特許ウォッチ

公開番号2025037147
公報種別公開特許公報(A)
公開日2025-03-17
出願番号2023143934
出願日2023-09-05
発明の名称情報処理装置および通信システム
出願人株式会社東芝,東芝インフラシステムズ株式会社
代理人弁理士法人鈴榮特許綜合事務所
主分類G06F 21/31 20130101AFI20250310BHJP(計算;計数)
要約【課題】ユーザごとのアクセス制御を行える情報処理装置および通信システムを提供する。
【解決手段】実施形態によれば、情報処理装置は、通信部と一時記憶部と制御部とを有する。通信部は、クライアント装置に接続する第1ポートとネットワーク機器に接続する第2ポートとを含む。一時記憶部は、クライアント装置を使用するユーザに対するユーザ認証が成功した場合にユーザ認証が成功したユーザに紐づく通信部による通信を許可する通信経路を示すパスリストを記憶するパスリスト記憶領域を設ける。制御部は、パスリスト記憶領域に記憶したパスリストに従って通信部による通信を制御する。
【選択図】図2
特許請求の範囲【請求項１】
クライアント装置とネットワーク機器との間に接続される情報処理装置において、
前記クライアント装置に接続する第１ポートと前記ネットワーク機器に接続する第２ポートとを含む通信部と、
前記クライアント装置を使用するユーザに対するユーザ認証が成功した場合にユーザ認証が成功したユーザに紐づく前記通信部による通信を許可する通信経路を示すパスリストを記憶するパスリスト記憶領域を設けた一時記憶部と、
前記パスリスト記憶領域に記憶したパスリストに従って前記通信部による通信を制御する制御部と、
を有する情報処理装置。
続きを表示（約 1,900 文字）【請求項２】
前記クライアント装置の使用が許可される各ユーザのユーザ認証情報を記憶するデータ保持部を有し、
前記制御部は、前記クライアント装置から取得する情報と前記データ保持部に記憶したユーザ認証情報とによるユーザ認証を実行し、前記ユーザ認証が成功したユーザに紐づくパスリストを前記パスリスト記憶領域に記憶する、
請求項１に記載の情報処理装置。
【請求項３】
前記データ保持部は、さらに、前記クライアント装置の使用が許可される各ユーザに紐づけたパスリストのデータを記憶し、
前記制御部は、前記ユーザ認証が成功したユーザに紐づくパスリストを前記データ保持部に記憶したパスリストのデータから選出する、
請求項２に記載の情報処理装置。
【請求項４】
前記制御部は、前記ユーザ認証が成功したユーザに紐づくパスリストを前記パスリスト記憶領域に記憶した場合、前記パスリスト記憶領域に記憶したパスリストを示す情報を前記通信部により前記ネットワーク機器を介して通信管理装置へ送信する、
請求項２に記載の情報処理装置。
【請求項５】
前記制御部は、前記通信部により前記ネットワーク機器を介して通信する通信管理装置に前記クライアント装置から取得する情報によるユーザ認証を依頼し、前記通信管理装置から前記依頼に応じて実行したユーザ認証が成功したユーザに紐づくパスリストを取得し、前記通信管理装置から取得するパスリストを前記パスリスト記憶領域に記憶する、
請求項１に記載の情報処理装置。
【請求項６】
前記制御部は、前記通信部が転送すべき通信データを受信した場合、前記パスリスト記憶領域に記憶するパスリストにおいて前記通信データの通信経路が許可されていなければ、前記通信データの通信を遮断して前記通信データの送信元にパスリスト外の通信経路であることを通知する、
請求項１乃至５の何れか１項に記載の情報処理装置。
【請求項７】
前記制御部は、前記通信部により前記クライアント装置が前記ネットワーク機器を経由するアクセス先へ送信する送信データを受信した場合、前記パスリスト記憶領域に記憶するパスリストにおいて前記送信データの通信経路が許可されていなければ、前記送信データの通信を遮断して前記クライアント装置に前記アクセス先への送信データの送信がパスリスト外の通信経路であることを通知する、
請求項６に記載の情報処理装置。
【請求項８】
前記制御部は、前記クライアント装置を使用するユーザがログアウトした場合、前記パスリスト記憶領域に記憶したパスリストを削除する、
請求項１乃至５の何れか１項に記載の情報処理装置。
【請求項９】
前記制御部は、前記パスリスト記憶領域に記憶したパスリストに対する有効時間が経過した場合、前記パスリスト記憶領域に記憶したパスリストを削除する、
請求項１乃至５の何れか１項に記載の情報処理装置。
【請求項１０】
情報処理装置と通信管理装置とを含む通信システムにおいて、
前記情報処理装置は、
クライアント装置に接続する第１ポートとネットワーク機器に接続する第２ポートとを含む通信部と、
前記通信部による通信を許可する通信経路を示すパスリストを記憶するパスリスト記憶領域を設けた一時記憶部と、
前記通信部により前記ネットワーク機器を介して通信する前記通信管理装置に前記クライアント装置から取得する情報によるユーザ認証を依頼し、前記通信管理装置から取得する前記依頼に応じて実行したユーザ認証が成功したユーザに紐づくパスリストを前記パスリスト記憶領域に記憶し、前記パスリスト記憶領域に記憶したパスリストに従って前記通信部による通信を制御する第１の制御部と、を有し、
前記通信管理装置は、
前記ネットワーク機器を介して前記情報処理装置と通信するＮＷ通信部と、
前記情報処理装置に接続される前記クライアント装置の使用が許可される各ユーザのユーザ認証情報を記憶するユーザ情報記憶部と、
前記ＮＷ通信部により通信する前記情報処理装置からのユーザ認証の依頼に応じて前記ユーザ情報記憶部に記憶したユーザ認証情報によるユーザ認証を実行し、前記ユーザ認証が成功したユーザに紐づくパスリストを前記通信部により前記情報処理装置へ供給する第２の制御部と、を有する、
通信システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明の実施形態は、情報処理装置および通信システムに関する。
続きを表示（約 2,700 文字）【背景技術】
【０００２】
近年、ＩｏＴ技術を活用して様々なデバイスをネットワークにつなげるシステムが提案されている。例えば、工場、発電所あるいは鉄道などで運転や点検時の様々な稼働データを収集してＡＩ（人工知能）にて分析することによって事前に故障の兆候などを検知する予防保全や設備の効率運用を実現するための通信システムが提案されている。このような通信システムを新たに構築するには、既存の独自ネットワーク内で運用していたシステムをオープンなネットワークにつなげる必要性が生じることがある。既存の独自ネットワークで運用していたシステムをオープンなネットワークに接続する場合、新たにオープンなネットワークに接続するデバイス自体にセキュリティ対策を組み込むことでセキュリティを強化することが考えられるが、既に稼働している既存のデバイスに変更を加えることは、デバイス自体の取り替えなどの必要が生じるためコストや可用性の点で実現困難な場合が多い。
【０００３】
従来、既存のデバイスに変更を加えずに通信経路の機密性および完全性を担保するために、既存のデバイスとネットワークとの間に接続される情報処理装置が開発されている。このような情報処理装置は、通信の振る舞いを観察することにより既存のデバイスへの攻撃者による攻撃および既存のデバイスのウイルス感染などを検知し、攻撃者の通信を遮断する機能を備えている。また、従来の情報処理装置は、予め通信が許可される通信先（アクセス先）のリストをパスリストとして設定しておき、パスリストで許可されている通信先以外との通信を遮断する機能を備えている。
【０００４】
しかしながら、従来の情報処理装置は、上述したパスリストを個々の情報処理装置の設定として設定する。このため、従来の情報処理装置に接続される既存のデバイスは、実際に使用するユーザが誰であっても、当該情報処理装置に設定されたパスリストのルールで許可される全ての通信先にアクセスできてしまうという問題がある。
【先行技術文献】
【特許文献】
【０００５】
特開２０１９－５０４８５号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
本発明が解決しようとする課題は、ユーザごとのアクセス制御を行える情報処理装置および通信システムを提供することである。
【課題を解決するための手段】
【０００７】
実施形態によれば、情報処理装置は、通信部と一時記憶部と制御部とを有する。通信部は、クライアント装置に接続する第１ポートとネットワーク機器に接続する第２ポートとを含む。一時記憶部は、クライアント装置を使用するユーザに対するユーザ認証が成功した場合にユーザ認証が成功したユーザに紐づく通信部による通信を許可する通信経路を示すパスリストを記憶するパスリスト記憶領域を設ける。制御部は、パスリスト記憶領域に記憶したパスリストに従って通信部による通信を制御する。
【図面の簡単な説明】
【０００８】
図１は、実施形態に係る情報処理装置を含む通信システムの構成例を示す図である。
図２は、実施形態に係る情報処理装置における制御系の構成例を示すブロック図である。
図３は、実施形態に係る情報処理装置に装着されるＩＣカードの構成例を示すブロック図である。
図４は、実施形態に係る情報処理装置に装着されるＩＣカードにおける認証部としての機能構成例を示す図である。
図５は、実施形態に係る通信システムにおける通信管理装置の構成例を示すブロック図である。
図６は、実施形態に係る通信システムにおけるＩｏＴデバイスとサーバ装置との間における通信制御の流れを説明するためのシーケンスである。
図７は、実施形態に係る情報処理装置が特定のユーザに紐づくパスリストを用いて通信制御を行う第１の運用例を説明するための図である。
図８は、実施形態に係る情報処理装置に設定可能なユーザに紐づくパスリストを含むパスリストのデータの例を示す図である。
図９は、実施形態に係る情報処理装置による第１の通信制御処理を説明するためのフローチャートである。
図１０は、実施形態に係る情報処理装置を含む第１の運用例の通信システムにおける情報登録処理を説明するための図である。
図１１は、実施形態に係る情報処理装置を含む通信システムにおける情報登録処理を実行する保守装置の構成例を示すブロック図である。
図１２は、実施形態に係る情報処理装置に対する保守装置による情報登録処理を説明するためのフローチャートである。
図１３は、実施形態に係る情報処理装置が特定のユーザに紐づくパスリストを用いて通信制御を行う第２の運用例を説明するための図である。
図１４は、実施形態に係る情報処理装置による第２の通信制御処理を説明するためのフローチャートである。
図１５は、実施形態に係る情報処理装置を含む第２の運用例の通信システムにおける情報登録処理を説明するための図である。
【発明を実施するための形態】
【０００９】
以下、実施形態について、図面を参照して説明する。
まず、実施形態に係る情報処理装置を有する通信システムの基本的な構成（基本構成）の一例について説明する。
図１は、実施形態に係る情報処理装置１３を有する通信システム１の基本構成の一例を示す図である。
通信システム１は、クライアント装置（ＩｏＴデバイス）１１（１１）、サーバ装置１２、情報処理装置１３（１３Ａ、１３Ｂ）、通信管理装置１４、およびネットワーク機器１５を備える。ただし、ネットワーク機器１５は、ゲートウエイ、ルータあるいはスイッチングハブなどを含む機器である。図１に示す構成例においては、ゲートウエイなどのネットワーク機器１５およびネットワーク１６をまとめてネットワークＮＷとも称するものとする。
【００１０】
通信システム１において、各情報処理装置１３は、既存の通信システムに接続されることが想定される。図１に示す構成例では、各情報処理装置１３は、ＩｏＴデバイス１１、サーバ装置１２、通信管理装置１４、およびネットワーク機器１５を備える既存のシステムに接続される。すなわち、各情報処理装置１３は、既存のシステムにおける各装置の構成を変更せずに可用性を維持したままで通信システム１を構築するように設置される。
（【００１１】以降は省略されています）

関連特許