WO2022038781A1

WO2022038781A1 - 通信制御プログラム、通信制御方法および通信制御装置

Info

Publication number: WO2022038781A1
Application number: PCT/JP2020/031686
Authority: WO
Inventors: 浩一山崎; 由紀藤嶌
Original assignee: 富士通株式会社
Priority date: 2020-08-21
Filing date: 2020-08-21
Publication date: 2022-02-24

Abstract

閉域ネットワークのサービス利用時の待ち時間を短縮する。　制御部（１ａ）は、記憶部（１ｂ）から利用サービス情報を取得し、利用サービス情報にもとづいてサービス毎の利用比率として、例えば、サービス（Ａ）の利用比率を３０％、サービス（Ｂ）の利用比率を４０％、サービス（Ｃ）の利用比率を３０％の比率と算出する。制御部（１ａ）は、利用比率に応じたリソースをプールする。また、ユーザ端末（４）がサービス実行サーバ（３）からサービス（Ａ）を利用する場合、制御部（１ａ）は、サービス（Ａ）の３０％のリソースを使用してサービス実行サーバ（３）とユーザ端末（４）との間に閉域ネットワーク（ｎ１）を、ユーザ端末（４）のサービスの開始前にあらかじめ構築しておく。この場合、制御部（１ａ）は、ユーザ端末（４）からサービス開始を検出するまでは、閉域ネットワーク（ｎ１）はユーザ端末（４）に対して非接続状態にしておく。

Description

通信制御プログラム、通信制御方法および通信制御装置

　本発明は、通信制御プログラム、通信制御方法および通信制御装置に関する。

　近年、企業のネットワークとして閉域ネットワークの利用が増えてきている。閉域ネットワークは、不特定多数を相手に情報共有可能なインターネットとは分離されたネットワークであり、社内で限定された通信を地理的に離れた拠点間で行うことが可能なネットワークである。

　関連技術としては、例えば、サービス要求事項とセキュリティサービスとのマッチングからセキュリティサービスのバインディングを生成してセキュリティ制御コマンドに変換し、セキュリティ制御手段にセキュリティ制御コマンドを送信する技術が提案されている。また、サービスリソースプールから特定のサービスリソースを取得し、サービスレベルに関連するパケットトラフィックをサービスするために特定のサービスリソースを使用する技術が提案されている。

特開２０１７－０３４６５９号公報米国特許出願公開第２０１３／０３０１６５２号明細書

　しかし、従前では、サービスの利用開始を検出してから閉域ネットワークが構築されるため、利用者が閉域ネットワークのサービスを利用できるまで時間がかかり待たされるという問題がある。

　１つの側面では、本発明は、閉域ネットワークのサービス利用時の待ち時間の短縮化を図った通信制御プログラム、通信制御方法および通信制御装置を提供することを目的とする。

　上記課題を解決するために、通信制御プログラムが提供される。通信制御プログラムは、コンピュータに、ユーザ端末と、ユーザ端末がアクセスしうるサービスと、を含む利用サービス情報をメモリに記憶し、利用サービス情報にもとづいてサービス毎の利用比率を算出し、利用比率に応じたリソースをプールし、サービスを配信しうるリソースを有する閉域ネットワークをサービスの開始前にユーザ端末に対して非接続の状態で構築する処理を実行させる。

　また、上記課題を解決するために、コンピュータが上記通信制御プログラムと同様の制御を実行する通信制御方法が提供される。
　さらに、上記課題を解決するために、上記通信制御プログラムと同様の制御を実行する通信制御装置が提供される。

　１側面によれば、閉域ネットワークのサービス利用時の待ち時間を短縮することが可能になる。
　本発明の上記および他の目的、特徴および利点は本発明の例として好ましい実施の形態を表す添付の図面と関連した以下の説明により明らかになるであろう。

通信制御装置の一例を説明するための図である。閉域ネットワークの構築からサービス開始までの流れの一例を示す図である。閉域ネットワークの構築からサービス開始までの流れの一例を示す図である。閉域ネットワーク構築システムの機能ブロックの一例を示す図である。閉域ネットワーク管理サーバのハードウェア構成の一例を示す図である。コンテナイメージの一例を示す図である。仮想マシンイメージの一例を示す図である。利用サービス情報テーブルの一例を示す図である。閉域ネットワーク情報テーブルの一例を示す図である。プール数の比率の決定の一例を示す図である。閉域ネットワークの構築の一例を示す図である。閉域ネットワークの配備の一例を示す図である。閉域ネットワークの回収の一例を示す図である。プール数の比率の求め方を説明するための図である。閉域ネットワーク構築システムの全体動作の一例を示すフローチャートである。閉域ネットワーク構築システムの全体動作の一例を示すフローチャートである。ユーザ端末のネットワーク接続から切断までの流れの一例を示すフローチャートである。閉域ネットワークの構築を説明するための図である。閉域ネットワークの配備および回収を説明するための図である。類似の閉域ネットワークの抽出を説明するための図である。

　以下、本実施の形態について図面を参照して説明する。
　図１は通信制御装置の一例を説明するための図である。通信制御装置１は、制御部１ａおよび記憶部１ｂを備える。

　記憶部１ｂは、ユーザ端末と、ユーザ端末がアクセスしうるサービスとを含む利用サービス情報を記憶する。制御部１ａは、利用サービス情報にもとづいてサービス毎の利用比率を算出する。そして、制御部１ａは、利用比率に応じたリソースをプールし、サービスを配信しうるリソースを有する閉域ネットワークをサービスの開始前にユーザ端末に対して非接続の状態で構築する。

　なお、制御部１ａの機能は、通信制御装置１が備える図示しないプロセッサが、所定のプログラムを実行することによって実現される。
　図１の例を用いて動作について説明する。

　〔ステップＳ１〕制御部１ａは、記憶部１ｂから利用サービス情報を取得する。
　〔ステップＳ２〕制御部１ａは、利用サービス情報にもとづいてサービス毎の利用比率を算出する。例えば、サービスＡの利用比率を３０％、サービスＢの利用比率を４０％、サービスＣの利用比率を３０％の比率と算出する（利用比率の算出については後述する）。

　〔ステップＳ３〕制御部１ａは、サービス毎の利用比率に応じたリソース（通信帯域、ＣＰＵ（Central Processing Unit）使用率等）をプールする。
　〔ステップＳ４〕制御部１ａは、所定サービスを配信する際のリソースを有する閉域ネットワークを、サービスの開始前にユーザ端末に対して非接続の状態で構築しておく。例えば、ユーザ端末４は、サービス実行サーバ３からサービスＡを利用するものとする。

　この場合、制御部１ａは、サービスＡの３０％のリソースを使用してサービス実行サーバ３とユーザ端末４との間に閉域ネットワークｎ１を、ユーザ端末４のサービスの開始前にあらかじめ構築しておく。なお、制御部１ａは、ユーザ端末４からサービス開始を検出するまでは、閉域ネットワークｎ１はユーザ端末４に対して非接続状態にしておく。

　具体的には、サービス実行サーバ３からネットワークＮ０内のネットワーク機器（図示せず）までの所定範囲に閉域ネットワークｎ１を接続して構築しておく（閉域ネットワークの構築の詳細については後述する）。

　このように、通信制御装置１では、ユーザ端末がアクセスしうるサービスの利用比率を算出し、利用比率に応じたリソースを有する閉域ネットワークをユーザに対して非接続の状態であらかじめ構築しておく。

　従前のように、サービス利用開始を検出してから閉域ネットワークを最初から構築するのではなく、あらかじめ所定範囲まで閉域ネットワークが事前に構築されている。これにより、閉域ネットワークのサービス利用時の待ち時間を短縮することができるので、利用者が閉域ネットワークのサービスを利用できるまで時間がかかり待たされるといった問題を解消することができる。

　（閉域ネットワークの一般的な構築動作およびその課題）
　次に本発明の詳細を説明する前に、閉域ネットワークの一般的な構築動作およびその課題について図２、図３を用いて説明する。

　図２、図３は閉域ネットワークの構築からサービス開始までの流れの一例を示す図である。
　〔ステップＳ１１〕ユーザ端末４ａは、閉域ネットワーク構築装置５に対して、閉域ネットワークを用いたサービスの利用要求を送信する。

　〔ステップＳ１２〕閉域ネットワーク構築装置５は、サービスの利用要求を検出する。
　〔ステップＳ１３〕閉域ネットワーク構築装置５は、ユーザ端末４ａから要求されたサービスを配備する。

　〔ステップＳ１４〕閉域ネットワーク構築装置５は、サービス３ａとユーザ端末４ａとを接続する閉域ネットワークを構築する。
　〔ステップＳ１５〕サービス３ａとユーザ端末４ａは、閉域ネットワークｎ２０を介して接続され、サービス３ａとユーザ端末４ａとの通信が可能になって、ユーザ端末４ａは所望のサービスを利用する。

　ここで、閉域ネットワークｎ２０が構築されるまでは、ユーザ端末４ａとサービス３ａとをつなぐネットワークは存在しない。このため、閉域ネットワークｎ２０の構築前にユーザ端末４ａからサービス３ａにアクセスすると、物理ネットワーク内に配置されている中継機器（図示せず）から送信されるNetwork Unreachableのメッセージｍ１がユーザ端末４ａに返ってくることになる。

　上記のように、従前の閉域ネットワークの構築処理では、サービスの利用開始を検出した後、一から閉域ネットワークが構築されるので、ユーザ端末４ａがサービス利用要求を送信してからサービスの利用が可能になるまで時間がかかってしまう。本発明はこのような点に鑑みてなされたものであり、閉域ネットワークの構築を効率よく行って、サービス利用開始までの待ち時間の短縮化を図るものである。

　＜機能ブロック＞
　以降、本発明の構成および動作について詳しく説明する。図４は閉域ネットワーク構築システムの機能ブロックの一例を示す図である。閉域ネットワーク構築システム１－１は、閉域ネットワーク管理サーバ１０、サービス配信サーバ２０、サービス実行サーバ３０およびユーザ端末４０を備える。閉域ネットワーク管理サーバ１０は、図１の通信制御装置１の機能を実現する。

　閉域ネットワーク管理サーバ１０は、制御部１１および記憶部１２を含む。制御部１１は、図１の制御部１ａの機能を実行し、記憶部１２は、図１の記憶部１ｂの機能を実行する。

　制御部１１は、閉域ネットワーク管理部１１ａ、利用サービス情報管理部１１ｂおよび閉域ネットワーク構築部１１ｃを含む。記憶部１２は、利用サービス情報保存部１２ａを含む。

　閉域ネットワーク管理部１１ａは、閉域ネットワークの構築・プールの全体管理を行い、閉域ネットワークのプール数の上限を決定する。利用サービス情報管理部１１ｂは、ユーザ端末４０から送信されるサービス利用開始通知を受信すると記憶部１２から利用サービス情報を取得し、ユーザ端末４０が利用可能なサービスを検出する。

　閉域ネットワーク構築部１１ｃは、サービス配信サーバ２０にサービス配信を通知し、サービス実行サーバ３０に閉域ネットワークの構築を通知する。利用サービス情報保存部１２ａは、利用サービス情報が登録された利用サービス情報テーブルを保存する（テーブル構成は図８で後述）。

　サービス配信サーバ２０は、サービス配信部２１およびサービス保存部２２を含む。サービス配信部２１はサービスイメージの配信を行い、サービス実行サーバ３０にサービスの実行を指示する。サービス保存部２２は、ユーザ端末４０が利用可能なサービスに関連する情報を保存する。

　サービス実行サーバ３０は、サービス実行部３１、閉域ネットワーク設定部３２、閉域ネットワーク配備部３３および閉域ネットワーク情報プール部３４を含む。サービス実行部３１は、配信されたサービスイメージを実行する。

　閉域ネットワーク設定部３２は、指示された閉域ネットワークを構築し、実行されたサービスと合わせてプールする。閉域ネットワーク配備部３３は、構築した閉域ネットワークを配備する。閉域ネットワーク情報プール部３４は、閉域ネットワーク情報が登録された閉域ネットワーク情報テーブルをプールする（テーブル構成は図９で後述）。

　なお、上記では、閉域ネットワーク管理サーバ１０とサービス配信サーバ２０とを分離した構成を示したが、サービス配信サーバ２０の機能が閉域ネットワーク管理サーバ１０内に含まれる構成であってもよい。

　＜ハードウェア＞
　図５は閉域ネットワーク管理サーバのハードウェア構成の一例を示す図である。閉域ネットワーク管理サーバ１０は、プロセッサ（コンピュータ）１００によって全体制御されている。プロセッサ１００は、制御部１１の機能を実現する。

　プロセッサ１００には、バス１０３を介して、メモリ１０１、入出力インタフェース１０２およびネットワークインタフェース１０４が接続されている。
　プロセッサ１００は、マルチプロセッサであってもよい。プロセッサ１００は、例えば、ＣＰＵ、ＭＰＵ（Micro Processing Unit）、ＤＳＰ（Digital Signal Processor）、ＡＳＩＣ（Application Specific Integrated Circuit）、またはＰＬＤ（Programmable Logic Device）である。またプロセッサ１００は、ＣＰＵ、ＭＰＵ、ＤＳＰ、ＡＳＩＣ、ＰＬＤのうちの２以上の要素の組み合わせであってもよい。

　メモリ１０１は、記憶部１２の機能を実現し、閉域ネットワーク管理サーバ１０の主記憶装置として使用される。メモリ１０１には、プロセッサ１００に実行させるＯＳ（Operating System）のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、メモリ１０１には、プロセッサ１００による処理に要する各種データが格納される。

　また、メモリ１０１は、閉域ネットワーク管理サーバ１０の補助記憶装置としても使用され、ＯＳのプログラム、アプリケーションプログラム、および各種データが格納される。メモリ１０１は、補助記憶装置として、フラッシュメモリやＳＳＤ（Solid State Drive）等の半導体記憶装置やＨＤＤ（Hard Disk Drive）等の磁気記録媒体を含んでもよい。

　バス１０３に接続されている周辺機器としては、入出力インタフェース１０２およびネットワークインタフェース１０４がある。入出力インタフェース１０２は、キーボードやマウス等の情報入力装置を接続可能であって、情報入力装置から送られてくる信号をプロセッサ１００に送信する。

　さらにまた、入出力インタフェース１０２は、周辺機器を接続するための通信インタフェースとしても機能する。例えば、入出力インタフェース１０２は、レーザ光等を利用して、光ディスクに記録されたデータの読み取りを行う光学ドライブ装置を接続することができる。光ディスクには、Ｂｌｕ－ｒａｙＤｉｓｃ（登録商標）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（Rewritable）等がある。

　また、入出力インタフェース１０２は、メモリ装置やメモリリーダライタを接続することができる。メモリ装置は、入出力インタフェース１０２との通信機能を搭載した記録媒体である。メモリリーダライタは、メモリカードへのデータの書き込み、またはメモリカードからのデータの読み出しを行う装置である。メモリカードは、カード型の記録媒体である。

　ネットワークインタフェース１０４は、ネットワークに接続してネットワークインタフェース制御を行う。ネットワークインタフェース１０４には、例えば、ＮＩＣ（Network Interface Card）、無線ＬＡＮ（Local Area Network）カード等を使用することもできる。ネットワークインタフェース１０４で受信されたデータは、メモリ１０１やプロセッサ１００に出力される。

　以上のようなハードウェア構成によって、閉域ネットワーク管理サーバ１０の処理機能を実現することができる。例えば、閉域ネットワーク管理サーバ１０は、プロセッサ１００がそれぞれ所定のプログラムを実行することで本発明の処理を行うことができる。

　閉域ネットワーク管理サーバ１０は、例えば、コンピュータで読み取り可能な記録媒体に記録されたプログラムを実行することにより、本発明の処理機能を実現する。閉域ネットワーク管理サーバ１０に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。

　例えば、閉域ネットワーク管理サーバ１０に実行させるプログラムを補助記憶装置に格納しておくことができる。プロセッサ１００は、補助記憶装置内のプログラムの少なくとも一部を主記憶装置にロードし、プログラムを実行する。

　また、光ディスク、メモリ装置、メモリカード等の可搬型記録媒体に記録しておくこともできる。可搬型記録媒体に格納されたプログラムは、例えば、プロセッサ１００からの制御により、補助記憶装置にインストールされた後、実行可能となる。またプロセッサ１００が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。

　＜閉域ネットワークの構築およびリソースのプール＞
　次に閉域ネットワークの構築およびリソースのプールについて説明する。制御部１１では、上述したように１つのサービスを１つの閉域ネットワークで構築して、その閉域ネットワークのリソースをプールする。閉域ネットワークは、例えば、ＶＰＮ（Virtual Private Network）、ＶＬＡＮ（Virtual LAN）およびＶＸＬＡＮ（Virtual extensible LAN）等で構築される。

　また、閉域ネットワークを通じて提供されるサービスは、クラウドやデータセンタのサーバ上に構築され、サービスはコンテナや仮想マシンで構築される（サービスをサーバのＯＳ上で直接構築しても問題ない）。なお、サービス毎のコンテナイメージおよび仮想マシンイメージがサービスイメージとしてサービス配信サーバ２０からサービス実行サーバ３０に配信される。

　閉域ネットワークは、サービス（サービス実行サーバ３０）と、ユーザ端末４０が接続する拠点ネットワーク内のネットワーク機器と、の間で構築される。閉域ネットワークのリソースのプール時においては、ユーザ端末４０は閉域ネットワークには接続せず、この状態における閉域ネットワークのリソースがプールされる。なお、プールされる閉域ネットワークの情報は、閉域ネットワーク情報テーブルで管理される。

　＜サービスイメージ＞
　次にサービスイメージについて説明する。サービスイメージは、利用者に提供するサービスが構築・設定されたコンテナイメージまたは仮想マシンイメージである。

　図６はコンテナイメージの一例を示す図である。サーバ３０ａは、ＯＳ３０ａ１を有し、ＯＳ３０ａ１にはコンテナ管理ソフトウェア３０ａ２が含まれる。コンテナ管理ソフトウェア３０ａ２は、コンテナｃ１、ｃ２、ｃ３を有し、コンテナｃ１、ｃ２、ｃ３には各種のサービスが含まれる。このようにコンテナ仮想化では、１つのＯＳカーネルを共有し、ＯＳ上に分離された空間が構築されてサービスが設定される。

　図７は仮想マシンイメージの一例を示す図である。サーバ３０ｂは、ハイパーバイザ３０ｂ１を有し、ハイパーバイザ３０ｂ１にはＶＭ（Virtual Machine）３ｂ１、３ｂ２、３ｂ３が含まれる。ＶＭ３ｂ１、３ｂ２、３ｂ３には、ＯＳおよびサービスが含まれる。このようにサーバ仮想化では、サーバ上に複数の仮想サーバ（ＯＳ、アプリケーション、データ）が構築される。

　なお、上記において、コンテナイメージの実行には、コンテナ仮想化ソフトウェア（dockerやＬＸＣ（Linux Containers）等）が利用され、仮想マシンイメージの実行には、サーバ仮想化ソフトウェア（VMware ESXi、Citrix Hypervisor、ＫＶＭ（Kernel-based Virtual Machine）等）が利用される。また、コンテナイメージの配信・実行にはKubernetes、仮想マシンイメージの配信・実行には、VMware HorizonやOpenStack等がある。

　＜テーブル構成＞
　図８は利用サービス情報テーブルの一例を示す図である。利用サービス情報テーブルＴ１は、項目として利用者（ユーザ端末）およびサービスを有する。利用者は、ユーザ端末の識別子であり、サービスは、閉域ネットワークを通じて実行されるサービスの識別子である。図８の例では、利用者＃１はサービスＡにアクセス可能であり、利用者＃２はサービスＡ、Ｂにアクセス可能であることが示されている。

　図９は閉域ネットワーク情報テーブルの一例を示す図である。閉域ネットワーク情報テーブルＴ２は、項目として、閉域ネットワークＩＤ、サービスＩＤ、送信元アドレス、送信先アドレス、ネットワーク機器アドレスおよび利用者ＩＤを含む。

　閉域ネットワークＩＤは、閉域ネットワークの識別子であり、例えば、構築した順に１から割り当ててもよい。サービスＩＤは、コンテナや仮想マシンのＩＤであり、ＩＰ（Internet Protocol）アドレス等の識別可能な情報である。

　閉域ネットワーク情報内の送信元アドレス、送信先アドレスおよびネットワーク機器アドレスは、閉域ネットワークを通すパケットの送信元アドレス、送信先アドレスおよび拠点ネットワークに配置されているネットワーク機器のアドレスである。

　利用者ＩＤは、どの利用者用に構築・プールしている閉域ネットワークかを示すユーザ端末の識別子である。
　＜閉域ネットワークの構築動作＞
　次に図１０から図１３を用いて、本発明の閉域ネットワークの構築の流れの一例について説明する。

　図１０はプール数の比率の決定の一例を示す図である。
　〔ステップＳ２１〕制御部１１は、ユーザ端末４０と、ユーザ端末４０がアクセスしうるサービスとから構成される利用サービス情報を取得する。

　〔ステップＳ２２〕制御部１１は、取得した利用サービス情報から、１つのサービスを含む１つの閉域ネットワークを構築するために要するリソースをプールする。この場合、利用サービス情報に登録されたサービスについて、サービス毎に集計し、サービス毎にリソースをプールする比率（利用比率）を算出して決定する。例えば、サービスＡのプール数を３０％、サービスＢのプール数を４０％、サービスＣのプール数を３０％の比率に決定する。

　図１１は閉域ネットワークの構築の一例を示す図である。
　〔ステップＳ２３〕制御部１１は、閉域ネットワークについて、プール数の上限（図１１の例では上限は１００％）を決定し、上限を超えない範囲でステップＳ２２により決定した比率でサービスＡ、Ｂ、Ｃ毎の閉域ネットワークを構築する。サービスＡ、Ｂ、Ｃ毎に構築される閉域ネットワークは、この時点においては各サービスにアクセスしうるユーザ端末４０に対して非接続状態である。

　なお、プール数の上限を決定する際は、サービスを展開するサーバのリソース（ＣＰＵ使用率、通信帯域等）の所定値（例えば、○○%）となるように決定したり、またはサービスを展開するクラウドの利用料金を考慮して決定したりすることができる。

　図１２は閉域ネットワークの配備の一例を示す図である。
　〔ステップＳ２４〕制御部１１は、ユーザ端末４０からのサービス利用開始を検出し、ユーザ端末４０がサービスＢにアクセスする場合、サービスＢのリソースプールで構築されている閉域ネットワークｎｂを動的に配備する。

　閉域ネットワークｎｂが配備されることでユーザ端末４０はサービスＢにアクセスが可能になる。なお、閉域ネットワークの配備については後述の図１９でさらに説明する。
　図１３は閉域ネットワークの回収の一例を示す図である。

　〔ステップＳ２５〕制御部１１は、ユーザ端末４０からサービス利用終了を検出すると配備した閉域ネットワークｎｂを回収する。この場合、制御部１１は、閉域ネットワークｎｂを解放してステップＳ２３の状態（閉域ネットワークが構築されユーザ端末４０に非接続の状態）に戻す。なお、閉域ネットワークの回収については後述の図１９でさらに説明する。

　＜プール数の比率算出＞
　図１４はプール数の比率の求め方を説明するための図である。制御部１１は、利用サービス情報テーブルＴ１ａに登録された情報にもとづいて、サービス毎に閉域ネットワークを構築する際のリソースのプール数の比率を以下のように算出する。

　制御部１１は、各サービスを利用する利用者数を集計する。図１４の例では、サービスＡは、利用者＃１、＃３、＃６、＃８、＃１０が利用するので、サービスＡの利用者数＝５である。同様にして、サービスＢからサービスＨまでの利用者数を集計する。

　制御部１１は、各サービスを利用する利用者数の集計後、プール数の比率を算出する。図１４の例では、サービスＡからサービスＨまでの各利用者数の総和は３２（＝５＋３＋４＋５＋３＋４＋４＋４）である。したがって、サービスＡのプール数の比率は（５／３２）×１００≒１５％となる。同様にしてサービスＢからサービスＨまでのプール数の比率が算出される。結果として（Ａ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆ、Ｇ、Ｈ）＝（１５％、１０％、１２％、１５％、１０％、１２％、１２％、１２％）と求められる。

　＜フローチャート＞
　次にフローチャートを用いて動作について説明する。
　図１５、図１６は閉域ネットワーク構築システムの全体動作の一例を示すフローチャートである。

　〔ステップＳ３１〕制御部１１は、閉域ネットワークを構築する際のリソースのプール数の上限を決定する。
　〔ステップＳ３２〕制御部１１は、ユーザ端末４０の認証を行って正当性を判定する。ユーザ端末４０が正当な場合はステップＳ３３に処理が進み、正当でない場合はステップＳ３２の処理を繰り返す。

　〔ステップＳ３３〕制御部１１は、利用サービス情報を取得する。
　〔ステップＳ３４〕制御部１１は、接続するユーザ端末４０がアクセスしうるサービスの閉域ネットワークの構築に要するリソースをすべてプールしたか否かを判定する。すべてプールした場合はステップＳ４０に処理が進み、そうでない場合はステップＳ３５に処理が進む。

　〔ステップＳ３５〕制御部１１は、構築する閉域ネットワークのリソースのプール数が上限に達したか否かを判定する。達した場合はステップＳ３４に処理が戻り、達していない場合はステップＳ３６に処理が進む。

　〔ステップＳ３６〕制御部１１は、閉域ネットワークの構築をサービス配信サーバ２０およびサービス実行サーバ３０に通知する。
　〔ステップＳ３７〕サービス配信サーバ２０は、サービスイメージの配信および実行をサービス実行サーバ３０に指示する。

　〔ステップＳ３８〕サービス実行サーバ３０は、配信されたサービスイメージをプールする。
　〔ステップＳ３９〕サービス実行サーバ３０は、閉域ネットワークおよびサービスイメージを設定する。

　〔ステップＳ４０〕制御部１１は、ユーザ端末４０からのサービス利用開始を検出したか否かを判定する。サービス利用開始を検出した場合はステップＳ４１に処理が進み、未検出の場合はステップＳ４０の処理を繰り返す。

　〔ステップＳ４１〕制御部１１は、サービス配信をサービス配信サーバ２０に指示する。
　〔ステップＳ４２〕制御部１１は、ユーザ端末４０がサービスにアクセス可能か否かを判定する。サービスへのアクセスが可能な場合はステップＳ４３に処理が進み、不可の場合は終了する。

　〔ステップＳ４３〕制御部１１は、ユーザ端末４０とサービス（サービス実行サーバ３０）とをつなぐ閉域ネットワークを配備してサービスを提供する。
　図１７はユーザ端末のネットワーク接続から切断までの流れの一例を示すフローチャートである。

　〔ステップＳ５１〕制御部１１は、ユーザ端末４０のネットワーク接続時に認証を行い、認証が成功するとユーザ端末４０のネットワーク接続と同時に利用サービス情報を取得する。

　〔ステップＳ５２〕制御部１１は、利用サービス情報をもとに接続したユーザ端末４０が利用しうるサービスすべての閉域ネットワークを構築する際のリソースをプールする。なお、プールの上限を超える場合は、プールに同じサービスを持つ閉域ネットワークを検索し、プール中の閉域ネットワークのうち、構築するサービスの閉域ネットワークの数が少ない閉域ネットワークからプールする。

　〔ステップＳ５３〕制御部１１は、ユーザ端末４０からサービスへの接続を検出すると該当する閉域ネットワークを利用者環境に配備する。
　〔ステップＳ５４〕制御部１１は、サービスの終了を検出すると利用者環境から閉域ネットワークを回収する。

　＜閉域ネットワークの構築、配備および回収＞
　図１８は閉域ネットワークの構築を説明するための図である。ネットワークＮ０は、サービスを実行するサーバ３０ｃと、該サービスにアクセス可能なユーザ端末４０とが接続されており、ネットワークＮ０内にサーバ３０ｃとユーザ端末４０とを中継するネットワーク機器６が含まれる。

　制御部１１は、ネットワークＮ０に対して、サーバ３０ｃが提供するサービスにアクセス可能な閉域ネットワークｎ１０をユーザ端末４０のサービス開始前に事前に構築しておく。この場合、サーバ３０ｃからネットワーク機器６まで接続される閉域ネットワークｎ１０が構築され、ユーザ端末４０は閉域ネットワークｎ１０に対して、この時点では非接続状態になる。

　図１９は閉域ネットワークの配備および回収を説明するための図である。制御部１１は、閉域ネットワークの配備を行う場合、ユーザ端末４０からサービスへの経路情報を閉域ネットワーク情報テーブルから取得することで、ユーザ端末４０から利用するサービスにだけ繋がる閉域ネットワークを構築する。

　図１９の例では、制御部１１がユーザ端末４０からサービスの利用開始を検出した場合、制御部１１は、ネットワーク機器６からユーザ端末４０まで閉域ネットワークｎ１０をさらに接続して閉域ネットワークｎ１０－１を配備して、ユーザ端末４０とサーバ３０ｃとを通信可能にして、ユーザ端末４０に対してサービスの利用を可能にする。

　なお、ユーザ端末４０と接続した閉域ネットワークｎ１０－１は、閉域ネットワーク情報テーブルで管理されるデータから削除されてもよいし、配備中である旨のタグを付加して管理されてもよい。

　一方、制御部１１は、ユーザ端末４０からのサービスの利用終了を検出すると、閉域ネットワークの回収を行う。図１９の例では、制御部１１は、サーバ３０ｃとユーザ端末４０とを接続していた閉域ネットワークｎ１０－１を解放する。このとき、制御部１１は、閉域ネットワークｎ１０－１の解放後に、サーバ３０ｃからネットワーク機器６まで接続する閉域ネットワークｎ１０を再構築しておいてもよい。

　なお、閉域ネットワークの回収時は、閉域ネットワークの配備時に使用した経路情報を削除する。なお、回収時には経路情報の削除だけでなく、解放した閉域ネットワークを再構築して再構築したリソースの情報をプールしてもよい。

　＜類似の閉域ネットワーク＞
　図２０は類似の閉域ネットワークの抽出を説明するための図である。閉域ネットワークのリソースのプール数が上限に達しており、新規のユーザ端末４０ａに対して新たに閉域ネットワークの構築・プールをできない場合がある。

　この場合、既存のユーザ端末用にプールされている第１のサービスと、第１のサービスを行う閉域ネットワークとの第１の組み合わせが、新規のユーザ端末用にプールできなかった第２のサービスと、第２のサービスを行う閉域ネットワークとの第２の組み合わせと類似であり、かつ第１の組み合わせが既存のユーザ端末で使用されていない場合、新規のユーザ端末は、既存のユーザ端末用にプールされている第１のサービスと第１のサービスを行う閉域ネットワークとの第１の組み合わせを利用できる。

　なお、プール数上限時に類似の閉域ネットワークの抽出の判断としては、例えば、以下の２点が挙げられる。
　１）類似の閉域ネットワークで行われるサービスが、新たに構築・プールしたい閉域ネットワークで行われるサービスと類似していること。

　２）類似の閉域ネットワークの拠点ネットワークが新規のユーザ端末が接続する拠点ネットワークと同じであること。
　ここで、図２０に示すように、ネットワークＮ０では、ユーザ端末４０－１からユーザ端末４０－ｍそれぞれに対し、サービスＢからサービスＭにアクセス可能な複数の閉域ネットワーク（既存の閉域ネットワーク群ｇ１）が構築されている。このとき、新規のユーザ端末４０ａがサービスＢａを利用したいが、閉域ネットワークのリソースのプール数が上限に達しており、新たな閉域ネットワークを構築できないとする（状態ｓｔ１）。また、既存の閉域ネットワーク群ｇ１の中で既存のユーザ端末４０－１がサービスＢにアクセスしているものとする。

　この場合、制御部１１は、ユーザ端末４０－１用にプールされているサービスＢ＋閉域ネットワークの組み合わせｃ１１が、新規のユーザ端末４０ａ用にプールできなかったサービスＢａ＋閉域ネットワークの組み合わせｃ１２と類似であり、かつ組み合わせｃ１１をユーザ端末４０－１で使用していないことを検出する。

　このとき、制御部１１は、新規のユーザ端末４０ａに対して、ユーザ端末４０－１用にプールされているサービスＢ＋閉域ネットワークの組み合わせｃ１１を設定する（状態ｓｔ２）。このような類似の閉域ネットワークを抽出することで、閉域ネットワークのリソースのプール数が上限に達している場合でも、サービスを提供することが可能になる。

　一方、プール数が上限に達して新たに閉域ネットワークの構築・プールをできない場合、既に構築されている閉域ネットワークのプールのうちから、解放可能な閉域ネットワークを選択して、選択した閉域ネットワークを使用してもよい。

　この場合、解放する閉域ネットワークの選択としては、利用されていない配備時間が所定時間よりも長いものや、類似の閉域ネットワークが多数あるもの等から選択される。
　なお、新たに構築・プールしたい閉域ネットワークと、類似の閉域ネットワークとの違いは、例えば、閉域ネットワークで通信を行う際の送信元／送信先のＩＰアドレスで判断される。このため、制御部１１は、ユーザ端末のＩＰアドレスを新規のユーザのＩＰアドレス（例えば、送信元のＩＰアドレス）に変更することで、類似の閉域ネットワークを使用することができる。

　＜インシデント発生検知に応じた閉域ネットワークの遮断＞
　制御部１１は、閉域ネットワークを介してユーザ端末４０が利用しているサービスに対して、サービスを実行しているサーバへの攻撃（インシデント）を検出することができる。例えば、ＳＱＬ（Structured Query Language）インジェクションやＸＳＳ（cross site scripting）等のマルウェアを検出することができる。

　この場合、制御部１１は、当該サービスが行われている閉域ネットワークを回収し、ユーザ端末４０のネットワーク接続を切断し、プールから閉域ネットワークを解放する。また、制御部１１は、ユーザ端末を閉域ネットワークから切断した場合、ユーザ端末を閉域ネットワークに接続する際に使用した経路情報の削除を行う。これにより、新たに閉域ネットワークを構築する際の経路情報を保存するための記憶容量を確保することができる。

　なお、サービスは、閉域ネットワークをプールする際に、制御部１１からサービスイメージが配信されて実行される。またサービスイメージは、マルウェア感染していないことを確認した上で保存されることを前提としているため、プールした時点でマルウェア感染している可能性は低い。

　上記で説明した本発明の通信制御装置１および閉域ネットワーク管理サーバ１０は、コンピュータによって実現することができる。この場合、通信制御装置１および閉域ネットワーク管理サーバ１０が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。

　処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記憶部、光ディスク、光磁気記録媒体、半導体メモリ等がある。磁気記憶部には、ハードディスク装置（ＨＤＤ）、フレキシブルディスク（ＦＤ）、磁気テープ等がある。光ディスクには、ＣＤ－ＲＯＭ／ＲＷ等がある。光磁気記録媒体には、ＭＯ（Magneto Optical disk）等がある。

　プログラムを流通させる場合、例えば、そのプログラムが記録されたＣＤ－ＲＯＭ等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶部に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。

　プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶部に格納する。そして、コンピュータは、自己の記憶部からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。

　また、コンピュータは、ネットワークを介して接続されたサーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。また、上記の処理機能の少なくとも一部を、ＤＳＰ、ＡＳＩＣ、ＰＬＤ等の電子回路で実現することもできる。

　以上、実施の形態を例示したが、実施の形態で示した各部の構成は同様の機能を有する他のものに置換することができる。また、他の任意の構成物や工程が付加されてもよい。さらに、前述した実施の形態のうちの任意の２以上の構成（特徴）を組み合わせたものであってもよい。

　上記については単に本発明の原理を示すものである。さらに、多数の変形、変更が当業者にとって可能であり、本発明は上記に示し、説明した正確な構成および応用例に限定されるものではなく、対応するすべての変形例および均等物は、添付の請求項およびその均等物による本発明の範囲とみなされる。

　１　通信制御装置
　１ａ　制御部
　１ｂ　記憶部
　３　サービス実行サーバ
　４　ユーザ端末
　Ｎ０　ネットワーク
　ｎ１　閉域ネットワーク

Claims

　コンピュータに、
　ユーザ端末と、前記ユーザ端末がアクセスしうるサービスと、を含む利用サービス情報をメモリに記憶し、
　前記利用サービス情報にもとづいて前記サービス毎の利用比率を算出し、
　前記利用比率に応じたリソースをプールし、
　前記サービスを配信しうる前記リソースを有する閉域ネットワークを前記サービスの開始前に前記ユーザ端末に対して非接続の状態で構築する、
　処理を実行させる通信制御プログラム。
　前記処理は、
　前記サービスの利用開始を検出した場合、前記閉域ネットワークを前記ユーザ端末に接続し、
　前記サービスの利用終了を検出した場合、前記閉域ネットワークを前記ユーザ端末に対して非接続にする、
　請求項１記載の通信制御プログラム。
　前記サービスを実行するサーバと、前記ユーザ端末とを接続するネットワークに、前記サーバと前記ユーザ端末とを中継するネットワーク機器が含まれ、
　前記処理は、前記閉域ネットワークの構築時、前記閉域ネットワークが前記サーバと前記ネットワーク機器とに接続する請求項２記載の通信制御プログラム。
　前記処理は、前記サービスの利用開始を検出した場合、前記ネットワーク機器から前記ユーザ端末まで前記閉域ネットワークをさらに接続して前記ユーザ端末に対して前記サービスの利用を可能にする請求項３記載の通信制御プログラム。
　前記処理は、前記サービスの利用終了を検出した場合、前記サーバと前記ユーザ端末とを接続していた前記閉域ネットワークを解放し、解放後に前記サーバから前記ネットワーク機器まで接続する前記閉域ネットワークを再構築する請求項３記載の通信制御プログラム。
　前記処理は、
　前記閉域ネットワークを構築する前記リソースの数が上限に達しており、新規ユーザ端末に対して新たな前記閉域ネットワークの構築を不可と判断した場合、
　既存ユーザ端末に接続されており既に構築されている既存閉域ネットワーク群のうちから、新たに構築したい前記閉域ネットワークと類似する類似閉域ネットワークを抽出し、
　抽出した前記類似閉域ネットワークを前記新規ユーザ端末に設定する、
　請求項１記載の通信制御プログラム。
　前記処理は、
　前記既存ユーザ端末にプールされている第１のサービスと、前記第１のサービスを行う閉域ネットワークとの第１の組み合わせが、前記新規ユーザ端末にプールできなかった第２のサービスと、前記第２のサービスを行う閉域ネットワークとの第２の組み合わせと類似であり、かつ前記第１の組み合わせが前記既存ユーザ端末で使用されていない場合、前記新規ユーザ端末に対して、前記第１の組み合わせを前記類似閉域ネットワークとして設定する請求項６記載の通信制御プログラム。
　前記処理は、前記閉域ネットワークを介して前記ユーザ端末が利用している前記サービスに対してセキュリティに関するインシデントを検出した場合、前記サービスが行われている前記閉域ネットワークを遮断する請求項１記載の通信制御プログラム。
　前記処理は、前記ユーザ端末が前記閉域ネットワークから切断された場合、前記ユーザ端末を前記閉域ネットワークに接続する際に使用した経路情報を削除する請求項１記載の通信制御プログラム。
　コンピュータが、
　ユーザ端末と、前記ユーザ端末がアクセスしうるサービスと、を含む利用サービス情報をメモリに記憶し、
　前記利用サービス情報にもとづいて前記サービス毎の利用比率を算出し、
　前記利用比率に応じたリソースをプールし、
　前記サービスを配信しうる前記リソースを有する閉域ネットワークを前記サービスの開始前に前記ユーザ端末に対して非接続の状態で構築する、
　通信制御方法。
　ユーザ端末と、前記ユーザ端末がアクセスしうるサービスと、を含む利用サービス情報を記憶する記憶部と、
　前記利用サービス情報にもとづいて前記サービス毎の利用比率を算出し、前記利用比率に応じたリソースをプールし、前記サービスを配信しうる前記リソースを有する閉域ネットワークを前記サービスの開始前に前記ユーザ端末に対して非接続の状態で構築させる制御部と、
　を有する通信制御装置。