特許 5994265 セキュリティシステムおよび通信制御方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5994265

(24)【登録日】2016年9月2日

(45)【発行日】2016年9月21日

(54)【発明の名称】セキュリティシステムおよび通信制御方法

(51)【国際特許分類】

   G05B 19/048 20060101AFI20160908BHJP

【ＦＩ】

   G05B19/048

【請求項の数】5

【全頁数】9

(21)【出願番号】特願2012-21572(P2012-21572)

(22)【出願日】2012年2月3日

(65)【公開番号】特開2013-161199(P2013-161199A)

(43)【公開日】2013年8月19日

【審査請求日】2015年1月7日

(73)【特許権者】

【識別番号】000006507

【氏名又は名称】横河電機株式会社

(72)【発明者】

【氏名】佐藤 勇二

(72)【発明者】

【氏名】末木 成典

(72)【発明者】

【氏名】江守 敏幸

【審査官】 川東 孝至

(56)【参考文献】

【文献】 特開２００２−２９７７０２（ＪＰ，Ａ）

【文献】 特開２０１０−０９２０９０（ＪＰ，Ａ）

【文献】 特開２００５−３０１９３５（ＪＰ，Ａ）

【文献】 特開２００９−０４８２８９（ＪＰ，Ａ）

【文献】 特開２００６−０９９１７１（ＪＰ，Ａ）

【文献】 特開２００３−０７６４０１（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０５Ｂ １９／０４−１９／０５

(57)【特許請求の範囲】

【請求項1】

フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステムにおいて、
前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付手段と、
前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付手段を介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御手段と、
を備え、
前記受付手段は、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、
前記制御手段は、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、
前記受付手段は、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とするセキュリティシステム。

【請求項2】

前記受付手段および前記制御手段は、前記機器との間で前記フィールド制御システムの制御ネットワークに接続された上位機器に設けられることを特徴とする請求項１に記載のセキュリティシステム。

【請求項3】

前記受付手段による受け付け履歴を保存する履歴保存手段を備えることを特徴とする請求項１または２に記載のセキュリティシステム。

【請求項4】

前記制御手段により一定時間にわたり前記機器のメンテナンスポートを介する通信が可能な状態が継続した場合に、その旨を通知する通知手段を備えることを特徴とする請求項１〜３のいずれか１項に記載のセキュリティシステム。

【請求項5】

フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保する通信制御方法において、
前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付ステップと、
前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付ステップを介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御ステップと、
をコンピュータが実行し、
前記受付ステップでは、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、
前記制御ステップでは、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、
前記受付ステップでは、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする通信制御方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステム等に関する。

【背景技術】

【0002】

制御システムを構成するコントローラ機器には、メンテナンスのためにＵＳＢ、Ethernet（登録商標）、RS232C等の通信によるメンテナンスポートを備えたものがある。通常、メンテナンスポートは保守員による機器の状態の取得、機器パラメータの変更、ファームウェアの更新等の目的で使用されており、制御システムが稼働中にもメンテナンスポートを介して機器へのアクセスが行われる場合もある。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２００７−１４８６０９号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

パーソナルコンピュータでは、例えば、Ethernet（登録商標）経由での通信を行う場合などのセキュリティを強固なものとすることができるが、これと比較してコントローラ機器などのメンテナンスサポートはセキュリティに関する考慮が充分にされているとは言えない。コントローラ機器は専用のキャビネットに格納されており、一応のセキュリティが確保されているが、悪意に基づくアクセスの危険性がある。

【0005】

また近年、制御システムに対するサイバーテロの危険性が高まってきており、コントローラ機器のメンテナンスポートにおいてもセキュリティ対策を取る必要性が高まっている。

【0006】

また、１つのコントローラ機器に対して、通信モジュール、Ｉ／Ｏモジュール等の多数のモジュールが設置されている場合が多く、保守時に別のモジュールを誤って操作してしまうなどのヒューマンエラーの発生の可能性も排除できない。

【0007】

本発明の目的は、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できるセキュリティシステム等を提供することにある。

【課題を解決するための手段】

【0008】

本発明のセキュリティシステムは、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステムにおいて、前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付手段と、前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付手段を介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御手段と、を備え、前記受付手段は、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、前記制御手段は、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、前記受付手段は、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする。
このセキュリティシステムによれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。

【0009】

前記受付手段および前記制御手段は、前記機器との間で前記フィールド制御システムの制御ネットワークに接続された上位機器に設けられてもよい。

【0011】

前記受付手段による受け付け履歴を保存する履歴保存手段を備えてもよい。

【0012】

前記制御手段により一定時間にわたり前記機器のメンテナンスポートを介する通信が可能な状態が継続した場合に、その旨を通知する通知手段を備えてもよい。

【0013】

本発明の通信制御方法は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保する通信制御方法において、前記メンテナスポートに接続される外部コンピュータから前記機器の指定を受け付ける受付ステップと、前記機器の起動時から前記機器のメンテナンスポートを介する通信を遮断するとともに、前記受付ステップを介して前記指定を受け付けた場合に、前記指定を受け付けた前記機器のメンテナンスポートを介する通信を可能な状態とする制御ステップと、をコンピュータが実行し、前記受付ステップでは、前記外部コンピュータを介して入力された認証コードを前記外部コンピュータから受け付け、 前記制御ステップでは、前記認証コードが所定の値をとる場合に限り、前記機器のメンテナンスポートを介する通信を可能な状態とし、前記受付ステップでは、前記メンテナンスポートを介する通信とは別の通信を介して前記機器の指定および前記認証コードを前記外部コンピュータから受け付けることを特徴とする。
この通信制御方法によれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。

【発明の効果】

【0014】

本発明のセキュリティシステムによれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。

【0015】

本発明の通信制御方法によれば、機器の起動時から機器のメンテナンスポートを介する通信を遮断するとともに、指定を受け付けた機器のメンテナンスポートを介する通信を可能な状態とするので、メンテナンスポートを介する不正なアクセスや操作対象となる機器の取り違え等を防止できる。

【図面の簡単な説明】

【0016】

【図1】一実施形態のセキュリティシステムが適用されるフィールド制御システムの構成を示すブロック図。

【図2】一実施形態のセキュリティシステムの動作を示すフローチャート。

【発明を実施するための形態】

【0017】

以下、本発明によるセキュリティシステムの一実施形態について説明する。

【0018】

図１は、本実施形態のセキュリティシステムが適用されるフィールド制御システムの構成を示すブロック図である。

【0019】

図１に示すように、フィールド制御システムは、プラントに分散配置される複数のフィールドコントローラ１０（図１では１台のフィールドコントローラ１０のみを示している）と、フィールドコントローラ１０を介してプラントに対する操作監視を行うための操作監視装置２０と、を備える。複数のフィールドコントローラ１０および操作監視装置２０は、互いに制御ネットワーク４により接続される。また、操作監視装置２０は外部ネットワーク５を介して上位機器と接続される。

【0020】

図１に示すフィールドコントローラ１０には、フィールドネットワーク１を介するフィールド機器との間の通信機能、操作監視装置２０との間のデータ入出力機能、その他の機能を有する通信モジュール１１、Ｉ／Ｏモジュール１２、モジュール１３・・・等、種々の機能を有するモジュール群が実装される。

【0021】

また、フィールドコントローラ１０の本体にはメンテナンスポート１０ｐが、通信モジュール１１にはメンテナンスポート１１ｐが、Ｉ／Ｏモジュール１２にはメンテナンスポート１２ｐが、モジュール１３にはメンテナンスポート１３ｐが、それぞれ設けられる。

【0022】

これらのメンテナンスポートに外部コンピュータ３を接続することにより、各機器のメンテナンスを行うことができる。例えば、外部コンピュータ３をメンテナンスポート１０ｐに接続することによりフィールドコントローラ１０の本体のメンテナンスを、外部コンピュータ３をメンテナンスポート１１ｐに接続することにより通信モジュール１１のメンテナンスを、外部コンピュータ３をメンテナンスポート１２ｐに接続することによりＩ／Ｏモジュール１２のメンテナンスを、外部コンピュータ３をメンテナンスポート１３ｐに接続することによりモジュール１３のメンテナンスを、それぞれ行うことができる。メンテナンスは、各機器における機器の状態の取得、機器パラメータの変更、ファームウェアの更新等を目的としている。

【0023】

図１に示すように、操作監視装置２０は、外部コンピュータ３から特定の機器の指定を受け付ける受付手段２１と、受付手段２１を介して上記指定を受け付けた場合に、上記特定の機器のメンテナンスポートを介する通信を可能な状態とする制御手段２２と、受付手段２１を介して受け付けられた上記指定等の情報の履歴を保存する格納部２３を構成する。

【0024】

外部コンピュータ３および操作監視装置２０には、無線通信等による通信機能が設けられ、この通信機能により外部コンピュータ３から操作監視装置２０に向けてメンテナンスの開始および終了に際して必要な情報を送信することができる。

【0025】

次に、本実施形態のセキュリティシステムの動作について説明する。

【0026】

特定の機器に対してメンテナンスを行う場合、保守員は外部コンピュータ３を介して、予め定められた認証コードと、メンテナンス対象となる機器を指定する指定情報と、当該機器のメンテナンスポートを開く指令とを、操作監視装置２０に向けて送信する。これに応答してメンテナンス対象となる機器のメンテナンスポートが開かれると、保守員はメンテナンスポートを介して外部コンピュータ３とメンテナンス対象となる機器とを接続し、必要なメンテナンスを実行することができる。メンテナンス終了後、保守員は当該機器のメンテナンスポートを閉じる指令を操作監視装置２０に向けて送信する。これに応答してメンテナンスポートが閉じられることで、以降はメンテナンスポートを介する機器への操作が不可能となり、機器のセキュリティが確保されることになる。

【0027】

図２のステップＳ１〜ステップＳ８およびステップＳ１１〜ステップＳ１２は、操作監視装置２０において実行される本発明に関わる動作を示すフローチャートである。

【0028】

図２のステップＳ１〜ステップＳ８は、メンテナンスポートの開閉およびタイマによる計時を制御する処理を示しており、この処理は外部コンピュータ３からのアクセスや指示に応じて実行される。

【0029】

外部コンピュータ３からの接続が確認されると、図２のステップＳ１では、受付手段２１は、外部コンピュータ３から送信されてくる認証コードに基づき、外部コンピュータ３の使用者にシステム権限があるか否か判断し、判断が肯定されるのを待ってステップＳ２へ進む。ステップＳ１では、受付手段２１は、この認証コードが正しい（所定の値をとる）か否かによりシステム権限の有無を判断することができる。

【0030】

次に、ステップＳ２では、受付手段２１は、受信された指令を受け付けるとともに、この指令を、受信されている指定情報に対応付けて格納部２３に格納する。これにより、受信された指令の履歴が記録される。

【0031】

次に、ステップＳ３では、制御手段２２は、ステップＳ２で受付手段２１により受け付けられた指令がメンテナンスポートを開くことを指示しているか否か判断し、判断が肯定されればステップＳ４へ進み、判断が否定されればステップＳ６へ進む。

【0032】

ステップＳ４では、制御手段２２は、受信されている指定情報に示される機器に対して、制御ネットワーク４を介してメンテナンスポートを開くことの指示を発行、送信する。例えば、指定情報に示される機器が通信モジュール１１であった場合には、当該指示は制御ネットワーク４を介して送信され、フィールドコントローラ１０を経由して通信モジュール１１に到達する。また、指定情報に示される機器がフィールドコントローラ１０の本体であった場合には、当該指示は制御ネットワーク４を介してフィールドコントローラ１０の本体に到達する。

【0033】

次に、ステップＳ５では、指定情報に示される機器のメンテナンスポートが継続して開いている時間を示すタイマを起動し、ステップＳ２へ戻る。

【0034】

一方、ステップＳ６では、制御手段２２は、ステップＳ２で受付手段２１により受け付けられた指令がメンテナンスポートを閉じることを指示しているか否か判断し、判断が肯定されればステップＳ７へ進み、判断が否定されればステップＳ３へ戻る。

【0035】

ステップＳ７では、制御手段２２は、受信されている指定情報に示される機器に対して、制御ネットワーク４を介してメンテナンスポートを閉じることの指示を発行、送信する。例えば、指定情報に示される機器が通信モジュール１１であった場合には、当該指示は制御ネットワーク４を介して送信され、フィールドコントローラ１０を経由して通信モジュール１１に到達する。また、指定情報に示される機器がフィールドコントローラ１０の本体であった場合には、当該指示は制御ネットワーク４を介してフィールドコントローラ１０の本体に到達する。

【0036】

次に、ステップＳ８では、上記タイマを停止して計時をリセットし、ステップＳ１へ戻る。

【0037】

図２のステップＳ１１〜ステップＳ１２は、上記タイマを用いて、機器のメンテナンスポートが継続的に開いている時間を監視する処理を示している。

【0038】

操作監視装置２０では、ステップＳ１１において上記タイマの計時が予め定められた設定時間を超えたか否か判断し、判断が肯定されるのを待って、ステップＳ１２へ進む。ステップＳ１２では、操作監視装置２０において特定の機器のメンテナンスポートが一定時間（ステップＳ１１の設定時間）以上継続して開いている旨を示すアラームを発報し、ステップＳ１１へ戻る。

【0039】

上記タイマは、メンテナンスポートを有する機器ごとに用意されており、タイマによる監視処理（ステップＳ１１〜ステップＳ１２）では、いずれかの機器のメンテナンスポートが一定時間以上継続して開いている場合には、その機器ごとに別のアラーム（ステップＳ１２）が発報される。

【0040】

図２のステップＳ２１〜ステップＳ２４は、各フィールドコントローラ１０および各モジュール（通信モジュール１１、Ｉ／Ｏモジュール１２、モジュール１３等）の起動後の動作を示すフローチャートである。

【0041】

図２のステップＳ２１では、起動に際してメンテナンスポートのゲートを閉じ、メンテナンスポートを介する通信を遮断する。

【0042】

次に、ステップＳ２２では、操作監視装置２０で発行されたメンテナンスポートを開くことの指示（ステップＳ４）が受信されたか否か判断し、判断が肯定されればステップＳ２３へ進み、判断が否定されればステップＳ２１へ戻る。

【0043】

ステップＳ２３では、メンテナンスポートのゲートを開き、メンテナンスポートを介する通信を可能な状態とする。これにより、保守員はメンテナンスポートを介して外部コンピュータ３と機器とを接続し、必要なメンテナンスを実行可能となる。なお、メンテナンスポートを介する通信の形態は任意であり、Ethernet（登録商標）、RS232C、ＵＳＢ、赤外線通信などを用いることができる。

【0044】

次に、ステップＳ２４では、操作監視装置２０で発行されたメンテナンスポートを閉じることの指示（ステップＳ７）が受信されるのを待って、ステップＳ２１へ戻る。これにより、以降はメンテナンスポートを介する操作が不可能となり、機器のセキュリティが確保される。

【0045】

以上のように、本実施形態のセキュリティシステムによれば、フィールド制御システムを構成する機器のメンテナンスポートを機器の起動時から遮断状態とし、メンテナンスに必要な間だけメンテナンスポートを開くので、悪意に基づくアクセスや不用意なアクセスを効果的に抑制できる。

【0046】

また、メンテナンスの権限をもった人のみがメンテナンスポートを開くことができ、権限のない人は認証コードあるいはメンテナンスポートを開く手順がわからない。また、外部コンピュータ３から操作監視装置２０に対する操作が履歴として残り、事後管理に利用可能となる。このため、権限のない人による機器へのアクセスや悪意に基づく機器へのアクセスを効果的に防止できる。

【0047】

また、外部コンピュータ３からの指令に基づいて開かれるのは、メンテナンス対象となっている機器のメンテナンスポートのみであり、他の機器のメンテナンスポートは遮断された状態を保持している。このため、保守員が外部コンピュータ３を誤って他の機器のメンテナンスポートに接続し、不要な操作を意図せずに他の機器に対して実行してしまうというヒューマンエラーを防止することができる。

【0048】

さらに、一定時間以上、メンテナンスポートが開けられた状態が継続するとアラームが発せられるので、メンテナンス終了後におけるメンテナンスポートの閉じ忘れを防止できる。

【0049】

各機器におけるメンテナンスポートの開閉は、スイッチ等を用いたハードウェアによる方法に限定されず、ソフトウェアによる処理でメンテナンスポートを介する通信の可否を切り替えてもよい。

【0050】

また、操作監視装置２０から各機器に対するメンテナンスポートの開閉についての指示（ステップＳ４、ステップＳ７）の方法は任意であり、例えば、操作監視装置２０から送信されるべきコマンドコードと指示内容（メンテナンスポートの開閉）とを予め対応付けておいてもよい。

【0051】

また、一定時間以上、メンテナンスポートを介する通信可能状態が継続した場合のアラームの形態は任意であるが、例えば、操作監視装置２０の監視画面へのエラーメッセージの表示や、ブザーを鳴らすなどの方法を取ることができる。

【0052】

また、外部コンピュータ３の使用者を認証する方法は任意であり、各種認証方法を適用できる。

【0053】

本発明の適用範囲は上記実施形態に限定されることはない。本発明は、フィールド制御システムを構成する機器のメンテナンスポートを介する通信のセキュリティを確保するセキュリティシステム等に対し、広く適用することができる。

【符号の説明】

【0054】

３ 外部コンピュータ
１０ フィールドコントローラ（機器）
１１ 通信モジュール（機器）
１２ Ｉ／Ｏモジュール（機器）
１３ モジュール（機器）
２０ 操作監視装置（上位機器、通知手段）
２１ 受付手段（履歴保存手段）
２２ 制御手段
２３ 格納部（履歴保存手段）

【図1】

【図2】