JP2019096150A - セキュリティ監視装置 - Google Patents

セキュリティ監視装置 Download PDF

Info

Publication number
JP2019096150A
JP2019096150A JP2017226146A JP2017226146A JP2019096150A JP 2019096150 A JP2019096150 A JP 2019096150A JP 2017226146 A JP2017226146 A JP 2017226146A JP 2017226146 A JP2017226146 A JP 2017226146A JP 2019096150 A JP2019096150 A JP 2019096150A
Authority
JP
Japan
Prior art keywords
security
control device
unit
network
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017226146A
Other languages
English (en)
Other versions
JP7006178B2 (ja
Inventor
安宏 北村
Yasuhiro Kitamura
安宏 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Omron Tateisi Electronics Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp, Omron Tateisi Electronics Co filed Critical Omron Corp
Priority to JP2017226146A priority Critical patent/JP7006178B2/ja
Priority to PCT/JP2018/040549 priority patent/WO2019102809A1/ja
Priority to EP18881730.8A priority patent/EP3715972A4/en
Priority to US16/643,467 priority patent/US11397806B2/en
Priority to CN201880056143.0A priority patent/CN111095135A/zh
Publication of JP2019096150A publication Critical patent/JP2019096150A/ja
Application granted granted Critical
Publication of JP7006178B2 publication Critical patent/JP7006178B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23317Safe mode, secure program, environment in case of error, intrusion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)
  • Programmable Controllers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】制御装置をネットワーク化またはインテリジェント化に伴い生じ得る脅威から保護する。【解決手段】制御対象に応じて作成されたプログラムを実行するプログラム実行部を有した制御装置に外付け可能なセキュリティ監視装置は、制御装置を接続する通信ポートと、通信の内容から、制御装置に対する外部からのアクセスにおいてセキュリティ事象が発生したか否かを判断する検知部と、セキュリティ事象が発生したと検知されると、当該発生したセキュリティ事象に応じた通知先へ通知する通知部とを備え、セキュリティ事象は、予め定められた規則に適合しない事象を含む。【選択図】図1

Description

本発明は、制御対象を制御する制御装置のためのセキュリティ監視装置に関する。
各種設備および各設備に配置される各種装置の制御には、PLC(プログラマブルコントローラ)などの制御装置が用いられる。制御装置は、制御対象の設備または装置に生じる異常を監視するとともに、制御装置自体の異常を監視することも可能である。何らかの異常が検知されると、制御装置から外部に対して何らかの方法で通知がなされる。
例えば、特開2000−137506号公報(特許文献1)は、異常履歴が登録されたとき、または、予め定められた時間が到来したときに、予め指定された宛先に電子メールを送信するプログラマブルコントローラを開示する。
特開2000−137506号公報
近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、想定される脅威の種類も増加している。
従来の制御装置においては、設備もしくは装置に生じた異常、または、制御装置自体に生じた異常を検知するのみであり、ネットワーク化あるいはインテリジェント化に伴って生じ得る脅威については、何ら想定されていない。
本発明は、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護という新たな課題を解決することを一つの目的としている。
本開示の一例によれば、制御対象に応じて作成されたプログラムを実行するプログラム実行部を有した制御装置に外付け可能なセキュリティ監視装置は、制御装置を接続する通信ポートと、通信の内容から、制御装置に対する外部からのアクセスにおいてセキュリティ事象が発生したか否かを判断する検知部と、セキュリティ事象が発生したと検知されると、当該発生したセキュリティ事象に応じた通知先へ通知する通知部とを備え、セキュリティ事象は、予め定められた規則に適合しない事象を含む。
この開示によれば、制御装置に対する外部からのアクセスにおいてセキュリティ事象の発生を監視することができ、かつ、何らかのセキュリティ事象が発生した場合に、その発生および対処などに必要な通知がなされる。これによって、制御装置のネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護という新たな課題を解決できる。
上述の開示において、上記通信の内容は、制御装置から受信する当該制御装置の状態を示す状態情報を含む。
この開示によれば、セキュリティ監視装置は、制御装置の状態を示す状態情報からセキュリティ事象を監視できる。
上述の開示において、セキュリティ事象は、制御装置の動作を停止または性能を低下させる挙動および行為、制御装置におけるプログラムの実行処理を停止または性能を低下させる挙動および行為、ならびに、制御対象の動作を停止または性能を低下させる挙動および行為、のいずれかを含んでいてもよい。
この開示によれば、制御装置が提供する処理が阻害されるような脅威をセキュリティ事象として監視できる。
上述の開示において、セキュリティ事象は、データの送信先または送信元のネットワークアドレス、物理アドレス、ポート番号のうちいずれかが、予め定められたアクセスを許可されたリストに含まれていない、および、予め定められたアクセスを禁止されたリストに含まれている、のいずれかに該当することを含んでいてもよい。
この開示によれば、予め定められた送信先または送信元との間のデータ通信のみが許容され、それ以外のデータ通信については、セキュリティ事象として検知される。そのため、ネットワークを介した脅威に対する保護を実現できる。
上述の開示において、セキュリティ監視装置はネットワーク接続するためのネットワークインターフェイスをさらに、備え、データは、ネットワークから受信するデータおよび制御装置からネットワークに送信されるデータを含む。
この開示によれば、セキュリティ監視装置は、ネットワークと制御装置との間で遣り取りされるデータからセキュリティ事象を監視することができる。
上述の開示において、制御装置は、ネットワーク接続するためのポートを有している。セキュリティ事象は、第1のユニットのポートが無効化されている場合に、当該ポートがネットワーク接続されることを含んでいてもよい。
この開示によれば、制御装置に対するネットワークを介した攻撃やネットワークを介した不正な処置がなされる前の段階で、セキュリティ事象として検知できる。
上述の開示において、セキュリティ事象は、外部から制御装置へのアクセス時に要求されるユーザ認証が失敗したことを含む。
この開示によれば、ユーザ認証の失敗は不正なアクセスが予想されるので、そのような不正なアクセスがなされる前の段階で、セキュリティ事象として検知できる。
上述の開示において、セキュリティ事象は、制御装置で実行されるプログラムの開発が可能なサポート装置が制御装置へ接続されることを含む。
この開示によれば、制御装置のプログラム自体を変更できるサポート装置が直接的に接続されることで、実行されるプログラムに対して何らかの悪意をもった攻撃がなされる可能性があるが、このような脅威を事前段階で、セキュリティ事象として検知できる。
上述の開示において、セキュリティ事象は、制御装置で実行されるプログラムの追加および変更、ならびに、制御装置における設定の変更のうち、いずれかが生じたことを含む。
この開示によれば、制御装置で実行されるプログラムに対する改変または制御装置が動作するために必要な設定に対する改変がなされると、セキュリティ事象として検知できる。このようなプログラムまたは設定に対する改変によって、制御装置において異常な制御動作が実行されることもあり、このような脅威を事前に防止できる。
上述の開示において、通知部は、セキュリティ事象の発生をネットワークを介してイベント通知してもよい。
この開示によれば、制御装置とネットワーク接続されている任意のデバイスに対して、制御装置に対する脅威を示すセキュリティ事象の発生を通知できる。
上述の開示において、ネットワーク上に配置された報知部は、通知部からのイベント通知を受けて、報知動作を開始してもよい。
この開示によれば、例えば、制御装置の近傍に配置された報知部が報知動作を開始することで、制御装置の近傍にいる管理者または保全員などがセキュリティ事象の発生を知り、必要な処置を即座に開始できる。
本発明によれば、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護を実現できる。
本実施の形態に係る制御システムの概略構成を示す模式図である。 本実施の形態に係る制御装置に含まれるCPUユニットのハードウェア構成例を示すブロック図である。 本実施の形態に係る制御装置に含まれるセキュリティユニットのハードウェア構成例を示すブロック図である。 本実施の形態に係る制御装置に含まれるセキュリティユニットの機能構成例を示すブロック図である。 セキュリティ設定に含まれるアクセスコントロールリスト(ACL:Access Control List)の一例を示す図である。 ネットワーク内のノード変化の一例を示す模式図である。 ネットワークポートへの接続監視を説明する模式図である。 USBポートへの接続監視を説明する模式図である。 サポート装置からCPUユニットへのアクセス時の処理を説明するための模式図である。 サポート装置からCPUユニットに格納されているプログラムおよび/または設定を変更する処理を説明するための模式図である。 本実施の形態に係るセキュリティユニットから送信される電子メールの一例を説明するための模式図である。 本実施の形態に係るセキュリティユニットから表示装置へのセキュリティ事象の通知の一例を説明するための模式図である。 本実施の形態に係るセキュリティユニットからデータベースへのセキュリティ事象の通知の一例を説明するための模式図である。 本実施の形態に係るセキュリティユニットから他の制御装置へのセキュリティ事象の通知の一例を説明するための模式図である。 本実施の形態に係るセキュリティユニットからネットワークを介してイベント通知する一例を説明するための模式図である。 本実施の形態に係るセキュリティユニットにおけるセキュリティ事象を監視する処理手順を示すフローチャートである。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。
<A.適用例>
まず、本発明が適用される場面の一例について説明する。
本明細書において、「セキュリティ事象」は、制御装置の運用者または管理者などによって予め定められた規則に適合しない事象を含む。より具体的には、「セキュリティ事象」は、(a)制御装置自体の動作を停止または性能を低下させる挙動および行為、(b)制御装置におけるプログラムの実行処理を停止または性能を低下させる挙動および行為、(c)制御装置の制御対象となる設備、装置またはデバイスなどの動作を停止または性能を低下させる挙動および行為、ならびに、(d)これらに類する挙動および行為を含み得る。
本明細書における「セキュリティ事象」は、基本的には、ネットワークまたはそれに類する電気通信を介して与えられる挙動または行為を包含する概念である。
図1は、本実施の形態に係る制御システム1の概略構成を示す模式図である。図1を参照して、本実施の形態に係る制御システム1は、設備および装置などの制御対象を制御するものであり、制御装置2と、リモートIO(Input Output)装置4と、1または複数の表示装置500と、1または複数のサーバ装置600とを含む。制御装置2と、表示装置500と、サーバ装置600とは、ネットワーク10を介して接続されている。ネットワーク10は、ゲートウェイ700を介して、外部ネットワークであるインターネットに接続されている。また、制御装置2とリモートIO装置4との間は、フィールドネットワーク6を介して接続されている。
また、制御システム1は、制御装置2に外付け可能なように、制御装置2に脱着可能な態様で接続され得るセキュリティユニット200を備える。セキュリティユニット200は、制御装置2(より特定的にはCPUユニット100)のセキュリティを監視する。セキュリティユニット200は、「セキュリティ監視装置」の一実施例である。セキュリティユニット200は、2つの通信用のポートを有しており、一方のポートはネットワーク10に接続されるとともに、他方のポート210Pは制御装置2に含まれるCPUユニット100の通信ポート110Pに接続されている。通信ポート110Pおよび210Pを介してセキュリティユニット200がCPUユニット100に接続されることで、すなわちセキュリティユニット200はネットワーク10と制御装置2との間を仲介するように配置されることで、CPUユニット100は、セキュリティユニット200を介して、ネットワーク10に接続されたデバイスとの間でデータ通信を行う。
制御装置2は、CPUユニット100と、1または複数の機能ユニット300とを含む。CPUユニット100は、制御対象に応じて作成されたプログラムを実行するプログラム実行部を有している。より具体的には、CPUユニット100は、システムプログラムおよび各種のユーザプログラムを実行する演算処理部に相当する。
本実施の形態において、制御装置2は、主として、制御対象を制御する処理を担当するのに対して、セキュリティユニット200は、CPUユニット100に対するインターネットからのアクセス、および、ネットワーク10内の他の装置からのCPUユニット100に対するアクセスを監視するとともに、何らかのセキュリティ事象の発生を検知すると、制御装置2の内部または外部へ当該検知したセキュリティ事象に係る通知を行う。
セキュリティユニット200は、さらに、CPUユニット100と上記の通信ポート110Pおよび210Pとは別のデータ伝送手段を介して接続されていてもよい。このような別のデータ伝送手段を採用することで、セキュリティユニット200は、CPUユニット100のCPUユニット状態情報を取得することもできる。このようなCPUユニット状態情報によって、CPUユニット100に対する直接のアクセスによって生じるセキュリティ事象の発生についても常時監視できる。
セキュリティユニット200は、制御装置2に対する外部からのアクセスにおいてセキュリティ事象が発生したか否かを判断する検知部を有している。より具体的には、セキュリティユニット200は、予め定められたセキュリティ設定20に従って、セキュリティ事象の発生の有無を常時監視する。図1に示す構成例においては、セキュリティユニット200は、制御装置2がネットワーク10を介して送受信するデータを監視可能に配置されている。すなわち、セキュリティユニット200は、論理的には、CPUユニット100とネットワーク10との間に配置され、CPUユニット100から通信ポート110Pを介して送信されるデータをネットワーク10へ転送するとともに、ネットワーク10から受信したデータを、通信ポート210Pを介しCPUユニット100へ転送する。セキュリティユニット200は、このような処理において送受信されるデータを監視して、何らかのセキュリティ事象の有無を判断する。
セキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、予め定められた規則に従って、内部または外部への通知を行う。すなわち、セキュリティユニット200は、セキュリティ事象が発生したと検知されると、当該発生したセキュリティ事象に応じた通知先へ通知する通知部を有している。
本実施の形態に係るセキュリティユニット200は、制御装置2のCPUユニット100、あるいは、CPUユニット100を含む装置に対するアクセスについて、予め定められたセキュリティ事象が発生したか否かを常時監視する処理が実装されている。そして、何らかのセキュリティ事象が発生すると、当該発生したセキュリティ事象に応じた通知が、制御装置2の内部または外部へ出力される。このような構成を採用することで、CPUユニット100、あるいは、CPUユニット100を含む装置に対するセキュリティ耐性を高めることができる。
なお、説明の便宜上、それぞれ独立したCPUユニット100を含む制御装置2と、制御装置2とは別体のセキュリティユニット200とを用いた実装例を示すが、これに限らず、両者を一体化したユニットを採用してもよい。あるいは、制御装置2(より特定的にはCPUユニット100)に接続される「装置」の形ではなく、制御装置2においてCPUユニット100と何らかの手段で接続される別ユニットとして、セキュリティユニット200が提供する処理を実装してもよい。
このように、上述の本実施の形態に係る制御システム1で説明されたような制御装置2に外付型のセキュリティユニット200を採用することで、既存の制御装置2のセキュリティ事象の監視処理を実施することができる。
<B.制御システムの全体構成例>
引き続いて図1を参照して、制御システム1の全体構成例について説明する。
制御装置2に含まれる機能ユニット300は、制御対象の設備および装置、ならびに、それらに配置されている各種デバイス(センサやアクチュエータなど)との間で信号を遣り取りする。具体的には、機能ユニット300は、CPUユニット100において算出される指令値をフィールドへ出力、あるいは、フィールドからの入力値を収集する。機能ユニット300としては、例えば、制御対象からのデジタル信号を受取るDI(Digital Input)モジュール、制御対象に対してデジタル信号を出力するDO(Digital Output)モジュール、制御対象からのアナログ信号を受取るAI(Analog Input)モジュール、制御対象に対してアナログ信号を出力するAO(Analog Output)モジュールのうち1または複数のモジュールを有している。さらに、機能ユニット300としては、PID(Proportional Integral Derivative)制御やモーション制御といった特殊機能を実装したコントローラを含み得る。
制御装置2とリモートIO装置4とを接続するフィールドネットワーク6は、データの到達時間が保証される、定周期通信を行うバスまたはネットワークを採用することが好ましい。このような定周期通信を行うバスまたはネットワークとして、EtherCAT(登録商標)を採用してもよい。なお、「フィールドネットワーク」と称される通信経路は、「フィールドバス」とも称される。本明細書において、「フィールドネットワーク」との用語は、狭義の「フィールドネットワーク」に加えて、「フィールドバス」を含み得る概念として用いる。
リモートIO装置4は、カプラユニット400と、1または複数の機能ユニット300とを含む。カプラユニット400は、フィールドネットワーク6を介してデータを遣り取りするための第1の通信インターフェイスと、リモートIO装置4に含まれる機能ユニット300との間で内部的にデータを遣り取りする第2の通信インターフェイスとを含む。
機能ユニット300については、制御装置2に含まれる機能ユニット300と同様であるので、詳細な説明は繰返さない。
制御装置2と表示装置500およびサーバ装置600とを接続するネットワーク10としては、例えば、一般的なネットワークプロトコルであるイーサネット(登録商標)やEtherNet/IP(登録商標)が採用されてもよい。
表示装置500は、ユーザからの操作を受けて、制御装置2に対してユーザ操作に応じたコマンドなどを出力するとともに、制御装置2での演算結果などをグラフィカルに表示する。
サーバ装置600は、データベースシステム、製造実行システム(MES:Manufacturing Execution System)などが想定される。製造実行システムは、制御対象の製造装置や設備からの情報を取得して、生産全体を監視および管理するものであり、オーダ情報、品質情報、出荷情報などを扱うこともできる。これらに限らず、情報系サービス(制御対象から各種情報を取得して、マクロ的またはミクロ的な分析などを行う処理)を提供する装置をネットワーク10に接続するようにしてもよい。
ゲートウェイ700は、ネットワーク10と外部ネットワーク(インターネット)との間のプロトコル変換およびファイヤウォールとしての処理を実行する。
<C.主要なユニットのハードウェア構成例>
次に、本実施の形態に係る制御装置2に含まれる主要なユニットのハードウェア構成例について説明する。
(c1:CPUユニット100)
図2は、本実施の形態に係る制御装置2に含まれるCPUユニット100のハードウェア構成例を示すブロック図である。図2を参照して、CPUユニット100は、プロセッサ102と、チップセット104と、主メモリ106と、ストレージ108と、ユニット間インターフェイス110と、USB(Universal Serial Bus)インターフェイス112と、メモリカードインターフェイス114と、ネットワークインターフェイス118と、内部バスコントローラ120と、フィールドネットワークコントローラ130とを含む。
プロセッサ102は、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)などで構成される。プロセッサ102としては、複数のコアを有する構成を採用してもよいし、プロセッサ102を複数配置してもよい。このように、CPUユニット100は、1または複数のプロセッサ102、および/または、1または複数のコアを有するプロセッサ102を有している。チップセット104は、プロセッサ102および周辺エレメントを制御することで、CPUユニット100全体としての処理を実現する。主メモリ106は、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性記憶装置などで構成される。ストレージ108は、例えば、フラッシュメモリなどの不揮発性記憶装置などで構成される。
プロセッサ102は、ストレージ108に格納された各種プログラムを読出して、主メモリ106に展開して実行することで、制御対象に応じた制御を実現する。ストレージ108には、基本的な処理を実現するためのシステムプログラム32に加えて、制御対象の製造装置や設備に応じて作成されたユーザプログラム30が格納される。
ユニット間インターフェイス110は、他のユニットとデータ通信可能に接続するためのデバイスである。本実施の形態においては、CPUユニット100のユニット間インターフェイス110を介して、セキュリティユニット200が接続される。ユニット間インターフェイス110としては、例えば、公知のデータ伝送規格(例えば、PCI Express)などに従うデバイスを採用できる。
USBインターフェイス112は、USB接続を介した外部装置(例えば、ユーザプログラムの開発などを行うサポート装置)との間のデータ通信を仲介する。
メモリカードインターフェイス114は、メモリカード116が着脱可能に構成されており、メモリカード116に対してデータを書込み、メモリカード116から各種データ(ユーザプログラムやトレースデータなど)を読出すことが可能になっている。
ネットワークインターフェイス118は、ネットワーク10を介したデータ通信の仲介が可能になっている。但し、CPUユニット100にセキュリティユニット200が接続される状態においては、通常、ネットワークインターフェイス118の動作は無効化(具体的には、ポート使用が禁止)されている。
内部バスコントローラ120は、CPUユニット100に装着される機能ユニット300との間のデータ通信を仲介する。フィールドネットワークコントローラ130は、フィールドネットワーク6を介した他のユニットとの間のデータ通信を仲介する。
図2には、プロセッサ102がプログラムを実行することで必要な処理が実現される構成例を示したが、これらの提供される処理の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。
(c2:セキュリティユニット200)
図3は、本実施の形態に係る制御装置2に含まれるセキュリティユニット200のハードウェア構成例を示すブロック図である。図3を参照して、セキュリティユニット200は、プロセッサ202と、チップセット204と、主メモリ206と、ストレージ208と、ユニット間インターフェイス210と、ネットワークインターフェイス220とを含む。
プロセッサ202は、CPU、MPU、GPUなどで構成される。上述のCPUユニット100と同様に、セキュリティユニット200は、1または複数のプロセッサ202、および/または、1または複数のコアを有するプロセッサ202を有している。チップセット204は、プロセッサ202および周辺エレメントを制御することで、セキュリティユニット200全体としての処理を実現する。主メモリ206は、DRAMやSRAMなどの揮発性記憶装置などで構成される。ストレージ208は、例えば、フラッシュメモリなどの不揮発性記憶装置などで構成される。
プロセッサ202は、ストレージ208に格納された各種プログラムを読出して、主メモリ206に展開して実行することで、セキュリティ事象の監視などの処理を実現する。ストレージ208には、基本的な処理を実現するためのシステムプログラム22に加えて、制御装置の運用者または管理者などが予め定めた規則などを規定するセキュリティ設定20が格納される。セキュリティ設定20に基づく、セキュリティ監視処理の詳細については、後述する。
ユニット間インターフェイス210は、上述のCPUユニット100のユニット間インターフェイス110と同様に、他のユニットとデータ通信可能に接続するためのデバイスである。ユニット間インターフェイス210を介して、セキュリティユニット200とCPUユニット100とが接続される。
ネットワークインターフェイス220は、ネットワーク10を介した他の装置との間のデータ通信を仲介する。ネットワークインターフェイス220は、主たるコンポーネントとして、送受信部222と、コントローラ224と、バッファ226とを含む。
送受信部222は、OSI参照モデルの物理層を担当するエレメントであり、ネットワーク10を介した信号の受信およびデコード、ならびに、送信すべきデータのエンコードおよびネットワーク10を介したエンコードされた信号の送信を担当する。
コントローラ224は、主として、OSI参照モデルのデータリンク層、ネットワーク層、トランスポート層を担当するエレメントであり、ルーティング、エラー訂正、再送処理などを担当する。
バッファ226は、送信すべきデータおよび受信したデータなどを一時的に蓄える記憶部である。
図3には、プロセッサ202がプログラムを実行することで必要な処理が提供される構成例を示したが、これらの提供される処理の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。
(c3:機能ユニット300およびカプラユニット400)
本実施の形態に係る制御装置2およびリモートIO装置4に含まれる機能ユニット300、ならびに、リモートIO装置4に含まれるカプラユニット400については、公知の構成であるので、ここでは詳細な説明は繰返さない。
<D.機能構成例>
次に、本実施の形態に係る制御システム1に含まれるセキュリティユニット200の機能構成の一例について説明する。図4は、本実施の形態に係る制御装置2に含まれるセキュリティユニット200の機能構成例を示すブロック図である。
図4を参照して、セキュリティユニット200は、セキュリティ事象の監視に係る機能構成として、フレーム抽出モジュール250と、解析モジュール252と、状態取得モジュール260と、検知モジュール262と、通知モジュール264と、ユーザ認証モジュール266とを含む。
フレーム抽出モジュール250は、ネットワーク10を介して外部装置との間で遣り取りされるデータ(フレームまたはパケット)を、ネットワークインターフェイス220から抽出する。フレーム抽出モジュール250は、抽出したフレームまたはパケットを解析モジュール252へ出力する。
解析モジュール252は、フレーム抽出モジュール250からのフレームまたはパケットを解析して、その解析結果を検知モジュール262へ出力する。解析モジュール252における解析の内容は任意に設定できる。図4に示す構成例においては、解析モジュール252は、内容解析処理254と、特徴抽出処理256と、統計処理258とが実行可能になっている。
内容解析処理254は、処理対象のフレームまたはパケットのヘッダ情報などを参照して、送信先および送信元のネットワークアドレス(例えば、IP(Internet Protocol)アドレス)、物理アドレス(例えば、MAC(Media Access Control address)アドレス)、ポート番号、伝送プロトコルなどの情報を取得する処理を含む。
特徴抽出処理256は、処理対象のフレームまたはパケットに含まれるデータの内容から特徴量を抽出する処理を含む。
統計処理258は、処理対象のフレームまたはパケットの送受信タイミングや頻度などの統計情報を算出する処理を含む。
それぞれの処理によって算出される情報は、解析結果として、検知モジュール262へ出力される。
状態取得モジュール260は、CPUユニット100における状態を取得し、その取得したCPUユニット状態情報を検知モジュール262へ出力する。CPUユニット状態情報は、例えば、CPUユニット100に対してなされた何らかの変更操作(ソフトウェア上およびハードウェア上のいずれも含み得る)を示す。
検知モジュール262は、セキュリティ設定20を参照して、解析モジュール252からの解析結果、および/または、状態取得モジュール260からのCPUユニット状態情報が、予め定められたセキュリティ事象の条件に合致しているか否かを判断する。なお、セキュリティ事象の具体例については、後述する。
検知モジュール262は、解析結果またはCPUユニット状態情報がいずれかの条件に合致している場合には、当該合致した条件に対応する種類のセキュリティ事象が発生したと判断し、その発生したと判断されたセキュリティ事象の発生を示す検知結果を通知モジュール264へ出力する。
検知モジュール262は、検知したセキュリティ事象を示す情報を履歴情報24として登録する。
通知モジュール264は、検知モジュール262からの検知結果に応答して、発生したセキュリティ事象に応じた内容を、発生したセキュリティ事象に応じた通知先へ通知する。通知内容および通知先の具体例については、後述する。
ユーザ認証モジュール266は、ネットワーク10を介してセキュリティユニット200にアクセスするユーザに対する認証処理を実行する。ユーザ認証モジュール266は、ユーザ認証の結果を示すユーザ認証結果を検知モジュール262へ出力する。
以上のような機能構成を採用することで、本実施の形態に係るセキュリティ監視処理を実現できる。
本実施の形態では、図4の各モジュールは、セキュリティユニット200が有するアプリケーション層で構成されて、図4の各モジュールはCPUユニット100のアプリケーション層とデータ交換する。これにより、セキュリティユニット200が外付けされるとしてもCPUユニット100のTCP/IP層および物理層等の下位の層とは独立して図4の各モジュールを実現することが可能となる。
<E.セキュリティ事象>
次に、本実施の形態に係る制御システム1において設定されるセキュリティ事象のいくつかの例について説明する。
(e1−1:アクセスコントロール)
まず、セキュリティ設定20として、送信先および/または送信元を制限するアクセスコントロールを利用する例について説明する。
アクセスコントロールの一例としては、送信先および/または送信元のネットワークアドレス(例えば、IPアドレス)、物理アドレス(例えば、MACアドレス)、ポート番号などを用いることができる。
図5は、セキュリティ設定20に含まれるアクセスコントロールリスト(ACL:Access Control List)の一例を示す図である。図5には、アクセスコントロールを実現するためのアクセスコントロールリストとして、明示的にアクセスを許可する条件を規定するホワイトリストと、明示的にアクセスを禁止する条件を規定するブラックリストとを示す。但し、2種類のリストを用いる必要はなく、要求されるセキュリティレベルなどに応じて、いずれか一方のみを用いるようにしてもよい。
図5(A)には、通信先のネットワークアドレス(IPアドレス)を用いる例を示す。図5(A)のホワイトリストには、CPUユニット100へのアクセスを許可されるIPアドレスが規定されており、図5(A)のブラックリストには、CPUユニット100へのアクセスが禁止されるIPアドレスが規定されている。
図5(B)には、通信先の物理アドレス(MACアドレス)を用いる例を示す。図5(B)のホワイトリストには、CPUユニット100へのアクセスを許可されるMACアドレスが規定されており、図5(B)のブラックリストには、CPUユニット100へのアクセスが禁止されるMACアドレスが規定されている。
図5(C)には、通信先とのデータ通信に用いられるポート番号を用いる例を示す。図5(C)のホワイトリストには、CPUユニット100へのアクセスを許可されるポート番号が規定されており、図5(C)のブラックリストには、CPUユニット100へのアクセスが禁止されるポート番号が規定されている。
図5(A)〜図5(C)のホワイトリストに規定されていないデバイスからのアクセス、および、ブラックリストに規定されているデバイスからのアクセスがあると、セキュリティ事象が発生したと判断してもよい。このようなアクセスコントロールリストを用いたセキュリティ事象の監視は、典型的には、図4に示す解析モジュール252の内容解析処理254により出力される解析結果とアクセスコントロールリストとを比較することで、実現される。
上述した、ネットワークアドレス、物理アドレス、ポート番号のうち複数を組み合せてもよい。例えば、物理アドレスおよびポート番号のいずれもがアクセス許可されている通信先に限ってアクセスを許可するようにしてもよい。
このように、本実施の形態に係るセキュリティ事象は、データの送信先または送信元のネットワークアドレス、物理アドレス、ポート番号のうちいずれかが、予め定められたアクセスを許可されたホワイトリストに含まれていない、および、予め定められたアクセスを禁止されたブラックリストに含まれている、のいずれかに該当することを含んでいてもよい。
(e1−2:データ受信パターン)
次に、セキュリティ設定20として、データ受信パターンを監視する例について説明する。例えば、大量のリクエストデータなどを送信してサービスを利用停止にするDoS(Denial of Service)攻撃などを検知するためのセキュリティ設定20を採用してもよい。
DoS攻撃の一例として、SYN flood攻撃などを考慮すると、受信間隔の短いSYNパケット(あるいは、サイズが所定値以下のパケット)を所定期間に亘って受信し続けた場合などを、セキュリティ事象が発生したと判断するようにしてもよい。
データ受信パターンを用いたセキュリティ事象の監視は、典型的には、図4に示す解析モジュール252の特徴抽出処理256により出力される特徴量とアクセスコントロールリストとを比較することで、実現される。このように、セキュリティ設定20として、受信するパケットの種類および受信間隔などによって規定されるデータ受信パターンを規定してもよい。
このように、本実施の形態に係るセキュリティ事象は、受信するパケットの種類および受信間隔などによって規定されるデータ受信パターンが予め規定されたパターンに合致することを含んでいてもよい。
(e1−3:アクセスパターン)
次に、セキュリティ設定20として、特定のアクセスパターンを監視する例について説明する。
例えば、既知のコンピュータウィルスについては、特有のアクセスパターンが解明されている場合も多く、このような場合には、その特有のアクセスパターンをセキュリティ設定20として規定しておいてもよい。そして、セキュリティ設定20に規定されたアクセスパターンに相当するアクセスを受けると、セキュリティ事象が発生したと判断するようにしてもよい。
このようなアクセスパターンを用いたセキュリティ事象の監視は、典型的には、図4に示す解析モジュール252の特徴抽出処理256により出力される特徴量とアクセスコントロールリストとを比較することで、実現される。このように、セキュリティ設定20として、特定のアクセスパターンの監視を規定してもよい。
このように、本実施の形態に係るセキュリティ事象は、制御装置2へのアクセスのパターンが予め規定されたパターンに合致することを含んでいてもよい。
(e2:ネットワーク監視)
次に、セキュリティ設定20として、ネットワーク内のノード変化を監視する例について説明する。
一般的に、制御装置2が接続されるネットワークは、予め定められたデバイス(ノード)のみが接続されており、新たなデバイス(ノード)が追加される必要性は低い。そのため、ネットワーク内のノード変化をセキュリティ事象とみなすこともできる。
図6は、ネットワーク内のノード変化の一例を示す模式図である。図6(A)を参照して、制御装置2に加えて、表示装置500およびサーバ装置600がネットワーク10に接続されている状態を標準ノード構成とする。このような標準ノード構成に対して、図6(B)に示すように、新たなデバイス900が追加されたとする。
このようなデバイス900が追加されてネットワーク10内のノードに変化が生じると、セキュリティ事象の発生であると判断してもよい。
具体的には、例えば、標準ノード構成における各ノードのネットワークアドレスを、セキュリティ設定20として予め取得しておき、この予め取得されたノードとは異なるネットワークアドレスがネットワーク10内で検知されると、ネットワーク10内のノード変化が生じたと判断できる。あるいは、ネットワーク10内に存在するノードの数の変化などに基づいて、ノード変化を検知してもよい。
なお、ネットワーク10内のノード変化としては、ノードの追加に限らず、ノードの削除などを検知するようにしてもよい。さらに、ネットワーク10内のノード変化として、ノード数だけではなく、トポロジーの変化についても検知するようにしてもよい。
このようなネットワーク内のノード変化が生じると、セキュリティ事象が発生したと判断してもよい。
このように、本実施の形態に係るセキュリティ事象は、ネットワーク内のノード変化が生じたことを含んでいてもよい。
(e3−1:ネットワークポートへの接続監視)
次に、セキュリティ設定20として、CPUユニット100のネットワークポートへの接続を監視する例について説明する。
CPUユニット100にセキュリティユニット200が接続された構成においては、CPUユニット100は、セキュリティユニット200を介してネットワーク10に接続される。そのため、CPUユニット100自体に設けられているネットワークポートの使用は禁止されている(図2に示すネットワークインターフェイス118が無効化されている)。
このような状態において、CPUユニット100のネットワークポートに何らかのネットワークが接続された場合には、何らかの意図をもった行為であると想定される。そのため、このような無効化されたネットワークポートに対するネットワーク接続が生じると、セキュリティ事象が発生したと判断してもよい。
図7は、ネットワークポートへの接続監視を説明する模式図である。図7を参照して、CPUユニット100の表面には、通信ポート110Pと、USBポート112Pと、メモリカードスロット114Pと、ネットワークポート118Pと、フィールドネットワークポート130P1,130P2とが配置されている。ネットワークポート118Pは、CPUユニット100をネットワーク接続するためのポートである。
制御装置2の運用中においては、使用しないネットワークポート118Pは無効化されているとする。このような状態において、ネットワークポート118Pにケーブルが接続されると、セキュリティ事象が発生したと判断してもよい。なお、制御装置2の停止中あるいはメンテナンス中においては、ネットワーク接続されることもあるので、制御装置2が運用中であることを、セキュリティ事象の発生と判断するための条件として付加してもよい。
このようなネットワークポートへの接続監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、CPUユニット100のネットワークポート118Pが無効化されている場合に、ネットワークポート118Pがネットワーク接続されることを含むようにしてもよい。
(e3−2:USBポートへの接続監視)
次に、セキュリティ設定20として、CPUユニット100のUSBポートへの接続を監視する例について説明する。
例えば、CPUユニット100のUSBポートなどを介してサポート装置が接続される。このようなサポート装置の接続は、何らかの意図をもった行為であると想定される。そのため、このような無効化されたネットワークポートに対するネットワーク接続が生じると、セキュリティ事象が発生したと判断してもよい。
図8は、USBポートへの接続監視を説明する模式図である。図8を参照して、CPUユニット100の表面には、USBポート112Pと、メモリカードスロット114Pと、ネットワークポート118Pと、フィールドネットワークポート130P1,130P2とが配置されている。
例えば、制御装置2の運用中において、USBポート112Pを介して何らかのデバイスが接続されると、セキュリティ事象が発生したと判断してもよい。なお、制御装置2の停止中あるいはメンテナンス中においては、サポート装置が接続されることもあるので、制御装置2が運用中であることを、セキュリティ事象の発生と判断するための条件として付加してもよい。
このようなUSBポートへの接続監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、USBポート112Pに任意のデバイスが接続されることを含むようにしてもよい。なお、USBポートに限らず、任意の通信手段を介して、サポート装置などの任意のデバイスが接続されたことをセキュリティ事象とみなすようにしてもよい。そのため、典型的には、セキュリティ事象は、制御装置2で実行されるプログラム(ユーザプログラム30)の開発が可能なサポート装置が制御装置へ接続されることを含むことになる。
(e3−3:電源監視)
次に、セキュリティ設定20として、制御装置2の電源状態を監視する例について説明する。
例えば、制御装置2の運用中に電源をオン/オフされた場合には、何らかの意図をもった行為であると想定される。そのため、制御装置2の電源がオン/オフされると、セキュリティ事象が発生したと判断してもよい。
なお、制御装置2において、共通の電源装置からCPUユニット100およびセキュリティユニット200へ電源が供給されている場合も想定される。このような構成においては、電源が遮断されることで、セキュリティユニット200への電源供給も遮断されることが想定される。
このような場合には、セキュリティユニット200の内部にバッテリなどを配置しておき、外部電源が遮断された場合であっても、そのバッテリからの電力によりセキュリティ監視を継続するようにしてもよい。
制御装置2の電源状態の監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、制御装置2の電源状態が変化したことを含むようにしてもよい。
(e3−4:ハードスイッチ監視)
次に、セキュリティ設定20として、制御装置2に設けられたハードスイッチの状態を監視する例について説明する。
例えば、制御装置2の運用中にCPUユニット100に設けられたディップスイッチ(通常は、CPUユニット100の動作モードなどを設定するために用いられる)が操作された場合には、何らかの意図をもった行為であると想定される。そのため、CPUユニット100のハードスイッチ(例えば、ディップスイッチ)が操作されると、セキュリティ事象が発生したと判断してもよい。
なお、CPUユニット100のハードスイッチとしては、ディップスイッチに限らず、ロータリースイッチやトグルスイッチなどが想定される。
このような制御装置2に設けられたハードスイッチの状態監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、制御装置2に設けられたハードスイッチの状態が変化したことを含むようにしてもよい。
(e3−5:周囲環境監視)
次に、セキュリティ設定20として、制御装置2の周囲環境を監視する例について説明する。
通常、制御装置2は、所定の上限温度以下になるように、制御盤などに収容されているが、不審者が制御盤の冷却ファンを停止するなどの行為を行うと、制御盤内の温度が上昇し得る。このような制御装置の運用中における周囲環境に変化が生じると、セキュリティ事象が発生したと判断してもよい。具体例としては、最大定格温度が55℃であるとすれば、それ以下の例えば50℃に到達すると、セキュリティ事象の発生と判断してもよい。
このような制御装置2の周囲環境の監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、制御装置2の周囲環境が予め定められた条件になったことを含むようにしてもよい。
(e4−1:ユーザ認証:その1)
次に、セキュリティ設定20として、サポート装置からCPUユニット100へのアクセスにおいて実施されるユーザ認証の認証結果を監視する例について説明する。
図9は、サポート装置800からCPUユニット100へのアクセス時の処理を説明するための模式図である。図9を参照して、サポート装置800からCPUユニット100へのアクセスする際には、両者を接続した上で、ユーザがサポート装置800を利用して認証情報(典型的には、ユーザ名およびパスワード)を入力する。CPUユニット100は、ユーザからの認証情報に基づいて認証処理を実行する。そして、CPUユニット100は、サポート装置800に対して認証結果を応答する。認証処理が成功した場合には、CPUユニット100は、サポート装置800からのアクセスを許可する。
一方、認証処理が失敗した場合には、不正アクセスの可能性もあるので、セキュリティ事象の発生と判断してもよい。すなわち、サポート装置800からCPUユニット100へのアクセス時の認証処理の失敗をトリガとして、セキュリティ事象の発生と判断してもよい。
なお、単純な入力ミスの場合も想定されるため、サポート装置800からCPUユニット100へのアクセス時の認証処理の失敗が複数回連続した場合に限って、セキュリティ事象の発生と判断してもよい。
このようなサポート装置800からCPUユニット100へのアクセス時におけるユーザ認証の認証結果の監視は、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで実現される。
このように、本実施の形態に係るセキュリティ事象は、外部から制御装置2またはCPUユニット100へのアクセス時に要求されるユーザ認証が失敗したことを含むようにしてもよい。
(e4−2:ユーザ認証:その2)
次に、セキュリティ設定20として、ネットワークからセキュリティユニット200へのアクセスにおいて実施されるユーザ認証の認証結果を監視する例について説明する。
上述の図4に示すように、セキュリティユニット200は、ユーザ認証モジュール266を有しており、ネットワーク10を介してセキュリティユニット200へアクセスする際には、ユーザ認証が実行される。
このユーザ認証が失敗した場合においても、上述の処理と同様に、認証処理の失敗をトリガとして、セキュリティ事象の発生と判断してもよい。すなわち、本実施の形態に係るセキュリティ事象は、外部から制御装置2またはCPUユニット100へのアクセス時に要求されるユーザ認証が失敗したことを含むようにしてもよい。
(e4−3:プログラム追加・更新/設定変更)
次に、セキュリティ設定20として、CPUユニット100で実行されるプログラムの追加・更新および/または設定の変更を監視する例について説明する。
図10は、サポート装置800からCPUユニット100に格納されているプログラムおよび/または設定を変更する処理を説明するための模式図である。図10を参照して、ユーザは、サポート装置800上で任意のユーザプログラムを作成または改変した上で、当該作成または改変後のユーザプログラムをCPUユニット100へ転送する。それによって、CPUユニット100に新たにユーザプログラムがインストールされ、あるいは、既に格納されていたユーザプログラムが更新される。
あるいは、ユーザは、サポート装置800を操作することで、CPUユニット100に保持されている設定を変更することもできる。
このようなCPUユニット100に対するプログラムの追加、CPUユニット100で実行されるプログラムの更新、CPUユニット100における設定の変更などによって、CPUユニット100の挙動が変化するため、このような操作がなされたことをトリガとして、セキュリティ事象の発生と判断してもよい。
さらに、サポート装置800からは、CPUユニット100の主メモリ106に保持されているワーキングデータをオールクリアすることが可能である。このようなオールクリアすることで、CPUユニット100のプログラムは初期状態が実行開始されることになる。このような初期状態からの実行は、それ以前の挙動とは異なる挙動を示す可能性があるため、セキュリティ事象の発生と判断してもよい。
このようなCPUユニット100におけるプログラムの追加・変更および/または設定の変更のイベントは、典型的には、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで検知される。同様に、CPUユニット100の主メモリ106に対するオールクリアのイベントについても、図4に示す状態取得モジュール260により出力されるCPUユニット状態情報を監視することで検知される。
このように、本実施の形態に係るセキュリティ事象は、制御装置2で実行されるプログラムの追加および変更、ならびに、制御装置2における設定の変更のうち、いずれかが生じたことを含むようにしてもよい。また、本実施の形態に係るセキュリティ事象は、CPUユニット100の主メモリ106に対するオールクリアの操作などがなされたことを含むようにしてもよい。
<F.通知>
次に、セキュリティ事象の発生の検知に応答した通知のいくつかの例について説明する。
(f1:電子メールによる通知)
まず、セキュリティユニット200からの電子メールによりセキュリティ事象の発生を通知する形態について説明する。
図11は、本実施の形態に係るセキュリティユニット200から送信される電子メールの一例を説明するための模式図である。図11を参照して、電子メールの表示画面550は、セキュリティユニット200からの電子メールに含まれる、サブジェクト表示欄552と、送信元表示欄554と、受信日時欄556と、本文欄558とを含む。
サブジェクト表示欄552には、セキュリティ事象の発生を通知するメッセージとともに、当該セキュリティ事象が発生した制御装置2を特定するための情報が表示されている。送信元表示欄554には、電子メールを送信したセキュリティユニット200のサービスを示す情報が表示されている。受信日時欄556には、セキュリティユニット200からの電子メールを受信した日時が表示されている。
本文欄558には、発生したセキュリティ事象の内容を特定するためのコード、発生時刻、発生場所、緊急度等の情報が表示されている。
さらに、本文欄558には、発生したセキュリティ事象の詳細を確認するためのリンク情報560が埋め込まれていてもよく、ユーザがリンク情報560を選択することで、当該電子メールの送信元であるセキュリティユニット200、あるいは、セキュリティユニット200からの情報を収集している任意のサーバ装置へアクセスすることで、発生したセキュリティ事象の詳細情報を取得できるようになっている。
図11に示す電子メールの内容は一例であり、任意の内容を電子メールにより通知してもよい。
なお、通知される電子メールは、任意のデバイスにより閲覧可能である。任意のデバイスとしては、パーソナルコンピュータ、スマートフォン、タブレットなどが想定される。
このように、本実施の形態に係るセキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、その検知したセキュリティ事象を電子メールの手段を用いて、外部へ通知する。
(f2:表示装置500への通知)
次に、セキュリティユニット200から表示装置500へセキュリティ事象の発生を通知する形態について説明する。
図12は、本実施の形態に係るセキュリティユニット200から表示装置500へのセキュリティ事象の通知の一例を説明するための模式図である。図12を参照して、表示装置500のディスプレイには、操業用の画面表示がなされている。画面表示には、制御対象を示すオブジェクト502に加えて、制御装置2を収容している制御盤を示すオブジェクト504が表示されていてもよい。
このようなユーザインターフェイス画面が表示されている状態において、何らかのセキュリティ事象の発生が検知されると、当該セキュリティ事象が発生した制御装置2を収容している制御盤に対応する位置に、通知内容を示すオブジェクト506をポップアップ表示してもよい。
オブジェクト506には、セキュリティ事象の発生を示すメッセージとともに、当該セキュリティ事象が発生した日時および緊急度などが表示されてもよい。図12の表示例に限らず、より多くの情報を表示するようにしてもよいし、逆に、より簡素な表示内容としてもよい。
さらに、表示装置500からは、セキュリティ事象の発生を知らせるための通知音508を発するようにしてもよい。
なお、通知先の表示装置500は、セキュリティユニット200と同一のネットワークに接続されているものに限らず、セキュリティユニット200が通信可能であれば、いずれのネットワークに接続されている表示装置500を通知先としてもよい。
このように、本実施の形態に係るセキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、その検知したセキュリティ事象をネットワーク接続された表示装置へ通知する。
(f3:データベース/クラウドサービスへの通知)
次に、セキュリティユニット200からデータベースまたはクラウドサービスへセキュリティ事象の発生を通知する形態について説明する。
図13は、本実施の形態に係るセキュリティユニット200からデータベースへのセキュリティ事象の通知の一例を説明するための模式図である。図13を参照して、例えば、ネットワーク10に接続されているサーバ装置600にデータベースとしての処理を実装するとともに、セキュリティユニット200はセキュリティ監視(監視(1))を実施する、すなわちセキュリティ事象の発生を検知するとその内容をサーバ装置600に通知する。
サーバ装置600は、セキュリティユニット200からの通知の内容を逐次収集(情報収集(3))する。そして、サーバ装置600は、外部からの要求(クエリ)に応答して、指定されたセキュリティ事象の内容を応答するようにしてもよい。
図13には、ネットワーク10に接続されるサーバ装置600を通知先とする例を示すが、これに限らず、インターネット上の任意のサーバ装置(すなわち、クラウドサービス)へセキュリティ事象の通知を行ってもよい(検知時通知(2))。
クラウドサービスを利用することで、セキュリティ事象を監視するためだけにサーバ装置600を用意するような必要がなくなる。
このように、本実施の形態に係るセキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、その検知したセキュリティ事象をネットワーク接続されたデータベース/クラウドサービスへ通知する。
(f4:他の制御装置への通知)
次に、セキュリティユニット200から他の制御装置へセキュリティ事象の発生を通知する形態について説明する。
図14は、本実施の形態に係るセキュリティユニット200から他の制御装置へのセキュリティ事象の通知の一例を説明するための模式図である。図14を参照して、例えば、同一のネットワーク10に複数の制御装置2が接続されており、それぞれの制御装置2がセキュリティユニット200を有しているような構成を想定する。
いずれかのセキュリティユニット200がセキュリ監視((1)監視)を実施する。セキュリティユニット200は何らかのセキュリティ事象の発生を検知すると、他の制御装置2のセキュリティユニット200に対して、検知したセキュリティ事象の内容を通知する((2)(検知時)通知)。他のセキュリティユニット200から通知を受けたセキュリティユニット200は、その通知の内容を逐次収集する((3)情報収集)。
このような構成を採用することで、セキュリティユニット200間でセキュリティ事象の相互検知が可能になる。
さらに、セキュリティ事象の通知を受けた他の制御装置2は、その通知の緊急度などに応じて、接続されているフィールドデバイスを用いて、何らかの物理的な報知(音、光、振動など)を行うようにしてもよい。
このように、本実施の形態に係るセキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、その検知したセキュリティ事象をネットワーク接続された他の制御装置2へ通知する。
(f5:イベント通知)
次に、セキュリティユニット200からセキュリティ事象の発生を、ネットワークを介してイベント通知する形態について説明する。
図15は、本実施の形態に係るセキュリティユニット200からネットワークを介してイベント通知する一例を説明するための模式図である。図15を参照して、ネットワーク10にセキュリティ事象の発生を報知するための報知部1000を配置した構成を想定する。
セキュリティユニット200はセキュリティを監視する((1)監視)。セキュリティユニット200は何らかのセキュリティ事象の発生を検知すると、ネットワーク10を介して、報知部1000に対して通知パケットを送出する((2)検知時通知、(3)通知パケット)。報知部1000は、セキュリティユニット200からの通知パケットを受信すると、その通知パケットの内容に従って、物理的な報知(音、光、振動など)を開始する。
通知パケットとしては、例えば、SNMP(Simple Network Management Protocol)トラップなどを利用できる。SNMPトラップに限られず、イベントを通知できるものであれば、どのようなプロコトルを採用してもよい。
このような構成を採用することで、ネットワーク上の任意の位置に配置された報知部に対してセキュリティ事象の発生を通知できる。
このように、本実施の形態に係るセキュリティユニット200は、何らかのセキュリティ事象の発生を検知すると、その検知したセキュリティ事象を、ネットワークを介してイベント通知するようにしてもよい。このようなイベント通知を受けて、ネットワーク上に配置された報知部1000は報知動作を開始するようにしてもよい。
(f6:緊急度/優先度表示)
上述したように、本実施の形態に係る制御システム1においては、1または複数の状態値やイベントを監視して、セキュリティ事象の発生の有無を判断する。通常、それぞれのセキュリティ事象は、各事象に応じた緊急度および/または優先度を有しており、必ずしも同一ではない。
そこで、監視対象のセキュリティ事象毎に緊急度および/または優先度を予め設定しておき、何らかのセキュリティ事象の発生が検知されると、当該検知されたセキュリティ事象の緊急度および/または優先度を併せて通知するようにしてもよい。
このような緊急度および/または優先度の通知方法としては、上述の図11および図12に示すような文字情報を用いてもよいし、図15に示すような報知部1000を用いる場合には、報知部1000が発する色、点灯パターン、音色、音量などを異ならせることで通知してもよい。
検知されたセキュリティ事象の緊急度および/または優先度を通知することで、その通知を受けたユーザは、どの程度の緊急度および/または優先度で、当該検知されたセキュリティ事象に対する対処を行わなければならないのかを即座に把握できる。
<G.処理手順>
次に、本実施の形態に係るセキュリティユニット200におけるセキュリティ事象を監視する処理手順の一例について説明する。
図16は、本実施の形態に係るセキュリティユニット200におけるセキュリティ事象を監視する処理手順を示すフローチャートである。図16に示す各ステップは、典型的には、セキュリティユニット200のプロセッサ202がシステムプログラム22を実行することで実現される。図16に示す処理手順は、所定周期毎に繰返し実行され、あるいは、予め定められたイベント発生毎に実行される。
図16を参照して、セキュリティユニット200は、ネットワーク10を介したデータの送受信が発生したか否かを判断し(ステップS100)、またCPUユニット100からCPUユニット状態情報を取得する(ステップS108)。
ネットワーク10を介したデータの送受信が発生していなければ(ステップS100においてNO)、ステップS102〜S106の処理はスキップされる。
ネットワーク10を介したデータの送受信が発生すれば(ステップS100においてYES)、セキュリティユニット200は、データの送信先および/または送信元がアクセスコントロールによって制限されているか否かを判断する(ステップS102)。データの送信先および/または送信元がアクセスコントロールによって制限されていれば(ステップS102においてYES)、セキュリティユニット200は、セキュリティ事象の発生と判断する(ステップS104)。そして、ステップS120に規定される通知処理が実行される。
データの送信先および/または送信元がアクセスコントロールによって制限されていなければ(ステップS102においてNO)、セキュリティユニット200は、データの送信または受信のパターンが予め定められたセキュリティ事象の発生と判断されるパターンと合致するか否かを判断する(ステップS106)。データの送信または受信のパターンが予め定められたセキュリティ事象の発生と判断されるパターンと合致すれば(ステップS106においてYES)、セキュリティユニット200は、セキュリティ事象の発生と判断する(ステップS104)。そして、ステップS120に規定される通知処理が実行される。
また、セキュリティユニット200は、CPUユニット100からCPUユニット状態情報を取得すると(ステップS108)、取得したCPUユニット状態情報がセキュリティ設定20に規定されたいずれかのセキュリティ事象の条件に合致しているか否かを判断する(ステップS110)。取得したCPUユニット状態情報がいずれかのセキュリティ事象の条件に合致していれば(ステップS110においてYES)、セキュリティユニット200は、セキュリティ事象の発生と判断する(ステップS104)。そして、ステップS120に規定される通知処理が実行される。
取得したCPUユニット状態情報がいずれかのセキュリティ事象の条件に合致していなければ(ステップS110においてNO)、処理は終了する。
ステップS120において、セキュリティユニット200は、検知されたセキュリティ事象に応じて、通知処理を実行する。そして、処理は終了する。
<H.変形例>
(h1:一体型)
上述の本実施の形態に係る制御システム1においては、CPUユニット100を備えた制御装置2にセキュリティユニット200を外付けで接続する構成を例示したが、このような外付け型ではなく、セキュリティユニット200が制御装置1内部に組込まれる構成を採用してもよい。この場合には、制御装置2の内部に、セキュリティユニット200が提供する処理を実現するためのソフトウェア実装および/またはハードウェア実装の構成が配置される。このような一体型の構成を採用することで、制御システム全体を省スペース化できる。
(h2:接続態様)
上述の実施の形態においては、CPUユニット100とセキュリティユニット200間の接続は、例えば、公知のデータ伝送規格(例えば、PCI Express)などに従うデバイスを採用しているが、接続のための伝送規格は1つの伝送規格に限定されない。例えば、セキュリティユニット200の通信ポート210PがUSB(Universal serial Bus)の伝送規格に従い、CPUユニット100の通信ポート110PがPCI Expressの伝送規格に従う場合は、両伝送規格の相違をカバーするように、例えばセキュリティユニット200がPCI ExpressとUSBの間で規格の変換を実施するようにしてもよい。なお、伝送規格の種類はこれらに限定されず、また規格の変換態様もこのような方法に限定されない。
セキュリティユニット200が既存の制御装置2(より特定的にはCPUユニット100)に外付けされる場合に、両者の伝送規格が相違するとしても、セキュリティユニット200に伝送規格の変換機能(回路またはモジュール)を備えることで、当該相違に対処して両者の通信を実現することができる。
(h3:機密性の確保)
上述の実施の形態においては、セキュリティユニット200は、ネットワーク10に制御システム1を接続する場合に、セキュリティユニット200は、VPN(Virtual Private Network)機能のためのモジュール(回路またはプログラム)を備えても良い。このようなVPNモジュールによって暗号化されたデータがネットワーク10上の各装置と制御装置2(より特定的にはCPUユニット100)間で伝送することが可能となる。
(h4:その他)
本実施の形態に係るセキュリティユニットは、CPUユニット100およびCPUユニット100を含む制御装置2におけるセキュリティ事象の発生を監視できるものであれば、どのような形態で実装されてもよい。
<I.付記>
上述したような本実施の形態は、以下のような技術思想を含む。
[構成1]
制御対象に応じて作成されたプログラムを実行するプログラム実行部(102)を有した制御装置(2)に外付け可能なセキュリティ監視装置(200)であって、
前記制御装置を接続する通信ポート(210P)と、
前記通信の内容から、前記制御装置に対する外部からのアクセスにおいてセキュリティ事象が発生したか否かを判断する検知部(262)と、
前記セキュリティ事象が発生したと検知されると、当該発生したセキュリティ事象に応じた通知先へ通知する通知部(264)とを備え、
前記セキュリティ事象は、予め定められた規則に適合しない事象を含む、セキュリティ監視装置。
[構成2]
前記通信の内容は、前記制御装置から受信する当該制御装置の状態を示す状態情報を含む、セキュリティ監視装置。
[構成3]
前記セキュリティ事象は、
前記制御装置の動作を停止または性能を低下させる挙動および行為、
前記制御装置におけるプログラムの実行処理を停止または性能を低下させる挙動および行為、ならびに、
前記制御対象の動作を停止または性能を低下させる挙動および行為、のいずれかを含む、構成1に記載のセキュリティ監視装置。
[構成4]
前記セキュリティ事象は、データの送信先または送信元のネットワークアドレス、物理アドレス、ポート番号のうちいずれかが、予め定められたアクセスを許可されたリストに含まれていない、および、予め定められたアクセスを禁止されたリストに含まれている、のいずれかに該当することを含む、構成1または2に記載のセキュリティ監視装置。
[構成5]
ネットワーク接続するためのネットワークインターフェイス(220)をさらに、備え、
前記データは、前記ネットワークから受信するデータおよび前記制御装置から前記ネットワークに送信されるデータを含む、構成4に記載のセキュリティ監視装置。
[構成6]
前記制御装置は、ネットワーク接続するためのポート(118P)をさらに備え、
前記セキュリティ事象は、前記ポートが無効化されている場合に、当該ポートがネットワーク接続されることを含む、構成1〜5のいずれか1項に記載のセキュリティ監視装置。
[構成7]
前記セキュリティ事象は、外部から前記制御装置へのアクセス時に要求されるユーザ認証が失敗したことを含む、構成1〜6のいずれか1項に記載のセキュリティ監視装置。
[構成8]
前記セキュリティ事象は、前記制御装置で実行されるプログラムの開発が可能なサポート装置が前記制御装置へ接続されることを含む、構成1〜7のいずれか1項に記載のセキュリティ監視装置。
[構成9]
前記セキュリティ事象は、前記制御装置で実行されるプログラムの追加および変更、ならびに、前記制御装置における設定の変更のうち、いずれかが生じたことを含む、構成1〜8のいずれか1項に記載のセキュリティ監視装置。
[構成10]
前記通知部は、セキュリティ事象の発生をネットワークを介してイベント通知する、構成1〜9のいずれか1項に記載のセキュリティ監視装置。
[構成11]
ネットワーク上に配置された報知部(1000)は、前記通知部からのイベント通知を受けて、報知動作を開始する、構成10に記載のセキュリティ監視装置。
<J.まとめ>
本実施の形態に係る制御装置および制御システムによれば、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護という新たな課題を解決できる。
また、本実施の形態では、セキュリティユニット200は既存の制御システム1の制御装置2に対して外付け可能であるので、既存の制御装置2のセキュリティを監視する場合であっても、既存の制御装置2を利用することができる。
また、セキュリティユニット200は既存の制御システム1の制御装置2に対して外付け可能であるので、セキュリティ強度を変更するためにモジュール(ソフトウェア等)の変更がなされる場合でも、制御システム1の運転を停止することなくセキュリティユニット200において当該変更を実施することができる。また、セキュリティ監視のモジュールを制御装置2に内蔵する構成ではないため、制御装置2がセキュリティ監視のための負荷(SynFloodに対して、パケット破棄をするのにCPUパワーを費やす等)を回避しつつセキュリティ監視と本来の制御性能の維持とが可能となる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 制御システム、2 制御装置、6 フィールドネットワーク、10 ネットワーク、20 セキュリティ設定、22,32 システムプログラム、24 履歴情報、30 ユーザプログラム、100 CPUユニット、110P,210P 通信ポート、112P USBポート、118P ネットワークポート、200 セキュリティユニット、250 フレーム抽出モジュール、252 解析モジュール、254 内容解析処理、256 特徴抽出処理、258 統計処理、260 状態取得モジュール、262 検知モジュール、264 通知モジュール、266 ユーザ認証モジュール、500 表示装置、502,504,506 オブジェクト、508 通知音、550 表示画面、700 ゲートウェイ、800 サポート装置、1000 報知部。

Claims (11)

  1. 制御対象に応じて作成されたプログラムを実行するプログラム実行部を有した制御装置に外付け可能なセキュリティ監視装置であって、
    前記制御装置を接続する通信ポートと、
    前記通信の内容から、前記制御装置に対する外部からのアクセスにおいてセキュリティ事象が発生したか否かを判断する検知部と、
    前記セキュリティ事象が発生したと検知されると、当該発生したセキュリティ事象に応じた通知先へ通知する通知部とを備え、
    前記セキュリティ事象は、予め定められた規則に適合しない事象を含む、セキュリティ監視装置。
  2. 前記通信の内容は、前記制御装置から受信する当該制御装置の状態を示す状態情報を含む、請求項1に記載のセキュリティ監視装置。
  3. 前記セキュリティ事象は、
    前記制御装置の動作を停止または性能を低下させる挙動および行為、
    前記制御装置におけるプログラムの実行処理を停止または性能を低下させる挙動および行為、ならびに、
    前記制御対象の動作を停止または性能を低下させる挙動および行為、のいずれかを含む、請求項1に記載のセキュリティ監視装置。
  4. 前記セキュリティ事象は、データの送信先または送信元のネットワークアドレス、物理アドレス、ポート番号のうちいずれかが、予め定められたアクセスを許可されたリストに含まれていない、および、予め定められたアクセスを禁止されたリストに含まれている、のいずれかに該当することを含む、請求項1または2に記載のセキュリティ監視装置。
  5. ネットワーク接続するためのネットワークインターフェイスをさらに、備え、
    前記データは、前記ネットワークから受信するデータおよび前記制御装置から前記ネットワークに送信されるデータを含む、請求項4に記載のセキュリティ監視装置。
  6. 前記制御装置は、ネットワーク接続するためのポートをさらに有し、
    前記セキュリティ事象は、前記ポートが無効化されている場合に、当該ポートがネットワーク接続されることを含む、請求項1〜5のいずれか1項に記載のセキュリティ監視装置。
  7. 前記セキュリティ事象は、外部から前記制御装置へのアクセス時に要求されるユーザ認証が失敗したことを含む、請求項1〜6のいずれか1項に記載のセキュリティ監視装置。
  8. 前記セキュリティ事象は、前記制御装置で実行されるプログラムの開発が可能なサポート装置が前記制御装置へ接続されることを含む、請求項1〜7のいずれか1項に記載のセキュリティ監視装置。
  9. 前記セキュリティ事象は、前記制御装置で実行されるプログラムの追加および変更、ならびに、前記制御装置における設定の変更のうち、いずれかが生じたことを含む、請求項1〜8のいずれか1項に記載のセキュリティ監視装置。
  10. 前記通知部は、前記セキュリティ事象の発生をネットワークを介してイベント通知する、請求項1〜9のいずれか1項に記載のセキュリティ監視装置。
  11. ネットワーク上に配置された報知部は、前記通知部からのイベント通知を受けて、報知動作を開始する、請求項10に記載のセキュリティ監視装置。
JP2017226146A 2017-11-24 2017-11-24 セキュリティ監視装置 Active JP7006178B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017226146A JP7006178B2 (ja) 2017-11-24 2017-11-24 セキュリティ監視装置
PCT/JP2018/040549 WO2019102809A1 (ja) 2017-11-24 2018-10-31 セキュリティ監視装置
EP18881730.8A EP3715972A4 (en) 2017-11-24 2018-10-31 SAFETY MONITORING DEVICE
US16/643,467 US11397806B2 (en) 2017-11-24 2018-10-31 Security monitoring device
CN201880056143.0A CN111095135A (zh) 2017-11-24 2018-10-31 安全监视装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017226146A JP7006178B2 (ja) 2017-11-24 2017-11-24 セキュリティ監視装置

Publications (2)

Publication Number Publication Date
JP2019096150A true JP2019096150A (ja) 2019-06-20
JP7006178B2 JP7006178B2 (ja) 2022-01-24

Family

ID=66630739

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017226146A Active JP7006178B2 (ja) 2017-11-24 2017-11-24 セキュリティ監視装置

Country Status (5)

Country Link
US (1) US11397806B2 (ja)
EP (1) EP3715972A4 (ja)
JP (1) JP7006178B2 (ja)
CN (1) CN111095135A (ja)
WO (1) WO2019102809A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021161653A1 (ja) * 2020-02-10 2021-08-19 オムロン株式会社 制御システム、中継装置、およびアクセス管理プログラム
WO2022208855A1 (ja) * 2021-04-01 2022-10-06 日本電信電話株式会社 通信システム、異常検知装置、異常検知方法、及びプログラム
JP7258257B1 (ja) * 2022-08-08 2023-04-14 三菱電機株式会社 プログラマブルコントローラ、例外アクセス学習方法及びプログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7014456B2 (ja) * 2020-04-28 2022-02-01 Necプラットフォームズ株式会社 不正判定システム、不正判定方法及びプログラム
EP4439350A1 (en) 2023-03-30 2024-10-02 OMRON Corporation Intrusion detection method

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11353258A (ja) * 1998-03-24 1999-12-24 Lucent Technol Inc ファイアウォ―ルセキュリティ方法および装置
JP2005080024A (ja) * 2003-09-01 2005-03-24 Ricoh Co Ltd 無線ネットワークシステムおよび動作方法
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP2006107455A (ja) * 2004-09-30 2006-04-20 Microsoft Corp セキュリティ状態ウォッチャ
JP2006163509A (ja) * 2004-12-02 2006-06-22 Olympus Corp 障害通知システム
JP2008244808A (ja) * 2007-03-27 2008-10-09 Matsushita Electric Works Ltd 通信セキュリティシステム及び通信セキュリティ装置
JP2010177839A (ja) * 2009-01-28 2010-08-12 Hitachi Software Eng Co Ltd 組織外ネットワーク接続端末検出システム
JP2012123840A (ja) * 2012-03-14 2012-06-28 Mitsubishi Electric Corp 異常通知装置、異常通知システム
JP2013016000A (ja) * 2011-07-04 2013-01-24 Hitachi Ltd 多重系コントローラシステムとその運転方法
JP2013101426A (ja) * 2011-11-07 2013-05-23 Toyota Motor Corp 車載通信装置
WO2015001594A1 (ja) * 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
JP2015176369A (ja) * 2014-03-14 2015-10-05 オムロン株式会社 制御装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1944A (en) 1841-01-23 Manner of taking measures and draftings for the cutting out of ladies
CN1912885B (zh) * 1995-02-13 2010-12-22 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
JPH11134190A (ja) * 1997-10-31 1999-05-21 Hitachi Ltd ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体
JP3690144B2 (ja) 1998-11-02 2005-08-31 オムロン株式会社 プログラマブルコントローラ
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
JP2003108222A (ja) 2001-10-02 2003-04-11 Kurita Water Ind Ltd 設備管理システム
US7770205B2 (en) 2005-01-19 2010-08-03 Microsoft Corporation Binding a device to a computer
JP4575219B2 (ja) 2005-04-12 2010-11-04 株式会社東芝 セキュリティゲートウェイシステムとその方法およびプログラム
JP4965239B2 (ja) 2006-12-25 2012-07-04 パナソニック株式会社 遠隔監視システム
JP4506814B2 (ja) 2007-10-31 2010-07-21 日本電気株式会社 データ管理システム
CN101887257B (zh) * 2010-06-10 2012-05-23 浙江工业大学 大坝安全智能全方位监测装置
JP2013030826A (ja) 2011-07-26 2013-02-07 Ricoh Co Ltd ネットワーク監視システム、ネットワーク監視方法
US8667589B1 (en) 2013-10-27 2014-03-04 Konstantin Saprygin Protection against unauthorized access to automated system for control of technological processes
US9998426B2 (en) * 2014-01-30 2018-06-12 Sierra Nevada Corporation Bi-directional data security for control systems
US9697355B1 (en) * 2015-06-17 2017-07-04 Mission Secure, Inc. Cyber security for physical systems
DK3151152T3 (en) * 2015-09-30 2020-06-15 Secure Nok Tech As Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system
IL242808A0 (en) 2015-11-26 2016-04-21 Rafael Advanced Defense Sys System and method to detect cyber attacks on ics/scada controlled plants
US11575571B2 (en) * 2020-05-08 2023-02-07 Rockwell Automation Technologies, Inc. Centralized security event generation policy

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11353258A (ja) * 1998-03-24 1999-12-24 Lucent Technol Inc ファイアウォ―ルセキュリティ方法および装置
JP2005080024A (ja) * 2003-09-01 2005-03-24 Ricoh Co Ltd 無線ネットワークシステムおよび動作方法
JP2005285097A (ja) * 2004-02-13 2005-10-13 Microsoft Corp ネットワーク化環境でコンピューティングデバイスを保護するためのネットワークセキュリティデバイスおよび方法
JP2006107455A (ja) * 2004-09-30 2006-04-20 Microsoft Corp セキュリティ状態ウォッチャ
JP2006163509A (ja) * 2004-12-02 2006-06-22 Olympus Corp 障害通知システム
JP2008244808A (ja) * 2007-03-27 2008-10-09 Matsushita Electric Works Ltd 通信セキュリティシステム及び通信セキュリティ装置
JP2010177839A (ja) * 2009-01-28 2010-08-12 Hitachi Software Eng Co Ltd 組織外ネットワーク接続端末検出システム
JP2013016000A (ja) * 2011-07-04 2013-01-24 Hitachi Ltd 多重系コントローラシステムとその運転方法
JP2013101426A (ja) * 2011-11-07 2013-05-23 Toyota Motor Corp 車載通信装置
JP2012123840A (ja) * 2012-03-14 2012-06-28 Mitsubishi Electric Corp 異常通知装置、異常通知システム
WO2015001594A1 (ja) * 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
JP2015176369A (ja) * 2014-03-14 2015-10-05 オムロン株式会社 制御装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021161653A1 (ja) * 2020-02-10 2021-08-19 オムロン株式会社 制御システム、中継装置、およびアクセス管理プログラム
JP2021125168A (ja) * 2020-02-10 2021-08-30 オムロン株式会社 制御システム、中継装置、およびアクセス管理プログラム
EP4105743A4 (en) * 2020-02-10 2024-03-20 OMRON Corporation CONTROL SYSTEM, RELAY DEVICE, AND ACCESS MANAGEMENT PROGRAM
WO2022208855A1 (ja) * 2021-04-01 2022-10-06 日本電信電話株式会社 通信システム、異常検知装置、異常検知方法、及びプログラム
JP7258257B1 (ja) * 2022-08-08 2023-04-14 三菱電機株式会社 プログラマブルコントローラ、例外アクセス学習方法及びプログラム
WO2024033972A1 (ja) * 2022-08-08 2024-02-15 三菱電機株式会社 プログラマブルコントローラ、例外アクセス学習方法及びプログラム

Also Published As

Publication number Publication date
EP3715972A1 (en) 2020-09-30
WO2019102809A1 (ja) 2019-05-31
US11397806B2 (en) 2022-07-26
EP3715972A4 (en) 2021-07-28
US20200364332A1 (en) 2020-11-19
JP7006178B2 (ja) 2022-01-24
CN111095135A (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
WO2019102811A1 (ja) 制御装置および制御システム
WO2019102809A1 (ja) セキュリティ監視装置
JP4373779B2 (ja) ステイトフル分散型イベント処理及び適応保全
US8737398B2 (en) Communication module with network isolation and communication filter
CN105743878B (zh) 使用蜜罐的动态服务处理
US20090271504A1 (en) Techniques for agent configuration
US11323436B1 (en) System and method for tripartite authentication and encryption
JP2009516266A (ja) ネットワーク発見情報を用いた侵入イベント相関方法およびシステム
US9015794B2 (en) Determining several security indicators of different types for each gathering item in a computer system
KR100947211B1 (ko) 능동형 보안 감사 시스템
JP5882961B2 (ja) コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム
WO2016190663A1 (ko) 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법
CN117397223A (zh) 物联网设备应用工作负荷捕捉
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
JP2014063349A (ja) マルウェア検出装置および方法
McNeil Secure Internet of Things Deployment in the Cement Industry: Guidance for Plant Managers
JP2015082787A (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP2017092933A (ja) コントローラおよび制御システム
JP6938205B2 (ja) アクセス制御システム
US20230262095A1 (en) Management of the security of a communicating object
US20240146694A1 (en) Automatic firewall configuration for control systems in critical infrastructure
JP7363628B2 (ja) 統合脅威管理装置および方法
JP2021022780A (ja) サーバ装置、プログラム、および情報処理方法
JP2006197518A (ja) ネットワーク管理方法およびネットワーク管理システム
KR20160044624A (ko) Uml 기반의 레지덴셜 게이트웨어 관리 서버

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211220

R150 Certificate of patent or registration of utility model

Ref document number: 7006178

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150