特許第5994265号(P5994265)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 横河電機株式会社の特許一覧

特許5994265セキュリティシステムおよび通信制御方法
<>
  • 特許5994265-セキュリティシステムおよび通信制御方法 図000002
  • 特許5994265-セキュリティシステムおよび通信制御方法 図000003
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5994265
(24)【登録日】2016年9月2日
(45)【発行日】2016年9月21日
(54)【発明の名称】セキュリティシステムおよび通信制御方法
(51)【国際特許分類】
   G05B 19/048 20060101AFI20160908BHJP
【FI】
   G05B19/048
【請求項の数】5
【全頁数】9
(21)【出願番号】特願2012-21572(P2012-21572)
(22)【出願日】2012年2月3日
(65)【公開番号】特開2013-161199(P2013-161199A)
(43)【公開日】2013年8月19日
【審査請求日】2015年1月7日
(73)【特許権者】
【識別番号】000006507
【氏名又は名称】横河電機株式会社
(72)【発明者】
【氏名】佐藤 勇二
(72)【発明者】
【氏名】末木 成典
(72)【発明者】
【氏名】江守 敏幸
【審査官】 川東 孝至
(56)【参考文献】
【文献】 特開2002−297702(JP,A)
【文献】 特開2010−092090(JP,A)
【文献】 特開2005−301935(JP,A)
【文献】 特開2009−048289(JP,A)
【文献】 特開2006−099171(JP,A)
【文献】 特開2003−076401(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 19/04−19/05
(57)【特許請求の範囲】
【請求項1】
フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステムにおいて、
前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付手段と、
前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付手段を介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御手段と、
を備え、
前記受付手段は、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、
前記制御手段は、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、
前記受付手段は、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とするセキュリティシステム。
【請求項2】
前記受付手段および前記制御手段は、前記機器との間で前記フィールド制御システムの制御ネットワークに接続された上位機器に設けられることを特徴とする請求項1に記載のセキュリティシステム。
【請求項3】
前記受付手段による受け付け履歴を保存する履歴保存手段を備えることを特徴とする請求項1または2に記載のセキュリティシステム。
【請求項4】
前記制御手段により一定時間にわたり前記機器のメンテナンスポートを介する通信が可能な状態が継続した場合に、その旨を通知する通知手段を備えることを特徴とする請求項1〜3のいずれか1項に記載のセキュリティシステム。
【請求項5】
フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保する通信制御方法において、
前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付ステップと、
前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付ステップを介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御ステップと、
をコンピュータが実行し、
前記受付ステップでは、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、
前記制御ステップでは、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、
前記受付ステップでは、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする通信制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステム等に関する。
【背景技術】
【0002】
制御システムを構成するコントローラ機器には、メンテナンスのためにUSB、Ethernet(登録商標)、RS232C等の通信によるメンテナンスポートを備えたものがある。通常、メンテナンスポートは保守員による機器の状態の取得、機器パラメータの変更、ファームウェアの更新等の目的で使用されており、制御システムが稼働中にもメンテナンスポートを介して機器へのアクセスが行われる場合もある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−148609号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
パーソナルコンピュータでは、例えば、Ethernet(登録商標)経由での通信を行う場合などのセキュリティを強固なものとすることができるが、これと比較してコントローラ機器などのメンテナンスサポートはセキュリティに関する考慮が充分にされているとは言えない。コントローラ機器は専用のキャビネットに格納されており、一応のセキュリティが確保されているが、悪意に基づくアクセスの危険性がある。
【0005】
また近年、制御システムに対するサイバーテロの危険性が高まってきており、コントローラ機器のメンテナンスポートにおいてもセキュリティ対策を取る必要性が高まっている。
【0006】
また、1つのコントローラ機器に対して、通信モジュール、I/Oモジュール等の多数のモジュールが設置されている場合が多く、保守時に別のモジュールを誤って操作してしまうなどのヒューマンエラーの発生の可能性も排除できない。
【0007】
本発明の目的は、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できるセキュリティシステム等を提供することにある。
【課題を解決するための手段】
【0008】
本発明のセキュリティシステムは、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステムにおいて、前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付手段と、前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付手段を介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御手段と、を備え、前記受付手段は、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、前記制御手段は、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、前記受付手段は、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする。
このセキュリティシステムによれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。
【0009】
前記受付手段および前記制御手段は、前記機器との間で前記フィールド制御システムの制御ネットワークに接続された上位機器に設けられてもよい。
【0011】
前記受付手段による受け付け履歴を保存する履歴保存手段を備えてもよい。
【0012】
前記制御手段により一定時間にわたり前記機器のメンテナンスポートを介する通信が可能な状態が継続した場合に、その旨を通知する通知手段を備えてもよい。
【0013】
本発明の通信制御方法は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保する通信制御方法において、前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付ステップと、前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付ステップを介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御ステップと、をコンピュータが実行し、前記受付ステップでは、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、 前記制御ステップでは、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、前記受付ステップでは、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする。
この通信制御方法によれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。


【発明の効果】
【0014】
本発明のセキュリティシステムによれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。
【0015】
本発明の通信制御方法によれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。
【図面の簡単な説明】
【0016】
図1】一実施形態のセキュリティシステムが適用されるフィールド制御システムの構成を示すブロック図。
図2】一実施形態のセキュリティシステムの動作を示すフローチャート。
【発明を実施するための形態】
【0017】
以下、本発明によるセキュリティシステムの一実施形態について説明する。
【0018】
図1は、本実施形態のセキュリティシステムが適用されるフィールド制御システムの構成を示すブロック図である。
【0019】
図1に示すように、フィールド制御システムは、プラントに分散配置される複数のフィールドコントローラ10(図1では1台のフィールドコントローラ10のみを示している)と、フィールドコントローラ10を介してプラントに対する操作監視を行うための操作監視装置20と、を備える。複数のフィールドコントローラ10および操作監視装置20は、互いに制御ネットワーク4により接続される。また、操作監視装置20は外部ネットワーク5を介して上位機器と接続される。
【0020】
図1に示すフィールドコントローラ10には、フィールドネットワーク1を介するフィールド機器との間の通信機能、操作監視装置20との間のデータ入出力機能、その他の機能を有する通信モジュール11、I/Oモジュール12、モジュール13・・・等、種々の機能を有するモジュール群が実装される。
【0021】
また、フィールドコントローラ10の本体にはメンテナンスポート10pが、通信モジュール11にはメンテナンスポート11pが、I/Oモジュール12にはメンテナンスポート12pが、モジュール13にはメンテナンスポート13pが、それぞれ設けられる。
【0022】
これらのメンテナンスポートに外部コンピュータ3を接続することにより、各機器のメンテナンスを行うことができる。例えば、外部コンピュータ3をメンテナンスポート10pに接続することによりフィールドコントローラ10の本体のメンテナンスを、外部コンピュータ3をメンテナンスポート11pに接続することにより通信モジュール11のメンテナンスを、外部コンピュータ3をメンテナンスポート12pに接続することによりI/Oモジュール12のメンテナンスを、外部コンピュータ3をメンテナンスポート13pに接続することによりモジュール13のメンテナンスを、それぞれ行うことができる。メンテナンスは、各機器における機器の状態の取得、機器パラメータの変更、ファームウェアの更新等を目的としている。
【0023】
図1に示すように、操作監視装置20は、外部コンピュータ3から特定の機器の指定を受け付ける受付手段21と、受付手段21を介して上記指定を受け付けた場合に、上記特定の機器のメンテナンスポートを介する通信を可能な状態とする制御手段22と、受付手段21を介して受け付けられた上記指定等の情報の履歴を保存する格納部23を構成する。
【0024】
外部コンピュータ3および操作監視装置20には、無線通信等による通信機能が設けられ、この通信機能により外部コンピュータ3から操作監視装置20に向けてメンテナンスの開始および終了に際して必要な情報を送信することができる。
【0025】
次に、本実施形態のセキュリティシステムの動作について説明する。
【0026】
特定の機器に対してメンテナンスを行う場合、保守員は外部コンピュータ3を介して、予め定められた認証コードと、メンテナンス対象となる機器を指定する指定情報と、当該機器のメンテナンスポートを開く指令とを、操作監視装置20に向けて送信する。これに応答してメンテナンス対象となる機器のメンテナンスポートが開かれると、保守員はメンテナンスポートを介して外部コンピュータ3とメンテナンス対象となる機器とを接続し、必要なメンテナンスを実行することができる。メンテナンス終了後、保守員は当該機器のメンテナンスポートを閉じる指令を操作監視装置20に向けて送信する。これに応答してメンテナンスポートが閉じられることで、以降はメンテナンスポートを介する機器への操作が不可能となり、機器のセキュリティが確保されることになる。
【0027】
図2のステップS1〜ステップS8およびステップS11〜ステップS12は、操作監視装置20において実行される本発明に関わる動作を示すフローチャートである。
【0028】
図2のステップS1〜ステップS8は、メンテナンスポートの開閉およびタイマによる計時を制御する処理を示しており、この処理は外部コンピュータ3からのアクセスや指示に応じて実行される。
【0029】
外部コンピュータ3からの接続が確認されると、図2のステップS1では、受付手段21は、外部コンピュータ3から送信されてくる認証コードに基づき、外部コンピュータ3の使用者にシステム権限があるか否か判断し、判断が肯定されるのを待ってステップS2へ進む。ステップS1では、受付手段21は、この認証コードが正しい(所定の値をとる)か否かによりシステム権限の有無を判断することができる。
【0030】
次に、ステップS2では、受付手段21は、受信された指令を受け付けるとともに、この指令を、受信されている指定情報に対応付けて格納部23に格納する。これにより、受信された指令の履歴が記録される。
【0031】
次に、ステップS3では、制御手段22は、ステップS2で受付手段21により受け付けられた指令がメンテナンスポートを開くことを指示しているか否か判断し、判断が肯定されればステップS4へ進み、判断が否定されればステップS6へ進む。
【0032】
ステップS4では、制御手段22は、受信されている指定情報に示される機器に対して、制御ネットワーク4を介してメンテナンスポートを開くことの指示を発行、送信する。例えば、指定情報に示される機器が通信モジュール11であった場合には、当該指示は制御ネットワーク4を介して送信され、フィールドコントローラ10を経由して通信モジュール11に到達する。また、指定情報に示される機器がフィールドコントローラ10の本体であった場合には、当該指示は制御ネットワーク4を介してフィールドコントローラ10の本体に到達する。
【0033】
次に、ステップS5では、指定情報に示される機器のメンテナンスポートが継続して開いている時間を示すタイマを起動し、ステップS2へ戻る。
【0034】
一方、ステップS6では、制御手段22は、ステップS2で受付手段21により受け付けられた指令がメンテナンスポートを閉じることを指示しているか否か判断し、判断が肯定されればステップS7へ進み、判断が否定されればステップS3へ戻る。
【0035】
ステップS7では、制御手段22は、受信されている指定情報に示される機器に対して、制御ネットワーク4を介してメンテナンスポートを閉じることの指示を発行、送信する。例えば、指定情報に示される機器が通信モジュール11であった場合には、当該指示は制御ネットワーク4を介して送信され、フィールドコントローラ10を経由して通信モジュール11に到達する。また、指定情報に示される機器がフィールドコントローラ10の本体であった場合には、当該指示は制御ネットワーク4を介してフィールドコントローラ10の本体に到達する。
【0036】
次に、ステップS8では、上記タイマを停止して計時をリセットし、ステップS1へ戻る。
【0037】
図2のステップS11〜ステップS12は、上記タイマを用いて、機器のメンテナンスポートが継続的に開いている時間を監視する処理を示している。
【0038】
操作監視装置20では、ステップS11において上記タイマの計時が予め定められた設定時間を超えたか否か判断し、判断が肯定されるのを待って、ステップS12へ進む。ステップS12では、操作監視装置20において特定の機器のメンテナンスポートが一定時間(ステップS11の設定時間)以上継続して開いている旨を示すアラームを発報し、ステップS11へ戻る。
【0039】
上記タイマは、メンテナンスポートを有する機器ごとに用意されており、タイマによる監視処理(ステップS11〜ステップS12)では、いずれかの機器のメンテナンスポートが一定時間以上継続して開いている場合には、その機器ごとに別のアラーム(ステップS12)が発報される。
【0040】
図2のステップS21〜ステップS24は、各フィールドコントローラ10および各モジュール(通信モジュール11、I/Oモジュール12、モジュール13等)の起動後の動作を示すフローチャートである。
【0041】
図2のステップS21では、起動に際してメンテナンスポートのゲートを閉じ、メンテナンスポートを介する通信を遮断する。
【0042】
次に、ステップS22では、操作監視装置20で発行されたメンテナンスポートを開くことの指示(ステップS4)が受信されたか否か判断し、判断が肯定されればステップS23へ進み、判断が否定されればステップS21へ戻る。
【0043】
ステップS23では、メンテナンスポートのゲートを開き、メンテナンスポートを介する通信を可能な状態とする。これにより、保守員はメンテナンスポートを介して外部コンピュータ3と機器とを接続し、必要なメンテナンスを実行可能となる。なお、メンテナンスポートを介する通信の形態は任意であり、Ethernet(登録商標)、RS232C、USB、赤外線通信などを用いることができる。
【0044】
次に、ステップS24では、操作監視装置20で発行されたメンテナンスポートを閉じることの指示(ステップS7)が受信されるのを待って、ステップS21へ戻る。これにより、以降はメンテナンスポートを介する操作が不可能となり、機器のセキュリティが確保される。
【0045】
以上のように、本実施形態のセキュリティシステムによれば、フィールド制御システムを構成する機器のメンテナンスポートを機器の起動時から遮断状態とし、メンテナンスに必要な間だけメンテナンスポートを開くので、悪意に基づくアクセスや不用意なアクセスを効果的に抑制できる。
【0046】
また、メンテナンスの権限をもった人のみがメンテナンスポートを開くことができ、権限のない人は認証コードあるいはメンテナンスポートを開く手順がわからない。また、外部コンピュータ3から操作監視装置20に対する操作が履歴として残り、事後管理に利用可能となる。このため、権限のない人による機器へのアクセスや悪意に基づく機器へのアクセスを効果的に防止できる。
【0047】
また、外部コンピュータ3からの指令に基づいて開かれるのは、メンテナンス対象となっている機器のメンテナンスポートのみであり、他の機器のメンテナンスポートは遮断された状態を保持している。このため、保守員が外部コンピュータ3を誤って他の機器のメンテナンスポートに接続し、不要な操作を意図せずに他の機器に対して実行してしまうというヒューマンエラーを防止することができる。
【0048】
さらに、一定時間以上、メンテナンスポートが開けられた状態が継続するとアラームが発せられるので、メンテナンス終了後におけるメンテナンスポートの閉じ忘れを防止できる。
【0049】
各機器におけるメンテナンスポートの開閉は、スイッチ等を用いたハードウェアによる方法に限定されず、ソフトウェアによる処理でメンテナンスポートを介する通信の可否を切り替えてもよい。
【0050】
また、操作監視装置20から各機器に対するメンテナンスポートの開閉についての指示(ステップS4、ステップS7)の方法は任意であり、例えば、操作監視装置20から送信されるべきコマンドコードと指示内容(メンテナンスポートの開閉)とを予め対応付けておいてもよい。
【0051】
また、一定時間以上、メンテナンスポートを介する通信可能状態が継続した場合のアラームの形態は任意であるが、例えば、操作監視装置20の監視画面へのエラーメッセージの表示や、ブザーを鳴らすなどの方法を取ることができる。
【0052】
また、外部コンピュータ3の使用者を認証する方法は任意であり、各種認証方法を適用できる。
【0053】
本発明の適用範囲は上記実施形態に限定されることはない。本発明は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステム等に対し、広く適用することができる。
【符号の説明】
【0054】
3 外部コンピュータ
10 フィールドコントローラ(機器)
11 通信モジュール(機器)
12 I/Oモジュール(機器)
13 モジュール(機器)
20 操作監視装置(上位機器、通知手段)
21 受付手段(履歴保存手段)
22 制御手段
23 格納部(履歴保存手段)
図1
図2