[go: up one dir, main page]

JP7614306B1 - Master device, communication control method, communication control program, and communication control system - Google Patents

Master device, communication control method, communication control program, and communication control system Download PDF

Info

Publication number
JP7614306B1
JP7614306B1 JP2023200602A JP2023200602A JP7614306B1 JP 7614306 B1 JP7614306 B1 JP 7614306B1 JP 2023200602 A JP2023200602 A JP 2023200602A JP 2023200602 A JP2023200602 A JP 2023200602A JP 7614306 B1 JP7614306 B1 JP 7614306B1
Authority
JP
Japan
Prior art keywords
edge device
terminal
unit
zone
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023200602A
Other languages
Japanese (ja)
Other versions
JP2025086551A (en
Inventor
敏之 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2023200602A priority Critical patent/JP7614306B1/en
Application granted granted Critical
Publication of JP7614306B1 publication Critical patent/JP7614306B1/en
Publication of JP2025086551A publication Critical patent/JP2025086551A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

Figure 0007614306000001

【課題】ネットワークにおける通信制御の設定に係る作業負担を軽減可能にする。
【解決手段】マスター装置10は、複数のエッジ装置20それぞれについて、複数のゾーンのうちどのゾーンに設置されているかを示す設置情報の入力を受け付ける。マスター装置10は、複数のエッジ装置20それぞれから、そのエッジ装置20に接続された端末の接続情報を取得する。マスター装置10は、複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、接続情報が示す端末を、接続情報の取得元のエッジ装置20が設置されているゾーンのグループに分類する。
【選択図】図4

Figure 0007614306000001

The present invention makes it possible to reduce the workload associated with setting communication control in a network.
[Solution] A master device 10 accepts input of installation information indicating in which of a plurality of zones each of a plurality of edge devices 20 is installed. The master device 10 acquires connection information of terminals connected to each of the plurality of edge devices 20. The master device 10 sets each of the plurality of zones as a group for controlling communications, and classifies terminals indicated by the connection information into the group of the zone in which the edge device 20 from which the connection information was acquired is installed.
[Selected Figure] Figure 4

Description

本開示は、端末間の通信を制御する技術に関する。 This disclosure relates to technology for controlling communication between terminals.

製造業をはじめとした工場の機器を制御する制御システムでは、一般にシステム構成を生産管理と生産状況監視と生産ラインと等の複数のゾーンに分割して管理している。同じゾーンに存在する機器である保護資産に対しては、同等の水準のセキュリティ対策が求められる。
ここで、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」では、ゾーンは、業務の内容又は重要度が同等である領域と定義されている。また、同じゾーンに存在する保護資産に対しては、同等の水準のセキュリティ対策が必要であると記載されている。 In control systems that control equipment in factories, including those in the manufacturing industry, the system configuration is generally divided into multiple zones for management, production status monitoring, production line, etc. The same level of security measures are required for protected assets, which are equipment that exists in the same zone.
Here, the Ministry of Economy, Trade and Industry's "Guidelines for Cyber-Physical Security Measures in Factory Systems Ver. 1.0" defines a zone as an area with the same business content or importance, and states that the same level of security measures is required for protected assets that exist in the same zone.

特許文献1には、グループリストに存在しないアドレスが示す端末を未分類端末として検出し、未分類端末が属するグループを指定させることが記載されている。特許文献1では、未分類端末を検出することにより、端末のグループ分けに係る負担を軽減している。 Patent document 1 describes a method of detecting a terminal indicated by an address that does not exist in a group list as an unclassified terminal and specifying the group to which the unclassified terminal belongs. In patent document 1, by detecting unclassified terminals, the burden associated with grouping terminals is reduced.

特許第7209792号公報Patent No. 7209792

セキュアなネットワークを実現するための通信制御の設定作業は、ネットワーク構成図と個々の端末情報といった様々な情報を参照しながら人手で行うことが主であり、非常に時間がかかる煩雑な作業である。そのため設定ミスが起こりやすく、運用において負担がかかるという課題がある。
特許文献1に記載された技術を用いることにより、未分類端末を探す手間が省けるため、設定作業にかかる負担をある程度は軽減できる。しかし、依然として端末毎に設定を行う必要があり、負担が大きく、設定ミスが起こり易い状態である。
本開示は、設定に係る作業負担を軽減可能にすることを目的とする。 The task of configuring communication control to realize a secure network is usually done manually while referring to various information such as network configuration diagrams and individual terminal information, which is a very time-consuming and cumbersome task. This makes it prone to configuration errors and places a burden on operations.
By using the technology described in Patent Literature 1, the effort of searching for unclassified terminals can be eliminated, and the burden of the setting work can be reduced to a certain extent. However, the setting still needs to be performed for each terminal, which is a heavy burden and prone to setting errors.
The present disclosure aims to make it possible to reduce the workload associated with settings.

本開示に係るマスター装置は、
複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付部と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得部と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得部によって取得された前記接続情報が示す端末を、前記ゾーン受付部によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類部と
を備える。 A master device according to the present disclosure comprises:
a zone receiving unit that receives input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of the plurality of edge devices being a target edge device;
an information acquisition unit that acquires connection information of a terminal connected to the target edge device from the target edge device;
The device is equipped with a terminal classification unit that sets each of the multiple zones as a group for controlling communications, and classifies a terminal indicated by the connection information acquired by the information acquisition unit into a group of zones indicated by the installation information accepted by the zone acceptance unit, in which the edge device from which the connection information was acquired is installed.

本開示では、ゾーン毎にグループを設定し、接続情報の取得元のエッジ装置が設置されたゾーンのグループに端末が分類される。これにより、端末を自動的にグループに分類することが可能になり、設定に係る作業負担を軽減可能である。 In this disclosure, a group is set for each zone, and terminals are classified into the group of the zone in which the edge device from which the connection information is obtained is installed. This makes it possible to automatically classify terminals into groups, reducing the workload associated with the settings.

実施の形態1に係る通信制御システム1の構成図。FIG. 1 is a configuration diagram of a communication control system 1 according to a first embodiment. 実施の形態1に係るマスター装置10の構成図。FIG. 2 is a configuration diagram of a master device 10 according to the first embodiment. 実施の形態1に係るエッジ装置20の構成図。FIG. 2 is a configuration diagram of an edge device 20 according to the first embodiment. 実施の形態1に係る通信制御システム1の全体的な動作を示すフローチャート。4 is a flowchart showing the overall operation of the communication control system 1 according to the first embodiment. 実施の形態1に係るエッジ装置20の設置状態の説明図。FIG. 2 is an explanatory diagram of an installation state of the edge device 20 according to the first embodiment. 実施の形態1に係るゾーン受付処理の説明図。FIG. 4 is an explanatory diagram of a zone acceptance process according to the first embodiment. 実施の形態1に係るアドレス取得処理の説明図。FIG. 4 is an explanatory diagram of an address acquisition process according to the first embodiment. 実施の形態1に係る分類処理の説明図。FIG. 4 is an explanatory diagram of a classification process according to the first embodiment. 実施の形態1に係る状態表示処理の説明図。FIG. 4 is an explanatory diagram of a state display process according to the first embodiment.

実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る通信制御システム1の構成を説明する。
通信制御システム1は、マスター装置10と、複数のエッジ装置20とを備える。マスター装置10と、各エッジ装置20とはネットワーク機器90を介して接続されている。
マスター装置10は、管理センター等に設置され、通信制御システム1を管理するためのコンピュータである。各エッジ装置20は、工場及びオフィスといった現場に設置され、1つ以上の端末30が接続されるコンピュータである。 Embodiment 1.
***Configuration Description***
The configuration of a communication control system 1 according to the first embodiment will be described with reference to FIG.
The communication control system 1 includes a master device 10 and a plurality of edge devices 20. The master device 10 and each edge device 20 are connected via a network device 90.
The master device 10 is a computer installed in a management center or the like for managing the communication control system 1. Each edge device 20 is a computer installed at a site such as a factory or an office and connected to one or more terminals 30.

図2を参照して、実施の形態1に係るマスター装置10の構成を説明する。
マスター装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the master device 10 according to the first embodiment will be described with reference to FIG.
The master device 10 includes the following hardware components: a processor 11, a memory 12, a storage 13, and a communication interface 14. The processor 11 is connected to other hardware components via signal lines and controls the other hardware components.

マスター装置10は、機能構成要素として、ゾーン受付部111と、ツリー表示部112と、情報取得部113と、端末分類部114と、変更受付部115と、ポリシー設定部116と、設定送信部117とを備える。マスター装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、マスター装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、マスター装置10の各機能構成要素の機能が実現される。 The master device 10 comprises, as functional components, a zone acceptance unit 111, a tree display unit 112, an information acquisition unit 113, a terminal classification unit 114, a change acceptance unit 115, a policy setting unit 116, and a setting transmission unit 117. The functions of the functional components of the master device 10 are realized by software.
The storage 13 stores programs that realize the functions of the functional components of the master device 10. These programs are loaded into the memory 12 by the processor 11 and executed by the processor 11. In this way, the functions of the functional components of the master device 10 are realized.

図3を参照して、実施の形態1に係るエッジ装置20の構成を説明する。
エッジ装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 The configuration of the edge device 20 according to the first embodiment will be described with reference to FIG.
The edge device 20 includes the following hardware components: a processor 21, a memory 22, a storage 23, and a communication interface 24. The processor 21 is connected to other hardware components via signal lines and controls the other hardware components.

エッジ装置20は、機能構成要素として、アドレス取得部211と、情報送信部212と、設定受信部213と、通信制御部214と、ログ取得部215とを備える。エッジ装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エッジ装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エッジ装置20の各機能構成要素の機能が実現される。 The edge device 20 includes, as functional components, an address acquisition unit 211, an information transmission unit 212, a setting reception unit 213, a communication control unit 214, and a log acquisition unit 215. The functions of the functional components of the edge device 20 are realized by software.
The storage 23 stores a program that realizes the function of each functional component of the edge device 20. The program is loaded into the memory 22 by the processor 21 and executed by the processor 21. In this way, the function of each functional component of the edge device 20 is realized.

プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 The processors 11 and 21 are integrated circuits (ICs) that perform processing.
Processing Unit), DSP (Digital Signal Processor), and GPU (Graphics Processing Unit).

メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。 Memories 12 and 22 are storage devices that temporarily store data. Specific examples of memories 12 and 22 include SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory).

ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。 Storages 13 and 23 are storage devices that store data. A specific example of storages 13 and 23 is a hard disk drive (HDD). Storages 13 and 23 may also be portable recording media such as a Secure Digital (registered trademark) memory card, CompactFlash (registered trademark), NAND flash, a flexible disk, an optical disk, a compact disk, a Blu-ray (registered trademark) disk, or a Digital Versatile Disk (DVD).

通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。 The communication interfaces 14 and 24 are interfaces for communicating with external devices. Specific examples of the communication interfaces 14 and 24 are ports for Ethernet (registered trademark), USB (Universal Serial Bus), and HDMI (registered trademark, High-Definition Multimedia Interface).

***動作の説明***
図4から図9を参照して、実施の形態1に係る通信制御システム1の動作を説明する。
実施の形態1に係る通信制御システム1の動作手順は、実施の形態1に係る通信制御方法に相当する。また、実施の形態1に係る通信制御システム1の動作を実現するプログラムは、実施の形態1に係る通信制御プログラムに相当する。 *** Operation Description ***
The operation of the communication control system 1 according to the first embodiment will be described with reference to FIGS.
The operation procedure of the communication control system 1 according to the first embodiment corresponds to the communication control method according to the first embodiment. Moreover, the program that realizes the operation of the communication control system 1 according to the first embodiment corresponds to the communication control program according to the first embodiment.

図4を参照して、実施の形態1に係る通信制御システム1の全体的な動作を説明する。
図4に示す処理の前提として、図5に示すように、工場において業務の内容又は重要度が同等である領域を1つのゾーン40として複数のゾーン40が設定されている。図5では、生産管理のゾーン40と、生産状況監視のゾーン40と、生産ライン1のゾーン40とが設定されている。複数のゾーン40それぞれにエッジ装置20が配置される。各ゾーン40に配置されたエッジ装置20に1台以上の端末30が接続される。 The overall operation of the communication control system 1 according to the first embodiment will be described with reference to FIG.
As a premise for the process shown in Fig. 4, a plurality of zones 40 are set in a factory, with each zone 40 being an area with the same business content or importance, as shown in Fig. 5. In Fig. 5, a production management zone 40, a production status monitoring zone 40, and a production line 1 zone 40 are set. An edge device 20 is disposed in each of the plurality of zones 40. One or more terminals 30 are connected to the edge device 20 disposed in each zone 40.

(ステップS11:ゾーン受付処理)
マスター装置10のゾーン受付部111は、複数のエッジ装置20それぞれを対象のエッジ装置20に設定する。ゾーン受付部111は、複数のゾーン40のうちどのゾーン40に対象のエッジ装置20が設置されているかを示す設置情報の入力を受け付ける。
具体的には、マスター装置10を使用するユーザによって各エッジ装置20について設置されたゾーン40の設置情報が入力される。そして、ゾーン受付部111は、各エッジ装置20について入力されたゾーン40の設置情報を受け付ける。ゾーン受付部111は、エッジ装置20の識別情報とゾーン40の識別情報とを対応付けてメモリ12に記憶しておく。エッジ装置20の識別情報とは、エッジ装置20の名称であるエッジ装置名等である。ゾーン40の識別情報とは、ゾーン40の名称であるゾーン名等である。 (Step S11: Zone reception process)
The zone reception unit 111 of the master device 10 sets each of the multiple edge devices 20 as a target edge device 20. The zone reception unit 111 receives input of installation information indicating in which of the multiple zones 40 the target edge device 20 is installed.
Specifically, the user of the master device 10 inputs installation information of the zone 40 installed for each edge device 20. The zone reception unit 111 then receives the installation information of the zone 40 input for each edge device 20. The zone reception unit 111 stores the identification information of the edge device 20 and the identification information of the zone 40 in association with each other in the memory 12. The identification information of the edge device 20 is, for example, the edge device name that is the name of the edge device 20. The identification information of the zone 40 is, for example, the zone name that is the name of the zone 40.

例えば、ツリー表示部112は、図6に示すように、工場を根とし、各ゾーン40を、根を親とする子のノードとして表したツリー構造データであるアセットツリー50を表示装置に表示する。ここでは、工場を根とすると説明したが、通信制御システム1を根とすると言い換えてもよい。ゾーン受付部111は、アセットツリー50に対してエッジ装置20が設置されている位置を示す設置情報を入力させる。具体的には、図6ではユーザによってゾーン40を表すノードを親とする子のノードとして対象のエッジ装置20を表すノードが配置されることにより、ゾーン受付部111は、各エッジ装置20と設置したゾーン40とが対応付けられた設置情報が入力され受け付けされる。
例えばこの様に設置情報が入力され受け付けされることにより、生産管理のゾーン40を表すノードを親とする子のノードとして、エッジ装置名がEdge3のエッジ装置20が設定されている。また、生産状況監視のゾーン40を表すノードを親とする子のノードとして、エッジ装置名がEdge2のエッジ装置20が設定されている。また、生産ライン1のゾーン40を表すノードを親とする子のノードとして、エッジ装置名がEdge1のエッジ装置20が設定されている
ここでは、ツリー構造データであるアセットツリー50を用いてゾーン40を表すノードを親とする子ノードとして、エッジ装置20を表すノードを配置することにより、各エッジ装置20と設置したゾーン40とを対応付けた設置情報が入力され受け付けされる例を示した。しかし、各エッジ装置20と設置したゾーン40とを対応付けた設定データがユーザによって用意され、ゾーン受付部111が当該設定データを読み込むことにより設置情報の入力を受け付けてもよい。各エッジ装置20と設置したゾーン40とを対応付けることができれば他の入力方法で設置情報を受け付けてもよい。 For example, as shown in Fig. 6, the tree display unit 112 displays an asset tree 50, which is tree structure data in which a factory is the root and each zone 40 is represented as a child node with the root as a parent, on the display device. Here, the factory is described as the root, but it may be rephrased that the communication control system 1 is the root. The zone reception unit 111 inputs installation information indicating the location where the edge device 20 is installed into the asset tree 50. Specifically, in Fig. 6, the user places a node representing the target edge device 20 as a child node with the node representing the zone 40 as a parent, and the zone reception unit 111 inputs and accepts the installation information in which each edge device 20 is associated with the zone 40 in which it is installed.
For example, by inputting and accepting the installation information in this manner, an edge device 20 with the edge device name Edge3 is set as a child node with a node representing the zone 40 of production management as a parent. Also, an edge device 20 with the edge device name Edge2 is set as a child node with a node representing the zone 40 of production status monitoring as a parent. Also, an edge device 20 with the edge device name Edge1 is set as a child node with a node representing the zone 40 of the production line 1 as a parent. Here, an example is shown in which the installation information in which each edge device 20 and the installed zone 40 are associated is input and accepted by arranging the node representing the edge device 20 as a child node with a node representing the zone 40 as a parent using the asset tree 50, which is tree structure data. However, the setting data in which each edge device 20 and the installed zone 40 are associated may be prepared by the user, and the zone acceptance unit 111 may accept the input of the installation information by reading the setting data. If each edge device 20 can be associated with the installed zone 40, the installation information may be accepted by another input method.

(ステップS12:アドレス取得処理)
各エッジ装置20のアドレス取得部211は、エッジ装置20と同じネットワーク内に接続された端末30であって、末端側に接続された端末30のアドレス61を取得する。同じネットワークとは、同じネットワークアドレスを持つネットワークを指す。この際、アドレス取得部211は、ポート毎に、接続された端末30のアドレス61を取得してもよい。
ここでは、アドレス取得部211は、図7に示すように、端末30のアドレス61として、IPアドレス及びMACアドレスを取得する。IPは、Internet Protocolの略である。MACは、Media Access Controlの略である。 (Step S12: Address acquisition process)
The address acquisition unit 211 of each edge device 20 acquires the address 61 of the terminal 30 connected to the end side of the same network as the edge device 20. The same network refers to a network having the same network address. In this case, the address acquisition unit 211 may acquire the address 61 of the connected terminal 30 for each port.
7, the address acquisition unit 211 acquires an IP address and a MAC address as the address 61 of the terminal 30. IP is an abbreviation for Internet Protocol, and MAC is an abbreviation for Media Access Control.

各エッジ装置20の情報送信部212は、端末情報62を付加したアドレス61を接続情報63としてマスター装置10に送信する。
ここでは、情報送信部212は、図7に示すように、端末情報62として、エッジ装置名と、端末名と、端末タイプとを付加する。エッジ装置名は、端末30が接続されたネットワークに接続されているエッジ装置20の名称であり、ここでは情報送信部212を備えるエッジ装置20の名称が設定される。端末名は、端末30を特定し易くするための名称である。端末タイプは、端末30の種別を表す情報である。端末名称及び端末タイプは、端末30から抽出できた場合にのみ設定されてもよい。
これらに加えて、情報送信部212は、端末30のメーカ情報が端末情報62として設定されてもよい。メーカ情報は、MACアドレスの企業コードから特定される製造メーカのメーカ名といったメーカを識別可能な情報である。 The information transmitting unit 212 of each edge device 20 transmits the address 61 with the terminal information 62 added thereto as connection information 63 to the master device 10 .
Here, the information transmission unit 212 adds the edge device name, terminal name, and terminal type as the terminal information 62, as shown in Fig. 7. The edge device name is the name of the edge device 20 connected to the network to which the terminal 30 is connected, and here, the name of the edge device 20 equipped with the information transmission unit 212 is set. The terminal name is a name for making it easier to identify the terminal 30. The terminal type is information indicating the type of the terminal 30. The terminal name and terminal type may be set only if they can be extracted from the terminal 30.
In addition to these, the information transmission unit 212 may set manufacturer information of the terminal 30 as the terminal information 62. The manufacturer information is information capable of identifying the manufacturer, such as the manufacturer name of the manufacturer specified from the company code of the MAC address.

(ステップS13:分類処理)
マスター装置10の情報取得部113は、ステップS12で送信された接続情報63を受信する。ステップS12では、アドレス取得部211は、末端側に接続された端末30のアドレス61を取得しているため、複数のエッジ装置20から同じ端末30のアドレス41が送信されることはない。
マスター装置10の端末分類部114は、複数のゾーンそれぞれを通信の制御を行うためのグループとしてデフォルトで設定する。そして、端末分類部114は、情報取得部113によって取得された接続情報63が示す端末30を、接続情報63の取得元のエッジ装置20が設置されているゾーン40のグループにデフォルトで分類する。 (Step S13: Classification process)
The information acquisition unit 113 of the master device 10 receives the connection information 63 transmitted in step S12. In step S12, the address acquisition unit 211 acquires the address 61 of the terminal 30 connected to the end side, so that the address 41 of the same terminal 30 is not transmitted from a plurality of edge devices 20.
The terminal classification unit 114 of the master device 10 sets each of the multiple zones as a group for controlling communication by default. Then, the terminal classification unit 114 classifies the terminal 30 indicated by the connection information 63 acquired by the information acquisition unit 113 by default into the group of the zone 40 in which the edge device 20 from which the connection information 63 was acquired is installed.

図6に示すように各ゾーン40にエッジ装置20が設置され設置情報が受け付けられているとする。すると、図8に示すように、名称がEdge3のエッジ装置20から受信した接続情報63が示す端末30であるMES ServerとEWS01とが生産管理のゾーン40のグループに分類されたことを示すチェックが自動的に表示される。名称がEdge2のエッジ装置20から受信した接続情報63が示す端末30であるSCADA1とHMI1とが生産状況監視のゾーン40のグループに分類されたことを示すチェックが自動的に表示される。名称がEdge1のエッジ装置20から受信した接続情報63が示す端末30であるPLC01とF-Device01とF-Device02とF-Device03とが生産ライン1のゾーン40のグループに分類されたことを示すチェックが自動的に表示される。 As shown in FIG. 6, assume that an edge device 20 is installed in each zone 40 and installation information is received. Then, as shown in FIG. 8, a check is automatically displayed indicating that MES Server and EWS01, which are terminals 30 indicated by connection information 63 received from edge device 20 named Edge3, have been classified into the production management zone 40 group. A check is automatically displayed indicating that SCADA1 and HMI1, which are terminals 30 indicated by connection information 63 received from edge device 20 named Edge2, have been classified into the production status monitoring zone 40 group. A check is automatically displayed indicating that PLC01, F-Device01, F-Device02, and F-Device03, which are terminals 30 indicated by connection information 63 received from edge device 20 named Edge1, have been classified into the production line 1 zone 40 group.

(ステップS14:変更受付処理)
変更受付部115は、ステップS13で情報取得部113によって取得された接続情報63とともに、端末分類部114によって分類されたグループを表示して、グループの変更を受け付ける。
具体的には、変更受付部115は、図8に示すような情報を表示する。そして、マスター装置10のユーザによってグループの変更が入力された場合には、その入力を受け付け、入力に従い端末30のグループを変更する。グループの変更が入力されない場合には、ステップS13で分類されたままのグループを維持する。 (Step S14: Change acceptance process)
The change acceptance unit 115 displays the groups classified by the terminal classification unit 114 together with the connection information 63 acquired by the information acquisition unit 113 in step S13, and accepts a change to the group.
Specifically, the change receiving unit 115 displays information as shown in Fig. 8. Then, when a group change is input by the user of the master device 10, the input is received and the group of the terminal 30 is changed according to the input. When no group change is input, the group as classified in step S13 is maintained.

(ステップS15:ポリシー設定処理)
マスター装置10のポリシー設定部116は、ステップS14で設定されたグループを用いて、グループ間の通信を制御するためのポリシー64を設定する。具体的には、ポリシー設定部116は、同一グループ間及び異なるグループ間の通信を許可しつつ、異なるグループ間の通信についてはログを取得することを示すポリシー64を設定する。また、ポリシー設定部116は、いずれのグループにも属していない端末30との通信を許可しないポリシー64を設定する。
この際、ポリシー設定部116は、マスター装置10のユーザからポリシー64の変更を受け付けてもよい。つまり、ポリシー設定部116は、上述したポリシー64をデフォルトで設定した上で、必要に応じてポリシー64を変更させてもよい。この際、ポリシー設定部116は、グループ単位で他のポリシーを設定させてもよい。
そして、マスター装置10の設定送信部117は、ポリシー64を複数のエッジ装置20それぞれに送信する。 (Step S15: Policy setting process)
The policy setting unit 116 of the master device 10 uses the group set in step S14 to set a policy 64 for controlling communication between groups. Specifically, the policy setting unit 116 sets a policy 64 indicating that communication between the same group and different groups is permitted, while communication between different groups is to be logged. The policy setting unit 116 also sets a policy 64 indicating that communication with terminals 30 that do not belong to any group is not permitted.
At this time, the policy setting unit 116 may accept a change to the policy 64 from the user of the master device 10. In other words, the policy setting unit 116 may set the above-mentioned policy 64 as a default, and then change the policy 64 as necessary. At this time, the policy setting unit 116 may set another policy on a group basis.
Then, the configuration transmission unit 117 of the master device 10 transmits the policy 64 to each of the edge devices 20 .

(ステップS16:通信制御処理)
各エッジ装置20の設定受信部213は、ステップS15で送信されたポリシー64を受信する。
各エッジ装置20の通信制御部214は、ポリシー64に基づき、端末30間の通信を制御する。つまり、ポリシー64で通信を許可すると設定されているグループに属する端末30間の通信であれば、通信制御部214は、通信を許可し、データを通過させる。一方、ポリシー64で通信を許可しないと設定されているグループに属する端末30間の通信であれば、通信制御部214は、通信を許可せず、データを通過させない。
また、ログ取得部215は、ポリシー64でログを取得することが設定されている場合には、通信のログを取得する。 (Step S16: Communication control process)
The setting receiver 213 of each edge device 20 receives the policy 64 transmitted in step S15.
The communication control unit 214 of each edge device 20 controls communication between the terminals 30 based on the policy 64. That is, if the communication is between the terminals 30 that belong to a group set in the policy 64 to allow communication, the communication control unit 214 allows the communication and allows the data to pass. On the other hand, if the communication is between the terminals 30 that belong to a group set in the policy 64 to not allow communication, the communication control unit 214 does not allow the communication and does not allow the data to pass.
Furthermore, if policy 64 specifies that a log should be acquired, log acquisition unit 215 acquires a communication log.

(ステップS17:状態表示処理)
図9に示すように、ツリー表示部112は、各端末30を対象の端末30として、対象の端末30の状態を監視し、対象の端末30の状態に応じて、アセットツリー50における対象の端末30に対応するノードの色等を変化させる。端末30の状態とは、例えば、正常に動作している状態と、エラーが発生している状態と等である。図9では、F-Device01のノードにハッチングが付され、正常でないことが表されている。
アセットツリー50では、各端末30がゾーン40毎に分けて表示されている。そのため、ゾーン40毎に、そのゾーン40の端末30がどのような状態であるかを容易に確認することができる。
なお、対象の端末30の状態に応じて、対象の端末30が属するゾーン40のノードの表示を変化させてもよい。これにより、各ゾーン40の状態の把握が容易になる。 (Step S17: Status display process)
9, the tree display unit 112 monitors the state of each terminal 30 as a target terminal 30, and changes the color, etc. of the node corresponding to the target terminal 30 in the asset tree 50 according to the state of the target terminal 30. The state of the terminal 30 is, for example, a state in which the terminal 30 is operating normally, a state in which an error has occurred, etc. In FIG. 9, the node of F-Device01 is hatched to indicate that it is not normal.
In the asset tree 50, each terminal 30 is displayed divided by zone 40. Therefore, for each zone 40, the state of the terminal 30 in that zone 40 can be easily confirmed.
The display of the node of the zone 40 to which the target terminal 30 belongs may be changed depending on the state of the target terminal 30. This makes it easier to grasp the state of each zone 40.

通信制御システム1を導入する際には、ステップS11からステップS16までの処理が順に実行される。その後は、ステップS15及びステップS16の処理が継続して実行され、端末30間の通信が制御される。
ステップS15及びステップS16の処理が実行されているときに、ステップS13の処理が割り込みで実行されてもよい。つまり、通信制御中にグループの変更がされてもよい。また、ステップS15及びステップS16の処理が実行されているときに、ステップS14で説明したポリシー64の変更の受け付けがされてもよい。 When the communication control system 1 is introduced, the processes from step S11 to step S16 are executed in order. After that, the processes from step S15 to step S16 are executed continuously, and the communication between the terminals 30 is controlled.
When the processes of steps S15 and S16 are being executed, the process of step S13 may be executed as an interrupt. That is, a group may be changed during communication control. Also, when the processes of steps S15 and S16 are being executed, a change to the policy 64 described in step S14 may be accepted.

***実施の形態1の効果***
以上のように、実施の形態1に係る通信制御システム1は、ゾーン40毎にデフォルトでグループを設定し、接続情報の取得元のエッジ装置20が設置されたゾーン40のグループに端末30をデフォルトで分類する。これにより、端末30を自動的にグループに分類することが可能になり、設定に係る作業負担を軽減可能である。 ***Advantages of First Embodiment***
As described above, the communication control system 1 according to the first embodiment sets a group by default for each zone 40, and classifies the terminal 30 by default into the group of the zone 40 in which the edge device 20 from which the connection information is obtained is installed. This makes it possible to automatically classify the terminal 30 into groups, thereby reducing the workload associated with the settings.

また、実施の形態1に係る通信制御システム1は、自動的に分類されたグループに基づき、グループ間の通信を制御するためのポリシー64を設定する。そして、通信制御システム1は、ポリシー64に従い、端末30間の通信を制御する。これにより、同じゾーン40に存在する各端末30に同じ通信制御がされることになる。そのため、通信制御に関して、同じゾーン40に存在する端末30に対して同等の水準のセキュリティ対策が施されることになる。 The communication control system 1 according to the first embodiment also sets a policy 64 for controlling communication between groups based on the automatically classified groups. The communication control system 1 then controls communication between the terminals 30 in accordance with the policy 64. This results in the same communication control being applied to each terminal 30 that exists in the same zone 40. Therefore, with regard to communication control, the same level of security measures are applied to the terminals 30 that exist in the same zone 40.

また、実施の形態1に係る通信制御システム1は、ゾーン40毎に端末30を分類した状態で表示するアセットツリー50を用いて、各端末30の状態を表示する。これにより、ゾーン40毎に、そのゾーン40の端末30がどのような状態であるかを容易に確認することができる。 The communication control system 1 according to the first embodiment also displays the status of each terminal 30 using an asset tree 50 that displays the terminals 30 classified by zone 40. This makes it easy to check the status of the terminals 30 in each zone 40.

***他の構成***
<変形例1>
実施の形態1では、図4のステップS11でマスター装置10を使用するユーザによって各エッジ装置20について設置されたゾーン40の設置情報が入力されるとした。
しかし、各エッジ装置20について、そのエッジ装置20を設置する際にそのエッジ装置20を設置するユーザによって設置したゾーン40の設置情報がエッジ装置20に対して設定されてもよい。この場合には、各エッジ装置20は、設定されたゾーン40の設置情報をマスター装置10に送信する。そして、ゾーン受付部111は、各エッジ装置20から送信され入力されたゾーン40の設置情報を受け付ける。
これにより、エッジ装置20を設置する時点でどのゾーン40に設置したかをエッジ装置20に設定しておくことで、マスター装置10のユーザが各エッジ装置20がどのゾーン40に設置されたかを確認する必要がなくなる。 ***Other configurations***
<Modification 1>
In the first embodiment, it is assumed that the user of the master device 10 inputs the installation information of the zone 40 installed for each edge device 20 in step S11 of FIG.
However, for each edge device 20, installation information of the zone 40 installed by a user who installs the edge device 20 may be set in the edge device 20. In this case, each edge device 20 transmits the installation information of the set zone 40 to the master device 10. Then, the zone reception unit 111 receives the installation information of the zone 40 transmitted and input from each edge device 20.
This eliminates the need for the user of the master device 10 to check in which zone 40 each edge device 20 is installed, by setting in the edge device 20 which zone 40 it is installed in when the edge device 20 is installed.

<変形例2>
実施の形態1では、図4のステップS11で全てのエッジ装置20についてどのゾーン40に設置されているかの設置情報が入力されることを前提とした。しかし、一部のエッジ装置20についてどのゾーン40に設置されているかの設置情報が入力されない可能性もある。この場合には、設置情報が入力されなかったエッジ装置20が取得元の端末30については、図4のステップS13でグループに分類されない。
そこで、ステップS13で端末30がグループに分類された後に、情報取得部113は、どのグループにも分類されていない端末30を未分類端末として抽出してもよい。そして、図4のステップS14で、端末分類部114は、未分類端末が属するグループを指定させてもよい。 <Modification 2>
In the first embodiment, it is assumed that the installation information of which zone 40 the edge device 20 is installed is input for all edge devices 20 in step S11 in Fig. 4. However, there is a possibility that the installation information of which zone 40 the edge device 20 is installed is not input for some edge devices 20. In this case, the terminal 30 from which the edge device 20 for which the installation information was not input is not classified into a group in step S13 in Fig. 4.
Therefore, after the terminals 30 are classified into groups in step S13, the information acquisition unit 113 may extract the terminals 30 that are not classified into any group as unclassified terminals. Then, in step S14 of Fig. 4, the terminal classification unit 114 may cause the user to specify the group to which the unclassified terminal belongs.

<変形例3>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例3として、各機能構成要素はハードウェアで実現されてもよい。この変形例3について、実施の形態1と異なる点を説明する。 <Modification 3>
In the first embodiment, each functional component is realized by software. However, as a third modification, each functional component may be realized by hardware. The following describes the third modification, focusing on the differences from the first embodiment.

各機能構成要素がハードウェアで実現される場合には、マスター装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、エッジ装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。 When each functional component is realized by hardware, the master device 10 includes an electronic circuit instead of the processor 11, the memory 12, and the storage 13. The electronic circuit is a dedicated circuit for realizing the functions of each functional component, the memory 12, and the storage 13.
Similarly, when each functional component is realized by hardware, the edge device 20 includes an electronic circuit instead of the processor 21, the memory 22, and the storage 23. The electronic circuit is a dedicated circuit for realizing the functions of each functional component, the memory 22, and the storage 23.

電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、FPGAが想定される。GAは、Gate Arrayの略である。ASICは、Application Specific Integrated Circuitの略である。FPGAは、Field-Programmable Gate Arrayの略である。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。 The electronic circuits may be a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA, an ASIC, or an FPGA. GA is an abbreviation for Gate Array. ASIC is an abbreviation for Application Specific Integrated Circuit. FPGA is an abbreviation for Field-Programmable Gate Array.
Each functional component may be realized by one electronic circuit, or each functional component may be realized by distributing it among a plurality of electronic circuits.

<変形例4>
変形例4として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。 <Modification 4>
As a fourth modification, some of the functional components may be realized by hardware, and other functional components may be realized by software.

プロセッサ11とメモリ12とストレージ13と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。 The processor 11, memory 12, storage 13, and electronic circuitry are collectively referred to as the processing circuit. In other words, the functions of each functional component are realized by the processing circuit.

また、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。 In addition, the word "part" in the above description may be read as "circuit," "process," "procedure," "processing," or "processing circuit."

以下、本開示の諸態様を付記としてまとめて記載する。
(付記1)
複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付部と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得部と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得部によって取得された前記接続情報が示す端末を、前記ゾーン受付部によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類部と
を備えるマスター装置。
(付記2)
前記マスター装置は、さらに、
前記端末分類部によって設定された前記グループを用いて、グループ間の通信を制御するためのポリシーを設定するポリシー設定部
を備える付記1に記載のマスター装置。
(付記3)
前記ポリシーは、同一グループ間及び異なるグループ間の通信を許可しつつ、前記異なるグループ間の通信についてはログを取得することを示す
付記2に記載のマスター装置。
(付記4)
前記マスター装置は、さらに、
前記端末について、前記情報取得部によって取得された接続情報とともに、前記端末分類部によって分類されたグループを表示して、グループの変更を受け付ける変更受付部
を備える付記1から3までのいずれか1項に記載のマスター装置。
(付記5)
前記マスター装置は、さらに、
前記複数のゾーンそれぞれをノードとし、前記複数のエッジ装置それぞれを設置されたゾーンのノードを親とする子のノードとし、前記端末を前記接続情報の取得元のエッジ装置のノードを親とする子のノードとするツリー構造データを表示するツリー表示部
を備える付記1から4までのいずれか1項に記載のマスター装置。
(付記6)
前記ツリー表示部は、前記端末のノードの表示を、前記端末の状態に応じて変化させる付記5に記載のマスター装置。
(付記7)
コンピュータが、複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付け、
コンピュータが、前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得し、
コンピュータが、前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記接続情報が示す端末を、前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する通信制御方法。
(付記8)
複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付処理と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得処理と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得処理によって取得された前記接続情報が示す端末を、前記ゾーン受付処理によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類処理と
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。
(付記9)
複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
前記複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付部と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得部と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得部によって取得された前記接続情報が示す端末を、前記ゾーン受付部によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類部と、
前記端末分類部によって設定された前記グループを用いて、グループ間の通信を制御するためのポリシーを設定するポリシー設定部と、
前記ポリシー設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部
を備える通信制御システム。 Various aspects of the present disclosure are summarized below as appendices.
(Appendix 1)
a zone receiving unit that receives input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of the plurality of edge devices being a target edge device;
an information acquisition unit that acquires connection information of a terminal connected to the target edge device from the target edge device;
a master device that sets each of the multiple zones as a group for controlling communications, and that is equipped with a terminal classification unit that classifies a terminal indicated by the connection information acquired by the information acquisition unit into a group of zones indicated by the installation information accepted by the zone acceptance unit, in which the edge device from which the connection information was acquired is installed.
(Appendix 2)
The master device further comprises:
2. The master device according to claim 1, further comprising a policy setting unit that sets a policy for controlling communication between groups using the groups set by the terminal classification unit.
(Appendix 3)
3. The master device according to claim 2, wherein the policy indicates that communication between the same group and between different groups is permitted, while a log is to be acquired for communication between the different groups.
(Appendix 4)
The master device further comprises:
4. The master device according to claim 1, further comprising: a change receiving unit that displays a group classified by the terminal classification unit together with connection information acquired by the information acquisition unit for the terminal, and receives changes to the group.
(Appendix 5)
The master device further comprises:
A master device as described in any one of Appendices 1 to 4, comprising a tree display unit that displays tree structure data in which each of the multiple zones is a node, each of the multiple edge devices is a child node with the node of the zone in which it is installed as a parent, and the terminal is a child node with the node of the edge device from which the connection information was obtained as a parent.
(Appendix 6)
6. The master device according to claim 5, wherein the tree display unit changes the display of the node of the terminal according to a state of the terminal.
(Appendix 7)
The computer accepts an input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of a plurality of edge devices being a target edge device;
A computer acquires connection information of a terminal connected to the target edge device from the target edge device;
A communication control method in which a computer sets each of the multiple zones as a group for controlling communications, and classifies a terminal indicated by the connection information into a group of zones indicated by the installation information in which the edge device from which the connection information was obtained is installed.
(Appendix 8)
a zone reception process for receiving input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of the plurality of edge devices being a target edge device;
an information acquisition process for acquiring connection information of a terminal connected to the target edge device from the target edge device;
A communication control program that causes a computer to function as a master device that sets each of the multiple zones as a group for controlling communications, and performs a terminal classification process that classifies a terminal indicated by the connection information acquired by the information acquisition process into a zone group indicated by the installation information accepted by the zone acceptance process, in which the edge device from which the connection information was acquired is installed.
(Appendix 9)
A communication control system including a plurality of edge devices and a master device,
The master device
a zone receiving unit configured to receive input of installation information indicating in which of a plurality of zones the target edge device is installed, the target edge device being regarded as a target edge device;
an information acquisition unit that acquires connection information of a terminal connected to the target edge device from the target edge device;
a terminal classification unit that sets each of the plurality of zones as a group for controlling communication, and classifies a terminal indicated by the connection information acquired by the information acquisition unit into a zone group indicated by the installation information accepted by the zone acceptance unit, the zone group including an edge device that has acquired the connection information;
a policy setting unit that sets a policy for controlling communication between the groups by using the groups set by the terminal classification unit;
a setting transmission unit that transmits the policy set by the policy setting unit to each of the plurality of edge devices,
Each of the plurality of edge devices
A communication control system comprising a communication control unit that controls communication between terminals based on the policy transmitted by the setting transmission unit.

以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。 The above describes the embodiments and modifications of the present disclosure. Some of these embodiments and modifications may be combined and implemented. Also, one or some of them may be implemented partially. Note that the present disclosure is not limited to the above embodiments and modifications, and various modifications are possible as necessary.

1 通信制御システム、10 マスター装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、111 ゾーン受付部、112 ツリー表示部、113 情報取得部、114 端末分類部、115 変更受付部、116 ポリシー設定部、117 設定送信部、20 エッジ装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、211 アドレス取得部、212 情報送信部、213 設定受信部、214 通信制御部、215 ログ取得部、30 端末、40 ゾーン、50 アセットツリー、61 アドレス、62 端末情報、63 接続情報、64 ポリシー、90 ネットワーク機器。 1 Communication control system, 10 Master device, 11 Processor, 12 Memory, 13 Storage, 14 Communication interface, 111 Zone reception unit, 112 Tree display unit, 113 Information acquisition unit, 114 Terminal classification unit, 115 Change reception unit, 116 Policy setting unit, 117 Setting transmission unit, 20 Edge device, 21 Processor, 22 Memory, 23 Storage, 24 Communication interface, 211 Address acquisition unit, 212 Information transmission unit, 213 Setting reception unit, 214 Communication control unit, 215 Log acquisition unit, 30 Terminal, 40 Zone, 50 Asset tree, 61 Address, 62 Terminal information, 63 Connection information, 64 Policy, 90 Network device.

Claims (10)

複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付部と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得部と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得部によって取得された前記接続情報が示す端末を、前記ゾーン受付部によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類部と
を備えるマスター装置。 a zone receiving unit that receives input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of the plurality of edge devices being a target edge device;
an information acquisition unit that acquires connection information of a terminal connected to the target edge device from the target edge device;
a master device that sets each of the multiple zones as a group for controlling communications, and that is equipped with a terminal classification unit that classifies a terminal indicated by the connection information acquired by the information acquisition unit into a group of zones indicated by the installation information accepted by the zone acceptance unit, in which the edge device from which the connection information was acquired is installed. 前記マスター装置は、さらに、
前記端末分類部によって設定された前記グループを用いて、グループ間の通信を制御するためのポリシーを設定するポリシー設定部
を備える請求項1に記載のマスター装置。 The master device further comprises:
The master device according to claim 1 , further comprising a policy setting unit that uses the groups set by the terminal classification unit to set a policy for controlling communication between groups. 前記ポリシーは、同一グループ間及び異なるグループ間の通信を許可しつつ、前記異なるグループ間の通信についてはログを取得することを示す
請求項2に記載のマスター装置。 The master device according to claim 2 , wherein the policy indicates that communications between the same group and between different groups are permitted, while a log is to be acquired for communications between the different groups. 前記マスター装置は、さらに、
前記端末について、前記情報取得部によって取得された接続情報とともに、前記端末分類部によって分類されたグループを表示して、グループの変更を受け付ける変更受付部
を備える請求項1に記載のマスター装置。 The master device further comprises:
The master device according to claim 1 , further comprising: a change acceptance unit that displays, for the terminal, the group classified by the terminal classification unit together with the connection information acquired by the information acquisition unit, and accepts a change to the group. 前記マスター装置は、さらに、The master device further comprises:
前記複数のエッジ装置それぞれを設置されたゾーンを親とする子とし、前記端末を前記接続情報の取得元のエッジ装置を親とする子とする構造データを表示する表示部A display unit that displays structure data in which each of the plurality of edge devices is treated as a child of a zone in which the device is installed as a parent, and the terminal is treated as a child of an edge device that is a source of the connection information.
を備える請求項1に記載のマスター装置。The master device of claim 1 . 前記マスター装置は、さらに、
前記複数のゾーンそれぞれをノードとし、前記複数のエッジ装置それぞれを設置されたゾーンのノードを親とする子のノードとし、前記端末を前記接続情報の取得元のエッジ装置のノードを親とする子のノードとするツリー構造データを表示するツリー表示部
を備える請求項1に記載のマスター装置。 The master device further comprises:
The master device according to claim 1, further comprising a tree display unit that displays tree structure data in which each of the plurality of zones is a node, each of the plurality of edge devices is a child node with the node of the zone in which it is installed as a parent, and the terminal is a child node with the node of the edge device from which the connection information was obtained as a parent. 前記ツリー表示部は、前記端末のノードの表示を、前記端末の状態に応じて変化させる請求項に記載のマスター装置。 7. The master device according to claim 6 , wherein the tree display section changes the display of the node of the terminal according to the state of the terminal. コンピュータが、複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付け、
コンピュータが、前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得し、
コンピュータが、前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記接続情報が示す端末を、前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する通信制御方法。 The computer accepts input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of a plurality of edge devices being a target edge device;
A computer acquires connection information of a terminal connected to the target edge device from the target edge device;
A communication control method in which a computer sets each of the multiple zones as a group for controlling communications, and classifies a terminal indicated by the connection information into a group of zones indicated by the installation information in which the edge device from which the connection information was obtained is installed. 複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付処理と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得処理と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得処理によって取得された前記接続情報が示す端末を、前記ゾーン受付処理によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類処理と
を行うマスター装置としてコンピュータを機能させる通信制御プログラム。 a zone reception process for receiving input of installation information indicating in which of a plurality of zones the target edge device is installed, with each of the plurality of edge devices being a target edge device;
an information acquisition process for acquiring connection information of a terminal connected to the target edge device from the target edge device;
A communication control program that causes a computer to function as a master device that sets each of the multiple zones as a group for controlling communications, and performs a terminal classification process that classifies a terminal indicated by the connection information acquired by the information acquisition process into a zone group indicated by the installation information accepted by the zone acceptance process, in which the edge device from which the connection information was acquired is installed. 複数のエッジ装置と、マスター装置とを備える通信制御システムであり、
前記マスター装置は、
前記複数のエッジ装置それぞれを対象のエッジ装置として、複数のゾーンのうちどのゾーンに前記対象のエッジ装置が設置されているかを示す設置情報の入力を受け付けるゾーン受付部と、
前記対象のエッジ装置に接続された端末の接続情報を前記対象のエッジ装置から取得する情報取得部と、
前記複数のゾーンそれぞれを通信の制御を行うためのグループとして設定するとともに、前記情報取得部によって取得された前記接続情報が示す端末を、前記ゾーン受付部によって受け付けされた前記設置情報が示すゾーンであって、前記接続情報の取得元のエッジ装置が設置されているゾーンのグループに分類する端末分類部と、
前記端末分類部によって設定された前記グループを用いて、グループ間の通信を制御するためのポリシーを設定するポリシー設定部と、
前記ポリシー設定部によって設定された前記ポリシーを前記複数のエッジ装置それぞれに送信する設定送信部と
を備え、
前記複数のエッジ装置それぞれは、
前記設定送信部によって送信された前記ポリシーに基づき、端末間の通信を制御する通信制御部
を備える通信制御システム。 A communication control system including a plurality of edge devices and a master device,
The master device
a zone receiving unit configured to receive input of installation information indicating in which of a plurality of zones the target edge device is installed, the target edge device being regarded as a target edge device;
an information acquisition unit that acquires connection information of a terminal connected to the target edge device from the target edge device;
a terminal classification unit that sets each of the plurality of zones as a group for controlling communication, and classifies a terminal indicated by the connection information acquired by the information acquisition unit into a zone group indicated by the installation information accepted by the zone acceptance unit, the zone group including an edge device that has acquired the connection information;
a policy setting unit that sets a policy for controlling communication between the groups by using the groups set by the terminal classification unit;
a setting transmission unit that transmits the policy set by the policy setting unit to each of the plurality of edge devices,
Each of the plurality of edge devices
A communication control system comprising a communication control unit that controls communication between terminals based on the policy transmitted by the setting transmission unit.
JP2023200602A 2023-11-28 2023-11-28 Master device, communication control method, communication control program, and communication control system Active JP7614306B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023200602A JP7614306B1 (en) 2023-11-28 2023-11-28 Master device, communication control method, communication control program, and communication control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2023200602A JP7614306B1 (en) 2023-11-28 2023-11-28 Master device, communication control method, communication control program, and communication control system

Publications (2)

Publication Number Publication Date
JP7614306B1 true JP7614306B1 (en) 2025-01-15
JP2025086551A JP2025086551A (en) 2025-06-09

Family

ID=94213857

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023200602A Active JP7614306B1 (en) 2023-11-28 2023-11-28 Master device, communication control method, communication control program, and communication control system

Country Status (1)

Country Link
JP (1) JP7614306B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190089741A1 (en) 2017-09-18 2019-03-21 Veracity Security Intelligence, Inc. Network asset characterization, classification, grouping and control
US20190108013A1 (en) 2017-10-06 2019-04-11 Johnson Controls Technology Company Building management system with plug and play device registration and configuration
US20210352110A1 (en) 2020-05-08 2021-11-11 Rockwell Automation Technologies, Inc. Automatic endpoint security policy assignment by zero-touch enrollment
US20220006839A1 (en) 2020-07-02 2022-01-06 Sentara Healthcare Robust and secure cloud-based platform for data processing and management
JP7209792B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190089741A1 (en) 2017-09-18 2019-03-21 Veracity Security Intelligence, Inc. Network asset characterization, classification, grouping and control
US20190108013A1 (en) 2017-10-06 2019-04-11 Johnson Controls Technology Company Building management system with plug and play device registration and configuration
US20210352110A1 (en) 2020-05-08 2021-11-11 Rockwell Automation Technologies, Inc. Automatic endpoint security policy assignment by zero-touch enrollment
US20220006839A1 (en) 2020-07-02 2022-01-06 Sentara Healthcare Robust and secure cloud-based platform for data processing and management
JP7209792B1 (en) 2021-09-27 2023-01-20 三菱電機株式会社 Master device, communication control method, communication control program and communication control system

Also Published As

Publication number Publication date
JP2025086551A (en) 2025-06-09

Similar Documents

Publication Publication Date Title
US6288645B1 (en) Electronic location tag
WO2019179026A1 (en) Electronic device, method for automatically generating cluster access domain name, and storage medium
CN114902627A (en) Defining WAN policies for Internet of things endpoint automation software
JP6917482B2 (en) Communication control system, master device, communication control method and communication control program
US8010684B1 (en) Redirection gateway
CN104657690A (en) External equipment control method and device
CN112347329B (en) Data processing methods, devices, storage media and equipment
US7793010B2 (en) Bus system with multiple modes of operation
US20180324222A1 (en) Testing distributed applications that have an established exchange in an advanced message queuing protocol (amqp) message broker
US7827343B2 (en) Method and apparatus for providing accelerator support in a bus protocol
JP7209792B1 (en) Master device, communication control method, communication control program and communication control system
CN112204527A (en) Method and system for processing engineering data in a multi-engineering system environment
JP7614306B1 (en) Master device, communication control method, communication control program, and communication control system
US8776098B2 (en) Exchanging data using data transformation
US6591320B1 (en) Method and system for selective disablement of expansion bus slots in a multibus data processing system
CN112035239A (en) Task scheduling method and device, terminal equipment and storage medium
CN117134948A (en) Method, storage medium and device for realizing application firewall of embedded device
TWI411921B (en) Electronic systems, computer-readable storage medium and methods for interconnecting peripheral devices and electronic systems
CN114500688A (en) Method, device, terminal and storage medium for identifying device protocol
US20060294072A1 (en) Extensible workflows
JP7209791B1 (en) Master device, communication control method, communication control program and communication control system
US20120110147A1 (en) Using wireless technology to direct complex wiring configurations
JP7573693B1 (en) Edge device, communication control method, communication control program, and communication control system
JP7573692B1 (en) Master device, communication control method, communication control program, and communication control system
CN113765915B (en) Network event analysis method, system, readable storage medium and computer equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240910

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241226

R150 Certificate of patent or registration of utility model

Ref document number: 7614306

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360