JP2017076364A - Information processing system and information processing apparatus - Google Patents
Information processing system and information processing apparatus Download PDFInfo
- Publication number
- JP2017076364A JP2017076364A JP2016096202A JP2016096202A JP2017076364A JP 2017076364 A JP2017076364 A JP 2017076364A JP 2016096202 A JP2016096202 A JP 2016096202A JP 2016096202 A JP2016096202 A JP 2016096202A JP 2017076364 A JP2017076364 A JP 2017076364A
- Authority
- JP
- Japan
- Prior art keywords
- execution
- security function
- usage rate
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、情報処理システム及び情報処理装置に関する。 The present invention relates to an information processing system and an information processing apparatus.
工場や発電所等の施設における設備や機器、プラント等の動作を制御及び監視するシステムが従来から知られている。 2. Description of the Related Art Conventionally, systems that control and monitor the operation of equipment, equipment, plants, etc. in facilities such as factories and power plants are known.
また、セキュリティ機能のセキュリティレベル等を動的に設定する技術が従来から知られている(例えば特許文献1及び2参照)。
In addition, a technique for dynamically setting a security level of a security function has been conventionally known (see, for example,
しかしながら、上記の従来技術では、例えば、セキュリティ機能の実行によってCPU(Central Processing Unit)やメモリの使用率が増加し、工場や発電所等の施設における設備や機器、プラント等の運用に影響を与える場合があった。 However, in the above-described conventional technology, for example, the usage rate of a CPU (Central Processing Unit) and a memory increases due to execution of a security function, which affects the operation of equipment, equipment, plants, etc. in facilities such as factories and power plants. There was a case.
すなわち、例えば、セキュリティ機能の実行によってCPUやメモリの使用率が増加した結果、設備や機器、プラント等の動作制御や動作監視を十分に行えない場合があった。 That is, for example, as a result of an increase in the usage rate of the CPU and memory due to the execution of the security function, there are cases where operation control and operation monitoring of facilities, equipment, plants, etc. cannot be performed sufficiently.
本発明の一実施形態は、上記の点に鑑みてなされたもので、セキュリティ機能の実行に伴う影響を低減することを目的とする。 One embodiment of the present invention has been made in view of the above points, and an object thereof is to reduce the influence accompanying execution of a security function.
上記目的を達成するため、本発明の一実施形態は、第1の装置と、該第1の装置とネットワークを介して接続される第2の装置とを含む情報処理システムであって、前記第1の装置及び前記第2の装置が実行可能なセキュリティ機能毎に、該セキュリティ機能の実行条件に関する情報を記憶する第1の記憶手段と、前記情報処理システムに接続される端末装置から送信されたセキュリティ機能の実行要求に応じて、該実行要求に対応するセキュリティ機能の前記実行条件に関する情報を前記第1の記憶手段から取得する取得手段と、前記取得手段により取得された前記実行条件に関する情報に基づいて、前記セキュリティ機能を前記第1の装置で実行するか否かを判定する第1の判定手段と、前記第1の判定手段により前記セキュリティ機能を前記第1の装置で実行すると判定された場合、前記セキュリティ機能を前記第1の装置で実行させる実行手段と、を有し、前記実行手段は、前記第1の判定手段により前記セキュリティ機能を前記第1の装置で実行しないと判定された場合、前記セキュリティ機能の実行要求を前記第2の装置に送信する、ことを特徴とする。 In order to achieve the above object, an embodiment of the present invention is an information processing system including a first device and a second device connected to the first device via a network. For each security function that can be executed by the first device and the second device, the information is transmitted from a first storage unit that stores information on execution conditions of the security function and a terminal device connected to the information processing system. In response to a security function execution request, an acquisition unit that acquires information on the execution condition of the security function corresponding to the execution request from the first storage unit, and information on the execution condition acquired by the acquisition unit Based on a first determination means for determining whether or not to execute the security function in the first device, and the security function by the first determination means. Execution means for causing the first apparatus to execute the security function when it is determined to be executed by the first apparatus, and the execution means performs the security function by the first determination means. When it is determined not to be executed by the first device, an execution request for the security function is transmitted to the second device.
本発明の一実施形態によれば、セキュリティ機能の実行に伴う影響を低減する。 According to one embodiment of the present invention, the impact associated with the execution of security functions is reduced.
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[第一の実施形態]
<システム構成>
まず、第一の実施形態に係る制御システム1のシステム構成について、図1を参照しながら説明する。図1は、第一の実施形態に係る制御システムの一例を示す図である。
[First embodiment]
<System configuration>
First, the system configuration of the
図1に示す制御システム1は、1以上の端末装置10と、1以上の監視装置20と、1以上の制御装置30とを有する。端末装置10と監視装置20とは、例えばLAN(Local Area Network)等のネットワークN1を介して通信可能に接続されている。また、監視装置20と制御装置30とは、例えばLAN等のネットワークN2を介して通信可能に接続されている。
The
更に、制御装置30には、1以上の変換装置40が接続されている。加えて、変換装置40には、1以上の機器50が接続されている。
Further, one or
ここで、監視装置20、制御装置30、変換装置40、及び機器50は、工場や発電所等の施設におけるシステム環境である施設環境E1に含まれる。したがって、端末装置10と、施設環境E1とは、ネットワークN1を介して通信可能に接続されている。なお、施設環境E1は、工場や発電所におけるシステム環境に限られず、例えば、水処理施設やごみ処理施設等の各種施設におけるシステム環境であっても良い。
Here, the
端末装置10は、ユーザが利用するデスクトップPCやノートPC、スマートフォン、タブレット端末等である。ユーザは、端末装置10を用いて施設環境E1に接続して、各種情報を取得することができる。
The
例えば、ユーザは、端末装置10を用いて施設環境E1に含まれる監視装置20に接続して、当該監視装置20により提供される各種の監視結果(機器50の動作状態やアラーム等)を取得することができる。
For example, the user uses the
監視装置20は、施設環境E1に含まれる制御装置30や機器50等の動作ログやセンサ情報(機器50の温度や圧力等を各種のセンサで測定した情報)等を収集して、当該動作ログやセンサ情報等に基づくモニタリング(監視)を行う情報処理装置である。また、監視装置20は、端末装置10からの要求に応じて、当該端末装置10に監視結果を提供する。
The
制御装置30は、例えば、PLC(Programmable Logic Controller)等であり、機器50を制御する情報処理装置である。制御装置30は、機器50の動作を制御すると共に、機器50から動作ログやセンサ情報を取得して監視装置20に送信する。
The
変換装置40は、例えば、A/D変換やD/A変換を行うモジュール等であり、制御装置30と機器50との間で情報の変換を行う。すなわち、変換装置40は、制御装置30から出力された各種の情報を機器50が入力可能な形式に変換する共に、機器50から出力された各種の情報を制御装置30が入力可能な形式に変換する。なお、変換装置40は、制御装置30に含まれていても良い。
The
機器50は、例えば、ガスタービンや蒸気タービン等の発電設備、変圧器やガス遮断器等の変電・配電設備、工場等における製造設備等であり、制御装置30により制御される各種の設備やプラント等である。
The
本実施形態に係る制御システム1は、ユーザが端末装置10を用いて施設環境E1に接続する際に、ログイン認証やアクセス制御等のセキュリティ機能の実行主体を動的に変更させる。
The
すなわち、例えば、ユーザが端末装置10を用いて施設環境E1に接続して、当該施設環境E1にログインする際に、監視装置20や制御装置30のCPU使用率やメモリ使用率等のリソース使用率に基づいて、ログイン認証を行う装置(監視装置20又は制御装置30)を動的に変更する。同様に、例えば、ユーザが端末装置10を用いて施設環境E1にログインした後、監視装置20により提供される監視結果を取得する際に、監視装置20や制御装置30のリソース使用率に基づいて、アクセス制御を行う装置を動的に変更する。
That is, for example, when the user connects to the facility environment E1 using the
このように、本実施形態に係る制御システム1では、例えば、CPU使用率に基づいて、セキュリティ機能の実行主体を動的に変更する。このため、本実施形態に係る制御システム1では、例えば、セキュリティ機能の実行によりCPU使用率が高くなったことにより(すなわち、CPUに高い負荷が生じたことにより)、機器50のモニタリングや制御等に影響が生じる事態を防止することができる。
Thus, in the
<ハードウェア構成>
次に、第一の実施形態に係る端末装置10、監視装置20、及び制御装置30のハードウェア構成について、図1を参照しながら説明する。図2は、第一の実施形態に係る端末装置、監視装置、及び制御装置のハードウェア構成の一例を示す図である。なお、端末装置10、監視装置20、及び制御装置30は、同様のハードウェア構成を有しているため、以降では、主に、端末装置10のハードウェア構成について説明する。
<Hardware configuration>
Next, the hardware configuration of the
端末装置10は、入力装置11と、表示装置12と、外部I/F13と、RAM(Random Access Memory)14と、ROM(Read Only Memory)15と、CPU16と、通信I/F17と、記憶装置18とを有する。また、これらの各ハードウェアは、バスBにより通信可能に接続されている。
The
入力装置11は、例えば、キーボードやマウス、タッチパネル等であり、ユーザが各種の操作信号を入力するのに用いられる。表示装置12は、例えば、ディスプレイ等であり、処理結果を表示する。なお、監視装置20や制御装置30は、入力装置11や表示装置12を必要なときにバスBに接続して利用する形態であっても良い。
The input device 11 is, for example, a keyboard, a mouse, a touch panel, or the like, and is used by a user to input various operation signals. The
外部I/F13は、外部装置とのインタフェースである。外部装置には、記録媒体13a等がある。これにより、端末装置10は、外部I/F13を介して記録媒体13aの読み取り及び/又は書き込みを行うことができる。記録媒体13aには、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。なお、記録媒体13aには、本実施形態を実現するプログラムが格納されていても良い。
The external I /
RAM14は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ROM15は、端末装置10の起動時に実行されるBIOS(Basic Input/Output System)やOS(Operating System)設定、ネットワーク設定等のデータやプログラムが格納されている。
The
CPU16は、ROM15や記憶装置18等からプログラムやデータをRAM14上に読み出し、処理を実行することで、端末装置10全体の制御や機能を実現する演算装置である。
The
通信I/F17は、端末装置10をネットワークN1に接続するためのインタフェースである。これにより、端末装置10は、通信I/F17を介してデータ通信を行うことができる。
The communication I /
記憶装置18は、プログラムやデータを格納している不揮発性のメモリであり、例えば、HDD(Hard Disk Drive)やSSD(solid state drive)等である。記憶装置18に格納されるデータには、本実施形態を実現するプログラム、端末装置10全体を制御する基本ソフトウェアであるOS、及びOS上において各種機能を提供するアプリケーションソフトウェア等がある。なお、記憶装置18は、格納しているプログラムやデータを所定のファイルシステム及び/又はDB(データベース)により管理している。
The
本実施形態に係る端末装置10、監視装置20、及び制御装置30は、図2に示すハードウェア構成を有することにより、後述するような各種処理を実現できる。
The
<機能構成>
次に、第一の実施形態に係る制御システム1の機能構成について、図3を参照しながら説明する。図3は、第一の実施形態に係る制御システムの機能構成の一例を示す図である。
<Functional configuration>
Next, the functional configuration of the
端末装置10は、入力受付部101と、表示制御部102と、登録要求部103と、実行要求部104とを有する。これら各機能部は、端末装置10にインストールされた1以上のプログラムが、CPU16に実行させる処理により実現される。
The
入力受付部101は、ユーザによる各種の入力操作を受け付ける。例えば、入力受付部101は、セキュリティ機能の実行条件の登録操作を受け付ける。
The
また、例えば、入力受付部101は、セキュリティ機能を実行させるための実行操作を受け付ける。
For example, the
なお、実行条件とは、セキュリティ機能毎に、監視装置20及び制御装置30において当該セキュリティ機能が実行される場合の条件であり、例えば、「CPU使用率が20%未満」や「メモリの使用率が30%未満」等とリソース使用率で表される。
The execution condition is a condition when the security function is executed in the
また、セキュリティ機能とは、ユーザが端末装置10を用いて施設環境E1に接続する場合に実行される各種のセキュリティに関する機能であり、例えば、ログイン認証やアクセス制御等が挙げられる。
The security function is a function related to various security executed when the user connects to the facility environment E1 using the
表示制御部102は、各種の画面を表示させる。例えば、表示制御部102は、セキュリティ機能の実行条件を設定及び登録するための画面を表示させる。
The
登録要求部103は、入力受付部101により登録操作が受け付けられると、実行条件の登録要求を監視装置20に送信する。
When the registration operation is received by the
実行要求部104は、入力受付部101によりセキュリティ機能を実行させるための実行操作(例えば、ログイン操作)が受け付けられると、当該セキュリティ機能の実行要求(例えば、ログイン認証の実行要求)を監視装置20に送信する。
When the execution operation (for example, login operation) for executing the security function is received by the
監視装置20は、登録処理部201と、実行判定処理部202と、機能実行部203とを有する。これら各機能部は、監視装置20にインストールされた1以上のプログラムが、CPU16に実行させる処理により実現される。
The
また、監視装置20は、実行条件記憶部204を有する。当該記憶部は、記憶装置18を用いて実現可能である。なお、当該記憶部は、例えば、監視装置20とネットワークを介して接続される記憶装置等を用いて実現されても良い。
In addition, the
登録処理部201は、実行条件の登録要求に応じて、当該登録要求に基づく実行条件を監視装置20に登録する。すなわち、登録処理部201は、実行条件の登録要求を受信すると、当該実行条件を示す実行条件情報を実行条件記憶部204に記憶させる。
In response to the registration request for the execution condition, the
また、登録処理部201は、実行条件情報を実行条件記憶部204に記憶させると、実行条件の登録要求を制御装置30に送信する。すなわち、登録処理部201は、端末装置10から受信した実行条件の登録要求を制御装置30に転送する。
In addition, when the execution condition information is stored in the execution
実行判定処理部202は、セキュリティ機能の実行要求に応じて、当該セキュリティ機能を監視装置20で実行するか否かを判定する処理(セキュリティ機能の実行判定処理)を実行する。ここで、実行判定処理部202は、条件取得部212と、条件判定部222とを有する。
In response to a security function execution request, the execution
条件取得部212は、セキュリティ機能の実行要求に応じて、当該実行要求に係るセキュリティ機能の実行条件情報を実行条件記憶部204から取得する。条件判定部222は、条件取得部212により実行条件情報が取得されると、当該実行条件情報に基づいて、実行要求に係るセキュリティ機能の実行条件を満たすか否かを判定する。
In response to the security function execution request, the
ここで、実行判定処理部202は、条件判定部222によりセキュリティ機能の実行条件を満たすと判定された場合、当該セキュリティ機能を監視装置20で実行すると判定する。一方で、実行判定処理部202は、条件判定部222によりセキュリティ機能の実行条件を満たさないと判定された場合、当該セキュリティ機能を監視装置20で実行しないと判定する。
Here, when the
機能実行部203は、実行判定処理部202によりセキュリティ機能を監視装置20で実行すると判定された場合、当該セキュリティ機能(例えば、ログイン認証)を実行する。
When the execution
また、機能実行部203は、実行判定処理部202によりセキュリティ機能を監視装置20で実行しないと判定された場合、当該セキュリティ機能の実行要求を制御装置30に送信(転送)する。
In addition, when the execution
実行条件記憶部204は、登録処理部201により記憶された実行条件情報を記憶する。なお、実行条件情報の詳細については後述する。
The execution
制御装置30は、登録処理部301と、実行判定処理部302と、機能実行部303とを有する。これら各機能部は、制御装置30にインストールされた1以上のプログラムが、CPU16に実行させる処理により実現される。
The
また、制御装置30は、実行条件記憶部304を有する。当該記憶部は、記憶装置18を用いて実現可能である。なお、当該記憶部は、例えば、制御装置30とネットワークを介して接続される記憶装置等を用いて実現されても良い。
In addition, the
登録処理部301は、実行条件の登録要求に応じて、当該登録要求に基づく実行条件を制御装置30に登録する。すなわち、登録処理部301は、実行条件の登録要求を受信すると、当該実行条件を示す実行条件情報を実行条件記憶部304に記憶させる。
In response to the registration request for the execution condition, the
実行判定処理部302は、セキュリティ機能の実行要求に応じて、当該セキュリティ機能を制御装置30で実行するか否かを判定する処理(セキュリティ機能の実行判定処理)を実行する。ここで、実行判定処理部302は、条件取得部312と、条件判定部322とを有する。
In response to a security function execution request, the execution
条件取得部312は、セキュリティ機能の実行要求に応じて、当該実行要求に係るセキュリティ機能の実行条件情報を実行条件記憶部304から取得する。条件判定部322は、条件取得部312により実行条件情報が取得されると、当該実行条件情報に基づいて、実行要求に係るセキュリティ機能の実行条件を満たすか否かを判定する。
In response to the security function execution request, the
ここで、実行判定処理部302は、条件判定部322によりセキュリティ機能の実行条件を満たすと判定された場合、当該セキュリティ機能を制御装置30で実行すると判定する。一方で、実行判定処理部302は、条件判定部322によりセキュリティ機能の実行条件を満たさないと判定された場合、当該セキュリティ機能を制御装置30で実行しないと判定する。
Here, when the
機能実行部303は、実行判定処理部302によりセキュリティ機能を制御装置30で実行すると判定された場合、当該セキュリティ機能(例えば、ログイン認証)を実行する。
If the execution
実行条件記憶部304は、登録処理部301により記憶された実行条件情報を記憶する。なお、実行条件情報の詳細については後述する。
The execution
<処理の詳細>
次に、第一の実施形態に係る制御システム1の処理の詳細について説明する。
<Details of processing>
Next, details of processing of the
まず、本実施形態に係る制御システム1において、セキュリティ機能の実行条件を監視装置20及び制御装置30に登録する処理について、図4を参照しながら説明する。図4は、第一の実施形態に係るセキュリティ機能の実行条件の登録処理の一例を示すシーケンス図である。なお、以降において、「登録」には、実行条件情報を実行条件記憶部204及び実行条件記憶部304に新たに追加する「新規登録」と、実行条件記憶部204及び実行条件記憶部304に記憶されている実行条件情報を更新する「更新登録」とが含まれる。
First, in the
まず、端末装置10の入力受付部101は、例えば図5に示すセキュリティ機能の実行条件の設定画面1000において、ユーザによるセキュリティ機能の実行条件の登録操作を受け付ける(ステップS401)。
First, the
ここで、図5に示すセキュリティ機能の実行条件の設定画面1000は、端末装置10の表示制御部102により表示装置12等に表示され、セキュリティ機能の一覧1100と、実行条件の一覧1200と、登録ボタン1300とが含まれる。
Here, the security function execution
セキュリティ機能の一覧1100は、実行条件を設定するセキュリティ機能を選択するための一覧であり、例えば、「ログイン認証」、「アクセス制御」等のセキュリティ機能が含まれる。実行条件の一覧1200は、セキュリティ機能の一覧1100で選択されたセキュリティ機能に対して設定する実行条件を選択するための一覧であり、例えば、「CPU使用率20%未満」、「CPU使用率30%未満」等の実行条件が含まれる。登録ボタン1300は、セキュリティ機能の一覧1100及び実行条件の一覧1200で選択されたセキュリティ機能及び実行条件を登録するための表示部品である。なお、実行条件において、例えば、CPU使用率やメモリ使用率等の値をユーザが任意に入力することができても良い。
The
ユーザは、セキュリティ機能の実行条件の設定画面1000において、セキュリティ機能の一覧1100及び実行条件の一覧1200からそれぞれ所望のセキュリティ機能及び実行条件を選択し、登録ボタン1300を押下することで、登録操作を行うことができる。
The user selects a desired security function and execution condition from the
以降では、一例として、ユーザにより、セキュリティ機能の一覧1100及び実行条件の一覧1200からそれぞれ「ログイン認証」及び「CPU使用率30%未満」が選択され、登録ボタン1300が押下されたものとして説明する。
Hereinafter, as an example, it is assumed that “login authentication” and “less than 30% CPU usage” are selected from the
次に、端末装置10の登録要求部103は、入力受付部101により登録操作が受け付けられると、実行条件の登録要求を監視装置20に送信する(ステップS402)。なお、当該登録要求には、ユーザにより選択されたセキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」が含まれる。
Next, when the registration operation is accepted by the
監視装置20の登録処理部201は、実行条件の登録要求を受信すると、当該登録要求に含まれるセキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」を示す実行条件情報を作成し、実行条件記憶部204に記憶させる(ステップS403)。
Upon receiving the execution condition registration request, the
ここで、実行条件記憶部204に記憶された実行条件情報を図6(a)に示す。図6(a)に示すように、ステップS403では、登録処理部201により、セキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」である実行条件情報が実行条件記憶部204に記憶される。
Here, the execution condition information stored in the execution
これにより、ユーザにより選択されたセキュリティ機能における実行条件が監視装置20に登録される。なお、同一のセキュリティ機能の実行条件が監視装置20に既に登録されている場合、登録処理部201は、既に登録されている実行条件を示す実行条件情報を、上記で作成した実行条件情報で上書きする。
As a result, the execution condition for the security function selected by the user is registered in the
なお、図6(a)に示すように、実行条件記憶部204には、セキュリティ機能毎に、当該セキュリティ機能が実行される場合の実行条件が関連付けて記憶されている。
As shown in FIG. 6A, the execution
次に、監視装置20の登録処理部201は、実行条件情報を実行条件記憶部204に記憶させると、実行条件の登録要求を制御装置30に送信する(ステップS404)。なお、当該登録要求には、上記のステップS401においてユーザにより選択されたセキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」が含まれる。
Next, when the
制御装置30の登録処理部301は、実行条件の登録要求を受信すると、当該登録要求に含まれるセキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」を示す実行条件情報を作成し、実行条件記憶部304に記憶させる(ステップS405)。
Upon receiving the execution condition registration request, the
ここで、実行条件記憶部304に記憶された実行条件情報を図6(b)に示す。図6(b)に示すように、ステップS405では、登録処理部301により、セキュリティ機能「ログイン認証」及び実行条件「CPU使用率30%未満」である実行条件情報が実行条件記憶部304に記憶される。
Here, the execution condition information stored in the execution
これにより、ユーザにより選択されたセキュリティ機能における実行条件が制御装置30に登録される。なお、同一のセキュリティ機能の実行条件が監視装置20に既に登録されている場合、登録処理部301は、既に登録されている実行条件を示す実行条件情報を、上記で作成した実行条件情報で上書きする。
As a result, the execution condition for the security function selected by the user is registered in the
続いて、制御装置30の登録処理部301は、実行条件情報を実行条件記憶部304に記憶させると、実行条件を登録したことを示す登録結果を監視装置20に送信する(ステップS406)。
Subsequently, when the
そして、監視装置20の登録処理部201は、制御装置30から登録結果を受信すると、当該登録結果を端末装置10に送信する(ステップS407)。
And the
以上により、本実施形態に係る制御システム1では、ユーザにより設定されたセキュリティ機能の実行条件が監視装置20及び制御装置30に登録される。すなわち、本実施形態に係る制御システム1では、ユーザは、端末装置10を用いて、適宜、セキュリティ機能の実行条件を監視装置20及び制御装置30に登録することができる。
As described above, in the
これにより、本実施形態に係る制御システム1では、例えば、制御システム1の制御内容や機器50の構成等が変更された場合、ユーザは、変更内容に応じた適切な実行条件を登録することができるようになる。
Thereby, in the
次に、本実施形態に係る制御システム1において、監視装置20又は制御装置30においてセキュリティ機能を実行する処理について。図7を参照しながら説明する。図7は、第一の実施形態に係るセキュリティ機能の実行処理の一例を示すシーケンス図である。なお、以降では、セキュリティ機能の一例として、「ログイン認証」を実行する場合について説明する。
Next, in the
まず、端末装置10の入力受付部101は、施設環境E1にログインするためのログイン操作を受け付ける(ステップS701)。
First, the
すなわち、ユーザは、端末装置10の表示制御部102により表示された所定のログイン画面において、ログインID及びログインパスワード等を入力して、セキュリティ機能の実行操作の一例であるログイン操作を行う。すると、端末装置10の入力受付部101は、当該ログイン操作を受け付ける。
That is, the user inputs a login ID, a login password, and the like on a predetermined login screen displayed by the
次に、端末装置10の実行要求部104は、入力受付部101によりログイン操作が受け付けられると、セキュリティ機能の一例であるログイン認証の実行要求を監視装置20に送信する(ステップS702)。なお、当該実行要求には、上記のログイン画面においてユーザにより入力されたログインID及びログインパスワード等が含まれる。
Next, when the
監視装置20の実行判定処理部202は、ログイン認証の実行要求を受信すると、実行条件記憶部204に記憶されている実行条件情報に基づいて、ログイン認証を監視装置20で実行するか否かを判定する(ステップS703)。すなわち、監視装置20の実行判定処理部202は、セキュリティ機能の実行判定処理を実行する。なお、本ステップにおけるセキュリティ機能の実行判定処理の詳細については後述する。
When receiving the login authentication execution request, the execution
ステップS703において、実行判定処理部202によりログイン認証を監視装置20で実行すると判定された場合、監視装置20の機能実行部203は、ログイン認証を実行する(ステップS704)。すなわち、監視装置20の機能実行部203は、例えば、ログイン認証の実行要求に含まれるログインID及びパスワード等が、予め設定されたログインID及びパスワード等と一致するか否かを判定して、ログイン認証を行う。
In step S703, when the execution
そして、監視装置20の機能実行部203は、セキュリティ機能の実行結果の一例である認証結果を端末装置10に送信する(ステップS704)。
Then, the
このように、ステップS703のセキュリティ機能の実行判定処理において、セキュリティ機能を実行すると判定された場合、監視装置20の機能実行部203は、実行要求に係るセキュリティ機能を実行する。
As described above, when it is determined in the security function execution determination process in step S703 that the security function is to be executed, the
一方、ステップS703において、実行判定処理部202によりログイン認証を監視装置20で実行しないと判定された場合、監視装置20の機能実行部203は、ログイン認証の実行要求を制御装置30に送信する(ステップS706)。
On the other hand, if the execution
このように、ステップS703のセキュリティ機能の実行判定処理において、セキュリティ機能を実行しないと判定された場合、監視装置20は、セキュリティ機能の実行要求を制御装置30に送信(転送)する。
As described above, when it is determined in the security function execution determination process in step S703 that the security function is not executed, the
制御装置30の実行判定処理部302は、ログイン認証の実行要求を受信すると、実行条件記憶部304に記憶されている実行条件情報に基づいて、ログイン認証を制御装置30で実行するか否かを判定する(ステップS707)。すなわち、制御装置30の実行判定処理部302は、セキュリティ機能の実行判定処理を実行する。なお、本ステップにおけるセキュリティ機能の実行判定処理の詳細については後述する。
When receiving the login authentication execution request, the execution
ステップS707において、実行判定処理部302によりログイン認証を制御装置30で実行すると判定された場合、制御装置30の機能実行部303は、ログイン認証を実行する(ステップS708)。すなわち、制御装置30の機能実行部303は、例えば、ログイン認証の実行要求に含まれるログインID及びパスワード等が、予め設定されたログインID及びパスワード等と一致するか否かを判定して、ログイン認証を行う。
In step S707, when the execution
そして、制御装置30の機能実行部303は、認証結果を監視装置20に送信する(ステップS709)。
Then, the
監視装置20の機能実行部303は、認証結果を受信すると、当該認証結果を端末装置10に送信する(ステップS710)。
When receiving the authentication result, the
このように、監視装置20でセキュリティ機能を実行しない場合に、ステップS707のセキュリティ機能の実行判定処理において、セキュリティ機能を実行すると判定された場合、制御装置30は、実行要求に係るセキュリティ機能を実行する。
As described above, when the
一方、ステップS707において、実行判定処理部302によりログイン認証を制御装置30で実行しないと判定された場合、制御装置30の機能実行部303は、ログイン認証が実行できないことを示す実行不可通知を監視装置20に送信する(ステップS711)。
On the other hand, in step S707, when the execution
監視装置20の機能実行部303は、実行不可通知を受信すると、当該実行不可通知を端末装置10に送信する(ステップS712)。
When the
このように、監視装置20及び制御装置30のいずれでもセキュリティ機能を実行しない場合には、当該セキュリティ機能が実行できないことを示す実行不可通知を端末装置10に送信する。
Thus, when neither the
なお、上記のステップS711で、制御装置30は、監視装置20に実行不可通知を送信するものとしたが、これに限られない。制御装置30は、実行判定処理部302によりログイン認証を制御装置30で実行しないと判定された場合、例えば、他の制御装置30や監視装置20等にセキュリティ機能の実行要求を送信しても良い。
In addition, although said
以上のように、本実施形態に係る制御システム1では、端末装置10からのセキュリティ機能の実行要求に応じて、監視装置20及び制御装置30において、当該セキュリティ機能の実行条件に基づいて実行判定を行う。
As described above, in the
これにより、例えば、実行条件が「CPU使用率30%未満」である場合において、監視装置20のCPU使用率が30%以上である場合、当該監視装置20ではセキュリティ機能が実行されない。制御装置30においても同様である。
Thereby, for example, when the execution condition is “less than 30% CPU usage rate” and the CPU usage rate of the
したがって、本実施形態に係る制御システム1では、例えば、監視装置20や制御装置30においてセキュリティ機能が実行されることでCPUの処理負荷が増大した結果、機器50の動作監視や動作制御に影響を与えてしまう事態を防止することができる。
Therefore, in the
次に、上記のステップS703及びステップS707のセキュリティ機能の実行判定処理の詳細について、図8を参照しながら説明する。図8は、第一の実施形態に係るセキュリティ機能の実行判定処理の一例を示すフローチャートである。 Next, details of the security function execution determination process in steps S703 and S707 will be described with reference to FIG. FIG. 8 is a flowchart illustrating an example of security function execution determination processing according to the first embodiment.
ここで、ステップS703のセキュリティ機能の実行判定処理は、監視装置20の実行判定処理部202により実行される。一方で、ステップS707のセキュリティ機能の実行判定処理は、制御装置30の実行判定処理部302により実行される。以降では、主に、ステップS703のセキュリティ機能の実行判定処理について説明する。
Here, the execution determination process of the security function in step S703 is executed by the execution
なお、監視装置20、実行判定処理部202、条件取得部212、条件判定部222、及び実行条件記憶部204を、それぞれ制御装置30、実行判定処理部302、条件取得部312、条件判定部322、及び実行条件記憶部304と読み替えることで、ステップS707のセキュリティ機能の実行判定処理に同様に適用される。
Note that the
まず、実行判定処理部202の条件取得部212は、該当のセキュリティ機能の実行条件情報を実行条件記憶部204から取得する(ステップS801)。すなわち、条件取得部212は、セキュリティ機能が「ログイン認証」である実行条件情報を実行条件記憶部204から取得する。
First, the
以降では、セキュリティ機能「ログイン認証」、実行条件「CPU使用率30%未満」である実行条件情報が取得されたものとして説明する。 In the following description, it is assumed that execution condition information with the security function “login authentication” and the execution condition “CPU usage rate of less than 30%” has been acquired.
次に、実行判定処理部202の条件判定部222は、条件取得部212により取得された実行条件情報に含まれる実行条件を満たすか否かを判定する(ステップS802)。すなわち、条件判定部222は、監視装置20のCPU16の現在の使用率が、30%未満であるか否かを判定する。
Next, the
ステップS802において、条件判定部222により実行条件を満たすと判定された場合、実行判定処理部202は、該当のセキュリティ機能を監視装置20で実行すると判定する(ステップS803)。すなわち、実行判定処理部202は、ログイン認証を監視装置20で実行すると判定する。
In step S802, when the
ステップS802において、条件判定部222により実行条件を満たさないと判定された場合、実行判定処理部202は、該当のセキュリティ機能を監視装置20で実行しないと判定する(ステップS804)。すなわち、実行判定処理部202は、ログイン認証を監視装置20で実行しないと判定する。
In step S802, when the
以上により、本実施形態に係る制御システム1では、監視装置20及び制御装置30において、セキュリティ機能の実行判定が行われる。しかも、このような実行判定は、監視装置20及び制御装置30のCPU使用率やメモリ使用率等のリソース使用率の条件を示す実行条件に基づいて行われる。
As described above, in the
このため、本実施形態に係る制御システム1では、例えば、監視装置20のリソース使用率が高い場合、制御装置30にセキュリティ機能の実行を切り替えることができる。すなわち、本実施形態に係る制御システム1では、例えば、監視装置20のリソース使用率に基づいて、セキュリティ機能の実行主体を動的に変更することができる。
For this reason, in the
これにより、本実施形態に係る制御システム1では、セキュリティ機能の実行によりリソース使用率が増加した結果、機器50の動作監視や動作制御等に影響を与えてしまう事態を防止することができる。
As a result, in the
[第二の実施形態]
次に、第二の実施形態について説明する。第二の実施形態では、同一のセキュリティ機能に対して、監視装置20と制御装置30とで異なる実行条件を設定できる点が第一の実施形態と異なる。なお、以降の本実施形態の説明では、第一の実施形態との相違点について主に説明し、第一の実施形態と同様の機能構成を有する箇所及び同様の処理を行う箇所には、第一の実施形態と同様の符号を付与し、その説明を省略する。
[Second Embodiment]
Next, a second embodiment will be described. The second embodiment is different from the first embodiment in that different execution conditions can be set between the
<処理の詳細>
以降では、セキュリティ機能の実行条件の登録処理について、図9を参照しながら説明する。図9は、第二の実施形態に係るセキュリティ機能の実行条件の登録処理の一例を示すシーケンス図である。
<Details of processing>
The security function execution condition registration process will be described below with reference to FIG. FIG. 9 is a sequence diagram illustrating an example of security function execution condition registration processing according to the second embodiment.
まず、端末装置10の入力受付部101は、例えば図10に示すセキュリティ機能の実行条件の設定画面2000において、ユーザによるセキュリティ機能の実行条件の登録操作を受け付ける(ステップS901)。
First, the
ここで、図10に示すセキュリティ機能の実行条件の設定画面2000は、セキュリティ機能の一覧2100と、実行条件(監視装置)の一覧2200と、実行条件(制御装置)の一覧2300と、登録ボタン2400とが含まれる。
Here, the security function execution
セキュリティ機能の一覧2100は、実行条件を設定するセキュリティ機能を選択するための一覧である。
A
実行条件(監視装置)の一覧2200は、監視装置20において、セキュリティ機能の一覧2100で選択されたセキュリティ機能に対して設定する実行条件を選択するための一覧である。同様に、実行条件(制御装置)の一覧2300は、制御装置30において、セキュリティ機能の一覧2100で選択されたセキュリティ機能に対して設定する実行条件を選択するための一覧である。登録ボタン2400は、セキュリティ機能の一覧2100、実行条件(監視装置)の一覧2200、及び実行条件(制御装置)の一覧2300で選択されたセキュリティ機能及び実行条件を登録するための表示部品である。
The execution condition (monitoring device)
ユーザは、セキュリティ機能の実行条件の設定画面2000において、セキュリティ機能の一覧2100、実行条件(監視装置)の一覧2200、及び実行条件(制御装置)の一覧2300からそれぞれ所望のセキュリティ機能及び実行条件を選択し、登録ボタン2400を押下することで、登録操作を行うことができる。
In the security function execution
以降では、一例として、ユーザにより、セキュリティ機能の一覧2100、実行条件(監視装置)の一覧2200、及び実行条件(制御装置)の一覧2300からそれぞれ「ログイン認証」、「CPU使用率20%未満」、及び「CPU使用率40%未満」が選択され、登録ボタン2400が押下されたものとして説明する。
Hereinafter, as an example, the user performs “login authentication” and “CPU usage rate less than 20%” from the
次に、端末装置10の登録要求部103は、入力受付部101により登録操作が受け付けられると、実行条件の登録要求を監視装置20に送信する(ステップS902)。なお、当該登録要求には、ユーザにより選択されたセキュリティ機能「ログイン認証」、監視装置20の実行条件「CPU使用率20%未満」、及び制御装置30の実行条件「CPU使用率40%未満」が含まれる。
Next, when the registration operation is accepted by the
監視装置20の登録処理部201は、実行条件の登録要求を受信すると、当該登録要求に含まれるセキュリティ機能「ログイン認証」及び監視装置20の実行条件「CPU使用率20%未満」を示す実行条件情報を作成し、実行条件記憶部204に記憶させる(ステップS903)。
When the
ここで、実行条件記憶部204に記憶された実行条件情報を図11(a)に示す。図11(a)に示すように、ステップS903では、登録処理部201により、セキュリティ機能「ログイン認証」及び実行条件「CPU使用率20%未満」である実行条件情報が実行条件記憶部204に記憶される。
Here, the execution condition information stored in the execution
次に、監視装置20の登録処理部201は、実行条件情報を実行条件記憶部204に記憶させると、実行条件の登録要求を制御装置30に送信する(ステップS904)。
Next, when the
制御装置30の登録処理部301は、実行条件の登録要求を受信すると、当該登録要求に含まれるセキュリティ機能「ログイン認証」及び制御装置30の実行条件「CPU使用率40%未満」を示す実行条件情報を作成し、実行条件記憶部304に記憶させる(ステップS905)。
When the
ここで、実行条件記憶部304に記憶された実行条件情報を図10(b)に示す。図10(b)に示すように、ステップS905では、登録処理部301により、セキュリティ機能「ログイン認証」及び実行条件「CPU使用率40%未満」である実行条件情報が実行条件記憶部304に記憶される。
Here, the execution condition information stored in the execution
以上により、本実施形態に係る制御システム1では、同一のセキュリティ機能に対して、監視装置20と制御装置30とで、異なる実行条件を登録することができる。これにより、ユーザは、監視装置20や制御装置30が備えるRAM14やCPU16に応じて、適切な実行条件を設定することができるようになる。
As described above, in the
[第三の実施形態]
次に、第三の実施形態について説明する。第三の実施形態では、リソース使用率の傾向に基づいてセキュリティ機能を実行するか否かを判定する点が第一の実施形態と異なる。なお、以降の本実施形態の説明では、第一の実施形態との相違点について主に説明し、第一の実施形態と同様の機能構成を有する箇所及び同様の処理を行う箇所には、第一の実施形態と同様の符号を付与し、その説明を省略する。
[Third embodiment]
Next, a third embodiment will be described. The third embodiment is different from the first embodiment in that it is determined whether or not to execute the security function based on the resource usage rate trend. In the following description of the present embodiment, differences from the first embodiment will be mainly described, and parts having the same functional configuration as those of the first embodiment and parts performing the same processing will be described. The same reference numerals as those in the embodiment are given, and the description thereof is omitted.
<機能構成>
次に、第三の実施形態に係る制御システム1の機能構成について、図12を参照しながら説明する。図12は、第三の実施形態に係る制御システムの機能構成の一例を示す図である。
<Functional configuration>
Next, the functional configuration of the
監視装置20は、実行判定処理部202Aを有する。また、監視装置20は、使用率履歴記憶部205を有する。当該記憶部は、記憶装置18を用いて実現可能である。なお、当該記憶部は、例えば、監視装置20とネットワークを介して接続される記憶装置等を用いて実現されても良い。
The
実行判定処理部202Aは、使用率取得部232と、傾向解析部242と、条件判定部222Aとを有する。使用率取得部232は、監視装置20のリソース使用率(例えば、CPU使用率やメモリ使用率)を取得して、使用率履歴記憶部205に記憶させる。傾向解析部242は、使用率履歴記憶部205に記憶されているリソース使用率の傾向を解析する。条件判定部222Aは、傾向解析部242により解析されたリソース使用率の傾向が高使用率となる傾向(以降、「高使用率傾向」とする。)であるか否かを判定する。
The execution
ここで、実行判定処理部202Aは、条件判定部222Aによりリソース使用率の傾向が高使用率傾向でないと判定された場合、セキュリティ機能を監視装置20で実行すると判定する。一方で、実行判定処理部202Aは、条件判定部222Aによりリソース使用率の傾向が高使用率傾向であると判定された場合、セキュリティ機能を監視装置20で実行しないと判定する。
Here, the execution
使用率履歴記憶部205は、リソース使用率の時系列情報である使用率情報を記憶する。ここで、使用率履歴記憶部205に記憶された使用率情報を図13(a)に示す。図13(a)に示すように、使用率履歴記憶部205に記憶された使用率情報は、監視装置20のリソース使用率(例えば、CPU使用率やメモリ使用率)を、当該リソース使用率を取得した取得時刻と対応付けた情報である。
The usage rate
制御装置30は、実行判定処理部202Aを有する。また、制御装置30は、使用率履歴記憶部305を有する。当該記憶部は、記憶装置18を用いて実現可能である。なお、当該記憶部は、例えば、制御装置30とネットワークを介して接続される記憶装置等を用いて実現されても良い。
The
実行判定処理部302Aは、使用率取得部332と、傾向解析部342と、条件判定部322Aとを有する。使用率取得部332は、制御装置30のリソース使用率(例えば、CPU使用率やメモリ使用率)を取得して、使用率履歴記憶部305に記憶させる。傾向解析部342は、使用率履歴記憶部305に記憶されているリソース使用率の傾向を解析する。条件判定部322Aは、傾向解析部342により解析されたリソース使用率の傾向が高使用率傾向であるか否かを判定する。
The execution
ここで、実行判定処理部302Aは、条件判定部322Aによりリソース使用率の傾向が高使用率傾向でないと判定された場合、セキュリティ機能を制御装置30で実行すると判定する。一方で、実行判定処理部302Aは、条件判定部322Aによりリソース使用率の傾向が高使用率傾向であると判定された場合、セキュリティ機能を制御装置30で実行しないと判定する。
Here, the execution
使用率履歴記憶部305は、リソース使用率の時系列情報である使用率情報を記憶する。ここで、使用率履歴記憶部305に記憶された使用率情報を図13(b)に示す。図13(b)に示すように、使用率履歴記憶部305に記憶された使用率情報は、制御装置30のリソース使用率(例えば、CPU使用率やメモリ使用率)を、当該リソース使用率を取得した取得時刻と対応付けた情報である。
The usage rate
<処理の詳細>
以降では、セキュリティ機能の実行判定処理について、図14を参照しながら説明する。図14は、第三の実施形態に係るセキュリティ機能の実行判定処理の一例を示すフローチャートである。
<Details of processing>
Hereinafter, the security function execution determination process will be described with reference to FIG. FIG. 14 is a flowchart illustrating an example of security function execution determination processing according to the third embodiment.
以降では、第一の実施形態と同様に、主に、ステップS703のセキュリティ機能の実行判定処理について説明する。 Hereinafter, as in the first embodiment, the security function execution determination process in step S703 will be mainly described.
なお、第一の実施形態と同様に、監視装置20、実行判定処理部202A、条件取得部212、条件判定部222A、使用率取得部232、傾向解析部242、実行条件記憶部204、及び使用率履歴記憶部205を、それぞれ制御装置30、実行判定処理部302A、条件取得部312、条件判定部322A、使用率取得部332、傾向解析部342、実行条件記憶部304、及び使用率履歴記憶部305と読み替えることで、ステップS707のセキュリティ機能の実行判定処理に同様に適用される。
As in the first embodiment, the
実行判定処理部202Aの使用率取得部232は、監視装置20のリソース使用率を取得する。そして、使用率取得部232は、取得したリソース使用率を取得時刻と関連付けた使用率情報を作成し、使用率履歴記憶部205に記憶させる(ステップS1401)。
The usage
これにより、使用率履歴記憶部205には、使用率取得部232により取得されたリソース使用率の履歴を示す使用率情報が記憶される。
As a result, the usage rate
ステップS802において、条件判定部222Aにより実行条件を満たすと判定された場合、傾向解析部242は、使用率履歴記憶部205に記憶されている使用率情報に含まれるリソース使用率の傾向を解析する(ステップS1402)。
In step S <b> 802, when the
実行判定処理部202Aの条件判定部222Aは、傾向解析部242により解析されたリソース使用率の傾向が高使用率傾向であるか否かを判定する(ステップS1403)。
The
ここで、リソース使用率の傾向は、傾向解析部242により解析された解析結果が、例えば、以下の(1)〜(3)に示すような場合に、条件判定部222Aにより高使用率傾向と判定される。
Here, the trend of the resource usage rate is determined by the
(1)使用率履歴記憶部205に記憶された使用率情報に含まれるリソース使用率の増減を近似(一次近似)した近似式を導出し、当該近似式の傾きが所定の第1の閾値以上である場合。
(1) Deriving an approximate expression that approximates (primary approximation) the increase / decrease of the resource usage rate included in the usage rate information stored in the usage rate
例えば、図13(a)に示すように、使用率情報に含まれるリソース使用率が、取得時刻に従って5分毎に「6%」、「12%」、「18%」等のように増加している場合、近似式は「y=1.2x」と表される。なお、yはリソース使用率、xは時間(分)である。 For example, as shown in FIG. 13A, the resource usage rate included in the usage rate information increases to “6%”, “12%”, “18%”, etc. every 5 minutes according to the acquisition time. The approximate expression is expressed as “y = 1.2x”. Note that y is a resource usage rate and x is time (minutes).
したがって、このとき、傾き「1.2」が第1の閾値以上である場合、実行判定処理部202Aは、リソースの使用率の傾向が高使用率傾向であると判定する。これにより、実行判定処理部202Aは、例えば、リソース使用率が急激に増加するような場合等に高使用率傾向であると判定することができる。
Therefore, at this time, when the slope “1.2” is equal to or greater than the first threshold, the execution
(2)ステップS1401で取得された監視装置20のリソース使用率が所定の第2の閾値以上であり、かつ、使用率履歴記憶部205に記憶された使用率情報に含まれるリソース使用率の増減を近似した近似式の傾きが「正」である場合。
(2) Increase / decrease in the resource usage rate included in the usage rate information stored in the usage rate
これにより、ステップS1401で取得されたリソース使用率が実行条件を満たす場合であっても、当該リソース使用率が第2の閾値以上、かつ、リソース使用率が増加傾向である場合に、実行判定処理部202Aは、高使用率傾向であると判定することができる。
Thereby, even if the resource usage rate acquired in step S1401 satisfies the execution condition, the execution determination process is performed when the resource usage rate is equal to or higher than the second threshold and the resource usage rate is increasing. The
(3)ステップS1401で取得された監視装置20のリソース使用率が所定の第2の閾値以上であり、かつ、使用率履歴記憶部205に記憶された使用率情報に含まれるリソース使用率の増減を近似した近似式の傾きが所定の第1の閾値以上である場合。
(3) Increase / decrease in the resource usage rate included in the usage rate information stored in the usage rate
これにより、ステップS1401で取得されたリソース使用率が第2の閾値以上、かつ、リソース使用率が所定の割合以上で増加するような場合等に、実行判定処理部202Aは、高使用率傾向であると判定することができる。
Thereby, when the resource usage rate acquired in step S1401 is equal to or higher than the second threshold and the resource usage rate increases at a predetermined rate or higher, the execution
(4)使用率履歴記憶部205に記憶された使用率情報に含まれるリソース使用率の増減を近似した近似式の傾きに基づいて、所定の時間内にリソース使用率が所定の第3の閾値以上となる場合。
(4) Based on the slope of the approximate expression that approximates the increase or decrease of the resource usage rate included in the usage rate information stored in the usage rate
すなわち、例えば、近似式を「y=mx」、所定の時間を「T」(分)としたときに、「y=mT」が第3の閾値以上となる場合等である。これにより、例えば、所定の時間経過後に第3の閾値以上となることが予測されるような場合等に、実行判定処理部202Aは、高使用率傾向であると判定することができる。
That is, for example, when “y = mx” is the approximate expression and “T” (minutes) is the predetermined time, “y = mT” is equal to or greater than the third threshold. As a result, for example, when it is predicted that the threshold value will be greater than or equal to the third threshold after a predetermined time has elapsed, the execution
ただし、傾向解析部242による解析手法は上記に限られず、リソース使用率の増加傾向又は減少傾向を解析するための種々の手法が用いられても良い。
However, the analysis method by the
なお、実行判定処理部202Aは、傾向解析部242による解析結果を高使用率傾向であると判定しなかった場合、例えば、リソースの使用率が増加も減少もしていないことを示す「定常傾向」と判定しても良い。また、実行判定処理部202Aは、例えば、高使用率ではないもののリソース使用率が増加していることを示す「増加傾向」やリソース使用率が減少していることを示す「減少傾向」等と判定しても良い。
If the execution
なお、条件判定部222Aによりリソース使用率の傾向が高使用率傾向であると判定された場合、ステップS803に進む。一方で、条件判定部222Aによりリソース使用率の傾向が高使用率傾向でないと判定された場合、ステップS804に進む。
When the
以上により、本実施形態に係る制御システム1では、セキュリティ機能の実行条件を満たしている場合であっても、リソース使用率が高使用率傾向である場合には、当該セキュリティ機能を実行させないようにすることができる。
As described above, in the
これにより、本実施形態に係る制御システム1では、例えば、プロセス制御等においてCPU使用率が増加する傾向の制御が行われている場合、セキュリティ機能の実行を行わないようにすることができる。
Thereby, in the
[第四の実施形態]
次に、第四の実施形態について説明する。第四の実施形態では、実行待ちとなっているセキュリティ機能のリソース使用率を予想して、セキュリティ機能を実行するか否かを判定する点が第一の実施形態と異なる。なお、以降の本実施形態の説明では、第一の実施形態との相違点について主に説明し、第一の実施形態と同様の機能構成を有する箇所及び同様の処理を行う箇所には、第一の実施形態と同様の符号を付与し、その説明を省略する。
[Fourth embodiment]
Next, a fourth embodiment will be described. The fourth embodiment is different from the first embodiment in that the resource usage rate of the security function waiting for execution is predicted and it is determined whether to execute the security function. In the following description of the present embodiment, differences from the first embodiment will be mainly described, and parts having the same functional configuration as those of the first embodiment and parts performing the same processing will be described. The same reference numerals as those in the embodiment are given, and the description thereof is omitted.
<機能構成>
次に、第四の実施形態に係る制御システム1の機能構成について、図15を参照しながら説明する。図15は、第四の実施形態に係る制御システムの機能構成の一例を示す図である。
<Functional configuration>
Next, the functional configuration of the
監視装置20は、実行判定処理部202Bを有する。実行判定処理部202Bは、実行待ち管理部252と、予想使用率算出部262と、条件判定部222Bとを有する。
The
また、監視装置20は、実行条件記憶部204Aと、実行待ち記憶部206とを有する。これら記憶部は、記憶装置18を用いて実現可能である。なお、これら記憶部は、例えば、監視装置20とネットワークを介して接続される記憶装置等を用いて実現されても良い。
The
実行待ち管理部252は、セキュリティ機能の実行要求を受信すると、実行待ち情報として、当該実行要求を実行待ち記憶部206に記憶させる。
Upon receiving the security function execution request, the execution waiting
予想使用率算出部262は、実行条件記憶部204Aに記憶されている実行条件情報と、実行待ち記憶部206に記憶されているセキュリティ機能の実行要求とに基づいて、リソースの予想使用率(以降、「予想リソース使用率」と表す。)を算出する。
Based on the execution condition information stored in the execution
条件判定部222Bは、条件取得部212により取得された実行条件情報と、予想使用率算出部262により算出された予想リソース使用率とに基づいて、実行要求に係るセキュリティ機能の実行条件を満たすか否かを判定する。
Whether the
実行条件記憶部204Aは、実行条件情報を記憶する。なお、実行条件情報の詳細については後述する。
The execution
実行待ち記憶部206は、実行待ち情報として、セキュリティ機能の実行要求を記憶する。なお、実行待ち情報の詳細については後述する。
The execution waiting
制御装置30は、実行判定処理部302Bを有する。実行判定処理部302Bは、実行待ち管理部352と、予想使用率算出部362と、条件判定部322Bとを有する。
The
また、制御装置30は、実行条件記憶部304Aと、実行待ち記憶部306とを有する。これら記憶部は、記憶装置18を用いて実現可能である。なお、これら記憶部は、例えば、制御装置30とネットワークを介して接続される記憶装置等を用いて実現されても良い。
In addition, the
実行待ち管理部352は、セキュリティ機能の実行要求を受信すると、実行待ち情報として、当該実行要求を実行待ち記憶部306に記憶させる。
When receiving the execution request for the security function, the execution waiting
予想使用率算出部362は、実行条件記憶部304Aに記憶されている実行条件情報と、実行待ち記憶部306に記憶されているセキュリティ機能の実行要求とに基づいて、予想リソース使用率を算出する。
The expected usage
条件判定部322Bは、条件取得部312により取得された実行条件情報と、予想使用率算出部362により算出された予想リソース使用率とに基づいて、実行要求に係るセキュリティ機能の実行条件を満たすか否かを判定する。
Whether the
実行条件記憶部304Aは、実行条件情報を記憶する。なお、実行条件情報の詳細については後述する。
The execution
実行待ち記憶部306は、実行待ち情報として、セキュリティ機能の実行要求を記憶する。なお、実行待ち情報の詳細については後述する。
The execution waiting
ここで、実行条件記憶部204Aに記憶された実行条件情報を図16(a)に示す。図16(a)に示すように、本実施形態に係る実行条件情報は、セキュリティ機能毎に、単位時間のリソース使用率が記憶されている。
Here, the execution condition information stored in the execution
例えば、セキュリティ機能「ログイン認証」の単位時間のリソース使用率は「CPU使用率1%」である。同様に、例えば、セキュリティ機能「アクセス制御」の単位時間のリソース使用率は「CPU使用率2%」である。なお、リソース使用率は、メモリ使用率等であっても良い。
For example, the resource usage rate per unit time of the security function “login authentication” is “
なお、実行条件情報に含まれる単位時間のリソース使用率は、ユーザ等によりセキュリティ機能毎に予め設定されても良いし、過去のセキュリティ機能の実行時における実績値の平均等が設定されても良い。 The resource usage rate per unit time included in the execution condition information may be set in advance for each security function by a user or the like, or an average of actual values at the time of execution of past security functions may be set. .
また、実行条件記憶部304Aに記憶された実行条件情報を図16(b)に示す。図16(b)に示すように、本実施形態に係る実行条件情報は、上記と同様に、セキュリティ機能毎に、単位時間のリソース使用率が記憶されている。
Further, the execution condition information stored in the execution
このように、本実施形態に係る実行条件情報には、セキュリティ機能毎に、単位時間のリソース使用率が記憶されている。これにより、本実施形態に係る監視装置20及び制御装置30は、実行待ちとなっているセキュリティ機能の予想リソース使用率を算出することができる。
As described above, in the execution condition information according to the present embodiment, the resource usage rate per unit time is stored for each security function. Accordingly, the
<処理の詳細>
以降では、セキュリティ機能の実行判定処理について、図17を参照しながら説明する。図17は、第四の実施形態に係るセキュリティ機能の実行判定処理の一例を示すフローチャートである。
<Details of processing>
Hereinafter, the security function execution determination process will be described with reference to FIG. FIG. 17 is a flowchart illustrating an example of security function execution determination processing according to the fourth embodiment.
以降では、第一の実施形態と同様に、主に、ステップS703のセキュリティ機能の実行判定処理について説明する。 Hereinafter, as in the first embodiment, the security function execution determination process in step S703 will be mainly described.
なお、第一の実施形態と同様に、監視装置20、実行判定処理部202B、条件取得部212、条件判定部222B、実行待ち管理部252、予想使用率算出部262、実行条件記憶部204A、及び実行待ち記憶部206を、それぞれ制御装置30、実行判定処理部302B、条件取得部312、条件判定部322B、実行待ち管理部352、予想使用率算出部362、実行条件記憶部304A、及び実行待ち記憶部306と読み替えることで、ステップS707のセキュリティ機能の実行判定処理に同様に適用される。
As in the first embodiment, the
実行待ち管理部252は、受信したセキュリティ機能の実行要求(ここでは、ログイン認証の実行要求)を、実行待ち情報として実行待ち記憶部206に記憶させる(ステップS1701)。
The execution
ここで、実行待ち記憶部206に記憶されている実行待ち情報を図18に示す。図18に示すように、実行待ち記憶部206には、セキュリティ機能の実行要求が実行待ち情報として記憶されている。このように、監視装置20は、複数の端末装置10から受信したセキュリティ機能の実行要求のうち、未実行の実行要求を実行待ち情報として実行待ち記憶部206に記憶している。
Here, the execution waiting information stored in the execution waiting
次に、予想使用率算出部262は、実行条件記憶部204Aに記憶されている実行条件情報と、実行待ち記憶部206に記憶されている実行待ち情報とに基づいて、実行待ちとなっているセキュリティ機能の予想リソース使用率を算出する(ステップS1702)。
Next, the expected usage
すなわち、例えば、図18に示すように、2つのログイン認証の実行要求と、1つのアクセス制御の実行要求とが実行待ち情報として実行待ち記憶部206に記憶されているとする。この場合、予想使用率算出部262は、ログイン認証の実行要求の単位時間のリソース使用率(1%)と、アクセス制御の実行要求の単位時間のリソース使用率(2%)とを実行条件記憶部204Aから取得する。
That is, for example, as illustrated in FIG. 18, it is assumed that two login authentication execution requests and one access control execution request are stored in the execution waiting
そして、予想使用率算出部262は、監視装置20の現在のリソース使用率と、実行待ちとなっているセキュリティ機能の単位時間のリソース使用率の合計とを加算することで、予想リソース使用率を算出する。具体的には、予想使用率算出部262は、監視装置20の現在のリソース使用率が25(%)である場合、ログイン認証の実行要求の単位時間のリソース使用率の合計(2×1%)と、アクセス制御の実行要求の単位時間のリソース使用率(1×2%)とから、予想リソース使用率を、25+2×1+1×2=29(%)と算出する。
Then, the expected usage
次に、条件判定部222Bは、予想使用率算出部262により算出された予想リソース使用率が、ステップS801で条件取得部212により取得された実行条件情報に含まれる実行条件を満たすか否かを判定する(ステップS1703)。すなわち、条件判定部222Bは、リソースの予想使用率が、ログイン認証の実行条件である30%未満であるか否かを判定する。
Next, the
ステップS1703において、条件判定部222Bにより実行条件を満たすと判定された場合、監視装置20は、ステップS803の処理を実行する。一方で、ステップS1703において、条件判定部222Bにより実行条件を満たさないと判定された場合、監視装置20は、ステップS804の処理を実行する。
In step S1703, when the
そして、実行待ち管理部252は、上記のステップS1701で実行待ち記憶部206に記憶させた実行待ち情報を削除する(ステップS1704)。
Then, the execution waiting
これにより、本実施形態に係る制御システム1では、例えば、複数の端末装置10からセキュリティ機能の実行要求がなされており、リソースの予想使用率が高い場合には、新たなセキュリティ機能の実行を制限することができる。
Thereby, in the
以上、本発明の実施形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the embodiments of the present invention have been described in detail above, the present invention is not limited to such specific embodiments, and various modifications are possible within the scope of the gist of the present invention described in the claims.・ Change is possible.
1 制御システム
10 端末装置
20 監視装置
30 制御装置
40 変換装置
50 機器
101 入力受付部
102 表示制御部
103 登録要求部
104 実行要求部
201 登録処理部
202 実行判定処理部
203 機能実行部
204 実行条件記憶部
212 条件取得部
222 条件判定部
301 登録処理部
302 実行判定処理部
303 機能実行部
304 実行条件記憶部
312 条件取得部
322 条件判定部
DESCRIPTION OF
Claims (9)
前記第1の装置及び前記第2の装置が実行可能なセキュリティ機能毎に、該セキュリティ機能の実行条件に関する情報を記憶する第1の記憶手段と、
前記情報処理システムに接続される端末装置から送信されたセキュリティ機能の実行要求に応じて、該実行要求に対応するセキュリティ機能の前記実行条件に関する情報を前記第1の記憶手段から取得する取得手段と、
前記取得手段により取得された前記実行条件に関する情報に基づいて、前記セキュリティ機能を前記第1の装置で実行するか否かを判定する第1の判定手段と、
前記第1の判定手段により前記セキュリティ機能を前記第1の装置で実行すると判定された場合、前記セキュリティ機能を前記第1の装置で実行させる実行手段と、
を有し、
前記実行手段は、
前記第1の判定手段により前記セキュリティ機能を前記第1の装置で実行しないと判定された場合、前記セキュリティ機能の実行要求を前記第2の装置に送信する、情報処理システム。 An information processing system including a first device and a second device connected to the first device via a network,
For each security function that can be executed by the first device and the second device, a first storage unit that stores information relating to an execution condition of the security function;
An acquisition unit configured to acquire, from the first storage unit, information related to the execution condition of the security function corresponding to the execution request in response to the security function execution request transmitted from the terminal device connected to the information processing system; ,
First determination means for determining whether or not to execute the security function on the first device based on information on the execution condition acquired by the acquisition means;
Execution means for causing the first apparatus to execute the security function when the first determination means determines that the security function is to be executed by the first apparatus;
Have
The execution means includes
An information processing system which transmits an execution request for the security function to the second device when the first determination unit determines that the security function is not to be executed by the first device.
前記第1の判定手段により前記セキュリティ機能を前記第1の装置で実行すると判定された場合、前記リソース使用率の履歴に関する情報を前記第2の記憶手段から取得し、該リソース使用率の傾向を解析する解析手段と、
前記解析手段による解析結果が、前記リソース使用率の傾向が所定の傾向にあることを示すものであるか否かを判定する第2の判定手段と、
を有し、
前記実行手段は、
前記第2の判定手段により前記リソース使用率の傾向が所定の傾向にあることを示すものでないと判定された場合、前記セキュリティ機能を前記第1の装置で実行させる、請求項2又は3に記載の情報処理システム。 Second storage means for storing information relating to the history of the resource usage rate;
When it is determined by the first determination means that the security function is to be executed by the first device, information regarding the history of the resource usage rate is acquired from the second storage unit, and the tendency of the resource usage rate is obtained. Analysis means to analyze;
Second determination means for determining whether or not the analysis result by the analysis means indicates that the resource usage rate has a predetermined tendency;
Have
The execution means includes
4. The security function according to claim 2, wherein the security function is executed by the first device when the second determining means determines that the resource usage rate does not indicate a predetermined tendency. Information processing system.
前記第2の判定手段により前記リソース使用率の傾向が所定の傾向にあることを示すものであると判定された場合、前記セキュリティ機能の実行要求を前記第2の装置に送信する、請求項4に記載の情報処理システム。 The execution means includes
5. The security function execution request is transmitted to the second device when the second determination means determines that the resource usage rate trend indicates a predetermined trend. Information processing system described in 1.
前記未実行のセキュリティ機能の実行要求に関する情報に基づいて、前記未実行のセキュリティ機能が実行された場合における予想リソース使用率を算出する算出手段と、
を有し、
前記第1の判定手段は、
前記算出手段により算出された前記予想リソース使用率と、前記実行条件に関する情報とに基づいて、前記セキュリティ機能を前記第1の装置で実行するか否かを判定する、請求項1ないし6のいずれか1項に記載の情報処理システム。 Third storage means for storing information related to an execution request for an unexecuted security function, which is a security function execution request transmitted from the terminal device;
Calculation means for calculating an expected resource usage rate when the unexecuted security function is executed based on information on an execution request for the unexecuted security function;
Have
The first determination means includes
7. The method according to claim 1, further comprising: determining whether or not to execute the security function on the first device based on the expected resource usage rate calculated by the calculation unit and information on the execution condition. The information processing system according to claim 1.
前記セキュリティ機能毎に、該セキュリティ機能の単位時間あたりのリソース使用率を記憶し、
前記算出手段は、
前記未実行のセキュリティ機能の実行要求に関する情報と、該セキュリティ機能の前記単位時間あたりのリソース使用率とに基づいて、前記未実行のセキュリティ機能が実行された場合における予想リソース使用率を算出する、請求項7に記載の情報処理システム。 The first storage means is
For each security function, the resource usage rate per unit time of the security function is stored,
The calculating means includes
Calculating an expected resource usage rate when the unexecuted security function is executed based on information on an execution request of the unexecuted security function and the resource usage rate per unit time of the security function; The information processing system according to claim 7.
前記情報処理装置及び前記他の情報処理装置が実行可能なセキュリティ機能毎に、該セキュリティ機能の実行条件に関する情報を記憶する記憶手段と、
前記情報処理装置に接続される端末装置から送信されたセキュリティ機能の実行要求に応じて、該実行要求に対応するセキュリティ機能の前記実行条件に関する情報を前記記憶手段から取得する取得手段と、
前記取得手段により取得された前記実行条件に関する情報に基づいて、前記セキュリティ機能を前記情報処理装置で実行するか否かを判定する判定手段と、
前記判定手段により前記セキュリティ機能を前記情報処理装置で実行すると判定された場合、前記セキュリティ機能を前記情報処理装置で実行させる実行手段と、
を有し、
前記実行手段は、
前記判定手段により前記セキュリティ機能を前記情報処理装置で実行しないと判定された場合、前記セキュリティ機能の実行要求を前記他の情報処理装置に送信する、情報処理装置。 An information processing apparatus connected to another information processing apparatus,
For each security function that can be executed by the information processing apparatus and the other information processing apparatus, storage means for storing information relating to execution conditions of the security function;
An acquisition unit that acquires information on the execution condition of the security function corresponding to the execution request from the storage unit in response to the security function execution request transmitted from the terminal device connected to the information processing apparatus;
Determination means for determining whether or not to execute the security function in the information processing device based on information on the execution condition acquired by the acquisition means;
Execution means for causing the information processing apparatus to execute the security function when the determination means determines that the information processing apparatus executes the security function;
Have
The execution means includes
An information processing apparatus that transmits an execution request for the security function to the other information processing apparatus when the determination unit determines that the security function is not executed by the information processing apparatus.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015202203 | 2015-10-13 | ||
JP2015202203 | 2015-10-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017076364A true JP2017076364A (en) | 2017-04-20 |
JP6750299B2 JP6750299B2 (en) | 2020-09-02 |
Family
ID=58550234
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016096202A Active JP6750299B2 (en) | 2015-10-13 | 2016-05-12 | Information processing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6750299B2 (en) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06266669A (en) * | 1993-03-16 | 1994-09-22 | Hitachi Ltd | Automatic control method for transaction quantity |
JP2006120036A (en) * | 2004-10-25 | 2006-05-11 | Hitachi Ltd | System for transferring transactions |
JP2006293547A (en) * | 2005-04-07 | 2006-10-26 | Fujitsu Ltd | Business process tracking program, recording medium with this program recorded and business process tracking device |
JP2007179243A (en) * | 2005-12-27 | 2007-07-12 | Hitachi Ltd | Communication system and communication apparatus |
JP2009245365A (en) * | 2008-03-31 | 2009-10-22 | Ntt Data Corp | Information processing system, authentication server, service providing server, authentication method, service providing method, and program |
JP2011109180A (en) * | 2009-11-12 | 2011-06-02 | Oki Networks Co Ltd | Communication control apparatus, communication control program, data distribution server, data distribution program, and data distribution system |
JP2011141782A (en) * | 2010-01-08 | 2011-07-21 | Toyota Motor Corp | Information processing apparatus, electronic control unit and task allocation method |
JP2012150668A (en) * | 2011-01-19 | 2012-08-09 | Fujitsu Ltd | Information processing device, control method and program |
JP2014119962A (en) * | 2012-12-17 | 2014-06-30 | Mitsubishi Electric Corp | Information communication system, authentication device, access control method of information communication system, and access control program |
JP2015153011A (en) * | 2014-02-12 | 2015-08-24 | 西日本電信電話株式会社 | job execution planning device |
-
2016
- 2016-05-12 JP JP2016096202A patent/JP6750299B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06266669A (en) * | 1993-03-16 | 1994-09-22 | Hitachi Ltd | Automatic control method for transaction quantity |
JP2006120036A (en) * | 2004-10-25 | 2006-05-11 | Hitachi Ltd | System for transferring transactions |
JP2006293547A (en) * | 2005-04-07 | 2006-10-26 | Fujitsu Ltd | Business process tracking program, recording medium with this program recorded and business process tracking device |
JP2007179243A (en) * | 2005-12-27 | 2007-07-12 | Hitachi Ltd | Communication system and communication apparatus |
JP2009245365A (en) * | 2008-03-31 | 2009-10-22 | Ntt Data Corp | Information processing system, authentication server, service providing server, authentication method, service providing method, and program |
JP2011109180A (en) * | 2009-11-12 | 2011-06-02 | Oki Networks Co Ltd | Communication control apparatus, communication control program, data distribution server, data distribution program, and data distribution system |
JP2011141782A (en) * | 2010-01-08 | 2011-07-21 | Toyota Motor Corp | Information processing apparatus, electronic control unit and task allocation method |
JP2012150668A (en) * | 2011-01-19 | 2012-08-09 | Fujitsu Ltd | Information processing device, control method and program |
JP2014119962A (en) * | 2012-12-17 | 2014-06-30 | Mitsubishi Electric Corp | Information communication system, authentication device, access control method of information communication system, and access control program |
JP2015153011A (en) * | 2014-02-12 | 2015-08-24 | 西日本電信電話株式会社 | job execution planning device |
Also Published As
Publication number | Publication date |
---|---|
JP6750299B2 (en) | 2020-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11041650B2 (en) | Cloud and edge integrated energy optimizer | |
US10841181B2 (en) | Monitoring and auto-correction systems and methods for microservices | |
EP3575975B1 (en) | Method and apparatus for operating smart network interface card | |
CN105404525A (en) | System and method for managing multiple bios default configurations | |
US11489735B2 (en) | Dynamic network allocation apparatus, dynamic network allocation method and non-transitory computer-readable medium | |
US9442786B2 (en) | Determining and correcting software server error conditions | |
US10599107B2 (en) | System and method for smart grid dynamic regulation pools | |
EP2951654B1 (en) | Methods and systems for online monitoring using a variable data sampling rate | |
CN114157701A (en) | Task testing method, device, equipment and storage medium | |
JP2020053013A (en) | Request processing method and device | |
CN111666217A (en) | Method and apparatus for testing code | |
CN112965903A (en) | Test method, test device, electronic equipment and computer readable storage medium | |
CN110347546B (en) | Dynamic adjustment method, device, medium and electronic equipment for monitoring task | |
CN109765850B (en) | Control system | |
JP6750299B2 (en) | Information processing system | |
US9372786B1 (en) | Constructing state-transition functions for mobile devices | |
WO2017069775A1 (en) | Data storage device monitoring | |
WO2017203556A1 (en) | Management computer and optimal value calculation method of system parameter | |
US10379561B2 (en) | Energy saving method based on confidence interval and apparatus using the same | |
Haque et al. | Microservice-based architecture of a software as a service (SaaS) building energy management platform | |
JP6717200B2 (en) | Power control system, power management device, power monitoring control device, power control method, and program therefor | |
US10740214B2 (en) | Management computer, data processing system, and data processing program | |
JP7221465B1 (en) | Control system, programmable logic controller, visualization method and program | |
US10986014B2 (en) | Monitoring system and non-transitory computer-readable recording medium storing monitoring program | |
CN111026571B (en) | Processor down-conversion processing method and device and electronic equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190415 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200310 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200403 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200727 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6750299 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |