特許第6522142号(P6522142)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ ハネウェル・インターナショナル・インコーポレーテッドの特許一覧

特許6522142サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法
<>
  • 特許6522142-サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法 図000002
  • 特許6522142-サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法 図000003
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6522142
(24)【登録日】2019年5月10日
(45)【発行日】2019年5月29日
(54)【発明の名称】サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20190520BHJP
【FI】
   G06F21/55 320
【請求項の数】8
【全頁数】16
(21)【出願番号】特願2017-541601(P2017-541601)
(86)(22)【出願日】2016年2月1日
(65)【公表番号】特表2018-504716(P2018-504716A)
(43)【公表日】2018年2月15日
(86)【国際出願番号】US2016015952
(87)【国際公開番号】WO2016126604
(87)【国際公開日】20160811
【審査請求日】2018年8月31日
(31)【優先権主張番号】62/113,152
(32)【優先日】2015年2月6日
(33)【優先権主張国】US
(31)【優先権主張番号】14/871,503
(32)【優先日】2015年9月30日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】500575824
【氏名又は名称】ハネウェル・インターナショナル・インコーポレーテッド
【氏名又は名称原語表記】Honeywell International Inc.
(74)【代理人】
【識別番号】100140109
【弁理士】
【氏名又は名称】小野 新次郎
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100120112
【弁理士】
【氏名又は名称】中西 基晴
(74)【代理人】
【識別番号】100147991
【弁理士】
【氏名又は名称】鳥居 健一
(72)【発明者】
【氏名】カーペンター,セス・ジー.
(72)【発明者】
【氏名】ダイエットリッチ,ケネス・ダブリュー.
【審査官】 平井 誠
(56)【参考文献】
【文献】 米国特許第7984504(US,B2)
【文献】 特開2004−318742(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
監視システム(154)によって、コンピューティングシステム内のデバイスに関連した第1の事象を検出するステップ(205)と、
前記事象検出することに応答して、前記監視システム(154)によって、前記第1の事象に対応するリスク項目を初期化し、前記リスク項目を完全リスク値に設定するステップ(215)と、
記監視システム(154)によって、前記第1の事象に対応する第2の事象が検出されたか否かを判定するステップ(220)と、
前記監視システム(154)によって、前記第2の事象が何も検出されなかったと判定することに応答して、前記リスク値を経時的に改めるステップ(225)と、
前記監視システム(154)によって、前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定するステップ(230)と、
前記リスク値が前記閾値に合格することに応答して、前記監視システム(154)によって、前記事象を削除するステップ(235)と、を含む方法。
【請求項2】
前記監視システム(154)が、減衰関数に従い前記リスク値を下げることによって、前記リスク値を改め、前記減衰関数が、
t<Pの場合:Risk=R(1−(t/P))
t≧Pの場合:Risk=0、
と定義され、ここで、Riskは調整されたリスク値を表し、Rは前記完全リスク値を表し、Pは減衰期間を表し、tは起こった前記第1の事象が検出されてから経過した時間量を表す、請求項に記載の方法。
【請求項3】
前記第2の事象が検出されたと判定すること(220)に応答して、前記監視システムが、前記リスク値を改めない、請求項1に記載の方法。
【請求項4】
複数の第2の事象が検出されたと判定すること(220)に応答して、前記監視システムが、前記リスク値を、重大な進行中のリスクを示す値に改める、請求項1に記載の方法。
【請求項5】
処理デバイス(156)と、
メモリ(158)と、
ネットワークインタフェース(160)
を備え、
コンピューティングシステム内のデバイスに関連した第1の事象を検出(205)、
前記事象を検出することに応答して、前記第1の事象に対応するリスク項目を初期化し、前記リスク項目を完全リスク値に設定(215)、
前記第1の事象に対応する第2の事象が検出されたか否かを判定(220)、
前記第2の事象が何も検出されなかったと判定することに応答して、前記リスク値を経時的に改(225)、
前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定(230)、
前記リスク値が前記閾値に合格することに応答して、前記事象を削除する(235
ように構成された、監視システム(154)。
【請求項6】
前記監視システム(154)が、減衰関数に従い前記リスク値を下げることによって、前記リスク値を改め、前記減衰関数が、
t<Pの場合:Risk=R(1−(t/P))
t≧Pの場合:Risk=0、
と定義され、ここで、Riskは調整されたリスク値を表し、Rは前記完全リスク値を表し、Pは減衰期間を表し、tは起こった前記第1の事象が検出されてから経過した時間量を表す、請求項に記載の監視システム。
【請求項7】
複数の第2の事象が検出されたと判定すること(220)に応答して、前記監視システム(154)が、前記リスク値を、重大な進行中のリスクを示す値に改める、請求項に記載の監視システム。
【請求項8】
実行されると、監視システム(154)に、
コンピューティングシステム内のデバイスに関連した第1の事象を検出させ(205)、
前記事象を検出することに応答して、前記第1の事象に対応するリスク項目を初期化させ、前記リスク項目を完全リスク値に設定させ(215)、
前記第1の事象に対応する第2の事象が検出されたか否かを判定させ(220)、
前記第2の事象が何も検出されなかったと判定することに応答して、前記リスク値を経時的に改めさせ(225)、
前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定させ(230)、
前記リスク値が前記閾値に合格することに応答して、前記事象を削除させる(235)、
コンピュータ可読プログラムコードで符号化された非一時的コンピュータ可読媒体(158)。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
[0001]本出願は、参照により本明細書に組み込まれる、2015年2月6日に出願された米国仮特許出願第62/113,152号の出願日の利益を主張する。
【0002】
[0002]本開示は、概して、ネットワークセキュリティに関する。より詳細には、本開示は、サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法に関する。
【背景技術】
【0003】
[0003]処理設備は、産業用プロセス制御及び自動化システムを使用して管理されることが多い。従来の制御及び自動化システムは、決まって、サーバ、ワークステーション、スイッチ、ルータ、ファイアウォール、安全システム、独自のリアルタイムコントローラ、及び産業用フィールドデバイスなど、様々なネットワーク化デバイスを含む。多くの場合、この機器は、いくつかの異なる販売業者から来る。産業環境において、サイバーセキュリティへの懸念が高まっており、これらの構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本開示は、上述の課題を解決するものである。
【課題を解決するための手段】
【0005】
[0004]本開示は、サイバーセキュリティリスク事象及びその他のリスク事象の自動ハンドリング用の装置及び方法を提供する。方法は、監視システムによって、コンピューティングシステム内のデバイスに関連した第1の事象を検出することを含む。方法は、事象を検出するのを受けて、第1の事象に対応するリスク項目を初期化し、リスク項目を完全リスク値(full risk value)に設定することを含む。方法は、第1の事象に対応して、第2の事象が検出されたか否かを判定することを含む。方法は、第2の事象が何も検出されなかったと判定するのを受けて、経時的にリスク値を改めることを含む。方法は、リスク項目に対するリスク値が閾値に合格した(pass)かどうかを判定することを含む。方法は、リスク値が閾値に合格するのを受けて、事象を削除することを含む。
【0006】
[0005]以下の図、発明を実施するための形態、及び特許請求の範囲から、当業者には、その他の技術的特徴がすぐに明らかとなるであろう。
[0006]本開示のより完全な理解のために、ここで、以下の添付の図面と共になされる以下の発明を実施するための形態を参照する。
【図面の簡単な説明】
【0007】
図1】[0007]本開示による、産業用プロセス制御及び自動化システムの例を示す図である。
図2】[0008]本開示による、サイバーセキュリティリスク事象の自動ハンドリングのための方法の例を示す図である。
【発明を実施するための形態】
【0008】
[0009]以下に述べられる図、また本特許書類において本発明の原理を説明するために使用される様々な実施形態は、単に例示としてのものであり、どのような形であれ本発明の範囲を限定するものとして解釈されるべきではない。本発明の原理が、任意のタイプの適切に構成されたデバイス又はシステムにおいて実施され得る、ということが当業者であれば理解するであろう。
【0009】
[0010]図1は、本開示による、例示的な産業用プロセス制御及び自動化システム100を示す図である。図1に示されるように、システム100は、少なくとも1つの製品又はその他の材料(material)の生産又は処理を容易にする様々な構成要素を含む。例えば、システム100は、本明細書では、1つ又は複数のプラント101a〜101n内の構成要素にわたる制御を容易にするために使用される。各プラント101a〜101nは、少なくとも1つの製品又はその他の材料を生産するための1つ又は複数の製造設備などの、1つ又は複数の処理設備(又は、その1つ又は複数の部分)に相当する。一般に、各プラント101a〜101nは、1つ又は複数のプロセスを実装してもよく、個別に又はまとめてプロセスシステムと呼ばれることが可能である。プロセスシステムは、一般に、1つ又は複数の製品又はその他の材料を何らかの方法で処理するように構成された、任意のシステム又はその一部に相当する。
【0010】
[0011]図1では、システム100は、プロセス制御のパデュー(Purdue)モデルを使用して実装される。パデューモデルでは、「レベル0」は、1つ又は複数のセンサ102aと1つ又は複数のアクチュエータ(actuator)102bを含み得る。センサ102及びアクチュエータ102bは、多種多様な機能のいずれかを果たすことが可能な、プロセスシステム内の構成要素に相当する。例えば、センサ102aは、温度、圧力、又は流量などのプロセスシステムにおける多種多様な特性を測定することができる。また、アクチュエータ102bは、プロセスシステムにおける多種多様な特性を修正することができる。センサ102a及びアクチュエータ102bは、任意の適切なプロセスシステム内の任意のその他の又は追加の構成要素に相当することができる。センサ102aのそれぞれは、プロセスシステムにおける1つ又は複数の特性を測定するのに適した任意の構造を含む。アクチュエータ102bのそれぞれは、プロセスシステムにおける1つ又は複数の条件下で動作するのに、又は1つ又は複数の条件に影響を及ぼすのに適した任意の構造を含む。
【0011】
[0012]少なくとも1つのネットワーク104は、センサ102aとアクチュエータ102bに結合される。ネットワーク104は、センサ102a及びアクチュエータ102bとの相互作用を容易にする。例えば、ネットワーク104は、センサ102aからの測定データを伝送し、制御信号をアクチュエータ102bに提供することができる。ネットワーク104は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク104は、イーサネット(登録商標)ネットワーク、電気信号ネットワーク(HART又はFOUNDATION Fieldbusネットワークなど)、空気制御信号ネットワーク、又は任意のその他のもしくは追加型のネットワークに相当することができる。
【0012】
[0013]パデューモデルでは、「レベル1」は、ネットワークに104に結合される1つ又は複数のコントローラ106を含み得る。各コントローラ106は、特に、1つ又は複数のセンサ102aからの測定値を使用して、1つ又は複数のアクチュエータ102bの動作を制御し得る。例えば、コントローラ106は、1つ又は複数のセンサ102aから測定データを受信し、その測定データを使用して、1つ又は複数のアクチュエータ102b用の制御信号を生成することができる。各コントローラ106は、1つ又は複数のセンサ102aと相互作用し、かつ1つ又は複数のアクチュエータ102bを制御するのに適した任意の構造を含む。各コントローラ106は、例えば、比例−積分−微分(PID:Proportional−Integral−Derivative)コントローラ、あるいは、ロバスト多変数予測制御テクノロジー(RMPCT:Robust Multivariable Predictive Control Technology)コントローラ、又はモデル予測制御(MPC:Model Predictive Control)もしくはその他の先進的予測制御(APC:Advanced Predictive Control)を実装するその他のタイプのコントローラなどの多変数コントローラに相当する可能性がある。特定の例として、各コントローラ106は、リアルタイムオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
【0013】
[0014]2つのネットワーク108は、コントローラ106に結合される。ネットワーク108は、コントローラ106との間でデータのやり取りを行うなどによって、コントローラ106との相互作用を容易にする。ネットワーク108は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク108は、ハネウェル・インターナショナル社(Honeywell International Inc.)からのフォルトトレラントイーサネット(登録商標)(FTE:Fault Tolerant Ethernet)ネットワークなどの、冗長ペアのイーサネット(登録商標)ネットワークに相当することができる。
【0014】
[0015]少なくとも1つのスイッチ/ファイアウォール110は、ネットワーク108を、2つのネットワーク112に結合する。このスイッチ/ファイアウォール110は、1つのネットワークからのトラフィックを、もう一方のネットワークに伝送し得る。スイッチ/ファイアウォール110はまた、1つのネットワーク上のトラフィックが、もう一方のネットワークに達することを阻止し得る。スイッチ/ファイアウォール110は、ハネウェル制御ファイアウォール(CF9)デバイスなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク112は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
【0015】
[0016]パデューモデルにおいて、「レベル2」は、ネットワーク112に結合された1つ又は複数の機械レベルのコントローラ114を含み得る。機械レベルのコントローラ114は、特定の産業用機器(ボイラ又はその他の機械など)に関連付けられることが可能な、コントローラ106、センサ102a、及びアクチュエータ102bの動作及び制御をサポートするために、様々な機能を果たす。例えば、機械レベルのコントローラ114は、センサ102aからの測定データ又はアクチュエータ102b用の制御信号などの、コントローラ106によって収集又は生成された情報のログを作成することができる。機械レベルのコントローラ114は、コントローラ106の動作を制御し、それによってアクチュエータ102bの動作を制御するアプリケーションを実行することもできる。さらに、機械レベルのコントローラ114は、コントローラ106へのセキュアなアクセスを提供することができる。機械レベルのコントローラ114のそれぞれは、1つの機械もしくはその他の個々の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。機械レベルのコントローラ114のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々の機械レベルのコントローラ114が、プロセスシステム内の種々の機器を制御するために使用され得る(この場合、各機器は、1つ又は複数のコントローラに106、センサ102a、及びアクチュエータ102bに関連付けられる)。
【0016】
[0017]1つ又は複数のオペレータステーション116は、ネットワーク112に結合される。オペレータステーション116は、機械レベルのコントローラ114へのユーザアクセスを提供し、それによって、コントローラ106(また、場合によっては、センサ102a及びアクチュエータ102b)へのユーザアクセスを提供することのできる、コンピューティング又は通信デバイスに相当する。特定の例として、オペレータステーション116は、ユーザに、コントローラ106及び/又は機械レベルのコントローラ114によって収集された情報を使用して、センサ102a及びアクチュエータ102bの動作上の履歴を見直すことを可能にさせることができる。オペレータステーション116は、ユーザに、センサ102a、アクチュエータ102b、コントローラ106、又は機械レベルのコントローラ114の動作を調整することを可能にさせることもできる。さらに、オペレータステーション116は、コントローラ106又は機械レベルのコントローラ114によって生成された、警告、警報、又はその他のメッセージもしくは表示を受信し、表示することができる。オペレータステーション116のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション116のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
【0017】
[0018]少なくとも1つのルータ/ファイアウォール118は、ネットワーク112を2つのネットワーク120に結合する。このルータ/ファイアウォール118は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク120は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
【0018】
[0019]パデューモデルにおいて、「レベル3」は、ネットワーク120に結合された1つ又は複数のユニットレベルのコントローラ122を含み得る。各ユニットレベルのコントローラ122は、通常、1つのプロセスの少なくとも一部を実装するために共に動作する種々の機械の集合体に相当する、プロセスシステム内の1つのユニットに関連付けられる。ユニットレベルのコントローラ122は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。例えば、ユニットレベルのコントローラ122は、下位レベル内の構成要素によって収集又は生成された情報のログを作成し、下部レベル内の構成要素を制御するアプリケーションを実行し、かつ下部レベル内の構成要素へのセキュアなアクセスを提供することができる。ユニットレベルのコントローラ122のそれぞれは、1つのプロセスユニット内の1つ又は複数の機械もしくはその他の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。ユニットレベルのコントローラ122のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々のユニットレベルのコントローラ122が、1つのプロセスシステム内の種々のユニットを制御するために使用され得る(この場合、各ユニットは、1つ又は複数の機械レベルのコントローラ114、コントローラ106、センサ102a、及びアクチュエータ102bに関連付けられる)。
【0019】
[0020]ユニットレベルのコントローラ122へのアクセスは、1つ又は複数のオペレータステーション124によって提供され得る。オペレータステーション124のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション124のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
【0020】
[0021]少なくとも1つのルータ/ファイアウォール126は、ネットワーク120を2つのネットワーク128に結合する。このルータ/ファイアウォール126は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク128は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
【0021】
[0022]パデューモデルにおいて、「レベル4」は、ネットワーク128に結合された1つ又は複数のプラントレベルのコントローラ130を含み得る。各プラントレベルのコントローラ130は、通常、同一、同様、又は種々のプロセスを実装する1つ又は複数のプロセスユニットを含み得る、プラント101a〜101nのうちの1つに関連付けられる。プラントレベルのコントローラ130は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、プラントレベルのコントローラ130は、1つ又は複数の製造実行システム(MES:Manufacturing Execution System)アプリケーション、スケジューリングアプリケーション、又は任意のその他のもしくは追加のプラントもしくはプロセス制御アプリケーションを実行することができる。プラントレベルのコントローラ130のそれぞれは、1つのプロセスプラント内の1つ又は複数のプロセスユニットへのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。プラントレベルのコントローラ130のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。
【0022】
[0023]プラントレベルのコントローラ130へのアクセスは、1つ又は複数のオペレータステーション132によって提供され得る。オペレータステーション132のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション132のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
【0023】
[0024]少なくとも1つのルータ/ファイアウォール134は、ネットワーク128を1つ又は複数のネットワーク136に結合する。このルータ/ファイアウォール134は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク136は、エンタープライズ全体のイーサネット(登録商標)もしくはその他のネットワーク、又はより大型のネットワーク(インターネットなど)の全体もしくは一部などの、任意の適したネットワークに相当することができる。
【0024】
[0025]パデューモデルにおいて、「レベル5」は、ネットワーク136に結合された1つ又は複数のエンタープライズレベルのコントローラ138を含み得る。各エンタープライズレベルのコントローラ138は、通常、複数のプラント101a〜101n用のプランニング動作を行い、かつそれらのプラント101a〜101nの様々な側面を制御することができる。エンタープライズレベルのコントローラ138はまた、プラント101a〜101n内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、エンタープライズレベルのコントローラ138は、1つ又は複数の注文処理アプリケーション、エンタープライズリソースプランニング(ERP:Enterprise Resource Planning)アプリケーション、先進的プランニング及びスケジューリング(APS:Advanced Planning and Scheduling)アプリケーション、又はその他のもしくは追加のエンタープライズ制御アプリケーションを実行することができる。エンタープライズレベルのコントローラ138のそれぞれは、1つ又は複数のプラントの制御部へのアクセスを提供するのに、それの制御に、又はそれに関する動作に適した任意の構造を含む。エンタープライズレベルのコントローラ138のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。本書類において、「エンタープライズ」という用語は、管理されるべき1つ又は複数のプラントもしくはその他の処理設備を有する組織を指す。1つのプラント101aが管理されるべきである場合、エンタープライズレベルのコントローラ138の機能性は、プラントレベルのコントローラ130に組み入れられることが可能である、ということに留意されたい。
【0025】
[0026]エンタープライズレベルのコントローラ138へのアクセスは、1つ又は複数のオペレータステーション140によって提供され得る。オペレータステーション140のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション140のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
【0026】
[0027]パデューモデルの様々なレベルは、1つ又は複数のデータベースなどのその他の構成要素を含むことができる。各レベルに関連したデータベースは、システム100のそのレベル又は1つもしくは複数のその他のレベルに関連した任意の適切な情報を格納することができる。例えば、ヒストリアン141が、ネットワーク136に結合されることが可能である。ヒストリアン141は、システム100についての様々な情報を格納する構成要素に相当することができる。ヒストリアン141は、例えば、生産のスケジューリング及び最適化の最中に使用される情報を格納することができる。ヒストリアン141は、情報を格納し、かつ情報の検索を容易にするのに適した任意の構造に相当する。ヒストリアン141は、ネットワーク136に結合された単一の集中型構成要素として示されているが、システム100内の他の場所に位置することが可能であり、又は複数のヒストリアンが、システム100内の様々な位置に分散されることが可能である。
【0027】
[0028]特定の実施形態において、図1での様々なコントローラ及びオペレータステーションは、コンピューティングデバイスに相当してもよい。例えば、コントローラ106、114、122、130、138のそれぞれは、1つ又は複数の処理デバイス142と、処理デバイス142によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ144を含むことができる。コントローラ106、114、122、130、138のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの、少なくとも1つのネットワークインタフェース146も含むことができる。また、オペレータステーション116、124、132、140のそれぞれは、1つ又は複数の処理デバイス148と、処理デバイス148によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ150を含むことができる。オペレータステーション116、124、132、140のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの少なくとも1つのネットワークインタフェース152も含むことができる。
【0028】
[0029]上記で示されたように、産業用プロセス制御及び自動化システムに関してサイバーセキュリティへの懸念が高まっている。システム100内の構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。しかしながら、多くの場合、オペレータは、特定の産業現場において稼動する全ての機器の完全な理解又は一覧表を有していない。結果として、制御及び自動化システムへの潜在的なリスク源を素早く決定するのがしばしば難しくなる。
【0029】
[0030]さらに、プロセス制御技術者は、通常、産業プロセスが円滑に稼動するのを維持するのを任され、新規の製品は、彼らのすでに過酷な仕事量に新たなメンテナンス及び管理作業をもたらすことが多い。サイバーセキュリティリスク管理は、リスク管理情報が、システムを安全にするのにユーザを手助けするが、ユーザに新たな(場合によっては不断の)情報ストリームももたらすという点において、何ら違いはない。
【0030】
[0031]開示された実施形態は、様々なシステムにおける潜在的な脆弱性を見極め、システム全体へのリスクに基づき脆弱性に優先順位を付け、さらに脆弱性を軽減するようユーザを導く、ソリューションを含む。これは、いくつかの実施形態では、リスクマネージャ154を使用して実現される。リスクマネージャ154は、システム100の要素と情報をやり取りするように構成された、例えば、オペレータステーション116、オペレータステーション124、オペレータステーション132、オペレータステーション140、又はその他のコントローラもしくはデータ処理システムを使用して実装され得る。本明細書に述べられる各オペレータステーションは、1つ又は複数のプロセッサもしくはコントローラ、メモリ、ハードドライブ又はその他などの不揮発性記憶デバイス、ディスプレイ、またキーボード、マウス、又はタッチスクリーンなどのユーザ入力デバイス、及び無線又は有線通信インタフェースのような構造要素を含むことができる。
【0031】
[0032]とりわけ、リスクマネージャ154は、ユーザに有益なサイバーセキュリティ情報を提供することと、ユーザの必要とされる作業を最小限にすることとの釣り合いをとる。リスクマネージャ154は、サイバーセキュリティリスク事象の自動ハンドリングをサポートする任意の適切な構造を含む。この例では、リスクマネージャ154は、1つ又は複数の処理デバイス156、処理デバイス156によって使用、生成、又は収集される命令及びデータを格納するための1つ又は複数のメモリ158、及び有線又は無線インタフェースとして実装され得る少なくとも1つのネットワークインタフェース160を含む。各処理デバイス156は、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ、フィールドプログラマブルゲートアレイ、特定用途向け集積回路、又は個別論理(discrete logic)に相当する可能性がある。各メモリ158は、ランダムアクセスメモリ又はフラッシュメモリなど、揮発性又は不揮発性格納検索デバイスに相当する可能性がある。各ネットワークインタフェース160は、イーサネット(登録商標)インタフェース、無線トランシーバ、又は外部通信を容易にするその他のデバイスに相当する可能性がある。リスクマネージャ154の機能性は、任意の適切なハードウェア、又はハードウェアとソフトウェア/ファームウェア命令との組合せを使用して実装される可能性がある。
【0032】
[0033]いくつかの実施形態において、ユーザに報告され得る2つのタイプのリスク項目、状態項目と事象がある。状態項目とは、確定状態(オン/オフ、有効/無効、又はインストール済み/未インストール)を有するリスク項目を意味し、管理しやすいことが多い。例えば、故障状態、失敗、又は、プロセスもしくはデバイスが正常に動いていないことを示すその他の状態などの悪い状態にある場合、状態項目は、根本的な原因が対処されるまで、リスクマネージャ154において有効のままであり得る。特定の例として、アンチウィルスソフトウェアが、本明細書に開示されたシステム又はコントローラ上で実行されているか否かを追跡する場合、リスクマネージャ154は、アンチウィルスプログラムが使用するサービスを追跡することができる。サービスが実行されていて、健全である場合、それにはリスクは考えられず、サービスが実行されていない場合、リスクが示され、サービスが再び実行されるまで、状態項目が有効のままである。
【0033】
[0034]事象とは、通常、ユーザが対処するのがより困難である、特定の状態又は動作の発生を特定するリスク項目を意味する。事象は、通常、事象が起こった発生時刻又はその他の時刻を有するが、根本的な状態が削除されたか、又は削除状態が単には存在しないかどうかの表示を何ら提供しないことがある。事象例には、誰かがログイン中、間違ったパスワードを提供する場合などの認証失敗がある。オペレータは、認証失敗の通知を見る可能性があるが、それは、状態項目が通常そうであるように、単発事象として「消える」ことはない。
【0034】
[0035]従来の事象管理システムでは、事象が通常一時的なものであることから、ユーザが、実際上、とにかく注意が喚起されるべきである場合、事象は、正規ユーザによって手動で確認される必要がある。事象を手動で確認する必要を避けるために、開示された実施形態によれば、リスクマネージャ154は、事象又はその他のリスク項目に関連付けられたリスク値が、事象が再発しない場合に経時的に減衰することを可能にする。事象が再発する場合、リスク値は、ベース値に戻ることができ、減衰期間が再び開始され得る。事象が頻繁に又は絶えず起こる場合、リスクマネージャ154は、リスク値を発生時のベース値より上に上げることによってなど、このような状態を考え、それに対処することができる。
【0035】
[0036]特定の事象が減衰するのを可能にすることによって、システムのユーザが事象を見るのに十分長く、断続的な事象が現れることがあるが、ユーザは、事象を削除するための追加の手段を何ら講じる必要がないことがある。それらの性質によってより深刻な事象が起こり続ける場合があり、削除されないことになる。認証失敗の例に戻ると、ある人がパスワードを数回打ち間違うことは、再発しない、すぐに削除されるいくつかの単発の事象として現れる可能性がある。しかしながら、システムへのブルートフォースアタック(攻撃者が、正しいパスワードを「言い当てる」ことを望んで、続け様に多くの異なるパスワードを使用しようとする)は、その攻撃が何とかして対処されるまで有効のままである不断の事象ストリームと見なされる可能性がある。
【0036】
[0037]減衰関数の1つの開示された実装形態は、線形減衰モデルを使用する。様々な実施形態において、指数関数的減衰などのその他の減衰モデルも使用され得ることに留意されたい。線形減衰モデルでは、ベースリスクスコアはRと表され、減衰期間はPと表され、事象が起こってから経過した時間量はtと表される。瞬間リスク値が、tの関数として、以下の区分関数で計算され得る:
t<Pの場合:Risk=f(t)=R(1−(t/P))
t≧Pの場合:Risk=f(t)=0
Pの値は、慎重に選ばれ、つまり、Pが長すぎると、事象が増強され、ユーザの視認性を乱す可能性があり、短すぎると、事象が一回起こり、ユーザに見られる前に消える可能性がある。いくつかの実施形態において、この問題に役立つ様々な手段が講じられる可能性がある。例えば、週末にわたって起こる事象が労働日の最初の日に依然として有効であるように、初期設定の減衰期間が比較的長い期間(3日間など)に設定される可能性がある。また、ユーザが、減衰期間を、彼らの特定のポリシーに適する値にカスタマイズする可能性がある。
【0037】
[0038]図2は、以下に総称して「監視システム」と呼ばれる、本明細書に説明される通りにプロセスを行うように構成された、リスクマネージャ、オペレータステーションもしくはその他のコントローラ、コンピューティングシステム、又はデータ処理システムによって行われるような、開示された実施形態による事象処理及び減衰プロセスの例を示し、この場合、監視システムの処理デバイスは、以下に説明される動作のそれぞれを行うように構成される。方法200は、本開示に従い、サイバーセキュリティリスク事象に自動的に対処することができる。数ある動作の中でも特に、リスクマネージャ154は、制御及び自動化システム100に関連したサイバーセキュリティ脅威及び問題を特定することができ、リスクマネージャ154は、アラート表示、報告、電子メール、テキストメッセージ、アラート、及びその他を含むがこれらに限定されない、1つ又は様々な形態でユーザへの通知を生成することができる。リスクマネージャ154は、システムに対するサイバーセキュリティリスクについてのかなりの量の新規情報を提供することができるが、リスクマネージャ154は、ユーザが管理する別の情報ソースにも相当する。
【0038】
[0039]監視システムは、第1の事象を検出する(205)。第1の事象は、具体的には(しかしこれらに限定されるものではなく)、ログインもしくはその他の承認試行の失敗、不正なソフトウェア実行試行、ネットワーク侵入試行などのシステムセキュリティ事象を含む、それに対してオペレータ又はその他のユーザが注意を喚起されるべきである特定の状態又は動作の発生とすることができ、第1の事象は、通常、監視システムが通信している特定のデバイスに関連している。これは、第1の事象を特定する情報を得ることを含むことができ、第1の事象は、コンピューティングシステム内のデバイスに関連しており、またデバイスに関連したサイバーセキュリティリスクを特定する。
【0039】
[0040]監視システムは、第1の事象についての事象詳細を格納することができる(210)。事象詳細には、例えば、事象のタイプ、事象の日時、事象の結果(任意の監視システム応答などを含む)、事象を発生させたシステム、デバイス、もしくは構成要素、第1の事象を特定する任意のその他の情報、又はオペレータにとって有益と思われる任意のその他の詳細が含まれ得る。
【0040】
[0041]第1の事象を検出することを受けて、監視システムは、第1の事象に対応するリスク項目を初期化し、そのリスク項目を完全リスク値に設定する(215)。完全リスク値は、新たな事象の「完全リスク」に相当すると理解される、100などの任意の値とすることができる。215の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とそのリスク値又は任意のその他の事象詳細を示すこともできる。これは、第1の事象に関連付けられるリスク値を定義することを含むことができ、第1の事象は、リスク値が本明細書に説明されるように閾値に合格するまで、有効のままである。
【0041】
[0042]監視システムは、第1の事象に対応して、第2の事象(又はさらなる事象)が検出されたかどうかを判定する(220)。第2の事象は、例えば、第1の事象の繰り返しである、第1の事象と同じタイプの事象である(例えば、全く同じではないが、第2のログイン試行失敗)、第1の事象と同じプロセス、システム、もしくはデバイスにより発生している、又はその他により、第1の事象に対応する可能性があり、ユーザによって選択又は規定され得る。このような第2の対応する事象が検出される場合、プロセスは210に戻り、第1の事象に行った通りに第2の事象を処理する。いくつかの実施形態において、第1の事象に対応する複数の第2の(又はさらなる)事象が検出される場合、システムは、リスク値を、重大な進行中のリスクを示す値、例えば、完全リスク値より高い値に改めることができる。
【0042】
[0043]監視システムは、経時的にリスク値を改める。例えば、第2の事象が何も検出されない場合、監視システムは、本明細書に説明されるように、減衰関数に従ってリスク値を下げる(225)。215の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とその下げられたリスク値又は任意のその他の事象詳細を示すこともできる。リスク値低減は、リスク値が所定の期間(例えば、3日間)にわたり徐々に下げられるように、規定の間隔(例えば、1時間当たり1回)で行われ得る。
【0043】
[0044]監視システムは、リスク項目に対するリスク値がゼロ(又はその他の所定の閾値)に達したか又はそれに合格したかどうかを判定する(230)。そうではない場合、プロセスは、220に戻り、事象を検出することを続ける。
【0044】
[0045]リスク項目に対するリスク値がゼロ又はその他の所定の閾値に達したか又はそれに合格したと判定するのを受けて、監視システムは、監視システムからリスク項目を削除する(235)。235の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とそのリスク値又は任意のその他の事象詳細を示し、またリスク項目が削除されたことを示すこともできる。
【0045】
[0046]もちろん、図2の例に関して説明されるプロセスは、単一の事象とその対応する事象に対してであり、典型的な実装形態は、多くの事象を同時に処理することになる。このような場合、新たな事象が先に検出された第1の事象に対応する場合の「一致」を見つけるために、220において、任意の個数の先に検出された第1の事象に対して、それぞれの新たな事象が処理される。
【0046】
[0047]いくつかの実施形態において、Webベースのアプリケーションプログラミングインタフェース(API:Application Programming Interface)が、図2に示された事象減衰プロセスをサポートするのに使用され得る。これらの実施形態では、ユーザから入力を得るのに使用され得る減衰アルゴリズムに関連する様々なフィールドを定義するのに、API用の構成ファイルが使用され得る。例えば、特定の実施形態において、以下の項目が構成ファイル内に定義される可能性がある:
・SecurityEventCacheAbsolutePeriodSeconds−絶対有効期間(秒)、
・SecurityEventCacheSlidingPeriodSeconds−スライディング有効期間(秒)、
・SecurityEventCacheExpirationPolicy−使用する有効期限ポリシー(スライディング又は絶対など)、及び
・SecurityEventCacheForceEventDecay−それが有効期限が切れたときにセキュリティ状態事象の減衰を押し進めるべきか否か(リスク係数がゼロに設定される)を示すフラグ
[0048]図1は、産業用プロセス制御及び自動化システム100の一例を示すが、図1に様々な変更がなされてもよい。例えば、制御及び自動化システムは、任意の個数のセンサ、アクチュエータ、コントローラ、サーバ、オペレータステーション、ネットワーク、リスクマネージャ、及びその他の構成要素を含む可能性がある。また、図1におけるシステム100の組み立て及び配置は、単に例示のためのものである。特定のニーズに従って、任意のその他の適切な構成で、構成要素が追加され、省略され、組み合わされ、又は置かれる可能性がある。さらに、特定の機能が、システム100の特定の構成要素によって行われるとして説明された。これは、単に例示のためのものである。一般に、制御及び自動化システムは、高度に構成可能であり、特定のニーズに従い任意の適切な方法で構成され得る。また、図1は、そこにおいてリスクマネージャ154の機能が使用され得る環境の例を示す。この機能性は、任意のその他の適切なデバイス又はシステムにおいて使用され得る。
【0047】
[0049]図2は、サイバーセキュリティリスク事象の自動ハンドリングのための方法200の一例を示すが、図2に様々な変更がなされてもよい。例えば、図2に示される様々なステップが、重複する、並行して起こる、異なる順序で起こる、又は任意の回数起こる可能性がある。また、示されていないが、事象が繰り返し起こる場合に(閾値回数よりも多く、又は閾値頻度よりも頻繁に)リスク値を上げるのに、方法200における追加のループが使用される可能性がある。また、図2における「0」の閾値は、単に例示のためのものであり、任意のその他の適切な閾値が使用される可能性がある(事象のタイプにより異なる閾値を含む)。
【0048】
[0050]ここでのリスクマネージャ154は、以下の先に出願された特許出願及び同時出願の特許出願(それらの全てが参照により本明細書に組み込まれる)に説明されている様々な特徴の任意の組合せ又は全てと共に使用又は動作する可能性があることに留意されたい:
・「DYNAMIC QUANTIFICATION OF CYBER−SECURITY RISKS IN A CONTROL SYSTEM(制御システムにおけるサイバーセキュリティリスクの動的定量化)」という名称の米国特許出願第14/482,888号
・「ANALYZING CYBER−SECURITY RISKS IN AN INDUSTRIAL CONTROL ENVIRONMENT(産業制御環境におけるサイバーセキュリティリスクの分析)」という名称の米国仮特許出願第62/036,920号
・「RULES ENGINE FOR CONVERTING SYSTEM−RELATED CHARACTERISTICS AND EVENTS INTO CYBER−SECURITY RISK ASSESSMENT VALUES(システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン)」という名称の米国仮特許出願第62/113,075号、及び当該出願と同時に出願された同様の名称(整理番号H0048932−0115)の対応する非仮米国特許出願第14/871号
・「NOTIFICATION SUBSYSTEM FOR GENERATING CONSOLIDATED,FILTERED,AND RELEVANT SECURITY RISK−BASED NOTIFICATIONS(統合され、フィルタ処理された、該当するセキュリティリスクベースの通知を生成するための通知サブシステム)」という名称の米国仮特許出願第62/113,221号、及び当該出願と同時に出願された同様の名称(整理番号H0048937−0115)の対応する非仮米国特許出願第14/871,521号
・「TECHNIQUE FOR USING INFRASTRUCTURE MONITORING SOFTWARE TO COLLECT CYBER−SECURITY RISK DATA(インフラストラクチャ監視ソフトウェアを使用してサイバーセキュリティリスクデータを収集するための技法)」という名称の米国仮特許出願第62/113,100号、及び当該出願と同時に出願された同様の名称(整理番号H0048943−0115)の対応する非仮米国特許出願第14/871,855号
・「INFRASTRUCTURE MONITORING TOOL FOR COLLECTING INDUSTRIAL PROCESS CONTROL AND AUTOMATION SYSTEM RISK DATA(産業用プロセス制御及び自動化システムリスクデータを収集するためのインフラストラクチャ監視ツール)」という名称の米国仮特許出願第62/113,186号、及び当該出願と同時に出願された同様の名称(整理番号H0048945−0115)の対応する非仮米国特許出願第14/871,732号
・「PATCH MONITORING AND ANALYSIS(パッチ監視及び分析)」という名称の米国仮特許出願第62/113,165号、及び当該出願と同時に出願された同様の名称(整理番号H0048973−0115)の対応する非仮米国特許出願第14/871,921号
・「APPARATUS AND METHOD FOR DYNAMIC CUSTOMIZATION OF CYBER−SECURITY RISK ITEM RULES(サイバーセキュリティリスク項目ルールの動的カスタマイゼーション用の装置及び方法)」という名称の米国仮特許出願第62/114,928号、及び当該出願と同時に出願された同様の名称(整理番号H0049099−0115)の対応する非仮米国特許出願第14/871,605号
・「APPARATUS AND METHOD FOR PROVIDING POSSIBLE CAUSES,RECOMMENDED ACTIONS,AND POTENTIAL IMPACTS RELATED TO IDENTIFIED CYBER−SECURITY RISK ITEMS(特定されたサイバーセキュリティリスク項目に関連した考えられる原因、推奨される動作、及び潜在的なインパクトを提供するための装置及び方法)」という名称の米国仮特許出願第62/114,865号、及び当該出願と同時に出願された同様の名称(整理番号H0049103−0115)の対応する非仮米国特許出願第14/871,814号
・「APPARATUS AND METHOD FOR TYING CYBER−SECURITY RISK ANALYSIS TO COMMON RISK METHODOLOGIES AND RISK LEVELS(サイバーセキュリティリスク分析を共通リスク方法論及びリスクレベルに結び付けるための装置及び方法)」という名称の米国仮特許出願第62/114,937号、及び当該出願と同時に出願された同様の名称(整理番号H0049104−0115)の対応する非仮米国特許出願第14/871,136号
・「RISK MANAGEMENT IN AN AIR−GAPPED ENVIRONMENT(空隙環境におけるリスク管理)」という名称の米国仮特許出願第62/116,245号、及び当該出願と同時に出願された同様の名称(整理番号H0049081−0115)の対応する非仮米国特許出願第14/871,547号
[0051]いくつかの実施形態において、本特許書類において説明された様々な機能が、コンピュータ可読プログラムコードから形成され、かつコンピュータ可読媒体に埋め込まれたコンピュータプログラムによって実装又はサポートされる。「コンピュータ可読プログラムコード」という成句は、ソースコード、オブジェクトコード、及び実行可能コードを含む、任意のタイプのコンピュータコードを含む。「コンピュータ可読媒体」という成句は、読み取り専用メモリ(ROM:Read Only Memory)、ランダムアクセスメモリ(RAM:Random Access Memory)、ハードディスクドライブ、コンパクトディスク(CD:Compact Disc)、デジタルビデオディスク(DVD:Digital Video Disc)、又は任意のその他のタイプのメモリなどの、コンピュータによってアクセスされることが可能な任意のタイプの媒体を含む。「非一時的」コンピュータ可読媒体は、一時的電気信号又はその他の信号を伝送する、有線、無線、光、又はその他の通信リンクを含まない。非一時的コンピュータ可読媒体は、データが永続的に格納され得る媒体と、書き換え可能光ディスク又は消去可能メモリデバイスなどの、データが格納され、後で上書きされることが可能な媒体を含む。
【0049】
[0052]本特許書類を通して使用されるいくつかの単語及び成句の定義を示すことは有益であり得る。「アプリケーション」及び「プログラム」という用語は、1つ又は複数のコンピュータプログラム、ソフトウェア構成要素、命令セット、手順、機能、オブジェクト、クラス、インスタンス、関連データ、又は適切なコンピュータコード(ソースコード、オブジェクトコード、又は実行可能コードを含む)での実装形態に適合されるそれらの一部を指す。「communicate(通信する)」という用語及びそれの派生語は、直接、間接両方の通信を含む。「include(含む)」、「comprise(含む、備える)」という用語、及びそれらの派生語は、制限なしの包含を意味する。「or(又は)」という用語は、包含的であり、「and/or(及び/又は)」を意味する。「associated with(に関連する)」という成句及びそれの派生語は、含む、〜内に含まれる、〜と相互接続する、包含する、〜内に包含される、〜に又は〜と接続する、〜に又は〜と結合する、〜と通信可能である、〜と連携する、相互配置する、並置する、〜に近接する、〜に又は〜と結び付けられる、有する、〜の特性を有する、〜への又は〜との関係を有する、あるいは同様のものを含むことを意味し得る。「at least one of(少なくとも1つの)」という成句は、項目リストで使用される場合、列挙された項目のうちの1つ又は複数の種々の組合せが使用され得る、またリスト内のただ1つの項目が必要とされ得ることを意味する。例えば、「at least one of: A,B,and C(A、B、及びCのうちの少なくとも1つの)」は、A、B、C、AとB、AとC、BとC、AとBとCの組合せのうちのいずれかを含む。
【0050】
[0053]本開示は、特定の実施形態と、それに一般に関連する方法を説明したが、これらの実施形態及び方法の修正、置換が、当業者には明らかであろう。従って、例示的な実施形態の上の説明は、本開示を定義又は制約するものではない。その他の変更、代用、及び修正もまた、以下の特許請求の範囲によって定義されるような、本開示の趣旨及び範囲から外れない限り、可能である。
図1
図2