JP7176455B2 - 監視システム、設定装置および監視方法 - Google Patents

監視システム、設定装置および監視方法 Download PDF

Info

Publication number
JP7176455B2
JP7176455B2 JP2019062274A JP2019062274A JP7176455B2 JP 7176455 B2 JP7176455 B2 JP 7176455B2 JP 2019062274 A JP2019062274 A JP 2019062274A JP 2019062274 A JP2019062274 A JP 2019062274A JP 7176455 B2 JP7176455 B2 JP 7176455B2
Authority
JP
Japan
Prior art keywords
communication
monitoring
data
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019062274A
Other languages
English (en)
Other versions
JP2020162075A (ja
Inventor
久則 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2019062274A priority Critical patent/JP7176455B2/ja
Priority to PCT/JP2020/009137 priority patent/WO2020195640A1/ja
Priority to US17/440,195 priority patent/US11695660B2/en
Priority to EP20778910.8A priority patent/EP3952219A4/en
Priority to CN202080019458.5A priority patent/CN113545010A/zh
Publication of JP2020162075A publication Critical patent/JP2020162075A/ja
Application granted granted Critical
Publication of JP7176455B2 publication Critical patent/JP7176455B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Programmable Controllers (AREA)

Description

本発明は、FA(Factory Automation)ネットワークでの通信の監視に関する。
現在では、ネットワークには、さまざまな端末を容易に接続することができる。一方で、ネットワーク上のセキュリティに関するさまざまな問題が発生するとともに、影響が及ぶ範囲も大きくなっている。
特開2015-159482号公報(特許文献1)は、IPネットワークと複数の端末の間に位置するネットワーク装置を開示する。このネットワーク装置は、ユーザがネットワークの特別な専門知識を有していなくとも、IPネットワークへ接続可能な端末を設定できるとともに、安全なIPネットワークを構築できることを目的とする。ネットワーク装置は、端末からパケットを受信したときに、アドレスを学習する。アドレスを学習できない場合、ネットワーク装置は、フィルタ情報に含まれるアドレスに基づいて、受信したパケットを転送すべきか否かを判定する。
特開2015-159482号公報
各種設備および各設備に配置される各種装置の制御には、PLC(プログラマブルロジックコントローラ)などの制御装置が用いられる。近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。FA(Factory Automation)の現場におけるネットワークは、産業用ネットワーク、FAネットワーク、フィールドネットワーク等の様々な名称を有するが、以下では「FAネットワーク」との用語を用いる。
制御システムのネットワーク化あるいはインテリジェント化に伴って、想定される脅威の種類も増加している。しかし、FAの現場では、生産装置に応じた多種多様な通信が実行される。このため、ネットワークのセキュリティを監視する場合に、正常または異常の判断が難しい。
多くの場合、ユーザは、通信技術に関する高度の専門知識を有していない。このため、ユーザが、プロトコルの詳細など実際に行われる通信処理の具体的な内容までは把握していないことが多い。したがってユーザが制御システムの稼働に関する通信処理を管理していないことが多い。さらにFAネットワークのセキュリティに関する専門知識を有する技術者が製造現場に常駐しているとも限らない。
したがって本発明の1つの目的は、FAネットワークでの通信の監視を可能にすることである。
本開示の一例は、FAネットワークに関する通信を監視する監視システムであって、FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、FAネットワーク上での通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、通信の監視のための監視設定情報を生成するデータ分析部と、監視設定情報に従って、監視対象の通信を監視する監視部とを含む。
上記によれば、FAネットワークでの通信の監視が可能になる。データ収集部が、FAネットワーク上の通信の状況を示すデータを取得する。データ分析部は、そのデータを分析する。これにより、FAネットワークでの通信の状況を把握することができる。その状況に基づいて監視のための設定を行うことにより、FAネットワークでの通信の監視が可能となる。
好ましくは、監視設定情報は、監視対象の通信の帯域幅のしきい値を含む。監視部は、帯域幅がしきい値を上回る場合に、ユーザへの通知を出力する。
上記によれば、DoS攻撃(Denial of Service attack)あるいはDDoS攻撃(Distributed Denial of Service attack)を受けた場合といったように帯域幅がしきい値を上回る場合に、監視部はユーザへの通知を出力することができる。
好ましくは、監視システムは、表示部をさらに備える。データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含む。予め登録された情報は、送信元の名称と、送信先の名称と、送信元と送信先との間の通信を示す名称とを含む。データ分析部は、データと予め登録された情報とを関連付けた実通信情報を生成して、実通信情報を表示部に表示させる。
上記によれば、通信負荷の現状をユーザが容易に把握できるように実通信情報をユーザに提示することができる。したがって、ユーザによるセキュリティの設定を支援することができる。
好ましくは、データ分析部は、送信元と送信先との間の通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、監視設定情報を生成するように構成される。アクションの選択肢は、送信元と送信先との間の通信の監視と、送信元と送信先との間の通信の拒否とを含む。
上記によれば、データ収集の結果に基づいて、ユーザは、セキュリティに関する対策を取ることができる。たとえば明らかに異常と思われる通信を拒否することができる。
好ましくは、監視部は、FAネットワークに接続された制御装置に含まれる。
上記によれば、制御装置の通信のセキュリティを設定することができる。さらに設定後は、制御装置自身による通信の監視が可能となる。
本開示の一例は、FAネットワークに関する通信を監視する監視システムのための設定装置であって、監視システムは、監視設定情報に従って通信を監視する監視部を含み、設定装置は、FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、FAネットワーク上での通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、通信の監視のための監視設定情報を生成するデータ分析部とを備える。
上記によれば、FAネットワークでの通信を監視できるように監視システムを設定することができる。
本開示の一例は、FAネットワークに関する通信を監視する監視システムによる監視方法であって、監視システムのデータ収集部が、FAネットワーク上の通信の状況を示すデータを収集するステップと、監視システムのデータ分析部が、FAネットワーク上での通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、通信の監視のための監視設定情報を生成するステップと、監視システムの監視部が監視設定情報に従って、監視対象の通信を監視するステップとを含む。
上記によれば、FAネットワークでの通信の監視が可能になる。
本発明によれば、FAネットワークでの通信の監視およびその監視のための設定が可能になる。
本実施の形態に係る制御装置の構成例を示す外観図である。 本実施の形態に従う制御装置を構成する制御ユニットのハードウェア構成例を示す模式図である。 本実施の形態に従う制御装置を構成する通信ユニットのハードウェア構成例を示す模式図である。 本実施の形態に従う制御装置を構成するセーフティユニットのハードウェア構成例を示す模式図である。 本実施の形態に従う制御装置1を含む制御システムの典型例を示す模式図である。 本実施の形態に従う制御装置1に接続されるサポート装置のハードウェア構成例を示す模式図である。 本実施の形態に従う監視システムの概略的な構成を示した図である。 図7に示した構成によってFAネットワークの通信負荷の監視を実現するためのシナリオを示した模式図である。 図8に示した収集フェーズの概要を説明した図である。 分析フェーズの概要を説明した図である。 図10に示したユーザインターフェイス画面の一実施例を示した図である。 図11に示したユーザインターフェイス画面の表示のためのデータ収集処理を説明する模式図である。 図11に示したユーザインターフェイス画面の表示のための設定処理を説明する模式図である。 図11に示したユーザインターフェイス画面の表示のための静的データの抽出処理を説明する模式図である。 通信拒否のアクションの設定を説明するための図である。 通信監視のアクションの設定を説明するための図である。 PLCプログラムの一部の例を示した図である。 活用フェーズの概要を説明した図である。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
<A.制御装置>
まず、本実施の形態に従う監視システムにおいて監視対象の通信を行う制御装置1を説明する。
図1は、本実施の形態に係る制御装置1の構成例を示す外観図である。図1を参照して、制御装置1は、制御ユニット100と、通信ユニット200と、セーフティユニット300と、1または複数の機能ユニット400と、電源ユニット450とを含む。
制御ユニット100と通信ユニット200との間は、任意のデータ伝送路(例えば、PCI Express(登録商標)あるいはイーサネット(登録商標)など)を介して接続されている。制御ユニット100とセーフティユニット300および1または複数の機能ユニット400との間は、図示しない内部バスを介して接続されている。
制御ユニット100は、制御装置1において中心的な処理を実行する。制御ユニット100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。後述のセーフティユニット300で実行される制御演算との対比で、制御ユニット100で実行される制御演算を「標準制御」とも称す。図1に示す構成例において、制御ユニット100は、1または複数の通信ポートを有している。
通信ユニット200は、制御ユニット100に接続され、制御装置1に対するセキュリティ機能を担当する。図1に示す構成例において、通信ユニット200は、1または複数の通信ポートを有している。通信ユニット200が提供するセキュリティ機能の詳細については、後述する。
セーフティユニット300は、制御ユニット100とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット300で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、IEC 61508などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。
機能ユニット400は、制御装置1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。I/Oユニットとしては、例えば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ出力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティI/Oユニットは、セーフティ制御に係るI/O処理を担当する。
電源ユニット450は、制御装置1を構成する各ユニットに対して、所定電圧の電源を供給する。
<B.各ユニットのハードウェア構成例>
次に、本実施の形態に従う制御装置1を構成する各ユニットのハードウェア構成例について説明する。
(b1:制御ユニット100)
図2は、本実施の形態に従う制御装置1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
プロセッサ102は、二次記憶装置108に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット100全体としての処理を実現する。
二次記憶装置108には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。
通信コントローラ110は、通信ユニット200との間のデータの遣り取りを担当する。通信コントローラ110としては、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
USBコントローラ112は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス114は、メモリカード115を着脱可能に構成されており、メモリカード115に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード115から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ116,118,120の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ116,118,120は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
内部バスコントローラ122は、制御装置1を構成するセーフティユニット300や1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。
インジケータ124は、制御ユニット100の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図2には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。あるいは、制御ユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b2:通信ユニット200)
図3は、本実施の形態に従う制御装置1を構成する通信ユニット200のハードウェア構成例を示す模式図である。図3を参照して、通信ユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
プロセッサ202は、二次記憶装置208に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、後述するような各種セキュリティ機能を実現する。チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、通信ユニット200全体としての処理を実現する。
二次記憶装置208には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。
通信コントローラ210は、制御ユニット100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御ユニット100に通信コントローラ210と同様に、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
USBコントローラ212は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス214は、メモリカード215を着脱可能に構成されており、メモリカード215に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード215から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ216,218の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ216,218は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。
インジケータ224は、通信ユニット200の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図3には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、通信ユニット200の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b3:セーフティユニット300)
図4は、本実施の形態に従う制御装置1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
プロセッサ302は、二次記憶装置308に格納された各種プログラムを読み出して、主記憶装置306に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。チップセット304は、プロセッサ302と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット300全体としての処理を実現する。
二次記憶装置308には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。
メモリカードインターフェイス314は、メモリカード315を着脱可能に構成されており、メモリカード315に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード315からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。
内部バスコントローラ322は、内部バスを介した制御ユニット100との間のデータの遣り取りを担当する。
インジケータ324は、セーフティユニット300の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図4には、プロセッサ302がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セーフティユニット300の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<C.制御システム10>
次に、本実施の形態に従う制御装置1を含む制御システム10の典型例について説明する。以下の説明においてデータベースを「DB」と表記する。図5は、本実施の形態に従う制御装置1を含む制御システム10の典型例を示す模式図である。
一例として、図5に示す制御システム10は、2つのライン(ラインAおよびラインB)を制御対象とする。典型的には、各ラインは、ワークを搬送するコンベアに加えて、コンベア上のワークに対して任意の物理的作用を与えることが可能なロボットが配置されているとする。
ラインAおよびラインBのそれぞれに制御ユニット100が配置されている。ラインAを担当する制御ユニット100に加えて、通信ユニット200およびセーフティユニット300が制御装置1を構成する。なお、説明の便宜上、図5には、機能ユニット400および電源ユニット450の記載を省略している。
制御装置1の通信ユニット200は、通信ポート242(図3のネットワークコントローラ216)を介して第1ネットワーク2に接続されている。第1ネットワーク2には、サポート装置600およびSCADA(Supervisory Control And Data Acquisition)装置700が接続されているとする。
サポート装置600は、少なくとも制御ユニット100にアクセス可能になっており、制御装置1に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定などの機能をユーザへ提供する。また、サポート装置600は、通信ユニット200から情報を収集して、その収集された情報に基づいてFAネットワークの通信負荷を監視する。したがって、サポート装置600は、監視装置としての機能を有する。
SCADA装置700は、制御装置1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、制御装置1に対して内部コマンドなどを生成する。SCADA装置700は、制御装置1が扱うデータを収集する機能も有している。
制御装置1の制御ユニット100は、通信ポート142(図2のネットワークコントローラ116)を介して第2ネットワーク4に接続されている。第2ネットワーク4には、HMI(Human Machine Interface)800およびデータベース900が接続されているとする。
HMI800は、制御装置1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、制御装置1に対して内部コマンドなどを生成する。データベース900は、制御装置1から送信される各種データ(例えば、各ワークから計測されたトレーサビリティに関する情報など)を収集する。
制御装置1の制御ユニット100は、通信ポート144(図2のネットワークコントローラ118)およびFAネットワークを介して、1または複数のフィールドデバイス500と接続されている。フィールドデバイス500は、制御対象から制御演算に必要な各種情報を収集するセンサや検出器、および、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。図5に示す例では、フィールドデバイス500は、ワークに対して何らかの外的な作用を与えるロボット、ワークを搬送するコンベヤ、フィールドに配置されたセンサやアクチュエータとの間で信号を遣り取りするI/Oユニットなどを含む。
同様に、ラインBを担当する制御ユニット100についても同様に、通信ポート144(図2のネットワークコントローラ118)およびFAネットワークを介して、1または複数のフィールドデバイス500と接続されている。
ここで、制御装置1の機能面に着目すると、制御ユニット100は、標準制御に係る制御演算を実行する処理実行部である制御エンジン150と、外部装置との間でデータを遣り取りする情報エンジン160とを含む。通信ユニット200は、後述するような通信監視機能を実現するための通信エンジン250を含む。セーフティユニット300は、セーフティ制御に係る制御演算を実行する処理実行部であるセーフティエンジン350を含む。
各エンジンは、各ユニットのプロセッサなどの任意のハードウェア要素または各種プログラムなどの任意のソフトウェア要素、あるいは、それら要素の組合せによって実現される。各エンジンは任意の形態で実装できる。
さらに、制御装置1は、エンジン同士の遣り取りを仲介するブローカー170を含む。ブローカー170の実体は、制御ユニット100および通信ユニット200の一方または両方に配置してもよい。
制御エンジン150は、制御対象を制御するための制御演算の実行に必要な変数テーブルおよびファンクションブロック(FB)などを保持している。変数テーブルに格納される各変数は、I/Oリフレッシュ処理により、フィールドデバイス500から取得された値で周期的に収集されるとともに、フィールドデバイス500へ各値が周期的に反映される。制御エンジン150での制御演算のログはログデータベース180に格納されてもよい。
情報エンジン160は、制御ユニット100が保持するデータ(変数テーブルで保持される変数値)に対して任意の情報処理を実行する。典型的には、情報エンジン160は、制御ユニット100が保持するデータを周期的にデータベース900などへ送信する処理を含む。このようなデータの送信には、SQLなどが用いられる。
通信エンジン250は、対象となる通信データを監視して通信に関するデータを収集する。通信エンジン250の監視結果は、収集データDB260に保存される。
通信エンジン250は、セキュリティに関する何らかのイベントが発生したこと、あるいは発生しているセキュリティに関するイベントのレベルなどを、インジケータ224で通知する。
セーフティエンジン350は、制御装置1において何らかの不正侵入が発生したか否かを検知する検知手段に相当する。セーフティエンジン350は、制御ユニット100を介して、セーフティ制御に係る制御演算の実行に必要なセーフティI/O変数を取得および反映する。セーフティエンジン350でのセーフティ制御のログはログデータベース360に格納されてもよい。
ブローカー170は、例えば、通信エンジン250が何らかのイベントを検知すると、制御エンジン150、情報エンジン160およびセーフティエンジン350の動作などを変化させる。
<D.セキュリティ脅威に対する対策>
本実施の形態に従う制御装置1は、設備や機械を正常運転することを妨げる任意のセキュリティ脅威を検知し、必要な対策を実行可能になっている。
本明細書において、「セキュリティ脅威」は、設備や機械を正常運転することを妨げる任意の事象を意味する。ここで、「正常運転」は、システム設計通りおよび生産計画通りに、設備や機械を運転継続できる状態を意味する。なお、システム設計通りおよび生産計画通りに、設備や機械を運転継続するための、設備や機械の立ち上げ、メンテナンス、段取り替えなども付属的な処理も「正常運転」の概念には含まれる。
制御装置に搭載されているすべての物理ポートには、攻撃を受けるセキュリティリスクが存在している。たとえば、PLCを中心とする制御装置1がDoS攻撃(Denial of Service attack)あるいはDDoS攻撃(Distributed Denial of Service attack)のターゲットとされることが想定される。一方で、正常運転時においても、制御装置1へのアクセスが集中することとは起こりえる。したがって、ネットワークの設定(たとえばネットワークの帯域幅)に基づいて、DoS攻撃あるいはDDoS攻撃の判断のための閾値(たとえば帯域幅)を定めることができる。閾値を上回る負荷が生じた場合、制御ユニット100は外部からの攻撃を受けたと判断して、情報の受信を遮断する。ただし、他の通信は遮断されない。これにより、制御装置1の制御が制限されるものの、制御システム10の稼働自体を継続することができる。
<E.FAネットワークの監視に関する課題>
DoS攻撃あるいはDDoS攻撃等の脅威を検知するためには、FAネットワークの監視を行うことが望まれる。しかし、FAネットワークの監視に関して、以下に挙げる課題が想定される。
まず、FAネットワークでは、フィールドデバイス500(生産装置)に応じた多種多様な通信が行なわれる。そのような通信の正常あるいは異常を判断するための基準を設定することは容易ではない。
さらに、ユーザの関心が通信プロトコル等、データ通信を実現するための仕組みに向けられていない可能性がある。たとえばユーザは、制御ユニット100(PLC)同士の間でのデータの同期の頻度(あるいは周期)、制御ユニット100とリモートIOユニットとの間のデータ交換、HMI800での表示等など、制御システム10により実現したいことをアプリケーションのレベルで理解する。しかし、その実現のための通信の詳細(たとえば通信プロトコルの詳細等)について、ユーザ自体は関心を持たないことが多い。このため、FAネットワーク上の通信がどのよう通信であるかについてユーザの関心が薄い、あるいはユーザが管理を望まないことが想定される。
さらに製造の現場においては、生産技術に詳しい技術者は多い一方で、ネットワーク技術に詳しい技術者は少ないことが多い。このような状況では、ネットワークセキュリティに詳しい技術者がさらに少ないため、FAネットワークの状況を監視することがさらに難しい。
<F.設定装置のハードウェア構成>
次に、上述したような制御システム10におけるFAネットワークを監視するためのユーザインターフェイスの一例について説明する。図5に示したサポート装置600は、FAネットワークに関する通信を監視する監視システムの設定装置として機能する。
図6は、本実施の形態に従う制御装置1に接続されるサポート装置600のハードウェア構成例を示す模式図である。サポート装置600は、一例として、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコン)を用いて実現される。
図6を参照して、サポート装置600は、プロセッサ602と、メインメモリ604と、入力部606と、出力部608と、ストレージ610と、光学ドライブ612と、USBコントローラ620とを含む。これらのコンポーネントは、プロセッサバス618を介して接続されている。
プロセッサ602は、CPUやGPUなどで構成され、ストレージ610に格納されたプログラム(一例として、OS6102およびサポートプログラム6104)を読出して、メインメモリ604に展開して実行することで、制御装置1に対する設定処理などを実現する。
メインメモリ604は、DRAMやSRAMなどの揮発性記憶装置などで構成される。ストレージ610は、例えば、HDDやSSDなどの不揮発性記憶装置などで構成される。
ストレージ610には、基本的な機能を実現するためのOS6102に加えて、サポート装置600としての機能を提供するためのサポートプログラム6104、監視システムのための設定装置としての機能を提供するネットワーク監視プログラム6106が格納される。すなわち、ネットワーク監視プログラム6106がプロセッサ602によって実行されることにより、サポート装置600は、本実施の形態に係る監視システムのための設定装置を実現する。
入力部606は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。出力部608は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ602からの処理結果などを出力する。
USBコントローラ620は、USB接続を介して、制御装置1などとの間のデータを遣り取りする。
サポート装置600は、光学ドライブ612を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体614(例えば、DVD(Digital Versatile Disc)などの光学記録媒体)から、その中に格納されたプログラムが読取られてストレージ610などにインストールされる。
サポート装置600で実行されるサポートプログラム6104およびネットワーク監視プログラム6106などは、コンピュータ読取可能な記録媒体614を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置600が提供する機能は、OSが提供するモジュールの一部を利用する形で実現される場合もある。
図6には、プロセッサ602がプログラムを実行することで、サポート装置600として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。
<G.監視システムの構成>
図7は、本実施の形態に従う監視システムの概略的な構成を示した図である。図7に示すように、監視システムは、ツール602A(監視設定ツール)、通信ユニット200および、制御ユニット100を含む。プロセッサ602がネットワーク監視プログラム6106を実行することにより、ツール602Aがサポート装置600(図6を参照)に実装される。
ツール602Aは、設定ツール621と、分析アプリ622と、プロトコルDB623と、収集データDB624とを有する。設定ツール621は、通信ユニット200および制御ユニット100(PLC)から収集されるデータを設定する。分析アプリ622は、収集されたデータと、設定情報とを関連付ける処理を実行する。プロトコルDB623は、通信プロトコルに関する情報を蓄積する。
通信ユニット200は、通信エンジン250と、通信アプリ280とを有する。通信エンジン250は、帯域制御モジュール251と、アクセス制御モジュール252と、データ収集モジュール253と、通信設定情報254とを含む。帯域制御モジュール251、および、アクセス制御モジュール252は、通信の帯域および、制御ユニット100へのアクセスを制御することにより、制御ユニット100をDoS攻撃あるいはDDoS攻撃から防御する。データ収集モジュール253は、監視対象の通信データを収集する。通信設定情報254は、ツール602Aによって通信エンジン250に設定された情報である。
通信アプリ280は、通信ユニット200に実装される。通信アプリ280は、分析および検索モジュール281と、データ管理モジュール282と、収集データDB260と、データ解析設定情報284とを含む。分析および検索モジュール281は、対象の通信での通信量を分析する。データ管理モジュール282は、監視対象の通信についてのデータ収集モジュール253から受けて、そのデータを収集データDB260に蓄積する。データ解析設定情報284は、ツール602Aによって通信エンジン250に設定された情報である。
制御ユニット100は、ユーザプログラム1010と、PLC制御モジュール1012と、制御設定情報1014とを有する。ユーザプログラム1010は、ユーザによって作成されたプログラムであり、サポート装置600によって制御ユニット100に提供される。PLC制御モジュール1012は、ユーザプログラム1010および制御設定情報1014等に従って、制御ユニット100の動作を制御する。
監視設定ツール、通信ユニット200および、制御ユニット100は、FAネットワークに関する通信を監視する監視システムを構成する。データ収集モジュール253、データ管理モジュール282、収集データDB260,624は、FAネットワーク上の通信の状況を示すデータを収集するデータ収集部を構成する。分析アプリ622は、FAネットワーク上での通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、通信の監視のための監視設定情報を生成するデータ分析部を構成する。帯域制御モジュール251、アクセス制御モジュール252、PLC制御モジュール1012およびユーザプログラム1010は、監視設定情報に従って、監視対象の通信を監視する監視部を実現する。
<H.ネットワーク監視のフェーズ>
図8は、図7に示した構成によってFAネットワークの通信負荷の監視を実現するためのシナリオを示した模式図である。図8に示すように、収集フェーズP1、分析フェーズP2および活用フェーズP3の3つのフェーズによって、監視システムによるネットワークの通信負荷の監視が実現される。「フェーズ」との用語は「ステップ」に置き換えてもよい。
(h1.収集フェーズ)
図9は、図8に示した収集フェーズの概要を説明した図である。図9に示すように、設定ツール621は、データの収集に関する設定を実行する。設定ツール621は、設定内容を示す情報をデータ収集モジュール253に送る。データ収集モジュール253は、その設定内容に従って、通信データを収集する。データ収集モジュール253は、収集された通信フローデータをデータ管理モジュール282へと送る。
データ管理モジュール282は、収集されたデータを収集データDB260に保存する。なお、データ収集モジュール253が収集データDB260にデータを保存するのでもよい。
収集データDB260に保存されたデータは、監視設定ツールの収集データDB624に転送される。データの転送自体が通信の負荷になることを避けるために、収集フェーズP1の完了時、または収集フェーズP1の完了後に、データを収集データDB624に転送することが好ましい。
(h2.分析フェーズ)
図10は、分析フェーズの概要を説明した図である。図10を参照して、分析アプリ622は、収集データDB624からの通信データ、設定ツール621からの設定情報、およびプロトコルDB623からのプロトコル情報を受ける。「設定情報」、および「プロトコル情報」は、通信の設定に関する予め登録された情報である。
分析アプリ622は、設定情報、収集データおよびプロトコル情報を関連付けて実通信情報を生成して、ユーザインターフェイス画面630にその実通信情報を表示する。これにより、ユーザが制御システム10の通信の現状を容易に把握することができる。さらに、ユーザに対して、セキュリティに関する設定の支援を提供することができる。ユーザインターフェイス画面630は、サポート装置600に表示される。ただし、ユーザインターフェイス画面630がHMI800に表示されるのでもよい。
さらに、ユーザはユーザインターフェイス画面630への入力により、アクセスリスト情報631、QoS(Quality of Service)設定情報632、フロー設定監視情報633、指示および処置情報634を生成することができる。アクセスリスト情報631、QoS設定情報632、フロー設定監視情報633、指示および処置情報634は、監視設定情報に相当する。フロー設定監視情報633は、監視対象の通信の帯域幅のしきい値を含む。したがって、監視設定情報は監視対象の通信の帯域幅のしきい値を含む。
アクセスリスト情報631、QoS設定情報632、およびフロー設定監視情報633は、通信エンジン250に送られる。通信エンジン250は、アクセスリスト情報631、QoS設定情報632、およびフロー設定監視情報633に基づき通信設定情報254を生成または更新する。
フロー設定監視情報633は、指示および処置情報634ととともに、制御ユニット100に送られる。制御ユニット100は、フロー設定監視情報633と、指示および処置情報634とに基づいて、ユーザプログラム1010の実行に用いられる制御設定情報1014を作成または更新する。したがって、通信設定情報254および制御設定情報1014は、監視設定情報に相当する。監視部(通信エンジン250または制御ユニット100)は、帯域幅がしきい値を上回る場合に、ユーザへの通知を出力することができる。すなわち、制御装置1へのDoS攻撃またはDDoS攻撃があった場合に、制御装置1は、警告を発することができる。
図11は、図10に示したユーザインターフェイス画面630の一実施例を示した図である。図11を参照して、ユーザインターフェイス画面630は、カラム641~651を有する。レコードR1~R4の各々は、カラム641~651の各々に格納された情報により構成される実通信情報である。以下に、カラム641~651の各々について説明する。
カラム641,642には、送信元に関する情報が格納される。具体的には、カラム641に送信元の装置名が格納される。カラム642に、送信元の装置のIPアドレスが格納される。
カラム643,644には、送信先に関する情報が格納される。具体的には、カラム643に、送信先の装置名が格納される。カラム644に、送信先の装置のIPアドレスが格納される。
カラム645には、送信元装置の製造元の名称が格納される。カラム646には、送信元の装置のMAC(Media Access Control)アドレスが格納される。
カラム647には、送信元および送信先の間での通信のプロトコルの情報が格納される。カラム648には、トランスポート層のプロトコル(TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol))、およびポート番号が格納される。
カラム649には、送信元および送信先の間での通信の内容に関する情報が格納される。カラム650には、実通信帯域の情報が格納される。カラム651は、通信に関するアクションを設定するためのカラムであり、レコードR1~R4の各々に対して拒否ボタン652および監視ボタン653が配置される。拒否ボタン652および監視ボタン653は、送信元と送信先との間の通信に対するアクションの選択肢を選択するためのユーザの入力を受け付ける。アクションの選択肢は、送信元と送信先との間の通信の監視と、送信元と送信先との間の通信の拒否とを含む。アクションの選択肢は、これらの選択肢に限定されるものではない。データ収集の結果に基づいて、ユーザは、セキュリティに関する対策を取ることができる。たとえば明らかに異常と思われる通信を制御装置1が拒否するように制御装置1の通信を設定することができる。
なお、ユーザはユーザインターフェイス画面630を利用して、実通信情報をツールに直接入力することができる。ユーザにより編集された情報は、フィードバックのために、収集データDB624、設定ツール621、およびプロトコルDB623に送られる。
たとえば既知のデバイスの既知の通信は流量に基づく監視が行われる。既知のデバイスによる知らない(unknown)通信、あるいは知らないデバイスの既知の通信の場合には、QoSでの帯域制御が実行されるように設定される。知らないデバイスによる知らない通信の場合には、アクセス制御によって通信が拒否される。これにより、ユーザの要望に応じたセキュリティの監視が可能となる。具体的には、既知のデバイスになりすました攻撃を検知することができる。あるいは知らないデバイスからの攻撃を拒否することができる。一方、知らないデバイスのメンテナンスを許可する(ただし流量を制限する)こともできる。
この実施の形態では、送信元および送信先の各々を特定する情報として、IPアドレスだけでなく装置名が監視設定ツールに登録される。加えて、具体的な通信の内容が監視設定ツールに登録される。したがってユーザは制御システムの通信負荷の現状を容易に把握することができる。さらに、監視設定ツールは、セキュリティのユーザ設定を支援することができる。
図12は、図11に示したユーザインターフェイス画面630の表示のためのデータ収集処理を説明する模式図である。図12を参照して、通信データD1が収集データDB624に格納される。
一例として、通信データD1は、以下の項目に限定されないが、項目"Time","Delta","Source","Destination","SrcPort","DstPort"および"Length"などを含む。項目"Time"には、データの送信時刻が格納される。項目"Delta"には、前回の送信時刻と今回の送信時刻との差分が格納される。項目"Source"には、送信元を表すIPアドレスが格納される。項目"Destination"には、送信先を表すIPアドレスが格納される。項目"SrcPort"には、送信元のポートが格納される。項目"DstPort"には送信先のポートが格納される。項目"Length"にはデータの長さが格納される。
この実施の形態では、2つのデバイスのデータ交換の頻度に関する情報が、収集単位時間ごとに生成されて、収集データDB624に通信レコードとして保存される。通信データD1では、データ交換を行う2つのデバイスは、項目"Source"および"Destination"に該当するIPアドレスによって特定される。通信レコードR11には、送信元のIPアドレス、送信先のIPアドレス、送信元のMACアドレス、送信先のMACアドレス、ポート、通信データの総量(総データ量)、総データ交換回数および通信帯域が格納される。
収集データDB624への通信レコードの保存の頻度は、特に限定されないが、たとえば1秒あたり1レコードである。収集データDB624へのレコードの保存の頻度は、ユーザにより設定可能であってもよい。
図13は、図11に示したユーザインターフェイス画面630の表示のための設定処理を説明する模式図である。図13を参照して、ユーザは、設定ツール621のインターフェイス画面から、2つのノード(送信元および送信先)の各々の装置名およびIPアドレス、2つのノードの間で交換される情報の種類、データ交換の頻度などの情報を入力する。設定ツール621に入力された情報が、設定ツール621からエクスポートされて、設定ツールデータ635が生成される。設定ツールデータ635は、複数の設定レコードR21を含む。設定ツールデータ635は、設定ツール621からの設定情報であり、「予め登録された情報」に含まれる。設定レコードR21は、送信元の装置名、送信元のIPアドレス、送信先の装置名、送信先のIPアドレス、プロトコル、ポート、通信内容および通信帯域を格納する。
図14は、図11に示したユーザインターフェイス画面630の表示のための静的データの抽出処理を説明する模式図である。図14を参照して、プロトコルDB623からは、プロトコル情報として、IEEEで管理されるOUI(Organizationally Unique Identifier)情報、IANA(Internet Assigned Number Authority)で管理されるTCP/UDPポート情報、およびユーザ編集情報が抽出される。ユーザ編集情報は、たとえば、装置のIPアドレスおよび、その装置の名称である。これらの情報は「予め登録された情報」に含まれる。
分析アプリ622は、通信レコードを設定レコードおよび静的データに関連付けることにより、ユーザが理解しやすい表示レコード(図11に示すレコードR1~R4を参照)に変換して、その表示レコードをユーザインターフェイス画面630に表示する。
(h3.アクション設定)
図15は、通信拒否のアクションの設定を説明するための図である。図11に示した拒否ボタン652をユーザが選択した場合に、インターフェイス画面661がサポート装置600に表示される。インターフェイス画面661には、送信先から制御装置1へのアクセスを拒否するための複数の選択肢が、チェックボックス形式で表示される。図15には、「該当の送信元MACアドレスからの通信を全て遮断する」、「該当の送信元IPアドレスからの通信を全て遮断する」および「該当の通信のみを遮断する」の3つの選択肢が示されている。
ユーザが3つの選択肢のいずれかを選択すると、その選択肢の内容を含むアクセスリスト情報631が生成される。アクセスリスト情報631は、該当の送信元IP/送信先IP、送信先ポートの通信の拒否を示す情報である。
図16は、通信監視のアクションの設定を説明するための図である。図11に示した監視ボタン653をユーザが選択した場合に、インターフェイス画面662がサポート装置600に表示される。
インターフェイス画面662には、「帯域制御する」および「帯域監視する」の2つの選択肢が表示される。「帯域制御する」という選択肢を選択した場合、ユーザは、入力ボックスに、帯域幅の値(単位:bit/s)を入力する。
一方、「帯域監視する」という選択肢を選択した場合、ユーザは、ツールから警告を発生させるための、帯域幅のしきい値(図16に示した例では、通常の帯域幅の120%)を設定する。さらに、ユーザは、しきい値を超過した場合における1つまたは複数のアクションを複数の選択肢の中から選択することができる。選択肢「メール」を選択した場合、ユーザは、件名、および本文を設定することができる。
選択肢「syslog通知」を選択した場合、ITサーバ向けのsyslogメッセージが作成される。ユーザは、syslogメッセージに含まれる監視レベル(図16の例ではレベル6)および通知内容を設定することができる。
選択肢「Trap通知」を選択した場合、ユーザは、Trap番号を設定することができる。
また、ユーザは、ツールの監視結果を変数に格納するように選択することができる。変数のタイプは、BOOL型およびSTRING型から選択することができる。
BOOL型の変数に出力することを選択する場合、帯域幅がしきい値を超過したときに、変数Var_Aの値が真となる。したがってアクションをPLCプログラムにより記述することができる。図17は、PLCプログラムの一部の例を示した図である。Var_Aの値が真(True)の場合に、関数が実行される。
一方、STRING型の変数に出力することを選択した場合、帯域幅がしきい値を超過したときに、ユーザが予め設定した文字列が変数Str_Bに格納される。サポート装置600に、変数Str_Bに格納された文字列がメッセージとして表示される。
なお、ユーザが選択肢「メール」を選択した場合のメール宛先のアドレス、選択肢「syslog」を設定した場合の、syslogサーバのアドレス、選択肢「Trap」を選択した場合のTrap送信先など、レコード単位設定以外は、共通の設定として別途設定してもよい。
(h4.活用フェーズ)
図18は、活用フェーズの概要を説明した図である。図18に示すように、活用フェーズにおいては、監視設定ツールは不要である。通信エンジン250において、データ収集モジュール253は、設定内容に従って、監視対象の通信データを監視して、監視結果である通信フローデータをデータ管理モジュール282へと送る。データ管理モジュール282は、その収集したデータを分析および検索モジュール281に送る。
たとえば分析および検索モジュール281は、対象の通信データの帯域幅がしきい値を上回るかどうかを判断する。帯域幅がしきい値を上回る場合、分析および検索モジュール281は、インシデントを検知する。たとえば分析および検索モジュール281は、生産情報に関連しないデータを検出した場合に、インシデントを検知する。あるいは、分析および検索モジュール281は、生産情報のデータの異常(なりすましによる攻撃など)を検知する。これらの場合、制御ユニット100により、インシデントのレベルに応じた処理を実行する。たとえばインシデントのレベルがユーザへの警告レベルである場合、分析および検索モジュール281は、表示モジュール1020に対して、警告の表示を行うよう指示する。表示モジュール1020は、たとえば以下に挙げた処理うちの一部または全部の処理を実行する。
(A1)デバイス変数をオンする。
(A2)イベントログを表示する。
(A3)インジケータ(LED)を点灯させる。
(A4)警告メッセージを含むメールを送信する。
(A5)表示装置(たとえばサポート装置600、HMI800等)にメッセージを表示させる。
指示モジュール1022は、表示モジュール1020からの指示に応じた処理を実行する。たとえば表示機あるいはツールの操作等である。
処置モジュール1024は、指示モジュール1022からの指示あるいは、分析および検索モジュール281からの指示に応じたプリセット処理を実行する。プリセット処理は、たとえば以下に挙げた処理うちの一部または全部の処理である。
(B1)プログラムの実行停止による生産中止。
(B2)メモリの記憶内容をクリアすることによる情報の秘匿。
(B3)通信遮断により、上位システムからの変更を不可能とする。
(B4)生産情報をローカルの場所に保存する。
以上の通り、本実施の形態によれば、FAネットワークでの通信の監視およびその監視のための設定を可能にする。特に本実施の形態によれば、通信負荷の状況をユーザに示すことができる。たとえば帯域幅がしきい値を上回る場合に、警告が行われるように、ユーザは監視システムを設定することができる。したがって、ユーザに高度な専門知識を要求させることなく、ユーザがネットワークの負荷の監視を設定できる。本実施の形態によれば、FAネットワークのセキュリティをユーザが設定することを支援することができる。
<I.付記>
以上説明したように、本実施形態は以下に列挙する開示を含む。
1.FAネットワークに関する通信を監視する監視システムであって、
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部(253,282,260,624)と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報(631,632,633,634)を生成するデータ分析部(622)と、
前記監視設定情報(631,632,633,634)に従って、監視対象の通信を監視する監視部(251,252,1012,1010)とを含む、監視システム。
2.前記監視設定情報(631,632,633,634)は、前記監視対象の通信の帯域幅のしきい値を含み、
前記監視部(251,252,1012,1010)は、前記帯域幅が前記しきい値を上回る場合に、ユーザへの通知を出力する、構成1.に記載の監視システム。
3.前記監視システムは、表示部(600,800)をさらに備え、
前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
前記データ分析部(622)は、前記データと前記予め登録された情報とを関連付けた実通信情報(R1-R4)を生成して、前記実通信情報(R1-R4)を前記表示部(600,800)に表示させる、構成1.または構成2.に記載の監視システム。
4.前記データ分析部(622)は、前記送信元と前記送信先との間の前記通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、前記監視設定情報(631,632,633,634)を生成するように構成され、
前記アクションの前記選択肢は、
前記送信元と前記送信先との間の前記通信の監視(653)と、
前記送信元と前記送信先との間の前記通信の拒否(652)とを含む、構成3.に記載の監視システム。
5.前記監視部(251,252,1012,1010)は、前記FAネットワークに接続された制御装置(1)に含まれる、構成1.から構成4.のいずれかに記載の監視システム。
6.FAネットワークに関する通信を監視する監視システムのための設定装置(600)であって、
前記監視システムは、監視設定情報(631,632,633,634)に従って前記通信を監視する監視部(251,252,1012,1010)を含み、
前記設定装置(600)は、
前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部(624)と、
前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための前記監視設定情報(631,632,633,634)を生成するデータ分析部(622)とを備える、設定装置。
7.FAネットワークに関する通信を監視する監視システムによる監視方法であって、
前記監視システムのデータ収集部(253,282,260,624)が、前記FAネットワーク上の通信の状況を示すデータを収集するステップ(P1)と、
前記監視システムのデータ分析部(622)が、前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報(631,632,633,634)を生成するステップ(P2)と、
前記監視システムの監視部(251,252,1012,1010)が前記監視設定情報(631,632,633,634)に従って、監視対象の通信を監視するステップ(P3)とを含む、監視方法。
今回開示された実施の形態はすべての点で例示であって制限的なものでないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
2 第1ネットワーク、4 第2ネットワーク、10 制御システム、100 制御ユニット、102,202,302,602 プロセッサ、104,204,304 チップセット、106,206,306 主記憶装置、108,208,308 二次記憶装置、110,210 通信コントローラ、112,212,620 USBコントローラ、114,214,314 メモリカードインターフェイス、115,215,315 メモリカード、116,118,120,216,218 ネットワークコントローラ、122,322 内部バスコントローラ、124,224,324 インジケータ、142,144,242 通信ポート、150 制御エンジン、160 情報エンジン、170 ブローカー、180,360 ログデータベース、200 通信ユニット、250 通信エンジン、251 帯域制御モジュール、252 アクセス制御モジュール、253 データ収集モジュール、254 通信設定情報、260,624 収集データDB、280 通信アプリ、281 検索モジュール、282 データ管理モジュール、284 データ解析設定情報、300 セーフティユニット、350 セーフティエンジン、400 機能ユニット、450 電源ユニット、500 フィールドデバイス、600 サポート装置、602A ツール、604 メインメモリ、606 入力部、608 出力部、610 ストレージ、612 光学ドライブ、614 記録媒体、618 プロセッサバス、621 設定ツール、622 分析アプリ、623 プロトコルDB、630 ユーザインターフェイス画面、631 アクセスリスト情報、632 QoS設定情報、633 フロー設定監視情報、634 指示および処置情報、635 設定ツールデータ、641~651 カラム、652 拒否ボタン、653 監視ボタン、661,662 インターフェイス画面、700 SCADA装置、800 HMI、900 データベース、1010 ユーザプログラム、1012 制御モジュール、1014 制御設定情報、1020 表示モジュール、1022 指示モジュール、1024 処置モジュール、6104 サポートプログラム、6106 ネットワーク監視プログラム、D1 通信データ、P1 収集フェーズ、P2 分析フェーズ、P3 活用フェーズ、R1,R4 レコード、R11 通信レコード、R21 設定レコード。

Claims (5)

  1. FAネットワークに関する通信を監視する監視システムであって、
    前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、
    前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報を生成するデータ分析部と、
    前記監視設定情報に従って、監視対象の通信を監視する監視部とを含み、
    前記監視システムは、表示部をさらに備え、
    前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
    前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
    前記データ分析部は、前記データと前記予め登録された情報とを関連付けた実通信情報を生成して、前記実通信情報を前記表示部に表示させ
    前記データ分析部は、前記送信元と前記送信先との間の前記通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、前記監視設定情報を生成するように構成され、
    前記アクションの前記選択肢は、
    前記送信元と前記送信先との間の前記通信の監視と、
    前記送信元と前記送信先との間の前記通信の拒否とを含む、監視システム。
  2. 前記監視設定情報は、前記監視対象の通信の帯域幅のしきい値を含み、
    前記監視部は、前記帯域幅が前記しきい値を上回る場合に、ユーザへの通知を出力する、請求項1に記載の監視システム。
  3. 前記監視部は、前記FAネットワークに接続された制御装置に含まれる、請求項1または請求項2に記載の監視システム。
  4. FAネットワークに関する通信を監視する監視システムのための設定装置であって、
    前記監視システムは、監視設定情報に従って前記通信を監視する監視部を含み、
    前記設定装置は、
    前記FAネットワーク上の通信の状況を示すデータを収集するデータ収集部と、
    前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための前記監視設定情報を生成するデータ分析部とを備え、
    前記監視システムは、表示部をさらに備え、
    前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
    前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
    前記データ分析部は、前記データと前記予め登録された情報とを関連付けた実通信情報を生成して、前記実通信情報を前記表示部に表示させ
    前記データ分析部は、前記送信元と前記送信先との間の前記通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、前記監視設定情報を生成するように構成され、
    前記アクションの前記選択肢は、
    前記送信元と前記送信先との間の前記通信の監視と、
    前記送信元と前記送信先との間の前記通信の拒否とを含む、設定装置。
  5. FAネットワークに関する通信を監視する監視システムによる監視方法であって、
    前記監視システムのデータ収集部が、前記FAネットワーク上の通信の状況を示すデータを収集するステップと、
    前記監視システムのデータ分析部が、前記FAネットワーク上での前記通信の設定に関する予め登録された情報に従って、収集されたデータを分析して、前記通信の監視のための監視設定情報を生成するステップと、
    前記監視システムの監視部が前記監視設定情報に従って、監視対象の通信を監視するステップとを含み、
    前記データは、送信元のアドレスと、送信先のアドレスと、データ交換の頻度と、通信データの総量とを含み、
    前記予め登録された情報は、前記送信元の名称と、前記送信先の名称と、前記送信元と前記送信先との間の前記通信を示す名称とを含み、
    前記データ分析部が、前記データと前記予め登録された情報とを関連付けた実通信情報を生成するステップと、
    前記実通信情報を前記監視システムの表示部に表示させるステップと
    前記データ分析部が前記送信元と前記送信先との間の前記通信に対するアクションの選択肢を選択するためのユーザの入力を受け付けて、前記監視設定情報を生成するステップとをさらに含み、
    前記アクションの前記選択肢は、
    前記送信元と前記送信先との間の前記通信の監視と、
    前記送信元と前記送信先との間の前記通信の拒否とを含む、監視方法。
JP2019062274A 2019-03-28 2019-03-28 監視システム、設定装置および監視方法 Active JP7176455B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019062274A JP7176455B2 (ja) 2019-03-28 2019-03-28 監視システム、設定装置および監視方法
PCT/JP2020/009137 WO2020195640A1 (ja) 2019-03-28 2020-03-04 監視システム、設定装置および監視方法
US17/440,195 US11695660B2 (en) 2019-03-28 2020-03-04 Monitoring system, setting device, and monitoring method
EP20778910.8A EP3952219A4 (en) 2019-03-28 2020-03-04 MONITORING SYSTEM, CONTROL DEVICE AND MONITORING METHOD
CN202080019458.5A CN113545010A (zh) 2019-03-28 2020-03-04 监视系统、设定装置及监视方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019062274A JP7176455B2 (ja) 2019-03-28 2019-03-28 監視システム、設定装置および監視方法

Publications (2)

Publication Number Publication Date
JP2020162075A JP2020162075A (ja) 2020-10-01
JP7176455B2 true JP7176455B2 (ja) 2022-11-22

Family

ID=72610016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019062274A Active JP7176455B2 (ja) 2019-03-28 2019-03-28 監視システム、設定装置および監視方法

Country Status (5)

Country Link
US (1) US11695660B2 (ja)
EP (1) EP3952219A4 (ja)
JP (1) JP7176455B2 (ja)
CN (1) CN113545010A (ja)
WO (1) WO2020195640A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002325095A (ja) 2001-04-24 2002-11-08 Mitsubishi Electric Corp データ通信システム、データ送信装置及びデータ通信方法
JP2018097839A (ja) 2017-06-08 2018-06-21 オムロン株式会社 制御装置、制御プログラムおよび制御方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006069041A2 (en) 2004-12-21 2006-06-29 Mistletoe Technologies, Inc. Network interface and firewall device
US20110138463A1 (en) * 2009-12-07 2011-06-09 Electronics And Telecommunications Research Institute Method and system for ddos traffic detection and traffic mitigation using flow statistics
CN101834760B (zh) 2010-05-20 2013-01-30 杭州华三通信技术有限公司 一种基于ips设备的攻击检测方法及ips设备
US8565755B1 (en) * 2010-09-30 2013-10-22 Juniper Networks, Inc. Network control of radio resources to mitigate network overuse by machine to machine devices
US9467361B2 (en) * 2011-12-20 2016-10-11 Shoretel, Inc. Bandwidth utilization monitoring for a communication system
US20140006338A1 (en) * 2012-06-29 2014-01-02 Applied Materials, Inc. Big data analytics system
US9786197B2 (en) * 2013-05-09 2017-10-10 Rockwell Automation Technologies, Inc. Using cloud-based data to facilitate enhancing performance in connection with an industrial automation system
JP6114214B2 (ja) 2014-02-25 2017-04-12 アラクサラネットワークス株式会社 ネットワーク装置、及び、通信方法
US20180191520A1 (en) 2015-06-25 2018-07-05 Thomson Licensing Gateway and diagnosing method thereof
CN106209870B (zh) * 2016-07-18 2019-07-09 北京科技大学 一种针对分布式工业控制系统的网络入侵检测系统
US11036199B2 (en) 2016-12-14 2021-06-15 Omron Corporation Control device, control program, and control method for anomaly detection
US20190068466A1 (en) * 2017-08-30 2019-02-28 Intel Corporation Technologies for auto-discovery of fault domains
US20190116100A1 (en) * 2017-10-16 2019-04-18 n-Join Research Ltd. Machine-to-machine (m2m) communication monitoring
CN108900538B (zh) 2018-08-09 2021-03-23 深圳市永达电子信息股份有限公司 一种工控信号检测方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002325095A (ja) 2001-04-24 2002-11-08 Mitsubishi Electric Corp データ通信システム、データ送信装置及びデータ通信方法
JP2018097839A (ja) 2017-06-08 2018-06-21 オムロン株式会社 制御装置、制御プログラムおよび制御方法

Also Published As

Publication number Publication date
US20220150142A1 (en) 2022-05-12
WO2020195640A1 (ja) 2020-10-01
EP3952219A1 (en) 2022-02-09
EP3952219A4 (en) 2022-12-14
US11695660B2 (en) 2023-07-04
CN113545010A (zh) 2021-10-22
JP2020162075A (ja) 2020-10-01

Similar Documents

Publication Publication Date Title
US10291506B2 (en) Anomaly detection in industrial communications networks
US11363035B2 (en) Configurable robustness agent in a plant security system
JP5844944B2 (ja) 情報制御装置、情報制御システム、及び情報制御方法
JP6806437B2 (ja) 安全な外部アクセスを有するプロセスプラントネットワーク
EP3026863B1 (en) Firewall with application packet classifier
Settanni et al. Protecting cyber physical production systems using anomaly detection to enable self-adaptation
WO2017213915A1 (en) Automation network topology determination for c&i systems
CN105404207A (zh) 一种工业环境漏洞挖掘设备与方法
Yau et al. PLC forensics based on control program logic change detection
Iturbe et al. Visualizing network flows and related anomalies in industrial networks using chord diagrams and whitelisting
Guo et al. A survey of industrial control system devices on the Internet
JP7176455B2 (ja) 監視システム、設定装置および監視方法
JP7180500B2 (ja) 制御システム、および設定方法
JP2023068023A (ja) コントローラシステム
JP7225958B2 (ja) 制御装置および制御システム
US20220200875A1 (en) Communication monitoring system and communication monitoring method
KR20130110442A (ko) Snmp를 이용한 중앙 집중형 plc 관리 시스템 및 방법
CN106657087B (zh) 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法
Ferencz et al. Cloud Integration of Industrial IoT Systems. Architecture, Security Aspects and Sample Implementations
JP7016837B2 (ja) コントローラシステム
Chang et al. Enabling situational awareness in operational technology environments through software defined networking
US20220206465A1 (en) Support device, recording medium storing setting program and method
Conklin State Based Network Isolation for Critical Infrastructure Systems Security
CN115622726A (zh) 基于opc ua的异常检测和恢复系统以及方法
Halenar et al. PROPOSAL OF NEW APPROACH TO FAULT DETECTION IN COMMUNICATION NETWORKS

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210921

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221024

R150 Certificate of patent or registration of utility model

Ref document number: 7176455

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150