WO2021084567A1

WO2021084567A1 - 情報処理装置、表示方法、及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2021084567A1
Application number: PCT/JP2019/042097
Authority: WO
Inventors: 正文渡部
Original assignee: 日本電気株式会社
Priority date: 2019-10-28
Filing date: 2019-10-28
Publication date: 2021-05-06
Also published as: JP7287484B2; JPWO2021084567A1; US20240086523A1

Abstract

情報処理装置（１０）は、監視装置が検知した異常を受信する異常受信手段（１１）と、異常受信手段（１１）から異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定する照合手段（１２）と、特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する抽出手段（１３）と、を備えている。

Description

情報処理装置、表示方法、及び非一時的なコンピュータ可読媒体

　本発明は、制御システムの安全性を維持するための、情報処理装置及び表示方法に関し、更には、これらを実行するためのプログラムに関する。

　従来から、工場、発電所、変電所、水処理場等では、プラントを制御するための制御システムが必要となる。このような制御システムは、一般に、ＰＬＣ（Programmable Logic Controller）と、ＰＬＣを管理及び保守するエンジニアリングワークステーション（管理装置）と、オペレータにＨＭＩ（Human Machine Interface）を提供する端末装置等を備えている。

　このうち、ＰＬＣは、設備の各部に配置されたセンサからのセンサデータに基づいてアクチュエータ等を作動させる。ＰＬＣは、エンジニアリングワークステーションから与えられる制御プログラムに従って動作する。また、ＨＭＩには、センサデータの値、アクチュエータの作動状態等が表示されるので、オペレータは、ＨＭＩを通して、設備の稼働状況を監視することができる。

　特許文献１では、プロセス異常が発生した場合（特にプロセスデータの収集箇所から少し離れた箇所でトラブル原因が発生した場合）に、原因を見つけるのに時間がかかるという問題点を解決する技術が開示されている。本技術は、プロセスフロー画面上に、トレンド表示、警報履歴表示、操作・動作履歴表示、オペレータ日誌表示などの時系列画面を表示し、プレイバック機能によりそれらの全表示画面を再生時刻に連動させて表示させる。

　特許文献２では、操業異常時に、適切な解析データが漏れなく簡単に得られるデータ解析支援装置、データ解析支援方法、コンピュータプログラムおよび記録媒体を提供する技術が開示されている。本技術においては、操業異常に関連すると考えられる操業実績データを予め選択し、操業異常項目とこれに関連する一つまたは複数の関連データ項目（関連する操業実績データの項目の指定）をセットにして記録している。

　近年ではサイバー攻撃により制御システムを構成する機器に誤作動や機能不全が生じ、その結果、人命、設備等に損害が発生するリスクも問題となっている。そこで、セキュリティ確保のため、制御システムには様々な異常を監視する監視装置の導入が進められている。監視装置の例としては、センサやアクチュエータ等の機器に搭載されたソフトウェアの改ざんを監視する装置、ネットワークを流れるメッセージの異常を監視する装置、センサの読み取り状態やアクチュエータの作動状態に基づいてプロセスの異常を監視する装置などがある。

特許第５７９３３９５号公報特許第５３５３１８２号公報

　監視装置が異常を検知した場合、運用責任者に最初に与えられる情報は、この異常のみである。運用責任者は、この異常から、(A)異常発生に至った経緯と、(B)異常発生後に予想される経過を、運用責任者自身の知識や経験にもとづいて推定しなければならない。さらに、運用責任者は、前記(A)と(B)に基づいて、制御システムにおいて現実に生じようとしているリスクの程度を総合的に判断しなければならない。リスクが許容可能な程度を越えていると判断される場合、運用責任者は、直ちにリスク回避またはリスク軽減を目的とした対処を実施する必要がある。

　上記の判断作業には、運用責任者自身の知識や経験に依存する部分がある。このため、運用責任者が迅速にリスクの程度を判断できない、あるいは、運用責任者が誤った判断をしてしまう可能性があることが問題となっている。

　特許文献１～２に開示されている先行技術は、異常の監視対象としている制御システムから過去に取得したプロセスデータを効率的に運用責任者に提示するものであり、異常発生に至った経緯や、異常発生後に予想される経過は、運用責任者が自身の知識や経験にもとづいて推定しなければならない。

　本明細書に開示される実施形態の目的の一例は、上記問題を解消し、制御システムの安全性を維持するための、情報処理装置、表示方法、及びプログラムを提供することにある。

　上記目的を達成するため、第一の態様にかかる情報処理装置は、
　制御システムに設置された監視装置が検知した異常を受信する異常受信手段と、
　前記異常受信手段から異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定する照合手段と、
　特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する抽出手段と、
　を有する。

　また、上記目的を達成するため、第二の態様にかかる表示方法では、
（ａ）制御システムに設置された監視装置が検知した異常を受信し、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定し、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する。

　更に、上記目的を達成するため、第三の態様にかかる非一時的なコンピュータ可読媒体は、
コンピュータによって、
（ａ）制御システムに設置された監視装置が検知した異常を受信するステップと、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定するステップと、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出するステップと、
　を実行する命令を含む、プログラムが格納されている。

　上述の態様によれば、監視装置が検知した異常に対して、(A)異常発生に至った経緯、又は、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができる。

図１は、本発明の実施の形態における情報処理装置の概略構成を示すブロック図である。図２は、本発明の実施の形態において異常の監視およびリスク表示の対象となるプラントの構成の一例を示す構成図である。図３は、本発明の実施の形態における情報処理装置と図２に示したプラントの制御系との関係を示すブロック図である。図４は、本発明の実施の形態における情報処理装置の構成をより具体的に示すブロック図である。図５Ａは、本発明の実施の形態における異常受信手段が監視装置から受信する異常の一例を示す図である。図５Ｂは、本発明の実施の形態における異常受信手段が監視装置から受信する異常の一例を示す図である。図６Ａは、本発明の実施の形態におけるリスク記憶手段に格納されている攻撃パスの一例を示す図である。図６Ｂは、本発明の実施の形態におけるリスク記憶手段に格納されている攻撃パスの一例を示す図である。図６Ｃは、本発明の実施の形態におけるリスク記憶手段に格納されている攻撃パスの一例を示す図である。図６Ｄは、本発明の実施の形態におけるリスク記憶手段に格納されている攻撃パスの一例を示す図である。図７は、本発明の実施の形態における照合条件記憶手段に格納されている照合条件の一例を示す図である。図８は、本発明の実施の形態における抽出条件記憶手段に格納されている抽出条件の一例を示す図である。図９は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１０は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１１は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１２は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１３は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１４は、本発明の実施の形態における表示手段がユーザに提示する事象に関する情報の一例を示す図である。図１５は、本実施の形態における情報処理装置１０の動作を示すフロー図である。図１６は、本発明の実施の形態における情報処理装置１０を実現するコンピュータの一例を示すブロック図である。

（実施の形態）
　以下、本発明の実施の形態における、情報処理装置、表示方法、及びプログラムについて、図を参照しながら説明する。

［装置構成］
　最初に、図１を用いて、本実施の形態における情報処理装置の概略構成について説明する。図１は、本発明の実施の形態における情報処理装置の概略構成を示すブロック図である。

　図１に示す本実施の形態における情報処理装置１０は、制御システムに設置された監視装置が検知した異常に対して、(A)異常発生に至った経緯、又は、(B)異常発生後に予想される経過を自動的に抽出し、制御システムにおいて現実に生じようとしているリスクの程度の判断を支援するための装置である。図１に示すように、情報処理装置１０は、異常受信手段１１と、照合手段１２と、抽出手段１３とを備えている。

　異常受信手段１１は、監視装置が検知した異常を受信する。照合手段１２は、異常受信手段１１から異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行う。また、照合手段１２は、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行う。照合手段１２は、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定し、それを抽出手段１３に渡す。抽出手段１３は、照合手段１２から照合条件に合致した事象を含む特定された攻撃手順を受け取り、前記攻撃手順から所定の抽出条件に合致する事象を抽出する。

　以上のように、本実施の形態における情報処理装置１０は、監視装置が検知した異常に対して、(A)異常発生に至った経緯と、(B)異常発生後に予想される経過を自動的に抽出することができる。

　続いて、図２～図４を用いて、本実施の形態における情報処理装置の構成及び機能について具体的に説明する。図２は、本発明の実施の形態において異常の監視およびリスク表示の対象となるプラントの構成の一例を示す構成図である。図３は、本発明の実施の形態における情報処理装置と図２に示したプラントの制御系との関係を示すブロック図である。図４は、本発明の実施の形態における情報処理装置の構成をより具体的に示すブロック図である。

　図２に示すように、本実施の形態では、プラント２０は、貯水タンク２１と、水位センサ（ＬＩＴ１０１）２２と、供給ライン２３と、排水ライン２４と、ポンプ（ＰＭＰ１０１）２５と、バルブ（ＭＶ１０１）２６とを備えている。また、プラント２０は、制御装置として、制御プログラムを実行するＰＬＣ（ＰＬＣ１）３０を備えている。

　水位センサ２２は、貯水タンク２１に貯水されている水の水位を４段階（ＨＨ、Ｈ、Ｌ、ＬＬ）で計測し、計測した水位を示すセンサデータを出力する。供給ライン２３は、貯水タンク２１に水を供給するためのラインである。ポンプ２５は、供給ライン２３上に設けられている。排水ライン２４は、貯水タンク２１の水を排出するためのラインである。バルブ２６は、排水ライン２４上に設けられている。ＰＬＣ３０は、水位センサ２２から出力されてきたセンサデータに応じて、ポンプ２５を稼働させ、又はバルブ２６を開閉させて、水位を調整する。

　また、図３に示すように、プラント２０において、ＰＬＣ３０は、ネットワークスイッチ３２とコントロールネットワーク（ＮＷ＿ｃ１）とを介して、エンジニアリングワークステーション３３と、オペレータが使用する端末装置３１とに、データ通信可能に接続されている。更に、ＰＬＣ３０は、ネットワークスイッチ３２とコントロールネットワーク（ＮＷ＿ｃ１）とを介して、情報処理装置１０にも接続されている。

　また、水位センサ２２とポンプ２５とバルブ２６には、それぞれに搭載されたソフトウェアの改ざんを検知することが可能な監視装置４０が接続されている。ネットワークスイッチ３２には、ネットワークを流れるメッセージの異常を検知することが可能な監視装置４０が接続されている。

　端末装置３１は、オペレータにＨＭＩを提供する。オペレータは、端末装置３１のＨＭＩ上で操作を行っている。エンジニアリングワークステーション３３は、各ＰＬＣの動作状態を管理し、更に、その制御プログラムを保持している。また、エンジニアリングワークステーション３３は、オペレータ等の指示に応じて、制御プログラムを更新する。

　更に、図３に示すように、ＰＬＣ３０は、フィールドネットワーク（ＮＷ＿ｆ１）を介して、水位センサ２２と、ポンプ２５と、バルブ２６とに接続されている。このように、本実施の形態において異常の監視およびリスク表示の対象となるプラント２０は、制御プログラムを実行するＰＬＣ、ＰＬＣとその他の装置とを結ぶネットワーク、を備えている。

　なお、ＰＬＣ３０によってセンサ等から受信された製造プロセスの状態等を伝える信号は、このＰＬＣが備える記憶装置内の当該信号に対応する場所に書き込まれる。また、ＰＬＣによってアクチュエータ等に送信された、アクチュエータ等を作動又は停止等させる信号は、ＰＬＣが備える記憶装置内の当該信号と対応する場所から読み出される。また、記憶装置内の場所は、一般的に、変数、タグ、レジスタ等と呼ばれており、本実施の形態では、タグと呼ぶ。

　また、図４を用いて、本実施の形態における情報処理装置１０の構成をより具体的に説明する。図４に示すように、情報処理装置１０は、図１で示した、異常受信手段１１と、照合手段１２と、抽出手段１３と、に加えて、照合条件記憶手段１４と、リスク記憶手段１５と、抽出条件記憶手段１６と、表示手段１７と、を備えている。

　異常受信手段１１は、本実施の形態では、図３に示した監視装置４０から、これらの装置が検知した異常を受信する。図５Ａ及び図５Ｂは、本発明の実施の形態において、異常受信手段１１が監視装置４０から受信する異常の一例を示している。異常は、１つ以上の、キーと値との組で構成されている。

　図５Ａにおける異常（１）は、監視装置４０が、監視対象としているバルブ２６に搭載されたソフトウェアの改ざんを検知した際に送信される異常の一例である。キー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」は、異常の種別を示しており、その値「ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」は、監視対象機器に搭載されたソフトウェアの改ざんが検知されたことを示している。また、キー「Ｅｑｕｉｐｍｅｎｔ－Ｎａｍｅ」の値「ＭＶ１０１」は、バルブ（ＭＶ１０１）２６に搭載されたソフトウェアの改ざんが検知されたことを示している。

　図５Ｂにおける異常（２）は、監視装置４０が、監視対象としているコントロールネットワーク（ＮＷ＿ｃ１）を流れる不審なメッセージを検知した際に送信される異常の一例である。キー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」は、異常の種別を示しており、その値「ＵＮＵＳＵＡＬ＿ＭＥＳＳＡＧＥ」は、監視対象ネットワークにおいて不審なメッセージが検知されたことを示している。また、キー「Ｍｅｓｓａｇｅ－Ｃｌａｓｓ」の値「Ｗｒｉｔｅ－Ｔａｇ－Ｖａｌｕｅ」は、この不審なメッセージがタグの値の書き換えを要求するメッセージであることを示している。また、キー「Ｅｑｕｉｐｍｅｎｔ－Ｎａｍｅ」の値「ＬＩＴ１０１」と、キー「Ｖａｌｕｅ」の値「Ｌ」と、は、水位センサ（ＬＩＴ１０１）２２に関するタグの値を「Ｌ」に書き換えることを示している。

　リスク記憶手段１５は、プラント２０において生じ得るリスクが格納されている。本実施の形態におけるリスクは、攻撃パスとして記述されている。すなわち、本実施の形態において、攻撃手順は攻撃パスとして記述されている。攻撃パスは、プラント２０がサイバー攻撃を受けた際に発生し得る事象が時系列順に並べられた情報である。本実施の形態における攻撃パスは、セキュリティおよび制御システムの専門家が、プラント２０における各機器の脆弱性を調査し、前記脆弱性を悪用してプラント２０に損害を生じさせる、あらゆる可能性を検討することにより作成されたものである。

　図６Ａ乃至図６Ｄは、リスク記憶手段１５に格納されている攻撃パスの一例を示している。攻撃パスは、時系列順に並べられた事象を含んでいる。事象は、１つ以上の、キーと値との組で構成されている。キー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値は、攻撃パスにおいて何番目に発生する事象であるかを示す。キー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は、その事象の種別を示す。キー「Ｌａｂｅｌ」の値には、事象を説明する文章が格納されている。

　事象種別「ＣＯＭＰＲＯＭＩＳＥＤ」は、攻撃者が機器を自由に制御可能になった事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｔａｒｇｅｔ」の値は、攻撃者が自由に制御可能となった機器の識別名を含む。

　事象種別「ＰＡＳＳＷＯＲＤ＿ＳＴＯＬＥＮ」は、攻撃者が機器からパスワードなどのユーザ認証情報を窃取した事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｔａｒｇｅｔ」の値は、攻撃者がパスワードなどのユーザ認証情報を窃取した機器の識別名を含む。

　事象種別「ＬＯＧＩＮ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」は、攻撃者が機器にログインした事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｔａｒｇｅｔ」の値は、攻撃者がログインした機器の識別名を含む。

　事象種別「ＴＡＧ＿ＣＨＡＮＧＥＤ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」は、攻撃者がタグの値を変更した事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｔａｒｇｅｔ」の値は、攻撃者が値を変更したタグと対応している機器の識別名を含む。すなわち、キー「Ｔａｒｇｅｔ」の値は、攻撃者がどの機器についてタグの値を変更したかを意味する。またタグは、複数の値を持つ場合があり、キー「Ｒｅｐｏｒｔｉｎｇ－Ｓｔａｔｅ」の値は、攻撃者が書き込んだ、センサ読み取り報告値を含む。

　事象種別「ＳＥＮＤ＿ＣＯＭＭＡＮＤ」は、ある機器が別の機器に命令を送信した事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｓｕｂｊｅｃｔ」の値は、命令を送信した機器の識別名を含む。キー「Ｔａｒｇｅｔ」の値は、前記命令を受信した機器の識別名を含む。キー「Ｃｏｍｍａｎｄ」の値は、送信された命令の識別名を含む。

　事象種別「ＦＵＮＣＴＩＯＮＥＤ」は、ある機器が命令により正常に機能した事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｓｕｂｊｅｃｔ」の値は、命令により正常に機能した機器の識別名を含む。キー「Ｃｏｍｍａｎｄ」の値は、命令の識別名を含む。キー「Ｐｈｙｓｉｃａｌ－Ｓｔａｔｅ」の値は、命令により正常に機能した機器の物理的状態の識別名を含む。キー「Ｒｅｐｏｒｔｉｎｇ－Ｓｔａｔｅ」の値は、命令により正常に機能した機器のセンサ読み取り報告値を含む。

　事象種別「ＰＨＹＳＩＣＡＬＬＹ＿ＣＨＡＮＧＥＤ」は、設備の物理的状態が変化した事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｓｕｂｊｅｃｔ」の値は、物理的状態が変化した設備の識別名を含む。キー「Ｐｈｙｓｉｃａｌ－Ｓｔａｔｅ」の値は、設備の物理的状態値を含む。

　事象種別「ＰＨＹＳＩＣＡＬＬＹ＿ＡＣＣＥＳＳＥＤ」は、攻撃者が機器に物理的にアクセスできるようになった事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｔａｒｇｅｔ」の値は、攻撃者が物理的にアクセスできるようになった機器の識別名を含む。

　事象種別「ＭＡＬＦＵＮＣＴＩＯＮＥＤ」は、機器が正常に機能しない事象を示し、さらに次のキーにより、その事象の詳細を記述できる。キー「Ｓｕｂｊｅｃｔ」の値は、正常に機能しない機器の識別名を含む。キー「Ｐｙｓｉｃａｌ－Ｓｔａｔｅ」の値は、正常に動作しない機器の物理的状態値を含む。キー「Ｒｅｐｏｒｔｉｎｇ－Ｓｔａｔｅ」の値は、正常に動作しない機器のセンサ読み取り報告値を含む。

　事象種別「ＭＡＬＩＣＩＯＵＳ＿ＨＯＳＴ＿ＪＯＩＮＥＤ」は、悪意のある機器がネットワークに接続された事象を示す。

　以上によると、図６Ａに示す攻撃パス「ＡＰ１」は、プラント２０において、次の事象が発生し得ることを示す情報である。まず、攻撃者がエンジニアリングワークステーション（ＥＷＳ）３３を自由に制御可能になる第１の事象が発生する。次に、攻撃者がエンジニアリングワークステーション（ＥＷＳ）３３からユーザ認証情報を窃取する第２の事象が発生する。次に、攻撃者が端末装置（ＨＭＩ）３１にログインする第３の事象が発生する。次に、攻撃者が水位センサ（ＬＩＴ１０１）２２のセンサ読み取り報告値を「Ｌ」に変更する第４の事象が発生する。次に、ＰＬＣ３０がポンプ（ＰＭＰ１０１）２５に命令「ＳＴＡＲＴ」を送信する第５の事象が発生する。次に、命令「ＳＴＡＲＴ」により、ポンプ（ＰＭＰ１０１）２５の物理的状態が「ＲＵＮＮＩＮＧ」、また、センサ読み取り報告値も「ＲＵＮＮＩＮＧ」になる第６の事象が発生する。次に、貯水タンク２１の物理的状態が「ＨＨ」に変化する第７の事象が発生する。最後に、貯水タンク２１の物理的状態が「ＯＶＥＲＦＬＯＷ」に変化する第８の事象が発生する。

　また、図６Ｂに示す攻撃パス「ＡＰ２」は、プラント２０において、次の事象が発生し得ることを示す情報である。まず、攻撃者がバルブ（ＭＶ１０１）２６に物理的にアクセスできるようになる第１の事象が発生する。次に、攻撃者がバルブ（ＭＶ１０１）２６を自由に制御可能になる第２の事象が発生する。次に、バルブ（ＭＶ１０１）２６が正常に機能せず、前記バルブの物理的状態は「ＯＰＥＮ」となり、他方、前記バルブのセンサ読み取り報告値は「ＣＬＯＳＥＤ」となる第３の事象が発生する。次に、貯水タンク２１の物理的状態が「ＬＬ」に変化する第４の事象が発生する。最後に、貯水タンク２１の物理的状態が「ＥＭＰＴＹ」に変化する第５の事象が発生する。

　また、図６Ｃに示す攻撃パス「ＡＰ３」は、プラント２０において、次の事象が発生し得ることを示す情報である。まず、悪意のある機器がコントロールネットワーク（ＮＷ＿ｃ１）に接続される第１の事象が発生する。次に、攻撃者が水位センサ（ＬＩＴ１０１）２２のセンサ読み取り報告値を「Ｈ」に変更する第２の事象が発生する。次に、ＰＬＣ３０がバルブ（ＭＶ１０１）２６に命令「ＯＰＥＮ」を送信する第３の事象が発生する。次に、命令「ＯＰＥＮ」により、バルブ（ＭＶ１０１）２６の物理的状態が「ＯＰＥＮ」、また、センサ読み取り報告値も「ＯＰＥＮ」になる第４の事象が発生する。次に、貯水タンク２１の物理的状態が「ＬＬ」に変化する第５の事象が発生する。最後に、貯水タンク２１の物理的状態が「ＥＭＰＴＹ」に変化する第６の事象が発生する。

　また、図６Ｄに示す攻撃パス「ＡＰ４」は、プラント２０において、次の事象が発生し得ることを示す情報である。まず、攻撃者がエンジニアリングワークステーション（ＥＷＳ）３３を自由に制御可能になる第１の事象が発生する。次に、攻撃者がエンジニアリングワークステーション（ＥＷＳ）３３からユーザ認証情報を窃取する第２の事象が発生する。次に、攻撃者が端末装置（ＨＭＩ）３１にログインする第３の事象が発生する。次に、攻撃者が水位センサ（ＬＩＴ１０１）２２のセンサ読み取り報告値を「Ｈ」に変更する第４の事象が発生する。次に、ＰＬＣ３０がバルブ（ＭＶ１０１）２６に命令「ＯＰＥＮ」を送信する第５の事象が発生する。次に、命令「ＯＰＥＮ」により、バルブ（ＭＶ１０１）２６の物理的状態が「ＯＰＥＮ」、また、センサ読み取り報告値も「ＯＰＥＮ」になる第６の事象が発生する。次に、貯水タンク２１の物理的状態が「ＬＬ」に変化する第７の事象が発生する。最後に、貯水タンク２１の物理的状態が「ＥＭＰＴＹ」に変化する第８の事象が発生する。

　照合条件記憶手段１４には、異常受信手段１１が受信した異常と、リスク記憶手段１５に格納されている各攻撃パスが含んでいる事象と、の関係が定義された、照合条件が格納されている。すなわち、照合条件は、攻撃手順に含まれる事象と異常とを照合するための条件である。

　図７に、照合条件記憶手段１４に格納されている照合条件の一例を示す。本実施の形態における照合条件は、照合条件ＩＤと、異常照合条件式と、事象照合条件式と、を含む。照合条件ＩＤは照合条件を識別するための識別子である。異常照合条件式には、異常受信手段１１が受信した異常に関する条件式が含まれる。事象照合条件式には、リスク記憶手段１５に格納されているリスクに関する条件式が含まれる。

　照合条件「ＣＣ１」は、キー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値が「ＵＮＵＳＵＡＬ＿ＭＥＳＳＡＧＥ」であり、かつ、キー「Ｔａｒｇｅｔ」の値が「＄Ｘ」である異常と合致する異常照合条件式を含む。さらに、照合条件「ＣＣ１」は、キー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値が「ＴＡＧ＿ＣＨＡＮＧＥＤ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」であり、かつ、キー「Ｔａｒｇｅｔ」の値が「＄Ｘ」である事象と合致する事象照合条件式を含む。前記「＄Ｘ」は、任意の値を示しているが、この値は、異常と事象とにおいて同一でなければならない。

　照合条件「ＣＣ２」は、キー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値が「ＵＮＵＳＵＡＬ＿ＬＯＧＩＮ」であり、かつ、キー「Ｔａｒｇｅｔ」の値が「＄Ｘ」である異常と合致する異常照合条件式を含む。さらに、照合条件「ＣＣ２」は、キー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値が「ＬＯＧＩＮ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」であり、かつ、キー「Ｔａｒｇｅｔ」の値が「＄Ｘ」である事象と合致する事象照合条件式を含む。

　照合条件「ＣＣ３」は、キー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値が「ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」であり、かつ、キー「Ｅｑｕｐｍｅｎｔ－Ｎａｍｅ」の値が「＄Ｘ」である異常と合致する異常照合条件式を含む。さらに、照合条件「ＣＣ３」は、キー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値が「ＣＯＭＰＲＯＭＩＳＥＤ」であり、かつ、キー「Ｔａｒｇｅｔ」の値が「＄Ｘ」である事象と合致する事象照合条件式を含む。

　照合手段１２は、本実施の形態では、異常受信手段１１から異常を受け取る。照合手段１２は、照合条件記憶手段１４に格納されている各照合条件に含まれる異常照合条件式が異常と合致するかどうかを判定する。合致する場合は、さらに、リスク記憶手段１５に格納されている各攻撃パスが含んでいる事象が照合条件に含まれる事象照合条件式と合致するかどうかを判定する。合致する場合は、合致した事象を含む攻撃パスを抽出手段１３に渡す。

　ここで、照合手段１２における動作の詳細について、具体例を用いて説明する。例えば、異常受信手段１１から、図５Ａに示した異常（１）が受け渡された場合、照合手段１２は、まず、照合条件記憶手段１４に格納されている照合条件「ＣＣ１」に含まれる異常照合条件式「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＵＮＵＳＵＡＬ＿ＭＥＳＳＡＧＥ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」が前記異常（１）と合致するかどうかを判定する。前記異常照合条件式における第１項は「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＵＮＵＳＵＡＬ＿ＭＥＳＳＡＧＥ」であるが、前記異常（１）に含まれるキー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値は「ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」であるため、前記異常照合条件式は、前記異常（１）と合致しないと判定される。

　次に、照合条件記憶手段１４に格納されている照合条件「ＣＣ２」に含まれる異常照合条件式「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＵＮＵＳＵＡＬ＿ＬＯＧＩＮ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」が前記異常（１）と合致するかどうかを判定する。前記異常照合条件式における第１項は「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＵＮＵＳＵＡＬ＿ＬＯＧＩＮ」であるが、前記異常（１）に含まれるキー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値は「ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」であるため、前記異常照合条件式は、前記異常（１）と合致しないと判定される。

　次に、照合条件記憶手段１４に格納されている照合条件「ＣＣ３」に含まれる異常照合条件式「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ　ａｎｄ　Ｅｑｕｉｐｍｅｎｔ－Ｎａｍｅ　＝　＄Ｘ」が前記異常（１）と合致するかどうかを判定する。前記異常照合条件式における第１項は「Ａｎｏｍａｌｙ－Ｔｙｐｅ　＝　ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」であり、前記異常（１）に含まれるキー「Ａｎｏｍａｌｙ－Ｔｙｐｅ」の値は「ＴＡＭＰＥＲ＿ＤＥＴＥＣＴＥＤ」であるため、異常照合条件式における第１項は前記異常（１）に合致する。また、異常照合条件式における第２項は「Ｅｑｕｉｐｍｅｎｔ－Ｎａｍｅ　＝　＄Ｘ」であり、前記異常（１）に含まれるキー「Ｅｑｕｉｐｍｅｎｔ－Ｎａｍｅ」の値は「ＭＶ１０１」である。前記「＄Ｘ」は、その値が未定のためどのような値にも合致する。このため、異常照合条件式における第２項も前記異常（１）に合致する。また、この時、前記「＄Ｘ」の値は「ＭＶ１０１」に確定する。異常照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、どちらも前記異常（１）と合致しているため、前記異常照合条件式は、前記異常（１）と合致すると判定される。

　上記で合致する場合、照合手段１２は、さらに、リスク記憶手段１５に格納されている各攻撃パスが含んでいる事象と、前記合致すると判定された照合条件に含まれる事象照合条件式と、が合致するかどうかを判定する。例えば、リスク記憶手段１５には、図６Ａから図６Ｄに示す４つの攻撃パスが格納されているとする。

　まず、照合手段１２は、照合条件「ＣＣ３」に含まれる事象照合条件式「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」と、攻撃パス「ＡＰ１」における各事象と、が合致するかどうかを判定する。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第１の事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＣＯＭＰＲＯＭＩＳＥＤ」であるため、前記事象照合条件式における第１項は、前記事象と合致する。前記事象照合条件式における第２項は「Ｔａｒｇｅｔ　＝　＄Ｘ」であり、前記攻撃パスにおける第１の事象に含まれるキー「Ｔａｒｇｅｔ」の値は「ＥＷＳ」である。前記「＄Ｘ」の値は、上記において「ＭＶ１０１」に確定されている。このため、異常照合条件式における第２項は、前記事象と合致しない。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、第２項が前記事象と合致しないため、前記事象照合条件式は、前記事象と合致しないと判定される。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第２から第８までの事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＰＡＳＳＷＯＲＤ＿ＳＴＯＬＥＮ」、「ＬＯＧＩＮ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」、「ＴＡＧ＿ＣＨＡＮＧＥＤ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」、「ＳＥＮＤ＿ＣＯＭＭＡＮＤ」、「ＦＵＮＣＴＩＯＮＥＤ」、「ＰＨＹＳＩＣＡＬＬＹ＿ＣＨＡＮＧＥＤ」のいずれかであるため、前記事象照合条件式における第１項は、前記事象と合致しない。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、第１項が前記事象と合致しないため、前記事象照合条件式は、前記事象と合致しないと判定される。

　次に、照合手段１２は、照合条件「ＣＣ３」に含まれる事象照合条件式「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」と、攻撃パス「ＡＰ２」における各事象と、が合致するかどうかを判定する。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第１の事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＰＨＹＳＩＣＡＬＬＹ＿ＡＣＣＥＳＳＥＤ」であるため、前記事象照合条件式における第１項は、前記事象と合致しない。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、第１項が前記事象と合致しないため、前記事象照合条件式は、前記事象と合致しないと判定される。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第２の事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＣＯＭＰＲＯＭＩＳＥＤ」であるため、前記事象照合条件式における第１項は、前記事象と合致する。前記事象照合条件式における第２項は「Ｔａｒｇｅｔ　＝　＄Ｘ」であり、前記攻撃パスにおける第１の事象に含まれるキー「Ｔａｒｇｅｔ」の値は「ＭＶ１０１」である。前記「＄Ｘ」の値は、上記において「ＭＶ１０１」に確定されている。このため、異常照合条件式における第２項は、前記事象と合致する。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、どちらも前記事象と合致するため、前記事象照合条件式は、前記事象と合致すると判定される。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第３から第５までの事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＭＡＬＦＵＮＣＴＩＯＮＥＤ」、「ＰＨＹＳＩＣＡＬＬＹ＿ＣＨＡＮＧＥＤ」のいずれかであるため、前記事象照合条件式における第１項は、前記事象と合致しない。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、第１項が前記事象と合致しないため、前記事象照合条件式は、前記事象と合致しないと判定される。

　次に、照合手段１２は、照合条件「ＣＣ３」に含まれる事象照合条件式「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」と、攻撃パス「ＡＰ３」における各事象と、が合致するかどうかを判定する。

　前記事象照合条件式における第１項は「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ」であり、前記攻撃パスにおける第１から第６までの事象に含まれるキー「Ｅｖｅｎｔ－Ｔｙｐｅ」の値は「ＭＡＬＩＣＩＯＵＳ＿ＨＯＳＴ＿ＪＯＩＮＥＤ」、「ＴＡＧ＿ＣＨＡＮＧＥＤ＿ＢＹ＿ＡＴＴＡＣＫＥＲ」、「ＳＥＮＤ＿ＣＯＭＭＡＮＤ」、「ＦＵＮＣＴＩＯＮＥＤ」、「ＰＨＹＳＩＣＡＬＬＹ＿ＣＨＡＮＧＥＤ」のいずれかであるため、前記事象照合条件式における第１項は、前記事象と合致しない。前記事象照合条件式における第１項と第２項は「ａｎｄ」で結合されているが、第１項が前記事象と合致しないため、前記事象照合条件式は、前記事象と合致しないと判定される。

　次に、照合手段１２は、照合条件「ＣＣ３」に含まれる事象照合条件式「Ｅｖｅｎｔ－Ｔｙｐｅ　＝　ＣＯＭＰＲＯＭＩＳＥＤ　ａｎｄ　Ｔａｒｇｅｔ　＝　＄Ｘ」と、攻撃パス「ＡＰ４」における各事象と、が合致するかどうかを判定する。

　以上により、異常受信手段１１から受け渡された異常（１）と、照合条件「ＣＣ３」に含まれる異常照合条件式と、が合致すると判定され、さらに、前記照合条件「ＣＣ３」に含まれる事象照合条件式と、攻撃パス「ＡＰ２」における第２の事象と、が合致すると判定された。最後に、照合手段１２は、前記合致した事象を含む攻撃パス「ＡＰ２」を抽出手段１３に渡す。

　抽出条件記憶手段１６には、抽出条件が格納されている。図８に、抽出条件記憶手段１６に格納されている抽出条件の一例を示す。本実施の形態における抽出条件は、抽出条件ＩＤと、事象抽出条件式と、ラベルと、を含む。抽出条件ＩＤは抽出条件を識別するための識別子である。事象抽出条件式には、攻撃パスから抽出する事象に関する条件式が含まれる。ラベルには、この抽出条件によってどのような事象が抽出されるかを説明する文章が含まれる。

　抽出条件「ＥＣ１」は、事象におけるキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値が「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」未満である事象を抽出する事象抽出条件式を含む。前記「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」は、照合条件が合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値である。すなわち、前記事象抽出条件式は、攻撃パスにおいて、照合条件が合致した事象よりも前に発生するすべての事象に合致する。

　抽出条件「ＥＣ２」は、事象におけるキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値が「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」を越える事象を抽出する事象抽出条件式を含む。すなわち、前記事象抽出条件式は、攻撃パスにおいて、照合条件が合致した事象よりも後に発生するすべての事象に合致する。

　抽出手段１３は、本実施の形態では、照合手段１２から照合条件に合致した事象を含む攻撃パスを受け取る。また、抽出手段１３は、ユーザによって指定された抽出条件ＩＤをマウスやキーボードなどの入力手段（図示しない）から受け取る。また、抽出手段１３は、抽出条件記憶手段１６から前記抽出条件ＩＤで識別される抽出条件を取得する。さらに、抽出手段１３は、前記受け取った攻撃パスから、前記取得した抽出条件に合致する事象を抽出し、前記抽出した事象を表示手段１７に渡す。

　ここで、抽出手段１３で事象が抽出される動作について、具体例を用いて詳細に説明する。例えば、抽出手段１３が、照合手段１２から、照合条件に合致した事象を含む攻撃パスとして、図６Ｂに示す、攻撃パス「ＡＰ２」と、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」と、を受け取ったとする。また、入力手段（図示しない）から、抽出条件ＩＤ「ＥＣ１」を受け取ったとする。この場合、抽出手段１３は、まず、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」を、図示しない内部記憶領域に格納する。次に、抽出条件記憶手段１６から、抽出条件ＩＤ「ＥＣ１」で識別される、図８に示す、抽出条件「ＥＣ１」を取得する。次に、前記受け取った攻撃パスに含まれる各事象が、前記取得した抽出条件に含まれる事象抽出条件式「Ｅｖｅｎｔ＿Ｎｕｍｂｅｒ　＜　＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」を満たすかどうかを判定する。ここで、＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲは、前記図示しない内部記憶領域に格納した、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」である。その結果、前記攻撃パスにおける、キー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値として「１」を持つ事象が前記事象抽出条件式を満たすと判定される。最後に、抽出手段１３は、前記事象抽出条件式を満たすと判定された事象を表示手段１７に渡す。

　また、例えば、抽出手段１３が、照合手段１２から、照合条件に合致した事象を含む攻撃パスとして、図６Ｂに示す、攻撃パス「ＡＰ２」と、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」と、を受け取ったとする。また、入力手段（図示しない）から、抽出条件ＩＤ「ＥＣ２」を受け取ったとする。この場合、抽出手段１３は、まず、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」を、図示しない内部記憶領域に格納する。次に、抽出条件記憶手段１６から、抽出条件ＩＤ「ＥＣ２」で識別される、図８に示す、抽出条件「ＥＣ２」を取得する。次に、前記受け取った攻撃パスに含まれる各事象が、前記取得した抽出条件に含まれる事象抽出条件式「Ｅｖｅｎｔ＿Ｎｕｍｂｅｒ　＞　＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」を満たすかどうかを判定する。ここで、＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲは、前記図示しない内部記憶領域に格納した、前記攻撃パスにおける、前記照合条件と合致した事象のキー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値「２」である。その結果、前記攻撃パスにおける、キー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値として「３」と、「４」と、「５」と、を持つ事象が前記事象抽出条件式を満たすと判定される。最後に、抽出手段１３は、前記事象抽出条件式を満たすと判定された事象を表示手段１７に渡す。

　表示手段１７は、抽出手段１３から、照合条件に合致した事象と抽出条件に合致した事象とを受け取り、前記受け取った事象を有機ＥＬディスプレイや液晶ディスプレイなどの表示装置を介してユーザに提示する。

　例えば、異常受信手段１１において異常（１）が受信され、照合手段１２において、照合条件「ＣＣ３」によって、前記異常と、攻撃パス「ＡＰ２」における第２の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ１」によって、前記攻撃パスの第１の事象が抽出されたとする。この場合、表示手段１７は、一例として、図９に示す画面をユーザに提示ことができる。異常５０は、表示手段１７が異常受信手段１１から取得した異常の情報にもとづいて表示することができる。照合条件にもとづいて異常と合致した事象５１と、抽出条件にもとづいて抽出された事象５２と、は、各事象に含まれるキー「Ｌａｂｅｌ」の値として格納されている文字列を表示することができる。また、説明ラベル５３は、抽出条件に含まれる説明ラベルを用いて表示することができる。これにより、監視装置が検知した異常に対して、(A)異常発生に至った経緯を自動的に運用責任者に提示することができる。

　例えば、異常受信手段１１において異常（１）が受信され、照合手段１２において、照合条件「ＣＣ３」によって、前記異常と、攻撃パス「ＡＰ２」における第２の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ２」によって、前記攻撃パスの第３から第５までの事象が抽出されたとする。この場合、表示手段１７は、一例として、図１０に示す画面をユーザに提示ことができる。これにより、監視装置が検知した異常に対して、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができる。

　例えば、異常受信手段１１において異常（２）が受信され、照合手段１２において、照合条件「ＣＣ１」によって、前記異常と、攻撃パス「ＡＰ１」における第４の事象と、攻撃パス「ＡＰ３」における第２の事象と、攻撃パス「ＡＰ４」における第４の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ１」によって、前記攻撃パス「ＡＰ１」の第１から第３までの事象と、前記攻撃パス「ＡＰ３」の第１の事象と、前記攻撃パス「ＡＰ４」の第１から第３までの事象と、が抽出されたとする。この場合、表示手段１７は、一例として、図１１に示す画面をユーザに提示ことができる。これにより、監視装置が検知した異常に対して、(A)異常発生に至った経緯を自動的に運用責任者に提示することができる。

　例えば、異常受信手段１１において異常（２）が受信され、照合手段１２において、照合条件「ＣＣ１」によって、前記異常と、攻撃パス「ＡＰ１」における第４の事象と、攻撃パス「ＡＰ３」における第２の事象と、攻撃パス「ＡＰ４」における第４の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ２」によって、前記攻撃パス「ＡＰ１」の第５から第８までの事象と、前記攻撃パス「ＡＰ３」の第３から第６までの事象と、前記攻撃パス「ＡＰ４」の第５から第８までの事象と、が抽出されたとする。この場合、表示手段１７は、一例として、図１２に示す画面をユーザに提示ことができる。これにより、監視装置が検知した異常に対して、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができる。

　例えば、異常受信手段１１において異常（２）が受信され、照合手段１２において、照合条件「ＣＣ１」によって、前記異常と、攻撃パス「ＡＰ１」における第４の事象と、攻撃パス「ＡＰ３」における第２の事象と、攻撃パス「ＡＰ４」における第４の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ１」によって、前記攻撃パス「ＡＰ１」の第１から第３までの事象と、前記攻撃パス「ＡＰ３」の第１の事象と、前記攻撃パス「ＡＰ４」の第１から第３までの事象と、が抽出されたとする。この場合、表示手段１７は、一例として、図１３に示す画面をユーザに提示ことができる。前記画面には、表示手段１７により、プラント２０における各機器及びネットワークの構成図が表示されている。表示手段１７が抽出手段１３から受け取った各事象には、キー「Ｗｈｅｒｅ」の値として、プラント２０における前記事象が発生した機器の識別名が示されている。表示手段１７は、前記構成図における、第ｎ（ｎは正整数）の事象が発生する機器から、第ｎ＋１の事象が発生する機器に、順序を表すシンボル（例えば矢印等のシンボル）を描画する。これにより、監視装置が検知した異常に対して、(A)異常発生に至った経緯を自動的に運用責任者に提示することができることに加えて、攻撃者による攻撃の影響が機器から機器へと伝搬していく様子を、視覚的に運用責任者に提示することができる。

　例えば、異常受信手段１１において異常（２）が受信され、照合手段１２において、照合条件「ＣＣ１」によって、前記異常と、攻撃パス「ＡＰ１」における第４の事象と、攻撃パス「ＡＰ３」における第２の事象と、攻撃パス「ＡＰ４」における第４の事象と、が合致すると判定されたとする。また、抽出手段１３において、ユーザが指定した抽出条件「ＥＣ２」によって、前記攻撃パス「ＡＰ１」の第５から第８までの事象と、前記攻撃パス「ＡＰ３」の第３から第６までの事象と、前記攻撃パス「ＡＰ４」の第５から第８までの事象と、が抽出されたとする。この場合、表示手段１７は、一例として、図１４に示す画面をユーザに提示ことができる。前記画面には、表示手段１７により、プラント２０における各機器及びネットワークの構成図が表示されている。表示手段１７が抽出手段１３から受け取った各事象には、キー「Ｗｈｅｒｅ」の値として、プラント２０における前記事象が発生した機器の識別名が示されている。表示手段１７は、前記構成図における、第ｎの事象が発生する機器から、第ｎ＋１の事象が発生する機器に、順序を表すシンボル（例えば矢印）を描画する。これにより、監視装置が検知した異常に対して、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができることに加えて、攻撃者による攻撃の影響が機器から機器へと伝搬していく様子を、視覚的に運用責任者に提示することができる。

　また、画面に描画される矢印等が重なることも考えられるため、表示手段１７は、図１３と１４の上部に示したように、異常受信手段が受信した異常の数と、抽出手段１３から渡された事象が属する攻撃パスの数（前記抽出条件ＥＣ１については「異常」の左側、抽出条件ＥＣ２については「異常」の右側）と、前記攻撃パスにおける最初の事象の数（侵入口）と、前記攻撃パスにおける最後の事象の数（損害）と、を表示することもできる。

［装置動作］
　次に、本実施の形態における情報処理装置１０の動作について図１５を用いて説明する。図１５は、本発明の実施の形態における情報処理装置の動作を示すフローチャートである。以下の説明においては、適宜図１～図１４を参照する。また、本実施の形態では、情報処理装置１０を動作させることによって、表示方法が実施される。よって、本実施の形態における表示方法の説明は、以下の情報処理装置１０の動作説明に代える。

　まず、異常受信手段１１は、監視装置４０が検知した異常を受信し、前記受信した異常を照合手段に渡す。（ステップＡ１）

　次に、照合手段１２は、前記渡された異常と、照合条件記憶手段１４から取得した各照合条件と、が、合致するかどうかを判定する。（ステップＡ２）

　次に、照合手段１２は、前の、ステップＡ２において、異常と合致すると判定された照合条件があるか否かを判定する。前記判定の結果、異常と合致すると判定された照合条件がある場合は、次の、ステップＡ４を実行する。異常と合致すると判定された照合条件がない場合は、ステップＡ１を実行する。（ステップＡ３）

　次に、照合手段１２は、前記異常と合致すると判定された前記照合条件と、リスク記憶手段１５から取得した各攻撃パスにおける各事象と、が、合致するかどうかを判定する。（ステップＡ４）

　次に、照合手段１２は、前の、ステップＡ４において、前記照合条件と合致すると判定された事象を含む攻撃パスがあるか否かを判定する。前記判定の結果、照合条件と合致すると判定された事象を含む攻撃パスがある場合は、前記合致した事象を含む攻撃パスを抽出手段１３に渡し、次の、ステップＡ６を実行する。照合条件と合致すると判定された事象を含む攻撃パスがない場合は、ステップＡ１を実行する。（ステップＡ５）

　次に、抽出手段１３は、照合条件に合致した事象を含む攻撃パスを受け取る。また、ユーザによって指定された抽出条件ＩＤをマウスやキーボードなどの入力手段（図示しない）から受け取る。また、抽出条件記憶手段１６から前記抽出条件ＩＤで識別される抽出条件を取得する。そして、前記受け取った攻撃パスから、前記取得した抽出条件に合致する事象を抽出し、前記抽出した事象を表示手段１７に渡す。（ステップＡ６）

　次に、表示手段１７は、抽出手段１３から、照合条件に合致した事象と抽出条件に合致した事象とを受け取り、前記受け取った事象を有機ＥＬディスプレイや液晶ディスプレイなどの表示装置を介してユーザに提示する。（ステップＡ７）

　次に、表示手段１７は、ユーザによって他の抽出条件が選択されたかどうかを判定する。前記判定の結果、他の抽出条件が選択された場合は、ステップＡ６を実行する。他の抽出条件が選択されていない場合は、次の、ステップＡ９を実行する。（ステップＡ８）

　次に、異常受信手段１１は、監視装置４０から新たな異常を受信したかどうかを判定する。前記判定の結果、監視装置４０から新たな異常を受信した場合は、ステップＡ１を実行する。監視装置４０から新たな異常を受信していない場合は、次の、ステップＡ１０を実行する。（ステップＡ９）

　次に、表示手段１７は、ユーザによって終了が要求されたかどうかを判定する。前記判定の結果、終了が要求された場合は、本動作フローを終了する。終了が要求されていない場合は、ステップＡ８を実行する。（ステップＡ１０）

　以上のように、本実施の形態では、監視装置が検知した異常に対して、(A)異常発生に至った経緯と、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができる。このため、運用責任者は、監視装置が異常を検知した場合、制御システムにおいて現実に生じようとしているリスクの程度を、従来よりも短時間で判断できるようになり、さらに、誤った判断をする可能性を減らすこともできる。

［プログラム］
　本実施の形態におけるプログラムは、コンピュータに、図１５に示すステップＡ１～Ａ１０を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置と表示方法とを実現することができる。この場合、コンピュータのプロセッサは、異常受信手段１１、照合手段１２、抽出手段１３、及び表示手段１７として機能し、処理を行なう。また、照合条件記憶手段１４、リスク記憶手段１５、及び抽出条件記憶手段１６は、それぞれ、コンピュータに備えられたハードディスク等の記憶装置に、照合条件、攻撃パス、抽出条件のデータファイルを格納することによって実現される。

　また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、異常受信手段１１、照合手段１２、抽出手段１３、及び表示手段１７のいずれかとして機能しても良い。また、照合条件記憶手段１４、リスク記憶手段１５、及び抽出条件記憶手段１６は、本実施の形態におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築されていても良い。

　ここで、本実施の形態におけるプログラムを実行することによって、情報処理装置１０を実現するコンピュータについて図１６を用いて説明する。図１６は、本発明の実施の形態における情報処理装置１０を実現するコンピュータの一例を示すブロック図である。

　図１６に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。なお、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施の形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　このように、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌe　ｍｅｄｉｕｍ）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（ｔａｎｇｉｂｌｅ　ｓｔｏｒａｇｅ　ｍｅｄｉｕｍ）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、Ｃｏｍｐａｃｔ　Ｄｉｓｃ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ（ＣＤ－ＲＯＭ）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ（ＰＲＯＭ）、Ｅｒａｓａｂｌｅ　ＰＲＯＭ（ＥＰＲＯＭ）、フラッシュＲＯＭ、Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ（ＲＡＭ））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌｅ　ｍｅｄｉｕｍ）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　なお、本実施の形態における情報処理装置１０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、情報処理装置１０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

（第２の実施の形態）
　本発明の第２の実施の形態における、情報処理装置について説明する。本発明の第２の実施の形態における情報処理装置の具体的な構成は、図４に示したものと同じである。以下、本発明の第２の実施の形態における、情報処理装置１０が、これまでに説明した本発明の実施の形態と異なる点について説明する。

　リスク記憶手段１５は、プラント２０において生じ得るリスクが格納されている。本実施の形態におけるリスクは、フォルトツリーとして記述されている。すなわち、本実施の形態において、攻撃手順はフォルトツリーとして記述されている。フォルトツリーは、プラント２０がサイバー攻撃を受けた際に発生し得る事象が原因と結果の関係に従って並べられた情報である。本実施の形態におけるフォルトツリーは、セキュリティおよび制御システムの専門家が、プラント２０における各機器の脆弱性を調査し、前記脆弱性を悪用してプラント２０に損害を生じさせる、あらゆる可能性を検討することにより作成されたものである。

　前記フォルトツリーにおける各事象は、キー「Ｅｖｅｎｔ－Ｎｕｍｂｅｒ」の値としてその事象の識別番号「３００」を持つ。また、キー「Ｃａｕｓｅ」の値としてその事象の原因となった事象の識別番号「２９８」等を持つことができる。前記事象の原因が複数の事象の和や積である場合は「２９７　ａｎｄ　２９９」等や「２９７　ｏｒ　２９９」等と記述することができる。また、キー「Ｃｏｎｓｅｑｕｅｎｃｅ」の値としてその事象が発生した結果として発生する事象の識別番号「３０１」等を持つことができる。

　照合手段１２は、本実施の形態では、異常受信手段１１から異常を受け取る。照合条件記憶手段１４に格納されている各照合条件に含まれる異常照合条件式が異常と合致するかどうかを判定する。合致する場合は、さらに、リスク記憶手段１５に格納されている各フォルトツリーが含んでいる事象が照合条件に含まれる事象照合条件式と合致するかどうかを判定する。合致する場合は、合致した事象を含むフォルトツリーを抽出手段１３に渡す。

　抽出条件記憶手段１６には、抽出条件が格納されている。抽出条件における事象抽出条件式には、フォルトツリーから抽出する事象に関する条件式が含まれる。異常発生に至った経緯の事象を抽出する事象抽出条件式は、例えば、「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ　ｉｎ　Ｃｏｎｓｅｑｕｅｎｃｅ」と記述することができる。ここで、「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ　ｉｎ　Ｃｏｎｓｅｑｕｅｎｃｅ」はキー「Ｃｏｎｓｅｑｕｅｎｃｅ」の値に「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」で指定される値が含まれるかどうかを示している。また、異常発生後に予想される経過の事象を抽出する事象抽出条件式は、例えば、「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ　ｉｎ　Ｃａｕｓｅ」と記述することができる。ここで「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ　ｉｎ　Ｃａｕｓｅ」はキー「Ｃａｕｓｅ」の値に「＠ＭＡＴＣＨＥＤ＿ＥＶＥＮＴ＿ＮＵＭＢＥＲ」で指定される値が含まれるかどうかを示している。

　前記抽出手段は、前記フォルトツリーから前記抽出条件に合致する事象を抽出する。

　以上のように、本実施の形態においては、プラント２０において生じ得るリスクとしてフォルトツリーがリスク記憶手段１５に格納されている場合でも、監視装置が検知した異常に対して、(A)異常発生に至った経緯と、(B)異常発生後に予想される経過を自動的に運用責任者に提示することができる。このため、運用責任者は、監視装置が異常を検知した場合、制御システムにおいて現実に生じようとしているリスクの程度を、従来よりも短時間で判断できるようになり、さらに、誤った判断をする可能性を減らすこともできる。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
（付記１）
　制御システムに設置された監視装置が検知した異常を受信する異常受信手段と、
　前記異常受信手段から異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定する照合手段と、
　特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する抽出手段と、
　を有する情報処理装置。
（付記２）
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　付記１に記載の情報処理装置。
（付記３）
　さらに、前記抽出された事象をユーザに提示する表示手段、を有する、
　付記１または２に記載の情報処理装置。
（付記４）
前記表示手段は、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　付記３に記載の情報処理装置。
（付記５）
　前記攻撃手順が攻撃パスである
　付記１乃至４のいずれか１項に記載の情報処理装置。
（付記６）
　前記攻撃手順がフォルトツリーである
　付記１乃至４のいずれか１項に記載の情報処理装置。
（付記７）
（ａ）制御システムに設置された監視装置が検知した異常を受信し、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定し、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する、
　表示方法。
（付記８）
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　付記７に記載の表示方法。
（付記９）
　さらに、（ｄ）前記抽出された事象をユーザに提示する、
　付記７または８に記載の表示方法。
（付記１０）
　前記（ｄ）のステップでは、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　付記９に記載の表示方法。
（付記１１）
　前記攻撃手順が攻撃パスである
　付記７乃至１０のいずれか１項に記載の表示方法。
（付記１２）
　前記攻撃手順がフォルトツリーである
　付記７乃至１０のいずれか１項に記載の表示方法。
（付記１３）
コンピュータによって、
（ａ）制御システムに設置された監視装置が検知した異常を受信するステップと、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定するステップと、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出するステップと、
　を実行する命令を含む、プログラムが格納された非一時的なコンピュータ可読媒体。
（付記１４）
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　付記１３に記載の非一時的なコンピュータ可読媒体。
（付記１５）
　さらに、（ｄ）前記抽出された事象をユーザに提示するステップ、
　を実行する命令を含む、プログラムが格納された付記１３または１４に記載の非一時的なコンピュータ可読媒体。
（付記１６）
　前記（ｄ）のステップでは、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　付記１５に記載の非一時的なコンピュータ可読媒体。
（付記１７）
　前記攻撃手順が攻撃パスである
　付記１３乃至１６のいずれか１項に記載の非一時的なコンピュータ可読媒体。
（付記１８）
　前記攻撃手順がフォルトツリーである
　付記１３乃至１６のいずれか１項に記載の非一時的なコンピュータ可読媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように、本発明によれば、制御システムに導入された各種の監視装置が異常を検知した場合において、制御システムにおいて生じようとしているリスクの程度を判断しようとしている運用責任者を支援することができる。本発明は、監視装置が導入された各種プラントに有用である。

　１０　情報処理装置
　１１　異常受信手段
　１２　照合手段
　１３　抽出手段
　１４　照合条件記憶手段
　１５　リスク記憶手段
　１６　抽出条件記憶手段
　１７　表示手段
　２０　プラント
　２１　貯水タンク
　２２　水位センサ
　２３　供給ライン
　２４　排水ライン
　２５　ポンプ
　２６　バルブ
　３０　ＰＬＣ
　３１　端末装置
　３２　ネットワークスイッチ
　３３　エンジニアリングワークステーション
　４０　監視装置
　５０　異常
　５１　照合条件にもとづいて異常と合致した事象
　５２　抽出条件にもとづいて抽出された事象
　５３　説明ラベル
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　制御システムに設置された監視装置が検知した異常を受信する異常受信手段と、
　前記異常受信手段から異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定する照合手段と、
　特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する抽出手段と、
　を有する情報処理装置。
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　請求項１に記載の情報処理装置。
　さらに、前記抽出された事象をユーザに提示する表示手段、を有する、
　請求項１または２に記載の情報処理装置。
　前記表示手段は、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　請求項３に記載の情報処理装置。
　前記攻撃手順が攻撃パスである
　請求項１乃至４のいずれか１項に記載の情報処理装置。
　前記攻撃手順がフォルトツリーである
　請求項１乃至４のいずれか１項に記載の情報処理装置。
（ａ）制御システムに設置された監視装置が検知した異常を受信し、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定し、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出する、
　表示方法。
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　請求項７に記載の表示方法。
　さらに、（ｄ）前記抽出された事象をユーザに提示する、
　請求項７または８に記載の表示方法。
　前記（ｄ）のステップでは、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　請求項９に記載の表示方法。
　前記攻撃手順が攻撃パスである
　請求項７乃至１０のいずれか１項に記載の表示方法。
　前記攻撃手順がフォルトツリーである
　請求項７乃至１０のいずれか１項に記載の表示方法。
　コンピュータによって、
（ａ）制御システムに設置された監視装置が検知した異常を受信するステップと、
（ｂ）受信した異常を受け取り、攻撃手順に含まれる事象と前記異常とを照合するための所定の各照合条件が前記異常と合致するかどうかを判定する第一の判定を行い、前記第一の判定で合致する場合は、さらに、予め定義された各攻撃手順が含んでいる事象が前記合致すると判定された照合条件と合致するかどうかを判定する第二の判定を行い、前記第二の判定で合致する場合は、前記事象を含む攻撃手順を特定するステップと、
（ｃ）特定された前記攻撃手順から所定の抽出条件に合致する事象を抽出するステップと、
　を実行する命令を含む、プログラムが格納された非一時的なコンピュータ可読媒体。
　前記抽出条件は、前記攻撃手順における前記異常と対応する事象よりも前に発生する事象を抽出する条件、又は、前記攻撃手順における前記異常と対応する事象よりも後に発生する事象を抽出する条件を含む、
　請求項１３に記載の非一時的なコンピュータ可読媒体。
　さらに、（ｄ）前記抽出された事象をユーザに提示するステップ、
　を実行する命令を含む、プログラムが格納された請求項１３または１４に記載の非一時的なコンピュータ可読媒体。
　前記（ｄ）のステップでは、前記制御システムにおける機器及びネットワークが示された構成図を表示し、さらに、前記構成図の上に、前記抽出された第ｎ番目の事象が発生する機器から、前記抽出された第ｎ＋１番目の事象が発生する機器まで、順序を表すシンボルを重ねて描画する、
　請求項１５に記載の非一時的なコンピュータ可読媒体。
　前記攻撃手順が攻撃パスである
　請求項１３乃至１６のいずれか１項に記載の非一時的なコンピュータ可読媒体。
　前記攻撃手順がフォルトツリーである
　請求項１３乃至１６のいずれか１項に記載の非一時的なコンピュータ可読媒体。