JP7206122B2 - データセット検証装置およびそのプログラム、方法並びにデータセット検証システム - Google Patents
データセット検証装置およびそのプログラム、方法並びにデータセット検証システム Download PDFInfo
- Publication number
- JP7206122B2 JP7206122B2 JP2019015382A JP2019015382A JP7206122B2 JP 7206122 B2 JP7206122 B2 JP 7206122B2 JP 2019015382 A JP2019015382 A JP 2019015382A JP 2019015382 A JP2019015382 A JP 2019015382A JP 7206122 B2 JP7206122 B2 JP 7206122B2
- Authority
- JP
- Japan
- Prior art keywords
- data set
- target
- verification
- control device
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Description
本開示は、産業用制御システム(ICS:Industrial Control System)などの制御システムのセキュリティ性能を評価するためのデータセットの検証に関する。
セキュリティ技術の共通評価基盤となるデータセットと呼ばれるものがある。同一のデータセットを用いてセキュリティ技術を評価することにより、開発したセキュリティ技術の性能を公平に評価できるようになる。一般的に、情報システムは、ネットワーク構成、使用されるプロトコル、機器構成等に大差はないことから、セキュリティ分野でのデータセットは情報システム向けに作成されたものが多い。例えば、情報システムの模擬環境を構築し、その環境下で取得した通信ログが、データセットとして数多く公表されている。
一方、近年では、産業用制御システムへのサイバー攻撃の頻度も増加しており、実被害まで及ぶケースも増えつつある。産業用制御システムへのサイバー攻撃は、制御装置と上位システムとの間で、例えばDoSなどのサービス不能攻撃などの情報システムで広く使われる攻撃手法が行われる。これに加えて、産業用制御システムに特有な攻撃として、制御装置からの制御指令(目標値など)や、制御指令の実行に伴って変化するセンサ値等の観測値の改ざん等が行われる。
このような産業用制御システムなどの制御システムに対するサイバー攻撃に対して、例えば、特許文献1には、原子力発電プラント構内から仕掛けられるサイバー攻撃に対して、プラント運転技術員が適切な対応等をとれるような訓練を行うシミュレータが開示されている。このシミュレータは、構築した仮想監視制御システムに対してサイバー攻撃を行うための攻撃シナリオを生成して実行する。また、実行した攻撃シナリオによる攻撃対象の特定、および攻撃の除去等を行い、結果を画面に表示する。特許文献2には、制御システムの脆弱性を緩和するようにユーザを導くために、観測されたサイバー挙動に応答して、定量化された個別のリスクを変更することが開示されている。特許文献3では、監視ノードからのデータストリームを監視する脅威検出モデルのための潜在的判定境界を、正常特徴ベクトル、脅威特徴ベクトル、および初期アルゴリズムパラメータに基づいて自動的に計算する。
しかしながら、制御システムのセキュリティ技術を評価するためのデータセットとして公表されているものは、ほぼ存在していないのが現状である。制御システムは、独自プロトコルが使用されることもあり、かつ制御装置の種類が多く、制御対象となる物理プロセスも一つに特定できないため、データセットが作成しにくい。そもそも、データセットをどのように作成すれば、様々な制御システムに適用可能であり、かつ、データセットによるセキュリティ性能の評価結果の公正さ(適正さ)を証明できるのかは明確になっていない。
このため、所望のサイバー攻撃を行うものとして用意したデータセットが自社などの特定の制御システムに対して、意図したサイバー攻撃を確実に実行できるとは限らない。よって、制御システムのセキュリティ性能を公正に評価するためには、データセットを実行することにより制御システムに意図したサイバー攻撃が確かに行われることを検証することで、データセットの妥当性を検証することが必要である。
上述の事情に鑑みて、本発明の少なくとも一実施形態は、制御システムのセキュリティ性能を評価するためのデータセットの妥当性を検証するデータセット検証装置を提供することを目的とする。
(1)本発明の少なくとも一実施形態に係るデータセット検証装置は、
セキュリティ性能評価用のデータセットを検証するデータセット検証装置であって、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を備える。
セキュリティ性能評価用のデータセットを検証するデータセット検証装置であって、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を備える。
上記(1)の構成によれば、検証対象データセットを対象制御装置に実行した実行ログの解析を通して、実行した検証対象データセットに含まれるサイバー攻撃が適切に機能しているか否かを検証(確認)する。検証対象データセットによりサイバー攻撃が確実に行われることを検証した上で、セキュリティ機能が稼働している制御システムにおいて検証済みのデータセットを実行することにより、制御システムのセキュリティ性能を適切に評価することができる。
(2)幾つかの実施形態では、上記(1)の構成において、
前記判定部によって前記攻撃成功挙動が有りと判定された前記検証対象データセットの少なくとも前記サイバー攻撃の部分を、データベースに登録するよう構成された登録部を、さらに備える。
前記判定部によって前記攻撃成功挙動が有りと判定された前記検証対象データセットの少なくとも前記サイバー攻撃の部分を、データベースに登録するよう構成された登録部を、さらに備える。
上記(2)の構成によれば、検証済みのデータセットをデータベースに登録する。これによって、このデータベースにアクセス可能であることを条件に、検証済みのデータセットを誰もが利用することができるようになる。よって、検証済みのデータセットを共通評価基盤として利用することができ、この検証済みのデータセットを用いることで、制御システムのセキュリティ性能を公正に評価することができる。
(3)幾つかの実施形態では、上記(1)~(2)の構成において、
前記判定部は、前記実行ログから得られる、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、または通信量の少なくとも1つの変化に基づいて、前記攻撃成功挙動の有無の判定を行う。
前記判定部は、前記実行ログから得られる、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、または通信量の少なくとも1つの変化に基づいて、前記攻撃成功挙動の有無の判定を行う。
上記(3)の構成によれば、1または複数の観点で実行ログを解析することにより、実行ログに攻撃成功挙動が含まれるか否かを適切に判定することができる。
(4)幾つかの実施形態では、上記(3)の構成において、
前記所望のサイバー攻撃は、DoSまたはDDoS攻撃を含み、
前記判定部は、前記実行ログに基づいて前記DoSまたはDDoS攻撃の攻撃時期を検出すると共に、前記攻撃時期における前記攻撃成功挙動の有無を判定する。
前記所望のサイバー攻撃は、DoSまたはDDoS攻撃を含み、
前記判定部は、前記実行ログに基づいて前記DoSまたはDDoS攻撃の攻撃時期を検出すると共に、前記攻撃時期における前記攻撃成功挙動の有無を判定する。
上記(4)の構成によれば、DoS攻撃等の攻撃時期における攻撃成功挙動の有無を判定する。このように、多観点での判定を行うことにより、サイバー攻撃以外の理由で攻撃成功挙動が生じた場合を排除し、判定精度を高めることができる。
(5)幾つかの実施形態では、上記(1)~(4)の構成において、
前記取得部は、前記所望の制御指令を正常送信ファイルから取得すると共に、前記所望のサイバー攻撃を攻撃送信ファイルから取得することにより、前記検証対象データセットを取得する。
前記取得部は、前記所望の制御指令を正常送信ファイルから取得すると共に、前記所望のサイバー攻撃を攻撃送信ファイルから取得することにより、前記検証対象データセットを取得する。
上記(5)の構成によれば、検証対象データセットを構成する制御指令とサイバー攻撃とは、別々のファイルで管理される。これによって、データセット検証装置は、攻撃送信ファイルを変更することで、異なるサイバー攻撃を含む検証対象となるデータセットを容易に取得することができる。
(6)幾つかの実施形態では、上記(1)~(5)の構成において、
前記検証対象データセットを実行するよう構成された実行部を、さらに備え、
前記実行部は、前記検証対象データセットに従って、前記対象制御装置の複数のポートに対して前記通信を行う。
前記検証対象データセットを実行するよう構成された実行部を、さらに備え、
前記実行部は、前記検証対象データセットに従って、前記対象制御装置の複数のポートに対して前記通信を行う。
上記(6)の構成によれば、データセット検証装置は、制御対象装置と複数のセッションを確立し、複数のセッションを用いて検証対象データセットを実行する。これによって、複数の通信プトロコルを用いてセキュリティ性能を評価するデータセットを検証することができる。
(7)幾つかの実施形態では、上記(6)の構成において、
前記検証対象データセットの元となる元データセットを読み込み、前記元データセットで規定される通信データの所定のフィールドを書き換えることにより、前記検証対象データセットを生成する生成部を、さらに備え、
前記実行部は、前記生成部によって生成された前記検証対象データセットを実行する。
前記検証対象データセットの元となる元データセットを読み込み、前記元データセットで規定される通信データの所定のフィールドを書き換えることにより、前記検証対象データセットを生成する生成部を、さらに備え、
前記実行部は、前記生成部によって生成された前記検証対象データセットを実行する。
上記(7)の構成によれば、元データセットを流用して、対象制御装置に対して実行可能な検証対象データセットを生成する。これによって、対象制御装置が存在する環境下ではそのままでは実行できないような元データセットであっても、元データセットから、対象制御装置に対して実行可能な検証対象データセットを生成することができる。
(8)幾つかの実施形態では、上記(7)の構成において、
前記所定のフィールドは、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、ポート番号、ネットワークアドレス、物理アドレスの少なくとも一つを含む。
上記(8)の構成によれば、対象制御装置に対して実行可能な検証対象データセットを、元データセットから適切に生成することができる。
前記所定のフィールドは、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、ポート番号、ネットワークアドレス、物理アドレスの少なくとも一つを含む。
上記(8)の構成によれば、対象制御装置に対して実行可能な検証対象データセットを、元データセットから適切に生成することができる。
(9)幾つかの実施形態では、上記(1)~(8)の構成において、
前記判定部による判定結果を表示する表示部を、さらに備える。
上記(9)の構成によれば、判定部による判定結果を表示する。これによって、ユーザに提示することができると共に、後述する図4~図6に示すような各グラフを、ユーザに提示することなども可能にできる。
前記判定部による判定結果を表示する表示部を、さらに備える。
上記(9)の構成によれば、判定部による判定結果を表示する。これによって、ユーザに提示することができると共に、後述する図4~図6に示すような各グラフを、ユーザに提示することなども可能にできる。
(10)本発明の少なくとも一実施形態に係るデータセット検証システムは、
上記(6)~(8)のいずれか1項に記載のデータセット検証装置と、
前記データセット検証装置に通信可能に接続された対象制御装置と、を備える。
上記(10)の構成によれば、上記(6)~(9)と同様の効果を奏する。
上記(6)~(8)のいずれか1項に記載のデータセット検証装置と、
前記データセット検証装置に通信可能に接続された対象制御装置と、を備える。
上記(10)の構成によれば、上記(6)~(9)と同様の効果を奏する。
(11)本発明の少なくとも一実施形態に係るデータセット検証プログラムは、
セキュリティ性能評価用のデータセットを検証するデータセット検証プログラムであって、
コンピュータに、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行から攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を実現させるためのプログラムである。
上記(11)の構成によれば、上記(1)と同様の効果を奏する。
セキュリティ性能評価用のデータセットを検証するデータセット検証プログラムであって、
コンピュータに、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行から攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を実現させるためのプログラムである。
上記(11)の構成によれば、上記(1)と同様の効果を奏する。
(12)本発明の少なくとも一実施形態に係るデータセット検証方法は、
セキュリティ性能評価用のデータセットを検証するデータセット検証方法であって、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するステップと、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するステップと、を備える。
上記(12)の構成によれば、上記(1)と同様の効果を奏する。
セキュリティ性能評価用のデータセットを検証するデータセット検証方法であって、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するステップと、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するステップと、を備える。
上記(12)の構成によれば、上記(1)と同様の効果を奏する。
本発明の少なくとも一実施形態によれば、制御システムのセキュリティ性能を評価するためのデータセットの妥当性を検証するデータセット検証装置が提供される。
以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本発明の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
図1は本発明の一実施形態に係る産業制御システム(ICS)の構成を概略的に示す図である。図2は、本発明の一実施形態に係るデータセット検証システム7の構成を概略的に示す図である。
データセット検証装置1は、例えば産業用制御システムといった制御システム8などのセキュリティ性能評価用のデータセットを検証するための装置である。また、産業用制御システム(ICS)は、電力、ガス、水道などの社会インフラや、発電プラント、化学プラントなどのプラントの監視および制御のためのシステムであり、図1に示すように階層的に構成されたシステムである。具体的には、図1に示すように、プラント等に設置された複数のフィールド機器91を制御するPLC(Programable Logic Controller)などの制御装置92が、制御ネットワーク81を介して、制御情報ネットワーク82に接続された各種の装置に接続される。
この制御ネットワーク81は、フィールド機器91と制御装置92とを接続する通信ネットワークである。そして、フィールド機器91は、例えば温度、流量、圧力などを計測する各種の計測器(センサ)や、ダンパや調節弁(バルブ)といった操作端などである。他方、制御情報ネットワーク82は、プラント等の制御や監視、管理を行うための各種のコンピュータ装置が接続される通信ネットワークであり、ファイアウォール装置96などを介して、情報システムを構成するオフィス内のLAN(Local Area Network)や、インターネットなどの情報系ネットワーク83に接続される。
図1に示す実施形態では、制御ネットワーク81は、Modbusプロトコルを実装した通信ネットワークとなっている。図1に示すように、制御ネットワーク81はリング型のトポロジーを有していても良い。そして、Modbusメッセージは、TCPやUDPに載せられて制御ネットワーク81を通信されるように構成されている(図2参照)。ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、Modbusメッセージは、その他の周知なプロトコルで通信されるよう構成されても良い。他方、制御情報ネットワーク82はIPネットワークとなっている。そして、例えば、プラントの操作および監視を行うヒューマンマシンインタフェース(HMI)となるオペレータステーション(OPS93)や、上記の制御装置92との入出力や各種の演算処理を行う制御サーバ94、プラントデータの大容量保存・管理を行うACS95(Accessory Station)などが接続されている。
そして、制御装置92は、制御サーバ94がOPS93などから受信した指令に基づいて生成した制御指令Iを受信すると、この制御指令Iに従ってフィールド機器91を制御(操作)するように構成されている。例えば、制御装置92は、制御指令Iとして、例えば制御パラメータの設定値(例えば任意の圧力の目標値など)を受信すると、フィールド機器91の制御量(上記の場合には対応するバルブの開度など)を演算すると共に、この演算結果に基づいてフィールド機器91のアクチュエータを動作させてフィールド機器91を制御する。この時、制御装置92は、制御指令I(後述するModbusのクエリ)を正常に受け付けた場合には、その旨の応答Ir(応答メッセージ)を返したりする。また、この制御装置92による制御に伴って、フィールド機器91によって制御されている流量、温度、圧力などの物理量(上記の場合には圧力)が変化するが、こうした物理的な状態変化はセンサなどで観測(測定)される。そして、例えば制御装置92がPID制御(Proportional-Integral-Differential Controller)を実行している場合には、観測された状態変化(観測値)がフィードバックされ、フィードバック値が制御パラメータの設定値(目標値)なるように制御がなされる。
なお、図1に示す実施形態では、リアルタイムに取得すべきセンサ値といった観測値などの情報は、制御装置92からASC95に直接送信されるように構成されている。また、OPS93や情報システム側となるコンピュータ機器は、ACS95にアクセスすることで、リアルタイムの情報などを取得するように構成されている。図1では、OPS93やACS95は、制御サーバ94を介して制御ネットワーク81に接続されているが、OPS93やACS95などの制御情報ネットワーク82に接続された各種装置は、制御ネットワーク81に直接接続されても良く、また、制御ネットワーク81を介して互いに通信を行っても良い。
そして、データセット検証装置1は、検証対象となるデータセット(以下、検証対象データセットS)を、上述した制御システム8で用いられるPLCなどの制御装置92自体またはそれを模擬したような試験的な装置などとなる対象制御装置71に対して実行することにより得られる実行ログLを取得し、取得した実行ログLに基づいて、その検証対象データセットSの妥当性を検証する。このデータセットは、制御指令Iやその応答Irなどとなる通信メッセージと共に、その通信メッセージを送信元装置から宛先装置に通信するのに必要な情報を規定した複数のレコードの集合である。よって、各レコードを実行すると、各レコードで規定された通信メッセージや通信情報を含む通信データPの送信や受信がなされる。
より詳細には、図2に示すようなデータセット検証システム7を構築し、対象制御装置71に対して検証対象データセットSを実行しても良い。具体的には、検証対象データセットSを実行することが可能なコンピュータ装置(実行装置72)を、制御ネットワーク81に相当する通信ネットワークあるいは通信線を介して、対象制御装置71に通信可能に接続する。この通信ネットワーク等は、後述するDoS攻撃等を考慮すると、対象制御装置71の実環境と同等以上の通信容量、速度を有するのが望ましい。本実施形態では、実環境の制御ネットワーク81がModbusであり、実行装置72がマスタ、対象制御装置71がスレーブとなる。なお、図2に示す実施形態では、データセット検証システム7は、実環境とは異なる試験環境であるが、この実行装置72および対象制御装置71は、制御ネットワーク81(つまり、実環境)に接続しても良い。
そして、マスタとなる実行装置72は、データセットの実行を開始することによって、データセットで規定される複数の通信(レコード)を順次または並列に実行することにより、対象制御装置71に対して通信データPの送信を行う。また、送信した通信データPに対する応答Irを受信する。図2に示す実施形態では、実行装置72上では、攻撃用の装置や不正プログラム、および、これらとは異なる正規の制御サーバ94やOPS93といった制御情報ネットワーク82などに接続された装置や正規のプログラムを模擬可能な実行ソフトが動作している。そして、実行ソフトによってデータセットが実行されることで、その実行ソフトのプロセスあるいはスレッドから上述した通信データPが送信されるようになっている。また、データセットが実行されることにより、実行ログLを格納したログファイルが生成されるようになっている。
具体的には、実行ソフトは、レジスタ定義ファイルで定義された通信フォーマットや応答Irの待機時間などの情報に従って、通信データPの生成や、その送受信を行うようになっている。また、本実施形態では、対象制御装置71は、TCPで行われた通信に対して応答Irを送信し、UDPで行われた通信に対しては受信のみするようになっていることで、実行ソフトは、TCP通信の場合のみ応答Irを受信するようになっている。なお、図2に示す実施形態では、実行装置72上に複数のプロセスが起動されているが、1以上であれば良い。また、複数の実行装置72を用いて、データセットを分担して実行するようにしても良い。
より具体的には、実行装置72は、データセットに従って、書込要求(クエリ)などとなる制御指令Iを対象制御装置71に送信すると共に、対象制御装置71から送信される応答Irを受信する。同様に、実行装置72は、読出要求(クエリ)を送信することで、その応答Irを対象制御装置71から受信する。例えば、読出要求により、対象制御装置71に設定されている目標値を要求すれば、対象制御装置71のレジスタ等のメモリに記憶されている目標値がセットされた応答Irが返送される。読出要求により、任意の観測値を要求すれば、要求された観測値がセットされた応答Irが返送される。
他方、対象制御装置71は、上述したように、受信した制御指令Iに対する応答Irを、実行装置72に対して送信する。また、対象制御装置71は、制御指令Iに従ってフィールド機器91に対する制御量(既出)を演算する。具体的には、図2に示すように、対象制御装置71は、フィールド機器91の制御パラメータの制御に伴い生じる物理的な状態変化をシミュレーション可能な物理モデルMを備えている。そして、演算した制御量を物理モデルMに入力し、物理モデルMにより、制御対象のフィールド機器91を制御量で制御(制御指令Iの実行)したことによる物理的な状態変化を計算しても良い。よって、制御指令Iの実行に伴って生じる物理的な状態変化の予測値を、物理モデルMを用いて例えば所定周期毎に計算すれば、その経時的な変化の予測値が得られる。図2に示す実施形態では、PID制御部71cは、制御指令I(目標値)および物理モデルMからの出力(計算結果)が入力されることで、制御量を演算するようになっている。
なお、他の幾つかの実施形態では、対象制御装置71は物理モデルMを有していなくても良い。この場合には、対象制御装置71は、実環境、あるいは試験環境として用意された物理的なフィールド機器91に接続されることで、物理定な状態変化を実際の計測を通して得る。そして、PID制御部71cには、制御指令I(目標値)及び計測値が入力される。
上述したようなデータセット検証システム7を用いて検証対象データセットSを実行し、実行ログLを取得することで、検証対象データセットSが所望の攻撃を制御システム8に対して行うことができるかの検証を行う。その結果、検証対象データセットSが所望の攻撃を制御システム8に対して行えていることを確認できた場合には、検証対象データセットSの妥当性が肯定され、そうでない場合には検証対象データセットSの妥当性は否定されることになる。
以下、上述したデータセット検証装置1について、図3を用いて詳細に説明する。
図3は、本発明の一実施形態に係るデータセット検証装置1の機能を概略的に示すブロック図である。
図3は、本発明の一実施形態に係るデータセット検証装置1の機能を概略的に示すブロック図である。
図3に示すように、データセット検証装置1は、取得部2と、判定部3と、を備える。
なお、データセット検証装置1は、例えばコンピュータで構成されている。具体的には、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリ、外部記憶装置などの記憶装置mを備えている。そして、主記憶装置にロードされたプログラム(データセット検証プログラム)の命令に従ってCPUが動作(データの演算など)することで、データセット検証装置1が備える各機能部を実現する。
以下、データセット検証装置1が備える上記の機能部について、それぞれ説明する。
なお、データセット検証装置1は、例えばコンピュータで構成されている。具体的には、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリ、外部記憶装置などの記憶装置mを備えている。そして、主記憶装置にロードされたプログラム(データセット検証プログラム)の命令に従ってCPUが動作(データの演算など)することで、データセット検証装置1が備える各機能部を実現する。
以下、データセット検証装置1が備える上記の機能部について、それぞれ説明する。
取得部2は、セキュリティ機能が未稼働の環境下において対象制御装置71に対して検証対象データセットSを実行することにより得られる実行ログLを取得するよう構成された機能部である。この検証対象データセットSは、サイバー攻撃ではなく、意図した通常の制御指令Iとしての所望の制御指令I(以下、正常制御指令In)、および、検証対象データセットSを実行することにより行いたい攻撃である所望のサイバー攻撃を含んでいる。よって、この検証対象データセットSを実行すると、対象制御装置71に対して、正常制御指令Inおよびサイバー攻撃が実行される。
ここで、上記のセキュリティ機能が未稼働(未動作)の環境下とは、セキュリティ機能が未実装、または実装されているが機能が有効化されていない(オフ)の状態である。少なくとも、検証対象データセットSで行おうとうするサイバー攻撃の検出あるいは防御の少なくとも一方を行うためのセキュリティ機能が未稼働となっていれば良い。よって、セキュリティ機能が未稼働な環境下において検証対象データセットSを実行すると、対象制御装置71や通信ネットワーク上にサイバー攻撃を防御する機能がなんら稼働(動作)していないため、検証対象データセットSが妥当性を有する場合にはサイバー攻撃による挙動が実行ログLに表れる。
具体的には、サイバー攻撃が、例えば、DoS(Denial of Service attack)またはDDoS(Distributed Denial of Service attack)攻撃(以下、適宜、サービス不能攻撃)の場合には、実行ログLには、大量のデータが通信されることにより、対象制御装置71が正常制御指令Inを適切に処理できない状況が示される。サイバー攻撃が、制御指令Iや観測値の改ざん、なりすましの場合には、実行ログLには、読出要求などを通して得られる応答Irに、正常制御指令Inとは異なる目標値や、正常制御指令Inに基づいて予想される値とは異なる観測値が示される。なお、実行ログLは、ネットワークからキャプチャ可能なような通信データPのログ(通信ログ)が含まれても良いし、対象制御装置71の記憶装置などから取得可能な各種のログが含まれても良い。
判定部3は、検証対象データセットSの実行により対象制御装置71に対して行われるサイバー攻撃によって生じる、上述した実行ログLにおける攻撃成功挙動Bであって、制御指令Iに基づいて予測される正常挙動から逸脱している攻撃成功挙動Bの有無を判定するよう構成された機能部である。すなわち、実行ログLから攻撃成功挙動Bとなる箇所が見つけられれば、検証対象データセットSの実行によって、対象制御装置71に影響を与えられるような実効性のあるサイバー攻撃を対象制御装置71に対して確かに加えることができたことの証拠が得られることになる。よって、このようなサイバー攻撃を受けた証拠が得られた検証済みのデータセット(以下、検証済みデータセットSv)を、例えばIDSなどのセキュリティ機能が稼働している環境下にある制御システム8内の制御情報ネットワーク82などで実行すれば、セキュリティ機能によって、実行されたサイバー攻撃が検知できているかや、適切な防御がなされているかなど、セキュリティ性能の評価を適正に行うことが可能となる。
逆に、実行ログLから攻撃成功挙動Bとなる箇所が見つけられなければ、その検証対象データセットSによっては対象制御装置71に対して実効性のあるサイバー攻撃が行えていないことの証拠が得られたことになる。よって、このようなデータセットを実行した後に、制御システム8がサイバー攻撃の影響を受けることなく正常に稼働していたとしても、それはサイバー攻撃が実際には意図したように行われなかったためであり、制御システム8に実装されたセキュリティ機能の動作によるものではない。
したがって、データセットの妥当性を上述したように予め検証しておくことで、妥当性のないデータセットをそうとは知らずに用いた評価によって、制御システム8のセキュリティ性能の誤った評価結果を得ることを防止することが可能となる。なお、図3に示す実施形態では、判定部3による判定結果や、後述する図4~図6に示すような各グラフが、各図に含まれる複数のグラフの少なくとも2つが対比可能となるような形式などで、ディスプレイなどの表示部12に出力されるようになっている。
上記の構成によれば、検証対象データセットSを対象制御装置71に実行した実行ログLの解析を通して、実行した検証対象データセットSに含まれるサイバー攻撃が適切に機能しているか否かを検証(確認)する。検証対象データセットSによりサイバー攻撃が確実に行われることを検証した上で、セキュリティ機能が稼働している制御システム8において検証済みデータセットSvを実行することにより、制御システム8のセキュリティ性能を適切に評価することができる。
また、幾つかの実施形態では、上述した判定部3によって攻撃成功挙動Bが有りと判定された検証対象データセットSの少なくともサイバー攻撃の部分を、データベース42に登録するよう構成された登録部4を、さらに備える。このデータベース42は、使用が許可された者が自由にアクセス可能な公開用のデータベース42であっても良い。このような公開用のデータベース42は、インターネット上に設置されていても良い。また、判定部3による判定を経て、検証対象データセットSの妥当性が有るとの結果を得た場合に、登録部4は、予め指定されている場所に登録するための登録処理を自動で実行しても良い。あるいは、ユーザが部分的に介在することで、上記の登録処理を実行しても良い。
上記の構成によれば、検証済みデータセットSvをデータベースに登録する。これによって、このデータベースにアクセス可能であることを条件に、検証済みデータセットSvを誰もが利用することができるようになる。よって、検証済みデータセットSvを共通評価基盤として利用することができ、この検証済みデータセットSvを用いることで、制御システム8のセキュリティ性能を公正に評価することができる。
また、幾つかの実施形態では、上述した判定部3は、上記の実行ログLから得られる、制御指令Iによる目標値(図4(a)参照)、対象制御装置71による制御指令Iの実行に伴って観測される観測値(図4(b)参照)、または通信量(図5(a)、図6(a)参照)の少なくとも1つの変化に基づいて、上述した攻撃成功挙動Bの有無の判定を行う。すなわち、判定部3は、1または複数の観点の経時的などの変化に基づいて実行ログLの解析を実行し、上記の判定を行う。これによって、実行ログLに攻撃成功挙動Bが含まれるか否かを適切に判定することができる。
これについて、図4~図6を用いて具体的に説明する。なお、既に述べたように、上記の目標値は、制御指令Iで指定される制御パラメータの設定値などであり、対象制御装置71が制御指令Iを正常に受け付けることで変化するものである。観測値は、物理モデルMで算出される、物理モデルMからの出力か、あるいは実測されるセンサの計測値に対応する。
図4は、本発明の一実施形態に係る制御指令Iの実行に伴って変化する(a)目標値の時間推移、(b)観測値の時間推移を例示するグラフである。例えば、検証対象データセットSに、対象制御装置71にセットする目標値を第1値a1にする正常制御指令Inと、この目標値を、上記の第1値a1とは異なる第2値a2になるようなサイバー攻撃による制御指令I(以下、攻撃制御指令Ia)とが含まれているとする。また、この検証対象データセットSでは、正常制御指令In(図4では時刻t1)の実行後の任意のタイミング(図4では時刻t2)で、攻撃制御指令Iaが実行されるとする。
つまり、この検証対象データセットSには、対象制御装置71にセットされる目標値の改ざん等により、目標値を第1値a1から第2値a2に変更させるサイバー攻撃が含まれている。そして、対象制御装置71が正常制御指令Inに応じた制御を実行することにより、目標値が第1値a1で一定に推移するはずが、サイバー攻撃により対象制御装置71が攻撃制御指令Iaを実行することにより途中で第2値a2に変化される。同様に、目標値が変化されることで(時刻t2)、物理モデルMによる計算結果あるいは実測値となる観測値も、図4(b)に示すように、PID制御により目標値に向けて徐々に変化していく。
そして、このような検証対象データセットSを実行した場合に得られる実行ログLにおいて、図4(a)に示すように、正常制御指令Inによって対象制御装置71にセットされた目標値が第1値a1で一定とならずに、途中で第2値a2に変化していることを検出した場合には、判定部3は、実行ログLに攻撃成功挙動Bが有ると判定しても良い。あるいは、図4(b)に示すように、正常制御指令Inでセットされた目標値に基づく制御によって得られる観測値が第1値a1に収束するように変化せず、途中で第2値a2に収束するように変化していることを検出した場合には、判定部3は、実行ログLに攻撃成功挙動Bが有ると判定しても良い。これらの少なくとも一方の検出により、検証対象データセットSの妥当性が検証できたことになる。
逆に、図4(a)において、上記の目標値が第1値a1にセットされた後に、第2値a2に変化することなく第1値a1で一定に推移する場合には、判定部3は実行ログLに攻撃成功挙動Bが無いと判定しても良い。あるいは、図4(b)において、上記の観測値が、第2値a2に向かうことなく、第1値a1に収束するように推移する場合には、判定部3は実行ログLに攻撃成功挙動Bが無いと判定しても良い。これらの少なくとも一方の検出により、検証対象データセットSの妥当性が検証できなかったことになる。
また、図5は、本発明の一実施形態に係るサービス不能攻撃時の対象制御装置71の処理を示す図であり、(a)は通信量の変化を示し、(b)~(e)は処理状況を示す。具体的には、図5の(b)は、対象制御装置71が制御指令Iを受信したか否かを示す受信フラグの値(0:不受信、1:受信)の時間推移を示す。図5の(c)は、対象制御装置71が受信したModbusメッセージから得られる処理内容を表すファンクションコード(受信FC)の時間推移を示す。図5の(d)は、対象制御装置71から制御指令Iに対する応答Irを送信したか否かを示す送信フラグの値(0:不受信、1:受信)の時間推移を示す。また、図5の(e)は、上記の応答Irから得られる対象制御装置71から制御指令Iに対する応答Ir(Modbusメッセージ)から得られるファンクションコード(送信FC)の時間推移を示す。
図5に示す実施形態では、図5(a)に示すように、対象制御装置71に対する通信量が段階的(徐々)に上がっていく中で、対象制御装置71に対して正常制御指令Inが周期的に送信されている。そして、時刻t1~t2の間は、対象制御装置71は、正常制御指令Inの受信(図5(b)参照)、および、指令された受信FCで示される処理の実行(図5(c)参照)、正常制御指令Inに対する応答Irの送信ができている(図5(e)参照)。また、図5(c)と図5(e)とを比較することで、正常制御指令Inで指令した処理内容と、これに応じて対象制御装置71が実行した処理内容とが同じであることも確認できる。
しかし、図5のn時刻t2以降は、正常制御指令Inが周期的に送信しているにもかかわらず、受信フラグが0のままである。つまり、サービス不能攻撃によって、対象制御装置71は正常制御指令Inの受信ができていない。さらに、正常制御指令Inの受信できないので、正常制御指令Inの実行もできていない。このような状況が実行ログLから検出されることで、判定部3は、実行ログLに攻撃成功挙動Bが有ると判定しても良い。逆に、通信量が例えば最大値になっても、図5(b)の受信フラグが1(オン)にならない場合、図5(d)の送信フラグが1(オン)にならない場合、図5(e)の送信FCが実行ソフト側で得られないなどによって、図5(b)と図5(e)との同じタイミングにおける受信FCと送信FCとが異なる場合を検出した場合には、判定部3は実行ログLに攻撃成功挙動Bが無いと判定しても良い。
また、図6は、本発明の他の一実施形態に係る制御指令Iの実行に伴って変化する(a)通信量、(b)目標値、(c)観測値の時間推移を例示するグラフである。例えば、検証対象データセットSに、対象制御装置71にセットする目標値を第1値a1にする正常制御指令Inと、サイバー攻撃として大量の通信データPを送信することにより、対象制御装置71の正常制御指令Inの実行(サービス)を不能にするサービス不能攻撃(DoS攻撃やDDoS攻撃)が含まれているとする。また、サービス不能攻撃は、同一の正常制御指令Inの周期的な送信を開始後(図6では時刻t1)、その途中(図6では時刻t2)から、所定時間継続するサービス不能攻撃を周期的に実行されるようになっている。つまり、この検証対象データセットSは、サービス不能攻撃により、対象制御装置71が正常制御指令Inを適切に処理できないようなサイバー攻撃が含まれている。
そして、このような検証対象データセットSを実行した場合に得られる実行ログLにおいて、図6(b)~図6(c)に示すように、対象制御装置71に指令された目標値や観測値が第1値a1で一定とならずに、途中で第2値a2に変化していることを検出した場合には、判定部3は、実行ログLに攻撃成功挙動Bが有ると判定する。なお、図6(b)~図6(c)に示す実施形態では、サービス不能攻撃により送信した制御指令Iに対する応答Irが得られず、実行ログLにこの応答Irがない時間帯は、目標値や観測値が0になるようになっている。
この際、判定部3は、実行ログLに基づいてDoSまたはDDoS攻撃の攻撃時期(攻撃時間帯)を検出すると共に、攻撃時期における攻撃成功挙動Bの有無を判定しても良い。具体的には、実行ログLから、図6(a)に示すような通信量の時間推移を分析することで、異常なほど通信量が増大している時間帯を検出すると共に、その時間帯における目標値や観測値が、正常制御指令Inとは異なる値となっているか否かを確認する。そして、攻撃時期において、目標値や観測値が正常制御指令Inとは異なる値となっている場合には、判定部3は、実行ログLに攻撃成功挙動Bが有ると判定する。逆に、目標値や観測値が正常制御指令Inとは異なる値となっている時間帯があったとしても、攻撃時期と一致しない場合には、判定部3は実行ログLに攻撃成功挙動Bが無いと判定する。
これによって、自然発生的なエラーなど、サイバー攻撃ではない何らかの原因により、目標値や観測値が正常制御指令Inとは異なる値となった場合について、判定部3が、実行ログLに攻撃成功挙動Bが有ると判定するのを防止することができる。すなわち、上述したように、判定部3により多観点での判定を行うことにより、サイバー攻撃以外の理由で攻撃成功挙動Bが生じた場合を排除し、判定精度を高めることができる。
次に、上述した取得部2に関する幾つかの実施形態について、説明する。
幾つかの実施形態では、図2に示すように、取得部2は、所望の制御指令Iを正常送信ファイルFnから取得すると共に、所望のサイバー攻撃を攻撃送信ファイルFaから取得することにより、検証対象データセットSを取得しても良い。つまり、検証対象データセットSを構成する正常制御指令Inとサイバー攻撃(攻撃制御指令Ia)とは、別々のファイルで管理される。これによって、データセット検証装置1は、攻撃送信ファイルFaを変更することで、異なるサイバー攻撃を含む検証対象データセットSを容易に取得することができる。
幾つかの実施形態では、図2に示すように、取得部2は、所望の制御指令Iを正常送信ファイルFnから取得すると共に、所望のサイバー攻撃を攻撃送信ファイルFaから取得することにより、検証対象データセットSを取得しても良い。つまり、検証対象データセットSを構成する正常制御指令Inとサイバー攻撃(攻撃制御指令Ia)とは、別々のファイルで管理される。これによって、データセット検証装置1は、攻撃送信ファイルFaを変更することで、異なるサイバー攻撃を含む検証対象データセットSを容易に取得することができる。
次に、データセット検証装置1が備えるその他の構成について、図7~図8を用いて説明する。図7は、本発明の一実施形態に係る実行部5が実行するフローを示す図である。図8は、図7に対応するシーケンス図である。
幾つかの実施形態では、図3に示すように、データセット検証装置1は、検証対象データセットSを実行するよう構成された実行部5を、さらに備えても良い。換言すれば、実行部5は、検証対象データセットSに従って対象制御装置71との通信を行うよう構成される。この実行部5は、上述した実行ソフトに相当しており、データセット検証装置1は実行ソフトに相当する機能部を備える。
具体的には、上記の実行部5は、図7に示すように、対象制御装置71との通信セッションの確立後(ステップS71)に、検証対象データセットSの実行を行う(ステップS72~S75)。図7に示す実施形態では、実行部5は、検証対象データセットSに従って、ステップS72において、対象制御装置71に書込要求(制御指令I)を送信した後、ステップS73においてこの書込要求に対する応答(制御指令Iに対する応答)の受信待機を通して、書込応答を得る。また、ステップS74において、対象制御装置71に読込要求を送信した後、ステップS75においてこの読込要求に対する応答の受信待機を通して、読込応答を得る。こうしたステップS72~S75で送受信された通信データP(送信データおよび受信データの両方)はログファイルに書き込まれるようになっており、ステップS76において実行ログLを構成する少なくとも一部を得る。なお、図7に示す実施形態では、書込要求の後に読込要求を行っているが、複数の書込要求および書込応答の後に読込要求を行い、目標値や観測値を確認しても良い。
また、図7に示す実施形態では、検証対象データセットSの実行回数の上限が定められており、ステップS77において、検証対象データセットSの実行回数の上限回数に達していない場合、または手動による実行停止がなされていない場合、上述したステップS72~S76を再度実行する。逆に、ステップS77において、検証対象データセットSの実行回数が上限回数に達した場合、または手動による実行停止がなされていた場合には、ステップS71で確立した通信セッションを切断するなどした後、フローを終了する。
上述した機能を有する実行部5は、検証対象データセットSに従って、対象制御装置71の複数のポート(プログラム番号)に対して通信を行うことが可能に構成されている。図2に示す実施形態では、Modbus/TCPセッションと、UDPセッションの2つのセッションを確立している。そして、例えば、図8に示すように、データ不能攻撃など通信データPの送信をUDPセッションで行い、Modbusによる書込要求および書込応答と、読出要求および読出応答とをModbus/TCPセッションで行っても良い。これによって、実行部5によって、多用なサイバー攻撃を模擬したデータセットの実行が可能となる。なお、図8のUDP通信は、切断要求の前まで繰返し行っているものとする。
上記の構成によれば、データセット検証装置1(実行部5)は、対象制御装置71と複数のセッションを確立し、複数のセッションを用いて検証対象データセットSを実行する。これによって、複数の通信プロトコルを用いてセキュリティ性能を評価するデータセットを検証することができる。
また、幾つかの実施形態では、図3に示すように、データセット検証装置1は、検証対象データセットSの元となる元データセットSbを読み込み、元データセットSbで規定される通信データPの所定のフィールドを書き換えることにより、検証対象データセットSを生成する生成部6を、さらに備えていても良い。生成部6は、情報システム向けに公開されているデータセットなど、情報システムを構成する通信ネットワークでキャプチャするなどして取得された通信ログを読み込んでも良いし、いずれかの制御システム8でキャプチャなどされることにより取得された通信ログを読み込んでも良い。
また、例えば、TCP通信またはUDP通信でModbusメッセージなどの通信メッセージを送信する場合には、書き換えられるフィールドは、TCPやUDPの下位レイヤの情報となるIPなどの送信元アドレスおよび宛先アドレス(ネットワークアドレス)、TCPやUDPレイヤのポート番号、上述した目標値や観測値などとなる。例えば、サイバー攻撃がなりすまし攻撃である場合には、なりすまし機器を模擬する実行ソフト(実行部5)が動作する装置と対象制御装置71とのセッションを確立するために、物理アドレス(MACアドレスなど)を求めるためのARP(Address Resolution Protocol)プロトコルを実行するレコード(通信データP)における、ARPテーブルの正規の送信元アドレス(正常制御指令Inを送信する実行部5が用いる送信元アドレス)に対応する物理アドレスを、なりすまし機器として動作する実行ソフトが用いる物理アドレスに書き換える。具体的には、ARP応答をなりすまし機器の物理アドレスに書き換える。
上記の構成によれば、元データセットSbを流用して、対象制御装置71に対して実行可能な検証対象データセットSを生成する。これによって、対象制御装置71が存在する環境下ではそのままでは実行できないような元データセットSbであっても、元データセットSbから、対象制御装置71に対して実行可能な検証対象データセットSを生成することができる。
以下、上述したデータセット検証装置1が実行する処理に対応するデータセット検証方法について、図9を用いて説明する。図9は、本発明の一実施形態に係るデータセット検証方法を示す図である。
データセット検証方法は、例えば産業用制御システムといった制御システム8などのセキュリティ性能評価用のデータセットを検証する方法である。図9に示すように、データセット検証方法は、セキュリティ機能が未稼働の環境下において対象制御装置71に対して検証対象データセットSを実行することにより得られる上述した実行ログLを取得する取得ステップと、実行ログLにおける攻撃成功挙動Bの有無を判定する判定ステップと、を備える。これらの取得ステップ、判定ステップは、それぞれ、既に説明した取得部2、判定部3が実行する処理内容と同様であるため、詳細は省略する。
図9に示す実施形態では、ステップS1において取得ステップを実行する。また、ステップS2において、ステップS1で取得された実行ログLに対して、判定ステップを実行するようになっている。
幾つかの実施形態では、図9に示すように、データセット検証方法は、上述した判定ステップによって攻撃成功挙動Bが有りと判定された検証対象データセットSの少なくともサイバー攻撃の部分を、データベース42に登録する登録ステップを、さらに備えていても良い。登録ステップは、既に説明した登録部4が実行する処理内容と同様であるため、詳細は省略する。図9に示す実施形態では、上記のステップS2の次のステップS3において、ステップS2で行われた判定の結果を確認する。そして、ステップS3において、実行ログLにおける攻撃成功挙動Bを見つけるなどして、攻撃成功挙動Bが有ると判定した場合には、ステップS4において登録ステップを実行するようになっている。逆に、ステップS3において、実行ログLに攻撃成功挙動Bが無いと判定した場合には、ステップS4における登録ステップを実行することなく、フローを終了するようになっている。
また、幾つかの実施形態では、図9に示すように、データセット検証方法は、検証対象データセットSを実行する実行ステップを、さらに備えても良い。実行ステップは、既に説明した実行部5が実行する処理内容と同様であるため、詳細は省略する。図9に示す実施形態では、上記のステップS1の前のステップS02において、登録ステップを実行するようになっている。
また、幾つかの実施形態では、図9に示すように、データセット検証方法は、上述した元データセットSbを取得し(読み込み)、元データセットSbで規定される通信データPの所定のフィールドを書き換えることにより、検証対象データセットSを生成する生成ステップを、さらに備えても良い。生成ステップは、既に説明した生成部6が実行する処理内容と同様であるため、詳細は省略する。図9に示す実施形態では、上記のステップS02の前のステップS01において、生成ステップを実行するようになっている。
本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。
1 データセット検証装置
12 表示装置
2 取得部
3 判定部
4 登録部
42 データベース
5 実行部
6 生成部
7 データセット検証システム
8 制御システム
71 対象制御装置
71c PID制御部
72 コンピュータ装置(実行ソフト)
81 制御ネットワーク
82 制御情報ネットワーク
83 情報系ネットワーク
91 フィールド機器
92 制御装置
93 OPS(HMI)
94 制御サーバ
95 ACS
96 ファイアウォール装置96
S 検証対象データセット
Sb 元データセット
Sv 検証済みデータセット
P 通信データ
I 制御指令
Ir 応答
Ia 攻撃制御指令
In 正常制御指令
B 攻撃成功挙動
M 物理モデル
L 実行ログ
Fa 攻撃送信ファイル
Fn 正常送信ファイル
12 表示装置
2 取得部
3 判定部
4 登録部
42 データベース
5 実行部
6 生成部
7 データセット検証システム
8 制御システム
71 対象制御装置
71c PID制御部
72 コンピュータ装置(実行ソフト)
81 制御ネットワーク
82 制御情報ネットワーク
83 情報系ネットワーク
91 フィールド機器
92 制御装置
93 OPS(HMI)
94 制御サーバ
95 ACS
96 ファイアウォール装置96
S 検証対象データセット
Sb 元データセット
Sv 検証済みデータセット
P 通信データ
I 制御指令
Ir 応答
Ia 攻撃制御指令
In 正常制御指令
B 攻撃成功挙動
M 物理モデル
L 実行ログ
Fa 攻撃送信ファイル
Fn 正常送信ファイル
Claims (12)
- プラントの監視および制御のためのシステムである産業用制御システムにおけるセキュリティ性能評価用のデータセットを検証するデータセット検証装置であって、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を備え、
前記産業用制御システムは、前記プラントに設置される複数のフィールド機器を制御する制御装置を含み、
前記対象制御装置は、前記制御装置自体、又は、前記制御装置を模擬した模擬制御装置であり、
前記対象制御装置は、前記フィールド機器の制御パラメータの制御に伴い生じる物理的な状態変化をシミュレーション可能な物理モデルを備える
ことを特徴とするデータセット検証装置。 - 前記判定部によって前記攻撃成功挙動が有りと判定された前記検証対象データセットの少なくとも前記サイバー攻撃の部分を、データベースに登録するよう構成された登録部を、さらに備えることを特徴とする請求項1に記載のデータセット検証装置。
- 前記判定部は、前記実行ログから得られる、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、または通信量の少なくとも1つの変化に基づいて、前記攻撃成功挙動の有無の判定を行うことを特徴とする請求項1または2に記載のデータセット検証装置。
- 前記所望のサイバー攻撃は、DoSまたはDDoS攻撃を含み、
前記判定部は、前記実行ログに基づいて前記DoSまたはDDoS攻撃の攻撃時期を検出すると共に、前記攻撃時期における前記攻撃成功挙動の有無を判定することを特徴とする請求項3に記載のデータセット検証装置。 - 前記取得部は、前記所望の制御指令を正常送信ファイルから取得すると共に、前記所望のサイバー攻撃を攻撃送信ファイルから取得することにより、前記検証対象データセットを取得することを特徴とする請求項1~4のいずれか1項に記載のデータセット検証装置。
- 前記検証対象データセットを実行するよう構成された実行部を、さらに備え、
前記実行部は、前記検証対象データセットに従って、前記対象制御装置の複数のポートに対して通信を行うことを特徴とする請求項1~5のいずれか1項に記載のデータセット検証装置。 - 前記検証対象データセットの元となる元データセットを読み込み、前記元データセットで規定される通信データの所定のフィールドを書き換えることにより、前記検証対象データセットを生成する生成部を、さらに備え、
前記実行部は、前記生成部によって生成された前記検証対象データセットを実行することを特徴とする請求項6に記載のデータセット検証装置。 - 前記所定のフィールドは、前記制御指令による目標値、前記対象制御装置による前記制御指令の実行に伴って観測される観測値、ポート番号、ネットワークアドレス、物理アドレスの少なくとも一つを含むことを特徴とする請求項7に記載のデータセット検証装置。
- 前記判定部の判定結果を表示する表示部を、さらに備えることを特徴とする請求項1~8のいずれか1項に記載のデータセット検証装置。
- 請求項6~8のいずれか1項に記載のデータセット検証装置と、
前記データセット検証装置に通信可能に接続された対象制御装置と、を備えることを特徴とするデータセット検証システム。 - プラントの監視および制御のためのシステムである産業用制御システムにおけるセキュリティ性能評価用のデータセットを検証するデータセット検証プログラムであって、
コンピュータに、
セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するよう構成された取得部と、
前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するよう構成された判定部と、を実現させるためのプログラムであって、
前記産業用制御システムは、前記プラントに設置される複数のフィールド機器を制御する制御装置を含み、
前記対象制御装置は、前記制御装置自体、又は、前記制御装置を模擬した模擬制御装置であり、
前記対象制御装置は、前記フィールド機器の制御パラメータの制御に伴い生じる物理的な状態変化をシミュレーション可能な物理モデルを備える
プログラム。 - プラントの監視および制御のためのシステムである産業用制御システムにおけるセキュリティ性能評価用のデータセットをデータセット検証装置によって検証するデータセット検証方法であって、
前記データセット検証装置が、セキュリティ機能が未稼働の環境下において対象制御装置に対して、所望の制御指令および所望のサイバー攻撃用の前記データセットである検証対象データセットを実行することにより得られる実行ログを取得するステップと、
前記データセット検証装置が、前記サイバー攻撃によって生じる前記実行ログから攻撃成功挙動を特定し、前記制御指令に基づいて予測される正常挙動から逸脱している前記攻撃成功挙動の有無を判定するステップと、を備え、
前記産業用制御システムは、前記プラントに設置される複数のフィールド機器を制御する制御装置を含み、
前記対象制御装置は、前記制御装置自体、又は、前記制御装置を模擬した模擬制御装置であり、
前記対象制御装置は、前記フィールド機器の制御パラメータの制御に伴い生じる物理的な状態変化をシミュレーション可能な物理モデルを備える
ことを特徴とするデータセット検証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019015382A JP7206122B2 (ja) | 2019-01-31 | 2019-01-31 | データセット検証装置およびそのプログラム、方法並びにデータセット検証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019015382A JP7206122B2 (ja) | 2019-01-31 | 2019-01-31 | データセット検証装置およびそのプログラム、方法並びにデータセット検証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020123203A JP2020123203A (ja) | 2020-08-13 |
| JP7206122B2 true JP7206122B2 (ja) | 2023-01-17 |
Family
ID=71992762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019015382A Active JP7206122B2 (ja) | 2019-01-31 | 2019-01-31 | データセット検証装置およびそのプログラム、方法並びにデータセット検証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7206122B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7340554B2 (ja) * | 2021-01-27 | 2023-09-07 | Kddi株式会社 | 通信データ作成装置、通信データ作成方法及びコンピュータプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006113993A (ja) | 2004-10-15 | 2006-04-27 | Odaiba Systems:Kk | インターネットシステムのためのテストシステム |
| JP2012174082A (ja) | 2011-02-23 | 2012-09-10 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| JP2015114833A (ja) | 2013-12-11 | 2015-06-22 | 三菱電機株式会社 | 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム |
| JP2017112598A (ja) | 2015-12-14 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 評価装置、評価システム及び評価方法 |
| JP2018014046A (ja) | 2016-07-22 | 2018-01-25 | 株式会社東芝 | 検証システムおよび検証方法 |
-
2019
- 2019-01-31 JP JP2019015382A patent/JP7206122B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006113993A (ja) | 2004-10-15 | 2006-04-27 | Odaiba Systems:Kk | インターネットシステムのためのテストシステム |
| JP2012174082A (ja) | 2011-02-23 | 2012-09-10 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| JP2015114833A (ja) | 2013-12-11 | 2015-06-22 | 三菱電機株式会社 | 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム |
| JP2017112598A (ja) | 2015-12-14 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 評価装置、評価システム及び評価方法 |
| US20180204011A1 (en) | 2015-12-14 | 2018-07-19 | Panasonic Intellectual Property Corporation Of America | Evaluation device, evaluation system, and evaluation method |
| JP2018014046A (ja) | 2016-07-22 | 2018-01-25 | 株式会社東芝 | 検証システムおよび検証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020123203A (ja) | 2020-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gascon et al. | Pulsar: Stateful black-box fuzzing of proprietary network protocols | |
| CN112054996B (zh) | 一种蜜罐系统的攻击数据获取方法、装置 | |
| Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
| JP4755658B2 (ja) | 解析システム、解析方法および解析プログラム | |
| CA2768193C (en) | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy | |
| JP7038849B2 (ja) | メッセージを処理するネットワークプローブ及び方法 | |
| Bernieri et al. | Monitoring system reaction in cyber-physical testbed under cyber-attacks | |
| WO2017105383A1 (en) | System and method for passive assessment of industrial perimeter security | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| US20150229660A1 (en) | Method for Monitoring Security in an Automation Network, and Automation Network | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| JP5389855B2 (ja) | 解析システム、解析方法および解析プログラム | |
| CN114760103A (zh) | 一种工业控制系统异常检测系统、方法、设备及存储介质 | |
| CN111541647A (zh) | 安全检测方法、装置、存储介质及计算机设备 | |
| RU2746105C2 (ru) | Система и способ конфигурирования шлюза для защиты автоматизированных систем | |
| JP7206122B2 (ja) | データセット検証装置およびそのプログラム、方法並びにデータセット検証システム | |
| CN108028846A (zh) | 对测试数据组完整性的监视 | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| WO2022026273A1 (en) | Proof-of-work techniques for validating online activities | |
| Murillo et al. | High-fidelity cyber and physical simulation of water distribution systems. II: Enabling cyber-physical attack localization | |
| RU2724796C1 (ru) | Система и способ защиты автоматизированных систем при помощи шлюза | |
| CN110493254A (zh) | 工业云安全评估方法及装置 | |
| CN114500347A (zh) | 一种对安全互联协议进行形式化验证的方法和系统 | |
| Al Ghazo | A framework for cybersecurity of supervisory control and data acquisition (SCADA) systems and industrial control systems (ICS) | |
| CN116601571A (zh) | 针对边缘设备与基于云的服务平台之间的连接的蜜罐 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220816 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220914 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221227 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230104 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7206122 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |