JP2019159877A - Security system, encoding method therefor and network control method - Google Patents
Security system, encoding method therefor and network control method Download PDFInfo
- Publication number
- JP2019159877A JP2019159877A JP2018046392A JP2018046392A JP2019159877A JP 2019159877 A JP2019159877 A JP 2019159877A JP 2018046392 A JP2018046392 A JP 2018046392A JP 2018046392 A JP2018046392 A JP 2018046392A JP 2019159877 A JP2019159877 A JP 2019159877A
- Authority
- JP
- Japan
- Prior art keywords
- information
- encoding
- network
- security system
- zone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、ネットワーク上に情報機器を配したネットワークシステムのセキュリティシステムとその符号化方式並びにネットワーク制御方式に関する。 The present invention relates to a security system of a network system in which information devices are arranged on a network, an encoding method thereof, and a network control method.
ネットワーク上に情報機器を配したネットワークシステムとして種々のものが知られている。これらのネットワークシステムにより、例えばファクトリーオートメーション(FA)、プロセスオートメーション(PA)、IoT(Internet of Things)システムを実現しており、適宜DCS(distributed control system)やPLC(Programmable Logic Controller)などの制御装置、SCADA(Supervisory Control And Data Acquisition)などの制御システム、および、様々な情報機器がネットワークに接続されて使用されている。 Various network systems in which information devices are arranged on a network are known. These network systems realize, for example, factory automation (FA), process automation (PA), and IoT (Internet of Things) systems, and control devices such as DCS (distributed control system) and PLC (Programmable Logic Controller) as appropriate. Control systems such as SCADA (Supervision Control And Data Acquisition) and various information devices are connected to a network and used.
係るネットワークシステムにおけるシステム管理技術に関して、例えば特許文献1が知られている。この特許文献1には、「産業ネットワークを管理するために、産業ネットワークの種々のセクションにおいてデータを収集し、収集されたデータを分析する」という記載がある。
For example,
特許文献1では、産業ネットワークにおいて収集したデータの分析については、それぞれのセクションに応じた分析手法を用いており、画一的または汎用性の高い分析手法については特に言及がない。
In
したがって、汎用性の高い分析手法、例えばDL(ディープラーニング)などを使用してデータを分析するには、収集したデータを何らかの方法で分析可能な形式に変換する必要がある。 Therefore, in order to analyze data using a highly versatile analysis technique such as DL (Deep Learning), it is necessary to convert the collected data into a format that can be analyzed by some method.
また、複数のシステムから収集したデータの秘匿性についても特に言及がなく、例えば様々な異種システムから多くのデータを収集した場合に、収集したデータをどのようにセキュアに管理するかが課題となる。 In addition, there is no particular mention of the confidentiality of data collected from multiple systems. For example, when a large amount of data is collected from various heterogeneous systems, how to securely manage the collected data becomes an issue. .
以上のことから本発明においては、簡便な分析手法によりネットワークシステムのセキュリティに関する脆弱性を検出することができるセキュリティシステムとその符号化方式並びにネットワーク制御方式を提供することを目的とする。 In view of the above, an object of the present invention is to provide a security system capable of detecting vulnerabilities related to the security of a network system by a simple analysis method, an encoding method thereof, and a network control method.
以上のことから本発明は、「ネットワークシステムに適用されるセキュリティシステムであって、ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されており、セキュリティシステムは、ゾーン毎に情報機器の情報やネットワークの情報から成るゾーン情報を取得する情報取得部と、情報取得部により取得したゾーン情報をゾーン毎に符号化する符号化部と、符号化部により符号化されたゾーン情報に基づいて、当該ゾーン情報についての脆弱性情報を得、ゾーンのリスクを分析する分析部を備えることを特徴とするセキュリティシステム」のように構成したものである。 As described above, the present invention is “a security system applied to a network system, and the network system is divided into a plurality of zones including a plurality of information devices and a network. An information acquisition unit that acquires zone information including device information and network information, an encoding unit that encodes the zone information acquired by the information acquisition unit for each zone, and zone information encoded by the encoding unit Based on this, it is configured as “a security system characterized by including an analysis unit that obtains vulnerability information about the zone information and analyzes the risk of the zone”.
また本発明は、「セキュリティシステム内の符号化部において実施されるセキュリティシステムの符号化方式であって、ゾーン内に存在する情報機器やネットワークの構成情報を取得し、構成情報を符号化するために必要な設定条件として、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件を選択し、構成情報を符号化するための複数の符号化方式から、構成情報に適した符号化方式を選択し、構成情報を符号化することを特徴とするセキュリティシステムの符号化方式」のように構成したものである。 Further, the present invention is “a security system encoding method implemented in an encoding unit in a security system for acquiring configuration information of information devices and networks existing in a zone and encoding configuration information” As the necessary setting conditions, one or a plurality of setting conditions are selected from among the information disclosure range, the compression rate of information, the reversibility of information conversion, and the strength of information encryption, and a plurality of encoding conditions are encoded. The coding system is configured as “a coding system of a security system characterized in that a coding system suitable for configuration information is selected from the coding system and the configuration information is encoded”.
また本発明は、「セキュリティシステムにおけるネットワーク制御方式であって、ゾーンに脆弱性がある場合には、脆弱性を指摘されたゾーンおよび、脆弱性を指摘されたゾーンに隣接する隣接ゾーンの重要度についてのゾーン情報を取得し、ゾーン情報から、ゾーン間の接続部の切断や通信制限などを実施することを特徴とするセキュリティシステムにおけるネットワーク制御方式」のように構成したものである。 Further, the present invention is “a network control method in a security system, and when a zone has a vulnerability, the importance of the zone in which the vulnerability is pointed out and the adjacent zone adjacent to the zone in which the vulnerability is pointed out The network control method in the security system is characterized in that the zone information is acquired and the connection between the zones is disconnected or the communication is restricted from the zone information.
本発明によれば、簡便な分析手法によりネットワークシステムのセキュリティに関する脆弱性を検出することができる。 According to the present invention, it is possible to detect a vulnerability related to the security of a network system by a simple analysis method.
また本発明の実施例によれば、様々な機器やネットワークで構成されるIoTシステムや制御システムにおいて、ゾーンにより分割したシステム管理を実行する際に、システム構成情報から既存技術の分析手段を用いて、セキュリティに関する脆弱性を検出することができる。また、脆弱性の検出結果をもとに、ゾーン間の接続部を自動で制御し、セキュアなシステム運用を実現できる。 Further, according to the embodiment of the present invention, when performing system management divided by zone in an IoT system or control system constituted by various devices and networks, an analysis means of existing technology is used from system configuration information. , Security vulnerabilities can be detected. In addition, based on the vulnerability detection results, it is possible to automatically control the connection between zones and realize a secure system operation.
以下、実施例について図面を用いて説明する。 Hereinafter, embodiments will be described with reference to the drawings.
図1は本発明において想定するネットワークシステムの一例を示している。ここに示す全体ネットワークシステムNWSは、小ネットワークシステムNWS1、NWS2、NWS3の集合体であって、小ネットワークシステムNWS1、NWS2、NWS3は例えば、A会社の本店、支店、事業所などに形成されたネットワークシステムがネットワークNWで接続されたものである。ここでは小ネットワークシステムNWS1、NWS2、NWS3は、同一のネットワーク管理者であるA会社により管理されている。なおA会社は管理委託会社であってもよい。 FIG. 1 shows an example of a network system assumed in the present invention. The entire network system NWS shown here is an aggregate of small network systems NWS1, NWS2, and NWS3, and the small network systems NWS1, NWS2, and NWS3 are networks formed in, for example, the head office, branch office, and office of the A company. The system is connected by a network NW. Here, the small network systems NWS1, NWS2, and NWS3 are managed by a company A which is the same network administrator. Company A may be a management consignment company.
また小ネットワークシステムNWS1、NWS2、NWS3内には、夫々の事情に応じたネットワークが形成されており、ここではファクトリーオートメーション(FA)、プロセスオートメーション(PA)に使用されるDCS(distributed control system)やPLC(Programmable Logic Controller)などの制御装置、SCADA(Supervisory Control And Data Acquisition)などの制御システム、および、様々な情報機器がネットワークに接続されるIoT(Internet of Things)システムなどが適宜適用されている。 Further, in the small network systems NWS1, NWS2, and NWS3, networks according to the respective circumstances are formed. Here, DCS (distributed control system) used for factory automation (FA) and process automation (PA) Control devices such as PLC (Programmable Logic Controller), control systems such as SCADA (Supervision Control And Data Acquisition), and IoT (Internet of Things) systems where various information devices are connected to the network. .
本発明においては、小ネットワークシステムNWS1、NWS2、NWS3内を夫々ゾーンZに分割している。小ネットワークシステムNWS1についてゾーンZ10、Z11、Z12、Z13、Z14に分割し、NWS2についてゾーンZ20、Z21、Z22、Z23、Z24に分割し、NWS3についてゾーンZ30、Z31、Z32、Z33、Z34、Z35に分割している。 In the present invention, the small network systems NWS1, NWS2, and NWS3 are each divided into zones Z. The small network system NWS1 is divided into zones Z10, Z11, Z12, Z13, and Z14, the NWS2 is divided into zones Z20, Z21, Z22, Z23, and Z24, and the NWS3 is divided into zones Z30, Z31, Z32, Z33, Z34, and Z35. It is divided.
ゾーンZは、それぞれ複数の情報機器とネットワークで構成されており、後述するネットワーク構成(ツリー状、階層状、リング状、ハイブリッド状など)を形成している。なおゾーンZ内におけるネットワークは、有線接続、無線接続のいずれで構成されたものであってもよい。このようにゾーンZとは、IoTシステムや制御システム内において所定の機能を実現するために必要な情報機器やネットワークの組合せである。またここで、システム内において各情報機器やネットワークは、何れかまたは複数のゾーンZに属していても良く、ゾーンZ内の情報機器数やネットワーク接続関係には特に制約はない。 Each of the zones Z is composed of a plurality of information devices and networks, and forms a network configuration (a tree shape, a hierarchy shape, a ring shape, a hybrid shape, etc.) to be described later. The network in the zone Z may be configured by either wired connection or wireless connection. As described above, the zone Z is a combination of information devices and networks necessary for realizing a predetermined function in the IoT system and the control system. Here, each information device and network in the system may belong to one or a plurality of zones Z, and the number of information devices in the zone Z and the network connection relationship are not particularly limited.
小ネットワークシステムNWS1、NWS2、NWS3におけるゾーンZの設定の考え方は、適宜のものが採用可能である。位置的に建屋の階層に沿ったゾーン設定、プラントなどの制御機能単位でのゾーン設定、安全防護上のセキュリティレベルに沿ったゾーン設定などがある。 As the concept of setting the zone Z in the small network systems NWS1, NWS2, and NWS3, an appropriate one can be adopted. There are zone settings according to the building hierarchy, zone settings for each control function such as a plant, and zone settings according to the security level for safeguarding.
本発明では、係るネットワークシステムNWSを対象とし、その一部にセキュリティシステムSQを配置したものである。図2は、小ネットワークシステムNWS1とセキュリティシステムSQの具体構成例を示した図である。小ネットワークシステムNWS1は、ネットワークNWを介して、小ネットワークシステムNWS2、NWS3、及びキュリティシステムSQと接続されている。また各小ネットワークシステムNWS1、NWS2、NWS3内の各ゾーンZ(図2ではZ10、Z11.Z12)は、接続部11を介してネットワークNWに接続されている。なお小ネットワークシステムNWS2、NWS3も、その内部は小ネットワークシステムNWS1と同様に構成されている。
In the present invention, the network system NWS is targeted, and the security system SQ is arranged in a part thereof. FIG. 2 is a diagram showing a specific configuration example of the small network system NWS1 and the security system SQ. The small network system NWS1 is connected to the small network systems NWS2, NWS3, and the security system SQ via the network NW. Each zone Z (Z10, Z11.Z12 in FIG. 2) in each of the small network systems NWS1, NWS2, and NWS3 is connected to the network NW via the
小ネットワークシステムNWS1、NWS2、NWS3は、セキュリティシステムSQによりセキュリティ管理されているが、小ネットワークシステムNWS1、NWS2、NWS3自体は、ゾーン管理部8としての機能を有している。
Although the small network systems NWS1, NWS2, and NWS3 are security managed by the security system SQ, the small network systems NWS1, NWS2, and NWS3 themselves have a function as the
ゾーン管理部8は、一つ以上のゾーンZとネットワーク制御部10と一つ以上の接続部11とから構成されている。ゾーンZ間は接続部11によって互いに接続されており、ゾーン管理部8は、後述するセキュリティシステムSQ内の結果提示/実行部7からの指令に従い、ネットワーク制御部10によって接続部11におけるゾーンZ間の通信を管理する機能を有する。なお図2において、ネットワーク制御部10は、ネットワークNWとその制御機能を意味している。
The
小ネットワークシステムNWS1、NWS2、NWS3に共通に配置されたセキュリティシステムSQは、構成情報取得部1と、符号化部2と、符号化条件設定部3と、符号化方式選択部4と、分析部5と、脆弱性情報取得部6と、結果提示/実行部7とから構成されている。
The security system SQ arranged in common in the small network systems NWS1, NWS2, and NWS3 includes a configuration
セキュリティシステムSQにおいて構成情報取得部1は、分割されたゾーンZの単位ごとに形成されたシステム構成情報SZを、ゾーン管理部8から取得する機能を有する。システム構成情報SZとは、例えばIoTシステムや制御システムを構成する情報機器のハードウェア情報SZa、ソフトウェア情報SZb、ネットワーク情報SZc、ゾーンZの情報SZdなどである。
In the security system SQ, the configuration
情報機器のハードウェア情報SZaは例えば、情報機器のシリアル番号、製造番号、ネットワークのハードウェアアドレスなどの情報機器固有の情報、情報機器の製品名や一般名称、情報機器の種類情報、機種名やカテゴリを示す機種情報、情報機器のハードウェア仕様情報、ハードウェアの設定情報などである。 The information device hardware information SZa includes, for example, information device-specific information such as information device serial number, manufacturing number, network hardware address, information device product name and general name, information device type information, model name, This includes model information indicating a category, hardware specification information of information equipment, hardware setting information, and the like.
情報機器のソフトウェア情報SZbとは例えば、情報機器にインストールされているOS(オペレーティングシステム)、ミドルウェア、アプリケーション、ライブラリなどの名称や種別情報バージョン情報、ネットワークアドレス、これらのソフトウェアの設定情報などである。 The software information SZb of the information device is, for example, the name (OS), middleware, application, library, etc. installed in the information device, type information version information, network address, setting information of these software, and the like.
ネットワーク情報SZcとは、情報機器が接続されているネットワークの種類や名称、または、通信速度や通信帯域許容レイテンシなどネットワークの通信仕様に関する情報、または、ネットワークに接続している情報機器のアドレスのリスト、情報機器の接続状態、ネットワークの接続経路などである。 The network information SZc is the type and name of the network to which the information device is connected, information on the communication specifications of the network such as the communication speed and communication band allowable latency, or a list of addresses of the information devices connected to the network. Information device connection status, network connection route, and the like.
ゾーン情報SZdとは、例えばゾーンZの名称や固有の識別情報、接続部11を介して隣接するゾーンZの名称や識別情報、または、特定のゾーンZを構成する機器やネットワークのリスト、ゾーンZの重要度、ゾーンZに必要なセキュリティレベル、ゾーンZの分類や種別やカテゴリを示す情報、そのゾーンZがシステム内において満たすべき機能や役割に関する情報である。
The zone information SZd is, for example, the name or unique identification information of the zone Z, the name or identification information of the zone Z that is adjacent via the
このようにして、セキュリティシステムSQの構成情報取得部1には、分割されたゾーンZの単位ごとに形成されたシステム構成情報SZが取得される。図3は、セキュリティシステムSQの主要な各部において取り扱う情報の一例を模式的に示した図である。この図3において、構成情報取得部1には、取得したシステム構成情報SZの具体事例として、ゾーンZ10とZ11のシステム構成情報SZ10、SZ11を例示している。なお図3はシステム構成情報SZの一例を模式的に図示しており、本発明の理解を容易にするために例示したものであるので、システム構成情報SZそのものとしては他のものであってもよいことは言うまでもない。
In this way, the system configuration information SZ formed for each unit of the divided zone Z is acquired in the configuration
例えばゾーンZ10のシステム構成情報SZ10によれば、情報機器Aの下部に情報機器Cが2台配置され、かつ一方の情報機器Cの下部に情報機器Eが3台配置された階層構成のシステム構成を採用している。またゾーンZ11のシステム構成情報SZ11によれば、5台の情報機器SSがリング状に配置され、かつ情報機器SSのうちの3台の下部に情報機器Eが配置されたハイブリッド状構成のシステム構成を採用している。なおシステム構成情報SZ10、SZ11は、上記したハードウェア情報SZa、ソフトウェア情報SZb、ネットワーク情報SZc、ゾーンZの情報SZdの観点からの多くの情報を含んで構成されている。なお図3において、符号化方式は適宜符号化方式登録部20に登録保持される。
For example, according to the system configuration information SZ10 of the zone Z10, the system configuration has a hierarchical configuration in which two information devices C are arranged below the information device A and three information devices E are arranged below one information device C. Is adopted. Further, according to the system configuration information SZ11 of the zone Z11, a system configuration of a hybrid configuration in which five information devices SS are arranged in a ring shape and information devices E are arranged in the lower part of three of the information devices SS. Is adopted. The system configuration information SZ10 and SZ11 includes a lot of information from the viewpoint of the hardware information SZa, software information SZb, network information SZc, and zone Z information SZd. In FIG. 3, the encoding method is appropriately registered and held in the encoding
図2に戻り、符号化部2は、符号化条件設定部3の設定と符号化方式選択部4における符号化方式の選択結果に従い、システム構成情報SZを符号化する機能を有する。符号化部2の処理内容についての詳細な説明は後述し、ここでは図3を用いて符号化部2と符号化方式選択部4における処理例の概念を先行的に説明しておく。
Returning to FIG. 2, the
図3において、符号化方式選択部4には例えば符号化方式P1、P2、P3、P4の4パターンが準備されている。符号化方式P1はゾーンZ内の情報機器の接続状態として、ツリー状の接続関係を定義したものであり、符号化方式P2はゾーンZ内の情報機器の接続状態として階層構成状の接続関係を定義したものであり、符号化方式P3はゾーンZ内の情報機器の接続状態としてリング状の接続関係を定義したものであり、符号化方式P4はゾーンZ内の情報機器の接続状態としてハイブリッド状の接続関係を定義したものである。
In FIG. 3, for example, four patterns of encoding methods P1, P2, P3, and P4 are prepared in the encoding
符号化方式選択部4は、自動的にあるいは人為的に選択した符号化方式P1、P2、P3、P4を符号化部2に与える。例えば符号化部2が符号化方式P2を与えられた場合、階層構成状の接続関係を有するゾーンZとしてZ10を抽出し、そのシステム構成情報SZ10から符号化システム構成情報SZ10´を生成する。符号化部2が符号化した符号化システム構成情報SZ10´は、例えば「P2−A−CC−EEE」なる表現のコードであり、これによりゾーンZ10の構成はコードにより表現されたことになる。また同様に、例えば符号化部2が符号化方式P4を与えられた場合、ハイブリッド状の接続関係を有するゾーンZとしてZ11を抽出し、そのシステム構成情報SZ11から符号化システム構成情報SZ11´を生成する。符号化部2が符号化した符号化システム構成情報SZ11´は、例えば「P4−SS−SSS−EEE」なる表現のコードであり、これによりゾーンZ11の構成はコードにより表現されたことになる。
The encoding
再度図2に戻り、符号化条件設定部3は、符号化部2の処理に必要な制約条件Lを設定する機能を有する。ここで設定される制約条件Lは、大別するとシステム構成についての制約条件L1、公開範囲についての制約条件L2、圧縮率についての制約条件L3などである。
Returning to FIG. 2 again, the encoding
このうちシステム構成についての制約条件L1は、例えば上記した符号化方式Pを決定するうえでの各種の条件である。 Among these, the constraint condition L1 regarding the system configuration is various conditions for determining the encoding method P described above, for example.
公開範囲についての制約条件L2は、例えば、構成情報取得部1が取得したシステム構成情報SZの公開範囲を自組織内(例えばゾーンZ10のシステム構成情報SZ10について小ネットワークシステムNWS1内に限定)、自社内(例えばゾーンZ10のシステム構成情報SZについてネットワークシステムNWS内に限定)、関連企業内に限定するか、インターネット経由で外部公開可能かなどの公開範囲の設定を行ったものである。
The restriction condition L2 regarding the disclosure range is, for example, that the disclosure range of the system configuration information SZ acquired by the configuration
また圧縮率についての制約条件L3は、システム構成情報を符号化する際の情報の圧縮率や、一部の情報を省略または削除する際の情報量などを設定する。 Further, the constraint condition L3 regarding the compression rate sets a compression rate of information when the system configuration information is encoded, an information amount when omitting or deleting some information, and the like.
またこれら以外では、ハッシュ関数を利用するか否かなど情報の可逆性に関する設定を実行しても良い。さらに、情報を暗号化する場合には暗号化の強度や使用する暗号化方式などを設定しても良い。前述の設定のうち何れかまたは複数を設定しても良い。詳細は後述する。 In addition to these, settings relating to the reversibility of information, such as whether to use a hash function, may be executed. Furthermore, when encrypting information, the strength of encryption and the encryption method to be used may be set. One or more of the above settings may be set. Details will be described later.
分析部5では、一方において符号化方式選択部4が選択した符号化方式Pを有するゾーンZの符号化システム構成情報SZ´を符号化部2から入力する。また他方において、選択した符号化方式Pを有するゾーンZと同じシステム構成を探索し、探索した同一システム構成における脆弱性情報を脆弱性情報取得部6から入手する。この探索に当たり、ネットワークシステムNWS内外のどこまでの領域を探索すべきか、その範囲を定めたのが先述した公開範囲についての制約条件L2である。
In the
結果提示/実行部7は、分析部5の分析結果を提示する機能、または、分析結果にもとづきゾーン管理部8に対してゾーンZ間のネットワーク制御を実行する機能を有する。
The result presentation /
ゾーン管理部8はネットワーク制御部10と接続部11とゾーンZから構成されており、各ゾーンZは前述の通り、一つ以上の機器やネットワークから構成される。ネットワーク制御部10は結果提示/実行部7からの指示に従い接続部11におけるゾーンZ間のネットワーク接続を制御する機能を有する。ネットワーク接続の制御とは例えば、ネットワークの切断や接続、接続部11を通過するデータのフィルタリングや通信容量制限などである。
The
以下、本発明の実施例1に係るセキュリティシステムSQの各部の詳細動作について説明する。 The detailed operation of each part of the security system SQ according to the first embodiment of the present invention will be described below.
図4は実施例1における符号化部2の処理フローである。符号化部2の処理は、ゾーンZの単位ごとに実行される。
FIG. 4 is a processing flow of the
まず処理ステップS201では、符号化部2は構成情報取得部1より、新たなシステム構成情報SZを取得したか否かを判定する。ここで、構成情報取得部1は、既に取得済みのシステム構成情報SZがあれば、その情報から変更がある場合にのみゾーン管理部8から通知などを受けて取得しても良い。または、定期的にシステム構成情報SZに変更がないかを監視するなどの方法で、ゾーン管理部8が管理するシステム内のゾーンZについてのシステム構成情報SZを取得しても良い。
First, in processing step S201, the
システム構成情報SZに変更がある場合、処理ステップS202では、符号化条件の設定が必要か否かを判定し、新たに符号化の実行が必要な場合には、処理ステップS203に移り、符号化条件設定部3より新たな符号化条件を取得する。また設定の変更が必要ない、または、符号化条件設定部3からの設定を取得できなかった場合には、処理ステップS204に移り、既定の条件設定を使用しても良い。
If there is a change in the system configuration information SZ, it is determined in the processing step S202 whether or not an encoding condition needs to be set. If it is necessary to newly execute the encoding, the process proceeds to the processing step S203, where the encoding is performed. A new encoding condition is acquired from the
次に処理ステップS205では、符号化条件設定部3により設定された符号化条件に適合する符号化方式が符号化方式選択部4において選択されているかを照合する。例えば、符号化方式に必要な条件が設定されているかを検証する。符号化条件設定に適合した符号化方式が選択された場合には、処理ステップS206において符号化を実行する。
Next, in processing step S <b> 205, it is checked whether or not the encoding scheme that matches the encoding condition set by the encoding
処理ステップS207では、符号化が正常に完了したかどうかを判定し、正常に完了した場合には、処理ステップS208において符号化したシステム構成情報を分析部5へ送信する。処理ステップS208での処理において符号化が正常に完了していないとされた場合、もしくは処理ステップS205での処理において、符号化条件の設定と符号化方式の選択が合致しなかった場合には、処理ステップS209において符号化条件設定もしくは符号化方式の選択を見直すか否かを選択する。
In processing step S207, it is determined whether or not the encoding has been normally completed. If the encoding has been normally completed, the system configuration information encoded in the processing step S208 is transmitted to the
符号化条件設定および符号化方式の選択を見直さない場合には、処理ステップS210に移り、エラー通知等を実施し処理を終了する。設定や選択を見直す場合には、再び処理ステップS202に移動してその処理を実行し、新たな符号化条件の設定、もしくは符号化方式の選択を実施する。ここで、所定の回数処理ステップS202から処理207までの処理を繰り返しても符号化が正常に完了しない場合には、自動的に処理ステップS210へ移行しても良い。
When the encoding condition setting and the selection of the encoding method are not reviewed, the process proceeds to processing step S210, error notification or the like is performed, and the process is terminated. When reviewing the setting and selection, the process moves again to step S202 to execute the process, and setting of a new encoding condition or selection of an encoding method is performed. Here, if the encoding is not normally completed even if the processes from the process step S202 to the
図5は実施例1における分析部5の処理フローである。分析部5ではまず処理ステップS301において、符号化方式選択部4より新たな符号化方式Pの選択や変更の通知があるか否かを判定する。新たな符号化方式Pの選択がない場合には処理ステップS302に移り、既定の分析手段を選択する。
FIG. 5 is a processing flow of the
新たな符号化方式Pの選択がある場合、処理ステップS303において符号化方式Pに対応した分析手段があるか否かを判定し、対応する分析手段がある場合には、処理ステップS304において脆弱性情報取得部6よりセキュリティ脆弱性に関する情報を取得できるかどうかを判定する。なお符号化方式Pに対応した分析手段があるか否かの判断は、例えば対応するシステム構成を有する他のゾーンが存在するか否かを判定することである。
When there is a selection of a new encoding method P, it is determined whether or not there is an analysis unit corresponding to the encoding method P in processing step S303. If there is a corresponding analysis unit, the vulnerability is determined in processing step S304. It is determined whether or not information related to the security vulnerability can be acquired from the
ここで脆弱性に関する情報とは、例えば一般公開されているNational Vulnerability Database(NVD)、Japan Vulnerability Notes (JVN)、Open Source Vulnerability Database (OSVDB)などの弱性情報データベースや、SCAP(Security Content Automation Protocol)やSTIX(Structured Threat Information eXpression)などの標準プロトコル、標準書式で記述されたセキュリティ脆弱性に係わる情報である。 Here, the information on the vulnerability is, for example, vulnerability information to cert such as National Vulnerability Database (NVD), Japan Vulnerability Notes (JVN), Open Source Vulnerability Database (OSVDB) ) And STIX (Structured Threat Information Expression) and other information related to security vulnerabilities described in a standard format.
ここで処理ステップS304の判断により特定の脆弱性情報が取得されない場合には、処理ステップS305に移り、既定の脆弱性情報を選択しても良い。処理ステップS304の判断により脆弱性情報が必要な場合には、処理ステップS306に移り、選択された分析手段に対応しているか否かを検証する。脆弱性情報が分析手段に対応している場合には処理ステップS307において分析を開始し、処理ステップS308において分析が正常に完了したか否かを判定する。分析が正常に完了した場合には処理ステップS309において分析結果を結果提示/実行部7へ伝達し処理を終了する。
Here, when the specific vulnerability information is not acquired by the determination in the processing step S304, the processing proceeds to the processing step S305, and the default vulnerability information may be selected. If the vulnerability information is necessary according to the determination in the processing step S304, the process proceeds to the processing step S306, and it is verified whether or not the selected analysis means is supported. If the vulnerability information corresponds to the analysis means, the analysis is started in processing step S307, and it is determined in processing step S308 whether the analysis has been normally completed. If the analysis is normally completed, the analysis result is transmitted to the result presentation /
なおここで、分析手段とは例えば、確立や統計的な手段を用いた数値および数理解析、DL(Deep Learning)や強化学習に代表される機械学習など、特定の数値や符号入力に対して何らかの学習や分析結果を出力できる分析手段であればどのような手段でも良い。既存の汎用的な分析技術を使えることが本発明の特徴であるため、分析の具体的な手段については本発明の対象外とする。また、脆弱性情報は前記機械学習の場合には教師データとして使用しても良いし、強化学習のように教師データを必要としない分析手段であれば、脆弱性情報は必ずしも必要としない。 Here, the analysis means is, for example, a numerical value or mathematical analysis using establishment or statistical means, machine learning represented by DL (Deep Learning) or reinforcement learning, etc. Any analysis means that can output learning and analysis results may be used. Since it is a feature of the present invention that an existing general-purpose analysis technique can be used, specific means for analysis are excluded from the scope of the present invention. Further, vulnerability information may be used as teacher data in the case of the machine learning, and vulnerability information is not necessarily required if it is an analysis means that does not require teacher data such as reinforcement learning.
一方、処理ステップS303において対応した分析手段がない、処理ステップS306において分析手段に対応する脆弱性情報がない、処理ステップS308において分析が正常に完了しなかった場合には、処理ステップS310において符号化方式の選択、分析手段の選択、脆弱性情報の選択を見直すか否かを判定する。何れかもしくは複数の選択を見直す場合には処理ステップS301より再度処理フローを実行する。選択等を見直さない場合には、処理ステップS305においてエラー通知などを実行し処理を完了しても良い。ここで、選択を見直すか否かは予め条件を設定しておいても良い。例えば、所定の回数まで処理ステップS301から処理ステップS308までの処理を試行し、一定回数を超えて正常に処理が完了しなかった場合には選択を見直さずエラー通知を行う事などが有効である。 On the other hand, if there is no corresponding analysis means in processing step S303, there is no vulnerability information corresponding to the analysis means in processing step S306, and analysis is not completed normally in processing step S308, the encoding is performed in processing step S310. It is determined whether the selection of the method, the analysis means, and the vulnerability information are reviewed. When reviewing one or a plurality of selections, the processing flow is executed again from processing step S301. If the selection or the like is not reviewed, an error notification or the like may be executed in processing step S305 to complete the processing. Here, whether or not to review the selection may be set in advance. For example, it is effective to perform processing from processing step S301 to processing step S308 up to a predetermined number of times, and to notify an error without reexamining the selection when the processing is not completed normally after a certain number of times. .
図6は実施例1における結果提示/実行部7の処理フローである。結果提示/実行部7においては、まず処理ステップS401において分析部5からシステム内の何れかのゾーンZ内にセキュリティに関する脆弱性ありとの分析結果が出ているか否かを判定する。
FIG. 6 is a processing flow of the result presentation /
脆弱性ありと判定された場合には、処理ステップS402において例えば脆弱性のあるゾーンZの重要度を取得し判定する。また処理ステップS402における判定結果に関わらず、引き続き処理ステップS403、処理ステップS405、処理ステップS407において、隣接ゾーンZの重要度を判断する。なお、ここでは、説明を簡潔にするため重要度を「高」、「中」、「低」の3段階としているが重要度の指標については特に制限は無く多段階もしくはその他の数値表現で示されていても良い。 If it is determined that there is a vulnerability, for example, the importance level of the vulnerable zone Z is acquired and determined in processing step S402. Regardless of the determination result in processing step S402, the importance of the adjacent zone Z is determined in processing step S403, processing step S405, and processing step S407. Here, for the sake of brevity, the level of importance is set to “high”, “medium”, and “low”, but there are no particular restrictions on the level of importance, and multiple levels or other numerical expressions are used. May be.
対象ゾーンの重要度と、隣接ゾーンの重要度をそれぞれ「高」、「中」、「低」の3段階に区分した結果として行う処理が処理ステップS404、処理ステップS406、処理ステップS408、処理ステップS409のいずれかである。 The processing performed as a result of dividing the importance of the target zone and the importance of the adjacent zone into three stages of “high”, “medium”, and “low” is processing step S404, processing step S406, processing step S408, and processing step. One of S409.
図7は、図6の重要度判断の組み合わせをマトリクス状にして、結果として行う処理を整理したものである。これによれば対象ゾーンの重要度判断が「高」であり、かつ隣接ゾーンの重要度判断が「高」であるときの組み合わせを「高高」と表記するものとすると、このときには、処理ステップS404において対象ゾーンZに繋がるすべての接続部11を切断する。なお以下の説明において、組み合わせの表記は上記の「高高」に準じて行うものとする。
FIG. 7 is an arrangement of the processing performed as a result of the combinations of importance determinations of FIG. 6 being arranged in a matrix. According to this, assuming that the combination when the importance determination of the target zone is “high” and the importance determination of the adjacent zone is “high” is expressed as “high”, in this case, the processing step In S404, all the connecting
対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「高中」あるいは「中高」であるときは、処理ステップS406において例えば特定の接続部11のみを切断する。
When the combination of importance determination of the target zone and the adjacent zone is “high / medium” or “medium / high”, for example, only the
対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「高低」、「中中」、「低高」、「低中」のいずれかであるときは、処理ステップS408において接続部11のデータ送受信を制限する。
When the combination of the importance determination of the target zone and the adjacent zone is “high / low”, “medium / medium”, “low / high”, or “low / medium”, the data transmission / reception of the
対象ゾーンと隣接ゾーンの重要度判断の組み合わせが「中低」あるいは「低低」であるときは、処理ステップS409において、実行結果の提示のみを行う。 When the combination of the importance level judgment of the target zone and the adjacent zone is “medium low” or “low low”, only the execution result is presented in the processing step S409.
以上の処理において、処理ステップS408のデータ送受信の制限とは、例えばデータの伝送容量を一定量以下に制限するなどの規制を掛ける、データのペイロードの監視やフィルタリングなどの照合処理を強化する、データの伝送方向をどちらか片方向のみに制限するなどの方法がある。 In the above processing, the restriction on data transmission / reception in the processing step S408 means that the data transmission capacity is restricted to a certain amount or less, for example, the data payload monitoring or filtering collation processing is strengthened. There are methods such as restricting the transmission direction of one of them to only one direction.
接続部11のネットワーク切断やデータ送受信は実際には、ネットワーク制御部10が実行する。ネットワーク制御部10は例えば、ネットワークルータ、スイッチ、ファイヤウォール、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、UTM (Unified Threat Management)などである。
The
また処理ステップS409における結果の通知においては、例えば処理ステップS401において、脆弱性ありと判定された場合でも、ゾーンZ間の接続は変更しないという判定および処理結果を提示しても良い。また、全て何れかもしくは何れかの接続部11を切断した場合には、切断した接続部11の情報などを通知しても良い。接続部のデータ送受信を制限した場合には、その制限内容などを通知しても良い。
In the notification of the result in the processing step S409, for example, even if it is determined that there is a vulnerability in the processing step S401, the determination that the connection between the zones Z is not changed and the processing result may be presented. In addition, when all or any of the
なお図6に示す処理フローにおいて、対象ゾーンZと隣接ゾーンZの重要度の組合せによる処理方法は、あくまで一例であり、対象とするシステムの要件に応じて、変更しても良い。例えば、システムの特定のゾーンに脆弱性が発見されたとしても、システムの稼動を継続しなければならないシステムであれば、本フローにおける処理において重要度「高」と重要度「低」と判定された場合の処理を入れ替えても良い。 In the processing flow shown in FIG. 6, the processing method based on the combination of the importance levels of the target zone Z and the adjacent zone Z is merely an example, and may be changed according to the requirements of the target system. For example, even if a vulnerability is discovered in a specific zone of the system, if the system must continue to operate, the processing in this flow is judged as high importance and low importance. You may replace the process in the case of.
すなわち、対象ゾーンZの重要度が「低」かつ、隣接ゾーンZの重要度も「低」と判定された場合には、全ての接続部11を切断する。逆に、対象ゾーンZの重要度と隣接ゾーンZの重要度が共に「高」と判定された場合には接続部11への制御は何も実行せずにシステムの運用を継続しても良い。また、重要度が本例のように3段階でない場合には、対象ゾーンZと隣接ゾーンZの重要度の高低を比較し、その結果に応じて処理を変更しても良いし、所定の数式等による計算結果を活用しても良い。
That is, when the importance level of the target zone Z is determined to be “low” and the importance level of the adjacent zone Z is also determined to be “low”, all the
さらに、本例では隣接ゾーンZの重要度のみを、接続部11の制御を実行するための指標としているが、その他、ゾーンZのセキュリティレベルや機能などゾーンに関する他の情報や指標、およびそれらの情報や指標を組み合わせることで処理内容を決定しても良い。
Furthermore, in this example, only the importance level of the adjacent zone Z is used as an index for executing the control of the
以上のように、実施例1によれば、様々な機器やネットワークで構成されるIoTシステムや制御システムにおいて、ゾーンZにより分割したシステム管理を実行する際に、システム構成情報から既存技術の分析手段を用いて、セキュリティに関する脆弱性を検出することができる。また、脆弱性の検出結果をもとに、ゾーン間の接続部を自動で制御し、セキュアなシステム運用を実現できる。 As described above, according to the first embodiment, when performing system management divided by the zone Z in the IoT system or control system configured by various devices and networks, the analysis means of the existing technology from the system configuration information Can be used to detect security vulnerabilities. In addition, based on the vulnerability detection results, it is possible to automatically control the connection between zones and realize a secure system operation.
図3について、実施例1ではセキュリティシステムSQの主要な各部において取り扱う情報の一例を模式的に示す目的で利用したが、実施例2では図3を用いてセキュリティシステムSQの主要な各部における具体的な処理内容について説明する。 3 is used for the purpose of schematically showing an example of information handled in each main part of the security system SQ in the first embodiment, but in the second embodiment, specific information in each main part of the security system SQ is shown in FIG. The details of the processing will be described.
図3は、本発明の実施例2のセキュリティシステムSQにおける符号化方式選択部4と、構成情報取得部1と、符号化部、2と符号化方式登録部20に関する構成図である。
FIG. 3 is a configuration diagram relating to the encoding
なおここでは、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1と同様のため省略する。実施例2の構成情報取得部1は、実施例1における構成情報取得部1の機能に加えて、取得したシステム構成情報を符号化方式選択部4に伝達する機能を有していても良い。
Here, the functions of the
図3において、符号化方式選択部4は実施例1における符号化方式選択部4の機能に加えて、構成情報取得部1から、システム構成情報を受け取る機能と、後述の符号化方式登録部20から1つ以上の符号化方式Pを新たに取得する、または、既に登録されている符号化方式Pを削除もしくは更新する機能を有する。また、符号化方式選択部4は符号化部2が使用する符号化方式Pを構成情報取得部1より取得したシステム構成情報に従って自身で選択する機能、もしくは、外部入力インタフェース等からシステムのユーザが符号化方式を選択する機能を有する。
3, in addition to the function of the encoding
符号化部2は実施例1における符号化部2の機能に加えて、符号化を正常に完了できなかった場合には、符号化方式選択部4に対して符号化方式Pの再選択を要求する機能を有していても良い。符号化部2の具体的な処理に関する詳細は後述する。
In addition to the function of the
符号化方式登録部20は後述の符号化方式Pを、符号化方式選択部24に新たに登録、削除、更新する機能を有する。
The encoding
図8は本発明の実施例2における構成情報取得部1、符号化方式選択部4、符号化部2、符号化方式登録部20に係わる処理シーケンスを示す図である。この図により、各部間の時系列的なやり取りを説明する。
FIG. 8 is a diagram illustrating a processing sequence related to the configuration
最初に、符号化方式登録部20は符号化方式選択部4が選択対象とする符号化方式Pを作成し(処理ステップS601)、符号化方式選択部4に送信する(処理ステップS602)。
First, the coding
符号化方式選択部4は、符号化方式登録部20から送信されてきた符号化方式Pを登録または、既に登録されている符号化方式Pを削除もしくは更新する(処理ステップS603)。例えば、図3に示す符号化方式P1、P2、P3、P4のように、システムの構成図と各システムの機器に対応した符号のパターンを登録する。
The encoding
構成情報取得部1は構成情報SZを取得し(処理ステップS604)、符号化方式登録部20、符号化方式選択部4および符号化部2へそれぞれシステム構成情報SZを送信する(処理ステップS605、S607、S608)。
The configuration
次に、符号化方式選択部4は構成情報取得部1から取得したシステム構成情報SZと符号化方式Pを照合し(処理ステップS609)、最も近似した構成を有する符号化方式Pを選択する(処理ステップS613)。例えば、図3に示すシステム構成情報SZ10であれば、符号化方式選択部4から最も形態が近い符号化方式P2を選択する。同様に、システム構成情報SZ11であれば、符号化方式選択部4から最も形態が近い符号化方式P4を選択する。
Next, the encoding
ここで、適切な符号化方式Pが登録されていない場合には、符号化方式登録部20に通知し、新たな符号化方式Pの登録を要求しても良い(処理ステップS610)。符号化方式登録部20は符号化方式Pの要求を受信した場合には、新たに適切な符号化方式Pを作成し(処理ステップS611)、符号化方式選択部4に送信する(処理ステップS612)。符号化方式Pの作成は外部入力インタフェースなどからユーザが手動で作成しても良いし、符号化方式登録部20が、構成情報取得部1からシステム構成情報SZを受信し自動で作成しても良い。
Here, if an appropriate encoding scheme P is not registered, the encoding
符号化方式登録部20は符号化方式選択部4に新たに生成もしくは取得した符号化方式Pを送付する(処理ステップS614)。符号化部2は符号化方式選択部4から受信した符号化方式Pに従って、システム構成情報SZを符号化する。
The encoding
例えば、図3に示すシステム構成情報SZ10において、符号化方式P2が選択された場合には、システム構成情報SZ10に含まれる機器情報を所定の符号に変換する。符号化方式P2を選択したことを示す「P2」に続いて、ネットワークの構成の上位層側からそれぞれ機器情報を示す符号「A」「C、C」「E、E、E」を列挙して、「P2−A−CC−EEE」を符号化されたシステム構成情報SZ10´として生成する。 For example, in the system configuration information SZ10 shown in FIG. 3, when the encoding method P2 is selected, the device information included in the system configuration information SZ10 is converted into a predetermined code. Following “P2” indicating that the encoding method P2 has been selected, codes “A”, “C, C”, “E, E, E” indicating device information are listed from the upper layer side of the network configuration. , “P2-A-CC-EEE” is generated as encoded system configuration information SZ10 ′.
同様に、システム構成情報SZ11において符号化方式P4が選択された場合には、符号化方式P4が選択されたことを示す「P4」に続いて、ネットワーク構成の上位層側からそれぞれ機器情報を示す符号「S、S」「S、S、S」「E」「E」「E」を列挙して、「P4−SS−SSS−EEE」を符号化されたシステム構成情報SZ11´として生成する。 Similarly, when the encoding method P4 is selected in the system configuration information SZ11, the device information is indicated from the upper layer side of the network configuration following “P4” indicating that the encoding method P4 is selected. The codes “S, S”, “S, S, S”, “E”, “E”, and “E” are listed, and “P4-SS-SSS-EEE” is generated as the encoded system configuration information SZ11 ′.
なお、図3で示す符号化方式選択部4の符号化方式Pや符号化されたシステム構成情報SZ´はあくまで一例であり、他のデータ形式、符号化方式、記号などを活用した方法であっても良い。
Note that the encoding method P and the encoded system configuration information SZ ′ of the encoding
また、図9に示す符号化方式選択部4の構成例のように、符号化方式選択部4は、例えばシステムのネットワーク階層毎に符号化方式選択部4−1〜符号化方式選択部4−Nのように、分割して構成されていても良い。符号化方式組合せ部27によって、システムのネットワーク階層ごとの符号化方式Pを選択し組合せることによって新たな符号化方式Pを作成しても良い。
Further, as in the configuration example of the encoding
図8に戻り、処理ステップS615において、符号化部2は正常に符号化を完了した場合には、分析部5に符号化したシステム構成情報を送信し処理を終了する。正常に符号化が完了しなかった場合には、符号化方式選択部4に符号化方式の再選択を要求しても良い(処理ステップS617)。
Returning to FIG. 8, in the processing step S615, when the
符号化方式選択部4は、符号化部2から符号化方式Pの再選択を要求された場合には、例えば処理ステップS611〜処理ステップS613の処理を再度実行し、符号化方式を再選択する(処理ステップS618)。その後、再び符号化方式Pを符号化部2に送信しても良い(処理ステップS619)。符号化部2は再度符号化を実行する(処理ステップS620)。符号化が正常に完了するまで処理ステップS601〜処理ステップS618の一連の処理の何れかを繰り返しても良いし、一定回数繰り返した後にエラー情報などを通知して処理を終了しても良い。
When the
以上のように、実施例2によれば、様々な情報機器やネットワークで構成されるIoTシステムや制御システムにおいて、複雑なシステム構成情報を、単純な数値情報もしくは文字列情報として符号化することにより、数値情報を入力とする様々な既存の分析手段を活用することが可能となる。 As described above, according to the second embodiment, by encoding complex system configuration information as simple numerical information or character string information in an IoT system or control system including various information devices and networks. It is possible to utilize various existing analysis means that input numerical information.
図10は、実施例3におけるセキュリティシステムSQの構成例を示す図であり、特に符号化方式選択部4と構成情報取得部1と符号化部2に関する構成例の図である。なお実施例3のセキュリティシステムSQでは、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1もしくは実施例2と同様のため省略する。
FIG. 10 is a diagram illustrating a configuration example of the security system SQ according to the third embodiment. In particular, FIG. In the security system SQ of the third embodiment, the functions of the
図10においても、実施例1もしくは実施例2と同様の処理フローに従って、構成情報取得部1が取得したシステム構成情報SZと符号化方式選択部4が選択した符号化方式Pにより、符号化部2はシステム構成情報SZを符号化して符号化システム構成情報SZ´を生成する。
Also in FIG. 10, according to the processing flow similar to that of the first embodiment or the second embodiment, the encoding unit is obtained by the system configuration information SZ acquired by the configuration
なお図3の説明では、符号化方式Pとして情報機器とネットワークによるネットワーク構成(ツリー状、階層状、リング状、ハイブリッド状など)を用いるもののみを例示したが、図10では情報機器の機種の観点からの符号化方式Pa、情報機器が採用しているOSの観点からの符号化方式Pb、情報機器が採用しているアプリの観点からの符号化方式Pcなど、複数種別の符号化方式Pについて、実施する例を示している。従って、符号化部2は、情報機器の機種の観点からの符号化システム構成情報SZa´、情報機器が採用しているOSの観点からの符号化システム構成情報SZb´、情報機器が採用しているアプリの観点からの符号化システム構成情報SZc´を与えることになる。
In the description of FIG. 3, only the configuration using the network configuration (tree shape, hierarchical shape, ring shape, hybrid shape, etc.) by the information device and the network is illustrated as the encoding method P. However, in FIG. A plurality of types of encoding methods P, such as an encoding method Pa from the viewpoint, an encoding method Pb from the viewpoint of the OS adopted by the information device, and an encoding method Pc from the viewpoint of the application adopted by the information device. The example which implements is shown. Therefore, the
また以下の説明においては、図10の符号化部2に例示した情報機器構成を前提として説明する。前提とした情報機器構成によれば、符号化方式として、格子またはメッシュ上にN段のネットワーク38と各M個の情報機器37の構成リストが定義されている。例えば、ネットワーク38(1)上には、情報機器37(11)、情報機器37(12)から情報機器37(1M)まで、ネットワーク38(1)に接続し得る全情報機器37のリストと該当する情報機器37の符号情報を保持する。
Further, in the following description, the description will be made on the assumption that the information device configuration illustrated in the
同様に、ネットワーク38(2)に接続し得る全情報機器37のリスト情報が、情報機器37(21)、情報機器37(22)、から情報機器37(2M)まで情報が登録されている。以降、システム内に存在し得るネットワーク38(N)まで同様に、各ネットワークに接続し得る情報機器37(NM)に関する符号情報が登録されている。
Similarly, the list information of all
ここでは説明を簡単にするために、各情報機器37は直近の上位または下位側のネットワークのみに接続されていることとしているが、階層を跨いで接続されていても良い。また、情報機器情報としては、実施例1と同様に、例えば情報機器37の種別や、情報機器37にインストールされているOSやアプリケーションの種別、バージョン情報などがある。ここでは、情報機器37の種別(機種)を例として、符号化部2の処理を説明する。
Here, in order to simplify the explanation, each
図11に実施例3における符号化部2の処理フローを示す。なお、図10の符号化部2は符号化方式選択部4より、符号化方式Paを取得しているものとする。
FIG. 11 shows a processing flow of the
符号化部2は、符号化方式選択部4により選択された符号化方式Paと、構成情報取得部1から取得したシステム構成情報SZについて以下の処理フローを実施する。
The
はじめに、システム構成情報SZの最上位のネットワーク38(1)の情報機器37と、符号化方式Paのネットワーク38(1)にマッピングされている情報機器37が合致するか否かを照合する(処理ステップS901)。
First, it is verified whether or not the
合致する場合には該当情報機器37の符号情報として、例えば「(11)」を取得する(処理ステップS902)。次に同一のネットワーク38(1)上で全情報機器37の情報を順番に照合し、合致する情報機器37が他にもあれば順次該当情報機器37の情報を取得する。すなわち、全情報機器37の照合が完了したか否かを判定し(処理ステップS903)、完了するまでは次の情報機器情報に対象を変更して(処理ステップS904)、処理ステップS901および処理ステップS902を繰り返し実行する。例えば、ネットワーク38(1)上では、情報機器37(11)の他に情報機器37(12)乃至37(1M)が該当する。
If they match, for example, “(11)” is acquired as the code information of the corresponding information device 37 (processing step S902). Next, the information of all the
次に、ネットワーク38を変更して同様の処理(処理ステップS901〜処理ステップS904)を繰り返し実行する。例えば、ネットワーク38(2)では、情報機器37(22)、情報機器37(2M)が接続されているためこれらの情報機器37の符号情報「22」乃至「2M」を取得する。
Next, the
以降同様に、システム構成情報SZに含まれる全てのネットワーク38に対して情報機器37の照合処理を繰り返す。また、一つの符号化方式例えばPaに対して符号化の処理が全て完了した場合には、次に他の符号化方式例えばPbに対して、同様の処理を繰り返しても良い(処理ステップS907、処理ステップS908)。最後に全ての符号化処理が正常に完了したか否かを判定し(処理ステップS909)、正常に完了した場合には処理を終了する。
Thereafter, similarly, the verification process of the
一方、正常に符号化を実行できなかった場合にはエラー処理を実施しても良い(処理ステップS910)。例えば、実施例2と同様に、符号化方式選択部4に対して、符号化方式の再送付を要求し、再度新たな符号化方式Pを用いて処理ステップS901から処理を実行しても良い。
On the other hand, if encoding cannot be performed normally, error processing may be performed (processing step S910). For example, as in the second embodiment, the encoding
ここで、符号化のための方式として、図12aに示すように、システム構成を複数のゾーンZ毎に分割して、それぞれのゾーンZ毎に符号化を実施しても良い。また、図12bに示すように、複数のシステム構成を繋ぎ合わせて、纏めて符号化を実施しても良い。このように、ネットワーク構成の形状や区分は様々な形態を取っても良い。 Here, as a system for encoding, as shown in FIG. 12A, the system configuration may be divided into a plurality of zones Z, and encoding may be performed for each zone Z. Also, as shown in FIG. 12b, a plurality of system configurations may be connected and encoded together. As described above, the shape and division of the network configuration may take various forms.
以上のように、実施例3によれば、様々な情報機器やネットワークで構成されるIoTシステムや制御システムにおいて、複雑なシステム構成情報を、単純な数値情報もしくは文字列情報として符号化することにより、数値情報を入力とする様々な既存の分析手段を活用することが可能となる。 As described above, according to the third embodiment, by encoding complex system configuration information as simple numerical information or character string information in an IoT system or control system configured with various information devices and networks. It is possible to utilize various existing analysis means that input numerical information.
図13は、本発明の実施例4におけるセキュリティシステムであり、特に符号化方式選択部4と構成情報取得部1と符号化部2に関する構成例の図である。なお実施例4のセキュリティシステムにおいて、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については第1実施形態もしくは実施例2と同様のため省略する。
FIG. 13 is a security system according to the fourth embodiment of the present invention, and is a diagram of a configuration example related to the encoding
実施例1もしくは実施例2と同様の処理フローに従って、構成情報取得部1が取得したシステム構成情報SZと符号化方式選択部4が選択した符号化方式Pにより、符号化部2はシステム構成情報を符号化する。
According to the same processing flow as in the first embodiment or the second embodiment, the
なお図13では、システム構成情報SZは、構成情報取得部1に例示した情報機器37とネットワーク38により構成されているものとし、さらに符号化方式選択部4における符号化方式Pは、図10における情報機器の機種について色相の観点からの符号化方式Pa、情報機器が採用しているOSについて彩度の観点からの符号化方式Pb、情報機器が採用しているアプリについて明度の観点からの符号化方式Pcを行うものとしている。
In FIG. 13, the system configuration information SZ is assumed to be configured by the
符号化部2における符号化においては、メッシュ状配置43に示すようにまず構成情報取得部1に例示した情報機器37とネットワーク38の配置位置に着目し、全領域をメッシュで区分し、かつ情報機器37を例えば4メッシュで表現している。
In the encoding in the
そのうえで、個々の情報機器37の4メッシュには、例えば左上のメッシュを情報機器の機種の情報、左下のメッシュを情報機器が採用しているアプリの情報、右上のメッシュを情報機器が採用しているOSの情報、右下のメッシュをその他の情報で制御する符号化を実行する。つまり、個々の情報機器37の4メッシュについて、例えば左上のメッシュに色相の情報、左下のメッシュに彩度の情報、右上のメッシュに明度の情報による符号化を実行する。符号化後を示すメッシュ状符号化状態46によれば、符号化後の状態がメッシュごとに表現されることになる。
In addition, for the 4 meshes of each
図14に実施例4における符号化部42の処理フローを示す。
FIG. 14 shows a processing flow of the
図14の処理フローではまず、システム構成情報取得部1で取得したシステム構成情報SZについて、その座標系と符号化方式選択部4において選択した符号化方式Pの座標系が一致しているか否かを照合する(処理ステップS1201)。
In the processing flow of FIG. 14, first, regarding the system configuration information SZ acquired by the system configuration
例えば、図13に示すように、システム構成情報SZの情報機器37やネットワーク38の位置関係を符号化部2において座標(メッシュ)上にマッピングできるか否かを判定する。座標系が一致していない場合にはエラー処理を実行し処理を終了する(処理ステップS1208)。エラー処理とは例えば、構成情報取得部1に対して新しいシステム構成情報5の取得を要求する、または、符号化方式選択部4に再度別の符号化方式Pを要求する処理などである。
For example, as shown in FIG. 13, it is determined whether or not the
座標系が一致する場合には、システム構成情報SZの中の情報機器情報に、対応する色情報があるか否かを判定する(処理ステップS1202)。例えば、情報機器37の種別(機種)を特定の色相に割り当てる。色相以外に、彩度または明度、もしくはそれらを統合した色情報として利用しても良い。
If the coordinate systems match, it is determined whether the information device information in the system configuration information SZ has corresponding color information (processing step S1202). For example, the type (model) of the
情報機器情報に対応する色情報がある場合には一致する座標に色情報を登録する(処理ステップS1203)。次に該当する情報機器37が更に詳細な情報を有し、詳細情報に対応する色情報があるか否かを判定する(処理ステップS1204)。情報機器37の詳細情報とは例えば、実施例1と同様に、情報機器47のOSやアプリケーションの種別やバージョン情報などである。
If there is color information corresponding to the information device information, the color information is registered at the matching coordinates (processing step S1203). Next, it is determined whether or not the
情報機器37の詳細情報に対してもそれぞれ該当する色情報、すなわち色相、彩度、明度の何れかもしくは複数の組合せに対応した色情報があるか否かを判定する。詳細情報に対応する色情報がある場合には、同様に情報機器情報に加えて詳細情報を該当する座標に登録する(処理ステップS1203)。
It is determined whether or not there is color information corresponding to any of color information corresponding to the detailed information of the
ここで該当する座標とは例えば、図13に示すように、情報機器情報の周囲などの隣接する座標などである。なお、これらの座標の配置や情報機器情報と色情報などの対応関係は符号化方式選択部4より取得しても良いし、予め所定の対応表などを有していても良い。
Here, the corresponding coordinates are, for example, adjacent coordinates such as the periphery of the information device information as shown in FIG. Note that the arrangement of these coordinates and the correspondence between the information device information and the color information may be acquired from the encoding
次に、情報機器情報が有する全ての詳細情報に対応した色情報を全て該当する座標に登録したか否かを判定する(処理ステップS1205)。ここで、処理ステップS1201から処理ステップS1205の何れかの処理過程でエラーが発生した場合には、所定のエラー処理を実行し処理を終了しても良い(処理ステップS1208)。全ての詳細情報の登録が完了した場合には、再び別の情報機器37に対して、処理ステップS1202〜処理ステップS1205の処理を実行する。ここで、特定の情報機器情報に対応する色情報がない場合であってもエラーとして処理を終了せず、その情報機器37に関する処理はスキップして他の情報機器37に対して処理ステップS1202以降の処理を継続しても良い。
Next, it is determined whether or not all color information corresponding to all the detailed information included in the information device information has been registered in the corresponding coordinates (processing step S1205). Here, when an error occurs in any of the processing steps from processing step S1201 to processing step S1205, a predetermined error processing may be executed and the processing may be terminated (processing step S1208). When the registration of all the detailed information is completed, the processing from step S1202 to step S1205 is executed again for another
次に、取得したシステム構成情報SZに登録されている全ての情報機器37について処理を完了したかを判定する(処理ステップS1206)。全ての情報機器37について処理を完了した場合には、ネットワーク38についても、同様の処理を実行する。すなわち、ネットワークの情報についても、各ネットワーク48に対応する色情報があるか否かを判定する(処理ステップS1207)。
Next, it is determined whether the processing has been completed for all
対応する色情報がある場合には、同様に色情報を該当する座標に登録する(処理ステップS1203)。該当する座標とは例えば、前述の情報機器37の情報を登録した座標と隣接する位置すべてに直線状に登録するなどの方法がある。ネットワーク38についても、詳細情報がある場合には、情報機器37の詳細情報と同様に、対応する色情報があるか否かを判定する(処理ステップS1204)。ネットワーク38の詳細情報に該当する色情報がある場合には、該当する座標に色情報を登録する(処理ステップS1203)。
If there is corresponding color information, the color information is similarly registered in the corresponding coordinates (processing step S1203). The corresponding coordinates include, for example, a method of linearly registering all the positions adjacent to the coordinates where the information of the
ここで、該当する座標とは、例えば、前述の直線状に登録したネットワーク38の何れか一つまたは複数の座標とする。また、ネットワーク38の詳細情報とは例えば、実施例1と同様にネットワークの種別や通信速度、通信帯域などのネットワークに関する仕様情報である。
Here, the corresponding coordinates are, for example, any one or a plurality of coordinates of the
最後にシステム構成情報SZに含まれる全てのネットワーク38に関して、色情報の登録を完了したか否かを判定する(処理ステップS1208)。全ての処理を完了した場合には、符号化処理を終了する。ネットワーク38についても、情報機器37と同様に、特定のネットワーク38に対応する色情報がない場合には、そのネットワーク38に関する処理はスキップして、他のネットワーク38についての処理を実行しても良い。
Finally, it is determined whether or not color information registration has been completed for all the
処理ステップS1202から処理ステップS1208までの処理フローにおいて、情報機器37の情報に関する処理と、ネットワーク38の情報に関する処理の順番には特に制限は無く、先に全てのネットワーク38の情報に関する処理を実行しても良い。情報機器47の情報とネットワーク38の情報の処理を交互に実行しても良い。また、情報機器37の情報やネットワーク38の情報に対応する色情報を登録する座標系について、広さや形状などは特に制限はない。なお処理ステップS1209では、エラー処理を行う。
In the processing flow from the processing step S1202 to the processing step S1208, there is no particular limitation on the order of the processing related to the information on the
以上のように実施例4によれば、複雑かつ多様なシステム構成情報SZをある座標系に色情報として登録することで、画像情報として符号化することができる。画像情報とは例えばBMP(ビットマップ)形式やJPEG形式などの符号化されたデータである。このように画像情報とすることにより、画像認識などで利用される様々な分析手法をシステムのセキュリティ分析に活用することができる。 As described above, according to the fourth embodiment, complicated and diverse system configuration information SZ can be encoded as image information by registering it as color information in a certain coordinate system. The image information is encoded data such as BMP (bitmap) format or JPEG format. By using image information in this way, various analysis techniques used for image recognition and the like can be used for system security analysis.
図15は、本発明の実施例5のセキュリティシステムにおける符号化方式Pを示す構成図である。 FIG. 15 is a configuration diagram showing an encoding method P in the security system according to the fifth embodiment of the present invention.
実施例5のセキュリティシステムSQにおいて、ゾーン管理部8、分析部5、脆弱性情報取得部6、および、結果提示/実行部7の機能については実施例1、実施例2、実施例3、または実施例4の何れかと同様である。また、符号化部2の処理フローについても、実施例1、実施例2、実施例3、または実施例4の何れかと同様である。
In the security system SQ of the fifth embodiment, the functions of the
各符号化方式Pに関して、実施例2の場合には、2次元上で構成されていたシステム構成情報SZを3次元上に構成されたシステム構成情報SZに置き換えることができる。 Regarding each encoding method P, in the case of the second embodiment, the system configuration information SZ configured in two dimensions can be replaced with the system configuration information SZ configured in three dimensions.
同様に実施例3の場合には、2次元上で格子(メッシュ)状に構成されていたシステム構成情報SZおよび符号化方式Pを3次元上の情報として処理することが可能である。 Similarly, in the case of the third embodiment, it is possible to process the system configuration information SZ and the encoding method P, which are configured in a two-dimensional lattice (mesh) shape, as three-dimensional information.
同様に実施例4の場合には、2次元座標系の処理を3次元座標系で処理することが可能である。すなわち2次元画像情報を3次元画像情報として処理することが出来る。 Similarly, in the case of the fourth embodiment, it is possible to process a two-dimensional coordinate system using a three-dimensional coordinate system. That is, two-dimensional image information can be processed as three-dimensional image information.
以上のように実施例5に拠れば、3次元上に構成されたシステムのシステム構成情報を取得し符号化することが可能となる。 As described above, according to the fifth embodiment, it is possible to acquire and encode the system configuration information of a system configured in three dimensions.
1:構成情報取得部
2:符号化部
3:符号化条件設定部
4:符号化方式選択部
5:分析部
6:脆弱性情報取得部
7:結果提示/実行部
8:ゾーン管理部
Z:ゾーン
10:ネットワーク制御部
11:接続部
20:符号化方式登録部
P:符号化方式
SZ:システム構成情報
SZ´:符号化したシステム構成情報
37:情報機器
38:ネットワーク
1: configuration information acquisition unit 2: encoding unit 3: encoding condition setting unit 4: encoding method selection unit 5: analysis unit 6: vulnerability information acquisition unit 7: result presentation / execution unit 8: zone management unit Z: Zone 10: Network control unit 11: Connection unit 20: Coding method registration unit P: Coding method SZ: System configuration information SZ ': Encoded system configuration information 37: Information device 38: Network
Claims (16)
前記ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されており、
前記セキュリティシステムは、前記ゾーン毎に前記情報機器の情報や前記ネットワークの情報から成るゾーン情報を取得する情報取得部と、前記情報取得部により取得した前記ゾーン情報をゾーン毎に符号化する符号化部と、前記符号化部により符号化されたゾーン情報に基づいて、当該ゾーン情報についての脆弱性情報を得、前記ゾーンのリスクを分析する分析部を備えることを特徴とするセキュリティシステム。 A security system applied to a network system,
The network system is divided into a plurality of zones including a plurality of information devices and a network,
The security system includes an information acquisition unit that acquires information about the information device and information about the network for each zone, and an encoding that encodes the zone information acquired by the information acquisition unit for each zone. And a security system comprising: an analysis unit that obtains vulnerability information about the zone information based on the zone information encoded by the encoding unit and analyzes the risk of the zone.
前記セキュリティシステムは、前記符号化部の処理に必要な制約条件を設定する符号化条件設定部を備えており、前記符号化条件設定部は、前記ゾーン内のシステム構成についての制約条件、情報の公開範囲についての制約条件、圧縮率についての制約条件のうち少なくとも1つの制約条件を用いて符号化を行うことを特徴とするセキュリティシステム。 The security system according to claim 1,
The security system includes an encoding condition setting unit that sets a restriction condition necessary for the processing of the encoding unit, and the encoding condition setting unit includes a restriction condition and information of a system configuration in the zone. A security system, wherein encoding is performed using at least one constraint condition among a constraint condition for an open range and a constraint condition for a compression rate.
前記セキュリティシステムは、前記ゾーン情報をゾーン毎に符号化するときの複数の符号化方式を有する符号化方式選択部を備えており、前記符号化部は前記符号化方式選択部で選択された前記符号化方式に従って符号化を行うことを特徴とするセキュリティシステム。 The security system according to claim 1 or 2,
The security system includes an encoding method selection unit having a plurality of encoding methods when encoding the zone information for each zone, and the encoding unit is selected by the encoding method selection unit A security system that performs encoding according to an encoding method.
前記セキュリティシステムは、前記分析部による分析結果に基づいて、脆弱性を指摘されたゾーンにおけるネットワーク制御を指示する結果提示/実行部を備えることを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 3,
The security system includes a result presentation / execution unit that instructs network control in a zone where a vulnerability is pointed out based on an analysis result by the analysis unit.
前記符号化部は、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件、選択された符号化方式に基づき、符号化を行うことを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 4,
The encoding unit performs encoding based on an information disclosure range, information compression rate, information conversion reversibility, information encryption strength, or a plurality of setting conditions, and a selected encoding method. Security system characterized by
前記ゾーンにおける情報機器とネットワークの接続関係を示す構成情報についての複数の符号化方式を有し、前記符号化部は、複数の符号化方式から、構成情報に合致した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 5,
Having a plurality of encoding methods for configuration information indicating a connection relationship between the information device and the network in the zone, and the encoding unit selects an encoding method that matches the configuration information from the plurality of encoding methods; A security system that encodes the configuration information.
前記ゾーンにおける全ての存在し得る情報機器とネットワークの接続関係を示す格子状の構成情報を有し、前記符号化部は実際に取得した構成情報から、前記格子状の構成情報と照合し、構成情報に合致した情報機器またはネットワークの符号情報を取得し、前記構成情報を符号化することを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 6,
It has grid-like configuration information indicating the connection relationship between all the information devices that can exist in the zone and the network, and the encoding unit collates with the grid-like configuration information from the actually acquired configuration information, A security system characterized by acquiring code information of an information device or a network that matches information, and encoding the configuration information.
前記符号化部は、情報機器とネットワークの構成情報を座標系に配置し前記情報機器と前記ネットワークに関する情報を色情報として、前記座標系に登録することで、前記構成情報を符号化することを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 7,
The encoding unit encodes the configuration information by arranging configuration information of the information device and the network in a coordinate system, and registering information on the information device and the network as color information in the coordinate system. A featured security system.
前記符号化部は、三次元上に配置された情報機器やネットワークの構成情報を符号化することを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 7,
The said encoding part encodes the structure information of the information equipment and network arrange | positioned on three dimensions, The security system characterized by the above-mentioned.
前記ゾーン内に存在する情報機器やネットワークの構成情報を取得し、前記構成情報を符号化するために必要な設定条件として、情報開示範囲や情報の圧縮率や情報変換の可逆性や情報暗号化の強度のうち何れかまたは複数の設定条件を選択し、前記情報を符号化するための複数の符号化方式から、前記構成情報に適した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。 An encoding method of a security system implemented in an encoding unit in the security system according to any one of claims 1 to 7,
The information disclosure range, the compression rate of information, the reversibility of information conversion, and information encryption are set as necessary conditions for acquiring configuration information of information devices and networks existing in the zone and encoding the configuration information. One or a plurality of setting conditions is selected from among the intensities, and an encoding scheme suitable for the configuration information is selected from a plurality of encoding schemes for encoding the information, and the configuration information is encoded An encoding method for a security system.
情報機器とネットワークの接続関係を示す複数の符号化方式を有し、前記複数の符号化方式から、構成情報に合致した符号化方式を選択し、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。 An encoding method for a security system according to claim 10,
It has a plurality of encoding methods indicating a connection relationship between an information device and a network, and selects an encoding method that matches configuration information from the plurality of encoding methods, and encodes the configuration information. Security system encoding method.
情報機器とネットワークの接続関係を示す複数の符号化方式は前記ネットワークの階層に応じて複数存在し、前記複数の符号化方式から、構成情報に合致した複数の符号化方式を組み合わせて新たな符号化方式を生成し、前記符号化方式によって、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。 An encoding method for a security system according to claim 11,
There are a plurality of encoding schemes indicating the connection relationship between the information device and the network depending on the hierarchy of the network, and a new code is created by combining a plurality of encoding schemes matching the configuration information from the plurality of encoding schemes. An encoding method for a security system, wherein a coding method is generated and the configuration information is encoded by the encoding method.
情報機器とネットワークの構成情報を座標系に配置し前記情報機器と前記ネットワークに関する情報を色情報として、前記座標系に登録することで、前記構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。 An encoding method for a security system according to claim 10,
A configuration of a security system, wherein the configuration information is encoded by arranging configuration information of an information device and a network in a coordinate system and registering the information on the information device and the network as color information in the coordinate system. Encoding method.
三次元上に配置された情報機器やネットワークの構成情報を符号化することを特徴とするセキュリティシステムの符号化方式。 An encoding method for a security system according to any one of claims 10 to 13,
An encoding method for a security system that encodes configuration information of information devices and networks arranged in three dimensions.
ゾーンに脆弱性がある場合には、脆弱性を指摘されたゾーンおよび、脆弱性を指摘されたゾーンに隣接する隣接ゾーンの重要度についてのゾーン情報を取得し、前記ゾーン情報から、ゾーン間の接続部の切断や通信制限などを実施することを特徴とするセキュリティシステムのネットワーク制御方式。 A network control method for a security system according to any one of claims 1 to 9,
If there is a vulnerability in the zone, obtain zone information about the importance of the zone where the vulnerability was pointed out and the adjacent zone adjacent to the zone where the vulnerability was pointed out. A network control method for security systems characterized by disconnecting connections and restricting communications.
ネットワークシステムは、複数の情報機器とネットワークを含む複数の小ネットワークシステムが相互に接続されて構成されており、
前記小ネットワークシステムは、複数の情報機器とネットワークを含む複数のゾーンに区分されていることを特徴とするセキュリティシステム。 The security system according to any one of claims 1 to 9,
The network system is configured by connecting a plurality of small network systems including a plurality of information devices and a network,
The small network system is divided into a plurality of zones including a plurality of information devices and a network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018046392A JP2019159877A (en) | 2018-03-14 | 2018-03-14 | Security system, encoding method therefor and network control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018046392A JP2019159877A (en) | 2018-03-14 | 2018-03-14 | Security system, encoding method therefor and network control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019159877A true JP2019159877A (en) | 2019-09-19 |
Family
ID=67996274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018046392A Pending JP2019159877A (en) | 2018-03-14 | 2018-03-14 | Security system, encoding method therefor and network control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019159877A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022118395A1 (en) * | 2020-12-02 | 2022-06-09 | 日本電気株式会社 | Network control device, network system, network control method, and non-transitory computer-readable medium |
KR20230010630A (en) | 2020-04-10 | 2023-01-19 | 스플라인 네트워크 인코포레이티드 | Wireless network security diagnosis system, security diagnosis server, and program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015179516A (en) * | 2014-03-18 | 2015-10-08 | 株式会社Nttドコモ | Knowledge engine for managing massive complicated structured data |
WO2016154460A1 (en) * | 2015-03-24 | 2016-09-29 | Kyndi, Inc. | Cognitive memory graph indexing, storage and retrieval |
JP2017224053A (en) * | 2016-06-13 | 2017-12-21 | 株式会社日立製作所 | Vulnerability risk evaluation system and method |
-
2018
- 2018-03-14 JP JP2018046392A patent/JP2019159877A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015179516A (en) * | 2014-03-18 | 2015-10-08 | 株式会社Nttドコモ | Knowledge engine for managing massive complicated structured data |
WO2016154460A1 (en) * | 2015-03-24 | 2016-09-29 | Kyndi, Inc. | Cognitive memory graph indexing, storage and retrieval |
JP2017224053A (en) * | 2016-06-13 | 2017-12-21 | 株式会社日立製作所 | Vulnerability risk evaluation system and method |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230010630A (en) | 2020-04-10 | 2023-01-19 | 스플라인 네트워크 인코포레이티드 | Wireless network security diagnosis system, security diagnosis server, and program |
WO2022118395A1 (en) * | 2020-12-02 | 2022-06-09 | 日本電気株式会社 | Network control device, network system, network control method, and non-transitory computer-readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Aydi et al. | Theorems for Boyd‐Wong‐Type Contractions in Ordered Metric Spaces | |
US20140157417A1 (en) | Methods and systems for architecture-centric threat modeling, analysis and visualization | |
US8819206B2 (en) | Graph based flexible service discovery and management system and method | |
CN109981326B (en) | Method and device for positioning household broadband sensing fault | |
JP2019159877A (en) | Security system, encoding method therefor and network control method | |
JP2021057893A (en) | Edge gateway system with contextualized process plant knowledge repository | |
EP3583750B1 (en) | Pcep extension to support flexi-grid optical networks | |
CN111462489A (en) | Traffic congestion area prediction method and device | |
Asaithambi et al. | An energy-efficient and blockchain-integrated software defined network for the industrial internet of things | |
CN115766795A (en) | Intelligent service method of trusted electronic file platform based on block chain | |
Carrabs et al. | An exact algorithm to extend lifetime through roles allocation in sensor networks with connectivity constraints | |
CN113568925B (en) | Message data conversion method and device, electronic equipment and storage medium | |
Carrabs et al. | A Lagrangian approach for the minimum spanning tree problem with conflicting edge pairs | |
Sanin et al. | Manufacturing collective intelligence by the means of Decisional DNA and virtual engineering objects, process and factory | |
De et al. | BCoT: introduction to blockchain-based internet of things for industry 5.0 | |
CN102272732A (en) | Method, apparatus, and computer program product for determining data signatures in a dynamic distributed device network | |
CN105282099A (en) | Firewall command generation method and device | |
CN110086878A (en) | A kind of 5G private network and construction method | |
KR101296279B1 (en) | Method and Apparatus of Rule Engine System with Separate Rule Server and Rule Executor | |
Qureshi et al. | A software-defined network-based intelligent decision support system for the internet of things networks | |
CN107273097A (en) | A kind of method that ladder diagram for PLC system is converted into instruction catalogue | |
Juhas et al. | Possibilities of using Industrial Internet of Things (IIOT) in industrial communication. | |
CN114422554B (en) | Service area intelligent equipment management method and device based on distributed Internet of things | |
WO2020129995A1 (en) | Information processing system, method and program | |
Vishwakarma et al. | Internet of things technology, research, and challenges: a survey |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200706 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211022 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20211214 |