WO2021260932A1

WO2021260932A1 - 分散システム、通信端末、機能復旧方法、及びプログラム

Info

Publication number: WO2021260932A1
Application number: PCT/JP2020/025306
Authority: WO
Inventors: 太地羽角; 成佳島
Original assignee: 日本電気株式会社
Priority date: 2020-06-26
Filing date: 2020-06-26
Publication date: 2021-12-30
Also published as: JP7468652B2; US20230222027A1; JPWO2021260932A1

Abstract

１以上複数の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムであって、通信端末は、異常動作状態にある機能モジュールを検知し、エッジサーバへ異常動作状態を通知し、エッジサーバは、機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、複数の分割イメージファイルをストレージデバイスへ送信し、ストレージデバイスは、分割イメージファイルを格納し、通信端末からの要求に応じて、機能モジュール及び関連機能モジュールに対応する分割イメージファイルを通信端末へ送信し、通信端末は、ストレージデバイスから取得した複数の分割イメージファイルを結合してイメージファイルを生成し、生成されたイメージファイルに基づいて機能モジュール及び関連機能モジュールを起動する。

Description

分散システム、通信端末、機能復旧方法、及びプログラム

　本発明は、異常動作状態となった通信端末の機能を復旧させることができる分散システム、通信端末、機能復旧方法、及びプログラムに関する。

　近年、ＩｏＴ（Internet of Things）やサイバーフィジカルシステムなど、分散システムの社会的な実装が進んでいる。分散システムでは、多数の通信端末が、同じ分散システム内の他の端末と有線または無線ネットワークを介して接続するように構成される。一般に、分散システムを構成する通信端末は、コスト等の観点から必要最低限の計算資源やストレージしか持たない。また、当該通信端末は、インターネットやクラウドサーバとの接続も低速度の通信経路しか持たないか、あるいは、分散システム内の特定の端末（例えば、エッジサーバなど）との通信しか行わない。

　このような通信端末が、分散システム外部からの攻撃により設計上または運用上意図しない動作状態となった場合（例えば、ボットへの感染や攻撃者のコントロール下に置かれたような場合）、オペレーターは当該通信端末を分散システムから除外し、代替として、正常な機能を提供する代わりの通信端末を配置する必要がある。また、通信端末が公共空間に配置され、当該通信端末の機能停止が社会的またはコスト的に大きな影響を与える場合には、正常な機能の提供を早急に再開しなくてはならない。

　特許文献１には、ＩｏＴにおけるデバイスがハッキングなどの攻撃を受け、不正なアプリケーションや不正なファイルが当該デバイスの領域に導入された場合、当該領域を再起動し、不正なアプリケーションや不正なファイルを削除することで、当該領域の修復を行うことが記載されている。

また、Ｍｉｃｒｏｓｏｆｔ社のＢｒａｎｃｈＣａｃｈｅ（登録商標）は、ファイルの分散キャッシュに関し、かかる技術によると、一度、デバイスがサーバからコンテンツを入手すれば、当該デバイスが入手したコンテンツを近隣のデバイスも当該デバイスから入手できるようにして、ネットワーク帯域を低減させることができる。

特開２０１９－０５７１６７号公報

　しかしながら、端末数の増加、物理的な距離、及び通信帯域などの要因により、オペレーターによる対応では、分散システムの迅速な機能復旧は困難である。上記特許文献１も、このような問題については言及していない。

　本発明の目的は、分散システムを構成する通信端末が、設計上または運用上の意図とは異なる動作状態となった場合に、迅速な機能復旧を可能にする分散システム、通信端末、機能復旧方法、及びプログラムを提供することにある。

　本発明の一態様による分散システムは、１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムであって、前記通信端末は、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知し、前記エッジサーバは、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信し、前記ストレージデバイスは、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信し、前記通信端末は、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する、ことを特徴とする。

　本発明の一態様による通信端末は、分散システムを構成する通信端末であって、複数の機能モジュールの動作状態を診断し、異常動作状態にある機能モジュールを検知するモジュール診断手段と、前記異常動作状態にある機能モジュールの動作を停止させ、前記機能モジュールを廃棄するモジュール廃棄手段と、前記機能モジュールに対応し、前記異常動作状態を解消するように生成されたイメージファイルを分割した複数の分割イメージファイルを取得し、前記複数の分割イメージファイルを結合する分割イメージファイル結合手段と、前記複数の分割イメージファイルを結合して生成されたイメージファイルに基づいて、前記機能モジュールを起動するモジュール起動手段とを備えることを特徴とする。

　本発明の一態様による機能復旧方法は、１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムの機能復旧方法であって、前記通信端末が、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知する通知ステップと、前記エッジサーバが、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信する第１の送信ステップと、前記ストレージデバイスが、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信する第２の送信ステップと、前記通信端末が、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する起動ステップとを含むことを特徴とする。

　本発明の一態様によるプログラムは、コンピュータを上記通信端末として機能させる。

　本発明によれば、分散システムを構成する通信端末が、設計上または運用上の意図とは異なる動作状態となった場合に、迅速な機能復旧を可能にする分散システム、通信端末、機能復旧方法、及びプログラムを提供することが可能になる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

第１の実施形態に係る分散システムの概要図である。第１の実施形態に係る通信端末のモジュール構成図である。第１の実施形態に係る通信端末の機能構成図である。第１の実施形態に係るストレージデバイスの機能構成図である。第１の実施形態に係るエッジサーバの機能構成図である。第１の実施形態に係る通信端末の動作例を示すフローチャートである。第１の実施形態に係るシステム情報の例を示す図である。第１の実施形態に係るシステム情報の例を示す図である。第１の実施形態に係るシステム情報の例を示す図である。第１の実施形態に係る分割イメージファイル情報の例を示す図である。第１の実施形態に係るストレージデバイスの動作例を示すフローチャートである。第１の実施形態に係るエッジサーバの動作例を示すフローチャートである。第１の実施形態に係るインシデントレポートの例を示す図である。第１の実施形態に係る更新ポリシーの例を示す図である。第１の実施形態に係るコンピュータのハードウェア構成例を示す概略ブロック図である。第２の実施形態に係る分散システムの概要図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　説明は、以下の順序で行われる。
　１．第１の実施形態
　　１．１．システムの構成
　　１．２．通信端末の構成
　　１．３．ストレージデバイスの構成
　　１．４．エッジサーバの構成
　　１．５．通信端末の動作例
　　１．６．ストレージデバイスの動作例
　　１．７．エッジサーバの動作例
　　１．８．ハードウェア構成
　　１．９．技術的特徴
　２．第２の実施形態
　　２．１．システムの構成
　　２．２．動作例

　＜＜１．第１の実施形態＞＞
　＜１．１．システムの構成＞
　図１は、第１の実施形態に係る分散システムの概要図である。

　分散システム１００は、１以上の通信端末１０１と、１以上のストレージデバイス１０２と、１以上のエッジサーバ１０３とを含む。図中の実線は接続経路を示し、通信端末１０１、ストレージデバイス１０２、及びエッジサーバ１０３は、図中の実線で示されるように、有線または無線ネットワークを介して通信可能に接続されている。また、通信端末１０１、ストレージデバイス１０２、及びエッジサーバ１０３の間には、１以上の障害物１０４が存在し得る。エッジサーバ１０３は、クラウドコンピューティングを実現するクラウドサーバ１０５にも接続され得る。分散システムは、サイバーフィジカルシステム（Cyber Physical System）であってもよい。また、通信端末１０１は、センサーなどを備えたＩｏＴを構成する端末とすることができる。エッジサーバ１０３は、データを生成する通信端末１０１の近傍において、生成されたデータの処理を可能にするエッジコンピューティングを実現することができる。通信端末１０１、ストレージデバイス１０２、及びエッジサーバ１０３の数は、図示された数に限定されない。各構成要素の詳細は、後述する。

　＜１．２．通信端末の構成＞
　図２は、第１の実施形態に係る通信端末１０１のモジュール構成図である。モジュールとは、通信端末１０１の各機能を論理的に分離可能なソフトウェア、ハードウェア、またはそれらの組み合わせによって実装した部品を指す。モジュールは、機能モジュールとも称する。

　図示されるように、通信端末１０１は、１以上のモジュール１～ｎを含む。通信端末１０１は、ホストＯＳ２０２のモジュール診断機能２０１によって、当該１以上のモジュール１～ｎの動作状態を診断することができる。具体的には、モジュール診断機能２０１は、後述するシステム情報に基づいて、１以上のモジュール１～ｎが設計上または運用上の意図とは異なる動作状態（以下、異常動作状態ともいう）にあるかどうかを判定することができる。

　図３は、第１の実施形態に係る通信端末１０１の機能構成図である。図示されるように、通信端末１０１は、システム情報取得部３０１、システム情報記憶部３０２、モジュール診断部３０３、モジュール廃棄部３０４、インシデントレポート送信部３０５、分割イメージファイル取得部３０６、分割イメージファイル記憶部３０７、分割イメージファイル結合部３０８、及びモジュール起動部３０９を有する。

　システム情報取得部３０１は、分散システム１００に関するシステム情報を、エッジサーバ１０３から取得する。

　システム情報記憶部３０２は、システム情報取得部３０１によって取得された分散システム１００に関するシステム情報を保持する。

　モジュール診断部３０３は、システム情報記憶部３０２に保持されたシステム情報に基づいて、通信端末１０１上で動作する各モジュールの動作状態を診断し、異常動作状態にあるモジュールを検知する。

　モジュール廃棄部３０４は、モジュール診断部３０３によって検知された異常動作状態にあるモジュールを廃棄する。廃棄とは、通信端末１０１からの削除を意味する。モジュール廃棄部３０４は、対象のモジュールを、当該モジュールが使用したデータととともにモジュールごと通信端末１０１から削除する。また、廃棄の対象には、異常動作状態にあるモジュールだけでなく、当該モジュールに関連する関連モジュール（関連機能モジュールとも称する）も含まれる。

　インシデントレポート送信部３０５は、異常動作状態にあるモジュールの名前、バージョン、違反ポリシータイプ、及びログなど、異常状態の内容を示すインシデント情報をインシデントレポートとして、エッジサーバ１０３へ送信する。インシデントレポートは、モジュールの異常動作状態を通知するために用いられる。なお、インシデントとは、セキュリティ上、脅威となる可能性がある事象を指す。

　分割イメージファイル取得部３０６は、ストレージデバイス１０２から、対象のモジュールに対応する更新されたイメージファイルを分割した分割イメージファイルを取得する。分割イメージファイル取得部３０６は、通信端末１０１の近隣に存在する１以上のストレージデバイス１０２から、分割イメージファイルを取得してもよい。近隣に存在する１以上のストレージデバイス１０２は、通信端末１０１と通信リンクを直接確立することができる１以上のストレージデバイス１０２とすることができる。或いは、近隣に存在する１以上のストレージデバイス１０２は、通信端末１０１に対するホップ数に応じて決定してもよい。例えば、通信端末１０１に対するホップ数が所定のホップ数以下であるかどうかを判定して、対象のストレージデバイス１０２を決定してよい。ホップ数とは、送信先と送信元との間で通過しなければならない中間デバイスの数を指す。また、分割イメージファイル取得部３０６は、複数の分割イメージファイルのそれぞれを並列でダウンロードしてもよい。

　分割イメージファイル記憶部３０７は、分割イメージファイル取得部３０６によって取得された分割イメージファイルを保持する。

　分割イメージファイル結合部３０８は、分割イメージファイル記憶部３０７から分割イメージファイルを取得し、全ての分割イメージファイルが揃ったイメージファイルについて分割イメージファイルを結合し、イメージファイルを生成する。

　モジュール起動部３０９は、分割イメージファイル結合部３０８によって生成されたイメージファイルをもとに、モジュールを起動する。

　なお、通信端末１０１は、これらの構成要素以外の他の構成要素をさらに含み得る。即ち、通信端末１０１は、これらの構成要素の動作以外の動作も行い得る。例えば、通信端末１０１は、不図示のセンサーを備え、センサーによって取得したデータをエッジサーバ１０３またはクラウドサーバ１０５に送信するように構成することができる。また、２つのエッジサーバ１０３が図示されているが、同じエッジサーバとすることができる。

　＜１．３．ストレージデバイスの構成＞
　図４は、第１の実施形態に係るストレージデバイス１０２の機能構成図である。図示されるように、ストレージデバイス１０２は、システム情報取得部４０１、システム情報記憶部４０２、分割イメージファイル受信部４０３、分割イメージファイル記憶部４０４、ファイル要求取得部４０５、分割イメージファイル検索部４０６、及び分割イメージファイル送信部４０７を有する。ストレージデバイス１０２は、分散システム１００において分割イメージファイルを保持するために設けられたデバイスである。通信端末１０１は、一般に、多数の分割イメージファイルを保持しておくだけのリソースを有さないため、本実施形態における分散システム１００は、ストレージデバイス１０２によって多数の分割イメージファイルを保持しておくことが可能なように構成される。また、複数の通信端末１０１の分割イメージファイルを保持してもよい。

　システム情報取得部４０１は、分散システム１００に関するシステム情報を、エッジサーバ１０３から取得する。

　システム情報記憶部４０２は、システム情報取得部４０１によって取得された分散システム１００に関するシステム情報を保持する。

　分割イメージファイル受信部４０３は、エッジサーバ１０３から、更新されたイメージファイルを分割した分割イメージファイルを受信する。

　分割イメージファイル記憶部４０４は、分割イメージファイル受信部４０３によって受信された分割イメージファイルを保持する。分割イメージファイル記憶部４０４は、新たに受信した分割イメージファイルによって、対応する既存の分割イメージファイルを更新してもよい。

　ファイル要求取得部４０５は、通信端末１０１から、分割イメージファイルの取得要求を受信する。

　分割イメージファイル検索部４０６は、分割イメージファイル記憶部４０４によって保持された１以上の分割イメージファイルから、通信端末１０１からのファイル要求に応じた分割イメージファイルを検索して抽出する。

　分割イメージファイル送信部４０７は、分割イメージファイル検索部４０６によって抽出された分割イメージファイルを受信し、受信された分割イメージファイルを通信端末１０１へ送信する。

　なお、２つの通信端末１０１及び２つのエッジサーバ１０３が図示されているが、それぞれ同じ通信端末および同じエッジサーバとすることができる。

　＜１．４．エッジサーバの構成＞
　図５は、第１の実施形態に係るエッジサーバ１０３の機能構成図である。図示されるように、エッジサーバ１０３は、システム情報記憶部５０１、システム情報送信部５０２、インシデントレポート受信部５０３、インシデントレポート記憶部５０４、イメージファイル更新部５０５、更新ポリシー記憶部５０６、イメージファイル分割部５０７、分割イメージファイル記憶部５０８、及び分割イメージファイル送信部５０９を有する。

　システム情報記憶部５０１は、分散システム１００に関するシステム情報を保持する。

　システム情報送信部５０２は、システム情報記憶部５０１に保持されているシステム情報を、通信端末１０１及びストレージデバイス１０２へ送信する。

　インシデントレポート受信部５０３は、通信端末１０１からインシデントレポートを受信する。

　インシデントレポート記憶部５０４は、インシデントレポート受信部５０３によって受信されたインシデントレポートを保持する。

　イメージファイル更新部５０５は、更新ポリシー記憶部５０６に保持された更新ポリシーに従い、対象のモジュールごとにイメージファイル更新する。或いは、イメージファイル更新部５０５は、オペレーターの指示に従って、イメージファイルを更新する。

　更新ポリシー記憶部５０６は、モジュールごとに、異常動作状態にあると判定された場合の対処方法を示す更新ポリシー情報を保持する。対処方法には、例えば、各モジュールの違反ポリシータイプに対応するイメージファイルの更新方法が含まれる。更新ポリシーの詳細については後述する。

　イメージファイル分割部５０７は、事前に定められた所定の方法に従って、更新されたイメージファイルを分割する。イメージファイルの分割方法については後述する。

　分割イメージファイル記憶部５０８は、イメージファイル分割部５０７から得られた分割イメージファイルを保持する。

　分割イメージファイル送信部５０９は、ストレージデバイス１０２へ分割イメージファイルを送信する。送信先のストレージデバイス１０２は、予め設定されたグループ内に含まれる複数のストレージデバイスとしてもよく、この場合、グループ内の複数のストレージデバイスに送信する分割イメージファイルでイメージファイルが再現できるように、各分割イメージファイルを送信する。

　なお、２つの通信端末１０１及び２つのストレージデバイス１０２が図示されているが、それぞれ同じ通信端末および同じストレージデバイスとすることができる。

　＜１．５．通信端末の動作例＞
　図６は、第１の実施形態に係る通信端末の動作例を示すフローチャートである。なお、以下の説明では、既に説明した事項については、詳細な説明は省略する。

　まず、Ｓ６０1において、システム情報取得部３０１は、エッジサーバ１０３からシステム情報を受信する。システム情報取得部３０１は、受信したシステム情報を、システム情報記憶部３０２に格納する

　Ｓ６０２において、モジュール診断部３０３は、システム情報記憶部３０２に格納されたシステム情報に基づいて、分散システム１００内の各モジュールが異常動作状態にあるかどうか判定する。異常動作状態が検知された場合は、Ｓ６０３に進む。一方、異常動作状態が検知されない場合は、Ｓ６０１に戻り、処理を繰り返す。

　Ｓ６０３において、モジュール廃棄部３０４は、異常動作状態が検知されたモジュール、及び当該モジュールの関連モジュールを廃棄する。

　Ｓ６０４において、インシデントレポート送信部３０５は、異常動作状態が検知されたモジュールに関するインシデントレポートをエッジサーバ１０３へ送信する。

　Ｓ６０５において、通信端末１０１は、エッジサーバ１０３から、インシデントレポートに対する応答を受信したかどうか判定する。通信端末１０１は、エッジサーバ１０３から応答を受信するまで待機する。通信端末１０１が応答を受信すると、処理はＳ６０６に進む。

　Ｓ６０６において、通信端末１０１は、ストレージデバイス１０２から、廃棄されたモジュールに対応する分割イメージファイルをダウンロードして、分割イメージファイル記憶部３０７に格納する。

　Ｓ６０７において、分割イメージファイル結合部３０８は、分割イメージファイル記憶部３０７から取得した分割イメージファイルを結合して、モジュールごとに単一のイメージファイルを生成する。

　Ｓ６０８において、モジュール起動部３０９は、生成されたイメージファイルに基づいて、モジュールを再起動する。

　以上説明したように、通信端末１０１は、異常動作状態となった場合でも迅速な機能復旧を実現することができる。

　図７は、第１の実施形態に係るシステム情報の例を示す図である。図示されたシステム情報は、通信端末１０１がシステム情報記憶部３０２に保持するシステム情報の例である。

　図７（ａ）は、端末ＩＤ（識別子）と端末タイプ７０２との関係を示す。例えば、端末ＩＤが「e001」である端末は、エッジサーバ１０３である。また、端末ＩＤが「s001」及び「s002」である端末は、ストレージデバイス１０２である。また、端末ＩＤが、「d001」及び「d002」である端末は、通信端末１０１である。

　図７（ｂ）は、自身の端末ＩＤを示す。図示された例では、自身の端末ＩＤが「d001」であることが示されている。

　図７（ｃ）は、送信先端末ＩＤと次に転送すべき端末ＩＤとの関係を示す。例えば、送信先端末ＩＤが「s001」の場合、次に転送すべき端末ＩＤは「d001」である。また、送信先端末ＩＤが「s002」の場合、次に転送すべき端末ＩＤは「d002」である。また、送信先端末ＩＤが「e001」の場合、次に転送すべき端末ＩＤは「d002」である。

　図８も、第１の実施形態に係るシステム情報の例を示す図である。ここで図示されたシステム情報も、通信端末１０１がシステム情報記憶部３０２に保持するシステム情報の例である。

　図８（ａ）は、自身が保有すべきモジュールのリストを示す。例えば、図示されたモジュールのリストを有する通信端末１０１は、モジュールバージョンが「3.8.5」の「login」モジュールを有し、当該モジュールのイメージファイルは、128個に分割される。また、この通信端末１０１は、モジュールバージョンが「2.4.3」の「camera」モジュールを有し、当該モジュールのイメージファイルは、36個に分割される。また、この通信端末１０１は、モジュールバージョンが「0.1.1」の「detect-person」モジュールを有し、当該モジュールのイメージファイルは521個に分割される。

　図８（ｂ）は、連携モジュールのリストを示す。例えば、モジュールバージョンが「2．4.3」の「camera」モジュールは、モジュールバージョンが「0.1.1」の「detect-person」モジュールと連携する。また、同「camera」モジュールは、モジュールバージョンが「3．8.5」の「login」モジュールとも連携する。連携モジュールは、関連モジュールとも称する。

　図９も、第１の実施形態に係るシステム情報の例を示す。ここで図示されたシステム情報も、通信端末１０１がシステム情報記憶部３０２に保持するシステム情報の例である。

　より具体的には、図９は、各モジュールの異常動作を判定するためのルールを示す。ここでは、ポリシータイプとその値によって、当該ルールが表される。

　例えば、モジュールバージョンが「3.8.5」の「login」モジュールには、ポリシータイプ「valid_account」が適用され、その値は「userA」である。これは、当該モジュールを利用する有効なアカウントが、「userA」であることを示す。同モジュールには、ポリシータイプ「login_from」が適用され、その値は「192．168．24．0/24」である。これは、当該モジュールにログインする装置のＩＰアドレスが、192．168．24．0～24の範囲内にあれば、正常であることを示す。

　また、モジュールバージョンが「2.4.3」の「camera」モジュールには、ポリシータイプ「ave_trans_rate」が適用され、その値は「3Mbps」である。これは、当該モジュールから送信されるデータの平均通信レートが、３Mbps（bit per second）以下である場合は、正常であることを示す。

　また、モジュールバージョンが「0.1.1」の「detect-person」モジュールには、ポリシータイプ「file_hash」が適用され、その値は「/etc/conf, 79a9e9766e8007d6c341c7e238045ae5」である。これは、指定されたディレクトリに存在するファイルのハッシュ値が、指定された値であれば、正常であることを示す。

　ここで、通信端末１０１のモジュール診断部３０３の動作例について、より詳細に説明する。

　モジュール診断部３０３は、システム情報記憶部３０２に記憶されたその通信端末１０１が持つべきモジュールのリスト（図８（ａ）参照）に基づいて、モジュールの過不足や、モジュールのポリシーに違反した動作状態を検出する。

　モジュールのポリシーは、図９に示されるように、モジュールごとにポリシータイプと値で定義される。例えば、ポリシータイプが「valid_account」である場合、値は、そのモジュールにログイン可能なアカウント名「userA」を示す。また、ポリシータイプが「login_from」である場合、値は、そのモジュールにログイン可能なネットワークセグメント「192．168．24．0/24」を示す。また、ポリシータイプが「ave_trans_rate」である場合、値は、そのモジュールが発生させるネットワーク通信の平均ビットレート「３Ｍｂｐｓ」を示す。また、ポリシータイプが「file_hash」である場合、値は、そのモジュール内の特定のファイルのハッシュ値「/etc/conf, 79a9e9766e8007d6c341c7e238045ae5」を示す。

　上述したように、モジュール診断部３０３は、モジュールごとに事前に定義されたポリシーに違反した動作状態を検知すると、当該モジュールがサイバー攻撃を始めとした、設計上または運用上意図しない動作状態にあると判断する。このように、モジュール診断部３０３は、モジュールの異常動作を検知する。

　次に、通信端末１０１のモジュール廃棄部３０４の動作例について、より詳細に説明する。

　モジュール廃棄部３０４は、モジュール診断部３０３によって異常動作状態にあると判断されたモジュールの動作を停止させ、モジュールごとデータを廃棄する。例えば、モジュール廃棄部３０４は、モジュールに対応するコンテナを停止して、そのまま破棄する。

　モジュール廃棄部３０４は、当該モジュールの廃棄を実施する際に、システム情報記憶部３０２に保持されている連携モジュール情報（図８（ｂ））も参照し、連携モジュールも再帰的に廃棄対象とする。連携モジュールも廃棄することで、異常をきたしたモジュールへファイル共有を行っていたり、設定ファイルや情報のやり取りを行っていたりする他のモジュールについても、一括で廃棄を行うことが可能となる。

　図１０は、第１の実施形態に係る分割イメージファイル情報の例を示す。分割イメージファイル情報は、通信端末１０１の分割イメージファイル記憶部３０７に保持され、分割イメージファイル記憶部３０７に格納された分割イメージファイルの情報を示す。

　図示された分割イメージファイル情報は、モジュールバージョンが「3.8.5」の「login」モジュールについて、フラグメントナンバーが１、２、３、・・・の分割イメージファイルが格納されていることを示す。また、モジュールバージョンが「2.4.3」の「camera」モジュールについて、フラグメントナンバーが１、２、・・・の分割イメージファイルが格納されていることを示す。フラグメントナンバーは、イメージファイルの分割数を示す。

　＜１．６．ストレージデバイスの動作例＞
　図１１は、第１の実施形態に係るストレージデバイスの動作例を示すフローチャートである。なお、以下の説明では、既に説明した事項については、詳細な説明は省略する。

　まず、Ｓ１１０１において、システム情報取得部４０１は、エッジサーバ１０３からシステム情報を受信する。システム情報取得部４０１は、受信されたシステム情報を、システム情報記憶部４０２に格納する。

　Ｓ１１０２において、分割イメージファイル受信部４０３は、エッジサーバ１０３から分割イメージファイルを受信したかどうか判定する。分割イメージファイル受信部４０３は、分割イメージファイルを受信するまで待機し、分割イメージファイルを受信すると、Ｓ１１０３に進む。

　Ｓ１１０３において、分割イメージファイル受信部４０３は、受信された分割イメージファイルを分割イメージファイル記憶部４０４に記憶する。

　次いで、Ｓ１１０４において、ファイル要求取得部４０５は、通信端末１０１からイメージファイル要求を受信したかどうか判定する。ファイル要求取得部４０５は、イメージファイル要求を受信するまで待機し、イメージファイル要求を受信すると、Ｓ１１０５に進む。

　Ｓ１１０５において、分割イメージファイル検索部４０６は、イメージファイル要求に対応する分割イメージファイルを、分割イメージファイル記憶部４０４から検索する。

　Ｓ１１０６において、分割イメージファイル送信部４０７は、検索された分割イメージファイルを通信端末１０１へ送信する。

　以上説明したように、ストレージデバイス１０２は、エッジサーバ１０３から分割イメージファイルを受信して、受信された分割イメージファイルを保持する。また、ストレージデバイス１０２は、通信端末１０１からの要求に応じて、分割イメージファイルを送信する。

　＜１．７．エッジサーバの動作例＞
　図１２は、第１の実施形態に係るエッジサーバの動作例を示すフローチャートである。なお、以下の説明では、既に説明した事項については、詳細な説明は省略する。

　まず、Ｓ１２０１において、システム情報送信部５０２は、システム情報記憶部５０１に保持されたシステム情報を、通信端末１０１及びストレージデバイス１０２に送信する。

　次いで、Ｓ１２０２において、インシデントレポート受信部５０３は、通信端末１０１からインシデントレポートを受信したかどうか判定する。インシデントレポート受信部５０３はインシデントレポートを受信するまで待機し、インシデントレポートを受信すると、Ｓ１２０３に進む。

　Ｓ１２０３において、イメージファイル更新部５０５は、受信されたインシデントレポートの内容にマッチする更新ポリシーが、更新ポリシー記憶部５０６に存在するかどうか判定する。更新ポリシーが存在する場合は、Ｓ１２０４に進み、イメージファイル更新部５０５は、更新ポリシーに従ってイメージファイルを更新する。一方、更新ポリシーが存在しない場合は、Ｓ１２０５に進み、オペレーターが手動でイメージファイルを更新する。

　次いで、Ｓ１２０６において、イメージファイル分割部５０７は、更新されたイメージファイルを分割して、分割イメージファイルを生成する。分割イメージファイルは、分割イメージファイル記憶部５０８に記憶される。

　Ｓ１２０７において、分割イメージファイル送信部５０９は、分割イメージファイルをストレージデバイス１０２へ送信する。

　Ｓ１２０８において、システム情報送信部５０２は、通信端末１０１へシステム情報を送信する。

　以上説明したように、エッジサーバ１０３は、通信端末１０１からインシデントレポートを受信すると、更新ポリシーに従って対象モジュールのイメージファイルを更新する。また、エッジサーバ１０３は、更新されたイメージファイルを分割して分割イメージファイルを生成し、生成された分割イメージファイルをストレージデバイス１０２へ送信する。

　次に、イメージファイル更新部５０５の動作例について、図１３及び図１４を参照してより詳細に説明する。

　図１３は、第１の実施形態に係るインシデントレポートの例を示す図である。図示されたインシデントレポートは、エッジサーバ１０３がインシデントレポート記憶部５０４に保持するインシデントレポートの例である。図示されるように、インシデントレポートは、受信日時、送信元端末ＩＤ、モジュールＩＤ、モジュールバージョン、違反ポリシータイプ、及びログを含む。

　図１４は、第１の実施形態に係る更新ポリシーの例を示す図である。図示された更新ポリシーは、エッジサーバ１０３が更新ポリシー記憶部５０６に保持する更新ポリシーの例である。図示されるように、更新ポリシーは、モジュールＩＤ、該当バージョン、違反ポリシータイプ、及び対処方法を含む。

　イメージファイル更新部５０５は、図１３のインシデントレポートに含まれる違反ポリシータイプをもとに、図１４の更新ポリシーに含まれる対処方法に従って、対象モジュールのイメージファイルを更新する。すなわち、イメージファイル更新部５０５は、対象モジュールの異常動作状態を解消するための新しいバージョンのイメージファイルを生成する。

　具体的には、イメージファイル更新部５０５は、新たに受信されたインシデントレポートが特定の更新ポリシーにマッチした場合、当該更新ポリシーの対処方法に従って、新しいバージョンのイメージファイルを生成する。

　例えば、モジュールバージョンが「3.8.5」の「login」モジュールに対して、「valid_account」の違反ポリシーが報告された場合には、「userC」による無効なアカウントのログイン試行が観測されただけなので、イメージファイルの更新は行わない。すなわち、違反ポリシーが報告されたとしても、必ずしもイメージファイルが更新されるわけではない。この場合、現在のバージョンのイメージファイルが後続の処理に用いられ、最終的に通信端末１０１は、異常動作の影響を受けていない新たにダウンロードされた現在のバージョンのイメージファイルに基づいて、対象モジュールを起動することになる。一方、同バージョンの「login」モジュールに対して、「login_from」の違反ポリシーが報告された場合には、許可されていないＩＰアドレス（「192.168.33.24」）からログインが成功しているため、当該アカウントを無効化したイメージファイルを生成する。

　一方、受信されたインシデントレポートがどの更新ポリシーにも該当しない場合には、オペレーターが手動でイメージファイルを更新し、新しいバージョンのイメージファイルを生成する。

　次に、エッジサーバ１０３のイメージファイル分割部５０７の動作例について、より詳細に説明する。

　イメージファイル分割部５０７は、予め設定されたチャンクサイズごとにイメージファイルを分割して、分割イメージファイルを生成する。例えば、チャンクサイズが４，０００，０００に設定されていたとすると、５００ＭＢのイメージファイルを分割する場合、５００×１，０００＾２／４，０００，０００＝１２５であるため、１２５個の分割イメージファイルが作成される。

　なお、上述したイメージファイルの分割方法は一例であり、イメージファイルに含まれるファイルやディレクトリ等の粒度で分割イメージファイルを生成してもよい。次期標準コンテナフォーマットであるOCI(Open Container Initiative) Image Format v2では、レイヤー単位ではなくファイルよりも細かい粒度でイメージファイルを分割することにより、イメージサイズを縮小する方式が議論されている。イメージファイルに対する小さい更新等であれば、数ＫＢの更新データをネットワークに流せばよい。

　＜１．８．ハードウェア構成＞
　図１５は、第１の実施形態に係るコンピュータのハードウェア構成例を示す概略ブロック図である。図示されたコンピュータは、本実施形態の分散システムを構成する通信端末１０１、ストレージデバイス１０２、及びエッジサーバ１０３の各装置として動作し得る。

　コンピュータ１５００は、ＣＰＵ１５０１と、主記憶装置１５０２と、補助記憶装置１５０３と、インタフェース１５０４と、通信インタフェース１５０５とを備える。

　コンピュータ１５００の動作は、プログラムの形式で補助記憶装置１５０３に記憶されている。ＣＰＵ１５０１は、そのプログラムを補助記憶装置１５０３から読み出して主記憶装置１５０２に展開し、そのプログラムに従って、本実施形態で説明した各装置の動作を実行する。

　補助記憶装置１５０３は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース１５０４を介して接続される磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Compact Disk Read Only Memory）、ＤＶＤ－ＲＯＭ（Digital Versatile Disk Read Only Memory ）、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ１５００に配信される場合、配信を受けたコンピュータ１５００がそのプログラムを主記憶装置１５０２に展開し、そのプログラムに従って動作してもよい。

　また、各装置の各構成要素の一部または全部は、汎用または専用の回路（circuitry）、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　また、コンピュータ１５００は、不図示の入出力装置を備え、オペレーター等による入出力動作が可能なように構成される。入力装置の例としては、マウスやキーボードなどがある。また、出力装置の例としては、液晶ディスプレイなどの表示装置がある。また、表示装置には、タッチパネルを備え、入力装置として動作する表示装置も含まれる。

　＜１．９．技術的特徴＞
　本実施形態は、サイバーセキュリティにおける機能復旧フェーズに注目したセキュアなシステムアーキテクチャを提供する。本実施形態では、通信端末１０１の各機能をモジュール化し（コンテナアーキテクチャ等を利用）、モジュール化された機能群の、分割されたイメージファイルを、分散システム内に配置されている複数のストレージデバイス１０２が保持することで、冗長性を向上させることができる。

　また、本実施形態によれば、通信端末１０１は、特定の機能に関するイメージファイルをダウンロードして起動をできるため、ある機能に設計上または運用上意図しない動作が生じた場合においても、正常な機能の迅速な提供が可能となる。

　また、通信端末１０１は、分散システム１００内から分割イメージファイルを収集するため、インターネットとの接続が低速度である場合にも近隣の通信端末１０１を経由してストレージデバイスよりダウンロードができることから、低通信コストかつ短い時間での機能復旧を可能とする。
　また、同様の機能を有する他の通信端末１０１も、ストレージデバイス１０２より、修正された分割イメージファイルをダウンロードし、モジュールを最新に保つことができる（いわゆる、DevSecOpsサイクルの高速化を実現することができる）。

　なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。

　＜＜２．第２の実施形態＞＞
　続いて、図１６を参照して、本発明の第２の実施形態を説明する。上述した第１の実施形態は、具体的な実施形態であるが、第２の実施形態は、より一般化された実施形態である。

　＜２．１．システムの構成＞
　図１６は、第２の実施形態における分散システムの概要図である。本実施形態における分散システム１６００は、通信端末１６１０と、エッジサーバ１６２０と、ストレージデバイス１６３０とを含む。なお、通信端末１６１０、エッジサーバ１６２０、およびストレージデバイス１６３０の数は、図示された数に限定されない。また、通信端末１６１０、エッジサーバ１６２０、およびストレージデバイス１６３０は、互いに有線または無線ネットワークを介して通信可能に接続されている。

　通信端末１６１０は、モジュール診断部１６１１、インシデントレポート送信部１６１２、分割イメージファイル結合部１６１３、及びモジュール起動部１６１４を有する。モジュール診断部１６１１は、異常動作状態にある機能モジュールを検知する。インシデントレポート送信部１６１２は、エッジサーバ１６２０へ異常動作状態を通知する。分割イメージファイル結合部１６１３は、ストレージデバイス１６３０から取得した分割イメージファイルを結合してイメージファイルを生成する。モジュール起動部１６１４は、生成されたイメージファイルに基づいて、機能モジュール及び関連機能モジュールを起動する。

　エッジサーバ１６２０は、イメージファイル更新部１６２１、イメージファイル分割部１６２２、及び分割イメージファイル送信部１６２３を有する。イメージファイル更新部１６２１は、機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成する。イメージファイル分割部１６２２は、生成されたイメージファイルを分割した分割イメージファイルを生成する。分割イメージファイル送信部１６２３は、生成された分割イメージファイルをストレージデバイス１６３０へ送信する。

　ストレージデバイス１６３０は、分割イメージファイル受信部１６３１、及び分割イメージファイル送信部１６３２を有する。分割イメージファイル受信部１６３１は、エッジサーバ１６２０から分割イメージファイルを受信して、格納する。分割イメージファイル送信部１６３２は、通信端末１６１０からの要求に応じて、機能モジュール及び関連機能モジュールに対応する分割イメージファイルを通信端末１６１０へ送信する。

　上述した各装置の各処理部は、例えば、プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、そのコンピュータのプログラム記憶装置等のプログラム記録媒体からプログラムを読み込み、そのプログラムに従って、必要に応じて通信インタフェースを用いて、上述した各装置の各処理部として動作することができる。
　＜２．２．動作例＞
　次に、第２の実施形態における動作例について説明する。

　第２の実施形態によれば、通信端末１６１０は、異常動作状態にある機能モジュールを検知し、エッジサーバ１６２０へ異常動作状態を通知する。エッジサーバ１６２０は、機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、生成されたイメージファイルを分割した分割イメージファイルを生成して、ストレージデバイス１６３０へ送信する。ストレージデバイス１６３０は、分割イメージファイルを格納し、通信端末１６１０からの要求に応じて、機能モジュール及び関連機能モジュールに対応する分割イメージファイルを通信端末１６１０へ送信する。通信端末１６１０は、ストレージデバイス１６３０から取得した分割イメージファイルを結合してイメージファイルを生成し、生成されたイメージファイルに基づいて機能モジュール及び関連機能モジュールを起動する。

　－第１の実施形態との関係
　一例として、第２の実施形態における通信端末１６１０、エッジサーバ１６２０、およびストレージデバイス１６３０はそれぞれ、第１の実施形態における通信端末１０１、エッジサーバ１０３、及びストレージデバイス１０２である。この場合に、第１の実施形態についての説明は、第２の実施形態にも適用され得る。

　なお、第２の実施形態は、この例に限定されない。

　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理は、必ずしも上述した順序に沿って時系列に実行されなくてよい。例えば、各処理は、上述した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理の一部が削除されてもよく、さらなる処理が追加されてもよい。

　また、本明細書において説明した分散システムの構成要素を備える装置（例えば、分散システムを構成する複数の装置（又はユニット）のうちの１つ以上の装置（又はユニット）、又は上記複数の装置（又はユニット）のうちの１つのためのモジュール）が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムであって、
　前記通信端末は、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知し、
　前記エッジサーバは、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信し、
　前記ストレージデバイスは、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信し、
　前記通信端末は、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する、
ことを特徴とする分散システム。

（付記２）
　前記通信端末は、前記異常動作状態にある機能モジュールを検知すると、前記機能モジュール及び前記関連機能モジュールの動作を停止させ、前記機能モジュール及び前記関連機能モジュールを廃棄することを特徴とする付記１に記載の分散システム。

（付記３）
　前記通信端末は、前記異常動作状態にある機能モジュールを検知すると、前記異常動作状態の内容を示すインシデントレポートを前記エッジサーバへ送信することを特徴とする付記１または２に記載の分散システム。

（付記４）
　前記エッジサーバは、前記インシデントレポートの内容にマッチする更新ポリシーに応じて、前記イメージファイルを生成することを特徴とする付記３に記載の分散システム。

（付記５）
　前記通信端末は、前記複数のストレージデバイスのうち、前記通信端末の近隣に存在するストレージデバイスから、前記分割イメージファイルを取得することを特徴とする付記１乃至４のいずれか１項に記載の分散システム。

（付記６）
　前記近隣のストレージデバイスは、前記通信端末と通信リンクを直接確立することができるストレージデバイスであることを特徴とする付記５に記載の分散システム。

（付記７）
　前記近隣のストレージデバイスは、前記通信端末に対するホップ数に応じて決定されることを特徴とする付記５に記載の分散システム。

（付記８）
　前記エッジサーバは、前記複数の分割イメージファイルを、予め設定されたグループ内に含まれる複数のストレージデバイスに送信することを特徴とする付記１乃至７のいずれか１項に記載の分散システム。

（付記９）
　前記通信端末は、前記複数の分割イメージファイルのそれぞれを並列でダウンロードすることを特徴とする付記１乃至８のいずれか１項に記載の分散システム。

（付記１０）
　分散システムを構成する通信端末であって、
　複数の機能モジュールの動作状態を診断し、異常動作状態にある機能モジュールを検知するモジュール診断手段と、
　前記異常動作状態にある機能モジュールの動作を停止させ、前記機能モジュールを廃棄するモジュール廃棄手段と、
　前記機能モジュールに対応し、前記異常動作状態を解消するように生成されたイメージファイルを分割した複数の分割イメージファイルを取得し、前記複数の分割イメージファイルを結合する分割イメージファイル結合手段と、
　前記複数の分割イメージファイルを結合して生成されたイメージファイルに基づいて、前記機能モジュールを起動するモジュール起動手段と
を備えることを特徴とする通信端末。

（付記１１）
　１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムの機能復旧方法であって、
　前記通信端末が、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知する通知ステップと、
　前記エッジサーバが、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信する第１の送信ステップと、
　前記ストレージデバイスが、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信する第２の送信ステップと、
　前記通信端末が、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する起動ステップと
を含むことを特徴とする機能復旧方法。

（付記１２）
　コンピュータを付記１０に記載の通信端末として機能させるためのプログラム。

　本発明の一実施形態は、スマートシティなどの社会基盤となるサイバーフィジカルシステムへ適用することが考えられる。また、本発明の一実施形態は、敵対者からのサイバー攻撃が想定されるミッションクリティカルなネットワークシステムへ適用することが考えられる。

　１００　分散システム
　１０１　通信端末
　１０２　ストレージデバイス
　１０３　エッジサーバ
　１０４　障害物
　１０５　クラウドサーバ

Claims

　１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムであって、
　前記通信端末は、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知し、
　前記エッジサーバは、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信し、
　前記ストレージデバイスは、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信し、
　前記通信端末は、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する、
ことを特徴とする分散システム。
　前記通信端末は、前記異常動作状態にある機能モジュールを検知すると、前記機能モジュール及び前記関連機能モジュールの動作を停止させ、前記機能モジュール及び前記関連機能モジュールを廃棄することを特徴とする請求項１に記載の分散システム。
　前記通信端末は、前記異常動作状態にある機能モジュールを検知すると、前記異常動作状態の内容を示すインシデントレポートを前記エッジサーバへ送信することを特徴とする請求項１または２に記載の分散システム。
　前記エッジサーバは、前記インシデントレポートの内容にマッチする更新ポリシーに応じて、前記イメージファイルを生成することを特徴とする請求項３に記載の分散システム。
　前記通信端末は、前記複数のストレージデバイスのうち、前記通信端末の近隣に存在するストレージデバイスから、前記分割イメージファイルを取得することを特徴とする請求項１乃至４のいずれか１項に記載の分散システム。
　前記近隣のストレージデバイスは、前記通信端末と通信リンクを直接確立することができるストレージデバイスであることを特徴とする請求項５に記載の分散システム。
　前記近隣のストレージデバイスは、前記通信端末に対するホップ数に応じて決定されることを特徴とする請求項５に記載の分散システム。
　前記エッジサーバは、前記複数の分割イメージファイルを、予め設定されたグループ内に含まれる複数のストレージデバイスに送信することを特徴とする請求項１乃至７のいずれか１項に記載の分散システム。
　前記通信端末は、前記複数の分割イメージファイルのそれぞれを並列でダウンロードすることを特徴とする請求項１乃至８のいずれか１項に記載の分散システム。
　分散システムを構成する通信端末であって、
　複数の機能モジュールの動作状態を診断し、異常動作状態にある機能モジュールを検知するモジュール診断手段と、
　前記異常動作状態にある機能モジュールの動作を停止させ、前記機能モジュールを廃棄するモジュール廃棄手段と、
　前記機能モジュールに対応し、前記異常動作状態を解消するように生成されたイメージファイルを分割した複数の分割イメージファイルを取得し、前記複数の分割イメージファイルを結合する分割イメージファイル結合手段と、
　前記複数の分割イメージファイルを結合して生成されたイメージファイルに基づいて、前記機能モジュールを起動するモジュール起動手段と
を備えることを特徴とする通信端末。
　１以上の通信端末と１以上のストレージデバイスとエッジサーバとがネットワークを介して通信する分散システムの機能復旧方法であって、
　前記通信端末が、異常動作状態にある機能モジュールを検知し、前記エッジサーバへ前記異常動作状態を通知する通知ステップと、
　前記エッジサーバが、前記機能モジュール及び関連機能モジュールのそれぞれに対応するイメージファイルを生成し、前記生成されたイメージファイルを分割した複数の分割イメージファイルを生成して、前記複数の分割イメージファイルを前記ストレージデバイスへ送信する第１の送信ステップと、
　前記ストレージデバイスが、前記分割イメージファイルを格納し、前記通信端末からの要求に応じて、前記機能モジュール及び前記関連機能モジュールに対応する分割イメージファイルを前記通信端末へ送信する第２の送信ステップと、
　前記通信端末が、前記ストレージデバイスから取得した前記複数の分割イメージファイルを結合して前記イメージファイルを生成し、前記生成されたイメージファイルに基づいて前記機能モジュール及び前記関連機能モジュールを起動する起動ステップと
を含むことを特徴とする機能復旧方法。
　コンピュータを請求項１０に記載の通信端末として機能させるためのプログラム。