特許ウォッチ

公開番号2025000152
公報種別公開特許公報(A)
公開日2025-01-07
出願番号2023099835
出願日2023-06-19
発明の名称エッジ装置、通信制御方法、通信制御プログラム及び通信制御システム
出願人三菱電機株式会社
代理人弁理士法人クロスボーダー特許事務所
主分類H04L 41/04 20220101AFI20241224BHJP(電気通信技術)
要約【課題】暗号化通信の設定に係る作業負担を軽減可能にする。
【解決手段】エッジ装置20は、複数の端末のうちの一部の端末が接続される。エッジ装置20の暗号化判定部217は、通信データの送信元の端末が属するグループと、通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定する。暗号化部218は、暗号化処理が必要と判定された場合には、通信データに対して暗号化処理を行う。送信部219は、暗号化処理が行われた通信データを、宛先の端末に向けて送信する。
【選択図】図3
特許請求の範囲【請求項１】
複数の端末のうちの一部の端末が接続されたエッジ装置であり、
通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定する暗号化判定部と、
前記暗号化判定部によって暗号化処理が必要と判定された場合には、前記通信データに対して暗号化処理を行う暗号化部と、
前記暗号化部によって暗号化処理が行われた前記通信データを、前記宛先の端末に向けて送信する送信部と
を備えるエッジ装置。
続きを表示（約 1,400 文字）【請求項２】
前記暗号化部は、前記送信元の端末及び前記宛先の端末と前記エッジ装置との接続関係に応じた暗号化処理を行う
請求項１に記載のエッジ装置。
【請求項３】
前記暗号化部は、前記エッジ装置に前記送信元の端末が接続されている場合には、前記通信データを暗号化し、前記エッジ装置に前記宛先の端末が接続されている場合には、前記通信データを復号する
請求項１に記載のエッジ装置。
【請求項４】
前記暗号化部は、前記エッジ装置に前記送信元の端末と前記宛先の端末との両方が接続されている場合には、前記通信データに対する暗号化処理を省略する
請求項１に記載のエッジ装置。
【請求項５】
前記暗号化判定部は、前記エッジ装置に前記送信元の端末が接続されている場合には、前記宛先の端末が接続されたエッジ装置に応じて、通信データを暗号化するか否かを判定する
請求項１に記載のエッジ装置。
【請求項６】
前記エッジ装置は、さらに、
端末を分類したグループ間の通信の暗号化をするか否かを示すポリシーを受信する設定受信部
を備え、
前記暗号化判定部は、前記設定受信部によって受信されたポリシーに従い、前記暗号化処理が必要か否かを判定する
請求項１に記載のエッジ装置。
【請求項７】
複数の端末のうちの一部の端末が接続されたエッジ装置が、通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定し、
前記エッジ装置が、暗号化処理が必要と判定された場合には、前記通信データに対して暗号化処理を行い、
前記エッジ装置が、暗号化処理が行われた前記通信データを、前記宛先の端末に向けて送信する通信制御方法。
【請求項８】
通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定する暗号化判定処理と、
前記暗号化判定処理によって暗号化処理が必要と判定された場合には、前記通信データに対して暗号化処理を行う暗号化処理と、
前記暗号化処理によって暗号化処理が行われた前記通信データを、前記宛先の端末に向けて送信する送信処理と
を行うエッジ装置としてコンピュータを機能させる通信制御プログラム。
【請求項９】
マスター装置と複数のエッジ装置とを備える通信制御システムであり、
前記マスター装置は、
端末を分類したグループ間の通信の暗号化をするか否かを示すポリシーを設定する暗号化設定部
を備え、
前記複数のエッジ装置それぞれは、
前記暗号化設定部によって設定された前記ポリシーに従い、通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定する暗号化判定部と、
前記暗号化判定部によって暗号化処理が必要と判定された場合には、前記通信データに対して暗号化処理を行う暗号化部と、
前記暗号化部によって暗号化処理が行われた前記通信データを、前記宛先の端末に送信する送信部と
を備える通信制御システム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、端末間の通信を制御する技術に関する。
続きを表示（約 2,000 文字）【背景技術】
【０００２】
ネットワークセキュリティ機器により、ネットワークセキュリティ機器に接続された端末の通信の制御がされる。この制御は、データの送信元の端末のＩＰ（Ｉｎｔｅｒｎｅｔ
Ｐｒｏｔｏｃｏｌ）アドレスと、データの送信先の端末のＩＰアドレスとの組合せに対して、通信を許可するか否かを事前に設定しておくことにより、実現されている。
【０００３】
近年、サイバー攻撃等のリスクが高まっている。そのため、企業等の重要情報の流出及び改竄防止のため、通信の暗号化が必須になっている。
【０００４】
特許文献１には、ネットワーク内に複数のグループを定義し、グループの識別子を用いてグループ間の通信を制御することが記載されている。
【先行技術文献】
【特許文献】
【０００５】
特開平１１－１１２５５９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
ＩＰアドレスの組合せ毎に通信を許可するか否かを設定する作業は、煩雑で時間がかかる。特許文献１には、グループ間の通信を制御することは記載されているものの、グループ間の通信の制御をどのように設定するかについては記載されていない。グループの組合せ毎に通信を許可するか否かを設定する作業は、ＩＰアドレスの組合せ毎に通信を許可するか否かを設定する作業ほどではないものの、時間がかかる。
【０００７】
ＩＰアドレスの組合せ毎に暗号化通信を設定する作業は、通信を許可するか否かを設定する作業と同様に、煩雑で時間がかかる。また、暗号化通信を設定する作業は、ユーザにある程度の知識がないと難しく、知識があるユーザがＩＰアドレスの全ての組合せについて作業を行うことは時間的に困難な場合がある。
なお、製造業をはじめとした工場の端末は、工場の稼働を優先すること、又は、古いＯＳを使用していること等の理由から、新たに暗号化のためのソフトウェアを導入することが難しい。そのため、各端末に対して暗号化通信の設定を行うことができない場合もある。
本開示は、暗号化通信の設定に係る作業負担を軽減可能にすることを目的とする。
【課題を解決するための手段】
【０００８】
本開示に係るエッジ装置は、
複数の端末のうちの一部の端末が接続されたエッジ装置であり、
通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かを判定する暗号化判定部と、
前記暗号化判定部によって暗号化処理が必要と判定された場合には、前記通信データに対して暗号化処理を行う暗号化部と、
前記暗号化部によって暗号化処理が行われた前記通信データを、前記宛先の端末に向けて送信する送信部と
を備える。
【発明の効果】
【０００９】
本開示では、通信データの送信元の端末が属するグループと、前記通信データの宛先の端末が属するグループとの組合せに応じて、暗号化処理が必要か否かが判定される。そして、暗号化処理が必要と判定された場合には、エッジ装置において通信データに対して暗号化処理が行われる。これにより、各端末に対して暗号化するか否かの設定を行う必要はなく、グループ間に対して暗号化するか否かの設定を行うだけで済む。そのため、暗号化通信の設定に係る作業負担を軽減可能である。
【図面の簡単な説明】
【００１０】
実施の形態１に係る通信制御システム１の構成図。
実施の形態１に係るマスター装置１０の構成図。
実施の形態１に係るエッジ装置２０の構成図。
実施の形態１に係る通信制御システム１の全体的な動作を示すフローチャート。
実施の形態１に係るアドレス４１及び端末情報４２の説明図。
実施の形態１に係るポリシー４５の説明図。
実施の形態１に係る分類処理（図４のステップＳ１２）のフローチャート。
実施の形態１に係るアドレス受信処理（図７のステップＳ２１）の説明図。
実施の形態１に係る端末抽出処理（図７のステップＳ２２）の説明図。
実施の形態１に係る一覧表示処理（図７のステップＳ２３）の説明図。
実施の形態１に係るポリシー設定処理（図４のステップＳ１３）のフローチャート。
実施の形態１に係る一覧表示処理（図１１のステップＳ３１）の説明図。
実施の形態１に係るポリシー設定処理（図１１のステップＳ３２）の説明図。
実施の形態１に係る通信制御処理のフローチャート。
実施の形態１に係る暗号化処理の説明図。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許