知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6693114
(24)【登録日】2020年4月20日
(45)【発行日】2020年5月13日
(54)【発明の名称】制御装置及び統合生産システム
(51)【国際特許分類】
G06F 13/00 20060101AFI20200427BHJP
G05B 9/02 20060101ALI20200427BHJP
G06F 21/55 20130101ALI20200427BHJP
【FI】
G06F13/00 351Z
G05B9/02 B
G06F21/55
【請求項の数】7
【全頁数】16
(21)【出願番号】特願2015-244048(P2015-244048)
(22)【出願日】2015年12月15日
(65)【公開番号】特開2017-111532(P2017-111532A)
(43)【公開日】2017年6月22日
【審査請求日】2018年10月18日
(73)【特許権者】
【識別番号】000006507
【氏名又は名称】横河電機株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(74)【代理人】
【識別番号】100167553
【弁理士】
【氏名又は名称】高橋 久典
(74)【代理人】
【識別番号】100181124
【弁理士】
【氏名又は名称】沖田 壮男
(72)【発明者】
【氏名】小川 永志樹
(72)【発明者】
【氏名】鈴木 和也
(72)【発明者】
【氏名】山城 靖彦
(72)【発明者】
【氏名】藤田 祥
(72)【発明者】
【氏名】長谷川 健司
(72)【発明者】
【氏名】監物 太郎
(72)【発明者】
【氏名】門脇 勇一郎
【審査官】
今川 悟
(56)【参考文献】
【文献】
国際公開第2015/001594(WO,A1)
【文献】
特開2012−226508(JP,A)
【文献】
国際公開第2015/114791(WO,A1)
【文献】
米国特許出願公開第2013/0211558(US,A1)
【文献】
村上 正志,In Detail サイバー攻撃に強い制御システムを構築するには,計装 Vol.56 No.3 INSTRUMENTATION CONTROL ENGINEERING,日本,(有)工業技術社,2013年 2月18日,第56巻,63-71
【文献】
若林 聡 Akira Wakabayashi,安全計装システムの現状(1),計測技術 第41巻 第11号 Instrumentation and Automation,日本,日本工業出版株式会社,2013年10月 1日,第41巻,46-51
【文献】
土居 昭一 Shoichi Doi Shoichi Doi,生産制御システムに最適なセキュリティ設計 The Optimal Security Design for a Production Control System,紙パ技協誌 3,宮内 雅浩 紙パルプ技術協会,2015年 2月27日,第69巻,43-48
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
G05B 9/02
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
プラントに構築された統合生産システムの制御装置において、
前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段の検知結果に基づいて、自装置の少なくとも一部の機能を制限する対策を行う防御手段を備え、
前記防御手段は、前記検知手段の検知結果に基づいて前記サイバー攻撃の対象及び種別を特定し、特定した前記サイバー攻撃の対象及び種別に応じた前記対策を設定する設定手段と、
前記設定手段で設定された前記対策を実行する実行手段と、
を備える制御装置。
前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段の検知結果に基づいて、自装置の少なくとも一部の機能を制限する対策を行う防御手段を備え、
前記防御手段は、前記検知手段の検知結果に基づいて前記サイバー攻撃の対象及び種別を特定し、特定した前記サイバー攻撃の対象及び種別に応じた前記対策を設定する設定手段と、
前記設定手段で設定された前記対策を実行する実行手段と、
を備える制御装置。
【請求項2】
前記設定手段は、前記サイバー攻撃の対象及び種別と、前記サイバー攻撃の対象及び種別に応じて行うべき対策とが対応付けられた設定リストを用いて前記対策を設定する、請求項1記載の制御装置。
【請求項3】
前記制御装置は、前記統合生産システムに異常が生じた場合に、前記統合生産システムを安全な状態に停止させる安全計装システムの制御装置である、請求項1又は請求項2記載の制御装置。
【請求項4】
ネットワークに接続された安全計装システムを備える統合生産システムにおいて、
前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段と、
前記安全計装システムの一部をなす請求項1又は請求項2記載の制御装置と、
を備える統合生産システム。
前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段と、
前記安全計装システムの一部をなす請求項1又は請求項2記載の制御装置と、
を備える統合生産システム。
【請求項5】
前記統合生産システムは、複数のゾーンに区分けされており、
前記検知手段は、前記ゾーン毎に設けられていて、自ゾーンに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する
請求項4記載の統合生産システム。
前記検知手段は、前記ゾーン毎に設けられていて、自ゾーンに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する
請求項4記載の統合生産システム。
【請求項6】
前記制御装置の防御手段は、前記ネットワークを介して前記検知手段の検知結果を得る、請求項4又は請求項5記載の統合生産システム。
【請求項7】
前記制御装置の防御手段は、前記ネットワークとは異なる通信線を介して前記検知手段の検知結果を得る、請求項4又は請求項5記載の統合生産システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御装置及び統合生産システムに関する。
【背景技術】
【0002】
従来から、プラントや工場等(以下、これらを総称する場合には、単に「プラント」という)においては、統合生産システムが構築されており、高度な自動操業が実現されている。このような統合生産システムは、安全性を確保しつつ高度な制御を行うために、プラントで実現される工業プロセスの制御を行うプロセス制御システムである分散制御システム(DCS:Distributed Control System)等の制御システムと、安全計装システム(SIS:Safety Instrumented System)等の安全システムとを備える。
【0003】
上記の分散制御システムは、フィールド機器と呼ばれる現場機器(測定器、操作器)と、これらを制御するコントローラとが通信手段を介して接続され、フィールド機器で測定された測定データをコントローラが収集し、収集した測定データに応じてコントローラがフィールド機器を操作(制御)することによって工業プロセスにおける各種の状態量の制御を行うシステムである。上記の安全計装システムは、緊急時においてプラントを確実に安全な状態に停止させることで、人身事故や環境汚染を未然に防止するとともに、高価な設備の保護を図るシステムである。この安全計装システムは、プラントに異常事態が生じた場合に、「安全を守る最後の砦」としての役割を担っている。
【0004】
上述した統合生産システムは、外部からのサイバー攻撃を受ける可能性が考えられる。このため、統合生産システムでは、分散制御システム及び安全計装システムの各々で個別に、或いは統合生産システム全体で、サイバー攻撃を受けた場合の対策(セキュリティ対策)が施されている。例えば、外部から統合生産システムへの侵入を防ぐためのファイアウォールの設置、或いはコンピュータに対するウィルス対策ソフト(ウィルス感染を検知してウィルスの除去を行うソフト)のインストール等が行われている。尚、分散制御システム及び安全計装システムの中核をなすコントローラは、独自のオペレーティングシステムを用いることで、サイバー攻撃に対する耐性が高められている。
【0005】
統合生産システムは、複数のゾーンに区分けされており、上述したセキュリティ対策は基本的にゾーン毎に施されている。例えば、国際標準規格ISA−95(IEC/ISO 62264)で規定されている階層構造に準じて構築されている統合生産システムは、階層を基準として複数のゾーンに区分けされており、上述したセキュリティ対策は階層毎に施されている。尚、以下の特許文献1,2には、制御系ネットワークのセキュリティを維持するための従来技術が開示されており、以下の特許文献3には、上述した国際標準規格ISA−95の階層構造に習ったツリービューを表示する従来技術が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2000−267957号公報
【特許文献2】特開2010−081610号公報
【特許文献3】特開2013−161432号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、上述の通り、外部からのサイバー攻撃に対するセキュリティ対策は基本的にゾーン毎に施されていることから、サイバー攻撃が行われた場合のセキュリティ対策はゾーン毎に個別に実行されることになる。このため、従来の統合生産システムでは、各ゾーンのセキュリティ対策がサイバー攻撃に対して十分でない場合には、安全計装システムが属するゾーンまでサイバー攻撃が及んでしまい、最終的な防衛策は、安全計装システムが属するゾーンで施されているセキュリティ対策に依存してしまうという問題がある。
【0008】
また、安全計装システムは、上位のシステムとの通信は通常行わないが、分散制御システムと通信する必要がある。一方、分散制御システムには、上位システムとの通信が求められる。すると、安全計装システムも、結果として上位システムと繋がることになるため、サイバー攻撃が及んでしまう可能性が考えられるという問題がある。
【0009】
ここで、上述の通り、各ゾーンのセキュリティ対策がサイバー攻撃に対して十分でない場合には、安全計装システムが属するゾーンまでサイバー攻撃が及んでしまい、安全計装システム(或いは、安全計装システムで用いられるプログラムの作成を行うエンジニアリングステーション)の制御権が奪われる事態が生ずる虞が考えられる。また、統合生産システム内部からサイバー攻撃が行われる場合(例えば、ウィルスに感染した機器が統合生産システム内に持ち込まれた場合等)にも、安全計装システム等の制御権が奪われる事態が生ずる虞が考えられる。このような事態が生じて安全計装システムの中核をなすコントローラのプログラムが書き換えられてしまうと「安全を守る最後の砦」としての役割が失われてしまうことから、上記の事態が生じないようにする必要がある。
【0010】
本発明は上記事情に鑑みてなされたものであり、安全計装システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を未然に防いで安全計装システムの健全性を担保することが可能な制御装置及び統合生産システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明の制御装置は、プラントに構築された統合生産システム(1、2)の制御装置(31a、31b)において、前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段(60)の検知結果に基づいて、自装置の少なくとも一部の機能を制限する対策を行う防御手段(DF)を備える。また、本発明の制御装置は、前記防御手段が、前記検知手段の検知結果に基づいて前記サイバー攻撃の対象及び種別を特定し、特定した前記サイバー攻撃の対象及び種別に応じた前記対策を設定する設定手段(71)と、前記設定手段で設定された前記対策を実行する実行手段(72)と、を備える。
また、本発明の制御装置は、前記設定手段が、前記サイバー攻撃の対象及び種別と、前記サイバー攻撃の対象及び種別に応じて行うべき対策とが対応付けられた設定リスト(LS)を用いて前記対策を設定する。
また、本発明の制御装置は、前記制御装置が、前記統合生産システムに異常が生じた場合に、前記統合生産システムを安全な状態に停止させる安全計装システム(30)の制御装置である。
本発明の統合生産システムは、ネットワーク(N)に接続された安全計装システム(30)を備える統合生産システム(1、2)において、前記統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段(60)と、前記安全計装システムの一部をなす上記の何れかに記載の制御装置(31a、31b)と、を備える。
また、本発明の統合生産システムは、複数のゾーン(Z1〜Z3)に区分けされており、前記検知手段が、前記ゾーン毎に設けられていて、自ゾーンに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する。
また、本発明の統合生産システムは、前記制御装置の防御手段が、前記ネットワークを介して前記検知手段の検知結果を得る。
また、本発明の統合生産システムは、前記制御装置の防御手段が、前記ネットワークとは異なる通信線(L1)を介して前記検知手段の検知結果を得る。
【発明の効果】
【0012】
本発明によれば、統合生産システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する検知手段を設け、検知手段の検知結果に基づいて制御装置の防御手段が、自装置の少なくとも一部の機能を制限する対策を行うようにしているため、安全計装システムに対する内部及び外部の少なくとも一方からのサイバー攻撃を未然に防いで安全計装システムの健全性を担保することが可能であるという効果がある。
【図面の簡単な説明】
【0013】
【図1】本発明の第1実施形態による統合生産システムの全体構成を示すブロック図である。
【図2】本発明の第1実施形態による制御装置の要部構成を示すブロック図である。
【図3】本発明の第1実施形態における設定リストの一例を示す図である。
【図4】本発明の第1実施形態における攻撃対象リスト及び対策リストの一例を示す図である。
【図5】本発明の第1実施形態における設定リストの他の例を示す図である。
【図6】本発明の第1実施形態における攻撃対象リスト及び対策リストの他の例を示す図である。
【図7】本発明の第1実施形態による制御装置としての安全コントローラ内の防御部の動作を示すフローチャートである。
【図8】本発明の第2実施形態による統合生産システムの全体構成を示すブロック図である。
【図9】本発明のその他の実施形態による統合生産システムを示すブロック図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施形態による制御装置及び統合生産システムについて詳細に説明する。
【0015】
〔第1実施形態〕〈統合生産システム〉
図1は、本発明の第1実施形態による統合生産システムの全体構成を示すブロック図である。図1に示す通り、本実施形態の統合生産システム1は、フィールド機器10、分散制御システム(DCS)20、安全計装システム(SIS)30、製造システム40、経営システム50、及び検知装置60(検知手段)を備えており、プラントの自動操業を行うとともにプラントの維持管理等を行う。
【0016】
この統合生産システム1は、国際標準規格ISA−95(IEC/ISO 62264)で規定されている階層構造に準じて構築されている。具体的に、統合生産システム1は、レベル2の階層に分散制御システム20及び安全計装システム30が属し、レベル3の階層に製造システム40が属し、レベル4の階層に経営システム50が属するように構築されている。これら分散制御システム20、安全計装システム30、製造システム40、及び経営システム50に加えて、検知装置60は、ネットワーク機器NE1〜NE3等によって構成されるネットワークNを介して接続されている。
【0017】
また、統合生産システム1は、セキュリティ対策のために、上述した階層を基準として複数のゾーンに区分けされている。具体的に、統合生産システム1は、分散制御システム20及び安全計装システム30がゾーンZ1に区分けされており、製造システム40がゾーンZ2に区分けされており、経営システム50がゾーンZ3に区分けされている。
【0018】
ここで、上記のプラントとしては、化学等の工業プラントの他、ガス田や油田等の井戸元やその周辺を管理制御するプラント、水力・火力・原子力等の発電を管理制御するプラント、太陽光や風力等の環境発電を管理制御するプラント、上下水やダム等を管理制御するプラント等がある。
【0019】
フィールド機器10は、プラントの現場に設置されて分散制御システム20の制御の下で工業プロセスの制御に必要な測定や操作を行う機器である。具体的に、フィールド機器10は、例えば圧力計や流量計や温度センサやガスセンサや振動センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器、プラント内の状況や対象物を撮影するカメラやビデオ等の撮像機器、プラント内の異音等を収集したり警報音等を発したりするマイクやスピーカ等の音響機器、各機器の位置情報を出力する位置検出機器、その他の機器である。
【0020】
フィールド機器10は、分散制御システム20又は安全計装システム30と通信を行う。例えば、フィールド機器10は、分散制御システム20又は安全計装システム30との間で、ネットワークや通信バス(図示省略)を介した有線通信、或いはISA100.11aやWirelessHART(登録商標)等の産業用無線通信規格に準拠した無線通信を行う。
【0021】
分散制御システム20は、制御コントローラ21、操作監視端末22、及びエンジニアリング端末23を備えており、フィールド機器10で測定された測定データを収集し、収集した測定データに応じてフィールド機器10を操作(制御)することによって各種の状態量の制御を行う。尚、分散制御システム20によって制御される状態量は、工業プロセスにおける各種の状態量であり、例えば圧力、温度、流量等である。
【0022】
制御コントローラ21は、分散制御システム20の中核をなす装置であり、フィールド機器10からの測定データの収集、フィールド機器10に対する操作(制御)を行う。操作監視端末22は、例えばプラントの運転員によって操作され、プラントの運転状態の監視のために用いられる装置である。エンジニアリング端末23は、制御コントローラ21及び操作監視端末22で実行されるプログラムを作成するための装置である。尚、エンジニアリング端末23は、常時ネットワークに接続されている必要はない。また、エンジニアリング端末23は、分散制御システム20と安全計装システム30とで共用されるものとする。
【0023】
安全計装システム30は、安全コントローラ31a,31b(制御装置)及びエンジニアリング端末23を備えており、緊急時においてプラントを確実に安全な状態に停止させることで、人身事故や環境汚染を未然に防止するとともに、高価な設備の保護を図るシステムである。この安全計装システムは、プラントに異常事態が生じた場合に、「安全を守る最後の砦」としての役割を担っている。
【0024】
安全コントローラ31a,31bは、安全計装システム30の中核をなす装置であり、フィールド機器10、或いは他の安全コントローラ(図示省略)と通信を行って必要なデータを得てプラントに異常事態が生じたか否かを判断する。また、安全コントローラ31a,31bは、プラントに異常事態が生じたと判断した場合に、安全制御を実現するための安全制御ロジックを実行する。エンジニアリング端末23は、安全コントローラ31で実行されるプログラムの作成するための装置でもある。
【0025】
尚、本実施形態では、エンジニアリング端末23が、分散制御システム20と安全計装システム30とで共用されるものとするが、分散制御システム20及び安全計装システム30の各々にエンジニアリング端末23に相当する専用の端末が設けられていても良い。また、本実施形態では、安全計装システム30に2台の安全コントローラ31a,31bが設けられる例について説明するが、安全計装システム30に設けられる安全コントローラの台数は1台であっても良く、3台以上であっても良い。尚、安全コントローラ31a,31bの詳細については後述する。
【0026】
製造システム40は、プラントでの製品の製造を効率的に行うために構築されるシステムである。例えば、製造システム40は、製造実行システム(MES:Manufacturing Execution System)、プラント情報管理システム(PIMS:Plant Information Management System)、或いは機器管理システム(PAM:Plant Asset Management)等である。この製造システム40として、製造実行システム、プラント情報管理システム、及び機器管理システムの何れか1つのみが構築されていても良く、何れか2つ以上が構築されていても良い。
【0027】
経営システム50は、企業における経営或いは営業等の業務を行うために構築されるシステムである。例えば、経営システム50は、基幹業務システム(ERP:Enterprise Resource Planning)等である。
【0028】
ゾーンZ1に区分けされた操作監視端末22、エンジニアリング端末23、及び検知装置60は、ネットワーク機器NE1を介してゾーンZ2に区分けされた製造システム40に接続されている。ゾーンZ2に区分けされた製造システム40は、ネットワーク機器NE2を介してゾーンZ3に区分けされた経営システム50に接続されている。ゾーンZ3に区分けされた経営システム50は、ネットワーク機器NE3を介して不図示の他のネットワーク(例えば、インターネット)に接続されている。
【0029】
つまり、上記のネットワーク機器NE1は、ゾーンZ1とゾーンZ2との間に設けられており、上記のネットワーク機器NE2は、ゾーンZ2とゾーンZ3との間に設けられており、上記のネットワーク機器NE3は、ゾーンZ3と不図示の他のネットワーク(例えば、インターネット)との間に設けられている。尚、ネットワーク機器NE1〜NE3は、ファイアウォール、ルータ、スイッチ等である。
【0030】
検知装置60は、前述したゾーンZ1〜Z3毎に設けられており、自ゾーンに対する内部及び外部の少なくとも一方からのサイバー攻撃を検知する装置である。ここで、自ゾーンに対する外部からのサイバー攻撃としては、統合生産システム1への不正な侵入、統合生産システム1で用いられているプログラムの改竄、統合生産システム1で用いられるデータの詐取や破壊、統合生産システム1を機能不全に陥らせる行為、その他の行為が挙げられる。また、自ゾーンに対する内部からのサイバー攻撃としては、例えばウィルスに感染されたUSB(Universal Serial Bus)機器の持ち込み使用によって、上述のプログラムの改竄等が行われる事態が挙げられる。
【0031】
検知装置60は、ゾーンZ1〜Z3の各々の設計思想により実装され、例えば市販のウィルス対策ソフト(ウィルス感染を検知してウィルスの除去を行うソフト)、或いは侵入検知システム等を活用することが可能である。尚、本実施形態では、理解を容易にするために、検知装置60が「装置」として実装される例について説明するが、検知装置60の機能がソフトウェアによって実現されていても良い。
【0032】
ゾーンZ1〜Z3の各々に設けられる検知装置60は、ネットワークNに接続されており、サイバー攻撃を検知した場合には、その検知結果を、ネットワークNを介して安全コントローラ31a,31bに送信する。尚、本実施形態では、説明を簡単にするために、検知装置60の検知結果が安全コントローラ31a,31bに送信されるとするが、安全コントローラ31a,31bに加えて制御コントローラ21に送信されても良い。
【0033】
〈制御装置〉図2は、本発明の第1実施形態による制御装置の要部構成を示すブロック図である。尚、本実施形態による制御装置としての安全コントローラ31a,31bは、同様の構成である。このため、ここでは安全コントローラ31aについて説明し、安全コントローラ31bについての説明は省略する。
【0034】
図2に示す通り、安全コントローラ31aは、安全制御部SCと防御部DF(制御手段)とを備える。安全制御部SCは、安全コントローラ31aの本来の機能を実現する部分であり、外部の機器(例えば、フィールド機器10、安全コントローラ31b等)と通信を行い、プラントに異常が生じた場合に、安全制御を実現するための安全制御ロジックを実行する。
【0035】
防御部DFは、設定部71(設定手段)及び実行部72(実行手段)を備えており、検知装置60から得られる検知結果に基づいて、内部及び外部の少なくとも一方からのサイバー攻撃を防ぐためのセキュリティ対策を行う。具体的に、防御部DFは、安全制御部SCを制御して、安全コントローラ31aの機能の一部又は全部を制限する対策を行う。例えば、安全コントローラ31aで用いられているアプリケーションプログラムの変更を制限し、外部から入力される制御コマンドの実行を制限する制限を行う。
【0036】
設定部71は、検知装置60の検知結果に基づいてサイバー攻撃の対象及び種別等を特定し、特定した内容に応じたセキュリティ対策を設定する。ここで、設定部71は、サイバー攻撃の対象及び種別等の一覧を示す攻撃対象リストと、サイバー攻撃の対象及び種別等に応じて行うべきセキュリティ対策の一覧を示す対策リストとが対応付けられた設定リストLSを用いて上述のセキュリティ対策を設定する。実行部72は、設定部71で設定されたセキュリティ対策を実行する。尚、防御部DFの機能はハードウェアによって実現されていても良く、ソフトウェアによって実現されていても良い。
【0037】
図3は、本発明の第1実施形態における設定リストの一例を示す図である。また、図4は、本発明の第1実施形態における攻撃対象リスト及び対策リストの一例を示す図である。尚、図4(a)が、攻撃対象リストを示す図であり、図4(b)が、対策リストを示す図である。図3,図4に示す通り、設定リストLSは、攻撃対象リストの「攻撃対象番号」(攻撃対象No.)、対策リストの「対策番号」(対策No.)、及び「対象機器」が対応付けられたリストである。尚、上記の「対象機器」は、セキュリティ対策が行われる対象となる機器である。
【0038】
図4(a)に示す通り、攻撃対象リストは、「攻撃対象番号」(攻撃対象No.)、「ゾーン」、「機器」、「レベル」、及び「タイプ」が対応付けられたリストである。この攻撃対象リストは、どのゾーンのどの機器にどのような攻撃がなされたかを特定するために用いられるリストである。上記の「攻撃対象番号」は、統合生産システム1に対して行われる様々なサイバー攻撃を区別するために割り当てられる番号である。上記の「ゾーン」は、サイバー攻撃が行われたゾーンを特定するための情報である。
【0039】
上記の「機器」は、サイバー攻撃が行われた機器を特定するための情報である。この「機器」としては、例えばパーソナルコンピュータ(PC)、コントローラ、スイッチ、ルータ、ファイアウォール等が挙げられる。上記の「レベル」は、サイバー攻撃が機器のどの部分に対して行われているかを特定するための情報である。この「レベル」としては、オペレーティングシステム(OS)、ネットワーク、ハードウェア、アプリケーションプログラム等が挙げられる。上記の「タイプ」は、サイバー攻撃の種別を特定するための情報である。この「タイプ」としては、例えばウィルス、DoS攻撃(Denial of Service attack)等が挙げられる。
【0040】
図4(b)に示す通り、対策リストは、「対策番号」(対策No.)と「アクション」とが対応付けられたリストである。上記の「対策番号」は、統合生産システム1で行われる様々なセキュリティ対策を区別するために割り当てられる番号である。上記の「アクション」は、サイバー攻撃が行われた場合に、サイバー攻撃に対して行うべきセキュリティ対策を規定した情報である。この「アクション」としては、例えば安全コントローラ31a,31bで用いられているアプリケーションプログラムの変更の制限、同アプリケーションプログラムの変更の禁止、外部から入力される制御コマンドの実行の制限、同制御コマンドの破棄、全通信機能の停止、プラントシャットダウン等が挙げられる。
【0041】
例えば、図3に示す設定リストLSの第1〜4行目では、攻撃対象番号“A1”〜“A4”に対して、対策番号“B1”がそれぞれ対応付けられており、対象機器は対応付けられていない。このような対応付けがなされていることで、ゾーンZ3に属する機器(ファイアウォール、スイッチ、PC)に対するサイバー攻撃が行われた場合には、安全コントローラ31a,31bでは、イベントログへの記録及びシステム管理者への通知のみが行われ、機能の一部又は全部を制限する対策は行われないことになる。
【0042】
また、例えば、図3に示す設定リストLSの第5〜7行目では、攻撃対象番号“A5”〜“A7”に対して、対策番号“B2&B4”がそれぞれ対応付けられ、対象機器“ENG23,CNT31a,31b”が対応付けられている。このような対応付けがなされていることで、ゾーンZ2に属する機器(ファイアウォール、スイッチ、PC、コントローラ)に対するサイバー攻撃が行われた場合には、エンジニアリング端末(ENG)23及び安全コントローラ(CNT)31a,31bにおいて、アプリケーションプログラムの変更を制限し、且つ外部から入力される制御コマンドの実行を制限する対策が行われることになる。
【0043】
また、例えば、図3に示す設定リストLSの第8,10〜12行目では、攻撃対象番号“A8”,“A10”〜“A12”に対して、対策番号“B3&B5”がそれぞれ対応付けられ、対象機器“ENG23,CNT31a,31b”が対応付けられている。このような対応付けがなされていることで、ゾーンZ1に属する操作監視端末(HMI)22、安全コントローラ(CNT)31a,31b、及び制御コントローラ21に対するサイバー攻撃が行われた場合には、エンジニアリング端末(ENG)23及び安全コントローラ(CNT)31a,31bにおいて、アプリケーションプログラムの変更を禁止し、且つ外部から入力される制御コマンドを破棄する対策が行われることになる。
【0044】
また、例えば、図3に示す設定リストLSの第9行目では、攻撃対象番号“A9”に対して、対策番号“B6”が対応付けられ、対象機器“ENG23,CNT31a,31b”が対応付けられている。このような対応付けがなされていることで、ゾーンZ1に属するエンジニアリング端末(ENG)23に対するサイバー攻撃が行われた場合には、エンジニアリング端末(ENG)23及び安全コントローラ(CNT)31a,31bにおいて、全通信機能を停止する対策が行われることになる。
【0045】
図5は、本発明の第1実施形態における設定リストの他の例を示す図である。また、図6は、本発明の第1実施形態における攻撃対象リスト及び対策リストの他の例を示す図である。尚、図6(a)が、攻撃対象リストを示す図であり、図6(b)が、対策リストを示す図である。図5に示す設定リストLS、並びに図6に示す攻撃対象リスト及び対策リストは、図3,図4に示すものと比べてシンプルにしたものであり、サイバー攻撃が検知された場合に、管理者がサイバー攻撃への対応を判断するようにするものである。
【0046】
例えば、図5に示す設定リストLSの第1,2行目では、攻撃対象番号“A21”,“A22”に対して、対策番号“B21”がそれぞれ対応付けられており、対象機器は対応付けられていない。このような対応付けがなされていることで、ゾーンZ2,Z3に属する任意の機器に対するサイバー攻撃が行われた場合には、安全コントローラ31a,31bでは、イベントログへの記録及びシステム管理者への通知(画面表示)のみが行われ、機能の一部又は全部を制限する対策は行われないことになる。
【0047】
また、例えば、図5に示す設定リストLSの第3行目では、攻撃対象番号“A23”に対して、対策番号“B22”が対応付けられ、対象機器“ENG23,CNT31a,31b”が対応付けられている。このような対応付けがなされていることで、ゾーンZ1に属する操作監視端末(HMI)22及び安全コントローラ(CNT)31a,31bに対するサイバー攻撃が行われた場合には、エンジニアリング端末(ENG)23及び安全コントローラ(CNT)31a,31bにおいて、アプリケーションプログラムの変更を制限する対策が行われることになる。
【0048】
また、例えば、図3に示す設定リストLSの第4行目では、攻撃対象番号“A24”に対して、対策番号“B23”が対応付けられ、対象機器“ENG23,CNT31a,31b”が対応付けられている。このような対応付けがなされていることで、ゾーンZ1に属するエンジニアリング端末(ENG)23に対するサイバー攻撃が行われた場合には、エンジニアリング端末(ENG)23及び安全コントローラ(CNT)31a,31bにおいて、アプリケーションプログラムの変更を制限し、且つ外部から入力される制御コマンドの実行を制限する対策が行われることになる。
【0049】
次に、上記構成における統合生産システム1の動作について説明する。尚、統合生産システム1の動作は多岐に亘るが、以下では、主に検知装置60及び安全コントローラ31a,31bで行われる動作(サイバー攻撃を検知して防御する動作)について説明する。図7は、本発明の第1実施形態による制御装置としての安全コントローラ内の防御部の動作を示すフローチャートである。尚、図7に示すフローチャートの処理は、例えば予め規定された一定の周期で実行される。
【0050】
図7に示すフローチャートの処理が開始されると、まず、検知装置60から得られる検知結果を読み込み(ステップS11)、その検知結果を解析する処理(ステップS12)が安全コントローラ31a,31bに設けられた防御部DFの設定部71(図2参照)で行われる。次に、解析の結果に基づいて統合生産システム1に対するサイバー攻撃の有無を判断する処理が設定部71で行われる(ステップS13)。統合生産システム1に対するサイバー攻撃が無いと判断された場合(ステップS13の判断結果が「NO」の場合に)には、図7に示す一連の処理が終了する。
【0051】
これに対し、統合生産システム1に対するサイバー攻撃が有ったと判断された場合(ステップS13の判断結果が「YES」の場合に)には、ステップS12で行われた解析の結果から、サイバー攻撃の対象及び種別等を特定する処理が設定部71で行われる(ステップS14)。サイバー攻撃の対象及び種別等が特定されると、設定リストLSを用いて、特定された内容に応じたセキュリティ対策を設定する処理が設定部71で行われる(ステップS15)。セキュリティ対策が設定されると、設定されたセキュリティ対策を示す情報が設定部71から実行部72に出力され、設定部71で設定されたセキュリティ対策を実行する処理が実行部72で行われる(ステップS16)。
【0052】
ここで、例えばゾーンZ3に属する経営システム50で用いられているPCに対するサイバー攻撃が行われ、そのPCがウィルス感染したとする。すると、ゾーンZ3に属する検知装置60によって、PCのウィルス感染が検知される。この検知結果は、安全コントローラ31a,31bに設けられた防御部DFの設定部71に読み込まれて(ステップS11)、解析が行われる(ステップS12)。すると、図7に示すステップS13の判断結果が「YES」となり、ステップS14の処理によって、サイバー攻撃によってゾーンZ3に属するPCにウィルスが感染した(攻撃対象番号“A4”)と特定される。
【0053】
サイバー攻撃の対象及び種別等が特定されると、図3に示す設定リストLSの第4行目から攻撃対象番号“A4”に対応付けられている対策番号“B1”に基づいて、安全コントローラ31a,31bに設けられた防御部DFの設定部71では、イベントログへの記録及びシステム管理者への通知を行うセキュリティ対策が設定される(ステップS15)。そして、上記の設定部71によって設定されたセキュリティ対策が実行部72で行われ、イベントログへの記録及びシステム管理者への通知が実施される(ステップS16)。
【0054】
また、例えばゾーンZ1に属するエンジニアリング端末23に対するサイバー攻撃が行われたとする。すると、ゾーンZ1に属する検知装置60によって、エンジニアリング端末23に対するサイバー攻撃が検知される。この検知結果は、安全コントローラ31a,31bに設けられた防御部DFの設定部71に読み込まれて(ステップS11)、解析が行われる(ステップS12)。すると、図7に示すステップS13の判断結果が「YES」となり、ステップS14の処理によって、サイバー攻撃によってゾーンZ1に属するエンジニアリング端末23に対するサイバー攻撃が行われた(攻撃対象番号“A9”)と特定される。
【0055】
サイバー攻撃の対象及び種別等が特定されると、図3に示す設定リストLSの第9行目から攻撃対象番号“A9”に対応付けられている対策番号“B6”及び対象機器“ENG23,CNT31a,31b”に基づいて、エンジニアリング端末23及び安全コントローラ31a,31bの全通信機能を停止するセキュリティ対策が設定される(ステップS15)。そして、安全コントローラ31a,31bに設けられた防御部DFの設定部71によって設定されたセキュリティ対策が実行部72で行われ、エンジニアリング端末23及び安全コントローラ31a,31bの全通信機能が停止される(ステップS16)。
【0056】
以上の処理が行われることで、例えばウィルスに感染されたUSB機器がエンジニアリング端末23で使用され、エンジニアリング端末23がウィルスに感染したとしても、エンジニアリング端末23及び安全コントローラ31a,31bは、全通信機能が停止されることになる。これにより、安全コントローラ31b,31bに対するサイバー攻撃を未然に防ぐことができ、安全コントローラ31b,31bの健全性を担保することができることから、「安全を守る最後の砦」としての役割が失われることはない。
【0057】
以上の通り、本実施形態では、外部又は内部からのサイバー攻撃を検知する検知装置60を設け、検知装置60の検知結果に基づいて、安全コントローラ31a,31b及びエンジニアリング端末23の機能を制限する対策を行うようにしている。このため、安全コントローラ31b,31bに対するサイバー攻撃を未然に防ぐことができ、安全コントローラ31b,31bの健全性を担保することができる。また、サイバー攻撃の脅威に応じた対応策を設定することで、プラントを不用意に停止させることなく、サイバー攻撃を効果的に防ぐことが可能である。
【0058】
〔第2実施形態〕図8は、本発明の第2実施形態による統合生産システムの全体構成を示すブロック図である。尚、図8においては、図1に示す構成と同じ構成(或いは、図1に示す構成に相当する構成)には同一の符号を付してある。図8に示す通り、本実施形態の統合生産システム2は、図1に示す統合生産システム1と概ね同様の構成である。但し、本実施形態の統合生産システム2は、検知装置60と安全コントローラ31a,31bとが、ネットワークNとは異なる通信線L1(通信線)を介して接続されている点が、図1に示す統合生産システム1とは異なる。
【0059】
通信線L1は、例えば接点信号を伝送するための伝送線、アナログ信号を伝送するための伝送線であり、検知装置60で検知された検知結果を安全コントローラ31a,31bに送信するためのものである。尚、通信線L1は、検知装置60と安全コントローラ31a(或いは、安全コントローラ31b)とを1対1で接続するものであっても良く、複数の検知装置60と安全コントローラ31a,31bとをネットワークの形態で接続するものであっても良い。
【0060】
このように、通信線L1によって検知装置60と安全コントローラ31a,31bとを接続するのは、外部又は内部からのサイバー攻撃をより確実に防ぐことができるようにするためである。つまり、サイバー攻撃がなされると、ネットワークNを介した通信ができなくなる可能性が考えられる。仮に、ネットワークNを介した通信ができなくなったとしても、通信線L1を介した通信が可能であれば、検知装置60の検知結果を安全コントローラ31a,31bに送信することができ、検知装置60の検知結果に応じたセキュリティ対策を安全コントローラ31a,31bで実施することができるため、外部又は内部からのサイバー攻撃をより確実に防ぐことができる。
【0061】
尚、本実施形態の統合生産システム2は、検知装置60の検知結果が通信線L1を介して安全コントローラ31a,31bに送信される点を除いて第1実施形態の統合生産システム1と同様である。このため、本実施形態の統合生産システム2の動作は、基本的には第1実施形態の統合生産システム1と同様であるため、ここでの詳細な説明は省略する。
【0062】
以上の通り、本実施形態においても、第1実施形態と同様に、外部又は内部からのサイバー攻撃を検知する検知装置60を設け、検知装置60の検知結果に基づいて、安全コントローラ31a,31b及びエンジニアリング端末23の機能を制限する対策を行うようにしている。このため、安全コントローラ31b,31bに対するサイバー攻撃を未然に防ぐことができ、安全コントローラ31b,31bの健全性を担保することができる。また、サイバー攻撃の脅威に応じた対応策を設定することで、プラントを不用意に停止させることなく、サイバー攻撃を効果的に防ぐことが可能である。
【0063】
〔その他の実施形態〕図9は、本発明のその他の実施形態による統合生産システムを示すブロック図である。図9においては、図1,図8に示す構成と同じ構成(或いは、図1,図8に示す構成に相当する構成)には同一の符号を付してある。また、図9においては、フィールド機器10及びネットワーク機器NE1〜NE3等を省略して図示を簡略化している。
【0064】
図9(a)に示す実施形態の統合生産システムは、製造システム40と経営システム50とが1つのゾーンZ20に区分けされ、そのゾーンZ20に1つの検知装置60が設けられたものである。第1,第2実施形態の統合生産システム1,2は、階層を基準として複数のゾーンZ1〜Z3に区分けされていたが、本実施形態のように、複数の階層が1つのゾーンに区分けされていても良い。
【0065】
図9(b)に示す実施形態の統合生産システムは、分散制御システム20及び安全計装システム30を複数備えるものである。この態様の統合生産システムでは、分散制御システム20、安全計装システム30、及び検知装置60が1つずつゾーンZ11,Z12にそれぞれ区分けされている。尚、図9(b)に示す態様の統合生産システムでは、例えばゾーンZ2,Z3に設けられた検知装置60の検知結果は、ゾーンZ11,Z12に設けられた安全計装システム30の安全コントローラ(図示省略)にそれぞれ入力され、ゾーンZ11に設けられた検知装置60の検知結果は、ゾーンZ11に設けられた安全計装システム30の安全コントローラ(図示省略)に入力され、ゾーンZ12に設けられた検知装置60の検知結果は、ゾーンZ12に設けられた安全計装システム30の安全コントローラ(図示省略)に入力される。
【0066】
以上、本発明の実施形態による統合生産システムについて説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上述した実施形態では、統合生産システムが、セキュリティ対策のために、国際標準規格ISA−95(IEC/ISO 62264)で規定されている階層を基準として複数のゾーンZ1〜Z3に区分けされている例について説明した。しかしながら、統合生産システムは、必ずしも上記の規格に準拠して構築されている必要はない。また、セキュリティ対策のためのゾーンは、図9に例示する通り、任意に設定することができ、統合生産システムをなす構成を何れのゾーンに区分けするかも任意に設定することができる。
【0067】
また、上述した実施形態では、理解を容易にするために、安全計装システム30の安全コントローラ31b,31bに対するサイバー攻撃を防御する例について説明した。しかしながら、安全計装システム30に加えて、分散制御システム20への影響を考慮して、セキュリティ対策を行うようにしても良い。このようなセキュリティ対策を行う場合には、安全計装システム30の安全コントローラ31a,31bが備える防御部DFと同様の構成を分散制御システム20の制御コントローラ21に設け、検知装置60の検知結果が制御コントローラ21にも入力される構成にする。そして、サイバー攻撃が行われた場合には、制御コントローラ21が少なくとも一部の機能を制限する対策を行うようにする。
【符号の説明】
【0069】
1,2 統合生産システム30 安全計装システム
31a,31b 安全コントローラ
60 検知装置
71 設定部
72 実行部
DF 防御部
L1 通信線
LS 設定リスト
N ネットワーク
Z1〜Z3 ゾーン