JP2019080211A - Countermeasure planning system and monitoring device for control system - Google Patents

Countermeasure planning system and monitoring device for control system Download PDF

Info

Publication number
JP2019080211A
JP2019080211A JP2017206707A JP2017206707A JP2019080211A JP 2019080211 A JP2019080211 A JP 2019080211A JP 2017206707 A JP2017206707 A JP 2017206707A JP 2017206707 A JP2017206707 A JP 2017206707A JP 2019080211 A JP2019080211 A JP 2019080211A
Authority
JP
Japan
Prior art keywords
countermeasure
pattern
task
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017206707A
Other languages
Japanese (ja)
Other versions
JP6869869B2 (en
Inventor
宏樹 内山
Hiroki Uchiyama
宏樹 内山
熊谷 洋子
Yoko Kumagai
洋子 熊谷
訓 大久保
Satoshi Okubo
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017206707A priority Critical patent/JP6869869B2/en
Publication of JP2019080211A publication Critical patent/JP2019080211A/en
Application granted granted Critical
Publication of JP6869869B2 publication Critical patent/JP6869869B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide measures taking into consideration an impact on a task that is being performed in a control system.SOLUTION: A countermeasure planning system for a control system is provided with a network device that receives and relays packets communicated between a plurality of control devices, collects and transmits a communication log of received packets, detects an irregularity of the received packets, and transmits an alert, and a monitoring device that includes a task extraction unit that extracts a task pattern including information on a communication path from the communication log transmitted by the network device, a countermeasure pattern storage unit in which a countermeasure pattern including information on equipment related to the countermeasure is stored, a task impact estimation unit that extracts an affected task on the basis of information on a communication path included in the task pattern and information on equipment included in the countermeasure pattern, and includes the affected task in the countermeasure pattern, a countermeasure planning unit that extracts a countermeasure candidate on the basis of an alert sent by the network device and the countermeasure pattern, and an input/output unit that outputs the countermeasure candidate including the affected task.SELECTED DRAWING: Figure 1

Description

本発明は、制御システムのための対策立案システムおよび監視装置に関する。   The present invention relates to a countermeasure planning system and a monitoring device for a control system.

電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、予め設定されている圧力や温度を保つことが要求される。   Control systems used in social infrastructure such as electric power, railways, water supply, and gas and in automobiles are required to operate devices such as valves and actuators based on sensor information and maintain preset pressure and temperature. Ru.

この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。   In order to realize this operation, in a built-in device such as a controller, periodically acquire information from the sensor, check the status, notify other controllers, servers, etc., and perform control as necessary. Is required. For this reason, periodic communication occurs in the control system, and processing is usually performed based on the communication data.

一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS攻撃(Denial of Service attack)といったサイバー攻撃からは無縁であると考えられてきた。   On the other hand, the control system has so far used a dedicated operating system (OS) or a dedicated protocol, and is installed in an isolated state in an area inaccessible from an external network such as the Internet. It has been considered as irrelevant from cyber attacks such as of service attack.

しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知し、対策する技術が必要となっている。   However, cases of using a general-purpose OS or a general-purpose protocol for cost reduction are increasing, and connection with an information system is also in progress for improving efficiency. Also, in recent years, computer viruses targeting the control system have been discovered, and the control system also needs a technology to detect and deal with security incidents such as infection with malware and unauthorized access from the outside as in the information system. It has become.

このような課題に対し、セキュリティインシデントの種別毎に対策内容を予め定めておき、セキュリティインシデント検知時に発生した種別をもとに対策を抽出し、実行する技術が知られている(例えば、特許文献1参照)。   With respect to such problems, there is known a technology in which the content of measures is determined in advance for each type of security incident, and the measures are extracted and executed based on the type occurring at the time of detection of the security incident (for example, patent documents 1).

特開2012−226680号公報JP 2012-226680 A

特許文献1等で知られた技術を用いれば、予め定められた対策を選定して適用することは可能になる。しかしながら、制御システムにおいては、制御のアプリケーションによって、実行される業務の内容が変化し、ネットワークの通信経路等も変化する。このため、実行中の業務と関わりなく、予め定められた対策を選定し適用しては、選定された対策が実行中の業務に適合せず、業務に大きな影響を与える可能性がある。   If the technique known by patent document 1 grade | etc., Is used, it will become possible to select and apply a predetermined countermeasure. However, in the control system, the contents of the task to be executed change depending on the control application, and the communication path of the network also changes. For this reason, regardless of the work being performed, if the predetermined measures are selected and applied, the selected measures may not be suitable for the work being performed, which may greatly affect the work.

本発明は、上記事情に鑑みてなされたものであり、制御システム内で実行されている業務への影響を加味して対策を提供することを目的とする。   The present invention has been made in view of the above circumstances, and an object thereof is to provide a countermeasure in consideration of the influence on operations performed in a control system.

本発明に係る代表的な対策立案システムは、制御システムのための対策立案システムであって、複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたことを特徴とする。   A representative countermeasure planning system according to the present invention is a countermeasure planning system for a control system, which receives and relays packets communicated between a plurality of control devices, and collects communication logs of the received packets. A network device that transmits an alert, detects an irregularity of a received packet, and sends an alert, and a task extraction unit that extracts a task pattern including information of a communication path from the communication log transmitted by the network device; The affected task is extracted based on the countermeasure pattern storage unit in which the countermeasure pattern including the device information is stored, the communication path information included in the task pattern and the device information included in the countermeasure pattern, and the affected task is included in the countermeasure pattern Extract action candidates based on the business impact estimation unit, the alert sent from the network device, and the action pattern And measures planning unit and an input-output unit for outputting a countermeasure candidate including the impact work, characterized by comprising a monitoring device, comprising a.

本発明によれば、制御システム内で実行されている業務への影響を加味して対策を提供することが可能となる。   According to the present invention, it is possible to provide measures taking into consideration the influence on the task being executed in the control system.

対策立案システムの構成の例を示す図である。It is a figure which shows the example of a structure of a countermeasure drafting system. 制御装置、不正接続防止装置、および監視装置の構成の例を示す図である。It is a figure which shows the example of a structure of a control apparatus, an unauthorized connection prevention apparatus, and a monitoring apparatus. ネットワーク装置の構成の例を示す図である。It is a figure which shows the example of a structure of a network apparatus. 試運転時に通信ログを収集する処理フローの例を示す図である。It is a figure which shows the example of the processing flow which collects a communication log at the time of trial operation. 業務パターンを抽出する処理フローの例を示す図である。It is a figure which shows the example of the processing flow which extracts a work pattern. 業務影響を推定する処理フローの例を示す図である。It is a figure which shows the example of the processing flow which estimates work influence. 運用時の対策に関する処理フローの例を示す図である。It is a figure which shows the example of the processing flow regarding the countermeasure at the time of operation | use. 業務関連情報入力画面の例を示す図である。It is a figure which shows the example of a work related information input screen. 対策選定画面の例を示す図である。It is a figure which shows the example of a countermeasure selection screen. 対策選定結果画面の例を示す図である。It is a figure which shows the example of a countermeasure selection result screen. アラートの情報の例を示す図である。It is a figure which shows the example of the information of an alert. 通信ログの情報の例を示す図である。It is a figure which shows the example of the information of a communication log. 業務パターンの情報の例を示す図である。It is a figure which shows the example of the information of a work pattern. 対策パターンの情報の例を示す図である。It is a figure which shows the example of the information of a countermeasure pattern.

本発明の一実施形態について以下に説明する。なお、以下に説明する一実施形態に本発明は限定されるものではない。   One embodiment of the present invention will be described below. Note that the present invention is not limited to the embodiment described below.

図1は、対策立案システムの構成の例を示す図である。この対策立案システムは制御システム向けであり、図1に例示するように、制御装置10−1〜10−n(nは2以上の整数、nが3以上の場合、制御装置10−2〜10−(n−1)の図示を省略)と、ネットワーク装置20と、不正接続防止装置30と、監視装置40と、ネットワーク50と、から構成されている。   FIG. 1 is a diagram showing an example of the configuration of a countermeasure planning system. This countermeasure planning system is for a control system, and as illustrated in FIG. 1, the control devices 10-1 to 10-n (where n is an integer of 2 or more, and n is 3 or more, the control devices 10-2 to 10). -(N-1) is not shown), the network device 20, the unauthorized connection prevention device 30, the monitoring device 40, and the network 50.

ここで、ネットワーク50は複数存在しても良く、ネットワーク装置20と不正接続防止装置30はネットワーク50毎に複数存在しても良い。不正接続防止装置30は存在しなくても良い。ネットワーク装置20と不正接続防止装置30は一つの装置であっても良い。   Here, a plurality of networks 50 may exist, and a plurality of network devices 20 and a plurality of unauthorized connection prevention devices 30 may exist for each network 50. The unauthorized connection prevention device 30 may not exist. The network device 20 and the unauthorized connection prevention device 30 may be one device.

制御装置10−1〜10−nのそれぞれは、制御処理を行う制御処理部101−1〜101−nのそれぞれと、ネットワーク50やネットワーク装置20等と通信を行う通信部102−1〜102−nのそれぞれと、を含む。   Each of the control devices 10-1 to 10-n communicates with each of the control processing units 101-1 to 101-n that performs control processing, and with the network 50, the network device 20, and the like. and each of n.

ネットワーク装置20は、ネットワーク装置20に入力される通信パケットをフィルタリングするフィルタリング部201と、フィルタリング部201で不正な通信を検知した際にアラートを生成するアラート生成部202と、ネットワーク装置20に入力される通信パケットに関するログを収集する通信ログ収集部203と、フィルタリング部201で参照するフィルタリングポリシを更新するポリシ更新部204と、を含む。   The network device 20 includes a filtering unit 201 that filters communication packets input to the network device 20, an alert generation unit 202 that generates an alert when the filtering unit 201 detects an unauthorized communication, and the network device 20. Communication log collection unit 203 for collecting logs related to communication packets, and a policy update unit 204 for updating the filtering policy referred to by the filtering unit 201.

また、ネットワーク装置20は、ネットワーク装置20の動作モードを管理するモード管理部205と、ネットワーク50と通信を行う第一通信部206と、フィルタリング部201で参照するフィルタリングポリシを格納するフィルタリングポリシ格納部207と、通信ログ収集部203で収集した通信ログを格納する通信ログ格納部208と、制御装置10−nと通信を行う第二通信部209と、を含む。なお、ネットワーク装置20は、3つ以上の通信部を保有しても良い。   The network device 20 further includes a mode management unit 205 that manages the operation mode of the network device 20, a first communication unit 206 that communicates with the network 50, and a filtering policy storage unit that stores the filtering policy referred to by the filtering unit 201. 207, a communication log storage unit 208 for storing the communication log collected by the communication log collection unit 203, and a second communication unit 209 for communicating with the control device 10-n. The network device 20 may have three or more communication units.

不正接続防止装置30は、ネットワーク50上に不正な機器が接続されたことを検知する不正接続検知部301と、不正接続検知部301で不正接続を検知した際にアラートを生成するアラート生成部302と、不正接続検知部301で参照する正当機器リストを更新するリスト更新部303と、ネットワーク50と通信を行う通信部304と、不正接続検知部301で参照する正当機器リストを格納する正当機器リスト格納部305と、を含む。   The unauthorized connection prevention device 30 detects an unauthorized device connected on the network 50, and an alert generation unit 302 which generates an alert when the unauthorized connection is detected by the unauthorized connection detection unit 301. A list updating unit 303 for updating the legal device list to be referred to by the unauthorized connection detection unit 301, a communication unit 304 for communicating with the network 50, and a legal device list for storing the legitimate device list to be referred to by the unauthorized connection detection unit 301. And a storage unit 305.

また、不正接続防止装置30は、不正な接続と検知された機器をネットワーク50から切り離す処理を行っても良い。この切り離しの処理は、ネットワーク50が実際はネットワークスイッチ等で構成される場合、ネットワークスイッチのポートを遮断するための処理であっても良く、監視装置40からのコマンドに応じて不正接続防止装置30がネットワークスイッチ等を制御しても良い。   Further, the unauthorized connection prevention device 30 may perform processing for disconnecting the device detected as an unauthorized connection from the network 50. When the network 50 is actually configured by a network switch or the like, the disconnection process may be a process for shutting down the port of the network switch, and the unauthorized connection prevention device 30 responds to a command from the monitoring device 40. A network switch or the like may be controlled.

監視装置40は、ネットワーク装置20や不正接続防止装置30で生成したアラートを収集するアラート収集部401と、収集したアラートを用いて原因を分析する原因分析部402と、原因分析部402の分析結果に基づき、対策を立案する対策立案部403と、ネットワーク装置20で収集した通信ログを収集する通信ログ収集部404と、収集した通信ログを用いて制御システム内で実行されている業務のパターンを抽出する業務抽出部405と、を含む。   The monitoring device 40 includes an alert collection unit 401 that collects alerts generated by the network device 20 and the unauthorized connection prevention device 30, a cause analysis unit 402 that analyzes the cause using the collected alert, and an analysis result of the cause analysis unit 402. Based on the above, a countermeasure planning unit 403 for planning a countermeasure, a communication log collection unit 404 for collecting communication logs collected by the network device 20, and patterns of tasks being executed in the control system using the collected communication logs And a task extraction unit 405 to be extracted.

また、監視装置40は、ネットワーク50と通信を行う通信部406と、対策立案部403で立案する対策の制御システム内で実行されている業務への影響を推定する業務影響推定部407と、アラート収集部401で収集したアラートを格納するアラート格納部408と、通信ログ収集部404で収集した通信ログを格納する通信ログ格納部409と、を含む。   In addition, the monitoring device 40 has a communication unit 406 that communicates with the network 50, a work influence estimation unit 407 that estimates the influence on the work performed in the control system of measures taken by the measure planning unit 403, and an alert. It includes an alert storage unit 408 that stores the alert collected by the collection unit 401, and a communication log storage unit 409 that stores the communication log collected by the communication log collection unit 404.

さらに、監視装置40は、業務抽出部405で抽出した業務パターンを格納する業務パターン格納部410と、対策立案部403で対策を立案する際に参照する対策のリストを格納する対策パターン格納部411と、業務抽出部405で業務を抽出した際に業務情報を入力し、対策立案部403で対策を立案した結果を出力する入出力部412と、監視装置40の動作モードを管理するモード管理部413を含む。   Furthermore, the monitoring device 40 stores a task pattern storage unit 410 that stores the task pattern extracted by the task extraction unit 405 and a countermeasure pattern storage unit 411 that stores a list of measures to be referred to when the countermeasure planning unit 403 formulates a countermeasure. When the task extracting unit 405 extracts a task, the task information is input, and the countermeasure planning unit 403 outputs the result of planning the countermeasure, and the mode management unit that manages the operation mode of the monitoring apparatus 40. Including 413.

図2は、制御装置10−1〜10−n、不正接続防止装置30、および監視装置40のハードウェア構成の例を示す図である。制御装置10−1〜10−n、不正接続防止装置30、および監視装置40は、同じハードウェア構成であっても良く、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバス等の内部通信線16で連結され、構成されている。   FIG. 2 is a diagram illustrating an example of the hardware configuration of the control devices 10-1 to 10-n, the unauthorized connection prevention device 30, and the monitoring device 40. The control devices 10-1 to 10-n, the unauthorized connection prevention device 30, and the monitoring device 40 may have the same hardware configuration, and the communication device 11, the input / output device 12, the storage device 13, and the CPU 14 , And the memory 15 are connected by an internal communication line 16 such as a bus.

通信装置11は、図1に例示した通信部102−1〜102−n、通信部304、あるいは通信部406に含まれる。入出力装置12は、図1に例示した入出力部412に含まれる。記憶装置13は、図1に例示した正当機器リスト格納部305、アラート格納部408、通信ログ格納部409、業務パターン格納部410、あるいは対策パターン格納部411を含む。   The communication device 11 is included in the communication units 102-1 to 102-n, the communication unit 304, or the communication unit 406 illustrated in FIG. The input / output device 12 is included in the input / output unit 412 illustrated in FIG. The storage device 13 includes the valid device list storage unit 305, the alert storage unit 408, the communication log storage unit 409, the task pattern storage unit 410, or the countermeasure pattern storage unit 411 illustrated in FIG.

CPU14は、プロセッサであり、メモリ15に格納されたプログラムを読み出して実行することにより、メモリ15あるいは記憶装置13とデータを読み書きし、データを処理して、通信装置11と入出力装置12を制御する。これによりCPU14は、図1に例示した制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40内の各部となっても良い。このため、各部を主語とする説明は、CPU14を主語とする説明に置き換えられても良い。   The CPU 14 is a processor, reads out and executes a program stored in the memory 15, reads and writes data from and to the memory 15 or the storage device 13, processes data, and controls the communication device 11 and the input / output device 12. Do. Thus, the CPU 14 may be each part in the control devices 10-1 to 10-n, the unauthorized connection prevention device 30, or the monitoring device 40 illustrated in FIG. Therefore, the description in which each part is a subject may be replaced with the description in which the CPU 14 is a subject.

メモリ15は、プログラムあるいはデータを格納する。メモリ15に格納されるプログラムあるいはデータは、記憶装置13との間でコピーされても良い。なお、制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40は、図2では図示されない回路を含んでも良いし、図2に例示する構成の一部を含まなくても良い。   The memory 15 stores programs or data. The program or data stored in the memory 15 may be copied to and from the storage device 13. The control devices 10-1 to 10-n, the unauthorized connection prevention device 30, or the monitoring device 40 may include circuits not illustrated in FIG. 2 or may not include a part of the configuration illustrated in FIG. good.

図3はネットワーク装置20のハードウェア構成の例を示す図である。ネットワーク装置20は、第一通信装置21−1と、第二通信装置21−2と、入出力装置22と、記憶装置23と、CPU24と、メモリ25と、がバス等の内部通信線26で連結され、構成されている。   FIG. 3 is a diagram showing an example of the hardware configuration of the network device 20. As shown in FIG. In the network device 20, the first communication device 21-1, the second communication device 21-2, the input / output device 22, the storage device 23, the CPU 24, and the memory 25 are internal communication lines 26 such as a bus. It is connected and configured.

入出力装置22からメモリ25までは、図2を用いて説明した入出力装置12からメモリ15までのそれぞれと同じ説明であるので、説明を省略する。第一通信装置21−1は第一通信部206に含まれ、第二通信装置21−2は第二通信部209に含まれる。なお、ネットワーク装置20は、3つ以上の通信装置を保有しても良い。   The description of the input / output device 22 to the memory 25 is the same as that of the input / output device 12 to the memory 15 described with reference to FIG. The first communication device 21-1 is included in the first communication unit 206, and the second communication device 21-2 is included in the second communication unit 209. The network device 20 may have three or more communication devices.

以下では、制御システム向け対策立案システムにおける処理フローについて説明する。以下で説明する処理フローは、制御装置10−1〜10−n、ネットワーク装置20、不正接続防止装置30、および監視装置40の記憶装置13、23に格納されたプログラムが、メモリ15、25にロードされ、CPU14、24により実行されることで制御システム向け対策立案システムを構成する装置上に具現化された各処理部、により実行されるものである。   Below, the processing flow in the countermeasure system for control systems is explained. In the processing flow described below, programs stored in the storage devices 13 and 23 of the control devices 10-1 to 10-n, the network device 20, the unauthorized connection prevention device 30, and the monitoring device 40 are stored in the memories 15 and 25. It is loaded and executed by the CPUs 14 and 24 so as to be executed by the respective processing units embodied on the devices constituting the countermeasure planning system for the control system.

このため、各装置を主語とする説明は、CPU14、24を主語とする説明に置き換えられても良い。また、ロードされて実行される各プログラムは、予め記憶装置13、23に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、実行のため必要なときに導入されても良い。   For this reason, the description which makes each apparatus a subject may be replaced with the description which makes CPU14 and 24 a subject. Also, each program to be loaded and executed may be stored in advance in the storage device 13 or 23, or is necessary for execution via another storage medium or communication medium (network or carrier wave propagating through the network). It may be introduced at any time.

図4は、制御システム向け対策立案システムにおいて、制御システムの試運転時等に実行される処理フローの例を示す図である。制御システムの試運転時では、ネットワーク装置20と監視装置40の動作モードが初期モードに設定され、制御システムの運用時はこれらの動作モードが運用モードに設定される。   FIG. 4 is a diagram showing an example of a processing flow executed at the time of trial operation of the control system, etc., in the countermeasure system for control system. At the time of trial operation of the control system, the operation modes of the network device 20 and the monitoring device 40 are set to the initial mode, and at the time of operation of the control system, these operation modes are set to the operation mode.

このため、はじめに、ネットワーク装置20は、ネットワーク装置20の動作モードを初期モードに設定する(ステップS401)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。   Therefore, first, the network device 20 sets the operation mode of the network device 20 to the initial mode (step S401). Here, if the operation mode can not be set to the initial mode, or if the subsequent processing is to be executed without being set to the initial mode, the subsequent processing may be canceled.

また、監視装置40は、監視装置40の動作モードを初期モードに設定する(ステップS402)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。なお、ステップS401、S402は、ネットワーク50経由で受信した信号をトリガに実行されても良いし、ユーザの操作により実行されても良い。   Also, the monitoring device 40 sets the operation mode of the monitoring device 40 to the initial mode (step S402). Here, if the operation mode can not be set to the initial mode, or if the subsequent processing is to be executed without being set to the initial mode, the subsequent processing may be canceled. Steps S401 and S402 may be executed using a signal received via the network 50 as a trigger or may be executed by a user operation.

次に、制御装置10−1は、制御コマンドを生成し(ステップS403)、生成した制御コマンドを制御装置10−nに向けて送信する。ここで、制御装置10−1と制御装置10−nの間にはネットワーク装置20が存在するため、ネットワーク装置20が制御コマンドを受信する。   Next, the control device 10-1 generates a control command (step S403), and transmits the generated control command to the control device 10-n. Here, since the network device 20 exists between the control device 10-1 and the control device 10-n, the network device 20 receives the control command.

ネットワーク装置20は、制御装置10−1から受信した制御コマンドに関する通信ログを格納し(ステップS404)、受信した制御コマンドを制御装置10−nに送信する。なお、通信ログの構成については、図12を用いて後で説明する。   The network device 20 stores the communication log regarding the control command received from the control device 10-1 (step S404), and transmits the received control command to the control device 10-n. The configuration of the communication log will be described later with reference to FIG.

制御装置10−nは、ネットワーク装置20から制御コマンドを受信すると、受信した制御コマンドにしたがって制御システムとしての制御業務を実行し(ステップS405)、実行した結果を示すレスポンスを制御装置10−1に向けて送信する。   When the control device 10-n receives a control command from the network device 20, the control device 10-n executes control work as a control system according to the received control command (step S405), and sends a response indicating the executed result to the control device 10-1. Directly send.

ネットワーク装置20は、受信したレスポンスに関する通信ログを格納し(ステップS406)、受信したレスポンスを制御装置10−1に送信する。そして、試運転が終了したかを判定する(ステップS407)。この試運転の終了の判定は、ネットワーク装置20に終了の信号や指示が与えられたことを判定しても良いし、予め送受信される通信パケットの数が定められていて、その数のパケットが通過したかを判定しても良い。   The network device 20 stores a communication log related to the received response (step S406), and transmits the received response to the control device 10-1. Then, it is determined whether or not the trial operation has ended (step S407). The determination of the end of the trial operation may be made by determining that the end signal or instruction is given to the network device 20, or the number of communication packets to be transmitted and received is determined in advance, and the number of packets passes It may be determined whether it has been done.

その結果、試運転が終了していないと判定された場合、ネットワーク装置20は次の制御コマンドの来るのを待機する(ステップS408)。一方、試運転が終了していると判定された場合、ネットワーク装置20は通信ログ格納部208に格納されている通信ログ群を取得する(ステップS409)。   As a result, when it is determined that the test operation has not ended, the network device 20 waits for the next control command (step S408). On the other hand, when it is determined that the test operation has ended, the network device 20 acquires the communication log group stored in the communication log storage unit 208 (step S409).

そして、ネットワーク装置20は、取得した通信ログ群を監視装置40に送信し、ネットワーク装置20の動作モードを運用モードに設定する(ステップS410)。これに対し、監視装置40は、ネットワーク装置20から通信ログ群を受信すると、受信した通信ログ群を通信ログ格納部409に格納する(ステップS411)。   Then, the network device 20 transmits the acquired communication log group to the monitoring device 40, and sets the operation mode of the network device 20 to the operation mode (step S410). On the other hand, when the communication log group is received from the network device 20, the monitoring device 40 stores the received communication log group in the communication log storage unit 409 (step S411).

監視装置40は、通信ログ格納部409に格納されている通信ログを用いて、業務パターンを抽出し(ステップS412)、業務影響を推定し(ステップS413)、監視装置40の動作モードを運用モードに設定する(ステップS414)。業務パターンの抽出処理と業務影響の推定処理については、図5、6を用いて後で説明する。   The monitoring device 40 extracts the work pattern using the communication log stored in the communication log storage unit 409 (step S412), estimates the business influence (step S413), and sets the operation mode of the monitoring device 40 to the operation mode. (Step S414). The task pattern extraction process and the task influence estimation process will be described later with reference to FIGS.

図5は、監視装置40で実行する試運転時に収集した通信ログから業務パターンを抽出する処理フローの例を示す図である。この処理フローは、図4に示したステップS412の処理に相当し、監視装置40の中では、業務抽出部405により実行されても良い。   FIG. 5 is a diagram showing an example of a processing flow for extracting a task pattern from the communication log collected at the time of trial operation executed by the monitoring device 40. This processing flow corresponds to the processing of step S412 shown in FIG. 4 and may be executed by the task extraction unit 405 in the monitoring device 40.

はじめに、監視装置40は、業務パターン抽出処理を開始し(ステップS501)、通信ログ格納部409から通信ログを取得する(S502)。ここで、取得する通信ログは、通信ログ格納部208に格納されている通信ログのデータ量を検出し、検出したデータ量の通信ログであっても良いし、予め定められたデータ量の通信ログであっても良い。   First, the monitoring apparatus 40 starts work pattern extraction processing (step S501), and acquires a communication log from the communication log storage unit 409 (S502). Here, the communication log to be acquired may be the communication log of the detected data amount by detecting the data amount of the communication log stored in the communication log storage unit 208, or the communication of the predetermined data amount It may be a log.

次に、監視装置40は、取得した通信ログに含まれる送信元と送信先の情報を用いて、通信経路分析を行なう(ステップS503)。通信経路分析は、複数の通信に分かれた1本の通信経路を特定する分析であり、ある通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出し、送信元の一致で抽出した通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出すること、を繰り返す。   Next, the monitoring device 40 performs communication path analysis using the information on the transmission source and the transmission destination included in the acquired communication log (step S503). The communication path analysis is an analysis for specifying one communication path divided into a plurality of communications, and extracts a communication log in which a transmission destination of a communication log and a transmission source of a communication log thereafter coincide with each other, It repeats repeating extraction of a communication log in which the transmission destination of the communication log extracted by the coincidence of the transmission source and the transmission source of the communication log after that coincide.

例えば、送信元が制御装置10−aであり送信先が制御装置10−bである通信ログAに対して、送信元が制御装置10−bであり送信先が制御装置10−cである通信ログBが抽出され、この抽出された通信ログBに対して、送信元が制御装置10−cであり送信先が制御装置10−dである通信ログCが抽出された場合、制御装置10−aから制御装置10−dまでが分析された通信経路であり、通信ログAと通信ログBと通信ログCが一連の通信ログである。   For example, for communication log A in which the transmission source is the control device 10-a and the transmission destination is the control device 10-b, the communication in which the transmission source is the control device 10-b and the transmission destination is the control device 10-c When the log B is extracted and the communication log C in which the transmission source is the control device 10-c and the transmission destination is the control device 10-d is extracted from the extracted communication log B, the control device 10- The communication paths from “a” to “control device 10-d” are analyzed, and communication log A, communication log B, and communication log C are a series of communication logs.

監視装置40は、通信ログの日時情報を用いて、ステップS503で抽出した一連の通信ログの間隔評価を行う(ステップS504)。このために、一連の通信ログの中で、送信先と送信元で通信が連続する任意の2つの通信ログの受信日時の差分を算出する。すなわち、通信ログAの受信日時と通信ログBの受信日時の差分を算出し、通信ログBの受信日時と通信ログCの受信日時の差分を算出する。   The monitoring device 40 uses the date and time information of the communication log to evaluate the interval of the series of communication logs extracted in step S503 (step S504). For this purpose, among the series of communication logs, the difference between the reception date and time of any two communication logs whose communication is continuous between the transmission destination and the transmission source is calculated. That is, the difference between the reception date of communication log A and the reception date of communication log B is calculated, and the difference between the reception date of communication log B and the reception date of communication log C is calculated.

監視装置40は、算出した一連の通信ログの受信日時の差分から、業務パターンを抽出する(ステップS505)。業務パターンの抽出は、例えば一連の通信ログの中で2つ受信日時の差分が1秒以内等の予め定められた一定時間以内である通信ログを同一の業務に関する通信ログと見なし、一定時間以上である通信ログを異なる業務に関する通信ログと見なして、同一の業務に関する通信ログを業務パターンとする。   The monitoring device 40 extracts the task pattern from the difference between the calculated reception date and time of the communication log (step S505). For extraction of business patterns, for example, a communication log having a difference of two reception dates within a series of communication logs within a predetermined time, such as within one second, is regarded as a communication log related to the same business, and more than a predetermined time The communication log relating to the same business is regarded as the business pattern, considering that the communication log is the communication log relating to different business.

また、ステップS503で分析された通信経路が、完全に同一通信経路となる複数の業務パターンがあると判定した場合、監視装置40は、それらの業務パターン間の実行周期を抽出する。この実行周期は、各業務パターンに関わる通信ログの最初の受信日時同士の周期であっても良い。   If it is determined in step S503 that there are a plurality of business patterns in which the communication path analyzed is completely the same communication path, the monitoring apparatus 40 extracts an execution cycle between the business patterns. The execution cycle may be a cycle of the first reception date and time of the communication log related to each work pattern.

監視装置40は、業務パターン格納部410に既に何らかの業務パターンが格納されているか判定する(ステップS506)。その結果、格納されていないと判定された場合には、以降のステップS509を実行する。   The monitoring device 40 determines whether any task pattern is already stored in the task pattern storage unit 410 (step S506). As a result, if it is determined that the file is not stored, the subsequent step S509 is performed.

ステップS506で格納されていると判定された場合、監視装置40は、業務パターン格納部410から業務パターンを取得し(S507)、取得した業務パターンとステップS505で抽出した業務パターンの差分を抽出する(S508)。   If it is determined in step S506 that the data is stored, the monitoring apparatus 40 acquires the task pattern from the task pattern storage unit 410 (S507), and extracts the difference between the acquired task pattern and the task pattern extracted in step S505. (S508).

ステップS505で抽出した業務パターンには、業務パターン格納部410に既に格納済みの業務パターンが含まれる可能性もあるため、ステップS508で抽出した差分の業務パターンは、これまでに無い新たな業務パターンである。ここでの業務パターンについては、図13を用いて後で説明する。   The task pattern extracted in step S505 may include a task pattern already stored in the task pattern storage unit 410. Therefore, the task pattern of the difference extracted in step S508 is a new task pattern which has not been found so far. It is. The work pattern in this case will be described later with reference to FIG.

ステップS509において監視装置40は、ステップS505で抽出した業務パターンあるいはステップS508で抽出した差分の業務パターンに対して、業務の名称や業務の重要度といった関連情報の入力を受け付け、抽出した業務毎にIDを割り振り、送信元、送信先、中継経路といった通信経路情報、周期情報とともに業務パターン格納部410に格納する。   In step S509, the monitoring apparatus 40 receives input of related information such as the name of the task and the importance of the task for the task pattern extracted in step S505 or the differential task pattern extracted in step S508, and for each extracted task An ID is allocated and stored in the task pattern storage unit 410 together with communication path information such as a transmission source, a transmission destination, and a relay path, and cycle information.

業務関連情報の入力画面の例については、図8を用いて後で説明する。業務の重要度は例えば高、中、低や10段階の数値等での入力を受け付け、業務の継続が要求されるものほど高くなることが好ましい。そして、監視装置40は、処理を終了する(ステップS510)。   An example of the input screen of the task related information will be described later with reference to FIG. For example, it is preferable that the degree of importance of the business is increased as the business continuation is requested, by accepting an input of high, middle, low, or ten levels. Then, the monitoring device 40 ends the process (step S510).

なお、業務パターンの抽出に関しては試運転時の通信ログを使用する処理以外に、ユーザから直接に業務パターンの設定を受け付けても良いし、システム設計書等のドキュメントに記載された情報から抽出しても良いが、これらの処理に限定されるものではない。   In addition to the process of using the communication log at the time of trial operation, the work pattern may be directly set by the user for extraction of the work pattern, or may be extracted from information described in a document such as a system design document. Although it is good, it is not limited to these processes.

また、図5に例示した処理フローは、試運転時に限らず、予め設定された一定間隔で実行されても良いし、新たな業務を追加された場合等に、何らかの処理によりその追加等を検出して実行されても良い。   In addition, the process flow illustrated in FIG. 5 may be executed not only at the time of trial operation but also at a predetermined constant interval, or when a new job is added, the addition or the like is detected by some process. May be executed.

図6は、監視装置40で業務パターン抽出後に実施する対策の業務への影響を推定する処理フローの例を示す図である。この処理フローは、図4に示したステップS413の処理に相当し、監視装置40の中では、業務影響推定部407により実行されても良い。   FIG. 6 is a diagram showing an example of a processing flow for estimating the influence on the work of the measure implemented after the work pattern extraction by the monitoring device 40. This processing flow corresponds to the processing of step S413 shown in FIG. 4 and may be executed by the task influence estimation unit 407 in the monitoring device 40.

はじめに、監視装置40は、業務影響推定処理を開始し(ステップS601)、対策パターン格納部411から対策パターンを取得し(ステップS602)、業務パターン格納部410に格納されている業務パターンを取得する(ステップS603)。ここでの対策パターンについては、図14を用いて後で説明する。   First, the monitoring apparatus 40 starts task influence estimation processing (step S601), acquires a countermeasure pattern from the countermeasure pattern storage unit 411 (step S602), and acquires a task pattern stored in the task pattern storage unit 410. (Step S603). The countermeasure pattern here will be described later with reference to FIG.

次に、監視装置40は、ステップS602で取得した対策パターンとステップS603で取得した業務パターンを用いて影響を受ける業務を推定する(S604)。影響業務推定は、対策パターン毎に規定されているネットワーク遮断や機器切断といった対策内容と、各業務パターンの通信経路との突合せを行い、各対策パターンを実行した場合に影響を受ける業務とその影響内容(停止や部分停止)を抽出する。ここで、停止や部分停止の判断として、例えば、各業務パターンにおける通信が全て停止してしまうケースを停止とし、一部分の通信が停止するケースを部分停止にするなどが考えられるが、これに限定されるものではない。   Next, the monitoring apparatus 40 estimates the operations affected by using the countermeasure pattern acquired in step S602 and the operation pattern acquired in step S603 (S604). Affected task estimation matches the countermeasure contents such as network disconnection and device disconnection specified for each countermeasure pattern with the communication route of each task pattern, and the operations that are affected when each countermeasure pattern is executed and their effects Extract the contents (stop and partial stop). Here, as the judgment of stop or partial stop, for example, it is conceivable to stop the case in which all communication in each work pattern is stopped, and to partially stop the case in which a part of communication is stopped. It is not something to be done.

抽出した影響を受ける業務とその影響内容から、監視装置40は影響度を算出する(ステップS605)。影響度算出は、例えば影響を受ける業務の重要度を定量化(高の場合は3、中の場合は2、低の場合は1と数値化)し、影響内容を定量化(停止の場合は1、部分停止の場合は0.5と数値化)し、乗算して算出する。   The monitoring device 40 calculates the degree of influence from the extracted affected task and the contents of the influence (step S605). The degree of impact calculation, for example, quantifies the degree of importance of the affected operations (3 for high, 2 for medium, 1 for low), and quantifies the contents of the impact (for stop) 1) In the case of partial stop, digitize with 0.5 and calculate by multiplication.

また、一つの対策が実行されると複数の業務が影響を受ける場合、業務毎に影響度が算出され、算出された中で最も大きい影響度を最終的な影響度としても良いし、算出された複数の影響度の和を最終的な影響度としても良いが、これらの処理に限定されるものではない。   In addition, if multiple tasks are affected when one measure is executed, the impact degree is calculated for each task, and the largest impact degree among the calculated may be the final impact degree, or Although the sum of a plurality of influence degrees may be the final influence degree, it is not limited to these processes.

監視装置40は、ステップS604で影響を受ける業務があると抽出された各対策パターンであって、対策パターン格納部411の各対策パターンに、影響を受ける業務と影響内容と影響度を格納する(ステップS606)。そして、監視装置40は、処理を終了する(ステップS607)。   The monitoring apparatus 40 stores the affected task, the contents of the impact, and the degree of impact in each countermeasure pattern of the countermeasure pattern storage unit 411 that is each countermeasure pattern extracted when there is the task affected in step S604. Step S606). And the monitoring apparatus 40 complete | finishes a process (step S607).

図7は、制御システム向け対策立案システムにおいて、制御システムの運用時に実行される処理フローの例を示す図である。制御システムの運用時であるので、制御装置10−1〜制御装置10−nの中の複数の制御装置間で通信をしているが、この通信そのものが、どのような制御のための通信であるかは、以下の説明とは関係ないため、図示と説明を省略する。   FIG. 7 is a diagram showing an example of a processing flow executed at the time of operation of the control system in the control system-oriented countermeasure planning system. Since it is at the time of operation of the control system, communication is performed among a plurality of control devices in the control devices 10-1 to 10-n, but this communication itself is the communication for what kind of control. Since there is nothing to do with the following description, illustration and description will be omitted.

制御システムの運用の中で、ネットワーク装置20は、フィルタリングポリシ格納部207に格納されているフィルタリングポリシを用いて、不正な通信の発生といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS701)、生成したアラートを監視装置40に送信する。   In the operation of the control system, the network device 20 uses the filtering policy stored in the filtering policy storage unit 207 to detect the occurrence of a security incident such as the occurrence of unauthorized communication, and generates an alert (step S701). ), Sends the generated alert to the monitoring device 40.

また、不正接続防止装置30も、制御システムの運用の中で、正当機器リスト格納部305に格納されている正当機器リストを用いて、不正な機器接続といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS702)、生成したアラートを監視装置40に送信する。   In addition, the unauthorized connection prevention device 30 also detects the occurrence of a security incident such as an unauthorized device connection using an authorized device list stored in the authorized device list storage unit 305 in the operation of the control system, and generates an alert. The generated alert is transmitted to the monitoring apparatus 40 (step S702).

このようにアラートが監視装置40に送信されると、監視装置40は、アラートを受信し、受信したアラートをアラート格納部408に格納する(S703)。ここでのアラートについては、図11を用いて後で説明する。次に、監視装置40は、格納したアラートを用いて、セキュリティインシデントの原因となった装置やネットワークを特定する(ステップS704)。すなわち原因分析部402が原因を分析する。   Thus, when the alert is transmitted to the monitoring device 40, the monitoring device 40 receives the alert, and stores the received alert in the alert storage unit 408 (S703). The alert here will be described later with reference to FIG. Next, the monitoring device 40 uses the stored alert to identify the device or network that caused the security incident (step S704). That is, the cause analysis unit 402 analyzes the cause.

監視装置40は、ステップS704で特定された原因となった装置やネットワークの種類やインシデントの種別を示す原因内容に基づき、適用可能な対策候補を対策パターン格納部411から抽出する(ステップS705)。すなわち対策立案部403が対策を立案する。この抽出した対策候補を監視装置40は出力する(ステップS706)。   The monitoring apparatus 40 extracts applicable countermeasure candidates from the countermeasure pattern storage unit 411 based on the cause contents indicating the type of the apparatus or the network which is identified in step S704 and the type of the incident (step S705). That is, the countermeasure planning unit 403 devises a countermeasure. The monitoring device 40 outputs the extracted countermeasure candidate (step S706).

対策候補の画面への出力の例については、図9を用いて後で説明する。この出力の内容は、過去に選定された対策の履歴あるいは実績の情報が含まれても良い。このような情報が含まれることにより、次のステップのユーザによる対策の選定に役立つ。   An example of the output to the screen of the countermeasure candidate will be described later with reference to FIG. The contents of this output may include information on the history or results of measures selected in the past. By including such information, it helps the user to select measures in the next step.

出力した対策候補の中からのユーザによる対策の選定入力を、監視装置は受け付ける(ステップS707)。対策の選定結果画面の例については、図10を用いて後で説明する。なお、図10では、単一の対策が選定される例を示しているが、単一に限らず、複数の対策が選定されても良い。また、選択に関する情報が、対策の履歴として記録されても良い。   The monitoring apparatus receives an input for selecting a measure by the user from among the outputted measure candidates (step S 707). An example of the countermeasure selection result screen will be described later with reference to FIG. Although FIG. 10 shows an example in which a single measure is selected, the present invention is not limited to a single measure, and a plurality of measures may be selected. Further, information on the selection may be recorded as a history of measures.

そして、監視装置40は、選定された対策を実行する(ステップS708)。このために、監視装置40は対策コマンドを対象機器に送信する。図7では、監視装置40がネットワーク装置20に対して送信する例を示している。以上のステップS705〜S708は、対策立案部403により実行されても良い。   Then, the monitoring device 40 executes the selected countermeasure (step S708). For this purpose, the monitoring device 40 sends a countermeasure command to the target device. FIG. 7 shows an example in which the monitoring device 40 transmits to the network device 20. The above steps S <b> 705 to S <b> 708 may be performed by the countermeasure drafting unit 403.

なお、図7の例では、対策候補を出力する、すなわち監視員等のユーザに対して画面を表示し、業務への影響を可視化した上で、ユーザにより対策が選定される流れを示しているが、対策の影響度が低の場合等は、その場合を判定してステップS706をスキップし、画面を表示させず、ステップS707において監視装置40が影響度の低の対策を選定しても良い。   In the example shown in FIG. 7, a screen is displayed for a user such as a monitoring person who outputs a measure candidate, and after visualizing the influence on work, a flow is shown in which the measure is selected by the user. However, if the degree of influence of the countermeasure is low, etc., the case may be determined and step S706 may be skipped without displaying the screen, and the monitoring apparatus 40 may select a measure with a low degree of influence in step S707. .

監視装置40から送信された対策コマンドを受信したネットワーク装置20は、受信した対策コマンドをもとにフィルタリングポリシ格納部207に格納されているフィルタリングポリシを更新する(ステップS708)。   The network device 20 that receives the countermeasure command transmitted from the monitoring device 40 updates the filtering policy stored in the filtering policy storage unit 207 based on the received countermeasure command (step S 708).

図8は、監視装置40が出力する業務関連情報入力画面の例を示す図である。業務関連情報入力画面801は、図5に示したステップS509で表示される画面であり、入出力部412で表示されても良く、システム構成802と業務一覧803から構成される。   FIG. 8 is a diagram showing an example of a task related information input screen output by the monitoring device 40. As shown in FIG. The task related information input screen 801 is a screen displayed in step S 509 shown in FIG. 5 and may be displayed by the input / output unit 412 and is composed of a system configuration 802 and a task list 803.

業務一覧803は、業務ID804と、通信経路805と、周期806と、業務名807と、重要度808の情報から構成され、テーブルとして表示される。業務ID804は、ステップS509で業務毎に割り振られたIDが表示され、通信経路805は、ステップS503で分析された通信経路が表示され、周期806は、ステップS505で抽出された周期が表示される。   The task list 803 is composed of the task ID 804, the communication path 805, the cycle 806, the task name 807, and the importance 808, and is displayed as a table. The task ID 804 displays the ID assigned to each task in step S509, the communication path 805 displays the communication path analyzed in step S503, and the cycle 806 displays the cycle extracted in step S505. .

また、業務名807と重要度808の入力欄809は、ユーザによる入力を促すものであり、入力される情報の内容は、図5を用いて説明したとおりである。入力欄809への入力は、図示を省略したキーボードが用いられても良いし、入力欄809が高、中、低や数値のプルダウンメニューとなっており、プルダウンメニューの中から選択されても良い。   Further, the input column 809 of the task name 807 and the importance 808 is for prompting the user to input, and the content of the input information is as described with reference to FIG. A keyboard (not shown) may be used for input to the input column 809, or the input column 809 is a high, middle, low or numeric pull-down menu, and may be selected from the pull-down menu. .

システム構成802は、制御システムの構成と、業務ID804および通信経路805の情報に対応した各業務の通信経路が表示される。この表示をユーザが確認することにより、業務名807や重要度808の入力欄809への入力ミスを低減することが可能となる。   The system configuration 802 displays the configuration of the control system, and the communication path of each business corresponding to the information of the business ID 804 and the communication path 805. When the user confirms this display, it is possible to reduce an input error in the input column 809 of the business name 807 and the importance 808.

なお、業務関連情報入力画面801に表示される内容は、図8の例に限定されるものではなく、図8に示した例の内容が含まれていれば良く、表示の位置と順序も図8の例に限定されるものではない。   Note that the content displayed on the job related information input screen 801 is not limited to the example shown in FIG. 8 and may include the content of the example shown in FIG. It is not limited to the eight examples.

ステップS503〜S505において、業務の抽出が漏れる場合もあるため、業務関連情報入力画面801において、業務ID804、通信経路805、および周期806も入力可能とし、新たな業務情報(業務ID804、通信経路805、周期806、業務名807、重要度808)を業務一覧803に追加可能としても良い。   In steps S503 to S505, extraction of the business may be leaked, so business ID 804, communication path 805, and cycle 806 can also be input on business related information input screen 801, and new business information (business ID 804, communication path 805). , The cycle 806, the task name 807, and the importance 808) may be added to the task list 803.

図9は、監視装置40が出力する対策選定画面の例を示す図である。対策選定画面901は、図7に示したステップS706で選定対象の候補が表示される画面であり、入出力部412で表示されても良く、システム構成902と対策候補一覧903から構成される。   FIG. 9 is a diagram showing an example of the countermeasure selection screen output by the monitoring device 40. As shown in FIG. The countermeasure selection screen 901 is a screen on which candidates to be selected in step S 706 shown in FIG. 7 are displayed. The countermeasure selection screen 901 may be displayed by the input / output unit 412, and includes a system configuration 902 and a countermeasure candidate list 903.

システム構成902は、制御システムの構成が表示される。また、対策候補一覧903は、対策ID904と、影響業務名905と、通信経路906と、重要度907と、影響内容908と、影響度909と、選定回数910から構成され、テーブルとして表示される。   The system configuration 902 displays the configuration of the control system. In addition, the countermeasure candidate list 903 includes a countermeasure ID 904, an affected operation name 905, a communication route 906, an importance degree 907, an influence content 908, an influence degree 909, and a selection frequency 910, and is displayed as a table. .

対策ID904は、ステップS705で抽出された対策候補のIDであり、対策パターン格納部411に格納された情報である。影響業務名905、通信経路906、および重要度907は、対策パターン格納部411の情報において対策ID904のIDに対応する影響業務IDが得られ、得られた影響業務IDを基に業務パターン格納部410から得られる情報である。   The countermeasure ID 904 is an ID of the countermeasure candidate extracted in step S 705, and is information stored in the countermeasure pattern storage unit 411. The affected task name 905, the communication path 906, and the importance 907 are obtained in the information of the countermeasure pattern storage unit 411. The affected task ID corresponding to the ID of the countermeasure ID 904 is obtained. It is information obtained from 410.

影響内容908、影響度909、および選定回数910は、対策パターン格納部411の情報において対策ID904のIDに対応する情報である。なお、対策選定画面901に表示される内容は、図9の例に限定されるものではなく、図9に示した例の内容が含まれていれば良く、表示の位置と順序も図9の例に限定されるものではない。   The influence content 908, the influence degree 909, and the selection frequency 910 are information corresponding to the ID of the countermeasure ID 904 in the information of the countermeasure pattern storage unit 411. The content displayed on the countermeasure selection screen 901 is not limited to the example shown in FIG. 9, but may include the content of the example shown in FIG. 9, and the display position and order are also shown in FIG. It is not limited to the example.

図10は、監視装置40が出力する対策選定結果画面の例を示す図である。対策選定結果画面1001は、図7に示したステップS707で表示される画面であり、入出力部412で表示されても良く、業務影響表示1002と対策候補一覧1003から構成される。   FIG. 10 is a diagram showing an example of the countermeasure selection result screen output by the monitoring device 40. As shown in FIG. The countermeasure selection result screen 1001 is a screen displayed in step S 707 shown in FIG. 7 and may be displayed by the input / output unit 412 and is composed of a task influence display 1002 and a countermeasure candidate list 1003.

対策候補一覧1003は、対策ID1004と、影響業務名1005と、通信経路1006と、重要度1007と、影響内容1008と、影響度1009と、選定回数1010から構成され、テーブルとして表示されるが、その内容は、対策候補一覧903と同じである。   The countermeasure candidate list 1003 includes a countermeasure ID 1004, an affected task name 1005, a communication route 1006, an importance degree 1007, an influence content 1008, an influence degree 1009, and a selection count 1010, and is displayed as a table. The contents are the same as the countermeasure candidate list 903.

対策候補一覧1003の中の選定された対策1011は、ユーザのカーソル操作等により選定された対策であり、選定された対策1011内に含まれる表示は、例えば表示色が変わる等しても良い。   The selected countermeasure 1011 in the countermeasure candidate list 1003 is a countermeasure selected by the user's cursor operation or the like, and the display included in the selected countermeasure 1011 may be changed in display color, for example.

図10の例では、対策ID1004の「001」が選定され、選択された対策は、通信経路1006の「制御装置A」と「制御装置B」の通信、「制御装置A」と「制御装置C」の通信、および「制御装置A」と「制御装置D」の通信が、影響内容1008の「停止」となる対策である。   In the example of FIG. 10, “001” of the countermeasure ID 1004 is selected, and the selected countermeasure is the communication of “control device A” and “control device B” of the communication path 1006, “control device A” and “control device C”. The communication of “1” and the communication of “control device A” and “control device D” are measures for “stop” of the influence content 1008.

業務影響表示1002は、図8に示したシステム構成802と同じであるが、選定された対策を実行した場合の影響をユーザにわかりやすく表示するため、対策ID1004の「001」の対策に対応する通信経路1006の通信において影響内容1008の「停止」を示すバツ印が表示される。   The task influence display 1002 is the same as the system configuration 802 shown in FIG. 8, but corresponds to the measure “001” of the measure ID 1004 in order to display the influence of the selected measure in an easily understandable manner to the user. In communication of the communication path 1006, a cross mark indicating "stop" of the influence content 1008 is displayed.

なお、対策選定結果画面1001に表示される内容は、図10の例に限定されるものではなく、図10に示した例の内容が含まれていれば良く、表示の位置と順序も図10の例に限定されるものではない。   The contents displayed on the countermeasure selection result screen 1001 are not limited to the example shown in FIG. 10, and may be any contents as long as the contents of the example shown in FIG. 10 are included. It is not limited to the example of.

図11は、監視装置40のアラート格納部408に格納されるアラートの情報の例を示す図である。図7を用いて説明したネットワーク装置20と不正接続防止装置30により生成されるアラートおよび送信されるアラートが、図11に示すアラートと同じ情報を含んでも良い。   FIG. 11 is a diagram illustrating an example of alert information stored in the alert storage unit 408 of the monitoring apparatus 40. The alert generated and transmitted by the network device 20 and the unauthorized connection prevention device 30 described with reference to FIG. 7 may include the same information as the alert shown in FIG.

アラートは、アラートの発生日時1101と、アラートの種別を示すアラート項目1102と、アラート項目に関連して出力されるアラート関連情報1103から構成される。アラート関連情報1103は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報を含んでも良い。   The alert includes an alert generation date and time 1101, an alert item 1102 indicating the type of the alert, and alert related information 1103 output in association with the alert item. The alert related information 1103 may include the type of security incident or information of a device or network that has caused the security incident.

なお、アラートに含まれる情報は、図11の例に限定されるものではなく、図11に示した例の情報が含まれていれば良く、情報の順序も図11の例に限定されるものではない。   Note that the information included in the alert is not limited to the example of FIG. 11, and may be any information as long as the information of the example shown in FIG. 11 is included, and the order of the information is also limited to the example of FIG. is not.

図12は、ネットワーク装置20の通信ログ格納部208と監視装置40の通信ログ格納部409に格納される通信ログの情報の例を示す図である。図4を用いて説明したネットワーク装置20により送信される通信ログ群が、図12に示す通信ログと同じ情報を含んでも良い。   FIG. 12 is a diagram showing an example of communication log information stored in the communication log storage unit 208 of the network device 20 and the communication log storage unit 409 of the monitoring device 40. The communication log group transmitted by the network device 20 described with reference to FIG. 4 may include the same information as the communication log shown in FIG. 12.

通信ログは、ネットワーク装置20が通信パケットを受信した受信日時1201と、受信した通信パケットのヘッダ1202から構成される。そして、ヘッダ1202は、送信元1203、送信先1204、プロトコル1205、ポート1206から構成される。   The communication log includes a reception date 1201 when the network device 20 receives the communication packet, and a header 1202 of the received communication packet. The header 1202 includes a transmission source 1203, a transmission destination 1204, a protocol 1205, and a port 1206.

通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、最初に送信(受信)された通信パケットの送信元1203は制御装置10−a、送信先1204は制御装置10−bとなり、次に送信(受信)された通信パケットの送信元1203は制御装置10−b、送信先1204は制御装置10−cとなる。   In the case where the communication packet communication path is a path for transmitting from the control device 10-a to the control device 10-b and transmitting from the control device 10-b to the control device 10-c, the communication transmitted (received) first The transmission source 1203 of the packet is the control device 10-a, the transmission destination 1204 is the control device 10-b, and the transmission source 1203 of the communication packet transmitted (received) next is the control device 10-b, and the transmission destination 1204 is the control device It becomes 10-c.

ポート1206は、送信先のポートであるが、送信元のポートであっても良い。なお、通信ログに含まれる情報は、図12の例に限定されるものではなく、図12に示した例の情報が含まれていれば良く、情報の順序も図12の例に限定されるものではない。   The port 1206 is a destination port but may be a source port. Note that the information included in the communication log is not limited to the example of FIG. 12, but may be any information as long as the information of the example shown in FIG. 12 is included, and the order of the information is also limited to the example of FIG. It is not a thing.

図13は、監視装置40の業務パターン格納部410に格納される業務パターンの情報の例を示す図である。業務パターンは、業務ID1301と、送信元1302と、送信先1303と、中継経路1304と、周期1305と、業務名1306と、重要度1307と、から構成される。これらの情報は、図5に示したステップS509にて設定される。   FIG. 13 is a diagram showing an example of the information of the task pattern stored in the task pattern storage unit 410 of the monitoring device 40. As shown in FIG. The job pattern is composed of a job ID 1301, a transmission source 1302, a transmission destination 1303, a relay route 1304, a cycle 1305, a job name 1306, and an importance 1307. These pieces of information are set in step S509 shown in FIG.

業務ID1301は、業務毎に割り振られたIDである。通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、送信元1302は制御装置10−aとなり、送信先1303は制御装置10−cとなり、中継経路1304は制御装置10−bとなる。   The task ID 1301 is an ID assigned to each task. In the case where the communication packet communication path is transmitted from the control device 10-a to the control device 10-b and from the control device 10-b to the control device 10-c, the transmission source 1302 is the control device 10-a. The transmission destination 1303 is the control device 10-c, and the relay route 1304 is the control device 10-b.

通信パケットの通信経路が、さらに多くの制御装置を含む場合、中継経路1304に含まれる制御装置の情報が増える。周期1305は、ステップS505にて抽出された業務パターン間の実行周期である。業務名1306と重要度1307は、図8に示した入力欄809にそれぞれ入力された情報である。   If the communication route of the communication packet includes more control devices, information on control devices included in the relay route 1304 is increased. A cycle 1305 is an execution cycle between work patterns extracted in step S505. The task name 1306 and the importance 1307 are information input to the input field 809 shown in FIG.

なお、業務パターンに含まれる情報は、図13の例に限定されるものではなく、図13に示した例の情報が含まれていれば良く、情報の順序も図13の例に限定されるものではない。   The information included in the work pattern is not limited to the example shown in FIG. 13, but may include information of the example shown in FIG. 13, and the order of the information is also limited to the example shown in FIG. It is not a thing.

図14は、監視装置40の対策パターン格納部411に格納される対策パターンの情報の例を示す図である。対策パターンは、原因内容1401、対策ID1402、対策機器1403、対策内容1404、影響業務ID1405、影響内容1406、影響度1407、および履歴1408から構成される。これらの中で影響業務ID1405、影響内容1406、影響度1407と履歴1408以外は、予め設定されていることが好ましい。   FIG. 14 is a diagram showing an example of information of the countermeasure pattern stored in the countermeasure pattern storage unit 411 of the monitoring device 40. As shown in FIG. The countermeasure pattern includes a cause content 1401, a countermeasure ID 1402, a countermeasure device 1403, a countermeasure content 1404, an influence business ID 1405, an influence content 1406, an influence degree 1407, and a history 1408. Among these, it is preferable that settings other than the impact job ID 1405, the impact content 1406, the impact degree 1407, and the history 1408 be set in advance.

原因内容1401は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報であり、アラートの情報と比較できる情報であることが好ましい。対策ID1402は、対策を識別するIDである。対策機器1403は、原因内容1401の原因への対策を実施する機器を識別する情報である。   The cause content 1401 is information of the type of security incident or the device or network that has caused the security incident, and is preferably information that can be compared with the information of the alert. The countermeasure ID 1402 is an ID for identifying a countermeasure. The countermeasure device 1403 is information that identifies the device that is to take measures against the cause content 1401.

対策内容1404は、対策機器1403で識別される機器に対して送信するコマンドや設定変更値の情報である。この情報には、対策により遮断される通信や機器および対策により動作の停止される機器等の情報が含まれていることが好ましい。   The countermeasure content 1404 is information on a command or setting change value transmitted to the device identified by the countermeasure device 1403. It is preferable that the information includes information such as communication or equipment interrupted by the countermeasure and equipment which is stopped by the countermeasure.

影響業務ID1405は、対策ID1403のIDの対策を実行した際に影響を受ける業務を識別するIDである。影響内容1406は、影響業務ID1405の業務IDそれぞれの業務が停止する、あるいは部分停止するといった影響の情報である。   The affected task ID 1405 is an ID for identifying the task affected when the measure of the ID of the measure ID 1403 is executed. The influence content 1406 is information on the influence that the task of each task ID of the impact task ID 1405 is stopped or partially stopped.

影響度1407は、図6に示したステップS605にて算出される値であり、影響を受ける業務の重要度や影響内容を基に算出される値である。履歴1408は、図7に示したステップS707にて選定された回数を、対策ID1402のID毎に計数するための情報である。   The degree of influence 1407 is a value calculated in step S605 shown in FIG. 6, and is a value calculated based on the degree of importance of the operation affected and the contents of the influence. The history 1408 is information for counting the number of times selected in step S 707 shown in FIG. 7 for each ID of the countermeasure ID 1402.

このため、履歴1408に含まれる回数は、ステップS707にて選定されるたびに値の1が加算されても良く、入出力部412を介した入力に応じて値の0にリセットされても良い。履歴1408は、選定された回数以外に、業務IDと対策IDの組合せに関する過去の対策の他の情報が含まれても良い。   Therefore, the number of times included in the history 1408 may be incremented by 1 each time it is selected in step S 707, or may be reset to 0 according to the input via the input / output unit 412. . The history 1408 may include, in addition to the number of times selected, other information on past measures regarding the combination of the task ID and the measure ID.

なお、影響業務ID1405は、図6に示したステップS604にて推定されても良い。この場合、影響内容1406は、対策機器1403と対策内容1404に応じて推定されていても良い。一方、影響業務ID1405や影響内容1406を予め設定しても良い。この場合、ステップS604はスキップされても良い。   The influence job ID 1405 may be estimated in step S604 shown in FIG. In this case, the influence content 1406 may be estimated according to the countermeasure device 1403 and the countermeasure content 1404. On the other hand, the influence job ID 1405 and the influence content 1406 may be set in advance. In this case, step S604 may be skipped.

また、対策パターンに含まれる情報は、図14の例に限定されるものではなく、図14に示した例の情報が含まれていれば良く、情報の順序も図14の例に限定されるものではない。   Further, the information included in the countermeasure pattern is not limited to the example of FIG. 14, and it is sufficient if the information of the example shown in FIG. 14 is included, and the order of the information is also limited to the example of FIG. It is not a thing.

以上で説明したように、制御システム向け対策立案システムは、通信ログに基づき実際の通信から通信経路を抽出し、業務パターンを抽出できる。そして、抽出された業務パターンに対して、業務の重要度の入力を受け付け、業務パターンの情報に含めることができる。これにより、予め設定された対策パターンと、抽出された業務パターンとの間で対策の影響度を算出することが可能となる。   As described above, the countermeasure planning system for control system can extract the communication path from the actual communication based on the communication log, and can extract the task pattern. Then, for the extracted work pattern, the input of the importance of the work can be received and included in the information of the work pattern. Thereby, it is possible to calculate the degree of influence of the countermeasure between the countermeasure pattern set in advance and the extracted work pattern.

また、セキュリティインシデントの発生を検出すると、対策候補を影響度とともに提供できる。これにより、業務への影響を加味した対策の選定が可能となる。この影響は、業務の通信経路とともに可視化することも可能となる。   In addition, when a security incident is detected, countermeasure candidates can be provided along with the degree of impact. This makes it possible to select measures taking into consideration the impact on operations. This influence can also be visualized along with the business communication path.

なお、本発明は、以上の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。例えば、ネットワーク装置や不正接続防止装置以外の検知装置が接続されている場合や、監視装置内にネットワーク装置や不正接続防止装置の機能が含まれている場合や、制御装置や監視装置やネットワーク装置や不正接続防止装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合等である。これらの実施形態の場合においてもシステム全体において行う処理に本質的な変更の必要はない。   The present invention is not limited to the above embodiments, and various modifications can be made within the scope of the invention. For example, when a detection device other than a network device or an unauthorized connection prevention device is connected, or when the function of the network device or an unauthorized connection prevention device is included in the monitoring device, or a control device, a monitoring device, or a network device And the case where the device for preventing unauthorized connection does not include a communication function with the network, but communicates with the network via another device. Also in the case of these embodiments, there is no need for essential changes in the processing performed in the entire system.

20:ネットワーク装置、30:不正接続防止装置、40:監視装置、402:原因分析部、403:対策立案部、405:業務抽出部、407:業務影響推定部、50:ネットワーク 20: Network device, 30: Incorrect connection prevention device, 40: Monitoring device, 402: Cause analysis unit, 403: Countermeasure planning unit, 405: Business extraction unit, 407: Business impact estimation unit, 50: Network

Claims (15)

制御システムのための対策立案システムであって、
複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および
前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたこと
を特徴とする対策立案システム。 A countermeasure planning system for a control system,
A network device that receives and relays a packet communicated between a plurality of control devices, collects and transmits a communication log of the received packet, detects an irregularity of the received packet, and transmits an alert, and the network device A task extraction unit that extracts a task pattern including information on a communication route from the communication log transmitted by the server, a countermeasure pattern storage unit that stores a countermeasure pattern including information on a device related to a countermeasure, and a communication route included in the task pattern The affected business is extracted based on the information of the device and the information of the device included in the countermeasure pattern, and the business impact estimation unit including the affected business in the countermeasure pattern, and the countermeasure candidate extracted based on the alert transmitted by the network device It has a monitoring device that includes a countermeasure planning unit and an input / output unit that outputs countermeasure candidates including affected operations. And a countermeasure planning system characterized by 請求項1に記載の対策立案システムであって、
前記ネットワーク装置は、
送信元と送信先の情報と前記ネットワーク装置が受信した日時を含む通信ログを収集して送信し、
前記業務抽出部は、
前記ネットワーク装置により送信された通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる受信日時と前記第2の通信ログに含まれる受信日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 1, wherein
The network device is
Communication logs including information on transmission source and transmission destination and the date and time received by the network device are collected and transmitted,
The task extraction unit
In the communication log transmitted by the network device, when the transmission destination included in the first communication log matches the transmission source included in the second communication log, the transmission source of the first communication log and transmission The destination of the first and second communication logs is analyzed as a communication path, and the difference between the reception date and time included in the first communication log and the reception date and time included in the second communication log is within a preset time If it is, a business task planning system including information of the analyzed communication path is extracted. 請求項2に記載の対策立案システムであって、
前記業務抽出部は、
分析された通信経路が一致する複数の業務パターンに関わる受信日時の周期を抽出すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 2, wherein
The task extraction unit
A countermeasure planning system characterized by extracting a cycle of reception date and time related to a plurality of business patterns in which analyzed communication paths coincide. 請求項3に記載の対策立案システムであって、
前記業務抽出部は、
分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 3, wherein
The task extraction unit
Output the analyzed communication path and the extracted cycle, control the input / output unit to input the task name and the importance, analyze the communication path, the extracted cycle, the input task name, and The countermeasure planning system characterized by including the inputted importance in the work pattern. 請求項4に記載の対策立案システムであって、
前記業務影響推定部は、
抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 4, wherein
The task impact estimation unit
The countermeasure planning system characterized in that the influence degree of the extracted influence work is calculated using the inputted importance degree, and the influence degree is included in the countermeasure pattern. 請求項5に記載の対策立案システムであって、
前記対策パターン格納部は、
原因内容をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度を出力するように前記入出力部を制御し、抽出された対策パターンに含まれる影響業務の業務パターンに含まれる通信経路と業務名と重要度を出力するように前記入出力部を制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 5, wherein
The countermeasure pattern storage unit
The countermeasure pattern further including the cause content is stored,
The measure planning unit
The input / output unit is configured to extract the countermeasure pattern corresponding to the cause content from the countermeasure pattern storage unit and output the degree of influence included in the extracted countermeasure pattern, the information included in the alert transmitted by the network device And controlling the input / output unit to output the communication path, the task name, and the degree of importance included in the task pattern of the affected task included in the extracted countermeasure pattern. 請求項6に記載の対策立案システムであって、
前記対策パターン格納部は、
対策させる機器の情報と対策の内容をさらに含む対策パターンが格納され、
前記対策立案部は、
複数の対策パターンの出力に応じて、対策パターンの選定のための入力を受け付けるように前記入出力部を制御し、選定された対策パターンに含まれる対策させる機器の情報にしたがって対策の内容を送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 6, wherein
The countermeasure pattern storage unit
A countermeasure pattern is stored, which further includes the information of the device to be countered and the content of the counter,
The measure planning unit
The input / output unit is controlled to receive an input for selecting a countermeasure pattern according to the output of a plurality of countermeasure patterns, and the content of the countermeasure is transmitted according to the information of the device to be countermeasure contained in the selected countermeasure pattern A countermeasure planning system characterized in that it is controlled to 請求項7に記載の対策立案システムであって、
前記対策パターン格納部は、
履歴をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる履歴を出力するように前記入出力部を制御し、選定された対策パターンに含まれる履歴を更新すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 7, wherein
The countermeasure pattern storage unit
The countermeasure pattern including the history is stored.
The measure planning unit
The input / output unit is configured to extract the countermeasure pattern corresponding to the cause content from the countermeasure pattern storage unit and to output the history included in the extracted countermeasure pattern, as the information included in the alert transmitted by the network device corresponds to the cause content A countermeasure planning system characterized by controlling and updating a history included in a selected countermeasure pattern. 請求項8に記載の対策立案システムであって、
前記ネットワーク装置は、
フィルタリングポリシに基づいて中継するパケットをフィルタリングし、
前記対策パターン格納部は、
対策させる機器として前記ネットワーク装置の情報を含み、対策内容としてフィルタリングポリシを含む対策パターンが格納され、
前記対策立案部は、選定された対策パターンに含まれる前記ネットワーク装置の情報にしたがって、前記ネットワーク装置へフィルタリングポリシを送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 8, wherein
The network device is
Filter relaying packets based on the filtering policy,
The countermeasure pattern storage unit
A countermeasure pattern is stored that includes information on the network device as a device to be countermeasured, and includes a filtering policy as a countermeasure content,
The countermeasure planning system is characterized in that the countermeasure planning unit performs control to transmit a filtering policy to the network device according to the information of the network device included in the selected countermeasure pattern. 請求項5に記載の対策立案システムであって、
前記対策パターン格納部は、
原因内容、対策させる機器、および対策の内容をさらに含む対策パターンが格納され、
前記対策立案部は、
前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度に応じて、対策パターンに含まれる対策させる機器へ対策の内容を送信するように制御すること
を特徴とする対策立案システム。 The countermeasure planning system according to claim 5, wherein
The countermeasure pattern storage unit
Stores a countermeasure pattern that further includes the cause content, the device to be countered, and the content of the countermeasure.
The measure planning unit
Information included in the alert transmitted by the network device is extracted from the countermeasure pattern storage unit according to the degree of influence included in the countermeasure pattern storage unit, and the countermeasure pattern corresponding to the cause content is extracted. A countermeasure planning system characterized in that control is performed to transmit the content of the countermeasure to the device to be countermeasured. 制御システムのための監視装置であって、
受信した通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、
対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、
業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、
受信したアラートと対策パターンに基づき対策候補を抽出する対策立案部と、
影響業務を含めて対策候補を出力する入出力部と、を備えたこと
を特徴とする監視装置。 A monitoring device for the control system,
A task extraction unit that extracts a task pattern including information on a communication path from the received communication log;
A countermeasure pattern storage unit in which a countermeasure pattern including information on equipment related to the countermeasure is stored;
A task impact estimation unit that extracts affected tasks based on information on communication paths included in the task pattern and information on devices included in the countermeasure pattern, and includes affected tasks in the countermeasure pattern;
A countermeasure planning unit that extracts countermeasure candidates based on the received alert and the countermeasure pattern;
A monitoring apparatus comprising: an input / output unit that outputs countermeasure candidates including affected operations. 請求項11に記載の監視装置であって、
前記業務抽出部は、
送信元と送信先の情報と日時を含む通信ログを受信し、受信した通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる日時と前記第2の通信ログに含まれる日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
を特徴とする監視装置。 The monitoring device according to claim 11, wherein
The task extraction unit
When a communication log including information on a transmission source and a transmission destination and date and time is received and the transmission destination included in the first communication log matches the transmission source included in the second communication log among the received communication logs The transmission source and the transmission destination of the first communication log and the transmission destination of the second communication log are analyzed as a communication path, and the date and time included in the first communication log and the second communication log are included. A monitoring apparatus characterized by extracting a work pattern including information of an analyzed communication path when a difference between date and time is within a preset time. 請求項12に記載の監視装置であって、
前記業務抽出部は、
分析された通信経路が一致する複数の業務パターンに関わる日時の周期を抽出すること
を特徴とする監視装置。 13. The monitoring device according to claim 12, wherein
The task extraction unit
A monitoring apparatus characterized by extracting a cycle of date and time related to a plurality of business patterns in which analyzed communication paths coincide. 請求項13に記載の監視装置であって、
前記業務抽出部は、
分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
を特徴とする監視装置。 14. The monitoring device according to claim 13, wherein
The task extraction unit
Output the analyzed communication path and the extracted cycle, control the input / output unit to input the task name and the importance, analyze the communication path, the extracted cycle, the input task name, and The monitoring apparatus characterized by including the input importance in a work pattern. 請求項14に記載の監視装置であって、
前記業務影響推定部は、
抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
を特徴とする監視装置。 15. The monitoring device according to claim 14, wherein
The task impact estimation unit
A monitoring apparatus characterized by calculating the degree of influence using the input degree of importance, and including the degree of influence in a countermeasure pattern, using the degree of influence of the extracted influence business.
JP2017206707A 2017-10-26 2017-10-26 Countermeasure planning system and monitoring device for control system Active JP6869869B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017206707A JP6869869B2 (en) 2017-10-26 2017-10-26 Countermeasure planning system and monitoring device for control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017206707A JP6869869B2 (en) 2017-10-26 2017-10-26 Countermeasure planning system and monitoring device for control system

Publications (2)

Publication Number Publication Date
JP2019080211A true JP2019080211A (en) 2019-05-23
JP6869869B2 JP6869869B2 (en) 2021-05-12

Family

ID=66628023

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017206707A Active JP6869869B2 (en) 2017-10-26 2017-10-26 Countermeasure planning system and monitoring device for control system

Country Status (1)

Country Link
JP (1) JP6869869B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336130A (en) * 2003-04-30 2004-11-25 Ntt Data Corp Network state monitoring system and program
JP2013080354A (en) * 2011-10-03 2013-05-02 Hitachi Ltd Monitoring device and monitoring method
WO2013168229A1 (en) * 2012-05-08 2013-11-14 富士通株式会社 Network system, maintenance work management method, processing device, and program
JP2014127887A (en) * 2012-12-27 2014-07-07 Hitachi Ltd Communication control device
JP2015188181A (en) * 2014-03-27 2015-10-29 富士通株式会社 Network management method, network management system, and network management device
JP2016171453A (en) * 2015-03-12 2016-09-23 株式会社日立製作所 Incident detection system
US20160366182A1 (en) * 2015-06-10 2016-12-15 Hitachi, Ltd. Evaluation system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004336130A (en) * 2003-04-30 2004-11-25 Ntt Data Corp Network state monitoring system and program
JP2013080354A (en) * 2011-10-03 2013-05-02 Hitachi Ltd Monitoring device and monitoring method
WO2013168229A1 (en) * 2012-05-08 2013-11-14 富士通株式会社 Network system, maintenance work management method, processing device, and program
JP2014127887A (en) * 2012-12-27 2014-07-07 Hitachi Ltd Communication control device
JP2015188181A (en) * 2014-03-27 2015-10-29 富士通株式会社 Network management method, network management system, and network management device
JP2016171453A (en) * 2015-03-12 2016-09-23 株式会社日立製作所 Incident detection system
US20160366182A1 (en) * 2015-06-10 2016-12-15 Hitachi, Ltd. Evaluation system
JP2017005482A (en) * 2015-06-10 2017-01-05 株式会社日立製作所 Evaluation system

Also Published As

Publication number Publication date
JP6869869B2 (en) 2021-05-12

Similar Documents

Publication Publication Date Title
US10789118B2 (en) Information processing device and error detection method
CN106133740B (en) Log Analysis System
CN104509034A (en) Pattern consolidation to identify malicious activity
CN106104556A (en) Log analysis system
JP6523582B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM
EP3512179A1 (en) Cyber security framework for internet-connected embedded devices
WO2018211827A1 (en) Assessment program, assessment method, and information processing device
JP6831763B2 (en) Incident analyzer and its analysis method
JP6233414B2 (en) Information processing apparatus, filtering system, filtering method, and filtering program
JP5883770B2 (en) Network abnormality detection system and analysis device
EP3787240B1 (en) Device for anomaly detection, method and program for anomaly detection
JP6067195B2 (en) Information processing apparatus, information processing method, and program
JP2017211806A (en) Communication monitoring method, security management system, and program
KR101079036B1 (en) Apparatus and method of detecting anomaly in control system network
JP2019080211A (en) Countermeasure planning system and monitoring device for control system
CN108141372A (en) For the system and method based on network flow detection to the attack of mobile ad hoc networks
WO2018138793A1 (en) Attack/abnormality detection device, attack/abnormality detection method, and attack/abnormality detection program
JP2019022099A (en) Security policy information management system, security policy information management method, and program
JP6269004B2 (en) Monitoring support program, monitoring support method, and monitoring support apparatus
JP6890073B2 (en) Information collection device, information collection system
CN114189361A (en) Situation awareness method, device and system for defending threats
US20190018959A1 (en) Diagnosis device, diagnosis method, and non-transitory recording medium
US20180276064A1 (en) Diagnosis device, diagnosis method, and non-volatile recording medium
WO2019225232A1 (en) Monitoring device, monitoring system, and monitoring method
JP2009033276A (en) Control network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200325

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210414

R150 Certificate of patent or registration of utility model

Ref document number: 6869869

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150