WO2020202882A1

WO2020202882A1 - 制御システム、および設定方法

Info

Publication number: WO2020202882A1
Application number: PCT/JP2020/006824
Authority: WO
Inventors: 直樹廣部; 雄大永田; 豊田原
Original assignee: オムロン株式会社
Priority date: 2019-03-29
Filing date: 2020-02-20
Publication date: 2020-10-08
Also published as: EP3951520A1; EP3951520A4; CN113557483A; US20220155747A1; JP2020166520A; JP7180500B2

Abstract

制御対象を制御するコントローラシステム（１）と、コントローラシステム（１）の設定をサポートするサポート装置（６００）とを備える制御システムである。サポート装置（６００）は、システム構成入力部（６３０）と、脅威分析データベース（６１０６）と、脅威シナリオ作成部（６３２）と、対策データベース（６１０８）と、対策作成部（６３４）と、セキュリティ設定部（６３６）とを含む。対策作成部（６３４）は、脅威シナリオと、対策データベースの対策とに応じて、コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する。

Description

制御システム、および設定方法

　本発明は、制御対象を制御するコントローラシステムを備える制御システムに対するセキュリティ機能、および設定方法に関する。

　近年、工場などの製造現場では、マルウェアなどの被害が発生しており、ＰＬＣ（プログラマブルロジックコントローラ）などの制御装置に対してもセキュリティ対策が必須となってきた。そのため、工場などの装置、生産ラインを開発する場合には、セキュリティ対策を生産技術者、装置メーカ開発者などが行う必要がある。

　ＰＬＣでは、例えば、特開２０００－１３７５０６号公報（特許文献１）に開示されているように、異常履歴が登録されたとき、または、予め定められた時間が到来したときに、予め指定された宛先に電子メールを送信する程度で、セキュリティ対策については何ら考慮されていない。

特開２０００－１３７５０６号公報

　特に、近年のＩＣＴ（Information　and　Communication　Technology）の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、想定されるセキュリティの脅威の種類も増加している。

　しかし、想定されるセキュリティの脅威を分析する脅威分析は、専門知識が必要で、生産技術者、装置メーカ開発者が脅威分析を行うには知識を取得するために長い教育時間が必要であった。また、セキュリティの脅威分析のために専門家の雇用した場合、専門家の人件費が、工場、装置メーカのコスト負担となる。

　本発明は、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るセキュリティの脅威を分析し、当該脅威に対する対策を行うという新たな課題を解決することを一つの目的としている。

　本発明のある局面に従う制御システムであって、制御対象を制御するコントローラシステムと、コントローラシステムの設定をサポートするサポート装置とを備え、コントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含み、サポート装置は、コントローラシステムから装置構成および保護資産を取得するシステム構成入力部と、コントローラシステムの保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベースと、システム構成入力部で取得した装置構成および保護資産に応じて、脅威分析データベースの重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部と、セキュリティの脅威に応じた対策を予め格納している対策データベースと、脅威シナリオ作成部で作成する脅威シナリオと、対策データベースの対策とに応じて、コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部と、対策作成部で作成する対策シナリオに応じて、セキュリティユニットに対してセキュリティ機能の設定データを出力するセキュリティ設定部とを含む。

　この局面によれば、制御システムは、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。

　好ましくは、サポート装置は、脅威シナリオ、および対策シナリオの少なくともの１つの情報を含む対策レポートを出力する対策結果出力部をさらに備えるようにしてもよい。この局面によれば、セキュリティの脅威に対する対策を出力することができる。

　好ましくは、脅威分析データベースは、セキュリティの脅威に対する脅威レベルが、コントローラシステムの装置種別により異なるようにしてもよい。この局面によれば、コントローラシステムの装置種別の目的、重要とする事項に応じて、脅威に対する対策を適切に行うことができる。

　好ましくは、脅威シナリオは、コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してもよい。この局面によれば、予め定められた方法で試算した値をリスク値として格納することで、セキュリティの脅威を適切に分析することができる。

　好ましくは、対策作成部は、シナリオに格納されたリスク値が予め定められた値以上のコントローラシステムの保護資産およびセキュリティの脅威の各々に対して対策シナリオを作成するようにしてもよい。この局面によれば、ユーザの必要とする対策必要リスクレベルのセキュリティの対策を行うことができる。

　好ましくは、対策データベースは、セキュリティの脅威に応じた対策として、セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してよい。この局面によれば、コントローラシステムに応じて多彩なセキュリティの対策を行うことができる。

　好ましくは、対策作成部は、セキュリティユニットのリソースに応じて、セキュリティユニットのセキュリティ機能による対策を選択して対策シナリオを作成するようにしてもよい。この局面によれば、セキュリティユニットのリソース容量に応じてセキュリティの対策を行うことができる。

　好ましくは、対策作成部は、コントローラシステムを構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なるようにしてもよい。この局面によれば、コントローラシステムを構成する装置に応じて、脅威に対する対策を適切に行うことができる。

　好ましくは、対策作成部は、セキュリティユニットのリソースが不足する場合、運用による対策を選択して対策シナリオを作成するようにしてもよい。この局面によれば、セキュリティユニットのリソース容量に応じてセキュリティの対策を行うことができる。

　本発明の別の局面に従う、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含むコントローラシステムに対してセキュリティ機能の設定データを設定する、コントローラシステムの設定方法であって、コントローラシステムから装置構成および保護資産を取得するステップと、取得した装置構成および保護資産に応じて、脅威分析データベースで予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、作成する脅威シナリオと、対策データベースで予め格納しているセキュリティの脅威に応じた対策とに応じて、コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、作成する対策シナリオに応じて、セキュリティユニットに対してセキュリティ機能の設定データを出力するステップとを含む。

　この局面によれば、制御システムにおいて、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に設定することができる。

　本発明によれば、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るセキュリティの脅威を分析し、当該脅威に対する対策を行うという新たな課題を解決できる。

本実施の形態に係るコントローラシステムの構成例を示す外観図である。本実施の形態に従うコントローラシステムを構成する制御ユニットのハードウェア構成例を示す模式図である。本実施の形態に従うコントローラシステムを構成するセキュリティユニットのハードウェア構成例を示す模式図である。本実施の形態に従うコントローラシステムを構成するセーフティユニットのハードウェア構成例を示す模式図である。本実施の形態に従うコントローラシステムに接続されるサポート装置でセキュリティの設定を行うシステム構成を説明するためのブロック図である。本実施の形態に従うコントローラシステムに接続されるサポート装置のハードウェア構成例を示す模式図である。本実施の形態に従うコントローラシステムおよびサポート装置での脅威分析およびセキュリティの設定を説明するためのシーケンスである。本実施の形態に従うサポート装置での脅威シナリオリスト作成の処理手順を示すフローチャートである。本実施の形態に従うサポート装置での対策シナリオ作成の処理手順を示すフローチャートである。本実施の形態に従うサポート装置で脅威分析およびセキュリティの設定を行う装置構成の一例を示す模式図である。本実施の形態に従うサポート装置で保護資産評価リストの作成処理手順を示すフローチャートである。本実施の形態に従うサポート装置で作成した保護資産評価リストの一例を示す図である。本実施の形態に従うサポート装置で作成した保護資産評価リストの別の一例を示す図である。本実施の形態に従うサポート装置で脅威リストの作成処理手順を示すフローチャートである。本実施の形態に従うサポート装置で作成した脅威リストの一例を示す図である。本実施の形態に従うサポート装置で作成した脅威リストの別の一例を示す図である。本実施の形態に従うサポート装置で作成した脅威リストの変形例を示す図である。本実施の形態に従うサポート装置で作成した脅威シナリオリストの一例を示す図である。本実施の形態に従うサポート装置で作成した対策シナリオの一例を示す図である。本実施の形態に従うサポート装置で作成したリソース容量が５０の場合の対策シナリオの一例を示す図である。本実施の形態に従うサポート装置で作成したリソース容量が１００の場合の対策シナリオの一例を示す図である。本実施の形態に従うサポート装置で作成したリソース容量が２０の場合の対策シナリオの一例を示す図である。本実施の形態に従うサポート装置で作成した脅威分析結果レポートの一例を示す図である。本実施の形態に従うサポート装置で作成した脅威分析結果レポートの別の一例を示す図である。本実施の形態に従うサポート装置で表示される装置構成の情報の一例を示す図である。本実施の形態に従うサポート装置で表示される保護資産評価リストの一例を示す図である。本実施の形態に従うサポート装置で表示される脅威リストの一例を示す図である。本実施の形態に従うサポート装置で表示されるリスク値試算方法の設定の一例を示す図である。本実施の形態に従うサポート装置で表示される脅威シナリオリストの一例を示す図である。本実施の形態に従うサポート装置で表示される対策方針の選択の一例を示す図である。本実施の形態に従うサポート装置で表示される脅威対策リストの一例を示す図である。本実施の形態に従うサポート装置で表示される対策シナリオの一例を示す図である。本実施の形態に従うサポート装置で表示される出力内容の選択の一例を示す図である。

　本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。

　＜Ａ．適用例＞
　本発明が適用される場面の一例について説明する。まず、本実施の形態に従うコントローラシステム１の構成について説明する。

　図１は、本実施の形態に係るコントローラシステム１の構成例を示す外観図である。図１を参照して、コントローラシステム１は、制御ユニット１００と、セキュリティユニット２００と、セーフティユニット３００と、１または複数の機能ユニット４００と、電源ユニット４５０とを含む。

　制御ユニット１００とセキュリティユニット２００との間は、任意のデータ伝送路（例えば、ＰＣＩ　Ｅｘｐｒｅｓｓあるいはイーサネット（登録商標）など）を介して接続されている。制御ユニット１００とセーフティユニット３００および１または複数の機能ユニット４００との間は、図示しない内部バスを介して接続されている。

　制御ユニット１００は、コントローラシステム１において中心的な処理を実行する。制御ユニット１００は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。後述のセーフティユニット３００で実行される制御演算との対比で、制御ユニット１００で実行される制御演算を「標準制御」とも称す。図１に示す構成例において、制御ユニット１００は、１または複数の通信ポートを有している。

　セキュリティユニット２００は、制御ユニット１００に接続され、コントローラシステム１に対するセキュリティ機能を担当する。図１に示す構成例において、セキュリティユニット２００は、１または複数の通信ポートを有している。セキュリティユニット２００が提供するセキュリティ機能の詳細については、後述する。

　セーフティユニット３００は、制御ユニット１００とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット３００で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、ＩＥＣ　６１５０８などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。

　機能ユニット４００は、コントローラシステム１による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット４００は、典型的には、Ｉ／Ｏユニット、セーフティＩ／Ｏユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。Ｉ／Ｏユニットとしては、例えば、デジタル入力（ＤＩ）ユニット、デジタル出力（ＤＯ）ユニット、アナログ出力（ＡＩ）ユニット、アナログ出力（ＡＯ）ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティＩ／Ｏユニットは、セーフティ制御に係るＩ／Ｏ処理を担当する。

　電源ユニット４５０は、コントローラシステム１を構成する各ユニットに対して、所定電圧の電源を供給する。

　＜Ｂ．各ユニットのハードウェア構成例＞
　次に、本実施の形態に従うコントローラシステム１を構成する各ユニットのハードウェア構成例について説明する。

　（ｂ１：制御ユニット１００）
　図２は、本実施の形態に従うコントローラシステム１を構成する制御ユニット１００のハードウェア構成例を示す模式図である。図２を参照して、制御ユニット１００は、主たるコンポーネントとして、ＣＰＵ（Central　Processing　Unit）やＧＰＵ（Graphical　Processing　Unit）などのプロセッサ１０２と、チップセット１０４と、主記憶装置１０６と、二次記憶装置１０８と、通信コントローラ１１０と、ＵＳＢ（Universal　Serial　Bus）コントローラ１１２と、メモリカードインターフェイス１１４と、ネットワークコントローラ１１６，１１８，１２０と、内部バスコントローラ１２２と、インジケータ１２４とを含む。

　プロセッサ１０２は、二次記憶装置１０８に格納された各種プログラムを読み出して、主記憶装置１０６に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。チップセット１０４は、プロセッサ１０２と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット１００全体としての処理を実現する。

　二次記憶装置１０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。

　通信コントローラ１１０は、セキュリティユニット２００との間のデータの遣り取りを担当する。通信コントローラ１１０としては、例えば、ＰＣＩ　Ｅｘｐｒｅｓｓあるいはイーサネット（登録商標）などに対応する通信チップを採用できる。

　ＵＳＢコントローラ１１２は、ＵＳＢ接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。

　メモリカードインターフェイス１１４は、メモリカード１１５を着脱可能に構成されており、メモリカード１１５に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード１１５から制御プログラムや各種設定などのデータを読出すことが可能になっている。

　ネットワークコントローラ１１６，１１８，１２０の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ１１６，１１８，１２０は、ＥｔｈｅｒＣＡＴ（登録商標）、ＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）、ＤｅｖｉｃｅＮｅｔ（登録商標）、ＣｏｍｐｏＮｅｔ（登録商標）などの産業用ネットワークプロトコルを採用してもよい。

　内部バスコントローラ１２２は、コントローラシステム１を構成するセーフティユニット３００や１または複数の機能ユニット４００との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。

　インジケータ１２４は、制御ユニット１００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図２には、プロセッサ１０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装してもよい。あるいは、制御ユニット１００の主要部を、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳ（Operating　System）を並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｂ２：セキュリティユニット２００）
　図３は、本実施の形態に従うコントローラシステム１を構成するセキュリティユニット２００のハードウェア構成例を示す模式図である。図３を参照して、セキュリティユニット２００は、主たるコンポーネントとして、ＣＰＵやＧＰＵなどのプロセッサ２０２と、チップセット２０４と、主記憶装置２０６と、二次記憶装置２０８と、通信コントローラ２１０と、ＵＳＢコントローラ２１２と、メモリカードインターフェイス２１４と、ネットワークコントローラ２１６，２１８と、インジケータ２２４とを含む。

　プロセッサ２０２は、二次記憶装置２０８に格納された各種プログラムを読み出して、主記憶装置２０６に展開して実行することで、後述するような各種セキュリティ機能を実現する。チップセット２０４は、プロセッサ２０２と各コンポーネントとの間のデータの遣り取りを仲介することで、セキュリティユニット２００全体としての処理を実現する。

　二次記憶装置２０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。

　通信コントローラ２１０は、制御ユニット１００との間のデータの遣り取りを担当する。通信コントローラ２１０としては、制御ユニット１００に通信コントローラ２１０と同様に、例えば、ＰＣＩ　Ｅｘｐｒｅｓｓあるいはイーサネット（登録商標）などに対応する通信チップを採用できる。

　ＵＳＢコントローラ２１２は、ＵＳＢ接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。

　メモリカードインターフェイス２１４は、メモリカード２１５を着脱可能に構成されており、メモリカード２１５に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード２１５から制御プログラムや各種設定などのデータを読出すことが可能になっている。

　ネットワークコントローラ２１６，２１８の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ２１６，２１８は、イーサネット（登録商標）などの汎用的なネットワークプロトコルを採用してもよい。

　インジケータ２２４は、セキュリティユニット２００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図３には、プロセッサ２０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。あるいは、セキュリティユニット２００の主要部を、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳを並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｂ３：セーフティユニット３００）
　図４は、本実施の形態に従うコントローラシステム１を構成するセーフティユニット３００のハードウェア構成例を示す模式図である。図４を参照して、セーフティユニット３００は、主たるコンポーネントとして、ＣＰＵやＧＰＵなどのプロセッサ３０２と、チップセット３０４と、主記憶装置３０６と、二次記憶装置３０８と、メモリカードインターフェイス３１４と、内部バスコントローラ３２２と、インジケータ３２４とを含む。

　プロセッサ３０２は、二次記憶装置３０８に格納された各種プログラムを読み出して、主記憶装置３０６に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。チップセット３０４は、プロセッサ３０２と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット３００全体としての処理を実現する。

　二次記憶装置３０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。

　メモリカードインターフェイス３１４は、メモリカード３１５を着脱可能に構成されており、メモリカード３１５に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード３１５からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。

　内部バスコントローラ３２２は、内部バスを介した制御ユニット１００との間のデータの遣り取りを担当する。

　インジケータ３２４は、セーフティユニット３００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図４には、プロセッサ３０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。あるいは、セーフティユニット３００の主要部を、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳを並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　＜Ｃ：セキュリティ機能の設定＞
　次に、上述したセキュリティユニット２００において各種セキュリティ機能を実現させるための設定を行う場合の処理の一例について説明する。図５は、本実施の形態に従うコントローラシステムに接続されるサポート装置でセキュリティの設定を行うシステム構成を説明するためのブロック図である。図５に示すように、サポート装置６００には、システム構成入力部６３０、脅威シナリオ作成部６３２、対策作成部６３４、セキュリティ設定部６３６を備えている。なお、サポート装置６００は、脅威分析データベース６１０６、対策データベース６１０８をさらに備えている。しかし、脅威分析データベース６１０６、対策データベース６１０８は、サポート装置６００内に設けず、外部サーバに設けてもよい。

　まず、サポート装置６００は、コントローラシステム１から装置構成（装置システム構成）の情報、および保有資産の情報（セキュリティユニット２００のリソース情報を含む）をシステム構成入力部６３０で取得する。脅威シナリオ作成部６３２は、システム構成入力部６３０で取得した装置構成および保護資産に応じて、脅威分析データベース６１０６の重要レベルおよび脅威レベルから脅威シナリオを作成する。本明細書において、「重要レベル」は、コントローラシステム１を構成する保護資産の重要度を示す指標であり、ユーザにおいて設定することも可能である。本明細書において、「脅威レベル」は、コントローラシステム１に対するセキュリティの脅威を示す指標であり、ユーザにおいて設定することも可能である。本明細書において、「保有資産」は、コントローラシステム１を構成する装置などで、制御ユニット１００、セキュリティユニット２００、フィールドデバイス５００などを含む。

　脅威分析データベース６１０６には、コントローラシステム１の保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納されている。ユーザは、脅威シナリオ作成部６３２が作成した脅威シナリオに対してＯＫまたはＮＧの判定を行い、その判定結果を脅威シナリオ作成部６３２に入力する。また、ユーザは、脅威シナリオ作成部６３２に対して対策必要リスクレベルを入力可能である。

　対策作成部６３４は、脅威シナリオ作成部６３２で作成する脅威シナリオと、対策データベース６１０８の対策とに応じて、コントローラシステム１の保護資産の各々に対する対策を格納した対策シナリオを作成する。対策データベース６１０８には、セキュリティの脅威に応じた対策を予め格納している。ユーザは、対策作成部６３４が作成した対策シナリオに対してＯＫまたはＮＧの判定を行い、その判定結果を対策作成部６３４に入力する。

　セキュリティ設定部６３６は、対策作成部６３４で作成する対策シナリオに応じて、セキュリティユニット２００に対してセキュリティ機能の設定データ（セキュリティ機能設定データ）を出力する。セキュリティユニット２００では、設定データ（セキュリティ機能設定データ）に応じて各種セキュリティ機能を実現させている。対策結果出力部６３８は、対策作成部６３４で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。

　図５で説明した構成は、以下に説明するサポート装置６００のハードウェア構成により実現される。図６は、本実施の形態に従うコントローラシステム１に接続されるサポート装置６００のハードウェア構成例を示す模式図である。サポート装置６００は、一例として、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコン）を用いて実現される。

　図６を参照して、サポート装置６００は、プロセッサ６０２と、メインメモリ６０４と、入力部６０６と、出力部６０８と、ストレージ６１０と、光学ドライブ６１２と、ＵＳＢコントローラ６２０とを含む。これらのコンポーネントは、プロセッサバス６１８を介して接続されている。

　プロセッサ６０２は、ＣＰＵやＧＰＵなどで構成され、ストレージ６１０に格納されたプログラム（一例として、ＯＳ６１０２およびサポートプログラム６１０４）を読出して、メインメモリ６０４に展開して実行することで、コントローラシステム１に対する設定処理などを実現する。

　メインメモリ６０４は、ＤＲＡＭやＳＲＡＭなどの揮発性記憶装置などで構成される。ストレージ６１０は、例えば、ＨＤＤやＳＳＤなどの不揮発性記憶装置などで構成される。

　ストレージ６１０には、基本的な機能を実現するためのＯＳ６１０２に加えて、サポート装置６００としての機能を提供するためのサポートプログラム６１０４が格納される。すなわち、サポートプログラム６１０４は、コントローラシステム１に接続されるコンピュータにより実行されることで、本実施の形態に係るサポート装置６００を実現する。さらに、ストレージ６１０には、脅威分析データベース６１０６および対策データベース６１０８が格納されている。

　入力部６０６は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。出力部６０８は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ６０２からの処理結果などを出力する。

　ＵＳＢコントローラ６２０は、ＵＳＢ接続を介して、コントローラシステム１などとの間のデータを遣り取りする。

　サポート装置６００は、光学ドライブ６１２を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体６１４（例えば、ＤＶＤ（Digital　Versatile　Disc）などの光学記録媒体）から、その中に格納されたプログラムが読取られてストレージ６１０などにインストールされる。

　サポート装置６００で実行されるサポートプログラム６１０４などは、コンピュータ読取可能な記録媒体６１４を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置６００が提供する機能は、ＯＳが提供するモジュールの一部を利用する形で実現される場合もある。

　図６には、プロセッサ６０２がプログラムを実行することで、サポート装置６００として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　次に、上述したサポート装置６００でセキュリティの設定を行うシステム構成において、装置の開発時、装置の立ち上げ時に行う脅威分析およびセキュリティの設定について詳しく説明する。図７は、本実施の形態に従うコントローラシステムおよびサポート装置での脅威分析およびセキュリティの設定を説明するためのシーケンスである。図７に示すシーケンスでは、コントローラシステム１およびサポート装置６００を含む制御システムの典型例について説明する。

　まず、ユーザが、サポート装置６００でセキュリティユニット２００の設定ツールを立ち上げる。当該設定ツールが立ち上がるとシステム構成入力部６３０がコントローラシステム１に対して問合せを行う。コントローラシステム１は、システム構成入力部６３０からの問合せに対してコントローラシステム１の装置構成の情報、保有資産の情報をシステム構成入力部６３０に返信する。システム構成入力部６３０は、コントローラシステム１から装置構成の情報、および保有資産の情報を取得する。さらに、システム構成入力部６３０は、セキュリティユニット２００からソフトウェアおよびハードウェアのバージョン情報、リソース容量などのセキュリティユニット２００のリソース情報を取得する。

　ユーザが、サポート装置６００でセキュリティユニット２００の設定の開始を選択し、装置種別を選択した場合、脅威シナリオ作成部６３２は、装置種別に応じて脅威分析データベース６１０６の重要レベルおよび脅威レベルから脅威シナリオリストを作成する。具体的に、脅威シナリオ作成部６３２は、脅威分析データベース６１０６の情報を参照して保有資産評価リストおよび脅威リストを作成し、保有資産評価リストおよび脅威リストに基づく脅威シナリオリストをユーザに提示する。なお、脅威シナリオ作成部６３２は、装置種別に関わらず脅威分析データベース６１０６の重要レベルおよび脅威レベルから脅威シナリオリストを作成してもよい。

　ユーザは、提示された脅威シナリオリストがＯＫまたはＮＧの判定を行い、その判定結果を脅威シナリオ作成部６３２に入力する。脅威シナリオリストがＮＧの場合、ユーザが手作業で修正可能である。また、ユーザは、脅威シナリオ作成部６３２に対策必要リスクレベルを入力することが可能である。なお、サポート装置６００では、対策必要リスクレベルにあわせてセキュリティの脅威に応じた対策を作成することができる。

　対策作成部６３４は、脅威シナリオ作成部６３２で作成する脅威シナリオリストと、対策データベース６１０８の対策とに応じて、コントローラシステム１の保護資産の各々に対する対策を格納した対策シナリオを作成する。対策作成部６３４は、脅威分析データベース６１０６に格納してある脅威対策リストを参照して、脅威シナリオリストの各々の脅威に対する対策を決定して対策シナリオを作成する。

　対策作成部６３４は、作成した対策シナリオをユーザに提示する。ユーザは、対策作成部６３４が作成した対策シナリオに対してＯＫまたはＮＧの判定を行い、その判定結果を対策作成部６３４に入力する。対策シナリオがＮＧの場合、脅威シナリオ作成部６３２に処理を戻し、ユーザが手作業で脅威シナリオリストを修正可能である。

　セキュリティ設定部６３６は、対策作成部６３４で作成する対策シナリオに応じて、セキュリティユニット２００に対してセキュリティ機能の設定データ（セキュリティ機能設定データ）を出力する。セキュリティユニット２００では、設定データ（セキュリティ機能設定データ）に応じて各種セキュリティ機能を実現させている。セキュリティユニット２００は、設定データ（セキュリティ機能設定データ）に応じて設定が完了した場合、ＯＫの情報をセキュリティ設定部６３６に返し、設定が未完の場合、ＮＧの情報をセキュリティ設定部６３６に返す。

　対策結果出力部６３８は、対策作成部６３４で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。このように、制御システムは、サポート装置６００でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。

　＜Ｄ：脅威シナリオリスト、対策シナリオの作成＞
　次に、図８は、本実施の形態に従うサポート装置６００での脅威シナリオリスト作成の処理手順を示すフローチャートである。さらに、図９は、本実施の形態に従うサポート装置６００での対策シナリオ作成の処理手順を示すフローチャートである。まず、サポート装置６００は、図８に示す処理を開始するとシステム構成入力部６３０で装置構成の情報を取得する（ステップＳ１０１）。コントローラシステム１で制御する装置種別により制御の目的、重要とする事項などが異なるため設定するセキュリティ機能も異なる。

　例えば、コントローラシステム１で制御する装置が半導体製造装置であれば、製造工程において基本的に装置の近くに人が立ち入ることがないため、装置の制御を維持し続けることが重要である。一方、コントローラシステム１で制御する装置がプレス装置であれば、製造工程において装置の近くで人が作業を行うことが基本であるため、非常時に装置を確実に停止させて人の安全を守ることが重要である。そのため、半導体製造装置であれば、装置の制御を維持し続けることに必要な構成のセキュリティ機能を優先して設定し、プレス装置であれば、装置を確実に停止させるために必要な構成のセキュリティ機能を優先して設定する。

　図１０は、本実施の形態に従うサポート装置で脅威分析およびセキュリティの設定を行う装置構成の一例を示す模式図である。図１０（ａ）に示す装置構成は、半導体製造装置で、図１０（ｂ）に示す装置構成は、プレス装置である。図１０（ａ）および図１０（ｂ）に示す装置構成では、制御ユニット（ＰＬＣ）１００およびセキュリティユニット２００がコントローラシステム１を構成している。

　コントローラシステム１のセキュリティユニット２００は、通信ポート（図３のネットワークコントローラ２１６）を介してネットワークに接続され、サポート装置（保守ＰＣ）６００と接続している。

　サポート装置６００は、少なくとも制御ユニット１００にアクセス可能になっており、コントローラシステム１に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定、各種セキュリティ機能の設定などの機能をユーザへ提供する。

　コントローラシステム１は、通信ポート（図２のネットワークコントローラ１１６）を介してネットワークに接続され、ＨＭＩ（Human　Machine　Interface）８００および外部ネットワーク（ＮＷ）９００と接続している。

　ＨＭＩ８００は、コントローラシステム１での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム１に対して内部コマンドなどを生成する。

　コントローラシステム１の制御ユニット１００は、通信ポート（図２のネットワークコントローラ１１８）を介して、１または複数のフィールドデバイス５００と接続されている。フィールドデバイス５００は、制御対象から制御演算に必要な各種情報を収集するセンサや検出器、および、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。

　図８に戻って、ステップＳ１０１では、システム構成入力部６３０がコントローラシステム１に対して装置構成の情報、保有資産の情報を問合せ、コントローラシステム１から装置構成の情報、および保有資産の情報を取得する。さらに、システム構成入力部６３０は、ユーザが選択した装置種別（例えば、半導体製造装置、プレス装置など）の情報に基づき、装置構成の情報、保有資産の情報から図１０に示したような装置構成を作成する。

　次に、サポート装置６００は、脅威シナリオ作成部６３２で、システム構成入力部６３０で取得した装置構成および保護資産に応じて、保護資産評価リストを作成する（ステップＳ１０２）。保護資産評価リストの作成処理について、さらに詳しく説明する。図１１は、本実施の形態に従うサポート装置で保護資産評価リストの作成処理手順を示すフローチャートである。まず、脅威シナリオ作成部６３２は、装置構成情報から構成機器を抽出する（ステップＳ２０１）。脅威シナリオ作成部６３２は、ステップＳ２０１で抽出した構成機器に対して、脅威分析データベース６１０６にある機能ごと、情報ごとの保護資産リストを連結する（ステップＳ２０２）。

　例えば、図１０（ａ）に示す半導体製造装置の場合、装置構成には、ＨＭＩ、ＰＬＣ、カメラ、サーボが含まれている。そのため、脅威シナリオ作成部６３２では、脅威分析データベース６１０６にある保護資産リストの中から、ＨＭＩ保護資産、ＰＬＣ保護資産、カメラ保護資産、サーボ保護資産のリストを取り出して連結する。図１２は、本実施の形態に従うサポート装置で作成した保護資産評価リストの一例を示す図である。図１２には、図１０（ａ）に示す半導体製造装置の場合の保護資産評価リスト（ａ）が示されている。保護資産評価リスト（ａ）には、ＨＭＩ保護資産、ＰＬＣ保護資産、カメラ保護資産、サーボ保護資産の属性および重要レベルが格納されている。

　また、図１０（ｂ）に示すプレス装置の場合、装置構成には、ＨＭＩ、ＰＬＣ、サーボが含まれている。そのため、脅威シナリオ作成部６３２では、脅威分析データベース６１０６にある保護資産リストの中から、ＨＭＩ保護資産、ＰＬＣ保護資産、サーボ保護資産のリストを取り出して連結する。図１３は、本実施の形態に従うサポート装置で作成した保護資産評価リストの別の一例を示す図である。図１３には、図１０（ｂ）に示すプレス装置の場合の保護資産評価リスト（ｂ）が示されている。保護資産評価リスト（ｂ）には、ＨＭＩ保護資産、ＰＬＣ保護資産、サーボ保護資産の属性および重要レベルが格納されている。

　保護資産評価リスト（ａ）と保護資産評価リスト（ｂ）とでは装置構成が異なるため、格納されている保護資産が異なっている。さらに、保護資産評価リスト（ａ）と保護資産評価リスト（ｂ）とでは、半導体製造装置とプレス装置とで重要とする事項が異なるため、重要レベルも異なる。例えば、保護資産評価リスト（ａ）では、装置の制御を維持し続けるためＰＬＣ保護資産のユーザプログラムの重要レベルが「５」と高い（図１２）。一方、保護資産評価リスト（ｂ）では、装置を確実に停止させるためサーボ保護資産のサーボ機能、制御指示データの重要レベルが「５」と高い（図１３）。

　図１１に戻って、脅威シナリオ作成部６３２は、ステップＳ２０２で作成した保護資産リストをユーザに提示する（ステップＳ２０３）。脅威シナリオ作成部６３２は、ステップＳ２０３で提示した保護資産リストでユーザから確認が得られたか否かを判定する（ステップＳ２０４）。ユーザから確認が得られた場合（ステップＳ２０４でＹＥＳ）、脅威シナリオ作成部６３２は、作成した保護資産リストを保護資産評価リストとして作成を完了する（ステップＳ２０５）。ユーザから確認が得られない場合（ステップＳ２０４でＮＯ）、脅威シナリオ作成部６３２は、ユーザによる保護資産リストの修正を受け付ける（ステップＳ２０６）。脅威シナリオ作成部６３２は、ステップＳ２０６で修正された保護資産リストを保護資産評価リストとして作成を完了する（ステップＳ２０５）。

　脅威シナリオ作成部６３２は、保護資産評価リストを作成した後、図８に示すように脅威シナリオを作成する（ステップＳ１０３）。ステップＳ１０３で脅威シナリオを作成する場合、脅威シナリオ作成部６３２は、まず脅威リストを作成する必要がある。

　脅威リストの作成処理について、さらに詳しく説明する。図１４は、本実施の形態に従うサポート装置で脅威リストの作成処理手順を示すフローチャートである。まず、脅威シナリオ作成部６３２は、装置構成情報から構成機器を抽出する（ステップＳ３０１）。脅威シナリオ作成部６３２は、ステップＳ３０１で抽出した構成機器に対して、脅威分析データベース６１０６にある想定攻撃箇所の脅威リストを連結する（ステップＳ３０２）。

　例えば、図１０（ａ）に示す半導体製造装置の場合、装置構成には、ＨＭＩ、ＰＬＣ、カメラ、サーボが含まれている。そのため、脅威シナリオ作成部６３２では、脅威分析データベース６１０６にある攻撃箇所ごとの脅威リストから、ＨＭＩ、ＰＬＣ、カメラ、サーボの保護資産に対して予め定められている想定攻撃箇所の脅威リストを取り出して連結する。図１５は、本実施の形態に従うサポート装置で作成した脅威リストの一例を示す図である。図１５には、図１０（ａ）に示す半導体製造装置の場合の脅威リスト（ａ）が示されている。脅威リスト（ａ）には、ＨＭＩ、ＰＬＣ、カメラ、サーボの保護資産に対して想定される攻撃箇所として、外部ネットワーク、不正機器接続、メモリカード、保守ＰＣ、カメラ、サーボの脅威、対象属性、脅威レベルが格納されている。

　ここで、本明細書において、「脅威」は、設備や機械を正常運転することを妨げる任意の事象を意味する。ＰＬＣを中心とする制御装置においては、典型的な脅威には、（１）データベースなどの上位装置からの攻撃、（２）フィールドデバイスからの攻撃、（３）サポート装置を介した攻撃、（４）メモリカードなどの制御装置に装着される記憶媒体を介した攻撃、といった４つの局面からの脅威が考えられる。さらに、制御装置に搭載されているすべての物理ポートは攻撃を受けるセキュリティリスクが存在している。

　例えば、図１５に示す想定される攻撃箇所の外部ネットワークは、「（１）データベースなどの上位装置からの攻撃」に分類され、具体的な脅威として「通信ＤｏＳ（Distributed　Denial　of　Service）攻撃」、「通信データ盗聴」、「通信データ改ざん」がある。「通信ＤｏＳ攻撃」は、攻撃対象の通信アドレス宛てに、大量のパケットを送信する攻撃で、外部との通信機能が影響を受けるだけであり、装置自体を動作させることは可能である場合が多い。そのため、「通信ＤｏＳ攻撃」では、対象属性が「機能」で、脅威レベルが「３」に設定されている。

　「通信データ盗聴」は、ネットワーク機器経由で通信を傍受し、通信中のデータを盗み見る攻撃で、情報が漏えいするだけで装置の機能に影響を与えない。そのため、「通信データ盗聴」では、対象属性が「情報」で、脅威レベルが「４」に設定されている。「通信データ改ざん」は、ネットワーク機器経由で通信中のデータを改ざんする攻撃で、情報に対する脅威である。「通信データ改ざん」では、対象属性が「情報」で、脅威レベルが「２」に設定されている。

　また、図１５に示す想定される攻撃箇所のメモリカードは、「（４）メモリカードなどの制御装置に装着される記憶媒体を介した攻撃」に分類され、具体的な脅威として「ファームウェア改ざん」、「ユーザプログラムの盗用」がある。「ファームウェア改ざん」は、例えば、制御ユニット１００の更新ファームウェアを改ざんし、不正動作のプログラムを書込む攻撃で、情報に対する脅威である。そのため、「ファームウェア改ざん」では、対象属性が「情報」で、脅威レベルが「４」に設定されている。「ユーザプログラムの盗用」は、ユーザのプログラムを盗用し、別マシンで再利用する攻撃で、情報の漏えいである。そのため、「ユーザプログラムの盗用」では、対象属性が「情報」で、脅威レベルが「４」に設定されている。

　さらに、図１５に示す想定される攻撃箇所の保守ＰＣは、「（３）サポート装置を介した攻撃」に分類され、具体的な脅威として「マルウェアによる機能不全」、「データ盗用」、「通信データ改ざん」がある。「マルウェアによる機能不全」は、例えば、制御ユニット１００にマルウェアを感染させ、その機能を不全にする攻撃で、情報に対する脅威である。そのため、「マルウェアによる機能不全」では、対象属性が「機能」で、脅威レベルが「４」に設定されている。「データ盗用」は、装置のデータを盗用し、別マシンで再利用する攻撃で、情報の漏えいである。そのため、「データ盗用」では、対象属性が「情報」で、脅威レベルが「４」に設定されている。「通信データ改ざん」は、ネットワーク機器経由で通信中のデータを改ざんする攻撃で、情報に対する脅威である。「通信データ改ざん」では、対象属性が「情報」で、脅威レベルが「３」に設定されている。

　また、図１５に示す想定される攻撃箇所のカメラ、サーボは、「（２）フィールドデバイスからの攻撃」に分類され、具体的な脅威として「カメラ乗っ取り」、「画像不正改ざん」、「サーボ機能停止」、「サーボ制御データ改ざん」がある。「カメラ乗っ取り」は、操作権限のない利用者が悪意を持ってカメラを操作し、制御ユニット１００に対する攻撃で、制御ユニット１００の機能に対する脅威である。そのため、「カメラ乗っ取り」では、対象属性が「機能」で、脅威レベルが「３」に設定されている。

　「画像不正改ざん」は、カメラで撮像した画像を改ざんする攻撃で、情報に対する脅威である。「画像不正改ざん」では、対象属性が「情報」で、脅威レベルが「１」に設定されている。「サーボ機能停止」は、操作権限のない利用者が悪意を持ってサーボ機能を停止させ、制御ユニット１００によるサーボ制御を行わせない攻撃で、制御ユニット１００の機能に対する脅威である。そのため、「サーボ機能停止」では、対象属性が「機能」で、脅威レベルが「３」に設定されている。「サーボ制御データ改ざん」は、サーボ制御に必要なデータを改ざんする攻撃で、情報に対する脅威である。「サーボ制御データ改ざん」では、対象属性が「情報」で、脅威レベルが「２」に設定されている。

　また、図１０（ｂ）に示すプレス装置の場合、装置構成には、ＨＭＩ、ＰＬＣ、サーボが含まれている。そのため、脅威シナリオ作成部６３２は、脅威分析データベース６１０６にある攻撃箇所ごとの脅威リストから、ＨＭＩ、ＰＬＣ、サーボの保護資産に対して予め定められている想定攻撃箇所の脅威リストを取り出して連結する。図１６は、本実施の形態に従うサポート装置で作成した脅威リストの別の一例を示す図である。図１６には、図１０（ｂ）に示すプレス装置の場合の脅威リスト（ｂ）が示されている。脅威リスト（ｂ）には、ＨＭＩ、ＰＬＣ、サーボの保護資産に対して想定される攻撃箇所として、外部ネットワーク、不正機器接続、メモリカード、保守ＰＣ、サーボの脅威、対象属性、脅威レベルが格納されている。

　脅威リスト（ａ）と脅威リスト（ｂ）とでは、半導体製造装置とプレス装置とで重要とする事項が異なるため、同じ脅威でも格納されている脅威レベルが異なっている。例えば、脅威リスト（ｂ）では、装置を確実に停止させるためメモリカード、保守ＰＣの脅威に対する脅威レベルが「５」と高い（図１６）。

　図１４に戻って、脅威シナリオ作成部６３２は、ステップＳ３０２で作成した脅威リストをユーザに提示する（ステップＳ３０３）。脅威シナリオ作成部６３２は、ステップＳ３０３で提示した脅威リストでユーザから確認が得られたか否かを判定する（ステップＳ３０４）。ユーザから確認が得られた場合（ステップＳ３０４でＹＥＳ）、脅威シナリオ作成部６３２は、提示した脅威リストで作成を完了する（ステップＳ３０５）。ユーザから確認が得られない場合（ステップＳ３０４でＮＯ）、脅威シナリオ作成部６３２は、ユーザによる脅威リストの修正を受け付ける（ステップＳ３０６）。脅威シナリオ作成部６３２は、ステップＳ３０６で修正された脅威リストで作成を完了する（ステップＳ２０５）。

　なお、脅威リストは、図１５および図１６で示すように想定される攻撃箇所ごとに、脅威、対象属性、脅威レベルが格納されていると説明した。しかし、脅威リストに格納される情報は、これに限られず、例えば制御ユニット１００またはセキュリティユニット２００のソフトウェアおよびハードウェアのバージョン情報であってもよい。図１７は、本実施の形態に従うサポート装置で作成した脅威リストの変形例を示す図である。図１７に示す脅威リスト（ｃ）では、脅威、対象属性、脅威レベルの情報に加えて制御ユニット１００またはセキュリティユニット２００のソフトウェアおよびハードウェアのバージョン情報が追加されている。制御ユニット１００およびセキュリティユニット２００は、ソフトウェアおよびハードウェアのバージョン情報によってセキュリティの脆弱性が異なるため、バージョン情報により脅威レベルを異ならせる必要がある。

　図８に戻って、脅威シナリオ作成部６３２は、ステップＳ１０３で脅威リストと保護資産評価リストとから脅威シナリオを作成する。脅威シナリオ作成部６３２は、脅威リストと保護資産評価リストと属性でリンクして組み合わせ脅威シナリオを作成している。脅威シナリオは、保護資産と脅威とを組み合わせた項目ごとにリストとしてさせる。リスト化された脅威シナリオは、以下、脅威シナリオリストともいう。脅威シナリオ作成部６３２は、作成する脅威シナリオリストの各項目に対するリスク値を算出する（ステップＳ１０４）。リスク値は、セキュリティの脅威に対するリスクを示す指標で、例えば、予め定められた試算方法で、脅威リストの脅威レベルと保護資産評価リストの重要レベルとの積算で求められる。

　脅威シナリオ作成部６３２は、作成した脅威シナリオリストのリスク値がユーザの設定した対策必要リスクレベル以上か否かを判定する（ステップＳ１０５）。リスク値が対策必要リスクレベル以上の場合（ステップＳ１０５でＹＥＳ）、脅威シナリオ作成部６３２は、脅威シナリオリストの項目に対策が必要であるとの設定を行う（ステップＳ１０６）。一方、リスク値が対策必要リスクレベルより低い場合（ステップＳ１０５でＮＯ）、脅威シナリオ作成部６３２は、脅威シナリオリストの項目に対策が必要でないとの設定を行う（ステップＳ１０７）。

　脅威シナリオ作成部６３２は、作成した脅威シナリオリストのすべてのリスク値について対策の要否の試算が終了したか否かを判定する（ステップＳ１０８）。すべてのリスク値について対策の要否の試算が終了していない場合（ステップＳ１０８でＮＯ）、脅威シナリオ作成部６３２は、処理をステップＳ１０４に戻す。すべてのリスク値について対策の要否の試算が終了している場合（ステップＳ１０８でＹＥＳ）、脅威シナリオ作成部６３２は、脅威シナリオリストをリスク値の高い順で、対策の要否順で項目の並べ替えを行う（ステップＳ１０９）。

　ステップＳ１０３～ステップＳ１０９で作成される脅威シナリオリストについて、具体例を示して説明する。図１８は、本実施の形態に従うサポート装置で作成した脅威シナリオリストの一例を示す図である。図１８に示す脅威シナリオリストでは、重要レベルが「５」の装置機能の保護資産評価リストの項目と、脅威レベルが「５」のＤｏＳ攻撃の項目とを積算した結果がリスク値として「２５」の値が格納されている。この脅威シナリオリストに対して対策必要リスクレベルを「１５」以上として、リスク値の高い順で並べ替えを行う。並べ替えを行った脅威シナリオリストを図１８の下側に示している。

　次に、対策作成部６３４が、脅威シナリオ作成部６３２で作成する脅威シナリオリストと、対策データベース６１０８の対策（脅威対策リスト）とに応じて、コントローラシステム１の保護資産の各々に対する対策を格納した対策シナリオを作成する処理を説明する。図９に戻って、まず、対策作成部６３４は、脅威シナリオリストの各項目に対応する対策を対策データベース６１０８から抽出する（ステップＳ１１０）。対策データベース６１０８から抽出する対策には、セキュリティユニット２００のセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とが含まれる。もちろん、対策データベース６１０８に格納されている対策がセキュリティユニット２００のセキュリティ機能による対策のみである場合、抽出する対策は、セキュリティユニット２００のセキュリティ機能による対策のみでもよい。

　対策作成部６３４は、対策データベース６１０８の脅威対策リストから選択したセキュリティ機能による対策を行うために、セキュリティユニットで必要となるバージョン以上のバージョンのセキュリティユニット２００が設けられているか否かを判定する（ステップＳ１１１）。必要となるバージョン以上の場合（ステップＳ１１１でＹＥＳ）、対策作成部６３４は、セキュリティ機能による対策を行うためにセキュリティユニットで必要となるリソース容量が、セキュリティユニット２００のリソース容量以下であるか否かを判定する（ステップＳ１１２）。

　必要となるリソース容量が、セキュリティユニット２００のリソース容量以下である場合（ステップＳ１１２でＹＥＳ）、対策作成部６３４は、当該セキュリティ機能による対策を脅威シナリオリストの項目に設定する（ステップＳ１１３）。対策作成部６３４は、セキュリティ機能による対策を脅威シナリオリストの項目に設定した場合、セキュリティユニット２００のリソース容量から設定したセキュリティ機能による対策のリソース容量を減算する（ステップＳ１１４）。

　必要となるバージョンより低い場合（ステップＳ１１１でＮＯ）、または必要となるリソース容量が、セキュリティユニット２００のリソース容量より大きい場合（ステップＳ１１２でＮＯ）、対策作成部６３４は、セキュリティ機能を使用しない運用による対策を脅威シナリオリストの項目に設定する（ステップＳ１１５）。

　対策作成部６３４は、脅威シナリオリストのすべての項目に対して対策の設定を完了したか否かを判定する（ステップＳ１１６）。すべての項目に対して対策の設定を完了していない場合（ステップＳ１１６でＮＯ）、対策作成部６３４は、処理をステップＳ１１１に戻す。すべての項目に対して対策の設定を完了した場合（ステップＳ１１６でＹＥＳ）、対策作成部６３４は、脅威シナリオリストのすべての項目に対して対策の設定を完了した対策シナリオを作成する。セキュリティ設定部６３６は、対策作成部６３４で作成する対策シナリオに応じて、セキュリティユニット２００に対してセキュリティ機能の設定データ（セキュリティ機能設定データ）を出力する（ステップＳ１１７）。ステップＳ１１７では、対策結果出力部６３８が、対策作成部６３４で作成する対策シナリオを含む脅威分析結果を脅威分析結果レポートとしてユーザに出力する。

　ステップＳ１１０～ステップＳ１１６で作成される対策シナリオについて、具体例を示して説明する。図１９は、本実施の形態に従うサポート装置で作成した対策シナリオの一例を示す図である。図１９に示す対策シナリオ（ｂ）は、図１８に示した脅威シナリオリストの各項目に、対策データベース６１０８の脅威対策リスト（ａ）から選択した対策が設定してある。対策シナリオ（ｂ）では、脅威シナリオリストの情報に加えて対策、リソース、効果脅威レベル、対策後リスク値の各情報が格納されている。例えば、「装置機能」×「ＤｏＳ攻撃」の項目では、対策として「ＩＤＳ（Intrusion　Detection　System）－隔離」、リソースとして「５０」、効果脅威レベルとして「１」、対策後リスク値として「５」がそれぞれ格納されている。ここで、「ＩＤＳ－隔離」は、セキュリティユニット２００のセキュリティ機能の一つである侵入検知システムにより通信を遮断して他の設備から隔離する対策である。

　対策シナリオ（ｂ）では、リスク値が対策必要リスクレベルの「１０」以上であるか否かにより対策の要否を判定し、装置バージョンが１．３でセキュリティユニット２００のリソース容量が全機能搭載可能であると仮定して対策必要リスクレベルの「１０」以上の全ての項目に対して対策が設定されている。しかし、現実的にはセキュリティユニット２００のリソース容量は有限であり、当該リソース容量に応じて選択される対策が異なる。図２０は、本実施の形態に従うサポート装置で作成したリソース容量が５０の場合の対策シナリオの一例を示す図である。図２０に示す対策シナリオ（ｃ）は、装置バージョンが１．０でリソース容量が５０であるため、対策シナリオ（ｂ）と異なり、「装置機能」×「ＤｏＳ攻撃」の項目で、対策として「フィルタリング」、リソースとして「１０」、効果脅威レベルとして「２」、対策後リスク値として「１０」がそれぞれ格納されている。対策シナリオ（ｃ）では、「ユーザプログラム」×「盗聴」の項目で、対策として「暗号化」、リソースとして「２０」、効果脅威レベルとして「２」、対策後リスク値として「８」がそれぞれ格納されている。

　図２１は、本実施の形態に従うサポート装置で作成したリソース容量が１００の場合の対策シナリオの一例を示す図である。図２１に示す対策シナリオ（ｄ）は、装置バージョンが１．２でリソース容量が１００であるため、対策シナリオ（ｃ）と異なり、「装置機能」×「ＤｏＳ攻撃」の項目で、対策として「ＩＤＳ－隔離」、リソースとして「５０」、効果脅威レベルとして「１」、対策後リスク値として「５」がそれぞれ格納されている。対策シナリオ（ｄ）では、「ユーザプログラム」×「盗聴」の項目で、対策として「暗号化」、リソースとして「２０」、効果脅威レベルとして「２」、対策後リスク値として「８」がそれぞれ格納されている。

　図２２は、本実施の形態に従うサポート装置で作成したリソース容量が２０の場合の対策シナリオの一例を示す図である。図２２に示す対策シナリオ（ｅ）は、装置バージョンが１．２でリソース容量が２０であるため、対策シナリオ（ｂ）と異なり、「装置機能」×「ＤｏＳ攻撃」の項目で、対策として「フィルタリング」、リソースとして「１０」、効果脅威レベルとして「２」、対策後リスク値として「１０」がそれぞれ格納されている。さらに、対策シナリオ（ｅ）では、残りのリソース容量が少ないので、「ユーザプログラム」×「盗聴」の項目でセキュリティ機能による対策ではなく、運用による対策が選択されている。対策シナリオ（ｅ）では、「ユーザプログラム」×「盗聴」の項目で、対策として「有線通信／ポートをふさぐ」、リソースとして「０」、効果脅威レベルとして「２」、対策後リスク値として「８」がそれぞれ格納されている。

　セキュリティユニット２００のセキュリティ機能による対策（例えば、ＩＤＳ－隔離、フィルタリングなど）は、セキュリティユニット２００のリソースを使用するため、リソース容量内で対策を行う必要がある。一方、運用による対策（例えば、有線通信／ポートをふさぐなど）は、セキュリティユニット２００のリソースを使用しないため、リソース容量を気にせずに対策を行うことができる。なお、図１９～図２２に示した対策シナリオでは、各項目のリスク値が対策必要リスクレベル以上であるか否かにより対策の要否を判定しているが、リスク値に関係なくすべての項目に対して対策を設定してもよい。

　次に、ステップＳ１１７で作成される脅威分析結果レポートについて、具体例を示して説明する。図２３は、本実施の形態に従うサポート装置で作成した脅威分析結果レポートの一例を示す図である。図２３に示す脅威分析結果レポートは、装置構成図と攻撃口と想定する脅威一覧が記載され、例えば工場のＩＴ部門への提出用のレポートである。図２３（ａ）に装置構成を示す図が、図２３（ｂ）に脅威シナリオリスト、図２３（ｃ）に対策シナリオがそれぞれ示されている。特に、図２３（ｂ）に脅威シナリオリストでは、攻撃口の番号が図２３（ａ）に装置構成を示す図に付されているので、セキュリティの知識を有して者でも容易にセキュリティの脅威を認識することができる。

　図２４は、本実施の形態に従うサポート装置で作成した脅威分析結果レポートの別の一例を示す図である。図２４に示す脅威分析結果レポートは、運用による対策を分かり易く記載され、例えば工場の作業者向けのレポートである。図２４（ａ）に、対策シナリオにセキュリティユニット２００で使用する機能（セキュリティ機能）の情報が付加された図、図２４（ｂ）に運用による対策リストがそれぞれ示されている。特に、図２４（ｂ）では、運用による対策が一覧でき、その実施内容についても詳しく記載されている。例えば、「有線通信／ポートをふさぐ」項目の実施内容は、「通信ポートの接続不可にする施錠を行う」と記載されている。また、運用による対策リストでは、対策を行う箇所（例えば、ＰＬＣ）も明記されている。

　次に、図８および図９で説明した処理において、サポート装置６００の表示部（例えば、ＬＣＤディスプレイ）に表示される画面について説明する。図２５は、本実施の形態に従うサポート装置で表示される装置構成の情報の一例を示す図である。図２５（ａ）に、ユーザが装置種別（例えば、半導体製造装置、プレス装置など）を選択する画面の一例が示してある。図２５（ｂ）に、装置種別が半導体製造装置の場合の装置構成図の一例が示してある。サポート装置６００では、ステップＳ１０１の処理でコントローラシステム１から取得した装置構成の情報、および保有資産の情報から作成した装置構成を図２５（ｂ）に示す画面でユーザに提示できる。そのため、ユーザは、装置構成を視覚的に把握することができる。

　図２６は、本実施の形態に従うサポート装置で表示される保護資産評価リストの一例を示す図である。サポート装置６００では、ステップＳ１０２の処理で作成した保護資産評価リストを図２６に示す画面でユーザに提示できる。さらに、サポート装置６００は、表示した保護資産評価リストに対して、必要に応じてリストの追加、重要レベルの編集を受け付けることができる。

　図２７は、本実施の形態に従うサポート装置で表示される脅威リストの一例を示す図である。サポート装置６００では、ステップＳ１０３の処理で作成した脅威リストを図２７に示す画面でユーザに提示できる。さらに、サポート装置６００は、表示した脅威リストに対して、必要に応じてリストの追加、脅威レベルの編集を受け付けることができる。

　図２８は、本実施の形態に従うサポート装置で表示されるリスク値試算方法の設定の一例を示す図である。サポート装置６００では、ステップＳ１０４の処理で作成した脅威シナリオリストのリスク値の試算方法の設定を図２８に示す画面でユーザに提示できる。図２８（ａ）に、ユーザがリスク値を試算する方法（例えば、重要度（重要レベル）×脅威レベルなど）を選択する画面の一例が示してある。図２８（ｂ）に、重要度（重要レベル）×脅威レベルでリスク値を試算する場合の重みを設定する画面の一例が示してある。ここで、リスク値は、重要度（重要レベル）と脅威レベルとを単純に積算して求めるだけでなく、それぞれの値に重みを設定して積算して求めてもよい。例えば、脅威レベルを２倍にしてリスク値を試算してもよい。また、別の試算方法として、一般的な脅威分析のリスク評価方法である共通脆弱性評価システムＣＶＳＳ（Common　Vulnerability　Scoring　System）や、ＲＳＭＡ（Risk　Scoring　Methodology　for　Automotive　system）を用いてリスク値を試算してもよい。

　図２９は、本実施の形態に従うサポート装置で表示される脅威シナリオリストの一例を示す図である。サポート装置６００では、ステップＳ１０９の処理で作成した脅威シナリオリストを図２９に示す画面でユーザに提示できる。さらに、サポート装置６００は、表示した脅威シナリオリストに対して、対策必要リスクレベルを受け付けることができる。

　図３０は、本実施の形態に従うサポート装置で表示される対策方針の選択の一例を示す図である。サポート装置６００では、ステップＳ１１１～ステップＳ１１４の処理での方針の設定（例えば、Ｄｅｆａｕｌｔ（ＭＡＸ）設定など）を図３０に示す画面でユーザに提示できる。Ｄｅｆａｕｌｔ（ＭＡＸ）設定では、セキュリティユニット２００のリソース容量の許す範囲で最大となるように対策を選択する設定である。

　図３１は、本実施の形態に従うサポート装置で表示される脅威対策リストの一例を示す図である。サポート装置６００では、ステップＳ１１１～ステップＳ１１４の処理で対策データベース６１０８から読み出した脅威対策リストを図３１に示す画面でユーザに提示できる。さらに、サポート装置６００は、表示した脅威対策リストに対して、必要に応じて対策技術、リソースなどの編集を受け付けることができる。

　図３２は、本実施の形態に従うサポート装置で表示される対策シナリオの一例を示す図である。サポート装置６００では、ステップＳ１１７の処理で作成した対策シナリオを図３２に示す画面でユーザに提示できる。そのため、サポート装置６００では、作成した対策シナリオをユーザに確認させることができる。

　図３３は、本実施の形態に従うサポート装置で表示される出力内容の選択の一例を示す図である。サポート装置６００では、ステップＳ１１７で出力する内容を設定する画面を図３３に示す画面でユーザに提示できる。サポート装置６００では、例えば、脅威分析結果レポート、運用対策レポート、ユニット設定データを出力するように設定できる。

　＜Ｅ．付記＞
　上述したような本実施の形態は、以下のような技術思想を含む。
［構成１］
　制御システムであって、
　制御対象を制御するコントローラシステム（１）と、
　前記コントローラシステム（１）の設定をサポートするサポート装置（６００）とを備え、
　前記コントローラシステム（１）は、
　制御対象を制御するための制御演算を実行する制御ユニット（１００）と、
　前記制御ユニット（１００）に接続され、前記コントローラシステム（１）に対するセキュリティ機能を担当するセキュリティユニット（２００）とを含み、
　前記サポート装置（６００）は、
　前記コントローラシステム（１）から装置構成および保護資産を取得するシステム構成入力部（６３０）と、
　前記コントローラシステム（１）の保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベース（６１０６）と、
　前記システム構成入力部（６３０）で取得した装置構成および保護資産に応じて、前記脅威分析データベース（６１０６）の重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部（６３２）と、
　セキュリティの脅威に応じた対策を予め格納している対策データベース（６１０８）と、
　前記脅威シナリオ作成部（６３２）で作成する前記脅威シナリオと、前記対策データベース（６１０８）の対策とに応じて、前記コントローラシステム（１）の保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部（６３４）と、
　前記対策作成部（６３４）で作成する前記対策シナリオに応じて、前記セキュリティユニット（２００）に対してセキュリティ機能の設定データを出力するセキュリティ設定部（６３６）とを含む、制御システム。
［構成２］
　前記サポート装置（６００）は、前記脅威シナリオ、および前記対策シナリオの少なくともの１つの情報を含む対策レポートを出力する対策結果出力部（６３８）をさらに備える、構成１に記載の制御システム。
［構成３］
　前記脅威分析データベース（６１０６）は、セキュリティの脅威に対する脅威レベルが、前記コントローラシステム（１）の装置種別により異なる、構成１または構成２に記載の制御システム。
［構成４］
　前記脅威シナリオは、前記コントローラシステム（１）の保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してある、構成１～構成３のいずれか１項に記載の制御システム。
［構成５］
　前記対策作成部（６３４）は、前記脅威シナリオに格納されたリスク値が予め定められた値以上の前記コントローラシステム（１）の保護資産およびセキュリティの脅威の各々に対して前記対策シナリオを作成する、構成４に記載の制御システム。
［構成６］
　前記対策データベース（６１０８）は、セキュリティの脅威に応じた対策として、前記セキュリティユニット（２００）のセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してある、構成１～構成５のいずれか１項に記載の制御システム。
［構成７］
　前記対策作成部（６３４）は、前記コントローラシステム（１）のリソースに応じて、前記セキュリティユニット（２００）のセキュリティ機能による対策を選択して前記対策シナリオを作成する、構成１～構成６のいずれか１項に記載の制御システム。
［構成８］
　前記対策作成部（６３４）は、前記コントローラシステム（１）を構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なる、構成７に記載の制御システム。
［構成９］
　前記対策作成部（６３４）は、前記コントローラシステム（１）のリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、構成６～構成８のいずれか１項に記載の制御システム。
［構成１０］
　制御対象を制御するための制御演算を実行する制御ユニット（１００）と、前記制御ユニット（１００）に接続され、コントローラシステム（１）に対するセキュリティ機能を担当するセキュリティユニット（２００）とを含む前記コントローラシステム（１）に対してセキュリティ機能の設定データを設定する、前記コントローラシステム（１）の設定方法であって、
　前記コントローラシステム（１）から装置構成および保護資産を取得するステップと、
　取得した装置構成および保護資産に応じて、脅威分析データベース（６１０６）で予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、
　作成する前記脅威シナリオと、対策データベース（６１０８）で予め格納しているセキュリティの脅威に応じた対策とに応じて、前記コントローラシステム（１）の保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、
　作成する前記対策シナリオに応じて、前記セキュリティユニット（２００）に対してセキュリティ機能の設定データを出力するステップとを含む、設定方法。

　＜Ｆ．利点＞
　本実施の形態に係る制御システムによれば、サポート装置でセキュリティの脅威を分析し、当該脅威に対する対策を容易に行うことができる。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　コントローラシステム、１０　制御システム、１００　制御ユニット、１０２，２０２，３０２，６０２　プロセッサ、１０４，２０４，３０４　チップセット、１０６，２０６，３０６　主記憶装置、１０８，２０８，３０８　二次記憶装置、１１０，２１０　通信コントローラ、１１２，２１２，６２０　ＵＳＢコントローラ、１１４，２１４，３１４　メモリカードインターフェイス、１１５，２１５，３１５　メモリカード、１１６，１１８，１２０，２１６，２１８　ネットワークコントローラ、１２２，３２２　内部バスコントローラ、１２４，２２４，３２４　インジケータ、１４２，１４４，２４２　通信ポート、２００　セキュリティユニット、３００　セーフティユニット、４００　機能ユニット、４５０　電源ユニット、５００　フィールドデバイス、６００　サポート装置、６０４　メインメモリ、６０６　入力部、６０８　出力部、６１０　ストレージ、６１２　光学ドライブ、６１４　記録媒体、６１８　プロセッサバス、８００　ＨＭＩ、９００　外部ネットワーク、６１０２　ＯＳ、６１０４　サポートプログラム、６１０６　脅威分析データベース、６１０８　対策データベース。

Claims

　制御システムであって、
　制御対象を制御するコントローラシステムと、
　前記コントローラシステムの設定をサポートするサポート装置とを備え、
　前記コントローラシステムは、
　制御対象を制御するための制御演算を実行する制御ユニットと、
　前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含み、
　前記サポート装置は、
　前記コントローラシステムから装置構成および保護資産を取得するシステム構成入力部と、
　前記コントローラシステムの保護資産に対する重要レベル、セキュリティの脅威に対する脅威レベルを予め格納している脅威分析データベースと、
　前記システム構成入力部で取得した装置構成および保護資産に応じて、前記脅威分析データベースの重要レベルおよび脅威レベルから脅威シナリオを作成する脅威シナリオ作成部と、
　セキュリティの脅威に応じた対策を予め格納している対策データベースと、
　前記脅威シナリオ作成部で作成する前記脅威シナリオと、前記対策データベースの対策とに応じて、前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成する対策作成部と、
　前記対策作成部で作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するセキュリティ設定部とを含む、制御システム。
　前記サポート装置は、前記脅威シナリオ、および前記対策シナリオの少なくともの１つの情報を含む対策レポートを出力する対策結果出力部をさらに備える、請求項１に記載の制御システム。
　前記脅威分析データベースは、セキュリティの脅威に対する脅威レベルが、前記コントローラシステムの装置種別により異なる、請求項１または請求項２に記載の制御システム。
　前記脅威シナリオは、前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して、予め定められた方法で試算したリスク値を格納してある、請求項１～請求項３のいずれか１項に記載の制御システム。
　前記対策作成部は、前記脅威シナリオに格納されたリスク値が予め定められた値以上の前記コントローラシステムの保護資産およびセキュリティの脅威の各々に対して前記対策シナリオを作成する、請求項４に記載の制御システム。
　前記対策データベースは、セキュリティの脅威に応じた対策として、前記セキュリティユニットのセキュリティ機能による対策と、当該セキュリティ機能を使用しない運用による対策とをそれぞれ格納してある、請求項１～請求項５のいずれか１項に記載の制御システム。
　前記対策作成部は、前記セキュリティユニットのリソースに応じて、前記セキュリティユニットのセキュリティ機能による対策を選択して前記対策シナリオを作成する、請求項１～請求項６のいずれか１項に記載の制御システム。
　前記対策作成部は、前記コントローラシステムを構成する装置の各々のソフトウェアおよびハードウェアのバージョンにより選択する対策が異なる、請求項７に記載の制御システム。
　前記対策作成部は、前記セキュリティユニットのリソースが不足する場合、運用による対策を選択して前記対策シナリオを作成する、請求項６～請求項８のいずれか１項に記載の制御システム。
　制御対象を制御するための制御演算を実行する制御ユニットと、前記制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含む前記コントローラシステムに対してセキュリティ機能の設定データを設定する、前記コントローラシステムの設定方法であって、
　前記コントローラシステムから装置構成および保護資産を取得するステップと、
　取得した装置構成および保護資産に応じて、脅威分析データベースで予め格納している重要レベルおよび脅威レベルから脅威シナリオを作成するステップと、
　作成する前記脅威シナリオと、対策データベースで予め格納しているセキュリティの脅威に応じた対策とに応じて、前記コントローラシステムの保護資産の各々に対する対策を格納した対策シナリオを作成するステップと、
　作成する前記対策シナリオに応じて、前記セキュリティユニットに対してセキュリティ機能の設定データを出力するステップとを含む、設定方法。