JP2021090106A - Control device network rule management device and control device network rule management method - Google Patents
Control device network rule management device and control device network rule management method Download PDFInfo
- Publication number
- JP2021090106A JP2021090106A JP2019218294A JP2019218294A JP2021090106A JP 2021090106 A JP2021090106 A JP 2021090106A JP 2019218294 A JP2019218294 A JP 2019218294A JP 2019218294 A JP2019218294 A JP 2019218294A JP 2021090106 A JP2021090106 A JP 2021090106A
- Authority
- JP
- Japan
- Prior art keywords
- control device
- rule
- network
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、制御機器ネットワーク用ルール管理装置および制御機器ネットワーク用ルール管理方法に関するものである。 The present invention relates to a control device network rule management device and a control device network rule management method.
近年、複数の工場の制御機器用ネットワークは、外部ネットワークを介して双方向通信可能に接続されることにより、制御機器の分散制御を実現する。制御機器用ネットワークには、外部ネットワークを介して、制御機器に影響を与える不正なプログラム(いわゆるウィルス)が侵入したり、悪意のある攻撃者によって不正な制御指令やデータが投入されることが考えられる。そのため、制御機器用ネットワークには、各制御機器を前記のような攻撃から保護するネットワークセキュリティ装置が求められる。 In recent years, networks for control devices in a plurality of factories are connected to enable bidirectional communication via an external network, thereby realizing distributed control of control devices. It is conceivable that a malicious program (so-called virus) that affects the control device may invade the control device network via an external network, or that a malicious attacker may inject malicious control commands or data. Be done. Therefore, the control device network is required to have a network security device that protects each control device from the above-mentioned attacks.
特許文献1の技術では、不正アクセス対処ツールのセキュリティ管理作業を自動化する不正アクセス対処ルール自動設定装置が示される。不正アクセス対処ルール自動設定装置は、セキュリティ脆弱性診断ツールから保護対象ネットワークの弱点特定情報を取得する。不正アクセス対処ルール自動設定装置は、弱点特定情報に基づいて、保護対象ネットワークを保護するように最適化された不正アクセス対処ルールを設定する。
The technique of
不正アクセス対処ルール自動設定装置は、対処ルール設定までの時間を短縮することにより、対処ルールが設定されていない間における不正アクセスの脅威を抑制することができる。不正アクセス対処ルール自動設定装置は、自動的にルールを設定することにより、人為的ミスに起因する脅威を抑制することができる。 The unauthorized access countermeasure rule automatic setting device can suppress the threat of unauthorized access while the countermeasure rule is not set by shortening the time until the countermeasure rule is set. The unauthorized access countermeasure rule automatic setting device can suppress the threat caused by human error by automatically setting the rule.
工場内には、多種多様な制御機器が備えられ、制御機器ごとに異なるソフトウェア構成とハードウェア構成とを備える。これにより、ネットワークセキュリティ装置には、各制御機器のソフトウェア構成とハードウェア構成とに基づいて、攻撃を検知するためのルールが複数設定される。 A wide variety of control devices are installed in the factory, and each control device has a different software configuration and hardware configuration. As a result, a plurality of rules for detecting an attack are set in the network security device based on the software configuration and the hardware configuration of each control device.
しかしながら、制御装置で用いられるソフトウェアやハードウェアは多岐にわたり、そのそれぞれを標的とする攻撃もまた多数知られている。多数の攻撃すべてに対応したルールをネットワークセキュリティ装置に設定すると、ネットワークセキュリティ装置に保存されるルールの数が増大する。これにより、ネットワークセキュリティ装置では、照合処理が増大し、通信性能が低下する場合がある。 However, the software and hardware used in the control device are diverse, and many attacks targeting each of them are also known. Setting rules for all of the many attacks on a network security device increases the number of rules stored on the network security device. As a result, in the network security device, the collation process may increase and the communication performance may decrease.
そこで、本発明は、上記の課題を解決するためになされたものであり、ネットワークセキュリティ装置に配置されるルールを管理可能な制御機器ネットワーク用ルール管理装置および制御機器ネットワーク用ルール管理方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above problems, and provides a control device network rule management device and a control device network rule management method capable of managing rules arranged in a network security device. The purpose is.
ネットワークセキュリティ装置から制御機器までのネットワークは、制御機器ごとに通信媒体や通信規格が異なる場合がある。したがって、パーソナルコンピュータやサーバのネットワークとは異なり、制御機器に影響を与える攻撃は、ネットワーク内で用いられる通信媒体や通信規格に対応することができず、目的の制御機器まで到達できない場合がある。 The network from the network security device to the control device may have different communication media and communication standards for each control device. Therefore, unlike a network of personal computers and servers, an attack that affects a control device may not be able to correspond to the communication medium and communication standard used in the network, and may not reach the target control device.
それを踏まえ、制御機器ネットワーク用ルール管理装置は、異なる複数のソフトウェア構成を有する制御機器と異なる複数の通信媒体とを含む制御機器用ネットワークの間に設けられ、前記制御機器用ネットワークについて安全性を検査するネットワークセキュリティ装置に対して、前記安全性の検査に用いるルールを、前記制御機器のソフトウェア構成およびハードウェア構成と制御機器が接続する通信媒体の構成とに基づいて配置する。 Based on this, the control device network rule management device is provided between the control device network including the control device having a plurality of different software configurations and a plurality of different communication media, and the security of the control device network is improved. The rules used for the safety inspection are arranged for the network security device to be inspected based on the software configuration and hardware configuration of the control device and the configuration of the communication medium to which the control device is connected.
本発明によると、配下の制御機器に必要なルールだけをネットワークセキュリティ装置に配置し、ネットワークセキュリティ装置における通信性能の劣化を抑制することができる。 According to the present invention, only the rules necessary for the control device under the control device can be arranged in the network security device, and the deterioration of the communication performance in the network security device can be suppressed.
以下、本発明の一実施形態を説明するが、本実施形態は、各図面に記載の実施形態に限定されるものではない。本実施形態は、ネットワークセキュリティ装置に配置されるルールを管理可能な制御機器ネットワーク用ルール管理装置に関するものである。なお、本実施形態では、各制御装置に影響を与える所定の情報が流れる方向を基準にして、前記情報が到来する方向、すなわち上流側を上位、制御装置側、すなわち下流側を下位と称する。 Hereinafter, an embodiment of the present invention will be described, but the present embodiment is not limited to the embodiments described in the drawings. The present embodiment relates to a control device network rule management device capable of managing rules arranged in a network security device. In the present embodiment, the direction in which the information arrives, that is, the upstream side is referred to as an upper position, and the control device side, that is, the downstream side is referred to as a lower position, based on the direction in which predetermined information that affects each control device flows.
図1は、分散制御システム6の説明図である。分散制御システム6では、「制御機器」の一例としてのPLC(Programmable Logic Controller)11が工場5の製造装置ごとに備えられる。各PLC11は、それぞれ独自に製造装置を制御し、稼働履歴を管理サーバ8に送信する。
FIG. 1 is an explanatory diagram of the
各工場5の制御機器用ネットワーク1は、外部ネットワーク7によって制御機器用ネットワーク1と、双方向通信可能に接続される。各工場5の制御機器用ネットワーク1には、外部ネットワーク7を介して管理サーバ8が双方向通信可能に接続される。管理サーバ8は、例えば、各PLC11の駆動履歴を取得し、他のコンピュータへと送る。
The
工場5は、例えば、複数のPLC11と、複数の「ネットワークセキュリティ装置」の一例としてのファイアウォール(FW)12と、制御機器ネットワーク用ルール管理装置13とを備える。工場5には、各PLC11と各FW12と制御機器ネットワーク用ルール管理装置13とが双方向に通信可能に接続されることによって、制御機器用ネットワーク1が構成される。
The
各PLC11と各FW12とは、例えば、通信媒体の一例としての第1のネットワーク14によって双方向通信可能に接続される。各PLC11間は、例えば、第1のネットワーク14によって双方向通信可能に接続される。各FW12と制御機器ネットワーク用ルール管理装置13とは、例えば、第2のネットワーク15によって双方向通信可能に接続される。
Each
各PLC11は工場内の製造装置を制御し、その内容に応じてPLC11ごとに異なるソフトウェアおよびハードウェアの構成を有することがある。各FW12は、制御機器用ネットワーク1の安全性について検査する。制御機器ネットワーク用ルール管理装置13は、各FW12に配置する安全検査用のルールを管理する。
Each PLC11 controls a manufacturing apparatus in a factory, and each PLC11 may have a different software and hardware configuration depending on its contents. Each FW12 inspects the safety of the
第1のネットワーク14は、例えば、有線通信または無線通信でもよい。第1のネットワーク14には、第1のネットワーク14ごとに異なるプロトコルが設定されてもよい。第2のネットワーク15は、例えば、有線通信または無線通信でもよい。
The
管理サーバ8は、例えば、PLC11の動作履歴を取得し、ユーザへ出力する。管理サーバ8は、例えば、外部ネットワーク7を介してPLC11の動作履歴を取得する。
The management server 8 acquires, for example, the operation history of the
図2は、制御機器用ネットワーク1の概略図である。制御機器用ネットワーク1は、工場内に設けられる複数の装置を双方向に通信可能に接続することによって形成される。制御機器用ネットワーク1は、例えば、PLC11(1)〜11(5)と、FW12(1)〜12(3)と、制御機器ネットワーク用ルール管理装置13とを備える。
FIG. 2 is a schematic view of the
PLC11は、例えば、構成情報取得部111を備える。構成情報取得部111は、PLC11のハードウェア情報とソフトウェア情報とを取得する(図4参照)。構成情報取得部111はまた、各PLC11における第1のネットワーク14への接続情報(図5にて後述)を取得する。
The
FW12は、例えば、検査ルール保存部D1と、フレーム検査部121と、フレーム制御部122とを備える。検査ルール保存部D1には、安全検査用のルールが保存される。ルールは、FW12を通過する複数のデータから攻撃を検知するために設定される。検査ルール保存部D1については、図6および図7にて後述する。
The FW12 includes, for example, an inspection rule storage unit D1, a
なお、以降の説明において、例えば、検査ルール保存部D1に保存されている検査ルールを単に検査ルールD1と示すなど、各種保存部に保存されているデータを当該保存部の記号を用いて示す場合がある。 In the following description, for example, when the inspection rule stored in the inspection rule storage unit D1 is simply indicated as the inspection rule D1, the data stored in various storage units is indicated by using the symbol of the storage unit. There is.
フレーム検査部121は、検査ルールD1に基づいて、FW12を通過する情報が攻撃かどうかを判定する。フレーム制御部122は、前記の判定結果に基づいて、情報を通過させるかを制御する。
The
各PLC11間および、PLC11とFW12との間は、例えば、異なる複数の第1のネットワーク14(1)〜14(5)によって双方向に通信可能に接続される。 Each PLC11 and between the PLC11 and the FW12 are bidirectionally communicably connected by, for example, a plurality of different first networks 14 (1) to 14 (5).
FW12(1)とPLC11(1)とは、例えば、第1のネットワーク14(1)によって双方向に通信可能に接続される。PLC11(1)とPLC11(2)とは、例えば、第1のネットワーク14(2)によって双方向に通信可能に接続される。FW12(1)は、PLC11(1)とPLC(2)とを攻撃から保護する。 The FW12 (1) and the PLC11 (1) are connected in both directions by, for example, the first network 14 (1) so as to be communicable. The PLC 11 (1) and the PLC 11 (2) are connected to each other so as to be communicable in both directions by, for example, the first network 14 (2). The FW12 (1) protects the PLC11 (1) and the PLC (2) from attack.
FW12(2)とPLC11(3)とは、例えば、第1のネットワーク14(3)によって双方向に通信可能に接続される。FW12(2)は、PLC11(3)を攻撃から保護する。 The FW12 (2) and the PLC11 (3) are connected in both directions by, for example, the first network 14 (3) so as to be communicable. The FW12 (2) protects the PLC11 (3) from attack.
FW12(3)とPLC11(4)とは、例えば、第1のネットワーク14(4)によって双方向に通信可能に接続される。PLC11(4)とPLC11(5)とは、例えば、第1のネットワーク14(5)によって双方向に通信可能に接続される。FW12(3)は、PLC11(4)とPLC11(5)とを攻撃から保護する。なお、制御機器用ネットワーク1の構成は、図2に示す構成に限らず、様々な形態をとることができる。
The FW12 (3) and the PLC11 (4) are connected in both directions by, for example, the first network 14 (4) so as to be communicable. The PLC 11 (4) and the PLC 11 (5) are connected to each other so as to be communicable in both directions by, for example, the first network 14 (5). The FW12 (3) protects the PLC11 (4) and the PLC11 (5) from attack. The configuration of the
制御機器ネットワーク用ルール管理装置13は、各PLC11のソフトウェア構成と各PLC11に対応する第1のネットワーク14とに基づいて、各FW12にルールを配置する。制御機器ネットワーク用ルール管理装置13は、各FW12と第2のネットワーク15で双方向に通信可能に接続される。制御機器ネットワーク用ルール管理装置13は、攻撃情報保存部D2と、構成情報取得部131と、攻撃情報抽出部132と、ルール生成部133と、配信情報保存部D3と、負荷調整部134と、ルール配信部135とを備える。
The control device network
攻撃情報保存部D2には、攻撃の特徴に関する情報と攻撃に影響される(脆弱性を持つ)ソフトウェアおよびハードウェアの情報等(以降、合わせて攻撃情報と称する)が保存される。攻撃情報保存部D2は、例えば、図8にて後述する。 The attack information storage unit D2 stores information on the characteristics of the attack, information on software and hardware affected by the attack (having vulnerabilities), and the like (hereinafter collectively referred to as attack information). The attack information storage unit D2 will be described later in FIG. 8, for example.
攻撃情報保存部D2には、例えば、攻撃情報源2から攻撃情報が送信されてもよい。攻撃情報源2は、例えば、制御機器用ネットワーク1よりも外部に設けられ、検知された攻撃に関する攻撃情報を収集する。攻撃情報保存部D2にはまた、例えば、ユーザによって設定されたユーザ定義ルール3に基づく攻撃情報が保存されてもよい。
For example, attack information may be transmitted from the
構成情報取得部131は、各PLC11におけるソフトウェアおよびハードウェアの構成情報を構成情報取得部111から収集する。構成情報取得部131はまた、各PLC11における各第1のネットワーク14の接続情報を構成情報取得部111から収集する。
The configuration
攻撃情報抽出部132は、攻撃情報保存部D2に保存される複数の攻撃情報から、ルールの設定対象として選択されたPLC11に影響を与える可能性のある攻撃情報を抽出し、それらをルール生成部133に送る。
The attack
具体的には、攻撃情報抽出部132は、構成情報取得部131が収集した各PLC11のソフトウェアおよびハードウェアの情報から、前記選択されたPLC11に対応するものを検索し、該当するものがあればそれらを抽出する。攻撃情報抽出部132はさらに、前記抽出したソフトウェアおよびハードウェアの情報をキーとして、攻撃情報保存部D2に保存される複数の攻撃情報を検索し、前記キーを含む攻撃情報があればそれらを抽出する。
Specifically, the attack
ルール生成部133は、前記選択した攻撃情報から、前記選択されたPLC11に対する攻撃を検知するためのルールを生成する。ルール生成部133は、攻撃情報抽出部132において抽出された攻撃情報に含まれている攻撃の特徴に関する情報、例えば、ウィルスや不正な制御データに含まれる特徴的なデータパターンやネットワークアドレス、ポート番号などを用いて、攻撃を検知するルールを生成する。
The
配信情報保存部D3には、ルール生成部133によって生成されたルールと、当該ルールの設定先となるFW12の紐づけ情報(例えば、ハードウェアIDやネットワークアドレス)とが保存される。
The distribution information storage unit D3 stores the rules generated by the
負荷調整部134は、配信情報保存部D3に保存された各ルールで検知される攻撃が第1のネットワーク14を通過可能かの判定に基づいて、前記各ルールを各FW12に配信するかどうかを決定する。すなわち、負荷調整部134は、構成情報取得部131から各PLC11における第1のネットワーク14への接続情報を取得する。負荷調整部134は、配信情報保存部D3に保存されているルールに対し、前記第1のネットワーク14の接続情報に基づいて、該ルールで検知しようとする攻撃が各FW12の下位に接続されるPLC11へ到達可能かを判定し、到達可能である場合に該ルールとFW12とを紐づける情報を配信情報保存部D3に保存する。前記到達可能かの詳細な判定手順は、図9などにて後述する。
The
負荷調整部134はまた、配信情報保存部D3に保存されているルールが、各FW12で許容される設定容量に収まるよう、各ルールが配信されるFW12を必要に応じて調整する。詳細な調整手順は、図11などにて後述する。
The
ルール配信部135は、第2のネットワーク15を介して、配信情報保存部D3に保存されているルールを各FW12へ送信し、検査ルール保存部D1に保存する。ルール配信部135は、配信情報保存部D3からルールの情報と紐づけ情報とを取得する。ルール配信部135は、紐づけ情報に基づいて、ルールを保存するFW12を選択する。
The
図3は、制御機器ネットワーク用ルール管理装置13のハードウェア構成図である。制御機器ネットワーク用ルール管理装置13は、「CPU」(Central Processing Unit)H131と、記憶部H132と、メモリH133と、通信部H134と、各機能H131〜H134を相互に通信可能に接続するデータ伝送路H135とを備える。
FIG. 3 is a hardware configuration diagram of the control device network
記憶部H132には、例えば、ルール生成部133と、構成情報取得部131と、攻撃情報抽出部132と、負荷調整部134と、ルール配信部135とのプログラムが保存される。記憶部H132には、例えば、攻撃情報保存部D2と、配信情報保存部D3とのデータベースが保存される。
In the storage unit H132, for example, a program of a
「CPU」H131は、各プログラム131〜135を記憶部H132からメモリH133に読み込んで実行することにより各機能を実現する。メモリH133は、例えば、RAM(Random Access Memory)等の揮発性記憶媒体である。通信部H134は、第2のネットワーク15を介して各FW12と双方向に通信可能に接続される。
The "CPU" H131 realizes each function by reading each
図4は、PLC11の構成情報を示す。構成情報取得部131は、各PLC11の構成情報取得部111からPLC11の構成情報1320〜1322を取得する。PLC11の構成情報は、例えば、識別情報1320と、管理番号1321と、構成情報1322とを含む。
FIG. 4 shows the configuration information of the
識別情報1320は、各PLC11を識別するための情報であって,例えば,PLC11のネットワークポートにおけるMACアドレスなどを用いてもよい。構成情報1322は、例えば、各PLC11のハードウェア情報とOS(Operating System)の情報とアプリケーションの情報とを含む。
The
図5は、第1のネットワーク14の接続情報を示す。構成情報取得部131は、各PLC11の構成情報取得部111から,第1のネットワーク14との接続情報1323〜1329を取得する。第1のネットワーク14の接続情報は、例えば、PLC11の識別情報1320と、管理番号1323と、第1のネットワーク14と接続するネットワークインタフェースの識別情報1324と、第1のネットワーク14で用いられるプロトコル情報1325、1326と、第1のネットワーク14の識別情報1327および該第1のネットワーク14におけるPLC11のアドレス1328と、第1のネットワーク14が複数ある場合にそれぞれの間でデータが転送可能であるかを示す通信可能情報1329とを備える。
FIG. 5 shows the connection information of the
図6および図7には、検査ルール保存部D1の一例としての検査ルール保存部D1(1)、D1(2)を示す。検査ルール保存部D1(1)は、攻撃の送信先アドレスや攻撃に使用されるプロトコルなどのフィールド情報をルールとして用いる場合を示す。検査ルール保存部D1(2)には、攻撃に用いられるウィルスや不正な制御指令などに含まれる特徴パターンをルールとして用いる場合を示す。 6 and 7 show inspection rule storage units D1 (1) and D1 (2) as an example of the inspection rule storage unit D1. The inspection rule storage unit D1 (1) shows a case where field information such as an attack destination address and a protocol used for an attack is used as a rule. The inspection rule storage unit D1 (2) shows a case where a feature pattern included in a virus used for an attack or an illegal control command is used as a rule.
図6は、検査ルール保存部D1(1)の説明図である。検査ルール保存部D1には、例えば、管理番号D11と、フィールド位置D12と、フィールド値D13と、マスク情報D14とが保存される。フィールド位置D12は、フィールド値D13が攻撃データ中に現れる位置を示す。マスク情報D14は、フィールド値D13の部分的な一致を条件とする場合に、一致部分を指定するための情報を示す。 FIG. 6 is an explanatory diagram of the inspection rule storage unit D1 (1). For example, the control number D11, the field position D12, the field value D13, and the mask information D14 are stored in the inspection rule storage unit D1. The field position D12 indicates the position where the field value D13 appears in the attack data. The mask information D14 indicates information for designating a matching portion when a partial matching of the field value D13 is a condition.
図7は、検査ルール保存部D1(2)の説明図である。検査ルール保存部D1には、例えば、管理番号D15と、パターン値D16と、パターン長D17とが保存される。パターン値D16には、攻撃特徴パターンを示す情報が保存される。パターン長D17には、パターン値D16を表すデータの長さが保存される。 FIG. 7 is an explanatory diagram of the inspection rule storage unit D1 (2). For example, the control number D15, the pattern value D16, and the pattern length D17 are stored in the inspection rule storage unit D1. Information indicating the attack feature pattern is stored in the pattern value D16. The length of the data representing the pattern value D16 is stored in the pattern length D17.
図8は、攻撃情報保存部D2の説明図である。攻撃情報保存部D2には、例えば、管理番号D21と、脆弱性情報D22と、攻撃条件D23と、攻撃の詳細情報D24とが保存される。管理番号D21には、脆弱性情報D22と、攻撃条件D23と、攻撃の詳細情報D24とを識別する番号が保存される。 FIG. 8 is an explanatory diagram of the attack information storage unit D2. For example, the control number D21, the vulnerability information D22, the attack condition D23, and the detailed attack information D24 are stored in the attack information storage unit D2. The control number D21 stores a number that identifies the vulnerability information D22, the attack condition D23, and the detailed attack information D24.
脆弱性情報D22には、攻撃の影響を受ける脆弱性を持ったソフトウェアおよびハードウェアの情報が保存される。多様なソフトウェアやハードウェアの情報を統一的に表現するため、例えばCommon Platform Enumeration(CPE)のような標準化された記法によって脆弱性情報D22を記述してもよい。攻撃条件D23には、脆弱性情報D22を用いた攻撃を成功させるための通信内容の条件が保存される。攻撃の詳細情報D24には、攻撃による影響の説明が保存される。本情報は、生成されたルールを後にユーザが管理あるいは検証する際に参考とするもので、以降の動作では使用されない。 Vulnerability information D22 stores information on software and hardware that are vulnerable to an attack. Vulnerability information D22 may be described in a standardized notation such as Common Platform Enumeration (CPE) in order to uniformly represent information on various software and hardware. The attack condition D23 stores the condition of the communication content for a successful attack using the vulnerability information D22. The detailed attack information D24 stores a description of the effects of the attack. This information will be used as a reference when the user manages or verifies the generated rules later, and will not be used in subsequent operations.
以下、図10に示す制御機器ネットワーク用ルール管理装置13の処理の流れについて、図9を参照しながら説明する。図9は、制御機器用ネットワーク1の一例の説明図である。
Hereinafter, the processing flow of the control device network
なお、制御機器ネットワーク用ルール管理装置13は、情報取得部131に含まれる第1のネットワーク14の接続情報1323〜1329を参照して、各PLC11をノードとするネットワークモデルを生成し、各機能131〜135を実現してもよい。この場合において、各PLC11をネットワークモデルのノードと読み替えてもよい。
The control device network
制御機器用ネットワーク1には、例えば、攻撃の一例としての「攻撃A」と「攻撃B」とが外部ネットワーク7を介して送られる(いずれも不図示)。「攻撃A」は、第1ネットワーク14が「プロトコルA」で通信するよう設定されている場合に通過可能であり、「脆弱性A」を含むソフトウェア構成に影響を及ぼす。「攻撃B」は、第1ネットワーク14が「プロトコルB」で通信するよう設定されている場合に通過可能であり、「脆弱性B」を含むソフトウェア構成に影響を及ぼす。前記「攻撃A」と前記「攻撃B」の攻撃情報は、それぞれの前記脆弱性に関する情報を含んで攻撃情報保存部D2に保存されているものとする。
For example, "attack A" and "attack B" as an example of an attack are sent to the
PLC11(1)のソフトウェア構成には、例えば、「脆弱性A」が含まれる。PLC11(2)のソフトウェア構成には、例えば、「脆弱性A」と「脆弱性B」とが含まれる。 The software configuration of PLC11 (1) includes, for example, "Vulnerability A". The software configuration of PLC11 (2) includes, for example, "Vulnerability A" and "Vulnerability B".
第1のネットワーク14(1)は、例えば、「プロトコルA」と「プロトコルB」とで通信するよう設定されている。第1のネットワーク14(2)は、例えば、「プロトコルA」で通信するよう設定されている。 The first network 14 (1) is set to communicate with, for example, "protocol A" and "protocol B". The first network 14 (2) is set to communicate by, for example, "protocol A".
図10は、制御機器ネットワーク用ルール管理装置13における処理手順の例を示す流れ図である。制御機器ネットワーク用ルール管理装置13の処理は、例えば、脆弱性情報D22を各PLC11から取得する処理(S1〜S2)と、最新のソフトウェア構成およびハードウェア構成とネットワーク構成を収集する処理(S3〜S4)と、ルールを抽出する処理(S5〜S8)と、ルール配置判定処理(S10)と、ルールをFW12に配信する処理(S11)とに概略的に分けることができる。
FIG. 10 is a flow chart showing an example of a processing procedure in the control device network
制御機器ネットワーク用ルール管理装置13は、攻撃情報源2とユーザ定義ルール3との情報が更新されたかを判定する(S1)。更新された場合(S1:Yes)には、制御機器ネットワーク用ルール管理装置13は、攻撃情報源2とユーザ定義ルール3とを統合し、新たな攻撃情報を攻撃情報保存部D2に生成する(S2)。
The control device network
更新されない場合(S1:No)または処理(S2)終了後には、制御機器ネットワーク用ルール管理装置13は、PLC11のソフトウェア構成およびハードウェア構成とネットワーク構成の情報が更新されたかを判定する(S3)。更新された場合(S3:Yes)には、構成情報取得部131は、各PLC11から構成情報を取得する(S4)。
If it is not updated (S1: No) or after the processing (S2) is completed, the control device network
更新されない場合(S3:No)または処理(S4)終了後には、攻撃情報抽出部132は、構成情報取得部131が取得した各PLC11のソフトウェア情報およびハードウェア情報をキーとして、これらが脆弱性情報D22に含まれる攻撃情報を攻撃情報保存部D2から検索および抽出する(S5)。例えば、PLC11(2)のソフトウェアには「脆弱性B」が含まれるため、攻撃情報抽出部132は、これに対応した前記「攻撃B」の攻撃情報を抽出する。
If it is not updated (S3: No) or after the processing (S4) is completed, the attack
制御機器ネットワーク用ルール管理装置13は、第1のネットワーク14の情報に更新があるかを判定する(S6)。第1のネットワーク14の情報に更新がある場合は、例えば、新たなPLC11が制御機器用ネットワーク1に設けられる場合を示す。
The control device network
更新がある場合(S6:Yes)には、構成情報取得部131は、第1のネットワーク14の接続情報を取得する(S7)。なお、構成情報取得部131は、更新された第1のネットワーク14の情報のみを集約してもよい。
When there is an update (S6: Yes), the configuration
更新がない場合(S6:No)または処理(S7)終了後には、ルール生成部133は、ルール生成処理(S9)を実行するかどうか判定する(S8)。上記の処理(S1)、(S3)、(S6)における判定結果をチェックし、いずれかの情報で更新がある場合(S8:Yes)には、ルール生成部133は、ルール生成処理(S9)を実行する。
If there is no update (S6: No) or after the process (S7) is completed, the
上記の処理(S1)、(S3)、(S6)における判定結果をチェックし、いずれの情報にも更新がない場合(S8:No)には、新たにルールを生成する必要はないので、処理(S9)〜(S11)をスキップして待機処理(S12)へ遷移する。 The judgment results in the above processes (S1), (S3), and (S6) are checked, and if none of the information is updated (S8: No), there is no need to generate a new rule, so the process. (S9) to (S11) are skipped and the process proceeds to the standby process (S12).
なお、上記の処理(S2)、(S4)、(S7)は、上記説明したような一連の処理とする代わりに、上記以外の処理とは非同期に実行してもよい。すなわち、処理(S2)、(S4)、(S7)における情報の取得および収集処理をそれぞれ任意の周期で実行し、その結果のみを処理(S1)、(S3)、(S6)でチェックするようにしてもよい。 The above processes (S2), (S4), and (S7) may be executed asynchronously with the processes other than the above, instead of being a series of processes as described above. That is, the information acquisition and collection processes in the processes (S2), (S4), and (S7) are executed at arbitrary cycles, and only the results are checked in the processes (S1), (S3), and (S6). You may do it.
ルール生成処理(S9)において、ルール生成部133は、攻撃情報抽出部132が攻撃情報保存部D2から抽出した攻撃情報に含まれる攻撃条件D23を参照して、該攻撃を検知するためのルールを生成する。具体的には、攻撃条件D23に含まれるアドレスなどのフィールド値や、ウィルスなどの特徴パターンから、検査ルールD1(1)およびD1(2)で例示されるデータ構造を生成する。ルール生成部133は、前記作成したルールを配信情報保存部D3に保存する。
In the rule generation process (S9), the
負荷調整部134は、ルール配置判定処理(S10)を実行する。ルール配置判定処理(S10)は、例えば、生成したルールを配置するFW12を決定する。
The
図11は、ルール配置判定処理(S10)の説明図である。負荷調整部134は、各PLC11に前記生成したルールを関連付ける(S101)。負荷調整部134は、例えば、PLC11(1)に前記「攻撃A」を検知する「ルールA」を関連付ける。また、PLC11(2)に前記「攻撃A」を検知する「ルールA」と前記「攻撃B」を検知する「ルールB」とを関連付ける。
FIG. 11 is an explanatory diagram of the rule arrangement determination process (S10). The
負荷調整部134は、各PLC11のうちの一つを選択する(S102)。PLC11を選択するアルゴリズムとして、例えば、ネットワークの下位側に位置するPLC11から順次、上位側に向かって選択していくこととしてもよい。ここでは、負荷調整部134は、PLC11(2)を選択する。なお、以降、選択されるPLC11を「選択PLC11」と示す場合がある。
The
負荷調整部134は、第1のネットワーク14の情報を用いてルール削減処理(S103)を実行する。図12は、ルール削減処理(S103)の流れ図である。負荷調整部134は、情報取得部131から、選択PLC11の上位側,すなわち選択PLC11からFW12までの第1のネットワーク14の情報を取得する(S1031)。負荷調整部134は、例えば、PLC11(2)からFW12(1)間の第1のネットワーク14(1)、14(2)の情報を取得する。
The
負荷調整部134は、配信情報保存部D3上で選択PLC11に関連付けられていれるルールを一つ選択する(S1032)。負荷調整部134は、例えば、PLC11(2)に関連付けられた前記「ルールA」を選択する。
The
負荷調整部134は、選択PLC11まで前記選択したルールで検知される攻撃が到達可能かを判定する(S1033)。選択PLC11まで前記攻撃が到達すると判定する場合(S1033:Yes)には、制御機器ネットワーク用ルール管理装置13は、処理(S1032)まで戻る。
The
例えば、PLC11(2)において前記「ルールA」を選択した場合、これによって検知される「攻撃A」がPLC11(2)に到達可能かを判定する。前記の判定には,構成情報取得部131に含まれる第1のネットワーク14との接続情報1323〜1329を用いてもよい。例えば,プロトコル情報1325,1326によって前記攻撃が用いる通信プロトコルが第1のネットワーク14を通過可能か判定し、第1のネットワーク14の識別情報1327およびPLC11のアドレス1328によって前記PLC11が前記第1のネットワーク14に属するかを判定してもよい。第1のネットワーク14(1)、14(2)は「プロトコルA」で通信可能であるため、負荷調整部134は、前記「攻撃A」がPLC11(2)に到達可能と判定する。
For example, when the "rule A" is selected in the PLC 11 (2), it is determined whether the "attack A" detected by the selection can reach the PLC 11 (2). For the above determination,
攻撃が選択PLC11まで到達しないと判定した場合(S1033:No)には、負荷調整部134は、選択PLC11と前記選択したルールとの紐づけ関係を解除する(S1034)。例えば、PLC11(2)において前記「ルールB」を選択した場合、第1のネットワーク14(2)は「プロトコルB」で通信可能でないため、「ルールB」によって検知される前記「攻撃B」は第1のネットワーク14(2)を通過できず、「攻撃B」がPLC11(2)まで到達しないと判定する。したがって、PLC11(2)と「ルールB」の紐づけは解除される。
When it is determined that the attack does not reach the selected PLC11 (S1033: No), the
負荷調整部134は、処理(S1032〜S1034)を選択PLC11におけるすべてのルールの判定が完了するまで繰り返す。すべてのルールについて判定が完了した場合には、負荷調整部134は、ルール削減処理(S103)を終了する。
The
図11に戻り、負荷調整部134は、すべてのPLC11に対して前記ルール削減処理(S103)を実行する。すべてのPLC11に対して処理(S103)が完了した場合には、負荷調整部134は、ルールを配信するFW12を選択する(S104)。負荷調整部134は、例えば、処理(S101、S93)にて設定されるPLC11とルールとの紐づけに基づいて、ルールの保存先として選択したFW12との紐づけ情報を生成する。
Returning to FIG. 11, the
負荷調整部134は、ルールが紐づけられたPLC11がある場合には、そのPLC11のすぐ上位に位置するFW12にルールを紐づける。例えば、PLC11(2)には前記「ルールA」が紐づけられているため、負荷調整部134は、PLC11(2)のすぐ上位に位置するFW12(1)に前記「ルールA」を紐づける。処理(S104)が終了した場合には、制御機器ネットワーク用ルール管理装置13は、ルール配置判定処理(S10)を終了する。
If there is a PLC11 to which the rule is associated, the
なお、負荷調整部134は、処理(S1034)によって関連付けを削除したルールをFW12に紐づけない。負荷調整部134は、例えば、PLC11(2)と「ルールB」との関連性を削除したため、「ルールB」をFW12(1)に紐づけない。すなわち、負荷調整部134は、攻撃がPLC11に到達する場合においてのみ、その攻撃に対応するルールをFW12に紐づける。
The
図10に戻り、ルール配信部135は、ルール配置判定処理(S10)によって紐づけられたFW12にルールを配信する(S11)。その後、制御機器ネットワーク用ルール管理装置13は、所定の時間待機(S12)後、処理(S1)から実行を再開する。なお、制御機器ネットワーク用ルール管理装置13は、処理(S12)において、所定の時間待機する代わりに、ユーザからの更新指示を受信するまで待機するようにしてもよい。また、制御機器ネットワーク用ルール管理装置13の電源が切られる等の所定の場合に、制御機器ネットワーク用ルール管理装置13は、処理(S1)〜(S12)を終了してもよい。
Returning to FIG. 10, the
以上に示す制御機器ネットワーク用ルール管理装置13は、負荷調整部134を備えることにより、攻撃がPLC11に到達可能かに基づいて、ルールの配置を調整することができる。制御機器ネットワーク用ルール管理装置13は、PLC11に到達できないルールをFW12に設定することを抑制でき、FW12に設定されるルールの数を削減することができる。
By providing the
これにより、制御機器ネットワーク用ルール管理装置13は、FW12の安全検査における照合処理の負荷増大を抑制することができる。あるいは、制御機器ネットワーク用ルール管理装置13は、下位側のPLC11を保護するために必要なルールのみがFW12に保存されるため、FW12におけるルール保存領域の利用効率低下を抑制することができる。
As a result, the control device network
その結果、制御機器ネットワーク用ルール管理装置13が備えられない場合と比較して、FW12のメモリを小型化できることにより、FW12をより小さく構成することができる。これにより、FW12のコストを抑制したり、FW12をより容易に制御機器用ネットワーク1に配置したりすることができる。
As a result, the memory of the
本実施例は、第1実施例の変形例に相当するため、第1実施例との相違を中心に説明する。本実施例は、「所定の値」の一例としてのリスク値に基づいてルールを管理する制御機器ネットワーク用ルール管理装置13aである。
Since this embodiment corresponds to a modified example of the first embodiment, the differences from the first embodiment will be mainly described. This embodiment is a control device network
図13は、制御機器用ネットワーク1aの概略図である。制御機器用ネットワーク1aは、例えば、PLC11と、FW12と、制御機器ネットワーク用ルール管理装置13aとを備える。制御機器ネットワーク用ルール管理装置13aは、攻撃情報保存部D2と、構成情報取得部131と、攻撃情報抽出部132と、ルール生成部133と、負荷調整部134aと、配信情報保存部D3と、ルール配信部135と、リスク値保存部D4とを備える。
FIG. 13 is a schematic view of the control device network 1a. The control device network 1a includes, for example, a
負荷調整部134aは、FW12に配置されるルールをリスク指標F(x)に基づいて調整する。リスク指標F(x)は、例えば、リスク値保存部D4に保存されるリスク値D42(図15参照)を係数として算出される攻撃の脅威を示す。リスク値保存部D4については、図14にて説明する。
The
負荷調整部134aは、構成情報取得部131から第1のネットワーク14の接続情報を取得する。負荷調整部134aは、配信情報保存部D3からルールを取得する。負荷調整部134aは、リスク値保存部D4からリスク値D42を取得する。
The
負荷調整部134aは、リスク値D42と第1のネットワーク14の接続情報とに基づいて、リスク指標を算出する。負荷調整部134aは、リスク指標に基づいて、ルールとFW12とを紐づける。負荷調整部134は、紐づけ情報を配信情報保存部D3に保存する。
The
リスク指標F(x)は、例えば、下記の式1によって算出されてもよい。
F(x)=x1+x2+x3+・・・+xn・・・(式1)
式1において、「x1〜xn」は、それぞれリスク値D42を示す。「n」は、所定の整数を示す。なお、リスク指標F(x)は、上述の式1によって求められることに限らず、他の式によって求められてもよい。
The risk index F (x) may be calculated by, for example, the following
F (x) = x1 + x2 + x3 + ... + xn ... (Equation 1)
In
図14は、リスク値保存部D4の説明図である。リスク値保存部D4には、例えば、ユーザによってリスク値D42が保存される。リスク値D42には、例えば、攻撃の影響情報D41に対応する値が保存される。 FIG. 14 is an explanatory diagram of the risk value storage unit D4. In the risk value storage unit D4, for example, the risk value D42 is stored by the user. In the risk value D42, for example, a value corresponding to the attack effect information D41 is stored.
攻撃の影響情報D41は、攻撃のPLC11に対する脅威を示す。攻撃の影響情報D41には、例えば、「影響度大」と、「攻撃が利用可能なプロトコルで通信」と、「上位側にプロトコル変換器がある」とが保存される。 The attack impact information D41 indicates the threat of the attack to PLC11. In the attack impact information D41, for example, "high impact", "communication with a protocol that can use the attack", and "there is a protocol converter on the upper side" are stored.
「影響度大」は、例えば、PLC11に対する攻撃の影響度が所定の影響度以上である場合を示す。所定の影響は、例えば、PLC11が誤作動を起こす場合や、正常なデータを取得できない場合などが挙げられる。また、所定の影響は、例えばCommon Vulnerability Scoring System(CVSS)などの標準的な基準を用いて表現されてもよい。「攻撃が通過可能なプロトコルを実装」は、例えば、当該攻撃が第1のネットワーク14を通過するのに必要な通信プロトコルがPLC11に実装されていることを示す。前記条件は、例えば情報取得部131に含まれるプロトコル情報1325,1326から判定してもよい。「上位側にプロトコル変換機能がある」は、例えば、PLC11自体には当該攻撃が第1のネットワーク14を通過するのに必要な通信プロトコルが実装されていないが、前記通信プロトコルから前記PLC11に実装されているいずれかのプロトコルへの変換機能が、前記PLC11の上位に配置された別のPLC11などに実装されていることを示す。前記条件は、例えば情報取得部131に含まれる通信可能情報1329に基づいて判定してもよい。
“Large impact” indicates, for example, a case where the impact of an attack on
リスク値D42には、例えば、「影響度大」に対応する「0.5」と、「攻撃が利用可能なプロトコルで通信」に対応する「0.3」と、「上位側にプロトコル変換器がある」に対応する「0.2」とが保存される。 The risk value D42 includes, for example, "0.5" corresponding to "high impact", "0.3" corresponding to "communication with a protocol that can be attacked", and "protocol converter on the upper side". "0.2" corresponding to "is" is saved.
図15は、負荷調整部134aの流れ図である。負荷調整部134aは、ルール削減処理(S103a)を実行する。負荷調整部134aは、処理(S1031)と処理(S1032)とを実行し、選択PLC11に関連付けられるルールを一つ選択する。
FIG. 15 is a flow chart of the
負荷調整部134aは、選択したルールに対するリスク指標F(x)を算出する(S1035)。負荷調整部134aは、例えば、PLC11間の接続情報と選択PLC11の脆弱性情報とを構成情報取得部131から取得する。負荷調整部134aは、接続情報と脆弱性情報に基づいて、選択したルールに対応する攻撃の影響情報D41に選択PLC11が当てはまるかを判定する。
The
例えば、選択したルールに対応する攻撃が選択PLC11に与える影響として誤作動を起こすことが含まれる場合には、負荷調整部134aは、例えば、式1の「x1」を「0.3」と設定する。また、第1のネットワーク14を経由して選択PLC11まで前記攻撃が到達可能である場合には、負荷調整部134aは、例えば「x2」を「0.5」と設定する。すなわち、負荷調整部134aは、式1に基づいて前記攻撃のリスク指標F(x)を「0.8」と算出する。
For example, when an attack corresponding to the selected rule causes a malfunction as an effect on the selected
負荷調整部134aは、リスク指標F(x)が所定の閾値以上かを判定する(S1036)。所定の閾値は、FW12にルールを保存するかどうかを判定する値である。なお、所定の閾値は、ユーザによって予め設定されてもよい。
The
リスク指標が所定の閾値以上であると判定された場合(S1036:Yes)には、負荷調整部134aは、処理(S1032)まで戻り、他のルールを選択する。例えば、所定の閾値として「0.7」が設定される場合には、負荷調整部134aは、リスク指標F(x)が所定の閾値を超えているため、選択PLC11よりも上位に位置するFW12にルールを保存すると判定する。
When it is determined that the risk index is equal to or higher than a predetermined threshold value (S1036: Yes), the
リスク指標が所定の閾値よりも小さいと判定される場合(S1036:No)には、負荷調整部134は、選択PLC11と前記選択したルールとの紐づけ関係を解除する(S1034)。例えば、所定の閾値として「0.9」が設定される場合には、負荷調整部134aは、リスク指標F(x)が所定の閾値よりも小さいため、選択PLC11と前記選択したルールとの紐づけ関係を解除する。
When it is determined that the risk index is smaller than the predetermined threshold value (S1036: No), the
負荷調整部134aは、処理(S1036:Yes)または処理(S1034)が終了後に処理(S1032)へ戻り、他のルールを選択する(S1032)。すべてのルールについて処理(S1036、S1034)の判定が実行される場合には、負荷調整部134aは、ルール削減処理(S103a)を終了する。
The
以上に示す制御機器ネットワーク用ルール管理装置13は、負荷調整部134aを備えるため、リスク指標F(x)に基づいてFW12にルールを配置するかを判定することができる。これにより、制御機器ネットワーク用ルール管理装置13は、攻撃の通信可能性と他の指標とに基づいてFW12のルール配置を管理することができる。
Since the control device network
本実施例は、第1、2実施例の変形例に相当するため、第1、2実施例との相違を中心に説明する。本実施例は、各FW12間でルールの配置を変更可能な制御機器ネットワーク用ルール管理装置13bである。
Since this embodiment corresponds to a modified example of the first and second embodiments, the differences from the first and second embodiments will be mainly described. This embodiment is a control device network
図16は、制御機器用ネットワーク1bの概略図である。制御機器用ネットワーク1bは、例えば、複数のPLC11と、複数のFW12bと、制御機器ネットワーク用ルール管理装置13bとを備える。
FIG. 16 is a schematic view of the
FW12bは、制御機器用ネットワーク1bの安全性を検査する。FW12bは、検査ルール保存部D1と、フレーム検査部121と、フレーム制御部122とを備える。FW12bは、上位側FW123(1)、123(2)と下位側FW124(1)〜124(4)とを含む。
The FW12b inspects the safety of the
なお、上位側FW123(1)、123(2)は、特に区別しない場合には、上位側FW123と示す場合がある。下位側FW124(1)〜124(4)は、特に区別しない場合には、下位側FW124と示す場合がある。
The upper FW 123 (1) and 123 (2) may be referred to as the
上位側FW123は、例えば、第2のネットワーク15と相互に通信可能に接続され、下位側FW124よりも上位側に位置する。下位側FW124は、例えば、上位側FW123とPLC11と相互に通信可能に接続され、上位側FW123よりも下位側に位置する。なお、FW12bは、上位側FW123と下位側FW124の二層に限らず、三層以上でもよい。
The
上位側FW123(1)には、例えば、下位側FW124(1)、124(2)が相互に通信可能に接続される。上位側FW123(2)には、例えば、下位側FW124(3)、124(4)が相互に通信可能に接続される。 For example, the lower FW 124 (1) and 124 (2) are connected to the upper FW 123 (1) so as to be able to communicate with each other. For example, the lower FW 124 (3) and 124 (4) are connected to the upper FW 123 (2) so as to be able to communicate with each other.
制御機器ネットワーク用ルール管理装置13bは、各FW12bに配置されるルールを管理する。制御機器ネットワーク用ルール管理装置13bは、例えば、ルール配置処理部130と、ルール移動処理部137とを備える。
The control device network
ルール配置処理部130は、PLC11の構成情報と各PLC11間の接続情報とに基づいて、各FW12bにルールを配置させる。ルール配置処理部130は、例えば、攻撃情報保存部D2(図2参照)と、構成情報取得部131と、攻撃情報抽出部132と、ルール生成部133と、負荷調整部134と、配信情報保存部D3と、ルール配信部135とを備える。
The rule
ルール移動処理部137は、配信情報保存部D3に保存されているルールに紐づけられるFW12bを変更し、当該ルールが異なるFW12bに配信されるようにする。ルール移動処理部137は、例えば、FW構造取得部138と、ルール取得部139と、移動判定部140と、ルール移動部141とを備える。
The rule
FW構造取得部138は、各FW12bの配置情報を取得する。ルール取得部139は、配信情報保存部D3に保存されるルールの情報を取得する。
The FW
移動判定部140は、ルールを他のFW12bに紐づけるかどうかを判定する。移動判定部140は、例えば、各下位側FW124に共通するルールが設定される場合には、そのルールを各下位側FW124の代わりに上位側FW123に配信すると判定する。
The
ルール移動部141は、移動判定部140の判定結果に基づいて、ルールと各FW12bとの紐づけを変更する。各下位側FW124に共通するルールが配置される場合には、ルール移動部141は、例えば、その共通ルールと各下位側FW124の紐づけを解除し、代わりに上位側FW123との紐づけを設定する。
The
図17は、ルール移動処理部137の流れ図である。FW構造取得部138は、FW12bの構造を取得する(S13)。FW構造取得部138は、例えば、上位側FW123(1)の下位側に下位側FW124(1)、124(2)が位置する情報と、上位側FW123(2)の下位側に下位側FW124(3)、124(4)が位置する情報とを取得する。
FIG. 17 is a flow chart of the rule
ルール取得部139は、各FW12bに紐づけられたルールを配信情報保存部D3から取得する(S14)。ルール取得部139は、例えば、下位側FW124(1)に紐づけられた「ルールA」と「ルールB」とを配信情報保存部D3から取得する。ルール取得部139は、例えば、下位側FW124(2)に紐づけられた「ルールA」と「ルールC」とを配信情報保存部D3から取得する。
The
移動判定部140は、上位側FW123を一つ選択する(S15)。移動判定部140は、例えば、上位側FW123(1)を選択する。なお、FW12bが三層以上にわたって接続されている場合は、すべてのFW12bから最も下位のものを除き、二層目から順に前記上位側FW123を選択する。
The
移動判定部140は、下位側FW124に共通ルールがあるかを判定する(S16)。移動判定部140は、例えば、上位側FW123(1)と通信可能に接続される下位側FW124(1)、124(2)に共通ルールが保存されるかを判定する。
The
共通ルールが保存されると判定される場合(S16:Yes)には、ルール移動部141は、当該共通ルールにおける下位側FW124との紐づけを解除し、代わりに上位側FW123への紐づけを設定する(S17)。移動判定部140は、例えば、下位側FW124(1)、124(2)で「ルールA」が共通して紐づけられていると判定する。ルール移動部141は、例えば、「ルールA」と下位側FW124(1)、124(2)との紐づけをそれぞれ解除し、新たに上位側FW123(1)への紐づけを設定する。
When it is determined that the common rule is saved (S16: Yes), the
共通ルールがないと判定される場合(S16:No)または処理(S17)が終了した場合には、ルール移動処理部137は、すべての上位側FW123にてルールを移動するかを判定が完了するまで処理(S16、S17)をする。FW12bが三層以上にわたって接続されている場合、それまで処理してきた上位側FW123の上位にさらにFW12bがあれば、それらを新たな上位側FW123として処理を続ける。ルール移動処理部137は、すべての上位側FW123にてルールを移動するかの判定が完了した場合には、処理を終了する。
When it is determined that there is no common rule (S16: No) or the process (S17) is completed, the rule
以上に示す制御機器ネットワーク用ルール管理装置13bは、ルール移動処理部137を備えることによって、下位側FW124にて共通するルールを上位側FW123に移動させることができる。これにより、制御機器ネットワーク用ルール管理装置13は、下位側FW124に共通するルールが保存される場合と比較して各FW12bのメモリ使用率を抑制することができる。その結果、各FW12bに、より多くのルールを設定することができる。
The control device network
本実施例は、第3実施例の変形例に相当するため、第3実施例との相違を中心に説明する。本実施例は、FW12bのメモリ不足を抑制可能な制御機器ネットワーク用ルール管理装置13cである。
Since this embodiment corresponds to a modified example of the third embodiment, the differences from the third embodiment will be mainly described. This embodiment is a control device network rule management device 13c capable of suppressing the memory shortage of the
図18は、制御機器用ネットワーク1cの概略図である。制御機器用ネットワーク1cは、例えば、PLC11と、FW12bと、制御機器ネットワーク用ルール管理装置13cとを備える。
FIG. 18 is a schematic view of the
制御機器ネットワーク用ルール管理装置13cは、各FW12bに保存されるルールを管理する。制御機器ネットワーク用ルール管理装置13cは、例えば、ルール配置処理部130と、メモリ容量管理部142とを備える。
The control device network rule management device 13c manages the rules stored in each FW12b. The control device network rule management device 13c includes, for example, a rule
メモリ容量管理部142は、各FW12bのメモリ不足を抑制する。メモリ容量管理部142は、例えば、あるFW12bにメモリ容量以上のルールが紐づけられる場合に、一部のルールを別のFW12bに紐づける。メモリ容量管理部142は、例えば、各FW12bのメモリ容量を超過してルールが保存される場合には、管理端末4に警告を表示させる。
The memory
管理端末4は、ユーザがFW12bに保存されるルールを管理可能な端末である。ユーザは、例えば、管理端末4を用いて、FW12bに保存されるルールを削除するよう配信情報保存部D3を操作することができる。
The
図19は、メモリ容量管理部142の説明図である。図19には、メモリ容量管理部142の平準化処理(S105)(図20にて後述する)の一例を示す。平準化処理(S105)は、FW12bのメモリ不足を抑制する。なお、メモリ容量管理部142は、図19に示す場合に限らない。
FIG. 19 is an explanatory diagram of the memory
検査ルール保存部D1には、ルールを保存可能な容量が設定される。検査ルール保存部D1(1)には、例えば、32個のルールを保存することができ、20個のルールが既に配信されている。検査ルール保存部D1(2)には、例えば、32個のルールを保存することができ、10個のルールが既に配信されている。 A capacity that can store rules is set in the inspection rule storage unit D1. For example, 32 rules can be stored in the inspection rule storage unit D1 (1), and 20 rules have already been distributed. For example, 32 rules can be stored in the inspection rule storage unit D1 (2), and 10 rules have already been distributed.
負荷調整部134は、例えば、下位側FW124(1)が新たに20個のルールと紐づけされると設定する。負荷調整部134は、例えば、下位側FW124(2)が新たに10個のルールと紐づけされると設定する。
The
メモリ容量管理部142は、FW12bのメモリ容量よりも多いルールが配置されることを検知し、所定数のルールを他のFW12bに配置させるように設定する。メモリ容量管理部142は、例えば、配信情報保存部D3において、既に20個のルールが下位側FW124(1)と紐づけられているため、新たに20個のルールを紐づけ、そのまま配信した場合に、下位側FW124(1)のメモリが不足すると判定する。この場合、メモリ容量管理部142は、例えば、下位側FW124(1)と既に紐づけされた20個のルールと、新たに紐づけられた20個のルールの内から10個のルールについて、FW124(1)との紐づけを解除して、代わりに上位側FW123(1)と紐づける。
The memory
図20は、ルール配置判定処理(S10a)の流れ図である。負荷調整部134は、処理(S101〜S104)を実行することにより、ルールを配置するFW12bを決定する。
FIG. 20 is a flow chart of the rule arrangement determination process (S10a). The
メモリ容量管理部142は、平準化処理(S105)を実行する。図21は、平準化処理(S105)の流れ図である。メモリ容量管理部142は、下位側FW124を一つ選択する(S1051)。メモリ容量管理部142は、例えば、下位側FW124(1)を選択する。
The memory
メモリ容量管理部142は、選択FW12bのメモリ容量が不足するかを判定する(S1052)。メモリ容量管理部142は、例えば、下位側FW124(1)へのルール配信数と、新たに保存可能なルールの数とを比較することにより、下位側FW124(1)のメモリが不足するかを判定する。
The memory
メモリ容量が不足する場合(S1052:Yes)には、メモリ容量管理部142は、上位側のFW12bに超過分の空き容量があるかを判定する(S1053)。メモリ容量管理部142は、例えば、下位側FW124(1)に配置されるルール数が20個であることを負荷調整部134から取得する。メモリ容量管理部142は、例えば、検査ルール保存部D1(1)のルール保存の限度数が32個であることを取得する。
When the memory capacity is insufficient (S1052: Yes), the memory
メモリ容量管理部142は、例えば、予め保存されるルールの数が20個であるため、新たに検査ルール保存部D1(1)に保存可能なルールの数は12個であると算出する。これにより、メモリ容量管理部142は、検査ルール保存部D1(1)のメモリ容量を8個のルール分超過すると判定する。
The memory
メモリ容量管理部142は、上位側FW123(1)に保存されるルールの数と検査ルール保存部D1が保存可能なルールの数とを取得する。メモリ容量管理部142は、例えば、上位側FW123(1)に32個のルールを配置可能な空き容量があると判定する。
The memory
上位側FW123のメモリに空き容量がある場合(S1053:Yes)には、メモリ容量管理部142は、紐づけを変更可能なルールがあるかを判定する(S1054)。メモリ容量管理部142は、例えば、超過する8個のルール数よりも多い空き容量を上位側FW123(1)が有すると判定する。メモリ容量管理部142は、例えば、予め検査ルール保存部D1(1)に保存される20個のルールに、上位側FW123(1)へ紐づけを変更可能なルールがあるかを判定する。
When there is free space in the memory of the upper FW 123 (S1053: Yes), the memory
紐づけを変更可能なルールがある場合(S1054:Yes)には、メモリ容量管理部142は、当該ルールとの紐づけを上位側FW123に変更させるように設定する(S1055)。メモリ容量管理部142は、例えば、下位側FW124(1)と既に紐づけされた20個のルールと、新たに紐づけられた20個のルールの内、10個のルールについて紐づけの変更可能と判定する。メモリ容量管理部142は、例えば、紐づけの変更可能と判定された10個のルールについて、配信情報保存部D3上で下位側FW124(1)との紐づけを解除し、新たに上位側FW123(1)との紐づけを設定する。
When there is a rule that can change the association (S1054: Yes), the memory
処理(S1052〜S1054)がNoの場合または処理(S1055)が終了する場合には、メモリ容量管理部142は、例えば、処理(S1051)に戻り他のFW12bを選択する。すべてのFW12bについて処理(S1052〜S1055)が終了した場合には、メモリ容量管理部142は、メモリ容量が不足するFW12bがあるかを判定する(S1056)。
When the processing (S1052 to S1054) is No or the processing (S1055) is completed, the memory
上記の処理を実行後、なおメモリ容量の上限を超過するFW12bがある場合(S1056:Yes)には、メモリ容量管理部142は、管理端末4に警告を出力する(S1057)。メモリ容量管理部142は、ユーザによるFW12bのルール管理を待機する(S1058)。
After executing the above processing, if there is a FW12b that still exceeds the upper limit of the memory capacity (S1056: Yes), the memory
ユーザは、管理端末4によって、処理(S1058)の終了信号を制御機器ネットワーク用ルール管理装置13cに送信してもよい。処理(S1058)終了後またはメモリが不足するFW12bがない場合(S1056:No)には、メモリ容量管理部142は、平準化処理(S105)を終了する。
The user may transmit the end signal of the process (S1058) to the control device network rule management device 13c by the
以上に示す制御機器ネットワーク用ルール管理装置13cは、メモリ容量管理部142を備えることによって、メモリの容量が不足することを抑制することができる。制御機器ネットワーク用ルール管理装置13cは、管理端末4に警告を出力することによって、不要なルールの削除をユーザに促すことができる。これにより、制御機器ネットワーク用ルール管理装置13cは、よりFW12bに設定されるルールの数を抑制することができる。
By providing the memory
なお、制御機器ネットワーク用ルール管理装置13は、処理(S1051)を実行する前に、実施例3にて示すルール移動処理部137を実行させてもよい。この場合において、下位側FW124に保存されるルールの数を減らすことができるため、メモリ容量の超過を抑制させることができる。
The control device network
本発明は上述の実施形態に限定されず、様々な変形例が含まれる。上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることもできる。また、ある実施形態の構成に他の実施形態の構成を加えることもできる。また、各実施形態の構成の一部について、他の構成を追加・削除・置換することもできる。 The present invention is not limited to the above-described embodiment, and includes various modifications. The above-described embodiment has been described in detail in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to those having all the described configurations. It is also possible to replace a part of the configuration of one embodiment with the configuration of another embodiment. It is also possible to add the configuration of another embodiment to the configuration of one embodiment. In addition, other configurations can be added / deleted / replaced with respect to a part of the configurations of each embodiment.
なお、本発明は以下に示すコンピュータプログラムを含むことができる。コンピュータを制御機器ネットワーク用ルール管理装置として機能させるためのコンピュータプログラムは、コンピュータ上に、制御機器用ネットワークについて安全性を検査するネットワークセキュリティ装置の安全検査用のルールを、制御機器のソフトウェア構成と制御機器に対応する通信媒体とに基づいて配置する機能を実現させる。 The present invention can include the computer programs shown below. The computer program for operating the computer as a rule management device for the control device network controls the software configuration and control of the control device software on the computer to check the safety of the network for the control device and the rules for the safety check of the network security device. Realize the function of arranging based on the communication medium corresponding to the device.
1・・・制御機器用ネットワーク、11(1)〜11(5)・・・制御機器、111・・・構成情報取得部、12(1)〜12(3)・・・ネットワークセキュリティ装置、121・・・フレーム検査部、122・・・フレーム制御部、13・・・制御機器ネットワーク用ルール管理装置、131・・・構成情報取得部、132・・・攻撃情報抽出部、133・・・ルール生成部、134・・・負荷調整部、135・・・ルール配信部、14(1)〜14(5)・・・第1のネットワーク、15・・・第2のネットワーク、2・・・攻撃情報源、3・・・ユーザ定義ルール 1 ... Network for control equipment, 11 (1) to 11 (5) ... Control equipment, 111 ... Configuration information acquisition unit, 12 (1) to 12 (3) ... Network security device, 121 ... Frame inspection unit, 122 ... Frame control unit, 13 ... Control device network rule management device, 131 ... Configuration information acquisition unit, 132 ... Attack information extraction unit, 133 ... Rules Generation unit, 134 ... Load adjustment unit, 135 ... Rule distribution unit, 14 (1) to 14 (5) ... 1st network, 15 ... 2nd network, 2 ... Attack Information source, 3 ... User-defined rules
Claims (8)
前記制御機器用ネットワークについて安全性を検査するネットワークセキュリティ装置の安全検査用のルールを、前記制御機器のソフトウェア構成と前記制御機器に対応する前記通信媒体の構成とに基づいて配置する
制御機器ネットワーク用ルール管理装置。 It is provided in a control device network including a control device having a plurality of different software configurations and a plurality of different communication media.
For a control device network, rules for safety inspection of a network security device for inspecting the safety of the control device network are arranged based on the software configuration of the control device and the configuration of the communication medium corresponding to the control device. Rule management device.
前記制御機器ネットワーク用ルール管理装置は、前記所定の情報に対して所定の制御機器のソフトウェア構成が脆弱性を有する場合には、前記ルールを前記所定の制御機器よりも上位側に位置する所定のネットワークセキュリティ装置に配置させる
請求項1に記載の制御機器ネットワーク用ルール管理装置。 The rule prevents predetermined information affecting the software of the control device from reaching the control device.
When the software configuration of a predetermined control device is vulnerable to the predetermined information, the rule management device for the control device network places the rule on the higher side than the predetermined control device. The control device network rule management device according to claim 1, which is arranged in a network security device.
請求項2に記載の制御機器ネットワーク用ルール管理装置。 The control device network rule management device sets the rule when a predetermined communication medium located between the predetermined network security device and the predetermined control device can transfer the predetermined information. The control device network rule management device according to claim 2, which is arranged in the network security device of the above.
前記所定の値は、
前記所定の制御装置におけるソフトウェア構成の脆弱性を示す第1の値と、
前記所定の通信媒体における前記所定の情報の受け渡し可能性を示す第2の値と
を含む
請求項3に記載の制御機器ネットワーク用ルール管理装置。 The control device network rule management device determines whether to place the rule in the predetermined network security device based on a predetermined value.
The predetermined value is
A first value indicating a software configuration vulnerability in the predetermined control device, and
The rule management device for a control device network according to claim 3, further comprising a second value indicating the possibility of passing the predetermined information in the predetermined communication medium.
前記各下位側ネットワークセキュリティ装置間で互いに共通する前記ルールが設定される場合には、前記制御機器ネットワーク用ルール管理装置は、前記共通するルールを前記上位側ネットワークセキュリティ装置に配置させる
請求項1に記載の制御機器ネットワーク用ルール管理装置。 The network security device includes an upper network security device and a plurality of lower network security devices located on the lower side of the upper network security device.
When the rules common to each other are set among the lower network security devices, the control device network rule management device requests the common rule to be arranged in the upper network security device according to claim 1. The control device network rule management device described.
前記限度数を超えて前記ネットワークセキュリティ装置に前記ルールが配置される場合には、前記制御機器ネットワーク用ルール管理装置は、前記ネットワークセキュリティ装置における所定の数の前記ルールを他のネットワークセキュリティ装置に移動させる
請求項1に記載の制御機器ネットワーク用ルール管理装置。 The network security device is set with a limit number in which the rule can be placed.
When the rule is arranged in the network security device in excess of the limit number, the control device network rule management device moves a predetermined number of the rules in the network security device to another network security device. The rule management device for a control device network according to claim 1.
請求項6に記載の制御機器ネットワーク用ルール管理装置。 The control device network rule management device according to claim 6, wherein the control device network rule management device outputs a warning when the number of the rules arranged in the network security device exceeds the limit number.
制御機器ネットワーク用ルール管理方法。 The rules for safety inspection of a network security device for inspecting the safety of a network for a control device including a control device having a plurality of different software configurations and a plurality of different communication media are applied to the software configuration of the control device and the control device. A rule management method for a control device network that is arranged based on the configuration of the corresponding communication medium.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019218294A JP2021090106A (en) | 2019-12-02 | 2019-12-02 | Control device network rule management device and control device network rule management method |
PCT/JP2020/033009 WO2021111687A1 (en) | 2019-12-02 | 2020-09-01 | Rule management apparatus for control device network and rule management method for control device network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019218294A JP2021090106A (en) | 2019-12-02 | 2019-12-02 | Control device network rule management device and control device network rule management method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021090106A true JP2021090106A (en) | 2021-06-10 |
Family
ID=76220550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019218294A Pending JP2021090106A (en) | 2019-12-02 | 2019-12-02 | Control device network rule management device and control device network rule management method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2021090106A (en) |
WO (1) | WO2021111687A1 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4268453B2 (en) * | 2003-05-29 | 2009-05-27 | 株式会社ルートレック・ネットワークス | Communication control method and apparatus |
JP2009005122A (en) * | 2007-06-22 | 2009-01-08 | Panasonic Corp | Illegal access detection apparatus, and security management device and illegal access detection system using the device |
GB2474545B (en) * | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
WO2015114791A1 (en) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | Security management device |
JP6408395B2 (en) * | 2015-02-09 | 2018-10-17 | 株式会社日立システムズ | Blacklist management method |
-
2019
- 2019-12-02 JP JP2019218294A patent/JP2021090106A/en active Pending
-
2020
- 2020-09-01 WO PCT/JP2020/033009 patent/WO2021111687A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2021111687A1 (en) | 2021-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073411B (en) | Network security deduction method, device, equipment and storage medium | |
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
KR102251600B1 (en) | A system and method for securing an industrial control system | |
JP5960978B2 (en) | Intelligent system and method for mitigating cyber attacks in critical systems by controlling message latency in communication networks | |
JP4527802B2 (en) | Computer system | |
Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
JP2007148818A (en) | Software operation modeling device, software operation monitor, software operation modeling method and software operation monitoring method | |
WO2020189669A1 (en) | Risk analysis device and risk analysis method | |
CN106603551A (en) | Industrial personal computer safety protection system and industrial personal computer safety protection method based on security baseline | |
CN105991617A (en) | Computer implemented system and method for secure path selection using network rating | |
WO2021111687A1 (en) | Rule management apparatus for control device network and rule management method for control device network | |
CN112291239B (en) | Network physical model facing SCADA system and intrusion detection method thereof | |
CN116633694B (en) | WEB defense method and system based on multimode heterogeneous component | |
JP2007052550A (en) | Computer system and information processing terminal | |
CN109474560A (en) | Control method, device and the computer readable storage medium of network access | |
CN106416178A (en) | Transport accelerator implementing extended transmission control functionality | |
JP6272258B2 (en) | Optimization device, optimization method, and optimization program | |
JP4448307B2 (en) | Security management device, security management method, and security management program | |
CN108133136A (en) | Attack node detection device, method and computer readable storage medium thereof | |
Denzel et al. | A malware-tolerant, self-healing industrial control system framework | |
JP2010211453A (en) | File tampering check method and device | |
KR20230162836A (en) | Method and apparatus for monitoring security events in container virualization environments | |
CN106412915A (en) | Pseudo-wireless access point identification method and system | |
JP2022101083A (en) | Communication monitoring coping device, communication monitoring coping method, and communication monitoring coping system | |
CN117272325B (en) | DOS-based equipment operation protection method, system, equipment and storage medium |