JP2015201021A - Access controller - Google Patents
Access controller Download PDFInfo
- Publication number
- JP2015201021A JP2015201021A JP2014079069A JP2014079069A JP2015201021A JP 2015201021 A JP2015201021 A JP 2015201021A JP 2014079069 A JP2014079069 A JP 2014079069A JP 2014079069 A JP2014079069 A JP 2014079069A JP 2015201021 A JP2015201021 A JP 2015201021A
- Authority
- JP
- Japan
- Prior art keywords
- user
- access
- access control
- adjustment
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、制御システムに対するアクセスの制御技術に関する。 The present invention relates to a technology for controlling access to a control system.
近年、社会インフラを支える制御システムに対するサイバーセキュリティの脅威が増大しつつある。そこで、当該制御システムのセキュリティを確保するために、IEC62443等の、制御システムのセキュリティ規格が制定され、また、同規格に準拠した製品が提供されるようになった。そのような製品を使用して、セキュリティ対策を施した制御システムも構築されつつある(特許文献1)。 In recent years, cybersecurity threats to control systems that support social infrastructure are increasing. Therefore, in order to ensure the security of the control system, a security standard for the control system such as IEC62443 has been established, and products compliant with the standard have been provided. A control system in which security measures are taken using such a product is also being constructed (Patent Document 1).
既設の制御システムを上記セキュリティ規格に適合させるためには、特に脆弱なプロトコルの刷新のために、エンジニアリング端末またはプログラマブルコントローラの更新が不可欠である。このため、既設の制御システムのセキュリティ対応には多大の時間および工数を必要とすることになり、なかなか対策が進まないという問題があった。 In order to adapt an existing control system to the above-mentioned security standard, it is indispensable to update an engineering terminal or a programmable controller in order to renew a particularly vulnerable protocol. For this reason, it takes a lot of time and man-hours to cope with the security of the existing control system, and there is a problem that the countermeasures are not easily advanced.
よって、既設の制御システムの大幅な変更またはバージョンアップをせずに、わずかな装置の追加だけでセキュリティ性能を向上させられる技術が求められている。 Therefore, there is a need for a technique that can improve security performance by adding a few devices without significantly changing or upgrading an existing control system.
本発明は、上記のような問題を解決するためになされたものであり、既設の制御システムの大幅な変更またはバージョンアップをせずに、わずかな構成の追加だけでセキュリティ性能を向上させられるアクセス制御装置を提供することを目的とする。 The present invention has been made to solve the above-described problems, and access that can improve the security performance by adding a few configurations without significantly changing or upgrading the existing control system. An object is to provide a control device.
本発明の一態様に関するアクセス制御装置は、制御システムに対するユーザーからのアクセスを制御するアクセス制御装置であり、前記アクセスのためのアクセスプロトコルには、前記制御システムにおける少なくとも1つの操作対象物、および、当該操作対象物に対する少なくとも1つの操作に関する情報が含まれ、前記ユーザーから入力された前記アクセスプロトコルを解析し、前記操作対象物および前記操作に関する情報を抽出するプロトコル解析部と、前記ユーザーから入力された、前記アクセスを行う前記ユーザーを特定するための情報であるユーザー情報を受け付ける受付部と、前記ユーザー情報に対応する前記ユーザーを特定する認証データを記憶する認証データベースと、前記制御システムにおける各前記操作対象物について、当該操作対象物に対し前記操作を行う権限を有するユーザーを特定するアクセス制御データを記憶するアクセス制御データベースと、前記受付部において受け付けられた前記ユーザー情報と前記認証データとに基づいて、前記ユーザーを特定するユーザー認証部と、前記プロトコル解析部において抽出された前記操作対象物および前記操作に関する情報と前記アクセス制御データとに基づいて、前記ユーザー認証部において特定された前記ユーザーが、前記プロトコル解析部において抽出された前記操作対象物に対する前記操作を行う権限を有するユーザーであるか否かを判定し、前記権限を有するユーザーである場合には前記アクセスを許可し、前記権限を有さないユーザーである場合には前記アクセスを許可しないアクセス制御部とを備える。 An access control apparatus according to an aspect of the present invention is an access control apparatus that controls access from a user to a control system, and an access protocol for the access includes at least one operation object in the control system, and Information on at least one operation on the operation target is included, a protocol analysis unit that analyzes the access protocol input from the user and extracts information on the operation target and the operation, and input from the user In addition, a reception unit that receives user information that is information for specifying the user who performs the access, an authentication database that stores authentication data that specifies the user corresponding to the user information, and each of the control systems About the operation target The user based on the access control database storing access control data for identifying a user who has the authority to perform the operation on the operation target, and the user information and the authentication data received by the reception unit. The user identified by the user authenticating unit based on the access object and the operation object extracted by the protocol analyzing unit and the access control data. It is determined whether or not the user has the authority to perform the operation on the operation object extracted in the section, and if the user has the authority, the access is permitted and the user who does not have the authority And an access control unit that does not permit the access Provided.
本発明の上記態様によれば、既設の制御システムの大幅な変更またはバージョンアップをせずに、わずかな構成の追加だけで、セキュリティ性能を向上させることができる。 According to the above aspect of the present invention, it is possible to improve the security performance by adding only a few components without significantly changing or upgrading the existing control system.
本発明の目的、特徴、局面、および利点は、以下の詳細な説明と添付図面とによって、より明白となる。 The objects, features, aspects and advantages of the present invention will become more apparent from the following detailed description and the accompanying drawings.
以下、添付の図面を参照しながら実施形態について説明する。以下の説明では、同様の構成要素には同じ符号を付して図示し、それらの名称および機能も同様のものとする。よって、それらについての詳細な説明を省略する場合がある。 Hereinafter, embodiments will be described with reference to the accompanying drawings. In the following description, the same components are denoted by the same reference numerals, and the names and functions thereof are also the same. Therefore, the detailed description about them may be omitted.
<第1実施形態>
<構成>
図1は、本実施形態に関する制御システム、アクセス制御装置としてのセキュリティゲートウェイ、および、エンジニアリング端末の構成を概念的に示す図である。
<First Embodiment>
<Configuration>
FIG. 1 is a diagram conceptually illustrating the configuration of a control system, a security gateway as an access control device, and an engineering terminal according to the present embodiment.
制御システムは、プラントバス22、プログラマブルコントローラ23、および、オペレータステーション24を備える。
The control system includes a
プラントバス22は、工場またはプラントにおいて制御装置または操作卓を接続し、プラント稼働状況の監視または制御のための情報の通信を行うネットワークである。プラントバスは、一般的なネットワークに比べて、実時間性、可用性および耐故障性に優れる。
The
プログラマブルコントローラ23は、プログラムで定められた順序または条件等に従って、設備または機械の動作を制御する装置である。位置、速度または連続量を制御したり、装置間で情報交換したりすることも可能である。プログラマブルロジックコントローラともいう。
The
オペレータステーション24は、プラントの運手員が、プラント状態を監視および制御機器を操作するための監視制御端末である。
The
エンジニアリング端末20は、制御システムの遠隔地にある端末であり、操作画面25を有する。エンジニアリング端末20は、インターネット21等を介して、操作画面25から、制御システムのプログラマブルコントローラ23およびオペレータステーション24にアクセスできる。
The
インターネット21と制御システムとを接続する場合、ファイアウォール(firewall)または侵入検知システム(intrusion detection system)を介して接続することで、制御システムのセキュリティ性を高めることが一般的に行われている。本実施形態におけるセキュリティゲートウェイ10は、ファイアウォールまたは侵入検知システムと併用され、インターネット21とプラントバス22との接続部分に設置される。
When connecting the Internet 21 and the control system, it is a common practice to improve the security of the control system by connecting via a firewall or an intrusion detection system. The
通常、エンジニアリング端末20による制御システムの操作とは、プログラマブルコントローラ23が処理するプログラム27、システム構成またはアラーム設定等のパラメータ28、制御システムの入出力または内部カウンタ等のデータ29(タグデータ)への読み書きである。
Usually, the operation of the control system by the
特に制御システムの場合、データは計測器または調整器ごとに「タグ」と呼ばれるデータ構造にまとめられており、エンジニアリング端末20による制御システムの操作は、タグ単位で行われることが一般的である。
Particularly in the case of a control system, data is collected in a data structure called a “tag” for each measuring instrument or adjuster, and the operation of the control system by the
アクセス制御装置としてのセキュリティゲートウェイ10は、プロトコル解析部11、ユーザー認証部12、認証データベース13、アクセス制御部14およびアクセス制御データベース15を備える。認証データベース13およびアクセス制御データベース15は、例えば、ハードディスクまたはメモリ等によって構成される。
The
プロトコル解析部11は、ユーザーによって操作画面25から入力される制御システムへのアクセスプロトコルを解析し、どのプログラマブルコントローラ23またはオペレータステーション24の、どのプログラム27、パラメータ28、データ29およびタグデータに対して、どのような操作(読み出しまたは書き込み等)をするのかの情報を得る。すなわち、どの操作対象物に対して、どのような操作をするためのアクセスなのかについての情報を得る。そして、プロトコル解析部11は、そのアクセスプロトコルを制御システムに通してもよいかをアクセス制御部14に問い合わせるため、解析結果をアクセス制御部14に送る。
The
アクセス制御部14は、アクセス制御データベース15に記憶された、どのユーザーがどのデータ等を操作できるかをあらかじめ定義したデータ、すなわち、制御システムにおける各操作対象物について、当該操作対象物に対し操作を行う権限を有するユーザーを特定するデータであるアクセス制御データを参照し、プロトコル通過の可否を判定する。
The
プロトコルは、インターネット21上ではTCP/IPプロトコルを用い、そのペイロード部分に制御システム固有のプロトコル、例えばCC−LinkまたはFLnet等のプロトコルが格納される。プラントバス22上では、制御システム固有のプロトコルを用いて、プログラマブルコントローラ23またはオペレータステーション24にアクセスする。
As the protocol, a TCP / IP protocol is used on the Internet 21, and a protocol unique to the control system, for example, a protocol such as CC-Link or FLnet is stored in the payload portion. On the
プロトコル解析部11は、インターネット21上およびプラントバス22上の両方のプロトコルを解析し、特に制御プロトコルに関しては、どの計器または制御機器に対して、どのようなコマンドまたは操作を行っているのかまで解析する。
The
ただし、既存の制御システムへのアクセスプロトコルは、ユーザー情報を持たない場合が多い。その場合、アクセス制御部14は、操作画面25を操作しているユーザーが誰なのか、そのユーザー情報を別途得る必要がある。
However, access protocols to existing control systems often do not have user information. In that case, the
そこで、ユーザー認証部12が、エンジニアリング端末20に対して認証ダイアログ26を表示させ、制御システムへのアクセスを行うユーザーを特定するための情報であるユーザー情報、具体的にはユーザーIDおよびパスワードの入力を要求する。このユーザーIDおよびパスワードは、予め認証データベース13に登録されているものとする。
Therefore, the
入力されたユーザーID(ユーザー名)およびパスワードは、ユーザー認証部12において、認証データベース13に登録されているユーザーIDおよびパスワードと照合される。照合結果は、ユーザー認証部12からアクセス制御部14に送られ、アクセス制御部14においてプロトコル通過の可否の判定に使われる。
The input user ID (user name) and password are collated with the user ID and password registered in the
ユーザー認証部12は、ひとたび認証に成功した時からの経過時間である認証有効期間も管理する。例えば、認証成功してから(すなわち制御システムにログインしてから)1時間後に強制的に無効化(強制ログアウト)、あるいはプロトコル通過が10分間途絶えたら無効化等の方法によって管理する。
The
なお、セキュリティ規格には、パスワードの長さまたは強度(文字種類の数)、認証失敗時のリトライ回数、および、失敗時の措置(例えばロックアウト等)等のセキュリティ機能について規定されており、ユーザー認証部12は、これらのチェックまたは制御も行う。これらのセキュリティ機能は、例えばIEC62443−4−2に記載されている。
In addition, the security standards stipulate security functions such as password length or strength (number of character types), number of retries at the time of authentication failure, and measures for failure (for example, lockout). The
アクセス制御部14は、プロトコル解析部11において抽出された操作対象物および操作に関する情報と、アクセス制御データとを参照する。そして、アクセス制御部14は、ユーザー認証部12において特定されたユーザーが、抽出された操作対象物に対する操作を行う権限を有するユーザーであるか否かを判定する。そして、アクセス制御部14は、権限を有するユーザーである場合にはアクセスを許可し、権限を有さないユーザーである場合にはアクセスを許可しない。
The
抽出された操作対象物に対する操作を行う権限を有するユーザーである場合、プロトコル解析部11は、アクセス制御部14の判断に従い、当該プロトコルを操作対象のプログラマブルコントローラ23またはオペレータステーション24に中継する。一方、抽出された操作対象物に対する操作を行う権限を有するユーザーでない場合、プロトコル解析部11は、アクセス制御部14の判断に従い、プロトコル解析部11は当該プロトコルを破棄する。そして、プロトコル解析部11は、エンジニアリング端末20に対しプロトコルエラーの信号を返す。
If the user has the authority to operate the extracted operation target, the
セキュリティゲートウェイ10の認証データベース13およびアクセス制御データベース15は、専用設定ツールにより設定される。セキュリティリスクを回避するため、専用設定ツールは遠隔地のエンジニアリング端末20には搭載せず、制御システムからのみ操作可能とする。
The
本発明は、セキュリティ規格が要求する保護対象、すなわちプログラマブルコントローラのプログラム、パラメータ、データおよびアクチュエータへのアクセス制御を管理するセキュリティゲートウェイを、エンジニアリング端末と制御システムとの間に設置する。そして、エンジニアリング端末による制御システム内の保護対象の操作時に、ユーザーが対象へのアクセス権限(操作権限)があるか否かを判定し、プロトコルの通過の可否を判定する。 According to the present invention, a security gateway that manages access control to a protection target required by a security standard, that is, a program, parameter, data, and actuator of a programmable controller is installed between an engineering terminal and a control system. When the engineering terminal operates the protection target in the control system, it is determined whether or not the user has the authority to access the target (operation authority), and whether or not the protocol can be passed is determined.
また、既存の制御システムへのアクセスプロトコルは、ユーザー情報を持たない場合が多い。そのため、セキュリティゲートウェイは、エンジニアリング端末に対しユーザー情報に関する追加の認証を行うためのダイアログ(認証ダイアログ26)を表示させ、ユーザー認証を行う。セキュリティゲートウェイは、エンジニアリング端末から入力されたユーザー情報を解析し、必要ならば追加のユーザー認証を行い、そのユーザーによる対象へのアクセス(操作)の可否を判定する。 Also, access protocols for existing control systems often do not have user information. Therefore, the security gateway displays a dialog (authentication dialog 26) for performing additional authentication regarding user information on the engineering terminal, and performs user authentication. The security gateway analyzes the user information input from the engineering terminal, performs additional user authentication if necessary, and determines whether the user can access (operate) the target.
以上のように、セキュリティ規格が要求するユーザーごとの操作対象別の操作の可否を、セキュリティゲートウェイがまとめて判定することで、既存の制御システムにセキュリティゲートウェイを追加するだけで、規格に適合したセキュリティ機能を有する制御システムを得ることができる。 As described above, the security gateway collectively determines whether or not each user can perform operations that are required by the security standard. By simply adding a security gateway to an existing control system, security that conforms to the standard can be obtained. A control system having a function can be obtained.
ここで、図4において、図1に示された制御システム、セキュリティゲートウェイ、および、エンジニアリング端末についてのハードウェア構成を例示する。 Here, FIG. 4 illustrates a hardware configuration of the control system, security gateway, and engineering terminal shown in FIG.
コンピュータ端末120は、図1におけるエンジニアリング端末20に対応する。
The
セキュリティゲートウェイ110は、図1におけるセキュリティゲートウェイ10に対応する。
The
プログラマブルコントローラ123は、図1におけるプログラマブルコントローラ23に対応する。
The
コンピュータ端末124は、図1におけるオペレータステーション24に対応する。
The
<効果>
以下に、本実施形態による効果を例示する。
<Effect>
Below, the effect by this embodiment is illustrated.
本実施形態によれば、アクセス制御装置が、プロトコル解析部11と、受付部としての認証ダイアログ26と、認証データベース13と、アクセス制御データベース15と、ユーザー認証部12と、アクセス制御部14とを備える。
According to this embodiment, the access control device includes a
プロトコル解析部11は、ユーザーから入力されたアクセスプロトコルを解析し、操作対象物および操作に関する情報を抽出する。アクセスのためのアクセスプロトコルには、制御システムにおける少なくとも1つの操作対象物、および、当該操作対象物に対する少なくとも1つの操作に関する情報が含まれる。
The
認証ダイアログ26では、ユーザーから入力された、アクセスを行うユーザーを特定するための情報であるユーザー情報が入力される。
In the
認証データベース13は、ユーザー情報に対応するユーザーを特定する認証データを記憶する。
The
アクセス制御データベース15は、制御システムにおける各操作対象物について、当該操作対象物に対し操作を行う権限を有するユーザーを特定するアクセス制御データを記憶する。
The
ユーザー認証部12は、認証ダイアログ26において受け付けられたユーザー情報と認証データとに基づいて、ユーザーを特定する。
The
アクセス制御部14は、プロトコル解析部11において抽出された操作対象物および操作に関する情報とアクセス制御データとに基づいて、ユーザー認証部12において特定されたユーザーが、プロトコル解析部11において抽出された操作対象物に対する操作を行う権限を有するユーザーであるか否かを判定し、権限を有するユーザーである場合にはアクセスを許可し、権限を有さないユーザーである場合にはアクセスを許可しない。
The
このような構成によれば、既設の制御システムの大幅な変更またはバージョンアップをせずに、わずかなセキュリティ装置(アクセス制御装置)の追加だけで、セキュリティ性能を向上させることができる。具体的には、ユーザー、操作対象物および操作ごとに細かなアクセス制御が可能となる。また、アクセスプロトコルがユーザー情報を含んでいない場合でも、追加のユーザー認証を行うため、アクセスの可否と判断できる。 According to such a configuration, the security performance can be improved by adding a small number of security devices (access control devices) without significantly changing or upgrading the existing control system. Specifically, fine access control can be performed for each user, operation object, and operation. Even when the access protocol does not include user information, additional user authentication is performed, so it can be determined whether access is possible.
<第2実施形態>
<構成>
以下では、上記実施形態で説明した構成と同様の構成については同じ符号を付して図示し、その詳細な説明については適宜省略する。
Second Embodiment
<Configuration>
In the following, the same components as those described in the above embodiment are denoted by the same reference numerals, and detailed description thereof will be omitted as appropriate.
図2は、本実施形態に関する制御システム、セキュリティゲートウェイおよびエンジニアリング端末の構成を概念的に示す図である。 FIG. 2 is a diagram conceptually showing the configuration of the control system, security gateway, and engineering terminal according to this embodiment.
アクセス制御データベース15aは、プロトコル解析部11における外部からのリモートアクセス操作について記録を残す。特に、リモートアクセス操作があった時の時刻、リモートアクセス操作があったエンジニアリング端末20のIPアドレス、リモートアクセス操作を行ったユーザー名、入力されたアクセスプロトコルの種類あるいはコマンドの種類、操作対象となった計器または制御機器、および、アクセス制御の可否について記録する。
The
この記録を分析することで、制御システムへの攻撃者の発見、あるいは追跡が可能となる。攻撃者に対象制御システムの操作経験がなければ、攻撃者はリモートアクセス操作においてパスワードの入力失敗、または、存在しない制御機器を対象としたアクセス等の不正なエラーを犯すはずである。これらの不正なエラーを把握することで、攻撃あるいは侵入の兆候を知ることができる。 By analyzing this record, attackers can be found or tracked in the control system. If the attacker does not have experience in operating the target control system, the attacker should make an illegal error such as a password entry failure or access to a non-existing control device in the remote access operation. By grasping these illegal errors, it is possible to know signs of attack or intrusion.
認証データベース13aは、認証ダイアログ26における外部からのリモートアクセスに関するユーザー認証についての記録を残す。特に、リモートアクセス操作があった時の時刻、リモートアクセス操作があったエンジニアリング端末20のIPアドレス、リモートアクセス操作を行ったユーザー名、入力されたパスワード、バックスペースの入力、および、認証結果の可否について記録する。
The authentication database 13a keeps a record of user authentication related to remote access from outside in the
攻撃者は、他者になりすましてパスワードを入力しようとしても、打ち慣れていないので間違い、やり直しが必要となる場合が多い。その場合、バックスペースを入力したりパスワードを再入力したりすることが多い。これらの入力状況と認証結果とを記録しておくことで、なりすましの兆候を知ることができる。 Even if an attacker tries to enter a password by impersonating another person, he / she is not used to it and often needs to make mistakes and start over. In that case, the user often enters a backspace or re-enters a password. By recording these input status and authentication result, it is possible to know the sign of impersonation.
すなわち、本実施形態は、第1実施形態のアクセス制御およびユーザー認証において、その認証状況を記録することで、攻撃の発見あるいは侵入の兆候を見出すことを目的とする。 That is, the present embodiment aims to find an attack discovery or intrusion sign by recording the authentication status in the access control and user authentication of the first embodiment.
これらの記録は、セキュリティゲートウェイ10aに直結あるいはインターネット接続されたエンジニアリング端末20から、内容を確認することができる。あるいは、認証エラーが検出された場合に、セキュリティゲートウェイ10aの表示部に通知することができる。なお、セキュリティ対策としての侵入検知は侵入検知システム(IDS)と呼ばれる装置によって行われることが一般的であり、本実施形態ではIDSに提供するリモートアクセスおよび認証の記録を残すところまでについて述べている。
The contents of these records can be confirmed from the
<効果>
以下に、本実施形態による効果を例示する。
<Effect>
Below, the effect by this embodiment is illustrated.
本実施形態によれば、アクセス制御データベース15aは、プロトコル解析部11におけるユーザーからのアクセス履歴についても記憶する。
According to the present embodiment, the
このような構成によれば、制御システムへの攻撃者の発見、あるいは追跡が可能となる。そして、攻撃あるいは侵入の兆候を把握することで、必要となる対策を講じることができる。 According to such a configuration, an attacker can be found or tracked in the control system. Necessary measures can be taken by grasping the signs of attacks or intrusions.
また、本実施形態によれば、認証データベース13aは、認証ダイアログ26におけるユーザーからのアクセス履歴についても記憶する。
Further, according to the present embodiment, the authentication database 13a also stores the access history from the user in the
このような構成によれば、他社になりすまして制御システムへ攻撃しようとする者の発見、あるいは追跡が可能となる。そして、攻撃あるいは侵入の兆候を把握することで、必要となる対策を講じることができる。 According to such a configuration, it becomes possible to discover or trace a person who impersonates another company and attempts to attack the control system. Necessary measures can be taken by grasping the signs of attacks or intrusions.
<第3実施形態>
<構成>
以下では、上記実施形態で説明した構成と同様の構成については同じ符号を付して図示し、その詳細な説明については適宜省略する。
<Third Embodiment>
<Configuration>
In the following, the same components as those described in the above embodiment are denoted by the same reference numerals, and detailed description thereof will be omitted as appropriate.
図3は、本実施形態に関する制御システム、セキュリティゲートウェイおよびエンジニアリング端末の構成を概念的に示す図である。 FIG. 3 is a diagram conceptually illustrating the configuration of the control system, the security gateway, and the engineering terminal according to the present embodiment.
図3に示されたプログラマブルコントローラ23bおよびオペレータステーション24bにおける、データ29bおよびタグデータのタグデータは、タグデータが表現する計器または制御機器がメンテナンス中であることを意味するデータフラグである「札掛けフラグ」を内包している。
The tag data of the
札掛けフラグは、現場のメンテナンスの場合だけでなく、オペレータステーション24あるいはエンジニアリング端末20により、タグデータ内の設定値等を設定する場合にも、アラームの誤発または操作ミスを回避するために設定される。札掛けフラグが設定された札掛け中の計器または札掛け中の制御機器はメンテナンス作業者以外が操作することのないよう、プラント運転のルールが規定されており、該当機器への意図しない設定操作は回避される。
The billing flag is set not only for on-site maintenance but also when setting values in the tag data or the like by the
しかし、エンジニアリング端末20からのセキュリティ脅威は、札掛け中の計器または札掛け中の制御機器に対しても攻撃を加えるであろう。そこで、タグデータにおける札掛けフラグの設定については権限を持つユーザーのみが可能であり、札掛け中は札掛けフラグの設定を行ったユーザーのみが値の書き込みおよび札掛けフラグの解除を行う、という一般的なアクセス制御を提供しなければならない。
However, the security threat from the
アクセス制御データベース15bには、どのユーザーがどのタグデータについて札掛け可能であるか、すなわち、各調整対象物について、当該調整対象物に対し調整操作を行う権限を有するユーザーを特定するデータを予め登録しておく。札掛け要求のプロトコルである調整要求プロトコルに対し、アクセス制御部14bは、ユーザー認証部12からのユーザー情報を得て、そのユーザーが該当タグデータに対して札掛け可能か否かを判定する。すなわち、アクセス制御部14bは、プロトコル解析部11において抽出された調整対象物に関する情報とアクセス制御データとに基づいて、ユーザー認証部12において特定されたユーザーが、調整対象物に対する調整操作を行う権限を有するユーザーであるか否かを判定する。そして、アクセス制御部14bは、すでに該当タグデータが札掛け中であれば、要求に対しプロトコル解析部11を介してエラーを返す。該当タグデータが札掛け中でなく、かつ、当該ユーザーが権限を有するユーザーである場合にはアクセスを許可する。該当タグデータが札掛け中でなくとも、当該ユーザーが権限を有さないユーザーである場合にはアクセスを許可しない。
In the
札掛け要求が許可されれば、該当タグデータに誰が札掛けフラグを設定したのかがアクセス制御データベース15bに記録される。そして、アクセス制御部14は、プロトコル解析部11を介して、札掛け要求プロトコルをプログラマブルコントローラ23に送る。
If the billing request is permitted, who has set the billing flag in the corresponding tag data is recorded in the
同様に、エンジニアリング端末20から札掛け解除要求があった場合、アクセス制御部14bは、該当タグデータの札掛け者(当該タグデータに札掛けフラグを設定した者)と、札掛け解除要求を行っているユーザーとが一致するかを調べる。そして、アクセス制御部14bは、一致しない場合(不許可)であればプロトコル解析部11を介してエラーを返し、一致する場合(許可)であれば、アクセス制御データベース15bを更新し、プロトコル解析部11を介して、該当プロトコルをプログラマブルコントローラ23に送る。
Similarly, when there is a tagging release request from the
このように、第3実施形態によれば、計器および制御機器の札掛けフラグ設定操作に関するアクセス制御、および、当該タグデータへの排他制御が行われていない制御システムについて、セキュリティゲートウェイ10bの追加のみで、札掛けフラグ設定操作に関するアクセス制御、および、当該タグデータへの排他制御を追加することができる。
As described above, according to the third embodiment, only the addition of the
さらに、制御システムではデータやアクチュエータがメンテナンス中であることを示す「札掛け」情報を持つが、誰が札掛け中であるかは管理されていない。セキュリティゲートウェイは、札掛け要求を行うプロトコルのユーザー情報を管理することで、札掛け中のデータについて札掛けユーザー以外からの書き換えを拒否することができるので、セキュリティで求められるアクセス制御を制御システムに追加できる。 In addition, the control system has “tagging” information indicating that data and actuators are under maintenance, but it does not manage who is tagging. The security gateway manages the user information of the protocol that makes the billing request, and can rewrite the data being billed by anyone other than the billing user, so the access control required for security can be controlled by the control system. Can be added.
<変形例>
従来の制御システムの札掛けフラグの設定は、基本的に、調整作業前に、現場作業者が札掛けフラグを設定し、調整作業後に、現場作業者が札掛けフラグを解除するものである。しかし、作業が長引いて作業員が交代する場合、または、作業完了をオペレータが確認して中央制御室から札掛けフラグを解除する場合等もあり得るので、必ずしも原則通りとはならない。原則通りに現場作業者が設定および解除をできない場合、札掛けフラグの強制解除の処理が必要である。
<Modification>
In the conventional control system, the tagging flag is basically set so that the field worker sets the tagging flag before the adjustment work, and the field worker releases the tagging flag after the adjustment work. However, there is a case where the work is prolonged and the worker is changed, or the operator confirms the completion of the work and cancels the billing flag from the central control room. If the site worker cannot set and cancel as per the principle, it is necessary to forcibly cancel the billing flag.
また、札掛けフラグの設定操作は、現場作業者が制御システムの制御機器を直接操作することになるため、セキュリティの観点からは十分な対策が必要な操作でもある。そのため、札掛け要求する作業者が何らかの理由で札掛け解除操作が一定時間以上できない場合、すなわち、プロトコル解析部11に対し、調整操作を終了するための調整終了プロトコルの入力が一定時間以上されない場合に、制御システムの管理者あるいはセキュリティ管理者が、強制的に札掛け解除操作を行うことができるようにすることが必要である。 Also, the setting operation of the bill-hanging flag is an operation that requires a sufficient measure from the viewpoint of security because the field worker directly operates the control device of the control system. For this reason, when the operator who requests the tagging cannot perform the tagging release operation for a certain period of time for some reason, that is, when the input of the adjustment termination protocol for ending the adjustment operation is not performed for a certain period of time. In addition, it is necessary for the control system administrator or security administrator to be able to forcibly perform the tagging release operation.
具体的には、管理者権限において、アクセス制御データベース15bにおける該当札掛けフラグ記録を解除し、プログラマブルコントローラ23の該当札掛けフラグを解除する。アクセス制御部14bは、管理者権限による当該終了操作を許可する。プログラマブルコントローラ23の札掛けフラグを解除すると、その結果は制御システムのすべてのプログラマブルコントローラ23およびオペレータステーション24に対して自動的に通知される。また、オペレータステーション24では、札掛け解除をオペレータが確認できるように、当該内容が画面表示されるようにする。
Specifically, with the administrator authority, the corresponding billing flag recording in the
このように、札掛け作業者が替わった場合、あるいは札掛け作業のアクセスが途切れた場合でも、札掛けの強制解除を行うことができるので、現実の札掛け作業を阻害せずに、要求されるセキュリティ機能を実現することができる。 In this way, even if the billing worker is changed or the access to the billing work is interrupted, the billing can be forcibly released, so it is required without hindering the actual billing work. Security functions can be realized.
<効果>
以下に、本実施形態による効果を例示する。
<Effect>
Below, the effect by this embodiment is illustrated.
本実施形態によれば、プロトコル解析部11は、ユーザーから入力された調整要求プロトコルを解析し、調整対象物に関する情報を抽出する。ここで、制御システムの調整操作のための調整要求プロトコルには、制御システムにおける少なくとも1つの調整対象物に関する情報が含まれる。
According to the present embodiment, the
アクセス制御データベース15bは、制御システムにおける各調整対象物について、当該調整対象物に対し調整操作を行う権限を有するユーザーを特定するデータを記憶する。アクセス制御部14bは、プロトコル解析部11において抽出された調整対象物に関する情報とアクセス制御データとに基づいて、ユーザー認証部12において特定されたユーザーが、プロトコル解析部11において抽出された調整対象物に対する調整操作を行う権限を有するユーザーであるか否かを判定し、権限を有するユーザーである場合にはアクセスを許可し、権限を有さないユーザーである場合にはアクセスを許可しない。
The
このような構成によれば、計器および制御機器の札掛けフラグ設定操作に関するアクセス制御、および、当該タグデータへの排他制御が行われていない制御システムについて、セキュリティゲートウェイ10bの追加のみで、札掛けフラグ設定操作に関するアクセス制御、および、当該タグデータへの排他制御を追加することができる。
According to such a configuration, only the addition of the
また、本実施形態によれば、アクセス制御部14bは、調整操作に対応する、調整操作を終了するための調整終了プロトコルが一定時間以上プロトコル解析部11に入力されない場合、管理者権限による調整操作の終了を許可する。
Further, according to the present embodiment, the
このような構成によれば、札掛け作業者が替わった場合、あるいは札掛け作業のアクセスが途切れた場合でも、札掛けの強制解除を行うことができるので、現実の札掛け作業を阻害せずに、要求されるセキュリティ機能を実現することができる。 According to such a configuration, even if the billing worker is changed or the access to the billing work is interrupted, the billing can be forcibly released, so that the actual billing work is not hindered. In addition, the required security function can be realized.
上記実施形態で記載された各構成要素による作用は、少なくとも1つの、処理回路または電気回路において実施することができる。処理回路および電気回路には、プログラムされた演算処理装置を含む。処理回路には、集積回路(application specific integrated circuit、ASIC)、または、上記実施形態で記載された作用を実現するように変更された従来の回路要素等を含む。 The operation of each component described in the above embodiment can be performed in at least one processing circuit or electric circuit. The processing circuit and the electrical circuit include a programmed arithmetic processing unit. The processing circuit includes an integrated circuit (ASIC), or a conventional circuit element modified to realize the operation described in the above embodiment.
上記実施形態で記載された各構成要素による作用は、上記の処理回路または電気回路が、あらかじめ設定されたプログラムに従って動作することによって実施される。また、各構成要素による作用を実現するプログラムは、ハードディスクまたはメモリ等の記憶媒体に記憶される。 The operation of each component described in the above embodiment is implemented by the above processing circuit or electric circuit operating according to a preset program. In addition, a program that realizes the action of each component is stored in a storage medium such as a hard disk or a memory.
また、本発明は、各構成要素が複数の装置に分散して備えられる場合(システム)であってもよい。例えば、認証データベース13およびアクセス制御データベース15の少なくとも一方が、外部の機能部であってもよい。その場合、セキュリティゲートウェイ10内の他の機能部と互いに作用しあうことによって、全体としてアクセス制御装置の機能を果たすものとする。
Further, the present invention may be a case (system) in which each component is provided dispersedly in a plurality of devices. For example, at least one of the
上記実施形態では、各構成要素の寸法、形状、相対的配置関係または実施の条件等についても記載している場合があるが、これらはすべての局面において例示であって、本発明が記載されたものに限られることはない。よって、例示されていない無数の変形例(任意の構成要素の変形または省略、さらには、異なる実施形態間の自由な組み合わせを含む)が、本発明の範囲内において想定され得る。 In the above-described embodiment, the dimensions, shapes, relative arrangement relations, or implementation conditions of each component may be described. However, these are examples in all aspects, and the present invention has been described. It is not limited to things. Accordingly, countless variations that are not illustrated (including modifications or omissions of arbitrary components and free combinations between different embodiments) can be envisaged within the scope of the present invention.
10,10a,10b,110 セキュリティゲートウェイ、11 プロトコル解析部、12 ユーザー認証部、13,13a 認証データベース、14,14b アクセス制御部、15,15a,15b アクセス制御データベース、20 エンジニアリング端末、21 インターネット、22 プラントバス、23,23b,123 プログラマブルコントローラ、24,24b オペレータステーション、25 操作画面、26 認証ダイアログ、27 プログラム、28 パラメータ、29,29b データ、120,124 コンピュータ端末。 10, 10a, 10b, 110 Security gateway, 11 Protocol analysis unit, 12 User authentication unit, 13, 13a Authentication database, 14, 14b Access control unit, 15, 15a, 15b Access control database, 20 Engineering terminal, 21 Internet, 22 Plant bus, 23, 23b, 123 Programmable controller, 24, 24b Operator station, 25 Operation screen, 26 Authentication dialog, 27 Program, 28 Parameters, 29, 29b Data, 120, 124 Computer terminal.
Claims (6)
前記アクセスのためのアクセスプロトコルには、前記制御システムにおける少なくとも1つの操作対象物、および、当該操作対象物に対する少なくとも1つの操作に関する情報が含まれ、
前記ユーザーから入力された前記アクセスプロトコルを解析し、前記操作対象物および前記操作に関する情報を抽出するプロトコル解析部と、
前記ユーザーから入力された、前記アクセスを行う前記ユーザーを特定するための情報であるユーザー情報を受け付ける受付部と、
前記ユーザー情報に対応する前記ユーザーを特定する認証データを記憶する認証データベースと、
前記制御システムにおける各前記操作対象物について、当該操作対象物に対し前記操作を行う権限を有するユーザーを特定するアクセス制御データを記憶するアクセス制御データベースと、
前記受付部において受け付けられた前記ユーザー情報と前記認証データとに基づいて、前記ユーザーを特定するユーザー認証部と、
前記プロトコル解析部において抽出された前記操作対象物および前記操作に関する情報と前記アクセス制御データとに基づいて、前記ユーザー認証部において特定された前記ユーザーが、前記プロトコル解析部において抽出された前記操作対象物に対する前記操作を行う権限を有するユーザーであるか否かを判定し、前記権限を有するユーザーである場合には前記アクセスを許可し、前記権限を有さないユーザーである場合には前記アクセスを許可しないアクセス制御部とを備える、
アクセス制御装置。 An access control device for controlling user access to the control system;
The access protocol for the access includes information on at least one operation object in the control system and at least one operation on the operation object,
A protocol analysis unit that analyzes the access protocol input from the user and extracts information about the operation target and the operation;
A reception unit that receives user information that is input from the user and is information for specifying the user performing the access;
An authentication database for storing authentication data for identifying the user corresponding to the user information;
For each of the operation objects in the control system, an access control database that stores access control data that identifies a user who has the authority to perform the operation on the operation object;
A user authentication unit that identifies the user based on the user information and the authentication data received by the reception unit;
Based on the operation object extracted in the protocol analysis unit, information related to the operation, and the access control data, the user specified in the user authentication unit is extracted from the operation target. It is determined whether or not the user has the authority to perform the operation on the object. An access control unit that is not permitted,
Access control device.
前記プロトコル解析部は、前記ユーザーから入力された前記調整要求プロトコルを解析し、前記調整対象物に関する情報を抽出し、
前記アクセス制御データベースは、前記制御システムにおける各前記調整対象物について、当該調整対象物に対し前記調整操作を行う権限を有するユーザーを特定するデータを記憶し、
前記アクセス制御部は、前記プロトコル解析部において抽出された前記調整対象物に関する情報と前記アクセス制御データとに基づいて、前記ユーザー認証部において特定された前記ユーザーが、前記プロトコル解析部において抽出された前記調整対象物に対する前記調整操作を行う権限を有するユーザーであるか否かを判定し、前記権限を有するユーザーである場合には前記アクセスを許可し、前記権限を有さないユーザーである場合には前記アクセスを許可しない、
請求項1に記載のアクセス制御装置。 The adjustment request protocol for the adjustment operation of the control system includes information on at least one adjustment object in the control system,
The protocol analysis unit analyzes the adjustment request protocol input from the user, extracts information on the adjustment target,
The access control database stores, for each of the adjustment objects in the control system, data specifying a user who has authority to perform the adjustment operation on the adjustment object,
The access control unit extracts the user specified in the user authentication unit based on the information on the adjustment target extracted in the protocol analysis unit and the access control data, in the protocol analysis unit. It is determined whether or not the user has the authority to perform the adjustment operation on the object to be adjusted. Does not allow the access,
The access control apparatus according to claim 1.
請求項2に記載のアクセス制御装置。 The access control unit, when an adjustment termination protocol for ending the adjustment operation corresponding to the adjustment operation is not input to the protocol analysis unit for a predetermined time or more, permits the adjustment operation to be terminated by an administrator authority.
The access control apparatus according to claim 2.
請求項1から3のうちのいずれか1項に記載のアクセス制御装置。 The access control database also stores access history from the user in the protocol analysis unit,
The access control apparatus according to any one of claims 1 to 3.
請求項1から4のうちのいずれか1項に記載のアクセス制御装置。 The authentication database stores at least a user name and a password;
The access control apparatus according to any one of claims 1 to 4.
請求項1から5のうちのいずれか1項に記載のアクセス制御装置。 The authentication database also stores an access history from the user in the reception unit.
The access control apparatus according to any one of claims 1 to 5.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014079069A JP2015201021A (en) | 2014-04-08 | 2014-04-08 | Access controller |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014079069A JP2015201021A (en) | 2014-04-08 | 2014-04-08 | Access controller |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015201021A true JP2015201021A (en) | 2015-11-12 |
Family
ID=54552233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014079069A Pending JP2015201021A (en) | 2014-04-08 | 2014-04-08 | Access controller |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015201021A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016118965A1 (en) | 2015-10-09 | 2017-04-13 | Kabushiki Kaisha Toyota Jidoshokki | Electric compressor |
US11297563B2 (en) | 2017-12-18 | 2022-04-05 | Nec Corporation | Communication apparatus, communication system, communication control method, and program |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003295943A (en) * | 2002-03-29 | 2003-10-17 | Yamatake Corp | Facility control system |
US20060155865A1 (en) * | 2005-01-06 | 2006-07-13 | Brandt David D | Firewall method and apparatus for industrial systems |
JP2009032032A (en) * | 2007-07-27 | 2009-02-12 | Hitachi Ltd | Monitoring control system |
JP2009251943A (en) * | 2008-04-07 | 2009-10-29 | Hitachi High-Tech Control Systems Corp | Process monitoring control system, operation table used for the same, and operation authority setting method |
JP2011100443A (en) * | 2009-09-24 | 2011-05-19 | Fisher-Rosemount Systems Inc | Integrated unified threat management for process control system |
JP2012194762A (en) * | 2011-03-16 | 2012-10-11 | Toshiba Corp | Management controller |
-
2014
- 2014-04-08 JP JP2014079069A patent/JP2015201021A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003295943A (en) * | 2002-03-29 | 2003-10-17 | Yamatake Corp | Facility control system |
US20060155865A1 (en) * | 2005-01-06 | 2006-07-13 | Brandt David D | Firewall method and apparatus for industrial systems |
JP2009032032A (en) * | 2007-07-27 | 2009-02-12 | Hitachi Ltd | Monitoring control system |
JP2009251943A (en) * | 2008-04-07 | 2009-10-29 | Hitachi High-Tech Control Systems Corp | Process monitoring control system, operation table used for the same, and operation authority setting method |
JP2011100443A (en) * | 2009-09-24 | 2011-05-19 | Fisher-Rosemount Systems Inc | Integrated unified threat management for process control system |
JP2012194762A (en) * | 2011-03-16 | 2012-10-11 | Toshiba Corp | Management controller |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016118965A1 (en) | 2015-10-09 | 2017-04-13 | Kabushiki Kaisha Toyota Jidoshokki | Electric compressor |
US11297563B2 (en) | 2017-12-18 | 2022-04-05 | Nec Corporation | Communication apparatus, communication system, communication control method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102137773B1 (en) | System for transmitting secure data via security application and method thereof | |
CN110083129B (en) | Industrial controller module, method for implementing security thereof, and computer-readable medium | |
US10044749B2 (en) | System and method for cyber-physical security | |
US9197652B2 (en) | Method for detecting anomalies in a control network | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US8667589B1 (en) | Protection against unauthorized access to automated system for control of technological processes | |
US11283810B2 (en) | Communication control method and communication control device for substituting security function of communication device | |
EP3036928B1 (en) | Mobile device authentication | |
US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US20210249145A1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
JP6640802B2 (en) | Edge server and application security management system | |
Serhane et al. | Programmable logic controllers based systems (PLC-BS): Vulnerabilities and threats | |
US20150200964A1 (en) | Method and apparatus for advanced security of an embedded system and receptacle media | |
CN103985228A (en) | System and method to aggregate control of multiple devices | |
JP2015201021A (en) | Access controller | |
WO2016092834A1 (en) | Communication monitoring system, degree-of-importance calculation device and calculation method thereof, presentation device, and recording medium in which computer program is stored | |
KR101522139B1 (en) | Method for blocking selectively in dns server and change the dns address using proxy | |
US20100265039A1 (en) | Systems and Methods for Securing Control Systems | |
CN112583597A (en) | System and method for identifying computer network devices using inventory rules | |
JP2019041288A (en) | Control device | |
KR101641306B1 (en) | Apparatus and method of monitoring server | |
US9124581B2 (en) | Industrial automation system and method for safeguarding the system | |
EP2819053A1 (en) | Diagnosing a device in an automation and control system | |
CN113885425A (en) | Industrial field PLC network safety operation and maintenance method | |
JP7150425B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160923 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170825 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170905 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180306 |