WO2019123523A1

WO2019123523A1 - 通信装置、通信システム、通信制御方法、プログラム

Info

Publication number: WO2019123523A1
Application number: PCT/JP2017/045379
Authority: WO
Inventors: 陽一郎森田; かや人関谷
Original assignee: 日本電気株式会社
Priority date: 2017-12-18
Filing date: 2017-12-18
Publication date: 2019-06-27
Also published as: JP7156310B2; US20200359309A1; US11297563B2; JPWO2019123523A1

Abstract

本発明は、複数の系統が通信経路を介して計装システムに接続する場合に、ある系統の接続が他の系統に与える影響を排除する仕組みを自動で設定可能とする。第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する。

Description

通信装置、通信システム、通信制御方法、プログラム

　本発明は通信装置、通信システム、通信制御方法、プログラムに関する。

　ＰＬＣ（Programmable Logic Controller）などを用いた計装システムに対しては、一般に、２つの入出力系統が接続される。図１は、関連技術の計装システムの典型例を模式的に説明する図である。図１において、系統１（１）はシステムに備え付けのハードウェアやソフトウェアである。これらは、稼働状況を観測し、正常な稼働を維持するため、常に、予め定められた条件に従って、情報収集や命令伝達を行う。

　系統２（２）は、例えば保守担当者等が保守点検時等にシステムに接続するハードウェア機器やソフトウェアである。これらは、設定変更や機器交換などのため、一時的に、保守員等の指示に従って、情報収集や命令伝達を行う。なお、以下では、系統１（１）、系統２（２）について、図面の参照符号１、２は付けず、系統１、系統２という。

　系統１、２の入出力の制御方針には、下記の違いがある。系統１は、計装システム３の正常稼働にとって常に必要な入出力である。これらは、例えばシステムの可用性を最重要視する観点から、仮に何らかの問題が発生した場合でも、入出力を維持し、基本的に、計装システム３と系統１間の通信は、原則、遮断はしない。

　系統２は、一時的な作業にとって必要な入出力であり、通常時は不要な入出力である。系統２は、システム保護などのセキュリティを重視する観点から、一時的に通過を許可し、通常時は、遮断するというアクセス制御を行う。

　系統１、２の入出力に通信経路を提供するネットワークリソース（ネットワークスイッチなどのハードウェアやソフトウェア）は、コストや、設置にかかる容積などの都合上、必ずしも独立していず、一部または全部を系統間で共有する場合がある。

　図２Ａは、このような構成例を説明する図である（なお、図２Ａは、本発明の一形態の説明においても参照される）。図２Ａに示す例では、共有される通信経路の一部として、ネットワークスイッチ（単に、「スイッチ」という）等の通信機器４が、系統１と系統２で共有されている。なお、共有される通信経路としては、例えばスイッチ間の通信回線、通信ノード等を含むようにしてもよい。以下では、説明の簡単化のため、通信機器４をスイッチとした例について説明する。

　系統２は、例えば保守端末（携帯型情報端末又はＰＣ（Personal Computer）等）を含む。保守作業時に、スイッチ４に接続して、ＰＬＣ、又はＰＬＣとフィールドバスを介して接続する現場機器等のモニタ、パラメータ設定等の調整を行う。

　図２Ｂは、図２Ａにおけるスイッチ４におけるアクセスコントロール機能を説明する図である。なお、図２Ｂには、説明の容易化のため、１台のスイッチ４が例示されているが、スイッチは、複数を備えてもよいことは勿論である。

　スイッチ４におけるアクセスコントロール機能５は、系統１、２と、計装システム３間の通信の許可、遮断を行う。なお、アクセスコントロール機能５は例えばパケットフィルタ等で構成されてもよい。アクセスコントロール機能５は、例えばアクセスコントロールリスト（ＡＣＬ）に設定された規則（「フィルタ規則」ともいう）に基づき、スイッチ４で受信したパケットの許可、遮断等の制御を行う。ＡＣＬには、例えば、パケット（フレーム）の所定のヘッダ情報と照合される条件と、該条件に一致した場合に当該パケットに対して行われる動作（ＡＣＴＩＯＮ：例えば、パケットの通過の許可、遮断（廃棄）等）とを規定した規則が設定される。

　スイッチ４において、系統２からのアクセスは、セキュリティポリシー等に基づき、アクセスコントロールリスト（ＡＣＬ）に設定された規則（図２Ｂのaccess-list #2）にしたがって、計装システム３へのパケット転送の許可・遮断の制御が行われる。

　ＡＣＬの規則は同じ番号のものを複数設定可能とされ、例えば、先に記述したもの程優先度を高くしてもよい。この場合、スイッチ４でパケットを受信すると、アクセスコントロール機能５（パケットフィルタ等）は、ＡＣＬの規則を上から順番に判断し、マッチした条件に対応する動作を実行される。ＡＣＬの最後の規則までマッチしなかった場合は、暗黙のdeny（default-deny）により、パケットは遮断される。すなわち、ＡＣＬに明示的に許可されていないものはすべて拒否する（これをdefault-denyポリシーともいう）。暗黙のdenyの環境では、ＡＣＬに何も規則がない場合、事実上、系統２はネットワークから遮断される（系統２からの計装システム３へのアクセスは遮断される）。このように、暗黙のdenyでは、ＡＣＬにセキュリティポリシーの規則を記述しない限り、通信は許可されないが、逆に、明示されていないものを許可とする暗黙の許可（default-permit）に、設定を変更するようにしてもよい。

　図２Ｂに示す例では、通常動作時、ＡＣＬ１によるアクセス制御が行われ、系統１からのパケットは全て許可とされる（図２Ｂのaccess-list #1 permit any)。系統２からのアクセスは遮断される。なお、図２Ｂの端末（ホスト）１－１、１－２の数字198.14.1.1、198.14.2.1等はＩＰｖ４（Internet Protocol version 4）のIP（Internet Protocol）アドレスを表している（ただし、数値は架空の値である）。なお、アドレス等として，ＩＰｖ４以外 (ＩＰｖ６や，計装システム向けプロトコル等) のアドレス等を用いてもよいことは勿論である。

　図２Ｂにおいて、ＡＣＬ２は、系統２からの計装システム３の保守作業を可能とするためにスイッチ４に設定されるＡＣＬの一例を示している。保守作業時には、スイッチ４において、ＡＣＬ２に基づくアクセス制御が行われ、access-list #2で許可（permit）された系統２の端末からのパケットが許可される。ＡＣＬ２では、系統１からのパケットは全て許可とされる。なお、図２Ｂでは、ＡＣＬにおいて、パケットの送信元ＩＰ（Internet Protocol）アドレス等に基づくアクセスコントロールを例示しているが、ＯＳＩ（Open Systems Interconnection）参照モデル（７階層）のレイヤ２のスイッチ等において、スイッチ４のポート単位に許可、遮断を制御するポートベースのＡＣＬやＶＬＡN（Virtual Local Area Network）単位に、通過、許可を制御するＶＬＡＮベースのＡＣＬ等を用いてもよい。

　ところで、図２Ａ、図２Ｂに例示したシステム構成においては、系統１と系統２が通信経路を共有しているため、メンテナンス系である系統２の入出力の制御が、系統１に影響を与える可能性がある。

　系統２の入出力の制御が、系統１に影響を与えることは、システムの可用性の観点から許容できない。

　このため、系統２に対する制御が、系統１に影響しない仕組みが必要となる。例えば、通信経路を提供するスイッチ４などの機器や、通信回線等の部分的な故障により、系統２が使用するポートが使用不能となり、スイッチ４の別のポートへ変更するような場合において、系統１に影響する可能性を排除する仕組みが必要となる。あるいは、保守要員が、系統２の保守端末を、本来接続すべきポートとは異なるポートに接続して保守作業等を行おうとした場合にも、系統１に影響する可能性を排除する観点から、系統２からのアクセスを遮断することが好ましい。

　以上のように、スイッチ４において、系統２の接続時に、系統１に影響する可能性を排除するための仕組みが必要となる。例えば、スイッチ４内のＡＣＬを書き換える作業を人手で行おうとした場合、スイッチ４のポートの数、ネットワーク内のスイッチ４の個数によって、多大の工数を要する。このため、迅速な保守の実現を困難としている。また、ネットワーク構成の把握が必要とされ、系統１の可用性に影響を及ぼさないことを検証することも難しい。

　なお、特許文献１には、複数のリンクと相互接続された複数の転送デバイスを含むネットワークを介して、新規データストリームを送信元から宛先へルーティングするためのコンピュータ実施方法が開示されている。この方法は、
（ａ）新規データストリームのために複数の前記相互接続された転送デバイスを通るパスを作成するよう求める要求を、制御デバイスで受信する段階と、
（ｂ）前記新規データストリームのタイプを決定する段階と、
（ｃ）決定された前記タイプに基づいて、前記決定されたタイプを有する複数のデータストリームの複数の使用履歴特性を決定する段階と、
（ｄ）前記決定されたタイプを有する複数のデータストリームの前記複数の使用履歴特性に基づいて、前記複数の相互接続された転送デバイスを通る、前記送信元から前記宛先への、要求された前記パスを決定する段階と、
（ｅ）前記パスに沿ったそれぞれの転送デバイスについて、前記転送デバイスのどのポートが、（ｄ）で決定された前記パスに沿って前記新規データストリームからのデータをルーティングするかを示すルーティングテーブルを決定する段階と、
（ｆ）それぞれの前記転送デバイスの各々について、（ｅ）で決定された前記ルーティングテーブルを送信し、前記転送デバイスを構成する段階と、を備える。

　また、特許文献２には、ネットワークを介して接続され、互いに異なるゾーンに区分けされている安全計装システム及び上位システムを備え、前記ゾーン毎に設けられ、自ゾーンに対する外部からのサイバー攻撃を検知する検知手段と、前記検知手段の検知結果に基づいて、前記ゾーン間の通信或いは前記ゾーン内の通信を制限する対策を行う防御手段と、を備えた統合生産システムが開示されている。

　しかしながら、特許文献１、２には、系統１と系統２が通信経路を共有する場合であっても、系統２に対する制御が、系統１に影響しないようにする手段は開示されていない。

特表２０１７－５１１０６８号公報特開２０１７－１１１５４０号公報

　前述したように、系統１と系統２が通信経路を共有する場合であっても、系統２に対する制御が、系統１に影響しない仕組みが必要となる。例えば、系統１と系統２が通信経路を共有可能とする構成において、系統２が系統１の通信性能、動作特性、可用性（システムが継続して稼働できる能力）等に影響を与える可能性を排除する機構を自動設定することが望まれる。

　したがって、本発明は、上記課題に鑑みて創案されたものであって、その目的は、複数の系統が通信経路を介して計装システムに接続する場合に、ある系統の接続が他の系統に与える影響を排除する仕組みを自動で設定可能とする装置、システム、方法、プログラムを提供することにある。

　本発明の１つの形態によれば、第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する制御手段を備えた、ことを特徴とする通信装置が提供される。

　本発明の１つの形態によれば、前記第１の系統の使用履歴第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統の使用履歴第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する手段を備えた通信装置と、前記第１の系統の前記使用履歴を記憶する手段と、を備えた通信システムが提供される。

　本発明の１つの形態によれば、前記第１の系統の使用履歴第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統の使用履歴第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する通信制御方法が提供される。

　本発明の１つの形態によれば、前記第１の系統の使用履歴第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統の使用履歴第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する処理をコンピュータに実行させるプログラムが提供される。

　本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体（例えばＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、又は、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM））等の半導体ストレージ、ＨＤＤ（Hard Disk Drive）、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disc）等の非一時的コンピュータ読み出し可能な記録媒体（non-transitory computer readable recording medium）が提供される。

　本発明によれば、複数の系統が通信経路を介して計装システムに接続する場合に、ある系統の接続が他の系統に与える影響を排除する仕組みを自動で設定可能としている。

関連技術の典型的なシステム構成を説明する図である。関連技術及び本発明の一形態を説明する図である。関連技術を説明する図である。本発明の一実施形態を説明する図である。本発明の一実施形態を説明する図である。本発明の一実施形態を説明する図である。本発明の一実施形態の変形例を説明する図である。本発明の一実施形態の変形例を説明する図である。本発明の一実施形態の手順を説明する流れ図である。本発明の一形態のコンピュータ装置の構成を説明する図である。

　本発明の実施形態について説明する。本発明は、例えば図２Ａ、図２Ｂ等のシステム構成に対して、適用可能とされる。本発明の一形態によれば、通信機器４におけるアクセスコントロール機能５が、図２Ａ、図２Ｂ等を参照して説明した課題を解決する構成とされている。本発明の一形態によれば、図２Ａにおいて、通信機器４（通信装置）は、系統１による通信経路の使用履歴に基づき、利用可能は通信経路のうち、系統１が使用した通信経路を除いた通信経路を、系統２の設定範囲とする。すなわち、通信機器４は、系統１が使用した通信経路については系統２による使用を不許可とし、系統２に対して、系統１が使用した通信経路を除いた通信経路に対して、系統２の設定範囲を設定する制御を行う。この設定範囲は、系統２からのアクセスを許可とするか、あるいは拒否するアクセス制御を行うようにしてもよい。

＜実施形態＞
　図３は、本発明の一実施形態を説明する図である。図３は、基本的に、図２Ｂの構成に対応している。図３において、系統１、系統２、スイッチ４、計装システム３は、図２Ａ、図２Ｂの系統１、系統２、通信機器４、計装システム３に対応している。図３において、通信機器制御設定部６は、スイッチ４において、系統１が使用した通信経路（例えばポート）は、系統２では使用できないようにスイッチ４に対して設定する。なお、通信機器４と通信機器制御設定部６を一つのユニットとして構成してもよいし、通信手段を介して接続する別のユニットとして構成してもよい。

　なお、計装システム３には、３台のＰＬＣ１－３（３１－１～３１－３）と、これらに接続する機器（フィールド機器）３２が例示されている。ＰＬＣ１－３（３１－１～３１－３）は、ＮＩＣ（Network Interface Card）３３－１～３３－３によりスイッチ４のポートＤ、Ｅ、Ｆにそれぞれ接続する。なお、スイッチ４は、受信したフレームの転送先のポートを決定するためのテーブル（ポートとその先に接続するＭＡＣ(Media Access Control)アドレスの対応表（ＭＡＣアドレステーブル））を有する。スイッチ４は、受信したフレームの宛先ＭＡＣアドレスをキーとしてＭＡＣアドレステーブルを検索して出力ポートを決定する。なお、宛先アドレスがＭＡＣアドレステーブルに登録されていない場合は、例えば受信ポートを除く全てのポートに当該フレームを出力する（フラッディング）。なお、ＰＬＣ等の台数は３に制限されるものでないことは勿論である。スイッチ４には、他の機器が接続される構成であってもよく、また、ＰＬＣから、マルチドロップ方式、Ｔ分岐方式、ツリー分岐のバス接続を介して機器に接続する構成としてもよい。また、スイッチ４は、簡単のため１台が例示されているが、複数台備えた構成としてもよい。

　特に制限されないが、スイッチ４は、例えばポート（レイヤ２スイッチのポート）単位でのアクセス制御を行うようにしてもよい（ポートベースのＡＣＬ）。

　この場合、スイッチ４のポートに着信するトラフィック（フレーム）に対して、ポート単位に、ＡＣＬに指定されたアクセス制御を行うことができる。通信機器制御設定部６では、スイッチ４のポートのうち、系統１が使用したポートについて、系統２からのアクセスを不許可とする規則を含むＡＣＬをスイッチ４に対して設定する。このため、系統２の接続が系統１の可用性等に与える影響を排除する仕組みを自動で設定することができる。

　あるいは、スイッチ４において、ポートＶＬＡＮに基づくアクセス制御を行うようにしてもよい。すなわち、スイッチ４のポートにＶＬＡＮ　ＩＤ（Identifier)（ＶＬＡＮ番号）を割り付け、ＶＬＡＮ毎のアクセス制御を行うようにしてもよい。この場合、スイッチ４のポートにパケット（フレーム）が到着すると、該パケット（フレーム）の属するＶＬＡＮ番号を判別し、スイッチ４は、該ポートに設定されたＶＬＡＮ番号（ＶＬＡＮ　ＩＤ）に一致する場合、出力ポート（同一のＶＬＡＮ番号のポート）にパケット（フレーム）を転送する。パケット（フレーム）の属するＶＬＡＮ番号とポートに設定されたＶＬＡＮ番号（ＶＬＡＮ　ＩＤ）が不一致の場合、パケット（フレーム）は廃棄される。

　通信機器制御設定部６では、系統１によるスイッチ４のポートの使用履歴に基づき、スイッチ４におけるポートのＶＬＡＮ番号の割り付け、更新等を行うようにしてもよい。図４のスイッチ４において、例えばポートＡ、Ｂ、Ｄ、Ｅを、系統１のＶＬＡＮ、ポートＣ、Ｆを系統２のＶＬＡＮとして割り当てるようにしてもよい。この場合、系統１と、スイッチ４のポートＡ、Ｂ、Ｄ、Ｅと、計装システム３のノード（例えばＮＩＣ３３－１、３３－２等）が１つのＶＬＡＮを構成し、系統２とスイッチ４のポートＣと計装システム３のノード（例えばＮＩＣ３３－３等）が別のＶＬＡＮ２を構成する。その結果、系統２からは、ＶＬＡＮ２はアクセスできない。

　あるいは、スイッチ４が、レイヤ２の中継を行う場合、ポートが接続するＭＡＣアドレスに基づきアクセス制御を行うようにしてもよい。例えば本来、ポートＣに接続する系統２の保守端末が、ポートＢにアクセスした場合、系統２の保守端末のＭＡＣアドレスが当該ポートＢに対して割り付けられたＭＡＣアドレスと一致しないため、系統２の保守端末からポートＢに送信されたフレームは廃棄される。

　あるいは、例えば、系統１においてスイッチ４に接続するノードのＭＡＣアドレスと、計装システム３のＰＬＣ１、ＰＬＣ２のＮＩＣ３３－１、３３－２のＭＡＣアドレスを一つのＶＬＡＮに含め、系統２の保守端末と、該保守端末が接続可能なＰＬＣ３のＮＩＣ３３－３のＭＡＣアドレスを別のＶＬＡＮとし、系統２をＰＬＣ１、２から切り離すようにしてもよい。この場合、系統２の保守端末等がＰＬＣ１やＰＬＣ２にアクセスしようとしても、スイッチ４において拒否される。すなわち、系統２の保守端末等から計装システム３のＰＬＣ１やＰＬＣ２宛てのフレームはスイッチ４において廃棄される。

　あるいは、スイッチ４が、レイヤ３の中継を行う場合、図２ＢのＡＣＬ１、２等に示したように、ポートで受信したパケットの送信元ＩＰアドレスに基づき、アクセス制御を行うようにしてもよい。この場合、該送信元ＩＰアドレスのノードからのパケットは、別のスイッチ（例えばレイヤ３スイッチ）等を介して、該スイッチ４に到着するものであってもよい。

　図４は、本発明の一実施形態を説明する図である。図４を参照すると、系統２の制御設定部７は、系統２に対するアクセス制御の設定を行う。系統２の制御設定部７は、系統１が使用中、又は使用したことのある通信経路を、系統２の設定範囲から外す。なお、系統２の設定範囲は、系統１に影響を与えずに、系統２に都合等によって、系統２に対して許可（permit）も拒否（deny）も設定可能な範囲である。通信機器制御設定部６は、スイッチ等の通信機器４において、系統２で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするように通信機器４を設定する。

　図４では、系統２は通信機器４のポートＰ３への接続は不許可とされる。例えば、系統２の保守端末を通信機器４のポートＰ３に接続して通信を行う場合、系統２の保守端末からのフレーム（パケット）は遮断（廃棄）される。

　図５は、図４の実施形態の一例を説明する図である。図５を参照すると、図４の構成に加えて、系統１使用履歴記憶部８が設けられている。系統１使用履歴記憶部８は、系統１による通信経路の使用履歴を記憶する。系統１使用履歴記憶部８はＲＡＭ（Random Access Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable Read-Only Memory）、ＵＳＢ（Universal Serial Bus）メモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等であってもよい。

　系統１使用履歴記憶部８は、系統１の不図示のノード装置（端末）からの通信機器４のポートへのアクセスの履歴を記憶する。系統１の不図示のノード装置（端末）からの通信機器４のポートへのアクセスは、ポートから受信したフレーム（パケット）の送信元アドレスであるＭＡＣアドレス（ＩＰアドレス）等に基づき、履歴を集計するようにしてもよい。

　特に制限されないが、使用履歴は、例えば、フレーム（パケット）のヘッダから抽出された、
・送信元ＭＡＣアドレス、
・宛先ＭＡＣアドレス、
・プロトコル、
・送信元ＩＰアドレス、
・宛先ＩＰアドレス、
・上位プロトコルがＴＣＰ（Transmission Control Protocol）とＵＤＰ（User Datagram Protocol）の場合、送信元ポート番号、宛先ポート番号
に加えて、
・ログ時刻、
・送信・受信インタフェース、
・同一フローのパケット数、
等を記憶するようにしてもよい。

　送信・受信インタフェースとして、
・レイヤ２での中継の場合、ＩＮとＯＵＴのポート番号やＶＬＡＮ　ＩＤ等、
・レイヤ３での中継の場合、ＶＬＡＮ　ＩＤ等、
を記憶するようにしてもよい。

　なお、ポート番号等のポートＩＤ（Identifier）のかわりに、アリアス名等、論理的な要素で記憶管理してもよい。

　使用履歴の取得は、通信機器４が具備するログ機能を利用してもよい。あるいは、系統１側の情報収集、命令伝達の履歴を時系列で記憶する機能（例えば「ヒストリアン」と称呼される）を用いて取得するようにしてもよい。あるいは、パケットキャプチャ機能を用いて、系統１と通信機器４との間で転送されるパケット（フレーム）を収集するようにしてもよい。

　系統１使用履歴記憶部８は、不図示のネットワーク管理装置等のストレージ装置を用いてもよい。あるいは、系統１使用履歴記憶部８は通信機器４内に備えた構成としてもよい。

　系統２の制御設定部７は、系統１使用履歴記憶部８に記憶された系統１の使用履歴を参照して、系統２で使用可能な設定範囲（図４ではポートＰ５からＰ６）を決定し、通信機器制御設定部６に通知する。通信機器制御設定部６は、系統２で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするように、例えばアクセスコントロールリスト（ＡＣＬ）を通信機器４に設定する。

　図６は、図５の構成の変形例を説明する図である。図５では、系統２の制御設定部７が、系統１の使用履歴情報に基づき、系統２の通信経路の設定範囲を決定しているが、図６の構成では、系統２の制御は、図１、図２Ａ、図２Ｂの構成等からの変更を要しない。

　図６を参照すると、通信機器制御設定部６は、系統１使用履歴記憶部８と系統２の制御設定部７からの情報に基づき、系統２で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするようにＡＣＬを生成し、通信機器４に対して設定する。

　図７は、図５の構成の変形例を説明する図である。図７では、通信機器制御設定選択部９を新たに備えている。通信機器制御設定選択部９は、系統２の制御設定部７の設定情報を、系統１使用履歴記憶部８の使用履歴に基づき、フィルタ機能を設定し、通信機器４内部の通信機器制御設定部６に設定する。系統２の制御は図１、図２Ａ、図２Ｂの構成等から変更しない。

　図８は、本発明の一実施形態の手順（方法）を説明する図である。通信機器４の利用可能なポートを取得する（ステップＳ１）。例えば通信機器４のＭＡＣアドレステーブルを参照して、現在、接続先のＭＡＣアドレスが系統１のノードのＭＡＣアドレスであるポートは、系統２で利用可能なポートではない。また、現在、系統２のある端末があるポートに接続されている場合も、該ポートは利用可能なポートではない。この処理は系統２の制御設定部で行うようにしてもよい。

　次に、系統１の使用履歴情報を取得する（ステップＳ２）。例えば通信機器４の空きポートのうち、以前に系統１のノード（端末）に接続されたポートの情報を取得する。

　次に、利用可能な通信経路から系統１で使用した通信経路を除いた通信経路を系統２に設定可能な通信経路として選択する（ステップＳ３）。系統２の制御設定部７、通信機器制御設定部６、又は、通信機器制御設定選択部９で行われる。

　通信機器４は、系統２からのフレーム（パケット）に対して、設定範囲内でのみ許可するように制御する。

　図９は、本発明の一形態の構成を説明する図である。通信機器（スイッチ）４の機能をコンピュータ装置３００に実装してもよい。図９を参照すると、コンピュータ装置３００は、プロセッサ（ＣＰＵ（Central Processing Unit）、データ処理装置）３０１、半導体メモリ（例えばＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、又は、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM）等）、ＨＤＤ（Hard Disk Drive）、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disc）等の少なくともいずれかを含む記憶装置３０２と、通信インタフェース３０３を備えている。通信インタフェース３０３はスイッチのポートに対応し例えばＮＩＣ等で構成される。

　記憶装置３０２は、少なくとも、通信機器制御設定部６の機能を実現するプログラムを記憶する構成としてもよい。プロセッサ３０１が、該プログラムを読み出して実行することで、系統１の使用履歴に基づき、利用可能な通信経路のうち、系統１が使用した通信経路以外の通信経路を系統２に対して、設定可能（許可（permit）、拒否（deny）が設定可能）な通信経路とする処理を実行する。なお、記憶装置３０２には、通信機器４で管理するＭＡＣアドレステーブル等を記憶するようにしてもよい。また、系統１使用履歴記憶部８を記憶装置３０２に設けるようにしてもよい。

　本実施形態によれば、系統２の接続制御が、系統１に影響しない仕組みの提供が可能となる。これにより、系統２の接続制御が系統１に対する影響を排除するとともに、系統２に対する制御を行う機能についても、制御の度に、系統１に対する影響を考慮することなく、通常通りの制御が適用可能となる。

　この結果、本実施形態によれば、系統２の設定変更において、系統２の管理者の承認のみで実施可能となる。

　本実施形態によれば、系統２の設定変更において、系統１の管理者の承認を経る必要が無くなるか、承認は必要であるが、該変更に必要な検証等の手間を削減することを可能としている。

　したがって、系統２の設定変更について、
・前例の無い内容への変更、
・情報収集結果と連動した動的な変更、
・新しい情報収集機能の追加や削除、
・時間的・空間的に細分化された多量の設定、
・リードタイムの極端な短縮
等を可能としている。

　これにより、本実施形態によれば、系統１と系統２の制御に用いる通信機器について、物理的に分離する必要性を低下させる。その結果、論理化、ＩＴ（Intelligent Technology）化、オープン化した際の見た目による区別が付かないことに伴う問題の発生を抑制し、通信機器の論理化、ＩＴ化、共通化、集約化などの促進が可能となる。

　上記の通り、本実施形態によれば、可用性を最重要視する系統１と、システム保護などのセキュリティを重視する系統２という、異なる制御方針に基づいた、異なる系統の管理機能の共存を可能としている。

　なお、上記実施形態では、系統１と系統２の２つの系統からなるシステムについて説明したが、３つ以上の系統を含むシステムについても、上記実施形態と同様なアクセス制御を行うことが可能である。

　なお、上記の特許文献１、２の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

１　系統１
１－１、１－２　端末（ホスト）
２　系統２
３　計装システム
４　通信機器（スイッチ）
５　アクセスコントロール機能（パケットフィルタ）
６　通信機器制御設定部
７　系統２の制御設定部
８　系統１使用履歴記憶部
９　通信機器制御設定選択部

Claims

　第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する制御手段を備えた、ことを特徴とする通信装置。
　前記第１の系統の前記使用履歴に基づき、前記通信装置の利用可能な通信経路のうち、
　前記第１の系統が使用した通信経路に対して前記第２の系統によるアクセスを不許可とし、
　前記第１の系統が使用した通信経路を除いた通信経路に対して、前記第２の系統のアクセスの設定範囲とするフィルタ規則を自動生成する手段を備えるか、又は、前記手段に接続可能とされ、
　前記制御手段は、前記フィルタ規則に基づき、前記第２の系統からの通信の許可、遮断を制御する、ことを特徴とする請求項１に記載の通信装置。
　前記第１の系統は、前記計装システムの運用のための入力及び／又は出力を行い、
　前記第２の系統は、前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び／又は出力を行う保守端末を含む、ことを特徴とする請求項１又は２に記載の通信装置。
　第１、第２の系統と計装システムとの間の通信経路を提供する通信装置に関して、前記第１の系統が使用した通信経路の使用履歴を取得し、
　複数の前記通信経路のうち、前記第１の系統が使用した通信経路を前記第２の系統によるアクセスを不許可とし、前記第１の系統が使用した通信経路を除いた通信経路を、前記第２の系統によるアクセスの設定範囲として、前記通信装置に設定する、ことを特徴とする制御設定装置。
　前記第１の系統は、前記計装システムの運用のための入力及び／又は出力を行い、
　前記第２の系統は、前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び／又は出力を行う保守端末を含む、ことを特徴とする請求項４に記載の制御設定装置。
　請求項１乃至３のいずれか１項に記載の通信装置と、
　前記第１の系統の前記使用履歴を記憶する記憶装置と、
　を備えた通信システム。
　請求項４又は５に記載の制御設定装置と、
　前記第１、第２の系統と計装システムとの間の通信経路を提供する通信装置と、
　前記第１の系統の前記使用履歴を記憶する記憶装置と、
　を備えた通信システム。
　第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する、ことを特徴とする通信制御方法。
　前記第１の系統の前記使用履歴に基づき、利用可能な通信経路のうち、
　前記第１の系統が使用した通信経路に対して前記第２の系統によるアクセスを不許可とし、
　前記第１の系統が使用した通信経路を除いた通信経路を、前記第２の系統によるアクセスの設定範囲とするフィルタ規則を自動生成し、
　通信装置では、前記フィルタ規則に基づき、前記第２の系統からの通信の許可、遮断を制御する、ことを特徴とする請求項８に記載の通信制御方法。
　第１、第２の系統と計装システムとの間の通信経路を提供する通信装置に関して、前記第１の系統が使用した通信経路の使用履歴を取得し、複数の前記通信経路のうち、前記第１の系統が使用した通信経路を除いた通信経路を、前記第２の系統により使用可能な通信経路として、前記通信装置に設定する、ことを特徴とする通信制御方法。
　前記第１の系統は、前記計装システムの運用のための入力及び／又は出力を行い、
　前記第２の系統は、前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び／又は出力を行う保守端末を含む、ことを特徴とする請求項９又は１０に記載の通信制御方法。
　第１、第２の系統と計装システムとの間の通信経路に関して、前記第１の系統による通信経路の使用履歴に基づき、前記第１の系統が使用した通信経路を除いた通信経路から、前記第２の系統で使用可能な通信経路を設定する処理を、通信装置を構成するコンピュータに実行させるプログラム。
　前記第１の系統の前記使用履歴に基づき、前記通信装置の利用可能な通信経路のうち、
　前記第１の系統が使用した通信経路に対して前記第２の系統によるアクセスを不許可とし、前記第１の系統が使用した通信経路を除いた通信経路を、前記第２の系統のアクセスの設定範囲とするフィルタ規則を自動生成する処理と、
　前記フィルタ規則に基づき、前記第２の系統からの通信の許可、遮断を制御する処理と、をコンピュータに実行させる請求項１２に記載のプログラム。