WO2019087476A1

WO2019087476A1 - 通信監視装置、通信監視システム、および通信監視方法

Info

Publication number: WO2019087476A1
Application number: PCT/JP2018/027289
Authority: WO
Inventors: 強田中; 洸一島; 直彦菊池; 正博栗原
Original assignee: 株式会社小松製作所
Priority date: 2017-10-31
Filing date: 2018-07-20
Publication date: 2019-05-09
Also published as: US20200114874A1; DE112018003080T5; JP2019082928A; KR20200010477A; JP7242169B2; KR102347429B1; CN110869933A; US11014537B2

Abstract

配布情報取得部は、作業車両へのアクセスに用いられる設定情報の配布先の利用者の識別情報を含む配布情報を取得する。アクセス情報取得部は、作業車両にアクセスした利用者の識別情報を含むアクセス情報を取得する。不正判定部は、アクセス情報に係る識別情報と配布情報に係る識別情報とを比較して不正アクセスの有無を判定する。

Description

通信監視装置、通信監視システム、および通信監視方法

　本発明は、通信監視装置、通信監視システム、および通信監視方法に関する。
　本願は、２０１７年１０月３１日に日本に出願された特願２０１７－２１０７９９号について優先権を主張し、その内容をここに援用する。

　特許文献１には、施工管理システムにおいて作業車両に搭載される施工管理用の情報機器と管理サーバとが情報を共有し、管理サーバに記憶される施工管理情報を携帯機器で閲覧することが開示されている。

国際公開第２０１７／０６１５１５号

　作業車両と携帯端末とが無線通信により接続される場合、作業車両への不正アクセスがあった場合に、当該不正アクセスを検出することが望まれている。
　本発明の態様は、作業車両への不正アクセスを検出することができる通信監視装置、通信監視システム、および通信監視方法を提供することを目的とする。

　本発明の第１の態様によれば、通信監視装置は、作業車両へのアクセスに用いられる設定情報と、前記設定情報が配布された利用者の識別情報とを含む配布情報を取得する配布情報取得部と、前記作業車両にアクセスした前記利用者の識別情報を含むアクセス情報を取得するアクセス情報取得部と、前記アクセス情報に係る前記識別情報と前記配布情報に係る前記識別情報とを比較して不正アクセスの有無を判定する不正判定部とを備える。

　実施形態に示す態様のうち少なくとも１つの態様によれば、通信監視装置は、作業車両への不正アクセスを検出することができる。

第１の実施形態に係る通信監視システムの構成を示す概略図である。第１の実施形態に係る作業車両制御装置の構成を示す概略ブロック図である。第１の実施形態に係る通信監視装置の構成を示す概略ブロック図である。第１の実施形態に係る設定情報記憶部が記憶する情報の例を示す図である。第１の実施形態に係る利用者情報記憶部が記憶する情報の例を示す図である。第１の実施形態に係る配布情報記憶部が記憶する情報の例を示す図である。第１の実施形態に係るアクセス情報の例を示す図である。第１の実施形態に係る設定情報の登録処理を示すフローチャートである。第１の実施形態に係る設定情報の配布処理を示すフローチャートである。第１の実施形態に係る作業車両と端末装置との通信処理を示すシーケンス図である。第１の実施形態に係る不正アクセスの検出処理を示すフローチャートである。第１の実施形態に係る設定情報の変更処理を示すフローチャートである。第２の実施形態に係る作業車両制御装置の構成を示す概略ブロック図である。第２の実施形態に係る作業車両と端末装置との通信処理を示すシーケンス図である。

〈第１の実施形態〉
《通信監視システムの構成》
　図１は、第１の実施形態に係る通信監視システムの構成を示す概略図である。
　第１の実施形態に係る通信監視システム１は、作業車両１０と通信監視装置２０とを備える。なお、第１の実施形態に係る作業車両１０は、油圧ショベルであるが、他の実施形態においては、作業車両１０がホイールローダ等の他の作業車両であってもよい。

《作業車両の構成》
　作業車両１０は、走行体１０１と本体１０２と作業機１０３を備える。本体１０２にはオペレータが搭乗する運転席が設けられる。運転席にはオペレータが操作を入力するためのレバー等の図示しない操作機構と作業車両制御装置１１とが設けられる。なお、操作機構は広域ネットワークＷ等を介して遠隔からの入力を受けるものであってもよい。すなわち、作業車両１０は遠隔運転車両や、自律運転を行う走行体を備える機械であってもよい。
　作業機１０３は、シリンダ等の駆動機構と駆動機構で駆動されるバケット等の掘削機能とを備える。作業車両１０には位置情報、作業機の操作情報、作業機の姿勢情報、および燃料情報などの稼動情報を取得する図示しないセンサ類が設置される。

《作業車両制御装置の構成》
　図２は、第１の実施形態に係る作業車両制御装置の構成を示す概略ブロック図である。
　作業車両制御装置１１は、作業車両１０を制御する作業車両制御部１１０と、作業車両１０の接続情報を管理する接続管理部１２０とを備える。作業車両制御部１１０と接続管理部１２０とは同一のコンピュータに実装されてもよいし、別個のコンピュータに実装されてもよい。

　作業車両制御部１１０は、作業車両１０に設けられた図示しないセンサ類から稼動情報を取得し、作業車両１０の稼動状態を管理する。また作業車両制御装置１１は、オペレータの操作や稼動情報の入力を受け付け、これらに従って作業車両１０を制御する。作業車両制御装置１１の接続管理部１２０は、通信監視装置２０およびオペレータ等の利用者が所持する端末装置３０との通信を行い、端末装置３０の接続管理を担う。例えば、作業車両１０は、端末装置３０に作業車両１０の稼動情報を送信し、また端末装置３０から作業車両１０の稼動情報収集のための選択指令や入力等を受け付ける。

　接続管理部１２０は、近距離無線通信Ｎのアクセスポイントとして機能し、オペレータ等の利用者が所持する端末装置３０からのアクセスを受け付ける。近距離無線通信Ｎの例としては、無線ＬＡＮ（Local Area Network）、Bluetooth（登録商標）、Zigbee（登録商標）などが挙げられる。接続管理部１２０は、記憶部１２１、第１通信部１２２、第２通信部１２３、処理部１２４を備える。
　記憶部１２１は、通信監視装置２０から送信された近距離無線通信Ｎの設定情報（例えば無線ＬＡＮの場合、アクセスポイントの識別名を示すＳＳＩＤ（Service Set Identifier）と暗号キーの組み合わせ）と、近距離無線通信Ｎによるアクセスの履歴を表すアクセス情報とを記憶する。
　第１通信部１２２は、広域ネットワークＷ（例えば移動通信ネットワーク）を介して通信監視装置２０から設定情報を受信する。第１通信部１２２は、第２通信部１２３が端末装置３０から受けたアクセスを示すアクセス情報を通信監視装置２０に送信する。
　第２通信部１２３は、近距離無線通信Ｎのアクセスポイントとして機能する。第２通信部１２３は、近距離無線通信Ｎによって端末装置３０から設定情報と利用者ＩＤとを受信する。
　処理部１２４は、記憶部１２１が記憶する設定情報に基づいて近距離無線通信Ｎによる端末装置３０の接続可否を判定する。処理部１２４は、近距離無線通信Ｎによる端末装置３０の接続を許可した場合、第２通信部１２３を介して作業車両制御部１１０が管理する稼動情報を端末装置３０に送信する。

《通信監視装置の構成》
　通信監視装置２０は、作業車両制御装置１１の設定情報を管理し、また作業車両制御装置１１とオペレータ等の利用者が所持する端末装置３０との通信を監視する。
　作業車両制御装置１１と通信監視装置２０は、広域ネットワークＷを介して接続される。また、端末装置３０と通信監視装置２０は、広域ネットワークＷを介して接続される。通信監視装置２０は、広域ネットワークＷを介して作業車両制御装置１１に設定情報を登録し、また変更する。通信監視装置２０は、広域ネットワークＷを介して、正規の利用者に作業車両制御装置１１の設定情報を通知する。すなわち、作業車両制御装置１１は、通信監視装置２０によって設定情報の通知を受けた利用者が所持する端末装置３０と通信を行う。
　なお、端末装置３０は、作業車両制御装置１１と近距離無線通信Ｎにより通信を行うことで、広域ネットワークＷの通信環境によらずに、作業車両制御装置１１から稼動状態を取得し、また作業車両制御装置１１にパラメータを設定することができる。

　一方で、権限のない者が不正に設定情報を入手した場合、作業車両制御装置１１から不正に稼動状態を取得し、また不正にパラメータを設定されるおそれがある。そのため、通信監視装置２０は、作業車両制御装置１１と端末装置３０との通信を監視し、権限のない者による不正アクセスを検出する。

　図３は、第１の実施形態に係る通信監視装置の構成を示す概略ブロック図である。
　通信監視装置２０は、プロセッサ２１、メインメモリ２２、ストレージ２３、インタフェース２４を備えるコンピュータである。ストレージ２３は、通信監視プログラムＰ２を記憶する。プロセッサ２１は、通信監視プログラムＰ２をストレージ２３から読み出してメインメモリ２２に展開し、通信監視プログラムＰ２に従った処理を実行する。通信監視装置２０は、インタフェース２４を介して広域ネットワークＷに接続される。また通信監視装置２０は、インタフェース２４を介して図示しない入出力装置に接続される。

　ストレージ２３の例としては、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）、磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＤＶＤ－ＲＯＭ（Digital Versatile Disc Read Only Memory）、半導体メモリ等が挙げられる。ストレージ２３は、通信監視装置２０のバスに直接接続された内部メディアであってもよいし、インタフェース２４を介して通信監視装置２０に接続される外部メディアであってもよい。ストレージ２３は、一時的でない有形の記憶媒体である。
　ストレージ２３は、設定情報記憶部２３１、利用者情報記憶部２３２、配布情報記憶部２３３としての記憶領域を有する。

　図４は、第１の実施形態に係る設定情報記憶部２３１が記憶する情報の例を示す図である。
　設定情報記憶部２３１は、作業車両１０を管理する管理グループごとに、当該管理グループに属する作業車両１０の情報を記憶する。管理グループの例としては、例えば建設会社、施工現場などが挙げられる。作業車両１０を識別する作業車両ＩＤに関連付けて、当該作業車両１０の作業車両制御装置１１に登録された設定情報を記憶する。例えば、設定情報記憶部２３１は、作業車両ＩＤに関連付けて、設定情報を識別する設定情報ＩＤ、ＳＳＩＤ、および暗号化キーを記憶する。設定情報ＩＤは、通信監視装置２０が作業車両制御装置１１の設定情報を変更するたびに更新される。

　図５は、第１の実施形態に係る利用者情報記憶部２３２が記憶する情報の例を示す図である。
　利用者情報記憶部２３２は、管理グループごとに、当該管理グループに属する利用者の情報を記憶する。利用者情報記憶部２３２は、利用者を識別する利用者ＩＤに関連付けて、認証に用いるパスワード、作業車両制御装置１１へのアクセス権限を示す権限情報、およびメールアドレスを記憶する。権限情報には、例えば、アドミニストレータ権限、マネージャ権限、ユーザ権限のいずれかが設定される。アドミニストレータ権限を有する利用者は、例えば、作業車両１０の保守やサービスの提供を行う者である。アドミニストレータ権限は、作業車両制御装置１１へのアクセス、作業車両制御装置１１へのアクセス権限の設定および更新の実行、ならびに設定情報の更新の指示を行うことができる権限である。マネージャ権限を有する利用者は、例えば、作業車両の所有者である。利用者情報記憶部２３２は、マネージャ権限を有する利用者に関連付けて、当該利用者が所有する作業車両の作業車両ＩＤを記憶する。マネージャ権限は、所有する作業車両１０について、作業車両制御装置１１へのアクセス、作業車両制御装置１１へのアクセス権限の設定および更新の実行、ならびに設定情報の更新の指示を行うことができる権限である。ユーザ権限を有する利用者は、例えば作業車両１０のオペレータである。ユーザ権限は、作業車両制御装置１１へのアクセスを行うことができる権限である。
なお、利用者が退職や異動等により管理グループから外れる場合、当該利用者に係る情報は、利用者情報記憶部２３２から削除される。なお、「削除」は、データを消去することのみならず、利用者情報を残したままアクセス権限を付与せず削除した状態とすることも含む。

　図６は、第１の実施形態に係る配布情報記憶部２３３が記憶する情報の例を示す図である。
　配布情報記憶部２３３は、利用者への設定情報の配布の履歴を示す配布情報を記憶する。すなわち、配布情報記憶部２３３は、作業車両ＩＤおよび設定情報ＩＤに関連付けて、当該設定情報ＩＤを配布した利用者に係る利用者ＩＤを関連付けて記憶する。

　プロセッサ２１は、通信監視プログラムＰ２により実行される、設定情報生成部２０１、設定情報登録部２０２、認証部２０３、設定情報配布部２０４、アクセス情報取得部２０５、配布情報取得部２０６、権限情報取得部２０７、不正判定部２０８、不正通知部２０９、変更通知部２１０を備える。

　設定情報生成部２０１は、アドミニストレータ権限を有する利用者の指示等に基づいて、近距離無線通信Ｎに用いる設定情報を生成する。
　設定情報登録部２０２は、設定情報生成部２０１が生成した設定情報を含む設定情報の登録指示を、作業車両制御装置１１に送信する。なお、作業車両１０に搭載される作業車両制御装置１１がメンテナンス等により交換される場合、設定情報登録部２０２は、交換前の作業車両制御装置１１に登録されている設定情報を、交換後の作業車両制御装置１１に登録する。また、設定情報登録部２０２は、設定情報生成部２０１が生成した設定情報を設定情報記憶部２３１に記憶させる。

　認証部２０３は、端末装置３０から利用者ＩＤおよびパスワードの入力を受け付け、利用者の認証処理を行う。また、認証部２０３は、アドミニストレータ権限を有する利用者の指示に基づいて、利用者情報記憶部２３２が記憶する利用者情報を登録し、または更新する。
　設定情報配布部２０４は、設定情報記憶部２３１が記憶する設定情報を利用者に配布する。例えば、設定情報配布部２０４は、利用者情報記憶部２３２が認証された利用者に関連付けて記憶するメールアドレスに、設定情報を送信する。また、設定情報配布部２０４は、設定情報を送信すると、送信先の利用者に係る利用者ＩＤと送信した設定情報の設定情報ＩＤと、当該設定情報に係る作業車両１０の作業車両ＩＤとに基づいて、配布情報記憶部２３３が記憶する配布情報を更新する。

　アクセス情報取得部２０５は、作業車両制御装置１１から、端末装置３０による当該作業車両制御装置１１へのアクセス履歴であるアクセス情報を取得する。図７は、第１の実施形態に係るアクセス情報の例を示す図である。例えばアクセス情報は、アクセスごとに、アクセス時刻と利用者ＩＤと通信内容とを関連付けて格納する情報である。

　配布情報取得部２０６は、配布情報記憶部２３３から、アクセス情報の送信元の作業車両制御装置１１の最新の設定情報に係る配布情報を取得する。
　権限情報取得部２０７は、利用者情報記憶部２３２から、アクセス情報に含まれる利用者ＩＤに関連付けられた権限情報を取得する。
　不正判定部２０８は、アクセス情報取得部２０５が取得したアクセス情報と、配布情報取得部２０６が取得した配布情報と、権限情報取得部２０７が取得した権限情報とに基づいて、作業車両制御装置１１への不正アクセスの有無を判定する。

　不正通知部２０９は、不正判定部２０８によって不正アクセスがあると判定された場合に、アドミニストレータ権限を有する利用者に、不正アクセスの発生通知を送信する。
　変更通知部２１０は、設定情報が変更された場合に、変更前の設定情報の配布先の利用者に、設定情報の変更通知を送信する。

《端末装置の構成》
　端末装置３０は、スマートフォンやタブレット等の携帯式端末であって、入力機能、通信機能、表示機能、記憶機能を有する。端末装置３０は、通信機能により、広域ネットワークＷおよび近距離無線通信Ｎの子機として機能する。端末装置３０は、記憶機能により、通信監視装置２０から送信された利用者ＩＤおよび設定情報を記憶する。端末装置３０は、表示機能により、作業車両制御装置１１から受信した作業車両１０の稼動情報を表示する。

《通信監視システムの動作》
　図８は、第１の実施形態に係る設定情報の登録処理を示すフローチャートである。
　通信監視装置２０の監視対象となる作業車両１０が追加されると、当該作業車両１０に近距離無線通信Ｎに用いる設定情報を登録させる。アドミニストレータ権限を有する利用者は、端末装置３０を用いて、広域ネットワークＷを介して通信監視装置２０にアクセスする。このとき、アドミニストレータ権限を有する利用者は、通信監視装置２０に登録されている利用者情報に係る利用者ＩＤおよびパスワード、ならびに対象となる作業車両１０の作業車両ＩＤを、端末装置３０に入力する。端末装置３０は、利用者ＩＤ、パスワード、および作業車両ＩＤを含む設定情報の登録指示を通信監視装置２０に送信する。

　通信監視装置２０の認証部２０３は、端末装置３０から設定情報の登録指示を取得したか否かを判定する（ステップＳ１）。認証部２０３は、登録指示を取得しない場合（ステップＳ１：ＮＯ）、ステップＳ１の判定を繰り返す。他方、認証部２０３は、登録指示を取得した場合（ステップＳ１：ＹＥＳ）、登録指示に含まれる利用者ＩＤとパスワードの組み合わせを、利用者情報記憶部２３２が記憶する利用者ＩＤとパスワードの組み合わせと照合し、取得した利用者ＩＤおよびパスワードの組み合わせが正しいか否かを判定する（ステップＳ２）。

　利用者ＩＤおよびパスワードの組み合わせが誤っている場合（ステップＳ２：ＮＯ）、認証部２０３は、端末装置３０に利用者ＩＤおよびパスワードの組み合わせが誤っている旨の通知を送信し（ステップＳ３）、処理を終了する。
　利用者ＩＤおよびパスワードの組み合わせが正しい場合（ステップＳ２：ＹＥＳ）、認証部２０３は、当該利用者ＩＤに関連付けられた権限情報がアドミニストレータ権限を示すか、または権限情報がマネージャ権限を示しかつ対象となる作業車両１０の所有者であることを示すかのいずれかであるか否かを判定する（ステップＳ４）。利用者ＩＤに係る権限情報がアドミニストレータ権限またはマネージャ権限を示さないか、または権限情報がマネージャ権限を示すが対象となる作業車両１０の所有者でないかのいずれかである場合（ステップＳ４：ＮＯ）、認証部２０３は、端末装置３０に設定情報の登録権限がない旨の通知を送信し（ステップＳ５）、処理を終了する。

　利用者ＩＤに係る権限情報がアドミニストレータ権限を示すか、または権限情報がマネージャ権限を示しかつ対象となる作業車両１０の所有者であるかのいずれかである場合（ステップＳ４：ＹＥＳ）、設定情報生成部２０１は、当該作業車両１０のための近距離無線通信Ｎに用いる設定情報を生成する（ステップＳ６）。このとき、設定情報生成部２０１は、生成した設定情報に一意の識別情報である設定情報ＩＤを生成する。次に、設定情報登録部２０２は、広域ネットワークＷを介して、登録指示に含まれる作業車両ＩＤが示す作業車両１０に生成した設定情報の登録指示を送信する（ステップＳ７）。登録指示には生成した設定情報が含まれる。設定情報登録部２０２は、設定情報記憶部２３１に記憶される管理グループのうち利用者ＩＤに関連付けられた管理グループに、登録指示の送信先の作業車両ＩＤと、生成された設定情報ＩＤおよび設定情報とを関連付けて記憶させる（ステップＳ８）。
　これにより、作業車両１０に近距離無線通信Ｎに用いる設定情報が登録され、通信監視装置２０に作業車両１０と設定情報の組み合わせが記憶される。

　図９は、第１の実施形態に係る設定情報の配布処理を示すフローチャートである。
　作業車両１０のオペレータ（作業車両１０へのアクセスを許可された権限（アドミニストレータ権限、マネージャ権限、ユーザ権限）を有する利用者）は、端末装置３０に作業車両１０と近距離無線通信Ｎによる通信を行わせるために、当該作業車両１０の設定情報を取得する必要がある。オペレータは、設定情報を登録すべき端末装置３０を用いて、広域ネットワークＷを介して通信監視装置２０にアクセスする。このとき、オペレータは、通信監視装置２０に登録されている利用者情報に係る利用者ＩＤおよびパスワード、ならびに対象となる作業車両１０の作業車両ＩＤを、端末装置３０に入力する。端末装置３０は、利用者ＩＤ、パスワード、および作業車両ＩＤを含む設定情報の送信指示を通信監視装置２０に送信する。

　通信監視装置２０の認証部２０３は、端末装置３０から設定情報の送信指示を受信したか否かを判定する（ステップＳ２１）。認証部２０３は、送信指示を受信しない場合（ステップＳ２１：ＮＯ）、ステップＳ２１の判定を繰り返す。他方、認証部２０３は、送信指示を受信した場合（ステップＳ２１：ＹＥＳ）、送信指示に含まれる利用者ＩＤとパスワードの組み合わせを、利用者情報記憶部２３２が記憶する利用者ＩＤとパスワードの組み合わせと照合し、取得した利用者ＩＤおよびパスワードの組み合わせが正しいか否かを判定する（ステップＳ２２）。

　利用者ＩＤおよびパスワードの組み合わせが誤っている場合（ステップＳ２２：ＮＯ）、認証部２０３は、端末装置３０に利用者ＩＤおよびパスワードの組み合わせが誤っている旨の通知を送信し（ステップＳ２３）、処理を終了する。

　利用者ＩＤおよびパスワードの組み合わせが正しい場合（ステップＳ２２：ＹＥＳ）、認証部２０３は、利用者情報記憶部２３２において当該利用者ＩＤに関連付けられた管理グループと、設定情報記憶部２３１において送信指示に含まれる作業車両ＩＤに関連付けられた管理グループとが一致するか否かを判定する（ステップＳ２４）。つまり、認証部２０３は、利用者ＩＤと作業車両ＩＤとが同じ管理グループに属すか否かを判定する。
　利用者ＩＤと作業車両ＩＤとが同じ管理グループに属さない場合（ステップＳ２４：ＮＯ）、認証部２０３は、端末装置３０に作業車両１０の管理グループが異なる旨の通知を送信し（ステップＳ２５）、処理を終了する。

　利用者ＩＤと作業車両ＩＤとが同じ管理グループに属す場合（ステップＳ２４：ＹＥＳ）、設定情報配布部２０４は、送信指示に含まれる作業車両ＩＤに関連付けられた設定情報を設定情報記憶部２３１から読み出す（ステップＳ２６）。設定情報配布部２０４は、読み出した設定情報を端末装置３０に送信する（ステップＳ２７）。設定情報配布部２０４は、送信指示に含まれる作業車両ＩＤと、ステップＳ２６で読み出した設定情報の設定情報ＩＤとに関連付けて、送信指示に含まれる利用者ＩＤを配布情報記憶部２３３に記憶させる（ステップＳ２８）。
　これにより、オペレータが所持する端末装置３０に、作業車両１０の設定情報が登録され、通信監視装置２０に設定情報の配布の履歴が記憶される。

　図１０は、第１の実施形態に係る作業車両と端末装置との通信処理を示すシーケンス図である。
　作業車両１０のオペレータは、端末装置３０と作業車両１０とを近距離無線通信Ｎで接続させるために、端末装置３０を操作し、接続先の作業車両１０を選択する（ステップＳ４１）。端末装置３０は、選択された作業車両１０に係る設定情報を内部の記憶装置から読み出し、当該設定情報と利用者ＩＤとを含むアクセス要求を近距離無線通信Ｎによって作業車両１０に送信する（ステップＳ４２）。作業車両１０の作業車両制御装置１１は、アクセス要求を受信すると、アクセス要求に含まれる設定情報と、作業車両制御装置１１に登録されている設定情報とを照会し、設定情報が正しいか否かを判定する（ステップＳ４３）。設定情報が誤っている場合（ステップＳ４３：ＮＯ）、作業車両制御装置１１は、設定情報が誤っている旨の通知を端末装置３０に送信し（ステップＳ４４）、処理を終了する。
　他方、設定情報が正しい場合（ステップＳ４３：ＹＥＳ）、作業車両制御装置１１は、端末装置３０からのアクセスを許可する（ステップＳ４５）。以降、端末装置３０は、作業車両制御装置１１に、オペレータの操作に基づく稼動情報の収集の指令や、選択指令の入力（リクエスト）を近距離無線通信Ｎで送信する（ステップＳ４６）。作業車両制御装置１１は、端末装置３０からのリクエストに対して、収集中の稼動情報や、オペレータへのメッセージ（レスポンス）を近距離無線通信Ｎで端末装置３０に送信する（ステップＳ４７）。このとき、作業車両制御装置１１は、利用者ＩＤとリクエストおよびレスポンスの内容とを関連付けたアクセス情報を内部の記憶装置に記憶させる（ステップＳ４８）。

　作業車両制御装置１１は、広域ネットワークＷを介して、通信監視装置２０にアクセス情報を送信する。アクセス情報の送信は、必ずしも端末装置３０からのアクセスのたびになされなくてもよい。例えば、作業車両制御装置１１は、一定時間ごとに、当該時間内における端末装置３０からのアクセスに係るアクセス情報をまとめて送信してもよい。また例えば、作業車両制御装置１１は、広域ネットワークＷへの接続が可能なときに、広域ネットワークＷへの接続ができない間における端末装置３０からのアクセスに係るアクセス情報をまとめて送信してもよい。

　図１１は、第１の実施形態に係る不正アクセスの検出処理を示すフローチャートである。
　作業車両１０がアクセス情報を送信すると、通信監視装置２０のアクセス情報取得部２０５は、当該アクセス情報を受信したか否かを判定する（ステップＳ６１）。アクセス情報取得部２０５は、アクセス情報を受信しない場合（ステップＳ６１：ＮＯ）、ステップＳ６１の判定を繰り返す。他方、アクセス情報取得部２０５がアクセス情報を受信した場合（ステップＳ６１：ＹＥＳ）、配布情報取得部２０６は、配布情報記憶部２３３からアクセス情報の作業車両１０の最新の設定情報に関連付けられた利用者ＩＤを取得する（ステップＳ６２）。権限情報取得部２０７は、取得した利用者ＩＤに係る権限情報を利用者情報記憶部２３２から取得する（ステップＳ６３）。

　不正判定部２０８は、配布情報取得部２０６が取得した利用者ＩＤの中に、受信したアクセス情報に含まれる利用者ＩＤが存在するか否かを判定する（ステップＳ６４）。配布情報取得部２０６が取得した利用者ＩＤの中に、アクセス情報に含まれる利用者ＩＤが存在しない場合（ステップＳ６４：ＮＯ）、不正判定部２０８は、当該アクセス情報に係るアクセスが不正アクセスであると判定する（ステップＳ６５）。すなわち、当該アクセス情報に係るアクセスは、設定情報が配布された正規の利用者によるアクセスでないと判断される。

　配布情報取得部２０６が取得した利用者ＩＤの中に、アクセス情報に含まれる利用者ＩＤが存在する場合（ステップＳ６４：ＹＥＳ）、不正判定部２０８は、当該アクセス情報に係るアクセス内容と利用者の権限情報とに基づいて、アクセス内容が利用者の権限範囲内であるか否かを判定する（ステップＳ６６）。例えば、不正判定部２０８は、権限情報ごとに許可されるアクセス内容を記憶しておき、当該アクセス情報に係るアクセス内容が許可されたアクセス内容を超える場合に、アクセス内容が利用者の権限範囲を超えていると判定する。また例えば、不正判定部２０８は、権限情報とアクセス内容とに基づいて学習された学習済みモデルに、アクセス情報に係るアクセス内容とステップＳ６３で取得した権限情報とを入力することで、アクセス内容が利用者の権限範囲を超えているか否かを判定してもよい。
　アクセス内容が利用者の権限範囲を超えている場合（ステップＳ６６：ＮＯ）、不正判定部２０８は、当該アクセス情報に係るアクセスが不正アクセスであると判定する（ステップＳ６５）。

　アクセス情報に係るアクセスが不正アクセスであると判断された場合、不正通知部２０９は、アクセス情報の送信元の作業車両１０が属する管理グループに関連付けられたアドミニストレータ権限を有する利用者（すなわち管理者）のメールアドレスに、不正アクセスを検出した旨の通知を送信する（ステップＳ６７）。不正アクセスを検出した旨の通知には、設定情報の変更を促すメッセージが含まれる。

　他方、配布情報取得部２０６が取得した利用者ＩＤの中に、アクセス情報に含まれる利用者ＩＤが存在し、かつアクセス内容が利用者の権限範囲を超えていない場合（ステップＳ６６：ＹＥＳ）、不正判定部２０８は、当該アクセス情報に係るアクセスが正当なアクセスであると判定する（ステップＳ６８）。アクセス情報に係るアクセスが正当なアクセスであると判定された場合、不正通知部２０９は通知を送信しない。

　アドミニストレータ権限を有する利用者は、電子メールにて不正アクセスを検出した旨の通知を受信すると、設定情報を変更すべきか否かを判断する。アドミニストレータ権限を有する利用者は、設定情報を変更すべきと判断した場合、端末装置３０等によって、設定情報の変更指示を送信する。変更指示には、利用者ＩＤ、パスワード、および作業車両ＩＤが含まれる。

　図１２は、第１の実施形態に係る設定情報の変更処理を示すフローチャートである。
　通信監視装置２０の認証部２０３は、端末装置３０から設定情報の変更指示を受信したか否かを判定する（ステップＳ８１）。認証部２０３は、変更指示を受信しない場合（ステップＳ８１：ＮＯ）、ステップＳ８１の判定を繰り返す。他方、認証部２０３は、変更指示を受信した場合（ステップＳ８１：ＹＥＳ）、認証部２０３は、変更指示に含まれる利用者ＩＤとパスワードの組み合わせを、利用者情報記憶部２３２が記憶する利用者ＩＤとパスワードの組み合わせと照合し、取得した利用者ＩＤおよびパスワードの組み合わせが正しいか否かを判定する（ステップＳ８２）。

　利用者ＩＤおよびパスワードの組み合わせが誤っている場合（ステップＳ８２：ＮＯ）、認証部２０３は、端末装置３０に利用者ＩＤおよびパスワードの組み合わせが誤っている旨の通知を送信し、処理を終了する（ステップＳ８３）。
　利用者ＩＤおよびパスワードの組み合わせが正しい場合（ステップＳ８２：ＹＥＳ）、認証部２０３は、当該利用者ＩＤに関連付けられた権限情報がアドミニストレータ権限を示すか、または権限情報がマネージャ権限を示しかつ対象となる作業車両１０の所有者であることを示すかのいずれかであるか否かを判定する（ステップＳ８４）。利用者ＩＤに係る権限情報がアドミニストレータ権限もしくはマネージャ権限を示さないか、または権限情報がマネージャ権限を示すが対象となる作業車両１０の所有者でないかのいずれかである場合（ステップＳ８４：ＮＯ）、認証部２０３は、端末装置３０に設定情報の登録権限がない旨の通知を送信し（ステップＳ８５）、処理を終了する。

　利用者ＩＤに係る権限情報がアドミニストレータ権限を示すか、または権限情報がマネージャ権限を示しかつ対象となる作業車両１０の所有者であるかのいずれかである場合（ステップＳ８４：ＹＥＳ）、設定情報生成部２０１は、新たに設定情報を生成する（ステップＳ８６）。このとき、設定情報生成部２０１は、生成した設定情報に一意の識別情報である設定情報ＩＤを生成する。次に、設定情報登録部２０２は、広域ネットワークＷを介して、登録指示に含まれる作業車両ＩＤが示す作業車両１０に生成した設定情報の変更指示を送信する（ステップＳ８７）。変更指示には生成した設定情報が含まれる。設定情報登録部２０２は、変更指示の送信先の作業車両ＩＤに関連付けて設定情報記憶部２３１および記憶部１２１に記憶される設定情報ＩＤおよび設定情報を、ステップＳ８６で生成した設定情報ＩＤおよび設定情報に書き換える（ステップＳ８８）。

　変更通知部２１０は、配布情報記憶部２３３から、変更直前の設定情報の設定情報ＩＤに関連付けられた利用者ＩＤを特定する（ステップＳ８９）。変更通知部２１０は、利用者情報記憶部２３２から特定した利用者ＩＤに関連付けられたメールアドレスを読み出し、当該メールアドレスを宛先として、設定情報の変更通知を送信する（ステップＳ９０）。これにより、変更直前の設定情報を用いて作業車両１０にアクセスしていた利用者は、作業車両１０の設定情報が変更されたことを知ることができる。なお、利用者が管理グループから外れると、当該利用者に係る情報が利用者情報記憶部２３２から削除されるため、変更直前の設定情報の設定情報ＩＤに関連付けられた利用者ＩＤに係る利用者のうち、既に管理グループから外れている利用者には、設定情報の変更通知が送信されない。これにより、管理グループから外れた利用者が変更後の設定情報を取得することを防ぐことができる。

《作用・効果》
　このように、第１の実施形態に係る通信監視装置２０は、作業車両１０に係る設定情報の配布先の利用者ＩＤを含む配布情報と、当該作業車両１０にアクセスした利用者の利用者ＩＤを含むアクセス情報とを比較して不正アクセスの有無を判定する。これにより、通信監視装置２０は、設定情報を配布していない利用者による作業車両１０への不正アクセスを検出することができる。

　また、第１の実施形態に係る通信監視装置２０は、不正アクセスがあると判定した場合に、管理者に不正アクセスの発生通知を送信する。これにより、管理者は、不正アクセスの有無を認識することができる。なお、他の実施形態においては、管理者以外の利用者に不正アクセスの発生通知を送信してもよい。また、他の実施形態においては、必ずしも不正アクセスの発生通知を送信しなくてもよい。

　また、第１の実施形態に係る通信監視装置２０は、作業車両へのアクセス権限を示す権限情報と、アクセス情報に含まれるアクセス内容とに基づいて、不正アクセスの有無を判定する。これにより、通信監視装置２０は、不当に取得した設定情報を用いた第三者による不正アクセスや、管理グループに属する利用者による既定の権限を越えたアクセスを検出することができる。なお、他の実施形態においては、通信監視装置２０は、権限情報に基づく不正アクセスの検出を行わず、配布情報に基づく不正アクセスの検出のみを行うものであってもよい。

　また、第１の実施形態に係る通信監視装置２０は、設定情報の変更指示に基づいて設定情報を変更し、配布情報に係る利用者に、設定情報の変更通知を送信する。これにより、不正アクセスの発生等によって設定情報が変更される場合に、それまで当該設定情報を用いてアクセスを行っていた正当な利用者に対し、設定情報の変更を通知することができる。

　また、第１の実施形態によれば、アドミニストレータ権限を持つ管理者が設定情報の更新を指示すると、通信監視装置２０は、新たな設定情報を、現在登録されている正当な利用者と、作業車両制御装置とに配布する。これにより、通信監視装置２０は、作業車両制御装置１１が不正利用者のアクセスを受け付けることを防ぐことができる。

〈第２の実施形態〉
　第１の実施形態に係る作業車両制御装置１１は、設定情報の照合によってアクセスの可否を決定する。これに対し、第２の実施形態に係る作業車両制御装置１１は、通信監視装置２０から配布情報を取得し、設定情報の照合に加え、配布情報も用いてアクセスの可否を決定する。なお、第１の実施形態と共通の構成に係る部分については説明を省略する。

　図１３は、第２の実施形態に係る作業車両制御装置の構成を示す概略ブロック図である。
　第２の実施形態に係る作業車両制御装置１１は、プロセッサ１１１、メインメモリ１１２、ストレージ１１３、インタフェース１１４を備えるコンピュータである。ストレージ１１３は、通信監視プログラムＰ１を記憶する。プロセッサ１１１は、通信監視プログラムＰ１をストレージ１１３から読み出してメインメモリ１１２に展開し、通信監視プログラムＰ１に従った処理を実行する。作業車両制御装置１１は、インタフェース１１４を介して広域ネットワークＷに接続され、また近距離無線通信Ｎによる通信を行う。また作業車両制御装置１１は、インタフェース１１４を介して図示しない入出力装置に接続される。

　ストレージ１１３の例としては、ＨＤＤ、ＳＳＤ、磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、半導体メモリ等が挙げられる。ストレージ１１３は、作業車両制御装置１１のバスに直接接続された内部メディアであってもよいし、インタフェース１１４を介して作業車両制御装置１１に接続される外部メディアであってもよい。ストレージ１１３は、一時的でない有形の記憶媒体である。
　ストレージ１１３は、設定情報記憶部１１３１、配布情報記憶部１１３２、アクセス情報記憶部１１３３としての記憶領域を有する。設定情報記憶部１１３１は、通信監視装置２０から受信した登録指示に含まれる設定情報を記憶する。配布情報記憶部１１３２は、通信監視装置２０から受信した配布情報を記憶する。アクセス情報記憶部１１３３は、端末装置３０からのアクセス内容と、利用者ＩＤとを関連付けたアクセス情報を記憶する。

　プロセッサ１１１は、通信監視プログラムＰ１の実行により、設定情報受信部１１０１、配布情報取得部１１０２、アクセス情報取得部１１０３、設定情報照合部１１０４、不正判定部１１０５、アクセス許可部１１０６を備える。

　設定情報受信部１１０１は、通信監視装置２０から設定情報の登録指示および変更指示を受信する。設定情報受信部１１０１は、受信した指示に含まれる設定情報を、設定情報記憶部１１３１に記憶させる。
　配布情報取得部１１０２は、通信監視装置２０から当該作業車両制御装置１１に係る配布情報を取得する。配布情報取得部１１０２は、取得した配布情報を、配布情報記憶部１１３２に記憶させる。

　アクセス情報取得部１１０３は、端末装置３０から設定情報および利用者ＩＤを含むアクセス要求を取得する。アクセス要求は、アクセス情報の一例である。
　設定情報照合部１１０４は、アクセス情報取得部１１０３が取得したアクセス情報に含まれる設定情報と、設定情報記憶部１１３１が記憶する設定情報とを照合する。
　不正判定部１１０５は、アクセス情報取得部１１０３が取得したアクセス情報に含まれる利用者ＩＤと、配布情報記憶部１１３２が記憶する配布情報とを照合することで、不正アクセスの有無を判定する。
　アクセス許可部１１０６は、アクセス情報に係る設定情報が正しく、かつアクセス情報に含まれる利用者ＩＤに対して設定情報が配布されている場合に、端末装置３０からのアクセスを許可する。他方、アクセス許可部１１０６は、不正判定部１１０５によって端末装置３０からのアクセスが不正アクセスであると判定された場合に、当該端末装置３０からのアクセスを禁止する。つまり、アクセス許可部１１０６は、アクセス禁止部の一例である。

《通信監視システムの動作》
　通信監視装置２０は、端末装置３０に設定情報を配布するたびに、当該設定情報に係る作業車両１０に配布情報を送信する。これにより、作業車両制御装置１１の配布情報取得部１１０２は、配布情報記憶部１１３２が記憶する配布情報を最新の状態に保つ。

　図１４は、第２の実施形態に係る作業車両と端末装置との通信処理を示すシーケンス図である。
　作業車両１０のオペレータは、端末装置３０と作業車両１０とを近距離無線通信Ｎで接続させるために、端末装置３０を操作し、接続先の作業車両１０を選択する（ステップＳ１４１）。端末装置３０は、選択された作業車両１０に係る設定情報を内部の記憶装置から読み出し、当該設定情報と利用者ＩＤとを含むアクセス要求を近距離無線通信Ｎによって作業車両１０に送信する（ステップＳ１４２）。作業車両制御装置１１のアクセス情報取得部１１０３がアクセス要求を取得すると、設定情報照合部１１０４は、設定情報記憶部１１３１が記憶する設定情報とアクセス要求に含まれる設定情報とを照会し、設定情報が正しいか否かを判定する（ステップＳ１４３）。設定情報が誤っている場合（ステップＳ１４３：ＮＯ）、アクセス許可部１１０６は、設定情報が誤っている旨の通知を端末装置３０に送信し（ステップＳ１４４）、作業車両制御装置１１へのアクセスを許可せずに処理を終了する。

　他方、設定情報が正しい場合（ステップＳ１４３：ＹＥＳ）、不正判定部１１０５は、アクセス要求に含まれる利用者ＩＤが、配布情報記憶部１１３２が記憶する配布情報に含まれるか否かを判定する（ステップＳ１４５）。不正判定部１１０５は、アクセス要求に含まれる利用者ＩＤが配布情報に含まれない場合（ステップＳ１４５：ＮＯ）、当該アクセスが不正アクセスであると判定する（ステップＳ１４６）。アクセス許可部１１０６は、不正アクセスである旨の通知を端末装置３０および通信監視装置２０に送信し（ステップＳ１４７）、作業車両制御装置１１へのアクセスを禁止し（ステップＳ１４８）、処理を終了する。

　他方、アクセス要求に含まれる利用者ＩＤが配布情報に含まれる場合（ステップＳ１４５：ＹＥＳ）、不正判定部１１０５は、当該アクセスが正当なアクセスであると判定する（ステップＳ１４９）。アクセス許可部１１０６は、端末装置３０からのアクセスを許可する（ステップＳ１５０）。以降、端末装置３０は、作業車両制御装置１１に、オペレータの操作に基づく稼動情報の収集の指令や、選択指令の入力（リクエスト）を近距離無線通信Ｎで送信する（ステップＳ１５１）。作業車両制御装置１１は、端末装置３０からのリクエストに対して、収集中の稼動情報や、オペレータへのメッセージ（レスポンス）を近距離無線通信Ｎで端末装置３０に送信する（ステップＳ１５２）。このとき、作業車両制御装置１１は、利用者ＩＤとリクエストおよびレスポンスの内容とを関連付けたアクセス情報を内部の記憶装置に記憶させる（ステップＳ１５３）。

《作用・効果》
　このように、第２の実施形態に係る作業車両制御装置１１は、作業車両１０に係る設定情報の配布先の利用者ＩＤを含む配布情報と、当該作業車両１０にアクセスする利用者の利用者ＩＤを含むアクセス要求とを比較して不正アクセスの有無を判定する。これにより、作業車両制御装置１１は、設定情報を配布していない利用者による作業車両１０への不正アクセスを検出することができる。すなわち、第２の実施形態に係る作業車両制御装置１１は、通信監視装置として機能する。

　また、第２の実施形態に係る作業車両制御装置１１は、不正アクセスがあると判定された場合に、不正アクセスに係る利用者からのアクセスを禁止する。これにより、作業車両制御装置１１は、不正アクセスを事前にブロックすることができる。

〈他の実施形態〉
　以上、図面を参照して一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、様々な設計変更等をすることが可能である。
　例えば、上述した実施形態に係る通信監視システム１においては、通信監視装置２０が設定情報の作成および配布、ならびに不正アクセスの判定を行うが、これに限られない。例えば他の実施形態においては、他の装置が設定情報の作成および配布を行い、通信監視装置２０が当該他の装置から配布情報を取得することで不正アクセスの判定を行ってもよい。

　上述の実施形態に係る通信監視システム１においては、端末装置３０が、通信監視装置２０による認証に用いる利用者ＩＤを用いて作業車両１０にアクセスするが、これに限られない。例えば、他の実施形態においては、通信監視装置２０が設定情報の配布の際に、利用者を一意に特定可能な他の利用者ＩＤ（例えば、認証に用いる利用者ＩＤをハッシュ関数で変化させたもの）を通知し、端末装置３０が当該他の利用者ＩＤを用いて作業車両１０にアクセスしてもよい。

　また、上述した実施形態に係る作業車両制御装置１１と通信監視装置２０は、広域ネットワークＷを介して接続されるが、他の実施形態ではこれに限られない。例えば、他の実施形態に係る作業車両制御装置１１と通信監視装置２０は、無線ＬＡＮなどの他の通信手段を介して接続されてもよい。

　上述した実施形態に係る通信監視装置２０または作業車両制御装置１１においては、通信監視プログラムがストレージ１１３に格納される場合について説明したが、これに限られない。例えば、他の実施形態においては、通信監視プログラムが通信回線によって通信監視装置２０または作業車両制御装置１１に配信されるものであってもよい。この場合、配信を受けた通信監視装置２０または作業車両制御装置１１が当該通信監視プログラムをメインメモリに展開し、上記処理を実行する。

　また、通信監視プログラムは、上述した機能の一部を実現するためのものであってもよい。例えば、通信監視プログラムは、上述した機能をストレージに既に記憶されている他の通信監視プログラムとの組み合わせ、または他の装置に実装された他の通信監視プログラムとの組み合わせで実現するものであってもよい。

　また、通信監視装置２０または作業車両制御装置１１は、上記構成に加えて、または上記構成に代えてＰＬＤ（Programmable Logic Device）を備えてもよい。ＰＬＤの例としては、ＰＡＬ(Programmable Array Logic)、ＧＡＬ(Generic Array Logic)、ＣＰＬＤ(Complex Programmable Logic Device)、ＦＰＧＡ（Field Programmable Gate Array）が挙げられる。この場合、プロセッサによって実現される機能の一部が当該ＰＬＤによって実現されてよい。

　１…通信監視システム　１０…作業車両　２０…通信監視装置　３０…端末装置　２０１…設定情報生成部　２０２…設定情報登録部　２０３…認証部　２０４…設定情報配布部　２０５…アクセス情報取得部　２０６…配布情報取得部　２０７…権限情報取得部　２０８…不正判定部　２０９…不正通知部　２１０…変更通知部　２３１…設定情報記憶部　２３２…利用者情報記憶部　２３３…配布情報記憶部

Claims

　作業車両へのアクセスに用いられる設定情報と、前記設定情報が配布された利用者の識別情報とを含む配布情報を取得する配布情報取得部と、
　前記作業車両にアクセスした前記利用者の識別情報を含むアクセス情報を取得するアクセス情報取得部と、
　前記アクセス情報に係る前記識別情報と前記配布情報に係る前記識別情報とを比較して不正アクセスの有無を判定する不正判定部と
　を備える通信監視装置。
　不正アクセスがあると判定された場合に、不正アクセスの発生通知を送信する不正通知部を備える請求項１に記載の通信監視装置。
　前記利用者の前記作業車両へのアクセス権限を示す権限情報を取得する権限情報取得部を備え、
　前記アクセス情報は、前記利用者によるアクセス内容を含み、
　前記不正判定部は、前記アクセス情報に係る前記アクセス内容と前記権限情報に係る前記アクセス権限とに基づいて、不正アクセスの有無を判定する
　請求項１または請求項２に記載の通信監視装置。
　前記設定情報の変更指示に基づいて前記設定情報を変更する設定情報変更部と、
　前記配布情報に係る前記利用者に、前記設定情報の変更通知を送信する変更通知部と　を備える請求項１から請求項３のいずれか１項に記載の通信監視装置。
　不正アクセスがあると判定された場合に、前記不正アクセスに係る前記利用者からのアクセスを禁止するアクセス禁止部を備える請求項１から請求項４のいずれか１項に通信監視装置。
　作業車両と、
　前記作業車両への不正アクセスを検出する通信監視装置と
　を備え、
　前記作業車両は、
　所定の設定情報によるアクセスを受け付ける通信部と、
　前記作業車両にアクセスした利用者の識別情報を含むアクセス情報を前記通信監視装置に送信するアクセス情報送信部と、
　を備え、
　前記通信監視装置は、
　前記設定情報と、前記設定情報が配布された利用者の識別情報との配布先の利用者の識別情報を含む配布情報を取得する配布情報取得部と、
　前記作業車両から前記アクセス情報を取得するアクセス情報取得部と、
　前記アクセス情報に係る前記識別情報と前記配布情報に係る前記識別情報とを比較して不正アクセスの有無を判定する不正判定部と
　を備える
　通信監視システム。
　作業車両へのアクセスに用いられる設定情報を、アクセスを許可する端末装置に送信するステップと、
　前記作業車両にアクセスした利用者の識別情報を含むアクセス情報を取得するステップと、
　前記設定情報を送信した前記端末装置に関連付けられていない利用者が前記作業車両にアクセスした場合に、不正アクセスの発生通知を送信するステップと
　を備える通信監視方法。