WO2017030186A1

WO2017030186A1 - セキュリティシステム、通信制御方法

Info

Publication number: WO2017030186A1
Application number: PCT/JP2016/074219
Authority: WO
Inventors: 博康石垣; リサバッチスミス
Original assignee: 三菱日立パワーシステムズ株式会社
Priority date: 2015-08-20
Filing date: 2016-08-19
Publication date: 2017-02-23
Also published as: CN107852359B; US10021072B2; EP3288223A1; CN107852359A; KR102075228B1; KR20180011246A; JP6518771B2; JPWO2017030186A1; EP3288223A4; US20170054687A1

Abstract

セキュリティシステムは、外部ネットワークに接続されるよう構成される第１ゲートウェイ装置と、内部ネットワークに接続されると共に、前記第１ゲートウェイ装置に接続されるよう構成される第２ゲートウェイ装置と、前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、を備え、前記第１ゲートウェイ装置の第１プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第２ゲートウェイ装置に送信し、前記第２ゲートウェイ装置の第２プロキシ部は前記双方向通信ラインを介して前記第１プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成される。

Description

セキュリティシステム、通信制御方法

　本開示は、内部ネットワークと外部ネットワークとを相互に接続すると共に、内部ネットワークを保護するセキュリティシステム、通信制御方法に関する。

　現在、重要インフラ（発電、化学薬品、水、石油、ガス等のなど）の制御ネットワーク（制御システムネットワーク）をインターネットに接続することで、インターネットを介した遠隔監視、遠隔操作などが実現されている。これによって、制御ネットワークの遠隔監視や遠隔操作などのサービスが、ＩＰ通信を基盤として比較的容易に安価に実現されている。また、このようなサービスビジネスを拡大するためには、制御ネットワークをインターネットやクラウドに接続することは必須と言えるほど重要となっている。その一方で、このような重要インフラ（産業資産）に対するサイバーセキュリティへの要求は日増しに厳しくなっている。例えば、北米では、発電プラントなど電力システムに対するサイバーセキュリティ基準を定めたＮＥＲＣ　ＣＩＰ要求（ＮＥＲＣ：Ｎｏｒｔｈ　Ａｍｅｒｉｃａｎ　Ｅｌｅｃｔｒｉｃ
Ｒｅｌｉａｂｉｌｉｔｙ　Ｃｏｕｎｃｉｌ、ＣＩＰ：Ｃｒｉｔｉｃａｌ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ　Ｐｒｏｔｅｃｔｉｏｎ）が規定されており、重要インフラ事業を遂行する上で実施すべきセキュリティ規準が定義されている。このため、インターネットを介したサービスの提供とサイバー攻撃からの制御ネットワークの保護という双方の要求を低コストに実現するインフラやシステムの開発が緊急に必要とされている。

　ところで、制御ネットワークのような内部ネットワークをサイバー攻撃から保護する技術としてファイアウォールが広く知られている（例えば、特許文献１～２）。ファイアウォールは、保護対象となる内部ネットワークとインターネットのような外部ネットワークとの境界に設置されることで、内部ネットワークをサイバー攻撃から保護する。例えば、特許文献１では、ローカルネットワーク（内部ネットワーク）とインターネットとがファイアウォールを介して接続されている。そして、インターネット側からローカルネットワーク側へ入力する通信はファイアウォールによって絶対的に拒否されている。その一方で、ローカルネットワーク内のエージェントから、インターネットを介して接続された第２のローカルネットワーク内のコンソールへの通信時には、ファイアウォールのポートがダイナミックに開けられ、通信が許可されている。このようにして、外部からの攻撃から内部ネットワークを保護しつつ、内部ネットワークと外部ネットワークとの間の通信を可能としている。

　また、特許文献２でも、インターネットと公開サブネットとの間、および、公開サブネットと非公開内部サブネットとの間のそれぞれにルータが設置されており、これらのルータによって通過するパケットがフィルタリングされている。例えば、公開サブネットと非公開内部サブネットとの間に設置されるルータは、公開サブネット内の計算機と非公開内部サブネットの計算機とをＩＥＥＥ１３９４によって相互に接続している。そして、このルータは、ＩＥＥＥ１３９４の送信元ＩＤや、公開サブネット内の計算機と非公開内部サブネットの計算機との間のフレームバッファ転送に基づく遠隔操作に必要なパケットか否かによって、パケットのフィルタリングを行っている。また、非公開内部サブネットの計算機は、公開サブネットの計算機を一定間隔でリードトランザクションによりポーリングすることでデータを受信し、ライトトランザクションによりデータを送信している。これによって、公開サブネットの計算機から不正な大量のデータ送信があったとしても、データ転送量をチェックすることで、異常な転送を検出可能であると共に、その影響が直ちに非公開内部サブネットの計算機に発生することがないとされている。

　一方、セキュリティ対策を目的として、ゲートウェイの通信路を完全に片方向しかデータが流れないようにしたデータダイオードと呼ばれる装置も知られている。このデータダイオードによって、許可された方向と逆方向のデータの流れが完全に阻止されることにより、外部からのウイルス攻撃やハッキングなどのサイバー攻撃を防御可能とされている。例えば、特許文献３では、このようなデータダイオードで計算機間を接続すると共に、計算機間を別の汎用通信路で接続している。そして、データダイオードを介して送られた送信データの送達確認を別の汎用通信路を介して行うことにより、データダイオードを使ったセキュリティ対策を実現しつつ、データ送信の信頼性を確保している。

特開２００１－３２５１６３号公報特開２０００－３５４０５６号公報特開２０１４－１４００９６号公報

　しかしながら、特許文献１、３では、ＴＣＰ／ＵＤＰ／ＩＰ通信をベースとした一般的な技術によって通信のエンド装置間が接続されている。このため、オペレーティングシステムや通信機器等に何らかの脆弱性があった場合に、制御ネットワークへの影響を完全に回避することは論理的に困難となる。

　また、特許文献２では、非公開内部サブネット内の計算機と公開サブネットの計算機とをＩＥＥＥ１３９４によって接続することで、インターネット側の外部計算機と非公開内部サブネットの計算機との間の通信は、公開サブネットの計算機によって終端されている。

　上述の事情に鑑みて、本発明の少なくとも一実施形態は、制御ネットワークなどの内部ネットワークをサイバー攻撃から強固に保護しつつ、内部ネットワークと外部ネットワークとの間の双方向通信を可能とするセキュリティシステム、通信制御方法を提供することを目的とする。

（１）本発明の少なくとも一実施形態に係るセキュリティシステムは、
　外部ネットワークに接続されるよう構成される第１ゲートウェイ装置と、
　内部ネットワークに接続されると共に、前記第１ゲートウェイ装置に接続されるよう構成される第２ゲートウェイ装置と、
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、を備え、
　前記第１ゲートウェイ装置は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第１プロキシ部を有し、
　前記第２ゲートウェイ装置は、前記特定プロトコルを処理するよう構成される第２プロキシ部を有し、
　前記第１ゲートウェイ装置が前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信すると、前記第１プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第２ゲートウェイ装置に送信し、前記インバウンドの伝送データが前記特定プロトコルの通信情報のものではない場合には前記インバウンドの伝送データを前記第２ゲートウェイ装置へ送信しないよう構成され、
　前記第２プロキシ部は、前記双方向通信ラインを介して前記第１プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成される。

　上記（１）の構成によれば、外部ネットワークから内部ネットワークへ向けたインバウンド通信は、特定プロトコルの通信情報のための通信である場合には、第１ゲートウェイ装置から第２ゲートウェイ装置へ送信（中継）される。この際、第１ゲートウェイ装置は、インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を第１プロキシ部で受信した上で、第２ゲートウェイ装置へ送信（中継）する。すなわち、この特定プロトコルの通信情報は、受信側エンド装置とメッセージ（制御コマンドなど）を交換するために送信側エンド装置が生成した通信データである。また、第１ゲートウェイ装置は、外部ネットワークのネットワークレイヤプロトコル（例えば、ＩＰ）を終端した後に、内部ネットワークに向けて特定プロトコルの通信情報を送信しなおす。このように、外部ネットワークの送信側エンド装置と内部ネットワークの受信側エンド装置との間を論理的に分断すると共に、この論理的に分断されたネットワークを中継可能な通信の主体を、特定プロトコルを処理可能な第１プロキシ部および第２プロキシ部に制限することで、特定プロトコル以外の通信は内部に侵入できない。このため、外部ネットワークから内部ネットワークへの攻撃や不正侵入といった不正アクセスを遮断することができ、内部ネットワークを保護することができる。

　また、第２ゲートウェイ装置の第２プロキシ部は、第１ゲートウェイ装置から受信した特定プロトコルの通信情報に基づいて内部ネットワークの受信側エンド装置の宛先アドレス（例えば、宛先ＩＰアドレスなど）を取得することで、受信側エンド装置に特定プロトコルの通信情報を送信することができる。つまり、特定プロトコル以外の通信は、受信側エンド装置の宛先アドレスが取得できず、内部ネットワークの受信側エンド装置に送信（中継）されない。このため、第２ゲートウェイ装置によって、内部ネットワークの保護を強固にすることができる。このように、セキュリティシステムは、第１ゲートウェイ装置と第２ゲートウェイ装置の二段構えで内部ネットワークを保護しており、セキュリティシステムによって内部ネットワークを強固に保護することができる。また、第１ゲートウェイ装置（第１プロキシ部）および第２ゲートウェイ装置（第２プロキシ部）による通信制御は、送信側エンド装置および受信側エンド装置の通信処理（ＩＰパケット化や特定の通信インタフェースの採用など）に影響を与えることがなく、セキュア（安全）かつ自由度の高い通信経路を構築することができる。

（２）幾つかの実施形態では、上記（１）の構成において、
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを、前記第２ゲートウェイ装置から前記第１ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
　前記第２ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第１ゲートウェイ装置へ送信される。
　上記（２）の構成によれば、アウトバウンド通信は片方向通信ラインを必ず経由するように構成される。このため、片方向通信ラインによって、データダイオードのように、外部ネットワークからの攻撃や不正侵入を確実に遮断しながら、内部ネットワークの送信側エンド装置から外部ネットワークの受信側エンド装置（宛先）にプラントの運転情報などを送ることができる。

（３）幾つかの実施形態では、上記（２）の構成において、
　前記片方向通信ラインは、前記第２ゲートウェイ装置の送信物理ポートと前記第１ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルである。
　上記（３）の構成によれば、第２ゲートウェイ装置から第１ゲートウェイ装置への片方向通信ラインを容易に実装することができる。また、光ファイバケーブルにより通信を行うため、大量のデータを高速に通信することができる。例えば、内部ネットワークが制御ネットワークの場合には、プラントなどの運転情報を内部ネットワークの外部に送ることになるが、このような場合に高速通信を行うことができる。

（４）幾つかの実施形態では、上記（２）～（３）の構成において、
　前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成される。
　上記（４）の構成によれば、シリアル通信などのルーティング不可能なプロトコルによって、第１ゲートウェイ装置と第２ゲートウェイ装置とが接続される。つまり、外部ネットワークからのインバウンド通信は、一旦シリアル通信に変換されることになる。このため、内部ネットワークおよび外部ネットワークがＩＰネットワークである場合など、外部ネットワークからのインバウンド通信がそのままセキュリティシステム１を経由して内部ネットワークにルーティングされることはなく、セキュアな通信経路を構築することができる。

（５）幾つかの実施形態では、上記（２）～（４）の構成において、
　前記外部ネットワークおよび前記内部ネットワークはＩＰネットワークである。
　上記（５）の構成によれば、内部ネットワークと外部ネットワークとによってＩＰネットワークが形成されており、このＩＰネットワークは、第１ゲートウェイ装置および第２ゲートウェイ装置によって論理的に分離される。このため、インターネットなどの外部ネットワークからのＩＰ通信は、特定プロトコルの通信以外は内部ネットワークから遮断されており、ＩＰを基盤とするインターネットなどからのサイバー攻撃から内部ネットワークを保護することができる。

（６）幾つかの実施形態では、上記（５）の構成において、
　前記第１ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別する。
　上記（６）の構成によれば、ＵＤＰやＴＣＰのポート番号によって、特定プロトコルの通信を容易に識別することができる。

（７）幾つかの実施形態では、上記（６）の構成において、
　前記第２ゲートウェイ装置は、前記内部ネットワークから受信した前記アウトバウンドの伝送データがＵＤＰ／ＩＰ通信である場合には、前記片方向通信ラインを使用して、前記アウトバウンドの伝送データを前記第１ゲートウェイ装置に送信する。
　上記（７）の構成によれば、ＵＤＰ／ＩＰはコネクションレス型の通信であり、外部ネットワークの宛先装置からの送達確認なしにデータを送ることができる。このため、内部ネットワークの送信元装置から外部ネットワークの宛先装置に対して、片方向通信ラインを使用した片方向通信を容易に行うことができる。

（８）幾つかの実施形態では、上記（１）～（７）の構成において、
　前記特定プロトコルは、標準化されていない独自プロトコルである。
　上記（８）の構成によれば、独自プロトコルである特定プロトコルを解釈可能な装置である第１ゲートウェイ装置および第２ゲートウェイ装置のみが、外部ネットワークから受信した独自プロトコル（特定プロトコル）の伝送データを内部ネットワークの宛先に向けて中継可能に構成される。このため、外部ネットワークから内部ネットワークへ標準化されたアプリケーションレイヤのプロトコルの伝送データを送ることはできず、サイバー攻撃に対する防御力を増強することができる。

（９）幾つかの実施形態では、上記（１）～（８）の構成において、
　前記双方向通信ラインは、ＲＳ－２３２Ｃを含むシリアル通信である。
　上記（９）の構成によれば、第１ゲートウェイ装置と第２ゲートウェイ装置の間の特定プロトコルの通信情報の送受信を、標準のインタフェースを用いた簡易な方法により行うことができる。また、内部ネットワークが制御ネットワークの場合である場合には、外部ネットワーク側に接続されるリモートＰＣ（送信側エンド装置）から通信される制御ネットワークの制御要求などの通信データは小容量であり、このような通信に対して適切な通信速度を提供することもできる。

（１０）幾つかの実施形態では、上記（１）～（９）の構成において、
　前記第１ゲートウェイ装置は、第１ファイアウォールを介して前記外部ネットワークに接続され、
　前記第２ゲートウェイ装置は、第２ファイアウォールを介して前記内部ネットワークに接続される。
　上記（１０）の構成によれば、第１ファイアウォールおよび第２ファイアウォールによって、予め定義された所定の通信を許可しつつ、外部ネットワークから内部ネットワークへのサイバー攻撃を遮断することができ、内部ネットワークをより強固に保護することができる。また、第１ゲートウェイ装置および第２ゲートウェイ装置の処理負荷の軽減を図ることもできる。

（１１）本発明の少なくとも一実施形態に係る通信制御方法は、
　外部ネットワークに接続されるよう構成される第１ゲートウェイ装置と、
　内部ネットワークに接続されると共に、前記第１ゲートウェイ装置に接続されるよう構成される第２ゲートウェイ装置と、
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを相互に接続する双方向通信ラインと、を備えるセキュリティシステムによって実行される通信制御方法であって、
　前記第１ゲートウェイ装置が、前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信するインバウントデータ受信ステップと、
　前記第１ゲートウェイ装置が、前記インバウンドの伝送データのアプリケーションレイヤのプロトコルを確認し、前記アプリケーションレイヤのプロトコルが特定プロトコルである場合には、前記インバウンドの伝送データを前記第２ゲートウェイ装置に前記双方向通信ラインを使用して送信し、前記特定プロトコルの通信情報以外の場合には前記インバウンドの伝送データを前記第２ゲートウェイ装置へ送信しないよう構成される第１インバウンド通信処理ステップと、
　前記第２ゲートウェイ装置が、前記第１ゲートウェイ装置から受信した前記インバウンドの伝送データが前記特定プロトコルの通信情報である場合には、前記特定プロトコルの情報に基づいて、前記内部ネットワークにおける通信の宛先アドレスを取得し、前記宛先アドレスに対して前記インバウンドの伝送データを送信する第２インバウンド通信処理ステップと、を有する。

　上記（１１）の構成によれば、上記（１）と同様の効果を得ることができる。

（１２）幾つかの実施形態では、上記（１１）の構成において、
　前記セキュリティシステムは、前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを、前記第２ゲートウェイ装置から前記第１ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
　前記第２ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第１ゲートウェイ装置へ送信されるアウトバウンド通信処理ステップを、さらに有する。
　上記（１２）の構成によれば、上記（２）と同様の効果を得ることができる。

（１３）幾つかの実施形態では、上記（１２）の構成において、
　前記片方向通信ラインは、前記第２ゲートウェイ装置の送信物理ポートと前記第１ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルである。
　上記（１３）の構成によれば、上記（３）と同様の効果を得ることができる。

（１４）幾つかの実施形態では、上記（１２）～（１３）の構成において、
　前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成される。
　上記（１４）の構成によれば、上記（４）と同様の効果を得ることができる。

（１５）幾つかの実施形態では、上記（１２）～（１４）の構成において、
　前記外部ネットワークおよび前記内部ネットワークはＩＰネットワークである。
　上記（１５）の構成によれば、上記（５）と同様の効果を得ることができる。

（１６）幾つかの実施形態では、上記（１５）の構成において、
　前記第１ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別する。
　上記（１６）の構成によれば、上記（６）と同様の効果を得ることができる。

（１７）幾つかの実施形態では、上記（１６）の構成において、
　前記アウトバウンド通信処理ステップは、前記内部ネットワークから受信した前記アウトバウンドの伝送データがＵＤＰ／ＩＰ通信である場合には、前記片方向通信ラインを使用した前記アウトバウンドの伝送データの送信を許可するアウトバウンド通信フィルタリングステップを有する。
　上記（１７）の構成によれば、上記（７）と同様の効果を得ることができる。

（１８）幾つかの実施形態では、上記（１１）～（１７）の構成において、
　前記特定プロトコルは、標準化されていない独自プロトコルである。
　上記（１８）の構成によれば、上記（８）と同様の効果を得ることができる。

（１９）幾つかの実施形態では、上記（１１）～（１８）の構成において、
　前記双方向通信ラインは、ＲＳ－２３２Ｃを含むシリアル通信である。
　上記（１９）の構成によれば、上記（９）と同様の効果を得ることができる。

（２０）幾つかの実施形態では、上記（１１）～（１９）の構成において、
　前記第１ゲートウェイ装置は、第１ファイアウォールを介して前記外部ネットワークに接続され、
　前記第２ゲートウェイ装置は、第２ファイアウォールを介して前記内部ネットワークに接続される。
　上記（２０）の構成によれば、上記（１０）と同様の効果を得ることができる。

　本発明の少なくとも一実施形態によれば、制御ネットワークなどの内部ネットワークをサイバー攻撃から強固に保護しつつ、内部ネットワークと外部ネットワークとの間の双方向通信を可能とするセキュリティシステム、通信制御方法が提供される。

本発明の一実施形態に係るセキュリティシステムを含むネットワーク全体の構成を概略的に示す図である。本発明の一実施形態に係るセキュリティシステムの構成を概略的に示す図である。本発明の一実施形態に係るネットワークを伝送されるインバンド通信のプロトコルスタックを示す図である。本発明の一実施形態に係るネットワークを伝送されるアウトバンド通信のプロトコルスタックを示す図である。本発明の一実施形態に係るセキュリティシステムのインバンド通信の通信制御フローを示す図である。本発明の一実施形態に係るセキュリティシステムのアウトバンド通信の通信制御フローを示す図である。

　以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。

　図１は、本発明の一実施形態に係るセキュリティシステム１を含むネットワーク全体の構成を概略的に示す図である。また、図２は、本発明の一実施形態に係るセキュリティシステム１の構成を概略的に示す図である。このセキュリティシステム１は、内部ネットワークの通信装置と外部ネットワークの通信装置との間のエンドツーエンド（Ｅ２Ｅ）の通信を可能としつつ、外部ネットワークを介したサイバー攻撃などから内部ネットワークを保護するもの（装置）である。後述するように、例えば、内部ネットワークは発電プラントなどの制御ネットワーク６であり、外部ネットワークはインターネット５などであり、外部ネットワークを介した内部ネットワークの通信装置の遠隔監視や遠隔操作などのサービスが提供されている。そして、セキュリティシステム１は、内部ネットワークの入口（境界）において、上記のサービスに関連するような必要な通信を許可しつつ、サイバー攻撃などの不正な許可されていない通信を遮断する。

　このような通信制御を実現するために、セキュリティシステム１は、図１～図２に示されるように、異なるネットワーク間を接続する装置である第１ゲートウェイ装置２および第２ゲートウェイ装置３と、第１ゲートウェイ装置２と第２ゲートウェイ装置とを相互に接続する双方向通信ライン４１および片方向通信ライン４２と、を備える。また、第１ゲートウェイ装置２は外部ネットワークに接続されるよう構成され、第２ゲートウェイ装置３は、保護対象となる内部ネットワークに接続されるよう構成される。上述の通り、内部ネットワークはセキュリティシステム１によって保護されるネットワークであり、外部ネットワークは、保護対象となる内部ネットワークと通信可能に接続された内部ネットワークの外部にある他のネットワークである。図１～図２に例示される実施形態では、内部ネットワークは、下記に説明するような制御ネットワーク６であり、外部ネットワークはインターネット５や拠点ネットワーク７（後述）となっている。

　この制御ネットワーク６は、図１～図２では、イーサネット（登録商標）で構築されたローカルエリアネットワーク（ＬＡＮ）となっている。また、制御ネットワーク６は発電プラントの制御ネットワークであり、制御ネットワーク６には、図示されるように、プラントの制御を行うコントローラとなるプロセスステーション（ＭＰＳ）や、現場の製造機器の制御を行う装置との入出力や各種演算処理を行うためのローカルコントローラであるＣＰＵモジュール（ＣＰＳ）などの制御装置６３や、制御装置６３などからのデータ収集、保存などを行うと共に外部とのインタフェースとなる端末であるアクセサリーステーション６４（ＡＣＳ６４）、制御装置６３等の監視・操作用の機器となるオペレータステーション６５（ＯＰＳ６５）などが接続されている。そして、これらの各装置（制御装置６３やＡＣＳ６４、ＯＰＳ６５など）や第２ゲートウェイ装置３には相互に異なるプライベートＩＰアドレスがそれぞれ割り当てられており、ＬＡＮ上でのＩＰ通信が可能となっている。

　拠点ネットワーク７は、図１～図２では、ファイアウォール７４を介してインターネット５に接続されたネットワークであり、インターネット５と共に外部ネットワークの一部を構成している。また、拠点ネットワーク７は、上記の制御装置６３の監視・操作用の機器となるオペレータステーション７２（ＯＰＳ７２）や、遠隔監視用のサーバ、タブレット端末などの各種装置（以下、適宜、リモートＰＣ）が接続される社内ネットワークである。拠点ネットワーク７も、イーサネット（登録商標）で構築されたローカルエリアネットワーク（ＬＡＮ）であり、拠点ネットワーク７に接続される各装置（リモートＰＣなど）に相互に異なるプライベートＩＰアドレスが割り当てられることで、ＬＡＮ上でのＩＰ通信が可能となっている。

　また、図１～図２に例示される実施形態では、制御ネットワーク６（内部ネットワーク）と拠点ネットワーク７とは、インターネット５に構築されたＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）を介して接続されている。具体的には、拠点ネットワーク７のファイアウォール７４の内側のＶＰＮ装置７５（例えば、ＶＰＮ対応ルータなど）と、第１ゲートウェイ装置２とインターネット５との境界に設置された第１ファイアウォール１４ａの内側のＶＰＮ装置１５との間でＶＰＮが構築されており、インターネット５上に仮想的なトンネル（ＶＰＮトンネル５５）が構築されている。

　そして、上述のＶＰＮ接続と、下記に説明する第１ゲートウェイ装置２と第２ゲートウェイ装置３と間の接続とを介して、制御ネットワーク６の制御装置６３とリモートＰＣとの間でＥ２Ｅの通信が確立される。つまり、拠点ネットワーク７に接続された上記のＯＰＳ７２などの各種装置をリモートＰＣとして、制御ネットワーク６に接続された制御装置６３などの遠隔監視、遠隔制御などが行われる。この第１ゲートウェイ装置２と第２ゲートウェイ装置３との間の接続は、下記に説明する双方向通信ライン４１および片方向通信ライン４２の２つの通信ライン４によってそれぞれ行われる。

　双方向通信ライン４１は、図１～図２に示されるように、第１ゲートウェイ装置２と第２ゲートウェイ装置３とを双方向通信が可能に接続する通信ライン４である。図１～図２に例示される実施形態では、双方向通信ライン４１はＲＳ２３２Ｃなどのシリアル通信が行われる通信ライン４であり、第１ゲートウェイ装置２と第２ゲートウェイ装置３とが双方向通信ライン４１によって一対一に接続される。つまり、双方向通信ライン４１を介した通信の宛先は直接接続された相手側の装置であり、第１ゲートウェイ装置２から双方向通信ライン４１を介して送られる通信データは、第２ゲートウェイ装置３以外の装置に自動的に転送されることはない。同様に、第２ゲートウェイ装置３から双方向通信ライン４１を介して送られる通信データは、第１ゲートウェイ装置２以外の装置に自動的に転送されることはない。このように、双方向通信ライン４１を介した通信は、ルーティングがされないプロトコル（ルーティング不可能なプロトコル）で行われるよう構成されている。図２では、第１ゲートウェイ装置２の外部通信インタフェース（外部通信ＩＦ２３ｄ）と第２ゲートウェイ装置３の外部通信ＩＦ３３ｄとがＲＳ２３２Ｃケーブルで接続されている。

　この双方向通信ライン４１は、主に、リモートＰＣ（ＯＰＳ７２）から制御ネットワーク６の制御装置６３に対して制御コマンド（後述する特定プロトコルの通信情報）などを送信するための回線である。このような制御コマンドの通信量は比較的小さく、ＲＳ２３２Ｃのような比較的低速な通信ライン４によって、通信量による制限を設けながら、適切な通信速度を提供することが可能となっている。後述するように、双方向通信ライン４１を経由した通信は、第１ゲートウェイ装置２の第１プロキシ部２１と第２ゲートウェイ装置３の第２プロキシ部３１とによって制御されており、これによって、制御ネットワーク６（内部ネットワーク）の保護を図っている。

　一方、片方向通信ライン４２は、図１～図２に示されるように、第１ゲートウェイ装置２と第２ゲートウェイ装置３とを、第２ゲートウェイ装置３から第１ゲートウェイ装置２に向けた片方向通信が可能に接続する通信ライン４である。この片方向通信ライン４２は、例えば、第２ゲートウェイ装置３の有する外部通信ＩＦ３３ｓ（例えば、ＮＩＣ：Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）の送信物理ポートと第１ゲートウェイ装置２の有する外部通信ＩＦ２３ｓの受信物理ポートを接続すると共に、第１ゲートウェイ装置２の外部通信ＩＦ２３ｓの送信物理ポートと第２ゲートウェイ装置３の外部通信ＩＦ３３ｓの受信物理ポートを接続しないことで、片方向通信を実現しても良い。具体的には、図１～２では、図２に示されるように、片方向通信ライン４２は、第２ゲートウェイ装置３の外部通信ＩＦ３３ｄの送信物理ポート（Ｔｘポート）と第１ゲートウェイ装置２の外部通信ＩＦ２３ｄの受信物理ポート（Ｒｘポート）を光ファイバケーブルによって接続すると共に、第１ゲートウェイ装置２の外部通信ＩＦ２３ｄの送信物理ポート（Ｔｘポート）と第２ゲートウェイ装置３の外部通信ＩＦ３３ｄの受信物理ポート（Ｒｘポート）を光ファイバケーブルなどで接続していないことで形成されている。このように、一方向の通信ライン４を物理的に形成することで、片方向通信の通信ライン４を構成している。

　この片方向通信ライン４２は、主に、プラントの運転データなどの大量のデータを制御ネットワーク６の内部から外部のＯＰＳ７２や各種サーバなどのリモートＰＣに送るための通信ライン４であり、光ファイバケーブルで構成することで、高速通信を提供することが可能となっている。このように、外部ネットワークからの通信は、片方向通信ライン４２を経由して制御ネットワーク６に到達することができないように構成することで、制御ネットワーク６（内部ネットワーク）の保護を図っている。

　上述したようなネットワークの全体構成において、第１ゲートウェイ装置２および第２ゲートウェイ装置３は、両装置を接続する通信ライン４（双方向通信ライン４１と片方向通信ライン４２）を経由した通信を制御することで、内部ネットワークの保護を図っている。詳述すると、図２に示されるように、第１ゲートウェイ装置２は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第１プロキシ部２１を有し、第２ゲートウェイ装置３は、この特定プロトコルを処理するよう構成される第２プロキシ部３１を有する。そして、第１プロキシ部２１および第２プロキシ部３１は、下記に説明するように、双方向通信ライン４１およびと片方向通信ライン４２を介した通信データに対して後述する送信処理および受信処理（送受信処理）を行うことで通過しようとする通信の通信制御を行う。

　ここで、特定プロトコルは、制御ネットワーク６の通信装置（制御装置６３、ＡＣＳ６４など）と外部ネットワークの通信装置（リモートＰＣ）との間で情報を交換するためのプロトコルであり、特定プロトコルの通信情報が交換される。つまり、特定プロトコルの通信情報は、制御装置６３などの受信側エンド装置とリモートＰＣなどの送信側エンド装置との間で交換されるＥ２Ｅの通信データ（メッセージ形式の制御コマンドや監視データ要求など）であり、送信側エンド装置が生成したものである。すなわち、リモートＰＣ（例えば、ＯＰＳ７２）や制御ネットワーク６の制御装置６３やＡＣＳ６４は、上記の特定プロトコルの通信情報の処理（例えば、制御コマンドの生成、解釈、実行など）を行うための専用アプリケーション（専用プログラム）を備えている。そして、この専用アプリケーションのプロセスは、それぞれの装置のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）上で動作しており、特定プロトコルによって装置間でのプロセス間通信を行うことで、特定プロトコルの通信情報の内容に応じた制御（例えば、制御装置６３の設定変更など）がなされる。

　また、特定プロトコルの通信情報は、特定プロトコルのフォーマットを有している。例えば、ヘッダ部（制御部）とデータ部とを有しても良い。また、このフォーマットには、受信側エンド装置（宛先）を識別するための宛先アドレス情報が含まれても良く、後述するように少なくとも第２プロキシ部３１によって利用される。そして、送信側エンド装置の専用プログラムによってソケットＡＰＩがコールされることで、特定プロトコルの通信情報を含むＵＤＰ／ＩＰパケットが生成されて、ネットワーク上に送信される。この際、専用プログラムによって、特定プロトコルの通信情報は圧縮、暗号化されても良く、このような通信データがＩＰパケット化されることで、データの盗聴、改ざんに対する耐力を向上させることができる。また、送信側エンド装置の専用プログラムから送信される通信は受信側エンド装置の専用プログラムによって監視されることで、通信データに対する解凍、復号化を通してメッセージの交換がなされる。なお、専用プログラムは、ＴＣＰ／ＩＰパケットを生成して通信を行っても良い。

　図１～図２に例示される実施形態では、特定プロトコルは、標準化されていない独自プロトコルであり、その仕様は一般に公開されているものではない。つまり、独自プロトコルである特定プロトコルを解釈可能な装置である第１ゲートウェイ装置２および第２ゲートウェイ装置３のみが、外部ネットワークから受信した独自プロトコル（特定プロトコル）の伝送データを内部ネットワークの宛先に向けて送信（中継）可能に構成される。このため、外部ネットワークから内部ネットワークへ標準化されたアプリケーションレイヤのプロトコルの伝送データを送ることはできず、サイバー攻撃に対する防御力を増強することができる。

　このような特定プロトコル（独自プロトコル）の通信情報を第１プロキシ部２１および第２プロキシ部３１（プロキシ部）は処理する。これらのプロキシ部（第１プロキシ部２１および第２プロキシ部３１）は、図２に示されるように、第１ゲートウェイ装置２および第２ゲートウェイ装置３のプラットフォームのＯＳ上で動作するアプリケーションソフトウェアのプロセスやスレッドである。つまり、第１ゲートウェイ装置２および第２ゲートウェイ装置３は、プロセッサ（ＣＰＵ）やメモリを備えている。そして、プロキシ部として機能するプログラム（ソフトウェア）は、メインメモリに展開（ロード）されることでＯＳなどのプラットフォームの機能を利用しながら動作する。具体的には、プロキシ部は、プロセッサを用いてプログラムの命令を実行することで、特定プロトコルを処理するよう構成されている。また、プロキシ部は、プロセッサを用いてプログラムの命令を実行することで、プラットフォームの通信機能（ＯＳや外部通信ＩＦなど）を利用して、装置の外部との通信を行うよう構成されている。なお、プロキシ部は、ＤＯＳ系、Ｕｎｉｘ系、Ｌｉｎｕｘ（登録商標）系、Ｗｉｎｄｏｗｓ系などの様々なプラットフォーム上で動作しても良い。

　そして、ゲートウェイ装置（第１ゲートウェイ装置２や第２ゲートウェイ装置３）の外部通信ＩＦ（２３、３３）に伝送データが到達することで、第１ゲートウェイ装置２や第２ゲートウェイ装置３は伝送データを受信する。また、ゲートウェイ装置では、プロキシ部（第１プロキシ部２１や第２プロキシ部３１）が処理対象となる通信データの受信を監視しており、受信した伝送データは、ゲートウェイ装置のプラットフォームの通信処理部（ＯＳや外部通信ＩＦ（２３、３３）など）による処理を通して、プロキシ部に受信される。この際、プロキシ部は、処理対象となる特定プロトコルの通信情報のみ受信するように構成されても良い。あるいは、プロキシ部は、ゲートウェイ装置によって受信される全ての伝送データの通信データを受信した上で、特定プロトコルの通信情報を識別し、対象であるものについて送受信処理（後述）を継続して実行し、それ以外の通信データに対しては処理を終了（例えば廃棄）するよう構成しても良い。

　通信データが特定プロトコルの通信情報であるか否かの判断は、ＩＰパケットに含まれるポート番号（ＵＤＰポート番号あるいはＴＣＰポート番号）により行われても良い。図１～図２の実施形態では、この判断はポート番号によって行われている。この構成によれば、ポート番号によって特定プロトコルの通信を容易に識別することができる。このようにして、プロキシ部は特定プロトコルの通信情報を取得する。なお、特定プロトコルの通信情報が複数のＩＰパケットに分割されてネットワーク上（内部ネットワークや外部ネットワーク）を伝送されている場合には、分割されたＩＰパケットを全て受信して組み立てることで、特定プロトコルの通信情報がプロキシ部によって取得されることになる。

　以下、図３～図４を用いて、第１ゲートウェイ装置２および第２ゲートウェイ装置３による通信制御（送受信処理）を、インバウンドの通信とアウトバウンドの通信とに分けて順に説明する。これらの図は、図１～図２に対応するものであり、リモートＰＣ（例えば、ＯＰＳ７２やサーバ）と制御ネットワーク６の制御装置６３（図３）やＡＣＳ６４（図４）との間で、エンドツーエンド（Ｅ２Ｅ）の通信が行われる場合を例として記載されている。ここで、インバウンド通信は、外部ネットワークから内部ネットワークに向けた方向の通信である。また、アウトバウンド通信は、内部ネットワークから外部ネットワークへ向けた方向の通信である。また、各エンド装置は、宛先となるエンド装置のネットワーク上の宛先アドレス（ＩＰアドレス）を通信時に知ることができ、ＩＰ通信の際の宛先ＩＰアドレスとして設定することができるものとする。

　インバウンドの通信は、図３に示されるように、外部ネットワークの通信装置を送信元（送信側エンド装置）、内部ネットワークの通信装置を宛先（受信側エンド装置）として行われるデータ通信に対応する。そして、第１ゲートウェイ装置２が、外部ネットワークから内部ネットワークへ向けたインバウンドの伝送データを受信すると、第１プロキシ部２１は、インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第２ゲートウェイ装置に送信するよう構成される。逆に、第１プロキシ部２１は、第１ゲートウェイ装置２が受信したインバウンドの伝送データが特定プロトコルの通信情報のものではない場合にはインバウンドの伝送データを第２ゲートウェイ装置へ送信しないよう構成される。

　詳述すると、図３は、本発明の一実施形態に係るネットワークを伝送されるインバンドの伝送データのプロトコルスタックを示す図である。図３では、リモートＰＣ（図３の例示ではＯＰＳ７２）からは、特定プロトコル（独自プロトコル）の通信情報がデータ部にセットされたＩＰパケットが送信される。図３の例示では、リモートＰＣからのＩＰパケットは、拠点ネットワーク７をイーサネット（登録商標）フレームによって伝送された後、インターネット５のＶＰＮトンネル５５を通って第１ゲートウェイ装置２に到達し、第１ゲートウェイ装置２に外部通信ＩＦ２３ｏを介して受信される。

　第１プロキシ部２１は、特定プロトコルの通信情報を受信すると受信処理を行う。この第１プロキシ部２１による受信処理は、受信した特定プロトコルの通信情報の宛先アドレス（受信側エンド装置のアドレス）を取得することが含まれても良い。この受信した宛先アドレスに基づいて、通信が例えば自身宛てではなく、双方向通信ライン４１の先の制御ネットワーク６に受信側エンド装置充てであることが分かるので、双方向通信ライン４１を介した通信を行うことができる。この宛先アドレスの取得方法には、下記に説明するように様々な方法がある。なお、後述するように、第２プロキシ部３１は、第１プロキシ部２１から受信する特定プロトコルの通信情報から、受信側エンド装置の宛先アドレスを取得する点は同じとなる。

　例えば、幾つかの実施形態では、第１プロキシ部２１は、リモートＰＣ（ＯＰＳ７２）が送信した伝送データの宛先アドレス（ＩＰパケットの宛先ＩＰアドレス）を使用することなく、宛先アドレスを、特定プロトコルの通信情報から取得している。すなわち、特定プロトコルの通信情報には宛先アドレスを格納する宛先アドレスフィールドがあり、受信側エンド装置の宛先アドレスがリモートＰＣ側で予めセットされている。そして、第１プロキシ部２１は、この宛先アドレスフィールドを検索することで宛先アドレスを取得している。例えば、宛先アドレスフィールドには宛先ＩＰアドレスが直接的に格納されていても良いし、宛先アドレスフィールドに格納されたアドレス情報（ＵＲＬなど）から、ゲートウェイ装置の内部あるいは外部のＤＮＳ（Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ）などを利用して宛先ＩＰアドレスを取得するよう構成しても良い。また、宛先アドレスフィールドは、特定プロトコルの通信情報のフォーマット上の固定位置に存在しても良いし、タグ情報などにより任意の位置に存在しても良い。上記の構成によれば、第１プロキシ部２１は、特定プロトコル以外の通信情報から宛先を知ることは困難であり、特定プロトコルの仕様に沿ったインバウンドの通信以外が第１ゲートウェイ装置２を通過するのを防止することができる。

　他の幾つかの実施形態では、第１プロキシ部２１は、特定プロトコルの通信情報をＯＳから引き渡される際に、リモートＰＣ（ＯＰＳ７２）が送信した伝送データの宛先アドレス（ＩＰパケットの宛先ＩＰアドレス）を同時に受け取ることで取得する。この場合には、リモートＰＣが生成した直後の特定プロトコルの通信情報には宛先アドレスの情報は含まれていなくても良い。なお、この場合には、第１プロキシ部２１の送信処理は、この取得した宛先アドレスを特定プロトコルの通信情報と共に、双方向通信ライン４１を介して第２プロキシ部３１に送信するよう構成される。例えば、特定プロトコルの通信情報の宛先アドレスフィールドなどに宛先アドレスを付加するなど、第１プロキシ部２１および第２プロキシ部３１との間で決められた方法により、特定プロトコルの通信情報に宛先アドレスを付加しても良い。上記の構成によれば、特定プロトコルの仕様に沿ったインバウンドの通信以外が第１ゲートウェイ装置２を通過するのを防止することができる。

　なお、上記のいずれの実施形態においても、受信処理には、リモートＰＣ側で圧縮や暗号化がなされた特定プロトコルの通信情報を解凍、復号化することが含まれても良い。この場合には、第１プロキシ部２１は、解凍や復号化によって正しい特定プロトコルの通信情報を取得することが、第２プロキシ部３１へ送信することの前提としても良い。

　また、第１プロキシ部２１は、上述のような受信処理の後に、特定プロトコルの通信情報の送信処理を実行する。具体的には、図３に示されるように、第１プロキシ部２１は、双方向通信ライン４１を介してシリアル通信（１対１接続）により特定プロトコルの通信情報を第２ゲートウェイ装置３に送信する。具体的には、取得された宛先アドレスに基づいて制御ネットワーク６に受信側エンド装置が存在することを認識し、双方向通信ライン４１経由で第２プロキシ部３１に特定プロトコルの通信情報を送信する。この送信処理には、特定プロトコルの通信情報の圧縮や暗号化が含まれても良い。図１～図３に例示される実施形態では、第１ゲートウェイ装置２の第１プロキシ部２１は、ＲＳ２３２Ｃのシリアルポート（ＣＯＭポート）を介して順次通信データを送信している。また、第２ゲートウェイ装置３の第２プロキシ部３１は、ＲＳ２３２Ｃのシリアルポート（ＣＯＭポート）を介して順次通信データを受け取り、下記に説明する送受信処理を行う。

　なお、第１プロキシ部２１による送受信処理は上記に限定されない。他の幾つかの実施形態では、第１プロキシ部２１は、受信側エンド装置が双方向通信ライン４１の先の制御ネットワーク６に存在することを前提としても良い。つまり、第１プロキシ部２１は、受信処理によって宛先アドレスを取得しなくても良く、受信した特定プロトコルの通信情報は常に制御ネットワーク６宛てと認識して送信処理を行う。この場合には、リモートＰＣが生成した直後の特定プロトコルの通信情報には宛先アドレスの情報が含まれている必要がある。このような構成であっても、第１ゲートウェイ装置２を通過することが可能な通信データを特定プロトコルの通信情報に限定することができ、それ以外の通信データが内部ネットワークに侵入するのを阻止することができる。

　一方、第２プロキシ部３１は、上述のように第１プロキシ部２１から送信された通信データを受信すると、受信処理を行う。具体的には、第２プロキシ部３１は、双方向通信ライン４１を介して第１プロキシ部２１から特定プロトコルの通信情報を受信した場合には、内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成される。すなわち、第１プロキシ部２１と第２プロキシ部３１とは１対１に接続されており、このような通信では、ＩＰパケットのような数ホップ先の宛先アドレスを示す情報は不要であり、標準的にはない。言い換えると、第１ゲートウェイ装置２によって外部ネットワークからのＩＰ通信は一旦終端されており、ＲＳ２３２Ｃなどのシリアル通信にＩＰ通信を単に置き換えるだけでは、終端されたＩＰ通信の宛先ＩＰアドレスは不要のため、通信先の第２プロキシ部３１は受信側エンド装置の宛先アドレスを通常は得られない。そこで、第２プロキシ部３１は、第１プロキシ部２１によって送られた通信情報からアドレス情報を取得する。例えば、上述のように、特定プロトコルの通信情報には宛先アドレスを格納する宛先アドレスフィールドがあり、この宛先アドレスフィールドを検索することで宛先アドレスを取得しても良い。特定プロトコルの通信情報から宛先アドレスを取得することには、リモートＰＣによって生成された特定プロトコルの通信情報の通信データ（メッセージ）に付加されることで、宛先アドレス情報が第１プロキシ部２１から送られることも含まれる。

　また、第２プロキシ部３１は、上記の受信処理の後に、送信処理を実行する。具体的には、受信処理によって取得した宛先アドレスを通信の宛先アドレス（ＩＰパケットの宛先ＩＰアドレス）として、特定プロトコルの通信情報を受信側エンド装置に送信する。図３に例示される実施形態では、受信処理によって取得された宛先アドレスを宛先ＩＰアドレスフィールドに指定してソケットＡＰＩをコールすることで、特定プロトコルの通信情報を含むＵＤＰ／ＩＰパケットが生成されて、外部通信ＩＦ３３ｉから制御ネットワーク６上に送信される。このＩＰパケットは、イーサネット（登録商標）フレームに乗せられて制御ネットワーク６内をルーティングされて、受信側エンド装置（宛先）に受信される。このようにして、受信側エンド装置（宛先）は、リモートＰＣからの通信データを受信することができる。なお、第２プロキシ部３１による受信処理には、特定プロトコルの通信情報を解凍、復号化が含まれても良く、送信処理には、特定プロトコルの通信情報の圧縮や暗号化が含まれても良い。

　続いて、アウトバンドの通信に対する通信制御について説明する。
　アウトバンドの通信は、図４に示されるように、内部ネットワークの通信装置を送信元（送信側エンド装置）、外部ネットワークの通信装置を宛先（受信側エンド装置）として行われるデータ通信に対応する。上述の通り、セキュリティシステム１は、第１ゲートウェイ装置２と第２ゲートウェイ装置３とを、第２ゲートウェイ装置３から第１ゲートウェイ装置２に向けた片方向通信が可能に接続する片方向通信ラインを備えており、第２ゲートウェイ装置３が受信するアウトバンドの伝送データは、双方向通信ライン４１を経由することなく、片方向通信ライン４２を経由して第１ゲートウェイ装置２へ送信される。例えば、特定プロトコル（独自プロトコル）が、ＨＴＴＰ通信のようなリクエストと、リクエストに対するレスポンスとがセットで行われるような仕様となっている場合でも、アウトバンドの送信は片方向通信ライン４２を経由し、インバウンドの送信は双方向通信ライン４１を経由する。すなわち、アウトバウンド通信は片方向通信ライン４２を必ず経由するように構成される。このため、片方向通信ライン４２によって、データダイオードのように、外部ネットワークからの攻撃や不正侵入を確実に遮断しながら、内部ネットワークの送信側エンド装置から外部ネットワークの受信側エンド装置（宛先）にプラントの運転情報などを送ることができる。

　詳述すると、図４は、本発明の一実施形態に係るネットワークを伝送されるアウトバンドの伝送データのプロトコルスタックを示す図である。図４では、制御ネットワーク６のＡＣＳ５４からは、特定プロトコル（独自プロトコル）の通信情報がデータ部にセットされたＩＰパケットが送信される。図４の例示では、ＡＣＳからのＩＰパケットはイーサネット（登録商標）フレームによって制御ネットワーク６を伝送されて、第２ゲートウェイ装置３に外部通信ＩＦ３３ｉを介して受信される。

　そして、第２プロキシ部３１は、アウトバンド通信による特定プロトコルの通信情報を受信すると、受信処理、および、受信処理の後の送信処理を行う。他方、第１プロキシ部２１も、第２プロキシ部３１から双方向通信ライン４１を介して受信するアウトバンド通信に対して、受信処理および送信処理を行う。このようなアウトバンド通信に対する送受信処理は、下記に説明するように様々な方法がある。

　幾つかの実施形態では、図４に示されるように、第２プロキシ部３１は、受信したアウトバウンド通信の伝送データ（ＩＰパケット）のアプリケーションレイヤのプロトコルの種類にかかわらず、伝送データの宛先アドレス（ＩＰパケットの宛先ＩＰアドレス）に基づいて伝送データを転送（送信）するように構成される。この場合には、第１プロキシ部２１も、第２ゲートウェイ装置３から受信したアウトバウンドの伝送データを宛先アドレスに基づいて、宛先エンド装置に向けてＩＰパケットを送信する。すなわち、第２プロキシ部３１および第１プロキシ部２１は、アウトバウンドの通信に対してＩＰレイヤまでしか処理しない。これによって、ゲートウェイ装置の処理負荷を低減することができる。また、制御ネットワーク６における片方向通信ライン４２を介した通信は、プラントの運転データなど通信量が多い。このため、第２プロキシ部３１及び第１プロキシ部２１による送受信処理を簡略化することで、適切な通信速度を得ることができる。また、このように簡略化したとしても、片方向通信ライン４２を介したアウトバンドの通信は片方向通信に限られるので、片方向通信ライン４２を介した外部ネットワークからのサイバー攻撃は遮断されることに変わりはない。

　他の幾つかの実施形態では、第２プロキシ部３１によるアウトバウンド通信に対する受信処理と送信処理は、片方向通信ライン４２経由でＩＰ通信すること以外は、上記に説明したインバウンド通信に対する第１プロキシ部２１の受信処理と送信処理とそれぞれ同様であっても良い。この場合には、第１プロキシ部２１によるアウトバンド通信に対する受信処理および送信処理も、片方向通信ライン４２経由でＩＰ通信すること以外は、上記に説明したインバウンド通信に対する第２プロキシ部３１の受信処理と送信処理とそれぞれ同様となる。上記の構成によれば、セキュリティシステム１を経由したアウトバウンドの通信を特定プロトコルの通信に制限することができ、内部ネットワークからの情報漏えいの防止を図ることができる。

　また、幾つかの実施形態では、図４に示されるように、セキュリティシステム１を介したアウトバウンドの通信をＵＤＰ／ＩＰ通信に限定しても良い。すなわち、幾つかの実施形態では、第２ゲートウェイ装置３は、内部ネットワークから受信したアウトバウンドの伝送データがＵＤＰ／ＩＰ通信である場合には、片方向通信ライン４２を使用して、アウトバウンドの伝送データを第１ゲートウェイ装置２に送信（中継）する。ＵＤＰ／ＩＰはコネクションレス型の通信であり、外部ネットワークの宛先装置からの送達確認なしにデータを送ることができるプロトコルである。このため、内部ネットワークの送信元装置から外部ネットワークの宛先装置に対して、片方向通信ラインを使用した片方向通信を容易に行うことができる。他の幾つかの実施形態では、第２ゲートウェイ装置３は、上記の特定プロトコルの通信情報を運ぶＵＤＰ／ＩＰパケットのみ、中継するように構成しても良い。これによって、第２ゲートウェイ装置３は許可された通信のみを処理し、それ以外のパケットを廃棄などすることで、転送処理の負荷を軽減することができる。これらのフィルタリングは、第２プロキシ部３１が行っても良いし、他のプログラム機能（フィルタリング部）が行っても良く、フィルタリング部はフィルタリング後に第２プロキシ部３１に通信データを転送しても良い。また、ＵＤＰ／ＩＰパケットは、ポート番号でパケットフィルタリングされても良く、予め定められたリストに基づいて判断しても良い。

　次に、第１ゲートウェイ装置２および第２ゲートウェイ装置３による通信制御方法を、図５～図６を用いて具体的に説明する。図５は、本発明の一実施形態に係るセキュリティシステム１によるインバンド通信の通信制御フローを示す図である。また、図６は、本発明の一実施形態に係るセキュリティシステム１によるアウトバンド通信の通信制御フローを示す図である。これらの図は、図１～図４に対応したものであり、第１ゲートウェイ装置２や第２ゲートウェイ装置３の備えるプロセッサがプロキシ部（第１プロキシ部２１、第２プロキシ部３１）からの命令を実行することで行われる。

　図５について説明すると、ステップＳ５０において、第１ゲートウェイ装置２は、外部ネットワーク側からのインバウンドのＩＰパケット（伝送データ）の受信を監視している。ステップＳ５１においてＩＰパケットを受信すると、第１ゲートウェイ装置２の通信処理部や第１プロキシ部２１はＩＰパケットの処理を行う。具体的には、ステップＳ５２おいて、ＩＰパケットが特定プロトコル（独自プロトコル）による通信ものであるかをポート番号で確認し、特定プロトコルの通信のものではない場合には、通信制御を終了する。例えば、確認した受信ＩＰパケットを廃棄することで通信制御を終了しても良い。また、ステップＳ５２において、受信したＩＰパケットが特定プロトコル（独自プロトコル）のものである場合には、ステップＳ５３において、第１プロキシ部２１は、特定プロトコルの通信情報に対して上述した送受信処理を実行する。

　ステップＳ５４において、第１プロキシ部２１は、双方向通信ライン４１を経由で特定プロトコルの通信情報を第２ゲートウェイ装置３の第２プロキシ部３１へ送信すると、ステップＳ５５において、第２プロキシ部３１は双方向通信ライン４１を介して特定プロトコルの通信情報を受信する。これを受信した第２プロキシ部３１は、ステップＳ５６において、宛先アドレス（受信側エンド装置のＩＰアドレス）を取得するために、特定プロトコルの通信情報を解析する。そして、ステップＳ５７において、特定プロトコルの通信情報から宛先アドレスを取得した場合には、第２プロキシ部３１は、宛先アドレスに対して特定プロトコルの通信情報をＩＰ通信により送信する。逆に、ステップＳ５８において、特定プロトコルの通信情報から宛先アドレスを取得できない場合には、通信制御を終了する。

　図６について説明すると、図６は、第２ゲートウェイ装置３（第２プロキシ部３１）がアプリケーションレイヤのプロトコルの種類にかかわらず受信したＩＰパケットを転送する実施形態の通信制御フローを示している。図６のステップＳ６０において、第２ゲートウェイ装置３（第２プロキシ部３１）は、内部ネットワーク側からのアウトバウンドの伝送データ（パケット）の受信を監視している。ステップＳ６１においてＩＰパケットを受信すると、第２ゲートウェイ装置３のプラットフォームの通信処理部や第２プロキシ部３１はＩＰパケットの処理を行う。具体的には、ステップＳ６２おいて、受信ＩＰパケットの宛先を確認する。そして、受信ＩＰパケットの宛先が外部ネットワーク側である場合には、ステップＳ６３において、第２ゲートウェイ装置３の通信制御部は、片方向通信ライン４２を介して、第１ゲートウェイ装置２にＩＰパケットを送信する。逆に、ステップＳ６２において、受信ＩＰパケットの宛先は外部ネットワーク側でない場合には、ステップＳ６７においてＩＰパケットに対して処理を行った後に、通信制御を終了する。このステップＳ６７での処理は、例えば、自身宛てのＩＰパケットの場合には自身で処理し、宛先ＩＰアドレスが内部ネットワーク内の装置を示す場合には、ＩＰパケットを内部ネットワーク内の宛先に対して送信することを含んでも良い。

　ステップＳ６４において、第１ゲートウェイ装置２は、片方向通信ライン４２を介して、第２ゲートウェイ装置３からＩＰパケットを受信する。そして、ステップＳ６５において、受信ＩＰパケットの宛先を確認する。そして、宛先アドレスが外部ネットワーク側を示す場合には、ステップＳ６６において、第１ゲートウェイ装置２（第１プロキシ部２１）は、宛先アドレスに向けて外部ネットワークにＩＰパケットを送信する。逆に、ステップＳ６５において、宛先アドレスが外部ネットワーク側を示していない場合には、ステップＳ６７において受信ＩＰパケットを処理する。このステップＳ６７では、例えば、自身宛てのＩＰパケットの場合には自身で処理し、それ以外には、例えばＩＰパケットを廃棄しても良い。

　上記の構成によれば、外部ネットワークから内部ネットワークへ向けたインバウンド通信は、特定プロトコルの通信情報のための通信である場合には、第１ゲートウェイ装置２から第２ゲートウェイ装置３へ送信（中継）される。この際、第１ゲートウェイ装置２は、インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を第１プロキシ部２１で受信した上で、第２ゲートウェイ装置３へ送信（中継）する。すなわち、この特定プロトコルの通信情報は、受信側エンド装置とメッセージ（制御コマンドなど）を交換するために送信側エンド装置が生成した通信データである。また、第１ゲートウェイ装置２は、外部ネットワークのネットワークレイヤプロトコル（例えば、ＩＰ）を終端した後に、内部ネットワークに向けて特定プロトコルの通信情報を送信しなおす。このように、外部ネットワークの送信側エンド装置と内部ネットワークの受信側エンド装置との間を論理的に分断すると共に、この論理的に分断されたネットワークを中継可能な通信の主体を、特定プロトコルを処理可能な第１プロキシ部２１および第２プロキシ部３１に制限することで、特定プロトコル以外の通信は内部に侵入できない。このため、外部ネットワークから内部ネットワークへの攻撃や不正侵入といった不正アクセスを遮断することができ、内部ネットワークを保護することができる。

　また、第２ゲートウェイ装置３の第２プロキシ部３１は、第１ゲートウェイ装置２から受信した特定プロトコルの通信情報に基づいて内部ネットワークの受信側エンド装置の宛先アドレス（例えば、宛先ＩＰアドレスなど）を取得することで、受信側エンド装置に特定プロトコルの通信情報を送信することができる。つまり、特定プロトコル以外の通信は、受信側エンド装置の宛先アドレスが取得できず、内部ネットワーク（制御ネットワーク６）の受信側エンド装置に送信（中継）されない。このため、第２ゲートウェイ装置３によって、内部ネットワークの保護を強固にすることができる。このように、セキュリティシステム１は、第１ゲートウェイ装置２と第２ゲートウェイ装置３の二段構えで内部ネットワークを保護しており、セキュリティシステム１によって内部ネットワークを強固に保護することができる。また、第１ゲートウェイ装置２（第１プロキシ部２１）および第２ゲートウェイ装置３（第２プロキシ部３１）による上述の通信制御は、送信側エンド装置および受信側エンド装置の通信処理（ＩＰパケット化や特定の通信インタフェースの採用など）に影響を与えることがなく、セキュアかつ自由度の高い通信経路を構築することができる。

　さらに、内部ネットワークと外部ネットワークとによってＩＰネットワークが形成されており、このＩＰネットワークは、第１ゲートウェイ装置および第２ゲートウェイ装置によって論理的に分離される。このため、インターネットなどの外部ネットワークからのＩＰ通信は、特定プロトコル（独自プロトコル）の通信以外は内部ネットワークから遮断されており、ＩＰを基盤とするインターネットなどからのサイバー攻撃から内部ネットワークを保護することができる。

　また、幾つかの実施形態では、図１に示されるように、第１ゲートウェイ装置２は、第１ファイアウォール１４ａを介して外部ネットワークに接続され、第２ゲートウェイ装置３は、第２ファイアウォール１４ｂを介して内部ネットワークに接続される。図１に例示される実施形態では、第１ゲートウェイ装置２とインターネット５との間に第１ファイアウォール１４ａが設置されており、第２ゲートウェイ装置３と制御ネットワーク６との間に第２ファイアウォール１４ｂが設置されている。そして、これらのファイアウォールによってパケットのフィルタリングを行うことで、予め定義された所定の通信のみ許可するようにしている。これらの通信（ＩＰパケット）のフィルタリングは、フィルタ条件を定義するリスト（アクセスリスト）に基づいて行われる。例えば、フィルタ条件の一項目として、上述の特定プロトコル（独自プロトコル）の通過を許可するという条件を有しても良い。また、ＵＤＰ通信の場合には通過を許可するという条件を有しても良い。このように第１ファイアウォール１４ａや第２ファイアウォール１４ｂによってフィルタリングする場合には、第１ゲートウェイ装置２や上述の第２ゲートウェイ装置３でのフィルタリングは省略することができる。

　上記の構成によれば、第１ファイアウォール１４ａおよび第２ファイアウォール１４ｂによって、予め定義された所定の通信を許可しつつ、外部ネットワークから内部ネットワークへのサイバー攻撃を遮断することができ、内部ネットワークをより強固に保護することができる。また、第１ゲートウェイ装置および第２ゲートウェイ装置の処理負荷の軽減を図ることもできる。

　本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。
　例えば、図１に示される実施形態ではリモートＰＣ（ＯＰＳ７２など）は拠点ネットワーク７に接続されているが、他の幾つかの実施形態では、リモートＰＣは拠点ネットワーク７に接続されていなくても良く、リモートアクセスＶＰＮ技術によって、リモートＰＣと第１ファイアウォール１４ａとの間でＶＰＮ接続が構築されても良い。また、リモートＰＣなどにグローバルＩＰアドレスが付与されていても良い。

　また、リモートＰＣは、第１ゲートウェイ装置２を宛先エンド装置としたパケットを送信しても良い。この場合には、第１ゲートウェイ装置２および第２ゲートウェイ装置３は、特定プロトコルの通信情報に含まれる宛先アドレスに基づいて、転送先（制御ネットワーク６の制御装置６３など）を判断することになる。

　図１に示される実施形態では、双方向通信ライン４１や片方向通信ライン４２は有線であるが、他の幾つかの実施形態では少なくとも一方の通信ライン４が無線によって構成されても良い。図１に示される実施形態では、双方向通信ライン４１はＲＳ２３２Ｃで構成されているが、これに限定されず、双方向通信ライン４１は、１対１接続を可能とする通信規格であれば、他の標準的な通信規格（プロトコル）を採用しても良い。また、図１に示される実施形態では、片方向通信ライン４２による片方向通信は物理ポートの接続によって形成されているが、これには限定されず、ＬＡＮケーブルなどの配線を変更しても良く、例えば、第１ゲートウェイ装置２から第２ゲートウェイ装置３への通信配線を取り除いたり、絶縁するなどしても良い。この場合も、物理ポート間を接続することに含まれるとする。また、片方向通信ライン４２は物理的に通信を片方向としているが、他の幾つかの実施形態では、論理的（通信レイヤＬ２以上）に片方向通信を実現しても良く、ソフトウェアによって片方向通信を実現しても良い。あるいは、物理的および論理的に片方向通信を実現しても良い。

　図３～図４に示される実施形態ではＵＤＰ／ＩＰ通信として記載されているが、他の幾つかの実施形態では、ＴＣＰ／ＩＰ通信であっても良い。

１　　　セキュリティシステム
１４ａ　第１ファイアウォール
１４ｂ　第２ファイアウォール
１５　　ＶＰＮ装置
２　　　第１ゲートウェイ装置
２１　　第１プロキシ部
２３　　外部通信インタフェース
２３ｄ　外部通信ＩＦ
２３ｓ　外部通信ＩＦ
２３ｏ　外部通信ＩＦ
３　　　第２ゲートウェイ装置
３１　　第２プロキシ部
３３　　外部通信インタフェース
３３ｄ　外部通信ＩＦ
３３ｓ　外部通信ＩＦ
３３ｏ　外部通信ＩＦ
４　　　通信ライン
４１　　双方向通信ライン
４２　　片方向通信ライン
５　　　インターネット（外部ネットワーク）
５５　　ＶＰＮトンネル
６　　　制御ネットワーク（内部ネットワーク）
６３　　制御装置
６４　　アクセサリーステーション（ＡＣＳ）
６５　　オペレータステーション（ＯＰＳ）
７　　　拠点ネットワーク（外部ネットワーク）
７２　　オペレータステーション（ＯＰＳ）
７４　　ファイアウォール
７５　　ＶＰＮ装置

Claims

　外部ネットワークに接続されるよう構成される第１ゲートウェイ装置と、
　内部ネットワークに接続されると共に、前記第１ゲートウェイ装置に接続されるよう構成される第２ゲートウェイ装置と、
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを双方向通信が可能に接続する双方向通信ラインと、を備え、
　前記第１ゲートウェイ装置は、特定のアプリケーションレイヤのプロトコルである特定プロトコルを処理するよう構成される第１プロキシ部を有し、
　前記第２ゲートウェイ装置は、前記特定プロトコルを処理するよう構成される第２プロキシ部を有し、
　前記第１ゲートウェイ装置が前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信すると、前記第１プロキシ部は、前記インバウンドの伝送データが特定プロトコルのものである場合には、前記インバウンドの伝送データによって運ばれる特定プロトコルの通信情報を受信した後に、前記特定プロトコルの通信情報を前記双方向通信ラインにより前記第２ゲートウェイ装置に送信し、前記インバウンドの伝送データが前記特定プロトコルの通信情報のものではない場合には前記インバウンドの伝送データを前記第２ゲートウェイ装置へ送信しないよう構成され、
　前記第２プロキシ部は、前記双方向通信ラインを介して前記第１プロキシ部から前記特定プロトコルの通信情報を受信した場合には、前記内部ネットワークにおける通信の宛先アドレスを前記特定プロトコルの通信情報から取得し、前記宛先アドレスに対して前記特定プロトコルの通信情報を送信するよう構成されることを特徴とするセキュリティシステム。
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを、前記第２ゲートウェイ装置から前記第１ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
　前記第２ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第１ゲートウェイ装置へ送信されることを特徴とする請求項１に記載のセキュリティシステム。
　前記片方向通信ラインは、前記第２ゲートウェイ装置の送信物理ポートと前記第１ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであることを特徴とする請求項２に記載のセキュリティシステム。
　前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成されることを特徴とする請求項２または３に記載のセキュリティシステム。
　前記外部ネットワークおよび前記内部ネットワークはＩＰネットワークであることを特徴とする請求項２～４のいずれか１項に記載のセキュリティシステム。
　前記第１ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別することを特徴とする請求項５に記載のセキュリティシステム。
　前記第２ゲートウェイ装置は、前記内部ネットワークから受信した前記アウトバウンドの伝送データがＵＤＰ／ＩＰ通信である場合には、前記片方向通信ラインを使用して、前記アウトバウンドの伝送データを前記第１ゲートウェイ装置に送信することを特徴とする請求項６に記載のセキュリティシステム。
　前記特定プロトコルは、標準化されていない独自プロトコルであることを特徴とする請求項１～７のいずれか１項に記載のセキュリティシステム。
　前記双方向通信ラインは、ＲＳ－２３２Ｃを含むシリアル通信であることを特徴とする請求項１～８のいずれか１項に記載のセキュリティシステム。
　前記第１ゲートウェイ装置は、第１ファイアウォールを介して前記外部ネットワークに接続され、
　前記第２ゲートウェイ装置は、第２ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項１～９のいずれか１項に記載のセキュリティシステム。
　外部ネットワークに接続されるよう構成される第１ゲートウェイ装置と、
　内部ネットワークに接続されると共に、前記第１ゲートウェイ装置に接続されるよう構成される第２ゲートウェイ装置と、
　前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを相互に接続する双方向通信ラインと、を備えるセキュリティシステムによって実行される通信制御方法であって、
　前記第１ゲートウェイ装置が、前記外部ネットワークから前記内部ネットワークへ向けたインバウンドの伝送データを受信するインバウントデータ受信ステップと、
　前記第１ゲートウェイ装置が、前記インバウンドの伝送データのアプリケーションレイヤのプロトコルを確認し、前記アプリケーションレイヤのプロトコルが特定プロトコルである場合には、前記インバウンドの伝送データを前記第２ゲートウェイ装置に前記双方向通信ラインを使用して送信し、前記特定プロトコルの通信情報以外の場合には前記インバウンドの伝送データを前記第２ゲートウェイ装置へ送信しないよう構成される第１インバウンド通信処理ステップと、
　前記第２ゲートウェイ装置が、前記第１ゲートウェイ装置から受信した前記インバウンドの伝送データが前記特定プロトコルの通信情報である場合には、前記特定プロトコルの情報に基づいて、前記内部ネットワークにおける通信の宛先アドレスを取得し、前記宛先アドレスに対して前記インバウンドの伝送データを送信する第２インバウンド通信処理ステップと、を有することを特徴とする通信制御方法。
　前記セキュリティシステムは、前記第１ゲートウェイ装置と前記第２ゲートウェイ装置とを、前記第２ゲートウェイ装置から前記第１ゲートウェイ装置に向けた片方向通信が可能に接続する片方向通信ラインを、さらに備え、
　前記第２ゲートウェイ装置が前記内部ネットワークから前記外部ネットワークへ向けたアウトバンド伝送データを受信すると、前記アウトバンド伝送データは、前記双方向通信ラインを経由することなく、前記片方向通信ラインを経由して前記第１ゲートウェイ装置へ送信されるアウトバウンド通信処理ステップを、さらに有することを特徴とする請求項１１に記載の通信制御方法。
　前記片方向通信ラインは、前記第２ゲートウェイ装置の送信物理ポートと前記第１ゲートウェイ装置の受信物理ポートとを接続する光ファイバケーブルであることを特徴とする請求項１２に記載の通信制御方法。
　前記双方向通信ラインでは、ルーティングが不可能なプロトコルによる通信が行われるよう構成されることを特徴とする請求項１２または１３に記載の通信制御方法。
　前記外部ネットワークおよび前記内部ネットワークはＩＰネットワークであることを特徴とする請求項１２～１４のいずれか１項に記載の通信制御方法。
　前記第１ゲートウェイ装置は、前記特定プロトコルの通信情報をポート番号により識別することを特徴とする請求項１５に記載の通信制御方法。
　前記アウトバウンド通信処理ステップは、前記内部ネットワークから受信した前記アウトバウンドの伝送データがＵＤＰ／ＩＰ通信である場合には、前記片方向通信ラインを使用した前記アウトバウンドの伝送データの送信を許可するアウトバウンド通信フィルタリングステップを有することを特徴とする請求項１６に記載の通信制御方法。
　前記特定プロトコルは、標準化されていない独自プロトコルであることを特徴とする請求項１１～１７のいずれか１項に記載の通信制御方法。
　前記双方向通信ラインは、ＲＳ－２３２Ｃを含むシリアル通信であることを特徴とする請求項１１～１８のいずれか１項に記載の通信制御方法。
　前記第１ゲートウェイ装置は、第１ファイアウォールを介して前記外部ネットワークに接続され、
　前記第２ゲートウェイ装置は、第２ファイアウォールを介して前記内部ネットワークに接続されることを特徴とする請求項１１～１９のいずれか１項に記載の通信制御方法。