WO2021005831A1

WO2021005831A1 - 制御システム、および制御方法

Info

Publication number: WO2021005831A1
Application number: PCT/JP2020/009376
Authority: WO
Inventors: 西山　佳秀; 雄大永田
Original assignee: オムロン株式会社
Priority date: 2019-07-08
Filing date: 2020-03-05
Publication date: 2021-01-14
Also published as: EP3998542A4; US20220245233A1; EP3998542A1; CN114072793A; JP7379888B2; JP2021012573A

Abstract

複数のユニットで構成される制御システム（２）においてセキュリティ情報を一元的に管理するための技術を提供する。制御システム（２）は、バス（１０）に接続されるマスターユニット（３００）と、バス（１０）に接続され、当該バス（１０）を介してマスターユニット（３００）と通信するスレーブユニット（２００）とを備える。マスターユニット（３００）は、秘匿対象の情報である第１セキュリティ情報（３３０）を格納するための不揮発性メモリ（３０８）を有する。スレーブユニット（２００）は、揮発性メモリ（２０６）を有する。スレーブユニット（２００）は、予め定められたタイミングにおいて、第１セキュリティ情報（３３０）をマスターユニット（３００）から受信し、当該第１セキュリティ情報（３３０）を揮発性メモリ（２０６）に格納する。

Description

制御システム、および制御方法

　本開示は、複数のユニットで構成される制御システムにおいてセキュリティ情報を管理するための技術に関する。

　ＦＡ（Factory　Automation）を用いた生産現場などでは、各種装置の制御において、ＰＬＣ（Programmable　Logic　Controller）などの制御ユニットが用いられる。近年、外部機器に接続できる制御ユニットが普及している。このような制御ユニットに関し、特許文献１（特開２０１６－１９４８０８号公報）は、外部機器のデーターベースにアクセスすることができるＰＬＣを開示している。

特開２０１６－１９４８０８号公報

　制御ユニットには、種々の機能ユニットが接続され得る。各機能ユニットには、様々なアプリケーションがインストールされ得る。ユーザは、必要に応じて、機能ユニットを追加したり、アプリケーションをインストールしたりすることができる。

　各機能ユニットは、他の機能ユニットとは独立しており、アカウント情報やデジタル証明書などの情報（以下、「セキュリティ情報」ともいう。）を機能ユニットごとに管理する必要がある。そのため、ユーザは、機能ユニットの数が多くなるほど、容易なパスワードを設定したり、パスワードを忘れてしまったりして、セキュリティ情報の管理が煩雑になる。したがって、複数のユニットで構成される制御システムにおいてセキュリティ情報を一元的に管理するための技術が望まれている。

　本開示の一例では、複数のユニットで構成される制御システムが提供される。上記複数のユニットは、バスに接続されるマスターユニットと、上記バスに接続され、当該バスを介して上記マスターユニットと通信するスレーブユニットとを含む。上記マスターユニットは、秘匿対象の情報である第１セキュリティ情報を格納するための不揮発性メモリを有する。上記スレーブユニットは、揮発性メモリを有する。上記スレーブユニットは、予め定められたタイミングにおいて、上記第１セキュリティ情報を上記マスターユニットから受信し、当該第１セキュリティ情報を上記揮発性メモリに格納する。

　本開示によれば、スレーブユニットは、マスターユニットから受信したセキュリティ情報を揮発性メモリに格納する。これにより、制御システムへの電力の供給が停止する度に、マスターユニットからセキュリティ情報が消える。一方で、マスターユニットの不揮発性メモリに格納されているセキュリティ情報は、制御システムへの電力の供給が停止したとしても消えない。これにより、セキュリティ情報を一元的に管理することができる。

　本開示の一例では、上記予め定められたタイミングは、上記制御システムの電源がオンされたタイミングを含む。

　本開示によれば、スレーブユニットは、制御システムの電源がオンされる度にマスターユニットからセキュリティ情報を受信するので、セキュリティ情報を最新の状態に保つことができる。

　本開示の一例では、上記第１セキュリティ情報は、ユーザのアカウント情報を含む。上記スレーブユニットは、当該スレーブユニットと通信可能に構成される外部機器から当該スレーブユニットへのデータアクセス要求を受信したことに基づいて、アカウント情報の入力を上記外部機器に要求し、上記外部機器に入力されたアカウント情報が、上記揮発性メモリに格納されている上記第１セキュリティ情報に登録されている場合、上記外部機器による上記スレーブユニットへのデータアクセスを許可する。

　本開示によれば、スレーブユニットは、マスターユニットから受信したアカウント情報に基づいて、ユーザの認証処理を実現することができる。

　本開示の一例では、上記第１セキュリティ情報は、デジタル証明書を含む。上記スレーブユニットは、当該スレーブユニットと通信可能に構成される外部機器から、当該スレーブユニットに格納されているデータについての取得要求を受信したことに基づいて、上記揮発性メモリに格納されている上記デジタル証明書を上記外部機器に送信する。

　本開示によれば、スレーブユニットは、マスターユニットから受信したデジタル証明書に基づいて、外部機器と通信を実現することができる。

　本開示の一例では、上記スレーブユニットは、さらに、秘匿対象の情報である第２セキュリティ情報を格納するための不揮発性メモリを有する。上記スレーブユニットは、上記第１セキュリティ情報に含まれる情報と、上記第２セキュリティ情報に含まれる情報との間で、競合する情報が存在する場合には、予め定められたルールに従って、当該競合する情報の内のいずれの情報を優先するかを決定する。

　本開示によれば、第１セキュリティ情報と第２セキュリティ情報との間で、情報の競合が解消される。

　本開示の一例では、上記マスターユニットは、上記予め定められたタイミングにおいて、上記第２セキュリティ情報を上記スレーブユニットから受信し、当該第２セキュリティ情報を当該マスターユニットの上記揮発性メモリに格納する。

　本開示によれば、マスターユニットとスレーブユニットとの間で、セキュリティ情報を分散させて管理することができる。

　本開示の一例では、上記スレーブユニットは、駆動機器を制御するための制御ユニットを含む。

　本開示によれば、制御ユニットで利用されるセキュリティ情報を、マスターユニットで一元的に管理することができる。

　本開示の他の例では、複数のユニットで構成される制御システムの制御方法が提供される。上記複数のユニットは、バスに接続されるマスターユニットと、上記バスに接続され、当該バスを介して上記マスターユニットと通信するスレーブユニットとを含む。上記制御方法は、上記マスターユニットが、秘匿対象の情報である第１セキュリティ情報を、当該マスターユニットの不揮発性メモリに格納するステップと、上記スレーブユニットが、予め定められたタイミングにおいて、上記第１セキュリティ情報を上記マスターユニットから受信するステップと、前上記スレーブユニットが、上記マスターユニットから受信した上記第１セキュリティ情報を、当該スレーブユニットの揮発性メモリに格納するステップとを備える。

　本開示によれば、スレーブユニットは、マスターユニットから受信したセキュリティ情報を揮発性メモリに格納する。これにより、制御システムへの電力の供給が停止する度に、マスターユニットからセキュリティ情報が消える。一方で、マスターユニットにおいては、マスターユニットの不揮発性メモリに格納されているセキュリティ情報は、制御システムへの電力の供給が停止したとしても消えない。これにより、セキュリティ情報を一元的に管理することができる。

実施の形態に従う情報処理システムの構成例を示す図である。実施の形態に従う制御システムの構成例を示す外観図である。実施の形態に従う制御システムを構成する制御ユニットのハードウェア構成例を示す模式図である。実施の形態に従う制御システムを構成する機能ユニットのハードウェア構成例を示す模式図である。実施の形態に従う制御システムを構成する機能ユニットのハードウェア構成例を示す模式図である。実施の形態に従う情報処理システムを構成する外部機器のハードウェア構成例を示す模式図である。実施の形態に従う情報処理システムのユニット構成の一例を示す図である。機能ユニットと機能ユニットと外部機器との間のデータフローを示す図である。実施の形態に従う外部機器に表示される画面の一例を示す図である。セキュリティ情報に含まれる登録アカウント情報を示す図である。第１変形例に従う制御システムの構成例を示す図である。セキュリティ情報をマージする過程を示す図である。第２変形例に従う制御システムの構成例を示す図である。第３変形例に従う制御システムの構成例を示す図である。セキュリティ情報に含まれる鍵情報を示す図である。

　以下、図面を参照しつつ、本発明に従う各実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらについての詳細な説明は繰り返さない。

　＜Ａ．適用例＞
　図１を参照して、本発明の適用例について説明する。図１は、実施の形態に従う情報処理システム１の構成例を示す図である。

　情報処理システム１は、１つ以上の制御システム２と、１つ以上の外部機器５００とを含む。制御システム２は、生産工程を自動化するためのＦＡシステムである。制御システム２は、制御ユニット１００と、機能ユニット２００，３００とを含む。機能ユニット３００は、マスターユニットとして機能する。制御ユニット１００および機能ユニット２００は、スレーブユニットとして機能する。マスターおよびスレーブの関係は、予め設定されている。

　機能ユニット２００および外部機器５００は、外部ネットワークに接続される。機能ユニット２００および外部機器５００の間の通信は、Ｅｔｈｅｒｎｅｔ（登録商標）によって実現される。外部機器５００は、たとえば、ノート型またはデスクトップ型のＰＣ（Personal　Computer）、タブレット端末、スマートフォン、ＨＭＩ（Human　Machine　Interface）、または、その他の情報処理端末である。

　制御ユニット１００、機能ユニット２００、および機能ユニット３００は、内部バス１０によって接続される。これらのユニットは、内部バス１０を介して、互いに通信を行う。

　制御ユニット１００は、たとえば、ＰＬＣである。制御ユニット１００は、予め設計されたユーザプログラムに従って、駆動機器（図示しない）を制御する。駆動機器は、生産工程を自動化するための種々の産業用機器を含む。一例として、駆動機器は、ロボットコントローラや、サーボドライバや、ロボットコントローラに制御されるアームロボットや、サーボドライバによって制御されるサーボモータなどを含む。また、駆動機器は、ワークを撮影するための視覚センサや、生産工程で利用されるその他の機器などを含んでもよい。

　制御ユニット１００は、揮発性メモリ１０６を有する。揮発性メモリ１０６は、電力の供給が停止されると記憶している情報が消えてしまうようなメモリの総称である。揮発性メモリ１０６は、たとえば、ＳＲＡＭ（Static　Random　Access　Memory）やＤＲＡＭ（Dynamic　Random　Access　Memory）などのＲＡＭ（Random　Access　Memory）である。

　機能ユニット２００は、制御ユニット１００に接続される。機能ユニット２００には、制御システム２に関する各種サービスを提供するための種々のアプリケーションがインストールされ得る。機能ユニット２００は、揮発性メモリ２０６を有する。揮発性メモリ１０６は、たとえば、ＳＲＡＭやＤＲＡＭなどのＲＡＭである。

　機能ユニット３００は、秘匿対象の情報であるセキュリティ情報３３０を一元的に管理するためのユニットである。機能ユニット３００は、たとえば、ＳＧＵ（Security　Guard　Unit）である。セキュリティ情報３３０は、たとえば、各種ユニットで利用されるアカウント情報やデジタル証明書などを含む。セキュリティ情報３３０は、機能ユニット３００の不揮発性メモリ３０８に格納される。

　不揮発性メモリ３０８は、電力の供給がない状態でも情報を保持し続けることが可能なメモリの総称である。不揮発性メモリ３０８は、たとえば、ＲＯＭ（Read　Only　Memory）、ハードディスク、または、フラッシュメモリである。

　マスターユニットとしての機能ユニット３００は、予め定められたタイミングにおいて、スレーブユニットとしての制御ユニット１００と機能ユニット２００とに、セキュリティ情報３３０を送信する。制御ユニット１００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ１０６に格納する。同様に、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ２０６に格納する。

　セキュリティ情報３３０が配布されるタイミングは、特に限定されない。ある局面において、セキュリティ情報３３０は、制御システム２の電源がオンされたタイミングに、各スレーブユニットに配布される。他の局面において、セキュリティ情報３３０は、予め定められた周期ごとに各スレーブユニットに配布される。さらに他の局面において、セキュリティ情報３３０は、ユーザ操作による取得指示や更新指示を受けたタイミングに、各スレーブユニットに配布される。

　以上のように、制御システム２は、セキュリティ情報の管理を一元的に担う機能ユニット３００を有する。これにより、ユーザは、アカウント情報やデジタル証明書などの管理をユニットごとに行う必要がなくなり、セキュリティ情報の管理における煩雑性が解消される。その結果、誤った設定や古い設定によって生じるセキュリティホールを防ぐことができる。また、セキュリティ情報３３０が一箇所で管理されると、異常発生時において確認すべき箇所を減らすことができ、迅速に異常に対応することができる。

　さらに、セキュリティ情報は、内部バス１０を介して配布されるので、外部ネットワークに接続する必要がない。これにより、セキュリティ情報が外部に漏れる可能性が低くなり、制御システム２のセキュリティレベルが改善される。

　また、セキュリティ情報３３０は、揮発性メモリ１０６，２０６に格納される。そのため、セキュリティ情報３３０は、制御システム２の電源の遮断後において、スレーブユニット上に残らない。一方で、機能ユニット３００の不揮発性メモリ３０８に格納されているセキュリティ情報３３０は、制御システム２への電力の供給が停止したとしても消えない。これにより、セキュリティ情報３３０が重複することがなくなり、セキュリティ情報３３０の一元的な管理がより確実に実現される。

　また、セキュリティ情報３３０が一元的に管理されると、ユーザは、全てのユニットについて情報漏洩対策を行う必要がない。すなわち、ユーザは、機能ユニット３００の不揮発性メモリ３０８に対して情報漏洩対策を重点的に行えば、セキュリティレベルを改善することができる。たとえば、暗号化機能付きのメモリが不揮発性メモリ３０８に用いられると、セキュリティ情報３３０の漏洩のリスクを低減することができる。また、ユーザは、不揮発性メモリ３０８に対してのみ情報漏洩対策を行えばいいので、コストも抑えることができる。

　＜Ｂ．制御システム２＞
　図２を参照して、図１に示される制御システム２について説明する。図２は、制御システム２の構成例を示す外観図である。

　図２を参照して、制御システム２は、１または複数の制御ユニット１００と、１または複数の機能ユニット２００と、１または複数の機能ユニット３００と、１または複数の機能ユニット４００と、電源ユニット４５０とを含む。

　制御ユニット１００と機能ユニット２００との間は、任意のデータ伝送路を介して接続されている。制御ユニット１００と、機能ユニット２００と、１または複数の機能ユニット３００，４００との間は、内部バス１０（図１参照）を介して接続されている。

　制御ユニット１００は、制御システム２において中心的な処理を実行する。制御ユニット１００は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。図２に示す構成例において、制御ユニット１００は、１または複数の通信ポートを有している。制御ユニット１００は、標準制御プログラムに従って標準制御を実行する処理実行部に相当する。

　機能ユニット２００は、制御ユニット１００に接続され、他の装置との間の通信機能を担当する。図２に示す構成例において、機能ユニット２００は、１または複数の通信ポートを有している。

　機能ユニット３００は、オプションのユニットであり、必要に応じて制御ユニット１００に接続される。機能ユニット３００は、典型的には、ＳＧＵ（Security　Guard　Unit）、ＯＰＣ　ＵＡ（Object　Linking　and　Embedding　for　Process　Control　Unified　Architecture）によるデータ交換機能を有する通信ユニット、ＡＩ（Artificial　Intelligence）による予防保全機能を有するＡＩユニットなどを包含し得る。

　機能ユニット４００は、制御システム２による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット４００は、典型的には、Ｉ／Ｏユニット、セーフティＩ／Ｏユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。Ｉ／Ｏユニットとしては、たとえば、デジタル入力（ＤＩ）ユニット、デジタル出力（ＤＯ）ユニット、アナログ出力（ＡＩ）ユニット、アナログ出力（ＡＯ）ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティＩ／Ｏユニットは、セーフティ制御に係るＩ／Ｏ処理を担当する。

　電源ユニット４５０は、制御システム２を構成する各ユニットに対して、所定電圧の電源を供給する。

　＜Ｃ．各ユニットのハードウェア構成例＞
　次に、本実施の形態に従う制御システム２を構成する各ユニットのハードウェア構成例について説明する。

　（ｃ１：制御ユニット１００）
　図３は、本実施の形態に従う制御システム２を構成する制御ユニット１００のハードウェア構成例を示す模式図である。図３を参照して、制御ユニット１００は、主たるコンポーネントとして、ＣＰＵ（Central　Processing　Unit）やＧＰＵ（Graphical　Processing　Unit）などのプロセッサ１０２と、チップセット１０４と、揮発性メモリ１０６と、不揮発性メモリ１０８と、通信コントローラ１１０と、ＵＳＢ（Universal　Serial　Bus）コントローラ１１２と、メモリカードインターフェイス１１４と、ネットワークコントローラ１１６，１１８，１２０と、内部バスコントローラ１２２と、インジケータ１２４とを含む。

　プロセッサ１０２は、不揮発性メモリ１０８に格納された各種プログラムを読み出して、揮発性メモリ１０６に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。チップセット１０４は、プロセッサ１０２と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット１００全体としての処理を実現する。

　不揮発性メモリ１０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。

　通信コントローラ１１０は、機能ユニット３００との間のデータの遣り取りを担当する。通信コントローラ１１０としては、たとえば、内部バスあるいはＥｔｈｅｒＮｅｔなどに対応する通信チップを採用できる。

　ＵＳＢコントローラ１１２は、ＵＳＢ接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。

　メモリカードインターフェイス１１４は、メモリカード１１５を着脱可能に構成されており、メモリカード１１５に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード１１５から制御プログラムや各種設定などのデータを読出すことが可能になっている。

　ネットワークコントローラ１１６，１１８，１２０の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ１１６，１１８，１２０は、ＥｔｈｅｒＣＡＴ（登録商標）、ＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）、ＤｅｖｉｃｅＮｅｔ（登録商標）、ＣｏｍｐｏＮｅｔ（登録商標）などの産業用ネットワークプロトコルを採用してもよい。

　内部バスコントローラ１２２は、制御システム２を構成する機能ユニット２００、１または複数の機能ユニット３００、１または複数の機能ユニット４００との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。

　インジケータ１２４は、制御ユニット１００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図３には、プロセッサ１０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装してもよい。あるいは、制御ユニット１００の主要部を、汎用的なアーキテクチャに従うハードウェア（たとえば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳ（Operating　System）を並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｃ２：機能ユニット２００）
　図４は、本実施の形態に従う制御システム２を構成する機能ユニット２００のハードウェア構成例を示す模式図である。図４を参照して、機能ユニット２００は、主たるコンポーネントとして、ＣＰＵやＧＰＵなどのプロセッサ２０２と、チップセット２０４と、揮発性メモリ２０６と、不揮発性メモリ２０８と、通信コントローラ２１０と、通信インターフェイス２１２と、メモリカードインターフェイス２１４と、ネットワークコントローラ２１６，２１８と、インジケータ２２４とを含む。

　プロセッサ２０２は、不揮発性メモリ２０８に格納された各種プログラムを読み出して、揮発性メモリ２０６に展開して実行することで、後述するような各種通信機能を実現する。チップセット２０４は、プロセッサ２０２と各コンポーネントとの間のデータの遣り取りを仲介することで、機能ユニット２００全体としての処理を実現する。

　不揮発性メモリ２０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する通信制御プログラム２３２などの各種データが格納される。

　通信コントローラ２１０は、制御ユニット１００や機能ユニット３００との間のデータの遣り取りを担当する。通信コントローラ２１０としては、たとえば、内部バスあるいはＥｔｈｅｒＮｅｔなどに対応する通信チップを採用できる。

　通信インターフェイス２１２は、ＵＳＢ接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。

　メモリカードインターフェイス２１４は、メモリカード２１５を着脱可能に構成されており、メモリカード２１５に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード２１５から制御プログラムや各種設定などのデータを読出すことが可能になっている。

　ネットワークコントローラ２１６，２１８の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ２１６，２１８は、ＥｔｈｅｒＮｅｔなどの汎用的なネットワークプロトコルを採用してもよい。一例として、機能ユニット２００は、ネットワークコントローラ２１６またはネットワークコントローラ２１８を介して外部機器５００と通信する。

　インジケータ２２４は、機能ユニット２００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図４には、プロセッサ２０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。あるいは、機能ユニット２００の主要部を、汎用的なアーキテクチャに従うハードウェア（たとえば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳを並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｃ３：機能ユニット３００）
　図５は、本実施の形態に従う制御システム２を構成する機能ユニット３００のハードウェア構成例を示す模式図である。図５を参照して、機能ユニット３００は、主たるコンポーネントとして、ＣＰＵやＧＰＵなどのプロセッサ３０２と、チップセット３０４と、揮発性メモリ３０６と、不揮発性メモリ３０８と、メモリカードインターフェイス３１４と、内部バスコントローラ３２２と、インジケータ３２４とを含む。

　プロセッサ３０２は、不揮発性メモリ３０８に格納された各種アプリケーションプログラムを読み出して、揮発性メモリ３０６に展開して実行することで、サーバ機能および各種機能を実現する。チップセット３０４は、プロセッサ３０２と各コンポーネントとの間のデータの遣り取りを仲介することで、機能ユニット３００全体としての処理を実現する。

　不揮発性メモリ３０８には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するアプリケーションプログラムや上述のセキュリティ情報３３０（図１参照）が格納される。

　メモリカードインターフェイス３１４は、メモリカード３１５を着脱可能に構成されており、メモリカード３１５に対してアプリケーションプログラムや各種設定などのデータを書込み、あるいは、メモリカード３１５からアプリケーションプログラムや各種設定などのデータを読出すことが可能になっている。

　内部バスコントローラ３２２は、内部バスを介した制御ユニット１００や機能ユニット２００との間のデータの遣り取りを担当する。

　インジケータ３２４は、機能ユニット３００の動作状態などを通知するものであり、ユニット表面に配置された１または複数のＬＥＤなどで構成される。

　図５には、プロセッサ３０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。あるいは、機能ユニット３００の主要部を、汎用的なアーキテクチャに従うハードウェア（たとえば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳを並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　＜Ｄ．外部機器５００のハードウェア構成例＞
　次に、図６を参照して、外部機器５００のハードウェア構成について順に説明する。図６は、実施の形態に従う情報処理システム１を構成する外部機器５００のハードウェア構成例を示す模式図である。

　外部機器５００は、一例として、汎用的なコンピュータアーキテクチャに準じて構成されるコンピュータからなる。外部機器５００は、ＣＰＵやＭＰＵなどのプロセッサ５０２と、揮発性メモリ５０４と、不揮発性メモリ５１０と、通信インターフェイス５１１と、Ｉ／Ｏ（Input/Output）インターフェイス５１４と、表示インターフェイス５２０とを含む。これらのコンポーネントは、内部バス５２５を介して互いに通信可能に接続されている。

　プロセッサ５０２は、開発支援プログラム５１０Ａやブラウザアプリケーション（図示しない）などの各種の制御プログラムを実行することで外部機器５００の動作を制御する。開発支援プログラム５１０Ａは、制御システム２の制御プログラム（ユーザプログラム）を開発するための環境を提供するプログラムである。プロセッサ５０２は、開発支援プログラム５１０Ａやブラウザアプリケーションなどの各種制御プログラムの実行命令を受け付けたことに基づいて、実行対象の制御プログラムを不揮発性メモリ５１０から揮発性メモリ５０４に読み出す。

　通信インターフェイス５１１は、他の通信機器との間でネットワークを介してデータを遣り取りする。当該他の通信機器は、たとえば、機能ユニット２００、サーバなどを含む。外部機器５００は、通信インターフェイス５１１を介して、当該他の通信機器から、開発支援プログラム５１０Ａなどの各種制御プログラムをダウンロード可能なように構成されてもよい。

　Ｉ／Ｏインターフェイス５１４は、入力デバイス５１５に接続され、入力デバイス５１５からのユーザ操作を示す信号を取り込む。入力デバイス５１５は、典型的には、キーボード、マウス、タッチパネル、タッチパッドなどからなり、ユーザからの操作を受け付ける。なお、図６の例では、外部機器５００および入力デバイス５１５が別体として示されているが、外部機器５００および入力デバイス５１５は、一体的に構成されてもよい。

　表示インターフェイス５２０は、ディスプレイ５２１と接続され、プロセッサ５０２などからの指令に従って、ディスプレイ５２１に対して、画像を表示するための画像信号を送出する。ディスプレイ５２１は、たとえば、ＬＣＤ（Liquid　Crystal　Display）や有機ＥＬ（Electro　Luminescence）であり、ユーザに対して各種情報を提示する。ディスプレイ５２１には、開発支援プログラム５１０Ａによって提供される各種画面が表示され得る。なお、図６の例では、外部機器５００およびディスプレイ５２１が別体として示されているが、外部機器５００およびディスプレイ５２１は、一体的に構成されてもよい。

　＜Ｅ．情報処理システム１のユニット構成例＞
　図７は、情報処理システム１のユニット構成の一例を示す図である。図７を参照して、情報処理システム１のユニット構成の具体例について説明する。

　図７に示されるように、情報処理システム１は、制御システム２と、外部機器５００とを含む。制御システム２は、制御ユニット１００と、機能ユニット２００Ａ，２００Ｂと、機能ユニット３００とを含む。機能ユニット２００Ａ，２００Ｂは、上述の機能ユニット２００（図２参照）の一例である。制御ユニット１００と、機能ユニット２００Ａ，２００Ｂと、機能ユニット３００とは、内部バス１０を介して接続されている。これらのユニットは、内部バス１０を介して互いに通信する。当該通信は、たとえば、仮想Ｅｔｈｅｒｎｅｔによって実現される。

　外部ネットワークＮＷ１には、機能ユニット２００および外部機器５００が接続されている。外部機器５００には、ＩＰアドレス「１９２．１６８．２５０．３」が割り当てられている。機能ユニット２００および外部機器５００は、それぞれ、物理的な通信ポートを有し、当該通信ポートを介して外部ネットワークＮＷ１に接続される。

　内部ネットワークＮＷ２には、制御ユニット１００、機能ユニット２００Ａ，２００Ｂ，３００が接続されている。制御ユニット１００には、仮想ＩＰアドレス「１９２．１６８．２５０．１」が割り当てられている。また、制御ユニット１００には、ユニット名「Ｕｎｉｔ　＃０」が割り当てられている。

　機能ユニット２００Ａには、ＩＰアドレス「１９２．１６８．２５０．２」が割り当てられている。また、機能ユニット２００Ａには、ユニット名「Ｕｎｉｔ　＃１」が割り当てられている。機能ユニット２００Ａは、Ｗｅｂサーバ「Ｗｅｂ１」として機能する。機能ユニット２００Ａには、アプリケーション「Ａｐｐ１１」，「Ａｐｐ１２」がインストールされている。アプリケーション「Ａｐｐ１１」，「Ａｐｐ１２」は、Ｗｅｂサーバ「Ｗｅｂ１」からアクセスされる。

　機能ユニット２００Ｂには、仮想ＩＰアドレス「１９２．１６８．２５１．１００」が割り当てられている。また、機能ユニット２００Ｂには、ユニット名「Ｕｎｉｔ　＃２」が割り当てられている。機能ユニット２００Ｂは、Ｗｅｂサーバ「Ｗｅｂ２」として機能する。機能ユニット２００Ｂには、アプリケーション「Ａｐｐ２１」，「Ａｐｐ２２」がインストールされている。アプリケーション「Ａｐｐ２１」，「Ａｐｐ２２」は、Ｗｅｂサーバ「Ｗｅｂ２」からアクセスされる。

　機能ユニット３００には、仮想ＩＰアドレス「１９２．１６８．２５１．１０１」が割り当てられている。また、機能ユニット３００には、ユニット名「Ｕｎｉｔ　＃３」が割り当てられている。機能ユニット３００は、Ｗｅｂサーバ「Ｗｅｂ３」として機能する。機能ユニット３００には、アプリケーション「Ａｐｐ３１」，「Ａｐｐ３２」がインストールされている。アプリケーション「Ａｐｐ３１」，「Ａｐｐ３２」は、Ｗｅｂサーバ「Ｗｅｂ３」からアクセスされる。

　＜Ｆ．シーケンスフロー＞
　次に、図８～図１０を参照して、制御システム２の制御フローについて説明する。図８は、機能ユニット２００と、機能ユニット３００と、外部機器５００との間のデータフローを示す図である。

　ステップＳ２０において、制御システム２が起動されたとする。このことに基づいて、機能ユニット２００，３００の間でマスターおよびスレーブの関係が設定される。マスターおよびスレーブの関係は、予め設定されていてもよいし、ユーザによって任意に設定されてもよい。図８の例では、機能ユニット２００がスレーブユニットとして設定されており、機能ユニット３００がマスターユニットとして設定されているとする。スレーブユニットとしての機能ユニット２００は、マスターユニットとしての機能ユニット３００に、セキュリティ情報３３０の取得要求を送信する。機能ユニット３００は、当該取得要求を受信したことに基づいて、セキュリティ情報３３０を機能ユニット２００に送信する。

　ステップＳ２２において、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ２０６に格納する。

　ステップＳ３０において、外部機器５００は、機能ユニット２００へのデータアクセス要求をユーザから受けたとする。ステップＳ３０の時点では、機能ユニット２００へのログイン処理が行われていないので、アカウント情報の入力を外部機器５００に要求する。より具体的には、機能ユニット２００は、外部機器５００からデータアクセス要求を受信したことに基づいて、ログインページのＵＲＬを外部機器５００に送信し、ログインページにリダイレクトさせる。

　ステップＳ３２において、外部機器５００は、機能ユニット２００から受信したＵＲＬに基づいて、ログインページへのアクセス要求を機能ユニット２００に送信する。このことに基づいて、機能ユニット２００は、アクセスされたログインページを外部機器５００に送信する。

　ステップＳ３４において、外部機器５００は、機能ユニット２００から受信したログインページをディスプレイ５２１（図６参照）に表示する。図９は、外部機器５００に表示される画面の一例を示す図である。図９には、外部機器５００に表示される画面の一例として、ログインページ７００が示されている。ログインページ７００は、ユーザＩＤやパスワードなどのアカウント情報の入力を受け付ける。ログインページ７００のログインボタンが押下された場合には、入力されたアカウント情報が機能ユニット２００に送信される。ログインページ７００のキャンセルボタンが押下された場合には、入力されたアカウント情報が破棄され、ログインページ７００が閉じられる。

　ステップＳ３６において、ログインページ７００のログインボタンが押下されたとする。これにより、外部機器５００は、ログインページ７００に入力されたアカウント情報を機能ユニット２００に送信する。

　ステップＳ５０において、機能ユニット２００は、外部機器５００からアカウント情報を受信したことに基づいて、揮発性メモリ２０６に格納されているセキュリティ情報３３０（図１参照）を参照して、当該アカウント情報の認証処理を実行する。外部機器５００に入力されたアカウント情報が、揮発性メモリ２０６に格納されているセキュリティ情報３３０に登録されている場合、機能ユニット２００は、外部機器５００による機能ユニット２００へのデータアクセスを許可する。

　図１０は、セキュリティ情報３３０に含まれる登録アカウント情報３３０Ａを示す図である。登録アカウント情報３３０Ａは、ユーザＩＤ別にパスワードなどを関連付けている。機能ユニット２００は、外部機器５００から受信した入力アカウント情報に含まれるユーザＩＤをキーとして、当該ユーザＩＤに対応するパスワードを登録アカウント情報３３０Ａから取得する。次に、機能ユニット２００は、登録アカウント情報３３０Ａから取得したパスワードと、外部機器５００から受信した入力アカウント情報に含まれるパスワードとを比較する。これらのパスワードが一致する場合、機能ユニット２００は、外部機器５００から受信した入力アカウント情報が登録アカウント情報３３０Ａに登録されていると判断する。

　ステップＳ５２において、機能ユニット２００は、ステップＳ３０でのデータアクセス要求に対する応答として、ポータルサイトのＨＴＭＬ（HyperText　Markup　Language）文書を外部機器５００に送信する。

　ステップＳ５４において、外部機器５００は、受信したＨＴＭＬ文書に基づいてポータルサイトを構成し、当該ポータルサイトをディスプレイ５２１（図６参照）に表示する。図９には、外部機器５００に表示されるポータルサイト７１０の例が示されている。

　ポータルサイト７１０には、機能ユニット２００にインストールされているアプリケーションへのリンクがハイパーリンクで示される。図９の例では、機能ユニット２００にインストールされているアプリケーション「Ａｐｐ１１」（図７参照）へのリンクがハイパーリンク７１０Ａとして示され、機能ユニット２００にインストールされているアプリケーション「Ａｐｐ１２」（図７参照）へのリンクがハイパーリンク７１０Ｂとして示されている。ユーザは、ハイパーリンク７１０Ａを選択するとアプリケーション「Ａｐｐ１１」の機能を利用することができ、ハイパーリンク７１０Ｂを選択するとアプリケーション「Ａｐｐ１２」の機能を利用することができる。

　＜Ｇ．第１変形例＞
　次に、図１１および図１２を参照して、上述の制御システム２の変形例について説明する。図１１は、第１変形例に従う制御システム２Ａの構成例を示す図である。

　上述の制御システム２においては、スレーブユニットとしての機能ユニット２００は、マスターユニットとしての機能ユニット３００から配布されたセキュリティ情報３３０を利用していた。これに対して、本変形例に従う制御システム２Ａにおいては、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を利用するだけでなく、機能ユニット２００に予め格納されているセキュリティ情報２３０も利用する。その他の点については上述の通りであるので、以下では、重複する説明については繰り返さない。

　図１１に示されるように、セキュリティ情報２３０は、機能ユニット２００の不揮発性メモリ２０８に予め格納されている。また、機能ユニット２００は、機能ユニット３００から配布されたセキュリティ情報３３０を揮発性メモリ２０６に格納する。その結果、機能ユニット２００は、セキュリティ情報２３０と、セキュリティ情報３３０とを有することになる。

　機能ユニット２００は、セキュリティ情報２３０とセキュリティ情報３３０とをマージする。図１２は、セキュリティ情報２３０およびセキュリティ情報３３０をマージする過程を示す図である。より詳細には、図１２には、セキュリティ情報２３０に含まれる登録アカウント情報２３０Ａと、セキュリティ情報３３０に含まれる登録アカウント情報３３０Ａと、登録アカウント情報２３０Ａ，３３０Ａのマージ結果２３３とが示されている。

　図１２に示されるように、セキュリティ情報２３０に含まれる情報と、セキュリティ情報３３０含まれる情報との間で、情報が競合する場合がある。ここでいう「競合」とは、ユーザＩＤのような一意の情報が重複していることを意味する。図１２の例では、登録アカウント情報２３０Ａに含まれるユーザＩＤ「user2」と、登録アカウント情報３３０Ａに含まれるユーザＩＤ「user2」とが競合している。

　機能ユニット２００は、セキュリティ情報２３０（第１セキュリティ情報）に含まれる情報と、セキュリティ情報３３０（第２セキュリティ情報）に含まれる情報との間で、情報が競合する場合には、予め定められたマージルールに従って、競合する情報の内のいずれの情報を優先するかを決定する。

　一例として、優先度が機能ユニットごとに予め設定されており、機能ユニット２００は、優先度の高いユニットから取得した情報を優先する。たとえば、マスターユニットとしての機能ユニット３００の優先度が、スレーブユニットとしての優先度よりも高いように、優先度が設定されているとする。この場合、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を、機能ユニット２００に格納されているセキュリティ情報２３０よりも優先する。その結果、ユーザＩＤ「user2」およびパスワード「pass2A」のアカウント情報が、ユーザＩＤ「user2」およびパスワード「pass2B」のアカウント情報よりも優先される。これにより、アカウント情報の競合が防がれる。

　＜Ｈ．第２変形例＞
　次に、図１３を参照して、上述の制御システム２の他の変形例について説明する。図１３は、第２変形例に従う制御システム２Ｂの構成例を示す図である。

　上述の制御システム２においては、マスターユニットがスレーブユニットにセキュリティ情報を配布していた。これに対して、本変形例に従う制御システム２Ｂにおいては、マスターユニットがスレーブユニットにセキュリティ情報を配布するだけでなく、スレーブユニットも他のユニットにセキュリティ情報を配布する。その他の点については上述の通りであるので、以下では、重複する説明については繰り返さない。

　図１３に示されるように、スレーブユニットである制御ユニット１００は、揮発性メモリ１０６と、不揮発性メモリ１０８とを有する。不揮発性メモリ１０８には、セキュリティ情報３３０が予め格納されている。

　スレーブユニットである機能ユニット２００は、揮発性メモリ２０６と、不揮発性メモリ２０８とを有する。揮発性メモリ２０６には、セキュリティ情報２３０が予め格納されている。

　マスターユニットである機能ユニット３００は、揮発性メモリ３０６と、不揮発性メモリ３０８とを有する。揮発性メモリ３０６には、セキュリティ情報３３０が予め格納されている。

　制御ユニット１００は、予め定められたタイミングにおいて、不揮発性メモリ１０８に格納されているセキュリティ情報１３０を、機能ユニット２００，３００のそれぞれに配布する。機能ユニット２００は、制御ユニット１００から受信したセキュリティ情報１３０を揮発性メモリ２０６に格納する。同様に、機能ユニット３００は、制御ユニット１００から受信したセキュリティ情報１３０を揮発性メモリ３０６に格納する。

　機能ユニット２００は、予め定められたタイミングにおいて、不揮発性メモリ２０８に格納されているセキュリティ情報２３０を、制御ユニット１００と機能ユニット３００とのそれぞれに配布する。制御ユニット１００は、機能ユニット２００から受信したセキュリティ情報２３０を揮発性メモリ１０６に格納する。同様に、機能ユニット３００は、機能ユニット２００から受信したセキュリティ情報２３０を揮発性メモリ３０６に格納する。

　機能ユニット３００は、予め定められたタイミングにおいて、不揮発性メモリ２０８に格納されているセキュリティ情報３３０を、制御ユニット１００と機能ユニット２００とのそれぞれに配布する。制御ユニット１００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ１０６に格納する。同様に、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ２０６に格納する。

　セキュリティ情報１３０，２３０，３３０が他のユニットに配布されるタイミングは、特に限定されない。ある局面において、セキュリティ情報１３０，２３０，３３０は、制御システム２Ｂの電源がオンされたタイミングに、各ユニットに配布される。他の局面において、セキュリティ情報１３０，２３０，３３０は、予め定められた周期ごとに各ユニットに配布される。さらに他の局面において、セキュリティ情報１３０，２３０，３３０は、ユーザ操作による取得指示や更新指示を受けたタイミングに、各ユニットに配布される。

　制御ユニット１００および機能ユニット２００，３００の各ユニットは、他のユニットからのセキュリティ情報の受信後において、予め定められたマージルールに従って、セキュリティ情報１３０，２３０，３３０をマージする。このとき、セキュリティ情報１３０，２３０，３３０の間で情報が競合する場合には、各ユニットは、上記「Ｇ．第１変形例」で説明した方法で、情報の競合を解消する。

　なお、図１３では、セキュリティ情報が他の全てのユニットに配布される例について説明を行ったが、セキュリティ情報は、必ずしも、他の全てのユニットに配布される必要はない。たとえば、セキュリティ情報の配布を許可するユニットと、セキュリティ情報の配布を禁止するユニットとが予め決められており、各ユニットは、セキュリティ情報の配布が許可されている他のユニットにのみセキュリティ情報を配布してもよい。

　＜Ｉ．第３変形例＞
　次に、図１４および図１５を参照して、上述の制御システム２の他の変形例について説明する。図１４は、第３変形例に従う制御システム２Ｃの構成例を示す図である。

　上述では、セキュリティ情報３３０がアカウント情報を含む例について説明した。これに対して、本変形例においては、セキュリティ情報３３０は、暗号化に用いる秘密鍵やデジタル証明書などの鍵情報３３０Ｂを含む。その他の点については上述の通りであるので、以下では、重複する説明については繰り返さない。

　図１４に示されるように、鍵情報３３０Ｂを含むセキュリティ情報３３０は、マスターユニットとしての機能ユニット３００の不揮発性メモリ３０８に格納されている。図１５は、セキュリティ情報３３０に含まれる鍵情報３３０Ｂを示す図である。鍵情報３３０Ｂは、デジタル証明書と秘密鍵とのセットを１つ以上含む。

　デジタル証明書は、暗号化に用いられる公開鍵を含む。デジタル証明書とは、当該公開鍵の所有者を証明するためのデータセットである。典型的には、デジタル証明書は、認証局（ＣＡ：Certificate　Authority）と呼ばれる認証機関によって予め発行されている。

　再び図１４を参照して、マスターユニットとしての機能ユニット３００は、予め定められたタイミングにおいて、スレーブユニットとしての制御ユニット１００と機能ユニット２００とに、鍵情報３３０Ｂを含むセキュリティ情報３３０を送信する。制御ユニット１００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ１０６に格納する。同様に、機能ユニット２００は、機能ユニット３００から受信したセキュリティ情報３３０を揮発性メモリ２０６に格納する。

　制御システム２Ｃを構成する各ユニットは、自身が保持する鍵情報３３０Ｂを用いて、外部機器５００とのセキュア通信を実現する。図１４には、機能ユニット２００が外部機器５００Ａとセキュア通信を行っている例と、機能ユニット３００が外部機器５００Ｂとセキュア通信を行っている例とが示されている。

　一例として、機能ユニット２００，３００は、ＳＳＬ（Secure　Sockets　Layer）通信により、外部機器５００Ａ，５００Ｂとのセキュア通信を実現する。

　より具体的には、スレーブユニットである機能ユニット２００は、外部機器５００Ａから、機能ユニット２００に格納されているデータについての取得要求を受信したことに基づいて、揮発性メモリ２０６に格納されているデジタル証明書Ｃ１を外部機器５００Ａに送信する。通常、デジタル証明書Ｃ１には、登録者のホスト名が含まれる。上述のように、デジタル証明書Ｃ１は、機能ユニット３００から配布されたものであるが、デジタル証明書Ｃ１の送信者が機能ユニット２００であるにも関わらず、デジタル証明書Ｃ１に規定されるホスト名が機能ユニット３００であると、外部機器５００Ａは、送信者を正しく認証することができない。そのため、デジタル証明書Ｃ１として、マルチドメイン証明書や、ワイルドカード証明書が利用される。マルチドメイン証明書は、１つのデジタル証明書Ｃ１で複数のドメインを認証することができる証明書である。ワイルドカード証明書は、コモンネームとして「＊．」を付けることで、「＊．」の同一階層に属する全てのサブドメインを認証することができる証明書である。

　外部機器５００Ａは、機能ユニット２００から受信したデジタル証明書Ｃ１を検証して、デジタル証明書Ｃ１の送信者が正当な送信者であるか否かを判断する。外部機器５００Ａは、デジタル証明書Ｃ１の送信者が正当な送信者であると判断した場合、共通鍵（図示しない）を生成する。その後、外部機器５００Ａは、デジタル証明書Ｃ１に含まれる公開鍵を用いて、生成した共通鍵を暗号化し、暗号化後の共通鍵を機能ユニット２００に送信する。

　機能ユニット２００は、暗号化された共通鍵を外部機器５００Ａから受信したことに基づいて、鍵情報３３０Ｂに含まれる秘密鍵Ｋ１を用いて、当該共通鍵を復号化する。以上の処理により、共通鍵が機能ユニット２００から外部機器５００Ａに安全に送られる。以降の通信では、機能ユニット２００および外部機器５００Ａは、共通鍵を用いてデータを暗号化した上で、互いにデータをやり取りする。

　同様に、機能ユニット３００は、不揮発性メモリ３０８に格納されている鍵情報３３０Ｂを用いて、外部機器５００ＢとＳＳＬ通信を行う。

　＜Ｊ．付記＞
　以上のように、本実施形態は以下のような開示を含む。

　［構成１］
　複数のユニットで構成される制御システム（２）であって、
　前記複数のユニットは、
　　バス（１０）に接続されるマスターユニット（３００）と、
　　前記バス（１０）に接続され、当該バス（１０）を介して前記マスターユニット（３００）と通信するスレーブユニット（２００）とを含み、
　前記マスターユニット（３００）は、秘匿対象の情報である第１セキュリティ情報（３３０）を格納するための不揮発性メモリ（３０８）を有し、
　前記スレーブユニット（２００）は、揮発性メモリ（２０６）を有し、
　前記スレーブユニット（２００）は、予め定められたタイミングにおいて、前記第１セキュリティ情報（３３０）を前記マスターユニット（３００）から受信し、当該第１セキュリティ情報（３３０）を前記揮発性メモリ（２０６）に格納する、制御システム。

　［構成２］
　前記予め定められたタイミングは、前記制御システム（２）の電源がオンされたタイミングを含む、構成１に記載の制御システム。

　［構成３］
　前記第１セキュリティ情報（３３０）は、ユーザのアカウント情報を含み、
　前記スレーブユニット（２００）は、
　　当該スレーブユニット（２００）と通信可能に構成される外部機器（５００）から当該スレーブユニット（２００）へのデータアクセス要求を受信したことに基づいて、アカウント情報の入力を前記外部機器（５００）に要求し、
　　前記外部機器（５００）に入力されたアカウント情報が、前記揮発性メモリ（２０６）に格納されている前記第１セキュリティ情報（３３０）に登録されている場合、前記外部機器（５００）による前記スレーブユニット（２００）へのデータアクセスを許可する、構成１または２に記載の制御システム。

　［構成４］
　前記第１セキュリティ情報（３３０）は、デジタル証明書を含み、
　前記スレーブユニット（２００）は、当該スレーブユニット（２００）と通信可能に構成される外部機器（５００）から、当該スレーブユニット（２００）に格納されているデータについての取得要求を受信したことに基づいて、前記揮発性メモリ（２０６）に格納されている前記デジタル証明書を前記外部機器（５００）に送信する、構成１～３のいずれか１項に記載の制御システム。

　［構成５］
　前記スレーブユニット（２００）は、さらに、秘匿対象の情報である第２セキュリティ情報（２３０）を格納するための不揮発性メモリ（３０８）を有し、
　前記スレーブユニット（２００）は、前記第１セキュリティ情報（３３０）に含まれる情報と、前記第２セキュリティ情報（２３０）に含まれる情報との間で、競合する情報が存在する場合には、予め定められたルールに従って、当該競合する情報の内のいずれの情報を優先するかを決定する、構成１～４のいずれか１項に記載の制御システム。

　［構成６］
　前記マスターユニット（３００）は、前記予め定められたタイミングにおいて、前記第２セキュリティ情報（２３０）を前記スレーブユニット（２００）から受信し、当該第２セキュリティ情報（２３０）を当該マスターユニット（３００）の前記揮発性メモリ（３０６）に格納する、構成５に記載の制御システム。

　［構成７］
　前記スレーブユニット（２００）は、駆動機器を制御するための制御ユニット（１００）を含む、構成１～６のいずれか１項に記載の制御システム。

　［構成８］
　複数のユニットで構成される制御システム（２）の制御方法であって、
　前記複数のユニットは、
　　バス（１０）に接続されるマスターユニット（３００）と、
　　前記バス（１０）に接続され、当該バス（１０）を介して前記マスターユニット（３００）と通信するスレーブユニット（２００）とを含み、
　前記制御方法は、
　　前記マスターユニット（３００）が、秘匿対象の情報である第１セキュリティ情報（３３０）を、当該マスターユニット（３００）の不揮発性メモリ（３０８）に格納するステップと、
　　前記スレーブユニット（２００）が、予め定められたタイミングにおいて、前記第１セキュリティ情報（３３０）を前記マスターユニット（３００）から受信するステップと、
　　前記スレーブユニット（２００）が、前記マスターユニット（３００）から受信した前記第１セキュリティ情報（３３０）を、当該スレーブユニット（２００）の揮発性メモリ（２０６）に格納するステップとを備える、制御方法。

　今回開示された実施の形態は全ての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味および範囲内での全ての変更が含まれることが意図される。

　１　情報処理システム、２，２Ａ，２Ｂ，２Ｃ　制御システム、１０，５２５　内部バス、１００　制御ユニット、１０２，２０２，３０２，５０２　プロセッサ、１０４，２０４，３０４　チップセット、１０６，２０６，３０６，５０４　揮発性メモリ、１０８，２０８，３０８，５１０　不揮発性メモリ、１１０，２１０　通信コントローラ、１１２　ＵＳＢコントローラ、１１４，２１４，３１４　メモリカードインターフェイス、１１５，２１５，３１５　メモリカード、１１６，１１８，１２０，２１６，２１８　ネットワークコントローラ、１２２，３２２　内部バスコントローラ、１２４，２２４，３２４　インジケータ、１３０，２３０，３３０　セキュリティ情報、２００，２００Ａ，２００Ｂ，３００，４００　機能ユニット、２１２，５１１　通信インターフェイス、２３０Ａ，３３０Ａ　登録アカウント情報、２３２　通信制御プログラム、２３３　マージ結果、３３０Ｂ　鍵情報、４５０　電源ユニット、５００，５００Ａ，５００Ｂ　外部機器、５１０Ａ　開発支援プログラム、５１４　インターフェイス、５１５　入力デバイス、５２０　表示インターフェイス、５２１　ディスプレイ、７００　ログインページ、７１０　ポータルサイト、７１０Ａ，７１０Ｂ　ハイパーリンク。

Claims

　複数のユニットで構成される制御システムであって、
　前記複数のユニットは、
　　バスに接続されるマスターユニットと、
　　前記バスに接続され、当該バスを介して前記マスターユニットと通信するスレーブユニットとを含み、
　前記マスターユニットは、秘匿対象の情報である第１セキュリティ情報を格納するための不揮発性メモリを有し、
　前記スレーブユニットは、揮発性メモリを有し、
　前記スレーブユニットは、予め定められたタイミングにおいて、前記第１セキュリティ情報を前記マスターユニットから受信し、当該第１セキュリティ情報を前記揮発性メモリに格納する、制御システム。
　前記予め定められたタイミングは、前記制御システムの電源がオンされたタイミングを含む、請求項１に記載の制御システム。
　前記第１セキュリティ情報は、ユーザのアカウント情報を含み、
　前記スレーブユニットは、
　　当該スレーブユニットと通信可能に構成される外部機器から当該スレーブユニットへのデータアクセス要求を受信したことに基づいて、アカウント情報の入力を前記外部機器に要求し、
　　前記外部機器に入力されたアカウント情報が、前記揮発性メモリに格納されている前記第１セキュリティ情報に登録されている場合、前記外部機器による前記スレーブユニットへのデータアクセスを許可する、請求項１または２に記載の制御システム。
　前記第１セキュリティ情報は、デジタル証明書を含み、
　前記スレーブユニットは、当該スレーブユニットと通信可能に構成される外部機器から、当該スレーブユニットに格納されているデータについての取得要求を受信したことに基づいて、前記揮発性メモリに格納されている前記デジタル証明書を前記外部機器に送信する、請求項１～３のいずれか１項に記載の制御システム。
　前記スレーブユニットは、さらに、秘匿対象の情報である第２セキュリティ情報を格納するための不揮発性メモリを有し、
　前記スレーブユニットは、前記第１セキュリティ情報に含まれる情報と、前記第２セキュリティ情報に含まれる情報との間で、競合する情報が存在する場合には、予め定められたルールに従って、当該競合する情報の内のいずれの情報を優先するかを決定する、請求項１～４のいずれか１項に記載の制御システム。
　前記マスターユニットは、前記予め定められたタイミングにおいて、前記第２セキュリティ情報を前記スレーブユニットから受信し、当該第２セキュリティ情報を当該マスターユニットの前記揮発性メモリに格納する、請求項５に記載の制御システム。
　前記スレーブユニットは、駆動機器を制御するための制御ユニットを含む、請求項１～６のいずれか１項に記載の制御システム。
　複数のユニットで構成される制御システムの制御方法であって、
　前記複数のユニットは、
　　バスに接続されるマスターユニットと、
　　前記バスに接続され、当該バスを介して前記マスターユニットと通信するスレーブユニットとを含み、
　前記制御方法は、
　　前記マスターユニットが、秘匿対象の情報である第１セキュリティ情報を、当該マスターユニットの不揮発性メモリに格納するステップと、
　　前記スレーブユニットが、予め定められたタイミングにおいて、前記第１セキュリティ情報を前記マスターユニットから受信するステップと、
　　前記スレーブユニットが、前記マスターユニットから受信した前記第１セキュリティ情報を、当該スレーブユニットの揮発性メモリに格納するステップとを備える、制御方法。