WO2021261422A1

WO2021261422A1 - コアネットワークノード、ｍｅｃサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体

Info

Publication number: WO2021261422A1
Application number: PCT/JP2021/023324
Authority: WO
Inventors: 光一晒谷
Original assignee: 日本電気株式会社
Priority date: 2020-06-26
Filing date: 2021-06-21
Publication date: 2021-12-30
Also published as: US20230199499A1; JPWO2021261422A1

Abstract

【課題】セキュリティ情報に基づいた端末装置の適切な収容を実現する。【解決手段】複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノード３５０が、端末装置１００のセキュリティに関するセキュリティ情報に基づいて、端末装置１００を収容すべきネットワークスライスに関するパラメータを示すコマンドを端末装置１００に送信する通信処理部を備える。

Description

コアネットワークノード、ＭＥＣサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体

　本発明は、コアネットワークノード、ＭＥＣサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体に関する。

　近年、様々な「モノ（Things）」がインターネットに接続されるＩｏＴ（Internet of Things）が広まり、ネットワークを介して提供されるサービスの多様化に伴う通信トラヒックが増大している。以上のような状況に対処するため、第５世代移動通信システム（以下、５Ｇ）の導入が各国において進展している。

　従来の３Ｇ／４Ｇは、特定のモバイルネットワーク事業者によって運用され、携帯電話及びスマートフォン等の移動端末に通信サービスを提供する。他方、５Ｇは、３Ｇ／４Ｇと比較して、多種多様な事業者の参画と多種多様なデバイスからの同時接続とが想定されている（例えば、非特許文献１）。

3GPP TR 38.913 - Technical Specification Group Radio Access Network; Study on Scenarios and Requirements for Next Generation Access Technologies

　従来、サイバー攻撃に対応するために、侵入検知システム（Intrusion Detection System）、ファイアウォール（Firewall）／侵入防止システム（Intrusion Prevention System）等のネットワークセキュリティ技術が用いられている。しかしながら、５Ｇのセキュリティに関しては、上記したような通信トラヒックの増大や多数同時接続等の新たな状況に対応することが要求されている。

　そのため、５Ｇでは、従来よりも多くのネットワーク設備をシステム内に保持する必要があると共に、システムに接続される多種多様なデバイスや事業者を適切に管理する必要がある。現在、以上のような特性を有する５Ｇ等の無線通信システムに適したセキュリティ技術の開発が求められている。

　以上の事情に鑑み、本発明の目的は、セキュリティ情報に基づいた適切な収容を実現可能なコアネットワークノード、ＭＥＣサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体を提供することにある。

　本発明の一態様に係るコアネットワークノードは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。

　本発明の一態様に係るＭＥＣ（Mobile Edge Computing）サーバは、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣサーバであって、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える。

　本発明の一態様に係る外部サーバは、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える。

　本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、前記コアネットワークノードは、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。

　本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、前記コアネットワークに属する又は前記コアネットワークと通信可能なＭＥＣサーバと、を備える通信システムであって、前記ＭＥＣサーバは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、前記コアネットワークノードは、前記ＭＥＣサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。

　本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、前記外部サーバは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、前記コアネットワークノードは、前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。

　本発明の一態様に係る制御方法は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える。

　本発明の一態様に係るプログラムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる。

　本発明の一態様に係る非一過性の記録媒体は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させるプログラムを記録する。

　本発明の一態様に係るコアネットワークノードは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える。

　本発明の一態様に係るＭＥＣサーバは、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣ（Mobile Edge Computing）サーバであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える。

　本発明の一態様に係る外部サーバは、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える。

　本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、前記コアネットワークノードは、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える。

　本発明の一態様に係る制御方法は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える。

　本発明の一態様に係るプログラムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる。

　本発明の一態様に係る非一過性の記録媒体は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させるプログラムを記録する。

　本発明によれば、セキュリティ情報に基づいた適切なネットワークスライスへの収容処理を実現することが可能である。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

本発明の第１実施形態に係る通信システムＳ１の概略的な構成を例示する説明図である。本発明の第１実施形態に係る端末装置１００の概略的な構成を例示するブロック図である。本発明の第１実施形態に係る基地局２００の概略的な構成を例示するブロック図である。本発明の第１実施形態に係るコアネットワーク３０の概略的な構成を例示するブロック図である。本発明の第１実施形態に係るコアネットワーク３０のアーキテクチャを例示する説明図である。本発明の第１実施形態に係るコアネットワークノード３００の概略的な構成を例示するブロック図である。本発明の第１実施形態に係るアクセス管理ノード３５０の概略的な構成を例示するブロック図である。本発明の第１実施形態に係るＭＥＣサーバ４００の概略的な構成を例示するブロック図である。本発明の第１実施形態に係る外部サーバ５００の概略的な構成を例示するブロック図である。従来のＳ－ＮＳＳＡＩ及びＳＳＴを例示する説明図である。本発明の第１実施形態における第１の動作例を示すシーケンス図である。本発明の第１実施形態における別の第１の動作例を示すシーケンス図である。本発明の第１実施形態における第２の動作例を示すシーケンス図である。本発明の第１実施形態における第３の動作例を示すシーケンス図である。本発明の第２実施形態に係るアクセス管理ノード３５０ａの概略的な構成を例示するブロック図である。本発明の第２実施形態に係るＭＥＣサーバ４００ａの概略的な構成を例示するブロック図である。本発明の第２実施形態に係る外部サーバ５００ａの概略的な構成を例示するブロック図である。本発明の第２実施形態に係る通信システムＳ１ａの第１の構成を概略的に例示するブロック図である。本発明の第２実施形態に係る通信システムＳ１ａの第２の構成を概略的に例示するブロック図である。本発明の第２実施形態に係る通信システムＳ１ａの第３の構成を概略的に例示するブロック図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複した説明が省略され得る。

　以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。

　本発明に係る説明は、以下の順序で行われる。
　１．　本発明の実施形態の概要
　２．　第１実施形態
　　２．１．　通信システムＳ１の構成
　　２．２．　端末装置１００の構成
　　２．３．　基地局２００の構成
　　２．４．　コアネットワーク３０の構成
　　　２．４．１．　一般的なコアネットワークノード３００の構成
　　　２．４．２．　アクセス管理ノード３５０の構成
　　２．５．　ＭＥＣサーバ４００の構成
　　２．６．　外部サーバ５００の構成
　　２．７．　動作例
　　　２．７．１．　第１の動作例
　　　２．７．２．　第２の動作例
　　　２．７．３．　第３の動作例
　　２．８．　変形例
　３．　第２実施形態
　　３．１．　アクセス管理ノード３５０ａの構成と動作例
　　３．２．　ＭＥＣサーバ４００ａの構成と動作例
　　３．３．　外部サーバ５００ａの構成と動作例
　　３．４．１．　通信システムＳ１ａの第１の構成と動作例
　　３．４．２．　通信システムＳ１ａの第２の構成と動作例
　　３．４．３．　通信システムＳ１ａの第３の構成と動作例
　４．　他の実施形態

＜＜１．　本発明の実施形態の概要＞＞
　まず、本発明の実施形態の概要を説明する。

　（１）技術的課題
　近年、様々な「モノ（Things）」がインターネットに接続されるＩｏＴ（Internet of Things）が広まり、ネットワークを介して提供されるサービスの多様化に伴う通信トラヒックが増大している。以上のような状況に対処するため、第５世代移動通信システム（以下、５Ｇ）の導入が各国において進展している。

　従来の３Ｇ／４Ｇは、特定のモバイルネットワーク事業者によって運用され、携帯電話及びスマートフォン等の移動端末に通信サービスを提供する。他方、５Ｇは、３Ｇ／４Ｇと比較して、多種多様な事業者の参画と多種多様なデバイスからの同時接続とが想定されている。

　従来、侵入検知システム（Intrusion Detection System）、ファイアウォール（Firewall）／侵入防止システム（Intrusion Prevention System）等のネットワークセキュリティ技術が用いられている。しかしながら、５Ｇのセキュリティに関しては、上記したような通信トラヒックの増大や多数同時接続等の新たな状況に対応することが要求されている。

　そのため、５Ｇでは、従来よりも多くのネットワーク設備をシステム内に保持する必要があると共に、システムに接続される多種多様なデバイスを適切に管理する必要がある。現在、以上のような特性を有する５Ｇ等の無線通信システムに適したセキュリティ技術の開発が求められている。

　以上の事情に鑑み、本実施形態では、セキュリティ情報に基づいた端末装置の適切な収容を実現することを目的とする。特に、本実施形態では、５Ｇのネットワークアーキテクチャ仕様（＜参考文献＞3GPP TS 23.501, 3GPP TS 23.502等）に規定されるネットワークスライス化（Network Slicing）に適したメッセージングに着目する。ネットワークスライス化は、同一のネットワーク物理設備を論理的（仮想的）に分割することにより、分割した論理的な設備（仮想資源）を組み合わせてネットワークスライス（又は、スライス）という論理的な通信網を構成する技術である。

　（２）技術的特徴
　本発明の実施形態では、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードが、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。コアネットワークノードは、上記セキュリティ情報を自ら取得し得る。

　本発明の実施形態の一態様では、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣサーバが、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワークに属するコアネットワークノードに対して送信する。

　本発明の実施形態の一態様では、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバが、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワークに属するコアネットワークノードに対して送信する。

　以上の構成によれば、セキュリティ情報に基づいた適切なネットワークスライスへの収容処理を実現することが可能である。

　なお、本実施形態により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。

＜＜２．　第１実施形態＞＞
　次いで、図１から図１４を参照して、本発明の第１実施形態を説明する。

＜＜２．１．　通信システムＳ１の構成＞＞
　図１は、本実施形態に係る通信システムＳ１の概略的な構成を例示する説明図である。図１に示すように、本実施形態の通信システムＳ１は、端末装置１００、基地局２００、コアネットワーク３０、ＭＥＣ（Mobile Edge Computing）サーバ４００、及び外部サーバ５００を有する。コアネットワーク３０は、複数のコアネットワークノード３００を含む。外部サーバ５００は、移動通信システムＭＣＳ（コアネットワーク３０）外に位置するサーバ装置であって、コアネットワーク３０と通信可能に接続されている。

　移動通信システムＭＣＳは、例えば、３ＧＰＰ（3rd Generation Partnership Project）の技術仕様（Technical Specification，ＴＳ）に準拠したシステムである。より具体的には、移動通信システムＭＣＳは、第５世代（５Ｇ）の技術仕様に準拠した第５世代移動通信システムであってよい。また、移動通信システムＭＣＳは、通信事業者ではない個別の事業者がプライベートに構築するローカル５Ｇであってもよい。移動通信システムＭＣＳは通信システムＳ１に内包される。当然ながら、通信システムＳ１の構成は本例に限定されない。

＜＜２．２．　端末装置１００の構成＞＞
　端末装置１００は、基地局２００と無線通信を行うノードである。端末装置１００は、例えば、スマートフォン等の携帯電話端末であってもよいし、自動運転車に搭載される通信モジュールであってもよいし、監視カメラやロボット等のＩｏＴデバイスに搭載される通信モジュールであってもよい。すなわち、端末装置１００は、高度化モバイルブロードバンド（enhanced Mobile Broadband，ｅＭＢＢ）向けのノードであってもよく、超高信頼性・低遅延通信（Ultra-Reliable and Low Latency Communications，ＵＲＬＬＣ）向けのノードであってもよく、大規模マシンタイプ通信（massive Machine Type Communications，ｍＭＴＣ）向けのノードであってもよく、車両通信（Vehicle to X，Ｖ２Ｘ）向けのノードであってもよい。

　図２は、本実施形態に係る端末装置１００の概略的な構成を例示するブロック図である。図２に示すように、端末装置１００は、無線通信部１１０と記憶部１２０と処理部１３０とを有する。

　無線通信部１１０は、基地局２００と無線通信を行う要素である。無線通信部１１０は、基地局２００に対して無線信号を送信し、基地局２００から無線信号を受信する。無線通信部１１０は、例えば、アンテナ及び高周波（Radio Frequency，ＲＦ）回路によって実装され得る。

　記憶部１２０は、端末装置１００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、端末装置１００の動作のための１つ以上の命令を含む。記憶部１２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部１２０が処理部１３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　処理部１３０は、端末装置１００の種々の機能を提供する要素であって、制御部１３１と通信処理部１３２とを機能ブロックとして有する。概略的には、制御部１３１が端末装置１００の処理を制御し、通信処理部１３２が基地局２００等の他のノードとの通信処理を実行する。なお、処理部１３０は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部１３０は、以上の機能ブロックによる動作以外の動作を実行できる。

　処理部１３０は、例えば、ベースバンドプロセッサ等の１以上のプロセッサによって実装され得る。処理部１３０は、記憶部１２０に記憶されたプログラムを記憶部１２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（制御部１３１及び通信処理部１３２）が、処理部１３０とは別の１以上のプロセッサによって実現されてもよい。処理部１３０がＳｏＣ（System on Chip）内で実装されてもよい。

＜＜２．３．　基地局２００の構成＞＞
　基地局２００は、端末装置１００と無線通信を行うノードであって、すなわち、無線アクセスネットワーク（Radio Access Network，ＲＡＮ）のノードである。基地局２００は、例えば、ｅＮＢ（evolved Node B）であってもよいし、５ＧにおけるｇＮＢ（generation Node B）であってもよい。

　図３は、本実施形態に係る基地局２００の概略的な構成を例示するブロック図である。図３に示すように、基地局２００は、無線通信部２１０とネットワーク通信部２２０と記憶部２３０と処理部２４０とを有する。

　無線通信部２１０は、端末装置１００と無線通信を行う要素である。無線通信部２１０は、端末装置１００に対して無線信号を送信し、端末装置１００から無線信号を受信する。無線通信部２１０は、例えば、アンテナ及び高周波（Radio Frequency，ＲＦ）回路によって実装され得る。

　ネットワーク通信部２２０は、コアネットワーク３０と通信する要素である。ネットワーク通信部２２０は、コアネットワーク３０に対して信号を送信し、コアネットワーク３０から信号を受信する。ネットワーク通信部２２０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカードによって実装され得る。

　記憶部２３０は、基地局２００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、基地局２００の動作のための１つ以上の命令を含む。記憶部２３０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部２３０が処理部２４０を構成する１以上のプロセッサと一体的に構成されてもよい。

　処理部２４０は、基地局２００の種々の機能を提供する要素であって、制御部２４１と通信処理部２４２とを機能ブロックとして有する。概略的には、制御部２４１が基地局２００の処理を制御し、通信処理部２４２が端末装置１００やコアネットワークノード３００等の他のノードとの通信処理を実行する。なお、処理部２４０は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部２４０は、以上の機能ブロックによる動作以外の動作を実行できる。

　処理部２４０は、例えば、ベースバンドプロセッサ等の１以上のプロセッサによって実装され得る。処理部２４０は、記憶部２３０に記憶されたプログラムを記憶部２３０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（制御部２４１及び通信処理部２４２）が、処理部２４０とは別の１以上のプロセッサによって実現されてもよい。

　なお、基地局２００が仮想化されていてもよい。すなわち、基地局２００が仮想マシンとして実装されてもよい。以上の場合、基地局２００（仮想マシン）は、プロセッサ及びメモリ等を含む物理マシン（ハードウェア）及びハイパーバイザ上で仮想マシンとして動作してよい。

＜＜２．４．　コアネットワーク３０の構成＞＞
　コアネットワーク３０は、例えば、５Ｇコアネットワーク（５ＧＣ）であって、一部又は全部がネットワーク機能仮想化（Network Function Virtualization，ＮＦＶ）技術を用いて構成される。

　図４は、本実施形態に係るコアネットワーク３０の概略的な構成を例示するブロック図である。図４に示すように、コアネットワーク３０は、サーバ装置ＳＶとストレージ装置ＳＴとネットワーク装置ＮＷとをハードウェアとして有する。

　以上のコアネットワーク３０のハードウェアはＮＦＶ技術を用いて仮想化され、複数のコアネットワークノード３００（インスタンス）が構成される。コアネットワークノード３００のタイプを非限定的に列挙する。
　－ＡＭＦ（Access and Mobility Management Function）
　－ＳＭＦ（Session Management Function）
　－ＰＣＦ（Policy Control Function）
　－ＮＳＳＦ（Network Slice Selection Function）
　－ＡＵＳＦ（Authentication Server Function）
　－ＵＤＭ（Unified Data Management）
　－ＵＰＦ（User Plane Function）

　なお、複数のコアネットワークノード３００の少なくとも一部が、ＮＦＶ技術を用いない物理装置によって実現されてもよい。

　仮想化されたコアネットワーク３０のリソースは、図４に示すように、各々が論理的（仮想的）なネットワークを構成する複数のネットワークスライスＮＳ１，ＮＳ２，ＮＳ３，…に分割され得る。すなわち、本実施形態のコアネットワーク３０は、複数のネットワークスライスＮＳを形成し得る。複数のネットワークスライスＮＳは、それぞれ異なるネットワーク特性を有する。各ネットワークスライスＮＳは、複数のコアネットワークノード３００を有する。なお、ネットワークスライスＮＳに属さないコアネットワークノード３００が存在してもよいし、１つのコアネットワークノード３００が複数のネットワークスライスＮＳに属してもよい。

　図５は、コアネットワーク３０のアーキテクチャを例示する説明図である。コアネットワーク３０のＣプレーンには、上記したＡＭＦ、ＳＭＦ、ＰＣＦ、ＮＳＳＦ、ＡＵＳＦ、ＵＤＭがネットワーク機能（コアネットワークノード３００）として含まれる。コアネットワーク３０のＵプレーンには、上記した１以上のＵＰＦがネットワーク機能（コアネットワークノード３００）として含まれる。ＵＰＦは、後述されるＭＥＣサーバ４００及び外部サーバ５００との接続点として構成され得る。

＜＜２．４．１．　一般的なコアネットワークノード３００の構成＞＞
　コアネットワークノード３００の各々は、コアネットワーク３０における特定のネットワーク機能（サービス）を提供する機能的な要素である。

　図６は、本実施形態に係るコアネットワークノード３００の概略的な構成を例示するブロック図である。図６に示すように、コアネットワークノード３００は、ネットワーク通信部３１０と記憶部３２０と処理部３３０とを有する。

　ネットワーク通信部３１０は、コアネットワーク３０内外の他ノードと通信する要素である。ネットワーク通信部３１０は、他ノードに対して信号を送信し、他ノードから信号を受信する。ネットワーク通信部３１０は、前述のように、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０のリソースによって実装され得る。

　記憶部３２０は、コアネットワークノード３００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、コアネットワークノード３００の動作のための１つ以上の命令を含む。記憶部３２０は、前述のように、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０のリソースによって実装され得る。

　処理部３３０は、コアネットワークノード３００の種々の機能を提供する要素であって、制御部３３１と通信処理部３３３とを機能ブロックとして有する。概略的には、制御部３３１がコアネットワークノード３００の処理を制御し、通信処理部３３３が他のノードとの通信処理を実行する。なお、処理部３３０は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部３３０は、以上の機能ブロックによる動作以外の動作を実行できる。処理部３３０は、前述のように、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０のリソースによって実装され得る。

＜＜２．４．２．　アクセス管理ノード３５０の構成＞＞
　アクセス管理ノード３５０は、例えば、３ＧＰＰ技術仕様（例えば、＜参考文献＞3GPP TS 23.501）に規定されるＡＭＦ（Access and Mobility Management Function）である。アクセス管理ノード３５０は、ＣプレーンのＮ２インタフェースを終端するノードであって、登録管理機能、接続管理機能、及び移動管理機能を提供する。

　図７は、本実施形態に係るアクセス管理ノード３５０の概略的な構成を例示するブロック図である。図７に示すように、アクセス管理ノード３５０は、ネットワーク通信部３１０と記憶部３２０と処理部３６０とを有する。ネットワーク通信部３１０及び記憶部３２０の構成及び機能は、一般的なコアネットワークノード３００と同様である。

　処理部３６０は、制御部３３１と検知部３３２と通信処理部３３３とを有する。制御部３３１及び通信処理部３３３の構成及び機能は、一般的なコアネットワークノード３００と同様である。検知部３３２は、概略的には、端末装置１００等のノードのセキュリティに関する状態や情報を検知する。

　なお、本実施形態によるアクセス管理ノード３５０の機能が、他のネットワーク機能インスタンスによって実現されてもよい。

＜＜２．５．　ＭＥＣサーバ４００の構成＞＞
　ＭＥＣサーバ４００は、コアネットワーク３０に属するサーバであって、端末装置１００に所定のサービスを提供する。ＭＥＣサーバ４００は、一般的なサーバよりも端末装置１００に近接して配置されることによって、端末装置１００に対してより効率的にサービスを提供することが可能となる。

　図８は、本実施形態に係るＭＥＣサーバ４００の概略的な構成を例示するブロック図である。図８に示すように、ＭＥＣサーバ４００は、ネットワーク通信部４１０と記憶部４２０と処理部４３０とを有する。

　ネットワーク通信部４１０は、コアネットワーク３０と通信する要素である。ネットワーク通信部４１０は、コアネットワーク３０に対して信号を送信し、コアネットワーク３０から信号を受信する。ネットワーク通信部４１０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカードによって実装され得る。

　記憶部４２０は、ＭＥＣサーバ４００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、ＭＥＣサーバ４００の動作のための１つ以上の命令を含む。記憶部４２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部４２０が処理部４３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　処理部４３０は、ＭＥＣサーバ４００の種々の機能を提供する要素であって、制御部４３１と検知部４３２と通信処理部４３３とを機能ブロックとして有する。概略的には、制御部４３１がＭＥＣサーバ４００の処理を制御し、検知部４３２が端末装置１００等のノードのセキュリティに関する状態や情報を検知し、通信処理部４３３がコアネットワークノード３００等の他のノードとの通信処理を実行する。なお、処理部４３０は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部４３０は、以上の機能ブロックによる動作以外の動作を実行できる。

　処理部４３０は、例えば、１以上のプロセッサによって実装され得る。処理部４３０は、記憶部４２０に記憶されたプログラムを記憶部４２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（制御部４３１、検知部４３２、及び通信処理部４３３）が、処理部４３０とは別の１以上のプロセッサによって実現されてもよい。

　なお、ＭＥＣサーバ４００（ネットワーク通信部４１０、記憶部４２０、及び処理部４３０）がＮＦＶ技術による仮想化されたリソースによって実装されてもよい。また、ＭＥＣサーバ４００は、コアネットワーク３０ではなく基地局２００と通信するように構成されてもよい。すなわち、ＭＥＣサーバ４００が基地局２００を介してコアネットワーク３０と通信可能に構成されてよい。

＜＜２．６．　外部サーバ５００の構成＞＞
　外部サーバ５００は、コアネットワーク３０外に位置するサーバである。外部サーバ５００は、コアネットワーク３０を介して、又はインターネット等の他のネットワークを介して、端末装置１００にサービスを提供する装置である。

　図９は、本実施形態に係る外部サーバ５００の概略的な構成を例示するブロック図である。図９に示すように、外部サーバ５００は、ネットワーク通信部５１０と記憶部５２０と処理部５３０とを有する。

　ネットワーク通信部５１０は、コアネットワーク３０と通信する要素である。ネットワーク通信部５１０は、コアネットワーク３０に対して信号を送信し、コアネットワーク３０から信号を受信する。ネットワーク通信部５１０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカードによって実装され得る。

　記憶部５２０は、外部サーバ５００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、外部サーバ５００の動作のための１つ以上の命令を含む。記憶部５２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部５２０が処理部５３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　処理部５３０は、外部サーバ５００の種々の機能を提供する要素であって、制御部５３１と検知部５３２と通信処理部５３３とを機能ブロックとして有する。概略的には、制御部５３１が外部サーバ５００の処理を制御し、検知部５３２が端末装置１００等のノードのセキュリティに関する状態や情報を検知し、通信処理部５３３がコアネットワークノード３００等の他のノードとの通信処理を実行する。なお、処理部５３０は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部５３０は、以上の機能ブロックによる動作以外の動作を実行できる。

　処理部５３０は、例えば、１以上のプロセッサによって実装され得る。処理部５３０は、記憶部５２０に記憶されたプログラムを記憶部５２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（制御部５３１、検知部５３２、及び通信処理部５３３）が、処理部５３０とは別の１以上のプロセッサによって実現されてもよい。

＜＜２．７．　動作例＞＞
　図１０から図１４を参照して、本実施形態の複数の動作例を説明する。以下の動作例における共通点は、アクセス管理ノード３５０の通信処理部３３３が、端末装置１００のセキュリティに関するセキュリティ情報ＳＩに基づいて、端末装置１００を収容すべきネットワークスライスＮＳに関するパラメータを示すコマンドを端末装置１００に送信することである。

　上記コマンドは、例えば、端末装置１００を収容すべきネットワークスライスＮＳを特定するスライス情報を含んでよい。上記コマンドは、例えば、端末装置１００（User Equipment，ＵＥ）の構成を更新するUE Configuration Update Commandであってよい。上記コマンドに含まれるスライス情報は、例えば、スライス／サービスタイプ（Slice/Service Type，ＳＳＴ）を特定するＮＳＳＡＩ（Network Slice Selection Assistance Information）パラメータを含んでよい。

　上記UE Configuration Update Commandは、例えば、＜参考文献＞3GPP TS 23.502（例えば、4.2.4.2 UE Configuration Update procedure for access and mobility management related parameters）に準拠してよい。また、上記ＳＳＴを特定するＮＳＳＡＩ（例えば、Ｓ－ＮＳＳＡＩ）は、例えば、＜参考文献＞3GPP TS 23.003（例えば、28.4.2 Format of the S-NSSAI）及び＜参考文献＞3GPP TS 3GPP TS 23.501（例えば、5.15.2.2 Standardised SST values）に準拠してよい。上記ＳＳＴは、ｅＭＢＢ、ＵＲＬＬＣ、ｍＭＴＣ（ＭＩｏＴ）、Ｖ２Ｘ等を特定する値（SST Value）を示してよい。図１０は、Ｓ－ＮＳＳＡＩ及びＳＳＴを例示する説明図である。

　ここで、図１０に示すように、従来の技術仕様では、ネットワークの静的な特性に応じたＳＳＴが規定されているのみであって、検知された脅威や脆弱性（セキュリティ情報）に応じたＳＳＴ（ひいては、ネットワークスライスＮＳ）は規定されていない。また、検知された脅威や脆弱性（セキュリティ情報）に応じたネットワークスライスＮＳの選択も、従来の技術仕様には規定されていない（例えば、＜参考文献＞3GPP TS 23.502の4.2.4.2 UE Configuration Update procedure for access and mobility management related parameters）。

＜＜２．７．１．　第１の動作例＞＞
　図１１及び図１２は、本実施形態における第１の動作例を示すシーケンス図である。図１１は、端末装置１００からの制御メッセージに基づいてアクセス管理ノード３５０が脆弱性を検知する例に対応し、図１２は、端末装置１００の通信内容に基づいてアクセス管理ノード３５０が脅威を検知する例に対応する。

　図１１に示すように、ステップＳ１１０において、端末装置１００の通信処理部１３２が、登録要求メッセージ（Registration Request Message）を基地局２００を介してアクセス管理ノード３５０に送信する。端末装置１００は、例えば、位置登録時に以上の登録要求メッセージをアクセス管理ノード３５０に送信してよい。以上の登録要求メッセージは、端末装置１００のセキュリティ能力を示すＮ２パラメータを含んでよい。以上の登録要求メッセージはＣプレーンのメッセージである。

　ステップＳ１２０において、アクセス管理ノード３５０の検知部３３２が、端末装置１００が送信する登録要求メッセージに示される端末装置１００のセキュリティ能力に基づいて端末装置１００に存在する脆弱性を検知する。検知部３３２は、検知した脆弱性をセキュリティ情報ＳＩとして通信処理部３３３に通知する。

　ステップＳ１３０において、アクセス管理ノード３５０の通信処理部３３３が、検知部３３２から通知されたセキュリティ情報ＳＩに基づいて、端末装置１００を収容すべきネットワークスライスＮＳに関するパラメータを示すコマンドを端末装置１００に送信する。

　ステップＳ１３０において送信されるコマンドは、例えば、検疫機能を有するネットワークスライスＮＳである検疫ネットワークスライスを特定してよい。すなわち、通信処理部３３３は、セキュリティ情報ＳＩに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置１００を収容させてよい。

　また、例えば、ステップＳ１３０において送信されるコマンドは、端末装置１００のセキュリティ能力に応じたセキュリティレベルを有するネットワークスライスＮＳを特定してよい。すなわち、通信処理部３３３は、セキュリティ情報ＳＩに応じたセキュリティレベルを有するネットワークスライスＮＳに端末装置１００を収容させてよい。

　以降、端末装置１００を含む各ノードが、以上のように検知された脆弱性（すなわち、セキュリティ情報ＳＩ）に基づいてネットワークスライスＮＳの構成変更に関する動作を実行することによって、端末装置１００が適切なネットワークスライスＮＳに収容される。

　次いで、図１２の例について説明する。図１２に示すように、ステップＳ１１２において、端末装置１００の通信処理部１３２が、基地局２００を介してアクセス管理ノード３５０にＣプレーン上の信号を送信する。上記信号は、例えば、認証関連の制御メッセージであってもよいし、その他の制御メッセージであってもよい。

　ステップＳ１２２において、アクセス管理ノード３５０の検知部３３２が、端末装置１００が送信するＣプレーン上の信号（すなわち、端末装置１００のＣプレーン上の通信内容）に基づいて端末装置１００に対する脅威を検知する。検知部３３２は、検知した脅威をセキュリティ情報ＳＩとして通信処理部３３３に通知する。なお、検知部３３２は、端末装置１００のＣプレーン上の通信内容に基づいて端末装置１００に存在する脆弱性を検知してもよい。

　ステップＳ１３０において、図１１の例と同様に、アクセス管理ノード３５０の通信処理部３３３が、検知部３３２から通知されたセキュリティ情報ＳＩに基づいて、端末装置１００を収容すべきネットワークスライスＮＳに関するパラメータを示すコマンドを端末装置１００に送信する。

　ステップＳ１３０において送信されるコマンドによって生じる動作は、図１１の例と同様である。すなわち、セキュリティ情報ＳＩに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置１００が収容されてもよく、セキュリティ情報ＳＩに応じたセキュリティレベルを有するネットワークスライスＮＳに端末装置１００が収容されてもよい。

　また、例えば、ステップＳ１３０において送信されるコマンドは、セキュリティ情報ＳＩに含まれる脅威が示す攻撃対象をコアネットワーク３０から切り離すような制御を実現するコマンドであってもよい。

　以降、図１１の例と同様に、端末装置１００を含む各ノードが、以上のように検知された脅威（すなわち、セキュリティ情報ＳＩ）に基づいてネットワークスライスＮＳの構成変更に関する動作を実行することによって、端末装置１００が適切なネットワークスライスＮＳに収容される。

＜＜２．７．２．　第２の動作例＞＞
　図１３は、本実施形態における第２の動作例を示すシーケンス図である。図１３は、端末装置１００からの通信内容に基づいてＭＥＣサーバ４００が脆弱性又は脅威を検知する例に対応する。

　ステップＳ２１０において、端末装置１００の通信処理部１３２が、ＵＰＦノード３００を介してＭＥＣサーバ４００とＵプレーン上の信号を送受信する。上記信号は、例えば、Ｗｅｂサイトを構成するユーザデータであってもよいし、その他のユーザデータであってもよい。

　ステップＳ２２０において、ＭＥＣサーバ４００の検知部４３２が、端末装置１００が送受信するＵプレーン上の信号（すなわち、端末装置１００のＵプレーン上の通信内容）に基づいて、端末装置１００に存在する脆弱性又は端末装置１００に対する脅威を検知する。検知部４３２は、例えば、端末装置１００のＵプレーン上のデータに含まれるマルウェアを脅威として検知できる。

　ステップＳ２３０において、ＭＥＣサーバ４００の通信処理部４３３が、検知部４３２が検知した脆弱性又は脅威をセキュリティ情報ＳＩとしてＵＰＦノード３００を介してアクセス管理ノード３５０に通知する。なお、通信処理部４３３は、以上のセキュリティ情報ＳＩを含むネットワークスライス構成の変更要求をアクセス管理ノード３５０に通知してよい。

　ステップＳ２４０において、図１１及び図１２の例と同様に、アクセス管理ノード３５０の通信処理部３３３が、ＭＥＣサーバ４００から通知されたセキュリティ情報ＳＩに基づいて、端末装置１００を収容すべきネットワークスライスＮＳに関するパラメータを示すコマンドを端末装置１００に送信する。

　ステップＳ２４０において送信コマンドによって生じる動作は、図１１及び図１２の例と同様である。すなわち、セキュリティ情報ＳＩに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置１００が収容されてもよく、セキュリティ情報ＳＩに応じたセキュリティレベルを有するネットワークスライスＮＳに端末装置１００が収容されてもよい。また、ステップＳ２４０において送信されるコマンドは、セキュリティ情報ＳＩに含まれる脅威が示す攻撃対象をコアネットワーク３０から切り離すような制御を実現するコマンドであってもよい。

　以降、図１１及び図１２の例と同様に、端末装置１００を含む各ノードが、以上のように検知された脆弱性又は脅威（すなわち、セキュリティ情報ＳＩ）に基づいてネットワークスライスＮＳの構成変更に関する動作を実行することによって、端末装置１００が適切なネットワークスライスＮＳに収容される。

＜＜２．７．３．　第３の動作例＞＞
　図１４は、本実施形態における第３の動作例を示すシーケンス図である。図１４は、端末装置１００からの通信内容に基づいて外部サーバ５００が脆弱性又は脅威を検知する例に対応する。

　ステップＳ３１０において、端末装置１００の通信処理部１３２が、外部サーバ５００とＣプレーン上の信号及びＵプレーン上の信号を送受信する。上記Ｃプレーン上の信号は、例えば、ログデータであってもよいし、その他の制御メッセージであってもよい。上記Ｕプレーン上の信号は、例えば、Ｗｅｂサイトを構成するユーザデータであってもよいし、その他のユーザデータであってもよい。

　ステップＳ３２０において、外部サーバ５００の検知部５３２が、端末装置１００が送受信するＣプレーン上の信号及び／又はＵプレーン上の信号（すなわち、端末装置１００のＣプレーン及び／又はＵプレーン上の通信内容）に基づいて、端末装置１００に存在する脆弱性又は端末装置１００に対する脅威を検知する。検知部５３２は、例えば、端末装置１００のＵプレーン上のデータに含まれるマルウェアを脅威として検知できる。他に、検知部５３２は、例えば、端末装置１００のＣプレーン上の通信をインターセプトすることで脅威を検知できる。

　ステップＳ３３０において、外部サーバ５００の通信処理部５３３が、検知部５３２が検知した脆弱性又は脅威をセキュリティ情報ＳＩとしてアクセス管理ノード３５０に通知する。通信処理部５３３は、セキュリティ情報ＳＩをＵプレーン上の信号としてＵＰＦノード３００を介してアクセス管理ノード３５０に送信してもよいし、セキュリティ情報ＳＩをＣプレーン上の信号としてアクセス管理ノード３５０に送信してもよい。なお、通信処理部５３３は、以上のセキュリティ情報ＳＩを含むネットワークスライス構成の変更要求をアクセス管理ノード３５０に通知してよい。

　ステップＳ３４０において、図１１及び図１２の例と同様に、アクセス管理ノード３５０の通信処理部３３３が、外部サーバ５００から通知されたセキュリティ情報ＳＩに基づいて、端末装置１００を収容すべきネットワークスライスＮＳに関するパラメータを示すコマンドを端末装置１００に送信する。

　ステップＳ３４０において送信コマンドによって生じる動作は、図１１及び図１２の例と同様である。すなわち、セキュリティ情報ＳＩに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置１００が収容されてもよく、セキュリティ情報ＳＩに応じたセキュリティレベルを有するネットワークスライスＮＳに端末装置１００が収容されてもよい。また、ステップＳ３４０において送信されるコマンドは、セキュリティ情報ＳＩに含まれる脅威が示す攻撃対象をコアネットワーク３０から切り離すような制御を実現するコマンドであってもよい。

　上記した本実施形態の構成によれば、アクセス管理ノード３５０、ＭＥＣサーバ４００、又は外部サーバ５００が検知したセキュリティ情報ＳＩに基づいて、適切なネットワークスライスへの収容処理を実現することが可能である。すなわち、上記した本実施形態の構成によって、端末装置１００を適切なネットワークスライスに収容することが可能である。

　特に、多種多様な端末装置１００がコアネットワーク３０に接続されても、適切なネットワークスライスＮＳに端末装置１００を動的に収容できるので、個々の端末装置１００や、端末装置１００を使用する個々の事業者に対して、個別の設定管理をする負荷が回避される。ひいては、通信システムＳ１の管理負荷や管理コストを低減することができる。

　加えて、検知された脆弱性や脅威に応じてネットワークスライスＮＳの動的な割当てが実現できるので、通信トラヒックが増大してもハードウェア増設の規模（ひいては、設備投資コスト）を低減することができる。

＜＜２．８．　変形例＞＞
　上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された２以上の態様は、相互に矛盾しない限り適宜に併合され得る。

　上記した脆弱性又は脅威が検知されたことに基づいて、新たなネットワークスライスＮＳが形成されてもよい。脆弱性又は脅威を示すセキュリティ情報ＳＩに適合したネットワークスライスＮＳ（例えば、脆弱性又は脅威のレベルに応じたセキュリティレベルを有するネットワークスライスＮＳ）が形成されると好適である。

　上記した本実施形態においては、端末装置１００が送受信する信号（Ｃプレーン上の信号又はＵプレーン上の信号）に基づいて脆弱性や脅威が検知され、端末装置１００を単位としてネットワークスライスＮＳの割当てが実行される。

　しかしながら、以上の構成では、個々の端末装置１００ごとにネットワークスライスＮＳの制御が実行されるので、処理粒度（制御粒度）が微細に過ぎる可能性がある。そこで、本変形例においては、端末装置１００ではなく事業者を単位としてネットワークスライスＮＳの制御が実行される。

　例えば、アクセス管理ノード３５０の検知部３３２、ＭＥＣサーバ４００の検知部４３２、又は外部サーバ５００の検知部５３２によって、特定の事業者に対する脅威（攻撃）が検知されると、以上の脅威（攻撃）を示すセキュリティ情報ＳＩがアクセス管理ノード３５０の通信処理部３３３に供給される。以上の脅威は、特定の事業者が管理するノードが送受信する信号（Ｃプレーン上の信号又はＵプレーン上の信号）に基づいて検知され得る。

　アクセス管理ノード３５０の通信処理部３３３は、供給された以上のセキュリティ情報ＳＩに基づいて、他のネットワークスライスＮＳ（例えば、セキュリティ情報ＳＩが示す攻撃対象であるネットワークスライスＮＳ以外のネットワークスライスＮＳ）に特定の事業者を収容するように制御する。

　「ネットワークスライスＮＳに事業者を収容する」とは、例えば、特定の事業者が管理する全部又は一部のノードを、上記ネットワークスライスＮＳに収容することを意味し得る。上記ネットワークスライスＮＳに収容される上記ノードには、特定の事業者が管理するコアネットワークノード３００が含まれ得る。

　以上の本変形例の構成によれば、事業者を単位としてネットワークスライスＮＳの制御が実行されるので、より効率的な収容処理を実現することが可能である。

＜＜３．　第２実施形態＞＞
　次いで、図１５から図２０を参照して、本発明の第２実施形態を説明する。上述した第１実施形態は具体的な実施形態であるが、第２実施形態はより一般化された実施形態である。以下の第２実施形態によれば、第１実施形態と同様の技術的効果が奏される。

＜＜３．１．　アクセス管理ノード３５０ａの構成と動作例＞＞
　図１５は、本発明の第２実施形態に係るアクセス管理ノード３５０ａの概略的な構成を例示するブロック図である。図１５に示すように、アクセス管理ノード３５０ａは、複数のネットワークスライスを形成するコアネットワーク３０ａに属するコアネットワークノードである。

　アクセス管理ノード３５０ａの通信処理部３３３ａは、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。

　アクセス管理ノード３５０ａ及び通信処理部３３３ａは、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０ａのリソースによって実装されてよい。また、アクセス管理ノード３５０ａが、ＮＦＶ技術を用いない物理装置によって実現され、通信処理部３３３ａが、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　－第１実施形態との関係
　一例として、第２実施形態に係るアクセス管理ノード３５０ａが備える通信処理部３３３ａが、第１実施形態に係るアクセス管理ノード３５０が備える通信処理部３３３の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

＜＜３．２．　ＭＥＣサーバ４００ａの構成と動作例＞＞
　図１６は、本発明の第２実施形態に係るＭＥＣサーバ４００ａの概略的な構成を例示するブロック図である。図１６に示すように、ＭＥＣサーバ４００は、複数のネットワークスライスを形成するコアネットワーク３０ａに属する。なお、ＭＥＣサーバ４００ａが、上記コアネットワーク３０ａの外部に上記コアネットワーク３０ａと通信可能なように設けられてもよい。

　ＭＥＣサーバ４００ａの通信処理部４３３ａは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワーク３０ａに属するコアネットワークノードに対して送信する。

　ＭＥＣサーバ４００ａ及び通信処理部４３３ａは、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０ａのリソースによって実装されてよい。また、ＭＥＣサーバ４００ａが、ＮＦＶ技術を用いない物理装置によって実現され、通信処理部４３３ａが、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　－第１実施形態との関係
　一例として、第２実施形態に係るＭＥＣサーバ４００ａが備える通信処理部４３３ａが、第１実施形態に係るＭＥＣサーバ４００が備える通信処理部４３３の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

＜＜３．３．　外部サーバ５００ａの構成と動作例＞＞
　図１７は、本発明の第２実施形態に係る外部サーバ５００ａの概略的な構成を例示するブロック図である。図１７に示すように、外部サーバ５００は、複数のネットワークスライスを形成するコアネットワーク３０ａと通信可能に設けられる。

　外部サーバ５００ａの通信処理部５３３ａは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワーク３０ａに属するコアネットワークノードに対して送信する。

　外部サーバ５００ａは、サーバ装置等の物理装置によって実現されてよい。通信処理部５３３ａは、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　－第１実施形態との関係
　一例として、第２実施形態に係る外部サーバ５００ａが備える通信処理部５３３ａが、第１実施形態に係る外部サーバ５００が備える通信処理部５３３の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

＜＜３．４．１．　通信システムＳ１ａの第１の構成と動作例＞＞
　図１８は、本発明の第２実施形態に係る通信システムＳ１ａの第１の構成を概略的に例示するブロック図である。図１８に示すように、通信システムＳ１ａは、アクセス管理ノード３５０をコアネットワークノードとして備える。アクセス管理ノード３５０ａは、複数のネットワークスライスを形成するコアネットワーク３０ａに属する。

＜＜３．４．２．　通信システムＳ１ａの第２の構成と動作例＞＞
　図１９は、本発明の第２実施形態に係る通信システムＳ１ａの第２の構成を概略的に例示するブロック図である。図１９に示すように、通信システムＳ１ａは、アクセス管理ノード３５０をコアネットワークノードとして備えると共に、ＭＥＣサーバ４００ａを備える。アクセス管理ノード３５０ａ及びＭＥＣサーバ４００は、複数のネットワークスライスを形成するコアネットワーク３０ａに属する。なお、ＭＥＣサーバ４００ａが、上記コアネットワーク３０ａの外部に上記コアネットワーク３０ａと通信可能なように設けられてもよい。

　ＭＥＣサーバ４００ａの通信処理部４３３ａは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記アクセス管理ノード３５０（コアネットワークノード）に対して送信する。

　アクセス管理ノード３５０ａの通信処理部３３３ａは、ＭＥＣサーバ４００ａからのセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。

　アクセス管理ノード３５０ａ及び通信処理部３３３ａ並びにＭＥＣサーバ４００ａ及び通信処理部４３３ａは、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０ａのリソースによって実装されてよい。また、アクセス管理ノード３５０ａ及び／又はＭＥＣサーバ４００ａが、ＮＦＶ技術を用いない物理装置によって実現され、通信処理部３３３ａ及び／又は通信処理部４３３ａが、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　－第１実施形態との関係
　一例として、第２実施形態に係るアクセス管理ノード３５０ａが備える通信処理部３３３ａが、第１実施形態に係るアクセス管理ノード３５０が備える通信処理部３３３の動作を実行してもよい。同様に、第２実施形態に係るＭＥＣサーバ４００ａが備える通信処理部４３３ａが、第１実施形態に係るＭＥＣサーバ４００が備える通信処理部４３３の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

＜＜３．４．３．　通信システムＳ１ａの第３の構成と動作例＞＞
　図２０は、本発明の第２実施形態に係る通信システムＳ１ａの第３の構成を概略的に例示するブロック図である。図２０に示すように、通信システムＳ１ａは、アクセス管理ノード３５０をコアネットワークノードとして備えると共に、外部サーバ５００ａを備える。アクセス管理ノード３５０ａは、複数のネットワークスライスを形成するコアネットワーク３０ａに属する。外部サーバ５００ａは、上記コアネットワーク３０ａと通信可能に設けられる。

　外部サーバ５００ａの通信処理部５３３ａは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記アクセス管理ノード３５０（コアネットワークノード）に対して送信する。

　アクセス管理ノード３５０ａの通信処理部３３３ａは、外部サーバ５００ａからのセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。

　アクセス管理ノード３５０ａ及び通信処理部３３３ａは、ＮＦＶ技術を用いて仮想化されたコアネットワーク３０ａのリソースによって実装されてよい。また、アクセス管理ノード３５０ａがＮＦＶ技術を用いない物理装置によって実現され、通信処理部３３３ａが、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　－第１実施形態との関係
　一例として、第２実施形態に係るアクセス管理ノード３５０ａが備える通信処理部３３３ａが、第１実施形態に係るアクセス管理ノード３５０が備える通信処理部３３３の動作を実行してもよい。同様に、第２実施形態に係る外部サーバ５００ａが備える通信処理部５３３ａが、第１実施形態に係るＭＥＣサーバ４００が備える通信処理部４３３の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

　＜＜４．　他の実施形態＞＞
　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明した端末装置、基地局、コアネットワークノード、ＭＥＣサーバ、及び外部サーバの構成要素（例えば、制御部、検知部、及び／又は通信処理部）を備える装置（例えば、以上のいずれかのエンティティを構成する複数の装置（又はユニット）のうちの１つ以上の装置（又はユニット）、又は上記複数の装置（又はユニット）のうちの１つのためのモジュール）が提供されてもよい。

　また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory computer readable medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　コアネットワークノード。

（付記２）
　前記コマンドは、前記端末装置を収容すべき前記ネットワークスライスを特定するスライス情報を含む、
　付記１に記載のコアネットワークノード。

（付記３）
　前記コマンドは、前記端末装置の構成を更新するUE Configuration Update Commandである、
　付記１又は付記２に記載のコアネットワークノード。

（付記４）
　前記スライス情報は、スライス／サービスタイプ（Slice/Service Type）を特定するＮＳＳＡＩ（Network Slice Selection Assistance Information）パラメータを含む、
　付記２に記載のコアネットワークノード。

（付記５）
　前記通信処理部は、前記セキュリティ情報に基づいて、検疫機能を有する検疫ネットワークスライスに前記端末装置を収容させる、
　付記１から付記４のいずれか１項に記載のコアネットワークノード。

（付記６）
　前記通信処理部は、前記セキュリティ情報に応じたセキュリティレベルを有するネットワークスライスに前記端末装置を収容させる、
　付記１から付記４のいずれか１項に記載のコアネットワークノード。

（付記７）
　前記通信処理部は、前記セキュリティ情報が示す攻撃対象を前記コアネットワークから切り離す、
　付記１から付記４のいずれか１項に記載のコアネットワークノード。

（付記８）
　前記端末装置に存在する脆弱性を検知し、検知した前記脆弱性を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　付記１から付記７のいずれか１項に記載のコアネットワークノード。

（付記９）
　前記検知部は、前記端末装置が送信する登録要求メッセージに示される当該端末装置のセキュリティ能力に基づいて前記脆弱性を検知する、
　付記８に記載のコアネットワークノード。

（付記１０）
　前記登録要求メッセージは、位置登録時に前記端末装置から送信され、前記セキュリティ能力を示すＮ２パラメータを含む、
　付記９に記載のコアネットワークノード。

（付記１１）
　前記検知部は、前記端末装置のＣプレーン上の通信内容に基づいて前記脆弱性を検知する、
　付記８から付記１０のいずれか１項に記載のコアネットワークノード。

（付記１２）
　前記端末装置に対する脅威を検知し、検知した前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　付記１から付記７のいずれか１項に記載のコアネットワークノード。

（付記１３）
　前記検知部は、前記端末装置のＣプレーン上の通信内容に基づいて前記脅威を検知する、
　付記１２に記載のコアネットワークノード。

（付記１４）
　前記通信処理部は、前記コアネットワークに属する又は前記コアネットワークと通信可能なＭＥＣ（Mobile Edge Computing）サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
　付記１から付記７のいずれか１項に記載のコアネットワークノード。

（付記１５）
　前記セキュリティ情報は、前記端末装置のＵプレーン上の通信内容に基づいて前記ＭＥＣサーバが検知した前記脆弱性又は前記脅威を示す、
　付記１４に記載のコアネットワークノード。

（付記１６）
　前記通信処理部は、前記コアネットワーク外に位置する外部サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
　付記１から付記７のいずれか１項に記載のコアネットワークノード。

（付記１７）
　前記セキュリティ情報は、前記端末装置のＣプレーン及び／又はＵプレーン上の通信内容に基づいて前記外部サーバが検知した前記脆弱性又は前記脅威を示す、
　付記１６に記載のコアネットワークノード。

（付記１８）
　Access and Mobility Management Functionである、付記１から付記１７のいずれか１項に記載のコアネットワークノード。

（付記１９）
　複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣサーバであって、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
　ＭＥＣサーバ。

（付記２０）
　前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　付記１９に記載のＭＥＣサーバ。

（付記２１）
　複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
　外部サーバ。

（付記２２）
　前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　付記２１に記載の外部サーバ。

（付記２３）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
　前記コアネットワークノードは、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。

（付記２４）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
　前記コアネットワークに属する又は前記コアネットワークと通信可能なＭＥＣサーバと、を備える通信システムであって、
　前記ＭＥＣサーバは、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
　前記コアネットワークノードは、
　前記ＭＥＣサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。

（付記２５）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
　前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、
　前記外部サーバは、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
　前記コアネットワークノードは、
　前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。

（付記２６）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える、
　制御方法。

（付記２７）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラム。

（付記２８）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラムを記録した非一過性の記録媒体。

（付記２９）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える、
　コアネットワークノード。

（付記３０）
　複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣ（Mobile Edge Computing）サーバであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
　ＭＥＣサーバ。

（付記３１）
　複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
　外部サーバ。

（付記３２）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
　前記コアネットワークノードは、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える、
　通信システム。

（付記３３）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える、
　制御方法。

（付記３４）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラム。

（付記３５）
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラムを記録した非一過性の記録媒体。

　この出願は、２０２０年６月２６日に出願された日本出願特願２０２０－１１００５９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　アクセス管理ノード３５０、ＭＥＣサーバ４００、又は外部サーバ５００が検知したセキュリティ情報ＳＩ（脆弱性又は脅威）に基づいて、端末装置１００を適切なネットワークスライスに収容することが可能である。

　　Ｓ１　　通信システム
　　３０　　コアネットワーク
　１００　　端末装置
　２００　　基地局
　３００　　コアネットワークノード
　３５０　　アクセス管理ノード
　４００　　ＭＥＣサーバ
　５００　　外部サーバ

Claims

　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　コアネットワークノード。
　前記コマンドは、前記端末装置を収容すべき前記ネットワークスライスを特定するスライス情報を含む、
　請求項１に記載のコアネットワークノード。
　前記コマンドは、前記端末装置の構成を更新するUE Configuration Update Commandである、
　請求項１又は請求項２に記載のコアネットワークノード。
　前記スライス情報は、スライス／サービスタイプ（Slice/Service Type）を特定するＮＳＳＡＩ（Network Slice Selection Assistance Information）パラメータを含む、
　請求項２に記載のコアネットワークノード。
　前記通信処理部は、前記セキュリティ情報に基づいて、検疫機能を有する検疫ネットワークスライスに前記端末装置を収容させる、
　請求項１から請求項４のいずれか１項に記載のコアネットワークノード。
　前記通信処理部は、前記セキュリティ情報に応じたセキュリティレベルを有するネットワークスライスに前記端末装置を収容させる、
　請求項１から請求項４のいずれか１項に記載のコアネットワークノード。
　前記通信処理部は、前記セキュリティ情報が示す攻撃対象を前記コアネットワークから切り離す、
　請求項１から請求項４のいずれか１項に記載のコアネットワークノード。
　前記端末装置に存在する脆弱性を検知し、検知した前記脆弱性を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　請求項１から請求項７のいずれか１項に記載のコアネットワークノード。
　前記検知部は、前記端末装置が送信する登録要求メッセージに示される当該端末装置のセキュリティ能力に基づいて前記脆弱性を検知する、
　請求項８に記載のコアネットワークノード。
　前記登録要求メッセージは、位置登録時に前記端末装置から送信され、前記セキュリティ能力を示すＮ２パラメータを含む、
　請求項９に記載のコアネットワークノード。
　前記検知部は、前記端末装置のＣプレーン上の通信内容に基づいて前記脆弱性を検知する、
　請求項８から請求項１０のいずれか１項に記載のコアネットワークノード。
　前記端末装置に対する脅威を検知し、検知した前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　請求項１から請求項７のいずれか１項に記載のコアネットワークノード。
　前記検知部は、前記端末装置のＣプレーン上の通信内容に基づいて前記脅威を検知する、
　請求項１２に記載のコアネットワークノード。
　前記通信処理部は、前記コアネットワークに属する又は前記コアネットワークと通信可能なＭＥＣ（Mobile Edge Computing）サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
　請求項１から請求項７のいずれか１項に記載のコアネットワークノード。
　前記セキュリティ情報は、前記端末装置のＵプレーン上の通信内容に基づいて前記ＭＥＣサーバが検知した前記脆弱性又は前記脅威を示す、
　請求項１４に記載のコアネットワークノード。
　前記通信処理部は、前記コアネットワーク外に位置する外部サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
　請求項１から請求項７のいずれか１項に記載のコアネットワークノード。
　前記セキュリティ情報は、前記端末装置のＣプレーン及び／又はＵプレーン上の通信内容に基づいて前記外部サーバが検知した前記脆弱性又は前記脅威を示す、
　請求項１６に記載のコアネットワークノード。
　Access and Mobility Management Functionである、請求項１から請求項１７のいずれか１項に記載のコアネットワークノード。
　複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣサーバであって、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
　ＭＥＣサーバ。
　前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　請求項１９に記載のＭＥＣサーバ。
　複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
　外部サーバ。
　前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
　請求項２１に記載の外部サーバ。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
　前記コアネットワークノードは、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
　前記コアネットワークに属する又は前記コアネットワークと通信可能なＭＥＣサーバと、を備える通信システムであって、
　前記ＭＥＣサーバは、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
　前記コアネットワークノードは、
　前記ＭＥＣサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
　前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、
　前記外部サーバは、
　端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
　前記コアネットワークノードは、
　前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
　通信システム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える、
　制御方法。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラムを記録した非一過性の記録媒体。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える、
　コアネットワークノード。
　複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なＭＥＣ（Mobile Edge Computing）サーバであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
　ＭＥＣサーバ。
　複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
　特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
　検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
　外部サーバ。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
　前記コアネットワークノードは、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える、
　通信システム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える、
　制御方法。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラム。
　複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
　特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
　プログラムを記録した非一過性の記録媒体。