知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024127085
(43)【公開日】2024-09-20
(54)【発明の名称】情報処理装置及び情報処理方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20240912BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023035961
(22)【出願日】2023-03-08
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000925
【氏名又は名称】弁理士法人信友国際特許事務所
(72)【発明者】
【氏名】小倉 貴志
(72)【発明者】
【氏名】藤田 淳也
(72)【発明者】
【氏名】亀田 貴之
(57)【要約】
【課題】対象システム又は構成要素に関連がある脅威事象が報告や観測された際に迅速な対応/対策を可能にする。
【解決手段】対象システム300を構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において一方の要素から他方の要素に対する方向を示す信頼の方向とを用いて、要素の中から予め設定した信頼のレベルの条件を満たす要素を、脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する確認要素決定部102と、確認要素について、少なくとも各要素間の信頼のレベルと信頼の方向に基づいて、確認作業を実施する順番を決定する確認順序決定部103と、を備える。
【選択図】図1
【解決手段】対象システム300を構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において一方の要素から他方の要素に対する方向を示す信頼の方向とを用いて、要素の中から予め設定した信頼のレベルの条件を満たす要素を、脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する確認要素決定部102と、確認要素について、少なくとも各要素間の信頼のレベルと信頼の方向に基づいて、確認作業を実施する順番を決定する確認順序決定部103と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
対象システムを構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において前記一方の要素から前記他方の要素に対する方向を示す信頼の方向とを用いて、前記要素の中から予め設定した前記信頼のレベルの条件を満たす要素を、前記脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する確認要素決定部と、
前記確認要素について、少なくとも各要素間の前記信頼のレベルと前記信頼の方向に基づいて、前記確認作業を実施する順番を決定する確認順序決定部と、を備える
情報処理装置。
前記確認要素について、少なくとも各要素間の前記信頼のレベルと前記信頼の方向に基づいて、前記確認作業を実施する順番を決定する確認順序決定部と、を備える
情報処理装置。
【請求項2】
前記確認順序決定部は、前記基点の要素から前記確認要素までの通信路上の距離と、前記信頼のレベルとに基づいて、前記確認要素の確認作業を実施する順番を決定する
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項3】
前記確認要素決定部は、前記要素の中から抽出した前記信頼のレベルの条件を満たす要素を起点にして、前記信頼のレベルの条件を満たす要素を抽出する
請求項2に記載の情報処理装置。
請求項2に記載の情報処理装置。
【請求項4】
前記脅威事象と前記要素との関係に基づいて、前記対象システムを構成する要素の中から前記脅威事象に関連する要素を選択して基点に決定する基点決定部、を備える
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項5】
前記信頼のレベル及び前記信頼の方向に対して1以上の評価項目の属性が付与され、
前記脅威事象と、前記信頼のレベル及び前記信頼の方向に対して付与された評価項目との関連に基づいて、前記信頼のレベルを更新する更新部、を備える
請求項1に記載の情報処理装置。
前記脅威事象と、前記信頼のレベル及び前記信頼の方向に対して付与された評価項目との関連に基づいて、前記信頼のレベルを更新する更新部、を備える
請求項1に記載の情報処理装置。
【請求項6】
前記確認要素決定部は、さらに前記信頼のレベルの条件に関係なく、指定された業務内容に関連した要素を前記確認要素に決定し、
前記確認順序決定部は、すべての前記確認要素のうち前記業務内容に関連した要素を最優先の順番に決定する
請求項1に記載の情報処理装置。
前記確認順序決定部は、すべての前記確認要素のうち前記業務内容に関連した要素を最優先の順番に決定する
請求項1に記載の情報処理装置。
【請求項7】
情報処理装置による情報処理方法であって、
対象システムを構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において前記一方の要素から前記他方の要素に対する方向を示す信頼の方向とを用いて、前記要素の中から予め設定した前記信頼のレベルの条件を満たす要素を、前記脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する処理と、
前記確認要素について、少なくとも各要素間の前記信頼のレベルと前記信頼の方向に基づいて、前記確認作業を実施する順番を決定する処理と、を含む
情報処理方法。
対象システムを構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において前記一方の要素から前記他方の要素に対する方向を示す信頼の方向とを用いて、前記要素の中から予め設定した前記信頼のレベルの条件を満たす要素を、前記脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する処理と、
前記確認要素について、少なくとも各要素間の前記信頼のレベルと前記信頼の方向に基づいて、前記確認作業を実施する順番を決定する処理と、を含む
情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、産業制御システム等のシステムに適用して好適な情報処理装置及び情報処理方法に関する。
【背景技術】
【0002】
DX(Digital Transformation)に伴い、多様かつ多数の要素(装置、OS(Operating System)、ソフトウェア、サブシステム、クラウドなど)が複雑に絡み合い産業制御システム等のシステムが構成されるようになる。システムに対する脅威事象(攻撃の予兆や痕跡など)が観測/報告された場合には、迅速に対応することが求められる。
【0003】
特許文献1には、システムの要件情報及び影響情報を用いて、要件情報に示される該システム要件の充足度に基づき1以上のセキュリティ対策技術を順位付けすることが記載されている。影響情報は、1以上のセキュリティ対策技術を示す情報と、その1以上のセキュリティ対策技術に含まれるそれぞれのセキュリティ対策技術をシステムに導入した際に該システムに与える影響を示す情報と、の対応関係を示す情報である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2021-144268号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、DXに伴う産業制御システム等のシステムに関連する要素の多様化と関係性の複雑化により、脅威事象の影響が及んだ範囲、又は将来的にその影響が及ぶと考えられる範囲の特定に時間(工数)がかかる。様々な要素が複雑に絡み合うシステムにおいて、観測/報告された脅威事象に迅速に対応し該システムをセキュアに運用したいという要望がある。
【0006】
本発明は、上記の状況に鑑みてなされたものであり、本発明は、対象システム又は構成要素に関連がある脅威事象が報告又は観測された際に、迅速な対応/対策を可能にする手法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明の一態様の情報処理装置は、対象システムを構成する要素の中から脅威事象に関連する要素を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベルと、各要素間において一方の要素から他方の要素に対する方向を示す信頼の方向とを用いて、要素の中から予め設定した信頼のレベルの条件を満たす要素を、脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する確認要素決定部と、確認要素について、少なくとも各要素間の信頼のレベルと信頼の方向に基づいて、確認作業を実施する順番を決定する確認順序決定部と、を備える。
【発明の効果】
【0008】
本発明の少なくとも一態様によれば、効率的に脅威事象の影響範囲(要素)を絞り込むことができるため、脅威事象への迅速な対応が可能となる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0009】
【図1】本発明の第1の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。
【図2】本発明の第1の実施形態に係るトラステッドシステムのハードウェア構成の例を示す図である。
【図3】産業制御システムの例を示す図である。
【図4】本発明の第1の実施形態に係る信頼の方向とレベルの例を示す図である。
【図5】本発明の第1の実施形態に係る脅威情報テーブルの例を示す図である。
【図6】本発明の第1の実施形態に係る確認要素決定部による確認要素決定処理の手順例を示すフローチャートである。
【図7】本発明の第1の実施形態に係る確認順序決定部による確認順序決定処理の手順例を示すフローチャートである。
【図8】本発明の第1の実施形態において産業制御システムの脅威事象に影響する要素を特定するための確認作業の順序の例を示す図である。
【図9】本発明の第2の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。
【図10】本発明の第2の実施形態に係る信頼の方向とレベルと属性の例を示す図である。
【図12】本発明の第3の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である
【図13】本発明の第3の実施形態に係る業務情報の例を示す図である。
【図14】本発明の第3の実施形態に係る確認要素決定部による確認要素決定処理の手順例を示すフローチャートである。
【図15】本発明の第3の実施形態に係る確認順序決定部による確認順序決定処理の手順例を示すフローチャートである。
【図16】本発明の第3の実施形態において産業制御システムの脅威事象に影響する要素を特定するための確認作業の順序の例を示す図である。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための形態(以下、「実施形態」と称する)の例について、添付図面を参照して説明する。本明細書及び添付図面において、同一の構成要素又は実質的に同一の機能を有する構成要素には同一の符号を付して重複する説明を省略する。
【0011】
<第1の実施形態>
[トラステッドシステムの構成]
まず、本発明の第1の実施形態に係るトラステッドシステムの構成について、図1を用いて説明する。
図1は、第1の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。トラステッドシステム100は、対象システム(例えば、後述する図3の産業制御システム300)を構成する要素に関連した脅威事象の影響が及ぶ範囲を特定するシステムである。トラステッドシステム100は、情報処理装置の一例である。トラステッドシステム100は少なくとも対象システムに対して一つ接続され、対象システムで観測/報告された脅威事象の情報がトラステッドシステム100に入力される。
[トラステッドシステムの構成]
まず、本発明の第1の実施形態に係るトラステッドシステムの構成について、図1を用いて説明する。
図1は、第1の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。トラステッドシステム100は、対象システム(例えば、後述する図3の産業制御システム300)を構成する要素に関連した脅威事象の影響が及ぶ範囲を特定するシステムである。トラステッドシステム100は、情報処理装置の一例である。トラステッドシステム100は少なくとも対象システムに対して一つ接続され、対象システムで観測/報告された脅威事象の情報がトラステッドシステム100に入力される。
【0012】
対象システム情報入力部110は、対象システムに関する情報(以下「対象システム情報」)を、トラステッドシステム100に入力する。対象システム情報(システム構成と要素)は、対象システム情報記憶部104に格納される。対象システム情報入力部110は、例えば、PC等の通信端末の入力装置、又は外部装置と通信を行う通信デバイスを用いて構成することができる。
【0013】
対象システム情報には、対象システムを構成する要素(装置、OS、ソフトウェア、サブシステム、クラウドなど)の情報と、システム構成の情報が含まれる。システム構成の情報は、複数の要素の接続形態を示す情報である。この接続形態は、物理的な接続関係(物理ネットワーク)と論理的な接続関係(論理ネットワーク)に分けられる。大まかにいえば、物理的な接続関係とは、要素としてネットワークスイッチを反映した接続関係であり、論理的な接続関係とは、要素としてネットワークスイッチを省いた接続関係である。
【0014】
トラスト情報入力部120は、対象システムの複数の要素間での信頼に関する情報(以下「トラスト情報」)を、トラステッドシステム100に入力する。トラスト情報には、信頼の方向(トラスト方向)の情報と、信頼のレベル(トラストレベル)の情報が含まれる。トラスト情報は、対象システム情報記憶部104に格納される。トラスト情報入力部120は、例えば、PC等の通信端末の入力装置、又は外部装置と通信を行う通信デバイスを用いて構成することができる。トラスト情報(トラスト方向、トラストレベル)については、後述の図4を参照して詳述する。
【0015】
トラスト方向とは、対象システムを構成する一の要素を起点として、この一の要素と接続する他の要素をみた場合の方向である。例えば、機器Aから機器Bを見た場合、トラスト方向は“機器Aから機器Bへ向かう方向”となる。
【0016】
トラストレベルとは、ある機器や対象システムから見て対象の信頼の高さを表す情報である。トラストレベルは、要素自体又は要素の管理の状態についての情報を用いて判断される。本実施形態では、トラストレベルを定性的又は/及び定量的に評価する。
【0017】
トラストレベルは、「真正性」、「信頼性」、「保護性」の1つ、又は複数の評価項目を総合的にみて判断することができる。例えば、トラストレベルを設定する方法として、各評価項目の評価内容を点数化してそれらの合計ポイントに基づいてトラストレベルを設定(定量的評価)する方法が考えられる。また、他の方法として、各評価項目の点数のうち最高点及び/又は最低点を選択して、その最高点及び/又は最低点に基づいてトラストレベルを設定する方法でもよい。さらに、これらの評価項目及びその点数を表示装置に出力し、人間が各評価項目の点数を確認してトラストレベルを設定してもよい。これは、定性的評価の一種と言える。
【0018】
真正性は、対象の要素が、それが何であるかの記述や主張どおり本物であること、また、本物であることを確実にしたり証明したりできる性質を示す項目である。また、真正性は、要素が出力するデータの場合、作成者や送信者(又はデータを出力する要素)に偽りや誤りがなく、作成や送信が行われて以降、システムの誤作動や何者かの悪意ある操作などで内容が消去、改ざん、すり替えなどされていない状態を指す。
【0019】
真正性を担保する仕組みとしては、例えば、電子署名による作成者や送信者の検証、ハッシュ値やメッセージ認証などによる改ざん検知、暗号化による盗み取りや改ざんの防止などの技術がある。この真正性については、産業制御システムで用いられている製品の製造番号、IPアドレス、又は通信機能を備えた装置のMACアドレスなどで確認する方法もある。
【0020】
信頼性とは、一定の条件下で安定して期待された役割を果たすことができる能力(故障など能力の発揮を妨げる事象(意図しない変な動き)の起こりにくさ、故障や破損のしにくさ)を示す項目である。信頼性は、システムの脆弱性に対する対策状況を示す情報と言える。
【0021】
信頼性の評価方法として、ISO(International Organization for Standardization)などの国際期間が定めた規格を利用する方法がある。例えば、情報セキュリティに関する管理の仕組みであるISO27000シリーズの認証を受けたメーカーが作る製品は、一定の信頼性があると評価できる。
【0022】
保護性は、システム運用の妨害(破壊)や情報の搾取や改ざんなどの脅威からの保護、又はそのために講じる措置や対策の強さを示す項目である。例えば、コンピュータやソフトウェア、データ、通信路などを暗号化ソフトウェアや防御ソフトウェア、アクセス制御機構などを用いて技術的に保護し、機密情報の漏洩や通信の盗聴、データの改ざんや消去、コンピュータへの攻撃や侵入などの危険を排除する。さらに、システムの保護には、物理的対策(防塵、防火、防水等)、盗難対策がある。
【0023】
トラストレベルの判断には、主に以下の3パターンが考えられる。
(A)ある範囲で統一的な尺度で判断する(範囲の例:組織などの絶対的な範囲(会社、工場、支社、製造部門など)、図3のゲートウェイ30が関わる範囲)
(B)起点要素との対比で決める(相対的判断)
(C)起点要素からの要求によって決める(絶対的判断)
(A)ある範囲で統一的な尺度で判断する(範囲の例:組織などの絶対的な範囲(会社、工場、支社、製造部門など)、図3のゲートウェイ30が関わる範囲)
(B)起点要素との対比で決める(相対的判断)
(C)起点要素からの要求によって決める(絶対的判断)
【0024】
相対的判断では、起点要素からみた相手側要素の状況も加味してトラストレベルが設定される。例えば、相手側要素のセキュリティ対策が起点要素よりも充実している場合はトラストレベルが高くなり、その逆の場合にはトラストレベルが低くなる。
【0025】
絶対的判断では、起点要素ごとにトラストレベル設定のための絶対的基準を持ち、相手側要素の状況に関わらず絶対的基準を満たすかどうかでトラストレベルが設定される。例えば、相手側要素のセキュリティ対策がある基準を満たす場合にはトラストレベル“2”、基準を満たさない場合にはトラストレベル“1”のように設定される。
【0026】
トラストレベルの判断に資する情報とトラストレベルの一例を以下に示す。ここでは、トラストレベルの判断に資する情報は、主にシステムを構成する要素自体又は要素の管理の状態についての情報である。カッコ内の数値が大きくなるほどトラストレベルが高い。
(1)対策なし
(2)システムリソース管理(≒システム内部の構成情報の把握、構成情報にはソフトウェア的な情報(ファームウェア等)も含む)
(3)定期点検(人手又は自動で点検)
(4)自動セキュリティパッチ適用(自動対策していることを意味し、点検の結果必要ならばパッチを適用)
(1)対策なし
(2)システムリソース管理(≒システム内部の構成情報の把握、構成情報にはソフトウェア的な情報(ファームウェア等)も含む)
(3)定期点検(人手又は自動で点検)
(4)自動セキュリティパッチ適用(自動対策していることを意味し、点検の結果必要ならばパッチを適用)
【0027】
トラスト方向とトラストレベルは、人が入力、又は自動で決定することができる。例えば、システム管理の経験者やシステムの責任者が、開発工程/製造工程の情報などを手入力する。また、ロジックが定まっていれば、自動でトラスト方向とトラストレベルを決定することも可能である。例えば、情報を以下の手段で集めて自動で判定し、判定結果を入力する仕組みも考えられる。この場合、収集した情報を上述した3つの項目に分類し、各項目に分類した情報を判定してトラスト方向とトラストレベルを決定する。収集する情報には、例えば外部情報、撮影情報、内部情報などがある。なお、情報を収集する方法については、周知慣用の技術を用いることができる。
【0028】
外部情報は、インターネットなどのネットワークを通じて外部からトラステッドシステム100が取得できる情報である。例えば、クラウド301(図3参照)から取得できる情報や、産業制御システム300(図3参照)内のLANなどを通じて取得できる情報である。これらの情報としては、例えば、対象の性能や機能、仕様、諸元などをまとめたスペック表、BOM情報(部品表又は部品構成表)、脆弱性情報などがある。
【0029】
撮影情報は、システムを構成する機器(ネットワーク機器や現場機器)などの外観から得られる情報である。撮影情報には、カメラで機器の外観を撮影した画像の他に、バーコード読み取り情報なども含まれる。これらの情報には、機器の製造番号や外観状態の情報が含まれる。
【0030】
内部情報は、システムを構成する機器から収集できる機器内部の情報である。ネットワーク機器や現場機器の内部情報として、例えば、OSの種類とバージョン、セキュリティに関する設定情報などがある。システムで利用しているセキュリティ対策ソフトウェアを用いて、セキュリティに関する設定情報を取得できる。
【0031】
脅威事象入力部130は、対象システムについて観測/報告された脅威事象の情報を、トラステッドシステム100に入力する。対象システムに対する脅威事象は、例えば、対象システムに適用されたファイアウォール、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、セキュリティ対策ソフトウェア等の脅威検出手段を用いて検出することができる。また、脅威検出手段としてAI(Artificial Intelligence)を用いて対象システム内の各要素の挙動や通信データ等を解析することで、対象システムに対する脅威事象を検出することができる。脅威検出手段で検出された脅威事象の情報は、脅威事象入力部130によりトラステッドシステム100に自動的に入力されてもよいし、管理端末等を通じて人手により入力されてもよい。脅威事象入力部130は、一例として、端末装置等が備える入出力インタフェース、又は、端末装置等が備える入力装置(キーボード等)である。
【0032】
図1に示すトラステッドシステム100は、基点決定部101、確認要素決定部102、確認順序決定部103、対象システム情報記憶部104、及び脅威情報テーブル500を備える。
【0033】
対象システム情報記憶部104は、対象システム情報入力部110から入力される対象システム情報(システム構成、要素)と、トラスト情報入力部120から入力されるトラスト情報(トラスト方向、トラストレベル)を格納する。また、対象システム情報記憶部104は、基点決定部101へ対象システム情報のシステム構成を出力する。さらに、対象システム情報記憶部104は、確認要素決定部102へ対象システム情報のシステム構成及び要素と、トラスト情報を出力する。
【0034】
脅威情報テーブル500は、脅威情報と、該脅威情報に対して観測すべき要素又は関連が疑われる要素と、が対応づけられているテーブル(後述する図5参照)である。脅威情報テーブル500については、後述の図5を参照して詳述する。
【0035】
基点決定部101は、脅威事象入力部130から入力された脅威事象の情報(「脅威情報」とも称する)と、脅威情報テーブル500と、対象システム情報記憶部104に格納された対象システム情報(システム構成)とに基づいて、対象システム内の脅威事象に関連する要素を特定する。そして、特定した要素を、脅威事象の影響範囲を特定するための確認作業を実施する際の基点に決定する。例えば、脅威事象が、サーバに実装されたOSの脆弱性をついたものである場合、当該サーバが異常な動作をしてシステムに影響が及ぶので、基点はこのサーバとなる。なお、脅威事象によっては、基点が2つ以上になることもある。例えば、対象システム内で変な動きをする要素が2つある場合、基点は2つとなる。
【0036】
確認要素決定部102は、基点に決定された要素(以下「基点要素」)を基点にして、対象システム情報記憶部104に格納された対象システム情報(システム構成と要素)と、トラスト情報(トラスト方向、トラストレベル)とに基づいて、影響範囲の特定のための確認作業を実施する要素を決定(取捨選択)する。確認要素決定部102は、基点要素からみたトラストレベルが予め設定したトラストレベルよりも低い要素(以下「抽出要素」)を抽出する。続いて、確認要素決定部102は、抽出要素からみたトラストレベルが設定レベルよりも低い要素を抽出し、確認すべき要素(以下「確認要素」)として決定する。そして、確認要素決定部102は決定した1以上の確認要素(確認要素群)を、確認順序決定部103へ出力する。
【0037】
確認順序決定部103は、確認要素決定部102で決定された1以上の要素(確認要素群)について、確認作業を実施する順序(確認順序)を決定する。確認順序は、影響範囲の特定のための確認作業を実施する要素の優先順位であり、例えば、基点要素からの距離とトラストレベルに基づいて決定される。なお、条件が同じ要素については、一例として五十音順でもよい。
【0038】
確認要素/順序出力部140は、確認順序決定部103から出力された確認要素と順序の情報を、外部へ出力する。確認要素と順序の情報は、端末装置26-1,26-2(図2)へ出力される。図1では、確認要素/順序出力部140はトラステッドシステム100の外部にあるが、確認要素/順序出力部140はトラステッドシステム100に内蔵されていてもよい。
【0039】
[トラステッドシステムのハードウェア構成]
次に、トラステッドシステム100のハードウェア構成について、図2を参照して説明する。
図2は、トラステッドシステム100のハードウェア構成の例を示す図である。トラステッドシステム100は、情報処理装置20と、記憶装置24を備える。ここでは、情報処理装置20と記憶装置24を別々に設置する例を挙げたが、情報処理装置20が記憶装置24を内蔵する構成であってもよい。
次に、トラステッドシステム100のハードウェア構成について、図2を参照して説明する。
図2は、トラステッドシステム100のハードウェア構成の例を示す図である。トラステッドシステム100は、情報処理装置20と、記憶装置24を備える。ここでは、情報処理装置20と記憶装置24を別々に設置する例を挙げたが、情報処理装置20が記憶装置24を内蔵する構成であってもよい。
【0040】
情報処理装置20は、バスにそれぞれ接続された処理部21と、メモリ22と、入出力インタフェース(図中「I/F」)23を備える。処理部21、メモリ22及び入出力I/F23は、いわゆるコンピュータとして用いられるハードウェアである。
【0041】
処理部21は、メモリ22に格納されたコンピュータプログラムを実行することで、本実施形態に係る各機能(基点決定部101、確認要素決定部102、確認順序決定部103)を実現する。処理部21には、CPU(Central Processing Unit)を用いることを想定するが、CPUの代わりにMPU(Micro-Processing Unit)等のプロセッサを用いてもよい。
【0042】
メモリ22は、一例としてROM及びRAMにより構成される。RAMには、処理部21によってROMから読み出されたコンピュータプログラムや処理部21による演算処理の途中に発生した変数やパラメータ等が一時的に書き込まれる。
【0043】
記憶装置24には、不揮発性ストレージが用いられる。不揮発性ストレージとしては、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVRAM(Non-Volatile Random Access Memory)、フレキシブルディスク、光ディスク、光磁気ディスク、CD-ROM、CD-R、不揮発性のメモリカード等を用いることができる。この記憶装置24には、OS、各種のパラメータの他に、情報処理装置20のコンピュータを機能させるためのプログラム等が記録される。
【0044】
トラステッドシステム100(図1)の対象システム情報記憶部104及び脅威情報テーブル500の機能は、記憶装置24によって実現される。
【0045】
入出力I/F23は、情報処理装置20と他の装置との間で行われるデータの入力及び出力の制御を行うデバイスにより構成される。本実施形態では、他の装置として、記憶装置24、端末装置26-1,26-2などが挙げられる。なお、対象システム情報入力部110、トラスト情報入力部120、確認要素/順序出力部140を、及び後述する図12の業務情報入力部1210を、入出力I/F23を用いて構成してもよい。
【0046】
端末装置26-1は、専用回線のような閉回路網を利用して情報処理装置20と通信を行う。端末装置26-1は、オンプレミス型のシステムで利用される。エンジニアや管理者等が端末装置26-1に接続されたキーボード等の入力装置を操作することで、対象システム情報やトラスト情報が入力され、これらの情報がトラステッドシステム100の情報処理装置20に送信される。
【0047】
端末装置26-2は、ネットワーク25を介して情報処理装置20と通信を行う。端末装置26-1と同様に、エンジニアや管理者等が端末装置26-2に接続されたキーボード等の入力装置を操作することで、対象システム情報やトラスト情報が入力され、これらの情報がトラステッドシステム100の情報処理装置20に送信される。
【0048】
ネットワーク25は、例えば、Wi-Fi(登録商標)のような無線ネットワーク、又は、イーサネット(登録商標)のような複数のトポロジを提供する有線LAN(Local Area Network)である。
【0049】
インターネット27は、公衆回線網の一例である。トラステッドシステム100の情報処理装置20は、インターネット27を介して、後述の図3に示すクラウド301や外部工場302内の通信装置と通信を行う。公衆回線網は、回線事業者により提供される無線通信インフラ(無線ネットワーク)であってもよい。
【0050】
なお、端末装置26-1,26-2も、処理部21(プロセッサ)、メモリ22、入出力I/F23、及び記憶装置24(不揮発性ストレージ)を備え、処理部21がメモリ22に格納されたコンピュータプログラムを実行することで、端末装置としての機能を実現する。端末装置26-1,26-2は、対象システムの状態等の情報を表示する表示装置(図示略)と、システム管理者等による入力内容に応じた入力信号を生成する入力装置(図示略)と、を備える。
【0051】
[対象システムの例]
次に、本実施形態における対象システムの例について、図3を参照して説明する。
図3は、対象システムとしての産業制御システムの例を示す図である。図3に示す産業制御システム300は、ゲートウェイ30、制御装置31、サーバ32、サブシステム33、ロボット34、及びPC35を備える。
次に、本実施形態における対象システムの例について、図3を参照して説明する。
図3は、対象システムとしての産業制御システムの例を示す図である。図3に示す産業制御システム300は、ゲートウェイ30、制御装置31、サーバ32、サブシステム33、ロボット34、及びPC35を備える。
【0052】
ゲートウェイ30は、組織内(ここでは、産業制御システム300内)のコンピュータネットワークと、組織外の通信装置との間で行われる通信の制御を行う装置である。
【0053】
制御装置31は、産業制御システム300が備えるロボット34に制御信号を出力して、ロボット34の動作を制御する装置である。
【0054】
サーバ32は、制御装置31とサブシステム33で生成されるデータを収集、集約する装置である。また、サーバ32は、PC35と通信を行う。
【0055】
サブシステム33は、ロボット33aとコントローラ33bをまとめて制御、管理するために、産業制御システム300内に構築されたサブシステムである。
【0056】
ロボット34は、制御装置31から入力される制御信号に基づいて作業を実施するロボットであり、部品や製品のピッキング、組立などを行う。
【0057】
PC35は、サーバ32が収集したデータを処理、監視する端末装置である。PC35は、図2に示した端末装置26-1,26-2と同様のハードウェア構成を備える。すなわち、PC35は、処理部21(プロセッサ)、メモリ22、入出力I/F23、記憶装置24(不揮発性ストレージ)、表示装置、及び入力装置により構成することができる。
【0058】
このPC35には、OS36及びPCアプリケーション(図には“app”と表記)37がインストールされている。PC35は、サブシステム33のコントローラ33bと接続されており、コントローラ33bに指令を出すことができる。PC35がサブシステム33をリアルタイムで監視、制御することを可能にするため、OS36はリアルタイム処理に適したOSであることが望ましい。
【0059】
クラウド301は、産業制御システム300の情報を管理、管理し、例えばAIなどを用いて対象システム(産業制御システム300等)の稼働状態を最適化する処理を行う。一例として、クラウド301は、インターネット27に接続されたAIを備える監視サーバによって構成することができる。
【0060】
外部工場302は、産業制御システム300で生産される製品とは異なる製品を製造する工場である。外部工場302では、独自のコンピュータネットワークが構築されている。
【0061】
トラステッドシステム100は、ゲートウェイ30及びネットワークを介して、産業制御システム300と通信可能に接続されている。また、トラステッドシステム100は、観測/報告された脅威事象、対象システム情報、及びトラスト情報に基づいて、産業制御システム300を構成する要素に関連した脅威事象の影響範囲を特定する処理を行う。
【0062】
なお、上述した実施形態では、トラステッドシステム100は、ネットワーク25又はインターネット27を介して、産業制御システム300のゲートウェイ30と通信を行うものとするが、この例に限られない。トラステッドシステム100が、クラウド301を介して、産業制御システム300のゲートウェイ30と通信を行う構成としてもよい。
【0063】
[トラスト方向とトラストレベル]
次に、トラスト情報に含まれるトラスト方向とトラストレベルについて、図4を参照して説明する。
図4は、トラスト方向とトラストレベルの例を示す図である。図4に示すように、トラスト情報400は、Fromフィールド410と、Toフィールド420と、レベルフィールド430を有する。
次に、トラスト情報に含まれるトラスト方向とトラストレベルについて、図4を参照して説明する。
図4は、トラスト方向とトラストレベルの例を示す図である。図4に示すように、トラスト情報400は、Fromフィールド410と、Toフィールド420と、レベルフィールド430を有する。
【0064】
Fromフィールド410には、トラスト方向の起点要素を示す情報が格納される。
Toフィールド420には、起点要素からみた、起点要素と接続する他の要素(終点要素)を示す情報が格納される。
レベルフィールド430には、Fromフィールド410とToフィールド420の各情報により特定される要素間(トラスト方向)における、トラストレベルを示す情報が格納される。
Toフィールド420には、起点要素からみた、起点要素と接続する他の要素(終点要素)を示す情報が格納される。
レベルフィールド430には、Fromフィールド410とToフィールド420の各情報により特定される要素間(トラスト方向)における、トラストレベルを示す情報が格納される。
【0065】
図4の例では、トラスト方向として“ゲートウェイ30からクラウド301に向かう方向”では、トラストレベルは“0”に設定されている。同様に、“ゲートウェイ30から外部工場302に向かう方向”のトラストレベルは“1”である。“ゲートウェイ30からサーバ32に向かう方向”のトラストレベルは“2”である。“制御装置31からロボット34に向かう方向”のトラストレベルは“3”である。起点の要素が同じであっても相手の要素(終点要素)が変わると、トラストレベルが異なるものとなる。
【0066】
[脅威情報テーブル]
次に、脅威情報テーブルについて、図5を参照して説明する。
図5は、脅威情報テーブルに含まれる脅威情報と観測・関連要素の例を示す図である。図5に示すように、脅威情報テーブル500は、脅威情報フィールド510、観測・関連要素フィールド520を有する。この脅威情報テーブル500は、予めエンジニア又は管理者等が対象システムごとに作成して、記憶装置24に格納しておく。なお、テーブルではなく、データベースの形態で脅威情報テーブル500と同様の情報を記憶装置24に格納しておいてもよい。
次に、脅威情報テーブルについて、図5を参照して説明する。
図5は、脅威情報テーブルに含まれる脅威情報と観測・関連要素の例を示す図である。図5に示すように、脅威情報テーブル500は、脅威情報フィールド510、観測・関連要素フィールド520を有する。この脅威情報テーブル500は、予めエンジニア又は管理者等が対象システムごとに作成して、記憶装置24に格納しておく。なお、テーブルではなく、データベースの形態で脅威情報テーブル500と同様の情報を記憶装置24に格納しておいてもよい。
【0067】
脅威情報フィールド510には、予め想定される脅威事象を示す情報(以下「脅威情報」と称す)が格納される。
観測・関連要素フィールド520には、上記脅威情報に対して観測すべき要素又は関連が疑われる要素を示す情報が格納される。
観測・関連要素フィールド520には、上記脅威情報に対して観測すべき要素又は関連が疑われる要素を示す情報が格納される。
【0068】
例えば、図5の例では、“通常業務から外れた操作”という脅威情報に対して、観測・関連要素として“サーバ”が登録されている。同様に、脅威情報“不審なログインの痕跡”に対する観測・関連要素は“ゲートウェイ”である。また、脅威情報“関連業界での脆弱性をついた攻撃事例”に対する観測・関連要素は“制御装置”である。産業制御システム300のように、ロボット34やサブシステム33を要素に含むシステムの場合、関連業界は例えば産業ロボット業界である。
【0069】
基点決定部101は、脅威情報テーブル500に定義されているような脅威事象と要素との関係に基づいて、対象システムを構成する要素の中から脅威事象に関連する要素を選択して基点に決定する。すなわち、基点決定部101は、対象システムのシステム構成と、脅威事象入力部130から入力された脅威情報(観測/検出された脅威事象)を基に、脅威情報テーブル500から観測・関連要素を検索する。そして、検索した観測・関連要素とシステム構成に基づいて、脅威事象の影響範囲を特定するための確認作業の基点とする要素(例えば、後述する図8のサーバ32)を決定し、その要素を基点要素として確認要素決定部102へ通知する。
【0070】
[確認要素決定処理]
次に、本実施形態に係る確認要素決定部102による確認要素決定処理について、図6を参照して説明する。
図6は、確認要素決定部102による確認要素決定処理の手順例を示すフローチャートである。
次に、本実施形態に係る確認要素決定部102による確認要素決定処理について、図6を参照して説明する。
図6は、確認要素決定部102による確認要素決定処理の手順例を示すフローチャートである。
【0071】
まず、確認要素決定部102は、脅威情報から確認作業の対象とするトラストレベルの上限を設定する(S601)。この確認作業におけるトラストレベルの上限は、脅威情報の深刻さに基づいて決定することが望ましい。例えば、業務継続が困難になるような脅威の場合には、上限のトラストレベルを上げて確認作業を行う。
【0072】
次に、確認要素決定部102は、基点決定部101で決定された基点要素(例えば、図8のサーバ32)からみたトラストレベルが、設定した上限よりも低いレベルの要素を抽出する(S602)。上限のトラストレベルが“3”であれば、確認要素決定部102は、トラストレベルが“0”~“2”の要素を抽出する。図8の例では、制御装置31、サブシステム33、及びPC35が抽出される要素に該当する。
【0073】
次に、確認要素決定部102は、この抽出した要素からみたトラストレベルが設定した上限よりも低いトラストレベルの要素を抽出する(S603)。このように、確認要素決定部102は、要素の中から抽出した信頼のレベル(トラストレベル)の条件を満たす要素を起点にして、信頼のレベルの条件を満たす要素を抽出する。つまり、確認要素決定部102は、ステップS602で抽出した要素をトラスト方向の起点として、上限よりも低いトラストレベルの要素を抽出する。そして、確認要素決定部102は、ステップS602で抽出したすべての要素を起点として上記条件を満たす要素の抽出可否を確認する。
【0074】
次に、確認要素決定部102は、ステップS602及びステップ603で抽出したすべての要素について該要素を基点として上記条件を満たす要素の抽出可否を確認したかどうかを判定する(S604)。ここで、抽出したすべての要素を基点として上記条件を満たす要素の抽出可否を確認していない場合は(S604のNO判定)、確認要素決定部102は、ステップS603に戻って、上記条件を満たす要素の抽出可否を確認する。すなわち、確認要素決定部102は、上限よりも低いトラストレベルの要素がなくなるまで、ステップS603における上記条件を満たす要素の抽出処理を行う。
【0075】
ステップS604において、抽出したすべての要素を基点として上記条件を満たす要素の抽出可否を確認した場合には(S604のYES判定)、確認要素決定部102は、ステップS602及びS603で抽出された要素を確認要素とするデータを生成し、メモリ22に記憶する(S605)。ステップS605の処理が終了後、確認要素決定処理を終了する。
【0076】
[確認順序決定処理]
次に、本実施形態に係る確認順序決定部103による確認順序決定処理について、図7を参照して説明する。
図7は、確認順序決定部103による確認順序決定処理の手順例を示すフローチャートである。
次に、本実施形態に係る確認順序決定部103による確認順序決定処理について、図7を参照して説明する。
図7は、確認順序決定部103による確認順序決定処理の手順例を示すフローチャートである。
【0077】
まず、確認順序決定部103は、図6のステップS605において確認要素決定部102で生成した確認要素のデータを読み込む(S701)。
【0078】
次に、確認順序決定部103は、基点要素から確認要素までの距離とトラストレベルとに基づいて確認要素を並べ替える(S702)。並べ替えの一例としては、第1にトラストレベルが低い確認要素、第2に距離が近い確認要素をより上位に位置づけるといったルールが考えられる。
【0079】
距離は、一の要素と他の要素との間にあるリンク(通信路)の数である。第三の要素が介在することなく一の要素と他の要素が通信路によって直接接続されている場合、リンク数は最小単位の“1”である。図8の例で説明すると、サーバ32と制御装置1との間のリンク数は“1”であり、サーバ32とロボット34との間のリンク数は“2”である。よって、サーバ32から制御装置31までの距離は、サーバ32からロボット34までの距離よりも近いということになる。
【0080】
次に、確認順序決定部103は、確認要素と順序の情報を含むデータを生成してメモリ22に記憶する(S703)。ステップS703の処理が終了後、確認順序決定処理を終了する。
【0081】
そして、確認順序決定部103は、確認要素と順序の情報を含むデータを確認要素/順序出力部140へ送る。確認要素/順序出力部140は、確認要素と順序の情報を含むデータを、端末装置26-1,26-2等へ出力する。管理者は、端末装置26-1,26-2等に表示される確認要素を指定された順番で確認することで、観測/報告された脅威事象に対して迅速に対応や対策を検討又は実施することが可能となり、対象システムをセキュアに運用することができる。
【0082】
このように本実施形態は、確認順序決定部103は、基点の要素から確認要素までの通信路上の距離と、信頼のレベルとに基づいて、確認要素の確認作業を実施する順番を決定するように構成されている。
【0083】
[確認作業の順序]
次に、脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序について、図8を参照して説明する。
図8は、産業制御システム300の脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序の例を示す図である。この例では、基点要素がサーバ32であり、実線で示したトラストレベル3未満の要素間を確認作業の対象とし、破線で示したトラストレベル3以上の要素間を確認作業の対象から排除している。
次に、脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序について、図8を参照して説明する。
図8は、産業制御システム300の脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序の例を示す図である。この例では、基点要素がサーバ32であり、実線で示したトラストレベル3未満の要素間を確認作業の対象とし、破線で示したトラストレベル3以上の要素間を確認作業の対象から排除している。
【0084】
図8では、基点要素(サーバ32)からの距離がリンク1つ分の要素(制御装置31、サブシステム33、PC35)に対して、トラストレベルが低い順(トラストレベル0,1,2)に確認作業を実行するように順番を決定する。すなわち、管理者は、サブシステム33、制御装置31、PC35の順に、脅威事象に対する対応/対策等に関して確認作業(1)~(3)を実行する。最後に、管理者は、基点要素(サーバ32)からの距離がリンク2つ分の要素(PCアプリケーション37)について確認作業(4)を実行する。
【0085】
ここで、サブシステム33、制御装置31、及びPC35は、図6のステップS602の処理で抽出された要素に相当する。また、PCアプリケーション37は、ステップS603の処理で抽出された要素に相当する。
【0086】
以上のとおり、第1の実施形態に係るトラステッドシステム100(情報処理装置20、記憶装置24)は、少なくとも確認要素決定部(確認要素決定部102)と、確認順序決定部(確認順序決定部103)とを備える。確認要素決定部は、対象システムを構成する要素の中から脅威事象に関連する要素(例えば、サーバ32)を基点に、各要素間において一方の要素から他方の要素に対する信頼のレベル(トラストレベル)と、各要素間において一方の要素から他方の要素に対する方向を示す信頼の方向(トラスト方向)とを用いて、要素の中から予め設定した信頼のレベルの条件を満たす要素を、脅威事象の影響範囲を特定するための確認作業を実施する要素として抽出して確認要素に決定する。確認順序決定部は、上記確認要素について、少なくとも各要素間の信頼のレベルと信頼の方向に基づいて、確認作業を実施する順番を決定する。
【0087】
上述した第1の実施形態によれば、要素間にトラスト方向とトラストレベルを設定することで、脅威事象の影響範囲を要素個別で特定することが可能になる。よって、本実施形態では、効率的に脅威事象の影響範囲(確認対象の要素)を絞り込むことができるため、迅速に脅威事象へ対応/対策することが可能となる。
【0088】
従来は、単純に論理ネットワーク等の単純な情報を用いてより広範なエリア(ネットワーク範囲)で、脅威事象の影響範囲を特定していた。そのため、接続関係にあるエリアすべてが確認作業の対象範囲内に含まれ、脅威事象の影響範囲を特定するのに時間を要していた。これに対し、本実施形態は、より迅速に脅威事象の影響範囲を特定することができる。
【0089】
<第2の実施形態>
第2の実施形態は、第1の実施形態によるトラステッドシステム100(情報処理装置20)において、トラスト情報に評価項目の属性を付与し、属性を脅威事象と関連づけることで影響範囲を特定する際の確認作業の優先度を変更する例である。
第2の実施形態は、第1の実施形態によるトラステッドシステム100(情報処理装置20)において、トラスト情報に評価項目の属性を付与し、属性を脅威事象と関連づけることで影響範囲を特定する際の確認作業の優先度を変更する例である。
【0090】
[トラステッドシステムの構成]
図9は、第2の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。本実施形態のトラステッドシステム100Aは、第1の実施形態のトラステッドシステム100(図1)と比較して、トラスト情報更新部901を備える点が異なる。以下、第2の実施形態について第1の実施形態との相違点を中心に説明する。
図9は、第2の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である。本実施形態のトラステッドシステム100Aは、第1の実施形態のトラステッドシステム100(図1)と比較して、トラスト情報更新部901を備える点が異なる。以下、第2の実施形態について第1の実施形態との相違点を中心に説明する。
【0091】
トラスト情報更新部901は、対象システム情報記憶部104と、基点決定部101及び確認要素決定部102との間に配置される。トラスト情報更新部901は、脅威事象入力部130から入力される脅威情報に基づいて、対象システム情報記憶部104に記憶されている、評価項目の属性が付与されたトラスト情報を更新する。
【0092】
そして、トラスト情報更新部901は、対象システム情報記憶部104に記憶されている対象システム情報のシステム構成と、更新後のトラスト情報とを、基点決定部101へ出力する。また、トラスト情報更新部901は、対象システム情報記憶部104に記憶されている対象システム情報のシステム構成及び要素と、更新後のトラスト情報とを、確認要素決定部102へ出力する。なお、基点決定部101が、対象システム情報記憶部104から直接システム構成を取得してもよい。同様に、確認要素決定部102が、対象システム情報記憶部104から直接システム構成及び要素を取得してもよい。
【0093】
[トラスト方向、トラストレベル、属性]
次に、トラスト情報に含まれるトラスト方向、トラストレベル、及び属性について、図10及び図11を参照して説明する。
図10は、トラスト方向、トラストレベル、及び属性の例を示す図である。図10に示すように、トラスト情報1000は、Fromフィールド410と、Toフィールド420と、レベルフィールド1010を有する。
次に、トラスト情報に含まれるトラスト方向、トラストレベル、及び属性について、図10及び図11を参照して説明する。
図10は、トラスト方向、トラストレベル、及び属性の例を示す図である。図10に示すように、トラスト情報1000は、Fromフィールド410と、Toフィールド420と、レベルフィールド1010を有する。
【0094】
レベルフィールド1010には、要素間(トラスト方向)ごとに、要素間の信頼を評価する属性(真正性、信頼性、保護性のいずれかの項目)が登録されている。トラストレベルの値は、図4のレベルフィールド430に示した値と同じである。
【0095】
図11は、図10のトラスト情報1000において観測/報告された脅威情報が信頼性に関連する場合の例を示す図である。図11では、トラスト情報1000の要素間ごとのトラストレベルを属性に応じて更新したトラスト情報1100が示されている。
【0096】
例えば、対象システムに対する脅威情報が信頼性に関連する場合には、信頼性の属性を持つ要素間のトラストレベルの値を上げる。トラスト情報1100では、ハッチングで示した信頼性の属性を持つ要素間のトラストレベルの値が“1”だけ大きくなっている。信頼性の属性を持たない要素間に接続された要素は、信頼性が脆弱であるため、トラストレベルの低い要素間に接続された該当要素を優先的に確認する。
【0097】
以上のとおり、第2の実施形態に係るトラステッドシステム100Aでは、トラスト情報(信頼のレベル及び信頼の方向)に対して1以上の評価項目(例えば、図11では信頼性)の属性が付与され、脅威事象と、信頼のレベル及び信頼の方向に対して付与された評価項目との関連に基づいて、信頼のレベルを更新する更新部(トラスト情報更新部901)を備える。
【0098】
上述した第2の実施形態によれば、トラスト情報に付与された属性に基づいて、観測/報告された脅威情報に対して、より迅速な対応/対策が必要とされる要素から優先的に確認作業を実施することができる。
【0099】
<第3の実施形態>
第3の実施形態は、第1の実施形態によるトラステッドシステム100(情報処理装置20)において、業務情報に基づいて、業務影響度を加味した確認作業の優先度決定を行う例である。業務影響度が大きいほど、脅威事象によって対象システムに障害が発生したときの深刻度が大きい。したがって、換言するならば第3の実施形態は、障害発生時の深刻度に基づいて予め確認作業の優先度を決定する例であるとも言える。
第3の実施形態は、第1の実施形態によるトラステッドシステム100(情報処理装置20)において、業務情報に基づいて、業務影響度を加味した確認作業の優先度決定を行う例である。業務影響度が大きいほど、脅威事象によって対象システムに障害が発生したときの深刻度が大きい。したがって、換言するならば第3の実施形態は、障害発生時の深刻度に基づいて予め確認作業の優先度を決定する例であるとも言える。
【0100】
[トラステッドシステムの構成]
図12は、第3の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である
本実施形態のトラステッドシステム100Bは、第1の実施形態のトラステッドシステム100(図1)と比較して、業務情報入力部1210から業務情報が入力される点が異なる。以下、第3の実施形態について第1の実施形態との相違点を中心に説明する。
図12は、第3の実施形態に係るトラステッドシステムの機能構成の例を示すブロック図である
本実施形態のトラステッドシステム100Bは、第1の実施形態のトラステッドシステム100(図1)と比較して、業務情報入力部1210から業務情報が入力される点が異なる。以下、第3の実施形態について第1の実施形態との相違点を中心に説明する。
【0101】
業務情報入力部1210は、業務や事業継続計画などの業務に関する情報(以下「業務情報」)を、トラステッドシステム100Bの確認要素決定部1201及び確認順序決定部1202に入力する。事業継続計画は、例えば、地震などの災害発生時に、いかに事業を護るか、外部(工場等)との連携をどのようにするかなどを策定した計画である。
【0102】
確認要素決定部1201は、基点要素を基点にして、対象システム情報(システム構成と要素)と、トラスト情報(トラスト方向、トラストレベル)と、業務情報とを基に、影響範囲の特定のための確認作業を実施する要素を決定(取捨選択)する。
【0103】
確認順序決定部1202は、確認要素決定部102で決定された1以上の要素(確認要素群)について、業務情報を加味して、確認作業を実施する要素の順序(確認順序)を決定する。
【0104】
[業務情報]
次に、業務情報テーブルについて、図13を参照して説明する。
図13は、業務情報テーブルに含まれる業務内容と重要要素の例を示す図である。図13に示すように、業務情報テーブル1300は、業務内容フィールド1310と、重要要素フィールド1320を有する。この業務情報テーブル1300は、予め管理者等が対象システムを用いて想定される業務ごとに作成して記憶装置24に保存しておいてもよいし、トラステッドシステム100Bへ入力する際に管理者等がその場で手入力してもよい。なお、テーブルではなく、データベースの形態で業務情報テーブル1300と同様の情報を記憶装置24に格納しておいてもよい。
次に、業務情報テーブルについて、図13を参照して説明する。
図13は、業務情報テーブルに含まれる業務内容と重要要素の例を示す図である。図13に示すように、業務情報テーブル1300は、業務内容フィールド1310と、重要要素フィールド1320を有する。この業務情報テーブル1300は、予め管理者等が対象システムを用いて想定される業務ごとに作成して記憶装置24に保存しておいてもよいし、トラステッドシステム100Bへ入力する際に管理者等がその場で手入力してもよい。なお、テーブルではなく、データベースの形態で業務情報テーブル1300と同様の情報を記憶装置24に格納しておいてもよい。
【0105】
業務内容フィールド1310には、対象システム及びその対象システムに接続された要素が実施する、業務や事業継続計画等の内容を示す情報(以下「業務内容」)が格納される。
重要要素フィールド1320には、上記の業務や事業継続計画等を実施するのに重要又は必要な要素を示す情報が格納される。
重要要素フィールド1320には、上記の業務や事業継続計画等を実施するのに重要又は必要な要素を示す情報が格納される。
【0106】
例えば、図13の例では、“ロボット34を用いた生産活動”という業務内容に対して、重要要素として“ロボット34、制御装置31”が登録されている。同様に、業務内容“サブシステム33の安定稼働”に対する重要要素は“サーバ32、サブシステム33”である。また、業務内容“外部工場302との情報連携”に対する重要要素は“ゲートウェイ30、外部工場302”である。
【0107】
なお、業務内容フィールド1310の情報及び重要要素フィールド1320の情報の内容、及びその組合せは一例であって、この例に限られない。例えば、管理者は、業務情報として業務内容と重要要素の一つの組合せを、業務情報入力部1210からトラステッドシステム100B(図2の入出力I/F23)に入力する。
【0108】
[確認要素決定処理]
次に、本実施形態に係る確認要素決定部1201による確認要素決定処理について、図14を参照して説明する。
図14は、確認要素決定部1201による確認要素決定処理の手順例を示すフローチャートである。図14では、図6のステップS602の代わりに、ステップS1401とS1402を有する。以下、図14について図6との相違点を中心に説明する。
次に、本実施形態に係る確認要素決定部1201による確認要素決定処理について、図14を参照して説明する。
図14は、確認要素決定部1201による確認要素決定処理の手順例を示すフローチャートである。図14では、図6のステップS602の代わりに、ステップS1401とS1402を有する。以下、図14について図6との相違点を中心に説明する。
【0109】
ステップS601の処理後、確認要素決定部1201は、トラストレベルの上限に関係なく、対象システムのシステム構成から、業務内容に関連した重要要素に該当する要素を抽出する(S1401)。
【0110】
次に、確認要素決定部1201は、ステップS1401で抽出した重要要素のうち基点要素からみたトラストレベルが、設定した上限よりも低いレベルの要素を抽出する(S1402)。その後、ステップS603~S605の処理を実行し、ステップS605の処理が終了後、確認要素決定処理を終了する。
【0111】
[確認順序決定処理]
次に、本実施形態に係る確認順序決定部1202による確認順序決定処理について、図15を参照して説明する。
図15は、確認順序決定部1202による確認順序決定処理の手順例を示すフローチャートである。図15では、図7のステップS701の直後にステップS1501が追加されている。以下、図15について図7との相違点を中心に説明する。
次に、本実施形態に係る確認順序決定部1202による確認順序決定処理について、図15を参照して説明する。
図15は、確認順序決定部1202による確認順序決定処理の手順例を示すフローチャートである。図15では、図7のステップS701の直後にステップS1501が追加されている。以下、図15について図7との相違点を中心に説明する。
【0112】
まず、確認順序決定部1202は、図14のステップS605において確認要素決定部1201で生成した確認要素のデータを読み込む(S701)。
【0113】
次に、確認順序決定部1202は、業務内容に関連した重要要素に該当する要素を最優先にして確認作業の順序を決定する(S1501)。その後、ステップS702~S703の処理を実行し、ステップS703の処理が終了後、確認順序決定処理を終了する。
【0114】
[確認作業の順序]
次に、脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序について、図16を参照して説明する。
図16は、産業制御システム300の脅威事象に影響する要素(撮影範囲)を特定するための確認作業の順序の例を示す図である。この例では、基点要素がサーバ32、トラストレベル3未満の要素間が確認作業の対象、業務情報が“ロボット34を用いた生産活動”の場合としている。
次に、脅威事象に影響する要素(影響範囲)を特定するための確認作業の順序について、図16を参照して説明する。
図16は、産業制御システム300の脅威事象に影響する要素(撮影範囲)を特定するための確認作業の順序の例を示す図である。この例では、基点要素がサーバ32、トラストレベル3未満の要素間が確認作業の対象、業務情報が“ロボット34を用いた生産活動”の場合としている。
【0115】
図16においては、管理者は、基点要素(サーバ32)からの距離がリンク1つ分の要素(制御装置31、サブシステム33、PC35)のうち、ロボット34と接続する制御装置31から脅威事象に対する対応/対策等に関して確認作業(1)を実行する。次に、管理者は、制御装置31と接続するロボット34の確認作業(2)を行う。次に、サーバ32からの距離がリンク1つ分である残りの要素(サブシステム33、PC35)のうちトラストレベルが低い順(レベル0,2)、すなわちサブシステム33、PC35の順に確認作業(3)~(4)を実行する。最後に、基点要素(サーバ32)からの距離がリンク2つ分の要素(PCアプリケーション37)の確認作業(5)を実行する。
【0116】
以上のとおり、第3の実施形態に係るトラステッドシステム100Bでは、確認要素決定部(確認要素決定部1201)は、さらに信頼のレベルの条件に関係なく、指定された業務内容に関連した要素(重要要素)を確認要素に決定し、確認順序決定部(確認順序決定部1202)は、すべての確認要素のうち上記業務内容に関連した要素を最優先の順番に決定する。
【0117】
上述した第3の実施形態によれば、業務や事業継続計画等(業務内容)に基づいて、各要素の重要性を設定しておいて、この重要度とトラスト情報を用いた確認要素の抽出や確認順序の決定を行う。それにより、本実施形態では、指定した業務内容をより直接的に保護する対応が可能となる。
【0118】
なお、本発明は上述した実施形態に限られるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、その他種々の応用例、変形例を取り得ることは勿論である。例えば、上述した実施形態は本発明を分かりやすく説明するためにその構成を詳細かつ具体的に説明したものであり、必ずしも説明したすべての構成要素を備えるものに限定されない。また、ある実施形態の構成の一部を他の実施形態の構成要素に置き換えることが可能である。また、ある実施形態の構成に他の実施形態の構成要素を加えることも可能である。また、各実施形態の構成の一部について、他の構成要素の追加又は置換、削除をすることも可能である。
【0119】
例えば、上述した実施形態におけるトラステッドシステム100,100A,100Bの機能を、対象システム内の主要な要素(例えば、サーバ32)に内蔵してもよい。また、対象システム内の1以上の要素又は各要素が、トラステッドシステム100,100A,100Bの機能を備えていてもよい。
【0120】
また、上記の各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。ハードウェアとして、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)などの広義のプロセッサデバイスを用いてもよい。
【符号の説明】
【0121】
20…情報処理装置、 21…処理部、 22…メモリ、 23…入出力インタフェース、 24…記憶装置、 100,100A,100B…トラステッドシステム、 101…基点決定部、 102…確認要素決定部、 103…確認順序決定部、 104…対象システム情報記憶部、 110…対象システム情報入力部、 120…トラスト情報入力部、 130…脅威事象入力部、 140…確認要素/順序出力部、 300…産業制御システム、 400…トラスト情報、 500…脅威情報テーブル、 901…トラスト情報更新部、 1201…確認要素決定部、 1202…確認順序決定部、 1210…業務情報入力部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】