WO2018164036A1

WO2018164036A1 - 通信制御方法、通信制御プログラムの記録媒体及び通信装置

Info

Publication number: WO2018164036A1
Application number: PCT/JP2018/008263
Authority: WO
Inventors: 岳林; 小林　宰
Original assignee: 日本電気株式会社
Priority date: 2017-03-06
Filing date: 2018-03-05
Publication date: 2018-09-13
Also published as: JP6541009B2; US20210136034A1; JP2018148385A

Abstract

本発明の一実施形態に係る通信装置は、通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有し、物理的な接続部に接続されている機器から外部への通信を行う物理的な接続部及び通信アプリケーションの組み合わせを取得する通信情報取得部と、通信を行う組み合わせ及び予め登録された物理的な接続部及び通信アプリケーションの組み合わせに基づいて、通信を許可するか否かを判定する通信判定部と、を備える。

Description

通信制御方法、通信制御プログラムの記録媒体及び通信装置

　本発明は、通信制御方法、通信制御プログラムの記録媒体及び通信装置に関する。

　近年、ＩｏＴ（Internet　of　Things）が注目されている。ＩｏＴでは、センサ、アクチュエータ等の様々なデバイスをインターネット等のネットワークに接続し、デバイスから取得されるデータの監視及び分析やデバイスの動作の制御をネットワーク経由で行うことができる。

　デバイスによる通信は、該デバイスが接続されるゲートウェイ等の通信装置上で実行されるアプリケーションによって制御されることが多い。従来、デバイスはネットワークに接続されない、あるいはＬＡＮ（Local　Area　Network）のように隔離されたネットワークに接続されていたため、セキュリティ上の懸念は小さかった。しかしながら、ＩｏＴにおいて特に不特定のユーザがアクセスするインターネットにデバイスを接続する場合には、セキュリティ上の新たな脅威が発生する。そのため、ネットワークに接続されるデバイスのセキュリティを向上させることが求められている。

　特許文献１には、他のユーザによって判断されたアプリケーションの評判に基づいて、アプリケーションの実行を制限する技術が記載されている。

　特許文献２には、通信プロトコル及び通信に利用される仮想的なポート番号に基づいて、不正なコンピュータプログラム（マルウェア）が実行されていることを検知する技術が記載されている。

特開２０１０－０７９９０１号公報特開２０１３－０１１９４８号公報

　様々な種類のデバイスが接続され得るゲートウェイ等の通信装置では、制御対象のデバイスに応じて様々な種類のアプリケーションが実行される。デバイスには、インターネットで標準的に用いられるＴＣＰ／ＩＰ（Transmission　Control　Protocol/Internet　Protocol）の通信プロトコルによって通信を行うＩＰデバイス、及びＴＣＰ／ＩＰ以外の通信プロトコルによって通信を行う非ＩＰデバイスがある。

　特許文献１に記載の技術では、アプリケーション単位で実行の制限を行うため、アプリケーションが制御するデバイスごとに細かく制限を行うことはできない。例えば１つのアプリケーションが複数の種類のデバイスの通信を制御可能である場合であっても、全ての種類のデバイスに対して通信を許可及び拒否のどちらか一方のみを行うことになる。

　特許文献２に記載の技術は、仮想的なポートを用いる通信プロトコルによって通信を行うＩＰデバイスを前提としているため、仮想的なポートを用いない非ＩＰデバイスには適用できない。

　本発明は、上述の問題に鑑みて行われたものであって、ＩＰデバイス及び非ＩＰデバイスを問わず細かい通信の制御を行うことが可能な通信制御方法、通信制御プログラムの記録媒体及び通信装置を提供することを目的とする。

　本発明の第１の態様は、通信制御方法であって、通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置において、前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、を有する。

　本発明の第２の態様は、通信制御プログラムが記録された記録媒体であって、通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有するコンピュータである通信装置に、前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、を実行させる。

　本発明の第３の態様は、通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置であって、前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得する通信情報取得部と、前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定する通信判定部と、を備える。

　本発明によれば、デバイスが接続される物理的な接続部およびデバイスが利用する通信アプリケーションの組み合わせに基づいて通信制御を行うため、ＩＰデバイス及び非ＩＰデバイスを問わず細かい制御を行うことができる。

第１の実施形態に係る通信装置を用いる通信方法の模式図である。第１の実施形態に係る通信装置のブロック図である。第１の実施形態に係る組み合わせテーブル記憶部に登録されている組み合わせテーブルの模式図である。第１の実施形態に係る通信装置の機器構成を示す概略構成図である。第１の実施形態に係る通信制御方法のフローチャートを示す図である。第２の実施形態に係る組み合わせテーブル記憶部に登録されている組み合わせテーブルの模式図である。第２の実施形態に係る通信制御方法のフローチャートを示す図である。第３の実施形態に係る通信制御方法のフローチャートを示す図である。各実施形態に係る通信装置の概略構成図である。

　以下、図面を参照して、本発明の実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。

（第１の実施形態）
　図１は、本実施形態に係る通信装置１０を用いる通信方法の模式図である。通信装置１０は、ゲートウェイとも呼ばれ、デバイス２０と外部機器３０との間のネットワークを介した通信を制御する装置である。通信装置１０には、物理的な接続部である少なくとも２つの物理ポート１１が設けられ、物理ポート１１にはデバイス２０が接続され得る。物理的な接続部としての物理ポート１１は、ケーブル、コネクタ等の接続部材を介してデバイス２０を物理的に接続するためのインターフェースであり、プログラムがデータの宛先を指定するために用いる仮想的なポートとは異なる。物理ポート１１として、例えばＲＳ－２３２Ｃ規格、ＲＳ－４２２規格、ＲＳ－４８５規格等のシリアルポート（ＣＯＭポート）、ＩＥＥＥ１２８４規格のパラレルポート、ＵＳＢ（Universal　Serial　Bus）ポート、その他任意の物理インターフェースを用いてよい。

　外部機器３０は、通信装置１０にネットワークを介して接続される機器である。外部機器３０は、例えばコンピュータ、又はコンピュータ資源の集合であるクラウドである。

　デバイス２０は、外部機器３０に所定の信号を送信し、あるいは外部機器３０からの信号を受けて所定の動作を行う機器である。例えばデバイス２０は温度、圧力、音等を測定するセンサであり、この場合にはデバイス２０は測定結果を示す信号を外部機器３０に送信する。例えばデバイス２０は所定の動作を行うアクチュエータであり、この場合にはデバイス２０は外部機器３０から受信した制御内容を示す信号に従って動作する。デバイス２０としては、ＴＣＰ／ＩＰの通信プロトコルによって通信を行うＩＰデバイス、及びＴＣＰ／ＩＰ以外の通信プロトコルによって通信を行う非ＩＰデバイスがある。

　通信アプリケーション１２は、デバイス２０による通信を制御するコンピュータプログラムである。デバイス２０は、その種類や製造者ごとに異なる通信プロトコルに従って通信を行う。デバイス２０が従う通信プロトコルとしては、例えばＴＣＰ／ＩＰ等の一般的なプロトコル、あるいはデバイス２０の種類や製造者によって異なる独自のプロトコルがある。通信アプリケーション１２は、デバイス２０と外部機器３０との間で送受信される信号を、デバイス２０が従う通信プロトコルに応じて変換する。

　通信アプリケーション１２は、通信装置１０に接続される可能性のあるデバイス２０に対応して予め用意される。通信装置１０は、実際に接続されているデバイス２０に対応する通信アプリケーション１２を実行する。通信装置１０は、デバイス２０に対応する通信アプリケーション１２を予め内部に記録してよく、あるいはそのデバイス２０が接続される時に外部から取得してよい。すなわち通信装置１０は、デバイス２０が接続されると、そのデバイス２０が利用する通信アプリケーション１２を、通信装置１０の内部又は外部から取得して実行する。

　通信制御部１００は、デバイス２０の通信アプリケーション１２を利用する通信を制御する。該制御において、通信制御部１００は、デバイス２０が接続されている物理ポート１１と、デバイス２０が利用する通信アプリケーション１２との組み合わせに基づいて、通信を許可又は拒否する。通信制御部１００の詳細な構成について図２を用いて説明する。

　図２は、本実施形態に係る通信装置１０のブロック図である。図２において、矢印は主なデータの流れを示しており、図２に示したもの以外のデータの流れがあってよい。図２において、各ブロックはハードウェア（装置）単位の構成ではなく、機能単位の構成を示している。そのため、図２に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記憶媒体等、任意の手段を介して行われてよい。

　通信装置１０は、処理部である通信制御部１００、及び記憶部１５０を備える。通信制御部１００は、登録情報取得部１１０、通信情報取得部１２０、通信判定部１３０及び通信実行部１４０を含む。記憶部１５０は、組み合わせテーブル記憶部１５１及びシステム情報記憶部１５２を含む。また、通信装置１０は、デバイス２０が接続される物理ポート１１を備え、またデバイス２０と外部機器３０との間の通信を中継する通信アプリケーション１２を実行する。

　組み合わせテーブル記憶部１５１には、デバイス２０が接続される物理ポート１１（具体的には物理ポート１１を識別する識別子であるポート番号）と、デバイス２０に利用される通信アプリケーション１２（具体的には通信アプリケーション１２を識別する識別子であるＩＤ）との組み合わせを関連付けて、組み合わせテーブルとして予め記録されている。本実施形態に係る通信装置１０は組み合わせテーブル記憶部１５１に登録されている組み合わせによる通信のみを許可するため、組み合わせテーブル記憶部１５１に登録されている組み合わせはホワイトリストとして機能する。

　図３は、例示的な本実施形態に係る組み合わせテーブル記憶部１５１に登録されている組み合わせテーブルの模式図である。図３に示すように、組み合わせテーブルは通信アプリケーション１２のＩＤ及び物理ポート１１のポート番号の少なくとも１つの組み合わせを含む。通信アプリケーション１２のＩＤ及び物理ポート１１のポート番号は、それぞれ文字列、数値、バイナリ値等、任意の表現方法で定義される。１つの通信アプリケーション１２は複数の物理ポート１１に関連付けられてよく、逆に１つの物理ポート１１は複数の通信アプリケーション１２に関連付けられてよい。利用者は、通信を許可したい通信アプリケーション１２及び物理ポート１１の組み合わせを組み合わせテーブルに登録し、あるいは通信を拒否したい該組み合わせを組み合わせテーブルから削除する。

　図３において、組み合わせテーブルは視認性のために文字列の表で表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、組み合わせテーブルはデータベースのテーブルとして組み合わせテーブル記憶部１５１に記録されてよく、あるいはバイナリファイル又はテキストファイルとして組み合わせテーブル記憶部１５１に記録されてよい。

　登録情報取得部１１０は、組み合わせテーブル記憶部１５１から、物理ポート１１及び通信アプリケーション１２の組み合わせを取得する。具体的には、まず登録情報取得部１１０は、新たなセッションの通信が発生する際に、通信を行おうとしている（すなわち通信予定の）通信アプリケーション１２のＩＤを取得する。通信を行おうとしている通信アプリケーション１２は通信装置１０に接続されているデバイス２０に応じて通信装置１０のシステムによって実行され、通信アプリケーション１２のＩＤはシステムから容易に取得される。新たなセッションの通信が発生すること及び該通信を行おうとしている通信アプリケーション１２は、例えばデバイス２０が通信アプリケーション１２を介してＳＹＮパケット及びＡＣＫパケットを送受信すること（すなわち３ｗａｙハンドシェイク）によって検知される。そして、登録情報取得部１１０は、取得した通信アプリケーション１２のＩＤに関連付けられた物理ポート１１のポート番号を、組み合わせテーブル記憶部１５１から取得する。これにより、登録情報取得部１１０は、通信を許可できるものとして予め登録された通信アプリケーション１２及び物理ポート１１の組み合わせを取得できる。

　システム情報記憶部１５２には、通信装置１０において通信アプリケーション１２を動作させるシステム（より具体的にはオペレーティングシステム）の情報が記録されている。システムの情報は、実際に各物理ポート１１を使用している通信アプリケーション１２を示す情報を含む。システム情報記憶部１５２に記録されるシステムの情報は、システムによって随時更新される。

　通信情報取得部１２０は、システム情報記憶部１５２から、物理ポート１１を使用している通信アプリケーション１２の情報を取得する。具体的には、まず通信情報取得部１２０は、登録情報取得部１１０によって組み合わせテーブル記憶部１５１から取得された物理ポート１１のポート番号を取得する。そして、通信情報取得部１２０は、取得した物理ポート１１のポート番号を使用している通信アプリケーション１２のＩＤを、システム情報記憶部１５２から取得する。これにより、通信情報取得部１２０は、実際に通信を行おうとしている通信アプリケーション１２及び物理ポート１１の組み合わせを取得できる。

　通信判定部１３０は、組み合わせテーブル記憶部１５１から取得された組み合わせと、システム情報記憶部１５２から取得された組み合わせとを比較し、それらが一致するか否かを判定する。

　具体的には、まず通信判定部１３０は、登録情報取得部１１０によって取得された通信アプリケーション１２のＩＤを取得するとともに、通信情報取得部１２０によって取得された通信アプリケーション１２のＩＤを取得する。登録情報取得部１１０によって取得された通信アプリケーション１２のＩＤ及び通信情報取得部１２０によって取得された通信アプリケーション１２のＩＤは共通の物理ポート１１に対応している。そのため、通信アプリケーション１２のＩＤ同士を比較することは、通信アプリケーション１２及び物理ポート１１の組み合わせ同士を比較することと同義である。したがって、通信判定部１３０は、登録情報取得部１１０によって取得された通信アプリケーション１２のＩＤ及び通信情報取得部１２０によって取得された通信アプリケーション１２のＩＤが一致しているか否かを判定する。

　通信実行部１４０は、組み合わせテーブル記憶部１５１から取得された組み合わせ及びシステム情報記憶部１５２から取得された組み合わせが一致するか否かの通信判定部１３０による判定に従って、通信アプリケーション１２を利用したデバイス２０の通信を許可又は拒否する。

　具体的には、通信実行部１４０は、通信判定部１３０による判定の結果を取得する。そして通信実行部１４０は、登録情報取得部１１０によって取得された通信アプリケーション１２のＩＤ及び通信情報取得部１２０によって取得された通信アプリケーション１２のＩＤが一致すると判定された場合に、通信アプリケーション１２に対してデバイス２０の通信を許可することを示す情報を渡す。通信実行部１４０は、登録情報取得部１１０によって取得された通信アプリケーション１２のＩＤ及び通信情報取得部１２０によって取得された通信アプリケーション１２のＩＤが一致しないと判定された場合に、通信アプリケーション１２に対してデバイス２０の通信を拒否することを示す情報を渡す。

　通信アプリケーション１２は、通信実行部１４０から通信を許可する情報を受け取った場合には、デバイス２０の通信を行い、通信実行部１４０から通信を拒否する情報を受け取った場合には、デバイス２０の通信を行わない。

　ここで示した通信装置１０による具体的な処理は一例であり、予め登録された物理ポート１１及び通信アプリケーション１２の組み合わせと、実際に通信を行う物理ポート１１及び通信アプリケーション１２の組み合わせとに基づいて、通信を許可するか否か判定できれば、通信装置１０は任意の処理を行ってよい。

　本実施形態は予め登録された物理ポート１１及び通信アプリケーション１２の組み合わせの通信を許可する方法（すなわちホワイトリスト方式）を用いたが、これに限られず、予め登録された物理ポート１１及び通信アプリケーション１２の組み合わせの通信を拒否する方法（すなわちブラックリスト方式）を用いてもよい。ブラックリスト方式の場合には、通信実行部１４０による通信の許可及び拒否を逆に行えばよい。

　図４は、本実施形態に係る通信装置１０の例示的な機器構成を示す概略構成図である。通信装置１０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０ａと、メモリ１０ｂと、記憶装置１０ｃと、インターフェース１０ｄとを備える。通信装置１０は独立した装置でよく、あるいは他の装置と一体に構成されてよい。

　インターフェース１０ｄは、データの送受信を行う通信部であり、有線通信及び無線通信の少なくとも一方の通信方式を実行可能に構成される。インターフェース１０ｄは、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。インターフェース１０ｄは、ＣＰＵ１０ａからの信号に従って、該通信方式を用いて通信を行う。インターフェース１０ｄは、図１に示す物理ポート１１を含む。

　記憶装置１０ｃは、通信装置１０が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置１０ｃは、読み取り専用のＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置１０ｃは、ＣＤ－ＲＯＭ等のコンピュータ読取可能な可搬記憶媒体を含んでもよい。メモリ１０ｂは、ＣＰＵ１０ａが処理中のデータや記憶装置１０ｃから読み出されたプログラム及びデータを一時的に記憶するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等を含む。

　ＣＰＵ１０ａは、処理に用いる一時的なデータをメモリ１０ｂに一時的に記録し、記憶装置１０ｃに記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別などの処理動作を実行するプロセッサである。また、ＣＰＵ１０ａは、記憶装置１０ｃに処理結果のデータを記録し、またインターフェース１０ｄを介して処理結果のデータを外部に送信する。

　本実施形態においてＣＰＵ１０ａは、記憶装置１０ｃに記録されたプログラムを実行することによって、図２の通信制御部１００、すなわち登録情報取得部１１０、通信情報取得部１２０、通信判定部１３０、通信実行部１４０、及び通信アプリケーション１２として機能する。また、本実施形態において記憶装置１０ｃは、図２の記憶部１５０、すなわち組み合わせテーブル記憶部１５１及びシステム情報記憶部１５２として機能する。

　通信装置１０は、図４に示す具体的な構成に限定されない。通信装置１０は、１つの装置に限られず、２つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。通信装置１０に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。

　また、通信装置１０の少なくとも一部がＳａａＳ（Ｓｏｆｔｗａｒｅ　ａｓ　ａ　Ｓｅｒｖｉｃｅ）形式で提供されてよい。すなわち、通信装置１０を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。

　図５は、本実施形態に係る通信装置１０を用いる通信制御方法のフローチャートを示す図である。図５のフローチャートは、例えば通信装置１０において新たなセッションの通信が発生することに応じて開始される。

　まず、登録情報取得部１１０は、新たなセッションの通信が発生することを検知し（ステップＳ１０１）、該通信を行おうとしている（すなわち通信予定の）通信アプリケーション１２のＩＤを通信装置１０のシステムから取得する（ステップＳ１０２）。新たなセッションの通信が発生すること及び該通信を行おうとしている通信アプリケーション１２は、例えばデバイス２０が通信アプリケーション１２を介してＳＹＮパケット及びＡＣＫパケットを送受信すること（すなわち３ｗａｙハンドシェイク）によって検知される。

　通信を行おうとしている通信アプリケーション１２のＩＤを取得できない場合には（ステップＳ１０３のＮＯ）、処理を終了する。

　通信を行おうとしている通信アプリケーション１２のＩＤを取得できた場合には（ステップＳ１０３のＹＥＳ）、登録情報取得部１１０は、ステップＳ１０２で取得された通信アプリケーション１２のＩＤに関連付けられた物理ポート１１のポート番号を、組み合わせテーブル記憶部１５１から取得する（ステップＳ１０４）。すなわち、ステップＳ１０２で取得された通信アプリケーション１２のＩＤ及びステップＳ１０４で取得された物理ポート１１のポート番号は、組み合わせテーブル記憶部１５１に予め登録された組み合わせである。

　ステップＳ１０４において物理ポート１１のポート番号が組み合わせテーブル記憶部１５１から取得されない場合（例えば、組み合わせテーブル記憶部１５１に通信アプリケーション１２のＩＤを含む組み合わせが登録されていない場合）には（ステップＳ１０５のＮＯ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を拒否し（ステップＳ１１０）、処理を終了する。

　ステップＳ１０４において物理ポート１１のポート番号が組み合わせテーブル記憶部１５１から取得された場合には（ステップＳ１０５のＹＥＳ）、通信情報取得部１２０は、ステップＳ１０４で取得された物理ポート１１のポート番号を使用している通信アプリケーション１２のＩＤを、システム情報記憶部１５２から取得する（ステップＳ１０６）。すなわち、ステップＳ１０６で取得された通信アプリケーション１２のＩＤ及びステップＳ１０４で取得された物理ポート１１のポート番号は、実際に通信を行おうとしている組み合わせである。

　ステップＳ１０６において物理ポート１１のポート番号を使用している通信アプリケーション１２のＩＤがシステム情報記憶部１５２から取得されない場合（例えば、物理ポート１１のポート番号を使用している通信アプリケーション１２が無い場合）には（ステップＳ１０７のＮＯ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を拒否し（ステップＳ１１０）、処理を終了する。

　ステップＳ１０６において物理ポート１１のポート番号を使用している通信アプリケーション１２のＩＤがシステム情報記憶部１５２から取得された場合には（ステップＳ１０７のＹＥＳ）、通信判定部１３０は、ステップＳ１０２で取得された通信アプリケーション１２のＩＤ及びステップＳ１０６で取得された通信アプリケーション１２のＩＤが一致しているか否かを判定する（ステップＳ１０８）。ステップＳ１０２で取得された通信アプリケーション１２のＩＤ及びステップＳ１０６で取得された通信アプリケーション１２のＩＤはともに共通の物理ポート１１のポート番号に対応しているため、この判定は、組み合わせテーブル記憶部１５１に予め登録された通信アプリケーション１２及び物理ポート１１の組み合わせと、実際に通信を行おうとしている通信アプリケーション１２及び物理ポート１１の組み合わせとに基づくものである。

　ステップＳ１０８において通信アプリケーション１２のＩＤが一致しないと判定された場合には（ステップＳ１０９のＮＯ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を拒否し（ステップＳ１１０）、処理を終了する。

　ステップＳ１０８において通信アプリケーション１２のＩＤが一致すると判定された場合には（ステップＳ１０９のＹＥＳ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を許可し（ステップＳ１１１）、処理を終了する。

　通信装置１０のＣＰＵ１０ａは、図５に示す通信制御方法に含まれる各ステップ（工程）の主体となる。すなわち、ＣＰＵ１０ａは、図５に示す通信制御方法を実行するためのプログラムをメモリ１０ｂ又は記憶装置１０ｃから読み出し、該プログラムを実行して通信装置１０の各部を制御することによって図５に示す通信制御方法を実行する。

　ＩｏＴにおいては、ＩＰデバイス、非ＩＰデバイスを問わず様々なデバイスがネットワークに接続され得る。特許文献１に記載の技術のように通信アプリケーションのみによって通信の可否を判定してしまうと、接続されるデバイスごとに細かく通信を制御することはできない。また、従来のセキュリティ対策は特許文献２に記載の技術のようにＩＰデバイスであることを前提としていることが多く、そのようなセキュリティ対策を非ＩＰデバイスに適用することはできない。

　それに対して、本実施形態に係る通信装置１０は、デバイス２０が接続される物理ポート１１及びデバイス２０が利用する通信アプリケーション１２の組み合わせに基づいて通信可否の判定を行うため、ＴＣＰ／ＩＰの情報を用いる必要がなく、ＩＰデバイスだけでなく非ＩＰデバイスに対しても通信制御を行うことができる。また、同じ通信アプリケーション１２であってもデバイス２０が接続される物理ポート１１ごとに通信可否の判定を変更できるため、細かい制御を行うことができる。

（第２の実施形態）
　第１の実施形態は通信の可否の判定のために物理ポート１１及び通信アプリケーション１２の組み合わせを用いるのに対して、本実施形態はさらにシステムの設定情報を用いる。本実施形態は、図２、４に示す第１の実施形態と同様の構成を用いる。

　本実施形態に係る組み合わせテーブル記憶部１５１には、第１の実施形態と同様の物理ポート１１及び通信アプリケーション１２の情報に加えて、通信に係るシステムの設定情報を関連付けて、組み合わせテーブルとして予め記録される。通信に係るシステムの設定情報は、物理ポート１１に接続されたデバイス２０が通信アプリケーション１２を利用して通信を行う際に、通信装置１０のシステム内部で参照される設定情報である。

　本実施形態に係る通信判定部１３０及び通信実行部１４０は、物理ポート１１及び通信アプリケーション１２の情報に加えて、通信に係るシステムの設定情報に基づいて通信の可否を判定する。そのため、不正なデバイス２０が正しい物理ポート１１に偶然接続された場合であっても、システムの設定情報が一致しない限り通信を拒否することができる。

　通信に係るシステムの設定情報として、本実施形態ではＩ／Ｏアドレス及びボーレートを用いる。Ｉ／Ｏアドレス（Ｉ／Ｏポートアドレスともいう）は、通信装置１０のシステム（特にＣＰＵ１０ａ）がデータを入出力するために用いる仮想的な窓口を識別するための識別子である。各物理ポート１１には異なるＩ／Ｏアドレスが割り振られる。ボーレートは、特にシリアル伝送においてデータを送信する速度（単位）である。ボーレートは、物理ポート１１（ここではシリアルポート）の種類に応じて利用可能な値の中から、利用者によって所望の値が設定される。通信の可否の判定のために、Ｉ／Ｏアドレス及びボーレートの両方でなく、どちらか一方を用いてよい。ここに示したものに限られず、システムの設定情報として通信で用いられるその他の情報を用いてよい。

　また、システム情報記憶部１５２に記録されているシステムの情報は、実際に各物理ポート１１を使用している通信アプリケーション１２を示す情報に加えて、通信に係るシステムの設定情報（ここではＩ／Ｏアドレス及びボーレート）を含む。システム情報記憶部１５２に記録されるシステムの情報は、システムによって随時更新される。

　図６は、例示的な本実施形態に係る組み合わせテーブル記憶部１５１に登録されている組み合わせテーブルの模式図である。図６に示すように、組み合わせテーブルは通信アプリケーション１２のＩＤ、物理ポート１１のポート番号、物理ポート１１のＩ／Ｏアドレス、物理ポート１１のボーレートの少なくとも１つの組み合わせを含む。利用者は、通信を許可したい通信アプリケーション１２、物理ポート１１、Ｉ／Ｏアドレス及びボーレートの組み合わせを組み合わせテーブルに登録し、あるいは通信を拒否したい該組み合わせを組み合わせテーブルから削除する。

　図６において、組み合わせテーブルは視認性のために文字列の表で表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、組み合わせテーブルはデータベースのテーブルとして組み合わせテーブル記憶部１５１に記録されてよく、あるいはバイナリファイル又はテキストファイルとして組み合わせテーブル記憶部１５１に記録されてよい。

　図７は、本実施形態に係る通信装置１０を用いる通信制御方法のフローチャートを示す図である。図７のフローチャートは、例えば通信装置１０において新たなセッションの通信が発生することに応じて開始される。

　図７のフローチャートが開始されるよりも前に、利用者は、Ｉ／Ｏアドレス及びボーレートの設定情報を手動でシステムに設定するとともに、同じ設定情報を組み合わせテーブル記憶部１５１に登録する（図７には不図示）。システムが自動で設定する（すなわちデフォルトの）Ｉ／Ｏアドレス及びボーレートを用いると設定情報が意図せず一致する確率が高まるため、システムが自動で設定するＩ／Ｏアドレス及びボーレートとは異なる値を設定情報として用いることが望ましい。

　まず、通信装置１０は、図５のフローチャートと同様のステップＳ１０１～Ｓ１０９を行う。

　通信アプリケーション１２のＩＤが一致すると判定された場合には（ステップＳ１０９のＹＥＳ）、登録情報取得部１１０は、ステップＳ１０２で取得された通信アプリケーション１２のＩＤに関連付けられたシステムの設定情報（Ｉ／Ｏアドレス及びボーレート）を、組み合わせテーブル記憶部１５１から取得する（ステップＳ２０１）。

　通信情報取得部１２０は、ステップＳ１０２で取得された通信アプリケーション１２のＩＤに関連付けられたシステムの設定情報（Ｉ／Ｏアドレス及びボーレート）を、システム情報記憶部１５２から取得する（ステップＳ２０２）。

　通信判定部１３０は、ステップＳ２０１で取得されたシステムの設定情報及びステップＳ２０２で取得されたシステムの設定情報が一致しているか否かを判定する（ステップＳ２０３）。

　ステップＳ２０３においてシステムの設定情報が一致しないと判定された場合には（ステップＳ２０４のＮＯ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を拒否し（ステップＳ１１０）、処理を終了する。

　ステップＳ２０３においてシステムの設定情報が一致すると判定された場合には（ステップＳ２０４のＹＥＳ）、通信実行部１４０は通信アプリケーション１２によるデバイス２０の通信を許可し（ステップＳ１１１）、処理を終了する。

　通信装置１０のＣＰＵ１０ａは、図７に示す通信制御方法に含まれる各ステップ（工程）の主体となる。すなわち、ＣＰＵ１０ａは、図７に示す通信制御方法を実行するためのプログラムをメモリ１０ｂ又は記憶装置１０ｃから読み出し、該プログラムを実行して通信装置１０の各部を制御することによって図７に示す通信制御方法を実行する。

　本実施形態においても、第１の実施形態と同様に、ＩＰデバイス／非ＩＰデバイス問わず細かい通信の制御を行うことができる。さらに、本実施形態は、物理ポート１１及び通信アプリケーション１２の組み合わせに加えて、通信に係るシステムの設定情報に基づいて通信の制御を行う。そのため、不正なデバイス２０が正しい物理ポート１１に偶然接続された場合であっても、システムの設定情報が一致しない限り通信を拒否するため、よりセキュリティを向上させることができる。

（第３の実施形態）
　第１の実施形態は通信装置１０において新たなセッションの通信が発生することに応じて通信制御方法を実行するのに対して、本実施形態はタイマ管理等によって定期的に通信制御方法を実行する。本実施形態は、図２、４に示す第１の実施形態と同様の構成を用いる。

　図８は、本実施形態に係る通信装置１０を用いる通信制御方法のフローチャートを示す図である。図８のフローチャートは、例えば通信装置１０が起動された際に開始される。

　通信装置１０は、所定の時間待機する（ステップＳ３０１）。待機の時間は、デバイス２０による通信の監視を行う時間間隔に対応しており、利用者によって任意の値に予め設定される。また、待機の時間は通信装置１０によって自動的に設定及び変更されてもよい。

　次に、通信装置１０は、図５のフローチャートと同様のステップＳ１０２～Ｓ１１１を行う。

　所定の終了条件が満たされた場合には（ステップＳ３０２のＹＥＳ）、通信装置１０は処理を終了する。所定の終了条件が満たされていない場合には（ステップＳ３０２のＮＯ）、通信装置１０はステップＳ３０１に戻って処理を繰り返す。終了条件は、例えば利用者が通信装置１０に対して処理を終了するための操作を行うことである。

　通信装置１０のＣＰＵ１０ａは、図８に示す通信制御方法に含まれる各ステップ（工程）の主体となる。すなわち、ＣＰＵ１０ａは、図８に示す通信制御方法を実行するためのプログラムをメモリ１０ｂ又は記憶装置１０ｃから読み出し、該プログラムを実行して通信装置１０の各部を制御することによって図８に示す通信制御方法を実行する。

　本実施形態においても、第１の実施形態と同様に、ＩＰデバイス／非ＩＰデバイス問わず細かい通信の制御を行うことができる。さらに、本実施形態は、定期的にデバイス２０による通信の監視を行うため、新たなセッション開始時以外のタイミングでもデバイス２０による通信の許可又は拒否を判定することができる。

（その他の実施形態）
　図９は、上述の各実施形態に係る通信装置１０の概略構成図である。図９には、通信装置１０がデバイスの接続される物理ポート及び通信アプリケーションの組み合わせに基づいて通信制御を行う装置として機能するための構成例が示されている。通信装置１０は、通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有し、前記物理的な接続部に接続されている機器から前記通信装置の外部への通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得する通信情報取得部１２０と、前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定する通信判定部１３０と、を備える。

　本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。

　上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム（より具体的には、図５、７、８に示す処理をコンピュータに実行させる通信制御プログラム）を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。

　該記録媒体としては例えばフロッピー（登録商標）ディスク、ハードディスク、光ディスク、光磁気ディスク、ＣＤ－ＲＯＭ、磁気テープ、不揮発性メモリカード、ＲＯＭを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、ＯＳ上で動作して処理を実行するものも各実施形態の範疇に含まれる。

　上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

（付記１）
　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置において、前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、
　を有する通信制御方法。

（付記２）
　前記判定するステップは、前記通信を行う前記組み合わせ及び予め登録された前記組み合わせが一致する場合に前記通信を許可し、一致しない場合に前記通信を拒否することを特徴とする、付記１に記載の通信制御方法。

（付記３）
　前記機器は、ＴＣＰ／ＩＰ以外の方法で前記通信を行うことを特徴とする、付記１又は２に記載の通信制御方法。

（付記４）
　前記物理的な接続部は、シリアルポートであることを特徴とする、付記１～３のいずれか一項に記載の通信制御方法。

（付記５）
　前記判定するステップは、前記物理的な接続部及び前記通信アプリケーションに加えて、前記物理的な接続部に対して設定された設定情報に基づいて、前記通信を許可するか否かを判定することを特徴とする、付記１～４のいずれか一項に記載の通信制御方法。

（付記６）
　前記設定情報は、前記物理的な接続部に対して設定されたボーレート及びＩ／Ｏアドレスの少なくとも一方を示すことを特徴とする、付記５に記載の通信制御方法。

（付記７）
　前記通信制御方法は、前記通信が開始される時に実行されることを特徴とする、付記１～６のいずれか一項に記載の通信制御方法。

（付記８）
　前記通信制御方法は、所定の時間間隔で実行されることを特徴とする、付記１～６のいずれか一項に記載の通信制御方法。

（付記９）
　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有するコンピュータである通信装置に、
　前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、
　を実行させる通信制御プログラムを記録した記録媒体。

（付記１０）
　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置であって、
　前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得する通信情報取得部と、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定する通信判定部と、
　を備える通信装置。

　この出願は、２０１７年３月６日に出願された日本出願特願２０１７－０４１３４７を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

Claims

　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置において、前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、
　を有する通信制御方法。
　前記判定するステップは、前記通信を行う前記組み合わせ及び予め登録された前記組み合わせが一致する場合に前記通信を許可し、一致しない場合に前記通信を拒否することを特徴とする、請求項１に記載の通信制御方法。
　前記機器は、ＴＣＰ／ＩＰ以外の方法で前記通信を行うことを特徴とする、請求項１又は２に記載の通信制御方法。
　前記物理的な接続部は、シリアルポートであることを特徴とする、請求項１～３のいずれか一項に記載の通信制御方法。
　前記判定するステップは、前記物理的な接続部及び前記通信アプリケーションに加えて、前記物理的な接続部に対して設定された設定情報に基づいて、前記通信を許可するか否かを判定することを特徴とする、請求項１～４のいずれか一項に記載の通信制御方法。
　前記設定情報は、前記物理的な接続部に対して設定されたボーレート及びＩ／Ｏアドレスの少なくとも一方を示すことを特徴とする、請求項５に記載の通信制御方法。
　前記通信制御方法は、前記通信が開始される時に実行されることを特徴とする、請求項１～６のいずれか一項に記載の通信制御方法。
　前記通信制御方法は、所定の時間間隔で実行されることを特徴とする、請求項１～６のいずれか一項に記載の通信制御方法。
　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有するコンピュータである通信装置に、
　前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得するステップと、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定するステップと、
　を実行させる通信制御プログラムを記録した記録媒体。
　通信を制御する通信アプリケーションを実行するとともに物理的な接続部を有する通信装置であって、
　前記物理的な接続部に接続されている機器から前記通信装置の外部への前記通信を行う前記物理的な接続部及び前記通信アプリケーションの組み合わせを取得する通信情報取得部と、
　前記通信を行う前記組み合わせ及び予め登録された前記物理的な接続部及び前記通信アプリケーションの組み合わせに基づいて、前記通信を許可するか否かを判定する通信判定部と、
　を備える通信装置。