WO2018134865A1 - 情報管理システム - Google Patents

情報管理システム Download PDF

Info

Publication number
WO2018134865A1
WO2018134865A1 PCT/JP2017/001332 JP2017001332W WO2018134865A1 WO 2018134865 A1 WO2018134865 A1 WO 2018134865A1 JP 2017001332 W JP2017001332 W JP 2017001332W WO 2018134865 A1 WO2018134865 A1 WO 2018134865A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
management server
configuration information
configuration
monitoring
Prior art date
Application number
PCT/JP2017/001332
Other languages
English (en)
French (fr)
Inventor
松原 大典
和 三村
俊之 渥美
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to JP2018562742A priority Critical patent/JPWO2018134865A1/ja
Priority to PCT/JP2017/001332 priority patent/WO2018134865A1/ja
Publication of WO2018134865A1 publication Critical patent/WO2018134865A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Definitions

  • the present invention relates to an information management system for managing system information.
  • cyber attack countermeasure technology is required to detect and defend against cyber attacks by analyzing monitoring data obtained from devices and monitoring data of traffic flowing through the network.
  • the main object of the present invention is to solve the above-mentioned problems and flexibly cope with changes in the configuration of devices and sensors.
  • each of devices and sensors, a first management server that manages configuration information of these devices and sensors, and a second management server that manages profile information of the devices are connected via a network device.
  • the second management server acquires monitoring information from each of the device, the sensor, and the network device, and acquires the configuration information from the first management server.
  • the second management server updates the analysis table based on the changed configuration information, the profile information, and the monitoring information, and based on the updated analysis table To manage the device and the sensor.
  • the second management server updates the analysis table, reducing the load of setting work by the system administrator of the information management system.
  • aaa table Such information may be expressed in a data structure other than a table or the like. Therefore, information such as “aaa table” can be referred to as “aaa information” to indicate that it does not depend on the data structure.
  • FIG. 1 is an overall configuration diagram of a security management system as an “information management system”.
  • the facility 103 to be managed includes a plurality of devices 106 and a plurality of sensors 107 that monitor each device 106.
  • Each of the plurality of devices 106 is connected to the network device 250 (see FIG. 2) via each network switch 105.
  • each of the plurality of sensors 107 is connected to the network device 250 via another network switch 108.
  • a plurality of devices 106, a plurality of sensors 107, a facility management server 101 as a “first management server”, a security management server 102 as a “second management server”, and a plurality of SIEMs (Security Information Management) 104 Are connected via the network device 250.
  • the facility management server 101 manages device configuration information and NW configuration information as “configuration information” acquired from the device 106 and the sensor 107.
  • the SIEM 104 manages monitoring data as “monitoring information” acquired from the device 106 and the sensor 107.
  • the security management server 102 manages the security of the device 106 and the sensor 107 using the device configuration information and NW configuration information managed by the facility management server 101 and the monitoring data managed by the SIEM 104.
  • FIG. 2 is a configuration diagram of the security management server 102.
  • the control data storage unit 200 includes a device profile table 201 as “profile information”, a device configuration table 202, an NW configuration table 203, and a monitoring item table 204 as an “analysis table”.
  • the device profile table 201 records profile information for each device type 301 (see FIGS. 3 and 4).
  • the device configuration table 202 records configuration information for each device 106.
  • the NW configuration table 203 records configuration information of the network device 250.
  • the monitoring item table 204 records monitoring items 302 and 303 (see FIG. 3) for each device type 301 and an analysis method as an “analysis algorithm”.
  • the control processing unit 210 includes a device profile table management unit 211, a device configuration table management unit 212, an NW configuration table management unit 213, and a monitoring item table management unit 214.
  • the control processing unit 210 further includes a monitoring item calculation unit 215, an analysis algorithm processing unit 216, an event output unit 217, and a threat range determination unit 218.
  • the device profile table management unit 211 manages the device profile table 201.
  • the device configuration table management unit 212 manages the device configuration table 202.
  • the NW configuration table management unit 213 manages the NW configuration table 203.
  • the monitoring item table management unit 214 manages the monitoring item table 204.
  • the monitoring item calculation unit 215 calculates the monitoring items 302 and 303 (see FIG. 3) and an analysis method as an “analysis algorithm”.
  • the analysis algorithm processing unit 216 executes an analysis algorithm.
  • the event output unit 217 outputs an event such as an alert.
  • the threat range determination unit 218 determines the threat range.
  • the data transfer unit 220 includes a data transmission / reception unit 221 that performs data transmission / reception with the network device 250.
  • the data storage unit 230 includes a data storage unit 231 that stores data received from the network device 250.
  • FIG. 3 is a configuration diagram of the device profile table 201.
  • the device profile table 201 includes a device type 301 that specifies the type of the device 106, monitoring items 302 and 303 that specify monitoring data for each device type 301, and an analysis method 304 that specifies an analysis method for each device type 301. Is recorded.
  • FIG. 4 is a configuration diagram of the device configuration table 202.
  • a device ID 401 that specifies an ID for each device 106
  • an IP address 402 that specifies the IP address of the device 106
  • a device type 403 that specifies the type of the device 106 for the device ID 401 are recorded. Yes.
  • FIG. 5 is a configuration diagram of the NW configuration table 203.
  • a device ID 501 that specifies a device ID
  • an IP address 502 that specifies an IP address of the device 106
  • a SIEM 503 that specifies a SIEM that manages monitoring data of the device 106 are recorded. .
  • FIG. 6 is a configuration diagram of the monitoring item table 204.
  • a device ID 601, monitoring items 602 and 603, an analysis method 604, and a SIEM 605 are recorded.
  • the device ID 601 is an ID assigned to each device 106.
  • the monitoring items 602 and 603 specify monitoring data used when monitoring the device 106.
  • the analysis method 604 designates an analysis method for monitoring data.
  • the SIEM 605 manages monitoring data.
  • FIG. 7 is a flowchart showing the update processing of the monitoring item table 204 by the security management server 102.
  • the security management server 102 When the configuration of the facility 103 is changed, for example, when an addition, deletion, or movement of the device 106 or the sensor 107 occurs, the security management server 102 notifies the device configuration information and the NW configuration information from the device 106 and the sensor 107. Receive. In step 701, the security management server 102 receives a notification regarding the configuration change of the facility 103 from the facility management server 101, and acquires configuration information such as device configuration information and NW configuration information.
  • the device configuration table management unit 212 records device configuration information in the device configuration table 202.
  • the NW configuration table management unit 213 records the NW configuration information in the NW configuration table 203.
  • step 702 the security management server 102 refers to the acquired configuration information and the device configuration table 202, and confirms whether the device information of the device (device X) included in the acquired configuration information has been updated. To do.
  • step 703 if the device information is updated (703: YES), the process proceeds to step 704. If not updated (703: NO), the process proceeds to step 705.
  • step 704 the monitoring item calculation unit 215 of the security management server 102 refers to the updated device information of the device X and the device profile table 201, and monitors the device X in the monitoring item table 204 based on the information. Items 602 and 603 and the analysis method 604 are recorded.
  • step 705 the security management server 102 refers to the acquired configuration information and the NW configuration table 203, and confirms whether the NW configuration information of the device X has been updated. If the NW configuration information has been updated in step 706 (706: YES), the process proceeds to step 707. If not updated (706: NO), the process returns to step 702, and the next device information including the acquired configuration information is referred to and repeated until all device information is confirmed.
  • step 707 the monitoring item calculation unit 215 of the security management server 102 refers to the updated NW configuration information of the device X and the device profile table 201, and stores the device X in the monitoring item table 204 based on these information. Record SIEM 605.
  • FIG. 8 is a flowchart showing the contamination range specifying process by the security management server 102.
  • the analysis algorithm processing unit 216 of the security management server 102 refers to the monitoring item table 204, and performs a terminal that performs abnormal behavior based on the monitoring items 602 and 603 and the analysis technique 604 (hereinafter referred to as abnormal behavior terminal A). ).
  • the event output unit 217 outputs an alert indicating that the abnormal behavior terminal A has been detected.
  • the security management server 102 acquires the latest configuration information such as device configuration information and NW configuration information from the facility management server 101.
  • the device configuration table management unit 212 records the acquired latest device configuration information in the device configuration table 202.
  • the NW configuration table management unit 213 records the acquired latest NW configuration information in the NW configuration table 203.
  • the threat range determination unit 218 refers to the device ID 601 and the SIEM 605 in the monitoring item table 204, identifies the SIEM 104 that records the communication history of the abnormal behavior terminal A, and acquires the communication history from the corresponding SIEM 104. To do.
  • step 804 the threat range determination unit 218 analyzes the acquired communication history of the abnormal behavior terminal A. If there is a communication history from the abnormal behavior terminal A to the terminal B adjacent to the abnormal behavior terminal A in step 805 (805: YES), the process proceeds to step 806. In step 806, the monitoring items 602 and 603 and the analysis method 604 of the terminal B are acquired from the monitoring item table 204, and the security analysis of the terminal B is performed. In step 807, if an abnormal behavior is detected in terminal B (807: YES), the process proceeds to step 808, where terminal B is determined to be abnormal behavior, and an alert that event output unit 217 has detected abnormal behavior terminal A is issued. Output.
  • Step 805 When there is no communication history from the abnormal behavior terminal A to the terminal B adjacent to the abnormal behavior terminal A in step 805 (805: NO), and when no abnormal behavior is detected in the terminal B in step 807 (807: NO) Return to Step 809. Steps 803 to 809 are repeated for all abnormal behavior terminals.
  • each of the device 106 and the sensor 107, the facility management server 101, and the security management server 102 are connected via the network device 250.
  • the security management server 102 acquires monitoring data from each of the device 106, the sensor 107, and the network device 250.
  • the security management server 102 acquires configuration information from the facility management server 101, and when the acquired configuration information is changed, updates the monitoring item table 204 based on the changed configuration information, profile information, and monitoring data To do. Since the security management server 102 manages the device 106 and the sensor 107 based on the updated monitoring item table 204, the configuration change of the device 106 and the sensor 107 can be flexibly dealt with.
  • the configuration information includes the NW configuration information of the network device 250
  • the configuration change of the network device 250 can be flexibly dealt with.
  • the device profile table 201 includes monitoring items 302 and 303 for each device type 301, it is possible to flexibly cope with a configuration change of the device 106.
  • the device profile table 201 includes an analysis method 304 for each device type 301, a configuration change of the device 106 can be easily detected.
  • the security management server 102 When the security management server 102 detects an abnormality in either the device 106 or the sensor 107, the security management server 102 acquires configuration information such as device configuration information and NW configuration information from the facility management server 101, and monitors items based on the acquired configuration information.
  • the table 204 is updated. Since the security management server 102 manages the device 106 and the sensor 107 based on the monitoring item table 204 updated based on the communication history included in the monitoring data and the monitoring data, the configuration of the device 106 and the sensor 107 is changed. However, the contamination range can be estimated based on the latest configuration information.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

情報管理システムは、機器およびセンサの各々と、これら機器およびセンサの構成情報を管理する第一管理サーバと、前記機器のプロファイル情報を管理する第二管理サーバとがネットワーク装置を介して接続される。第二管理サーバは、前記機器、前記センサおよび前記ネットワーク装置の各々から監視情報を取得し、第一管理サーバから前記構成情報を取得する。第二管理サーバは、当該取得した構成情報が変更されている場合、当該変更された構成情報、前記プロファイル情報および前記監視情報に基づいて前記分析テーブルを更新し、当該更新された分析テーブルに基づいて前記機器および前記センサを管理する。

Description

情報管理システム
 本発明は、システムの情報を管理する情報管理システムに関する。
 近年、例えば、工場内の生産ラインや組立ロボットまたは発電所内の制御機器や計測機器(以下、機器)と、それら機器を監視するセンサとは、ネットワークに接続される。それら機器およびセンサから得られるシステムログおよびセンシングデータの監視データを分析し、その分析結果に基づいて工場の生産活動を最適化することによって、工場の生産性向上および運用保全を行う取り組みがある。
 それら機器およびセンサがネットワークに接続されることに伴って、サイバー攻撃の脅威が増大することが指摘されている。そのような脅威に対応するため、機器から得られる監視データと、ネットワークに流れるトラフィックの監視データとを分析することによって、サイバー攻撃に対する検知および防御を行うサイバー攻撃対処技術が必要となる。
 工場の高度化に伴い、工場内の機器およびセンサの構成変更が、需要に応じて頻繁に発生することが想定される。この際、設備の構成変更に応じて、セキュリティの面で分析すべき監視データと、その監視データを分析する分析アルゴリズムとを変更する必要が生じる。このため、運用者による設定作業が煩雑となるだけでなく、その設定内容が正しいかどうかをセキュリティ専門家が確認する必要もある。
 上記のように、工場および発電所における機器およびセンサの構成変更が頻繁に発生した場合、柔軟に対応可能なセキュリティ管理システムは、従来に存在しない。
特開2016-053979 特開2015-232904
 特許文献1のローカルネットワークシステムでは、ソフトウェアの信頼性に応じて、ネットワーク・アクセスの阻止と、イベントログ記録とが実施される。このローカルネットワークシステムでは、機器およびセンサの構成変更に伴うセキュリティ管理項目(イベントログ記録の条件)の変更には対応できない。
 特許文献2の情報分析システムでは、イベントに共通情報を付与し、情報粒度を揃えている。この情報分析システムでは、機器およびセンサの構成変更に伴うセキュリティ管理項目の変更(共通情報の変更)には対応できない。
 本発明は、前述した問題を解決し、機器およびセンサの構成変更に柔軟に対応することを主な目的とする。
 情報管理システムは、機器およびセンサの各々と、これら機器およびセンサの構成情報を管理する第一管理サーバと、前記機器のプロファイル情報を管理する第二管理サーバとがネットワーク装置を介して接続される。第二管理サーバは、前記機器、前記センサおよび前記ネットワーク装置の各々から監視情報を取得し、前記第一管理サーバから前記構成情報を取得する。前記第二管理サーバは、取得した構成情報が変更されている場合、当該変更された構成情報、前記プロファイル情報および前記監視情報に基づいて前記分析テーブルを更新し、当該更新された分析テーブルに基づいて前記機器および前記センサを管理する。
 機器およびセンサの構成変更が発生した際、第二管理サーバが分析テーブルを更新するので、情報管理システムのシステム管理者による設定作業の負荷を低減する。
セキュリティ管理システムを示す構成図である。 セキュリティ管理サーバを示す構成図である。 機器プロファイルテーブルを示す構成図である。 機器情報テーブルを示す構成図である。 NW構成テーブルを示す構成図である。 監視項目テーブルを示す構成図である。 セキュリティ管理サーバによる監視項目テーブルの更新処理を示すフローチャートである。 セキュリティ管理サーバによる汚染範囲の特定処理を示すフローチャートである。
 以後の説明では、「aaaテーブル」等の表現にて情報を説明する。これら情報は、テーブル等のデータ構造以外で表現されていても良い。そのため、データ構造に依存しないことを示すために「aaaテーブル」等の情報を「aaa情報」と呼ぶことができる。
 以下、図面を参照しながら、実施例を説明する。
 図1は、「情報管理システム」としてのセキュリティ管理システムの全体構成図である。
 管理対象である設備103は、複数の機器106と、各機器106をモニタリングする複数のセンサ107とを有する。複数の機器106の各々は、各ネットワークスイッチ105を経由してネットワーク装置250(図2参照)に接続されている。また、複数のセンサ107の各々は、別の各ネットワークスイッチ108を経由してネットワーク装置250に接続されている。複数の機器106と、複数のセンサ107と、「第一管理サーバ」としての設備管理サーバ101と、「第二管理サーバ」としてのセキュリティ管理サーバ102と、複数のSIEM(Security Information Management)104とは、ネットワーク装置250を介して接続されている。
 設備管理サーバ101は、機器106およびセンサ107から取得した「構成情報」としての機器構成情報およびNW構成情報を管理する。SIEM104は、機器106およびセンサ107から取得した「監視情報」としての監視データを管理する。セキュリティ管理サーバ102は、設備管理サーバ101が管理する機器構成情報およびNW構成情報と、SIEM104が管理する監視データとを用いて、機器106およびセンサ107のセキュリティを管理する。
 図2は、セキュリティ管理サーバ102の構成図である。
 セキュリティ管理サーバ102は、制御データ記憶部200と、制御処理部210と、データ転送部220と、データ記憶部230とを有する。
 制御データ記憶部200は、「プロファイル情報」としての機器プロファイルテーブル201と、機器構成テーブル202と、NW構成テーブル203と、「分析テーブル」としての監視項目テーブル204とを有する。
 機器プロファイルテーブル201は、機器種別301(図3,4参照)毎のプロファイル情報を記録する。機器構成テーブル202は、機器106毎の構成情報を記録する。NW構成テーブル203は、ネットワーク装置250の構成情報を記録する。監視項目テーブル204は、機器種別301毎の監視項目302,303(図3参照)および「分析アルゴリズム」としての分析手法を記録する。
 制御処理部210は、機器プロファイルテーブル管理部211と、機器構成テーブル管理部212と、NW構成テーブル管理部213と、監視項目テーブル管理部214とを有する。制御処理部210は、監視項目算出部215と、分析アルゴリズム処理部216と、イベント出力部217と、脅威範囲判定部218とを更に有する。
 機器プロファイルテーブル管理部211は、機器プロファイルテーブル201を管理する。機器構成テーブル管理部212は、機器構成テーブル202を管理する。NW構成テーブル管理部213は、NW構成テーブル203を管理する。監視項目テーブル管理部214は、監視項目テーブル204を管理する。監視項目算出部215は、監視項目302,303(図3参照)と、「分析アルゴリズム」としての分析手法とを算出する。分析アルゴリズム処理部216は、分析アルゴリズムを実行する。イベント出力部217は、アラート等のイベントを出力する。脅威範囲判定部218は、脅威範囲を判定する。
 データ転送部220は、ネットワーク装置250とのデータ送受信を行うデータ送受信部221を有する。
 データ記憶部230は、ネットワーク装置250から受信したデータを格納するデータ格納部231を有する。
 図3は、機器プロファイルテーブル201の構成図である。
 機器プロファイルテーブル201には、機器106の種別を指定する機器種別301と、機器種別301毎の監視データを指定する監視項目302,303と、機器種別301毎の分析手法を指定する分析手法304とが記録されている。
 図4は、機器構成テーブル202の構成図である。
 機器構成テーブル202には、機器106毎のIDを指定する機器ID401と、機器106のIPアドレスを指定するIPアドレス402と、機器ID401に対する機器106の種別を指定する機器種別403とが記録されている。
 図5は、NW構成テーブル203の構成図である。
 NW構成テーブル203には、機器IDを指定する機器ID501と、機器106のIPアドレスを指定するIPアドレス502と、機器106の監視データが管理されているSIEMを指定するSIEM503とが記録されている。
 図6は、監視項目テーブル204の構成図である。
 監視項目テーブル204には、機器ID601と、監視項目602,603と、分析手法604と、SIEM605とが記録されている。機器ID601は、機器106毎に付与されたIDである。監視項目602,603は、機器106を監視する際に利用する監視データを指定する。分析手法604は、監視データの分析手法を指定する。SIEM605には、監視データが管理されている。
 図7は、セキュリティ管理サーバ102による監視項目テーブル204の更新処理を示すフローチャートである。
 セキュリティ管理サーバ102は、設備103の構成が変更され、例えば、機器106やセンサ107の追加、削除、移動が発生した場合、これら機器106およびセンサ107から機器構成情報およびNW構成情報の更新通知を受信する。ステップ701において、セキュリティ管理サーバ102は、設備管理サーバ101から設備103の構成変更に関する通知を受信し、機器構成情報やNW構成情報などの構成情報を取得する。機器構成テーブル管理部212は、機器構成情報を機器構成テーブル202に記録する。NW構成テーブル管理部213は、NW構成情報をNW構成テーブル203に記録する。
 ステップ702において、セキュリティ管理サーバ102は、取得した構成情報と機器構成テーブル202とを参照し、取得した構成情報に含まれている機器(機器Xとする)の機器情報が更新されているかを確認する。ステップ703において、機器情報が更新されている場合は(703:YES)、ステップ704に進み、更新されていない場合は(703:NO)、ステップ705に進む。ステップ704において、セキュリティ管理サーバ102の監視項目算出部215は、更新された機器Xの機器情報と、機器プロファイルテーブル201とを参照し、これらの情報に基づいて監視項目テーブル204に機器Xの監視項目602,603と分析手法604とを記録する。
 ステップ705において、セキュリティ管理サーバ102は、取得した構成情報とNW構成テーブル203とを参照し、機器XのNW構成情報が更新されているかを確認する。ステップ706において、NW構成情報が更新されている場合は(706:YES)、ステップ707に進む。更新されていない場合は(706:NO)、ステップ702に戻り、取得した構成情報が含まれている次の機器情報を参照し、全ての機器情報を確認するまで繰り返す。ステップ707において、セキュリティ管理サーバ102の監視項目算出部215は、更新された機器XのNW構成情報と、機器プロファイルテーブル201とを参照し、これらの情報に基づいて監視項目テーブル204に機器XのSIEM605を記録する。
 図8は、セキュリティ管理サーバ102による汚染範囲の特定処理を示すフローチャートである。
 ステップ801において、セキュリティ管理サーバ102の分析アルゴリズム処理部216は、監視項目テーブル204を参照し、監視項目602,603および分析手法604に基づいて異常挙動を行っている端末(以下、異常挙動端末A)を特定する。イベント出力部217は、異常挙動端末Aを検知した旨のアラートを出力する。ステップ802において、セキュリティ管理サーバ102が設備管理サーバ101から機器構成情報やNW構成情報など最新の構成情報を取得する。機器構成テーブル管理部212は、取得した最新の機器構成情報を機器構成テーブル202に記録する。NW構成テーブル管理部213は、取得した最新のNW構成情報をNW構成テーブル203に記録する。ステップ803において、脅威範囲判定部218は、監視項目テーブル204の機器ID601およびSIEM605を参照して、異常挙動端末Aの通信履歴を記録しているSIEM104を特定し、該当するSIEM104から通信履歴を取得する。
 ステップ804において、脅威範囲判定部218は、取得した異常挙動端末Aの通信履歴を分析する。ステップ805において、異常挙動端末Aから当該異常挙動端末Aに隣接する端末Bに対する通信履歴がある場合(805:YES)は、ステップ806に進む。ステップ806において、監視項目テーブル204から端末Bの監視項目602,603および分析手法604を取得し、端末Bのセキュリティ分析を行う。ステップ807において、端末Bに異常挙動が検知された場合(807:YES)、ステップ808に進み、端末Bを異常挙動と判定し、イベント出力部217が異常挙動端末Aを検知した旨のアラートを出力する。ステップ805で異常挙動端末Aから当該異常挙動端末Aに隣接する端末Bに対する通信履歴がない場合(805:NO)、およびステップ807で端末Bに異常挙動が検知されなかった場合(807:NO)、ステップ809に戻る。全ての異常挙動端末に対して、ステップ803からステップ809を繰り返す。
 本実施例によれば、機器106およびセンサ107の各々と、設備管理サーバ101と、セキュリティ管理サーバ102とがネットワーク装置250を介して接続される。セキュリティ管理サーバ102は、機器106、センサ107およびネットワーク装置250の各々から監視データを取得する。セキュリティ管理サーバ102は、設備管理サーバ101から構成情報を取得し、当該取得した構成情報が変更されている場合、当該変更された構成情報、プロファイル情報および監視データに基づいて監視項目テーブル204を更新する。セキュリティ管理サーバ102は、更新された監視項目テーブル204に基づいて機器106およびセンサ107を管理するので、機器106およびセンサ107の構成変更に柔軟に対応するが可能となる。
 さらに、構成情報には、ネットワーク装置250のNW構成情報が含まれるので、ネットワーク装置250の構成変更に柔軟に対応することができる。
 さらに、機器プロファイルテーブル201には、機器種別301毎の監視項目302,303が含まれるので、機器106の構成変更に柔軟に対応することができる。
 さらに、機器プロファイルテーブル201には、機器種別301毎の分析手法304が含まれるので、機器106の構成変更を容易に検知することができる。
 セキュリティ管理サーバ102は、機器106およびセンサ107の何れかに異常を検知した場合、設備管理サーバ101から機器構成情報およびNW構成情報などの構成情報を取得し、取得した構成情報に基づいて監視項目テーブル204を更新する。セキュリティ管理サーバ102は、監視データに含まれる通信履歴に基づいて更新された監視項目テーブル204および監視データに基づいて機器106およびセンサ107を管理するので、機器106およびセンサ107が構成変更された場合でも、最新の構成情報に基づいて汚染範囲を推定することができる。
101…設備管理サーバ、102…セキュリティ管理サーバ、106…機器、107…センサ、201…機器プロファイルテーブル、202…機器構成テーブル、203…NW構成テーブル、204…監視項目テーブル、250…ネットワーク装置、302,303…監視項目、304…分析手法

Claims (5)

  1.  機器およびセンサの各々と、
     これら機器およびセンサの構成情報を管理する第一管理サーバと、
     前記機器のプロファイル情報を管理する第二管理サーバと
    がネットワーク装置を介して接続され、
     前記第二管理サーバは、
      前記機器、前記センサおよび前記ネットワーク装置の各々から監視情報を取得し、
      前記第一管理サーバから前記構成情報を取得し、当該取得した構成情報が変更されている場合、当該変更された構成情報、前記プロファイル情報および前記監視情報に基づいて前記分析テーブルを更新し、当該更新された分析テーブルに基づいて前記機器および前記センサを管理する情報管理システム。
  2.  前記構成情報には、前記ネットワーク装置の構成情報が含まれる、
    請求項1に記載の情報管理システム。
  3.  前記プロファイル情報には、前記機器の種別毎の監視項目が含まれる、
    請求項1又は2に記載の情報管理システム。
  4.  前記プロファイル情報には、前記機器の種別毎の分析アルゴリズムが含まれる、
    請求項1乃至3の何れか一項に記載の情報管理システム。
  5.  前記第二管理サーバは、
     前記機器および前記センサの何れかの異常を検知した場合、
      前記第一管理サーバから前記構成情報を取得し、当該取得した構成情報に基づいて前記機器構成情報テーブルを更新し、
      前記監視データに含まれる通信履歴に基づいて前記異常な機器およびセンサと通信した機器およびセンサのセキュリティ分析を実行する、
     請求項1乃至4の何れか一項に記載の情報管理システム。
PCT/JP2017/001332 2017-01-17 2017-01-17 情報管理システム WO2018134865A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018562742A JPWO2018134865A1 (ja) 2017-01-17 2017-01-17 情報管理システム
PCT/JP2017/001332 WO2018134865A1 (ja) 2017-01-17 2017-01-17 情報管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/001332 WO2018134865A1 (ja) 2017-01-17 2017-01-17 情報管理システム

Publications (1)

Publication Number Publication Date
WO2018134865A1 true WO2018134865A1 (ja) 2018-07-26

Family

ID=62909060

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/001332 WO2018134865A1 (ja) 2017-01-17 2017-01-17 情報管理システム

Country Status (2)

Country Link
JP (1) JPWO2018134865A1 (ja)
WO (1) WO2018134865A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002094509A (ja) * 2000-09-19 2002-03-29 Toshiba Corp 診断/監視ポリシー作成装置、セキュリティ診断/監視システム、方法及び記憶媒体
WO2015114791A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
JP2016095631A (ja) * 2014-11-13 2016-05-26 株式会社リコー 情報診断システム、情報診断装置、情報診断方法およびプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5030852B2 (ja) * 2008-04-26 2012-09-19 三菱電機株式会社 機器管理装置及び機器管理方法及びプログラム
JP2014016753A (ja) * 2012-07-09 2014-01-30 Mitsubishi Electric Corp 設定支援システム
CN107430665B (zh) * 2015-03-04 2021-08-10 日本电信电话株式会社 安全措施无效化防止装置、安全措施无效化防止方法和记录介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002094509A (ja) * 2000-09-19 2002-03-29 Toshiba Corp 診断/監視ポリシー作成装置、セキュリティ診断/監視システム、方法及び記憶媒体
WO2015114791A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
JP2016095631A (ja) * 2014-11-13 2016-05-26 株式会社リコー 情報診断システム、情報診断装置、情報診断方法およびプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HIROSHI SASAKI: "SIEM o Katsuyo shita Plant Security Taisaku -Jokyo Ninshiki no Jitsugen", INSTRUMENTATION, vol. 57, no. 8, 1 August 2014 (2014-08-01), pages 48 - 52 *

Also Published As

Publication number Publication date
JPWO2018134865A1 (ja) 2019-06-27

Similar Documents

Publication Publication Date Title
US10075474B2 (en) Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications
CN107409140B (zh) 用于收集工业过程控制和自动化系统风险数据的基础设施监视工具
WO2017139074A1 (en) Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics
US20160234242A1 (en) Apparatus and method for providing possible causes, recommended actions, and potential impacts related to identified cyber-security risk items
US10135855B2 (en) Near-real-time export of cyber-security risk information
CN105549508B (zh) 一种基于信息合并的报警方法及装置
US10591970B2 (en) Industrial asset management systems and methods thereof
CN107431717B (zh) 用于网络安全风险事件的自动处置的装置和方法
CN107431713B (zh) 用于将系统相关特性和事件转换成网络安全风险评估值的规则引擎
JP6223380B2 (ja) 中継装置及びプログラム
US20160241583A1 (en) Risk management in an air-gapped environment
CN107809321B (zh) 一种安全风险评估和告警生成的实现方法
AU2016215462A1 (en) Technique for using infrastructure monitoring software to collect cyber-security risk data
JP5310094B2 (ja) 異常検出システム、異常検出方法および異常検出用プログラム
US10432647B2 (en) Malicious industrial internet of things node activity detection for connected plants
JP7396371B2 (ja) 分析装置、分析方法及び分析プログラム
WO2018134865A1 (ja) 情報管理システム
CN110546934B (zh) 来自多个站点的网络安全数据的综合企业视图
WO2018200330A1 (en) Inferred detection of data replication errors of source applications by enterprise applications
WO2018138793A1 (ja) 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム
JP6041727B2 (ja) 管理装置、管理方法及び管理プログラム
US20190158602A1 (en) Data collecting system based on distributed architecture and operation method thereof

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17892594

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2018562742

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17892594

Country of ref document: EP

Kind code of ref document: A1