) 2014-07-03 2016-01-28 韓國電子通信研究院Electronics and Telecommunications Research Institute アクセス制御リスト抽出方法およびシステム
JP2017525055A (ja) 2014-08-13 2017-08-31 ハネウェル・インターナショナル・インコーポレーテッド 産業制御環境内のサイバーセキュリティリスクの分析

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001077811A (ja) 1999-09-01 2001-03-23 Akuton Technology Kk ネットワークインターフェースカード
JP2004535096A (ja) 2001-04-11 2004-11-18 サフェイ カンパニー リミテッド 外部からのアクセスを規制するための方法およびシステム
JP2005182640A (ja) 2003-12-22 2005-07-07 Japan Telecom Co Ltd ファイアウォール装置、及びそれを用いた通信システム、通信方法
JP2006295937A (ja) 2005-04-12 2006-10-26 Fujitsu Ltd スイッチの入力ポートにおけるフレームフィルタリング
JP2009065294A (ja) 2007-09-04 2009-03-26 Fujitsu Ltd データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
JP2010028505A (ja) 2008-07-22 2010-02-04 Yokogawa Electric Corp フィールドネットワークシステムおよびフィールドコントローラ
JP2011100443A (ja) 2009-09-24 2011-05-19 Fisher-Rosemount Systems Inc プロセス制御システムのための一体型統合脅威管理
WO2012081631A1 (ja) 2010-12-16 2012-06-21 日本電気株式会社 スイッチング装置、その上位装置、ネットワーク及びパケット転送方法
JP2015041958A (ja) 2013-08-23 2015-03-02 横河電機株式会社 ファイアウォール装置
JP2016015715A (ja) 2014-07-03 2016-01-28 韓國電子通信研究院Electronics and Telecommunications Research Institute アクセス制御リスト抽出方法およびシステム
JP2017525055A (ja) 2014-08-13 2017-08-31 ハネウェル・インターナショナル・インコーポレーテッド 産業制御環境内のサイバーセキュリティリスクの分析

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
嶌田 一郎 Ichiro Shimada,ライブネットにおける低速スキャン検知手法 A Slow-Scan Detection Method for Live Network Environments,CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人,日本,一般社団法人情報処理学会 コンピュータセキュリティ,2014年10月15日,第2014巻,P.458-465

Also Published As

Publication number Publication date
JP2022160511A (ja) 2022-10-19
JP2021083128A (ja) 2021-05-27

Similar Documents

Publication Publication Date Title
JP6518771B2 (ja) セキュリティシステム、通信制御方法
EP1817685B1 (en) Intrusion detection in a data center environment
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
CN105743878B (zh) 使用蜜罐的动态服务处理
EP2713581A1 (en) Virtual honeypot
US7673049B2 (en) Network security system
US8689319B2 (en) Network security system
EP1588264A2 (en) Mitigating denial of service attacks
JP2017204721A (ja) セキュリティシステム
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
JP7028543B2 (ja) 通信システム
JP5625394B2 (ja) ネットワークセキュリティシステムおよび方法
JP7114769B2 (ja) 通信システム
US7561574B2 (en) Method and system for filtering packets within a tunnel
JP6938205B2 (ja) アクセス制御システム
JP7000863B2 (ja) マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
JP5879223B2 (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
US20230030504A1 (en) Transmission device for transmitting data
JP7107153B2 (ja) マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
JP4355598B2 (ja) 通信制御方法及び装置
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム
JP2018038083A (ja) セキュリティシステム
Pothamsetty Penetrating physical security: the anatomy of physical security systems and corresponding defenses

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210318

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210318

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220727

R150 Certificate of patent or registration of utility model

Ref document number: 7114769

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150