WO2017047087A1

WO2017047087A1 - データ検査システム、データ検査方法とそのプログラムを格納した記憶媒体

Info

Publication number: WO2017047087A1
Application number: PCT/JP2016/004215
Authority: WO
Inventors: 俊貴渡辺; かや人関谷; 健太郎園田; 洋一波多野
Original assignee: 日本電気株式会社
Priority date: 2015-09-17
Filing date: 2016-09-15
Publication date: 2017-03-23
Also published as: JPWO2017047087A1

Abstract

クローズドネットワーク内で利用予定のデータに対し、セキュリティ上の安全性を検査する。データ検査システムは、クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査する検査端末と、前記クローズドネットワーク内で第２の端末と通信する第１の端末と、前記検査対象データの前記検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御装置を備え、前記第１の端末は、前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する。

Description

データ検査システム、データ検査方法とそのプログラムを格納した記憶媒体

　本発明は、データ検査システム等に関し、特に、クローズドネットワーク内におけるデータの検査に関する。

　水道・ガス・電力等の社会インフラ、又は、工場等の設備を管理する制御システムは、攻撃者がインターネットを介して制御システム内に侵入することを防ぐため、インターネットとは隔離されたクローズドネットワーク上で運用されることが一般的である。

　この点、制御システムは、コンピュータ又は業務用サーバ等がインターネットを介して通信又は情報共有を行う情報システムと異なる。

　しかし近年、情報システムと制御システム間で効率よく情報共有を行うために、二つのシステムのネットワークを物理的に接続する機会が増えている。この場合、二つのシステムのネットワーク間の通信を適切に制御し、制御システムが運用されているクローズドネットワーク環境を維持することが重要となる。

　特許文献１の技術は、二つの計算機間での通信を一方向に制限しつつ、逆方向の通信は別の通信経路を利用し、かつ、データの送達結果のメッセージのみ通信を許可することで、データ送信側の計算機が他の端末から不必要なデータを受信することを防いでいる。

　また、特許文献２の技術は、ホームコントロールシステムにおいて、宅内のゲートウェイから事業者サーバへの通信を許可しつつ、逆方向の通信は携帯電話などの別の通信手段を利用することで、宅内のゲートウェイへの想定外のデータの流入を防いでいる。

　特許文献１、２のように、情報システムと制御システムとの間の通信に単方向通信の仕組みを適用することが、クローズドネットワーク環境の維持のために効果的である。

　二つのネットワーク間に、ネットワーク上を流れるパケットを監視し不正な通信を遮断するファイアウォールなどの機器を設置し、情報システムのネットワーク（以下、情報ネットワーク）から制御システムのネットワーク（以下、制御ネットワーク）への通信を禁止することで、制御ネットワークをインターネットから隔離できる。

　特許文献３には、ファイアウォール装置が、配下の内部ネットワーク機器から異常発生情報を受信し、不正アクセスを排除するアクセス制御リストの特別ルールを設定すること、さらに、当該特別ルールを他のファイアウォールに送信することが記載されている。

　制御システムがクローズドネットワーク上で運用され、情報ネットワークからの通信が禁止されている場合、制御システムが利用する各種データは、当該データを記憶した記憶装置を介してクローズドネットワーク内の制御システムに持ち込まれる。記憶装置は、例えば、ＵＳＢ（ｕｎｉｖｅｒｓａｌ　ｓｅｒｉａｌ　ｂｕｓ）メモリ等の補助記憶装置、ＰＣ（ｐｅｒｓｏｎａｌ　ｃｏｍｐｕｔｅｒ）などの情報端末、又は、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）やＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）などの記録メディアである。

　このため、クローズドネットワークに持込まれるデータに対し、悪意のあるプログラムが埋め込まれていないか、セキュリティ上の安全性を検査する必要がある。一般に、データのセキュリティ上の安全性は、コンピュータウィルス等の特徴を定義したシグネチャファイル（以後、シグネチャと示す）と検査対象データを照合することで検証できる。そのため、制御システムにデータを持ち込む前に、情報システムの検査端末、又は、情報システム及び制御システムとは独立した専用の検査装置でデータの安全性を検査する方法が一般的である。

　上述の検査手法では、適用データの検査後に、当該適用データが制御システムに適用されるまでの間に、補助記憶装置、情報端末、もしくは記録メディアに悪意のあるプログラムが混入される可能性もある。さらには、悪意のある内部作業者が意図的に適用データの検査を逃れることも想定される。したがって、データが制御システム内に持ち込まれる前にデータの検査を行っても、セキュリティ上の脅威を取り除くことができない。

特開２０１４－１４００９６号公報特開２００２－０５５８９５号公報特開２００３－２６３３７６号公報

　このため、制御システム内に持ち込まれたデータを検査することが有効であり、制御ネットワーク内に設置したデータ検査端末によって当該データを検査することが理想的である。

　しかし、上述のように、制御ネットワークのようなクローズドネットワークは、インターネットとは隔離されるため、インターネットを介した各種データの取得はできない。その結果、データ検査端末は、シグネチャを更新することができず、最新のシグネチャを使用した検査対象データの検査ができなくなる。

　本発明の目的は、上記課題を鑑みてなされたものであり、クローズドネットワーク内で利用予定のデータに対し、セキュリティ上の安全性を検査する技術を提供することにある。

　本発明のデータ検査システムは、クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内で更新されたシグネチャと照合して検査する検査端末と、
　前記クローズドネットワーク内で第２の端末と通信する第１の端末と、
　前記検査対象データの検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御装置を備え、
　前記第１の端末は、前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する。

　本発明のデータ検査方法は、クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する。

　本発明の記憶媒体に格納された検査プログラムは、コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する、ことを実行させる。

　本発明の第１の端末は、第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　前記第２の端末宛てにパケット送信する送受信部と、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する判定部を備える。

　本発明の第１の端末の判定方法は、第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定方法であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、通信制御装置を介して許可又は遮断され、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する。

　本発明の記憶媒体に格納された第１の端末の判定プログラムは、第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定プログラムであって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　コンピュータに、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する、ことを実行させる。

　本発明の通信制御装置は、クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間における通信の許可又は遮断を制御する通信制御部を備える。

　本発明の通信制御装置の制御方法は、クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する。

　本発明の記憶媒体に格納された通信制御装置の制御プログラムは、コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する、ことを実行させる。

　本発明の検査端末は、クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査し、検査結果に基づく通知を生成する検査部を備え、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される。

　本発明の検査端末の制御方法は、クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査し、
　検査結果に基づいて通知を生成し、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される。

　本発明の記憶媒体に格納された検査端末の制御プログラムは、クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査し、
　検査結果に基づいて通知を生成する、ことをコンピュータに実行させ、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される。

　本発明は、クローズドネットワーク内で利用予定のデータに対し、セキュリティ上の安全性を検査することができる。

第１の実施形態に係るデータ検査システムの構成を示すブロック図である。第１の実施形態に係る検査端末の構成を示すブロック図である。第１の実施形態に係る通信制御装置の構成を示すブロック図である。第１の実施形態に係る第１の端末及び第２の端末のそれぞれの構成を示すブロック図である。第１の実施形態に係るデータ検査システムの動作を示すフローチャートである。第１の実施形態に係る検査端末の動作を示すフローチャートである。第１の実施形態に係る通信制御装置の動作を示すフローチャートである。第１の実施形態に係る第１の端末の動作を示すフローチャートである。第２の実施形態に係るデータ検査システムの構成を示すブロック図である。第２の実施形態に係るデータ転送端末の構成を示すブロック図である。第２の実施形態に係る通信制御装置の構成を示すブロック図である。第２の実施形態に係るデータ検査端末の構成を示すブロック図である。第２の実施形態に係るデータ検査システムの動作を示すフローチャートである。第２の実施形態に係るデータ転送端末の動作を示すフローチャートである。第２の実施形態に係るデータ検査端末の動作を示すフローチャートである。第２の実施形態に係るデータ検査端末の別の動作を示すフローチャートである。第２の実施形態の通信制御装置の動作を示すフローチャートである。ファイアウォールに設定される設定情報を示すデータシートである。第３の実施形態に係るデータ検査システムの構成を示すブロック図である。第３の実施形態に係るデータ検査端末の構成を示すブロック図である。第３の実施形態に係る通信制御装置の構成を示すブロック図である。第３の実施形態に係るデータ検査システムの動作を示すフローチャートである。第３の実施形態に係るデータ検査端末の動作を示すフローチャートである。第３の実施形態に係る通信制御装置の動作を示すフローチャートである。第３の実施形態に係る通信制御装置の別の動作を示すフローチャートである。第１～３の実施形態における検査端末、転送端末、通信制御装置をコンピュータ装置で実現したハードウエア構成を示すブロック図である。

　＜第１の実施形態＞
　本発明の第１の実施形態に係るデータ検査システムについて、図面を参照して説明する。図１は、第１の実施形態に係るデータ検査システムの構成を示すブロック図である。図１に示すように、データ検査システム５０は、第１の端末１０と、通信制御装置２０と、検査端末３０と、第２の端末４０を備える。通信制御装置２０は、クローズドネットワークとオープンネットワークの境界に配置される。また、第１の端末１０と第２の端末４０は、クローズドネットワーク内に配置され、検査端末３０は、オープンネットワーク内に配置されている。

　ここで、オープンネットワークとは、インターネット又は外部ネットワークとの通信が可能なネットワークのことをいう。クローズドネットワークとは、インターネット又は外部ネットワークとの通信が制限されたネットワークのことをいう。

　（検査端末）
　図１に示す検査端末３０は、オープンネットワーク内で検査対象データとシグネチャを照合して検査対象データを検査する機能を有する。検査対象データは、例えば、クローズドネットワーク内に持ち込まれ、当該クローズドネットワーク内で利用予定のあるデータである。

　図２は、第１の実施形態に係る検査端末３０の構成を示すブロック図である。検査端末３０は、送受信部３１と検査部３２を備える。

　送受信部３１は、インターネット又は外部ネットワークを介してシグネチャの更新ファイル、及び、クローズドネットワーク内で利用予定の検査対象データを受信する。また、送受信部３１は、検査対象データの検査結果に基づく通知を通信制御装置２０へ送信する。

　次に、検査部３２は、検査対象データと更新ファイルにより更新されたシグネチャを照合し、検査対象データを検査する。さらに、検査部３２は、検査結果に基づいた通知を生成する。ここで、検査結果に基づく通知とは、通信制御装置２０における通信制御の変更に使用される情報である。

　通知の一例は、通信制御装置２０の通信制御の設定情報である。検査部３２は、検査対象データの検査結果が「安全である」場合、第１の端末１０と第２の端末４０との間の通信を許可する設定情報を生成する。一方、検査結果が「安全ではない」場合、第１の端末１０と第２の端末４０との間の通信を遮断する設定情報を生成する。

　このように、検査端末３０は、シグネチャの更新ファイルを取得して、更新されたシグネチャを用いてクローズドネットワーク内で利用予定の検査対象データを検査する。続いて、検査端末３０は、検査対象データの検査結果に基づく通知を通信制御装置２０に送信する。

　（通信制御装置）
　図１に示す通信制御装置２０は、クローズドネットワークからオープンネットワークへの単方向通信を制御する機能を有する。また、通信制御装置２０は、第１の端末１０及び第２の端末４０とそれぞれ接続され、検査対象データの検査結果に基づく通知に応じて第１の端末１０と第２の端末４０との間の通信を制御する機能を有する。

　図３は、第１の実施形態に係る通信制御装置２０の構成を示すブロック図である。図３に示すように、通信制御装置２０は、通信制御部２１を備える。通信制御部２１は、クローズドネットワーク内の第１の端末からの検査対象データをオープンネットワーク内の検査端末３０に転送する。

　さらに、通信制御部２１は、検査対象データの検査結果に基づく通知に応じて第１の端末１０と第２の端末４０との間の通信の許可又は遮断を制御する。例えば、検査対象データの検査結果が「安全である」場合、通信制御部２１は、検査端末３０からの通知としての設定情報に基づき第１の端末１０と第２の端末４０との間の通信を許可する。一方、検査結果が「安全ではない」場合、通信制御部２１は、検査端末３０からの通知としての設定情報に基づき第１の端末１０と第２の端末４０との間の通信を遮断する。

　（第１の端末）
　図１に示す第１の端末１０は、通信制御装置２０を介して第２の通信端末と通信する機能、及び、第２の端末４０との通信状態に基づいて、検査対象データの検査結果を判定する機能を有する。ここで通信状態とは、端末間における通信の疎通を意味する。図４は、第１の実施形態に係る第１の端末及び第２の端末のそれぞれの構成を示すブロック図である。第１の端末１０は、送受信部１１、判定部１２を備える。第２の端末４０は、送受信部４１を備える。

　第１の端末１０の送受信部１１は、第２の端末４０の送受信部４１と通信する。但し、通信制御装置２０の通信制御によって、第２の端末４０の送受信部４１との通信の疎通が変化する。

　例えば、第１の端末１０と第２の端末４０との間の通信が許可されている場合、第１の端末１０の送受信部１１から送信されたパケットは、通信制御装置２０を通過して第２の端末４０で受信される。そして、第２の端末４０の送受信部４１は、受信したパケットに応答して送信元に返信パケットを送信する。第２の端末４０からの返信パケットは、通信制御装置２０を通過して第１の端末１０の送受信部１１で受信される。

　一方、通信が遮断されている場合、第１の端末１０の送受信部１１から送信されたパケットは、通信制御装置２０でパケットが遮断されて破棄される。このため、第２の端末４０は、第１の端末１０からのパケットを受信せず、第１の端末１０への返信パケットも送信しないことになる。

　第１の端末１０の判定部１２は、第２の端末４０との通信状態に基づいて、検査対象データの検査結果を判定する。例えば、判定部１２は、上述の第２の端末４０との通信が可能であれば、第１の端末１０は、検査対象データが「安全である」と判定する。一方、第２の端末４０との通信が遮断されていれば、第１の端末１０は、検査対象データが「安全ではない」と判定する。

　次に、第１の実施形態に係るデータ検査システムの動作について、図面を用いて説明する。図５は、第１の実施形態に係るデータ検査システムの動作を示すフローチャートである。

　図５に示すように、データ検査システム５０の検査端末３０は、クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内で更新されたシグネチャと照合して検査する（ステップＨ１）。続いて、データ検査システム５０の通信制御装置２０は、検査対象データの検査結果に基づいて、クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する（ステップＨ２）。そして、データ検査システム５０の第１の端末１０は、クローズドネットワーク内の第１の端末１０と第２の端末４０との間の通信状態に基づいて、検査対象データの検査結果を判定する（ステップＨ３）。

　上述のようにデータ検査システム５０の動作であるステップＨ１～Ｈ３は、検査端末３０、通信制御装置２０、及び、第１の端末１０の動作とそれぞれ関連する。以下、ステップＨ１～Ｈ３の詳細な説明として、検査端末３０、通信制御装置２０、第１の端末１０及び第２の端末４０の動作を説明する。

　（検査端末の動作）
　図６は、第１の実施形態に係る検査端末３０の動作を示すフローチャートである。検査端末３０は、クローズドネットワーク内で利用予定の検査対象データを取得し（ステップＪ１）、さらに、検査対象データと照合するシグネチャの更新ファイルを取得してシグネチャを更新する（ステップＪ２）。次に、検査端末３０は、検査対象データと更新されたシグネチャと照合して、検査対象データを検査し（ステップＪ３）、検査結果に基づく通知を生成して（ステップＪ４）通信制御装置２０に送信する。

　（通信制御装置の動作）
　図７は、第１の実施形態に係る通信制御装置２０の動作を示すフローチャートである。通信制御装置２０は、第１の端末１０から送信された検査対象データを検査端末３０に転送する（ステップＫ１）。その後、通信制御装置２０は、検査端末３０から検査結果に基づく通知を受信し、通知内容に応じて通信制御の設定を変更し（ステップＫ２）、クローズドネットワーク内における第１の端末と第２の端末との間の通信を制御する（ステップＫ３）。

　（第１の端末の動作）
　図８は、第１の実施形態に係る第１の端末１０の動作を示すフローチャートである。第１の端末は、第２の端末との通信状態に基づいて、検査対象データの検査結果を判定する。具体的には、第１の端末１０は、クローズドネットワークで利用予定のデータを検査対象データとして検査端末３０に送信する（ステップＭ１）。次に、第１の端末１０は、第２の端末４０にパケットを送信し（ステップＭ２）、第２の端末４０からの返信を確認する。

　第２の端末４０から返信があった場合（ステップＭ３のＹｅｓ）、第１の端末１０は、検査対象データが安全であると判定する（ステップＭ４）。一方、第２の端末４０から返信がない場合（ステップＭ４のＮｏ）、第１の端末１０は、検査対象データが安全でないと判定する（ステップＭ５）。

　このように、第１の端末１０は、検査結果に基づく通知によって通信制御装置２０で変更される第１の端末１０と第２の端末４０との間の通信状態（許可又は遮断）を判定することで、検査対象データの検査結果を判定する。これにより、第１の端末１０は、検査対象データの検査結果を検査端末３０から直接受信することなく、クローズドネットワーク内で検査対象データの検査結果を判定することができる。

　（変形例）
　上述の第１の実施形態では、第１の端末１０が検査端末３０に検査対象データを送信したが、これに限られない。例えば、クローズドネットワーク内の他の端末が検査対象データを送信してもよい。その場合、第１の端末１０には、第２の端末４０にパケット送信を開始する契機としてパケット送信要求が与えられる。また、第１の端末１０の送受信部１１は、検査対象データを送信する機能は不要となる。

　第１の実施形態では、通信制御装置２０が第１の端末１０からの検査対象データを検査端末３０に転送するが、これに限られない。例えば、第１の端末１０と検査端末３０との単方向通信の制御が可能な別の通信制御装置によって検査対象データを検査端末３０に転送させてもよい。その場合、通信制御装置２０の通信制御部が検査対象データを転送する機能は不要となる。

　第１の実施形態では、第１の端末１０の判定部１２が、第１の端末１０と第２の端末４０との間の通信状態に基づいて検査対象データの安全性を判定するが、これに限られない。例えば、第３の端末に判定部１２を設置し、第３の端末に第１の端末１０と第２の端末４０との間の通信状態を監視させ、通信状態の変化から検査対象データの安全性を判定させてもよい。その場合、第１の端末１０には、判定部１２は不要となる。

　なお、検査対象データは、クローズドネットワーク内に持ち込まれるデータだけでなく、クローズドネットワーク内で作成され、クローズドネットワーク内で利用予定のあるデータであってもよい。

　（第１の実施形態の効果）
　第１の実施形態に係るデータ検査システムは、クローズドネットワーク内で利用予定のデータに対し、セキュリティ上の安全性を検査することができる。その理由は、クローズドネットワークで利用予定のデータを検査対象データとして、オープンネットワーク内でシグネチャの更新が可能な検査端末３０で検査できるからである。さらに、検査端末３０からの検査結果に基づいて、通信制御装置２０がクローズドネットワーク内の第１の端末１０と第２の端末４０との間の通信を許可又は遮断する。これにより、第１の端末１０は、第２の端末４０との通信状態に基づいて、検査対象データの検査結果を判定できるからである。

　＜第２の実施形態＞
　本発明の第２の実施形態に係るデータ検査システムについて、図面を参照して詳細に説明する。

　（データ検査システム）
　図９は、第２の実施形態に係るデータ検査システムの構成の一例を示すブロック図である。図９に示すように、データ検査システム５００は、データ転送端末１００、通信制御装置２００、データ検査端末３００、及び、汎用端末４００を備える。なお、データ転送端末１００、通信制御装置２００、データ検査端末３００、及び、汎用端末４００は、ぞれぞれ、第１の実施形態の第１の端末１０、通信制御装置２０、検査端末３０、第２の端末４０に相当する。

　データ転送端末１００と汎用端末４００は、クローズドネットワークである制御ネットワーク上で運用され、データ検査端末３００は、オープンネットワークである情報ネットワーク上で運用されている。通信制御装置２００は、制御ネットワークの境界に設置され、制御ネットワークと情報ネットワークに接続されている。

　データ検査端末３００は、検査対象データを、更新されたシグネチャと照合して検査する機能を有する。検査対象データは、制御ネットワーク上で運用される各種端末で利用が予定されているデータであり、例えば、ＵＳＢメモリ、携帯型ＰＣ、又は、記録メディア等を介して制御ネットワーク内に持ち込まれるデータである。

　さらに、データ検査端末３００は、検査対象データの検査結果に基づいて、通信制御装置２００におけるデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する設定情報を生成し、通信制御装置２００に通信制御のための設定情報（又は制御信号ともいう）を送信する機能を有する。

　通信制御装置２００は、制御ネットワークから情報ネットワークへの単方向通信を制御する機能を有する。さらに、通信制御装置２００は、制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する機能を有する。

　データ転送端末１００は、汎用端末４００にパケット送信し、汎用端末４００は、パケットを受信した場合、受信したパケットに応答してデータ転送端末１００に返信パケットを送信する。データ転送端末１００は、汎用端末４００との間の通信状態（許可又は遮断）に基づいて、検査対象データの検査結果を判定する機能を有する。例えば、データ転送端末１００は、汎用端末４００に送信したパケットに対する返信パケットの有無によって汎用端末４００との間の通信状態（許可又は遮断）を判断する。

　また、データ転送端末１００は、制御ネットワーク内でセキュリティ上の安全性を検査すべきデータを検査対象データとしてデータ検査端末３００に転送する機能を有する。なお、データ転送端末１００は、自身が利用するデータを転送するだけでなく、制御ネットワーク内の他の端末が適用する新たなデータを代理でデータ検査端末３００に転送してもよい。

　このようなデータの代理転送については、例えば、制御ネットワーク内の他の端末にデータが持ち込まれた際に、強制的に他の端末からデータ転送端末１００に送付する仕組みを導入してもよい。これは、データ転送端末１００が、他の端末が制御ネットワーク上で送受信する各種データを受動的に監視することで実現できる。

　次に、第２の実施形態のデータ検査システム５００を構成する個々の端末、装置について図面を用いて詳細に説明する。

　（データ転送端末）
　図１０は、第２の実施形態に係るデータ転送端末１００の構成を示すブロック図である。図１０に示すように、データ転送端末１００は、データ入力部１１０と、通信情報決定部１２０と、データ転送部１３０と、パケット送受信部１４０と、検査結果判定部１５０を備える。また、表示装置１６０、及び、通信情報ＤＢ（ＤａｔａＢａｓｅ）１７０が、データ転送端末１００に接続されている。汎用端末４００は、通信制御装置２００（図示せず）を介してデータ転送端末１００と接続されている。なお、図１０では、表示装置１６０、通信情報ＤＢ１７０は、データ転送端末１００の外部に配置されているが、データ転送端末１００の内部に配置されてもよい。

　データ入力部１１０は、制御ネットワーク内に持ち込まれたデータ（検査対象データ）を取得する。検査対象データの取得は、外部記憶装置又は記録媒体からの読み込み、データ転送端末１００が接続する制御ネットワーク内の他の端末からの受信、又は、制御ネットワーク上で送受信される通信の抽出によって実行される。

　通信情報決定部１２０は、データ検査端末３００に検査対象データを転送するための送信元アドレスを決定する。具体的には、通信情報決定部１２０は、通信情報ＤＢ１７０を参照し、予めデータ転送端末１００に割り当てられたＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスの中から、取得した検査対象データに紐づけるＩＰアドレスを決定する。またＩＰアドレスは、他の検査対象データの転送に使用されていないＩＰアドレスが選択される。さらに、通信情報決定部１２０は、汎用端末４００にパケットを送信する際にデータ転送端末１００が使用するＩＰアドレスも決定する。

　なお、通信情報とは、端末間、端末と装置間で通信を区別するために使用する識別子であり、ＩＰアドレスを利用する例で説明したが、後述のように、他の通信情報を利用することもできる。

　データ転送部１３０は、通信情報決定部１２０が決定した通信情報（例えば、ＩＰアドレス）を送信元アドレスとして検査対象データをデータ検査端末３００に転送する。パケット送受信部１４０は、汎用端末４００に対してパケットを送信するとともに、その返信パケットを受信する。

　検査結果判定部１５０は、データ転送端末１００と汎用端末４００との間の通信状態に基づいて検査対象データの検査結果を判定する。具体的には、パケット送受信部１４０が汎用端末４００宛てに送信したパケットに対する汎用端末４００からの返信の有無に応じて検査対象データの検査結果を判定する。

　表示装置１６０は、検査結果判定部１５０が判定した検査対象データの検査結果を表示する。表示装置１６０は、例えば、液晶表示装置を用いることができる。

　通信情報ＤＢ１７０には、検査対象データの転送時に使用できる通信情報の一覧、および検査対象データと検査対象データをデータ検査端末３００に転送する際に使用した通信情報との対応が記録される。例えば、通信情報としてＩＰアドレスを利用する場合、通信情報ＤＢには、データ転送端末１００に割り当てられているＩＰアドレスの一覧及び検査対象データと検査対象データを転送する際に使用した送信元ＩＰアドレスとの対応が記録される。

　（通信制御装置）
　図１１は、第２の実施形態に係る通信制御装置２００の構成を示すブロック図である。図１１に示すように、通信制御装置２００は、通信制御部２１０、設定部２２０を備える。

　設定部２２０は、データ検査端末３００からの設定情報に基づいて、通信制御部２１０の通信制御の設定を登録する。通信制御部２１０は、設定部２２０に登録された通信制御の設定に従って制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する。さらに、通信制御部２１０は、制御ネットワークから情報ネットワークへの単方向通信を制御する。

　通信制御装置２００は、例えば、ファイアウォールを用いることで、データ転送端末１００と汎用端末４００との間の通信も制御することができ、さらに、制御ネットワークから情報ネットワークへの単方向通信を制御することができる。

　ファイアウォールは、通信制御の設定ファイルであるアクセス制御リスト（ＡＣＬ：Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｌｉｓｔ）を参照して通信を制御する。第２の実施形態において、通信制御装置２００が参照するＡＣＬの設定のうち、データ転送端末１００と汎用端末４００との間の通信に関連するＡＣＬの設定は、データ検査端末３００から送信される設定情報により適宜書き換え可能であるとする。このような書き換えのためのインターフェースには、ファイアウォールのセキュアシェル（Ｓｅｃｕｒｅ　Ｓｈｅｌｌ：ＳＳＨ）といったコマンドラインインタフェースを利用することができる。

　なお、この場合、データ検査端末３００は、制御ネットワークと情報ネットワークとの間の通信に関するＡＣＬの設定の書き換えができないように、ファイアウォールの管理権限が設定されていることが望ましい。

　また、通信制御装置２００の送受信部（図示せず）は、通信制御部２１０がデータ転送端末１００と汎用端末４００との間の通信を遮断している間、データ転送端末１００から送信されたパケットに対して、エラーメッセージを返信してもよい。

　（データ検査端末）
　図１２は、第２の実施形態に係るデータ検査端末３００の構成を示すブロック図である。図１２に示す通り、データ検査端末３００は、データ入力部３１０と、シグネチャ更新部３２０と、データ検査部３３０と、通信制御設定部３４０と、通信制御用ＤＢ３５０を備える。

　データ入力部３１０は、制御ネットワーク内のデータ転送端末１００から送信された検査対象データを取得し、取得した検査対象データをデータ検査部３３０に送る。また、データ入力部３１０は、データ転送端末１００からの検査対象データとその送信元アドレスを紐付して通信制御用ＤＢに登録する。

　シグネチャ更新部３２０は、データ検査部３３０が検査で使用するシグネチャの更新ファイルを取得し、データ検査部３３０のシグネチャを更新する。

　データ検査部３３０は、データ入力部３１０で受付けた検査対象データとシグネチャを照合し、検査対象データのセキュリティ上の安全性を検査する。検査対象データのセキュリティ上の安全性の検査は、ファイルのサイズやハッシュ値などの特徴的なビット列と、過去に検知された悪意のあるファイルの特徴的なビット列を比較することによりウィルスを検知する。このような検査は、例えば、コンピュータで用いる一般的なアンチウィルスソフトウェアで実現できる。

　通信制御設定部３４０は、検査対象データの検査結果に基づいて、制御ネットワーク上のデータ転送端末１００と汎用端末４００との間における通信制御の設定情報を生成する。生成された設定情報は、データ検査端末３００から通信制御装置２００へ送信される。

　通信制御用ＤＢ３５０には、検査対象データと、検査対象データを受信した際に使用されていた通信情報の対応が登録される。通信情報は、例えば、送信元ＩＰアドレスである。

　汎用端末４００は、データ転送端末１００から受信したパケットに対して、データ転送端末１００に返信パケットを送信する。汎用端末４００は、例えば、汎用オペレーティングシステムを搭載したコンピュータ端末である。なお、汎用端末４００は、専用端末を準備してもよく、他の処理を行っている端末にその機能を担わせてもよい。

　（データ検査システムの動作）
　次に、第２の実施形態に係るデータ検査システムの動作について、図面を用いて説明する。図１３は、第２の実施形態に係るデータ検査システム５００の動作を表すフローチャートである。

　データ転送端末１００は、制御ネットワーク内に持ち込まれるデータを、セキュリティ上の安全性を検査すべき検査対象データとしてデータ検査端末３００に転送する（ステップＲ１）。検査対象データを取得したデータ検査端末３００は、検査対象データのセキュリティ上の安全性を検査する（ステップＲ２）。

　検査の結果、検査対象データが安全である場合（ステップＲ３のＹｅｓ）、データ検査端末３００は、通信制御装置２００に対してデータ転送端末１００と汎用端末４００との間の通信を許可する設定情報を送信する。そして通信制御装置２００は、受信した設定情報を登録し（ステップＲ４）、データ転送端末１００と汎用端末４００との間の通信を許可する（ステップＲ５）。

　一方検査の結果、検査対象データが安全でない場合（ステップＲ３のＮｏ）、データ検査端末３００は、通信制御装置２００に対してデータ転送端末１００と汎用端末４００との間の通信を遮断する設定情報を送信する。そして通信制御装置２００は、受信した設定情報を登録し（ステップＲ６）、データ転送端末１００と汎用端末４００との間の通信を遮断する（ステップＲ７）。

　データ転送端末１００と汎用端末４００との通信状態に基づき、データ転送端末１００は、検査対象データの安全性を判定する（ステップＲ８）。具体的には、データ転送端末１００は、汎用端末４００にパケットを送信し、汎用端末４００と通信できる場合、検査対象データのセキュリティ上の安全性に問題がないと判定する。一方、データ転送端末１００は、汎用端末４００にパケットを送信し、汎用端末４００と通信できない（通信が遮断されている）場合、検査対象データのセキュリティ上の安全性に問題あると判定する。

　以下、ステップＲ１～Ｒ８の詳細な説明として、データ転送端末１００、データ検査端末３００、通信制御装置２００の動作を説明する。

　（データ転送端末の動作）
　次に、データ転送端末１００の動作について図面を用いて説明する。図１４はデータ転送端末１００の動作を示すフローチャートである。

　はじめに、データ入力部１１０は、制御ネットワーク内で利用予定のデータを検査対象データとして取得する（ステップＳ１）。さらに、データ転送端末１００の通信情報決定部１２０は、通信情報ＤＢ１７０を参照して、使用中ではないＩＰアドレスを一つ決定し、検査対象データと決定したＩＰアドレスの対応関係を通信情報ＤＢ１７０に登録する（ステップＳ２）。

　続いて、データ転送部１３０は、決定したＩＰアドレスを送信元アドレスとして、取得した検査対象データをデータ検査端末３００に送信する（ステップＳ３）。なお、検査対象データの転送は、検査対象データを検査したいタイミングに応じて自由に設定可能である。例えば、データ転送端末１００の検査対象データの取得時でもよく、あるいは、検査対象データの検査後に定期的に転送してもよい。

　次に、データ転送部１３０が検査対象データをデータ検査端末３００に転送後、パケット送受信部１４０は、決定したＩＰアドレスを送信元アドレスとして、汎用端末４００にパケットを送信する（ステップＳ４）。データ転送端末１００から汎用端末４００へのパケット送信は、所定の時間（タイムアウト時間）で終了するようにしてもよい。

　次に、データ転送端末１００は、パケットを受信したか否かを確認する。データ転送端末１００が受信する返信パケットは、汎用端末４００からの返信パケットの他に、通信制御装置２００からのエラーメッセージであってもよい。

　パケットを受信していない場合（ステップＳ５のＮｏ）、パケット送受信部１４０は、再度、汎用端末４００にパケットを送信する。

　検査対象データの検査結果に基づく通信制御の設定が通信制御装置２００に反映されると、データ転送端末１００は、汎用端末４００からの返信パケットが受信可能となる。データ転送端末１００のパケット送受信部１４０は、受信したパケットが汎用端末４００からの返信パケットか否かを確認する（ステップＳ６）。

　汎用端末４００からの返信パケットを受信した場合（ステップＳ６のＹｅｓ）、検査対象データが安全であると判定する（ステップＳ７）。
通信制御装置２００からのエラーメッセージを受信した場合、汎用端末４００からの返信パケットではないため（ステップＳ６のＮｏ）、検査結果判定部１５０は、検査対象データが安全ではないと判定する（ステップＳ８）。なお、データ転送端末１００の検査結果判定部１５０は、タイムアウト時間の経過後に、転送した検査対象データは安全ではないと判定してもよい。

　検査結果判定部１５０は、検査対象データの検査が終了した後、通信情報ＤＢ１７０から送信アドレスとして使用したＩＰアドレスと検査対象データとの対応情報を削除し、使用中であったＩＰアドレスを開放する。

　（データ検査端末の動作）
　次に、データ検査端末３００の動作について図面を用いて説明する。図１５は、第２の実施形態に係るデータ検査端末３００の動作を示すフローチャートである。データ検査端末３００は、データ転送端末１００から検査対象データを取得し（ステップＴ１）、検査対象データと、検査対象データに関連する送信元ＩＰアドレスの対応を通信制御用ＤＢ３５０に登録する。続いて、データ検査端末３００は、シグネチャの更新ファイルを取得してシグネチャを更新し（ステップＴ２）、検査対象データのセキュリティ上の安全性を検査する（ステップＴ３）。

　そして、データ検査端末３００は、検査対象データの検査結果に応じて、データ転送端末１００と汎用端末４００との間の通信の状態を変更する。検査対象データが安全な場合（ステップＴ４のＹｅｓ）、データ検査端末３００は、検査対象データに関連する送信元ＩＰアドレスに対応する、データ転送端末１００と汎用端末４００との間の通信を許可する設定情報を通信制御装置２００に送信する（ステップＴ５）。

　一方、検査対象データが安全でない場合（ステップＴ４のＮｏ）、データ検査端末３００は、検査対象データに関連する送信元ＩＰアドレスに対応する、通信を遮断する設定情報を生成し、通信制御装置２００に送信する（ステップＴ６）。

　ステップＴ５およびステップＴ６において、データ検査端末３００が、データ転送端末１００と汎用端末４００との間の通信を制御する際には、通信制御用ＤＢ３５０を参照し、データ検査端末３００が検査対象データを取得したときの送信元ＩＰアドレスを利用する。

　上述のデータ検査端末の動作の説明では、検査対象データが安全であるか否かに基づいて、通信制御の設定情報をそれぞれ送信する例を示したが、これに限られるものではない。

　例えば、通信制御装置２００の通信制御の初期設定が、データ転送端末１００と汎用端末４００との間の通信を遮断する設定であるとする。この初期設定の状態で、検査の結果、検査対象データが安全な場合、データ検査端末３００は、通信を許可する設定情報を通信制御装置２００に送信する。一方、検査の結果、検査対象データが安全でない場合、データ検査端末３００が、設定情報を通信制御装置２００に送信しないことで、通信制御装置２００の通信制御を初期設定（通信を遮断）の状態が維持されるようにしてもよい。なお、検査対象データの検査結果に基づいて通信制御の設定を変更（通信を許可）した場合は、再度、通信制御を初期設定に戻す必要がある。

　（データ検査端末の動作の変形例）
　図１６は、第２の実施形態に係るデータ検査端末の別の動作を示すフローチャートである。図１６は、通信制御装置２００の通信制御の初期設定を利用するデータ検査端末３００の動作を示すフローチャートである。なお、図１６に示すデータ検査端末３００のフローチャートにおいて、図１５に示すフローチャートと同じステップには同一のステップ番号を示し、詳しい説明は省略する。

　図１６に示すように、データ検査端末３００は、データ転送端末１００から検査対象データを取得し（ステップＴ１）、検査対象データと、検査対象データに関連する送信元ＩＰアドレスの対応を通信制御用ＤＢ３５０に登録する（ステップＴ７）。続いて、データ検査端末３００は、シグネチャの更新ファイルを取得してシグネチャを更新し（ステップＴ２）、検査対象データのセキュリティ上の安全性を検査する（ステップＴ３）。なお、シグネチャを更新するステップＴ２は、検査対象データを検査するステップＴ３より前であれば、検査対象データを取得するステップＴ１の前に実施してもよい。

　次に、データ検査端末３００は、検査対象データが安全な場合（ステップＴ４のＹｅｓ）、通信制御用ＤＢ３５０を参照し検査対象データに関連した送信元ＩＰアドレスを含めてデータ転送端末１００と汎用端末４００との間の通信を許可する設定情報を生成する。データ転送端末１００と汎用端末４００との間の通信制御の設定情報を通信制御装置２００に送信する（ステップＴ８）。そして、データ検査端末３００は、所定時間の経過後に、通信制御装置２００の通信制御を初期設定（通信の遮断）にする設定情報を通信制御装置２００に送信する（ステップＴ９）。

　一方、検査対象データが安全でない場合（ステップＴ４のＮｏ）、データ検査端末３００は、通信制御用ＤＢ３５０を参照し検査対象データに関連した送信元ＩＰアドレスを含むデータ転送端末１００へのエラーメッセージ送信又はその解除の設定情報を生成する。データ検査端末３００は、データ転送端末１００向けのエラーメッセージ送信の設定情報を通信制御装置２００に送信する（ステップＴ１０）。データ検査端末３００は、所定時間の経過後に、データ転送端末１００向けのエラーメッセージ送信を解除する設定情報を通信制御装置２００に送信する（ステップＴ１１）。

　所定時間とは、データ転送端末１００が、汎用端末４００から返信パケットを受信する又は通信制御装置２００からエラーメッセージを受信して、検査対象データの検査結果を判定するのに必要な時間である。例えば、データ転送端末１００が汎用端末４００に対してパケットを送信する間隔以上に設定することが考えられる。

　上記の変形例の説明では、データ検査端末３００が、通信制御装置２００にデータ転送端末１００向けのエラーメッセージを送信させる設定情報を生成し、データ検査端末３００が設定情報を通信制御装置２００に送信する例を示したが、これに限られない。例えば、データ検査端末３００からの検査結果に基づく通知に応じて、通信制御装置２００がデータ転送端末１００向けのエラーメッセージを送信する設定情報を生成し、設定部２２０に登録するような構成を採用してもよい。

　また、データ転送端末１００は、エラーメッセージの受信によらず、汎用端末４００宛てのパケットを所定の回数まで送信後、パケット送信に対する返信がなければ、汎用端末４００との通信が遮断されていると判断し、検査対象データは安全でないと判定するような構成を用いてもよい。

　上述の第２の実施形態に係るデータ検査システムでは、データ転送端末１００が複数のＩＰアドレスの中から任意のＩＰアドレスを選択できる。このため、データ転送端末１００は、検査対象データをデータ検査端末３００に転送する際、検査対象データごとに異なる送信元ＩＰアドレスが設定可能となる。

　さらに、データ転送端末１００がデータ検査端末３００に検査対象データを転送する際の送信元ＩＰアドレスと汎用端末４００にパケットを送信する際の送信元ＩＰアドレスとを同一としている。

　これにより、検査対象データに紐付された送信元ＩＰアドレスと同じＩＰアドレスを、データ転送端末１００と汎用端末４００との通信の制御対象とすることができ、複数の検査対象データの判定を伴う場合に、データ検査システムの構成を簡易にできる。また、検査対象データの転送から判定までの時間又は工程を削減することが可能となる。

　なお、データ転送端末１００に割り当てられているＩＰアドレスがすべて利用されている場合は、検査対象データの検査結果の判定が完了しＩＰアドレスが解放されるまで待機する。

　また、複数の検査対象データを検査する際に、データ転送端末１００にＩＰアドレスが１つしか付与されない場合、もしくは、データ転送端末１００が任意のＩＰアドレスを選択して通信する仕組みを備えていない場合もある。

　その場合は、データ検査端末３００は、使用可能なＩＰアドレスで検査対象データを転送し、汎用端末４００へパケットを送信する。データ検査端末３００が検査対象データを検査し、データ転送端末１００が検査結果を判定した後、同ＩＰアドレスを用いて、次の検査対象データの検査処理を進める。

　（通信制御装置の動作）
　次に、第２の実施形態の通信制御装置２００の動作について、図面を用いて説明する。図１７は、第２の実施形態の通信制御装置２００の動作を示すフローチャートである。

　通信制御装置２００は、データ転送端末１００から送信された検査対象データをデータ検査端末３００に転送する（ステップＵ１）。その後、通信制御装置２００は、データ検査端末３００から設定情報を取得し、取得した設定情報を設定部２２０に登録して通信制御の設定を変更する（ステップＵ２）。続いて、通信制御装置２００は、制御ネットワーク内におけるデータ転送端末１００と汎用端末４００との間の通信を制御する（ステップＵ３）。

　（第２の実施形態の具体例）
　次に、第２の実施形態のデータ検査システムの具体例として、通信制御装置２００にファイアウォールを用いる例について説明する。第２の実施形態のデータ検査システムの具体例では、データ転送端末１００と汎用端末４００との間で送受信されるパケットとしてｐｉｎｇパケットを利用する。また、データ転送端末１００にはＩＰアドレスとして“Ａ_ａｄｄｒ”、“Ｂ_ａｄｄｒ”、“Ｃ_ａｄｄｒ”の３つのＩＰアドレスが割り当てられているとする。さらに、データ検査端末３００にはＩＰアドレスとして“Ｘ_ａｄｄｒ”が割り当てられ、汎用端末４００にはＩＰアドレスとして“Ｙ_ａｄｄｒ”が割り当てられているとする。

　上記の環境において、データ転送端末１００は、３つの検査対象データ“Ａ”、“Ｂ”、“Ｃ”が、それぞれ紐付けられた送信元ＩＰアドレス“Ａ_ａｄｄｒ”、“Ｂ_ａｄｄｒ”、“Ｃ_ａｄｄｒ”を用いてデータ検査端末３００に転送する。

　図１８は、ファイアウォールに設定される通信制御の設定情報を示すデータシートである。まず、データ転送端末１００からデータ検査端末３００への検査対象データの転送について以下に説明する。ファイアウォール（通信制御装置２００）には、３つの検査対象データの検査が開始される前の時点で、図１８の番号１の通信制御の設定情報が適用されている。このとき、ファイアウォールは、宛先がデータ検査端末３００であるパケットの通信を許可し、データ転送端末１００は、検査対象データ“Ａ”、“Ｂ”、“Ｃ”を、データ検査端末３００に転送することができる。なお、ファイアウォールにおいて、設定に該当しない宛先のパケットは破棄される。

　データ検査端末３００の検査により、検査対象データ“Ａ”が「安全である」場合、データ検査端末３００は、図１８の番号２と番号３に示す設定情報を生成し、ファイアウォールに送信する。設定情報が反映されたファイアウォールは、送信元ＩＰアドレスが“Ａ_ａｄｄｒ”、宛先ＩＰアドレスが“Ｙ_ａｄｄｒ”であり、プロトコルがＩＣＭＰ（Ｉｎｔｅｒｎｅｔ　Ｃｏｎｔｒｏｌ　Ｍｅｓｓａｇｅ　Ｐｒｏｔｏｃｏｌ）であるパケットをＡＣＣＥＰＴする。また、ファイアウォールは、上述のパケットとその逆方向に送信される返信パケットもＡＣＣＥＰＴする。

　これにより、汎用端末４００は、データ転送端末１００が送信元ＩＰアドレス“Ａ_ａｄｄｒ”で汎用端末４００宛てに送信したｐｉｎｇパケットを受信することができる。また、汎用端末４００は、受信したｐｉｎｇパケットに対する返信パケットをデータ転送端末１００に送信可能となる。

　そして、データ転送端末１００は、汎用端末４００との通信状態に基づいて、検査対象データ“Ａ”が「安全である」と判定する。

　次に、データ検査端末３００の検査により、検査対象データ“Ｂ”が「安全でない」場合、データ検査端末３００は、図１８の番号４に示す設定情報を生成し、ファイアウォールに送信する。設定情報が反映されたファイアウォールは、送信元ＩＰアドレスが“Ｂ_ａｄｄｒ”、宛先ＩＰアドレスが“Ｙ_ａｄｄｒ”であり、プロトコルがＩＣＭＰであるパケットをＲＥＪＥＣＴする。

　これにより、データ転送端末１００が送信元ＩＰアドレスを“Ｂ_ａｄｄｒ”として汎用端末４００に送信したｐｉｎｇパケットに対し、ファイアウォールはデータ転送端末１００からの通信を遮断することになる。データ転送端末１００は、数回のパケットの再送信の後、汎用端末４００からの返信パケットを受信しない場合、検査対象データ“Ｂ”は「安全ではない」と判定する。

　なお、データ転送端末１００が送信元ＩＰアドレスを“Ｂ_ａｄｄｒ”として汎用端末４００に送信したｐｉｎｇパケットに対し、ファイアウォールがデータ転送端末１００に、エラーメッセージを返信してもよい。エラーメッセージは、ＩＣＭＰプロトコルのＩＣＭＰ　Ｄｅｓｔｉｎａｔｉｏｎ　Ｕｎｒｅａｃｈａｂｌｅ　Ｍｅｓｓａｇｅを用いる。データ転送端末１００は、ファイアウォールからエラーメッセージを受信することで、汎用端末４００からの返信パケットは受信できないと判断し、検査対象データ“Ｂ”は「安全ではない」と判定する。

　次に、検査対象データ“Ｃ”が未検査もしくは検査中の場合、データ検査端末３００は、ファイアウォールの通信制御に対する設定情報は生成しない。このため、ファイアウォールによって、データ転送端末１００が送信元ＩＰアドレスを“Ｃ_ａｄｄｒ”として汎用端末４００に送信したｐｉｎｇパケットは廃棄される。

　最後に、データ検査端末３００は、ファイアウォールに番号２，３および４の設定情報を提供してから所定時間の経過後、ファイアウォールから当該設定を削除する設定情報を生成し、ファイアウォールに送信する。

　（変形例）
　第２の実施形態に係るデータ検査システムでは、通信情報としてＩＰアドレスを用いる例を示したが、これに限られるものではない。データ転送端末１００、通信制御装置２００、データ検査端末３００がそれぞれで識別可能であり、通信制御装置２００の通信制御に利用できる情報であればよい。例えば、ＩＰアドレスの代わりにポート番号又はパケットのオプションフィールドを利用することができる。

　データ転送端末１００が汎用端末４００に送信するパケットは、ｐｉｎｇパケットを利用することができる。ｐｉｎｇパケットを用いることで、ＩＣＭＰの“ｅｃｈｏ　ｒｅｑｕｅｓｔ　Ｍｅｓｓａｇｅ”、及び、“ｅｃｈｏ　ｒｅｐｌｙ　Ｍｅｓｓａｇｅ”によってパケット到達性が確認できる。

　なお、データ転送端末１００が汎用端末４００に送信するパケットとしては、ｐｉｎｇパケットに限られるものではない。受信したパケットに対して返信する仕組みが用意され、かつ、通信制御装置２００で制御できる通信であれば、他の通信プロトコルを用いてもよい。

　また、第２の実施形態では、クローズドネットワークである制御ネットワーク上で運用される制御システムの例を用いて説明したが、これに限られない。例えば、制御ネットワーク上の他の端末に情報を配布する情報システム（サーバ）であってもよい。この場合、制御ネットワーク内で他の端末に提供できるデータは、データ検査端末３００による検査で安全性が確認されていることが前提となる。

　第２の実施形態では、通信制御装置２００がデータ転送端末１００からの検査対象データをデータ検査端末３００に転送するが、これに限られない。例えば、データ転送端末１００とデータ検査端末３００との単方向通信の制御が可能な別の通信制御装置によって検査対象データをデータ検査端末３００に転送させてもよい。その場合、通信制御装置２００の通信制御部２１０が検査対象データを転送する機能は不要となる。

　第２の実施形態では、データ転送端末１００の判定部１２が、データ転送端末１００と汎用端末４００との間の通信状態に基づいて検査対象データの安全性を判定するが、これに限られない。例えば、第３の端末に検査結果判定部１５０を設け、第３の端末にデータ転送端末１００と汎用端末４００との間の通信状態を監視させ、通信状態の変化から検査対象データの安全性を判定させてもよい。その場合、第３の端末に検査結果判定部１５０は、通信情報ＤＢ１７０から送信元アドレスと検査対象データとの対応を取得することになる。また、データ転送端末１００の検査結果判定部１５０は不要となる。

　なお、検査対象データは、制御ネットワーク内に持ち込まれるデータだけでなく、制御ネットワーク内で作成され、制御ネットワーク内で利用予定のあるデータであってもよい。

　第２の実施形態において、通信制御用ＤＢ３５０がデータ検査端末３００の内部に設置されている例を説明したが、データ検査端末３００の外部に設置されていてもよい。

　（第２の実施形態の効果）
　第２の実施形態のデータ検査システム５００は、第１の実施形態のデータ検査システムと同様に、制御ネットワーク（クローズドネットワーク）内で利用予定のデータに対し、セキュリティ上の安全性を検査することができる。

　その理由は、データ検査端末３００が、制御ネットワークで利用予定のデータである検査対象データを、情報ネットワーク内で更新されたシグネチャと照合し、検査できるからである。さらに、データ検査端末３００の検査結果に基づいて、通信制御装置２００は、制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する。これにより、データ転送端末１００は、汎用端末４００との通信状態に基づいて、検査対象データの検査結果を判定できるからである。
□（第３の実施形態）
　次に、本発明の第３の実施形態に係るデータ検査システムについて図面を用いて説明する。第２の実施形態のデータ検査システム５００は、検査対象データの検査結果に基づいて、データ検査端末３００が通信制御装置２００の通信制御の設定情報を生成する。一方、第３の実施形態のデータ検査システム５０００は、検査対象データの検査結果に基づいて、通信制御装置２０００が通信制御の設定情報を生成する点で異なる。

　（データ検査システム）
　図１９に、本発明の第３の実施形態に係るデータ検査システムの構成の一例を示す。図１９に示す通り、データ検査システム５０００は、データ転送端末１００と、通信制御装置２０００と、データ検査端末３０００と、汎用端末４００を備える。以下、第３の実施形態の説明において、第２の実施形態のデータ検査システム５００と同一の構成には同一の符号を付して詳細な説明を適宜省略する。

　データ転送端末１００と汎用端末４００は、クローズドネットワークである制御ネットワーク上に配置され、データ検査端末３０００は、オープンネットワークである情報ネットワーク上に配置されている。通信制御装置２０００は、制御ネットワークと情報ネットワークに接続され、制御ネットワークの境界に設置されている。

　データ検査端末３０００は、検査対象データに対して、更新されたシグネチャを使用して検査対象データを検査する機能を有する。また、データ検査端末３０００は、検査対象データの検査結果を通信制御装置２０００に送信する機能を有する。

　通信制御装置２０００は、制御ネットワークから情報ネットワークへの単方向通信を制御する機能を有する。さらに、通信制御装置２０００は、制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する機能を有する。また、通信制御装置２０００は、検査対象データの検査結果に基づいて、データ転送端末１００と汎用端末４００との間の通信を制御する設定情報を生成し、設定する機能を有する。

　通信制御装置２０００として一般的なファイアウォールが活用できる。例えば、ファイアウォールの設定情報であるアクセス制御リスト（ＡＣＬ）において、制御ネットワーク内のデータ転送端末１００から情報ネットワーク内のデータ検査端末３０００へ向かう通信については許可する一方で、データ検査端末３０００からデータ転送端末１００への通信については恒常的に遮断する。

　また、制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を制御する設定情報（ＡＣＬ）は、通信制御装置２０００が変更権限を有する。この際、データ検査端末３０００は、通信制御装置２０００の設定情報（ＡＣＬ）の変更ができないように、ファイアウォールの管理権限が設定されていることが望ましい。

　次に、第３の実施形態におけるデータ検査端末３０００、通信制御装置２０００についてそれぞれ説明する。

　（データ検査端末）
　図２０は、第３の実施形態に係るデータ検査端末３０００の構成を示すブロック図である。図２０に示す通り、データ検査端末３０００は、データ入力部３１０と、シグネチャ更新部３２０と、データ検査部３３０と、検査結果通知部３９０と、通信制御用ＤＢ３５０を備える。

　データ入力部３１０、シグネチャ更新部３２０、データ検査部３３０、通信制御用ＤＢ３５０、及び、汎用端末４００は、第２の実施形態と同様のため詳しい説明は省略する。

　検査結果通知部３９０は、データ検査部３３０から検査対象データの検査結果を取得し、検査対象データの検査結果を通信制御装置２０００に通知する。検査結果の通知は、検査結果と通知データが予め定められた対応付けとなっている。例えば、データ検査端末３０００は、検査対象データが安全な場合に「０」を、検査対象データが安全でない場合「１」という通知データを検査結果の通知として通信制御装置２０００に送信する。検査結果の通知には、当該検査対象データに紐付いた通信情報（例えば、送信元ＩＰアドレス）を含めてもよい。

　（通信制御装置）
　図２１は、第３の実施形態に係る通信制御装置２０００の構成を示すブロック図である。図２１に示すように、通信制御装置２０００は、通信制御部２１０、設定部２２０、通信制御設定部２３０を備える。

　通信制御部２１０は、制御ネットワークから情報ネットワークへの単方向通信を制御する。さらに、通信制御部２１０は、設定部２２０の設定に応じてデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する。

　通信制御設定部２３０は、データ検査端末３０００から送信された検査結果に基づく通知を用いて、データ転送端末１００と汎用端末４００との間における通信制御の設定情報を生成する。そして設定部２２０は、通信制御設定部２３０で生成された設定情報を登録する。

　通信制御装置２０００は、第２の実施形態と同様に、ファイアウォールを使用することで実現できる。ファイアウォールを用いることで、制御ネットワークから情報ネットワークへの単方向通信を制御することができ、さらに、データ転送端末１００と汎用端末４００との間の通信も制御することができる。

　ファイアウォールは、通信制御の設定ファイルであるアクセス制御リスト（ＡＣＬ）を参照して通信を制御する。第３の実施形態において、通信制御装置２０００が参照するＡＣＬの設定のうち、データ転送端末１００と汎用端末４００との間の通信に関連するＡＣＬの設定は、データ検査端末３０００からの検査結果に基づく通知により通信制御設定部２３０で生成され、設定部２２０に登録される。このような登録のためのインターフェースには、ファイアウォールのセキュアシェル（ＳｅｃｕｒｅＳｈｅｌｌ：ＳＳＨ）といったコマンドラインインタフェースを利用することができる。

　なお、この場合、データ検査端末３０００は、制御ネットワークと情報ネットワークとの間の通信に関するＡＣＬの設定の書き換えができないように、ファイアウォールの管理権限が設定されていることが望ましい。

　また、通信制御装置２０００の通信制御部２１０は、通信制御部２１０がデータ転送端末１００と汎用端末４００との間の通信を遮断している間、データ転送端末１００から送信されたパケットに対して、エラーメッセージを返信してもよい。
る。
□（データ検査システムの動作）
　次に、第３の実施形態に係るデータ検査システムの動作について、図面を用いて説明する。図２２は、第３の実施形態に係るデータ検査システム５０００の動作を示すフローチャートである。図中、第２の実施形態のデータ検査システム５００と同じ動作については、同一のステップ番号を示して詳細な説明は省略する。

　第３の実施形態のデータ検査システム５０００のステップＲ１からステップＲ３まで、及び、ステップＲ５、ステップＲ７、ステップＲ８は、第２の実施形態のデータ検査システム５００と同様である。

　検査の結果、検査対象データが安全な場合（ステップＲ３のＹｅｓ）、データ検査端末３０００は、検査対象データが安全であることを示す通知を通信制御装置２０００へ送信する（ステップＲ９）。通信制御装置２０００は、通知の内容に基づき、データ転送端末１００と汎用端末４００との間の通信を許可する設定情報を生成し登録する（ステップＲ１０）。そして通信制御装置２０００は、データ転送端末１００から汎用端末４００へのパケット通信を許可する（ステップＲ５）。

　一方、検査の結果、検査対象データが安全でない場合（ステップＲ３のＮｏ）、データ検査端末３０００は、検査対象データが安全でないことを示す通知を通信制御装置２０００に送信する（ステップＲ１１）。そして通信制御装置２０００は、通知の内容に基づき、データ転送端末１００と汎用端末４００との間の通信を遮断する設定情報を生成し登録する。通信制御装置２０００は、データ転送端末１００から汎用端末４００へのパケット通信を遮断する（ステップＲ７）。

　そしてデータ転送端末１００と汎用端末４００との通信状態に基づき、データ転送端末１００は、検査対象データの安全性を判定する（ステップＲ８）。

　（データ検査端末の動作）
　次に、第３の実施形態のデータ検査端末３０００の動作について図面を用いて説明する。
図２３は、データ検査端末３０００の動作を示すフローチャートである。

　第３の実施形態のデータ検査端末３０００の動作を示す図２３のうち、ステップＴ１からＴ４は、第２の実施形態のデータ検査端末３００の動作を示す図１５のステップＴ１からＴ４までと同じある。このため、第２の実施形態のデータ検査端末３００と同一の動作については同じステップ番号を付して詳細な説明は省略する。

　ステップＴ１からＴ３の後、検査結果通知部３９０は、データ検査部３３０から検査対象データの検査結果を取得する。検査結果通知部３９０は、検査対象データが安全である場合（ステップＴ４のＹｅｓ）、通信制御装置２０００に検査対象データが安全であることを示す通知を送信する（ステップＴ１２）。

　一方、検査対象データが安全でない場合（ステップＴ４のＮｏ）、データ検査端末３０００の検査結果通知部３９０は、通信制御装置２０００に検査対象データが安全でないことを示す通知を送信する（ステップＴ１３）。

　なお、検査結果の通知には、当該検査対象データに紐付いた通信情報（例えば、送信元ＩＰアドレス）を含めてもよい。

　このように、第３の実施形態のデータ検査端末３０００は、通信制御装置２０００に検査対象データの検査結果の通知を送信する点で、検査結果に基づく通信制御装置２０００の設定情報を送信する第２の実施形態のデータ検査端末３００と異なる。

　（通信制御装置の動作）
　次に、第３の実施形態の通信制御装置２０００の動作について図面を用いて説明する。図２４は、通信制御装置２０００の動作を示すフローチャートである。

　まず、通信制御装置２０００は、データ転送端末１００から取得した検査対象データをデータ検査端末３０００に転送する（ステップＶ１）。その後、データ検査端末３０００から検査対象データの検査結果の通知を取得する（ステップＶ２）。

　検査対象データが安全であることを示す通知の場合（ステップＶ３のＹｅｓ）、通信制御装置２０００の通信制御設定部２３０は、データ転送端末１００と汎用端末４００との間の通信を許可する設定情報を生成し、設定部２２０に登録する（ステップＶ４）。そして通信制御装置２０００の通信制御部２１０は、設定部２２０の設定にしたがいデータ転送端末１００から汎用端末４００へのパケット通信を許可する（ステップＶ５）。

　一方、検査対象データが安全でないことを示す通知の場合（ステップＶ３のＮｏ）、通信制御装置２０００の通信制御設定部２３０は、データ転送端末１００と汎用端末４００との間の通信を遮断する設定情報を生成し、設定部２２０に登録する。通信制御装置２０００の通信制御部２１０は、設定部２２０の設定にしたがいデータ転送端末１００から汎用端末４００へのパケット通信を遮断する（ステップＶ７）。

　（通信制御装置の動作の変形例）
　上記の通信制御装置２０００の動作の説明では、データ検査端末３０００からの検査結果の通知が、検査対象データが安全であることを示す通知か否によって、通信制御設定部２３０が設定情報をそれぞれ変更する例を示したが、これに限られるものではない。

　例えば、通信制御装置２０００の通信制御の初期設定が、データ転送端末１００と汎用端末４００との間の通信を遮断する設定であるとする。この初期設定の状態で、検査対象データが安全であることを示す通知の場合、通信制御装置２０００は、通信を許可する設定を変更する。一方、検査の結果、検査対象データが安全でない場合、通信制御設定部２３０が設定情報を生成しない、又は設定部２２０に設定情報を登録しないことで通信制御装置２０００の通信制御を初期設定（通信の遮断）に維持するようにしてもよい。

　図２５は、設定部２２０の初期設定を利用する通信制御装置２０００の動作を示すフローチャートである。なお、図２５に示す通信制御装置２０００のフローチャートにおいて、図２４に示すフローチャートと同じステップには同一のステップ番号を示し、詳しい説明は省略する。

　通信制御装置２０００の通信制御設定部２３０は、検査対象データが安全であることを示す通知の場合（ステップＶ３のＹｅｓ）、データ転送端末１００と汎用端末４００との間の通信を許可する設定情報を生成し設定部２２０に登録する（ステップＶ４）。通信制御部２１０は、設定にしたがいデータ転送端末１００と汎用端末４００との間の通信を許可する（ステップＶ５）。なお、データ検査端末３００からの検査結果の通知に検査対象データに紐付く送信元ＩＰアドレスが含まれている場合は、送信元ＩＰアドレスに対する通信制御の設定情報が生成される。その後、所定時間の経過後に通信制御設定部２３０は、通信制御を初期設定（通信の遮断）にする設定情報を生成し設定部２２０に登録する（ステップＶ８）。

　一方、検査対象データが安全でない場合（ステップＶ３のＮｏ）、通信制御装置２０００の通信制御設定部２３０は、データ転送端末１００向けのエラーメッセージ送信の設定情報を生成し、設定部２２０に登録する（ステップＶ９）。通信制御部２１０は、データ転送端末１００からのパケットに対して通信を遮断したまま、エラーメッセージをデータ転送端末１００に返信する（ステップＶ１０）。

　所定時間の経過後に、通信制御設定部２３０は、エラーメッセージ送信を解除する設定情報を生成し、設定部２２０に登録する。なお、データ検査端末３０００からの検査結果の通知に、検査対象データに紐付いた送信元ＩＰアドレスが含まれている場合は、これを利用してデータ転送端末１００へのエラーメッセージ送信又はその解除の設定情報が生成される。また所定時間に関しては、一定回数のパケットの通過もしくはエラーメッセージの返信を行うなどのイベントが終了した時点、などのタイミングで置き換えることも可能である。

　（第３の実施形態の効果）
　第２の実施形態のデータ検査システム５０００は、第２の実施形態のデータ検査システム５００と同様に、制御ネットワーク内で利用予定のデータに対し、セキュリティ上の安全性を検査することができる。

　その理由は、制御ネットワークで利用予定のデータを検査対象データとして、情報ネットワーク内でシグネチャの更新が可能なデータ検査端末３０００で検査できるからである。さらに、データ検査端末３０００の検査結果に基づいて、通信制御装置２０００は、制御ネットワーク内のデータ転送端末１００と汎用端末４００との間の通信を許可又は遮断する。これにより、データ転送端末１００は、汎用端末４００との通信状態に基づいて、検査対象データの検査結果を判定できるからである。

　（その他）
　なお、第１～第３の実施形態においてクローズドネットワーク（制御ネットワーク）で利用予定のデータは、当該ネットワークへの持ち込みデータ以外であってもよい。例えば、クローズドネットワーク内で作成されたプログラムでもよい。

　（ハードウエア構成）
　図２６は、第１～３の実施形態におけるデータ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００、汎用端末４００、第１の端末１０、及び、第２の端末４０をコンピュータ装置で実現したハードウエア構成を示す図である。

　第１～第３の実施形態において、各端末、及び、各装置の各構成要素は、機能単位のブロックを示している。各端末、及び、各装置の各構成要素の一部又は全部は、例えば、図２６に示すような情報処理装置６００とプログラムとの任意の組み合わせにより実現される。情報処理装置６００は、一例として、以下のような構成を含む。
ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）６０１、
ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）６０２、
ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）６０３、
ＲＡＭ６０３にロードされるプログラム６０４、
プログラム６０４を格納する記憶装置６０５、
記録媒体６０６の読み書きを行うドライブ装置６０７、
通信ネットワーク６０９と接続する通信インターフェース６０８、
データの入出力を行う入出力インターフェース６１０、
各構成要素を接続するバス６１１
　データ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００、汎用端末４００、第１の端末１０、及び、第２の端末４０の各構成要素は、これらの機能を実現するプログラム６０４をＣＰＵ６０１が取得して実行することで実現される。各構成要素の機能を実現するプログラム６０４は、例えば、予め記憶装置６０５又はＲＡＭ６０３に格納されており、必要に応じてＣＰＵ６０１が読み出す。なお、プログラム６０４は、通信ネットワーク６０９を介してＣＰＵ６０１に供給されてもよいし、予め記録媒体６０６に格納されており、ドライブ装置６０７が当該プログラムを読み出してＣＰＵ６０１に供給してもよい。

　データ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００、汎用端末４００、第１の端末１０、第２の端末４０の実現方法には、様々な変形例がある。例えば、データ検査端末３００は、各構成要素にそれぞれ別個の情報処理装置６００とプログラムとの任意の組み合わせにより実現されてもよい。また、データ検査端末３００が備える複数の構成要素が、一つの情報処理装置６００とプログラムとの任意の組み合わせにより実現されてもよい。

　また、データ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００、汎用端末４００、第１の端末１０又は第２の端末４０の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。また、情報処理装置６００の代わりにＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）のようなプログラマブルロジックデバイスを用いてもよい。

　さらに、データ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００、汎用端末４００、第１の端末１０又は第２の端末４０の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　また、データ転送端末１００、検査端末３０、データ検査端末３００、３０００、通信制御装置２０、２００、２０００の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。これは汎用端末４００、第１の端末１０および第２の端末４０でも同様である。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施形態の一部又は全部は、以下の付記のように記載されうるが、以下には限られない。

　　（付記１）
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内で更新されたシグネチャと照合して検査する検査端末と、
　前記クローズドネットワーク内で第２の端末と通信する第１の端末と、
　前記検査対象データの検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御装置と、を備え、
　前記第１の端末は、前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する、
データ検査システム。

　　（付記２）
　前記第１の端末と前記第２の端末との間の通信状態を検知する第３の端末を備え、
　前記第３の端末は、前記第１の端末の代わりに前記検査結果を判定する、
付記１に記載のデータ検査システム。

　　（付記３）
　前記検査端末は、前記検査対象データの前記検査結果に基づく通知を前記通信制御装置へ送信し、
　前記通信制御装置は、前記通知に従って前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する、
付記１又は２に記載のデータ検査システム。

　　（付記４）
　前記通信制御装置は、
　前記検査対象データが安全な場合、前記第１の端末と前記第２の端末との間の通信を許可し、前記検査対象データが安全でない場合、前記第１の端末と前記第２の端末との間の通信を遮断する、
付記１から３のいずれか１つに記載のデータ検査システム。

　　（付記５）
　前記通信制御装置は、更に、前記クローズドネットワークから前記オープンネットワークへの単方向通信を制御する、
付記１から４のいずれか１つに記載のデータ検査システム。

　　（付記６）
　前記検査端末は、
　前記検査対象データ、及び、シグネチャの更新ファイルを取得する送受信部と、
　前記更新ファイルにより更新されたシグネチャと前記検査対象データを照合して検査し、前記検査結果に基づく通知を生成する検査部を備え、
　前記送受信部は、前記通知を前記通信制御装置へ送信する、
付記１から５のいずれか１つに記載のデータ検査システム。

　　（付記７）
　前記通信制御装置は、
　前記検査対象データの前記検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御部を備える、
付記１から６のいずれか１つに記載のデータ検査システム。

　　（付記８）
　前記第１の端末は、前記第２の端末と通信する第２の送受信部と、
　前記第１の端末と前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する判定部を備える、
付記１から７のいずれか１つに記載のデータ検査システム。

　　（付記９）
　前記検査端末は、
　　更新されたシグネチャと前記検査対象データと照合して、前記検査対象データを検査するデータ検査部と、
　　前記検査対象データの前記検査結果に基づく通知として、前記通信制御装置の設定情報を生成する通信制御設定部を備える
付記１から４のいずれか１つに記載のデータ検査システム。

　　（付記１０）
　前記通信制御装置は、
　　生成された前記設定情報を登録する設定部と、
　　前記設定部の前記設定情報に基づいて、前記第１の端末と前記第２の端末との間の通信の制御を変更する通信制御部を備える
付記９に記載のデータ検査システム。

　　（付記１１）
　前記検査端末は、
　　更新されたシグネチャと前記検査対象データと照合して、前記検査対象データを検査するデータ検査部と、
　　前記検査対象データの前記検査結果に基づく通知として、前記検査結果と予め対応付けされた通知データを生成する検査結果通知部を備える
付記１から４のいずれか１つに記載のデータ検査システム。

　　（付記１２）
　前記通信制御装置は、
　　前記通知データに基づいて前記第１の端末と前記第２の端末との間の前記通信の制御の設定情報を生成する第２の通信制御設定部と、
　　生成された前記設定情報を登録する第２の設定部と、
　　前記第２の設定部の前記設定情報に基づいて、前記通信の制御を変更する通信制御部を備える
付記１１に記載のデータ検査システム。

　　（付記１３）
　前記第１の端末は、
　　データ転送端末と汎用端末との通信状態に基づいて、前記検査対象データの前記検査結果を判定する検査結果判定部を備える
付記１２に記載のデータ検査システム。

　　（付記１４）
　　前記検査結果判定部は、パケット送受信部が前記第２の端末に送信したパケットに対する前記第２の端末からの返信の有無に応じて前記検査対象データの前記検査結果を判定する、
付記１３に記載のデータ検査システム。

　　（付記１５）
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する、
データ検査方法。

　　（付記１６）
　コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する、ことを実行させる
検査プログラム。

　　（付記１７）
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　前記第２の端末宛てにパケット送信する送受信部と、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する判定部を備える、
第１の端末。

　　（付記１８）
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定方法であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する、
第１の端末の判定方法。

　　（付記１９）
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定プログラムであって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　コンピュータに、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する、ことを実行させる、
第１の端末の判定プログラム。

　　（付記２０）
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間における通信の許可又は遮断を制御する通信制御部を備える、
通信制御装置。

　　（付記２１）
　前記通信制御部は、前記クローズドネットワークから前記オープンネットワークへの単方向通信を制御する付記２０記載の通信制御装置。

　　（付記２１）
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する、
通信制御装置の制御方法。

　　（付記２２）
　コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する、ことを実行させる、
通信制御装置の制御プログラム。

　　（付記２３）
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査し、検査結果に基づく通知を生成する検査部を備え、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末。

　　（付記２４）
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査し、
　検査結果に基づいて通知を生成し、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末の制御方法。

　　（付記２５）
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査し、
　検査結果に基づいて通知を生成する、ことをコンピュータに実行させ、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末の制御プログラム。

　この出願は、２０１５年９月１７日に出願された日本出願特願２０１５－１８３６１７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　第１の端末
　１１　送受信部
　１２　判定部
　２０　通信制御装置
　２１　通信制御部
　３０　検査端末
　３１　送受信部
　３２　検査部
　４０　第２の端末
　４１　送受信部
　５０　データ検査システム
　１００　データ転送端末
　１１０　データ入力部
　１２０　通信情報決定部
　１３０　データ転送部
　１４０　パケット送受信部
　１５０　検査結果判定部
　１６０　表示装置
　１７０　通信情報ＤＢ
　２００、２０００　通信制御装置
　２１０　通信制御部
　２２０　設定部
　３００、３０００　データ検査端末
　３１０　データ入力部
　３２０　シグネチャ更新部
　３３０　データ検査部
　３４０　通信制御設定部
　３５０　通信制御用ＤＢ
　３９０　検査結果通知部
　４００　汎用端末
　５００、５０００　データ検査システム
　６００　情報処理装置
　６０１　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）
　６０２　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）
　６０３　ＲＡＭ（Ｒａｍｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）
　６０４　プログラム
　６０５　記憶装置
　６０７　ドライブ装置
　６０８　通信インターフェース
　６１０　入出力インターフェース
　６１１　バス

Claims

　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内で更新されたシグネチャと照合して検査する検査端末と、
　前記クローズドネットワーク内で第２の端末と通信する第１の端末と、
　前記検査対象データの検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御装置を備え、
　前記第１の端末は、前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する、
データ検査システム。
　前記第１の端末と前記第２の端末との間の通信状態を検知する第３の端末を備え、
　前記第３の端末は、前記第１の端末の代わりに前記検査結果を判定する、
請求項１に記載のデータ検査システム。
　前記検査端末は、前記検査対象データの前記検査結果に基づく通知を前記通信制御装置へ送信し、
　前記通信制御装置は、前記通知に従って前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する、
請求項１又は２に記載のデータ検査システム。
　前記通信制御装置は、
　前記検査対象データが安全な場合、前記第１の端末と前記第２の端末との間の通信を許可し、前記検査対象データが安全でない場合、前記第１の端末と前記第２の端末との間の通信を遮断する、
請求項１から３のいずれか１つに記載のデータ検査システム。
　前記通信制御装置は、更に、前記クローズドネットワークから前記オープンネットワークへの単方向通信を制御する、
請求項１から４のいずれか１つに記載のデータ検査システム。
　前記検査端末は、
　前記検査対象データ、及び、シグネチャの更新ファイルを取得する送受信手段と、
　前記更新ファイルにより更新されたシグネチャと前記検査対象データを照合して検査し、前記検査結果に基づく通知を生成する検査手段を備え、
　前記送受信手段は、前記通知を前記通信制御装置へ送信する、
請求項１から５のいずれか１つに記載のデータ検査システム。
　前記通信制御装置は、
　前記検査対象データの前記検査結果に基づいて、前記第１の端末と前記第２の端末との間の通信の許可又は遮断を制御する通信制御手段を備える、
請求項１から６のいずれか１つに記載のデータ検査システム。
　前記第１の端末は、前記第２の端末と通信する第２の送受信手段と、
　前記第１の端末と前記第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を判定する判定手段を備える、
請求項１から７のいずれか１つに記載のデータ検査システム。
　前記検査端末は、
　　更新されたシグネチャと前記検査対象データと照合して、前記検査対象データを検査するデータ検査手段と、
　　前記検査対象データの前記検査結果に基づく通知として、前記通信制御装置の設定情報を生成する通信制御設定手段を備える
請求項１から４のいずれか１つに記載のデータ検査システム。
　前記通信制御装置は、
　　生成された前記設定情報を登録する設定手段と、
　　前記設定手段の前記設定情報に基づいて、前記第１の端末と前記第２の端末との間の通信の制御を変更する通信制御手段を備える
請求項９に記載のデータ検査システム。
　前記検査端末は、
　　更新されたシグネチャと前記検査対象データと照合して、前記検査対象データを検査するデータ検査手段と、
　　前記検査対象データの前記検査結果に基づく通知として、前記検査結果と予め対応付けされた通知データを生成する検査結果通知手段を備える
請求項１から４のいずれか１つに記載のデータ検査システム。
　前記通信制御装置は、
　　前記通知データに基づいて前記第１の端末と前記第２の端末との間の前記通信の制御の設定情報を生成する第２の通信制御設定手段と、
　　生成された前記設定情報を登録する第２の設定手段と、
　　前記第２の設定手段の前記設定情報に基づいて、前記通信の制御を変更する通信制御手段を備える
請求項１１に記載のデータ検査システム。
　前記第１の端末は、
　　データ転送端末と汎用端末との通信状態に基づいて、前記検査対象データの前記検査結果を判定する検査結果判定手段を備える
請求項１２に記載のデータ検査システム。
　　前記検査結果判定手段は、パケット送受信手段が前記第２の端末に送信したパケットに対する前記第２の端末からの返信の有無に応じて前記検査対象データの前記検査結果を判定する、
請求項１３に記載のデータ検査システム。
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する、
データ検査方法。
　コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データを、オープンネットワーク内でシグネチャと照合して検査し、
　前記検査対象データの検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間の通信の許可又は遮断を制御し、
　前記クローズドネットワーク内の第１の端末と第２の端末との間の通信状態に基づいて、前記検査対象データの前記検査結果を識別する、ことを実行させる
検査プログラムを格納した記憶媒体。
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　前記第２の端末宛てにパケット送信する送受信手段と、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する判定手段を備える、
第１の端末。
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定方法であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する、
第１の端末の判定方法。
　第２の端末と共にクローズドネットワークに配置され、通信制御装置を介して前記第２の端末と通信する第１の端末の判定プログラムを格納した記憶媒体であって、
　前記第１の端末と前記第２の端末との通信が、前記クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記通信制御装置によって許可又は遮断され、
　コンピュータに、
　前記第２の端末宛てにパケット送信し、
　前記第２の端末との通信状態に基づいて、前記クローズドネットワーク内で前記検査対象データの前記検査結果を判定する、ことを実行させる、
第１の端末の判定プログラムを格納した記憶媒体。
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づいて、前記クローズドネットワーク内の第１の端末と第２の端末間における通信の許可又は遮断を制御する通信制御手段を備える、
通信制御装置。
　前記通信制御手段は、前記クローズドネットワークから前記オープンネットワークへの単方向通信を制御する請求項２０記載の通信制御装置。
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合し検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する、
通信制御装置の制御方法。
　コンピュータに、
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査した検査結果に基づく通知を取得し、
前記クローズドネットワーク内の第１の端末と第２の端末との間の通信の許可又は遮断を制御する、ことを実行させる、
通信制御装置の制御プログラムを格納した記憶媒体。
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査し、検査結果に基づく通知を生成する検査手段を備え、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末。
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査し、
　検査結果に基づいて通知を生成し、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末の制御方法。
　クローズドネットワーク内で利用予定の検査対象データをオープンネットワーク内で更新されたシグネチャと照合して検査し、
　検査結果に基づいて通知を生成する、ことをコンピュータに実行させ、
　前記通知に応じて、前記クローズドネットワーク内の第１の端末と第２の端末との間の通信が許可又は遮断される、
検査端末の制御プログラムを格納した記憶媒体。