知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-12
(45)【発行日】2024-12-20
(54)【発明の名称】監視制御システム
(51)【国際特許分類】
H04L 12/66 20060101AFI20241213BHJP
【FI】
H04L12/66
【請求項の数】
7
(21)【出願番号】P 2021018657
(22)【出願日】2021-02-09
(65)【公開番号】P2022121772
(43)【公開日】2022-08-22
【審査請求日】2022-12-20
【審判番号】
【審判請求日】2024-07-08
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002941
【氏名又は名称】弁理士法人ぱるも特許事務所
(72)【発明者】
【氏名】山田 詩門
【合議体】
【審判長】土居 仁士
【審判官】上田 翔太
【審判官】衣鳩 文彦
(56)【参考文献】
【文献】特開2015-50767(JP,A)
【文献】特表2021-503191(JP,A)
【文献】特開2019-83355(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
(57)【特許請求の範囲】
【請求項1】
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備える監視制御システム。
【請求項2】
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断する監視制御システム。
【請求項3】
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信する監視制御システム。
【請求項4】
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備える請求項2又は請求項3に記載の監視制御システム。
【請求項5】
前記ネットワーク監視スイッチは、前記脅威判定部が判定した前記脅威の内容をアラートとして生成して通報するアラート生成部を備える請求項1から請求項4のいずれか1項に記載の監視制御システム。
【請求項6】
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断する請求項1又は、請求項3から請求項5のいずれか1項に記載の監視制御システム。
【請求項7】
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信する請求項1又は、請求項2又は、請求項4から請求項6のいずれか1項に記載の監視制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、監視制御システムに関するものである。
【背景技術】
【0002】
従来、制御システムに対するサイバーセキュリティ対策はPLC(Programmable Logic Controller)などのエンドポイント機器を守ることを主体として検討されており、アドレス情報、パケット情報を監視、分析して外部からの攻撃を防御することで制御を行っている。例えば、ネットワークのパケットを監視し、セキュリティの脅威レベルを診断することによって送信元あるいは送信先の装置に対して対処指示を与える技術が開示されている(特許文献1参照)。ネットワークのパケットを監視、分析し、問題があると判定したポートを封鎖する技術が提案されている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2018-157343公報
【文献】特開2019-92149号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
これら従来のネットワーク監視スイッチを用いた監視制御システムでは、新しい悪意のある機器の侵入および攻撃から制御機器を守ることを主体として対策が検討されており、既知のIP(Internet Protocol)機器(ルータなど)が攻撃主体となった場合に、制御システムを防御することができないという課題があった。
【0005】
例えば、特許文献2では、通信ポートのロックダウンルーチンにより新しい悪意のあるデバイスがシステム上の制御装置と通信することを防止するが、これは外部の攻撃から制御装置を守るための技術であり、L2スイッチがサイバー攻撃装置となった場合の対策とならないという課題があった。
【0006】
本願は、L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備えるものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断するものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信するものである。
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記監視制御システムは、複数の前記ネットワーク監視スイッチと、前記複数のネットワーク監視スイッチの設定情報を一括して保持する統合管理データベースを備え、
それぞれの前記ネットワーク監視スイッチは、前記ホワイトリストデータベース、前記Config設定データベースの内容が更新された際に、変更された設定内容を前記統合管理データベースに送信し、前記統合管理データベースから受信したデータを用いて前記ホワイトリストデータベースと前記Config設定データベースとを更新する設定同期部を備え、
前記統合管理データベースは、前記ホワイトリストデータベースと前記Config設定データベースとの設定を同期させる前記ネットワーク監視スイッチの組み合わせを記録した設定同期テーブルを備えるものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記ネットワーク監視スイッチは、1つの通信パスと、当該通信パスに関連する関連通信パスとが予め登録されている連動遮断テーブルを備え、
前記パケット遮断部は、前記1つの通信パスと前記関連通信パスの通信とを連動して遮断するものである。
また、本願に開示される監視制御システムは、
外部の被制御装置の動作を監視、制御する監視制御装置と、前記監視制御装置および前記被制御装置の間に配置されたL2スイッチとしてのネットワーク監視スイッチとがネットワークを介して接続された監視制御システムであって、
前記ネットワーク監視スイッチは、通過するパケットのパケットデータを解析する解析部と、前記データ中に脅威を発見した場合に前記パケットの搬送を遮断するパケット遮断部と、過去に通過したパケット情報、通信履歴を記録する管理データベースと、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースと、前記ネットワーク監視スイッチの設定情報を記録するConfig設定データベースと、前記パケットの解析されたトラフィック情報を前記管理データベースに保存するデータ蓄積部とを備え、
前記解析部は、
前記Config設定データベースを利用してパケット通信を受信したポートが許可されたポートか否かを判定するポートアクセス解析部と、
前記送信元および前記送信先のMACアドレス、IPアドレス、通信プロトコルが前記ホワイトリストデータベースに記録されているか否かを判定するホワイトリスト解析部と、
前記管理データベースを利用して、前記送信元および前記送信先の使用頻度と、前記パケットの間隔とが適正か否かを判定するトラフィック解析部と、
前記ポートアクセス解析部と前記ホワイトリスト解析部と前記トラフィック解析部との解析結果から前記ネットワーク監視スイッチを通過する前記パケットの前記脅威を判定する脅威判定部とを備え、
前記トラフィック解析部は、前記パケットの間隔が、使用する帯域の標準最小パケット間隔以上か否かを判定し、
前記解析部は、前記脅威を検知した場合は、中継装置を経由して上位バスへ前記脅威の情報を送信するものである。
【発明の効果】
【0008】
本願に開示される監視制御システムによれば、
L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供できる。
L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供できる。
【図面の簡単な説明】
【0009】
【図1】実施の形態1による監視制御システムの構成を示すブロック図である。
【図2】実施の形態1による監視制御装置の構成を示すブロック図である。
【図3】実施の形態1による解析部によるトラフィック診断のフローチャートである。
【図4】実施の形態1によるネットワークの状態監視に関するフローチャートである。
【図5】実施の形態2による監視制御システムの構成を示すブロック図である。
【図6】
実施の形態2による統合管理データベースの構成を示すブロック図と設定同期テーブルの構成を示す図である。
【図7】実施の形態2のフローチャートである。
【図8】実施の形態3による監視制御システムの構成を示すブロック図である。
【図9】実施の形態3のフローチャートである。
【図10】実施の形態4による監視制御システムの構成を示すブロック図である。
【図11】実施の形態4のフローチャートである。
【図12】実施の形態5による監視制御システムの構成を示すブロック図である。
【図13】実施の形態5による連動遮断テーブルの構成を示す図である。
【図14】実施の形態5のフローチャートである。
【発明を実施するための形態】
【0010】
実施の形態1.
以下、実施の形態1による監視制御システムを図に基づいて説明する。
図1は、監視制御システム100の構成を示すブロック図である。
図2は、監視制御装置90の構成を示すブロック図である。
監視制御システム100は、監視制御装置90と、ネットワーク監視用端末10と表示処理部12と、L2スイッチとしてのネットワーク監視スイッチ20(以下、単に監視スイッチ20という)とを備える。監視スイッチ20は、外部の被制御装置40A、40B・・40Xとネットワーク50を介して接続されている。
以下、実施の形態1による監視制御システムを図に基づいて説明する。
図1は、監視制御システム100の構成を示すブロック図である。
図2は、監視制御装置90の構成を示すブロック図である。
監視制御システム100は、監視制御装置90と、ネットワーク監視用端末10と表示処理部12と、L2スイッチとしてのネットワーク監視スイッチ20(以下、単に監視スイッチ20という)とを備える。監視スイッチ20は、外部の被制御装置40A、40B・・40Xとネットワーク50を介して接続されている。
【0011】
監視制御装置90は、ハードウエアの一例を図2に示すように、プロセッサ91と記憶装置92から構成される。記憶装置は、図示していないランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを備える。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を備えてもよい。プロセッサ91は、記憶装置92から入力されたプログラムを実行する。この場合、補助記憶措置から揮発性記憶装置を介してプロセッサ91にプログラムが入力される。また、プロセッサ91は、演算結果等のデータを記憶装置92の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。監視制御装置90は、外部の被制御装置40A~40Xの動作を監視、制御する。
【0012】
監視スイッチ20は、監視スイッチ20を通過するパケットのパケットデータを解析する解析部21と、データ中に脅威(ウィルス等)を発見した場合に当該パケットの搬送を遮断するパケット遮断部22と、通過するパケットの解析されたトラフィック情報を保存するデータ蓄積部23とを備える。
【0013】
解析部21は、監視スイッチ20の入力ポートに対するアクセスを解析するポートアクセス解析部21Aと、送信元および送信先の安全性を解析するホワイトリスト解析部21Bと、監視スイッチ20を通過するトラフィックの安全性を解析するトラフィック解析部21Cと、ポートアクセス解析部21Aと、ホワイトリスト解析部21Bと、トラフィック解析部21Cとの解析結果から、監視スイッチ20を通過するパケットの脅威を総合的に判定する脅威判定部21Dとを備える。
【0014】
また、監視スイッチ20は、過去に通過したパケット情報および通信履歴を記録する管理データベースDB1と、安全性が確認されている送信元および送信先を記録するホワイトリストデータベースDB2と、許可された入力ポート情報その他の各種設定情報を記録するConfig設定データベースDB3との3つのデータベースを備える。ポートアクセス解析部21Aは、Config設定データベースDB3を利用する。ホワイトリスト解析部21Bは、ホワイトリストデータベースDB2を利用する。また、トラフィック解析部21Cは、管理データベースDB1を利用する。
【0015】
各データベースDB1~DB3に記録されているデータは、表示処理部12によって処理され、ネットワーク監視用端末10によってネットワーク50の状態を監視することが可能である。ネットワーク監視用端末10によって各監視スイッチ20のパケット間隔、使用頻度の閾値を設定可能とすることでネットワーク50のセキュリティレベルを設定する。
【0016】
次に、監視スイッチ20の動作について説明する。
図3は、解析部21によるトラフィック診断のフローチャートである。
監視スイッチ20を経由した通信は、まず解析部21によって3ステップの解析が行われる。監視スイッチ20がパケット通信を受信すると(ステップS001)、まず、ポートアクセス解析部21Aによって、Config設定データベースDB3に登録されている、接続が許可されたポートへの通信か否かを判定する(ステップS002)。次に、ホワイトリスト解析部21Bによって、送信元および送信先のMACアドレス(Media Access Control address)、IPアドレス、通信プロトコルが、それぞれホワイトリストデータベースDB2に記録されている範囲内であるか否かを判定する(ステップS003)。次に、トラフィック解析部21Cによって送信元および送信先の使用頻度と、パケット間隔が適正か否か、使用する帯域の標準最小パケット間隔以上か否かを判定する(ステップS004)。使用頻度は、実際に運用するシステムの通常時の運用を予め診断して閾値を設定し、その基準を超える場合(パケット間隔が小さくなった場合)に検知するように設定するとよい。
図3は、解析部21によるトラフィック診断のフローチャートである。
監視スイッチ20を経由した通信は、まず解析部21によって3ステップの解析が行われる。監視スイッチ20がパケット通信を受信すると(ステップS001)、まず、ポートアクセス解析部21Aによって、Config設定データベースDB3に登録されている、接続が許可されたポートへの通信か否かを判定する(ステップS002)。次に、ホワイトリスト解析部21Bによって、送信元および送信先のMACアドレス(Media Access Control address)、IPアドレス、通信プロトコルが、それぞれホワイトリストデータベースDB2に記録されている範囲内であるか否かを判定する(ステップS003)。次に、トラフィック解析部21Cによって送信元および送信先の使用頻度と、パケット間隔が適正か否か、使用する帯域の標準最小パケット間隔以上か否かを判定する(ステップS004)。使用頻度は、実際に運用するシステムの通常時の運用を予め診断して閾値を設定し、その基準を超える場合(パケット間隔が小さくなった場合)に検知するように設定するとよい。
【0017】
ステップS002~ステップS004のいずれかのステップで条件を満たさないと判断された場合は、パケット遮断部22によって通信の遮断を行い(ステップS005)、アラートを発報する(ステップS006)。ステップS002~ステップS004の全てのステップで条件を満たすと判断された場合は、通信を許可し(ステップS007)、データ蓄積部23は、管理データベースDB1へ通信データを蓄積する(ステップS008)。また、表示処理部12を経由してネットワーク監視用端末10に通信状態を表示(ステップS009)することによって情報の可視化を行う。
【0018】
図4は、実施の形態1によるネットワーク50の状態監視に関するフローチャートである。
監視制御システム100では、ネットワーク50上の脅威を検出し、悪意あるトラフィックを遮断、報告することに加え、ネットワーク50の状態を可視化し、常時、状態を監視することを可能とする。表示処理部12にて、監視スイッチ20が蓄積した接続機器のIPアドレス一覧とその使用状況、通信履歴、現在のトラフィック状態などのデータを取得し、可視化処理する(ステップS101)。また、ネットワーク監視用端末10にて、管理者は、選択した情報を閲覧することができる(ステップS102)。また、監視スイッチ20が脅威を検出した場合は、アラートを表示し(ステップS103)管理者に脅威が検出されたことを知らせる。
監視制御システム100では、ネットワーク50上の脅威を検出し、悪意あるトラフィックを遮断、報告することに加え、ネットワーク50の状態を可視化し、常時、状態を監視することを可能とする。表示処理部12にて、監視スイッチ20が蓄積した接続機器のIPアドレス一覧とその使用状況、通信履歴、現在のトラフィック状態などのデータを取得し、可視化処理する(ステップS101)。また、ネットワーク監視用端末10にて、管理者は、選択した情報を閲覧することができる(ステップS102)。また、監視スイッチ20が脅威を検出した場合は、アラートを表示し(ステップS103)管理者に脅威が検出されたことを知らせる。
【0019】
実施の形態1による監視制御システムによれば、L2スイッチが、サイバー攻撃の入り口となった場合でも防御可能な監視制御システムを提供できる。
また、アクセスポート解析とホワイトリスト解析とにより未知のIP機器からの通信を防ぎ、更にトラフィック解析により既に接続されているIP機器からの攻撃の拡散を防ぐことができる。
また、アクセスポート解析とホワイトリスト解析とにより未知のIP機器からの通信を防ぎ、更にトラフィック解析により既に接続されているIP機器からの攻撃の拡散を防ぐことができる。
【0020】
実施の形態2.
以下、実施の形態2による監視制御システムを図に基づいて、実施の形態1と異なる部分を中心に説明する。
図5は、監視制御システム200の構成を示すブロック図である。
図6は、統合管理データベースDB4の構成を示すブロック図と設定同期テーブルSTBの構成を示す図である。
図7は、実施の形態2のフローチャートである。
本実施の形態2では、監視制御システム200は、複数の監視スイッチ220(220A、220B・・220Xを備え、複数の監視スイッチ220A、220B・・220Xの各種設定情報を一括して保持する統合管理データベースDB4を備えている。
以下、実施の形態2による監視制御システムを図に基づいて、実施の形態1と異なる部分を中心に説明する。
図5は、監視制御システム200の構成を示すブロック図である。
図6は、統合管理データベースDB4の構成を示すブロック図と設定同期テーブルSTBの構成を示す図である。
図7は、実施の形態2のフローチャートである。
本実施の形態2では、監視制御システム200は、複数の監視スイッチ220(220A、220B・・220Xを備え、複数の監視スイッチ220A、220B・・220Xの各種設定情報を一括して保持する統合管理データベースDB4を備えている。
【0021】
統合管理データベースDB4は、監視スイッチ220Aの設定データDTA、監視スイッチ220Bの設定データDTB・・・監視スイッチ220Xの設定データDTXを備える。設定データDTA~DTXには、それぞれの監視スイッチ220A~220Xの少なくともホワイトリストデータベースDB2およびConfig設定データベースDB3に記録されている情報と同じ情報が保存されている。
【0022】
また、統合管理データベースDB4は、複数の監視スイッチ220A~220Xの内で、設定を同期させるべき監視スイッチ220の組み合わせを事前に記録した、設定同期テーブルSTBを備える(ステップS201)。
【0023】
監視制御システム200に複数の監視スイッチ220(220A、220B)が実装されている場合、1つの監視スイッチ220のホワイトリストデータベースDB2、Config設定データベースDB3の内容が更新された際は(ステップS202)、監視スイッチ220Aの設定同期部24は、変更された設定内容を統合管理データベースDB4に送信する。統合管理データベースDB4の更新情報受信部DB4INは、監視スイッチ220Aから変更された設定データを受信すると、設定同期テーブルSTBを参照し、設定を同期する対象の監視スイッチ220B~20Xを設定同期テーブルを用いて検索する。
【0024】
同期すべきスイッチ20B~20Xがあれば、設定データDTAと該当する設定データDTB~DTXを更新し、更新情報発信部DB4OUTにて対象となる監視スイッチ220B~220Xへ更新された設定データを送信する。設定データを受信した監視スイッチ220B~220Xの設定同期部24は、スイッチ内のホワイトリストデータベースDB2とConfig設定データベースDB3の内容を、受信した設定データを用いて書き換えて更新する(ステップS203)。
【0025】
実施の形態2による監視制御システムによれば、1台の特定の監視スイッチ220Aの設定およびホワイトリストデータベースDB2が更新された際、統合管理データベースDB4を介して、関連する監視スイッチ220B~220Xに同じ更新情報を展開し、関連する監視スイッチ220B~220Xに対しても自動的に同一の設定を行うことができる。
【0026】
実施の形態3.
以下、実施の形態3による監視制御システムを図に基づいて、実施の形態1、2と異なる部分を中心に説明する。
図8は、監視制御システム300の構成を示すブロック図である。
監視制御システム300は、監視スイッチ220および広域監視制御システムの上位バス305に接続された中継装置70を備える。
以下、実施の形態3による監視制御システムを図に基づいて、実施の形態1、2と異なる部分を中心に説明する。
図8は、監視制御システム300の構成を示すブロック図である。
監視制御システム300は、監視スイッチ220および広域監視制御システムの上位バス305に接続された中継装置70を備える。
【0027】
監視スイッチ220内の解析部21が、実施の形態1と同様に通信解析によって脅威を検知した場合は、それらの情報を中継装置70を経由して上位バス305へ送信する。上位バス305へ送られたデータは、上位バス305に接続されたファイルサーバ350に保存される。管理者は、広域監視制御用端末60にて監視および、監視する通信パスの管理を行うことができる。
【0028】
図9は、実施の形態3のフローチャートである。
監視スイッチ220内の解析部21がトラフィック解析において脅威を検出した場合は(ステップS301)、脅威を検出したことおよびその情報(送信元、送信先、脅威の内容)を、中継装置70、上位バス305を経由して、広域監視制御システムへ送信する(ステップS302)。そして広域監視制御用端末60にて、監視スイッチ220が異常を検出したことを警報音等で知らせる。また、送信された情報はファイルサーバ350へ格納される(ステップS303)。
監視スイッチ220内の解析部21がトラフィック解析において脅威を検出した場合は(ステップS301)、脅威を検出したことおよびその情報(送信元、送信先、脅威の内容)を、中継装置70、上位バス305を経由して、広域監視制御システムへ送信する(ステップS302)。そして広域監視制御用端末60にて、監視スイッチ220が異常を検出したことを警報音等で知らせる。また、送信された情報はファイルサーバ350へ格納される(ステップS303)。
【0029】
実施の形態3による監視制御システムによれば、管理者が指定したパスの通信を一項目として正常、異常の判定を行うことができる。すなわち、広域監視制御システムとネットワーク監視スイッチを連携させ、ネットワーク状態を広域監視制御システムで監視することで、セキュリティ事象を含めて一元的に広域監視を実現できる。
【0030】
実施の形態4.
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~3と異なる部分を中心に説明する。
図10は、監視制御システム400の構成を示すブロック図である。
図11は、実施の形態4のフローチャートである。
本実施の形態では、監視スイッチ420Aの脅威判定部21Dが脅威を検出すると(ステップS401)、アラート生成部21Eが脅威の内容をアラートとして生成し(ステップS402)、管理者および管理者によって指定されたアドレスにメールで通報する(ステップS403)。
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~3と異なる部分を中心に説明する。
図10は、監視制御システム400の構成を示すブロック図である。
図11は、実施の形態4のフローチャートである。
本実施の形態では、監視スイッチ420Aの脅威判定部21Dが脅威を検出すると(ステップS401)、アラート生成部21Eが脅威の内容をアラートとして生成し(ステップS402)、管理者および管理者によって指定されたアドレスにメールで通報する(ステップS403)。
【0031】
また同時に、脅威が検出されるまでのセキュリティ履歴、トラフィック履歴が、ネットワーク監視用端末10に送信される。ネットワーク監視用端末10では、日単位もしくは時間単位で受信した情報をグラフ化して表示する。これらの履歴データは、監視スイッチ420Aが保持している管理データベースDB1から取得される。
【0032】
実施の形態4による監視制御システムによれば、ネットワークに発生した脅威を速やかに関係者に周知できる。また、ネットワーク監視用端末10を用いて、脅威が発生した場所を速やかに特定できる。
【0033】
実施の形態5.
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~4と異なる部分を中心に説明する。
図12は、監視制御システム500の構成を示すブロック図である。
図13は、連動遮断テーブル25の構成を示す図である。
図14は、実施の形態5のフローチャートである。
本実施の形態では、監視制御システム500内に監視スイッチ520(520A、520B)が複数台含まれる場合を想定する。
連動遮断テーブル25には、ある通信パスと、その通信パスに関連する関連通信パスと、関連通信パスの所定時間当たりのパケット数の閾値(上限)が予め登録されている。特定の監視スイッチ520Aの脅威判定部21Dが脅威を検出し、通信を遮断した場合(ステップS501)、パケット遮断部522は、ネットワーク監視スイッチ520Aが有する連動遮断テーブル25を参照する(ステップS502)。
以下、実施の形態4による監視制御システムを図に基づいて、実施の形態1~4と異なる部分を中心に説明する。
図12は、監視制御システム500の構成を示すブロック図である。
図13は、連動遮断テーブル25の構成を示す図である。
図14は、実施の形態5のフローチャートである。
本実施の形態では、監視制御システム500内に監視スイッチ520(520A、520B)が複数台含まれる場合を想定する。
連動遮断テーブル25には、ある通信パスと、その通信パスに関連する関連通信パスと、関連通信パスの所定時間当たりのパケット数の閾値(上限)が予め登録されている。特定の監視スイッチ520Aの脅威判定部21Dが脅威を検出し、通信を遮断した場合(ステップS501)、パケット遮断部522は、ネットワーク監視スイッチ520Aが有する連動遮断テーブル25を参照する(ステップS502)。
【0034】
脅威が検出された通信パスに関連通信パスが存在する場合、関連通信パスの現在の通信状態を確認する(ステップS503)。確認の結果、パケット間隔が設定した閾値よりも小さい場合、パケット遮断部522は、この関連パスの通信も連動して遮断する(ステップS504)。また、当該関連通信パスが、別の監視スイッチ520B(ステップS505)によって監視されている場合は、その監視スイッチ520Bのパケット遮断部522に通信状態確認を指示する。
【0035】
実施の形態5による監視制御システムによれば、脅威が発生したパスだけでなく、関連する通信パスの通信も連動して遮断できるので、被害の拡大を未然に防止できる。また、関連パスが、他の監視スイッチの監視下にある場合でも、監視スイッチ間で遮断処理を連動できる。
【0036】
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
【符号の説明】
【0037】
100,200,300,400,500 監視制御システム、
10 ネットワーク監視用端末、12 表示処理部、
20,20B,220,220A,220B,220X,420A,520,520A,520B ネットワーク監視スイッチ、
21 解析部、21A ポートアクセス解析部、21B ホワイトリスト解析部、
21C トラフィック解析部、21D 脅威判定部、21E アラート生成部、
22,522 パケット遮断部、23 データ蓄積部、24 設定同期部、
25 連動遮断テーブル、40A~40X 被制御装置、350 ファイルサーバ、
60 広域監視制御用端末、70 中継装置、90 監視制御装置、91 プロセッサ、92 記憶装置、305 上位バス、DB1 管理データベース、
DB2 ホワイトリストデータベース、DB3 Config設定データベース、
DB4 統合管理データベース、DB4IN 更新情報受信部、
DB4OUT 更新情報発信部、DTA,DTB,DTX 設定データ、
STB 設定同期テーブル。
10 ネットワーク監視用端末、12 表示処理部、
20,20B,220,220A,220B,220X,420A,520,520A,520B ネットワーク監視スイッチ、
21 解析部、21A ポートアクセス解析部、21B ホワイトリスト解析部、
21C トラフィック解析部、21D 脅威判定部、21E アラート生成部、
22,522 パケット遮断部、23 データ蓄積部、24 設定同期部、
25 連動遮断テーブル、40A~40X 被制御装置、350 ファイルサーバ、
60 広域監視制御用端末、70 中継装置、90 監視制御装置、91 プロセッサ、92 記憶装置、305 上位バス、DB1 管理データベース、
DB2 ホワイトリストデータベース、DB3 Config設定データベース、
DB4 統合管理データベース、DB4IN 更新情報受信部、
DB4OUT 更新情報発信部、DTA,DTB,DTX 設定データ、
STB 設定同期テーブル。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
