JP6356075B2 - Log collection system and log collection method - Google Patents

Log collection system and log collection method Download PDF

Info

Publication number
JP6356075B2
JP6356075B2 JP2015001339A JP2015001339A JP6356075B2 JP 6356075 B2 JP6356075 B2 JP 6356075B2 JP 2015001339 A JP2015001339 A JP 2015001339A JP 2015001339 A JP2015001339 A JP 2015001339A JP 6356075 B2 JP6356075 B2 JP 6356075B2
Authority
JP
Japan
Prior art keywords
log
dummy
authentication table
management server
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015001339A
Other languages
Japanese (ja)
Other versions
JP2016126638A (en
Inventor
博隆 吉田
博隆 吉田
信 萱島
信 萱島
大和田 徹
徹 大和田
宏樹 内山
宏樹 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015001339A priority Critical patent/JP6356075B2/en
Priority to PCT/JP2015/081204 priority patent/WO2016111079A1/en
Publication of JP2016126638A publication Critical patent/JP2016126638A/en
Application granted granted Critical
Publication of JP6356075B2 publication Critical patent/JP6356075B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Description

本発明は、ログ収集システムおよびログ収集方法に関するものであり、具体的には、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とする技術に関する。   The present invention relates to a log collection system and a log collection method, and more specifically to a technology that enables secure log collection while appropriately avoiding an increase in load on a control device and a network.

鉄道、電力、水道、ガスを含む社会インフラを支える制御システムは、センサの計測情報等に基づいてバルブ(valve)やアクチュエータ(actuator)等の所定機構を動作させ、予め設定されている圧力や温度の維持といった制御動作が要求される。これら一連の制御処理は、制御システムにおける制御コントローラを含む制御装置が実施する。   Control systems that support social infrastructure including railways, electricity, water, and gas operate predetermined mechanisms such as valves and actuators based on sensor measurement information, etc., and set pressures and temperatures that are set in advance. A control operation such as maintenance of this is required. These series of control processes are performed by a control device including a control controller in the control system.

こうした制御システムは、閉じたネットワーク内に構築され、また、専用のOSおよびプロトコルが使用されてきたため、早期にオープン化、ネットワーク化が進展した情報システムとは異なり、ウィルスによる攻撃等のセキュリティ脅威にさらされることがない、または攻撃されても被害は発生しないと考えられてきた。   Such control systems are built in a closed network, and dedicated OSs and protocols have been used, so unlike information systems that have been opened and networked at an early stage, they are not susceptible to security threats such as attacks by viruses. It has been thought that no damage would occur if exposed or attacked.

しかし近年では、制御システムをインターネット等の外部ネットワークに接続する構成が増加しており、更には、制御システムのネットワーク装置への汎用OS採用も開始され始めている。そうしたネットワーク化、オープン化の情勢に伴い、制御システムを攻撃対象としたウィルス(具体的にはスタクスネット)も出現している。   However, in recent years, the configuration for connecting the control system to an external network such as the Internet has increased, and the adoption of a general-purpose OS for the network device of the control system has also started. Along with such networking and openness, viruses targeting control systems (specifically, Stuxnet) have also appeared.

一方、制御システムに対するセキュリティ基準は、これまで米国NIST(National Institute of Standards and Technology)、英国CPNI(Centre for the Protection of National Infrastructure)を含む各国の研究機関または業界団体が主体となり、各国の基準および業界標準を策定していた。また、全世界共通のセキュリティ基準の必要性から、2009年にIEC(International Electrotechnical Commission)において制御システムのセキュリティに関する国際標準の策定が開始されている。   On the other hand, the security standards for control systems have been mainly research institutes and industry organizations in various countries, including US NIST (National Institute of Standards and Technology), UK CPNI (Center for the Protection of National Infrastructure), and national standards. An industry standard was established. In addition, due to the necessity of security standards common to all over the world, in IEC (International Electrotechnical Commission) in 2009, the formulation of international standards related to control system security was started.

このような国際的なセキュリティ基準策定の流れを受け、各種脅威から制御システムを保護するべく、制御コントローラを含む制御装置においても、情報システムと同様のセキュリティ機能の導入およびセキュリティ対策運用が必要になっている。   In order to protect the control system from various threats in response to the development of international security standards, it is necessary to introduce security functions and operate security measures similar to those of information systems in control devices including control controllers. ing.

例えば、制御装置に対する脅威として、制御装置の通信ドライバに対して、イーサネット(登録商標)に接続した他機器から故意に大量のパケットを送信し、通信周期、アプリケーションタスクの動作タイミングを狂わせるといった脅威が挙げられる。こうした脅威に対する対策として、制御コントローラの動作状態やセキュリティ状態等を監視し、この監視により得た各種のログを監査用のデータとしてユーザに提供する対策が挙げられる。この対策を実現するためには、制御装置において、動作状態やセキュリティ状態に関する事象の記録であるログを生成する必要がある。   For example, as a threat to the control device, there is a threat that the communication driver of the control device intentionally transmits a large number of packets from other devices connected to the Ethernet (registered trademark), thereby distorting the communication cycle and the operation timing of the application task. Can be mentioned. As a countermeasure against such a threat, there is a countermeasure for monitoring the operation state and security state of the control controller and providing various logs obtained by this monitoring to the user as audit data. In order to realize this countermeasure, the control device needs to generate a log that is a record of events related to the operating state and the security state.

一方、上述の制御装置は、短周期での制御処理を高頻度に実行する動作条件にて、計算リソース(CPUやメモリ)における制御業務の占有部が大きいという制約があり、本来業務以外の各種ログの生成と蓄積をあわせて実行することは困難であった。したがって、制御装置ではログの生成、送信のみを行い、このログをログ管理サーバが蓄積し分析する
ことが必要となるが、制御装置とログ管理サーバの間の通信路(制御LAN等)においては、データの真正性を侵害する改ざん攻撃等のリスクがあり、セキュリティ技術を適用してログを保護する必要がある。 On the other hand, the above-mentioned control device has a restriction that a large part of control work is occupied in a calculation resource (CPU or memory) under an operating condition in which control processing in a short cycle is frequently executed. It was difficult to execute log generation and accumulation together. Therefore, it is necessary for the control device to only generate and transmit logs, and it is necessary for the log management server to accumulate and analyze this log. However, in the communication path (control LAN, etc.) between the control device and the log management server, There is a risk of tampering attacks that infringe on the authenticity of data, and it is necessary to protect logs by applying security technology.

こうしたネットワークを介したログ収集に関する従来技術としては、例えば、ログ取得端末との間での共通鍵をハードウェアセキュリティモジュールに格納し、収集したログデータを上述の共通鍵を用いて暗号化ログデータとして暗号化して格納するログ収集端末と、上述の共通鍵をハードウェアセキュリティモジュールに格納し、ログ収集端末から暗号化ログデータを取得し、取得された暗号化ログデータを共通鍵を用いて復号化するログ取得端末とからなるログ取得システム(特許文献1参照)などが提案されている。この従来技術によれば、通信ログを暗号化して保護し、暗号鍵の不正入手によるログデータの漏洩防止することが可能となり、また、ログ情報の改ざん防止と正しいログ情報の参照も可能となる。   As a conventional technique related to log collection via such a network, for example, a common key with a log acquisition terminal is stored in a hardware security module, and the collected log data is encrypted using the above-mentioned common key. The log collection terminal that encrypts and stores it as well as the above-mentioned common key is stored in the hardware security module, the encrypted log data is obtained from the log collection terminal, and the obtained encrypted log data is decrypted using the common key A log acquisition system (see Patent Document 1) including a log acquisition terminal to be converted has been proposed. According to this prior art, it is possible to encrypt and protect the communication log, to prevent leakage of log data due to unauthorized acquisition of the encryption key, and to prevent falsification of the log information and to reference the correct log information. .

WO2008/117556WO2008 / 117556

しかしながら従来技術においては以下の問題点が存在する。   However, the following problems exist in the prior art.

すなわち、制御システム運用時における制御装置でのログ生成処理に伴い、ログ保護のための暗号化処理を実行する必要があるため、制御装置における処理負荷が高まり、リアルタイム性が求められる制御業務に遅延等の悪影響が及ぶリスクがある。また、前述のログの暗号化処理に伴う処理負荷は、ログ生成量に応じて増大する性質があり、制御装置の動作周期等によっては上述の悪影響のリスクが更に高まる恐れがある。   In other words, it is necessary to execute encryption processing for log protection along with log generation processing in the control device during operation of the control system, which increases processing load on the control device and delays control work that requires real-time performance. There is a risk of adverse effects such as. In addition, the processing load accompanying the above-described log encryption processing has a property of increasing according to the log generation amount, and there is a possibility that the risk of the above-mentioned adverse effects is further increased depending on the operation cycle of the control device.

更に、制御装置からログ管理サーバに送信される通信パケットについて、ログの格納形態と、通信時におけるネットワーク帯域圧迫とに関して考慮がなく、ログ用パケットの送信に伴う通信パケットの増加により、ネットワーク帯域が圧迫されるリスクがある。   Further, regarding the communication packet transmitted from the control device to the log management server, there is no consideration regarding the storage form of the log and the compression of the network bandwidth at the time of communication. There is a risk of pressure.

そこで本発明の目的は、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とする技術を提供することにある。   Therefore, an object of the present invention is to provide a technique that enables secure log collection while appropriately avoiding an increase in load on a control device and a network.

上記課題を解決する本発明のログ収集システムは、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログと、前記ログの真正性を検証するための検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信する処理を実行する情報処理装置と、前記ログ認証テーブルを記憶装置にて保持し、前記情報処理装置から通信パケットを受信し、前記受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証し、真正ログについて収集する処理を実行するログ管理サーバと、を含むことを特徴とする。 The log collection system of the present invention that solves the above problems holds a log authentication table including at least a plurality of indexes corresponding to authentic or dummy logs in a storage device, and selects an index in the log authentication table by a predetermined algorithm And determining whether to transmit a genuine or dummy log based on the selected index, and communication including the determined log and the selected index which is verification data for verifying the authenticity of the log An information processing apparatus that executes processing for transmitting a packet to a log management server, the log authentication table is held in a storage device, a communication packet is received from the information processing apparatus, and the selection index included in the received communication packet Is compared with the log authentication table shared for the information processing device The selection index is determined or not corresponding to any of the logs authentic or dummy, log containing the said communication packet is verified whether it is a log of authentic or dummy, executes the process of collecting the authenticity log And a log management server.

また、本発明のログ収集方法は、情報処理装置が、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログと、前記ログの真正性を検証するための検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信する処理を実行し、ログ管理サーバが、前記ログ認証テーブルを記憶装置にて保持し、前記情報処理装置から通信パケットを受信し、前記受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証し、真正ログについて収集する処理を実行する、ことを特徴とする。 Also, in the log collection method of the present invention, the information processing apparatus holds a log authentication table including at least a plurality of indexes corresponding to each authentic or dummy log in a storage device, and the index in the log authentication table is stored in a predetermined algorithm. To determine whether to transmit a genuine or dummy log based on the selected index, and to determine the selected log and the selected index that is verification data for verifying the authenticity of the log. The communication management packet is transmitted to the log management server, the log management server holds the log authentication table in the storage device , receives the communication packet from the information processing device , and includes the received communication packet. The selected index is referred to the log authentication table shared with respect to the information processing apparatus. And said selection index are determined or not corresponding to any of the logs authentic or dummy, executes processing log containing the said communication packet is verified whether it is a log of authentic or dummy, is collected for authenticity log It is characterized by.

本発明によれば、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集が可能となる。特に、通信パケットごとの暗号化処理等は不要であり、制御装置やネットワークに負荷がかかりにくいタイミングで事前準備したログ認証テーブルを用いることで低負荷かつセキュアな処理が可能となる。   According to the present invention, secure log collection is possible while appropriately avoiding an increase in load on the control device and the network. In particular, encryption processing for each communication packet is not required, and low-load and secure processing can be performed by using a log authentication table prepared in advance at a timing when it is difficult to place a load on the control device and the network.

第1実施形態におけるログ収集システムの構成例を示す図である。It is a figure which shows the structural example of the log collection system in 1st Embodiment. 第1実施形態における各装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of each apparatus in 1st Embodiment. 第1実施形態におけるログ収集方法の全体概要を示すシーケンス図である。It is a sequence diagram which shows the whole outline | summary of the log collection method in 1st Embodiment. 第1実施形態におけるログ収集方法の処理手順例1を示すフロー図である。It is a flowchart which shows process sequence example 1 of the log collection method in 1st Embodiment. 第1実施形態におけるログ解析結果のフォーマット例を示す図である。It is a figure which shows the example of a format of the log analysis result in 1st Embodiment. 第1実施形態におけるダミーログのフォーマット例を示す図である。It is a figure which shows the example of a format of the dummy log in 1st Embodiment. 第1実施形態におけるログ認証テーブルの構成例を示す図である。It is a figure which shows the structural example of the log authentication table in 1st Embodiment. 第1実施形態におけるログ収集方法の処理手順例2を示すフロー図である。It is a flowchart which shows process sequence example 2 of the log collection method in 1st Embodiment. 第1実施形態における通信パケットのフォーマット例を示す図である。It is a figure which shows the example of a format of the communication packet in 1st Embodiment. 第1実施形態におけるログ収集方法の処理手順例3を示すフロー図である。It is a flowchart which shows process sequence example 3 of the log collection method in 1st Embodiment. 第2実施形態におけるログ収集方法の処理手順例1を示すフロー図である。It is a flowchart which shows process sequence example 1 of the log collection method in 2nd Embodiment. 第2実施形態における通信パケットのフォーマット例を示す図である。It is a figure which shows the format example of the communication packet in 2nd Embodiment. 第2実施形態におけるログ収集方法の処理手順例2を示すフロー図である。It is a flowchart which shows process sequence example 2 of the log collection method in 2nd Embodiment. 第3実施形態におけるログ収集システムの構成例を示す図である。It is a figure which shows the structural example of the log collection system in 3rd Embodiment. 第3実施形態におけるログ収集方法の処理手順例1を示すフロー図である。It is a flowchart which shows process sequence example 1 of the log collection method in 3rd Embodiment. 第3実施形態におけるログ収集方法の処理手順例2を示すフロー図である。It is a flowchart which shows process sequence example 2 of the log collection method in 3rd Embodiment.

<第1実施形態>
−−−システム構成−−− <First Embodiment>
--- System configuration ---

以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態におけるログ収集システム100の構成例を示す図である。図1に示すログ収集システム100は、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とするコンピュータシステムである。   Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 is a diagram illustrating a configuration example of a log collection system 100 according to the present embodiment. A log collection system 100 illustrated in FIG. 1 is a computer system that enables secure log collection while appropriately avoiding an increase in load on a control device and a network.

図1に例示するように、本実施形態のログ収集システム100は、インフラ設備等においてログを含む通信パケットを生成、送信する制御装置110、130と、この制御装置110、130からログを含む通信パケットを受信してログ収集を行うログ管理サーバ140と、制御装置110、130とログ管理サーバ140との間を結ぶネットワーク190と、を含んで構成されている。なお、本実施形態では、二つの制御装置110、130がネットワーク190を介してログ管理サーバ140と通信可能な構成を例示するが、制御装置の数はこれに限定しない。図1の構成における制御装置数は一例である。また、特に区別する必要の無い場合、制御装置に関する以後の説明においては、制御装置110を代表させるものとする。   As illustrated in FIG. 1, the log collection system 100 according to the present embodiment generates control packets 110 and 130 that generate and transmit communication packets including logs in infrastructure facilities and the like, and communication including logs from the control devices 110 and 130. It includes a log management server 140 that receives packets and collects logs, and a network 190 that connects the control devices 110 and 130 and the log management server 140. In the present embodiment, the configuration in which the two control devices 110 and 130 can communicate with the log management server 140 via the network 190 is illustrated, but the number of control devices is not limited to this. The number of control devices in the configuration of FIG. 1 is an example. Further, when it is not particularly necessary to distinguish, the control device 110 is represented in the following description regarding the control device.

ログ収集システム100のうち制御装置110は、インフラ設備等に設置されているセンサの計測情報等に基づいてバルブ(valve)やアクチュエータ(actuator
)等の所定機構を動作させ、予め設定されている圧力や温度の維持といった制御動作を実行する装置であり、通信部111、通信パケット生成部112、ログ生成部117、ログ送信制御部113、真正ログ記憶部115、およびログ認証テーブル記憶部116、を含んで構成されている。こうした構成は制御装置130でも同様である。また、上述の各部は、制御装置110が備えるプログラムを実行することで実装される機能と言える。この点はログ管理サーバ140でも同様である。 The control device 110 of the log collection system 100 includes a valve and an actuator (actuator) based on measurement information of a sensor installed in an infrastructure facility or the like.
) And the like, and a control operation such as maintaining a preset pressure and temperature is performed. The communication unit 111, the communication packet generation unit 112, the log generation unit 117, the log transmission control unit 113, An authentic log storage unit 115 and a log authentication table storage unit 116 are included. Such a configuration is the same in the control device 130. Moreover, it can be said that each part mentioned above is a function mounted by executing the program with which the control apparatus 110 is provided. This also applies to the log management server 140.

このうち上述の通信部111は、通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140に送信する。また、通信パケット生成部112は、真正またはダミーのログとログ認証テーブル900に基づくインデックス(検証用データ)を選択的に含めた通信パケットを生成する。また、ログ送信制御部113は、ログ認証テーブル900(所定規則)に基づいて真正またはダミーのいずれのログを含む通信パケットを送信するかを制御する。また、真正ログ記憶部115は、制御装置110が上述のセンサの計測情報等(例:所定部位の温度、圧力等々)に基づき生成するログ(真正)を格納する。また、ログ認証テーブル記憶部116は、ログ管理サーバ140から提供され、ログ管理サーバ140と共有するログ認証テーブル900(図7に基づき後述)を格納する。   Among these, the communication unit 111 described above transmits the communication packet generated by the communication packet generation unit 112 to the log management server 140 via the network 190. Further, the communication packet generation unit 112 generates a communication packet that selectively includes a genuine or dummy log and an index (data for verification) based on the log authentication table 900. Further, the log transmission control unit 113 controls whether to transmit a communication packet including an authentic log or a dummy log based on the log authentication table 900 (predetermined rule). In addition, the authentic log storage unit 115 stores a log (authentic) generated by the control device 110 based on the above-described sensor measurement information (eg, temperature, pressure, etc. of a predetermined part). In addition, the log authentication table storage unit 116 stores a log authentication table 900 (described later based on FIG. 7) provided from the log management server 140 and shared with the log management server 140.

一方、ログ管理サーバ140は、上述したようにネットワーク190を介して制御装置110らと通信してログ認証テーブル900の共有と、ログ収集処理を実行するサーバ装置であり、暗復号処理部141、ログ認証テーブル生成部142、通信パケット検証部143、ログ解析部148、ログ記憶部144、鍵情報記憶部145、ログ認証テーブル記憶部146、および通信部147、を含んで構成されている。   On the other hand, the log management server 140 is a server device that communicates with the control device 110 and the like via the network 190 as described above to execute sharing of the log authentication table 900 and log collection processing, and the encryption / decryption processing unit 141, The log authentication table generation unit 142, the communication packet verification unit 143, the log analysis unit 148, the log storage unit 144, the key information storage unit 145, the log authentication table storage unit 146, and the communication unit 147 are configured.

このうち上述の通信部147は、ネットワーク190を介して制御装置110等から上述の通信パケットを受信する。また、暗復号処理部141は、乱数発生用の関数による乱数の生成と秘密鍵等による復号処理といった暗号処理を行う。また、ログ認証テーブル生成部142は、ログ解析部148が出力するログ解析結果(例:ログ収集システムの試運転時などに制御装置110から得たログの解析結果)を用いてダミーログを生成するなどし、ログ認証テーブル900の生成を行う。また、通信パケット検証部143は、制御装置110から受信した通信パケットの含むログが真正かダミーかをインデックスに基づいてログ認証テーブル900にて検証する。また、ログ解析部148は、制御装置110から受信した通信パケットの含むログを解析する。また、ログ記憶部144は、制御装置110から受信した通信パケットの含むログを通信パケット検証部が検証し、真正ログと判断したログのデータを格納する。また、鍵情報記憶部145は、暗復号処理部141が入力として使用する鍵情報を格納する。また、ログ認証テーブル記憶部146は、通信パケット検証部143がログを検証するために入力として使用するログ認証テーブル900を格納する。
−−ハードウェア構成−−− Among these, the above-described communication unit 147 receives the above-described communication packet from the control device 110 or the like via the network 190. The encryption / decryption processing unit 141 performs cryptographic processing such as generation of a random number using a random number generation function and decryption processing using a secret key or the like. In addition, the log authentication table generation unit 142 generates a dummy log by using the log analysis result output from the log analysis unit 148 (for example, the log analysis result obtained from the control device 110 during a trial operation of the log collection system). Then, the log authentication table 900 is generated. Further, the communication packet verification unit 143 verifies in the log authentication table 900 based on the index whether the log included in the communication packet received from the control device 110 is genuine or dummy. In addition, the log analysis unit 148 analyzes the log included in the communication packet received from the control device 110. In addition, the log storage unit 144 stores log data that the communication packet verification unit verifies the log included in the communication packet received from the control device 110 and determines as a genuine log. The key information storage unit 145 stores key information used as an input by the encryption / decryption processing unit 141. In addition, the log authentication table storage unit 146 stores a log authentication table 900 that is used as an input by the communication packet verification unit 143 to verify the log.
--Hardware configuration ---

続いて、上述したログ収集システム100を構成する、ログ管理サーバ140、制御装置110のハードウェア構成の例について説明する。ここでは計算機として説明を行うこととする。図2にて例示する計算機は、記憶装置11、CPU13、入出力装置14、および通信装置15を含んで構成される。   Next, an example of the hardware configuration of the log management server 140 and the control device 110 that configure the log collection system 100 described above will be described. Here, description will be given as a computer. The computer illustrated in FIG. 2 includes a storage device 11, a CPU 13, an input / output device 14, and a communication device 15.

このうち記憶装置11は、適宜な不揮発性記憶素子等で構成される記憶装置であり、ログ管理サーバ140または制御装置110として必要な機能を実装するためのプログラム12と、ログ認証テーブル900等の各種データとを保持している。   Among these, the storage device 11 is a storage device composed of an appropriate non-volatile storage element or the like, and includes a program 12 for implementing functions necessary as the log management server 140 or the control device 110, a log authentication table 900, and the like. It holds various data.

また、CPU13は、上述の記憶装置11に保持されるプログラム12を実行し計算機
自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なう演算装置である。 The CPU 13 is an arithmetic unit that executes the program 12 held in the above-described storage device 11 to perform overall control of the computer itself and perform various determinations, calculations, and control processes.

また、入出力装置14は、ログ管理サーバ140には備わらず、制御装置110に備わる構成を想定し、この場合、制御対象に設置されたセンサから送られてくる計測信号を通信装置15を介して取得する処理と、同じく通信装置15を介してアクチュエータ等の所定機構に信号を出力する処理を担う装置である。   In addition, the input / output device 14 is assumed not to be provided in the log management server 140 but to be provided in the control device 110. In this case, the measurement signal sent from the sensor installed in the control target is transmitted to the communication device 15. It is a device responsible for processing acquired through the communication device 15 and processing for outputting a signal to a predetermined mechanism such as an actuator through the communication device 15.

また、通信装置15は、他装置との通信処理を担う装置であり、ネットワークインターフェイスカードや無線通信ユニット等を想定出来る。ログ管理サーバ140における通信装置15の場合、ネットワーク190と接続して制御装置110と通信する。また、制御装置110における通信装置15の場合、上述のセンサまたはアクチュエータと所定の通信プロトコルにて通信し、また、ログ管理サーバ140と通信する。
−−−ログ収集方法の全体概要−−− The communication device 15 is a device responsible for communication processing with other devices, and a network interface card, a wireless communication unit, or the like can be assumed. In the case of the communication device 15 in the log management server 140, the communication device 15 is connected to the network 190 and communicates with the control device 110. Further, in the case of the communication device 15 in the control device 110, it communicates with the above-described sensor or actuator using a predetermined communication protocol, and also communicates with the log management server 140.
---- Overall overview of log collection method ---

以下、本実施形態におけるログ収集方法の実際手順について図に基づき説明する。以下で説明するログ収集方法に対応する各種動作は、ログ収集システム100を構成する上述の制御装置110、ログ管理サーバ140らが実行するプログラム12によって実現される。そして、このプログラム12は、以下に説明される各種の動作を行うためのコードから構成されている。   Hereinafter, the actual procedure of the log collection method according to this embodiment will be described with reference to the drawings. Various operations corresponding to the log collection method described below are realized by the program 12 executed by the above-described control device 110 and log management server 140 constituting the log collection system 100. And this program 12 is comprised from the code | cord | chord for performing various operation | movement demonstrated below.

図3は、第1実施形態におけるログ収集方法の全体概要を示すシーケンス図である。ここでは、図3のシーケンス図を参照しつつ、制御装置110とログ管理サーバ140のログ収集処理の全体概要について説明する。なお、通信パケットに含めるログを真正ログまたはダミーログのいずれにするか決定するために、上述のログ認証テーブル900を用いるものとする。詳細は後述(図7)するが、このログ認証テーブル900は、ログを含む通信パケットの送信順序を指定するインデックスを格納しており、また、各インデックスに対応するデータとして、ダミーのログまたはそのインデックスで受信するログが真正ログであることを表す定数値のいずれかを格納している。   FIG. 3 is a sequence diagram illustrating an overall outline of the log collection method according to the first embodiment. Here, an overall outline of log collection processing of the control device 110 and the log management server 140 will be described with reference to the sequence diagram of FIG. 3. Note that the log authentication table 900 described above is used to determine whether a log included in a communication packet is an authentic log or a dummy log. Although details will be described later (FIG. 7), this log authentication table 900 stores an index for designating the transmission order of communication packets including the log, and the data corresponding to each index includes a dummy log or its log. One of constant values indicating that the log received by the index is a genuine log is stored.

この場合、制御装置110とログ管理サーバ140は、ログ認証テーブル秘匿共有処理フェーズと、ログ収集フェーズとに分けて、それぞれのフェーズに応じた処理を行う。始めに、「試運転時」において、ログ管理サーバ140と制御装置110との間で、ログ認証テーブル秘匿共有処理(S201)を実行し、ログ認証テーブル900の事前秘匿共有を行う。試運転時とは、制御装置110の通常動作(本発明のログ収集動作と無関係の動作)を行っていないか、本番環境ではない状況などであり、本実施形態のログ収集システム100を試験的に動作させて、ログ認証テーブル900の生成、共有等を図るためのタイミングとなる。換言すると、制御装置110への影響が最低限になるタイミングである。   In this case, the control device 110 and the log management server 140 divide into a log authentication table concealment sharing processing phase and a log collection phase, and perform processing according to each phase. First, during “trial operation”, log authentication table concealment sharing processing (S201) is executed between the log management server 140 and the control device 110, and prior concealment sharing of the log authentication table 900 is performed. The trial operation is a state where the normal operation of the control device 110 (operation unrelated to the log collection operation of the present invention) is not performed or is not in a production environment, and the log collection system 100 of the present embodiment is experimentally tested. It is the timing for generating and sharing the log authentication table 900 by operating it. In other words, the timing at which the influence on the control device 110 is minimized.

上述のログ認証テーブル秘匿共有処理(S201)において、制御装置110は、ログを含む通信パケットを生成し、これをログ管理サーバ140に送信する(S313)。   In the log authentication table concealment sharing process (S201) described above, the control device 110 generates a communication packet including a log and transmits it to the log management server 140 (S313).

一方、ログ管理サーバ140は、制御装置110から上述の通信パケットを受信し(S411)、この通信パケットが含むログに基づきダミーログを生成する(S413)。次にログ管理サーバ140は、乱数生成処理(S414)を行い、これに伴いインデックスを含むログ認証テーブル900を生成し、制御装置110に送信する(S416)。   On the other hand, the log management server 140 receives the communication packet described above from the control device 110 (S411), and generates a dummy log based on the log included in the communication packet (S413). Next, the log management server 140 performs a random number generation process (S414), generates a log authentication table 900 including an index, and transmits the log authentication table 900 to the control device 110 (S416).

他方、制御装置110は、ログ管理サーバ140から上述のログ認証テーブル900を受信し(S314)、ログ認証テーブル記憶部116に格納する。以上のログ認証テーブル秘匿共有処理の詳細については図4に基づき後述する。   On the other hand, the control device 110 receives the log authentication table 900 from the log management server 140 (S314) and stores it in the log authentication table storage unit 116. Details of the above log authentication table concealment sharing process will be described later with reference to FIG.

上述のログ認証テーブル秘匿共有処理の実行後、通常運転時において、制御装置110が、ログ認証テーブル900を参照し(S502)、ログ送信制御処理(S318)によって、真正またはダミーのログのいずれを通信パケットに含めるか判定した上で、ログ送信処理(S202)を実行する。   After execution of the above-described log authentication table concealment sharing process, during normal operation, the control device 110 refers to the log authentication table 900 (S502), and logs transmission control process (S318) determines whether the log is authentic or dummy. After determining whether to include in the communication packet, the log transmission process (S202) is executed.

一方、ログ管理サーバ140は、ログ認証テーブル900を参照し(S603)、上述の制御装置110から受信した通信パケットが含むインデックスに基づいて、該当ログが真正またはダミーのいずれであるか検証するログ検証処理(S318)を実行し、真正ログについてログ記憶部144に格納するログ収集処理(S203)を実行する。こうしたログ送信処理(S202)とログ収集処理(S203)の詳細については、図8、6に基づき後述する。   On the other hand, the log management server 140 refers to the log authentication table 900 (S603), and verifies whether the corresponding log is genuine or dummy based on the index included in the communication packet received from the control device 110 described above. A verification process (S318) is executed, and a log collection process (S203) for storing the genuine log in the log storage unit 144 is executed. Details of the log transmission process (S202) and the log collection process (S203) will be described later with reference to FIGS.

−−−ログ認証テーブル秘匿共有処理−−− -Log authentication table confidential sharing process ---

図4は第1実施形態におけるログ収集方法の処理手順例1を示すフロー図であり、具体的には、試運転時にログ収集システム内で実施するログ認証テーブル秘匿共有処理(図3:S201)の詳細フローである。   FIG. 4 is a flowchart showing a processing procedure example 1 of the log collection method in the first embodiment. Specifically, the log authentication table concealment sharing process (FIG. 3: S201) performed in the log collection system at the time of a test run. It is a detailed flow.

この場合、制御装置110のログ生成部117は、予め備わる既存機能(例:OSにおけるシステム監視機能など)にて得た、制御装置自身の動作状態やセキュリティ状態等に関する値からログを生成し、これを真正ログ記憶部115に格納する(S311)。   In this case, the log generation unit 117 of the control device 110 generates a log from values relating to the operation state, security state, etc. of the control device itself obtained with an existing function (eg, system monitoring function in the OS) provided in advance. This is stored in the authentic log storage unit 115 (S311).

次に、制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーション(例:制御装置としての本来動作であるインフラ設備等の制御を行うためのアプリケーション)から取得するデータ(例:制御結果等のデータ)と、上述のログ生成部117が生成した真正ログと、真正ログの送信に応じてログ送信制御部113が出力する「真正」に対応する情報を、ネットワーク190の通信プロトコルに応じた所定パケットに設定し、通信パケットを生成する(S312)。   Next, the communication packet generation unit 112 of the control device 110 acquires data from a control application that operates on the control device itself (eg, an application for controlling infrastructure equipment or the like that is the original operation as the control device). (Example: data such as control results), the authentic log generated by the log generating unit 117 described above, and information corresponding to “authentic” output by the log transmission control unit 113 in response to transmission of the authentic log Is set to a predetermined packet according to the communication protocol, and a communication packet is generated (S312).

通信部111は、上述の通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信する(S313)。   The communication unit 111 transmits the communication packet generated by the communication packet generation unit 112 to the log management server 140 via the network 190 (S313).

一方、ログ管理サーバ140の通信部147は、上述の通信パケットを制御装置110から受信し、該当通信パケットから真正ログを取得して、これをログ記憶部144に格納する(S411)。   On the other hand, the communication unit 147 of the log management server 140 receives the communication packet described above from the control device 110, acquires an authentic log from the communication packet, and stores it in the log storage unit 144 (S411).

続いてログ管理サーバ140のログ解析部148は、ログ記憶部144に格納された上述の真正ログを所定アルゴリズムで解析することによりログ解析結果を作成する(S412)。このログ解析結果の詳細を図5に示す。   Subsequently, the log analysis unit 148 of the log management server 140 creates a log analysis result by analyzing the above-described authentic log stored in the log storage unit 144 using a predetermined algorithm (S412). Details of the log analysis result are shown in FIG.

図5に例示するログ解析結果700は、例えば複数の真正ログがそれぞれ含んでいた機器の状態A、機器の状態B、セキュリティの状態C、およびセキュリティの状態D、の各値の分布範囲を「取りうる値」として、ログ解析部148が特定した結果である。なお、図5のログ解析結果の例では、ログ項目が上述の4種の場合を示しているがこれに限らない。   The log analysis result 700 illustrated in FIG. 5 indicates a distribution range of each value of the device state A, the device state B, the security state C, and the security state D included in each of the plurality of genuine logs, for example. This is a result specified by the log analysis unit 148 as “a possible value”. In the example of the log analysis result in FIG. 5, the above-described four types of log items are shown, but the present invention is not limited to this.

ログ解析結果700のうち、機器の状態A700−1と機器の状態B700−2は、制御装置110が設置された機器の動作状態等を示す情報である。こうした機器の状態は、温度と圧力など一般に複数の観点で監視される。ここでは状態Aと状態Bがある場合を想
定している。また、セキュリティの状態C700−3と、セキュリティの状態D700−4は、制御装置110が設置された機器のセキュリティの状態を示す情報である。機器のセキュリティ状態は、一般に複数の観点で監視される。ここではセキュリティ状態Cとセキュリティ状態Dがある場合を想定している。 Among the log analysis results 700, the device state A 700-1 and the device state B 700-2 are information indicating the operation state of the device in which the control device 110 is installed. The state of such equipment is generally monitored from multiple viewpoints such as temperature and pressure. Here, it is assumed that there are a state A and a state B. The security status C700-3 and the security status D700-4 are information indicating the security status of the device in which the control device 110 is installed. The security status of a device is generally monitored from a plurality of viewpoints. Here, it is assumed that there is a security state C and a security state D.

図5におけるログ解析結果700の例では、機器の状態A700−1というログ項目に関しては0から10の値を取りうることを、また、機器の状態B700−2というログ項目に関しては50から70の値を取りうることを、また、セキュリティ状態C700−3というログ項目に関しては10から30の値を取りうることを、また、セキュリティ状態D700−4というログ項目に関しては80から90の値を取りうることを、それぞれ示している。   In the example of the log analysis result 700 in FIG. 5, it can take a value from 0 to 10 for the log item of the device status A700-1, and 50 to 70 for the log item of the device status B700-2. Can take a value, can take a value of 10 to 30 for a log item of security state C700-3, and can take a value of 80 to 90 for a log item of security state D700-4. Each shows that.

ここで図4のフローの説明に戻る。次にログ管理サーバ140の暗復号処理部141は、鍵情報記憶部145に格納された鍵情報を所定関数の入力とした所定の暗号処理を行い、乱数列を生成する(S414)。   Now, the description returns to the flow of FIG. Next, the encryption / decryption processing unit 141 of the log management server 140 performs a predetermined encryption process using the key information stored in the key information storage unit 145 as an input of a predetermined function, and generates a random number sequence (S414).

また、ログ管理サーバ140のログ認証テーブル生成部142は、インデックスの生成と、これに伴うログ認証テーブル900の生成を行い、このログ認証テーブル900をログ認証テーブル記憶部146に格納する(S415)。より具体的には、ログ認証テーブル生成部142は、例えば1からn(nは、0<nの整数)までの数列たるインデックス群を生成し、このインデックス群のうち、上述のステップS414で得た乱数列の所定桁の値に応じたインデックスについては、真正ログに対応したインデックスと決定し、その他のインデックスについてはダミーログに対応したインデックスと決定する。また、ログ認証テーブル生成部142は、上述のステップS412で得ているログ解析結果が示す各ログ項目について、該当ログ項目が取り得る範囲に収まるダミー値(例:乱数の発生関数を利用して得た乱数値のうち該当範囲にあるものを選定した値)を設定してダミーログを生成し、これを、上述のインデックスのうちダミーログに対応したインデックスに対応付けてレコードを生成し、ログ認証テーブル900に格納する。他方、真正ログに対応したインデックスに対しては、例えば上述の各ログ項目の値を「0」と設定してレコードを生成し、ログ認証テーブル900に格納する。こうしてログ認証テーブル900が生成される。   Further, the log authentication table generation unit 142 of the log management server 140 generates an index and a log authentication table 900 associated therewith, and stores the log authentication table 900 in the log authentication table storage unit 146 (S415). . More specifically, the log authentication table generation unit 142 generates, for example, an index group that is a sequence of 1 to n (n is an integer of 0 <n), and the index group is obtained in step S414 described above. The index corresponding to the value of the predetermined digit of the random number sequence is determined as an index corresponding to the authentic log, and the other indexes are determined as indexes corresponding to the dummy log. In addition, the log authentication table generation unit 142 uses a dummy value (eg, a random number generation function) that falls within a range that the log item can take for each log item indicated by the log analysis result obtained in step S412 described above. A random log is generated by setting a random number value obtained in the corresponding range), a record is generated by associating this with an index corresponding to the dummy log among the above-mentioned indexes, and a log authentication table 900. On the other hand, for the index corresponding to the authentic log, for example, the value of each log item described above is set to “0”, a record is generated, and stored in the log authentication table 900. In this way, the log authentication table 900 is generated.

上述のダミーログの具体例を図6に、また、ログ認証テーブル900の具体的な例を図7にて示す。図6に例示するダミーログ列800は、ダミーログ801、ダミーログ802、およびダミーログ803をそれぞれ示すものであり、各ダミーログは、上述の機器の状態A700−1、機器の状態B700−2、セキュリティの状態C700−3、およびセキュリティの状態D700−4の、それぞれ取りうる値の範囲からランダムに選ばれた値が設定されたものである。例えば、機器の状態A700−1の取りうる値の範囲は、ログ解析結果700より「0から10」の値であることから、ダミーログ801、ダミーログ802、ダミーログ803のそれぞれにおける機器の状態A700−1に対応するフィールドは、それぞれ、「5」、「8」、「2」である。他のログ項目についても同様である。   A specific example of the above-described dummy log is shown in FIG. 6, and a specific example of the log authentication table 900 is shown in FIG. The dummy log column 800 illustrated in FIG. 6 indicates a dummy log 801, a dummy log 802, and a dummy log 803, and each dummy log includes the above-described device state A700-1, device state B700-2, and security state C700. -3 and security state D700-4, values randomly selected from a range of possible values are set. For example, the range of values that can be taken by the device status A 700-1 is a value of “0 to 10” from the log analysis result 700, so the device status A 700-1 in each of the dummy log 801, dummy log 802, and dummy log 803. The fields corresponding to are “5”, “8”, and “2”, respectively. The same applies to other log items.

また、図7に例示するログ認証テーブル900は、上述の暗復号処理部141がステップS414で生成した乱数列、「2」、「5」、「11」を値に持つインデックスを、真正ログに対応したインデックスとし、その他のインデックス「1」、「3」、「4」、「6」〜「10」をダミーログに対応したインデックスとし、このうちダミーログに対応したインデックスには、ダミーログ生成部149が生成したダミーログ801、ダミーログ802、ダミーログ803のデータが「値」として設定されている。他方、真正ログに対応したインデックスには、定数値(0、0、0、0)等が設定された構成となっている。   In addition, the log authentication table 900 illustrated in FIG. 7 includes, as an authentic log, the random number sequence generated by the encryption / decryption processing unit 141 in step S414 and indexes having values “2”, “5”, and “11” as values. The other indexes “1”, “3”, “4”, “6” to “10” are indexes corresponding to the dummy logs, and the dummy log generating unit 149 includes the indexes corresponding to the dummy logs. Data of the generated dummy log 801, dummy log 802, and dummy log 803 is set as “value”. On the other hand, a constant value (0, 0, 0, 0) or the like is set in the index corresponding to the authentic log.

ログ認証テーブルのログを使い切った場合には、ログ認証テーブルを再生成してもよい。なお、暗号学的乱数の安全性の観点から、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めてもよい。たとえば、乱数の周期がpで、各インデックスの個数がD個のログ認証テーブルをs回生成するとすると、sは、p<D×sを満たす数である。   When the log authentication table log is used up, the log authentication table may be regenerated. From the viewpoint of the security of cryptographic random numbers, log so that the sum of the number of indexes of all generated log authentication tables is larger than the cycle of cryptographic random numbers derived from the security required by the system. The number of authentication table generations may be determined. For example, if a log authentication table having a random number period p and the number of each index D is generated s times, s is a number satisfying p <D × s.

ここで再び図4のフローの説明に戻る。次にログ管理サーバ140の通信部147は、ログ認証テーブル記憶部146に格納されたログ認証テーブル900を、ネットワーク190を介して制御装置110に送信する(S416)。   Here, the description returns to the flow of FIG. Next, the communication unit 147 of the log management server 140 transmits the log authentication table 900 stored in the log authentication table storage unit 146 to the control device 110 via the network 190 (S416).

一方、制御装置110の通信部111は、上述のログ管理サーバ140が送信してきたログ認証テーブル900を受信し、これをログ認証テーブル記憶部116に格納し(S314)、当該フローを終了する。ここまでの処理により、ログ認証テーブル900がログ管理サーバ140と制御装置110との間で共有されたことになる。
−−−制御装置のログ送信−−− On the other hand, the communication unit 111 of the control device 110 receives the log authentication table 900 transmitted from the log management server 140 described above, stores it in the log authentication table storage unit 116 (S314), and ends the flow. Through the processing so far, the log authentication table 900 is shared between the log management server 140 and the control device 110.
--- Log transmission of control device ---

図8は第1実施形態におけるログ収集方法の処理手順例2を示すフロー図であり、具体的には、制御装置110におけるログ送信処理(S202)を示すフローである。ここでは、図3のシーケンスにて示した通常運転時における制御装置110が、真正またはダミーのログを含む通信パケットを生成し、これをログ管理サーバ140に送信する一連の処理について説明する。   FIG. 8 is a flowchart showing a processing procedure example 2 of the log collection method according to the first embodiment. Specifically, the flowchart shows a log transmission process (S202) in the control device 110. Here, a series of processing in which the control device 110 during normal operation shown in the sequence of FIG. 3 generates a communication packet including a genuine or dummy log and transmits the communication packet to the log management server 140 will be described.

この場合、制御装置110のログ送信制御部113は、例えば記憶装置11に確保した記憶領域で保持する変数k(初期値は1)の値を参照し、このkの値を、今次生成、送信する通信パケットに設定するインデックスとして取得する(S501)。なお、ログ送信制御部113は、このインデックスの取得処理の後、変数kの値をインクリメントする。   In this case, the log transmission control unit 113 of the control device 110 refers to the value of the variable k (initial value is 1) held in the storage area secured in the storage device 11, for example, Obtained as an index to be set in the communication packet to be transmitted (S501). The log transmission control unit 113 increments the value of the variable k after the index acquisition process.

次にログ送信制御部113は、ログ認証テーブル記憶部116に格納されたログ認証テーブル900を参照し、上述のステップS501で得たインデックスに対応するデータを取得する(S502)。ここで取得したデータは、ログ認証テーブル900における「値」、および「ログ種別」となる。   Next, the log transmission control unit 113 refers to the log authentication table 900 stored in the log authentication table storage unit 116, and acquires data corresponding to the index obtained in step S501 described above (S502). The acquired data becomes “value” and “log type” in the log authentication table 900.

ログ送信制御部113は、ステップS502で得た「ログ種別」の値が「真正」、すなわち該当インデックスが真正ログに対応するものであるか判断する(S503)。この判定の結果、該当インデックスが真性ログに対応するものであった場合(S503:YES)、ログ送信制御部113は、真正ログ記憶部115から真正ログを取得する(S504)。他方、上述の判定の結果、該当インデックスが真性ログに対応するものでなかった場合(S503:NO)、ログ送信制御部113は、上述のステップS502で得ている「値」すなわちダミーログを取得する(S505)。   The log transmission control unit 113 determines whether the value of the “log type” obtained in step S502 is “authentic”, that is, the corresponding index corresponds to the authentic log (S503). As a result of the determination, if the corresponding index corresponds to the genuine log (S503: YES), the log transmission control unit 113 acquires the authentic log from the authentic log storage unit 115 (S504). On the other hand, as a result of the above determination, if the corresponding index does not correspond to the genuine log (S503: NO), the log transmission control unit 113 acquires the “value” obtained in step S502, that is, the dummy log. (S505).

続いて制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS504またはS505でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)と、該当インデックス(ステップS501で得たもの)を付加して、通信パケットを生成する(S506)。   Subsequently, the communication packet generation unit 112 of the control device 110 performs the process of the log transmission control unit 113 in step S504 or S505 described above on the data acquired from the control application running on the control device itself (described with reference to FIG. 4). A communication packet is generated by adding the acquired data (authentic log or dummy log) and the corresponding index (obtained in step S501) (S506).

通信パケット生成部112が生成した通信パケットの具体例について図9に示す。図9に例示する通信パケット1000は、ヘッダ(例:パケットの送信元、送信先の各IPア
ドレス、プロトコルタイプなどの情報の格納先)、制御データ格納領域(制御アプリケーションから得るデータの格納先)、インデックス(上述のステップS501で得たインデックスの値)、およびログ格納領域(上述のステップS504またはS505で得た、真正またはダミーのログ)から構成されている。 A specific example of the communication packet generated by the communication packet generation unit 112 is shown in FIG. A communication packet 1000 illustrated in FIG. 9 includes a header (for example, a storage destination of information such as a packet transmission source, a transmission destination IP address, and a protocol type), a control data storage area (a storage destination of data obtained from a control application). , An index (the value of the index obtained in step S501 described above), and a log storage area (a genuine or dummy log obtained in step S504 or S505 described above).

こうした通信パケット1000のうち通信パケット1001は、上述のステップS501で得たインデックスが「2」すなわち真正ログを含む通信パケットであり、上述のステップS504で真正ログ記憶部115から得た真正ログ「7、60、20、90」がログ格納領域に設定された通信パケットである。   Of these communication packets 1000, the communication packet 1001 is a communication packet that includes the genuine log with the index obtained in step S 501 described above, that is, a genuine log “7” obtained from the authentic log storage unit 115 in step S 504 described above. , 60, 20, 90 "are communication packets set in the log storage area.

一方、通信パケット1000のうち通信パケット1002は、上述のステップS501で得たインデックスが「3」すなわちダミーログを含む通信パケットであり、上述のステップS505でログ認証テーブル900から得た、例えばダミーログ802(図6参照)「8、52、15、90」がログ格納領域に設定された通信パケットである。   On the other hand, the communication packet 1002 among the communication packets 1000 is a communication packet whose index obtained in the above-described step S501 is “3”, that is, a dummy log, and is obtained from the log authentication table 900 in the above-described step S505, for example, the dummy log 802 ( (See FIG. 6) “8, 52, 15, 90” are communication packets set in the log storage area.

なお、通信パケットの構成要素とサイズは、図9の例に限定されるものではない。また、通信パケットの構成要素の順序も、図9の例に限定されるものではない。   In addition, the component and size of a communication packet are not limited to the example of FIG. Further, the order of the constituent elements of the communication packet is not limited to the example of FIG.

ここで図8のフローの説明に戻る。次に制御装置110の通信部111は、上述のステップS506で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S507)、当該フローを終了する。   Returning to the description of the flow in FIG. Next, the communication unit 111 of the control device 110 transmits the communication packet generated by the communication packet generation unit 112 in step S506 described above to the log management server 140 via the network 190 (S507), and the flow ends.

−−−ログ管理サーバが実施するログ収集−−− --- Log collection performed by log management server ---

続いて、ログ管理サーバ140が実行するログ収集処理(図3:S203)の詳細について図10に基づき説明する。この場合、ログ管理サーバ140の通信部147は、制御装置110が送信した通信パケットを、ネットワーク190を介して受信し(S601)、この通信パケットが含むログを取得する(S610)。また、通信部147は、ステップS601で受信した通信パケットからインデックスを取得する(S602)。   Next, details of the log collection processing (FIG. 3: S203) executed by the log management server 140 will be described with reference to FIG. In this case, the communication unit 147 of the log management server 140 receives the communication packet transmitted from the control device 110 via the network 190 (S601), and acquires the log included in the communication packet (S610). Also, the communication unit 147 acquires an index from the communication packet received in step S601 (S602).

続いてログ管理サーバ140の通信パケット検証部143は、上述のステップS602で得ているインデックスをキーに、ログ認証テーブル記憶部146に格納されたログ認証テーブル900を参照し(S603)、該当インデックスに対応するレコードでの「ログ種別」の値が、「ダミー」か「真正」によって、上述のステップS610で得ているログが真正ログかダミーログなのかを検証する(S604)。   Subsequently, the communication packet verification unit 143 of the log management server 140 refers to the log authentication table 900 stored in the log authentication table storage unit 146 using the index obtained in step S602 described above as a key (S603), and the corresponding index. Whether the log obtained in step S610 is a genuine log or a dummy log is verified based on whether the value of the “log type” in the record corresponding to “dummy” or “authentic” is determined (S604).

このステップS604による検証の結果、該当ログが真正ログであることが判明した場合(S605:YES)、通信パケット検証部143は、ステップS610で取得したログを真正ログとしてログ記憶部144に格納する(S607)。   As a result of the verification in step S604, if it is determined that the corresponding log is an authentic log (S605: YES), the communication packet verification unit 143 stores the log acquired in step S610 in the log storage unit 144 as an authentic log. (S607).

他方、上述のステップS604による検証の結果、該当ログが真正ログでない、すなわちダミーログであることが判明した場合(S605:NO)、通信パケット検証部143は、ステップS610で取得したログを破棄し(S608)、処理をステップS601に戻す。このフローが示す一連の処理は、ログ管理サーバ140が稼働する間は継続することとなる。
<第2実施形態> On the other hand, as a result of the verification in step S604 described above, if it is determined that the corresponding log is not an authentic log, that is, a dummy log (S605: NO), the communication packet verification unit 143 discards the log acquired in step S610 ( S608), the process returns to step S601. A series of processing indicated by this flow is continued while the log management server 140 is operating.
Second Embodiment

上述の第1実施形態では、ログ認証テーブル900のインデックスを通信パケットに含めることで、制御装置110とログ管理サーバ140との間で、通信パケットの送信順序を同期させ、真正ログまたはダミーログに対応するものか検証可能としていた。一方、こ
の第2実施形態では、通信パケットにインデックスを設定しない構成とし、制御装置110とログ管理サーバ140とで共有する情報、例えば時刻情報等を用いて通信パケットの送信順序を同期させ、真正ログまたはダミーログに対応するものか検証する例について説明する。 In the first embodiment described above, by including the index of the log authentication table 900 in the communication packet, the transmission order of the communication packet is synchronized between the control device 110 and the log management server 140, and it corresponds to the authentic log or the dummy log. It was possible to verify whether to do. On the other hand, in the second embodiment, an index is not set for the communication packet, and the transmission order of the communication packet is synchronized by using information shared by the control device 110 and the log management server 140, for example, time information. An example of verifying whether it corresponds to a log or a dummy log will be described.

なお、この第2実施形態においては、ログ収集システム100の構成(ログ管理サーバ140と制御装置110)、計算機のハードウェア構成、全体概要、ログ認証テーブル秘匿共有処理について第1実施形態と同様である。従って、第2実施形態では、第1実施形態との差分となる処理について説明するものとする。
−−−制御装置のログ送信−−− In the second embodiment, the configuration of the log collection system 100 (the log management server 140 and the control device 110), the hardware configuration of the computer, the overall outline, and the log authentication table concealment sharing process are the same as in the first embodiment. is there. Therefore, in the second embodiment, processing that is a difference from the first embodiment will be described.
--- Log transmission of control device ---

ここで、第2実施形態の制御装置110におけるログ送信処理について図11に基づき説明する。この場合、制御装置110のログ送信制御部113は、今次送信する通信パケットの時刻情報として、例えば当該制御装置110のOSが備えるクロック機能から現在時刻の値を取得する(S1501)。   Here, the log transmission processing in the control device 110 of the second embodiment will be described with reference to FIG. In this case, the log transmission control unit 113 of the control device 110 acquires the current time value from the clock function provided in the OS of the control device 110, for example, as time information of the communication packet to be transmitted next time (S1501).

次にログ送信制御部113は、上述のステップS1501で取得した時刻情報を、例えば時刻情報tの関数f(t)に入力し、この関数f(t)の出力値をインデックスとして取得する(S1502)。この関数f(t)は、ログ認証テーブル900と同様、制御装置110とログ管理サーバ140との間で予め共有されているものであり、或る時刻t1〜t2の時間帯に含まれる時刻を入力すると、インデックス「1」を出力し、或る時刻t3〜t4の時間帯に含まれる時刻を入力すると、インデックス「2」を出力する、といった特性を備えている。   Next, the log transmission control unit 113 inputs the time information acquired in step S1501 described above to, for example, the function f (t) of the time information t, and acquires the output value of the function f (t) as an index (S1502). ). This function f (t) is shared in advance between the control device 110 and the log management server 140 in the same way as the log authentication table 900, and the time included in a time zone between certain times t1 and t2. When input, an index “1” is output, and when a time included in a certain time period t3 to t4 is input, an index “2” is output.

続いてログ送信制御部113は、上述のステップS1502で計算したインデックスの値をキーに、ログ認証テーブル記憶部116に格納されたログ認証テーブルを参照し、該当インデックスに対応するデータ(値とログ種別)を取得する(S1503)。ログ送信制御部113は、ここで得たデータの「ログ種別」が「真正」か「ダミー」によって、該当インデックスが真正ログに対応するか否か判定する(S1504)。   Subsequently, the log transmission control unit 113 refers to the log authentication table stored in the log authentication table storage unit 116 using the index value calculated in step S1502 described above as a key, and sets the data (value and log) corresponding to the corresponding index. Type) is acquired (S1503). The log transmission control unit 113 determines whether the corresponding index corresponds to the authentic log based on the “log type” of the data obtained here as “authentic” or “dummy” (S1504).

上述の判定の結果、ステップS1502で算定したインデックスが、真性ログに対応するものであった場合(S1504:YES)、ログ送信制御部113は、真正ログ記憶部115から真正ログを取得する(S1505)。他方、上述の判定の結果、該当インデックスが真性ログに対応するものでなかった場合(S1504:NO)、ログ送信制御部113は、上述のステップS1503で得ている「値」すなわちダミーログを取得する(S1506)。   As a result of the above determination, when the index calculated in step S1502 corresponds to the authentic log (S1504: YES), the log transmission control unit 113 acquires the authentic log from the authentic log storage unit 115 (S1505). ). On the other hand, as a result of the above determination, if the corresponding index does not correspond to the intrinsic log (S1504: NO), the log transmission control unit 113 acquires the “value” obtained in step S1503, that is, the dummy log. (S1506).

続いて制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS1505またはS1506でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)を付加して、通信パケットを生成する(S1507)。   Subsequently, the communication packet generation unit 112 of the control device 110 applies the log transmission control unit 113 to the data acquired from the control application running on the control device itself (described with reference to FIG. 4) in step S1505 or S1506 described above. The acquired data (authentic log or dummy log) is added to generate a communication packet (S1507).

通信パケット生成部112が生成した通信パケットの具体例について図12に示す。図12に例示する通信パケット2000は、ヘッダ(例:パケットの送信元、送信先の各IPアドレス、プロトコルタイプなどの情報の格納先)、制御データ格納領域(制御アプリケーションから得るデータの格納先)、およびログ格納領域(上述のステップS1505またはS1506で得た、真正またはダミーのログ)から構成されている。   A specific example of the communication packet generated by the communication packet generator 112 is shown in FIG. A communication packet 2000 illustrated in FIG. 12 includes a header (for example, a storage destination of information such as a packet transmission source, a transmission destination IP address, a protocol type), a control data storage area (a storage destination of data obtained from a control application). , And a log storage area (authentic or dummy log obtained in step S1505 or S1506 described above).

こうした通信パケット2000のうち通信パケット2001は、真正ログを含む通信パケットであり、上述のステップS1505で真正ログ記憶部115から得た真正ログ「7
、60、20、90」がログ格納領域に設定された通信パケットである。一方、通信パケット2000のうち通信パケット2002は、ダミーログを含む通信パケットであり、上述のステップS1506でログ認証テーブル900から得た、例えばダミーログ802(図6参照)「8、52、15、90」がログ格納領域に設定された通信パケットである。 Of these communication packets 2000, the communication packet 2001 is a communication packet including an authentic log, and the authentic log “7” obtained from the authentic log storage unit 115 in step S1505 described above.
, 60, 20, 90 "are communication packets set in the log storage area. On the other hand, the communication packet 2002 among the communication packets 2000 is a communication packet including a dummy log, and is obtained from the log authentication table 900 in the above-described step S1506, for example, dummy log 802 (see FIG. 6) “8, 52, 15, 90”. Is a communication packet set in the log storage area.

ここで図11のフローの説明に戻る。次に制御装置110の通信部111は、上述のステップS1507で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S1508)、当該フローを終了する。   Returning to the description of the flow in FIG. Next, the communication unit 111 of the control device 110 transmits the communication packet generated by the communication packet generation unit 112 in step S1507 described above to the log management server 140 via the network 190 (S1508), and the flow ends.

−−−ログ管理サーバにおけるログ収集処理−−− --- Log collection processing in the log management server ---

次に、第2実施形態におけるログ管理サーバ140が実行するログ収集処理について、図13に基づき説明する。この場合、ログ管理サーバ140の通信部147は、制御装置110が送信してきた通信パケットを、ネットワーク190を介して受信する(S1601)。   Next, log collection processing executed by the log management server 140 in the second embodiment will be described with reference to FIG. In this case, the communication unit 147 of the log management server 140 receives the communication packet transmitted from the control device 110 via the network 190 (S1601).

続いてログ管理サーバ140の通信パケット検証部143は、上述のステップS1601で受信した通信パケットから送信時刻の値を取得するか、或いは、当該ログ管理サーバ140のOSが備えるクロック機能から現在時刻の値を取得する(S1602)。また、通信パケット検証部143は、受信した通信パケットからログを取得する(S1603)。   Subsequently, the communication packet verification unit 143 of the log management server 140 acquires the value of the transmission time from the communication packet received in step S1601 described above, or determines the current time from the clock function provided in the OS of the log management server 140. A value is acquired (S1602). Further, the communication packet verification unit 143 acquires a log from the received communication packet (S1603).

次に通信パケット検証部143は、上述のステップS1602で取得した時刻情報を、上述の関数f(t)に入力し、この関数f(t)の出力値をインデックスとして取得する(S1604)。   Next, the communication packet verification unit 143 inputs the time information acquired in step S1602 described above to the above-described function f (t), and acquires the output value of this function f (t) as an index (S1604).

また、通信パケット検証部143は、上述のステップS1604で算定したインデックスをキーとして、ログ認証テーブル記憶部146に格納されたログ認証テーブルを参照し(S1605)、該当インデックスに対応するレコードでの「ログ種別」の値が、「ダミー」か「真正」によって、上述のステップS1603で得ているログが真正ログかダミーログなのかを検証する(S1607)。   In addition, the communication packet verification unit 143 refers to the log authentication table stored in the log authentication table storage unit 146 using the index calculated in step S1604 as a key (S1605), and “ Whether the log obtained in step S1603 is a genuine log or a dummy log is verified based on the value of “log type” being “dummy” or “authentic” (S1607).

このステップS1607による検証の結果、該当ログが真正ログであることが判明した場合(S1607:YES)、通信パケット検証部143は、ステップS1603で取得したログを真正ログとしてログ記憶部144に格納する(S1610)。   As a result of the verification in step S1607, when it is determined that the corresponding log is an authentic log (S1607: YES), the communication packet verification unit 143 stores the log acquired in step S1603 in the log storage unit 144 as an authentic log. (S1610).

他方、上述のステップS1607による検証の結果、該当ログが真正ログでない、すなわちダミーログであることが判明した場合(S1607:NO)、通信パケット検証部143は、ステップS1603で取得したログを破棄し(S1609)、処理をステップS1601に戻す。このフローが示す一連の処理は、ログ管理サーバ140が稼働する間は継続することとなる。
<第3実施形態> On the other hand, as a result of the verification in step S1607 described above, when it is determined that the corresponding log is not an authentic log, that is, a dummy log (S1607: NO), the communication packet verification unit 143 discards the log acquired in step S1603 ( In step S1609), the process returns to step S1601. A series of processing indicated by this flow is continued while the log management server 140 is operating.
<Third Embodiment>

続いて、第1および第2実施形態とは異なり、通信パケットに対する暗号処理が要求されるログ収集システムについて説明する。図14は第3実施形態におけるログ収集システム100の構成例を示す図である。図14に例示するログ収集システム100は、図1におけるシステム構成と比較して、ログ管理サーバ140の構成に相違は無く、制御装置110、130に関して相違がある。   Next, a log collection system that requires encryption processing for communication packets, unlike the first and second embodiments, will be described. FIG. 14 is a diagram illustrating a configuration example of the log collection system 100 according to the third embodiment. The log collection system 100 illustrated in FIG. 14 has no difference in the configuration of the log management server 140 as compared to the system configuration in FIG.

以下、制御装置110の場合を記載する。第3実施形態における制御装置110は、第
1実施形態のものと異なり、暗号処理部2118と鍵情報記憶部2114を更に備えている。こうした構成における通信パケット生成部112は、鍵情報記憶部2114に格納された暗号鍵情報や初期ベクトルなどの暗号アルゴリズムの入力パラメータや、後述するマスクを用いた暗号化処理を、通信パケットのペイロードまたはヘッダにおける、一部または全部に対して行う。ここで、通信パケットにおいて暗号処理を行う領域を指定するデータをマスクと名付け、マスクは鍵情報記憶部2114に格納してあるものとする。 Hereinafter, the case of the control device 110 will be described. Unlike the first embodiment, the control device 110 according to the third embodiment further includes a cryptographic processing unit 2118 and a key information storage unit 2114. In such a configuration, the communication packet generation unit 112 performs encryption processing using input parameters of an encryption algorithm such as encryption key information and initial vectors stored in the key information storage unit 2114 and a mask described later, or the payload of the communication packet or This is done for some or all of the headers. Here, it is assumed that data specifying an area for performing encryption processing in a communication packet is named a mask, and the mask is stored in the key information storage unit 2114.

また、通信パケットにおける上述の暗号処理を行う領域としては、例えば、インデックスの格納領域であり、通信パケットのインデックスを秘匿する目的で暗号処理が適用されることとなる。   In addition, the area for performing the above-described encryption processing in the communication packet is, for example, an index storage area, and encryption processing is applied for the purpose of concealing the communication packet index.

またこの場合の通信部111は、暗号化処理が施された通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信する。
−−−制御装置のログ送信−−− In this case, the communication unit 111 transmits the communication packet subjected to the encryption process to the log management server 140 via the network 190.
--- Log transmission of control device ---

第3実施形態における制御装置110は、第1実施形態におけるログ送信処理(S202)と一部異なるログ送信処理を実行する。このログ送信処理について図15に基づき説明する。なお、第1実施形態にて説明したステップS501〜S503の各処理は第3実施形態でも同様であり、説明は省略する。   The control device 110 according to the third embodiment executes a log transmission process that is partially different from the log transmission process (S202) according to the first embodiment. This log transmission process will be described with reference to FIG. In addition, each process of step S501-S503 demonstrated in 1st Embodiment is the same also in 3rd Embodiment, and abbreviate | omits description.

この場合、ステップS504、S505で真正ログまたはダミーログを取得した後、上述の暗号処理部2118は、通信パケットを構成するヘッダ、制御データ格納領域、インデックス、およびログ格納領域のうち、少なくともインデックスに対して鍵情報記憶部2114の暗号鍵等に基づく暗号化処理またはMAC生成処理等の暗号処理を実行する(S2506)。   In this case, after acquiring the authentic log or the dummy log in steps S504 and S505, the encryption processing unit 2118 described above performs at least the index among the header, the control data storage area, the index, and the log storage area constituting the communication packet. Then, encryption processing such as encryption processing or MAC generation processing based on the encryption key of the key information storage unit 2114 is executed (S2506).

以後、通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS504またはS505でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)と、上述のステップS2506で暗号化した少なくともインデックスを付加して、通信パケットを生成する(S506)。また、通信部111は、上述のステップS506で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S507)、当該フローを終了する。   Thereafter, the communication packet generation unit 112 uses the data acquired by the log transmission control unit 113 in step S504 or S505 described above (data already described with reference to FIG. 4) from the control application that runs on the control device itself. (Authentication log or dummy log) and at least the index encrypted in step S2506 are added to generate a communication packet (S506). In addition, the communication unit 111 transmits the communication packet generated by the communication packet generation unit 112 in step S506 described above to the log management server 140 via the network 190 (S507), and the flow ends.

−−−ログ管理サーバが実施するログ収集−−− --- Log collection performed by log management server ---

第3実施形態におけるログ管理サーバ140は、第1実施形態におけるログ収集処理(S203)と一部異なるログ収集処理を実行する。このログ収集処理について図16に基づき説明する。この場合、ログ管理サーバ140の通信部147が、制御装置110が送信した通信パケットを、ネットワーク190を介して受信し(S601)、これを受けた暗復号処理部141が、該当通信パケットのうち、上述のステップS2506で暗号化された領域の値(インデックス)に対し、鍵情報記憶部114に格納された復号鍵等を用いて復号処理またはMAC検証処理等を実行する(S2610)。ここで復号する対象は、通信パケットを構成するヘッダ、制御データ格納領域、インデックス、ログ格納領域の全部または一部であるが、少なくともインデックスは含まれている必要がある。   The log management server 140 according to the third embodiment executes a log collection process that is partially different from the log collection process (S203) according to the first embodiment. This log collection process will be described with reference to FIG. In this case, the communication unit 147 of the log management server 140 receives the communication packet transmitted from the control device 110 via the network 190 (S601), and the encryption / decryption processing unit 141 receiving the communication packet The decryption process or the MAC verification process or the like is executed on the value (index) of the area encrypted in step S2506 using the decryption key stored in the key information storage unit 114 (S2610). The object to be decoded here is all or part of the header, the control data storage area, the index, and the log storage area constituting the communication packet, but at least the index needs to be included.

上述のごとく少なくともインデックスの復号を行った以降、図10のステップS602〜S610と同様の処理を実行し、真正ログをログ記憶部144に格納することとなる。   After at least decoding the index as described above, processing similar to steps S602 to S610 in FIG. 10 is executed, and the authentic log is stored in the log storage unit 144.

以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明は
これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 Although the best mode for carrying out the present invention has been specifically described above, the present invention is not limited to this, and various modifications can be made without departing from the scope of the invention.

第一、第二、第三の各々の実施形態によれば、システム設計時にログを含めた通信パケットの構成を設計することと、ログデータの認証処理に備えた事前処理と、認証用データの生成と設定により、システム運用時における通信パケットの増加によるネットワーク帯域の圧迫を防ぎ、各制御装置が低リソースで暗号技術によるログ通信パケットの保護処理を行う一方、ログ管理サーバが収集したログについてその真正性を効率的に検証することにより、通信路の改ざん攻撃に対して安全なログの生成・収集方法を提供することができる。ログ収集の本来の目的は、コントローラがログを管理サーバに送信することにより、コントローラが自身の正常状態または異常状態をサーバに知らせることである。本発明によれば、サーバとコントローラ間に改ざん攻撃が存在する状況下においても、この目的を達成することが可能となる。   According to each of the first, second, and third embodiments, designing the configuration of a communication packet including a log at the time of system design, pre-processing for log data authentication processing, and authentication data Generation and settings prevent network bandwidth pressure due to an increase in communication packets during system operation, and each control device performs log communication packet protection processing using cryptographic technology with low resources. By efficiently verifying the authenticity, it is possible to provide a safe log generation / collection method against communication path tampering attacks. The original purpose of log collection is for the controller to notify the server of its normal state or abnormal state by transmitting the log to the management server. According to the present invention, this object can be achieved even in a situation where a tampering attack exists between the server and the controller.

より具体的には、ネットワーク帯域への負荷に関し、通信パケットの空き領域にログを格納するパケット構成とすることで、ログ収集用の通信パケットを別途処理する必要が無く、通信パケット量増大に伴うネットワーク帯域圧迫といった事態は回避出来る。また、通信パケットが含むログが真正ログまたはダミーログかを検証する際に用いるログ認証テーブルは、例えばシステム試運転時など制御装置の本来動作に負荷を与えないタイミングに生成、配信することとし、更には、通信パケット生成や送受信に際して、従来のごとき暗号化/復号化の処理ではなく、ログ認証テーブルのインデックスに基づいた効率的な処理を実行することとしており、システム試運転時および通常運転時の各処理負荷も適宜に抑制出来る。また、制御装置とログ管理サーバとの間の通信路における改ざん攻撃耐性に関しては、制御装置とログ管理サーバとで共有するログ認証テーブルのインデックスに基づいて、真正ログまたはダミーログを含む通信パケットを送受信する構成としており、ログ認証テーブルを有しない攻撃者においては真正ログとダミーログの識別は困難で、良好な改ざん攻撃耐性が達成できる。   More specifically, regarding the load on the network bandwidth, a packet configuration that stores a log in an empty area of the communication packet eliminates the need to separately process a log collection communication packet, resulting in an increase in the amount of communication packets. Network bandwidth pressure can be avoided. In addition, a log authentication table used when verifying whether a log included in a communication packet is a genuine log or a dummy log is generated and distributed at a timing that does not place a load on the original operation of the control device, for example, during a system test run, In communication packet generation and transmission / reception, efficient processing based on the index of the log authentication table is executed instead of conventional encryption / decryption processing, and each processing during system test operation and normal operation The load can be appropriately controlled. In addition, regarding tamper resistance in the communication path between the control device and the log management server, the communication packet including the authentic log or dummy log is transmitted and received based on the index of the log authentication table shared between the control device and the log management server. Thus, it is difficult for an attacker who does not have a log authentication table to distinguish between a genuine log and a dummy log, and good tamper resistance can be achieved.

すなわち制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集が可能となる。   That is, secure log collection is possible while appropriately avoiding an increase in load on the control device and the network.

本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信するものであり、前記ログ管理サーバは、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証するものであるとしてもよい。   At least the following will be clarified by the description of the present specification. That is, in the log collection system according to the present embodiment, the information processing apparatus performs verification data for verifying the authenticity of the log based on the predetermined rule in the process of transmitting the communication packet to the log management server. Is further included in the communication packet, and the log management server receives the information from the information processing apparatus during the process of verifying whether the log included in the communication packet is a genuine log or a dummy log. The verification data included in the communication packet may be verified based on the predetermined rule shared with respect to the information processing apparatus, and whether the log included in the communication packet is an authentic log or a dummy log may be verified. .

これによれば、通信パケットのログが真正またはダミーであるかの検証を、上述の検証用データによって実行可能で、処理の効率化が図られる。   According to this, verification of whether the log of the communication packet is genuine or dummy can be executed with the above-described verification data, and the processing efficiency can be improved.

また、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信するものであり、前記ログ管理サーバは、前記ログ認証テーブルを記憶装置にて保持し、前記通信パケットの含むログが真正またはダミーのいずれのログであ
るか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証するものであるとしてもよい。 Further, in the log collection system of the present embodiment, the information processing apparatus holds, as the predetermined rule, a log authentication table including at least a plurality of indexes corresponding to each genuine or dummy log in a storage device, and the communication In the process of transmitting the packet to the log management server, an index in the log authentication table is selected with a predetermined algorithm, and whether to authenticate or dummy is transmitted based on the selected index, the determined log, The communication packet including the selection index that is the verification data is transmitted to a log management server, the log management server holds the log authentication table in a storage device, and the log included in the communication packet In the process of verifying whether the log is genuine or dummy, The selected index included in the communication packet received from the information processing device is checked against the log authentication table shared with respect to the corresponding information processing device to determine whether the selected index corresponds to a genuine log or a dummy log. The log included in the communication packet may be verified as a genuine log or a dummy log.

これによれば、今次送信する通信パケットのログを真正またはダミーとするかの決定と、そうした通信パケットのログに関する真正/ダミーの検証を、ログ認証テーブルを用いて行うことが可能となり、セキュアなログ収集における更なる処理効率化が図られる。   According to this, it becomes possible to determine whether the log of the communication packet to be transmitted next is genuine or dummy and to verify the authenticity / dummy of the log of such communication packet by using the log authentication table, which is secure. Processing efficiency in log collection is improved.

また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行するものであり、前記情報処理装置は、前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するものであるとしてもよい。   In the log collection system according to the present embodiment, the log management server performs processing for generating the log authentication table using a predetermined algorithm, holding the log authentication table in a storage device, and transmitting the log authentication table to the information processing device. In addition, the information processing apparatus may receive the log authentication table from the log management server and hold the log authentication table in a storage device.

これによれば、ログ管理サーバでのログ認証テーブルの生成と、情報処理装置およびログ管理サーバでのログ認証テーブルの共有が可能となる。   This makes it possible to generate a log authentication table in the log management server and share the log authentication table in the information processing apparatus and the log management server.

また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するものであるとしてもよい。   In the log collection system of the present embodiment, the log management server generates an index corresponding to either a genuine or dummy log based on a random number when generating the log authentication table, and the dummy log of the indexes The log authentication table may be generated by associating and storing a dummy log generated by a predetermined algorithm with an index corresponding to.

これによれば、ログ認証テーブルにおけるダミーログの生成、格納が可能となり、情報処理装置にてダミーログを含む通信パケットの生成が効率的なものとなる。   This makes it possible to generate and store dummy logs in the log authentication table, and to efficiently generate communication packets including dummy logs in the information processing apparatus.

また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するものであるとしてもよい。   In the log collection system according to the present embodiment, the log management server generates the dummy log by applying analysis result data obtained by analyzing the log obtained from the information processing apparatus to a predetermined algorithm when generating the dummy log. It may be a thing.

これによれば、例えば真正ログのデータ構成と同様の構成にてダミーログを生成することが可能となり、ダミーログと真正ログの判別を更に困難なものとし、ログ収集が更にセキュアなものとなる。   According to this, for example, it becomes possible to generate a dummy log with a configuration similar to the data configuration of the authentic log, making it more difficult to discriminate between the dummy log and the authentic log, and log collection becomes more secure.

また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行するものであり、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めるものである、としてもよい。   Further, in the log collection system of the present embodiment, the log management server executes the generation of the log authentication table at a predetermined timing at which the influence on the normal operation in the information processing apparatus is a predetermined level or less. The number of log authentication table generations may be determined so that the sum of the number of indexes of all generated log authentication tables is larger than the cycle of cryptographic random numbers derived from security required in .

これによれば、ログ認証テーブルの生成、共有にかかる負荷を最低限に抑制して、ログ収集に伴う処理負荷の適宜な低減を更に図ることが出来る。   According to this, it is possible to further reduce the processing load accompanying the log collection by suppressing the load for generating and sharing the log authentication table to the minimum.

また、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記通信パケットをログ管理サーバに送信する処理に際し、前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、前記選択インデックスがダミーログに対応するものである場合、前
記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するものであるとしてもよい。 Further, in the log collection system according to the present embodiment, the information processing apparatus, in the process of transmitting the communication packet to the log management server, if the selected index corresponds to a genuine log, the authenticity stored in the storage device. When the communication packet including a log, predetermined data acquired from a control application that operates according to the original purpose of the information processing apparatus, and the corresponding index is generated, and the selection index corresponds to a dummy log, the selection A communication packet including a dummy log held in the log authentication table regarding the index, predetermined data acquired from the control application, and the corresponding index may be generated.

これによれば、情報処理装置における通信パケットの生成、送信の処理を、ログ認証テーブルにおけるインデックスに基づいて効率的に実行することが可能となる。   According to this, it becomes possible to efficiently generate and transmit communication packets in the information processing apparatus based on the index in the log authentication table.

本実施形態のログ収集方法において、前記情報処理装置が、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信し、前記ログ管理サーバが、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証する、としてもよい。   In the log collection method of the present embodiment, when the information processing apparatus transmits the communication packet to the log management server, the verification data for verifying the authenticity of the log based on the predetermined rule, The log management server includes the communication packet received from the information processing apparatus in the process of verifying whether the log included in the communication packet is a genuine log or a dummy log. The verification data may be verified based on the predetermined rule shared with respect to the corresponding information processing apparatus, and whether the log included in the communication packet is an authentic log or a dummy log may be verified.

また、本実施形態のログ収集方法において、前記情報処理装置が、前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信し、前記ログ管理サーバが、前記ログ認証テーブルを記憶装置にて保持し、   In the log collection method according to the present embodiment, the information processing apparatus holds, as the predetermined rule, a log authentication table including at least a plurality of indexes corresponding to authentic or dummy logs in a storage device, and the communication In the process of transmitting the packet to the log management server, an index in the log authentication table is selected with a predetermined algorithm, and whether to authenticate or dummy is transmitted based on the selected index, the determined log, A communication packet including the selection index that is the verification data is transmitted to a log management server, and the log management server holds the log authentication table in a storage device;

前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する、としてもよい。   In the process of verifying whether the log included in the communication packet is genuine or dummy, the log authentication sharing the selection index included in the communication packet received from the information processing apparatus with respect to the information processing apparatus A table may be collated to determine whether the selected index corresponds to a genuine or dummy log, and to verify whether the log included in the communication packet is a genuine or dummy log.

また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行し、前記情報処理装置が、前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するとしてもよい。   In the log collection method according to the present embodiment, the log management server generates the log authentication table using a predetermined algorithm, holds the log authentication table in a storage device, and transmits the log authentication table to the information processing device. Further, the information processing apparatus may receive the log authentication table from the log management server and hold it in a storage device.

また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するとしてもよい。   Further, in the log collection method of the present embodiment, the log management server generates an index corresponding to either a genuine or dummy log based on a random number when generating the log authentication table, and the dummy log of the indexes The log authentication table may be generated by associating and storing a dummy log generated by a predetermined algorithm with an index corresponding to.

また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するとしてもよい。   In the log collection method according to the present embodiment, the log management server generates the dummy log by applying analysis result data obtained by analyzing the log obtained from the information processing apparatus to a predetermined algorithm when generating the dummy log. It is good.

また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行し、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定める、としてもよい。   In the log collection method according to the present embodiment, the log management server generates the log authentication table at a predetermined timing at which the influence on the normal operation of the information processing apparatus is a predetermined level or less, and is obtained by the system. The number of log authentication table generations may be determined such that the sum of the numbers of indexes of all generated log authentication tables is larger than the cycle of cryptographic random numbers derived from security.

また、本実施形態のログ収集方法において、前記情報処理装置が、前記通信パケットをログ管理サーバに送信する処理に際し、前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するとしてもよい。   Further, in the log collection method according to the present embodiment, when the information processing apparatus transmits the communication packet to the log management server and the selected index corresponds to the authentic log, the authenticity stored in the storage device is stored. When the communication packet including a log, predetermined data acquired from a control application that operates according to the original purpose of the information processing apparatus, and the corresponding index is generated, and the selection index corresponds to a dummy log, the selection A communication packet including a dummy log held in the log authentication table regarding the index, predetermined data acquired from the control application, and the corresponding index may be generated.

11 記憶装置
12 プログラム
13 CPU
14 入出力装置
15 通信装置
100 ログ収集システム
110 制御装置
111 通信部
112 通信パケット生成部
113 ログ送信制御部
115 真正ログ記憶部
116 ログ認証テーブル記憶部
117 ログ生成部
130 制御装置
131 通信部
132 通信パケット生成部
133 ログ送信制御部
135 真正ログ記憶部
136 ログ認証テーブル記憶部
137 ログ生成部
140 ログ管理サーバ
141 暗復号処理部
142 ログ認証テーブル生成部
143 通信パケット検証部
144 ログ記憶部
145 鍵情報記憶部
146 ログ認証テーブル記憶部
147 通信部
148 ログ解析部
149 ダミーログ生成部 11 Storage device 12 Program 13 CPU
14 I / O device 15 Communication device 100 Log collection system 110 Control device 111 Communication unit 112 Communication packet generation unit 113 Log transmission control unit 115 Authentic log storage unit 116 Log authentication table storage unit 117 Log generation unit 130 Control device 131 Communication unit 132 Communication Packet generation unit 133 Log transmission control unit 135 Authentic log storage unit 136 Log authentication table storage unit 137 Log generation unit 140 Log management server 141 Encryption / decryption processing unit 142 Log authentication table generation unit 143 Communication packet verification unit 144 Log storage unit 145 Key information Storage unit 146 Log authentication table storage unit 147 Communication unit 148 Log analysis unit 149 Dummy log generation unit

Claims (12)

真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログと、前記ログの真正性を検証するための検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信する処理を実行する情報処理装置と、
前記ログ認証テーブルを記憶装置にて保持し、前記情報処理装置から通信パケットを受信し、前記受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証し、真正ログについて収集する処理を実行するログ管理サーバと、
を含むことを特徴とするログ収集システム。 A log authentication table including at least a plurality of indexes corresponding to each genuine or dummy log is held in a storage device, and an index in the log authentication table is selected by a predetermined algorithm, and either genuine or dummy is selected based on the selected index. Information to determine whether to transmit the log and to transmit a communication packet including the determined log and the selected index that is verification data for verifying the authenticity of the log to the log management server A processing device;
The log authentication table is stored in a storage device, a communication packet is received from the information processing device, and the selection index included in the received communication packet is collated with the log authentication table shared with respect to the information processing device And determining whether the selected index corresponds to a genuine or dummy log, verifying whether the log included in the communication packet is a genuine or dummy log, and executing processing to collect the genuine log Log management server to
A log collection system comprising: 前記ログ管理サーバは、
前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行するものであり、
前記情報処理装置は、
前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するものである、
ことを特徴とする請求項1に記載のログ収集システム。 The log management server
The log authentication table is generated by a predetermined algorithm and held in a storage device, and further the process of transmitting the log authentication table to the information processing device is executed.
The information processing apparatus includes:
The log authentication table is received from the log management server and held in a storage device.
The log collection system according to claim 1. 前記ログ管理サーバは、
前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するものである、
ことを特徴とする請求項2に記載のログ収集システム。 The log management server
When generating the log authentication table, an index corresponding to either a genuine or dummy log is generated based on a random number, and a dummy log generated by a predetermined algorithm is associated with an index corresponding to the dummy log among the indexes And storing the log authentication table.
The log collection system according to claim 2. 前記ログ管理サーバは、
前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するものである、
ことを特徴とする請求項3に記載のログ収集システム。 The log management server
When generating the dummy log, the dummy log is generated by applying analysis result data obtained by analyzing the log obtained from the information processing apparatus to a predetermined algorithm.
The log collection system according to claim 3. 前記ログ管理サーバは、
前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行するものであり、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めるものである、
ことを特徴とする請求項2に記載のログ収集システム。 The log management server
The log authentication table is generated at a predetermined timing whose influence on normal operation in the information processing apparatus is a predetermined level or less, and is generated from a cycle of cryptographic random numbers derived from security required by the system. The number of log authentication table generations is determined so that the sum of the number of indexes of all log authentication tables increases.
The log collection system according to claim 2. 前記情報処理装置は、
前記通信パケットをログ管理サーバに送信する処理に際し、
前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、
前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するものである、
ことを特徴とする請求項3に記載のログ収集システム。 The information processing apparatus includes:
In the process of transmitting the communication packet to the log management server,
If the selected index corresponds to an authentic log, communication including an authentic log held in a storage device, predetermined data acquired from a control application that operates according to the original purpose of the information processing apparatus, and the corresponding index Generate packets,
When the selected index corresponds to a dummy log, a communication packet including a dummy log held in the log authentication table regarding the selected index, predetermined data acquired from the control application, and the corresponding index is generated. is there,
The log collection system according to claim 3. 情報処理装置が、
真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログと、前記ログの真正性を検証するための検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信する処理を実行し、
ログ管理サーバが、
前記ログ認証テーブルを記憶装置にて保持し、前記情報処理装置から通信パケットを受信し、前記受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証し、真正ログについて収集する処理を実行する、
ことを特徴とするログ収集方法。 Information processing device
A log authentication table including at least a plurality of indexes corresponding to each genuine or dummy log is held in a storage device, and an index in the log authentication table is selected by a predetermined algorithm, and either genuine or dummy is selected based on the selected index. A process of transmitting a communication packet including the determined log and the selection index that is verification data for verifying the authenticity of the log to the log management server,
Log management server
The log authentication table is stored in a storage device, a communication packet is received from the information processing device, and the selection index included in the received communication packet is collated with the log authentication table shared with respect to the information processing device And determining whether the selected index corresponds to a genuine or dummy log, verifying whether the log included in the communication packet is a genuine or dummy log, and executing processing to collect the genuine log To
Log collection method characterized by the above. 前記ログ管理サーバが、
前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行し、
前記情報処理装置が、
前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持する、
ことを特徴とする請求項7に記載のログ収集方法。 The log management server is
The log authentication table is generated by a predetermined algorithm and stored in a storage device, and further processing for transmitting the log authentication table to the information processing device is performed.
The information processing apparatus is
Receiving the log authentication table from the log management server and holding it in a storage device;
The log collection method according to claim 7. 前記ログ管理サーバが、
前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成する、
ことを特徴とする請求項8に記載のログ収集方法。 The log management server is
When generating the log authentication table, an index corresponding to either a genuine or dummy log is generated based on a random number, and a dummy log generated by a predetermined algorithm is associated with an index corresponding to the dummy log among the indexes And store and generate the log authentication table,
The log collection method according to claim 8, wherein: 前記ログ管理サーバが、
前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成する、
ことを特徴とする請求項9に記載のログ収集方法。 The log management server is
When generating the dummy log, the analysis result data obtained by analyzing the log obtained from the information processing apparatus is applied to a predetermined algorithm to generate the dummy log.
The log collection method according to claim 9. 前記ログ管理サーバが、
前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行するものであり、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定める、
ことを特徴とする請求項8に記載のログ収集方法。 The log management server is
The log authentication table is generated at a predetermined timing whose influence on normal operation in the information processing apparatus is a predetermined level or less, and is generated from a cycle of cryptographic random numbers derived from security required by the system. Determine the number of log authentication table generations so that the sum of the number of indexes of all log authentication tables increases.
The log collection method according to claim 8, wherein: 前記情報処理装置が、
前記通信パケットをログ管理サーバに送信する処理に際し、
前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、
前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成する、
ことを特徴とする請求項9に記載のログ収集方法。 The information processing apparatus is
In the process of transmitting the communication packet to the log management server,
If the selected index corresponds to an authentic log, communication including an authentic log held in a storage device, predetermined data acquired from a control application that operates according to the original purpose of the information processing apparatus, and the corresponding index Generate packets,
When the selected index corresponds to a dummy log, a communication packet including a dummy log held in the log authentication table with respect to the selected index, predetermined data acquired from the control application, and the corresponding index is generated.
The log collection method according to claim 9.
JP2015001339A 2015-01-07 2015-01-07 Log collection system and log collection method Expired - Fee Related JP6356075B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015001339A JP6356075B2 (en) 2015-01-07 2015-01-07 Log collection system and log collection method
PCT/JP2015/081204 WO2016111079A1 (en) 2015-01-07 2015-11-05 Log collection system and log collection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015001339A JP6356075B2 (en) 2015-01-07 2015-01-07 Log collection system and log collection method

Publications (2)

Publication Number Publication Date
JP2016126638A JP2016126638A (en) 2016-07-11
JP6356075B2 true JP6356075B2 (en) 2018-07-11

Family

ID=56355781

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015001339A Expired - Fee Related JP6356075B2 (en) 2015-01-07 2015-01-07 Log collection system and log collection method

Country Status (2)

Country Link
JP (1) JP6356075B2 (en)
WO (1) WO2016111079A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6278485B2 (en) * 2016-08-18 2018-02-14 株式会社大一商会 Game machine
CN107608868B (en) * 2017-09-08 2021-10-22 联想(北京)有限公司 Log collection method, Baseboard Management Controller (BMC) and disk controller

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10301492A (en) * 1997-04-23 1998-11-13 Sony Corp Enciphering device and method therefor, decoding device and method therefor, and information processing device and method therefor
JP4913493B2 (en) * 2006-07-21 2012-04-11 株式会社野村総合研究所 Information leakage prevention method
WO2008117471A1 (en) * 2007-03-27 2008-10-02 Fujitsu Limited Audit program, audit system and audit method
JP5423308B2 (en) * 2009-10-20 2014-02-19 富士通株式会社 COMMUNICATION TERMINAL DEVICE, COMMUNICATION PROCESSING METHOD, AND PROGRAM
JP2013037554A (en) * 2011-08-09 2013-02-21 Mega Chips Corp Memory system, security memory and information protection method

Also Published As

Publication number Publication date
JP2016126638A (en) 2016-07-11
WO2016111079A1 (en) 2016-07-14

Similar Documents

Publication Publication Date Title
Checkoway et al. A systematic analysis of the Juniper Dual EC incident
JP6990690B2 (en) Methods and systems implemented by blockchain
Bernstein et al. The security impact of a new cryptographic library
Kim et al. Security and performance considerations in ros 2: A balancing act
CN110071812A (en) A kind of editable can link, the ring signatures method of non-repudiation
Castellanos et al. Legacy-compliant data authentication for industrial control system traffic
US10073980B1 (en) System for assuring security of sensitive data on a host
US10681057B2 (en) Device and method for controlling a communication network
US20200128042A1 (en) Communication method and apparatus for an industrial control system
CN110770729A (en) Method and apparatus for proving integrity of virtual machine
Accorsi Log data as digital evidence: What secure logging protocols have to offer?
US11652824B2 (en) Trustworthiness evaluation of network devices
US20220043921A1 (en) Secure communications amongst connected dice
Marian et al. Experimenting with digital signatures over a DNP3 protocol in a multitenant cloud-based SCADA architecture
CN113259135A (en) Lightweight blockchain communication authentication device and method for detecting data tamper
JP6356075B2 (en) Log collection system and log collection method
CN114885325A (en) Credible auditing method and system for regulating and controlling service network security suitable for 5G network
Coble et al. Secure software attestation for military telesurgical robot systems
CN116827821B (en) Block chain cloud-based application program performance monitoring method
US9762388B2 (en) Symmetric secret key protection
US10404718B2 (en) Method and device for transmitting software
CN109905408A (en) Network safety protection method, system, readable storage medium storing program for executing and terminal device
US20230045486A1 (en) Apparatus and Methods for Encrypted Communication
US10262098B1 (en) Field programmable gate array bitstream verification
Shanmukesh et al. Secure DLMS/COSEM communication for Next Generation Advanced Metering Infrastructure

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180613

R150 Certificate of patent or registration of utility model

Ref document number: 6356075

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees