JP7150425B2 - COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM - Google Patents
COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM Download PDFInfo
- Publication number
- JP7150425B2 JP7150425B2 JP2017211134A JP2017211134A JP7150425B2 JP 7150425 B2 JP7150425 B2 JP 7150425B2 JP 2017211134 A JP2017211134 A JP 2017211134A JP 2017211134 A JP2017211134 A JP 2017211134A JP 7150425 B2 JP7150425 B2 JP 7150425B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- vulnerability
- communication
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークにおけるセキュリティ確保のための制御技術に関連するものである。 The present invention relates to control technology for ensuring security in networks.
あらゆるモノをネットワークでつなぐIoTの導入が進み、重要インフラ(情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット・石油)の設備や、重要生活機器(自動車、住宅設備、スマートメーター等)が自営のネットワーク(LAN)や通信事業者のネットワーク(WAN)を経由して相互につながり、更にグローバルクラウドサービスを介して国境を越えて様々なモノが無人の状態で自律的に通信を行うようになっている。 The introduction of IoT, which connects all kinds of things with networks, is progressing, and important infrastructure (information communication, finance, aviation, railway, electric power, gas, government/administrative services, medical care, water supply, logistics, chemicals, credit/petroleum) facilities, and important Life equipment (automobiles, housing equipment, smart meters, etc.) are connected to each other via a self-owned network (LAN) or a telecommunications carrier's network (WAN). communicates autonomously in an unattended state.
そうした中でネットワークカメラやホームルータ等のデバイスの各種ソフトウェアに潜むセキュリティ脆弱性やユーザの設定ミス等を突いたサイバー攻撃による被害も発生するようになり、IoTシステム全体の安全・サイバーセキュリティの管理や、サイバーテロ発生時の緊急対応、大規模災害時のライフライン用IoT通信の確保、サイバー攻撃や大規模災害からの復旧時間の短縮、といった課題が顕在化し、その対応がデバイスメーカー、SI事業者、IoTサービス事業者、通信事業者、クラウド事業者、IoTサービスユーザーそれぞれに求められている。 Under such circumstances, damage from cyber-attacks that exploit security vulnerabilities hidden in various software of devices such as network cameras and home routers and user setting errors has increased. , emergency response in the event of cyber terrorism, securing lifeline IoT communication in the event of a large-scale disaster, and shortening the recovery time from cyber-attacks and large-scale disasters. , IoT service providers, telecommunications carriers, cloud providers, and IoT service users.
しかし、クラウド事業者から見ると、LANやWANを経由して接続されてくるぼう大な数の各種IoTデバイスについて、どのような機器がどのような構成で接続されているのかを把握する手段がなく、それらデバイスの安全性(セキュリティ脆弱性)をサイバー攻撃による被害の状況等も考慮して適切に管理することが困難なのが現状である。 However, from the cloud provider's point of view, there is no way to know what devices are connected and in what configuration for the enormous number of various IoT devices connected via LANs and WANs. However, the current situation is that it is difficult to appropriately manage the safety (security vulnerability) of these devices by taking into consideration the damage caused by cyberattacks.
本発明は上記の点に鑑みてなされたものであり、IoTデバイス等の端末のセキュリティに対する脆弱性に基づいて、端末のネットワークへのアクセスを制御することを可能とする技術を提供することを目的とする。 The present invention has been made in view of the above points, and an object thereof is to provide a technology that enables control of terminal access to a network based on security vulnerabilities of terminals such as IoT devices. and
開示の技術によれば、端末とネットワークとの間のゲートウェイと、制御装置とを備える通信システムであって、
前記制御装置は、異常発生情報の件数が閾値以上である場合の脆弱性判定の基準を、異常発生情報の件数が前記閾値未満である場合の脆弱性判定の基準よりも厳しくして、前記端末の脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定し、
前記ゲートウェイは、前記判定の結果に基づいて、前記端末からのアクセスの制御を実行し、
前記脆弱性スコアは、前記端末に対して第三者機関により実行されたセキュリティ脆弱性テスト判定結果の値である
ことを特徴とする通信システムが提供される。
According to the disclosed technology, a communication system comprising a gateway between a terminal and a network and a control device,
The control device sets a criterion for vulnerability determination when the number of abnormal occurrence information is equal to or greater than a threshold to be stricter than a criterion for vulnerability determination when the number of abnormal occurrence information is less than the threshold. determining whether the terminal can access the network based on the vulnerability score of
the gateway controls access from the terminal based on the result of the determination;
A communication system is provided, wherein the vulnerability score is a value of a result of a security vulnerability test performed on the terminal by a third party.
開示の技術によれば、IoTデバイス等の端末のセキュリティに対する脆弱性に基づいて、端末のネットワークへのアクセスを制御することを可能とする技術が提供される。 According to the disclosed technique, there is provided a technique that enables control of terminal access to a network based on the security vulnerability of a terminal such as an IoT device.
以下、図面を参照して本発明の実施の形態を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings. The embodiments described below are merely examples, and embodiments to which the present invention is applied are not limited to the following embodiments.
(システム全体構成)
図1に、本発明の実施の形態における全体構成例を示す。本発明の実施の形態における構成は、各種のIoTデバイスを収容するIoTネットワークシステムである。図1には、従来からある通常のセキュリティレベルの通信システムと、重要インフラや重要生活機器を安全に接続できるセキュリティレベルの高い通信システムが示されており、本発明の実施の形態に係る通信システムは、セキュリティレベルの高いほうの通信システムである。
(Overall system configuration)
FIG. 1 shows an overall configuration example in an embodiment of the present invention. A configuration according to an embodiment of the present invention is an IoT network system that accommodates various IoT devices. FIG. 1 shows a conventional communication system with a normal security level and a communication system with a high security level that can safely connect important infrastructures and important household appliances. is the communication system with the higher security level.
通常のセキュリティレベルの通信システムは、例えば脆弱性テスト未受検のIoTデバイス10、従来のネットワーク20(例:一般的なインターネット)、及び従来のクラウド30からなる。
A normal security level communication system consists of, for example, an
一方、本発明の実施の形態に係る通信システムは、脆弱性テストに合格したセキュアIoTデバイス300、セキュアゲートウェイ100、ネットワーク安全管理システム400、セキュアゲートウェイ200、クラウド安全管理システム500を備える。また、当該通信システムにおいて、セキュアゲートウェイ100、ネットワーク安全管理システム400、及びセキュアゲートウェイ200は、安全なネットワーク600(以降、ネットワーク600)に接続され、セキュアゲートウェイ200とクラウド安全管理システム500は、安全なクラウド700(以降、クラウド700)に接続される。また、セキュアIoTデバイス300とセキュアゲートウェイ100との間は、有線又は無線によるLAN(Local Area Netwok)で接続される。
On the other hand, the communication system according to the embodiment of the present invention includes
なお、ネットワーク600は、例えば、当該ネットワークにおける通信が、通信事業者独自の公開されていない通信手順及び/又は暗号化方式を使用して行われるような安全なネットワークである。ただし、ネットワーク600はこれに限られない。また、クラウド700は、例えば、当該クラウドにおける通信が、通信事業者独自の公開されていない通信手順及び/又は暗号化方式を使用して行われるようなクラウドである。ただし、クラウド700はこれに限られない。
It should be noted that
本発明の実施の形態に係る通信システム(すなわち、セキュリティレベルの高い系統のネットワーク)に接続できるIoTデバイスは、図1に示されるとおり、脆弱性テストに合格したセキュリティレベルの高いセキュアIoTデバイス300であり、脆弱性テストに合格していない通常のIoTデバイス10は、当該通信システムに接続できない。このような接続拒否は、ネットワーク安全管理システム400の指示に基づくセキュアゲートウェイ100のアクセス制御により実現される。
An IoT device that can be connected to a communication system (that is, a system network with a high security level) according to an embodiment of the present invention is a
図1には、各層の提供主体(IoT安全管理者750、通信事業者800、クラウド事業者900)が示されているが、これは一例に過ぎす、各層の提供主体は図示されたもの以外であってもよい。
FIG. 1 shows providers of each layer (IoT
また、図1には、セキュアIoTデバイス300、セキュアゲートウェイ100、セキュアゲートウェイ200、クラウド700がそれぞれ1つずつ示されているが、実際にはそれぞれ複数備えられる。図1は、複数の内の例を示しており、以下で説明する動作については、複数の装置のそれぞれにおいて実行されるものである。
In addition, although one
本発明の実施の形態においては、各IoTデバイスのセキュリティレベル(脆弱性スコア)の判定及び登録は、通信事業者が認定する第三者機関(安全基準検定事業者)以外が実施できず、その情報を直接参照できるのは、その第三者機関が認める通信事業者のみとすることが想定される。 In the embodiment of the present invention, the determination and registration of the security level (vulnerability score) of each IoT device can only be performed by a third-party organization (safety standard test operator) certified by the telecommunications carrier. It is assumed that only telecommunications carriers approved by the third party can directly refer to the information.
以下、本発明の実施の形態における通信システムを構成する各装置の機能構成例、動作概要を説明する。以下で説明する各機能部の動作は一例であり、各機能部の動作の詳細については、後にシーケンス図を参照して説明する。 Hereinafter, functional configuration examples and operation outlines of each device constituting the communication system according to the embodiment of the present invention will be described. The operation of each functional unit described below is an example, and details of the operation of each functional unit will be described later with reference to sequence diagrams.
なお、「セキュアゲートウェイ」が、IoTデバイス側のものか、それともクラウド側のものかを分かり易くするために、以下の説明において、IoTデバイス側のセキュアゲートウェイ100を端末側ゲートウェイ100と呼び、クラウド側のセキュアゲートウェイ200をクラウド側ゲートウェイ200と呼ぶ。ただし、端末側かクラウド側かを特定しない場合にはセキュアゲートウェイと呼ぶ。また、通常の(セキュアでない)IoTデバイスとセキュアIoTデバイスとを総称する場合には、「IoTデバイス」と呼ぶ。
In addition, in order to make it easier to understand whether the "secure gateway" is on the IoT device side or on the cloud side, in the following explanation, the
(端末側ゲートウェイ100)
端末側ゲートウェイ100は、有線又は無線によりセキュアIoTデバイス300と通信するとともに、ネットワーク600を介してネットワーク安全管理システム400と通信を行う装置である。また、端末側ゲートウェイ100は、セキュアIoTデバイス300と、ネットワーク600との間で送受信されるパケットの中継を行う。また、端末側ゲートウェイ100は、配下のセキュアIoTデバイス300からのアクセスの制御を行う。
(Terminal-side gateway 100)
The terminal-
図2に、端末側ゲートウェイ100の機能構成図を示す。図2に示すように、端末側ゲートウェイ100は、通信部110、情報格納部120、製品情報取得部130、異常検知部140、及び制御部150を有する。
FIG. 2 shows a functional configuration diagram of the terminal-
通信部110は、セキュアIoTデバイス100側及びネットワーク600側における通信(具体的には、パケットの送受信)を行う。通信部110は、無線通信機能と有線通信機能の両方を含み、無線による通信と有線による通信のどちらも実行することができる。情報格納部120は、各種の情報を格納する。
The
製品情報取得部130は、LANに接続されるIoTデバイスを自動的に認識し、認識したIoTデバイスから製品情報を取得し、取得した製品情報を通信部110を介してネットワーク安全管理システム400に通知する。
The product
異常検知部140は、端末側ゲートウェイ100に接続されるセキュアIoTデバイス300から送信されるパケット、及び/又は、ネットワーク600から受信するセキュアIoTデバイス300宛てのパケットを解析し、異常検知を実施し、異常を検知した場合に異常に関する情報を通信部110を介してネットワーク安全管理システム400に通知する。制御部150は、ネットワーク安全管理システム400から各種のコマンドを通信部110を介して受信し、コマンドに応じた処理を実行する。
The
(クラウド側ゲートウェイ200)
クラウド側ゲートウェイ200は、ネットワーク600と、クラウド700との間でパケットの中継を行う装置である。
(Cloud side gateway 200)
The cloud-
図3に、クラウド側ゲートウェイ200の機能構成図を示す。図3に示すように、クラウド側ゲートウェイ200は、通信部210、情報格納部220、及び制御部230を有する。
FIG. 3 shows a functional configuration diagram of the cloud-
通信部210は、ネットワーク600側及びクラウド700側における通信(具体的には、パケットの送受信)を行う。通信部210は、無線通信機能と有線通信機能の両方を含み、無線による通信と有線による通信のどちらも実行することができる。
The
また、通信部210は、通信事業者が定める通信手順及びデータ形式を用いて、ネットワーク安全管理システム400との間の通信を実行するとともに、通信事業者が定める通信手順及びデータ形式を用いて、予め登録されたクラウド安全管理システム500との間の通信を実行する機能を含む。情報格納部220は各種の情報を格納する。なお、通信事業者が定める通信手順及びデータ形式は、固定的で不変なものではなく、例えば、暗号がハッカーによって破られた場合等に備えて、当該IoTシステムの運用開始後も通信事業者によって変更することが可能である。
In addition, the
制御部230は、通信部210により受信されるパケットのヘッダ等を調べることで、ノンセキュアな通信(例:端末側ゲートウェイ100を経由しない、送信元を特定できない通信)を識別し、当該通信を通信部210に遮断させる。
The
(セキュアIoTデバイス300)
セキュアIoTデバイス300は、例えばセンサやアクチュエータ等のデータを通信するIoT機器である。本発明の実施の形態においては、セキュアIoTデバイス300は、セキュリティの脆弱性を突いた攻撃を受ける可能性のある装置(例:プログラムを実行することにより動作する装置)であることを想定しているが、これに限られるわけではない。
(Secure IoT device 300)
The
また、セキュアIoTデバイス300は、単一のIoT機器に限らず、例えば自動車のように、複数のセンサやアクチュエータや機器を並列にまたは階層的に接続して搭載した装置であってもよい。この場合、自動車の部品である複数のセンサやアクチュエータや機器の各々もセキュアIoTデバイス300に該当する。
In addition, the
図4に、セキュアIoTデバイス300の機能構成図を示す。図4に示すように、セキュアIoTデバイス300は、通信部310、属性情報格納部320、ログ格納部330、異常検知部340、状態管理部350、制御部360を有する。なお、図4は、セキュアIoTデバイス300において、本発明の実施の形態に関わる機能のみを示しており、センサ機能等は示していない。
FIG. 4 shows a functional configuration diagram of the
通信部310は、端末側ゲートウェイ100との間で通信(具体的には、パケットの送受信)を行う。
The
属性情報格納部320は、自身のセキュリティ脆弱性テスト判定結果を含む属性情報を格納する。なお、本発明の実施の形態では、セキュリティ脆弱性テスト判定結果は、脆弱性スコアである。当該属性情報格納部320は、例えば、セキュアIoTデバイス300におけるメモリにより実現されるが、当該属性情報格納部320に相当するメモリの領域は、ユーザによって読み出しや書き込みができないように防護することが可能であり、耐タンパ性を有する。
The attribute
ログ格納部330は、セキュアIoTデバイス300自身の処理動作のログ、及び通信のログを格納する。
The
異常検知部340は、セキュアIoTデバイス300自身の処理動作、及び通信状態を常時監視し、異常を検知した場合に、例えば、通信事業者が定める通信手順で、端末側ゲートウェイ100に対して、検知した異常に関する情報(異常の発生源、種類、発生時刻等)を送信する。異常検知部340は、例えば、cron等の常駐プログラムで実現される。
The
状態管理部350は、セキュアIoTデバイス300自身の電源ON/OFF、リブート、動作モード、通信モード、ソフトウェアバージョン、設定パラメータ、脆弱性テスト結果スコア等を常時監視し、それらのうちのいずれかの変更を検知した場合に、例えば通信事業者が定める通信手順で、端末側ゲートウェイ100に対して、その情報(変更された項目とその値)を送信する。状態管理部350は、例えば、cron等の常駐プログラムで実現される。
The
制御部360は、通信事業者が定める通信手順で端末側ゲートウェイ100から要求を受けた場合に、属性情報格納部320に格納された属性情報を読み出し、当該属性情報を通信事業者が定める通信手順で送信する。また、制御部360は、通信事業者が定める通信手順で端末側ゲートウェイ100から要求を受けた場合に、ログ格納部330に格納されたログを読み出し、当該ログを通信事業者が定める通信手順で送信する。
The
(ネットワーク安全管理システム400)
ネットワーク安全管理システム400は、端末側ゲートウェイ100、ネットワーク600を構成するネットワーク機器、クラウド側ゲートウェイ200等から情報を収集し、収集した情報に基づいて、セキュリティ管理のための種々の判定及び制御を行う装置である。ネットワーク安全管理システム400は、1つの装置(コンピュータ)であってもよいし、複数の装置の集合体であってもよい。また、ネットワーク安全管理システム400を「制御装置」と呼んでもよい。
(Network safety management system 400)
The network
図5に、ネットワーク安全管理システム400の機能構成図を示す。図5に示すように、ネットワーク安全管理システム400は、通信部410、認証部420、情報格納部430、情報取得部440、脆弱性判定部450、異常処理部460、制御部470を有する。
FIG. 5 shows a functional block diagram of the network
通信部410は、ネットワーク600との間でパケットの送受信を行う。認証部420は、セキュアゲートウェイの認証を行う。
The
情報格納部430は、端末側ゲートウェイ100、クラウド側ゲートウェイ200、セキュアIoTデバイス300、ネットワーク600等から収集された情報を格納する。情報取得部440は、端末側ゲートウェイ100、クラウド側ゲートウェイ200、セキュアIoTデバイス300、ネットワーク600等から情報を収集する。
The
脆弱性判定部450は、端末側ゲートウェイ100、クラウド側ゲートウェイ200、セキュアIoTデバイス300のそれぞれの装置について、セキュリティ脆弱性テスト判定結果の値(脆弱性スコア)に基づいて、当該装置が、当該IoTシステムの利用目的や提供条件や利用者の要求等に応じて通信事業者により予め定められたセキュリティレベルに達しているかどうかを判定する。また、脆弱性判定部450は、端末側ゲートウェイ100、クラウド側ゲートウェイ200、セキュアIoTデバイス300、ネットワーク600等から収集された異常検知の情報に基づいて、当該装置のリスクレベルの判定を行い、当該装置が通信事業者により予め定められたセキュリティレベルに達しているかどうかを判定する基準(例:当該装置のリスクレベルを表すパラメータの値)及び判定結果を随時変更可能とする機能も含む。
異常処理部460は、異常を検知した場合に、異常に応じた処理(データ解析、異常原因解消処理等)を実行する。また、異常処理部460は、ネットワーク600内を流れるパケットを監視することにより、異常検知を行うこともできる。また、制御部470は、種々のコマンド送信、他システムへの情報送信等を行う。
When an abnormality is detected, the
(クラウド安全管理システム500)
クラウド安全管理システム500は、ネットワーク安全管理システム400等から受信する情報等に基づいて、クラウド側でのセキュリティ管理のための種々の判定及び制御を行う装置である。クラウド安全管理システム500は、1つの装置(コンピュータ)であってもよいし、複数の装置の集合体であってもよい。
(Cloud safety management system 500)
The cloud
図6に、クラウド安全管理システム500の機能構成図を示す。図6に示すように、クラウド安全管理システム500は、通信部510、情報格納部520、制御部530を有する。
FIG. 6 shows a functional configuration diagram of the cloud
通信部510は、クラウド700を構成するネットワークとの間でパケットの送受信を行う。特に、通信部510は、通信事業者が定める通信手順により、ネットワーク安全管理システム400からの異常発生通知の情報を受信する。情報格納部520は、ネットワーク安全管理システム400から受信した情報等を格納する。
The
制御部530には、アプリケーションの種類や当該IoTシステムの利用目的、提供条件、利用者の要求等に応じて、IoTネットワークシステムに求めるセキュリティレベルが設定されている。制御部530は、設定されているセキュリティレベルと、異常発生通知の内容(セキュリティリスクレベル、対象範囲等)に応じて、異常が発生したネットワークとのIoTデータの通信の遮断、クラウド上のハードウェア(VM)やソフトウェアの動作モードの変更、クラウド上のハードウェア(VM)やソフトウェアの動作の停止/再開等を実行する。
The security level required for the IoT network system is set in the
また、制御部530は、クラウド700内の異常(マルウェア感染、設定ミスや不具合による異常通信等)を検知する機能も有しており、当該異常を検知した際に、異常の種類や発生箇所、復旧予定時刻等を、通信事業者のネットワーク安全管理システム400に通知する。
The
なお、前述したように、クラウドとして複数のクラウドが存在し、各クラウドは、クラウド独自のアプリケーションを提供する。クラウド安全管理システム500は、これら複数のクラウドを管理し、各クラウドのアプリケーションの種類や当該IoTシステムの利用目的、提供条件、利用者の要求等に応じたセキュリティレベルに基づく制御を実行する。
As described above, there are multiple clouds, and each cloud provides its own application. The cloud
(ハードウェア構成例)
上述した各装置(端末側ゲートウェイ100、クラウド側ゲートウェイ200、セキュアIoTデバイス300、ネットワーク安全管理システム400、クラウド安全管理システム500)はいずれも、コンピュータに、本発明の実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
(Hardware configuration example)
Each of the devices described above (terminal-
図7は、上記装置のハードウェア構成例を示す図である。図7の装置は、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、及び入力装置1007等を有する。なお、端末側ゲートウェイ100、クラウド側ゲートウェイ200、及びセキュアIoTデバイス300においては、表示装置1006及び入力装置1007を備えないこととしてもよい。
FIG. 7 is a diagram showing a hardware configuration example of the above device. 7 includes a
当該装置での処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
A program for realizing processing in the device is provided by a
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って当該装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。
The
表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。
A
(通信システムの動作例)
以下、上述した構成を備える通信システムの動作例をシーケンス図(図8~図10)を参照して説明する。以下の説明において、図2~図6で説明した各装置の機能部の名称を適宜使用する。
(Example of communication system operation)
An operation example of the communication system having the above configuration will be described below with reference to sequence diagrams (FIGS. 8 to 10). In the following description, the names of the functional units of each device described with reference to FIGS. 2 to 6 are appropriately used.
図8を参照して初期接続時の動作例を説明する。なお、ここでは図8の動作を初期接続時の動作として説明しているが、初期接続の後の運用中の状態でも図8の動作(例えば、脆弱性スコアの取得、及び、脆弱性スコアに基づくアクセス判定、アクセス制御)が行われることとしてもよい。 An operation example at the time of initial connection will be described with reference to FIG. Here, the operation in FIG. 8 is described as the operation at the time of initial connection, but the operation in FIG. 8 (for example, acquisition of vulnerability score and access determination, access control) may be performed.
例えば、端末側ゲートウェイ100がネットワーク600に接続されると、端末側ゲートウェイ100の通信部110は、自身の認証情報(例:ID、パスワード、型番等の属性情報)をネットワーク安全管理システム400に送信する(S101)。
For example, when the terminal-
ネットワーク安全管理システム400の情報格納部430には、上記認証情報を含む契約者情報あるいはゲートウェイ情報が格納されている。ネットワーク安全管理システム400の認証部420は、端末側ゲートウェイ100から受信した認証情報と、情報格納部430に格納されている情報とを照合することにより、端末側ゲートウェイ100を認証し、端末側ゲートウェイ100のネットワーク600への接続可否を判断する(S102)。ここでは、認証に成功し、接続が許可されたものとする。
The
端末側ゲートウェイ100には、有線又は無線のLANによりセキュアIoTデバイス300が接続される。
A
セキュアIoTデバイス300は、自身の属性情報(例:製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、セキュリティ脆弱性テスト判定結果、セキュリティ脆弱性テスト実施者及び受検者等)をユーザが書き込みできない領域である属性情報格納部320に保持している。
The
なお、端末側ゲートウェイ100(クラウド側ゲートウェイ200も同様)においても、自身の属性情報(例:製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、セキュリティ脆弱性テスト判定結果、セキュリティ脆弱性テスト実施者及び受検者等)をユーザが読み書きできない領域(情報格納部120における一部の領域)に保持している。 Note that the terminal-side gateway 100 (similar to the cloud-side gateway 200) also stores its own attribute information (e.g., manufacturing manager, product name, model number, version, manufacturing lot number, setting parameter value, operation mode, operation state, security vulnerability test judgment results, security vulnerability testers, examinees, etc.) are stored in an area (a part of the information storage unit 120) that cannot be read and written by the user.
上記のセキュリティ脆弱性テスト判定結果について説明する。本発明の実施の形態では、各セキュアIoTデバイス(端末側ゲートウェイ100、クラウド側ゲートウェイ200も同様)は、第三者機関(例:ドイツのテュフ、米国のULのような安全認証機関)によってその脆弱性(セキュリティの脆弱性、安全性)のテストが行われることを想定している。脆弱性についてのテスト項目は、例えば、ソフトウェアとハードウェアのそれぞれについて複数あり、第三者機関による各テスト項目のテストにより、各テスト項目についての脆弱性スコアが付けられる。また、各テスト項目のテスト結果に基づき、セキュアIoTデバイスの総合的な脆弱性スコアが決定されてもよい。以下、「脆弱性スコア」といった場合、特に断らない限り、各テスト項目に該当する複数の脆弱性スコアと、総合的な脆弱性スコアの両方の意味を含む総称であるとする。また、「脆弱性スコア」は、数値であってもよいし、合否判定結果を表す情報(例:NG、OK)であってもよいし、その他の形態の情報であってもよい。
The above security vulnerability test judgment result will be explained. In the embodiment of the present invention, each secure IoT device (the
第三者機関によって決定されたセキュアIoTデバイス300の脆弱性スコアは、例えば第三者機関により、第三者機関によって定められた手順で、ユーザが書き込みできない領域である属性情報格納部320に暗号化された状態で書き込まれる。
The vulnerability score of the
脆弱性スコアは、例えば、セキュアIoTデバイス(物理的な装置)を、第三者機関の場所に持っていくことにより、脆弱性のテストが行われ、その結果が書き込まれることとしてもよいし、セキュアIoTデバイスは本来の場所にあり、遠隔で(ネットワーク経由で)、第三者機関から書き込まれることとしてもよい。遠隔の場合、例えば、セキュアIoTデバイスのソフトウェアコンフィギュレーション情報、ハードウェアコンフィギュレーション情報等が第三者機関に送信され、第三者機関において脆弱性スコアが決定され、セキュアIoTデバイスに書き込まれる。 Vulnerability score, for example, by taking a secure IoT device (physical device) to the location of a third-party organization, the vulnerability test is performed, the results may be written, A secure IoT device may be in situ, remotely (via a network), and written to by a third party. In the remote case, for example, the secure IoT device's software configuration information, hardware configuration information, etc. is sent to a third party, where a vulnerability score is determined and written to the secure IoT device.
端末側ゲートウェイ100の製品情報取得部120は、端末側ゲートウェイ100に接続されるセキュアIoTデバイス300の製品情報(前述した属性情報であり、製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、セキュリティ脆弱性テスト判定結果、セキュリティ脆弱性テスト実施者及び受検者等)をセキュアIoTデバイス300からLANを経由して自動的に取得し、情報格納部120に保持する(S103)。ここでは、取得の過程で要求が端末側ゲートウェイ100の製品情報取得部120からセキュアIoTデバイス300に通信事業者が定める通信手順で送られ、セキュアIoTデバイス300の制御部360は、通信事業者が定める通信手順で製品情報を送信する。
The product
ネットワーク安全管理システム400の情報取得部440(制御部470でもよい)は、端末側ゲートウェイ100に対して通信事業者が定める手順で情報リクエストのコマンドを送信する(S104)。当該コマンドを受信した端末側ゲートウェイ100において、制御部150は、当該コマンドに基づいて、端末側ゲートウェイ100自身の情報(製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、セキュリティ脆弱性テスト判定結果等)と、端末側ゲートウェイ100に接続されているセキュアIoTデバイス300の情報(製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、セキュリティ脆弱性テスト判定結果等)を、通信事業者が定める通信手順と暗号化方式により、ネットワーク安全管理システム400に送信する(S105)。
The information acquisition unit 440 (or the control unit 470) of the network
ネットワーク安全管理システム400の情報取得部440は、端末側ゲートウェイ100から上記の情報を受信し、受信した情報を情報格納部430に格納(登録)する(S106)。
The
なお、本発明の実施の形態において、セキュアゲートウェイとネットワーク安全管理システム400との間の通信手順は、サイバー戦争時等における各国の通信安全保障のため、全ての階層を標準化して全ての通信事業者に公開するのではなく、国際標準のフレームワークの上に、各国・地域又は各通信事業者が定める独自の方式(暗号化方式、コマンドパラメータ値等)を載せて、各国・地域又は各通信事業者の独自の非公開の通信手順とすることが想定される。また、セキュアゲートウェイ内の通信モジュールを、国・地域別に異なる仕様にし非公開とすることで、他国の通信事業者やクラウド事業者等からの干渉や介入を防ぐことができる。ただし、このように通信手順等を定めることは一例である。
In the embodiment of the present invention, the communication procedure between the secure gateway and the network
続いて、ネットワーク安全管理システム400の脆弱性判定部450は、端末側ゲートウェイ100から取得したセキュアIoTデバイス300の脆弱性スコアと、端末側ゲートウェイ100の脆弱性スコアのそれぞれを情報格納部430から読み出す。そして、脆弱性判定部450は、端末側ゲートウェイ100とセキュアIoTデバイス300のぞれぞれについて、脆弱性スコアに基づいて、通信事業者が定めるセキュリティレベルに達しているかどうかを判定する(S107)。その判定を行う際、当該IoTシステム上のサイバー攻撃の発生状況等に応じて当該端末側ゲートウェイ100及び当該セキュアIoTデバイス300のリスクレベルを見直して再設定することも可能とするために、端末側ゲートウェイ100の異常検知部140から通知される異常発生情報等を判定基準のパラメータとして用いてもよい。例えば、端末側ゲートウェイ100の異常検知部140から通知される異常発生情報の直近所定時間内の総件数がある閾値以上である場合に、脆弱性判定の基準を厳しくすることが考えられる。例えば、脆弱性スコアが大きいほど脆弱であることを示す場合において、異常発生がほとんどない状態では、脆弱性スコアがX以下で通信OKと判定し、異常発生が多い状態では、脆弱性スコアがY(YはXより小さい)以下で通信OKと判定する。なお、端末側ゲートウェイ100とセキュアIoTデバイス300の両方についての判定を行ってもよいし、端末側ゲートウェイ100及びセキュアIoTデバイス300のうちの1つについての判定を行ってもよい。
Subsequently, the
端末側ゲートウェイ100とセキュアIoTデバイス300のぞれぞれについて、判定の結果、合格であれば、通信OKの判定フラグを、失格であれば通信NGの判定フラグを、ネットワーク安全管理システム400の情報格納部430、及び、端末側ゲートウェイ10の中の情報格納部120に書き込む(S108)。なお、この判定フラグの書き込み処理は、一度しか実施できないものではなく、例えば、通信異常検知部140から通知される異常発生情報等に基づいて脆弱性判定部450が判定結果を変更した場合等に判定フラグを修正し、その修正履歴を保持しておくことも可能である。
For each of the terminal-
一例として、脆弱性スコアが大きいほど脆弱であることを示す場合において、特定のセキュアIoTデバイス300の総合的な脆弱性スコアが所定の閾値以上である場合に、脆弱性判定部450は、当該セキュアIoTデバイス300をネットワーク600にアクセスさせないと判定し、セキュアIoTデバイス300についての通信NGの判定フラグ(アクセス制御指示)を端末側ゲートウェイ100に送信する。この指示を受けた端末側ゲートウェイ100の制御部150は、セキュアIoTデバイス300から送信されたパケットを拒否する等のアクセス制御を実行する。
As an example, in a case where a larger vulnerability score indicates a higher vulnerability, if the overall vulnerability score of a specific secure
また、自動車のように、複数のセキュアIoTデバイスを備える装置の場合には、例えば、自動車全体の総合的な脆弱性スコアと、自動車を構成する各セキュアIoTデバイスの総合的な脆弱性スコアとが、ネットワーク安全管理システム400の情報格納部430において階層的に管理される。そして、例えば、脆弱性判定部450は、自動車全体の総合的な脆弱性スコアが閾値未満で安全であると判定しても、自動車を構成する特定のセキュアIoTデバイスの総合的な脆弱性スコアが閾値以上である場合には、当該セキュアIoTデバイスの脆弱性を突いた自動車全体の制御系への攻撃の可能性があると判断し、当該自動車によるネットワーク600へのアクセスを不可とする指示を端末側ゲートウェイ100に送信する。
In addition, in the case of a device such as an automobile that includes a plurality of secure IoT devices, for example, the total vulnerability score of the entire automobile and the total vulnerability score of each secure IoT device that constitutes the automobile are combined. , are hierarchically managed in the
なお、上記の方法でアクセス制御を行うことは一例に過ぎない。例えば、下記の方法でアクセス制御を行うこととしてもよい。以下、アクセス制御についての変形例1、変形例2を説明する。 It should be noted that performing access control by the above method is merely an example. For example, access control may be performed by the following method. Modifications 1 and 2 of access control will be described below.
変形例1では、例えばネットワーク600上に、製品情報と脆弱性スコアとの対応関係を保持するサーバが備えられる。あるいは、セキュアIoTデバイスの種別やメーカ毎に、製品情報と脆弱性スコアとの対応関係を保持するサーバが備えられることとしてもよい。これらのサーバを情報サーバと呼ぶ。ここでの製品情報は、例えば、製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、ソフトウェアコンフィギュレーション情報、ハードウェアコンフィギュレーション情報等のうちのいずれか1つ又はいずれか複数である。また、変形例1では、セキュアIoTデバイス300内には脆弱性スコアを含まない製品情報が格納されていることを想定している。
In Modified Example 1, for example, on the
変形例1において、端末側ゲートウェイ100の製品情報取得部130は、図8のS103と同様に、製品情報をセキュアIoTデバイス300から取得する。そして、図8のS104、S105と同様に、当該製品情報はネットワーク安全管理システム400に送信される。
In Modified Example 1, the product
そして、ネットワーク安全管理システム400の脆弱性判定部450は、端末側ゲートウェイ100から受信した上記製品情報を情報サーバに送信することにより、当該製品情報を持つセキュアIoTデバイス300の脆弱性スコアを問い合わせる。脆弱性判定部450は、情報サーバから脆弱性スコアを受信し、当該脆弱性スコアに基づきセキュアIoTデバイス300のセキュリティレベルの判定を行い、アクセス制御を実行する。判定とアクセス制御については図8のS107、S108において既に説明したとおりである。
Then, the
次に、変形例2を説明する。変形例2では、ネットワーク安全管理システム400の情報格納部430に、製品情報と脆弱性スコアとの対応関係が保持される。ここでの製品情報は変形例1と同様であり、例えば、製造責任者、製品名、型番、バージョン、製造ロット番号、設定パラメータ値、動作モード、動作状態、ソフトウェアコンフィギュレーション情報、ハードウェアコンフィギュレーション情報等のうちのいずれか1つ又はいずれか複数である。また、変形例2でも、セキュアIoTデバイス300内には脆弱性スコアを含まない製品情報が格納されていることを想定している。
Next, modification 2 will be described. In Modification 2, the
変形例2において、端末側ゲートウェイ100の製品情報取得部130は、図8のS103と同様に、製品情報をセキュアIoTデバイス300から取得する。そして、図8のS104、S105と同様に、当該製品情報はネットワーク安全管理システム400に送信される。
In Modified Example 2, the product
そして、ネットワーク安全管理システム400の脆弱性判定部450は、端末側ゲートウェイ100から受信した上記製品情報と、情報格納部430に格納された対応関係とに基づいて、セキュアIoTデバイス300の脆弱性スコアを取得する。脆弱性判定部450は、当該脆弱性スコアに基づきセキュアIoTデバイス300のセキュリティレベルの判定を行い、アクセス制御を実行する。判定とアクセス制御については図8のS107、S108において既に説明したとおりである。
Then, the
次に、通信状態における通信システムの動作例を図9のシーケンス図を参照して説明する。 Next, an operation example of the communication system in the communication state will be described with reference to the sequence diagram of FIG.
セキュアIoTデバイス300は、順次パケットを送信する(S201)。端末側ゲートウェイ100における異常検知部140は、セキュアIoTデバイス300から受信したパケットを解析し、例えば、ホワイトリスト、機械学習、アノマリ検知等の技術を使用して異常検知を実施する(S202)。異常が検知された場合、異常検知部140は、ネットワーク安全管理システム400へ、通信事業者が定める通信手順と暗号化方式を用いて異常に関する情報(例:種類、発生時刻等)を通知する(S203)。なお、当該通知動作とともに、あるいは、当該通知動作とは別に、異常検知部140は、セキュアIoTデバイス300自身により検知された異常の情報をセキュアIoTデバイス300から取得し、当該異常検知情報をS203においてネットワーク安全管理システム400に通知してもよい。
The
ネットワーク安全管理システム400の異常処理部460は、端末側ゲートウェイ100から送信される異常検知情報を受信し、当該異常検知情報を情報格納部430に書き込む。そして、異常処理部460は、当該異常検知情報に基づいて、端末側ゲートウェイ100のリスクレベルを判定する。例えば、異常処理部460は、例えば、異常の種類、異常発生総件数、異常発生開始日時等に基づきリスクレベルを判定する(S204)。
The
より具体的には、例えば、異常処理部460は、特定のセキュアIoTデバイス300における、特定の種類の異常の発生件数が所定の閾値以上であることを検知した場合に、当該セキュアIoTデバイス300のリスクレベルを高い値に設定する。また、例えば、端末側ゲートウェイ100配下のセキュアIoTデバイス全体の異常発生件数が所定の閾値以上である場合に、当該端末側ゲートウェイ100のリスクレベルを高い値に設定する。
More specifically, for example, when the
異常処理部460(制御部470でもよい)は、判定したリスクレベルに応じて(例:リスクレベルの値がある閾値以上である場合に)、端末側ゲートウェイ100に対し、特定のセキュアIoTデバイス300との通信(送信/受信)、あるいは、全てのセキュアIoTデバイスとの通信(送信/受信)を一時停止するコマンドを、通信事業者が定める通信手順により送信するとともに、通信事業者のネットワーク安全管理者にその情報を通知する(S205)。
The abnormality processing unit 460 (which may be the control unit 470) instructs the terminal-
上記のコマンドを受信した端末側ゲートウェイ100において、制御部150が、コマンドに基づき、特定のセキュアIoTデバイス300等との通信の一時停止(一時的な遮断)等のアクセス制御を実行する。
In the terminal-
ネットワーク安全管理システム400の異常処理部460は、ネットワーク600内を流れるパケットを監視して、ネットワークの異常判定(図9でのS204)を行う機能も有する。
The
例えば、異常処理部460は、異常な通信として、DDoS攻撃、悪性サイトへの通信、端末側ゲートウェイ100(あるいはクラウド側ゲートウェイ200)に不正侵入を試みる通信等を検知する。例えば、異常処理部460は、端末側ゲートウェイ100についての異常を検知すると、ネットワーク安全管理システム400の情報格納部430における、端末側ゲートウェイ100の通信OKフラグをNGに書き換える。そして、異常処理部460は、端末側ゲートウェイ100に対し、IoTデータの通信を一時停止するコマンドを送信し、通信事業者のネットワーク安全管理者にその情報を通知する(例:図9のS205)。ただし、この場合、セキュアゲートウェイとネットワーク安全管理システム400との間の暗号通信チャネルは遮断しない。
For example, the
ネットワーク安全管理システム400の制御部470は、セキュアIoTデバイス300等の異常を検知した(通知された)場合において、端末側ゲートウェイ100に対して、配下のセキュアIoTデバイス300及び端末側ゲートウェイ100のログ(例:通信ログ、動作ログ)、及び設定情報等の送信を要求するコマンドを送信する(S206)。
When the
端末側ゲートウェイ100の制御部150は、当該コマンドに基づき、セキュアIoTデバイス300に対してログ等の要求を通信事業者が定める通信手順で送信する(S207)。
Based on the command, the
セキュアIoTデバイス300における制御部360は、自身が行った動作及び通信のログを、通信事業者が定める形式で、ユーザ(例:システム安全管理責任者)が設定する任意の期間分、ユーザが指定する領域(ログ格納部330)に記録している。そして、制御部360は、上記の要求を端末側ゲートウェイ100から受信すると、記録したログ、及び設定情報等を端末側ゲートウェイ100に送信する(S208)。
The
また、端末側ゲートウェイ100の制御部150は、自身が行った動作及び通信のログを情報格納部120に記録している。端末側ゲートウェイ100の制御部150は、S208でセキュアIoTデバイス300から受信した情報(ログ、設定情報等)と、自身の情報(ログ、設定情報等)をネットワーク安全管理システム400に送信する(S209)。また、端末側ゲートウェイ100の制御部150は、修復/交換されたセキュアIoTデバイスの最新情報を収集し、当該情報をネットワーク安全管理システム400に送信することとしてもよい。
Also, the
上記の情報を受信したネットワーク安全管理システム400において、異常処理部460が、受信した情報を解析して、異常発生箇所・異常発生原因を推定し、通信事業者のネットワーク安全管理者に通知する(S210)。
In the network
その後、例えば、ネットワーク安全管理システム400は、通信事業者のネットワーク安全管理者から異常解消に関する指示を受信する。ネットワーク安全管理システム400の異常処理部460は、通信事業者のネットワーク安全管理者からの指示に基づき、異常の原因を解消するための手段(例:セキュアIoTデバイスのソフトウェアバージョンアップ、設定パラメータ変更、強制終了等)を実施するコマンドとデータを端末側ゲートウェイ100に対して送信する(S211)。
After that, for example, the network
端末側ゲートウェイ100の制御部150は、受信したコマンドを実行することにより、上述した手段を実行し(S212)、実行結果を取得し(S213)、それをネットワーク安全管理システム400に送信する(S214)。ネットワーク安全管理システム400の異常処理部460は、当該実行結果を確認する(S215)。例えば、端末側ゲートウェイ100の制御部150は、異常の原因が解消されたことを示す情報(例:第三者機関による脆弱性テストで安全性が確認された最新バージョンのソフトウェアへのバージョンアップにより、脆弱性スコアが改善されたことを示す情報)を端末側ゲートウェイ100から受信した場合には、ネットワーク安全管理システム400内の情報格納部430に最新情報を追記し、該当の装置(例:セキュアIoTデバイス300)の通信NGフラグを通信OKに変更する。
By executing the received command, the
なお、ネットワーク安全管理システム400における上述した各機能を通信事業者の内部又は外部の者に悪用されることを防ぐために、当該各機能を、通信事業者が管理するネットワーク設備オペレーションシステム(例:SD-WAN/SD-LANのトラフィック制御、通信経路変更、セキュリティ機能配置等を司るオーケストレーター等)からのみ操作できる通信事業者社内専用API等の形で提供することとしてもよい。
In addition, in order to prevent the above-mentioned functions of the network
次に、クラウド安全管理システム500に関わる動作例を図10を参照して説明する。クライド安全管理システム500は、通信事業者が定める通信手順により、ネットワーク安全管理システム400からの異常発生通知の情報を受信し、情報格納部520に格納する(S301)。
Next, an operation example related to the cloud
情報格納部520には、クラウド毎に、当該クラウドのアプリケーションの種類や当該IoTシステムの利用目的、提供条件、利用者の要求等に応じて、IoTネットワークシステムにおいて求められるセキュリティレベルが格納されている。
The
クラウド安全管理システム500の制御部530は、ネットワーク安全管理システム400から受信する異常発生通知の情報に基づいて、その内容(セキュリティリスクレベル、対象範囲等)に応じて、IoTデータの通信の遮断、クラウド上のハードウェア(VM)やソフトウェアの動作モードの変更、動作停止(異常が終了した場合は再開)等を実行する。
The
例えば、クラウド安全管理システム500の制御部530は、異常発生通知の内容により、IoTネットワークシステムのセキュリティレベルが、特定のクラウド(例:図1のクラウド700)が必要とするセキュリティレベルよりも低下したことを検知すると、当該クラウド700と、ネットワーク600との間の通信を遮断する通信制御コマンドをクラウド側ゲートウェイ200に送信し、通信を遮断させる(図10のS302)。この通信を遮断させる処理は、完全に自動で実施してもよいし、人(例:クラウド安全管理者等)が判断した上で手動により通信制御コマンドを送信するようにしてもよい。
For example, the
また、制御部530は、クラウド内の異常(マルウェア感染、設定ミスや不具合による異常通信等)を検知する機能を有しており、当該異常を検知した場合には、異常の種類や発生箇所、復旧予定時刻等を、通信事業者のネットワーク安全管理システム400に通知する(S303)。
In addition, the
(実施の形態の効果等)
本発明の実施の形態に係る技術により、IoTのネットワークを管理する通信事業者が、つながるデバイスの種類やソフトウェアのバージョン、セキュリティ脆弱性テストの合否(脆弱性スコア)、改ざんやすり替えの有無、異常の発生状況等をネットワーク上で一元的に集中管理し、サイバー攻撃などによる異常や障がいが発生した場合の被害を最小化することが可能である。また、これらの情報を各国の通信事業者およびクラウドサービス事業者の間で共有することで、セキュリティリスクの高い「野良IoT端末」(セキュリティ脆弱性テストを受けておらず、ソフトウェアのバージョンが不明で、管理者が不明確の端末)を排除し、第三者機関によって一定の安全性が認定されたハードウェアとソフトウェアで構成される、重要インフラ/重要生活機器向けのセキュアなIoTネットワーク&クラウドサービスを提供することが可能になる。
(Effects of the embodiment, etc.)
With the technology according to the embodiment of the present invention, the communication carrier managing the IoT network can check the type of connected device, software version, pass/fail of security vulnerability test (vulnerability score), presence or absence of tampering or replacement, abnormality It is possible to centrally manage the occurrence status etc. on the network and minimize the damage in the event of an abnormality or failure due to a cyber attack. In addition, by sharing this information between telecommunications carriers and cloud service providers in each country, it is possible to identify high-security "stray IoT terminals" (which have not undergone security vulnerability tests and whose software version is unknown). A secure IoT network and cloud service for important infrastructure/important life equipment that excludes devices with unknown administrators) and consists of hardware and software certified for a certain level of safety by a third-party organization. can be provided.
それにより、例えば、ライフラインにかかわる重要な設備をつなぐIoTのセキュリティマネジメントにかかる社会的なコストを低減することができ、国際的なサイバーテロによる被害や激甚災害等有事の際に世界各国の通信事業者が異常の発生箇所や原因や対処方法に関する情報を迅速に共有し応急措置と復旧にかかる時間を短縮して、IoTシステムの停止による産業界の事業機会損失や生活者の生活水準低下の影響を抑制することが可能となる。 As a result, for example, it is possible to reduce the social cost of IoT security management that connects important facilities related to lifelines, and to prevent damage from international cyber terrorism and disasters such as serious disasters. Businesses can quickly share information on the location, cause, and countermeasures of abnormalities, shorten the time required for emergency measures and restoration, and reduce the loss of business opportunities in the industrial world and the deterioration of living standards of consumers due to the suspension of IoT systems. It is possible to suppress the influence.
また、IoTシステムを構成するハードウェアとソフトウェアの安全性(セキュリティ脆弱性)のレベル(第三者機関による認定テストの合否結果やスコア)を、ベンダーやSI事業者やクラウド事業者やユーザーやテロリストによって上書き・改ざんされることなく、第三者機関と、各国政府によって特別な権限を与えられた通信事業者のみによって管理・共有することが可能となり、各国の国家安全保障や国防のレベルを高めることができる。 In addition, the level of safety (security vulnerability) of the hardware and software that make up the IoT system (pass/fail results and scores of certification tests by third-party organizations) can be measured by vendors, SI operators, cloud operators, users, and terrorists. It can be managed and shared only by third parties and telecommunications carriers who have been granted special authority by each country's government, without being overwritten or tampered with by be able to.
また、IoTを構成するハード・ソフトの製造責任者・製品名・型番・バージョン・製造ロット番号・設定パラメータ値等を、例えば各種デバイスのICチップ上の上書き不能なセキュア領域や、ソフトウェアモジュールに組み込む暗号化データ格納領域などに、非公開の(安全認証機関と通信事業者だけが知っている)通信手順と暗号方式で読み書きして一元的に管理することができるため、改ざんやなりすまし等による撹乱のリスクを最小限に抑えることができる。 In addition, the manufacturing manager, product name, model number, version, manufacturing lot number, setting parameter values, etc. of the hardware and software that make up the IoT are incorporated into the non-overwritable secure area on the IC chip of various devices and software modules. Disturbance due to falsification, spoofing, etc. can be centrally managed by reading and writing in encrypted data storage areas, etc., using private communication procedures and encryption methods (known only to security certification bodies and telecommunications carriers). can minimize the risk of
すなわち、本発明の実施の形態により、重要インフラや重要生活機器につながるIoTシステムのセキュリティ管理にかかる社会全体のコストを軽減することができる。また、サイバーテロ発生時に、各国の政府(警察・軍)が自国の通信事業者に対して非常時の応急措置(安全性が確認できないハード/ソフトからの通信遮断など)や、被害箇所の特定、原因の解析、犯人の追跡、復旧などを指示命令すれば、それらの対応を迅速に行うことができるため、サイバー攻撃による社会的な被害を最小限に抑えることができる。また、一般的に通信事業者は、国防上の観点や社会の安定性確保の観点から、各国の法律によって管理・規制され事業活動の内容が国民に開示されているため、本発明の仕組みを通信事業者が管理することにより、本発明の仕組みが、国民が知らない間に特定の営利企業や犯罪集団などの手に渡り、重要インフラや重要生活機器の安全が脅かされてしまうリスクを抑制することができる。 That is, according to the embodiment of the present invention, it is possible to reduce the cost of security management for the IoT system connected to important infrastructures and important life appliances for society as a whole. In addition, in the event of cyber terrorism, the governments (police and military) of each country will ask their telecommunications carriers to take emergency emergency measures (such as blocking communication from hardware/software whose safety cannot be confirmed), and to identify damage points. , analysis of the cause, tracking of criminals, recovery, etc., it is possible to quickly respond to them, so it is possible to minimize social damage caused by cyberattacks. In general, telecommunications carriers are managed and regulated by the laws of each country and their business activities are disclosed to the public from the viewpoint of national defense and social stability. By being managed by telecommunications carriers, the risk of the mechanism of the present invention falling into the hands of specific commercial enterprises or criminal groups without the public's knowledge and jeopardizing the safety of important infrastructure and important life equipment is suppressed. can do.
(実施の形態のまとめ)
以上、説明したように、本発明の実施の形態によれば、端末とネットワークとの間のゲートウェイと、制御装置とを備える通信システムであって、前記制御装置は、前記端末の脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定し、前記ゲートウェイは、前記判定の結果に基づいて、前記端末からのアクセスの制御を実行することを特徴とする通信システムが提供される。
(Summary of embodiment)
As described above, according to the embodiments of the present invention, there is provided a communication system comprising a gateway between a terminal and a network, and a control device, wherein the control device determines the vulnerability score of the terminal. The gateway determines whether or not the terminal can access the network based on the result of the determination, and the gateway controls access from the terminal based on the result of the determination.
前記脆弱性スコアは、例えば、前記端末から取得された情報、又は、前記端末の製品情報と脆弱性スコアとの対応関係に基づき取得された情報である。また、前記ゲートウェイは、前記端末における異常に関する情報を前記制御装置に通知し、前記制御装置は、前記異常に関する情報に基づいて、前記ゲートウェイに対し、前記端末からのアクセスの制御を実行させることとしてもよい。 The vulnerability score is, for example, information acquired from the terminal, or information acquired based on a correspondence relationship between the product information of the terminal and the vulnerability score. Further, the gateway notifies the control device of information regarding an abnormality in the terminal, and the control device causes the gateway to control access from the terminal based on the information regarding the abnormality. good too.
また、本発明の実施の形態によれば、端末とネットワークとの間のゲートウェイと、制御装置とを備える通信システムにおいて実行される通信制御方法であって、前記制御装置が、前記端末の脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定するステップと、前記ゲートウェイが、前記判定の結果に基づいて、前記端末からのアクセスの制御を実行するステップとを備えることを特徴とする通信制御方法が提供される。 Further, according to an embodiment of the present invention, there is provided a communication control method executed in a communication system comprising a gateway between a terminal and a network, and a control device, wherein the control device detects vulnerability of the terminal determining whether or not the terminal can access the network based on the score; and performing control of access from the terminal by the gateway based on the result of the determination. A communication control method is provided.
また、本発明の実施の形態によれば、端末とネットワークとの間のゲートウェイと、制御装置とを備える通信システムにおける前記制御装置であって、前記端末から取得された脆弱性スコア、又は、前記端末の製品情報と脆弱性スコアとの対応関係に基づき取得された脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定する手段と、前記判定の結果に基づいて、前記ゲートウェイに対して、前記端末からのアクセスの制御を指示する手段とを備えることを特徴とする制御装置が提供される。 Further, according to an embodiment of the present invention, the control device in a communication system comprising a gateway between a terminal and a network, and a control device, wherein the vulnerability score obtained from the terminal, or the means for determining whether or not the terminal can access the network based on the vulnerability score acquired based on the corresponding relationship between the product information of the terminal and the vulnerability score; In contrast, there is provided a control device characterized by comprising means for instructing control of access from the terminal.
また、本発明の実施の形態によれば、端末とネットワークとの間のゲートウェイと、制御装置とを備える通信システムにおける前記ゲートウェイであって、前記端末から製品情報を取得し、当該製品情報を前記制御装置に送信する手段と、前記製品情報を用いて前記制御装置において実行されたアクセス可否判定に基づいて、前記制御装置から前記端末からのアクセスの制御の指示を受信し、当該指示に応じて、前記端末からのアクセスの制御を実行する手段とを備えることを特徴とするゲートウェイが提供される。 Further, according to an embodiment of the present invention, the gateway in a communication system comprising a gateway between a terminal and a network, and a control device, acquires product information from the terminal, and sends the product information to the a means for transmitting to a control device; receiving an access control instruction from the terminal from the control device based on an access permission judgment executed in the control device using the product information; and means for performing control of access from said terminal.
また、本発明の実施の形態によれば、コンピュータを、前記制御装置における各手段として機能させるためのプログラムが提供され、コンピュータを、前記ゲートウェイにおける各手段として機能させるためのプログラムが提供される。 Further, according to an embodiment of the present invention, there is provided a program for causing a computer to function as each means in the control device, and a program for causing a computer to function as each means in the gateway.
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the present embodiment has been described above, the present invention is not limited to such a specific embodiment, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims. It is possible.
10 IoTデバイス
20 従来のネットワーク
30 従来のクラウド
100 セキュアゲートウェイ
200 セキュアゲートウェイ
300 セキュアIoTデバイス
400 ネットワーク安全管理システム
500 クラウド安全管理システム
600 安全なネットワーク
700 安全なクラウド
750 IoT安全管理者
800 通信事業者
900 クラウド事業者
110 通信部
120 情報格納部
130 製品情報取得部
140 異常検知部
150 制御部
210 通信部
220 情報格納部
230 制御部
310 通信部
320 属性情報格納部
330 ログ格納部
340 異常検知部
350 状態管理部
360 制御部
410 通信部
420 認証部
430 情報格納部
440 情報取得部
450 脆弱性判定部
460 異常処理部
470 制御部
510 通信部
520 情報格納部
530 制御部
10
Claims (6)
前記制御装置は、異常発生情報の件数が閾値以上である場合の脆弱性判定の基準を、異常発生情報の件数が前記閾値未満である場合の脆弱性判定の基準よりも厳しくして、前記端末の脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定し、
前記ゲートウェイは、前記判定の結果に基づいて、前記端末からのアクセスの制御を実行し、
前記脆弱性スコアは、前記端末に対して第三者機関により実行されたセキュリティ脆弱性テスト判定結果の値である
ことを特徴とする通信システム。 A communication system comprising a gateway between a terminal and a network and a control device,
The control device sets a criterion for vulnerability determination when the number of abnormal occurrence information is equal to or greater than a threshold to be stricter than a criterion for vulnerability determination when the number of abnormal occurrence information is less than the threshold. determining whether the terminal can access the network based on the vulnerability score of
the gateway controls access from the terminal based on the result of the determination;
A communication system, wherein the vulnerability score is a value of a security vulnerability test determination result executed by a third party on the terminal.
ことを特徴とする請求項1に記載の通信システム。 The communication system according to claim 1, wherein the vulnerability score is information acquired from the terminal, or information acquired based on a correspondence relationship between product information of the terminal and the vulnerability score. .
ことを特徴とする請求項1又は2に記載の通信システム。 The gateway notifies the control device of information regarding an abnormality in the terminal, and the control device causes the gateway to control access from the terminal based on the information regarding the abnormality. The communication system according to claim 1 or 2.
前記制御装置が、異常発生情報の件数が閾値以上である場合の脆弱性判定の基準を、異常発生情報の件数が前記閾値未満である場合の脆弱性判定の基準よりも厳しくして、前記端末の脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定するステップと、
前記ゲートウェイが、前記判定の結果に基づいて、前記端末からのアクセスの制御を実行するステップと、を備え、
前記脆弱性スコアは、前記端末に対して第三者機関により実行されたセキュリティ脆弱性テスト判定結果の値である
ことを特徴とする通信制御方法。 A communication control method executed in a communication system comprising a gateway between a terminal and a network and a control device,
The control device makes a criterion for vulnerability determination when the number of abnormal occurrence information is equal to or greater than a threshold stricter than a criterion for vulnerability determination when the number of abnormal occurrence information is less than the threshold, and the terminal determining whether the terminal can access the network based on the vulnerability score of
the gateway performing access control from the terminal based on the result of the determination;
The communication control method, wherein the vulnerability score is a value of a result of a security vulnerability test performed on the terminal by a third party.
異常発生情報の件数が閾値以上である場合の脆弱性判定の基準を、異常発生情報の件数が前記閾値未満である場合の脆弱性判定の基準よりも厳しくして、前記端末から取得された脆弱性スコア、又は、前記端末の製品情報と脆弱性スコアとの対応関係に基づき取得された脆弱性スコアに基づいて、前記端末の前記ネットワークへのアクセス可否を判定する手段と、
前記判定の結果に基づいて、前記ゲートウェイに対して、前記端末からのアクセスの制御を指示する手段と、を備え、
前記脆弱性スコアは、前記端末に対して第三者機関により実行されたセキュリティ脆弱性テスト判定結果の値である
ことを特徴とする制御装置。 A control device in a communication system comprising a gateway between a terminal and a network, and a control device,
Vulnerability determination criteria obtained from the terminal are made stricter than criteria for vulnerability determination when the number of abnormal occurrence information is equal to or greater than the threshold than the criteria for vulnerability determination when the number of abnormal occurrence information is less than the threshold. means for determining whether the terminal can access the network based on a vulnerability score or a vulnerability score obtained based on a correspondence relationship between the product information of the terminal and the vulnerability score;
means for instructing the gateway to control access from the terminal based on the result of the determination;
The control device, wherein the vulnerability score is a value of a result of a security vulnerability test performed on the terminal by a third party.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017211134A JP7150425B2 (en) | 2017-10-31 | 2017-10-31 | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017211134A JP7150425B2 (en) | 2017-10-31 | 2017-10-31 | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019083478A JP2019083478A (en) | 2019-05-30 |
JP7150425B2 true JP7150425B2 (en) | 2022-10-11 |
Family
ID=66671223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017211134A Active JP7150425B2 (en) | 2017-10-31 | 2017-10-31 | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7150425B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116521784B (en) * | 2023-05-06 | 2023-10-10 | 广州银汉科技有限公司 | U3D-based visual workflow framework generation method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006092826A1 (en) | 2005-02-28 | 2006-09-08 | Fujitsu Limited | Service control system, service control method, and service control program |
JP2006332997A (en) | 2005-05-25 | 2006-12-07 | Nec Corp | Communication management device, network system, communication disconnecting method, and program |
JP2016058997A (en) | 2014-09-12 | 2016-04-21 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | System and method for monitoring access to network in secured site |
-
2017
- 2017-10-31 JP JP2017211134A patent/JP7150425B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006092826A1 (en) | 2005-02-28 | 2006-09-08 | Fujitsu Limited | Service control system, service control method, and service control program |
JP2006332997A (en) | 2005-05-25 | 2006-12-07 | Nec Corp | Communication management device, network system, communication disconnecting method, and program |
JP2016058997A (en) | 2014-09-12 | 2016-04-21 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | System and method for monitoring access to network in secured site |
Also Published As
Publication number | Publication date |
---|---|
JP2019083478A (en) | 2019-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6334069B2 (en) | System and method for accuracy assurance of detection of malicious code | |
CN114978584A (en) | Network security protection safety method and system based on unit cell | |
Nicholson et al. | SCADA security in the light of Cyber-Warfare | |
US20180367553A1 (en) | Cyber warning receiver | |
US11689544B2 (en) | Intrusion detection via semantic fuzzing and message provenance | |
CN113839935B (en) | Network situation awareness method, device and system | |
CN113660224A (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
Naedele | Addressing IT security for critical control systems | |
Li et al. | A critical review of cyber-physical security for building automation systems | |
CN116827675A (en) | Network information security analysis system | |
CN113411295A (en) | Role-based access control situation awareness defense method and system | |
CN114625074A (en) | Safety protection system and method for DCS (distributed control System) of thermal power generating unit | |
CN113660222A (en) | Situation awareness defense method and system based on mandatory access control | |
JP7150425B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
KR101871406B1 (en) | Method for securiting control system using whitelist and system for the same | |
KR101889503B1 (en) | Method and apparatus for providing flight data protection | |
Schneider et al. | Cyber security maintenance for SCADA systems | |
KR101343693B1 (en) | Network security system and method for process thereof | |
Mishima et al. | Secure Campus Network System with Automatic Isolation of High Security Risk Device | |
Maynard et al. | Using Application Layer Metrics to Detect Advanced SCADA Attacks. | |
Carr | Development of a tailored methodology and forensic toolkit for industrial control systems incident response | |
JP4437410B2 (en) | Security management apparatus and program | |
Kalhara et al. | Comprehensive Security Solution for an Industry 4.0 Garment Manufacturing System | |
Sindhu et al. | Intelligent multi-agent based genetic fuzzy ensemble network intrusion detection | |
Jacobs | Job-site security risk management beyond gates, guards, and guns |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200715 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210528 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210906 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220425 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220906 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220928 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7150425 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |