特許ウォッチ

公開番号2024151570
公報種別公開特許公報(A)
公開日2024-10-25
出願番号2023065024
出願日2023-04-12
発明の名称通信要件生成システムおよび通信要件生成方法
出願人株式会社日立製作所
代理人弁理士法人サンネクスト国際特許事務所
主分類H04L 41/0803 20220101AFI20241018BHJP(電気通信技術)
要約【課題】通信要件を容易に生成し得る通信要件生成システムを提供する。
【解決手段】所定のネットワークにおいて通信を行うコンポーネント間の論理的な距離を算出するための定義情報を記憶する記憶部と、ネットワークに接続されるコンポーネントに係る複数の通信要件の各々について、記憶部により記憶される定義情報をもとに、コンポーネントとコンポーネントの通信相手のコンポーネントとの論理的な距離を算出し、算出した距離に基づいて、ネットワークの運用者による確認を求める通信要件であるか否かを判定する判定部と、ネットワークの運用者による確認を求める通信要件であると判定部により判定された通信要件を出力する出力部と、を設けるようにした。
【選択図】図1
特許請求の範囲【請求項１】
所定のネットワークにおいて通信を行うコンポーネント間の論理的な距離を算出するための定義情報を記憶する記憶部と、
前記ネットワークに接続されるコンポーネントに係る複数の通信要件の各々について、前記記憶部により記憶される定義情報をもとに、前記コンポーネントと前記コンポーネントの通信相手のコンポーネントとの論理的な距離を算出し、算出した距離に基づいて、前記ネットワークの運用者による確認を求める通信要件であるか否かを判定する判定部と、
前記ネットワークの運用者による確認を求める通信要件であると前記判定部により判定された通信要件を出力する出力部と、
を備える通信要件生成システム。
続きを表示（約 2,500 文字）【請求項２】
前記ネットワークにおいて通信を行うコンポーネントのセキュリティの強度を示すセキュリティレベルを決定する決定部と、
前記ネットワークに接続されるコンポーネントの情報として、前記コンポーネントのセキュリティレベルの判定に用いられる情報を入力する入力部と、を備え、
前記記憶部は、前記ネットワークにおいて通信を行うコンポーネントのセキュリティレベルを判定するための条件を示すセキュリティレベル条件情報を記憶し、
前記決定部は、前記入力部により入力された前記ネットワークに接続されるコンポーネントの情報と、前記記憶部により記憶されているセキュリティレベル条件情報とから、前記コンポーネントのセキュリティレベルを決定し、
前記判定部は、前記コンポーネントに係る複数の通信要件の各々について、前記コンポーネントのセキュリティレベルに基づいて、前記ネットワークの運用者による確認を求める通信要件であるか否かを判定する、
請求項１に記載の通信要件生成システム。
【請求項３】
前記記憶部は、セキュリティレベルごとに、前記ネットワークに接続されるコンポーネントに設定されるセキュリティコストを示す第１のセキュリティコスト情報と、前記コンポーネントの通信を許可するか否かを判定するための閾値を示す閾値情報と、を記憶し、
前記記憶部は、前記ネットワークを介した通信に係る論理構造をツリー構造により表現した際の各構成要素であるノードを示すノード情報と、前記ツリー構造におけるノードに設定されるセキュリティコストを示す第２のセキュリティコスト情報と、を記憶し、
前記判定部は、前記決定部により決定された前記ネットワークに接続されるコンポーネントのセキュリティレベルに対応する第１のセキュリティコスト情報と閾値情報とを前記記憶部から読み出し、前記コンポーネントに係る複数の通信要件の各々について、
前記記憶部により記憶されているノード情報をもとに、前記コンポーネントと前記コンポーネントの通信相手のコンポーネントとの通信に係るノードを特定し、
前記第１のセキュリティコスト情報と前記記憶部により記憶されている第２のセキュリティコスト情報とをもとに、特定したノードのセキュリティコストを合計して通信要件のセキュリティコストを算出し、
算出した通信要件のセキュリティコストが前記閾値情報の閾値を超える通信要件を、前記ネットワークの運用者による確認を求める通信要件であると判定する、
請求項２に記載の通信要件生成システム。
【請求項４】
前記ネットワークにおけるコンポーネント間の通信を制御するホストを備え、
前記ネットワークの運用者により通信を許可するか否かが確認された前記ネットワークに接続されるコンポーネントの通信要件が、前記コンポーネントのファイアウォールの設定情報に設定され、
前記ホストは、前記コンポーネントからパケットを受け取った場合、前記設定情報に基づいて、前記コンポーネントと前記通信相手のコンポーネントとの通信を制御する、
請求項３に記載の通信要件生成システム。
【請求項５】
前記ホストは、前記コンポーネントからパケットを受け取った場合、
前記パケットの宛先である前記コンポーネントの通信相手のコンポーネントを特定し、前記記憶部により記憶されているノード情報をもとに、前記コンポーネントと前記通信相手のコンポーネントとの通信に係るノードを特定し、
前記コンポーネントのセキュリティレベルに対応した第１のセキュリティコスト情報および前記記憶部により記憶されている第２のセキュリティコスト情報をもとに、特定したノードのセキュリティコストを合計して通信のセキュリティコストを算出し、
算出した通信のセキュリティコストが前記コンポーネントのセキュリティレベルに対応した閾値情報の閾値を超えるとき、前記設定情報に基づいて、前記コンポーネントの通信相手に前記パケットを転送する、または、前記パケットを遮断する、
請求項４に記載の通信要件生成システム。
【請求項６】
前記判定部は、前記記憶部によりノード情報が記憶されていない場合、ディレクトリサービスの情報を読み取り、読み取った情報をユーザ端末に出力し、前記ユーザ端末において修正された情報をノード情報として受け取り、
前記記憶部は、前記判定部が受け取ったノード情報を記憶する、
請求項３に記載の通信要件生成システム。
【請求項７】
前記出力部は、前記ネットワークに接続されるコンポーネントの情報として、前記コンポーネントが用いられる事業の業種と、前記コンポーネントの種別と、前記コンポーネントが扱うデータの種類と、前記コンポーネントによるインターネットを介した通信の有無との少なくとも１つを選択可能に入力するための画面を出力する、
請求項２に記載の通信要件生成システム。
【請求項８】
前記出力部は、前記判定部により判定された通信要件の通信を許可するか否かを入力するための画面を出力する、
請求項１に記載の通信要件生成システム。
【請求項９】
記憶部が、所定のネットワークにおいて通信を行うコンポーネント間の論理的な距離を算出するための定義情報を記憶することと、
判定部が、前記ネットワークに接続されるコンポーネントに係る複数の通信要件の各々について、前記記憶部により記憶される定義情報をもとに、前記コンポーネントと前記コンポーネントの通信相手のコンポーネントとの論理的な距離を算出し、算出した距離に基づいて、前記ネットワークの運用者による確認を求める通信要件であるか否かを判定することと、
出力部が、前記ネットワークの運用者による確認を求める通信要件であると前記判定部により判定された通信要件を出力することと、
を含む通信要件生成方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、概して、通信要件を生成する技術に関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
近年、クラウドサービスが普及したことにより、インターネット上に保護すべき対象がある状況が増えつつある。従来は、信頼できる内側と信頼できない外側にネットワーク（ＮＷ）が定義され、境界型ファイアウォール（ＦＷ）によりアクセス制御が行われている。しかしながら、保護すべき対象がさまざまな場所に点在するようになったことで内部と外部との境界が曖昧になり、従来のアクセス制御では十分な対策を講じることが難しくなりつつある。近時、内部ＮＷについて無条件に信頼することはなく、内部ＮＷの通信については分散型ＦＷ等によりアクセス制御が行われるゼロトラストが広まっている。
【０００３】
また、企業においては、ビジネスシーンの変化が激しく、アプリケーションプログラム（ＡＰＰ）の追加、修正等を、より迅速に行うことが求められている。従来は、すべての機能がまとまったひとつの大きな塊としてＡＰＰが設計されている。しかしながら、従来の開発手法では、迅速に要求に対応することができない。この点、巨大で複雑なＡＰＰを機能（コンポーネント）ごとに効率よく開発できるマイクロサービスに注目が集まっている。マイクロサービスでは、個々のコンポーネントは依存関係が低く、それぞれのサービスの呼び出しは、ＮＷを介して行われる。
【０００４】
このように、ゼロトラストおよびマイクロサービスの流行により、ＮＷに接続するコンポーネント数が増大し、コンポーネントごとに分散型ＦＷが導入されるケースが増え、コンポーネント間の通信を示す通信要件を分散型ＦＷに設定するＮＷ運用者の負担が大きくなっている。
【０００５】
この点、通信要件を自動で生成するネットワーク要件生成システムが開示されている（特許文献１参照）。
【先行技術文献】
【特許文献】
【０００６】
特許第７１３６７１９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００７】
特許文献１に記載のネットワーク要件生成システムによれば、通信要件が自動で生成されるので、通信要件の生成の負担は低減される。しかしながら、生成された通信要件の全てについて通信を許可するかどうかをＮＷ運用者が確認しなければならない問題がある。
【０００８】
本発明は、以上の点を考慮してなされたもので、通信要件を容易に生成し得る通信要件生成システム等を提案しようとするものである。
【課題を解決するための手段】
【０００９】
かかる課題を解決するため本発明においては、所定のネットワークにおいて通信を行うコンポーネント間の論理的な距離を算出するための定義情報を記憶する記憶部と、前記ネットワークに接続されるコンポーネントに係る複数の通信要件の各々について、前記記憶部により記憶される定義情報をもとに、前記コンポーネントと前記コンポーネントの通信相手のコンポーネントとの論理的な距離を算出し、算出した距離に基づいて、前記ネットワークの運用者による確認を求める通信要件であるか否かを判定する判定部と、前記ネットワークの運用者による確認を求める通信要件であると前記判定部により判定された通信要件を出力する出力部と、を設けるようにした。
【００１０】
上記構成では、ネットワークに接続されるコンポーネントと通信相手のコンポーネントとの論理的な位置関係に応じて、ネットワークの運用者による確認を求める通信要件であるか否かが判定される。上記構成によれば、例えば、ネットワークに接続されるコンポーネントに係る複数の通信要件からネットワークの運用者による確認を求める通信要件に絞られるので、ネットワークの運用者によるファイアウォールへの通信要件の設定の負担を低減することができる。
【発明の効果】
（【００１１】以降は省略されています）

関連特許