JP7462550B2 - 通信監視対処装置、通信監視対処方法、及び通信監視対処システム - Google Patents
通信監視対処装置、通信監視対処方法、及び通信監視対処システム Download PDFInfo
- Publication number
- JP7462550B2 JP7462550B2 JP2020215466A JP2020215466A JP7462550B2 JP 7462550 B2 JP7462550 B2 JP 7462550B2 JP 2020215466 A JP2020215466 A JP 2020215466A JP 2020215466 A JP2020215466 A JP 2020215466A JP 7462550 B2 JP7462550 B2 JP 7462550B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- handling
- communication
- processing
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 217
- 238000000034 method Methods 0.000 title claims description 126
- 238000012544 monitoring process Methods 0.000 title claims description 74
- 230000008569 process Effects 0.000 claims description 121
- 238000012545 processing Methods 0.000 claims description 75
- 238000001514 detection method Methods 0.000 claims description 32
- 230000004044 response Effects 0.000 claims description 30
- 230000010365 information processing Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 15
- 230000009471 action Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 230000000694 effects Effects 0.000 description 4
- 238000012806 monitoring device Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、通信監視対処装置、通信監視対処方法、及び通信監視対処システムに関する。
Society5.0の社会では、産業分野においてもIoT機器と連携した構成を有するIoTシステムの導入が促進される。これに伴い、産業分野へのサイバー攻撃は社会に対する影響の大きさ等から拡大していくと想定される。システム内のある装置に対するセキュリティ侵害が発生した場合、システムから当該装置をネットワークから隔離することなどが基本的な対応となる。
例えば、特許文献1(特開2017-111532号公報)には、統合生産システムが、ネットワークに接続された安全計装システムと、統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知装置と、安全計装システムの一部をなし、検知装置の検知結果に基づいて、自装置の少なくとも一部の機能を制限する対策を行う安全コントローラとを備えることが記載されている。
しかし、特許文献1のようなシステムでは、サイバー攻撃を検知すると装置に関わる業務が停止してこれによる事業(業務)の継続に影響が生じるが、これに対処する構成を充分に備えていないために、事業(業務)の継続に支障が生じやすいという問題がある。
本発明は、上記事情に鑑みなされたものであり、その目的は、不正通信があったシステムに対して可用性及び安全性を確保した対応を行うことが可能な通信監視対処装置、通信監視対処方法、及び通信監視対処システムを提供することにある。
上記課題を解決するための本発明の一つは、プロセッサ及びメモリを有し、複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知部と、前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定した装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定部と、前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信部と、を備え、前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する通信監視対処装置、とする。
また、上記課題を解決するための本発明の他の一つは、情報処理装置が、複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知処理と、前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定した装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定処理と、前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信処理と、を実行し、前記対処処理決定処理においては、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する通信監視対処方法とする。
また、上記課題を解決するための本発明の他の一つは、プロセッサ及びメモリを有し、複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知部と、前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定した装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定部と、前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信部とを備え、前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する通信監視対処装置、及び、プロセッサ及びメモリを有し、前記対処情報を受信する対処情報受信部と、前記受信した対処情報に基づき、前記対処情報が示す処理を前記他の装置に実行させるための情報を前記他の装置に送信する制御コマンド送信部とを備える通信監視対処装置、を含んで構成される通信監視対処システム、とする。
本発明によれば、不正通信があったシステムに対して可用性及び安全性を確保した対応を行うことができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
本発明は、NEDOが推進する総合科学技術・イノベーション会議の戦略的イノベーション創造プログラム(SIP)第2期「IoT社会に対応したサイバー・フィジカル・セ
キュリティ」に関する。
キュリティ」に関する。
以下、本発明に係る実施形態について図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素およびその組み合わせの全てが発明の解決手段に必須であるとは限らない。
<通信監視対処システム>
図1は、本実施形態に係る通信監視対処システムの構成例を示す図である。通信監視対処システム5は、監視対象システム1、通信監視対処装置20、及び対処実行装置30を含んで構成される。
図1は、本実施形態に係る通信監視対処システムの構成例を示す図である。通信監視対処システム5は、監視対象システム1、通信監視対処装置20、及び対処実行装置30を含んで構成される。
通信監視対処システム5は所定の業務を行うものであると共に、監視対象システム1のセキュリティ侵害(不正通信)を検知した場合に、セキュリティ侵害を受けた監視対象システム1内の装置を他の装置に切り替えることにより、業務を継続し監視対象システム1の可用性と安全性を保つことができる。
監視対象システム1は、IoT(Internet of Things)システムであり、管理装置10、1又は複数のコントローラ11(11A~11C)、及び1又は複数のアクチュエータ12(12A、12B)を備えて構成されている(以下、これらの装置をあわせて単に「装置」という)。
管理装置10と各コントローラ11との間は、第1ネットワーク110により通信可能に接続され、各コントローラ11と各アクチュエータ12との間は、第2ネットワーク120により通信可能に接続されている。第1ネットワーク110は、監視対象システム1が産業向けIoTシステムの場合、例えば制御ネットワークであり、第2ネットワーク120は、例えばフィールドネットワークである。
管理装置10は、第1ネットワーク110を介して監視対象システム1全体の動作を監視する。管理装置10は、例えば、システム監視サーバやコントローラ11で動作する、制御プログラムのロジックの変更及び更新を行うエンジニアリングワークステーション(EWS)等である。
コントローラ11は、管理装置10から第1ネットワーク110を介して受信した命令に従って、第2ネットワーク120を介して接続されている各アクチュエータ12を動作させることで、所定の業務を行う。コントローラ11は、例えば、制御サーバの命令にしたがってアクチュエータ12にモータの回転数等、動作の設定値を設定したり、アクチュエータ12が出力する情報を収集したりするプログラマブルロジックコントローラ(PLC)等である。
アクチュエータ12は、コントローラ11からの命令に基づき、所定の業務を行う。アクチュエータ12は、例えば、コントローラ11からの命令に基づき設定された設定値に従って、バルブ、モータ、又は電動機等を実際に動かすアクチュエータ又は、温度、流量、もしくは圧力等を計測し計測値を出力するセンサである。
次に、通信監視対処装置20は、ミラーポート111、121を介して監視対象システム1と通信可能に接続されている。なお、ミラーポート111、121は、監視対象システム1の第1ネットワーク100及び第2ネットワーク120に流れる通信情報のコピーを通信監視対処装置20に送信する装置である。
通信監視対処装置20は、ミラーポート111、121を介して、監視対象システム1の第1ネットワーク110及び第2ネットワーク120における通信データ(パケット)を収集及び分析することで、第1ネットワーク110又は第2ネットワーク120において行われている不正通信を検知する。そして、通信監視対処装置20は、検知した不正通信を分析することで、不正通信に関わっている装置(以下、対処必要装置という)に代わって処理を行う他の装置(以下、対処対象装置という)を決定し、決定した対処対象装置が担当している業務の優先度等に基づき、対処対象装置が行う処理(対処処理)を決定し、その対処の内容を示す情報(対処情報)を生成する。
対処実行装置30は、対処ネットワーク130を介して、監視対象システム1及び通信監視対処装置20と通信可能に接続されている。対処実行装置30は、監視対象システム
1の各装置に対する処理権限を有している。対処実行装置30は、通信監視対処装置20から対処情報を受信し、受信した対処情報を、当該対処対象装置が実行又は処理可能な制御コマンド又は制御ロジックプログラムに変換し、変換した制御コマンド又は制御ロジックプログラムを当該対処対象装置に送信することで、当該対処対象装置に対処処理を実行させる。これにより、不正通信が起きた場合であっても監視対象システム1における業務を安全に継続させることができる。
1の各装置に対する処理権限を有している。対処実行装置30は、通信監視対処装置20から対処情報を受信し、受信した対処情報を、当該対処対象装置が実行又は処理可能な制御コマンド又は制御ロジックプログラムに変換し、変換した制御コマンド又は制御ロジックプログラムを当該対処対象装置に送信することで、当該対処対象装置に対処処理を実行させる。これにより、不正通信が起きた場合であっても監視対象システム1における業務を安全に継続させることができる。
なお、上記の第1ネットワーク110、第2ネットワーク120、及び対処ネットワーク130は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、
インターネット、又は専用線等の有線若しくは無線の通信ネットワークとして構成することができる。
インターネット、又は専用線等の有線若しくは無線の通信ネットワークとして構成することができる。
図2は、本実施形態に係る各情報処理装置(管理装置10、通信監視対処装置20、対処実行装置30)のハードウェア構成例を示すブロック図である。各情報処理装置は、互いにバス等の内部通信線216で接続されたプロセッサ211、メモリ212、補助記憶装置213、複数のIF214(214a、214b、・・・214n)(IF:インタフェース)、及び入出力装置215を備える。
プロセッサ211は、例えばCPU(Central Processing Unit)であり、メモリ21
2にロードされた各種プログラムを実行し、各情報処理装置の各種機能を実現する。なお、メモリ212は、例えば、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、例えばDRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、プロセッサ211が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
2にロードされた各種プログラムを実行し、各情報処理装置の各種機能を実現する。なお、メモリ212は、例えば、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、例えばDRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、プロセッサ211が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
補助記憶装置213は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の不揮発性の記憶装置であり、プロセッサ211が実行するプログラムの実行時に使用されるデータを格納する。すなわち、補助記憶装置213から読み出されたプログラム217はメモリ212にロードされた後、プロセッサ211により実行される。なお、メモリ212に格納されているプログラム217又はテーブル218の一部又は全部は補助記憶装置213に格納されていてもよいし、補助記憶装置213に格納されているプログラム217又はテーブル218の一部又は全部がメモリ212に格納されていてもよい。
IF214は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインタフェース装置であり、各IF214は、監視対象システム1の各ネットワークに対応している。これらのIF214によって、複数のネットワークで構成されている監視対象システム1の通信パケットが収集される。
入出力装置215は、ユーザからの入力を受け付けると共に、プログラム217の実行結果をユーザが視認可能な形式で出力する装置であり、例えば、キーボード、マウス、及び/又はディスプレイなどである。なお、入出力装置215は、情報処理装置の外部に接続されていてもよい。
<通信監視対処装置>
図3は、通信監視対処装置20が備える機能の一例を説明するブロック図である。通信監視対処装置20は、監視対象システム1の通信データを収集及び分析して不正通信を検知する。また、通信監視対処装置20は、検知した不正通信の内容、及び監視対象システム1の構成等から、対処必要装置に代わり処理を行う対処対象装置を決定する。この際、通信監視対処装置20は、対処対象装置が担当する処理に係る業務の優先度、及び監視対
象システム1の運用状態等に基づき、監視対象システム1の業務を安全に継続するための具体的な対処を決定する。
図3は、通信監視対処装置20が備える機能の一例を説明するブロック図である。通信監視対処装置20は、監視対象システム1の通信データを収集及び分析して不正通信を検知する。また、通信監視対処装置20は、検知した不正通信の内容、及び監視対象システム1の構成等から、対処必要装置に代わり処理を行う対処対象装置を決定する。この際、通信監視対処装置20は、対処対象装置が担当する処理に係る業務の優先度、及び監視対
象システム1の運用状態等に基づき、監視対象システム1の業務を安全に継続するための具体的な対処を決定する。
すなわち、通信監視対処装置20は、不正通信検知部21、対処処理決定部22、システム情報管理部23、及び対処情報送信部24の各機能部(プログラム)を記憶している。
また、通信監視対処装置20は、装置情報テーブル201、ホワイト通信テーブル202、業務情報テーブル203、及び制御情報テーブル204を備えるシステム情報テーブル200を保持する。
不正通信検知部21は、IF214を介して、監視対象システム1の第1ネットワーク110及び第2ネットワーク120に流れる通信パケットを収集する。そして、不正通信検知部21は、収集した通信パケットを分析し、(1)ヘッダ情報(データ送信元の装置及びデータ送信先の装置のIPアドレス、通信プロトコル、及びポート番号等)と、ペイロードに含まれる(2)制御コマンド及び(3)パラメータとを取得する。また、不正通信検知部21は、制御コマンドに関し、通信数の変化等の(4)統計情報を生成する。
そして、不正通信検知部21は、後述するシステム情報テーブル200が示す監視対象システム1の仕様と、上記(1)~(4)の情報(以下、分析情報という)とを比較することで、監視対象システム1で不正通信が行われているか否かを判定し、不正通信が行われていると判定した場合には、その不正通信及びその検知事象の情報を含む不正通信情報を対処処理決定部22に送信する。
対処処理決定部22は、不正通信情報及び、監視対象システム1の各装置の情報に基づき、対処対象装置を決定する。そして、対処処理決定部22は、対処対象装置が担当する業務(実行する処理)の優先度、及び監視対象システム1の各装置の要件又は稼動状態等に基づき、監視対象システム1の業務を安全に継続するための対処処理を決定する。
システム情報管理部23は、後述するシステム情報テーブル200を管理する。
対処情報送信部24は、対処処理決定部22が決定した対処処理に基づき対処情報を生成し、生成した対処情報を対処実行装置30に送信する。
<対処実行装置>
図4は、対処実行装置30が備える機能の一例を説明するブロック図である。対処実行装置30は、通信監視対処装置20から対処情報を受信し、受信した対処情報に基づき、対処実行装置30が処理権限を有する対処対象装置に対して制御コマンド又は制御ロジックプログラムを送信する。なお、制御ロジックとは、所定の処理や演算を実行することで実現される、コントローラのシーケンスの制御構成である。
図4は、対処実行装置30が備える機能の一例を説明するブロック図である。対処実行装置30は、通信監視対処装置20から対処情報を受信し、受信した対処情報に基づき、対処実行装置30が処理権限を有する対処対象装置に対して制御コマンド又は制御ロジックプログラムを送信する。なお、制御ロジックとは、所定の処理や演算を実行することで実現される、コントローラのシーケンスの制御構成である。
対処実行装置30は、対処情報受信部31、制御ロジック構成部32、制御コマンド送信部33、及び制御ロジック保持部34の各機能部(プログラム)を記憶している。
対処情報受信部31は、IF214を介して、通信監視対処装置20が生成した対処情報を受信し、制御ロジック構成部32に送信する。また、対処情報受信部31は、対処情報に基づき処理を実行した対処対象装置のその処理の結果の情報を、通信監視対処装置20に返信する。
制御ロジック構成部32は、対処情報に対応した、対処対象装置に送信する制御コマン
ド又は制御ロジックプログラムを制御ロジック保持部34から取得し、取得した制御コマンド又は制御ロジックプログラムを制御コマンド送信部33に送信する。
ド又は制御ロジックプログラムを制御ロジック保持部34から取得し、取得した制御コマンド又は制御ロジックプログラムを制御コマンド送信部33に送信する。
なお、本実施形態では、対処対象装置には、各装置に対して予め割り当てられている、不正通信時に当該各装置に代わって処理を行う他の装置(以下、代理装置という)と、不正通信を検出した際に動的に割り当てられる、当該各装置に代わって処理を行う他の装置(以下、代替装置という)とがある。
制御コマンド送信部33は、対処対象装置又は対処必要装置に、制御ロジック構成部32が取得した制御コマンド及び制御ロジックプログラムを送信することで、制御処理を実行させる。その後、制御コマンド送信部33は、当該対処対象装置又は対処必要装置から、当該制御処理の実行結果の情報を受信し、受信した情報を対処情報受信部31に送信する。
制御ロジック保持部34は、監視対象システム1内の各装置が対応している制御ロジックプログラム及び制御コマンドを記憶している。
ここで、システム情報テーブル200を構成する装置情報テーブル201、ホワイト通信テーブル202、業務情報テーブル203、及び制御情報テーブル204について説明する。
<装置情報テーブル>
図5は、装置情報テーブル201の一例を示す図である。装置情報テーブル201は、監視対象システム1内の各装置を一意に識別する装置ID501、その装置の装置名502、その装置のIPアドレス503、その装置に異常があった場合にその装置を代替して処理を行うことで業務を継続する他の装置である代替装置504、装置ID501に係る装置の型式505、その装置の装置仕様506、その装置で動作する制御ロジックプログラム及び制御コマンドが要求する実行環境の要件507(1又は複数の項目を有する)、及び、その装置が現在担当している業務の業務ID508の各情報を含む。
図5は、装置情報テーブル201の一例を示す図である。装置情報テーブル201は、監視対象システム1内の各装置を一意に識別する装置ID501、その装置の装置名502、その装置のIPアドレス503、その装置に異常があった場合にその装置を代替して処理を行うことで業務を継続する他の装置である代替装置504、装置ID501に係る装置の型式505、その装置の装置仕様506、その装置で動作する制御ロジックプログラム及び制御コマンドが要求する実行環境の要件507(1又は複数の項目を有する)、及び、その装置が現在担当している業務の業務ID508の各情報を含む。
<ホワイト通信テーブル>
図6は、ホワイト通信テーブル202の一例を示す図である。ホワイト通信テーブル202は、監視対象システム1内の通信の情報であり、通信を一意に識別するための通信ID601、その通信の通信プロトコル602、その通信に係るデータの送信元の装置のIPアドレスである送信元IPアドレス603、その通信に係るデータの送信先の装置のIPアドレスである宛先IPアドレス604、その通信に係るデータの送信元の装置のポート番号である送信元ポート番号605、及び、その通信に係るデータの送信先の装置のポート番号である宛先ポート番号606を含む。これらの情報は、特定の数値であってもよいし、一定の範囲を示す情報であってもよい。なお、本実施形態のホワイト通信テーブル202では、送信元ポート番号605及び宛先ポート番号606に値の指定がない場合に“*”が設定される。
図6は、ホワイト通信テーブル202の一例を示す図である。ホワイト通信テーブル202は、監視対象システム1内の通信の情報であり、通信を一意に識別するための通信ID601、その通信の通信プロトコル602、その通信に係るデータの送信元の装置のIPアドレスである送信元IPアドレス603、その通信に係るデータの送信先の装置のIPアドレスである宛先IPアドレス604、その通信に係るデータの送信元の装置のポート番号である送信元ポート番号605、及び、その通信に係るデータの送信先の装置のポート番号である宛先ポート番号606を含む。これらの情報は、特定の数値であってもよいし、一定の範囲を示す情報であってもよい。なお、本実施形態のホワイト通信テーブル202では、送信元ポート番号605及び宛先ポート番号606に値の指定がない場合に“*”が設定される。
<業務情報テーブル>
図7は、業務情報テーブル203の一例を示す図である。業務情報テーブル203は、監視対象システム1内で行われる業務に関する情報であり、監視対象システム1内で行われる業務を一意に特定する業務ID701、その業務の業務名702、その業務が実行される時間帯を示す稼動時刻703、その業務の優先順位列704、及び、その業務を行うための通信のリスト(通信IDのリスト)である業務通信705を含む。
図7は、業務情報テーブル203の一例を示す図である。業務情報テーブル203は、監視対象システム1内で行われる業務に関する情報であり、監視対象システム1内で行われる業務を一意に特定する業務ID701、その業務の業務名702、その業務が実行される時間帯を示す稼動時刻703、その業務の優先順位列704、及び、その業務を行うための通信のリスト(通信IDのリスト)である業務通信705を含む。
なお、本実施形態の業務情報テーブル203では、業務の優先順位は、1が最も優先順
位が高く、値が大きくなるほど低い。
位が高く、値が大きくなるほど低い。
<制御情報テーブル>
図8は、制御情報テーブル204の一例を示す図である。制御情報テーブル204は、業務で使われる各通信の制御プロトコル及びパラメータ等を記憶したテーブルであり、各通信の通信ID801、その通信の制御プロトコル802、その通信の制御コマンド803、その通信におけるパラメータ804、その通信の通信周期805、及び、その通信の影響度806を含む。本実施形態では、通信周期805には、周期がない場合は“*”が設定される。
図8は、制御情報テーブル204の一例を示す図である。制御情報テーブル204は、業務で使われる各通信の制御プロトコル及びパラメータ等を記憶したテーブルであり、各通信の通信ID801、その通信の制御プロトコル802、その通信の制御コマンド803、その通信におけるパラメータ804、その通信の通信周期805、及び、その通信の影響度806を含む。本実施形態では、通信周期805には、周期がない場合は“*”が設定される。
影響度806は、不正通信が行われた場合、例えば通信における制御コマンドが停止もしくは急増し、又は制御コマンドに不正なパラメータ値が設定された場合に、監視対象システム1が影響を受ける業務の継続性や安全性の大きさ(不正の強さの程度)を表すパラメータである。本実施形態では、影響度806には、高、中、低の3段階が設定されるものとする。「高」は、業務が数日間停止したり人命が脅かされたりする可能性があるなど影響が大きいことを示し、「低」は、影響が軽微で限定的なことを示し、「中」はその中間であることを示す。
<通信監視対処処理>
次に、通信監視対処システム1で行われる処理について説明する。
次に、通信監視対処システム1で行われる処理について説明する。
図9は、監視対象システム1の不正通信を検知してこれに対する対処を行う通信監視対処処理の一例を説明するフローチャートである。通信監視対処処理は、例えば、所定のタイミングで(例えば、所定の時刻、又は所定の時間間隔)、又はユーザから所定の入力があった場合に実行される。
まず、通信監視対処装置20は、監視対象システム1の不正通信を検知し、対処処理を決定すると共に対処情報を対処実行装置30に送信する(a:S901~S905)。
すなわち、まず、不正通信検知部21は、監視対象システム1のネットワークの情報を収集及び分析し(S901)、監視対象システム1に不正通信があるか否かを判定する(S902)。
具体的には、不正通信検知部21は、監視対象システム1の第1ネットワーク110及び第2ネットワーク120のパケットを所定時間取得し、取得したパケット(以下、取得パケットという)に基づき生成した分析情報が、ホワイト通信テーブル202のレコードの内容(通信プロトコル602、送信元IPアドレス603、宛先IPアドレス604、送信元ポート番号605、及び宛先ポート番号606の内容)と一致するか否かを判定する。不正通信検知部21は、一致するレコードがない場合は、想定外の通信が行われているとして、監視対象システム1に不正通信があると判定する。
他方、一致するレコードがある場合は、不正通信検知部21は、業務情報テーブル203に基づき、取得パケットが正しいタイミングで送受信されているか否かを判定する。例えば、不正通信検知部21は、前記で内容が一致したレコードの通信ID601の内容を取得し、取得した通信ID601が業務通信705に登録されている業務情報テーブル203のレコードの稼動時刻703を取得する。不正通信検知部21は、現在時刻が前記取得した稼動時刻の示す時間帯に対応しているか否かを判定し、現在時刻が稼動時刻の示すに対応していない場合には、取得パケットに係る業務が本来の業務時間外の時間に行われているとして、監視対象システム1に不正通信があると判定する。
他方、現在時刻が稼動時刻に対応している場合には、不正通信検知部21は、制御情報テーブル204に基づき、取得パケットの内容が適正範囲の情報であるか否かを判定する。例えば、不正通信検知部21は、前記取得した通信ID601の内容が通信ID801に登録されている制御情報テーブル204のレコードの情報(制御プロトコル802、制御コマンド803、パラメータ804、通信周期805、及び影響度806)を取得する。不正通信検知部21は、取得パケットの内容が、前記取得した情報に適合するか否かを判定し、取得パケットの内容が前記取得した情報に適合しない場合には、監視対象システム1に不正通信があると判定する。
このようにして、監視対象システム1に不正通信があると判定した場合は(S902:YES)、不正通信検知部21は、取得パケットの内容に基づき不正通信に関わる装置(対処必要装置)を特定する。例えば、不正通信検知部21は、取得パケットに含まれるデータの送信元又は送信先の装置のIPアドレスを特定する。そして、不正通信検知部21は、後述するS903の処理を実行する。
他方、不正通信検知部21が監視対象システム1に不正通信がないと判定した場合は(S902:NO)、通信監視対処処理は終了する。
S903において不正通信検知部21は、S902で特定した不正通信が監視対象システム1に与える影響の大きさを示すパラメータとして、侵害度を算出する。
例えば、不正通信検知部21は、不正通信に係る制御コマンドの種類及び不正通信の発生頻度に基づき、侵害度を算出する。具体的には、まず、不正通信検知部21は、取得パケットに係る制御コマンドの影響度を、制御情報テーブル204の影響度806から取得する。また、不正通信検知部21は、取得パケットにおける不正通信率(後述)を算出する。そして、不正通信検知部21は、後述する侵害度判定テーブル205を参照することにより、前記取得した影響度及び前記算出した不正通信率に対応する侵害度を特定する。
なお、不正通信率は、本実施形態では、取得パケットにおける、単位時間あたりの不正通信の発生比率とし、50%以上で「高」、10%以上50%未満で「中」、10%未満で「低」とする。
ここで、図10は、侵害度判定テーブル205の一例を示す図である。侵害度判定テーブル205は、不正通信率901(高、中、低)、影響度902(高、中、低)、及び侵害度903(高、中、低)の対応関係を記憶したテーブルである。
次に、図9のS904に示すように、対処処理決定部22は、S903で算出した侵害度に基づき、対処処理を決定する対処決定処理を実行する。対処決定処理の詳細は後述する。
対処情報送信部24は、対処決定処理により決定された対処処理に基づき対処情報を作成し、作成した対処情報を対処実行装置30に送信する(S905)。なお、対処情報には、例えば、対処対象装置の装置ID及び対処処理の内容を含む。
その後、対処実行装置30は、通信監視対処装置20から受信した対処情報に基づき、対処対象装置に対処処理を実行させる(b:S911~S914)。
すなわち、まず、対処情報受信部31は、通信監視対処装置20から対処情報を受信する(S911)。
制御ロジック構成部32は、対処情報が示す各対処対象装置又は対処必要装置の制御コマンド及び制御ロジックプログラムを取得する(S912)。そして、制御コマンド送信部33は、S912で取得された各制御コマンド及び各制御ロジックプログラムを、各対処対象装置又は対処必要装置に送信する(S913)。
その後、制御ロジック構成部32は、各対処対象装置又は対処必要装置からの、制御コマンド及び制御ロジックプログラムの実行結果の情報の受信を待機する。制御ロジック構成部32は、実行結果の情報を受信すると、受信した情報を通信監視対処装置20に送信する(S914)。
次に、通信監視対処装置20は、対処実行装置30から受信した情報に基づき、対処処理及びその実行結果の情報を画面に表示する(c:S921~S922)。
すなわち、対処情報送信部24は、対処実行装置30から当該情報を受信すると(S921)、受信した情報の内容を入出力装置215に表示し、ユーザに提示する(S922)。以上で通信監視対処処理は終了する。
次に、対処決定処理S904の詳細を説明する。
<対処決定処理>
図11は、対処決定処理の一例を説明するフローチャートである。
図11は、対処決定処理の一例を説明するフローチャートである。
通信監視対処装置20の対処処理決定部22は、S903で算出した侵害度が、対処処理が必要な程度に高いか否かを判定する(S1001)。例えば、対処処理決定部22は、S903で算出した侵害度が「中」以上であるか否かを判定する。これは、侵害度が小さい、すなわち監視対象システム1に対する影響が少ないセキュリティ侵害すべてに通信監視対処装置20が対処してしまうと、監視対象システム1の可用性が著しく低下するからである。
侵害度が対処処理が必要な程度に高くない場合は(S1001:NO)、対処決定処理は終了し、侵害度が対処処理が必要な程度に高い場合は(S1001:YES)、対処処理決定部22は、対処対象装置(代理装置又は代替装置)を探索する装置探索処理を実行する(S1002)。装置探索処理の詳細は後述する。
装置探索処理の処理結果として、対処処理決定部22は、後述するように、(1)対処必要装置を代替装置に切り替え、(2)対処必要装置を代理装置に切り替え、又は(3)切替候補なし(切り替えない)、の3パターンのいずれかの処理結果の情報を取得する。
対処処理決定部22は、処理結果が(1)又は(2)である場合は(S1003:YES)、後述するS1004の処理を実行し、処理結果が(1)でも(2)でもない場合は(S1003:NO)、後述するS1005の処理を実行する。
S1004において対処処理決定部22は、対処対象装置を代理装置又は代替装置に切り替えることを示す対処情報を生成し、対処決定処理は終了する。
S1005において対処処理決定部22は、S903で算出した侵害度が、対処必要装置を停止するべき程度に高いか否かを確認する。具体的には、対処処理決定部22は、S903で算出した侵害度が「高」であるか又は「中」であるかを確認する。
侵害度が、対処必要装置を停止するべき程度に高い場合は(S1005:高)、対処処
理決定部22は、後述するS1007の処理を実行し、侵害度が、対処必要装置を停止するべき程度に高くない場合は(S1005:中)、対処処理決定部22は、次述するS1006の処理を実行する。
理決定部22は、後述するS1007の処理を実行し、侵害度が、対処必要装置を停止するべき程度に高くない場合は(S1005:中)、対処処理決定部22は、次述するS1006の処理を実行する。
S1006において対処処理決定部22は、対処対象装置の機能を一部制限して運転する縮退運転を行うことを示す対処情報を生成する。その後、対処決定処理は終了する。なお、制限する機能は予め指定されていてもよいし、侵害度又はその他の情報に基づき増減するようにしてもよい。
S1007において対処処理決定部22は、対処対象装置の機能を全て制限すなわち全機能を停止して安全に停止状態に制御する安全停止を行うことを示す対処情報を生成する。これは、不正通信の影響によりシステムや人命への影響が大きくなることが想定されるためである。以上で、対処決定処理は終了する。
次に、装置探索処理S1002の詳細を説明する。
<装置探索処理>
図12は、装置探索処理の一例を説明するフローチャートである。
図12は、装置探索処理の一例を説明するフローチャートである。
通信監視対処装置20の対処処理決定部22は、対処対象装置として代替装置(AD)があるか否かを確認する(S1101、S1102)。具体的には、対処処理決定部22は、対処対象装置の装置IDが装置ID501に設定されている装置情報テーブル201のレコードの代替装置504のデーア有無を確認する。
対処対象装置として代替装置(AD)がある場合は(S1102:YES)、対処処理決定部22は、次述するS1103の処理を実行し、対処対象装置として代替装置(AD)がない場合は(S1102:NO)、対処処理決定部22は、後述するS1104の処理を実行する。
S1103において対処処理決定部22は、ADを対処対象装置として選択し、さらに、対処処理として、「対処:代替装置に切替、代替装置:<装置ID>」を設定する((1)対処必要装置を代替装置に切替)。なお、<装置ID>は装置情報テーブル201から取得したADの装置IDである。
なお、代替装置が複数ある場合は、対処処理決定部22は、例えば、装置情報テーブル201に基づき最も装置仕様506が示す性能が最も高い装置を選択してもよいし、複数の代替装置に並列的に対処処理を行わせるようにしてもよいし、ユーザに代替装置を一つ選択させてもよい。以上で装置探索処理は終了する。
S1104において対処処理決定部22は、代理装置として要求される、制御ロジックプログラム及び制御コマンドの実行環境の要件を取得する。具体的には、対処処理決定部22は、対処対象装置の装置IDが装置ID501に設定されている装置情報テーブル201の要件507を取得する。
対処処理決定部22は、S1104で取得した装置要件を満たす装置を全て特定する(S1105)。例えば、対処処理決定部22は、各装置の要件の各項目と、S1104で取得した装置要件の各項目とを比較することで、装置要件の全項目を満たす装置を全て特定し、その装置リストを生成する。
ここで、対処処理決定部22は、各装置情報テーブル201に基づき、装置リストのう
ち、現在、処理(業務)を行っていない装置(SDm)があるか否かを確認する(S1106)。具体的には、対処処理決定部22は、装置情報テーブル201において業務ID508に「なし」が設定されているレコードの装置ID501を取得し、この装置が装置リストに含まれているか否かを確認する。
ち、現在、処理(業務)を行っていない装置(SDm)があるか否かを確認する(S1106)。具体的には、対処処理決定部22は、装置情報テーブル201において業務ID508に「なし」が設定されているレコードの装置ID501を取得し、この装置が装置リストに含まれているか否かを確認する。
SDmがある場合は(S1106:YES)、対処処理決定部22は、後述するS1107の処理を実行し、SDmがない場合は(S1106:NO)、対処処理決定部22は、後述するS1109の処理を実行する。
S1107において対処処理決定部22は、SDmを代理装置として選択し、さらに、対処処理として、「対処:代理装置に切替、代理装置:<装置ID>」((2)対処必要装置を代理装置に切替)を設定する(S1108)。なお、<装置ID>は装置情報テーブル201から取得したSDmの装置IDである。
なお、SDmが複数ある場合は、対処処理決定部22は、例えば、装置情報テーブル201に基づき最も装置仕様506が示す性能が最も高いSDmを選択してもよいし、複数のSDmに並列的に対処処理を行わせるようにしてもよいし、ユーザにSDmを一つ選択させてもよい。以上で、装置探索処理は終了する。
S1109において対処処理決定部22は、(装置リストの装置全てに業務が割り当てられている場合は)、対処必要装置が担当している業務よりも優先順位が低い業務(処理)を行っている装置(SDp)があるか否かを判定する。
具体的には、対処処理決定部22は、業務情報テーブル203の各レコードの優先順位列704を参照することで、SDpがあるか否かを判定する。
SDpがない場合は(S1109:NO)、対処処理決定部22は、対処処理として、「対処:切替候補なし」((3)切替候補なし)を設定する(S1112)。以上で装置探索処理は終了する。
SDpがある場合は(S1109:NO)、対処処理決定部22は、そのSDpを代理装置として選択し(S1110)、さらに、対処処理として、「対処:代理装置に切り替え、代理装置:<装置ID>」を設定する(S1111)。なお、<装置ID>は装置情報テーブル201から取得したSDpの装置IDである。
なお、SDpが複数ある場合は、対処処理決定部22は、例えば、装置情報テーブル201に基づき最も装置仕様506が示す性能が最も高いSDpを選択してもよいし、複数のSDpに並列的に対処処理を行わせるようにしてもよいし、ユーザにSDpを一つ選択させてもよい。以上で、装置探索処理は終了する。
以上のように、通信監視対処装置20は、不正通信(セキュリティ侵害)のあった対処必要装置を代替装置に切り替えることで、監視対象システム1の可用性と安全性を考慮した対処を行うことができる。
また、通信監視対処装置20は、代替装置がない場合には、監視対象システム1内で代用できる代理装置を探索し、その代理装置に切り替えることで代替装置に切り替える場合と同等の効果を得ることができる。この場合、通信監視対処装置20は、代理装置の候補が業務に使用されている場合には、セキュリティ侵害のあった対処必要装置が担当する業務の優先度と候補の装置が担う業務の優先度を比較し、候補の業務の優先度が低い場合は、その候補の装置に係る業務(処理)を停止して、対処必要装置の代理装置とする。これ
により、監視対象システム1において必要性の高い業務を優先的に継続することができる。
により、監視対象システム1において必要性の高い業務を優先的に継続することができる。
すなわち、本実施形態の通信監視対処システム1は、監視対象システム1における不正な通信、すなわち複数の装置(管理装置10、コントローラ11、及びアクチュエータ12)と通信可能に接続されている第1ネットワーク110及び第2ネットワーク120における不正な通信に関わる対処必要装置を特定し、ネットワークの情報及び各装置の各処理の情報に基づき、対処必要装置に代わる対処対象装置を検索すると共に対処情報を生成し、生成した対処情報を対処実行装置30に送信する。これにより、不正通信があった監視対象システム1に対して可用性及び安全性を確保した対応を行うことができる。
本発明は前記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記した実施形態は本発明のより良い理解のために詳細に説明したものであり、必ずしも説明の全ての構成を備えるものに限定されるものではない。
例えば、本実施形態において通信監視対処装置20が使用する情報は、データ構造に依存せず、どのようなデータ構造で表現されてもよい。本実施形態ではテーブル形式で情報が格納されている例を説明したが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体で情報を格納してもよい。
また、通信監視対処装置20及び対処実行装置30が備える各機能部は、さらに複数の機能部に分割してもよいし、各機能の一部を統合してもよい。
また、本実施形態の通信監視対処システム5は、管理装置10、コントローラ11、及びアクチュエータ12の各装置の不正通信の開始及びこれに対する対処を行うものとしたが、これらのうち選択された装置のみに対する不正通信の監視及びこれに対する対処を行うものとしてもよい。
また、本実施形態では、通信監視対処装置20は、IPアドレス及びポート番号等に基づいて不正通信を検出したが、それ以外のパケット情報や各装置の通信状態の情報を用いて不正通信を検出してもよい。
また、本実施形態では、通信監視対処装置20は、不正通信が監視対象システム1に与える影響の大きさを示すパラメータとして、影響度及び不正通信率に基づく侵害度を採用したが、侵害度の算出方法は本実施形態に示したものに限られず、また、侵害度以外のパラメータを用いてもよい。
また、本実施形態では、通信監視対処装置20は、対処必要装置に代わる処理を行う対処対象装置として代替装置及び代理装置を用いる場合を説明したが、いずれか一方のみを用いてよい。
また、本実施形態では、通信監視対処装置20は、対処対象装置が検索できない場合に、侵害度に応じた処理、すなわち、侵害度が「高」の場合に対処必要装置に縮退運転を行わせ、侵害度が「中」の場合に対処必要装置を運転停止させる処理を行う場合を説明したが、その他の態様であってもよい。例えば、通信監視対処装置20は、侵害度の大きさに応じて段階的に縮退運転を進めてもよい。
以上の本明細書の記載により、少なくとも以下の事項が明らかにされる。すなわち、本実施形態において、通信監視対処装置20の前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として
、前記特定した装置が処理を限縮して実行する旨の情報を生成する、としてもよい。
、前記特定した装置が処理を限縮して実行する旨の情報を生成する、としてもよい。
このように、対処対象装置を検索できなかった場合には、対処必要装置が処理を限縮して実行する旨の対処情報を生成することで、適切な代替装置がない場合であっても監視対象システム1への影響を最小限に抑えることができる。
また、本実施形態において、通信監視対処装置20の前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記検知した不正な通信の強さを算出し、前記対処情報として、前記特定した装置が行う処理を前記算出した強さに応じて制限して実行する旨の情報を生成する、としてもよい。なお、ここでいう「制限」とは、一部制限の場合と全制限(全機能停止)の場合を含む。
このように、対処対象装置を検索できなかった場合に、対処必要装置が行う処理を、不正通信の不正の強さに応じて制限して実行する旨の対処情報を生成することで、セキュリティ侵害の態様に即した必要充分な対処を行うことができる。
また、本実施形態において、通信監視対処装置20は、前記ネットワークにおける装置と、当該装置に代替可能な代替装置との対応関係を記憶するシステム情報管理部を備え、前記対処処理決定部は、前記特定した装置に対応づけられた代替装置があるか否かを前記対応関係に基づき判定し、前記代替装置がある場合には当該代替装置を前記他の装置として特定し、前記代替装置がない場合には、前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記他の装置を検索する、としてもよい。
このように、対処必要装置に対応した代替装置がある場合にはその代替装置を対処対象装置として特定し、代替装置がない場合には、システム情報テーブル200におけるネットワークの情報及び各装置の各処理の情報に基づき、対処対象装置を検索することで、現在のネットワークや装置の状況に基づく最適な装置(可用性及び案脆性を確保できる装置)を検索することができる。
また、本実施形態において、通信監視対処装置20の前記システム情報管理部はさらに、前記各装置が行う処理の優先度の情報を記憶し、前記対処処理決定部は、前記代替装置がない場合、前記特定した装置以外で前記特定した装置に係る優先度より低い優先度を有する他の装置を前記情報から検索し、前記他の装置を検索できた場合には、前記特定した装置の代わりに前記他の検索した装置を実行させる旨の情報を生成する、としてもよい。
このように、代替装置がない場合、対処必要装置以外の装置であって対処必要装置の優先度より低い優先度を有する他の装置(代理装置)を検索できた場合には、対処必要装置の代わりにその代理装置を実行させる対処情報を生成することで、現在行われている業務に対する支障をなるべく少なくすることができる。
5 通信監視対処システム、1 監視対象システム、10 管理装置、20 通信監視対処装置、30 対処実行装置
Claims (6)
- プロセッサ及びメモリを有し、
複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知部と、
前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定した装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定部と、
前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信部と、
を備え、
前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する
通信監視対処装置。 - 前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記検知した不正な通信の不正の強さを算出し、前記対処情報として、前記特定した装置が行う処理を前記算出した不正の強さに応じて制限して実行する旨の情報を生成する、請求項1に記載の通信監視対処装置。
- 前記ネットワークにおける装置と、当該装置に代替可能な代替装置との対応関係を記憶するシステム情報管理部を備え、
前記対処処理決定部は、前記特定した装置に対応づけられた代替装置があるか否かを前記対応関係に基づき判定し、前記代替装置がある場合には当該代替装置を前記他の装置として特定し、前記代替装置がない場合には、前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記他の装置を検索する、
請求項1に記載の通信監視対処装置。 - 前記システム情報管理部はさらに、前記各装置が行う処理の優先度の情報を記憶し、
前記対処処理決定部は、前記代替装置がない場合、前記特定した装置以外で前記特定した装置に係る優先度より低い優先度を有する他の装置を前記情報から検索し、前記他の装置を検索できた場合には、前記特定した装置の代わりに前記他の検索した装置に処理を実行させる旨の情報を生成する、
請求項3に記載の通信監視対処装置。 - 情報処理装置が、
複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知処理と、
前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定した装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定処理と、
前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信処理と、
を実行し、
前記対処処理決定処理においては、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する
通信監視対処方法。 - プロセッサ及びメモリを有し、
複数の装置が互いに通信可能に接続されているネットワークにおける不正な通信を検知し、検知した不正な通信に関わる装置を特定する不正通信検知部と、
前記ネットワークの情報及び前記複数の装置が行う各処理の情報に基づき、前記特定し
た装置に代わる他の装置を検索すると共に前記特定した装置の処理に代わり行われる処理の情報である対処情報を生成する対処処理決定部と、
前記対処情報が示す処理を前記他の装置に実行させる情報処理装置に、前記生成した対処情報を送信する対処情報送信部とを備え、
前記対処処理決定部は、前記他の装置を検索できたか否かを判定し、前記他の装置を検索できなかった場合には、前記対処情報として、前記特定した装置が処理を制限して実行する旨の情報を生成する通信監視対処装置、及び、
プロセッサ及びメモリを有し、
前記対処情報を受信する対処情報受信部と、
前記受信した対処情報に基づき、前記対処情報が示す処理を前記他の装置に実行させるための情報を前記他の装置に送信する制御コマンド送信部とを備える通信監視対処装置、
を含んで構成される通信監視対処システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020215466A JP7462550B2 (ja) | 2020-12-24 | 2020-12-24 | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム |
| US17/536,146 US11997072B2 (en) | 2020-12-24 | 2021-11-29 | Apparatus for detecting unauthorized communication in a network and searching for a substitute device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020215466A JP7462550B2 (ja) | 2020-12-24 | 2020-12-24 | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022101083A JP2022101083A (ja) | 2022-07-06 |
| JP7462550B2 true JP7462550B2 (ja) | 2024-04-05 |
Family
ID=82117931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020215466A Active JP7462550B2 (ja) | 2020-12-24 | 2020-12-24 | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11997072B2 (ja) |
| JP (1) | JP7462550B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230133033A1 (en) * | 2021-11-03 | 2023-05-04 | Robert Bosch Gmbh | System and method for processing a data subject rights request using biometric data matching |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007164394A (ja) | 2005-12-13 | 2007-06-28 | Hitachi Ltd | ストレージ切替システム、ストレージ切替方法、管理サーバ、管理方法および管理プログラム |
| WO2012101785A1 (ja) | 2011-01-26 | 2012-08-02 | 富士通株式会社 | 管理装置、管理方法および管理プログラム |
| JP2017167675A (ja) | 2016-03-14 | 2017-09-21 | 株式会社リコー | 情報処理システム、情報処理方法、及びサーバ |
| US20180331888A1 (en) | 2015-12-08 | 2018-11-15 | Alibaba Group Holding Limited | Method and apparatus for switching service nodes in a distributed storage system |
| JP2019121811A (ja) | 2017-12-28 | 2019-07-22 | 株式会社日立製作所 | 通信監視システム、通信監視装置および通信監視方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6693114B2 (ja) | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| RU2737344C2 (ru) * | 2016-06-24 | 2020-11-27 | Шнейдер Электрик Системз Юэсэй, Инк. | Способы, системы и устройство для динамического обеспечения безграничного администрирования действующей конфигурации m..n высокой доступности с дополняющим ресурсом |
| US10331507B2 (en) * | 2016-12-21 | 2019-06-25 | Mastercard International Incorporated | Systems and methods for real time computer fault evaluation |
| JP2020095672A (ja) * | 2018-11-28 | 2020-06-18 | オムロン株式会社 | コントローラシステム |
-
2020
- 2020-12-24 JP JP2020215466A patent/JP7462550B2/ja active Active
-
2021
- 2021-11-29 US US17/536,146 patent/US11997072B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007164394A (ja) | 2005-12-13 | 2007-06-28 | Hitachi Ltd | ストレージ切替システム、ストレージ切替方法、管理サーバ、管理方法および管理プログラム |
| WO2012101785A1 (ja) | 2011-01-26 | 2012-08-02 | 富士通株式会社 | 管理装置、管理方法および管理プログラム |
| US20180331888A1 (en) | 2015-12-08 | 2018-11-15 | Alibaba Group Holding Limited | Method and apparatus for switching service nodes in a distributed storage system |
| JP2017167675A (ja) | 2016-03-14 | 2017-09-21 | 株式会社リコー | 情報処理システム、情報処理方法、及びサーバ |
| JP2019121811A (ja) | 2017-12-28 | 2019-07-22 | 株式会社日立製作所 | 通信監視システム、通信監視装置および通信監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220210132A1 (en) | 2022-06-30 |
| US11997072B2 (en) | 2024-05-28 |
| JP2022101083A (ja) | 2022-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210397982A1 (en) | Intelligent anomaly identification and alerting system based on smart ranking of anomalies | |
| US8850582B2 (en) | Security monitoring system and security monitoring method | |
| US9686292B2 (en) | System and method for continuous device profiling | |
| US9921938B2 (en) | Anomaly detection system, anomaly detection method, and program for the same | |
| JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| MR et al. | Machine learning for intrusion detection in industrial control systems: challenges and lessons from experimental evaluation | |
| WO2020046260A1 (en) | Process semantic based causal mapping for security monitoring and assessment of control networks | |
| US20040111638A1 (en) | Rule-based network survivability framework | |
| JP2012226680A (ja) | 産業制御システムを管理する管理システム、管理方法および管理プログラム | |
| JP6391891B2 (ja) | 侵入検知装置、侵入検知方法及び侵入検知プログラム | |
| JP7462550B2 (ja) | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム | |
| JP2018007179A (ja) | 監視装置、監視方法および監視プログラム | |
| Madhawa et al. | Employing invariants for anomaly detection in software defined networking based industrial internet of things | |
| Latha et al. | An analysis of Intrusion detection systems in IIoT | |
| KR101989579B1 (ko) | 시스템 감시 장치 및 방법 | |
| JP2016162350A (ja) | 最適化装置、最適化方法および最適化プログラム | |
| KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 | |
| JP2019168869A (ja) | インシデント検知システムおよびその方法 | |
| JP2019022099A (ja) | セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム | |
| CN114389855B (zh) | 异常网际互联协议ip地址的确定方法及装置 | |
| US20230385425A1 (en) | Data generation device, data generation method, and non-transitory storage medium | |
| JP6869869B2 (ja) | 制御システムのための対策立案システムおよび監視装置 | |
| JP6964829B2 (ja) | ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法 | |
| JP2018157343A (ja) | 対処指示装置、対処指示方法、対処指示プログラム | |
| US20230188408A1 (en) | Enhanced analysis and remediation of network performance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240123 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240301 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240319 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240326 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7462550 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |