WO2022185583A1

WO2022185583A1 - 制御装置、ならびに制御装置の記憶部に保存されたデータの入出力を管理するプログラムおよび方法

Info

Publication number: WO2022185583A1
Application number: PCT/JP2021/034470
Authority: WO
Inventors: 久則五十嵐; 安宏北村; 弘太郎岡村
Original assignee: オムロン株式会社
Priority date: 2021-03-05
Filing date: 2021-09-21
Publication date: 2022-09-09
Also published as: JP2022135464A

Abstract

制御装置のベンダの利益を保護しながら、制御装置のエンドユーザの生産性の低下を防止する。記憶部（１）は、第１領域（１１）と、共通鍵（Ｋｃ１）が保存された第２領域（１２）とを含む。第１領域管理部（２）は、第１領域（１１）に保存されたデータを共通鍵（Ｋｃ１）を用いて暗号化して出力する。第２領域管理部（３）は、制御装置（１００）とは異なる装置からの第２領域（１２）へのアクセスを第１パスワード（Ｐｗ１）を用いて認証する。第１領域管理部（２）は、共通鍵（Ｋｃ１）を用いて暗号化された更新データを共通鍵（Ｋｃ１）を用いて復号化し、復号された更新データを用いて第２領域（１２）の更新を行う。

Description

制御装置、ならびに制御装置の記憶部に保存されたデータの入出力を管理するプログラムおよび方法

　本開示は、制御装置、ならびに制御装置の記憶部に保存されたデータの入出力を管理するプログラムおよび方法に関する。

　従来、制御対象（たとえば生産現場において使用される機械または設備）を制御する制御装置が知られている。たとえば、国際公開第２０１２／１１１１１７号（特許文献１）には、マスタユニットと、１つ以上のスレーブユニットとを備えるプログラマブルロジックコントローラが開示されている。マスタユニットは、スレーブユニットに割り付けられたＩＯ番号を管理する編成情報テーブルを有し、マスタユニットに設定されたパスワードを分割したパスワード分割データからスレーブユニットに割り付けられたＩＯ番号を用いてパスワード分散情報を生成する。スレーブユニットは、マスタユニットから送付されたパスワード分散情報を保存する。当該プログラマブルロジックコントローラによれば、パスワード情報の流出を防ぐことによりシステム管理者のパスワード管理のコストを低減することができる。

国際公開第２０１２／１１１１１７号

　制御装置に保存されている制御対象に関するデータには、当該制御装置をユーザに提供するベンダによって作成されたユーザプログラム（たとえば制御対象を制御する制御プログラム）が含まれる場合がある。ベンダから制御装置を購入したエンドユーザが当該制御装置に保存されたユーザプログラムを他の制御装置に複製して動作させることが可能である場合、ベンダは当該他の制御装置の対価をエンドユーザからさらに得る機会を失う可能性がある。そのため、制御装置のベンダにとって、当該制御装置に保存された制御対象に関するデータの複製が他の制御装置において使用されることを防止する必要がある。一方、制御装置が故障した場合、エンドユーザは、当該制御装置に保存されている制御対象に関するデータを他の制御装置に複製することにより、故障した制御装置を、正常に動作する他の制御装置に代替することができる。そのため、エンドユーザにとって、制御装置に保存された制御対象に関するデータの複製が他の制御装置において使用可能であることが必要である。

　しかし、特許文献１に開示されたプログラマブルロジックコントローラにおいては、制御装置のベンダの利益の保護および制御装置のエンドユーザの生産性の維持の観点から、制御装置に保存された制御対象に関するデータの複製を管理することの必要性について考慮されていない。

　本開示は上記のような課題を解決するためになされたものであり、その目的は、制御装置のベンダの利益を保護しながら、制御装置のエンドユーザの生産性の低下を防止することである。

　本開示の一例に係る制御装置は、記憶部と、第１領域管理部と、第２領域管理部とを備える。記憶部は、第１領域と、共通鍵が保存された第２領域とを含む。第１領域管理部は、第１領域に保存されたデータを共通鍵を用いて暗号化して出力する。第２領域管理部は、制御装置とは異なる装置からの第２領域へのアクセスを第１パスワードを用いて認証する。第１領域管理部は、共通鍵を用いて暗号化された更新データを共通鍵を用いて復号化し、復号された更新データを用いて第２領域の更新を行う。

　この開示によれば、第１領域に保存されたデータが共通鍵によって暗号化されて出力されることにより、エンドユーザは、共通鍵が保存された他の制御装置において当該データを復号し、故障した制御装置を当該他の制御装置に代替することができるため、生産性の低下を防止することができる。また、制御装置のベンダは、制御装置の第１領域に保存されたデータを複製可能な装置をベンダが生産した制御装置に限定することができる。そのため、当該ベンダが制御装置の対価をエンドユーザから得る機会を保護することができる。

　上述の開示において、第１領域には、第２パスワードが保存されていてもよい。第１領域管理部は、第２パスワードを用いて更新を認証してもよい。

　この開示によれば、第１領域が不正に更新されることを防止することができる。
　上述の開示において、前記共通鍵は、前記制御装置に関連付けられる特定ユーザに固有の値を有していてもよい。

　この開示によれば、暗号化された第１領域のデータが他のエンドユーザ用に生産された制御装置において復号されることが防止されることにより、第１領域に含まれるエンドユーザの情報資産が他のエンドユーザに漏洩することを防止することができる。

　本開示の他の例に係るプログラムは、第１領域と第２領域とを含む、制御装置の記憶部に保存されたデータの入出力を管理する。プログラムは、プロセッサによって実行されることによって、前記制御装置とは異なる装置からの前記第２領域へのアクセスをパスワードを用いて認証し、前記第２領域に共通鍵を保存し、前記第１領域に保存されたデータを前記共通鍵を用いて暗号化して出力し、前記共通鍵を用いて暗号化された更新データを前記共通鍵を用いて復号化し、復号された前記更新データを用いて前記第２領域の更新を行う。

　本開示の他の例に係る方法は、第１領域と第２領域とを含む、制御装置の記憶部に保存されたデータの入出力を管理する。当該方法は、前記制御装置とは異なる装置からの前記第２領域へのアクセスをパスワードを用いて認証するステップと、前記第２領域に共通鍵を保存するステップと、前記第１領域に保存されたデータを前記共通鍵を用いて暗号化して出力するステップと、前記共通鍵を用いて暗号化された更新データを前記共通鍵を用いて復号化し、復号された前記更新データを用いて前記第２領域の更新を行うステップとを含む。

　本開示に係る制御装置、プログラム、および方法によれば、第１領域に保存されたデータが共通鍵によって暗号化されて出力されることにより、制御装置のベンダの利益を保護しながら、制御装置のエンドユーザの生産性の低下を防止することができる。

実施の形態に係る制御装置の構成を示すブロック図である。図１の制御装置を備える制御システムの構成例を示す模式図である。図２の制御装置のハードウェア構成例を示す模式図である。図２のサポート装置のハードウェア構成例を示す模式図である。制御装置へ更新データが入力される各フェーズおよび制御装置から更新データが出力されるフェーズを示す図である。サポート装置によって制御装置におけるバックアップ／リストアのキー管理が有効化された場合に、図１のセキュア領域管理部によってサポート装置の画面に表示される、パスワード設定ダイアログの一例を示す図である。ベンダパスワードが設定され、かつ制御装置とは異なる装置からのセキュア領域へのアクセスが検知された場合に、セキュア領域管理部によってサポート装置の画面に表示される認証ダイアログの一例を示す図である。セキュア領域へのアクセスが許可された場合に、セキュア領域管理部によってサポート装置の画面に表示される共通鍵設定ダイアログの一例を示す図である。図５のベンダによってバックアップ／リストアのキー管理が有効化された場合に図１のセキュア領域管理部によって行われるベンダパスワード設定処理の流れを示すフローチャートである。図１のセキュア領域管理部によって行われる共通鍵設定処理の流れを示すフローチャートである。図１のユーザ領域管理部によって行われるバックアップ処理の流れを示すフローチャートである。図１のユーザ領域管理部によって行われるリストア処理の流れを示すフローチャートである。

　以下、実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は原則として繰り返さない。

　＜適用例＞
　図１は、実施の形態に係る制御装置１００の構成を示すブロック図である。図１に示されるように、制御装置１００は、記憶部１と、ユーザ領域管理部２（第１領域管理部）と、セキュア領域管理部３（第２領域管理部）とを備える。

　記憶部１は、システム領域１０と、ユーザ領域１１（第１領域）と、セキュア領域１２（第２領域）とを含む。ユーザ領域１１には、制御対象に関するデータＤｕと、オンラインパスワードＰｗ２（第２パスワード）とが保存されている。セキュア領域１２には、共通鍵Ｋｃ１と、ベンダパスワードＰｗ１（第１パスワード）が保存されている。共通鍵Ｋｃ１は、データの暗号化および復号化の双方に共通して使用される。

　セキュア領域管理部３は、ベンダパスワードの設定処理を行い、入力されたベンダパスワードＰｗ１をセキュア領域１２に保存する。セキュア領域管理部３は、ベンダパスワードＰｗ１を用いる認証後、入力された共通鍵Ｋｃ１をセキュア領域１２に保存する。セキュア領域管理部３は、制御装置１００とは異なる装置からのセキュア領域１２へのアクセスをベンダパスワードＰｗ１を用いて認証する。

　ユーザ領域管理部２は、制御対象に関するデータＤｕを共通鍵Ｋｃ１を用いて暗号化して更新データＤｂ１として出力する。ユーザ領域管理部２は、共通鍵Ｋｃ１を用いて暗号化された更新データＤｂ２を共通鍵Ｋｃ１を用いて復号化し、復号された更新データＤｂ２を用いてユーザ領域１１の更新を行う。ユーザ領域管理部２は、オンラインパスワードＰｗ２を用いてユーザ領域１１の更新を認証する。

　＜制御システムの構成＞
　図２は、図１の制御装置１００を備える制御システム１０００の構成例を示す模式図である。図２に示されるように、制御システム１０００は、複数のデバイスが互いに通信可能に構成されたデバイス群を含む。典型的には、デバイスは、制御プログラムを実行する処理主体である制御装置１００と、制御装置１００に接続される周辺装置とを含み得る。

　制御装置１００は、各種の設備または装置などの制御対象を制御する産業用コントローラに相当する。制御装置１００は、制御演算を実行する一種のコンピュータであり、典型的には、ＰＬＣ（Programmable　Logic　Controller）を含む。制御装置１００には、フィールドネットワーク２０を介してフィールドデバイス５００に接続されている。制御装置１００は、フィールドネットワーク２０を介して、少なくとも１つフィールドデバイス５００との間でデータを遣り取りする。

　制御装置１００において実行される制御演算は、フィールドデバイス５００において収集または生成されたデータを収集する処理、フィールドデバイス５００に対する指令値などのデータを生成する処理、および生成した出力データを対象のフィールドデバイス５００へ送信する処理などを含む。

　フィールドネットワーク２０は、定周期通信を行うバスまたはネットワークを採用することが好ましい。このような定周期通信を行うバスまたはネットワークとしては、ＥｔｈｅｒＣＡＴ（登録商標）、ＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）、ＤｅｖｉｃｅＮｅｔ（登録商標）、またはＣｏｍｐｏＮｅｔ（登録商標）などが知られている。データの到達時間が保証される点において、ＥｔｈｅｒＣＡＴ（登録商標）が好ましい。

　フィールドネットワーク２０には、任意のフィールドデバイス５００を接続することができる。フィールドデバイス５００は、フィールド側にあるロボットやコンベアなどに対して何らかの物理的な作用を与えるアクチュエータ、および、フィールドとの間で情報を遣り取りする入出力装置などを含む。

　制御システム１０００においてフィールドデバイス５００は、複数のサーボドライバ５２０＿１，５２０＿２と、複数のサーボドライバ５２０＿１，５２０＿２にそれぞれ接続された複数のサーボモータ５２２＿１，５２２＿２とを含む。フィールドデバイス５００は、「制御対象」の一例である。

　サーボドライバ５２０＿１，５２０＿２は、制御装置１００からの指令値（たとえば、位置指令値または速度指令値など）に従って、サーボモータ５２２＿１および５２２＿２のうちの対応するサーボモータを駆動する。このようにして、制御装置１００は、フィールドデバイス５００を制御することができる。

　制御装置１００は、上位ネットワーク６０を介して、他の装置にも接続されている。上位ネットワーク６０は、ゲートウェイ７００を介して、外部ネットワークであるインターネットに接続されている。上位ネットワーク６０には、一般的なネットワークプロトコルであるイーサネット（登録商標）、あるいはＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）が採用されてもよい。より具体的には、上位ネットワーク６０には、少なくとも１つのサーバ装置３００および少なくとも１つの表示装置４００が接続されてもよい。

　サーバ装置３００としては、データベースシステム、または製造実行システム（ＭＥＳ：Manufacturing　Execution　System）などが想定される。製造実行システムは、制御対象の製造装置または設備からの情報を取得して、生産全体を監視および管理するものであり、オーダ情報、品質情報、あるいは出荷情報などを扱うこともできる。これらに限らず、情報系サービスを提供する装置を上位ネットワーク６０に接続するようにしてもよい。情報系サービスとしては、制御対象の製造装置または設備からの情報を取得して、マクロ的またはミクロ的な分析などを行う処理が想定される。たとえば、情報系サービスとしては、制御対象の製造装置または設備からの情報に含まれる何らかの特徴的な傾向を抽出するデータマイニング、あるいは制御対象の設備または機械からの情報に基づく機械学習を行うための機械学習ツールなどが想定される。

　表示装置４００は、ユーザからの操作を受けて、制御装置１００に対してユーザ操作に応じたコマンドなどを出力するとともに、制御装置１００での演算結果などをグラフィカルに表示する。

　制御装置１００には、サポート装置２００が接続可能になっている。サポート装置２００は、制御装置１００が制御対象を制御するために必要な準備を支援する装置である。具体的には、サポート装置２００は、制御装置１００で実行されるプログラムの開発環境（プログラム作成編集ツール、パーサ、およびコンパイラなど）、制御装置１００および制御装置１００に接続される各種デバイスの構成情報（コンフィギュレーション）を設定するための設定環境、生成したプログラムを制御装置１００へ出力する機能、および制御装置１００上で実行されるプログラムなどをオンラインで修正および変更を行う機能などを提供する。

　制御システム１０００においては、制御装置１００、サポート装置２００、および表示装置４００がそれぞれ別体として構成されているが、これらの機能の全部または一部を単一の装置に集約するような構成が採用されてもよい。

　制御装置１００は、一の生産現場のみで使用される場合に限らず、他の生産現場においても使用される。また、一の生産現場内においても複数の異なるラインで使用される場合もある。

　＜制御装置のハードウェア構成＞
　図３は、図２の制御装置１００のハードウェア構成例を示す模式図である。図３に示されるように、制御装置１００は、主たるコンポーネントとして、プロセッサ１０２と、チップセット１０４と、主記憶装置１０６と、二次記憶装置１０８と、上位ネットワークコントローラ１１０と、サポート装置インターフェイス１１２と、メモリカードインターフェイス１１４と、フィールドネットワークコントローラ１１６と、内部バスコントローラ１２０と、インジケータ１２４と、ＤＩＰ（Dual　In-line　Package）スイッチインターフェイス１２５と、ＤＩＰスイッチ１２６と、給電スイッチインターフェイス１２７と、給電スイッチ１２８とを含む。

　二次記憶装置１０８は、典型的には、たとえば、ＨＤＤ（Hard　Disk　Drive）、ＳＳＤ（Solid　State　Drive）、ＲＯＭ（Read　Only　Memory）、ＥＰＲＯＭ（Erasable　Programmable　Read　Only　Memory)、またはＥＥＰＲＯＭ（Electrically　Erasable　Programmable　Read-Only　Memory）などの不揮発性記憶装置を備える。

　二次記憶装置１０８は、システム領域１０と、ユーザ領域１１とを含む。システム領域１０には、システムプログラム９５と、ユーザ領域管理プログラムＰｇ１と、システム設定ファイル９６とが保存されている。システムプログラム９５は、ＯＳ（Operating　System）プログラムと、ユーザ領域管理プログラムＰｇ１とを含む。システムプログラム９５は、ユーザ領域１１に保存されているユーザプログラム９７が動作するためのプログラム実行環境を提供する。

　ユーザ領域１１には、ユーザプログラム９７と、ユーザ設定ファイル９８と、ユーザ変数９９とが保存されている。ユーザプログラム９７は、制御対象の製造装置または設備に応じて制御装置１００のベンダによって作成され、制御対象を制御するための命令が規定されたプログラムである。ユーザ設定ファイル９８は、オンラインパスワードＰｗ２を含む。ユーザ変数９９は、バックアップ・リストア指示を示す値を含む。その他、ユーザ領域１１には、製品のレシピデータ、各種処理に係る保持変数、トレーサビリティデータ、スプールに係るデータ（ＳＱＬキューイング）、システムおよび装置の稼働に係るログ、エラー情報、システムにおける構成情報（ユニット・スレーブ設定）、セキュリティ情報（アカウント情報、証明書、およびアクセス制御）、ユニット用メモリの値、および絶対値エンコーダなどが含まれる。エンドユーザは、サポート装置２００などの設定ツールを用いることによって、当該エンドユーザの知識、経験、および取り決めなどに基づいて、ユーザ領域１１に所望のデータを作成することができる。すなわち、ユーザ領域１１には、エンドユーザに固有の専門知識が反映された情報資産としてのデータが含まれ得る。

　チップセット１０４は、プロセッサ１０２と各コンポーネントとの間のデータの遣り取りを仲介することで、制御装置１００全体としての処理を実現する。チップセット１０４は、基板上に装着された複数のチップを備える。当該複数のチップは、セキュアチップ１０５を含む。セキュアチップ１０５は、不揮発性のメモリ１０７を含む。メモリ１０７は、セキュア領域１２を含む。セキュア領域１２には、セキュア領域管理プログラムＰｇ２と、共通鍵Ｋｃ１と、ベンダパスワードＰｗ１とが保存されている。

　プロセッサ１０２は、たとえばＣＰＵ（Central　Processing　Unit）またはＧＰＵ（Graphical　Processing　Unit）などを含む。プロセッサ１０２は、二次記憶装置１０８またはメモリ１０７に格納された各種プログラムを読み出して、主記憶装置１０６に展開して実行することで、制御演算およびサービス処理を含む各種の処理を実現する。

　主記憶装置１０６は、ＤＲＡＭ（Dynamic　Random　Access　Memory）またはＳＲＡＭ（Static　Random　Access　Memory）などの揮発性記憶装置を含む。

　上位ネットワークコントローラ１１０は、上位ネットワーク６０を介して、外部装置（たとえば、図１に示されるサーバ装置３００および表示装置４００）との間のデータの遣り取りを制御する。フィールドネットワークコントローラ１１６は、フィールドネットワーク２０を介したフィールドデバイス５００との間のデータの遣り取りを制御する。上位ネットワークコントローラ１１０およびフィールドネットワークコントローラ１１６の各々には、ＥｔｈｅｒＣＡＴ（登録商標）、ＥｔｈｅｒＮｅｔ／ＩＰ（登録商標）、ＤｅｖｉｃｅＮｅｔ（登録商標）、またはＣｏｍｐｏＮｅｔ（登録商標）などの産業用ネットワークプロトコルが採用されてもよい。

　サポート装置インターフェイス１１２は、たとえば、ＵＳＢ（Universal　Serial　Bus）接続を介して、またはＥｔｈｅｒＮｅｔ通信によって、サポート装置２００との間のデータの遣り取りを制御する。

　メモリカードインターフェイス１１４は、メモリカード１１５を着脱可能に構成されており、メモリカード１１５に対してユーザプログラムまたは各種設定などのデータを書込むことが可能に構成されている。また、メモリカードインターフェイス１１４は、メモリカード１１５から当該プログラムまたは各種設定などのデータを読出すことが可能に構成されている。

　内部バスコントローラ１２０は、制御装置１００に装着されるＩ／Ｏ（Input/Output）ユニット１２２との間のデータの遣り取りを制御する。内部バスコントローラ１２０には、ＰＬＣメーカ固有の通信プロトコルが用いられてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルが用いられてもよい。

　インジケータ１２４は、制御装置１００の動作状態などを通知する。インジケータ１２４は、制御装置１００の表面に配置された少なくとも１つのＬＥＤ（Light　Emitting　Diode）などで構成される。

　ＤＩＰスイッチ１２６は、ＤＩＰスイッチインターフェイス１２５を介してチップセット１０４に接続されている。ＤＩＰスイッチ１２６は、複数のスイッチＳｗ１，Ｓｗ２，Ｓｗ３，Ｓｗ４を含む。複数のスイッチＳｗ１～Ｓｗ４の各々は、各々の状態をＯＮおよびＯＦＦに選択的に切り替える。ＯＮまたはＯＦＦに切り替えられた複数のスイッチＳｗ１～Ｓｗ４の組合せにより、制御装置１００の起動モードを切り替える。起動モードは、通常モード、バックアップモード、およびリストアモードを含む。図３においては、スイッチＳｗ１～Ｓｗ４のすべてがＯＮに切り替えられ、ＤＩＰスイッチ１２６によって指定される起動モードは通常モードである。バックアップモードにおいては、たとえばスイッチＳｗ１，Ｓｗ３がＯＮに切り替えられ、スイッチＳｗ２，Ｓｗ４がＯＦＦに切り替えられる。リストアモードにおいては、たとえばスイッチＳｗ１，Ｓｗ３がＯＦＦに切り替えられ、スイッチＳｗ２，Ｓｗ４がＯＮに切り替えられる。

　給電スイッチ１２８は、給電スイッチインターフェイス１２７を介してチップセット１０４に接続されている。給電スイッチ１２８は、電源（不図示）から制御装置１００への電力の供給の開始および停止を切り替える。制御装置１００に電源から電力が供給されていない状態で所定の時間の間、給電スイッチ１２８が押下された場合、ＤＩＰスイッチ１２６において指定された起動モードにおいて制御装置１００が起動される。

　二次記憶装置１０８およびセキュアチップ１０５のメモリ１０７は、図１の記憶部１に対応する。ユーザ領域管理プログラムＰｇ１を実行するプロセッサ１０２は、図１のユーザ領域管理部２に対応する。セキュア領域管理プログラムＰｇ２を実行するプロセッサ１０２は、図１のセキュア領域管理部３に対応する。なお、メモリ１０７と二次記憶装置１０８とは別個の記憶装置ではなく、１台の記憶装置として形成されてもよい。また、ユーザ領域管理プログラムＰｇ１とセキュア領域管理プログラムＰｇ２とは、別個のプログラムではなく、１個のプログラムとして作成されてもよい。

　図３においては、プロセッサ１０２がプログラムを実行することで必要な機能が提供される制御装置１００のハードウェア構成例が示されている。当該機能の一部または全部が、専用のハードウェア回路（たとえば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装されてもよい。あるいは、制御装置１００の主要部が、汎用的なアーキテクチャに従うハードウェア（たとえば、汎用パソコンをベースとした産業用パソコン）を用いて実現されてもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳが並列的に実行されるとともに、各ＯＳ上で必要なアプリケーションが実行されるようにしてもよい。

　＜サポート装置のハードウェア構成＞
　図４は、図２のサポート装置２００のハードウェア構成例を示す模式図である。サポート装置２００は、一例として、汎用的なアーキテクチャに従うコンピュータがプログラムを実行することで実現される。

　図４に示されるように、サポート装置２００は、プロセッサ２０２と、揮発性メモリ２０４と、不揮発性メモリ２０６と、ＨＤＤ（Hard　Disk　Drive）２０８と、ディスプレイ２５０と、キーボード２１０と、マウス２１２と、メモリカードインターフェイス２１４と、外部装置インターフェイス２１８とを備える。これらのコンポーネントは、プロセッサバス２２０を介して相互に通信可能に接続されている。

　プロセッサ２０２は、ＣＰＵおよびＧＰＵなどで構成され、不揮発性メモリ２０６およびＨＤＤ２０８に格納されたプログラム（一例として、サポートプログラム２３０）を読み出して、揮発性メモリ２０４に展開して実行することで、各種処理を実現する。

　サポート装置２００においては、プロセッサ２０２が所定のプログラムを実行することで、サポート装置２００として必要な機能が提供される。当該機能の一部または全部が、専用のハードウェア回路（たとえば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装されてもよい。

　揮発性メモリ２０４は、ＤＲＡＭおよびＳＲＡＭなど、各種の揮発性記憶装置によって構成される。不揮発性メモリ２０６は、ＳＳＤなど、各種の不揮発性記憶装置によって構成される。

　不揮発性メモリ２０６およびＨＤＤ２０８には、基本的な機能を実現するためのＯＳに加えて、サポート装置２００としての機能を提供するためのサポートプログラム２３０が格納されている。なお、サポート装置２００においては、ＨＤＤ２０８にサポートプログラム２３０が格納されている。サポートプログラム２３０には、コンピュータをサポート装置２００として機能させるための命令が規定されている。

　ディスプレイ２５０は、プロセッサ２０２からの処理結果などを出力する。キーボード２１０およびマウス２１２は、ユーザプログラムなどの各種のプログラムを作成したり、制御対象に応じた設定値などをユーザが入力したりするときに、ユーザ操作を受け付ける。

　メモリカードインターフェイス２１４は、メモリカード１１５が着脱可能に構成されており、メモリカード１１５に対して各種データ（ユーザプログラムなど）を書き込み、メモリカード１１５から各種データを読み出すことが可能になっている。

　外部装置インターフェイス２１８は、ネットワークを介して、制御装置１００などの任意の外部装置などとの間でデータを遣り取りする。

　なお、図示は省略するが、サポート装置２００は、光学ドライブを備えていてもよく、コンピュータが読み取り可能なプログラムを非一過的に格納するＤＶＤ（Digital　Versatile　Disc）などの光学記録媒体から、その中に格納されたプログラム（サポートプログラムなど）が読み取られて不揮発性メモリ２０６またはＨＤＤ２０８などにインストールされる。

　サポート装置２００において実行されるサポートプログラム２３０などは、コンピュータ読取可能なＤＶＤを介してインストールされてもよいが、ネットワーク上のサーバ装置３００などからダウンロードする形でインストールされるようにしてもよい。また、サポート装置２００が提供する機能は、ＯＳが提供するモジュールの一部を利用する形で実現される場合もある。

　図５は、制御装置１００へ更新データが入力される各フェーズおよび制御装置１００から更新データが出力されるフェーズを示す図である。図５に示されるように、ベンダＵｖは、ＰＬＣメーカからＰＬＣ９０を取得して、制御装置１００を生産する。ベンダＵｖとしては、たとえばＳＩｅｒと呼ばれるシステムインテグレータを挙げることができる。ベンダＵｖは、サポート装置２００Ａを用いて制御装置１００のセットアップを行う。具体的には、ベンダＵｖは、制御装置１００のシステム領域１０にシステムプログラムをインストールする。ベンダＵｖは、制御装置１００のユーザ領域１１にユーザプログラムの最初のバージョンをインストールする。ベンダＵｖは、制御装置１００のセキュア領域１２にセキュア領域管理プログラムＰｇ２をインストールする。ベンダＵｖは、ベンダパスワードＰｗ１を設定してセキュア領域１２に保存するとともに、共通鍵Ｋｃ１をセキュア領域１２に保存する。

　図６は、サポート装置２００Ａによって制御装置１００におけるバックアップ／リストアのキー管理が有効化された場合に、図１のセキュア領域管理部３によってサポート装置２００Ａの画面に表示される、パスワード設定ダイアログの一例を示す図である。バックアップとは、制御装置１００のユーザ領域１１に保存されたデータをバックアップデータ（更新データ）として複製することを意味する。リストアとは、バックアップデータを用いて制御装置１００のユーザ領域を更新することを意味する。バックアップ／リストアのキー管理とは、バックアップにおいてバックアップデータを共通鍵を用いて暗号化するとともに、暗号化されたバックアップデータをリストアにおいて共通鍵を用いて復号化することを意味する。

　図６に示されるように、パスワード設定ダイアログＤｇ１は、エディットボックスＥｂ１，Ｅｂ２と、ＯＫボタンと、キャンセルボタンとを含む。ベンダＵｖは、ベンダパスワードＰｗ１として設定することを望む文字列をエディットボックスＥｂ１，Ｅｂ２の各々に入力する。ＯＫボタンが押下され、かつエディットボックスＥｂ１に入力された文字列とエディットボックスＥｂ２に入力された文字列とが一致している場合、セキュア領域管理部３は、エディットボックスＥｂ１に入力された文字列をベンダパスワードＰｗ１として設定し、セキュア領域１２に当該文字列を保存する。ベンダパスワードＰｗ１は、制御装置１００を購入するエンドユーザに固有の文字列としてベンダＵｖによって管理される。ベンダパスワードＰｗ１は、エンドユーザＵｅに対して秘匿される。その結果、エンドユーザＵｅはセキュア領域１２へのアクセスが許可されない限り、共通鍵Ｋｃ１の内容を知ることができない。ベンダパスワードＰｗ１が解読されるリスクを低減するため、一定期間（たとえば制御装置１００の生産年）が経過する度に、エンドユーザに固有のパスワードが変更されることが望ましい。

　図７は、ベンダパスワードＰｗ１が設定され、かつ制御装置１００とは異なる装置からのセキュア領域１２へのアクセスが検知された場合に、セキュア領域管理部３によってサポート装置２００Ａの画面に表示される認証ダイアログの一例を示す図である。図７に示されるように、認証ダイアログＤｇ２は、エディットボックスＥｂ３と、ＯＫボタンと、キャンセルボタンとを含む。ＯＫボタンが押下され、かつエディットボックスＥｂ３に入力された文字列がセキュア領域１２に保存されたベンダパスワードＰｗ１に一致する場合、セキュア領域管理部３は、セキュア領域１２へのアクセスを許可する。エディットボックスＥｂ３への多数回のパスワード入力が試行されてベンダパスワードが特定されることを防止するために、パスワード認証が所定の回数失敗した場合、所定の時間間隔（たとえば１０分）の間、セキュア領域１２へのアクセスの認証が禁止されることが望ましい。

　図８は、セキュア領域１２へのアクセスが許可された場合に、セキュア領域管理部３によってサポート装置２００Ａの画面に表示される共通鍵設定ダイアログの一例を示す図である。図８に示されるように、共通鍵設定ダイアログＤｇ３は、チェックボックスＣｂと、エディットボックスＥｂ４と、転送ボタンと、キャンセルボタンとを含む。チェックボックスＣｂがチェックされ、エディットボックスＥｂ４に共通鍵Ｋｃ１の値を含むファイルの名称が入力され、転送ボタンが押下された場合、セキュア領域管理部３は、当該ファイルをサポート装置２００Ａから制御装置１００に転送し、セキュア領域１２に保存する。当該ファイルは、不図示の専用ツールによって作成される。共通鍵Ｋｃ１は、制御装置１００を購入するエンドユーザＵｅ（特定ユーザ）に固有の値を有することが望ましい。その結果、暗号化されたバックアップデータが他のエンドユーザ用に生産された制御装置において復号されることが防止されるため、ユーザ領域１１に含まれるエンドユーザＵｅの情報資産が当該他のエンドユーザに漏洩することを防止することができる。

　図９は、図５のベンダＵｖによってバックアップ／リストアのキー管理が有効化された場合に図１のセキュア領域管理部３によって行われるベンダパスワード設定処理の流れを示すフローチャートである。以下ではステップを単にＳと記載する。図９に示されるように、セキュア領域管理部３は、Ｓ１０１においてベンダパスワードの設定処理を行い、処理をＳ１０２に進める。セキュア領域管理部３は、Ｓ１０２においてベンダパスワードをセキュア領域１２に保存してベンダパスワード設定処理を終了する。

　図１０は、図１のセキュア領域管理部３によって行われる共通鍵設定処理の流れを示すフローチャートである。図１０に示されるように、セキュア領域管理部３は、Ｓ１１１においてセキュア領域１２へのアクセスの認証が成功したか否かを判定する。セキュア領域１２へのアクセスの認証が成功した場合（Ｓ１１１においてＹＥＳ）、セキュア領域管理部３は、Ｓ１１２において共通鍵をセキュア領域１２に保存して処理を終了する。セキュア領域１２へのアクセスの認証が失敗した場合（Ｓ１１１においてＮＯ）、セキュア領域管理部３は、所定の時間の間、セキュア領域１２へのアクセスの認証を禁止した後、処理を終了する。

　再び図５を参照して、ベンダＵｖから制御装置１００を取得したエンドユーザＵｅは、制御装置１００が故障した場合に備えて、バックアップデータＤｂ３（更新データ）を生成する。バックアップデータＤｂ３は、共通鍵Ｋｃ１によって暗号化されている。バックアップデータＤｂ３は、エンドユーザＵｅのサポート装置２００Ｂからのバックアップ指示に応じて、サポート装置２００Ｂに出力されてもよいし、ＤＩＰスイッチ１２６によってバックアップモードが選択されている場合にメモリカードインターフェイス１１４に装着された記憶媒体（たとえばメモリカード１１５）に出力されてもよい。

　制御装置１００が故障した場合、エンドユーザＵｅは、共通鍵Ｋｃ１が保存された制御装置１００＿１をベンダＵｖから取得し、バックアップデータＤｂ３を用いて制御装置１００のユーザ領域１１を制御装置１００＿１のユーザ領域１１に再現する。制御装置１００＿１においては、暗号化されたバックアップデータＤｂ３が共通鍵Ｋｃ１を用いて復号され、ユーザ領域１１にリストアされる。

　バックアップデータＤｂ３は、ベンダＵｖによって生産された制御装置であっても共通鍵Ｋｃ１が保存されていない制御装置においては復号されない。たとえば、エンドユーザＵｅとは異なるエンドユーザ用に生産された制御装置１００＿２には共通鍵Ｋｃ１とは異なる共通鍵Ｋｃ２が保存されているため、共通鍵Ｋｃ１によって暗号化されたバックアップデータＤｂ３を制御装置１００＿２において復号することはできない。また、ベンダＵｖとは異なるベンダによって生産された制御装置９００には共通鍵が保存されていないため、暗号化されたバックアップデータＤｂ３を制御装置９００において復号することはできない。

　バックアップデータＤｂ３が共通鍵Ｋｃ１によって暗号化されていることにより、エンドユーザＵｅは、故障した制御装置１００をバックアップデータＤｂ３が複製された制御装置１００＿１に代替することができるため、生産性の低下を防止することができる。また、ベンダＵｖは、制御装置１００のユーザ領域１１に保存されたデータを複製可能な装置をベンダＵｖが生産した制御装置に限定することができる。そのため、ベンダＵｖが制御装置の対価をエンドユーザＵｅから得る機会を保護することができる。さらに、ユーザ領域１１のデータが制御装置１００の外部に出力される場合、当該データは共通鍵Ｋｃ１によって暗号化されるため、共通鍵Ｋｃ１が保存されていない装置において当該データを復号することができない。そのため、ユーザ領域１１に含まれるエンドユーザＵｅおよびベンダＵｖの情報資産が、第三者によって不正に取得されることを防止することができる。

　図１１は、図１のユーザ領域管理部２によって行われるバックアップ処理の流れを示すフローチャートである。図１１に示されるように、ユーザ領域管理部２は、Ｓ１２１において、セキュア領域１２に共通鍵が保存されているか否かを判定する。セキュア領域１２に共通鍵が保存されている場合（Ｓ１２１においてＹＥＳ）、ユーザ領域管理部２は、Ｓ１２２において、共通鍵を用いてユーザ領域１１のデータを暗号化して処理をＳ１２３に進める。ユーザ領域管理部２は、Ｓ１２３において、暗号化されたバックアップデータを制御装置１００に接続されているサポート装置２００Ｂ、またはメモリカードインターフェイス１１４に装着されたメモリカード１１５に出力し、バックアップ処理を終了する。セキュア領域１２に共通鍵が保存されていない場合（Ｓ１２１においてＮＯ）、ユーザ領域管理部２は、Ｓ１２４においてエラー処理を行ってバックアップ処理を終了する。エラー処理には、たとえば、共通鍵が保存されていないことを示すメッセージをサポート装置２００Ｂに出力すること、または共通鍵が保存されていないことを示す態様でインジケータ１２４を点灯させることが含まれる。

　再び図５を参照して、ベンダＵｖは、修正されたユーザプログラムを更新プログラムＰｇｕ１（更新データ）としてエンドユーザＵｅに提供する。更新プログラムＰｇｕ１は、共通鍵Ｋｃ１によって暗号化されている。更新プログラムＰｇｕ１の暗号化は、サポート装置２００Ａにおいて行われてもよいし、他の装置において行われてもよい。エンドユーザＵｅは、オンラインパスワードＰｗ２を用いた認証後に、更新プログラムＰｇｕ１を用いて制御装置１００のユーザプログラム９７を更新する。オンラインパスワードＰｗ２を用いた認証により、ユーザ領域１１が不正に更新されることを防止することができる。更新プログラムＰｇｕ１は、サポート装置２００Ｂからのリストア指示に応じて、エンドユーザＵｅのサポート装置２００Ｂから制御装置１００に入力されてもよいし、ＤＩＰスイッチ１２６によってリストアモードが選択されている場合に、メモリカードインターフェイス１１４に装着され、更新プログラムＰｇｕ１が保存されたメモリカード１１５から制御装置１００に入力されてもよい。

　更新プログラムＰｇｕ１が共通鍵Ｋｃ１によって暗号化されていることにより、不正な第三者Ｕｔによって作成された更新プログラムＰｇｕ２が制御装置１００にインストールされることを防止することができる。更新プログラムＰｇｕ２が共通鍵Ｋｃ３によって暗号化されている場合でも、共通鍵Ｋｃ３がＫｃ１と一致しない限り、暗号化された更新プログラムＰｇｕ２が制御装置１００にインストールされることを防止することができる。

　図１２は、図１のユーザ領域管理部２によって行われるリストア処理の流れを示すフローチャートである。図１２に示されるように、ユーザ領域管理部２は、Ｓ１３１においてユーザ領域１１へのアクセスの認証が成功したか否かを判定する。

　ユーザ領域１１へのアクセスの認証が失敗した場合（Ｓ１３１においてＮＯ）、ユーザ領域管理部２は、処理をＳ１３６に進める。ユーザ領域１１へのアクセスの認証が成功した場合（Ｓ１３１においてＹＥＳ）、ユーザ領域管理部２は、Ｓ１３２において共通鍵がセキュア領域１２に保存されているか否かを判定する。

　共通鍵がセキュア領域１２に保存されていない場合（Ｓ１３２においてＮＯ）、ユーザ領域管理部２は、処理をＳ１３６に進める。共通鍵がセキュア領域１２に保存されている場合（Ｓ１３２においてＹＥＳ）、ユーザ領域管理部２は、Ｓ１３３において更新データに対して復号化処理を行って処理をＳ１３４に進める。

　ユーザ領域管理部２は、Ｓ１３４において更新データに対する復号化処理が成功したか否かを判定する。更新データに対する復号化処理が失敗した場合（Ｓ１３４においてＮＯ）、ユーザ領域管理部２は、処理をＳ１３６に進める。更新データに対する復号化処理が成功した場合（Ｓ１３４においてＹＥＳ）、ユーザ領域管理部２は、Ｓ１３５において復号された更新データを用いて制御装置１００のユーザ領域１１を更新し、リストア処理を終了する。

　ユーザ領域管理部２は、Ｓ１３６において、エラー処理を行ってリストア処理を終了する。Ｓ１３１においてＮＯの場合のエラーは、オンラインパスワードＰｗ２を用いる認証の失敗を含む。Ｓ１３２においてＮＯの場合のエラーは、セキュア領域１２に共通鍵が保存されていないことを含む。Ｓ１３４においてＮＯの場合のエラーは、セキュア領域１２に保存されている共通鍵と更新データの暗号化に用いられた共通鍵とが一致しないこと、および更新データが暗号化されていないことを含む。エラー処理には、たとえば、エラーの内容に対応するメッセージをサポート装置２００Ｂに出力すること、またはエラーの内容に対応する態様でインジケータ１２４を点灯させることが含まれる。

　以上、実施の形態に係る装置、プログラム、および方法によれば、制御装置のベンダの利益を保護しながら、制御装置のエンドユーザの生産性の低下を防止することができる。

　＜付記＞
　上述したような実施の形態は、以下のような技術思想を含む。

　（構成１）
　制御装置（１００）であって、
　第１領域（１１）と、共通鍵（Ｋｃ１）が保存された第２領域（１２）とを含む記憶部（１）と、
　前記第１領域（１１）に保存されたデータを前記共通鍵（Ｋｃ１）を用いて暗号化して出力する第１領域管理部（２）と、
　前記制御装置（１００）とは異なる装置からの前記第２領域（１２）へのアクセスを第１パスワード（Ｐｗ１）を用いて認証する第２領域管理部（３）とを備え、
　前記第１領域管理部（２）は、前記共通鍵（Ｋｃ１）を用いて暗号化された更新データ（Ｄｂ２）を前記共通鍵（Ｋｃ１）を用いて復号化し、復号された前記更新データ（Ｄｂ２）を用いて前記第２領域（１２）の更新を行う、制御装置（１００）。

　（構成２）
　前記第１領域（１１）には、第２パスワード（Ｐｗ２）が保存され、
　前記第１領域管理部（２）は、前記第２パスワード（Ｐｗ２）を用いて前記更新を認証する、構成１に記載の制御装置（１００）。

　（構成３）
　前記共通鍵（Ｋｃ１）は、前記制御装置（１００）に関連付けられる特定ユーザ（Ｕｅ）に固有の値を有する、構成１または２に記載の制御装置（１００）。

　（構成４）
　第１領域（１１）と第２領域（１２）とを含む、制御装置（１００）の記憶部（１）に保存されたデータの入出力を管理するプログラム（Ｐｇ１，Ｐｇ２）であって、
　前記プログラム（Ｐｇ１，Ｐｇ２）は、プロセッサ（１０２）によって実行されることによって、
　前記制御装置（１００）とは異なる装置からの前記第２領域（１２）へのアクセスをパスワード（Ｐｗ１）を用いて認証し、
　前記第２領域（１２）に共通鍵（Ｋｃ１）を保存し、
　前記第１領域（１１）に保存されたデータを前記共通鍵（Ｋｃ１）を用いて暗号化して出力し、
　前記共通鍵（Ｋｃ１）を用いて暗号化された更新データ（Ｄｂ２）を前記共通鍵（Ｋｃ１）を用いて復号化し、復号された前記更新データ（Ｄｂ２）を用いて前記第２領域（１２）の更新を行う、プログラム（Ｐｇ１，Ｐｇ２）。

　（構成５）
　第１領域（１１）と第２領域（１２）とを含む、制御装置（１００）の記憶部（１）に保存されたデータの入出力を管理する方法であって、
　前記制御装置（１００）とは異なる装置からの前記第２領域（１２）へのアクセスをパスワード（Ｐｗ１）を用いて認証するステップ（Ｓ１１１）と、
　前記第２領域（１２）に共通鍵（Ｋｃ１）を保存するステップ（Ｓ１１２）と、
　前記第１領域（１１）に保存されたデータを前記共通鍵（Ｋｃ１）を用いて暗号化して出力するステップ（Ｓ１２２，Ｓ１２３）と、
　前記共通鍵（Ｋｃ１）を用いて暗号化された更新データ（Ｄｂ２）を前記共通鍵（Ｋｃ１）を用いて復号化し、復号された前記更新データ（Ｄｂ２）を用いて前記第２領域（Ｓ１３３～Ｓ１３５）の更新を行うステップとを含む、方法。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　記憶部、２　ユーザ領域管理部、３　セキュア領域管理部、１０　システム領域、１１　ユーザ領域、１２　セキュア領域、２０　フィールドネットワーク、６０　上位ネットワーク、９５　システムプログラム、９６　システム設定ファイル、９７　ユーザプログラム、９８　ユーザ設定ファイル、９９　ユーザ変数、１００，１００＿１，１００＿２，９００　制御装置、１０２，２０２　プロセッサ、１０４　チップセット、１０５　セキュアチップ、１０６　主記憶装置、１０７　メモリ、１０８　二次記憶装置、１１０　上位ネットワークコントローラ、１１２　サポート装置インターフェイス、１１４，２１４　メモリカードインターフェイス、１１５　メモリカード、１１６　フィールドネットワークコントローラ、１２０　内部バスコントローラ、１２２　Ｉ／Ｏユニット、１２４　インジケータ、１２５　スイッチインターフェイス、１２６　ＤＩＰスイッチ、Ｓｗ１～Ｓｗ４　スイッチ、１２７　給電スイッチインターフェイス、１２８　給電スイッチ、２００，２００Ａ，２００Ｂ　サポート装置、２０４　揮発性メモリ、２０６　不揮発性メモリ、２１０　キーボード、２１２　マウス、２１８　外部装置インターフェイス、２２０　プロセッサバス、２３０　サポートプログラム、２５０　ディスプレイ、３００　サーバ装置、４００　表示装置、５００　フィールドデバイス、５２０　サーボドライバ、５２２　サーボモータ、７００　ゲートウェイ、１０００　制御システム、Ｄｂ１，Ｄｂ２　更新データ、Ｄｂ３　バックアップデータ、Ｋｃ１～Ｋｃ３　共通鍵、Ｐｇ１　ユーザ領域管理プログラム、Ｐｇ２　セキュア領域管理プログラム、Ｐｇｕ１，Ｐｇｕ２　更新プログラム、Ｐｗ１　ベンダパスワード、Ｐｗ２　オンラインパスワード。　

Claims

　制御装置であって、
　第１領域と、共通鍵が保存された第２領域とを含む記憶部と、
　前記第１領域に保存されたデータを前記共通鍵を用いて暗号化して出力する第１領域管理部と、
　前記制御装置とは異なる装置からの前記第２領域へのアクセスを第１パスワードを用いて認証する第２領域管理部とを備え、
　前記第１領域管理部は、前記共通鍵を用いて暗号化された更新データを前記共通鍵を用いて復号化し、復号された前記更新データを用いて前記第２領域の更新を行う、制御装置。
　前記第１領域には、第２パスワードが保存され、
　前記第１領域管理部は、前記第２パスワードを用いて前記更新を認証する、請求項１に記載の制御装置。
　前記共通鍵は、前記制御装置に関連付けられる特定ユーザに固有の値を有する、請求項１または２に記載の制御装置。
　第１領域と第２領域とを含む、制御装置の記憶部に保存されたデータの入出力を管理するプログラムであって、
　前記プログラムは、プロセッサによって実行されることによって、
　前記制御装置とは異なる装置からの前記第２領域へのアクセスをパスワードを用いて認証し、
　前記第２領域に共通鍵を保存し、
　前記第１領域に保存されたデータを前記共通鍵を用いて暗号化して出力し、
　前記共通鍵を用いて暗号化された更新データを前記共通鍵を用いて復号化し、復号された前記更新データを用いて前記第２領域の更新を行う、プログラム。
　第１領域と第２領域とを含む、制御装置の記憶部に保存されたデータの入出力を管理する方法であって、
　前記制御装置とは異なる装置からの前記第２領域へのアクセスをパスワードを用いて認証するステップと、
　前記第２領域に共通鍵を保存するステップと、
　前記第１領域に保存されたデータを前記共通鍵を用いて暗号化して出力するステップと、
　前記共通鍵を用いて暗号化された更新データを前記共通鍵を用いて復号化し、復号された前記更新データを用いて前記第２領域の更新を行うステップとを含む、方法。