JP2016126638A - ログ収集システムおよびログ収集方法 - Google Patents

ログ収集システムおよびログ収集方法 Download PDF

Info

Publication number
JP2016126638A
JP2016126638A JP2015001339A JP2015001339A JP2016126638A JP 2016126638 A JP2016126638 A JP 2016126638A JP 2015001339 A JP2015001339 A JP 2015001339A JP 2015001339 A JP2015001339 A JP 2015001339A JP 2016126638 A JP2016126638 A JP 2016126638A
Authority
JP
Japan
Prior art keywords
log
dummy
communication packet
management server
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015001339A
Other languages
English (en)
Other versions
JP6356075B2 (ja
Inventor
博隆 吉田
Hirotaka Yoshida
博隆 吉田
信 萱島
Makoto Kayashima
信 萱島
大和田 徹
Toru Owada
徹 大和田
宏樹 内山
Hiroki Uchiyama
宏樹 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015001339A priority Critical patent/JP6356075B2/ja
Priority to PCT/JP2015/081204 priority patent/WO2016111079A1/ja
Publication of JP2016126638A publication Critical patent/JP2016126638A/ja
Application granted granted Critical
Publication of JP6356075B2 publication Critical patent/JP6356075B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Selective Calling Equipment (AREA)
  • Telephonic Communication Services (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とする。【解決手段】ログ収集システム100において、所定規則に基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログを含む通信パケットをログ管理サーバ140へ送信する処理を実行する情報処理装置110と、情報処理装置110から通信パケットを受信し、当該通信パケットの含むログが真正またはダミーのいずれのログであるか、情報処理装置110と共有する所定規則に基づいて検証し、真正ログについて収集する処理を実行するログ管理サーバ140を含む構成とする。【選択図】図1

Description

本発明は、ログ収集システムおよびログ収集方法に関するものであり、具体的には、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とする技術に関する。
鉄道、電力、水道、ガスを含む社会インフラを支える制御システムは、センサの計測情報等に基づいてバルブ(valve)やアクチュエータ(actuator)等の所定機構を動作させ、予め設定されている圧力や温度の維持といった制御動作が要求される。これら一連の制御処理は、制御システムにおける制御コントローラを含む制御装置が実施する。
こうした制御システムは、閉じたネットワーク内に構築され、また、専用のOSおよびプロトコルが使用されてきたため、早期にオープン化、ネットワーク化が進展した情報システムとは異なり、ウィルスによる攻撃等のセキュリティ脅威にさらされることがない、または攻撃されても被害は発生しないと考えられてきた。
しかし近年では、制御システムをインターネット等の外部ネットワークに接続する構成が増加しており、更には、制御システムのネットワーク装置への汎用OS採用も開始され始めている。そうしたネットワーク化、オープン化の情勢に伴い、制御システムを攻撃対象としたウィルス(具体的にはスタクスネット)も出現している。
一方、制御システムに対するセキュリティ基準は、これまで米国NIST(National Institute of Standards and Technology)、英国CPNI(Centre for the Protection of National Infrastructure)を含む各国の研究機関または業界団体が主体となり、各国の基準および業界標準を策定していた。また、全世界共通のセキュリティ基準の必要性から、2009年にIEC(International Electrotechnical Commission)において制御システムのセキュリティに関する国際標準の策定が開始されている。
このような国際的なセキュリティ基準策定の流れを受け、各種脅威から制御システムを保護するべく、制御コントローラを含む制御装置においても、情報システムと同様のセキュリティ機能の導入およびセキュリティ対策運用が必要になっている。
例えば、制御装置に対する脅威として、制御装置の通信ドライバに対して、イーサネット(登録商標)に接続した他機器から故意に大量のパケットを送信し、通信周期、アプリケーションタスクの動作タイミングを狂わせるといった脅威が挙げられる。こうした脅威に対する対策として、制御コントローラの動作状態やセキュリティ状態等を監視し、この監視により得た各種のログを監査用のデータとしてユーザに提供する対策が挙げられる。この対策を実現するためには、制御装置において、動作状態やセキュリティ状態に関する事象の記録であるログを生成する必要がある。
一方、上述の制御装置は、短周期での制御処理を高頻度に実行する動作条件にて、計算リソース(CPUやメモリ)における制御業務の占有部が大きいという制約があり、本来業務以外の各種ログの生成と蓄積をあわせて実行することは困難であった。したがって、制御装置ではログの生成、送信のみを行い、このログをログ管理サーバが蓄積し分析する
ことが必要となるが、制御装置とログ管理サーバの間の通信路(制御LAN等)においては、データの真正性を侵害する改ざん攻撃等のリスクがあり、セキュリティ技術を適用してログを保護する必要がある。
こうしたネットワークを介したログ収集に関する従来技術としては、例えば、ログ取得端末との間での共通鍵をハードウェアセキュリティモジュールに格納し、収集したログデータを上述の共通鍵を用いて暗号化ログデータとして暗号化して格納するログ収集端末と、上述の共通鍵をハードウェアセキュリティモジュールに格納し、ログ収集端末から暗号化ログデータを取得し、取得された暗号化ログデータを共通鍵を用いて復号化するログ取得端末とからなるログ取得システム(特許文献1参照)などが提案されている。この従来技術によれば、通信ログを暗号化して保護し、暗号鍵の不正入手によるログデータの漏洩防止することが可能となり、また、ログ情報の改ざん防止と正しいログ情報の参照も可能となる。
WO2008/117556
しかしながら従来技術においては以下の問題点が存在する。
すなわち、制御システム運用時における制御装置でのログ生成処理に伴い、ログ保護のための暗号化処理を実行する必要があるため、制御装置における処理負荷が高まり、リアルタイム性が求められる制御業務に遅延等の悪影響が及ぶリスクがある。また、前述のログの暗号化処理に伴う処理負荷は、ログ生成量に応じて増大する性質があり、制御装置の動作周期等によっては上述の悪影響のリスクが更に高まる恐れがある。
更に、制御装置からログ管理サーバに送信される通信パケットについて、ログの格納形態と、通信時におけるネットワーク帯域圧迫とに関して考慮がなく、ログ用パケットの送信に伴う通信パケットの増加により、ネットワーク帯域が圧迫されるリスクがある。
そこで本発明の目的は、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とする技術を提供することにある。
上記課題を解決する本発明のログ収集システムは、所定規則に基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログを含む通信パケットをログ管理サーバへ送信する処理を実行する情報処理装置と、前記情報処理装置から通信パケットを受信し、当該通信パケットの含むログが真正またはダミーのいずれのログであるか、前記情報処理装置と共有する前記所定規則に基づいて検証し、真正ログについて収集する処理を実行するログ管理サーバとを含むことを特徴とする。
また、本発明のログ収集方法は、情報処理装置が、所定規則に基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログを含む通信パケットをログ管理サーバへ送信する処理を実行し、ログ管理サーバが、前記情報処理装置から通信パケットを受信し、当該通信パケットの含むログが真正またはダミーのいずれのログであるか、前記情報処理装置と共有する前記所定規則に基づいて検証し、真正ログについて収集する処理を実行する、ことを特徴とする。
本発明によれば、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集が可能となる。特に、通信パケットごとの暗号化処理等は不要であり、制御装置やネットワークに負荷がかかりにくいタイミングで事前準備したログ認証テーブルを用いることで低負荷かつセキュアな処理が可能となる。
第1実施形態におけるログ収集システムの構成例を示す図である。 第1実施形態における各装置のハードウェア構成例を示す図である。 第1実施形態におけるログ収集方法の全体概要を示すシーケンス図である。 第1実施形態におけるログ収集方法の処理手順例1を示すフロー図である。 第1実施形態におけるログ解析結果のフォーマット例を示す図である。 第1実施形態におけるダミーログのフォーマット例を示す図である。 第1実施形態におけるログ認証テーブルの構成例を示す図である。 第1実施形態におけるログ収集方法の処理手順例2を示すフロー図である。 第1実施形態における通信パケットのフォーマット例を示す図である。 第1実施形態におけるログ収集方法の処理手順例3を示すフロー図である。 第2実施形態におけるログ収集方法の処理手順例1を示すフロー図である。 第2実施形態における通信パケットのフォーマット例を示す図である。 第2実施形態におけるログ収集方法の処理手順例2を示すフロー図である。 第3実施形態におけるログ収集システムの構成例を示す図である。 第3実施形態におけるログ収集方法の処理手順例1を示すフロー図である。 第3実施形態におけるログ収集方法の処理手順例2を示すフロー図である。
<第1実施形態>
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態におけるログ収集システム100の構成例を示す図である。図1に示すログ収集システム100は、制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集を可能とするコンピュータシステムである。
図1に例示するように、本実施形態のログ収集システム100は、インフラ設備等においてログを含む通信パケットを生成、送信する制御装置110、130と、この制御装置110、130からログを含む通信パケットを受信してログ収集を行うログ管理サーバ140と、制御装置110、130とログ管理サーバ140との間を結ぶネットワーク190と、を含んで構成されている。なお、本実施形態では、二つの制御装置110、130がネットワーク190を介してログ管理サーバ140と通信可能な構成を例示するが、制御装置の数はこれに限定しない。図1の構成における制御装置数は一例である。また、特に区別する必要の無い場合、制御装置に関する以後の説明においては、制御装置110を代表させるものとする。
ログ収集システム100のうち制御装置110は、インフラ設備等に設置されているセンサの計測情報等に基づいてバルブ(valve)やアクチュエータ(actuator
)等の所定機構を動作させ、予め設定されている圧力や温度の維持といった制御動作を実行する装置であり、通信部111、通信パケット生成部112、ログ生成部117、ログ送信制御部113、真正ログ記憶部115、およびログ認証テーブル記憶部116、を含んで構成されている。こうした構成は制御装置130でも同様である。また、上述の各部は、制御装置110が備えるプログラムを実行することで実装される機能と言える。この点はログ管理サーバ140でも同様である。
このうち上述の通信部111は、通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140に送信する。また、通信パケット生成部112は、真正またはダミーのログとログ認証テーブル900に基づくインデックス(検証用データ)を選択的に含めた通信パケットを生成する。また、ログ送信制御部113は、ログ認証テーブル900(所定規則)に基づいて真正またはダミーのいずれのログを含む通信パケットを送信するかを制御する。また、真正ログ記憶部115は、制御装置110が上述のセンサの計測情報等(例:所定部位の温度、圧力等々)に基づき生成するログ(真正)を格納する。また、ログ認証テーブル記憶部116は、ログ管理サーバ140から提供され、ログ管理サーバ140と共有するログ認証テーブル900(図7に基づき後述)を格納する。
一方、ログ管理サーバ140は、上述したようにネットワーク190を介して制御装置110らと通信してログ認証テーブル900の共有と、ログ収集処理を実行するサーバ装置であり、暗復号処理部141、ログ認証テーブル生成部142、通信パケット検証部143、ログ解析部148、ログ記憶部144、鍵情報記憶部145、ログ認証テーブル記憶部146、および通信部147、を含んで構成されている。
このうち上述の通信部147は、ネットワーク190を介して制御装置110等から上述の通信パケットを受信する。また、暗復号処理部141は、乱数発生用の関数による乱数の生成と秘密鍵等による復号処理といった暗号処理を行う。また、ログ認証テーブル生成部142は、ログ解析部148が出力するログ解析結果(例:ログ収集システムの試運転時などに制御装置110から得たログの解析結果)を用いてダミーログを生成するなどし、ログ認証テーブル900の生成を行う。また、通信パケット検証部143は、制御装置110から受信した通信パケットの含むログが真正かダミーかをインデックスに基づいてログ認証テーブル900にて検証する。また、ログ解析部148は、制御装置110から受信した通信パケットの含むログを解析する。また、ログ記憶部144は、制御装置110から受信した通信パケットの含むログを通信パケット検証部が検証し、真正ログと判断したログのデータを格納する。また、鍵情報記憶部145は、暗復号処理部141が入力として使用する鍵情報を格納する。また、ログ認証テーブル記憶部146は、通信パケット検証部143がログを検証するために入力として使用するログ認証テーブル900を格納する。
−−ハードウェア構成−−−
続いて、上述したログ収集システム100を構成する、ログ管理サーバ140、制御装置110のハードウェア構成の例について説明する。ここでは計算機として説明を行うこととする。図2にて例示する計算機は、記憶装置11、CPU13、入出力装置14、および通信装置15を含んで構成される。
このうち記憶装置11は、適宜な不揮発性記憶素子等で構成される記憶装置であり、ログ管理サーバ140または制御装置110として必要な機能を実装するためのプログラム12と、ログ認証テーブル900等の各種データとを保持している。
また、CPU13は、上述の記憶装置11に保持されるプログラム12を実行し計算機
自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なう演算装置である。
また、入出力装置14は、ログ管理サーバ140には備わらず、制御装置110に備わる構成を想定し、この場合、制御対象に設置されたセンサから送られてくる計測信号を通信装置15を介して取得する処理と、同じく通信装置15を介してアクチュエータ等の所定機構に信号を出力する処理を担う装置である。
また、通信装置15は、他装置との通信処理を担う装置であり、ネットワークインターフェイスカードや無線通信ユニット等を想定出来る。ログ管理サーバ140における通信装置15の場合、ネットワーク190と接続して制御装置110と通信する。また、制御装置110における通信装置15の場合、上述のセンサまたはアクチュエータと所定の通信プロトコルにて通信し、また、ログ管理サーバ140と通信する。
−−−ログ収集方法の全体概要−−−
以下、本実施形態におけるログ収集方法の実際手順について図に基づき説明する。以下で説明するログ収集方法に対応する各種動作は、ログ収集システム100を構成する上述の制御装置110、ログ管理サーバ140らが実行するプログラム12によって実現される。そして、このプログラム12は、以下に説明される各種の動作を行うためのコードから構成されている。
図3は、第1実施形態におけるログ収集方法の全体概要を示すシーケンス図である。ここでは、図3のシーケンス図を参照しつつ、制御装置110とログ管理サーバ140のログ収集処理の全体概要について説明する。なお、通信パケットに含めるログを真正ログまたはダミーログのいずれにするか決定するために、上述のログ認証テーブル900を用いるものとする。詳細は後述(図7)するが、このログ認証テーブル900は、ログを含む通信パケットの送信順序を指定するインデックスを格納しており、また、各インデックスに対応するデータとして、ダミーのログまたはそのインデックスで受信するログが真正ログであることを表す定数値のいずれかを格納している。
この場合、制御装置110とログ管理サーバ140は、ログ認証テーブル秘匿共有処理フェーズと、ログ収集フェーズとに分けて、それぞれのフェーズに応じた処理を行う。始めに、「試運転時」において、ログ管理サーバ140と制御装置110との間で、ログ認証テーブル秘匿共有処理(S201)を実行し、ログ認証テーブル900の事前秘匿共有を行う。試運転時とは、制御装置110の通常動作(本発明のログ収集動作と無関係の動作)を行っていないか、本番環境ではない状況などであり、本実施形態のログ収集システム100を試験的に動作させて、ログ認証テーブル900の生成、共有等を図るためのタイミングとなる。換言すると、制御装置110への影響が最低限になるタイミングである。
上述のログ認証テーブル秘匿共有処理(S201)において、制御装置110は、ログを含む通信パケットを生成し、これをログ管理サーバ140に送信する(S313)。
一方、ログ管理サーバ140は、制御装置110から上述の通信パケットを受信し(S411)、この通信パケットが含むログに基づきダミーログを生成する(S413)。次にログ管理サーバ140は、乱数生成処理(S414)を行い、これに伴いインデックスを含むログ認証テーブル900を生成し、制御装置110に送信する(S416)。
他方、制御装置110は、ログ管理サーバ140から上述のログ認証テーブル900を受信し(S314)、ログ認証テーブル記憶部116に格納する。以上のログ認証テーブル秘匿共有処理の詳細については図4に基づき後述する。
上述のログ認証テーブル秘匿共有処理の実行後、通常運転時において、制御装置110が、ログ認証テーブル900を参照し(S502)、ログ送信制御処理(S318)によって、真正またはダミーのログのいずれを通信パケットに含めるか判定した上で、ログ送信処理(S202)を実行する。
一方、ログ管理サーバ140は、ログ認証テーブル900を参照し(S603)、上述の制御装置110から受信した通信パケットが含むインデックスに基づいて、該当ログが真正またはダミーのいずれであるか検証するログ検証処理(S318)を実行し、真正ログについてログ記憶部144に格納するログ収集処理(S203)を実行する。こうしたログ送信処理(S202)とログ収集処理(S203)の詳細については、図8、6に基づき後述する。
−−−ログ認証テーブル秘匿共有処理−−−
図4は第1実施形態におけるログ収集方法の処理手順例1を示すフロー図であり、具体的には、試運転時にログ収集システム内で実施するログ認証テーブル秘匿共有処理(図3:S201)の詳細フローである。
この場合、制御装置110のログ生成部117は、予め備わる既存機能(例:OSにおけるシステム監視機能など)にて得た、制御装置自身の動作状態やセキュリティ状態等に関する値からログを生成し、これを真正ログ記憶部115に格納する(S311)。
次に、制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーション(例:制御装置としての本来動作であるインフラ設備等の制御を行うためのアプリケーション)から取得するデータ(例:制御結果等のデータ)と、上述のログ生成部117が生成した真正ログと、真正ログの送信に応じてログ送信制御部113が出力する「真正」に対応する情報を、ネットワーク190の通信プロトコルに応じた所定パケットに設定し、通信パケットを生成する(S312)。
通信部111は、上述の通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信する(S313)。
一方、ログ管理サーバ140の通信部147は、上述の通信パケットを制御装置110から受信し、該当通信パケットから真正ログを取得して、これをログ記憶部144に格納する(S411)。
続いてログ管理サーバ140のログ解析部148は、ログ記憶部144に格納された上述の真正ログを所定アルゴリズムで解析することによりログ解析結果を作成する(S412)。このログ解析結果の詳細を図5に示す。
図5に例示するログ解析結果700は、例えば複数の真正ログがそれぞれ含んでいた機器の状態A、機器の状態B、セキュリティの状態C、およびセキュリティの状態D、の各値の分布範囲を「取りうる値」として、ログ解析部148が特定した結果である。なお、図5のログ解析結果の例では、ログ項目が上述の4種の場合を示しているがこれに限らない。
ログ解析結果700のうち、機器の状態A700−1と機器の状態B700−2は、制御装置110が設置された機器の動作状態等を示す情報である。こうした機器の状態は、温度と圧力など一般に複数の観点で監視される。ここでは状態Aと状態Bがある場合を想
定している。また、セキュリティの状態C700−3と、セキュリティの状態D700−4は、制御装置110が設置された機器のセキュリティの状態を示す情報である。機器のセキュリティ状態は、一般に複数の観点で監視される。ここではセキュリティ状態Cとセキュリティ状態Dがある場合を想定している。
図5におけるログ解析結果700の例では、機器の状態A700−1というログ項目に関しては0から10の値を取りうることを、また、機器の状態B700−2というログ項目に関しては50から70の値を取りうることを、また、セキュリティ状態C700−3というログ項目に関しては10から30の値を取りうることを、また、セキュリティ状態D700−4というログ項目に関しては80から90の値を取りうることを、それぞれ示している。
ここで図4のフローの説明に戻る。次にログ管理サーバ140の暗復号処理部141は、鍵情報記憶部145に格納された鍵情報を所定関数の入力とした所定の暗号処理を行い、乱数列を生成する(S414)。
また、ログ管理サーバ140のログ認証テーブル生成部142は、インデックスの生成と、これに伴うログ認証テーブル900の生成を行い、このログ認証テーブル900をログ認証テーブル記憶部146に格納する(S415)。より具体的には、ログ認証テーブル生成部142は、例えば1からn(nは、0<nの整数)までの数列たるインデックス群を生成し、このインデックス群のうち、上述のステップS414で得た乱数列の所定桁の値に応じたインデックスについては、真正ログに対応したインデックスと決定し、その他のインデックスについてはダミーログに対応したインデックスと決定する。また、ログ認証テーブル生成部142は、上述のステップS412で得ているログ解析結果が示す各ログ項目について、該当ログ項目が取り得る範囲に収まるダミー値(例:乱数の発生関数を利用して得た乱数値のうち該当範囲にあるものを選定した値)を設定してダミーログを生成し、これを、上述のインデックスのうちダミーログに対応したインデックスに対応付けてレコードを生成し、ログ認証テーブル900に格納する。他方、真正ログに対応したインデックスに対しては、例えば上述の各ログ項目の値を「0」と設定してレコードを生成し、ログ認証テーブル900に格納する。こうしてログ認証テーブル900が生成される。
上述のダミーログの具体例を図6に、また、ログ認証テーブル900の具体的な例を図7にて示す。図6に例示するダミーログ列800は、ダミーログ801、ダミーログ802、およびダミーログ803をそれぞれ示すものであり、各ダミーログは、上述の機器の状態A700−1、機器の状態B700−2、セキュリティの状態C700−3、およびセキュリティの状態D700−4の、それぞれ取りうる値の範囲からランダムに選ばれた値が設定されたものである。例えば、機器の状態A700−1の取りうる値の範囲は、ログ解析結果700より「0から10」の値であることから、ダミーログ801、ダミーログ802、ダミーログ803のそれぞれにおける機器の状態A700−1に対応するフィールドは、それぞれ、「5」、「8」、「2」である。他のログ項目についても同様である。
また、図7に例示するログ認証テーブル900は、上述の暗復号処理部141がステップS414で生成した乱数列、「2」、「5」、「11」を値に持つインデックスを、真正ログに対応したインデックスとし、その他のインデックス「1」、「3」、「4」、「6」〜「10」をダミーログに対応したインデックスとし、このうちダミーログに対応したインデックスには、ダミーログ生成部149が生成したダミーログ801、ダミーログ802、ダミーログ803のデータが「値」として設定されている。他方、真正ログに対応したインデックスには、定数値(0、0、0、0)等が設定された構成となっている。
ログ認証テーブルのログを使い切った場合には、ログ認証テーブルを再生成してもよい。なお、暗号学的乱数の安全性の観点から、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めてもよい。たとえば、乱数の周期がpで、各インデックスの個数がD個のログ認証テーブルをs回生成するとすると、sは、p<D×sを満たす数である。
ここで再び図4のフローの説明に戻る。次にログ管理サーバ140の通信部147は、ログ認証テーブル記憶部146に格納されたログ認証テーブル900を、ネットワーク190を介して制御装置110に送信する(S416)。
一方、制御装置110の通信部111は、上述のログ管理サーバ140が送信してきたログ認証テーブル900を受信し、これをログ認証テーブル記憶部116に格納し(S314)、当該フローを終了する。ここまでの処理により、ログ認証テーブル900がログ管理サーバ140と制御装置110との間で共有されたことになる。
−−−制御装置のログ送信−−−
図8は第1実施形態におけるログ収集方法の処理手順例2を示すフロー図であり、具体的には、制御装置110におけるログ送信処理(S202)を示すフローである。ここでは、図3のシーケンスにて示した通常運転時における制御装置110が、真正またはダミーのログを含む通信パケットを生成し、これをログ管理サーバ140に送信する一連の処理について説明する。
この場合、制御装置110のログ送信制御部113は、例えば記憶装置11に確保した記憶領域で保持する変数k(初期値は1)の値を参照し、このkの値を、今次生成、送信する通信パケットに設定するインデックスとして取得する(S501)。なお、ログ送信制御部113は、このインデックスの取得処理の後、変数kの値をインクリメントする。
次にログ送信制御部113は、ログ認証テーブル記憶部116に格納されたログ認証テーブル900を参照し、上述のステップS501で得たインデックスに対応するデータを取得する(S502)。ここで取得したデータは、ログ認証テーブル900における「値」、および「ログ種別」となる。
ログ送信制御部113は、ステップS502で得た「ログ種別」の値が「真正」、すなわち該当インデックスが真正ログに対応するものであるか判断する(S503)。この判定の結果、該当インデックスが真性ログに対応するものであった場合(S503:YES)、ログ送信制御部113は、真正ログ記憶部115から真正ログを取得する(S504)。他方、上述の判定の結果、該当インデックスが真性ログに対応するものでなかった場合(S503:NO)、ログ送信制御部113は、上述のステップS502で得ている「値」すなわちダミーログを取得する(S505)。
続いて制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS504またはS505でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)と、該当インデックス(ステップS501で得たもの)を付加して、通信パケットを生成する(S506)。
通信パケット生成部112が生成した通信パケットの具体例について図9に示す。図9に例示する通信パケット1000は、ヘッダ(例:パケットの送信元、送信先の各IPア
ドレス、プロトコルタイプなどの情報の格納先)、制御データ格納領域(制御アプリケーションから得るデータの格納先)、インデックス(上述のステップS501で得たインデックスの値)、およびログ格納領域(上述のステップS504またはS505で得た、真正またはダミーのログ)から構成されている。
こうした通信パケット1000のうち通信パケット1001は、上述のステップS501で得たインデックスが「2」すなわち真正ログを含む通信パケットであり、上述のステップS504で真正ログ記憶部115から得た真正ログ「7、60、20、90」がログ格納領域に設定された通信パケットである。
一方、通信パケット1000のうち通信パケット1002は、上述のステップS501で得たインデックスが「3」すなわちダミーログを含む通信パケットであり、上述のステップS505でログ認証テーブル900から得た、例えばダミーログ802(図6参照)「8、52、15、90」がログ格納領域に設定された通信パケットである。
なお、通信パケットの構成要素とサイズは、図9の例に限定されるものではない。また、通信パケットの構成要素の順序も、図9の例に限定されるものではない。
ここで図8のフローの説明に戻る。次に制御装置110の通信部111は、上述のステップS506で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S507)、当該フローを終了する。
−−−ログ管理サーバが実施するログ収集−−−
続いて、ログ管理サーバ140が実行するログ収集処理(図3:S203)の詳細について図10に基づき説明する。この場合、ログ管理サーバ140の通信部147は、制御装置110が送信した通信パケットを、ネットワーク190を介して受信し(S601)、この通信パケットが含むログを取得する(S610)。また、通信部147は、ステップS601で受信した通信パケットからインデックスを取得する(S602)。
続いてログ管理サーバ140の通信パケット検証部143は、上述のステップS602で得ているインデックスをキーに、ログ認証テーブル記憶部146に格納されたログ認証テーブル900を参照し(S603)、該当インデックスに対応するレコードでの「ログ種別」の値が、「ダミー」か「真正」によって、上述のステップS610で得ているログが真正ログかダミーログなのかを検証する(S604)。
このステップS604による検証の結果、該当ログが真正ログであることが判明した場合(S605:YES)、通信パケット検証部143は、ステップS610で取得したログを真正ログとしてログ記憶部144に格納する(S607)。
他方、上述のステップS604による検証の結果、該当ログが真正ログでない、すなわちダミーログであることが判明した場合(S605:NO)、通信パケット検証部143は、ステップS610で取得したログを破棄し(S608)、処理をステップS601に戻す。このフローが示す一連の処理は、ログ管理サーバ140が稼働する間は継続することとなる。
<第2実施形態>
上述の第1実施形態では、ログ認証テーブル900のインデックスを通信パケットに含めることで、制御装置110とログ管理サーバ140との間で、通信パケットの送信順序を同期させ、真正ログまたはダミーログに対応するものか検証可能としていた。一方、こ
の第2実施形態では、通信パケットにインデックスを設定しない構成とし、制御装置110とログ管理サーバ140とで共有する情報、例えば時刻情報等を用いて通信パケットの送信順序を同期させ、真正ログまたはダミーログに対応するものか検証する例について説明する。
なお、この第2実施形態においては、ログ収集システム100の構成(ログ管理サーバ140と制御装置110)、計算機のハードウェア構成、全体概要、ログ認証テーブル秘匿共有処理について第1実施形態と同様である。従って、第2実施形態では、第1実施形態との差分となる処理について説明するものとする。
−−−制御装置のログ送信−−−
ここで、第2実施形態の制御装置110におけるログ送信処理について図11に基づき説明する。この場合、制御装置110のログ送信制御部113は、今次送信する通信パケットの時刻情報として、例えば当該制御装置110のOSが備えるクロック機能から現在時刻の値を取得する(S1501)。
次にログ送信制御部113は、上述のステップS1501で取得した時刻情報を、例えば時刻情報tの関数f(t)に入力し、この関数f(t)の出力値をインデックスとして取得する(S1502)。この関数f(t)は、ログ認証テーブル900と同様、制御装置110とログ管理サーバ140との間で予め共有されているものであり、或る時刻t1〜t2の時間帯に含まれる時刻を入力すると、インデックス「1」を出力し、或る時刻t3〜t4の時間帯に含まれる時刻を入力すると、インデックス「2」を出力する、といった特性を備えている。
続いてログ送信制御部113は、上述のステップS1502で計算したインデックスの値をキーに、ログ認証テーブル記憶部116に格納されたログ認証テーブルを参照し、該当インデックスに対応するデータ(値とログ種別)を取得する(S1503)。ログ送信制御部113は、ここで得たデータの「ログ種別」が「真正」か「ダミー」によって、該当インデックスが真正ログに対応するか否か判定する(S1504)。
上述の判定の結果、ステップS1502で算定したインデックスが、真性ログに対応するものであった場合(S1504:YES)、ログ送信制御部113は、真正ログ記憶部115から真正ログを取得する(S1505)。他方、上述の判定の結果、該当インデックスが真性ログに対応するものでなかった場合(S1504:NO)、ログ送信制御部113は、上述のステップS1503で得ている「値」すなわちダミーログを取得する(S1506)。
続いて制御装置110の通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS1505またはS1506でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)を付加して、通信パケットを生成する(S1507)。
通信パケット生成部112が生成した通信パケットの具体例について図12に示す。図12に例示する通信パケット2000は、ヘッダ(例:パケットの送信元、送信先の各IPアドレス、プロトコルタイプなどの情報の格納先)、制御データ格納領域(制御アプリケーションから得るデータの格納先)、およびログ格納領域(上述のステップS1505またはS1506で得た、真正またはダミーのログ)から構成されている。
こうした通信パケット2000のうち通信パケット2001は、真正ログを含む通信パケットであり、上述のステップS1505で真正ログ記憶部115から得た真正ログ「7
、60、20、90」がログ格納領域に設定された通信パケットである。一方、通信パケット2000のうち通信パケット2002は、ダミーログを含む通信パケットであり、上述のステップS1506でログ認証テーブル900から得た、例えばダミーログ802(図6参照)「8、52、15、90」がログ格納領域に設定された通信パケットである。
ここで図11のフローの説明に戻る。次に制御装置110の通信部111は、上述のステップS1507で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S1508)、当該フローを終了する。
−−−ログ管理サーバにおけるログ収集処理−−−
次に、第2実施形態におけるログ管理サーバ140が実行するログ収集処理について、図13に基づき説明する。この場合、ログ管理サーバ140の通信部147は、制御装置110が送信してきた通信パケットを、ネットワーク190を介して受信する(S1601)。
続いてログ管理サーバ140の通信パケット検証部143は、上述のステップS1601で受信した通信パケットから送信時刻の値を取得するか、或いは、当該ログ管理サーバ140のOSが備えるクロック機能から現在時刻の値を取得する(S1602)。また、通信パケット検証部143は、受信した通信パケットからログを取得する(S1603)。
次に通信パケット検証部143は、上述のステップS1602で取得した時刻情報を、上述の関数f(t)に入力し、この関数f(t)の出力値をインデックスとして取得する(S1604)。
また、通信パケット検証部143は、上述のステップS1604で算定したインデックスをキーとして、ログ認証テーブル記憶部146に格納されたログ認証テーブルを参照し(S1605)、該当インデックスに対応するレコードでの「ログ種別」の値が、「ダミー」か「真正」によって、上述のステップS1603で得ているログが真正ログかダミーログなのかを検証する(S1607)。
このステップS1607による検証の結果、該当ログが真正ログであることが判明した場合(S1607:YES)、通信パケット検証部143は、ステップS1603で取得したログを真正ログとしてログ記憶部144に格納する(S1610)。
他方、上述のステップS1607による検証の結果、該当ログが真正ログでない、すなわちダミーログであることが判明した場合(S1607:NO)、通信パケット検証部143は、ステップS1603で取得したログを破棄し(S1609)、処理をステップS1601に戻す。このフローが示す一連の処理は、ログ管理サーバ140が稼働する間は継続することとなる。
<第3実施形態>
続いて、第1および第2実施形態とは異なり、通信パケットに対する暗号処理が要求されるログ収集システムについて説明する。図14は第3実施形態におけるログ収集システム100の構成例を示す図である。図14に例示するログ収集システム100は、図1におけるシステム構成と比較して、ログ管理サーバ140の構成に相違は無く、制御装置110、130に関して相違がある。
以下、制御装置110の場合を記載する。第3実施形態における制御装置110は、第
1実施形態のものと異なり、暗号処理部2118と鍵情報記憶部2114を更に備えている。こうした構成における通信パケット生成部112は、鍵情報記憶部2114に格納された暗号鍵情報や初期ベクトルなどの暗号アルゴリズムの入力パラメータや、後述するマスクを用いた暗号化処理を、通信パケットのペイロードまたはヘッダにおける、一部または全部に対して行う。ここで、通信パケットにおいて暗号処理を行う領域を指定するデータをマスクと名付け、マスクは鍵情報記憶部2114に格納してあるものとする。
また、通信パケットにおける上述の暗号処理を行う領域としては、例えば、インデックスの格納領域であり、通信パケットのインデックスを秘匿する目的で暗号処理が適用されることとなる。
またこの場合の通信部111は、暗号化処理が施された通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信する。
−−−制御装置のログ送信−−−
第3実施形態における制御装置110は、第1実施形態におけるログ送信処理(S202)と一部異なるログ送信処理を実行する。このログ送信処理について図15に基づき説明する。なお、第1実施形態にて説明したステップS501〜S503の各処理は第3実施形態でも同様であり、説明は省略する。
この場合、ステップS504、S505で真正ログまたはダミーログを取得した後、上述の暗号処理部2118は、通信パケットを構成するヘッダ、制御データ格納領域、インデックス、およびログ格納領域のうち、少なくともインデックスに対して鍵情報記憶部2114の暗号鍵等に基づく暗号化処理またはMAC生成処理等の暗号処理を実行する(S2506)。
以後、通信パケット生成部112は、制御装置自身の上で動作する制御アプリケーションから取得するデータ(図4に関して説明済み)に対し、上述のステップS504またはS505でログ送信制御部113が取得したデータ(真正ログまたはダミーログ)と、上述のステップS2506で暗号化した少なくともインデックスを付加して、通信パケットを生成する(S506)。また、通信部111は、上述のステップS506で通信パケット生成部112が生成した通信パケットを、ネットワーク190を介してログ管理サーバ140へ送信し(S507)、当該フローを終了する。
−−−ログ管理サーバが実施するログ収集−−−
第3実施形態におけるログ管理サーバ140は、第1実施形態におけるログ収集処理(S203)と一部異なるログ収集処理を実行する。このログ収集処理について図16に基づき説明する。この場合、ログ管理サーバ140の通信部147が、制御装置110が送信した通信パケットを、ネットワーク190を介して受信し(S601)、これを受けた暗復号処理部141が、該当通信パケットのうち、上述のステップS2506で暗号化された領域の値(インデックス)に対し、鍵情報記憶部114に格納された復号鍵等を用いて復号処理またはMAC検証処理等を実行する(S2610)。ここで復号する対象は、通信パケットを構成するヘッダ、制御データ格納領域、インデックス、ログ格納領域の全部または一部であるが、少なくともインデックスは含まれている必要がある。
上述のごとく少なくともインデックスの復号を行った以降、図10のステップS602〜S610と同様の処理を実行し、真正ログをログ記憶部144に格納することとなる。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明は
これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
第一、第二、第三の各々の実施形態によれば、システム設計時にログを含めた通信パケットの構成を設計することと、ログデータの認証処理に備えた事前処理と、認証用データの生成と設定により、システム運用時における通信パケットの増加によるネットワーク帯域の圧迫を防ぎ、各制御装置が低リソースで暗号技術によるログ通信パケットの保護処理を行う一方、ログ管理サーバが収集したログについてその真正性を効率的に検証することにより、通信路の改ざん攻撃に対して安全なログの生成・収集方法を提供することができる。ログ収集の本来の目的は、コントローラがログを管理サーバに送信することにより、コントローラが自身の正常状態または異常状態をサーバに知らせることである。本発明によれば、サーバとコントローラ間に改ざん攻撃が存在する状況下においても、この目的を達成することが可能となる。
より具体的には、ネットワーク帯域への負荷に関し、通信パケットの空き領域にログを格納するパケット構成とすることで、ログ収集用の通信パケットを別途処理する必要が無く、通信パケット量増大に伴うネットワーク帯域圧迫といった事態は回避出来る。また、通信パケットが含むログが真正ログまたはダミーログかを検証する際に用いるログ認証テーブルは、例えばシステム試運転時など制御装置の本来動作に負荷を与えないタイミングに生成、配信することとし、更には、通信パケット生成や送受信に際して、従来のごとき暗号化/復号化の処理ではなく、ログ認証テーブルのインデックスに基づいた効率的な処理を実行することとしており、システム試運転時および通常運転時の各処理負荷も適宜に抑制出来る。また、制御装置とログ管理サーバとの間の通信路における改ざん攻撃耐性に関しては、制御装置とログ管理サーバとで共有するログ認証テーブルのインデックスに基づいて、真正ログまたはダミーログを含む通信パケットを送受信する構成としており、ログ認証テーブルを有しない攻撃者においては真正ログとダミーログの識別は困難で、良好な改ざん攻撃耐性が達成できる。
すなわち制御装置およびネットワークにおける負荷増大を適宜に回避しつつ、セキュアなログ収集が可能となる。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信するものであり、前記ログ管理サーバは、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証するものであるとしてもよい。
これによれば、通信パケットのログが真正またはダミーであるかの検証を、上述の検証用データによって実行可能で、処理の効率化が図られる。
また、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信するものであり、前記ログ管理サーバは、前記ログ認証テーブルを記憶装置にて保持し、前記通信パケットの含むログが真正またはダミーのいずれのログであ
るか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証するものであるとしてもよい。
これによれば、今次送信する通信パケットのログを真正またはダミーとするかの決定と、そうした通信パケットのログに関する真正/ダミーの検証を、ログ認証テーブルを用いて行うことが可能となり、セキュアなログ収集における更なる処理効率化が図られる。
また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行するものであり、前記情報処理装置は、前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するものであるとしてもよい。
これによれば、ログ管理サーバでのログ認証テーブルの生成と、情報処理装置およびログ管理サーバでのログ認証テーブルの共有が可能となる。
また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するものであるとしてもよい。
これによれば、ログ認証テーブルにおけるダミーログの生成、格納が可能となり、情報処理装置にてダミーログを含む通信パケットの生成が効率的なものとなる。
また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するものであるとしてもよい。
これによれば、例えば真正ログのデータ構成と同様の構成にてダミーログを生成することが可能となり、ダミーログと真正ログの判別を更に困難なものとし、ログ収集が更にセキュアなものとなる。
また、本実施形態のログ収集システムにおいて、前記ログ管理サーバは、前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行するものであり、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めるものである、としてもよい。
これによれば、ログ認証テーブルの生成、共有にかかる負荷を最低限に抑制して、ログ収集に伴う処理負荷の適宜な低減を更に図ることが出来る。
また、本実施形態のログ収集システムにおいて、前記情報処理装置は、前記通信パケットをログ管理サーバに送信する処理に際し、前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、前記選択インデックスがダミーログに対応するものである場合、前
記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するものであるとしてもよい。
これによれば、情報処理装置における通信パケットの生成、送信の処理を、ログ認証テーブルにおけるインデックスに基づいて効率的に実行することが可能となる。
本実施形態のログ収集方法において、前記情報処理装置が、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信し、前記ログ管理サーバが、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証する、としてもよい。
また、本実施形態のログ収集方法において、前記情報処理装置が、前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信し、前記ログ管理サーバが、前記ログ認証テーブルを記憶装置にて保持し、
前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する、としてもよい。
また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行し、前記情報処理装置が、前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するとしてもよい。
また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するとしてもよい。
また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するとしてもよい。
また、本実施形態のログ収集方法において、前記ログ管理サーバが、前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行し、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定める、としてもよい。
また、本実施形態のログ収集方法において、前記情報処理装置が、前記通信パケットをログ管理サーバに送信する処理に際し、前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するとしてもよい。
11 記憶装置
12 プログラム
13 CPU
14 入出力装置
15 通信装置
100 ログ収集システム
110 制御装置
111 通信部
112 通信パケット生成部
113 ログ送信制御部
115 真正ログ記憶部
116 ログ認証テーブル記憶部
117 ログ生成部
130 制御装置
131 通信部
132 通信パケット生成部
133 ログ送信制御部
135 真正ログ記憶部
136 ログ認証テーブル記憶部
137 ログ生成部
140 ログ管理サーバ
141 暗復号処理部
142 ログ認証テーブル生成部
143 通信パケット検証部
144 ログ記憶部
145 鍵情報記憶部
146 ログ認証テーブル記憶部
147 通信部
148 ログ解析部
149 ダミーログ生成部

Claims (16)

  1. 所定規則に基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログを含む通信パケットをログ管理サーバへ送信する処理を実行する情報処理装置と、
    前記情報処理装置から通信パケットを受信し、当該通信パケットの含むログが真正またはダミーのいずれのログであるか、前記情報処理装置と共有する前記所定規則に基づいて検証し、真正ログについて収集する処理を実行するログ管理サーバと、
    を含むことを特徴とするログ収集システム。
  2. 前記情報処理装置は、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信するものであり、
    前記ログ管理サーバは、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証するものである、
    ことを特徴とする請求項1に記載のログ収集システム。
  3. 前記情報処理装置は、
    前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、
    前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信するものであり、
    前記ログ管理サーバは、
    前記ログ認証テーブルを記憶装置にて保持し、
    前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証するものである、
    ことを特徴とする請求項2に記載のログ収集システム。
  4. 前記ログ管理サーバは、
    前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行するものであり、
    前記情報処理装置は、
    前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持するものである、
    ことを特徴とする請求項3に記載のログ収集システム。
  5. 前記ログ管理サーバは、
    前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成するものである、
    ことを特徴とする請求項4に記載のログ収集システム。
  6. 前記ログ管理サーバは、
    前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成するものである、
    ことを特徴とする請求項5に記載のログ収集システム。
  7. 前記ログ管理サーバは、
    前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行するものであり、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定めるものである、
    ことを特徴とする請求項4に記載のログ収集システム。
  8. 前記情報処理装置は、
    前記通信パケットをログ管理サーバに送信する処理に際し、
    前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、
    前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成するものである、
    ことを特徴とする請求項5に記載のログ収集システム。
  9. 情報処理装置が、
    所定規則に基づいて真正またはダミーのいずれのログを送信するか決定し、当該決定したログを含む通信パケットをログ管理サーバへ送信する処理を実行し、
    ログ管理サーバが、
    前記情報処理装置から通信パケットを受信し、当該通信パケットの含むログが真正またはダミーのいずれのログであるか、前記情報処理装置と共有する前記所定規則に基づいて検証し、真正ログについて収集する処理を実行する、
    ことを特徴とするログ収集方法。
  10. 前記情報処理装置が、前記通信パケットをログ管理サーバに送信する処理に際し、前記所定規則に基づいた、前記ログの真正性を検証するための検証用データを、前記通信パケットに更に含めて送信し、
    前記ログ管理サーバが、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記検証用データを、該当情報処理装置に関して共有している前記所定規則に基づいて検証し、前記通信パケットに含まれるログが真正ログかダミーログかを検証する、
    ことを特徴とする請求項9に記載のログ収集方法。
  11. 前記情報処理装置が、
    前記所定規則として、真正またはダミーの各ログに対応した複数のインデックスを少なくとも含むログ認証テーブルを記憶装置にて保持し、
    前記通信パケットをログ管理サーバに送信する処理に際し、前記ログ認証テーブルにおけるインデックスを所定アルゴリズムで選択し、当該選択インデックスに基づいて真正またはダミーのいずれのログを送信するか決定し、前記決定したログと、前記検証用データである前記選択インデックスとを含む通信パケットをログ管理サーバへ送信し、
    前記ログ管理サーバが、
    前記ログ認証テーブルを記憶装置にて保持し、
    前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する処理に際し、前記情報処理装置から受信した通信パケットの含む前記選択インデックスを、該当情報処理装置に関して共有している前記ログ認証テーブルに照合し、前記選択インデックスが真正またはダミーのいずれのログに対応したものか判定して、前記通信パケットの含むログが真正またはダミーのいずれのログであるか検証する、
    ことを特徴とする請求項10に記載のログ収集方法。
  12. 前記ログ管理サーバが、
    前記ログ認証テーブルを所定のアルゴリズムにて生成して記憶装置に保持し、当該ログ認証テーブルを前記情報処理装置に送信する処理を更に実行し、
    前記情報処理装置が、
    前記ログ認証テーブルを前記ログ管理サーバから受信して記憶装置にて保持する、
    ことを特徴とする請求項11に記載のログ収集方法。
  13. 前記ログ管理サーバが、
    前記ログ認証テーブルの生成に際し、真正またはダミーのいずれかのログに対応するインデックスを乱数に基づいて生成し、前記インデックスのうちダミーログに対応したインデックスに対して、所定アルゴリズムで生成したダミーログを対応付けて格納し前記ログ認証テーブルを生成する、
    ことを特徴とする請求項12に記載のログ収集方法。
  14. 前記ログ管理サーバが、
    前記ダミーログの生成に際し、前記情報処理装置から得ているログを解析した解析結果データを所定アルゴリズムに適用して前記ダミーログを生成する、
    ことを特徴とする請求項13に記載のログ収集方法。
  15. 前記ログ管理サーバが、
    前記ログ認証テーブルの生成を、前記情報処理装置における通常動作への影響が所定レベル以下の所定タイミングに実行し、システムで求められる安全性から導かれる暗号学的乱数の周期より、生成した全てのログ認証テーブルのインデックスの個数の和が大きくなるように、ログ認証テーブルの生成回数を定める、
    ことを特徴とする請求項12に記載のログ収集方法。
  16. 前記情報処理装置が、
    前記通信パケットをログ管理サーバに送信する処理に際し、
    前記選択インデックスが真正ログに対応するものである場合、記憶装置に保持する真正ログと、当該情報処理装置の本来目的に応じて稼働する制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成し、
    前記選択インデックスがダミーログに対応するものである場合、前記選択インデックスに関して前記ログ認証テーブルにて保持するダミーログと、前記制御アプリケーションから取得した所定データと、該当インデックスとを含む通信パケットを生成する、
    ことを特徴とする請求項13に記載のログ収集方法。
JP2015001339A 2015-01-07 2015-01-07 ログ収集システムおよびログ収集方法 Expired - Fee Related JP6356075B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015001339A JP6356075B2 (ja) 2015-01-07 2015-01-07 ログ収集システムおよびログ収集方法
PCT/JP2015/081204 WO2016111079A1 (ja) 2015-01-07 2015-11-05 ログ収集システムおよびログ収集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015001339A JP6356075B2 (ja) 2015-01-07 2015-01-07 ログ収集システムおよびログ収集方法

Publications (2)

Publication Number Publication Date
JP2016126638A true JP2016126638A (ja) 2016-07-11
JP6356075B2 JP6356075B2 (ja) 2018-07-11

Family

ID=56355781

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015001339A Expired - Fee Related JP6356075B2 (ja) 2015-01-07 2015-01-07 ログ収集システムおよびログ収集方法

Country Status (2)

Country Link
JP (1) JP6356075B2 (ja)
WO (1) WO2016111079A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016190148A (ja) * 2016-08-18 2016-11-10 株式会社大一商会 遊技機
CN107608868A (zh) * 2017-09-08 2018-01-19 联想(北京)有限公司 日志收集方法、基板管理控制器bmc及磁盘控制器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10301492A (ja) * 1997-04-23 1998-11-13 Sony Corp 暗号化装置および方法、復号装置および方法、並びに情報処理装置および方法
JP2008028695A (ja) * 2006-07-21 2008-02-07 Nomura Research Institute Ltd 情報漏洩防止方法
WO2008117471A1 (ja) * 2007-03-27 2008-10-02 Fujitsu Limited 監査プログラム、監査システムおよび監査方法
JP2011091471A (ja) * 2009-10-20 2011-05-06 Fujitsu Ltd 通信端末装置、通信処理方法及びプログラム
JP2013037554A (ja) * 2011-08-09 2013-02-21 Mega Chips Corp メモリシステム、セキュリティメモリおよび情報保護方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10301492A (ja) * 1997-04-23 1998-11-13 Sony Corp 暗号化装置および方法、復号装置および方法、並びに情報処理装置および方法
JP2008028695A (ja) * 2006-07-21 2008-02-07 Nomura Research Institute Ltd 情報漏洩防止方法
WO2008117471A1 (ja) * 2007-03-27 2008-10-02 Fujitsu Limited 監査プログラム、監査システムおよび監査方法
JP2011091471A (ja) * 2009-10-20 2011-05-06 Fujitsu Ltd 通信端末装置、通信処理方法及びプログラム
JP2013037554A (ja) * 2011-08-09 2013-02-21 Mega Chips Corp メモリシステム、セキュリティメモリおよび情報保護方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
伯田 恵輔 ほか: "制御システムセキュリティの現状と課題 制御用コントローラ向け暗号通信機能の実現に向けて", 計測と制御, vol. 第53巻、第10号, JPN6016001804, 10 October 2014 (2014-10-10), JP, pages 936 - 942, ISSN: 0003813515 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016190148A (ja) * 2016-08-18 2016-11-10 株式会社大一商会 遊技機
CN107608868A (zh) * 2017-09-08 2018-01-19 联想(北京)有限公司 日志收集方法、基板管理控制器bmc及磁盘控制器

Also Published As

Publication number Publication date
WO2016111079A1 (ja) 2016-07-14
JP6356075B2 (ja) 2018-07-11

Similar Documents

Publication Publication Date Title
Checkoway et al. A systematic analysis of the Juniper Dual EC incident
CN104573516B (zh) 一种基于安全芯片的工控系统可信环境管控方法和平台
JP2024063229A (ja) ブロックチェーンにより実装される方法及びシステム
Kim et al. Security and performance considerations in ros 2: A balancing act
CN110071812A (zh) 一种可编辑、可链接、不可抵赖的环签名方法
Castellanos et al. Legacy-compliant data authentication for industrial control system traffic
US10073980B1 (en) System for assuring security of sensitive data on a host
CN107534645A (zh) 主机存储认证
Accorsi Log data as digital evidence: What secure logging protocols have to offer?
CN110770729A (zh) 用于证明虚拟机完整性的方法和设备
CN111737769B (zh) 用于连接的管芯之间的安全通信的多芯片封装及方法
CN113259135B (zh) 用于检测数据防篡改的轻量级区块链通信认证装置及其方法
US20200128042A1 (en) Communication method and apparatus for an industrial control system
Marian et al. Experimenting with digital signatures over a DNP3 protocol in a multitenant cloud-based SCADA architecture
JP6356075B2 (ja) ログ収集システムおよびログ収集方法
CN113591103B (zh) 一种电力物联网智能终端间的身份认证方法和系统
CN114885325A (zh) 适用5g网络的调控业务网络安全可信审计方法和系统
CN116827821B (zh) 基于区块链云应用程序性能监控方法
CN101374085A (zh) 用于基于挑战响应来检查往返时间的方法和设备
CN107026729B (zh) 用于传输软件的方法和装置
Esiner et al. Message authentication and provenance verification for industrial control systems
CN109905408A (zh) 网络安全防护方法、系统、可读存储介质及终端设备
US20230045486A1 (en) Apparatus and Methods for Encrypted Communication
CN111555857B (zh) 一种边缘网络和网络传输方法
Shanmukesh et al. Secure DLMS/COSEM communication for Next Generation Advanced Metering Infrastructure

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180613

R150 Certificate of patent or registration of utility model

Ref document number: 6356075

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees