JP6890073B2 - 情報収集装置、情報収集システム - Google Patents

情報収集装置、情報収集システム Download PDF

Info

Publication number
JP6890073B2
JP6890073B2 JP2017175859A JP2017175859A JP6890073B2 JP 6890073 B2 JP6890073 B2 JP 6890073B2 JP 2017175859 A JP2017175859 A JP 2017175859A JP 2017175859 A JP2017175859 A JP 2017175859A JP 6890073 B2 JP6890073 B2 JP 6890073B2
Authority
JP
Japan
Prior art keywords
information
inspection
unit
communication
business flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017175859A
Other languages
English (en)
Other versions
JP2019053412A (ja
Inventor
宏樹 内山
宏樹 内山
信 萱島
信 萱島
礒川 弘実
弘実 礒川
千秋 太田原
千秋 太田原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017175859A priority Critical patent/JP6890073B2/ja
Publication of JP2019053412A publication Critical patent/JP2019053412A/ja
Application granted granted Critical
Publication of JP6890073B2 publication Critical patent/JP6890073B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、セキュリティリスクの分析を支援する情報収集装置、情報収集システムに関する。
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される制御システムは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。この動作を実現するためには、コントローラ等の組込み装置において、定期的にセンサからの情報を取得し、状態を確認し、他のコントローラやサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的に通信が発生し、その通信データをもとに処理を行うことが通例である。この周期を阻害した場合、最悪のケースでは制御自体が止まってしまうケースもある。
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service attack)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も進んできている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にマルウェア等の感染や外部からの不正アクセスを検知するセキュリティ対策技術が必要となっている。しかしながら、制御システムはシステム規模が大きいケースが多く、システム内の構成や対策状況をもとにセキュリティリスクを認識し、必要な対策の内容と場所を明確化することは莫大な工数が必要となり、実施することが困難であった。
このような課題に対し、システム内に現状分析手段や資産分析手段を導入し、システムに含まれる脆弱性や資産の情報から、システムのリスク分析や対策立案を行う技術が知られている(たとえば、特許文献1参照)。
WO2008/004498号公報
制御システムは内部で実行される業務に可用性が要求されるため、従来技術のような業務の特性等を考慮せずに情報収集を行った場合、情報収集の影響により、業務の遅延や停止等が引き起こされる可能性があり、適用することが困難であった。
本発明は、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能な情報収集装置、情報収集システムを提供することを目的とする。
本発明にかかる情報収集装置は、制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集する情報収集装置であって、前記情報収集装置は、ネットワークから受信したパケットを格納する通信パケット格納部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、を備えることを特徴とする情報収集装置として構成される。
また、本発明は、上記情報収集装置を有した情報収集システムとしても把握される。
本発明によれば、制御システムで実施される業務に対して影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。
本実施形態が適用されたセキュリティリスク分析支援システムの構成を例示する図である。 図1に示す制御装置のハードウェア構成を例示する図である。 図1に示す監視・検査装置のハードウェア構成を例示する図である。 図1に示す分析サーバのハードウェア構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、業務時に実施する処理フローを例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置を用いて通信パターンを抽出する処理フローを例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置を用いて、制御装置の対策状況を収集する処理フローを例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置に蓄積した業務フローや対策状況を分析サーバに送信し、リスク分析を行う処理フローを例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置に格納する検査ポリシの設定画面を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置から出力する検査状況確認画面を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の通信パケット格納部に格納される通信パケットの構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の業務フロー格納部に格納される業務フローの構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の通信パターン格納部に格納される通信パターンの構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の検査ポリシ格納部に格納される検査ポリシの構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の検査コマンド格納部に格納される検査コマンドの構成を例示する図である。 本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置の対策状況格納部に格納される対策状況の構成を例示する図である。
本実施形態について説明する。
図1は、本実施形態におけるセキュリティリスク分析支援システムの構成図である。
本実施形態のセキュリティリスク分析支援システムは、図1に例示するように、制御装置10〜10と、監視・検査装置20〜20と、ネットワーク装置30〜30と、外部ネットワーク40と、分析サーバ50と、から構成されている。
制御装置10〜10は、セキュリティリスク分析に必要となる情報を収集する対象となる装置であり、制御処理を行う制御処理部101〜101と、ネットワーク装置30〜30等と通信を行う通信部102〜102と、を含む。
監視・検査装置20〜20は、ネットワーク装置30〜30から通信パケットを取得する通信パケット取得部201〜201と、取得した通信パケットから特定の機器間の一連のデータフローである業務フローを抽出する業務フロー抽出部202〜202と、取得した通信パケットから通信が行われるタイミングを抽出する通信パターン抽出部203〜203と、取得した通信パケットから業務に利用されている機器の一覧を抽出する装置リスト抽出部204〜204と、現在の時刻情報を取得する時刻情報取得部205〜205と、各機器に対して送信する検査コマンドを選定する検査コマンド選定部206〜206と、各機器に送信した検査コマンドのレスポンスから、各機器の対策状況を推定する対策状況推定部207〜207と、ネットワーク30〜30と通信を行う内部通信部208〜208と、外部ネットワーク40と通信を行う外部通信部209〜209と、業務フローや対策状況の収集状況を出力する検査状況出力部210〜210と、通信パケット取得部201〜201で取得した通信パケットを格納する通信パケット格納部211〜211と、業務フロー抽出部202〜202で抽出した業務フローを格納する業務フロー格納部212〜212と、通信パターン抽出部203〜203で抽出した通信パターンを格納する通信パターン格納部213〜213と、検査コマンド選定部206〜206で検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部214〜214と、検査コマンド選定部206〜206で選定する検査コマンドの一覧を格納する検査コマンド格納部215〜215と、対策状況推定部207〜207で推定した各機器の対策状況を格納する対策状況格納部216〜216と、を含む。
ネットワーク装置30〜30は、制御装置10〜10と通信を行う通信部301〜301と、監視・検査装置20〜20と通信を行うパケット複製通信部302〜302と、を含む。
分析サーバ50は、監視・検査装置20〜20から受信した業務フローや対策状況の不足状況に関して検証を行う入力情報確認部501と、不足があると判断された場合に不足情報を入力する不足情報入力部502と、入力された情報を用いてリスク分析を行うリスク分析部503と、リスク分析の結果を出力する結果出力部504と、入力情報検証部501で入力情報の検証を行う際に参照する必要情報格納部505と、外部ネットワーク40と通信を行う通信部506と、を含む。
図2は制御装置10〜10のハードウェア構成を例示する図である。制御装置10〜10は、通信装置11と、入出力装置12と、記憶装置13と、CPU(Central Processing Unit)14と、メモリ15と、がバスなどの内部通信線16で連結され、構成されている。
図3は監視・検査装置20〜20のハードウェア構成を例示する図である。監視・検査装置20〜20は、内部通信装置21と、内部通信装置22と、記憶装置23と、入出力装置24と、CPU25と、メモリ26と、がバスなどの内部通信線27で連結され、構成されている。
図4は分析サーバ50のハードウェア構成を例示する図である。分析サーバ50は、通信装置51と、入出力装置52と、記憶装置53と、CPU54と、メモリ55と、記憶媒体57を読み込む読取装置56と、がバスなどの内部通信線58で連結され、構成されている。
本実施形態のセキュリティリスク分析支援システムにおける処理フローについて説明する。以下に述べる処理フローは、制御装置10〜10や監視・検査装置20〜20やネットワーク装置30〜30や分析サーバ50の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、セキュリティリスク分析支援システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
図5は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、ネットワークを流れる通信パケットを収集する際に実施する処理フローを示した図である。
はじめに、制御装置10は、制御コマンドを生成する(S501(S501と表現する。以下同様))。次に、制御装置10は、生成した制御コマンド(A501)をネットワーク装置30に送信する(S502)。
次に、ネットワーク装置30は、制御装置10から受信した制御コマンド(A501)を複製する(S503)。次に、ネットワーク装置30は、複製した制御コマンド(A501)を監視・検査装置20および制御装置10に送信する(S504)。
次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S505)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。
次に、制御装置10は、ネットワーク装置30から受信した制御コマンド(A501)を処理する(S506)。次に、制御装置10は、処理した結果を踏まえて、制御コマンドを生成する(S507)。次に、制御装置10は、生成した制御コマンド(A502)を制御装置10に送信する(S508)。
次に、ネットワーク装置30は、制御装置10から受信した制御コマンド(A502)を複製する(S509)。次に、ネットワーク装置30は、複製した制御コマンド(A502)を監視・検査装置20および制御装置10に送信する(S510)。
次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S511)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。
次に、制御装置10は、ネットワーク装置30から受信した制御コマンド(A502)を処理する(S512)。次に、制御装置10は、処理した結果を示すレスポンス(A503)を制御装置10に送信する(S513)。
次に、ネットワーク装置30は、受信したレスポンス(A503)を複製する(S514)。次に、ネットワーク装置30は、複製したレスポンス(A503)を監視・検査装置20および制御装置10に送信する(S515)。
次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S516)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。
次に、制御装置10は、ネットワーク装置30から受信したレスポンス(A503)を処理する(S517)。次に、制御装置10は、処理した結果を示すレスポンス(A504)を制御装置10に送信する(S518)。
次に、ネットワーク装置30は、受信したレスポンス(A504)を複製する(S519)。次に、ネットワーク装置30は、複製したレスポンス(A504)を監視・検査装置20および制御装置10に送信する(S520)。
次に、監視・検査装置20は、ネットワーク装置30から受信した通信パケットを通信パケット格納部211に格納する(S521)。ここで、通信パケットの構成については、以降の図11に詳細に記載する。
図6は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、通信パケットの収集後に実施する通信パターンを抽出する処理フローを示した図である。当該処理は、図5に示した処理実行後、任意のタイミングで行われる。
はじめに、監視・検査装置20〜20は通信パターン抽出処理を開始する(S601)。次に、監視・検査装置20〜20は、通信パケット格納部211〜211から通信パケットを取得する(S602)。次に、監視・検査装置20〜20は、取得した通信パケットから時間的に連続している一連のデータフローである業務フローを抽出する(S603)。ここで、時間的な連続の判定条件として、例えば、通信パケットの送受信間隔が数百ミリ秒以内であることなどを用いる。次に、監視・検査装置20〜20は、抽出した業務フローを業務フロー格納部212〜212に格納する(S604)。ここで、業務フローの構成については、以降の図12に詳細に記載する。
次に、監視・検査装置20〜20は、取得した通信パケットから、装置毎の通信パターンを抽出する(S605)。ここで、通信パターンとして、通信が行われている周期や通信の頻度、通信が発生する時刻等の情報を抽出する。次に、監視・検査装置20〜20は、抽出した通信パターンを通信パターン格納部213〜213に格納する(S606)。ここで、通信パターンの構成については、以降の図13に詳細に記載する。次に、監視・検査装置20〜20は、取得した通信パケットから、業務で利用される装置の一覧である装置リストを抽出する(S607)。次に、監視・検査装置20〜20は、抽出した装置リストを用いて、各装置の対策状況を作成する(S608)。ここで、作成する対策状況は装置毎に何も対策の確認がなされていないものとなる。次に、監視・検査装置20〜20は、作成した対策状況を対策状況格納部216〜216に格納する(S609)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、処理を終了する(S610)。
図7は、本実施形態におけるセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20を用いて、各装置の対策状況を収集する処理フローを示した図である。当該処理は、図6に示した処理実行後、任意のタイミングで行われる。
はじめに、監視・検査装置20〜20は、対策状況格納部216〜216に格納されている対策状況を取得する(S701)。次に、監視・検査装置20〜20は、取得した対策状況に記載されている装置の中で、対策未確認項目が存在する装置の有無を判定する(S702)。例えば、監視・検査装置20〜20は、図16に示す対策状況に含まれるOS、ハードウェア識別子、アクセス時の認証有無、インターネット接続の可否、パケットフィルタ有無等の各項目の内容を取得し、すべての項目の内容が取得できる場合には対策未確認項目はないと判定する。一方、監視・検査装置20〜20は、少なくとも1つの項目の内容が取得できない場合には対策未確認項目があると判定する。
監視・検査装置20〜20は、判定の結果、対策未確認項目が存在する装置が無いと判定した場合には(S702;No)、処理を終了する(S703)。一方、監視・検査装置20〜20は、対策未確認項目が存在する装置が有ると判定した場合には(S702;Yes)、対策未確認項目が存在する装置の中から、検査対象装置を選定する(S704)。ここで、装置を選定する方法として、対策未確認項目が最も多く存在している装置を選定する方法やランダムに選定する方法などが考えられる。また、選定する装置として、検査項目が同様の装置を複数選択しても良い。
次に、監視・検査装置20〜20は、選定した装置が実施する通信パターンを通信パターン格納部213〜213から取得する(S705)。例えば、監視・検査装置20〜20は、図13に示す通信パターンに含まれる通信周期、通信頻度、通信タイミング等の各項目の内容を取得する。
次に、監視・検査装置20〜20は、検査ポリシ格納部214〜214から検査ポリシを取得する(S706)。ここで、検査ポリシとは、どれくらい負荷を掛けて検査を行うかということを示すものであり、システムの管理者等によって設定されるものである。例えば、監視・検査装置20〜20は、図14に示す検査ポリシに含まれる検査タイミングポリシ、検査内容ポリシ等の各項目の内容を取得する。検査ポリシは、予め検査ポリシ格納部214〜214に格納していても良いし、以降の図9に示すような入力画面を用いて設定しても良い。検査ポリシの構成については、以降の図14に詳細に記載する。
次に、監視・検査装置20〜20は、現在時刻を取得する(S707)。次に、監視・検査装置20〜20は、取得した通信パターンと検査ポリシと現在時刻の情報から、現時点で検査に利用可能となる時間を推定する(S708)。ここで、検査可能な時間の推定は、検査ポリシで設定されている検査可能な時間帯において、次の予測される通信タイミングと現在時刻の差分で算出可能である。
次に、監視・検査装置20〜20は、推定した検査可能時間をもとに、検査コマンド格納部215〜215に格納されている検査コマンドの中で、検査可能時間や検査ポリシに合致し、未確認検査項目に該当する検査コマンドを選定する(S709)。例えば、監視・検査装置20〜20は、検査可能時間や検査ポリシに合致した検査コマンドのうち、S702で判定された対策未確認項目と同じ確認対策項目を含む図15に示す検査コマンドを選定する。
次に、監視・検査装置20〜20は、検査コマンドが選定されたか否かを判定する(S710)。その結果、監視・検査装置20〜20は、検査コマンドが選定されていないと判定した場合には(S710;No)、S707に戻り、再度、検査コマンドを選定する。一方、監視・検査装置20〜20は、検査コマンドが選定されていると判定した場合には(S710;Yes)、選定された検査コマンド(A701)を検査対象装置(ここでは、制御装置10)に送信する(S711)。
次に、制御装置10は、受信した検査コマンド(A701)をもとに、検査コマンド(A701)に対するレスポンスを生成する(S712)。次に、制御装置10は、生成したレスポンス(A702)を監視・検査装置20〜20に送信する(S713)。
次に、監視・検査装置20〜20は、検査対象装置が複数ある場合には、ここで、次の検査対象装置(ここでは、制御装置10)に対して、選定された検査コマンド(A703)を送信する(S714)。
次に、制御装置10は、受信した検査コマンド(A703)をもとに、検査コマンド(A703)に対するレスポンスを生成する(S715)。次に、制御装置10は、生成したレスポンス(A704)を監視・検査装置20〜20に送信する(S716)。
次に、監視・検査装置20〜20は、受信したレスポンス(A702、A704)から、各装置の対策状況を推定する(S717)。ここで、対策状況とは、OSの種類、ハードウェアの種類、特定の通信ポートにアクセスした際に、認証要求があったかなどの項目を指し、検査コマンドに対するレスポンスの内容やレスポンス有無等から推定可能な項目を指す。
次に、監視・検査装置20〜20は、推定した対策状況を対策状況格納部216〜216に格納する(S718)。ここで、対策状況の構成については、以降の図16に詳細に記載する。次に、監視・検査装置20〜20は、現在の検査状況を出力する(S719)。ここで、検査状況とは、抽出した業務フローの数および/または検査済項目および/または必要な検査時間等から構成されるものであり、以降の図10に詳細に記載する。また、監視・検査装置20〜20に出力装置が存在しない場合には、内部のログに記録しておいても良いし、そもそも出力しなくてもよい。
次に、監視・検査装置20〜20は、S704で選定した対象装置に関して、対策未確認項目の有無を判定することにより、対策未確認項目が残っていないか検証する(S720)。その結果、監視・検査装置20〜20は、対策未確認項目が残っていると判定した場合には(S720;Yes)、S707に戻り、検査コマンドの選定と送信を行う。一方、監視・検査装置20〜20は、対策未確認項目が残っていないと判定した場合には(S720;No)、次に、対策状況格納部216〜216に格納されている対策状況を参照し、対策未確認装置の有無を判定することにより、対策未確認装置が存在していないか検証する(S721)。対策未確認装置の有無は、例えば、対策状況に含まれるIPアドレスにより判定すればよい。その結果、監視・検査装置20〜20は、対策未確認装置が存在していると判定した場合には(S721;Yes)、S704に戻り、対象装置選定、検査コマンド選定と送信を行う。一方、監視・検査装置20〜20は、対策未確認装置が存在しないと判定した場合には(S721;No)、処理を終了する。
図8は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20で収集した業務フローと対策状況を用いて、分析サーバでリスク分析を行う処理フローを示した図である。以下では、分析サーバがリスク分析を行う場合について説明しているが、監視・検査装置20〜20が同様の処理を実行してもよい。
はじめに、監視・検査装置20〜20は、収集したタイミングで業務フロー格納部212〜212から業務フロー取得する(S801〜S801)。次に、監視・検査装置20〜20は、収集したタイミングで対策状況格納部216〜216から対策状況を取得する(S802〜S802)。次に、監視・検査装置20〜20は、取得した業務フローと対策状況(A801〜A801)を分析サーバ50に送信する(S803〜S803)。
次に、分析サーバ50は、受信した業務フローと対策状況(A801〜A801)と必要情報格納部505に格納されているリスク分析に必要な情報との突合せを行い、リスク分析に必要な情報が不足しているか否かを判定することにより、入力情報の確認を行う(S804)。その結果、分析サーバ50は、情報に不足があると判定した場合には(S804;Yes)、不足情報の入力を行う(S805)。ここで、入力情報を確認する理由は、例えば、業務が頻繁に行われているために、対策状況に含まれるすべての項目が取得できていない場合があるためである。このようなケースを想定し、リスク分析に必要な情報が不足している場合には、その項目を補完するため、該当項目を不足情報として入力している。また、不足情報の入力は、分析サーバ50に直接入力しても良いし、遠隔から送信しても良い。また、不足情報の入力が困難な場合には、例えば、セキュリティリスクのレベルが高くなる項目やディフォルト値を自動的に選択してもよい。一方、分析サーバ50は、情報に不足が無いと判定した場合には(S804;No)、特に何も実施しない。
次に、分析サーバ50は、受信した業務フローと対策状況(A801〜A801)と、S804で入力された情報を用いて、リスク分析を行う(S806)。ここで、リスク分析は、業務フローに内在するセキュリティ上の脅威を例えば5W法などで抽出し、対策状況から脅威の起こしやすさを見積り、リスクレベルを算出する方法などが考えられるが、これに限定されるものではない。次に、分析サーバ50は、リスク分析の結果を出力する(S807)。
図9は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査ポリシ格納部214〜214に格納する検査ポリシを登録する際に利用する画面を示した図である。
検査ポリシ設定画面(A901)は、検査タイミングポリシ(A902)と、検査内容ポリシ(A903)から構成される。検査タイミングポリシ(A902)は、検査コマンドをどのようなタイミングで実行するかを指定するものであり、例えば、業務停止日、業務停止時間、業務フロー非実行時間などが考えられるが、これに限定されるものではない。また、検査内容ポリシ(A903)は、検査コマンドの内容を指定するものであり、例えば、直接的な検査を行わないパッシブ検査のみ、直接的な検査を行うが負荷が小さいもの、直接的な検査を行い、負荷も高いもの、などが考えられるが、これに限定されるものではない。なお、検査ポリシ設定画面(A901)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ設定画面(A901)の構成要素の順序は上記に限定されるものではない。
図10は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20が出力する検査状況確認画面を示した図である。
検査状況確認画面(A1001)は、検査状況(A1002)から構成される。検査状況(A1002)は、図6のS603で抽出した業務フローの数(A1003)と、図7のS710で出力した検査対象機器および検査済機器の数(A1004)と、図7のS710で出力した検査対象項目および検査済項目の数(A1005)と、推定残り時間(A1006)から構成されるが、これに限定されるものではない。推定残り時間(A1006)は、例えば、図15に示す検査コマンドに含まれる必要処理時間から推定すればよい。なお、検査状況確認画面(A1001)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査状況確認画面(A1001)の構成要素の順序は上記に限定されるものではない。
図11は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の通信パケット格納部211〜211に格納される通信パケットの構成を例示する図である。
通信パケット(A1101)は、パケットを受信した日時(A1102)と、パケットのヘッダ(A1103)から構成される。ここで、ヘッダ(A1103)は、送信元(A1104)、送信先(A1105)、プロトコル(A1106)、ポート番号(A1107)から構成されるが、これに限定されるものではない。なお、通信パケット(A1101)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パケット(A1101)の構成要素の順序は上記に限定されるものではない。
図12は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の業務フロー格納部212〜212に格納される業務フローの構成を例示する図である。
業務フロー(A1201)は、業務フローを識別する識別子(A1202)と、業務フローを開始する装置のIPアドレス(A1203)と、業務フローが終了する装置のIPアドレス(A1204)と、開始IPアドレスから終了IPアドレスの間で経由するIPアドレスの数(A1205)と、その数に応じた経由するIPアドレス群(A1206)から構成される。例えば、図5における制御装置10と制御装置10との間の一連の処理(S501〜S521)が1つの業務フローとなる。ここで、業務フロー(A1201)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、業務フロー(A1201)の構成要素の順序は上記に限定されるものではない。
図13は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の通信パターン格納部213〜213に格納される通信パターンの構成を例示する図である。
通信パターン(A1301)は、制御装置のIPアドレス(A1302)と、通信を行う周期(A1303)と、通信を行う頻度(A1304)と、通信を行うタイミング(A1305)から構成される。ここで、通信を行うタイミング(A1305)とは、日単位、時間単位、分単位、秒単位等で通信が発生したタイミングである。また、通信を行う周期(A1303)とは、例えば、3秒ごと、10秒ごと等の通信間隔であり、通信を行う頻度(A1304)とは、単位時間当たりの通信回数であり、例えば、5秒ごとの頻度で通信する場合は、単位時間1時間あたり720回となる。なお、通信パターン(A1301)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パターン(A1301)の構成要素の順序は上記に限定されるものではない。
図14は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査ポリシ格納部214〜214に格納される検査ポリシの構成を例示する図である。
検査ポリシ(A1401)は、検査を実行しても良いタイミングを示す検査タイミングポリシ(A1402)と、検査を実行しても良い内容を示す検査内容ポリシ(A1403)から構成される。ここで、検査タイミングポリシとは、日単位、時間単位などのある特定期間で通信を行っていない場合に検査を許可するといったポリシである。また、検査内容ポリシとは、ネットワークや装置に対して与えても良い負荷のレベルを指定するポリシである。なお、検査ポリシ(A1401)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査ポリシ(A1401)の構成要素の順序は上記に限定されるものではない。
図15は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の検査コマンド格納部215〜215に格納される検査コマンドの構成を例示する図である。
検査コマンド(A1501)は、制御装置に対して送信する検査パケットの内容を示す検査パケットパターン(A1502)と、検査パケットによって確認可能となる対策項目(A1503)と、検査パケットを送信し、レスポンスを受信するまでに必要となる処理時間(A1504)と、検査パケットの送信に伴う想定通信負荷(A1505)と、検査パケットの処理に伴う想定CPU負荷(A1506)から構成される。なお、検査コマンド(A1501)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、検査コマンド(A1501)の構成要素の順序は上記に限定されるものではない。
図16は、本実施形態が適用されたセキュリティリスク分析支援システムにおいて、監視・検査装置20〜20の対策状況格納部216〜216に格納される対策状況の構成を例示する図である。
対策状況(A1601)は、対策状況を確認した制御装置のIPアドレス(A1602)と、OS(A1603)と、MAC(Media Access Control)アドレス等のハードウェア識別子(A1604)と、リモート接続等によるアクセス時の認証有無(A1605)と、インターネット接続の可否(A1606)と、パケットフィルタ有無(A1607)から構成される。なお、対策状況(A1601)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、対策状況(A1601)の構成要素の順序は上記に限定されるものではない。
これらの構成、手順およびデータ構造を実現することにより、制御システムで実施される業務に対して悪影響を与えることなく、セキュリティリスク分析に必要となる情報を収集することが可能となる。
具体的には、制御システム内のネットワークを流れる通信パケットを収集する監視・検査装置を設置し、業務が行われる装置とそのタイミングに関する情報を取得し、取得した情報を用いて、業務に影響がないタイミングで各装置のセキュリティ対策に関する情報を収集する。より具体的には、監視・検査装置において、制御システム内の業務実施時にネットワークを流れる通信パケットを収集し、装置間の業務フローと通信パターンを抽出する。その後、抽出した通信パターンを用いて、業務が行われていない時刻を認識し、当該時刻において、次の業務実行までの間に完了する検査項目を選択し、各装置の対策情報を収集し、蓄積する。
このような処理を行うことにより、制御システムに内在するセキュリティリスクを分析するために必要となるシステム内部の情報を収集するシステムにおいて、制御システム内の装置間で行われる業務フローに関する情報や各装置のセキュリティ対策情報を制御システムの通常業務に影響を与えることなく、制御システムへの影響を最小化して、セキュリティリスク分析に必要となる情報の収集を実現することができる。
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。たとえば、監視・検査装置内にネットワーク装置の機能が含まれている場合や、監視・検査装置内に分析サーバの機能が含まれている場合や、制御装置や監視・検査装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。
10〜10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部信号線、101〜101:制御処理部、102〜102:通信部、20〜20:監視・検査装置、21:内部通信装置、22:外部通信装置、23:記憶装置、24:入出力装置、25:CPU、26:メモリ、27:内部信号線、201〜201:通信パケット取得部、202〜202:業務フロー抽出部、203〜203:通信パターン抽出部、204〜204:装置リスト抽出部、205〜205:時刻情報取得部、206〜206:検査コマンド選定部、207〜207:対策状況推定部、208〜208:内部通信部、209〜209:外部通信部、210〜210:検査状況出力部、211〜211:通信パケット格納部、212〜212:業務フロー格納部、213〜213:通信パターン格納部、214〜214:検査ポリシ格納部、215〜215:検査コマンド格納部、216〜216:対策状況格納部、30〜30:ネットワーク装置、301〜301:通信部、302〜302:パケット複製通信部、40:外部ネットワーク、50:分析サーバ、51:通信装置、52:入出力装置、53:記憶装置、54:CPU、55:メモリ、56:読取装置、57:記憶媒体、58:内部信号線、501:入力情報確認部、502、不足情報入力部、503:リスク分析部、504:結果出力部、505:必要情報格納部、506:通信部、A501:制御コマンド、A502:制御コマンド、A503:レスポンス、A504:レスポンス、A701:検査コマンド、A702:レスポンス、A703:検査コマンド、A704:レスポンス、A801〜A801:業務フロー、対策状況、A901:検査ポリシ設定画面、A902:検査タイミングポリシ、A903:検査内容ポリシ、A1001:検査状況確認画面、A1002:検査状況、A1003:抽出業務フロー状況、A1004:検査済機器状況、A1005:検査済項目状況、A1006:推定残り時間、A1101:通信パケット、A1102:受信日時、A1103:ヘッダ、A1104:送信元、A1105:送信先、A1106:プロトコル、A1107:ポート番号、A1201:業務フロー、A1202:業務フロー識別子、A1203:開始IPアドレス、A1204:終了IPアドレス、A1205:経由IPアドレス数、A1206:経由IPアドレス群、A1301:通信パターン、A1302:IPアドレス、A1303:通信周期、A1304:通信頻度、A1305:通信タイミング、A1401:検査ポリシ、A1402:検査タイミングポリシ、A1403:検査内容ポリシ、A1501:検査コマンド、A1502:検査パケットパターン、A1503:確認対策項目、A1504:必要処理時間、A1505:通信負荷、A1506:CPU負荷、A1601:対策状況、A1602:IPアドレス、A1603:OS、A1604:ハードウェア識別子、A1605:認証有無、A1606:インターネット接続可否、A1607:パケットフィルタ有無。

Claims (12)

  1. 制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集する情報収集装置であって、
    前記情報収集装置は、
    ネットワークから受信したパケットを格納する通信パケット格納部と、
    前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
    前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信パターンを抽出する通信パターン抽出部と、
    前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
    前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の装置に送信し、取得した結果をもとに前記他の装置の対策状況を推定する対策状況推定部と、
    を備えることを特徴とする情報収集装置。
  2. 請求項1に記載の情報収集装置であって、
    前記情報収集装置は、
    さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
    前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する、
    ことを特徴とする情報収集装置。
  3. 請求項1に記載の情報収集装置であって、
    前記情報収集装置は、
    さらに、前記対策状況推定部が推定した前記他の装置の対策状況の収集状況を出力する検査状況出力部を備え、
    前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる装置の総数と前記対策状況推定部が対策状況を推定した装置の数とを表示部に表示する、
    ことを特徴とする情報収集装置。
  4. 請求項1に記載の情報収集装置であって、
    前記情報収集装置は、
    前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで外部の分析サーバに対して送信する、
    ことを特徴とする情報収集装置。
  5. 請求項1に記載の情報収集装置であって、
    前記情報収集装置は、
    さらに、前記業務フローと前記対策状況とを用いて、システム内のセキュリティリスクを分析するリスク分析部を備え、
    前記リスク分析部は、前記ネットワークを介して前記他の装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
    ことを特徴とする情報収集装置。
  6. 制御システムに内在するセキュリティリスクを抽出するために必要となるシステム内の情報を収集するシステムであって、
    前記情報収集システムは、
    制御装置とネットワーク装置と情報収集装置とネットワークを備え、
    前記ネットワーク装置は、
    前記ネットワークから受信した通信パケットを複製して前記情報収集装置および前記制御装置に送信するパケット複製部と、前記情報収集装置と前記制御装置との間で前記ネットワークを介して通信するネットワーク通信部と、を備え、
    前記情報収集装置は、
    前記ネットワークから受信したパケットを格納する通信パケット格納部と、
    前記通信パケット格納部に格納されているパケットからシステム内で送受信される業務フローを抽出する業務フロー抽出部と、
    前記通信パケット格納部に格納されているパケットからシステム内で送受信される通信のパターンを抽出する通信パターン抽出部と、
    前記通信パターン抽出部が抽出した通信パターンを用いてシステム内の通信の空き時間を推定し、前記業務フロー抽出部が抽出した業務フローに影響を与えないタイミングで実行可能な検査コマンドを選定する検査コマンド選定部と、
    前記選定した検査コマンドをシステム内の前記情報を収集する対象となる他の制御装置に送信し、取得した結果をもとに前記他の制御装置の対策状況を推定する対策状況推定部と、
    を備えることを特徴とする情報収集システム。
  7. 請求項6に記載の情報収集システムであって、
    前記情報収集装置は、
    さらに、前記検査コマンド選定部が検査コマンドを選定する際に参照する検査ポリシを格納する検査ポリシ格納部を備え、
    前記検査コマンド選定部は、前記通信の空き時間に加えて、前記検査ポリシを満たす前記検査コマンドを選定する
    ことを特徴とする情報収集システム。
  8. 請求項6に記載の情報収集システムであって、
    前記情報収集装置は、
    さらに、前記対策状況推定部が推定した前記他の制御装置の対策状況の収集状況を出力する検査状況出力部を備え、
    前記検査状況出力部は、前記業務フロー抽出部において抽出した業務フローの数と前記業務フローに含まれる制御装置の総数と前記対策状況推定部が対策状況を推定した制御装置の数とを表示部に表示する
    ことを特徴とする情報収集システム。
  9. 請求項6に記載の情報収集システムであって、
    前記情報収集システムは、
    さらに、前記業務フローや前記対策状況を用いてシステム内のセキュリティリスクを分析する分析サーバを備え、
    前記情報収集装置は、
    システム内のネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、前記分析サーバに送信する収集装置通信部を備え、
    前記分析サーバは、
    前記情報収集装置から受信した前記業務フローおよび前記対策状況の中で分析に必要な情報が含まれているか確認する入力情報確認部と、
    前記必要な情報が不足している場合に、追加情報の入力を促す不足情報入力部と、
    前記業務フローと前記対策状況と前記不足情報入力部から入力された追加情報とを用いてリスク分析を行うリスク分析部と、
    を備える
    ことを、特徴とする情報収集システム。
  10. 請求項9に記載の情報収集システムであって、
    前記情報収集装置は、
    前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングで前記分析サーバに対して送信する、
    ことを特徴とする情報収集システム。
  11. 請求項9に記載の情報収集システムであって、
    前記分析サーバは、
    前記入力情報確認部において、入力情報が不足していた場合に、追加情報の入力を促さず、セキュリティリスクが高くなる項目や予め定められている項目を選択する、
    ことを特徴とする情報収集システム。
  12. 請求項9に記載の情報収集システムであって、
    前記リスク分析部は、前記ネットワークを介して前記他の制御装置から収集した前記業務フローと前記対策状況とを、収集したタイミングでリスク分析を実施する、
    ことを特徴とする情報収集システム。
JP2017175859A 2017-09-13 2017-09-13 情報収集装置、情報収集システム Active JP6890073B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017175859A JP6890073B2 (ja) 2017-09-13 2017-09-13 情報収集装置、情報収集システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017175859A JP6890073B2 (ja) 2017-09-13 2017-09-13 情報収集装置、情報収集システム

Publications (2)

Publication Number Publication Date
JP2019053412A JP2019053412A (ja) 2019-04-04
JP6890073B2 true JP6890073B2 (ja) 2021-06-18

Family

ID=66015041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017175859A Active JP6890073B2 (ja) 2017-09-13 2017-09-13 情報収集装置、情報収集システム

Country Status (1)

Country Link
JP (1) JP6890073B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7274438B2 (ja) * 2020-03-13 2023-05-16 株式会社日立製作所 資産情報管理システム、及び資産情報管理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001138602A (ja) * 1999-11-15 2001-05-22 Canon Inc 記録装置、記録装置の起動方法および記録システム
JP6433851B2 (ja) * 2015-05-26 2018-12-05 株式会社日立製作所 情報収集システムおよび方法
JP6507075B2 (ja) * 2015-10-15 2019-04-24 株式会社日立製作所 不正通信検知装置、不正通信検知システム、及び不正通信を検知する方法

Also Published As

Publication number Publication date
JP2019053412A (ja) 2019-04-04

Similar Documents

Publication Publication Date Title
KR102601578B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
US10574671B2 (en) Method for monitoring security in an automation network, and automation network
KR102137089B1 (ko) 명령제어채널 탐지장치 및 방법
US10291630B2 (en) Monitoring apparatus and method
US20130212681A1 (en) Security Monitoring System and Security Monitoring Method
US10341294B2 (en) Unauthorized communication detection system and unauthorized communication detection method
CN108040039A (zh) 一种识别攻击源信息的方法、装置、设备及系统
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
KR102182045B1 (ko) 제어 장치 및 제어 장치 시스템
JP6310874B2 (ja) インシデント検知システム
JP6890073B2 (ja) 情報収集装置、情報収集システム
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
US10051004B2 (en) Evaluation system
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP6921776B2 (ja) インシデント検知システムおよびその方法
WO2016092962A1 (ja) 制御装置状態検証システムおよび制御装置状態検証方法
Kolosok et al. Cyber resilience of SCADA at the level of energy facilities
JP2020053928A (ja) 不正アクセス監視装置および方法
KR101606090B1 (ko) 네트워크 보호 장치 및 방법
WO2014128840A1 (ja) データ中継装置、ネットワークシステム、および、データ中継方法
JP6869869B2 (ja) 制御システムのための対策立案システムおよび監視装置
JP7150425B2 (ja) 通信システム、制御装置、通信制御方法、及びプログラム
KR20200021277A (ko) 공격검출장치 및 방법
JP6792532B2 (ja) 異常検知装置および異常検知方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210427

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210524

R150 Certificate of patent or registration of utility model

Ref document number: 6890073

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150