JP2019053412A - Information collection device and information collection system - Google Patents
Information collection device and information collection system Download PDFInfo
- Publication number
- JP2019053412A JP2019053412A JP2017175859A JP2017175859A JP2019053412A JP 2019053412 A JP2019053412 A JP 2019053412A JP 2017175859 A JP2017175859 A JP 2017175859A JP 2017175859 A JP2017175859 A JP 2017175859A JP 2019053412 A JP2019053412 A JP 2019053412A
- Authority
- JP
- Japan
- Prior art keywords
- information
- unit
- inspection
- communication
- status
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、セキュリティリスクの分析を支援する情報収集装置、情報収集システムに関する。 The present invention relates to an information collection device and an information collection system that support security risk analysis.
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的に通信が発生し、その通信データをもとに処理を行うことが通例である。この周期を阻害した場合、最悪のケースでは制御自体が止まってしまうケースもある。 Control systems used in social infrastructure such as electric power, railways, water supply and gas and in automobiles are required to operate devices such as valves and actuators based on sensor information and maintain preset pressure and temperature. Ru. In order to realize this operation, in a built-in device such as a controller, periodically acquire information from the sensor, check the status, notify other controllers, servers, etc., and perform control as necessary. Is required. For this reason, in the control system, communication is periodically generated, and processing is usually performed based on the communication data. If this cycle is disturbed, in the worst case, the control itself may stop.
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service attack)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスを検知するセキュリティ対策技術が必要となっている。しかしながら、制御システムはシステム規模が大きいケースが多く、システム内の構成や対策状況をもとにセキュリティリスクを認識し、必要な対策の内容と場所を明確化することは莫大な工数が必要となり、実施することが困難であった。 On the other hand, the control system has so far used a dedicated operating system (OS) or a dedicated protocol, and is installed in an isolated state in an area that can not be accessed from an external network such as the Internet. It has been considered as irrelevant from cyber attacks such as Service attack). However, cases of using a general-purpose OS or a general-purpose protocol for cost reduction are increasing, and connection with an information system is also in progress for improving efficiency. Also, in recent years, computer viruses targeting the control system have been discovered, and the control system also needs security countermeasure technology for detecting infection such as malware and unauthorized access from the outside like the information system. . However, there are many cases where the control system is large in system scale, and it is necessary to recognize the security risk based on the configuration of the system and the state of the countermeasure, and to clarify the contents and the location of the necessary countermeasure. It was difficult to carry out.
このような課題に対し、システム内に現状分析手段や資産分析手段を導入し、システムに含まれる脆弱性や資産の情報から、システムのリスク分析や対策立案を行う技術が知られている(たとえば、特許文献1参照)。 In order to solve such problems, there is known a technique of introducing current analysis means and asset analysis means in the system and performing system risk analysis and countermeasure planning from the information of vulnerability and property included in the system (for example, , Patent Document 1).
制御システムは内部で実行される業務に可用性が要求されるため、従来技術のような業務の特性等を考慮せずに情報収集を行った場合、情報収集の影響により、業務の遅延や停止等が引き起こされる可能性があり、適用することが困難であった。 Since the control system requires availability for internally executed operations, when information is collected without considering the characteristics of operations as in the prior art, the delay or stoppage of operations due to the influence of information collection, etc. Could be caused and was difficult to apply.
本発明は、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能な情報収集装置、情報収集システムを提供することを目的とする。 An object of the present invention is to provide an information collecting apparatus and an information collecting system capable of collecting information necessary for security risk analysis without affecting operations performed in a control system. .
本発明にかかる情報収集装置は、制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集する情報収集装置であって、前記情報収集装置は、ネットワークから受信したパケットを格納する通信パケット格納部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、を備えることを特徴とする情報収集装置として構成される。 An information collecting apparatus according to the present invention is an information collecting apparatus for collecting information in a system required to extract a security risk inherent in a control system, wherein the information collecting apparatus receives a packet received from a network. A communication packet storage unit for storing, a business flow extraction unit for extracting a business flow to be transmitted / received in the system from the packets stored in the communication packet storage unit, and a system from the packets stored in the communication packet storage unit A communication pattern extraction unit that extracts a communication pattern to be transmitted / received inside, and an operation free time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and the business flow extracted by the business flow extraction unit Command selection unit that selects a test command that can be executed at a timing that does not affect And a countermeasure status estimation unit configured to transmit the selected inspection command to another device in the system that is to collect the information, and to estimate the countermeasure status of the other device based on the acquired result. It is comprised as an information gathering device characterized by the above.
また、本発明は、上記情報収集装置を有した情報収集システムとしても把握される。 Further, the present invention is also understood as an information collection system having the above-described information collection apparatus.
本発明によれば、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。 According to the present invention, it is possible to collect information required for security risk analysis without affecting the operations performed by the control system.
本実施形態について説明する。 The present embodiment will be described.
図1は、本実施形態におけるセキュリティリスク分析支援システムの構成図である。 FIG. 1 is a block diagram of a security risk analysis support system in the present embodiment.
本実施形態のセキュリティリスク分析支援システムは、図1に例示するように、制御装置101〜10nと、監視・検査装置201〜20nと、ネットワーク装置301〜30nと、外部ネットワーク40と、分析サーバ50と、から構成されている。 In the security risk analysis support system of the present embodiment, as illustrated in FIG. 1, control devices 10 1 to 10 n , monitoring and inspection devices 20 1 to 20 n , network devices 30 1 to 30 n, and an external network 40 and an analysis server 50.
制御装置101〜10nは、セキュリティリスク分析に必要となる情報を収集する対象となる装置であり、制御処理を行う制御処理部1011〜101nと、ネットワーク装置301〜30n等と通信を行う通信部1021〜102nと、を含む。
The control devices 10 1 to 10 n are devices that are targets for collecting information necessary for security risk analysis, and include
監視・検査装置201〜20nは、ネットワーク装置301〜30nから通信パケットを取得する通信パケット取得部2011〜201nと、取得した通信パケットから特定の機器間の一連のデータフローである業務フローを抽出する業務フロー抽出部2021〜202nと、取得した通信パケットから通信が行われるタイミングを抽出する通信パターン抽出部2031〜203nと、取得した通信パケットから業務に利用されている機器の一覧を抽出する装置リスト抽出部2041〜204nと、現在の時刻情報を取得する時刻情報取得部2051〜205nと、各機器に対して送信する検査コマンドを選定する検査コマンド選定部2061〜206nと、各機器に送信した検査コマンドのレスポンスから、各機器の対策状況を推定する対策状況推定部2071〜207nと、ネットワーク301〜30nと通信を行う内部通信部2081〜208nと、外部ネットワーク40と通信を行う外部通信部2091〜209nと、業務フローや対策状況の収集状況を出力する検査状況出力部2101〜210nと、通信パケット取得部2011〜201nで取得した通信パケットを格納する通信パケット格納部2111〜211nと、業務フロー抽出部2021〜202nで抽出した業務フローを格納する業務フロー格納部2121〜212nと、通信パターン抽出部2031〜203nで抽出した通信パターンを格納する通信パターン格納部2131〜213nと、検査コマンド選定部2061〜206nで検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部2141〜214nと、検査コマンド選定部2061〜206nで選定する検査コマンドの一覧を格納する検査コマンド格納部2151〜215nと、対策状況推定部2071〜207nで推定した各機器の対策状況を格納する対策状況格納部2161〜216nと、を含む。
Monitoring and
ネットワーク装置301〜30nは、制御装置101〜10nと通信を行う通信部3011〜301nと、監視・検査装置201〜20nと通信を行うパケット複製通信部3021〜302nと、を含む。
分析サーバ50は、監視・検査装置201〜20nから受信した業務フローや対策状況の不足状況に関して検証を行う入力情報確認部501と、不足があると判断された場合に不足情報を入力する不足情報入力部502と、入力された情報を用いてリスク分析を行うリスク分析部503と、リスク分析の結果を出力する結果出力部504と、入力情報検証部501で入力情報の検証を行う際に参照する必要情報格納部505と、外部ネットワーク40と通信を行う通信部506と、を含む。
The analysis server 50 inputs the input
図2は制御装置101〜10nのハードウェア構成を例示する図である。制御装置101〜10nは、通信装置11と、入出力装置12と、記憶装置13と、CPU(Central Processing Unit)14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。
FIG. 2 is a diagram illustrating the hardware configuration of the control devices 10 1 to 10 n . In the control devices 10 1 to 10 n , the
図3は監視・検査装置201〜20nのハードウェア構成を例示する図である。監視・検査装置201〜20nは、内部通信装置21と、内部通信装置22と、記憶装置23と、入出力装置24と、CPU25と、メモリ26と、がバスなどの内部通信線27で連結され、構成されている。
Figure 3 is a diagram illustrating the hardware configuration of the monitoring and
図4は分析サーバ50のハードウェア構成を例示する図である。分析サーバ50は、通信装置51と、入出力装置52と、記憶装置53と、CPU54と、メモリ55と、記憶媒体57を読み込む読取装置56と、がバスなどの内部通信線58で連結され、構成されている。
FIG. 4 is a diagram illustrating the hardware configuration of the analysis server 50. As shown in FIG. In the analysis server 50, the
本実施形態のセキュリティリスク分析支援システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置101〜10nや監視・検査装置201〜20nやネットワーク装置301〜30nや分析サーバ50の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、セキュリティリスク分析支援システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
The processing flow in the security risk analysis support system of this embodiment will be described. Process flow described below,
図5は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nを用いて、ネットワークを流れる通信パケットを収集する際に実施する処理フローを示した図である。 Figure 5 is the security risk analysis support system to which this embodiment is applied, using the monitoring and inspection apparatus 20 1 to 20 n, a diagram showing a processing flow performed in collecting communication packets flowing network is there.
はじめに、制御装置101は、制御コマンドを生成する(S501(S501と表現する。以下同様))。次に、制御装置101は、生成した制御コマンド(A501)をネットワーク装置301に送信する(S502)。
First , the
次に、ネットワーク装置301は、制御装置101から受信した制御コマンド(A501)を複製する(S503)。次に、ネットワーク装置301は、複製した制御コマンド(A501)を監視・検査装置201および制御装置102に送信する(S504)。 Then, the network apparatus 30 1, replicates the received control commands (A 501) from the controller 10 1 (S503). Then, the network apparatus 30 1 transmits the duplicated control command (A 501) monitoring and inspection apparatus 20 1 and the control device 10 2 (S504).
次に、監視・検査装置201は、ネットワーク装置301から受信した通信パケットを通信パケット格納部2111に格納する(S505)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 The monitoring and inspection apparatus 20 1 stores the communication packet received from the network apparatus 30 1 to the communication packet storage unit 211 1 (S505). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.
次に、制御装置102は、ネットワーク装置301から受信した制御コマンド(A501)を処理する(S506)。次に、制御装置102は、処理した結果を踏まえて、制御コマンドを生成する(S507)。次に、制御装置102は、生成した制御コマンド(A502)を制御装置10nに送信する(S508)。 Next, the control unit 10 2 processes the control commands received from the network apparatus 30 1 (A501) (S506) . Next, the control unit 10 2, based on the results of processing, and generates a control command (S507). Next, the control unit 10 2 transmits the generated control command to (A 502) to the control unit 10 n (S508).
次に、ネットワーク装置30nは、制御装置102から受信した制御コマンド(A502)を複製する(S509)。次に、ネットワーク装置30nは、複製した制御コマンド(A502)を監視・検査装置20nおよび制御装置10nに送信する(S510)。 Then, the network device 30 n replicates the control command received (A 502) from the control device 10 2 (S509). Next, the network device 30 n transmits the copied control command (A 502) to the monitoring and inspection device 20 n and the control device 10 n (S 510).
次に、監視・検査装置20nは、ネットワーク装置30nから受信した通信パケットを通信パケット格納部211nに格納する(S511)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 Next, the monitoring and inspection apparatus 20 n stores the communication packet received from the network device 30 n in the communication packet storage unit 211 n (S 511). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.
次に、制御装置10nは、ネットワーク装置30nから受信した制御コマンド(A502)を処理する(S512)。次に、制御装置10nは、処理した結果を示すレスポンス(A503)を制御装置102に送信する(S513)。 Next, the control device 10 n processes the control command (A 502) received from the network device 30 n (S 512). Next, the control device 10 n transmits a response indicating the result of processing (A503) to the control unit 10 2 (S513).
次に、ネットワーク装置30nは、受信したレスポンス(A503)を複製する(S514)。次に、ネットワーク装置30nは、複製したレスポンス(A503)を監視・検査装置20nおよび制御装置102に送信する(S515)。 Next, the network device 30 n duplicates the received response (A 503) (S 514). Then, the network device 30 n transmits replicated response (A503) monitoring and inspection apparatus 20 n and the control unit 10 2 (S515).
次に、監視・検査装置20nは、ネットワーク装置30nから受信した通信パケットを通信パケット格納部211nに格納する(S516)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 Next, the monitoring and inspection apparatus 20 n stores the communication packet received from the network device 30 n in the communication packet storage unit 211 n (S 516). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.
次に、制御装置102は、ネットワーク装置30nから受信したレスポンス(A503)を処理する(S517)。次に、制御装置102は、処理した結果を示すレスポンス(A504)を制御装置101に送信する(S518)。 Next, the control unit 10 2 processes the response (A503) received from the network device 30 n (S517). Next, the control unit 10 2 transmits a response indicating the result of processing (A 504) to the control apparatus 10 1 (S518).
次に、ネットワーク装置301は、受信したレスポンス(A504)を複製する(S519)。次に、ネットワーク装置301は、複製したレスポンス(A504)を監視・検査装置201および制御装置101に送信する(S520)。 Then, the network apparatus 30 1 replicates the response (A 504) was received (S519). Then, the network apparatus 30 1 transmits replicated response to (A 504) in the monitoring and inspection apparatus 20 1 and the control apparatus 10 1 (S520).
次に、監視・検査装置201は、ネットワーク装置301から受信した通信パケットを通信パケット格納部2111に格納する(S521)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。 The monitoring and inspection apparatus 20 1 stores the communication packet received from the network apparatus 30 1 to the communication packet storage unit 211 1 (S521). Here, the configuration of the communication packet will be described in detail in FIG. 11 below.
図6は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nを用いて、通信パケットの収集後に実施する通信パターンを抽出する処理フローを示した図である。当該処理は、図5に示した処理実行後、任意のタイミングで行われる。 Figure 6 is the security risk analysis support system to which this embodiment is applied, using the monitoring and inspection apparatus 20 1 to 20 n, a diagram illustrating a process flow for extracting the communication pattern carried out after the collection of a communication packet is there. The process is performed at an arbitrary timing after the process shown in FIG.
はじめに、監視・検査装置201〜20nは通信パターン抽出処理を開始する(S601)。次に、監視・検査装置201〜20nは、通信パケット格納部2111〜211nから通信パケットを取得する(S602)。次に、監視・検査装置201〜20nは、取得した通信パケットから時間的に連続している一連のデータフローである業務フローを抽出する(S603)。ここで、時間的な連続の判定条件として、例えば、通信パケットの送受信間隔が数百ミリ秒以内であることなどを用いる。次に、監視・検査装置201〜20nは、抽出した業務フローを業務フロー格納部2121〜212nに格納する(S604)。ここで、業務フローの構成については、以降の図12に詳細に記載する。 First , the monitoring and inspection devices 20 1 to 20 n start communication pattern extraction processing (S601). Next, the monitoring and inspection devices 20 1 to 20 n acquire communication packets from the communication packet storage units 211 1 to 211 n (S602). Next, the monitoring and inspection devices 20 1 to 20 n extract a business flow that is a series of data flows that are continuous in time from the acquired communication packets (S603). Here, as the determination condition of the temporal continuity, for example, the fact that the transmission and reception interval of the communication packet is within several hundred milliseconds is used. Next, the monitoring and inspection devices 20 1 to 20 n store the extracted business flows in the business flow storage units 212 1 to 212 n (S 604). Here, the configuration of the business flow will be described in detail in FIG. 12 below.
次に、監視・検査装置201〜20nは、取得した通信パケットから、装置毎の通信パターンを抽出する(S605)。ここで、通信パターンとして、通信が行われている周期や通信の頻度、通信が発生する時刻等の情報を抽出する。次に、監視・検査装置201〜20nは、抽出した通信パターンを通信パターン格納部2131〜213nに格納する(S606)。ここで、通信パターンの構成については、以降の図13に詳細に記載する。次に、監視・検査装置201〜20nは、取得した通信パケットから、業務で利用される装置の一覧である装置リストを抽出する(S607)。次に、監視・検査装置201〜20nは、抽出した装置リストを用いて、各装置の対策状況を作成する(S608)。ここで、作成する対策状況は装置毎に何も対策の確認がなされていないものとなる。次に、監視・検査装置201〜20nは、作成した対策状況を対策状況格納部2161〜216nに格納する(S609)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、処理を終了する(S610)。
The monitoring and
図7は、本実施形態におけるセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nを用いて、各装置の対策状況を収集する処理フローを示した図である。当該処理は、図6に示した処理実行後、任意のタイミングで行われる。 Figure 7 is the security risk analysis support system in the present embodiment, by using the monitoring and inspection apparatus 20 1 to 20 n, a diagram showing a processing flow for collecting measure status of each device. The process is performed at an arbitrary timing after the process shown in FIG.
はじめに、監視・検査装置201〜20nは、対策状況格納部2161〜216nに格納されている対策状況を取得する(S701)。次に、監視・検査装置201〜20nは、取得した対策状況に記載されている装置の中で、対策未確認項目が存在する装置の有無を判定する(S702)。例えば、監視・検査装置201〜20nは、図16に示す対策状況に含まれるOS、ハードウェア識別子、アクセス時の認証有無、インターネット接続の可否、パケットフィルタ有無等の各項目の内容を取得し、すべての項目の内容が取得できる場合には対策未確認項目はないと判定する。一方、監視・検査装置201〜20nは、少なくとも1つの項目の内容が取得できない場合には対策未確認項目があると判定する。 First , the monitoring and inspection devices 20 1 to 20 n acquire the countermeasure status stored in the countermeasure status storage units 216 1 to 216 n (S 701). Next, among the devices described in the acquired countermeasure status, the monitoring and inspection devices 20 1 to 20 n determine the presence or absence of the device in which the countermeasure unconfirmed item exists (S702). For example, the monitoring and inspection devices 20 1 to 20 n acquire the contents of each item such as OS included in the countermeasure status shown in FIG. 16, hardware identifier, presence or absence of authentication at access, availability of Internet connection, presence or absence of packet filter If the contents of all the items can be acquired, it is determined that there is no unconfirmed item. Meanwhile, the monitoring and inspection apparatus 20 1 to 20 n determines that if the content of the at least one item can not be acquired is measures unconfirmed items.
監視・検査装置201〜20nは、判定の結果、対策未確認項目が存在する装置が無いと判定した場合には(S702;No)、処理を終了する(S703)。一方、監視・検査装置201〜20nは、対策未確認項目が存在する装置が有ると判定した場合には(S702;Yes)、対策未確認項目が存在する装置の中から、検査対象装置を選定する(S704)。ここで、装置を選定する方法として、対策未確認項目が最も多く存在している装置を選定する方法やランダムに選定する方法などが考えられる。また、選定する装置として、検査項目が同様の装置を複数選択しても良い。
Monitoring and
次に、監視・検査装置201〜20nは、選定した装置が実施する通信パターンを通信パターン格納部2131〜213nから取得する(S705)。例えば、監視・検査装置201〜20nは、図13に示す通信パターンに含まれる通信周期、通信頻度、通信タイミング等の各項目の内容を取得する。 Next, the monitoring and inspection devices 20 1 to 20 n acquire communication patterns to be implemented by the selected device from the communication pattern storage units 213 1 to 213 n (S 705). For example, the monitoring and inspection devices 20 1 to 20 n acquire the contents of each item such as the communication cycle, the communication frequency, and the communication timing included in the communication pattern illustrated in FIG. 13.
次に、監視・検査装置201〜20nは、検査ポリシ格納部2141〜214nから検査ポリシを取得する(S706)。ここで、検査ポリシとは、どれくらい負荷を掛けて検査を行うかということを示すものであり、システムの管理者等によって設定されるものである。例えば、監視・検査装置201〜20nは、図14に示す検査ポリシに含まれる検査タイミングポリシ、検査内容ポリシ等の各項目の内容を取得する。検査ポリシは、予め検査ポリシ格納部2141〜214nに格納していても良いし、以降の図9に示すような入力画面を用いて設定しても良い。検査ポリシの構成については、以降の図14に詳細に記載する。 Next, the monitoring and inspection devices 20 1 to 20 n acquire the inspection policy from the inspection policy storage units 214 1 to 214 n (S706). Here, the inspection policy indicates how much load is applied to perform the inspection, and is set by the system administrator or the like. For example, the monitoring and inspection apparatuses 20 1 to 20 n acquire the contents of each item such as the inspection timing policy and the inspection content policy included in the inspection policy illustrated in FIG. 14. Testing policy, may also be stored in advance in the inspection policy storage unit 214 1 -214 n, may be set by using an input screen as shown in the subsequent Figure 9. The configuration of the examination policy is described in detail in FIG. 14 below.
次に、監視・検査装置201〜20nは、現在時刻を取得する(S707)。次に、監視・検査装置201〜20nは、取得した通信パターンと検査ポリシと現在時刻の情報から、現時点で検査に利用可能となる時間を推定する(S708)。ここで、検査可能な時間の推定は、検査ポリシで設定されている検査可能な時間帯において、次の予測される通信タイミングと現在時刻の差分で算出可能である。 Next, the monitoring and inspection devices 20 1 to 20 n acquire the current time (S 707). The monitoring and inspection apparatus 20 1 to 20 n from the acquired communication pattern inspection policy and the current time information, to estimate the time to be available for inspection at the present time (S 708). Here, the estimation of the testable time can be calculated by the difference between the next predicted communication timing and the current time in the testable time zone set in the test policy.
次に、監視・検査装置201〜20nは、推定した検査可能時間をもとに、検査コマンド格納部2151〜215nに格納されている検査コマンドの中で、検査可能時間や検査ポリシに合致し、未確認検査項目に該当する検査コマンドを選定する(S709)。例えば、監視・検査装置201〜20nは、検査可能時間や検査ポリシに合致した検査コマンドのうち、S702で判定された対策未確認項目と同じ確認対策項目を含む図15に示す検査コマンドを選定する。
The monitoring and
次に、監視・検査装置201〜20nは、検査コマンドが選定されたか否かを判定する(S710)。その結果、監視・検査装置201〜20nは、検査コマンドが選定されていないと判定した場合には(S710;No)、S707に戻り、再度、検査コマンドを選定する。一方、監視・検査装置201〜20nは、検査コマンドが選定されていると判定した場合には(S710;Yes)、選定された検査コマンド(A701)を検査対象装置(ここでは、制御装置101)に送信する(S711)。
The monitoring and
次に、制御装置101は、受信した検査コマンド(A701)をもとに、検査コマンド(A701)に対するレスポンスを生成する(S712)。次に、制御装置101は、生成したレスポンス(A702)を監視・検査装置201〜20nに送信する(S713)。 Next, the control device 10 1, based on the test command received (A701), it generates a response to the inspection command (A701) (S712). Next, the controller 10 1 transmits the generated response to (A702) monitoring and inspection apparatus 20 1 ~20 n (S713).
次に、監視・検査装置201〜20nは、検査対象装置が複数ある場合には、ここで、次の検査対象装置(ここでは、制御装置10n)に対して、選定された検査コマンド(A703)を送信する(S714)。 The monitoring and inspection apparatus 20 1 to 20 n, when there are a plurality of inspection target device, wherein the test command (in this case, the control device 10 n) next inspection target apparatus with respect to, was selected (A703) is transmitted (S714).
次に、制御装置10nは、受信した検査コマンド(A703)をもとに、検査コマンド(A703)に対するレスポンスを生成する(S715)。次に、制御装置10nは、生成したレスポンス(A704)を監視・検査装置201〜20nに送信する(S716)。 Next, based on the received inspection command (A703), the control device 10 n generates a response to the inspection command (A703) (S715). Next, the control device 10 n transmits the generated response (A 704) to the monitoring and inspection devices 20 1 to 20 n (S 716).
次に、監視・検査装置201〜20nは、受信したレスポンス(A702、A704)から、各装置の対策状況を推定する(S717)。ここで、対策状況とは、OSの種類、ハードウェアの種類、特定の通信ポートにアクセスした際に、認証要求があったかなどの項目を指し、検査コマンドに対するレスポンスの内容やレスポンス有無等から推定可能な項目を指す。 Next, the monitoring and inspection devices 20 1 to 20 n estimate the countermeasure status of each device from the received responses (A 702 and A 704) (S 717). Here, the countermeasure status refers to items such as the type of OS, the type of hardware, and whether there is an authentication request when accessing a specific communication port, and can be estimated from the contents of the response to the inspection command or the presence or absence of the response. Points to
次に、監視・検査装置201〜20nは、推定した対策状況を対策状況格納部2161〜216nに格納する(S718)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、監視・検査装置201〜20nは、現在の検査状況を出力する(S719)。ここで、検査状況とは、抽出した業務フローの数および/または検査済項目および/または必要な検査時間等から構成されるものであり、以降の図10に詳細に記載する。また、監視・検査装置201〜20nに出力装置が存在しない場合には、内部のログに記録しておいても良いし、そもそも出力しなくてもよい。 Next, the monitoring and inspection devices 20 1 to 20 n store the estimated countermeasure status in the countermeasure status storage units 216 1 to 216 n (S 718). Here, the configuration of the countermeasure status will be described in detail in FIG. Next, the monitoring and inspection devices 20 1 to 20 n output the current inspection status (S719). Here, the inspection status includes the number of extracted business flows and / or inspection items and / or required inspection time, etc., and will be described in detail in FIG. 10 below. Also, if the monitoring and inspection device 20 output device 1 to 20 n is not present, it may be recorded inside the log, the first place may not be output.
次に、監視・検査装置201〜20nは、S704で選定した対象装置に関して、対策未確認項目の有無を判定することにより、対策未確認項目が残っていないか検証する(S720)。その結果、監視・検査装置201〜20nは、対策未確認項目が残っていると判定した場合には(S720;Yes)、S707に戻り、検査コマンドの選定と送信を行う。一方、監視・検査装置201〜20nは、対策未確認項目が残っていないと判定した場合には(S720;No)、次に、対策状況格納部2161〜216nに格納されている対策状況を参照し、対策未確認装置の有無を判定することにより、対策未確認装置が存在していないか検証する(S721)。対策未確認装置の有無は、例えば、対策状況に含まれるIPアドレスにより判定すればよい。その結果、監視・検査装置201〜20nは、対策未確認装置が存在していると判定した場合には(S721;Yes)、S704に戻り、対象装置選定、検査コマンド選定と送信を行う。一方、監視・検査装置201〜20nは、対策未確認装置が存在しないと判定した場合には(S721;No)、処理を終了する。
The monitoring and
図8は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nで収集した業務フローと対策状況を用いて、分析サーバでリスク分析を行う処理フローを示した図である。以下では、分析サーバがリスク分析を行う場合について説明しているが、監視・検査装置201〜20nが同様の処理を実行してもよい。 Figure 8 is the security risk analysis support system to which this embodiment is applied, using business flow collected by the monitoring and inspection apparatus 20 1 to 20 n and the measure status, showing a processing flow for performing risk analysis in analysis server FIG. In the following, a case has been described where the analysis server performs risk analysis, monitoring and inspection apparatus 20 1 to 20 n may perform the same processing.
はじめに、監視・検査装置201〜20nは、収集したタイミングで業務フロー格納部2121〜212nから業務フロー取得する(S8011〜S801n)。次に、監視・検査装置201〜20nは、収集したタイミングで対策状況格納部2161〜216nから対策状況を取得する(S8021〜S802n)。次に、監視・検査装置201〜20nは、取得した業務フローと対策状況(A8011〜A801n)を分析サーバ50に送信する(S8031〜S803n)。
First, the monitoring and
次に、分析サーバ50は、受信した業務フローと対策状況(A8011〜A801n)と必要情報格納部505に格納されているリスク分析に必要な情報との突合せを行い、リスク分析に必要な情報が不足しているか否かを判定することにより、入力情報の確認を行う(S804)。その結果、分析サーバ50は、情報に不足があると判定した場合には(S804;Yes)、不足情報の入力を行う(S805)。ここで、入力情報を確認する理由は、例えば、業務が頻繁に行われているために、対策状況に含まれるすべての項目が取得できていない場合があるためである。このようなケースを想定し、リスク分析に必要な情報が不足している場合には、その項目を補完するため、該当項目を不足情報として入力している。また、不足情報の入力は、分析サーバ50に直接入力しても良いし、遠隔から送信しても良い。また、不足情報の入力が困難な場合には、例えば、セキュリティリスクのレベルが高くなる項目やディフォルト値を自動的に選択してもよい。一方、分析サーバ50は、情報に不足が無いと判定した場合には(S804;No)、特に何も実施しない。
Then, the analysis server 50 performs butt with the information necessary for risk analysis are stored as needed
次に、分析サーバ50は、受信した業務フローと対策状況(A8011〜A801n)と、S804で入力された情報を用いて、リスク分析を行う(S806)。ここで、リスク分析は、業務フローに内在するセキュリティ上の脅威を例えば5W法などで抽出し、対策状況から脅威の起こしやすさを見積り、リスクレベルを算出する方法などが考えられるが、これに限定されるものではない。次に、分析サーバ50は、リスク分析の結果を出力する(S807)。
Then, the analysis server 50, the received business flow and
図9は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの検査ポリシ格納部2141〜214nに格納する検査ポリシを登録する際に利用する画面を示した図である。 Figure 9 is the security risk analysis support system to which the present embodiment is applied, the screen to be used when registering the inspection policy to store monitoring and inspection apparatus 20 1 to 20 n examination policy storage unit 214 1 -214 n of FIG.
検査ポリシ設定画面(A901)は、検査タイミングポリシ(A902)と、検査内容ポリシ(A903)から構成される。検査タイミングポリシ(A902)は、検査コマンドをどのようなタイミングで実行するかを指定するものであり、例えば、業務停止日、業務停止時間、業務フロー非実行時間などが考えられるが、これに限定されるものではない。また、検査内容ポリシ(A903)は、検査コマンドの内容を指定するものであり、例えば、直接的な検査を行わないパッシブ検査のみ、直接的な検査を行うが負荷が小さいもの、直接的な検査を行い、負荷も高いもの、などが考えられるが、これに限定されるものではない。なお、検査ポリシ設定画面(A901)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ設定画面(A901)の構成要素の順序は上記に限定されるものではない。 The examination policy setting screen (A901) is composed of an examination timing policy (A902) and an examination content policy (A903). The inspection timing policy (A 902) is used to specify at what timing the inspection command is to be executed. For example, business stop date, business stop time, business flow non-execution time, etc. can be considered. It is not something to be done. The inspection content policy (A 903) specifies the content of the inspection command. For example, only passive inspection without direct inspection, direct inspection with small load, direct inspection And the load is also high, etc., but it is not limited thereto. The constituent elements of the inspection policy setting screen (A 901) are not limited to the above, and at least the above-described elements may be included. Further, the order of the components of the inspection policy setting screen (A 901) is not limited to the above.
図10は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nが出力する検査状況確認画面を示した図である。 10, in the security risk analysis support system to which this embodiment is applied is a diagram showing an inspection status confirmation screen monitoring and inspection apparatus 20 1 to 20 n outputs.
検査状況確認画面(A1001)は、検査状況(A1002)から構成される。検査状況(A1002)は、図6のS603で抽出した業務フローの数(A1003)と、図7のS710で出力した検査対象機器および検査済機器の数(A1004)と、図7のS710で出力した検査対象項目および検査済項目の数(A1005)と、推定残り時間(A1006)から構成されるが、これに限定されるものではない。推定残り時間(A1006)は、例えば、図15に示す検査コマンドに含まれる必要処理時間から推定すればよい。なお、検査状況確認画面(A1001)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査状況確認画面(A1001)の構成要素の順序は上記に限定されるものではない。 The inspection status confirmation screen (A1001) is composed of the inspection status (A1002). The inspection status (A1002) is output at S710 of FIG. 7 with the number of business flows extracted at S603 of FIG. 6 (A1003), the number of inspection target devices and inspected devices output at S710 of FIG. 7 (A1004) Although the number of items to be examined and the number of examined items (A1005) and the estimated remaining time (A1006) are included, the present invention is not limited thereto. The estimated remaining time (A1006) may be estimated, for example, from the required processing time included in the inspection command shown in FIG. The constituent elements of the inspection status confirmation screen (A1001) are not limited to the above, and at least the above-described elements may be included. Moreover, the order of the components of the inspection status confirmation screen (A1001) is not limited to the above.
図11は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの通信パケット格納部2111〜211nに格納される通信パケットの構成を例示する図である。
Figure 11 is the security risk analysis support system to which this embodiment is applied, a diagram illustrating the structure of a communication packet stored monitoring and
通信パケット(A1101)は、パケットを受信した日時(A1102)と、パケットのヘッダ(A1103)から構成される。ここで、ヘッダ(A1103)は、送信元(A1104)、送信先(A1105)、プロトコル(A1106)、ポート番号(A1107)から構成されるが、これに限定されるものではない。なお、通信パケット(A1101)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パケット(A1101)の構成要素の順序は上記に限定されるものではない。 The communication packet (A1101) includes the date and time (A1102) at which the packet was received and the header (A1103) of the packet. Here, the header (A1103) includes a transmission source (A1104), a transmission destination (A1105), a protocol (A1106), and a port number (A1107), but is not limited thereto. The components of the communication packet (A1101) are not limited to the above, and at least the above-described components may be included. In addition, the order of the components of the communication packet (A1101) is not limited to the above.
図12は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの業務フロー格納部2121〜212nに格納される業務フローの構成を例示する図である。
12, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a business flow stored monitoring and
業務フロー(A1201)は、業務フローを識別する識別子(A1202)と、業務フローを開始する装置のIPアドレス(A1203)と、業務フローが終了する装置のIPアドレス(A1204)と、開始IPアドレスから終了IPアドレスの間で経由するIPアドレスの数(A1205)と、その数に応じた経由するIPアドレス群(A1206)から構成される。例えば、図5における制御装置101と制御装置10nとの間の一連の処理(S501〜S521)が1つの業務フローとなる。ここで、業務フロー(A1201)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、業務フロー(A1201)の構成要素の順序は上記に限定されるものではない。 The business flow (A1201) includes an identifier (A1202) for identifying the business flow, the IP address (A1203) of the device starting the business flow, the IP address (A1204) of the device ending the business flow, and the start IP address It comprises the number (A 1205) of IP addresses passed between the end IP addresses and the group of IP addresses (A 1206) passed according to the number. For example, the series of processing (S501~S521) one business flow between the control device 10 1 and the control apparatus 10 n in FIG. Here, the components of the business flow (A 1201) are not limited to the above, and at least the above components may be included. Further, the order of the components of the business flow (A1201) is not limited to the above.
図13は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの通信パターン格納部2131〜213nに格納される通信パターンの構成を例示する図である。
13, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a communication patterns stored monitoring and
通信パターン(A1301)は、制御装置のIPアドレス(A1302)と、通信を行う周期(A1303)と、通信を行う頻度(A1304)と、通信を行うタイミング(A1305)から構成される。ここで、通信を行うタイミング(A1305)とは、日単位、時間単位、分単位、秒単位等で通信が発生したタイミングである。また、通信を行う周期(A1303)とは、例えば、3秒ごと、10秒ごと等の通信間隔であり、通信を行う頻度(A1304)とは、単位時間当たりの通信回数であり、例えば、5秒ごとの頻度で通信する場合は、単位時間1時間あたり720回となる。なお、通信パターン(A1301)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パターン(A1301)の構成要素の順序は上記に限定されるものではない。 The communication pattern (A1301) includes an IP address (A1302) of the control device, a communication cycle (A1303), a communication frequency (A1304), and a communication timing (A1305). Here, the timing at which communication is performed (A1305) is the timing at which communication occurred on a daily basis, an hourly basis, a minute basis, a second basis, or the like. The communication cycle (A1303) is, for example, every 3 seconds, every 10 seconds, etc., and the communication frequency (A1304) is the number of times of communication per unit time, for example, 5 When communicating with the frequency of every second, it becomes 720 times per unit time per hour. The constituent elements of the communication pattern (A1301) are not limited to the above, and at least the above-described elements may be included. In addition, the order of the components of the communication pattern (A1301) is not limited to the above.
図14は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの検査ポリシ格納部2141〜214nに格納される検査ポリシの構成を例示する図である。
14, the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a testing policy is stored in the inspection policy storage unit 214 1 -214 n of the monitoring and
検査ポリシ(A1401)は、検査を実行しても良いタイミングを示す検査タイミングポリシ(A1402)と、検査を実行しても良い内容を示す検査内容ポリシ(A1403)から構成される。ここで、検査タイミングポリシとは、日単位、時間単位などのある特定期間で通信を行っていない場合に検査を許可するといったポリシである。また、検査内容ポリシとは、ネットワークや装置に対して与えても良い負荷のレベルを指定するポリシである。なお、検査ポリシ(A1401)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ(A1401)の構成要素の順序は上記に限定されるものではない。 The inspection policy (A1401) includes an inspection timing policy (A1402) indicating timing at which the inspection may be performed, and an inspection content policy (A1403) indicating contents that the inspection may be performed. Here, a test | inspection timing policy is a policy of permitting a test | inspection, when not communicating in a specific period, such as a day unit and a time unit. The inspection content policy is a policy that specifies the level of load that may be given to the network or the device. The constituent elements of the inspection policy (A1401) are not limited to the above, and at least the above-described elements may be included. Moreover, the order of the components of the inspection policy (A1401) is not limited to the above.
図15は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの検査コマンド格納部2151〜215nに格納される検査コマンドの構成を例示する図である。
15, in the security risk analysis support system to which this embodiment is applied, a diagram illustrating the configuration of a test command to be stored in the inspection
検査コマンド(A1501)は、制御装置に対して送信する検査パケットの内容を示す検査パケットパターン(A1502)と、検査パケットによって確認可能となる対策項目(A1503)と、検査パケットを送信し、レスポンスを受信するまでに必要となる処理時間(A1504)と、検査パケットの送信に伴う想定通信負荷(A1505)と、検査パケットの処理に伴う想定CPU負荷(A1506)から構成される。なお、検査コマンド(A1501)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査コマンド(A1501)の構成要素の順序は上記に限定されるものではない。 The inspection command (A1501) transmits an inspection packet, an inspection packet pattern (A1502) indicating the contents of an inspection packet to be transmitted to the control device, a countermeasure item (A1503) that can be confirmed by the inspection packet, and an inspection packet. A processing time (A1504) required until reception, an assumed communication load (A1505) accompanying the transmission of the inspection packet, and an estimated CPU load (A1506) accompanying the processing of the inspection packet. The constituent elements of the inspection command (A1501) are not limited to the above, and at least the above-described elements may be included. Further, the order of the components of the inspection command (A1501) is not limited to the above.
図16は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置201〜20nの対策状況格納部2161〜216nに格納される対策状況の構成を例示する図である。 FIG. 16 is a diagram exemplifying the configuration of the countermeasure status stored in the countermeasure status storage units 216 1 to 216 n of the monitoring and inspection devices 20 1 to 20 n in the security risk analysis support system to which this embodiment is applied. is there.
対策状況(A1601)は、対策状況を確認した制御装置のIPアドレス(A1602)と、OS(A1603)と、MAC(Media Access Control)アドレス等のハードウェア識別子(A1604)と、リモート接続等によるアクセス時の認証有無(A1605)と、インターネット接続の可否(A1606)と、パケットフィルタ有無(A1607)から構成される。なお、対策状況(A1601)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、対策状況(A1601)の構成要素の順序は上記に限定されるものではない。 The countermeasure status (A1601) includes the IP address (A1602) of the control device that confirmed the countermeasure status, the OS (A1603), a hardware identifier (A1604) such as MAC (Media Access Control) address, and access by remote connection etc. It is comprised from the presence or absence of authentication (A1605), the presence or absence of Internet connection (A1606), and the presence or absence of packet filter (A1607). The constituent elements of the countermeasure status (A 1601) are not limited to the above, and at least the above-described elements may be included. In addition, the order of the components of the countermeasure status (A1601) is not limited to the above.
これらの構成、手順およびデータ構造を実現することにより、制御システムで実施される業務に対して悪影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。 By realizing these configurations, procedures, and data structures, it is possible to collect information necessary for security risk analysis without adversely affecting operations performed by the control system.
具体的には、制御システム内のネットワークを流れる通信パケットを収集する監視・検査装置を設置し、業務が行われる装置とそのタイミングに関する情報を取得し、取得した情報を用いて、業務に影響がないタイミングで各装置のセキュリティ対策に関する情報を収集する。より具体的には、監視・検査装置において、制御システム内の業務実施時にネットワークを流れる通信パケットを収集し、装置間の業務フローと通信パターンを抽出する。その後、抽出した通信パターンを用いて、業務が行われていない時刻を認識し、当該時刻において、次の業務実行までの間に完了する検査項目を選択し、各装置の対策情報を収集し、蓄積する。 Specifically, a monitoring and inspection device for collecting communication packets flowing in a network in the control system is installed, information on the device on which the operation is performed and the timing thereof is acquired, and the acquired information is used to affect the operation. Collect information on security measures of each device without timing. More specifically, the monitoring and inspection device collects communication packets flowing through the network at the time of operation execution in the control system, and extracts the operation flow and communication pattern between the devices. Thereafter, using the extracted communication pattern, it recognizes the time when no work is being performed, and at that time, selects an inspection item to be completed before the next work execution, and collects countermeasure information of each device, accumulate.
このような処理を行うことにより、制御システムに内在するセキュリティリスクを分析するために必要となるシステム内部の情報を収集するシステムにおいて、制御システム内の装置間で行われる業務フローに関する情報や各装置のセキュリティ対策情報を制御システムの通常業務に影響を与えることなく、制御システムへの影響を最小化して、セキュリティリスク分析に必要となる情報の収集を実現することができる。 In the system that collects information inside the system that is necessary to analyze the security risk inherent in the control system by performing such processing, information related to the work flow performed between devices in the control system and each device It is possible to minimize the impact on the control system and realize the collection of information necessary for security risk analysis, without affecting the security system information of the control system.
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。たとえば、監視・検査装置内にネットワーク装置の機能が含まれている場合や、監視・検査装置内に分析サーバの機能が含まれている場合や、制御装置や監視・検査装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。 In addition, this invention is not limited to said embodiment, A various deformation | transformation is possible within the range of the summary. For example, when the function of the network device is included in the monitoring and inspection device, or when the function of the analysis server is included in the monitoring and inspection device, or the control device or the monitoring and inspection device communicates with the network For example, the function is not included and communication with the network is performed via another device. Also in the case of this embodiment, there is no essential change in the processing performed in the entire system.
101〜10n:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、1011〜101n:制御処理部、1021〜102n:通信部、201〜20n:監視・検査装置、21:内部通信装置、22:外部通信装置、23:記憶装置、24:入出力装置、25:CPU、26:メモリ、27:内部信号線、2011〜201n:通信パケット取得部、2021〜202n:業務フロー抽出部、2031〜203n:通信パターン抽出部、2041〜204n:装置リスト抽出部、2051〜205n:時刻情報取得部、2061〜206n:検査コマンド選定部、2071〜207n:対策状況推定部、2081〜208n:内部通信部、2091〜209n:外部通信部、2101〜210n:検査状況出力部、2111〜211n:通信パケット格納部、2121〜212n:業務フロー格納部、2131〜213n:通信パターン格納部、2141〜214n:検査ポリシ格納部、2151〜215n:検査コマンド格納部、2161〜216n:対策状況格納部、301〜30n:ネットワーク装置、3011〜301n:通信部、3021〜302n:パケット複製通信部、40:外部ネットワーク、50:分析サーバ、51:通信装置、52:入出力装置、53:記憶装置、54:CPU、55:メモリ、56:読取装置、57:記憶媒体、58:内部信号線、501:入力情報確認部、502、不足情報入力部、503:リスク分析部、504:結果出力部、505:必要情報格納部、506:通信部、A501:制御コマンド、A502:制御コマンド、A503:レスポンス、A504:レスポンス、A701:検査コマンド、A702:レスポンス、A703:検査コマンド、A704:レスポンス、A8011〜A801n:業務フロー、対策状況、A901:検査ポリシ設定画面、A902:検査タイミングポリシ、A903:検査内容ポリシ、A1001:検査状況確認画面、A1002:検査状況、A1003:抽出業務フロー状況、A1004:検査済機器状況、A1005:検査済項目状況、A1006:推定残り時間、A1101:通信パケット、A1102:受信日時、A1103:ヘッダ、A1104:送信元、A1105:送信先、A1106:プロトコル、A1107:ポート番号、A1201:業務フロー、A1202:業務フロー識別子、A1203:開始IPアドレス、A1204:終了IPアドレス、A1205:経由IPアドレス数、A1206:経由IPアドレス群、A1301:通信パターン、A1302:IPアドレス、A1303:通信周期、A1304:通信頻度、A1305:通信タイミング、A1401:検査ポリシ、A1402:検査タイミングポリシ、A1403:検査内容ポリシ、A1501:検査コマンド、A1502:検査パケットパターン、A1503:確認対策項目、A1504:必要処理時間、A1505:通信負荷、A1506:CPU負荷、A1601:対策状況、A1602:IPアドレス、A1603:OS、A1604:ハードウェア識別子、A1605:認証有無、A1606:インターネット接続可否、A1607:パケットフィルタ有無。 10 1 to 10 n : control device, 11: communication device, 12: input / output device, 13: storage device, 14: CPU, 15: memory, 16: internal signal line, 101 1 to 101 n : control processing unit, 102 1 to 102 n: the communication unit, 20 1 to 20 n: monitoring and inspection device, 21: internal communication device, 22: external communication device, 23: storage device, 24: input device, 25: CPU, 26: memory, 27: internal signal line, 201 1 to 201 n : communication packet acquisition unit, 202 1 to 202 n : business flow extraction unit, 203 1 to 203 n : communication pattern extraction unit, 204 1 to 204 n : device list extraction unit, 205 1 to 205 n: time information acquisition unit, 206 1 -206 n: test command selection unit, 207 1 to 207 n: measure status estimating unit, 208 1 ~208 n: internal communication unit, 09 1 ~209 n: external communication unit, 210 1 ~210 n: inspection status output unit, 211 1 ~211 n: storage communication packets, 212 1 ~212 n: business flow storage unit, 213 1 ~213 n: Communication pattern storage unit, 214 1 -214 n: checking policy storage unit, 215 1 to 215 n: inspecting command storage unit, 216 1 ~216 n: measure status storage section, 30 1 to 30 n: the network device, 301 1 to 301 n: the communication unit, 302 1 to 302 n: packet replication communication unit, 40: an external network, 50: analysis server, 51: communication device, 52: input device, 53: storage device, 54: CPU, 55: memory, 56: reader, 57: storage medium, 58: internal signal line, 501: input information confirmation unit, 502, lack information input unit, 503: risk analysis Unit, 504: Result output unit, 505: Necessary information storage unit, 506: Communication unit, A501: Control command, A502: Control command, A503: Response, A504: Response, A701: Inspection command, A702: Response, A703: Inspection command, A704: response, A801 1 ~A801 n: work flow, measures situation, A901: inspection policy setting screen, A902: inspection timing policy, A903: examination content policy, A1001: inspection status confirmation screen, A1002: inspection status, A1003 : Extraction work flow status, A1004: Tested device status, A1005: Tested item status, A1006: Estimated remaining time, A1101: Communication packet, A1102: Reception date and time, A1103: Header, A1104: Send source, A1105: Send destination, A110 6: Protocol, A1107: Port number, A1201: Business flow, A1202: Business flow identifier, A1203: Start IP address, A1204: End IP address, A1205: Number of routed IP addresses, A1206: Routed IP address group, A1301: Communication pattern , A1302: IP address, A1303: communication cycle, A1304: communication frequency, A1305: communication timing, A1401: inspection policy, A1402: inspection timing policy, A1403: inspection content policy, A1501: inspection command, A1502: inspection packet pattern, A1503 : Confirmation countermeasure item, A1504: Required processing time, A1505: Communication load, A1506: CPU load, A1601: Countermeasure status, A1602: IP address, A1603: OS, A1604: Ha Adware identifier, A1605: authentication status, A1606: Internet connection propriety, A1607: packet filter existence.
Claims (12)
前記情報収集装置は、
ネットワークから受信したパケットを格納する通信パケット格納部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、
前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、
を備えることを特徴とする情報収集装置。 An information collecting apparatus for collecting information in a system required to extract security risks inherent in a control system, comprising:
The information collection device
A communication packet storage unit for storing packets received from the network;
A business flow extraction unit that extracts a business flow transmitted / received in the system from the packet stored in the communication packet storage unit;
A communication pattern extraction unit for extracting a communication pattern transmitted / received in the system from the packets stored in the communication packet storage unit;
An examination for estimating an idle time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and selecting an inspection command that can be executed at a timing that does not affect the business flow extracted by the business flow extraction unit Command selection unit,
A countermeasure status estimation unit that transmits the selected inspection command to another device in the system that is to collect the information, and estimates the countermeasure status of the other device based on the acquired result;
An information collecting apparatus comprising:
前記情報収集装置は、
さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
Furthermore, the inspection command selecting unit comprises an inspection policy storage unit for storing an inspection policy to be referred to when selecting an inspection command,
The inspection command selection unit selects the inspection command that satisfies the inspection policy in addition to the idle time of the communication.
An information collecting device characterized by
前記情報収集装置は、
さらに、前記対策状況推定部が推定した前記他の装置の対策状況の収集状況を出力する検査状況出力部を備え、
前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる装置の総数と前記対策状況推定部が対策状況を推定した装置の数とを表示部に表示する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
And a test status output unit for outputting the collection status of the countermeasure status of the other device estimated by the countermeasure status estimation unit,
The inspection status output unit displays on the display unit the number of business flows extracted by the business flow extraction unit, the total number of devices included in the business flow, and the number of devices for which the countermeasure status estimation unit estimates the countermeasure status Do,
An information collecting device characterized by
前記情報収集装置は、
前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで外部の分析サーバに対して送信する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
The task flow and the countermeasure status collected from the other device via the network are transmitted to an external analysis server at the collected timing.
An information collecting device characterized by
前記情報収集装置は、
さらに、前記業務フローと前記対策状況とを用いて、システム内のセキュリティリスクを分析するリスク分析部を備え、
前記リスク分析部は、前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
ことを特徴とする情報収集装置。 The information collecting apparatus according to claim 1, wherein
The information collection device
And a risk analysis unit that analyzes security risks in the system using the business flow and the countermeasure status.
The risk analysis unit carries out a risk analysis at the timing at which the task flow and the countermeasure status collected from the other device via the network are collected.
An information collecting device characterized by
前記情報収集システムは、
制御装置とネットワーク装置と情報収集装置とネットワークを備え、
前記ネットワーク装置は、
前記ネットワークから受信した通信パケットを複製して前記情報収集装置および前記制御装置に送信するパケット複製部と、前記情報収集装置と前記制御装置との間で前記ネットワークを介して通信するネットワーク通信部と、を備え、
前記情報収集装置は、
前記ネットワークから受信したパケットを格納する通信パケット格納部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信のパターンを抽出する通信パターン抽出部と、
前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の制御装置に送信し、取得した結果をもとに前記他の制御装置の対策状況を推定する対策状況推定部と、
を備えることを特徴とする情報収集システム。 A system for collecting information in a system required to extract security risks inherent in a control system, comprising:
The information collection system
Equipped with a control unit, a network unit, an information collection unit, and a network,
The network device is
A packet duplicating unit that duplicates a communication packet received from the network and sends it to the information collection device and the control device; and a network communication unit that communicates between the information collection device and the control device via the network , And
The information collection device
A communication packet storage unit for storing packets received from the network;
A business flow extraction unit that extracts a business flow transmitted / received in the system from the packet stored in the communication packet storage unit;
A communication pattern extraction unit for extracting a pattern of communication to be transmitted / received in the system from packets stored in the communication packet storage unit;
An examination for estimating an idle time of communication in the system using the communication pattern extracted by the communication pattern extraction unit, and selecting an inspection command that can be executed at a timing that does not affect the business flow extracted by the business flow extraction unit Command selection unit,
A countermeasure status estimation unit configured to transmit the selected inspection command to another control device to collect the information in the system, and estimate a countermeasure status of the other control device based on the acquired result;
An information collecting system comprising:
前記情報収集装置は、
さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する
ことを特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection device
Furthermore, the inspection command selecting unit comprises an inspection policy storage unit for storing an inspection policy to be referred to when selecting an inspection command,
The information collection system, wherein the inspection command selection unit selects the inspection command that satisfies the inspection policy in addition to the idle time of the communication.
前記情報収集装置は、
さらに、前記対策状況推定部が推定した前記他の制御装置の対策状況の収集状況を出力する検査状況出力部を備え、
前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる制御装置の総数と前記対策状況推定部が対策状況を推定した制御装置の数とを表示部に表示する
ことを特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection device
And a test status output unit for outputting the collection status of the countermeasure status of the other control device estimated by the countermeasure status estimation unit,
The inspection status output unit displays the number of business flows extracted by the business flow extraction unit, the total number of control devices included in the business flow, and the number of control devices for which the countermeasure status estimation unit estimates the countermeasure status An information gathering system characterized by
前記情報収集システムは、
さらに、前記業務フローや前記対策状況を用いてシステム内のセキュリティリスクを分析する分析サーバを備え、
前記情報収集装置は、
システム内のネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、前記分析サーバに送信する収集装置通信部を備え、
前記分析サーバは、
前記情報収集装置から受信した前記業務フローおよび前記対策状況の中で分析に必要な情報が含まれているか確認する入力情報確認部と、
前記必要な情報が不足している場合に、追加情報の入力を促す不足情報入力部と、
前記業務フローと前記対策情報と前記不足情報入力部から入力された追加情報とを用いてリスク分析を行うリスク分析部と、
を備える
ことを、特徴とする情報収集システム。 The information collecting system according to claim 6, wherein
The information collection system
And an analysis server that analyzes security risks in the system using the workflow and the countermeasure status.
The information collection device
A collection device communication unit that transmits, to the analysis server, the task flow and the countermeasure status collected from the other control device via a network in the system;
The analysis server
An input information confirmation unit that confirms whether the information required for analysis is included in the task flow and the countermeasure status received from the information collection device;
An insufficient information input unit for prompting input of additional information when the necessary information is insufficient;
A risk analysis unit that performs risk analysis using the work flow, the countermeasure information, and additional information input from the shortage information input unit;
An information gathering system characterized by comprising:
前記情報収集装置は、
前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで前記分析サーバに対して送信する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The information collection device
The task flow and the countermeasure status collected from the other control device via the network are transmitted to the analysis server at the collected timing.
An information gathering system characterized by
前記分析サーバは、
前記入力情報確認部において、入力情報が不足していた場合に、追加情報の入力を促さず、セキュリティリスクが高くなる項目や予め定められている項目を選択する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The analysis server
When the input information is insufficient, the input information confirmation unit does not prompt the user to input additional information, and selects an item that increases security risk or a predetermined item.
An information gathering system characterized by
前記リスク分析部は、前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
ことを特徴とする情報収集システム。 The information collecting system according to claim 9, wherein
The risk analysis unit carries out a risk analysis at the timing at which the task flow and the countermeasure status collected from the other control device via the network are collected.
An information gathering system characterized by
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017175859A JP6890073B2 (en) | 2017-09-13 | 2017-09-13 | Information collection device, information collection system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017175859A JP6890073B2 (en) | 2017-09-13 | 2017-09-13 | Information collection device, information collection system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019053412A true JP2019053412A (en) | 2019-04-04 |
JP6890073B2 JP6890073B2 (en) | 2021-06-18 |
Family
ID=66015041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017175859A Active JP6890073B2 (en) | 2017-09-13 | 2017-09-13 | Information collection device, information collection system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6890073B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021144639A (en) * | 2020-03-13 | 2021-09-24 | 株式会社日立製作所 | Asset information management system, and asset information management method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001138602A (en) * | 1999-11-15 | 2001-05-22 | Canon Inc | Recorder, method for starting recorder and recording system |
JP2016224480A (en) * | 2015-05-26 | 2016-12-28 | 株式会社日立製作所 | Information gathering system and method |
JP2017076884A (en) * | 2015-10-15 | 2017-04-20 | 株式会社日立製作所 | Unauthorized communication detector, unauthorized communication detection system, and method for detecting unauthorized communication |
-
2017
- 2017-09-13 JP JP2017175859A patent/JP6890073B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001138602A (en) * | 1999-11-15 | 2001-05-22 | Canon Inc | Recorder, method for starting recorder and recording system |
JP2016224480A (en) * | 2015-05-26 | 2016-12-28 | 株式会社日立製作所 | Information gathering system and method |
JP2017076884A (en) * | 2015-10-15 | 2017-04-20 | 株式会社日立製作所 | Unauthorized communication detector, unauthorized communication detection system, and method for detecting unauthorized communication |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021144639A (en) * | 2020-03-13 | 2021-09-24 | 株式会社日立製作所 | Asset information management system, and asset information management method |
JP7274438B2 (en) | 2020-03-13 | 2023-05-16 | 株式会社日立製作所 | ASSET INFORMATION MANAGEMENT SYSTEM AND ASSET INFORMATION MANAGEMENT METHOD |
Also Published As
Publication number | Publication date |
---|---|
JP6890073B2 (en) | 2021-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10574671B2 (en) | Method for monitoring security in an automation network, and automation network | |
KR102137089B1 (en) | Apparatus and method for detecting command and control channels | |
EP3276907B1 (en) | A method and apparatus for testing a security of communication of a device under test | |
US10341294B2 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
JP2014068283A (en) | Network failure detection system and network failure detection device | |
JP7039810B2 (en) | Information gathering system, information gathering method, and program | |
CN112651029B (en) | System and method for detecting application system loopholes, storage medium and electronic equipment | |
CN110881034A (en) | Computer network security system based on virtualization technology | |
CN108028846A (en) | Monitoring to test data set integrality | |
CN110798428A (en) | Detection method, system and related device for violent cracking behavior of account | |
US10348746B2 (en) | Incident detection system including gateway device and server | |
JP2019053412A (en) | Information collection device and information collection system | |
US20180351913A1 (en) | Detection system, web application device, web application firewall device, detection method for detection system, detection method for web application device, and detection method for web application firewall device | |
US10051004B2 (en) | Evaluation system | |
JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
JP2020119596A (en) | Log analysis system, analysis device, analysis method, and analysis program | |
WO2016092962A1 (en) | Control device state verification system and control device state verification method | |
JP2019168869A (en) | Incident detection system and method thereof | |
JP7074188B2 (en) | Security coping ability measurement system, method and program | |
JP6869869B2 (en) | Countermeasure planning system and monitoring device for control system | |
CN112150306A (en) | Power data network security test method and device | |
US20190245752A1 (en) | Communication network determination apparatus, communication network determination method, and recording medium having communication network determination program recorded therein | |
JP6038326B2 (en) | Data processing device, data communication device, communication system, data processing method, data communication method, and program | |
US20170257259A1 (en) | Computer system, gateway apparatus, and server apparatus | |
CN116707146B (en) | Intelligent monitoring method and related equipment for photovoltaic power generation and energy storage system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210114 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210427 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210524 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6890073 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |