WO2024033972A1

WO2024033972A1 - プログラマブルコントローラ、例外アクセス学習方法及びプログラム

Info

Publication number: WO2024033972A1
Application number: PCT/JP2022/030279
Authority: WO
Inventors: 正隆橋下
Original assignee: 三菱電機株式会社
Priority date: 2022-08-08
Filing date: 2022-08-08
Publication date: 2024-02-15
Also published as: JP7258257B1

Abstract

ＰＬＣ（１００）は、ネットワーク（ＮＷ）を介して外部からのアクセスを受け付けて通信する通信部（１１）と、通信部（１１）によって受け付けられたアクセスの履歴から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習する学習部（１５）と、学習部（１５）によって学習されたモデルを用いて、通信部（１１）によって受け付けられた新たなアクセスから例外アクセスを検知する検知部（１６）と、検知部（１６）によって検知された例外アクセスを処理する処理部（１８）と、を備える。

Description

プログラマブルコントローラ、例外アクセス学習方法及びプログラム

　本開示は、プログラマブルコントローラ、例外アクセス学習方法及びプログラムに関する。

　近年、ＦＡの現場において活用されるネットワークを含むシステムのセキュリティについて注目されており、関連する技術も提案されている（例えば、特許文献１を参照）。特許文献１には、ＰＬＣ（Programmable Logic Controller）の脆弱性を利用された攻撃に対処するためのセキュリティパッチについて記載されている。

特表２０１９－５２７８７７号公報

　特許文献１の技術では、例えばデータの単なる読み出し又は書き込みのように、ＰＬＣの脆弱性とは関係のないアクセスを悪用したＤｏＳ（Denial of Service）のような攻撃手法への対処については何ら考慮されていない。このようなアクセスが許可される状況では、結果的に攻撃者にＰＬＣ内のデータを読み取られ、あるいは不正なデータが書き込まれてしまい、ＰＬＣが誤作動を起こすおそれもある。したがって、不正なアクセスに対するＰＬＣの耐性を向上させる余地がある。

　本開示は、上述の事情の下になされたもので、不正なアクセスに対するＰＬＣの耐性を向上させることを目的とする。

　上記目的を達成するため、本開示のプログラマブルコントローラは、ネットワークを介して外部からのアクセスを受け付けて通信する通信手段と、通信手段によって受け付けられたアクセスの履歴から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習する学習手段と、学習手段によって学習されたモデルを用いて、通信手段によって受け付けられた新たなアクセスから例外アクセスを検知する検知手段と、検知手段によって検知された例外アクセスを処理する処理手段と、を備える。

　本開示によれば、検知手段が例外アクセスを検知して、処理手段が例外アクセスを処理する。不正なアクセスは、通常の運用において発生するアクセスに比して発生頻度が低いため、例外アクセスを処理することで不正なアクセスに対処することができる。したがって、不正なアクセスに対するＰＬＣの耐性を向上させることができる。

実施の形態１に係るＰＬＣシステムの構成を示す図実施の形態１に係るＦＡ装置のハードウェア構成を示す図実施の形態１に係る記憶部に記憶される情報の一例を示す図実施の形態１に係る共有部によって共有されるブロックを示す図実施の形態１に係るブロックの構成を示す第２の図実施の形態１に係る学習部による学習について説明するための図実施の形態１に係るＰＬＣ処理を示すフローチャート実施の形態１に係るアクセス情報記録処理を示すフローチャート実施の形態１に係る共有処理を示すフローチャート実施の形態１に係るノード間の通信を示す図実施の形態１に係る仮トランザクション生成処理を示すフローチャート実施の形態１に係る依頼ノード処理を示すフローチャート実施の形態１に係る受信ノード処理を示すフローチャート実施の形態１に係る管理ノード処理を示すフローチャート実施の形態１に係る学習処理を示すフローチャート実施の形態１に係る検知処理を示すフローチャート実施の形態２に係るアクセス情報を示す図実施の形態３に係るアクセス情報を示す図

　以下、本開示の実施の形態に係るデータ収集システムについて、図面を参照しつつ詳細に説明する。

　実施の形態１．
　本実施の形態に係るＰＬＣ（Programmable Logic Controller）システム１０００は、工場においてネットワークを介して機器を制御する制御システムとして構築される。ＰＬＣシステム１０００は、例えば、製造ライン、加工ライン、検査ライン、その他の処理工程を実施するためのＦＡシステムである。ＰＬＣシステム１０００では、各装置が、外部からのアクセスを記録して分散型台帳の形式で共有し、例外的なアクセスを判別するためのモデルを、共有した記録に基づいて学習する。そして、学習されたモデルを用いて例外的なアクセスが検知されると、当該アクセスに対する処理が実行される。

　ＰＬＣシステム１０００は、図１に示されるように、ネットワークＮＷを介して互いに接続されるＰＬＣ１０１，１０２，１０３と、ＰＬＣ１０１のユーザインタフェース端末として機能する支援装置２０と、を有する。ネットワークＮＷは、産業用ネットワークであってもよいし、情報ネットワークであってもよい。ネットワークＮＷでは、例えば、ＴＣＰ（Transmission Control Protocol）／ＩＰ（Internet Protocol）に従ってパケットが伝送される。支援装置２０及びＰＬＣ１０１は、ＵＳＢ（Universal Serial Bus）ケーブルのような通信線、又はＬＡＮ（Local Area Network）のようなネットワークを介して接続される。

　ＰＬＣ１０１，１０２，１０３はそれぞれ、同等の構成要素を有し、同等の機能を発揮する。図１では、ＰＬＣ１０１の構成が詳細に示されており、ＰＬＣ１０２，１０３の構成は簡略化されている。以下では、ＰＬＣ１０１，１０２，１０３を区別することなくＰＬＣ１００と表記することがある。

　ＰＬＣ１００は、ラダープログラムに代表される制御プログラムを実行することにより不図示の機器を制御する制御装置である。ＰＬＣ１００は、他のＰＬＣ１００と協調して機器を制御してもよい。例えば、ＰＬＣ１０１が、センサによるセンシング結果を取得して、このＰＬＣ１０１又はＰＬＣ１０２が、センシング結果に基づく動作指令をアクチュエータに出力することで、ベルトコンベア上のワークが搬送される。ＰＬＣ１００は、プログラマブルコントローラの一例に相当する。

　支援装置２０は、産業用ＰＣ（Personal Computer）であって、ＰＬＣ１００に実行させる制御プログラムを作成及び編集してＰＬＣ１００に書き込むためのエンジニアリングツールと呼ばれるアプリケーションソフトウェアを有する。

　ＰＬＣ１００及び支援装置２０はそれぞれ、コンピュータとして機能するためのハードウェア要素によって構成される。詳細には、図２に示されるように、ＰＬＣ１００及び支援装置２０のそれぞれに相当するＦＡ装置３０は、プロセッサ３１と、主記憶部３２と、補助記憶部３３と、入力部３４と、出力部３５と、通信部３６と、を有する。主記憶部３２、補助記憶部３３、入力部３４、出力部３５及び通信部３６はいずれも、内部バス３７を介してプロセッサ３１に接続される。

　プロセッサ３１は、処理回路としてのＣＰＵ（Central Processing Unit）を含む。プロセッサ３１は、補助記憶部３３に記憶されるプログラムＰ１を実行することにより、種々の機能を実現して、後述の処理を実行する。なお、支援装置２０のプログラムＰ１は、上述のエンジニアリングツールに相当する。また、ＰＬＣ１００のプロセッサ３１は、プログラムＰ１に加えて、上述の制御プログラムを実行する。

　主記憶部３２は、ＲＡＭを含む。主記憶部３２には、補助記憶部３３からプログラムＰ１がロードされる。そして、主記憶部３２は、プロセッサ３１の作業領域として用いられる。

　補助記憶部３３は、ＥＥＰＲＯＭ（Electrically Erasable Programmable Read-Only Memory）及びＨＤＤ（Hard Disk Drive）に代表される不揮発性メモリを含む。補助記憶部３３は、プログラムＰ１の他に、プロセッサ３１の処理に用いられる種々のデータを記憶する。補助記憶部３３は、プロセッサ３１の指示に従って、プロセッサ３１によって利用されるデータをプロセッサ３１に供給する。また、補助記憶部３３は、プロセッサ３１から供給されたデータを記憶する。

　入力部３４は、ハードウェアスイッチ、入力キー、キーボード及びポインティングデバイスに代表される入力デバイスを含む。入力部３４は、ＦＡ装置３０のユーザによって入力された情報を取得して、取得した情報をプロセッサ３１に通知する。

　出力部３５は、ＬＥＤ（Light Emitting Diode）、ＬＣＤ（Liquid Crystal Display）及びスピーカに代表される出力デバイスを含む。出力部３５は、プロセッサ３１の指示に従って種々の情報をユーザに提示する。

　通信部３６は、外部の装置と通信するための通信インタフェース回路を含む。通信部３６は、外部から信号を受信して、この信号により示されるデータをプロセッサ３１へ出力する。また、通信部３６は、プロセッサ３１から出力されたデータを示す信号を外部の装置へ送信する。なお、図２では１つの通信部３６が代表的に示されているが、ＦＡ装置３０は、複数の通信部３６を有してもよい。例えば、ＰＬＣ１０１であるＦＡ装置３０は、支援装置２０と通信するための通信部３６と、ネットワークＮＷを介して通信するための通信部３６と、を別個に有してもよい。

　上述のハードウェア構成が協働することにより、ＰＬＣ１００及び支援装置２０は、種々の機能を発揮する。詳細には、ＰＬＣ１０１は、図１に示されるように、その機能として、ネットワークＮＷを介して外部からのアクセスを受け付けて通信する通信部１１と、通信部１１によって受信されたパケットを加工してアクセスに関するアクセス情報を生成する加工部１２と、アクセス情報を蓄積して記憶する記憶部１３と、アクセス情報をＰＬＣ１０２，１０３と共有する共有部１４と、アクセス情報に基づいて例外的なアクセスを判別するためのモデルを学習する学習部１５と、学習されたモデルに基づいて例外的なアクセスを検知する検知部１６と、例外的なアクセスをユーザに報知する報知部１７と、例外的なアクセスを処理する処理部１８と、を有する。

　通信部１１は、主としてＰＬＣ１０１のプロセッサ３１及び通信部３６の協働により実現される。通信部１１によるアクセスの受け付けは、ネットワークＮＷを介してＰＬＣ１０１自体が宛先として指定されたパケットを受信することを意味する。図１において、通信部１１にアクセスする装置としてＰＬＣ１０２，１０３が示されているが、不図示の装置がネットワークＮＷを介して通信部１１にアクセスし得る。また、通信部１１は、必要に応じてパケットをネットワークＮＷへ送信する。通信部１１は、ＰＬＣ１００において、ネットワークを介して外部からアクセスを受け付ける通信手段の一例に相当する。

　加工部１２は、主としてＰＬＣ１０１のプロセッサ３１によって実現される。加工部１２は、通信部１１からパケットの提供を受けて、当該パケットを加工して、通信部１１へのアクセスに関するアクセス情報を生成する。

　アクセス情報は、アクセスをした通信装置をネットワークＮＷ上で識別するための識別情報と、アクセスがなされた時刻及び当該時刻を含む予め定められた時間区分の少なくとも一方と、を含む。例えば、アクセス情報は、図３に示される送信アクセス情報１３１を構成する１つの行に相当するレコードであって、アクセスの時刻としてのパケット受理日時と、識別情報としての送信元ＩＰアドレスと、パケットで指定されるポート番号と、受理日時を含む秒単位の時間区分と、アクセスの頻度に相当する速度と、を関連付けて示す。

　時間区分の長さは、図３の例では１秒間であるが、これには限定されず、任意に変更してもよい。なお、図３中の「２０２２０１１８－１３１３１０」は、２０２０年１月１８日の１３時１３分１０秒から１１秒までの１秒間の区間を表す。速度は、時間区分において発生したアクセスで受信されたパケットのサイズをｂｐｓ（bit per second）単位で示す。時間区分の長さが１秒間であるため、速度は、図３ではパケットのサイズに等しい。ここで、１つの時間区分において受信されたパケットのサイズは、パケットを構成する各ビット値の通信部１１によって受信された合計に等しい。すなわち、速度は、１つの時間区分において各ビット値のアクセスが発生した頻度に相当するといえる。なお、１つのパケットの受信が１つの時間区分内で完了しない場合も有り得るが、当該パケットを構成するすべてのビット値が、当該パケットの受理日時において受信されたものとして扱ってもよい。

　記憶部１３は、主としてＰＬＣ１０１の主記憶部３２及び補助記憶部３３の少なくとも一方によって実現される。記憶部１３は、図３に示されるように、加工部１２によって生成されたアクセス情報の集合である送信アクセス情報１３１と、ＰＬＣ１０２，１０３によって生成されてＰＬＣ１０２，１０３から受信される受信アクセス情報１３２と、をアクセスの履歴として記憶する。

　送信アクセス情報１３１は、ＰＬＣ１００間で共有するために、ＰＬＣ１０１からＰＬＣ１０２，１０３に対して送信される。受信アクセス情報１３２は、ＰＬＣ１０１以外のＰＬＣ１０２，１０３へのアクセスを示す情報であって、ＰＬＣ１００間で共有するために、ＰＬＣ１０１によってＰＬＣ１０２，１０３から受信される。送信アクセス情報１３１及び受信アクセス情報１３２においては、図３に示されるようにアクセス情報に番号が付与されてもよい。

　送信アクセス情報１３１は、第１アクセス情報の一例に相当し、受信アクセス情報１３２は、第２アクセス情報の一例に相当する。

　図１に戻り、共有部１４は、主としてＰＬＣ１０１のプロセッサ３１及び通信部３６の協働により実現される。共有部１４は、記憶部１３に記憶される送信アクセス情報１３１及び受信アクセス情報１３２を、ＰＬＣ１０２，１０３と分散型台帳の形式で共有する。詳細には、共有部１４は、図４に示されるように、ブロックヘッダ４１及びトランザクション部４２を含むブロック４０が、１つ前のブロック４０と連結して順次生成される形式で、情報を共有する。

　ブロックヘッダ４１は、図５に示されるように、前回生成されたブロック４０のブロックヘッダ４１のヘッダハッシュ値４１２に等しい前回ヘッダハッシュ値４１１と、ブロックヘッダ４１自体に含めるデータのハッシュ値であるヘッダハッシュ値４１２と、ブロック４０が生成された日時を示す生成日時情報４１３と、を有する。また、トランザクション部４２は、前回のブロック４０のトランザクション部４２の出力アクセス情報４２２を含む入力アクセス情報４２１と、ブロック４０において追加されるアクセス情報が格納される出力アクセス情報４２２と、入力アクセス情報４２１及び出力アクセス情報４２２の署名４２３と、を含む。

　共有すべきアクセス情報を出力アクセス情報４２２として含む新たに連結すべきブロック４０の追加がＰＬＣ１００間で共有されることで、アクセス情報が共有される。詳細には、ＰＬＣ１０１から提供される送信アクセス情報１３１を含むブロック４０が追加されることで、ＰＬＣ１０１の送信アクセス情報１３１をＰＬＣ１０２，１０３が取得し、当該送信アクセス情報１３１がＰＬＣ１０２，１０３に対して共有される。また、ＰＬＣ１０２又はＰＬＣ１０３から提供されるアクセス情報を含むブロックが追加されることで、ＰＬＣ１０２又はＰＬＣ１０３において記録されたアクセス情報をＰＬＣ１０１が取得し、当該アクセス情報が受信アクセス情報１３２としてＰＬＣ１０１によって共有される。

　なお、入力アクセス情報４２１は、前回のブロック４０の出力アクセス情報４２２を加工した情報を含んでもよい。また、入力アクセス情報４２１は、前回のブロック４０のトランザクション部４２のＩＤ（Identifier）及びそのトランザクション部４２に含まれる出力アクセス情報４２２を加工した情報であってもよい。

　共有部１４は、ＰＬＣ１０１の主記憶部３２及び補助記憶部３３の少なくとも一方により、記憶部１３とは異なる記憶装置として機能してもよい。すなわち、共有部１４は、順次連結されるブロック４０を記憶し、このブロック４０のうちの出力アクセス情報４２２を記憶部１３と同期してもよい。

　分散型台帳のブロックを連結する方式としては、プライベートチェーン、コンソーシアムチェーン、及びパブリックチェーンの３種類が知られている。ここで、アクセス情報を外部の第三者に公開したくないユーザがＰＬＣ１００を使用する場面においては多数であり、分散型台帳に参加するＰＬＣ１００を個別に設定可能であるため、プライベートチェーン又はコンソーシアムチェーンを採用することが好ましい。共有部１４は、ＰＬＣ１００において、送信アクセス情報１３１及び受信アクセス情報１３２を分散型台帳の形式で他のプログラマブルコントローラと共有する共有手段の一例に相当する。

　図１に戻り、学習部１５は、主としてＰＬＣ１０１のプロセッサ３１によって実現される。学習部１５は、記憶部１３に記憶されるアクセス情報から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習する。例えば、学習部１５は、個々のアクセス情報から特徴量を抽出して、特徴量の分布を正規分布でフィッティングする。図６には、正規分布のフィッティングによるモデルの学習が模式的に示されている。

　図６の例では、個々のアクセス情報から抽出される第１特徴量及び第２特徴量によって規定されるサンプリング点が塗りつぶされた丸印及び白抜きの丸印で示されている。第１特徴量及び第２特徴量は、例えば、アクセス情報によって示される送信元ＩＰアドレス又は当該ＩＰアドレスのグループ、並びに、ポート番号又は当該ポート番号のグループであってもよいし、アクセス情報から算出される他の任意の特徴量であってもよい。また、これらのサンプリング点をフィッティングした正規分布の３σが領域５０として示されている。通常、多く観測されるアクセスは、領域５０内の塗りつぶされた丸印で示されるサンプリング点５１に対応し、例外的なアクセスは、領域５０外の白抜きの丸印で示されるサンプリング点５２に対応する。ここで、領域５０に含まれるか否かにより例外アクセスを判別することとすれば、領域５０が、例外アクセスを判別するためのモデルに相当する。図６の例では、例外アクセスは、他のアクセスよりも低い頻度で抽出される特徴量を有するアクセスであって、他のアクセスから高い頻度で抽出される特徴量の範囲外の特徴量を有するアクセスといえる。

　なお、学習部１５による学習の手法を任意に変更してもよい。ただし、学習の手法の分類として知られている、教師なし学習、教師あり学習、及び強化学習の３種類のうちの、個々のアクセスが例外アクセスに相当するか否かを知ることができない状況下においても、パラメータのチューニングにより例外アクセスを判別することが可能な教師なし学習を採用することが望ましい。また、通常、ネットワークＮＷを介するアクセスは正常であるものが多く不正アクセスの件数は正常なアクセスと比べて極端に少ないという点でも、教師なし学習が好ましい。例外アクセスか否かの正しいラベルを予め個々のアクセス情報に付与する教師が存在する場合には、教師あり学習が採用されてもよい。また、モデルを適用して例外アクセスを検知した結果としての報酬を設計することができる場合には、強化学習が採用されてもよい。

　また、学習部１５は、時間区分ごとに異なるモデルを学習してもよい。例えば、学習部１５は、図６に例示される第１特徴量を送信元ＩＰアドレスとし、第２特徴量をポート番号として、時間区分ごとに、異なる領域５０をモデルとして学習してもよい。また、学習部１５は、図６に例示される第１特徴量を送信元ＩＰアドレスとし、第２特徴量をポート番号として、時間区分ごとに、異なる領域５０をモデルとして学習してもよい。また、１日間又は１月間のような比較的長い時間区分において生じた複数のアクセスに基づいて、学習部１５が当該時間区分において用いられるモデルを学習し、将来における同一の日付又は暦上の同一の月において当該モデルを用いて例外アクセスが検知されてもよい。また、１分間又は１時間のような比較的短い時間区分において生じるアクセスを１日又は複数日で収集してから学習部１５がモデルを学習した後に、新たなアクセスが生じた時間区分に対応する学習済みモデルを用いて、当該新たなアクセスが例外アクセスであるか否かが判定されてもよい。学習部１５は、ＰＬＣ１００において、例外アクセスを判別するためのモデルを学習する学習手段の一例に相当する。

　図１に戻り、検知部１６は、主としてＰＬＣ１０１のプロセッサ３１によって実現される。検知部１６は、学習部１５によって学習されたモデルを用いて、記憶部１３に記憶されるアクセス情報により示されるアクセスから、例外アクセスを検知する。

　例えば、図６に示される領域５０によって例外アクセスを判別する場合には、過去において生じたアクセスに対応するサンプリング点５２が領域５０外に位置するため、検知部１６は、当該アクセスを例外アクセスとして検知する。また、サンプリング点５２と同様のアクセス又はサンプリング点５２に類似するアクセスが将来において生じたときに、検知部１６は、当該アクセスを例外アクセスとして検知する。ここで、過去は、モデルの学習前を意味し、将来は、モデルの学習後を意味する。サンプリング点５２に類似するアクセスは、図６においては、サンプリング点５２の近傍に位置する不図示の新たな点に対応する。さらに、検知部１６は、過去において生じたいずれのアクセスとも類似しないサンプリング点５３についても、領域５０を用いて例外アクセスとして検知する。このように、モデルは、未知のアクセスについても例外アクセスであるか否かを判別可能であることが好ましい。

　なお、アクセスに対応するサンプリング点の分布に基づいて、他のアクセスより頻度が少ない例外アクセスを判別するためのモデルを例示したが、これには限定されない。例えば、図３に示される速度に対応する重みをサンプリング点に乗じてもよい。また、速度としての頻度を特徴量として、当該特徴量が閾値より小さいアクセスを例外アクセスとして判別してもよい。特徴量の種類は、１つであってもよいし、３つより多くてもよい。検知部１６は、ＰＬＣ１００において、通信手段によって受け付けられた新たなアクセスから例外アクセスを検知する検知手段の一例に相当する。

　図１に戻り、報知部１７は、主としてＰＬＣ１０１のプロセッサ３１及び出力部３５の協働により実現される。報知部１７は、検知部１６による検知の結果をユーザインタフェースに対して報知することにより、当該ユーザインタフェースを介してユーザに報知してもよい。ここで、ユーザインタフェースは、出力部３５を構成する出力デバイスであってもよいし、ユーザインタフェース端末としての支援装置２０であってもよい。

　処理部１８は、主としてＰＬＣ１０１のプロセッサ３１によって実現される。処理部１８は、検知部１６による検知の結果に応じて、通信部３６によって受信されたパケットを処理する。詳細には、処理部１８は、例外アクセスでないアクセスを透過して、当該アクセスに基づく処理を開始する。例えば、処理部１８は、ＰＬＣ１０１に保存されているデータの読み出しを要求するアクセスに基づいて、当該データを読み出して通信部１１に応答させる。また、処理部１８は、ＰＬＣ１０１へのデータの書き込みを要求するアクセスに基づいて、当該データを書き込んで、書き込み完了の旨を通信部１１に応答させる。

　一方、処理部１８は、例外アクセスを遮断する。詳細には、処理部１８は、データの読み出しを要求する例外アクセスに対して、データを読み出し及び応答の双方をすることなく、パケットを破棄する。また、データの書き込みを要求する例外アクセスに対して、データを書き込むことなく、パケットを破棄する。さらに、処理部１８は、例外アクセスがあったことを記録してもよいし、報知部１７に報知させてもよい。処理部１８は、ＰＬＣ１００において、検知手段によって検知された例外アクセスを処理する処理手段の一例に相当する。

　支援装置２０は、ＰＬＣ１０１の学習部１５による学習のパラメータを設定するための設定部２１と、共有部１４によって共有されている情報をユーザに対して表示する表示部２２と、を有する。

　設定部２１は、主として支援装置２０のプロセッサ３１及び通信部３６によって実現される。設定部２１は、学習速度及び例外アクセスの判別精度に関するパラメータをユーザから受け付けて学習部１５に設定する。表示部２２は、主として支援装置２０の出力部３５によって実現される。

　続いて、上述の機能を有するＰＬＣ１００によって実行されるＰＬＣ処理について、図７～１６を用いて説明する。

　図７に示されるＰＬＣ処理は、ＰＬＣ１００の電源が投入されることで開始する。なお、ＰＬＣ処理に含まれる各ステップの関係を明確にするために、ステップが順に実行されるものとして図示しているが、これには限定されず、各ステップが並列に実行されてもよい。

　ＰＬＣ処理では、ＰＬＣ１００が、学習部１５に対するパラメータを支援装置２０から受け付けて（ステップＳ１）、学習部１５に設定する。パラメータは、定量的な値であってもよいし、学習速度についての「速く」又は「緩やか」という分類、若しくは判別精度についての「緩く」又は「厳しく」という分類のような定性的な値であってもよい。そして、ＰＬＣ１００の外部からのアクセスに基づいてアクセス情報を記録するアクセス情報記録処理と（ステップＳ２）、アクセス情報を共有する共有処理と（ステップＳ３）、アクセス情報に基づいてモデルを学習する学習処理と（ステップＳ４）、モデルを用いて例外アクセスを検知する検知処理と（ステップＳ５）、を繰り返し実行する。以下、これらステップＳ２～Ｓ５の処理の詳細について順に説明する。

　ステップＳ２のアクセス情報記録処理では、図８に示されるように、ＰＬＣ１００が保持している記録トリガがＯＮ状態であるか否かをプロセッサ３１が判定する（ステップＳ２１）。記録トリガは、ＯＮ状態又はＯＦＦ状態の値を有するフラグであって、ユーザにより又は外部のアプリケーションソフトウェアにより値が設定される。記録トリガがＯＮ状態でないと判定された場合（ステップＳ２１；Ｎｏ）、ＰＬＣ１００による処理は、図８のアクセス情報記録処理から図７のＰＬＣ処理に戻る。

　一方、記録トリガがＯＮ状態であると判定された場合（ステップＳ２１；Ｙｅｓ）、加工部１２は、通信部１１によって通信データとして受信されたパケットの受理日時から当該受理日時を含む時間区分を演算する（ステップＳ２２）。図３に示されたように時間区分の長さが１秒間である場合には、加工部１２は、受理日時の秒数の小数点以下を切り捨てればよい。また、受理日時の単位と時間区分の単位が異なる場合には、加工部１２は、単位の換算も実行する。

　次に、加工部１２は、アクセス速度を演算する（ステップＳ２３）。図３の例では、加工部１２は、パケットのサイズを速度として求める。そして、加工部１２は、ステップＳ２２で算出された時間区分とステップＳ２３で算出されたアクセス速度に、通信相手の識別情報及びポート番号を追加することでアクセス情報を生成する（ステップＳ２４）。具体的には、加工部１２は、時間区分及びアクセス速度に、パケットの送信元を示すＩＰアドレスとパケットで指定されるポート番号を関連付けたアクセス情報を作成する。

　次に、加工部１２は、ステップＳ２４で生成したアクセス情報を記録する（ステップＳ２５）。具体的には、加工部１２は、生成したアクセス情報を記憶部１３の送信アクセス情報１３１の新たな行データとして追加する。その後、ＰＬＣ１００による処理は、図８のアクセス情報記録処理から図７に示されるＰＬＣ処理に戻る。

　ステップＳ３の共有処理では、図９に示されるように、ＰＬＣ１００が保持している共有トリガがＯＮ状態であるか否かを、共有部１４が判定する（ステップＳ３１）。共有トリガは、ＯＮ状態又はＯＦＦ状態の値を有するフラグであって、ユーザにより又は外部のアプリケーションソフトウェアにより値が設定される。共有トリガがＯＮ状態でないと判定された場合（ステップＳ３１；Ｎｏ）、ＰＬＣ１００による処理は、図９の共有処理から図７のＰＬＣ処理に戻る。

　一方、共有トリガがＯＮ状態であると判定された場合（ステップＳ３１；Ｙｅｓ）、共有部１４は、他のＰＬＣ１００に提供すべきアクセス情報を含む一時的な仮トランザクションを生成する仮トランザクション生成処理と（ステップＳ３２）、仮トランザクションを含むブロックをコミットすることの合意形成を依頼するノードとしての依頼ノード処理と（ステップＳ３３）、合意形成の依頼を受信するノードとしての受信ノード処理と（ステップＳ３４）、合意形成を管理するノードとしての管理ノード処理と（ステップＳ３５）、を実行する。これらの処理は、例えばＰＢＦＴ（Practical Byzantine Fault Tolerance）と呼ばれるアルゴリズムに従う。なお、仮トランザクション生成処理及び依頼ノード処理と、受信ノード処理と、管理ノード処理と、を並列に実行してもよい。ここで、依頼ノード、受信ノード及び管理ノードの関係について、図１０のシーケンス図を参照して説明する。

　図１０において、依頼ノード６１、管理ノード６２及び受信ノード６３はそれぞれ、ネットワークＮＷに接続されるＰＬＣ１００に相当する。複数のＰＬＣ１００のうちの１台のＰＬＣ１００が、新たに分散型台帳にコミットすべきデータが発生したと判断したタイミングで、依頼ノード６１として仮トランザクション生成処理及び依頼ノード処理を実行する。依頼ノード６１以外のＰＬＣ１００のうちの、特定の１台のＰＬＣ１００が、管理ノード６２として管理ノード処理を実行する。依頼ノード６１及び管理ノード６２以外のＰＬＣ１００は、受信ノード６３として受信ノード処理を実行する。このため、ＰＬＣ１００はそれぞれ、タイミングによって依頼ノード及び受信ノードのいずれにも該当し得る。

　管理ノード６２は、特定のＰＬＣ１００が担うものとして予め定められてもよい。例えば、ＰＬＣ１０１を管理ノード６２として予め決定しておき、ＰＬＣ１０１が依頼ノード６１となる場合にはＰＬＣ１０２が管理ノード６２を担うことが予め定められてもよい。また、予め定められたルールに従って依頼ノード６１以外のいずれか１台のＰＬＣ１００が管理ノード６２として都度選択されてもよい。例えば、依頼ノード６１は、ネットワークＮＷを介して通信可能なＰＬＣ１００のうちの、最小の値のＩＰアドレスを有するＰＬＣ１００を管理ノード６２として、当該管理ノード６２に合意形成を依頼してもよい。

　図１０に示されるように、依頼ノード６１は、仮トランザクション生成処理を実行して（ステップＳ３２）、生成した仮トランザクションを管理ノード６２に送信する（ステップＳ３０１）。管理ノード６２は、依頼ノード６１から受信した仮トランザクションを受信ノード６３に配布する（ステップＳ３０２）。

　次に、管理ノード６２及び受信ノード６３はそれぞれ、仮トランザクションに含まれる署名を検証する（ステップＳ３０３）。署名が正しいと判断すると、管理ノード６２及び受信ノード６３はそれぞれ、署名検証結果を依頼ノード６１以外のノードに配布して（ステップＳ３０４）、他のノードから配布された署名検証結果を受信する（ステップＳ３０５）。管理ノード６２及び受信ノード６３がそれぞれ、正しい署名検証結果を送信したノード数が閾値以上であることを確認することにより、管理ノード６２及び受信ノード６３は互いに、管理ノード６２によって仮トランザクションが変更されていないことを検証する。

　次に、管理ノード６２及び受信ノード６３はそれぞれ、仮トランザクションを依頼ノード６１以外のノードに配布して（ステップＳ３０６）、他のノードから配布された仮トランザクションを配布トランザクションとして受信する（ステップＳ３０７）。そして、管理ノード６２及び受信ノード６３はそれぞれ、ステップＳ３０２で受信した仮トランザクションと一致する配布トランザクションの数が閾値以上であることを確認する（ステップＳ３０８）。これにより、管理ノード６２及び受信ノード６３は互いに、受信した仮トランザクションが一致することを確認する。

　次に、管理ノード６２は、仮トランザクションを含むブロックを生成し、管理ノード６２の共有部１４が有する分散型台帳にコミットして（ステップＳ３０９）、コミット結果を依頼ノード６１に通知する（ステップＳ３１０）。同様に、受信ノード６３はそれぞれ、仮トランザクションを含むブロックを生成し、当該受信ノード６３の共有部１４が有する分散型台帳にコミットして（ステップＳ３０９）、コミット結果を依頼ノード６１に通知する（ステップＳ３１０）。

　依頼ノード６１は、コミット結果を通知したノード数が閾値以上であれば、管理ノード６２及び受信ノード６３によってブロックをコミットすることの合意が形成されたと判断し、仮トランザクションを含むブロックを生成して、依頼ノード６１の共有部１４が有する分散型台帳にコミットする（ステップＳ３１１）。これにより、依頼ノード６１、管理ノード６２及び受信ノード６３が互いに、ブロックをコミットしてよいか否かを検証した上で、分散型台帳にブロックがコミットされる。

　続いて、図９に示される仮トランザクション生成処理（ステップＳ３２）、依頼ノード処理（ステップＳ３３）、受信ノード処理（ステップＳ３４）、及び管理ノード処理（ステップＳ３５）それぞれの詳細について順に説明する。

　図１１に示される仮トランザクション生成処理（ステップＳ３２）は、主として依頼ノード６１の共有部１４によって実行される。仮トランザクション生成処理では、共有部１４が、他のノードに送信することにより共有すべきアクセス情報を決定する（ステップＳ３２１）。具体的には、共有部１４は、送信アクセス情報１３１に追加されたアクセス情報のうち、未だ分散型台帳にコミットされていないアクセス情報が一定数以上となったときに、当該アクセス情報を共有すべきアクセス情報として決定する。なお、共有すべきアクセス情報を決定する手法を任意に変更してもよい。例えば、共有部１４は、パケット受理日時を降順にして先頭に格納されている最新の日時のアクセス情報から処理してもよいし、送信アクセス情報１３１においてアクセス情報に付与された番号で昇順または降順にソートし先頭に格納されているアクセス情報から処理してもよい。共有部１４は、送信アクセス情報１３１のうちの予め定められた条件を満たすアクセス情報については、共有すべきアクセス情報から除外してもよい。また、通信部１１への１回のアクセスに基づいてアクセス情報が生成されるたびに、共有部１４は、当該アクセス情報を共有すべきアクセス情報として決定してもよい。

　次に、共有部１４は、生成すべき仮トランザクションの入力アクセス情報４２１として、分散型台帳に記録されている最新のブロック４０の出力アクセス情報４２２を挿入する（ステップＳ３２２）。そして、共有部１４は、ステップＳ３２１で共有すべきことが決定されたアクセス情報を、仮トランザクションの出力アクセス情報４２２として挿入する（ステップＳ３２３）。その後、共有部１４は、ステップＳ３２２で挿入した入力アクセス情報４２１及びステップＳ３２３で挿入した出力アクセス情報４２２についての署名を作成して挿入する（ステップＳ３２４）。署名は、入力アクセス情報４２１及び出力アクセス情報４２２を文字列として連結したものにハッシュ関数を適用して得るハッシュ値であるが、他の手法により得る情報を署名として採用してもよい。これにより、共有部１４は、ステップＳ３２２の入力アクセス情報４２１、ステップＳ３２３の出力アクセス情報４２２、及びステップＳ３２４の署名を含む仮トランザクションを生成する（ステップＳ３２５）。

　図１２に示される依頼ノード処理（ステップＳ３３）は、主として依頼ノード６１の共有部１４によって実行される。依頼ノード処理では、共有部１４が、合意形成を依頼すべき仮トランザクションがあるか否かを判定する（ステップＳ３３１）。仮トランザクションがないと判定された場合（ステップＳ３３１；Ｎｏ）、依頼ノード処理は終了し、ＰＬＣ１００による処理は、図９の共有処理に戻る。

　一方、仮トランザクションがあると判定した場合（ステップＳ３３１；Ｙｅｓ）、共有部１４は、管理ノード６２へ仮トランザクションを送信する（ステップＳ３３２）。このステップＳ３３２は、図１０のステップＳ３０１に対応する。

　次に、共有部１４は、ステップＳ３３２で送信した仮トランザクションが承認されたか否かを判定する（ステップＳ３３３）。具体的には、共有部１４は、仮トランザクションをコミットすることを承認したノード数が閾値以上であるか否かを判定する。このステップＳ３３３は、図１０のステップＳ３１０に対応する。

　次に、共有部１４は、仮トランザクションに付与すべきブロックヘッダ４１を生成して（ステップＳ３３４）、生成したブロックヘッダ４１と、トランザクション部４２としての仮トランザクションと、を含むブロック４０を生成する（ステップＳ３３５）。そして、共有部１４は、生成したブロック４０を分散型台帳にコミットする（ステップＳ３３６）。ステップＳ３３４～Ｓ３３６は、図１０のステップＳ３１１に対応する。

　図１３に示される受信ノード処理（ステップＳ３４）は、主として受信ノード６３の共有部１４によって実行される。受信ノード処理では、共有部１４が、仮トランザクションを受信したか否かを判定する（ステップＳ３４１）。図１０のステップＳ３０２が実行されて管理ノード６２から仮トランザクションが配布された場合に、このステップＳ３４１の判定が肯定される。

　仮トランザクションを受信したと判定した場合（ステップＳ３４１；Ｙｅｓ）、共有部１４は、受信した仮トランザクションの署名が正しいか否かを判定する（ステップＳ３４２）。具体的には、共有部１４は、仮トランザクションに含まれている署名と、仮トランザクションに含まれている入力アクセス情報４２１及び出力アクセス情報４２２から生成した署名と、が一致するか否かを判定し、一致する場合には当該署名が正しいことを確認した旨を依頼ノード６１以外に通知する。そして、共有部１４は、署名が正しいことを通知した他のノード数が閾値以上であるか否かを判定する。ステップＳ３４２は、図１０のステップＳ３０３～Ｓ３０５に対応する。

　仮トランザクションの署名が正しいと判定した場合（ステップＳ３４２；Ｙｅｓ）、共有部１４は、仮トランザクションを依頼ノード６１以外のノードに配布する（ステップＳ３４３）。このステップＳ３４３は、図１０のステップＳ３０６に対応する。

　次に、共有部１４は、仮トランザクションの配布先によってステップＳ３４３と同様のステップが実行された結果として、当該配布先から配布された仮トランザクションを配布トランザクションとして受信する（ステップＳ３４４）。このステップＳ３４４は、図１０のステップＳ３０７に対応する。

　次に、共有部１４は、ステップＳ３４１で受信した仮トランザクションと、ステップＳ３４４で受信した配布トランザクションと、が一致するか否かを判定する（ステップＳ３４５）。具体的には、共有部１４は、ステップＳ３４４で複数の配布先から受信した配布トランザクションそれぞれと、仮トランザクションとを比較して、仮トランザクションと一致する配布トランザクションの数が閾値を超えるか否かを判定する。このステップＳ３４５は、図１０のステップＳ３０８に対応する。

　仮トランザクションと配布トランザクションとが一致すると判定した場合（ステップＳ３４５；Ｙｅｓ）、共有部１４は、ブロックヘッダ４１を生成して仮トランザクションと合わせてブロック４０を生成する（ステップＳ３４６）。そして、共有部１４は、生成したブロック４０を、当該共有部１４の分散型台帳にコミットする（ステップＳ３４７）。これらのステップＳ３４６，Ｓ３４７は、図１０のステップＳ３０９に対応する。

　次に、共有部１４は、依頼ノード６１にコミット内容を送信する（ステップＳ３４８）。コミット内容の送信は、ステップＳ３４７でコミットしたブロック４０の送信であってもよいし、仮トランザクションを承認した旨の通知であってもよい。このステップＳ３４８は、図１０のステップＳ３１０に対応する。その後、ＰＬＣ１００による処理は、図９に示される共有処理に戻る。ステップＳ３４１，Ｓ３４２，Ｓ３４５の判定が否定された場合（ステップＳ３４１；Ｎｏ，ステップＳ３４２；Ｎｏ，ステップＳ３４５；Ｎｏ）、共有部１４が仮トランザクションを承認することなく、ＰＬＣ１００による処理は、図９に示される共有処理に戻る。

　図１４に示される管理ノード処理（ステップＳ３５）は、主として管理ノード６２の共有部１４によって実行される。管理ノード処理では、共有部１４が、当該共有部１４を有するＰＬＣ１００が管理ノードであるか否かを判定する（ステップＳ３５１）。管理ノードであると判定した場合（ステップＳ３５１；Ｙｅｓ）、共有部１４は、仮トランザクションを受信したか否かを判定する（ステップＳ３５２）。図１０のステップＳ３０１が実行された場合には、ステップＳ３５２の判定が肯定される。

　仮トランザクションを受信したと判定した場合（ステップＳ３５２；Ｙｅｓ）、共有部１４は、仮トランザクションを受信ノード６３に配布する（ステップＳ３５３）。このステップＳ３５３は、図１０のステップＳ３０２に対応する。

　ステップＳ３５３以降、共有部１４は、受信ノード処理におけるステップＳ３４２～Ｓ３４８と同様のステップＳ３５４～Ｓ３５１０を実行する。なお、ステップＳ３５１，Ｓ３５２の判定が否定された場合（ステップＳ３５１；Ｎｏ，Ｓ３５２；Ｎｏ）、共有部１４が仮トランザクションを承認することなく、ＰＬＣ１００による処理は、図９に示される共有処理に戻る。

　図９に示されるように、管理ノード処理が終了すると、ＰＬＣ１００による処理は、図７のＰＬＣ処理に戻り、続いて学習処理（ステップＳ４）が実行される。

　ステップＳ４の学習処理では、図１５に示されるように、ＰＬＣ１００が保持している学習トリガがＯＮ状態であるか否かを、学習部１５が判定する（ステップＳ４１）。学習トリガは、ＯＮ状態又はＯＦＦ状態の値を有するフラグであって、ユーザにより又は外部のアプリケーションソフトウェアにより値が設定される。学習トリガがＯＮ状態でないと判定された場合（ステップＳ４１；Ｎｏ）、ＰＬＣ１００による処理は、図１５の学習処理から図７のＰＬＣ処理に戻る。

　一方、学習トリガがＯＮ状態であると判定した場合（ステップＳ４１；Ｙｅｓ）、学習部１５は、未学習のアクセス情報を記憶部１３から読み出す（ステップＳ４２）。具体的には、学習部１５は、過去に学習の対象とされていないアクセス情報を送信アクセス情報１３１及び受信アクセス情報１３２から抽出する。

　次に、学習部１５は、アクセス情報を学習に適した形式に変換する変換処理を実行する（ステップＳ４３）。変換処理は、図６に示される特徴量の抽出であってもよい。また、アクセス情報に含まれる各要素について、その要素の値の範囲が異なるため、各要素の正規化又は標準化を変換処理として実行してもよい。例えば、ＩＰアドレスの値の範囲と、速度として有り得る値の範囲と、の双方を正規化してゼロから１までの範囲に変換してもよい。また，学習データが増加すると学習モデル更新の際の演算量が指数的に増えることがあるため、学習モデル更新時の演算量を抑えるための変換を施してもよい。

　次に、学習部１５は、ステップＳ４３で形式が変換されたアクセス情報に基づいてモデルを更新する（ステップＳ４４）。その後、ＰＬＣ１００による処理は、図１５の学習処理から図７のＰＬＣ処理に戻る。

　ステップＳ５の検知処理では、図１６に示されるように、ＰＬＣ１００が保持している検知トリガがＯＮ状態であるか否かを、検知部１６が判定する（ステップＳ５１）。検知トリガは、ＯＮ状態又はＯＦＦ状態の値を有するフラグであって、ユーザにより又は外部のアプリケーションソフトウェアにより値が設定される。検知トリガがＯＮ状態でないと判定された場合（ステップＳ５１；Ｎｏ）、ＰＬＣ１００による処理は、図１６の検知処理から図７のＰＬＣ処理に戻る。

　一方、検知トリガがＯＮ状態であると判定された場合（ステップＳ５１；Ｙｅｓ）、加工部１２は、通信部１１によって新たに受信された通信データとしてのパケットをアクセス情報に加工して（ステップＳ５２）、記憶部１３に格納する。

　そして、検知部１６は、ステップＳ５２で生成されたアクセス情報に対して、図１５のステップＳ４３と同様の変換処理を施した上で（ステップＳ５３）、学習部１５によって学習されたモデルを適用することにより（ステップＳ５４）、当該アクセス情報により示されるアクセスが例外アクセスであるか否かを判定する（ステップＳ５５）。

　例外アクセスでないと判定された場合（ステップＳ５５；Ｎｏ）、処理部１８は、当該アクセスについて正常アクセス処理を実行する（ステップＳ５６）。例えば、処理部１８は、当該アクセスにより要求されているデータの読み出し又は書き込みを実行する。その後、ＰＬＣ１００による処理は、図１６の検知処理から、図７のＰＬＣ処理に戻る。

　一方、例外アクセスであると判定された場合（ステップＳ５５；Ｙｅｓ）、処理部１８が、この例外アクセスを遮断して（ステップＳ５７）、報知部１７に、例外アクセスがあった旨をユーザインタフェースに報知させる（ステップＳ５８）。その後、ＰＬＣ１００による処理は、図１６の検知処理から、図７のＰＬＣ処理に戻る。

　以上、説明したように、例外アクセスが新たに受け付けられた場合には、処理部１８が、例外アクセスについて通常のアクセスとは異なる処理として、例外アクセスの遮断及びユーザインタフェースへの報知を実行する。このため、例外的に発生する不正なアクセスについては、通常とは異なる処理をすることにより小さな処理負荷で対処することができる。したがって、ＰＬＣシステム１０００において不正なアクセスが発生した場合の可用性を向上させることができる。

　例えば、ネットワークＮＷ上の信頼される装置を予めホワイトリストに登録し、当該装置からのアクセスは正当なものとして扱うＩＰフィルタリングのような既存の手法が知られている。しかしながら、そのような装置が乗っ取られた又は踏み台とされた場合、若しくはＩＰのなりすましによるアクセスには、上述のような既存の手法ではＰＬＣ１００を十分に保護することが難しい。これに対して、アクセスの頻度に着目して例外アクセスに対処すれば、不正なアクセスからＰＬＣ１００を保護することができる。

　また、上述のような既存の手法では、当初設定した内容に従ってアクセスをフィルタリングすることとなる。これに対して、本実施の形態に係るＰＬＣ１００によれば、学習部１５によるモデルの学習が繰り返されるため、ネットワークＮＷで発生するアクセスに適応して例外アクセスを検知することができる。

　また、ＰＬＣ間の合意形成がＰＢＦＴと呼ばれるアルゴリズムに従ってなされる例を説明した。ＰＢＦＴに従えば、分散型台帳は、分散型台帳に参加するノードに障害が発生して当該ノードが分散型台帳を更新することができないという障害、及び、外部の攻撃者によってトランザクションが書き換えられるという障害に対する耐性を有する。また、障害許容ノード数を予め設定し、このノード数から逆算して分散型台帳に参加するノード数を設定してもよい。障害許容ノード数をｆとすると、分散形台帳に参加するノードの数は３ｆ＋１となる必要がある。例えば、ｆが１であれば、図１０に示されるように４つのノードが参加する必要がある。

　なお、アクセス情報が格納される記憶部１３がＰＬＣ１００を構成する例について説明したが、アクセス情報は、ＮＡＳ（Network Attached Storage）及びＰＬＣ１００に挿抜可能なメモリカードのような、ＰＬＣ１００の外部の記憶装置に格納されてもよい。

　また、学習部１５による学習の手法として、上述した手法とは異なる手法を採用してもよい。例えば、比較的演算量が少なく異常の検知が可能なＯｎｅ　Ｃｌａｓｓ　ＳＶＭ（Support Vector Machine）を採用してもよい。将来的に演算リソースの制約がなくなったときにはｋ近傍法又はｋ平均法のような手法を採用してもよい。また、ディープニューラルネットワーク、畳み込みニューラルネットワーク、又はリカレントニューラルネットワークを学習手法として採用してもよい。

　実施の形態２．
　続いて、実施の形態２について、上述の実施の形態１との相違点を中心に説明する。なお、上記実施の形態１と同一又は同等の構成については、同等の符号を用いる。本実施の形態は、検知部１６による検知の結果が共有部１４によって共有される点で、実施の形態１と異なる。

　本実施の形態に係るアクセス情報は、図１７に示されるように、当該アクセス情報を共有するためのブロック４０のヘッダハッシュ値４１２と、当該アクセス情報により示されるアクセスが検知部１６によって例外アクセスとして検知されたか否かを示すフラグと、を含む。図１７において、「０」のフラグは通常のアクセスであることを示し、「１」のフラグは例外アクセスであることを示す。そして、ＰＬＣ１００は、他のＰＬＣ１００において例外アクセスと判定されたアクセスがあったことを、ユーザインタフェースを介して報知する。詳細には、報知部１７が、受信アクセス情報１３２において「１」のフラグを有するアクセス情報がある場合に、当該アクセス情報により示される例外アクセスを報知する。

　以上、説明したように、他のＰＬＣ１００における例外アクセスの検知結果を報知すれば、当該他のＰＬＣ１００に障害が発生した場合であっても、ユーザは、例外アクセスの検知結果を参照することができる。

　実施の形態３．
　続いて、実施の形態３について、上述の実施の形態１との相違点を中心に説明する。なお、上記実施の形態１と同一又は同等の構成については、同等の符号を用いる。本実施の形態は、図１８に示されるように、アクセス情報が、デバイスデータに関する情報を含む点で、上記実施の形態１と異なる。

　ＰＬＣ１００は、通常、デバイスデータと呼ばれるデータを他の装置と共有し、デバイスデータを操作することで機器の制御を実現している。例えば、センサ機器がセンシング結果を示すデバイスデータをＰＬＣ１００と共有することで、センシング結果がＰＬＣ１００に通知され、ＰＬＣ１００が、動作指令を示すデバイスデータをアクチュエータと共有することで、当該アクチュエータに動作指令が与えられる。

　ＰＬＣ１００の加工部１２は、図１８に示されるように、通信部１１へのアクセスが、デバイスデータの読み出し又は書き込みを要求する場合に、当該要求が読み出しであるか書き込みであるか、当該デバイスデータのアドレス、当該デバイスデータのデータ型、及び、始点と点数を関連付けて示す。図１８において「Ｒ」の要求は読み出し要求であることを示し、「Ｗ」の要求は書き込み要求であることを示す。

　共有部１４は、他のＰＬＣ１００に対するアクセスについても、このようなデバイスデータに関する情報を含むアクセス情報を共有する。そして、学習部１５は、このアクセス情報に基づいてモデルを更新する。デバイスデータに関する情報は、データアクセス情報の一例に相当する。

　以上、説明したように、デバイスデータに関する情報に基づいてモデルを学習すれば、さらに正確に例外アクセスを判別することが期待される。

　以上、本開示の実施の形態について説明したが、本開示は上記実施の形態によって限定されるものではない。

　例えば、ＰＬＣシステム１０００を構成するＰＬＣ１００の数を任意に変更してもよい。

　また、合意形成アルゴリズムとして、パブリックチェーンを採用する場合には、分散型台帳に参加したノードの一覧をハッシュ化した値であるマークルルート、マイニングの難易度、及びマイニング成功時のナンスを、ブロックヘッダ４１に含めてもよい。

　また、上記実施の形態２，３を組み合わせてもよい。さらに、上記実施の形態２，３では、上記実施の形態１に係るアクセス情報に対して要素を追加したが、追加される要素は、上記実施の形態２，３に説明されたものに限定されない。例えば、ネットワークＮＷを介して通信相手から送信されたファイル、遠隔からＰＬＣ１００を起動するリモートＲＵＮ及び遠隔からＰＬＣ１００を停止するリモートＳＴＯＰのような遠隔操作情報、ＩＰアドレスのようなネットワークに関する設定の変更を示す情報、及び、時計データの変更を示す情報のうちの１つ又は複数をアクセス情報に含めてもよい。

　また、アクセス情報が、アクセスがなされた時刻及び当該時刻を含む時間区分の双方を示す例について説明したが、アクセス情報は、当該時刻と時間区分とのいずれか一方を示してもよい。

　上述の実施の形態に係るＰＬＣ１００の機能は、専用のハードウェアによっても、また、通常のコンピュータシステムによっても実現することができる。

　例えば、プログラムＰ１を、フレキシブルディスク、ＣＤ－ＲＯＭ（Compact Disk Read-Only Memory）、ＤＶＤ（Digital Versatile Disk）、ＭＯ（Magneto-Optical disk）に代表されるコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムＰ１をコンピュータにインストールすることにより、上述の処理を実行する装置を構成することができる。

　また、プログラムＰ１をインターネットに代表される通信ネットワーク上のサーバ装置が有するディスク装置に格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロードするようにしてもよい。

　また、インターネットに代表されるネットワークを介してプログラムＰ１を転送しながら起動実行することによっても、上述の処理を達成することができる。

　さらに、プログラムＰ１の全部又は一部をサーバ装置上で実行させ、その処理に関する情報をコンピュータが通信ネットワークを介して送受信しながらプログラムＰ１を実行することによっても、上述の処理を達成することができる。

　なお、上述の機能を、ＯＳ（Operating System）が分担して実現する場合又はＯＳとアプリケーションとの協働により実現する場合には、ＯＳ以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロードしてもよい。

　また、ＰＬＣ１００の機能を実現する手段は、ソフトウェアに限られず、その一部又は全部を専用のハードウェア又は回路によって実現してもよい。

　本開示は、本開示の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、本開示を説明するためのものであり、本開示の範囲を限定するものではない。つまり、本開示の範囲は、実施の形態ではなく、請求の範囲によって示される。そして、請求の範囲内及びそれと同等の開示の意義の範囲内で施される様々な変形が、本開示の範囲内とみなされる。

　本開示は、ＦＡの現場で運用されるシステムのセキュリティ性能の向上に適している。

　１１　通信部、　１２　加工部、　１３　記憶部、　１４　共有部、　１５　学習部、　１６　検知部、　１７　報知部、　１８　処理部、　２０　支援装置、　２１　設定部、　２２　表示部、　３０　ＦＡ装置、　３１　プロセッサ、　３２　主記憶部、　３３　補助記憶部、　３４　入力部、　３５　出力部、　３６　通信部、　３７　内部バス、　４０　ブロック、　４１　ブロックヘッダ、　４２　トランザクション部、　５０　領域、　５１～５３　サンプリング点、　６１　依頼ノード、　６２　管理ノード、　６３　受信ノード、　１００～１０３　ＰＬＣ、　１３１　送信アクセス情報、　１３２　受信アクセス情報、　４１１　前回ヘッダハッシュ値、　４１２　ヘッダハッシュ値、　４１３　生成日時情報、　４２１　入力アクセス情報、　４２２　出力アクセス情報、　４２３　署名　１０００　ＰＬＣシステム、　ＮＷ　ネットワーク、　Ｐ１　プログラム。

Claims

　ネットワークを介して外部からのアクセスを受け付けて通信する通信手段と、
　前記通信手段によって受け付けられたアクセスの履歴から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習する学習手段と、
　前記学習手段によって学習された前記モデルを用いて、前記通信手段によって受け付けられた新たなアクセスから前記例外アクセスを検知する検知手段と、
　前記検知手段によって検知された前記例外アクセスを処理する処理手段と、
　を備えるプログラマブルコントローラ。
　前記処理手段は、前記例外アクセスを遮断する、
　請求項１に記載のプログラマブルコントローラ。
　前記処理手段は、前記例外アクセスに関する情報を、ユーザインタフェースを介して報知する、
　請求項１又は２に記載のプログラマブルコントローラ。
　前記履歴は、前記通信手段によって受け付けられたアクセスをした通信装置を前記ネットワークにおいて識別するための識別情報と、該アクセスの時刻及び該時刻を含む予め定められた時間区分の少なくとも一方と、を関連付けて示し、
　前記学習手段は、前記時間区分ごとに、該時間区分においてなされる前記他のアクセスより頻度が低い前記例外アクセスを判別するための前記モデルを学習する、
　請求項１から３のいずれか一項に記載のプログラマブルコントローラ。
　前記識別情報は、前記ネットワークにおける前記通信装置のアドレスであって、
　前記履歴は、前記通信装置の前記アドレスと、アクセスで指定されたポート番号と、アクセスの時刻及び該時刻を含む前記時間区分の少なくとも一方と、を関連付けて示し、
　前記学習手段は、前記時間区分ごとに、前記アドレス及び前記ポート番号に基づいて前記例外アクセスを判別するための前記モデルを学習する、
　請求項４に記載のプログラマブルコントローラ。
　他の装置とデバイスデータを共有するプログラマブルコントローラであって、
　前記履歴は、前記デバイスデータの読み出し又は書き込みを要求するアクセスについては、該読み出し又は書き込みに関するデータアクセス情報を示し、
　前記学習手段は、前記データアクセス情報に基づいて前記例外アクセスを判別するための前記モデルを学習する、
　請求項１から５のいずれか一項に記載のプログラマブルコントローラ。
　他のプログラマブルコントローラに接続されるプログラマブルコントローラであって、
　前記履歴を示す第１アクセス情報を前記他のプログラマブルコントローラに提供し、前記他のプログラマブルコントローラに対するアクセスを示す第２アクセス情報を前記他のプログラマブルコントローラから取得することで、前記第１アクセス情報及び前記第２アクセス情報を前記他のプログラマブルコントローラと共有する共有手段、をさらに備え、
　前記学習手段は、前記第１アクセス情報及び前記第２アクセス情報に基づいて前記モデルを学習する、
　請求項１から６のいずれか一項に記載のプログラマブルコントローラ。
　プログラマブルコントローラによって実行される例外アクセス学習方法であって、
　通信手段が、ネットワークを介して外部からのアクセスを受け付けて通信し、
　学習手段が、前記通信手段によって受け付けられたアクセスの履歴から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習し、
　検知手段が、前記学習手段によって学習された前記モデルを用いて、前記通信手段によって受け付けられた新たなアクセスから前記例外アクセスを検知し、
　処理手段が、前記検知手段によって検知された前記例外アクセスを処理する、
　ことを含む例外アクセス学習方法。
　プログラマブルコントローラを、
　ネットワークを介して外部からのアクセスを受け付けて通信する通信手段、
　前記通信手段によって受け付けられたアクセスの履歴から、他のアクセスより頻度が低い例外アクセスを判別するためのモデルを学習する学習手段、
　前記学習手段によって学習された前記モデルを用いて、前記通信手段によって受け付けられた新たなアクセスから前記例外アクセスを検知する検知手段、
　前記検知手段によって検知された前記例外アクセスを処理する処理手段、
　として機能させるためのプログラム。