知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023061537
(43)【公開日】2023-05-02
(54)【発明の名称】セキュリティ管理システム、及びセキュリティ管理方法
(51)【国際特許分類】
H04L 12/22 20060101AFI20230425BHJP
【FI】
H04L12/22
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2021171490
(22)【出願日】2021-10-20
【国等の委託研究の成果に係る記載事項】(出願人による申告)2018年度、国立研究開発法人新エネルギー・産業技術総合開発機構、「戦略的イノベーション創造プログラム(SIP)第 2 期/IoT社会に対応したサイバー・フィジカル・セキュリティ/(C2)信頼チェーンの維持技術の研究開発事業」委託研究、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】田中 真愉子
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030GA17
5K030HA08
5K030JA07
5K030JA10
5K030LC13
(57)【要約】 (修正有)
【課題】セキュリティ管理を行う管理者の負担を軽減しつつ、セキュリティ侵害に対する必要な対処を迅速に実施するシステム及び方法を提供する。
【解決手段】セキュリティ管理システムは、監視対象システムを構成する業務装置の間の通信に利用される通信経路と、通信経路の夫々の重要度を示す情報である業務通信重要度とを記憶し、監視対象システムにおいて行われる通信を監視し、不正通信を検知すると、当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が監視対象システムに与える影響範囲を特定し、特定した影響範囲に基づき不正通信についての対処案を生成し、対処案を実施した場合に影響を受ける可能性のある通信経路を特定し、特定した通信経路の業務通信重要度に基づき、対処案が業務に与える影響の度合いを示す指標である影響値を求め、影響値に基づき対処案を自動実施するか否かを判定する。
【選択図】図10
【解決手段】セキュリティ管理システムは、監視対象システムを構成する業務装置の間の通信に利用される通信経路と、通信経路の夫々の重要度を示す情報である業務通信重要度とを記憶し、監視対象システムにおいて行われる通信を監視し、不正通信を検知すると、当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が監視対象システムに与える影響範囲を特定し、特定した影響範囲に基づき不正通信についての対処案を生成し、対処案を実施した場合に影響を受ける可能性のある通信経路を特定し、特定した通信経路の業務通信重要度に基づき、対処案が業務に与える影響の度合いを示す指標である影響値を求め、影響値に基づき対処案を自動実施するか否かを判定する。
【選択図】図10
【特許請求の範囲】
【請求項1】
通信可能に接続された複数の業務装置を含んで構成される監視対象システムのセキュリティ管理を行う情報処理システムであって、
プロセッサ及びメモリを有する情報処理装置を用いて構成され、
前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶し、
前記監視対象システムにおいて行われる通信を監視し、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定する、
セキュリティ管理システム。
プロセッサ及びメモリを有する情報処理装置を用いて構成され、
前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶し、
前記監視対象システムにおいて行われる通信を監視し、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定する、
セキュリティ管理システム。
【請求項2】
請求項1に記載のセキュリティ管理システムであって、
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施する、
セキュリティ管理システム。
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施する、
セキュリティ管理システム。
【請求項3】
請求項1に記載のセキュリティ管理システムであって、
前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定する、
セキュリティ管理システム。
前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定する、
セキュリティ管理システム。
【請求項4】
請求項1に記載のセキュリティ管理システムであって、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理し、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求める、
セキュリティ管理システム。
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理し、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求める、
セキュリティ管理システム。
【請求項5】
請求項1に記載のセキュリティ管理システムであって、
前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正通信の前記対処案について求めた影響値を加算することにより求める、
セキュリティ管理システム。
前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正通信の前記対処案について求めた影響値を加算することにより求める、
セキュリティ管理システム。
【請求項6】
請求項1に記載のセキュリティ管理システムであって、
前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
セキュリティ管理システム。
前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
セキュリティ管理システム。
【請求項7】
請求項1に記載のセキュリティ管理システムであって、
前記不正通信は、前記業務装置間の通信で利用可能な制御プロトコルを逸脱した通信、前記業務装置間の通信で利用可能な制御コマンド以外の制御コマンドを用いた通信、前記業務装置間の通信で利用可能な制御パラメータ以外の制御パラメータを用いた通信、及び、前記業務装置間の通信について予め設定された許容範囲を超える通信周期で行われた通信、のうちの少なくともいずれかである、
セキュリティ管理システム。
前記不正通信は、前記業務装置間の通信で利用可能な制御プロトコルを逸脱した通信、前記業務装置間の通信で利用可能な制御コマンド以外の制御コマンドを用いた通信、前記業務装置間の通信で利用可能な制御パラメータ以外の制御パラメータを用いた通信、及び、前記業務装置間の通信について予め設定された許容範囲を超える通信周期で行われた通信、のうちの少なくともいずれかである、
セキュリティ管理システム。
【請求項8】
請求項1に記載のセキュリティ管理システムであって、
前記対処案を自動実施しないと判定した場合、
前記対処案の内容をユーザインタフェースを介して提示し、
前記対処案を実施するか否かについての意志表示の入力を受け付け、
前記対処案を実施する旨の意志表示を受け付けた場合は前記対処案を実施する、
セキュリティ管理システム。
前記対処案を自動実施しないと判定した場合、
前記対処案の内容をユーザインタフェースを介して提示し、
前記対処案を実施するか否かについての意志表示の入力を受け付け、
前記対処案を実施する旨の意志表示を受け付けた場合は前記対処案を実施する、
セキュリティ管理システム。
【請求項9】
請求項1に記載のセキュリティ管理システムであって、
前記対処案は、特定した前記通信経路を利用して通信を行う前記業務装置が行っている業務を他の前記業務装置に代替させるものである、
セキュリティ管理システム。
前記対処案は、特定した前記通信経路を利用して通信を行う前記業務装置が行っている業務を他の前記業務装置に代替させるものである、
セキュリティ管理システム。
【請求項10】
請求項1に記載のセキュリティ管理システムであって、
前記対処案は、特定した前記業務装置を自律制御に切り換え、当該業務装置を通信経路から切り離すものである、
セキュリティ管理システム。
前記対処案は、特定した前記業務装置を自律制御に切り換え、当該業務装置を通信経路から切り離すものである、
セキュリティ管理システム。
【請求項11】
プロセッサ及びメモリを有する情報処理装置が、
通信可能に接続された複数の業務装置を含んで構成される監視対象システムの前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶するステップ、
前記監視対象システムにおいて行われる通信を監視するステップ、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定するステップ、及び、
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施するステップ、
を実行する、セキュリティ管理方法。
通信可能に接続された複数の業務装置を含んで構成される監視対象システムの前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶するステップ、
前記監視対象システムにおいて行われる通信を監視するステップ、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定するステップ、及び、
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施するステップ、
を実行する、セキュリティ管理方法。
【請求項12】
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定するステップ、
を更に実行する、セキュリティ管理方法。
前記情報処理装置が、前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定するステップ、
を更に実行する、セキュリティ管理方法。
【請求項13】
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理するステップ、及び、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求めるステップ、
を更に実行する、セキュリティ管理方法。
前記情報処理装置が、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理するステップ、及び、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求めるステップ、
を更に実行する、セキュリティ管理方法。
【請求項14】
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正
通信の前記対処案について求めた影響値を加算することにより求めるステップ、
を更に実行する、セキュリティ管理方法。
前記情報処理装置が、前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正
通信の前記対処案について求めた影響値を加算することにより求めるステップ、
を更に実行する、セキュリティ管理方法。
【請求項15】
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
を更に実行する、セキュリティ管理方法。
前記情報処理装置が、前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
を更に実行する、セキュリティ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。
【背景技術】
【0002】
特許文献1には、ネットワークで発生した攻撃に対し、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することを目的として構成されたセキュリティ対処案設計装置に関して記載されている。セキュリティ対処案設計装置は、攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶し、攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信し、検知情報に対応する対処テンプレートを抽出し、抽出された対処テンプレート及び検知情報に基づきセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照し、作成したセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出し、抽出したセキュリティ対処案を出力する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2018―137500号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記のように、特許文献1に記載のセキュリティ対処案設計装置は、ネットワーク内の機器情報及びトポロジ情報を参照し、対処テンプレート及び検知情報に基づき作成したセキュリティ対処案の中から実施可能なセキュリティ対処案を管理者に提示する。
【0005】
しかし、提示されたセキュリティ対処案を実施するか否かは、業務への影響を考慮しつつ、管理者が最終的に意思決定する必要があり、管理者の負担が大きいことが課題である。一方で、業務への影響を許容できるようなセキュリティ対処案については、迅速に実施することがセキュリティ対策上、好ましいといえる。
【0006】
本発明は、このような背景に鑑みてなされたものであり、セキュリティ管理を行う管理者の負担を軽減しつつ、セキュリティ侵害に対する必要な対処を迅速に実施することが可能な、セキュリティ管理システム、及びセキュリティ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するための本発明のうちの一つは、通信可能に接続された複数の業務装置を含んで構成される監視対象システムのセキュリティ管理を行う情報処理システム(セキュリティ管理システム)であって、プロセッサ及びメモリを有する情報処理装置を用いて構成され、前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶し、前記監視対象システムにおいて行われる通信を監視し、前記監視対象システムにおいて行われた不正通信を検知すると、当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記業務に与える影響の度合いを示す指標である影響値を求め、前記影響値に基づき前記対処案を自動実施するか否かを判定する。
【0008】
その他、本願が開示する課題、およびその解決方法は、発明を実施するための形態の欄、および図面により明らかにされる。
【発明の効果】
【0009】
本発明によれば、セキュリティ管理を行う管理者の負担を軽減しつつ、セキュリティ侵害に対する必要な対処を迅速に実施することができる。
【図面の簡単な説明】
【0010】
【図1】セキュリティ管理システムの概略的な構成を示す図である。
【図2】セキュリティ管理システムを構成する情報処理装置の一例である。
【図3】通信監視装置が備える主な機能を説明するブロック図である。
【図4】対処支援装置が備える主な機能を説明するブロック図である。
【図5】対処実行装置が備える主な機能を説明するブロック図である。
【図6】業務装置情報テーブルの一例である。
【図7】ホワイト通信テーブルの一例である。
【図8】業務情報テーブルの一例である。
【図9】制御情報テーブルの一例である。
【図10】不正通信監視処理を説明するフローチャートである。
【図11】業務影響値算出処理を説明するフローチャートである。
【図12】対処案実施可否指定画面の一例である。
【発明を実施するための形態】
【0011】
以下、図面を適宜参照しつつ本発明の実施形態について説明する。以下の記載及び図面は、本発明を説明するための例示であり、説明の明確化のため、適宜、省略及び簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。
【0012】
以下の説明において、同一の又は類似する構成に同一の符号を付して重複した説明を省略することがある。また、以下の説明において、符号の前に付した「S」の文字は処理ステップの意味である。
【0013】
以下の説明において、「テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「XXテーブル」等を「XX情報」と呼ぶことがある。また、識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。
【0014】
図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成を示している。同図に示すように、セキュリティ管理システム1は、監視対象システム5、通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100を含む。尚、監視対象システム5は、必ずしもセキュリティ管理システム1の構成要素でなくてもよい。通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100は、いずれも情報処理装置(コンピュータ)を用いて構成されている。
【0015】
セキュリティ管理システム1は、監視対象システム5において検知された不正な通信(以下、「不正通信」と称する。)に対し、監視対象システム5が行う業務への影響を考慮しつつ、必要なセキュリティ対処案(以下、「対処案」と称する。)を生成し、業務への影響が許容できる場合は自動的に実施する機能を有する。セキュリティ管理システム1に
よれば、業務の継続性を保ちつつ、監視対象システム5の監視を行う者(以下、「管理者2」と称する。)の負担を軽減することができる。
よれば、業務の継続性を保ちつつ、監視対象システム5の監視を行う者(以下、「管理者2」と称する。)の負担を軽減することができる。
【0016】
監視対象システム5は、いわゆる産業用ネットワークシステムである。監視対象システム5の種類は必ずしも限定されず、例えば、工場IoTシステム(IoT:Internet of Things)、スマートファクトリ、社会インフラシステム(鉄道交通システム、受変電システ
ム、上下水道システム、道路システム、通信放送システム等)等である。
ム、上下水道システム、道路システム、通信放送システム等)等である。
【0017】
例示する監視対象システム5は、一つ以上のコントローラ61、一つ以上のアクチュエータ71、一つ以上のセンサ72、及び制御サーバ50を含む。尚、以下では、これらの装置のことを「業務装置」と総称する。業務装置は、通信ネットワークを介した双方向通信が可能な情報処理装置として機能する。
【0018】
監視対象システム5は、当該システムの構成要素を通信可能に接続する通信ネットワークである、情報系ネットワーク51及び制御系ネットワーク52を含む。監視対象システム5が、例えば、工場IoTシステムである場合、情報系ネットワーク51は、例えば、制御ネットワークであり、制御系ネットワーク52は、例えば、フィールドネットワークである。
【0019】
情報系ネットワーク51及び制御系ネットワーク52は、有線方式又は無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット、各種公衆無線通信網、専用線等である。これらの通信ネットワ
ークは、いずれも適宜、暗号化通信やVPN(Virtual Private Network)の利用、ファ
イアウォールやDMZ(DeMilitarized Zone)の設置等の一定水準のセキュリティ管理が施されている。
ークは、いずれも適宜、暗号化通信やVPN(Virtual Private Network)の利用、ファ
イアウォールやDMZ(DeMilitarized Zone)の設置等の一定水準のセキュリティ管理が施されている。
【0020】
同図に示すように、情報系ネットワーク51には、一つ以上のコントローラ61及び制御サーバ50が接続している。また、制御系ネットワーク52には、上記の各コントローラ61、一つ以上のアクチュエータ71、及び一つ以上のセンサ72が通信可能に接続している。
【0021】
制御サーバ50とコントローラ61は、情報系ネットワーク51を介して双方向通信が可能な状態で接続している。制御サーバ50は、情報系ネットワーク51を介して、コントローラ61、アクチュエータ71、及びセンサ72の動作状態の監視や制御を行う。制御サーバ50は、例えば、情報系ネットワーク51を介してコントローラ61に制御指示を送信する。制御サーバ50は、例えば、情報系ネットワーク51を介してコントローラ61から送られてくる情報(センサの計測値等)を受信し、受信した情報に基づき各コントローラ61の状態を監視する。制御サーバ50は、例えば、EWS(Engineering WorkStation)として機能し、例えば、コントローラ61において実行される制御プログラム
(ファームウェア)のロジックの変更/更新(バージョンアップ)等を行う。
(ファームウェア)のロジックの変更/更新(バージョンアップ)等を行う。
【0022】
コントローラ61は、アクチュエータ71及びセンサ72と、制御系ネットワーク52を介して双方向通信が可能な状態で接続している。コントローラ61は、例えば、PLC(Programmable Logic Controller)であり、情報系ネットワーク51を介して制御サー
バ50から送られてくる指示に従い、制御系ネットワーク52を介して、例えば、アクチュエータ71を構成するモータの回転数制御や動作設定、センサ72が出力する情報の収集等を行う。
バ50から送られてくる指示に従い、制御系ネットワーク52を介して、例えば、アクチュエータ71を構成するモータの回転数制御や動作設定、センサ72が出力する情報の収集等を行う。
【0023】
アクチュエータ71は、例えば、コントローラ61からの命令に基づき設定された設定値に従い、バルブ、モータ、電動機等を機能させる。センサ72は、例えば、温度、流量
、圧力等の物理量を計測し、その計測値を制御系ネットワーク52を介してコントローラ61に送信する。
、圧力等の物理量を計測し、その計測値を制御系ネットワーク52を介してコントローラ61に送信する。
【0024】
通信監視装置20は、ミラーポート41を介して情報系ネットワーク51を流れる通信(パケット、通信電文)を取得し、取得した情報を分析することにより、情報系ネットワーク51における通信を監視(不正通信の検知等)する。通信監視装置20は、ミラーポート42を介して制御系ネットワーク52を流れる通信(パケット、通信電文)の内容を取得し、取得した内容を分析することにより、制御系ネットワーク52における通信を監視(不正通信の検知等)する。
【0025】
同図に示すように、通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100は、いずれも対処系ネットワーク43を介して、各アクチュエータ71及び各センサ72と双方向通信が可能な状態で接続している。
【0026】
対処実行装置30は、対処系ネットワーク43を介して、監視対象システム5及び対処支援装置100と通信可能に接続している。対処系ネットワーク43は、有線方式又は無線方式の通信ネットワークであり、例えば、LAN、WAN、インターネット、各種公衆無線通信網、専用線等である。
【0027】
対処実行装置30は、監視対象システム5の各業務装置に対する処理権限(制御権限)を有する。対処実行装置30は、対処系ネットワーク43を介して、対処支援装置100から送られてくる対処命令を受信する。対処実行装置30は、受信した対処命令を、例えば、当該対処実行装置30が実行可能もしくは処理可能な、制御コマンドや制御ロジックプログラムに変換し、変換した制御コマンドや制御ロジックプログラム(以下、「制御命令」と称する。)を対処案の適用対象となる業務装置(以下、「対処業務装置」と称する。)に送信することで、対処業務装置に対処案に対応する処理を実行させる(セキュリティ対処の実施)。
【0028】
対処支援装置100は、通信監視装置20から受信した不正通信に関する情報(以下、「検知情報」と称する。)を用いて、当該不正通信の影響を受ける業務を分析し、分析結果に基づき対処案を生成する。また、対処による業務に与える影響の大きさ(以下、「業務影響値」と称する。)を求め、求めた業務影響値に基づき、対処案を自動実施可能であるか否かを判定する。そして、対処支援装置100は、対処案が自動実施可能であると判定した場合、対処案に基づき対処命令を生成し、生成した対処命令を対処実行装置30に送信する。
【0029】
管理者装置40は、対処支援装置100から受信した対処案を管理者2に提示し、対処案を実施するか否かの意思表示の入力を受け付ける。管理者装置40は、上記意思表示の入力を受け付けると、受け付けた内容を対処支援装置100に送信する。
【0030】
図2は、セキュリティ管理システム1の構成要素(通信監視装置20、対処実行装置30、管理者装置40、制御サーバ50、対処支援装置100)の実現に用いる情報処理装置のハードウェア構成例を示すブロック図である。例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13、入力装置14、出力装置15、及び通信装置16を備える。情報処理装置10の例として、パーソナルコンピュータ、オフィスコンピュータ、サーバ装置、スマートフォン、タブレット、汎用機(メインフレーム)等がある。尚、セキュリティ管理システム1の構成要素(通信監視装置20、対処実行装置30、管理者装置40、制御サーバ50、対処支援装置100)のうちの2つ以上が、共通の情報処理装置10により実現されていてもよい。
【0031】
情報処理装置10は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
【0032】
プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
【0033】
主記憶装置12は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。セキュリティ管理システム1の各構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。セキュリティ管理システム1の各構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
【0034】
補助記憶装置13は、例えば、SSD(Solid State Drive)、ハードディスクドライ
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
【0035】
入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入力装置等である。
【0036】
出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
【0037】
入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。
【0038】
通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、各種通信ネットワーク(情報系ネットワーク51、制御系ネットワーク52、対処系ネットワーク53)を介して、所定の通信プロトコルに準拠した他の装置との間の通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。
【0039】
情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DB
MS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
MS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
【0040】
図3は、通信監視装置20が備える主な機能を示すブロック図である。通信監視装置20は、監視対象システム5における通信を監視することにより不正通信を検知すると、検知した不正通信の検知情報を生成し、生成した検知情報を対処支援装置100に送信する。
【0041】
同図に示すように、通信監視装置20は、記憶部210、システム情報管理部220、不正通信検知部230、及び検知情報送信部240の各機能を有する。
【0042】
上記機能のうち、記憶部210は、業務装置情報テーブル211、ホワイト通信テーブル212、業務情報テーブル213、及び制御情報テーブル214を記憶する。
【0043】
このうち業務装置情報テーブル211には、業務装置に関する情報(以下、「業務装置情報」と称する。)が管理される。業務装置情報テーブル211の内容は、例えば、管理者2によって設定される。
【0044】
図6に、業務装置情報テーブル211の一例を示す。同図に示すように、業務装置情報テーブル211は、業務装置ID611、装置名612、IPアドレス613、代替装置ID614、自律制御可否615、及び業務ID616の各項目を有する一つ以上のレコードで構成される。業務装置情報テーブル211の一つのレコードは、一つの業務装置に対応している。
【0045】
上記項目のうち、業務装置ID611には、業務装置の識別子である業務装置IDが格納される。装置名612には、当該業務装置の名称(装置名)が格納される。
【0046】
IPアドレス613には、当該業務装置の制御系ネットワーク52におけるネットワークアドレス(本例ではIPアドレス)が格納される。尚、例示する業務装置情報テーブル211では、制御系ネットワーク52におけるIPアドレスのみを示しているが、業務装置情報テーブル211には、業務装置の夫々が接続している通信ネットワークのIPアドレスが管理される。
【0047】
代替装置ID614には、当該業務装置の業務を代替(代行)可能な他の装置(以下、「代替装置」と称する。)の業務装置ID(以下、「代替装置ID」と称する。)が格納される。尚、当該業務装置の業務を他の装置に代替させることができないか、もしくは代替先の装置が用意されていない場合は、代替装置ID614に「なし」が格納される。
【0048】
自律制御可否615には、当該業務装置が自律運転可能(自律制御可能)か否かを示す情報が格納される。本例では、自律運転可能な場合は自律制御可否615に「可」が、自律運転不可能な場合は自律制御可否615に「不可」が格納される。尚、「自律制御可能な場合」には、業務効率が低下する等の影響は出るが業務を安全に継続可能な場合も含む。
【0049】
業務ID616には、当該業務装置が行う業務の識別子(以下、「業務ID」と称する。)が格納される。尚、例示する業務装置情報テーブル211における業務装置ID611が「D03」の業務装置の業務ID616には「なし」が格納されているが、これは当該業務装置が代替装置として用意されたものであり、現在は待機状態である(業務を行っていない)ことを示す。尚、その後に当該代替装置が代替先として稼働を開始することとなった際は、当該レコードの業務ID616に当該代替装置の代替元の業務装置が行って
いた業務の業務IDが格納される。
いた業務の業務IDが格納される。
【0050】
図3に戻り、ホワイト通信テーブル212には、監視対象システム5の業務において行われる正規の通信(業務の実行に際し業務装置間で行われる通信)の、情報の送信元となるノードと情報の送信先(宛先)となるノードの対応(以下、「通信経路」と称する。)を示す情報が管理される。上記通信経路は、通信に用いられるプロトコル、IPアドレス、及びポートの組合せで識別(特定)される。ホワイト通信テーブル212には、上記通信経路の夫々の重要度(以下、「業務通信重要度」と称する。)を示す情報が管理される。ホワイト通信テーブル212の内容は、例えば、管理者2によって設定される。
【0051】
図7に、ホワイト通信テーブル212の一例を示す。同図に示すように、例示するホワイト通信テーブル212は、通信経路ID711、通信プロトコル712、送信元アドレス713、宛先アドレス714、送信元ポート715、宛先ポート716、及び業務通信重要度717の各項目を有する一つ以上のレコードで構成される。ホワイト通信テーブル212の一つのレコードは、情報系ネットワーク51又は制御系ネットワーク52を介して行われる通信経路の一つに対応している。
【0052】
通信経路ID711には、当該通信経路の識別子(以下、「通信経路ID」と称する。)が格納される。通信プロトコル712には、当該通信経路で用いられる通信プロトコルを示す情報が格納される。
【0053】
送信元アドレス713には、当該通信経路の送信元ノードのネットワークアドレス(本例ではIPアドレス)が格納される。宛先アドレス714には、当該通信経路の宛先ノードのネットワークアドレス(本例ではIPアドレス)が格納される。
【0054】
送信元ポート715には、当該通信経路の送信元ノードのポート番号が格納される。宛先ポート716には、当該通信経路の宛先ノードのポート番号が格納される。尚、送信元ポートや宛先ポートを指定しない通信経路(ポート番号が任意の通信経路)については、送信元ポート715又は宛先ポート716に「*」が格納される。
【0055】
業務通信重要度717には、業務通信重要度を示す情報が格納される。本実施形態では、業務通信重要度は、「0」~「1」の範囲の値をとる(「1」が最も重要度が高く「0」が最も重要度が低い)ものとする。例えば、当該通信経路が遮断されると当該通信経路を利用する業務が停止してしまう場合は、業務通信重要度717に「1」が格納される。また、例えば、当該通信経路が保守用である場合や冗長構成されたセンサ72のうちの一つが使用する通信経路である場合は、業務通信重要度717に「0」が格納される。業務通信重要度717は、管理者2によって予め設定される。
【0056】
図3に戻り、業務情報テーブル213には、監視対象システム5において行われる業務に関する情報(以下、「業務情報」と称する。)が管理される。例えば、業務情報テーブル213には、各業務の稼働期間、各業務の優先度、各業務で行われる通信、各業務についての縮退運転の可否等の情報が管理される。
【0057】
図8に、業務情報テーブル213の一例を示す。同図に示すように、業務情報テーブル213は、業務ID811、業務名812、稼働期間813、業務優先度814、利用経路815、及び縮退運転可否816の各項目を有する一つ以上のレコードで構成される。業務情報テーブル213の一つのレコードは、監視対象システム5が行う業務の一つに対応している。
【0058】
業務ID811には、当該業務の業務IDが格納される。業務名812には、当該業務
の名称(以下、「業務名」と称する。)が格納される。
の名称(以下、「業務名」と称する。)が格納される。
【0059】
稼働期間813には、当該業務が行われる期間を示す情報が格納される。
【0060】
業務優先度814には、当該業務の優先度(以下、「業務優先度」と称する。)を示す情報が格納される。本例では、業務優先度の値が小さい程、優先度が高いものとする。
【0061】
利用経路815には、当該業務の実行に際して利用する通信経路の通信経路IDが格納される。
【0062】
縮退運転可否816には、当該業務が縮退運転可能であるか否かを示す情報が格納される。縮退運転が可能な場合、縮退運転可否816に「可」が格納され、縮退運転が不可能な場合、縮退運転可否816に「不可」が格納される。
【0063】
図3に戻り、制御情報テーブル214には、通信経路を利用して業務装置間で行われる制御に関する情報(制御プロトコル、制御コマンド、制御パラメータ、通信周期、影響値等。以下、「制御情報」と称する。)が管理される。
【0064】
図9に、制御情報テーブル214の一例を示す。同図に示すように、制御情報テーブル214は、通信経路ID911、制御プロトコル912、制御コマンド913、制御パラメータ914、通信周期915、及び影響度916の各項目を有する一つ以上のレコードで構成される。制御情報テーブル214の一つのレコードは、通信経路の一つに対応している。
【0065】
通信経路ID911には、当該通信経路の通信経路IDが格納される。
【0066】
制御プロトコル912には、当該通信経路を介して業務装置の制御を行う際に用いられる制御プロトコルを示す情報が格納される。
【0067】
制御コマンド913には、当該通信経路を介して業務装置の制御を行う際に用いられる制御コマンドを示す情報が格納される。
【0068】
制御パラメータ914には、当該通信経路を介して業務装置の制御を行う際に用いられる制御パラメータを示す情報が格納される。
【0069】
通信周期915には、当該通信経路を介して業務装置の制御が行われる際の通信の通信周期(通信周期の平均値でもよい)を示す情報が格納される。当該通信が周期的な通信でない場合は通信周期915に「*」が格納される。
【0070】
影響度916には、当該通信経路に異常が生じた場合(制御コマンドが送信されなくなった場合や急増した場合、不正な制御パラメータが設定された場合等)に、業務の継続性や安全性に与える影響の大きさを示す値(以下、「影響度」と称する。)が格納される。影響度916の内容は、例えば、業務通信重要度717を設定する際の根拠として用いられる。本例では、例えば、「高」、「中」、「低」のいずれかが影響度916に設定される。例えば、業務が数日間停止したり、人命が脅かされたりする可能性がある等、業務への影響が大きい場合は、影響度916に「高」が格納される。また、例えば、影響が軽微である場合や限定的な場合は、影響度916に「低」が格納される。
【0071】
図3に戻り、同図に示す機能のうち、システム情報管理部220は、業務装置情報テーブル211、ホワイト通信テーブル212、業務情報テーブル213、及び制御情報テー
ブル214(以下、これらの情報を「システム情報」と総称する。)を管理する。
ブル214(以下、これらの情報を「システム情報」と総称する。)を管理する。
【0072】
不正通信検知部230は、ミラーポート41やミラーポート42を介して、監視対象システム5の情報系ネットワーク51及び制御系ネットワーク52に流れる通信(パケット、通信電文)の内容を取得する。不正通信検知部230は、取得した通信の内容を分析し、例えば、パケットのヘッダ情報(データ送信元の装置及びデータ送信先の装置のIPアドレス、通信プロトコル、及びポート番号等)、パケットのペイロードに含まれる制御コマンド及びパラメータの各情報(以下、「通信情報」と称する。)を取得する。また、不正通信検知部230は、取得した通信情報に基づく情報(単位時間当たりの通信数の変化、単位時間当たりの制御命令の数等。以下、「統計情報」と称する。)を生成する。不正通信検知部230は、例えば、通信情報及び統計情報(以下、これらを「分析情報」と称する。)と、記憶部210が記憶している各テーブルの情報とを対照することで、監視対象システム5において不正通信が行われているか否かを判定する。
【0073】
検知情報送信部240は、不正通信検知部230が、監視対象システム5において不正通信が行われていると判定した場合に検知情報を生成し、生成した検知情報を対処系ネットワーク43を介して対処支援装置100に送信する。
【0074】
図4は、対処支援装置100が備える主な機能を説明するブロック図である。対処支援装置100は、通信監視装置20から検知情報を受信すると、当該検知情報の不正通信によって影響を受ける可能性のある業務を特定し、当該不正通信に対する対処案を生成する。また、対処支援装置100は、生成した対処案を実施した場合に業務に与える影響を示す指標である業務影響値を求め、求めた業務影響値に基づき、生成した対処案の自動実施の可否を判定する。
【0075】
同図に示すように、対処支援装置100は、記憶部110、システム情報管理部120、検知情報受信部130、対処案生成部140、自動実施可否判定部150、対処命令送信部160、及び対処情報送信部170の各機能を有する。
【0076】
上記機能のうち、記憶部110は、業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213を記憶する。これらの情報については、図3に示したシステム情報(業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213)と同様であるので説明を省略する。尚、対処支援装置100は、これらの情報を、対処案の生成や、生成した対処案についての業務影響値の算出に際して参照する。
【0077】
システム情報管理部120は、業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213を管理する。尚、通信監視装置20と対処支援装置100との間でシステム情報を共有管理するようにしてもよい。
【0078】
検知情報受信部130は、通信監視装置20から送られてくる検知情報を受信する。
【0079】
対処案生成部140は、検知情報に基づき、当該検知情報の不正通信により影響を受ける可能性のある業務を特定し、当該不正通信に対する一つ以上の対処案を生成する。具体的には、対処案生成部140は、当該検知情報と、記憶部110が記憶しているシステム情報(業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213)とに基づき、当該不正通信に関係する業務装置と当該不正通信によって影響を受ける可能性のある業務を特定する。また、対処案生成部140は、生成した対処案を実施した場合の業務影響値を求める。対処案生成部140は、ある業務について何らかの対処を現在実施中である場合、実施中の全ての対処の影響値の合計値に、新たに生成した対
処案を実施した場合の影響値を加算することにより業務影響値を求める。業務影響値の算出方法の詳細については後述する。尚、対処案生成部140が、生成した各対処案について、業務装置の稼働状況や業務の実施状況を考慮して推奨順位を付与し、各対処案と夫々の推奨順位を管理者2に提示し、実施を希望する推奨順位をユーザインタフェースを介して管理者2に選択させるようにしてもよい。
処案を実施した場合の影響値を加算することにより業務影響値を求める。業務影響値の算出方法の詳細については後述する。尚、対処案生成部140が、生成した各対処案について、業務装置の稼働状況や業務の実施状況を考慮して推奨順位を付与し、各対処案と夫々の推奨順位を管理者2に提示し、実施を希望する推奨順位をユーザインタフェースを介して管理者2に選択させるようにしてもよい。
【0080】
自動実施可否判定部150は、対処案の業務影響値を予め設定された閾値と比較することにより、当該対処案が自動実施可能か否かを判定する。当該対処案が自動実施可能と判定した場合、自動実施可否判定部150は、対処実行装置30に対処命令を送信する。一方、当該対処案が自動実施不可であると判定した場合、自動実施可否判定部150は、当該対処案の内容、当該対処案を実施することにより影響が生じる業務を示す情報、当該対処案の業務影響値等を含む情報である対処情報を生成し、生成した対処情報を管理者装置40へ送信し、当該対処案を実施するか否かについての意志表示を受け付ける。
【0081】
対処命令送信部160は、対処案を実施する場合に対処実行装置30に対処命令を送信する。
【0082】
対処情報送信部170は、対処案を自動実施しない場合に管理者装置40に対処情報を送信する。
【0083】
図5は、対処実行装置30が備える主な機能を説明するブロック図である。対処実行装置30は、対処支援装置100から対処命令を受信し、受信した対処命令に基づき、対処業務装置に、制御コマンドや制御ロジック(所定の処理や演算を実行することで実現されるコントローラ61の制御シーケンス)を送信する。
【0084】
同図に示すように、対処実行装置30は、記憶部310、対処情報受信部320、制御ロジック構成部330、及び制御コマンド送信部340の各機能を有する。
【0085】
上記機能のうち、記憶部310は、監視対象システム5の業務装置の夫々が対応している、制御コマンドや制御ロジックに関する情報が管理される制御ロジックテーブル311を記憶する。
【0086】
対処情報受信部320は、通信装置16を介して、対処支援装置100から送られてくる対処命令を受信し、受信した対処命令を制御ロジック構成部330に入力する。
【0087】
制御ロジック構成部330は、対処情報受信部320から入力される対処命令に対応する、対処業務装置に送信する制御コマンドや制御ロジックを制御ロジックテーブル311から取得し、取得した制御コマンドや制御ロジックを対処命令として制御コマンド送信部340に入力する。
【0088】
制御コマンド送信部340は、制御ロジック構成部330から入力される対処命令を対処業務装置に送信し、対処業務装置に対処のための処理を実行させる。尚、制御コマンド送信部340が、対処業務装置から、上記処理の結果を示す情報を受信し、受信した上記情報を対処支援装置100に転送するようにしてもよい。これにより対処支援装置100は、対処業務装置における対処の実施状況を把握することができる。またその場合に、対処支援装置100が、把握した実施状況を示す情報を管理者装置40に送信し、管理者装置40が上記情報を受信してその内容を管理者2に提示するようにしてもよい。これにより管理者2は対処案の実施状況を効率よく把握することができる。
【0089】
続いて、セキュリティ管理システム1において行われる処理について説明する。
【0090】
図10は、監視対象システム5における不正通信の監視に際してセキュリティ管理システム1が行う処理(以下、「不正通信監視処理S1000」と称する。)を説明するシーケンス図である。以下、同図とともに不正通信監視処理S1000について説明する。
【0091】
通信監視装置20は、情報系ネットワーク51についてはミラーポート41を介して、制御系ネットワーク52についてはミラーポート42を介して、夫々を流れるパケットを取得し、監視対象システム5において不正通信が行われていないかをリアルタイムに監視している(S1010:NO)。通信監視装置20は、不正通信を検知すると(S1010:YES)、当該不正通信の検知情報を対処支援装置100に送信する。
【0092】
尚、不正通信は、例えば、ホワイト通信テーブル212に存在する通信経路の通信のうち、制御情報テーブル214の内容に適合しない内容の通信をいう。上記の適合しない内容の通信として、例えば、以下の通信がある。
【0093】
(1)制御情報テーブル214の制御プロトコル912に格納されている制御プロトコル以外の制御プロトコルを用いた通信(利用可能な制御プロトコルを逸脱した通信)
(2)制御情報テーブル214の制御コマンド913に格納されている制御コマンド以外の制御コマンドを用いた通信(利用可能な制御コマンドを逸脱した通信)
(3)制御情報テーブル214の制御パラメータ914に格納されている制御パラメータ以外の制御パラメータを用いた通信(利用可能な制御パラメータを逸脱した通信)
(4)通信周期が制御情報テーブル214の通信周期915に格納されている通信周期から大きく逸脱する通信(予め設定された許容範囲を超える通信周期で行われた通信)
(2)制御情報テーブル214の制御コマンド913に格納されている制御コマンド以外の制御コマンドを用いた通信(利用可能な制御コマンドを逸脱した通信)
(3)制御情報テーブル214の制御パラメータ914に格納されている制御パラメータ以外の制御パラメータを用いた通信(利用可能な制御パラメータを逸脱した通信)
(4)通信周期が制御情報テーブル214の通信周期915に格納されている通信周期から大きく逸脱する通信(予め設定された許容範囲を超える通信周期で行われた通信)
【0094】
尚、本実施形態では、ホワイト通信テーブル212に存在しない通信経路で行われる通信については、例えば、ルーティングの設定、ファイアウォール、セキュリティ対策ソフトウェア等の他のセキュリティ対処の仕組みにより遮断されるものとする。
【0095】
検知情報は、例えば、不正通信の通信経路の通信経路ID、不正の具体的な内容(逸脱している制御プロトコル、逸脱している制御コマンド、逸脱している制御パラメータ、逸脱している通信周期)を示す情報を含む。
【0096】
対処支援装置100は、通信監視装置20から検知情報を受信すると、業務影響値を算出する処理(以下、「業務影響値算出処理S1011」と称する。)を実行し、受信した検知情報における不正通信に対する対処案の生成や、対処案を実施した場合の業務影響値の算出を行う。業務影響値算出処理S1011の詳細については後述する。
【0097】
続いて、対処支援装置100は、生成した対処案を自動実施するか否かを判定する(S1012)。具体的には、対処支援装置100は、業務影響値算出処理S1011で求めた業務影響値が予め設定された閾値未満(業務影響値<閾値)であれば自動実施すると判定し(S1012:YES)、業務影響値算出処理S1011で求めた業務影響値が予め設定された閾値以上(業務影響値≧閾値)であれば自動実施しないと判定する(S1012:YES)。
【0098】
自動実施すると判定した場合(S1012:YES)、対処支援装置100は、対処案に対応する対処命令を生成し、生成した対処命令を対処実行装置30に送信する(S1017)。対処実行装置30は、対処支援装置100から対処命令を受信すると制御命令を生成し、生成した制御命令を対処業務装置に送信する(S1018)。対処業務装置は、制御命令を受信すると、当該制御命令に従った制御を実行する(S1019)。
【0099】
一方、自動実施しないと判定した場合(S1012:NO)、対処支援装置100は、対処情報を生成し、生成した対処情報を管理者装置40に送信する。管理者装置40は、対処情報を受信すると、受信した対処情報の内容を管理者2に提示し、当該対処案を実施するか否かについての意思表示の入力を受け付ける(S1013)。管理者2は、提示された対処情報の内容を確認し、当該対処案を実施するか否かの判断結果を管理者装置40に入力する(S1014)。管理者装置40は、入力された内容(以下、「判断結果」と称する。)を対処支援装置100に送信する(S1015)。
【0100】
図12に、S1013で管理者2から対処案を実施するか否かについての意思表示を受け付ける際に対処支援装置100が表示する画面(以下、「対処案実施可否指定画面1200」と称する。)の一例を示す。例示する対処案実施可否指定画面1200では、2つの対処案を提示し、符号1211,1212で示すボタン(「実施する」、「実施しない」)の操作を促すことにより、各対処案の実施可否についての意志表示を管理者2から受け付けている。尚、対処案実施可否指定画面1200には、対処案と共に、当該対処案を実施することにより影響が生じる業務の名称や、業務に与える影響の大きさ(業務影響値)を表示してもよい。これらの情報を表示することで、管理者2に対し、対処案の選択や実施の判断を支援することができる。
【0101】
図10に戻り、対処支援装置100は、管理者装置40から判断結果を受信すると、受信した判断結果の内容に基づき、当該対処案を実施するか否かを判定する(S1016)。当該対処案を実施すると判定すると、対処支援装置100は、対処案に対応する対処命令を生成し、生成した対処命令を対処実行装置30に送信する(S1017)。尚、前述と同様、対処実行装置30は、対処命令を受信すると、制御命令を生成し、生成した制御命令を業務装置に送信する(S1018)。また、業務装置は、制御命令を受信すると、当該制御命令に従った制御を実行する(S1019)。
【0102】
【0103】
まず、対処支援装置100は、通信監視装置20から検知情報を受信する(S1111)。
【0104】
続いて、対処支援装置100は、受信した検知情報に記載されている不正通信が監視対象システム5に与える影響範囲(不正通信の影響を受ける可能性のある業務装置)を特定する(S1112)。具体的には、まず、対処支援装置100は、検知情報に含まれている不正通信の通信経路に関する情報(送信元アドレス、宛先アドレス、送信元ポート、宛先ポート)をホワイト通信テーブル212と対照することにより不正通信の通信経路を特定する。続いて、対処支援装置100は、特定した通信経路を利用する業務を業務情報テーブル213から特定する。続いて、対処支援装置100は、特定した業務を業務装置情報テーブル211と対照することにより、特定した業務を実行する業務装置を特定する。
【0105】
続いて、対処支援装置100は、S1112で特定した業務装置について実施可能な対処案を一つ以上生成する(S1113)。例えば、対処支援装置100は、業務装置情報テーブル211を参照し、特定した業務装置が代替装置を有しているか否かを判定する。そして、対処支援装置100は、特定した業務装置が代替装置を有していれば、「特定した業務装置が行っている業務を代替装置に代替させる」という対処案を生成する。また、例えば、対処支援装置100は、業務装置情報テーブル211を参照し、特定した業務装置が自律制御可能か否かを判定する。そして、対処支援装置100は、特定した業務装置が自律制御が可能であれば、「特定した業務装置を自律制御に切り換え、当該業務装置を利用中の通信経路から切り離す」という対処案を生成する。尚、例えば、対処支援装置1
00が、不正通信の内容に応じて対処案を生成するようにしてもよい。また、例えば、対処支援装置100が、過去の不正通信の履歴と当該不正通信について行った対処の履歴とを含む情報を蓄積管理しておき、当該情報に基づき(例えば、履歴を学習した機械学習モデルを用いて)、対処案を生成するようにしてもよい。
00が、不正通信の内容に応じて対処案を生成するようにしてもよい。また、例えば、対処支援装置100が、過去の不正通信の履歴と当該不正通信について行った対処の履歴とを含む情報を蓄積管理しておき、当該情報に基づき(例えば、履歴を学習した機械学習モデルを用いて)、対処案を生成するようにしてもよい。
【0106】
続いて、対処支援装置100は、生成した対処案について業務影響値を求める(S1114)。まず、対処支援装置100は、次式に基づき影響値を求める。
[数1]
影響値=影響基準×業務通信重要度×業務稼働状態 (式1)
[数1]
影響値=影響基準×業務通信重要度×業務稼働状態 (式1)
【0107】
上式における影響基準は、対処案が業務に与える影響のベース値であり、管理者2が予め監視対象システム5において行われる各業務について設定した値である。本例では、影響基準は、「0」から「1」の値(値が大きい程、業務への影響が大きくなる)をとるものとする。例えば、制御通信の遮断や装置の停止等のように業務で必要な通信が不可能になるような場合には、影響基準に「1」が設定される。また、例えば、対処案が縮退運転や自律制御である場合は業務に与える影響が限られるため、影響基準に「0.5」等の中間的な値が設定される。また、代替案が代替装置への切り換えである場合は業務を継続可能であるので、影響基準に「0」が設定される。尚、業務情報テーブル213(図8を参照)における業務優先度814の値に応じて影響基準の値を調整する(例えば、優先度の高い業務ほど影響基準の値を大きくする等)ようにしてもよい。
【0108】
上式における業務通信重要度は、対処案を実施することにより影響を受ける可能性のある、S1112で特定した通信経路のホワイト通信テーブル212における業務通信重要度717の値であり、前述したように「0」~「1」の値(「1」が最も重要度が高く、「0」が最も重要度が低い)が設定される。
【0109】
上式における業務稼働状態には、「1」又は「0」のいずれかの値が設定される。当該業務(対処案を実施した場合に影響を受ける可能性のある通信経路を利用する業務)が現在稼働中であれば、業務稼働状態には「1」が、当該業務が現在稼働中でない場合は、業務稼働状態には「0」が設定される。このように、業務が現在稼働中である場合は、業務に影響が生じる可能性があるため、式1から求められる影響値は「0」以外の値になる。尚、対処支援装置100は、例えば、業務情報テーブル213の稼働期間312と現在時刻とを対照することにより当該業務の業務稼働状態を取得する。
【0110】
続いて、対処支援装置100は、S1112で特定した、不正通信により影響を受ける業務について、現在実施中の対処案の業務影響値nを取得する。尚、当該業務について現
在実施中の対処案が無い場合、業務影響値nは「0」であり、この場合は影響値がそのま
ま業務影響値n+1となる。
在実施中の対処案が無い場合、業務影響値nは「0」であり、この場合は影響値がそのま
ま業務影響値n+1となる。
【0111】
続いて、対処支援装置100は、次式に示すように、現在、当該業務について既に実施している(現在適用中の)対処案の影響値の合計である業務影響値nに、S1113で生
成した対処案の影響値を加算することにより業務影響値n+1を求める。
[数2]
業務影響値n+1=業務影響値n+影響値 (式2)
成した対処案の影響値を加算することにより業務影響値n+1を求める。
[数2]
業務影響値n+1=業務影響値n+影響値 (式2)
【0112】
以上で業務影響値算出処理S1011は終了し、上式から求めた業務影響値n+1を戻り
値(業務影響値)として、処理は図10に戻り、S1012の処理に進む。
値(業務影響値)として、処理は図10に戻り、S1012の処理に進む。
【0113】
尚、対処支援装置100は、図10のS1017で対処命令を生成した場合(即ち、新たな対処を行った場合)、記憶している業務影響値nを、新たに求めた業務影響値n+1で更
新する。
新する。
【0114】
以上、詳細に説明したように、本実施形態のセキュリティ管理システム1は、対処案が業務に与える影響を評価し、影響が小さいと判定した場合は対処案を自動実施するので、業務に与える影響が小さい対処案については迅速に実施することができ、セキュリティ性能の向上を図ることができる。また、管理者2は意志表示をする必要がないため、その場合は管理者2の負担軽減を図ることができる。また、業務への影響が大きいと判定した場合は、管理者2の意志表示の内容(判断)に基づき対処案を実施するか否かが決定されるので、業務への影響を考慮しつつ不正通信に対して適切な対応を取ることができる。
【0115】
以上、実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれ、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることや、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。
【符号の説明】
【0116】
1 セキュリティ管理システム、2 管理者、5 監視対象システム、10 情報処理装置、20 通信監視装置、100 対処支援装置、110 記憶部、120 システム情報管理部、130 検知情報受信部、140 対処案生成部、150 自動実施可否判定部、160 対処命令送信部、170 対処情報送信部、210 記憶部、211 業務装置情報テーブル、212 ホワイト通信テーブル、213 業務情報テーブル、214
制御情報テーブル、220 システム情報管理部、230 不正通信検知部、240 検知情報送信部、30 対処実行装置、310 記憶部、311 制御ロジックテーブル、320 対処情報受信部、330 制御ロジック構成部、340 制御コマンド送信部、40 管理者装置、43 対処系ネットワーク、50 制御サーバ、51 情報系ネットワーク、52 制御系ネットワーク、61 コントローラ、71 アクチュエータ、72 センサ、S1000 不正通信監視処理、S1011 業務影響値算出処理、1200 対処案実施可否指定画面
制御情報テーブル、220 システム情報管理部、230 不正通信検知部、240 検知情報送信部、30 対処実行装置、310 記憶部、311 制御ロジックテーブル、320 対処情報受信部、330 制御ロジック構成部、340 制御コマンド送信部、40 管理者装置、43 対処系ネットワーク、50 制御サーバ、51 情報系ネットワーク、52 制御系ネットワーク、61 コントローラ、71 アクチュエータ、72 センサ、S1000 不正通信監視処理、S1011 業務影響値算出処理、1200 対処案実施可否指定画面
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】