JP7051316B2 - 制御装置 - Google Patents

制御装置 Download PDF

Info

Publication number
JP7051316B2
JP7051316B2 JP2017129143A JP2017129143A JP7051316B2 JP 7051316 B2 JP7051316 B2 JP 7051316B2 JP 2017129143 A JP2017129143 A JP 2017129143A JP 2017129143 A JP2017129143 A JP 2017129143A JP 7051316 B2 JP7051316 B2 JP 7051316B2
Authority
JP
Japan
Prior art keywords
unit
transfer
control device
reception
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017129143A
Other languages
English (en)
Other versions
JP2019012953A (ja
Inventor
俊也 丸地
秀享 三宅
博司 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Infrastructure Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2017129143A priority Critical patent/JP7051316B2/ja
Publication of JP2019012953A publication Critical patent/JP2019012953A/ja
Application granted granted Critical
Publication of JP7051316B2 publication Critical patent/JP7051316B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、制御装置に関する。
従来から、プラント等を制御する制御システムは、社会基盤、産業基盤を支えるために24時間365日の連続運転が可能であることが最重要要件とされている。このような制御システムは、悪意ある第三者からの攻撃等により稼働が阻害された場合、社会的な影響が非常に大きい。従来の制御システムはクローズドシステムで構成され、ネットワーク(外部ネットワーク/ローカルネットワーク)と接続されていないため、悪意ある第三者からの攻撃等の脅威は殆ど意識されてこなかった。
ネットワークを介した攻撃の観点で、セキュリティに関する代表的な攻撃手法として、フレーム(パケット)を攻撃対象に大量に送信し、通信障害を生じさせるDoS(Denial of Service)攻撃と呼ばれる攻撃手法が存在する。
このDoS攻撃への対策としては、例えば、次のような手法がある。制御システムにおける制御装置は、単位時間ごとにネットワークから受信したフレームの数を監視し、その数が閾値以上になった場合には、DoS攻撃を受けていると判断して、ネットワークからフレームを受信しても内部に取り込まないようにする。その後、制御装置は、引き続き、単位時間ごとにネットワークから受信したフレームの数を監視し、その数が閾値未満になった場合に、DoS攻撃が収束したと判断して、ネットワークから受信したフレームを内部に取り込むようにする。
特開2002-252654号公報
しかしながら、制御装置は、ソフトウェア更新や、部品の経年劣化等による損傷等により、DoS攻撃対策等のセキュリティ機能が正常に動作しない可能性がある。そして、従来技術では、制御装置におけるそのようなセキュリティ機能の健全性を容易に確認できる手法が無かった。
そこで、本実施形態の課題は、セキュリティ機能の健全性を容易に確認できる制御装置を提供することである。
実施形態の制御装置は、被制御装置を制御する制御部と、ネットワークから通信のフレームを受信する受信部、および、前記受信部が受信したフレームを前記制御部に転送する転送部を備える通信インタフェース部と、所定の受信数閾値、および、単位時間ごとのフレームの受信数を記憶する記憶部と、前記受信部によって前記フレームが受信されたことを検知し、前記記憶部に記憶されている受信数を更新する受信検知部と、前記記憶部に記憶されている受信数が前記記憶部に記憶されている受信数閾値以上になったとき、前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させる転送停止制御部と、前記記憶部に記憶されている受信数を、前記受信数閾値未満の第1の数、および、前記受信数閾値以上の第2の数を含む任意の数に設定可能な受信数設定部と、診断部と、を備える。診断部は、前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定する。また、診断部は、前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定する。診断部は、これらの処理によりセキュリティ機能を診断する。
図1は、第1の実施形態の制御装置等の構成図である。 図2は、第1の実施形態の制御装置による通常モードでの処理を示すフローチャートである。 図3は、第1の実施形態の制御装置による通常モードでのフレーム受信数と転送停止の期間との関係を示すグラフである。 図4は、第1の実施形態の制御装置による起動時診断処理を示すフローチャートである。 図5は、第2の実施形態の制御装置等の構成図である。 図6は、第2の実施形態の制御装置による定周期診断処理を示すフローチャートである。 図7は、第3の実施形態の制御装置、上位装置等の構成図である。 図8は、第3の実施形態の制御装置による第1の定周期診断処理を示すフローチャートである。 図9は、第3の実施形態の制御装置による第2の定周期診断処理を示すフローチャートである。
以下、添付の図面を参照して、第1~第3の実施形態の制御装置について説明する。なお、第2の実施形態以降において、それまでの実施形態と重複する説明は、適宜省略する。
<第1の実施形態>
まず、図1を参照して、第1の実施形態の制御装置1等の構成について説明する。図1は、第1の実施形態の制御装置1等の構成図である。
制御装置1は、例えば、PLC(Programmable Logic Controller)などの制御用コントローラである。制御装置1は、ネットワーク102(外部ネットワーク/ローカルネットワーク)を介して上位装置101と接続されている。ネットワーク102は、例えば、イーサネット(Ethernet)(登録商標)等であるが、これに限定されず、各種の有線、無線の通信ネットワークによって実現できる。また、制御装置1は、制御対象の被制御装置103(例えばアクチュエータ等)とイーサネット等の通信路によって接続されている。
近年、制御装置1に対するネットワーク102を介したセキュリティ攻撃手法が日々進化しているため、制御装置1は脆弱性対策のためのソフトウェアの定期的な更新が必要になっている。そのため、例えば、制御装置1は、プログラム更新後に既存のセキュリティ機能が阻害されてしまい、実際にセキュリティ攻撃を受けた際にそのセキュリティ機能が動作しない可能性がある。また、制御装置1のセキュリティ機能は、例えば、制御装置1における部品の経年劣化等による損傷等によって阻害されることもある。そこで、以下では、セキュリティ機能の健全性を容易に確認できる制御装置1について説明する。
制御装置1は、通信インタフェース部2、記憶部3、処理部4、入出力部5、および、表示部6を備える。
通信インタフェース部2は、ネットワーク102から通信のフレーム(パケット)を受信する受信部21、および、受信部21が受信したフレームを制御部41に転送する転送部22を備える。
記憶部3は、例えば、ROM(Read Only Memory)、SSD(Solid State Drive)、HDD(Hard Disk Drive)等により実現される記憶手段である。記憶部3は、処理部4の動作プログラムのほか、単位時間ごとのフレームの受信数(以下、単に「受信数」ともいう。)、所定の受信数閾値、および、診断部425による診断結果等を記憶する。
処理部4は、例えば、CPU(Central Processing Unit)とRAM(Random Access Memory)により実現される処理手段である。処理部4は、機能部として、制御部41、および、セキュリティ診断部42を備える。
制御部41は、各種処理によって得た信号(制御指令値等)を被制御装置103に送信したり、被制御装置103からの信号を受信したりして、被制御装置103を制御する。
セキュリティ診断部42は、機能部として、受信検知部421、判定部422、転送停止制御部423、受信数設定部424、および、診断部425を備える。なお、処理部4における各機能部は、同一のハードウェア部品上に構成されてもよいし、別々のハードウェア部品上に構成されてもよい。
受信検知部421は、受信部21によってネットワーク102からのフレームが受信されたことを検知し、検知するごとに記憶部3に記憶されている受信数を更新(インクリメント(1増加))する。
判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上か否かを判定する。
転送停止制御部423は、判定部422によって受信数が受信数閾値以上になったと判定されたとき、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。また、その後、転送停止制御部423は、判定部422によって受信数が受信数閾値未満になったと判定されたとき、転送部22に転送開始信号を送信してネットワーク102から受信したフレームの制御部41への転送を開始(再開)させる。
受信数設定部424は、記憶部3に記憶されている受信数を、受信数閾値未満の第1の数(例えば、受信数閾値よりも1小さい数)、および、受信数閾値以上の第2の数(例えば、受信数閾値の数)を含む任意の数に設定可能である。例えば、受信数設定部424は、記憶部3のメモリやレジスタを書き換えることで当該受信数設定を実行する。なお、受信数閾値が「1500(フレーム/秒)」であるとすると、例えば、第1の数は「1499」で、第2の数は「1500」である。
診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第1の数に設定された場合に、転送停止制御部423が転送停止信号を出力しなかったことを正常と判定する。また、診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第2の数に設定された場合に、転送停止制御部423が転送停止信号を出力したことを正常と判定する。その際、例えば、診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第2の数に設定された場合に、転送停止制御部423が転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させたことを正常と判定する。診断部425は、これらの処理によって制御装置1を診断する。診断のタイミングは、この第1の実施形態では、制御装置1の起動時である。
入出力部5は、制御部41と被制御装置103の間での信号の送受信を中継する手段である。表示部6は、診断結果等の各種情報を表示する手段である。
次に、図2を参照して、第1の実施形態の制御装置1による通常モードでの処理について説明する。図2は、第1の実施形態の制御装置1による通常モードでの処理を示すフローチャートである。
ここで、制御装置1の動作モードには、通常モードと診断モードの2つがある。通常モードとは、制御装置1が被制御装置103を制御するモードである。診断モードとは、制御装置1のセキュリティ機能を診断(健全性の確認)するモードである。
ステップS101において、判定部422は、判定タイミング(例えば1秒~数秒おき)が来たか否かを判定し、Yesの場合はステップS104に進み、Noの場合はステップS102に進む。
ステップS102において、受信検知部421は、ネットワーク102からのフレームを受信部21によって受信したか否かを検知し、Yesの場合はステップS103に進み、Noの場合はステップS101に戻る。
ステップS103において、受信検知部421は、記憶部3に記憶されている受信数をインクリメント(1増加)し、ステップS101に戻る。
ステップS104において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS105に進み、Noの場合はステップS107に進む。
ステップS105において、転送停止制御部423は、転送部22が転送停止中(受信部21が受信したフレームを制御部41に転送することを停止中)であるか否かを判定し、Yesの場合はステップS109に進み、Noの場合はステップS106に進む。
ステップS106において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。ステップS106の後、ステップS109に進む。
ステップS107において、転送停止制御部423は、転送部22が転送停止中であるか否かを判定し、Yesの場合はステップS108に進み、Noの場合はステップS109に進む。
ステップS108において、転送停止制御部423は、転送部22に転送開始信号を送信してネットワーク102から受信したフレームの制御部41への転送を開始(再開)させる。ステップS108の後、ステップS109に進む。
ステップS109において、受信数設定部424は、記憶部3に記憶されている受信数を「0」にリセットし、ステップS101に戻る。
このようにして、制御装置1は、通常モードにおいて、DoS攻撃を受ける等により受信数が受信数閾値以上となった場合、受信部21で受信したフレームを転送部22から制御部41に転送しないようにすることで、制御部41の高負荷状態を回避することができる。
ここで、図3は、第1の実施形態の制御装置1による通常モードでのフレーム受信数と転送停止の期間との関係を示すグラフである。図3に示すように、時刻t1以前では、受信数n(フレーム/秒)が受信数閾値nth未満であるので、転送部22から制御部41へのフレームの転送は停止されていない。
そして、時刻t1で受信数nが受信数閾値nth以上になると、転送部22から制御部41へのフレームの転送は停止される。その転送停止は、受信数nが受信数閾値nth未満になる時刻t2まで継続される。時刻t2で受信数nが受信数閾値nth未満になると、転送部22から制御部41へのフレームの転送が開始(再開)される。
なお、受信部21で受信したフレームを転送部22から制御部41に転送しないようにする手法としては、転送部22と制御部41との通信を切断してもよいし、また、DoS攻撃を受けている対象の受信ポートを閉じてもよいし、あるいは、その他の方法であってもよい。
次に、図4を参照して、第1の実施形態の制御装置1による起動時診断処理について説明する。図4は、第1の実施形態の制御装置1による起動時診断処理を示すフローチャートである。
制御装置1の電源がONされると、ステップS201において、受信数設定部424は、記憶部3に記憶されている受信数nを、第1の数である「nth-1」に設定する。
次に、ステップS202において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS203に進み、Noの場合はステップS204に進む。
ステップS203において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。
ここで、制御装置1が正常であれば、ステップS202でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS202でYesに進み、ステップS203が実行される場合がある。
ステップS204において、診断部425は、転送部22によるフレーム転送が停止されたか否かを判定し、Yesの場合はステップS209に進み、Noの場合はステップS205に進む。なお、このステップS204での判定は、診断部425が転送部22の状態を認識することで行ってもよいし、あるいは、ステップS203において転送停止制御部423が転送部22だけでなく診断部425にも転送停止信号を送信することで行ってもよい。
ステップS205において、受信数設定部424は、記憶部3に記憶されている受信数nを、第2の数である「nth」に設定する。
次に、ステップS206において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS207に進み、Noの場合はステップS208に進む。
ステップS207において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。
ここで、制御装置1が正常であれば、ステップS206でYesに進み、ステップS207が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS206でNoに進む場合がある。
ステップS208において、診断部425は、転送部22によるフレーム転送が停止されたか否かを判定し、Yesの場合はステップS210に進み、Noの場合はステップS209に進む。
ステップS209において、診断部425は、エラーを通知する。具体的には、例えば、診断部425は、エラーであることを表示部6(LED(Light Emitting Diode)等)に表示する。これにより、ユーザは、表示部6を見て、エラーを知ることができる。また、診断部425は、上位装置101にエラーフレームを送信することでエラーを通知してもよい。ステップS209の後、診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
ステップS210において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS211において、診断部425は、通常モードに移行する。また、診断部425は、記憶部3に診断結果が正常であったことを記憶する。
このようにして、第1の実施形態の制御装置1によれば、起動時に図4の処理を行って、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えて転送部22による転送停止の有無を判定することで、セキュリティ機能の健全性を容易に確認できる。
<第2の実施形態>
次に、第2の実施形態について説明する。図5は、第2の実施形態の制御装置1等の構成図である。図5の制御装置1は、図1の制御装置1と比較して、処理部4のセキュリティ診断部42にモード切替部426が備えられている点で相違する。
モード切替部426は、所定のタイミングで通常モードから診断モードに切り替える。所定のタイミングとは、例えば、毎日0時等の時刻によって設定されるものであってもよいし、あるいは、数時間ごと等の周期によって設定されるものであってもよい。また、モード切替部426は、診断モードが終了した場合に通常モードに切り替える。
次に、図6を参照して、第2の実施形態の制御装置1による定周期診断処理について説明する。図6は、第2の実施形態の制御装置1による定周期診断処理を示すフローチャートである。この定周期診断処理は、制御装置1の通常モードの最中に実行される。
まず、ステップS301において、制御装置1が通常モード(図2の処理)で動作しているものとする。
次に、ステップS302において、モード切替部426は、診断モードへの移行タイミングが来たか、つまり、所定のタイミングとなったか否かを判定し、Yesの場合はステップS302に進み、Noの場合はステップS301に戻る。
ステップS303において、モード切替部426は、通常モードから診断モードに移行する。
次に、ステップS304において、受信数設定部424は、記憶部3に記憶されている受信数nを、第1の数である「nth-1」に設定する。
次に、ステップS305において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS306に進み、Noの場合はステップS307に進む。
ステップS306において、転送停止制御部423は、図4のステップS203と異なり、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。これは、制御装置1が被制御装置103の制御を実行している最中であるので、転送停止信号を転送部22に送信してその制御を阻害してしまう事態を回避するためである。
ここで、制御装置1が正常であれば、ステップS305でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS305でYesに進み、ステップS306が実行される場合がある。
ステップS307において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS312に進み、Noの場合はステップS308に進む。
ステップS308において、受信数設定部424は、記憶部3に記憶されている受信数nを、第2の数である「nth」に設定する。
次に、ステップS309において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS310に進み、Noの場合はステップS311に進む。
ステップS310において、転送停止制御部423は、図4のステップS207と異なり、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。
ここで、制御装置1が正常であれば、ステップS309でYesに進み、ステップS310が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS309でNoに進む場合がある。
ステップS311において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS313に進み、Noの場合はステップS312に進む。
ステップS312において、診断部425は、エラーを通知する。ステップS312の後、診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
ステップS313において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS314において、診断部425は、通常モードに移行する。また、診断部425は、記憶部3に診断結果が正常であったことを記憶する。
このようにして、第2の実施形態の制御装置1によれば、図6の処理を行って、通常モードから診断モードに移行して、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えて転送部22からの転送停止信号の出力の有無を判定することで、セキュリティ機能の健全性を容易に確認できる。つまり、制御装置1が被制御装置103を制御している間でもセキュリティ機能の診断が可能となる。
<第3の実施形態>
次に、第3の実施形態について説明する。図7は、第3の実施形態の制御装置1、上位装置101等の構成図である。図7は、図5と比較して、上位装置101の内部構成を示している点で相違する。
上位装置101は、HMI(Human Machine Interface)装置等のコンピュータ装置であり、通信インタフェース部111、記憶部112、処理部113、入力部114、および、表示部115を備える。
通信インタフェース部111は、制御装置1等とネットワーク102を介してフレームを送受信するための通信インタフェースである。
記憶部112は、例えば、ROM、SSD、HDD等により実現される記憶手段である。記憶部112は、処理部113の動作プログラムのほか、制御装置1の記憶部3に記憶されている受信数閾値と同じ受信数閾値等を記憶する。
処理部113は、例えば、CPUとRAMにより実現される処理手段である。処理部113は、機能部として、制御部1131、および、モード切替部1132を備える。なお、処理部113における各機能部は、同一のハードウェア部品上に構成されてもよいし、別々のハードウェア部品上に構成されてもよい。
制御部1131は、制御装置1を制御する。モード切替部1132は、制御装置1からの指示により、制御装置1が通常モードと診断モードを切り替えたことを認識する。
入力部114は、ユーザによる情報入力手段であり、例えば、キーボードやマウスである。表示部115は、制御装置1の診断結果等の各種情報を表示する手段である。
また、制御装置1の処理部4のセキュリティ診断部42における診断部425は、上位装置101から診断用に送信されてきた受信数閾値未満の第1の数のフレームを受信部21によって受信した場合に、転送停止制御部423が転送停止信号を出力しなかったことを正常と判定する。
また、診断部425は、上位装置101から診断用に送信されてきた受信数閾値以上の第2の数のフレームを受信部21によって受信した場合に、転送停止制御部423が転送停止信号を出力したことを正常と判定する。診断部425は、これらの処理によって制御装置1を診断する。
次に、図8を参照して、第3の実施形態の制御装置1による第1の定周期診断処理について説明する。図8は、第3の実施形態の制御装置1による第1の定周期診断処理を示すフローチャートである。この第1の定周期診断処理は、制御装置1の通常モードの最中に実行される。
まず、ステップS401において、制御装置1が通常モード(図2の処理)で動作しているものとする。
次に、ステップS402において、制御装置1のモード切替部426は、診断モードへの移行タイミングが来たか、つまり、所定のタイミングとなったか否かを判定し、Yesの場合はステップS403に進み、Noの場合はステップS401に戻る。
ステップS403において、制御装置1のモード切替部426は、通常モードから診断モードに移行し、この移行を上位装置101に通知する。
次に、ステップS404において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS405において、上位装置101のモード切替部1132は、ステップS403の通知を受けて、制御装置1が通常モードから診断モードに移行したことを認識する。
次に、ステップS406において、上位装置101の制御部1131は、第1の数である「nth-1」個のフレームを制御装置1に送信する。
次に、ステップS407において、制御装置1の受信検知部421は、「nth-1」個のフレームを受信したことによって、記憶部3に記憶されている受信数を更新する。
次に、ステップS408において、制御装置1の判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS409に進み、Noの場合はステップS410に進む。
ステップS409において、転送停止制御部423は、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。ここで、制御装置1が正常であれば、ステップS408でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS408でYesに進み、ステップS409が実行される場合がある。
ステップS410において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS418に進み、Noの場合はステップS411に進む。
ステップS411において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS412において、制御装置1の診断部425は、次のフレーム送信を上位装置101に指示する。
これを受けて、ステップS413において、上位装置101の制御部1131は、第2の数である「nth」個のフレームを制御装置1に送信する。
次に、ステップS414において、制御装置1の受信検知部421は、「nth」個のフレームを受信したことによって、記憶部3に記憶されている受信数を更新する。
次に、ステップS415において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS416に進み、Noの場合はステップS417に進む。
ステップS416において、転送停止制御部423は、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。ここで、制御装置1が正常であれば、ステップS415でYesに進み、ステップS416が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS415でNoに進む場合がある。
ステップS417において、制御装置1の診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS419に進み、Noの場合はステップS418に進む。
ステップS418において、制御装置1の診断部425は、エラーを通知する。ステップS418の後、制御装置1の診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
ステップS419において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS420において、制御装置1のモード切替部426は、診断モードから通常モードに移行し、この移行を上位装置101に通知する。また、制御装置1の診断部425は、記憶部3に診断結果が正常であったことを記憶する。
次に、ステップS421において、上位装置101のモード切替部1132は、ステップS420の通知を受けて、制御装置1が診断モードから通常モードに移行したことを認識する。
このようにして、第3の実施形態の制御装置1の第1の定周期診断処理によれば、診断モードにおいて、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えるのではなく、実際に上位装置101から第1の数のフレームと第2の数のフレームを受信することで診断を行うことで、より高信頼度の診断を行うことができる。
次に、図9を参照して、第3の実施形態の制御装置1による第2の定周期診断処理について説明する。図9は、第3の実施形態の制御装置1による第2の定周期診断処理を示すフローチャートである。この第2の定周期診断処理は、第1の定周期診断処理と比較して、上位装置101のユーザが所望のタイミングで制御装置1の診断を実行できる点で相違する。
まず、ステップS501において、制御装置1が通常モード(図2の処理)で動作しているものとする。
次に、ステップS502において、制御装置1のモード切替部426は、上位装置101から診断モードへの移行指示があったか否かを判定し、Yesの場合はステップS506に進み、Noの場合はステップS501に戻る。
一方、ステップS503において、上位装置101のモード切替部1132は、ユーザによる入力部114を用いた診断モードへの移行指示の操作があったか否かを判定し、Yesの場合はステップS504に進み、Noの場合はステップS503に戻る。
ステップS504において、上位装置101のモード切替部1132は、制御装置1に診断モードへの移行を指示する。
ステップS505において、上位装置101のモード切替部1132は、制御装置1が診断モードに移行することを認識する。
ステップS506において、制御装置1のモード切替部426は、通常モードから診断モードに移行する。
次に、ステップS507において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
次に、ステップS508において、制御装置1の診断部425は、フレーム送信を上位装置101に指示する。
ステップS406~S421は、図8のステップS406~S421と同様であるので、説明を省略する。
このようにして、第3の実施形態の制御装置1の第2の定周期診断処理によれば、上位装置101のユーザが所望のタイミングで制御装置1の診断を実行できる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
また、本実施形態の制御装置1で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、フレキシブルディスク(FD)、CD-R、DVD(Digital Versatile Disk)等のコンピュータ装置で読み取り可能な記録媒体に記録して提供することができる。また、本実施形態の制御装置1で実行されるプログラムを、インターネット等のネットワーク経由で提供または配布するようにしてもよい。
また、診断のタイミングは、例えば、定周期としている場合に、さらに、学習によってタイミングを早く、または、遅くなるように変更してもよい。また、診断結果が異常であった場合、制御装置1による被制御装置103の制御を強制的に停止させてもよい。
1…制御装置、2…通信インタフェース部、3…記憶部、4…処理部、5…入出力部、6…表示部、21…受信部、22…転送部、41…制御部、42…セキュリティ診断部、101…上位装置、102…ネットワーク、103…被制御装置、111…通信インタフェース部、112…記憶部、113…処理部、114…入力部、115…表示部、421…受信検知部、422…判定部、423…転送停止制御部、424…受信数設定部、425…診断部、426…モード切替部、1131…制御部、1132…モード切替部。

Claims (3)

  1. 被制御装置を制御する制御部と、
    ネットワークから通信のフレームを受信する受信部、および、前記受信部が受信したフレームを前記制御部に転送する転送部を備える通信インタフェース部と、
    所定の受信数閾値、および、単位時間ごとのフレームの受信数を記憶する記憶部と、
    前記受信部によって前記フレームが受信されたことを検知し、前記記憶部に記憶されている受信数を更新する受信検知部と、
    前記記憶部に記憶されている受信数が前記記憶部に記憶されている受信数閾値以上になったとき、前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させる転送停止制御部と、
    前記記憶部に記憶されている受信数を、前記受信数閾値未満の第1の数、および、前記受信数閾値以上の第2の数を含む任意の数に設定可能な受信数設定部と、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定し、かつ、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定することによって、セキュリティ機能を診断する診断部と、を備える制御装置。
  2. 前記診断部は、起動時に、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が前記転送部に転送停止信号を送信しなかったことを正常と判定し、かつ、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させたことを正常と判定することによって、セキュリティ機能を診断する、請求項1に記載の制御装置。
  3. 前記制御装置は、所定のタイミングで、通常モードから、前記制御装置のセキュリティ機能を診断する診断モードに切り替えるモード切替部を、さらに備え、
    前記診断部は、前記モード切替部によって前記通常モードから前記診断モードに切り替えられたときに、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定し、かつ、
    前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定することによって、セキュリティ機能を診断する、請求項1に記載の制御装置。
JP2017129143A 2017-06-30 2017-06-30 制御装置 Active JP7051316B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017129143A JP7051316B2 (ja) 2017-06-30 2017-06-30 制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017129143A JP7051316B2 (ja) 2017-06-30 2017-06-30 制御装置

Publications (2)

Publication Number Publication Date
JP2019012953A JP2019012953A (ja) 2019-01-24
JP7051316B2 true JP7051316B2 (ja) 2022-04-11

Family

ID=65226392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017129143A Active JP7051316B2 (ja) 2017-06-30 2017-06-30 制御装置

Country Status (1)

Country Link
JP (1) JP7051316B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230408998A1 (en) * 2021-06-03 2023-12-21 Mitsubishi Electric Corporation Data collection-analysis module, method for operating data collection-analysis module, and programmable logic controller

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002229945A (ja) 2001-01-30 2002-08-16 Yokogawa Electric Corp コンピュータ・システムの脆弱性検査システム
JP2009500921A (ja) 2005-06-29 2009-01-08 ハネウェル・インターナショナル・インコーポレーテッド ネットワーク・エラー防止装置及び方法
WO2015001594A1 (ja) 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
JP2015114833A (ja) 2013-12-11 2015-06-22 三菱電機株式会社 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム
JP2017103677A (ja) 2015-12-03 2017-06-08 株式会社東芝 制御装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002229945A (ja) 2001-01-30 2002-08-16 Yokogawa Electric Corp コンピュータ・システムの脆弱性検査システム
JP2009500921A (ja) 2005-06-29 2009-01-08 ハネウェル・インターナショナル・インコーポレーテッド ネットワーク・エラー防止装置及び方法
WO2015001594A1 (ja) 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
JP2015114833A (ja) 2013-12-11 2015-06-22 三菱電機株式会社 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム
JP2017103677A (ja) 2015-12-03 2017-06-08 株式会社東芝 制御装置

Also Published As

Publication number Publication date
JP2019012953A (ja) 2019-01-24

Similar Documents

Publication Publication Date Title
KR102347703B1 (ko) 정보 처리 장치, 그 제어 방법 및 저장 매체
JP6509462B2 (ja) 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
US20160378603A1 (en) Automated fault recovery
WO2017221373A1 (ja) 侵入検知装置および侵入検知プログラム
JP2008301003A (ja) 中継装置、ネットワーク及びそれらに用いるフレーム中継方法
JP7051316B2 (ja) 制御装置
JP2009272884A (ja) 基地局装置、近隣セル情報管理プログラムおよび近隣セル情報管理方法
ES2402877T3 (es) Un método para sincronizar el estado de conmutación de la unidad de cruce en un elemento de red
US20190303566A1 (en) Attack detector, controller, and attack detection method
US20130254756A1 (en) Method and device to automatically update a computer system
JP7139821B2 (ja) 情報処理装置及びプログラム
US7782217B2 (en) System and method for monitoring motor
CN112260971B (zh) 网络设备系统的容错方法、装置、计算机设备和存储介质
JP2019213058A (ja) 異常診断装置、異常診断システムおよび異常診断方法
JP2022101083A (ja) 通信監視対処装置、通信監視対処方法、及び通信監視対処システム
JP6317974B2 (ja) データ収集システム
JP5976934B2 (ja) 電子機器
JP6937251B2 (ja) 異常要因判定装置、制御システム、および異常要因判定方法
JP2017092933A (ja) コントローラおよび制御システム
JP2016072668A (ja) 影響範囲特定装置、影響範囲特定方法、及びプログラム
JP2019205125A (ja) 異常要因判定装置、制御システム、および異常要因判定方法
JPWO2020100307A1 (ja) 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム
JP2009141473A (ja) サイクリック通信における監視装置および監視方法
JP5908346B2 (ja) 通信装置および通信方法
JP2012205276A (ja) 保守装置、保守方法及びプログラム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170911

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170912

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210916

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220330

R150 Certificate of patent or registration of utility model

Ref document number: 7051316

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150