JP6106767B2 - サイバー物理システムの調整を補助する方法 - Google Patents

サイバー物理システムの調整を補助する方法 Download PDF

Info

Publication number
JP6106767B2
JP6106767B2 JP2015557985A JP2015557985A JP6106767B2 JP 6106767 B2 JP6106767 B2 JP 6106767B2 JP 2015557985 A JP2015557985 A JP 2015557985A JP 2015557985 A JP2015557985 A JP 2015557985A JP 6106767 B2 JP6106767 B2 JP 6106767B2
Authority
JP
Japan
Prior art keywords
compliance
state
violation
component
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015557985A
Other languages
English (en)
Other versions
JP2016510147A (ja
Inventor
ジョン チャンドラー ヘイル、
ジョン チャンドラー ヘイル、
ピーター ジョセフ ハウリーラック、
ピーター ジョセフ ハウリーラック、
マウリシオ ホセ パパ、
マウリシオ ホセ パパ、
Original Assignee
ザ ユニバーシティ オブ タルサ
ザ ユニバーシティ オブ タルサ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ザ ユニバーシティ オブ タルサ, ザ ユニバーシティ オブ タルサ filed Critical ザ ユニバーシティ オブ タルサ
Publication of JP2016510147A publication Critical patent/JP2016510147A/ja
Application granted granted Critical
Publication of JP6106767B2 publication Critical patent/JP6106767B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明はサイバー物理システムにおける順守プログラムに関し、詳しくは、規制、安全性及び保守の順守プログラムのような順守プログラムに関する。
連邦政府支援研究に関する陳述
本願は、米国国防高等研究計画局からの契約すなわち協定番号第FA8750−09−1−0208号によって一部がサポートされた。米国政府は、この資金に基づいて本発明の及び本発明への権利を有する。
複数のコンピュータが互いに及び物理世界と相互作用をするシステムが波及している。かかるシステムは、物理世界に近接的に結合された、すなわち離散的な(デジタル)構成要素及び連続的な(物理的)構成要素の双方を有する、ネットワーク接続コンピュータシステムを含み、ハイブリッドシステム又はサイバー物理システムと称される。ハイブリッドシステムの例は、産業用制御及び重要な社会基盤の中にあふれている。
かかるハイブリッドシステムが発展を続けるにつれ、当該ハイブリッドシステムをセキュリティ上の懸念、すなわちサイバー攻撃者によるサイバー側の脆弱性を悪用してのコンピュータネットワーク攻撃、から保護することが重要になってきている。サイバーシステムにおいて、かかる攻撃は、サービス拒否、及び法人、個人又は政府の秘密の盗難のような損害を頻繁に引き起こす。サイバー物理システムにおいて、サイバーシステムに対するものと同じ損害が懸念されるが、機器の機能を停止させ又は機器の動作パラメータを変更してその機能に悪影響を及ぼすような、物理的領域に影響を与える追加的な新たな損害要素も存在する。
セキュリティに加え、ハイブリッドシステムには動作上の懸念も存在する。セキュリティ上の懸念とは区別されることだが、動作上の懸念は、保守、安全、規制及び他の順守要件内で確実に機器を動作させることに重点が置かれる。いくつかの動作上の懸念がサイバー攻撃(例えばサイバー攻撃者による動作パラメータの変更)の結果であり得る一方、他の動作上の懸念は、セキュリティ要素が存在しない純粋に動作的なもの(例えば欠陥センサによる高すぎる温度での機器動作の許容)である。
現在のところ、関連する規制、安全、保守及び他の順守情報、並びにハイブリッド又はサイバー物理システムの物理側及び潜在的なサイバー側を最初に勉強及び理解することによって検査手順書を書くエンジニア又は他の熟練専門家が、動作上の懸念の検査を成し遂げている。かかる検査手順書は、物理側の通常動作を順守要件に従ったままとするために、かつ、物理的機器を変更又はアップグレードするために必要となる。これは、前回の動作に要求されたものとは異なる検査手順書の準備を必要とし得る。したがって、順守検査手順書を生成し並びに機器の交換及びアップグレードに関する順守上の懸念を決定するさらに自動化されたシステムが有利となる。
米国特許第7,971,252号明細書
G. Louthan, P. Hardwicke, P. Hawrylak and J. Hale, "Toward hybrid attack dependency graphs," CSIIRW’11, Proceedings of the Seventh Annual Workshop on Cyber Security and Information Intelligence Research, Article No. 8. Hawrylak, Peter J. Haney, Michael; Papa, Mauricio; and Hale, John, "Using Hybrid Attack Graphs to Model Cyber-Physical Attacks in the Smart Grid," 2012 5th International Symposium on Resilient Control Systems (ISRCS), pp. 161-164.
本発明の一実施形態によれば、複数の構成要素を有するサイバー物理システムを調整する方法が与えられる。方法は、
(a)当該複数の構成要素のそれぞれを記述して少なくとも一つの順守ペナルティを、当該複数の構成要素の少なくとも一つの構成要素に関連付けられた品質として定義することであって、当該順守ペナルティは少なくとも一つの構成要素の順守要件が不順守であることからもたらされることと、
(b)当該サイバー物理システムのための初期状態を定義することと、
(c)一組の経路を生成することであって、各経路は当該初期状態から終了状態への遷移に必要な少なくとも一つの事象を含み、当該遷移は当該初期状態から当該終了状態へ通過中の一以上の中間状態を通る経過を含み得ることと、
(d)当該一組の経路から一組の違反経路を識別することであって、各違反経路は当該少なくとも一つの構成要素の順守要件が不順守である少なくとも一つの違反状態を含むことと、
(e)当該違反状態に関連付けられた当該順守ペナルティを識別することと、
(f)当該順守ペナルティを防止するべく当該サイバー物理システムを調整することと
を含む。
本発明の他側面によれば、サイバー物理システムにおける順守を目的とする検査手順書を生成する方法が与えられる。方法は、
(a)少なくとも一つの順守ペナルティを当該サイバー物理システムの構成要素の品質として、少なくとも一つの動作ルールを事象として、及び少なくとも一つの順守違反を事象として利用することによりハイブリッド順守グラフを生成することであって、当該順守ペナルティは当該構成要素の順守要件が不順守であることからもたらされることと、
(b)当該ハイブリッド順守グラフを、初期状態から、一群の違反状態から選択された違反状態への経路を求めて探索することであって、当該一群の違反状態では当該一群の各違反状態に対して当該構成要素の順守要件が不順守であることと、
(c)経路がステップ(b)において発見された場合に当該経路を違反シナリオ一覧に追加することと、
(d)当該一群の違反状態における各違反状態に対してステップ(b)から(c)を繰り返すことと、
(e)当該違反シナリオ一覧から検査手順書を生成することと
を含む。
本発明のさらなる側面によれば、サイバー物理システムのための順守検査の妥当性をチェックするコンピュータ実装方法が与えられる。方法は、
(a)少なくとも一つの順守ペナルティを当該サイバー物理システムの構成要素の品質として、少なくとも一つの動作ルールを事象として、少なくとも一つの順守違反を事象として、及び少なくとも一つの検査条件を事象として利用することによりハイブリッド順守グラフを生成することであって、当該順守ペナルティは当該構成要素の順守要件が不順守であることからもたらされ、少なくとも一つの検査条件が当該サイバー物理システムのための順守検査に関連付けられることと、
(b)初期状態から、当該順守検査に関連付けられた違反状態への経路を求めて当該ハイブリッド順守グラフを探索することと、
(c)当該順守検査が妥当か否かを当該経路の存在に基づいて決定することと
を含む。
本発明のさらなる他実施形態によれば、第1構成要素及び複数の他の構成要素を含む構成要素と当該構成要素間の一組の接続とからなるサイバー物理システムの第1構成要素を変更する方法が与えられる。方法は、
(a)当該サイバー物理システムにおける当該第1構成要素を識別することと、
(b)少なくとも一つの動作ルールを事象として、及び少なくとも一つの順守違反を事象として利用することによりハイブリッド順守グラフを生成することであって、当該動作ルールは、当該第1構成要素の変更からもたらされる動作変更に少なくとも部分的に基づくことと、
(c)当該ハイブリッド順守グラフを、初期状態から、当該第1構成要素の変更に関連付けられた違反状態への経路を求めて探索することと、
(d)当該経路が発見された場合、当該違反状態が生じないように当該サイバー物理システムを調整することと
を含む。
本発明のなおもさらなる他実施形態によれば、複数の構成要素を有するサイバー物理システムのためのハイブリッド順守グラフを生成する方法が与えられる。方法は、
(a)当該複数の構成要素のそれぞれを記述して少なくとも一つの順守ペナルティを、当該複数の構成要素の少なくとも一つの構成要素に関連付けられた品質として定義することであって、当該順守ペナルティは少なくとも一つの構成要素の順守要件が不順守であることからもたらされることと、
(b)当該サイバー物理システムのための初期状態を定義することと、
(c)一組の経路を生成することであって、各経路は当該初期状態から終了状態への遷移に必要な少なくとも一つの事象を含み、当該遷移は当該初期状態から当該終了状態へ通過中の一以上の中間状態を通る経過を含み得ることと、
(d)当該一組の経路から一組の違反経路を識別することであって、各違反経路は少なくとも一つの構成要素の順守要件が不順守である少なくとも一つの違反状態を含むことと、
(e)当該一組の経路から、当該初期状態から当該違反状態への経路を例示するハイブリッド順守グラフを生成することと
を含む。
本発明の一実施形態に係るモデルを作るべく、システム情報並びに規制及び順守要件を資産データファイル及び事象データファイルフォーマットに符号化するプロセスを例示する図である。 本発明の一実施形態に係る、事象データファイル、資産データファイル及び初期状態からハイブリッド順守グラフを生成するプロセスを例示する図である。 本発明の一実施形態に係るアルゴリズムを例示する図である。アルゴリズムは、サイバー物理システムが順守要件を満たすか否かを決定するべくハイブリッド順守グラフを分析する。 本発明のハイブリッド順守グラフに適用される縦型探索の一例を例示する図である。 本発明のハイブリッド順守グラフに適用される横型探索の一例を例示する図である。 本例においてモデル化された簡略化変電所切り替えシステムの模式的例示である。 本例においてモデル化された変電所切り替えシステムモデルのハイブリッド順守グラフである。
1.概要
攻撃グラフは、コンピュータシステムネットワークへの攻撃及びその相互作用をモデル化するべくグラフ理論を使用する。攻撃グラフは、相互作用要素によるコンピュータシステム攻撃の状態空間をモデル化するべくグラフ理論を利用したいくつかの関連数学的形式の一つである。攻撃グラフは、初期の一組のシステムパラメータ又は事前条件がどのようにして一連の利己的利用を受けて一つ又はいくつかの代替的な最終システム状態又は事後条件に到達するのかをモデル化するべく、コンピュータシステムのモデル化を利用する。特許文献1に記録されるような攻撃グラフ及び生成方法が業界において知られており、サイバー攻撃に関するシステム脆弱性を分析する目的でコンピュータネットワークをモデル化することに関して利用されている。
攻撃グラフは、サイバーシステム及びかかるシステムへのサイバー攻撃者による攻撃を厳密にモデル化するべく構築されている。攻撃グラフは、システムのセキュリティ関連状態空間をモデル化する。当該空間において、頂点がシステム状態を代表し、辺が、敵対者又はサイバー攻撃者のアクションによって引き起こされるのが典型的な状態遷移を代表する。これらの使用により、相互結合されたシステムのセキュリティ脆弱性間での相互作用を考慮する態様での、システムの状態空間の探究が可能となる。
攻撃グラフにおいて、ノードが状態であり、辺が遷移であって各辺が結合攻撃であることを意味する。攻撃グラフは典型的に、攻撃パターン(又は攻撃行為)を事前条件及び事後条件の組として特定する。状態又はノードに対して事前条件をシステムモデルとマッチングさせること及び当該モデルに対して事後条件を戻ってマッピングすることにより、攻撃の後継状態の識別が可能となる。攻撃グラフ生成は、攻撃空間を列挙するべく攻撃行為を状態に連鎖させるプロセスである。
伝統的な攻撃グラフは、例えばコンピュータをオン若しくはオフにすること又はサーバ上のファイルにアクセスすることのような、離散的構成要素に限られる。したがって、攻撃グラフは、例えば、環境温度の変化及び変圧器により経時的に生成される熱に依存する変圧器の過熱のような、連続的構成要素である物理的構成要素を説明することができない。上述のように、サイバー物理システムは、ネットワークハイブリッドシステム、すなわち物理世界に近接的に結合されたネットワーク接続コンピュータシステムである。したがって、純粋に離散的なコンピュータネットワークのモデル化及び分析を目的とする既存のフレームワークは、連続的領域を捕捉することができずかつ時間の堅牢な概念を欠くので、サイバー物理システムでの使用には不適切である。同様に、分離された制御システムの世界に由来するモデル化方法も、サイバー物理システムの特質である複雑な分散型ネットワークをモデル化することができない。
最近になって、攻撃グラフは、いわゆるハイブリッド攻撃グラフにおいて、サイバー物理システムに適用するべく拡張されている。例えば、非特許文献1及び2がある。
連続的構成要素を説明するべく、こうしたハイブリッド攻撃グラフの生成においては、事前条件及び事後条件の組において連続的構成要素を説明可能とするために時間を量子化することのような、様々な手法が使用される。
2.代表的実施形態
本発明によれば、ハイブリッド攻撃グラフがここでさらに、サイバー物理システムのセキュリティ問題、すなわちサイバー物理システムへのサイバー攻撃を説明するためのみならず、サイバー物理システムの順守を説明するためにも拡張される。ここで使用されるように、「順守」とは、規制、保守、安全、及びその他の、安全性若しくは効率への影響を有し又はペナルティ、罰金、法的制裁、若しくはサイバー物理システムのシャットダウンにつながる要件を順守することを言及する。加えて、「順守」はセキュリティ問題を言及しないが、ここに記載される手法は、順守及びセキュリティ問題の双方に対処するべくセキュリティ手法と組み合わせることができる。このように、グラフはもはや、単にセキュリティ問題に限られることがないので、ここでは一般に、ハイブリッド順守グラフと称することにする。ただし、ハイブリッド順守グラフは、順守単独、又はセキュリティ及び順守双方のいずれにも対応することができる。
本発明のためのハイブリッド順守グラフの作業は、この作業全体において以下の名称により言及される3つの広いフェーズに分類されるものとみなすことができる。すなわち、モデル化、生成及び分析である。
モデル化フェーズにおいて、サイバー物理システムは、資産、品質及びトポロジのシステムによって定義又は代表される。資産は、サイバー物理システム構成要素である。すなわち、資産とは、サイバー物理システムにおけるサーバ、コンピュータ、機器又は機械のような物である。セキュリティ問題においては資産は、攻撃者、又はサイバー側に含まれる文書でもあり得る。順守問題において資産は、遠心分離機、変圧器及びセンサのような任意の機械又は機器でもあり得る。品質は、各資産の特性を代表する。品質は、ソフトウェアのパッケージ若しくはバージョン、又はコンピュータがオフライン、オンライン若しくはスリープモードにあるかであり得る。さらに、機器及び機械に関して品質は、オン若しくはオフにあるか、保守が必要か、動作温度範囲、現行のガス排出等であり得る。トポロジは、2つの資産間の関係を代表する。トポロジは、資産を、関係を介して他の資産に結び付ける。サイバー物理システムにとって、構成要素トポロジは、サイバー構成要素間のネットワーク接続、サイバー構成要素のアクセスレベル、センサと他の機器との停止/開始接続等であり得る。
品質及びトポロジは、一意的に識別される資産に関連付けられる。品質及びトポロジは、サイバー物理システムの事実集合体すなわち事実ベースをなす。資産集合体に関連付けられた事実ベースは、サイバー物理システムの状態を完全に記述する。一定の資産集合体が与えられると、状態は、その事実ベースによって一意的に記述される。事実ベースは、当該状態に対して妥当な品質及びトポロジすべてである。
モデル化において、初期状態がシステムに対して定義される。初期状態は、新状態又は後継状態を生成するべく事象パターンを使用することにより、アクション及び時間に対して展開される。事象とも称される事象パターンは、アクション及び時間がどのようにしてシステム状態を、品質及びトポロジ(ただし資産ではない)を挿入及び除去することによって改変することができるのかに対する一般的なテンプレートである。事象パターンは、資産に対応するパラメータをとる関数として記載され、事前条件によって守られ、及び一組の事後条件を特定する(品質及びトポロジについてのアクションを挿入及び削除して事実ベースを更新し、ひいては新ネットワーク状態を生成する)。一般に、一つの状態の事後条件は、他の状態又は後継状態の事前条件である。
図1は、システム情報並びに規制及び順守要件を、後にハイブリッド順守グラフを生成するべく使用される順守要件モデルを作るための資産データファイル及び事象データファイルフォーマットに符号化するプロセスを示す。ハイブリッド順守グラフはその後、システムの順守違反及び/又は脆弱性を評価するべく使用される。
ステップ12において、サイバー物理システム構成要素によって資産データファイルが資産として構築かつ符号化される。各構成要素は、サイバー構成要素又は物理的構成要素のいずれであっても、資産データファイルにおいて一意的な識別子により記述又は代表される。上述のように、構成要素は、コンピュータ、サーバ等のようなサイバー構成要素であり得るか、又はセンサ、バーナ、ボイラ等のような物理的構成要素又は機器であり得る。
資産に関連付けられた品質は、ステップ14において記述又は符号化される。資産データファイルは、各資産の機能、動作範囲制限、現行動作条件、性能基準等(例えば動作システム、高温警報限度、現行動作温度等)を記述する、各資産に関連付けられた挙動特性のような品質を含むように符号化される。本発明にとって詳しくは、これらの品質は、罰金、規制ペナルティ、法的制裁、ダウンタイム及び/又は他の、規制違反、安全保守若しくは他の順守違反の結果を含む。例えば、品質は、サイバー物理システムにおける、規制上の排出要件を満たさない機器の規制違反に関連付けられた罰金であり得るか、又は品質は、保守違反に対するダウンタイム、機器交換コスト等であり得る。本開示全体を通して、かかる違反の結果は「順守ペナルティ」と称され、罰金、規制ペナルティ、法的制裁、ダウンタイム及び/又は他の順守要件違反結果を含む。加えて、セキュリティ問題がモデルに含まれる場合、品質は、攻撃者の標的及び初期攻撃者アクセスを含み得る。一般に、セキュリティ問題は、順守違反を生成し、ひいては順守ペナルティをもたらすものに限られる。
資産トポロジは、ステップ16において記述又は符号化される。上述のように、トポロジは、サイバー物理システムにおける資産間の接続又は関係である。換言すれば、かかる資産が互いに、一方向通信又は双方向通信のような相互作用をする態様である。一般に、トポロジは、資産データファイルにおいて資産及び品質とともに符号化される。それゆえ、資産データファイルは、サイバー物理システムにおける資産(物)、各資産の動作品質、品質としての各資産の順守ペナルティタイプ、及びトポロジとしての資産間の接続の一覧からなる。
事象データファイルは、ステップ18のセキュリティルールを含むシステム動作ルールによって及びステップ20の順守違反によって作られかつ符号化される。したがって、システムの動作モード及び挙動が事象としてモデル化される結果、事象データファイルが、動作ルールとしての当該動作モード及び挙動によって符号化できるようになる。これらは、通常の又はシステムにより許容されるアクションであるが、事象としてモデル化される結果、通常動作の一連鎖が、量子化された時間増分を介した時間経過に先行し又は追従することができる。詳しくは、セキュリティ攻撃に対する事象が、サイバー物理システム又はその構成要素に対する不順守状態をもたらし得る事象となる。各事象に対する事前条件は、特定の挙動が生じ得る条件を文書化する。事後条件は、各事象に応答してシステムがどのように変化するのかを識別する。一般に、事後条件は品質の削除又は挿入のいずれかである。上述のように、事後条件は、後続状態のための事前条件として機能することができる。したがって、事前条件は、上述のような生成中に一状態にマッチングされる。事前条件が当該状態にマッチングすると、当該状態は、後継状態を生成するべく事後条件によって変更される。
ステップ20において、順守事象のための事前条件が、不順守につながるシステム内の条件を文書化する。事後条件が、当該アクションに応答してシステム状態を更新し、ペナルティ全体を代表する品質又はシステムの不順守レベルを代表する他のなんらかの測定基準を向上させる。サイバー物理システムの順守に向けられたハイブリッド順守グラフに対しては、順守違反事象のそれぞれから得られた全体的な結果状態が、目標状態すなわち違反状態を代表する。
セキュリティ問題に対しては一般に、事前条件が、特定タイプのサイバー攻撃となり得ることで一状態にマッチングする。ただし、当該状態がかかる攻撃に敏感な場合である。サイバー攻撃のための事後条件は、かかる攻撃が行われた後にシステムに生じる変化となる。例えば、サイバー物理システムが、弱いSSH公開鍵の事前条件を備えたサイバー構成要素の初期状態を有するかもしれないので、この事前条件に対して生じる挙動が、当該弱いSSH公開鍵を使用して個人鍵を見つける攻撃となる。したがって、事後条件は、個人鍵を使用するユーザとしてサイバー構成要素にログインすることとなる。サイバー攻撃の目標状態は、暗号化された文書にアクセスしてサイバーネットワーク又はその構成要素へのルートアクセスを取得することとなり得る。
順守問題に対しては一般に、事前条件は、動作モード及びルール、又は違反モード及びルールとなり得る。事後条件は、かかるモード及びルールの適用後にシステムに生じる変化となる。例えば、機器構成要素は、過熱が生じる温度を定義する量を有し得る。事前条件は機器構成要素の現行温度となり、挙動は、冷却なしの当該機器構成要素の動作時間に起因する温度上昇となり、事後条件は温度上昇となる。目標状態は、符号化された順守違反と組み合わされると、冷却ファンを制御する熱センサの保守違反のような順守違反を示す過熱温度を超過することとなるかもしれない。セキュリティ事象は、当該程度までサイバー物理順守モデルに組み入れられると、一般に、サイバー物理システムを順守違反に置くことという目標状態をもたらすサイバー攻撃となり得る。上述の例においてセキュリティ事象は、センサが構成要素温度を読み違えさせ、ひいては構成要素の過熱を引き起こすことをもたらすサイバー攻撃となるかもしれない。
一般に、ステップ12、14、16、18及び20は、順守要件モデルの構築を代表する。ステップ12、14、16、18及び20は、任意の順序で行うことができる。ひとたびモデルが調製かつ符号化されると、ハイブリッド順守グラフを、生成フェーズであるステップ22において生成することができる。ハイブリッド順守グラフの生成は、状態空間をその事象に対して閉じることによって当該モデルからグラフを構築するプロセスである。これは、ほとんどの実行作業が集中する場所である。時間の代表を可能にする作業は、生成フェーズとモデル化フェーズとの間で共有される。状態遷移が進行することへの制約(例えば単調性)も、生成カテゴリに分類される。
ここで図2を参照すると、事象データファイル、資産データファイル及び初期状態からハイブリッド順守グラフを生成するプロセスを見ることができる。初期状態すなわち開始状態がステップ24において定義される。初期状態は、当該初期状態の資産及び品質を支配するサイバー物理システムの構成要素に対して一以上の事前条件によって定義される。
ステップ26において、すべての状態の処理が完了したか否かが決定される。初期状態に対し、典型的にはすべての状態が未処理である。完了すればモデルは、エラーを求めて分析される。次にステップ28において、事象データファイル30及び資産データファイル32から情報が取得される。初期状態に関連付けられた事前条件を有する事象が当該初期状態に適用され、当該初期状態から到達可能な新状態又は後継状態が識別される。資産データファイルは、システムにおける資産(物)、各資産に関連付けられた品質又は特性、及び資産間のトポロジの一覧を含む。事象データファイルは、一組の事前条件が実行可能となる前に真であることを要求する事象の一覧を含む。各事象は、当該事象が現行システム状態に対して行う変更を代表及び文書化する一組の事後条件を一組の事前条件に関連付ける。事後条件は後継状態を生成する。引き続き、後継状態はステップ34において、状態の一覧に対し、以前に識別されていたか否かを決定するべく検討される。この状態は、以前に識別されていなかった場合、ステップ36において状態の一覧に追加される。後継状態は、状態の一覧にすでに存在する場合は追加されないが、辺が現行状態からその新状態へと追加されてプロセスは、追加事象の適用を試みるステップ38へと進む。ステップ36が完了すると、すべての事象が初期状態に対して検査されたか否かがステップ38において決定される。特にサイバー物理システムの複雑性が高まると、同じ組の事前条件が多重組の事後条件に関連付けられ得るので、多重事象を任意の状態に適用し、ひいては多重後継状態を単一の現行状態から生成することができる。したがって、さらなる事象が初期状態に適用される場合、当該さらなる事象は、さらなる後継状態が到達可能か否かを見るべくステップ28においてさらに処理される。さらなる事象が適用されない場合、すべての状態が処理されたか否かがステップ26において決定される。すべての状態が処理されたわけではない場合、状態の一覧からの後継状態が現行状態として使用され、ステップ28において、この現行状態から到達可能な任意の後継状態を識別するべく事象が適用される。当該次の後継状態がその後、ステップ36において状態の一覧に対し、以前に識別されたか否かを決定するべく検討される。初期状態と同様、すべての適用可能事象が現行状態に当てはめられて任意の新状態が状態の一覧に追加される。事象が現行状態に適用された後、当該現行状態は、当該一覧において次の状態へと変更される。プロセスは、このようにして、すべての状態が処理されるまで続けられる。したがって、プロセスは、当該一覧におけるすべての状態がひとたび処理完了となると終結することができる。随意的に、プロセスは、初期状態からの各経路が、事前決定された基準を満たす終了状態をもたらす場合に終結することもできる。例えば、終了状態は、(1)特定経路のためのすべての状態が処理された時、又は(2)一経路における事前決定された数の状態が到達された時のいずれか最初に生じた方に設定することができる。事前決定された数の状態は、事前決定された数の事象の、一経路に沿った状態への適用によって決定することができる。それゆえ、事象が量子化された時間増分を含む場合、一経路における状態の数は、初期状態後の事前決定された時間への到達によって制限され得る。したがって、ハイブリッド順守グラフは、各経路が(1)これ以上の状態を有しない時、又は(2)初期状態後の事前決定された時間と同等の一定数の状態を生成した時のいずれかに終了する。加えて、終了状態基準は、目標状態に到達した場合に経路が終了することを含み得る。目標状態は、サイバー物理システムが順守違反にある状態である。非目標状態は、サイバー物理システムが違反にはない状態である。したがって、この最後の基準が追加されれば、ハイブリッド順守グラフは、各経路が(1)これ以上の状態を有しない時、(2)目標状態に到達した時、又は(3)初期状態後の事前決定された時間と同等の一定数の状態を生成した時に終了する。
状態及び当該状態を結合する経路すなわち辺の一覧はハイブリッド順守グラフを含み、グラフ構造で表示することができる。グラフは次に、サイバー物理システムが規制、安全、保守又は他の順守要件を満たすか否かを決定するべく分析され、セキュリティ要件に対しても、かかるセキュリティ事象がハイブリッド順守グラフの生成に含まれていた場合には分析することができる。一般に、かかる分析は、目標状態に到達できるかを決定し、その後、初期状態から目標状態への経路を評価することを含む。
ここで図3を参照すると、分析フェーズが例示される。詳しくは、図3は、サイバー物理システムが順守要件を満たすか否かを決定するべく、図2に例示されたようなプロセスによって生成されたハイブリッド順守グラフ40を分析するアルゴリズムを例示する。プロセスはステップ42において、サイバー物理システムの一以上の初期状態の組から初期状態を選択することにより開始する。一般には一つの初期状態のみが存在するが、多重初期状態が存在することも本発明の範囲内にある。その後、ステップ44において、ハイブリッド攻撃グラフが、この初期状態から一以上の目標状態又は違反状態への経路を求めて探索される。いくつかの経路探索アルゴリズムを使用することができる。縦型探索及び横型探索が代表的である。縦型探索及び横型探索は双方とも、初期状態から目標状態への一組の経路を計算上効率的なアルゴリズムであり、以下にさらに詳述される。
初期状態から一以上の目標状態への各経路(「違反経路」)は、順守違反につながり得る事象のシナリオ又はシーケンスを代表する。換言すれば、かかる違反経路はそれぞれが、初期状態から一以上の中間状態の組を経て一以上の目標状態又は違反状態へと至る一連の遷移を代表する。経路はしばしば、目標状態に到達した場合に終了するように設定される。すなわち、目標状態は終了状態となるように設定される。かかる場合、各違反経路は一つの目標状態のみにつながる。目標状態が終了状態として設定されず、ひいては一経路が、終了状態に到達する前にいくつかの目標状態を有し得ることも本発明の範囲内にある。
ステップ46において違反経路が存在すると決定されると、ステップ48において当該経路が違反シナリオ一覧に追加され、その後プロセスはステップ50へと進む。ステップ48において違反経路が存在しないことが決定されると、プロセスは直接ステップ50へと進む。ステップ50において、追加初期状態が存在するか否かが決定される。このプロセスは各初期状態に対して反復される。システムは、単一の初期状態を有する場合が多い。違反経路の識別が完了すると、見出された経路は、ステップ52において優先順位がつけられる。違反状態一覧にある経路は、一以上の優先順位基準によって優先順位がつけられる。優先順位基準は、違反状態の危険レベル、違反状態のペナルティタイプ(例えばペナルティの金銭的コスト)、及び、ユーザにより特定された一以上のサイバー物理システム構成要素を含み得る。得られた経路分析は、違反状態への一以上の経路を示し又は非安全状態への経路が識別されなかったことを報告するユーザ可読出力形式で印刷又は表示される。加えて、経路は、英数字標識、色、一覧又は任意の他の適切な形式によって優先順位レベルを示すことができる。
上述のように、2つの代表的経路探索アルゴリズムは、縦型探索及び横型探索である。縦型探索において、グラフは、初期状態から開始し、現れる第1子状態へと進み、その後現れる第1孫状態へと進み、及び、このようにして子のない状態(終了状態)に到達するまで続く。この時点で、探索は、探究を終えていない最近の状態まで戻って当該状態の次の未探究子状態へと進むように引き返す。各状態はまた、目標状態であるか否かを見るべくチェックすることができる。経路に目標状態が存在すれば、当該経路は、違反状態一覧とも称される経路一覧に記録される。ハイブリッド順守グラフに適用される縦型探索の一例が図4に例示される。図4に示される例において、目標状態は終了状態であるから、終了状態のみを、違反状態としてチェックする必要がある。図4において、数字は探索の順序を代表し、最終状態A及びBは非目標終了状態を代表し、並びに、目標状態X、Y及びZはサイバー物理システムの目標状態又は違反状態を代表する。
横型探索において、グラフは、初期状態から開始し、現れる各子状態を識別し、その後現れる各孫状態を識別し、及び、このようにして子状態を有する状態が存在しないレベルに到達するまで続く。再びであるが、各状態は、目標状態であるか否かを見るべくチェックすることができる。そうであれば、当該経路が、経路一覧すなわち違反シナリオ一覧に記録されたハイブリッド順守グラフに適用される横型探索が図5に例示される。図5に示される例において、目標状態は終了状態であるから、終了状態のみを、違反状態としてチェックする必要がある。図5において、数字は探索の順序を代表し、最終状態A及びBは非目標終了状態を代表し、並びに、目標状態X、Y及びZはサイバー物理システムの目標状態又は違反状態を代表する。
経路一覧において識別された経路は、サイバー物理システムにおいて順守違反を引き起こし得るアクションのシーケンスを代表する。条件、アクション及び/又は事象の当該シーケンスは収集されて、当該条件を適切に取り扱いかつ目標状態の一つに入ることがないか否かを決定するべくサイバー物理システムの検査に使用されるテストケース又は検査手順書とすることができる。当該テストケース又は検査手順書は、いくつかの側面に関してシステムの順守を確認する目的の一つ又は複数の検査機器のために、適切な制御言語に翻訳することができる。識別された経路は、一以上の順守違反を引き起こし得る条件、アクション及び/又は事象を含む。翻訳は、検査機器の制御言語を使用して、テストケース又は検査手順書の条件、アクション及び/又は事象を、当該テストケース又は検査手順書を実行する指令へと変換する。翻訳は、検査機器の各モデルにカスタマイズされ、コンピュータデバイスドライバに類似する。検査機器は、その制御言語で与えられた指令を、問題になっているシステムに当該条件、アクション、及び/又は事象を課すべく実行し、順守違反が生じたか否かを決定するべく当該システムを監視する。初期状態から特定目標状態への経路が存在しない事象において、問題になっているシステムは、当該目標状態によって代表される違反又は脆弱性からは影響を受けないことが示される。したがって、検査手順書は、サイバー物理システムが順守規定の不順守となり得るか否かを決定するべく使用することができる。
上述によれば、本発明に係る一実施形態において、複数の構成要素を有するサイバー物理システムにおける順守問題を体系的に識別する方法が与えられる。本方法において、第1に、サイバー物理システムのための、各構成要素が定義された順守要件モデルが構築される。さらに、構成要素に関連付けられた品質が定義される。品質は、少なくとも一つの順守ペナルティを、構成要素の少なくとも一つに関連付けられた品質として含む。順守ペナルティは、関連付けられた構成要素の順守要件が不順守であることからもたらされる。次に、サイバー物理システムに対して一以上の初期状態が定義される。その後、一組の経路が生成される。各経路は、初期状態の一つから終了状態への遷移に必要な少なくとも一つの事象を含む。遷移は、初期状態条件から終了状態へ通過中の中間状態を介した経過を含み得る。経路の生成後、終了状態が違反状態となる経路が識別される。違反状態は、少なくとも一つの構成要素の順守要件が不順守である場合である。識別された経路は、違反状態に関連付けられた順守ペナルティによってさらに識別かつ分類される。最終的に、サイバー物理システムは、識別された経路を使用して、順守ペナルティを防止するべくすなわち一つ又は複数の構成要素が不順守となることを防止するべく調整される。一般に、本方法のステップの少なくとも一部は、コンピュータに実装されたステップである。典型的には少なくとも、一組の経路を生成するステップと、違反状態を終了状態として有する経路を識別するステップと、違反状態に関連付けられた順守ペナルティを識別し及び/又は順守ペナルティによって経路を分類するステップとがコンピュータに実装される。
他の実施形態において、本発明の方法は、本発明の方法とは別個に生成された順守検査又は既存の順守検査の妥当性をチェックするべく使用される。ハイブリッド順守グラフが、サイバー物理システムに対し一以上の順守ペナルティを品質として、一以上の動作ルールを事象として及び一以上の違反を事象として、並びに既存の順守検査の検査条件を事象として利用することにより、上述された概要のように生成される。得られたハイブリッド順守グラフはその後、初期状態から違反状態への任意の経路を求めて探索される。ここで、違反状態は、既存の順守検査に関連付けられた状態である。かかる経路が存在すれば、既存の順守検査は妥当である。かかる経路が存在しなければ、既存の順守検査は妥当でない。
他の実施形態において、本発明の方法は、サイバー物理システムに対して機器又は構成要素の変更を行うことに使用される。変更は、機器アップグレード、交換又は追加であり得る。本方法において、サイバー物理システムにおける変更対象機器が最初に識別される(「当初機器」)。かかる識別は、機器変更がどうなるのか、すなわち、影響を受ける機器、並びに新たな又はアップグレードされた機器が何であるか及びそれがどのように動作するか、を識別することを含む。次に、ハイブリッド順守グラフが、一以上の順守ペナルティを品質として、一以上の動作ルールを事象として、並びに一以上の違反を事象として及び検査条件を事象として利用することにより、上述された概要のように生成される。動作ルールは少なくとも部分的には、変更される機器からもたらされる動作変更に基づく。生成されたハイブリッド順守グラフはその後、初期状態から、変更される機器に関連付けられた違反状態への経路を求めて探索される。かかる経路が存在すれば、サイバー物理システムは、違反状態が生じないように調整される。かかる調整は、サイバー物理システムにおける追加機器のアップグレード若しくは交換、サイバー物理システムの資産の関係又は接続の変更、異なる機器アップグレード、交換若しくは追加の使用、又は当初機器の修復を含む。
3.例
ハイブリッド順守グラフを生成する上述の方法が、簡略化された変電所切り替えシステムに適用された。変電所は2つの必須構成要素を有する。高電圧を搬送する主要又は一次回路、及び補助又は二次回路である。主要回路は、母線システム(3つの低インピーダンス導体)と、切り替え機器を介した当該母線システムの電力線、変圧器及びその他への接続を容易にする構成要素とからなる。変電所は、切り替え構成要素(電力線を接続)だけでなく、保護、制御及び測定に必要なすべての構成要素も含む複数のベイに分割される。ベイは、その用途に従って名付けられる。例えば、変圧器ベイは電力線を変圧器に接続する。補助又は二次回路は、測定、信号伝達、制御及び保護デバイスを含む。
サイバーセキュリティの観点から及び安全上の理由により、変電所における切り替え制御の責任を負うSCADA(Supervisory Control and Data Acquisition(監視制御データ収集))システムを保護することが絶対必要である。その主要タスクは、慎重に設計されたアクションシーケンス、すなわち回路を隔離する継電器、遮断器、断路器の動作に従って事象及び指令に応答することからなる。例えば断路器は、非常に小さな電流をオン及びオフに切り替えるべく設計されるので、回路遮断器の断路済み部品間の隔離クリアランスを与えるべく使用されるのが典型的である。
例えば、図6に例示されるように、変電所ベイにおいて接続された母線が考慮された。母線において、Q39は断路器であり、Q19は遮断器であった(変電所とQ19との間の断路器は簡単のため図6には示されない)。この場合、断路器における制限ゆえに、線は以下の2つのステップシーケンスに従ってオフに切り替えられる。
1.Q19を使用して電流を遮断し(Q19を開)、及び
2.線断路器Q39を開にして当該線を遮断器から隔離する。
さらに、断路器(Q39)は、遮断器(Q19)が当該線が放電するのに十分な時間を許容した後、少なくとも2ms(ミリ秒)は開とする必要がある。断路器(Q39)が、遮断器(Q19)が開となって2ms以内に開となれば、アーク放電が生じ得る。この条件は避ける必要がある。2つの規定(ルール)をもたらす要件に従う必要がある。
規定1:遮断器(Q19)は、断路器(Q39)が開とされる前に開としなければならない。
規定2:断路器(Q39)は、遮断器(Q19)が開となった後少なくとも2msは開としなければならない。
これらの構成要素の動作は、ネットワークを介して適切な指令を送ることによって生じるのが典型的である。したがって、例えば、構成要素の誤った動作が、セキュリティ原因又は非セキュリティ原因の結果として生じ得る。侵入者がネットワークを、動作シーケンスが続かないような態様で攻撃したとすれば、このことが大きな損害を引き起こすかもしれない。例えば、断路器Q39が最初に開とされたとすれば、このことが、小爆発のように見える電気アーク放電を引き起こすだろう。これは、侵入者がIED(インテリジェント電子デバイス)にアクセスするアクセス制御メカニズムをバイパスさせることにより、又はネットワークへのアクセスを得てメッセージを直接操作することにより、生じるかもしれない。故障を引き起こす侵入者の攻撃が、セキュリティ原因となる。代替的に、構成要素の誤った動作は、故意の攻撃以外のものの結果かもしれない。例えば、故障は、故意でない誤り(ヒューマンエラー)、非攻撃関連故障(例えば欠陥ハードウェア)、又は、構成要素の誤った動作を防止し得る一以上の保護手段を欠いた動作手順からもたらされるかもしれない。故障を引き起こす故意ではない原因が、非セキュリティ原因となる。
図6のネットワークが、ハイブリッド順守グラフ生成器ツールにおいてモデル化され、ハイブリッド順守グラフ(HCG)が生成された。得られたHCGが図7に例示される。状態(丸で囲まれた数字を参照)3、7、10及び13は、回路遮断器を開にする適切なプロセスの後に断路器が続かなかった故障(電気アーク)状態を代表する。この例は、当該例の開始時(通常動作)に断路器及び回路遮断器が閉であったことを仮定する。
2つの可能な故障条件が存在した。第1は、断路器(Q39)が、遮断器(Q19)の前に開とされる場合であった。第2は、断路器(Q39)が、遮断器(Q19)の2ms(ミリ秒)以内に開とされる場合であった。時間経過は、時間を1ms(ミリ秒)進める「時間経過」事象によってモデル化された。ここで、時間は、遮断器(Q19)が開となってからの時間を代表し、断路器(Q39)が、遮断器(Q19)の2ms以内に開となったか否かを決定するべく使用された。
状態0(開始状態(「ルート」と称する場合もある))から故障状態(3、7、10及び13)のそれぞれへと生成された経路は、故障(この例では電気アーク)につながり得る一組の検査条件を記述する。この例から取得された経路を以下に挙げる。
1.断路器Q39が、遮断器Q19の前に開とされて電気アークを引き起こす。これは、規定1の違反である(断路器が遮断器の前に開とされた)。これは、状態0→状態1→状態3の経路である。
2.断路器Q39が、遮断器Q19が開となって2ms以内に開とされ、潜在的に電気アークを引き起こす。これは、規定2の違反である(断路器が遮断器の2ms(ミリ秒)以内に開とされた)。この場合には3つの可能性が存在する。第1は、断路器Q39が遮断器Q19の後0ms(ミリ秒)で開とされる場合、第2は、断路器Q39が遮断器Q19の後1ms(ミリ秒)で開とされる場合、第3は、断路器Q39が遮断器Q19の後2ms(ミリ秒)で開とされる場合である。このケースは、断路器Q39が、遮断器Q19の後0ms(ミリ秒)で開とされる第1の可能性を調査する。この故障のトリガとなる2つの可能な経路が存在する。
a.第1経路は、状態0→状態2→状態4→状態7の経路である。
b.第2経路は、状態0→状態1→状態4→状態7の経路である。
3.断路器Q39が、遮断器Q19が開となって2ms以内に開とされ、潜在的に電気アークを引き起こす。これは、規定2の違反である(断路器が遮断器の1ms(ミリ秒)以内に開とされた)。これはケース2に類似するが、断路器Q39は遮断器Q19の後1ms(ミリ秒)で開とされる。この故障のトリガとなる3つの可能な経路が存在する。
a.第1経路は、状態0→状態1→状態4→状態6→状態10の経路である。
b.第2経路は、状態0→状態2→状態4→状態6→状態10の経路である。
c.第3経路は、状態0→状態2→状態5→状態6→状態10の経路である。
4.断路器Q39が、遮断器Q19が開となって2ms以内に開とされ、潜在的に電気アークを引き起こす。これは規定2の違反である(断路器が遮断器の2ms(ミリ秒)以内に開とされた)。これはケース2に類似するが、断路器Q39は遮断器Q19の後2ms(ミリ秒)で開とされる。この故障のトリガには4つの可能な経路が存在する。
a.第1経路は、状態0→状態1→状態4→状態6→状態9→状態13の経路である。
b.第2経路は、状態0→状態2→状態4→状態6→状態9→状態13の経路である。
c.第3経路は、状態0→状態2→状態5→状態6→状態9→状態13の経路である。
d.第4経路は、状態0→状態2→状態5→状態8→状態9→状態13の経路である。
故障の原因は、上述した2つの規定の一つの違反によりもたらされる。いずれの故障のルート原因も、攻撃者が故意にシステムを修正することにより、欠陥手順を使用する適法な職員による通常動作を介し、又は、適法な職員による誤った動作(若しくは手順の実行)を介する。最後の2つの原因は、非攻撃者(非セキュリティ)原因としてまとめることができる。この方法は、故意の攻撃者により引き起こされた故障、及び非攻撃者(非セキュリティ)により引き起こされた故障に適用される。それゆえ、この方法は、セキュリティ特性並びに規定及び安全慣行の順守を評価するべく使用することができる。
開示の発明は好ましい実施形態に関して詳細に示されかつ述べられたが、当業者であれば、特許請求の範囲に記載された本発明の要旨及び範囲を逸脱することなしに、形態及び詳細な領域において様々な変更がなし得ることがわかる。それゆえ、本発明は、述べられた目的及び利点だけでなくそこに本来備わっているものも果たすべく十分に適合することができるが、当業者は多数の変更をなすことができ、かかる変更は、添付の特許請求の範囲に画定された本発明の要旨内に包括される。

Claims (27)

  1. 少なくとも一つがデジタル構成要素でありかつ少なくとも一つが物理的構成要素である複数の構成要素を有するサイバー物理システム調整を補助する方法であって、
    前記複数の構成要素のそれぞれ記述と、前記複数の構成要素の少なくとも一つの構成要素の違反状態に関連付けられた品質としての少なくとも一つの順守ペナルティの定義とを受信するステップ(a)であって、前記少なくとも一つの構成要素が違反状態にある場合に前記少なくとも一つの構成要素は順守要件が不順守であり、前記順守ペナルティは前記少なくとも一つの構成要素の順守要件が不順守であることからもたらされるステップ(a)と、
    前記サイバー物理システムのための初期状態定義を受信するステップ(b)であって、前記初期状態は、前記初期状態を定義する一組の品質及びトポロジを有するステップ(b)と、
    一組の経路を生成するステップ(c)であって、各経路は前記初期状態から前記違反状態への遷移に必要な少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は、前記初期状態又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示すステップ(c)と、
    前記一組の経路から一組の違反経路を識別するステップ(d)であって、各違反経路は少なくとも一つの違反状態を含むステップ(d)と、
    前記順守ペナルティが前記違反状態に関連付けられていることを識別するステップ(e)
    をコンピュータ実装ステップとして含み
    前記調整は、前記違反状態を回避することによって前記順守ペナルティを防止するように前記サイバー物理システムを調整することを含む方法。
  2. 前記順守ペナルティは、罰金、規制ペナルティ、法的制裁及びシャットダウンからなる一群から選択される請求項1の方法。
  3. 前記順守要件は、安全要件、保守要件及び規制要件からなる一群から選択される請求項1の方法。
  4. ステップ(a)及び(b)は、ステップ(c)において前記一組の経路を生成することに使用される前記サイバー物理システムのための順守要件モデルを構築することを含む請求項1の方法。
  5. ステップ(a)は、少なくとも一つの動作ルールを前記少なくとも一つの事象の第1事象として、及び少なくとも一つの順守違反を前記少なくとも一つの事象の第2事象として定義することをさらに含む請求項1の方法。
  6. ステップ(a)は、一組の動作ルールを前記少なくとも一つの事象の一つとして定義することをさらに含み、
    前記動作ルールは、前記サイバー物理システムの第1構成要素の変更からもたらされた動作変更に少なくとも部分的に基づき、
    テップ(e)は、前記違反経路の一つが前記第1構成要素の変更に関連付けられたか否かを識別することをさらに含む請求項1の方法。
  7. 前記調整は、前記第1構成要素の他の構成要素の少なくとも一つをアップグレード若しくは交換すること、前記複数の構成要素間の接続を変更すること、又は前記第1構成要素の変更とは異なる変更を使用することを含む請求項6の方法。
  8. ステップ(d)において識別された前記経路から検査手順書を生成することをさらに含む請求項1の方法。
  9. ステップ(a)は、少なくとも一つの検査条件を前記少なくとも一つの事象の一つとして識別することをさらに含み、
    前記少なくとも一つの検査条件は前記サイバー物理システムのための順守検査に関連付けられ、
    前記方法は、前記違反経路の一つが前記順守検査に関連付けられたか否かに基づいて、前記検査条件が妥当か否かを決定することをさらに含む請求項1の方法。
  10. 少なくとも一つがデジタル構成要素でありかつ少なくとも一つが物理的構成要素である複数の構成要素を有するサイバー物理システムにおける順守問題を体系的に識別する方法であって、
    記サイバー物理システムのための順守要件モデルを構築するステップ(a)であって、前記順守要件モデルは、前記複数の構成要素のそれぞれ記述を含むとともに、前記複数の構成要素の少なくとも一つの構成要素の違反状態に関連付けられた品質としての少なくとも一つの順守ペナルティの定義と、一組の事象の第1事象としての少なくとも一つの動作ルールの定義と前記一組の事象の第2事象としての少なくとも一つの順守違反義とを含み、前記少なくとも一つの構成要素が違反状態にある場合に前記少なくとも一つの構成要素は順守要件が不順守であり、前記順守ペナルティは前記少なくとも一つの構成要素の順守要件が不順守であることからもたらされ、前記順守ペナルティは、罰金、規制ペナルティ、法的制裁及びシャットダウンからなる一群から選択され、前記順守要件は、安全要件、保守要件及び規制要件からなる一群から選択されるステップ(a)と、
    前記サイバー物理システムのための初期状態を定義するステップ(b)であって、前記初期状態は、前記初期状態を定義する一組の品質及びトポロジを有するステップ(b)と、
    (i)前記順守要件モデルを利用することにより一組の経路を生成することであって、各経路は前記初期状態から前記違反状態への遷移に必要な、前記一組の事象の少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は前記初期状態又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示し得ることと、
    (ii)前記一組の経路から一組の違反経路を識別することであって、各違反経路は前記少なくとも一つの構成要素の前記順守要件が不順守である少なくとも一つの違反状態を含むことと、
    (iii)前記違反状態に関連付けられた前記順守ペナルティを識別することと
    を行うステップ(c)と
    をコンピュータ実装ステップとして含む方法。
  11. 少なくとも一つがデジタル構成要素でありかつ少なくとも一つが物理的構成要素である複数の構成要素を有するサイバー物理システムにおける順守を目的とする検査手順書を生成する方法であって、
    少なくとも一つの順守ペナルティを前記サイバー物理システムの構成要素の違反状態に関連付けられた品質として、少なくとも一つの動作ルールを一組の事象の第1事象として、及び少なくとも一つの順守違反を前記一組の事象の第2事象として利用することによりハイブリッド順守グラフを生成するステップ(a)であって、前記構成要素が違反状態にある場合に前記構成要素は順守要件が不順守であり、前記順守ペナルティは前記構成要素の順守要件が不順守であることからもたらされるステップ(a)と、
    前記ハイブリッド順守グラフを、初期状態から、一群の違反状態から選択された違反状態までの経路を求めて探索するステップ(b)であって、前記初期状態は、前記初期状態を定義する一組の品質及びトポロジを有し、前記経路は、前記初期状態から前記違反状態までの遷移に必要な前記一組の事象の少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は、前記初期状態又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示すステップ(b)と、
    前記経路がステップ(b)において発見された場合に前記経路を違反シナリオ一覧に追加するステップ(c)と、
    前記一群の違反状態における各違反状態に対してステップ(b)から(c)を繰り返すステップ(d)と、
    前記違反シナリオ一覧から検査手順書を生成するステップ(e)
    コンピュータ実装ステップとして含む方法。
  12. 前記順守ペナルティは、罰金、規制ペナルティ、法的制裁及びシャットダウンからなる一群から選択される請求項11の方法。
  13. 前記順守要件は、安全要件、保守要件及び規制要件からなる一群から選択される請求項12の方法。
  14. 前記サイバー物理システムの前記順守要件が不順守となり得るか否かを決定するべく前記検査手順書使用される請求項13の方法。
  15. ステップ(b)の前記探索することは縦型探索又は横型探索を使用して行われる請求項14の方法。
  16. ステップ(b)の前記探索することは縦型探索を使用して行われる請求項15の方法。
  17. ステップ(b)の前記探索することは横型探索を使用して行われる請求項15の方法。
  18. 少なくとも一つがデジタル構成要素でありかつ少なくとも一つが物理的構成要素である複数の構成要素を有するサイバー物理システムのための順守検査の妥当性をチェックするコンピュータ実装方法であって、
    少なくとも一つの順守ペナルティを前記サイバー物理システムの構成要素の違反状態に関連付けられた品質として、少なくとも一つの動作ルールを一組の事象の第1事象として、少なくとも一つの順守違反を前記一組の事象の第2事象として、及び少なくとも一つの検査条件を前記一組の事象の第3事象として利用することによりハイブリッド順守グラフを生成するステップ(a)であって、前記構成要素が前記違反状態にある場合に前記構成要素は順守要件が不順守であり、前記順守ペナルティは前記構成要素の順守要件が不順守であることからもたらされ、前記少なくとも一つの検査条件は前記サイバー物理システムのための前記順守検査に関連付けられるステップ(a)と、
    前記ハイブリッド順守グラフを、初期状態から、前記順守検査に関連付けられた違反状態までの経路を求めて探索するステップ(b)であって、前記初期状態は、前記初期状態に関連付けられた一組の品質及びトポロジを有し、前記経路は前記初期状態から前記違反状態への遷移に必要な、前記一組の事象からの少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は、前記初期状態又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示すステップ(b)と、
    前記順守検査が妥当か否かを前記経路の存在に基づいて決定するステップ(c)
    を含む方法。
  19. ステップ(b)の前記探索することは縦型探索又は横型探索を使用して行われる請求項18の方法。
  20. ステップ(b)の前記探索することは縦型探索を使用して行われる請求項19の方法。
  21. ステップ(b)の前記探索することは横型探索を使用して行われる請求項19の方法。
  22. 第1構成要素及び複数の他の構成要素を含む構成要素と前記構成要素間の一組の接続とからなるサイバー物理システムの第1構成要素変更を補助する方法であって、
    前記構成要素の少なくとも一つがデジタル構成要素であり、かつ、前記構成要素の少なくとも一つが物理的構成要素であり、
    前記方法は、
    前記サイバー物理システムにおける前記第1構成要素を識別するステップ(a)と、
    少なくとも一つの動作ルールを一組の事象の第1事象として、及び少なくとも一つの順守違反を前記一組の事象の第2事象として利用することによりハイブリッド順守グラフを生成するステップ(b)であって、前記動作ルールは前記第1構成要素の変更からもたらされた動作変更に少なくとも部分的に基づくステップ(b)と、
    前記ハイブリッド順守グラフを、初期状態から、前記第1構成要素の変更に関連付けられた違反状態までの経路を求めて探索するステップ(c)であって、前記初期状態は前記初期状態を定義する一組の品質及びトポロジを有し、前記違反状態は前記第1構成要素の順守要件が不順守となる状態であり、前記経路は前記初期状態から前記違反状態への遷移に必要な、前記一組の事象からの少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は前記初期状態又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示すステップ(c)
    コンピュータ実装ステップとして含む方法。
  23. 前記経路が発見された場合、前記違反状態が生じないようにするべく、前記第1構成要素の変更とともに、前記複数の他の構成要素の少なくとも一つをアップグレード又は交換すること、前記構成要素の前記接続を変更すること、又は前記第1構成要素への変更とは異なる変更を使用することが行われる請求項22の方法。
  24. 少なくとも一つがデジタル構成要素でありかつ少なくとも一つが物理的構成要素である複数の構成要素を有するサイバー物理システムのためのハイブリッド順守グラフを生成する方法であって、
    前記複数の構成要素のそれぞれ記述と、前記複数の構成要素の少なくとも一つの構成要素の違反状態に関連付けられた品質としての少なくとも一つの順守ペナルティの定義とを受信するステップ(a)であって、前記少なくとも一つの構成要素が違反状態にある場合に前記少なくとも一つの構成要素は順守要件が不順守であり、前記順守ペナルティは前記少なくとも一つの構成要素の順守要件が不順守であることからもたらされるステップ(a)と、
    前記サイバー物理システムのための初期状態を受信するステップ(b)であって、前記初期状態は、前記初期状態を定義する一組の品質及びトポロジを有するステップ(b)と、
    一組の経路を生成するステップ(c)であって、各経路は前記初期状態から前記違反状態への遷移に必要な少なくとも一つの事象を含み、前記遷移は前記初期状態から前記違反状態へ通過中の一以上の中間状態を通る経過を含み、前記少なくとも一つの事象は、前記初期状態の又は前記一以上の中間状態の、少なくとも一つの品質又は少なくとも一つのトポロジを改変し得るアクション及び時間がどのようなものかを示すステップ(c)と、
    前記一組の経路から一組の違反経路を識別するステップ(d)であって、違反経路は違反状態を含むステップ(d)と、
    前記一組の経路から、前記初期状態から前記違反状態までの経路を例示するハイブリッド順守グラフを生成するステップ(e)
    コンピュータ実装ステップとして含む方法。
  25. ステップ(a)及び(b)は、前記サイバー物理システムのための順守要件モデルを構築することを含み、
    前記構築することは、前記複数の構成要素のそれぞれを記述すること、及び前記少なくとも一つの順守ペナルティを前記少なくとも一つの構成要素の前記違反状態に関連付けられた前記品質として定義することを含み、
    前記順守ペナルティは前記少なくとも一つの構成要素の順守要件が不順守であることからもたらされ、
    前記順守ペナルティは、罰金、規制ペナルティ、法的制裁及びシャットダウンからなる一群から選択され、
    前記順守要件は、安全要件、保守要件及び規制要件からなる一群から選択される請求項24の方法。
  26. ステップ(a)及び(b)は、ステップ(c)において前記一組の経路を生成することに使用される前記サイバー物理システムのための順守要件モデルを構築することを含む請求項24の方法。
  27. ステップ(a)は、少なくとも一つの動作ルールの第1事象としての定義、及び少なくとも一つの順守違反の第2事象として定義を受信することをさらに含む請求項26の方法。
JP2015557985A 2013-02-19 2013-02-19 サイバー物理システムの調整を補助する方法 Expired - Fee Related JP6106767B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/026707 WO2014130015A1 (en) 2013-02-19 2013-02-19 Compliance method for a cyber- physical system

Publications (2)

Publication Number Publication Date
JP2016510147A JP2016510147A (ja) 2016-04-04
JP6106767B2 true JP6106767B2 (ja) 2017-04-05

Family

ID=51391653

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015557985A Expired - Fee Related JP6106767B2 (ja) 2013-02-19 2013-02-19 サイバー物理システムの調整を補助する方法

Country Status (4)

Country Link
US (2) US9471789B2 (ja)
EP (1) EP2959413B1 (ja)
JP (1) JP6106767B2 (ja)
WO (1) WO2014130015A1 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10356109B2 (en) * 2014-07-21 2019-07-16 Entit Software Llc Security indicator linkage determination
US9894090B2 (en) * 2015-07-14 2018-02-13 Sap Se Penetration test attack tree generator
US10430721B2 (en) 2015-07-27 2019-10-01 Pivotal Software, Inc. Classifying user behavior as anomalous
US10169220B2 (en) * 2016-08-05 2019-01-01 International Business Machines Corporation Prioritizing resiliency tests of microservices
US10102111B2 (en) 2016-08-05 2018-10-16 International Business Machines Corporation Prioritizing resiliency tests of microservices
US20180150043A1 (en) * 2016-11-14 2018-05-31 United States Department Of Energy Cyber-physical system model for monitoring and control
CN107277828B (zh) * 2017-06-30 2020-09-29 天津大学 一种均衡系统失效风险的信息物理系统规划方法
US11943236B2 (en) * 2018-04-26 2024-03-26 Hitachi Energy Ltd Technologies for detecting cyber-attacks against electrical distribution devices
US11399042B2 (en) * 2018-07-25 2022-07-26 George Mason University Secure overlay communication model for decentralized autonomous power grid
US10764149B2 (en) 2018-09-12 2020-09-01 The Mitre Corporation Cyber-physical system evaluation
EP3867765A4 (en) * 2018-10-18 2022-08-10 University of Notre Dame du Lac GUIDED SECURITY ANALYSIS FOR CYBERPHYSICAL SYSTEMS
US10896261B2 (en) * 2018-11-29 2021-01-19 Battelle Energy Alliance, Llc Systems and methods for control system security
US11184385B2 (en) 2018-12-03 2021-11-23 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11281806B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11159555B2 (en) 2018-12-03 2021-10-26 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11283825B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Leveraging attack graphs of agile security platform
US11277432B2 (en) 2018-12-03 2022-03-15 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US10949406B1 (en) 2019-03-25 2021-03-16 Amazon Technologies, Inc. Compliance lifecycle management for cloud-based resources
US11238154B2 (en) * 2019-07-05 2022-02-01 Mcafee, Llc Multi-lateral process trees for malware remediation
US11695795B2 (en) 2019-07-12 2023-07-04 Accenture Global Solutions Limited Evaluating effectiveness of security controls in enterprise networks using graph values
EP3872665A1 (en) 2020-02-28 2021-09-01 Accenture Global Solutions Limited Cyber digital twin simulator for security controls requirements
US11876824B2 (en) 2020-06-25 2024-01-16 Accenture Global Solutions Limited Extracting process aware analytical attack graphs through logical network analysis
US11411976B2 (en) 2020-07-09 2022-08-09 Accenture Global Solutions Limited Resource-efficient generation of analytical attack graphs
US11483213B2 (en) 2020-07-09 2022-10-25 Accenture Global Solutions Limited Enterprise process discovery through network traffic patterns
WO2022042889A1 (en) * 2020-08-24 2022-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Technique for determining a safety-critical state
US12034756B2 (en) 2020-08-28 2024-07-09 Accenture Global Solutions Limited Analytical attack graph differencing
US20240242226A1 (en) * 2020-10-01 2024-07-18 Billd,LLC System and method for rule extraction and compliance analysis
US11831675B2 (en) 2020-10-26 2023-11-28 Accenture Global Solutions Limited Process risk calculation based on hardness of attack paths
US11973790B2 (en) 2020-11-10 2024-04-30 Accenture Global Solutions Limited Cyber digital twin simulator for automotive security assessment based on attack graphs
US11880250B2 (en) 2021-07-21 2024-01-23 Accenture Global Solutions Limited Optimizing energy consumption of production lines using intelligent digital twins
US11895150B2 (en) 2021-07-28 2024-02-06 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7196691B1 (en) * 2001-11-14 2007-03-27 Bruce Martin Zweig Multi-key macros to speed data input
US7971252B2 (en) * 2006-06-09 2011-06-28 Massachusetts Institute Of Technology Generating a multiple-prerequisite attack graph
US8762188B2 (en) 2008-05-12 2014-06-24 Ut-Battelle, Llc Cyberspace security system
US8374840B2 (en) 2008-10-14 2013-02-12 Nec Laboratories America, Inc. System and method for feedback-guided test generation for cyber-physical systems using monte-carlo
JP2010244139A (ja) * 2009-04-01 2010-10-28 Toshiba Corp 対策網羅性検査装置

Also Published As

Publication number Publication date
US20150261958A1 (en) 2015-09-17
US20170004311A1 (en) 2017-01-05
EP2959413A1 (en) 2015-12-30
EP2959413B1 (en) 2019-12-25
US10185833B2 (en) 2019-01-22
EP2959413A4 (en) 2016-08-03
JP2016510147A (ja) 2016-04-04
WO2014130015A1 (en) 2014-08-28
US9471789B2 (en) 2016-10-18

Similar Documents

Publication Publication Date Title
JP6106767B2 (ja) サイバー物理システムの調整を補助する方法
Zografopoulos et al. Cyber-physical energy systems security: Threat modeling, risk assessment, resources, metrics, and case studies
Chung et al. Local cyber-physical attack for masking line outage and topology attack in smart grid
Parthasarathy et al. Bloom filter based intrusion detection for smart grid SCADA
Anwar et al. Anomaly detection in electric network database of smart grid: Graph matching approach
Albarakati et al. Security monitoring of IEC 61850 substations using IEC 62351-7 network and system management
Chromik et al. An integrated testbed for locally monitoring SCADA systems in smart grids
Khan et al. Cybersafety: A system-theoretic approach to identify cyber-vulnerabilities & mitigation requirements in industrial control systems
Venkataramanan et al. Cyphyr: a cyber‐physical analysis tool for measuring and enabling resiliency in microgrids
Duman et al. Modeling supply chain attacks in IEC 61850 substations
Akbarzadeh et al. Dependency-based security risk assessment for cyber-physical systems
Venkataramanan et al. Enhancing microgrid resiliency against cyber vulnerabilities
Ling et al. A threat modeling language for generating attack graphs of substation automation systems
Ten et al. Cybersecurity for electric power control and automation systems
Duman et al. Factor of security (FoS): quantifying the security effectiveness of redundant smart grid subsystems
Anwar et al. Automatic security assessment of critical cyber-infrastructures
Rahimpour et al. Cybersecurity challenges of power transformers
Hossain-McKenzie Protecting the power grid: strategies against distributed controller compromise
Xu et al. A minimum defense cost calculation method for attack defense trees
Hahn Cyber security of the smart grid: Attack exposure analysis, detection algorithms, and testbed evaluation
Palomino et al. Graph-based interdependent cyber-physical risk analysis of power distribution networks
Hong Cyber security of substation automation systems
Lusk et al. Cyber-Intrusion Auto-Response and Policy Management System (CAPMS)
Netkachov et al. Quantitative Evaluation of the Efficacy of Defence-in-Depth in Critical Infrastructures
Bader et al. METRICS: A Methodology for Evaluating and Testing the Resilience of Industrial Control Systems to Cyberattacks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170306

R150 Certificate of patent or registration of utility model

Ref document number: 6106767

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees