WO2023089781A1

WO2023089781A1 - 制御装置及び制御方法

Info

Publication number: WO2023089781A1
Application number: PCT/JP2021/042641
Authority: WO
Inventors: 数哉五嶋
Original assignee: ファナック株式会社
Priority date: 2021-11-19
Filing date: 2021-11-19
Publication date: 2023-05-25

Abstract

ＤｏＳ攻撃等のリソースに過剰な負荷をかけて制御装置やネットワークの稼働を妨害する不正アクセスを容易に検知すること。　制御装置は、２つ以上の電子部品の物理状態を測定周期で測定する測定部と、正常状態において任意の動作プログラムの実行期間及び／又は待機中の電子部品それぞれの物理状態を測定周期に対応付けてモデル波形として記録する記録部と、任意の動作プログラムの実行期間又は待機中に電子部品それぞれの測定周期に対応付けて測定された物理状態と、モデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、任意の動作プログラムの実行期間又は待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて制御装置やネットワークの稼働を妨害する不正アクセスに対する電子部品毎の判定閾値を２つ以上の電子部品の加算値が超過したかを判定する検知部と、を備える。

Description

制御装置及び制御方法

　本発明は、制御装置及び制御方法に関する。

　近年、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）の普及により、ネットワーク機器の適用範囲が拡大している。それに伴い、セキュリティの脆弱性による不正アクセスの事例も急増している。
　当該不正アクセスを防ぐために、発見されたセキュリティの脆弱性に対する最新パッチを適用することで、セキュリティを確保している。
　この点、受信したＰＤＦネットワークコンテンツに悪意あるネットワークコンテンツを示す少なくとも１つの不審性が含まれているかを判断すべく、当該ＰＤＦネットワークコンテンツを検査し、少なくとも１つの不審性を含むと判断されたＰＤＦネットワークコンテンツを、少なくとも１つの仮想マシンに提供し、少なくとも１つの不審性を含むと判断されたＰＤＦネットワークコンテンツが悪意あるネットワークコンテンツを含むかを検証すべく、当該少なくとも１つの仮想マシンより受信した応答を分析する技術が知られている。例えば、特許文献１参照。

特表２０１４－５０４７６５号公報

　不正アクセスの手段は常に新しいものが出現するため、認知されていない脆弱性に対してセキュリティが確保できない状態が存在する。
　また、工場の制御装置等は長期にわたって使用されるものが多く、導入時に適用したセキュリティ対策が、時間の経過とともに不十分な状態になったまま使い続けられてしまうことがある。
　そのため、未知の脆弱性や、不十分なセキュリティ対策の脆弱性を利用し、例えばＤｏＳ攻撃のようにリソースに過剰な負荷をかけて制御装置やネットワークの稼働を妨害されると、制御装置やシステムの安定稼働が妨げられてしまう場合がある。

　そこで、ＤｏＳ攻撃等のリソースに過剰な負荷をかけて制御装置やネットワークの稼働を妨害する不正アクセスを容易に検知することが望まれている。

　本開示の制御装置の一態様は、産業機械を制御し外部機器と接続可能な制御装置であって、２つ以上の電子部品の物理状態を測定周期で測定する測定部と、正常状態において任意の動作プログラムが実行された期間及び／又は待機中の前記電子部品それぞれの物理状態を前記測定周期に対応付けてモデル波形として記録する記録部と、前記任意の動作プログラムが実行された期間又は前記待機中において前記電子部品それぞれの前記測定部により前記測定周期に対応付けて測定された前記物理状態と、前記記録部に記録された前記モデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、前記電子部品毎に前記任意の動作プログラムの実行期間又は前記待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて前記制御装置やネットワークの稼働を妨害する不正アクセスに対する予め定められた前記電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知部と、を備える。

　本開示の制御方法の一態様は、外部機器と接続可能な制御装置による産業機械の制御方法であって、２つ以上の電子部品の物理状態を測定周期で測定する測定ステップと、正常状態において任意の動作プログラムが実行された期間及び／又は待機中の前記電子部品それぞれの物理状態を前記測定周期に対応付けてモデル波形として記録する記録ステップと、前記電子部品毎に前記任意の動作プログラムが実行された期間又は前記待機中において前記電子部品それぞれの前記測定周期に対応付けて測定された前記物理状態と、記録された前記モデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、前記任意の動作プログラムの実行期間又は前記待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて前記制御装置やネットワークの稼働を妨害する不正アクセスに対する予め定められた前記電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知ステップと、を備える。

　一態様によれば、ＤｏＳ攻撃等のリソースに過剰な負荷をかけて制御装置やネットワークの稼働を妨害する不正アクセスを容易に検知することができる。

一実施形態に係る制御システムの機能的構成例を示す図である。ＣＰＵの機能的構成例を示す図である。加工プログラムの実行期間におけるＣＰＵの消費電流の一例を示す図である。加工プログラムの実行期間においてＤｏＳ攻撃等の不正アクセスを受けている場合のメモリ及びＣＰＵの消費電流の一例を示す図である。メモリ及びＣＰＵにおいて図４に示す測定された消費電流とモデル波形の消費電流との差分の絶対値を加工プログラムの実行期間の一定期間毎に加算した加算値の一例を示す図である。数値制御装置の検知処理について説明するフローチャートである。待機中のモデル波形の一例を示す図である。

＜一実施形態＞
　図１は、一実施形態に係る制御システムの機能的構成例を示す図である。ここでは、産業機械として工作機械を、また制御装置として数値制御装置を例示する。なお、本発明は、工作機械及び数値制御装置に限定されず、例えば射出成形機や産業用ロボット、サービス用ロボット等の産業機械、及び産業用ロボット等を制御するロボット制御装置に対しても適用可能である。
　また、本実施形態では、動作プログラムとして数値制御装置が工作機械を動作させる加工プログラムを例示して説明するが、ロボット制御装置が産業用ロボット等を動作させるロボットプログラム等の場合も同様である。
　図１に示すように、制御システム１は、数値制御装置１０、及びネットワーク２０を含む。
　数値制御装置１０は、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）やインターネット等のネットワーク２０に接続される。この場合、数値制御装置１０は、かかる接続によってネットワーク２０との通信を行うための後述する外部Ｉ／Ｆ（Ｉｎｔｅｒｆａｃｅ）１１を備えている。

＜数値制御装置１０＞
　数値制御装置１０は、当業者にとって公知の数値制御装置であり、例えば、図示しないＣＡＤ／ＣＡＭ装置等から予め取得した加工プログラムに基づいて指令を生成し、生成した指令を図示しない工作機械に出力する。これにより、数値制御装置１０は、図示しない工作機械の動作を制御する。なお、図示しない工作機械がロボット等の場合、数値制御装置１０は、ロボット制御装置等でもよい。
　図１に示すように、数値制御装置１０は、外部Ｉ／Ｆ１１、メモリ１２、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１３、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）１４、及び電源２１～２４を含む。

　外部Ｉ／Ｆ１１は、例えば、公知のネットワークインタフェースであり、図示しない工作機械の動作状態やアラーム／警告等のデータ収集等の非同期通信をネットワーク２０との間で行う。

　メモリ１２は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等の記憶部である。メモリ１２には、後述するＣＰＵ１３が実行するオペレーティングシステム及びアプリケーションプログラムや、加工プログラム等が記憶される。
　また、メモリ１２には、記録部として、ＤｏＳ攻撃等のリソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセスを受けていない正常状態において任意の加工プログラムが実行された期間及び／又は待機中に、後述する測定部１３０により測定されたメモリ１２や後述するＣＰＵ１３等の２つ以上の電子部品の物理状態（例えば、消費電流等）を測定部１３０の測定周期（以下、「サンプリング周期」ともいう）に対応付けてモデル波形として予め記録される。なお、以下、特に断らない限り、「ＤｏＳ攻撃等のリソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセス」を、「ＤｏＳ攻撃等の不正アクセス」と略称する。

　ＣＰＵ１３は、公知のプロセッサであり、数値制御装置１０を全体的に制御するプロセッサである。ＣＰＵ１３は、メモリ１２に格納されたシステムプログラム及びアプリケーションプログラムを、バスを介して読み出し、システムプログラム及びアプリケーションプログラムに従って数値制御装置１０全体を制御する。これにより、図２に示すように、ＣＰＵ１３が、測定部１３０、検知部１３１、及び動作制御部１３２の機能を実現するように構成される。

　測定部１３０は、例えば、数値制御装置１０内に配置された２つ以上の電子部品の物理状態をサンプリング周期で測定する。
　以下では、２つ以上の電子部品としてメモリ１２とＣＰＵ１３を、電子部品の物理状態としてメモリ１２とＣＰＵ１３の消費電流を例示して説明する。なお、後述するように、２つ以上の電子部品のうち経年劣化が少ない、例えば経年劣化による物理状態の差異が１０％等以内の外部Ｉ／Ｆ１１やメモリ１２等の少なくとも１つ電子部品と、経年劣化が多い、例えば経年劣化による物理状態の差異が１０％等超過のＣＰＵ１３やＡＳＩＣ１４等の少なくとも１つの電子部品と、の組み合わせが好ましい。
　そうすることで、数値制御装置１０は、電子部品の経年劣化等で正常状態の物理量が変化した場合、正常状態であるにもかかわらず、ＤｏＳ攻撃等の不正アクセスを誤検知することを回避することができる。
　また、電子部品の物理状態は、消費電力やジャンクション温度でもよく、消費電流の場合と同様に適用することができる。

　具体的には、測定部１３０は、例えば、後述する電源２２に配置された図示しない電流計を用いてメモリ１２の消費電流をメモリ１２の物理状態としてサンプリング周期で測定する。また、測定部１３０は、後述する電源２３に配置された図示しない電流計を用いてＣＰＵ１３の消費電流をＣＰＵ１３の物理状態としてサンプリング周期で測定する。測定部１３０は、測定したメモリ１２及びＣＰＵ１３の消費電流を後述する検知部１３１に出力する。

　検知部１３１は、電子部品毎に加工プログラムが実行された期間又は待機中において測定部１３０によりサンプリング周期に対応付けて測定された物理状態と、メモリ１２に記録されたモデル波形のうち当該物理状態が測定されたサンプリング周期に対応する物理状態との差分の絶対値を加工プログラムの実行期間又は待機中の一定期間毎に加算し、ＤｏＳ攻撃等の不正アクセスに対する予め定められた電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する。
　図３は、加工プログラムの実行期間におけるＣＰＵ１３の消費電流の一例を示す図である。
　図３に示すように、正常状態の場合、数値制御装置１０は、図示しない工作機械に対して同じ部品加工の加工プログラムを繰り返して実行するため、数値制御装置１０のＣＰＵ１３の消費電流（実線）は、同様の時間変動を繰り返す。
　そして、経年劣化が進んだ場合、ＣＰＵ１３の消費電流（太い実線）は、同様の時間変動を示しつつも全体的に増加する。
　なお、メモリ１２の消費電流についても、ＣＰＵ１３の場合と同様の時間変動及び経年劣化を示す。ただし、メモリ１２は、ＣＰＵ１３やＡＳＩＣ１４等と比べてプロセスが微細でなく消費電流も小さいため、内部の絶縁膜の劣化の進行がＣＰＵ１３等と比べて遅い。このため、劣化によるメモリ１２の消費電流の増加は、ＣＰＵ１３の消費電流の増加に比べて小さい。

　図４は、加工プログラムの実行期間においてＤｏＳ攻撃等の不正アクセスを受けている場合のメモリ１２及びＣＰＵ１３の消費電流の一例を示す図である。図４の上段は、サンプリング周期に対応付けて測定されたＣＰＵ１３の消費電流を示し、図４の下段は、サンプリング周期に対応付けて測定されたメモリ１２の消費電流を示す。図４では、メモリ１２及びＣＰＵ１３の消費電流のモデル波形を破線で示し、正常状態のメモリ１２及びＣＰＵ１３の消費電流を一点鎖線で示し、ＤｏＳ攻撃等の不正アクセスを受けている場合のメモリ１２及びＣＰＵ１３の消費電流を実線で示す。また、図４の縦軸はメモリ１２及びＣＰＵ１３の消費電流を示し、横軸は時刻を示す。さらに、図４では、２つ目の加工プログラムの実行時間（加工時間）に、ＤｏＳ攻撃等の不正アクセスを受けている場合を示す。
　図５は、メモリ１２及びＣＰＵ１３において図４に示す測定された消費電流とモデル波形の消費電流との差分の絶対値を加工プログラムの実行期間の一定期間毎に加算した加算値の一例を示す図である。図５の上段は、ＣＰＵ１３の加算値を示し、図５の下段は、メモリ１２の加算値を示す。図５では、正常状態のメモリ１２及びＣＰＵ１３の消費電流とモデル波形の消費電流との差分の絶対値の加算値を破線で示し、ＤｏＳ攻撃等の不正アクセスを受けている場合のメモリ１２及びＣＰＵ１３の消費電流とモデル波形の消費電流との差分の絶対値の加算値を実線で示す。

　図５に示すように、検知部１３１は、メモリ１２及びＣＰＵ１３それぞれについて、加工プログラムが実行されている期間において測定部１３０によりサンプリング周期に対応付けて測定された消費電流と、メモリ１２に記録されたモデル波形のうち当該消費電流が測定されたサンプリング周期に対応する消費電流と、の差分の絶対値を加工プログラムの実行時間（加工時間）の一定期間Ｔ毎に加算する。すなわち、数値制御装置１０がＤｏＳ攻撃のような不正アクセスを受けている場合、ＣＰＵ１３の処理負荷が増大することでメモリ１２及びＣＰＵ１３の消費電流が変化する。そこで、検知部１３１は、メモリ１２及びＣＰＵ１３のハードウェアの負荷変動を利用してＤｏＳ攻撃等の不正アクセスを検知するために、モデル波形（正常状態）の消費電流と測定された消費電流との差分の絶対値の加算値をメモリ１２及びＣＰＵ１３毎に算出する。
　なお、検知部１３１は、一定期間Ｔとなる度に加算時間及び加算値を「０」にリセットする。
　そうすることで、検知部１３１は、微小な誤差の加算による誤判定を防ぐことができる。

　そして、検知部１３１は、ＤｏＳ攻撃等の不正アクセスに対する予め定められたメモリ１２及びＣＰＵ１３毎の判定閾値α、βをメモリ１２及びＣＰＵ１３それぞれの加算値が超過したか否かを判定する（α≠β）。検知部１３１は、メモリ１２及びＣＰＵ１３それぞれの加算値が判定閾値α、βを超過した場合、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定する。
　また、数値制御装置１０が実行時間（加工時間）に過剰アクセス等を受けることで、ＣＰＵ１３に過剰な処理負荷がかかった場合、例えば、メモリ１２の空き容量不足に起因してＣＰＵ１３の処理が遅くなり、メモリ１２及びＣＰＵ１３の消費電流が減少する。この場合でもメモリ１２及びＣＰＵ１３の加算値が判定閾値α、βを超過すると、検知部１３１は、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定することができる。
　また、数値制御装置１０が実行時間（加工時間）より短い期間の過剰アクセス等を受けたとしても、ＣＰＵ１３の処理の負荷が増大し、メモリ１２及びＣＰＵ１３の消費電流が１次的に増大（又は減少）するため、メモリ１２及びＣＰＵ１３の加算値が判定閾値α、βを超過すると、検知部１３１は、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定することができる。

　一方、例えば、検知部１３１は、メモリ１２及び／又はＣＰＵ１３の加算値が判定閾値α、β以下の場合、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていないと判定する。
　これにより、数値制御装置１０は、電子部品の経年劣化に伴う消費電流（物理量）の増加による誤判定を防ぐことができる。換言すれば、数値制御装置１０は、経年劣化によりモデル波形の消費電流とのずれが大きくなり、ＤｏＳ攻撃等の不正アクセスによる物理量増減と区別がつかない場合でも、経年劣化の少ないメモリ１２等の電子部品の消費電流（物理量）を併せて測定することで、正常状態であるにもかかわらず、ＤｏＳ攻撃等の不正アクセスと誤検知することを回避することができる。

　なお、電子部品の判定閾値α、β及び一定期間Ｔの値は、加工プログラムの実行中の一定期間において、検知部１３１が電子部品の経年劣化や正常な非同期通信等をＤｏＳ攻撃等の不正アクセスと判定しないように、適宜決められることが好ましい。

　動作制御部１３２は、例えば、加工プログラムに基づいて指令を生成し、生成した指令を図示しない工作機械に出力するとともに、検知部１３１がＤｏＳ攻撃等の不正アクセスと判定した場合、数値制御装置１０をネットワーク２０から遮断する。そして、動作制御部１３２は、加工プログラムを停止し、ＤｏＳ攻撃等の不正アクセスを検知したというログをメモリ１２に記録するようにしてもよい。また、動作制御部１３２は、数値制御装置１０又は工作機械（図示しない）に含まれる液晶ディスプレイ等の表示部に当該不正アクセスを検知したというメッセージ等を表示（通知）するようにしてもよい。

　ＡＳＩＣ１４は、特定用途向け集積回路であり、例えば、数値制御装置１０における特定の処理を行う。

　電源２１～２４は、外部Ｉ／Ｆ１１、メモリ１２、ＣＰＵ１３、及びＡＳＩＣ１４それぞれに電力を供給する。なお、電源２１～２４は、消費電流を測定する図示しない電流計を含んでもよく、測定された消費電流を測定部１３０に出力してもよい。

＜数値制御装置１０の検知処理＞
　次に、図６を参照しながら、数値制御装置１０の検知処理の流れを説明する。
　図６は、数値制御装置１０の検知処理について説明するフローチャートである。ここで示すフローは、加工プログラムが実行される度に繰り返し実行される。

　ステップＳ１において、測定部１３０は、電源２２に配置された図示しない電流計を用いてメモリ１２の消費電流をサンプリング周期で測定し、電源２３に配置された図示しない電流計を用いてＣＰＵ１３の消費電流をサンプリング周期で測定する。

　ステップＳ２において、検知部１３１は、ステップＳ１においてサンプリング周期で対応付けて測定されたメモリ１２の消費電流と、予めメモリ１２に記録されたメモリ１２の消費電流のモデル波形のうちステップＳ１でメモリ１２の消費電流が測定されたサンプリング周期に対応する消費電流との差分の絶対値を加算する。

　ステップＳ３において、検知部１３１は、ステップＳ１において測定されたＣＰＵ１３の消費電流と、予めメモリ１２に記録されたＣＰＵ１３の消費電流のモデル波形のうちステップＳ１でＣＰＵ１３の消費電流が測定されたサンプリング周期に対応する消費電流との差分の絶対値を加算する。
　なお、ステップＳ２とステップＳ３との処理は、ステップＳ３の処理がステップＳ２の処理より先に実行されてもよく、並列に実行されてもよい。

　ステップＳ４において、検知部１３１は、ステップＳ２で加算したメモリ１２の加算値及びステップＳ３で加算したＣＰＵ１３の加算値それぞれが判定閾値α、βを超過したか否かを判定する。メモリ１２の加算値及びＣＰＵ１３の加算値それぞれが判定閾値α、βを超過した場合、処理はステップＳ８に進む。一方、メモリ１２の加算値及び／又はＣＰＵ１３の加算値が判定閾値α、β以下の場合、処理はステップＳ５に進む。

　ステップＳ５において、検知部１３１は、２つのメモリ１２及びＣＰＵ１３の加算値が超過しないため、ＤｏＳ攻撃等の不正アクセスなしと判定する。

　ステップＳ６において、検知部１３１は、加算時間が一定期間Ｔ以上か否かを判定し、加算時間が一定期間Ｔ以上の場合、加算時間及びメモリ１２とＣＰＵ１３との加算値を「０」にリセットする。

　ステップＳ７において、検知部１３１は、加工プログラムの実行が終了したか否かを判定する。加工プログラムの実行が終了した場合、数値制御装置１０は検知処理を終了する。一方、加工プログラムの実行が終了していない場合、処理はステップＳ１に戻る。

　ステップＳ８において、検知部１３１は、２つのメモリ１２及びＣＰＵ１３の加算値が超過したため、ＤｏＳ攻撃等の不正アクセスありと判定する。

　ステップＳ９において、動作制御部１３２は、数値制御装置１０をネットワーク２０から遮断する。そして、動作制御部１３２は、加工プログラムを停止し、ＤｏＳ攻撃等の不正アクセスを検知したというログをメモリ１２に記録する。また、動作制御部１３２は、数値制御装置１０又は工作機械（図示しない）の表示部に当該不正アクセスを検知したというメッセージ等を表示（通知）する。そして、数値制御装置１０は検知処理を終了する。

　以上により、一実施形態に係る数値制御装置１０は、実際に動作するメモリ１２及びＣＰＵ１３の消費電流が変化することを利用することにより、認知されていない未知の脆弱性を利用したＤｏＳ攻撃等のリソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセスを容易に検知することができる。
　また、数値制御装置１０は、経年劣化が少ないメモリ１２等の電子部品と、経年劣化が多いＣＰＵ１３等の電子部品と、の物理状態を測定することにより、経年劣化による電子部品の物理状態の変化が生じても、ＤｏＳ攻撃等の不正アクセスの誤判定を防ぐことができる。

　以上、一実施形態について説明したが、数値制御装置１０は、上述の実施形態に限定されるものではなく、目的を達成できる範囲での変形、改良等を含む。

＜変形例１＞
　一実施形態では、測定部１３０は、メモリ１２及びＣＰＵ１３の消費電流をサンプリング周期で測定したが、これに限定されない。例えば、測定部１３０は、メモリ１２及びＣＰＵ１３の消費電力やメモリ１２及びＣＰＵ１３のジャンクション温度をサンプリング周期で測定してもよい。
　例えば、消費電力の場合、メモリ１２及びＣＰＵ１３に電力を供給する電源２２、２３は一般的に定電圧電源であり電圧Ｖは一定であることから、消費電力Ｐは、Ｐ＝Ｖ×Ｉの関係から消費電流Ｉと同様の変化を示す。これにより、検知部１３１は、消費電流の場合と同様に、測定部１３０により測定されたメモリ１２及びＣＰＵ１３の消費電力を用いて、ＤｏＳ攻撃等の不正アクセスを検知することができる。
　また、ジャンクション温度の場合、メモリ１２やＣＰＵ１３を含む電子部品で消費された電力によって電子部品が発熱するため、ジャンクション温度Ｔｊは、Ｔｊ＝Ｐ×Ｒ_ＪＡ＋Ｔａの関係から消費電力Ｐ（すなわち消費電流Ｉ）と同様の変化を示す。なお、Ｒ_ＪＡは電子部品の熱抵抗を示し、Ｔａは周囲温度を示す。これにより、検知部１３１は、消費電流の場合と同様に、測定部１３０により測定されたメモリ１２及びＣＰＵ１３のジャンクション温度を用いて、ＤｏＳ攻撃等の不正アクセスを検知することができる。
　あるいは、測定部１３０は、メモリ１２の消費電流を測定しＣＰＵ１３のジャンクション温度を測定する等、電子部品毎に異なる物理状態（消費電流、消費電力、ジャンクション温度等）をサンプリング周期で測定してもよい。

＜変形例２＞
　また例えば、上述の実施形態では、検知部１３１は、メモリ１２及びＣＰＵ１３それぞれの加算値が判定閾値α、βを超過した場合、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定したが、これに限定されない。
　例えば、数値制御装置１０が過剰アクセス等を受けている場合、先にＣＰＵ１３の処理負荷及び消費電流が増大し、続いてメモリ１２の消費電流が増大する。そこで、検知部１３１は、ＣＰＵ１３の加算値が判定閾値βを超過し、予め設定された一定時間（例えば、１秒等）内にメモリ１２の加算値が判定閾値αを超過したら、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定するようにしてもよい。
　あるいは、測定部１３０は、外部Ｉ／Ｆ１１、メモリ１２、ＣＰＵ１３、ＡＳＩＣ１４等の３つ以上の電子部品の物理状態を測定している場合、検知部１３１は、２つ以上の電子部品の加算値が判定閾値を超過した場合、数値制御装置１０がＤｏＳ攻撃等の不正アクセスを受けていると判定するようにしてもよい。なお、この場合、加算値が判定閾値を超過した２つ以上の電子部品の少なくとも１つは、経年劣化が少ない外部Ｉ／Ｆ１１やメモリ１２等である必要がある。
　そうすることで、数値制御装置１０は、ＤｏＳ攻撃等の不正アクセスの誤判定を防ぐことができる。

＜変形例３＞
　また例えば、上述の実施形態では、検知部１３１は、メモリ１２及びＣＰＵ１３毎に加工プログラムが実行されている期間において測定部１３０によりサンプリング周期に対応付けて測定された消費電流と、メモリ１２に記録されたモデル波形のうち当該消費電流が測定されたサンプリング周期に対応する消費電流との差分の絶対値を加工プログラムの実行期間の一定期間Ｔ毎に加算したが、これに限定されない。例えば、検知部１３１は、メモリ１２及びＣＰＵ１３毎に待機中において測定部１３０によりサンプリング周期に対応付けて測定された消費電流と、メモリ１２に記録されたモデル波形のうち当該消費電流が測定されたサンプリング周期に対応する消費電流との差分の絶対値を待機中の一定期間Ｔ毎に加算して、メモリ１２及びＣＰＵ１３の加算値が判定閾値α、βを超過したか否かを判定することにより、ＤｏＳ攻撃等の不正アクセスを検知してもよい。
　すなわち、例えば、加工対象のワークの交換や、加工プログラムの変更等の待機中（未加工）であっても、数値制御装置１０（ＣＰＵ１３）はオペレーティング等のベースとなるプログラムを実行していることから、測定部１３０は、待機中のメモリ１２及びＣＰＵ１３の消費電流をサンプリング周期で測定でき、待機中のメモリ１２及びＣＰＵ１３の消費電流のモデル波形をメモリ１２に記録することができる。
　図７は、待機中のモデル波形の一例を示す図である。
　これにより、検知部１３１は、加工プログラムの実行期間の場合と同様に、待機中においても、メモリ１２及びＣＰＵ１３の測定部１３０によりサンプリング周期に対応付けて測定された消費電流と、図７の待機中のメモリ１２及びＣＰＵ１３の消費電流のモデル波形とを用いて、ＤｏＳ攻撃等の不正アクセスを検知することができる。

＜変形例４＞
　また例えば、上述の実施形態では、検知部１３１は、メモリ１２及びＣＰＵ１３の消費電流に基づいてＤｏＳ攻撃等の不正アクセスを検知したが、これに限定されない。例えば、検知部１３１は、経年劣化が少ない外部Ｉ／Ｆ１１等の電子部品の消費電流、消費電力、又はジャンクション温度と、経年劣化が多いＡＳＩＣ１４等の電子部品の消費電流、消費電力、又はジャンクション温度と、に基づいてＤｏＳ攻撃等の不正アクセスを検知してもよい。

　なお、一実施形態における数値制御装置１０に含まれる各機能は、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。

　プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（Ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌｅ　ｍｅｄｉｕｍ）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（Ｔａｎｇｉｂｌｅ　ｓｔｏｒａｇｅ　ｍｅｄｉｕｍ）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば、光磁気ディスク）、ＣＤ－ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Ｐｒｏｇｒａｍｍａｂｌｅ　ＲＯＭ）、ＥＰＲＯＭ（Ｅｒａｓａｂｌｅ　ＰＲＯＭ）、フラッシュＲＯＭ、ＲＡＭ）を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（Ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ　ｒｅａｄａｂｌｅ　ｍｅｄｉｕｍ）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は、無線通信路を介して、プログラムをコンピュータに供給できる。

　なお、記録媒体に記録されるプログラムを記述するステップは、その順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。

　以上を換言すると、本開示の制御装置及び制御方法は、次のような構成を有する各種各様の実施形態を取ることができる。

　（１）本開示の数値制御装置１０は、産業機械を制御し外部機器と接続可能な制御装置であって、２つ以上の電子部品の物理状態を測定周期で測定する測定部１３０と、正常状態において任意の動作プログラムが実行された期間及び／又は待機中の電子部品それぞれの物理状態を測定周期に対応付けてモデル波形として記録するメモリ１２と、電子部品毎に任意の動作プログラムが実行された期間又は待機中において測定部１３０により測定周期に対応付けて測定された物理状態と、メモリ１２に記録されたモデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、任意の動作プログラムの実行期間又は待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセスに対する予め定められた電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知部１３１と、を備える。
　この数値制御装置１０によれば、ＤｏＳ攻撃等のリソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセスを容易に検知することができる。

　（２）　（１）に記載の数値制御装置１０において、電子部品の少なくとも１つは、経年劣化が少ない電子部品であってもよい。
　そうすることで、数値制御装置１０は、電子部品の経年劣化による、ＤｏＳ攻撃等の不正アクセスの誤検知を防ぐことができる。

　（３）　（１）に記載の数値制御装置１０において、電子部品の少なくとも１つは、ＣＰＵ１３を含んでもよい。
　そうすることで、数値制御装置１０は、主要な処理を担うＣＰＵ１３を含めることにより、ＤｏＳ攻撃等の不正アクセスを精度良く検知することができる。

　（４）　（１）に記載の数値制御装置１０において、物理状態は、電子部品の消費電流であってもよい。
　そうすることで、数値制御装置１０は、精度良くＤｏＳ攻撃等の不正アクセスを検知することができる。

　（５）　（１）に記載の数値制御装置１０において、物理状態は、電子部品の消費電力であってもよい。
　そうすることで、数値制御装置１０は、（４）と同様の効果を奏することができる。

　（６）　（１）に記載の数値制御装置１０において、物理状態は、電子部品のジャンクション温度であってもよい。
　そうすることで、数値制御装置１０は、（４）と同様の効果を奏することができる。

　（７）本開示の制御方法は、外部機器と接続可能な制御装置による産業機械の制御方法であって、２つ以上の電子部品の物理状態を測定周期で測定する測定ステップと、正常状態において任意の動作プログラムが実行された期間及び／又は待機中の電子部品それぞれの物理状態を測定周期に対応付けてモデル波形として記録する記録ステップと、電子部品毎に任意の動作プログラムが実行された期間又は待機中において測定周期に対応付けて測定された物理状態と、記録されたモデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、任意の動作プログラムの実行期間又は待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて数値制御装置１０やネットワーク２０の稼働を妨害する不正アクセスに対する予め定められた電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知ステップと、を備える。
　この制御方法によれば、（１）と同様の効果を奏することができる。

　１　制御システム
　１０　数値制御装置
　１１　外部Ｉ／Ｆ
　１２　メモリ
　１３　ＣＰＵ
　１３０　測定部
　１３１　検知部
　１３２　動作制御部
　１４　ＡＳＩＣ
　２０　ネットワーク
　２１～２４　電源

Claims

　産業機械を制御し外部機器と接続可能な制御装置であって、
　２つ以上の電子部品の物理状態を測定周期で測定する測定部と、
　正常状態において任意の動作プログラムが実行された期間及び／又は待機中の前記電子部品それぞれの物理状態を前記測定周期に対応付けてモデル波形として記録する記録部と、
　前記電子部品毎に前記任意の動作プログラムが実行された期間又は前記待機中において前記測定部により前記測定周期に対応付けて測定された前記物理状態と、前記記録部に記録された前記モデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、前記任意の動作プログラムの実行期間又は前記待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて前記制御装置やネットワークの稼働を妨害する不正アクセスに対する予め定められた前記電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知部と、
　を備える制御装置。
　前記電子部品の少なくとも１つは、経年劣化が少ない電子部品である、請求項１に記載の制御装置。
　前記電子部品の少なくとも１つは、プロセッサを含む、請求項１に記載の制御装置。
　前記物理状態は、前記電子部品の消費電流である、請求項１に記載の制御装置。
　前記物理状態は、前記電子部品の消費電力である、請求項１に記載の制御装置。
　前記物理状態は、前記電子部品のジャンクション温度である、請求項１に記載の制御装置。
　外部機器と接続可能な制御装置による産業機械の制御方法であって、
　２つ以上の電子部品の物理状態を測定周期で測定する測定ステップと、
　正常状態において任意の動作プログラムが実行された期間及び／又は待機中の前記電子部品それぞれの物理状態を前記測定周期に対応付けてモデル波形として記録する記録ステップと、
　前記電子部品毎に前記任意の動作プログラムが実行された期間又は前記待機中において前記測定周期に対応付けて測定された前記物理状態と、記録された前記モデル波形のうち当該物理状態が測定された測定周期に対応する物理状態との差分の絶対値を、前記任意の動作プログラムの実行期間又は前記待機中の一定期間毎に加算し、リソースに過剰な負荷をかけて前記制御装置やネットワークの稼働を妨害する不正アクセスに対する予め定められた前記電子部品毎の判定閾値を２つ以上の電子部品の加算した値が超過したか否かを判定する検知ステップと、
　を備える制御方法。