(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023172481
(43)【公開日】2023-12-06
(54)【発明の名称】トラスト管理装置及びトラスト管理方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20231129BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2022084320
(22)【出願日】2022-05-24
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001807
【氏名又は名称】弁理士法人磯野国際特許商標事務所
(72)【発明者】
【氏名】藤田 淳也
(72)【発明者】
【氏名】小倉 貴志
(72)【発明者】
【氏名】中野 利彦
(72)【発明者】
【氏名】石場 光朗
(57)【要約】
【課題】ICSの運用への影響を最小化する方法で、トラストを判定するための情報を収集、評価するための仕組みを提供する。
【解決手段】本発明のトラスト管理装置は、システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成し、前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集すること、を特徴とする。
【選択図】図12
【解決手段】本発明のトラスト管理装置は、システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成し、前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集すること、を特徴とする。
【選択図】図12
【特許請求の範囲】
【請求項1】
システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成し、
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集すること、
を特徴とするトラスト管理装置。
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集すること、
を特徴とするトラスト管理装置。
【請求項2】
前記システムの設計情報又は運用情報を所定の書式に従いユーザが文書として入力することを受け付けること、
を特徴とする請求項1に記載のトラスト管理装置。
を特徴とする請求項1に記載のトラスト管理装置。
【請求項3】
前記期待仕様が前記システムを構成する構成要素の分類に応じてテンプレート化されたデータベースを参照することによって前記期待仕様を生成すること、
を特徴とする請求項1に記載のトラスト管理装置。
を特徴とする請求項1に記載のトラスト管理装置。
【請求項4】
複数の前記期待仕様ごとに、計測可能なクライテリアを記憶しており、
前記クライテリアに基づき、前記期待仕様を前記検知されたエンティティが充足する度合いを定性的な又は定量的な指標で評価し、
前記クライテリアの根拠となった情報を入手又は追跡すること、
を特徴とする請求項1に記載のトラスト管理装置。
前記クライテリアに基づき、前記期待仕様を前記検知されたエンティティが充足する度合いを定性的な又は定量的な指標で評価し、
前記クライテリアの根拠となった情報を入手又は追跡すること、
を特徴とする請求項1に記載のトラスト管理装置。
【請求項5】
SCADA(Supervisory Control And Data Acquisition)若しくはHistorianを含む制御システム集中管理機能を使用し、又は、前記システムを構成する情報処理装置が生成するログ情報を元に前記システムの状態を観測した結果を使用して情報収集スケジュールを策定し、
前記策定した情報収集スケジュールに従い、前記システム内部にインストールされたスキャン端末に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成すること、
を特徴とする請求項1に記載のトラスト管理装置。
前記策定した情報収集スケジュールに従い、前記システム内部にインストールされたスキャン端末に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成すること、
を特徴とする請求項1に記載のトラスト管理装置。
【請求項6】
前記検知されたエンティティの属性情報、又は、前記システムの運転状態に応じてパッシブスキャン又はアクティブスキャンを切り替え、
第1のスキャン端末が利用可能になる第1のタイミングの後に、前記第1のスキャン端末よりも多くの情報を収集可能な第2のスキャン端末が利用可能になる第2のタイミングが到来する場合、前記第2のタイミングまで、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第1のスキャン端末に暫定的に判定させ、
前記第2のタイミングが到来した後に、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させること、
を特徴とする請求項5に記載のトラスト管理装置。
第1のスキャン端末が利用可能になる第1のタイミングの後に、前記第1のスキャン端末よりも多くの情報を収集可能な第2のスキャン端末が利用可能になる第2のタイミングが到来する場合、前記第2のタイミングまで、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第1のスキャン端末に暫定的に判定させ、
前記第2のタイミングが到来した後に、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させること、
を特徴とする請求項5に記載のトラスト管理装置。
【請求項7】
前記検知されたエンティティが前記期待仕様を充足する度合いを判定した結果を、前記トラスト管理装置のユーザインタフェースに通知し、又は、通信インタフェースを介して前記トラスト管理装置の外部に通知し、
前記検知されたエンティティが前記期待仕様を充足する度合いを判定した結果を元に、前記システム内にインストールされたセキュリティ制御装置に対して指令を生成すること、
を特徴とする請求項1に記載のトラスト管理装置。
前記検知されたエンティティが前記期待仕様を充足する度合いを判定した結果を元に、前記システム内にインストールされたセキュリティ制御装置に対して指令を生成すること、
を特徴とする請求項1に記載のトラスト管理装置。
【請求項8】
トラスト管理装置が、
システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成するステップと、
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集するステップと、
を実行することを特徴とするトラスト管理方法。
システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成するステップと、
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集するステップと、
を実行することを特徴とするトラスト管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラスト管理装置及びトラスト管理方法に関する。
【背景技術】
【0002】
近時、産業制御システム(ICS、Industrial Control System )に対しオープン技術を活用することが浸透しつつあるが、その反面、サイバーセキュリティの問題がより深刻化している。例えば、ICSに多くのIoT(Internet of Things)機器が導入されることによりIoT機器経由で不正なソフトウェアがICS内へ侵入する、サプライチェーン経由で不正なソフトウェアがICS内の各機器にインストールされる等、攻撃の侵入源も多様化している。一方で、ICSのDX(Digital Transformation)化を推進するためには、多様な技術を柔軟に取り入れるためのスケーラビリティ(拡張性)確保が必要不可欠であり、ICSにおいても、侵入を前提とした上でのセキュリティ対策が重要となっている。
【0003】
また、エンタープライズ(大企業)向け情報システムを中心に、ゼロトラストの考えに基づくセキュリティ対策が浸透し始めている。この対策は、従来の境界防御ではなく「システムネットワークの内部に不正なソフトウェアが侵入した前提でセキュリティ防御策を設計する」という考えに基づき、エンドポイントでのセキュリティ強化や厳密なアクセス制御ポリシ管理を実施するセキュリティ対策である。
【0004】
一方で、ICSは、エンタープライズ向け情報システムとは異なり、組込みコンピュータの処理性能が乏しい、リプレースやアップデート頻度がエンタープライズ向けシステムと比べて少ないといった点もある。このような点から、ゼロトラストアーキテクチャをICSにそのまま適用するのは課題が残る。したがって、すべてのエンドポイントでセキュリティ対策のための検証や制御を実施することが困難であり、前記の課題を踏まえた上で、ICSに適したトラスト管理アーキテクチャの実現が求められる。
【0005】
トラスト管理を実現するためには、ICSにおける「トラスト」の定義の明確化と、ICSへの影響を最小化しつつ、ICSにおけるトラストを最大限評価するための仕組みが求められる。
【0006】
特許文献1の技術は、クライアントプラットフォームがネットワーク上にあるリソース又はサービスへアクセスすることを許可する前に、クライアントプラットフォームから受信した複数のインテグリティ情報を元に、その許可の可否を決定することができる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特表第2009-518762号公報
【非特許文献】
【0008】
【非特許文献1】ISO/IEC TR 24028:2020(E),p6,3.42
【発明の概要】
【発明が解決しようとする課題】
【0009】
特許文献1によれば、クライアントプラットフォームから受信した複数のインテグリティ情報を元にアクセス許可の可否を決定することができる。しかしながら、トラストを判断するためのインテグリティ情報を個別に定義する必要があり、最適化されたトラスト判断基準に関するデータベースをICS毎に用意する必要がある。さらに、オープン技術の活用により、ICSが複雑になるほど、データベースに格納すべきトラスト判断基準が複雑になる傾向があり、ICSにとって意味のある判断基準を厳選する必要がある。
【0010】
非特許文献1は、トラスト(trustworthiness)を”Ability to meet stakeholders’ expectations in a verifiable way”と定義する。この定義に従って、ステークホルダ(ICS)が期待する性質を満足していることを測定可能な方法で実証又は検証することを「トラスト」と定義することも可能である。しかしながら、この場合、システム設計仕様や運用条件といった、ICSに求められる要件を厳選する必要があり、特許文献1では、その考慮が不十分である。
【0011】
さらに、トラストを判定するための情報を収集するにあたり、クライアントから収集可能な情報が限られる場合もある。例えば、クライアントに情報収集用エージェントをインストールできない場合や、情報収集対象機器に対して様々な通信データを送信した後の応答を検証することによる情報収集(アクティブスキャン)を実行できない場合がICSでは多々存在する。
【0012】
そこで本発明の目的は、これらの従来技術では解決できなかったICSにおけるトラストを踏まえた上で、ICSの運用への影響を最小化する方法で、トラストを判定するための情報を収集、評価するための仕組みを提供することである。
【課題を解決するための手段】
【0013】
本発明のトラスト管理装置は、システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成し、前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集すること、を特徴とする。
【0014】
本発明において、トラストは、システム(ICS)の情報処理及び運用に関与する装置、ユーザ、サブシステム、ソフトウェアといった要素(エンティティ)が、システムが備えるべき仕様を満足することを、実証可能、検証可能又は測定可能な方法で検証する能力として定義する。ここで、システムが備えるべき仕様とは、対象システムの設計仕様、及びシステム運用上の条件である。
【0015】
つまり、全体としてのシステム(ICS)が、自身を構成する個々のエンティティに対し所定の仕様を期待している。ここでのエンティティは、システムが既にアクセス済であるもの、及び、未だアクセスしていないものを含む。そして、システムがエンティティに期待する仕様は、「期待仕様」とも呼ばれ、そのエンティティが実際に備える仕様(エンティティに関する情報)とは区別される。もちろん、エンティティが実際に備える情報は、期待仕様と比較され得る。
【0016】
ここで、システムの設計仕様は、非機能要件を含むシステム要求仕様書、システムのネットワーク情報や装置構成といったシステム構成仕様書等を含むシステムの設計情報を示す。
【0017】
例えば、システムネットワークの非機能要件として「ネットワークに参加するノード間で暗号通信できること」が要求されているとする。このとき、ネットワークに参加するエンティティが暗号通信できることを自ら実証するか、システム側がそれを検証することで、初めてエンティティとシステムに関するトラスト関係が満たされる。このシステム要件は、システム設計文書から引用され、又は、システム管理者によって個別に定義される。
【0018】
また、システムの運用情報は、システムが置かれた環境や、システム利用者向けの運用マニュアルといった、システム運用に関する情報から構成される。例えば、システムがアプリケーションによって重要な制御プロセスの安全制御機能等を扱う場合、システムが扱うアプリケーションの重要性(問題発生時の深刻度合い)が、システムが置かれた環境の例となる。
【0019】
本発明は、以上に示したシステムの設計情報及びシステムの運用情報から、システムがエンティティに対して期待する仕様(期待仕様)を生成することを特徴とするトラスト管理装置及びトラスト管理方法である。
【0020】
さらに、本発明は、システム(ICS)への影響を最小化しつつ、システムの稼働状態を観測し、前記のトラストを判定するために必要な情報を最大限収集することを可能とする。その方法として本発明は、システムの稼働状態や機器特性を観測・評価し、観測・評価結果及び期待仕様を元に情報収集手段をスケジュール化することを特徴とする。
【発明の効果】
【0021】
本発明によれば、ICSにおけるトラストを踏まえた上で、ICSの運用への影響を最小化する方法で、トラストを判定するための情報を収集、評価するための仕組みを提供することが可能となる。
【図面の簡単な説明】
【0022】
【図1】本実施形態の全体構成図である。
【図2】本実施形態におけるトラスト管理装置のハードウェア構成例を示す図である。
【図3】本実施形態における期待仕様生成処理の動作を示す図である。
【図4A】本実施形態におけるシステム設計情報の入力画面を示す図である。
【図4B】本実施形態におけるシステム運用情報の入力画面を示す図である。
【図5】本実施形態における入力解析処理フローを示す図である。
【図6】本実施形態における期待仕様生成処理フローを示す図である。
【図7】本実施形態における期待仕様一覧を示す図である。
【図8】本実施形態におけるトラストレベル判定基準テーブルを示す図である。
【図9】本実施形態における情報スキャン制御動作を示す図である。
【図10】本実施形態におけるトラストレベル判定動作を示す図である。
【図11】本実施形態における新規エンティティ検知時の処理フローを示す図である。
【図12】本実施形態におけるスキャン切り替えタイミングを示す図である。
【図13】本実施形態におけるトラスト管理装置の出力を示す図である。
【発明を実施するための形態】
【0023】
<全体構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。
以下に本発明の実施形態について図面を用いて詳細に説明する。
【0024】
図1は、本実施形態の全体構成図である。産業制御システム(ICS)10は、ICSネットワーク11を介してトラスト管理装置100と接続されている。産業制御システム(ICS)10は、多くの構成要素(エンティティ)12~16を備える。トラスト管理装置100は、これらの構成要素が期待仕様を満たすか否かを、ゼロトラストの考え方に基づき決定する。
【0025】
ICSネットワーク11に対して、トラスト管理装置100が接続されている。ICSネットワーク11には、制御装置等のシステムコンポーネント12が接続され、業務に係る処理を実行する。システムコンポーネント12には、システムコンポーネント12のハードウェアを制御するソフトウェア12-1がインストールされており、所定の情報処理機能を実行する。
【0026】
また、トラスト管理装置100に対してリモートアクセスし、トラスト管理装置100のユーザ(システム管理者)に対して操作処理を提供するリモート端末13も、ICSネットワーク11に接続されている。システム管理者は、トラスト管理装置100を用いた管理業務をリモート端末13経由で、又は、トラスト管理装置100が具備するローカルユーザインタフェース経由で実施する。
【0027】
ICSネットワーク11には、ネットワーク負荷やICS10に接続する各情報処理装置の処理状態といったICS10に関する計算資源の状態を観測、収集する監視装置14が接続される。監視装置14には、例えばSCADA(Supervisory Control And Data Acquisition)やHistorianと呼ばれるICSコンポーネント(制御システム集中管理機能)等が該当する。
【0028】
ICSネットワーク11には、ICSネットワーク11に新規に参加したエンティティや既に接続されている機器からトラスト判断に関する情報を収集するスキャン端末15も接続される。トラスト管理装置100は、スキャン端末15に対して、情報収集又はスキャン処理の実行を制御する権限を有している。
【0029】
さらに、ICSネットワーク11には、トラスト管理装置100が指定するセキュリティ制御処理を実行するセキュリティ制御装置16が接続される。セキュリティ制御装置16は、ファイアウォールやIPS(Intrusion Prevention System)に代表されるネットワークやエンドポイントのアクセス制御(認証・認可・アカウンティング)をトラスト管理装置100の指示に従い実行する。セキュリティ制御装置16は、VLAN(Virtual Local Area Network)技術を活用したネットワーク分離、暗号通信制御等のセキュリティに係る制御処理をトラスト管理装置100の指示に従い実行する。
【0030】
<ハードウェア構成>
図2は、本実施形態におけるトラスト管理装置のハードウェア構成例を示す図である。本構成は、計算機における記憶領域に相当する記憶部101、計算処理を実行するCPU(Central processing Unit)104、プログラムやデータをロードし、計算処理を実行するためのデータを保持する揮発性記憶素子から構成される主記憶(メインメモリ)105、計算機とユーザ間でデータの遣り取りを担うユーザインタフェース106及び他計算機間の通信処理を担う通信処理部107を要素として含む。
図2は、本実施形態におけるトラスト管理装置のハードウェア構成例を示す図である。本構成は、計算機における記憶領域に相当する記憶部101、計算処理を実行するCPU(Central processing Unit)104、プログラムやデータをロードし、計算処理を実行するためのデータを保持する揮発性記憶素子から構成される主記憶(メインメモリ)105、計算機とユーザ間でデータの遣り取りを担うユーザインタフェース106及び他計算機間の通信処理を担う通信処理部107を要素として含む。
【0031】
記憶部101は、トラスト管理に係る処理情報が格納されたプログラム102及びトラスト管理に関するデータを格納するデータベース103を含む。記憶部101には、例えば、HDD(Hard Disk Drive)やSDD(Solid State Drive)等の不揮発性記憶素子が該当する。
【0032】
プログラム102は、CPU104が解読可能な言語で表現されたソフトウェアであり、トラスト管理装置100が提供する機能を実行する。なお、本構成は、物理的に存在するハードウェアに限らず、仮想化されたハードウェアにおいても実装され、ハードウェアブロックの実装形態は、物理的に存在するハードウェアに限らない。
【0033】
ユーザインタフェース106は、コマンドベースで入力されるCLI(Command Line Interface)又はGUI(Graphical User Interface)で構成され、ユーザフレンドリーな形態である。
通信処理部107は、ICSネットワーク11と接続するためのネットワークインタフェースカード等である。通信形式は、有線ネットワークの場合もあれば無線ネットワークの場合もある。
通信処理部107は、ICSネットワーク11と接続するためのネットワークインタフェースカード等である。通信形式は、有線ネットワークの場合もあれば無線ネットワークの場合もある。
【0034】
<本発明におけるトラスト管理の仕組み>
以下に本発明の実施形態のトラスト管理の仕組みについて図面を用いて説明する。
以下に本発明の実施形態のトラスト管理の仕組みについて図面を用いて説明する。
【0035】
<本発明における期待仕様生成の仕組み>
図3は、本実施形態における期待仕様生成処理の動作を示す図である。ユーザによる手動入力によって又はリモート端末13経由で、トラスト管理装置100にシステム設計情報301及びシステム運用情報302が入力され、トラスト管理装置100のユーザインタフェース106及び通信処理部107がそれらを受け付ける。つまり、システム設計情報301又はシステム運用情報302を所定の書式に従いユーザが文書として入力する。入力された情報は、トラスト管理装置100の主記憶105にロードされたプログラム102に読み込まれる。
図3は、本実施形態における期待仕様生成処理の動作を示す図である。ユーザによる手動入力によって又はリモート端末13経由で、トラスト管理装置100にシステム設計情報301及びシステム運用情報302が入力され、トラスト管理装置100のユーザインタフェース106及び通信処理部107がそれらを受け付ける。つまり、システム設計情報301又はシステム運用情報302を所定の書式に従いユーザが文書として入力する。入力された情報は、トラスト管理装置100の主記憶105にロードされたプログラム102に読み込まれる。
【0036】
プログラム102として、入力情報解析部311及び期待仕様生成部312が存在する。まず、入力情報解析部311は、システムの期待仕様生成に必要な情報を抽出する。次に、期待仕様生成部312は、入力された情報を元に期待仕様を生成する。期待仕様生成部312は、標準仕様DB(Data Base)313を参照し、期待仕様の生成に必要な追加情報を抽出する。
【0037】
入力情報解析部311は、テンプレート化された入力を読み取り、タグ付けされた情報を抽出することで期待仕様を生成してもよいし、システム設計情報301をテキストマイニング処理することで、期待仕様の生成に必要な情報を抽出してもよい。
【0038】
期待仕様は、システム設計情報301又はシステム運用情報302から生成されるが、期待仕様を生成するための情報が不十分である場合、期待仕様生成部312は、標準仕様DB313に格納された期待仕様テンプレートを参照し、期待仕様の不足を補う。その期待仕様テンプレートは、テンプレート単位で属性情報を紐づけることが可能であり、入力情報からトラスト管理対象システム(ICS10)の属性を判断できる場合は、その属性情報からテンプレートを抽出することもできる。
【0039】
例えば、「システムの重要度」という属性情報があり、その属性値が「高・中・低」で構成される場合、属性値が「高」の場合の期待仕様テンプレート、「中」の場合の期待仕様テンプレート、「低」の場合の期待仕様テンプレートが標準仕様DB313に格納される。期待仕様生成部312は、入力情報解析部311が解析した結果に基づき「システムの重要度」を決定し、該当する期待仕様テンプレートを抽出する。
【0040】
図4Aは、本実施形態におけるシステム設計情報の入力画面を示す図である。システム設計情報301を入力する項目として、システム設計書やシステム要求仕様書等のシステム設計に関するドキュメントファイルを入力する項目や、個別にシステム情報を入力する項目が設けられる。ドキュメントファイルの例として、OA(Office Automation)業務で利用されるような文書作成ソフトウェア等で作成された文書(所定の書式に従う文書)が挙げられる。これら関連ファイルを複数入力することもできる。
【0041】
システム情報は、トラスト管理対象システムのネットワーク情報と資産情報とに区分して入力される。ネットワーク情報の例として、ネットワークトポロジーや、有線LAN、無線LAN、シリアルネットワーク等のネットワークの種類、ネットワークに参加するノード間の接続関係が挙げられる。
【0042】
ネットワーク情報の入力方法として、テキストベースの定義ファイル用意し、当ファイルを入力してもよいし、GUIとして画面上に描画してもよい。資産情報も同様に、テキストベースの定義ファイルで入力されてもよいし、GUIとして入力されてもよい。資産情報は、例えば、資産名の他、エンティティの種類や下位カテゴリ、システムを実現する上でのエンティティの要求仕様定義情報から構成される。
【0043】
図4Bは、本実施形態におけるシステム運用情報の入力画面を示す図である。システム運用情報302を入力する項目として、システム運用マニュアルなどのシステム運用に関するドキュメントファイルを入力する項目や、個別にシステム運用に関する情報を入力する項目が設けられる。ドキュメントファイルの例として、OA(Office Automation)業務で利用されるような文書作成ソフトウェア等で作成された文書(所定の書式に従う文書)が挙げられる。図4Aに示したシステム設計情報入力時と同様、これら関連ファイルを複数入力することもできる。
【0044】
また、システム運用に関して個別入力する場合、「システムのアプリケーション」や「システムの重要度」といった、システム運用や環境に関する個々の入力項目があり、それぞれ該当する項目が選択される。なお、これら個々のシステム運用情報の定義をテキストベースの定義ファイルで入力する方法もある。
図4A及び図4Bに示した画面は、リモート端末13又はトラスト管理装置100のローカルユーザインタフェース経由で表示される。
図4A及び図4Bに示した画面は、リモート端末13又はトラスト管理装置100のローカルユーザインタフェース経由で表示される。
【0045】
図5は、本実施形態における入力解析処理フローを示す図である。この入力解析処理は、トラスト管理装置100内のプログラム102(入力情報解析部311)にて実行される。
【0046】
ステップS501において、入力情報解析部311は、ユーザインタフェース106又は通信処理部107からシステム設計情報301又はシステム運用情報302を受信し、その後、これらの入力情報を解析する。このとき、入力情報解析部311は、入力情報から、期待仕様を生成する上で必要なシステム構造モデルやオペレーション(運用)モデルの構築に必要とする情報を抽出する。
【0047】
ステップS502において、入力情報解析部311は、入力されたシステム設計情報301を元に、期待仕様となるシステム構造モデルを生成する。このシステム構造モデルは、複数の属性情報からなるメタデータとして定義される。
【0048】
ステップS503において、入力情報解析部311は、入力されたシステム運用情報302を元にオペレーションモデルを生成する。オペレーションモデルも、システム構造モデルと同様、複数の属性情報からなるメタデータとして定義される。
【0049】
ステップS504において、入力情報解析部311は、システム構造モデル及びオペレーションモデルを構造化データとして生成・出力する。この構造化データは、例えばXML(Extensible Markup Language)やJSON(JavaScript Object Notation)等の構造化データを表現するデータ形式で生成される。この構造化データは、必要に応じてファイルとして保存され、ユーザインタフェース106又はリモート端末13を介して参照可能である。
【0050】
図6は、本実施形態における期待仕様生成処理フローを示す図である。この期待仕様生成処理も、トラスト管理装置100内のプログラム102(期待仕様生成部312)にて実行される。本処理フローは、図5に示した処理により生成された構造化データを元に期待仕様を生成する。
【0051】
ステップS601において、期待仕様生成部312は、構造化データを解析し、期待仕様モデルの生成に必要な情報を抽出する。
【0052】
ステップS602において、期待仕様生成部312は、構造化データから抽出したシステム構造モデル及びオペレーションモデルから期待仕様モデルを生成する。この処理において、期待仕様生成部312は、システム構造モデル及びオペレーションモデルの情報をそのまま利用して期待仕様モデルを生成してもよいし、標準仕様DB313を参照し、テンプレート期待仕様を抽出することで期待仕様モデルを生成してもよい。
【0053】
ステップS603において、期待仕様生成部312は、期待仕様モデルを元に、期待仕様に対する満足度合いを評価するためのクライテリア情報を標準仕様DB313から取得する。
【0054】
ステップS604において、期待仕様生成部312は、期待仕様モデル及びクライテリアの取得に成功した後に期待仕様を出力する。
【0055】
図7は、本実施形態における期待仕様一覧を示す図である。期待仕様一覧は、図3の標準仕様DB313に格納されている期待仕様テンプレートの一部であり、ポイント・ドメイン、トラスト対象、期待仕様及びクライテリアを相互に関連付けている。
【0056】
ポイント・ドメインは、トラスト管理対象システム上のネットワークやコンポーネント等である。
トラスト対象は、例えば、「制御情報ネットワーク」に対して接続するコンポーネント等の一覧である。
トラスト対象は、例えば、「制御情報ネットワーク」に対して接続するコンポーネント等の一覧である。
【0057】
期待仕様は、例えば「強固な暗号通信機能をサポートすること(NW-01)」といった、トラスト管理対象システムに対するシステム要求仕様の形で定義される。
クライテリアは、例えば、前記の期待仕様を例にとると、「TLS(Transport Layer Security)v1.3以上の公開鍵暗号処理機能を具備していることを確認する」、「AES(Advanced encryption standard)と同等の共通鍵暗号能を具備していることを確認する」等、システムの期待仕様を測定可能な方法で検証する手段として定義される。
クライテリアは、例えば、前記の期待仕様を例にとると、「TLS(Transport Layer Security)v1.3以上の公開鍵暗号処理機能を具備していることを確認する」、「AES(Advanced encryption standard)と同等の共通鍵暗号能を具備していることを確認する」等、システムの期待仕様を測定可能な方法で検証する手段として定義される。
【0058】
なお、期待仕様は、トラストに関する様々な観点で整理されることもある。例えば、あるエンティティの期待仕様を真正性(Authenticity)、信頼性(Reliability)、保護性(Protectivity)、セキュリティ(Security)、品質(Quality)、強靭性(Resilience)等の特性に応じて定めることもできる。なお、期待仕様に関する特性は、前記の項目だけには限られない。
【0059】
図8は、本実施形態におけるトラストレベル判定基準テーブルを示す図である。トラストレベル判定基準テーブルは、図7の期待仕様一覧における期待仕様及びクライテリアの組合せに対して、詳細検証方法及びトラストレベルの複数の組合せを関連付けている。トラストレベル判定基準テーブルもまた、図3の標準仕様DB313に格納されている期待仕様テンプレートの一部である。
【0060】
詳細検証方法は、前記の通り、定義されたクライテリアに対して、測定可能な方法で検証する具体的な手段である。詳細検証方法として、例えば、「(システムの利用が許可された)信頼できるユーザによる手動入力」、「(対象となるコンポーネントに)TLS通信ライブラリを具備することをソフトウェアライブラリから確認」、「通信キャプチャ、またはアクティブスキャンによるTLSv1.3セッション確立の確認」等がある。
【0061】
トラストレベルは、詳細検証方法による検証の結果を示す数値である。トラストレベルとしては、例えば、「信頼できるユーザによる手動入力」に対してトラストレベル「1」が規定される。「TLS通信ライブラリを具備することをソフトウェアライブラリから確認」に対してトラストレベル「2」が規定される。「通信キャプチャ、またはアクティブスキャンによるTLSv1.3セッション確立の確認」に対してトラストレベル「3」が規定される。トラストレベルは、レベル1、レベル2といった定性的な仕様であってもよいし、期待仕様に対する確からしさを示すパーセンテージ等の定量的な割合であってもよい。トラストレベルは、エンティティが期待仕様を充足する度合いでもあるともいえる。
【0062】
図9は、本実施形態における情報スキャン制御動作を示す図である。トラスト管理装置100は、監視装置14からトラスト管理対象システムのシステム状態を、通信処理部107を介して取得する。このシステム状態は、SCADA、Historian、システムを構成する各情報処理装置のログ情報から取得するシステムの稼働状態情報、ネットワークの処理負荷状態情報、情報処理装置の処理負荷状態情報等を含む。
【0063】
これらの情報から構成されるシステム状態を入力情報として、トラスト管理装置100内のプログラム102から主記憶105にロードされたシステム状態解析部911は、システム状態の解析処理を実行する。システム状態解析部911は、この解析結果として、システムや各情報処理装置の処理リソースを時間軸で見たときの変化を得る。
【0064】
情報収集スケジューラ912は、この解析結果及びトラスト管理対象システムのモデル情報を元に、期待仕様の満足度合いを評価するための情報収集スケジュールを策定する。データ収集指示部913は、情報収集スケジューラ912が策定した情報収集スケジュールに基づき、データ収集指示を生成する。データ収集指示は、ICSネットワーク11に参加する1台以上のスキャン端末15に対する指示である。データ収集指示部913は、通信処理部107を介して各スキャン端末15にデータ収集指示を送信する。
【0065】
図10は、本実施形態におけるトラストレベル判定動作を示す図である。ICSネットワーク11に接続する各スキャン端末15からの自動入力、又は、ユーザインタフェース106を介した手動入力により、検証対象エンティティに関する情報(エンティティ関連データ)がトラスト管理装置100に入力される。
【0066】
収集データ解析部1011は、入力されたエンティティ関連データを解析する。この解析は、図8で規定された詳細検証方法を満足する方法で実行される。
次に、トラストレベル判定部1012は、解析結果を元にトラストレベルを判定する。トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用して、規定された詳細検証方法を満足する度合いによりトラストレベルを判定する。
次に、トラストレベル判定部1012は、解析結果を元にトラストレベルを判定する。トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用して、規定された詳細検証方法を満足する度合いによりトラストレベルを判定する。
【0067】
その後、通知・セキュリティ制御部1013は、トラストレベル判定結果を表示し、又は、セキュリティ制御内容を決定する。
【0068】
通知・セキュリティ制御部1013は、ユーザインタフェース106を介してトラスト管理装置100内のローカルユーザインタフェースに対して、又は、通信処理部107を介してリモート端末13に対して、トラストレベル判定結果を通知する。セキュリティ制御を実行する場合、通知・セキュリティ制御部1013は、通信処理部107を介してICSネットワーク11に接続する各セキュリティ制御装置16に対してセキュリティ制御指示を送信する。
【0069】
図11は、本実施形態における新規エンティティ検知時の処理フローを示す図である。
ステップS1101において、収集データ解析部1011は、スキャン端末15からの通知、又は、ユーザからの手動入力により、ICSネットワーク11に参加する新規エンティティを検知する。
ステップS1101において、収集データ解析部1011は、スキャン端末15からの通知、又は、ユーザからの手動入力により、ICSネットワーク11に参加する新規エンティティを検知する。
【0070】
ステップS1102において、各スキャン端末15は、情報収集スケジューラ912が生成したデータ収集スケジュールに従い、新規エンティティに対して、情報スキャンを実行する。なお、監視装置14が出力するログ情報から、収集データ解析部1011部が新規エンティティの存在を検知する場合もある。
【0071】
ステップS1103において、収集データ解析部1011は、得られたスキャン結果を収集・解析する。
ステップS1104において、トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用し、これらの情報の解析結果及び新規エンティティに対する期待仕様から、トラストレベルを判定する。
ステップS1105において、トラストレベル判定部1012は、新規エンティティのトラストレベルを、システム管理者に対して通知する、又は、セキュリティ制御指示を生成し各セキュリティ制御装置16に通知する。
ステップS1104において、トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用し、これらの情報の解析結果及び新規エンティティに対する期待仕様から、トラストレベルを判定する。
ステップS1105において、トラストレベル判定部1012は、新規エンティティのトラストレベルを、システム管理者に対して通知する、又は、セキュリティ制御指示を生成し各セキュリティ制御装置16に通知する。
【0072】
次に、本実施形態において、ICSへの影響を最小化する方法で情報スキャンする方法について述べる。
【0073】
図12は、本実施形態におけるスキャン切り替えタイミングを示す図である。例えば、システム状態としてのネットワーク負荷の時間変化を監視装置14が監視した結果、図12に示すグラフが得られたとする。一般に知られているように、スキャンの方法として、自ら通信データを生成しない受動的(パッシブ)スキャン、及び、自ら通信データを生成し、その応答を観測することができる能動的(アクティブ)スキャンが存在する。スキャン端末15は、これら2つの方法を切り替える。
【0074】
具体的には、スキャン端末15は、例えば、ピーク時点(ネットワーク負荷の極大点)においては、過剰な通信を発生させるアクティブスキャンを控え、過剰な通信を発生させないパッシブスキャンのみを実行する。スキャン端末15は、帯域が落ち着いた時点(ネットワーク負荷の極小点)においては、アクティブスキャンを実施する。
【0075】
こうすることで、システム(ICS)の負荷が少ないタイミングで最大限情報を収集することが可能となる。ICSは、周期的に所定の処理を実行する場合が多く、この方式はICSへの影響を最小化する手段として有用である。なお、スキャン方式を切り替えるタイミングは、前記の例に限定されない。他の例として、動的にICSの状態を観測し、ネットワーク負荷が減少傾向にある場合にアクティブスキャンを実行するといった、JIT(Just-In-Time)型なスケジューリングもある。
【0076】
さらに、スキャン対象の属性に応じて、スキャン方式を決定する方式もある。例えば、スキャン端末15は、計算リソースが充分に大きい産業用パーソナルコンピュータやサーバ機器といったホストデバイスに対しては、タイミングにかかわらずアクティブスキャンを実行する。スキャン端末15は、「保守」や「試運転」といったオペレーションモードの場合は、システム停止に繋がる業務影響は発生しないので、アクティブスキャンを常に実行する。
【0077】
図12において、スキャン端末15は、ネットワーク負荷の極小点においてアクティブスキャンを実行しているが、これは一例である。監視装置14は、ネットワーク負荷以外のシステム状態の時間変化を監視してもよい。スキャン端末15は、任意のシステム状態が厳密に極小値となるタイミングにのみアクティブスキャンを実行する必要はなく、システムへの影響が所定の基準を満たす程度に小さくなる方法(小さくする方法)でエンティティに関する情報を収集すればよい。なお、スキャン端末15は、ネットワーク負荷の接線の傾きを常時監視し、極小点及び極大点を判別してもよいし、ネットワーク負荷の過去の時系列変化を機械学習することによって、それらを判別してもよい。
【0078】
つまり、システムへの影響を小さくするため、トラスト管理装置1は、策定した情報収集スケジュールに従い、システム(ICS)内部にインストールされたスキャン端末15に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成する。
【0079】
トラスト管理装置100は、検知されたエンティティの属性情報、又は、システム(ICS)の運転状態に応じてパッシブスキャン又はアクティブスキャンを切り替えてもよい。例えば、スキャン端末15が2つ存在し、第1のスキャン端末が利用可能になるタイミング(第1のタイミング)の後に第2のスキャン端末が利用可能になるタイミング(第2のタイミング)が到来するとする。さらに、第1のスキャン装置よりも第2のスキャン端末のほうが多くの情報を収集可能であるとする。
【0080】
この場合、トラスト管理装置100は、第2のタイミングまでは、検知されたエンティティが期待仕様を充足する度合いを第1のスキャン端末に暫定的に判定させる。そして、トラスト管理装置100は、第2のタイミングが到来した後に、検知されたエンティティが期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させる。
【0081】
図13は、本実施形態におけるトラスト管理装置の出力を示す図である。トラスト管理装置100は、図13に示した情報を、ユーザインタフェース106又はリモート端末13を介して出力する。トラスト管理装置100は、トラスト管理される対象エンティティ(図13の「対象」)毎に、エンティティのカテゴリ、期待仕様、トラストレベル、クライテリアの確認手段、及び、トラストレベルを判定した最終確認日時を出力する。
【0082】
ユーザは、トラストレベル又は最終確認日時を確認することで、トラスト管理の点で問題のあるエンティティを識別することが可能となる。また、クライテリアの確認手段として、トラスト管理装置100が管理する他のエンティティが関与することがある。
【0083】
本実施形態におけるトラスト管理装置100は、あるエンティティのクライテリアを確認した他のエンティティを入手又は追跡することもできる。つまり、エンティティ1における期待仕様のクライテリアを確認する手段としてエンティティ2を利用した場合、エンティティ1の期待仕様は、エンティティ2によって検証できていると言える。
【0084】
換言すると、エンティティ2の期待仕様が満足できていないことが後で判明した場合、エンティティ1の期待仕様の妥当性も保証できなくなる。本実施形態におけるトラスト管理装置100は、前記のようなクライテリアを確認する手段をトレースする機能を有する。
【0085】
また、セキュリティ制御装置16に対して、セキュリティ制御処理の内容を、トラストレベル及び最終確認日時に合わせて決定することもできる。この場合、セキュリティ制御処理の内容も出力(図13の表)に含まれることとなる。なお、本実施形態におけるトラスト管理のプロセスは、ハードウェアとして存在する装置を例に示したが、実装形態はハードウェアに限られず、一連の手順を実行するものであれば何でもよい。例えば、クラウドコンピューティングを前提とする、何らかのプログラミング言語で記述された手順も適用できる。
【0086】
なお、本発明は前記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、前記した実施例は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0087】
また、前記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、前記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際には殆どすべての構成が相互に接続されていると考えてもよい。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際には殆どすべての構成が相互に接続されていると考えてもよい。
【符号の説明】
【0088】
10 産業制御システム(ICS)
11 ICSネットワーク
12 システムコンポーネント(装置)
12-1 ソフトウェア
13 リモート端末
14 監視装置
15 スキャン端末
16 セキュリティ制御装置
100 トラスト管理装置
101 記憶部
104 CPU
105 主記憶
106 ユーザインタフェース
107 通信処理部
301 システム設計情報
302 システム運用情報
311 入力情報解析部
312 期待仕様生成部
313 標準仕様DB
911 システム状態解析部
912 情報収集スケジューラ
913 データ収集指示部
1011 収集データ解析部
1012 トラストレベル判定部
1013 通知・セキュリティ制御部
11 ICSネットワーク
12 システムコンポーネント(装置)
12-1 ソフトウェア
13 リモート端末
14 監視装置
15 スキャン端末
16 セキュリティ制御装置
100 トラスト管理装置
101 記憶部
104 CPU
105 主記憶
106 ユーザインタフェース
107 通信処理部
301 システム設計情報
302 システム運用情報
311 入力情報解析部
312 期待仕様生成部
313 標準仕様DB
911 システム状態解析部
912 情報収集スケジューラ
913 データ収集指示部
1011 収集データ解析部
1012 トラストレベル判定部
1013 通知・セキュリティ制御部
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】