JP2019159877A - Security system, encoding method therefor and network control method - Google Patents

Security system, encoding method therefor and network control method Download PDF

Info

Publication number
JP2019159877A
JP2019159877A JP2018046392A JP2018046392A JP2019159877A JP 2019159877 A JP2019159877 A JP 2019159877A JP 2018046392 A JP2018046392 A JP 2018046392A JP 2018046392 A JP2018046392 A JP 2018046392A JP 2019159877 A JP2019159877 A JP 2019159877A
Authority
JP
Japan
Prior art keywords
information
encoding
network
security system
zone
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018046392A
Other languages
Japanese (ja)
Inventor
松本 典剛
Noritake Matsumoto
典剛 松本
淳也 藤田
Junya Fujita
淳也 藤田
康広 藤井
Yasuhiro Fujii
康広 藤井
美智子 酒井
Michiko Sakai
美智子 酒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018046392A priority Critical patent/JP2019159877A/en
Publication of JP2019159877A publication Critical patent/JP2019159877A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

To provide a security system capable of detecting vulnerability related to security of a network system by a simple analysis method, an encoding method therefor, and a network control method.SOLUTION: A security system SQ applied to network systems NWS1 to NWS3 is divided into a plurality of zones including a plurality of information devices and networks. The security system includes an information acquisition unit that acquires zone information comprising information on an information device and information on a network for each zone, an encoding unit that encodes the zone information acquired by the information acquisition unit for each zone, and an analysis unit that obtains vulnerability information about the zone information based on the zone information encoded by the encoding unit, and analyzes a risk of the zone.SELECTED DRAWING: Figure 2

Description

本発明は、ネットワーク上に情報機器を配したネットワークシステムのセキュリティシステムとその符号化方式並びにネットワーク制御方式に関する。   The present invention relates to a security system of a network system in which information devices are arranged on a network, an encoding method thereof, and a network control method.

ネットワーク上に情報機器を配したネットワークシステムとして種々のものが知られている。これらのネットワークシステムにより、例えばファクトリーオートメーション(FA)、プロセスオートメーション(PA)、IoT(Internet of Things)システムを実現しており、適宜DCS(distributed control system)やPLC(Programmable Logic Controller)などの制御装置、SCADA(Supervisory Control And Data Acquisition)などの制御システム、および、様々な情報機器がネットワークに接続されて使用されている。   Various network systems in which information devices are arranged on a network are known. These network systems realize, for example, factory automation (FA), process automation (PA), and IoT (Internet of Things) systems, and control devices such as DCS (distributed control system) and PLC (Programmable Logic Controller) as appropriate. Control systems such as SCADA (Supervision Control And Data Acquisition) and various information devices are connected to a network and used.

係るネットワークシステムにおけるシステム管理技術に関して、例えば特許文献1が知られている。この特許文献1には、「産業ネットワークを管理するために、産業ネットワークの種々のセクションにおいてデータを収集し、収集されたデータを分析する」という記載がある。   For example, Patent Document 1 is known as a system management technique in such a network system. In this Patent Document 1, there is a description “in order to manage an industrial network, data is collected in various sections of the industrial network and the collected data is analyzed”.

特開2016−029798号公報Japanese Patent Laid-Open No. 2006-029798

特許文献1では、産業ネットワークにおいて収集したデータの分析については、それぞれのセクションに応じた分析手法を用いており、画一的または汎用性の高い分析手法については特に言及がない。   In Patent Document 1, for the analysis of data collected in an industrial network, an analysis method according to each section is used, and there is no particular mention of a uniform or highly versatile analysis method.

したがって、汎用性の高い分析手法、例えばDL(ディープラーニング)などを使用してデータを分析するには、収集したデータを何らかの方法で分析可能な形式に変換する必要がある。   Therefore, in order to analyze data using a highly versatile analysis technique such as DL (Deep Learning), it is necessary to convert the collected data into a format that can be analyzed by some method.

また、複数のシステムから収集したデータの秘匿性についても特に言及がなく、例えば様々な異種システムから多くのデータを収集した場合に、収集したデータをどのようにセキュアに管理するかが課題となる。   In addition, there is no particular mention of the confidentiality of data collected from multiple systems. For example, when a large amount of data is collected from various heterogeneous systems, how to securely manage the collected data becomes an issue. .

以上のことから本発明においては、簡便な分析手法によりネットワークシステムのセキュリティに関する脆弱性を検出することができるセキュリティシステムとその符号化方式並びにネットワーク制御方式を提供することを目的とする。   In view of the above, an object of the present invention is to provide a security system capable of detecting vulnerabilities related to the security of a network system by a simple analysis method, an encoding method thereof, and a network control method.

以上のことから本発明は、「ネットワークシステムに適用されるセキュリティシステムであって、ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されており、セキュリティシステムは、ゾーン毎に情報機器の情報やネットワークの情報から成るゾーン情報を取得する情報取得部と、情報取得部により取得したゾーン情報をゾーン毎に符号化する符号化部と、符号化部により符号化されたゾーン情報に基づいて、当該ゾーン情報についての脆弱性情報を得、ゾーンのリスクを分析する分析部を備えることを特徴とするセキュリティシステム」のように構成したものである。   As described above, the present invention is “a security system applied to a network system, and the network system is divided into a plurality of zones including a plurality of information devices and a network. An information acquisition unit that acquires zone information including device information and network information, an encoding unit that encodes the zone information acquired by the information acquisition unit for each zone, and zone information encoded by the encoding unit Based on this, it is configured as “a security system characterized by including an analysis unit that obtains vulnerability information about the zone information and analyzes the risk of the zone”.

また本発明は、「セキュリティシステム内の符号化部において実施されるセキュリティシステムの符号化方式であって、ゾーン内に存在する情報機器やネットワークの構成情報を取得し、構成情報を符号化するために必要な設定条件として、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件を選択し、構成情報を符号化するための複数の符号化方式から、構成情報に適した符号化方式を選択し、構成情報を符号化することを特徴とするセキュリティシステムの符号化方式」のように構成したものである。   Further, the present invention is “a security system encoding method implemented in an encoding unit in a security system for acquiring configuration information of information devices and networks existing in a zone and encoding configuration information” As the necessary setting conditions, one or a plurality of setting conditions are selected from among the information disclosure range, the compression rate of information, the reversibility of information conversion, and the strength of information encryption, and a plurality of encoding conditions are encoded. The coding system is configured as “a coding system of a security system characterized in that a coding system suitable for configuration information is selected from the coding system and the configuration information is encoded”.

また本発明は、「セキュリティシステムにおけるネットワーク制御方式であって、ゾーンに脆弱性がある場合には、脆弱性を指摘されたゾーンおよび、脆弱性を指摘されたゾーンに隣接する隣接ゾーンの重要度についてのゾーン情報を取得し、ゾーン情報から、ゾーン間の接続部の切断や通信制限などを実施することを特徴とするセキュリティシステムにおけるネットワーク制御方式」のように構成したものである。   Further, the present invention is “a network control method in a security system, and when a zone has a vulnerability, the importance of the zone in which the vulnerability is pointed out and the adjacent zone adjacent to the zone in which the vulnerability is pointed out The network control method in the security system is characterized in that the zone information is acquired and the connection between the zones is disconnected or the communication is restricted from the zone information.

本発明によれば、簡便な分析手法によりネットワークシステムのセキュリティに関する脆弱性を検出することができる。   According to the present invention, it is possible to detect a vulnerability related to the security of a network system by a simple analysis method.

また本発明の実施例によれば、様々な機器やネットワークで構成されるIoTシステムや制御システムにおいて、ゾーンにより分割したシステム管理を実行する際に、システム構成情報から既存技術の分析手段を用いて、セキュリティに関する脆弱性を検出することができる。また、脆弱性の検出結果をもとに、ゾーン間の接続部を自動で制御し、セキュアなシステム運用を実現できる。   Further, according to the embodiment of the present invention, when performing system management divided by zone in an IoT system or control system constituted by various devices and networks, an analysis means of existing technology is used from system configuration information. , Security vulnerabilities can be detected. In addition, based on the vulnerability detection results, it is possible to automatically control the connection between zones and realize a secure system operation.

本発明において想定するネットワークシステムの一例を示す図。The figure which shows an example of the network system assumed in this invention. 小ネットワークシステムNWS1とセキュリティシステムSQの具体構成例を示す図。The figure which shows the specific structural example of small network system NWS1 and security system SQ. セキュリティシステムSQの主要な各部において取り扱う情報の一例を模式的に示す図。The figure which shows typically an example of the information handled in each main part of security system SQ. 実施例1における符号化部2の処理フローを示す図。FIG. 3 is a diagram illustrating a processing flow of an encoding unit 2 according to the first embodiment. 実施例1における分析部5の処理フローを示す図。FIG. 6 is a diagram illustrating a processing flow of the analysis unit 5 in the first embodiment. 実施例1における結果提示/実行部7の処理フローを示す図。The figure which shows the processing flow of the result presentation / execution part 7 in Example 1. FIG. 図6の重要度判断の組み合わせをマトリクス状にして、結果として行う処理を整理して示す図。FIG. 7 is a diagram in which combinations of importance determinations in FIG. 6 are arranged in a matrix and processes performed as a result are organized. セキュリティシステムSQの主要な各部における処理シーケンスの一例を示す図。The figure which shows an example of the process sequence in each main part of security system SQ. 符号化方式選択部4をネットワーク階層毎に構成した例を示す図。The figure which shows the example which comprised the encoding system selection part 4 for every network hierarchy. 実施例3におけるセキュリティシステムSQの構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a security system SQ according to a third embodiment. 実施例3における符号化部2の処理フローを示す図。FIG. 10 is a diagram illustrating a processing flow of the encoding unit 2 according to the third embodiment. システム構成を複数のゾーンZ毎に分割して、それぞれのゾーンZ毎に符号化を実施することを示す図。The figure which divides | segments a system structure for every some zone Z, and implements encoding for each zone Z. FIG. 複数のシステム構成を繋ぎ合わせて、纏めて符号化を実施することを示す図。The figure which shows connecting a some system structure and implementing encoding collectively. 実施例4におけるセキュリティシステムSQの構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a security system SQ according to a fourth embodiment. 実施例4における符号化部2の処理フローを示す図。FIG. 10 is a diagram illustrating a processing flow of the encoding unit 2 according to the fourth embodiment. 実施例5のセキュリティシステムSQにおける符号化方式Pを示す図。The figure which shows the encoding system P in the security system SQ of Example 5. FIG.

以下、実施例について図面を用いて説明する。   Hereinafter, embodiments will be described with reference to the drawings.

図1は本発明において想定するネットワークシステムの一例を示している。ここに示す全体ネットワークシステムNWSは、小ネットワークシステムNWS1、NWS2、NWS3の集合体であって、小ネットワークシステムNWS1、NWS2、NWS3は例えば、A会社の本店、支店、事業所などに形成されたネットワークシステムがネットワークNWで接続されたものである。ここでは小ネットワークシステムNWS1、NWS2、NWS3は、同一のネットワーク管理者であるA会社により管理されている。なおA会社は管理委託会社であってもよい。   FIG. 1 shows an example of a network system assumed in the present invention. The entire network system NWS shown here is an aggregate of small network systems NWS1, NWS2, and NWS3, and the small network systems NWS1, NWS2, and NWS3 are networks formed in, for example, the head office, branch office, and office of the A company. The system is connected by a network NW. Here, the small network systems NWS1, NWS2, and NWS3 are managed by a company A which is the same network administrator. Company A may be a management consignment company.

また小ネットワークシステムNWS1、NWS2、NWS3内には、夫々の事情に応じたネットワークが形成されており、ここではファクトリーオートメーション(FA)、プロセスオートメーション(PA)に使用されるDCS(distributed control system)やPLC(Programmable Logic Controller)などの制御装置、SCADA(Supervisory Control And Data Acquisition)などの制御システム、および、様々な情報機器がネットワークに接続されるIoT(Internet of Things)システムなどが適宜適用されている。   Further, in the small network systems NWS1, NWS2, and NWS3, networks according to the respective circumstances are formed. Here, DCS (distributed control system) used for factory automation (FA) and process automation (PA) Control devices such as PLC (Programmable Logic Controller), control systems such as SCADA (Supervision Control And Data Acquisition), and IoT (Internet of Things) systems where various information devices are connected to the network. .

本発明においては、小ネットワークシステムNWS1、NWS2、NWS3内を夫々ゾーンZに分割している。小ネットワークシステムNWS1についてゾーンZ10、Z11、Z12、Z13、Z14に分割し、NWS2についてゾーンZ20、Z21、Z22、Z23、Z24に分割し、NWS3についてゾーンZ30、Z31、Z32、Z33、Z34、Z35に分割している。   In the present invention, the small network systems NWS1, NWS2, and NWS3 are each divided into zones Z. The small network system NWS1 is divided into zones Z10, Z11, Z12, Z13, and Z14, the NWS2 is divided into zones Z20, Z21, Z22, Z23, and Z24, and the NWS3 is divided into zones Z30, Z31, Z32, Z33, Z34, and Z35. It is divided.

ゾーンZは、それぞれ複数の情報機器とネットワークで構成されており、後述するネットワーク構成(ツリー状、階層状、リング状、ハイブリッド状など)を形成している。なおゾーンZ内におけるネットワークは、有線接続、無線接続のいずれで構成されたものであってもよい。このようにゾーンZとは、IoTシステムや制御システム内において所定の機能を実現するために必要な情報機器やネットワークの組合せである。またここで、システム内において各情報機器やネットワークは、何れかまたは複数のゾーンZに属していても良く、ゾーンZ内の情報機器数やネットワーク接続関係には特に制約はない。   Each of the zones Z is composed of a plurality of information devices and networks, and forms a network configuration (a tree shape, a hierarchy shape, a ring shape, a hybrid shape, etc.) to be described later. The network in the zone Z may be configured by either wired connection or wireless connection. As described above, the zone Z is a combination of information devices and networks necessary for realizing a predetermined function in the IoT system and the control system. Here, each information device and network in the system may belong to one or a plurality of zones Z, and the number of information devices in the zone Z and the network connection relationship are not particularly limited.

小ネットワークシステムNWS1、NWS2、NWS3におけるゾーンZの設定の考え方は、適宜のものが採用可能である。位置的に建屋の階層に沿ったゾーン設定、プラントなどの制御機能単位でのゾーン設定、安全防護上のセキュリティレベルに沿ったゾーン設定などがある。   As the concept of setting the zone Z in the small network systems NWS1, NWS2, and NWS3, an appropriate one can be adopted. There are zone settings according to the building hierarchy, zone settings for each control function such as a plant, and zone settings according to the security level for safeguarding.

本発明では、係るネットワークシステムNWSを対象とし、その一部にセキュリティシステムSQを配置したものである。図2は、小ネットワークシステムNWS1とセキュリティシステムSQの具体構成例を示した図である。小ネットワークシステムNWS1は、ネットワークNWを介して、小ネットワークシステムNWS2、NWS3、及びキュリティシステムSQと接続されている。また各小ネットワークシステムNWS1、NWS2、NWS3内の各ゾーンZ(図2ではZ10、Z11.Z12)は、接続部11を介してネットワークNWに接続されている。なお小ネットワークシステムNWS2、NWS3も、その内部は小ネットワークシステムNWS1と同様に構成されている。   In the present invention, the network system NWS is targeted, and the security system SQ is arranged in a part thereof. FIG. 2 is a diagram showing a specific configuration example of the small network system NWS1 and the security system SQ. The small network system NWS1 is connected to the small network systems NWS2, NWS3, and the security system SQ via the network NW. Each zone Z (Z10, Z11.Z12 in FIG. 2) in each of the small network systems NWS1, NWS2, and NWS3 is connected to the network NW via the connection unit 11. The small network systems NWS2 and NWS3 are also configured in the same manner as the small network system NWS1.

小ネットワークシステムNWS1、NWS2、NWS3は、セキュリティシステムSQによりセキュリティ管理されているが、小ネットワークシステムNWS1、NWS2、NWS3自体は、ゾーン管理部8としての機能を有している。   Although the small network systems NWS1, NWS2, and NWS3 are security managed by the security system SQ, the small network systems NWS1, NWS2, and NWS3 themselves have a function as the zone management unit 8.

ゾーン管理部8は、一つ以上のゾーンZとネットワーク制御部10と一つ以上の接続部11とから構成されている。ゾーンZ間は接続部11によって互いに接続されており、ゾーン管理部8は、後述するセキュリティシステムSQ内の結果提示/実行部7からの指令に従い、ネットワーク制御部10によって接続部11におけるゾーンZ間の通信を管理する機能を有する。なお図2において、ネットワーク制御部10は、ネットワークNWとその制御機能を意味している。   The zone management unit 8 includes one or more zones Z, a network control unit 10, and one or more connection units 11. The zones Z are connected to each other by the connection unit 11, and the zone management unit 8 performs the zone Z connection in the connection unit 11 by the network control unit 10 according to a command from the result presentation / execution unit 7 in the security system SQ described later. Has a function of managing communication. In FIG. 2, the network control unit 10 means the network NW and its control function.

小ネットワークシステムNWS1、NWS2、NWS3に共通に配置されたセキュリティシステムSQは、構成情報取得部1と、符号化部2と、符号化条件設定部3と、符号化方式選択部4と、分析部5と、脆弱性情報取得部6と、結果提示/実行部7とから構成されている。   The security system SQ arranged in common in the small network systems NWS1, NWS2, and NWS3 includes a configuration information acquisition unit 1, an encoding unit 2, an encoding condition setting unit 3, an encoding method selection unit 4, and an analysis unit. 5, a vulnerability information acquisition unit 6, and a result presentation / execution unit 7.

セキュリティシステムSQにおいて構成情報取得部1は、分割されたゾーンZの単位ごとに形成されたシステム構成情報SZを、ゾーン管理部8から取得する機能を有する。システム構成情報SZとは、例えばIoTシステムや制御システムを構成する情報機器のハードウェア情報SZa、ソフトウェア情報SZb、ネットワーク情報SZc、ゾーンZの情報SZdなどである。   In the security system SQ, the configuration information acquisition unit 1 has a function of acquiring, from the zone management unit 8, the system configuration information SZ formed for each divided zone Z unit. The system configuration information SZ includes, for example, hardware information SZa, software information SZb, network information SZc, and zone Z information SZd of information devices constituting the IoT system and the control system.

情報機器のハードウェア情報SZaは例えば、情報機器のシリアル番号、製造番号、ネットワークのハードウェアアドレスなどの情報機器固有の情報、情報機器の製品名や一般名称、情報機器の種類情報、機種名やカテゴリを示す機種情報、情報機器のハードウェア仕様情報、ハードウェアの設定情報などである。   The information device hardware information SZa includes, for example, information device-specific information such as information device serial number, manufacturing number, network hardware address, information device product name and general name, information device type information, model name, This includes model information indicating a category, hardware specification information of information equipment, hardware setting information, and the like.

情報機器のソフトウェア情報SZbとは例えば、情報機器にインストールされているOS(オペレーティングシステム)、ミドルウェア、アプリケーション、ライブラリなどの名称や種別情報バージョン情報、ネットワークアドレス、これらのソフトウェアの設定情報などである。   The software information SZb of the information device is, for example, the name (OS), middleware, application, library, etc. installed in the information device, type information version information, network address, setting information of these software, and the like.

ネットワーク情報SZcとは、情報機器が接続されているネットワークの種類や名称、または、通信速度や通信帯域許容レイテンシなどネットワークの通信仕様に関する情報、または、ネットワークに接続している情報機器のアドレスのリスト、情報機器の接続状態、ネットワークの接続経路などである。   The network information SZc is the type and name of the network to which the information device is connected, information on the communication specifications of the network such as the communication speed and communication band allowable latency, or a list of addresses of the information devices connected to the network. Information device connection status, network connection route, and the like.

ゾーン情報SZdとは、例えばゾーンZの名称や固有の識別情報、接続部11を介して隣接するゾーンZの名称や識別情報、または、特定のゾーンZを構成する機器やネットワークのリスト、ゾーンZの重要度、ゾーンZに必要なセキュリティレベル、ゾーンZの分類や種別やカテゴリを示す情報、そのゾーンZがシステム内において満たすべき機能や役割に関する情報である。   The zone information SZd is, for example, the name or unique identification information of the zone Z, the name or identification information of the zone Z that is adjacent via the connection unit 11, or a list of devices or networks that constitute the specific zone Z, the zone Z , The security level required for the zone Z, information indicating the classification, type, and category of the zone Z, and information regarding the function and role that the zone Z should satisfy in the system.

このようにして、セキュリティシステムSQの構成情報取得部1には、分割されたゾーンZの単位ごとに形成されたシステム構成情報SZが取得される。図3は、セキュリティシステムSQの主要な各部において取り扱う情報の一例を模式的に示した図である。この図3において、構成情報取得部1には、取得したシステム構成情報SZの具体事例として、ゾーンZ10とZ11のシステム構成情報SZ10、SZ11を例示している。なお図3はシステム構成情報SZの一例を模式的に図示しており、本発明の理解を容易にするために例示したものであるので、システム構成情報SZそのものとしては他のものであってもよいことは言うまでもない。   In this way, the system configuration information SZ formed for each unit of the divided zone Z is acquired in the configuration information acquisition unit 1 of the security system SQ. FIG. 3 is a diagram schematically showing an example of information handled in each main part of the security system SQ. In FIG. 3, the configuration information acquisition unit 1 exemplifies system configuration information SZ10 and SZ11 of zones Z10 and Z11 as specific examples of the acquired system configuration information SZ. FIG. 3 schematically shows an example of the system configuration information SZ, which is illustrated for easy understanding of the present invention. Therefore, the system configuration information SZ itself may be other information. Needless to say, it is good.

例えばゾーンZ10のシステム構成情報SZ10によれば、情報機器Aの下部に情報機器Cが2台配置され、かつ一方の情報機器Cの下部に情報機器Eが3台配置された階層構成のシステム構成を採用している。またゾーンZ11のシステム構成情報SZ11によれば、5台の情報機器SSがリング状に配置され、かつ情報機器SSのうちの3台の下部に情報機器Eが配置されたハイブリッド状構成のシステム構成を採用している。なおシステム構成情報SZ10、SZ11は、上記したハードウェア情報SZa、ソフトウェア情報SZb、ネットワーク情報SZc、ゾーンZの情報SZdの観点からの多くの情報を含んで構成されている。なお図3において、符号化方式は適宜符号化方式登録部20に登録保持される。   For example, according to the system configuration information SZ10 of the zone Z10, the system configuration has a hierarchical configuration in which two information devices C are arranged below the information device A and three information devices E are arranged below one information device C. Is adopted. Further, according to the system configuration information SZ11 of the zone Z11, a system configuration of a hybrid configuration in which five information devices SS are arranged in a ring shape and information devices E are arranged in the lower part of three of the information devices SS. Is adopted. The system configuration information SZ10 and SZ11 includes a lot of information from the viewpoint of the hardware information SZa, software information SZb, network information SZc, and zone Z information SZd. In FIG. 3, the encoding method is appropriately registered and held in the encoding method registration unit 20.

図2に戻り、符号化部2は、符号化条件設定部3の設定と符号化方式選択部4における符号化方式の選択結果に従い、システム構成情報SZを符号化する機能を有する。符号化部2の処理内容についての詳細な説明は後述し、ここでは図3を用いて符号化部2と符号化方式選択部4における処理例の概念を先行的に説明しておく。   Returning to FIG. 2, the encoding unit 2 has a function of encoding the system configuration information SZ according to the setting of the encoding condition setting unit 3 and the selection result of the encoding method in the encoding method selection unit 4. A detailed description of the processing contents of the encoding unit 2 will be described later. Here, the concept of processing examples in the encoding unit 2 and the encoding method selection unit 4 will be described in advance with reference to FIG.

図3において、符号化方式選択部4には例えば符号化方式P1、P2、P3、P4の4パターンが準備されている。符号化方式P1はゾーンZ内の情報機器の接続状態として、ツリー状の接続関係を定義したものであり、符号化方式P2はゾーンZ内の情報機器の接続状態として階層構成状の接続関係を定義したものであり、符号化方式P3はゾーンZ内の情報機器の接続状態としてリング状の接続関係を定義したものであり、符号化方式P4はゾーンZ内の情報機器の接続状態としてハイブリッド状の接続関係を定義したものである。   In FIG. 3, for example, four patterns of encoding methods P1, P2, P3, and P4 are prepared in the encoding method selection unit 4. The encoding method P1 defines a tree-like connection relationship as the connection state of information devices in the zone Z, and the encoding method P2 defines a hierarchical structure connection relationship as the connection state of information devices in the zone Z. The encoding method P3 defines a ring-like connection relationship as a connection state of information devices in the zone Z, and the encoding method P4 defines a hybrid state as a connection state of information devices in the zone Z. The connection relation of is defined.

符号化方式選択部4は、自動的にあるいは人為的に選択した符号化方式P1、P2、P3、P4を符号化部2に与える。例えば符号化部2が符号化方式P2を与えられた場合、階層構成状の接続関係を有するゾーンZとしてZ10を抽出し、そのシステム構成情報SZ10から符号化システム構成情報SZ10´を生成する。符号化部2が符号化した符号化システム構成情報SZ10´は、例えば「P2−A−CC−EEE」なる表現のコードであり、これによりゾーンZ10の構成はコードにより表現されたことになる。また同様に、例えば符号化部2が符号化方式P4を与えられた場合、ハイブリッド状の接続関係を有するゾーンZとしてZ11を抽出し、そのシステム構成情報SZ11から符号化システム構成情報SZ11´を生成する。符号化部2が符号化した符号化システム構成情報SZ11´は、例えば「P4−SS−SSS−EEE」なる表現のコードであり、これによりゾーンZ11の構成はコードにより表現されたことになる。   The encoding method selection unit 4 provides the encoding unit 2 with the encoding methods P1, P2, P3, and P4 selected automatically or artificially. For example, when the encoding unit 2 is given the encoding method P2, Z10 is extracted as a zone Z having a hierarchical configuration connection relationship, and encoding system configuration information SZ10 ′ is generated from the system configuration information SZ10. The encoding system configuration information SZ10 ′ encoded by the encoding unit 2 is a code having an expression “P2-A-CC-EEE”, for example, and thus the configuration of the zone Z10 is expressed by a code. Similarly, for example, when the encoding unit 2 is given the encoding method P4, Z11 is extracted as a zone Z having a hybrid connection relationship, and the encoded system configuration information SZ11 ′ is generated from the system configuration information SZ11. To do. The encoding system configuration information SZ11 ′ encoded by the encoding unit 2 is a code having an expression “P4-SS-SSS-EEE”, for example, and thus the configuration of the zone Z11 is expressed by a code.

再度図2に戻り、符号化条件設定部3は、符号化部2の処理に必要な制約条件Lを設定する機能を有する。ここで設定される制約条件Lは、大別するとシステム構成についての制約条件L1、公開範囲についての制約条件L2、圧縮率についての制約条件L3などである。   Returning to FIG. 2 again, the encoding condition setting unit 3 has a function of setting a constraint condition L necessary for the processing of the encoding unit 2. The restriction conditions L set here are broadly divided into a restriction condition L1 for the system configuration, a restriction condition L2 for the disclosure range, a restriction condition L3 for the compression rate, and the like.

このうちシステム構成についての制約条件L1は、例えば上記した符号化方式Pを決定するうえでの各種の条件である。   Among these, the constraint condition L1 regarding the system configuration is various conditions for determining the encoding method P described above, for example.

公開範囲についての制約条件L2は、例えば、構成情報取得部1が取得したシステム構成情報SZの公開範囲を自組織内(例えばゾーンZ10のシステム構成情報SZ10について小ネットワークシステムNWS1内に限定)、自社内(例えばゾーンZ10のシステム構成情報SZについてネットワークシステムNWS内に限定)、関連企業内に限定するか、インターネット経由で外部公開可能かなどの公開範囲の設定を行ったものである。   The restriction condition L2 regarding the disclosure range is, for example, that the disclosure range of the system configuration information SZ acquired by the configuration information acquisition unit 1 is within the own organization (for example, the system configuration information SZ10 of the zone Z10 is limited to the small network system NWS1), The disclosure range is set such as whether it is limited within the company (for example, the system configuration information SZ of the zone Z10 is limited to the network system NWS), within an affiliated company, or can be externally disclosed via the Internet.

また圧縮率についての制約条件L3は、システム構成情報を符号化する際の情報の圧縮率や、一部の情報を省略または削除する際の情報量などを設定する。   Further, the constraint condition L3 regarding the compression rate sets a compression rate of information when the system configuration information is encoded, an information amount when omitting or deleting some information, and the like.

またこれら以外では、ハッシュ関数を利用するか否かなど情報の可逆性に関する設定を実行しても良い。さらに、情報を暗号化する場合には暗号化の強度や使用する暗号化方式などを設定しても良い。前述の設定のうち何れかまたは複数を設定しても良い。詳細は後述する。   In addition to these, settings relating to the reversibility of information, such as whether to use a hash function, may be executed. Furthermore, when encrypting information, the strength of encryption and the encryption method to be used may be set. One or more of the above settings may be set. Details will be described later.

分析部5では、一方において符号化方式選択部4が選択した符号化方式Pを有するゾーンZの符号化システム構成情報SZ´を符号化部2から入力する。また他方において、選択した符号化方式Pを有するゾーンZと同じシステム構成を探索し、探索した同一システム構成における脆弱性情報を脆弱性情報取得部6から入手する。この探索に当たり、ネットワークシステムNWS内外のどこまでの領域を探索すべきか、その範囲を定めたのが先述した公開範囲についての制約条件L2である。   In the analysis unit 5, the coding system configuration information SZ ′ of the zone Z having the coding method P selected by the coding method selection unit 4 is input from the coding unit 2. On the other hand, the same system configuration as that of the zone Z having the selected encoding method P is searched, and vulnerability information in the searched same system configuration is obtained from the vulnerability information acquisition unit 6. In this search, it is the restriction condition L2 regarding the above-described public range that defines the range to which the inside and outside of the network system NWS should be searched.

結果提示/実行部7は、分析部5の分析結果を提示する機能、または、分析結果にもとづきゾーン管理部8に対してゾーンZ間のネットワーク制御を実行する機能を有する。   The result presentation / execution unit 7 has a function of presenting the analysis result of the analysis unit 5 or a function of executing network control between the zones Z for the zone management unit 8 based on the analysis result.

ゾーン管理部8はネットワーク制御部10と接続部11とゾーンZから構成されており、各ゾーンZは前述の通り、一つ以上の機器やネットワークから構成される。ネットワーク制御部10は結果提示/実行部7からの指示に従い接続部11におけるゾーンZ間のネットワーク接続を制御する機能を有する。ネットワーク接続の制御とは例えば、ネットワークの切断や接続、接続部11を通過するデータのフィルタリングや通信容量制限などである。   The zone management unit 8 includes a network control unit 10, a connection unit 11, and a zone Z. Each zone Z includes one or more devices and networks as described above. The network control unit 10 has a function of controlling the network connection between the zones Z in the connection unit 11 in accordance with an instruction from the result presentation / execution unit 7. The network connection control includes, for example, network disconnection and connection, filtering of data passing through the connection unit 11, and communication capacity limitation.

以下、本発明の実施例1に係るセキュリティシステムSQの各部の詳細動作について説明する。   The detailed operation of each part of the security system SQ according to the first embodiment of the present invention will be described below.

図4は実施例1における符号化部2の処理フローである。符号化部2の処理は、ゾーンZの単位ごとに実行される。   FIG. 4 is a processing flow of the encoding unit 2 in the first embodiment. The processing of the encoding unit 2 is executed for each zone Z unit.

まず処理ステップS201では、符号化部2は構成情報取得部1より、新たなシステム構成情報SZを取得したか否かを判定する。ここで、構成情報取得部1は、既に取得済みのシステム構成情報SZがあれば、その情報から変更がある場合にのみゾーン管理部8から通知などを受けて取得しても良い。または、定期的にシステム構成情報SZに変更がないかを監視するなどの方法で、ゾーン管理部8が管理するシステム内のゾーンZについてのシステム構成情報SZを取得しても良い。   First, in processing step S201, the encoding unit 2 determines whether or not new system configuration information SZ has been acquired from the configuration information acquisition unit 1. Here, if there is system configuration information SZ that has already been acquired, the configuration information acquisition unit 1 may receive the notification from the zone management unit 8 only when there is a change from the information. Alternatively, the system configuration information SZ for the zone Z in the system managed by the zone management unit 8 may be acquired by a method such as periodically monitoring whether the system configuration information SZ is changed.

システム構成情報SZに変更がある場合、処理ステップS202では、符号化条件の設定が必要か否かを判定し、新たに符号化の実行が必要な場合には、処理ステップS203に移り、符号化条件設定部3より新たな符号化条件を取得する。また設定の変更が必要ない、または、符号化条件設定部3からの設定を取得できなかった場合には、処理ステップS204に移り、既定の条件設定を使用しても良い。   If there is a change in the system configuration information SZ, it is determined in the processing step S202 whether or not an encoding condition needs to be set. If it is necessary to newly execute the encoding, the process proceeds to the processing step S203, where the encoding is performed. A new encoding condition is acquired from the condition setting unit 3. If the setting change is not required or the setting from the encoding condition setting unit 3 cannot be acquired, the process proceeds to processing step S204, and the default condition setting may be used.

次に処理ステップS205では、符号化条件設定部3により設定された符号化条件に適合する符号化方式が符号化方式選択部4において選択されているかを照合する。例えば、符号化方式に必要な条件が設定されているかを検証する。符号化条件設定に適合した符号化方式が選択された場合には、処理ステップS206において符号化を実行する。   Next, in processing step S <b> 205, it is checked whether or not the encoding scheme that matches the encoding condition set by the encoding condition setting unit 3 is selected by the encoding scheme selection unit 4. For example, it is verified whether conditions necessary for the encoding method are set. If an encoding method suitable for the encoding condition setting is selected, encoding is executed in processing step S206.

処理ステップS207では、符号化が正常に完了したかどうかを判定し、正常に完了した場合には、処理ステップS208において符号化したシステム構成情報を分析部5へ送信する。処理ステップS208での処理において符号化が正常に完了していないとされた場合、もしくは処理ステップS205での処理において、符号化条件の設定と符号化方式の選択が合致しなかった場合には、処理ステップS209において符号化条件設定もしくは符号化方式の選択を見直すか否かを選択する。   In processing step S207, it is determined whether or not the encoding has been normally completed. If the encoding has been normally completed, the system configuration information encoded in the processing step S208 is transmitted to the analysis unit 5. When it is determined that the encoding is not normally completed in the process at the process step S208, or when the setting of the encoding condition and the selection of the encoding method are not matched in the process at the process step S205, In processing step S209, it is selected whether or not to review the encoding condition setting or encoding method selection.

符号化条件設定および符号化方式の選択を見直さない場合には、処理ステップS210に移り、エラー通知等を実施し処理を終了する。設定や選択を見直す場合には、再び処理ステップS202に移動してその処理を実行し、新たな符号化条件の設定、もしくは符号化方式の選択を実施する。ここで、所定の回数処理ステップS202から処理207までの処理を繰り返しても符号化が正常に完了しない場合には、自動的に処理ステップS210へ移行しても良い。   When the encoding condition setting and the selection of the encoding method are not reviewed, the process proceeds to processing step S210, error notification or the like is performed, and the process is terminated. When reviewing the setting and selection, the process moves again to step S202 to execute the process, and setting of a new encoding condition or selection of an encoding method is performed. Here, if the encoding is not normally completed even if the processes from the process step S202 to the process 207 are repeated a predetermined number of times, the process may automatically move to the process step S210.

図5は実施例1における分析部5の処理フローである。分析部5ではまず処理ステップS301において、符号化方式選択部4より新たな符号化方式Pの選択や変更の通知があるか否かを判定する。新たな符号化方式Pの選択がない場合には処理ステップS302に移り、既定の分析手段を選択する。   FIG. 5 is a processing flow of the analysis unit 5 in the first embodiment. First, in processing step S301, the analysis unit 5 determines whether or not there is a notification of selection or change of a new encoding method P from the encoding method selection unit 4. When there is no selection of the new encoding system P, it moves to process step S302 and selects a predetermined analysis means.

新たな符号化方式Pの選択がある場合、処理ステップS303において符号化方式Pに対応した分析手段があるか否かを判定し、対応する分析手段がある場合には、処理ステップS304において脆弱性情報取得部6よりセキュリティ脆弱性に関する情報を取得できるかどうかを判定する。なお符号化方式Pに対応した分析手段があるか否かの判断は、例えば対応するシステム構成を有する他のゾーンが存在するか否かを判定することである。   When there is a selection of a new encoding method P, it is determined whether or not there is an analysis unit corresponding to the encoding method P in processing step S303. If there is a corresponding analysis unit, the vulnerability is determined in processing step S304. It is determined whether or not information related to the security vulnerability can be acquired from the information acquisition unit 6. The determination as to whether there is an analysis unit corresponding to the encoding method P is, for example, determining whether there is another zone having a corresponding system configuration.

ここで脆弱性に関する情報とは、例えば一般公開されているNational Vulnerability Database(NVD)、Japan Vulnerability Notes (JVN)、Open Source Vulnerability Database (OSVDB)などの弱性情報データベースや、SCAP(Security Content Automation Protocol)やSTIX(Structured Threat Information eXpression)などの標準プロトコル、標準書式で記述されたセキュリティ脆弱性に係わる情報である。   Here, the information on the vulnerability is, for example, vulnerability information to cert such as National Vulnerability Database (NVD), Japan Vulnerability Notes (JVN), Open Source Vulnerability Database (OSVDB) ) And STIX (Structured Threat Information Expression) and other information related to security vulnerabilities described in a standard format.

ここで処理ステップS304の判断により特定の脆弱性情報が取得されない場合には、処理ステップS305に移り、既定の脆弱性情報を選択しても良い。処理ステップS304の判断により脆弱性情報が必要な場合には、処理ステップS306に移り、選択された分析手段に対応しているか否かを検証する。脆弱性情報が分析手段に対応している場合には処理ステップS307において分析を開始し、処理ステップS308において分析が正常に完了したか否かを判定する。分析が正常に完了した場合には処理ステップS309において分析結果を結果提示/実行部7へ伝達し処理を終了する。   Here, when the specific vulnerability information is not acquired by the determination in the processing step S304, the processing proceeds to the processing step S305, and the default vulnerability information may be selected. If the vulnerability information is necessary according to the determination in the processing step S304, the process proceeds to the processing step S306, and it is verified whether or not the selected analysis means is supported. If the vulnerability information corresponds to the analysis means, the analysis is started in processing step S307, and it is determined in processing step S308 whether the analysis has been normally completed. If the analysis is normally completed, the analysis result is transmitted to the result presentation / execution unit 7 in processing step S309, and the process is terminated.

なおここで、分析手段とは例えば、確立や統計的な手段を用いた数値および数理解析、DL(Deep Learning)や強化学習に代表される機械学習など、特定の数値や符号入力に対して何らかの学習や分析結果を出力できる分析手段であればどのような手段でも良い。既存の汎用的な分析技術を使えることが本発明の特徴であるため、分析の具体的な手段については本発明の対象外とする。また、脆弱性情報は前記機械学習の場合には教師データとして使用しても良いし、強化学習のように教師データを必要としない分析手段であれば、脆弱性情報は必ずしも必要としない。   Here, the analysis means is, for example, a numerical value or mathematical analysis using establishment or statistical means, machine learning represented by DL (Deep Learning) or reinforcement learning, etc. Any analysis means that can output learning and analysis results may be used. Since it is a feature of the present invention that an existing general-purpose analysis technique can be used, specific means for analysis are excluded from the scope of the present invention. Further, vulnerability information may be used as teacher data in the case of the machine learning, and vulnerability information is not necessarily required if it is an analysis means that does not require teacher data such as reinforcement learning.

一方、処理ステップS303において対応した分析手段がない、処理ステップS306において分析手段に対応する脆弱性情報がない、処理ステップS308において分析が正常に完了しなかった場合には、処理ステップS310において符号化方式の選択、分析手段の選択、脆弱性情報の選択を見直すか否かを判定する。何れかもしくは複数の選択を見直す場合には処理ステップS301より再度処理フローを実行する。選択等を見直さない場合には、処理ステップS305においてエラー通知などを実行し処理を完了しても良い。ここで、選択を見直すか否かは予め条件を設定しておいても良い。例えば、所定の回数まで処理ステップS301から処理ステップS308までの処理を試行し、一定回数を超えて正常に処理が完了しなかった場合には選択を見直さずエラー通知を行う事などが有効である。   On the other hand, if there is no corresponding analysis means in processing step S303, there is no vulnerability information corresponding to the analysis means in processing step S306, and analysis is not completed normally in processing step S308, the encoding is performed in processing step S310. It is determined whether the selection of the method, the analysis means, and the vulnerability information are reviewed. When reviewing one or a plurality of selections, the processing flow is executed again from processing step S301. If the selection or the like is not reviewed, an error notification or the like may be executed in processing step S305 to complete the processing. Here, whether or not to review the selection may be set in advance. For example, it is effective to perform processing from processing step S301 to processing step S308 up to a predetermined number of times, and to notify an error without reexamining the selection when the processing is not completed normally after a certain number of times. .

図6は実施例1における結果提示/実行部7の処理フローである。結果提示/実行部7においては、まず処理ステップS401において分析部5からシステム内の何れかのゾーンZ内にセキュリティに関する脆弱性ありとの分析結果が出ているか否かを判定する。   FIG. 6 is a processing flow of the result presentation / execution unit 7 in the first embodiment. The result presentation / execution unit 7 first determines whether or not an analysis result indicating that there is a security vulnerability exists in any zone Z in the system from the analysis unit 5 in the processing step S401.

脆弱性ありと判定された場合には、処理ステップS402において例えば脆弱性のあるゾーンZの重要度を取得し判定する。また処理ステップS402における判定結果に関わらず、引き続き処理ステップS403、処理ステップS405、処理ステップS407において、隣接ゾーンZの重要度を判断する。なお、ここでは、説明を簡潔にするため重要度を「高」、「中」、「低」の3段階としているが重要度の指標については特に制限は無く多段階もしくはその他の数値表現で示されていても良い。   If it is determined that there is a vulnerability, for example, the importance level of the vulnerable zone Z is acquired and determined in processing step S402. Regardless of the determination result in processing step S402, the importance of the adjacent zone Z is determined in processing step S403, processing step S405, and processing step S407. Here, for the sake of brevity, the level of importance is set to “high”, “medium”, and “low”, but there are no particular restrictions on the level of importance, and multiple levels or other numerical expressions are used. May be.

対象ゾーンの重要度と、隣接ゾーンの重要度をそれぞれ「高」、「中」、「低」の3段階に区分した結果として行う処理が処理ステップS404、処理ステップS406、処理ステップS408、処理ステップS409のいずれかである。   The processing performed as a result of dividing the importance of the target zone and the importance of the adjacent zone into three stages of “high”, “medium”, and “low” is processing step S404, processing step S406, processing step S408, and processing step. One of S409.

図7は、図6の重要度判断の組み合わせをマトリクス状にして、結果として行う処理を整理したものである。これによれば対象ゾーンの重要度判断が「高」であり、かつ隣接ゾーンの重要度判断が「高」であるときの組み合わせを「高高」と表記するものとすると、このときには、処理ステップS404において対象ゾーンZに繋がるすべての接続部11を切断する。なお以下の説明において、組み合わせの表記は上記の「高高」に準じて行うものとする。   FIG. 7 is an arrangement of the processing performed as a result of the combinations of importance determinations of FIG. 6 being arranged in a matrix. According to this, assuming that the combination when the importance determination of the target zone is “high” and the importance determination of the adjacent zone is “high” is expressed as “high”, in this case, the processing step In S404, all the connecting portions 11 connected to the target zone Z are disconnected. In the following description, the combination notation is performed according to the above “high / high”.

対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「高中」あるいは「中高」であるときは、処理ステップS406において例えば特定の接続部11のみを切断する。   When the combination of importance determination of the target zone and the adjacent zone is “high / medium” or “medium / high”, for example, only the specific connection unit 11 is disconnected in the processing step S406.

対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「高低」、「中中」、「低高」、「低中」のいずれかであるときは、処理ステップS408において接続部11のデータ送受信を制限する。   When the combination of the importance determination of the target zone and the adjacent zone is “high / low”, “medium / medium”, “low / high”, or “low / medium”, the data transmission / reception of the connection unit 11 is restricted in processing step S408. To do.

対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「中低」あるいは「低低」であるときは、処理ステップS409において、実行結果の提示のみを行う。   When the combination of the importance level judgment of the target zone and the adjacent zone is “medium low” or “low low”, only the execution result is presented in the processing step S409.

以上の処理において、処理ステップS408のデータ送受信の制限とは、例えばデータの伝送容量を一定量以下に制限するなどの規制を掛ける、データのペイロードの監視やフィルタリングなどの照合処理を強化する、データの伝送方向をどちらか片方向のみに制限するなどの方法がある。   In the above processing, the restriction on data transmission / reception in the processing step S408 means that the data transmission capacity is restricted to a certain amount or less, for example, the data payload monitoring or filtering collation processing is strengthened. There are methods such as restricting the transmission direction of one of them to only one direction.

接続部11のネットワーク切断やデータ送受信は実際には、ネットワーク制御部10が実行する。ネットワーク制御部10は例えば、ネットワークルータ、スイッチ、ファイヤウォール、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、UTM (Unified Threat Management)などである。   The network control unit 10 actually performs network disconnection and data transmission / reception of the connection unit 11. The network control unit 10 is, for example, a network router, a switch, a firewall, an IDS (Intrusion Detection System), an IPS (Intrusion Prevention System), a UTM (Unified Threat Management), or the like.

また処理ステップS409における結果の通知においては、例えば処理ステップS401において、脆弱性ありと判定された場合でも、ゾーンZ間の接続は変更しないという判定および処理結果を提示しても良い。また、全て何れかもしくは何れかの接続部11を切断した場合には、切断した接続部11の情報などを通知しても良い。接続部のデータ送受信を制限した場合には、その制限内容などを通知しても良い。   In the notification of the result in the processing step S409, for example, even if it is determined that there is a vulnerability in the processing step S401, the determination that the connection between the zones Z is not changed and the processing result may be presented. In addition, when all or any of the connection portions 11 is disconnected, information on the connection portion 11 that has been disconnected may be notified. When the data transmission / reception of the connection unit is restricted, the restriction content may be notified.

なお図6に示す処理フローにおいて、対象ゾーンZと隣接ゾーンZの重要度の組合せによる処理方法は、あくまで一例であり、対象とするシステムの要件に応じて、変更しても良い。例えば、システムの特定のゾーンに脆弱性が発見されたとしても、システムの稼動を継続しなければならないシステムであれば、本フローにおける処理において重要度「高」と重要度「低」と判定された場合の処理を入れ替えても良い。   In the processing flow shown in FIG. 6, the processing method based on the combination of the importance levels of the target zone Z and the adjacent zone Z is merely an example, and may be changed according to the requirements of the target system. For example, even if a vulnerability is discovered in a specific zone of the system, if the system must continue to operate, the processing in this flow is judged as high importance and low importance. You may replace the process in the case of.

すなわち、対象ゾーンZの重要度が「低」かつ、隣接ゾーンZの重要度も「低」と判定された場合には、全ての接続部11を切断する。逆に、対象ゾーンZの重要度と隣接ゾーンZの重要度が共に「高」と判定された場合には接続部11への制御は何も実行せずにシステムの運用を継続しても良い。また、重要度が本例のように3段階でない場合には、対象ゾーンZと隣接ゾーンZの重要度の高低を比較し、その結果に応じて処理を変更しても良いし、所定の数式等による計算結果を活用しても良い。   That is, when the importance level of the target zone Z is determined to be “low” and the importance level of the adjacent zone Z is also determined to be “low”, all the connection portions 11 are disconnected. Conversely, if both the importance level of the target zone Z and the importance level of the adjacent zone Z are determined to be “high”, the system operation may be continued without executing any control to the connection unit 11. . Further, when the importance is not three levels as in this example, the levels of importance of the target zone Z and the adjacent zone Z are compared, and the processing may be changed according to the result, or a predetermined mathematical formula The calculation result by etc. may be utilized.

さらに、本例では隣接ゾーンZの重要度のみを、接続部11の制御を実行するための指標としているが、その他、ゾーンZのセキュリティレベルや機能などゾーンに関する他の情報や指標、およびそれらの情報や指標を組み合わせることで処理内容を決定しても良い。   Furthermore, in this example, only the importance level of the adjacent zone Z is used as an index for executing the control of the connection unit 11, but other information and indexes related to the zone such as the security level and function of the zone Z, and those Processing contents may be determined by combining information and indicators.

以上のように、実施例1によれば、様々な機器やネットワークで構成されるIoTシステムや制御システムにおいて、ゾーンZにより分割したシステム管理を実行する際に、システム構成情報から既存技術の分析手段を用いて、セキュリティに関する脆弱性を検出することができる。また、脆弱性の検出結果をもとに、ゾーン間の接続部を自動で制御し、セキュアなシステム運用を実現できる。   As described above, according to the first embodiment, when performing system management divided by the zone Z in the IoT system or control system configured by various devices and networks, the analysis means of the existing technology from the system configuration information Can be used to detect security vulnerabilities. In addition, based on the vulnerability detection results, it is possible to automatically control the connection between zones and realize a secure system operation.

図3について、実施例1ではセキュリティシステムSQの主要な各部において取り扱う情報の一例を模式的に示す目的で利用したが、実施例2では図3を用いてセキュリティシステムSQの主要な各部における具体的な処理内容について説明する。   3 is used for the purpose of schematically showing an example of information handled in each main part of the security system SQ in the first embodiment, but in the second embodiment, specific information in each main part of the security system SQ is shown in FIG. The details of the processing will be described.

図3は、本発明の実施例2のセキュリティシステムSQにおける符号化方式選択部4と、構成情報取得部1と、符号化部、2と符号化方式登録部20に関する構成図である。   FIG. 3 is a configuration diagram relating to the encoding method selection unit 4, the configuration information acquisition unit 1, the encoding unit 2, and the encoding method registration unit 20 in the security system SQ according to the second embodiment of the present invention.

なおここでは、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1と同様のため省略する。実施例2の構成情報取得部1は、実施例1における構成情報取得部1の機能に加えて、取得したシステム構成情報を符号化方式選択部4に伝達する機能を有していても良い。   Here, the functions of the zone management unit 8, the analysis unit 5, the vulnerability information acquisition unit 6, and the result presentation / execution unit 7 are the same as those in the first embodiment, and are therefore omitted. The configuration information acquisition unit 1 according to the second embodiment may have a function of transmitting the acquired system configuration information to the encoding scheme selection unit 4 in addition to the function of the configuration information acquisition unit 1 according to the first embodiment.

図3において、符号化方式選択部4は実施例1における符号化方式選択部4の機能に加えて、構成情報取得部1から、システム構成情報を受け取る機能と、後述の符号化方式登録部20から1つ以上の符号化方式Pを新たに取得する、または、既に登録されている符号化方式Pを削除もしくは更新する機能を有する。また、符号化方式選択部4は符号化部2が使用する符号化方式Pを構成情報取得部1より取得したシステム構成情報に従って自身で選択する機能、もしくは、外部入力インタフェース等からシステムのユーザが符号化方式を選択する機能を有する。   3, in addition to the function of the encoding method selection unit 4 in the first embodiment, the encoding method selection unit 4 receives a system configuration information from the configuration information acquisition unit 1, and an encoding method registration unit 20 described later. 1 has one or more new encoding methods P, or has a function of deleting or updating an already registered encoding method P. In addition, the encoding method selection unit 4 allows the system user to select the encoding method P used by the encoding unit 2 according to the system configuration information acquired from the configuration information acquisition unit 1 or from an external input interface or the like. It has a function of selecting an encoding method.

符号化部2は実施例1における符号化部2の機能に加えて、符号化を正常に完了できなかった場合には、符号化方式選択部4に対して符号化方式Pの再選択を要求する機能を有していても良い。符号化部2の具体的な処理に関する詳細は後述する。   In addition to the function of the encoding unit 2 in the first embodiment, the encoding unit 2 requests the encoding method selection unit 4 to reselect the encoding method P when the encoding cannot be completed normally. It may have the function to do. Details regarding specific processing of the encoding unit 2 will be described later.

符号化方式登録部20は後述の符号化方式Pを、符号化方式選択部24に新たに登録、削除、更新する機能を有する。   The encoding method registration unit 20 has a function of newly registering, deleting, and updating an encoding method P described later in the encoding method selection unit 24.

図8は本発明の実施例2における構成情報取得部1、符号化方式選択部4、符号化部2、符号化方式登録部20に係わる処理シーケンスを示す図である。この図により、各部間の時系列的なやり取りを説明する。   FIG. 8 is a diagram illustrating a processing sequence related to the configuration information acquisition unit 1, the encoding method selection unit 4, the encoding unit 2, and the encoding method registration unit 20 according to the second embodiment of the present invention. The time-series exchange between each part will be described with reference to this figure.

最初に、符号化方式登録部20は符号化方式選択部4が選択対象とする符号化方式Pを作成し(処理ステップS601)、符号化方式選択部4に送信する(処理ステップS602)。   First, the coding method registration unit 20 creates a coding method P that is selected by the coding method selection unit 4 (processing step S601) and transmits it to the coding method selection unit 4 (processing step S602).

符号化方式選択部4は、符号化方式登録部20から送信されてきた符号化方式Pを登録または、既に登録されている符号化方式Pを削除もしくは更新する(処理ステップS603)。例えば、図3に示す符号化方式P1、P2、P3、P4のように、システムの構成図と各システムの機器に対応した符号のパターンを登録する。   The encoding method selection unit 4 registers the encoding method P transmitted from the encoding method registration unit 20, or deletes or updates the already registered encoding method P (processing step S603). For example, as in the encoding methods P1, P2, P3, and P4 shown in FIG. 3, a system configuration diagram and a code pattern corresponding to each system device are registered.

構成情報取得部1は構成情報SZを取得し(処理ステップS604)、符号化方式登録部20、符号化方式選択部4および符号化部2へそれぞれシステム構成情報SZを送信する(処理ステップS605、S607、S608)。   The configuration information acquisition unit 1 acquires the configuration information SZ (processing step S604), and transmits the system configuration information SZ to the encoding method registration unit 20, the encoding method selection unit 4, and the encoding unit 2, respectively (processing step S605, S607, S608).

次に、符号化方式選択部4は構成情報取得部1から取得したシステム構成情報SZと符号化方式Pを照合し(処理ステップS609)、最も近似した構成を有する符号化方式Pを選択する(処理ステップS613)。例えば、図3に示すシステム構成情報SZ10であれば、符号化方式選択部4から最も形態が近い符号化方式P2を選択する。同様に、システム構成情報SZ11であれば、符号化方式選択部4から最も形態が近い符号化方式P4を選択する。   Next, the encoding method selection unit 4 collates the system configuration information SZ acquired from the configuration information acquisition unit 1 with the encoding method P (processing step S609), and selects the encoding method P having the most approximate configuration ( Processing step S613). For example, in the case of the system configuration information SZ10 shown in FIG. 3, the encoding method P2 having the closest form is selected from the encoding method selection unit 4. Similarly, in the case of the system configuration information SZ11, the encoding method P4 having the closest form is selected from the encoding method selection unit 4.

ここで、適切な符号化方式Pが登録されていない場合には、符号化方式登録部20に通知し、新たな符号化方式Pの登録を要求しても良い(処理ステップS610)。符号化方式登録部20は符号化方式Pの要求を受信した場合には、新たに適切な符号化方式Pを作成し(処理ステップS611)、符号化方式選択部4に送信する(処理ステップS612)。符号化方式Pの作成は外部入力インタフェースなどからユーザが手動で作成しても良いし、符号化方式登録部20が、構成情報取得部1からシステム構成情報SZを受信し自動で作成しても良い。   Here, if an appropriate encoding scheme P is not registered, the encoding scheme registration unit 20 may be notified to request registration of a new encoding scheme P (processing step S610). When receiving the request for the encoding method P, the encoding method registration unit 20 newly creates an appropriate encoding method P (processing step S611) and transmits it to the encoding method selection unit 4 (processing step S612). ). The encoding method P may be created manually by the user from an external input interface or the like, or the encoding method registration unit 20 may receive the system configuration information SZ from the configuration information acquisition unit 1 and automatically create it. good.

符号化方式登録部20は符号化方式選択部4に新たに生成もしくは取得した符号化方式Pを送付する(処理ステップS614)。符号化部2は符号化方式選択部4から受信した符号化方式Pに従って、システム構成情報SZを符号化する。   The encoding method registration unit 20 sends the newly generated or acquired encoding method P to the encoding method selection unit 4 (processing step S614). The encoding unit 2 encodes the system configuration information SZ according to the encoding method P received from the encoding method selection unit 4.

例えば、図3に示すシステム構成情報SZ10において、符号化方式P2が選択された場合には、システム構成情報SZ10に含まれる機器情報を所定の符号に変換する。符号化方式P2を選択したことを示す「P2」に続いて、ネットワークの構成の上位層側からそれぞれ機器情報を示す符号「A」「C、C」「E、E、E」を列挙して、「P2−A−CC−EEE」を符号化されたシステム構成情報SZ10´として生成する。   For example, in the system configuration information SZ10 shown in FIG. 3, when the encoding method P2 is selected, the device information included in the system configuration information SZ10 is converted into a predetermined code. Following “P2” indicating that the encoding method P2 has been selected, codes “A”, “C, C”, “E, E, E” indicating device information are listed from the upper layer side of the network configuration. , “P2-A-CC-EEE” is generated as encoded system configuration information SZ10 ′.

同様に、システム構成情報SZ11において符号化方式P4が選択された場合には、符号化方式P4が選択されたことを示す「P4」に続いて、ネットワーク構成の上位層側からそれぞれ機器情報を示す符号「S、S」「S、S、S」「E」「E」「E」を列挙して、「P4−SS−SSS−EEE」を符号化されたシステム構成情報SZ11´として生成する。   Similarly, when the encoding method P4 is selected in the system configuration information SZ11, the device information is indicated from the upper layer side of the network configuration following “P4” indicating that the encoding method P4 is selected. The codes “S, S”, “S, S, S”, “E”, “E”, and “E” are listed, and “P4-SS-SSS-EEE” is generated as the encoded system configuration information SZ11 ′.

なお、図3で示す符号化方式選択部4の符号化方式Pや符号化されたシステム構成情報SZ´はあくまで一例であり、他のデータ形式、符号化方式、記号などを活用した方法であっても良い。   Note that the encoding method P and the encoded system configuration information SZ ′ of the encoding method selection unit 4 shown in FIG. 3 are merely examples, and are methods using other data formats, encoding methods, symbols, and the like. May be.

また、図9に示す符号化方式選択部4の構成例のように、符号化方式選択部4は、例えばシステムのネットワーク階層毎に符号化方式選択部4−1〜符号化方式選択部4−Nのように、分割して構成されていても良い。符号化方式組合せ部27によって、システムのネットワーク階層ごとの符号化方式Pを選択し組合せることによって新たな符号化方式Pを作成しても良い。   Further, as in the configuration example of the encoding method selection unit 4 illustrated in FIG. 9, the encoding method selection unit 4 includes, for example, an encoding method selection unit 4-1 to an encoding method selection unit 4-4 for each network hierarchy of the system. N may be divided and configured. A new encoding method P may be created by selecting and combining the encoding methods P for each network hierarchy of the system by the encoding method combination unit 27.

図8に戻り、処理ステップS615において、符号化部2は正常に符号化を完了した場合には、分析部5に符号化したシステム構成情報を送信し処理を終了する。正常に符号化が完了しなかった場合には、符号化方式選択部4に符号化方式の再選択を要求しても良い(処理ステップS617)。   Returning to FIG. 8, in the processing step S615, when the encoding unit 2 completes the encoding normally, the encoded system configuration information is transmitted to the analysis unit 5 and the processing is ended. If the encoding is not completed normally, the encoding method selection unit 4 may be requested to reselect the encoding method (processing step S617).

符号化方式選択部4は、符号化部2から符号化方式Pの再選択を要求された場合には、例えば処理ステップS611〜処理ステップS613の処理を再度実行し、符号化方式を再選択する(処理ステップS618)。その後、再び符号化方式Pを符号化部2に送信しても良い(処理ステップS619)。符号化部2は再度符号化を実行する(処理ステップS620)。符号化が正常に完了するまで処理ステップS601〜処理ステップS618の一連の処理の何れかを繰り返しても良いし、一定回数繰り返した後にエラー情報などを通知して処理を終了しても良い。   When the encoding unit 2 is requested to reselect the encoding method P by the encoding unit 2, the encoding method selection unit 4 performs again the processing of, for example, processing step S611 to processing step S613, and reselects the encoding method. (Processing step S618). Thereafter, the encoding scheme P may be transmitted again to the encoding unit 2 (processing step S619). The encoding unit 2 executes encoding again (processing step S620). Any one of a series of processing from processing step S601 to processing step S618 may be repeated until encoding is normally completed, or error information may be notified after repeating a certain number of times, and the processing may be terminated.

以上のように、実施例2によれば、様々な情報機器やネットワークで構成されるIoTシステムや制御システムにおいて、複雑なシステム構成情報を、単純な数値情報もしくは文字列情報として符号化することにより、数値情報を入力とする様々な既存の分析手段を活用することが可能となる。   As described above, according to the second embodiment, by encoding complex system configuration information as simple numerical information or character string information in an IoT system or control system including various information devices and networks. It is possible to utilize various existing analysis means that input numerical information.

図10は、実施例3におけるセキュリティシステムSQの構成例を示す図であり、特に符号化方式選択部4と構成情報取得部1と符号化部2に関する構成例の図である。なお実施例3のセキュリティシステムSQでは、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1もしくは実施例2と同様のため省略する。   FIG. 10 is a diagram illustrating a configuration example of the security system SQ according to the third embodiment. In particular, FIG. In the security system SQ of the third embodiment, the functions of the zone management unit 8, the analysis unit 5, the vulnerability information acquisition unit 6, and the result presentation / execution unit 7 are the same as those in the first or second embodiment, and are omitted. To do.

図10においても、実施例1もしくは実施例2と同様の処理フローに従って、構成情報取得部1が取得したシステム構成情報SZと符号化方式選択部4が選択した符号化方式Pにより、符号化部2はシステム構成情報SZを符号化して符号化システム構成情報SZ´を生成する。   Also in FIG. 10, according to the processing flow similar to that of the first embodiment or the second embodiment, the encoding unit is obtained by the system configuration information SZ acquired by the configuration information acquiring unit 1 and the encoding method P selected by the encoding method selecting unit 4. 2 encodes the system configuration information SZ to generate encoded system configuration information SZ ′.

なお図3の説明では、符号化方式Pとして情報機器とネットワークによるネットワーク構成(ツリー状、階層状、リング状、ハイブリッド状など)を用いるもののみを例示したが、図10では情報機器の機種の観点からの符号化方式Pa、情報機器が採用しているOSの観点からの符号化方式Pb、情報機器が採用しているアプリの観点からの符号化方式Pcなど、複数種別の符号化方式Pについて、実施する例を示している。従って、符号化部2は、情報機器の機種の観点からの符号化システム構成情報SZa´、情報機器が採用しているOSの観点からの符号化システム構成情報SZb´、情報機器が採用しているアプリの観点からの符号化システム構成情報SZc´を与えることになる。   In the description of FIG. 3, only the configuration using the network configuration (tree shape, hierarchical shape, ring shape, hybrid shape, etc.) by the information device and the network is illustrated as the encoding method P. However, in FIG. A plurality of types of encoding methods P, such as an encoding method Pa from the viewpoint, an encoding method Pb from the viewpoint of the OS adopted by the information device, and an encoding method Pc from the viewpoint of the application adopted by the information device. The example which implements is shown. Therefore, the encoding unit 2 uses the encoding system configuration information SZa ′ from the viewpoint of the model of the information equipment, the encoding system configuration information SZb ′ from the viewpoint of the OS adopted by the information equipment, and the information equipment. The encoding system configuration information SZc ′ from the viewpoint of the existing application is given.

また以下の説明においては、図10の符号化部2に例示した情報機器構成を前提として説明する。前提とした情報機器構成によれば、符号化方式として、格子またはメッシュ上にN段のネットワーク38と各M個の情報機器37の構成リストが定義されている。例えば、ネットワーク38(1)上には、情報機器37(11)、情報機器37(12)から情報機器37(1M)まで、ネットワーク38(1)に接続し得る全情報機器37のリストと該当する情報機器37の符号情報を保持する。   Further, in the following description, the description will be made on the assumption that the information device configuration illustrated in the encoding unit 2 in FIG. According to the assumed information device configuration, a configuration list of an N-stage network 38 and M information devices 37 is defined on a lattice or mesh as an encoding method. For example, on the network 38 (1), a list of all information devices 37 that can be connected to the network 38 (1) from the information device 37 (11), the information device 37 (12) to the information device 37 (1M), and the corresponding items. The code information of the information device 37 to be held is held.

同様に、ネットワーク38(2)に接続し得る全情報機器37のリスト情報が、情報機器37(21)、情報機器37(22)、から情報機器37(2M)まで情報が登録されている。以降、システム内に存在し得るネットワーク38(N)まで同様に、各ネットワークに接続し得る情報機器37(NM)に関する符号情報が登録されている。   Similarly, the list information of all information devices 37 that can be connected to the network 38 (2) is registered from the information device 37 (21), the information device 37 (22) to the information device 37 (2M). Thereafter, similarly to the network 38 (N) that can exist in the system, the code information regarding the information device 37 (NM) that can be connected to each network is registered.

ここでは説明を簡単にするために、各情報機器37は直近の上位または下位側のネットワークのみに接続されていることとしているが、階層を跨いで接続されていても良い。また、情報機器情報としては、実施例1と同様に、例えば情報機器37の種別や、情報機器37にインストールされているOSやアプリケーションの種別、バージョン情報などがある。ここでは、情報機器37の種別(機種)を例として、符号化部2の処理を説明する。   Here, in order to simplify the explanation, each information device 37 is connected only to the nearest higher-order or lower-order network, but may be connected across layers. The information device information includes, for example, the type of the information device 37, the type of OS and application installed in the information device 37, version information, and the like, as in the first embodiment. Here, the processing of the encoding unit 2 will be described using the type (model) of the information device 37 as an example.

図11に実施例3における符号化部2の処理フローを示す。なお、図10の符号化部2は符号化方式選択部4より、符号化方式Paを取得しているものとする。   FIG. 11 shows a processing flow of the encoding unit 2 in the third embodiment. It is assumed that the encoding unit 2 in FIG. 10 has acquired the encoding method Pa from the encoding method selection unit 4.

符号化部2は、符号化方式選択部4により選択された符号化方式Paと、構成情報取得部1から取得したシステム構成情報SZについて以下の処理フローを実施する。   The encoding unit 2 performs the following processing flow on the encoding method Pa selected by the encoding method selection unit 4 and the system configuration information SZ acquired from the configuration information acquisition unit 1.

はじめに、システム構成情報SZの最上位のネットワーク38(1)の情報機器37と、符号化方式Paのネットワーク38(1)にマッピングされている情報機器37が合致するか否かを照合する(処理ステップS901)。   First, it is verified whether or not the information device 37 of the highest network 38 (1) of the system configuration information SZ matches the information device 37 mapped to the network 38 (1) of the encoding scheme Pa (processing). Step S901).

合致する場合には該当情報機器37の符号情報として、例えば「(11)」を取得する(処理ステップS902)。次に同一のネットワーク38(1)上で全情報機器37の情報を順番に照合し、合致する情報機器37が他にもあれば順次該当情報機器37の情報を取得する。すなわち、全情報機器37の照合が完了したか否かを判定し(処理ステップS903)、完了するまでは次の情報機器情報に対象を変更して(処理ステップS904)、処理ステップS901および処理ステップS902を繰り返し実行する。例えば、ネットワーク38(1)上では、情報機器37(11)の他に情報機器37(12)乃至37(1M)が該当する。   If they match, for example, “(11)” is acquired as the code information of the corresponding information device 37 (processing step S902). Next, the information of all the information devices 37 is collated in order on the same network 38 (1), and if there are other matching information devices 37, the information of the corresponding information devices 37 is acquired sequentially. That is, it is determined whether or not collation of all the information devices 37 has been completed (processing step S903), and until completion, the target is changed to the next information device information (processing step S904), and processing steps S901 and processing steps are performed. S902 is repeatedly executed. For example, on the network 38 (1), information devices 37 (12) to 37 (1M) correspond to the information device 37 (11).

次に、ネットワーク38を変更して同様の処理(処理ステップS901〜処理ステップS904)を繰り返し実行する。例えば、ネットワーク38(2)では、情報機器37(22)、情報機器37(2M)が接続されているためこれらの情報機器37の符号情報「22」乃至「2M」を取得する。   Next, the network 38 is changed and the same processing (processing step S901 to processing step S904) is repeatedly executed. For example, in the network 38 (2), since the information device 37 (22) and the information device 37 (2M) are connected, the code information “22” to “2M” of these information devices 37 is acquired.

以降同様に、システム構成情報SZに含まれる全てのネットワーク38に対して情報機器37の照合処理を繰り返す。また、一つの符号化方式例えばPaに対して符号化の処理が全て完了した場合には、次に他の符号化方式例えばPbに対して、同様の処理を繰り返しても良い(処理ステップS907、処理ステップS908)。最後に全ての符号化処理が正常に完了したか否かを判定し(処理ステップS909)、正常に完了した場合には処理を終了する。   Thereafter, similarly, the verification process of the information device 37 is repeated for all the networks 38 included in the system configuration information SZ. When all the encoding processes for one encoding method, for example, Pa, are completed, the same processing may be repeated for another encoding method, for example, Pb (processing step S907, Processing step S908). Finally, it is determined whether or not all the encoding processes have been normally completed (processing step S909). If the encoding processes have been normally completed, the process is terminated.

一方、正常に符号化を実行できなかった場合にはエラー処理を実施しても良い(処理ステップS910)。例えば、実施例2と同様に、符号化方式選択部4に対して、符号化方式の再送付を要求し、再度新たな符号化方式Pを用いて処理ステップS901から処理を実行しても良い。   On the other hand, if encoding cannot be performed normally, error processing may be performed (processing step S910). For example, as in the second embodiment, the encoding method selection unit 4 may be requested to re-transmit the encoding method, and the process from step S901 may be executed again using the new encoding method P. .

ここで、符号化のための方式として、図12aに示すように、システム構成を複数のゾーンZ毎に分割して、それぞれのゾーンZ毎に符号化を実施しても良い。また、図12bに示すように、複数のシステム構成を繋ぎ合わせて、纏めて符号化を実施しても良い。このように、ネットワーク構成の形状や区分は様々な形態を取っても良い。   Here, as a system for encoding, as shown in FIG. 12A, the system configuration may be divided into a plurality of zones Z, and encoding may be performed for each zone Z. Also, as shown in FIG. 12b, a plurality of system configurations may be connected and encoded together. As described above, the shape and division of the network configuration may take various forms.

以上のように、実施例3によれば、様々な情報機器やネットワークで構成されるIoTシステムや制御システムにおいて、複雑なシステム構成情報を、単純な数値情報もしくは文字列情報として符号化することにより、数値情報を入力とする様々な既存の分析手段を活用することが可能となる。   As described above, according to the third embodiment, by encoding complex system configuration information as simple numerical information or character string information in an IoT system or control system configured with various information devices and networks. It is possible to utilize various existing analysis means that input numerical information.

図13は、本発明の実施例4におけるセキュリティシステムであり、特に符号化方式選択部4と構成情報取得部1と符号化部2に関する構成例の図である。なお実施例4のセキュリティシステムにおいて、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については第1実施形態もしくは実施例2と同様のため省略する。   FIG. 13 is a security system according to the fourth embodiment of the present invention, and is a diagram of a configuration example related to the encoding method selection unit 4, the configuration information acquisition unit 1, and the encoding unit 2 in particular. In the security system of the fourth embodiment, the functions of the zone management unit 8, the analysis unit 5, the vulnerability information acquisition unit 6, and the result presentation / execution unit 7 are the same as those in the first embodiment or the second embodiment, and are omitted. To do.

実施例1もしくは実施例2と同様の処理フローに従って、構成情報取得部1が取得したシステム構成情報SZと符号化方式選択部4が選択した符号化方式Pにより、符号化部2はシステム構成情報を符号化する。   According to the same processing flow as in the first embodiment or the second embodiment, the encoding unit 2 uses the system configuration information SZ acquired by the configuration information acquisition unit 1 and the encoding method P selected by the encoding method selection unit 4 to cause the encoding unit 2 to Is encoded.

なお図13では、システム構成情報SZは、構成情報取得部1に例示した情報機器37とネットワーク38により構成されているものとし、さらに符号化方式選択部4における符号化方式Pは、図10における情報機器の機種について色相の観点からの符号化方式Pa、情報機器が採用しているOSについて彩度の観点からの符号化方式Pb、情報機器が採用しているアプリについて明度の観点からの符号化方式Pcを行うものとしている。   In FIG. 13, the system configuration information SZ is assumed to be configured by the information device 37 and the network 38 exemplified in the configuration information acquisition unit 1, and the encoding method P in the encoding method selection unit 4 is as shown in FIG. Coding method Pa from the viewpoint of hue for the type of information equipment, coding system Pb from the viewpoint of saturation for the OS adopted by the information equipment, and coding from the viewpoint of lightness for the application adopted by the information equipment The conversion method Pc is performed.

符号化部2における符号化においては、メッシュ状配置43に示すようにまず構成情報取得部1に例示した情報機器37とネットワーク38の配置位置に着目し、全領域をメッシュで区分し、かつ情報機器37を例えば4メッシュで表現している。   In the encoding in the encoding unit 2, as shown in the mesh arrangement 43, first, paying attention to the arrangement positions of the information device 37 and the network 38 exemplified in the configuration information acquisition unit 1, the entire region is divided by mesh, and the information The device 37 is represented by 4 mesh, for example.

そのうえで、個々の情報機器37の4メッシュには、例えば左上のメッシュを情報機器の機種の情報、左下のメッシュを情報機器が採用しているアプリの情報、右上のメッシュを情報機器が採用しているOSの情報、右下のメッシュをその他の情報で制御する符号化を実行する。つまり、個々の情報機器37の4メッシュについて、例えば左上のメッシュに色相の情報、左下のメッシュに彩度の情報、右上のメッシュに明度の情報による符号化を実行する。符号化後を示すメッシュ状符号化状態46によれば、符号化後の状態がメッシュごとに表現されることになる。   In addition, for the 4 meshes of each information device 37, for example, the upper left mesh is information on the model of the information device, the lower left mesh is information on the application that the information device uses, and the upper right mesh is used by the information device. Encoding to control the OS information and the lower right mesh with other information is executed. That is, for the four meshes of each information device 37, for example, encoding is performed using hue information for the upper left mesh, saturation information for the lower left mesh, and lightness information for the upper right mesh. According to the mesh-like encoding state 46 indicating after encoding, the state after encoding is expressed for each mesh.

図14に実施例4における符号化部42の処理フローを示す。   FIG. 14 shows a processing flow of the encoding unit 42 in the fourth embodiment.

図14の処理フローではまず、システム構成情報取得部1で取得したシステム構成情報SZについて、その座標系と符号化方式選択部4において選択した符号化方式Pの座標系が一致しているか否かを照合する(処理ステップS1201)。   In the processing flow of FIG. 14, first, regarding the system configuration information SZ acquired by the system configuration information acquisition unit 1, whether or not the coordinate system and the coordinate system of the encoding method P selected by the encoding method selection unit 4 match. Are compared (processing step S1201).

例えば、図13に示すように、システム構成情報SZの情報機器37やネットワーク38の位置関係を符号化部2において座標(メッシュ)上にマッピングできるか否かを判定する。座標系が一致していない場合にはエラー処理を実行し処理を終了する(処理ステップS1208)。エラー処理とは例えば、構成情報取得部1に対して新しいシステム構成情報5の取得を要求する、または、符号化方式選択部4に再度別の符号化方式Pを要求する処理などである。   For example, as shown in FIG. 13, it is determined whether or not the encoding unit 2 can map the positional relationship between the information device 37 and the network 38 of the system configuration information SZ on the coordinates (mesh). If the coordinate systems do not match, error processing is executed and the processing ends (processing step S1208). The error process is, for example, a process of requesting the configuration information acquisition unit 1 to acquire new system configuration information 5 or requesting the encoding method selection unit 4 to request another encoding method P again.

座標系が一致する場合には、システム構成情報SZの中の情報機器情報に、対応する色情報があるか否かを判定する(処理ステップS1202)。例えば、情報機器37の種別(機種)を特定の色相に割り当てる。色相以外に、彩度または明度、もしくはそれらを統合した色情報として利用しても良い。   If the coordinate systems match, it is determined whether the information device information in the system configuration information SZ has corresponding color information (processing step S1202). For example, the type (model) of the information device 37 is assigned to a specific hue. In addition to hue, saturation or brightness, or color information obtained by integrating them may be used.

情報機器情報に対応する色情報がある場合には一致する座標に色情報を登録する(処理ステップS1203)。次に該当する情報機器37が更に詳細な情報を有し、詳細情報に対応する色情報があるか否かを判定する(処理ステップS1204)。情報機器37の詳細情報とは例えば、実施例1と同様に、情報機器47のOSやアプリケーションの種別やバージョン情報などである。   If there is color information corresponding to the information device information, the color information is registered at the matching coordinates (processing step S1203). Next, it is determined whether or not the corresponding information device 37 has more detailed information and there is color information corresponding to the detailed information (processing step S1204). The detailed information of the information device 37 is, for example, the OS of the information device 47, the type of application, version information, and the like, as in the first embodiment.

情報機器37の詳細情報に対してもそれぞれ該当する色情報、すなわち色相、彩度、明度の何れかもしくは複数の組合せに対応した色情報があるか否かを判定する。詳細情報に対応する色情報がある場合には、同様に情報機器情報に加えて詳細情報を該当する座標に登録する(処理ステップS1203)。   It is determined whether or not there is color information corresponding to any of color information corresponding to the detailed information of the information device 37, that is, any one of hue, saturation, brightness, or a combination of a plurality of combinations. If there is color information corresponding to the detailed information, the detailed information is registered in the corresponding coordinates in addition to the information device information (processing step S1203).

ここで該当する座標とは例えば、図13に示すように、情報機器情報の周囲などの隣接する座標などである。なお、これらの座標の配置や情報機器情報と色情報などの対応関係は符号化方式選択部4より取得しても良いし、予め所定の対応表などを有していても良い。   Here, the corresponding coordinates are, for example, adjacent coordinates such as the periphery of the information device information as shown in FIG. Note that the arrangement of these coordinates and the correspondence between the information device information and the color information may be acquired from the encoding method selection unit 4 or may have a predetermined correspondence table in advance.

次に、情報機器情報が有する全ての詳細情報に対応した色情報を全て該当する座標に登録したか否かを判定する(処理ステップS1205)。ここで、処理ステップS1201から処理ステップS1205の何れかの処理過程でエラーが発生した場合には、所定のエラー処理を実行し処理を終了しても良い(処理ステップS1208)。全ての詳細情報の登録が完了した場合には、再び別の情報機器37に対して、処理ステップS1202〜処理ステップS1205の処理を実行する。ここで、特定の情報機器情報に対応する色情報がない場合であってもエラーとして処理を終了せず、その情報機器37に関する処理はスキップして他の情報機器37に対して処理ステップS1202以降の処理を継続しても良い。   Next, it is determined whether or not all color information corresponding to all the detailed information included in the information device information has been registered in the corresponding coordinates (processing step S1205). Here, when an error occurs in any of the processing steps from processing step S1201 to processing step S1205, a predetermined error processing may be executed and the processing may be terminated (processing step S1208). When the registration of all the detailed information is completed, the processing from step S1202 to step S1205 is executed again for another information device 37. Here, even if there is no color information corresponding to the specific information device information, the processing is not terminated as an error, the processing related to the information device 37 is skipped, and processing steps S1202 onward for other information devices 37. This processing may be continued.

次に、取得したシステム構成情報SZに登録されている全ての情報機器37について処理を完了したかを判定する(処理ステップS1206)。全ての情報機器37について処理を完了した場合には、ネットワーク38についても、同様の処理を実行する。すなわち、ネットワークの情報についても、各ネットワーク48に対応する色情報があるか否かを判定する(処理ステップS1207)。   Next, it is determined whether the processing has been completed for all information devices 37 registered in the acquired system configuration information SZ (processing step S1206). When the processing is completed for all the information devices 37, the same processing is executed for the network 38. That is, it is determined whether there is color information corresponding to each network 48 for the network information (processing step S1207).

対応する色情報がある場合には、同様に色情報を該当する座標に登録する(処理ステップS1203)。該当する座標とは例えば、前述の情報機器37の情報を登録した座標と隣接する位置すべてに直線状に登録するなどの方法がある。ネットワーク38についても、詳細情報がある場合には、情報機器37の詳細情報と同様に、対応する色情報があるか否かを判定する(処理ステップS1204)。ネットワーク38の詳細情報に該当する色情報がある場合には、該当する座標に色情報を登録する(処理ステップS1203)。   If there is corresponding color information, the color information is similarly registered in the corresponding coordinates (processing step S1203). The corresponding coordinates include, for example, a method of linearly registering all the positions adjacent to the coordinates where the information of the information device 37 is registered. If there is also detailed information for the network 38, it is determined whether there is corresponding color information as in the detailed information of the information device 37 (processing step S1204). If there is color information corresponding to the detailed information of the network 38, the color information is registered at the corresponding coordinates (processing step S1203).

ここで、該当する座標とは、例えば、前述の直線状に登録したネットワーク38の何れか一つまたは複数の座標とする。また、ネットワーク38の詳細情報とは例えば、実施例1と同様にネットワークの種別や通信速度、通信帯域などのネットワークに関する仕様情報である。   Here, the corresponding coordinates are, for example, any one or a plurality of coordinates of the network 38 registered in a straight line. Further, the detailed information of the network 38 is, for example, specification information about the network such as the type of network, the communication speed, and the communication band as in the first embodiment.

最後にシステム構成情報SZに含まれる全てのネットワーク38に関して、色情報の登録を完了したか否かを判定する(処理ステップS1208)。全ての処理を完了した場合には、符号化処理を終了する。ネットワーク38についても、情報機器37と同様に、特定のネットワーク38に対応する色情報がない場合には、そのネットワーク38に関する処理はスキップして、他のネットワーク38についての処理を実行しても良い。   Finally, it is determined whether or not color information registration has been completed for all the networks 38 included in the system configuration information SZ (processing step S1208). When all the processes are completed, the encoding process ends. Similarly to the information device 37, if there is no color information corresponding to a specific network 38 for the network 38, the process for the network 38 may be skipped and the process for the other network 38 may be executed. .

処理ステップS1202から処理ステップS1208までの処理フローにおいて、情報機器37の情報に関する処理と、ネットワーク38の情報に関する処理の順番には特に制限は無く、先に全てのネットワーク38の情報に関する処理を実行しても良い。情報機器47の情報とネットワーク38の情報の処理を交互に実行しても良い。また、情報機器37の情報やネットワーク38の情報に対応する色情報を登録する座標系について、広さや形状などは特に制限はない。なお処理ステップS1209では、エラー処理を行う。   In the processing flow from the processing step S1202 to the processing step S1208, there is no particular limitation on the order of the processing related to the information on the information device 37 and the processing related to the information on the network 38. May be. Processing of information on the information device 47 and information on the network 38 may be executed alternately. In addition, there is no particular limitation on the width and shape of the coordinate system for registering color information corresponding to information on the information device 37 and information on the network 38. In process step S1209, error processing is performed.

以上のように実施例4によれば、複雑かつ多様なシステム構成情報SZをある座標系に色情報として登録することで、画像情報として符号化することができる。画像情報とは例えばBMP(ビットマップ)形式やJPEG形式などの符号化されたデータである。このように画像情報とすることにより、画像認識などで利用される様々な分析手法をシステムのセキュリティ分析に活用することができる。   As described above, according to the fourth embodiment, complicated and diverse system configuration information SZ can be encoded as image information by registering it as color information in a certain coordinate system. The image information is encoded data such as BMP (bitmap) format or JPEG format. By using image information in this way, various analysis techniques used for image recognition and the like can be used for system security analysis.

図15は、本発明の実施例5のセキュリティシステムにおける符号化方式Pを示す構成図である。   FIG. 15 is a configuration diagram showing an encoding method P in the security system according to the fifth embodiment of the present invention.

実施例5のセキュリティシステムSQにおいて、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1、実施例2、実施例3、または実施例4の何れかと同様である。また、符号化部2の処理フローについても、実施例1、実施例2、実施例3、または実施例4の何れかと同様である。   In the security system SQ of the fifth embodiment, the functions of the zone management unit 8, the analysis unit 5, the vulnerability information acquisition unit 6, and the result presentation / execution unit 7 are the first, second, third, or The same as in any of the fourth embodiment. Also, the processing flow of the encoding unit 2 is the same as any one of the first embodiment, the second embodiment, the third embodiment, or the fourth embodiment.

各符号化方式Pに関して、実施例2の場合には、2次元上で構成されていたシステム構成情報SZを3次元上に構成されたシステム構成情報SZに置き換えることができる。   Regarding each encoding method P, in the case of the second embodiment, the system configuration information SZ configured in two dimensions can be replaced with the system configuration information SZ configured in three dimensions.

同様に実施例3の場合には、2次元上で格子(メッシュ)状に構成されていたシステム構成情報SZおよび符号化方式Pを3次元上の情報として処理することが可能である。   Similarly, in the case of the third embodiment, it is possible to process the system configuration information SZ and the encoding method P, which are configured in a two-dimensional lattice (mesh) shape, as three-dimensional information.

同様に実施例4の場合には、2次元座標系の処理を3次元座標系で処理することが可能である。すなわち2次元画像情報を3次元画像情報として処理することが出来る。   Similarly, in the case of the fourth embodiment, it is possible to process a two-dimensional coordinate system using a three-dimensional coordinate system. That is, two-dimensional image information can be processed as three-dimensional image information.

以上のように実施例5に拠れば、3次元上に構成されたシステムのシステム構成情報を取得し符号化することが可能となる。   As described above, according to the fifth embodiment, it is possible to acquire and encode the system configuration information of a system configured in three dimensions.

1:構成情報取得部
2:符号化部
3:符号化条件設定部
4:符号化方式選択部
5:分析部
6:脆弱性情報取得部
7:結果提示/実行部
8:ゾーン管理部
Z:ゾーン
10:ネットワーク制御部
11:接続部
20:符号化方式登録部
P:符号化方式
SZ:システム構成情報
SZ´:符号化したシステム構成情報
37:情報機器
38:ネットワーク
1: configuration information acquisition unit 2: encoding unit 3: encoding condition setting unit 4: encoding method selection unit 5: analysis unit 6: vulnerability information acquisition unit 7: result presentation / execution unit 8: zone management unit Z: Zone 10: Network control unit 11: Connection unit 20: Coding method registration unit P: Coding method SZ: System configuration information SZ ': Encoded system configuration information 37: Information device 38: Network

Claims (16)

ネットワークシステムに適用されるセキュリティシステムであって、
前記ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されており、
前記セキュリティシステムは、前記ゾーン毎に前記情報機器の情報や前記ネットワークの情報から成るゾーン情報を取得する情報取得部と、前記情報取得部により取得した前記ゾーン情報をゾーン毎に符号化する符号化部と、前記符号化部により符号化されたゾーン情報に基づいて、当該ゾーン情報についての脆弱性情報を得、前記ゾーンのリスクを分析する分析部を備えることを特徴とするセキュリティシステム。
A security system applied to a network system,
The network system is divided into a plurality of zones including a plurality of information devices and a network,
The security system includes an information acquisition unit that acquires information about the information device and information about the network for each zone, and an encoding that encodes the zone information acquired by the information acquisition unit for each zone. And a security system comprising: an analysis unit that obtains vulnerability information about the zone information based on the zone information encoded by the encoding unit and analyzes the risk of the zone.
請求項1に記載のセキュリティシステムであって、
前記セキュリティシステムは、前記符号化部の処理に必要な制約条件を設定する符号化条件設定部を備えており、前記符号化条件設定部は、前記ゾーン内のシステム構成についての制約条件、情報の公開範囲についての制約条件、圧縮率についての制約条件のうち少なくとも1つの制約条件を用いて符号化を行うことを特徴とするセキュリティシステム。
The security system according to claim 1,
The security system includes an encoding condition setting unit that sets a restriction condition necessary for the processing of the encoding unit, and the encoding condition setting unit includes a restriction condition and information of a system configuration in the zone. A security system, wherein encoding is performed using at least one constraint condition among a constraint condition for an open range and a constraint condition for a compression rate.
請求項1または請求項2に記載のセキュリティシステムであって、
前記セキュリティシステムは、前記ゾーン情報をゾーン毎に符号化するときの複数の符号化方式を有する符号化方式選択部を備えており、前記符号化部は前記符号化方式選択部で選択された前記符号化方式に従って符号化を行うことを特徴とするセキュリティシステム。
The security system according to claim 1 or 2,
The security system includes an encoding method selection unit having a plurality of encoding methods when encoding the zone information for each zone, and the encoding unit is selected by the encoding method selection unit A security system that performs encoding according to an encoding method.
請求項1から請求項3のいずれか1項に記載のセキュリティシステムであって、
前記セキュリティシステムは、前記分析部による分析結果に基づいて、脆弱性を指摘されたゾーンにおけるネットワーク制御を指示する結果提示/実行部を備えることを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 3,
The security system includes a result presentation / execution unit that instructs network control in a zone where a vulnerability is pointed out based on an analysis result by the analysis unit.
請求項1から請求項4のいずれか1項に記載のセキュリティシステムであって、
前記符号化部は、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件、選択された符号化方式に基づき、符号化を行うことを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 4,
The encoding unit performs encoding based on an information disclosure range, information compression rate, information conversion reversibility, information encryption strength, or a plurality of setting conditions, and a selected encoding method. Security system characterized by
請求項1から請求項5のいずれか1項に記載のセキュリティシステムであって、
前記ゾーンにおける情報機器とネットワークの接続関係を示す構成情報についての複数の符号化方式を有し、前記符号化部は、複数の符号化方式から、構成情報に合致した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 5,
Having a plurality of encoding methods for configuration information indicating a connection relationship between the information device and the network in the zone, and the encoding unit selects an encoding method that matches the configuration information from the plurality of encoding methods; A security system that encodes the configuration information.
請求項1から請求項6のいずれか1項に記載のセキュリティシステムであって、
前記ゾーンにおける全ての存在し得る情報機器とネットワークの接続関係を示す格子状の構成情報を有し、前記符号化部は実際に取得した構成情報から、前記格子状の構成情報と照合し、構成情報に合致した情報機器またはネットワークの符号情報を取得し、前記構成情報を符号化することを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 6,
It has grid-like configuration information indicating the connection relationship between all the information devices that can exist in the zone and the network, and the encoding unit collates with the grid-like configuration information from the actually acquired configuration information, A security system characterized by acquiring code information of an information device or a network that matches information, and encoding the configuration information.
請求項1から請求項7のいずれか1項に記載のセキュリティシステムであって、
前記符号化部は、情報機器とネットワークの構成情報を座標系に配置し前記情報機器と前記ネットワークに関する情報を色情報として、前記座標系に登録することで、前記構成情報を符号化することを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 7,
The encoding unit encodes the configuration information by arranging configuration information of the information device and the network in a coordinate system, and registering information on the information device and the network as color information in the coordinate system. A featured security system.
請求項1から請求項7のいずれか1項に記載のセキュリティシステムであって、
前記符号化部は、三次元上に配置された情報機器やネットワークの構成情報を符号化することを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 7,
The said encoding part encodes the structure information of the information equipment and network arrange | positioned on three dimensions, The security system characterized by the above-mentioned.
請求項1から請求項7のいずれか1項に記載のセキュリティシステム内の符号化部において実施されるセキュリティシステムの符号化方式であって、
前記ゾーン内に存在する情報機器やネットワークの構成情報を取得し、前記構成情報を符号化するために必要な設定条件として、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件を選択し、前記情報を符号化するための複数の符号化方式から、前記構成情報に適した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。
An encoding method of a security system implemented in an encoding unit in the security system according to any one of claims 1 to 7,
The information disclosure range, the compression rate of information, the reversibility of information conversion, and information encryption are set as necessary conditions for acquiring configuration information of information devices and networks existing in the zone and encoding the configuration information. One or a plurality of setting conditions is selected from among the intensities, and an encoding scheme suitable for the configuration information is selected from a plurality of encoding schemes for encoding the information, and the configuration information is encoded An encoding method for a security system.
請求項10に記載のセキュリティシステムの符号化方式であって、
情報機器とネットワークの接続関係を示す複数の符号化方式を有し、前記複数の符号化方式から、構成情報に合致した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。
An encoding method for a security system according to claim 10,
It has a plurality of encoding methods indicating a connection relationship between an information device and a network, and selects an encoding method that matches configuration information from the plurality of encoding methods, and encodes the configuration information. Security system encoding method.
請求項11に記載のセキュリティシステムの符号化方式であって、
情報機器とネットワークの接続関係を示す複数の符号化方式は前記ネットワークの階層に応じて複数存在し、前記複数の符号化方式から、構成情報に合致した複数の符号化方式を組み合わせて新たな符号化方式を生成し、前記符号化方式によって、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。
An encoding method for a security system according to claim 11,
There are a plurality of encoding schemes indicating the connection relationship between the information device and the network depending on the hierarchy of the network, and a new code is created by combining a plurality of encoding schemes matching the configuration information from the plurality of encoding schemes. An encoding method for a security system, wherein a coding method is generated and the configuration information is encoded by the encoding method.
請求項10に記載のセキュリティシステムの符号化方式であって、
情報機器とネットワークの構成情報を座標系に配置し前記情報機器と前記ネットワークに関する情報を色情報として、前記座標系に登録することで、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。
An encoding method for a security system according to claim 10,
A configuration of a security system, wherein the configuration information is encoded by arranging configuration information of an information device and a network in a coordinate system and registering the information on the information device and the network as color information in the coordinate system. Encoding method.
請求項10から請求項13のいずれか1項に記載のセキュリティシステムの符号化方式であって、
三次元上に配置された情報機器やネットワークの構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。
An encoding method for a security system according to any one of claims 10 to 13,
An encoding method for a security system that encodes configuration information of information devices and networks arranged in three dimensions.
請求項1から請求項9のいずれか1項に記載のセキュリティシステムのネットワーク制御方式であって、
ゾーンに脆弱性がある場合には、脆弱性を指摘されたゾーンおよび、脆弱性を指摘されたゾーンに隣接する隣接ゾーンの重要度についてのゾーン情報を取得し、前記ゾーン情報から、ゾーン間の接続部の切断や通信制限などを実施することを特徴とするセキュリティシステムのネットワーク制御方式。
A network control method for a security system according to any one of claims 1 to 9,
If there is a vulnerability in the zone, obtain zone information about the importance of the zone where the vulnerability was pointed out and the adjacent zone adjacent to the zone where the vulnerability was pointed out. A network control method for security systems characterized by disconnecting connections and restricting communications.
請求項1から請求項9のいずれか1項に記載のセキュリティシステムであって、
ネットワークシステムは、複数の情報機器とネットワークを含む複数の小ネットワークシステムが相互に接続されて構成されており、
前記小ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されていることを特徴とするセキュリティシステム。
The security system according to any one of claims 1 to 9,
The network system is configured by connecting a plurality of small network systems including a plurality of information devices and a network,
The small network system is divided into a plurality of zones including a plurality of information devices and a network.
JP2018046392A 2018-03-14 2018-03-14 Security system, encoding method therefor and network control method Pending JP2019159877A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018046392A JP2019159877A (en) 2018-03-14 2018-03-14 Security system, encoding method therefor and network control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018046392A JP2019159877A (en) 2018-03-14 2018-03-14 Security system, encoding method therefor and network control method

Publications (1)

Publication Number Publication Date
JP2019159877A true JP2019159877A (en) 2019-09-19

Family

ID=67996274

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018046392A Pending JP2019159877A (en) 2018-03-14 2018-03-14 Security system, encoding method therefor and network control method

Country Status (1)

Country Link
JP (1) JP2019159877A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022118395A1 (en) * 2020-12-02 2022-06-09 日本電気株式会社 Network control device, network system, network control method, and non-transitory computer-readable medium
KR20230010630A (en) 2020-04-10 2023-01-19 스플라인 네트워크 인코포레이티드 Wireless network security diagnosis system, security diagnosis server, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015179516A (en) * 2014-03-18 2015-10-08 株式会社Nttドコモ Knowledge engine for managing massive complicated structured data
WO2016154460A1 (en) * 2015-03-24 2016-09-29 Kyndi, Inc. Cognitive memory graph indexing, storage and retrieval
JP2017224053A (en) * 2016-06-13 2017-12-21 株式会社日立製作所 Vulnerability risk evaluation system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015179516A (en) * 2014-03-18 2015-10-08 株式会社Nttドコモ Knowledge engine for managing massive complicated structured data
WO2016154460A1 (en) * 2015-03-24 2016-09-29 Kyndi, Inc. Cognitive memory graph indexing, storage and retrieval
JP2017224053A (en) * 2016-06-13 2017-12-21 株式会社日立製作所 Vulnerability risk evaluation system and method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230010630A (en) 2020-04-10 2023-01-19 스플라인 네트워크 인코포레이티드 Wireless network security diagnosis system, security diagnosis server, and program
WO2022118395A1 (en) * 2020-12-02 2022-06-09 日本電気株式会社 Network control device, network system, network control method, and non-transitory computer-readable medium

Similar Documents

Publication Publication Date Title
Aydi et al. Theorems for Boyd‐Wong‐Type Contractions in Ordered Metric Spaces
US20140157417A1 (en) Methods and systems for architecture-centric threat modeling, analysis and visualization
US8819206B2 (en) Graph based flexible service discovery and management system and method
CN109981326B (en) Method and device for positioning household broadband sensing fault
JP2019159877A (en) Security system, encoding method therefor and network control method
JP2021057893A (en) Edge gateway system with contextualized process plant knowledge repository
EP3583750B1 (en) Pcep extension to support flexi-grid optical networks
CN111462489A (en) Traffic congestion area prediction method and device
Asaithambi et al. An energy-efficient and blockchain-integrated software defined network for the industrial internet of things
CN115766795A (en) Intelligent service method of trusted electronic file platform based on block chain
Carrabs et al. An exact algorithm to extend lifetime through roles allocation in sensor networks with connectivity constraints
CN113568925B (en) Message data conversion method and device, electronic equipment and storage medium
Carrabs et al. A Lagrangian approach for the minimum spanning tree problem with conflicting edge pairs
Sanin et al. Manufacturing collective intelligence by the means of Decisional DNA and virtual engineering objects, process and factory
De et al. BCoT: introduction to blockchain-based internet of things for industry 5.0
CN102272732A (en) Method, apparatus, and computer program product for determining data signatures in a dynamic distributed device network
CN105282099A (en) Firewall command generation method and device
CN110086878A (en) A kind of 5G private network and construction method
KR101296279B1 (en) Method and Apparatus of Rule Engine System with Separate Rule Server and Rule Executor
Qureshi et al. A software-defined network-based intelligent decision support system for the internet of things networks
CN107273097A (en) A kind of method that ladder diagram for PLC system is converted into instruction catalogue
Juhas et al. Possibilities of using Industrial Internet of Things (IIOT) in industrial communication.
CN114422554B (en) Service area intelligent equipment management method and device based on distributed Internet of things
WO2020129995A1 (en) Information processing system, method and program
Vishwakarma et al. Internet of things technology, research, and challenges: a survey

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211022

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20211214