Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6917482B2 - 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム - Google Patents
[go: Go Back, main page]

JP6917482B2 - 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム - Google Patents

通信制御システム、マスター装置、通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP6917482B2
JP6917482B2 JP2020003790A JP2020003790A JP6917482B2 JP 6917482 B2 JP6917482 B2 JP 6917482B2 JP 2020003790 A JP2020003790 A JP 2020003790A JP 2020003790 A JP2020003790 A JP 2020003790A JP 6917482 B2 JP6917482 B2 JP 6917482B2
Authority
JP
Japan
Prior art keywords
communication
unit
terminal
address
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020003790A
Other languages
English (en)
Other versions
JP2021111905A (ja
Inventor
森 直人
直人 森
敏之 木村
敏之 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2020003790A priority Critical patent/JP6917482B2/ja
Priority to JP2021118367A priority patent/JP7086257B2/ja
Publication of JP2021111905A publication Critical patent/JP2021111905A/ja
Application granted granted Critical
Publication of JP6917482B2 publication Critical patent/JP6917482B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、ホワイトリストに基づく通信制御技術に関する。
通信が許可された対象を示すホワイトリストに基づき、通信制御を行う技術がある。ホワイトリストに基づく通信制御は、安全性の観点において有効である。しかし、ホワイトリストに基づく通信制御では、通信が許可されるべき対象がホワイトリストに示されていないと、許可されるべき通信であっても許可されない。その結果、適切な処理が実行できないといった事態が発生し得る。そのため、ホワイトリストを適切に管理する必要がある。したがって、ホワイトリストに基づく通信制御は、ホワイトリストの管理という点において管理者に負担がかかる。
特許文献1には、ホワイトリストを自動的に生成する技術が記載されている。これにより、ホワイトリストの管理に係る負担を軽減している。特許文献1では、ホワイトリスト生成期間に行われた通信が許可されるように、ホワイトリストを生成している。
特開2017−046149号公報
特許文献1に記載された技術では、ホワイトリスト生成期間に不適切な通信が行われると、不適切な通信が許可されるようにホワイトリストが生成されてしまう。その結果、ホワイトリストに基づく通信制御が開始された後においても、不適切な通信が許可されてしまう。
本開示は、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能にすることを目的とする。
本開示に係る通信制御システムは、
複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを取得するアドレス取得部と、
前記アドレス取得部によって取得された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と
を備え、
前記複数のエッジ装置それぞれは、
前記分類部によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
を備え、
前記マスター装置は、さらに、
前記ログ取得部によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
を備える。
本開示では、同じグループに分類されたアドレス間の通信と、異なるグループに分類されたアドレス間において行われた通信のうち通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストが生成される。これにより、ホワイトリストの管理に係る負担の軽減を図りつつ、不適切な通信が許可されることを防止可能である。
実施の形態1に係る通信制御システム1の構成図。 実施の形態1に係るマスター装置10の構成図。 実施の形態1に係るエッジ装置20の構成図。 実施の形態1に係る通信制御システム1の動作を示すフローチャート。 実施の形態1に係るアドレス41の説明図。 実施の形態1に係るアドレス41と端末情報42の説明図。 実施の形態1に係る端末テーブル43の説明図。 実施の形態1に係るグループ44の説明図。 実施の形態1に係る検査用アクセスリスト46の説明図。 実施の形態1に係るログデータ47の説明図。 実施の形態1に係る異グループ間通信リスト48の説明図。 実施の形態1に係るホワイトリスト49の説明図。 変形例1に係るマスター装置10の構成図。 変形例1に係る通信制御システム1の動作を示すフローチャート。 実施の形態2に係る通信制御システム1の動作を示すフローチャート。
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。端末30としては、IT(Information Technology)系の端末30と、OT(Operational Technology)系の端末30とのように、複数の種別の端末30が存在する。
図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
マスター装置10は、機能構成要素として、アドレス受信部111と、分類部112と、検査リスト生成部113と、検査リスト送信部114と、ログ受信部115と、設定受付部116と、ホワイトリスト生成部117と、ホワイトリスト送信部118とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。
図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
エッジ装置20は、機能構成要素として、アドレス取得部211と、端末情報受付部212と、アドレス送信部213と、リスト受信部214と、ログ取得部215と、ログ送信部216と、通信制御部217とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。
プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。
***動作の説明***
図4から図12を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。
通信制御システム1は、マスター装置10及びエッジ装置20が設置され、運用が開始されると、図4に示す処理を実行する。
(図4のステップS11:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、自身に接続された端末30のアドレス41を取得する。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス41を取得してもよい。
ここでは、図5に示すように、アドレス取得部211は、端末30のアドレス41として、IP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを取得する。
(図4のステップS12:端末情報受付処理)
各エッジ装置20の端末情報受付部212は、ステップS11で取得された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。
具体的には、エッジ装置20に入力装置が接続され、エッジ装置20の設置を担当した担当者等によって端末情報42が入力される。そして、端末情報受付部212は、入力された端末情報42を受け付ける。
ここでは、図6に示すように、端末情報受付部212は、端末情報42として、グループ名と、端末名とを受け付け、IPアドレス及びMACアドレスとの関連付けを行う。グループ名は、端末30が属するグループを識別可能な名称である。例えば、IT系とOT系とで端末30をグループ分けする場合には、グループ名はIT系又はOT系になる。端末名は、端末30を識別可能な名称である。例えば、端末名は、端末30が設置された場所と、端末30の役割等とに基づき、予め定められたルールに従って割り当てられる。
(図4のステップS13:アドレス送信処理)
各エッジ装置20のアドレス送信部213は、ステップS212で受け付けた端末情報42を付加したアドレス41をマスター装置10に送信する。
すると、マスター装置10のアドレス受信部111は、各エッジ装置20から送信された端末情報42が付加されたアドレス41を受信する。つまり、アドレス受信部111は、複数のエッジ装置20それぞれから、そのエッジ装置20に接続された端末30のアドレス41及び端末情報42を受信する。そして、図7に示すように、アドレス受信部111は、受信されたアドレス41及び端末情報42を集約し、エッジ装置20を判別するエッジ装置IDと関連付けて端末テーブル43を生成する。
(図4のステップS14:分類処理)
マスター装置10の分類部112は、ステップS13で受信された端末30のアドレス41を、端末30の端末情報42に基づき複数のグループ44に分類する。
具体的には、分類部112は、端末テーブル43から順にレコードを読み出し、読み出されたレコードの端末情報42に基づき、そのレコードのグループ44を特定する。実施の形態1では、分類部112は、端末情報42に含まれるグループ名毎にレコードのグループを特定する。したがって、図7に示す端末テーブル43の場合には、図8に示すように各レコードがIT系のグループ44とOT系のグループ44とに分類される。分類部112は、グループ44に基づきグループリストを生成する。
グループリストについては、図示しないが、図8に示すグループ44に基づき、グループ毎のIPアドレスを特定するリストとなる。例えば、IT系グループには、IP A1、IP A2、IP Am、IP An・・・が含まれ、OT系グループには、IP B1、IP B2、IP Bi、IP Bj・・・が含まれることを示すリストである。
(図4のステップS15:検査用アクセスリスト生成処理)
検査リスト生成部113は、実施の形態1では、図9に示すように、全てのグループ44間の通信を許可することと、異なるグループ44間の通信のログを取得することを示す検査用アクセスリスト46を生成する。ここで、全てのグループ44間の通信を許可するとは、同じグループ44におけるアドレス間での通信を許可するとともに、異なるグループ44におけるアドレス間での通信を許可することを意味する。検査用アクセスリスト46は、全てのグループ44間の通信を許可した上で、異なるグループ44間の通信のログを取得するルールに基づく暫定的なホワイトリストになる。
そして、検査リスト生成部113は、検査用アクセスリスト46と端末テーブル43との組を検査リスト45として扱う。なお検査リスト45に含まれる、端末テーブル43は、具体的には前述したグループリストのような構成となる。
そして、検査リスト送信部114は、検査リスト45を各エッジ装置20に送信する。すなわち、検査リスト送信部114は、検査用アクセスリスト46とグループリストを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、検査リスト45を受信する。
(図4のステップS16:ログ取得処理)
各エッジ装置20のログ取得部215は、検査リスト45を受信してから観測期間の間、検査リスト45に従い、異なるグループに分類されたアドレス間の通信のログを取得する。実施の形態1では、通信制御部217は、検査リスト45として受信した検査用アクセスリスト46に従い、全てのグループ44間の通信を許可する。そして、ログ取得部215は、検査用アクセスリスト46に従い、実際に行われた通信のうち、異なるグループ44間の通信のログを取得する。観測期間は、通信制御システム1を適用する対象のシステムにおいて、一通りの通信が行われるような期間等が設定される。
通信のログには、データの送信元のIPアドレスと、データ宛先のIPアドレスとが含まれる。図10に示すように、通信制御部217は、端末テーブル43を参照して、データの送信元及びデータの宛先について、MACアドレスとグループ名と端末名とを補って、ログデータ47を生成する。
観測期間が終了すると、ログ送信部216は、ログデータ47をマスター装置10に送信する。すると、マスター装置10のログ受信部115は、ログデータ47を受信する。
(図4のステップS17:設定受付処理)
マスター装置10の設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。
具体的には、図11に示すように、設定受付部116は、各エッジ装置20から受信したログデータ47について、重複を排除した異グループ間通信リスト48を生成する。そして、設定受付部116は、異グループ間通信リスト48が示す各アドレス間の通信について、許可するか否かの設定を受け付ける。
(図4のステップS18:ホワイトリスト生成処理)
図12に示すように、マスター装置10のホワイトリスト生成部117は、ステップS14で同じグループに分類されたアドレス間の通信と、ステップS17で通信を許可すると設定されたアドレス間の通信とを許可するホワイトリスト49を生成する。図12に示すホワイトリスト49では、IT系間及びOT系間の通信と、ステップS17で通信を許可すると設定されたIPアドレスがIP A1とIP B1との間の通信とが許可されている。図12に示すホワイトリスト49では、IPアドレスがIP A1とIP B1との間の通信以外の異なるグループ44に分類されたアドレス間の通信は遮断するように設定されている。
そして、ホワイトリスト送信部118は、ホワイトリスト49を各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、ホワイトリスト49を受信する。
(図4のステップS19:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS18で受信したホワイトリスト49に従い、通信を制御する。つまり、通信制御部217は、ホワイトリスト49で許可すると設定されている通信のみを許可し、その他の通信については遮断する。
***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1では、各エッジ装置20に接続された端末30がグループ44に分類され、異なるグループ44に分類されたアドレス間の通信のログが観測期間の間に取得される。そして、ログが取得されたアドレス間の通信を許可するか否かの設定が受け付けられ、同じグループ44に分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可するホワイトリスト49が生成される。つまり暫定的に作成した検査用アクセスリスト46に基づき、観測期間の通信を許可し、そのログに基づきホワイトリスト49を生成する。
これにより、同じグループ44間の通信については逐一ホワイトリスト49に設定する必要がないため、ホワイトリスト49の管理の負担を軽減することが可能である。一方、異なるグループ44間の通信については、観測期間に行われた通信のログに基づき、許可するか否かが判断された上でホワイトリスト49に設定される。そのため、不正な通信が許可されることを防止可能である。
例えば、IT系の端末30とOT系の端末30との間の通信は、安全性の観点から原則として禁止することが望ましい。しかし、OT系の端末30のデータをIT系の端末30で分析するといった処理を行う場合も考えられる。この場合の通信については、例外的にIT系の端末30とOT系の端末30との間の通信であっても許可する必要がある。このような場合に、実施の形態1に係る通信制御システム1では、観測期間に行われたIT系の端末30とOT系の端末30との間の通信について、個別に許可するか否かを設定するだけで、適切なホワイトリスト49を生成可能である。
***他の構成***
<変形例1>
実施の形態1では、各エッジ装置20が端末情報42の入力を受け付けた。これは、エッジ装置20の設置を担当した担当者等であれば、エッジ装置20に接続された端末30についての端末情報42を容易に知り得ると考えられるためである。
しかし、マスター装置10が端末情報42の入力を受け付けてもよい。例えば、各エッジ装置20に接続される端末30を通信制御システム1の管理者が把握しているような場合には、マスター装置10が端末情報42の入力を受け付けることが妥当である。さらにマスター装置10がエッジ装置20から端末30のIPアドレスとMACアドレスを収集したタイミングで、外部組織のデータベース、またはマスター装置10が設置された組織内のデータベースと照合し、グループ名と端末名とを取得するように構成してもよい。その場合、マスター装置10が自動的にアドレス41と対応する端末情報42を生成する。
図13を参照して、変形例1に係るマスター装置10の構成を説明する。
マスター装置10は、機能構成要素として、端末情報受付部119を備える点が、図2に示すマスター装置10と異なる。
図14を参照して、変形例1に係る通信制御システム1の動作を説明する。
ステップS21の処理は、図4のステップS11の処理と同じである。また、ステップS24からステップS29の処理は、図4のステップS14からステップS19の処理と同じである。
ステップS22では、各エッジ装置20のアドレス送信部213は、ステップS21で取得されたアドレス41をマスター装置10に送信する。つまり、アドレス送信部213は、端末情報42が付加されていない状態でアドレス41をマスター装置10に送信する。ステップS23では、マスター装置10の端末情報受付部119は、各エッジ装置20から送信された各アドレス41が示す端末30についての端末情報42の入力を受け付ける。
なお、一部のアドレス41についての端末情報42はエッジ装置20が受け付け、残りのアドレス41についての端末情報42はマスター装置10が受け付けるといった構成でもよい。
<変形例2>
実施の形態1では、ホワイトリスト49は、同じグループに分類されたアドレス間の通信と、許可すると設定されたアドレス間の通信とを許可し、残りの通信については遮断するように設定された。ホワイトリスト49は、残りの通信については遮断しつつ、ログを取得するように設定されてもよい。
この場合には、図4のステップS19では、各エッジ装置20の通信制御部217は、ホワイトリスト49に従い遮断するように設定されている通信については遮断する。この際、ログ取得部215は、遮断された通信のログを取得する。定期的にあるいは任意のタイミングに、通信制御部217は、ログからログデータ47を生成してマスター装置10に送信する。ログデータ47が送信された場合に、設定受付部116は、ログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける。そして、ホワイトリスト生成部117は、通信を許可するという設定を受け付けた場合に、ホワイトリスト49に設定を追加する。
これにより、観測期間に行われなかった異なるグループ44の端末30間の通信に、許可されるべき通信が含まれる場合に、観測期間の後にホワイトリスト49に追加することが可能になる。
<変形例3>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。
各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。
<変形例4>
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
プロセッサ11,21とメモリ12,22とストレージ13,23と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
実施の形態2.
実施の形態2では、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続された場合について説明する。実施の形態2では、実施の形態1と同一の点については説明を省略する。
***動作の説明***
図15を参照して、実施の形態2に係る通信制御システム1の動作を説明する。
(図15のステップS31:設定追加処理)
マスター装置10の設定受付部116は、通信制御システム1の運用開始後に、エッジ装置20に新たな端末30が接続されると、追加された端末30についてのアドレス41及び端末情報42を端末テーブル43に追加する。具体的には、通信制御システム1の管理者によって、追加された端末30についてのアドレス41及び端末情報42が入力される。そして、設定受付部116は、入力されたアドレス41及び端末情報42を端末テーブル43に追加する。
また、設定受付部116は、追加された端末30について、異なるグループ44の端末30と通信が必要な場合には、設定をホワイトリスト49に追加する。具体的には、通信制御システム1の管理者によって、許可する通信の設定が入力される。設定受付部116は、入力された設定をホワイトリスト49に追加する。
(図15のステップS32:再送付処理)
マスター装置10のホワイトリスト生成部117は、ステップS31でアドレス41及び端末情報42が追加された端末テーブル43と、設定が追加されたホワイトリスト49とを各エッジ装置20に送信する。すると、各エッジ装置20のリスト受信部214は、端末テーブル43及びホワイトリスト49を受信する。
(図15のステップS33:通信制御処理)
各エッジ装置20の通信制御部217は、ステップS32で受信したホワイトリスト49に従い、通信を制御する。
***実施の形態2の効果***
以上のように、実施の形態2に係る通信制御システム1では、運用開始後にエッジ装置20に新たな端末30が接続された場合には、新たな端末30についての設定がホワイトリスト49に追加される。つまり、新たな端末30が接続されても、再び観測期間を設けてログを取得する必要がない。そのため、新たな端末30が接続された場合にすぐに適切なホワイトリスト49で運用を開始することが可能である。
なお、新たな端末30は、必要になったために追加されるので、役割は明確であると想定される。したがって、通信制御システム1の管理者は、新たな端末30については、アドレス41及び端末情報42と、異なるグループ44の端末30と通信が必要か否かといったことは把握されていると認められる。
以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。
1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、111 アドレス受信部、112 分類部、113 検査リスト生成部、114 検査リスト送信部、115 ログ受信部、116 設定受付部、117 ホワイトリスト生成部、118 ホワイトリスト送信部、119 端末情報受付部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、211 アドレス取得部、212 端末情報受付部、213 アドレス送信部、214 リスト受信部、215 ログ取得部、216 ログ送信部、217 通信制御部、30 端末、41 アドレス、42 端末情報、43 端末テーブル、44 グループ、45 検査リスト、46 検査用アクセスリスト、47 ログデータ、48 異グループ間通信リスト、49 ホワイトリスト、90 ネットワーク機器。

Claims (8)

  1. 複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
    前記マスター装置は、
    前記複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信部と、
    前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と
    を備え、
    前記複数のエッジ装置それぞれは、
    前記分類部によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得部
    を備え、
    前記マスター装置は、さらに、
    前記ログ取得部によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
    前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
    を備える通信制御システム。
  2. 前記マスター装置は、さらに、
    前記ホワイトリスト生成部によって生成された前記ホワイトリストを、前記複数のエッジ装置それぞれに送信するホワイトリスト送信部
    を備え、
    前記複数のエッジ装置それぞれは、さらに、
    前記ホワイトリスト送信部によって送信された前記ホワイトリストに従い、通信を制御する通信制御部
    を備える請求項1に記載の通信制御システム。
  3. 前記ログ取得部は、観測期間の間、前記ログを取得し、
    前記複数のエッジ装置それぞれは、さらに、
    前記観測期間が終わると、前記ログ取得部によって取得された前記ログを前記マスター装置に送信するログ送信部
    を備える請求項1又は2に記載の通信制御システム。
  4. 前記マスター装置は、さらに、
    前記分類部によって異なるグループに分類されたアドレス間を指定する検査リストを前記複数のエッジ装置それぞれに送信する検査リスト送信部
    を備え、
    前記ログ取得部は、前記検査リスト送信部によって送信された前記検査リストによって指定されたアドレス間の通信のログを取得する
    請求項1から3までのいずれか1項に記載の通信制御システム。
  5. 前記ホワイトリスト生成部は、前記複数のエッジ装置のうちのいずれかのエッジ装置に新たな端末が接続され、かつ、前記新たな端末が異なるグループの端末と通信することを許可する場合に、前記ホワイトリストを更新する
    請求項1から4までのいずれか1項に記載の通信制御システム。
  6. 数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信部と、
    前記アドレス受信部によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類部と、
    前記分類部によって異なるグループに分類されたアドレス間の通信のログを前記複数のエッジ装置それぞれから受信するログ受信部と、
    前記ログ受信部によってログが受信されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付部と、
    前記分類部によって同じグループに分類されたアドレス間の通信と、前記設定受付部によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成部と
    を備えるマスター装置。
  7. マスター装置が、複数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信し、
    前記マスター装置が、前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類し、
    前記複数のエッジ装置それぞれが、異なるグループに分類されたアドレス間の通信のログを取得し、
    前記マスター装置が、前記ログが取得されたアドレス間の通信を許可するか否かの設定を受け付け、
    前記マスター装置が、同じグループに分類されたアドレス間の通信と、通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成する通信制御方法。
  8. 数のエッジ装置それぞれから、そのエッジ装置に接続された端末のアドレスを受信するアドレス受信処理と、
    前記アドレス受信処理によって受信された前記端末の前記アドレスを、前記端末の端末情報に基づき複数のグループに分類する分類処理と、
    前記分類処理によって異なるグループに分類されたアドレス間の通信のログを取得するログ取得処理と、
    前記ログ取得処理によってログが取得されたアドレス間の通信を許可するか否かの設定を受け付ける設定受付処理と、
    前記分類処理によって同じグループに分類されたアドレス間の通信と、前記設定受付処理によって通信を許可すると設定されたアドレス間の通信とを許可するホワイトリストを生成するホワイトリスト生成処理と
    を行う通信制御システムとしてコンピュータを機能させる通信制御プログラム。
JP2020003790A 2020-01-14 2020-01-14 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム Active JP6917482B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020003790A JP6917482B2 (ja) 2020-01-14 2020-01-14 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム
JP2021118367A JP7086257B2 (ja) 2020-01-14 2021-07-19 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020003790A JP6917482B2 (ja) 2020-01-14 2020-01-14 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021118367A Division JP7086257B2 (ja) 2020-01-14 2021-07-19 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2021111905A JP2021111905A (ja) 2021-08-02
JP6917482B2 true JP6917482B2 (ja) 2021-08-11

Family

ID=77060300

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020003790A Active JP6917482B2 (ja) 2020-01-14 2020-01-14 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム
JP2021118367A Active JP7086257B2 (ja) 2020-01-14 2021-07-19 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021118367A Active JP7086257B2 (ja) 2020-01-14 2021-07-19 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム

Country Status (1)

Country Link
JP (2) JP6917482B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7209791B1 (ja) 2021-09-27 2023-01-20 三菱電機株式会社 マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
JP7209792B1 (ja) 2021-09-27 2023-01-20 三菱電機株式会社 マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
JP7627299B2 (ja) 2023-04-12 2025-02-05 株式会社日立製作所 通信要件生成システムおよび通信要件生成方法
JP7573693B1 (ja) 2023-06-19 2024-10-25 三菱電機株式会社 エッジ装置、通信制御方法、通信制御プログラム及び通信制御システム
JP7573692B1 (ja) 2023-06-19 2024-10-25 三菱電機株式会社 マスター装置、通信制御方法、通信制御プログラム及び通信制御システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2782683B2 (ja) * 1989-10-19 1998-08-06 三菱電機株式会社 Lanにおける通信方法およびノード装置
US6167052A (en) 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
JP4279792B2 (ja) * 2005-03-17 2009-06-17 ソフトバンクテレコム株式会社 通信制御システム及び方法
JP2010178089A (ja) * 2009-01-29 2010-08-12 Daikin Ind Ltd 遠隔管理システム、遠隔管理装置及び接続装置
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
JP6320329B2 (ja) * 2015-03-12 2018-05-09 株式会社東芝 ホワイトリスト作成装置
JP6558279B2 (ja) * 2016-03-08 2019-08-14 富士通株式会社 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム
JP2018019160A (ja) * 2016-07-26 2018-02-01 富士通株式会社 ネットワーク制御装置、及び、アクセス制御方法
US10212577B2 (en) * 2016-11-03 2019-02-19 Hewlett Packard Enterprise Development Lp Roaming on low power wide area networks
JP2018093492A (ja) * 2016-11-30 2018-06-14 株式会社Lte−X 通信方法および中継装置
JP6655658B2 (ja) * 2018-06-01 2020-02-26 西日本電信電話株式会社 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム

Also Published As

Publication number Publication date
JP2021166414A (ja) 2021-10-14
JP2021111905A (ja) 2021-08-02
JP7086257B2 (ja) 2022-06-17

Similar Documents

Publication Publication Date Title
JP6917482B2 (ja) 通信制御システム、マスター装置、通信制御方法及び通信制御プログラム
DE112018003059B4 (de) Identifizierung und authentifizierung von vorrichtungen in einem netzwerk
US20020146002A1 (en) Network administration apparatus, network administrating program, network administrating method and computer network system
US20090204960A1 (en) System, method and computer program product for accessing a memory space allocated to a virtual machine
CA2483601A1 (en) Method and apparatus for in-line serial data encryption
EP1771791A2 (en) System for distributing decoy content in a peer to peer network
US8712917B2 (en) Software execution management apparatus, method, and computer-readable medium thereof
CN107305613B (zh) 保护从麦克风到应用进程的音频数据传输的系统及方法
US11803363B2 (en) IoT device update
US20120330498A1 (en) Secure data store for vehicle networks
CN113162943A (zh) 一种防火墙策略动态管理的方法、装置、设备和存储介质
CN118487877B (zh) 通信安全保护方法、可读存储介质及智能设备
US20040205375A1 (en) Method and apparatus for testing network system, and computer-readable medium encoded with program for testing network system
US10981523B2 (en) In-vehicle network system and communication setting method
US12260244B2 (en) Device and method for managing communication via interfaces in a virtualized system
CN114740820A (zh) 一种车辆诊断的处理方法及装置
KR102817597B1 (ko) 차량의 진단 메시지 처리 시스템 및 그 방법
CN113132364A (zh) Arp拟制表项的生成方法、电子设备
CN107919959A (zh) 受信设备对新设备的认证
US11481338B2 (en) Hardware control system and hardware control method
US20240095378A1 (en) Method for encrypting security-relevant data in a vehicle
US12132702B2 (en) IP address control system
JP7573693B1 (ja) エッジ装置、通信制御方法、通信制御プログラム及び通信制御システム
JP7614306B1 (ja) マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
JP7573692B1 (ja) マスター装置、通信制御方法、通信制御プログラム及び通信制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210415

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210719

R150 Certificate of patent or registration of utility model

Ref document number: 6917482

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350