通信管理装置及び通信管理プログラム並びに通信管理システム
【課題】 管理装置のアラート受信性能を超えてしまうことなく、未承認の通信装置の情報についてはなるべく早く管理装置に報知するとともに、承認済みの通信装置の情報についても収集することができる通信管理装置を提供する。
【解決手段】 通信管理装置20は、通信部21によって所定のサンプリング間隔毎に傍受したARPパケットに基づいて、通信を開始した通信装置を通信装置検知部22によって検知し、検知した通信装置を特定する接続情報を生成すると、承認済みデータベース25に記憶されている特定情報に基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを承認判定部23によって判定し、この判定結果を含むアラート情報を報知部24によって報知する。このとき、通信管理装置20は、承認済みの通信装置についてのアラート情報をサンプリング間隔よりも長い検知情報更新間隔で報知する。
【解決手段】 通信管理装置20は、通信部21によって所定のサンプリング間隔毎に傍受したARPパケットに基づいて、通信を開始した通信装置を通信装置検知部22によって検知し、検知した通信装置を特定する接続情報を生成すると、承認済みデータベース25に記憶されている特定情報に基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを承認判定部23によって判定し、この判定結果を含むアラート情報を報知部24によって報知する。このとき、通信管理装置20は、承認済みの通信装置についてのアラート情報をサンプリング間隔よりも長い検知情報更新間隔で報知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信回線に接続された複数の通信装置を管理する通信管理装置及び通信管理プログラム並びに通信管理システムに関する。
【背景技術】
【0002】
近年、通信回線技術の向上にともない、通信回線上にパーソナルコンピュータ等の通信装置を多数接続して構成された大規模システムが構築されている。このようなシステムにおいては、通信回線上に接続された通信装置のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の情報をデータベースに登録しておく。そして、通信管理装置は、データベースを参照して、通信回線に接続された通信装置が、データベースに登録されて承認済みの通信装置であるか未承認の不正な通信装置であるかを検知している(例えば、特許文献1参照。)。
【0003】
具体的には、通信管理装置は、通信回線を流れるARP(Address Resolution Protocol)パケットを傍受して、所定のサンプリング間隔毎に所定の検知テーブルに記録する。そして、通信管理装置は、ARPパケットに含まれるIPアドレスやMACアドレスに基づいて、承認済みの通信装置であるか否かを判定する。そして、通信管理装置は、判定結果を含む通信装置情報を記述したアラートファイルを生成し、そのアラートファイルを所定の管理装置に報知する。
【0004】
管理装置は、報知されたアラートファイルに基づいて、未承認の通信装置のARPテーブルを書き換えることにより、当該未承認の通信装置による通信を遮断する。なお、通信管理装置によってARPパケットを傍受してアラートを送信するサンプリング間隔や、アラートファイルに全ての通信装置の判定結果を含めるか未承認の通信装置の判定結果のみを含めるかというアラートの送信対象を、ウェブブラウザを用いて所定の設定テーブルに設定することができる。また、検知したARPパケットの情報をそのまま管理装置に報知せずにサンプリング間隔毎にアラートとして送信している理由は、例えば最大2000台といった極めて多数の通信管理装置が設置されることにより、通信管理装置側で情報を集約する必要があることによる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−260615号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、上述した特許文献1に記載されたシステムをはじめとする従来のシステムにおいては、未承認の通信装置の情報のみならず、承認済みの通信装置の情報についても、「アラート」という同一のプロトコルにしたがって通信管理装置から管理装置に報知している。すなわち、従来のシステムにおいては、承認済みの通信装置のARPパケットも未承認の通信装置のARPパケットも、同じ仕組みを利用して検知され、同じサンプリング間隔でアラート送信される。
【0007】
通信装置数が膨大になる場合には、従来のシステムにおいては、アラートの送信対象を「全ての通信装置」として設定していると、膨大なアラートファイルが管理装置に対して送信されることになり、管理装置のアラート受信性能を超えてしまうことがある。
【0008】
そこで、従来のシステムにおいては、通信装置数が膨大になる場合には、アラートの送信対象を「未認証の通信装置のみ」として設定して運用することが前提となる。
【0009】
しかしながら、従来のシステムにおいては、アラートの送信対象を「未認証の通信装置のみ」として設定した場合には、承認済みの通信装置のアラートファイルが管理装置に対して送信されないので、当該承認済みの通信装置の使用状況を管理することができないという問題があった。
【0010】
すなわち、従来のシステムにおいては、通信装置数が膨大になる場合には、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることはできなかった。
【0011】
そこで、本発明は、上述したような問題を解決するために案出されたものであり、アラート受信側の性能を超えてしまうことなく、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることができる通信管理装置及び通信管理プログラム並びに通信管理システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明は、通信回線に接続された複数の通信装置を管理する通信管理装置であって、複数の通信装置との間で通信データを送受信する通信手段と、所定のサンプリング間隔毎に、通信手段によって傍受した通信データに基づいて他の通信装置に対する問い合わせ情報を検知することにより、通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを備える。上述の課題を解決するために、報知手段は、承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔で報知する。
【0013】
また、本発明は、承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えることが望ましい。
【0014】
更に、本発明において、報知手段は、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を第1管理装置とは異なる第2管理装置に報知しても良い。
【0015】
更にまた、本発明において、報知手段は、通信回線を介して所定の管理装置から送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知しても良い。
【0016】
本発明は、通信回線に接続された複数の通信装置を管理するコンピュータが実行する通信管理プログラムであって、複数の通信装置との間で送受信される通信データに基づいて、問い合わせ情報を検知することにより通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知処理と、通信装置検知処理にて生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定処理と、承認判定処理による判定結果を含むアラート情報を所定の管理装置に報知する報知処理とをコンピュータに実行させる。上述の課題を解決するために、報知処理では、承認判定処理により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔で報知する。
【0017】
本発明は、通信回線に接続された複数の通信装置と、通信回線上に通信可能に接続され、複数の通信装置を管理する通信管理装置と、通信管理装置の動作を制御する通信制御装置とを備え、通信制御装置は、通信管理装置が複数の通信装置に関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものである。通信管理装置は、複数の通信装置との間で通信データを送受信する通信手段と、通信手段によって傍受した通信データに基づいて、問い合わせ情報を検知することにより通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを有する。上述の課題を解決するために、報知手段は、未承認の通信装置についてのアラート情報を報知し、承認判定手段により未承認の通信装置を判定したことに応じて当該承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔であって、通信制御装置により命令されたタイミングにて報知する。
【発明の効果】
【0018】
本発明に係る通信管理装置及び通信管理プログラム並びに通信管理システムによれば、未承認の通信装置を迅速に報知して悪意のある通信装置を排除することができるとともに、承認済みの通信装置についてのアラート情報も報知することができる。そのため、本発明に係る通信管理装置及び通信管理プログラム並びに通信管理システムによれば、アラート受信性能を超えてしまうことなく、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることができる。
【0019】
また、本発明によれば、承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えるので、未承認と判定された通信装置による通信を抑止することにより、未承認の通信装置の存在を検知して直ちに排除処理を行うことができる。
【0020】
更に、本発明によれば、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を前記第1管理装置とは異なる第2管理装置に報知するので、1台のみをアラート情報の報知先とする場合に比べ、処理負荷を低減することができる。特に、未承認の通信装置が通信回線上に接続された場合であっても、迅速に対応することが可能となる。
【0021】
更にまた、本発明によれば、通信回線を介して送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知するので、アラート情報受信側の受信能力が低下していない時刻や、管理者が承認済みの通信装置の情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明の第1実施形態として示す通信管理システムの構成を示すブロック図である。
【図2】本発明の第1実施形態として示す通信管理システムが備える通信管理装置の処理内容を示す図である。
【図3】本発明の第1実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【図4】本発明の第2実施形態として示す通信管理システムの構成を示すブロック図である。
【図5】本発明の第2実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【図6】本発明の第3実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について図面を参照して説明する。
【0024】
[第1実施形態]
[通信管理システムの構成]
まず、図1及び図2を用いて、本発明の第1実施形態として示す通信システムの構成について説明する。
【0025】
通信システムは、図1に示すように、通信ネットワークNT上に、例えばパーソナルコンピュータ等からなる複数の通信装置10A,10B,10C,10D(以下、総称する場合には単に「通信装置10」と呼ぶ。)を有する。これら通信装置10A,10B,10C,10Dは、多数の通信装置で構成されて、必要に応じて通信ネットワークNTに対して接続可能となっている。また、通信システムは、通信ネットワークNTに接続された多数の通信装置10を管理する通信管理装置20と、当該通信管理装置20を制御する通信制御装置(所定の管理装置)30とを有する。
【0026】
なお、通信システムの特性として、通信ネットワークNT上での通信が許可されている承認済みの通信装置よりも、未承認の通信装置の方がはるかに少ない場合を想定する。ここでは、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0027】
通信管理装置20は、通信ネットワークNT上に接続された通信装置10A,10B,10C,10Dとの間で通信データを送受信する通信部21と、通信ネットワークNT上で通信を開始した通信装置を検知する通信装置検知部22と、通信装置が承認済みの通信装置10A,10B,10Cであるか否かを判定する承認判定部23と、この承認判定部23による判定結果を含む情報をアラートとして報知する報知部24と、承認済みの通信装置10A,10B,10Cの情報を記憶する承認済みデータベース25とを備える。なお、これら各部のうち、通信部21、通信装置検知部22、承認判定部23、及び報知部24は、CPU(Central Processing Unit)等の処理手段によって実行可能なROM(Read Only Memory)等の記憶手段に記憶された通信管理プログラムとして実装することができる。
【0028】
通信部21は、通信ネットワークNT上に流れる通信データを監視する。通信部21は、通信データのうち、通信ネットワークNT上に接続された通信装置10A,10B,10C,10Dが送信したARP(Address Resolution Protocol)パケットを傍受する。
【0029】
ここで、通信装置10が通信ネットワークNTに接続されたことを当該通信装置10が検出して、通信相手となる通信装置10のMACアドレスを探索する。このために、通信装置10は、通信相手のIPアドレスを含むARPパケットを送信する。これにより、ARPパケットを送信した通信装置10は、通信相手となる通信装置10からARPパケットの返信情報に含まれるMACアドレスを用いて、通信相手と通信が可能とする。なお、以下の説明では、通信装置10が新たに通信ネットワークNTに接続された場合にARPパケットを送信する場合について説明するが、通信装置10が他の通信装置10や図示しないサーバ等に対して通信接続を要求したり、通信装置10が他の通信装置10や図示しないサーバ等の内部情報(アドレス、ID)を要求するといった、問い合わせ情報を傍受して後述した処理を行っても良いことは勿論である。そして、通信部21は、常時、傍受したARPパケットを通信装置検知部22に供給する。
【0030】
通信装置検知部22は、通信部21から供給されたARPパケットを、図2に示す所定の検知テーブル52に記録する。通信装置検知部22は、ARPパケットを解析し、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の情報を取得する。これにより、通信装置検知部22は、通信ネットワークNT上で通信を開始した通信装置を検知(ST1)し、検知した通信装置を特定する接続情報を生成する。通信装置検知部22は、生成した接続情報を承認判定部23に供給する。
【0031】
承認判定部23は、承認済みデータベース25を参照して、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、接続情報に対応する通信装置が承認済みの通信装置10A,10B,10Cのいずれかであるか否かを判定する。そして承認判定部23は、接続情報と判定結果とを組み合わせたアラート情報を生成する(ST2,ST3)。
【0032】
この承認判定部23は、所定の間隔であるサンプリング間隔ごとに通信装置が承認済みの通信装置か否かを判定する。このサンプリング間隔は、図2に示すように、当該通信システムの管理者による図示しない管理用端末を介したウェブブラウザ30’の操作等に応じて任意に書き換え可能な所定の設定テーブル51に設定することができる。
【0033】
具体的には、承認判定部23は、図2に示すように、承認済みの通信装置10A,10B,10Cのいずれかであると判定した場合には、接続情報に対して承認済みである旨のフラグを付与し、承認済みアラート情報を生成する(ST3)。一方、承認判定部23は、未承認の通信装置10Dであると判定した場合には、接続情報に対して未承認である旨のフラグを付与し、未承認アラート情報を生成する(ST2)。承認判定部23は、生成したアラート情報を報知部24に供給する。
【0034】
報知部24は、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の管理装置30に対して送信させる(ST4)。これにより、報知部24は、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。このとき、報知部24は、未承認アラート情報に基づくアラートファイルについては、承認判定部23から供給された後、即座に報知する。
【0035】
すなわち、報知部24は、未認証の通信装置が承認処理部23により判定されたことに応じて、未承認アラート情報に基づくアラートファイルを生成して報知する。一方、報知部24は、承認済みアラート情報に基づくアラートファイルについては、所定の間隔であるサンプリング間隔よりも長い、例えば1日程度の検知情報更新間隔で報知する。換言すれば、報知部24は、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い時間間隔で生成して報知する。なお、検知情報更新間隔は、サンプリング間隔と同様に、当該通信システムの管理者による図示しない管理用端末を介したウェブブラウザ30’の操作等に応じて任意に書き換え可能な所定の設定テーブル51に設定することができる。
【0036】
また、報知部24は、承認済みアラート情報に基づくアラートファイルを報知する時刻を設定テーブル51に予め設定しておき、その設定された時刻になるまで待機してからアラートファイルを報知する。これにより、報知部24は、サンプリング間隔よりも長い検知情報更新間隔で、承認済みアラート情報を報知するようにしてもよい。この時刻としては、例えば深夜帯等、通信ネットワークNT上のトラフィックが小さくなる時刻であることが望ましい。通信システムにおいては、このように検知情報更新間隔を時刻として設定する。これにより、通信システムは、当該通信システムの管理者が承認済みの通信装置10A,10B,10Cの情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【0037】
このような承認済みアラート情報、非認証アラート情報の送信タイミングは、通信制御装置30により、通信管理装置20の報知部24に対して設定されるものとしても良い。この場合、通信制御装置30は、通信管理装置20が複数の通信装置10A,10B,10C,10Dに関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものとする。通信制御装置30は、予め受信能力が低下しない時間帯をアラート情報の受信タイミングとしても良く、実際に受信能力が低下していないタイミングを適宜検出して受信タイミングとしても良い。
【0038】
承認済みデータベース25は、通信ネットワークNT上での通信が許可されている承認済みの通信装置10A,10B,10CのIPアドレスやMACアドレス等、これら通信装置10A,10B,10Cを特定するための特定情報を記憶する。なお、特定情報は、当該通信システムの管理者による図示しない管理用端末や、通信制御装置30を介したウェブブラウザ30’の操作等に応じて承認済みデータベース25に登録される。この承認済みデータベース25に記憶された特定情報は、承認判定部23によって読み出される。
【0039】
なお、管理装置30は、通信ネットワークNTによって構成されるLAN(Local Area Network)等の同一ネットワーク網に存在する必要はないが、通信管理装置20と通信可能な環境下に設けられる。
【0040】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図3に示すような一連の手順にしたがった処理を行う。
【0041】
通信管理装置20は、上述したようなアラート情報を通信制御装置30に送信する前提として、通信制御装置30からアラート情報の送信タイミング(サンプリング間隔、検知情報更新間隔)が設定される。
【0042】
まず、図3に示すように、ステップS1において、未承認の通信装置10DがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS2において、通信部21によってARPパケットを傍受すると、ステップS3において、このARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0043】
そして、承認判定部23は、ステップS4において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0044】
これに応じて、報知部24は、ステップS5において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを管理装置30に対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に通信制御装置30に報知する。
【0045】
一方、ステップS6において、承認済みの通信装置10A,10B,10CのいずれかがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS7において、通信部21によってARPパケットを傍受すると、ステップS8において、このARPパケットに基づいて、通信装置検知部22によって通信装置10A,10B,10Cのいずれかを特定する接続情報を生成する。
【0046】
そして、承認判定部23は、ステップS9において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、ARPパケットを送信した通信装置10が承認済みの通信装置10A,10B,10Cのいずれかである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0047】
これに応じて、報知部24は、ステップS10において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを管理装置30に対して送信させる。この場合、報知部24は、承認済みの通信装置10A,10B,10Cのいずれかについてのアラートファイルであるので、即座に通信制御装置30に報知するのではなく、待ち時間Tw後の報知すべき設定された時刻になるまで待機してから報知する。これにより、通信制御装置30は、報知されたアラートファイルに基づいて、承認済みの通信装置10A,10B,10Cに関する情報を収集することが可能となる。また、承認済みのアラート情報を、通信ネットワークNTを介して通信制御装置30から送信された命令を受信したことに応じて報知しても良い。
【0048】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルを通信制御装置30に報知することができる。
【0049】
このように、通信システムにおいては、アラート情報の種別に応じてアラートファイルの送信頻度を変える。これにより、通信システムによれば、未承認の通信装置10Dについてのアラートファイルとは別に、承認済みの通信装置10A,10B,10Cについてのアラートファイルを長い時間間隔で報知できる。したがって、通信システムによれば、通信制御装置30のアラート受信性能を維持しつつ、未承認の通信装置10Dの情報については早期に通信制御装置30に報知し、且つ、承認済みの通信装置10A,10B,10Cの使用状況についても管理することができる。
【0050】
[第1実施形態の効果]
以上詳細に説明したように、本発明の第1実施形態に係る通信システムは、通信管理装置20により、傍受したARPパケットに基づいて、通信ネットワークNT上で通信を開始した通信装置を検知する。そして、通信管理装置20は、検知した通信装置を特定する接続情報を生成すると、生成した接続情報と、所定の承認済みデータベース25に記憶されている、通信ネットワークNT上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを所定の間隔(サンプリング間隔)ごとに判定し、この判定結果を含むアラート情報を所定の通信制御装置30に報知する。
【0051】
このとき、通信管理装置20は、未認証の通信装置を判定したことに応じて未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報をサンプリング間隔よりも長い検知情報更新間隔で報知する。したがって、この通信システムにおいては、未承認の通信装置10Dを迅速に報知して悪意のある通信装置の使用を排除することができるとともに、承認済みの通信装置10A,10B,10Cについてのアラート情報も報知することができる。そのため、この通信システムにおいては、通信制御装置30のアラート受信性能を超えてしまうことなく、未承認の通信装置10Dの情報についてはなるべく早く通信制御装置30に報知したいという要望と、承認済みの通信装置10A,10B,10Cの情報については通信制御装置30に対する報知を急がないが収集はしたいという要望とを両立させる。これにより、通信システムは、通信負荷を増大させることなく、通信ネットワークNTの使用状況等を分析することが可能となる。
【0052】
また、この通信システムにおいては、通信ネットワークNTを介して通信制御装置30から送信された命令を受信したことに応じて、承認済みの通信装置10A,10B,10Cについてのアラート情報を報知することができる。これにより、アラート情報受信側の受信能力が低下していない時刻や、通信システムの管理者が承認済みの通信装置10A,10B,10Cの情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【0053】
[第2実施形態]
つぎに、本発明の第2実施形態について説明する。
【0054】
この第2実施形態は、第1実施形態として示した通信システムを改良し、通信管理装置によって未承認の通信装置による通信を抑止するものである。したがって、この第2実施形態においては、第1実施形態にて説明した部位と同一部位については、それぞれ、同一符号を付し、その詳細な説明を省略するものとする。
【0055】
[通信システムの構成]
本発明の第2実施形態として示す通信システムは、図4に示すように、通信ネットワークNT上に、複数の通信装置10A,10B,10C,10Dと、これら通信装置10A,10B,10C,10Dを管理する通信管理装置20とが接続されて構成される。ここでも、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0056】
通信管理装置20は、上述した通信部21、通信装置検知部22、承認判定部23、報知部24、及び、承認済みデータベース25の他に、未承認と判定された通信装置による通信を抑止する通信抑止処理部61を備える。なお、通信抑止処理部61も、通信部21、通信装置検知部22、承認判定部23、及び報知部24と同様に、CPU等の処理手段によって実行可能なROM等の記憶手段に記憶された通信管理プログラムとして実装することができる。
【0057】
報知部24は、上述したように、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の通信制御装置30に対して送信させる。これにより、報知部24は、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。
【0058】
このとき、報知部24は、未承認アラート情報に基づくアラートファイルについては、通信制御装置30に報知するとともに、通信抑止処理部61にも供給する。なお、報知部24は、未承認アラート情報に基づくアラートファイルについては、未認証の通信装置を判定したことに応じて報知する。一方、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い検知情報更新間隔で報知する点においては、第1実施形態と同様である。
【0059】
通信抑止処理部61は、報知部24から未承認アラート情報に基づくアラートファイルが供給されると、その通信装置、すなわち、通信装置10Dによる通信を抑止する。このために、通信抑止処理部61は、「遮断ARPパケット」を生成し、通信部21を介して、その遮断ARPパケットを当該通信装置10Dに対して送信させる。この遮断ARPパケットは、ARPパケットを送信した不正な通信装置10のARPテーブルに含まれるMACアドレスを通信不能な値に書き換えさせるMACアドレスを含んでいる。したがって、この遮断ARPパケットを受信した通信装置10Dは、自己のARPテーブルが他の通信装置10とは通信できない値に書き換えられ、通信システムにおける他の通信装置10とは通信不能となる。
【0060】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図5に示すような一連の手順にしたがった処理を行う。
【0061】
まず、図5に示すように、ステップS11において、未承認の通信装置10DがARPパケットを送信したことに応じて、通信管理装置20は、ステップS12において、通信部21によってARPパケットを傍受する。すると、通信管理装置20は、ステップS13において、受信したARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0062】
そして、承認判定部23は、ステップS14において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0063】
これに応じて、報知部24は、ステップS15において、アラートファイルを生成し、通信抑止処理部61に供給する。そして、通信抑止処理部61は、ステップS16において、遮断ARPパケットを生成し、通信部21を介して、その遮断ARPパケットを当該通信装置10Dに対して送信させる。これにより、通信装置10Dは、遮断ARPパケットに基づいて、自己のARPテーブルが不正なものに書き換えられ、即座に通信不能となる。
【0064】
また、報知部24は、ステップS15の処理と同時に、ステップS17において、通信部21を介して、そのアラートファイルを通信制御装置30に対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に通信制御装置30に報知し、一連の処理を終了する。
【0065】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルの報知のみならず、未承認の通信装置10Dによる通信を抑止する処理を積極的に行うことができる。
【0066】
[第2実施形態の効果]
以上詳細に説明したように、本発明の第2実施形態に係る通信システムは、通信管理装置20によって未承認と判定された通信装置10Dによる通信を抑止することにより、未承認の通信装置10Dの存在を検知して直ちに排除処理を行うことができる。これにより、通信システムに対して不正な通信装置10が接続されるリスクがあっても、通信システムに対する不正な通信装置10が接続されることによる脅威を回避でき、通信セキュリティを高めることができる。
【0067】
[第3実施形態]
最後に、本発明の第3実施形態について説明する。
【0068】
この第3実施形態は、第1実施形態として示した通信システムを改良し、承認済みの通信装置のアラートファイルの報知先と、未承認の通信装置のアラートファイルの報知先とを異ならせるものである。したがって、この第3実施形態においては、第1実施形態にて説明した部位と同一部位については、それぞれ、同一符号を付し、その詳細な説明を省略するものとする。
【0069】
[通信システムの構成]
本発明の第3実施形態として示す通信システムは、先に図1に示したように、通信ネットワークNT上に、複数の通信装置10A,10B,10C,10Dと、これら通信装置10A,10B,10C,10Dを管理する通信管理装置20とが接続されて構成される。ここでも、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0070】
報知部24は、上述したように、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の通信制御装置30に対して送信させる。これにより、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。
【0071】
ここで、通信制御装置30は、承認済みアラート情報に基づくアラートファイルの報知を受ける承認機器管理装置と、未承認アラート情報に基づくアラートファイルの報知を受ける未承認機器管理装置とから構成される。したがって、報知部24は、承認済みアラート情報に基づくアラートファイルについては、承認機器管理装置宛に送信させ、未承認アラート情報に基づくアラートファイルについては、未承認機器管理装置宛に送信させる。なお、報知部24は、未承認アラート情報に基づくアラートファイルについては、未認証の通信装置を判定したことに応じて報知する。一方、報知部24は、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い検知情報更新間隔で報知する点においては、第1実施形態と変わりがない。
【0072】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図6に示すような一連の手順にしたがった処理を行う。
【0073】
まず、図6に示すように、ステップS21において、未承認の通信装置10DがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS22において、通信部21によってARPパケットを傍受すると、ステップS23において、このARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0074】
そして、承認判定部23は、ステップS24において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0075】
これに応じて、報知部24は、ステップS25において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを未承認機器通信制御装置30Bに対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に未承認機器通信制御装置30Bに報知する。そして、同時に、通信抑止処理部61は、報知されたアラートファイルに基づいて、未承認の通信装置10Dによる通信を遮断することになる。
【0076】
一方、ステップS26において、承認済みの通信装置10A,10B,10CのいずれかがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS27において、通信部21によってARPパケットを傍受すると、ステップS28において、このARPパケットに基づいて、通信装置検知部22によって通信装置10A,10B,10Cのいずれかを特定する接続情報を生成する。
【0077】
そして、承認判定部23は、ステップS29において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、承認済みの通信装置10A,10B,10Cのいずれかである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0078】
これに応じて、報知部24は、ステップS30において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを承認機器通信制御装置30Aに対して送信させる。この場合、報知部24は、承認済みの通信装置10A,10B,10Cのいずれかについてのアラートファイルであるので、即座に承認機器通信制御装置30Aに報知するのではなく、待ち時間Tw後の報知すべき設定された時刻になるまで待機してから報知する。
【0079】
これにより、承認機器通信制御装置30Aは、報知されたアラートファイルに基づいて、承認済みの通信装置10A,10B,10Cに関する情報を収集することが可能となる。
【0080】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルを承認機器通信制御装置30A及び未承認機器通信制御装置30Bに報知することができる。
【0081】
[第3実施形態の効果]
以上詳細に説明したように、本発明の第3実施形態に係る通信システムは、通信管理装置20により、承認済みの通信装置10A,10B,10Cについてのアラート情報を承認機器通信制御装置30Aに報知し、未承認の通信装置10Dについてのアラート情報を承認機器通信制御装置30Aとは異なる未承認通信制御装置30Bに報知する。
【0082】
したがって、この通信システムにおいては、1台の通信制御装置30のみをアラート情報の報知先とする場合に比べ、管理装置の処理負荷を低減することができる。特に、この通信システムにおいては、未承認の通信装置10Dが急遽通信ネットワークNT上に接続された場合であっても、承認機器通信制御装置30Aの処理負荷が増大することがなく、迅速に対応することが可能となる。
【0083】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【符号の説明】
【0084】
10,10A,10B,10C,10D 通信装置
20 通信管理装置
21 通信部
22 通信装置検知部
23 承認判定部
24 報知部
25 承認済みデータベース
30 管理装置
30A 承認機器管理装置
30B 未承認機器管理装置
51 設定テーブル
52 検知テーブル
61 通信抑止処理部
【技術分野】
【0001】
本発明は、通信回線に接続された複数の通信装置を管理する通信管理装置及び通信管理プログラム並びに通信管理システムに関する。
【背景技術】
【0002】
近年、通信回線技術の向上にともない、通信回線上にパーソナルコンピュータ等の通信装置を多数接続して構成された大規模システムが構築されている。このようなシステムにおいては、通信回線上に接続された通信装置のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の情報をデータベースに登録しておく。そして、通信管理装置は、データベースを参照して、通信回線に接続された通信装置が、データベースに登録されて承認済みの通信装置であるか未承認の不正な通信装置であるかを検知している(例えば、特許文献1参照。)。
【0003】
具体的には、通信管理装置は、通信回線を流れるARP(Address Resolution Protocol)パケットを傍受して、所定のサンプリング間隔毎に所定の検知テーブルに記録する。そして、通信管理装置は、ARPパケットに含まれるIPアドレスやMACアドレスに基づいて、承認済みの通信装置であるか否かを判定する。そして、通信管理装置は、判定結果を含む通信装置情報を記述したアラートファイルを生成し、そのアラートファイルを所定の管理装置に報知する。
【0004】
管理装置は、報知されたアラートファイルに基づいて、未承認の通信装置のARPテーブルを書き換えることにより、当該未承認の通信装置による通信を遮断する。なお、通信管理装置によってARPパケットを傍受してアラートを送信するサンプリング間隔や、アラートファイルに全ての通信装置の判定結果を含めるか未承認の通信装置の判定結果のみを含めるかというアラートの送信対象を、ウェブブラウザを用いて所定の設定テーブルに設定することができる。また、検知したARPパケットの情報をそのまま管理装置に報知せずにサンプリング間隔毎にアラートとして送信している理由は、例えば最大2000台といった極めて多数の通信管理装置が設置されることにより、通信管理装置側で情報を集約する必要があることによる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−260615号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、上述した特許文献1に記載されたシステムをはじめとする従来のシステムにおいては、未承認の通信装置の情報のみならず、承認済みの通信装置の情報についても、「アラート」という同一のプロトコルにしたがって通信管理装置から管理装置に報知している。すなわち、従来のシステムにおいては、承認済みの通信装置のARPパケットも未承認の通信装置のARPパケットも、同じ仕組みを利用して検知され、同じサンプリング間隔でアラート送信される。
【0007】
通信装置数が膨大になる場合には、従来のシステムにおいては、アラートの送信対象を「全ての通信装置」として設定していると、膨大なアラートファイルが管理装置に対して送信されることになり、管理装置のアラート受信性能を超えてしまうことがある。
【0008】
そこで、従来のシステムにおいては、通信装置数が膨大になる場合には、アラートの送信対象を「未認証の通信装置のみ」として設定して運用することが前提となる。
【0009】
しかしながら、従来のシステムにおいては、アラートの送信対象を「未認証の通信装置のみ」として設定した場合には、承認済みの通信装置のアラートファイルが管理装置に対して送信されないので、当該承認済みの通信装置の使用状況を管理することができないという問題があった。
【0010】
すなわち、従来のシステムにおいては、通信装置数が膨大になる場合には、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることはできなかった。
【0011】
そこで、本発明は、上述したような問題を解決するために案出されたものであり、アラート受信側の性能を超えてしまうことなく、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることができる通信管理装置及び通信管理プログラム並びに通信管理システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明は、通信回線に接続された複数の通信装置を管理する通信管理装置であって、複数の通信装置との間で通信データを送受信する通信手段と、所定のサンプリング間隔毎に、通信手段によって傍受した通信データに基づいて他の通信装置に対する問い合わせ情報を検知することにより、通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを備える。上述の課題を解決するために、報知手段は、承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔で報知する。
【0013】
また、本発明は、承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えることが望ましい。
【0014】
更に、本発明において、報知手段は、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を第1管理装置とは異なる第2管理装置に報知しても良い。
【0015】
更にまた、本発明において、報知手段は、通信回線を介して所定の管理装置から送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知しても良い。
【0016】
本発明は、通信回線に接続された複数の通信装置を管理するコンピュータが実行する通信管理プログラムであって、複数の通信装置との間で送受信される通信データに基づいて、問い合わせ情報を検知することにより通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知処理と、通信装置検知処理にて生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定処理と、承認判定処理による判定結果を含むアラート情報を所定の管理装置に報知する報知処理とをコンピュータに実行させる。上述の課題を解決するために、報知処理では、承認判定処理により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔で報知する。
【0017】
本発明は、通信回線に接続された複数の通信装置と、通信回線上に通信可能に接続され、複数の通信装置を管理する通信管理装置と、通信管理装置の動作を制御する通信制御装置とを備え、通信制御装置は、通信管理装置が複数の通信装置に関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものである。通信管理装置は、複数の通信装置との間で通信データを送受信する通信手段と、通信手段によって傍受した通信データに基づいて、問い合わせ情報を検知することにより通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを有する。上述の課題を解決するために、報知手段は、未承認の通信装置についてのアラート情報を報知し、承認判定手段により未承認の通信装置を判定したことに応じて当該承認済みの通信装置についてのアラート情報を所定の間隔よりも長い間隔であって、通信制御装置により命令されたタイミングにて報知する。
【発明の効果】
【0018】
本発明に係る通信管理装置及び通信管理プログラム並びに通信管理システムによれば、未承認の通信装置を迅速に報知して悪意のある通信装置を排除することができるとともに、承認済みの通信装置についてのアラート情報も報知することができる。そのため、本発明に係る通信管理装置及び通信管理プログラム並びに通信管理システムによれば、アラート受信性能を超えてしまうことなく、未承認の通信装置の情報についてはなるべく早く管理装置に報知したいという要望と、承認済みの通信装置の情報については管理装置に対する報知を急がないが収集はしたいという要望とを両立させることができる。
【0019】
また、本発明によれば、承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えるので、未承認と判定された通信装置による通信を抑止することにより、未承認の通信装置の存在を検知して直ちに排除処理を行うことができる。
【0020】
更に、本発明によれば、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を前記第1管理装置とは異なる第2管理装置に報知するので、1台のみをアラート情報の報知先とする場合に比べ、処理負荷を低減することができる。特に、未承認の通信装置が通信回線上に接続された場合であっても、迅速に対応することが可能となる。
【0021】
更にまた、本発明によれば、通信回線を介して送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知するので、アラート情報受信側の受信能力が低下していない時刻や、管理者が承認済みの通信装置の情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明の第1実施形態として示す通信管理システムの構成を示すブロック図である。
【図2】本発明の第1実施形態として示す通信管理システムが備える通信管理装置の処理内容を示す図である。
【図3】本発明の第1実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【図4】本発明の第2実施形態として示す通信管理システムの構成を示すブロック図である。
【図5】本発明の第2実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【図6】本発明の第3実施形態として示す通信管理システムが行う動作について説明するためのタイミングチャートである。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について図面を参照して説明する。
【0024】
[第1実施形態]
[通信管理システムの構成]
まず、図1及び図2を用いて、本発明の第1実施形態として示す通信システムの構成について説明する。
【0025】
通信システムは、図1に示すように、通信ネットワークNT上に、例えばパーソナルコンピュータ等からなる複数の通信装置10A,10B,10C,10D(以下、総称する場合には単に「通信装置10」と呼ぶ。)を有する。これら通信装置10A,10B,10C,10Dは、多数の通信装置で構成されて、必要に応じて通信ネットワークNTに対して接続可能となっている。また、通信システムは、通信ネットワークNTに接続された多数の通信装置10を管理する通信管理装置20と、当該通信管理装置20を制御する通信制御装置(所定の管理装置)30とを有する。
【0026】
なお、通信システムの特性として、通信ネットワークNT上での通信が許可されている承認済みの通信装置よりも、未承認の通信装置の方がはるかに少ない場合を想定する。ここでは、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0027】
通信管理装置20は、通信ネットワークNT上に接続された通信装置10A,10B,10C,10Dとの間で通信データを送受信する通信部21と、通信ネットワークNT上で通信を開始した通信装置を検知する通信装置検知部22と、通信装置が承認済みの通信装置10A,10B,10Cであるか否かを判定する承認判定部23と、この承認判定部23による判定結果を含む情報をアラートとして報知する報知部24と、承認済みの通信装置10A,10B,10Cの情報を記憶する承認済みデータベース25とを備える。なお、これら各部のうち、通信部21、通信装置検知部22、承認判定部23、及び報知部24は、CPU(Central Processing Unit)等の処理手段によって実行可能なROM(Read Only Memory)等の記憶手段に記憶された通信管理プログラムとして実装することができる。
【0028】
通信部21は、通信ネットワークNT上に流れる通信データを監視する。通信部21は、通信データのうち、通信ネットワークNT上に接続された通信装置10A,10B,10C,10Dが送信したARP(Address Resolution Protocol)パケットを傍受する。
【0029】
ここで、通信装置10が通信ネットワークNTに接続されたことを当該通信装置10が検出して、通信相手となる通信装置10のMACアドレスを探索する。このために、通信装置10は、通信相手のIPアドレスを含むARPパケットを送信する。これにより、ARPパケットを送信した通信装置10は、通信相手となる通信装置10からARPパケットの返信情報に含まれるMACアドレスを用いて、通信相手と通信が可能とする。なお、以下の説明では、通信装置10が新たに通信ネットワークNTに接続された場合にARPパケットを送信する場合について説明するが、通信装置10が他の通信装置10や図示しないサーバ等に対して通信接続を要求したり、通信装置10が他の通信装置10や図示しないサーバ等の内部情報(アドレス、ID)を要求するといった、問い合わせ情報を傍受して後述した処理を行っても良いことは勿論である。そして、通信部21は、常時、傍受したARPパケットを通信装置検知部22に供給する。
【0030】
通信装置検知部22は、通信部21から供給されたARPパケットを、図2に示す所定の検知テーブル52に記録する。通信装置検知部22は、ARPパケットを解析し、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等の情報を取得する。これにより、通信装置検知部22は、通信ネットワークNT上で通信を開始した通信装置を検知(ST1)し、検知した通信装置を特定する接続情報を生成する。通信装置検知部22は、生成した接続情報を承認判定部23に供給する。
【0031】
承認判定部23は、承認済みデータベース25を参照して、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、接続情報に対応する通信装置が承認済みの通信装置10A,10B,10Cのいずれかであるか否かを判定する。そして承認判定部23は、接続情報と判定結果とを組み合わせたアラート情報を生成する(ST2,ST3)。
【0032】
この承認判定部23は、所定の間隔であるサンプリング間隔ごとに通信装置が承認済みの通信装置か否かを判定する。このサンプリング間隔は、図2に示すように、当該通信システムの管理者による図示しない管理用端末を介したウェブブラウザ30’の操作等に応じて任意に書き換え可能な所定の設定テーブル51に設定することができる。
【0033】
具体的には、承認判定部23は、図2に示すように、承認済みの通信装置10A,10B,10Cのいずれかであると判定した場合には、接続情報に対して承認済みである旨のフラグを付与し、承認済みアラート情報を生成する(ST3)。一方、承認判定部23は、未承認の通信装置10Dであると判定した場合には、接続情報に対して未承認である旨のフラグを付与し、未承認アラート情報を生成する(ST2)。承認判定部23は、生成したアラート情報を報知部24に供給する。
【0034】
報知部24は、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の管理装置30に対して送信させる(ST4)。これにより、報知部24は、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。このとき、報知部24は、未承認アラート情報に基づくアラートファイルについては、承認判定部23から供給された後、即座に報知する。
【0035】
すなわち、報知部24は、未認証の通信装置が承認処理部23により判定されたことに応じて、未承認アラート情報に基づくアラートファイルを生成して報知する。一方、報知部24は、承認済みアラート情報に基づくアラートファイルについては、所定の間隔であるサンプリング間隔よりも長い、例えば1日程度の検知情報更新間隔で報知する。換言すれば、報知部24は、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い時間間隔で生成して報知する。なお、検知情報更新間隔は、サンプリング間隔と同様に、当該通信システムの管理者による図示しない管理用端末を介したウェブブラウザ30’の操作等に応じて任意に書き換え可能な所定の設定テーブル51に設定することができる。
【0036】
また、報知部24は、承認済みアラート情報に基づくアラートファイルを報知する時刻を設定テーブル51に予め設定しておき、その設定された時刻になるまで待機してからアラートファイルを報知する。これにより、報知部24は、サンプリング間隔よりも長い検知情報更新間隔で、承認済みアラート情報を報知するようにしてもよい。この時刻としては、例えば深夜帯等、通信ネットワークNT上のトラフィックが小さくなる時刻であることが望ましい。通信システムにおいては、このように検知情報更新間隔を時刻として設定する。これにより、通信システムは、当該通信システムの管理者が承認済みの通信装置10A,10B,10Cの情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【0037】
このような承認済みアラート情報、非認証アラート情報の送信タイミングは、通信制御装置30により、通信管理装置20の報知部24に対して設定されるものとしても良い。この場合、通信制御装置30は、通信管理装置20が複数の通信装置10A,10B,10C,10Dに関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものとする。通信制御装置30は、予め受信能力が低下しない時間帯をアラート情報の受信タイミングとしても良く、実際に受信能力が低下していないタイミングを適宜検出して受信タイミングとしても良い。
【0038】
承認済みデータベース25は、通信ネットワークNT上での通信が許可されている承認済みの通信装置10A,10B,10CのIPアドレスやMACアドレス等、これら通信装置10A,10B,10Cを特定するための特定情報を記憶する。なお、特定情報は、当該通信システムの管理者による図示しない管理用端末や、通信制御装置30を介したウェブブラウザ30’の操作等に応じて承認済みデータベース25に登録される。この承認済みデータベース25に記憶された特定情報は、承認判定部23によって読み出される。
【0039】
なお、管理装置30は、通信ネットワークNTによって構成されるLAN(Local Area Network)等の同一ネットワーク網に存在する必要はないが、通信管理装置20と通信可能な環境下に設けられる。
【0040】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図3に示すような一連の手順にしたがった処理を行う。
【0041】
通信管理装置20は、上述したようなアラート情報を通信制御装置30に送信する前提として、通信制御装置30からアラート情報の送信タイミング(サンプリング間隔、検知情報更新間隔)が設定される。
【0042】
まず、図3に示すように、ステップS1において、未承認の通信装置10DがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS2において、通信部21によってARPパケットを傍受すると、ステップS3において、このARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0043】
そして、承認判定部23は、ステップS4において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0044】
これに応じて、報知部24は、ステップS5において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを管理装置30に対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に通信制御装置30に報知する。
【0045】
一方、ステップS6において、承認済みの通信装置10A,10B,10CのいずれかがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS7において、通信部21によってARPパケットを傍受すると、ステップS8において、このARPパケットに基づいて、通信装置検知部22によって通信装置10A,10B,10Cのいずれかを特定する接続情報を生成する。
【0046】
そして、承認判定部23は、ステップS9において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、ARPパケットを送信した通信装置10が承認済みの通信装置10A,10B,10Cのいずれかである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0047】
これに応じて、報知部24は、ステップS10において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを管理装置30に対して送信させる。この場合、報知部24は、承認済みの通信装置10A,10B,10Cのいずれかについてのアラートファイルであるので、即座に通信制御装置30に報知するのではなく、待ち時間Tw後の報知すべき設定された時刻になるまで待機してから報知する。これにより、通信制御装置30は、報知されたアラートファイルに基づいて、承認済みの通信装置10A,10B,10Cに関する情報を収集することが可能となる。また、承認済みのアラート情報を、通信ネットワークNTを介して通信制御装置30から送信された命令を受信したことに応じて報知しても良い。
【0048】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルを通信制御装置30に報知することができる。
【0049】
このように、通信システムにおいては、アラート情報の種別に応じてアラートファイルの送信頻度を変える。これにより、通信システムによれば、未承認の通信装置10Dについてのアラートファイルとは別に、承認済みの通信装置10A,10B,10Cについてのアラートファイルを長い時間間隔で報知できる。したがって、通信システムによれば、通信制御装置30のアラート受信性能を維持しつつ、未承認の通信装置10Dの情報については早期に通信制御装置30に報知し、且つ、承認済みの通信装置10A,10B,10Cの使用状況についても管理することができる。
【0050】
[第1実施形態の効果]
以上詳細に説明したように、本発明の第1実施形態に係る通信システムは、通信管理装置20により、傍受したARPパケットに基づいて、通信ネットワークNT上で通信を開始した通信装置を検知する。そして、通信管理装置20は、検知した通信装置を特定する接続情報を生成すると、生成した接続情報と、所定の承認済みデータベース25に記憶されている、通信ネットワークNT上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを所定の間隔(サンプリング間隔)ごとに判定し、この判定結果を含むアラート情報を所定の通信制御装置30に報知する。
【0051】
このとき、通信管理装置20は、未認証の通信装置を判定したことに応じて未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報をサンプリング間隔よりも長い検知情報更新間隔で報知する。したがって、この通信システムにおいては、未承認の通信装置10Dを迅速に報知して悪意のある通信装置の使用を排除することができるとともに、承認済みの通信装置10A,10B,10Cについてのアラート情報も報知することができる。そのため、この通信システムにおいては、通信制御装置30のアラート受信性能を超えてしまうことなく、未承認の通信装置10Dの情報についてはなるべく早く通信制御装置30に報知したいという要望と、承認済みの通信装置10A,10B,10Cの情報については通信制御装置30に対する報知を急がないが収集はしたいという要望とを両立させる。これにより、通信システムは、通信負荷を増大させることなく、通信ネットワークNTの使用状況等を分析することが可能となる。
【0052】
また、この通信システムにおいては、通信ネットワークNTを介して通信制御装置30から送信された命令を受信したことに応じて、承認済みの通信装置10A,10B,10Cについてのアラート情報を報知することができる。これにより、アラート情報受信側の受信能力が低下していない時刻や、通信システムの管理者が承認済みの通信装置10A,10B,10Cの情報を分析する作業時刻に合わせることができ、効率よい情報収集を行うことが可能となる。
【0053】
[第2実施形態]
つぎに、本発明の第2実施形態について説明する。
【0054】
この第2実施形態は、第1実施形態として示した通信システムを改良し、通信管理装置によって未承認の通信装置による通信を抑止するものである。したがって、この第2実施形態においては、第1実施形態にて説明した部位と同一部位については、それぞれ、同一符号を付し、その詳細な説明を省略するものとする。
【0055】
[通信システムの構成]
本発明の第2実施形態として示す通信システムは、図4に示すように、通信ネットワークNT上に、複数の通信装置10A,10B,10C,10Dと、これら通信装置10A,10B,10C,10Dを管理する通信管理装置20とが接続されて構成される。ここでも、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0056】
通信管理装置20は、上述した通信部21、通信装置検知部22、承認判定部23、報知部24、及び、承認済みデータベース25の他に、未承認と判定された通信装置による通信を抑止する通信抑止処理部61を備える。なお、通信抑止処理部61も、通信部21、通信装置検知部22、承認判定部23、及び報知部24と同様に、CPU等の処理手段によって実行可能なROM等の記憶手段に記憶された通信管理プログラムとして実装することができる。
【0057】
報知部24は、上述したように、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の通信制御装置30に対して送信させる。これにより、報知部24は、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。
【0058】
このとき、報知部24は、未承認アラート情報に基づくアラートファイルについては、通信制御装置30に報知するとともに、通信抑止処理部61にも供給する。なお、報知部24は、未承認アラート情報に基づくアラートファイルについては、未認証の通信装置を判定したことに応じて報知する。一方、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い検知情報更新間隔で報知する点においては、第1実施形態と同様である。
【0059】
通信抑止処理部61は、報知部24から未承認アラート情報に基づくアラートファイルが供給されると、その通信装置、すなわち、通信装置10Dによる通信を抑止する。このために、通信抑止処理部61は、「遮断ARPパケット」を生成し、通信部21を介して、その遮断ARPパケットを当該通信装置10Dに対して送信させる。この遮断ARPパケットは、ARPパケットを送信した不正な通信装置10のARPテーブルに含まれるMACアドレスを通信不能な値に書き換えさせるMACアドレスを含んでいる。したがって、この遮断ARPパケットを受信した通信装置10Dは、自己のARPテーブルが他の通信装置10とは通信できない値に書き換えられ、通信システムにおける他の通信装置10とは通信不能となる。
【0060】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図5に示すような一連の手順にしたがった処理を行う。
【0061】
まず、図5に示すように、ステップS11において、未承認の通信装置10DがARPパケットを送信したことに応じて、通信管理装置20は、ステップS12において、通信部21によってARPパケットを傍受する。すると、通信管理装置20は、ステップS13において、受信したARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0062】
そして、承認判定部23は、ステップS14において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0063】
これに応じて、報知部24は、ステップS15において、アラートファイルを生成し、通信抑止処理部61に供給する。そして、通信抑止処理部61は、ステップS16において、遮断ARPパケットを生成し、通信部21を介して、その遮断ARPパケットを当該通信装置10Dに対して送信させる。これにより、通信装置10Dは、遮断ARPパケットに基づいて、自己のARPテーブルが不正なものに書き換えられ、即座に通信不能となる。
【0064】
また、報知部24は、ステップS15の処理と同時に、ステップS17において、通信部21を介して、そのアラートファイルを通信制御装置30に対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に通信制御装置30に報知し、一連の処理を終了する。
【0065】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルの報知のみならず、未承認の通信装置10Dによる通信を抑止する処理を積極的に行うことができる。
【0066】
[第2実施形態の効果]
以上詳細に説明したように、本発明の第2実施形態に係る通信システムは、通信管理装置20によって未承認と判定された通信装置10Dによる通信を抑止することにより、未承認の通信装置10Dの存在を検知して直ちに排除処理を行うことができる。これにより、通信システムに対して不正な通信装置10が接続されるリスクがあっても、通信システムに対する不正な通信装置10が接続されることによる脅威を回避でき、通信セキュリティを高めることができる。
【0067】
[第3実施形態]
最後に、本発明の第3実施形態について説明する。
【0068】
この第3実施形態は、第1実施形態として示した通信システムを改良し、承認済みの通信装置のアラートファイルの報知先と、未承認の通信装置のアラートファイルの報知先とを異ならせるものである。したがって、この第3実施形態においては、第1実施形態にて説明した部位と同一部位については、それぞれ、同一符号を付し、その詳細な説明を省略するものとする。
【0069】
[通信システムの構成]
本発明の第3実施形態として示す通信システムは、先に図1に示したように、通信ネットワークNT上に、複数の通信装置10A,10B,10C,10Dと、これら通信装置10A,10B,10C,10Dを管理する通信管理装置20とが接続されて構成される。ここでも、4台の通信装置10A,10B,10C,10Dが通信ネットワークNT上に接続されているものとし、このうち、3台の通信装置10A,10B,10Cが承認済みの通信装置であり、1台の通信装置10Dが未承認の通信装置であるものとする。
【0070】
報知部24は、上述したように、承認判定部23から供給されたアラート情報に基づいてアラートファイルを生成し、通信部21を介して、そのアラートファイルを所定の通信制御装置30に対して送信させる。これにより、通信装置10A,10B,10C,10Dが承認済みであるか未承認であるかを報知する。
【0071】
ここで、通信制御装置30は、承認済みアラート情報に基づくアラートファイルの報知を受ける承認機器管理装置と、未承認アラート情報に基づくアラートファイルの報知を受ける未承認機器管理装置とから構成される。したがって、報知部24は、承認済みアラート情報に基づくアラートファイルについては、承認機器管理装置宛に送信させ、未承認アラート情報に基づくアラートファイルについては、未承認機器管理装置宛に送信させる。なお、報知部24は、未承認アラート情報に基づくアラートファイルについては、未認証の通信装置を判定したことに応じて報知する。一方、報知部24は、承認済みアラート情報に基づくアラートファイルについては、サンプリング間隔よりも長い検知情報更新間隔で報知する点においては、第1実施形態と変わりがない。
【0072】
[通信システムの動作]
このような通信システムにおいては、通信管理装置20の制御に従って、図6に示すような一連の手順にしたがった処理を行う。
【0073】
まず、図6に示すように、ステップS21において、未承認の通信装置10DがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS22において、通信部21によってARPパケットを傍受すると、ステップS23において、このARPパケットに基づいて、通信装置検知部22によって通信装置10Dを特定する接続情報を生成する。
【0074】
そして、承認判定部23は、ステップS24において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、未承認の通信装置10Dである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0075】
これに応じて、報知部24は、ステップS25において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを未承認機器通信制御装置30Bに対して送信させる。この場合、報知部24は、未承認の通信装置10Dについてのアラートファイルであるので、即座に未承認機器通信制御装置30Bに報知する。そして、同時に、通信抑止処理部61は、報知されたアラートファイルに基づいて、未承認の通信装置10Dによる通信を遮断することになる。
【0076】
一方、ステップS26において、承認済みの通信装置10A,10B,10CのいずれかがARPパケットを送信した場合を考える。この場合、通信管理装置20は、ステップS27において、通信部21によってARPパケットを傍受すると、ステップS28において、このARPパケットに基づいて、通信装置検知部22によって通信装置10A,10B,10Cのいずれかを特定する接続情報を生成する。
【0077】
そして、承認判定部23は、ステップS29において、通信装置検知部22によって生成された接続情報と、承認済みデータベース25に記憶されている特定情報とを照合する。これにより、承認判定部23は、承認済みの通信装置10A,10B,10Cのいずれかである旨を判定し、接続情報と判定結果とを組み合わせたアラート情報を生成する。
【0078】
これに応じて、報知部24は、ステップS30において、アラートファイルを生成し、通信部21を介して、そのアラートファイルを承認機器通信制御装置30Aに対して送信させる。この場合、報知部24は、承認済みの通信装置10A,10B,10Cのいずれかについてのアラートファイルであるので、即座に承認機器通信制御装置30Aに報知するのではなく、待ち時間Tw後の報知すべき設定された時刻になるまで待機してから報知する。
【0079】
これにより、承認機器通信制御装置30Aは、報知されたアラートファイルに基づいて、承認済みの通信装置10A,10B,10Cに関する情報を収集することが可能となる。
【0080】
通信システムにおいては、このような一連の手順にしたがって、アラートファイルを承認機器通信制御装置30A及び未承認機器通信制御装置30Bに報知することができる。
【0081】
[第3実施形態の効果]
以上詳細に説明したように、本発明の第3実施形態に係る通信システムは、通信管理装置20により、承認済みの通信装置10A,10B,10Cについてのアラート情報を承認機器通信制御装置30Aに報知し、未承認の通信装置10Dについてのアラート情報を承認機器通信制御装置30Aとは異なる未承認通信制御装置30Bに報知する。
【0082】
したがって、この通信システムにおいては、1台の通信制御装置30のみをアラート情報の報知先とする場合に比べ、管理装置の処理負荷を低減することができる。特に、この通信システムにおいては、未承認の通信装置10Dが急遽通信ネットワークNT上に接続された場合であっても、承認機器通信制御装置30Aの処理負荷が増大することがなく、迅速に対応することが可能となる。
【0083】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【符号の説明】
【0084】
10,10A,10B,10C,10D 通信装置
20 通信管理装置
21 通信部
22 通信装置検知部
23 承認判定部
24 報知部
25 承認済みデータベース
30 管理装置
30A 承認機器管理装置
30B 未承認機器管理装置
51 設定テーブル
52 検知テーブル
61 通信抑止処理部
【特許請求の範囲】
【請求項1】
通信回線に接続された複数の通信装置を管理する通信管理装置であって、
前記複数の通信装置との間で通信データを送受信する通信手段と、
前記通信手段によって傍受した通信データに基づいて他の通信装置に対する問い合わせ情報を検知することにより、前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、
前記通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、
前記承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを備え、
前記報知手段は、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔で報知することを特徴とする通信管理装置。
【請求項2】
前記承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えることを特徴とする請求項1に記載の通信管理装置。
【請求項3】
前記報知手段は、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を前記第1管理装置とは異なる第2管理装置に報知することを特徴とする請求項1又は請求項2に記載の通信管理装置。
【請求項4】
前記報知手段は、前記通信回線を介して前記所定の管理装置から送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知することを特徴とする請求項1乃至請求項3のうちいずれか1項に記載の通信管理装置。
【請求項5】
通信回線に接続された複数の通信装置を管理するコンピュータが実行する通信管理プログラムであって、
前記複数の通信装置との間で送受信される通信データに基づいて、問い合わせ情報を検知することにより前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知処理と、
前記通信装置検知処理にて生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定処理と、
前記承認判定処理による判定結果を含むアラート情報を所定の管理装置に報知する報知処理とを前記コンピュータに実行させ、
前記報知処理では、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔で報知すること
を特徴とする通信管理プログラム。
【請求項6】
通信回線に接続された複数の通信装置と、
前記通信回線上に通信可能に接続され、前記複数の通信装置を管理する通信管理装置と、 前記通信管理装置の動作を制御する通信制御装置とを備え、
前記通信制御装置は、前記通信管理装置が前記複数の通信装置に関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものであり、
前記通信管理装置は、
前記複数の通信装置との間で通信データを送受信する通信手段と、
前記通信手段によって傍受した通信データに基づいて、問い合わせ情報を検知することにより前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、
前記通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、
前記承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを有し、
前記報知手段は、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔であって、前記通信制御装置により命令されたタイミングにて報知すること
を特徴とする通信管理システム。
【請求項1】
通信回線に接続された複数の通信装置を管理する通信管理装置であって、
前記複数の通信装置との間で通信データを送受信する通信手段と、
前記通信手段によって傍受した通信データに基づいて他の通信装置に対する問い合わせ情報を検知することにより、前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、
前記通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、
前記承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを備え、
前記報知手段は、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔で報知することを特徴とする通信管理装置。
【請求項2】
前記承認判定手段によって未承認と判定された通信装置による通信を抑止する通信抑止処理手段を更に備えることを特徴とする請求項1に記載の通信管理装置。
【請求項3】
前記報知手段は、承認済みの通信装置についてのアラート情報を第1管理装置に報知し、未承認の通信装置についてのアラート情報を前記第1管理装置とは異なる第2管理装置に報知することを特徴とする請求項1又は請求項2に記載の通信管理装置。
【請求項4】
前記報知手段は、前記通信回線を介して前記所定の管理装置から送信された命令を受信したことに応じて、承認済みの通信装置についてのアラート情報を報知することを特徴とする請求項1乃至請求項3のうちいずれか1項に記載の通信管理装置。
【請求項5】
通信回線に接続された複数の通信装置を管理するコンピュータが実行する通信管理プログラムであって、
前記複数の通信装置との間で送受信される通信データに基づいて、問い合わせ情報を検知することにより前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知処理と、
前記通信装置検知処理にて生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報により特定される通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定処理と、
前記承認判定処理による判定結果を含むアラート情報を所定の管理装置に報知する報知処理とを前記コンピュータに実行させ、
前記報知処理では、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔で報知すること
を特徴とする通信管理プログラム。
【請求項6】
通信回線に接続された複数の通信装置と、
前記通信回線上に通信可能に接続され、前記複数の通信装置を管理する通信管理装置と、 前記通信管理装置の動作を制御する通信制御装置とを備え、
前記通信制御装置は、前記通信管理装置が前記複数の通信装置に関するアラート情報を送信するタイミングを制御すると共に、当該通信管理装置から送信されたアラート情報を受信するものであり、
前記通信管理装置は、
前記複数の通信装置との間で通信データを送受信する通信手段と、
前記通信手段によって傍受した通信データに基づいて、問い合わせ情報を検知することにより前記通信回線上で通信を開始した通信装置を検知し、検知した通信装置を特定する接続情報を生成する通信装置検知手段と、
前記通信装置検知手段によって生成された接続情報と、所定の承認済みデータベースに記憶されている、前記通信回線上での通信が許可されている承認済みの通信装置を特定するための特定情報とに基づいて、当該接続情報に対応する通信装置が承認済みの通信装置であるか否かを、所定の間隔ごとに判定する承認判定手段と、
前記承認判定手段による判定結果を含むアラート情報を所定の管理装置に報知する報知手段とを有し、
前記報知手段は、前記承認判定手段により未承認の通信装置を判定したことに応じて当該未承認の通信装置についてのアラート情報を報知し、承認済みの通信装置についてのアラート情報を前記所定の間隔よりも長い間隔であって、前記通信制御装置により命令されたタイミングにて報知すること
を特徴とする通信管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−199873(P2010−199873A)
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願番号】特願2009−41256(P2009−41256)
【出願日】平成21年2月24日(2009.2.24)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成22年9月9日(2010.9.9)
【国際特許分類】
【出願日】平成21年2月24日(2009.2.24)
【出願人】(000005832)パナソニック電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]