WO2023112140A1

WO2023112140A1 - アクセス制御装置、アクセス制御方法及び、プログラム

Info

Publication number: WO2023112140A1
Application number: PCT/JP2021/046019
Authority: WO
Inventors: 和史合田
Original assignee: 日本電気株式会社
Priority date: 2021-12-14
Filing date: 2021-12-14
Publication date: 2023-06-22

Abstract

機器の運用中に変動するリスクが発生した場合でも、機器の継続利用可否を数値として把握することに貢献する、アクセス制御装置を提供する。アクセス制御装置は、システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録するリスク対象リスト登録部と、サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生したリスクに関連する機器に関する証跡情報を収集し管理する証跡情報管理部と、機器に関する証跡情報と、リスク対象リストに登録されたリスクに基づいて、機器のスコアを算出するスコア算出部と、スコアとアクセスの制御方法の関係を定義したポリシーと、機器のスコアから、システムへの機器によるアクセスの制御方法を判定する判定部と、アクセスの制御方法に従って、システムへの機器によるアクセスを制御する制御部を含む。

Description

アクセス制御装置、アクセス制御方法及び、プログラム

　本発明は、アクセス制御装置、アクセス制御方法及び、プログラムに関する。

　システムで使用される機器の信頼性は、機器が運用されている場合でも、国際情勢（戦争、サイバーテロ、スパイ疑惑等）や企業のリスク（買収、倒産、データ改ざん等）などによって動的に変動する。本来は、システム運用におけるセキュリティの観点では、システムに接続する機器からのアクセスは、機器の信頼性が動的に下がった場合は、それに合わせて動的に制限するべきである。しかしながらサプライチェーンを遡り正しい情報を取得し、その情報を動的にアクセス制御に適用する方法は、現在存在していない。

　特許文献１は、サプライヤの情報セキュリティ水準を評価する情報処理装置に関するものである。

　特許文献２は、協力会社サプライチェーンのリスク分析方法に関するものである。

　特許文献３は、コンピュータシステムの運用管理をより効率化する管理システムに関するものである。

　特許文献４は、サプライチェーンにて発生した製品等の不具合情報を改竄なく管理し、不具合の影響範囲を特定する品質管理支援方法に関するものである。

　特許文献５は、アプリケーションのセキュリティを発見および管理するための技術に関するものである。

国際公開第２０２０／１９４５８７号特表２０２１－５１１５５５号公報特開２０２１－０７７２２０号公報特開２０２１－００２１２９号公報特表２０１９－５１０３０４号公報

　以下の分析は、本発明によって与えられたものである。

　上記のようなケースにおいては、単純なスコアリングでは想定する脅威に対応できない場合がある。例えば、生産時や流通時に部品や機器に改ざんが発生したかは不明であり、もし改ざんが発生した場合は、その部品や機器は信用できないものとなる。また、機器にインストールされているアプリケーションが、現在は問題なく動作しているが、後に問題が検出されても、どの程度の問題なのか、どの機器で動作しているか等も、あいまいで判断ができない場合がある。つまり、サプライチェーンが複数存在する中で、生産から流通、運用、保守に至る間の各種情報は、それぞれ携わる物や人が複合的に重なり合う状態では、信頼性もあいまいになる。よって、この様なあいまいな状況から機器の信頼性を高め、判断する方法が必要になる。

　従来から使用されているルールベースに基づく方法では、機器の一部の部品の問題やアプリケーションの脆弱性等があった場合には、機器の停止やアクセス禁止が発生する結果となる。しかしながら機器内には、複数の製造業者の複数の部品やアプリケーションが存在し、脆弱性のレベルとそれぞれの影響度により、一概に問題があると判断する事は難しい。例えば、信頼度が下がっている製造業者の部品（部品自体には問題は無い）が１つのみであれば、利用の継続性は高いが、多数の部品に同様の問題が発生した場合は、機器を停止することが必要となる。同様にアプリケーション自体も、バグではない軽微の問題でも利用可／利用不可（ＯＫ／ＮＧ）の判断が難しい場合がある。この様に、製造業者の信頼度、その業者の部品やアプリケーションが何個使用されているか、及び、それらを使用している利用者への影響度などの複合要素が存在するため、従来のルールベースに基づく方法では、総合的な判断ができない。

　例えば、品質・価格の面でＡ国の複数の会社の製造した部品を使用しているとする。ある時、Ａ国にスパイ疑惑が発生し情報漏洩のリスクがあると政治的判断がなされた場合でも、システムが、Ａ国製の部品を組み込んだ機器を使用しているかどうかの調査が困難な場合等がある。

　また、例えば、性能及び知名度からＣ社のソフトウェアを使用したが、Ｃ社にて販売製品のデータ改ざんが発覚したとする。Ｃ社はこれを調査中であり、データ改ざんの対象が使用しているソフトウェアか明確になっていないような場合には、Ｃ社からの発表があるまでは、ソフトウェアに対する影響の有無（対象だが利用している機能には影響ない、もしくは、利用停止が必要等）を判断する事が困難な場合等がある。

　さらに、例えば、機器の検査担当者は固定されていないので、経験値の少ない担当者Ｄとベテラン担当者Ｅが検査を実施したとする。検査結果に問題はないが、例えば、担当者Ｄには経験値によるケアレスミスのリスクがあり注意が必要だが、経験値を判断することが困難な場合等がある。

　本発明は、機器の運用中に変動するリスクが発生した場合でも、機器の継続利用可否を数値として把握することに貢献する、アクセス制御装置、アクセス制御方法及び、プログラムを提供することを目的とする。

　本発明の第１の視点によれば、システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録するリスク対象リスト登録部と、サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理する証跡情報管理部と、前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出するスコア算出部と、スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定する判定部と、前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御する制御部を含む、アクセス制御装置を提供できる。

　本発明の第２の視点によれば、プロセッサと記憶装置とを備えるコンピュータにより実行される、システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録するステップと、サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理するステップと、前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出するステップと、スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定するステップと、前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御するステップと、を含む、アクセス制御方法を提供できる。

　本発明の第３の視点によれば、コンピュータに、システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録する処理と、サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理する処理と、前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出する処理と、スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定する処理と、前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御する処理と、を実行させる、プログラムを提供できる。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（ｎｏｎ－ｔｒａｎｓｉｅｎｔ）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、機器の運用中に変動するリスクが発生した場合でも、機器の継続利用可否を数値として把握することに貢献する、アクセス制御装置、アクセス制御方法及び、プログラムを提供することができる。

本発明の一実施形態のアクセス制御装置の構成の一例を示す図である。本発明の第１の実施形態のアクセス制御装置の構成の一例を示す図である。本発明の第１の実施形態の証跡管理サーバにサプライチェーンの証跡情報をブロックチェーンを使用して記憶し管理する概要の一例を示す図である。本発明の第１の実施形態の証跡管理サーバに記憶するサプライチェーンの証跡情報の一例を示す図である。本発明の第１の実施形態のアクセス制御装置の動作の概要の一例を示すフローチャートである。本発明の第２の実施形態のアクセス制御装置の構成の一例を示す図である。本発明の第２の実施形態のアクセス制御装置の動作の概要の一例を示すフローチャートである。本発明のアクセス制御装置を構成するコンピュータの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。

　図１は、本発明の一実施形態のアクセス制御装置（ポリシーエンジン）３００の構成の一例を示す図である。本発明の一実施形態のアクセス制御装置３００は、リスク対象リスト登録部３１０と、証跡情報管理部３３０と、スコア算出部３４０と、判定部３６０と、制御部３７０及び、リスク対象リスト３２０と、ポリシー３５０を含む。スコア算出部３４０は、算出したスコアを格納するスコア格納部３４５を含む。スコア格納部３４５は、スコア算出部３４０から参照が可能であれば、スコア算出部３４０の外部あるいは、アクセス制御装置３００の外部に設けられてもよい。

　リスク対象リスト登録部３１０は、システム１００へアクセスする機器２００の運用中に発生した動的に変動するリスク１０をリスク対象リスト３２０に登録する。なお、リスク対象リスト３２０は、アクセス制御装置３００内に含まれる形態だけではなく、アクセス制御装置３００から参照が可能なアクセス制御装置３００の外部のサーバに配置されてもよい。証跡情報管理部３３０は、サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバ４００から、発生したリスク１０に関連する機器２００に関する証跡情報を収集し管理する。スコア算出部３４０は、機器に関する証跡情報と、リスク対象リスト３２０に登録されたリスク１０に基づいて、機器２００のスコア（信用スコア）を算出し、スコア格納部３４５に格納する。一例として、スコアは、サプライチェーンの情報に対して、スコア値が記載されたものである。判定部３６０は、スコアとアクセスの制御方法の関係を定義したポリシー３５０と、スコア格納部３４５に格納された機器２００のスコアから、システム１００への機器２００によるアクセスの制御方法を判定する。制御部３７０は、判定されたアクセスの制御方法に従って、システム１００への機器２００によるアクセスを制御する。

　ポリシー３５０により、スコアとアクセスの制御方法を、予め定義することができ、一例として、ポリシー３５０により、
・スコアが８０以下であれば、システム１００に対し、機器２００に関する特定のデータベース（ＤＢ）への書き込み権限を外すよう指示する、
・スコアが５０以下であれば、機器２００に対し、特定システム（サーバ）１００に対してのアクセスのみに制限（ＩＰアドレスを制限）する、
・スコアが２５以下であれば、機器２００をシステム１００に接続させないようにして（証明書を執行）、手動による再登録が必要となるようにする、
というように定義することができる。上記ポリシー３５０は、一例であり、他の定義も可能である。また、スコア値の妥当性や振る舞いを見直すために、機器２００の運用中に、ポリシー３５０の定義を変更することも可能である。

　本発明の一実施例の機器のスコア（信用スコア）を使用した機器の管理は、以下のような利点がある。例えば、基本的部品やソフトウェアの判断項目として、
・機器のシリアル番号（識別子）
・使用している部品のシリアル番号（識別子）
・使用しているソフトウェア名
等を使用して機器内の部品とソフトウェアの管理をした場合には、部品やソフトウェアの製造、販売元によるリスクが発生する可能性があるとき又は発生したときに、部品の安定供給や、ソフトウェアの品質等に影響が発生しても、リスクを判断できない。

　これに対して、上記の判断項目に加え、
・部品・ソフトウェアの販売・製造国情報（経済状況、治安状況等）
・部品・ソフトウェアの販売・製造会社情報（経営状況、優良度等）
・部品・ソフトウェアの流通情報（運搬方法、運搬日時）
のような、日々変わる流動的な情報（リスク）、即ち、販売・製造会社の経営状況、優良度、生産している国の状況や流通情報等（リスク）から算出した機器のスコア（信用スコア）を使用することで、セキュリティのリスク低減が可能となる。例えば、治安状況が良く、会社も優良であれば、部品・ソフトウェア等の安定的な供給や品質も保証されていると判断でき、更に、決まったルート・日時で運搬されていれば保管管理ができていると判断できるので、部品・ソフトウェア等を使用できる。

　本発明の一実施形態によれば、機器２００の運用中に変動するリスク１０が発生した場合でも、証跡管理サーバ４００によりブロックチェーンを使用して管理されているサプライチェーンの証跡情報の複合要素から算出した機器２００のスコア（信用スコア）を使用することにより、機器２００の継続利用可否を数値として把握することができ、更に、機器２００によるシステム１００へのアクセスを制御することができる、アクセス制御装置３００を提供することができる。

　［第１の実施形態］
次に、本発明の第１の実施形態について、図面を参照して説明する。図２は、本発明の第１の実施形態のアクセス制御装置（ポリシーエンジン）３００、システム１００、機器２００の構成の一例を示す図である。図２において、図１と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。

　図２を参照して、本発明の第１の実施形態のアクセス制御装置３００の構成の一例を説明するする。本発明の第１の実施形態のアクセス制御装置３００は、リスク対象リスト登録部３１０と、証跡情報管理部３３０と、スコア算出部３４０と、判定部３６０と、制御部３７０及び、機器情報管理部３８０と、リスク対象リスト３２０と、ポリシー３５０を含む。スコア算出部３４０は、算出したスコアを格納するスコア格納部３４５を含む。一例として、スコアは、サプライチェーンの情報に対して、スコア値が記載されたものであり、初期状態では、例えば、１００のような初期値が与えられているものとする。スコア格納部３４５は、スコア算出部３４０から参照が可能であれば、スコア算出部３４０の外部あるいは、アクセス制御装置３００の外部に設けられてもよい。

　機器情報管理部３８０は、機器情報格納部３８５を含む。機器情報格納部３８５は、機器情報管理部３８０から参照が可能であれば、機器情報管理部３８０の外部あるいは、アクセス制御装置３００の外部に設けられてもよい。

　図２は、機器２００が、Ａ国製の部品を使用している場合の一例を示したものである。図２を参照すると、機器２００は、例えば、エージェント２１０とアプリケーション２２０を含む。

　エージェント２１０は、その制御用プログラムが、セキュアな領域に確保されており、機器２００の、例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等の各種情報を収集し、アクセス制御装置３００に送信する。また、アクセス制御装置３００の指示により、機器２００からの出力、及び、機器２００への入力に対するアクセス制御も自律的に行うことが可能である。また、エージェント２１０は、システム１００からの指示に従い、システム１００に対する機器２００からのアクセスを制御することも可能である。

　上述の機器情報管理部３８０は、機器２００のエージェント２１０から、例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等の各種情報を受信し、機器情報として、機器情報格納部３８５に格納する。

　システム１００は、例えば、ゲートウェイ１１０とデータリソース１２０を含む。ゲートウェイ１１０は、アクセス制御装置３００の指示により、機器２００からのデータリソース１２０へのアクセスの制御を行う。

　次に、本発明の第１の実施形態のアクセス制御装置３００と協働する証跡管理サーバ４００について説明する。証跡管理サーバ４００は、各サプライチェーンの、機器２００の部品情報、例えば、製造日時、製造業者名等及び、機器２００の生産時に機器に組み込む部品名等の部品情報や、ソフトウェア情報、担当者等を管理し、運用、保守においても同様の情報を管理する。また、情報検証サーバ５００による検証の結果を管理し、各サプライチェーン間で情報共有が可能である。

　図３は、本発明の第１の実施形態のアクセス制御装置３００と協働する証跡管理サーバ４００に各サプライチェーン１０００の証跡情報をブロックチェーンを使用して記憶し管理する概要の一例を示す図である。図３を参照すると、証跡管理サーバ４００は、各サプライチェーン１０００から入力された、機器２００の、部品情報１０１０、生産情報１０２０、物流情報１０３０、運用情報１０４０、保守情報１０５０、廃棄情報１０６０のような証跡情報群を、各証跡情報に各種のトレーサビリティ情報を付加（１１００）し、ブロックチェーンを使用して、格納及び、管理する。トレーサビリティ情報は、一例として、ブロックチェーンの場合には、前に格納したブロックに関するハッシュ値等であり、前に格納したブロックに関するハッシュ値等を新たに格納するブロックに付加して、証跡管理サーバに格納してもよい。また、部品情報１０１０は、更に、部品生産情報１０１１と部品物流情報１０１２を含んでもよい。各証跡情報は、証跡管理サーバ４００へ、手動で格納されてもよく、システムによる自動収集を行って格納されてもよい。また、証跡管理サーバ４００は、情報検証サーバ５００の検証結果を格納して管理して、各サプライチェーン１０００間で情報の共有が可能である。

　図４は、本発明の第１の実施形態のアクセス制御装置３００と協働する証跡管理サーバ４００に記憶するサプライチェーン１０００の証跡情報２０００の一例を示す図である。図４を参照すると、各列は、各サプライチェーン１０００からインプットされた、部品情報１０１０、生産情報１０２０、物流情報１０３０、運用情報１０４０、保守情報１０５０、廃棄情報１０６０等の証跡情報を示し、主な証跡情報２００１の行は、各証跡情報に対する具体的な格納内容の一例を示したものである。

　例えば、部品情報１０１０については、一例として、部品の各種情報、即ち、部品情報として、部品型番、部品シリアル番号、製造業者名、製造日時等が記載されており、物流情報として、出荷日時、物流業者名等が記載されている。

　本発明の第１の実施形態では、証跡管理サーバ４００に格納された機器２００のサプライチェーンの証跡情報の部品情報１０１０には、製造業者名としてＡ国の製造業者名が記載されているとする。

　次に本発明の第１の実施形態のアクセス制御装置３００と協働する情報検証サーバ５００について説明する。情報検証サーバ５００は、証跡管理サーバ４００に格納された情報や、機器２００のＴＰＭ（Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ、トラステッドプラットフォームモジュール）内の情報の検証を実施し、検証の結果、即ち、情報の改ざんの有無等をアクセス制御装置３００へ応答する。情報検証サーバ５００は、外部第三者機関のデータベースサーバ（完全性情報データベース／アプリケーションの脆弱性情報データベース等）等の、例えば、自社製ではなく外部リソースのサービスでもよい。

　情報検証サーバ５００による改ざんの有無の判断については、例えば、証跡管理サーバ４００内のブロックチェーンを使用して格納された情報（ハッシュ値含む）を情報検証サーバ５００に登録し、その後に改めて証跡管理サーバ４００の情報（ハッシュ値含む）を情報検証サーバ５００へ送った場合に、情報の改ざんの有無を判断することが可能となる。

　次に、Ａ国自体がリスクの対象となった場合に、本発明の第１の実施形態のアクセス制御装置３００により、Ａ国製の部品を使用した機器２００の使用を禁止する動作について、図面を参照して説明する。

　図５は、本発明の第１の実施形態のアクセス制御装置３００の動作の概要の一例のフローチャートである。

　図５のフローチャートは、ステップＳ５０１で開始する。

　機器２００の運用中に、Ａ国でスパイ疑惑が発生し、Ａ国自体がリスクの対象となった場合について以下に説明する。Ａ国自体がリスクの対象となったので、アクセス制御装置３００にリスク１０が通知される（ステップＳ５０２）。

　リスク対象リスト登録部３１０は、Ａ国をリスク対象リスト３２０に登録する（ステップＳ５０３）。一例として、リスク対象リスト３２０に、Ａ国に対するスコアの減少ポイント、例えば、５０ポイントを登録してもよい。

　証跡情報管理部３３０は、リスク対象リスト登録部３１０からリスク対象リスト３２０に登録された、Ａ国に対するスコアの減少ポイントのような、Ａ国に関する情報を受け取り、機器情報格納部３８５に格納されている機器情報（例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等）に従って機器２００を特定し、証跡管理サーバ４００にアクセスして、機器２００に関する、Ａ国に関連する情報、例えば、部品情報１０１０や生産情報１０２０等を、検索する（ステップＳ５０４）。

　証跡情報管理部３３０は、証跡管理サーバ４００に格納された機器２００のサプライチェーンの証跡情報の部品情報１０１０には、製造業者名としてＡ国の製造業者名が記載されているので、これを、機器２００が、Ａ国製の部品を使用していることを示す証跡情報として検出する(ステップＳ５０５)。

　証跡情報管理部３３０は、検出したＡ国製の部品を使用していることを示す証跡情報を、情報検証サーバ５００へ送り、情報検証サーバ５００は、証跡情報に改ざんがなされたかどうかを検証し、検証結果を証跡情報管理部３３０へ返送する（ステップＳ５０６）。

　スコア算出部３４０は、証跡情報管理部３３０から機器２００についての検証された証跡情報を受け取り、及び、リスク対象リスト登録部３１０からリスク対象リスト３２０に登録された、Ａ国に対するスコアの減少ポイントのような、Ａ国に関する情報を受け取り、機器２００のスコアを算出する。

　ここで、スコア算出部３４０のスコア格納部３４５は、スコア算出部３４０により算出されたスコアを格納し、一例として、スコアは、サプライチェーンの情報に対して、スコア値が記載されたものであり、初期状態では、例えば、１００のような初期値が与えられているものとする。なお、スコアの初期値を０とし、Ａ国に対するスコアの減少ポイントを、増加ポイントとして、リスクが増加するとスコアも増加するように対応させてもよい。

　スコア算出部３４０は、一例として、初期値に対して、機器２００にリスクが有る場合はスコアを下げることにより、機器２００のスコアを算出する。なお、後述するように、リスクが解消されれば、一例として、スコアを初期値に設定してもよく、又は、スコアを所定値だけ上げてもよい。

　スコア算出部３４０は、証跡情報管理部３３０から受け取った機器２００についての検証結果において、証跡情報に改ざんがなされたと判断された場合、例えば、部品情報１０１０の製造日時が改ざんされた場合（ステップＳ５０７のＹ）には、機器２００のスコアを下げ、スコア格納部３４５に新たなスコアを格納する（ステップＳ５０８）。

　一方、スコア算出部３４０は、証跡情報管理部３３０から受け取った機器２００についての検証結果において、証跡情報に改ざんがなされていないと判断された場合（ステップＳ５０７のＮ）には、検索した証跡情報を基に、機器２００のスコアを下げ、スコア格納部３４５に新たなスコアを格納する（ステップＳ５０９）。

　一例として、スコア算出部３４０は、「製造業者名」（国も含む）等がリスクの対象になる場合、もしくは、機器２００を使用している企業のセキュリティポリシーのリスクの対象となる場合には、スコアを下げ、スコア格納部３４５に新たなスコアを格納する。

　なお、機器２００を使用している企業のセキュリティポリシーについては、使用している企業によって影響がある場合と、ない場合とが考えられ、機器２００を使用している企業独自の判断を取り入れる事が必要になる。例えば、機器２００に存在する部品の機能を使用している場合は、リスクが高く、機能を使用していない場合は影響ないというような、使用している企業のセキュリティポリシーを設定することもできる。

　他の一例として、今回のリスク１０では、Ａ国製の部品の製造業者には問題はないが、Ａ国自体がリスク対象となり、全ての物資（材料、製品等）が使用禁止となった場合には、スコア算出部３４０は、例えば、初期値１００から、リスク対象リスト３２０に、Ａ国に対するスコアの減少ポイントとして登録された、例えば、５０ポイントを下げ、スコアを５０に設定し、スコア格納部３４５に格納することができる。

　次に、判定部３６０は、スコア算出部３４０からスコア格納部３４５に格納された機器２００のスコア（例えば、上記のスコア５０）を受け取り、スコアとアクセスの制御方法の関係を定義したポリシー３５０に基づいて、機器２００のシステム１００へのアクセスの制御方法を判定する（ステップＳ５１０）。

　一例として、ポリシー３５０を、前述したように、スコアが５０以下であれば、機器２００に対し、特定システム（サーバ）１００に対してのアクセスのみに制限（ＩＰアドレスを制限）する、というように設定することができる。この設定に従って、機器２００のシステム１００へのアクセスの制御方法として、機器２００からシステム１００へのアクセスの禁止が判定される。なお、スコアの初期値を０とし、Ａ国に対するスコアの減少ポイントを、増加ポイントとして、リスクが増加するとスコアも増加するように対応させた場合には、ポリシー３５０も対応するように設定する。

　次に、制御部３７０は、機器情報格納部３８５に格納されている機器情報（例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等）に従って機器２００を特定し、判定されたアクセスの制御方法に従って、機器２００のエージェント２１０に、システム１００へのアクセスを禁止（遮断）するように指示する、又は、システム１００のゲートウェイ１１０に対し機器２００からのアクセスを禁止するように指示する（ステップＳ５１１）。例えば、機器２００自体の使用（システム１００へのアクセス）を禁止する、又は、システム１００のゲートウェイ１１０、機器２００のエージェント２１０に対し、アクセス権限（データリソース１２０へのアクセス、機能の動作制限等）を設定するようにしてもよい。リスクが解消されれば、一例として、スコアを初期値に設定してもよく、又は、スコアを所定値だけ上げてもよい。

　このように、機器２００の運用中にリスク１０が発生した場合に、機器２００のシステム１００へのアクセスを制御することができる。

　次に、リスクが継続している限り、リスクが消滅するかどうかが監視される（ステップＳ５１２のＮ）。例えば、Ａ国のスパイ疑惑が解消した場合のように、リスク１０が消滅した場合（ステップＳ５１２のＹ）には、アクセス制御装置３００にリスク１０の消滅が通知され、リスク対象リスト登録部３１０がリスク対象リスト３２０のリスク１０の登録を削除し、リスク対象リスト登録部３１０からスコア算出部３４０に、リスクが消滅したこと通知するようにしてもよい（ステップＳ５１３）。

　スコア算出部３４０は、リスクが消滅したことを示す通知を受け取ると、スコアを初期値に設定し又は、スコアを所定値だけ上げて、スコア格納部３４５に格納する（ステップＳ５１４）。

　スコアが、初期値に設定され又は、スコアを所定値だけ上げられたことにより、判定部３６０は、スコアとポリシー３５０からアクセス禁止の解除を判定し、制御部３７０は、機器２００のシステム１００へのアクセス禁止を解除する（ステップＳ５１５）。

　図５のフローチャートは、ステップＳ５１６で終了する。

　次にリスクが発生した場合、又は、リスクが動的に変動した場合には、ステップＳ５０１からＳ５１６の動作を繰り返す。このように、システム１００へアクセスする機器２００の運用中に発生した動的に変動するリスクに対して、サプライチェーンの証跡管理を活用した機器２００の運用管理を行うことができる。

　以上のように、本発明の第１の実施形態のアクセス制御装置３００により、機器２００の運用中に変動するリスクが発生した場合でも、機器２００の継続利用可否を数値として把握することに貢献する、アクセス制御装置３００を提供できる。

［第２の実施形態］
次に、本発明の第２の実施形態のアクセス制御装置について、図面を参照して説明する。図６は、本発明の第２の実施形態のアクセス制御装置３００の構成の一例を示す図である。図６において、図２と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。

　企業Ｂの開発したアプリケーション２２０を搭載している機器２００の運用中に、例えば、データ改ざん、営業計上改ざん等の、企業Ｂの不正が発覚した場合に、本発明の第２の実施形態のアクセス制御装置３００が、企業Ｂの開発したアプリケーション２２０を使用制限する場合の動作について、図面を参照して説明する。

　なお、図４を参照し、本発明の第２の実施形態では、証跡管理サーバ４００に格納された機器２００のサプライチェーンの証跡情報の生産情報１０２０には、ソフトウェア情報の開発業者名として、企業Ｂが記載されているとして説明する。

　図７は、本発明の第２の実施形態のアクセス制御装置３００の動作の概要の一例のフローチャートである。

　図７のフローチャートは、ステップＳ７０１で開始する。

　機器２００を運用中に、データ改ざん、営業経常改ざん等の、企業Ｂの不正が発覚し、企業Ｂがリスクの対象となった場合について以下に説明する。企業Ｂがリスクの対象となったので、アクセス制御装置３００にリスク１０が通知される（ステップＳ７０２）。

　リスク対象リスト登録部３１０は、企業Ｂをリスク対象リスト３２０に登録する（ステップＳ７０３）。一例として、リスク対象リスト３２０に、企業Ｂに対するスコアの減少ポイント、例えば、２０ポイントを登録してもよい。

　証跡情報管理部３３０は、リスク対象リスト登録部３１０からリスク対象リスト３２０に登録された、企業Ｂに対するスコアの減少ポイントのような、企業Ｂに関する情報を受け取り、機器情報格納部３８５に格納されている機器情報（例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等）に従って機器２００を特定し、証跡管理サーバ４００にアクセスして、機器２００に関する、企業Ｂに関連する情報、例えば、自社開発している製品や、販売している製品等を、検索する（ステップＳ７０４）。

　証跡情報管理部３３０は、証跡管理サーバ４００に格納された機器２００のサプライチェーンの証跡情報の生産情報１０２０にはソフトウェア情報の開発業者名として、企業Ｂが記載されているので、これを、機器２００が、企業Ｂのアプリケーション２２０を使用していることを示す証跡情報として検出する(ステップＳ７０５)。

　証跡情報管理部３３０は、検出した企業Ｂのアプリケーション２２０を使用していることを示す証跡情報を、情報検証サーバ５００へ送り、情報検証サーバ５００は、証跡情報に改ざんがなされたかどうかを検証し、検証結果を証跡情報管理部３３０へ返送する（ステップＳ７０６）。

　スコア算出部３４０は、証跡情報管理部３３０から機器２００についての検証された証跡情報を受け取り、及び、リスク対象リスト登録部３１０からリスク対象リスト３２０に登録された、企業Ｂに対するスコアの減少ポイントのような、企業Ｂに関する情報を受け取り、機器２００のスコアを算出する。

　ここで、スコア算出部３４０のスコア格納部３４５は、スコア算出部３４０により算出されたスコアを格納し、一例として、スコアは、サプライチェーンの情報に対して、スコア値が記載されたものであり、初期状態では、例えば、１００のような初期値が与えられているものとする。なお、スコアの初期値を０とし、企業Ｂに対するスコアの減少ポイントを、増加ポイントとして、リスクが増加するとスコアも増加するように対応させてもよい。

　スコア算出部３４０は、証跡情報管理部３３０から受け取った機器２００についての検証結果において、証跡情報に改ざんがなされたと判断された場合、例えば、生産情報１０２０のソフトウェア情報が改ざんされた場合（ステップＳ７０７のＹ）には、機器２００のスコアを下げ、スコア格納部３４５に新たなスコアを格納する（ステップＳ７０８）。

　一方、スコア算出部３４０は、証跡情報管理部３３０から受け取った機器２００についての検証結果において、証跡情報に改ざんがなされていないと判断された場合（ステップＳ７０７のＮ）には、検索した証跡情報を基に、機器のスコアを下げ、スコア格納部３４５に新たなスコアを格納する（ステップＳ７０９）。

　一例として、スコア算出部３４０は、「ソフトウェア情報」（開発会社・国も含む）等がリスクの対象になる場合、もしくは、機器２００を使用している企業のセキュリティポリシーのリスクの対象となる場合には、スコアを下げ、スコア格納部３４５に新たなスコアを格納する。

　なお、機器２００を使用している企業のセキュリティポリシーについては、使用している企業によって影響がある場合と、ない場合とが考えられ、機器２００を使用している企業独自の判断を取り入れる事が必要になる。例えば、機器に存在するアプリケーション２２０の機能を使用している場合は、リスクが高く、機能を使用していない場合は影響ないというような、使用している企業のセキュリティポリシーを設定することもできる。

　他の一例として、今回のリスク１０では、企業Ｂのアプリケーションには問題はないが、企業Ｂの信頼度が下がった場合にはリスク対象となり、スコア算出部３４０は、例えば、初期値１００から、リスク対象リスト３２０に、企業Ｂに対するスコアの減少ポイントとして登録された、例えば、２０ポイントを下げ、スコアを８０に設定し、スコア格納部３４５に格納することができる。

　次に、判定部３６０は、スコア算出部３４０からスコア格納部３４５に格納された機器２００のスコア（例えば、上記のスコア８０）を受け取り、スコアとアクセスの制御方法の関係を定義したポリシー３５０に基づいて、機器２００のシステム１００へのアクセスの制御方法を判定する（ステップＳ７１０）。

　一例として、ポリシー３５０を、前述したように、スコアが８０以下であれば、システム１００に対し、機器２００に関する特定のデータベース（ＤＢ）への書き込み権限を外すよう指示する、というように設定することができる。この設定に従って、機器２００のシステム１００へのアクセスの制御方法として、機器２００のアプリケーション２２０からシステム１００への書き込みの禁止が判定される。なお、スコアの初期値を０とし、企業Ｂに対するスコアの減少ポイントを、増加ポイントとして、リスクが増加するとスコアも増加するように対応させた場合には、ポリシー３５０も対応するように設定する。

　次に、制御部３７０は、機器情報格納部３８５に格納されている機器情報（例えば、製品型番、製品シリアル番号、ＭＡＣアドレス、ＩＰアドレス、ソフトウェア情報（例えば、ＯＳ、アプリケーション等）等）に従って機器２００を特定し、判定されたアクセスの制御方法に従って、システム１００のゲートウェイ１１０に対し、機器２００のアプリケーション２２０からのデータリソース１２０への書き込み（変更）を禁止するように指示する（ステップＳ７１１）。ただし、システム１００のデータリソース１２０への参照は可能のままとすることもできる。後述するように、企業Ｂの不正が解消された場合には、スコアを戻すことでデータリソースへの書き込み（変更）も可能となる。

　次に、リスクが継続している限り、リスクが消滅するかどうかが監視される（ステップＳ７１２のＮ）。例えば、企業Ｂの不正が解消した場合のように、リスク１０が消滅した場合（ステップＳ７１２のＹ）には、アクセス制御装置３００にリスク１０の消滅が通知され、リスク対象リスト登録部３１０がリスク対象リスト３２０のリスク１０の登録を削除し、リスク対象リスト登録部３１０からスコア算出部３４０に、リスクが消滅したこと通知するようにしてもよい（ステップＳ７１３）。

　スコア算出部３４０は、リスクが消滅したことを示す通知を受け取ると、スコアを初期値に設定し又は、スコアを所定値だけ上げて、スコア格納部３４５に格納する（ステップＳ７１４）。

　スコアが、初期値に設定され又は、スコアを所定値だけ上げられたことにより、判定部３６０は、スコアとポリシー３５０から、データリソース１２０への書き込み禁止の解除を判定し、制御部３７０は、機器２００のシステム１００へのデータリソース１２０への書き込み禁止を解除する（ステップＳ７１５）。

　図７のフローチャートは、ステップＳ７１６で終了する。

　次にリスクが発生した場合、又は、リスクが動的に変動した場合には、ステップＳ７０１からＳ７１６の動作を繰り返す。このように、システム１００へアクセスする機器２００の運用中に発生した動的に変動するリスクに対して、サプライチェーンの証跡管理を活用した機器２００の運用管理を行うことができる。

　以上のように、本発明の第２の実施形態のアクセス制御装置３００により、機器２００の運用中に変動するリスクが発生した場合でも、機器２００の継続利用可否を数値として把握することに貢献する、アクセス制御装置３００を提供できる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したシステム構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「Ａ及び／又はＢ」は、Ａ又はＢの少なくともいずれかという意味で用いる。

　また、上記した第１の実施形態～第２の実施形態に示した手順は、アクセス制御装置３００として機能するコンピュータ（図８の９０００）に、アクセス制御装置３００としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図８のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）９０１０、通信インタフェース９０２０、メモリ９０３０、補助記憶装置９０４０を備える構成に例示される。すなわち、図８のＣＰＵ９０１０にて、アクセス制御プログラムを実行し、その補助記憶装置９０４０等に保持された各計算パラメータの更新処理を実施させればよい。

　メモリ９０３０は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）等である。

　即ち、上記した第１の実施形態～第２の実施形態に示したアクセス制御装置の各部（処理手段、機能）は、上記コンピュータのプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
（上記第１の視点によるアクセス制御装置を参照）
［第２の形態］
第１の形態に記載のアクセス制御装置は、前記スコア算出部は、前記機器に関する前記証跡情報が、情報の検証を実行する情報検証サーバにより、改ざんされていないと決定された場合には、前記機器に関する前記証跡情報が、前記リスク対象リストに登録された前記リスクの対象となる場合に、初期値との差が大きくなるように、前記機器のスコアを更新することにより、前記機器のスコアを算出する、ことが望ましい。
［第３の形態］
第１の形態に記載のアクセス制御装置は、前記スコア算出部は、前記機器に関する前記証跡情報が、情報の検証を実行する情報検証サーバにより、改ざんされていると決定された場合には、初期値との差が大きくなるように、前記機器のスコアを更新することにより、前記機器のスコアを算出する、ことが望ましい。
［第４の形態］
第２の形態または第３の形態に記載のアクセス制御装置は、前記スコア算出部は、前記リスクが消滅した場合には、前記スコアに前記初期値を設定し、
前記制御部は、前記システムへの前記機器によるアクセスの制御を解除する、ことが望ましい。
［第５の形態］
第１の形態から第４の形態のいずれかに記載のアクセス制御装置は、前記機器から機器情報を受信し管理する機器情報管理部をさらに含み、
前記制御部と前記証跡情報管理部は、前記機器情報に従って、前記機器を特定する、ことが望ましい。
［第６の形態］
第１の形態から第５の形態のいずれかに記載のアクセス制御装置は、前記ポリシーは、前記スコアに対する、前記システムへの前記機器によるアクセスの制御方法を規定する、ことが望ましい。
［第７の形態］
第１の形態から第６の形態のいずれかに記載のアクセス制御装置は、前記システムは、ゲートウェイとデータリソースを含み、
前記制御部は、前記アクセスの制御方法に従って、前記ゲートウェイに、前記機器によるデータリソースへのアクセスの制御を許可するように指示する、ことが望ましい。
［第８の形態］
第１の形態から第７の形態のいずれかに記載のアクセス制御装置は、前記機器は、アプリケーションと、アプリケーションを制御するエージェントを含み、
前記制御部は、前記アクセスの制御方法に従って、前記エージェントに、前記システムへのアクセスの制御を許可するように指示する、ことが望ましい。
［第９の形態］
（上記第２の視点によるアクセス制御方法を参照）
［第１０の形態］
（上記第３の視点によるプログラムを参照）
　なお、上記第９、第１０の形態は、第１の形態と同様に、第２～第８の形態に展開することが可能である。

　なお、上記の特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

１０　リスク
１００　システム
１１０　ゲートウェイ
１２０　データリソース
２００　機器
２１０　エージェント
２２０　アプリケーション
３００　アクセス制御装置
３１０　リスク対象リスト登録部
３２０　リスク対象リスト
３３０　証跡情報管理部
３４０　スコア算出部
３４５　スコア格納部
３５０　ポリシー
３６０　判定部
３７０　制御部
３８０　機器情報管理部
３８５　機器情報格納部
４００　証跡管理サーバ
５００　情報検証サーバ
１０００　サプライチェーン
２０００　証跡情報
９０００　コンピュータ
９０１０　ＣＰＵ
９０２０　通信インタフェース
９０３０　メモリ
９０４０　補助記憶装置

Claims

　システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録するリスク対象リスト登録部と、
　サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理する証跡情報管理部と、
　前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出するスコア算出部と、
　スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定する判定部と、
　前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御する制御部を含む、アクセス制御装置。
　前記スコア算出部は、前記機器に関する前記証跡情報が、情報の検証を実行する情報検証サーバにより、改ざんされていないと決定された場合には、前記機器に関する前記証跡情報が、前記リスク対象リストに登録された前記リスクの対象となる場合に、初期値との差が大きくなるように、前記機器のスコアを更新することにより、前記機器のスコアを算出する、請求項１に記載のアクセス制御装置。
　前記スコア算出部は、前記機器に関する前記証跡情報が、情報の検証を実行する情報検証サーバにより、改ざんされていると決定された場合には、初期値との差が大きくなるように、前記機器のスコアを更新することにより、前記機器のスコアを算出する、請求項１に記載のアクセス制御装置。
　前記スコア算出部は、前記リスクが消滅した場合には、前記スコアに前記初期値を設定し、
　前記制御部は、前記システムへの前記機器による前記アクセスの制御を解除する、請求項２または３に記載のアクセス制御装置。
　前記機器から機器情報を受信し管理する機器情報管理部をさらに含み、
　前記制御部と前記証跡情報管理部は、前記機器情報に従って、前記機器を特定する、請求項１から４のいずれか一項に記載のアクセス制御装置。
　前記ポリシーは、前記スコアに対する、前記システムへの前記機器によるアクセスの制御方法を規定する、請求項１から５のいずれか一項に記載のアクセス制御装置。
　前記システムは、ゲートウェイとデータリソースを含み、
　前記制御部は、前記アクセスの制御方法に従って、前記ゲートウェイに、前記機器による前記データリソースへの前記アクセスを制御するように指示する、請求項１から６のいずれか一項に記載のアクセス制御装置。
　前記機器は、アプリケーションと、アプリケーションを制御するエージェントを含み、
　前記制御部は、前記アクセスの制御方法に従って、前記エージェントに、前記システムへの前記アクセスを制御するように指示する、請求項１から７のいずれか一項に記載のアクセス制御装置。
　プロセッサと記憶装置とを備えるコンピュータにより実行される、
　システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録するステップと、
　サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理するステップと、
　前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出するステップと、
　スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定するステップと、
　前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御するステップと、を含む、アクセス制御方法。
　コンピュータに、
　システムへアクセスする機器の運用中に発生した動的に変動するリスクをリスク対象リストに登録する処理と、
　サプライチェーンの証跡情報をブロックチェーンを使用して管理する証跡管理サーバから、発生した前記リスクに関連する前記機器に関する証跡情報を収集し管理する処理と、
　前記機器に関する前記証跡情報と、前記リスク対象リストに登録された前記リスクに基づいて、前記機器のスコアを算出する処理と、
　スコアとアクセスの制御方法の関係を定義したポリシーと、前記機器のスコアから、前記システムへの前記機器による前記アクセスの制御方法を判定する処理と、
　前記アクセスの制御方法に従って、前記システムへの前記機器による前記アクセスを制御する処理と、を実行させる、プログラム。