JP7424089B2 - 制御システム、中継装置、およびアクセス管理プログラム - Google Patents

制御システム、中継装置、およびアクセス管理プログラム Download PDF

Info

Publication number
JP7424089B2
JP7424089B2 JP2020020425A JP2020020425A JP7424089B2 JP 7424089 B2 JP7424089 B2 JP 7424089B2 JP 2020020425 A JP2020020425 A JP 2020020425A JP 2020020425 A JP2020020425 A JP 2020020425A JP 7424089 B2 JP7424089 B2 JP 7424089B2
Authority
JP
Japan
Prior art keywords
access
unit
external device
authentication
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020020425A
Other languages
English (en)
Other versions
JP2021125168A (ja
Inventor
弘太郎 岡村
直樹 廣部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2020020425A priority Critical patent/JP7424089B2/ja
Priority to PCT/JP2020/047253 priority patent/WO2021161653A1/ja
Priority to US17/795,401 priority patent/US20230093865A1/en
Priority to CN202080093508.4A priority patent/CN114981736A/zh
Priority to EP20919128.7A priority patent/EP4105743A4/en
Publication of JP2021125168A publication Critical patent/JP2021125168A/ja
Application granted granted Critical
Publication of JP7424089B2 publication Critical patent/JP7424089B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/11Plc I-O input output
    • G05B2219/1108Relay module
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14006Safety, monitoring in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Programmable Controllers (AREA)

Description

本発明は、制御システム、中継装置、およびアクセス管理プログラムに関し、より特定的には、制御対象を制御する制御システム、制御対象を制御する制御装置に対する外部装置からのアクセスを中継する中継装置、および制御対象を制御する制御装置に対する外部装置からのアクセスを管理するアクセス管理プログラムに関する。
FA(Factory Automation)を用いた生産現場で使用される機械や設備は、典型的には、プログラマブルコントローラ(Programmable Logic Controller;以下「PLC」とも称す。)などの制御装置によって制御される。このような制御装置は、外部装置との間で通信可能に構成されているものがある。
たとえば、特開2001-175615号公報(特許文献1)には、工作機械に対応した装置エージェントと、当該装置エージェントを管理するエージェント管理サーバとを有する生産システムが開示されている。
特開2001-175615号公報
特許文献1に開示された生産システムのように、FA分野においては、ネットワークを介して、制御装置に対して外部装置からアクセス可能に構成されたシステムが存在するが、制御装置と外部装置との間の通信については必ずしもセキュアな状態が保証されているわけではない。この点、IT(Information Technology)分野においては、VPN(Virtual Private Network)などのセキュリティを向上させるための技術が存在する。しかし、FA分野においては、外部装置が所謂レガシーアプリケーションとなっていることが多く、このような従前から使用しているシステムに対して新たなセキュリティ技術を実装することは、システム全体を大幅に変更することになり兼ねず、コストが大きく掛かったり、生産現場の稼働を一時的に停止させたりする必要があるなど、現実的ではない。
本発明は、上述したような課題を解決することを一つの目的とし、レガシーアプリケーションを変更することなくセキュリティを向上させる技術を提供することを目的とする。
本開示の一例に従えば、制御対象を制御する制御システムが提供される。制御システムは、制御対象を制御するとともに外部装置との間で通信する制御部と、制御部に対する外部装置からのアクセスを中継する中継部とを備える。中継部は、要求元から認証要求を受け付ける受付部と、受付部によって認証要求が受け付けられたときに要求元の正当性を認証する認証部と、認証部によって要求元の正当性が認証されたことを条件に、制御部に対する外部装置からのアクセスの制限レベルを制御するアクセス管理部と、複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して外部装置と制御部との間で通信を確立する通信部とを含む。アクセス管理部は、管理モードの種類に応じた少なくとも1つのポートについて、制御部に対する外部装置からのアクセスの制限レベルを制御する
この開示によれば、制御部に対する外部装置からのアクセスを中継する中継部によって要求元の正当性が認証されたことを条件に、制御部に対する外部装置からのアクセスの制限レベルが中継部によって制御されるため、レガシーアプリケーションである外部装置を変更することなくセキュリティを向上させることができる。さらに、管理モードの種類に応じて、制御部に対する外部装置からのアクセスの制限レベルが中継部によって制御されるため、運用面を考慮しつつセキュリティを向上させることができる。
上述の開示において、認証部は、所定の認証用データに基づき要求元の正当性を認証する。
この開示によれば、中継部による要求元の正当性の認証について、所定の認証用データを用いてよりセキュリティを向上させることができる。
上述の開示において、認証部は、要求元からの通信を秘匿化した状態で当該要求元の正当性を認証する。
この開示によれば、中継部による要求元の正当性の認証について、通信の秘匿化によってよりセキュリティを向上させることができる。
上述の開示において、中継部は、制御部に対する外部装置からのアクセスに関するログを残す。
この開示によれば、制御部に対する外部装置からのアクセスに関するログを残すことができるため、制御部に対する外部装置からのアクセスに関して管理し易くなる。
上述の開示において、アクセス管理部は、認証部によって要求元の正当性が認証されたことを条件に、制御部に対する外部装置からのアクセスの制限レベルを制御するためのリストに基づき、制御部に対する外部装置からのアクセスの制限レベルを制御する。
この開示によれば、制御部に対する外部装置からのアクセスの制限レベルを制御するためのリストを用いて、セキュリティを向上させることができる。
上述の開示において、リストは、制御部に対する外部装置からのアクセスにおいてインシデントが発生した場合に更新される。
この開示によれば、インシデントの発生を考慮したリストを用いて、セキュリティを向上させることができる。
本開示の別の一例に従えば、制御対象を制御する制御装置に対する外部装置からのアク
セスを中継する中継装置が提供される。中継装置は、要求元から認証要求を受け付ける受
付部と、受付部によって認証要求が受け付けられたときに要求元の正当性を認証する認証
部と、認証部によって要求元の正当性が認証されたことを条件に、制御装置に対する外部
装置からのアクセスの制限レベルを制御するアクセス管理部と、複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して外部装置と制御装置との間で通信を確立する通信部とを含む。アクセス管理部は、管理モードの種類に応じた少なくとも1つのポートについて、制御装置に対する外部装置からのアクセスの制限レベルを制御する。
この開示によれば、制御装置に対する外部装置からのアクセスを中継する中継装置によ
って要求元の正当性が認証されたことを条件に、制御装置に対する外部装置からのアクセ
スの制限レベルが中継装置によって制御されるため、レガシーアプリケーションである外
部装置を変更することなくセキュリティを向上させることができる。さらに、管理モードの種類に応じて、制御装置に対する外部装置からのアクセスの制限レベルが中継装置によって制御されるため、運用面を考慮しつつセキュリティを向上させることができる。
本開示の別の一例に従えば、制御対象を制御する制御装置に対する外部装置からのアクセスを管理するアクセス管理プログラムが提供される。アクセス管理プログラムは、コンピュータに、要求元から認証要求を受け付ける受付ステップと、受付ステップによって認証要求が受け付けられたときに要求元の正当性を認証する認証ステップと、認証ステップによって要求元の正当性が認証されたことを条件に、制御装置に対する外部装置からのアクセスの制限レベルを制御するアクセス管理ステップと、複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して外部装置と制御装置との間で通信を確立する通信ステップとを含む。アクセス管理ステップは、管理モードの種類に応じた少なくとも1つのポートについて、制御装置に対する外部装置からのアクセスの制限レベルを制御する。
この開示によれば、制御装置に対する外部装置からのアクセスを管理するアクセス管理
プログラムによって要求元の正当性が認証されたことを条件に、制御装置に対する外部装
置からのアクセスの制限レベルがアクセス管理プログラムによって制御されるため、レガ
シーアプリケーションである外部装置を変更することなくセキュリティを向上させること
ができる。さらに、管理モードの種類に応じて、制御装置に対する外部装置からのアクセスの制限レベルが中継装置によって制御されるため、運用面を考慮しつつセキュリティを向上させることができる。
本実施の形態に係る制御システムの概要を説明するための模式図である。 本実施の形態に係る制御システムのハードウェア構成例を示す模式図である。 本実施の形態に係る制御システムにおける構成のバリエーションを示す表である。 本実施の形態に係る制御装置のハードウェア構成例を示す模式図である。 本実施の形態に係る中継装置のハードウェア構成例を示す模式図である。 本実施の形態に係るアクセス管理リストに含まれるポート管理リストを示す表である。 本実施の形態に係るアクセス管理リストに含まれるIPアドレス管理リストを示す表である。 本実施の形態に係るサポート装置のハードウェア構成例を示す模式図である。 本実施の形態に係る制御システムにおけるアクセス管理処理の一例を示す模式図である。 本実施の形態に係る制御システムにおけるアクセス管理処理の一例を示すシーケンス図である。 本実施の形態に係る制御システムにおけるアクセス管理処理についてインシデントが発生した場合の一例を示す模式図である。 別の実施の形態に係る制御システムにおけるアクセス管理処理の一例を示す模式図である。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
<A.適用例>
本発明が適用される場面の一例について説明する。
図1は、本実施の形態に係る制御システム1aの概要を説明するための模式図である。図1に示すように、制御システム1aは、制御部100aと、外部装置700aと、中継部200aとを備える。
制御部100aは、制御対象を制御するとともに中継部200aを介して外部装置700aとの間で通信可能に構成されている。制御部100aは、各種の設備や装置などの制御対象を制御する産業用コントローラの機能であり、典型的には、PLC(プログラマブルコントローラ)に含まれる機能である。制御部100aは、予め設計されたユーザプログラムに従って、図示しない制御対象を制御する。制御対象は、FA分野において用いられる生産工程を自動化するための種々の産業用機器を含む。たとえば、制御対象は、ロボットコントローラ、ロボットコントローラによって制御されるアームロボット、サーボドライバによって制御されるサーボモータ、ワークを撮影するための視覚センサ、および生産工程で使用されるその他の機器などを含む。
外部装置700aは、中継部200aを介して制御部100aとの間で通信可能に構成されている。外部装置700aは、制御部100aから各種データを収集して蓄積する。外部装置700aによって蓄積される各種データは、制御部100aによる制御対象の制御に関するデータを含む。たとえば、外部装置700aによって蓄積される各種データは、ワークから計測されたトレーサビリティに関する情報などを含む。
中継部200aは、制御部100aに対する外部装置700aからのアクセスを中継する。具体的には、中継部200aは、通信コントローラ210aと、ポート2201aを含むネットワークコントローラ220aとを備える。通信コントローラ210aは、制御部100aが備える通信コントローラ110aとの間でデータの遣り取りを担当する。通信コントローラ210aを介して取得された制御部100aからのデータは、ネットワークコントローラ220aのポート2201aを介して外部装置700aに送信される。
なお、制御部100aおよび中継部200aは、各々別の装置に含まれてもよいし、同じ装置に含まれてもよい。たとえば、制御部100aを有する装置の一例であるPLCは、制御部100aの機能を有する一方で中継部200aの機能を有さなくてもよいし、あるいは、制御部100aの機能を有するとともに中継部200aの機能を有していてもよい。
このような構成を有する制御システム1aにおいては、外部装置700aは、中継部200aを介して制御部100aにアクセスすることで、制御部100aから各種データを収集して蓄積する。ここで、制御システム1aが属するFA分野においては、外部装置700aが所謂レガシーアプリケーションとなっていることが多い。このため、このような従前から使用している外部装置700aと制御部100aとの間の通信についてセキュアな状態を保証するためにVPNなどの比較的新しいセキュリティ技術を実装しようとした場合、システム全体を大幅に変更することになり兼ねず、コストが大きく掛かったり、生産現場の稼働を一時的に停止させたりする必要が生じる。
そこで、本実施の形態においては、レガシーアプリケーションを変更することなくセキュリティを向上させる技術が提案されている。
具体的には、中継部200aは、受付部230aと、認証部240aと、アクセス管理部250aとを備える。受付部230aは、要求元500aからの認証要求を受け付ける。認証部240aは、受付部230aによって認証要求が受け付けられたときに要求元500aの正当性を認証する。アクセス管理部250aは、認証部240aによって要求元500aの正当性が認証されたことを条件に、制御部100aに対する外部装置700aからのアクセスの制限レベルを制御する。
要求元500aとは、制御部100aに対する外部装置700aからのアクセスを要求する一連の処理を開始する(キックする)機能部である。要求元500aは、制御部100aとは別の装置に含まれてもよいし、制御部100aと同じ装置に含まれてもよい。たとえば、制御部100aを有する装置の一例であるPLCは、制御部100aの機能を有する一方で要求元500aの機能を有さなくてもよいし、制御部100aの機能を有するとともに要求元500aの機能を有していてもよい。
「要求元の正当性」とは、たとえば、制御部100aに対する外部装置700aからのアクセスの制限レベルを制御することを要求元500aに許可してもよいという性質を含む。言い換えると、要求元500aの正当性が認証されると、制御部100aに対する外部装置700aからのアクセスの制限レベルを制御することが要求元500aに対して許可される。
認証部240aは、所定の認証用データに基づき、要求元500aの正当性を認証する。たとえば、認証部240aによる要求元500aの正当性を認証する手法には、利用者のIDおよびパスワードを利用したパスワード認証、利用者の指紋や顔画像などの身体的特徴を利用した生体認証、認証局によって発行された電子証明書を利用した証明書認証、秘密鍵/公開鍵や共通鍵などの鍵データを用いた鍵認証など、セキュリティを担保することができる認証であればいずれも適用することができる。つまり、「所定の認証用データ」には、パスワード認証におけるIDおよびパスワード、生体認証における利用者の身体的特徴、証明書認証における電子証明書、鍵認証における鍵データなどが含まれる。さらに、認証部240aは、要求元500aからの通信を秘匿化した状態で当該要求元500aの正当性を認証する。秘匿化する代表的な手法としては、VPNなどのセキュリティを向上させるための技術を適用することができる。
「アクセスの制限レベル」とは、制御部100aに対する外部装置700aからのアクセスの禁止状態または許可状態の有無を示す度合いである。たとえば、制御部100aに対する外部装置700aからのアクセスが禁止状態から許可状態に制御された場合、アクセスの制限レベルが下がり、制御部100aに対する外部装置700aからのアクセスが許可状態から禁止状態に制御された場合、アクセスの制限レベルが上がる。
また、制御部100aに対する外部装置700aからのアクセスの制限は、一のポート2201aに限らず、複数のポートの各々に対して課せられてもよい。たとえば、制御部100aに対する外部装置700aからのアクセスについて、第1のポートに対するアクセスが禁止状態から許可状態に制御され、かつ第2のポートに対するアクセスが禁止状態から許可状態に制御された場合、アクセスの制限レベルが下がり、第1のポートに対するアクセスが禁止状態から許可状態に制御され、かつ第2のポートに対するアクセスが許可状態または禁止状態で維持された場合、アクセスの制限レベルが下がり、第1のポートに対するアクセスが許可状態または禁止状態で維持され、かつ第2のポートに対するアクセスが禁止状態から許可状態に制御された場合、アクセスの制限レベルが下がる。一方、制御部100aに対する外部装置700aからのアクセスについて、第1のポートに対するアクセスが許可状態から禁止状態に制御され、かつ第2のポートに対するアクセスが許可状態から禁止状態に制御された場合、アクセスの制限レベルが上がり、第1のポートに対するアクセスが許可状態から禁止状態に制御され、かつ第2のポートに対するアクセスが許可状態または禁止状態で維持された場合、アクセスの制限レベルが上がり、第1のポートに対するアクセスが許可状態または禁止状態で維持され、かつ第2のポートに対するアクセスが許可状態から禁止状態に制御された場合、アクセスの制限レベルが上がる。
つまり、制御部100aに対する外部装置700aからのアクセスがより制限される方向に制御される場合、アクセスの制限レベルが上がり、制御部100aに対する外部装置700aからのアクセスがより制限されない方向に制御される場合、アクセスの制限レベルが下がる。
中継部200aは、上述したように構成されることによって、以下のように動作する。具体的には、中継部200aは、受付部230aによって要求元500aからの認証要求を受け付ける。このような処理を、受付ステップと称する。次に、中継部200aは、認証部240aによって要求元500aの正当性を認証する。このような処理を、認証ステップと称する。中継部200aは、要求元500aの正当性が認証されたことを条件に、アクセス管理部250aによって制御部100aに対する外部装置700aからのアクセスの制限レベルを制御する。このような処理を、アクセス管理ステップと称する。なお、中継部200aによって制御部100aに対する外部装置700aからのアクセスの制限レベルを制御する一連の処理を、以下ではアクセス管理処理とも称する。
このように、制御システム1aによれば、制御部100aに対する外部装置700aからのアクセスを中継する中継部200aによって要求元500aの正当性が認証されたことを条件に、制御部100aに対する外部装置700aからのアクセスの制限レベルが中継部200aによって制御されるため、レガシーアプリケーションである外部装置700aを変更することなくセキュリティを向上させることができる。
なお、外部装置700aは、1つに限らず、複数あってもよい。つまり、複数の外部装置700aの各々から制御部100aに対してアクセス可能であってもよく。複数の外部装置700aの各々に対して、アクセスの制限レベルが制御されてもよい。
上述した、制御部100a、中継部200a、要求元500a、受付部230a、認証部240a、およびアクセス管理部250aは、コンピュータや回路基板によって実現され得る。以下、これら各機能部を装置に搭載した場合の例について説明する。
<B.制御システムのハードウェア構成>
図2は、本実施の形態に係る制御システム1のハードウェア構成例を示す模式図である。図2に示すように、制御システム1は、制御装置100と、中継装置200と、1または複数の機能ユニット400と、電源ユニット450とを備える。
制御装置100と中継装置200との間は、任意のデータ伝送路(たとえば、PCI Expressまたはイーサネット(登録商標)など)を介して接続されている。制御装置100と1または複数の機能ユニット400との間は、内部バスを介して接続されている。
制御装置100は、制御システム1において中心的な処理を実行する。制御装置100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。図2に示す構成例において、制御装置100は、1または複数の通信ポートを有しており、そのうちの1つの通信ポートは1または複数のHMI(Human Machine Interface)600と通信可能に接続されている。
中継装置200は、制御装置100に接続され、他の装置との間の通信機能を担当する。図に示す構成例において、中継装置200は、1または複数の通信ポートを有しており、そのうちの1つの通信ポートはネットワーク11を介してサポート装置500と通信可能に接続され、他の1つの通信ポートはネットワーク12を介して1または複数の外部装置700と通信可能に接続されている。
機能ユニット400は、制御システム1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを含む。I/Oユニットとしては、たとえば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および複数の種類を混合させた複合ユニットなどが挙げられる。
電源ユニット450は、制御システム1を構成する各ユニットに対して、所定電圧の電源を供給する。
<C.制御システムにおける構成のバリエーション>
図3は、本実施の形態に係る制御システムにおける構成のバリエーションを示す表である。図1の適用例において説明した、制御部100a、中継部200a、要求元500a、受付部230a、認証部240a、およびアクセス管理部250aの各機能部は、図2に示す制御システム1における制御装置100、中継装置200、およびサポート装置500のいずれかに属することができる。
図3に示すように、パターン1に係る制御システムでは、制御装置100が、制御部100aの機能を有し、中継装置200が、中継部200a、受付部230a、認証部240a、およびアクセス管理部250aの機能を有し、サポート装置500が、要求元500aの機能を有する。
パターン2に係る制御システムでは、制御装置100が、制御部100aおよび要求元500aの機能を有し、中継装置200が、中継部200a、受付部230a、認証部240a、およびアクセス管理部250aの機能を有する。
パターン3に係る制御システムでは、パターン1に係る制御システムにおいて制御装置100と中継装置200とが一体型になっている。すなわち、パターン3に係る制御システムでは、制御装置100と中継装置200とが一体型になった装置が、制御部100a、中継部200a、受付部230a、認証部240a、およびアクセス管理部250aの機能を有し、サポート装置500が、要求元500aの機能を有する。
パターン4に係る制御システムでは、制御装置100と中継装置200とが一体型になった装置が、制御部100a、中継部200a、要求元500a、受付部230a、認証部240a、およびアクセス管理部250aの機能を有する。
なお、本実施の形態においては、図9~図11に示す例を用いてパターン1に係る制御システムの機能を説明し、図12に示す例を用いてパターン2に係る制御システムの機能を説明する。
<D.制御装置のハードウェア構成例>
図4は、本実施の形態に係る制御装置のハードウェア構成例を示す模式図である。図4に示すように、制御装置100は、主たるコンポーネントとして、CPU(Central Processing Unit)またはGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、メモリカードインターフェイス114と、ネットワークコントローラ144,146と、内部バスコントローラ122とを含む。
プロセッサ102は、二次記憶装置108に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、各種の機能を実現する。
チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御装置100全体としての機能を実現する。
主記憶装置106は、DRAM(Dynamic Random Access Memory)およびSRAM(Static Random Access Memory)などの揮発性記憶装置などで構成される。
二次記憶装置108は、たとえば、HDD(Hard Disk Drive)およびSSD(Solid State Drive)などの不揮発性記憶装置などで構成される。二次記憶装置108には、基本的な機能を提供するシステムプログラム1802に加えて、ユーザにより任意に作成されたユーザプログラム1804が格納される。ユーザプログラム1804は、システムプログラム1802が提供する実行環境上で動作する。
通信コントローラ110は、中継装置200との間のデータの遣り取りを担当する。通信コントローラ110としては、たとえば、PCI Expressまたはイーサネット(登録商標)などに対応する通信チップを採用できる。
メモリカードインターフェイス114は、メモリカード115を着脱可能に構成されており、メモリカード115に対してユーザプログラムや各種設定などのデータを書き込み、あるいは、メモリカード115からユーザプログラムや各種設定などのデータを読み出すことが可能になっている。
ネットワークコントローラ144,146の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ144,146は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
ネットワークコントローラ144は、1または複数のフィールドデバイス800との間のデータの遣り取りを担当する。フィールドデバイス800は、制御対象から制御演算に必要な各種情報を収集するセンサおよび検出器、または、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。フィールドデバイス800は、ワークに対して何らかの外的な作用を与えるロボット、ワークを搬送するコンベヤ、フィールドに配置されたセンサおよびアクチュエータとの間で信号を遣り取りするI/Oユニットなどを含む。
ネットワークコントローラ146は、HMI600との間のデータの遣り取りを担当する。HMI600は、制御システム1での制御演算によって得られる各種情報をユーザ(オペレータ)へ提示するとともに、ユーザからの操作に従って、制御システム1に対して内部コマンドなどを生成する。
内部バスコントローラ122は、1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一または準拠した通信プロトコルを用いてもよい。
図4には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(たとえば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。あるいは、制御装置100の主要部を、汎用的なアーキテクチャに従うハードウェア(たとえば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<E.中継装置のハードウェア構成例>
図5は、本実施の形態に係る中継装置200のハードウェア構成例を示す模式図である。図5に示すように、中継装置200は、主たるコンポーネントとして、CPUまたはGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置216と、通信コントローラ210と、メモリカードインターフェイス214と、ネットワークコントローラ208,220とを備える。
プロセッサ202は、二次記憶装置216に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、各種の機能を実現する。
チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、中継装置200全体としての機能を実現する。
二次記憶装置216には、基本的な機能を提供するシステムプログラムに加えて、システムプログラムが提供する実行環境上で動作する各種のプログラムが格納される。たとえば、二次記憶装置216には、図1で示した受付ステップ、認証ステップ、およびアクセス管理ステップなどからなるアクセス管理処理を実行するためのアクセス管理プログラム2802が格納されている。
また、二次記憶装置216には、アクセス管理ステップにおいて参照されるアクセス管理リスト2804、認証ステップにおいて参照される認証用データ2806、およびフィルタログ2808が格納される。アクセス管理リスト2804については、図6および図7を参照しながら説明する。認証用データ2806は、要求元の正当性を認証するためのデータであり、上述したように、パスワード認証におけるIDおよびパスワード、生体認証における利用者の身体的特徴、証明書認証における電子証明書、鍵認証における鍵データなどが含まれる。フィルタログ2808は、制御装置100に対する外部装置700からのアクセスに関するログであり、たとえば、制御装置100に対する外部装置700からのアクセスの成功や失敗の有無といったアクセス履歴などの特定の情報を含む。これにより、中継装置200は、制御装置100に対する外部装置700からのアクセスに関するログを残すことができるため、制御装置100に対する外部装置700からのアクセスに関して管理し易くなる。
通信コントローラ210は、制御装置100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御装置100通信コントローラ210と同様に、たとえば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
メモリカードインターフェイス214は、メモリカード215を着脱可能に構成されており、メモリカード215に対してユーザプログラムおよび各種設定などのデータを書き込み、あるいは、メモリカード215からユーザプログラムおよび各種設定などのデータを読み出すことが可能になっている。
ネットワークコントローラ208,220の各々は、ネットワークを介して任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ208,220の各々は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。本実施の形態においては、たとえば、ネットワークを介して、サポート装置500および外部装置700が中継装置200に接続される。
図5には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(たとえば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、中継装置200の主要部を、汎用的なアーキテクチャに従うハードウェア(たとえば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<F.アクセス管理リストに含まれるポート管理リスト>
図6は、本実施の形態に係るアクセス管理リスト2804に含まれるポート管理リストを示す表である。図6に示すように、アクセス管理リスト2804には、制御装置100の段階(状態)を管理するための複数種類の管理モードX(X=1~3)に対して、制御装置100に対する外部装置700のアクセス経路となるネットワークコントローラ220に含まれる1または複数のポートα(α=1~3)が割り当てられたリストが含まれる。
ポート1には、たとえば、OPCUA(Object Linking and Embedding for Process Control Unified Architecture)などのネットワークプロトコルが採用される。ポート2には、たとえば、イーサネットなどのネットワークプロトコルが採用される。ポート3には、たとえば、FINSといった装置メーカ特有のネットワークプロトコルが採用される。
管理モード1は制御装置100を含むシステムの開発段階を示すモードであるが、システムの開発段階においては、ポート1~3の全ての通信が用いられるため、管理モード1の場合、ポート1~3の全てにおいて通信を許可する必要がある。
管理モード2は制御装置100を含むシステムの稼働段階を示すモードであるが、システムの稼働段階においては、ポート1のみの通信を利用するため、管理モード1の場合、ポート1のみにおいて通信を確立する必要がある。
管理モード3は制御装置100を含むシステムの保守段階を示すモードであるが、システムの保守段階においては、ポート1およびポート2の通信を利用するため、管理モード3の場合、ポート1およびポート2において通信を確立する必要がある。
制御システム1においては、アクセス管理処理によって制御装置100に対する外部装置700からのアクセスの制限レベルを制御する際、現在の管理モードの種類に応じて、対応するポートにおいて制御装置100に対する外部装置700からのアクセスが許可される。たとえば、アクセス管理ステップによれば、管理モード1の場合、ポート1~3の全てにおいて制御装置100に対する外部装置700からのアクセスが許可され、管理モード2の場合、ポート1のみにおいて制御装置100に対する外部装置700からのアクセスが許可される一方、ポート2およびポート3において制御装置100に対する外部装置700からのアクセスが禁止され、管理モード3の場合、ポート1およびポート2において制御装置100に対する外部装置700からのアクセスが許可される一方、ポート3において制御装置100に対する外部装置700からのアクセスが禁止される。
このように、管理モードの種類に応じて、制御装置100に対する外部装置700からのアクセスの制限レベルが中継装置200によって制御されるため、運用面を考慮しつつセキュリティを向上させることができる。
<G.アクセス管理リストに含まれるIPアドレス管理リスト>
図7は、本実施の形態に係るアクセス管理リスト2804に含まれるIPアドレス管理リストを示す表である。図7に示すように、IPアドレス管理リストには、所謂、ブラックリストが含まれる。ブラックリストには、明示的にアクセスを禁止する特定のIPアドレスが規定されている。なお、アクセス管理リスト2804には、ブラックリストに限らず、明示的にアクセスを許可する特定のIPアドレスを規定するホワイトリストが含まれてもよい。
制御システム1においては、アクセス管理処理によって制御装置100に対する外部装置700からのアクセスの制限レベルを制御する際、ポート管理リストに基づき、現在の管理モードの種類に応じて、対応するポートにおいて制御装置100に対する外部装置700からのアクセスが許可されるが、さらに、IPアドレス管理リストで規定されたIPアドレスからのアクセスについては禁止される。
このように、制御装置100に対する外部装置700からのアクセスの制限レベルを制御するためのIPアドレス管理リストを用いて、セキュリティを向上させることができる。
<H.サポート装置のハードウェア構成例>
図8は、本実施の形態に係るサポート装置500のハードウェア構成例を示す模式図である。サポート装置500は、一例として、汎用的なアーキテクチャに従うハードウェア(たとえば、汎用パソコン)を用いて実現される。図8に示すように、サポート装置500は、CPUおよびGPUなどのプロセッサ502と、主記憶装置504と、入力部506と、出力部508と、二次記憶装置510と、光学ドライブ512と、ネットワークコントローラ520とを備える。これらのコンポーネントは、プロセッサバス518を介して接続されている。
プロセッサ502は、二次記憶装置510に格納されたプログラムを読み出して、主記憶装置504に展開して実行することで、各種の機能を実現する。
二次記憶装置510には、基本的な機能を実現するためのOS5102に加えて、中継装置200によって実行されるアクセス管理処理に関するプログラムとしてアクセス管理アプリケーション5104と、認証用データ5106とが格納される。アクセス管理アプリケーション5104は、たとえば、サポート装置500が図1に示す要求元500aとして機能した場合に、アクセス管理処理を開始する(キックする)ための処理などが規定されており、アクセス管理アプリケーション5104が実行されることで、サポート装置500から中継装置200に対して認証要求が送信される。認証用データ5106は、要求元であるサポート装置500を利用するユーザの正当性を認証するためのデータであり、上述したように、パスワード認証におけるIDおよびパスワード、生体認証における利用者の身体的特徴、証明書認証における電子証明書、鍵認証における鍵データなどが含まれる。
入力部506は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。出力部508は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ502からの処理結果などを出力する。
サポート装置500は、光学ドライブ512を有しており、コンピュータ読取可能な命令を非一過的に格納する記録媒体514(たとえば、DVD(Digital Versatile Disc)などの光学記録媒体)から、その中に格納されたプログラムが読取られて二次記憶装置510などにインストールされる。
サポート装置500で実行される各種プログラムは、コンピュータ読取可能な記録媒体514を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に従うサポート装置500が提供する機能は、OSが提供するモジュールの一部を利用する形で実現される場合もある。
ネットワークコントローラ520は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ520は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。本実施の形態においては、たとえば、ネットワークを介して、中継装置200がサポート装置500に接続される。
図8には、プロセッサ502がプログラムを実行することで、サポート装置500として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(たとえば、ASICまたはFPGAなど)を用いて実装してもよい。
<I.制御システムにおけるアクセス管理処理の一例>
図9は、本実施の形態に係る制御システム1におけるアクセス管理処理の一例を示す模式図である。なお、上述したように、図9~図11には、図3に示したパターン1に係る制御システム1において実行されるアクセス管理処理の一例が示されている。
図9に示すように、まず、要求元であるサポート装置500がアクセス管理アプリケーション5104を実行すると、サポート装置500から中継装置200に対して認証要求が行われる。このとき、サポート装置500からは、ユーザによって入力された認証用データ5106が中継装置200に送信される。
中継装置200は、ネットワークコントローラ208に含まれる通信ポート2081を介して、サポート装置500から認証要求を受け付けると、サポート装置500からの認証用データ5106と自身が保持する認証用データ2806とを照合するなどして、要求元であるサポート装置500を利用するユーザの正当性を認証する。サポート装置500を利用するユーザの正当性の認証は、VPN認証によって秘匿化されているため、セキュリティが担保されている。このような認証処理は、アクセス管理プログラム2802に従って実行される。
中継装置200は、サポート装置500を利用するユーザの正当性を認証すると、サポート装置500に対して認証許可を通知する。これにより、VPN認証によってセキュリティが担保された状態で、サポート装置500と中継装置200との間の通信が確立する。
サポート装置500は、アクセス管理アプリケーション5104に従って、制御装置100に対する外部装置700からのアクセスの有効化を中継装置200に対して要求する。
これに対して、中継装置200は、アクセス管理プログラム2802に従ったアクセス管理処理によって、ネットワークコントローラ220に含まれる通信ポート2201を介して、中継装置200に対する外部装置700からのアクセスを有効化する。このとき、中継装置200は、アクセス管理プログラム2802に従って、アクセス管理リスト2804に基づき、サポート装置500によって要求された管理モードに対応する通信ポートにおけるアクセスのみを許可する一方で、対象外の通信ポートにおけるアクセスを禁止するように、ネットワークコントローラ220を制御する。
それ以降、アクセスが許可された通信ポートについては、外部装置700からのアクセスが許可され、外部装置700は、中継装置200を介して、制御装置100からの各種データを取得することができる。
このように、制御装置100に対する外部装置700からのアクセスを中継する中継装置200によって要求元であるサポート装置500を利用するユーザの正当性が認証されたことを条件に、制御装置100に対する外部装置700からのアクセスの制限レベルが中継装置200によって制御されるため、レガシーアプリケーションである外部装置700を変更することなくセキュリティを向上させることができる。
<J.制御システムにおけるアクセス管理処理のシーケンス>
図10は、本実施の形態に係る制御システム1におけるアクセス管理の方法の一例を示すシーケンス図である。なお、図10において、サポート装置500では、プロセッサ502がアクセス管理アプリケーション5104を実行することで処理が進み、中継装置200では、プロセッサ202がアクセス管理プログラム2802を実行することで処理が進み、外部装置700では、外部装置700が備える図示しないプロセッサがデータ通信アプリケーション7010を実行することで処理が進むように、シーケンスが示されている。特に、プロセッサ202は、アクセス管理プログラム2802を実行することで、図1に示す受付部230a、認証部240a、およびアクセス管理部250aの機能を実現する。
図10に示すように、まず、要求元であるサポート装置500は、中継装置200に対して認証要求を行う(S51)。中継装置200は、サポート装置500から認証要求を受け付けると(S21)、サポート装置500を利用するユーザの正当性を認証する。中継装置200は、サポート装置500を利用するユーザの正当性を認証すると、サポート装置500に対して認証許可を通知する(S22)。これにより、VPN認証によってセキュリティが担保された状態で、サポート装置500と中継装置200との間の通信が確立する。
セキュリティが担保された状態でサポート装置500と中継装置200との通信が確立すると、サポート装置500は、ユーザなどから管理モードX(X=1~3)の選択を受け付ける(S52)。サポート装置500は、選択された管理モードXに応じたポートα(α=1~3)におけるアクセスの有効化を中継装置200に対して要求する(S53)。
これに対して、中継装置200は、アクセス管理リスト2804に基づき、選択された管理モードXに応じたポートαのアクセス有効化をネットワークコントローラ220に指令する(S24)。これに従って、中継装置200のネットワークコントローラ220は、選択された管理モードXに応じたポートαのアクセス有効化を設定する(S25)
それ以降、アクセスが許可された通信ポートについては、外部装置700からのアクセスが許可され、外部装置700は、中継装置200を介して、制御装置100からの各種データを取得することができる。たとえば、ポートαのアクセスが有効化される前に、外部装置700がポートαに対してアクセス応答した場合(S71)、ネットワークコントローラ220から応答されない(S23)が、ポートαのアクセスが有効化された後に、外部装置700がポートαに対してアクセス応答した場合(S72)、ネットワークコントローラ220から応答される(S26)。
このように、制御装置100に対する外部装置700からのアクセスを管理するアクセス管理プログラム2802によって要求元であるサポート装置500を利用するユーザの正当性が認証されたことを条件に、制御装置100に対する外部装置700からのアクセスの制限レベルがアクセス管理プログラム2802によって制御されるため、レガシーアプリケーションである外部装置700を変更することなくセキュリティを向上させることができる。
<K.制御システムにおけるアクセス管理処理についてインシデントが発生した場合>
図11は、本実施の形態に係る制御システム1におけるアクセス管理処理についてインシデントが発生した場合の一例を示す模式図である。
図11に示すように、制御装置100に対して他の外部装置900からのアクセスが許可されていた場合において、インシデントが発生した場合を想定する。なお、この時点では、他の外部装置900のIPアドレスは、図7に示すアクセス管理リスト2804内のブラックリストに含まれていないとする。インシデントが発生すると、HMI600にインシデントが発生した旨を示す画像が表示される。さらに、HMI600においては、インシデントを発生させた他の外部装置900のIPアドレスと、当該外部装置900からのアクセスを無効にするか否かを選択させるための画像が表示される。
ユーザが、外部装置900からのアクセスを無効にする旨を承認(たとえば、画面上でYESを選択)すると、サポート装置500から中継装置200に対して、制御装置100に対する他の外部装置900からのアクセスの無効化が要求される。
これに対して、中継装置200は、アクセス管理リスト2804内のブラックリストを更新して、インシデントを発生させた他の外部装置900のIPアドレスをブラックリストに規定する。それ以降、制御装置100に対して他の外部装置900からのアクセスが禁止される。
このように、制御システム1においては、制御装置100に対する外部装置700からのアクセスの制限レベルを制御するためのアクセス管理リスト2804を用いて、セキュリティを向上させることができる。さらに、アクセス管理リスト2804は、制御装置100に対する他の外部装置900からのアクセスにおいてインシデントが発生した場合に更新されるため、インシデントの発生を考慮したアクセス管理リスト2804を用いて、セキュリティを向上させることができる。
<L.別の実施の形態に係る制御システムにおけるアクセス管理処理>
図12は、別の実施の形態に係る制御システム1000におけるアクセス管理処理の一例を示す模式図である。なお、上述したように、図12には、図3に示したパターン2に係る制御システム1000において実行されるアクセス管理処理の一例が示されている。
図12に示すパターン2に係る制御システム1000は、図9に示したパターン1に係る制御システム1とは異なり、制御装置100が要求元になっている。具体的には、まず、要求元である制御装置100においては、ユーザプログラム1804からの命令に従って、通信コントローラ110が、中継装置200の通信コントローラ210に対して認証要求を行う。このとき、制御装置100からは、認証用データが中継装置200に送信される。
中継装置200は、通信コントローラ210を介して、制御装置100から認証要求を受け付けると、制御装置100からの認証用データと自身が保持する認証用データ2806とを照合するなどして、要求元である制御装置100の正当性を認証する。制御装置100の正当性の認証は、VPN認証によって秘匿化されているため、セキュリティが担保されている。このような認証処理は、アクセス管理プログラム2802に従って実行される。
中継装置200は、制御装置100の正当性を認証すると、制御装置100に対して認証許可を通知する。これにより、VPN認証によってセキュリティが担保された状態で、制御装置100と中継装置200との間の通信が確立する。
中継装置200は、アクセス管理プログラム2802に従ったアクセス管理処理によって、ネットワークコントローラ220に含まれる通信ポート2201を介して、中継装置200に対する外部装置700からのアクセスを有効化する。このとき、中継装置200は、アクセス管理プログラム2802に従って、アクセス管理リスト2804に基づき、制御装置100によって要求された管理モードに対応する通信ポートにおけるアクセスのみを許可する一方で、対象外の通信ポートにおけるアクセスを禁止するように、ネットワークコントローラ220を制御する。
それ以降、アクセスが許可された通信ポートについては、外部装置700からのアクセスが許可され、外部装置700は、中継装置200を介して、制御装置100からの各種データを取得することができる。
<M.付記>
以上のように、本実施の形態では以下のような開示を含む。
(構成1)
制御対象を制御する制御システム(1a,1)であって、
前記制御対象を制御するとともに外部装置(700a,700)との間で通信する制御部(100a,100)と、
前記制御部に対する前記外部装置からのアクセスを中継する中継部(200a,200)とを備え、
前記中継部は、
要求元から認証要求を受け付ける受付部(230a,202)と、
前記受付部によって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証部(240a,202)と、
前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理部(250a,202)とを含む、制御システム(1a,1)。
(構成2)
前記認証部は、所定の認証用データに基づき前記要求元の正当性を認証する、構成1の制御システム。
(構成3)
前記認証部は、前記要求元からの通信を秘匿化した状態で当該要求元の正当性を認証する、構成2の制御システム。
(構成4)
前記制御部は、管理モードの種類に応じて前記外部装置との間で通信し、
前記アクセス管理部は、前記管理モードの種類に応じて前記外部装置からのアクセスの制限レベルを制御する、構成1~構成3のいずれかの制御システム。
(構成5)
前記中継部は、前記制御部に対する前記外部装置からのアクセスに関するログ(2808)を残す、構成1~構成4のいずれかの制御システム。
(構成6)
前記アクセス管理部は、前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御するためのリスト(2804)に基づき、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御する、構成1~構成5のいずれかの制御システム。
(構成7)
前記リストは、前記制御部に対する前記外部装置からのアクセスにおいてインシデントが発生した場合に更新される、構成6の制御システム。
(構成8)
制御対象を制御する制御装置(100a,100)に対する外部装置(700a,700)からのアクセスを中継する中継装置(200a,200)であって、
要求元から認証要求を受け付ける受付部(230a,202)と、
前記受付部によって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証部(240a,202)と、
前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理部(250a,202)とを含む、中継装置(200a,200)。
(構成9)
制御対象を制御する制御装置(100a,100)に対する外部装置(700a,700)からのアクセスを管理するアクセス管理プログラム(2802)であって、
前記アクセス管理プログラムは、コンピュータ(202)に、
要求元から認証要求を受け付ける受付ステップ(S21)と、
前記受付ステップによって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証ステップ(S22)と、
前記認証ステップによって前記要求元の正当性が認証されたことを条件に、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理ステップ(S24)とを含む、アクセス管理プログラム(2802)。
<H.利点>
本実施の形態に係る制御システム1によれば、レガシーアプリケーションである外部装置700を変更することなくセキュリティを向上させることができる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1,1a,1000 制御システム、11,12 ネットワーク、100 制御装置、100a 制御部、102,202,502 プロセッサ、104,204 チップセット、106,206,504 主記憶装置、108,216,510 二次記憶装置、110,110a,210,210a 通信コントローラ、114,214 メモリカードインターフェイス、115,215 メモリカード、122 内部バスコントローラ、144,146,208,220,220a,520 ネットワークコントローラ、200 中継装置、200a 中継部、230a 受付部、240a 認証部、250a アクセス管理部、400 機能ユニット、450 電源ユニット、500 サポート装置、500a 要求元、506 入力部、508 出力部、512 光学ドライブ、514 記録媒体、518 プロセッサバス、700,700a 外部装置、900 他の外部装置、800 フィールドデバイス、1802 システムプログラム、1804 ユーザプログラム、2081,2201 通信ポート、2802 アクセス管理プログラム、2804 アクセス管理リスト、2806,5106 認証用データ、2808 フィルタログ、5104 アクセス管理アプリケーション、7010 データ通信アプリケーション。

Claims (8)

  1. 制御対象を制御する制御システムであって、
    前記制御対象を制御するとともに外部装置との間で通信する制御部と、
    前記制御部に対する前記外部装置からのアクセスを中継する中継部とを備え、
    前記中継部は、
    要求元から認証要求を受け付ける受付部と、
    前記受付部によって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証部と、
    前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理部と
    複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して前記外部装置と前記制御部との間で通信を確立する通信部とを含み、
    前記アクセス管理部は、前記管理モードの種類に応じた前記少なくとも1つのポートについて、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御する、制御システム。
  2. 前記認証部は、所定の認証用データに基づき前記要求元の正当性を認証する、請求項1に記載の制御システム。
  3. 前記認証部は、前記要求元からの通信を秘匿化した状態で当該要求元の正当性を認証する、請求項2に記載の制御システム。
  4. 前記中継部は、前記制御部に対する前記外部装置からのアクセスに関するログを残す、請求項1~請求項のいずれか1項に記載の制御システム。
  5. 前記アクセス管理部は、前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御するためのリストに基づき、前記制御部に対する前記外部装置からのアクセスの制限レベルを制御する、請求項1~請求項のいずれか1項に記載の制御システム。
  6. 前記リストは、前記制御部に対する前記外部装置からのアクセスにおいてインシデントが発生した場合に更新される、請求項に記載の制御システム。
  7. 制御対象を制御する制御装置に対する外部装置からのアクセスを中継する中継装置であって、
    要求元から認証要求を受け付ける受付部と、
    前記受付部によって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証部と、
    前記認証部によって前記要求元の正当性が認証されたことを条件に、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理部と
    複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して前記外部装置と前記制御装置との間で通信を確立する通信部とを含み、
    前記アクセス管理部は、前記管理モードの種類に応じた前記少なくとも1つのポートについて、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御する、中継装置。
  8. 制御対象を制御する制御装置に対する外部装置からのアクセスを管理するアクセス管理プログラムであって、
    前記アクセス管理プログラムは、コンピュータに、
    要求元から認証要求を受け付ける受付ステップと、
    前記受付ステップによって前記認証要求が受け付けられたときに前記要求元の正当性を認証する認証ステップと、
    前記認証ステップによって前記要求元の正当性が認証されたことを条件に、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御するアクセス管理ステップと
    複数のポートのうち、管理モードの種類に応じた少なくとも1つのポートを介して前記外部装置と前記制御装置との間で通信を確立する通信ステップとを含み、
    前記アクセス管理ステップは、前記管理モードの種類に応じた前記少なくとも1つのポートについて、前記制御装置に対する前記外部装置からのアクセスの制限レベルを制御する、アクセス管理プログラム。
JP2020020425A 2020-02-10 2020-02-10 制御システム、中継装置、およびアクセス管理プログラム Active JP7424089B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2020020425A JP7424089B2 (ja) 2020-02-10 2020-02-10 制御システム、中継装置、およびアクセス管理プログラム
PCT/JP2020/047253 WO2021161653A1 (ja) 2020-02-10 2020-12-17 制御システム、中継装置、およびアクセス管理プログラム
US17/795,401 US20230093865A1 (en) 2020-02-10 2020-12-17 Control system, relay device, and access management program
CN202080093508.4A CN114981736A (zh) 2020-02-10 2020-12-17 控制系统、中继装置以及访问管理程序
EP20919128.7A EP4105743A4 (en) 2020-02-10 2020-12-17 CONTROL SYSTEM, RELAY DEVICE, AND ACCESS MANAGEMENT PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020020425A JP7424089B2 (ja) 2020-02-10 2020-02-10 制御システム、中継装置、およびアクセス管理プログラム

Publications (2)

Publication Number Publication Date
JP2021125168A JP2021125168A (ja) 2021-08-30
JP7424089B2 true JP7424089B2 (ja) 2024-01-30

Family

ID=77291525

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020020425A Active JP7424089B2 (ja) 2020-02-10 2020-02-10 制御システム、中継装置、およびアクセス管理プログラム

Country Status (5)

Country Link
US (1) US20230093865A1 (ja)
EP (1) EP4105743A4 (ja)
JP (1) JP7424089B2 (ja)
CN (1) CN114981736A (ja)
WO (1) WO2021161653A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134137A (ja) 2015-01-22 2016-07-25 オムロン株式会社 プログラマブル表示器
JP6116785B1 (ja) 2016-05-31 2017-04-19 三菱電機株式会社 プログラマブル表示器、プログラマブル表示器のセキュリティ管理方法、及びプログラマブル表示器のセキュリティ管理プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4366620B2 (ja) 1999-12-15 2009-11-18 横河電機株式会社 エージェントベース生産システム
JP7006178B2 (ja) * 2017-11-24 2022-01-24 オムロン株式会社 セキュリティ監視装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134137A (ja) 2015-01-22 2016-07-25 オムロン株式会社 プログラマブル表示器
JP6116785B1 (ja) 2016-05-31 2017-04-19 三菱電機株式会社 プログラマブル表示器、プログラマブル表示器のセキュリティ管理方法、及びプログラマブル表示器のセキュリティ管理プログラム

Also Published As

Publication number Publication date
CN114981736A (zh) 2022-08-30
JP2021125168A (ja) 2021-08-30
EP4105743A4 (en) 2024-03-20
US20230093865A1 (en) 2023-03-30
EP4105743A1 (en) 2022-12-21
WO2021161653A1 (ja) 2021-08-19

Similar Documents

Publication Publication Date Title
CN110083129B (zh) 工业控制器模块、实现其安全性的方法和计算机可读介质
Quarta et al. An experimental security analysis of an industrial robot controller
JP5593416B2 (ja) コントローラを保護するためのシステムおよび方法
TWI428721B (zh) 工業控制系統、在工業控制環境中之通訊方法,以及用於實施此方法之電腦可讀取媒體
JP2021096834A (ja) 構成エンジニアリングおよびランタイムアプリケーションの人プロファイルおよび指紋認証
JP7424089B2 (ja) 制御システム、中継装置、およびアクセス管理プログラム
CN103163860A (zh) 经过计算机网络进行访问控制的加工机床
JP2021051740A (ja) モバイルデバイスによるプロセス制御データのセキュアなオフプレミスアクセス
US11783063B2 (en) Control device
RU2750629C2 (ru) Система и способ выявления аномалий в технологической системе
WO2021005831A1 (ja) 制御システム、および制御方法
US20220317649A1 (en) Control system, control device, and management method
JP7052755B2 (ja) 制御装置、管理プログラムおよび制御システム
JP7283232B2 (ja) 情報提供方法および情報提供システム
CN112817277A (zh) 自动化技术中的工业控制系统
US11809533B2 (en) Control device
RU2747461C2 (ru) Система и способ противодействия аномалиям в технологической системе
WO2024079916A1 (ja) 生産システム及び制御装置
JP7318264B2 (ja) コントローラシステム
JP7230353B2 (ja) 設備制御装置
WO2022190526A1 (ja) 制御システムおよびその制御方法
CN109792441B (zh) 跨安全层安全通信
JP2022162327A (ja) 制御装置、制御システム、管理方法およびプログラム
CN116743607A (zh) 一种基于sdn的系统临时访问授权管理方法、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240101

R150 Certificate of patent or registration of utility model

Ref document number: 7424089

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150