JP6869869B2 - 制御システムのための対策立案システムおよび監視装置 - Google Patents

制御システムのための対策立案システムおよび監視装置 Download PDF

Info

Publication number
JP6869869B2
JP6869869B2 JP2017206707A JP2017206707A JP6869869B2 JP 6869869 B2 JP6869869 B2 JP 6869869B2 JP 2017206707 A JP2017206707 A JP 2017206707A JP 2017206707 A JP2017206707 A JP 2017206707A JP 6869869 B2 JP6869869 B2 JP 6869869B2
Authority
JP
Japan
Prior art keywords
countermeasure
business
pattern
communication
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017206707A
Other languages
English (en)
Other versions
JP2019080211A (ja
Inventor
宏樹 内山
宏樹 内山
熊谷 洋子
洋子 熊谷
訓 大久保
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017206707A priority Critical patent/JP6869869B2/ja
Publication of JP2019080211A publication Critical patent/JP2019080211A/ja
Application granted granted Critical
Publication of JP6869869B2 publication Critical patent/JP6869869B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、制御システムのための対策立案システムおよび監視装置に関する。
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、予め設定されている圧力や温度を保つことが要求される。
この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的な通信が発生し、その通信データをもとに処理を行うことが通例である。
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS攻撃(Denial of Service attack)といったサイバー攻撃からは無縁であると考えられてきた。
しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスといったセキュリティインシデントを検知し、対策する技術が必要となっている。
このような課題に対し、セキュリティインシデントの種別毎に対策内容を予め定めておき、セキュリティインシデント検知時に発生した種別をもとに対策を抽出し、実行する技術が知られている(例えば、特許文献1参照)。
特開2012−226680号公報
特許文献1等で知られた技術を用いれば、予め定められた対策を選定して適用することは可能になる。しかしながら、制御システムにおいては、制御のアプリケーションによって、実行される業務の内容が変化し、ネットワークの通信経路等も変化する。このため、実行中の業務と関わりなく、予め定められた対策を選定し適用しては、選定された対策が実行中の業務に適合せず、業務に大きな影響を与える可能性がある。
本発明は、上記事情に鑑みてなされたものであり、制御システム内で実行されている業務への影響を加味して対策を提供することを目的とする。
本発明に係る代表的な対策立案システムは、制御システムのための対策立案システムであって、複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたことを特徴とする。
本発明によれば、制御システム内で実行されている業務への影響を加味して対策を提供することが可能となる。
対策立案システムの構成の例を示す図である。 制御装置、不正接続防止装置、および監視装置の構成の例を示す図である。 ネットワーク装置の構成の例を示す図である。 試運転時に通信ログを収集する処理フローの例を示す図である。 業務パターンを抽出する処理フローの例を示す図である。 業務影響を推定する処理フローの例を示す図である。 運用時の対策に関する処理フローの例を示す図である。 業務関連情報入力画面の例を示す図である。 対策選定画面の例を示す図である。 対策選定結果画面の例を示す図である。 アラートの情報の例を示す図である。 通信ログの情報の例を示す図である。 業務パターンの情報の例を示す図である。 対策パターンの情報の例を示す図である。
本発明の一実施形態について以下に説明する。なお、以下に説明する一実施形態に本発明は限定されるものではない。
図1は、対策立案システムの構成の例を示す図である。この対策立案システムは制御システム向けであり、図1に例示するように、制御装置10−1〜10−n(nは2以上の整数、nが3以上の場合、制御装置10−2〜10−(n−1)の図示を省略)と、ネットワーク装置20と、不正接続防止装置30と、監視装置40と、ネットワーク50と、から構成されている。
ここで、ネットワーク50は複数存在しても良く、ネットワーク装置20と不正接続防止装置30はネットワーク50毎に複数存在しても良い。不正接続防止装置30は存在しなくても良い。ネットワーク装置20と不正接続防止装置30は一つの装置であっても良い。
制御装置10−1〜10−nのそれぞれは、制御処理を行う制御処理部101−1〜101−nのそれぞれと、ネットワーク50やネットワーク装置20等と通信を行う通信部102−1〜102−nのそれぞれと、を含む。
ネットワーク装置20は、ネットワーク装置20に入力される通信パケットをフィルタリングするフィルタリング部201と、フィルタリング部201で不正な通信を検知した際にアラートを生成するアラート生成部202と、ネットワーク装置20に入力される通信パケットに関するログを収集する通信ログ収集部203と、フィルタリング部201で参照するフィルタリングポリシを更新するポリシ更新部204と、を含む。
また、ネットワーク装置20は、ネットワーク装置20の動作モードを管理するモード管理部205と、ネットワーク50と通信を行う第一通信部206と、フィルタリング部201で参照するフィルタリングポリシを格納するフィルタリングポリシ格納部207と、通信ログ収集部203で収集した通信ログを格納する通信ログ格納部208と、制御装置10−nと通信を行う第二通信部209と、を含む。なお、ネットワーク装置20は、3つ以上の通信部を保有しても良い。
不正接続防止装置30は、ネットワーク50上に不正な機器が接続されたことを検知する不正接続検知部301と、不正接続検知部301で不正接続を検知した際にアラートを生成するアラート生成部302と、不正接続検知部301で参照する正当機器リストを更新するリスト更新部303と、ネットワーク50と通信を行う通信部304と、不正接続検知部301で参照する正当機器リストを格納する正当機器リスト格納部305と、を含む。
また、不正接続防止装置30は、不正な接続と検知された機器をネットワーク50から切り離す処理を行っても良い。この切り離しの処理は、ネットワーク50が実際はネットワークスイッチ等で構成される場合、ネットワークスイッチのポートを遮断するための処理であっても良く、監視装置40からのコマンドに応じて不正接続防止装置30がネットワークスイッチ等を制御しても良い。
監視装置40は、ネットワーク装置20や不正接続防止装置30で生成したアラートを収集するアラート収集部401と、収集したアラートを用いて原因を分析する原因分析部402と、原因分析部402の分析結果に基づき、対策を立案する対策立案部403と、ネットワーク装置20で収集した通信ログを収集する通信ログ収集部404と、収集した通信ログを用いて制御システム内で実行されている業務のパターンを抽出する業務抽出部405と、を含む。
また、監視装置40は、ネットワーク50と通信を行う通信部406と、対策立案部403で立案する対策の制御システム内で実行されている業務への影響を推定する業務影響推定部407と、アラート収集部401で収集したアラートを格納するアラート格納部408と、通信ログ収集部404で収集した通信ログを格納する通信ログ格納部409と、を含む。
さらに、監視装置40は、業務抽出部405で抽出した業務パターンを格納する業務パターン格納部410と、対策立案部403で対策を立案する際に参照する対策のリストを格納する対策パターン格納部411と、業務抽出部405で業務を抽出した際に業務情報を入力し、対策立案部403で対策を立案した結果を出力する入出力部412と、監視装置40の動作モードを管理するモード管理部413を含む。
図2は、制御装置10−1〜10−n、不正接続防止装置30、および監視装置40のハードウェア構成の例を示す図である。制御装置10−1〜10−n、不正接続防止装置30、および監視装置40は、同じハードウェア構成であっても良く、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、がバス等の内部通信線16で連結され、構成されている。
通信装置11は、図1に例示した通信部102−1〜102−n、通信部304、あるいは通信部406に含まれる。入出力装置12は、図1に例示した入出力部412に含まれる。記憶装置13は、図1に例示した正当機器リスト格納部305、アラート格納部408、通信ログ格納部409、業務パターン格納部410、あるいは対策パターン格納部411を含む。
CPU14は、プロセッサであり、メモリ15に格納されたプログラムを読み出して実行することにより、メモリ15あるいは記憶装置13とデータを読み書きし、データを処理して、通信装置11と入出力装置12を制御する。これによりCPU14は、図1に例示した制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40内の各部となっても良い。このため、各部を主語とする説明は、CPU14を主語とする説明に置き換えられても良い。
メモリ15は、プログラムあるいはデータを格納する。メモリ15に格納されるプログラムあるいはデータは、記憶装置13との間でコピーされても良い。なお、制御装置10−1〜10−n、不正接続防止装置30、あるいは監視装置40は、図2では図示されない回路を含んでも良いし、図2に例示する構成の一部を含まなくても良い。
図3はネットワーク装置20のハードウェア構成の例を示す図である。ネットワーク装置20は、第一通信装置21−1と、第二通信装置21−2と、入出力装置22と、記憶装置23と、CPU24と、メモリ25と、がバス等の内部通信線26で連結され、構成されている。
入出力装置22からメモリ25までは、図2を用いて説明した入出力装置12からメモリ15までのそれぞれと同じ説明であるので、説明を省略する。第一通信装置21−1は第一通信部206に含まれ、第二通信装置21−2は第二通信部209に含まれる。なお、ネットワーク装置20は、3つ以上の通信装置を保有しても良い。
以下では、制御システム向け対策立案システムにおける処理フローについて説明する。以下で説明する処理フローは、制御装置10−1〜10−n、ネットワーク装置20、不正接続防止装置30、および監視装置40の記憶装置13、23に格納されたプログラムが、メモリ15、25にロードされ、CPU14、24により実行されることで制御システム向け対策立案システムを構成する装置上に具現化された各処理部、により実行されるものである。
このため、各装置を主語とする説明は、CPU14、24を主語とする説明に置き換えられても良い。また、ロードされて実行される各プログラムは、予め記憶装置13、23に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、実行のため必要なときに導入されても良い。
図4は、制御システム向け対策立案システムにおいて、制御システムの試運転時等に実行される処理フローの例を示す図である。制御システムの試運転時では、ネットワーク装置20と監視装置40の動作モードが初期モードに設定され、制御システムの運用時はこれらの動作モードが運用モードに設定される。
このため、はじめに、ネットワーク装置20は、ネットワーク装置20の動作モードを初期モードに設定する(ステップS401)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
また、監視装置40は、監視装置40の動作モードを初期モードに設定する(ステップS402)。ここで、動作モードが初期モードに設定できない、もしくは、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。なお、ステップS401、S402は、ネットワーク50経由で受信した信号をトリガに実行されても良いし、ユーザの操作により実行されても良い。
次に、制御装置10−1は、制御コマンドを生成し(ステップS403)、生成した制御コマンドを制御装置10−nに向けて送信する。ここで、制御装置10−1と制御装置10−nの間にはネットワーク装置20が存在するため、ネットワーク装置20が制御コマンドを受信する。
ネットワーク装置20は、制御装置10−1から受信した制御コマンドに関する通信ログを格納し(ステップS404)、受信した制御コマンドを制御装置10−nに送信する。なお、通信ログの構成については、図12を用いて後で説明する。
制御装置10−nは、ネットワーク装置20から制御コマンドを受信すると、受信した制御コマンドにしたがって制御システムとしての制御業務を実行し(ステップS405)、実行した結果を示すレスポンスを制御装置10−1に向けて送信する。
ネットワーク装置20は、受信したレスポンスに関する通信ログを格納し(ステップS406)、受信したレスポンスを制御装置10−1に送信する。そして、試運転が終了したかを判定する(ステップS407)。この試運転の終了の判定は、ネットワーク装置20に終了の信号や指示が与えられたことを判定しても良いし、予め送受信される通信パケットの数が定められていて、その数のパケットが通過したかを判定しても良い。
その結果、試運転が終了していないと判定された場合、ネットワーク装置20は次の制御コマンドの来るのを待機する(ステップS408)。一方、試運転が終了していると判定された場合、ネットワーク装置20は通信ログ格納部208に格納されている通信ログ群を取得する(ステップS409)。
そして、ネットワーク装置20は、取得した通信ログ群を監視装置40に送信し、ネットワーク装置20の動作モードを運用モードに設定する(ステップS410)。これに対し、監視装置40は、ネットワーク装置20から通信ログ群を受信すると、受信した通信ログ群を通信ログ格納部409に格納する(ステップS411)。
監視装置40は、通信ログ格納部409に格納されている通信ログを用いて、業務パターンを抽出し(ステップS412)、業務影響を推定し(ステップS413)、監視装置40の動作モードを運用モードに設定する(ステップS414)。業務パターンの抽出処理と業務影響の推定処理については、図5、6を用いて後で説明する。
図5は、監視装置40で実行する試運転時に収集した通信ログから業務パターンを抽出する処理フローの例を示す図である。この処理フローは、図4に示したステップS412の処理に相当し、監視装置40の中では、業務抽出部405により実行されても良い。
はじめに、監視装置40は、業務パターン抽出処理を開始し(ステップS501)、通信ログ格納部409から通信ログを取得する(S502)。ここで、取得する通信ログは、通信ログ格納部208に格納されている通信ログのデータ量を検出し、検出したデータ量の通信ログであっても良いし、予め定められたデータ量の通信ログであっても良い。
次に、監視装置40は、取得した通信ログに含まれる送信元と送信先の情報を用いて、通信経路分析を行なう(ステップS503)。通信経路分析は、複数の通信に分かれた1本の通信経路を特定する分析であり、ある通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出し、送信元の一致で抽出した通信ログの送信先と、それ以降の通信ログの送信元と、が一致する通信ログを抽出すること、を繰り返す。
例えば、送信元が制御装置10−aであり送信先が制御装置10−bである通信ログAに対して、送信元が制御装置10−bであり送信先が制御装置10−cである通信ログBが抽出され、この抽出された通信ログBに対して、送信元が制御装置10−cであり送信先が制御装置10−dである通信ログCが抽出された場合、制御装置10−aから制御装置10−dまでが分析された通信経路であり、通信ログAと通信ログBと通信ログCが一連の通信ログである。
監視装置40は、通信ログの日時情報を用いて、ステップS503で抽出した一連の通信ログの間隔評価を行う(ステップS504)。このために、一連の通信ログの中で、送信先と送信元で通信が連続する任意の2つの通信ログの受信日時の差分を算出する。すなわち、通信ログAの受信日時と通信ログBの受信日時の差分を算出し、通信ログBの受信日時と通信ログCの受信日時の差分を算出する。
監視装置40は、算出した一連の通信ログの受信日時の差分から、業務パターンを抽出する(ステップS505)。業務パターンの抽出は、例えば一連の通信ログの中で2つ受信日時の差分が1秒以内等の予め定められた一定時間以内である通信ログを同一の業務に関する通信ログと見なし、一定時間以上である通信ログを異なる業務に関する通信ログと見なして、同一の業務に関する通信ログを業務パターンとする。
また、ステップS503で分析された通信経路が、完全に同一通信経路となる複数の業務パターンがあると判定した場合、監視装置40は、それらの業務パターン間の実行周期を抽出する。この実行周期は、各業務パターンに関わる通信ログの最初の受信日時同士の周期であっても良い。
監視装置40は、業務パターン格納部410に既に何らかの業務パターンが格納されているか判定する(ステップS506)。その結果、格納されていないと判定された場合には、以降のステップS509を実行する。
ステップS506で格納されていると判定された場合、監視装置40は、業務パターン格納部410から業務パターンを取得し(S507)、取得した業務パターンとステップS505で抽出した業務パターンの差分を抽出する(S508)。
ステップS505で抽出した業務パターンには、業務パターン格納部410に既に格納済みの業務パターンが含まれる可能性もあるため、ステップS508で抽出した差分の業務パターンは、これまでに無い新たな業務パターンである。ここでの業務パターンについては、図13を用いて後で説明する。
ステップS509において監視装置40は、ステップS505で抽出した業務パターンあるいはステップS508で抽出した差分の業務パターンに対して、業務の名称や業務の重要度といった関連情報の入力を受け付け、抽出した業務毎にIDを割り振り、送信元、送信先、中継経路といった通信経路情報、周期情報とともに業務パターン格納部410に格納する。
業務関連情報の入力画面の例については、図8を用いて後で説明する。業務の重要度は例えば高、中、低や10段階の数値等での入力を受け付け、業務の継続が要求されるものほど高くなることが好ましい。そして、監視装置40は、処理を終了する(ステップS510)。
なお、業務パターンの抽出に関しては試運転時の通信ログを使用する処理以外に、ユーザから直接に業務パターンの設定を受け付けても良いし、システム設計書等のドキュメントに記載された情報から抽出しても良いが、これらの処理に限定されるものではない。
また、図5に例示した処理フローは、試運転時に限らず、予め設定された一定間隔で実行されても良いし、新たな業務を追加された場合等に、何らかの処理によりその追加等を検出して実行されても良い。
図6は、監視装置40で業務パターン抽出後に実施する対策の業務への影響を推定する処理フローの例を示す図である。この処理フローは、図4に示したステップS413の処理に相当し、監視装置40の中では、業務影響推定部407により実行されても良い。
はじめに、監視装置40は、業務影響推定処理を開始し(ステップS601)、対策パターン格納部411から対策パターンを取得し(ステップS602)、業務パターン格納部410に格納されている業務パターンを取得する(ステップS603)。ここでの対策パターンについては、図14を用いて後で説明する。
次に、監視装置40は、ステップS602で取得した対策パターンとステップS603で取得した業務パターンを用いて影響を受ける業務を推定する(S604)。影響業務推定は、対策パターン毎に規定されているネットワーク遮断や機器切断といった対策内容と、各業務パターンの通信経路との突合せを行い、各対策パターンを実行した場合に影響を受ける業務とその影響内容(停止や部分停止)を抽出する。ここで、停止や部分停止の判断として、例えば、各業務パターンにおける通信が全て停止してしまうケースを停止とし、一部分の通信が停止するケースを部分停止にするなどが考えられるが、これに限定されるものではない。
抽出した影響を受ける業務とその影響内容から、監視装置40は影響度を算出する(ステップS605)。影響度算出は、例えば影響を受ける業務の重要度を定量化(高の場合は3、中の場合は2、低の場合は1と数値化)し、影響内容を定量化(停止の場合は1、部分停止の場合は0.5と数値化)し、乗算して算出する。
また、一つの対策が実行されると複数の業務が影響を受ける場合、業務毎に影響度が算出され、算出された中で最も大きい影響度を最終的な影響度としても良いし、算出された複数の影響度の和を最終的な影響度としても良いが、これらの処理に限定されるものではない。
監視装置40は、ステップS604で影響を受ける業務があると抽出された各対策パターンであって、対策パターン格納部411の各対策パターンに、影響を受ける業務と影響内容と影響度を格納する(ステップS606)。そして、監視装置40は、処理を終了する(ステップS607)。
図7は、制御システム向け対策立案システムにおいて、制御システムの運用時に実行される処理フローの例を示す図である。制御システムの運用時であるので、制御装置10−1〜制御装置10−nの中の複数の制御装置間で通信をしているが、この通信そのものが、どのような制御のための通信であるかは、以下の説明とは関係ないため、図示と説明を省略する。
制御システムの運用の中で、ネットワーク装置20は、フィルタリングポリシ格納部207に格納されているフィルタリングポリシを用いて、不正な通信の発生といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS701)、生成したアラートを監視装置40に送信する。
また、不正接続防止装置30も、制御システムの運用の中で、正当機器リスト格納部305に格納されている正当機器リストを用いて、不正な機器接続といったセキュリティインシデントの発生を検知し、アラートを生成し(ステップS702)、生成したアラートを監視装置40に送信する。
このようにアラートが監視装置40に送信されると、監視装置40は、アラートを受信し、受信したアラートをアラート格納部408に格納する(S703)。ここでのアラートについては、図11を用いて後で説明する。次に、監視装置40は、格納したアラートを用いて、セキュリティインシデントの原因となった装置やネットワークを特定する(ステップS704)。すなわち原因分析部402が原因を分析する。
監視装置40は、ステップS704で特定された原因となった装置やネットワークの種類やインシデントの種別を示す原因内容に基づき、適用可能な対策候補を対策パターン格納部411から抽出する(ステップS705)。すなわち対策立案部403が対策を立案する。この抽出した対策候補を監視装置40は出力する(ステップS706)。
対策候補の画面への出力の例については、図9を用いて後で説明する。この出力の内容は、過去に選定された対策の履歴あるいは実績の情報が含まれても良い。このような情報が含まれることにより、次のステップのユーザによる対策の選定に役立つ。
出力した対策候補の中からのユーザによる対策の選定入力を、監視装置は受け付ける(ステップS707)。対策の選定結果画面の例については、図10を用いて後で説明する。なお、図10では、単一の対策が選定される例を示しているが、単一に限らず、複数の対策が選定されても良い。また、選択に関する情報が、対策の履歴として記録されても良い。
そして、監視装置40は、選定された対策を実行する(ステップS708)。このために、監視装置40は対策コマンドを対象機器に送信する。図7では、監視装置40がネットワーク装置20に対して送信する例を示している。以上のステップS705〜S708は、対策立案部403により実行されても良い。
なお、図7の例では、対策候補を出力する、すなわち監視員等のユーザに対して画面を表示し、業務への影響を可視化した上で、ユーザにより対策が選定される流れを示しているが、対策の影響度が低の場合等は、その場合を判定してステップS706をスキップし、画面を表示させず、ステップS707において監視装置40が影響度の低の対策を選定しても良い。
監視装置40から送信された対策コマンドを受信したネットワーク装置20は、受信した対策コマンドをもとにフィルタリングポリシ格納部207に格納されているフィルタリングポリシを更新する(ステップS708)。
図8は、監視装置40が出力する業務関連情報入力画面の例を示す図である。業務関連情報入力画面801は、図5に示したステップS509で表示される画面であり、入出力部412で表示されても良く、システム構成802と業務一覧803から構成される。
業務一覧803は、業務ID804と、通信経路805と、周期806と、業務名807と、重要度808の情報から構成され、テーブルとして表示される。業務ID804は、ステップS509で業務毎に割り振られたIDが表示され、通信経路805は、ステップS503で分析された通信経路が表示され、周期806は、ステップS505で抽出された周期が表示される。
また、業務名807と重要度808の入力欄809は、ユーザによる入力を促すものであり、入力される情報の内容は、図5を用いて説明したとおりである。入力欄809への入力は、図示を省略したキーボードが用いられても良いし、入力欄809が高、中、低や数値のプルダウンメニューとなっており、プルダウンメニューの中から選択されても良い。
システム構成802は、制御システムの構成と、業務ID804および通信経路805の情報に対応した各業務の通信経路が表示される。この表示をユーザが確認することにより、業務名807や重要度808の入力欄809への入力ミスを低減することが可能となる。
なお、業務関連情報入力画面801に表示される内容は、図8の例に限定されるものではなく、図8に示した例の内容が含まれていれば良く、表示の位置と順序も図8の例に限定されるものではない。
ステップS503〜S505において、業務の抽出が漏れる場合もあるため、業務関連情報入力画面801において、業務ID804、通信経路805、および周期806も入力可能とし、新たな業務情報(業務ID804、通信経路805、周期806、業務名807、重要度808)を業務一覧803に追加可能としても良い。
図9は、監視装置40が出力する対策選定画面の例を示す図である。対策選定画面901は、図7に示したステップS706で選定対象の候補が表示される画面であり、入出力部412で表示されても良く、システム構成902と対策候補一覧903から構成される。
システム構成902は、制御システムの構成が表示される。また、対策候補一覧903は、対策ID904と、影響業務名905と、通信経路906と、重要度907と、影響内容908と、影響度909と、選定回数910から構成され、テーブルとして表示される。
対策ID904は、ステップS705で抽出された対策候補のIDであり、対策パターン格納部411に格納された情報である。影響業務名905、通信経路906、および重要度907は、対策パターン格納部411の情報において対策ID904のIDに対応する影響業務IDが得られ、得られた影響業務IDを基に業務パターン格納部410から得られる情報である。
影響内容908、影響度909、および選定回数910は、対策パターン格納部411の情報において対策ID904のIDに対応する情報である。なお、対策選定画面901に表示される内容は、図9の例に限定されるものではなく、図9に示した例の内容が含まれていれば良く、表示の位置と順序も図9の例に限定されるものではない。
図10は、監視装置40が出力する対策選定結果画面の例を示す図である。対策選定結果画面1001は、図7に示したステップS707で表示される画面であり、入出力部412で表示されても良く、業務影響表示1002と対策候補一覧1003から構成される。
対策候補一覧1003は、対策ID1004と、影響業務名1005と、通信経路1006と、重要度1007と、影響内容1008と、影響度1009と、選定回数1010から構成され、テーブルとして表示されるが、その内容は、対策候補一覧903と同じである。
対策候補一覧1003の中の選定された対策1011は、ユーザのカーソル操作等により選定された対策であり、選定された対策1011内に含まれる表示は、例えば表示色が変わる等しても良い。
図10の例では、対策ID1004の「001」が選定され、選択された対策は、通信経路1006の「制御装置A」と「制御装置B」の通信、「制御装置A」と「制御装置C」の通信、および「制御装置A」と「制御装置D」の通信が、影響内容1008の「停止」となる対策である。
業務影響表示1002は、図8に示したシステム構成802と同じであるが、選定された対策を実行した場合の影響をユーザにわかりやすく表示するため、対策ID1004の「001」の対策に対応する通信経路1006の通信において影響内容1008の「停止」を示すバツ印が表示される。
なお、対策選定結果画面1001に表示される内容は、図10の例に限定されるものではなく、図10に示した例の内容が含まれていれば良く、表示の位置と順序も図10の例に限定されるものではない。
図11は、監視装置40のアラート格納部408に格納されるアラートの情報の例を示す図である。図7を用いて説明したネットワーク装置20と不正接続防止装置30により生成されるアラートおよび送信されるアラートが、図11に示すアラートと同じ情報を含んでも良い。
アラートは、アラートの発生日時1101と、アラートの種別を示すアラート項目1102と、アラート項目に関連して出力されるアラート関連情報1103から構成される。アラート関連情報1103は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報を含んでも良い。
なお、アラートに含まれる情報は、図11の例に限定されるものではなく、図11に示した例の情報が含まれていれば良く、情報の順序も図11の例に限定されるものではない。
図12は、ネットワーク装置20の通信ログ格納部208と監視装置40の通信ログ格納部409に格納される通信ログの情報の例を示す図である。図4を用いて説明したネットワーク装置20により送信される通信ログ群が、図12に示す通信ログと同じ情報を含んでも良い。
通信ログは、ネットワーク装置20が通信パケットを受信した受信日時1201と、受信した通信パケットのヘッダ1202から構成される。そして、ヘッダ1202は、送信元1203、送信先1204、プロトコル1205、ポート1206から構成される。
通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、最初に送信(受信)された通信パケットの送信元1203は制御装置10−a、送信先1204は制御装置10−bとなり、次に送信(受信)された通信パケットの送信元1203は制御装置10−b、送信先1204は制御装置10−cとなる。
ポート1206は、送信先のポートであるが、送信元のポートであっても良い。なお、通信ログに含まれる情報は、図12の例に限定されるものではなく、図12に示した例の情報が含まれていれば良く、情報の順序も図12の例に限定されるものではない。
図13は、監視装置40の業務パターン格納部410に格納される業務パターンの情報の例を示す図である。業務パターンは、業務ID1301と、送信元1302と、送信先1303と、中継経路1304と、周期1305と、業務名1306と、重要度1307と、から構成される。これらの情報は、図5に示したステップS509にて設定される。
業務ID1301は、業務毎に割り振られたIDである。通信パケットの通信経路が、制御装置10−aから制御装置10−bに送信し、制御装置10−bから制御装置10−cへ送信するという経路の場合、送信元1302は制御装置10−aとなり、送信先1303は制御装置10−cとなり、中継経路1304は制御装置10−bとなる。
通信パケットの通信経路が、さらに多くの制御装置を含む場合、中継経路1304に含まれる制御装置の情報が増える。周期1305は、ステップS505にて抽出された業務パターン間の実行周期である。業務名1306と重要度1307は、図8に示した入力欄809にそれぞれ入力された情報である。
なお、業務パターンに含まれる情報は、図13の例に限定されるものではなく、図13に示した例の情報が含まれていれば良く、情報の順序も図13の例に限定されるものではない。
図14は、監視装置40の対策パターン格納部411に格納される対策パターンの情報の例を示す図である。対策パターンは、原因内容1401、対策ID1402、対策機器1403、対策内容1404、影響業務ID1405、影響内容1406、影響度1407、および履歴1408から構成される。これらの中で影響業務ID1405、影響内容1406、影響度1407と履歴1408以外は、予め設定されていることが好ましい。
原因内容1401は、セキュリティインシデントの種別あるいはセキュリティインシデントの原因となった装置やネットワークの情報であり、アラートの情報と比較できる情報であることが好ましい。対策ID1402は、対策を識別するIDである。対策機器1403は、原因内容1401の原因への対策を実施する機器を識別する情報である。
対策内容1404は、対策機器1403で識別される機器に対して送信するコマンドや設定変更値の情報である。この情報には、対策により遮断される通信や機器および対策により動作の停止される機器等の情報が含まれていることが好ましい。
影響業務ID1405は、対策ID1403のIDの対策を実行した際に影響を受ける業務を識別するIDである。影響内容1406は、影響業務ID1405の業務IDそれぞれの業務が停止する、あるいは部分停止するといった影響の情報である。
影響度1407は、図6に示したステップS605にて算出される値であり、影響を受ける業務の重要度や影響内容を基に算出される値である。履歴1408は、図7に示したステップS707にて選定された回数を、対策ID1402のID毎に計数するための情報である。
このため、履歴1408に含まれる回数は、ステップS707にて選定されるたびに値の1が加算されても良く、入出力部412を介した入力に応じて値の0にリセットされても良い。履歴1408は、選定された回数以外に、業務IDと対策IDの組合せに関する過去の対策の他の情報が含まれても良い。
なお、影響業務ID1405は、図6に示したステップS604にて推定されても良い。この場合、影響内容1406は、対策機器1403と対策内容1404に応じて推定されていても良い。一方、影響業務ID1405や影響内容1406を予め設定しても良い。この場合、ステップS604はスキップされても良い。
また、対策パターンに含まれる情報は、図14の例に限定されるものではなく、図14に示した例の情報が含まれていれば良く、情報の順序も図14の例に限定されるものではない。
以上で説明したように、制御システム向け対策立案システムは、通信ログに基づき実際の通信から通信経路を抽出し、業務パターンを抽出できる。そして、抽出された業務パターンに対して、業務の重要度の入力を受け付け、業務パターンの情報に含めることができる。これにより、予め設定された対策パターンと、抽出された業務パターンとの間で対策の影響度を算出することが可能となる。
また、セキュリティインシデントの発生を検出すると、対策候補を影響度とともに提供できる。これにより、業務への影響を加味した対策の選定が可能となる。この影響は、業務の通信経路とともに可視化することも可能となる。
なお、本発明は、以上の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。例えば、ネットワーク装置や不正接続防止装置以外の検知装置が接続されている場合や、監視装置内にネットワーク装置や不正接続防止装置の機能が含まれている場合や、制御装置や監視装置やネットワーク装置や不正接続防止装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合等である。これらの実施形態の場合においてもシステム全体において行う処理に本質的な変更の必要はない。
20:ネットワーク装置、30:不正接続防止装置、40:監視装置、402:原因分析部、403:対策立案部、405:業務抽出部、407:業務影響推定部、50:ネットワーク

Claims (15)

  1. 制御システムのための対策立案システムであって、
    複数の制御装置間で通信されるパケットを受信して中継し、受信したパケットの通信ログを収集して送信し、受信したパケットの不正を検知してアラートを送信するネットワーク装置、および
    前記ネットワーク装置により送信された通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、前記ネットワーク装置により送信されたアラートと対策パターンに基づき対策候補を抽出する対策立案部と、影響業務を含めて対策候補を出力する入出力部と、を含む監視装置、を備えたこと
    を特徴とする対策立案システム。
  2. 請求項1に記載の対策立案システムであって、
    前記ネットワーク装置は、
    送信元と送信先の情報と前記ネットワーク装置が受信した日時を含む通信ログを収集して送信し、
    前記業務抽出部は、
    前記ネットワーク装置により送信された通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる受信日時と前記第2の通信ログに含まれる受信日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
    を特徴とする対策立案システム。
  3. 請求項2に記載の対策立案システムであって、
    前記業務抽出部は、
    分析された通信経路が一致する複数の業務パターンに関わる受信日時の周期を抽出すること
    を特徴とする対策立案システム。
  4. 請求項3に記載の対策立案システムであって、
    前記業務抽出部は、
    分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
    を特徴とする対策立案システム。
  5. 請求項4に記載の対策立案システムであって、
    前記業務影響推定部は、
    抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
    を特徴とする対策立案システム。
  6. 請求項5に記載の対策立案システムであって、
    前記対策パターン格納部は、
    原因内容をさらに含む対策パターンが格納され、
    前記対策立案部は、
    前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度を出力するように前記入出力部を制御し、抽出された対策パターンに含まれる影響業務の業務パターンに含まれる通信経路と業務名と重要度を出力するように前記入出力部を制御すること
    を特徴とする対策立案システム。
  7. 請求項6に記載の対策立案システムであって、
    前記対策パターン格納部は、
    対策させる機器の情報と対策の内容をさらに含む対策パターンが格納され、
    前記対策立案部は、
    複数の対策パターンの出力に応じて、対策パターンの選定のための入力を受け付けるように前記入出力部を制御し、選定された対策パターンに含まれる対策させる機器の情報にしたがって対策の内容を送信するように制御すること
    を特徴とする対策立案システム。
  8. 請求項7に記載の対策立案システムであって、
    前記対策パターン格納部は、
    履歴をさらに含む対策パターンが格納され、
    前記対策立案部は、
    前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる履歴を出力するように前記入出力部を制御し、選定された対策パターンに含まれる履歴を更新すること
    を特徴とする対策立案システム。
  9. 請求項8に記載の対策立案システムであって、
    前記ネットワーク装置は、
    フィルタリングポリシに基づいて中継するパケットをフィルタリングし、
    前記対策パターン格納部は、
    対策させる機器として前記ネットワーク装置の情報を含み、対策内容としてフィルタリングポリシを含む対策パターンが格納され、
    前記対策立案部は、選定された対策パターンに含まれる前記ネットワーク装置の情報にしたがって、前記ネットワーク装置へフィルタリングポリシを送信するように制御すること
    を特徴とする対策立案システム。
  10. 請求項5に記載の対策立案システムであって、
    前記対策パターン格納部は、
    原因内容、対策させる機器、および対策の内容をさらに含む対策パターンが格納され、
    前記対策立案部は、
    前記ネットワーク装置により送信されたアラートに含まれる情報が、原因内容に該当する対策パターンを前記対策パターン格納部から抽出し、抽出された対策パターンに含まれる影響度に応じて、対策パターンに含まれる対策させる機器へ対策の内容を送信するように制御すること
    を特徴とする対策立案システム。
  11. 制御システムのための監視装置であって、
    受信した通信ログから、通信経路の情報を含む業務パターンを抽出する業務抽出部と、
    対策に関する機器の情報を含む対策パターンが格納される対策パターン格納部と、
    業務パターンに含まれる通信経路の情報と対策パターンに含まれる機器の情報に基づき影響業務を抽出し、影響業務を対策パターンに含める業務影響推定部と、
    受信したアラートと対策パターンに基づき対策候補を抽出する対策立案部と、
    影響業務を含めて対策候補を出力する入出力部と、を備えたこと
    を特徴とする監視装置。
  12. 請求項11に記載の監視装置であって、
    前記業務抽出部は、
    送信元と送信先の情報と日時を含む通信ログを受信し、受信した通信ログの中で、第1の通信ログに含まれる送信先と第2の通信ログに含まれる送信元が一致する場合、前記第1の通信ログの送信元および送信先と前記第2の通信ログの送信先を通信経路として分析し、前記第1の通信ログに含まれる日時と前記第2の通信ログに含まれる日時の差分が予め設定された時間以内である場合、分析された通信経路の情報を含む業務パターンを抽出すること
    を特徴とする監視装置。
  13. 請求項12に記載の監視装置であって、
    前記業務抽出部は、
    分析された通信経路が一致する複数の業務パターンに関わる日時の周期を抽出すること
    を特徴とする監視装置。
  14. 請求項13に記載の監視装置であって、
    前記業務抽出部は、
    分析された通信経路と抽出された周期を出力し、業務名と重要度を入力するように前記入出力部を制御し、分析された通信経路、抽出された周期、入力された業務名、および入力された重要度を、業務パターンに含めること
    を特徴とする監視装置。
  15. 請求項14に記載の監視装置であって、
    前記業務影響推定部は、
    抽出された影響業務の影響度を、入力された重要度を用いて影響度を算出し、影響度を対策パターンに含めること
    を特徴とする監視装置。
JP2017206707A 2017-10-26 2017-10-26 制御システムのための対策立案システムおよび監視装置 Active JP6869869B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017206707A JP6869869B2 (ja) 2017-10-26 2017-10-26 制御システムのための対策立案システムおよび監視装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017206707A JP6869869B2 (ja) 2017-10-26 2017-10-26 制御システムのための対策立案システムおよび監視装置

Publications (2)

Publication Number Publication Date
JP2019080211A JP2019080211A (ja) 2019-05-23
JP6869869B2 true JP6869869B2 (ja) 2021-05-12

Family

ID=66628023

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017206707A Active JP6869869B2 (ja) 2017-10-26 2017-10-26 制御システムのための対策立案システムおよび監視装置

Country Status (1)

Country Link
JP (1) JP6869869B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3697249B2 (ja) * 2003-04-30 2005-09-21 株式会社エヌ・ティ・ティ・データ ネットワーク状態監視システム及びプログラム
JP5827534B2 (ja) * 2011-10-03 2015-12-02 株式会社日立製作所 監視装置および監視方法
JP5928581B2 (ja) * 2012-05-08 2016-06-01 富士通株式会社 ネットワークシステム,保守作業管理方法及びプログラム
JP2014127887A (ja) * 2012-12-27 2014-07-07 Hitachi Ltd 通信制御装置
JP6269238B2 (ja) * 2014-03-27 2018-01-31 富士通株式会社 ネットワーク管理方法、ネットワーク管理システム、およびネットワーク管理装置
JP6310874B2 (ja) * 2015-03-12 2018-04-11 株式会社日立製作所 インシデント検知システム
JP6438850B2 (ja) * 2015-06-10 2018-12-19 株式会社日立製作所 評価システム

Also Published As

Publication number Publication date
JP2019080211A (ja) 2019-05-23

Similar Documents

Publication Publication Date Title
Caselli et al. Sequence-aware intrusion detection in industrial control systems
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
Robles-Durazno et al. PLC memory attack detection and response in a clean water supply system
JP2019028891A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6831763B2 (ja) インシデント分析装置およびその分析方法
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
CN112291239B (zh) 一种面向scada系统的网络物理模型及其入侵检测方法
US10051004B2 (en) Evaluation system
JP6869869B2 (ja) 制御システムのための対策立案システムおよび監視装置
CN106416178A (zh) 用于识别自主的、自传播的软件的方法和设备
JP7065744B2 (ja) ネットワーク装置、パケットを処理する方法、及びプログラム
WO2014042636A1 (en) Packet intrusion inspection in an industrial control network
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
KR102115734B1 (ko) 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램
JP6890073B2 (ja) 情報収集装置、情報収集システム
JP7462550B2 (ja) 通信監視対処装置、通信監視対処方法、及び通信監視対処システム
JP5957593B2 (ja) データ中継装置、ネットワークシステム、および、データ中継方法
JP2019022099A (ja) セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム
WO2017099062A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体
WO2017099066A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体
WO2020109252A1 (en) Test system and method for data analytics
WO2019225232A1 (ja) 監視装置、監視システムおよび監視方法
JP2018163582A (ja) 中継装置、中継方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200325

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210414

R150 Certificate of patent or registration of utility model

Ref document number: 6869869

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150