知財求人 - 知財ポータルサイト「IP Force」
特許5955863プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5955863
(24)【登録日】2016年6月24日
(45)【発行日】2016年7月20日
(54)【発明の名称】プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法
(51)【国際特許分類】
G06Q 10/06 20120101AFI20160707BHJP
【FI】
G06Q10/06 326
【請求項の数】40
【全頁数】27
(21)【出願番号】特願2013-548612(P2013-548612)
(86)(22)【出願日】2012年1月10日
(65)【公表番号】特表2014-503099(P2014-503099A)
(43)【公表日】2014年2月6日
(86)【国際出願番号】US2012020716
(87)【国際公開番号】WO2012096916
(87)【国際公開日】20120719
【審査請求日】2015年1月6日
(31)【優先権主張番号】12/987,635
(32)【優先日】2011年1月10日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】506018363
【氏名又は名称】サウジ アラビアン オイル カンパニー
(74)【代理人】
【識別番号】110000855
【氏名又は名称】特許業務法人浅村特許事務所
(72)【発明者】
【氏名】アル − ハルビ、サード、エイ
(72)【発明者】
【氏名】アルマディ、ソロマン、エム.
(72)【発明者】
【氏名】アルサレム、フセイン、エイ.
【審査官】
梅岡 信幸
(56)【参考文献】
【文献】
特開2003−216577(JP,A)
【文献】
特開2002−352062(JP,A)
【文献】
国際公開第02/079907(WO,A2)
【文献】
諸橋 政幸,ISO15408/ISO27001統合型システムセキュリティ設計技法の提案,情報処理学会論文誌,日本,社団法人情報処理学会,2007年11月15日,第48巻,第11号,p.3520-3521
【文献】
福山 真一,プラントネットワークセキュリティ,横河技報,日本,横河電機株式会社,2001年 1月20日,Vol.45,No.1,p.29-32
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00−99/00
(57)【特許請求の範囲】
【請求項1】
産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行する方法であって、前記方法は、
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定するステップと、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定に応答して、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定するステップと、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には、特定するステップと、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定するステップと、
前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関するカテゴリ別可能性評価値及び最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定するステップと、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定するステップと、
を特徴とする方法。
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定するステップと、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定に応答して、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定するステップと、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には、特定するステップと、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定するステップと、
前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関するカテゴリ別可能性評価値及び最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定するステップと、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定するステップと、
を特徴とする方法。
【請求項2】
前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
とをさらに特徴とする、請求項1に記載の方法。
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
とをさらに特徴とする、請求項1に記載の方法。
【請求項3】
前記カテゴリ別可能性評価値が、以下のカテゴリ:可能性高、可能性中、可能性低、及びほぼ可能性無し、を含み、
前記複数の衝撃カテゴリが、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項2に記載の方法。
前記複数の衝撃カテゴリが、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項2に記載の方法。
【請求項4】
以下のマトリックス要素:衝撃カテゴリ、衝撃深刻度、及び定性値、を含む、脅威結果マトリックス(73)を利用して衝撃深刻度レベルが判定され、
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及びリスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項2又は3のいずれか一項に記載の方法。
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及びリスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項2又は3のいずれか一項に記載の方法。
【請求項5】
望ましくない事象のカテゴリ別発生の可能性を判定する前記ステップ、及びカテゴリ別衝撃深刻度レベルを判定する前記ステップが、前記特定されたネットワーク及びシステム・トポロジーに応答して、特定された脆弱性を脅威が悪用する可能性を判定するように構成され、前記複数の衝撃カテゴリの各々について、各それぞれの資産の制御損失に関連付けられる前記判定された損失価値に応答して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する前記悪用の結果を特定するように構成される、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)を用いることを含む、請求項2から4までのいずれか一項に記載の方法。
【請求項6】
ネットワーク資産保全性を分析する前記ステップ、並びに複数のネットワーク及び資産脆弱性の各々を特定する前記ステップが、各リンクを通るトラフィックのレベル、並びに各ノードについての性能レベル、トラフィック、及びノードCPU使用率の判定を含めて、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行して、それにより、あらゆる潜在脆弱性を特定するように構成される、産業及びプロセス制御システム・スキャン・モジュール(51)を用いることを含む、請求項1から5までのいずれか一項に記載の方法。
【請求項7】
最適セキュリティ構成と検出されたセキュリティ構成との間の差異を判定するステップと、
前記最適セキュリティ構成と前記検出されたセキュリティ構成との間の前記差異に応答して且つ、最高判定リスク・レベルに応答して、軽減策を判定するステップと、
をさらに特徴として、
リスク・レベル評価値を判定する前記ステップ、及び軽減策を判定する前記ステップは、スキャン・モジュール(51)の結果に応答して、あらゆる特定された脆弱性についてのリスク・レベルを特定し、推奨是正措置を提供するために置かれたリスク・レベル評定モジュール(55)を用いるステップを含む、
請求項1から6までのいずれか一項に記載の方法。
前記最適セキュリティ構成と前記検出されたセキュリティ構成との間の前記差異に応答して且つ、最高判定リスク・レベルに応答して、軽減策を判定するステップと、
をさらに特徴として、
リスク・レベル評価値を判定する前記ステップ、及び軽減策を判定する前記ステップは、スキャン・モジュール(51)の結果に応答して、あらゆる特定された脆弱性についてのリスク・レベルを特定し、推奨是正措置を提供するために置かれたリスク・レベル評定モジュール(55)を用いるステップを含む、
請求項1から6までのいずれか一項に記載の方法。
【請求項8】
前記リスク・レベル評価値が数値リスク・レベル評価値を含み、前記リスク・レベル評価値は、以下のカテゴリ:リスクは容認可能であり、措置は必要ない、リスク・レベル1、リスクは容認可能であり、措置は管理者による承認を必要とする、リスク・レベル2、リスクは容認不可能であり、措置が必要である、リスク・レベル3、及びリスクは容認不可能であり、緊急措置が必要である、リスク・レベル4、を含む、請求項1から7までのいずれか一項に記載の方法。
【請求項9】
最大リスク・レベル値を割り当てられた各特定されたネットワーク及び資産脆弱性については、追加の人間の介入を用いず、選択された軽減策を実行し、前記最大リスク・レベル値未満の或るリスク・レベルを有する各特定されたネットワーク資産脆弱性については、リスク評価データを企業管理システム(91)へ転送するステップをさらに含み、軽減策の実施が前記企業管理システム(91)内で判定される、請求項1から8までのいずれか一項に記載の方法。
【請求項10】
軽減策を選択する前記ステップが、以下のステップ、
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨するステップ、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨するステップ、並びに
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨するステップ、
のうちの1つ又は複数を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いるステップを含み、
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に動作する複数の冗長システムを含む、
請求項1から9までのいずれか一項に記載の方法。
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨するステップ、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨するステップ、並びに
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨するステップ、
のうちの1つ又は複数を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いるステップを含み、
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に動作する複数の冗長システムを含む、
請求項1から9までのいずれか一項に記載の方法。
【請求項11】
産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行する方法であって、前記方法は、
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定する、前記複数の主要ネットワーク資産の各々を特定するステップと、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定を含めて、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定するステップと、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には特定するステップと、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定するステップであって、前記複数の衝撃カテゴリは、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージを含む、ステップと、
前記複数の既知の脅威の各々について、及び前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関する前記カテゴリ別可能性評価値及び前記最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定するステップと、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には、悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定するステップと、
最高判定リスク・レベルに応答して軽減策を特定するステップと、
前記軽減策を実行するステップと、
を特徴とする方法。
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定する、前記複数の主要ネットワーク資産の各々を特定するステップと、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定を含めて、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定するステップと、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には特定するステップと、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定するステップであって、前記複数の衝撃カテゴリは、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージを含む、ステップと、
前記複数の既知の脅威の各々について、及び前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関する前記カテゴリ別可能性評価値及び前記最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定するステップと、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には、悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定するステップと、
最高判定リスク・レベルに応答して軽減策を特定するステップと、
前記軽減策を実行するステップと、
を特徴とする方法。
【請求項12】
以下のマトリックス要素:衝撃カテゴリ、衝撃深刻度、及び定性値、を含む、脅威結果マトリックス(73)を利用して衝撃深刻度レベルが判定され、以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及びリスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、請求項11に記載の方法。
【請求項13】
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定する前記ステップ、及び複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定する前記ステップが、少なくとも1人のシステム・セキュリティエキスパートに質問表を配布し、脅威対脆弱性の可能性及び損失査定データを含む質問表データを受信するステップを含む、請求項11又は12のいずれか一項に記載の方法。
【請求項14】
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に動作する複数の冗長システムを含む、請求項11から13までのいずれか一項に記載の方法。
【請求項15】
ネットワーク資産保全性を分析する前記ステップ、並びに複数のネットワーク及び資産脆弱性の各々を特定する前記ステップが、各リンクを通るトラフィックのレベル、並びに各ノードについての性能レベル、トラフィック、及びノード・プロセッサ使用率の判定を含めて、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行して、それにより、あらゆる潜在脆弱性を特定するように構成される、産業及びプロセス制御システム・スキャン・モジュール(51)を用いるステップを含む、請求項11から14までのいずれか一項に記載の方法。
【請求項16】
望ましくない事象のカテゴリ別発生の可能性を判定する前記ステップ、及びカテゴリ別衝撃深刻度レベルを判定する前記ステップが、前記特定されたネットワーク及びシステム・トポロジーに応答して、特定された脆弱性を脅威が悪用する可能性を判定するように構成され、前記複数の衝撃カテゴリの各々について、各それぞれの資産の制御損失に関連付けられる前記判定された損失価値に応答して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する前記悪用の結果を特定するように構成される、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)を用いるステップを含む、請求項11から15までのいずれか一項に記載の方法。
【請求項17】
リスク・レベル評価値を判定する前記ステップ、及び軽減策を選択する前記ステップが、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、並びにノード輻輳の分析に応答して、あらゆる特定された脆弱性についてのリスク・レベルを特定し、推奨是正措置を提供するために置かれたリスク・レベル評定モジュール(55)を用いるステップを含む、請求項11から16までのいずれか一項に記載の方法。
【請求項18】
前記リスク・レベル評価値が数値リスク・レベル評価値であり、前記数値リスク・レベル評価値は、以下のカテゴリ:リスクは容認可能であり、措置は必要ない、リスク・レベル1、リスクは容認可能であり、措置は管理者による承認を必要とする、リスク・レベル2、リスクは容認不可能であり、措置が必要である、リスク・レベル3、及びリスクは容認不可能であり、緊急措置が必要である、リスク・レベル4、を含む、請求項11から17までのいずれか一項に記載の方法。
【請求項19】
軽減策を特定する前記ステップが、以下のステップ、
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨するステップと、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨するステップと、
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨するステップと
を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いるステップを含む、請求項11から18までのいずれか一項に記載の方法。
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨するステップと、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨するステップと、
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨するステップと
を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いるステップを含む、請求項11から18までのいずれか一項に記載の方法。
【請求項20】
前記カテゴリ別可能性評価値が、以下のカテゴリ:可能性高、可能性中、可能性低、及びほぼ可能性無し、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項11から19までのいずれか一項に記載の方法。
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項11から19までのいずれか一項に記載の方法。
【請求項21】
産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価プログラム・コード(101)であって、前記プログラム・コード(101)は、
自動プロセスを通じて前記産業プロセス施設のための前記複数のプロセス制御ネットワーク及びシステムのネットワーク及びシステム・トポロジーを特定し、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行して、それにより、既知の脅威に対する脆弱性を検出して潜在脆弱性を定義するように構成される、産業及びプロセス制御システム・スキャン・モジュール(51)と、
前記特定されたネットワーク及びシステム・トポロジーに応答して、複数の既知の脅威の各々が、特定された脆弱性を悪用する可能性を判定するように構成され、複数の衝撃カテゴリの各々について、各それぞれのネットワーク及びシステム資産の制御損失に関連付けられる判定された損失価値に応答して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する前記悪用の結果を特定するように構成される、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)と、
前記それぞれの脆弱性が、それに関連付けられる既知の脅威によって悪用されるカテゴリ別衝撃深刻度レベル及び可能性の判定に応答して、あらゆる特定された脆弱性についての数値リスク・レベル評価値を判定するように構成されるリスク・レベル評定モジュール(55)と、
をコンピュータに実行させることを特徴とする、プログラム・コード(101)。
自動プロセスを通じて前記産業プロセス施設のための前記複数のプロセス制御ネットワーク及びシステムのネットワーク及びシステム・トポロジーを特定し、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行して、それにより、既知の脅威に対する脆弱性を検出して潜在脆弱性を定義するように構成される、産業及びプロセス制御システム・スキャン・モジュール(51)と、
前記特定されたネットワーク及びシステム・トポロジーに応答して、複数の既知の脅威の各々が、特定された脆弱性を悪用する可能性を判定するように構成され、複数の衝撃カテゴリの各々について、各それぞれのネットワーク及びシステム資産の制御損失に関連付けられる判定された損失価値に応答して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する前記悪用の結果を特定するように構成される、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)と、
前記それぞれの脆弱性が、それに関連付けられる既知の脅威によって悪用されるカテゴリ別衝撃深刻度レベル及び可能性の判定に応答して、あらゆる特定された脆弱性についての数値リスク・レベル評価値を判定するように構成されるリスク・レベル評定モジュール(55)と、
をコンピュータに実行させることを特徴とする、プログラム・コード(101)。
【請求項22】
前記産業及びプロセス制御システム・スキャン・モジュール(51)が、ネットワーク及びシステム・セキュリティ構成を最適構成と相関させ、両者の間のあらゆる差異を、それが存在する場合には特定するようにさらに構成される、
請求項21に記載のプログラム・コード(101)。
請求項21に記載のプログラム・コード(101)。
【請求項23】
前記ノード輻輳の分析が、各ネットワーク・リンクを介したトラフィックのレベル、並びに各ネットワーク・ノードについての性能レベル、トラフィック、及びノードCPU使用率を判定することを含み、
前記リスク・レベル評定モジュール(55)が、前記それぞれの脆弱性を悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連する数値リスク・レベル評価値の中から最高数値リスク・レベル評価値を判定するようにさらに構成され、
前記数値リスク・レベル評価値は、以下の数値カテゴリ:リスクは容認可能であり、措置は必要ない、リスク・レベル1、リスクは容認可能であり、措置は管理者による承認を必要とする、リスク・レベル2、リスクは容認不可能であり、措置が必要である、リスク・レベル3、及びリスクは容認不可能であり、緊急措置が必要である、リスク・レベル4、を含む、
請求項21又は22のいずれか一項に記載のプログラム・コード(101)。
前記リスク・レベル評定モジュール(55)が、前記それぞれの脆弱性を悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連する数値リスク・レベル評価値の中から最高数値リスク・レベル評価値を判定するようにさらに構成され、
前記数値リスク・レベル評価値は、以下の数値カテゴリ:リスクは容認可能であり、措置は必要ない、リスク・レベル1、リスクは容認可能であり、措置は管理者による承認を必要とする、リスク・レベル2、リスクは容認不可能であり、措置が必要である、リスク・レベル3、及びリスクは容認不可能であり、緊急措置が必要である、リスク・レベル4、を含む、
請求項21又は22のいずれか一項に記載のプログラム・コード(101)。
【請求項24】
前記脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)が、前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
前記複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な前記それぞれの特定された脆弱性の悪用に関連付けられる制御又は表示損失の予想結果のレベルを定義する前記カテゴリ別衝撃深刻度レベルを判定し、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
を遂行するようにさらに構成される、請求項21から23までのいずれか一項に記載のプログラム・コード(101)。
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定するステップと、
前記複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な前記それぞれの特定された脆弱性の悪用に関連付けられる制御又は表示損失の予想結果のレベルを定義する前記カテゴリ別衝撃深刻度レベルを判定し、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定するステップと、
を遂行するようにさらに構成される、請求項21から23までのいずれか一項に記載のプログラム・コード(101)。
【請求項25】
前記カテゴリ別可能性評価値が、以下のカテゴリ:可能性高、可能性中、可能性低、及びほぼ可能性無し、を含み、
前記複数の衝撃カテゴリが、前記それぞれの資産の制御又は表示損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項24に記載のプログラム・コード(101)。
前記複数の衝撃カテゴリが、前記それぞれの資産の制御又は表示損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項24に記載のプログラム・コード(101)。
【請求項26】
以下のマトリックス要素:衝撃カテゴリ、衝撃深刻度、及び定性値、を含む、脅威結果マトリックス(73)を利用して衝撃深刻度レベルが判定され、
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及び数値リスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記数値リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項24又は25のいずれか一項に記載のプログラム・コード(101)。
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及び数値リスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記数値リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項24又は25のいずれか一項に記載のプログラム・コード(101)。
【請求項27】
前記脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)が、少なくとも1人のシステム・セキュリティエキスパートに質問表を配布する操作、並びに脅威対脆弱性の可能性及び損失査定データを含む質問表データを受信する操作を遂行し、それにより、前記それぞれの脅威による、各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象の発生の前記カテゴリ別可能性を判定し、それにより、各それぞれの脅威によって悪用可能な前記それぞれの特定された脆弱性の悪用に関連付けられる前記それぞれの資産の制御又は表示損失に関連付けられる前記損失価値を判定するようにさらに構成される、請求項24から26までのいずれか一項に記載のプログラム・コード(101)。
【請求項28】
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に動作する複数のシステムを含む、請求項21から27までのいずれか一項に記載のプログラム・コード(101)。
【請求項29】
前記リスク・レベル評定モジュール(55)が、
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨する操作と、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨する操作と、
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨すると
を選択的に遂行するようにさらに構成される、請求項21から28までのいずれか一項に記載のプログラム・コード(101)。
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨する操作と、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨する操作と、
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨すると
を選択的に遂行するようにさらに構成される、請求項21から28までのいずれか一項に記載のプログラム・コード(101)。
【請求項30】
前記プログラム・コード(101)が、コンピュータ(31)によって実行されると、最小リスク・レベルを有する各特定されたネットワーク及び資産脆弱性について、選択された軽減策を実行し、複数の選択軽減策を定義する操作を前記コンピュータ(31)に遂行させる命令セットをさらに特徴とし、各選択された軽減策は、前記それぞれの脆弱性について判定されたリスク・レベル評価値に応答して選択され、
前記複数の軽減策は少なくとも部分的に順次に実行され、最高カテゴリ別評価値を有する前記脆弱性が、より低いカテゴリ別評価値を持つものより先に実行される、
請求項21のいずれか一項に記載のプログラム・コード(101)。
前記複数の軽減策は少なくとも部分的に順次に実行され、最高カテゴリ別評価値を有する前記脆弱性が、より低いカテゴリ別評価値を持つものより先に実行される、
請求項21のいずれか一項に記載のプログラム・コード(101)。
【請求項31】
産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価システム(30)であって、プロセッサ(33)、及び該プロセッサ(33)と通信し、内部にソフトウェアを格納するメモリ(35)を有するサイバー・セキュリティ・リスク評価コンピュータ(31)を含む、システム(30)において、
前記サイバー・セキュリティ・リスク評価コンピュータ(31)にアクセス可能なメモリ内に格納される脅威対脆弱性の可能性及び結果データ・リポジトリ(81)と、
前記サイバー・セキュリティ・リスク評価コンピュータ(31)にアクセス可能なメモリ内に格納されるリスク評価報告データ・リポジトリ(83)と、
を含み、
前記サイバー・セキュリティ・リスク評価コンピュータ(31)は、前記複数のプロセス制御ネットワーク及びシステム上で前記サイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価プログラム・コード(101)を前記メモリ内に格納し、
前記サイバー・セキュリティ・リスク評価プログラム・コード(101)は、前記サイバー・セキュリティ・リスク評価コンピュータ(31)に、
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定する、前記複数の主要ネットワーク資産の各々を特定する操作と、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定に応答して、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定する、ネットワーク資産保全性を分析する操作と、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には特定する操作と、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定する操作と、
前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関するカテゴリ別可能性評価値及び最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定する操作と、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には、悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定する操作と、
を含む様々な操作を前記コンピュータ(31)に遂行させる命令を含む、プログラム・コード(101)を実行させること、
を特徴とするサイバー・セキュリティ・リスク評価システム(30)。
前記サイバー・セキュリティ・リスク評価コンピュータ(31)にアクセス可能なメモリ内に格納される脅威対脆弱性の可能性及び結果データ・リポジトリ(81)と、
前記サイバー・セキュリティ・リスク評価コンピュータ(31)にアクセス可能なメモリ内に格納されるリスク評価報告データ・リポジトリ(83)と、
を含み、
前記サイバー・セキュリティ・リスク評価コンピュータ(31)は、前記複数のプロセス制御ネットワーク及びシステム上で前記サイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価プログラム・コード(101)を前記メモリ内に格納し、
前記サイバー・セキュリティ・リスク評価プログラム・コード(101)は、前記サイバー・セキュリティ・リスク評価コンピュータ(31)に、
前記複数のプロセス制御ネットワーク及びシステム内の前記複数の主要ネットワーク資産の各々を特定して、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定する、前記複数の主要ネットワーク資産の各々を特定する操作と、
ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率の特定に応答して、ネットワーク資産保全性を分析して、それにより、複数の既知の脅威の各々に対する脆弱性を判定する、ネットワーク資産保全性を分析する操作と、
前記複数の既知の脅威の各々に対するネットワーク及び資産脆弱性の判定に応答して、複数のネットワーク及び資産脆弱性の各々を、それが存在する場合には特定する操作と、
前記複数の主要ネットワーク資産の各々について、複数の衝撃カテゴリの各々について前記それぞれの資産の制御損失に関連付けられる損失価値を判定する操作と、
前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威についての、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関するカテゴリ別可能性評価値及び最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定する操作と、
各特定されたネットワーク及び資産脆弱性について、
前記それぞれの脆弱性を、それが存在する場合には、悪用し得る関連する脅威によって影響を受ける対応する1つ又は複数の衝撃カテゴリに関連付けられる1つ又は複数の関連するリスク・レベル評価値の中から最高リスク・レベル評価値を判定する操作と、
を含む様々な操作を前記コンピュータ(31)に遂行させる命令を含む、プログラム・コード(101)を実行させること、
を特徴とするサイバー・セキュリティ・リスク評価システム(30)。
【請求項32】
前記操作が、前記複数の既知の脅威の各々について、前記それぞれの脅威によって悪用可能な各別個の特定された脆弱性について、
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定する、望ましくない事象のカテゴリ別発生の可能性を判定する操作と、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定する、カテゴリ別衝撃深刻度レベルを判定する操作と、
をさらに含む、請求項31に記載のシステム(30)。
前記それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、前記それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値を判定する、望ましくない事象のカテゴリ別発生の可能性を判定する操作と、
複数の衝撃カテゴリの各別個の衝撃カテゴリについて、前記それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベルを判定して、それにより、それに関連付けられる最高衝撃深刻度レベル評価値を判定する、カテゴリ別衝撃深刻度レベルを判定する操作と、
をさらに含む、請求項31に記載のシステム(30)。
【請求項33】
前記カテゴリ別可能性評価値が、以下のカテゴリ:可能性高、可能性中、可能性低、及びほぼ可能性無し、を含み、
前記複数の衝撃カテゴリが、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項32に記載のシステム(30)。
前記複数の衝撃カテゴリが、前記それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージ、を含み、
前記衝撃深刻度レベル評価値が、以下のカテゴリ:甚大、大、小、及び衝撃無し、を含む、
請求項32に記載のシステム(30)。
【請求項34】
以下のマトリックス要素:衝撃カテゴリ、衝撃深刻度、及び定性値、を含む、脅威結果マトリックス(73)を利用して衝撃深刻度レベルが判定され、
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及びリスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項32又は33のいずれか一項に記載のシステム(30)。
以下のマトリックス要素:脅威の可能性、脅威結果の衝撃深刻度、及びリスク・レベル評価値、を含むリスク・レベル・マトリックス(75)を利用して前記リスク・レベル評価値が判定され、それにより、リスク・レベル評価判定を標準化する、
請求項32又は33のいずれか一項に記載のシステム(30)。
【請求項35】
望ましくない事象のカテゴリ別発生の可能性を判定する前記操作、及びカテゴリ別衝撃深刻度レベルを判定する前記操作が、前記特定されたネットワーク及びシステム・トポロジーに応答して、特定された脆弱性を脅威が悪用する可能性を判定するように構成され、前記複数の衝撃カテゴリの各々について、各それぞれの資産の制御損失に関連付けられる前記判定された損失価値に応答して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する前記悪用の結果を特定するように構成された脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール(53)を用いる操作を含む、請求項32から34までのいずれか一項に記載のシステム(30)。
【請求項36】
ネットワーク資産保全性を分析する前記操作、並びに複数のネットワーク及び資産脆弱性の各々を特定する前記操作が、各リンクを通るトラフィックのレベル、並びに各ノードについての性能レベル、トラフィック、及びノードCPU使用率の判定を含む、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行して、それにより、あらゆる潜在脆弱性を特定するように構成された産業及びプロセス制御システム・スキャン・モジュール(51)を用いる操作を含む、請求項31から35までのいずれか一項に記載のシステム(30)。
【請求項37】
前記操作が、
最適セキュリティ構成と検出されたセキュリティ構成との間の差異を判定する操作と、
前記最適セキュリティ構成と前記検出されたセキュリティ構成との間の前記差異に応答して且つ、最高判定リスク・レベルに応答して、軽減策を判定する操作と
をさらに含み、
リスク・レベル評価値を判定する前記操作、及び軽減策を判定する前記操作は、スキャン・モジュール(51)の結果に応答して、あらゆる特定された脆弱性についてのリスク・レベルを特定し、推奨是正措置を提供するために置かれたリスク・レベル評定モジュール(55)を用いる操作を含む、
請求項31から36までのいずれか一項に記載のシステム。
最適セキュリティ構成と検出されたセキュリティ構成との間の差異を判定する操作と、
前記最適セキュリティ構成と前記検出されたセキュリティ構成との間の前記差異に応答して且つ、最高判定リスク・レベルに応答して、軽減策を判定する操作と
をさらに含み、
リスク・レベル評価値を判定する前記操作、及び軽減策を判定する前記操作は、スキャン・モジュール(51)の結果に応答して、あらゆる特定された脆弱性についてのリスク・レベルを特定し、推奨是正措置を提供するために置かれたリスク・レベル評定モジュール(55)を用いる操作を含む、
請求項31から36までのいずれか一項に記載のシステム。
【請求項38】
前記リスク・レベル評価値が数値リスク・レベル評価値を含み、前記数値リスク・レベル評価値は、以下のカテゴリ:リスクは容認可能であり、措置は必要ない、リスク・レベル1、リスクは容認可能であり、措置は管理者による承認を必要とする、リスク・レベル2、リスクは容認不可能であり、措置が必要である、リスク・レベル3、及びリスクは容認不可能であり、緊急措置が必要である、リスク・レベル4、を含む、請求項31から37までのいずれか一項に記載のシステム(30)。
【請求項39】
前記操作が、最大リスク・レベル値を割り当てられた各特定されたネットワーク及び資産脆弱性については、追加の人間の介入を用いず、選択された軽減策を実行し、前記最大リスク・レベル値未満の或るリスク・レベルを有する各特定されたネットワーク資産脆弱性については、リスク評価データを企業管理システム(91)へ転送する操作をさらに含み、軽減策の実施が前記企業管理システム(91)内で判定される、請求項31から38までのいずれか一項に記載のシステム(30)。
【請求項40】
軽減策を選択する前記操作が、
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨する操作、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨する操作、並びに
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨する操作、
のうちの1つ又は複数を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いる操作を含み、
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に操作する複数の冗長システムを含む、
請求項31から39までのいずれか一項に記載のシステム(30)。
現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨する操作、
システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨する操作、並びに
1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨する操作、
のうちの1つ又は複数を選択的に遂行するように構成されたリスク・レベル評定モジュール(55)を用いる操作を含み、
前記複数のプロセス制御ネットワーク及びシステムが、前記複数の主要ネットワーク資産の同じサブセットを制御するために並列に操作する複数の冗長システムを含む、
請求項31から39までのいずれか一項に記載のシステム(30)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、自動産業プロセスに関する。より詳細な態様では、本発明は、産業施設内のプロセス制御ネットワーク及びシステムのためのリスク管理に関する。
【背景技術】
【0002】
最新の石油及びガス・フィールド用アプリケーションに見られるもの等の、最新の産業業務のアーキテクチャは、様々なネットワーク・デバイスによってフィールド・レベル、プロセス・レベル、及びシステム・レベルで使用可能である。これらのデバイスは、例えば、圧力、温度、pH、又は流量等の、自動プロセスの動作を反映する測定値等のデータを監視し、収集する。これらのデバイスは、異なるレベルで動作し、収集されたデータを処理して元のネットワーク・デバイス又は他のネットワーク・デバイスへ指令を出すコントローラとして知られる機械に接続される、又はそれらと通信する。
【0003】
典型的な構成では、これらの構成要素はプラント・ネットワーク及びシステム(Plant Networks and Systems、PN&S)を形成する。同様に、典型的な構成では、PN&Sの制御システム部は、以下のものに限定されるものではないが、分散制御システム、監視制御データ収集システム等を含む。これらの産業ネットワーク及びシステムは、プラント若しくは他の産業プロセス施設内の複数のネットワークに、又は施設の外部のネットワークを通じて接続されることができる。このため、このような「産業ネットワーク」は、内部及び外部両方のサイバー攻撃並びにその他のセキュリティ脅威に対する脆弱性が極めて高い。このようなサイバー攻撃は、とりわけ、個々の構成要素又はネットワーク若しくはシステム構造全体の「表示損失」及び/又は「制御損失」を生じさせ得る。表示損失は、ユーザ/自動コントローラがシステムに部分的に又は完全にアクセスすることができなくなり、そのため、プロセス動作が見えなくなるときに生じる。制御損失は、ユーザ/自動コントローラが機能及び或いは手続きを呼び出すためにプロセス制御システムに制御メッセージを送信及び/又は受信することができなくなるときに生じる。
【0004】
PN&Sに適用されるサイバー・セキュリティ対策は、一般的に、情報技術(Information Technology、IT)システムに適用されるものの形態をとっており、そのため、あまり効果がない。発明者らによって認識されているように、効果のなさのいくつかの理由としては、PN&Sは機械及び生産に重点が置かれ、ITシステムは人々の通信に重点を置いていること、ITシステムによって管理される人々又はコンピュータの間のコミュテーションと比べて、PN&Sは、計器、コントローラ、及びプロセス機械を管理する産業用アプリケーションをサポートすること、並びにPN&Sでは、エンド・ユーザは通常、高レベルの脆弱性を有する計算機器又はデバイスであるのに対して、ITシステムでは、エンド・ユーザは通常、人間であることという現状が挙げられる。発明者らは、PN&Sは、同時に動作する並列システム及びネットワークをサポートすること、並びにPN&Sは、ITシステム用に開発されたセキュリティ対策の能力を有するものをはるかに上回る徹底的な分析を必要とする階層化システム及びネットワークを用いることも認識している。加えて、発明者らは、ITシステムにとっては、「機密性」、「保全性」、及び「可用性」が優先順位であるのに比べて、PN&Sにとっては、「可用性」、「保全性」及び「機密性」が優先順位であり、それ故、セキュリティ及びリスクの重点はどちらも大いに異なり得ることを認識している。さらに、PN&Sのセキュリティ基準は、一般的に通信をサポートするITシステムのものと比べて、主としてプロセス制御及び計器システムに対処する必要がある。さらに、発明者らは、ITシステムと比べて、PN&Sにおいては、「制御損失」及び「表示損失」が根本的な問題となり得るため、システム、計器及びコントローラのためのセキュリティ・ポリシーは、PN&Sの固有のセキュリティ要求事項を満たすために、ITコンピュータ又はエンド・ユーザ通信デバイスのものとは異なるものでなければならないことを認識している。なおさらに、表示損失又は制御損失は、とりわけ、純粋なITシステムにおけるファクタになるとは予期されないであろう、プラント人員に対する傷害及び/又は環境放出を生じさせ得るため、PN&Sのためのリスク基準及びリスク・レベルは、ITシステムのものと比較して、著しく異なり得る。
【0005】
一般的に、従来、産業システムに対するリスク・レベルは、手動プロセスによって、及び/又は比較的限られた自動補助を用いて定量化される。このような従来の評価プロセスの形態は、非常に時間と手間がかかり得るだけでなく、例えば、リスク・レベル、脅威及び脆弱性の可能性等の測定に必要な利用可能なデータの不足のために、過度に誤りを起こしやすくもなり得る。しかも、或る脅威がもたらす結果を定量化することは難しい。加えて、手動プロセスは、特殊技能を持つアナリスト及び彼らの専門知識のレベルに大きく依存する。そのため、手動プロセスは、過度に(金銭的に)コストがかかるだけでなく、極めて主観的なものにもなる。従って、このような、リスク、脆弱性等、関連する脅威及び関連する結果の手動的な推定は、非常に不整合を生じやすい。これは、企業又は業界内の異なるシステム及びプラント間で特に起こり得る。なぜなら、このような異なるシステム/実体に直面するリスクは大きく異なり得るからである。
【0006】
従って、発明者らは、PN&Sのためのリスク評価ワークフロー・プロセスを全面的に自動化するシステム、プログラム製品、及び方法の必要性を認識している。具体的には、発明者らによって認識されているのは、主要ネットワーク資産及びそれらの脆弱性を特定し、このような脆弱性に対する既知の脅威の効果を判定し、既知の脅威によるこのような脆弱性の悪用に関連付けられる様々なコストを判定し、発生の可能性を判定し、このような発生のリスク・レベル/評価値を判定し、又は割り当て、リスク・レベル/評価値を低減するための推奨措置を提供し、既知の脅威のうちの1つ又は複数に関する各特定された脆弱性のための軽減策の実行を容易にすることができる、自動システム、プログラム製品、及び方法の必要性である。同様に発明者らによって認識されているのは、例えば、異なるシステム・モジュールにおいて、エンド・ユーザがすべての関係変数を入力できるように定義される「テンプレート」を提供することができ、ネットワーク及びシステム・スキャンの成果と収集されたデータ及びテンプレートとの相互関係を比較することができ、全体目的を達成するために、必要に応じて異なるシステム・モジュール間でテンプレートを交換することができ、それにより、データ・マイニング、マッピング及び報告、並びにリスク評価プロセスによって定義される通りの他のこうした複雑な課題をサポートする専門のプロフェッショナルへの依存性及び/又はその必要性を低減する、自動システム、プログラム製品、及び方法の必要性である。
【発明の概要】
【課題を解決するための手段】
【0007】
以上のことを考慮して、本発明の様々な実施例は、産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するシステム、プログラム製品、及び方法であって、イーサネット(登録商標)・インタフェースを有するすべてのデバイス、システム、及びサブシステムを含むプラント・ネットワーク及びシステム(PN&S)のためのリスク評価ワークフロー・プロセスを全面的に自動化することができ、リスク評価プロセスを実施する際の人間との対話を最小限に抑えるように機能することができ、それにより、リスク・レベルの定量化において、より正確で、より影響を受けにくい結果を有利にもたらす、システム、プログラム製品、及び方法を有利に提供する。
【0008】
本発明の様々な実施例は、主要ネットワーク資産及び脆弱性を特定し、このような脆弱性に対する既知の脅威の効果を判定し、既知の脅威によるこのような脆弱性の悪用に関連付けられる様々なコストを判定し、発生の可能性を判定し、このような発生のリスク・レベル/評価値を判定し、又は割り当て、リスク・レベル/評価値を低減するための推奨措置を提供し、単一、冗長(並列)、及び相互接続ネットワーク、システム並びにその他の制御及び/又はネットワーク構成要素に対する既知の脅威のうちの1つ又は複数に関する各特定された脆弱性のための軽減策の実行を容易にすることができる、システム、プログラム製品、及び方法も有利に提供する。本発明の様々な実施例は、例えば、異なるシステム・モジュールにおいて、エンド・ユーザがすべての関係変数を入力できるように定義される「テンプレート」を提供することができ、ネットワーク及びシステム・スキャンの成果を収集されたデータ及びテンプレートと相関させることができ、全体目的を達成するために、必要に応じて異なるシステム・モジュール間でテンプレートを交換することができ、それにより、データ・マイニング、マッピング及び報告、並びにリスク評価プロセスによって定義される通りの他のこうした複雑な課題をサポートする専門のプロフェッショナルへの依存性及び/又はその必要性を低減する、システム、プログラム製品、及び方法をさらに有利に提供する。
【0009】
より具体的には、複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行する方法の実施例の実例は、複数のプロセス制御ネットワーク及びシステム内の複数の主要ネットワーク資産を在庫管理し、又は他の方法でそれを特定し、それにより、関連するネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定するステップと、ネットワーク資産保全性を分析するステップとを含む。ネットワーク資産保全性を分析するステップは、ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定し、それにより、1つ又は複数の既知の脅威の各々に対する脆弱性を判定するステップを含むことができる。このデータは、既知の脅威の各々に関連付けられる、1つ又は複数のネットワーク並びにその他の既存及び/又は潜在的なネットワーク資産の脆弱性の各々を特定するために利用されることができる。本方法は、1つ又は複数の衝撃カテゴリの各々について、システム内の制御に影響を及ぼし得る各ネットワーク資産(個別若しくは機能グループ)の制御損失に関連付けられる損失価値を判定するステップを含むこともできる。例示的な構成によれば、衝撃カテゴリは、それぞれの資産の制御損失に関連付けられる、傷害、財務損失、環境放出、生産の中断、及び公衆イメージを含むことができる。
【0010】
本方法は、1つ又は複数の既知の脅威の各々を対象にして、それぞれの脅威によって悪用可能な各別個の特定された脆弱性について様々なステップを遂行することをさらに含むことができる。ステップは、それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性(例えば、脅威の可能性)を判定するステップであって、それにより、それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値(例えば、可能性高、可能性中、...)を判定する、望ましくない事象のカテゴリ別発生の可能性を判定するステップと、各衝撃カテゴリについて、それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御損失の予想結果を定義するカテゴリ別衝撃深刻度レベル(例えば、脅威結果)を判定するステップと、を含むことができる。ステップは、それぞれの脅威についての、それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性に関するカテゴリ別可能性評価値及び最高衝撃深刻度レベル評価値に応答して、リスク・レベル評価値を判定するステップを含むこともできる。ここで、リスク・レベルは、脅威可能性、脆弱性可能性、及び結果のファクタである。好ましい構成によれば、リスク・レベルは以下のリスク方程式に基づいて判定される:リスク=(脅威×脆弱性)×結果。この式において、「脅威×脆弱性」の部分は、不所望の事象が生じる確率を表し、「損失効果」は、資産の損失によって組織にもたらされる結果を表す。
【0011】
有利には、脅威の可能性評価値、衝撃深刻度レベル、衝撃カテゴリ、及び脅威結果はあらかじめ定義され、参照リポジトリ内に格納されることができる。それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定するステップ、及び複数の衝撃カテゴリの各々についてそれぞれの資産の制御損失に関連付けられる損失価値を判定するステップは、外部データベースを参照する自動システムの利用、及び/又は少なくとも1人のシステム・セキュリティエキスパート(例えば、アナリスト、セキュリティ組織、及び/又は所有者)に質問表を配布し、脅威対脆弱性の可能性及び損失査定データを含むデータを受信し、格納することを含むことができる。さらに、複数の衝撃カテゴリ(例えば、傷害、財務損失、環境放出、生産の中断、公衆イメージ...)を含み、複数の衝撃深刻度レベルを参照として有し、潜在的な望ましくない事象によって生じる特定された効果/結果をさらに参照する、あらかじめフォーマット化された結果−衝撃深刻度レベル・テーブル/マトリックスを用いて、各カテゴリについての望ましくない事象の衝撃深刻度レベルを分析し、判定することができる。同様に、複数の脅威の可能性カテゴリ(例えば、可能性高、可能性中、可能性低、ほぼ可能性無し)を含み、複数の脅威結果の衝撃レベル(例えば、甚大、大、小、衝撃無し)を参照として有し、数値リスク・レベル値(例えば、レベル1、レベル2、レベル3、レベル4)をさらなる参照として有する、あらかじめフォーマット化されたリスク・レベル・テーブル/マトリックスを用いて、数値リスク・レベル評価値を判定することができ、それにより、以前は別様に場当たり的なリスク・レベル評価判定であったものを標準化する。
【0012】
本方法は、各特定されたネットワーク及び資産脆弱性について、それぞれの脆弱性を、それが存在する場合には、悪用し得る1つ又は複数の脅威の各々に関連付けられる最高リスク・レベルを判定すること、最高判定リスク・レベルに応答して複数の軽減策から最適軽減策を特定し、選択すること、並びに選択された軽減策を実行することを含むこともできる。
【0013】
本発明に対する様々な実施例は、産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するシステムも含む。システムの実例によれば、システムは、サイバー・セキュリティ・リスク評価コンピュータと、該サイバー・セキュリティ・リスク評価コンピュータにアクセス可能なメモリ内に格納される脅威対脆弱性の可能性及び結果データ・リポジトリと、サイバー・セキュリティ・リスク評価コンピュータにアクセス可能なメモリ内に格納されるリスク評価報告データ・リポジトリと、サイバー・セキュリティ・リスク評価コンピュータのメモリ内に格納され、複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価プログラム製品とを含む。プログラム製品は、全システムの一部を形成するか、又は個別に配布可能なコンピュータ可読媒体上に格納され、サイバー・セキュリティ・リスク評価コンピュータ等のコンピュータによって実行されると、様々なリスク評価操作をコンピュータに遂行させるモジュール群として表される命令セット又は複数の命令セット群を含む。
【0014】
従って、コンピュータ及びプログラム製品は、自動プロセスを通じて産業プロセス施設のための複数のプロセス制御ネットワーク及びシステムのネットワーク及びシステム・トポロジーを特定し、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳の分析を実行し、それにより、既知の脅威に対する脆弱性(例えば、潜在脆弱性)を検出するように構成される、産業及びプロセス制御システム・スキャン・モジュールを含むことができる。例示的な構成によれば、ノード輻輳の分析は、各リンクを通るトラフィックのレベル、並びに各ノードについての性能レベル、トラフィック、及びノードCPU使用率を判定することを含む。さらに、産業及びプロセス制御システム・スキャン・モジュールは、ネットワーク及びシステム・セキュリティ構成を最適構成と相関させ、両者の間のあらゆる差異を、それが存在する場合には、特定するようにさらに構成されることができる。
【0015】
システム及びプログラム製品は、特定されたネットワーク及びシステム・トポロジーに対応して、少なくとも1つの、ただし、より典型的には複数の、既知の脅威が1つ又は複数の特定された脆弱性を悪用する可能性を判定するように構成される、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュールを含むこともできる。脅威対脆弱性可能性及び結果データ・リポジトリ・モジュールは、複数の衝撃カテゴリの各々について、各それぞれのネットワーク及びシステム資産の制御損失に関連付けられる判定された損失価値に対応して、個々の衝撃を受けるシステム及び全体的なプラント動作に対する悪用の結果を特定するようにも構成される。
【0016】
例示的な構成によれば、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュールは、複数の既知の脅威の各々について、及びそれぞれの脅威によって悪用可能な各別個の特定された脆弱性について、それぞれの脅威による各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性を判定して、それにより、それぞれの脅威についての、各それぞれの関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値(例えば、可能性高、可能性中、...)を判定する操作を遂行するようにさらに構成される。脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュールは、複数の衝撃カテゴリの各別個の衝撃カテゴリについて、それぞれの脅威によって悪用可能な各それぞれの特定された脆弱性の悪用に関連付けられる制御又は表示損失の予想結果を定義するカテゴリ別衝撃深刻度レベル(例えば、脅威結果)を判定して、それにより、複数の衝撃カテゴリ及び/又は関連するリスク・レベルに関連付けられる最高衝撃深刻度レベル評価値を判定するようにもさらに構成される。なおさらに、好ましい実装によれば、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュールは、少なくとも1人のシステム・セキュリティエキスパート(例えば、アナリスト、セキュリティ組織、及び/又は所有者)に質問表を配布する操作、並びに脅威対脆弱性の可能性及び損失査定データを含む質問表データを受信する操作を遂行し、それにより、それぞれの脅威による、各それぞれの関連する特定された脆弱性の悪用に関連付けられる望ましくない事象の発生のカテゴリ別可能性を判定し、それにより、各それぞれの脅威によって悪用可能なそれぞれの特定された脆弱性の悪用に関連付けられるそれぞれの資産の制御又は表示損失に関連付けられる損失価値を判定するようにさらに構成される。
【0017】
システム及びプログラム製品は、それぞれの脆弱性が、それぞれの脆弱性に関連付けられる既知の脅威によって悪用されるカテゴリ別衝撃深刻度レベル及び可能性の判定に応答して、あらゆる特定された脆弱性についての数値リスク・レベル評価値を判定するように構成されるリスク・レベル評定モジュールを含むこともできる。好ましい実装によれば、リスク・レベル評定モジュールは、複数の衝撃カテゴリの各々について、各それぞれの脆弱性を、それが存在する場合には、悪用し得る各脅威又は脅威群に関連付けられる最高リスク・レベルを判定するようにさらに構成される。
【0018】
好ましい実装によれば、リスク・レベル評定モジュールは推奨是正措置を提供するようにも構成される。推奨是正措置は、例えば、現在のオペレーティング・システム・バッチの機能分析及びあらゆる検出された異常に基づく是正措置として、オペレーティング・システム・バッチのアップグレードを推奨するステップ、システム上で動作する現在のバージョンのアンチウイルス・ソフトウェアの機能分析及びあらゆる検出された異常に基づく是正措置として、アンチウイルスのアップグレードの要求を推奨するステップ、並びに/或いは1つ又は複数のリンク又はノードを介した、アクティビティ閾値レベルを超える又は超えない持続したアクティビティの検出に基づく是正措置として、リンク及びノード・ネットワーク構造の変更を推奨するステップを含むことができる。
【0019】
なおさらに、好ましい実装によれば、リスク・レベル評定モジュールは、最大リスク・レベル値を割り当てられた各特定されたネットワーク及び資産脆弱性については、追加の人間の介入を用いず、警報及び対策(例えば、軽減策)を開始し、最大リスク・レベル未満の或るリスク・レベルを有する各特定されたネットワーク資産脆弱性については、リスク評価データを企業管理システムへ転送するように構成される。この構成では、システム及びプログラム製品は、自動化された資産を最重要リスクにのみ集中させ、重要性がより低いリスクは、脆弱性軽減のために資源を拡張すべきか否か、又はいつそれを行うべきかを判断するべく管理者によってさらに調べられるように残しておく。
【0020】
既存の自動方法は、主として、異なるサイバー・セキュリティ基準に従う純粋なITインフラストラクチャに重点が置かれており、PN&S用のものとは異なる結果尺度を有する脅威及び脆弱性の可能性であるが、本発明の実施例は、PN&Sの脆弱性に対処する、重要なインフラストラクチャを対象とする業界専用アプリケーションを有利に提供することに留意されたい。従って、本発明の様々な実施例は、石油及びガスPN&S産業専用に特化したサイバーの観点からPN&Sを評価する自動リスク評価ワークフロー・プロセスを有利に提供する。しかし、自動リスク評価ワークフロー・プロセスは、変電所、水道施設など等の他のプロセス・オートメーション・ベースの業界に利用されるように容易に拡張することができる。
【0021】
有利には、本発明の様々な実施例は、例えば、脅威/脆弱性の可能性、及び結果として生じる望ましくない事象の結果等のリスク・レベル方程式ファクタに基づいてリスクを評価する。ファクタは、これらのファクタ及び全資産目録の確立された知識ベースからあらかじめ定義される。標準フォーマット化及び/又はテンプレートの適用の結果、このようなリスク評価は有利に定期的に実行され、それにより、単独の別々のリスク評価のみを調べる場合には別様に気付かぬまま進むであろう進行を検出することができる。
【0022】
さらに、本発明の様々な実施例は、異なる層の管理に対応するとともに、全組織の間で一貫性のある自動報告の発行を可能とするツールを有利に提供する。これらの報告は、色分けされたリスク点数、テーブル、グラフ及び統計を示す図表を含むことができる。これらの報告は、アナリストによって、報告のエンド・ユーザの固有の要求に適合するように有利に容易に編集され、カスタマイズされることもできる。
【0023】
手動リスク評価によって提供される結果とは対照的に、本発明の様々な実施例による自動手法は、はるかに短い時間フレームでネットワーク及びシステムの弱点を評定することができる。様々な自動リスク分析ツールは、あらゆる規模の操作用及び管理用システムに容易に適合可能であり、一般的に、或る安全保護の実装の結果をユーザが迅速に調査することを可能とする。加えて、有利には、本発明の様々な実施例によれば、リスク分析は高度な技能を持つアナリストを必要とせず、ワークフロー・プロセスにおける人間の関与を最小限に留めることができる。さらに有利には、本発明の様々な実施例によれば、PN&S管理者は、手動ワークフローの3分の1以下と推定される期間内にリスク分析を遂行することができる。本発明の様々な実施例よって提供されるツールは、約60%以上もの劇的な工数の減少、品質の向上、技術者の知識の深化、並びにリスク評価プロセスの簡素化及び分散化をもたらすと期待されている。
【0024】
本発明の特徴及び利点並びにその他のことが明らかになり、より詳細に理解され得るように、以上に簡単に要約された本発明のより具体的な説明が、本明細書の一部を成す添付の図面に示される本発明の実施例を参照して行われてよい。ただし、図面は単に本発明の様々な実施例を示すのみであり、従って、本発明は他の有効な実施例も含んでよいので、本発明の範囲の限定と見なされるべきではない、ことに留意されたい。
【図面の簡単な説明】
【0025】
【図1】本発明の実施例による産業プロセス施設における複数の主要ネットワーク資産を含む複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するシステムの一般的なシステム・アーキテクチャの概略図である。
【図2】本発明の実施例による可能性評価値テーブル/マトリックスを示す図である。
【図3】本発明の実施例による結果−衝撃深刻度レベル・テーブル/マトリックスを示す図である。
【図4】本発明の実施例によるリスク・レベル評価値テーブル/マトリックスを示す図である。
【図5A】本発明の実施例による複数のプロセス制御ネットワーク及びシステム上でサイバー・セキュリティ・リスク評価サイバー・セキュリティ・リスク評価を遂行する例示的な方法を示す概略フロー図である。
【図5B】本発明の実施例による複数のプロセス制御ネットワーク及びシステム上でサイバー・セキュリティ・リスク評価サイバー・セキュリティ・リスク評価を遂行する例示的な方法を示す概略フロー図である。
【図6】本発明の実施例によるシステム・モジュール間の部分的データフローを示す概略図である。
【図7】本発明の実施例によるリスク・レベル処理を示す概略ブロック図及び概略フロー図を組み合わせた図である。
【発明を実施するための形態】
【0026】
これより、以下において、本発明の実施例を示す添付の図面を参照しながら本発明がより完全に記載される。ただし、本発明は多くの異なる形態で具体化されてよく、本願明細書において説明される図解付きの実施例に限定されると解釈されてはならない。むしろ、これらの実施例は、本開示が綿密且つ完全となり、当業者に本発明の範囲を完全に伝えるようにするために提供される。全体を通じて、同様の符号は同様の要素を指す。プライム記号の表記が用いられている場合には、それは代替実施例における同様の要素を示す。
【0027】
図1〜7は、主として石油及びガス業界内のプラント・ネットワーク及びシステム(「PN&S」)向けに構成された自動サイバー・セキュリティ・リスク評価ワークフロー・プロセスを遂行する例示的なシステム、プログラム製品、及び方法を示す。ただし、それらは、変電所、水道施設など等の他のプロセス・オートメーション・ベースの産業に用いられるように容易に拡張できる。
【0028】
図1におそらく最もうまく示されるように、複数のプロセス制御ネットワーク及びシステム上で自動サイバー・セキュリティ・リスク評価を遂行する産業及びプロセス制御アプリケーション・リスク評価システム30の実例が、プロセッサ33、該プロセッサ33に結合され、内部にソフトウェア及びデータベース・レコードを格納するメモリ35を有するサイバー・セキュリティ・リスク評価コンピュータ31、並びにソフトウェア及びデータベース・レコードを扱うためのユーザ・アクセスを提供するために、グラフィック画像表示用のグラフィック・ディスプレイ39、及び当業者に周知の通りのユーザ入力デバイス41を含むことができるユーザ・インタフェース37を含む。コンピュータ31は、パーソナル・コンピュータの形態のもの、又は複数のユーザ・インタフェース37にサービスを提供するサーバの形態のものであることができることに留意されたい。従って、当業者に周知のように、ユーザ・インタフェース37はコンピュータ31に直接接続されることもできるし、ネットワーク/ネットワーク・バス43を通じて接続されることもできる。
【0029】
システム30は、産業及びプロセス制御システム・スキャン・モジュール51、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53、リスク・レベル評定モジュール55、リスク評価ユーザ・インタフェース・モジュール57、並びにリスク評価報告リポジトリ・モジュール59を含むこともできる。これらはハードウェアの形態で実装されることもソフトウェアの形態で実装されることもできる。ソフトウェアの形態で実装される場合には、モジュールの少なくとも一部分は一般的にサイバー・セキュリティ・リスク評価コンピュータ31のメモリ35内に格納され、残りの部分がある場合には、その部分は、サイバー・セキュリティ・リスク評価コンピュータ31の外部にあるが、なおそれによってアクセス可能なメモリ(不図示)内に格納される。特定の機能を遂行するように記載されているが、当業者であれば、このような機能はソフトウェア/プログラム製品の命令の実行を通じてコンピュータ及び/又はプロセッサ上で機能的に遂行されること、並びに本願明細書に記載されているプログラム製品/ソフトウェア・モジュールは、このようなコンピュータによって実行可能な命令セットを含むことを理解するであろうことに留意されたい。
【0030】
すでに述べたように、従来の手動プロセスはプロフェッショナル及び彼らの専門知識のレベルに完全に依存する。従って、システムのリスク評価の一貫性は、企業、及び又は業界内の異なるシステム、プラント間で異なってしまう場合がある。さらに、このようなリスク、脆弱性、関連する脅威、及び関連する結果を推定する手法は、不整合を起こしやすい。有利には、本自動システムは、エンド・ユーザがすべての関係変数を入力するための「テンプレート」を提供する。さらに、テンプレートは、全体目的を達成するために、異なるシステム・モジュールの間で交換される。
【0031】
当業者によって理解されるように、システム30は、サイバー・セキュリティ・リスク評価コンピュータ31に動作可能に結合されるメモリ(内部又は外部)内に格納される1つ又は複数のテーブル/マトリックス及び/又はデータベースを含むこともできる。1つ又は複数のテーブルは、例えば図2に示される可能性評価値テーブル/マトリックス71、例えば図3に示される結果−衝撃深刻度レベル・テーブル/マトリックス73、例えば図4に示されるリスク・レベル評価値テーブル/マトリックス75を含むことができる。1つ又は複数のデータベースは、脅威対脆弱性の可能性及び結果データ・リポジトリ81(例えば、図1参照)、並びにリスク評価報告リポジトリ83を含むことができる。
【0032】
産業及びプロセス制御システム・スキャン・モジュール51は、あらかじめ定義された実行サイクル(スケジュール)に基づき、又は計画外のHMIのトリガによるプログラム呼び出しに基づき、システム及びネットワーク・セキュリティ、脆弱性、ウイルス、リンク輻輳、ノード輻輳を実行するように構成される。例示的な構成によれば、スキャン・モジュール51は、以前のウイルス、アンチウイルス、オペレーティング・システム・バッチ、エキスパート質問表結果についての完全なデータベース・ライブラリを有し、データベースをモジュール51の成果と比較し、それにより異常を特定するシステム相互関係比較機能を有する。スキャン・モジュール51は、リンク性能、使用率、及びノードCPU処理使用率を取得する機能も有する。スキャン・モジュール51は、評定を受けるすべてのシステム及びネットワークからのスキャン出力を受信し、それらの間のあらゆる相互関係比較を処理し、最適セキュリティ構成と検出されたセキュリティ構成との間の食い違い又は差異を特定し、それをリスク・レベル評定モジュール55へ送信させることができる。異常のフラグをたてるために用いられる論理の実例は、例えば、以下のものによって与えられることができる:もし「スキャン結果」が「データベース参照」と等しくなければ、このとき、違反としてフラグをたてる。
【0033】
脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53は、主として、脅威及び脆弱性発生の可能性を判定し、又は他の方法で特定し、個々の衝撃を受けるシステム及び全体的なプラント動作の両者にもたらされる結果を定義するように構成される。例示的な構成によれば、モジュール論理は、最大の可能性の脆弱性より開始して最小のものへと至る多段決定木論理「もし....であれば、このとき...さもなくば....」に基づく。リポジトリ・モジュール53は、リスク・レベル評定モジュール55及びリスク評価ユーザ・インタフェース・モジュール57とのインタフェースを有する。例示的な構成では、例えば、質問表を利用してユーザによって入力される結果、並びにユーザによって入力されるか又は自動スキャン・ツールを通じて得られる可能性等の入力が、リスク評価ユーザ・インタフェース・モジュール57を通じて管理される。リポジトリ・モジュール53は、リスク・レベル評定モジュール55への入力として用いることができる完成したリスク結果データを有利に保持することができる。
【0034】
リスク・レベル評定モジュール55は、主として、産業及びプロセス制御システム・スキャン・モジュール51、並びにリスク評価ユーザ・インタフェース・モジュール57を通じてユーザによってすべて記入された質問表によって取得された各潜在脆弱性についての「リスク・レベル」を特定するように構成される。例示的な構成によれば、リスク・レベル評定モジュール55は、産業及びプロセス制御システム・スキャン・モジュール51、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53、並びにリスク評価ユーザ・インタフェース・モジュール57とインタフェースをとる。リスク・レベル評定モジュール55は、オペレーティング・システム・バッチのアップグレード及びアンチウイルスのアップグレードの要求等の推奨是正措置を提供する機能を有する。さらに、モジュール55は、使用率が高く、それぞれの産業及びプロセス制御アプリケーションのフィーチャ又は機能の遅滞、表示損失、及び/又は制御損失を生じさせ得るリンク及びノードの特定に対応して、トラフィック再ルーティングを是正措置として推奨することができる。
【0035】
リスク評価ユーザ・インタフェース・モジュール57は、主として、PN&Sリスク評価ワークフロー・プロセスのための全論理を実行するためのフロント・エンド・ユーザ・インタフェースを提供するように構成される。例示的な構成によれば、インタフェース・モジュール57は、プラント全体に関わる、且つ/又は個々のアプリケーション・システム、ネットワーク若しくはその両方に特化した質問表にすべて記入せよとユーザを促すように機能する。モジュール57は、産業及びプロセス制御システム・スキャン・モジュール51、脅威/脆弱性の可能性及び結果データ・リポジトリ・モジュール53、並びにリスク評価結果報告リポジトリ・モジュール59とインタフェースをとり、リスク・レベル評定モジュール55とインタフェースをとることもできる。例示的な構成によれば、インタフェース・モジュール57は、是正対策ワークフローを開始するために企業管理システム91とインタフェースをとり、軽減策に対する迅速な応答及び/又は追跡を求めて、あらかじめ定義されたユーザ又はシステムとのリスク評価通信を報告するべく、メッセージ警告システム93、テスト・メッセージ及び/又は電子メール・ベース並びに軽減策追跡システム95(対策システムの実例)とインタフェースをとる機能も有する。モジュール57は、現在のリスク評価及び以前に完成したリスク評価についての報告を生成する機能も有する。報告は、印刷したり又は電子メールを介して送信したりすることができる。報告は、普通テキスト、マイクロソフト、若しくはPDFベースのもの、又は例えばHTMLなど等のその他の形式のものとすることができる。
【0036】
リスク評価報告リポジトリ・モジュール59は、主として、すべての完成したリスク評価のためのデータ保管を提供するように構成される。例示的な構成によれば、本モジュールはリスク評価ユーザ・インタフェース・モジュール57を通じてアクセスされ、プラントによる報告を生成すること、脆弱性による報告を生成すること、主要性能インディクタに基づく報告を生成すること、異なるフォーマットの印刷をサポートすること、並びに生成された報告のローカル及び/又はリモート・プリンタへの送信をサポートすることができる。
【0037】
可能性評価値テーブル/マトリックス71(図2)は、主として、発生頻度及び又は脅威の予測/予想発生頻度を示す定性的な可能性を提供するように構成される。この点に関して、例示的な構成によれば、可能性はこのような事象の頻度又は確率の推定値として定義され、4つのカテゴリ、すなわち、「可能性高」、「可能性中」、「可能性低」、及び「ほぼ可能性無し」によって表される。テーブル/マトリックス71はこれらの用語のさらなる定義を反映する。これらの項目はリポジトリ81内で定義され、更新されることができる。用語及びカテゴリは実例として提供されていることに留意されたい。しかし、異なる用語を有する追加のカテゴリも本発明の範囲に含まれる。
【0038】
結果−衝撃深刻度レベル・テーブル/マトリックス73(図3)は、主として、結果及び望ましくない事象の「財務的価値」の特定/判定に用いられるテンプレートを提供するように構成される。この点に関して、例示的な構成によれば、テーブル/マトリックス・テンプレートは、テーブル/マトリックス内で定義される、以下の衝撃深刻度:「甚大」、「大」、「小」、及び「衝撃無し」に対する、「傷害」、「財務損失」、「環境放出」、「生産の中断」、及び「公衆イメージ(信用棄損)」を含む衝撃カテゴリを提供する。これらの項目はリポジトリ81内で定義され、更新されることができる。用語及びカテゴリは実例として提供されていることに留意されたい。しかし、異なる用語を有する追加のカテゴリも本発明の範囲に含まれる。従って、テーブル/マトリックス73は、エンド・ユーザによって管理される更新柔軟性を含むことができることを理解されたい。この柔軟性は、異なる業種及び現場によって重大性の解釈が異なる場合があるという事実を考慮するものである。例えば、現場によっては、「生産の中断」時間の深刻度を異なる期間で定義してよい。
【0039】
リスク・レベル評価値テーブル/マトリックス75(図4)は、主として、脅威結果の予想衝撃レベルを考慮して、特定の特定された脆弱性につけ込むことができる脅威が存在し得る結果、望ましくない事象が発生するリスクの定性値を提供するように構成される。この点に関して、例示的な構成によれば、テーブル/マトリックス・テンプレートは、「脅威結果」カテゴリ(例えば、「甚大」、「大」、「小」、及び「衝撃無し」)と交差する、「脅威の可能性」カテゴリ(例えば、「可能性高」、「可能性中」、「可能性低」、及び「ほぼ可能性無し」)を提供する。用語及びカテゴリは実例として提供されていることに留意されたい。しかし、異なる用語を有する追加のカテゴリも本発明の範囲に含まれる。
【0040】
例示的な構成では、リスク・レベル=4であれば、リスクは容認不可能であり、緊急措置が必要である。この場合には、推奨軽減策を速やかに実施し、プログラム論理をもう一度再実行することによってリスクを再評価せよとの警報メッセージが対策システムへ送信されなければならない。リスク・レベル=3であれば、リスクは容認不可能であり、措置が必要である。これは、例えば、必要な軽減策をスケジュールするために企業資源計画(enterprise resource planning、ERP)システムへ転送されることになる。リスク・レベル=2であれば、リスクは容認可能であり、措置は管理者の承認を必要とする。これは、例えば、必要な軽減策の開始及び承認のためにERPシステムへ転送されることになる。リスク・レベル=1であれば、リスクは容認可能であり、措置は必要ない。これは、例えば、調査結果を記録するためにERPシステムへ転送されることになる。上述と同様に、特定のリスク・レベル値及び関連手続きは例示のためのものであることに留意されたい。しかし、追加のレベル及び/又は手続きも本発明の範囲内に含まれる。
【0041】
好ましい構成によれば、システム30は、スキャン成果と、異なるシステム・モジュール内で定義されたデータ及びテンプレートとの相互関係を比較する。有利には、このプロセスは、以下において詳細に記載されるように、システム・リスク評価プロセスによって定義される通りのデータ・マイニング、マッピング及び報告を含む非常に複雑な課題をサポートする専門のプロフェッショナルの依存性又は必要性を大幅に低減する役割を果たすことができる。
【0042】
システム30は、主として、産業及びプロセス制御アプリケーション・リスク評価システム30を他の別個且つ/又は独立したシステムにインタフェースで接続するように構成される、ソフトウェアインタフェース(不図示)を含むこともできる。有利には、インタフェースは、プロセス制御のための、オブジェクトのリンクと埋め込み(Object Linking and Embedding、OLE)を含むオープン・スタンダード・インタフェースをサポートすることができる。インタフェースは、例えば、企業管理システム91、メッセージ警告システム93、及び軽減策追跡システム95等の外部システムに対するインタフェース機能を提供する。それ故、有利には、リスク評価の結果、軽減策、ワークフロー、及び/又は通信は、産業及びプロセス制御アプリケーション・リスク評価システム30内の内部モジュールによってサポートされることもできるし、企業管理システム91、メッセージ警告システム93、及び軽減策追跡システム95を含む他の外部システムによってサポートされることもできる。
【0043】
システム30は、サイバー・セキュリティ・リスク評価コンピュータ31のメモリ内に格納され、複数のプロセス制御ネットワーク及びシステムに関するサイバー・セキュリティ・リスク評価を遂行するサイバー・セキュリティ・リスク評価プログラム製品101を含むこともできる。プログラム製品は、サイバー・セキュリティ・リスク評価コンピュータ31によって実行されると、上述のモジュールの機能性及び後述の方法ステップを実施するものを含む、上述の様々な操作及び後述の方法ステップをコンピュータに遂行させるモジュールを形成する命令セット及び/又は命令セット群を含む。当業者によって周知され、理解されているように、サイバー・セキュリティ・リスク評価プログラム製品101は、ハードウェアの機能を制御してその動作を誘導する順序付けられた操作のセット群のための特定のセットを提供するマイクロコード、プログラム、ルーチン、及び記号言語の形態のものであることができることに留意されたい。当業者によって周知され、理解されているように、本発明の実施例によれば、サイバー・セキュリティ・リスク評価プログラム製品101は、全体が揮発性メモリ内に常駐する必要はなく、必要に応じて、様々な手法によって選択的にロードされることができることにも留意されたい。
【0044】
図5A〜5Bは、本発明の実施例による複数のプロセス制御ネットワーク及びシステム上でサイバー・セキュリティ・リスク評価サイバー・セキュリティ・リスク評価を遂行する例示的な方法を示す高レベル・フロー図を示す。例示的な構成によれば、例えば脅威対脆弱性の可能性及び結果データ・リポジトリ81内に格納される知識ベースを確立する最初のステップとして、全ネットワーク及びシステム資産の在庫管理が遂行され、少なくとも複数のプロセス制御ネットワーク及びシステム内の主要ネットワーク資産の各々を特定する(ブロック111)。
【0045】
ネットワーク資産保全性分析も遂行され、ネットワーク及びシステム・トポロジー、ネットワーク・システム及び資産セキュリティ、並びに資産使用率を特定し、それにより、各既知の脅威に対する脆弱性を判定する(ブロック113)。分析は、各リンクを経由するトラフィック・レベル並びに各ノードについての性能レベル、トラフィック、及びノードCPU使用率を含む、現在のネットワーク・セキュリティ、既知の脆弱性、ウイルス、リンク及びノード輻輳の特定を含むことができ、各既知の脅威に対する脆弱性各資産を判定し、それにより、各潜在脆弱性を判定する(ブロック115)。
【0046】
サイバー・セキュリティ脅威及び脆弱性の可能性は、例えばスキャン・モジュール51等のスキャン・ツールによって自動的に、且つ/又は、システム・セキュリティ・アナリストによって手動で、且つ/又はSANS等の国際セキュリティ機関から得ることができる。例示的な構成によれば、スキャン・ツール51は、例えば簡易ネットワーク管理プロトコル等の標準プロトコルを利用することによってネットワーク・トポロジーを検出し、判定する機能を有する。その機能の一部として、ノード、トランク、及びアクセス・ポートの性能データが収集され、ユーザに提示される。ツールは、ネットワーク資源の使用率過小領域及び過大領域の双方を示すこともできる。手動及び自動プロセス双方の方法で得られた情報はリポジトリ81内で定義され、更新される。加えて、リポジトリ・モジュール53を利用して、資産価値が記録され、リポジトリ81内に格納されることができる。
【0047】
各重要ネットワーク資産(個別及びクラスタ)、及び他の資産に対するその影響を特定すると、それぞれの資産の制御損失に関連付けられる、複数の衝撃カテゴリの各々についての損失価値、例えば、図3に示される結果−衝撃深刻度レベル・テーブル/マトリックス73の形式のもの等、が割り当てられることができる(ブロック117)。有利には、このプロセス・ステップは、脆弱性及び/又はこのような脆弱性に影響を及ぼす既知の脅威の存在の判定の前、且つ/又はこのような判定の後に遂行されることができる。
【0048】
脅威が或る脆弱性を悪用することにより、或るあらかじめ定義されたプラント資産にもたらされる結果又は衝撃は、プラント資産価値目録に基づいて判定することができ、これは、システム・アナリスト及びシステム所有者が共同で定義することができる。すなわち、既知の脅威、その既知の脅威に対して脆弱な資産、その資産に対して予期される衝撃レベル、及び可能性評価値(例えば、図2参照)を特定すると、各資産(Ai);i=1 to Mについて、例えば図3に示されるもの等の、様々な被害のカテゴリについての、様々な衝撃レベル・カテゴリに応じた財務的(損失)価値が割り当てられる、又は他の方法で判定されることができる(ブロック119)。
【0049】
例示的な構成によれば、ブロック131〜134に示されるように、1つ又は複数の脆弱性の各々(Vk);k=1 to Oに衝撃を与える可能性のある各既知の脅威(Tj);j=1 to Nについて、以下のものが判定される:脅威による関連する特定された脆弱性の悪用に関連付けられる望ましくない事象のカテゴリ別発生の可能性であって、それにより、それぞれの脅威についての、関連する特定された脆弱性に関する別個のカテゴリ別可能性評価値(例えば、可能性高、可能性中、...)を判定する、望ましくない事象のカテゴリ別発生の可能性(図2も参照)、並びに複数の衝撃カテゴリ(例えば、甚大、大、...)の各別個のものについて、特定された脆弱性の悪用に関連付けられる制御概観損失等の予想結果(脅威結果)を定義するカテゴリ別衝撃深刻度レベルであって、それにより、複数の衝撃カテゴリに関連付けられる最高衝撃深刻度レベル評価値を判定する、カテゴリ別衝撃深刻度レベル(図3も参照)。
【0050】
実例として、スキャン・モジュール51が、アンチウイルス・プログラムをインストールしていないオペレーティング・ウィンドウズ(登録商標)・システムに基づいたプロセス制御システムを検出したと仮定する。このシナリオでは、脆弱性は、システム上にインストールされている「アンチウイルス(ソフトウェア)がない」である。脅威は「ウイルス攻撃」である。「ウイルス攻撃」発生の可能性は「可能性高」である。衝撃深刻度レベルは「甚大」である。「結果」は「財務的価値」に対する衝撃である。「財務的価値」(例えば、図3参照)は、例えばユーザによってテンプレート/マトリックス73に基づいて定義され、リポジトリ・モジュール81内で更新される。その後、これらの詳細は、エンド・ユーザによって、例えばリスク評価ユーザ・インタフェース・モジュール57を通じて、リポジトリ・モジュール”81内に移植される。
【0051】
図6に示されるように、産業及びプロセス制御システム・スキャン・モジュール51、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53からの出力、リスク評価ユーザ・インタフェース・モジュール57を通じたシステム・アナリストからの入力は、必要であれば、リスク・レベル評定モジュール55がリスク・レベルを算出するための入力を構成する。具体的には、例示的な構成によれば、ユーザがリスク評価ユーザ・インタフェース・モジュール57を通じて評価を実行すると、システムが実行され、リスク・レベル評定モジュール55を通じて成果を報告することになり、成果は、リスク評価ユーザ・インタフェース・モジュール57を介して表示され、リスク評価報告リポジトリ・モジュール59を介してリスク評価報告リポジトリ83内に保存/記録される。レベル評定モジュール55はカテゴリ別可能性評価値に応答してリスク・レベル評価値を判定し、1つ又は複数の脆弱性の各々(Vk);k=1 to Oに衝撃を与える可能性のある各既知の脅威(Tj);j=1 to Nについて、最高衝撃深刻度レベル評価値が判定される(ブロック135)。
【0052】
上に示されたように、脅威及び脆弱性は相互に結びつき、関連している。例示的な構成によれば、それらは一対に組み合わせられ、或る脅威が或る脆弱性を悪用することになる可能性を記述する。さらに、上に示されたように、リスク評価プロセスは定性分析技法を使ってリスク・レベルを判定し、精密な数値は反映しない。リスク・レベルを数値に変換するために、例えば、図4に示されるリスク・レベル評価値テーブル/マトリックス75等の変換テーブル又はマトリックスを用いることができる。
【0053】
上述の実例を続けて、「脆弱性」は、或るシステム内にアンチウイルスがない、であり、「脅威」は、ウイルス又はマルウェアが、保護されていないシステムを攻撃することになる、であり、このような攻撃の可能性は「可能性高」であり、ほぼ確実である。このような攻撃によってシステムにもたらされる「結果」は、攻撃の結果、システムはダウンするであろう、そして、オペレータはプラントの制御を失うことになる、になるであろう。従って、上述のあらかじめ定義された結果−衝撃深刻度レベル・テーブル/マトリックス73(例えば、図3参照)から、衝撃深刻度レベルは「甚大」と定義されるであろう。それ故、リスク・レベルは(脅威の可能性×脆弱性の可能性)×結果のファクタであることに留意すれば、リスク・レベルは「可能性高」×「甚大」となるであろう。リスク・レベル評定モジュール55内にプログラムされた上述のあらかじめ定義されたリスク・レベル・テーブル/マトリックス75(例えば、図4参照)を参照すると、本例では、「損失効果」を考慮した望ましくない事象のリスクは、リスク・レベル値4が割り当てられている。これは、リスクは容認不可能であり、緊急措置が必要であることを意味する。
【0054】
しかし、図3を参照すると、脅威は、1つを超える衝撃カテゴリを用いて分類されることができる。それ故、ブロック151〜152に示されるように、例示的な構成によれば、選択される重大性評価値(リスク・レベル)は、最も甚大である評価値でなければならない。すなわち、或る複数の脅威が特定された場合、又は単独の脅威が複数の衝撃カテゴリに対して異なる衝撃をもたらす場合には、システムは、リスク・レベルを判定するために最高衝撃レベルを選択することができる。これは以下のシナリオにおいてさらに説明されることができる:一方のリスクは30分未満の生産中断(すなわち、小衝撃レベル、リスク・レベル=2に換算)を生じさせ、もう一方は死亡(すなわち、甚大衝撃レベル、リスク・レベル=4に換算)を生じさせることになろう複数のリスクがある場合、全体としてのリスク・レベルは4−深刻度の最高−として評価値付けられる。
【0055】
例示的な構成によれば、リスク・レベル評定モジュール55を介して、産業及びプロセス制御システム・スキャン・モジュール51によって報告された情報、並びに脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53によって報告された情報を利用し、2つのデータ・ソースの間の比較分析及び相互関係比較を呼び出すことによって、軽減策が開発される。軽減策は相互関係比較出力の結果に基づいて生成され(ブロック161)、軽減策は実行のために待ち行列に入れられる(ブロック162)。実行は、判定されたリスク・レベルに依存して、即時とすることも遅らせることもできる。「衝撃無し」のリスク対策は必ずしも対策策である必要はなく、むしろ、管理通知等と同様のものになろうと理解するべきであることに留意されたい。
【0056】
実例として、もし、脅威対脆弱性の可能性及び結果データ・リポジトリ・モジュール53が、バージョン#3のアンチウイルス・ソフトウェアを有するか、又はそれが入手可能になっていることを示し、スキャン出力が、スキャンしたシステムはバージョン#1のアンチウイルス・ソフトウェアであることを示すならば、このとき、データ相互関係比較出力はアンチウイルスのバージョンの差異を示すことになり、例えば、バージョン#3のアンチウイルス・ソフトウェアでシステムの更新を遂行すること等の軽減策を推奨することになる。
【0057】
より一般的に言えば、もし、「スキャン結果」が「データベース参照」と等しくなければ、このとき、違反としてフラグをたて、「データベース参照を呼び出す」を指定して待ち行列に入れる。例えば、もし、「パスワード」が「7つの英数字」と等しくなければ、このとき、違反としてフラグをたてる。ここで、「違反」は「パスワード違反」と等しく、「軽減策」は「7つの英数字」と等しい。
【0058】
図7は、それぞれの脅威−脆弱性についての最高リスク・レベルの判定後の処理ステップを示す。例えば、171にて示されるシステム30の決定部に4のリスク・レベルが入ると仮定すると、例示的な構成によれば、システム30は、警報システム93、続いて対策システム95及び企業管理システム91にデータを提供する。システム30の決定部171に3のリスク・レベルが入ると仮定すると、図示の構成では、警報システム93及び対策システム95は、最初はバイパスされ、データは、任意の軽減策の実施及びタイミングに関して管理者の判断を求めるために、企業管理システム91へ直接送信される。
【0059】
上述の本発明の実施例は、完全に機能的なシステム及びプロセスとの関連で記載されているが、当業者は、本発明及び/又はその態様の少なくとも一部の機構は、プロセッサ、プロセッサ群、又は同様のものの上で実行するための命令セットを格納する様々な形式のコンピュータ可読媒体の形態で配布できること、並びに本発明の実施例は、実際に配布を行うために用いられる特定の媒体形式にかかわらず、等しく適用されることを理解するであろうことに留意しておくことが重要である。コンピュータ可読媒体の実例としては、以下のものに限定されるものではないが、リード・オンリー・メモリ(read only memories、ROM)、CD−ROM、及びDVD−ROM、又は消去可能電気的プログラム可能リード・オンリー・メモリ(erasable, electrically programmable read only memories、EEPROM)等の不揮発性のハード・コード型媒体、フロッピー(登録商標)・ディスク、ハード・ディスク・ドライブ、CD−R/RW、DVD−RAM、DVD−R/RW、DVD+R/RW、HD−DVD、メモリ・スティック、ミニ・ディスク、レーザ・ディスク、ブルー・レイ・ディスク、フラッシュ・ドライブ、及びその他のより新しい種類のメモリ等の記録可能型媒体、並びに、例えば、命令セットを格納可能なデジタル及びアナログ通信リンク等の或る種の伝送型媒体が挙げられる。このような媒体は、例えば、プログラム製品101に関して上述された操作命令及び操作命令、並びに上述された、サイバー・セキュリティ・リスク評価遂行方法の様々な実施例による方法ステップのコンピュータ実行可能部分の両者を包含することができる。
【0060】
本出願は、2011年1月10日に出願され、System,Program Product, and Methods For Performing a Risk Assessment Workflow Process For Plant Networks and Systemsと題し、その全体が参照により援用されている米国特許出願第12/987,635号に対する優先権を主張する。
【0061】
図面及び明細書においては、本発明の典型的な好ましい実施例が開示されており、特定の用語が用いられているが、用語は説明の意味でのみ用いられているのであり、限定の目的で用いられているのではない。本発明は、これら図解付きの実施例に特に関連して相当詳細に記載されている。しかし、以上の明細書に記載されている通りの本発明の趣旨及び範囲内で様々な修正及び変更がなされ得ることは明らかであろう。