JP2019053412A - Information collection device and information collection system - Google Patents

Information collection device and information collection system Download PDF

Info

Publication number
JP2019053412A
JP2019053412A JP2017175859A JP2017175859A JP2019053412A JP 2019053412 A JP2019053412 A JP 2019053412A JP 2017175859 A JP2017175859 A JP 2017175859A JP 2017175859 A JP2017175859 A JP 2017175859A JP 2019053412 A JP2019053412 A JP 2019053412A
Authority
JP
Japan
Prior art keywords
information
unit
inspection
communication
status
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017175859A
Other languages
Japanese (ja)
Other versions
JP6890073B2 (en
Inventor
宏樹 内山
Hiroki Uchiyama
宏樹 内山
信 萱島
Makoto Kayashima
信 萱島
礒川 弘実
Hiromi Isogawa
弘実 礒川
千秋 太田原
Chiaki Otawara
千秋 太田原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017175859A priority Critical patent/JP6890073B2/en
Publication of JP2019053412A publication Critical patent/JP2019053412A/en
Application granted granted Critical
Publication of JP6890073B2 publication Critical patent/JP6890073B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To collect information necessary for security risk analysis without an influence upon operations performed in a control system.SOLUTION: An information collection device 20 comprises: a communication packet storage unit 211 which stores therein packets received from a network; an operation flow extraction unit 202 which extracts an operation flow transmitted and received within a system, from the packets stored in the communication packet storage unit; a communication pattern extraction unit 203 which extracts a communication pattern transmitted and received within the system, from the packets stored in the communication packet storage unit 211; an inspection command selection unit 206 which uses the communication pattern to estimate an idle time of communication within the system and selects an inspection command which can be executed at such a timing that the operation flow extracted by the operation flow extraction unit is not influenced; and a countermeasure situation estimation unit 207 which transmits the selected inspection command to another device being an object of information collection within the system and estimates a countermeasure situation of this device on the basis of an acquired result.SELECTED DRAWING: Figure 1

Description

本発明は、セキュリティリスクの分析を支援する情報収集装置、情報収集システムに関する。   The present invention relates to an information collection device and an information collection system that support security risk analysis.

電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的に通信が発生し、その通信データをもとに処理を行うことが通例である。この周期を阻害した場合、最悪のケースでは制御自体が止まってしまうケースもある。   Control systems used in social infrastructure such as electric power, railways, water supply and gas and in automobiles are required to operate devices such as valves and actuators based on sensor information and maintain preset pressure and temperature. Ru. In order to realize this operation, in a built-in device such as a controller, periodically acquire information from the sensor, check the status, notify other controllers, servers, etc., and perform control as necessary. Is required. For this reason, in the control system, communication is periodically generated, and processing is usually performed based on the communication data. If this cycle is disturbed, in the worst case, the control itself may stop.

一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service attack)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスを検知するセキュリティ対策技術が必要となっている。しかしながら、制御システムはシステム規模が大きいケースが多く、システム内の構成や対策状況をもとにセキュリティリスクを認識し、必要な対策の内容と場所を明確化することは莫大な工数が必要となり、実施することが困難であった。   On the other hand, the control system has so far used a dedicated operating system (OS) or a dedicated protocol, and is installed in an isolated state in an area that can not be accessed from an external network such as the Internet. It has been considered as irrelevant from cyber attacks such as Service attack). However, cases of using a general-purpose OS or a general-purpose protocol for cost reduction are increasing, and connection with an information system is also in progress for improving efficiency. Also, in recent years, computer viruses targeting the control system have been discovered, and the control system also needs security countermeasure technology for detecting infection such as malware and unauthorized access from the outside like the information system. . However, there are many cases where the control system is large in system scale, and it is necessary to recognize the security risk based on the configuration of the system and the state of the countermeasure, and to clarify the contents and the location of the necessary countermeasure. It was difficult to carry out.

このような課題に対し、システム内に現状分析手段や資産分析手段を導入し、システムに含まれる脆弱性や資産の情報から、システムのリスク分析や対策立案を行う技術が知られている(たとえば、特許文献1参照)。   In order to solve such problems, there is known a technique of introducing current analysis means and asset analysis means in the system and performing system risk analysis and countermeasure planning from the information of vulnerability and property included in the system (for example, , Patent Document 1).

WO2008/004498号公報WO 2008/004498

制御システムは内部で実行される業務に可用性が要求されるため、従来技術のような業務の特性等を考慮せずに情報収集を行った場合、情報収集の影響により、業務の遅延や停止等が引き起こされる可能性があり、適用することが困難であった。   Since the control system requires availability for internally executed operations, when information is collected without considering the characteristics of operations as in the prior art, the delay or stoppage of operations due to the influence of information collection, etc. Could be caused and was difficult to apply.

本発明は、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能な情報収集装置、情報収集システムを提供することを目的とする。   An object of the present invention is to provide an information collecting apparatus and an information collecting system capable of collecting information necessary for security risk analysis without affecting operations performed in a control system. .

本発明にかかる情報収集装置は、制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集する情報収集装置であって、前記情報収集装置は、ネットワークから受信したパケットを格納する通信パケット格納部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、を備えることを特徴とする情報収集装置として構成される。   An information collecting apparatus according to the present invention is an information collecting apparatus for collecting information in a system required to extract a security risk inherent in a control system, wherein the information collecting apparatus receives a packet received from a network. A communication packet storage unit for storing, a business flow extraction unit for extracting a business flow to be transmitted / received in the system from the packets stored in the communication packet storage unit, and a system from the packets stored in the communication packet storage unit A communication pattern extraction unit that extracts a communication pattern to be transmitted / received inside, and an operation free time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and the business flow extracted by the business flow extraction unit Command selection unit that selects a test command that can be executed at a timing that does not affect And a countermeasure status estimation unit configured to transmit the selected inspection command to another device in the system that is to collect the information, and to estimate the countermeasure status of the other device based on the acquired result. It is comprised as an information gathering device characterized by the above.

また、本発明は、上記情報収集装置を有した情報収集システムとしても把握される。   Further, the present invention is also understood as an information collection system having the above-described information collection apparatus.

本発明によれば、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。   According to the present invention, it is possible to collect information required for security risk analysis without affecting the operations performed by the control system.

本実施形態が適用されたセキュリティリスク分析支援システムの構成を例示する図である。It is a figure which illustrates the composition of the security risk analysis support system to which this embodiment was applied. 図1に示す制御装置のハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the control apparatus shown in FIG. 図1に示す監視・検査装置のハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the monitoring and inspection apparatus shown in FIG. 図1に示す分析サーバのハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the analysis server shown in FIG. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、業務時に実施する処理フローを例示する図である。In the security risk analysis support system to which this embodiment is applied, it is a figure which illustrates the processing flow performed at the time of work. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置を用いて通信パターンを抽出する処理フローを例示する図である。In the security risk analysis support system to which this embodiment is applied, it is a figure which illustrates the processing flow which extracts a communication pattern using a monitoring and inspection device. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置を用いて、制御装置の対策状況を収集する処理フローを例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the processing flow which collects the countermeasure condition of a control apparatus using a monitoring and an inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置に蓄積した業務フローや対策状況を分析サーバに送信し、リスク分析を行う処理フローを例示する図である。FIG. 8 is a diagram illustrating a process flow of risk analysis by transmitting the task flow and the countermeasure status stored in the monitoring and inspection device to the analysis server in the security risk analysis support system to which the present embodiment is applied. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置に格納する検査ポリシの設定画面を例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the setting screen of the inspection policy stored in a monitoring and inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置から出力する検査状況確認画面を例示する図である。The security risk analysis support system by which this embodiment was applied WHEREIN: It is a figure which illustrates the test condition confirmation screen output from a monitoring and a test | inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の通信パケット格納部に格納される通信パケットの構成を例示する図である。In the security risk analysis support system to which this embodiment is applied, it is a figure which illustrates the composition of the communication packet stored in the communication packet storage of the monitoring and inspection device. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の業務フロー格納部に格納される業務フローの構成を例示する図である。In the security risk analysis support system to which this embodiment is applied, it is a figure which illustrates the composition of the work flow stored in the work flow storage part of a monitoring and inspection device. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の通信パターン格納部に格納される通信パターンの構成を例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the structure of the communication pattern stored in the communication pattern storage part of a monitoring and inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の検査ポリシ格納部に格納される検査ポリシの構成を例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the structure of the test | inspection policy stored in the test | inspection policy storage part of monitoring / inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の検査コマンド格納部に格納される検査コマンドの構成を例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the structure of the test | inspection command stored in the test | inspection command storage part of a monitoring and a test | inspection apparatus. 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の対策状況格納部に格納される対策状況の構成を例示する図である。The security risk analysis support system to which this embodiment was applied WHEREIN: It is a figure which illustrates the structure of the countermeasure status stored in the countermeasure status storage part of a monitoring and an inspection apparatus.

本実施形態について説明する。   The present embodiment will be described.

図1は、本実施形態におけるセキュリティリスク分析支援システムの構成図である。   FIG. 1 is a block diagram of a security risk analysis support system in the present embodiment.

本実施形態のセキュリティリスク分析支援システムは、図1に例示するように、制御装置10〜10と、監視・検査装置20〜20と、ネットワーク装置30〜30と、外部ネットワーク40と、分析サーバ50と、から構成されている。 In the security risk analysis support system of the present embodiment, as illustrated in FIG. 1, control devices 10 1 to 10 n , monitoring and inspection devices 20 1 to 20 n , network devices 30 1 to 30 n, and an external network 40 and an analysis server 50.

制御装置10〜10は、セキュリティリスク分析に必要となる情報を収集する対象となる装置であり、制御処理を行う制御処理部101〜101と、ネットワーク装置30〜30等と通信を行う通信部102〜102と、を含む。 The control devices 10 1 to 10 n are devices that are targets for collecting information necessary for security risk analysis, and include control processing units 101 1 to 101 n that perform control processing, network devices 30 1 to 30 n, and the like. Communication units 102 1 to 102 n that perform communication.

監視・検査装置20〜20は、ネットワーク装置30〜30から通信パケットを取得する通信パケット取得部201〜201と、取得した通信パケットから特定の機器間の一連のデータフローである業務フローを抽出する業務フロー抽出部202〜202と、取得した通信パケットから通信が行われるタイミングを抽出する通信パターン抽出部203〜203と、取得した通信パケットから業務に利用されている機器の一覧を抽出する装置リスト抽出部204〜204と、現在の時刻情報を取得する時刻情報取得部205〜205と、各機器に対して送信する検査コマンドを選定する検査コマンド選定部206〜206と、各機器に送信した検査コマンドのレスポンスから、各機器の対策状況を推定する対策状況推定部207〜207と、ネットワーク30〜30と通信を行う内部通信部208〜208と、外部ネットワーク40と通信を行う外部通信部209〜209と、業務フローや対策状況の収集状況を出力する検査状況出力部210〜210と、通信パケット取得部201〜201で取得した通信パケットを格納する通信パケット格納部211〜211と、業務フロー抽出部202〜202で抽出した業務フローを格納する業務フロー格納部212〜212と、通信パターン抽出部203〜203で抽出した通信パターンを格納する通信パターン格納部213〜213と、検査コマンド選定部206〜206で検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部214〜214と、検査コマンド選定部206〜206で選定する検査コマンドの一覧を格納する検査コマンド格納部215〜215と、対策状況推定部207〜207で推定した各機器の対策状況を格納する対策状況格納部216〜216と、を含む。 Monitoring and inspection apparatus 20 1 to 20 n includes a communication packet acquisition unit 201 1 ~201 n to obtain a communication packet from the network device 30 1 to 30 n, a series of data flow between a particular device from the acquired communication packet a workflow extracting section 202 1 to 202 n for extracting certain business flow, the communication pattern extraction unit 203 1 ~203 n for extracting the timing of the communication from the acquired communication packets is performed, is utilized for business from acquired communication packet Device list extractors 204 1 to 204 n for extracting a list of active devices, time information acquisition units 205 1 to 205 n for acquiring current time information, and an inspection for selecting an inspection command to be transmitted to each device and a command selecting unit 206 1 -206 n, from the response of the test command transmitted to each device, measures each device And countermeasure state estimation unit 207 1 to 207 n to estimate the situation, the network 30 1 to 30 and the internal communication unit 208 1 ~208 n that communicates with the n, external communication unit 209 1 that communicates with an external network 40 ~209 n When one inspection status output unit 210 that outputs a collection status of the business flow and measure status to 210 n and the communication packet storing unit 211 1 for storing the communication packet acquired by the communication packet acquisition unit 201 1 ~201 n ~211 n If, stores communication pattern for storing the operation flow storage unit 212 1 -212 n for storing business flow extracted by the workflow extracting section 202 1 to 202 n, the extracted communication pattern in the communication pattern extraction unit 203 1 ~203 n and part 213 1 ~213 n, in selecting an inspection command in the inspection command selection unit 206 1 -206 n An inspection policy storage unit 214 1 -214 n for storing inspection policy to irradiation, the test command storage unit 215 1 to 215 n for storing a list of test commands to be selected by checking the command selecting unit 206 1 -206 n, measure status And countermeasure status storage units 216 1 to 216 n that store the countermeasure status of each device estimated by the estimation units 207 1 to 207 n .

ネットワーク装置30〜30は、制御装置10〜10と通信を行う通信部301〜301と、監視・検査装置20〜20と通信を行うパケット複製通信部302〜302と、を含む。 Network device 30 1 to 30 n, the controller and 10 1 to 10 n and the communication unit 301 1 to 301 n that performs communication, monitoring and inspection apparatus 20 1 to 20 packet replication communication unit 302 that performs n communication 1-302 and n .

分析サーバ50は、監視・検査装置20〜20から受信した業務フローや対策状況の不足状況に関して検証を行う入力情報確認部501と、不足があると判断された場合に不足情報を入力する不足情報入力部502と、入力された情報を用いてリスク分析を行うリスク分析部503と、リスク分析の結果を出力する結果出力部504と、入力情報検証部501で入力情報の検証を行う際に参照する必要情報格納部505と、外部ネットワーク40と通信を行う通信部506と、を含む。 The analysis server 50 inputs the input information confirmation unit 501 for verifying respect shortage situation of the business flows and measure status received from the monitoring and inspection apparatus 20 1 to 20 n, the lack of information when it is determined that there is insufficient When the shortage information input unit 502, the risk analysis unit 503 that performs risk analysis using the input information, the result output unit 504 that outputs the result of the risk analysis, and the input information verification unit 501 verify the input information And a communication unit 506 for communicating with the external network 40.

図2は制御装置10〜10のハードウェア構成を例示する図である。制御装置10〜10は、通信装置11と、入出力装置12と、記憶装置13と、CPU(Central Processing Unit)14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。 FIG. 2 is a diagram illustrating the hardware configuration of the control devices 10 1 to 10 n . In the control devices 10 1 to 10 n , the communication device 11, the input / output device 12, the storage device 13, the CPU (Central Processing Unit) 14, and the memory 15 are connected by an internal communication line 16 such as a bus. It is configured.

図3は監視・検査装置20〜20のハードウェア構成を例示する図である。監視・検査装置20〜20は、内部通信装置21と、内部通信装置22と、記憶装置23と、入出力装置24と、CPU25と、メモリ26と、がバスなどの内部通信線27で連結され、構成されている。 Figure 3 is a diagram illustrating the hardware configuration of the monitoring and inspection apparatus 20 1 to 20 n. The monitoring and inspection devices 20 1 to 20 n each have the internal communication device 21, the internal communication device 22, the storage device 23, the input / output device 24, the CPU 25, and the memory 26 via an internal communication line 27 such as a bus. It is connected and configured.

図4は分析サーバ50のハードウェア構成を例示する図である。分析サーバ50は、通信装置51と、入出力装置52と、記憶装置53と、CPU54と、メモリ55と、記憶媒体57を読み込む読取装置56と、がバスなどの内部通信線58で連結され、構成されている。   FIG. 4 is a diagram illustrating the hardware configuration of the analysis server 50. As shown in FIG. In the analysis server 50, the communication device 51, the input / output device 52, the storage device 53, the CPU 54, the memory 55, and the reading device 56 for reading the storage medium 57 are connected by an internal communication line 58 such as a bus. It is configured.

本実施形態のセキュリティリスク分析支援システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視・検査装置20〜20やネットワーク装置30〜30や分析サーバ50の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、セキュリティリスク分析支援システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
The processing flow in the security risk analysis support system of this embodiment will be described. Process flow described below, control device 10 1 to 10 n and monitoring and inspection apparatus 20 1 to 20 n or the network device 30 1 to 30 n and analysis program stored in the storage device of the server 50 is loaded into memory, By being executed by the CPU, it is executed by each processing unit embodied on an apparatus constituting the security risk analysis support system. Also, each program may be stored in advance in a storage device, or may be introduced as needed via another storage medium or communication medium (network or carrier wave propagating through the network).

図5は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、ネットワークを流れる通信パケットを収集する際に実施する処理フローを示した図である。 Figure 5 is the security risk analysis support system to which this embodiment is applied, using the monitoring and inspection apparatus 20 1 to 20 n, a diagram showing a processing flow performed in collecting communication packets flowing network is there.

はじめに、制御装置10は、制御コマンドを生成する(S501(S501と表現する。以下同様))。次に、制御装置10は、生成した制御コマンド(A501)をネットワーク装置30に送信する(S502)。 First , the control device 101 generates a control command (S501 (expressed as S501; the same applies hereinafter)). Next, the controller 10 1 transmits the generated control command to (A 501) to the network device 30 1 (S502).

次に、ネットワーク装置30は、制御装置10から受信した制御コマンド(A501)を複製する(S503)。次に、ネットワーク装置30は、複製した制御コマンド(A501)を監視・検査装置20および制御装置10に送信する(S504)。 Then, the network apparatus 30 1, replicates the received control commands (A 501) from the controller 10 1 (S503). Then, the network apparatus 30 1 transmits the duplicated control command (A 501) monitoring and inspection apparatus 20 1 and the control device 10 2 (S504).

次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S505)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 The monitoring and inspection apparatus 20 1 stores the communication packet received from the network apparatus 30 1 to the communication packet storage unit 211 1 (S505). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.

次に、制御装置10は、ネットワーク装置30から受信した制御コマンド(A501)を処理する(S506)。次に、制御装置10は、処理した結果を踏まえて、制御コマンドを生成する(S507)。次に、制御装置10は、生成した制御コマンド(A502)を制御装置10に送信する(S508)。 Next, the control unit 10 2 processes the control commands received from the network apparatus 30 1 (A501) (S506) . Next, the control unit 10 2, based on the results of processing, and generates a control command (S507). Next, the control unit 10 2 transmits the generated control command to (A 502) to the control unit 10 n (S508).

次に、ネットワーク装置30は、制御装置10から受信した制御コマンド(A502)を複製する(S509)。次に、ネットワーク装置30は、複製した制御コマンド(A502)を監視・検査装置20および制御装置10に送信する(S510)。 Then, the network device 30 n replicates the control command received (A 502) from the control device 10 2 (S509). Next, the network device 30 n transmits the copied control command (A 502) to the monitoring and inspection device 20 n and the control device 10 n (S 510).

次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S511)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 Next, the monitoring and inspection apparatus 20 n stores the communication packet received from the network device 30 n in the communication packet storage unit 211 n (S 511). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.

次に、制御装置10は、ネットワーク装置30から受信した制御コマンド(A502)を処理する(S512)。次に、制御装置10は、処理した結果を示すレスポンス(A503)を制御装置10に送信する(S513)。 Next, the control device 10 n processes the control command (A 502) received from the network device 30 n (S 512). Next, the control device 10 n transmits a response indicating the result of processing (A503) to the control unit 10 2 (S513).

次に、ネットワーク装置30は、受信したレスポンス(A503)を複製する(S514)。次に、ネットワーク装置30は、複製したレスポンス(A503)を監視・検査装置20および制御装置10に送信する(S515)。 Next, the network device 30 n duplicates the received response (A 503) (S 514). Then, the network device 30 n transmits replicated response (A503) monitoring and inspection apparatus 20 n and the control unit 10 2 (S515).

次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S516)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 Next, the monitoring and inspection apparatus 20 n stores the communication packet received from the network device 30 n in the communication packet storage unit 211 n (S 516). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.

次に、制御装置10は、ネットワーク装置30から受信したレスポンス(A503)を処理する(S517)。次に、制御装置10は、処理した結果を示すレスポンス(A504)を制御装置10に送信する(S518)。 Next, the control unit 10 2 processes the response (A503) received from the network device 30 n (S517). Next, the control unit 10 2 transmits a response indicating the result of processing (A 504) to the control apparatus 10 1 (S518).

次に、ネットワーク装置30は、受信したレスポンス(A504)を複製する(S519)。次に、ネットワーク装置30は、複製したレスポンス(A504)を監視・検査装置20および制御装置10に送信する(S520)。 Then, the network apparatus 30 1 replicates the response (A 504) was received (S519). Then, the network apparatus 30 1 transmits replicated response to (A 504) in the monitoring and inspection apparatus 20 1 and the control apparatus 10 1 (S520).

次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S521)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 The monitoring and inspection apparatus 20 1 stores the communication packet received from the network apparatus 30 1 to the communication packet storage unit 211 1 (S521). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.

図6は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、通信パケットの収集後に実施する通信パターンを抽出する処理フローを示した図である。当該処理は、図5に示した処理実行後、任意のタイミングで行われる。 Figure 6 is the security risk analysis support system to which this embodiment is applied, using the monitoring and inspection apparatus 20 1 to 20 n, a diagram illustrating a process flow for extracting the communication pattern carried out after the collection of a communication packet is there. The process is performed at an arbitrary timing after the process shown in FIG.

はじめに、監視・検査装置20〜20は通信パターン抽出処理を開始する(S601)。次に、監視・検査装置20〜20は、通信パケット格納部211〜211から通信パケットを取得する(S602)。次に、監視・検査装置20〜20は、取得した通信パケットから時間的に連続している一連のデータフローである業務フローを抽出する(S603)。ここで、時間的な連続の判定条件として、例えば、通信パケットの送受信間隔が数百ミリ秒以内であることなどを用いる。次に、監視・検査装置20〜20は、抽出した業務フローを業務フロー格納部212〜212に格納する(S604)。ここで、業務フローの構成については、以降の図12に詳細に記載する。 First , the monitoring and inspection devices 20 1 to 20 n start communication pattern extraction processing (S601). Next, the monitoring and inspection devices 20 1 to 20 n acquire communication packets from the communication packet storage units 211 1 to 211 n (S602). Next, the monitoring and inspection devices 20 1 to 20 n extract a business flow that is a series of data flows that are continuous in time from the acquired communication packets (S603). Here, as the determination condition of the temporal continuity, for example, the fact that the transmission and reception interval of the communication packet is within several hundred milliseconds is used. Next, the monitoring and inspection devices 20 1 to 20 n store the extracted business flows in the business flow storage units 212 1 to 212 n (S 604). Here, the configuration of the business flow will be described in detail in FIG. 12 below.

次に、監視・検査装置20〜20は、取得した通信パケットから、装置毎の通信パターンを抽出する(S605)。ここで、通信パターンとして、通信が行われている周期や通信の頻度、通信が発生する時刻等の情報を抽出する。次に、監視・検査装置20〜20は、抽出した通信パターンを通信パターン格納部213〜213に格納する(S606)。ここで、通信パターンの構成については、以降の図13に詳細に記載する。次に、監視・検査装置20〜20は、取得した通信パケットから、業務で利用される装置の一覧である装置リストを抽出する(S607)。次に、監視・検査装置20〜20は、抽出した装置リストを用いて、各装置の対策状況を作成する(S608)。ここで、作成する対策状況は装置毎に何も対策の確認がなされていないものとなる。次に、監視・検査装置20〜20は、作成した対策状況を対策状況格納部216〜216に格納する(S609)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、処理を終了する(S610)。 The monitoring and inspection apparatus 20 1 to 20 n from the acquired communication packet, extracts the communication pattern of each device (S605). Here, as the communication pattern, information such as a cycle in which communication is performed, the frequency of communication, and the time when communication occurs is extracted. Next, the monitoring and inspection devices 20 1 to 20 n store the extracted communication patterns in the communication pattern storage units 213 1 to 213 n (S 606). Here, the configuration of the communication pattern will be described in detail in FIG. 13 below. Next, the monitoring and inspection devices 20 1 to 20 n extract a device list which is a list of devices used for business from the acquired communication packets (S 607). Next, the monitoring and inspection devices 20 1 to 20 n use the extracted device list to create the countermeasure status of each device (S 608). Here, the countermeasure status to be created is one for which no countermeasure has been confirmed for each device. Next, the monitoring and inspection devices 20 1 to 20 n store the prepared countermeasure status in the countermeasure status storage units 216 1 to 216 n (S 609). Here, the configuration of the countermeasure status will be described in detail in FIG. Next, the process ends (S610).

図7は、本実施形態におけるセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、各装置の対策状況を収集する処理フローを示した図である。当該処理は、図6に示した処理実行後、任意のタイミングで行われる。 Figure 7 is the security risk analysis support system in the present embodiment, by using the monitoring and inspection apparatus 20 1 to 20 n, a diagram showing a processing flow for collecting measure status of each device. The process is performed at an arbitrary timing after the process shown in FIG.

はじめに、監視・検査装置20〜20は、対策状況格納部216〜216に格納されている対策状況を取得する(S701)。次に、監視・検査装置20〜20は、取得した対策状況に記載されている装置の中で、対策未確認項目が存在する装置の有無を判定する(S702)。例えば、監視・検査装置20〜20は、図16に示す対策状況に含まれるOS、ハードウェア識別子、アクセス時の認証有無、インターネット接続の可否、パケットフィルタ有無等の各項目の内容を取得し、すべての項目の内容が取得できる場合には対策未確認項目はないと判定する。一方、監視・検査装置20〜20は、少なくとも1つの項目の内容が取得できない場合には対策未確認項目があると判定する。 First , the monitoring and inspection devices 20 1 to 20 n acquire the countermeasure status stored in the countermeasure status storage units 216 1 to 216 n (S 701). Next, among the devices described in the acquired countermeasure status, the monitoring and inspection devices 20 1 to 20 n determine the presence or absence of the device in which the countermeasure unconfirmed item exists (S702). For example, the monitoring and inspection devices 20 1 to 20 n acquire the contents of each item such as OS included in the countermeasure status shown in FIG. 16, hardware identifier, presence or absence of authentication at access, availability of Internet connection, presence or absence of packet filter If the contents of all the items can be acquired, it is determined that there is no unconfirmed item. Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n determines that if the content of the at least one item can not be acquired is measures unconfirmed items.

監視・検査装置20〜20は、判定の結果、対策未確認項目が存在する装置が無いと判定した場合には(S702;No)、処理を終了する(S703)。一方、監視・検査装置20〜20は、対策未確認項目が存在する装置が有ると判定した場合には(S702;Yes)、対策未確認項目が存在する装置の中から、検査対象装置を選定する(S704)。ここで、装置を選定する方法として、対策未確認項目が最も多く存在している装置を選定する方法やランダムに選定する方法などが考えられる。また、選定する装置として、検査項目が同様の装置を複数選択しても良い。 Monitoring and inspection apparatus 20 1 to 20 n, the result of the determination, when it is determined that there is no device that measures unconfirmed item exists (S702; No), the process ends (S703). Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n, when it is determined that measures unconfirmed item exists device there is (S702; Yes), out of the measures unconfirmed items there are devices, selects a test target device (S704). Here, as a method of selecting an apparatus, a method of selecting an apparatus having the largest number of unconfirmed countermeasure items or a method of selecting randomly may be considered. Moreover, you may select multiple apparatuses with same test | inspection item as an apparatus to select.

次に、監視・検査装置20〜20は、選定した装置が実施する通信パターンを通信パターン格納部213〜213から取得する(S705)。例えば、監視・検査装置20〜20は、図13に示す通信パターンに含まれる通信周期、通信頻度、通信タイミング等の各項目の内容を取得する。 Next, the monitoring and inspection devices 20 1 to 20 n acquire communication patterns to be implemented by the selected device from the communication pattern storage units 213 1 to 213 n (S 705). For example, the monitoring and inspection devices 20 1 to 20 n acquire the contents of each item such as the communication cycle, the communication frequency, and the communication timing included in the communication pattern illustrated in FIG. 13.

次に、監視・検査装置20〜20は、検査ポリシ格納部214〜214から検査ポリシを取得する(S706)。ここで、検査ポリシとは、どれくらい負荷を掛けて検査を行うかということを示すものであり、システムの管理者等によって設定されるものである。例えば、監視・検査装置20〜20は、図14に示す検査ポリシに含まれる検査タイミングポリシ、検査内容ポリシ等の各項目の内容を取得する。検査ポリシは、予め検査ポリシ格納部214〜214に格納していても良いし、以降の図9に示すような入力画面を用いて設定しても良い。検査ポリシの構成については、以降の図14に詳細に記載する。 Next, the monitoring and inspection devices 20 1 to 20 n acquire the inspection policy from the inspection policy storage units 214 1 to 214 n (S706). Here, the inspection policy indicates how much load is applied to perform the inspection, and is set by the system administrator or the like. For example, the monitoring and inspection apparatuses 20 1 to 20 n acquire the contents of each item such as the inspection timing policy and the inspection content policy included in the inspection policy illustrated in FIG. 14. Testing policy, may also be stored in advance in the inspection policy storage unit 214 1 -214 n, may be set by using an input screen as shown in the subsequent Figure 9. The configuration of the examination policy is described in detail in FIG. 14 below.

次に、監視・検査装置20〜20は、現在時刻を取得する(S707)。次に、監視・検査装置20〜20は、取得した通信パターンと検査ポリシと現在時刻の情報から、現時点で検査に利用可能となる時間を推定する(S708)。ここで、検査可能な時間の推定は、検査ポリシで設定されている検査可能な時間帯において、次の予測される通信タイミングと現在時刻の差分で算出可能である。 Next, the monitoring and inspection devices 20 1 to 20 n acquire the current time (S 707). The monitoring and inspection apparatus 20 1 to 20 n from the acquired communication pattern inspection policy and the current time information, to estimate the time to be available for inspection at the present time (S 708). Here, the estimation of the testable time can be calculated by the difference between the next predicted communication timing and the current time in the testable time zone set in the test policy.

次に、監視・検査装置20〜20は、推定した検査可能時間をもとに、検査コマンド格納部215〜215に格納されている検査コマンドの中で、検査可能時間や検査ポリシに合致し、未確認検査項目に該当する検査コマンドを選定する(S709)。例えば、監視・検査装置20〜20は、検査可能時間や検査ポリシに合致した検査コマンドのうち、S702で判定された対策未確認項目と同じ確認対策項目を含む図15に示す検査コマンドを選定する。 The monitoring and inspection apparatus 20 1 to 20 n, on the basis of the inspectable time estimated, in a test commands stored in the inspection command storage unit 215 1 to 215 n, the inspectable time or inspection policy And select the inspection command corresponding to the unconfirmed inspection item (S709). For example, the monitoring and inspection apparatus 20 1 to 20 n, of the test command that matches the inspectable time or inspection policy, select a test command shown in FIG. 15 include the same check measures items and the determined measures unconfirmed items S702 Do.

次に、監視・検査装置20〜20は、検査コマンドが選定されたか否かを判定する(S710)。その結果、監視・検査装置20〜20は、検査コマンドが選定されていないと判定した場合には(S710;No)、S707に戻り、再度、検査コマンドを選定する。一方、監視・検査装置20〜20は、検査コマンドが選定されていると判定した場合には(S710;Yes)、選定された検査コマンド(A701)を検査対象装置(ここでは、制御装置10)に送信する(S711)。 The monitoring and inspection apparatus 20 1 to 20 n determines whether the inspection command is selected (S710). As a result, the monitoring and inspection apparatus 20 1 to 20 n is, when it is determined that the test command is not selected (S710; No), returns to S707, again, to select the test command. Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n is, when it is determined that the test command is selected (S710; Yes), the inspection target device selection has been examined command (A701) (Here, the control device 10 1 ) Send (S 711).

次に、制御装置10は、受信した検査コマンド(A701)をもとに、検査コマンド(A701)に対するレスポンスを生成する(S712)。次に、制御装置10は、生成したレスポンス(A702)を監視・検査装置20〜20に送信する(S713)。 Next, the control device 10 1, based on the test command received (A701), it generates a response to the inspection command (A701) (S712). Next, the controller 10 1 transmits the generated response to (A702) monitoring and inspection apparatus 20 1 ~20 n (S713).

次に、監視・検査装置20〜20は、検査対象装置が複数ある場合には、ここで、次の検査対象装置(ここでは、制御装置10)に対して、選定された検査コマンド(A703)を送信する(S714)。 The monitoring and inspection apparatus 20 1 to 20 n, when there are a plurality of inspection target device, wherein the test command (in this case, the control device 10 n) next inspection target apparatus with respect to, was selected (A703) is transmitted (S714).

次に、制御装置10は、受信した検査コマンド(A703)をもとに、検査コマンド(A703)に対するレスポンスを生成する(S715)。次に、制御装置10は、生成したレスポンス(A704)を監視・検査装置20〜20に送信する(S716)。 Next, based on the received inspection command (A703), the control device 10 n generates a response to the inspection command (A703) (S715). Next, the control device 10 n transmits the generated response (A 704) to the monitoring and inspection devices 20 1 to 20 n (S 716).

次に、監視・検査装置20〜20は、受信したレスポンス(A702、A704)から、各装置の対策状況を推定する(S717)。ここで、対策状況とは、OSの種類、ハードウェアの種類、特定の通信ポートにアクセスした際に、認証要求があったかなどの項目を指し、検査コマンドに対するレスポンスの内容やレスポンス有無等から推定可能な項目を指す。 Next, the monitoring and inspection devices 20 1 to 20 n estimate the countermeasure status of each device from the received responses (A 702 and A 704) (S 717). Here, the countermeasure status refers to items such as the type of OS, the type of hardware, and whether there is an authentication request when accessing a specific communication port, and can be estimated from the contents of the response to the inspection command or the presence or absence of the response. Points to

次に、監視・検査装置20〜20は、推定した対策状況を対策状況格納部216〜216に格納する(S718)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、監視・検査装置20〜20は、現在の検査状況を出力する(S719)。ここで、検査状況とは、抽出した業務フローの数および/または検査済項目および/または必要な検査時間等から構成されるものであり、以降の図10に詳細に記載する。また、監視・検査装置20〜20に出力装置が存在しない場合には、内部のログに記録しておいても良いし、そもそも出力しなくてもよい。 Next, the monitoring and inspection devices 20 1 to 20 n store the estimated countermeasure status in the countermeasure status storage units 216 1 to 216 n (S 718). Here, the configuration of the countermeasure status will be described in detail in FIG. Next, the monitoring and inspection devices 20 1 to 20 n output the current inspection status (S719). Here, the inspection status includes the number of extracted business flows and / or inspection items and / or required inspection time, etc., and will be described in detail in FIG. 10 below. Also, if the monitoring and inspection device 20 output device 1 to 20 n is not present, it may be recorded inside the log, the first place may not be output.

次に、監視・検査装置20〜20は、S704で選定した対象装置に関して、対策未確認項目の有無を判定することにより、対策未確認項目が残っていないか検証する(S720)。その結果、監視・検査装置20〜20は、対策未確認項目が残っていると判定した場合には(S720;Yes)、S707に戻り、検査コマンドの選定と送信を行う。一方、監視・検査装置20〜20は、対策未確認項目が残っていないと判定した場合には(S720;No)、次に、対策状況格納部216〜216に格納されている対策状況を参照し、対策未確認装置の有無を判定することにより、対策未確認装置が存在していないか検証する(S721)。対策未確認装置の有無は、例えば、対策状況に含まれるIPアドレスにより判定すればよい。その結果、監視・検査装置20〜20は、対策未確認装置が存在していると判定した場合には(S721;Yes)、S704に戻り、対象装置選定、検査コマンド選定と送信を行う。一方、監視・検査装置20〜20は、対策未確認装置が存在しないと判定した場合には(S721;No)、処理を終了する。 The monitoring and inspection apparatus 20 1 to 20 n, with respect to the target device selected in S704, by determining whether the measures unconfirmed items, to verify there are no remaining measures unconfirmed item (S720). As a result, the monitoring and inspection apparatus 20 1 to 20 n, when it is determined that there remain measures unconfirmed item (S720; Yes), returns to S707, performs the transmission and selection of test commands. Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n, when it is determined that there remains no measures unconfirmed items; stored (S720 No), then the measure status storing unit 216 1 ~216 n measures By referring to the situation and judging the presence or absence of the countermeasure unconfirmed device, it is verified whether or not the countermeasure unconfirmed device exists (S721). The presence or absence of the countermeasure unconfirmed device may be determined, for example, by the IP address included in the countermeasure status. As a result, the monitoring and inspection apparatus 20 1 to 20 n, when it is determined that the measures unidentified devices are present (S721; Yes), returns to S704, the target device selection, and sending test command selection performed. Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n, when it is determined that the measures unidentified device does not exist (S721; No), the process ends.

図8は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20で収集した業務フローと対策状況を用いて、分析サーバでリスク分析を行う処理フローを示した図である。以下では、分析サーバがリスク分析を行う場合について説明しているが、監視・検査装置20〜20が同様の処理を実行してもよい。 Figure 8 is the security risk analysis support system to which this embodiment is applied, using business flow collected by the monitoring and inspection apparatus 20 1 to 20 n and the measure status, showing a processing flow for performing risk analysis in analysis server FIG. In the following, a case has been described where the analysis server performs risk analysis, monitoring and inspection apparatus 20 1 to 20 n may perform the same processing.

はじめに、監視・検査装置20〜20は、収集したタイミングで業務フロー格納部212〜212から業務フロー取得する(S801〜S801)。次に、監視・検査装置20〜20は、収集したタイミングで対策状況格納部216〜216から対策状況を取得する(S802〜S802)。次に、監視・検査装置20〜20は、取得した業務フローと対策状況(A801〜A801)を分析サーバ50に送信する(S803〜S803)。 First, the monitoring and inspection apparatus 20 1 to 20 n obtains business flow by the collected timing from the business flow storage unit 212 1 ~212 n (S801 1 ~S801 n). Next, the monitoring and inspection devices 20 1 to 20 n acquire the countermeasure status from the countermeasure status storage units 216 1 to 216 n at the collected timing (S802 1 to S802 n ). Next, the monitoring and inspection devices 20 1 to 20 n transmit the acquired task flow and the countermeasure status (A801 1 to A 801 n ) to the analysis server 50 (S 803 1 to S 803 n ).

次に、分析サーバ50は、受信した業務フローと対策状況(A801〜A801)と必要情報格納部505に格納されているリスク分析に必要な情報との突合せを行い、リスク分析に必要な情報が不足しているか否かを判定することにより、入力情報の確認を行う(S804)。その結果、分析サーバ50は、情報に不足があると判定した場合には(S804;Yes)、不足情報の入力を行う(S805)。ここで、入力情報を確認する理由は、例えば、業務が頻繁に行われているために、対策状況に含まれるすべての項目が取得できていない場合があるためである。このようなケースを想定し、リスク分析に必要な情報が不足している場合には、その項目を補完するため、該当項目を不足情報として入力している。また、不足情報の入力は、分析サーバ50に直接入力しても良いし、遠隔から送信しても良い。また、不足情報の入力が困難な場合には、例えば、セキュリティリスクのレベルが高くなる項目やディフォルト値を自動的に選択してもよい。一方、分析サーバ50は、情報に不足が無いと判定した場合には(S804;No)、特に何も実施しない。 Then, the analysis server 50 performs butt with the information necessary for risk analysis are stored as needed information storage unit 505 the received business flow and measure status (A801 1 ~A801 n), needed for risk analysis The input information is confirmed by determining whether the information is insufficient (S804). As a result, when the analysis server 50 determines that there is a shortage of information (S804; Yes), the shortage information is input (S805). Here, the reason for confirming the input information is that, for example, there are cases where all items included in the countermeasure status can not be acquired because business is frequently performed. Assuming such a case, if the information necessary for risk analysis is insufficient, the relevant item is input as the insufficient information in order to supplement the item. The input of the shortage information may be directly input to the analysis server 50 or may be transmitted remotely. In addition, when it is difficult to input lack information, for example, an item or a default value that increases the level of security risk may be automatically selected. On the other hand, when the analysis server 50 determines that there is no shortage of information (S804; No), nothing is particularly implemented.

次に、分析サーバ50は、受信した業務フローと対策状況(A801〜A801)と、S804で入力された情報を用いて、リスク分析を行う(S806)。ここで、リスク分析は、業務フローに内在するセキュリティ上の脅威を例えば5W法などで抽出し、対策状況から脅威の起こしやすさを見積り、リスクレベルを算出する方法などが考えられるが、これに限定されるものではない。次に、分析サーバ50は、リスク分析の結果を出力する(S807)。 Then, the analysis server 50, the received business flow and measure status (A801 1 ~A801 n), using the information entered in S804, performs risk analysis (S806). Here, risk analysis can be performed by, for example, extracting security threats inherent in the business flow by the 5 W method, etc., estimating the likelihood of threats from the countermeasure status, and calculating the risk level, etc. It is not limited. Next, the analysis server 50 outputs the result of the risk analysis (S807).

図9は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査ポリシ格納部214〜214に格納する検査ポリシを登録する際に利用する画面を示した図である。 Figure 9 is the security risk analysis support system to which the present embodiment is applied, the screen to be used when registering the inspection policy to store monitoring and inspection apparatus 20 1 to 20 n examination policy storage unit 214 1 -214 n of FIG.

検査ポリシ設定画面(A901)は、検査タイミングポリシ(A902)と、検査内容ポリシ(A903)から構成される。検査タイミングポリシ(A902)は、検査コマンドをどのようなタイミングで実行するかを指定するものであり、例えば、業務停止日、業務停止時間、業務フロー非実行時間などが考えられるが、これに限定されるものではない。また、検査内容ポリシ(A903)は、検査コマンドの内容を指定するものであり、例えば、直接的な検査を行わないパッシブ検査のみ、直接的な検査を行うが負荷が小さいもの、直接的な検査を行い、負荷も高いもの、などが考えられるが、これに限定されるものではない。なお、検査ポリシ設定画面(A901)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ設定画面(A901)の構成要素の順序は上記に限定されるものではない。   The examination policy setting screen (A901) is composed of an examination timing policy (A902) and an examination content policy (A903). The inspection timing policy (A 902) is used to specify at what timing the inspection command is to be executed. For example, business stop date, business stop time, business flow non-execution time, etc. can be considered. It is not something to be done. The inspection content policy (A 903) specifies the content of the inspection command. For example, only passive inspection without direct inspection, direct inspection with small load, direct inspection And the load is also high, etc., but it is not limited thereto. The constituent elements of the inspection policy setting screen (A 901) are not limited to the above, and at least the above-described elements may be included. Further, the order of the components of the inspection policy setting screen (A 901) is not limited to the above.

図10は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20が出力する検査状況確認画面を示した図である。 10, in the security risk analysis support system to which this embodiment is applied is a diagram showing an inspection status confirmation screen monitoring and inspection apparatus 20 1 to 20 n outputs.

検査状況確認画面(A1001)は、検査状況(A1002)から構成される。検査状況(A1002)は、図6のS603で抽出した業務フローの数(A1003)と、図7のS710で出力した検査対象機器および検査済機器の数(A1004)と、図7のS710で出力した検査対象項目および検査済項目の数(A1005)と、推定残り時間(A1006)から構成されるが、これに限定されるものではない。推定残り時間(A1006)は、例えば、図15に示す検査コマンドに含まれる必要処理時間から推定すればよい。なお、検査状況確認画面(A1001)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査状況確認画面(A1001)の構成要素の順序は上記に限定されるものではない。   The inspection status confirmation screen (A1001) is composed of the inspection status (A1002). The inspection status (A1002) is output at S710 of FIG. 7 with the number of business flows extracted at S603 of FIG. 6 (A1003), the number of inspection target devices and inspected devices output at S710 of FIG. 7 (A1004) Although the number of items to be examined and the number of examined items (A1005) and the estimated remaining time (A1006) are included, the present invention is not limited thereto. The estimated remaining time (A1006) may be estimated, for example, from the required processing time included in the inspection command shown in FIG. The constituent elements of the inspection status confirmation screen (A1001) are not limited to the above, and at least the above-described elements may be included. Moreover, the order of the components of the inspection status confirmation screen (A1001) is not limited to the above.

図11は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の通信パケット格納部211〜211に格納される通信パケットの構成を例示する図である。 Figure 11 is the security risk analysis support system to which this embodiment is applied, a diagram illustrating the structure of a communication packet stored monitoring and inspection apparatus 20 1 to 20 n communication packet storage unit 211 1 ~211 n of is there.

通信パケット(A1101)は、パケットを受信した日時(A1102)と、パケットのヘッダ(A1103)から構成される。ここで、ヘッダ(A1103)は、送信元(A1104)、送信先(A1105)、プロトコル(A1106)、ポート番号(A1107)から構成されるが、これに限定されるものではない。なお、通信パケット(A1101)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パケット(A1101)の構成要素の順序は上記に限定されるものではない。   The communication packet (A1101) includes the date and time (A1102) at which the packet was received and the header (A1103) of the packet. Here, the header (A1103) includes a transmission source (A1104), a transmission destination (A1105), a protocol (A1106), and a port number (A1107), but is not limited thereto. The components of the communication packet (A1101) are not limited to the above, and at least the above-described components may be included. In addition, the order of the components of the communication packet (A1101) is not limited to the above.

図12は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の業務フロー格納部212〜212に格納される業務フローの構成を例示する図である。 12, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a business flow stored monitoring and inspection apparatus 20 1 to 20 n operation flow storage unit 212 1 -212 n of is there.

業務フロー(A1201)は、業務フローを識別する識別子(A1202)と、業務フローを開始する装置のIPアドレス(A1203)と、業務フローが終了する装置のIPアドレス(A1204)と、開始IPアドレスから終了IPアドレスの間で経由するIPアドレスの数(A1205)と、その数に応じた経由するIPアドレス群(A1206)から構成される。例えば、図5における制御装置10と制御装置10との間の一連の処理(S501〜S521)が1つの業務フローとなる。ここで、業務フロー(A1201)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、業務フロー(A1201)の構成要素の順序は上記に限定されるものではない。 The business flow (A1201) includes an identifier (A1202) for identifying the business flow, the IP address (A1203) of the device starting the business flow, the IP address (A1204) of the device ending the business flow, and the start IP address It comprises the number (A 1205) of IP addresses passed between the end IP addresses and the group of IP addresses (A 1206) passed according to the number. For example, the series of processing (S501~S521) one business flow between the control device 10 1 and the control apparatus 10 n in FIG. Here, the components of the business flow (A 1201) are not limited to the above, and at least the above components may be included. Further, the order of the components of the business flow (A1201) is not limited to the above.

図13は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の通信パターン格納部213〜213に格納される通信パターンの構成を例示する図である。 13, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a communication patterns stored monitoring and inspection apparatus 20 1 to 20 n communication pattern storage unit 213 1 ~213 n of is there.

通信パターン(A1301)は、制御装置のIPアドレス(A1302)と、通信を行う周期(A1303)と、通信を行う頻度(A1304)と、通信を行うタイミング(A1305)から構成される。ここで、通信を行うタイミング(A1305)とは、日単位、時間単位、分単位、秒単位等で通信が発生したタイミングである。また、通信を行う周期(A1303)とは、例えば、3秒ごと、10秒ごと等の通信間隔であり、通信を行う頻度(A1304)とは、単位時間当たりの通信回数であり、例えば、5秒ごとの頻度で通信する場合は、単位時間1時間あたり720回となる。なお、通信パターン(A1301)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パターン(A1301)の構成要素の順序は上記に限定されるものではない。   The communication pattern (A1301) includes an IP address (A1302) of the control device, a communication cycle (A1303), a communication frequency (A1304), and a communication timing (A1305). Here, the timing at which communication is performed (A1305) is the timing at which communication occurred on a daily basis, an hourly basis, a minute basis, a second basis, or the like. The communication cycle (A1303) is, for example, every 3 seconds, every 10 seconds, etc., and the communication frequency (A1304) is the number of times of communication per unit time, for example, 5 When communicating with the frequency of every second, it becomes 720 times per unit time per hour. The constituent elements of the communication pattern (A1301) are not limited to the above, and at least the above-described elements may be included. In addition, the order of the components of the communication pattern (A1301) is not limited to the above.

図14は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査ポリシ格納部214〜214に格納される検査ポリシの構成を例示する図である。 14, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a testing policy is stored in the inspection policy storage unit 214 1 -214 n of the monitoring and inspection apparatus 20 1 to 20 n is there.

検査ポリシ(A1401)は、検査を実行しても良いタイミングを示す検査タイミングポリシ(A1402)と、検査を実行しても良い内容を示す検査内容ポリシ(A1403)から構成される。ここで、検査タイミングポリシとは、日単位、時間単位などのある特定期間で通信を行っていない場合に検査を許可するといったポリシである。また、検査内容ポリシとは、ネットワークや装置に対して与えても良い負荷のレベルを指定するポリシである。なお、検査ポリシ(A1401)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ(A1401)の構成要素の順序は上記に限定されるものではない。   The inspection policy (A1401) includes an inspection timing policy (A1402) indicating timing at which the inspection may be performed, and an inspection content policy (A1403) indicating contents that the inspection may be performed. Here, a test | inspection timing policy is a policy of permitting a test | inspection, when not communicating in a specific period, such as a day unit and a time unit. The inspection content policy is a policy that specifies the level of load that may be given to the network or the device. The constituent elements of the inspection policy (A1401) are not limited to the above, and at least the above-described elements may be included. Moreover, the order of the components of the inspection policy (A1401) is not limited to the above.

図15は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査コマンド格納部215〜215に格納される検査コマンドの構成を例示する図である。 15, in the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a test command to be stored in the inspection command storage unit 215 1 to 215 n of the monitoring and inspection apparatus 20 1 to 20 n is there.

検査コマンド(A1501)は、制御装置に対して送信する検査パケットの内容を示す検査パケットパターン(A1502)と、検査パケットによって確認可能となる対策項目(A1503)と、検査パケットを送信し、レスポンスを受信するまでに必要となる処理時間(A1504)と、検査パケットの送信に伴う想定通信負荷(A1505)と、検査パケットの処理に伴う想定CPU負荷(A1506)から構成される。なお、検査コマンド(A1501)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査コマンド(A1501)の構成要素の順序は上記に限定されるものではない。   The inspection command (A1501) transmits an inspection packet, an inspection packet pattern (A1502) indicating the contents of an inspection packet to be transmitted to the control device, a countermeasure item (A1503) that can be confirmed by the inspection packet, and an inspection packet. A processing time (A1504) required until reception, an assumed communication load (A1505) accompanying the transmission of the inspection packet, and an estimated CPU load (A1506) accompanying the processing of the inspection packet. The constituent elements of the inspection command (A1501) are not limited to the above, and at least the above-described elements may be included. Further, the order of the components of the inspection command (A1501) is not limited to the above.

図16は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の対策状況格納部216〜216に格納される対策状況の構成を例示する図である。 FIG. 16 is a diagram exemplifying the configuration of the countermeasure status stored in the countermeasure status storage units 216 1 to 216 n of the monitoring and inspection devices 20 1 to 20 n in the security risk analysis support system to which this embodiment is applied. is there.

対策状況(A1601)は、対策状況を確認した制御装置のIPアドレス(A1602)と、OS(A1603)と、MAC(Media Access Control)アドレス等のハードウェア識別子(A1604)と、リモート接続等によるアクセス時の認証有無(A1605)と、インターネット接続の可否(A1606)と、パケットフィルタ有無(A1607)から構成される。なお、対策状況(A1601)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、対策状況(A1601)の構成要素の順序は上記に限定されるものではない。   The countermeasure status (A1601) includes the IP address (A1602) of the control device that confirmed the countermeasure status, the OS (A1603), a hardware identifier (A1604) such as MAC (Media Access Control) address, and access by remote connection etc. It is comprised from the presence or absence of authentication (A1605), the presence or absence of Internet connection (A1606), and the presence or absence of packet filter (A1607). The constituent elements of the countermeasure status (A 1601) are not limited to the above, and at least the above-described elements may be included. In addition, the order of the components of the countermeasure status (A1601) is not limited to the above.

これらの構成、手順およびデータ構造を実現することにより、制御システムで実施される業務に対して悪影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。   By realizing these configurations, procedures, and data structures, it is possible to collect information necessary for security risk analysis without adversely affecting operations performed by the control system.

具体的には、制御システム内のネットワークを流れる通信パケットを収集する監視・検査装置を設置し、業務が行われる装置とそのタイミングに関する情報を取得し、取得した情報を用いて、業務に影響がないタイミングで各装置のセキュリティ対策に関する情報を収集する。より具体的には、監視・検査装置において、制御システム内の業務実施時にネットワークを流れる通信パケットを収集し、装置間の業務フローと通信パターンを抽出する。その後、抽出した通信パターンを用いて、業務が行われていない時刻を認識し、当該時刻において、次の業務実行までの間に完了する検査項目を選択し、各装置の対策情報を収集し、蓄積する。   Specifically, a monitoring and inspection device for collecting communication packets flowing in a network in the control system is installed, information on the device on which the operation is performed and the timing thereof is acquired, and the acquired information is used to affect the operation. Collect information on security measures of each device without timing. More specifically, the monitoring and inspection device collects communication packets flowing through the network at the time of operation execution in the control system, and extracts the operation flow and communication pattern between the devices. Thereafter, using the extracted communication pattern, it recognizes the time when no work is being performed, and at that time, selects an inspection item to be completed before the next work execution, and collects countermeasure information of each device, accumulate.

このような処理を行うことにより、制御システムに内在するセキュリティリスクを分析するために必要となるシステム内部の情報を収集するシステムにおいて、制御システム内の装置間で行われる業務フローに関する情報や各装置のセキュリティ対策情報を制御システムの通常業務に影響を与えることなく、制御システムへの影響を最小化して、セキュリティリスク分析に必要となる情報の収集を実現することができる。   In the system that collects information inside the system that is necessary to analyze the security risk inherent in the control system by performing such processing, information related to the work flow performed between devices in the control system and each device It is possible to minimize the impact on the control system and realize the collection of information necessary for security risk analysis, without affecting the security system information of the control system.

なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。たとえば、監視・検査装置内にネットワーク装置の機能が含まれている場合や、監視・検査装置内に分析サーバの機能が含まれている場合や、制御装置や監視・検査装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。   In addition, this invention is not limited to said embodiment, A various deformation | transformation is possible within the range of the summary. For example, when the function of the network device is included in the monitoring and inspection device, or when the function of the analysis server is included in the monitoring and inspection device, or the control device or the monitoring and inspection device communicates with the network For example, the function is not included and communication with the network is performed via another device. Also in the case of this embodiment, there is no essential change in the processing performed in the entire system.

10〜10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、101〜101:制御処理部、102〜102:通信部、20〜20:監視・検査装置、21:内部通信装置、22:外部通信装置、23:記憶装置、24:入出力装置、25:CPU、26:メモリ、27:内部信号線、201〜201:通信パケット取得部、202〜202:業務フロー抽出部、203〜203:通信パターン抽出部、204〜204:装置リスト抽出部、205〜205:時刻情報取得部、206〜206:検査コマンド選定部、207〜207:対策状況推定部、208〜208:内部通信部、209〜209:外部通信部、210〜210:検査状況出力部、211〜211:通信パケット格納部、212〜212:業務フロー格納部、213〜213:通信パターン格納部、214〜214:検査ポリシ格納部、215〜215:検査コマンド格納部、216〜216:対策状況格納部、30〜30:ネットワーク装置、301〜301:通信部、302〜302:パケット複製通信部、40:外部ネットワーク、50:分析サーバ、51:通信装置、52:入出力装置、53:記憶装置、54:CPU、55:メモリ、56:読取装置、57:記憶媒体、58:内部信号線、501:入力情報確認部、502、不足情報入力部、503:リスク分析部、504:結果出力部、505:必要情報格納部、506:通信部、A501:制御コマンド、A502:制御コマンド、A503:レスポンス、A504:レスポンス、A701:検査コマンド、A702:レスポンス、A703:検査コマンド、A704:レスポンス、A801〜A801:業務フロー、対策状況、A901:検査ポリシ設定画面、A902:検査タイミングポリシ、A903:検査内容ポリシ、A1001:検査状況確認画面、A1002:検査状況、A1003:抽出業務フロー状況、A1004:検査済機器状況、A1005:検査済項目状況、A1006:推定残り時間、A1101:通信パケット、A1102:受信日時、A1103:ヘッダ、A1104:送信元、A1105:送信先、A1106:プロトコル、A1107:ポート番号、A1201:業務フロー、A1202:業務フロー識別子、A1203:開始IPアドレス、A1204:終了IPアドレス、A1205:経由IPアドレス数、A1206:経由IPアドレス群、A1301:通信パターン、A1302:IPアドレス、A1303:通信周期、A1304:通信頻度、A1305:通信タイミング、A1401:検査ポリシ、A1402:検査タイミングポリシ、A1403:検査内容ポリシ、A1501:検査コマンド、A1502:検査パケットパターン、A1503:確認対策項目、A1504:必要処理時間、A1505:通信負荷、A1506:CPU負荷、A1601:対策状況、A1602:IPアドレス、A1603:OS、A1604:ハードウェア識別子、A1605:認証有無、A1606:インターネット接続可否、A1607:パケットフィルタ有無。 10 1 to 10 n : control device, 11: communication device, 12: input / output device, 13: storage device, 14: CPU, 15: memory, 16: internal signal line, 101 1 to 101 n : control processing unit, 102 1 to 102 n: the communication unit, 20 1 to 20 n: monitoring and inspection device, 21: internal communication device, 22: external communication device, 23: storage device, 24: input device, 25: CPU, 26: memory, 27: internal signal line, 201 1 to 201 n : communication packet acquisition unit, 202 1 to 202 n : business flow extraction unit, 203 1 to 203 n : communication pattern extraction unit, 204 1 to 204 n : device list extraction unit, 205 1 to 205 n: time information acquisition unit, 206 1 -206 n: test command selection unit, 207 1 to 207 n: measure status estimating unit, 208 1 ~208 n: internal communication unit, 09 1 ~209 n: external communication unit, 210 1 ~210 n: inspection status output unit, 211 1 ~211 n: storage communication packets, 212 1 ~212 n: business flow storage unit, 213 1 ~213 n: Communication pattern storage unit, 214 1 -214 n: checking policy storage unit, 215 1 to 215 n: inspecting command storage unit, 216 1 ~216 n: measure status storage section, 30 1 to 30 n: the network device, 301 1 to 301 n: the communication unit, 302 1 to 302 n: packet replication communication unit, 40: an external network, 50: analysis server, 51: communication device, 52: input device, 53: storage device, 54: CPU, 55: memory, 56: reader, 57: storage medium, 58: internal signal line, 501: input information confirmation unit, 502, lack information input unit, 503: risk analysis Unit, 504: Result output unit, 505: Necessary information storage unit, 506: Communication unit, A501: Control command, A502: Control command, A503: Response, A504: Response, A701: Inspection command, A702: Response, A703: Inspection command, A704: response, A801 1 ~A801 n: work flow, measures situation, A901: inspection policy setting screen, A902: inspection timing policy, A903: examination content policy, A1001: inspection status confirmation screen, A1002: inspection status, A1003 : Extraction work flow status, A1004: Tested device status, A1005: Tested item status, A1006: Estimated remaining time, A1101: Communication packet, A1102: Reception date and time, A1103: Header, A1104: Send source, A1105: Send destination, A110 6: Protocol, A1107: Port number, A1201: Business flow, A1202: Business flow identifier, A1203: Start IP address, A1204: End IP address, A1205: Number of routed IP addresses, A1206: Routed IP address group, A1301: Communication pattern , A1302: IP address, A1303: communication cycle, A1304: communication frequency, A1305: communication timing, A1401: inspection policy, A1402: inspection timing policy, A1403: inspection content policy, A1501: inspection command, A1502: inspection packet pattern, A1503 : Confirmation countermeasure item, A1504: Required processing time, A1505: Communication load, A1506: CPU load, A1601: Countermeasure status, A1602: IP address, A1603: OS, A1604: Ha Adware identifier, A1605: authentication status, A1606: Internet connection propriety, A1607: packet filter existence.

Claims (12)

制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集する情報収集装置であって、
前記情報収集装置は、
ネットワークから受信したパケットを格納する通信パケット格納部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、
前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、
を備えることを特徴とする情報収集装置。 An information collecting apparatus for collecting information in a system required to extract security risks inherent in a control system, comprising:
The information collection device
A communication packet storage unit for storing packets received from the network;
A business flow extraction unit that extracts a business flow transmitted / received in the system from the packet stored in the communication packet storage unit;
A communication pattern extraction unit for extracting a communication pattern transmitted / received in the system from the packets stored in the communication packet storage unit;
An examination for estimating an idle time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and selecting an inspection command that can be executed at a timing that does not affect the business flow extracted by the business flow extraction unit Command selection unit,
A countermeasure status estimation unit that transmits the selected inspection command to another device in the system that is to collect the information, and estimates the countermeasure status of the other device based on the acquired result;
An information collecting apparatus comprising: 請求項1に記載の情報収集装置であって、
前記情報収集装置は、
さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
Furthermore, the inspection command selecting unit comprises an inspection policy storage unit for storing an inspection policy to be referred to when selecting an inspection command,
The inspection command selection unit selects the inspection command that satisfies the inspection policy in addition to the idle time of the communication.
An information collecting device characterized by 請求項1に記載の情報収集装置であって、
前記情報収集装置は、
さらに、前記対策状況推定部が推定した前記他の装置の対策状況の収集状況を出力する検査状況出力部を備え、
前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる装置の総数と前記対策状況推定部が対策状況を推定した装置の数とを表示部に表示する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
And a test status output unit for outputting the collection status of the countermeasure status of the other device estimated by the countermeasure status estimation unit,
The inspection status output unit displays on the display unit the number of business flows extracted by the business flow extraction unit, the total number of devices included in the business flow, and the number of devices for which the countermeasure status estimation unit estimates the countermeasure status Do,
An information collecting device characterized by 請求項1に記載の情報収集装置であって、
前記情報収集装置は、
前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで外部の分析サーバに対して送信する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
The task flow and the countermeasure status collected from the other device via the network are transmitted to an external analysis server at the collected timing.
An information collecting device characterized by 請求項1に記載の情報収集装置であって、
前記情報収集装置は、
さらに、前記業務フローと前記対策状況とを用いて、システム内のセキュリティリスクを分析するリスク分析部を備え、
前記リスク分析部は、前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
And a risk analysis unit that analyzes security risks in the system using the business flow and the countermeasure status.
The risk analysis unit carries out a risk analysis at the timing at which the task flow and the countermeasure status collected from the other device via the network are collected.
An information collecting device characterized by 制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集するシステムであって、
前記情報収集システムは、
制御装置とネットワーク装置と情報収集装置とネットワークを備え、
前記ネットワーク装置は、
前記ネットワークから受信した通信パケットを複製して前記情報収集装置および前記制御装置に送信するパケット複製部と、前記情報収集装置と前記制御装置との間で前記ネットワークを介して通信するネットワーク通信部と、を備え、
前記情報収集装置は、
前記ネットワークから受信したパケットを格納する通信パケット格納部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信のパターンを抽出する通信パターン抽出部と、
前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の制御装置に送信し、取得した結果をもとに前記他の制御装置の対策状況を推定する対策状況推定部と、
を備えることを特徴とする情報収集システム。 A system for collecting information in a system required to extract security risks inherent in a control system, comprising:
The information collection system
Equipped with a control unit, a network unit, an information collection unit, and a network,
The network device is
A packet duplicating unit that duplicates a communication packet received from the network and sends it to the information collection device and the control device; and a network communication unit that communicates between the information collection device and the control device via the network , And
The information collection device
A communication packet storage unit for storing packets received from the network;
A business flow extraction unit that extracts a business flow transmitted / received in the system from the packet stored in the communication packet storage unit;
A communication pattern extraction unit for extracting a pattern of communication to be transmitted / received in the system from packets stored in the communication packet storage unit;
An examination for estimating an idle time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and selecting an inspection command that can be executed at a timing that does not affect the business flow extracted by the business flow extraction unit Command selection unit,
A countermeasure status estimation unit configured to transmit the selected inspection command to another control device to collect the information in the system, and estimate a countermeasure status of the other control device based on the acquired result;
An information collecting system comprising: 請求項6に記載の情報収集システムであって、
前記情報収集装置は、
さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する
ことを特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection device
Furthermore, the inspection command selecting unit comprises an inspection policy storage unit for storing an inspection policy to be referred to when selecting an inspection command,
The information collection system, wherein the inspection command selection unit selects the inspection command that satisfies the inspection policy in addition to the idle time of the communication. 請求項6に記載の情報収集システムであって、
前記情報収集装置は、
さらに、前記対策状況推定部が推定した前記他の制御装置の対策状況の収集状況を出力する検査状況出力部を備え、
前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる制御装置の総数と前記対策状況推定部が対策状況を推定した制御装置の数とを表示部に表示する
ことを特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection device
And a test status output unit for outputting the collection status of the countermeasure status of the other control device estimated by the countermeasure status estimation unit,
The inspection status output unit displays the number of business flows extracted by the business flow extraction unit, the total number of control devices included in the business flow, and the number of control devices for which the countermeasure status estimation unit estimates the countermeasure status An information gathering system characterized by 請求項6に記載の情報収集システムであって、
前記情報収集システムは、
さらに、前記業務フローや前記対策状況を用いてシステム内のセキュリティリスクを分析する分析サーバを備え、
前記情報収集装置は、
システム内のネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、前記分析サーバに送信する収集装置通信部を備え、
前記分析サーバは、
前記情報収集装置から受信した前記業務フローおよび前記対策状況の中で分析に必要な情報が含まれているか確認する入力情報確認部と、
前記必要な情報が不足している場合に、追加情報の入力を促す不足情報入力部と、
前記業務フローと前記対策情報と前記不足情報入力部から入力された追加情報とを用いてリスク分析を行うリスク分析部と、
を備える
ことを、特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection system
And an analysis server that analyzes security risks in the system using the workflow and the countermeasure status.
The information collection device
A collection device communication unit that transmits, to the analysis server, the task flow and the countermeasure status collected from the other control device via a network in the system;
The analysis server
An input information confirmation unit that confirms whether the information required for analysis is included in the task flow and the countermeasure status received from the information collection device;
An insufficient information input unit for prompting input of additional information when the necessary information is insufficient;
A risk analysis unit that performs risk analysis using the work flow, the countermeasure information, and additional information input from the shortage information input unit;
An information gathering system characterized by comprising: 請求項9に記載の情報収集システムであって、
前記情報収集装置は、
前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで前記分析サーバに対して送信する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The information collection device
The task flow and the countermeasure status collected from the other control device via the network are transmitted to the analysis server at the collected timing.
An information gathering system characterized by 請求項9に記載の情報収集システムであって、
前記分析サーバは、
前記入力情報確認部において、入力情報が不足していた場合に、追加情報の入力を促さず、セキュリティリスクが高くなる項目や予め定められている項目を選択する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The analysis server
When the input information is insufficient, the input information confirmation unit does not prompt the user to input additional information, and selects an item that increases security risk or a predetermined item.
An information gathering system characterized by 請求項9に記載の情報収集システムであって、
前記リスク分析部は、前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The risk analysis unit carries out a risk analysis at the timing at which the task flow and the countermeasure status collected from the other control device via the network are collected.
An information gathering system characterized by
JP2017175859A 2017-09-13 2017-09-13 Information collection device, information collection system Active JP6890073B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017175859A JP6890073B2 (en) 2017-09-13 2017-09-13 Information collection device, information collection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017175859A JP6890073B2 (en) 2017-09-13 2017-09-13 Information collection device, information collection system

Publications (2)

Publication Number Publication Date
JP2019053412A true JP2019053412A (en) 2019-04-04
JP6890073B2 JP6890073B2 (en) 2021-06-18

Family

ID=66015041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017175859A Active JP6890073B2 (en) 2017-09-13 2017-09-13 Information collection device, information collection system

Country Status (1)

Country Link
JP (1) JP6890073B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021144639A (en) * 2020-03-13 2021-09-24 株式会社日立製作所 Asset information management system, and asset information management method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001138602A (en) * 1999-11-15 2001-05-22 Canon Inc Recorder, method for starting recorder and recording system
JP2016224480A (en) * 2015-05-26 2016-12-28 株式会社日立製作所 Information gathering system and method
JP2017076884A (en) * 2015-10-15 2017-04-20 株式会社日立製作所 Unauthorized communication detector, unauthorized communication detection system, and method for detecting unauthorized communication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001138602A (en) * 1999-11-15 2001-05-22 Canon Inc Recorder, method for starting recorder and recording system
JP2016224480A (en) * 2015-05-26 2016-12-28 株式会社日立製作所 Information gathering system and method
JP2017076884A (en) * 2015-10-15 2017-04-20 株式会社日立製作所 Unauthorized communication detector, unauthorized communication detection system, and method for detecting unauthorized communication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021144639A (en) * 2020-03-13 2021-09-24 株式会社日立製作所 Asset information management system, and asset information management method
JP7274438B2 (en) 2020-03-13 2023-05-16 株式会社日立製作所 ASSET INFORMATION MANAGEMENT SYSTEM AND ASSET INFORMATION MANAGEMENT METHOD

Also Published As

Publication number Publication date
JP6890073B2 (en) 2021-06-18

Similar Documents

Publication Publication Date Title
US10574671B2 (en) Method for monitoring security in an automation network, and automation network
KR102137089B1 (en) Apparatus and method for detecting command and control channels
EP3276907B1 (en) A method and apparatus for testing a security of communication of a device under test
US10341294B2 (en) Unauthorized communication detection system and unauthorized communication detection method
JP2014068283A (en) Network failure detection system and network failure detection device
JP7039810B2 (en) Information gathering system, information gathering method, and program
CN112651029B (en) System and method for detecting application system loopholes, storage medium and electronic equipment
CN110881034A (en) Computer network security system based on virtualization technology
CN108028846A (en) Monitoring to test data set integrality
CN110798428A (en) Detection method, system and related device for violent cracking behavior of account
US10348746B2 (en) Incident detection system including gateway device and server
JP2019053412A (en) Information collection device and information collection system
US20180351913A1 (en) Detection system, web application device, web application firewall device, detection method for detection system, detection method for web application device, and detection method for web application firewall device
US10051004B2 (en) Evaluation system
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
JP2020119596A (en) Log analysis system, analysis device, analysis method, and analysis program
WO2016092962A1 (en) Control device state verification system and control device state verification method
JP2019168869A (en) Incident detection system and method thereof
JP7074188B2 (en) Security coping ability measurement system, method and program
JP6869869B2 (en) Countermeasure planning system and monitoring device for control system
CN112150306A (en) Power data network security test method and device
US20190245752A1 (en) Communication network determination apparatus, communication network determination method, and recording medium having communication network determination program recorded therein
JP6038326B2 (en) Data processing device, data communication device, communication system, data processing method, data communication method, and program
US20170257259A1 (en) Computer system, gateway apparatus, and server apparatus
CN116707146B (en) Intelligent monitoring method and related equipment for photovoltaic power generation and energy storage system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210427

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210524

R150 Certificate of patent or registration of utility model

Ref document number: 6890073

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150