JP2014068293A - Monitoring device, monitoring system, program, and monitoring method - Google Patents
Monitoring device, monitoring system, program, and monitoring method Download PDFInfo
- Publication number
- JP2014068293A JP2014068293A JP2012213598A JP2012213598A JP2014068293A JP 2014068293 A JP2014068293 A JP 2014068293A JP 2012213598 A JP2012213598 A JP 2012213598A JP 2012213598 A JP2012213598 A JP 2012213598A JP 2014068293 A JP2014068293 A JP 2014068293A
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- network
- monitoring
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012806 monitoring device Methods 0.000 title claims abstract description 36
- 238000012544 monitoring process Methods 0.000 title claims description 129
- 238000004891 communication Methods 0.000 claims abstract description 340
- 238000010586 diagram Methods 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 14
- 238000005259 measurement Methods 0.000 description 5
- 238000005265 energy consumption Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000004378 air conditioning Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000000872 buffer Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、エネルギー管理システムにおける監視装置、監視システム、プログラム、及び監視方法に関する。 The present invention relates to a monitoring device, a monitoring system, a program, and a monitoring method in an energy management system.
建物の設備機器の監視や制御を行うことで建物のエネルギー消費を管理するエネルギー管理システム(例えば、BEMS(Building and Energy Management System)など)が知られている。 2. Description of the Related Art An energy management system (for example, BEMS (Building and Energy Management System)) that manages energy consumption of a building by monitoring and controlling building equipment is known.
また、顧客の建物のエネルギー管理システムを、クラウトシステムなどのシステムにより遠隔から管理することで、顧客に対してエネルギー管理の支援サービスを提供するエネルギー管理支援システムが知られている。 In addition, an energy management support system that provides an energy management support service to a customer by remotely managing the energy management system of the customer's building by a system such as a kraut system is known.
例えば、特許文献1には、顧客施設内の設備機器の運転状態や室内環境に関するデータが顧客施設の外部のサービス提供施設に送られ、サービス提供施設が顧客施設内の設備機器を最適化制御するための支援を行うことが記載されている。
For example, in
ところで、近年エネルギー管理の重要性が高まる中、建物内の設備機器だけでなく、PC(Personal Computer)やサーバなどのいわゆるIT(Information Technology)機器についても統合的に管理して、管理を効率化したいという要望が高まっている。また、インターネットなどのネットワークを介して設備機器を遠隔操作することができるシステムでは、従来想定されていない設備機器の不正操作などのセキュリティリスクが高まっている。そのため、設備機器を含むネットワーク全体を統合的に監視することが求められている。 By the way, as energy management has become increasingly important in recent years, not only equipment in buildings but also so-called IT (Information Technology) devices such as PCs (Personal Computers) and servers are managed in an integrated manner to improve management efficiency. The desire to do so is growing. Further, in a system that can remotely operate facility equipment via a network such as the Internet, security risks such as unauthorized operation of facility equipment that have not been assumed in the past have increased. For this reason, it is required to monitor the entire network including equipment in an integrated manner.
そこで、本発明は、エネルギー管理システムにおいて、設備機器及びIT機器を統合的に管理することを目的とする。 Then, an object of this invention is to manage an installation apparatus and IT apparatus integratedly in an energy management system.
本願は、上記課題の少なくとも一部を解決する手段を複数含んでいるが、その例を挙げるならば、以下のとおりである。 The present application includes a plurality of means for solving at least a part of the above-described problems. Examples of such means are as follows.
上記の課題を解決するための本発明の第一の態様は、監視装置であって、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有する、ことを特徴とする。 A first aspect of the present invention for solving the above-described problem is a monitoring device, which is connected to an energy management system including an IT device, a facility device, and a control device that controls the facility device, and the IT device And a first acquisition unit that acquires first route information for specifying a communication route on a first network to which the control device is connected, and a network to which the facility device and the control device are connected, A second acquisition unit for acquiring second route information for specifying a communication route on a second network having a communication method different from that of the first network; the first route information and the second route information; Based on the system configuration information generating unit for generating system configuration information for specifying the connection relationship between the IT device, the equipment, and the control device, and based on the system configuration information, IT equipment, the equipment, and and an output unit for outputting the display information indicating a connection relationship between the control device, it is characterized.
上記の監視装置は、前記第一のネットワーク上の通信をキャプチャするキャプチャ部と、前記第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集部と、前記キャプチャ部によりキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する経路情報を生成する第一の生成部と、前記ログ収集部により収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する経路情報を生成する第二の生成部と、を有し、前記第一の取得部は、前記第一の生成部が生成した経路情報を前記第一の経路情報として取得し、前記第二の取得部は、前記第二の生成部が生成した経路情報を前記第二の経路情報として取得する、ことを特徴としてもよい。 The monitoring device is captured by the capture unit that captures communication on the first network, the log collection unit that collects log information of communication on the second network from the control device, and the capture unit. Based on the captured information, a first generation unit that generates path information for specifying a communication path on the first network, and the second network based on the log information collected by the log collection unit A second generation unit that generates route information that identifies the upper communication route, and the first acquisition unit uses the route information generated by the first generation unit as the first route information. The second acquisition unit may acquire the route information generated by the second generation unit as the second route information.
上記の監視装置は、宛先のアドレス情報と、当該宛先へのアクセスが許可される送信元のアドレス情報とを関連付けたアクセス許可情報を取得する第三の取得部と、前記第一のネットワーク上の通信を監視し、当該通信に含まれるアドレス情報と、前記アクセス情報に含まれるアドレス情報とに基づいて、当該通信のアクセスが許可されているか否かを監視する第一の監視部と、を有し、前記出力部は、前記第一の監視部により許可されていないと判定された通信を特定する表示情報を出力する、ことを特徴としてもよい。 The monitoring apparatus includes a third acquisition unit that acquires access permission information in which address information of a destination is associated with address information of a transmission source that is permitted to access the destination, and on the first network A first monitoring unit that monitors communication and monitors whether or not access to the communication is permitted based on the address information included in the communication and the address information included in the access information. Then, the output unit may output display information for identifying communication determined not to be permitted by the first monitoring unit.
上記の監視装置は、前記第一のネットワーク上の通信経路及び前記第二ネットワーク上の通信経路ごとに、当該通信経路上の通信に関するパラメータと比較するための閾値を関連付けた閾値情報を取得する第四の取得部と、前記第一のネットワーク上の通信経路及び前記第二のネットワーク上の通信経路を監視し、前記通信経路ごとに、当該通信経路における通信に関する前記パラメータを求め、前記閾値情報に基づいて当該パラメータが前記閾値を超えているか否かを判定する第二の監視部と、を有し、前記出力部は、前記第二の監視部により前記閾値を超えていると判定された通信経路を特定する表示情報を出力する、ことを特徴としてもよい。 The monitoring device acquires threshold information that associates a threshold for comparing with a parameter related to communication on the communication path for each communication path on the first network and communication path on the second network. Four acquisition units, a communication path on the first network, and a communication path on the second network, and for each of the communication paths, obtain the parameters related to communication in the communication path, and A second monitoring unit that determines whether or not the parameter exceeds the threshold value, and the output unit is a communication that is determined by the second monitoring unit to exceed the threshold value The display information for specifying the route may be output.
上記の監視装置は、前記出力部により出力される前記接続関係を表す表示情報に対する入力を受け付ける入力部を有し、前記出力部は、前記IT機器、前記設備機器、及び前記制御装置に対応するオブジェクトと、前記オブジェクト間のリンクと、により前記接続関係を表す表示情報を出力し、前記入力部は、前記オブジェクトについて、関連するファイルを特定する情報の設定を受け付けて保持し、前記出力部は、前記ファイルを特定する情報が設定されたオブジェクトに関連付けて、当該ファイル内容を表す表示情報を出力する、ことを特徴としてもよい。 Said monitoring apparatus has an input part which receives the input with respect to the display information showing the said connection relation output by the said output part, and the said output part respond | corresponds to the said IT apparatus, the said equipment, and the said control apparatus Display information representing the connection relationship is output by an object and a link between the objects, and the input unit accepts and holds a setting of information specifying a related file for the object, and the output unit The display information representing the contents of the file may be output in association with an object for which information specifying the file is set.
上記の監視装置であって、前記出力部は、前記システム構成情報に基づいて、前記IT機器及び前記制御装置の接続関係に関連付けて前記第一のネットワークの範囲を表す表示情報を出力し、前記制御装置及び前記設備機器の接続関係に関連付けて前記第二のネットワークの範囲を表す表示情報を出力する、ことを特徴としてもよい。 In the above monitoring device, the output unit outputs display information representing the range of the first network in association with the connection relationship between the IT device and the control device based on the system configuration information, and Display information indicating the range of the second network may be output in association with the connection relationship between the control device and the facility device.
上記の課題を解決するための本発明の第二の態様は、監視システムであって、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続される監視装置と、前記エネルギー管理システムに接続される端末とを備え、前記監視装置は、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有し、前記端末は、前記出力部から出力された表示情報を表示する表示部を有する、ことを特徴とする。 A second aspect of the present invention for solving the above problems is a monitoring system, which is a monitoring device connected to an energy management system including an IT device, a facility device, and a control device that controls the facility device; And a terminal connected to the energy management system, wherein the monitoring device acquires first route information for specifying a communication route on a first network to which the IT device and the control device are connected. Second route information for specifying a communication route on a second network, which is a network to which the one acquisition unit, the facility device, and the control device are connected and has a communication method different from that of the first network. Based on the second acquisition unit to be acquired, the first route information, and the second route information, a system for specifying a connection relationship between the IT device, the facility device, and the control device. A system configuration information generation unit that generates system configuration information, and an output unit that outputs display information indicating the connection relationship between the IT device, the facility device, and the control device based on the system configuration information. The terminal includes a display unit that displays the display information output from the output unit.
上記の課題を解決するための本発明の第三の態様は、監視装置のプログラムであって、前記監視装置は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、前記プログラムは、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を前記監視装置に実行させる、ことを特徴とする。 A third aspect of the present invention for solving the above problems is a program for a monitoring device, wherein the monitoring device includes an IT device, a facility device, and a control device that controls the facility device. A first acquisition step of acquiring first route information for specifying a communication route on a first network to which the IT device and the control device are connected; the facility device; and A second acquisition step of acquiring second path information for specifying a communication path on a second network, which is a network to which the control device is connected and has a communication method different from that of the first network; Based on the one route information and the second route information, a system configuration information for specifying a connection relationship between the IT device, the facility device, and the control device is generated. Causing the monitoring device to execute a system configuration information generation step and an output step of outputting display information indicating a connection relationship between the IT device, the equipment device, and the control device based on the system configuration information. It is characterized by.
上記の課題を解決するための本発明の第四の態様は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムの監視方法であって、前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を含む、ことを特徴とする。 A fourth aspect of the present invention for solving the above problems is a monitoring method of an energy management system including IT equipment, equipment, and a control device for controlling the equipment, wherein the IT equipment and the control A first acquisition step of acquiring first route information for specifying a communication route on a first network to which the device is connected; and a network to which the facility device and the control device are connected, wherein the first A second acquisition step of acquiring second route information for specifying a communication route on a second network having a communication method different from that of the first network, based on the first route information and the second route information A system configuration information generating step for generating system configuration information for specifying a connection relationship between the IT equipment, the equipment, and the control device, and based on the system configuration information Te, the IT equipment, the equipment, and an output step of outputting the display information indicating a connection relationship between the control device, characterized in that.
上記した以外の課題、構成、及び効果は、以下の実施形態の説明により明らかにされる。 Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.
以下、本発明の一実施形態について、図面を参照して説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態に係るエネルギー管理システム1のシステム構成の一例を示す図である。
FIG. 1 is a diagram illustrating an example of a system configuration of an
エネルギー管理システム1では、BEMSなどのエネルギー管理システムが構築された顧客施設10と、顧客施設10に対してエネルギー管理に関する支援サービスを提供するサービス提供施設20とが、インターネット40を介して接続されている。
In the
顧客施設10には、管理サーバ11と、管理端末12と、エネルギー制御装置14と、設備機器15と、計測機器16とが含まれている。なお、設備機器15及び計測機器16は、それぞれ一以上含まれている。
The
管理サーバ11、管理端末12、及びエネルギー制御装置14は、いわゆるIT機器としての機能を備えており、ネットワーク(以下、「IT機器ネットワーク」ともいう。)を介して互いに通信可能である。IT機器ネットワークは、例えば、IEEE802.3の規格のLANであり、ルーターなどの通信機器を介して、インターネット40に接続されている。IT機器ネットワークでは、通信プロトコルとして、例えば、IP(Internet Protocol)などが用いられる。
The
エネルギー制御装置14は、設備機器15及び計測機器16と、ネットワーク(以下、「設備機器ネットワーク」ともいう。)を介して互いに通信可能である。設備機器ネットワークは、エネルギー制御装置14を介してIT機器ネットワークと接続されており、IT機器が、直接的に設備機器15及び計測機器16にアクセスできないようになっている。すなわち、設備機器ネットワークでは、IT機器ネットワークとは異なる既存の通信プロトコルが用いられる。
The
設備機器15は、例えば、ガス設備、電気設備、空調設備などの建物の所要の場所に設置された設備を構成する機器である。また、計測機器16は、各設備の所要の場所に設けられ、各設備や設備機器15の消費エネルギーなどの運転状態や、温度などの環境に関する情報を計測する機器である。なお、設備機器及び計測機器の両方を含めて、単に設備機器と呼んでもよい。
The
エネルギー制御装置14は、設備機器15及び計測機器16の運転状態の監視、制御などを行う装置であり、ビルコントローラーなどとも呼ばれる。エネルギー制御装置14は、設備機器15及び計測機器16の個々を監視、制御するコントローラーを集約していてもよい。また、エネルギー制御装置14は、設備機器15及び計測機器16から取得した情報を、管理サーバ11又は遠隔管理サーバ21に送信できる。また、エネルギー制御装置14は、管理サーバ11又は遠隔管理サーバ21から、設備機器15及び計測機器16の動作を直接的または間接的に決める制御パラメータ値を受信し、この制御パラメータ値に基づいて、設備機器15及び計測機器16を制御することができる。
The
本実施形態では、エネルギー制御装置14は、設備機器15及び計測機器16との通信のログを記録することができるようになっている。また、ログ情報をIT機器ネットワーク側に送信することができるようになっている。ログ情報には、例えば、通信した宛先の設備機器15及び計測機器16の識別情報、宛先との通信内容(日付時刻、通信種別、データ量など)などが含まれる。
In the present embodiment, the
管理サーバ11は、エネルギー制御装置14を制御する。管理サーバ11は、例えば、エネルギー制御装置14を介して設備機器15及び計測機器16の情報を取得する。また、例えば、取得した情報に基づいて、設備機器15の消費エネルギーなどの情報を含むグラフを生成し、管理端末12に出力して表示させる。また、管理サーバ11は、管理端末12を介して制御パラメータ値などの入力を受け付け、エネルギー制御装置14に送信してもよい。また、管理サーバ11は、設備機器15及び計測機器16の情報を、遠隔管理サーバ21に送信してもよい。
The
管理端末12は、管理サーバ11を操作するための装置である。顧客側管理者13は、管理端末12を介して管理サーバ11を操作することで、エネルギー情報の確認や、設備機器15の制御などを行うことができる。管理サーバ11を用いることにより、顧客施設10に、いわゆるBEMSが構築される。
The
サービス提供施設20には、遠隔管理サーバ21と、管理端末22とが含まれている。これらは、LANなどのネットワークを介して接続されている。
The
遠隔管理サーバ21及び管理端末22は、いわゆるIT機器としての機能を備えており、ネットワーク(以下、「IT機器ネットワーク」ともいう。)を介して互いに通信可能である。IT機器ネットワークは、例えば、LANであり、ルーターなどの通信機器を介して、インターネット40に接続されている。
The
遠隔管理サーバ21は、顧客施設10に対するエネルギー管理支援を行う。遠隔管理サーバ21は、例えば、管理サーバ11又はエネルギー制御装置14から、設備機器15及び計測機器16の情報を取得する。また、例えば、取得した情報に基づいて、分析、評価、シミュレーションなどを行って、省エネルギー効果の高い制御を行うための制御パラメータ値を生成し、管理サーバ11又はエネルギー制御装置14に送信する。
The
管理端末22は、遠隔管理サーバ21を操作するための装置である。サービス側管理者23は、管理端末22を介して遠隔管理サーバ21を操作することで、エネルギー情報の確認や、分析、評価、シミュレーションなどに関する入力などを行うことができる。このように、遠隔管理サーバ21により、顧客施設10に対するエネルギー管理支援が提供される。
The
本実施形態では、上述のようにBEMSが構築された顧客施設10内に、通信監視装置100が設置され、IT機器ネットワークに接続される。詳細は後述するが、通信監視装置100は、IT機器ネットワーク及び設備機器ネットワークの情報を収集し、収集した情報に基づいて、IT機器ネットワーク及び設備機器ネットワークを統合したシステム構成情報を生成する。また、IT機器ネットワーク及び設備機器ネットワークを統合したシステムにおける、不正通信(例えば、不正アクセス者51による、インターネット40に接続された端末50からの管理サーバ11、管理端末12、エネルギー制御装置14などに対する攻撃が考えられる。)の監視を行う。通信監視装置100を用いることにより、エネルギー管理システム1を監視する監視システムが構築される。
In this embodiment, the
上記の図1のエネルギー管理システム1の構成は、本願発明の特徴を説明するにあたって主要構成を説明したのであって、上記の構成に限られない。また、一般的なエネルギー管理システムが備える構成を排除するものではない。
The configuration of the
図2は、通信監視装置100の機能構成の一例を示す図である。
FIG. 2 is a diagram illustrating an example of a functional configuration of the
通信監視装置100は、制御部110と、記憶部180と、通信部230とを有する。
The
記憶部180には、通信情報記憶部190と、システム構成情報記憶部200と、監視ルール記憶部210と、アクセスリスト記憶部220とが含まれる。
The
通信情報記憶部190は、顧客施設10のIT機器ネットワーク上の通信に関する情報(以下、「通信情報」ともいう。)と、設備機器ネットワーク上の通信情報とを格納する。
The communication
IT機器ネットワークの通信情報は、例えば、図3(通信情報テーブル191の一例を示す図)に示すように構成される。通信情報テーブル191には、送信元アドレス情報1911と、宛先アドレス情報1912と、通信データ量1913と、通信頻度1914と、を関連付けたレコードが格納される。
The communication information of the IT equipment network is configured as shown in FIG. 3 (a diagram showing an example of the communication information table 191), for example. The communication information table 191 stores a record in which transmission
送信元アドレス情報1911及び宛先アドレス情報1912は、送信元及び宛先を特定するアドレス情報であり、例えば、IPアドレスである。通信データ量1913は、送信元アドレス情報1911及び宛先アドレス情報1912で特定される通信(「通信経路」と呼んでもよい。)のデータ量であり、例えば、当該通信の単位時間あたりのデータ量である。通信頻度1914は、送信元アドレス情報1911及び宛先アドレス情報1912で特定される通信の頻度であり、例えば、当該通信の単位時間あたりのIPパケットの数である。
The
設備機器ネットワークの通信情報は、例えば、図4(通信情報テーブル192の一例を示す図)に示すように構成される。通信情報テーブル192には、エネルギー制御装置ID1921と、機器ID1922と、通信データ量1923と、通信頻度1924と、を関連付けたレコードが格納される。
The communication information of the facility device network is configured as shown in FIG. 4 (a diagram showing an example of the communication information table 192), for example. The communication information table 192 stores a record in which the energy
エネルギー制御装置ID1921は、エネルギー制御装置14の識別情報であり、例えば、IPアドレスである。機器ID1922は、設備機器15及び計測機器16の識別情報であり、例えば、エネルギー制御装置ID1921が各機器の監視、制御に使用している各機器のIDである。通信データ量1923は、エネルギー制御装置ID1921及び機器ID1922で特定される通信(「通信経路」と呼んでもよい。)のデータ量であり、例えば、当該通信の単位時間あたりのデータ量である。通信頻度1924は、エネルギー制御装置ID1921及び機器ID1922で特定される通信の頻度であり、例えば、当該通信の単位時間あたりの通信パケットなどの通信単位の数である。
The energy
なお、上述した通信データ量や通信頻度は、後述する不正通信の監視において使用される尺度である。ただし、不正通信の監視ができれば、使用する尺度は、通信データ量や通信頻度に限定されるものではない。また、使用する尺度は、一つでも複数でもよい。また、不正通信の監視ができれば、通信データ量や通信頻度の定義は、上述した定義に限られない。例えば、通信データ量は、一連の通信(一回の通信)ごとのデータ量の平均や最大値であってもよし、通信頻度は、単位時間あたりの一連の通信の回数であってもよい。 Note that the communication data amount and communication frequency described above are measures used in monitoring unauthorized communication described later. However, if unauthorized communication can be monitored, the scale to be used is not limited to the communication data amount or the communication frequency. One or more scales may be used. If unauthorized communication can be monitored, the definition of communication data amount and communication frequency is not limited to the above-described definitions. For example, the communication data amount may be the average or maximum value of the data amount for each series of communications (one communication), and the communication frequency may be the number of series communications per unit time.
図2に戻って、システム構成情報記憶部200は、顧客施設10のIT機器ネットワーク及び設備機器ネットワークの両方を含むシステムの構成情報(以下、「システム構成情報」ともいう。)を格納する。
Returning to FIG. 2, the system configuration
システム構成情報は、例えば、図5(システム構成テーブル201の一例を示す図)に示すように構成される。システム構成テーブル201には、構成要素ID2011と、名称2012と、補足情報2013と、オブジェクト情報2014と、接続関係2015と、を関連付けたレコードが格納される。
The system configuration information is configured as shown in FIG. 5 (a diagram showing an example of the system configuration table 201), for example. The system configuration table 201 stores a record in which a
構成要素ID2011は、システムを構成する各構成要素(IT機器、設備機器等)の識別情報であり、例えば、上述したIPアドレスや機器IDなどである。名称2012は、構成要素ID2011で特定される構成要素の名称であり、例えば、文字列などである。補足情報2013は、構成要素に関する補足情報であり、例えば、文字列、関連ファイルへのパスなどである。オブジェクト情報2014は、構成要素に対応するオブジェクトを表示する画面上の位置、当該オブジェクトの大きさなどを特定する情報である。接続関係2015は、構成要素ID2011で特定される構成要素の他の構成要素との接続関係を特定する情報であり、例えば、当該他の構成要素の構成要素IDである。
The
図2に戻って、監視ルール記憶部210は、顧客施設10のIT機器ネットワーク上の不正通信の監視ルールと、設備機器ネットワーク上の不正通信の監視ルールとを格納する。
Returning to FIG. 2, the monitoring
IT機器ネットワークの監視ルールは、例えば、図6(監視ルールテーブル211の一例を示す図)に示すように構成される。監視ルールテーブル211には、送信元アドレス情報2111と、宛先アドレス情報2112と、通信データ量閾値2113と、通信頻度閾値2114と、を関連付けたレコードが格納される。
The IT device network monitoring rule is configured as shown in FIG. 6 (an example of the monitoring rule table 211), for example. The monitoring rule table 211 stores a record in which source address
送信元アドレス情報2111及び宛先アドレス情報2112は、監視対象の通信を特定する送信元アドレス及び宛先アドレスである。通信データ量閾値2113は、送信元アドレス情報2111及び宛先アドレス情報2112で特定される通信が不正通信であるか否かを判定するための通信データ量の閾値である。通信頻度閾値2114は、送信元アドレス情報2111及び宛先アドレス情報2112で特定される通信が不正通信であるか否かを判定するための通信頻度の閾値である。
The
設備機器ネットワークの監視ルールは、例えば、図7(監視ルールテーブル212の一例を示す図)に示すように構成される。監視ルールテーブル212には、エネルギー制御装置ID2121と、機器ID2122と、通信データ量閾値2123と、通信頻度閾値2124と、を関連付けたレコードが格納される。
The equipment device network monitoring rules are configured as shown in FIG. 7 (an example of the monitoring rule table 212), for example. The monitoring rule table 212 stores a record in which the energy
エネルギー制御装置ID2121及び機器ID2122は、監視対象の通信を特定するエネルギー制御装置14のIPアドレス及び機器IDである。通信データ量閾値2123は、エネルギー制御装置ID2121及び機器ID2122で特定される通信が不正通信であるか否かを判定するための通信データ量の閾値である。通信頻度閾値2124は、エネルギー制御装置ID2121及び機器ID2122で特定される通信が不正通信であるか否かを判定するための通信頻度の閾値である。
The energy
図2に戻って、アクセスリスト記憶部220は、顧客施設10の宛先のIT機器に対してアクセスが許可される送信元の情報(以下、「アクセスリスト」ともいう。)を格納する。
Returning to FIG. 2, the access
アクセスリストは、例えば、図8(アクセスリスト221の一例を示す図)に示すように構成される。アクセスリスト221には、宛先アドレス情報2211と、許可送信元アドレス情報2212と、を関連付けたレコードが格納される。
For example, the access list is configured as shown in FIG. 8 (a diagram showing an example of the access list 221). The access list 221 stores a record in which
宛先アドレス情報2211及び許可送信元アドレス情報2212は、宛先及び当該宛先に対してアクセスが許可される送信元を特定するアドレス情報であり、例えば、IPアドレスである。
The
なお、上述したアクセスリストは、後述する不正アクセスの監視において使用される。ただし、不正アクセスの監視ができれば、アクセスリストの構成や使用方法は限定されない。例えば、アクセスリストに送信元アドレス(又は宛先アドレス、又は送信元アドレスと宛先アドレスの組み合わせ)を登録し、登録されていない送信アドレスからの通信(又は登録されていない宛先アドレスへの通信、又は登録されていない送信元アドレスと宛先アドレスの組み合わせの通信)を不正アクセスと判断してもよい。また、逆に、登録されている送信アドレスからの通信(又は登録されている宛先アドレスへの通信、又は登録されている送信元アドレスと宛先アドレスの組み合わせの通信)を不正アクセスと判断してもよい。 The access list described above is used in monitoring unauthorized access described later. However, the configuration and usage of the access list are not limited as long as unauthorized access can be monitored. For example, a source address (or destination address or a combination of a source address and a destination address) is registered in the access list, and communication from an unregistered transmission address (or communication to an unregistered destination address or registration) (Communication of a combination of a source address and a destination address that has not been performed) may be determined as unauthorized access. Conversely, even if communication from a registered transmission address (or communication to a registered destination address, or communication of a combination of a registered transmission source address and destination address) is determined as unauthorized access. Good.
図2に戻って、制御部110は、情報生成部120と、キャプチャ部130と、ログ収集部140と、監視部150と、入力制御部160と、出力制御部170とを有する。
Returning to FIG. 2, the
情報生成部120は、キャプチャ部130が収集する顧客施設10のIT機器ネットワーク上の通信のキャプチャ情報に基づいて、通信情報テーブル191を生成する。また、ログ収集部140が収集する顧客施設10の設備機器ネットワーク上の通信のログ情報に基づいて、通信情報テーブル192を生成する。
The
また、情報生成部120は、通信情報テーブル191、通信情報テーブル192、及び入力制御部160を介して取得した入力情報に基づいて、システム構成テーブル201を生成する。また、情報生成部120は、入力制御部160を介して取得した入力情報に基づいて、監視ルールテーブル211、及び監視ルールテーブル212、アクセスリスト221を生成する。
Further, the
キャプチャ部130は、通信部230を介してIT機器ネットワーク上の通信パケットなどをキャプチャし、記憶部180などにバッファリングする。なお、キャプチャ技術は、公知の技術を用いることができる。
The
ログ収集部140は、通信部230を介してエネルギー制御装置14にログ情報を要求し、収集する。そして、記憶部180などにバッファリングする。
The
監視部150は、キャプチャ部130からキャプチャ情報を取得し、取得したキャプチャ情報に基づいて、監視ルールテーブル211に含まれる送信元アドレス情報2111及び宛先アドレス情報2112から特定される通信ごとに、当該通信の通信データ量及び通信頻度を算出し、更新する。また、対応する通信ごとに、更新した通信データ量及び通信頻度と、通信データ量閾値2113及び通信頻度閾値2114とを比較することで、不正通信の発生を監視する。
The
また、監視部150は、ログ収集部140からログ情報を取得し、取得したログ情報に基づいて、監視ルールテーブル212に含まれるエネルギー制御装置ID2121及び機器ID2122から特定される通信ごとに、当該通信の通信データ量及び通信頻度を算出し、更新する。また、対応する通信ごとに、更新した通信データ量及び通信頻度と、通信データ量閾値2123及び通信頻度閾値2124とを比較することで、不正通信の発生を監視する。
In addition, the
また、監視部150は、キャプチャ部130からキャプチャ情報を取得し、取得したキャプチャ情報に基づいて、アクセスリスト221の宛先アドレス情報2211と一致する宛先アドレスを含む通信を特定する。そして、当該特定した通信の送信元アドレスが、許可送信元アドレス情報2212と一致するか否かを判定することで、不正通信の発生を監視する。
In addition, the
入力制御部160は、通信部230を介して、管理端末12又は管理端末22からの情報の入力を制御する。入力制御部160は、例えば、管理端末12又は管理端末22に表示された通信監視装置100を操作するためのユーザーインターフェイス画面に対する入力を受け付ける。なお、入力制御部160は、後述する自装置の入力装置350を介した情報の入力を制御する。
The
出力制御部170は、通信部230を介して、管理端末12又は管理端末22への情報の出力を制御する。出力制御部170は、例えば、通信監視装置100を操作するためのユーザーインターフェイス画面を、管理端末12又は管理端末22に出力する。なお、出力制御部170は、後述する自装置の出力装置360を介した情報の出力を制御してもよい。
The
通信部230は、IT機器ネットワークと接続し、IT機器ネットワークを介した情報の送受信を行う。
The
上述した通信監視装置100は、例えば、図9(コンピューター300のハードウェア構成の一例を示す図)に示すような、CPU(Central Processing Unit)310と、メモリー320と、HDD等の外部記憶装置330と、無線や有線により通信ネットワークに接続するための通信装置340と、マウスやキーボードなどの入力装置350と、液晶ディスプレイなどの出力装置360と、DVD(Digital Versatile Disk)などの記録媒体に対する情報の読書きを行う読書き装置370、を備えるコンピューター300で実現できる。
The
例えば、制御部110は、外部記憶装置330に記憶されている所定のプログラムをメモリー320にロードしてCPU310で実行することで実現可能である。記憶部180は、CPU310がメモリー320又は外部記憶装置330を利用することにより実現可能である。通信部230は、CPU310が通信装置340を利用することで実現可能である。
For example, the
上記の所定のプログラムは、通信装置340を介してネットワークから、外部記憶装置330にダウンロードされ、それから、メモリー320上にロードされてCPU310により実行されるようにしてもよい。また、通信装置340を介してネットワークから、メモリー320上に直接ロードされ、CPU310により実行されるようにしてもよい。また、コンピューター300が、読書き装置370にセットされた記憶媒体から、上記の所定のプログラムを、外部記憶装置330あるいはメモリー320にロードするようにしてもよい。
The predetermined program may be downloaded from the network to the
なお、上述した管理サーバ11、管理端末12、遠隔管理サーバ21、及び管理端末22も、例えば、図9に示すようなコンピューター300で実現することができる。
The
上記の図2の通信監視装置100の構成は、理解容易にするために、主な処理内容に応じて分類したものである。構成要素の分類の仕方や名称によって、本願発明が制限されることはない。通信監視装置100の構成は、処理内容に応じて、さらに多くの構成要素に分類することもできる。また、1つの構成要素がさらに多くの処理を実行するように分類することもできる。また、各構成要素の処理は、1つのハードウェアで実行されてもよいし、複数のハードウェアで実行されてもよい。また、各構成要素の処理は、1つのプログラムで実現されてもよいし、複数のプログラムで実現されてもよい。
The above-described configuration of the
また、上記の図3〜図8の各情報のテーブルは、一例であり、図示した例に限られない。また、各情報は、テーブル構造に限られず、他のデータ構造であってもよい。 Moreover, the table of each information of said FIG. 3-8 is an example, and is not restricted to the illustrated example. Further, each information is not limited to the table structure, but may be another data structure.
次に、上記の通信監視装置100で実現される動作について説明する。
Next, operations realized by the
図10は、通信情報生成処理の一例を示すフロー図である。なお、キャプチャ部130によるキャプチャ処理と、ログ収集部140によるログ情報の収集処理は、例えば、本フローと並列的に実行される。
FIG. 10 is a flowchart illustrating an example of the communication information generation process. Note that the capture process by the
本フローが開始されると、情報生成部120は、キャプチャ部130からキャプチャ情報を取得する(S11)。キャプチャ情報には、例えば、IT機器ネットワーク上を流れるIPパケットの情報などが含まれる。
When this flow is started, the
また、情報生成部120は、ステップS11で取得したキャプチャ情報に基づいて、通信情報を生成する(S12)。具体的には、情報生成部120は、取得したキャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスに対応する送信元アドレス情報1911及び宛先アドレス情報1912が通信情報テーブル191に含まれているか否かを判定する。含まれていない場合、取得した送信元アドレス及び宛先アドレスを含むレコードを通信情報テーブル191に追加する。また、情報生成部120は、取得したキャプチャ情報に含まれるIPパケットに対応するレコードの通信データ量1913及び通信頻度1914を更新する。
Further, the
なお、情報生成部120は、例えば、通信情報テーブル191に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内にキャプチャされた各IPパケットのデータ量を、キャプチャした時刻情報とともに記録する。情報生成部120は、この記録を用いて、各レコードの通信データ量1913及び通信頻度1914を算出することができる。
Note that the
それから、情報生成部120は、通信情報の生成を終了するか否かを判定する(S13)。具体的には、情報生成部120は、本フローの開始から一定時間が経過したか否か、又は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。通信情報の生成を終了しない場合(S13:N)、処理をS11に戻す。
Then, the
通信情報の生成を終了する場合(S13:Y)、情報生成部120は、ログ収集部140からログ情報を取得する(S14)。ログ情報には、例えば、エネルギー制御装置14のIPアドレス、通信した宛先の設備機器15及び計測機器16の機器IDや、宛先との通信内容(日付時刻、通信種別、データ量など)が含まれる。
When the generation of communication information ends (S13: Y), the
また、情報生成部120は、ステップS14で取得したログ情報に基づいて、通信情報を生成する(S15)。具体的には、情報生成部120は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するエネルギー制御装置ID1921及び機器ID1922が通信情報テーブル192に含まれているか否かを判定する。含まれていない場合、取得したエネルギー制御装置14のIPアドレス及び宛先の機器IDを含むレコードを通信情報テーブル192に追加する。また、情報生成部120は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するレコードの通信データ量1923及び通信頻度1924を更新する。
Moreover, the
なお、情報生成部120は、例えば、通信情報テーブル192に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内に収集した各通信のデータ量を、収集した時刻情報とともに記録する。情報生成部120は、この記録を用いて、各レコードの通信データ量1923及び通信頻度1924を算出することができる。
The
それから、情報生成部120は、通信情報の生成を終了するか否かを判定する(S16)。具体的には、情報生成部120は、本フローの開始から一定時間が経過したか否か、又は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。通信情報の生成を終了しない場合(S16:N)、処理をS14に戻す。通信情報の生成を終了する場合(S16:Y)、本フローを終了する。
Then, the
上記のフローにより、後述の図11のシステム構成情報生成処理で使用される通信経路の情報を含む通信情報を生成することができる。また、後述の図16の監視ルール生成処理で表示される通信情報を生成することができる。なお、S11〜S13の処理と、S14〜S16の処理は、別々に、例えば、並列的に行われるようにしてもよい。 Through the above flow, communication information including communication path information used in the system configuration information generation process of FIG. 11 described later can be generated. Further, it is possible to generate communication information displayed in a monitoring rule generation process of FIG. Note that the processes of S11 to S13 and the processes of S14 to S16 may be performed separately, for example, in parallel.
図11は、システム構成情報生成処理の一例を示すフロー図である。 FIG. 11 is a flowchart illustrating an example of the system configuration information generation process.
本フローが開始されると、情報生成部120は、通信情報を取得する(S21)。具体的には、情報生成部120は、通信情報記憶部190から、通信情報テーブル191及び通信情報テーブル192を取得する。
When this flow is started, the
それから、情報生成部120は、システム構成情報を生成する(S22)。具体的には、情報生成部120は、通信情報テーブル191に含まれる各レコードの通信経路(送信元アドレス情報1911及び宛先アドレス情報1912で特定できる。)に基づいて、各構成要素(送信元アドレス情報1911又は宛先アドレス情報1912で識別できる。)の間の接続関係を特定する。
Then, the
また、情報生成部120は、システム構成テーブル201に、識別した構成要素ごとに、レコードを追加し、当該構成要素のIPアドレスを構成要素ID2011として設定するとともに、当該構成要素と接続関係を有する他の構成要素のIPアドレスを接続関係2015として設定する。本ステップでは、名称2012、補足情報2013、及びオブジェクト情報2014には、情報を設定しない。
In addition, the
また、情報生成部120は、通信情報テーブル192に含まれる各レコードの通信経路(エネルギー制御装置ID1921及び機器ID1922で特定できる。)に基づいて、各構成要素(エネルギー制御装置ID1921又は機器ID1922で識別できる。)の間の接続関係を特定する。
Further, the
また情報生成部120は、システム構成テーブル201に、識別した構成要素ごとに、レコードを追加し、当該構成要素の識別情報(エネルギー制御装置ID1921又は機器ID1922)を構成要素ID2011として設定するとともに、当該構成要素と接続関係を有する他の構成要素の識別情報を接続関係2015として設定する。本ステップでは、名称2012、補足情報2013、及びオブジェクト情報2014には、情報を設定しない。
In addition, the
それから、出力制御部170は、システム構成を表示する(S23)。具体的には、出力制御部170は、システム構成情報記憶部200から、システム構成テーブル201を取得する。そして、システム構成テーブル201の各レコードの構成要素ID2011に基づいて、各構成要素に対応するオブジェクトを配置した表示情報を生成する。なお、各オブジェクトは、表示の際に互いに重ならないように配置するものとする。また、各レコードの接続関係2015に基づいて、接続関係がある各構成要素のオブジェクト間を結ぶリンクの表示情報を生成する。そして、生成した表示情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
Then, the
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図12(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その1))に示すようなユーザーインターフェイス画面500を、ディスプレイに出力する。本図に示すように、ユーザーインターフェイス画面500には、オブジェクト510とリンク520とから構成されるシステム構成が表示される。オブジェクト510の中には、構成要素ID2011(「20.1.2.101」、「20.1.2.110」、「20.1.2.111」、「1」、「2」、「3」)が表示される。なお、本図の例は、システム構成テーブル201(図5)の各レコードの構成要素ID2011及び接続関係2015に設定されている値に基づいている。
The
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成が表示される。
As described above, the
ここで、管理端末12又は管理端末22は、キーボードやマウスなどの入力装置により、ユーザーインターフェイス画面500に表示されたシステム構成に関する編集操作を受け付けることができる。
Here, the
図11に戻って、入力制御部160は、通信部230を介して、管理端末12又は管理端末22からシステム構成を編集する操作の入力を受け付ける(S24)。なお、出力制御部170は、編集操作に応じた表示情報を生成して出力するものとする。
Returning to FIG. 11, the
具体的には、例えば、入力制御部160は、ユーザーインターフェイス画面500に表示されたオブジェクト510の位置及び大きさを調整する操作を受け付ける。例えば、図13(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その2))に示すように、図12と比べて、各IT機器及び各設備機器のオブジェクト(「20.1.2.101」、「20.1.2.110」、「20.1.2.111」、「1」、「2」、「3」)510の配置が変更されるとともに、各設備機器のオブジェクト(「1」、「2」、「3」)510の大きさが小さく変更されている。なお、リンク520は、接続関係2015に基づいてオブジェクト520間の接続を保ったまま表示される。入力制御部160は、各オブジェクト510の位置及び大きさを示す情報を保持する。
Specifically, for example, the
また、例えば、入力制御部160は、オブジェクト510に対して、関連する情報の入力を受け付ける。例えば、図14(システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その3))に示すように、オブジェクト「1」の選択を受け付けた場合、出力制御部170は、当該オブジェクトに関する詳細情報を設定するためのダイアログ530を表示する。ダイアログ530では、オブジェクト(構成要素)の名称、補足情報としてのメモ、補足情報としてファイルのパスの設定を受け付けることができる。入力制御部160は、ダイアログ530に設定された詳細情報(名称、メモ、ファイル)を受け付け、保持する。なお、名称には、例えば、IT機器、設備機器、計測機器の名称などを設定し、メモには、例えば、各機器の設置場所など、ファイルには、例えば、各機器の外観を撮影した写真などを設定することが考えられる。
For example, the
図15は、システム構成を編集するユーザーインターフェイス画面500の一例を示す図(その4)である。本図は、各オブジェクト510の名称及び補足情報が設定された場合を示している。本図に示すように、各オブジェクト510には、構成要素ID2011と名称2012(「管理端末」、「管理サーバ」、「制御装置」、「空調設備」、「照明設備」、「防犯設備」)が表示されている。また、例えば、オブジェクト「1」が選択された場合、出力制御部170は、当該オブジェクトに関する詳細情報を表示するダイアログ540を表示する。ダイアログ540では、オブジェクトの補足情報としてのメモと、補足情報としての画像情報のパスで指定された画像とが表示されている。
FIG. 15 is a diagram (part 4) illustrating an example of a
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、各機器の詳細情報が表示される。そのため、例えば、作業者が、設備機器に直接作業を行いたい場合などに、位置や外観を事前に確認することができる。
As described above, the
図11に戻って、情報生成部120は、システム構成の編集が終了したか否かを判定する(S25)。具体的には、情報生成部120は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。編集が終了していない場合(S25:N)、処理をS24に戻す。
Returning to FIG. 11, the
編集が終了した場合(S25:Y)、情報生成部120は、本フローを終了する。この場合、情報生成部120は、ステップS24で設定された各オブジェクトの位置、大きさ、詳細情報などを、入力制御部160から取得し、システム構成テーブル201を更新する。例えば、オブジェクトの位置及び大きさを、オブジェクト情報2014に設定し、ダイアログ530で設定された名称を、名称2012に設定し、補足情報(メモ、画像ファイルのパス)を、補足情報2013に設定する。
When the editing is completed (S25: Y), the
なお、本フローの手順に限らず、出力制御部170は、管理端末12又は管理端末22からの要求に応じて、システム構成を出力することができる。すなわち、出力制御部170は、要求を受け付けた場合、システム構成テーブル201に基づいてシステム構成の表示情報を生成し、当該システム構成を含むユーザーインターフェイス画面の表示情報を生成し、管理端末12又は管理端末22に出力する。また、入力制御部160は、当該ユーザーインターフェイス画面における編集操作を受け付けることができる。
The
このように、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に対して、顧客側管理者13又はサービス側管理者23の要望に応じてシステム構成を編集できる。
As described above, the system configuration can be edited according to the request of the customer-side administrator 13 or the service-side administrator 23 with respect to the system configuration in which the IT device network and the facility device network of the
図16は、監視ルール生成処理の一例を示すフロー図である。 FIG. 16 is a flowchart illustrating an example of the monitoring rule generation process.
本フローが開始されると、出力制御部170は、通信情報及び監視ルールを取得する(S31)。具体的には、出力制御部170は、通信情報記憶部190から、通信情報テーブル191及び通信情報テーブル192を取得するとともに、監視ルール記憶部210から、監視ルールテーブル211及び監視ルールテーブル212を取得する。
When this flow is started, the
それから、出力制御部170は、通信情報及び監視ルールを表示する(S32)。例えば、出力制御部170は、通信情報テーブル191及び通信情報テーブル192と、監視ルールの各レコードの情報を入力する欄と、を含むユーザーインターフェイス画面の表示情報を、通信部230を介して管理端末12又は管理端末22に出力する。
Then, the
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図17(監視ルールを編集するユーザーインターフェイス画面600の一例を示す図)に示すようなユーザーインターフェイス画面600を、ディスプレイに出力する。ユーザーインターフェイス画面600には、通信情報テーブル191に対応する通信情報テーブル610と、通信情報テーブル192に対応する通信情報テーブル620とが、実績データとして表示される。
The
また、ユーザーインターフェイス画面600には、監視ルールテーブル211に対応する監視ルールテーブル630と、監視ルールテーブル212に対応する監視ルールテーブル640とが、監視ルールとして表示される。なお、監視ルールテーブルに、レコードが格納されていない場合は、空欄を表示するようにすればよい。
On the
ここで、管理端末12又は管理端末22は、キーボードやマウスなどの入力装置により、ユーザーインターフェイス画面600上で、監視ルールの編集操作を受け付けることができる。
Here, the
図16に戻って、入力制御部160は、監視ルールを編集する操作の入力を受け付ける(S33)。なお、出力制御部170は、編集操作に応じた表示情報を生成して出力するものとする。
Returning to FIG. 16, the
例えば、入力制御部160は、監視ルールテーブル630の各情報(送信元アドレス情報、宛先アドレス情報、通信データ量閾値、通信頻度閾値)の設定、及び、監視ルールテーブル640の各情報(エネルギー制御装置ID、機器ID、通信データ量閾値、通信頻度閾値)の設定を、通信部230を介して受け付ける。
For example, the
図16に戻って、情報生成部120は、監視ルールの編集が終了したか否かを判定する(S34)。例えば、情報生成部120は、入力制御部160を介して管理端末12又は管理端末22から終了の指示があったか否かを判定する。編集が終了していない場合(S34:N)、処理をS33に戻す。
Returning to FIG. 16, the
編集が終了した場合(S34:Y)、情報生成部120は、本フローを終了する。この場合、情報生成部120は、ステップS33で設定された、監視ルールテーブル630及び、監視ルールテーブル640の各レコードの情報を、入力制御部160から取得し、監視ルールテーブル211及び監視ルールテーブル212に設定する。
When the editing is finished (S34: Y), the
このように、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に対して、管理者13又は管理者23の要望に応じて不正通信を監視する監視ルールを設定することができる。
As described above, a monitoring rule for monitoring unauthorized communication can be set for the system configuration in which the IT device network and the facility device network of the
なお、アクセスリスト221についても同様にして生成することができる。例えば、出力制御部170は、アクセスリストの各レコードの情報を入力する欄を含むユーザーインターフェイス画面を出力する。また、入力制御部160は、アクセスリストの各情報(宛先アドレス情報、許可送信元アドレス情報)の設定を、通信部230を介して受け付ける。編集が終了した場合、情報生成部120は、設定されたアクセスリストの各レコードの情報を、入力制御部160から取得し、アクセスリスト221に設定する。
The access list 221 can be generated in the same manner. For example, the
図18は、不正通信監視処理の一例を示すフロー図である。なお、キャプチャ部130によるキャプチャ処理と、ログ収集部140によるログ情報の収集処理は、例えば、本フローと並列的に実行される。
FIG. 18 is a flowchart illustrating an example of unauthorized communication monitoring processing. Note that the capture process by the
本フローが開始されると、監視部150は、監視ルール記憶部210から、監視ルールテーブル211及び監視ルールテーブル212を取得する(S41)。また、監視部150は、アクセスリスト記憶部220から、アクセスリスト221を取得する(S42)。
When this flow is started, the
それから、監視部150は、キャプチャ部130からキャプチャ情報を取得する(S43)。
Then, the
また、監視部150は、ステップS43で取得したキャプチャ情報に基づいて、通信がアクセス許可されているか否かを判定する(S44)。具体的には、監視部150は、キャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスを取得する。そして、取得した宛先アドレスと一致する宛先アドレス情報2211が、ステップS42で取得したアクセスリスト221に含まれているか否かを判定する。含まれていない場合、アクセス許可されていると判定して(S44:Y)、処理をS46に進める。含まれている場合、取得した宛先アドレスと一致する宛先アドレス情報2211に関連付けられている許可送信元アドレス情報2212と、取得した送信元アドレスとが一致するか否かを判定する。一致する場合、アクセス許可されていると判定して(S44:Y)、処理をS46に進める。一致しない場合、アクセス許可されていない(アクセス禁止されている)と判定して(S44:N)、処理をS45に進める。
Further, the
ステップS45では、出力制御部170は、アクセス許可されていない通信があったことを、通知する(S45)。例えば、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS44でアクセス許可されていないと判定された送信元アドレスのオブジェクト及び宛先アドレスのオブジェクトと、これらのオブジェクトを結ぶリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して管理端末12又は管理端末22に出力する。
In step S45, the
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図19(不正通信を通知するユーザーインターフェイス画面700の一例を示す図)に示すようなユーザーインターフェイス画面700を、ディスプレイに出力する。ユーザーインターフェイス画面700には、図15と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、アクセス許可されていないと判定された送信元アドレスのオブジェクト710と、当該オブジェクト710及び当該オブジェクト710の宛先アドレスのオブジェクトを結ぶリンク720と、当該リンク720の通信が未許可であることを示すダイアログ730とが表示される。
Based on the display information received from the
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、不正アクセスと予想される通信を特定する情報が表示される。
As described above, the
図18に戻って、ステップS46では、監視部150は、ステップS43で取得したキャプチャ情報の集計を行う(S46)。具体的には、監視部150は、取得したキャプチャ情報に含まれるIPパケットの送信元アドレス及び宛先アドレスに対応する送信元アドレス情報2111及び宛先アドレス情報2112を有するレコードが、監視ルールテーブル211に含まれているか否かを判定する。含まれている場合、監視部150は、当該レコードに関連付けている通信データ量及び通信頻度の実績値を更新する。
Returning to FIG. 18, in step S46, the
なお、監視部150は、監視ルールテーブル211に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内にキャプチャされた各IPパケットのデータ量を、キャプチャした時刻情報とともに記録する。監視部150は、この記録を用いて、各レコードの通信データ量及び通信頻度の実績値を算出することができる。
The
それから、監視部150は、ステップS46で集計したキャプチャ情報の通信データ量及び通信頻度の実績値が、閾値を超えたか否かを判定する(S47)。具体的には、監視部150は、ステップS46で更新した通信データ量及び通信頻度の実績値が、対応する通信データ量閾値2113及び通信頻度閾値2114を超えているか否かを判定する。いずれの実績値も閾値を超えていない場合(S47:N)、処理をS49に進める。その他の場合(S47:Y)、処理をS48に進める。
Then, the
ステップS48では、出力制御部170は、閾値を超えている通信経路が検出されたことを、通知する(S48)。具体的には、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS47で閾値を超えていると判定されたリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
In step S48, the
管理端末12又は管理端末22は、通信監視装置100から受信した表示情報に基づいて、例えば、図19(不正通信を通知するユーザーインターフェイス画面700の一例を示す図)に示すようなユーザーインターフェイス画面700を、ディスプレイに出力する。ユーザーインターフェイス画面700には、図15と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていると判定された通信を結ぶリンク740が、他のリンク520及びリンク720と区別して分かる態様で表示される。また、当該リンク740の通信が、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていることを示すダイアログ750が表示される。なお、ダイアログ750では、閾値を超えていると判定された項目(通信データ量及び通信頻度の少なくともいずれか一方)について、通知すればよい。
Based on the display information received from the
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、IT機器ネットワーク上の不正通信が発生している可能性がある通信を特定する情報が表示される。
As described above, the
図18に戻って、監視部150は、ログ収集部140からログ情報を取得する(S49)。
Returning to FIG. 18, the
また、監視部150は、ステップS49で取得したログ情報の集計を行う(S50)。具体的には、監視部150は、取得したログ情報に含まれるエネルギー制御装置14のIPアドレス及び宛先の機器IDに対応するエネルギー制御装置ID2121及び機器ID2122を有するレコードが、監視ルールテーブル212に含まれているか否かを判定する。含まれている場合、監視部150は、当該レコードに関連付けている通信データ量及び通信頻度の実績値を更新する。
Moreover, the
なお、監視部150は、監視ルールテーブル212に含まれる各レコードに関連付けて、直近の単位時間(例えば、1時間)内に収集した各通信のデータ量を、収集した時刻情報とともに記録する。監視部150は、この記録を用いて、各レコードの通信データ量及び通信頻度の実績値を算出することができる。
The
それから、監視部150は、ステップS50で集計したログ情報の通信データ量及び通信頻度の実績値が、閾値を超えたか否かを判定する(S51)。具体的には、監視部150は、ステップS50で更新した通信データ量及び通信頻度の実績値が、対応する通信データ量閾値2123及び通信頻度閾値2124を超えているか否かを判定する。いずれの実績値も閾値を超えていない場合(S51:N)、処理をS43に戻す。その他の場合(S51:Y)、処理をS52に進める。
Then, the
ステップS52では、出力制御部170は、閾値を超えている通信があったことを、通知する(S52)。具体的には、出力制御部170は、システム構成テーブル201に基づくシステム構成の表示情報に加え、ステップS51で閾値を超えていると判定された通信のリンクの情報を含むユーザーインターフェイス画面の表示情報を、通信部230を介して、管理端末12又は管理端末22に出力する。
In step S52, the
例えば、ユーザーインターフェイス画面700には、図19と同様に、オブジェクト510やリンク520から構成されるシステム構成が表示される。さらに、ユーザーインターフェイス画面700には、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていると判定された通信を結ぶリンク760が、他のリンク520及びリンク720と区別して分かる態様で表示される。また、当該リンク760の通信が、通信データ量及び通信頻度の少なくともいずれか一方が閾値を超えていることを示すダイアログ770が表示される。なお、ダイアログ770では、閾値を超えていると判定された項目(通信データ量及び通信頻度の少なくともいずれか一方)について、通知すればよい。
For example, on the
このように、管理端末12又は管理端末22には、顧客施設10のIT機器ネットワーク及び設備機器ネットワークが統合されたシステム構成に関連して、設備機器ネットワーク上の不正通信が発生している可能性がある通信を特定する情報が表示される。
As described above, the
図18に戻って、監視部150は、ステップS52の終了後、処理をステップS43に戻す。
Returning to FIG. 18, the
上記の図10、図11、図16、及び図18のフローチャートの処理単位は、制御部110の処理を理解容易にするために、主な処理内容に応じて分割したものである。処理単位の分割の仕方や名称によって、本願発明が制限されることはない。制御部110の処理は、処理内容に応じて、さらに多くの処理単位に分割することもできる。また、1つの処理単位がさらに多くの処理を含むように分割することもできる。また、上記のフローチャートの処理順序も、図示した例に限られるものではない。
The processing units in the flowcharts of FIGS. 10, 11, 16, and 18 are divided according to the main processing contents in order to make the processing of the
また、上記の図12〜図15、図17、及び図19のユーザーインターフェイス画面の構成は、図示された例に限られない。 Also, the configuration of the user interface screens of FIGS. 12 to 15, 17 and 19 is not limited to the illustrated example.
以上、本発明の一実施形態について説明した。本実施形態によれば、エネルギー管理システムにおいて、設備機器及びIT機器を統合的に管理することができる。 The embodiment of the present invention has been described above. According to the present embodiment, facility equipment and IT equipment can be managed in an integrated manner in the energy management system.
また、通信監視装置100を顧客施設10に設置することで、顧客施設10のシステム変更等をほぼ行わずに、監視システムを構築することができるため、コストをなるべく抑えつつ監視サービスを提供することができる。
In addition, by installing the
なお、以上の本発明の実施形態は、本発明の要旨と範囲を例示することを意図し、限定するものではない。多くの代替物、修正、変形例は当業者にとって明らかである。 In addition, the above embodiment of this invention intends to illustrate the summary and scope of this invention, and does not limit it. Many alternatives, modifications, and variations will be apparent to those skilled in the art.
例えば、複数の顧客施設10それぞれに通信監視装置100を設置し、管理端末22で、顧客施設10それぞれのシステム構成及び不正通信を、集中的に監視するようにしてもよい。このようにすれば、複数の顧客施設10のシステム構成及び不正通信を効率的に監視することができる。
For example, the
例えば、出力制御部170は、システム構成を表示する場合、IT機器ネットワークの範囲と設備機器ネットワークの範囲とを示す情報を出力ようにしてもよい。具体的には、例えば、図20(システム構成を編集するユーザーインターフェイス画面500の変形例を示す図)に示すように、IT機器ネットワークを構成するオブジェクト510及びリンク520を含むIT機器ネットワークの範囲550が表示される。また、設備機器ネットワークを構成するオブジェクト510及びリンク520を含む設備機器ネットワークの範囲560が表示される。なお、出力制御部170は、例えば、システム構成テーブル201の構成要素ID2011が、通信情報テーブル191及び通信情報テーブル192のいずれに含まれるかを判定することで、構成要素ID2011が示す機器がIT機器であるか設備機器であるかを特定することができる。このようにすれば、顧客側管理者13又はサービス側管理者23は、IT機器ネットワーク及び設備機器ネットワークの範囲を認識し易くなる。
For example, when displaying the system configuration, the
1:エネルギー管理システム、10:顧客施設、11:管理サーバ、12:管理端末、13:顧客側管理者、14:エネルギー制御装置、15:設備機器、16:計測機器、20:サービス提供施設、21:遠隔管理サーバ、22:管理端末、23:サービス側管理者、40:インターネット、50:端末、51:不正アクセス者、100:通信監視装置、110:制御部、120:情報生成部、130:キャプチャ部、140:ログ収集部、150:監視部、160:入力制御部、170:出力制御部、180:記憶部、190:通信情報記憶部、191:通信情報テーブル、192:通信情報テーブル、200:システム構成情報記憶部、201:システム構成テーブル、210:監視ルール記憶部、211:監視ルールテーブル、212:監視ルールテーブル、220:アクセスリスト記憶部、221:アクセスリスト、230:通信部、300:コンピューター、310:CPU、320:メモリー、330:外部記憶装置、340:通信装置、350:入力装置、360:出力装置、370:読書き装置、500:ユーザーインターフェイス画面、510:オブジェクト、520:リンク、530:ダイアログ、540:ダイアログ、550:範囲、560:範囲、600:ユーザーインターフェイス画面、610:通信情報テーブル、620:通信情報テーブル、630:監視ルールテーブル、640:監視ルールテーブル、700:ユーザーインターフェイス画面、710:オブジェクト、720:リンク、730:ダイアログ、740:リンク、750:ダイアログ、760:リンク、770:ダイアログ、1911:送信元アドレス情報、1912:宛先アドレス情報、1913:通信データ量、1914:通信頻度、1921:エネルギー制御装置ID、1922:機器ID、1923:通信データ量、1924:通信頻度、2011:構成要素ID、2012:名称、2013:補足情報、2014:オブジェクト情報、2015:接続関係、2111:送信元アドレス情報、2112:宛先アドレス情報、2113:通信データ量閾値、2114:通信頻度閾値、2121:エネルギー制御装置ID、2122:機器ID、2123:通信データ量閾値、2124:通信頻度閾値、2211:宛先アドレス情報、2212:許可送信元アドレス情報 1: energy management system, 10: customer facility, 11: management server, 12: management terminal, 13: customer-side administrator, 14: energy control device, 15: facility device, 16: measuring device, 20: service providing facility, 21: Remote management server, 22: Management terminal, 23: Service side administrator, 40: Internet, 50: Terminal, 51: Unauthorized accessor, 100: Communication monitoring device, 110: Control unit, 120: Information generation unit, 130 : Capture unit, 140: Log collection unit, 150: Monitoring unit, 160: Input control unit, 170: Output control unit, 180: Storage unit, 190: Communication information storage unit, 191: Communication information table, 192: Communication information table , 200: system configuration information storage unit, 201: system configuration table, 210: monitoring rule storage unit, 211: monitoring rule table, 21 : Monitoring rule table, 220: access list storage unit, 221: access list, 230: communication unit, 300: computer, 310: CPU, 320: memory, 330: external storage device, 340: communication device, 350: input device, 360: Output device, 370: Read / write device, 500: User interface screen, 510: Object, 520: Link, 530: Dialog, 540: Dialog, 550: Range, 560: Range, 600: User interface screen, 610: Communication Information table, 620: Communication information table, 630: Monitoring rule table, 640: Monitoring rule table, 700: User interface screen, 710: Object, 720: Link, 730: Dialog, 740: Link, 750: Dialog 760: Link, 770: Dialog, 1911: Source address information, 1912: Destination address information, 1913: Communication data amount, 1914: Communication frequency, 1921: Energy control device ID, 1922: Device ID, 1923: Communication data amount 1924: Communication frequency, 2011: Component ID, 2012: Name, 2013: Supplementary information, 2014: Object information, 2015: Connection relationship, 2111: Source address information, 2112: Destination address information, 2113: Communication data amount threshold 2114: Communication frequency threshold, 2121: Energy control device ID, 2122: Device ID, 2123: Communication data amount threshold, 2124: Communication frequency threshold, 2211: Destination address information, 2212: Permitted source address information
Claims (9)
IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、
前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、
前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、
前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、
前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有する、
ことを特徴とする監視装置。 A monitoring device,
Connected to an energy management system including IT equipment, equipment, and a control device for controlling the equipment,
A first acquisition unit that acquires first route information that identifies a communication route on a first network to which the IT device and the control device are connected;
A second acquisition for acquiring second route information for specifying a communication route on a second network which is a network to which the facility device and the control device are connected and has a communication method different from that of the first network. And
A system configuration information generation unit that generates system configuration information for specifying a connection relationship between the IT device, the facility device, and the control device based on the first route information and the second route information;
An output unit that outputs display information representing a connection relationship between the IT device, the facility device, and the control device based on the system configuration information;
A monitoring device characterized by that.
前記第一のネットワーク上の通信をキャプチャするキャプチャ部と、
前記第二のネットワーク上の通信のログ情報を前記制御装置から収集するログ収集部と、
前記キャプチャ部によりキャプチャされたキャプチャ情報に基づいて、前記第一のネットワーク上の通信経路を特定する経路情報を生成する第一の生成部と、
前記ログ収集部により収集されたログ情報に基づいて、前記第二のネットワーク上の通信経路を特定する経路情報を生成する第二の生成部と、を有し、
前記第一の取得部は、前記第一の生成部が生成した経路情報を前記第一の経路情報として取得し、
前記第二の取得部は、前記第二の生成部が生成した経路情報を前記第二の経路情報として取得する、
ことを特徴とする監視装置。 The monitoring device according to claim 1,
A capture unit for capturing communication on the first network;
A log collection unit for collecting log information of communication on the second network from the control device;
A first generation unit that generates path information for identifying a communication path on the first network based on the capture information captured by the capture unit;
A second generation unit that generates path information that identifies a communication path on the second network based on the log information collected by the log collection unit;
The first acquisition unit acquires the route information generated by the first generation unit as the first route information,
The second acquisition unit acquires the route information generated by the second generation unit as the second route information.
A monitoring device characterized by that.
アドレス情報を含むアクセス情報を取得する第三の取得部と、
前記第一のネットワーク上の通信を監視し、当該通信に含まれるアドレス情報と、前記アクセス情報に含まれるアドレス情報とに基づいて、当該通信のアクセスが許可されているか否かを監視する第一の監視部と、を有し、
前記出力部は、前記第一の監視部により許可されていないと判定された通信を特定する表示情報を出力する、
ことを特徴とする監視装置。 The monitoring device according to claim 1 or 2,
A third acquisition unit for acquiring access information including address information;
Monitoring communication on the first network, and monitoring whether or not access to the communication is permitted based on address information included in the communication and address information included in the access information And a monitoring section of
The output unit outputs display information for identifying communication determined not to be permitted by the first monitoring unit;
A monitoring device characterized by that.
前記第一のネットワーク上の通信経路及び前記第二ネットワーク上の通信経路ごとに、当該通信経路上の通信に関するパラメータと比較するための閾値を関連付けた閾値情報を取得する第四の取得部と、
前記第一のネットワーク上の通信経路及び前記第二のネットワーク上の通信経路を監視し、前記通信経路ごとに、当該通信経路における通信に関する前記パラメータを求め、前記閾値情報に基づいて当該パラメータが前記閾値を超えているか否かを判定する第二の監視部と、を有し、
前記出力部は、前記第二の監視部により前記閾値を超えていると判定された通信経路を特定する表示情報を出力する、
ことを特徴とする監視装置。 The monitoring device according to any one of claims 1 to 3,
A fourth acquisition unit that acquires threshold information that associates a threshold for comparison with a parameter related to communication on the communication path for each communication path on the first network and the communication path on the second network;
The communication path on the first network and the communication path on the second network are monitored, and for each communication path, the parameter relating to communication in the communication path is obtained, and the parameter is determined based on the threshold information. A second monitoring unit for determining whether or not the threshold value is exceeded,
The output unit outputs display information for identifying a communication path determined by the second monitoring unit to exceed the threshold;
A monitoring device characterized by that.
前記出力部により出力される前記接続関係を表す表示情報に対する入力を受け付ける入力部を有し、
前記出力部は、前記IT機器、前記設備機器、及び前記制御装置に対応するオブジェクトと、前記オブジェクト間のリンクと、により前記接続関係を表す表示情報を出力し、
前記入力部は、前記オブジェクトについて、関連するファイルを特定する情報の設定を受け付けて保持し、
前記出力部は、前記ファイルを特定する情報が設定されたオブジェクトに関連付けて、当該ファイル内容を表す表示情報を出力する、
ことを特徴とする監視装置。 The monitoring device according to any one of claims 1 to 4,
An input unit that accepts an input for display information representing the connection relationship output by the output unit;
The output unit outputs display information representing the connection relationship by an object corresponding to the IT device, the equipment, and the control device, and a link between the objects,
The input unit receives and holds a setting of information specifying a related file for the object,
The output unit outputs display information representing the file contents in association with an object for which information specifying the file is set.
A monitoring device characterized by that.
前記出力部は、前記システム構成情報に基づいて、前記IT機器及び前記制御装置の接続関係に関連付けて前記第一のネットワークの範囲を表す表示情報を出力し、前記制御装置及び前記設備機器の接続関係に関連付けて前記第二のネットワークの範囲を表す表示情報を出力する、
ことを特徴とする監視装置。 The monitoring device according to any one of claims 1 to 5,
The output unit outputs display information representing a range of the first network in association with a connection relationship between the IT device and the control device based on the system configuration information, and connects the control device and the facility device. Outputting display information representing the range of the second network in association with the relationship;
A monitoring device characterized by that.
IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続される監視装置と、前記エネルギー管理システムに接続される端末とを備え、
前記監視装置は、
前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得部と、
前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得部と、
前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成部と、
前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力部と、を有し、
前記端末は、
前記出力部から出力された表示情報を表示する表示部を有する、
ことを特徴とする監視システム。 A monitoring system,
IT equipment, equipment, and a monitoring device connected to an energy management system including a control device for controlling the equipment, and a terminal connected to the energy management system,
The monitoring device
A first acquisition unit that acquires first route information that identifies a communication route on a first network to which the IT device and the control device are connected;
A second acquisition for acquiring second route information for specifying a communication route on a second network which is a network to which the facility device and the control device are connected and has a communication method different from that of the first network. And
A system configuration information generation unit that generates system configuration information for specifying a connection relationship between the IT device, the facility device, and the control device based on the first route information and the second route information;
An output unit that outputs display information representing a connection relationship between the IT device, the facility device, and the control device based on the system configuration information;
The terminal
A display unit for displaying the display information output from the output unit;
A monitoring system characterized by that.
前記監視装置は、IT機器、設備機器、及び前記設備機器を制御する制御装置を含むエネルギー管理システムに接続され、
前記プログラムは、
前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、
前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、
前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、
前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を前記監視装置に実行させる、
ことを特徴とするプログラム。 A monitoring device program,
The monitoring device is connected to an energy management system including an IT device, a facility device, and a control device that controls the facility device,
The program is
A first acquisition step of acquiring first route information for specifying a communication route on a first network to which the IT device and the control device are connected;
A second acquisition for acquiring second route information for specifying a communication route on a second network which is a network to which the facility device and the control device are connected and has a communication method different from that of the first network. Steps,
A system configuration information generating step for generating system configuration information for specifying a connection relationship between the IT device, the facility device, and the control device based on the first route information and the second route information;
Based on the system configuration information, an output step of outputting display information representing a connection relationship between the IT device, the facility device, and the control device is executed by the monitoring device.
A program characterized by that.
前記IT機器及び前記制御装置が接続される第一のネットワーク上の通信経路を特定する第一の経路情報を取得する第一の取得ステップと、
前記設備機器及び前記制御装置が接続されるネットワークであって、前記第一のネットワークとは通信方式が異なる第二のネットワーク上の通信経路を特定する第二の経路情報を取得する第二の取得ステップと、
前記第一の経路情報及び前記第二の経路情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を特定するシステム構成情報を生成するシステム構成情報生成ステップと、
前記システム構成情報に基づいて、前記IT機器、前記設備機器、及び前記制御装置の接続関係を表す表示情報を出力する出力ステップと、を含む、
ことを特徴とする監視方法。 An energy management system monitoring method including IT equipment, equipment, and a control device for controlling the equipment,
A first acquisition step of acquiring first route information for specifying a communication route on a first network to which the IT device and the control device are connected;
A second acquisition for acquiring second route information for specifying a communication route on a second network which is a network to which the facility device and the control device are connected and has a communication method different from that of the first network. Steps,
A system configuration information generating step for generating system configuration information for specifying a connection relationship between the IT device, the facility device, and the control device based on the first route information and the second route information;
An output step of outputting display information representing a connection relationship between the IT device, the facility device, and the control device based on the system configuration information,
A monitoring method characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012213598A JP6021552B2 (en) | 2012-09-27 | 2012-09-27 | Monitoring device, monitoring system, program, and monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012213598A JP6021552B2 (en) | 2012-09-27 | 2012-09-27 | Monitoring device, monitoring system, program, and monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014068293A true JP2014068293A (en) | 2014-04-17 |
JP6021552B2 JP6021552B2 (en) | 2016-11-09 |
Family
ID=50744265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012213598A Expired - Fee Related JP6021552B2 (en) | 2012-09-27 | 2012-09-27 | Monitoring device, monitoring system, program, and monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6021552B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018029276A (en) * | 2016-08-18 | 2018-02-22 | ヤフー株式会社 | Network configuration management apparatus, network configuration management system, network configuration management method, and network configuration management program |
US10862759B2 (en) | 2016-06-23 | 2020-12-08 | Nec Corporation | Communication network determination apparatus, communication network determination method, and recording medium having communication network determination program recorded therein |
CN113728588A (en) * | 2019-05-13 | 2021-11-30 | 欧姆龙株式会社 | Control device |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06348631A (en) * | 1993-06-10 | 1994-12-22 | Nec Corp | Information network control method |
JP2002259508A (en) * | 2001-03-05 | 2002-09-13 | Hitachi Ltd | Energy monitoring system |
JP2004032377A (en) * | 2002-06-26 | 2004-01-29 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for estimating bottle neck and computer readable recording medium recorded with program of that method |
JP2006302297A (en) * | 2003-10-22 | 2006-11-02 | Omron Corp | Control system setting apparatus, control system setting method and setting program |
JP2007266890A (en) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | Service quality management apparatus and service quality management method |
JP2009194433A (en) * | 2008-02-12 | 2009-08-27 | Pfu Ltd | Network monitoring system and network monitoring method |
JP2009266047A (en) * | 2008-04-26 | 2009-11-12 | Mitsubishi Electric Corp | Apparatus management device, apparatus management method and program |
JP2010068152A (en) * | 2008-09-09 | 2010-03-25 | Nippon Telegr & Teleph Corp <Ntt> | System and method for network topology estimation and recording medium |
US20110170402A1 (en) * | 2010-01-14 | 2011-07-14 | Fujitsu Limited | Apparatus and method for generating topology tree |
-
2012
- 2012-09-27 JP JP2012213598A patent/JP6021552B2/en not_active Expired - Fee Related
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06348631A (en) * | 1993-06-10 | 1994-12-22 | Nec Corp | Information network control method |
JP2002259508A (en) * | 2001-03-05 | 2002-09-13 | Hitachi Ltd | Energy monitoring system |
JP2004032377A (en) * | 2002-06-26 | 2004-01-29 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for estimating bottle neck and computer readable recording medium recorded with program of that method |
JP2006302297A (en) * | 2003-10-22 | 2006-11-02 | Omron Corp | Control system setting apparatus, control system setting method and setting program |
JP2007266890A (en) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | Service quality management apparatus and service quality management method |
JP2009194433A (en) * | 2008-02-12 | 2009-08-27 | Pfu Ltd | Network monitoring system and network monitoring method |
JP2009266047A (en) * | 2008-04-26 | 2009-11-12 | Mitsubishi Electric Corp | Apparatus management device, apparatus management method and program |
JP2010068152A (en) * | 2008-09-09 | 2010-03-25 | Nippon Telegr & Teleph Corp <Ntt> | System and method for network topology estimation and recording medium |
US20110170402A1 (en) * | 2010-01-14 | 2011-07-14 | Fujitsu Limited | Apparatus and method for generating topology tree |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10862759B2 (en) | 2016-06-23 | 2020-12-08 | Nec Corporation | Communication network determination apparatus, communication network determination method, and recording medium having communication network determination program recorded therein |
JP2018029276A (en) * | 2016-08-18 | 2018-02-22 | ヤフー株式会社 | Network configuration management apparatus, network configuration management system, network configuration management method, and network configuration management program |
CN113728588A (en) * | 2019-05-13 | 2021-11-30 | 欧姆龙株式会社 | Control device |
US11740604B2 (en) | 2019-05-13 | 2023-08-29 | Omron Corporation | Control device |
Also Published As
Publication number | Publication date |
---|---|
JP6021552B2 (en) | 2016-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6465012B2 (en) | Data flow control device and data flow control method | |
JP6672141B2 (en) | Mobile application interaction user interface for remote computing device monitoring test device | |
CN106708712B (en) | System and method for cloud service asset management of portable computer testing tools | |
JP4894619B2 (en) | Screen output setting method, information processing apparatus, and information processing system | |
US10621069B2 (en) | Information processing apparatus and non-transitory computer readable medium | |
JP5711439B1 (en) | Information management method | |
WO2014119255A1 (en) | Information management method, control system, and method for controlling display device | |
JP2012084124A (en) | Equipment management device and equipment management program | |
JP2016095631A (en) | Information diagnostic system, information diagnostic device, information diagnostic method and program | |
JP2010218062A (en) | Information provision device, information provision system, information provision method, information provision program and recording medium recording the program | |
JP6021552B2 (en) | Monitoring device, monitoring system, program, and monitoring method | |
JP5066222B2 (en) | Network analysis support device, network analysis support method, and program | |
JP6627470B2 (en) | Equipment management systems, information equipment and programs | |
JP2017163185A (en) | Device control device, information providing method, and device control system | |
JP5089716B2 (en) | Data collection device, air conditioning device, data collection system, data collection method and program | |
JP5250614B2 (en) | Data collection system | |
JP2016119037A (en) | Information management device, information management system, information management method, program and information equipment | |
JP6691311B2 (en) | Information processing device, information processing method, and program | |
GB2529562A (en) | Computer, association calculation method, and storage medium | |
JP4826221B2 (en) | Access analysis system | |
JP2012252606A (en) | Portable terminal device, log collection system, log collection method and program | |
WO2023195190A1 (en) | Cooperation suggesting apparatus, cooperation suggesting system, cooperation suggesting method and program | |
JP6625444B2 (en) | Device control device, device control method, and device control system | |
JP2014132492A (en) | Information providing apparatus, information providing system, information providing method, information providing program, and recording medium recording program therein | |
JP2014048671A (en) | Apparatus management system, apparatus management device, and apparatus management program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150911 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160902 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160927 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6021552 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |