WO2018159360A1

WO2018159360A1 - 制御装置、宅内機器、およびプログラム

Info

Publication number: WO2018159360A1
Application number: PCT/JP2018/005771
Authority: WO
Inventors: 健司安; 洋一増田
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2017-02-28
Filing date: 2018-02-19
Publication date: 2018-09-07
Also published as: JP2018142167A; US20200064816A1; JP6941779B2; CN110352426A

Abstract

制御装置１１は、機器１３と機器１３を制御するユーザスマートフォン２とを紐付けて記憶するサーバ１とネットワーク３を介して接続された制御装置１１がユーザスマートフォン２から指示を受けて機器１３の稼動状態を制御する制御システムにおける制御装置１１であって、他の端末から受信した信号が所定の基準を満たすか否かを判断し、所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する。

Description

制御装置、宅内機器、およびプログラム

　本発明は、制御装置、宅内機器、およびプログラムに関する。

　近年、ＩｏＴ（Internet of Things）が世界で大きく注目され、あらゆる機器は、常時インターネットに接続されることが一般化しつつある（特許文献１）。例えば、宅外のスマートフォンから宅内のエアコンのＯＮ／ＯＦＦなどの設定を行うことができるようになってきた。ＩＦＴＴＴ（If This Then that）のようなサービスを利用すると、簡単な設定操作でセンサーと機器の動作指示を紐付けて、「晴れて明るいときは照明を消す」というような連携動作を設定することも可能である。

特開２０１３－１５２５８４号公報

　しかしながら、ＩＦＴＴＴのようなサービスを利用するためには、宅内の機器の一部機能を外部インターネットから操作できるように公開する必要があり、セキュリティリスクの懸念がある。例えば、宅内の各機器やブロードバンドルータなどが正しく設定されていなかった場合、外部から第三者の攻撃対象になり、不正な制御やＤｏＳ攻撃などを受けるリスクも高まってしまう課題がある。

　本発明は、このような課題に鑑みてなされたものであり、セキュリティリスクを低減することができる制御装置、宅内機器、およびプログラムを提供することを目的とする。

　上記課題を解決するために、本発明の一態様に係る制御装置は、宅内機器と前記宅内機器を制御する携帯端末とを紐付けて記憶するサーバとネットワークを介して接続された制御装置が前記携帯端末から指示を受けて前記宅内機器の稼動状態を制御する制御システムにおける前記制御装置であって、他の端末から受信した信号が所定の基準を満たすか否かを判断し、前記所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する。

　また、本発明の一態様に係る宅内機器は、宅内機器と前記宅内機器を制御する携帯端末とを紐付けて記憶するサーバとネットワークを介して接続された制御装置が前記携帯端末から指示を受けて前記宅内機器の稼動状態を制御する制御システムにおける前記宅内機器であって、他の端末から受信した信号が所定の基準を満たすか否かを判断し、前記所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する。

　また、本発明の一態様に係るプログラムは、前記制御装置としてコンピュータを機能させるプログラムである。

　また、本発明の一態様に係るプログラムは、前記宅内機器としてコンピュータを機能させるプログラムである。

　本発明によれば、セキュリティリスクを低減することができる制御装置、宅内機器、およびプログラムを提供することができる。

本実施の形態に係る制御システムのネットワーク構成図である。本実施の形態に係る制御装置の機能ブロック図である。本実施の形態に係る制御システムのシーケンス図である。本実施の形態に係る制御システムのシーケンス図である。本実施の形態に係る制御システムのシーケンス図である。本実施の形態に係る制御システムのフローチャートである。本実施の形態に係る制御システムのフローチャートである。本実施の形態に係る制御システムのフローチャートである。本実施の形態に係る機器の機能ブロック図である。本実施の形態に係る制御システムのシーケンス図である。本実施の形態に係る制御システムのシーケンス図である。本実施の形態に係る制御システムのシーケンス図である。

　次に、図面を参照して、本実施の形態に係る制御システムについて説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。

　図１は、本実施の形態に係る制御システムのネットワーク構成図である。この図に示すように、サーバ１、Ａ宅１０、Ｂ宅２０などがインターネットなどのネットワーク３に接続されている。Ａ宅１０には、ＢＢＲ（ブロードバンドルータ）１２を介して、制御装置１１と、機器群１３＿１，１３＿２，１３＿３，１３＿４とが設置されている。Ｂ宅２０にも同様にＢＢＲ２２などが設置されている。以下の説明では、機器群１３＿１，１３＿２，１３＿３，１３＿４を単に「機器１３」や「宅内機器」という場合がある。

　サーバ１は、各種のデータを管理する管理装置である。例えば、サーバ１は、宅内機器と、宅内機器を制御できるユーザスマートフォン２とを紐付けて記憶（登録）している。

　具体的には、サーバ１は、機器１３、制御装置１１、ユーザスマートフォン２の情報をユーザに紐付けて記憶し、ユーザが各機器１３や制御装置１１などの接続状態を確認する機能をユーザに提供する。また、制御装置１１から受信した登録要求に従い、各情報の登録を行う。更に、接続構成変更通知を受信し、登録済みの情報と異なったＩＳＰ（インターネットサービスプロバイダ）であった場合にユーザスマートフォン２へ通知を行う。例えば、インターネットサービスプロバイダがＩＳＰ－ＡからＩＳＰ－Ｂに変更された場合は、そのユーザが所有するユーザスマートフォン２に通知するようになっている。

　ユーザスマートフォン２は、サーバ１に登録済みの携帯端末である。ここでは、Ａ宅１０のユーザが所有する携帯端末である場合を想定している。Ａ宅１０のユーザは、ユーザスマートフォン２を操作することにより、宅外にいながら自宅の機器１３のＯＮ／ＯＦＦなどの設定を行うことができる。

　制御装置１１は、ＡｉＳＥＧ（登録商標）などのホームサーバである。例えば、制御装置１１は、ユーザスマートフォン２から指示を受けて機器１３の稼動状態を制御する。もちろん、制御装置１１の画面を操作することで機器１３を制御することも可能である。

　機器１３は、Ａ宅１０に設置されている宅内機器である。例えば、機器１３＿１はエアコン、機器１３＿２は洗濯機、機器１３＿３は照明、機器１３＿４は給湯器である。機器１３は、ＩＦＴＴＴなどとの連携やスマホ制御のために外部へＩ／Ｆが公開されているものとする。そのため、制御装置１１を介さず直接的に機器１３が外部から攻撃されるセキュリティリスクの懸念がある。

　例えば、サーバ１に登録されていない攻撃者４から機器１３に対してＯＮ／ＯＦＦの制御信号が連続送信されるリスクがある。また、Ａ宅１０に不正機器（マルウェア感染機器）１４が導入され、この不正機器１４が機器１３に制御メッセージを大量に送信するリスクもある。さらに、機器１３に搭載されるソフトウェアのアップデートが長期未実施である場合は脆弱性が残留するリスクもある。もちろん、制御装置１１や機器１３が盗難にあうリスクもある（図１では、Ａ宅１０の制御装置１１が盗まれ、Ｂ宅２０に設置された場合を例示している）。

　そこで、本実施の形態に係る制御システムは、制御装置１１だけでなく各機器１３自身でもセキュリティリスクを低減する観点から、自動ロックアウトによる保護を実現する。例えば、外部のネットワーク状態を条件に機器１３をロックアウトすることにより外部攻撃からの保護を実現する。機器１３は、家電製品のような組み込み機器であり、処理能力やコスト的な制約があるため、軽い動作で保護機能を実現するようにしている。

　このような保護機能の実現方法は様々ある。例えば、このような保護機能は予め機器１３に搭載されていてもよいし、事後的に機器１３に取り付けられるセンサーとして実現されてもよい。あるいは、予め制御装置１１に搭載されていてもよいし、事後的に制御装置１１のプログラムをアップデートする方法でもよい。

　ロックアウトとは、起動しているネットワークサービスを全て一時停止し、ロック解除の手段を有効化する機能である。言い換えると、ソフトウェア的に通信を途絶する機能である。一方、ロックの解除はスイッチ操作により行う。ここでいうスイッチには、ユーザが物理的に操作することが可能な各種のスイッチが含まれる。例えば、機器１３や制御装置１１に設けられている物理ボタン操作や、画面がある場合は画面操作により、ロックを解除することができるようになっている。

　ロックアウトを実行するトリガーとしては、外部から大量のデータ送信を受けたとき、短時間に大量の制御信号を受信したとき、機器１３が盗難にあったときなどがある。このようなトリガーを検出したとき、機器１３が一時的に機能を停止して、ネットワーク経由の制御をすべて拒絶するロック状態にし、物理ボタン操作のみで通常状態へ復帰するようにする。これにより、外部攻撃から最小限の被害になるように保護する機能を提供する。

　（実施の形態１）
　上記した保護機能（以下、単に「保護機能」という。）は、制御装置１１と機器１３の両方が備えてもよいし、制御装置１１と機器１３の一方が備えてもよい。実施の形態１では、制御装置１１（図１の点線で囲った装置）が保護機能を備え、かつ、機器１３が保護機能を備えていない場合について説明する。

　［制御装置］
　図２は、実施の形態１に係る制御装置１１の機能ブロック図である。この図に示すように、制御装置１１は、通信部１１Ａと、通信統計情報記憶部１１Ｂと、通信監視部１１Ｃと、機器情報記憶部１１Ｄと、登録情報記憶部１１Ｅと、制御部１１Ｆと、証明書記憶部１１Ｇと、アップデート監視部１１Ｈと、接続環境監視部１１Ｉと、認証処理部１１Ｊと、暗号処理部１１Ｋとを備える。通信部１１Ａは、他の端末との通信Ｉ／Ｆを実現する機能部である。通信統計情報記憶部１１Ｂは、通信部１１Ａによる通信統計情報を記憶する機能部である。通信監視部１１Ｃは、通信部１１Ａによる通信を監視する機能部である。機器情報記憶部１１Ｄは、機器１３などの機器情報を記憶する機能部である。登録情報記憶部１１Ｅは、各種の登録情報を記憶する機能部である。制御部１１Ｆは、各種の制御を行う機能部である。証明書記憶部１１Ｇは、暗号化通信で用いる証明書を記憶する機能部である。アップデート監視部１１Ｈは、アップデート実績を監視する機能部である。接続環境監視部１１Ｉは、接続環境を監視する機能部である。認証処理部１１Ｊは、認証処理を行う機能部である。暗号処理部１１Ｋは、暗号処理を行う機能部である。

　制御装置１１は、初回に起動した場合や、新しい機器１３を制御装置１１に登録した場合、サーバ１へその機器１３の固有識別子とユーザ情報、さらにインターネットに接続しているＩＰ情報を登録する機能を持つ。起動時はサーバ１へ登録した情報を読み込み、インターネットに接続しているＩＰをＷｈｏｉｓサービスなどで取得してＩＳＰを特定し、現在のＩＰを同様に取得してＩＳＰを特定し、両者が同じであるかを確認する。両者が異なる場合は、接続構成変更通知としてサーバ１へ送信する。

　［ロックアウトを実行するトリガー］
　以下、ロックアウトを実行するトリガーについて説明する。トリガーとしては、ＩＳＰ変更検出、ＮＷ内外攻撃検出、長期間無更新検出などを採用することができる。

　ＩＳＰ変更とは、ＩＳＰ情報の変更を意味する。ＩＳＰ変更の検出方法としては、「ＩＳＰ情報をサーバ１へ問合せて取得し、異なる場合はユーザスマートフォン２へ通知する方法」を採用することができる。ＩＳＰ変更の検出基準としては、「初回登録時に記憶したＩＳＰ情報と異なる場合」を採用することができる。

　ＮＷ内外攻撃とは、宅内または宅外からの攻撃を意味する。ＮＷ内外攻撃の検出方法については後述する。ＮＷ内外攻撃の検出対象としては、「異常制御（制御信号の間隔（ＯＮ／ＯＦＦ））」や、「登録外のＩＰからのＤｏＳ攻撃（大量パケット送信）」を採用することができる。

　長期間無更新とは、一定期間以上、ソフトウェアの更新（アップデート）がされていないことを意味する。長期間無更新の検出方法としては、「定期的（１回／日）にアップデートサーバへのアクセスやアップデート実績をチェックする方法」を採用することができる。長期間無更新の検出基準としては、「一定期間（例：１年など）のアップデートチェック」を採用することができる。

　［ＮＷ内外攻撃］
　以下、ＮＷ内外攻撃について更に詳しく説明する。

　ＮＷ内外攻撃の検出対象（判定基準）としては、「ＯＮ／ＯＦＦの制御を短時間で切り替えること」を採用することができる。例えば、１秒間に２回以上のＯＮ／ＯＦＦ切り替えはＮＷ内外攻撃であると判定してもよい。

　別のＮＷ内外攻撃の検出対象（判定基準）としては、「ＯＮまたはＯＦＦを長時間送信し続けること」を採用することができる。例えば、３０分以上の連続受信はＮＷ内外攻撃であると判定してもよい。

　ＮＷ内外攻撃検出時の動作は、警告動作→フィルタリング動作→機器ロック実行動作のように、防御動作に段階を設けるのが望ましい。機器ロック（制御装置１１のロック）がいきなり実行されると、状況によっては不便に感じることもあるからである。

　警告動作とは、警告基準を満たした場合、送信側へ短期間で応答できないことを警告通知することである。警告基準としては、「信号受信回数が１秒間に２回以上でかつ連続８回以上」を採用することができる。

　フィルタリング動作とは、警告通知後でも攻撃が継続する場合、特定の送信元からの制御通信を一定期間全てフィルタリングすることである。フィルタリング基準としては、「信号受信回数が１秒間に２回以上でかつ連続２０回以上」を採用することができる。

　機器ロック実行動作とは、フィルタリングをしているにもかかわらず攻撃が一定期間継続した場合、または複数の送信元から攻撃を一定時間受けた場合、機器の安全性を保つために全ての通信を遮断してロック状態へ移行することである。機器ロック実行基準としては、「信号受信回数が１秒間に２回以上でかつ３０分以上継続した場合」を採用することができる。

　［シーケンス］
　図３は、実施の形態１に係る制御システムのシーケンス図である。ここでは、ＩＳＰ情報が変更された場合を想定し、ＩＳＰ変更検出手順について説明する。

　まず、ユーザは、新しい機器１３＿１を制御装置１１に登録する場合、制御装置１１側と機器１３＿１側でそれぞれボタンを押下する。これにより、制御装置１１から機器１３＿１に登録要求が送信され（Ｓ１）、機器１３＿１から制御装置１１に登録応答が送信される（Ｓ２）。これにより、制御装置１１と機器１３＿１の間で認証・登録通信を行い（Ｓ３）、制御装置１１と機器１３＿１の間で暗号化通信を行うことが可能となる（Ｓ４）。

　制御装置１１の接続環境監視部１１Ｉは、起動時にＩＳＰ情報確認を行う。具体的には、ＩＳＰ情報取得要求をサーバ１に送信し（Ｓ５）、ＩＳＰ情報取得応答をサーバ１から受信する（Ｓ６）。その結果、初回登録時に記憶したＩＳＰ情報と異なる場合は、ＩＳＰ変更通知をサーバ１に送信する（Ｓ７）。この場合、サーバ１は、ＩＳＰ変更通知をユーザスマートフォン２に送信したうえで（Ｓ８）、ＩＳＰ変更通知応答を制御装置１１に送信する（Ｓ９）。これにより、制御装置１１と機器１３＿１の間で暗号化通信を行うことが可能となる（Ｓ１０）。

　以上のように、実施の形態１に係る制御システムによれば、ネットワークの接続環境が変わった場合は、ＩＳＰ変更通知がユーザスマートフォン２に通知される。これにより、Ａ宅１０の機器１３＿１が盗まれ、Ｂ宅２０に設置された場合、Ａ宅１０のユーザのユーザスマートフォン２にＩＳＰ変更通知が通知される。Ａ宅１０のユーザは、このＩＳＰ変更通知を手がかりにして即座に盗難に対処することができる。例えば、機器１３＿１に消去信号を送信し、機器１３＿１内のデータを消去することも可能である。

　図４は、実施の形態１に係る実施の形態に係る制御システムのシーケンス図である。ここでは、宅内から制御装置１１へＤｏＳ攻撃が発生した場合を想定し、制御装置１１へのＤｏＳ攻撃検出と対応手順について説明する。

　まず、制御装置１１と機器１３＿１の間で暗号化通信が行われているものとする（Ｓ１１）。このような状況で、宅内に導入された不正機器１４により制御装置１１へＤｏＳ攻撃が発生したものと仮定する。

　これにより、制御装置１１の通信監視部１１Ｃは、不正機器１４から受信した信号が所定の基準を超えた場合はＤｏＳ攻撃の兆候があると判定し、まず、送信抑制を不正機器１４に送信する（Ｓ１２→Ｓ１３）。それでもＤｏＳ攻撃の兆候が継続される場合、不正機器１４のメッセージのみフィルタを有効化する（Ｓ１４）。それでもＤｏＳ攻撃の兆候が継続される場合、機器ロック移行通知を全機器１３に送信した後（Ｓ１５）、全ての通信を破棄し、ロック状態へ移行する（Ｓ１６）。

　以上のように、実施の形態１に係る制御システムによれば、宅内から制御装置１１へＤｏＳ攻撃が発生した場合、制御装置１１自身の機能により、制御装置１１の防御動作が段階的に強化される。これにより、利便性を確保しつつ、制御装置１１を宅内の攻撃から自動的に保護することができる。しかも、制御装置１１がロックアウトしてしまう前に機器ロック移行通知を全機器１３に送信するようにしているため、全機器１３側の通信への影響を最小限に抑えることが可能である。

　図５は、実施の形態１に係る制御システムのシーケンス図である。ここでは、宅外から制御装置１１へＤｏＳ攻撃が発生した場合を想定し、制御装置１１へのＤｏＳ攻撃検出と対応手順について説明する。

　まず、制御装置１１と機器１３＿１の間で暗号化通信が行われているものとする（Ｓ２１）。このような状況で、宅外の攻撃者４により制御装置１１へＤｏＳ攻撃が発生したものと仮定する。

　これにより、制御装置１１の通信監視部１１Ｃは、攻撃者４から受信した信号が所定の基準を超えた場合はＤｏＳ攻撃の兆候があると判定し、まず、送信抑制を攻撃者４に送信する（Ｓ２２→Ｓ２３）。それでもＤｏＳ攻撃の兆候が継続される場合、攻撃者４のメッセージのみフィルタを有効化する（Ｓ２４）。それでもＤｏＳ攻撃の兆候が継続される場合、機器ロック移行通知を全機器１３に送信した後（Ｓ２５）、全ての通信を破棄し、ロック状態へ移行する（Ｓ２６）。

　以上のように、実施の形態１に係る制御システムによれば、宅外から制御装置１１へＤｏＳ攻撃が発生した場合、制御装置１１自身の機能により、制御装置１１の防御動作が段階的に強化される。これにより、利便性を確保しつつ、制御装置１１を宅外の攻撃から自動的に保護することができる。しかも、制御装置１１がロックアウトしてしまう前に機器ロック移行通知を全機器１３に送信するようにしているため、全機器１３側の通信への影響を最小限に抑えることが可能である。

　［ＤｏＳ攻撃通信チェック］
　図６は、ＤｏＳ攻撃通信チェック時の動作を示すフローチャートである。このフローチャートの実施主体は、制御装置１１の通信監視部１１Ｃである。

　まず、通信監視部１１Ｃは、ＩＰ別の通信頻度情報を取得し（Ｓ５１）、取得した通信頻度を高い順にソートする（Ｓ５２）。そして、最も高い順位のＩＰと通信頻度を取得し（Ｓ５３）、通信頻度が２回／秒以上であるか判定する（Ｓ５４）。

　通信監視部１１Ｃは、通信頻度が２回／秒以上であれば（Ｓ５４：ＹＥＳ）、制御メッセージを４回以上受信し、かつ警告未送信であるか判定する（Ｓ５５）。一方、通信頻度が２回／秒以上でなければ（Ｓ５４：ＮＯ）、次に高い順位のＩＰと通信頻度を取得し（Ｓ５３）、同様の処理を繰り返す。

　通信監視部１１Ｃは、制御メッセージを４回以上受信し、かつ警告未送信であれば（Ｓ５５：ＹＥＳ）、送信元へ送信抑制を送信し（Ｓ５６）、ＩＰに送信抑制送信済を紐付けて保存し（Ｓ５７）、終了する。一方、制御メッセージを４回以上受信し、かつ警告未送信でなければ（Ｓ５５：ＮＯ）、制御メッセージを２０回以上受信し、かつ警告送信済であるか判定する（Ｓ５８）。

　通信監視部１１Ｃは、制御メッセージを２０回以上受信し、かつ警告送信済であれば（Ｓ５８：ＮＯ）、送信元ＩＰのパケットフィルタリングに登録し（Ｓ５９）、終了する。一方、制御メッセージを２０回以上受信し、かつ警告送信済でなければ（Ｓ５８：ＹＥＳ）、制御メッセージを３０分以上受信し、かつ警告送信済であるか判定する（Ｓ６０）。

　通信監視部１１Ｃは、制御メッセージを３０分以上受信し、かつ警告送信済であれば（Ｓ６０：ＹＥＳ）、通信Ｉ／Ｆ機能を無効化し（Ｓ６１）、機器ロック発動を表示し（Ｓ６２）、終了する。画面を備えていない場合などは、機器ロック発動を音声で知らせてもよい。

　このように、通信監視部１１Ｃは、通信を常時監視し、所定の条件に一致する通信の検出を行う。所定の条件に一致する通信を検出した場合は、ユーザへ通知を行い、機器ロックを実行する。

　なお、通信の常時監視は、通信統計情報記憶部１１Ｂで行われる。通信監視部１１Ｃは、通信統計情報記憶部１１Ｂから送信頻度の最も高い通信を取得する。このように取得した頻度が所定の条件を満たすかを判定し、所定の条件を満たす場合は、その通信の検出を行う。

　［アップデート実施状況チェック］
　図７は、アップデート実施状況チェック時の動作を示すフローチャートである。このフローチャートの実施主体は、制御装置１１のアップデート監視部１１Ｈである。

　まず、アップデート監視部１１Ｈは、最終アップデート日を取得し（Ｓ７１）、現在日時を取得し（Ｓ７２）、“最終アップデート日－現在日時≧未実施最大日数”であるか判定する（Ｓ７３）。未実施最大日数は、１８０日など、アップデート未実施として許容される最大日数である。

　アップデート監視部１１Ｈは、“最終アップデート日－現在日時≧未実施最大日数”でなければ（Ｓ７３：ＮＯ）、終了する。一方、“最終アップデート日－現在日時≧未実施最大日数”であれば（Ｓ７３：ＹＥＳ）、通信Ｉ／Ｆ機能を無効化し（Ｓ７４）し、機器ロック発動を表示し（Ｓ７５）、終了する。画面を備えていない場合などは、機器ロック発動を音声で知らせてもよい。

　このように、アップデート監視部１１Ｈは、アップデートが行われているかを例えば１回／日確認し、あらかじめ工場出荷時に設定された「未実施最大日数」を超えていないかを検証する。「未実施最大日数」を超えていた場合は、即座に「機器ロック」を実行し、外部との通信を遮断する。

　［ＩＳＰ変更チェック］
　図８は、ＩＳＰ変更チェック時の動作を示すフローチャートである。このフローチャートの実施主体は、制御装置１１の接続環境監視部１１Ｉである。

　まず、接続環境監視部１１Ｉは、起動後、設定情報を読み込み（Ｓ８１→Ｓ８２）、設定情報がサーバ１へ登録済であるか判定する（Ｓ８３）。ここでいう設定情報とは、登録情報記憶部１１Ｅに記憶されている登録情報である。

　接続環境監視部１１Ｉは、設定情報がサーバ１へ登録済でなければ（Ｓ８３：ＮＯ）、サーバ１への登録処理を行い（Ｓ８４）、現在のＩＳＰ情報を取得し（Ｓ８５）、取得したＩＳＰ情報を登録情報記憶部１１Ｅに保存し（Ｓ８６）、終了する。一方、設定情報がサーバ１へ登録済であれば（Ｓ８３：ＹＥＳ）、サーバ１から現在のＩＳＰ情報を取得し（Ｓ８７）、登録情報記憶部１１Ｅに保存済みのＩＳＰ情報を読み込み（Ｓ８８）、両方のＩＳＰ情報が同じであるか判定する（Ｓ８９）。

　接続環境監視部１１Ｉは、ＩＳＰ情報が同じであれば（Ｓ８９：ＹＥＳ）、終了する。一方、ＩＳＰ情報が同じでなければ（Ｓ８９：ＮＯ）、ユーザへ変更通知を送信し（Ｓ９０）、終了する。

　このように、接続環境監視部１１Ｉは、起動時にＩＳＰが以前接続したときと同じであるかを確認する。ＩＳＰが以前接続したときと異なる場合は、ユーザへ通知を行う。

　以上のように、実施の形態１に係る制御システムでは、サーバ１は、機器１３と機器１３を制御するユーザスマートフォン２とを紐付けて記憶している。制御装置１１は、サーバ１とネットワーク３を介して接続され、ユーザスマートフォン２から指示を受けて機器１３の稼動状態を制御する。このような制御システムにおいて、制御装置１１は、他の端末から受信した信号が所定の基準を満たすか否かを判断し、所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する。これにより、誤動作や故障などの予兆を検出した際にロック状態になるため、セキュリティリスクを低減することが可能である。

　また、制御装置１１は、他の端末から受信した信号が所定の頻度を超えてＯＮ又はＯＦＦを指示する制御信号である場合に所定の基準を満たすと判断してもよい。これにより、ネットワークからの異常な制御信号を検出した際にロック状態になるため、このような制御信号による誤動作から自身を保護することが可能である。

　また、サーバ１は、制御装置１１のＩＳＰ情報を記憶しており、制御装置１１は、起動するごとにＩＳＰ情報を取得し、取得したＩＳＰ情報がサーバ１に記憶されているＩＳＰ情報と異なる場合に所定の基準を満たすと判断してもよい。これにより、初回設置時と異なるネットワーク環境におかれた際にロック状態になるため、盗難による利用や悪用を防止することが可能である。

　また、制御装置１１は、自身のアップデートチェック状態を定期的に確認し、所定期間チェックされていない、またはアップデートされていない状態である場合に所定の基準を満たすと判断してもよい。これにより、アップデートが管理されていない際にロック状態になるため、セキュリティがアップデートされていない状態で脆弱性が残留して外部からマルウェアや攻撃を受けることを防止することが可能である。

　また、制御装置１１は、スイッチを備え、スイッチが操作されることによりネットワークを経由した通信を復帰させてもよい。これにより、ユーザの物理的な操作を伴う場合に制御装置１１を復帰させることができるため、安全性を確保することが可能である。

　また、制御装置１１は、ネットワークを経由した全ての通信を遮断した回数が所定の回数（ｎ回）以下の場合は所定の時間経過後に自動的に通信を復帰させ、所定の回数を超えた場合（ｎ＋１回目）はスイッチの操作のみで通信を復帰させてもよい。これにより、一時的な異常をユーザ操作なしで自動復帰させることができるため、安全性を維持しつつユーザの復帰の手間を低減することが可能である。

　また、制御装置１１は、サーバ１に機器１３と紐付けて記憶されていない端末から受信した信号が所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断してもよい。すなわち、誤動作や故障などの予兆を検出した場合でも、サーバ１に登録済みの端末との間では通常通り通信を行うことも可能である。

　（実施の形態２）
　実施の形態２では、機器１３－１から１３－４それぞれが保護機能を備え、かつ、制御装置１１が保護機能を備えていない場合について説明する。以下、実施の形態１と異なる点を中心に説明する。

　［宅内機器］
　図９は、実施の形態２に係る機器１３の機能ブロック図である。この図に示すように、機器１３は、通信部１３Ａと、通信統計情報記憶部１３Ｂと、通信監視部１３Ｃと、登録情報記憶部１３Ｅと、制御部１３Ｆと、証明書記憶部１３Ｇと、アップデート監視部１３Ｈと、接続環境監視部１３Ｉと、認証処理部１３Ｊと、暗号処理部１３Ｋとを備える。通信部１３Ａは、他の端末との通信Ｉ／Ｆを実現する機能部である。通信統計情報記憶部１３Ｂは、通信部１３Ａによる通信統計情報を記憶する機能部である。通信監視部１３Ｃは、通信部１３Ａによる通信を監視する機能部である。登録情報記憶部１３Ｅは、各種の登録情報を記憶する機能部である。制御部１３Ｆは、各種の制御を行う機能部である。証明書記憶部１３Ｇは、暗号化通信で用いる証明書を記憶する機能部である。アップデート監視部１３Ｈは、アップデート実績を監視する機能部である。接続環境監視部１３Ｉは、接続環境を監視する機能部である。認証処理部１３Ｊは、認証処理を行う機能部である。暗号処理部１３Ｋは、暗号処理を行う機能部である。

　既に説明した通り、機器１３は、エアコン、洗濯機、照明、給湯器などである。機器１３の本来の機能は様々であるが、いずれも制御部１３Ｆにより実現されるものとする。

　［シーケンス］
　図１０は、実施の形態２に係る制御システムのシーケンス図である。ここでは、ＩＳＰ情報が変更された場合を想定し、ＩＳＰ変更検出手順について説明する。

　まず、ユーザは、新しい機器１３＿１を制御装置１１に登録する場合、制御装置１１側と機器１３＿１側でそれぞれボタンを押下する。これにより、制御装置１１から機器１３＿１に登録要求が送信され（Ｓ１０１）、機器１３＿１から制御装置１１に登録応答が送信される（Ｓ１０２）。これにより、制御装置１１と機器１３＿１の間で認証・登録通信を行い（Ｓ１０３）、制御装置１１と機器１３＿１の間で暗号化通信を行うことが可能となる（Ｓ１０４）。

　機器１３＿１の接続環境監視部１３Ｉは、起動時にＩＳＰ情報確認を行う。具体的には、ＩＳＰ情報取得要求をサーバ１に送信し（Ｓ１０５）、ＩＳＰ情報取得応答をサーバ１から受信する（Ｓ１０６）。その結果、初回登録時に記憶したＩＳＰ情報と異なる場合は、ＩＳＰ変更通知をサーバ１に送信する（Ｓ１０７）。この場合、サーバ１は、ＩＳＰ変更通知をユーザスマートフォン２に送信したうえで（Ｓ１０８）、ＩＳＰ変更通知応答を機器１３＿１に送信する（Ｓ１０９）。これにより、制御装置１１と機器１３＿１の間で暗号化通信を行うことが可能となる（Ｓ１１０）。

　以上のように、実施の形態２に係る制御システムによれば、ネットワークの接続環境が変わった場合は、ＩＳＰ変更通知がユーザスマートフォン２に通知される。これにより、Ａ宅１０の制御装置１１が盗まれ、Ｂ宅２０に設置された場合（図１参照）、Ａ宅１０のユーザのユーザスマートフォン２にＩＳＰ変更通知が通知される。Ａ宅１０のユーザは、このＩＳＰ変更通知を手がかりにして即座に盗難に対処することができる。例えば、制御装置１１に消去信号を送信し、制御装置１１内のデータを消去することも可能である。

　図１１は、実施の形態２に係る制御システムのシーケンス図である。ここでは、宅内から機器１３＿１へＤｏＳ攻撃が発生した場合を想定し、機器１３＿１へのＤｏＳ攻撃検出と対応手順について説明する。

　まず、制御装置１１と機器１３＿１の間で暗号化通信が行われているものとする（Ｓ１１１）。このような状況で、宅内に導入された不正機器（マルウェア感染機器）１４により機器１３＿１へＤｏＳ攻撃が発生したものと仮定する。

　これにより、機器１３＿１の通信監視部１３Ｃは、不正機器１４から受信した信号が所定の基準を超えた場合はＤｏＳ攻撃の兆候があると判定し、まず、送信抑制を不正機器１４に送信する（Ｓ１１２→Ｓ１１３）。それでもＤｏＳ攻撃の兆候が継続される場合、不正機器１４のメッセージのみフィルタを有効化する（Ｓ１１４）。それでもＤｏＳ攻撃の兆候が継続される場合、全ての通信を破棄し、ロック状態へ移行する（Ｓ１１５）。

　以上のように、実施の形態２に係る制御システムによれば、宅内から機器１３＿１へＤｏＳ攻撃が発生した場合、機器１３＿１自身の機能により、機器１３＿１の防御動作が段階的に強化される。これにより、利便性を確保しつつ、機器１３＿１を宅内の攻撃から自動的に保護することが可能である。

　図１２は、実施の形態２に係る制御システムのシーケンス図である。ここでは、宅外から機器１３＿１へＤｏＳ攻撃が発生した場合を想定し、機器１３＿１へのＤｏＳ攻撃検出と対応手順について説明する。

　まず、制御装置１１と機器１３＿１の間で暗号化通信が行われているものとする（Ｓ１２１）。このような状況で、宅外の攻撃者４（図１参照）により機器１３＿１へＤｏＳ攻撃が発生したものと仮定する。

　これにより、機器１３＿１の通信監視部１３Ｃは、攻撃者４から受信した信号が所定の基準を超えた場合はＤｏＳ攻撃の兆候があると判定し、まず、送信抑制を攻撃者４に送信する（Ｓ１２２→Ｓ１２３）。それでもＤｏＳ攻撃の兆候が継続される場合、攻撃者４のメッセージのみフィルタを有効化する（Ｓ１２４）。それでもＤｏＳ攻撃の兆候が継続される場合、全ての通信を破棄し、ロック状態へ移行する（Ｓ１２５）。

　以上のように、実施の形態２に係る制御システムによれば、宅外から機器１３＿１へＤｏＳ攻撃が発生した場合、機器１３＿１自身の機能により、機器１３＿１の防御動作が段階的に強化される。これにより、利便性を確保しつつ、機器１３＿１を宅外の攻撃から自動的に保護することが可能である。

　［ＤｏＳ攻撃通信チェック］
　実施の形態２でも、図６のフローチャートを用いて、ＤｏＳ攻撃通信チェック時の動作を説明する。このフローチャートの実施主体は、機器１３の通信監視部１３Ｃである。

　まず、通信監視部１３Ｃは、ＩＰ別の通信頻度情報を取得し（Ｓ５１）、取得した通信頻度を高い順にソートする（Ｓ５２）。そして、最も高い順位のＩＰと通信頻度を取得し（Ｓ５３）、通信頻度が２回／秒以上であるか判定する（Ｓ５４）。

　通信監視部１３Ｃは、通信頻度が２回／秒以上であれば（Ｓ５４：ＹＥＳ）、制御メッセージを４回以上受信し、かつ警告未送信であるか判定する（Ｓ５５）。一方、通信頻度が２回／秒以上でなければ（Ｓ５４：ＮＯ）、次に高い順位のＩＰと通信頻度を取得し（Ｓ５３）、同様の処理を繰り返す。

　通信監視部１３Ｃは、制御メッセージを４回以上受信し、かつ警告未送信であれば（Ｓ５５：ＹＥＳ）、送信元へ送信抑制を送信し（Ｓ５６）、ＩＰに送信抑制送信済を紐付けて保存し（Ｓ５７）、終了する。一方、制御メッセージを４回以上受信し、かつ警告未送信でなければ（Ｓ５５：ＮＯ）、制御メッセージを２０回以上受信し、かつ警告送信済であるか判定する（Ｓ５８）。

　通信監視部１３Ｃは、制御メッセージを２０回以上受信し、かつ警告送信済であれば（Ｓ５８：ＮＯ）、送信元ＩＰのパケットフィルタリングに登録し（Ｓ５９）、終了する。一方、制御メッセージを２０回以上受信し、かつ警告送信済でなければ（Ｓ５８：ＹＥＳ）、制御メッセージを３０分以上受信し、かつ警告送信済であるか判定する（Ｓ６０）。

　通信監視部１３Ｃは、制御メッセージを３０分以上受信し、かつ警告送信済であれば（Ｓ６０：ＹＥＳ）、通信Ｉ／Ｆ機能を無効化し（Ｓ６１）、機器ロック発動を表示し（Ｓ６２）、終了する。画面を備えていない場合などは、機器ロック発動を音声で知らせてもよい。

　このように、通信監視部１３Ｃは、通信を常時監視し、所定の条件に一致する通信の検出を行う。所定の条件に一致する通信を検出した場合は、ユーザへ通知を行い、機器ロックを実行する。

　なお、通信の常時監視は、通信統計情報記憶部１３Ｂで行われる。通信監視部１３Ｃは、通信統計情報記憶部１３Ｂから送信頻度の最も高い通信を取得する。このように取得した頻度が所定の条件を満たすかを判定し、所定の条件を満たす場合は、その通信の検出を行う。

　［アップデート実施状況チェック］
　実施の形態２でも、図７のフローチャートを用いて、アップデート実施状況チェック時の動作を説明する。このフローチャートの実施主体は、機器１３のアップデート監視部１３Ｈである。

　まず、アップデート監視部１３Ｈは、最終アップデート日を取得し（Ｓ７１）、現在日時を取得し（Ｓ７２）、“最終アップデート日－現在日時≧未実施最大日数”であるか判定する（Ｓ７３）。未実施最大日数は、１８０日など、アップデート未実施として許容される最大日数である。

　アップデート監視部１３Ｈは、“最終アップデート日－現在日時≧未実施最大日数”でなければ（Ｓ７３：ＮＯ）、終了する。一方、“最終アップデート日－現在日時≧未実施最大日数”であれば（Ｓ７３：ＹＥＳ）、通信Ｉ／Ｆ機能を無効化し（Ｓ７４）し、機器ロック発動を表示し（Ｓ７５）、終了する。画面を備えていない場合などは、機器ロック発動を音声で知らせてもよい。

　このように、アップデート監視部１３Ｈは、アップデートが行われているかを例えば１回／日確認し、あらかじめ工場出荷時に設定された「未実施最大日数」を超えていないかを検証する。「未実施最大日数」を超えていた場合は、即座に「機器ロック」を実行し、外部との通信を遮断する。

　［ＩＳＰ変更チェック］
　実施の形態２でも、図８のフローチャートを用いて、ＩＳＰ変更チェック時の動作を説明する。このフローチャートの実施主体は、機器１３の接続環境監視部１３Ｉである。

　まず、接続環境監視部１３Ｉは、起動後、設定情報を読み込み（Ｓ８１→Ｓ８２）、設定情報がサーバ１へ登録済であるか判定する（Ｓ８３）。ここでいう設定情報とは、登録情報記憶部１３Ｅに記憶されている登録情報である。

　接続環境監視部１３Ｉは、設定情報がサーバ１へ登録済でなければ（Ｓ８３：ＮＯ）、サーバ１への登録処理を行い（Ｓ８４）、現在のＩＳＰ情報を取得し（Ｓ８５）、取得したＩＳＰ情報を登録情報記憶部１３Ｅに保存し（Ｓ８６）、終了する。一方、設定情報がサーバ１へ登録済であれば（Ｓ８３：ＹＥＳ）、サーバ１から現在のＩＳＰ情報を取得し（Ｓ８７）、登録情報記憶部１３Ｅに保存済みのＩＳＰ情報を読み込み（Ｓ８８）、両方のＩＳＰ情報が同じであるか判定する（Ｓ８９）。

　接続環境監視部１３Ｉは、ＩＳＰ情報が同じであれば（Ｓ８９：ＹＥＳ）、終了する。一方、ＩＳＰ情報が同じでなければ（Ｓ８９：ＮＯ）、ユーザへ変更通知を送信し（Ｓ９０）、終了する。

　このように、接続環境監視部１３Ｉは、起動時にＩＳＰが以前接続したときと同じであるかを確認する。ＩＳＰが以前接続したときと異なる場合は、ユーザへ通知を行う。

　以上のように、実施の形態２に係る制御システムでは、サーバ１は、機器１３と機器１３を制御するユーザスマートフォン２とを紐付けて記憶している。制御装置１１は、サーバ１とネットワーク３を介して接続され、ユーザスマートフォン２から指示を受けて機器１３の稼動状態を制御する。このような制御システムにおいて、機器１３は、他の端末から受信した信号が所定の基準を満たすか否かを判断し、所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する。これにより、誤動作や故障などの予兆を検出した際にロック状態になるため、セキュリティリスクを低減することが可能である。

　また、機器１３は、他の端末から受信した信号が所定の頻度を超えてＯＮ又はＯＦＦを指示する制御信号である場合に所定の基準を満たすと判断してもよい。これにより、ネットワークからの異常な制御信号を検出した際にロック状態になるため、このような制御信号による誤動作から自身を保護することが可能である。

　また、サーバ１は、機器１３のＩＳＰ情報を記憶しており、機器１３は、起動するごとにＩＳＰ情報を取得し、取得したＩＳＰ情報がサーバ１に記憶されているＩＳＰ情報と異なる場合に所定の基準を満たすと判断してもよい。これにより、初回設置時と異なるネットワーク環境におかれた際にロック状態になるため、盗難による利用や悪用を防止することが可能である。

　また、機器１３は、自身のアップデートチェック状態を定期的に確認し、所定期間チェックされていない、またはアップデートされていない状態である場合に所定の基準を満たすと判断してもよい。これにより、アップデートが管理されていない際にロック状態になるため、セキュリティがアップデートされていない状態で脆弱性が残留して外部からマルウェアや攻撃を受けることを防止することが可能である。

　また、機器１３は、スイッチを備え、スイッチが操作されることによりネットワークを経由した通信を復帰させてもよい。これにより、ユーザの物理的な操作を伴う場合に機器１３を復帰させることができるため、安全性を確保することが可能である。

　また、機器１３は、ネットワークを経由した全ての通信を遮断した回数が所定の回数（ｎ回）以下の場合は所定の時間経過後に自動的に通信を復帰させ、所定の回数を超えた場合（ｎ＋１回目）はスイッチの操作のみで通信を復帰させてもよい。これにより、一時的な異常をユーザ操作なしで自動復帰させることができるため、安全性を維持しつつユーザの復帰の手間を低減することが可能である。

　また、機器１３は、サーバ１に機器１３と紐付けて記憶されていない端末から受信した信号が所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断してもよい。すなわち、誤動作や故障などの予兆を検出した場合でも、サーバ１に登録済みの端末との間では通常通り通信を行うことも可能である。

　なお、制御装置１１や機器１３に設けられたスイッチが操作されると、ネットワークを経由した通信を復帰させることができる。ネットワークを経由した全ての通信を遮断した回数が所定の回数（ｎ回）以下の場合は所定の時間経過後に自動的に通信を復帰させ、所定の回数を超えた場合（ｎ＋１回目）はスイッチの操作のみで通信を復帰させてもよい。

　また、上記の説明では、攻撃者４のようなサーバ１に未登録の端末から受信した信号が所定の基準を満たす場合にロック状態に移行するようにしているが、これに限定されるものではない。すなわち、サーバ１に登録済みの端末から受信した信号が所定の基準を満たす場合でも、故障などを避けるためにロック状態に移行してもよい。

　また、上記の説明では特に言及しなかったが、ロック状態に移行した場合、通信途絶されるものの、機器１３の本来の機能は使えてもよい。例えば、機器１３＿４は、機器１３＿４に設けられた操作パネルを操作することで給湯器として使えてもよい。これにより、機器１３の本来の機能を最大限に活用することが可能である。

　このように、セキュリティ監視機能（保護機能）は、制御装置１１だけでなく各機器１３も同様に備えている。これにより、制御装置１１を介さず直接的に機器１３が外部から攻撃された場合でも、各機器１３自身でセキュリティリスクを低減することが可能である。しかも、各機器１３で通信途絶するという軽い処理で済むため、家電製品のような組み込み機器であっても本来の機能を損なわずに対応することが可能である。

　また、このようなセキュリティ監視機能は、制御装置１１や機器１３として実現することができるだけでなく、制御装置１１や機器１３としてコンピュータを機能させるプログラムとして実現することもできる。もちろん、このようなセキュリティ監視機能の一部をクラウドサーバで実現することも可能である。

　本開示における装置（制御装置１１、機器１３）は、コンピュータを備えている。このコンピュータがプログラムを実行することによって、本開示における装置の機能が実現される。コンピュータは、プログラムに従って動作するプロセッサを主なハードウェア構成として備える。プロセッサは、プログラムを実行することによって機能を実現することができれば、その種類は問わない。プロセッサは、半導体集積回路（ＩＣ）、又はＬＳＩ（large scale integration）を含む一つ又は複数の電子回路で構成される。複数の電子回路は、一つのチップに集積されてもよいし、複数のチップに設けられてもよい。複数のチップは一つの装置に集約されていてもよいし、複数の装置に備えられていてもよい。プログラムは、コンピュータが読み取り可能なＲＯＭ、光ディスク、ハードディスクドライブなどの非一時的記録媒体に記録される。プログラムは、記録媒体に予め格納されていてもよいし、インターネット等を含む広域通信網を介して記録媒体に供給されてもよい。

　１…サーバ
　２…ユーザスマートフォン（携帯端末）
　３…ネットワーク
　１１…制御装置
　１３…機器（宅内機器）

Claims

　宅内機器と前記宅内機器を制御する携帯端末とを紐付けて記憶するサーバとネットワークを介して接続された制御装置が前記携帯端末から指示を受けて前記宅内機器の稼動状態を制御する制御システムにおける前記制御装置であって、
　他の端末から受信した信号が所定の基準を満たすか否かを判断し、前記所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する制御装置。
　前記制御装置は、前記他の端末から受信した信号が所定の頻度を超えてＯＮ又はＯＦＦを指示する制御信号である場合に前記所定の基準を満たすと判断する請求項１に記載の制御装置。
　前記サーバは、前記制御装置のＩＳＰ情報を記憶しており、
　前記制御装置は、起動するごとにＩＳＰ情報を取得し、取得したＩＳＰ情報が前記サーバに記憶されている前記ＩＳＰ情報と異なる場合に前記所定の基準を満たすと判断する請求項１または２に記載の制御装置。
　前記制御装置は、自身のアップデートチェック状態を定期的に確認し、所定期間チェックされていない、またはアップデートされていない状態である場合に前記所定の基準を満たすと判断する請求項１から３のいずれか１項に記載の制御装置。
　前記制御装置は、スイッチを備え、前記スイッチが操作されることにより前記ネットワークを経由した通信を復帰させる請求項１から４のいずれか１項に記載の制御装置。
　前記制御装置は、前記ネットワークを経由した全ての通信を遮断した回数が所定の回数以下の場合は所定の時間経過後に自動的に通信を復帰させ、前記所定の回数を超えた場合は前記スイッチの操作のみで通信を復帰させる請求項５に記載の制御装置。
　前記制御装置は、前記サーバに前記宅内機器と紐付けて記憶されていない端末から受信した信号が所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する請求項１から６のいずれか１項に記載の制御装置。
　宅内機器と前記宅内機器を制御する携帯端末とを紐付けて記憶するサーバとネットワークを介して接続された制御装置が前記携帯端末から指示を受けて前記宅内機器の稼動状態を制御する制御システムにおける前記宅内機器であって、
　他の端末から受信した信号が所定の基準を満たすか否かを判断し、前記所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する宅内機器。
　前記宅内機器は、前記他の端末から受信した信号が所定の頻度を超えてＯＮ又はＯＦＦを指示する制御信号である場合に前記所定の基準を満たすと判断する請求項８に記載の宅内機器。
　前記サーバは、前記宅内機器のＩＳＰ情報を記憶しており、
　前記宅内機器は、起動するごとにＩＳＰ情報を取得し、取得したＩＳＰ情報が前記サーバに記憶されている前記ＩＳＰ情報と異なる場合に前記所定の基準を満たすと判断する請求項８または９に記載の宅内機器。
　前記宅内機器は、自身のアップデートチェック状態を定期的に確認し、所定期間チェックされていない、またはアップデートされていない状態である場合に前記所定の基準を満たすと判断する請求項８から１０のいずれか１項に記載の宅内機器。
　前記宅内機器は、スイッチを備え、前記スイッチが操作されることにより前記ネットワークを経由した通信を復帰させる請求項８から１１のいずれか１項に記載の宅内機器。
　前記宅内機器は、前記ネットワークを経由した全ての通信を遮断した回数が所定の回数以下の場合は所定の時間経過後に自動的に通信を復帰させ、前記所定の回数を超えた場合は前記スイッチの操作のみで通信を復帰させる請求項１２に記載の宅内機器。
　前記宅内機器は、前記サーバに前記宅内機器と紐付けて記憶されていない端末から受信した信号が所定の基準を満たすと判断した場合にネットワークを経由した全ての通信を遮断する請求項８から１３のいずれか１項に記載の宅内機器。
　請求項１乃至７のいずれか１項に記載した制御装置としてコンピュータを機能させるプログラム。
　請求項８乃至１４のいずれか１項に記載した宅内機器としてコンピュータを機能させるプログラム。