ホーム > 特許ランキング > 一般財団法人電力中央研究所
特開2023-173555データベース、リスク分析装置、セキュリティ対策装置及びセキュリティ対策システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023173555
(43)【公開日】2023-12-07
(54)【発明の名称】データベース、リスク分析装置、セキュリティ対策装置及びセキュリティ対策システム
(51)【国際特許分類】
H02H 3/02 20060101AFI20231130BHJP
H02J 13/00 20060101ALI20231130BHJP
【FI】
H02H3/02 G
H02J13/00 301A
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022085886
(22)【出願日】2022-05-26
(71)【出願人】
【識別番号】000173809
【氏名又は名称】一般財団法人電力中央研究所
(74)【代理人】
【識別番号】100141139
【弁理士】
【氏名又は名称】及川 周
(74)【代理人】
【識別番号】100167553
【弁理士】
【氏名又は名称】高橋 久典
(74)【代理人】
【識別番号】100206081
【弁理士】
【氏名又は名称】片岡 央
(74)【代理人】
【識別番号】100152146
【弁理士】
【氏名又は名称】伏見 俊介
(72)【発明者】
【氏名】上田 紀行
【テーマコード(参考)】
5G064
5G142
【Fターム(参考)】
5G064AC09
5G064CA07
5G064CB03
5G064DA02
5G142AC06
5G142GG03
(57)【要約】
【課題】サイバー攻撃によるインテリジェント電子装置の誤作動を未然に防ぐことが可能なデータベース、リスク分析装置、インテリジェント電子装置及びセキュリティ対策システムを提供する。
【解決手段】サイバー攻撃によるインテリジェント電子装置の誤作動リスクを評価するためのリスク評価情報が登録されたデータベースである。
【選択図】図2
【解決手段】サイバー攻撃によるインテリジェント電子装置の誤作動リスクを評価するためのリスク評価情報が登録されたデータベースである。
【選択図】図2
【特許請求の範囲】
【請求項1】
サイバー攻撃によるインテリジェント電子装置の誤作動リスクを評価するためのリスク評価情報が登録されたデータベース。
【請求項2】
前記リスク評価情報は、前記インテリジェント電子装置を操作するための手順と前記インテリジェント電子装置との信号の授受が可能な装置の通信ドレスとを少なくとも含む請求項1に記載のデータベース。
【請求項3】
請求項1または2に記載のデータベースを備え、
当該データベースから取得した前記リスク評価情報を用いて前記インテリジェント電子装置のリスク分析処理を行い、リスク分析結果を記憶するリスク分析装置。
当該データベースから取得した前記リスク評価情報を用いて前記インテリジェント電子装置のリスク分析処理を行い、リスク分析結果を記憶するリスク分析装置。
【請求項4】
前記インテリジェント電子装置の設定変更を行うための通信手順と前記設定変更に関する設定項目とを記憶し、前記通信手順及び前記設定項目を用いて前記インテリジェント電子装置の設定を変更した上で前記リスク分析処理を行う請求項3に記載のリスク分析装置。
【請求項5】
前記インテリジェント電子装置とは個別または前記インテリジェント電子装置の内部に設けられ、セキュリティ対策として請求項3に記載のリスク分析装置が特定した前記誤作動リスクに基づいて実運用時に不必要な前記インテリジェント電子装置の機能を無効化させるセキュリティ対策装置。
【請求項6】
前記インテリジェント電子装置とは個別または前記インテリジェント電子装置の内部に設けられ、セキュリティ対策として請求項4に記載のリスク分析装置が特定した前記誤作動リスクに基づいて実運用時に不必要な前記インテリジェント電子装置の機能を無効化させるセキュリティ対策装置。
【請求項7】
請求項3または4のリスク分析装置と請求項5のセキュリティ対策装置と前記インテリジェント電子装置とが接続されたセキュリティ対策システム。
【請求項8】
請求項3または4のリスク分析装置と請求項6のセキュリティ対策装置と前記インテリジェント電子装置とが接続されたセキュリティ対策システム。
【請求項9】
請求項3または4のリスク分析装置が記憶するリスク分析結果に基づいて正常な通信信号または不正な通信信号を生成することにより、請求項5のセキュリティ対策装置における前記セキュリティ対策のチューニングまたは有効性を実証するセキュリティ対策システム。
【請求項10】
請求項3または4のリスク分析装置が記憶するリスク分析結果に基づいて正常な通信信号または不正な通信信号を生成することにより、請求項6のセキュリティ対策装置における前記セキュリティ対策のチューニングまたは有効性を実証するセキュリティ対策システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データベース、リスク分析装置、セキュリティ対策装置及びセキュリティ対策システムに関する。
【背景技術】
【0002】
近年、国外では、変電所等のシステムを対象としたサイバー攻撃のインシデントが発生しており、大規模な停電を引き起こす事態に陥っている。このようなサイバー攻撃の多くは、変電所等のシステムの内部に侵入した攻撃者により、電力の安定供給に重要な役割を担う、遮断器、変圧器、発電機等の保護監視制御を行うインテリジェント電子装置(IED)が不正に操作されることにより発生している。
【0003】
下記非特許文献1には、変電所等のシステムを対象としたサイバー攻撃への対策として、インテリジェント電子装置にサイバー攻撃検知する機能を搭載することにより、変電所等のシステムの運用者にサイバー攻撃の影響の低減や復旧支援に活用することができる。
【0004】
一方、変電所等のシステムで採用されるインテリジェント電子装置の通信プロトコルを定義する国際規格としてIEC61850がある。このIEC61850は、国際電気標準会議の技術委員会がとりまとめた技術基準であり、インテリジェント電子装置の種別に応じた内容の通信プロトコルが規定されている。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】J. Hong and C. -C. Liu、 "Intelligent Electronic Devices With Collaborative Intrusion Detection Systems、" in IEEE Transactions on Smart Grid、 vol. 10、 no. 1、 pp. 271-281(2019)
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、上述したインテリジェント電子装置を変電所等のシステムで用いる場合、サイバー攻撃によるIEDの誤作動を未然に防ぐ必要がある。しかしながら、現状ではサイバー攻撃によるインテリジェント電子装置の誤作動のリスクと特定する方法、および、分析した結果に基づきサイバー攻撃によるインテリジェント電子装置の誤作動を未然に防ぐ対策の導入とチューニングを行う技術が開発されておらず、電力の安定供給の観点から早期の開発が切望されている。
【0007】
本発明は、上述した事情に鑑みてなされたものであり、サイバー攻撃によるインテリジェント電子装置の誤作動を未然に防ぐことが可能なデータベース、リスク分析装置、インテリジェント電子装置及びセキュリティ対策システムの提供を目的とするものである。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明では、データベースに係る第1の解決手段として、サイバー攻撃によるインテリジェント電子装置の誤作動リスクを評価するためのリスク評価情報が登録された、という手段を採用する。
【0009】
本発明では、データベースに係る第2の解決手段として、上記第1の解決手段において、前記リスク評価情報は、前記インテリジェント電子装置を操作するための手順と前記インテリジェント電子装置との信号の授受が可能な装置の通信ドレスとを少なくとも含む、という手段を採用する。
【0010】
本発明では、リスク分析装置に係る第1の解決手段として、上記第1又は第2の解決手段に係るデータベースを備え、当該データベースから取得した前記リスク評価情報を用いて前記インテリジェント電子装置のリスク分析処理を行い、リスク分析結果を記憶する、という手段を採用する。
【0011】
本発明では、リスク分析装置に係る第2の解決手段として、上記第1の解決手段において、前記インテリジェント電子装置の設定変更を行うための通信手順と前記設定変更に関する設定項目とを記憶し、前記通信手順及び前記設定項目を用いて前記インテリジェント電子装置の設定を変更した上で前記リスク分析処理を行う、という手段を採用する。
【0012】
本発明では、セキュリティ対策装置に係る第1の解決手段として、前記インテリジェント電子装置とは個別または前記インテリジェント電子装置の内部に設けられ、セキュリティ対策として上記第1の解決手段に係るリスク分析装置が特定した前記誤作動リスクに基づいて実運用時に不必要な前記インテリジェント電子装置の機能を無効化させる、という手段を採用する。
【0013】
本発明では、セキュリティ対策装置に係る第2の解決手段として、前記インテリジェント電子装置とは個別または前記インテリジェント電子装置の内部に設けられ、セキュリティ対策として上記第2の解決手段に係るリスク分析装置が特定した前記誤作動リスクに基づいて実運用時に不必要な前記インテリジェント電子装置の機能を無効化させる、という手段を採用する。
【0014】
本発明では、セキュリティ対策システムに係る第1の解決手段として、上記第1または第2の解決手段に係るリスク分析装置と上記第1の解決手段に係るセキュリティ対策装置と前記インテリジェント電子装置とが接続された、という手段を採用する。
【0015】
本発明では、セキュリティ対策システムに係る第2の解決手段として、上記第1または第2の解決手段に係るリスク分析装置と上記第2の解決手段に係るセキュリティ対策装置と前記インテリジェント電子装置とが接続された、という手段を採用する。
【0016】
本発明では、セキュリティ対策システムに係る第3の解決手段として、上記第1または第2の解決手段に係るリスク分析装置が記憶するリスク分析結果に基づいて正常な通信信号または不正な通信信号を生成することにより、上記第1の解決手段に係るセキュリティ対策装置における前記セキュリティ対策のチューニングまたは有効性を実証する、という手段を採用する。
【0017】
本発明では、セキュリティ対策システムに係る第4の解決手段として、上記第1または第2の解決手段に係るリスク分析装置が記憶するリスク分析結果に基づいて正常な通信信号または不正な通信信号を生成することにより、上記第2の解決手段に係るセキュリティ対策装置における前記セキュリティ対策のチューニングまたは有効性を実証する、という手段を採用する。
【発明の効果】
【0018】
本発明によれば、サイバー攻撃によるインテリジェント電子装置の誤作動を未然に防ぐことが可能なデータベース、リスク分析装置、セキュリティ対策装置及びセキュリティ対策システムを提供することが可能である。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施形態におけるインテリジェント電子装置1の機能構成を示すブロック図である。
【図2】本発明の一実施形態におけるリスク分析装置Bの機能構成を示すブロック図である。
【図3】本発明の一実施形態における接続関係記憶部M1のデータ構造を示す模式図である。
【図4】本発明の一実施形態におけるシーケンス図記憶部M2のデータ構造を示す模式図である。
【図5】本発明の一実施形態における第1のシーケンス図である。
【図6】本発明の一実施形態における第2、第3のシーケンス図である。
【図7】本発明の一実施形態における送信元通信設定記憶部M3のデータ構造を示す模式図である。
【図8】本発明の一実施形態における信号記憶部M4のデータ構造を示す模式図である。
【図9】本発明の一実施形態における通信フォーマット記憶部M5のデータ構造を示す模式図である。
【図10】本発明の一実施形態の変形例における設定変更シーケンス図記憶部M6のデータ構造を示す模式図である。
【図11】本発明の一実施形態の変形例における設定項目記憶部M7のデータ構造のデータ構造を示す模式図である。
【図12】本発明の一実施形態における分析結果記憶部M8のデータ構造を示す模式図である。
【図13】本発明の一実施形態に係るリスク分析装置Bの動作を示す第1のフローチャートである。
【図14】本発明の一実施形態に係るリスク分析装置Bの動作を示す第2のフローチャートである。
【図15】本発明の第1実施形態に係るセキュリティ対策システムEのシステム構成を示すブロック図である。
【図16】本発明の第1実施形態におけるインテリジェント電子装置1、1Aの変形例を示すブロック図である。
【発明を実施するための形態】
【0020】
以下、図面を参照して、本発明の一実施形態について説明する。
本実施形態におけるIED1は、電力系統において開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、計器用変圧器7、設備保全用センサ8及び補助IED9を接続し、これらの監視、計測、制御及び保護を行うインテリジェント電子装置である。
本実施形態におけるIED1は、電力系統において開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、計器用変圧器7、設備保全用センサ8及び補助IED9を接続し、これらの監視、計測、制御及び保護を行うインテリジェント電子装置である。
【0021】
このIED1は、本実施形態に係るリスク分析装置Bのリスク分析対象機器である。また、このIED1は、IEC61850、IEC60870、DNP3、Modbus等の電力用に用いられる通信プロトコル(保護監視制御用通信プロトコル)を用いることにより、外部機器との通信を行う通信機能を備えている。
【0022】
このIED1は、図示するように、通信回線Nを介して既存の外部機器であるテレコン10、外部IED11、HMI12、保守用端末13及びタイムサーバ14等と接続されている。また、このIED1には、図示するように不正端末Fが通信回線Nを介して接続され得る。
【0023】
IED1は、電力系統における安全装置の1つであり、上述した保護監視制御用通信プロトコルに準拠した通信によって既存の外部装置や不正端末Fから受信した外部制御信号に基づいて、開閉装置2、変圧器3、調相装置4及び発電装置5を制御する。
【0024】
このようなIED1は、図1に示すように、開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、計器用変圧器7、設備保全用センサ8及び補助IED9から自ら取得した監視、計測情報に基づいて、自律的に開閉装置2、変圧器3、調相装置4及び発電装置5を制御する機能をも備えている。
【0025】
IED1は、図2に示すように通信部1a、デジタル・アナログ入出力部1b及び内部処理部1cを備えている。通信部1aは、通信回線Nを介して外部機器であるテレコン10、外部IED11、HMI12、保守用端末13及びタイムサーバ14や不正端末Fと外部通信信号Saの送受信を行う。
【0026】
これに対して、デジタル・アナログ入出力部1bは、開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7、設備保全用センサ8及び補助IED9と電気的に接続されている。このデジタル・アナログ入出力部1bは、このような開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7、設備保全用センサ8及び補助IED9とデジタル・アナログ入出力信号Sbをやり取りする。
【0027】
開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7、設備保全用センサ8及び補助IED9は、IED1の保護監視制御対象である。内部処理部1cは、IED1の主部であり、通信部1aが受信する外部通信信号Sa及びデジタル・アナログ入出力部1bに入力されるデジタル・アナログ入出力信号Sbに含まれる各種情報に基づいて、開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7、設備保全用センサ8及び補助IED9の保護、監視、計測及び制御処理を実行する。
【0028】
ここで、IED1の通信部1a及びデジタル・アナログ入出力部1bは、図2に示すようにリスク分析装置Bと外部通信信号Sa及びデジタル・アナログ入出力信号Sbの授受を行う。IED1の内部処理部1cは、外部通信信号Sa及びデジタル・アナログ入出力信号Sbに基づいてリスク分析装置Bから得られる各種情報をも加味して開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7、設備保全用センサ8及び補助IED9の保護、監視、計測及び制御を行う。
【0029】
開閉装置2は、電力系統の電路の途中に挿入されており、電路の投入/開放を行う。すなわち、開閉装置2は、IED1とデジタル・アナログ入出力信号Sbをやり取りする信号入出力部を備え、IED1の保護リレー機能及び監視制御機能に基づいて電路の開放/投入を行う。
【0030】
変圧器3は、主系統電力の昇圧または高圧する装置であり、例えば負荷時タップ切り替え変圧器、電圧自動調整器(Step Voltage Regulator)、マトリクスコンバータである。この変圧器3は、本体にタップを有し、二次側または3次側に接続された負荷を遮断せずに通電状態のまま電圧を一定に保つために用いられる。
【0031】
このような変圧器3は、IED1とデジタル・アナログ入出力信号Saのやり取りを行う信号入出力部を備える。変圧器3は、この信号入出力部を用いることにより、IED1の保護リレー機能及び監視制御機能に基づいてタップの上げ下げ動作、またはタップ値や状態の監視を行う。
【0032】
調相装置4は、例えば電力用コンデンサ、分路リアクトル、静止型無効電力補償装置(SVC:Static Var Compensator)である。この調相装置4は、IED1とデジタル・アナログ入出力信号Saのやり取りを行う信号入出力部を備える。調相装置4は、この信号入出力部を用いることにより、IED1の保護リレー機能及び監視制御機能に基づいて電力系統の無効電力を調整し、電圧を予め指定された値に制御するために用いられる。
【0033】
発電装置5は、IED1とデジタル・アナログ入出力信号Saのやり取りを行う信号入出力部を備える。この発電装置5は、この信号入出力部を用いることにより、IED1の保護リレー機能及び監視制御機能に基づいて有効電力制御、無効電力制御、連係・解列操作、連係状態の監視及び発電出力の監視を行う。なお、発電装置5は、単に発電機が電力系統と接続されている個所の投入あるいは開放のみIED1から制御可能な装置の場合、開閉装置として機能する。
【0034】
計器用変流器6は、主系統と下位系統との間に流れる電流を定格5A程度に変換し、変換電流としてIED1に出力する。この変換電流は、IED1において電力の測定に利用される。すなわち、IED1は、計器用変流器6から入力される変換電流を用いて電力系統の電路に通電される電力を測定する。
【0035】
計器用変圧器7は、電力系統の電圧を定格数V~110V程度に降圧し、降圧電圧としてIED1に出力する。この降圧電圧は、IED1において電力の測定に利用される。すなわち、IED1は、計器用変流器6から入力される変換電流及び計器用変圧器7から入力される降圧電圧に基づいて、電力系統の電路に通電される電力を測定する。
【0036】
設備保全用センサ8は、開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7とその設置環境、制御用電源の状態を監視または測定する装置である。この設備保全用センサ8は、IED1とデジタル・アナログ入出力信号Saをやり取りする信号入出力部を備え、死活状態、アラート、測定値をデジタル・アナログ入出力信号Sbを用いてIED1に出力する。
【0037】
補助IED9は、IED1と同等のものであり、デジタル・アナログ入出力信号Saを用いることによりインタロック情報、転送遮断信号、死活情報等をIED1と共有する。この補助IED9は、上述した開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7及び設備保全用センサ8に、または開閉装置2、変圧器3、調相装置4、発電装置5、計器用変流器6、 計器用変圧器7及び設備保全用センサ8とは異なる開閉装置、変圧器、調相装置、発電装置、器用変流器、計器用変圧器及び設備保全用センサに接続されている。
【0038】
こころで、図1に示した外部機器のうち、テレコン10、外部IED11及びHMI12は、IEC61850、IEC60870、DNP3、Modbus等の保護監視制御用通信プロトコルを用いてIED1と通信する既知の外部装置である。これらテレコン10、外部IED11及びHMI12は、保護、監視計測、制御のための情報を外部通信信号Saを用いることによりIED1との間で共有する。
【0039】
テレコン10は、主にIED1が接続された通信回線Nとは異なる通信回線上の端末の通信を中継する端末であり、既知の外部装置である。外部IED11は、IED1と同等の装置であり、インタロック情報、転送遮断信号及び死活情報等の各種情報を外部通信信号SbとしてIED1と送受信する。
【0040】
HMI12は、主に電力系統の運転員等が手動操作でIED1の制御や計測、監視情報を閲覧するために用いる既知の外部装置である。保守用端末13は、IED1のエンジニアリングや設定変更のために用いる既知の外部装置である。この保守用端末13は、主にTCP/IP系の標準的な通信プロトコルまたはIED1のメーカ独自の通信プロトコル(保守用通信プロトコル)を用いてIED1と通信する。なお、保守用端末13は、IED1に加え、テレコン10、外部IED11、HMI12、タイムサーバ14のエンジニアリングや設定変更に用いるものであって良い。
【0041】
タイムサーバ14は、IED1の内部時計を合わせるために用いる既知の外部装置である。このタイムサーバ14は、時刻同期のための通信プロトコルとしてSNTP、NTP、PTP(時刻同期用通信プロトコル)のいずれか、またはその全てを用いるものである。なお、タイムサーバ14は、IED1に加え、テレコン10、外部IED11、HMI12の内部時計を合わせるために用いる装置であっても良い。
【0042】
ここで、図1に示すように、通信回線Nには不正模擬端末Fが接続される場合がある。この不正模擬端末Fは、IED1に対する既知の外部装置ではなく、サイバー攻撃を模擬するために通信回線Nに接続し、外部通信信号Saを用いてIED1との通信が可能なものである。
【0043】
続いて、本実施形態に係るリスク分析装置Bについて図2を参照して説明する。
リスク分析装置Bは、IED1と外部通信信号Sa及びデジタル・アナログ入出力信号Sbの授受を行うことにより、IED1のリスク分析つまりIED1の誤作動リスクの特定と当該誤作動リスクの実証とを行う。
リスク分析装置Bは、IED1と外部通信信号Sa及びデジタル・アナログ入出力信号Sbの授受を行うことにより、IED1のリスク分析つまりIED1の誤作動リスクの特定と当該誤作動リスクの実証とを行う。
【0044】
このリスク分析装置Bは、図2に示すように、通信模擬部15、データベース部16、自動試験部17及びデジタル・アナログ入出力模擬部18を備えている。通信模擬部15は、IED1の通信部1aが対応する任意の保護監視制御通信プロトコル、保守用通信プロトコル及び時刻同期用通信プロトコルを扱う機能を有する。この通信模擬部15は、自動試験部17によって制御され、自動試験部17で指定された通信プロトコル、内容、タイミングで外部通信信号Saの送受信を行う。
【0045】
データベース部16は、サイバー攻撃によるIED1の誤作動リスク(サイバー攻撃リスク)を評価するための情報(リスク評価情報)が登録されたデータベースである。すなわち、このデータベース部16は、本発明のデータベースに相当する。
【0046】
このようなデータベース部16は、図示するように複数の記憶部、つまり接続関係記憶部M1、シーケンス図記憶部M2、送信元通信設定記憶部M3、信号記憶部M4、通信フォーマット記憶部M5、設定変更シーケンス図記憶部M6、設定項目記憶部M7及び分析結果記憶部M8を備えている。これら各記憶部は、上記リスク評価情報の一部を各々記憶する。
【0047】
接続関係記憶部M1は、図3に示すように、要素1:IED1のデジタル・アナログ入出力部1bにおける各種の入出力端子、要素2:当該デジタル・アナログ入出力部1bの実運用時における接続先(実運用接続先)、要素3:デジタル・アナログ入出力部1bから実運用接続先への伝達情報、要素4:デジタル・アナログ入出力部1bと実運用接続先とでやり取りされる信号の定格(信号定格)、要素5:リスク分析装置Bにおけるデジタル・アナログ入出力模擬部18の接続先、要素6:IED1の実運用時における動作を記憶要素とする。
【0048】
接続関係記憶部M1は、このような6つの記憶要素を自身に特有なデータ番号(ID1)に対応させて記憶する。このような接続関係記憶部M1は、IED1のデジタル・アナログ入出力部1bとリスク分析装置Bとの接続関係及びIED1内における接続関係を示すものである。
【0049】
例えば、IED1のデジタル・アナログ入出力部1bに設けられた複数の入出力端子のうち、デジタル入力1は、図3の最上段(ID1=1)に示すように実運用時に開閉装置2に接続され、投入指示を開閉装置2に伝達する。また、この際の入出力信号の信号定格はDC110Vである。さらに、IED1のデジタル・アナログ入出力部1bにおけるデジタル入力1は、リスク分析装置Bのデジタル・アナログ入出力模擬部18におけるデジタル出力1に接続される。
【0050】
シーケンス図記憶部M2は、IED1を操作するための手順をシーケンス図として記憶するものであり、図4に示すように要素1:シーケンス図の名称、要素2:デジタル・アナログ入出力部1bにおける入出力端子、要素3:シーケンス図の内容(シーケンス手続)を記憶要素とする。このシーケンス図記憶部M2は、このような3つの記憶要素を自身に特有なデータ番号(ID2)に対応させて記憶する。
【0051】
例えば、図4の最上段(ID2=1)における「開閉装置の開放操作」という名称のシーケンス図は、デジタル・アナログ入出力部1bにおけるデジタル出力1を使用するものである。このシーケンス図のシーケンス手続は、図4及び図5に示すように複数の手続きから構成されている。
【0052】
すなわち、上記ID2=1に該当するシーケンス図のシーケンス手続は、最初にデジタル・アナログ入出力模擬部18におけるデジタル出力1を「ON」(開閉装置の「投入」状態を示す)に設定し、続いて通信模擬部15からIED1の通信部1aに選択要求を示す信号を送信する内容のものである。そして、ID2=1のシーケンス手続は、通信模擬部15でIED1の通信部1aからの選択応答を示す信号が受信されるまで待機し、通信模擬部15が選択応答を示す信号を受信すると、通信模擬部15からIED1の通信部1aに制御要求を示す信号を送信する内容のものである。
【0053】
そして、ID2=1のシーケンス手続は、通信模擬部15でIED1の通信部1aからの制御応答を示す信号が受信されるまで待機し、通信模擬部15が制御応答を示す信号を受信すると、デジタル・アナログ入出力模擬部18のデジタル入力1にIED1のデジタル・アナログ入出力部1bから開放装置2の開放操作を示す信号(デジタル・アナログ入出力部1bのデジタル出力1が「ON」)が入力されるまで待機する内容のものである。
【0054】
そして、ID2=1のシーケンス手続は、IED1のデジタル・アナログ入出力部1bからデジタル・アナログ入出力模擬部18に開閉装置2の開放操作を示す信号が入力されると、デジタル・アナログ入出力模擬部18からIED1のデジタル・アナログ入出力部1bに開閉装置2の開放状態を示す信号(デジタル・アナログ入出力模擬部18におけるデジタル出力1を「OFF」に設定)を送信する内容のものである。
【0055】
そして、ID2=1のシーケンス手続は、通信模擬部15がIED1の通信部1aからの完了通知を示す信号を受信することにより完了する。
【0056】
また、ID2=2に該当する「過電流保護」という名称のシーケンス図のシーケンス手続は、図4及び図6(a)に示すように、デジタル・アナログ入出力模擬部18におけるアナログ出力1~3に正常時のアナログ信号を各々入力させる内容のものである。そして、ID2=2のシーケンス手続は、デジタル・アナログ入出力模擬部18におけるアナログ出力1~3に異常時のアナログ信号を各々入力させ、デジタル・アナログ入出力模擬部18のデジタル入力1にデジタル・アナログ入出力部1bから信号が入力されるまで待機する内容のものである。
【0057】
さらに、ID2=3のシーケンス手続は、図4及び図6(b)に示すように、通信模擬部15からIED1の通信部1aにテストコマンドを送信させる内容のものである。そして、ID2=2のシーケンス手続は、テストコマンドに対する応答として、発電出力指令値を示す信号がIED1のデジタル・アナログ入出力部1bからデジタル・アナログ入出力模擬部18に入力されるまで待機する内容のものである。
【0058】
シーケンス図記憶部M2のシーケンス図は、Unified Modeling Language(UML)に基づくものである。一般にUMLに基づくシーケンス図は、図として扱われるが、コンピュータ上では図に変換可能なテキスト形式で保存される。すなわち、シーケンス図記憶部M2は、図5及び図6に示すシーケンス図を再現可能なテキスト形式で記憶する。
【0059】
図5及び図6に示すように、シーケンス図は、通信模擬部15及びデジタル・アナログ入出力模擬部18を用いたIED1との通信あるいはデジタル・アナログ信号のやり取りを規定するものである。シーケンス図記憶部M2は、一般にIED1の工場試験や納入時試験で実施するシーケンス手続をもれなく記憶している。
【0060】
また、このシーケンス図記憶部M2は、実運用時に利用するIED1の機能に加え、ID2=3の「テストコマンド」のように、実運用時に利用しないシーケンス手続であっても、IED1の機能として動作させることが可能なシーケンス手続はもれなく記憶している。
【0061】
送信元通信設定記憶部M3は、IED1との信号の授受が可能な装置(つまり既知の外部装置及び不正端末F)の通信アドレスを記憶する記憶部である。例えば図7に示すように、送信元通信設定記憶部M3には、既知の全ての外部装置及び不正端末Fに関するIPアドレスと、既知の全ての外部装置に関するMACアドレスとが通信ドレスとして記憶されている。
【0062】
すなわち、送信元通信設定記憶部M3は、要素1:外部装置の装置名称、要素2:IPアドレス、要素3:MACアドレスを記憶要素とする。送信元通信設定記憶部M3は、このような3つの記憶要素を自身に特有なデータ番号(ID3)に対応させて記憶する。
【0063】
例えば、図7の最上段(ID3=1)に示すように、テレコン10のIPアドレスは「@@@.@@@.@.110/24」であり、またMACアドレスは「##:##:##:##:##:01」である。なお、テレコン10は、複数(2つ)のIPアドレスを有し、かつ、各々のIPアドレスを用いてIED1に通信可能な外部装置である。
【0064】
送信元通信設定記憶部M3は、このように複数のIPアドレスを有する外部装置については、その全てのIPアドレスを異なるデータ番号(ID3)として記載している。また、送信元通信設定記憶部M3は、図7に示すようにIPv4またはIPV6のIPアドレスとサブネットマスクを記憶している。さらに、この送信元通信設定記憶部M3は、図示するように不正模擬端末FのIPアドレスをも異なるデータ番号(ID3)に対応させて記憶する。
【0065】
信号記憶部M4は、デジタル・アナログ入出力模擬部18が出力するデジタル・アナログ信号(模擬信号)を記憶するものであり、図8に示すように要素1:シーケンス図記憶部M2におけるデータ番号(ID2)、要素2:当該ID2の値(ID2-n)、要素3:上記模擬信号の内容を記憶要素とする。信号記憶部M4は、このような3つの記憶要素を自身に特有なデータ番号(ID4)に対応させて記憶する。
【0066】
例えば、図8の最上段(ID4=1)に示すように、ID2=1に対応するシーケンス図においてn=1に対応する最初のシーケンス処理において、デジタル・アナログ入出力模擬部18がIED1の通信部1aに出力する模擬信号は、デジタル入力1(入出力端子)を「ON」に設定する信号である。
【0067】
なお、模擬信号の内容(要素3)の記憶形式は、模擬信号を指定できるものであれば、どのような形式であってもよい。この模擬信号の内容(要素3)の記憶形式として、例えばテキスト形式のコマンド、デジタル・アナログ信号の時系列データを記憶したCSVファイルあるいはCOMTRADE形式のファイルを参照するもの等が考えられる。
【0068】
通信フォーマット記憶部M5は、通信模擬部15がIDE1との通信で用いる通信パケットのフォーマット(通信フォーマット)を記憶するものであり、図9に示すように要素1:シーケンス図記憶部M2におけるデータ番号(ID2)、要素2:設定項目記憶部M7におけるデータ番号(ID7の値、要素3:シーケンス図記憶部M2におけるデータ番号(ID2)の値、要4:通信内容を記憶要素とする。通信フォーマット記憶部M5は、このような4つの記憶要素をデータ番号(ID5)に対応させて記憶する。
【0069】
例えば、図9の最上段(ID5=1)に示すように、データ番号がID2=1に該当するシーケンス図(開放装置の開放操作)、かつ、データ番号の値がID2-2に該当する通信(選択要求の送信)において、通信プロトコルが「IEC61850 MMS」、通信サービス名が「Select With Values request」、ctlValが「OFF」、orCat、orIndent、ctNum、T、が「任意」、またTest、synchrocheck、interlockcheckが「false」に設定される。
【0070】
なお、通信内容の記載形式は、通信模擬部15が送信する通信パケットを指定可能であれば、どのような形式であってもよい。例えば、テキスト形式のコマンド、通信パケットそのものを示す16進数をられるした文字列またはテキストファイルを用いることが考えられる。また、シーケンス図記憶部M2において一つの手続きと記憶されている場合であっても、複数のパケットを一定の間隔をあけて、またはIED1の返信を待って送信する必要のある手続きについては、複数のパケットとその送信のタイミングを示したファイルを参照する形式でも良い。
【0071】
設定変更シーケンス図記憶部M6は、通信模擬部15がIED1の設定変更を行うための通信手順を記憶するものである。この設定変更シーケンス図記憶部M6は、図4で示したシーケンス図記憶部M2とは個別に用意するものであるが、記憶要素と記憶方法はシーケンス図記憶部M2と同一である。設定変更のために、入出力端子を用いない場合、図10に示すように、要素3:入出力端子なにも記憶しないか、何も記憶されていないことを示すデータを記憶する。
【0072】
IED1の設定変更時に、IED1の入出力端子を利用しない場合、設定変更シーケンス図記憶部M6の要素3:入出力端子になにも記憶しないか、何も記憶されていないことを示すデータを記憶する。
【0073】
設定項目記憶部M7は、各シーケンス図に関係する設定項目をひとまとめにして記憶するものであり、図11に示すように要素1:シーケンス図記憶部M2におけるデータ番号(ID2)、要素2:設定項目を記憶要素とする。この設定項目記憶部M7は、このような2つの記憶要素を自身に特有なデータ番号(ID7)に対応させて記憶する。
【0074】
上記設定項目(要素2)は、IED1の設定変更に利用可能なものであり、データ番号(ID7)の値(ID7-n)毎に設定方法、現在値、変更例及び設定範囲が記憶されている。設定方法には設定変更シーケンス図記憶部M6のデータ番号(ID6)に対応する値が登録され、また現在値には現在の設定値が登録されている。変更例には過去における変更例が登録され、また設定範囲には設定変更可能な範囲が登録されている。
【0075】
なお、変更例が設定項目(要素2)に登録されている場合、変更例に書き換えるために送信される通信パケットのフォーマット(通信フォーマット)が同時に記憶されている。更例が登録されていない場合は、設定範囲のうち、現在値とは異なる値をランダムに選択した値に書き換えるために送信される通信フォーマットが記憶される。
【0076】
例えば、図11の最上段(ID7=1)に示すように、データ番号がID2=1に該当するシーケンス図(開放装置の開放操作)について、設定項目記憶部M7にはデータ番号(ID7)の値(ID7-1)として、4つの設定項目が記憶されている。第1項目は投入状態であり、第2項目は開放状態であり、第3項目は開放用デジタル出力であり、第4項目は機能モードである。
【0077】
また、第1項目、第2項目及び第3項目における変更方法は、設定変更シーケンス図記憶部M6のデータ番号(ID6)において「1」に該当するファイル転送である。さらに、第4項目における変更方法は、設定変更シーケンス図記憶部M6のデータ番号(ID6)において「3」に該当するIEC61850対応ツールである。
【0078】
分析結果記憶部M8は、実運用時に想定されるIED1の動作、リスク分析の結果及びセキュリティ対策の有効性評価結果を記憶するものである。この分析結果記憶部M8は、図12に示すように要素1:送信元通信設定記憶部M3におけるデータ番号(ID3)、要素2:シーケンス図記憶部M2におけるデータ番号(ID2)、要素3:実用動作、要素4:動作、要素5:リスクの有無、要素6:試験結果1、要素7:試験結果2及び要素8:試験結果3を記憶要素とする。
【0079】
また、この分析結果記憶部M8は、このような8つの記憶要素を自身に特有なデータ番号(ID8)に対応させて記憶する。これら8つの記憶要素のうち、要素1~4は分析結果記憶部M8に予め記憶されているが、要素5~8については、IED1との通信に基づくリスク分析処理を経ることにより、データ番号(ID8)によって指定される複数の分析結果として分析結果記憶部M8に記憶される。
【0080】
このような複数の分析結果は、シーケンス図記憶部M2における全シーケンス図と送信元通信設定記憶部M3における全送信元(不正端末Fを含むすべての外部装置)とに関する全ての組合せに対応している。すなわち、本実施形態に係るリスク分析装置Bは、シーケンス図記憶部M2における全シーケンス図と送信元通信設定記憶部M3における全送信元(不正端末Fを含むすべての外部装置)とに関する全ての組合せについて、IED1のリスク分析を行い、この結果を複数の分析結果として分析結果記憶部M8に記憶させる。
【0081】
例えば、図12の最上段(ID8=1)に示すように、データ番号(ID3)が「1」に該当するテレコン10(送信元)によるデータ番号(ID2)が「1」に該当するシーケンス図(開閉装置2の開放操作)は、実運用時における動作(実運用動作)が「〇」であり、また動作がデジタル出力1を用いて開閉装置2を開放させるものである。このような送信元かつシーケンス図による外部装置によるIED1の制御は、リスクの有無としては実証済みである。また、試験結果1は防御不可、試験結果2は検知不可、遮断不可であり、試験結果3は検知不可である。
【0082】
このようなデータベース部16に対して、自動試験部17は、リスク分析装置Bを統括的に制御する制御部であり、データベース部16から取得したリスク評価情報を用いてIED1のリスク分析処理を行い、リスク分析結果をデータベース部16に記憶する。
【0083】
すなわち、自動試験部17は、データベース部16に記憶されたリスク評価情報を用いて通信模擬部15及びデジタル・アナログ入出力模擬部18を制御することにより、IED1のリスク分析を自動的に実行する。また、この自動試験部17は、リスク分析結果をデータベース部16の分析結果記憶部M8に記憶させる。
【0084】
デジタル・アナログ入出力模擬部18は、自動試験部17によって制御され、当該自動試験部17から入力される制御信号に基づいてIED1のデジタル・アナログ入出力部1bとデジタル・アナログ入出力信号Sbの授受を行う。
【0085】
次に、本実施形態に係るリスク分析装置Bの動作つまりIED1のリスク分析処理について、図13のフローチャートに沿って説明する。
【0086】
リスク分析装置Bにおいて、自動試験部17は、リスク分析処理を開始すると(ステップP1)、シーケンス図記憶部M2に記憶されたシーケンス図毎にループ処理を行う(ステップP2)。すなわち、自動試験部17は、シーケンス図記憶部M2のデータ番号(ID2)を指定することにより、データ番号(ID2)に対応づけられたシーケンス図を読み込む(ステップP3)。
【0087】
そして、自動試験部17は、シーケンス図が通信模擬部15を用いる内容である場合(ステップP4)、ループ2及びループ3に基づく手続きの実行処理を繰り返す(ステップP5~P7)。すなわち、自動試験部17は、シーケンス図記憶部M2に記憶された全てのシーケンス図について、各々のシーケンス図のシーケンス手続を全て実行する。
【0088】
ここで、通信による設定変更が行われない場合、IED1がデジタル・アナログ入出力のみをやりとりするシーケンス図における意図しない動作のリスクは、IED1のバグや故障時の除いて想定されないため実行の対象外とする。通信による設定変更が行われる場合のリスクの特定については、図14を参照して別途説明する。
【0089】
ステップP5のループ処理(ループ2)は、IED1と通信可能な全ての外部装置を送信元として、シーケンス図記憶部M2に記憶されたシーケンス図通りの通信を行うためのループ処理である。ステップP5のループ処理を複数回実行することにより、同一の外部装置とシーケンス図の組み合わせに対して複数回のリスク分析処理を行っても良い。
【0090】
また、ステップP5のループ処理(ループ3)は、シーケンス図記憶部M2のシーケンス図における各シーケンス手続に関するループ処理である。さらに、ステップP7の処理は、上記シーケンス手続がデジタル・アナログ信号を扱う場合、信号記憶部M4から当該シーケンス手続に紐づけされたデジタル・アナログ信号を読み込み、当該デジタル・アナログ信号をデジタル・アナログ入出力模擬部18からIED1に出力するものである。なお、シーケンス手続に通信を用いる場合には、通信フォーマット記憶部M5から通信フォーマットを読み込み、通信模擬部15で通信パケットを生成してIED1に送信する。
【0091】
そして、自動試験部17は、このようなステップP5~P7の処理つまり全てのシーケンス図の全てのシーケンス手続が完了すると、IED1がシーケンス図通りにデジタル信号またはアナログ信号を出力したか否かを判定する(ステップP8)。そして、自動試験部17は、ステップP8の判定結果に基づいて分析結果記憶部M8にリスクの有無を登録する。
【0092】
すなわち、自動試験部17は、攻撃リスクがある場合、分析結果記憶部M8のリスクの有無(要素5)に「実証済み」を登録し(ステップP10)、攻撃リスクがない場合には分析結果記憶部M8のリスクの有無(要素5)に「実証されない」を登録する(ステップP11)。なお、ステップP5のループ処理(ループ3)を複数回実行することにより、分析結果記憶部M8に攻撃リスクが実証された回数やパーセンテージを保存しても良い。
【0093】
このようなリスク分析処理を自動試験部17が実行することにより、IED1のデジタル・アナログ入出力部1bが誤作動する事象が分析結果として分析結果記憶部M8に登録される。このような誤作動する事象は、IED1の故障を除いて、通常と異なる不正端末Fあるいは通常と異なる装置からのサイバー攻撃により乗っ取られた外部装置からの通信に起因するものである。
【0094】
すなわち、本実施形態によれば、サイバー攻撃によるIED1の誤作動を実証し、実証した結果の基づき、サイバー攻撃を未然に防ぐためのセキュリティ対策をチューニング可能なデータベース部16(データベース)及びリスク分析装置Bを提供することが可能である。
【0095】
続いて、リスク分析装置Bにおけるリスク分析処理の変形例を図14のフローチャートに沿って説明する。
【0096】
この変形例に係るリスク分析処理は、IED1のデジタル・アナログ入出力部1bが通常と異なる装置からの通信やサイバー攻撃により乗っ取られた外部装置によりIED1の設定が変更されてしまったことにより、IED1のデジタル・アナログ入出力が意図せずに動作するリスク、または意図した通りの動作をしないリスクを実証可能なものである。
【0097】
このリスク分析処理において、自動試験部17は、リスク分析処理を開始すると(ステップP1a)、図13のリスク分析処理におけるステップP2のループ処理(ループ1)及びステップP5のループ処理(ループ2)と同様なループ処理(ステップP2a、P3a)の中で、シーケンス図記憶部M2のデータ番号(ID2)を指定することにより、データ番号(ID2)に対応づけられたシーケンス図をシーケンス図記憶部M2から読み込む(ステップP4a)。
【0098】
そして、自動試験部17は、設定項目記憶部M7のデータ番号(ID7)を指定することにより、ステップP4aで読み込んだシーケンス図の設定項目を設定項目記憶部M7から読み込む(ステップP5a)。そして、自動試験部17は、上記設定項目の設定値を変更する(ステップP6a)。
【0099】
ここで、自動試験部17は、設定項目記憶部M7から読み込んだ設定項目(要素3)に登録された変更例に従って設定値を変更する。変更方法は設定項目(要素3)の記憶内容のうち、要素3:変更方法に従い実施する。また、自動試験部17は、設定項目(要素3)に変更例が登録されていない場合には、設定項目(要素3)に登録された設定範囲から現状値と異なる値にランダムに変更する。
【0100】
なお、シーケンス図に関連する全ての設定項目を変更しない場合には、設定項目記憶部M7には変更を行う設定項目のみを記憶すればよい。また、同一のシーケンス図に対して変更する設定項目またはその設定値を変更パターン変えてを複数回のリスク分析を実施する場合、変更する設定項目またはその設定値のみを設定項目記憶部M7に記憶すればよい。
【0101】
また、ステップP3aのループ処理(ループ2)を複数回実行することにより、同一の外部装置について、設定変更シーケンス図記憶部M6に記憶された設定変更シーケンス図及びシーケンス図記憶部M2に記憶された同一のシーケンス図の組み合わせによるリスク分析を複数回行っても良い。
【0102】
そして、自動試験部17は、図13におけるステップP6、P7と同様なループ処理(ステップP7a)及び手続の実行処理(ステップP8a)を行うことにより、設定変更シーケンス図における全てのシーケンス手続を完了させる。そして、自動試験部17は、ステップP7a、P8aの処理が完了すると、ステップP6aで変更した設定項目の設定値を元の値に戻す(ステップP9a)。
【0103】
そして、自動試験部17は、図13におけるステップP8~P10と同様にIED1がシーケンス図通りにデジタル信号またはアナログ信号を出力したか否かを判定する(ステップP10a)。そして、自動試験部17は、ステップP10aの判定結果が「No」の場合、分析結果記憶部M8にサイバー攻撃のリスクが実証されたことを示す「実証済み」を登録し(ステップP11a)、全ての処理を終了する(ステップP12a)。
【0104】
最後に、本実施形態に係るIED1A、セキュリティ対策装置C、D及びセキュリティ対策システムEについて、図15を参照して説明する。
【0105】
本実施形態に係るIED1Aは、実運用時に不要な機能の無効化や制御機能利用時の認証機能等のサイバー攻撃の検知や防御を行うセキュリティ対策機能を上述したIED1(リスク分析対象機器)に付加したものである。また、本実施形態に係るセキュリティ対策装置C、Dは、IED1A及びリスク分析装置Bと通信自在に接続されており、IED1A及びリスク分析装置Bとともにセキュリティ対策システムEを構成している。
【0106】
すなわち、本実施形態に係るセキュリティ対策システムEは、IED1A、リスク分析装置B及び2つのセキュリティ対策装置C、Dによって構成されている。
【0107】
セキュリティ対策装置C、Dについてさらに詳しく説明すると、2つのセキュリティ対策装置C、Dは、IED1Aとは個別に設けられ、実運用時に不必要なIED1Aの機能を検知または無効化させる。例えば、セキュリティ対策装置C、Dは、実運用時に想定される通信のパターンまたは想定されない通信のパターンを手動または自動で記憶することにより、IED1AのIED1への通信を検知または遮断する。
【0108】
セキュリティ対策システムEにおける通信パターンとしては、図7に示したIPアドレス及びMACアドレス並びに図9に示した通信内容及び送受信タイミング等の情報が用いられる。このセキュリティ対策システムEでは、IED1A及びセキュリティ対策装置C、Dにおけるセキュリティ対策機能が、図13あるいは図14に示したリスク分析処理の実施によってリスク分析装置Bの分析結果記憶部M8に登録された分析結果に基づいて適宜チューニングされる。
【0109】
すなわち、IED1A及びセキュリティ対策装置C、Dにおけるセキュリティ対策機能は、リスク分析装置Bによって以下の2つの手続が実施されることにより適宜チューニングされる。
【0110】
(1)リスク分析装置Bは、実運用時に想定される動作の阻害または誤検知の有無について、分析結果記憶部M8の実用動作(要素3)が「〇」になっている行に対応する送信元(外部装置)からシーケンス図通りの手続きを行い、シーケンス通りの動作を行うかどうかを確認することによって検証する。リスク分析装置Bは、この検証結果を分析結果記憶部M8の試験結果1(要素6)以降の要素として登録する。
【0111】
(2)リスク分析装置Bは、実運用時に想定されない動作の検知、防御の可否は、分析結果記憶部M8の実用動作(要素3)が「×」になっている行に対応する送信元(外部装置)からシーケンス図通りの手続きを行い、シーケンス通りの動作を行わないかどうかを確認することによって検証する。リスク分析装置Bは、この結果を試験結果1(要素6)以降の要素として登録する。なお、分析結果記憶部M8には、リスクが実証された回数やパーセンテージを保存しても良い。
【0112】
このような本実施形態によれば、サイバー攻撃によるIED1Aの誤作動を未然に防ぐことが可能なデータベース(データベース部16)、リスク分析装置B、IED1A及びセキュリティ対策システムEを提供することが可能である。
【0113】
また、本実施形態では、データベース(データベース部16)は、リスク評価情報としてIED1を操作するための全ての手順を示すシーケンス図を記憶するシーケンス図記憶部M2と、IED1との信号の授受が可能な全ての装置(各種外部装置及び不正端末F)の通信ドレスを記憶する通信設定記憶部M3を少なくとも含む。
【0114】
このような本実施形態によれば、IED1を操作するための全ての手順及びIED1との信号の授受が可能な全ての装置について、サイバー攻撃のリスク評価を行うことが可能である。したがって、本実施形態によれば、極めて信頼性の高いサイバー攻撃リスクの評価を行うことが可能である。
【0115】
また、本実施形態によれば、リスク分析装置Bは、図14のフローチャートに示したように、IED1の設定変更を行うための通信手順(設定変更シーケンス図)を設定変更シーケンス図記憶部M6に記憶し、また設定変更に関する設定項目を設定項目記憶部M7に記憶している。
【0116】
そして、リスク分析装置Bは、設定変更シーケンス図記憶部M6の通信手順(設定変更シーケンス図)及び設定項目記憶部M7の設定項目を用いてIED1の設定を変更した上でリスク分析処理を行う。このようなリスク分析装置Bによれば、サイバー攻撃によりIED1の設定が変更された場合であってもIED1のリスク分析処理を確実に行うことが可能である。
【0117】
また、本実施形態によれば、リスク分析装置Bは、リスク分析結果に基づいて正常な通信信号または不正な通信信号を生成することによりセキュリティ対策装置C、DまたはIED1Aにおけるセキュリティ対策機能のチューニングを行うので、信頼性の高いセキュリティ対策機能をセキュリティ対策装置C、D及びIED1Aに実装することが可能である。
【0118】
さらに、本実施形態によれば、リスク分析装置Bは、セキュリティ対策の後またはチューニングの後のセキュリティ対策装置C、DまたはIED1Aについて、誤作動リスクを再分析することによりセキュリティ対策またはチューニングの有効性を実証するので、さらに信頼性の高いセキュリティ対策機能をセキュリティ対策装置C、D及びIED1Aに実装することが可能である。
【0119】
なお、本発明は上記実施形態に限定されるものではなく、例えば以下のような変形例が考えられる。例えば、IED1、1Aは別々の装置の集合体として構成される場合がある。図15は、一例としてIED1、1AがIED19とMU20とによって構成される場合を示している。
【0120】
このようなIED1、1Aについて、リスク分析装置Bは、図示するようにIED19及びMU20と外部通信信号Saの送受信を行う。また、リスク分析装置Bは、MU20とデジタル・アナログ入出力信号Sbをやり取りする。そして、リスク分析装置Bは、IED19及びMU20との外部通信信号Saの送受信並びにMU20とのデジタル・アナログ入出力信号Sbのやり取りに基づいてリスク分析処理を行う。
【符号の説明】
【0121】
B リスク分析装置
C、D セキュリティ対策装置
E セキュリティ対策システム
F 不正端末
M1 接続関係記憶部
M2 シーケンス図記憶部
M3 送信元通信設定記憶部
M4 信号記憶部
M5 通信フォーマット記憶部
M6 設定変更シーケンス図記憶部
M7 設定項目記憶部
M8 分析結果記憶部
N 通信回線
1、1A IED
1a 通信部
1b デジタル・アナログ入出力部
1c 内部処理部
2 開閉装置
3 変圧器
4 調相装置
5 発電装置
6 計器用変流器
7 計器用変圧器
8 設備保全用センサ
9 補助IED
10 テレコン
11 外部IED
12 HMI
13 保守用端末
14 タイムサーバ
15 通信模擬部
16 データベース部
17 自動試験部
18 デジタル・アナログ入出力模擬部
C、D セキュリティ対策装置
E セキュリティ対策システム
F 不正端末
M1 接続関係記憶部
M2 シーケンス図記憶部
M3 送信元通信設定記憶部
M4 信号記憶部
M5 通信フォーマット記憶部
M6 設定変更シーケンス図記憶部
M7 設定項目記憶部
M8 分析結果記憶部
N 通信回線
1、1A IED
1a 通信部
1b デジタル・アナログ入出力部
1c 内部処理部
2 開閉装置
3 変圧器
4 調相装置
5 発電装置
6 計器用変流器
7 計器用変圧器
8 設備保全用センサ
9 補助IED
10 テレコン
11 外部IED
12 HMI
13 保守用端末
14 タイムサーバ
15 通信模擬部
16 データベース部
17 自動試験部
18 デジタル・アナログ入出力模擬部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】