Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6691085B2 - アプリケーションセキュリティ管理システム及びエッジサーバ - Google Patents
[go: Go Back, main page]

JP6691085B2 - アプリケーションセキュリティ管理システム及びエッジサーバ - Google Patents

アプリケーションセキュリティ管理システム及びエッジサーバ Download PDF

Info

Publication number
JP6691085B2
JP6691085B2 JP2017179815A JP2017179815A JP6691085B2 JP 6691085 B2 JP6691085 B2 JP 6691085B2 JP 2017179815 A JP2017179815 A JP 2017179815A JP 2017179815 A JP2017179815 A JP 2017179815A JP 6691085 B2 JP6691085 B2 JP 6691085B2
Authority
JP
Japan
Prior art keywords
application
access
edge device
edge
processing data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017179815A
Other languages
English (en)
Other versions
JP2019056999A (ja
Inventor
浩次 西
浩次 西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fanuc Corp
Original Assignee
Fanuc Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fanuc Corp filed Critical Fanuc Corp
Priority to JP2017179815A priority Critical patent/JP6691085B2/ja
Priority to US16/120,950 priority patent/US10805335B2/en
Priority to DE102018215679.4A priority patent/DE102018215679B4/de
Priority to CN201811087463.0A priority patent/CN109525547B/zh
Publication of JP2019056999A publication Critical patent/JP2019056999A/ja
Application granted granted Critical
Publication of JP6691085B2 publication Critical patent/JP6691085B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0633Managing shopping lists, e.g. compiling or processing purchase lists
    • G06Q30/0635Managing shopping lists, e.g. compiling or processing purchase lists replenishment orders; recurring orders
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Finance (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Stored Programmes (AREA)

Description

本発明は、アプリケーションセキュリティ管理システム及びエッジサーバに関する。
製造装置の分野において、昨今、製造現場向けに様々な機能や目的を持ったサーバアプリケーションソフトウェア(以降、単に「アプリケーション」、「アプリ」ともいう。)が、様々な会社で開発されている。製造現場では、開発されたアプリケーションを、例えば、ダウンロードサイトからインターネットを経由して、アプリケーション使用者のコントローラにダウンロードし、使用することが考えられる。しかし、アプリケーションの中には、様々なセキュリティリスクを持ったものがある。例えば、製造現場の通信データを収集する機能を有するアプリケーションの場合、通信データを悪用するリスクを含む可能性がある。また、製造現場の製造品質データを収集するアプリケーションの場合、収集した製造品質データを解析することで、製造された製品の品質を知るリスクを含む可能性がある。さらに、製造現場の製造装置(例えば、CNC工作機械、産業機器、産業用ロボット等の工作機械)をリモートで操作したり、保守したりする機能を有するアプリケーションの場合、外部から製造現場の製造装置を停止させたり、稼働を妨害したりするリスクを含む可能性がある。
このように、製造現場の製造装置は、アプリケーションを利用することで、潜在的にアプリケーションが持つセキュリティリスクを伴う可能性がある。そこで、セキュリティリスクを他の方法や運用方法で回避することも考えられる。例えば、特許文献1に記載のシステムは、アプリケーションの異常性を判定するものである。具体的には、パーミッション比較部13が、パーミッション抽出部12から入力された種別情報と一致する種別情報と対応付けられているパーミッションリストをパーミッションリスト記憶部11から読み出し、その読み出したパーミッションリストと、パーミッション抽出部12から出力されたパーミッションリストとを比較することで、アプリケーションの異常性を判定する。
特開2011−233081号公報
しかし、アプリケーションの利用者が、アプリケーションが持つセキュリティリスクを利用前に把握することも必要である。つまり、アプリケーションが持つセキュリティリスクを同定し、アプリケーションの利用者が、セキュリティリスクがあることを正しく理解した上で使用する必要がある。
また、悪意あるアプリケーション開発者が、セキュリティリスクを利用者から隠ぺいし、悪用することを防止する必要がある。
本発明は、アプリケーション開発者によって開発されたアプリケーションを、開発者が申告するセキュリティリスクに一致した状態でのみ実行できるようにしたアプリケーションセキュリティ管理システム及びエッジサーバを提供することを目的とする。
(1)本発明のアプリケーションセキュリティ管理システム(例えば、後述の「アプリセキュリティ管理システム1000」)は、1台以上のエッジ機器(例えば、後述の「エッジ機器500」)と通信可能に接続されたエッジサーバ(例えば、後述の「エッジサーバ400」)で実行するアプリケーションの配信を管理するアプリケーション配信管理サーバシステム(例えば、後述の「配信管理サーバシステム300」)と、前記アプリケーション配信管理サーバシステムで配信するアプリ開発者が開発した前記アプリケーションの審査を管理するアプリケーション審査管理サーバ(例えば、後述の「審査管理サーバ100」)と、前記アプリケーション配信管理サーバシステムで配信を管理する前記アプリケーションを記憶するアプリケーション記憶部(例えば、後述の「アプリケーションDB305」)と、前記アプリケーションの実行を管理する前記エッジサーバと、を備え、前記アプリケーション審査管理サーバは、前記アプリケーションと、前記アプリケーションを前記エッジサーバで実行する際に使用する、前記エッジ機器の機能の使用の有無及び/又は前記エッジ機器の処理データに対するアクセスの有無に係るセキュリティリスクリスト(例えば、後述の「アクセス申告リスト」)とを受け付けるアプリケーション受付手段(例えば、後述の「アプリ受付部111」)と、前記アプリケーション受付手段により受け付けた前記アプリケーションについて、前記アプリケーションのソースコードの分析及び/又は前記アプリケーションをエッジサーバで実行させることによる動作分析に基づいて、前記アプリケーションの前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス内容と前記セキュリティリスクリストに示されたアクセスの有無とが一致するか否かを審査するアプリケーション審査手段(例えば、後述の「アプリ審査部112」)と、前記アプリケーション審査手段による審査の結果、前記アプリケーションの前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス内容と前記セキュリティリスクリストに示されたアクセスの有無とが一致すると判定された場合に、前記アプリケーションを前記アプリケーション配信管理サーバシステムで配信管理することを承認し、前記アプリケーションと、前記セキュリティリスクリストとを関連付けて、前記アプリケーション記憶部に登録するアプリケーション登録手段(例えば、後述の「アプリ登録部113」)と、を備え、前記アプリケーション配信管理サーバシステムは、前記アプリケーション記憶部に記憶された前記アプリケーションの購入要求又は配信要求を受け付けた場合に、前記アプリケーションに対応する前記セキュリティリスクリストを購入要求又は配信要求のあったユーザに対して通知するリスクリスト通知手段(例えば、後述の「リスクリスト通知部311」)と、前記リスクリスト通知手段により通知した前記セキュリティリスクリストに対する前記ユーザからの承認データを受け付けると共に、配信許可情報が提示された場合に限り、前記アプリケーションと、前記セキュリティリスクリストとを関連付けて前記エッジサーバに配信するアプリケーション配信手段(例えば、後述の「アプリ配信部312」)と、を備え、前記エッジサーバは、配信された前記アプリケーション及び前記セキュリティリスクリストを記憶する記憶部(例えば、後述の「記憶部420」)と、前記アプリケーションの起動要求に基づいて、前記アプリケーションを実行するアプリケーション実行手段(例えば、後述の「アプリ実行部411」)と、前記セキュリティリスクリストの内容に基づいて、前記アプリケーションのエッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセス状況を監視し、前記セキュリティリスクリストでアクセス有と申告された前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセスのみを許可するアプリケーションアクセス制御手段(例えば、後述の「アクセス制御部412」)と、を備える。
(2) (1)に記載のアプリケーションセキュリティ管理システム(例えば、後述の「アプリセキュリティ管理システム1000」)において、前記セキュリティリスクリスト(例えば、後述の「アクセス申告リスト」)は、前記エッジ機器(例えば、後述の「エッジ機器500」)の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス権限を表すものであり、前記アプリケーション配信管理サーバシステム(例えば、後述の「配信管理サーバシステム300」)の前記リスクリスト通知手段(例えば、後述の「リスクリスト通知部311」)は、少なくとも前記アプリケーションに対して許可される前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス権限に関するセキュリティリスクリストを通知するものであってもよい。
(3) (1)又は(2)に記載のアプリケーションセキュリティ管理システム(例えば、後述の「アプリセキュリティ管理システム1000」)において、前記セキュリティリスクリスト(例えば、後述の「アクセス申告リスト」)は、前記エッジ機器(例えば、後述の「エッジ機器500」)の動作状態に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、前記エッジ機器の生産状況に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、前記エッジ機器の品質保守に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、前記エッジ機器のイベント(履歴)に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、及び前記エッジ機器のアーカイブに係る各機能の使用可否及び/又は各処理データに対するアクセス可否を含むものであってもよい。
(4) (1)から(3)までのいずれかに記載のアプリケーションセキュリティ管理システム(例えば、後述の「アプリセキュリティ管理システム1000」)において、前記エッジサーバ(例えば、後述の「エッジサーバ400」)は、前記アプリケーションアクセス制御手段(例えば、後述の「アクセス制御部412」)により、前記アプリケーションが前記アプリケーションに関連付けられた前記セキュリティリスクリスト(例えば、後述の「アクセス申告リスト」)に示されていない前記エッジ機器(例えば、後述の「エッジ機器500」)に係る機能の使用及び/又は前記エッジ機器の処理データに対するアクセス要求である不正アクセス要求を検出した場合、前記アプリケーションの不正情報を、前記アプリケーション配信管理サーバシステム(例えば、後述の「配信管理サーバシステム300」)に通知する、不正アプリケーション通知手段(例えば、後述の「不正アプリ通知部413」)を備え、前記アプリケーションアクセス制御手段は、さらに、前記不正アクセス要求を検出した場合、前記アプリケーションを停止させるものであってもよい。
(5) (4)に記載のアプリケーションセキュリティ管理システム(例えば、後述の「アプリセキュリティ管理システム1000」)において、前記アプリケーション配信管理サーバシステム(例えば、後述の「配信管理サーバシステム300」)は、さらに、前記エッジサーバ(例えば、後述の「エッジサーバ400」)の前記不正アプリケーション通知手段(例えば、後述の「不正アプリ通知部413」)からアプリケーションの不正情報を受信すると、前記アプリケーションの配信先のエッジサーバに対して、前記アプリケーションの不正情報を通知する通知手段(例えば、後述の「不正通知部313」)を備え、前記エッジサーバの前記アプリケーションアクセス制御手段(例えば、後述の「アクセス制御部412」)は、さらに前記アプリケーション配信管理サーバシステムから前記アプリケーションの不正情報を受信すると、前記アプリケーションを停止させるものであってもよい。
(6)本発明のエッジサーバ(例えば、後述の「エッジサーバ400」)は、アプリケーション配信管理サーバシステム(例えば、後述の「配信管理サーバシステム300」)と1台以上のエッジ機器(例えば、後述の「エッジ機器500」)と通信可能に接続され、前記アプリケーション配信管理サーバシステムから配信されて実行するアプリケーションと、前記アプリケーションと共に配信される、前記アプリケーションの前記エッジ機器の機能の使用の有無及び/又は前記エッジ機器の処理データに対するアクセスの有無に係るセキュリティリスクリスト(例えば、後述の「アクセス申告リスト」)と、を記憶する記憶部(例えば、後述の「記憶部420」)と、前記アプリケーションの起動要求に基づいて、前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセスを行う前記アプリケーションを実行するアプリケーション実行手段(例えば、後述の「アプリ実行部411」)と、前記セキュリティリスクリストの内容に基づいて、前記アプリケーションのエッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセス要求を監視し、前記セキュリティリスクリストに開示された前記エッジ機器に係る機能の使用及び/又は前記エッジ機器の処理データへのアクセス要求のみを許可するアプリケーションアクセス制御手段(例えば、後述の「アクセス制御部412」)と、を備え、前記セキュリティリスクリストは、前記アプリケーションと共にアプリケーション開発者によって登録され、前記アプリケーション配信管理サーバシステムが配信を管理する。
本発明によれば、アプリケーション開発者によって開発されたアプリケーションを、開発者が申告するセキュリティリスクに一致した状態でのみ実行できるようにしたアプリケーションセキュリティ管理システム及びエッジサーバを提供することができる。
本実施形態におけるアプリセキュリティ管理システムの基本的構成を示す概略図である。 本実施形態におけるアプリセキュリティ管理システムの機能ブロック図である。 本実施形態におけるアクセス申告リストの例を示す図である。 本実施形態における処理データのデータモデルの例を示す図である。 本実施形態におけるアプリセキュリティ管理システムによる処理を含むアプリケーションの受付から配信までの流れの概要を示す図である。 本実施形態におけるエッジサーバでのアクセス制御処理を示すフローチャートである。 本実施形態におけるエッジサーバでのアクセス制御処理を説明するための図である。
(実施形態)
本実施形態に係るアプリケーションセキュリティ管理システム1000(以下、簡単のため「アプリセキュリティ管理システム1000」ともいう。)の構成について説明する。
図1は、本実施形態におけるアプリセキュリティ管理システム1000の基本的構成を示す概略図である。
アプリセキュリティ管理システム1000は、アプリケーション審査管理サーバ100(以下、簡単のため「審査管理サーバ100」ともいう。)と、ユーザ端末200(以下、簡単のため「端末200」ともいう。)と、アプリケーション配信管理サーバシステム300(以下、簡単のため「配信管理サーバシステム300」ともいう。)と、エッジサーバ400と、エッジ機器500とを備えている。ここで、エッジ機器500は、特に断らない限り、工場等の製造現場に設置された、CNC工作機械、産業機器、産業用ロボット等を含む製造装置、及び画像センサ、PLC(programmable logic controller)等の製造装置に付帯する機器を指す。また、エッジサーバ400は、配信管理サーバシステム300から配信されたアプリケーションを実行させることにより、1台以上のエッジ機器500から、例えば、当該エッジ機器500に係る動作状態を示すデータ、生産状況を示すデータ、生産物の品質状況を示すデータ、稼働状況を示すデータ等を収集し、当該アプリケーションに係る所定の情報処理をするサーバである。
アプリセキュリティ管理システム1000では、審査管理サーバ100が、アプリ開発者が開発し、エッジサーバ400で稼働するアプリケーションのうち、審査によって承認されたアプリケーションを、アプリケーション記憶部305(以下、簡単のため「アプリケーションDB(データベース)305」ともいう。)に登録する。そして、アプリセキュリティ管理システム1000では、配信管理サーバシステム300が、エッジ機器500及びエッジサーバ400を使用するエンドユーザによるアプリケーションの購入要求又は配信要求に基づいて、アプリケーションの実行時に用いる、エッジ機器500の備える機能の使用の有無及び/又はエッジ機器500の処理データに対するアクセスの有無に係るセキュリティリスクリスト(以下、「アクセス申告リスト」ともいう。)を、エンドユーザに通知する。エンドユーザによってアクセス申告リストが確認されると、アプリセキュリティ管理システム1000は、アプリケーションDB305から抽出したアプリケーションとアクセス申告リストとを、エッジサーバ400に配信する。そして、エッジサーバ400は、アプリケーションの実行時に、アクセス申告リストに基づいて、エッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセスを制御する。
審査管理サーバ100と、端末200と、配信管理サーバシステム300と、エッジサーバ400とは、ネットワークN1を介して接続されている。ネットワークN1は、例えば、インターネットや、VPN(Virtual Private Network)、公衆電話網等である。ネットワークN1における具体的な通信方式や、有線接続及び無線接続のいずれであるか等については、特に限定されない。
エッジサーバ400と、1台以上のエッジ機器500とは、例えば、ユーザの工場施設等に設置され、LAN(Local Area Network)等のネットワークN2を介して通信可能に接続されている。ネットワークN2は、ネットワークスイッチ等を含んでもよい。
審査管理サーバ100と、配信管理サーバシステム300とは、エッジサーバ400で稼働するアプリケーションの販売及び管理を行う企業(以下、運営会社ともいう。)により運営管理される。
審査管理サーバ100は、アプリ開発者が開発したアプリケーションと、アクセス申告リストとを受け付けて審査を行い、承認されたアプリケーションを、アクセス申告リストに対応付けてアプリケーションDB305に登録するサーバである。
端末200は、例えば、パーソナルコンピュータ(PC)である。端末200は、審査管理サーバ100に通信可能に接続される端末(例えば、アプリ開発者側に設置される端末、審査管理サーバ100の管理用端末等)である。また、端末200は、配信管理サーバシステム300に通信可能に接続され、例えば、エッジサーバ400及びエッジ機器500を含む工場施設を有するエンドユーザや、システムインテグレータ等の専門業者により使用される端末である。以降、エンドユーザや専門業者を区別しない場合には、単に「ユーザ」ともいう。工場等に設置されたCNC工作機械、産業機器、産業用ロボット等の各種データを収集し、活用するためのアプリケーションの設定作業等については、専門的な知識が必要である。そのため、システムインテグレータ者等の専門業者が、工場等の製造現場でアプリケーションを利用する上で、ハードウェア及びソフトウェアの環境設定を行うことが一般的である。ここで、エンドユーザが使用する端末200は、工場施設内に有していても、工場施設外に有していてもよい。そして、エンドユーザは、配信許可情報(例えば、当該アプリケーションを購入したことを裏付けるシリアル番号等)を提示することにより、端末200を介して、配信管理サーバシステム300にアクセスし、エッジサーバ400に配信可能なアプリケーションのインストール要求をすることができる。
図1に示すように、配信管理サーバシステム300は、管理サーバ301と、配信サーバ302と、アプリケーションDB305とによって構成される分散システムを例示しているが、これに限定されない。
なお、配信管理サーバシステム300は、管理サーバ301と、配信サーバ302と、アプリケーションDB305との機能を有した1台のサーバによって構成されてもよいし、複数台のサーバによって構成し、処理を各サーバで分散させてもよい。また、配信管理サーバシステム300は、例えば、管理サーバ301が、ネットワークN1を介してエッジサーバ400等と通信接続され、配信サーバ302と、アプリケーションDB305とは、ネットワークN1には接続されておらず、管理サーバ301を経由してエッジサーバ400等と通信する構成であってもよい。さらに、アプリケーションDB305は、配信管理サーバシステム300とは別に設けて、ネットワークN1に直接接続されていてもよい。
エッジサーバ400は、配信管理サーバシステム300からダウンロードしたアプリケーションを実行させることにより、1台以上のエッジ機器500から、エッジ機器500に係る機能を実行し、及び/又は、エッジ機器500の処理データを収集し、当該アプリケーションに係る所定の情報処理をするサーバである。エッジサーバ400は、アプリケーションの実行中に、エッジ機器500に係る機能の使用及び/又はエッジ機器500の処理データへのアクセスを監視する。そして、エッジサーバ400は、アクセス申告リストに示されたエッジ機器500に係る機能の使用及び/又はエッジ機器500の処理データへのアクセスのみを許可する。
エッジ機器500は、上述したとおり、工場等の製造現場に設置された、CNC工作機械、産業機器、産業用ロボット等を含む製造装置である。そして、1台以上のエッジ機器500は、例えば、工場のラインやセルを構成する。
なお、アプリセキュリティ管理システム1000は、必要な条件(資格等)を満たすことが予め運営会社により審査され、アプリセキュリティ管理システム1000に対してアクセスをするためのユーザID(IDentification)の付与されたユーザのみが使用可能である。
次に、アプリセキュリティ管理システム1000の各装置の機能について説明する。
図2は、本実施形態におけるアプリセキュリティ管理システム1000の機能ブロック図である。
<審査管理サーバ100>
審査管理サーバ100は、制御部110と、記憶部120と、通信部130とを備える。
制御部110は、例えば、CPUであり、記憶部120に記憶された各種プログラムを実行することにより、審査管理サーバ100を統括制御する。
例えば、CPUは、アプリケーションと、アクセス申告リスト620とを受け付ける処理(以下、「アプリ受付処理」という。)のためのプログラムを実行する。また、CPUは、受け付けたアプリケーションとアクセス申告リストとを審査する処理(以下、「アプリ審査処理」という。)のためのプログラムを実行する。また、CPUは、アプリ審査処理の結果に基づいて当該アプリをアプリケーションDB305に登録する処理(以下、「アプリ登録処理」という。)のためのプログラムを実行する。
このように、アプリ受付処理、アプリ審査処理、及びアプリ登録処理のためのプログラムを実行することにより、CPUには、機能的構成として、アプリ受付部111と、アプリ審査部112と、アプリ登録部113と、が形成される。
アプリ受付部111は、アプリ開発者の開発したアプリケーションと、当該アプリケーションに係るアクセス申告リスト620とを受け付ける。ここで、アプリ受付部111は、審査管理サーバ100に通信可能に接続された端末(例えば、アプリ開発者側に設置された端末、又は審査管理サーバ100に通信可能に接続された管理用端末等)からネットワークを介して、アプリケーションと、アクセス申告リスト620とを受け付けてもよい。
また、アプリ受付部111は、アプリケーションとアクセス申告リストとを格納したコンピュータ可読記録媒体を所定の入力インタフェースを介して入力して、受け付けてもよい。ここで、コンピュータ可読記録媒体としては、例えば、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、光ディスク(例えば、CD−ROM、DVD,Blu−Ray Disc(登録商標))等、当業者にとって公知の媒体を含む。
図3は、アクセス申告リスト620の一例を示すものである。アクセス申告リスト620は、例えば、図3に示す内容を、コンピュータが解釈可能なようにコード化したものである。アクセス申告リスト620は、エッジ機器500に係る機能の使用の有無及び/又はエッジ機器500の処理データに関するアクセスの有無を示す。なお、「製造装置」とは、エッジ機器500に該当するものであり、アプリ開発者がCNC工作機械、産業機器、産業用ロボット等を指定する。また、アクセス申告リスト620は、予め決められたフォームになっており、アプリ開発者は、このフォームにしたがってアクセスの有無を、例えばチェックボックスにチェックすることで設定する。
より具体的には、エッジ機器500の処理データとして、例えば、エッジ機器500に係る動作状態を示すデータ、生産状況を示すデータ、生産物の品質状況を示すデータ、稼働状況等のイベント(履歴)を示すデータ等がある。これらの処理データは、予めデータモデル化(すなわち、標準化)されており、このように標準化されたデータモデルに基づいてアクセスの有無を設定することを可能にしている。そうすることで、アプリ開発者は、標準化されたモデルに基づき、アクセスの有無を正確に申告することができ、また、アプリ審査側は、アプリ開発者の恣意的な言い回しを排除することで、審査処理を標準化することができる。また、エッジ機器500に係る処理データへのアクセスをするための標準化されたインタフェースを提供することができる。
図4に、CNC工作機械の場合における処理データのデータモデル630の例を示す。データモデル630に示すように、処理データは、動作状態の情報、生産状況の情報、品質保守の情報、各種イベント(履歴)の情報、アーカイブの各カテゴリに分けられる。そして、各カテゴリにおいて、コモンデータと、各部位データとがある。コモンデータは、CNC工作機械に共通のデータであり、各部位データは、CNC工作機械のうち、軸や、モータといったCNC工作機械を構成する各部品に関するデータである。アプリ開発者は、アクセス申告リスト620の作成時に、データモデル630にしたがって使用するデータを指定する。
なお、図示しないが、エッジ機器500の機能に関しても、処理データと同様に、動作状態に関する機能、生産状況に関する機能、品質保守に関する機能、各種イベント(履歴)に関する機能、アーカイブに関する機能があり、データモデルと同様にエッジ機器500の提供する機能のモデル化を行うことができる。そうすることで、エッジ機器500の提供する機能を使用するための標準化されたインタフェースを提供することができる。
図2に示すアプリ審査部112は、アプリ受付部111が受け付けたアプリケーションとアクセス申告リストとを審査する。より具体的には、アプリ審査部112は、アプリケーションのソースコードの分析に基づいて、アプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセス内容と、アクセス申告リストに示されたアクセスの有無とが一致するか否かを審査する。また、アプリ審査部112は、アプリケーションをエッジサーバ400で実行させることによる動作分析に基づいて、アプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセス内容と、アクセス申告リストに示されたアクセスの有無とが一致するか否かを審査する。
上述したように、アプリケーションは、エッジ機器500の提供する機能を使用するための標準化されたインタフェース及びエッジ機器500に係る処理データへのアクセスをするための標準化されたインタフェースを使用することにより、このような審査を自動的に行うことができる。
アプリ登録部113は、アプリ審査部112による審査の結果、アプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセス内容と、アクセス申告リストに示されたアクセスの有無とが一致すると判定された場合に、アプリケーションを、配信管理サーバシステム300で配信管理することを承認する。そして、アプリ登録部113は、承認されたアプリケーションと、アクセス申告リストとを対応付けて、アプリケーションDB305に登録する。
記憶部120は、制御部110により実行されるプログラム等を記憶し、また、アプリ受付部111が受け付けたアプリケーション等を一時記憶する記憶領域である。
通信部130は、ネットワークN1を介して外部機器(例えば、端末200、配信管理サーバシステム300等)とデータの送受信を行う通信制御デバイスである。
<配信管理サーバシステム300>
配信管理サーバシステム300は、そのシステム形態に関わらず、制御部310と、記憶部320と、通信部330とを備える。
制御部310は、例えば、CPUであり、記憶部320に記憶された各種プログラムを実行することにより、配信管理サーバシステム300を統括制御する。
例えば、CPUは、エンドユーザの端末200にアクセス申告リストを通知する処理(以下、「リスクリスト通知処理」という。)のためのプログラムを実行する。また、CPUは、エンドユーザの端末200からアクセス申告リストに対する承認データを受け付けた場合に、アプリケーション及びアクセス申告リストをエッジサーバ400に配信する処理(以下、「アプリ配信処理」という。)のためのプログラムを実行する。また、CPUは、エッジサーバ400から不正アクセスを検知した旨の通知を受けた場合に、当該アプリケーションを配信した他のエッジサーバ400に対して不正アクセスが検知された旨を通知する処理(以下、「不正通知処理」という。)のためのプログラムを実行する。
このように、リスクリスト通知処理、アプリ配信処理、及び不正通知処理のためのプログラムを実行することにより、CPUには、機能的構成として、リスクリスト通知部311と、アプリ配信部312と、不正通知部313と、が形成される。
リスクリスト通知部311は、アプリケーションの購入要求又は配信要求のあった端末200に対して、アプリケーションに対応したアクセス申告リストを端末200に通知する。
アプリ配信部312は、リスクリスト通知部311により通知したアクセス申告リストに対する承認データを受け付けた場合に、対応するアプリケーションと、アクセス申告リストとを、エッジサーバ400に対して配信する。ここで、アプリケーションの購入要求又は配信要求に、エッジサーバ400を識別する識別情報であるエッジサーバIDを有することで、アプリ配信部312は、指定のエッジサーバ400を認識してもよいし、記憶部320にユーザIDと、エッジサーバIDとの対応付けを記憶しており、受信した端末200のユーザIDから、対象のエッジサーバ400を特定してもよい。
不正通知部313は、エッジサーバ400からアプリケーションにアクセス申告リストと異なる不正アクセスを検知した旨の通知を受けた場合に、当該アプリケーションを配信した他のエッジサーバ400に対して当該アプリケーションにアクセス申告リストと異なる不正アクセスが検知された旨を通知する。後述するが、エッジサーバ400では、アプリケーションの実行時に、アクセス申告リストでアクセス無と申告されていたエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセスを検知した場合に、配信管理サーバシステム300に対して当該アプリケーションに係る不正アクセスを検知した旨の通知を行う。
記憶部320は、制御部310により実行されるプログラム等を記憶する記憶領域である。記憶部320は、アプリケーションDB305を含む。
アプリケーションDB305は、審査の結果承認されたアプリケーションと、アクセス申告リストとを対応付けて記憶するデータベースである。
通信部330は、ネットワークN1を介して外部機器(例えば、審査管理サーバ100、端末200、エッジサーバ400等)とデータの送受信を行う通信制御デバイスである。
<エッジサーバ400>
エッジサーバ400は、制御部410と、記憶部420と、通信部430とを備える。
制御部410は、例えば、CPUであり、記憶部420に記憶された各種プログラムを実行することにより、エッジサーバ400を統括制御する。
例えば、CPUは、アプリケーションを実行する処理(以下、「アプリ実行処理」という。)のためのプログラムを実行する。また、CPUは、アクセス申告リストに基づいてアクセスを制御する処理(以下、「アクセス制御処理」という。)のためのプログラムを実行する。また、CPUは、アクセス申告リストでアクセス無と申告されていたエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセスを検知した場合に、配信管理サーバシステム300に対して当該アプリケーションに係る不正アクセスを検知した旨の通知を行う処理(以下、「不正アプリ通知処理」という。)のためのプログラムを実行する。
このように、アプリ実行処理、アクセス制御処理、及び不正アプリ通知処理のためのプログラムを実行することにより、CPUには、機能的構成として、アプリ実行部411と、アクセス制御部412と、不正アプリ通知部413と、が形成される。
制御部410の各機能部の説明の前に、まず、記憶部420について説明する。
記憶部420は、制御部410により実行される、配信管理サーバシステム300からダウンロードしたアプリケーションを含むプログラムと、ダウンロードしたアプリケーションに対応したアクセス申告リストとを記憶する。また、記憶部420は、アプリケーションの実行を管理し、アプリケーションに対応したアクセス申告リストにしたがって当該アプリケーションのエッジ機器500に係る機能の使用及び/又はエッジ機器500の処理データに関するアクセスを管理、監視するコントローラの機能を有するプログラム(ミドルウェア等)を記憶する。
次に、制御部410の備える各機能部について説明する。
アプリ実行部411は、アプリケーションの起動要求に基づいて、記憶部420に記憶されたアプリケーションを実行する。
アクセス制御部412は、アプリ実行部411が実行したアプリケーションに対応付けられたアクセス申告リストの内容に基づいて、アプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データへのアクセスを監視する。そして、アクセス制御部412は、アクセス申告リストでアクセス有と申告されたエッジ機器500に係る機能の使用及び/又はエッジ機器500の処理データへのアクセスのみを許可する。
また、アクセス制御部412は、アクセス申告リストでアクセス無と申告されたエッジ機器500の機能の使用の要求及び/又はエッジ機器500の処理データに対するアクセス要求を検出した場合に、不正アクセス要求を検出したとして、エラーメッセージ、警報等を表示すると共に、当該アプリケーションを強制停止させることが好ましい。
さらに、アクセス制御部412は、配信管理サーバシステム300からアプリケーションの不正情報を受信すると、当該アプリケーションが実行されている場合には、当該アプリケーションを強制停止させる。
なお、アクセス制御部412は、不正アクセス要求を検出した場合や、アプリケーションの不正情報を受信した場合には、以降において、このアプリケーションの起動をさせないようにすることが好ましい。
不正アプリ通知部413は、アプリケーションがアクセス申告リストの申告に反するアクセス要求を検出した場合に、配信管理サーバシステム300に対して当該アプリケーションに係る不正アクセスを検知した旨の通知をする。
通信部430は、ネットワークN1を介して外部機器(例えば、配信管理サーバシステム300等)とデータの送受信を行い、ネットワークN2を介して外部機器(エッジ機器500)とデータの送受信を行う通信制御デバイスである。
以上、審査管理サーバ100、配信管理サーバシステム300及びエッジサーバ400に含まれる機能ブロックについて説明した。
なお、上記のアプリセキュリティ管理システム1000に含まれる各装置のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラム(アプリケーション)を読み込んで実行することにより実現されることを意味する。
具体例として、審査管理サーバ100、配信管理サーバシステム300及びエッジサーバ400は、一般的なサーバに、本実施形態を実現するためのプログラム(アプリケーション)を組み込むことにより実現できる。
次に、アプリセキュリティ管理システム1000を使用したアプリ開発者によるアプリケーションの受付、審査、登録、登録したアプリケーションをエンドユーザが購入して、当該アプリケーションがエッジサーバ400に配信される場合までの処理の流れを、図5に基づき説明する。
図5は、本実施形態におけるアプリセキュリティ管理システム1000による処理を含むアプリケーションの受付から配信までの流れの概要を示す図である。
なお、以下に説明する処理フローでは、ステップS11において、審査管理サーバ100のアプリ受付部111は、アプリケーションと、アクセス申告リストとを、アプリ開発者の端末200からネットワークを介して受け付ける手順を例示しているが、これに限定されない。前述したように、例えば、審査管理サーバ100に通信可能に接続された管理用端末等を介して受け付け(入力)してもよい。
また、アプリ受付部111は、ネットワークではなく、アプリケーションとアクセス申告リストとを格納したコンピュータ可読記録媒体を、所定の入力インタフェースを介して受け付け(入力)してもよい。
[アプリ受付、審査、登録]
アプリ開発者は、ステップS(以下、ステップSを単に「S」という。)11において、アプリケーションの審査のために、開発したアプリケーションと、アクセス申告リストとを、アプリ開発者の端末200を使用して、審査管理サーバ100に対して送信する。
S12において、審査管理サーバ100のアプリ受付部111は、アプリケーションと、アクセス申告リストとを受け付ける。また、アプリ審査部112は、受け付けたアプリケーションを、受け付けたアクセス申告リストを使用して審査する。
S13において、アプリ審査部112による審査の結果、承認された場合に、アプリ登録部113は、アプリケーションと、アクセス申告リストとを対応付けて、アプリケーションDB305に登録する。
[アプリ配信]
エンドユーザは、図示しないアプリ閲覧画面等により、アプリケーションの機能等を参照する。そして、エンドユーザは、自身のエッジサーバ400に配信したいアプリケーションを見つけた場合、S21において、エンドユーザの端末200を使用して、アプリの購入要求を、配信管理サーバシステム300に対して送信する。
S22において、配信管理サーバシステム300のアプリ配信部312は、アプリの購入要求を受け付けたことに応じて、購入要求に示されるアプリケーションに対応したアクセス申告リストを、アプリケーションDB305から抽出する。
S23において、アプリ配信部312は、抽出したアクセス申告リストを、エンドユーザの端末200に送信する。
これにより、端末200には、アクセス申告リストが表示される(S24)。よって、エンドユーザは、アクセス申告リストを見て、当該アプリケーションを使用した場合のリスクを確認できる。
エンドユーザは、アクセス申告リストを確認後、例えば、端末200に表示された、アクセス申告リストに記載のリスクを容認する意思を示す確認ボタンを押下する。すると、S25において、端末200は、エンドユーザによる、例えば、セキュリティに係るリスクを確認したことを示す承認データを、配信管理サーバシステム300に対して送信する。配信管理サーバシステム300では、承認データを受信した場合に、S26において、アプリ配信部312が、アプリケーション及びアクセス申告リストの抽出を、アプリケーションDB305に対して行う。
S27において、アプリ配信部312は、アプリケーションDB305から抽出したアプリケーションと、アクセス申告リストとを取得する。
S28において、アプリ配信部312は、取得したアプリケーションと、アクセス申告リストとを、エンドユーザのエッジサーバ400に対して送信する。
次に、エッジサーバ400でのアクセス申告リストを用いたアプリケーションの制御について説明する。
図6は、本実施形態におけるエッジサーバ400でのアクセス制御処理を示すフローチャートである。
図7は、本実施形態におけるエッジサーバ400でのアクセス制御処理を説明するための図である。
図6のS40において、エッジサーバ400のアプリ実行部411は、記憶部420に記憶されたアプリケーションを起動させる。このアプリケーションの起動は、例えば、エッジサーバ400の電源がオンになった場合のサーバ立ち上げ時に行われる。
S41において、アクセス制御部412は、アプリケーションに対応したアクセス申告リストを読み込む。
図7に示す例では、アプリケーション610に対応したアクセス申告リスト620が、アプリケーション610を制御するコントローラ650に読み込まれる。
S42において、アクセス制御部412は、アプリケーションからエッジ機器500の機能の使用及び/又はエッジ機器500の処理データへのアクセス要求を受け付けたか否かを判断する。要求を受け付けた場合(S42:YES)には、アクセス制御部412は、処理をS43に移す。要求を受け付けていない場合(S42:NO)には、アクセス制御部412は、処理をS45に移す。
S43において、アクセス制御部412は、要求に対応するエッジ機器500の機能の使用及び/又はエッジ機器500の処理データへのアクセスが許可されているか否かを、アクセス申告リストに基づいて判断する。アクセスが許可されている場合(S43:YES)には、アクセス制御部412は、処理をS44に移す。他方、アクセスが許可されていない場合(S43:NO)には、アクセス制御部412は、処理をS44aに移す。
S44において、アクセス制御部412は、エッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対してアクセスする処理を行う。その後、制御部410は、処理をS45に移す。
他方、S44aにおいて、不正アプリ通知部413は、アクセス申告リストの申告に反するアクセス要求を検出したとして、配信管理サーバシステム300に対して当該アプリケーションに係る不正アクセスを検知した旨の通知をする。
図7に示す例では、エッジサーバ400は、アクセス対象660として、データA,Bと、機能C,Dとを有する。データA及び機能Cと、データB及び機能Dとは、それぞれ関連性があるが、例えば、データAと機能Dとは、関連性がない。よって、アクセス申告リスト620は、関連性があるデータ及び機能は、アクセス許可又は拒否に統一感を有する。
そして、例えば、アプリケーションから受け付けた要求がデータAに対するアクセス要求であれば、アクセス制御部412は、アクセス申告リスト620を参照し、アクセスが許可されているので(S43がYES)、アプリケーション610によりデータAにアクセスする処理を行う(S44)。
また、例えば、アプリケーションから受け付けた要求が機能Dの使用要求であれば、アクセス制御部412は、アクセス申告リスト620を参照し、アクセスが許可されていないので(S43がNO)、アプリケーション610により機能Dを使用せず、アプリケーションに係る不正アクセスを検知した旨の通知を、配信管理サーバシステム300に対して行う(S44a)。
S45において、制御部410は、アプリケーションの終了を受け付けたか否かを判断する。制御部410は、例えば、エッジサーバ400の電源切断操作を受け付けた場合の他、アプリケーションに係る不正アクセスを検知した旨を通知した場合や、アプリケーションの強制終了操作を受け付けた場合等に、アプリケーションの終了を受け付けたと判断する。アプリケーションの終了を受け付けた場合(S45:YES)には、制御部410は、処理をS46に移し、アプリケーションを終了させる。他方、アプリケーションの終了を受け付けていない場合(S45:NO)には、アクセス制御部412は、処理をS42に移す。
図7に示す例では、アプリケーションから受け付けた要求が機能Dの使用要求であった場合に、上述したように、アクセス制御部412は、アプリケーション610により機能Dを使用せず、アプリケーションに係る不正アクセスを検知した旨の通知を、配信管理サーバシステム300に対して行う(S44a)。よって、制御部410は、アプリケーションの終了を受け付けたと判断し(S45がYES)、アプリケーションを終了させる。
なお、エッジサーバ400は、アプリケーションに係る不正アクセスを検知した旨を通知した場合や、配信管理サーバシステム300からアプリケーションに係る不正アクセスが検知された旨の通知を受けた場合は、記憶部420に不正である旨の情報を記憶しておき、当該アプリケーションの起動をさせないようにしてもよいし、アプリケーションの起動をして(S40)不正である旨の情報に基づいて当該アプリケーションを直ちに停止させてもよい。
以上により、アプリセキュリティ管理システム1000は、アプリ開発者が開発したアプリケーションを、アプリ開発者自身の申告したアクセス申告リストに基づいて審査を行い、審査の結果、アプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセス内容と、アクセス申告リストに示されたアクセスの有無とが一致すると判定されたアプリケーションを承認されたアプリケーションとして、アクセス申告リストに対応付けてアプリケーションDB305に登録する。よって、アプリ開発者が開発したアプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセスの実態が、アプリ開発者自身の申告したアクセス申告リストと一致する場合に限って、当該アプリケーションをユーザが購入できる配信管理サーバシステム300に登録する。
このように、配信管理サーバシステム300に登録されたアプリケーションは、審査を経て承認されたものであるので、信頼性が高いものである。
また、アプリセキュリティ管理システム1000は、エンドユーザがアプリケーションを購入又はダウンロードしようとする場合に、アクセス申告リストを確認してからでないとアプリケーションを購入不可にし、又は、配信不可にするので、エンドユーザがアプリケーションに係るリスクを確認する環境を強制的に構築できる。また、エンドユーザがリスクを容認した上で、アプリケーションをエッジサーバ400にダウンロードできる。
さらに、アプリセキュリティ管理システム1000は、アクセス申告リストに基づいて、実行するアプリケーションのエッジ機器500の機能の使用及び/又はエッジ機器500の処理データに対するアクセスを監視するので、不正なアクセスができない仕組みにでき、セキュリティ性をより向上できる。
本発明で使用するアプリケーションを初めとするプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non−transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
(変形例1)
上述した実施形態では、アクセス申告リストの例として、図3に一例を示したが、これに限定されない。また、データモデルの例として、図4に一例を示したが、これに限定されない。CNC工作機械を除く各種の製造装置に関しても、図4と同様のデータモデルを適用してもよい。
(変形例2)
上述した実施形態でのアクセス申告リストについて、エンドユーザがアプリケーションを購入又はダウンロードする前に確認するアクセス申告リストは、例えば、エンドユーザに分かりやすい文言で、許可する機能及び/又は処理データが分かるように記載されたものであることが望ましい。また、アプリ開発者が作成するアクセス申告リストは、例えば、予め用意されたひな形に該当の箇所にチェックを入れるだけのものである等、アプリ開発者が入力しやすいものが望ましい。そして、審査管理サーバ100やエッジサーバ400での実行時に使用するアクセス申告リストは、コード化されており、コンピュータが処理できるものであればよい。
(変形例3)
上述した実施形態では、エッジサーバ400でのアクセス制御を、コントローラ650が行うものを例に説明したが、これに限定されない。アクセス申告リストを、アプリケーションのプログラム構成として、アクセス申告リストに基づいて、エッジ機器500の機能の使用要求及び/又はエッジ機器500の処理データに対するアクセス要求を行うように、プログラム化されるようにしてもよい。ただし、その場合においても、アクセス制御部412によるダブルチェックを行うことが好ましい。
100 審査管理サーバ
110,310,410 制御部
111 アプリ受付部
112 アプリ審査部
113 アプリ登録部
120,320,420 記憶部
200 端末
300 配信管理サーバシステム
305 アプリケーションDB
311 リスクリスト通知部
312 アプリ配信部
313 不正通知部
400 エッジサーバ
411 アプリ実行部
412 アクセス制御部
413 不正アプリ通知部
500 エッジ機器
610 アプリケーション
620 アクセス申告リスト
1000 アプリセキュリティ管理システム

Claims (5)

  1. 1台以上のエッジ機器と通信可能に接続されたエッジサーバで実行するアプリケーションの配信を管理するアプリケーション配信管理サーバシステムと、
    前記アプリケーション配信管理サーバシステムで配信するアプリ開発者が開発した前記アプリケーションの審査を管理するアプリケーション審査管理サーバと、
    前記アプリケーション配信管理サーバシステムで配信を管理する前記アプリケーションを記憶するアプリケーション記憶部と、
    前記アプリケーションの実行を管理する前記エッジサーバと、
    を備えたアプリケーションセキュリティ管理システムであって、
    前記アプリケーション審査管理サーバは、
    標準化されたデータモデルに基づいて前記エッジ機器の機能の使用の有無及び/又は前記エッジ機器の処理データに対するアクセスの有無を設定可能にしたセキュリティリスクリストを前記アプリ開発者に提供することで、前記アプリケーションと、前記アプリケーションを前記エッジサーバで実行する際に使用する前記セキュリティリスクリストとを、前記アプリ開発者から受け付けるアプリケーション受付手段と、
    前記アプリケーション受付手段により受け付けた前記アプリケーションについて、前記アプリケーションのソースコードの分析及び/又は前記アプリケーションをエッジサーバで実行させることによる動作分析に基づいて、前記アプリケーションの前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス内容と、前記セキュリティリスクリストに示された前記エッジ機器の機能の使用の有無及び/又は前記エッジ機器の処理データに対するアクセスの有無とが一致するか否かを審査するアプリケーション審査手段と、
    前記アプリケーション審査手段による審査の結果、前記アプリケーションの前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセス内容と、前記セキュリティリスクリストに示された前記エッジ機器の機能の使用の有無及び/又は前記エッジ機器の処理データに対するアクセスの有無とが一致すると判定された場合に、前記アプリケーションを前記アプリケーション配信管理サーバシステムで配信管理することを承認し、前記アプリケーションと、前記セキュリティリスクリストとを関連付けて、前記アプリケーション記憶部に登録するアプリケーション登録手段と、
    を備え、
    前記アプリケーション配信管理サーバシステムは、
    ユーザの端末から前記アプリケーション記憶部に記憶された前記アプリケーションの購入要求又は配信要求を受け付けた場合に、前記アプリケーションに対応する前記セキュリティリスクリストを購入要求又は配信要求のあった前記ユーザの端末に対して通知するリスクリスト通知手段と、
    前記リスクリスト通知手段により通知した前記セキュリティリスクリストに対する前記ユーザの端末からの承認データを受け付けると共に、前記ユーザの端末から配信許可情報が提示された場合に限り、前記アプリケーションと前記セキュリティリスクリストとを関連付けて、前記購入要求又は配信要求に基づいて特定された前記エッジサーバに配信するアプリケーション配信手段と、
    を備え、
    前記エッジサーバは、
    配信された前記アプリケーション及び前記セキュリティリスクリストを記憶する記憶部と、
    前記アプリケーションの起動要求に基づいて、前記アプリケーションを実行するアプリケーション実行手段と、
    前記セキュリティリスクリストの内容に基づいて、前記アプリケーションのエッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセス状況を監視し、前記セキュリティリスクリストでアクセス有と申告された前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データへのアクセスのみを許可するアプリケーションアクセス制御手段と、
    を備える、
    アプリケーションセキュリティ管理システム。
  2. 請求項1に記載のアプリケーションセキュリティ管理システムにおいて、
    前記セキュリティリスクリストは、前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセスに係る権限を表すものであり、
    前記アプリケーション配信管理サーバシステムの前記リスクリスト通知手段は、少なくとも前記アプリケーションに対して許可される前記エッジ機器の機能の使用及び/又は前記エッジ機器の処理データに対するアクセスに係る権限に関するセキュリティリスクリストを通知する、
    アプリケーションセキュリティ管理システム。
  3. 請求項1又は請求項2に記載のアプリケーションセキュリティ管理システムにおいて、
    前記セキュリティリスクリストは、
    前記エッジ機器の動作状態に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、
    前記エッジ機器の生産状況に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、
    前記エッジ機器の品質保守に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、
    前記エッジ機器のイベント(履歴)に係る各機能の使用可否及び/又は各処理データに対するアクセス可否、及び
    前記エッジ機器のアーカイブに係る各機能の使用可否及び/又は各処理データに対するアクセス可否を含む、
    アプリケーションセキュリティ管理システム。
  4. 請求項1から請求項3までのいずれかに記載のアプリケーションセキュリティ管理システムにおいて、
    前記エッジサーバは、
    前記アプリケーションアクセス制御手段により、前記アプリケーションが前記アプリケーションに関連付けられた前記セキュリティリスクリストに示されていない前記エッジ機器に係る機能の使用及び/又は前記エッジ機器の処理データに対するアクセスに係る要求である不正アクセス要求を検出した場合、前記アプリケーションの不正情報を、前記アプリケーション配信管理サーバシステムに通知する、不正アプリケーション通知手段を備え、
    前記アプリケーションアクセス制御手段は、さらに、前記不正アクセス要求を検出した場合、前記アプリケーションを停止させる、
    アプリケーションセキュリティ管理システム。
  5. 請求項4に記載のアプリケーションセキュリティ管理システムにおいて、
    前記アプリケーション配信管理サーバシステムは、さらに、
    前記エッジサーバの前記不正アプリケーション通知手段からアプリケーションの不正情報を受信すると、前記アプリケーションの配信先のエッジサーバに対して、前記アプリケーションの不正情報を通知する通知手段を備え、
    前記エッジサーバの前記アプリケーションアクセス制御手段は、さらに前記アプリケーション配信管理サーバシステムから前記アプリケーションの不正情報を受信すると、前記アプリケーションを停止させる、
    アプリケーションセキュリティ管理システム。
JP2017179815A 2017-09-20 2017-09-20 アプリケーションセキュリティ管理システム及びエッジサーバ Active JP6691085B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017179815A JP6691085B2 (ja) 2017-09-20 2017-09-20 アプリケーションセキュリティ管理システム及びエッジサーバ
US16/120,950 US10805335B2 (en) 2017-09-20 2018-09-04 Application security management system and edge server
DE102018215679.4A DE102018215679B4 (de) 2017-09-20 2018-09-14 Anwendungssicherheitsmanagementsystem und Randserver
CN201811087463.0A CN109525547B (zh) 2017-09-20 2018-09-18 应用安全管理系统以及边缘服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017179815A JP6691085B2 (ja) 2017-09-20 2017-09-20 アプリケーションセキュリティ管理システム及びエッジサーバ

Publications (2)

Publication Number Publication Date
JP2019056999A JP2019056999A (ja) 2019-04-11
JP6691085B2 true JP6691085B2 (ja) 2020-04-28

Family

ID=65526613

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017179815A Active JP6691085B2 (ja) 2017-09-20 2017-09-20 アプリケーションセキュリティ管理システム及びエッジサーバ

Country Status (4)

Country Link
US (1) US10805335B2 (ja)
JP (1) JP6691085B2 (ja)
CN (1) CN109525547B (ja)
DE (1) DE102018215679B4 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10855778B2 (en) * 2018-10-31 2020-12-01 EMC IP Holding Company LLC Distributed ledger for edge server management
JP7007312B2 (ja) * 2019-03-05 2022-01-24 ファナック株式会社 海外対応アプリケーション販売管理システム
US11263891B2 (en) 2019-05-15 2022-03-01 Skydome Ab Enhanced emergency response
JP7306910B2 (ja) * 2019-07-30 2023-07-11 ファナック株式会社 アプリケーション販売管理サーバシステム、アプリケーション販売管理システム、管理制御装置及び配信制御装置
EP4287056A4 (en) * 2021-01-28 2024-12-04 Hitachi, Ltd. DATA DISTRIBUTION CONTROL METHOD, DATA DISTRIBUTION CONTROL SYSTEM AND AUTHORIZATION SERVER
JP7264942B2 (ja) * 2021-06-24 2023-04-25 ソフトバンク株式会社 データ処理装置、プログラム、及び通信方法
CN115604259B (zh) * 2022-08-31 2025-12-02 联想(北京)有限公司 激活多个边缘服务器的方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111833A (ja) * 1996-10-07 1998-04-28 Hitachi Ltd アクセス権限管理方式
JP3576008B2 (ja) * 1998-10-09 2004-10-13 株式会社東芝 アクセス制御設定システム及び記憶媒体
US7099663B2 (en) * 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
JP2005044021A (ja) * 2003-07-24 2005-02-17 Hiroto Inoue ネットワークセキュリティー方法、ネットワークセキュリティープログラム、ネットワークセキュリティーシステム、及び情報管理装置
JP2006332910A (ja) * 2005-05-24 2006-12-07 Nec Corp ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム
US9063778B2 (en) * 2008-01-09 2015-06-23 Microsoft Technology Licensing, Llc Fair stateless model checking
GB2504648B (en) * 2009-08-20 2015-06-10 Murata Machinery Ltd Relay communication system and access management apparatus
JP2011233081A (ja) 2010-04-30 2011-11-17 Kddi Corp アプリケーション判定システムおよびプログラム
US8719804B2 (en) * 2010-05-05 2014-05-06 Microsoft Corporation Managing runtime execution of applications on cloud computing systems
JP2012043228A (ja) * 2010-08-19 2012-03-01 Panasonic Electric Works Sunx Co Ltd Pac及びそれを備えたpacシステム
JP5703648B2 (ja) * 2010-09-14 2015-04-22 株式会社リコー 情報処理装置、画像処理装置管理システム、情報処理方法およびそのプログラム
CN102420690B (zh) * 2010-09-28 2014-05-21 上海可鲁系统软件有限公司 一种工业控制系统中身份与权限的融合认证方法及系统
JP5503500B2 (ja) * 2010-11-02 2014-05-28 株式会社日立製作所 アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム
CN107103216B (zh) * 2011-03-25 2020-08-25 株式会社野村综合研究所 业务信息防护装置
US20130067531A1 (en) * 2011-09-12 2013-03-14 Microsoft Corporation Access Brokering Based on Declarations and Consent
US9665465B1 (en) * 2012-11-19 2017-05-30 Amazon Technologies, Inc. Automated determination of application permissions
JP2014102673A (ja) * 2012-11-20 2014-06-05 Nissan Motor Co Ltd 車載機及びセキュリティシステム
JP6069039B2 (ja) * 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
JP2015121906A (ja) * 2013-12-20 2015-07-02 日本電気株式会社 アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム
JP2016018339A (ja) * 2014-07-07 2016-02-01 キヤノン株式会社 システム、及びシステムの制御方法
WO2017035536A1 (en) * 2015-08-27 2017-03-02 FogHorn Systems, Inc. Edge intelligence platform, and internet of things sensor streams system

Also Published As

Publication number Publication date
US10805335B2 (en) 2020-10-13
DE102018215679A1 (de) 2019-03-21
JP2019056999A (ja) 2019-04-11
US20190089729A1 (en) 2019-03-21
CN109525547A (zh) 2019-03-26
DE102018215679B4 (de) 2021-10-14
CN109525547B (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
JP6691085B2 (ja) アプリケーションセキュリティ管理システム及びエッジサーバ
JP7582992B2 (ja) 産業用携帯型装置
CN104977874B (zh) 工业使能移动设备
US10805304B2 (en) Edge server and management server
US10909597B2 (en) Application sales management server system and method
EP3585026A1 (en) Method and system of providing secure access to a cloud service in a cloud computing environment
TW201250512A (en) Threat level assessment of applications
US10885155B2 (en) Software license management system and management method
CN107193666B (zh) 应用程序之间调用的控制方法及装置
JP2007305124A (ja) 機械のメンテナンスのためのアフターサービスプラットフォーム
CN109241700A (zh) 用于计算机系统和服务器系统的许可系统以及用于其的方法
CN104657926A (zh) 修理信息管理装置、程序、系统及方法
CN111480171A (zh) 设备管理用本地服务器和代理管理用中心服务器
US20190210835A1 (en) Maintenance method of an elevator component
US10042696B2 (en) Method and system for handling a defective electronic user terminal
CN107896227A (zh) 一种数据调用方法、装置及设备数据云平台
JP2019207691A (ja) 情報処理装置
US11599922B2 (en) Overseas-compatible application sales management server system
US9003514B1 (en) System and method to troubleshoot a defect in operation of a machine
US11250483B2 (en) Overseas-compatible application sales management system
KR20140085673A (ko) 세탁물 관리 방법
CN118648009A (zh) 电动车辆充电站管理
JP2007220108A (ja) 動作データを安全に伝送する方法
CN113421104A (zh) 一种窜货行为的识别方法、装置、电子设备及存储介质
CN119938142A (zh) 指令执行方法、装置、电子设备以及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181119

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190219

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190705

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200310

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200409

R150 Certificate of patent or registration of utility model

Ref document number: 6691085

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150