WO2013124878A1

WO2013124878A1 - 通信装置、システム、制御プログラム、および制御方法

Info

Publication number: WO2013124878A1
Application number: PCT/JP2012/001124
Authority: WO
Inventors: 由美酒見; 伊豆　哲也; 良信下川; 忠重岩尾
Original assignee: 富士通株式会社
Priority date: 2012-02-20
Filing date: 2012-02-20
Publication date: 2013-08-29
Also published as: US20140351950A1; US9760717B2

Abstract

【課題】　通信装置に記憶された秘密情報の漏えいを防止する為の機能を有効にした場合であっても、当該機能が不要な場合の振動であれば、当該機能を解除することを目的とする。【解決手段】　通信ネットワークを構成する複数の通信装置の中の一つの通信装置であって、前記通信装置の振動を検出する検出部と、前記複数の通信装置のうちの他の通信装置から、該他の通信装置において振動が検出されたことを示す通知を受信する通信部と、前記検出部で振動を検出した場合に、前記通信装置の状態を、該通信装置が管理する情報を保護する警戒状態へ遷移させ、前記通知に基づいて前記振動が地震による振動であると判断した場合に、前記警戒状態を解除する制御部とを有することを特徴とする通信装置。

Description

通信装置、システム、制御プログラム、および制御方法

　本明細書に開示する技術は、通信装置が有する情報に対するセキュリティ技術に関する。

　アドホックネットワークとは、無線又は有線通信によってリンクする自己構成型のネットワークの一種である。アドホックネットワークは、通信機能を有する複数の装置により構成される。なお、アドホックネットワークにおける、通信機能を有する装置は、ノードと呼ばれる。また、アドホックネットワーク内の各ノードは、マルチホップ通信によりパケットを送受信する。マルチホップ通信は、互いの通信圏内に存在しないノード同士であっても、各ノードの通信圏内に存在する別のノードを介して通信を可能にする技術である。

　例えば、アドホックネットワークを利用したシステムとして、各家庭の電力メータに無線通信可能なノードを組み込むことにより、アドホックネットワーク経由で各家庭の消費電力量などを収集する検針システムがある。検針システムでは、各電気メータが検出した各家庭の消費電力量を含むパケットが、各家庭の電気メータが備える各ノードから電力会社のシステムまで転送される。このような検針システムにおける各ノードは、自身の記憶領域に、各家庭の電力使用に係る個人情報を記憶する。

　また、秘匿性、改ざん防止などの観点から、アドホックネットワークを利用した通信では、セキュアな通信を行うことが要求される。セキュアな通信の一例としては、パケットの全体または一部を暗号化して転送する手法などが用いられる。セキュアな通信を行う為に、各ノードは、自身の記憶領域に、個人情報を暗号化する暗号鍵などを記憶する。

　一方、携帯端末装置が、所定の振動を検知した場合に、所定の解除操作以外の操作を無効にする端末保護機能を有効にするとともに、正規の利用者からの解除操作が入力されると、端末保護機能を無効にする技術がある（例えば、特許文献１）。

特開２０１１－３００５４号公報

　各ノードが盗難された場合、各ノードの記憶領域に記憶された秘密情報が漏えいする可能性がある。ここで、秘密情報は、個人情報やネットワークのセキュリティを確保するための情報（例えば暗号鍵など）である。

　そこで、携帯端末装置に関する従来技術を流用し、ノードが、所定の振動を検知した場合に、秘密情報が漏えいを防止する為の機能を有効にすることで、盗難により秘密情報が漏えいすることを防ぐことが考えられる。例えば、秘密情報が漏えいを防止する為の機能は、所定の振動を検知してから所定時間経過後に、秘密情報を消去する機能などが考えられる。

　ここで、振動を検知する手段としては加速度センサがよく利用されるが、加速度センサは、盗難以外による振動も検知する事がある。盗難以外の振動を含む種々の振動に応じて、秘密情報の漏えいを防止する為の機能を有効にすることは、適切ではない。

　本発明は、ノードが、秘密情報の漏えいを防止する為の機能を有効にした場合であっても、当該機能が不要な場合の振動であれば、当該機能を解除することを目的とする。

　本発明の一観点によれば、通信ネットワークを構成する複数の通信装置の中の一つの通信装置は、前記通信装置の振動を検出する検出部と、前記複数の通信装置のうちの他の通信装置から、該他の通信装置において振動が検出されたことを示す通知を受信する通信部と、前記検出部で振動を検出した場合に、前記通信装置の状態を、該通信装置が管理する情報を保護する警戒状態へ遷移させ、前記通知に基づいて前記振動が地震による振動であると判断した場合に、前記警戒状態を解除する制御部とを有する。

　本発明の一観点によれば、通信装置は、振動により通常状態から異常状態へ移行した後、異常状態を解除すべき場合に、解除することが可能になる。

図１は、実施の形態にかかるネットワークシステムの一実施例を示す説明図である。図２は、通信装置の機能ブロック図である。図３は、管理装置の機能ブロック図である。図４は、実施例１において、通信装置１により実行される処理フローチャートである。図５は、遷移通知のデータ構成例である。図６は、実施例１において、管理装置２により実行される処理フローチャートである。図７は、管理テーブルのデータ構成例である。図８は、制御命令のデータ構成例である。図９は、実施例２における通信装置の機能ブロック図である。図１０は、実施例２において、通信装置３により実行される処理フロー図である。図１１は、通信装置１および通信装置３のハードウェア構成例である。図１２は、管理装置２のハードウェア構成例である。

　以下に添付図面を参照して、この発明にかかる通信装置、通信方法、およびシステムの実施の形態を詳細に説明する。
（実施例１）
［ネットワークシステム］
　図１は、実施の形態にかかるネットワークシステムの一実施例を示す説明図である。ネットワークシステムは、複数の通信装置と、管理装置とを含む。なお、図１は、本実施の形態にかかるネットワークシステムの一例として、アドホックネットワークを構成するシステムを示す。まず、図１を用いて、アドホックネットワークおよび、アドホックネットワークにおける通常のパケット転送について、説明する。

　アドホックネットワークシステムは、管理サーバＳと、シンクノードＳＮと、ノードＮａ～Ｎｈとを含む。なお、ノードＮａ～Ｎｈは、通信装置の一例である。また、管理サーバＳと、シンクノードＳＮとの少なくとも一方は、管理装置の一例である。

　管理サーバＳとシンクノードＳＮとはインターネット、ＬＡＮ、ＷＡＮなどの通常ネットワーク１０１を介して接続されている。シンクノードＳＮとノードＮａ～Ｎｈとは、アドホックネットワーク１００を介して接続されている。

　シンクノードＳＮは、アドホックネットワーク１００と通常ネットワーク１０１とを接続する中継機器である。シンクノードＳＮは、アドホックネットワーク１００のプロトコルの形式の情報と通常ネットワーク１０１のプロトコルの形式の情報の両方を送受信可能である。

　また、シンクノードＳＮは、アドホックネットワーク１００と通常ネットワーク１０１との間で情報をプロトコル変換することにより、通信の転送を行う。例えば、アドホックネットワーク１００内の各ノードから管理サーバＳ宛に送信されたパケットは、シンクノードＳＮにてプロトコル変換される。その後、シンクノードＳＮが、当該パケットを、通常ネットワーク１０１に転送することで、各パケットは管理サーバＳに到達する。

　また、管理サーバＳやシンクノードＳＮからそれぞれのノード宛てに送信されたデータは、シンクノードＳＮにてプロトコル変換され、シンクノードＳＮからアドホックネットワーク１００内の各ノードにパケットとして転送される。

　なお、シンクノードＳＮは、各ノード間の通信の可否をルーティングテーブルにより把握する。そして、シンクノードＳＮは、ルーティングテーブルの情報を元に、パケットの転送ルートを、自律的に生成する。各ノードは、シンクノードＳＮのルーティングにより、マルチホップ通信を行う際の転送元と転送先を設定する。なお、転送元は、自ノードであり、転送先は、他ノードである。

　また、各ノードは、個別にルーティングテーブルを生成してもよい。各ノードは、周囲のノードと現在の通信状況に関する情報を交換する。そして、各ノードは、通信状況に関する情報に基づいて、ルーティングテーブルを生成する。例えば、あるノードが通信不能となり途中の経路が通信できなくなった場合でも、その情報を加味した転送経路の設定が可能となる。

　アドホックネットワーク１００内には、複数のノードが設けられている。図１では、代表としてノードＮａ～Ｎｈを示している。

　各ノードは、所定の通信圏内で通信可能な他ノードとマルチホップ通信が可能な装置である。アドホックネットワーク１００では、すべてのノードＮａ～Ｎｈが直接シンクノードＳＮと通信できる必要はなく、他のノードを経由する事で、各ノードＮａ～Ｎｈは、シンクノードＳＮと通信する。

　このため、アドホックネットワーク１００では、一部のノードがシンクノードＳＮと通信可能であればよい。図１では、シンクノードＳＮと直接通信可能なノードは、ノードＮａ，Ｎｄであるとする。

　本実施例のネットワークシステムは、たとえば各家庭の電力の使用量を収集するシステムに適用される。このようなシステムの場合、各ノードは、各家庭の電力の使用量を検出するための各家庭の電力メータに設置される。各ノードが検出した電力の使用量を、管理サーバＳに送信することで、管理サーバＳは、各家庭の電力の使用量を収集することが可能になる。

　具体的には、例えば、各家庭の電力メータにそれぞれノードが組み込まれているとする。各ノードは、各ノードが検出した各家庭の電力や使用量を、アドホックネットワーク１００を介して管理サーバＳに送信する。

　なお、各家庭の電力の使用量は、各ノードが計測してもよく、また、各ノードが電力メータから取得してもよい。また、各ノードは、自身の記憶領域に、検出した電力使用量を記憶する。シンクノードＳＮは、アドホックネットワーク１００内の各ノードから受信した各家庭の電力や使用量を、通常ネットワーク１０１を介して電力会社の管理サーバＳに送信する。これにより、作業員が現地に出向くことなく電力の使用量を収集することができる。

　また、本実施形態のネットワークシステムでは、暗号鍵を用いてパケットを暗号化する。なお、さらに、メッセージ認証コード（ＭＡＣ）を生成し、各パケットに付加してもよい。ＭＡＣを生成する際には、ＭＡＣ生成用の鍵が使用される。これにより、アドホックネットワーク１００のセキュア通信を確保する。なお、暗号鍵やＭＡＣ生成用の鍵は、各ノードの記憶領域に記憶されている。

　なお、図１の例では、アドホックネットワーク１００内に１台のシンクノードＳＮを設ける構成としたが、一つのアドホックネットワーク１００内に複数台のシンクノードＳＮを設ける構成としてもよい。

　また、図１ではアドホックネットワーク１００は一つであるが、複数のアドホックネットワークを含む場合もある。複数のアドホックネットワークを含む場合、複数のアドホックネットワークにはそれぞれ少なくとも一つのシンクノードが含まれており、管理サーバＳは当該シンクノードと通常ネットワークを介して接続する。この構成により、管理サーバＳと全てのノードとのデータ送受信が可能になる。

　また、本ネットワークシステムは、電力の使用量の収集だけでなく、各ノードに温度，湿度，光量などを検知するセンサ機能を持たせて、例えば、環境などの調査に使用することも可能である。

　図１では、アドホックネットワーク１００を構成するノードＮａ～Ｎｈにより、４つの経路Ｒ１～Ｒ４が設定されているものとする。具体的には、経路Ｒ１は、ノードＮｃとノードＮｂとノードＮａとシンクノードＳＮとを含むルートである。経路Ｒ２は、ノードＮｅとノードＮｄとシンクノードＳＮとを含むルートである。経路Ｒ３は、ノードＮｇとノードＮｆとノードＮｄとシンクノードＳＮとを含むルートである。経路Ｒ４は、ノードＮｈとノードＮｆとノードＮｄとシンクノードＳＮとを含むルートである。なお、ノードＮａやノードＮｄはシンクノードと直接通信するノードである。

　シンクノードＳＮに近いノードを上流側のノードと呼ぶ。なお、アドホックネットワーク１００の規模によっては、ノードＮｂやノードＮｅも上流側のノードとなる。各ノードＮａ～Ｎｈから管理サーバＳへデータが送信される場合は、各ノードＮａ～Ｎｈは、各々検出したデータをルーティングされた経路Ｒ１～Ｒ４に従ってシンクノードＳＮに送信する。

　次に、通信装置の機能的構成について説明する。なお、図１におけるノードＮを、以下通信装置として説明する。図２は、通信装置の機能ブロック図である。

　通信装置１は、通信部１１、検出部１２、制御部１３、取得部１４、記憶装置１５を有する。通信部１１は、他の通信装置と通信を行う処理部である。例えば、通信部１１は、他の通信装置とパケットの授受を行う。また、一部の通信装置１における通信部１１は、図１のシンクノードＳＮと通信を行う。例えば、通信部１１は、直接または間接的に管理装置から後述する制御命令を受信する。

　検出部１２は、通信装置１の振動を検出する処理部である。例えば、検出部１２は、通信装置１が備える加速度センサからの出力を受けて、振動を検知する。なお、加速度センサからの出力が、所定値以上である場合に、振動を検出するようにしてもよい。

　制御部１３は、通信装置１の状態を制御する処理部である。例えば、検出部１２が振動を検知した場合に、記憶装置１５が記憶する秘密情報を保護する為の状態へ遷移する。また、制御部１３は、管理サーバからの制御命令を受信した場合に、記憶装置１５が記憶する秘密情報を保護する為の状態を解除する。制御命令の詳細については、後述する。

　記憶装置１５が記憶する秘密情報を保護する為の状態は、警戒状態と称される。なお、警戒状態とは、記憶装置１５が記憶する秘密情報が漏えいすることを防ぐために、何らかの対策がなされた状態である。

　警戒状態の一例には、記憶装置へのアクセスに対するセキュリティを通常状態よりも高く設定する対策がなされた状態が含まれる。また、他の例としては、振動を検知してからの経過時間を監視する状態である。なお、振動を検知してからの経過時間が所定の閾値以上となった場合は、秘密情報を消去することで、秘密情報の流出を防ぐ。

　以下、警戒状態は、振動を検知してからの経過時間を、制御部１３が、監視する状態であるとして説明する。つまり、制御部１３は、検出部１２が振動を検知した場合に、経過時間の監視を開始する。そして、制御部１３は、所定時間経過後に、秘密情報を消去する。一方、所定時間経過前に、制御命令を受信した場合は、制御部１３は、経過時間の監視を中止することで警戒状態を解除する。つまり、経過時間の計測が停止されるため、秘密情報は消去されない。

　取得部１４は、通信装置１が有するセンサや装置、または外部のセンサまたは装置からの出力値を取得する。そして、取得部１４は、出力値を、記憶装置１５へ記憶する。

　記憶装置１５は、出力値を記憶する記憶装置である。なお、出力値の少なくとも一部は、秘密情報として扱われる。さらに、記憶装置１５は、暗号鍵等のセキュリティに関する情報を記憶する記憶装置である。

　次に、管理装置について説明する。管理装置は、図１におけるシンクノードＳＮまたは管理サーバＳのいずれかである。図３は、管理装置の機能ブロック図である。

　管理装置２は、通信部２１と生成部２２と記憶装置２３とを有する。通信部２１は、通信装置１と直接的または間接的に通信する。例えば、通信部２１は、制御命令を出力する。例えば、管理装置２がシンクノードＳＮである場合は、管理装置２は、上流の通信装置に対して、制御命令を送信する。一方、管理装置２が管理サーバである場合は、管理装置２は、シンクノードＳＮを介して、制御命令　を各通信装置に送信する。

　そして、上流の通信装置から下流の通信装置に制御命令が転送される。なお、上流の通信装置から下流の通信装置に制御命令が送信される際には、ルーティングに従わずに、制御命令に関するパケットをブロードキャストするとしても良い。

　生成部２２は、制御命令を生成する処理部である。制御命令は、各通信装置に対して、警戒状態の解除を指示する信号である。また、制御命令は、各通信装置が、警戒状態へ遷移することを防止する信号または、警戒状態に遷移することを防止する信号である。

　生成部２２は、制御命令を受信する通信装置を指定する識別情報を、制御命令と共に生成してもよい。識別情報は、各通信装置の装置ＩＤやアドレスであってもよい。また、識別情報として、ネットワークを識別する情報であってもよい。例えば、管理装置２が管理サーバである場合は、シンクノードＳＮを指定する。指定されたシンクノードＳＮが管理するネットワークが指定される。各ネットワークに含まれる複数の通信装置に、制御命令が送信される。一方、管理装置２が、シンクノードＳＮである場合は、識別情報がない状態でも、シンクノードＳＮ配下の各通信装置が、制御命令を受信する。

　次に、通信装置１の処理を説明する。図４は、実施例１において、通信装置１により実行される処理フローチャートである。

　検出部１２は、加速度センサから、加速度センサが検出した加速度を受信する（Ｏｐ．１）。検出部１２は、受信した加速度が、閾値以上であるか否かを判定する（Ｏｐ．２）。なお、Ｏｐ．２は、盗難の可能性がある振動を検知することを目的とした処理である。そこで、閾値としては、盗難の可能性を推定可能な加速度の値が設定される。

　閾値以上の加速度であれば、閾値以上の揺れが通信装置１に発生したと判定する。つまり、通信装置１が盗難された可能性があると判断する。閾値以上の加速度であれば（Ｏｐ．２ＹＥＳ）、通信装置１は、Ｏｐ．３へ処理を進める。一方、閾値未満の加速度であれば（Ｏｐ．２ＮＯ）、通信装置１は、Ｏｐ．１へ戻る。

　次に、管理装置２から制御命令を受信しているか否かを判定する（Ｏｐ．３）。制御命令は、後述の処理によって、管理装置２で生成される。なお、制御命令は、警戒状態を解除する命令または、警戒状態に遷移することを防止する命令である。

　制御命令を受信していない場合（Ｏｐ．３ＮＯ）、制御部１３は、予めルーティングされたルートに基づいて、管理装置２を最終的な送信先とする遷移通知を送信する（Ｏｐ．４）。なお、遷移通知は、暗号化されて送信されてもよい。制御命令を受信している場合（Ｏｐ．３ＹＥＳ）、Ｏｐ．１に戻る。つまり、通信装置１は、警戒状態へ遷移しない。

　ここで、遷移通知について、説明する。遷移通知は、通信装置が、閾値以上の振動を検知したことを、他の装置に知らせる為のパケットである。遷移通知のデータ構成例を説明する。図５は、遷移通知のデータ構成例である。

　なお、図５は、通常のパケットと、同様の構成を遷移通知に採用した例である。通常のパケットとは、各通信装置が検出した情報をマルチホップ転送する際のパケットである。通常のパケットは、ヘッダ部とボディ部とを有し、ヘッダ部に転送に関する情報を含み、ボディ部に検出した情報を含む。ただし、遷移通知は、通常のパケットと同様の構成でなくとも、予めきめられた構成であってもよい。

　図５Ａは、第一の遷移通知のデータ構成例である。遷移通知は、ヘッダ部５０とボディ部５１とを含む。ヘッダ部５０には、ローカル送信元アドレス、ローカル宛先アドレス、グローバル送信元アドレス、グローバル宛先アドレスを含む。

　ローカル送信元アドレスは、パケットをマルチホップ転送する際、当該マルチホップ転送のうちの一つの転送に関して、パケットの転送元となる通信装置のアドレスである。つまり、遷移通知に含まれる、ローカル送信元アドレスは、遷移通知を転送する通信装置のアドレスである。

　次に、ローカル宛先アドレスは、当該一つの転送に関して、パケットの転送先となる通信装置のアドレスである。つまり、遷移通知に含まれる、ローカル宛先アドレスは、遷移通知の転送先として指定された通信装置のアドレスである。以上のように、ローカル送信元アドレスとローカル宛先アドレスは、転送の都度、各通信装置において書き換えられる。

　グローバル送信元アドレスは、パケットをマルチホップ転送する際、マルチホップ転送の始点となる通信装置のアドレスである。つまり、遷移通知に含まれる、グローバル送信元アドレスは、振動を検知した通信装置のアドレスである。

　グローバル宛先アドレスは、パケットをマルチホップ転送する際、マルチホップ転送の終点となる装置のアドレスである。つまり、遷移通知に含まれる、グローバル宛先アドレスは、管理装置のアドレスである。グローバル送信元アドレスとグローバル宛先アドレスは、書き換えられない。

　さらに、ボディ部５１には、通信装置ＩＤ、状態フラグ、時刻情報を含む。通信装置ＩＤは、通信装置を識別する情報である。つまり、遷移通知に含まれる通信装置ＩＤは、振動を検知した通信装置の通信装置ＩＤである。

　状態フラグは、通信装置ＩＤの通信装置における状態を表す情報である。遷移通知に含まれる状態フラグは、警戒状態にあることを示すフラグである。例えば、警戒状態にあることを示す「１」が設定される。時刻情報は、通信装置ＩＤの通信装置が、振動を検知した時刻に関する情報である。

　また、図５Ｂは、第二の遷移通知のデータ構成例である。遷移通知は、ヘッダ部５２とボディ部５３とを含む。ヘッダ部５２には、第一の遷移通知と同様に、ローカル送信元アドレス、ローカル宛先アドレス、グローバル送信元アドレス、グローバル宛先アドレスを含む。さらに、ヘッダ部５２は、パケットタイプの情報も含む。

　パケットタイプは、当該パケットが、遷移通知であることを示す情報である。例えば「９」が設定される。ヘッダ部５２を参照する事で、各通信装置および管理装置は、当該パケットは遷移通知であることを判別できる。

　ボディ部５３は、第一の遷移通知と同様に、通信装置ＩＤ、時刻情報を含む。ただし、状態フラグは含まれないとしても良い。

　処理の説明に戻る。続いて、制御部１３は、通常状態から警戒状態に遷移する（Ｏｐ．５）。本実施例においては、警戒状態に遷移するとは、経過時間の計測を開始することを意味する。例えば、制御部１３は、タイマのカウントを、一旦リセットした後に開始する。なお、Ｏｐ．４とＯｐ．５は逆の順序であってもよい。

　制御部１３は、経過時間が閾値を越えたかを判定する（Ｏｐ．６）。閾値は、管理者により予め設定される。さらに、管理装置２が制御命令を生成してから、通信装置１が制御命令を受信するまでに要する時間よりも大きな値であって、秘密情報を取得できる程度に長くない値を閾値として設定することが考えられる。

　経過時間が閾値を超えた場合（Ｏｐ．６ＹＥＳ）は、制御部１３は、記憶装置に記憶されている秘密情報の少なくとも一部を消去する（Ｏｐ．９）。なお、制御部１３は、秘密情報を識別せずとも、記憶装置に記憶されている全ての情報を消去してもよい。

　経過時間が閾値を超えていない場合は（Ｏｐ．６ＮＯ）、制御部１３は、通信部１１が制御命令を受信したか否かを判定する（Ｏｐ．７）。制御命令については、後述する。なお、通信部１１は、他の通信装置、シンクノード、または管理装置から制御命令を受信する。

　制御命令を受信していない場合（Ｏｐ．７ＮＯ）は、制御部１３は、Ｏｐ．６に戻る。一方、制御命令を受信した場合は（Ｏｐ．７ＹＥＳ）、警戒状態を解除する（Ｏｐ．８）。本実施例においては、警戒状態を解除するとは、経過時間の計測を停止することを意味する。例えば、制御部１３はタイマのカウントアップを停止する。そして、通信装置１は一連の処理を終了する。

　なお、警戒状態が、秘密情報に対するアクセスのセキュリティを高めた状態である場合は、制御部１３は、制御命令を受信するまで警戒状態を維持する。そして、制御部１３は、制御命令の受信をもって、警戒状態を解除する。また、秘密情報に対するアクセスのセキュリティを高めた状態を、所定時間維持し、その後、制御命令を受信しなかった場合に、秘密情報を消去するとしても良い。

　次に、管理装置２の処理を説明する。図６は、実施例１における、管理装置２により実行される処理フローチャートである。

　管理装置２における通信部２１と、生成部２２は、地震検知処理を実行する（Ｏｐ．１０）。地震検知処理として、複数の手法を説明する。

　第一の手法としては、管理装置２と災害管理装置とが通信することで自身を検知する手法がある。そして、第一の手法には、管理装置２が災害管理装置へ地震情報を問い合わせる場合と、災害管理装置が管理装置２へ地震情報を能動的に送信する場合とが含まれる。なお、災害管理装置は、地震情報を管理するコンピュータである。なお、災害管理装置は、ネットワークシステムには含まれない外部のコンピュータであってもよい。地震情報は、地震が発生したエリアと、地震の規模（各エリアの震度）、さらには発生日時等を含む情報である。

　まず、第一の手法における、管理装置２が災害管理装置へ地震情報を問い合わせる場合の方法を説明する。管理装置２の通信部２１が遷移通知を受信した場合に、生成部２２は、管理装置２が有する記憶装置２３に記憶された管理テーブル７０を参照する。そして、生成部２２は、遷移通知遷移通知を生成した通信装置が存在するエリアを特定する。なお、管理装置２が、シンクノードである場合は、各シンクノードは、ネットワークのエリアを予め把握している為、エリアを特定する処理は不要である。

　そして、通信部２１は、当該エリアを識別するエリア情報を含む情報提供要求を、災害管理装置へ送信する。通信部２１は、災害管理装置から、エリア情報に対応する地震情報がある場合、当該地震情報を受信する。以上の処理によって、管理装置２は、地震の発生を検知する。

　ここで、管理テーブル７０のデータ構成例について、説明する。図７は、管理テーブル７０のデータ構成例である。また、上述のとおり、管理テーブル７０は、管理装置２が管理サーバＳである場合に、利用される。

　管理テーブル７０は、シンクノードＩＤとエリアＩＤとを対応付けて記憶する。シンクノードＩＤは、各シンクノードを一意に識別する値である。エリアＩＤは、各エリアについて一意に付与される値である。管理テーブルには、各エリアの通信装置からのパケットを集約するシンクノードのシンクノードＩＤと、各エリアのエリアＩＤとが対応付けて記憶される。

　例えば、図７の例では、シンクノードＩＤ「ＳＮ１」に対応するシンクノードは、エリアＡに存在する通信装置からのパケットを集約する。または、シンクノードＩＤ「ＳＮ１」に対応するシンクノードは、管理サーバからのパケットをエリアＡに存在する通信装置へ転送する。つまり、シンクノードＩＤ「ＳＮ１」に対応するシンクノードは、エリアＡに存在する通信装置からの遷移通知を管理装置２である管理サーバＳへ送信する。また、シンクノードＩＤ「ＳＮ１」に対応するシンクノードは、管理装置２である管理サーバＳからの制御命令をエリアＡに存在する通信装置へ転送する。

　管理テーブルを参照する事で、管理装置２である管理サーバＳは、例えば、シンクノードＩＤ「ＳＮ１」であるシンクノードより遷移通知を受信した場合、遷移通知を生成した通信装置が存在するエリアとして、エリアＩＤ「Ａ」を特定する。

　また、管理装置は、エリアＩＤを住所等の情報へ変換し、変換後のエリアに関する情報を、情報提供要求に含めるようにしてもよい。この場合、管理装置は、エリアＩＤを住所に変換する為のテーブルをさらに有する。

　本方法によれば、管理装置２は、管理下の複数の通信の装置のいずれかが警戒状態へ遷移したことを受けて、災害管理装置へアクセスすることができる。そして、必要な時に、必要なエリアの地震情報を、災害管理装置に問合せることができる。

　次に、第一の手法における、災害管理装置が管理装置２へ地震情報を能動的に送信する場合の方法を説明する。通信部２１は、地震が発生した場合、災害管理装置が地震情報を配信するタイミングで、地震情報を取得する。なお、予め設定した規模以上の地震が発生した場合に、災害管理装置から管理装置へ地震情報が送られるように設定されてもよい。管理装置２は、地震情報を記憶装置２３に記憶する。なお、記憶装置２３とは異なる他の記憶装置に、地震情報を記憶してもよい。

　そして、管理装置２は、地震が発生しているかを、記憶装置２３に記憶された地震情報に基づいて判断する。以上の処理によって、管理装置２は、地震の発生を検知する。

　本方法によれば、災害管理装置から地震情報が自律的に送信される為、管理装置２は、より短い時間で地震の発生を検知することができる。したがって、管理装置２は、続く制御命令の生成に関する処理までに要する時間を、より短くすることができる。

　一方、第二の手法としては、管理装置２は複数の通信装置１から受信した遷移通知に基づいて、地震の発生を検知する手法がある。通信部２１は、複数の通信装置１から遷移通知を受信する。そして、生成部２２は、受信した遷移通知の数を計数する。なお、遷移通知の数は、エリアやネットワーク毎に計数される。

　また、管理装置２は、受信した遷移通知数をカウントしてもよいし、遷移通知に含まれる通信装置ＩＤを識別し、重複を排除して遷移通知の数をカウントしてもよい。そして、遷移通知の数が所定数以上となった場合に、生成部２２は、該当するエリアに地震が発生したことを検知する。

　本方法によれば、管理装置２は、災害管理装置のような外部の装置と通信することなく、地震の発生を検知することができる。つまり、管理装置２が管理する複数の通信装置から送信される遷移通知を用いて、管理装置２は地震の発生を検知することができる。

　なお、所定数は、エリアごとに個別の値を設定してもよい。例えば、通信装置１が、電気メータに備えられる場合、アドホックネットワークエリアごとに、加入世帯の数が異なる。よって、加入世帯数が多いエリアには大きな値を、加入世帯数が小さなエリアには小さな値を設定してもよい。また、絶対数以外にも、割合が設定されてもよい。

　以上のように、管理装置２は、種々の方法で地震の発生を検知する処理を実行する。図６におけるＯｐ．１１では、地震検知処理の結果に基づいて、生成部２２は、地震が発生したかを判定する。なお、エリアごとに判定しても構わない。

　地震が発生していない場合（Ｏｐ．１１ＮＯ）、生成部２２は、Ｏｐ．１０に処理を戻す。例えば、災害管理装置から地震情報を受信していない場合は、生成部２２は、地震が発生していないと判断する。他の方法として、所定数以上の遷移通知を受信していない場合は、生成部２２は、地震は発生していないと判断する。つまり、生成部２２は、制御命令を生成することはない。

　一方、地震が発生した場合（Ｏｐ．１１ＹＥＳ）、生成部２２は、制御命令を生成する（Ｏｐ．１２）。なお、生成部２２は、さらに、制御信号を暗号化してもよい。

　ここで、制御命令について、説明する。制御命令は、通信装置に警戒状態を解除させる為のパケットあるいは通信装置における警戒状態への遷移を防止するパケットである。制御命令のデータ構成例を説明する。図８は、制御命令のデータ構成例である。なお、図８は、通常のパケットと、同様の構成を制御命令に採用した例である。

　図８Ａは、第一の制御命令のデータ構成例である。制御命令は、ヘッダ部８０とボディ部８１とを含む。ヘッダ部８０には、ローカル送信元アドレス、ローカル宛先アドレス、グローバル送信元アドレス、グローバル宛先アドレスを含む。

　制御命令に含まれる、ローカル送信元アドレスは、制御命令を転送する通信装置のアドレスである。管理装置は、管理装置のアドレスを、ローカル送信元アドレスに設定する。　　　

　制御命令に含まれる、ローカル宛先アドレスは、制御命令の転送先として指定された通信装置のアドレスである。ただし、制御命令がマルチホップ転送される過程で、ローカル送信元アドレスは、各転送における転送元の通信装置に関するアドレスに書き換えられる。

　制御命令に含まれる、グローバル送信元アドレスは、管理装置のアドレスである。遷移通知に含まれる、グローバル宛先アドレスは、遷移通知に含まれる通信装置ＩＤに対応する通信装置のアドレスである。

　さらに、ボディ部８１には、通信装置ＩＤ、制御フラグ、時刻情報を含む。遷移通知に含まれる通信装置ＩＤは、制御命令の対象となる通信装置の通信装置ＩＤである。

　制御フラグは、通信装置ＩＤの通信装置における警戒状態を解除すべきことを示す情報である。例えば、警戒状態を解除させる「２」が設定される。各通信装置は、ボディ部の制御フラグを参照し、必要に応じて警戒状態を解除する。時刻情報は、管理装置が制御命令を生成した時刻に関する情報である。

　図８Ｂは、第二の制御命令のデータ構成例である。第二の制御命令は、管理サーバが管理装置として機能する場合の例である。制御命令は、ヘッダ部８２とボディ部８３とを含む。ヘッダ部８２は、第一の制御命令におけるヘッダ部８０と同様である。

　ボディ部８３は、第一の制御命令におけるボディ部８１の通信装置ＩＤに変わり、シンクノードＩＤを有する。シンクノードＩＤは、制御命令をブロードキャストする範囲を指定する情報である。つまり、各シンクノードの配下に存在する複数の通信装置が、制御命令を受信する。特定のシンクノードのシンクノードＩＤを、ボディ部８３に設定する。特定のシンクノードとは、地震が発生したエリアに対応づいたシンクノードＩＤである。管理装置２が管理サーバＳである場合、図７の管理テーブルを参照することで、制御命令に設定するシンクノードＩＤを決定する。

　また、図８Ｃは、第三の制御命令のデータ構成例である。制御命令は、ヘッダ部８４とボディ部８５とを含む。ヘッダ部８４には、第一の制御命令等と同様に、ローカル送信元アドレス、ローカル宛先アドレス、グローバル送信元アドレス、グローバル宛先アドレスを含む。さらに、ヘッダ部８４は、パケットタイプの情報も含む。

　パケットタイプは、当該パケットが、制御命令であることを示す情報である。例えば「８」が設定される。各通信装置は、ヘッダ部８４を参照することで、当該パケットが制御命令であることを判別できる。

　また、ボディ部８５は、通信装置ＩＤ、時刻情報を含む。なお、第三の制御命令は、図８Ｃに示した通信装置ＩＤの代わりに、シンクノードＩＤを含んでもよい。

　そして、通信部２１は、制御命令を出力する（Ｏｐ．１３）。管理装置２が、シンクノードである場合は、通信部２１は、通信装置の少なくとも一部へ制御命令を送信する。一方、管理装置２が管理サーバである場合は、通信部２１は、シンクノードへ制御命令を送信する。そして、管理装置２は、一連の処理を終了する。

　以上の処理によって、通信装置１は、盗難の可能性を検知した場合に、警戒状態に遷移することができる。つまり、盗難者によって、秘密情報が取得される可能性を低減することができる。また、盗難の可能性があると判断した際の振動が、盗難による振動でなかった場合に、自律的に通常状態へ復帰することができる。例えば、盗難でなかった場合に、秘密情報が消去されることを防ぐ。

　通信装置のプロセッサが加速度センサからの出力を統計処理すること等によって、加速度センサが検出した振動が盗難による振動であるのか否かを判別することなく、通信装置１は、不要な場合に警戒状態を解除することができる。さらに、加速度センサが高度な処理能力を有するセンサでない場合であっても、本発明の通信装置によれば、不要な場合に、警戒状態を解除することができる。

　例えば、簡易な加速度センサでは、地震による揺れと、盗難による揺れとを区別できない。したがって、所定の振動を検知したとして、一律に警戒状態を保持することは適当ではない。例えば、振動が地震による振動である場合、秘密情報は消去されるべきではない。本実施例によれば、地震による振動によって、通信装置が警戒状態に遷移したとしても、警戒状態を解除することができる。

　また、管理装置２は、地震を検知した場合に、通信装置１に制御命令を送信することができる。つまり、管理装置２は、通信装置１における不要な警戒状態を解除することができる。
（実施例２）
　実施例２におけるネットワークシステムの構成は、図１と同様である。つまり、アドホックネットワークシステムは、管理サーバＳと、シンクノードＳＮと、ノードＮａ～Ｎｈとを含む。また、実施例１と同様に、ノードＮａ～Ｎｈは、通信装置の一例であって、管理サーバＳと、シンクノードＳＮとの少なくとも一方は、管理装置の一例である。

　実施例２における通信装置の機能的構成を説明する。図９は、実施例２における通信装置の機能ブロック図である。通信装置３は、通信部１１と、検出部１２と、制御部１３と、取得部１４と、記憶装置１５と、判定部３１とを含む。なお、図９において、実施例１と同様の処理を行う処理部には、同じ符号を付す。

　ただし、実施例２においては、制御部１３は、管理装置２からの制御命令に基づいて、警戒状態を解除するのではなく、判定部３１の判定結果に基づいて、警戒状態を解除する。また、通信部１１は、他の通信装置から、他の通信装置が生成した遷移通知を受信するとともに、他の通信装置へ自装置で生成した遷移通知を送信する。なお、遷移通知は、他の通信装置において、振動が検出されたことを示す通知である。なお、遷移通知のデータ構成は、実施例１と同様である。

　判定部３１は、検知した振動が、地震による振動であるか否かを判定する。例えば、判定部３１は、他の通信装置から受信した遷移通知の数に基づいて、検知した振動が地震であるか否かを判定する。閾値以上の数の遷移通知を受信した場合は、検知した振動は地震による振動であると判定する。

　そして、判定部３１は、検知した振動が地震による振動であると判定した場合は、判定結果を制御部１３へ通知する。制御部１３は、判定結果の通知を持って、警戒状態を解除する。

　実施例２における通信装置の処理フローを説明する。図１０は、実施例２において、通信装置３により実行される処理フロー図である。

　検出部１２は、加速度センサから加速度センサが検出した加速度を受信する（Ｏｐ．２１）。検出部１２は、受信した加速度が、閾値以上であるか否かを判定する（Ｏｐ．２２）。閾値以上の加速度であれば（Ｏｐ．２２ＹＥＳ）、通信装置１は、Ｏｐ．２３へ処理を進める。一方、閾値未満の加速度であれば（Ｏｐ．２２ＮＯ）、通信装置１は、Ｏｐ．２１へ戻る。

　制御部１３は、周囲の他の通信装置に対して、遷移通知をブロードキャストする（Ｏｐ．２３）。続いて、制御部１３は、通常状態から警戒状態に遷移する（Ｏｐ．２４）。本実施例においては、警戒状態に遷移するとは、経過時間の計測を開始することを意味する。　制御部１３は、経過時間が閾値を越えたかを判定する（Ｏｐ．２５）。

　経過時間が閾値を超えた場合（Ｏｐ．２５ＹＥＳ）は、制御部１３は、記憶装置に記憶されている秘密情報の少なくとも一部を消去する（Ｏｐ．２８）。経過時間が閾値を超えていない場合は（Ｏｐ．２５ＮＯ）、判定部３１は、検知した振動が地震による振動であるか判定する（Ｏｐ．２６）。

　通信装置３群を含むネットワークが形成されるエリアに地震が発生した場合、各通信装置において、Ｏｐ．２１乃至Ｏｐ．２３の処理が実行される。つまり、各通信装置は、遷移通知をブロードキャストする。したがって、通信装置３は、他の通信装置からブロードキャストされた遷移通知を受信する。　

　つまり、他の通信装置において振動が検知された場合、図１０の処理に加えて、通信装置３の通信部１１は、他の通信装置から遷移通知がブロードキャストされるたびに、遷移通知を受信する処理を実行する。なお、他の通信装置は、自装置の通信可能範囲に存在する１以上の通信装置である。そして、判定部３１は、遷移通知の受信数を、カウントする。

　図１０のＯｐ．２６において、判定部３１は、受信した遷移通知の個数が、閾値以上であるか否かを判定する。そして、閾値以上の個数の遷移通知を受信している場合は、Ｏｐ．２２で検知した振動は、地震による振動であると判定する。一方、受信した遷移通知が閾値未満である場合は、Ｏｐ．２２で検知した振動は、地震による振動ではないと判定する。

　閾値の設定について、説明する。まず、通常、各通信装置は、ルーティングのために、定期的に他の通信装置と通信を行うことで、他の通信装置との通信状況を把握する。したがって、通信装置は、Ｏｐ．２６において、過去１０分の間に、転送ルート構築のためにパケットのやり取りを行った他の通信装置の数を把握することができる。よって、通信可能な他の通信装置の数に対し、例えば、８０％に相当する値を閾値として採用する。なお、転送ルートの構築は、従来の手法で行われる。

　判定部３１が、検出部１２により検出された振動が、地震による振動であると判定した場合は（Ｏｐ．２６ＹＥＳ）、制御部１３は、警戒状態を解除する（Ｏｐ．２７）。本実施例においては、警戒状態を解除するとは、経過時間の計測を停止することを意味する。例えば、制御部１３はタイマのカウントを停止する。そして、通信装置１は一連の処理を終了する。

　一方、判定部３１が地震による振動ではないと判定した場合は（Ｏｐ．２６ＮＯ）、制御部１３は、Ｏｐ．２５に処理を戻す（Ｏｐ．２７）。

　なお、実施例１と同様に、警戒状態が、秘密情報に対するアクセスのセキュリティを高めた状態である場合は、制御部１３は、制御命令を受信するまで警戒状態を維持する。そして、制御部１３は、判定部３１が地震による振動であると判定した場合に、警戒状態を解除する。また、秘密情報に対するアクセスのセキュリティを高めた状態を、所定時間維持し、その後、秘密情報を消去するとしても良い。

　以上の処理によって、各通信装置が警戒状態を必要に応じて解除することができる。つまり、管理装置と通信することなく、地震の発生を検知し、警戒状態を解除することができる。管理装置２が、図１における管理サーバＳである場合は、シンクノードＳＮと管理サーバＳとの間は通常のネットワークで接続される。地震が発生した場合は、このネットワークに何らかの障害が発生する可能性がある。よって、アドホックネットワーク１００内の通信のみで、各通信装置は地震の発生を検知することができる。そして、各通信装置は、不要な警戒状態を解除することができる。
（実施例３）
　図１１は、通信装置１および通信装置３のハードウェア構成例である。なお、図１１におけるノード２００は、通信装置１または通信装置３として機能する。ノード２００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２０１と、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２０２と、フラッシュメモリ２０３と、インターフェース（Ｉ／Ｆ）２０４と、暗号化回路２０５と、センサ２０６と、バス２０７とを備えている。ＣＰＵ２０１乃至センサ２０６は、バス２０７よってそれぞれ接続されている。

　ＣＰＵ２０１は、通信装置の全体の制御を司る。ＣＰＵ２０１は、ＲＡＭ２０２に展開されたプログラムを実行することにより、通信部１１、検出部１２、制御部１３、取得部１４、判定部３１などとして機能する。

　ＲＡＭ２０２は、ＣＰＵ２０１のワークエリアとして使用される。フラッシュメモリ２０３は、プログラムや、センサが検出した情報、暗号鍵などの鍵情報を記憶している。なお、フラッシュメモリ２０３は、記憶装置１５の一例である。Ｉ／Ｆ２０４は、マルチホップ通信によりパケットを送受信する。プログラムには、例えば、フローチャートに示した通信装置における各処理を実行させる為のプログラムが含まれる。

　暗号化回路２０５は、データを暗号化する場合に暗号鍵によりデータを暗号化する回路である。例えば、パケットを暗号化して転送する場合は、暗号化回路２０５が機能する。暗号化をソフトウェア的に実行する場合は、暗号化回路２０５に相当するプログラムをフラッシュメモリ２０３に記憶させておくことで、暗号化回路２０５は不要となる。センサ２０６は、センサ２０６固有のデータを検出する。たとえば、温度、湿度、水位、降水量、風量、音量、電力使用量、時間、時刻、加速度など、測定対象にあったデータを検出する。

　なお、図１１では、通信装置１がアドホックネットワークを構成するノード２００である例を説明したが、通信装置１または３は、汎用コンピュータであってもよい。つまり、通信装置１または３は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ），ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ），通信装置、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、入力装置、表示装置、媒体読取装置などを有するコンピュータであってもよい。なお、各部は、バスを介して相互に接続されている。

　例えば、ある組織において、複数のＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）を管理している場合、組織の管理サーバが、管理装置として機能し、複数のＰＣ各々が、通信装置として機能する。各ＰＣは、加速度センサを有し、加速度センサの出力に基づいて、振動の発生を検知する。そして、各ＰＣは警戒状態へ遷移する。

　管理サーバにより、検知した振動が地震による振動であることが判定された場合には、ＰＣは、制御命令に基づいて、警戒状態を解除する。一方、ＰＣにおいて、他のＰＣとの通信により、検知した振動が地震による振動であることを判定した場合は、ＰＣは警戒状態を解除する。

　したがって、各ＰＣは、盗難の可能性を検知した時点で、ＰＣからの情報漏洩を防止する警戒状態に、自律的に遷移することができる。さらに、各ＰＣは、不要に警戒状態が継続されることを防ぎ、警戒状態を解除することができる。

　図１２は、管理装置２のハードウェア構成例である。コンピュータ１０００は、管理装置２として機能する。コンピュータ１０００はＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１００１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１００２，ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１００３，通信装置１００４、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）１００５、入力装置１００６、表示装置１００７、媒体読取装置１００９を有しており、各部はバス１００８を介して相互に接続されている。そしてＣＰＵ１００１による管理下で相互にデータの送受を行うことができる。なお、管理装置２は、図１２に示す全ての構成を備える必要はない。

　フローチャートに示した管理装置の各処理を実行させる為の管理プログラムは、コンピュータが読み取り可能な記録媒体に記録される。コンピュータが読み取り可能な記録媒体には、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ＨＤＤ、フレキシブルディスク（ＦＤ）、磁気テープ（ＭＴ）などがある。

　光ディスクには、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）、ＤＶＤ－ＲＡＭ、ＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ　－　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＣＤ－Ｒ（Ｒｅｃｏｒｄａｂｌｅ）／ＲＷ（ＲｅＷｒｉｔａｂｌｅ）などがある。光磁気記録媒体には、ＭＯ（Ｍａｇｎｅｔｏ　－　Ｏｐｔｉｃａｌ　ｄｉｓｋ）などがある。このプログラムを流通させる場合には、例えば、そのプログラムが記録されたＤＶＤ、ＣＤ－ＲＯＭなどの可搬型記録媒体が販売されることが考えられる。

　そしてコンピュータ１０００は、例えば媒体読取装置１００９が、プログラムを記録した記録媒体から、該プログラムを読み出す。ＣＰＵ１００１は、読み出されたプログラムをＨＤＤ１００５若しくはＲＯＭ１００２、ＲＡＭ１００３に格納する。

　ＣＰＵ１００１は、管理装置全体の動作制御を司る中央処理装置である。通信装置１００４はネットワークを介して通信装置やシンクノードなどからの信号を受信し、その信号の内容をＣＰＵ１００１に渡す。さらに通信装置１００４はＣＰＵ１００１からの指示に応じて、通信装置などに信号を送信する。

　ＨＤＤ１００５には、フローチャートに示す各処理をコンピュータに実行させるプログラムが記憶されている。

　そして、ＣＰＵ１００１が、当該プログラムをＨＤＤ１００５から読み出して実行することで、図３に示す通信部２１、生成部２２として機能する。また、当該プログラムはＣＰＵ１００１とアクセス可能なＲＯＭ１００２またはＲＡＭ１００３に格納されていても良い。

　さらにＨＤＤ１００５にはＣＰＵ１００１の管理下で、情報が記憶される。プログラム同様、情報はＣＰＵ１００１とアクセス可能なＲＯＭ１００２またはＲＡＭ１００３に格納されても良い。つまり、記憶部のデータテーブルは、ＨＤＤ１００５や、ＲＯＭ１００２またはＲＡＭ１００３などの記憶装置に格納される。そして入力装置１００６はＣＰＵ１００１の管理下でデータの入力を受付ける。表示装置１００７は、各情報を出力する。

Ｓ　　　　管理サーバ
ＳＮ　　　シンクノード
Ｎ　　　　ノード
１　　　　通信装置
１１　　　通信部
１２　　　検出部
１３　　　制御部
１４　　　取得部
１５　　　記憶装置
２　　　　管理装置
２１　　　通信部
２２　　　生成部
２３　　　記憶装置
３　　　　通信装置
３１　　　判定部

Claims

　通信ネットワークを構成する複数の通信装置の中の一つの通信装置であって、
　前記通信装置の振動を検出する検出部と、
　前記複数の通信装置のうちの他の通信装置から、該他の通信装置において振動が検出されたことを示す通知を受信する通信部と、
　前記検出部で振動を検出した場合に、前記通信装置の状態を、該通信装置が管理する情報を保護する警戒状態へ遷移させ、前記通知に基づいて前記振動が地震による振動であると判断した場合に、前記警戒状態を解除する制御部とを有することを特徴とする通信装置。
　複数の前記他の装置から各々受信した前記通知の個数が、閾値以上となった場合に、前記振動は前記地震による振動であると判定する判定部をさらに有することを特徴とする請求項１記載の通信装置。
　前記警戒状態は、前記振動を検知してからの経過時間を監視する状態であって、
　前記制御部は、前記経過時間が閾値以上となった場合に、前記情報の少なくとも一部を消去することを特徴とする請求項１または２のいずれか一項に記載の通信装置。
　前記警戒状態は、前記通信装置が備える、前記情報を記憶する記憶領域へのアクセスに対するセキュリティを、該警戒状態が解除された場合と比較して、より高めた状態であることを特徴とする請求項１または２のいずれか一項に記載の通信装置。
　前記検出部は、閾値以上の大きさの振動を検出することを特徴とする請求項１乃至４のいずれか一項に記載の通信装置。
　通信ネットワークを構成する複数の通信装置と、該通信装置を管理する管理装置とを有するシステムであって、
　前記管理装置は、
　地震の発生を検知した場合に、該地震が発生したエリアに存在する前記通信装置の状態を制御する制御命令を生成する生成部と、
　前記制御命令を出力する通信部とを有し、
　前記通信装置は、
　前記通信装置における振動を検出する検出部と、
　前記管理装置が生成した前記制御命令を受信する通信部と、
　前記振動を検出した場合に、前記通信装置の状態を、該通信装置により管理される情報を保護する警戒状態へ遷移させるとともに、前記制御命令に基づいて、前記警戒状態を解除する制御部とを有することを特徴とするシステム。
　前記管理装置において、
　前記通信部は、複数の前記通信装置から、振動を検知した旨の通知を受信し、
　前記生成部は、前記通知の受信数に基づいて、前記地震の発生を検知することを特徴とする請求項６記載のシステム。
　管理装置により管理される通信装置であって、
　前記通信装置の振動を検出する検出部と、
　前記管理装置から、該管理装置が地震の発生を検知した場合に生成する制御命令を受信する通信部と、
　前記振動を検出した場合に、前記通信装置の状態を、該通信装置が管理する情報を保護する警戒状態へ遷移させるとともに、前記制御命令に基づいて、前記警戒状態を解除する制御部とを有することを特徴とする通信装置。
　通信ネットワークを構成する複数の通信装置の中の一つの通信装置に処理を実行させる為の制御プログラムであって、
　前記通信装置に
　前記通信装置の振動を検出し、
　前記振動を検出した場合に、前記通信装置の状態を、該通信装置が管理する情報を保護する警戒状態へ遷移させ、
　他の通信装置から、該他の通信装置において振動が検出されたことを示す通知を受信し、
　前記通知に基づいて前記振動が地震による振動であると判断した場合に、前記警戒状態を解除する処理を実行させることを特徴とする制御プログラム。
　通信ネットワークを構成する複数の通信装置の中の一つの通信装置が実行する制御方法であって、
　前記通信装置が、
　前記通信装置の振動を検出し、
　前記振動を検出した場合に、前記通信装置の状態を、前記情報を保護する警戒状態へ遷移させ、
　他の通信装置から、該他の通信装置において振動が検出されたことを示す通知を受信し、
　前記通知に基づいて前記振動が地震による振動であると判断した場合に、前記警戒状態を解除する処理を実行することを特徴とする制御方法。
　前記通信装置は、前記警戒状態を解除する処理において、
　複数の前記他の装置から各々受信した前記通知の個数が、閾値以上となった場合に、前記検出する処理で検出した前記振動は、前記地震による振動であると判断し、前記警戒状態を解除することを特徴とする請求項１０記載の制御方法。
　前記通信装置は、
　前記警戒状態に遷移させる処理において、前記通信装置の状態を、前記振動を検知してからの経過時間を監視する前記警戒状態に遷移させるとともに、
　さらに、前記警戒状態に遷移する処理の後に、前記経過時間が、閾値以上となった場合に、前記情報の少なくとも一部を消去する処理を実行することを特徴とする請求項１０または１１のいずれか一項に記載の制御方法。
　前記通信装置は、前記警戒状態に遷移させる処理において、前記通信装置の状態を、前記通信装置が備える、前記情報を記憶する記憶領域へのアクセスに対するセキュリティを、より高めた前記警戒状態に遷移させる処理を実行することを特徴とする請求項１０または１１のいずれか一項に記載の制御方法。
　前記通信装置は、前記振動を検出する処理において、
　閾値以上の大きさの前記振動を検出することを特徴とする請求項１０乃至１３のいずれか一項に記載の制御方法。