JP7180500B2 - 制御システム、および設定方法 - Google Patents

制御システム、および設定方法 Download PDF

Info

Publication number
JP7180500B2
JP7180500B2 JP2019066006A JP2019066006A JP7180500B2 JP 7180500 B2 JP7180500 B2 JP 7180500B2 JP 2019066006 A JP2019066006 A JP 2019066006A JP 2019066006 A JP2019066006 A JP 2019066006A JP 7180500 B2 JP7180500 B2 JP 7180500B2
Authority
JP
Japan
Prior art keywords
countermeasure
security
threat
scenario
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019066006A
Other languages
English (en)
Other versions
JP2020166520A (ja
Inventor
直樹 廣部
雄大 永田
豊 田原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2019066006A priority Critical patent/JP7180500B2/ja
Priority to PCT/JP2020/006824 priority patent/WO2020202882A1/ja
Priority to CN202080020119.9A priority patent/CN113557483A/zh
Priority to EP20784286.5A priority patent/EP3951520A4/en
Priority to US17/437,827 priority patent/US20220155747A1/en
Publication of JP2020166520A publication Critical patent/JP2020166520A/ja
Application granted granted Critical
Publication of JP7180500B2 publication Critical patent/JP7180500B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14006Safety, monitoring in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Programmable Controllers (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、制御対象を制御するコントローラシステムを備える制御システムに対するセキュリティ機能、および設定方法に関する。
近年、工場などの製造現場では、マルウェアなどの被害が発生しており、PLC(プログラマブルロジックコントローラ)などの制御装置に対してもセキュリティ対策が必須となってきた。そのため、工場などの装置、生産ラインを開発する場合には、セキュリティ対策を生産技術者、装置メーカ開発者などが行う必要がある。
PLCでは、例えば、特開2000-137506号公報(特許文献1)に開示されているように、異常履歴が登録されたとき、または、予め定められた時間が到来したときに、予め指定された宛先に電子メールを送信する程度で、セキュリティ対策については何ら考慮されていない。
特開2000-137506号公報
特に、近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、想定されるセキュリティの脅威の種類も増加している。
しかし、想定されるセキュリティの脅威を分析する脅威分析は、専門知識が必要で、生産技術者、装置メーカ開発者が脅威分析を行うには知識を取得するために長い教育時間が必要であった。また、セキュリティの脅威分析のために専門家の雇用した場合、専門家の人件費が、工場、装置メーカのコスト負担となる。
本発明は、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るセキュリティの脅威を分析し、当該脅威に対する対策を行うという新たな課題を解決することを一つの目的としている。
本発明のある局面に従う制御システムであって、制御対象を制御するコントローラシステムと、コントローラシステムの設定をサポートするサポート装置とを備え、コントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含み、サポート装置は、コントローラシステムから装置構成および保護資産を取得するシステム構成入力部と、コントローラシステムの保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベースと、システム構成入力部で取得した装置構成および保護資産に応じて、脅威分析データベースの重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部と、セキュリティの脅威に応じた対策を予め格納している対策データベースと、対策データベースの対策を参照し、脅威シナリオ作成部で作成する脅威シナリオに基づいてコントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部と、対策作成部で作成する対策シナリオに応じて、セキュリティユニットに対してセキュリティ機能の設定データを出力するセキュリティ設定部とを含み、脅威シナリオは、コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してあり、対策作成部は、脅威シナリオに格納されたリスク値が予め定められた値以上のコントローラシステムの保護資産およびセキュリティの脅威の各々に対して対策シナリオを作成する
この局面によれば、制御システムは、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。
好ましくは、サポート装置は、脅威シナリオ、および対策シナリオの少なくともの1つの情報を含む対策レポートを出力する対策結果出力部をさらに備えるようにしてもよい。この局面によれば、セキュリティの脅威に対する対策を出力することができる。
好ましくは、脅威分析データベースは、セキュリティの脅威に対する脅威レベルが、コントローラシステムの装置種別により異なるようにしてもよい。この局面によれば、コントローラシステムの装置種別の目的、重要とする事項に応じて、脅威に対する対策を適切に行うことができる。
好ましくは、脅威シナリオは、コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してもよい。この局面によれば、予め定められた方法で試算した値をリスク値として格納することで、セキュリティの脅威を適切に分析することができる。
好ましくは、対策作成部は、シナリオに格納されたリスク値が予め定められた値以上のコントローラシステムの保護資産およびセキュリティの脅威の各々に対して対策シナリオを作成するようにしてもよい。この局面によれば、ユーザの必要とする対策必要リスクレベルのセキュリティの対策を行うことができる。
好ましくは、対策データベースは、セキュリティの脅威に応じた対策として、セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してよいある。この局面によれば、コントローラシステムに応じて多彩なセキュリティの対策を行うことができる。
好ましくは、対策作成部は、セキュリティユニットのリソースに応じて、セキュリティユニットのセキュリティ機能による対策を選択して対策シナリオを作成するようにしてもよい。この局面によれば、セキュリティユニットのリソース容量に応じてセキュリティの対策を行うことができる。
好ましくは、対策作成部は、コントローラシステムを構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なるようにしてもよい。この局面によれば、コントローラシステムを構成する装置に応じて、脅威に対する対策を適切に行うことができる。
好ましくは、対策作成部は、セキュリティユニットのリソースが不足する場合、運用による対策を選択して対策シナリオを作成するようにしてもよい。この局面によれば、セキュリティユニットのリソース容量に応じてセキュリティの対策を行うことができる。
本発明の別の局面に従う、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含むコントローラシステムに対してセキュリティ機能の設定データを設定する、コントローラシステムの設定方法であって、コントローラシステムから装置構成および保護資産を取得するステップと、取得した装置構成および保護資産に応じて、脅威分析データベースで予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、対策データベースで予め格納しているセキュリティの脅威に応じた対策を参照し、作成した脅威シナリオに基づいてコントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、作成する対策シナリオに応じて、セキュリティユニットに対してセキュリティ機能の設定データを出力するステップとを含み、脅威シナリオは、コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してあり、脅威シナリオに格納されたリスク値が予め定められた値以上のコントローラシステムの保護資産およびセキュリティの脅威の各々に対して対策シナリオを作成する
この局面によれば、制御システムにおいて、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に設定することができる。
本発明によれば、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るセキュリティの脅威を分析し、当該脅威に対する対策を行うという新たな課題を解決できる。
本実施の形態に係るコントローラシステムの構成例を示す外観図である。 本実施の形態に従うコントローラシステムを構成する制御ユニットのハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステムを構成するセキュリティユニットのハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステムを構成するセーフティユニットのハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステムに接続されるサポート装置でセキュリティの設定を行うシステム構成を説明するためのブロック図である。 本実施の形態に従うコントローラシステムに接続されるサポート装置のハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステムおよびサポート装置での脅威分析およびセキュリティの設定を説明するためのシーケンスである。 本実施の形態に従うサポート装置での脅威シナリオリスト作成の処理手順を示すフローチャートである。 本実施の形態に従うサポート装置での対策シナリオ作成の処理手順を示すフローチャートである。 本実施の形態に従うサポート装置で脅威分析およびセキュリティの設定を行う装置構成の一例を示す模式図である。 本実施の形態に従うサポート装置で保護資産評価リストの作成処理手順を示すフローチャートである。 本実施の形態に従うサポート装置で作成した保護資産評価リストの一例を示す図である。 本実施の形態に従うサポート装置で作成した保護資産評価リストの別の一例を示す図である。 本実施の形態に従うサポート装置で脅威リストの作成処理手順を示すフローチャートである。 本実施の形態に従うサポート装置で作成した脅威リストの一例を示す図である。 本実施の形態に従うサポート装置で作成した脅威リストの別の一例を示す図である。 本実施の形態に従うサポート装置で作成した脅威リストの変形例を示す図である。 本実施の形態に従うサポート装置で作成した脅威シナリオリストの一例を示す図である。 本実施の形態に従うサポート装置で作成した対策シナリオの一例を示す図である。 本実施の形態に従うサポート装置で作成したリソース容量が50の場合の対策シナリオの一例を示す図である。 本実施の形態に従うサポート装置で作成したリソース容量が100の場合の対策シナリオの一例を示す図である。 本実施の形態に従うサポート装置で作成したリソース容量が20の場合の対策シナリオの一例を示す図である。 本実施の形態に従うサポート装置で作成した脅威分析結果レポートの一例を示す図である。 本実施の形態に従うサポート装置で作成した脅威分析結果レポートの別の一例を示す図である。 本実施の形態に従うサポート装置で表示される装置構成の情報の一例を示す図である。 本実施の形態に従うサポート装置で表示される保護資産評価リストの一例を示す図である。 本実施の形態に従うサポート装置で表示される脅威リストの一例を示す図である。 本実施の形態に従うサポート装置で表示されるリスク値試算方法の設定の一例を示す図である。 本実施の形態に従うサポート装置で表示される脅威シナリオリストの一例を示す図である。 本実施の形態に従うサポート装置で表示される対策方針の選択の一例を示す図である。 本実施の形態に従うサポート装置で表示される脅威対策リストの一例を示す図である。 本実施の形態に従うサポート装置で表示される対策シナリオの一例を示す図である。 本実施の形態に従うサポート装置で表示される出力内容の選択の一例を示す図である。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
<A.適用例>
本発明が適用される場面の一例について説明する。まず、本実施の形態に従うコントローラシステム1の構成について説明する。
図1は、本実施の形態に係るコントローラシステム1の構成例を示す外観図である。図1を参照して、コントローラシステム1は、制御ユニット100と、セキュリティユニット200と、セーフティユニット300と、1または複数の機能ユニット400と、電源ユニット450とを含む。
制御ユニット100とセキュリティユニット200との間は、任意のデータ伝送路(例えば、PCI Expressあるいはイーサネット(登録商標)など)を介して接続されている。制御ユニット100とセーフティユニット300および1または複数の機能ユニット400との間は、図示しない内部バスを介して接続されている。
制御ユニット100は、コントローラシステム1において中心的な処理を実行する。制御ユニット100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。後述のセーフティユニット300で実行される制御演算との対比で、制御ユニット100で実行される制御演算を「標準制御」とも称す。図1に示す構成例において、制御ユニット100は、1または複数の通信ポートを有している。
セキュリティユニット200は、制御ユニット100に接続され、コントローラシステム1に対するセキュリティ機能を担当する。図1に示す構成例において、セキュリティユニット200は、1または複数の通信ポートを有している。セキュリティユニット200が提供するセキュリティ機能の詳細については、後述する。
セーフティユニット300は、制御ユニット100とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット300で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、IEC 61508などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。
機能ユニット400は、コントローラシステム1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。I/Oユニットとしては、例えば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ出力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティI/Oユニットは、セーフティ制御に係るI/O処理を担当する。
電源ユニット450は、コントローラシステム1を構成する各ユニットに対して、所定電圧の電源を供給する。
<B.各ユニットのハードウェア構成例>
次に、本実施の形態に従うコントローラシステム1を構成する各ユニットのハードウェア構成例について説明する。
(b1:制御ユニット100)
図2は、本実施の形態に従うコントローラシステム1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
プロセッサ102は、二次記憶装置108に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット100全体としての処理を実現する。
二次記憶装置108には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。
通信コントローラ110は、セキュリティユニット200との間のデータの遣り取りを担当する。通信コントローラ110としては、例えば、PCI Expressあるいはイーサネット(登録商標)などに対応する通信チップを採用できる。
USBコントローラ112は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス114は、メモリカード115を着脱可能に構成されており、メモリカード115に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード115から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ116,118,120の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ116,118,120は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
内部バスコントローラ122は、コントローラシステム1を構成するセーフティユニット300や1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。
インジケータ124は、制御ユニット100の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図2には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。あるいは、制御ユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b2:セキュリティユニット200)
図3は、本実施の形態に従うコントローラシステム1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。図3を参照して、セキュリティユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
プロセッサ202は、二次記憶装置208に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、後述するような各種セキュリティ機能を実現する。チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、セキュリティユニット200全体としての処理を実現する。
二次記憶装置208には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。
通信コントローラ210は、制御ユニット100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御ユニット100に通信コントローラ210と同様に、例えば、PCI Expressあるいはイーサネット(登録商標)などに対応する通信チップを採用できる。
USBコントローラ212は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス214は、メモリカード215を着脱可能に構成されており、メモリカード215に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード215から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ216,218の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ216,218は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。
インジケータ224は、セキュリティユニット200の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図3には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セキュリティユニット200の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b3:セーフティユニット300)
図4は、本実施の形態に従うコントローラシステム1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
プロセッサ302は、二次記憶装置308に格納された各種プログラムを読み出して、主記憶装置306に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。チップセット304は、プロセッサ302と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット300全体としての処理を実現する。
二次記憶装置308には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。
メモリカードインターフェイス314は、メモリカード315を着脱可能に構成されており、メモリカード315に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード315からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。
内部バスコントローラ322は、内部バスを介した制御ユニット100との間のデータの遣り取りを担当する。
インジケータ324は、セーフティユニット300の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図4には、プロセッサ302がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セーフティユニット300の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<C:セキュリティ機能の設定>
次に、上述したセキュリティユニット200において各種セキュリティ機能を実現させるための設定を行う場合の処理の一例について説明する。図5は、本実施の形態に従うコントローラシステムに接続されるサポート装置でセキュリティの設定を行うシステム構成を説明するためのブロック図である。図5に示すように、サポート装置600には、システム構成入力部630、脅威シナリオ作成部632、対策作成部634、セキュリティ設定部636を備えている。なお、サポート装置600は、脅威分析データベース6106、対策データベース6108をさらに備えている。しかし、脅威分析データベース6106、対策データベース6108は、サポート装置600内に設けず、外部サーバに設けてもよい。
まず、サポート装置600は、コントローラシステム1から装置構成(装置システム構成)の情報、および保有資産の情報(セキュリティユニット200のリソース情報を含む)をシステム構成入力部630で取得する。脅威シナリオ作成部632は、システム構成入力部630で取得した装置構成および保護資産に応じて、脅威分析データベース6106の重要レベルおよび脅威レベルから脅威シナリオを作成する。本明細書において、「重要レベル」は、コントローラシステム1を構成する保護資産の重要度を示す指標であり、ユーザにおいて設定することも可能である。本明細書において、「脅威レベル」は、コントローラシステム1に対するセキュリティの脅威を示す指標であり、ユーザにおいて設定することも可能である。本明細書において、「保有資産」は、コントローラシステム1を構成する装置などで、制御ユニット100、セキュリティユニット200、フィールドデバイス500などを含む。
脅威分析データベース6106には、コントローラシステム1の保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納されている。ユーザは、脅威シナリオ作成部632が作成した脅威シナリオに対してOKまたはNGの判定を行い、その判定結果を脅威シナリオ作成部632に入力する。また、ユーザは、脅威シナリオ作成部632に対して対策必要リスクレベルを入力可能である。
対策作成部634は、脅威シナリオ作成部632で作成する脅威シナリオと、対策データベース6108の対策とに応じて、コントローラシステム1の保護資産の各々に対する対策を格納した対策シナリオを作成する。対策データベース6108には、セキュリティの脅威に応じた対策を予め格納している。ユーザは、対策作成部634が作成した対策シナリオに対してOKまたはNGの判定を行い、その判定結果を対策作成部634に入力する。
セキュリティ設定部636は、対策作成部634で作成する対策シナリオに応じて、セキュリティユニット200に対してセキュリティ機能の設定データ(セキュリティ機能設定データ)を出力する。セキュリティユニット200では、設定データ(セキュリティ機能設定データ)に応じて各種セキュリティ機能を実現させている。対策結果出力部638は、対策作成部634で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。
図5で説明した構成は、以下に説明するサポート装置600のハードウェア構成により実現される。図6は、本実施の形態に従うコントローラシステム1に接続されるサポート装置600のハードウェア構成例を示す模式図である。サポート装置600は、一例として、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコン)を用いて実現される。
図6を参照して、サポート装置600は、プロセッサ602と、メインメモリ604と、入力部606と、出力部608と、ストレージ610と、光学ドライブ612と、USBコントローラ620とを含む。これらのコンポーネントは、プロセッサバス618を介して接続されている。
プロセッサ602は、CPUやGPUなどで構成され、ストレージ610に格納されたプログラム(一例として、OS6102およびサポートプログラム6104)を読出して、メインメモリ604に展開して実行することで、コントローラシステム1に対する設定処理などを実現する。
メインメモリ604は、DRAMやSRAMなどの揮発性記憶装置などで構成される。ストレージ610は、例えば、HDDやSSDなどの不揮発性記憶装置などで構成される。
ストレージ610には、基本的な機能を実現するためのOS6102に加えて、サポート装置600としての機能を提供するためのサポートプログラム6104が格納される。すなわち、サポートプログラム6104は、コントローラシステム1に接続されるコンピュータにより実行されることで、本実施の形態に係るサポート装置600を実現する。さらに、ストレージ610には、脅威分析データベース6106および対策データベース6108が格納されている。
入力部606は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。出力部608は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ602からの処理結果などを出力する。
USBコントローラ620は、USB接続を介して、コントローラシステム1などとの間のデータを遣り取りする。
サポート装置600は、光学ドライブ612を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体614(例えば、DVD(Digital Versatile Disc)などの光学記録媒体)から、その中に格納されたプログラムが読取られてストレージ610などにインストールされる。
サポート装置600で実行されるサポートプログラム6104などは、コンピュータ読取可能な記録媒体614を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置600が提供する機能は、OSが提供するモジュールの一部を利用する形で実現される場合もある。
図6には、プロセッサ602がプログラムを実行することで、サポート装置600として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。
次に、上述したサポート装置600でセキュリティの設定を行うシステム構成において、装置の開発時、装置の立ち上げ時に行う脅威分析およびセキュリティの設定について詳しく説明する。図7は、本実施の形態に従うコントローラシステムおよびサポート装置での脅威分析およびセキュリティの設定を説明するためのシーケンスである。図7に示すシーケンスでは、コントローラシステム1およびサポート装置600を含む制御システムの典型例について説明する。
まず、ユーザが、サポート装置600でセキュリティユニット200の設定ツールを立ち上げる。当該設定ツールが立ち上がるとシステム構成入力部630がコントローラシステム1に対して問合せを行う。コントローラシステム1は、システム構成入力部630からの問合せに対してコントローラシステム1の装置構成の情報、保有資産の情報をシステム構成入力部630に返信する。システム構成入力部630は、コントローラシステム1から装置構成の情報、および保有資産の情報を取得する。さらに、システム構成入力部630は、セキュリティユニット200からソフトウェアおよびハードウェアのバージョン情報、リソース容量などのセキュリティユニット200のリソース情報を取得する。
ユーザが、サポート装置600でセキュリティユニット200の設定の開始を選択し、装置種別を選択した場合、脅威シナリオ作成部632は、装置種別に応じて脅威分析データベース6106の重要レベルおよび脅威レベルから脅威シナリオリストを作成する。具体的に、脅威シナリオ作成部632は、脅威分析データベース6106の情報を参照して保有資産評価リストおよび脅威リストを作成し、保有資産評価リストおよび脅威リストに基づく脅威シナリオリストをユーザに提示する。なお、脅威シナリオ作成部632は、装置種別に関わらず脅威分析データベース6106の重要レベルおよび脅威レベルから脅威シナリオリストを作成してもよい。
ユーザは、提示された脅威シナリオリストがOKまたはNGの判定を行い、その判定結果を脅威シナリオ作成部632に入力する。脅威シナリオリストがNGの場合、ユーザが手作業で修正可能である。また、ユーザは、脅威シナリオ作成部632に対策必要リスクレベルを入力することが可能である。なお、サポート装置600では、対策必要リスクレベルにあわせてセキュリティの脅威に応じた対策を作成することができる。
対策作成部634は、脅威シナリオ作成部632で作成する脅威シナリオリストと、対策データベース6108の対策とに応じて、コントローラシステム1の保護資産の各々に対する対策を格納した対策シナリオを作成する。対策作成部634は、脅威分析データベース6106に格納してある脅威対策リストを参照して、脅威シナリオリストの各々の脅威に対する対策を決定して対策シナリオを作成する。
対策作成部634は、作成した対策シナリオをユーザに提示する。ユーザは、対策作成部634が作成した対策シナリオに対してOKまたはNGの判定を行い、その判定結果を対策作成部634に入力する。対策シナリオがNGの場合、脅威シナリオ作成部632に処理を戻し、ユーザが手作業で脅威シナリオリストを修正可能である。
セキュリティ設定部636は、対策作成部634で作成する対策シナリオに応じて、セキュリティユニット200に対してセキュリティ機能の設定データ(セキュリティ機能設定データ)を出力する。セキュリティユニット200では、設定データ(セキュリティ機能設定データ)に応じて各種セキュリティ機能を実現させている。セキュリティユニット200は、設定データ(セキュリティ機能設定データ)に応じて設定が完了した場合、OKの情報をセキュリティ設定部636に返し、設定が未完の場合、NGの情報をセキュリティ設定部636に返す。
対策結果出力部638は、対策作成部634で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。このように、制御システムは、サポート装置600でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。
<D:脅威シナリオリスト、対策シナリオの作成>
次に、図8は、本実施の形態に従うサポート装置600での脅威シナリオリスト作成の処理手順を示すフローチャートである。さらに、図9は、本実施の形態に従うサポート装置600での対策シナリオ作成の処理手順を示すフローチャートである。まず、サポート装置600は、図8に示す処理を開始するとシステム構成入力部630で装置構成の情報を取得する(ステップS101)。コントローラシステム1で制御する装置種別により制御の目的、重要とする事項などが異なるため設定するセキュリティ機能も異なる。
例えば、コントローラシステム1で制御する装置が半導体製造装置であれば、製造工程において基本的に装置の近くに人が立ち入ることがないため、装置の制御を維持し続けることが重要である。一方、コントローラシステム1で制御する装置がプレス装置であれば、製造工程において装置の近くで人が作業を行うことが基本であるため、非常時に装置を確実に停止させて人の安全を守ることが重要である。そのため、半導体製造装置であれば、装置の制御を維持し続けることに必要な構成のセキュリティ機能を優先して設定し、プレス装置であれば、装置を確実に停止させるために必要な構成のセキュリティ機能を優先して設定する。
図10は、本実施の形態に従うサポート装置で脅威分析およびセキュリティの設定を行う装置構成の一例を示す模式図である。図10(a)に示す装置構成は、半導体製造装置で、図10(b)に示す装置構成は、プレス装置である。図10(a)および図10(b)に示す装置構成では、制御ユニット(PLC)100およびセキュリティユニット200がコントローラシステム1を構成している。
コントローラシステム1のセキュリティユニット200は、通信ポート(図3のネットワークコントローラ216)を介してネットワークに接続され、サポート装置(保守PC)600と接続している。
サポート装置600は、少なくとも制御ユニット100にアクセス可能になっており、コントローラシステム1に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定、各種セキュリティ機能の設定などの機能をユーザへ提供する。
コントローラシステム1は、通信ポート(図2のネットワークコントローラ116)を介してネットワークに接続され、HMI(Human Machine Interface)800および外部ネットワーク(NW)900と接続している。
HMI800は、コントローラシステム1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム1に対して内部コマンドなどを生成する。
コントローラシステム1の制御ユニット100は、通信ポート(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。フィールドデバイス500は、制御対象から制御演算に必要な各種情報を収集するセンサや検出器、および、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。
図8に戻って、ステップS101では、システム構成入力部630がコントローラシステム1に対して装置構成の情報、保有資産の情報を問合せ、コントローラシステム1から装置構成の情報、および保有資産の情報を取得する。さらに、システム構成入力部630は、ユーザが選択した装置種別(例えば、半導体製造装置、プレス装置など)の情報に基づき、装置構成の情報、保有資産の情報から図10に示したような装置構成を作成する。
次に、サポート装置600は、脅威シナリオ作成部632で、システム構成入力部630で取得した装置構成および保護資産に応じて、保護資産評価リストを作成する(ステップS102)。保護資産評価リストの作成処理について、さらに詳しく説明する。図11は、本実施の形態に従うサポート装置で保護資産評価リストの作成処理手順を示すフローチャートである。まず、脅威シナリオ作成部632は、装置構成情報から構成機器を抽出する(ステップS201)。脅威シナリオ作成部632は、ステップS201で抽出した構成機器に対して、脅威分析データベース6106にある機能ごと、情報ごとの保護資産リストを連結する(ステップS202)。
例えば、図10(a)に示す半導体製造装置の場合、装置構成には、HMI、PLC、カメラ、サーボが含まれている。そのため、脅威シナリオ作成部632では、脅威分析データベース6106にある保護資産リストの中から、HMI保護資産、PLC保護資産、カメラ保護資産、サーボ保護資産のリストを取り出して連結する。図12は、本実施の形態に従うサポート装置で作成した保護資産評価リストの一例を示す図である。図12には、図10(a)に示す半導体製造装置の場合の保護資産評価リスト(a)が示されている。保護資産評価リスト(a)には、HMI保護資産、PLC保護資産、カメラ保護資産、サーボ保護資産の属性および重要レベルが格納されている。
また、図10(b)に示すプレス装置の場合、装置構成には、HMI、PLC、サーボが含まれている。そのため、脅威シナリオ作成部632では、脅威分析データベース6106にある保護資産リストの中から、HMI保護資産、PLC保護資産、サーボ保護資産のリストを取り出して連結する。図13は、本実施の形態に従うサポート装置で作成した保護資産評価リストの別の一例を示す図である。図13には、図10(b)に示すプレス装置の場合の保護資産評価リスト(b)が示されている。保護資産評価リスト(b)には、HMI保護資産、PLC保護資産、サーボ保護資産の属性および重要レベルが格納されている。
保護資産評価リスト(a)と保護資産評価リスト(b)とでは装置構成が異なるため、格納されている保護資産が異なっている。さらに、保護資産評価リスト(a)と保護資産評価リスト(b)とでは、半導体製造装置とプレス装置とで重要とする事項が異なるため、重要レベルも異なる。例えば、保護資産評価リスト(a)では、装置の制御を維持し続けるためPLC保護資産のユーザプログラムの重要レベルが「5」と高い(図12)。一方、保護資産評価リスト(b)では、装置を確実に停止させるためサーボ保護資産のサーボ機能、制御指示データの重要レベルが「5」と高い(図13)。
図11に戻って、脅威シナリオ作成部632は、ステップS202で作成した保護資産リストをユーザに提示する(ステップS203)。脅威シナリオ作成部632は、ステップS203で提示した保護資産リストでユーザから確認が得られたか否かを判定する(ステップS204)。ユーザから確認が得られた場合(ステップS204でYES)、脅威シナリオ作成部632は、作成した保護資産リストを保護資産評価リストとして作成を完了する(ステップS205)。ユーザから確認が得られない場合(ステップS204でNO)、脅威シナリオ作成部632は、ユーザによる保護資産リストの修正を受け付ける(ステップS206)。脅威シナリオ作成部632は、ステップS206で修正された保護資産リストを保護資産評価リストとして作成を完了する(ステップS205)。
脅威シナリオ作成部632は、保護資産評価リストを作成した後、図8に示すように脅威シナリオを作成する(ステップS103)。ステップS103で脅威シナリオを作成する場合、脅威シナリオ作成部632は、まず脅威リストを作成する必要がある。
脅威リストの作成処理について、さらに詳しく説明する。図14は、本実施の形態に従うサポート装置で脅威リストの作成処理手順を示すフローチャートである。まず、脅威シナリオ作成部632は、装置構成情報から構成機器を抽出する(ステップS301)。脅威シナリオ作成部632は、ステップS301で抽出した構成機器に対して、脅威分析データベース6106にある想定攻撃箇所の脅威リストを連結する(ステップS302)。
例えば、図10(a)に示す半導体製造装置の場合、装置構成には、HMI、PLC、カメラ、サーボが含まれている。そのため、脅威シナリオ作成部632では、脅威分析データベース6106にある攻撃箇所ごとの脅威リストから、HMI、PLC、カメラ、サーボの保護資産に対して予め定められている想定攻撃箇所の脅威リストを取り出して連結する。図15は、本実施の形態に従うサポート装置で作成した脅威リストの一例を示す図である。図15には、図10(a)に示す半導体製造装置の場合の脅威リスト(a)が示されている。脅威リスト(a)には、HMI、PLC、カメラ、サーボの保護資産に対して想定される攻撃箇所として、外部ネットワーク、不正機器接続、メモリカード、保守PC、カメラ、サーボの脅威、対象属性、脅威レベルが格納されている。
ここで、本明細書において、「脅威」は、設備や機械を正常運転することを妨げる任意の事象を意味する。PLCを中心とする制御装置においては、典型的な脅威には、(1)データベースなどの上位装置からの攻撃、(2)フィールドデバイスからの攻撃、(3)サポート装置を介した攻撃、(4)メモリカードなどの制御装置に装着される記憶媒体を介した攻撃、といった4つの局面からの脅威が考えられる。さらに、制御装置に搭載されているすべての物理ポートは攻撃を受けるセキュリティリスクが存在している。
例えば、図15に示す想定される攻撃箇所の外部ネットワークは、「(1)データベースなどの上位装置からの攻撃」に分類され、具体的な脅威として「通信DoS(Distributed Denial of Service)攻撃」、「通信データ盗聴」、「通信データ改ざん」がある。「通信DoS攻撃」は、攻撃対象の通信アドレス宛てに、大量のパケットを送信する攻撃で、外部との通信機能が影響を受けるだけであり、装置自体を動作させることは可能である場合が多い。そのため、「通信DoS攻撃」では、対象属性が「機能」で、脅威レベルが「3」に設定されている。
「通信データ盗聴」は、ネットワーク機器経由で通信を傍受し、通信中のデータを盗み見る攻撃で、情報が漏えいするだけで装置の機能に影響を与えない。そのため、「通信データ盗聴」では、対象属性が「情報」で、脅威レベルが「4」に設定されている。「通信データ改ざん」は、ネットワーク機器経由で通信中のデータを改ざんする攻撃で、情報に対する脅威である。「通信データ改ざん」では、対象属性が「情報」で、脅威レベルが「2」に設定されている。
また、図15に示す想定される攻撃箇所のメモリカードは、「(4)メモリカードなどの制御装置に装着される記憶媒体を介した攻撃」に分類され、具体的な脅威として「ファームウェア改ざん」、「ユーザプログラムの盗用」がある。「ファームウェア改ざん」は、例えば、制御ユニット100の更新ファームウェアを改ざんし、不正動作のプログラムを書込む攻撃で、情報に対する脅威である。そのため、「ファームウェア改ざん」では、対象属性が「情報」で、脅威レベルが「4」に設定されている。「ユーザプログラムの盗用」は、ユーザのプログラムを盗用し、別マシンで再利用する攻撃で、情報の漏えいである。そのため、「ユーザプログラムの盗用」では、対象属性が「情報」で、脅威レベルが「4」に設定されている。
さらに、図15に示す想定される攻撃箇所の保守PCは、「(3)サポート装置を介した攻撃」に分類され、具体的な脅威として「マルウェアによる機能不全」、「データ盗用」、「通信データ改ざん」がある。「マルウェアによる機能不全」は、例えば、制御ユニット100にマルウェアを感染させ、その機能を不全にする攻撃で、情報に対する脅威である。そのため、「マルウェアによる機能不全」では、対象属性が「機能」で、脅威レベルが「4」に設定されている。「データ盗用」は、装置のデータを盗用し、別マシンで再利用する攻撃で、情報の漏えいである。そのため、「データ盗用」では、対象属性が「情報」で、脅威レベルが「4」に設定されている。「通信データ改ざん」は、ネットワーク機器経由で通信中のデータを改ざんする攻撃で、情報に対する脅威である。「通信データ改ざん」では、対象属性が「情報」で、脅威レベルが「3」に設定されている。
また、図15に示す想定される攻撃箇所のカメラ、サーボは、「(2)フィールドデバイスからの攻撃」に分類され、具体的な脅威として「カメラ乗っ取り」、「画像不正改ざん」、「サーボ機能停止」、「サーボ制御データ改ざん」がある。「カメラ乗っ取り」は、操作権限のない利用者が悪意を持ってカメラを操作し、制御ユニット100に対する攻撃で、制御ユニット100の機能に対する脅威である。そのため、「カメラ乗っ取り」では、対象属性が「機能」で、脅威レベルが「3」に設定されている。
「画像不正改ざん」は、カメラで撮像した画像を改ざんする攻撃で、情報に対する脅威である。「画像不正改ざん」では、対象属性が「情報」で、脅威レベルが「1」に設定されている。「サーボ機能停止」は、操作権限のない利用者が悪意を持ってサーボ機能を停止させ、制御ユニット100によるサーボ制御を行わせない攻撃で、制御ユニット100の機能に対する脅威である。そのため、「サーボ機能停止」では、対象属性が「機能」で、脅威レベルが「3」に設定されている。「サーボ制御データ改ざん」は、サーボ制御に必要なデータを改ざんする攻撃で、情報に対する脅威である。「サーボ制御データ改ざん」では、対象属性が「情報」で、脅威レベルが「2」に設定されている。
また、図10(b)に示すプレス装置の場合、装置構成には、HMI、PLC、サーボが含まれている。そのため、脅威シナリオ作成部632は、脅威分析データベース6106にある攻撃箇所ごとの脅威リストから、HMI、PLC、サーボの保護資産に対して予め定められている想定攻撃箇所の脅威リストを取り出して連結する。図16は、本実施の形態に従うサポート装置で作成した脅威リストの別の一例を示す図である。図16には、図10(b)に示すプレス装置の場合の脅威リスト(b)が示されている。脅威リスト(b)には、HMI、PLC、サーボの保護資産に対して想定される攻撃箇所として、外部ネットワーク、不正機器接続、メモリカード、保守PC、サーボの脅威、対象属性、脅威レベルが格納されている。
脅威リスト(a)と脅威リスト(b)とでは、半導体製造装置とプレス装置とで重要とする事項が異なるため、同じ脅威でも格納されている脅威レベルが異なっている。例えば、脅威リスト(b)では、装置を確実に停止させるためメモリカード、保守PCの脅威に対する脅威レベルが「5」と高い(図16)。
図14に戻って、脅威シナリオ作成部632は、ステップS302で作成した脅威リストをユーザに提示する(ステップS303)。脅威シナリオ作成部632は、ステップS303で提示した脅威リストでユーザから確認が得られたか否かを判定する(ステップS304)。ユーザから確認が得られた場合(ステップS304でYES)、脅威シナリオ作成部632は、提示した脅威リストで作成を完了する(ステップS305)。ユーザから確認が得られない場合(ステップS304でNO)、脅威シナリオ作成部632は、ユーザによる脅威リストの修正を受け付ける(ステップS306)。脅威シナリオ作成部632は、ステップS306で修正された脅威リストで作成を完了する(ステップS205)。
なお、脅威リストは、図15および図16で示すように想定される攻撃箇所ごとに、脅威、対象属性、脅威レベルが格納されていると説明した。しかし、脅威リストに格納される情報は、これに限られず、例えば制御ユニット100またはセキュリティユニット200のソフトウェアおよびハードウェアのバージョン情報であってもよい。図17は、本実施の形態に従うサポート装置で作成した脅威リストの変形例を示す図である。図17に示す脅威リスト(c)では、脅威、対象属性、脅威レベルの情報に加えて制御ユニット100またはセキュリティユニット200のソフトウェアおよびハードウェアのバージョン情報が追加されている。制御ユニット100およびセキュリティユニット200は、ソフトウェアおよびハードウェアのバージョン情報によってセキュリティの脆弱性が異なるため、バージョン情報により脅威レベルを異ならせる必要がある。
図8に戻って、脅威シナリオ作成部632は、ステップS103で脅威リストと保護資産評価リストとから脅威シナリオを作成する。脅威シナリオ作成部632は、脅威リストと保護資産評価リストと属性でリンクして組み合わせ脅威シナリオを作成している。脅威シナリオは、保護資産と脅威とを組み合わせた項目ごとにリストとしてさせる。リスト化された脅威シナリオは、以下、脅威シナリオリストともいう。脅威シナリオ作成部632は、作成する脅威シナリオリストの各項目に対するリスク値を算出する(ステップS104)。リスク値は、セキュリティの脅威に対するリスクを示す指標で、例えば、予め定められた試算方法で、脅威リストの脅威レベルと保護資産評価リストの重要レベルとの積算で求められる。
脅威シナリオ作成部632は、作成した脅威シナリオリストのリスク値がユーザの設定した対策必要リスクレベル以上か否かを判定する(ステップS105)。リスク値が対策必要リスクレベル以上の場合(ステップS105でYES)、脅威シナリオ作成部632は、脅威シナリオリストの項目に対策が必要であるとの設定を行う(ステップS106)。一方、リスク値が対策必要リスクレベルより低い場合(ステップS105でNO)、脅威シナリオ作成部632は、脅威シナリオリストの項目に対策が必要でないとの設定を行う(ステップS107)。
脅威シナリオ作成部632は、作成した脅威シナリオリストのすべてのリスク値について対策の要否の試算が終了したか否かを判定する(ステップS108)。すべてのリスク値について対策の要否の試算が終了していない場合(ステップS108でNO)、脅威シナリオ作成部632は、処理をステップS104に戻す。すべてのリスク値について対策の要否の試算が終了している場合(ステップS108でYES)、脅威シナリオ作成部632は、脅威シナリオリストをリスク値の高い順で、対策の要否順で項目の並べ替えを行う(ステップS109)。
ステップS103~ステップS109で作成される脅威シナリオリストについて、具体例を示して説明する。図18は、本実施の形態に従うサポート装置で作成した脅威シナリオリストの一例を示す図である。図18に示す脅威シナリオリストでは、重要レベルが「5」の装置機能の保護資産評価リストの項目と、脅威レベルが「5」のDoS攻撃の項目とを積算した結果がリスク値として「25」の値が格納されている。この脅威シナリオリストに対して対策必要リスクレベルを「15」以上として、リスク値の高い順で並べ替えを行う。並べ替えを行った脅威シナリオリストを図18の下側に示している。
次に、対策作成部634が、脅威シナリオ作成部632で作成する脅威シナリオリストと、対策データベース6108の対策(脅威対策リスト)とに応じて、コントローラシステム1の保護資産の各々に対する対策を格納した対策シナリオを作成する処理を説明する。図9に戻って、まず、対策作成部634は、脅威シナリオリストの各項目に対応する対策を対策データベース6108から抽出する(ステップS110)。対策データベース6108から抽出する対策には、セキュリティユニット200のセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とが含まれる。もちろん、対策データベース6108に格納されている対策がセキュリティユニット200のセキュリティ機能による対策のみである場合、抽出する対策は、セキュリティユニット200のセキュリティ機能による対策のみでもよい。
対策作成部634は、対策データベース6108の脅威対策リストから選択したセキュリティ機能による対策を行うために、セキュリティユニットで必要となるバージョン以上のバージョンのセキュリティユニット200が設けられているか否かを判定する(ステップS111)。必要となるバージョン以上の場合(ステップS111でYES)、対策作成部634は、セキュリティ機能による対策を行うためにセキュリティユニットで必要となるリソース容量が、セキュリティユニット200のリソース容量以下であるか否かを判定する(ステップS112)。
必要となるリソース容量が、セキュリティユニット200のリソース容量以下である場合(ステップS112でYES)、対策作成部634は、当該セキュリティ機能による対策を脅威シナリオリストの項目に設定する(ステップS113)。対策作成部634は、セキュリティ機能による対策を脅威シナリオリストの項目に設定した場合、セキュリティユニット200のリソース容量から設定したセキュリティ機能による対策のリソース容量を減算する(ステップS114)。
必要となるバージョンより低い場合(ステップS111でNO)、または必要となるリソース容量が、セキュリティユニット200のリソース容量より大きい場合(ステップS112でNO)、対策作成部634は、セキュリティ機能を使用しない運用による対策を脅威シナリオリストの項目に設定する(ステップS115)。
対策作成部634は、脅威シナリオリストのすべての項目に対して対策の設定を完了したか否かを判定する(ステップS116)。すべての項目に対して対策の設定を完了していない場合(ステップS116でNO)、対策作成部634は、処理をステップS111に戻す。すべての項目に対して対策の設定を完了した場合(ステップS116でYES)、対策作成部634は、脅威シナリオリストのすべての項目に対して対策の設定を完了した対策シナリオを作成する。セキュリティ設定部636は、対策作成部634で作成する対策シナリオに応じて、セキュリティユニット200に対してセキュリティ機能の設定データ(セキュリティ機能設定データ)を出力する(ステップS117)。ステップS117では、対策結果出力部638が、対策作成部634で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。
ステップS110~ステップS116で作成される対策シナリオについて、具体例を示して説明する。図19は、本実施の形態に従うサポート装置で作成した対策シナリオの一例を示す図である。図19に示す対策シナリオ(b)は、図18に示した脅威シナリオリストの各項目に、対策データベース6108の脅威対策リスト(a)から選択した対策が設定してある。対策シナリオ(b)では、脅威シナリオリストの情報に加えて対策、リソース、効果脅威レベル、対策後リスク値の各情報が格納されている。例えば、「装置機能」×「DoS攻撃」の項目では、対策として「IDS(Intrusion Detection System)-隔離」、リソースとして「50」、効果脅威レベルとして「1」、対策後リスク値として「5」がそれぞれ格納されている。ここで、「IDS-隔離」は、セキュリティユニット200のセキュリティ機能の一つである侵入検知システムにより通信を遮断して他の設備から隔離する対策である。
対策シナリオ(b)では、リスク値が対策必要リスクレベルの「10」以上であるか否かにより対策の要否を判定し、装置バージョンが1.3でセキュリティユニット200のリソース容量が全機能搭載可能であると仮定して対策必要リスクレベルの「10」以上の全ての項目に対して対策が設定されている。しかし、現実的にはセキュリティユニット200のリソース容量は有限であり、当該リソース容量に応じて選択される対策が異なる。図20は、本実施の形態に従うサポート装置で作成したリソース容量が50の場合の対策シナリオの一例を示す図である。図20に示す対策シナリオ(c)は、装置バージョンが1.0でリソース容量が50であるため、対策シナリオ(b)と異なり、「装置機能」×「DoS攻撃」の項目で、対策として「フィルタリング」、リソースとして「10」、効果脅威レベルとして「2」、対策後リスク値として「10」がそれぞれ格納されている。対策シナリオ(c)では、「ユーザプログラム」×「盗聴」の項目で、対策として「暗号化」、リソースとして「20」、効果脅威レベルとして「2」、対策後リスク値として「8」がそれぞれ格納されている。
図21は、本実施の形態に従うサポート装置で作成したリソース容量が100の場合の対策シナリオの一例を示す図である。図21に示す対策シナリオ(d)は、装置バージョンが1.2でリソース容量が100であるため、対策シナリオ(c)と異なり、「装置機能」×「DoS攻撃」の項目で、対策として「IDS-隔離」、リソースとして「50」、効果脅威レベルとして「1」、対策後リスク値として「5」がそれぞれ格納されている。対策シナリオ(d)では、「ユーザプログラム」×「盗聴」の項目で、対策として「暗号化」、リソースとして「20」、効果脅威レベルとして「2」、対策後リスク値として「8」がそれぞれ格納されている。
図22は、本実施の形態に従うサポート装置で作成したリソース容量が20の場合の対策シナリオの一例を示す図である。図22に示す対策シナリオ(e)は、装置バージョンが1.2でリソース容量が20であるため、対策シナリオ(b)と異なり、「装置機能」×「DoS攻撃」の項目で、対策として「フィルタリング」、リソースとして「10」、効果脅威レベルとして「2」、対策後リスク値として「10」がそれぞれ格納されている。さらに、対策シナリオ(e)では、残りのリソース容量が少ないので、「ユーザプログラム」×「盗聴」の項目でセキュリティ機能による対策ではなく、運用による対策が選択されている。対策シナリオ(e)では、「ユーザプログラム」×「盗聴」の項目で、対策として「有線通信/ポートをふさぐ」、リソースとして「0」、効果脅威レベルとして「2」、対策後リスク値として「8」がそれぞれ格納されている。
セキュリティユニット200のセキュリティ機能による対策(例えば、IDS-隔離、フィルタリングなど)は、セキュリティユニット200のリソースを使用するため、リソース容量内で対策を行う必要がある。一方、運用による対策(例えば、有線通信/ポートをふさぐなど)は、セキュリティユニット200のリソースを使用しないため、リソース容量を気にせずに対策を行うことができる。なお、図19~図22に示した対策シナリオでは、各項目のリスク値が対策必要リスクレベル以上であるか否かにより対策の要否を判定しているが、リスク値に関係なくすべての項目に対して対策を設定してもよい。
次に、ステップS117で作成される脅威分析結果レポートについて、具体例を示して説明する。図23は、本実施の形態に従うサポート装置で作成した脅威分析結果レポートの一例を示す図である。図23に示す脅威分析結果レポートは、装置構成図と攻撃口と想定する脅威一覧が記載され、例えば工場のIT部門への提出用のレポートである。図23(a)に装置構成を示す図が、図23(b)に脅威シナリオリスト、図23(c)に対策シナリオがそれぞれ示されている。特に、図23(b)に脅威シナリオリストでは、攻撃口の番号が図23(a)に装置構成を示す図に付されているので、セキュリティの知識を有して者でも容易にセキュリティの脅威を認識することができる。
図24は、本実施の形態に従うサポート装置で作成した脅威分析結果レポートの別の一例を示す図である。図24に示す脅威分析結果レポートは、運用による対策を分かり易く記載され、例えば工場の作業者向けのレポートである。図24(a)に、対策シナリオにセキュリティユニット200で使用する機能(セキュリティ機能)の情報が付加された図、図24(b)に運用による対策リストがそれぞれ示されている。特に、図24(b)では、運用による対策が一覧でき、その実施内容についても詳しく記載されている。例えば、「有線通信/ポートをふさぐ」項目の実施内容は、「通信ポートの接続不可にする施錠を行う」と記載されている。また、運用による対策リストでは、対策を行う箇所(例えば、PLC)も明記されている。
次に、図8および図9で説明した処理において、サポート装置600の表示部(例えば、LCDディスプレイ)に表示される画面について説明する。図25は、本実施の形態に従うサポート装置で表示される装置構成の情報の一例を示す図である。図25(a)に、ユーザが装置種別(例えば、半導体製造装置、プレス装置など)を選択する画面の一例が示してある。図25(b)に、装置種別が半導体製造装置の場合の装置構成図の一例が示してある。サポート装置600では、ステップS101の処理でコントローラシステム1から取得した装置構成の情報、および保有資産の情報から作成した装置構成を図25(b)に示す画面でユーザに提示できる。そのため、ユーザは、装置構成を視覚的に把握することができる。
図26は、本実施の形態に従うサポート装置で表示される保護資産評価リストの一例を示す図である。サポート装置600では、ステップS102の処理で作成した保護資産評価リストを図26に示す画面でユーザに提示できる。さらに、サポート装置600は、表示した保護資産評価リストに対して、必要に応じてリストの追加、重要レベルの編集を受け付けることができる。
図27は、本実施の形態に従うサポート装置で表示される脅威リストの一例を示す図である。サポート装置600では、ステップS103の処理で作成した脅威リストを図27に示す画面でユーザに提示できる。さらに、サポート装置600は、表示した脅威リストに対して、必要に応じてリストの追加、脅威レベルの編集を受け付けることができる。
図28は、本実施の形態に従うサポート装置で表示されるリスク値試算方法の設定の一例を示す図である。サポート装置600では、ステップS104の処理で作成した脅威シナリオリストのリスク値の試算方法の設定を図28に示す画面でユーザに提示できる。図28(a)に、ユーザがリスク値を試算する方法(例えば、重要度(重要レベル)×脅威レベルなど)を選択する画面の一例が示してある。図28(b)に、重要度(重要レベル)×脅威レベルでリスク値を試算する場合の重みを設定する画面の一例が示してある。ここで、リスク値は、重要度(重要レベル)と脅威レベルとを単純に積算して求めるだけでなく、それぞれの値に重みを設定して積算して求めてもよい。例えば、脅威レベルを2倍にしてリスク値を試算してもよい。また、別の試算方法として、一般的な脅威分析のリスク評価方法である共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)や、RSMA(Risk Scoring Methodology for Automotive system)を用いてリスク値を試算してもよい。
図29は、本実施の形態に従うサポート装置で表示される脅威シナリオリストの一例を示す図である。サポート装置600では、ステップS109の処理で作成した脅威シナリオリストを図29に示す画面でユーザに提示できる。さらに、サポート装置600は、表示した脅威シナリオリストに対して、対策必要リスクレベルを受け付けることができる。
図30は、本実施の形態に従うサポート装置で表示される対策方針の選択の一例を示す図である。サポート装置600では、ステップS111~ステップS114の処理での方針の設定(例えば、Default(MAX)設定など)を図30に示す画面でユーザに提示できる。Default(MAX)設定では、セキュリティユニット200のリソース容量の許す範囲で最大となるように対策を選択する設定である。
図31は、本実施の形態に従うサポート装置で表示される脅威対策リストの一例を示す図である。サポート装置600では、ステップS111~ステップS114の処理で対策データベース6108から読み出した脅威対策リストを図31に示す画面でユーザに提示できる。さらに、サポート装置600は、表示した脅威対策リストに対して、必要に応じて対策技術、リソースなどの編集を受け付けることができる。
図32は、本実施の形態に従うサポート装置で表示される対策シナリオの一例を示す図である。サポート装置600では、ステップS117の処理で作成した対策シナリオを図32に示す画面でユーザに提示できる。そのため、サポート装置600では、作成した対策シナリオをユーザに確認させることができる。
図33は、本実施の形態に従うサポート装置で表示される出力内容の選択の一例を示す図である。サポート装置600では、ステップS117で出力する内容を設定する画面を図33に示す画面でユーザに提示できる。サポート装置600では、例えば、脅威分析結果レポート、運用対策レポート、ユニット設定データを出力するように設定できる。
<E.付記>
上述したような本実施の形態は、以下のような技術思想を含む。
[構成1]
制御システムであって、
制御対象を制御するコントローラシステム(1)と、
前記コントローラシステム(1)の設定をサポートするサポート装置(600)とを備え、
前記コントローラシステム(1)は、
制御対象を制御するための制御演算を実行する制御ユニット(100)と、
前記制御ユニット(100)に接続され、前記コントローラシステム(1)に対するセキュリティ機能を担当するセキュリティユニット(200)とを含み、
前記サポート装置(600)は、
前記コントローラシステム(1)から装置構成および保護資産を取得するシステム構成入力部(630)と、
前記コントローラシステム(1)の保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベース(6106)と、
前記システム構成入力部(630)で取得した装置構成および保護資産に応じて、前記脅威分析データベース(6106)の重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部(632)と、
セキュリティの脅威に応じた対策を予め格納している対策データベース(6108)と、
前記脅威シナリオ作成部(632)で作成する前記脅威シナリオと、前記対策データベース(6108)の対策とに応じて、前記コントローラシステム(1)の保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部(634)と、
前記対策作成部(634)で作成する前記対策シナリオに応じて、前記セキュリティユニット(200)に対してセキュリティ機能の設定データを出力するセキュリティ設定部(636)とを含む、制御システム。
[構成2]
前記サポート装置(600)は、前記脅威シナリオ、および前記対策シナリオの少なくともの1つの情報を含む対策レポートを出力する対策結果出力部(638)をさらに備える、構成1に記載の制御システム。
[構成3]
前記脅威分析データベース(6106)は、セキュリティの脅威に対する脅威レベルが、前記コントローラシステム(1)の装置種別により異なる、構成1または構成2に記載の制御システム。
[構成4]
前記脅威シナリオは、前記コントローラシステム(1)の保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してある、構成1~構成3のいずれか1項に記載の制御システム。
[構成5]
前記対策作成部(634)は、前記脅威シナリオに格納されたリスク値が予め定められた値以上の前記コントローラシステム(1)の保護資産およびセキュリティの脅威の各々に対して前記対策シナリオを作成する、構成4に記載の制御システム。
[構成6]
前記対策データベース(6108)は、セキュリティの脅威に応じた対策として、前記セキュリティユニット(200)のセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してある、構成1~構成5のいずれか1項に記載の制御システム。
[構成7]
前記対策作成部(634)は、前記コントローラシステム(1)のリソースに応じて、前記セキュリティユニット(200)のセキュリティ機能による対策を選択して前記対策シナリオを作成する、構成1~構成6のいずれか1項に記載の制御システム。
[構成8]
前記対策作成部(634)は、前記コントローラシステム(1)を構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なる、構成7に記載の制御システム。
[構成9]
前記対策作成部(634)は、前記コントローラシステム(1)のリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、構成6~構成8のいずれか1項に記載の制御システム。
[構成10]
制御対象を制御するための制御演算を実行する制御ユニット(100)と、前記制御ユニット(100)に接続され、コントローラシステム(1)に対するセキュリティ機能を担当するセキュリティユニット(200)とを含む前記コントローラシステム(1)に対してセキュリティ機能の設定データを設定する、前記コントローラシステム(1)の設定方法であって、
前記コントローラシステム(1)から装置構成および保護資産を取得するステップと、
取得した装置構成および保護資産に応じて、脅威分析データベース(6106)で予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、
作成する前記脅威シナリオと、対策データベース(6108)で予め格納しているセキュリティの脅威に応じた対策とに応じて、前記コントローラシステム(1)の保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、
作成する前記対策シナリオに応じて、前記セキュリティユニット(200)に対してセキュリティ機能の設定データを出力するステップとを含む、設定方法。
<F.利点>
本実施の形態に係る制御システムによれば、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 コントローラシステム、10 制御システム、100 制御ユニット、102,202,302,602 プロセッサ、104,204,304 チップセット、106,206,306 主記憶装置、108,208,308 二次記憶装置、110,210 通信コントローラ、112,212,620 USBコントローラ、114,214,314 メモリカードインターフェイス、115,215,315 メモリカード、116,118,120,216,218 ネットワークコントローラ、122,322 内部バスコントローラ、124,224,324 インジケータ、142,144,242 通信ポート、200 セキュリティユニット、300 セーフティユニット、400 機能ユニット、450 電源ユニット、500 フィールドデバイス、600 サポート装置、604 メインメモリ、606 入力部、608 出力部、610 ストレージ、612 光学ドライブ、614 記録媒体、618 プロセッサバス、800 HMI、900 外部ネットワーク、6102 OS、6104 サポートプログラム、6106 脅威分析データベース、6108 対策データベース。

Claims (10)

  1. 制御システムであって、
    制御対象を制御するコントローラシステムと、
    前記コントローラシステムの設定をサポートするサポート装置とを備え、
    前記コントローラシステムは、
    制御対象を制御するための制御演算を実行する制御ユニットと、
    前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含み、
    前記サポート装置は、
    前記コントローラシステムから装置構成および保護資産を取得するシステム構成入力部と、
    前記コントローラシステムの保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベースと、
    前記システム構成入力部で取得した装置構成および保護資産に応じて、前記脅威分析データベースの重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部と、
    セキュリティの脅威に応じた対策を予め格納している対策データベースと、
    前記対策データベースの対策を参照し、前記脅威シナリオ作成部で作成する前記脅威シナリオに基づいて前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部と、
    前記対策作成部で作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するセキュリティ設定部とを含み、
    前記脅威シナリオは、前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してあり、
    前記対策作成部は、前記脅威シナリオに格納されたリスク値が予め定められた値以上の前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して前記対策シナリオを作成する、制御システム。
  2. 前記サポート装置は、前記脅威シナリオ、および前記対策シナリオの少なくともの1つの情報を含む対策レポートを出力する対策結果出力部をさらに備える、請求項1に記載の制御システム。
  3. 前記脅威分析データベースは、セキュリティの脅威に対する脅威レベルが、前記コントローラシステムの装置種別により異なる、請求項1または請求項2に記載の制御システム。
  4. 前記対策データベースは、セキュリティの脅威に応じた対策として、前記セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してある、請求項1~請求項のいずれか1項に記載の制御システム。
  5. 前記対策作成部は、前記セキュリティユニットのリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、請求項に記載の制御システム。
  6. 制御システムであって、
    制御対象を制御するコントローラシステムと、
    前記コントローラシステムの設定をサポートするサポート装置とを備え、
    前記コントローラシステムは、
    制御対象を制御するための制御演算を実行する制御ユニットと、
    前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含み、
    前記サポート装置は、
    前記コントローラシステムから装置構成および保護資産を取得するシステム構成入力部と、
    前記コントローラシステムの保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベースと、
    前記システム構成入力部で取得した装置構成および保護資産に応じて、前記脅威分析データベースの重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部と、
    セキュリティの脅威に応じた対策を予め格納している対策データベースと、
    前記対策データベースの対策を参照し、前記脅威シナリオ作成部で作成する前記脅威シナリオに基づいて前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部と、
    前記対策作成部で作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するセキュリティ設定部とを含み、
    前記対策データベースは、セキュリティの脅威に応じた対策として、前記セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してあり、
    前記対策作成部は、前記セキュリティユニットのリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、制御システム。
  7. 前記対策作成部は、前記セキュリティユニットのリソースに応じて、前記セキュリティユニットのセキュリティ機能による対策を選択して前記対策シナリオを作成する、請求項1~請求項6のいずれか1項に記載の制御システム。
  8. 前記対策作成部は、前記コントローラシステムを構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なる、請求項7に記載の制御システム。
  9. 制御対象を制御するための制御演算を実行する制御ユニットと、前記制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含む前記コントローラシステムに対してセキュリティ機能の設定データを設定する、前記コントローラシステムの設定方法であって、
    前記コントローラシステムから装置構成および保護資産を取得するステップと、
    取得した装置構成および保護資産に応じて、脅威分析データベースで予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、
    対策データベースで予め格納しているセキュリティの脅威に応じた対策を参照し、作成した前記脅威シナリオに基づいて前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、
    作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するステップとを含み、
    前記脅威シナリオは、前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してあり、
    前記脅威シナリオに格納されたリスク値が予め定められた値以上の前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して前記対策シナリオを作成する、設定方法。
  10. 制御対象を制御するための制御演算を実行する制御ユニットと、前記制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含む前記コントローラシステムに対してセキュリティ機能の設定データを設定する、前記コントローラシステムの設定方法であって、
    前記コントローラシステムから装置構成および保護資産を取得するステップと、
    取得した装置構成および保護資産に応じて、脅威分析データベースで予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、
    対策データベースで予め格納しているセキュリティの脅威に応じた対策を参照し、作成した前記脅威シナリオに基づいて前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、
    作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するステップとを含み、
    前記対策データベースは、セキュリティの脅威に応じた対策として、前記セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してあり、
    前記セキュリティユニットのリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、設定方法。
JP2019066006A 2019-03-29 2019-03-29 制御システム、および設定方法 Active JP7180500B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019066006A JP7180500B2 (ja) 2019-03-29 2019-03-29 制御システム、および設定方法
PCT/JP2020/006824 WO2020202882A1 (ja) 2019-03-29 2020-02-20 制御システム、および設定方法
CN202080020119.9A CN113557483A (zh) 2019-03-29 2020-02-20 控制系统及设定方法
EP20784286.5A EP3951520A4 (en) 2019-03-29 2020-02-20 CONTROL SYSTEM AND ADJUSTMENT PROCEDURE
US17/437,827 US20220155747A1 (en) 2019-03-29 2020-02-20 Control system and setting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019066006A JP7180500B2 (ja) 2019-03-29 2019-03-29 制御システム、および設定方法

Publications (2)

Publication Number Publication Date
JP2020166520A JP2020166520A (ja) 2020-10-08
JP7180500B2 true JP7180500B2 (ja) 2022-11-30

Family

ID=72667864

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019066006A Active JP7180500B2 (ja) 2019-03-29 2019-03-29 制御システム、および設定方法

Country Status (5)

Country Link
US (1) US20220155747A1 (ja)
EP (1) EP3951520A4 (ja)
JP (1) JP7180500B2 (ja)
CN (1) CN113557483A (ja)
WO (1) WO2020202882A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7492886B2 (ja) * 2020-09-08 2024-05-30 シャープ株式会社 通信制御システムおよび情報処理装置
JP2023047569A (ja) * 2021-09-27 2023-04-06 パナソニックIpマネジメント株式会社 脅威分析方法および脅威分析システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015001594A1 (ja) 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
WO2017222553A1 (en) 2016-06-24 2017-12-28 Siemens Aktiengesellschaft Plc virtual patching and automated distribution of security context

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3690144B2 (ja) 1998-11-02 2005-08-31 オムロン株式会社 プログラマブルコントローラ
US20070192867A1 (en) * 2003-07-25 2007-08-16 Miliefsky Gary S Security appliances
GB0325504D0 (en) * 2003-10-31 2003-12-03 Leach John Security engineering: A process for developing accurate and reliable security systems
JP4620138B2 (ja) * 2008-03-19 2011-01-26 株式会社東芝 脅威分析支援装置および脅威分析支援処理プログラム
US8990948B2 (en) * 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
CN102799834A (zh) * 2012-06-07 2012-11-28 天津大学 基于系统资产的软件安全需求分析方法
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
WO2016177437A1 (en) * 2015-05-05 2016-11-10 Balabit S.A. Computer-implemented method for determining computer system security threats, security operations center system and computer program product
EP3151114A1 (en) * 2015-09-29 2017-04-05 Panasonic Intellectual Property Management Co., Ltd. Software development system in system development based on model-based method
CN106960269B (zh) * 2017-02-24 2021-03-02 浙江鹏信信息科技股份有限公司 基于层次分析法的安全应急处置方法及系统
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
KR20190001325A (ko) * 2017-06-27 2019-01-04 (주)이공감 ICS(Industrial Control System) 모듈 및 이를 구비한 산업제어 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015001594A1 (ja) 2013-07-01 2015-01-08 株式会社日立製作所 制御システム、制御方法及びコントローラ
WO2017222553A1 (en) 2016-06-24 2017-12-28 Siemens Aktiengesellschaft Plc virtual patching and automated distribution of security context

Also Published As

Publication number Publication date
EP3951520A1 (en) 2022-02-09
JP2020166520A (ja) 2020-10-08
EP3951520A4 (en) 2022-12-21
US20220155747A1 (en) 2022-05-19
CN113557483A (zh) 2021-10-26
WO2020202882A1 (ja) 2020-10-08

Similar Documents

Publication Publication Date Title
JP6745921B2 (ja) Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信
WO2020202884A1 (ja) コントローラシステム
JP7180500B2 (ja) 制御システム、および設定方法
US20220171858A1 (en) Controller system, support device, and evaluation method
WO2019240020A1 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
JP2020135100A (ja) 制御システム
JP2023068023A (ja) コントローラシステム
JP7255369B2 (ja) 制御システム
CN113625664B (zh) 通过零接触注册的自动端点安全策略分配
EP3933522B1 (en) Control device, management program, and control system
EP3940476A1 (en) Controller system
WO2020240969A1 (ja) サポート装置および設定プログラム
JP7016837B2 (ja) コントローラシステム
WO2023073946A1 (ja) データ処理装置、データ処理方法、および記録媒体
JP7103214B2 (ja) サポート装置および支援プログラム
WO2020195640A1 (ja) 監視システム、設定装置および監視方法
JP7143762B2 (ja) コントローラシステム、制御装置および制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220628

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221018

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221031

R150 Certificate of patent or registration of utility model

Ref document number: 7180500

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150