WO2022019106A1

WO2022019106A1 - 制御装置、制御方法および制御プログラム

Info

Publication number: WO2022019106A1
Application number: PCT/JP2021/025436
Authority: WO
Inventors: 徹小河原; 泰生山本; 泰久渡辺; 直樹廣部
Original assignee: オムロン株式会社
Priority date: 2020-07-22
Filing date: 2021-07-06
Publication date: 2022-01-27
Also published as: JP2022021756A

Abstract

制御装置は、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行する処理実行部と、複数の検出対象の異常のうち発生した異常を検出する異常検出部と、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースと、データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、異常検出部により検出された１または複数の異常とが一致すると、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する攻撃特定部とを含む。

Description

制御装置、制御方法および制御プログラム

　本発明は、制御装置を含む制御システムにおけるセキュリティ機能に関する。

　近年、工場などの製造現場では、マルウェアなどの被害が発生しており、ＰＬＣ（プログラマブルロジックコントローラ）などの制御装置についてもセキュリティ対策が必要となっている。多層防御の考え方に従えば、工場内外を繋ぐインターフェイスおよび工場内のネットワークだけでなく、生産設備を構成する制御装置自体にもセキュリティ対策を実施する必要がある。

　国際公開第２０１８／１８１２５３号（特許文献１）は、既存の製造システムに大幅な改変を加えることなく、製造システムにおける異常を検出する構成を開示する。

国際公開第２０１８／１８１２５３号

　特許文献１に開示される構成は、既存の製造システムにデータ分析装置などを追加するものであり、制御装置自体にセキュリティ対策を実施するものではない。また、特許文献１に開示される構成は、製造システムに異常があるか否かを判定するものであり、セキュリティ攻撃を受けた場合に、当該攻撃の種類を特定するような方法については開示されていない。

　本発明は、制御装置自体にセキュリティ対策を実施するとともに、何らかのセキュリティ攻撃を受けた場合に、当該セキュリティ攻撃の種類を特定することも可能な構成を提供することを一つの目的としている。

　本発明のある局面に従う制御装置は、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行する処理実行部と、複数の検出対象の異常のうち発生した異常を検出する異常検出部とを含む。検出対象の異常の各々は、入力処理、制御演算および出力処理のいずれかに関連付けられている。制御装置は、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースと、データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、異常検出部により検出された１または複数の異常とが一致すると、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する攻撃特定部とを含む。

　この構成によれば、入力処理、制御演算および出力処理のいずれかで発生した異常を検出するとともに、検出された１または複数の異常と予め用意された攻撃パターンが規定する１または複数の異常とが一致するか否かを判断することで、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていることを特定できる。これによって、セキュリティ攻撃を受けていることを検出できるとともに、当該受けているセキュリティ攻撃の種類も特定できる。

　処理実行部は、攻撃特定部により特定されたセキュリティ攻撃の種類に応じて、対応するセキュリティ対策に応じた動作してもよい。この構成によれば、特定されたセキュリティ攻撃の種類に応じて、適切なセキュリティ対策を実施できる。

　対応するセキュリティ対策に応じた動作は、制御演算の実行内容を異ならせることを含んでいてもよい。この構成によれば、制御演算の実行内容を異ならせることで、適切なセキュリティ対策を実現できる。

　対応するセキュリティ対策に応じた動作は、出力処理による出力を制限することを含んでいてもよい。この構成によれば、出力処理による出力を制限することで、適切なセキュリティ対策を実現できる。

　攻撃特定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較してもよい。この構成によれば、セキュリティ攻撃を受けているか否かをより高い精度で検出できる。

　制御装置は、攻撃特定部により特定されたセキュリティ攻撃の種類の情報を、制御装置以外の装置へ通知する通知部をさらに含んでいてもよい。この構成によれば、システム全体におけるセキュリティ攻撃の発生状況を把握でき、より適切なセキュリティ対策を実施できる。

　制御装置は、データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、異常検出部により検出された１または複数の異常との一致度合いに基づいて、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けているか否かを推定する攻撃推定部をさらに含んでいてもよい。この構成によれば、攻撃パターンが規定する１または複数の異常と全く一致しなくても、ある程度の類似性が認められるような場合には、セキュリティ攻撃を受けていると決定できるとともに、当該受けているセキュリティ攻撃の種類も推定できる。

　攻撃推定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較してもよい。この構成によれば、セキュリティ攻撃を受けているか否かをより高い精度で検出できる。

　制御装置は、攻撃推定部により推定されたセキュリティ攻撃の種類の情報を、制御装置以外の装置へ通知する通知部をさらに含んでいてもよい。この構成によれば、システム全体におけるセキュリティ攻撃の発生状況を把握でき、より適切なセキュリティ対策を実施できる。

　サポート装置からの設定に従って、攻撃パターンおよび検出対象の異常の少なくとも一方が決定されてもよい。この構成によれば、ユーザは、サポート装置上で攻撃パターンおよび検出対象の異常の設定を含む各種設定を自由に行うことができる。

　本発明の別の局面に従う制御方法は、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップと、複数の検出対象の異常のうち発生した異常を検出するステップとを含む。検出対象の異常の各々は、入力処理、制御演算および出力処理のいずれかに関連付けられている。制御方法は、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、検出された１または複数の異常とが一致するか否かを判断するステップと、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップとを含む。

　本発明のさらに別の局面に従う制御プログラムは、コンピュータに、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップと、複数の検出対象の異常のうち発生した異常を検出するステップとを実行させる。検出対象の異常の各々は、入力処理、制御演算および出力処理のいずれかに関連付けられている。制御プログラムは、コンピュータに、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、検出された１または複数の異常とが一致するか否かを判断するステップと、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップとを実行させる。

　本発明によれば、制御装置自体にセキュリティ対策を実施するとともに、何らかのセキュリティ攻撃を受けた場合に、当該セキュリティ攻撃の種類を特定することが可能になる。

本実施の形態に係る制御システムの適用例を示す模式図である。本実施の形態に係る制御システムの構成例を示す模式図である。本実施の形態に係る制御システムを構成する制御装置のハードウェア構成例を示す模式図である。本実施の形態に係る制御装置の異常検出部により検出される異常の内容例を示す図である。本実施の形態に係る制御装置の異常検出部のより詳細な機能構成例を示す模式図である。本実施の形態に係る制御装置の攻撃特定部のより詳細な機能構成例を示す模式図である。本実施の形態に係る制御装置の攻撃パターンデータベースの一例を説明するための図である。本実施の形態に係る制御システムにおける処理手順を示すフローチャートである。本実施の形態に係る制御システムにおける攻撃特定結果の利用例を示す模式図である。本実施の形態に係る制御システムにおけるセキュリティ対策テーブルの一例を示す図である。本実施の形態に係る攻撃監視部を含むネットワーク中継装置の一例を示す模式図である。本実施の形態に係る制御システムにおけるセキュリティ対策テーブルの一例を示す図である。本実施の形態に係る制御装置の攻撃推定部のより詳細な機能構成例を示す模式図である。本実施の形態に係る制御装置における特定精度／推定精度を向上させるための機能構成例を示す模式図である。本実施の形態に係る制御システムにおける攻撃特定結果の通知に着目した構成例を示す模式図である。本実施の形態に係る制御システムにおけるサポート装置に着目した構成例を示す模式図である。本実施の形態に係る制御システムにおけるサポート装置により設定される異常検出設定１７３の一例を示す図である。

　本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。

　＜Ａ．適用例＞
　本発明が適用される場面の一例について説明する。

　図１は、本実施の形態に係る制御システム１の適用例を示す模式図である。図１には、本実施の形態に係る制御システム１を構成する制御装置１００の機能構成例を示す。

　図１を参照して、制御装置１００は、制御対象を制御するための機能構成として、処理実行部１３０を含む。処理実行部１３０は、入力部１４０と、制御部１５０と、出力部１６０とを含み、各部が提供する処理を繰り返し実行する。

　入力部１４０は、外部から入力される情報を取得する入力処理を実行する。より具体的には、入力部１４０は、フィールドデバイス３００、表示操作端末４００、管理サーバ５００、および、ゲートウェイ６００などの外部から入力される情報を取得して処理する。

　制御部１５０は、入力部１４０により取得された情報を参照して、ユーザプログラムなどによって規定される制御演算を実行する。制御部１５０は、制御演算によって、外部へ出力すべき情報を算出あるいは生成する。

　出力部１６０は、制御演算によって算出された情報を外部へ出力する出力処理を実行する。より具体的には、出力部１６０は、制御部１５０が算出あるいは生成した情報を、フィールドデバイス３００、表示操作端末４００、管理サーバ５００、および、ゲートウェイ６００などの外部へ出力する。

　このように、処理実行部１３０は、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行する。

　制御装置１００は、制御対象を制御するための機能構成（入力部１４０、制御部１５０、出力部１６０）に加えて、セキュリティ機能を提供するための攻撃監視部１７０を含む。攻撃監視部１７０は、制御装置１００に対するセキュリティ攻撃による異常を検出するとともに、当該検出された異常を生じさせたセキュリティ攻撃の種類などを特定する。なお、以下の説明においては、セキュリティ攻撃を単に「攻撃」と称することもある。

　より具体的には、攻撃監視部１７０は、異常検出部１７２と、攻撃特定部１７６とを含む。

　異常検出部１７２は、複数の検出対象の異常のうち発生した異常を検出する。より具体的には、異常検出部１７２は、入力部１４０、制御部１５０および出力部１６０の少なくとも１つから得られる情報に基づいて、制御装置１００に異常が発生しているか否かを判断する。ここで、検出対象の異常の各々は、入力部１４０で実行される入力処理、制御部１５０で実行される制御演算、および出力部１６０で実行される出力処理のいずれかに関連付けられている。

　異常検出部１７２は、異常を検出すると、検出した異常の内容を示す情報として、発生異常データ１７４を記録する。

　攻撃特定部１７６は、攻撃パターンデータベース１７８を参照して、異常検出部１７２が記録した発生異常データ１７４に基づいて、攻撃を受けているか否かを判断するとともに、受けている攻撃の種類を特定する。

　攻撃パターンデータベース１７８は、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターンを少なくとも１つ含む。

　攻撃特定部１７６は、攻撃を受けていると判断すると、特定した攻撃の種類の情報を含む攻撃特定結果１８０を出力する。より具体的には、攻撃特定部１７６は、攻撃パターンデータベース１７８に含まれるいずれかの攻撃パターンが規定する１または複数の異常と、異常検出部１７２により検出された１または複数の異常とが一致すると、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する。

　攻撃特定結果１８０は、制御装置１００が特定された攻撃に応じて挙動を異ならせるために用いてもよいし、必要なセキュリティ対策を決定するために事後的に解析されてもよい。

　図１に示すように、本実施の形態に係る制御装置１００は、入力部１４０、制御部１５０および出力部１６０のそれぞれにおける情報を組合せて参照することで、制御装置１００への攻撃を検出するとともに、検出された攻撃の種類を特定できる。

　＜Ｂ．ハードウェア構成例＞
　まず、本実施の形態に係る制御システム１のハードウェア構成例について説明する。

　（ｂ１：システム構成例）
　図２は、本実施の形態に係る制御システム１の構成例を示す模式図である。図２を参照して、制御システム１は、制御装置１００と、サポート装置２００と、表示操作端末４００と、管理サーバ５００と、ゲートウェイ６００とを含む。

　図２に示す構成例において、制御装置１００は、ネットワークに接続されている。より具体的には、制御装置１００は、上位ネットワーク１０を介して、表示操作端末４００および管理サーバ５００が接続されている。上位ネットワーク１０は、ゲートウェイ６００を介して、インターネットに接続されている。また、制御装置１００は、１または複数のフィールドネットワーク２０を介して、１または複数のフィールドデバイス３００が接続されている。

　（ｂ２：制御装置１００）
　図３は、本実施の形態に係る制御システム１を構成する制御装置１００のハードウェア構成例を示す模式図である。図３を参照して、制御装置１００は、コンピュータの一例であり、主たるコンポーネントとして、ＣＰＵ（Central　Processing　Unit）やＧＰＵ（Graphical　Processing　Unit）などのプロセッサ１０２と、チップセット１０４と、主記憶装置１０６と、二次記憶装置１０８と、ＵＳＢ（Universal　Serial　Bus）コントローラ１１２と、メモリカードインターフェイス１１４と、ネットワークコントローラ１１６，１１８と、内部バスコントローラ１２２とを含む。

　プロセッサ１０２は、二次記憶装置１０８に格納された各種プログラムを読み出して、主記憶装置１０６に展開して実行することで、制御装置１００が本来的に提供する制御機能に加えて、後述するような各種処理を実現する。チップセット１０４は、プロセッサ１０２と各コンポーネントとの間のデータの遣り取りを仲介する。

　二次記憶装置１０８には、制御プログラムに相当するシステムプログラム１１０に加えて、ユーザプログラムなどの各種プログラムが格納される。

　ＵＳＢコントローラ１１２は、ＵＳＢ接続を介して、サポート装置２００との間のデータの遣り取りを担当する。

　メモリカードインターフェイス１１４は、メモリカード１１５が着脱可能になっており、メモリカード１１５に対してシステムプログラム１１０や各種設定などのデータを書込み、あるいは、メモリカード１１５からシステムプログラム１１０や各種設定などのデータを読出すことが可能になっている。

　ネットワークコントローラ１１６，１１８の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。例えば、ネットワークコントローラ１１６は、上位ネットワーク１０を介した通信を担当し、ネットワークコントローラ１１８は、フィールドネットワーク２０を介した通信を担当する。ネットワークコントローラ１１６，１１８は、ＥｔｈｅｒＣＡＴ（登録商標）、ＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）、ＤｅｖｉｃｅＮｅｔ（登録商標）、ＣｏｍｐｏＮｅｔ（登録商標）などの産業用ネットワークプロトコルを採用してもよい。

　内部バスコントローラ１２２は、図示しない１または複数の機能ユニット（ローカルデバイス）との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。

　図３には、プロセッサ１０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装してもよい。あるいは、制御装置１００の主要部を、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳ（Operating　System）を並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｂ３：サポート装置２００）
　サポート装置２００は、制御装置１００で実行されるユーザプログラムの開発やメンテナンスなどに必要な機能を提供する。サポート装置２００は、さらに、後述するような、制御装置１００に実装されるセキュリティ機能の設定などを支援するための機能を提供する。

　サポート装置２００は、一例として、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコン）を用いて実現される。

　（ｂ４：フィールドデバイス３００）
　フィールドデバイス３００は、制御対象（フィールド）から情報を取得して制御装置１００へ提供する機能、および／または、制御装置１００で実行される制御演算によって算出される指令値（出力値）を制御対象へ提供する機能を有している。

　フィールドデバイス３００は、例えば、リモートＩ／Ｏターミナル、サーボドライバ・モータ、ロボットなどを含み得る。さらに、フィールドデバイス３００は、センサ、温度調整ユニット、パルスカウンタユニット、モーションコントローラユニットなどの任意のデバイスを含み得る。

　リモートＩ／Ｏターミナルは、例えば、デジタル入力（ＤＩ）ユニット、デジタル出力（ＤＯ）ユニット、アナログ出力（ＡＩ）ユニット、アナログ出力（ＡＯ）ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどを含み得る。

　（ｂ５：表示操作端末４００）
　表示操作端末４００は、制御装置１００で実行される制御演算によって算出される各種情報をユーザへ提示するとともに、ユーザ操作に応じて、対応する指令を制御装置１００へ出力する。

　（ｂ６：管理サーバ５００）
　管理サーバ５００は、生産管理などに必要な情報を保持しており、予め定められた周期毎あるいはイベント毎に、必要な情報を制御装置１００へ提供する。また、管理サーバ５００は、制御装置１００から送信される任意の情報を格納するとともに、検索クエリなどに応じて、要求された情報を応答する。

　（ｂ７：ゲートウェイ６００）
　ゲートウェイ６００は、上位ネットワーク１０とインターネットとの間の通信に対して、セキュリティ対策を実施する。ゲートウェイ６００としては、公知の構成を採用できる。

　＜Ｃ．機能構成例＞
　次に、本実施の形態に係る制御システム１の機能構成例について説明する。

　（ｃ１：異常検出部）
　図４は、本実施の形態に係る制御装置１００の異常検出部１７２により検出される異常の内容例を示す図である。図４を参照して、異常検出部１７２は、入力部１４０において生じ得る入力異常、制御部１５０において生じ得る制御異常、出力部１６０において生じ得る出力異常を検出できる。

　入力異常は、例えば、プロトコルに関する異常などからなる通信異常と、ファイルに関する異常などからなるファイル異常と、入出力信号に関する異常などからなるＩ／Ｏ異常とを含んでいてもよい。

　制御異常は、例えば、制御部１５０で実行される制御演算に関する異常などからなるシステム制御異常と、制御部１５０で実行される制御演算に利用されるハードウェアリソースに関する異常などからなるハードウェアリソース異常とを含んでいてもよい。

　出力異常は、データ送信に関する異常などからなる通信異常と、入出力信号に関する異常などからなるＩ／Ｏ異常とを含んでいてもよい。

　制御装置１００が制御対象を適切に制御できない場合には、入力部１４０、制御部１５０および出力部１６０のいずれかにおいて、図４に示すいずれかの異常が発生していると考えられる。

　なお、図４に示される異常は、一例であり、入力部１４０、制御部１５０および出力部１６０に生じ得る異常の分類や種類については、どのようなものであってもよい。

　図５は、本実施の形態に係る制御装置１００の異常検出部１７２のより詳細な機能構成例を示す模式図である。図５を参照して、異常検出部１７２は、発生異常データ１７４を記録するための異常記録部１７３０を含む。

　異常記録部１７３０は、入力異常を検出する機能構成として、入力異常検出部１７２０と、制御異常を検出する機能構成として、制御異常検出部１７２４と、出力異常を検出する機能構成として、出力異常検出部１７２７とを含む。異常記録部１７３０は、入力異常検出部１７２０と、制御異常検出部１７２４と、出力異常検出部１７２７とから検出信号を受け付ける。

　入力異常検出部１７２０は、通信異常を検出する通信異常検出部１７２１と、ファイル異常を検出するファイル異常検出部１７２２と、Ｉ／Ｏ異常を検出するＩ／Ｏ異常検出部１７２３とから検出信号を受け付ける。

　制御異常検出部１７２４は、システム制御異常を検出するシステム制御異常検出部１７２５と、ハードウェアリソース異常を検出するハードウェアリソース異常検出部１７２６とから検出信号を受け付ける。

　出力異常検出部１７２７は、通信異常を検出する通信異常検出部１７２８と、Ｉ／Ｏ異常を検出するＩ／Ｏ異常検出部１７２９とから検出信号を受け付ける。

　制御装置１００の異常検出部１７２においては、通信異常検出部１７２１、ファイル異常検出部１７２２、Ｉ／Ｏ異常検出部１７２３、システム制御異常検出部１７２５、ハードウェアリソース異常検出部１７２６、通信異常検出部１７２８、および、Ｉ／Ｏ異常検出部１７２９の各々が担当する異常の発生を検出すると、その検出した異常を特定するための検出信号を出力する。それぞれの検出部から出力された検出信号は、集約されて、最終的に発生異常データ１７４として記録される。

　図５に示す例では、通信異常検出部１７２１、システム制御異常検出部１７２５およびＩ／Ｏ異常検出部１７２９がそれぞれ異常を検出している。説明の便宜上、それぞれが検出した異常を「異常Ａ」、「異常Ｄ」および「異常Ｚ」と記載している。

　発生異常データ１７４は、例えば、それぞれの検出部が検出する異常の内容（異常項目）毎に発生の有無を対応付けたテーブル形式で構成してもよい。図５に示す例では、発生異常データ１７４においては、「異常Ａ」、「異常Ｄ」および「異常Ｚ」に対応する発生の項目に「○」が記録されており、それ以外の項目には「－」が記録されている。

　発生異常データ１７４は、検出された異常の内容（異常項目）のみを格納するリスト形式で構成してもよい。図５に示す例では、「異常Ａ」、「異常Ｄ」および「異常Ｚ」の３つのエントリを含むリストを発生異常データ１７４として出力するようにしてもよい。

　発生異常データ１７４は、予め定められた周期毎（例えば、制御周期毎）に生成あるいは更新されてもよいし、いずれかの検出部が異常の発生を検出したときに限って、生成あるいは更新されてもよい。

　（ｃ２：攻撃特定部）
　図６は、本実施の形態に係る制御装置１００の攻撃特定部１７６のより詳細な機能構成例を示す模式図である。図６を参照して、攻撃特定部１７６は、攻撃パターンデータベース１７８を参照して、異常検出部１７２が記録した発生異常データ１７４に基づいて、攻撃を受けているか否かを判断するとともに、受けている攻撃の種類を特定する。

　より具体的には、攻撃特定部１７６は、攻撃パターン取得部１７６０および比較部１７６２を含む。

　攻撃パターン取得部１７６０は、攻撃パターンデータベース１７８に登録されている攻撃パターンを一件ずつ取り出して、比較部１７６２へ供給する。攻撃パターンデータベース１７８は、１または複数の異常の内容（異常項目）の組合せによって、受けている攻撃の種類（攻撃パターン）を定義する。すなわち、検出される攻撃（攻撃パターン）は、入力部１４０、制御部１５０および出力部１６０のいずれかで検出された異常の１または複数の組合せに関連付けて規定されている。

　比較部１７６２は、攻撃パターン取得部１７６０が提供する攻撃パターンと、発生異常データ１７４とを比較して、発生異常データ１７４がいずれかの攻撃パターンと一致するか否かを判断する。比較部１７６２は、発生異常データ１７４がいずれかの攻撃パターンと一致すれば、当該一致した攻撃パターンが示す種類の攻撃を受けていると特定する。

　例えば、図６に示す例では、発生異常データ１７４は「攻撃パターン３」と一致することになるので、「攻撃パターン３」が示す種類の攻撃を受けていると特定できる。

　図７は、本実施の形態に係る制御装置１００の攻撃パターンデータベース１７８の一例を説明するための図である。図７を参照して、攻撃パターンデータベース１７８は、例えば、なりすまし攻撃、ＤｏＳ攻撃およびＤＤｏＳ攻撃などの攻撃について、対応する異常の組合せを規定する。

　より具体的には、なりすまし攻撃は、不正コマンド受信（入力異常の通信異常）と、特定処理の時間異常（制御異常のシステム制御異常）とが同時に検出された場合に対応する。

　ＤｏＳ攻撃は、トラフィック過剰（入力異常の通信異常）と、ＣＰＵ負荷率過剰（制御異常のハードウェアリソース異常）とが同時に検出された場合に対応する。

　ＤＤｏＳ攻撃は、送信元異常（入力異常の通信異常）と、トラフィック過剰（入力異常の通信異常）と、ＣＰＵ負荷率過剰（制御異常のハードウェアリソース異常）とが同時に検出された場合に対応する。

　なお、図７に示す各攻撃パターンに対する異常の組合せは一例であり、図示しないどのような攻撃パターンについて定義してもよいし、各攻撃パターンに対応付けられる異常の組合せはどのようなものであってもよい。また、図７に示す攻撃パターンについても、別の異常の組合せを採用してもよい。

　＜Ｄ．処理手順＞
　次に、本実施の形態に係る制御システム１における処理手順について説明する。

　図８は、本実施の形態に係る制御システム１における処理手順を示すフローチャートである。図８に示す各ステップは、典型的には、制御装置１００のプロセッサ１０２が二次記憶装置１０８に格納されたてシステムプログラム１１０を読み出して、主記憶装置１０６に展開して実行することで実現されてもよい。

　図８を参照して、制御装置１００は、制御周期が到来したか否かを判断する（ステップＳ２）。制御周期が到来していれば（ステップＳ２においてＹＥＳ）、制御装置１００は、ローカルデバイスおよび／またはフィールドデバイスを介して制御対象に関する情報の取得などを含む入力処理を実行する（ステップＳ４）。続いて、制御装置１００は、取得した制御装置に関する情報を用いて、制御演算を実行する（ステップＳ６）。さらに、制御装置１００は、制御演算の実行により出力される演算結果をローカルデバイスおよび／またはフィールドデバイスを介した制御対象へ出力することなどを含む出力処理を実行する（ステップＳ８）。

　ステップＳ２～Ｓ８に示すように、制御装置１００は、外部から入力される情報を取得する入力処理と、入力処理により取得された情報を参照して実行される制御演算と、制御演算によって算出された情報を外部へ出力する出力処理とを実行する。

　続いて、制御装置１００は、異常検出周期が到来したか否かを判断する（ステップＳ１０）。異常検出周期が到来していなければ（ステップＳ１０においてＮＯ）、ステップＳ２以下の処理が繰り返される。

　異常検出周期が到来していれば（ステップＳ１０においてＹＥＳ）、制御装置１００は、入力処理（入力部１４０）、制御演算（制御部１５０）および出力処理（出力部１６０）のいずれかに異常が発生しているか否かを判断する（ステップＳ１２）。

　入力処理（入力部１４０）、制御演算（制御部１５０）および出力処理（出力部１６０）のいずれかに異常が発生していれば（ステップＳ１２においてＹＥＳ）、制御装置１００は、発生している異常を検出し（ステップＳ１４）、発生異常データ１７４として記録する（ステップＳ１６）。すなわち、制御装置１００は、複数の検出対象の異常のうち発生した異常を検出する処理を実行する。

　なお、入力処理（入力部１４０）、制御演算（制御部１５０）および出力処理（出力部１６０）のいずれにも異常が発生していなければ（ステップＳ１２においてＮＯ）、ステップＳ２以下の処理が繰り返される。

　制御装置１００は、攻撃パターンデータベース１７８を参照して１つの攻撃パターンを取得し（ステップＳ１８）、取得した攻撃パターンと記録した発生異常データ１７４とが一致するか否かを判断する（ステップＳ２０）。すなわち、制御装置１００は、特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含む攻撃パターンデータベース１７８を参照して、攻撃パターンデータベース１７８に含まれるいずれかの攻撃パターンが規定する１または複数の異常と、検出された１または複数の異常とが一致するか否かを判断する。

　取得した攻撃パターンと記録した発生異常データ１７４とが一致すれば（ステップＳ２０においてＹＥＳ）、制御装置１００は、取得した攻撃パターンが示す攻撃の種類の情報を含む攻撃特定結果１８０を出力する（ステップＳ２２）。すなわち、制御装置１００は、一致する攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する。そして、ステップＳ２以下の処理が繰り返される。

　取得した攻撃パターンと記録した発生異常データ１７４とが一致しなければ（ステップＳ２０においてＮＯ）、制御装置１００は、攻撃パターンデータベース１７８に含まれるすべての攻撃パターンの取得が完了したか否かを判断する（ステップＳ２４）。攻撃パターンデータベース１７８に含まれるすべての攻撃パターンの取得が完了していなければ（ステップＳ２４においてＮＯ）、ステップＳ１８以下の処理が繰り返される。

　攻撃パターンデータベース１７８に含まれるすべての攻撃パターンの取得が完了していていれば（ステップＳ２４においてＹＥＳ）、制御装置１００は、攻撃を受けていないと判断し（ステップＳ２６）、ステップＳ２以下の処理を繰り返す。

　なお、図８には、制御周期および異常検出周期をそれぞれ独立に設定した処理例を示すが、これらは共通の周期としてもよい。例えば、制御周期としては１ｍｓｅｃ～数１００ｍｓｅｃ程度の範囲に設定され、異常検出周期としては、数ｍｓｅｃ～数ｓｅｃ程度の範囲に設定されてもよい。

　＜Ｅ．攻撃特定結果の利用例＞
　次に、出力される攻撃特定結果１８０の利用例について説明する。

　図９は、本実施の形態に係る制御システム１における攻撃特定結果１８０の利用例を示す模式図である。図９を参照して、制御装置１００の攻撃監視部１７０は、攻撃を受けたことを検出すると、攻撃を受けているあるいは攻撃を受けたことを制御部１５０へ通知する。また、制御装置１００の攻撃監視部１７０は、特定した攻撃の種類を制御部１５０へ通知してもよい。

　制御部１５０は、攻撃監視部１７０からの通知に応じて、制御演算の挙動を異ならせてもよい。より具体的には、制御部１５０は、攻撃特定結果１８０の内容に応じて、セキュリティ対策を実施するようにしてもよい。制御部１５０がセキュリティ対策を実施するにあたって、制御部１５０はセキュリティ対策テーブル１５２を参照可能に構成されていてもよい。

　図１０は、本実施の形態に係る制御システム１におけるセキュリティ対策テーブル１５２の一例を示す図である。図１０を参照して、セキュリティ対策テーブル１５２は、攻撃監視部１７０において検出される攻撃パターンと、各攻撃パターンに対して実施されるセキュリティ対策との対応関係を規定する。

　処理実行部１３０は、攻撃特定部１７６により特定されたセキュリティ攻撃の種類に応じて、対応するセキュリティ対策に応じた動作をする。より具体的には、処理実行部１３０の制御部１５０は、攻撃監視部１７０から攻撃特定結果１８０の通知を受けると、セキュリティ対策テーブル１５２を参照して、通知に含まれる攻撃パターンに対応するセキュリティ対策を決定する。そして、制御部１５０は、決定したセキュリティ対策に応じた動作をする。このとき、セキュリティ対策に応じた動作は、制御演算の実行内容を異ならせることを含む。

　説明の便宜上、図１０には、セキュリティ対策を自然言語で記述するが、制御装置１００の実装を考慮すると、予め用意されたファンクションブロックのうち対応するセキュリティ対策に使用されるファンクションブロックを特定する情報を含めてもよい。あるいは、実施すべきセキュリティ対策を実現するための部分プログラムや命令コードを含めてもよい。

　なお、図１０に示す各攻撃パターンに対するセキュリティ対策は一例であり、図示しないどのような攻撃パターンについて定義してもよいし、各攻撃パターンに対応付けられるセキュリティ対策はどのようなものであってもよい。

　＜Ｆ．ネットワーク中継装置＞
　上述の説明においては、制御対象を制御するための制御装置１００に攻撃監視部１７０を実装した構成を例示したが、制御装置１００以外の装置に攻撃監視部１７０を実装してもよい。

　図１１は、本実施の形態に係る攻撃監視部１７０を含むネットワーク中継装置１００Ａの一例を示す模式図である。図１１を参照して、例えば、管理サーバ５００と制御装置１００との間にネットワーク中継装置１００Ａが配置されている。上位ネットワーク１０を介して制御装置１００との間で送受信されるすべてのデータは、ネットワーク中継装置１００Ａを通過することになる。

　ネットワーク中継装置１００Ａには攻撃監視部１７０が実装されている。このような構成を採用することで、ネットワーク中継装置１００Ａは、制御装置１００が受信するデータおよび制御装置１００が送信するデータに基づいて、制御装置１００に対するセキュリティ攻撃による異常を検出するとともに、当該検出された異常を生じさせたセキュリティ攻撃の種類などを特定できる。そして、ネットワーク中継装置１００Ａは、制御装置１００に対する攻撃を遮断するなどして、脅威を低減あるいは削除する。

　ネットワーク中継装置１００Ａにおいても、処理実行部１３０は、攻撃特定部１７６により特定されたセキュリティ攻撃の種類に応じて、対応するセキュリティ対策に応じた動作をする。

　図１１に示す構成例において、特定した攻撃の種類の情報を含む攻撃特定結果１８０は、ネットワーク中継装置１００Ａの出力部１６０へ通知される。出力部１６０は、攻撃監視部１７０からの通知に応じて、ネットワーク中継装置１００Ａの出力処理の挙動を異ならせてもよい。より具体的には、出力部１６０は、攻撃特定結果１８０の内容に応じて、セキュリティ対策を実施するようにしてもよい。出力部１６０がセキュリティ対策を実施するにあたって、出力部１６０はセキュリティ対策テーブル１６２を参照可能に構成されていてもよい。

　図１２は、本実施の形態に係る制御システム１におけるセキュリティ対策テーブル１６２の一例を示す図である。図１２を参照して、セキュリティ対策テーブル１６２は、攻撃監視部１７０において検出される攻撃パターンと、各攻撃パターンに対して実施されるセキュリティ対策との対応関係を規定する。

　セキュリティ対策テーブル１６２は、ネットワーク中継装置１００Ａの出力部１６０が攻撃を遮断するための挙動を規定する。セキュリティ対策テーブル１６２の規定に応じて、ネットワーク中継装置１００Ａの出力部１６０は、遮断の有無や遮断の範囲を調整する。このように、セキュリティ対策に応じた動作は、出力処理による出力を制限することを含む。

　説明の便宜上、図１２には、セキュリティ対策を自然言語で記述するが、ネットワーク中継装置１００Ａの実装を考慮すると、予め用意されたファンクションブロックのうち対応するセキュリティ対策に使用されるファンクションブロックを特定する情報を含めてもよい。あるいは、実施すべきセキュリティ対策を実現するための部分プログラムや命令コードを含めてもよい。

　なお、図１２に示す各攻撃パターンに対するセキュリティ対策は一例であり、図示しないどのような攻撃パターンについて定義してもよいし、各攻撃パターンに対応付けられるセキュリティ対策はどのようなものであってもよい。

　＜Ｇ．攻撃推定機能＞
　上述の説明においては、発生異常データ１７４といずれかの攻撃パターンとの一致を攻撃されていると決定するための条件とする構成を例示したが、完全に一致しなくても、攻撃の有無を推定できる機能（攻撃推定部１９０）を実装してもよい。すなわち、発生異常データ１７４がいずれの攻撃パターンとも一致しなくても、ある程度の類似性が認められる場合には、攻撃を受けている可能性が高いと推定してもよい。

　図１３は、本実施の形態に係る制御装置１００の攻撃推定部１９０のより詳細な機能構成例を示す模式図である。図１３を参照して、攻撃推定部１９０は、上述の攻撃特定部１７６と同様に、攻撃パターンデータベース１７８を参照して、異常検出部１７２が記録した発生異常データ１７４に基づいて、攻撃を受けているか否かを判断する。なお、攻撃推定部１９０は、攻撃を受けていると判断すると、当該受けている攻撃の種類を特定するようにしてもよい。

　すなわち、攻撃推定部１９０は、攻撃パターンデータベース１７８に含まれるいずれかの攻撃パターンが規定する１または複数の異常と、異常検出部１７２により検出された１または複数の異常との一致度合いに基づいて、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けているか否かを推定する。

　より具体的には、攻撃推定部１９０は、一致度算出部１９２と、一致度評価部１９４とを含む。一致度算出部１９２は、攻撃パターンデータベース１７８に登録されている攻撃パターン毎に、発生異常データ１７４とどの程度一致しているかを示す一致度を算出する。一致度算出部１９２は、攻撃パターン毎に算出された一致度を示す攻撃パターン毎一致度１９６を出力する。

　一致度算出部１９２は、例えば、発生異常データ１７４と攻撃パターンとの一致の度合いを０～１の値に規格化した上で、一致度として算出するようにしてもよい。

　一致度評価部１９４は、一致度算出部１９２により算出された攻撃パターン毎一致度１９６を評価して、攻撃を受けているか否かを判断する。

　評価方法の一例としては、攻撃パターン毎一致度１９６に含まれる一致度のうち、予め定められた類似判定しきい値１９８以上のものがあれば、類似判定しきい値１９８以上である一致度に対応する攻撃パターンが示す種類の攻撃を受けていると特定してもよい。図１３に示す例では、類似判定しきい値１９８として「０．５」が定められており、類似判定しきい値１９８以上の「０．７」を示す「攻撃パターン１」が有効なものとして選択される。すなわち、「攻撃パターン１」が示す種類の攻撃を受けていると推定できる。

　評価方法の別の一例としては、攻撃パターン毎一致度１９６に含まれる一致度のうち、最も高い類似度を示す攻撃パターンを選択し、当該選択した攻撃パターンが示す種類の攻撃を受けていると特定してもよい。図１３に示す例では、最も高い一致度である「０．７」を示す「攻撃パターン１」が選択される。すなわち、「攻撃パターン１」が示す種類の攻撃を受けていると推定できる。

　なお、判定条件としては、上述したような類似判定しきい値１９８あるいは最大の類似度に限らず、任意の条件を採用できる。類似度の１番目の値と２番目の値とが予め定められたしきい値以上離れているとか、類似度の１番目以外の値はいずれも予め定められたしきい値未満であるといった判定条件を採用してもよい。

　上述したような攻撃推定機能を採用することで、発生異常データ１７４と攻撃パターンとが完全に一致しなくても、攻撃を受けている蓋然性が高い場合には、攻撃を受けていると判断できる。

　このような攻撃推定機能は、例えば、既知のセキュリティ攻撃の亜種や変形体などを検出する場合などにも有効である。

　＜Ｈ．特定精度／推定精度向上＞
　上述した攻撃特定部１７６および／または攻撃推定部１９０による特定処理および／または推定処理において参照される１または複数の異常（発生異常データ１７４）を予め定められた時間内に検出されたものに制限することで、特定精度および／または推定精度を向上できる。

　図１４は、本実施の形態に係る制御装置１００における特定精度／推定精度を向上させるための機能構成例を示す模式図である。図１４を参照して、攻撃監視部１７０は、異常検出部１７２、攻撃特定部１７６および攻撃推定部１９０に加えて、タイマー１８２を含む。なお、攻撃推定部１９０は、必ずしも実装しなくてもよい。

　タイマー１８２は、異常検出部１７２が何らかの異常を検出するとカウントを開始する。タイマー１８２は、カウントの開始から予め定められた時間が経過すると、その時間の経過を攻撃特定部１７６および攻撃推定部１９０へ通知する。

　攻撃特定部１７６は、タイマー１８２から通知を受けると、当該タイミングで記録されている発生異常データ１７４を参照して、攻撃を受けているか否かを判断するとともに、受けている攻撃の種類を特定する。

　同様に、攻撃推定部１９０は、タイマー１８２から通知を受けると、当該タイミングで記録されている発生異常データ１７４を参照して、攻撃を受けているか否かを推定するとともに、受けている攻撃の種類を推定する。

　なお、タイマー１８２のカウント開始から予め定められた時間が経過するまでの間に検出される異常の論理和を発生異常データ１７４として記録してもよい。すなわち、タイマー１８２からの通知が発行されるまでの時間内のいずれかのタイミングで発生した異常を、１つの発生異常データ１７４として集約してもよい。この場合、攻撃特定部１７６および／または攻撃推定部１９０は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較することになる。

　タイマー１８２が検出する予め定められた時間は、制御装置１００の制御周期、制御装置１００のハードウェアスペック、ネットワークの伝送速度、検出対象の攻撃の特性などに応じて決定されてもよい。

　上述したように、攻撃の特定および／または推定に用いる異常を検出する時間を制限することで、ノイズとなる異常の情報を除外することができ、これによって、攻撃の特定精度および／または推定精度を向上できる。

　また、上述したように、何らかの異常が検出されてから予め定められた時間に亘って検出された異常をまとめて攻撃の特定および／または推定に用いることで、あるタイミング（ワンショット）で検出された１または複数の異常の組合せでは検出できない攻撃であっても特定および／または推定できる。

　＜Ｉ．制御装置外への攻撃特定結果の通知＞
　上述の説明においては、攻撃特定部１７６から出力される攻撃特定結果１８０が制御装置１００の内部で利用される構成を例示したが、攻撃特定結果１８０を制御装置１００の外部へ通知するようにしてもよい。

　図１５は、本実施の形態に係る制御システム１における攻撃特定結果１８０の通知に着目した構成例を示す模式図である。図１５を参照して、制御システム１は、例えば、制御装置１００およびネットワーク中継装置１００Ａを含む。

　制御装置１００およびネットワーク中継装置１００Ａの各々は、攻撃特定部１７６および通知部１８４を含む。

　攻撃特定部１７６は、攻撃を受けていると判断すると、特定した攻撃の種類の情報を含む攻撃特定結果１８０を出力する。通知部１８４は、攻撃特定部１７６から攻撃特定結果１８０が出力されると、管理サーバ５００および／または管理サーバ５００Ａへ攻撃特定結果１８０を通知する。

　同様に、通知部１８４は、攻撃推定部１９０から攻撃特定結果１８０が出力されると、管理サーバ５００および／または管理サーバ５００Ａへ攻撃特定結果１８０を通知するようにしてもよい。

　このように、制御装置１００は、攻撃特定部１７６により特定されたセキュリティ攻撃の種類の情報、および／または、攻撃推定部１９０により推定されたセキュリティ攻撃の種類の情報を、制御装置１００以外の装置へ通知する通知部１８４を実装してもよい。

　管理サーバ５００は、例えば、制御システム１が制御する制御対象を含む工場内に配置されてもよい。管理サーバ５００は、攻撃特定結果１８０を集約することで、制御対象を含む工場内で発生した攻撃の状況を把握するとともに、対象の工場内でのセキュリティ対策を決定してもよい。

　管理サーバ５００Ａは、例えば、制御システム１が制御する制御対象を含む工場外に配置されてもよい。管理サーバ５００Ａは、例えば、工場の運営者とは異なる主体（例えば、委託先のより高い専門性を有する管理会社）によって運営されていてもよい。管理サーバ５００Ａに攻撃特定結果１８０を集約することで、セキュリティ対策についてより深い分析などを行うこともできる。

　なお、管理サーバ５００および／または管理サーバ５００Ａに攻撃特定結果１８０を通知する方法としては、通常のネットワークを利用してもよいし、専用の回線（例えば、５Ｇや４Ｇなどの公衆無線回線）を利用してもよい。通常のネットワークを利用することで、簡便かつ低コストで攻撃特定結果１８０を通知できる。また、専用の回線を利用することで、ＤｏＳ攻撃やおよびＤＤｏＳ攻撃などを受けて通信できない状況であっても、攻撃特定結果１８０を通知できる。

　あるいは、通知部１８４が攻撃特定結果１８０をファイルとして格納し、事後的にファイルを回収することで、通信できない状況であっても、攻撃特定結果１８０の回収および分析などを実現できる。

　上述したように、制御装置１００およびネットワーク中継装置１００Ａの各々から攻撃特定結果１８０を装置外部へ通知することで、より広範囲で攻撃を受けていることを検出できるとともに、攻撃の種類の特定やセキュリティ対策の決定などをより効率的に行うことができる。

　＜Ｊ．サポート装置２００＞
　本実施の形態に係る制御システム１を構成する制御装置１００で実行される制御演算の内容は、ユーザがサポート装置２００を用いてプログラムや設定等することで決定される。

　図１６は、本実施の形態に係る制御システム１におけるサポート装置２００に着目した構成例を示す模式図である。図１６を参照して、ユーザは、サポート装置２００を操作して、タスク設定２０２、ネットワーク構成２０４およびユーザプログラム２０６といった、制御装置１００における制御演算を規定するためのデータを生成する。これらのデータは、サポート装置２００から制御装置１００へ転送される。

　タスク設定２０２およびユーザプログラム２０６は、例えば、制御装置１００の制御部１５０で実行される制御演算の内容を規定する。ネットワーク構成２０４は、例えば、入力部１４０で実行される入力処理と出力部１６０で実行される出力処理の内容を規定する。

　サポート装置２００は、ユーザ操作に応じて、制御装置１００に実装される攻撃監視部１７０および／または攻撃推定部１９０の挙動を任意に設定することもできる。例えば、ユーザは、サポート装置２００を操作して、攻撃監視部設定２０８を生成する。攻撃監視部設定２０８は、制御装置１００の異常検出部１７２および／または攻撃推定部１９０が異常を検出するためのルールである異常検出設定１７３と、制御装置１００の攻撃特定部１７６および／または攻撃推定部１９０が参照する攻撃パターンデータベース１７８の内容の少なくとも一部とを含む。

　図１７は、本実施の形態に係る制御システム１におけるサポート装置２００により設定される異常検出設定１７３の一例を示す図である。図１７を参照して、異常検出設定１７３の設定項目としては、異常検出対象、異常検出範囲および異常検出条件などを含んでいてもよい。

　異常検出対象は、異常の発生を検出する対象を規定するものであり、例えば、通信ポートなどのハードウェアや、パケット伝送のプロトコルなどのソフトウェア設定を規定できる。例えば、異常の検出対象として、「通信ポート１」を「有効」または「無効」に設定することができる。「通信ポート１」が「有効」に設定された場合には、異常の検出対象となり、「通信ポート１」が「無効」に設定された場合には、異常の検出対象から除外される。

　異常検出範囲は、異常の発生を検出する範囲を規定するものであり、例えば、複数種類の不正コマンドが想定されている状態で、特定の不正コマンドのみを異常の検出対象として規定してもよい。例えば、すべての不正コマンドを異常の検出対象とする「全コマンド」を設定してもよいし、特定の不正コマンドＡのみを異常の検出対象とする「コマンドＡのみ」を設定してもよい。

　異常検出条件は、異常の発生と判断するための条件を規定するものであり、例えば、「トラフィック過剰」を検出するためのしきい値を含む。例えば、「トラフィック過剰」を検出するためのしきい値として、「８０％」や「５０％」を設定してもよい。あるいは、しきい値を任意に設定してもよい。

　ユーザは、サポート装置２００を操作して、図１７に示すような内容について設定することで、異常検出設定１７３が生成される。異常検出設定１７３は、制御装置１００へ転送されて異常検出部１７２に反映される。このように、異常検出部１７２は、サポート装置２００から提供される異常検出設定１７３に従って、検出対象の異常を決定する。

　なお、異常検出設定１７３の内容は、制御装置１００に実装される攻撃パターンデータベース１７８で参照される異常の内容と対応付けて予め初期値を設定していてもよい。

　また、異常検出設定１７３において、特定の異常を検出対象から除外してしまうと、攻撃パターンデータベース１７８の内容との整合性を維持できなくなる。そのため、サポート装置２００は、異常検出設定１７３の内容に応じて、制御装置１００の攻撃パターンデータベース１７８の内容についても更新する。

　例えば、攻撃パターンデータベース１７８に含まれる攻撃パターンに関連付けられているいずれかの異常を検出対象外とした場合には、以下のいずれかのように処理してもよい。

　（１）検出対象外に設定された異常については「一致していない」と判断する
　（２）検出対象外に設定された異常については「常に一致している」あるいは「ｄｏｎ’ｔ　ｃａｒｅ」と判断する
　（１）の処理を採用した場合には、検出対象外に設定された異常を条件とする攻撃パターンについては特定されないことになる。また、（２）の処理を採用した場合には、攻撃パターンに関連付けられる異常のうち、検出対象外に設定された異常を除く異常が一致すれば、攻撃パターンとして特定されることになる。

　上述したような処理のうちいずれを選択するのかについては、ユーザがサポート装置２００を操作して設定するようにしてもよい。

　このように、ユーザは、サポート装置２００を操作することで、サポート装置２００からの設定に従って、攻撃パターンデータベース１７８に含まれる、攻撃パターンおよび検出対象の異常の変更や有効／無効を自由に設定できる。すなわち、サポート装置２００から提供される異常検出設定１７３に従って、検出対象の異常が決定されてもよい。また、サポート装置２００から攻撃パターンデータベース１７８を設定または変更できるようにしてもよい。

　＜Ｋ．付記＞
　上述したような本実施の形態は、以下のような技術思想を含む。
［構成１］
　外部から入力される情報を取得する入力処理（１４０）と、前記入力処理により取得された情報を参照して実行される制御演算（１５０）と、前記制御演算によって算出された情報を外部へ出力する出力処理（１６０）とを実行する処理実行部（１３０）と、
　複数の検出対象の異常のうち発生した異常を検出する異常検出部（１７２）とを備え、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベース（１７８）と、
　前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記異常検出部により検出された１または複数の異常とが一致すると、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する攻撃特定部（１７６）とを備える、制御装置。
［構成２］
　前記処理実行部は、前記攻撃特定部により特定されたセキュリティ攻撃の種類に応じて、対応するセキュリティ対策に応じた動作をする、構成１に記載の制御装置。
［構成３］
　前記対応するセキュリティ対策に応じた動作は、前記制御演算の実行内容を異ならせることを含む、構成２に記載の制御装置。
［構成４］
　前記対応するセキュリティ対策に応じた動作は、前記出力処理による出力を制限することを含む、構成２に記載の制御装置。
［構成５］
　前記攻撃特定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較する、構成１～４のいずれか１項に記載の制御装置。
［構成６］
　前記攻撃特定部により特定されたセキュリティ攻撃の種類の情報を、前記制御装置以外の装置へ通知する通知部（１８４）をさらに備える、構成１～５のいずれか１項に記載の制御装置。
［構成７］
　前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記異常検出部により検出された１または複数の異常との一致度合いに基づいて、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けているか否かを推定する攻撃推定部（１９０）をさらに備える、構成１～４のいずれか１項に記載の制御装置。
［構成８］
　前記攻撃推定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較する、構成７に記載の制御装置。
［構成９］
　前記攻撃推定部により推定されたセキュリティ攻撃の種類の情報を、前記制御装置以外の装置へ通知する通知部（１８４）をさらに備える、構成７または８に記載の制御装置。
［構成１０］
　サポート装置（２００）からの設定に従って、前記攻撃パターンおよび前記検出対象の異常の少なくとも一方が決定される、構成１～９のいずれか１項に記載の制御装置。
［構成１１］
　外部から入力される情報を取得する入力処理と、前記入力処理により取得された情報を参照して実行される制御演算と、前記制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップ（Ｓ２～Ｓ８）と、
　複数の検出対象の異常のうち発生した異常を検出するステップ（Ｓ１４，Ｓ１６）とを備え、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記検出された１または複数の異常とが一致するか否かを判断するステップ（Ｓ１８，Ｓ２０）と、
　当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップ（Ｓ２２）とを備える、制御方法。
［構成１２］
　制御プログラム（１１０）であって、コンピュータ（１００）に、
　外部から入力される情報を取得する入力処理と、前記入力処理により取得された情報を参照して実行される制御演算と、前記制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップ（Ｓ２～Ｓ８）と、
　複数の検出対象の異常のうち発生した異常を検出するステップ（Ｓ１４，Ｓ１６）とを実行させ、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記検出された１または複数の異常とが一致するか否かを判断するステップ（Ｓ１８，Ｓ２０）と、
　当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップ（Ｓ２２）とを実行させる、制御プログラム。

　＜Ｌ．利点＞
　本実施の形態に係る制御装置は、入力処理、制御演算および出力処理のいずれかで発生した異常を検出するとともに、検出された１または複数の異常と予め用意された攻撃パターンが規定する１または複数の異常とが一致するか否かを判断することで、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていることを特定する。これによって、セキュリティ攻撃を受けていることを検出できるとともに、当該受けているセキュリティ攻撃の種類も特定できる。その結果、受けているセキュリティ攻撃の種類に応じて適切なセキュリティ対策を実施できる。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　制御システム、１０　上位ネットワーク、２０　フィールドネットワーク、１００　制御装置、１００Ａ　ネットワーク中継装置、１０２　プロセッサ、１０４　チップセット、１０６　主記憶装置、１０８　二次記憶装置、１１０　システムプログラム、１１２　ＵＳＢコントローラ、１１４　メモリカードインターフェイス、１１５　メモリカード、１１６，１１８　ネットワークコントローラ、１２２　内部バスコントローラ、１３０　処理実行部、１４０　入力部、１５０　制御部、１５２，１６２　セキュリティ対策テーブル、１６０　出力部、１７０　攻撃監視部、１７２　異常検出部、１７３　異常検出設定、１７４　発生異常データ、１７６　攻撃特定部、１７８　攻撃パターンデータベース、１８０　攻撃特定結果、１８２　タイマー、１８４　通知部、１９０　攻撃推定部、１９２　一致度算出部、１９４　一致度評価部、１９６　攻撃パターン毎一致度、１９８　しきい値、２００　サポート装置、２０２　タスク設定、２０４　ネットワーク構成、２０６　ユーザプログラム、２０８　攻撃監視部設定、３００　フィールドデバイス、４００　表示操作端末、５００，５００Ａ　管理サーバ、６００　ゲートウェイ、１７２０　入力異常検出部、１７２１，１７２８　通信異常検出部、１７２２　ファイル異常検出部、１７２３，１７２９　Ｉ／Ｏ異常検出部、１７２４　制御異常検出部、１７２５　システム制御異常検出部、１７２６　ハードウェアリソース異常検出部、１７２７　出力異常検出部、１７３０　異常記録部、１７６０　攻撃パターン取得部、１７６２　比較部。

Claims

　外部から入力される情報を取得する入力処理と、前記入力処理により取得された情報を参照して実行される制御演算と、前記制御演算によって算出された情報を外部へ出力する出力処理とを実行する処理実行部と、
　複数の検出対象の異常のうち発生した異常を検出する異常検出部とを備え、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースと、
　前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記異常検出部により検出された１または複数の異常とが一致すると、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定する攻撃特定部とを備える、制御装置。
　前記処理実行部は、前記攻撃特定部により特定されたセキュリティ攻撃の種類に応じて、対応するセキュリティ対策に応じた動作をする、請求項１に記載の制御装置。
　前記対応するセキュリティ対策に応じた動作は、前記制御演算の実行内容を異ならせることを含む、請求項２に記載の制御装置。
　前記対応するセキュリティ対策に応じた動作は、前記出力処理による出力を制限することを含む、請求項２に記載の制御装置。
　前記攻撃特定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較する、請求項１～４のいずれか１項に記載の制御装置。
　前記攻撃特定部により特定されたセキュリティ攻撃の種類の情報を、前記制御装置以外の装置へ通知する通知部をさらに備える、請求項１～５のいずれか１項に記載の制御装置。
　前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記異常検出部により検出された１または複数の異常との一致度合いに基づいて、当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けているか否かを推定する攻撃推定部をさらに備える、請求項１～４のいずれか１項に記載の制御装置。
　前記攻撃推定部は、予め定められた時間内に検出された１または複数の異常を、攻撃パターンが規定する１または複数の異常と比較する、請求項７に記載の制御装置。
　前記攻撃推定部により推定されたセキュリティ攻撃の種類の情報を、前記制御装置以外の装置へ通知する通知部をさらに備える、請求項７または８に記載の制御装置。
　サポート装置からの設定に従って、前記攻撃パターンおよび前記検出対象の異常の少なくとも一方が決定される、請求項１～９のいずれか１項に記載の制御装置。
　外部から入力される情報を取得する入力処理と、前記入力処理により取得された情報を参照して実行される制御演算と、前記制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップと、
　複数の検出対象の異常のうち発生した異常を検出するステップとを備え、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記検出された１または複数の異常とが一致するか否かを判断するステップと、
　当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップとを備える、制御方法。
　制御プログラムであって、コンピュータに、
　外部から入力される情報を取得する入力処理と、前記入力処理により取得された情報を参照して実行される制御演算と、前記制御演算によって算出された情報を外部へ出力する出力処理とを実行するステップと、
　複数の検出対象の異常のうち発生した異常を検出するステップとを実行させ、前記検出対象の異常の各々は、前記入力処理、前記制御演算および前記出力処理のいずれかに関連付けられており、
　特定の種類のセキュリティ攻撃に対応付けられた１または複数の異常を規定する攻撃パターン、を少なくとも１つ含むデータベースを参照して、前記データベースに含まれるいずれかの攻撃パターンが規定する１または複数の異常と、前記検出された１または複数の異常とが一致するか否かを判断するステップと、
　当該攻撃パターンに対応付けられた種類のセキュリティ攻撃を受けていると特定するステップとを実行させる、制御プログラム。