JP2018120296A - 通信環境への侵入を検出するシステム、および侵入検出方法 - Google Patents

通信環境への侵入を検出するシステム、および侵入検出方法 Download PDF

Info

Publication number
JP2018120296A
JP2018120296A JP2017009625A JP2017009625A JP2018120296A JP 2018120296 A JP2018120296 A JP 2018120296A JP 2017009625 A JP2017009625 A JP 2017009625A JP 2017009625 A JP2017009625 A JP 2017009625A JP 2018120296 A JP2018120296 A JP 2018120296A
Authority
JP
Japan
Prior art keywords
communication
communication environment
test
virtual
environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017009625A
Other languages
English (en)
Other versions
JP6396519B2 (ja
Inventor
匡宏 小山田
Masahiro Oyamada
匡宏 小山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fanuc Corp
Original Assignee
Fanuc Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fanuc Corp filed Critical Fanuc Corp
Priority to JP2017009625A priority Critical patent/JP6396519B2/ja
Priority to DE102018100813.9A priority patent/DE102018100813A1/de
Priority to US15/874,381 priority patent/US10511612B2/en
Priority to CN201810062867.8A priority patent/CN108347433B/zh
Publication of JP2018120296A publication Critical patent/JP2018120296A/ja
Application granted granted Critical
Publication of JP6396519B2 publication Critical patent/JP6396519B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Geometry (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Architecture (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】通信環境へ侵入する巧妙なリスクを検出し、該リスクから通信環境を防御する技術が求められている。
【解決手段】システム10は、通信環境50における情報または通信を監視して、該通信環境50におけるセキュリティインシデントの発生を検知するセキュリティインシデント検知部12と、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、通常ワークフローを試験通信環境において模擬的に実行する通常ワークフロー実行部16と、試験通信環境において通常ワークフローを実行しているときに、該試験通信環境における情報または通信を監視する通信監視部18とを備える。
【選択図】図1

Description

本発明は、通信環境への侵入を検出するシステム、および侵入検出方法に関する。
通信環境への侵入を検出する情報セキュリティ管理システムが知られている(例えば、特許文献1)。
特開2005−242754号公報
近年、通信環境に侵入する手段(例えば、マルウェア)が巧妙化してきている。このような通信環境に対するリスクを検出し、該リスクから通信環境を防御する技術が強く求められている。
本開示の一態様において、複数の通信機器が通信ネットワークによって通信可能に接続される通信環境への侵入を検出するシステムは、通信環境における情報または通信を監視して、該通信環境におけるセキュリティインシデントの発生を検知するセキュリティインシデント検知部を備える。
このシステムは、セキュリティインシデント検知部がセキュリティインシデントを検知したときに、通常ワークフローを試験通信環境において模擬的に実行する通常ワークフロー実行部を備える。通常ワークフローは、通信環境において少なくとも1つの通信機器が実行するように予め定められる。
試験通信環境は、通信環境の一部または該通信環境とは別の通信環境として設けられる。このシステムは、試験通信環境において通常ワークフローを実行しているときに、試験通信環境における情報または通信を監視する通信監視部を備える。
本開示の他の態様において、複数の通信機器が通信ネットワークによって通信可能に接続される通信環境への侵入を検出する方法は、通信環境における情報または通信を監視して、該通信環境におけるセキュリティインシデントの発生を検知することを備える。
この方法は、セキュリティインシデントを検知したときに、通信環境において少なくとも1つの通信機器が実行するように予め定められた通常ワークフローを、通信環境の一部または該通信環境とは別の通信環境として設けられた試験通信環境において模擬的に実行することと、試験通信環境において通常ワークフローを実行しているときに、試験通信環境における情報または通信を監視することとを備える。
一実施形態に係る通信環境のブロック図である。 図1に示す通信環境の1つのセクションを構成する通信環境のブロック図である。 図1に示す通信環境において、図2に示す通信環境を仮想化して試験通信環境を設定した状態を示すブロック図である。 図1に示す通信環境の1つのセクションを構成する通信環境のブロック図である。 図1に示す通信環境において、図4に示す通信環境を仮想化して試験通信環境を設定した状態を示すブロック図である。 図1に示すシステムの動作フローの一例を表すフローチャートである。 他の実施形態に係る通信環境のブロック図である。 図7に示すシステムの動作フローの一例を表すフローチャートである。 さらに他の実施形態に係る通信環境のブロック図である。 図9に示すシステムの動作フローの一例を表すフローチャートである。 さらに他の実施形態に係る通信環境のブロック図である。 図11に示す各システムの動作フローの一例を表すフローチャートである。 さらに他の実施形態に係る通信環境のブロック図である。 さらに他の実施形態に係る通信環境のブロック図である。
以下、本開示の実施の形態を図面に基づいて詳細に説明する。なお、以下に説明する種々の実施形態において、同様の要素には同じ符号を付し、重複する説明を省略する。まず、図1を参照して、一実施形態に係るシステム10について説明する。システム10は、通信環境50への侵入を検出する。通信環境50においては、複数の通信機器52が、通信ネットワーク54によって、互いに通信可能に接続されている。
通信機器52の各々は、例えば、サーバ、端末装置(PC、スマートフォン、タブレット等)、各種センサ(ロボットのビジョンセンサ、エンコーダ、ICリーダ等)、またはストレージ装置等、通信ネットワーク54を介して他の機器と通信可能なコンピュータである。
通信機器52の少なくとも1つは、例えば、特定の目的を果たすためにデータ処理する機能、各種センサ(例えば、後述するロボットのビジョンセンサ、エンコーダ、またはICリーダ等)の作動を記録する機能、または、ソフトウェアを実行する機能を有する。
また、通信機器52の少なくとも1つは、OS(オペレーティングシステム)と、該OSと論理的に接続された通信機器52の作動データの記録、特定のソフトウェアを実行したログの記録、または、システムの運用状況の記録を行うツールとを具備する。
通信機器52が後述するようなロボットである場合、該ツールは、ロボットを動作させるための演算処理に加えて、ロボット動作の記録(例えば、ロボットを動作させるサーボモータの回転角度、または、ロボット座標系におけるロボットハンドの座標(すなわち、ツール座標系)の記録)を行う。
通信ネットワーク54は、ネットワークスイッチ(例えば、レイア2スイッチ、レイア3スイッチ等)、ルータ、通信ケーブル(例えば、光ファイバケーブル)、無線通信モジュール等を有する。
通信ネットワーク54は、有線または無線で、情報を伝送する。通信ネットワーク54は、例えば、企業のイントラネットまたはLANであって、通信環境50の外部の通信ネットワーク(例えば、インターネット)に通信可能に接続されている。
システム10は、通信ネットワーク54に通信可能に接続され、通信環境50を構成している。例えば、システム10は、演算処理ユニット(例えばCPU)および記憶部を有するサーバから構成される。または、システム10は、複数の通信機器から構成されてもよい。システム10は、セキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、および通信監視部18を備える。
以下、図1〜図5を参照して、これらセキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、および通信監視部18の機能について、説明する。
セキュリティインシデント検知部12は、通信環境50に蓄積されている情報、または通信環境50で行われる通信を監視して、該通信環境50におけるセキュリティインシデントの発生を検知する。
通信環境50に蓄積されている情報としては、通信機器52に記憶される各種データ、通信機器52の作動に関するデータ、通信機器52が特定のソフトウェアを実行したときのログ、システムの運用状況のデータ等がある。
ここで、セキュリティインシデントとしては、後述の通常ワークフローでは行われないような通信、統計的分析により異常と判定される通信機器52のデバイスの作動記録、異常な設定でのソフトウェアの実行、および、ソフトウェアの実行による通信機器52の基本挙動の改変、アクセス権限を有していない者による通信機器52への不正アクセス等がある。
セキュリティインシデント検知部12は、通信機器52に蓄積された情報(例えば、通信機器52の作動データ、ソフトウェア実行のログ、システムの運用状況のデータ等)、または、少なくとも2つの通信機器52の間で行われる通信を監視することによって、セキュリティインシデントを検知する。
一例として、セキュリティインシデント検知部12は、個々の不正アクセスの特徴から該不正アクセスを検出するための検出用パターン(通信がパケット方式である場合はパケット内のデータの検出用パターン)を定義し、該検出用パターンと一致するデータまたはログが発生した場合に、セキュリティインシデントとして検出する。
他の例として、セキュリティインシデント検知部12は、通信機器52において、統計的に異常と判定されるデバイスの作動データの記録、ソフトウェア実行のログの記録、または、基本挙動の改変が行われた場合に、これら事象を自動的に分析する。そして、セキュリティインシデント検知部12は、これら事象が正当なオペレータによって行われた事象ではない場合、セキュリティインシデントとして検出する。
例えば、通信機器52が工作機械またはロボットであり、その動作プログラムが改変された場合において、セキュリティインシデント検知部12は、該動作プログラムが改変されたときの通信環境50における通信、各通信機器52のデバイスの作動の記録、ソフトウェア実行のログ、またはそれらを組み合わせたデータの統計的な判定処理を実行し、該改変が不正であるか否かを判定する。
さらに他の例として、セキュリティインシデント検知部12は、通信環境50で行われる通信の通常状態の記録を継続して取得する一方、通常ワークフローで発生する正当な通常状態の記録から逸脱した不正通信状態を、統計学的手法を用いて予め定める。そして、セキュリティインシデント検知部12は、実際の通信状態と不正通信状態との差を統計学的に判定し、両者に有意な差があった場合に、セキュリティインシデントとして検出する。
試験通信環境設定部14は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、試験通信環境を設定する。一例として、試験通信環境設定部14は、図2に示す通信環境60を仮想化した仮想通信環境60V(図3)を、試験通信環境60Vとして設定する。
通信環境60は、通信環境50の1つのセクションを構成する通信環境であって、上位コントローラ62、通信ネットワーク64、ロボットコントローラ66、通信ケーブル68、およびロボット70を有する。
通信ネットワーク64は、ネットワークスイッチ、ルータ、通信ケーブル、または無線通信モジュール等を有し、上述の通信ネットワーク54の1つのセクションを構成する。通信ネットワーク64は、上位コントローラ62とロボットコントローラ66とを、互いに通信可能に接続する。
通信ケーブル68は、上述の通信ネットワーク54の一構成要素であって、ロボットコントローラ66とビジョンセンサ72、および、ロボットコントローラ66とサーボモータ74とを、通信可能に接続する。
ロボット70は、例えば、垂直多関節型の産業用ロボットであって、予め定められた作業を行う。この作業は、ワーク(図示せず)の運搬、加工または溶接等を含む。ロボット70は、ビジョンセンサ72およびサーボモータ74を有する。
ビジョンセンサ72は、ロボット70の作業時にワーク等の物体を撮像する。サーボモータ74は、ロボット70の可動要素(旋回胴、ロボットアーム、手首部、ロボットハンド)に内蔵され、これら可動要素を動作させる。
上位コントローラ62、ロボットコントローラ66、ビジョンセンサ72、およびサーボモータ74は、それぞれ、図1に示す通信機器52を構成している。上位コントローラ62は、演算処理ユニット(例えば、CPU)および記憶部(例えば、ROMまたはRAM)を有し、通信ネットワーク64を介して、ロボットコントローラ66に指令を送信する。
このとき、上位コントローラ62は、該指令を、ラダープログラムの形態で、通信機器52の1つを構成するPLC(プログラマブルロジックコントローラ)を経由して、ロボットコントローラ66に送信し得る。
例えば、上位コントローラ62は、工場で生産する製品の生産スケジュールを管理する生産管理装置であって、生産スケジュールに従ってロボット70を動作させるべく、ロボットコントローラ66に作業指令を送信する。
ロボットコントローラ66は、演算処理ユニット(例えばCPU)および記憶部(例えば、ROMまたはRAM)を有し、ロボット70の各構成要素を直接的または間接的に制御する。ロボットコントローラ66は、上位コントローラ62からの作業指令に応じて、ロボット70を動作させて、該ロボット70に作業(ワークの運搬、加工、溶接等)を実行させる。
ロボット70を動作させるとき、ロボットコントローラ66は、ビジョンセンサ72およびサーボモータ74と通信する。具体的には、ロボットコントローラ66は、ビジョンセンサ72に撮像指令を送る。ビジョンセンサ72は、ロボットコントローラ66からの撮像指令に応じて、ワーク等の物体を撮像し、撮像した画像をロボットコントローラ66へ送信する。
ロボットコントローラ66は、ビジョンセンサ72から受信した画像に基づいて、サーボモータ74への指令(例えば、トルク指令または速度指令)を生成し、サーボモータ74へ送信する。
サーボモータ74は、ロボットコントローラ66からの指令に応じて、ロボット70の可動要素を動作させるとともに、フィードバック(例えば、フィードバック電流または負荷トルク)をロボットコントローラ66へ送信する。このような通信を実行しつつ、ロボットコントローラ66は、ロボット70を動作させる。
ロボットコントローラ66は、ロボット70を動作させているときに、ロボット70の状態を監視する通信機能を用いて、ロボット70の関節の角度(すなわち、サーボモータ74の回転角度)、ロボット70に設けられたロボットハンド(図示せず)のロボット座標系における位置(すなわち、ツール座標系の位置)を、通信環境に蓄積される情報として記録する。
ロボット70による作業が完了したとき、ロボットコントローラ66は、通信ネットワーク64を介して、上位コントローラ62に作業完了信号を送信する。
このようにして、通信環境60においては、上位コントローラ62、ロボットコントローラ66、ビジョンセンサ72、およびサーボモータ74が互いに通信しつつ、上述の一連の動作を実行する。
試験通信環境設定部14は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、図2に示す通信環境60を仮想化し、図3に示す仮想通信環境60Vを設定する。
仮想通信環境60Vは、仮想上位コントローラ62V、仮想通信ネットワーク64V、仮想ロボットコントローラ66V、仮想通信ケーブル68V、および仮想ロボット70Vを有する。
仮想上位コントローラ62Vは、少なくとも1つの通信機器52のリソースを利用して構築される。例えば、仮想上位コントローラ62Vは、サーバである1つの通信機器52において、論理サーバとして構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、上位コントローラ62の機能(例えば、ロボットコントローラ66との通信)を模擬的に実行する。
同様に、仮想ロボットコントローラ66Vは、少なくとも1つの通信機器52のリソースを利用して構築される。例えば、仮想ロボットコントローラ66Vは、サーバである1つの通信機器52において、論理サーバとして構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、ロボットコントローラ66の機能を模擬的に実行する。
具体的には、仮想ロボットコントローラ66Vは、仮想上位コントローラ62V、仮想ビジョンセンサ72V、および仮想サーボモータ74Vと通信しつつ、仮想ロボット12を模擬的に動作させる。このときに仮想通信環境60Vで行われる通信は、少なくともの1つの通信機器52(例えば、仮想通信環境60Vの仮想化のためのリソースとして用いられている通信機器52)に記録される。
また、仮想ロボットコントローラ66Vが仮想ロボット70を動作させているとき、該仮想ロボット70Vの関節の角度(すなわち、仮想サーボモータ74Vの回転角度)、仮想ロボット70Vに設けられた仮想ロボットハンド(図示せず)のロボット座標系における位置(すなわち、ツール座標系の位置)が、少なくともの1つの通信機器52に情報として記録される。
仮想通信ネットワーク64Vは、通信ネットワーク54を仮想化したものであって、通信ネットワーク54を構成するネットワークスイッチ、ルータ、通信ケーブル、および無線通信モジュールのリソースを利用して構築される。仮想通信ネットワーク64Vは、仮想上位コントローラ62Vと仮想ロボットコントローラ66Vとを、通信可能に接続する。
仮想ロボット70Vは、ビジョンセンサ72を仮想化した仮想ビジョンセンサ72Vと、サーボモータ74を仮想化した仮想サーボモータ74Vとを有する。仮想ビジョンセンサ72Vおよび仮想サーボモータ74Vの各々は、少なくとも1つの通信機器52のリソースを利用して構築される。
例えば、仮想ビジョンセンサ72Vおよび仮想サーボモータ74Vの各々は、PCである1つの通信機器52において論理的に構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、ビジョンセンサ72およびサーボモータ74の各々の機能(例えば、ロボットコントローラ66との通信)を模擬的に実行する。
仮想通信ケーブル68Vは、通信ネットワーク54を仮想化したものであって、通信ネットワーク54を構成する通信ケーブルのリソースを利用して構築される。仮想通信ケーブル68Vは、仮想ロボットコントローラ66Vと仮想ビジョンセンサ72V、および、仮想ロボットコントローラ66Vと仮想サーボモータ74Vとを、通信可能に接続する。
このように、試験通信環境設定部14は、図3に示すように、通信環境50の一部として、仮想通信環境(すなわち、試験通信環境)60Vを設定する。
他の例として、試験通信環境設定部14は、図4に示す通信環境80を仮想化した仮想通信環境80V(図5)を、試験通信環境80Vとして設定する。
通信環境80は、通信環境50の1つのセクションを構成する通信環境であって、情報管理サーバ82、通信ネットワーク84および86、複数のIDリーダ88、ならびに、複数のPC90を有する。
通信ネットワーク84および86の各々は、ネットワークスイッチ、ルータ、通信ケーブル、または無線通信モジュール等を有し、上述の通信ネットワーク54の1つのセクションを構成する。
通信ネットワーク84は、情報管理サーバ82と複数のIDリーダ88とを、互いに通信可能に接続する。一方、通信ネットワーク86は、情報管理サーバ82と複数のPC90とを、互いに通信可能に接続する。情報管理サーバ82、IDリーダ88、およびPC90は、それぞれ、図1に示す通信機器52を構成する。
IDリーダ88は、いわゆるRFID技術によって、従業員が保持するIDカードに内蔵されたICタグと無線通信し、該ICタグに記憶された従業員のID番号を取得する。IDリーダ88は、取得したID番号を、通信ネットワーク84を介して情報管理サーバ82へ送信する。
PC90は、個々の従業員に割り当てられており、従業員は、自身に割り当てられたPC90にログインし、該PC90を用いて、各種業務を行う。PC90は、従業員によるログイン情報(例えば、ログインID、ログイン日時等)を、通信ネットワーク84を介して情報管理サーバ82へ送信する。
情報管理サーバ82は、演算処理ユニット(例えば、CPU)および記憶部(例えば、ROMまたはRAM)を有し、IDリーダ88およびPC90から送信されるID番号およびログイン情報を収集し、記憶部に記憶する。情報管理サーバ82は、収集したID番号およびログイン情報に基づいて、従業員の労働時間または業務フロー等を管理する。
試験通信環境設定部14は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、図4に示す通信環境80を仮想化し、図5に示す仮想通信環境80Vを設定する。
仮想通信環境80Vは、仮想情報管理サーバ82V、仮想通信ネットワーク84Vおよび86V、複数の仮想IDリーダ88V、ならびに、複数の仮想PC90Vを有する。
仮想情報管理サーバ82Vは、少なくとも1つの通信機器52のリソースを利用して構築される。例えば、仮想情報管理サーバ82Vは、サーバである1つの通信機器52において論理サーバとして構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、情報管理サーバ82の機能(例えば、ID番号およびログイン情報の収集)を模擬的に実行する。
この動作を実行しているときに仮想通信環境80Vで行われるデータ処理は、少なくともの1つの通信機器52(例えば、仮想通信環境80Vの仮想化のためのリソースとして用いられている通信機器52)に記録される。
仮想IDリーダ88Vの各々は、少なくとも1つの通信機器52のリソースを利用して構築される。例えば、仮想IDリーダ88Vは、サーバである1つの通信機器52において論理サーバとして構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、仮想IDリーダ88の機能(例えば、ID番号の取得および送信)を模擬的に実行する。
仮想PC90Vの各々は、少なくとも1つの通信機器52のリソースを利用して構築される。例えば、仮想PC90Vは、サーバである1つの通信機器52において、PC90のOSおよびソフトウェアを仮想化することによって、構築される。この場合、該1つの通信機器52が、仮想化の演算処理のリソースを用いて、PC90の機能(例えば、ログイン情報の送信)を模擬的に実行する。
仮想通信ネットワーク84Vおよび86Vの各々は、通信ネットワーク54を仮想化したものであって、通信ネットワーク54を構成するネットワークスイッチ、ルータ、通信ケーブル、および無線通信モジュールのリソースを利用して構築される。
仮想通信ネットワーク84Vは、仮想情報管理サーバ82Vと、複数の仮想IDリーダ88Vとを、互いに通信可能に接続する。一方、仮想通信ネットワーク86Vは、仮想情報管理サーバ82Vと、複数の仮想PC90Vとを、互いに通信可能に接続する。
このように、試験通信環境設定部14は、図5に示すように、通信環境50の一部として、仮想通信環境(すなわち、試験通信環境)80Vを設定する。試験通信環境設定部14は、仮想化のために使用した通信機器52のリソースの許容量を超えない範囲で、該通信機器52のリソースを用いて仮想通信環境60Vまたは80Vの構成要素をさらに仮想化してもよい。
この場合において、マルウェア等の攻撃目標が仮想化のために使用した通信機器52ではないことをセキュリティインシデント検知部12が検知していた場合、試験通信環境設定部14は、セキュリティインシデント検知部12の検知結果に基づいて、仮想通信環境80Vをさらに仮想化するか否かを判定してもよい。
通常ワークフロー実行部16は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、試験通信環境60V、80Vにおいて通常ワークフローを模擬的に実行する。この通常ワークフローは、通信環境50において少なくとも1つの通信機器52が通常業務として実行するように予め定められた動作フローである。
一例として、試験通信環境設定部14が図3に示す試験通信環境60Vを設定した場合、通常ワークフロー実行部16は、該試験通信環境60Vにおいて、仮想上位コントローラ62V、仮想ロボットコントローラ66V、仮想ビジョンセンサ72V、および仮想サーボモータ74Vに、以下のような通常ワークフローを実行させる。
具体的には、仮想上位コントローラ62Vは、仮想ロボットコントローラ66Vに仮想作業指令を送信する。仮想ロボットコントローラ66Vは、仮想上位コントローラ62Vからの仮想作業指令に応じて、仮想ロボット70Vを模擬的に動作させて、該仮想ロボット70Vに作業(ワークの運搬、加工、溶接等の動作プログラムの実行、周辺機器へのI/O通信指令の発信等)を模擬的に実行させる。
この動作を実行しているとき、仮想ロボットコントローラ66Vは、仮想ビジョンセンサ72Vに仮想撮像指令を送る。仮想ビジョンセンサ72Vは、仮想ロボットコントローラ66Vからの仮想撮像指令に応じて、物体を模擬的に撮像した仮想画像を生成し、生成した仮想画像を仮想ロボットコントローラ66Vへ送信する。
仮想ロボットコントローラ66Vは、仮想ビジョンセンサ72Vから受信した仮想画像に基づいて、仮想サーボモータ74Vへの指令を模擬的に生成し、該仮想サーボモータ74Vへ送信する。
仮想サーボモータ74Vは、仮想ロボットコントローラ66Vからの指令に応じて模擬的に動作するとともに、仮想フィードバック(例えば、仮想フィードバック電流または仮想負荷トルク)を仮想ロボットコントローラ66Vへ送信する。
通常ワークフロー実行部16は、仮想上位コントローラ62V、仮想ロボットコントローラ66V、仮想ビジョンセンサ72V、および仮想サーボモータ74Vが構築されている、通信環境50の通信機器52のリソースを制御して、上述したような一連の通常ワークフローを試験通信環境60Vにて模擬的に実行させる。
ここで、通常ワークフロー実行部16は、通信環境50で上位コントローラ62、ロボットコントローラ66、ビジョンセンサ72、およびサーボモータ74が、上述の通常ワークフローを実行するときよりも高速または低速で、試験通信環境60Vにて該通常ワークフローを模擬的に実行する。
例えば、通常ワークフロー実行部16は、試験通信環境60Vにおける時間を規定する標準時間を、通信環境50における標準時間(すなわち、実際の標準時間)よりも速く(または遅く)経過するように、設定する。
または、通常ワークフロー実行部16は、試験通信環境60Vにて通常ワークフローを実行するときに仮想上位コントローラ62V、仮想ロボットコントローラ66V、仮想ビジョンセンサ72V、および仮想サーボモータ74Vの間で行われる通信の周期を、通信環境50にて通常ワークフローを実行するときよりも、短く(または長く)設定する。
このような手法により、通常ワークフロー実行部16は、通信環境50で通常ワークフローを実行するときよりも高速(または低速)で、試験通信環境60Vにて該通常ワークフローを実行できる。
ここで、通常ワークフロー実行部16は、セキュリティインシデント検知部12が検知したセキュリティインシデントの内容を条件として、試験通信環境60Vにて該通常ワークフローを実行する速度を順次変更させてもよい。
一例として、セキュリティインシデント検知部12が検知したセキュリティインシデントから、ロボットコントローラ66が特定のソフトウェア(例えば、ロボット70の動作プログラム)を実行するときのログを盗み取る目的を持ったマルウェアの潜入が疑われる場合を想定する。
この場合、通常ワークフロー実行部16は、試験通信環境60Vにおいて、仮想ロボットコントローラ66Vが該ソフトウェアを実行するまでの模擬的プロセスを、通信環境50で通常ワークフローを実行するときよりも、高速で実行する。
次いで、通常ワークフロー実行部16は、仮想ロボットコントローラ66Vが該ソフトウェアを実行するプロセスを、通信環境50で通常ワークフローを実行するときと同等またはそれよりも低速で、実行する。このように、通常ワークフロー実行部16は、セキュリティインシデントの内容に応じて、試験通信環境60Vにて通常ワークフローを実行する速度を可変とする。
また、通常ワークフロー実行部16は、通信環境50で通常ワークフローが実行されるときと同じデータ処理順序となるように、試験通信環境60Vで通常ワークフローを実行する。
また、通常ワークフロー実行部16は、通信環境50で通常ワークフローが実行されるときと同じタイミングで、然るべきデータ処理を実行する。例えば、通信環境50で通常ワークフローを実行するとき、標準時間13時00分に上位コントローラ62がデータ処理Aを実行することが予定されていたとする。
この場合、通常ワークフロー実行部16は、試験通信環境60Vにおける標準時間13時00分に仮想上位コントローラ62Vにデータ処理Aを模擬的に実行させる。このように、通常ワークフロー実行部16は、試験通信環境60Vで通常ワークフローを高速または低速で実行する場合においても、通信環境50で通常ワークフローが実行されるときと同じ順序且つタイミングで、各種動作を実行する。
他の例として、試験通信環境設定部14が図5に示す試験通信環境80Vを設定した場合、通常ワークフロー実行部16は、該試験通信環境80Vにおいて、仮想情報管理サーバ82V、仮想IDリーダ88V、および仮想PC90Vに、以下のような通常ワークフローを実行させる。
具体的には、仮想IDリーダ88Vは、IDカードからID番号を取得する動作を模擬的に実行し、取得した仮想ID番号を、仮想通信ネットワーク84Vを介して仮想情報管理サーバ82Vへ送信する。
また、仮想PC90Vは、該仮想PC90Vへのログイン動作を模擬的に実行し、仮想ログイン情報(例えば、ログインID、ログイン日時等)を、仮想通信ネットワーク84Vを介して、仮想情報管理サーバ82Vへ送信する。
仮想情報管理サーバ82Vは、仮想IDリーダ88Vおよび仮想PC90Vから送信された仮想ID番号および仮想ログイン情報を収集し、収集した仮想ID番号および仮想ログイン情報に基づいて、従業員の労働時間または業務フローを管理する動作を、模擬的に実行する。
通常ワークフロー実行部16は、仮想情報管理サーバ82V、仮想IDリーダ88V、および仮想PC90Vが構築されている、通信環境50の通信機器52のリソースを制御して、上述したような一連の通常ワークフローを試験通信環境80Vにて模擬的に実行させる。
ここで、通常ワークフロー実行部16は、通信環境50で情報管理サーバ82、IDリーダ88、およびPC90が上述の通常ワークフローを実行するときよりも高速または低速で、試験通信環境80Vにて該通常ワークフローを模擬的に実行する。
例えば、通常ワークフロー実行部16は、試験通信環境80Vにおける時間を規定する標準時間を、通信環境50における標準時間よりも速く(または遅く)経過するように設定する。
または、通常ワークフロー実行部16は、試験通信環境80Vにて通常ワークフローを模擬的に実行するときに仮想情報管理サーバ82V、仮想IDリーダ88V、および仮想PC90Vの間で行われる通信の周期を、通信環境50にて通常ワークフローを実行するときよりも、短く(または長く)設定する。
このような手法により、通常ワークフロー実行部16は、通信環境50で通常ワークフローを実行するときよりも高速(または低速)で、試験通信環境80Vにて該通常ワークフローを実行できる。
通信監視部18は、通常ワークフロー実行部16が試験通信環境60V、80Vにおいて通常ワークフローを模擬的に実行しているときに、該試験通信環境60V、80Vにおける情報および通信を監視する。
具体的には、通信監視部18は、試験通信環境60V、80Vに蓄積されている全ての情報(各種データ、ログ)、および試験通信環境60V、80Vにおいて行われている全ての通信を、システム10の記憶部に記憶する。
また、通信監視部18は、試験通信環境60V、80Vにおける情報および通信を、例えばオペレータからの要求に応じて、表示部(図示せず)に表示する。これにより、オペレータは、試験通信環境60V、80Vで行われている通信が適正か否かを判断できる。
なお、以上に述べたセキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、および通信監視部18の機能は、システム10を構成するサーバ(または、少なくとも1つの通信機器)の演算処置ユニットが担うことになる。
次に、図6を参照して、システム10の動作フローの一例について、説明する。図6に示す動作フローは、システム10の演算処置ユニットが、オペレータから通信環境50への侵入を監視する監視指令を受け付けたときに、開始する。
ステップS1において、セキュリティインシデント検知部12は、通信環境50におけるセキュリティインシデントの発生を検知する動作を開始する。
一例として、セキュリティインシデント検知部12は、通信環境50における通信で発生したデータまたはログ等と、不正アクセスを検出するための検出用パターンとを順次比較する。他の例として、セキュリティインシデント検知部12は、実際に通信環境50で行われている通信状態と、予め定められた不正通信状態との差を検出する。
ステップS2において、セキュリティインシデント検知部12は、通信環境50においてセキュリティインシデントが発生したか否かを判定する。
一例として、セキュリティインシデント検知部12は、検出用パターンと一致するデータまたはログが発生したか否かを判定する。他の例として、セキュリティインシデント検知部12は、実際に通信環境50で行われている通信状態と不正通信状態との間に有意な差が発生したか否かを判定する。
セキュリティインシデント検知部12は、検出用パターンと一致するデータまたはログが発生した場合、または、実際に通信環境50で行われている通信状態と不正通信状態との差が発生した場合、YESと判定し、ステップS3へ進む。
一方、セキュリティインシデント検知部12は、検出用パターンと一致するデータまたはログが発生していない場合、または、実際に通信環境50で行われている通信状態と不正通信状態との差が発生していない場合、NOと判定し、ステップS7へ進む。
ステップS3において、試験通信環境設定部14は、通信環境50において試験通信環境60V、80Vを設定する。例えば、試験通信環境設定部14は、上述したように、図3に示す仮想通信環境60V、または図5に示す仮想通信環境80Vを、試験通信環境60Vまたは80Vとして設定する。
ステップS4において、通常ワークフロー実行部16は、試験通信環境60V、80Vにおいて通常ワークフローを模擬的に実行する。例えば、通常ワークフロー実行部16は、試験通信環境60Vにおいて、仮想上位コントローラ62V、仮想ロボットコントローラ66V、仮想ビジョンセンサ72V、および仮想サーボモータ74Vに、上述したような一連の通常ワークフローを実行させる。
または、通常ワークフロー実行部16は、試験通信環境80Vにおいて、仮想情報管理サーバ82V、仮想IDリーダ88V、および仮想PC90Vに、上述したような一連の通常ワークフローを実行させる。
ステップS5において、通信監視部18は、試験通信環境60V、80Vにおける情報および通信を監視する。具体的には、通信監視部18は、試験通信環境60V、80Vに蓄積されている全ての情報、および試験通信環境60Vまたは80Vにおいて行われている全ての通信を、システム10の記憶部に記憶する。そして、通信監視部18は、試験通信環境60Vまたは80Vにおける情報および通信を表示部に表示する。
なお、通信監視部18は、試験通信環境60V、80Vで行われている通信と、通信環境50で通常ワークフローを適正に実行しているときに行われるべき通信とを統計的に比較し、両者に有意な差があるか否かを判定してもよい。そして、通信監視部18は、両者に差がある場合に、オペレータに音声または画像で警告を発信してもよい。
ステップS6において、システム10の演算処理ユニットは、オペレータから動作終了指令を受け付けたか否かを判定する。システム10の演算処理ユニットは、動作終了指令を受け付けた場合、YESと判定し、図6に示すフローを終了する。一方、システム10の演算処理ユニットは、動作終了指令を受け付けていない場合、NOと判定し、ステップS6をループする。
こうして、ステップS6でYESと判定されるまで、通常ワークフロー実行部16は、試験通信環境60V、80Vにて通常ワークフローを継続して実行し、通信監視部18は、試験通信環境60V、80Vにおける通信を継続して監視する。
これにより、例えば潜伏期間を有するマルウェアのようなリスクが通信環境50に進入した場合に、該リスクを検知し、分析することが可能となる。この作用効果について、以下に説明する。
以下、通信環境50で行われる通常ワークフローの情報または通信を攻撃する(例えば、通信妨害する、または情報を漏洩もしくは改ざんする)ようにプログラムされた、潜伏期間を有するマルウェアが、通信環境50に進入した場合を想定する。このようなマルウェアは、潜伏期間に活動することがないので、該潜伏期間に該マルウェアを検出することは、非常に困難である。
そこで、本実施形態においては、このようなマルウェアを敢えて活動させるために、通常ワークフロー実行部16が、通信環境50で通常業務として実行されるべき通常ワークフローを試験通信環境60V、80Vにて模擬的に実行する(ステップS4)。
そうすると、通信環境50に進入して潜伏していたマルウェアは、試験通信環境60V、80Vで行われている通常ワークフローの通信または情報を攻撃対象であると誤認し、試験通信環境60V、80Vで活動を開始する。そして、マルウェアは、試験通信環境60V、80Vで行われている通常ワークフローの通信または情報を攻撃し始める。
例えば、マルウェアは、試験通信環境60Vで通常ワークフローを実行しているときに、仮想ビジョンセンサ72Vから仮想ロボットコントローラ66Vへの仮想画像の送信を妨害しようと試みる。
または、マルウェアは、試験通信環境80Vで通常ワークフローを実行しているときに、仮想IDリーダ88Vから仮想情報管理サーバ82Vへ送信されるID番号を盗み取り、通信環境50の外部の通信ネットワークへ漏洩しようと試みる。
一方、通信監視部18は、試験通信環境60V、80Vにおける情報および通信を監視しているので、オペレータは、通信監視部18を通して、試験通信環境60V、80Vにおける情報および通信を監視できる。したがって、オペレータは、試験通信環境60V、80Vで活動するマルウェアの挙動を、詳細に分析できる。
ここで、本実施形態においては、通常ワークフロー実行部16は、マルウェアの活動によって試験通信環境60V、80Vで行われている通常ワークフローの通信または情報に異常が生じた後も、該通常ワークフローを継続して実行する。これにより、マルウェアを、その目的を達成するまで活動させることができる。
なお、通常ワークフロー実行部16は、マルウェアによる通信または情報の異常がシステム10で発生する可能性がある場合、または、通信環境50の通常業務を阻害する可能性がある場合は、該異常が生じたときに、試験通信環境60V、80Vで行われている通常ワークフローを停止させてもよい。
こうして、オペレータは、マルウェアの目的および挙動を詳細に分析することができ、該分析結果から、該マルウェアの出所を突き止め易くなり、また、該マルウェアに対する防御策を有利に構築することができる。
なお、システム10の記憶部は、マルウェアによってもたらされる情報または通信の異常の具体的な事象(統計的分析により異常と判定されるような情報または通信の発生、通信の停止または停滞、情報の削除または改ざん等)を、シミュレーション等の手法によって予め記憶してもよい。
そして、通常ワークフロー実行部16は、試験通信環境60V、80Vでマルウェアが情報または通信を攻撃するのに応じて、このような事象を、該試験通信環境60V、80Vにて発生させてもよい。この構成によれば、マルウェアをさらに巧妙に欺くことができ、該マルウェアを、その目的を達成するまで、より確実に活動させることができる。
このように試験通信環境60V、80Vでマルウェアにその目的を達成させることができれば、このときのマルウェアの挙動内容は、攻撃者の目的や立場を精度良く推定するための有益な傍証となる。
また、通信環境50を管理するオペレータは、マルウェアの目的が達成された段階で、該マルウェアが通信環境50の通常業務に対して致命的なリスクとなるか否かを判断し、該致命的なリスクとなると判断した場合、通常ワークフローを停止させる等の処置を決定できる。
また、試験通信環境60V、80Vで通常ワークフローを実行するにつれてマルウェアの目的(すなわち、特定の情報または通信の攻撃)が判明した場合、通常ワークフロー実行部16は、攻撃対象となっている情報または通信に関連するプロセスのみを試験通信環境60V、80Vで継続して実行し、それ以外のプロセスを停止させてもよい。
例えば、マルウェアが、試験通信環境60Vで通常ワークフローを実行しているときに、仮想ビジョンセンサ72Vから仮想ロボットコントローラ66Vへの仮想画像の送信を妨害する目的を持っていることが判明したとする。
この場合、通常ワークフロー実行部16は、試験通信環境60Vで行う通常ワークフローのうち、仮想ロボットコントローラ66Vと仮想ビジョンセンサ72Vとの通信を行うプロセスのみ実行し、その他のプロセスを停止する。
または、マルウェアが、試験通信環境80Vで通常ワークフローを実行しているときに、仮想IDリーダ88Vから仮想情報管理サーバ82Vへ送信されるID番号を盗み取る目的を持っていることが判明したとする。
この場合、通常ワークフロー実行部16は、試験通信環境80Vで行う通常ワークフローのうち、仮想情報管理サーバ82Vと仮想IDリーダ88Vとの通信、または、仮想情報管理サーバ82VにID番号を記録するプロセスのみ実行し、その他のプロセスを停止する。
この構成によれば、マルウェアを、その目的を達成するまで活動させることができるとともに、試験通信環境60V、80Vで通常ワークフローを実行するときの情報処理量を削減し、これにより、該通常ワークフローの実行時に通信環境50のリソースに掛かる負担を軽減できる。
なお、マルウェアの活動によって試験通信環境60V、80Vの通信がダウンした場合の安全策として、システム10は、該試験通信環境60V、80Vの通信を回復させる機能を有していてもよい。
再度、図6を参照して、ステップS2でNOと判定された場合、ステップS7において、システム10の演算処理ユニットは、上述のステップS6と同様に、オペレータから動作終了指令を受け付けたか否かを判定する。
システム10のCPUは、動作終了指令を受け付けた場合、YESと判定し、図6に示すフローを終了する。一方、システム10の演算処理ユニットは、動作終了指令を受け付けていない場合、NOと判定し、ステップS2へ戻る。
上述したように、本実施形態においては、通常ワークフロー実行部16が試験通信環境60V、80Vで通常ワークフローを模擬的に実行し(ステップS4)、通信監視部18が試験通信環境60V、80Vにおける情報および通信を監視する(ステップS5)。これにより、潜伏期間を有するマルウェアのような巧妙なリスクを確実に検出し、その目的および挙動を詳細に分析することができる。
また、本実施形態においては、試験通信環境設定部14は、セキュリティインシデントが検知されたときに、通信環境60または80を仮想化した仮想通信環境60Vまたは80Vを、試験通信環境60Vまたは80Vとして設定している。
この構成によれば、通信環境50のリソースを利用しつつ、試験通信環境60Vまたは80Vを設けることができる。また、セキュリティインシデントが検知されたときに、通信環境50で余剰となっているリソースを、試験通信環境60Vまたは80Vとして迅速に利用することができる。
また、本実施形態においては、通常ワークフロー実行部16は、上述したように、通信環境50で通常ワークフローを実行するときよりも高速または低速で、試験通信環境60Vで該通常ワークフローを実行している。
試験通信環境60V、80Vにおいて通常ワークフローをより高速で実行した場合、潜伏しているマルウェアを早期に始動させ、また、該マルウェアがその目的を達成するまでの期間も短縮できる。したがって、マルウェア等のリスクの分析を、より迅速に行うことができる。
一方、試験通信環境60V、80Vにおいて通常ワークフローをより低速で実行した場合、試験通信環境60V、80Vで通常ワークフローを実行するときの通信速度を抑えることができるので、該通常ワークフローの実行時に通信環境50のリソースに掛かる負担を軽減できる。
次に、図7を参照して、他の実施形態に係るシステム20について説明する。システム20は、上述のシステム10と同様に、通信ネットワーク54に通信可能に接続され、通信環境50を構成する。例えば、システム20は、演算処理ユニット(例えば、CPU)および記憶部を有するサーバから構成される。システム20は、上述のシステム10と、リスク判定部22および通信遮断部24をさらに備える点で、相違する。
リスク判定部22は、セキュリティインシデント検知部12が検知したセキュリティインシデントを分析し、該セキュリティインシデントのリスクの度合が大きいか否かを判定する。
例えば、リスク判定部22は、通信環境50の外部に設けられたセキュリティインシデントデータベースにアクセスし、セキュリティインシデントに関する最新の情報を入手する。セキュリティインシデントデータベースには、通信環境で発生し得るセキュリティインシデントに関する情報が蓄積され、順次アップデートされる。
リスク判定部22は、セキュリティインシデント検知部12が検知したセキュリティインシデントの情報と、セキュリティインシデントデータベースから入手した最新の情報とを照らし合わせることによって、検知されたセキュリティインシデントを分析する。
そして、リスク判定部22は、検知されたセキュリティインシデントのリスクの度合が大きいか否かを判定する。例えば、リスク判定部22は、検知されたセキュリティインシデント(不正アクセス等)に、悪質なマルウェアの痕跡がある場合に、セキュリティインシデントのリスクの度合が大きいと判定する。
通信遮断部24は、リスク判定部22がリスクの度合が大きいと判定した場合に、通信環境50のうちの試験通信環境60V、80V以外の部分と、試験通信環境60V、80Vとの通信を遮断する。
一例として、試験通信環境設定部14が図3に示す試験通信環境60Vを設定した場合、通信遮断部24は、試験通信環境60V以外の通信環境50のセクション50Aと、試験通信環境60Vとを接続するネットワークスイッチを制御して、該セクション50Aと該試験通信環境60Vとの通信を遮断する。
他の例として、試験通信環境設定部14が図5に示す試験通信環境80Vを設定した場合、通信遮断部24は、試験通信環境80V以外の通信環境50のセクション50Bと、試験通信環境80Vとを接続するネットワークスイッチを制御して、該セクション50Bと該試験通信環境80Vとの通信を遮断する。
なお、以上に述べたリスク判定部22および通信遮断部24の機能は、システム20の演算処理ユニットが担うことになる。
次に、図8を参照して、システム20の動作フローの一例について説明する。なお、図8に示すフローにおいて、図6に示すフローと同様のプロセスには同じステップ番号を付し、重複する説明を省略する。
ステップS3の後、ステップS11において、リスク判定部22は、上述したように、セキュリティインシデント検知部12が検知したセキュリティインシデントのリスクの度合が大きいか否かを判定する。
リスク判定部22は、検知したセキュリティインシデントのリスクの度合が大きい(すなわち、YES)と判定した場合、ステップS12へ進む。一方、リスク判定部22は、検知したセキュリティインシデントのリスクの度合が大きくない(すなわち、NO)と判定した場合、ステップS4へ進む。
ステップS12において、通信遮断部24は、上述したように、通信環境50のうちの試験通信環境60V、80V以外の部分(すなわち、セクション50A、50B)と、試験通信環境60V、80Vとの通信を遮断する。
このように、本実施形態においては、検知されたセキュリティインシデントのリスクの度合が大きいと判定された場合に、通信環境50のセクション50A、50Bと試験通信環境60V、80Vとの通信を遮断している。その上で、ステップS4において、通常ワークフロー実行部16は、試験通信環境60V、80Vで通常ワークフローを模擬的に実行する。
この構成によれば、仮に、試験通信環境60V、80Vで通常ワークフローを実行しているときに、リスクの度合が大きいマルウェア等が該試験通信環境60V、80Vで活動を開始したとしても、通常の業務で使用される通信環境50のセクション50A、50Bが該マルウェアによって損害を受けることを防止できる。
次に、図9を参照して、さらに他の実施形態に係るシステム30について説明する。システム30は、上述のシステム10と同様に、通信ネットワーク54に通信可能に接続され、通信環境50を構成する。例えば、システム30は、演算処理ユニット(例えば、CPU)および記憶部を有するサーバから構成される。システム30は、上述のシステム10と、アンチウイルス処理実行部32をさらに備える点で、相違する。
アンチウイルス処理実行部32は、マルウェア等が通信環境50へ侵入することによって通信監視部18が監視する情報または通信に異常が生じた後に、試験通信環境60V、80Vに対してアンチウイルス処理を実行する。
例えば、アンチウイルス処理実行部32は、通信環境50の外部に設けられたアンチウイルスソフトウェアのデータベースに定期的にアクセスし、最新のアンチウイルスソフトウェアをダウンロードする。
そして、アンチウイルス処理実行部32は、最新のアンチウイルスソフトウェアを用いて、試験通信環境60V、80Vで活動しているマルウェア等に対して、アンチウイルス処理を実行する。
通信監視部18は、アンチウイルス処理実行部32がアンチウイルス処理を実行した後も、試験通信環境60V、80Vで行われている通常ワークフローの通信を継続して監視する。なお、アンチウイルス処理実行部32の機能は、システム30の演算処理ユニットが担うことになる。
次に、図10を参照して、システム30の動作フローの一例について説明する。なお、図10に示すフローにおいて、図6に示すフローと同様のプロセスには同じステップ番号を付し、重複する説明を省略する。
ステップS5の後、ステップS21において、通信監視部18は、監視中の試験通信環境60V、80Vにおいて、マルウェアの活動が検知されたか否かを判定する。例えば、通信監視部18は、試験通信環境60V、80Vで行われている通信と、通信環境50で通常ワークフローを適正に実行しているときに行われるべき通信とを統計的に比較し、両者に有意な差があるか否かを判定する。
そして、通信監視部18は、両者に差がある場合に、マルウェアの活動が検知された(すなわち、YES)と判定し、ステップS22へ進む。一方、通信監視部18は、両者が実質同一である場合に、マルウェアの活動が検知されていない(すなわち、NO)と判定し、ステップS23へ進む。
ステップS22において、アンチウイルス処理実行部32は、上述したように、マルウェアが活動している試験通信環境60V、80Vに対してアンチウイルス処理を実行する。
そして、ステップS6でYESと判定されるまで、通常ワークフロー実行部16は、試験通信環境60V、80Vにて通常ワークフローを継続して実行し、通信監視部18は、アンチウイルス処理実行後の試験通信環境60V、80Vにおける通信を継続して監視する。
一方、ステップS21にてNOと判定された場合、ステップS23において、システム30の演算処理ユニットは、上述のステップS6と同様に、オペレータから動作終了指令を受け付けたか否かを判定する。
システム30の演算処理ユニットは、動作終了指令を受け付けた場合、YESと判定し、図10に示すフローを終了する。一方、システム30の演算処理ユニットは、動作終了指令を受け付けていない場合、NOと判定し、ステップS21へ戻る。
以上に述べたように、本実施形態においては、アンチウイルス処理実行部32は、マルウェア等によって試験通信環境60V、80Vに行われる通常ワークフローの通信に異常が生じた後に、該試験通信環境60V、80V対してアンチウイルス処理を実行している。
そして、通信監視部18は、アンチウイルス処理実行部32がアンチウイルス処理を実行した後、試験通信環境60V、80Vで行われている通常ワークフローの通信を継続して監視する。
この構成によれば、オペレータは、試験通信環境60V、80Vで活動しているマルウェアにアンチウイルス処理を実行したときの該マルウェアの挙動を監視できる。これにより、オペレータは、マルウェアの性質(目的、挙動等)を、より詳細に分析できるので、該マルウェアの出所を突き止め易くなり、また、該マルウェアに対する防御策を、より効果的に構築することができる。
次に、図11を参照して、さらに他の実施形態に係るシステム40Aおよび40Bについて説明する。システム40Aおよび40Bの各々は、通信ネットワーク54に通信可能に接続されており、通信環境50を構成している。
システム40Aは、例えば、通信環境50の情報セキュリティを統括する情報セキュリティマネジメントシステム(ISMS)であって、複数の通信機器(PC、サーバ等)と、該複数の通信機器を通信可能に接続する通信ネットワークから構成される。
システム40Aは、セキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、通信監視部18、リスク判定部22、通信遮断部24、およびアンチウイルス処理実行部32を備える。
システム40Aのセキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、通信監視部18、リスク判定部22、通信遮断部24、およびアンチウイルス処理実行部32の機能は、システム40Aを構成する複数の通信機器のうちの少なくとも1つが担うことになる。
システム40Bは、例えば、上述の上位コントローラ62、ロボットコントローラ66、または情報管理サーバ82の機能を担うシステムであって、演算処理ユニット(CPU)および記憶部(例えば、ROMまたはRAM)を有する。
システム40Bは、セキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、通信監視部18、リスク判定部22、通信遮断部24、およびアンチウイルス処理実行部32を備える。
システム40Bのセキュリティインシデント検知部12、試験通信環境設定部14、通常ワークフロー実行部16、通信監視部18、リスク判定部22、通信遮断部24、およびアンチウイルス処理実行部32の機能は、システム40Bの演算処理ユニットが担うことになる。
システム40Aおよび40Bの各々は、図12に示す動作フローを実行する。なお、図12に示す動作フローの各ステップは、図6、図8、および図10に示すフローと同様であるので、詳細な説明を省略する。
このように、図11に示す通信環境50においては、システム40Aおよび40Bの各々が、セキュリティインシデントの検知(ステップS1)、試験通信環境60V、80Vの設定(ステップS3)、リスク度合いの判定(ステップS11)、通信の遮断(ステップS12)、通常ワークフローの実行(ステップS4)、情報および通信の監視(ステップS5)、ならびにアンチウイルス処理の実行(ステップS22)といったプロセスを実行する。
なお、システム10、20、30、40A、または40Bは、試験通信環境設定部14を具備しなくてもよい。図13および図14に、このような実施形態を示す。
図13に示すシステム10’は、セキュリティインシデント検知部12、通常ワークフロー実行部16、および通信監視部18を備え、第1通信ネットワーク54Aに接続されている。
ここで、図13に示す通信環境50においては、該通信環境50の一部として、試験通信環境100が予め設けられている。該試験通信環境100は、通信環境50を構成する複数の通信機器52の一部と、該一部の通信機器52を通信可能に接続する第2通信ネットワーク54Bとを有する。
第1通信ネットワーク54Aおよび第2通信ネットワーク54Bは、上述の通信ネットワーク54を構成する。
システム10’の通常ワークフロー実行部16は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、予め設けられた試験通信環境100において、通常ワークフローを模擬的に実行する。
一方、図14に示すシステム10”は、セキュリティインシデント検知部12、通常ワークフロー実行部16、および通信監視部18を備え、通信ネットワーク54に接続されている。
ここで、図14に示す実施形態においては、試験通信環境102が、通信環境50とは別の通信環境として、予め設けられている。試験通信環境102は、複数の通信機器104と、該複数の通信機器104を通信可能に接続する通信ネットワーク106とを有する。
通信ネットワーク106は、通信ネットワーク54と通信可能に接続されている。例えば、試験通信環境102は、通信環境50の外部の通信ネットワーク(例えば、インターネット)との通信が遮断される。
システム10”の通常ワークフロー実行部16は、セキュリティインシデント検知部12がセキュリティインシデントを検知したときに、予め設けられた試験通信環境102において、通常ワークフローを模擬的に実行する。
システム10’または10”においても、上述の実施形態と同様に、試験通信環境100または102で通常ワークフローを実行することによって、該試験通信環境100または102でマルウェアを活動させ、その目的および挙動を分析できる。
なお、試験通信環境設定部14は、セキュリティインシデント(例えば、不正アクセス)が発生した通信環境50のリソースを含むように、試験通信環境60V、80Vを設定してもよい。
例えば、セキュリティインシデント検知部12が第1の通信機器52でセキュリティインシデント(不正アクセス等)が発生したことを検知したとする。この場合、試験通信環境設定部14は、図3に示す試験通信環境60Vを設定するときに、第1の通信機器52のリソースを利用して、仮想上位コントローラ62V、仮想ロボットコントローラ66V、仮想ビジョンセンサ72V、または仮想サーボモータ74Vを構築する。
または、試験通信環境設定部14は、図5に示す試験通信環境80Vを設定するときに、第1の通信機器52のリソースを利用して、仮想情報管理サーバ82V、仮想IDリーダ88V、または仮想PC90Vを構築する。このように設定することによって、マルウェア等が潜伏している可能性があるリソースを、試験通信環境60V、80Vの構成要素として使用できる。
また、通常ワークフロー実行部16は、試験通信環境60V、80Vでマルウェア等が活動を開始したことを検知したときに、通常ワークフローを停止してもよい。また、通信監視部18は、試験通信環境60V、80Vでマルウェア等が活動を開始したことを検知したときに、試験通信環境60V、80Vの通信の監視を停止してもよい。また、システム10、20、および30の特徴を組み合わせることもできる。
以上、実施形態を通じて本開示を説明したが、上述の実施形態は、特許請求の範囲に係る発明を限定するものではない。また、実施形態の中で説明されている特徴を組み合わせた形態も本開示の技術的範囲に含まれ得るが、これら特徴の組み合わせの全てが、発明の解決手段に必須であるとは限らない。さらに、上述の実施形態に、多様な変更または改良を加えることが可能であることも当業者に明らかである。
また、特許請求の範囲、明細書、および図面中において示した装置、システム、プログラム、および方法における動作、手順、ステップ、工程、および段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、および図面中の動作フローに関して、便宜上「まず、」、「次に、」、「次いで」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10,20,30,40A,40B システム
12 セキュリティインシデント検知部
14 試験通信環境設定部
16 通常ワークフロー実行部
18 通信監視部
22 リスク判定部
24 通信遮断部
32 アンチウイルス処理実行部

Claims (8)

  1. 複数の通信機器が通信ネットワークによって通信可能に接続される通信環境への侵入を検出するシステムであって、
    前記通信環境における情報または通信を監視して、該通信環境におけるセキュリティインシデントの発生を検知するセキュリティインシデント検知部と、
    前記セキュリティインシデント検知部が前記セキュリティインシデントを検知したときに、前記通信環境において少なくとも1つの前記通信機器が実行するように予め定められた通常ワークフローを、前記通信環境の一部または該通信環境とは別の通信環境として設けられた試験通信環境において模擬的に実行する通常ワークフロー実行部と、
    前記試験通信環境において前記通常ワークフローを実行しているときに、前記試験通信環境における情報または通信を監視する通信監視部と、を備える、システム。
  2. 前記セキュリティインシデント検知部が前記セキュリティインシデントを検知したときに、少なくとも2つの前記通信機器を仮想化した少なくとも2つの仮想通信機器が、前記通信ネットワークを仮想化した仮想通信ネットワークによって通信可能に接続される仮想通信環境を、前記試験通信環境として設ける試験通信環境設定部をさらに備える、請求項1に記載のシステム。
  3. 前記試験通信環境が前記通信環境の一部として設けられた場合には、該通信環境のうちの前記試験通信環境以外の部分と前記試験通信環境との通信を遮断し、前記試験通信環境が前記別の通信環境として設けられた場合には、前記通信環境と前記試験通信環境との通信を遮断する通信遮断部をさらに備える、請求項1または2に記載のシステム。
  4. 前記セキュリティインシデント検知部が検知した前記セキュリティインシデントを分析し、該セキュリティインシデントのリスクの度合が大きいか否かを判定するリスク判定部をさらに備え、
    前記通信遮断部は、前記リスク判定部が前記リスクの度合が大きいと判定した場合に、前記試験通信環境以外の前記部分または前記通信環境と、前記試験通信環境との通信を遮断する、請求項3に記載のシステム。
  5. 前記通常ワークフロー実行部は、前記通信環境で前記少なくとも1つの通信機器が前記通常ワークフローを実行するときよりも高速または低速で、前記通常ワークフローを実行する、請求項1〜4のいずれか1項に記載のシステム。
  6. 前記通常ワークフロー実行部は、前記通信環境への前記侵入によって前記通信監視部が監視する前記情報または前記通信に異常が生じた後、前記通常ワークフローを継続して実行する、請求項1〜5のいずれか1項に記載のシステム。
  7. 前記通信環境への前記侵入によって前記通信監視部が監視する前記情報または前記通信に異常が生じた後、前記試験通信環境に対してアンチウイルス処理を実行するアンチウイルス処理実行部をさらに備える、請求項6に記載のシステム。
  8. 複数の通信機器が通信ネットワークによって通信可能に接続される通信環境への侵入を検出する方法であって、
    前記通信環境における情報または通信を監視して、該通信環境におけるセキュリティインシデントの発生を検知することと、
    前記セキュリティインシデントを検知したときに、前記通信環境において少なくとも1つの前記通信機器が実行するように予め定められた通常ワークフローを、前記通信環境の一部または該通信環境とは別の通信環境として設けられた試験通信環境において模擬的に実行することと、
    前記試験通信環境において前記通常ワークフローを実行しているときに、前記試験通信環境における情報または通信を監視することと、を備える、方法。
JP2017009625A 2017-01-23 2017-01-23 通信環境への侵入を検出するシステム、および侵入検出方法 Active JP6396519B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017009625A JP6396519B2 (ja) 2017-01-23 2017-01-23 通信環境への侵入を検出するシステム、および侵入検出方法
DE102018100813.9A DE102018100813A1 (de) 2017-01-23 2018-01-16 System und verfahren zum erkennen von eindringen in eine kommunikationsumgebung
US15/874,381 US10511612B2 (en) 2017-01-23 2018-01-18 System and method of detecting intrusion into communication environment
CN201810062867.8A CN108347433B (zh) 2017-01-23 2018-01-23 检测向通信环境的入侵的系统和入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017009625A JP6396519B2 (ja) 2017-01-23 2017-01-23 通信環境への侵入を検出するシステム、および侵入検出方法

Publications (2)

Publication Number Publication Date
JP2018120296A true JP2018120296A (ja) 2018-08-02
JP6396519B2 JP6396519B2 (ja) 2018-09-26

Family

ID=62907342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017009625A Active JP6396519B2 (ja) 2017-01-23 2017-01-23 通信環境への侵入を検出するシステム、および侵入検出方法

Country Status (4)

Country Link
US (1) US10511612B2 (ja)
JP (1) JP6396519B2 (ja)
CN (1) CN108347433B (ja)
DE (1) DE102018100813A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7377260B2 (ja) 2018-10-11 2023-11-09 アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 安全性に関連するデータストリームを検出する方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3080692B1 (fr) * 2018-04-25 2021-07-30 Univ Grenoble Alpes Systeme de securisation de procede cyber-physique
US11477229B2 (en) * 2020-03-04 2022-10-18 International Business Machines Corporation Personalized security testing communication simulations

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012212391A (ja) * 2011-03-31 2012-11-01 Internatl Business Mach Corp <Ibm> 不正アクセスに対する防御をするシステム、方法およびプログラム
US20130111540A1 (en) * 2011-10-28 2013-05-02 Jason Allen Sabin Cloud protection techniques
JP2013171556A (ja) * 2012-02-23 2013-09-02 Hitachi Ltd プログラム解析システム及び方法
US9240976B1 (en) * 2015-01-06 2016-01-19 Blackpoint Holdings, Llc Systems and methods for providing network security monitoring
US20160080415A1 (en) * 2014-09-17 2016-03-17 Shadow Networks, Inc. Network intrusion diversion using a software defined network

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005242754A (ja) 2004-02-27 2005-09-08 Mitsubishi Electric Corp セキュリティ管理システム
US20060090136A1 (en) 2004-10-01 2006-04-27 Microsoft Corporation Methods and apparatus for implementing a virtualized computer system
CN101465770B (zh) 2009-01-06 2011-04-06 北京航空航天大学 入侵检测系统部署方法
US10027711B2 (en) * 2009-11-20 2018-07-17 Alert Enterprise, Inc. Situational intelligence
US8528091B2 (en) * 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US9065725B1 (en) * 2010-09-14 2015-06-23 Symantec Corporation Techniques for virtual environment-based web client management
CN103259806B (zh) 2012-02-15 2016-08-31 深圳市证通电子股份有限公司 Android智能终端应用程序安全检测的方法及系统
US9021092B2 (en) * 2012-10-19 2015-04-28 Shadow Networks, Inc. Network infrastructure obfuscation
CN103905451B (zh) 2014-04-03 2017-04-12 国网河南省电力公司电力科学研究院 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
US9542554B1 (en) * 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US10528734B2 (en) * 2016-03-25 2020-01-07 The Mitre Corporation System and method for vetting mobile phone software applications

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012212391A (ja) * 2011-03-31 2012-11-01 Internatl Business Mach Corp <Ibm> 不正アクセスに対する防御をするシステム、方法およびプログラム
US20130111540A1 (en) * 2011-10-28 2013-05-02 Jason Allen Sabin Cloud protection techniques
JP2013171556A (ja) * 2012-02-23 2013-09-02 Hitachi Ltd プログラム解析システム及び方法
US20160080415A1 (en) * 2014-09-17 2016-03-17 Shadow Networks, Inc. Network intrusion diversion using a software defined network
US9240976B1 (en) * 2015-01-06 2016-01-19 Blackpoint Holdings, Llc Systems and methods for providing network security monitoring

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7377260B2 (ja) 2018-10-11 2023-11-09 アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 安全性に関連するデータストリームを検出する方法

Also Published As

Publication number Publication date
US10511612B2 (en) 2019-12-17
CN108347433B (zh) 2019-10-01
JP6396519B2 (ja) 2018-09-26
US20180212980A1 (en) 2018-07-26
CN108347433A (zh) 2018-07-31
DE102018100813A1 (de) 2018-08-09

Similar Documents

Publication Publication Date Title
US10027699B2 (en) Production process knowledge-based intrusion detection for industrial control systems
CN110678864A (zh) 危害和取证数据的plc指标的收集
US9245116B2 (en) Systems and methods for remote monitoring, security, diagnostics, and prognostics
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
JP6396519B2 (ja) 通信環境への侵入を検出するシステム、および侵入検出方法
JP2016149131A (ja) 仮想マシンイントロスペクションを通じたセキュリティ事象検出方法、装置、及び有形コンピュータ可読記憶媒体
CN112799358B (zh) 一种工业控制安全防御系统
CN111984975A (zh) 基于拟态防御机制的漏洞攻击检测系统、方法及介质
EP4022405B1 (en) Systems and methods for enhancing data provenance by logging kernel-level events
EP3771951B1 (en) Using data from plc systems and data from sensors external to the plc systems for ensuring data integrity of industrial controllers
KR101068931B1 (ko) 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
CN105531680A (zh) 远程监视系统、远程监视方法以及程序
JP2017111532A (ja) 制御装置及び統合生産システム
WO2020202884A1 (ja) コントローラシステム
Ganapathy AI Fitness Checks, Maintenance and Monitoring on Systems Managing Content & Data: A Study on CMS World
WO2020166329A1 (ja) 制御システム
US20220155747A1 (en) Control system and setting method
CN112035839A (zh) 一种竞态条件漏洞利用的检测方法及装置
CN113448799A (zh) 计算机系统和/或控制系统的鲁棒监测
WO2020109252A1 (en) Test system and method for data analytics
CN113330375A (zh) 控制装置、管理程序以及控制系统
WO2022091924A1 (ja) 支援システム、支援方法及び記憶媒体
CN113852623B (zh) 一种病毒工控行为检测方法及装置
JP7016837B2 (ja) コントローラシステム
JPWO2017099066A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180829

R150 Certificate of patent or registration of utility model

Ref document number: 6396519

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150