WO2020184036A1

WO2020184036A1 - 制御システム、制御方法、および制御デバイス

Info

Publication number: WO2020184036A1
Application number: PCT/JP2020/005276
Authority: WO
Inventors: 功川合
Original assignee: オムロン株式会社
Priority date: 2019-03-14
Filing date: 2020-02-12
Publication date: 2020-09-17
Also published as: CN113518951A; EP3940470A1; EP3940470A4; JP2020149404A; US20220164464A1

Abstract

着脱可能な記憶媒体におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高める技術を提供する。制御システム（１）は、複数のデバイスに含まれかつデータを記憶するメモリカード（３００）を着脱可能に受け入れるＰＬＣ（１００）と、複数のデバイスに含まれる１または複数のユニット（２００）とを備え、複数のデバイスおよびメモリカード（３００）の各メンバーは、各メンバーに関する関連情報を含むリストを保持し、他のメンバー各々から取得した当該他のメンバー各々の関連情報に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の関連情報を照合し、ＰＬＣ（１００）は、当該ＰＬＣ（１００）以外の他のメンバー各々の照合手段による照合結果が所定の条件を満たしたときに、メモリカード（３００）に記憶されたデータのアクセスを有効にする。

Description

制御システム、制御方法、および制御デバイス

　本発明は、制御システム、制御方法、および制御デバイスに関し、より特定的には複数のデバイスが互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御システム、制御方法、および制御デバイスに関する。

　多くの生産現場で使用される機械や設備は、典型的には、プログラマブルコントローラ（Programmable　Logic　Controller；以下「ＰＬＣ」とも称す）などの制御デバイスを含む制御システムによって制御される。一般的に、このような制御システムにおいては、着脱可能な記憶媒体に記憶されたデータを用いて、システムを復旧させたり、プログラムやデータを更新させたりすることが行われている。

　たとえば、特開２０１１－２１５８１４号公報（特許文献１）においては、プログラマブルコントローラ（ＰＬＣ）に接続されたバックアップ・リストアユニットを利用して、通信機器の対象パラメータの設定値をバックアップまたはリストアすることができるバックアップ・リストアシステムが開示されている。このバックアップ・リストアシステムにおいては、メモリカードなどの着脱可能な記憶媒体に記憶させておいたバックアップデータを用いて、各種データがリストアされるようになっている。

特開２０１１－２１５８１４号公報

　特許文献１に開示されたバックアップ・リストアシステムのように、着脱可能な記憶媒体にデータを記憶させ、必要に応じてＰＬＣなどのデバイスからデータにアクセスさせることは一般的に行われている。このような着脱可能な記憶媒体は持ち運びができるためにユーザの利便性がよい反面、着脱可能であるが故に盗難される危険性があり、セキュリティ面においては不安要素もある。一般的な盗難対策であれば、記憶媒体に対して予め決められたホストによって個体認証などでアクセスコントロールすればよいが、ＦＡ（ファクトリオートメーション）の分野では、実使用上、必ずしも決められたホストに記憶媒体が挿入されるとは限らない。

　本発明は、上述したような課題を解決することを一つの目的とし、着脱可能な記憶媒体におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高める技術を提供することを目的とする。

　本開示の一例に従えば、複数のデバイスが互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御システムが提供される。制御システムは、複数のデバイスに含まれかつデータを記憶する記憶媒体を着脱可能に受け入れる第１のデバイスと、複数のデバイスに含まれる１または複数の第２のデバイスとを備える。複数のデバイスおよび記憶媒体の各メンバーは、各メンバーに関する関連情報を含むリストを保持する記憶領域と、他のメンバー各々から取得した当該他のメンバー各々の関連情報に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の関連情報を照合する照合手段とを有する。第１のデバイスは、当該第１のデバイス以外の他のメンバー各々の照合手段による照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスを有効にする。

　この開示によれば、第１のデバイスによって記憶媒体が受け入れられた際、当該第１のデバイス以外の他のメンバーの各々によって実行される関連情報の照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスが有効になるため、着脱可能な記憶媒体におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高めることができる。

　上述の開示において、第１のデバイスは、秘匿化された専用のロジックを含む読込部を有しており、記憶媒体は、読込部からのみアクセス可能に構成されている。

　この開示によれば、第１のデバイスが有する秘匿化された専用のロジックを含む読込部からのみ記憶媒体にアクセス可能であるため、着脱可能な記憶媒体におけるデータのアクセスに関してさらにセキュリティを高めることができる。

　上述の開示において、関連情報は、各メンバーを個別に識別するシリアルナンバーを含み、照合手段は、他のメンバー各々から取得した当該他のメンバー各々のシリアルナンバーに対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々のシリアルナンバーを照合する。

　この開示によれば、各メンバーを個別に識別するシリアルナンバーの照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスが有効になるため、着脱可能な記憶媒体におけるデータのアクセスに関してさらにセキュリティを高めることができる。

　上述の開示において、関連情報は、各メンバーの型式を含み、照合手段は、他のメンバー各々から取得した当該他のメンバー各々の型式に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の型式を照合する。

　この開示によれば、各メンバーの型式の照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスが有効になるため、型式が同じである一方でシリアルナンバーが異なるメンバー構成であっても記憶媒体に記憶されたデータのアクセスを有効にすることができ、着脱可能な記憶媒体におけるデータのアクセスに関するセキュリティの向上と、ユーザの利便性の向上とのバランスを取ることができる。

　上述の開示において、制御システムは、デバイス群を支援するサポート装置を備える。関連情報は、各メンバーを個別に識別するシリアルナンバーと、各メンバーの型式とを含み、照合手段は、他のメンバー各々から取得した当該他のメンバー各々のシリアルナンバーに対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々のシリアルナンバーを照合する第１の照合手段と、他のメンバー各々から取得した当該他のメンバー各々の型式に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の型式を照合する第２の照合手段とを含む。サポート装置は、第１の照合手段による照合および第２の照合手段による照合のいずれかを選択するためのユーザインターフェースを提供する。

　この開示によれば、ユーザは、サポート装置を利用して、各メンバーを個別に識別するシリアルナンバーの照合、および各メンバーの型式の照合のいずれかを選択することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　上述の開示において、制御システムは、デバイス群を支援するサポート装置を備える。サポート装置は、第１のデバイス以外の他のメンバーのうち、照合手段による照合対象となるメンバーの数を設定するためのユーザインターフェースを提供する。

　この開示によれば、ユーザは、サポート装置を利用して、照合対象となるメンバーの数を設定することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　上述の開示において、制御システムは、デバイス群を支援するサポート装置を備える。サポート装置は、メンバーの適用範囲を設定するためのユーザインターフェースを提供する。

　この開示によれば、ユーザは、サポート装置を利用して、メンバーの適用範囲を設定することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　本開示の別の一例に従えば、複数のデバイスが互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御方法が提供される。複数のデバイスには、データを記憶する記憶媒体を着脱可能に受け入れる第１のデバイスと、１または複数の第２のデバイスとが含まれる。複数のデバイスおよび記憶媒体の各メンバーは、各メンバーに関する関連情報を含むリストを保持する記憶領域を有する。制御方法は、各メンバーに、他のメンバー各々から取得した当該他のメンバー各々の関連情報に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の関連情報を照合させるステップと、第１のデバイスに、当該第１のデバイス以外の他のメンバー各々による照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスを有効にさせるステップとを含む。

　本開示の別の一例に従えば、複数のデバイスが互いに通信可能に構成されたデバイス群に含まれかつデータのアクセスを制御する制御デバイスが提供される。制御デバイスは、データを記憶する記憶媒体を着脱可能に受け入れる受入部を備える。複数のデバイスおよび記憶媒体の各メンバーは、各メンバーに関する関連情報を含むリストを保持する記憶領域と、他のメンバー各々から取得した当該他のメンバー各々の関連情報に対して、記憶領域に保持されたリストに含まれる当該他のメンバー各々の関連情報とを照合する照合手段とを有する。制御デバイスは、当該制御デバイス以外の他のメンバー各々の照合手段による照合結果が所定の条件を満たしたときに、記憶媒体に記憶されたデータのアクセスを有効にする。

本実施の形態に係る制御システムの適用例を示す模式図である。本実施の形態に係るＰＬＣのハードウェア構成例、およびメモリカードの構成例を示す模式図である。本実施の形態に係るユニットのハードウェア構成例を示す模式図である。本実施の形態に係るサポート装置のハードウェア構成例を示す模式図である。本実施の形態に係る制御システムにおいて正当にデータアクセスされる場合のシリアル照合の一例を示す模式図である。本実施の形態に係る制御システムにおけるシリアル照合の判定例を示す模式図である。本実施の形態に係る制御システムにおいて不当にデータアクセスされる場合のシリアル照合の一例を示す模式図である。本実施の形態に係る制御システムにおいて正当にデータアクセスされる場合のモデル照合の一例を示す模式図である。本実施の形態に係る制御システムにおけるモデル照合の判定例を示す模式図である。本実施の形態に係る制御システムにおいて不当にデータアクセスされる場合のモデル照合の一例を示す模式図である。本実施の形態に係るサポート装置における設定画面の一例を示す模式図である。本実施の形態に係る制御システムにおいて実行されるシリアル照合によるアクセス認証処理の一例を示すシーケンス図である。本実施の形態に係る制御システムにおいて実行されるモデル照合によるアクセス認証処理の一例を示すシーケンス図である。

　本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。

　＜Ａ．適用例＞
　本発明が適用される場面の一例について説明する。

　図１は、本実施の形態に係る制御システム１の適用例を示す模式図である。図１に示すように、制御システム１は、複数のデバイスが互いに通信可能に構成されたデバイス群を含む。

　本明細書において、「デバイス」は、制御システム１における制御要素の単位を意味し、制御演算に必要なプログラム、構成設定、パラメータなどは、デバイスの単位で生成および管理される。典型的には、「デバイス」は、制御プログラム（シーケンス制御およびモーション制御を含み得る）を実行する処理主体であるプログラマブルコントローラ（ＰＬＣ）と、ＰＬＣに接続される周辺装置とを含み得る。典型的には、周辺装置は、ＰＬＣで取り扱われる入出力データを制御対象との間で遣り取りする装置であり、具体的には、ユニット、スレーブデバイス、およびカプラユニットなどが挙げられる。

　図１の例では、制御システム１は、デバイスとして、プログラマブルコントローラ（ＰＬＣ）１００と、ＰＬＣ１００と通信可能に接続された複数のユニット２００－１，２００－２，２００－３，２００－４（以下、「ユニット２００」とも総称する。）とを備える。ＰＬＣ１００は、「第１のデバイス」の一例であり、ユニット２００は、「第２のデバイス」の一例である。なお、「第１のデバイス」および「第２のデバイス」は、ＰＬＣ、ユニット、スレーブデバイス、およびカプラユニットなどのいずれのデバイスに適用してもよい。

　スロット１（図中のSlot1）に配置されたＰＬＣ１００を中心として、スロット２に配置されたユニット２００－１（図中のUnit1）、スロット３に配置されたユニット２００－２（図中のUnit2）、スロット４に配置されたユニット２００－３（図中のUnit3）、およびスロット５に配置されたユニット２００－４（図中のUnit4）がローカルバス４を介してＰＬＣ１００と通信可能に接続されている。

　さらに、制御システム１は、デバイス群を支援するサポート装置４００を備える。サポート装置４００は、制御システム１を構成する各デバイスで実行される制御プログラムや必要なパラメータなどの開発や管理を行う。ＰＬＣ１００には、サポート装置４００と通信接続するためのＵＳＢ(Universal　Serial　Bus)コネクタ１０５が設けられており、サポート装置４００によって開発されたプログラムや設定パラメータは、ネットワーク２を介してＵＳＢコネクタ１０５からＰＬＣ１００およびユニット２００に転送（ダウンロード）される。

　このような構成を有する制御システム１においては、着脱可能な記憶媒体に記憶されたデータを用いて、システムを復旧させたり、プログラムやデータを更新させたりする機能が搭載されている。たとえば、ＰＬＣ１００は、メモリカード３００を着脱可能に受け入れるメモリカードインターフェース１０３を備えており、メモリカードインターフェース１０３に装着されたメモリカード３００にアクセスすることでデータを取得することができる。なお、メモリカードインターフェース１０３は、「受入部」の一例である。

　具体的な例としては、システムのバックアップ／リストアが挙げられる。たとえば、ユーザは、メモリカードインターフェース１０３を介して、各デバイスで用いられるデータをメモリカード３００に記憶させることでデータをバックアップしておく。デバイスが故障した場合には、故障したデバイスを新たなデバイスと交換し、メモリカード３００にバックアップしておいたデータ（以下、「バックアップデータ」とも称する。）を、新たに導入されたデバイスにおいて復元する。このような処理を「リストア」とも称する。バックアップデータは、典型的には、制御システム１の不具合などを解消するために用いられる。

　「記憶媒体」の一例であるメモリカード３００としては、たとえば、ＳＤ(Secure　Digital)カードなどの着脱可能なメモリカードが挙げられる。なお、「記憶媒体」は、ＵＳＢメモリ、コンパクトフラッシュ（登録商標）、およびメモリースティックなど、着脱可能な記憶媒体であればいずれのものも含み得る。

　記憶媒体によって記憶される「データ」は、上述したバックアップデータ、デバイスで用いられるプログラムやパラメータ、デバイスによって取得されたログデータやトレースデータなどを含み得る。

　このように、着脱可能なメモリカード３００にバックアップデータなどを記憶させ、必要に応じてＰＬＣ１００などのデバイスからアクセスさせることがある。このような着脱可能なメモリカード３００は持ち運びができるためにユーザの利便性がよい反面、着脱可能であるが故に盗難される危険性があり、セキュリティ面においては不安要素もある。一般的な盗難対策であれば、メモリカード３００に対して予め決められたホスト（デバイス）によって個体認証などでアクセスコントロールすればよいが、ＦＡ（ファクトリオートメーション）の分野では、実使用上、必ずしも決められたホストにメモリカード３００が挿入されるとは限らない。

　つまり、メモリカード３００に対するアクセス制限を厳しくすればするほど、よりセキュアなシステムを構築することができる反面、その分、実使用における作業性が悪くなる。そこで、本実施の形態に係る制御システム１においては、このようなトレードオフを解消するために、着脱可能なメモリカード３００におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高める技術を提供する。

　具体的には、特定のデバイスにメモリカード３００が挿入された場合、メモリカード３００自身が挿入元である特定のデバイスを認証していなくても、他の多くのデバイス間で現在接続されているデバイス群の構成内容が一致すれば、メモリカード３００におけるデータに対する当該特定のデバイスによるアクセスを有効にするように、制御システム１が構成されている。以下、具体的に説明する。

　本実施の形態においては、ＰＬＣ１００やユニット２００－１～２００－４などの複数のデバイス、およびメモリカード３００を総称して「メンバー」とも称する。各メンバーは、当該各メンバーに関する関連情報を含むリストを保持する記憶領域を有する。「関連情報」は、各メンバーを特定する情報であればいずれのものであってもよく、本実施の形態においては、型式（図中のModel）と、シリアルナンバー（図中のSerial）とを含み得る。

　「型式」は、各メンバーにおいて、構造、設備、および外形などの違いによって他と区別される型を意味する。「シリアルナンバー」は、各メンバーを個別に識別する番号であり、たとえば、出荷される製品の各々に割り当てられる固有の製造番号が適用され得る。通常、シリアルナンバーは各メンバーに固有に割り当てられるため、複数の異なるメンバー間でシリアルナンバーが重複することはない。一方、型式はメンバーの型ごとに割り当てられるため、複数の異なるメンバー間で型式が重複し得る。

　たとえば、図１の例では、ＰＬＣ１００には、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ａ」が割り当てられている。ユニット２００－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｂ」が割り当てられている。ユニット２００－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｃ」が割り当てられている。ユニット２００－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｄ」が割り当てられている。ユニット２００－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｅ」が割り当てられている。このように、ＰＬＣ１００およびユニット２００－１～２００－４の各々に固有のシリアルナンバーが割り当てられているのに対して、ユニット２００－１とユニット２００－２とでは同じ型式「Ｂ」が割り当てられ、ユニット２００－３とユニット２００－４とでは同じ型式「Ｃ」が割り当てられている。

　さらに、メモリカード３００には、型式として「Ｘ」が割り当てられ、シリアルナンバーとして「ｙ」が割り当てられている。

　また、メモリカード３００は、リスト３００Ｌを保持し、ＰＬＣ１００は、リスト１００Ｌを保持し、ユニット２００－１～２００－４は、それぞれリスト２００－１Ｌ～２００－４Ｌを保持する。各リストは、サポート装置４００によって作成され、各デバイスに転送される。そして、サポート装置４００またはＰＬＣ１００を介して、メモリカード３００にもリストが保持される。

　図１の例では、メモリカード３００が保持するリスト３００Ｌの内容が示されている。リスト３００Ｌには、スロット（Slot）１～５ごとに割り当てられた型式（Model）およびシリアルナンバー（Serial）が格納されており、さらに、メモリカード３００の型式（Model）およびシリアルナンバー（Serial）も格納されている。これにより、メモリカード３００は、リスト３００Ｌを参照することで、システム上において現時点で構成されている各メンバーを把握することができる。

　また、基本的には、メンバーが交換されない限り、各メンバーが保持するリスト間でその内容は同じである。具体的には、図１に示したリスト３００Ｌの内容は、ＰＬＣ１００が保持するリスト１００Ｌの内容、およびユニット２００－１～２００－４のそれぞれが保持するリスト２００－１Ｌ～２００－４Ｌの内容と同じである。

　さらに、各メンバーは、他のメンバー各々から取得した当該他のメンバー各々の関連情報に対して、自身が保持するリストに含まれる当該他のメンバー各々の関連情報を照合するように構成されている。

　具体的には、メモリカード３００は、自身が保持するリストに含まれる他のメンバー（ＰＬＣ１００，ユニット２００）の型式やシリアルナンバーと、他のメンバー（ＰＬＣ１００，ユニット２００）から取得した型式やシリアルナンバーとを照合することで、他のメンバー（ＰＬＣ１００，ユニット２００）について関連情報が一致するか否かを判断する。

　同様に、ＰＬＣ１００は、自身が保持するリストに含まれる他のメンバー（メモリカード３００，ユニット２００）の型式やシリアルナンバーと、他のメンバー（メモリカード３００，ユニット２００）から取得した型式やシリアルナンバーとを照合することで、他のメンバー（メモリカード３００，ユニット２００）について関連情報が一致するか否かを判断する。

　同様に、各ユニット２００は、自身が保持するリストに含まれる他のメンバー（メモリカード３００，ＰＬＣ１００，他のユニット２００）の型式やシリアルナンバーと、他のメンバー（メモリカード３００，ＰＬＣ１００，他のユニット２００）から取得した型式やシリアルナンバーとを照合することで、他のメンバー（メモリカード３００，ＰＬＣ１００，他のユニット２００）について関連情報が一致するか否かを判断する。

　ＰＬＣ１００は、メモリカード３００が挿入された際、上述した各メンバーによる照合の結果が所定の条件を満たしたときに、メモリカード３００に記憶されたデータのアクセスを有効にする。「所定の条件」は、セキュリティの観点から、メモリカード３００に記憶されたデータのアクセスを有効にすることができる条件であれば、いずれのものを用いてもよい。

　たとえば、メモリカード３００がＰＬＣ１００に挿入された際、ＰＬＣ１００以外の他のメンバー（メモリカード３００，ユニット２００）によって、自身が保持するリストに基づき、システム上において現在構成されている各メンバーが照合され、メンバー間でその照合結果の一致度合いが一定の値を超えていれば、メモリカード３００におけるデータに対するＰＬＣ１００によるアクセスが有効になる。

　このように、本実施の形態に係る制御システム１においては、ＰＬＣ１００によってメモリカード３００が受け入れられた際、当該ＰＬＣ１００以外の他のメンバー（メモリカード３００，ユニット２００）の各々によって実行される関連情報の照合結果が所定の条件を満たしたときに、メモリカード３００に記憶されたデータのアクセスが有効になるため、着脱可能なメモリカード３００におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高めることができる。

　＜Ｂ．制御システム１に含まれる各装置のハードウェア構成＞
　次に、制御システム１に含まれる各装置のハードウェア構成の一例について説明する。

　（ｂ１：ＰＬＣ１００）
　図２は、本実施の形態に係るＰＬＣ１００のハードウェア構成例、およびメモリカード３００の構成例を示す模式図である。図２に示すように、ＰＬＣ１００は、プロセッサ１０２と、メインメモリ１０４と、ストレージ１０６と、ネットワークコントローラ１０８と、メモリカードインターフェース１１３とを含む。これらのコンポーネントは、プロセッサバス１３０を介して接続されている。

　プロセッサ１０２は、制御演算などを実行する演算部であり、たとえば、ＣＰＵ（Central　Processing　Unit）やＧＰＵ（Graphics　Processing　Unit）などで構成される。具体的には、プロセッサ１０２は、ストレージ１０６に格納されたプログラム（一例として、制御プログラム１４０、システムプログラム１０６０、およびリストア用プログラム１０６５）を読み出して、メインメモリ１０４に展開して実行することで、所定の制御を実現する。

　図２の例では、プロセッサ１０２が所定のプログラムを実行することで、ＰＬＣ１００として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　メインメモリ１０４は、たとえば、ＤＲＡＭ（Dynamic　Random　Access　Memory）やＳＲＡＭ（Static　Random　Access　Memory）などの揮発性記憶装置などで構成される。ストレージ１０６は、たとえば、ＳＳＤ（Solid　State　Drive）やＨＤＤ（Hard　Disk　Drive）などの不揮発性記憶装置などで構成される。ストレージ１０６には、基本的な機能を実現するためのシステムプログラム１０６０に加えて、設備や機械などの制御対象に応じて作成される制御プログラム１４０、およびＰＬＣ１００をリストアするためのリストア用プログラム１０６５が格納されている。

　ネットワークコントローラ１０８は、ネットワーク２を介して、サポート装置４００を含む任意の情報処理装置との間でデータを遣り取りする。

　メモリカードインターフェース１１３は、着脱可能な記録媒体の一例であるメモリカード３００専用のインターフェースである。メモリカードインターフェース１１３は、所定のアクセス認証を受けることによって、メモリカード３００に対してデータを書き込み、メモリカード３００から各種データ（バックアップデータなど）を読み出すことが可能になっている。

　メモリカードインターフェース１１３には、セキュリティユニット１１３０が搭載されている。セキュリティユニット１１３０は、メモリカード３００に対するプロセッサ１０２からのアクセスを許可または禁止するセキュリティチップであり、秘匿化された専用のロジックを含む「読込部」の一例である。本実施の形態に係るメモリカード３００は、データのアクセスに関してセキュアなメモリカードであり、セキュリティユニット１１３０からのみアクセス可能に構成されている。これにより、メモリカード３００におけるデータのアクセスに関してセキュリティを高めることができる。

　セキュリティユニット１１３０は、プロセッサ１１３１と、ストレージ１１３２と、メモリ１１３３と、ＩＯモジュール１１３４と、ＩＯモジュール１１３５と、メモリカードコントローラ１１３６とを含む。

　プロセッサ１１３１は、制御演算などを実行する演算部であり、たとえば、ＭＰＵ（Micro　Processing　Unit）などで構成される。プロセッサ１１３１は、ストレージ１１３２に格納されたプログラム（一例として、読込プログラム１１５０）を読み出して、メモリ１１３３に展開して実行することで、所定の制御を実現する。

　図２の例では、プロセッサ１１３１が所定のプログラムを実行することで、セキュリティユニット１１３０として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　メモリ１１３３は、たとえば、ＤＲＡＭやＳＲＡＭなどの揮発性記憶装置などで構成される。ストレージ１１３２は、たとえば、フラッシュメモリなどの不揮発性記憶装置などで構成され、ＰＬＣ１００における「記憶領域」の一例である。ストレージ１１３２には、読込プログラム１１５０と、ユーザデータ１１６０と、証明書データ１１７０と、識別データ１１８０と、リスト１００Ｌとが格納されている。

　読込プログラム１１５０は、メモリカード３００に含まれるバックアップデータなどのデータ１３３５に対するプロセッサ１０２からのアクセス指令が出力された場合に、メモリカード３００のデータ１３３５に対するアクセスを有効にするか否かを判定するとともに、当該判定結果がポジティブな結果であればアクセスを有効にする一方、ネガティブな結果であればアクセスを禁止するといったアクセス認証処理を実行するためのプログラムを含む。ユーザデータ１１６０は、制御システム１におけるユーザを識別するための情報（たとえば、アカウント名やパスワード）を含む。

　証明書データ１１７０は、ＰＬＣ１００が制御システム１にとって正当であることを証明するための情報を含む。たとえば、証明書データ１１７０は、メーカによって正当な製品であると認証された際に発行された証明書の情報を含む。なお、証明書データ１１７０は、メーカに限らず、ユーザや第三者の外部組織によって認証された際に発行された証明書の情報を含んでいてもよい。

　識別データ１１８０は、ＰＬＣ１００の型式やシリアルナンバーなどの関連情報を含む。リスト１００Ｌは、上述したように、各メンバーに関する関連情報を含む。

　ＩＯモジュール１１３４は、プロセッサバス１３０を介して、プロセッサ１１３１とプロセッサ１０２などとの間で入出力データを遣り取りする。ＩＯモジュール１１３５は、メモリカードコントローラ１１３６を介して、プロセッサ１１３１とメモリカード３００との間で入出力データを遣り取りする。

　メモリカードコントローラ１１３６は、上述のアクセス認証処理に基づきメモリカード３００に対するプロセッサ１０２からのアクセスを有効にする場合に、メモリカード３００との間の通信経路を有効にする。

　（ｂ２：メモリカード３００）
　図２に示すように、メモリカード３００は、データエリア１３３１と、セキュアエリア１３３２と、セキュリティコントローラ１３３６とを含む。データエリア１３３１は、バックアップデータなどのデータ１３３５が格納される記憶領域である。データ１３３５は、公開鍵などの鍵を用いて暗号化された上でデータエリア１３３１に格納されてもよい。

　セキュアエリア１３３２は、アクセスに認証を要する秘匿化された記憶領域であり、メモリカード３００における「記憶領域」の一例である。セキュアエリア１３３２には、ユーザデータ１３６０と、証明書データ１３７０と、識別データ１３８０と、リスト３００Ｌとが格納されている。

　ユーザデータ１３６０は、制御システム１におけるユーザを識別するための情報（たとえば、アカウント名やパスワード）を含む。証明書データ１３７０は、メモリカード３００が制御システム１にとって正当であることを証明するための情報を含む。たとえば、証明書データ１３７０は、メーカによって正当な製品であると認証された際に発行された証明書の情報を含む。なお、証明書データ３１７０は、メーカに限らず、ユーザや第三者の外部組織によって認証された際に発行された証明書の情報を含んでいてもよい。

　識別データ１３８０は、メモリカード３００の型式やシリアルナンバーなどの関連情報を含む。リスト３００Ｌは、上述したように、各メンバーに関する関連情報を含む。

　セキュリティコントローラ１３３６は、上述のアクセス認証処理に基づきデータ１３３５に対するプロセッサ１０２からのアクセスが有効にされた場合に、セキュリティユニット１１３０とデータエリア１３３１との間の通信経路を有効にする。特に、本実施の形態に係るメモリカード３００は、秘匿化された専用のロジックを含むＰＬＣ１００のセキュリティユニット１１３０からのみアクセス可能に構成されているが、仮に、メモリカード３００にアクセス可能な他の読込装置があったとしても、上述したアクセス認証処理に基づく認証ができなければ、外部からメモリカード３００のデータエリア１３３１に格納されたデータ１３３５にアクセスできないように構成されている。

　（ｂ３：ユニット２００）
　図３は、本実施の形態に係るユニット２００のハードウェア構成例を示す模式図である。図３に示すように、ユニット２００は、機能モジュール２１０と、ローカルバスコントローラ２２０と、セキュリティユニット２１３０とを含む。

　機能モジュール２１０は、各ユニット２００の責務に応じた機能を提供する。たとえば、ユニット２００がデジタル入力ユニットである場合には、機能モジュール２１０は、フォトカプラなどのデジタル信号の入力回路および検出回路を有している。また、ユニット２００がサーボドライバなどである場合には、機能モジュール２１０は、軌道演算ロジックおよび指令生成ロジックなどを有している。

　ローカルバスコントローラ２２０は、ローカルバス４を介して、接続先のＰＬＣ１００または他のユニット２００との間でデータを遣り取りする。

　セキュリティユニット２１３０は、上述したアクセス認証処理を実行するためのセキュリティチップであり、機能モジュール２１０とローカルバスコントローラ２２０との間で相互に通信する。セキュリティユニット２１３０は、プロセッサ２１６１と、ストレージ２１６２と、メモリ２１６３とを含む。

　プロセッサ２１６１は、制御演算などを実行する演算部であり、たとえば、ＭＰＵなどで構成される。プロセッサ２１６１は、ストレージ２１６２に格納されたプログラム（一例として、リストア用プログラム２１５０）を読み出して、メモリ２１６３に展開して実行することで、所定の制御を実現する。

　図３の例では、プロセッサ２１６１が所定のプログラムを実行することで、ユニット２００として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　メモリ２１６３は、たとえば、ＤＲＡＭやＳＲＡＭなどの揮発性記憶装置などで構成される。ストレージ２１６２は、たとえば、フラッシュメモリなどの不揮発性記憶装置などで構成され、ユニット２００における「記憶領域」の一例である。ストレージ２１６２には、リストア用プログラム２１５０と、ユーザデータ２１６０と、証明書データ２１７０と、識別データ２１８０と、リスト２００Ｌとが格納されている。

　リストア用プログラム２１５０は、ユニット２００をリストアするためのプログラムを含む。ユーザデータ２１６０は、制御システム１におけるユーザを識別するための情報（たとえば、アカウント名やパスワード）を含む。証明書データ２１７０は、ユニット２００が制御システム１にとって正当であることを証明するための情報を含む。たとえば、証明書データ２１７０は、メーカによって正当な製品であると認証された際に発行された証明書の情報を含む。なお、証明書データ２１７０は、メーカに限らず、ユーザや第三者の外部組織によって認証された際に発行された証明書の情報を含んでいてもよい。

　（ｂ４：サポート装置４００）
　図４は、本実施の形態に係るサポート装置４００のハードウェア構成例を示す模式図である。サポート装置４００は、一例として、汎用的なアーキテクチャに従うコンピュータがプログラムを実行することで実現される。

　図４に示すように、サポート装置４００は、プロセッサ４０２と、メインメモリ４０４と、ストレージ４０６と、入力部４０８と、表示部４１０と、光学ドライブ４１２と、ネットワークコントローラ４１６とを含む。これらのコンポーネントは、プロセッサバス４１８を介して相互に通信可能に接続されている。

　プロセッサ４０２は、ＣＰＵやＧＰＵなどで構成され、ストレージ４０６に格納されたプログラム（一例として、ＯＳ４０６０およびサポートプログラム４０６２）を読み出して、メインメモリ４０４に展開して実行することで、各種処理を実現する。

　図４の例では、プロセッサ４０２が所定のプログラムを実行することで、サポート装置４００として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　メインメモリ４０４は、ＤＲＡＭやＳＲＡＭなどの揮発性記憶装置などで構成される。ストレージ４０６は、たとえば、ＨＤＤやＳＳＤなどの不揮発性記憶装置などで構成される。

　ストレージ４０６には、基本的な機能を実現するためのＯＳ４０６０に加えて、サポート装置４００としての機能を提供するためのサポートプログラム４０６２が格納されている。サポートプログラム４０６２は、コンピュータをサポート装置４００として機能させる。

　入力部４０８は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。表示部４１０は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ４０２からの処理結果などを出力する。

　ネットワークコントローラ４１６は、ネットワーク２を介して、ＰＬＣ１００などの任意の外部装置などとの間でデータを遣り取りする。

　サポート装置４００は、光学ドライブ４１２を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体４１４（たとえば、ＤＶＤ（Digital　Versatile　Disc）などの光学記録媒体）から、その中に格納されたプログラムが読み取られてストレージ４０６などにインストールされる。

　サポート装置４００で実行されるサポートプログラム４０６２などは、コンピュータ読取可能な記録媒体４１４を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置４００が提供する機能は、ＯＳが提供するモジュールの一部を利用する形で実現される場合もある。

　＜Ｃ．シリアル照合の一例＞
　図５～図７を参照しながら、アクセス認証処理におけるシリアルナンバーを用いた照合（以下、「シリアル照合」とも称する。）について説明する。

　（ｃ１．正当にデータアクセスされる場合のシリアル照合の一例）
　図５は、本実施の形態に係る制御システム１において正当にデータアクセスされる場合のシリアル照合の一例を示す模式図である。図６は、本実施の形態に係る制御システム１におけるシリアル照合の判定例を示す模式図である。

　図５に示すように、制御システム１において、スロット１のＰＬＣ１００には、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ａ」が割り当てられている。スロット２のユニット２００－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｂ」が割り当てられている。スロット３のユニット２００－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｃ」が割り当てられている。スロット４のユニット２００－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｄ」が割り当てられている。スロット５のユニット２００－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｅ」が割り当てられている。このように構成された制御システム１において、ＰＬＣ１００のバックアップデータがメモリカード３００に記憶されている。

　このような状況において、スロット１のＰＬＣ１００が故障したため、ＰＬＣ１００をＰＬＣ１００ａに交換することで制御システム１ａを構築することを想定する。ＰＬＣ１００ａには、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ｆ」が割り当てられている。つまり、ＰＬＣ１００に代わって新たに導入されたＰＬＣ１００ａは、型式がＰＬＣ１００と同じである一方、シリアルナンバーがＰＬＣ１００と異なっている。

　ＰＬＣ１００のバックアップデータをリストアするために、ＰＬＣ１００ａにメモリカード３００が挿入されると、メモリカード３００、ＰＬＣ１００ａ、およびユニット２００－１～２００－４によるアクセス認証処理（シリアル認証）が実行される。

　ここで、メモリカード３００のリスト３００Ｌ、ユニット２００－１のリスト２００－１Ｌ、ユニット２００－２のリスト２００－２Ｌ、ユニット２００－３のリスト２００－３Ｌ、およびユニット２００－４のリスト２００－４Ｌは、ともにリストの内容が同じであるとする。なお、ＰＬＣ１００ａは新規導入であるため、リスト１００ａＬの内容は空（ブランク）である。

　メモリカード３００は、スロット１のＰＬＣ１００ａから識別データとしてシリアルナンバー「ｆ」を取得して、自身のリスト３００Ｌに格納されたスロット１に対応するシリアルナンバー「ａ」と照合すると、両者が一致しないと判断する。また、メモリカード３００は、スロット２～スロット５の各ユニット２００から識別データとしてシリアルナンバー「ｂ」，「ｃ」，「ｄ」，「ｅ」を取得して、自身のリスト３００Ｌに格納されたスロット２～スロット５に対応するシリアルナンバー「ｂ」，「ｃ」，「ｄ」，「ｅ」と照合すると、それぞれが一致すると判断する。つまり、メモリカード３００による照合の結果、スロット１のシリアルナンバーのみが異なると判断される。

　たとえば、図６に示すように、メモリカード３００は、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、スロット１のみにおいて、ビット「１」を設定し、残りのメンバーについてはビット「０」を設定する。

　ＰＬＣ１００ａは、メモリカード３００から識別データとしてシリアルナンバー「ｙ」を取得して、自身のリスト１００ａＬに格納されたメモリカードに対応するシリアルナンバーと照合すると、リスト１００ａＬの内容は空（ブランク）であるため、両者が一致しないと判断する。また、ＰＬＣ１００ａは、スロット２～スロット５の各ユニット２００から識別データとしてシリアルナンバー「ｂ」，「ｃ」，「ｄ」，「ｅ」を取得して、自身のリスト１００ａＬに格納されたスロット２～スロット５に対応するシリアルナンバーと照合すると、リスト１００ａＬの内容は空（ブランク）であるため、それぞれが一致しないと判断する。つまり、ＰＬＣ１００ａによる照合の結果、メモリカード３００およびスロット２～スロット５において、シリアルナンバーが異なると判断される。

　たとえば、図６に示すように、スロット１のＰＬＣ１００ａは、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、メモリカード３００およびスロット２～スロット５についてビット「１」を設定する。

　ユニット２００－１～２００－４のそれぞれは、メモリカード３００から識別データとしてシリアルナンバー「ｙ」を取得して、自身のリスト２００－１Ｌ～２００－４Ｌのそれぞれに格納されたメモリカードに対応するシリアルナンバー「ｙ」と照合すると、両者が一致すると判断する。また、ユニット２００－１～２００－４のそれぞれは、ＰＬＣ１００ａから識別データとしてシリアルナンバー「ｆ」を取得して、自身のリスト２００－１Ｌ～２００－４Ｌのそれぞれに格納されたスロット１に対応するシリアルナンバー「ａ」と照合すると、両者が一致しないと判断する。また、ユニット２００のそれぞれは、自身以外の他のユニット２００から識別データとしてシリアルナンバーを取得して、自身のリストに格納された他のユニット２００に対応するシリアルナンバーと照合すると、両者が一致すると判断する。つまり、ユニット２００－１～２００－４のそれぞれによる照合の結果、スロット１のシリアルナンバーのみが異なると判断される。

　たとえば、図６に示すように、スロット２～スロット５の各ユニット２００は、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、スロット１のみにおいて、ビット「１」を設定し、残りのメンバーについてはビット「０」を設定する。

　このようにして各メンバーにおいてシリアルナンバーが照合されると、メモリカード３００およびユニット２００がスロット１のシリアルナンバーのみが異なると判断したことになる。よって、多くのメンバーによって、スロット１のＰＬＣ１００ａが新規導入されていると判断されており、逆に言うと、その他のメンバーは変更されていないと判断できる。したがって、多数決の考え方から、シリアルナンバーを用いた照合の結果の一致度合いは高いため、メモリカード３００は、ＰＬＣ１００ａによるバックアップデータのアクセスを有効にして、リストアを許可する。

　たとえば、各メンバーによって得られた照合結果は、他のメンバーに送信されることで、全てのメンバー間で図６に示すようなテーブルが共有される。そして、メンバーのうちの一のメンバー（たとえば、最も早く各メンバーの照合結果を集めたメンバー）によって、照合結果が所定の条件を満たすか否かが判定される。具体的には、図６に示すように、各メンバーによって設定されたビットが加算され、その後、加算結果がメンバー数で除算されることで平均値（％）が算出される。そして、算出された各メンバーの平均値に基づき、５０％を超えるメンバーが存在するか否かが判定される。この例においては、スロット１のみが５０％を超えている。

　そして、５０％を超えたメンバーの数が３個以上の場合、つまり、５０％を超えるメンバーによって変更されたと判断されたメンバーの数が３個以上の場合、照合の結果の一致度合いが低いと判定されてデータのアクセスがＮＧとなる。一方、５０％を超えたメンバーの数が３未満の場合、つまり、５０％を超えるメンバーによって変更されたと判断されたメンバーの数が３個未満の場合、ＯＫと判定される。

　このようにして判定された結果がＯＫであれば、メモリカード３００は、ＰＬＣ１００ａによるバックアップデータのアクセスを有効化する。

　（ｃ２．不当にデータアクセスされる場合のシリアル照合の一例）
　図７は、本実施の形態に係る制御システム１において不当にデータアクセスされる場合のシリアル照合の一例を示す模式図である。

　図７に示すように、制御システム１において、スロット１のＰＬＣ１００には、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ａ」が割り当てられている。スロット２のユニット２００－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｂ」が割り当てられている。スロット３のユニット２００－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｃ」が割り当てられている。スロット４のユニット２００－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｄ」が割り当てられている。スロット５のユニット２００－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｅ」が割り当てられている。このように構成された制御システム１において、ＰＬＣ１００のバックアップデータがメモリカード３００に記憶されている。

　このような状況において、メモリカード３００が盗まれて不正に構築されたラインを有する制御システム１ｘにおいてデータのリストアが行われることを想定する。たとえば、スロット１のＰＬＣ１００ｘ、およびスロット２～スロット５のユニット２００ｘ－１～ユニット２００ｘ－４がローカルバス４ｘを介して通信可能に構成されている。

　スロット１のＰＬＣ１００ｘには、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ｏ」が割り当てられている。スロット２のユニット２００ｘ－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｐ」が割り当てられている。スロット３のユニット２００ｘ－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｑ」が割り当てられている。スロット４のユニット２００ｘ－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｒ」が割り当てられている。スロット５のユニット２００ｘ－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｓ」が割り当てられている。

　ＰＬＣ１００のバックアップデータを不当にリストアするために、ＰＬＣ１００ｘにメモリカード３００が挿入されると、アクセス認証処理のプログラムを有していなければ、アクセス認証処理が実行されず、ＰＬＣ１００ｘによるメモリカード３００におけるデータのアクセスが有効化されない。これにより、データの外部流出を防ぐことができる。

　仮にアクセス認証処理のプログラムを有していた場合、メモリカード３００、ＰＬＣ１００ｘ、およびユニット２００ｘ－１～２００ｘ－４によるアクセス認証処理（シリアル認証）が実行される。

　たとえば、メモリカード３００は、スロット１のＰＬＣ１００ｘから識別データとしてシリアルナンバー「ｏ」を取得して、自身のリスト３００Ｌに格納されたスロット１に対応するシリアルナンバー「ａ」と照合すると、両者が一致しないと判断する。また、メモリカード３００は、スロット２～スロット５の各ユニット２００ｘから識別データとしてシリアルナンバー「ｐ」，「ｑ」，「ｒ」，「ｓ」を取得して、自身のリスト３００Ｌに格納されたスロット２～スロット５に対応するシリアルナンバー「ｂ」，「ｃ」，「ｄ」，「ｅ」と照合すると、それぞれが一致しないと判断する。つまり、メモリカード３００による照合の結果、スロット１～スロット５の全てにおいて、シリアルナンバーが一致しないと判断される。

　本実施の形態においては、シリアル照合を採用した場合、メモリカード３００のリスト３００Ｌに格納された各メンバーのシリアルナンバーと、各メンバーから取得した各メンバーのシリアルナンバーとの照合によって、一致したメンバーの数が一定数（たとえば、３）を超えないときには、一致度合いが低いと判断される。図７の例では、シリアルナンバーを用いた照合の結果の一致度合いは低いため、メモリカード３００は、ＰＬＣ１００ｘによるバックアップデータのアクセスを有効にせず、リストアを禁止する。

　＜Ｄ．モデル照合の一例＞
　図８～図１０を参照しながら、アクセス認証処理における型式を用いた照合（以下、「モデル照合」とも称する。）について説明する。

　（ｄ１．正当にデータアクセスされる場合のモデル照合の一例）
　図８は、本実施の形態に係る制御システム１において正当にデータアクセスされる場合のモデル照合の一例を示す模式図である。図９は、本実施の形態に係る制御システム１におけるモデル照合の判定例を示す模式図である。

　図８に示すように、制御システム１において、スロット１のＰＬＣ１００には、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ａ」が割り当てられている。スロット２のユニット２００－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｂ」が割り当てられている。スロット３のユニット２００－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｃ」が割り当てられている。スロット４のユニット２００－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｄ」が割り当てられている。スロット５のユニット２００－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｅ」が割り当てられている。このように構成された制御システム１において、ＰＬＣ１００のバックアップデータがメモリカード３００に記憶されている。

　このような状況において、制御システム１と同じ構成を有するラインをコピーすることで制御システム１ｂを構築することを想定する。たとえば、スロット１のＰＬＣ１００ｂ、およびスロット２～スロット５のユニット２００ｂ－１～ユニット２００ｂ－４がローカルバス４ｂを介して通信可能に構成されている。

　スロット１のＰＬＣ１００ｂには、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ｇ」が割り当てられている。スロット２のユニット２００ｂ－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｈ」が割り当てられている。スロット３のユニット２００ｂ－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｉ」が割り当てられている。スロット４のユニット２００ｂ－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｊ」が割り当てられている。スロット５のユニット２００ｂ－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｋ」が割り当てられている。

　ＰＬＣ１００のバックアップデータをリストアするために、ＰＬＣ１００ｂにメモリカード３００が挿入されると、メモリカード３００、ＰＬＣ１００ｂ、およびユニット２００ｂ－１～２００ｂ－４によるアクセス認証処理（モデル認証）が実行される。

　ここで、メモリカード３００のリスト３００Ｌ、ユニット２００ｂ－１のリスト２００ｂ－１Ｌ、ユニット２００ｂ－２のリスト２００ｂ－２Ｌ、ユニット２００ｂ－３のリスト２００ｂ－３Ｌ、およびユニット２００ｂ－４のリスト２００ｂ－４Ｌは、ともにリストの内容が同じであるとする。

　メモリカード３００は、スロット１のＰＬＣ１００ｂから識別データとして型式「Ａ」を取得して、自身のリスト３００Ｌに格納されたスロット１に対応する型式「Ａ」と照合すると、両者が一致すると判断する。また、メモリカード３００は、スロット２～スロット５の各ユニット２００から識別データとして型式「Ｂ」，「Ｂ」，「Ｃ」，「Ｃ」を取得して、自身のリスト３００Ｌに格納されたスロット２～スロット５に対応する型式「Ｂ」，「Ｂ」，「Ｃ」，「Ｃ」と照合すると、それぞれが一致すると判断する。つまり、メモリカード３００による照合の結果、スロット１～スロット５の全てにおいて、型式が一致すると判断される。

　たとえば、図９に示すように、メモリカード３００は、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、スロット１～スロット５において、ビット「０」を設定する。

　ＰＬＣ１００ｂは、メモリカード３００から識別データとして型式「Ｘ」を取得して、自身のリスト１００ｂＬに格納されたメモリカードに対応する型式「Ｘ」と照合すると、両者が一致すると判断する。また、ＰＬＣ１００ｂは、スロット２～スロット５の各ユニット２００ｂから識別データとして型式「Ｂ」，「Ｂ」，「Ｃ」，「Ｃ」を取得して、自身のリスト１００ｂＬに格納されたスロット２～スロット５に対応する型式「Ｂ」，「Ｂ」，「Ｃ」，「Ｃ」と照合すると、それぞれが一致すると判断する。つまり、ＰＬＣ１００ｂによる照合の結果、スロット１～スロット５の全てにおいて、型式が一致すると判断される。

　たとえば、図９に示すように、スロット１のＰＬＣ１００ｂは、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、メモリカード３００およびスロット２～スロット５についてビット「０」を設定する。

　ユニット２００ｂ－１～２００ｂ－４のそれぞれは、メモリカード３００から識別データとして型式「Ｘ」を取得して、自身のリスト２００ｂ－１Ｌ～２００ｂ－４Ｌのそれぞれに格納されたメモリカードに対応する型式「Ｘ」と照合すると、両者が一致すると判断する。また、ユニット２００ｂ－１～２００ｂ－４のそれぞれは、ＰＬＣ１００ｂから識別データとして型式「Ａ」を取得して、自身のリスト２００ｂ－１Ｌ～２００ｂ－４Ｌのそれぞれに格納されたスロット１に対応する型式「Ａ」と照合すると、両者が一致すると判断する。また、ユニット２００ｂのそれぞれは、自身以外の他のユニット２００ｂから識別データとして型式を取得して、自身のリストに格納された他のユニット２００ｂに対応する型式と照合すると、両者が一致すると判断する。つまり、ユニット２００ｂ－１～２００ｂ－４のそれぞれによる照合の結果、スロット１～スロット５の全てにおいて、型式が一致すると判断される。

　たとえば、図９に示すように、スロット２～スロット５の各ユニット２００ｂは、自身が保持するテーブルにおいて、照合の結果が一致すればビット「０」を設定し、照合の結果が一致しなければビット「１」を設定するとすれば、照合結果に基づき、各メンバーについてビット「０」を設定する。

　このようにして各メンバーにおいて型式が照合されると、メモリカード３００およびスロット１～スロット５の全てにおいて、型式が一致すると判断されたことになる。よって、多くのメンバーによって、スロット１のＰＬＣ１００ｂを含む多くのメンバーが変更されていないと判断されている。したがって、多数決の考え方から、型式を用いた照合の結果の一致度合いは高いため、メモリカード３００は、ＰＬＣ１００ｂによるバックアップデータのアクセスを有効にして、リストアを許可する。

　たとえば、各メンバーによって得られた照合結果は、他のメンバーに送信されることで、全てのメンバー間で図９に示すようなテーブルが共有される。そして、メンバーのうちの一のメンバー（たとえば、最も早く各メンバーの照合結果を集めたメンバー）によって、照合結果が所定の条件を満たすか否かが判定される。具体的には、図９に示すように、各メンバーによって設定されたビットが加算され、その後、加算結果がメンバー数で除算されることで平均値（％）が算出される。そして、算出された各メンバーの平均値に基づき、５０％を超えるメンバーが存在するか否かが判定される。この例においては、全てのメンバーにおいて５０％を超えていない。

　なお、図８の例においては、型式が同じラインのコピーであるため、ＰＬＣやユニットのシリアルナンバーは変更される。このため、仮に、図５および図６に示すようなシリアル照合を図８の例に採用した場合、多くのメンバーによって、スロット１のＰＬＣを含む多くのメンバーが変更されていると判断されるため、メモリカード３００は、ＰＬＣによるバックアップデータのアクセスを有効にしないことになる。

　この点、図８および図９の例のように、デバイス固有のシリアルナンバーを用いるのではなく、型式を用いて照合すれば、型式が同じである一方でシリアルナンバーが異なるメンバー構成であってもメモリカード３００に記憶されたバックアップデータのアクセスを有効にすることができ、メモリカード３００におけるデータのアクセスに関するセキュリティの向上と、ユーザの利便性の向上とのバランスを取ることができる。

　（ｄ２．不当にデータアクセスされる場合のモデル照合の一例）
　図１０は、本実施の形態に係る制御システム１において不当にデータアクセスされる場合のモデル照合の一例を示す模式図である。

　図１０に示すように、制御システム１において、スロット１のＰＬＣ１００には、型式として「Ａ」が割り当てられ、シリアルナンバーとして「ａ」が割り当てられている。スロット２のユニット２００－１には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｂ」が割り当てられている。スロット３のユニット２００－２には、型式として「Ｂ」が割り当てられ、シリアルナンバーとして「ｃ」が割り当てられている。スロット４のユニット２００－３には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｄ」が割り当てられている。スロット５のユニット２００－４には、型式として「Ｃ」が割り当てられ、シリアルナンバーとして「ｅ」が割り当てられている。このように構成された制御システム１において、ＰＬＣ１００のバックアップデータがメモリカード３００に記憶されている。

　このような状況において、メモリカード３００が盗まれて不正に構築されたラインを有する制御システム１ｙにおいてデータのリストアが行われることを想定する。たとえば、スロット１のＰＬＣ１００ｙ、およびスロット２～スロット５のユニット２００ｙ－１～ユニット２００ｙ－３がローカルバス４ｙを介して通信可能に構成されている。

　スロット１のＰＬＣ１００ｙには、型式として「Ｄ」が割り当てられ、シリアルナンバーとして「ｋ」が割り当てられている。スロット２のユニット２００ｙ－１には、型式として「Ｅ」が割り当てられ、シリアルナンバーとして「ｌ」が割り当てられている。スロット３のユニット２００ｙ－２には、型式として「Ｅ」が割り当てられ、シリアルナンバーとして「ｍ」が割り当てられている。スロット４のユニット２００ｙ－３には、型式として「Ｆ」が割り当てられ、シリアルナンバーとして「ｎ」が割り当てられている。なお、スロット５にはユニットが存在しない。

　ＰＬＣ１００のバックアップデータを不当にリストアするために、ＰＬＣ１００ｙにメモリカード３００が挿入されると、アクセス認証処理のプログラムを有していなければ、アクセス認証処理が実行されず、ＰＬＣ１００ｙによるメモリカード３００におけるデータのアクセスが有効化されない。これにより、データの外部流出を防ぐことができる。

　仮にアクセス認証処理のプログラムを有していた場合、メモリカード３００、ＰＬＣ１００ｙ、およびユニット２００ｙ－１～２００ｙ－３によるアクセス認証処理（モデル認証）が実行される。

　たとえば、メモリカード３００は、スロット１のＰＬＣ１００ｙから識別データとして型式「Ｄ」を取得して、自身のリスト３００Ｌに格納されたスロット１に対応する型式「Ａ」と照合すると、両者が一致しないと判断する。また、メモリカード３００は、スロット２～スロット４の各ユニット２００ｙから識別データとして型式「Ｅ」，「Ｅ」，「Ｆ」を取得して、自身のリスト３００Ｌに格納されたスロット２～スロット４に対応する型式「Ｂ」，「Ｂ」，「Ｃ」と照合すると、それぞれが一致しないと判断する。さらに、メモリカード３００は、スロット５から識別データを取得できないため、自身のリスト３００Ｌに格納されたスロット５に対応する型式「Ｃ」と照合できず、両者が一致しないと判断する。つまり、メモリカード３００による照合の結果、スロット１～スロット５の全てにおいて、型式が一致しないと判断される。

　本実施の形態においては、モデル照合を採用した場合、メモリカード３００のリスト３００Ｌに格納された各メンバーの型式と、各メンバーから取得した各メンバーの型式との照合によって、一致したメンバーの数が一定数（たとえば、３）を超えないときには、一致度合いが低いと判断される。図１０の例では、型式を用いた照合の結果の一致度合いは低いため、メモリカード３００は、ＰＬＣ１００ｙによるバックアップデータのアクセスを有効にせず、リストアを禁止する。

　＜Ｅ．サポート装置４００における設定画面の一例＞
　図１１は、本実施の形態に係るサポート装置４００における設定画面の一例を示す模式図である。図１１に示すように、サポート装置４００は、アクセス認証処理に関する各種設定を行うためのユーザインターフェースをユーザに提供する。

　具体的には、サポート装置４００の画面４５０には、ユーザ情報を設定するためのユーザ情報欄４５１と、ユーザ認証方法を設定するためのユーザ認証方法欄４５２と、パスワードを設定するためのパスワード欄４５３と、照合方法を設定するための照合方法欄４５４と、セキュリティ強度を設定するためのセキュリティ強度欄４５５と、適用範囲を設定するための適用範囲欄４５６とが含まれる。

　ユーザは、ユーザ情報欄４５１に所望のアカウント名を入力することで、ユーザ情報として所望のアカウント名を設定することができる。ユーザは、ユーザ認証方法欄４５２において所望のユーザ認証方法を選択することができる。図示は省略するが、本実施の形態においては、パスワード認証の他に、顔認証や生体認証（たとえば、指紋認証）などを選択することができる。ユーザは、パスワード認証を選択した場合、パスワード欄４５３に所望のパスワードを入力することができる。

　ユーザは、照合方法欄４５４において所望の照合方法を選択することができる。本実施の形態においては、ユーザは、上述したシリアル照合またはモデル照合を選択することができる。このように、本実施の形態に係るサポート装置４００は、シリアル照合およびモデル照合のいずれかを選択するためのユーザインターフェースを提供する。

　これにより、ユーザは、サポート装置４００を利用して、各メンバーを個別に識別するシリアルナンバーの照合、および各メンバーの型式の照合のいずれかを選択することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　なお、サポート装置４００は、モデル照合およびシリアル照合のいずれかのみを実行するための選択肢に限らず、モデル照合およびシリアル照合の両方を実行するための選択肢をユーザに提供してもよい。つまり、本実施の形態に係る制御システム１は、モデル照合およびシリアル照合の両方を実行することで、デバイスによるメモリカード３００のデータに対するアクセスを許可または禁止を判断してもよい。

　ユーザは、セキュリティ強度欄４５５において、制御システム１におけるセキュリティ強度を設定することができる。具体的には、ユーザは、各デバイスの中から、アクセス認証処理においてシリアル照合やモデル照合を実行するデバイスの数を設定することができる。なお、セキュリティ面を考慮すれば、全てのデバイスにおいて照合を実行した方がよいが、処理時間の省略や処理の複雑さを回避するならば、照合するデバイスの数を減らした方がよい。本実施の形態においては、全てのデバイスの数から１を減算した数が推奨されている。このように、本実施の形態に係るサポート装置４００は、照合対象となるメンバーの数を設定するためのユーザインターフェースを提供する。

　これにより、ユーザは、サポート装置４００を利用して、照合対象となるメンバーの数を設定することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　ユーザは、適用範囲欄４５６において、アクセス認証処理においてシリアル照合やモデル照合を実行するメンバーの適用範囲を設定することができる。図示は省略するが、本実施の形態においては、ユーザは、ＰＬＣ１００と当該ＰＬＣ１００にローカルバス４を介して接続されたデバイスを適用範囲とすることもできるし、さらに加えてネットワーク２やサポート装置４００のようなツールを適用範囲とすることもできる。このように、本実施の形態に係るサポート装置４００は、メンバーの適用範囲を設定するためのユーザインターフェースを提供する。

　これにより、ユーザは、サポート装置４００を利用して、メンバーの適用範囲を設定することができるため、システムに求められるセキュリティレベルに応じて、適切なシステムを構築することができる。

　＜Ｆ．アクセス認証処理の一例＞
　図１２および図１３を参照しながら、本実施の形態に係る制御システム１において実行されるアクセス認証処理の一例について説明する。

　（ｆ１．シリアル照合によるアクセス認証処理の一例）
　図１２は、本実施の形態に係る制御システム１において実行されるシリアル照合によるアクセス認証処理の一例を示すシーケンス図である。なお、図１２においては、図５および図６の例におけるアクセス認証処理（シリアル照合）を例示する。つまり、スロット１においてシリアルナンバー「ａ」のＰＬＣ１００から、シリアルナンバー「ｆ」のＰＬＣ１００ａに交換された後のリストアについて例示する。

　図示は省略するが、まず、スロット１のＰＬＣ１００ａにメモリカード３００が挿入され、かつ所定のスイッチが操作されると、サポート装置４００の画面上においてユーザデータの入力がユーザに求められる。ユーザが、ユーザデータとして、たとえば、ユーザ情報（たとえば、アカウント名）およびパスワードを入力すると、図１２に示すように、サポート装置４００は、メモリカード３００、スロット１のＰＬＣ１００ａ、およびスロット２～スロット５の各ユニット２００にユーザデータを送信する（ステップ（１），（２），（３））。

　スロット１のＰＬＣ１００ａは、自身が保持するユーザデータ１１６０と、サポート装置４００から取得したユーザデータとを照合し、両者が一致すれば、自身が保持する証明書データ１１７０をスロット２～スロット５の各ユニット２００に送信する（ステップ（４））。なお、スロット１のＰＬＣ１００ａは、ユーザデータを認証できなければ、証明書データ１１７０を送信しない。

　一方、スロット２～スロット５の各ユニット２００は、証明書データ１１７０に基づき、ＰＬＣ１００ａがメーカによる正当な製品であると判断すると、ＰＬＣ１００ａを認証した旨の認証データをＰＬＣ１００ａに送信する（ステップ（５））。なお、スロット２～スロット５の各ユニット２００は、ＰＬＣ１００ａがメーカによる正当な製品であると判断できなければ、認証データをＰＬＣ１００ａに送信しない。

　また、スロット２～スロット５の各ユニット２００は、自身が保持するユーザデータ２１６０と、サポート装置４００から取得したユーザデータとを照合し、両者が一致すれば、自身が保持する証明書データ２１７０をスロット１のＰＬＣ１００ａに送信する（ステップ（６））。なお、スロット２～スロット５の各ユニット２００は、ユーザデータを認証できなければ、証明書データ２１７０を送信しない。

　また、メモリカード３００は、自身が保持するユーザデータ１３６０と、サポート装置４００から取得したユーザデータとを照合し、両者が一致すれば、自身が保持する証明書データ１３７０をスロット１のＰＬＣ１００ａに送信する（ステップ（７））。なお、メモリカード３００は、ユーザデータを認証できなければ、証明書データ１３７０を送信しない。

　一方、スロット１のＰＬＣ１００ａは、証明書データ２１７０に基づき、スロット２～スロット５の各ユニット２００がメーカによる正当な製品であると判断すると、各ユニット２００を認証した旨の認証データを各ユニット２００に送信する（ステップ（８））。なお、スロット１のＰＬＣ１００ａは、スロット２～スロット５の各ユニット２００がメーカによる正当な製品であると判断できなければ、認証データを送信しない。

　また、スロット１のＰＬＣ１００ａは、証明書データ１３７０に基づき、メモリカード３００がメーカによる正当な製品であると判断すると、メモリカード３００を認証した旨の認証データをメモリカード３００に送信する（ステップ（９））。なお、スロット１のＰＬＣ１００ａは、メモリカード３００がメーカによる正当な製品であると判断できなければ、認証データを送信しない。

　ステップ（１）～（９）の処理によって、スロット２～スロット５の各ユニット２００によるスロット１のＰＬＣ１００ａの認証、スロット１のＰＬＣ１００ａによるスロット２～スロット５の各ユニット２００の認証、およびスロット１のＰＬＣ１００ａによるメモリカード３００の認証が完了する。

　その後、スロット１のＰＬＣ１００ａは、シリアル照合のために、自身が保持する識別データ１１８０（シリアルナンバー「ｆ」）を、スロット２～スロット５の各ユニット２００に送信する（ステップ（１０））。また、スロット１のＰＬＣ１００ａは、シリアル照合のために、自身が保持する識別データ１１８０（シリアルナンバー「ｆ」）を、メモリカード３００に送信する（ステップ（１１））。

　また、スロット２～スロット５の各ユニット２００は、シリアル照合のために、自身が保持する識別データ２１８０（シリアルナンバー「ｂ」，「ｃ」，「ｄ」，「ｅ」）を、メモリカード３００に送信する（ステップ（１２））。また、メモリカード３００は、シリアル照合のために、自身が保持する識別データ１３８０（シリアルナンバー「ｙ」）を、スロット２～スロット５の各ユニット２００に送信する（ステップ（１３））。さらに、スロット２～スロット５の各ユニット２００は、シリアル照合のために、自身が保持する識別データ２１８０を、他のユニット２００に送信する（ステップ（１４））。

　ステップ（１０）～（１４）の処理によって、メモリカード３００、スロット１のＰＬＣ１００ａ、およびスロット２～スロット５の各ユニット２００は、各メンバーの識別データ（シリアルナンバー）を取得する。

　その後、メモリカード３００、スロット１のＰＬＣ１００ａ、およびスロット２～スロット５の各ユニット２００は、各メンバーから取得した識別データ（シリアルナンバー）と、自身が保持するリストに格納された各メンバーのシリアルナンバーとを照合する（ステップ（１５））。

　図５および図６の例で説明したように、メンバーのうちの一のメンバー（たとえば、最も早く各メンバーの照合結果を集めたメンバー）によって、シリアルナンバーを用いた照合の結果の一致度合いが高いと判断されると、メモリカード３００は、ＰＬＣ１００ａによるバックアップデータのアクセスを有効にして、バックアップデータをスロット１のＰＬＣ１００ａに送信する（ステップ（１６））。

　そして、各メンバーは、他のメンバーから取得した識別データ（シリアルナンバー）に基づき、自身が保持するリストを更新する（ステップ（１７））。これにより、各メンバーが保持するリストが、最新の内容に更新される。

　その後、スロット１のＰＬＣ１００ａは、メモリカード３００から取得したバックアップデータに基づき、リストアを実行する（ステップ（１８））。

　なお、図１２に示す例では、モデル照合の結果の一致度合いが高いと判断された場合に、メモリカード３００からスロット１のＰＬＣ１００ａにバックアップデータが送信されたが、これに限らず、ＰＬＣ１００ａ、メモリカード３００、および各ユニット２００による相互の認証が完了した後に、メモリカード３００からスロット１のＰＬＣ１００ａにバックアップデータが送信されてもよい。この場合、モデル照合の結果の一致度合いが高いと判断されない限り、スロット１のＰＬＣ１００ａによるリストアの実行が禁止されるようにすればよい。

　このように、ＰＬＣ１００ａによってメモリカード３００が受け入れられた際、当該ＰＬＣ１００ａ以外の他のメンバーの各々によって実行されるシリアルナンバーの照合の結果、各メンバー間で照合結果の一致度合いが高いときに、メモリカード３００に記憶されたバックアップデータのアクセスが有効になるため、着脱可能なメモリカード３００におけるバックアップデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高めることができる。

　また、メモリカード３００が盗難されたときに限らず、誤って異なる構成であるシステムにメモリカード３００が挿入された場合でも、上述したようなアクセス認証処理（シリアル照合）によって許可されなければメモリカード３００のデータにデバイスからアクセスできないため、メモリカード３００の誤挿入も防止することができる。

　（ｆ２．モデル照合によるアクセス認証処理の一例）
　図１３は、本実施の形態に係る制御システム１において実行されるモデル照合によるアクセス認証処理の一例を示すシーケンス図である。なお、図１３においては、図８および図９の例におけるアクセス認証処理（モデル照合）を例示する。つまり、制御システム１と同じ構成を有するラインをコピーした後のリストアについて例示する。

　図示は省略するが、まず、スロット１のＰＬＣ１００ｂにメモリカード３００が挿入され、かつ所定のスイッチが操作されると、サポート装置４００の画面上においてユーザデータの入力がユーザに求められる。ユーザが、ユーザデータとして、たとえば、ユーザ情報（たとえば、アカウント名）およびパスワードを入力すると、図１３に示すように、サポート装置４００は、メモリカード３００にユーザデータを送信する（ステップ（１））。

　メモリカード３００は、自身が保持するユーザデータ１３６０と、サポート装置４００から取得したユーザデータとを照合し、両者が一致すれば、自身が保持する証明書データ１３７０をスロット１のＰＬＣ１００ｂに送信する（ステップ（２））。なお、メモリカード３００は、ユーザデータを認証できなければ、証明書データ１３７０を送信しない。

　一方、スロット１のＰＬＣ１００ｂは、証明書データ１３７０に基づき、メモリカード３００がメーカによる正当な製品であると判断すると、メモリカード３００を認証した旨の認証データをメモリカード３００に送信する（ステップ（３））。なお、スロット１のＰＬＣ１００は、メモリカード３００がメーカによる正当な製品であると判断できなければ、認証データを送信しない。

　また、スロット１のＰＬＣ１００ｂは、自身が保持するユーザデータ１１６０と、サポート装置４００から取得したユーザデータとを照合し、両者が一致すれば、自身が保持する証明書データ１１７０をスロット１のメモリカード３００に送信する（ステップ（４））。なお、スロット１のＰＬＣ１００ｂは、ユーザデータを認証できなければ、証明書データ１１７０を送信しない。

　一方、メモリカード３００は、証明書データ１１７０に基づき、スロット１のＰＬＣ１００ｂがメーカによる正当な製品であると判断すると、ＰＬＣ１００ｂを認証した旨の認証データをＰＬＣ１００ｂに送信する（ステップ（５））。なお、メモリカード３００は、スロット１のＰＬＣ１００ｂがメーカによる正当な製品であると判断できなければ、認証データを送信しない。

　ステップ（１）～（５）の処理によって、スロット１のＰＬＣ１００ｂによるメモリカード３００の認証、およびメモリカード３００によるスロット１のＰＬＣ１００ｂの認証が完了する。

　その後、スロット１のＰＬＣ１００ｂは、モデル照合のために、自身が保持する識別データ１１８０（型式「Ａ」）を、スロット２～スロット５の各ユニット２００ｂに送信する（ステップ（６））。また、スロット１のＰＬＣ１００ｂは、モデル照合のために、自身が保持する識別データ１１８０（型式「Ａ」）を、メモリカード３００に送信する（ステップ（７））。

　また、スロット２～スロット５の各ユニット２００ｂは、モデル照合のために、自身が保持する識別データ２１８０（型式「Ｂ」，「Ｂ」，「Ｃ」，「Ｃ」）を、メモリカード３００に送信する（ステップ（８））。また、メモリカード３００は、モデル照合のために、自身が保持する識別データ１３８０（型式「Ｘ」）を、スロット２～スロット５の各ユニット２００ｂに送信する（ステップ（９））。さらに、スロット２～スロット５の各ユニット２００ｂは、モデル照合のために、自身が保持する識別データ２１８０を、他のユニット２００ｂに送信する（ステップ（１０））。

　ステップ（６）～（１０）の処理によって、メモリカード３００、スロット１のＰＬＣ１００ｂ、およびスロット２～スロット５の各ユニット２００ｂは、各メンバーの識別データ（型式）を取得する。

　その後、メモリカード３００、スロット１のＰＬＣ１００ｂ、およびスロット２～スロット５の各ユニット２００ｂは、各メンバーから取得した識別データ（型式）と、自身が保持するリストに格納された各メンバーの型式とを照合する（ステップ（１１））。

　図８および図９の例で説明したように、メンバーのうちの一のメンバー（たとえば、最も早く各メンバーの照合結果を集めたメンバー）によって、型式を用いた照合の結果の一致度合いが高いと判断されると、メモリカード３００は、ＰＬＣ１００ｂによるバックアップデータのアクセスを有効にして、バックアップデータをスロット１のＰＬＣ１００ｂに送信する（ステップ（１２））。

　そして、スロット１のＰＬＣ１００ｂは、メモリカード３００から取得したバックアップデータに基づき、リストアを実行する（ステップ（１３））。

　なお、図１３に示す例では、モデル照合の結果の一致度合いが高いと判断された場合に、メモリカード３００からスロット１のＰＬＣ１００ｂにバックアップデータが送信されたが、これに限らず、ＰＬＣ１００ｂおよびメモリカード３００による相互の認証が完了した後に、メモリカード３００からスロット１のＰＬＣ１００ｂにバックアップデータが送信されてもよい。この場合、モデル照合の結果の一致度合いが高いと判断されない限り、スロット１のＰＬＣ１００ｂによるリストアの実行が禁止されるようにすればよい。

　このように、ＰＬＣ１００ｂによってメモリカード３００が受け入れられた際、当該ＰＬＣ１００ｂ以外の他のメンバーの各々によって実行される型式の照合の結果、各メンバー間で照合結果の一致度合いが高いときに、メモリカード３００に記憶されたバックアップデータのアクセスが有効になるため、着脱可能なメモリカード３００におけるバックアップデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高めることができる。

　さらに、型式が同じである一方でシリアルナンバーが異なるメンバー構成であってもメモリカード３００に記憶されたバックアップデータのアクセスを有効にすることができ、着脱可能な記憶媒体におけるバックアップデータのアクセスに関するセキュリティの向上と、ユーザの利便性の向上とのバランスを取ることができる。

　また、メモリカード３００が盗難されたときに限らず、誤って異なる構成であるシステムにメモリカード３００が挿入された場合でも、上述したようなアクセス認証処理（モデル照合）によって許可されなければメモリカード３００のデータにデバイスからアクセスできないため、メモリカード３００の誤挿入も防止することができる。

　＜Ｇ．付記＞
　以上のように、本実施の形態では以下のような開示を含む。

　（構成１）
　複数のデバイス（１００，２００－１～２００－４）が互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御システム（１）であって、
　前記複数のデバイスに含まれかつデータを記憶する記憶媒体（３００）を着脱可能に受け入れる第１のデバイス（１００）と、
　前記複数のデバイスに含まれる１または複数の第２のデバイス（２００－１～２００－４）とを備え、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、
　　前記各メンバーに関する関連情報を含むリスト（３００Ｌ，１００Ｌ，２００－１Ｌ～２００－４Ｌ）を保持する記憶領域（１３３２，１１３２，２１６２）と、
　　他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報を照合する照合手段（図１２のステップ（１５），図１３のステップ（１１））とを有し、
　前記第１のデバイスは、当該第１のデバイス以外の前記他のメンバー各々の前記照合手段による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にする、制御システム（１）。

　（構成２）
　前記第１のデバイスは、秘匿化された専用のロジックを含む読込部（１１３０）を有しており、
　前記記憶媒体は、前記読込部からのみアクセス可能に構成されている、構成１の制御システム（１）。

　（構成３）
　前記関連情報は、前記各メンバーを個別に識別するシリアルナンバーを含み、
　前記照合手段は、前記他のメンバー各々から取得した当該他のメンバー各々の前記シリアルナンバーに対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記シリアルナンバーを照合する、構成１または構成２の制御システム（１）。

　（構成４）
　前記関連情報は、前記各メンバーの型式を含み、
　前記照合手段は、前記他のメンバー各々から取得した当該他のメンバー各々の前記型式に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記型式を照合する、構成１または構成２の制御システム（１）。

　（構成５）
　前記デバイス群を支援するサポート装置（４００）を備え、
　前記関連情報は、前記各メンバーを個別に識別するシリアルナンバーと、前記各メンバーの型式とを含み、
　前記照合手段は、
　　前記他のメンバー各々から取得した当該他のメンバー各々の前記シリアルナンバーに対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記シリアルナンバーを照合する第１の照合手段（図１２のステップ（１５））と、
　　前記他のメンバー各々から取得した当該他のメンバー各々の前記型式に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記型式を照合する第２の照合手段（図１３のステップ（１１））とを含み、
　前記サポート装置は、前記第１の照合手段による照合および前記第２の照合手段による照合のいずれかを選択するためのユーザインターフェース（４５４）を提供する、構成１または構成２の制御システム（１）。

　（構成６）
　前記デバイス群を支援するサポート装置（４００）を備え、
　前記サポート装置は、前記第１のデバイス以外の前記他のメンバーのうち、前記照合手段による照合対象となる前記メンバーの数を設定するためのユーザインターフェース（４５５）を提供する、構成１～構成５のいずれかの制御システム（１）。

　（構成７）
　前記デバイス群を支援するサポート装置（４００）を備え、
　前記サポート装置は、前記メンバーの適用範囲を設定するためのユーザインターフェース（４５６）を提供する、構成１～構成６のいずれかの制御システム（１）。

　（構成８）
　複数のデバイス（１００，２００－１～２００－４）が互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御方法（図１２，図１３）であって、
　前記複数のデバイスには、データを記憶する記憶媒体（３００）を着脱可能に受け入れる第１のデバイス（１００）と、１または複数の第２のデバイス（２００－１～２００－４）とが含まれ、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、前記各メンバーに関する関連情報を含むリスト（３００Ｌ，１００Ｌ，２００－１Ｌ～２００－４Ｌ）を保持する記憶領域（１３３２，１１３２，２１６２）を有し、
　前記制御方法は、
　　前記各メンバーに、他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報を照合させるステップ（図１２のステップ（１５），図１３のステップ（１１））と、
　　前記第１のデバイスに、当該第１のデバイス以外の前記他のメンバー各々による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にさせるステップ（図１２のステップ（１６），図１３のステップ（１２））とを含む、制御方法。

　（構成９）
　複数のデバイス（１００，２００－１～２００－４）が互いに通信可能に構成されたデバイス群に含まれかつデータのアクセスを制御する制御デバイスで（１００）あって、
　前記データを記憶する記憶媒体（３００）を着脱可能に受け入れる受入部（１０３）を備え、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、
　　前記各メンバーに関する関連情報を含むリスト（３００Ｌ，１００Ｌ，２００－１Ｌ～２００－４Ｌ）を保持する記憶領域（１３３２，１１３２，２１６２）と、
　　他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報とを照合する照合手段（図１２のステップ（１５），図１３のステップ（１１））とを有し、
　前記制御デバイスは、当該制御デバイス以外の前記他のメンバー各々の前記照合手段による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にする、制御デバイス（１００）。

　＜Ｈ．利点＞
　本実施の形態に係る制御システム１によれば、ＰＬＣ１００によってメモリカード３００が受け入れられた際、当該ＰＬＣ１００以外の他のユニット２００の各々によって実行される関連情報の照合結果が所定の条件を満たしたときに、メモリカード３００に記憶されたデータのアクセスが有効になるため、着脱可能なメモリカード３００におけるデータのアクセスに関してユーザの利便性を担保しながらセキュリティを高めることができる。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　制御システム、２００　ユニット、２　ネットワーク、４　ローカルバス、１００Ｌ，２００Ｌ，３００Ｌ　リスト、１０２，４０２，１１３１，２１６１　プロセッサ、１０３，１１３　メモリカードインターフェース、１０４，４０４　メインメモリ、１０５　ＵＳＢコネクタ、１０６，４０６，１１３２，２１６２　ストレージ、１０８，４１６　ネットワークコントローラ、１３０，４１８　プロセッサバス、１４０　制御プログラム、２１０　機能モジュール、２２０　ローカルバスコントローラ、３００　メモリカード、４００　サポート装置、４０８　入力部、４１０　表示部、４１２　光学ドライブ、４１４　記録媒体、４５０　画面、４５１　ユーザ情報欄、４５２　ユーザ認証方法欄、４５３　パスワード欄、４５４　照合方法欄、４５５　セキュリティ強度欄、４５６　適用範囲欄、１０６０　システムプログラム、１０６５，２１５０　リストア用プログラム、１１３０，２１３０　セキュリティユニット、１１３３，２１６３　メモリ、１１３４，１１３５　ＩＯモジュール、１１３６　メモリカードコントローラ、１１５０　読込プログラム、１１６０，１３６０，２１６０　ユーザデータ、１１７０，１３７０，２１７０，３１７０　証明書データ、１１８０，１３８０，２１８０　識別データ、１３３１　データエリア、１３３２　セキュアエリア、１３３５　データ、１３３６　セキュリティコントローラ、４０６２　サポートプログラム。

Claims

　複数のデバイスが互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御システムであって、
　前記複数のデバイスに含まれかつデータを記憶する記憶媒体を着脱可能に受け入れる第１のデバイスと、
　前記複数のデバイスに含まれる１または複数の第２のデバイスとを備え、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、
　　前記各メンバーに関する関連情報を含むリストを保持する記憶領域と、
　　他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報を照合する照合手段とを有し、
　前記第１のデバイスは、当該第１のデバイス以外の前記他のメンバー各々の前記照合手段による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にする、制御システム。
　前記第１のデバイスは、秘匿化された専用のロジックを含む読込部を有しており、
　前記記憶媒体は、前記読込部からのみアクセス可能に構成されている、請求項１に記載の制御システム。
　前記関連情報は、前記各メンバーを個別に識別するシリアルナンバーを含み、
　前記照合手段は、前記他のメンバー各々から取得した当該他のメンバー各々の前記シリアルナンバーに対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記シリアルナンバーを照合する、請求項１または請求項２に記載の制御システム。
　前記関連情報は、前記各メンバーの型式を含み、
　前記照合手段は、前記他のメンバー各々から取得した当該他のメンバー各々の前記型式に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記型式を照合する、請求項１または請求項２に記載の制御システム。
　前記デバイス群を支援するサポート装置を備え、
　前記関連情報は、前記各メンバーを個別に識別するシリアルナンバーと、前記各メンバーの型式とを含み、
　前記照合手段は、
　　前記他のメンバー各々から取得した当該他のメンバー各々の前記シリアルナンバーに対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記シリアルナンバーを照合する第１の照合手段と、
　　前記他のメンバー各々から取得した当該他のメンバー各々の前記型式に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記型式を照合する第２の照合手段とを含み、
　前記サポート装置は、前記第１の照合手段による照合および前記第２の照合手段による照合のいずれかを選択するためのユーザインターフェースを提供する、請求項１または請求項２に記載の制御システム。
　前記デバイス群を支援するサポート装置を備え、
　前記サポート装置は、前記第１のデバイス以外の前記他のメンバーのうち、前記照合手段による照合対象となる前記メンバーの数を設定するためのユーザインターフェースを提供する、請求項１～請求項５のいずれか１項に記載の制御システム。
　前記デバイス群を支援するサポート装置を備え、
　前記サポート装置は、前記メンバーの適用範囲を設定するためのユーザインターフェースを提供する、請求項１～請求項６のいずれか１項に記載の制御システム。
　複数のデバイスが互いに通信可能に構成されたデバイス群におけるデータのアクセスを制御する制御方法であって、
　前記複数のデバイスには、データを記憶する記憶媒体を着脱可能に受け入れる第１のデバイスと、１または複数の第２のデバイスとが含まれ、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、前記各メンバーに関する関連情報を含むリストを保持する記憶領域を有し、
　前記制御方法は、
　　前記各メンバーに、他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報を照合させるステップと、
　　前記第１のデバイスに、当該第１のデバイス以外の前記他のメンバー各々による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にさせるステップとを含む、制御方法。
　複数のデバイスが互いに通信可能に構成されたデバイス群に含まれかつデータのアクセスを制御する制御デバイスであって、
　前記データを記憶する記憶媒体を着脱可能に受け入れる受入部を備え、
　前記複数のデバイスおよび前記記憶媒体の各メンバーは、
　　前記各メンバーに関する関連情報を含むリストを保持する記憶領域と、
　　他のメンバー各々から取得した当該他のメンバー各々の前記関連情報に対して、前記記憶領域に保持された前記リストに含まれる当該他のメンバー各々の前記関連情報とを照合する照合手段とを有し、
　前記制御デバイスは、当該制御デバイス以外の前記他のメンバー各々の前記照合手段による照合結果が所定の条件を満たしたときに、前記記憶媒体に記憶されたデータのアクセスを有効にする、制御デバイス。