JP2013218531A - 安全性評価システム及び安全性評価方法 - Google Patents

安全性評価システム及び安全性評価方法 Download PDF

Info

Publication number
JP2013218531A
JP2013218531A JP2012088599A JP2012088599A JP2013218531A JP 2013218531 A JP2013218531 A JP 2013218531A JP 2012088599 A JP2012088599 A JP 2012088599A JP 2012088599 A JP2012088599 A JP 2012088599A JP 2013218531 A JP2013218531 A JP 2013218531A
Authority
JP
Japan
Prior art keywords
information
safety
evaluation
acquisition
necessary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012088599A
Other languages
English (en)
Inventor
Naoki Hayashi
直樹 林
Tadashi Kaji
忠司 鍛
Hiroki Uchiyama
宏樹 内山
Hisashi Umeki
久志 梅木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012088599A priority Critical patent/JP2013218531A/ja
Publication of JP2013218531A publication Critical patent/JP2013218531A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】システム構成又は設定が運用中に変更された場合であっても、多大な時間及びコストをかけずに安全性を評価し得る安全性評価システム及び安全性評価方法を提供する。
【解決手段】情報取得装置は、予め定められたタイミングに基づいて、構成情報及び取得情報を前記評価指示装置に出力し、評価指示装置は、情報取得装置から出力された構成情報及び取得情報を入力すると、入力した構成情報及び取得情報と、予め定められた再調査実施条件とに基づいて、安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、再調査する必要がある旨を通知するとともに、安全性評価の内容を示す情報及び再調査に必要な関連情報を通知することを特徴とする安全性評価システム。
【選択図】図1

Description

本発明は、安全性評価システム及び安全性評価方法に関し、特にコンポーネントの多い制御システムの安全性を評価する安全性評価システム及び安全性評価方法に適用して好適なものである。
従来、情報システムの設計時には安全性評価が行われる。情報システムの安全性評価は、情報システムを構築したベンダや情報システムの納入先の管理者が安全性を自己監査することにより行われる。情報システムの安全性を評価する制度としては、例えば第三者の評価機関が標準的な情報セキュリティの評価基準に照らし合わせて評価する安全性適合認証の制度がある。
近年では、この情報システムの技術をインフラ網や製造プラントのような制御システムに適用する動きが活発化しており、これにともない、制御システムの安全性を評価する技術の開発が進められている。一般に制御システムは、事務作業用の計算機、各種制御装置及び各種センサ装置等のように多くの機器を備えて構成され、情報システムと比較すると、システムを構成する機器の種類及び台数が多くなる傾向にある。
制御システムは上述の通り多くの機器を備えて構成されるため、機器及び機器にインストールされているソフトウェア(以下、コンポーネントと呼ぶ)の総数は膨大になる。コンポーネントとは、例えばOS(Operating System)、ミドルウェア又はアプリケーションソフトウェア等である。よって制御システムの安全性を評価しようとした場合、評価対象のコンポーネントの総数が膨大であるため、多大な時間及びコストが必要になるという問題がある。
なお制御システムにおける安全性の評価項目としては、例えばコンポーネントのバージョンがアップデートされた場合であれば、コンポーネントを利用している全ての機器にアップデートが実行されたか否か、アップデート後にコンポーネントが停止状態になっていないか、コンポーネントにかかる設定情報に変更がないか、コンポーネントの動作に変更がないか、他のコンポーネントとの相互接続に問題が発生していないか等がある。
特許文献1には、ネットワーク構成や機器の利用プログラム等を含むシステムの設計情報と、設計情報及び利用プログラムに判明している脆弱性情報とを比較することにより、システムの安全性評価を効率化する技術が開示されている。
特開2003−108521号公報
しかし、特許文献1の技術では、システムの設計時における情報のみを利用して安全性を評価する技術であるため、システムの構成又は設定がシステムの運用中に変更された場合には、安全性評価を効率化することはできない。
制御システムの構成又は設定が運用中に変更される場合とは、例えばコンポーネントのバージョンがアップデートされた場合やコンポーネントに何らかの不具合が生じた場合である。よって例え制御システムの設計時に安全性が評価されていたとしても、運用中にその安全性が保証されているとは限らない。そして運用中に適宜、安全性を評価するとした場合には、多大な時間及びコストが必要になるという問題がある。
またそもそも制御システムの構成又は設定が運用中に変更されたことが管理者に認識されない場合がある。運用中の変更が管理者に認識されない場合とは、例えば外部ネットワークに接続されたコンポーネントがリポジトリに定期的にポーリングすることによりアップデートパッチが取得される場合や外部ネットワークを介して開発メーカから送信されたアップデートパッチが取得される場合である。この場合、管理者は速やかに安全性の再調査を行うことができない。よって制御システムの安全性が損なわれるという問題がある。
本発明は以上の点を考慮してなされたもので、システム構成又は設定が運用中に変更された場合であっても、多大な時間及びコストをかけずに安全性を評価し得る安全性評価システム及び安全性評価方法を提供しようとするものである。
かかる課題を解決するために本願発明においては、複数の構成機器を有する制御システムの安全性を評価する安全性評価システムにおいて、前記安全性評価システムは、前記複数の構成機器から前記構成機器の構成に関する情報である構成情報を取得し、取得した構成情報に基づいて、前記構成機器の状態に関する情報である取得情報を取得する情報取得装置と、前記情報取得装置から前記構成情報及び前記取得情報を取得する評価指示装置とを備え、前記情報取得装置は、予め定められたタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力し、前記評価指示装置は、前記情報取得装置から出力された前記構成情報及び前記取得情報と、予め定められた再調査実施条件とに基づいて、安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、再調査する必要がある旨を通知するとともに、安全性評価の内容を示す情報及び再調査に必要な関連情報を通知することを特徴とする。
またかかる課題を解決するために本願発明においては、複数の構成機器を有する制御システムの安全性を評価する安全性評価システムの安全性評価方法において、前記安全性評価システムは、前記複数の構成機器から前記構成機器の構成に関する情報である構成情報を取得し、取得した構成情報に基づいて、前記構成機器の状態に関する情報である取得情報を取得する情報取得装置と、前記情報取得装置から前記構成情報及び前記取得情報を取得する評価指示装置とを備え、前記情報取得装置が、予め定められたタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力する第1のステップと、前記評価指示装置が、前記情報取得装置から出力された前記構成情報及び前記取得情報と、予め定められた再調査実施条件とに基づいて、安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、再調査する必要がある旨を通知するとともに、安全性評価の内容を示す情報及び再調査に必要な関連情報を通知する第2のステップとを備えたことを特徴とする。
本発明によれば、システム構成又は設定が運用中に変更された場合であっても、多大な時間及びコストをかけずに安全性を評価することができる。
安全性評価システムの論理構成を示す概念図である。 情報取得装置の物理構成を示す概念図である。 構成機器の物理構成を示す概念図である。 評価指示装置の物理構成を示す概念図である。 構成情報に含まれるコンポーネント一覧情報を示す概念図である。 構成情報に含まれるトポロジー情報を示す概念図である。 取得対象情報を示す概念図である。 評価項目を示す概念図である。 評価結果通知部により表示される通知画面の概念図である。 第1のタイミング決定処理を示すフロー図である。 第2のタイミング決定処理を示すフロー図である。 安全性再調査の必要性判定処理を示すフロー図である。 第2の実施形態の安全性評価システムの論理構成を示す概念図である。 第2の実施形態の取得対象情報を示す概念図である。 第3の実施形態の安全性評価システムの論理構成を示す概念図である。 第3の実施の形態のコンポーネント一覧情報を示す概念図である。
以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
(1−1)安全性評価システムの構成
図1において、1は全体として第1の実施の形態による安全性評価システム1の論理構成を示す。安全性評価システム1は、評価対象システム10及び評価指示装置300から構成される。
評価対象システム10は、安全性評価の対象となるシステムであり、情報取得装置100及び構成機器200から構成される。
情報取得装置100は、評価対象システム10の運用中に構成機器200に関する情報を取得し、取得した情報を評価指示装置20に送信する装置である。情報取得装置100は、構成情報101、取得対象情報102、情報取得部103、情報出力部104及び取得命令受信部105を備えて構成される。
構成情報101は、図示しないRAM(Random Access Memory)又はROM(Read Only Memory)等の記憶媒体に格納される情報であり、コンポーネント一覧情報101A及びトポロジー情報101Bを含む情報である。コンポーネント一覧情報101Aは、構成機器200の詳細情報である。またトポロジー情報101Bは、評価対象システム10の設計情報である。これらコンポーネント一覧情報101A及びトポロジー情報101Bの詳細については、図3及び図4において後述する。
取得対象情報102は、図示しないRAM又はROM等の記憶媒体に格納される情報であり、評価対象システム10の構成情報として取得すべき情報及びその取得方法の情報等を含む情報である。また取得対象情報102は、評価指示装置300に送信される情報である。取得対象情報102の詳細については、図5において後述する。
情報取得部103は、ネットワークN1を介して、構成機器200に接続されるモジュールである。情報取得部103は、取得命令受信部105を介して、評価指示装置300から構成機器200に関する情報の取得要求を入力する。そして情報取得部103は、取得要求を入力したことを契機として、構成情報101及び取得対象情報102を取得し、取得した構成情報101及び取得対象情報102を情報出力部104に出力する。
なお構成機器200に関する情報の取得要求は、例えば標準技術であるHTTP(Hypertext Transfer Protocol)上にXML(eXtensible Markup Language)を応用したSOAP(Simple Object Access Protocol)を利用して、RPC(Remote Procedure Call)を行うことにより実現することができる。
情報出力部104は、情報取得部103から出力された構成情報101及び取得対象情報102を入力すると、入力した構成情報101及び取得対象情報102を情報入力部303に送信するモジュールである。なおここでは、情報出力部104はネットワークN2を介して構成情報101等を送信するとしたが、必ずしもこれに限らず、例えば可搬型記憶媒体を介して出力するとしてもよい。
取得命令受信部105は、ネットワークN2を介して、取得命令送信部306に接続されるモジュールである。取得命令受信部105は、取得命令送信部306から送信された取得要求を受信すると、受信した取得要求を情報取得部103に出力する。
構成機器200は、評価対象システム10を構成する計算機、制御用機器及び通信機器等であり、コンポーネント201を備えて構成される。なお複数の構成機器200は制御システムとして動作する。
コンポーネント201は、構成機器200により利用されるハードウェア及びソフトウェアであり、具体的にはハードウェアモジュール、OS(Operating System)、ミドルウェア及びアプリケーションソフトウェア等である。
評価指示装置300は、情報取得装置100から構成機器200に関する情報を受信して安全性の再調査が必要であるか否かを判断し、判断結果を管理者に通知するという一連の安全性評価を行う装置である。評価指示装置300は、構成情報301、評価項目302、情報入力部303、評価計算部304、評価結果通知部305及び取得命令送信部306を備えて構成される。
構成情報301は、図示しないRAM又はROM等の記憶媒体に格納される情報であり、コンポーネント一覧情報301A及びトポロジー情報301Bを含む情報である。これらコンポーネント一覧情報301A及びトポロジー情報301Bは、情報取得装置100が備えるコンポーネント一覧情報101A及びトポロジー情報101Bと同一の情報である。詳細については図3及び図4において後述する。
評価項目302は、図示しないRAM又はROM等の記憶媒体に格納される情報であり、安全性の評価内容を示す情報及びその評価内容を判断するために必要な情報を含む情報である。評価項目302は、安全性を再調査すべきか否かを判断するために用いられる。評価項目302の詳細については、図6において後述する。
情報入力部303は、ネットワークN2を介して、情報出力部104に接続されるモジュールである。情報入力部303は、情報出力部104から送信された構成情報101及び取得対象情報102を受信すると、入力した構成情報101及び取得対象情報102を評価計算部304に出力する。なおここでは、情報入力部303はネットワークN2を介して構成情報101等を受信するとしたが、必ずしもこれに限らず、例えば可搬型記憶媒体を介して入力するとしてもよい。
評価計算部304は、情報入力部303から出力された構成情報101及び取得対象情報102を入力すると、入力した構成情報101及び取得対象情報102と、評価項目302とに基づいて、評価対象システム10の安全性を再調査する必要があるか否かを判断するモジュールである。
評価結果通知部305は、評価計算部304による判定結果を管理者に通知するモジュールであり、例えばLCD(Liquid Crystal Display)等のモニタや電子メール等である。
取得命令送信部306は、ネットワークN2を介して、取得命令受信部105に接続されるモジュールである。取得命令送信部306は、取得要求を取得命令受信部105に送信する。
(1−2)情報取得装置、構成機器及び評価指示装置の物理構成
図2Aは、情報取得装置100の物理構成を示す。情報取得装置100は、制御部111、メモリ112、外部記憶装置113、通信装置114、入力装置115、出力装置116及び読取装置117を備えて構成される。またこれらはインタフェースI1を介して相互に接続される。
制御部111は、CPU(Central Processing Unit)、RAM(Random Access Memory)及びROM(Read Only Memory)等を備えて構成され、メモリ112に格納されている各種プログラムとの協働により、情報取得装置100における各種動作を統括的に制御する。
メモリ112は、RAM又はROM等により構成され、各種プログラム又は各種データを一時的又は長期的に格納する。
外部記憶装置113は、ハードディスク等により構成され、メモリ112と同様、各種プログラム又は各種データを一時的又は長期的に格納する。
なおメモリ112又は外部記憶装置113により格納される各種プログラム等は、これらメモリ112又は外部記憶装置113に予め格納されているとしてもよいし、可搬型記憶媒体M1に記憶されている各種プログラムが読取装置117により読み取られ、その後メモリ112又は外部記憶装置113に格納されるとしてもよい。また各種プログラムは、搬送波又はデジタル信号として、ネットワークN1及びN2を介して通信装置114により受信され、その後メモリ112又は外部記憶装置113に格納されるとしてもよい。
通信装置114は、インターネットやLAN等のネットワークN1及びN2を介して、構成機器200又は評価指示装置300等の外部装置と通信可能に接続される。
入力装置115は、ポインタ等を移動させるためのマウス又は文字や記号を入力するためのキーボードである。
出力装置116は、LCD等のモニタ又はモニタに表示された文字や図形を用紙に印刷するためのプリンタである。
読取装置117は、ICカードやUSBメモリ等の可搬型記憶媒体M1が挿入された場合、挿入された可搬型記憶媒体M1に記憶された情報を読み取る。
図2Bは、構成機器200の物理構成を示す。構成機器200は、制御部211、メモリ212、外部記憶装置213、通信装置214、入力装置215、出力装置216及び読取装置217を備えて構成される。またこれらは、インタフェースI2を介して相互に接続される。図2Bに示す構成機器200の制御部211、メモリ212、外部記憶装置213、通信装置214、入力装置215、出力装置216及び読取装置217の各部の機能及び構成は、上述した図2Aに示す情報取得装置100の制御部111、メモリ112、外部記憶装置113、通信装置114、入力装置115、出力装置116及び読取装置117の各部の機能及び構成と同様であるため、ここでの説明は省略する。
図2Cは、評価指示装置300の物理構成を示す。評価指示装置300は、制御部311、メモリ312、外部記憶装置313、通信装置314、入力装置315、出力装置316及び読取装置317を備えて構成される。またこれらは、インタフェースI3を介して相互に接続される。図2Cに示す構成機器200の制御部311、メモリ312、外部記憶装置313、通信装置314、入力装置315、出力装置316及び読取装置317の各部の構成及び機能は、上述した図2Aに示す情報取得装置100の制御部111、メモリ112、外部記憶装置113、通信装置114、入力装置115、出力装置116及び読取装置117の各部の機能及び構成と同様であるため、ここでの説明は省略する。
(1−3)データ構造
図3は、情報取得装置100の構成情報101に含まれるコンポーネント一覧情報101Aのデータ構造を示す。コンポーネント一覧情報101Aは、構成機器200の詳細情報であり、評価対象システム10の設計時又は構築時に開発者又は管理者に入力されることで初期化される情報である。
なおシステムの安全性評価の調査には、「どのような用途の機器」が「どのようなコンポーネントを利用」しており「どのような状態」で「どこに存在」しているのかという情報が必要である。コンポーネント一覧情報101Aは、このうち「どのような用途の機器」が「どのようなコンポーネントを利用」しており「どのような状態」であるのかという情報を含むものである。
コンポーネント一覧情報101Aは、機器番号欄1011A、機器カテゴリ欄1012A、コンポーネントカテゴリ欄1013A及びコンポーネント情報欄1014Aから構成される。
機器番号欄1011Aには、構成機器200を識別するための識別子が格納される。機器番号欄1011Aに格納される識別子は、構成機器200が評価対象システム10に導入される際に予め割り振られている専用の番号であってもよいし、全ての構成機器200を識別可能である限りにおいては、例えばシステムの設計にかかる値であるMACアドレスであってもよい。
機器カテゴリ欄1012Aには、構成機器200が属するカテゴリを示す情報が格納され、より詳細には1つ以上の用途を示す文字列が格納される。なお機器カテゴリ欄1012Aに格納される情報は、構成機器200が「どのような用途の機器」であるのかを示す情報である。
コンポーネントカテゴリ欄1013Aには、コンポーネント201が属するカテゴリを示す情報が格納される。なおコンポーネントカテゴリ欄1013Aに格納される情報は、構成機器200が「どのようなコンポーネントを利用」しているのかを示す情報である。
コンポーネント情報欄1014Aには、コンポーネント201についての詳細情報を示す情報が格納される。なおコンポーネント情報欄1014Aに格納される情報は、コンポーネント201が「どのような状態」であるのかを示す情報である。
従って図3の場合、例えば機器番号が「m000001」の機器は、用途が「OA用PC」であり、この機器が利用するコンポーネントは「OS」であり、このコンポーネントの状態はOSの名称が「hoge」、OSのバージョンが「1.1」、OSに適用されているパッチが「hoge01」及び「hoge02」であることが示されている。また例えば機器番号が「m000101」の機器は、用途が「ログサーバ」であり、この機器が利用するコンポーネントは「OS」、「データベースミドルウェア」及び「ログ管理ソフト」であることが示されている。なおコンポーネントが「ログ管理ソフト」であるアプリケーションの「プロセス名」は、アプリケーションの生存監視を行うために利用される。
評価指示装置300の構成情報301に含まれるコンポーネント一覧情報301Aのデータ構造については、上述のコンポーネント一覧情報101Aのデータ構造と同様であるため、ここでの説明は省略する。
図4は、情報取得装置100の構成情報101に含まれるトポロジー情報101Bの論理構造を示す。トポロジー情報101Bは、評価対象システム10の設計情報であり、評価対象システム10の設計時又は構築時に開発者又は管理者に入力されることで初期化される情報である。
トポロジー情報101Bは、構成機器200が評価対象システム10内の「どこに存在」するのかを示す情報である。具体的には、トポロジー情報101Bは、構成機器200の機器番号、通信アドレス、通信セグメント及び通信セグメントの用途を示す情報を含む情報である。
従って図4の場合、例えば機器番号が「m000001」であり用途が「OA用PC」である構成機器200は、通信アドレスが「XYZ」であり、通信セグメントが「セグメント1」であり、通信セグメントの用途は「情報ネットワーク」であることが示されている。なおトポロジー情報101Bは、例えば標準技術であるUML(Unified Modeling Language)及びSysML(Systems Modeling Language)により制御部111が読み取り可能な形式で記述されるとしてもよい。
評価指示装置300の構成情報301に含まれるトポロジー情報301Bのデータ構造については、上述のトポロジー情報101Bのデータ構造と同様であるため、ここでの説明は省略する。
図5は、情報取得装置100の取得対象情報102のデータ構造を示す。取得対象情報102は、評価対象システム10の構成情報として取得すべき情報及びその取得方法の情報であり、評価対象システム10の設計時又は構築時に開発者又は管理者に入力されることで初期化される情報である。
取得対象情報102は、取得情報番号欄1021、取得対象欄1022、取得情報欄1023、取得方法欄1024及び保存情報欄1025から構成される。
取得情報番号欄1021には、取得された情報の識別子が格納される。
取得対象欄1022には、情報の取得先を示す情報が格納される。例えば取得対象欄1022には、構成機器200の機器番号「m000001」、情報の取得先が全ての構成機器200であることを示す「全機器」、情報の取得先が特定の機器カテゴリであることを示す「OA用PC」、情報の取得先が特定のコンポーネントカテゴリであることを示す「OS」、情報の取得先が特定の通信セグメントであることを示す「セグメント1」、情報の取得先が特定の通信セグメントのカテゴリであることを示す「情報ネットワーク」等が格納される。また取得対象欄1022には、これら複数の取得先が組み合わされた情報が格納されるとしてもよい。
取得情報欄1023には、取得先から取得すべき情報であって、構成機器200の状態に関する情報である取得情報が格納される。
取得方法欄1024には、情報の取得方法を示す情報が格納される。
保存情報欄1025には、情報の取得先から取得した情報の取り扱い内容を示す情報が格納される。
従って図5の場合、取得情報番号が「i001」の情報は、「全機器」から取得される情報であり、取得される情報の内容は「OS名称とバージョン値に変更」があるか否かを示す情報であり、取得方法は「各対象機器内のファイルパス:……にアクセスして現在の値を取得し、構成情報の値と比較」であり、取得した情報の取り扱いは「取得したバージョン値に変更があればその値で更新」であることが示されている。
図6は、評価指示装置300の評価項目302のデータ構造を示す。評価項目302は、評価対象システム10の設計時又は構築時に開発者又は管理者に入力されることで初期化される情報である。
評価項目302は、評価項目番号欄3021、評価内容欄3022及び再調査実施条件欄3023から構成される。
評価項目番号欄3021には、評価項目の識別子が格納される。
評価内容欄3022には、安全性の評価内容を示す情報が格納される。なお評価内容欄3022に格納される安全性の評価内容を示す情報が機械可読な評価式として記述可能であれば、取得した情報を用いて評価式を評価することにより、機械的に安全性を評価することができる。これにより管理者に安全性の再調査が必要であることを通知するだけでなく、機械的に安全性の評価結果そのものを通知することができるため、管理者の再調査にかかる手間を削減することができる。
再調査実施条件欄3023には、評価対象システム10の安全性の再調査を実施すべきか否かを評価するための評価式が格納される。
従って図6の場合、評価項目番号が「v001」の評価項目の評価内容は「ログサーバの実行プロセスが存在するか」という評価内容であり、この評価内容について再調査をすべきか否かを評価する際の評価式は、「not{(機器カテゴリ=ログサーバの機器が存在)and(その機器に、その機器のコンポーネントカテゴリ=ログ管理ソフトのプロセス名の値のプロセスが存在する)}」であることが示されている。なおこの評価式は、機器カテゴリがログサーバの構成機器200が存在すること、かつ、コンポーネントカテゴリにログ管理ソフトが含まれる、という条件を満たさない場合には、再調査を実施すべきであると評価される。この場合、管理者にシステムの安全性を再調査すべき旨が通知されることになる。
(1−4)画面構成
図7は、評価結果通知部305により安全性評価の評価結果が通知される際の画面構成305Aを示す。
画面構成305Aは、メッセージ欄3051A、評価項目番号欄3052A、評価内容欄3053A及び関連情報欄3054Aから構成される。
メッセージ欄3051Aには、安全性の再調査が必要である旨の文章又は再調査が必要でない旨の文章が表示される。評価項目番号欄3052Aには、評価項目ごとに予め定められた識別子が格納される。評価内容欄3053Aには、安全性の評価内容を示す情報が格納される。関連情報欄3054Aには、安全性評価を行うために用いた情報の取得先である機器番号の情報が格納される。
従って図10の場合、「システムの構成・設定に変更が検知されました。下記の項目について点検してください。」というメッセージが通知されることにより、管理者は評価対象システム10の安全性を再調査する必要があることを知ることができる。また安全性を再調査するために必要な情報として、評価項目番号、評価内容及び関連情報が通知される。管理者は安全性を再調査するに際し、どの構成機器200に関してどのような内容を再調査すればよいかを知ることができる。よって、評価対象システム10の安全性を保持することができるとともに、再調査にかかる時間及びコストを大幅に削減することができる。
(1−5)安全性評価に関する処理手順
図8は、第1のタイミング決定処理の処理手順を示す。この第1のタイミング決定処理は、評価対象システム10の安全性を再調査する必要があるか否かの判断を定期的に判断するために実行される処理であり、情報取得装置100の制御部111により実行される処理である。
まず制御部111は、予め定められた所定時刻に到達したか否か、または、予め定められた一定時間が経過したか否かを判断する(SP1)。
制御部111は、この判断で否定結果を得ると、ステップSP1に移行する。これに対し、制御部111は、ステップSP1の判断で肯定結果を得ると、再調査必要性判定処理を実行して(SP2)、この第1のタイミング決定処理を終了する。なおこの再調査必要性判定処理は、図10において後述するように、安全性を再調査する必要があるか否かを判定し、その判定結果を管理者に通知する処理である。
図9は、第2のタイミング決定処理の処理手順を示す。この第2のタイミング決定処理は、評価対象システム10の安全性を再調査する必要があるか否かを非定期的に判断するために実行される処理であり、情報取得装置100の制御部111により実行される処理である。
まず制御部111は、評価指示装置300から送信された取得要求を受信したか否かを判断する(SP11)。
なお評価指示装置300から送信される取得要求とは、構成機器200に関する情報の取得要求である。
制御部111は、この判断で否定結果を得ると、評価指示装置300から送信された取得要求を受信するまで待機する。
これに対し、制御部111は、ステップSP11の判断で肯定結果を得ると、再調査必要性判定処理を実行して(SP12)、この第2の安全性評価タイミング決定処理を終了する。なおこの再調査必要性判定処理は、図10において後述するように、安全性の再調査が必要か否かを判定し、その判定結果を管理者に通知する処理である。
図10は、再調査必要性判定処理の処理手順を示す。この安全性再調査必要判定処理は、情報取得装置100の制御部111及び評価指示装置300の制御部311により実行される。
まず情報取得装置100の制御部111は、コンポーネント一覧情報101A及び取得対象情報102に基づいて、情報を取得すべき取得先の構成機器の一覧情報を取得する(SP21)。
具体的には、制御部111は、コンポーネント一覧情報101Aに含まれる機器番号、機器カテゴリ又はコンポーネントカテゴリの情報と、取得対象情報102に含まれる取得対象の情報とに基づいて、情報を取得するためにアクセスすべき取得先の機器番号の一覧情報を取得する。
次いで制御部111は、ステップSP21で取得した機器番号の一覧情報及びトポロジー情報101Bに基づいて、ステップSP21で取得した機器番号の通信アドレスを取得し、取得した通信アドレス及び取得対象情報102に含まれる取得方法に基づいて、ステップSP21で取得した機器番号の構成機器200にアクセスして取得対象情報102の取得情報欄1023に格納する取得情報を取得する(SP22)。
次いで制御部111は、ステップSP22で取得した取得情報及び保存情報欄1025に格納されている情報に基づいて、コンポーネント一覧情報101Aのコンポーネント情報欄1014Aの情報を更新する(SP23)。
次いで制御部111は、ステップSP22で取得した取得情報を評価指示装置300に送信する(SP24)。
評価指示装置300の制御部311は、情報取得装置100から送信された取得情報を受信する(SP25)。
制御部311は、ステップSP25で受信した取得情報及び構成情報301を評価項目302の再調査実施条件欄3023に格納された条件に適用し、ひとつも真になる条件式が存在しないか否かを判断する(SP26)。
制御部311は、この判断で肯定結果を得ると、評価対象システム10の安全性を再調査する必要がないと判断して(SP27)、この再調査必要性判定処理を終了する。なお制御部311は、このステップSP27の処理において、安全性を再調査する必要がない旨を管理者に通知してもよい。
これに対し、制御部311は、ステップSP26の判断で否定結果を得ると、評価項目302の評価内容欄3022に格納されている評価内容を計算して安全性を評価する(SP28)。
なおこのステップSP28の処理により、機械的に評価可能な安全性評価項目については人間系を介することなく安全性を再調査することができる。
次いで制御部311は、ステップSP28で評価した評価結果及び評価対象システム10の安全性を再調査する必要がある旨を管理者に通知して(SP29)、この再調査必要性判定処理を終了する。
(1−6)第1の実施の形態の効果
以上のように、第1の実施の形態による安全性評価システム1によれば、評価対象システム10の安全性に影響を与える可能性のある構成情報が変更された場合、管理者に速やかに通知することができる。よって管理者は速やかに安全性を再調査することができる。そして評価対象システム10の安全性を保持することができる。
また第1の実施の形態による安全性評価システム1によれば、安全性を再調査すべきコンポーネントの情報を管理者に通知することができる。よって管理者は再調査に費やす時間や手間を大幅に削減することができる。
(2)第2の実施の形態
第2の実施の形態では、複数の情報取得装置が接続された場合の安全性評価システムについて説明する。以下、第2の実施の形態における説明では、第1の実施の形態と同様の構成についてはその説明を省略し、異なる構成についてのみ説明する。
(2−1)安全性評価システムの構成
図11において、1Aは全体として第2の実施の形態による安全性評価システム1Aを示す。この安全性評価システム1Aは、評価対象システム10A及び評価指示装置300Aを備えて構成される。
評価対象システム10Aは、第1の情報取得装置100A及び第2の情報取得装置200Aから構成され、これらは互いにネットワークN1Aにより接続される。
第1の情報取得装置100Aは、評価対象システム10A内の部分システムである第1の部分システム1000Aのみを対象に情報を取得する。
第2の情報取得装置200Aは、評価対象システム10A内の部分システムである第2の部分システム2000Aを対象に情報を取得するとともに、第1の部分システム1000A及び第2の部分システム2000Aの両者にまたがる情報をも対象に情報を取得する。
第1の部分システム1000A及び第2の部分システム2000Aの両者にまたがる情報とは、例えば「第1の部分システム1000A内の構成機器から第2の部分システム2000A内の構成機器に対する通信が遮断されること」のような情報である。
第2の情報取得装置200Aは、第1の情報取得装置100Aに対しては評価指示装置として振る舞うことにより、第2の情報取得装置200Aが取得する情報を取得することができる。これは、例えば後述する図12に示す取得対象情報102Aを記述することで容易に実現できる。
(2−2)データ構造
図12は、第1の情報取得装置100Aの取得対象情報102Aのデータ構造を示す。取得対象情報102Aは、情報の取得先として構成機器200の機器番号だけでなく、他の情報取得装置の機器番号を含む点で、第1の実施の形態における取得対象情報102(図5)とは異なる。例えば図12の場合、取得対象欄1022Aには、第1の情報取得装置100Aの機器番号が格納されていることが示されている。
(2−3)第2の実施の形態の効果
以上のように、第2の実施の形態による安全性評価システム1Aによれば、評価対象システム10Aの構成情報を第1の情報取得装置100A及び第2の情報取得装置200Aのそれぞれで分担して保持することができる。よって、第1の情報取得装置100A及び第2の情報取得装置200Aにかかる処理負担を軽減することができる。
また、第2の実施の形態による安全性評価システム1Aによれば、第1の部分システム1000Aが単一の構成機器とする構成も可能である。この場合、情報取得のための通信発生回数を抑制することができる。
(3)第3の実施の形態
第3の実施の形態では、複数の情報取得装置と複数の評価指示装置とが接続されて構成される安全性評価システムについて説明する。以下、第3の実施の形態における説明では、第1の実施の形態と同様の構成についてはその説明を省略し、異なる構成についてのみ説明する。
(3−1)安全性評価システムの構成
図13において、1Bは全体として第3の実施の形態による安全性評価システム1Bを示す。この安全性評価システム1Bは、評価対象システム10B、評価指示装置300B及び400Bを備えて構成される。
評価対象システム10Bは、地理的に広域にわたるシステムであり、情報取得装置100Bから構成される。
情報取得装置100Bは、ネットワークN1B及びN2Bを介して、拠点Aに設置される評価指示装置300B及び拠点Bに設置される評価指示装置400Bのそれぞれに接続される。
この安全性評価システム1Bにおける管理者は、拠点A及び拠点Bごとにそれぞれ存在し、それぞれが対応する評価指示装置300B又は評価指示装置400を利用して、評価対象システム10Bの安全性管理を行う。
(3−2)データ構造
図14は、コンポーネント一覧情報101AAのデータ構造を示す。コンポーネント一覧情報101AAは、調査結果通知対象欄1013AAを備えて構成される点で、第1の実施の形態におけるコンポーネント一覧情報101Aとは異なる。
調査結果通知対象欄1013AAには、調査結果を通知すべき対象の評価指示装置の識別子が格納される。
従って図14の場合、例えば機器番号が「m000001」の機器は、用途が「OA用PC」であり、この機器が利用するコンポーネントは「OS」であり、このコンポーネントの状態はOSの名称が「hoge」、OSのバージョンが「1.1」、OSに適用されているパッチが「hoge01」及び「hoge02」であり、この危機に関する安全性評価の調査結果は「評価指示装置A」に通知すべきことが示されている。
(3−3)第3の実施の形態の効果
以上のように、第3の実施の形態による安全性評価システム1Bによれば、評価対象システム10Bが地理的に広範にわたるものである場合に、それぞれの拠点ごとに調査すべき内容をそれぞれの拠点ごとの管理者に通知することができる。
また第3の実施の形態による安全性評価システム1Bによれば、それぞれの拠点ごとに専門分野の異なる複数の管理者が存在する場合、管理者ごとに必要な情報を振り分けて通知することができる。
(4)他の実施の形態
上述してきた実施の形態において、情報取得装置100は、構成情報101及び取得対象情報102を備えて構成されるとしたが、必ずしもこれに限らず、例えば情報取得装置100は、ネットワークを介して、外部データベースが保持する構成情報101及び取得対象情報102を取得するとしてもよい。この場合、特に構成情報101については、評価指示装置300と共有することができ、管理コストや運用コストを低減させることができる。
10 評価対象システム
100 情報取得装置
101 構成情報
102 取得対象情報
103 情報取得部
111 制御部
200 構成機器
211 制御部
300 評価指示装置
301 構成情報
302 評価項目
311 制御部
101A コンポーネント一覧情報
101B トポロジー情報
102 取得対象情報
302 評価項目

Claims (12)

  1. 複数の構成機器を有する制御システムの安全性を評価する安全性評価システムにおいて、
    前記安全性評価システムは、
    前記複数の構成機器から前記構成機器の構成に関する情報である構成情報を取得し、取得した構成情報に基づいて、前記構成機器の状態に関する情報である取得情報を取得する情報取得装置と、
    前記情報取得装置から前記構成情報及び前記取得情報を取得する評価指示装置と
    を備え、
    前記情報取得装置は、
    予め定められたタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力し、
    前記評価指示装置は、
    前記情報取得装置から出力された前記構成情報及び前記取得情報と、予め定められた再調査実施条件とに基づいて、安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、再調査する必要がある旨を通知するとともに、安全性評価の内容を示す情報及び再調査に必要な関連情報を通知する
    ことを特徴とする安全性評価システム。
  2. 前記情報取得装置は、
    前記取得情報を取得するための取得方法の情報を予め保持し、予め保持する取得方法の情報に基づいて、前記取得情報を取得する
    ことを特徴とする請求項1に記載の安全性評価システム。
  3. 前記情報取得装置は、
    予め定められた時刻に到達した時点、予め定められた一定時間が経過した時点、または、前記評価指示装置からの取得要求を受信した時点のうちの何れかのタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力する
    ことを特徴とする請求項1に記載の安全性評価システム。
  4. 前記評価指示装置は、
    安全性を再調査すべきか否かを判断し、再調査する必要がない場合には、再調査をする必要がない旨のみを通知する
    ことを特徴とする請求項1に記載の安全性評価システム。
  5. 前記評価指示装置は、
    表示画面又は電子メールにより通知する
    ことを特徴とする請求項1に記載の安全性評価システム。
  6. 前記評価指示装置は、
    安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、前記安全性評価の内容に基づいて、安全性を再調査する
    ことを特徴とする請求項1に記載の安全性評価システム。
  7. 複数の構成機器を有する制御システムの安全性を評価する安全性評価システムの安全性評価方法において、
    前記安全性評価システムは、
    前記複数の構成機器から前記構成機器の構成に関する情報である構成情報を取得し、取得した構成情報に基づいて、前記構成機器の状態に関する情報である取得情報を取得する情報取得装置と、
    前記情報取得装置から前記構成情報及び前記取得情報を取得する評価指示装置と
    を備え、
    前記情報取得装置が、
    予め定められたタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力する第1のステップと、
    前記評価指示装置が、
    前記情報取得装置から出力された前記構成情報及び前記取得情報と、予め定められた再調査実施条件とに基づいて、安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、再調査する必要がある旨を通知するとともに、安全性評価の内容を示す情報及び再調査に必要な関連情報を通知する第2のステップと
    を備えたことを特徴とする安全性評価方法。
  8. 前記第1のステップにおいて、
    前記情報取得装置は、
    前記取得情報を取得するための取得方法の情報を予め保持し、予め保持する取得方法の情報に基づいて、前記取得情報を取得する
    ことを特徴とする請求項7に記載の安全性評価方法。
  9. 前記第1のステップにおいて、
    前記情報取得装置は、
    予め定められた時刻に到達した時点、予め定められた一定時間が経過した時点、または、前記評価指示装置からの取得要求を受信した時点のうちの何れかのタイミングに基づいて、前記構成情報及び前記取得情報を前記評価指示装置に出力する
    ことを特徴とする請求項7に記載の安全性評価方法。
  10. 前記第2のステップにおいて、
    前記評価指示装置は、
    安全性を再調査すべきか否かを判断し、再調査する必要がない場合には、再調査をする必要がない旨のみを通知する
    ことを特徴とする請求項7に記載の安全性評価方法。
  11. 前記第2のステップにおいて、
    前記評価指示装置は、
    表示画面又は電子メールにより通知する
    ことを特徴とする請求項7に記載の安全性評価方法。
  12. 前記第2のステップにおいて、
    前記評価指示装置は、
    安全性を再調査すべきか否かを判断し、再調査する必要がある場合には、前記安全性評価の内容に基づいて、安全性を再調査する
    ことを特徴とする請求項7に記載の安全性評価方法。



JP2012088599A 2012-04-09 2012-04-09 安全性評価システム及び安全性評価方法 Pending JP2013218531A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012088599A JP2013218531A (ja) 2012-04-09 2012-04-09 安全性評価システム及び安全性評価方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012088599A JP2013218531A (ja) 2012-04-09 2012-04-09 安全性評価システム及び安全性評価方法

Publications (1)

Publication Number Publication Date
JP2013218531A true JP2013218531A (ja) 2013-10-24

Family

ID=49590548

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012088599A Pending JP2013218531A (ja) 2012-04-09 2012-04-09 安全性評価システム及び安全性評価方法

Country Status (1)

Country Link
JP (1) JP2013218531A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016092962A1 (ja) * 2014-12-08 2016-06-16 株式会社日立製作所 制御装置状態検証システムおよび制御装置状態検証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016092962A1 (ja) * 2014-12-08 2016-06-16 株式会社日立製作所 制御装置状態検証システムおよび制御装置状態検証方法
JP2016110411A (ja) * 2014-12-08 2016-06-20 株式会社日立製作所 制御装置状態検証システムおよび制御装置状態検証方法

Similar Documents

Publication Publication Date Title
US10521284B2 (en) System and method for management of deployed services and applications
EP2808790B1 (en) Migration assessment for cloud computing platforms
US10223106B1 (en) Customized static source code analysis
US20210120029A1 (en) Modeling Application Dependencies to Identify Operational Risk
AU2018280266A1 (en) Near real-time messaging service for data center infrastructure monitoring data
US8799923B2 (en) Determining relationship data associated with application programs
CN103843308A (zh) 跨越多个计算设备分布的应用的执行
US11263267B1 (en) Apparatuses, methods, and computer program products for generating interaction vectors within a multi-component system
CN108984544A (zh) 一种分布式系统修改配置信息的方法和装置
Bhadoria et al. Analyzing the role of interfaces in enterprise service bus: A middleware epitome for service-oriented systems
CA3169413A1 (en) Report generating method, device, electronic equipment, and computer-readable medium
CN114401187B (zh) 灰度发布方法、装置、计算机设备和存储介质
CN113157523B (zh) 服务监控方法、装置、计算机设备及存储介质
US8166143B2 (en) Methods, systems and computer program products for invariant representation of computer network information technology (IT) managed resources
US11632303B2 (en) Enhanced service mapping based on natural language processing
Zyrianoff et al. Two-way integration of service-oriented systems-of-systems with the web of things
Althar et al. Building intelligent integrated development environment for IoT in the context of statistical modeling for software source code
US11481228B2 (en) Self-service orchestration platform
US10135728B2 (en) Partial switching of network traffic
US20230118838A1 (en) Advanced agent instrumentation for opentelemetry implementations
JP2013218531A (ja) 安全性評価システム及び安全性評価方法
CN112559001B (zh) 更新应用的方法和装置
CN113495498A (zh) 用于硬件设备的模拟方法、模拟器、设备和介质
CN111651330A (zh) 数据采集方法、装置、电子设备和计算机可读存储介质
US11797388B1 (en) Systems and methods for lossless network restoration and syncing