知財求人 - 知財ポータルサイト「IP Force」
▶ エレクトリック パワー リサーチ インスチテュート インコーポレイテッドの特許一覧
特表2023-527862ハードウェアベースの認証を用いた産業用制御システムへの安全なリモートアクセス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-06-30
(54)【発明の名称】ハードウェアベースの認証を用いた産業用制御システムへの安全なリモートアクセス
(51)【国際特許分類】
G06F 21/34 20130101AFI20230623BHJP
G06F 21/32 20130101ALI20230623BHJP
G06F 21/33 20130101ALI20230623BHJP
G06F 21/60 20130101ALI20230623BHJP
G06F 21/74 20130101ALI20230623BHJP
【FI】
G06F21/34
G06F21/32
G06F21/33
G06F21/60 320
G06F21/74
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022573446
(86)(22)【出願日】2021-05-31
(85)【翻訳文提出日】2023-01-30
(86)【国際出願番号】 US2021035073
(87)【国際公開番号】W WO2021243322
(87)【国際公開日】2021-12-02
(31)【優先権主張番号】16/888,063
(32)【優先日】2020-05-29
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
2.WINDOWS
(71)【出願人】
【識別番号】307026857
【氏名又は名称】エレクトリック パワー リサーチ インスチテュート インコーポレイテッド
(74)【代理人】
【識別番号】100094569
【弁理士】
【氏名又は名称】田中 伸一郎
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100109070
【弁理士】
【氏名又は名称】須田 洋之
(74)【代理人】
【識別番号】100098475
【弁理士】
【氏名又は名称】倉澤 伊知郎
(74)【代理人】
【識別番号】100130937
【弁理士】
【氏名又は名称】山本 泰史
(74)【代理人】
【識別番号】100144451
【弁理士】
【氏名又は名称】鈴木 博子
(74)【代理人】
【識別番号】100168871
【弁理士】
【氏名又は名称】岩上 健
(72)【発明者】
【氏名】ローレンス ジェレミー
(72)【発明者】
【氏名】ホラーン ジェイソン エム
(72)【発明者】
【氏名】ゲデス ブラッドリー
(72)【発明者】
【氏名】ソウ マイケル エル
(72)【発明者】
【氏名】ティボー ジャスティン シー
(57)【要約】
安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含む、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステム及び方法が提供される。安全なユーザ認証は、スマートカードに基づく2要素認証を含み、管理型リモートアクセス・アプライアンスを介した安全な対話型リモートアクセスは、スマートカード・クレデンシャルだけで使用できる仮想マシン及びソフトウェアを含む。
【選択図】 図1
【選択図】 図1
【特許請求の範囲】
【請求項1】
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムであって、安全なユーザ認証と、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、
リモートアクセス・サービスと、
を含むシステム。
【請求項2】
前記安全なユーザ認証は、スマートカードに基づく2要素認証(2FA)又は3要素認証(3FA)を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項3】
前記安全なユーザ認証は、スマートカードの所持と、対応する個人識別番号(PIN)の知識と、任意選択で生体認証と、を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項4】
前記スマートカードは、クレデンシャルと、暗号鍵と、X.509証明書とを保管するセキュアエレメント(SE)を含む、請求項2に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項5】
管理者、監督者、及びエンドユーザ用の前記スマートカードは、異なる機能を有する、請求項2に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項6】
前記安全な対話型リモートアクセスは、仮想マシンとソフトウェアとを含む管理型リモートアクセス・アプライアンス(RAA)を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項7】
前記管理型リモートアクセス・アプライアンス(RAA)は、スマートカード・クレデンシャルだけで使用することができる、請求項6に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項8】
前記リモートアクセス・サービスは、ユーザとトークンのライフサイクルとの管理、ソフトウェア構成管理、階層型セキュリティを用いたアクセス制御と認可、並びにリモートアクセスの監査証跡に関するセキュリティポリシー及びプロセスを自動化する技術的なサイバーセキュリティ制御サービスを含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項9】
前記リモートアクセス・サービスは、ユーザ、スマートカード・トークン、及びリモートアクセス・アプライアンス(RAA)状態の管理を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項10】
前記リモートアクセス・サービスは、リモートアクセス認可及びポリシーと階層型セキュリティ制御との管理を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項11】
産業用制御システムに安全にリモートアクセスするための方法であって、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムを提供するステップと、
安全なユーザ認証を実行するステップと、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信を提供するステップと、
リモートアクセス・サービスを提供するステップと、
を含む方法。
【請求項12】
前記安全なユーザ認証を実行するステップは、スマートカードの所持と、個人識別番号(PIN)と、随意的に生体認証とを必要とする2要素認証(2FA)又は3要素認証(3FA)を提供するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項13】
前記安全な対話型リモートアクセスを提供するステップは、仮想マシン及びソフトウェアを含むリモートアクセス・アプライアンス(RAA)でスマートカードPINを認可するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項14】
前記リモートアクセス・サービスを提供するステップは、管理者、監督者、及び少なくとも1人のエンドユーザの役割に関するアカウント管理を提供するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項15】
前記リモートアクセス・サービスを提供するステップは、RSA暗号システムのデジタル署名方式を用いることによって否認防止を提供するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項16】
前記リモートアクセス・サービスを提供するステップは、全てのトランザクションイベントをデータベースに安全に保存することによって監査可能な記録を提供するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項17】
前記リモートアクセス・サービスを提供するステップは、間違ったPIN入力の回数を制限するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項18】
前記リモートアクセス・サービスを提供するステップは、エンドユーザのログイン、ログアウト及びワークステーションアクセスを監督者に知らせるシステム使用通知を、監督者に送信するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項19】
前記リモートアクセス・サービスを提供するステップは、ワークステーションへのユーザアクセスを認可するように監督者に要求するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項20】
前記リモートアクセス・サービスを提供するステップは、識別及び認可プロセスを提供するステップを含む、請求項11に記載の産業用制御システムに安全にリモートアクセスするための方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステム及び方法に関する。
【背景技術】
【0002】
従業員及び販売業者が、モニタリング、トラブルシューティング、及びメンテナンスを行うために、産業用制御システムにリモートアクセスする必要性が高まっている。重要な制御ネットワークがよりデジタル化され相互接続されるにつれて、電力会社のネットワークなど、重要な産業用制御ネットワークに対してサイバー攻撃経路のリスクを低減するために、安全なリモートアクセスが必要である。
【発明の概要】
【課題を解決するための手段】
【0003】
ハードウェアベースの認証を用いて、電力会社などの産業用制御システムに安全にリモートアクセスするためのシステムが提供され、このシステムは、安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含む。
【0004】
また、産業用制御システムに安全にリモートアクセスするための方法が提供され、この方法は、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムを提供するステップと、安全なユーザ認証を行うステップと、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信を提供するステップと、リモートアクセス・サービスを提供するステップとを含む。
【図面の簡単な説明】
【0005】
【発明を実施するための形態】
【0006】
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステム及び方法が提供され、これは、安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含む。
【0007】
安全なユーザ認証は、接触型及び非接触型インタフェースを備えたプラスチックIDカードフォームファクタのスマートカードに基づく、安全な2要素認証(2FA)又は安全な3要素認証(3FA)により提供される。安全な2要素ユーザ認証には、スマートカードを所持し、対応する個人識別番号(PIN)を知っていることが必要とされる。3要素認証では、網膜スキャン、虹彩スキャン、指紋スキャン、指静脈スキャン、顔認識、音声認識、手形認証、耳介認証を含むがこれらに限定されない、生物学的特徴の確認である生体認証も実行する。この認証により、第三者の検証を介したセッション承認に関する多段階検証が可能となる。4要素認証(4FA)には、場所という付加的な要素を採用することができる。スマートカードハードウェア内に機密保護された分散鍵及びクレデンシャルは、安全な鍵管理及び保管を提供し、アメリカ国立標準技術研究所による、NIST Special Publication 800-63-3が提供するガイドラインに従って、NIST IAL3及びAAL3レベルのID証明及び認証を可能にする。適切なスマートカードの例は、Tyfone社のSideCard(登録商標)である。
【0008】
安全な対話型リモートアクセスは、安全で堅牢化された、ステートレスなソフトウェア・アプライアンスを介して提供することができる。仮想マシン及びソフトウェアを備えた管理型リモートアクセス・アプライアンス(RAA)は、専用、マネージド、又はアンマネージドとすることができる、何らかのリモートアクセス・ワークステーションから一様に産業プラントへのリモートアクセスを開始するために使用される。アプライアンスの基盤となる仮想マシンは、アンマネージド・ワークステーションから呼び出された場合でも、ポリシーによって管理することができる制御環境を提供する。アプライアンスは、スマートカード・クレデンシャルだけで使用することができる。アプライアンスに対するローカル認証クレデンシャルは、プラントネットワークに対する証明書に基づくリモートアクセス認証から切り離され、両方ともスマートカードに保管される。安全な対話型リモートアクセスは、安全なマシン間リモートアクセス又は通信によって提供することができる。
【0009】
リモートアクセス・サービスは、ユーザとトークンライフサイクルとの管理、ソフトウェア構成管理、階層型セキュリティを用いたアクセス制御及び認証、並びにリモートアクセスの監査証跡に関するセキュリティポリシー及びプロセスを自動化する技術的なサイバーセキュリティ制御サービスを含むことができるが、これらに限定されない。階層型セキュリティは、2以上の個人が産業プラントに対する予定内及び予定外のリモートアクセスの認可に関与することを可能にすることができ、監査ログは、プラントインフラへの安全なリモートアクセスを可能にしたいと望むプラントのセキュリティポリシーにおいて付加的な制御レベルを提供する。
【0010】
スマートカードは、ハードウェア・エンドポイントセキュリティ技術を備えることができ、ISO7816接触型インタフェース及びISO14443A非接触型インタフェース、Bluetooth(BLE)インタフェースを備え、モバイル及び非モバイル機器にわたる物理的トランザクションと共に、デジタルトランザクションのためのオムニチャネル・セキュリティに使用される柔軟性を提供する。プラットフォーム・アゴニストの低レベルインタフェース仕様及びプラットフォーム固有の高レベルAPIライブラリは、スマートカードに利用でき、これは、随意的にID及びトランザクション用のデジタルセキュリティ・プラットフォームと相互運用することができ、利便性及び使用感を損なうことなく、業界最高レベルを含む全てのNIST保証レベルをサポートする階層型ステップアップ・セキュリティを提供する。スマートカードは、組織が便利で慣れ親しんだフォームファクターで分散型ユーザ認証を実施し、強力な認証と安全策の強化を提供し、サイバーセキュリティのリスク及び運用コストを大幅に削減することを可能にする。
【0011】
スマートカードのセキュアエレメント(SE)は、最高レベルの内蔵式耐タンパー性、安全な保管、及びハードウェア暗号化を提供する。セキュアエレメントは、クレデンシャル、暗号鍵、及びX.509証明書の保管を可能にし、ハッカーによる抜き取りを不可能にする。セキュアエレメントは、PIN及び2048ビットのRSA秘密鍵を、関連するX.509証明書と共に保管する。PINは、セキュアエレメントのEEPROM(電気的消去可能プログラマブルROM)にPINオブジェクトとして常駐し、抜き取ることはできない。PINは盗むことができない。古いPINが知られると、PINを変更することができる。秘密鍵はPrivateKeyオブジェクトとしてセキュアエレメントのEEPROMに常駐し、抜き取ることができない。秘密鍵は削除可能であり,PINが知られると、新規のものを作成することができる。秘密鍵は盗むことができない。セキュアエレメントはNIST FIPS 140-2の認定を受けており、改竄防止付きである。秘密鍵は、トランザクションに署名するために使用される。スマートカード内のセキュアエレメントへのアクセスは、PINを用いた認証に成功した後にのみ認められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされ、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
【0012】
スマートカードについては、システムに対する個人の役割に応じて、管理者用、監督者用、リモートユーザ用を含む、3種類を用意することができる。3種類のカード全てに、セキュアエレメント上で生成されたクライアントユーザ証明書が与えられる。スマートカードは、スマートカードリーダなどの接触型インタフェース、或いはBluetooth(BLE)又は無線自動識別(RFID)などの非接触型インタフェースを用いて、他のデバイスと通信することができる。
【0013】
リモートアクセス・サービスにより、ユーザ、スマートカード・トークン、及びアプライアンス(仮想マシン及びソフトウェア)状態と共に、リモートアクセスの認可及びポリシー、並びに階層型セキュリティ制御の管理が可能となる。リモートアクセス・サービスは、対話型リモートアクセスを管理及び監査するための技術的なサイバーセキュリティ制御を実行する。監督者用モバイルアプリケーションは、リモートアクセスの認可及びアクセス制御のために階層型セキュリティ制御を実行し、スマートカードを用いた2要素認証は、モバイルデバイス上で実行される。管理者用のモバイルタブレット・アプリケーションは、リモートアクセスの認可及びアクセス制御のために階層型セキュリティ制御を実行し、スマートカードを用いた2要素認証は、モバイルタブレット・デバイス上で実行される。
【0014】
リモートアクセス・サービスは、相互に認証されたトランスポート層セキュリティ(TLS)チャネルを介したデータ交換を用いて、ユーザプラント情報の保管とアクセス要求の検証とを担当し、同様に技術的なサイバーセキュリティ制御サービスを担当する。セキュリティ制御は、アメリカ国立標準技術研究所による文書「NIST SP800-53 rev.4」のガイドラインに従う。技術的なサイバーセキュリティ制御サービスは、アカウント管理、アクセス制御、情報フロー実行、ログイン失敗の制御、システム使用通知、同時セッション制御、セッション終了、識別又は認証なしで許可されたアクション、セキュリティ属性と送信、リモートアクセス、監査可能なイベント、監査記録及び記憶容量、監査レビュー及び分析、監査報告、タイムスタンプ、否認防止、識別及び認証、サービス妨害保護、送信の完全性及び機密性、暗号の使用、公開鍵基盤証明書、保存情報の保護、仮想化技術、悪質コード保護、ソフトウェア及び情報の完全性制御、情報入力制限、並びにマルウェアに対する保護を含むことができるが、これらに限定されない。
【0015】
アカウント管理システムは、管理者、監督者、及び少なくとも1人のエンドユーザという3種類の役割を含むことができる。管理者は、他の管理者、監督者、エンドユーザを作成、変更、又は削除することができる。また、管理者は、監督者が認可しなければならないエンドユーザに対するアクセススケジュールを作成することができる。監督者は、ユーザに対してワークステーションへのアクセスを認める又は拒否する特権を有する。エンドユーザは、ワークステーションへの予定内又は予定外のアクセス権を有することができる。個人のIDは、局所化PINで保護されたスマートカードを用いて確立される。アクセス制御のために、管理者は、プラント、ユーザ、ワークステーションを設定し、ユーザをプラント及びワークステーションに関連付けるアクセス権を有する。また、管理者は、ユーザを作成してスマートカードをユーザに与えるために使用されるプロビジョニングツールへのアクセス権を有する。監督者は、監督者アプリケーションを介して認可要求にアクセスすることができ、予定内又は予定外のアクセス要求を認める又は拒否する特権を有する。エンドユーザは、アクセスが予定されていた場合はワークステーションにアクセスすることができ、或いは予定外のアクセスを要求することができる。エンドユーザは、管理者及び監督者のツールにアクセスすることができない。監督者は、管理者及びエンドユーザのツールにアクセスすることができない。
【0016】
特定のアクションは、識別又は認証なしで許可される場合がある。監督者及び管理者用のアプリケーションでは、アプリケーションのユーザは通知を見ることができる。しかしながら、スマートカードとPINを用いてユーザが認証されるまで、通知に対してアクションを実行することはできない。セッションは、ログインに成功すると作成され、ログアウトすると終了する。複数の同時セッションが可能となる場合がある。エンドユーザのログイン、ログアウト、及びワークステーションへのアクセスを監督者に知らせるシステム使用通知が、監督者に送られる。ログインに失敗した場合、スマートカードのセキュアエレメント内の秘密鍵へのアクセスは、PINによって保護される。入力されたPINが間違っている場合、ユーザはPINの再入力を求められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされる。スマートカードは、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
【0017】
ワークステーションへのリモートアクセスは、予定内又は予定外とすることができる。しかしながら、ワークステーションへのアクセスには、監督者による事前の認可が必要とされる。監査可能なイベントと監査記録の内容は、データベースサーバに割り当てられたサイズによってのみ制限される記憶容量でもって、データベースに安全に保存された全てのトランザクションイベントを含む。タイムスタンプは、協定世界時(UTC)に従って保存される。否認防止はRSA暗号システムのデジタル署名方式で実現され、トランザクション情報は監査用にデータベースに保存される。識別及び認証については、プロビジョニング時に管理者が個人の物理的識別を行ってから、スマートカードをユーザに割り当てる。認証の際、ユーザはスマートカードにPINを与える必要がある。認証は、ユーザ証明書及びサーバ証明書が検証される相互認証TLSチャネル上で行われる。
【0018】
特定の実施形態では、「暗号モジュールに対するセキュリティ要件」と題する連邦情報処理標準文書140-2(FIPS 140-2)に従う暗号規格が使用される。公開鍵基盤証明書については、有効な認証局(CA)は、ユーザ証明書を提供する必要がある。ユーザ証明書として、RSA(2048ビット鍵)X.509証明書が使用される。仮想化技術は、キオスクモードで動作するリモートアクセス・アプライアンス(RAA)を必要とする。悪質コード保護は、アプリケーションの完全性チェックにより達成される。極秘データの入力のために、ランダム化ソフトウェアPINパッドを用いる情報入力の制限が設計される。これにより、キーロギング及びスクリーンスクレイピングからシステムが保護される。
【0019】
単一プラントネットワークの産業用制御システムに対する安全なリモートアクセスの一実施形態について、簡単な高レベルアーキテクチャ図を図1に示す。この図は、主要な要素とデータフローを用いて、このシステムの大まかな全体像を提供する。本システムは、セッション監視ソフトウェア及びレガシーリモートアクセスなど、既存のソフトウェア技術を妨げない態様で、リモートアクセスに対して安全で、分散された、監査可能な手法を提供する。説明は、1つの産業プラントに関するが、基礎となるアーキテクチャは、複数の産業プラントにも使用することができる。複数のプラントへ展開する実施形態では、u4iaデジタルセキュリティ・プラットフォームは、全てのプラント間で連携運用され、また、各プラントは耐障害性のためにそれ自身の独立したu4iaインスタンスを有することになる。
【0020】
特定の例示的な実施形態によれば、図1の産業用制御システム10に対する安全なリモートアクセスの主要な要素には、適切なソフトウェアで構成されたラップトップであり、インタネット上でクラウドコンピューティング104と通信するリモートアクセス(RA)デバイス102と、Tyfone社のSideAssureが提供するようなサーバ及びソフトウェアの集合体などの、コンピュータセキュリティにおいて非武装地帯(DMZ)112として知られるリモートアクセスの物理的又は論理的境界ネットワーク或いはスクリーン・サブネットワークと、プラント制御ネットワーク120と、が含まれる。リモートアクセスDMZ112は、安全な仮想プライベートネットワーク(VPN)の末端エンドポイント114、安全なジャンプホスト116、及びu4iaサーバ118の認証アプライアンスを備える。プラント制御ネットワーク120は、SideCardデバイスを発行し管理するために使用されるソフトウェアで構成されたラップトップであるパーソナル化キオスク126と、リモートアクセスが提供されているクライアントネットワーク内の対象コンピュータである少なくとも1つのエンジニアリングワークステーション124と、プラント制御ネットワーク内のユーザ及びマシンに対するログオン及びポリシーアクセスを仲介するWindows Active Directory・ドメインコントローラ122と、を備える。この説明では、エンジニアリングワークステーションは、制御システム構成要素の一例である。別の実施形態では、制御システム構成要素は、セキュリティワークステーション、ヒューマンマシン・インタフェース(HMI)、監督ワークステーション、ログサーバ、ヒストリアン、又はグループポリシー構造を利用できるいずれかの制御システム構成要素を含むことができるが、これらに限定されない。また、制御システム構成要素は、プログラマブルロジックコントローラ(PLC)対ヒューマンマシン・インタフェース(HMI)、又はPLC間通信を含むことができるがこれらに限定されない、マシン間通信用のいずれかの現場指揮システム(ICS)構成要素とすることができる。
【0021】
図示の実施形態では、適切な帯域幅及びレイテンシ特性を備えたインタネットアクセス104は、リモートアクセス(RA)デバイス102から、ファイアウォール106を介してプラント管理ネットワーク108に入る。プラント管理ネットワーク108は、直接接続によって又はファイアウォール・ゲートウェイ110を経由して、リモートアクセスDMZ112のネットワークに接続することができる。ファイアウォール・ゲートウェイを経由する場合、リモートアクセスDMZ112への必要な出入りを許可するために、必要に応じてルールを設定する必要がある。リモートアクセスDMZ112は、ファイアウォール・ゲートウェイ110を経由してプラント制御ネットワークに接続することができ、それに関して、必要に応じて、DMZから特定のエンジニアリングワークステーション124への出入りを許可するようにルールが設定される。プラントネットワーク・セキュリティの最終責任はプラントオペレータにあるため、プラントオペレータは一般に、全ファイアウォールの制御とネットワーク監視とを維持することになる。プラント制御ネットワーク120は他のネットワークから隔離されており、詳細には、インバウンドトラフィック又はアウトバウンドトラフィックのいずれについてもインタネットへの経路を含まない。
【0022】
産業用制御システム20に安全にリモートアクセスするためのシステム及び方法に関するエンドユーザ認可流れ図が、ワークステーションへの予定されたユーザアクセスについて図2に示してある。この例示的な実施形態によれば、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムは、サイドカード(SideCard)を持つ安全なユーザ200に端を発する安全なユーザ認証、安全な対話型リモートアクセス210、及びリモートアクセス・サービス220を含む。
【0023】
ステップ1では、サイドカードを持つ安全なユーザ200が、スマートカード(サイドカード)をカードリーダに挿入し、PINを入力する(201)。安全な対話型リモートアクセス210のリモートアクセス・アプライアンス(RAA)仮想マシンが開かれ、ステップ2でPINを検証し、証明書を要求する(202)。ステップ3では、スマートカードが、ユーザ証明書を安全な対話型リモートアクセス210のリモートアクセス・アプライアンスに提供する(203)。ユーザの証明書とリモートアクセス・サービス(RAS)220の証明書とを用いて、ステップ4で相互認証TLSチャネルが確立される(211)。リモートアクセス・サービス220は、プラント情報とu4iaデジタルセキュリティ・プラットフォームとを含むサーバを備える。
【0024】
ステップ5では、安全な対話型リモートアクセス・アプライアンス(RAA)210が、ユーザ証明書をリモートアクセス・サービス(RAS)220に送信する(212)。ステップ6では、リモートアクセス・サービス220がユーザ証明書を検証し、ユーザ情報オブジェクトを安全な対話型リモートアクセス210に送信する(213)。ステップ7では、安全な対話型リモートアクセス210が、プラント及びワークステーション詳細を要求する要求をリモートアクセス・サービス220に送信する(214)。ステップ8では、リモートアクセス・サービス220が、プラント及びワークステーション詳細を安全な対話型リモートアクセス210に送信する(215)。ステップ9では、安全な対話型リモートアクセス210が、予定されたワークステーションアクセス要求をリモートアクセス・サービス220に送信する(216)。ステップ10では、リモートアクセス・サービス220は、アクセス時間に基づいてエンドユーザ及びワークステーションに関連するルールをチェックし、それが予定されたアクセスであると判定する(217)。
【0025】
予定された要求は、プラント監督者の認可を必要としない。ステップ11で、安全な対話型リモートアクセス210は、仮想プライベートネットワーク(VPN)に接続し、次にリモートデスクトップ・プロトコル(RDP)ゲートウェイに接続し、最後にプラント制御ネットワーク230内のエンジニアリングワークステーションに接続する(218)。要求が予定外であった場合、ワークステーションへのアクセスにはプラント監督者の認可が必要とされることになる。
【0026】
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするための、安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含む、ここで提供するシステム及び方法は、数多くの重要で有利な属性を実装する。接触型又は非接触型インタフェースを介して接続された分散型セキュアエレメント物理的トークンは、大量盗難及びリモートクレデンシャルの収集を防止し、紛失認識を可能にして、紛失又は盗難にあったアクセスカードがユーザにより容易に検出されるようにする。強力な暗号化と最高レベルのNIST 800-63 認証子保証レベル(Authenticator Assurance Level:AAL)-レベル3が有効であり、非対称な(NIST LOA3)強力暗号認証が必要とされる複数のチェックポイントを経由したトラフィック設定により、防御が層状化される。
【0027】
産業用制御システムに安全にリモートアクセスするための提供されるシステム及び方法は、制御システム用の完全なソリューションにおける業界のベストプラクティスを実装し、ステートレスなゲスト・オペレーティングシステム、ゲストの完全性検証、及び堅牢化されたゲスト・オペレーティングシステムを利用することによってホスト(ユーザデバイス)が危険にさらされる可能性を軽減する、総合的なソリューションである。アクセス制御リストは、インバウンドトラフィックをフィルタ処理し、アウトバウンドトラフィックを制限するために使用され、アクセス制御は、計画的に又は特別に、セッションごとに独立して認可される。ネットワークは監視されて、トラフィックのログが取られ、トラフィックフローが監査される。また、リモートデスクトップ・プロトコル(RDP)のシャドーイング、及び強制的なセッション終了も可能である。ここに提供する安全なリモートアクセスのためのシステム及び方法は、仮想プライベートネットワーク(VPN)を利用し、既存のアーキテクチャに容易に統合される。
【0028】
実施例
例示的かつ非限定的に、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするための提示されるシステム及び方法の実施例は、安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含むことができる。
例示的かつ非限定的に、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするための提示されるシステム及び方法の実施例は、安全なユーザ認証、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信、及びリモートアクセス・サービスを含むことができる。
【0029】
1.エンドユーザは、ユーザのスマートカードを、リモートアクセス・アプライアンス(RAA)仮想マシンが開かれているカードリーダに挿入する。これは、プラント内のワークステーションにアクセスするためにエンドユーザが使用するWindowsキオスク仮想マシンである。
2.ユーザはスマートカードの個人識別番号(PIN)を入力し、リモートアクセス・アプライアンスはスマートカードに「PINの検証」要求を送信する。
3.スマートカードはユーザのPINを検証する。
4.入力されたPINが間違っている場合、ユーザはPINの再入力を求められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされ、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
5.入力されたPINが正しい場合、リモートアクセス・アプライアンスは、スマートカードにユーザ証明書の詳細を求める。
6.スマートカードは、ユーザ証明書をリモートアクセス・アプライアンスに提供する。この証明書は公開鍵についての情報だけを有することに留意されたい。
7.ユーザの証明書とリモートアクセス・サービス(RAS)の証明書とを用いて、相互認証TLSチャネルが確立される。リモートアクセス・サービスは、プラント情報とu4iaデジタルセキュリティ・プラットフォームとを含むサーバである。
8.リモートアクセス・アプライアンス(RAA)は、ユーザ証明書をリモートアクセス・サービス(RAS)に送信する。
9.リモートアクセス・サービスは、発行者証明書を用いてユーザ証明書を検証する。
10.ユーザ証明書が有効である場合、ユーザ情報がリモートアクセス・アプライアンスに送信される。
11.リモートアクセス・アプライアンスは、プラント及びワークステーションに関する情報を取得するために、リモートアクセス・サービスに要求を送信する。
12.リモートアクセス・サービスは、プラント及びワークステーションの情報をリモートアクセス・アプライアンスに送信する。
13.エンドユーザは、アクセスを必要とするワークステーションを選択することになる。リモートアクセス・アプライアンスは、この要求をリモートアクセス・サービスに送信する。
14.リモートアクセス・サービスは、アクセス時間に基づいてエンドユーザ及びワークステーションに関連するポリシーをチェックし、それが予定外アクセスであるか、又は予定されたアクセスであるかを決定する。
15.予定された要求は、プラント監督者の認可を必要としない。リモートアクセス・アプライアンスは、仮想プライベートネットワーク(VPN)に接続し、次にリモートデスクトップ・プロトコル(RDP)ゲートウェイに接続し、最後にワークステーションに接続することになる。仮想プライベートネットワーク、リモートデスクトップ・プロトコル・ゲートウェイ、及びワークステーションへのアクセスには、スマートカードを必要とする。ユーザのPINは、リモートアクセス・アプライアンスによって自動的に入力される。
16.予定外の要求である場合、ワークステーションへのアクセスには、プラント監督者の認可を必要とする。リモートアクセス・アプライアンスは、アクセス要求に対してリモートアクセス・サービスにステータスを問い合わせるステップを開始するものとする。
17.リモートアクセス・サービスは、プラントに関連する監督者を認識する。
18.リモートアクセス・サービスは、アクセス要求の詳細及びチャレンジと共にプッシュ通知をプラントの監督者に送信することになる。
19.リモートアクセス・サービスは、アクセス要求のデジタルレシートを作成する。
20.監督者は通知をクリックすることになる。
21.監督者アプリケーションが開かれ、監督者は、カードのトークンシリアル番号(TSN)を入力するよう求められる。スマートカードが既に監督者のモバイルデバイスとペアリングされている場合、TSNは自動的に入力されることに留意されたい。監督者アプリケーションは、プラント内のワークステーションへのアクセスを認可するために使用されるモバイルアプリケーションである。
22.監督者がスマートカードをオンにする。
23.監督者のデバイスは、Bluetooth(BLE)接続を用いてスマートカードに接続する。
24.監督者アプリケーションは、スマートカード内のグループ識別子(GIDS)アプレットを初期化することになる。
25.監督者がPINを入力する。
26.監督者アプリケーションがスマートカードにPINの検証要求を送信する。
27.入力されたPINが間違っている場合、ユーザはPINの再入力を求められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされ、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
28.入力されたPINが正しい場合、監督者アプリケーションは、スマートカードにユーザ証明書の詳細を求める。
29.スマートカードは、監督者アプリケーションにユーザ証明書を提供する。この証明書は公開鍵についての情報だけを有することに留意されたい。
30.監督者の証明書とリモートアクセス・サービスの証明書とを用いて、監督者アプリケーションとリモートアクセス・サービスの間に相互認証TLSチャネルが確立される。
31.監督者アプリケーションは、通知からトランザクションの詳細を取得する。
32.トランザクションに関する付加的なデータについては、監督者アプリケーションがリモートアクセス・サービスから取得する。
33.監督者アプリケーションは、監督者がアクセス要求を受諾するか拒否するかを問わず、トランザクションに署名する必要があることに留意されたい。署名すべきトランザクション情報及びチャレンジは、セキュア・ハッシュアルゴリズム256ビット(sha256)を用いてハッシュ化され、デジタル署名のためにスマートカードに送信される。
34.スマートカードは、RSA・2048ビット秘密鍵を用いて、ハッシュ化されたトランザクション及びチャレンジに署名し、それを監督者に送信する。
35.監督者アプリケーションは、検証のためにその署名をリモートアクセス・サービスに送信する。
36.リモートアクセス・サービスは、デジタル署名を検証するためにデジタルレシートを用いる(トランザクション情報及びチャレンジを取得するために)。
37.検証が成功した場合、成功メッセージが監督者アプリケーションに送信される。
38.検証に失敗した場合、エラーメッセージが監督者アプリケーションに送信される。
39.検証結果はデジタルレシート内で更新され、監査及び報告の目的で維持される。
40.アクセス要求に関するステータスをリモートアクセス・サービスに問い合わせているリモートアクセス・アプライアンスは、以下の応答を取得することができる。
承認:これは、ワークステーションに対するアクセス要求が監督者によって承認されたことを示す。
保留:これは、ワークステーションに対するアクセス要求が監督者によってまだ承認されていないことを示す。
拒否:監督者がアクセス要求を拒否した。
期限切れ:アクセス要求の期限が切れた。
失敗:検証に失敗した。
2.ユーザはスマートカードの個人識別番号(PIN)を入力し、リモートアクセス・アプライアンスはスマートカードに「PINの検証」要求を送信する。
3.スマートカードはユーザのPINを検証する。
4.入力されたPINが間違っている場合、ユーザはPINの再入力を求められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされ、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
5.入力されたPINが正しい場合、リモートアクセス・アプライアンスは、スマートカードにユーザ証明書の詳細を求める。
6.スマートカードは、ユーザ証明書をリモートアクセス・アプライアンスに提供する。この証明書は公開鍵についての情報だけを有することに留意されたい。
7.ユーザの証明書とリモートアクセス・サービス(RAS)の証明書とを用いて、相互認証TLSチャネルが確立される。リモートアクセス・サービスは、プラント情報とu4iaデジタルセキュリティ・プラットフォームとを含むサーバである。
8.リモートアクセス・アプライアンス(RAA)は、ユーザ証明書をリモートアクセス・サービス(RAS)に送信する。
9.リモートアクセス・サービスは、発行者証明書を用いてユーザ証明書を検証する。
10.ユーザ証明書が有効である場合、ユーザ情報がリモートアクセス・アプライアンスに送信される。
11.リモートアクセス・アプライアンスは、プラント及びワークステーションに関する情報を取得するために、リモートアクセス・サービスに要求を送信する。
12.リモートアクセス・サービスは、プラント及びワークステーションの情報をリモートアクセス・アプライアンスに送信する。
13.エンドユーザは、アクセスを必要とするワークステーションを選択することになる。リモートアクセス・アプライアンスは、この要求をリモートアクセス・サービスに送信する。
14.リモートアクセス・サービスは、アクセス時間に基づいてエンドユーザ及びワークステーションに関連するポリシーをチェックし、それが予定外アクセスであるか、又は予定されたアクセスであるかを決定する。
15.予定された要求は、プラント監督者の認可を必要としない。リモートアクセス・アプライアンスは、仮想プライベートネットワーク(VPN)に接続し、次にリモートデスクトップ・プロトコル(RDP)ゲートウェイに接続し、最後にワークステーションに接続することになる。仮想プライベートネットワーク、リモートデスクトップ・プロトコル・ゲートウェイ、及びワークステーションへのアクセスには、スマートカードを必要とする。ユーザのPINは、リモートアクセス・アプライアンスによって自動的に入力される。
16.予定外の要求である場合、ワークステーションへのアクセスには、プラント監督者の認可を必要とする。リモートアクセス・アプライアンスは、アクセス要求に対してリモートアクセス・サービスにステータスを問い合わせるステップを開始するものとする。
17.リモートアクセス・サービスは、プラントに関連する監督者を認識する。
18.リモートアクセス・サービスは、アクセス要求の詳細及びチャレンジと共にプッシュ通知をプラントの監督者に送信することになる。
19.リモートアクセス・サービスは、アクセス要求のデジタルレシートを作成する。
20.監督者は通知をクリックすることになる。
21.監督者アプリケーションが開かれ、監督者は、カードのトークンシリアル番号(TSN)を入力するよう求められる。スマートカードが既に監督者のモバイルデバイスとペアリングされている場合、TSNは自動的に入力されることに留意されたい。監督者アプリケーションは、プラント内のワークステーションへのアクセスを認可するために使用されるモバイルアプリケーションである。
22.監督者がスマートカードをオンにする。
23.監督者のデバイスは、Bluetooth(BLE)接続を用いてスマートカードに接続する。
24.監督者アプリケーションは、スマートカード内のグループ識別子(GIDS)アプレットを初期化することになる。
25.監督者がPINを入力する。
26.監督者アプリケーションがスマートカードにPINの検証要求を送信する。
27.入力されたPINが間違っている場合、ユーザはPINの再入力を求められる。間違ったPIN入力の最大回数は制限される。PINの最大入力回数が設定値を超えると、カードはブロックされ、例えばパーソナル化キオスクを用いて、管理者によってユーザが使えるように再設定する必要があることになる。
28.入力されたPINが正しい場合、監督者アプリケーションは、スマートカードにユーザ証明書の詳細を求める。
29.スマートカードは、監督者アプリケーションにユーザ証明書を提供する。この証明書は公開鍵についての情報だけを有することに留意されたい。
30.監督者の証明書とリモートアクセス・サービスの証明書とを用いて、監督者アプリケーションとリモートアクセス・サービスの間に相互認証TLSチャネルが確立される。
31.監督者アプリケーションは、通知からトランザクションの詳細を取得する。
32.トランザクションに関する付加的なデータについては、監督者アプリケーションがリモートアクセス・サービスから取得する。
33.監督者アプリケーションは、監督者がアクセス要求を受諾するか拒否するかを問わず、トランザクションに署名する必要があることに留意されたい。署名すべきトランザクション情報及びチャレンジは、セキュア・ハッシュアルゴリズム256ビット(sha256)を用いてハッシュ化され、デジタル署名のためにスマートカードに送信される。
34.スマートカードは、RSA・2048ビット秘密鍵を用いて、ハッシュ化されたトランザクション及びチャレンジに署名し、それを監督者に送信する。
35.監督者アプリケーションは、検証のためにその署名をリモートアクセス・サービスに送信する。
36.リモートアクセス・サービスは、デジタル署名を検証するためにデジタルレシートを用いる(トランザクション情報及びチャレンジを取得するために)。
37.検証が成功した場合、成功メッセージが監督者アプリケーションに送信される。
38.検証に失敗した場合、エラーメッセージが監督者アプリケーションに送信される。
39.検証結果はデジタルレシート内で更新され、監査及び報告の目的で維持される。
40.アクセス要求に関するステータスをリモートアクセス・サービスに問い合わせているリモートアクセス・アプライアンスは、以下の応答を取得することができる。
承認:これは、ワークステーションに対するアクセス要求が監督者によって承認されたことを示す。
保留:これは、ワークステーションに対するアクセス要求が監督者によってまだ承認されていないことを示す。
拒否:監督者がアクセス要求を拒否した。
期限切れ:アクセス要求の期限が切れた。
失敗:検証に失敗した。
【0030】
従って、第1の実施形態では、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムが提供され、本システムは、
安全なユーザ認証と、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、
リモートアクセス・サービスと、
を含む。
安全なユーザ認証と、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、
リモートアクセス・サービスと、
を含む。
【0031】
第1の実施形態によれば、安全なユーザ認証は、スマートカードに基づく2要素認証(2FA)又は3要素認証(3FA)を含む。第1の及び後続の実施形態によれば、安全なユーザ認証は、スマートカードの所持と、対応する個人識別番号(PIN)の知識と、随意的に生体認証と、を含むことができる。第1の実施形態及び後続の実施形態によれば、スマートカードは、クレデンシャルと、暗号鍵と、X.509証明書とを保管するセキュアエレメント(SE)を含む。また、第1の及び後続の実施形態によれば、管理者、監督者、及びエンドユーザ用のスマートカードは、異なる機能を有する。
【0032】
第1の実施形態及び後続の実施形態によれば、安全な対話型リモートアクセスは、仮想マシンとソフトウェアとを含む管理型リモートアクセス・アプライアンス(RAA)を備える。第1の実施形態及び後続の実施形態によれば、管理型リモートアクセス・アプライアンス(RAA)は、スマートカード・クレデンシャルだけで使用することができる。
【0033】
第1の実施形態及び後続の実施形態によれば、リモートアクセス・サービスは、ユーザとトークンのライフサイクルとの管理、ソフトウェア構成管理、階層型セキュリティを用いたアクセス制御と認可、並びにリモートアクセスの監査証跡に関するセキュリティポリシー及びプロセスを自動化する技術的なサイバーセキュリティ制御サービスを含む。第1の実施形態及び後続の実施形態によれば、リモートアクセス・サービスは、ユーザ、スマートカード・トークン、リモートアクセス・アプライアンス(RAA)状態、リモートアクセス認可及びポリシー、並びに階層型セキュリティ制御の管理を含むことができる。
【0034】
第2の実施形態では、産業用制御システムに安全にリモートアクセスするための方法が提供され、本方法は、
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムを提供するステップと、
安全なユーザ認証を実行するステップと、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信を提供するステップと、
リモートアクセス・サービスを提供するステップと、
を含む。
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムを提供するステップと、
安全なユーザ認証を実行するステップと、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信を提供するステップと、
リモートアクセス・サービスを提供するステップと、
を含む。
【0035】
第2の実施形態によれば、安全なユーザ認証を実行するステップは、スマートカードの所持と、個人識別番号(PIN)と、随意的に生体認証とを必要とする2要素認証(2FA)又は3要素認証(3FA)を提供するステップを含む。第2の実施形態及び後続の実施形態によれば、安全な対話型リモートアクセスを提供するステップは、仮想マシン及びソフトウェアを含むリモートアクセス・アプライアンス(RAA)でスマートカードPINを認可するステップを含むことができる。
【0036】
第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、管理者、監督者、及び少なくとも1人のエンドユーザの役割に関するアカウント管理を提供するステップを含む。第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、RSA暗号システムのデジタル署名方式を用いることによって否認防止を提供するステップを含むことができる。第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、全てのトランザクションイベントをデータベースに安全に保存することによって監査可能な記録を提供するステップを含むことができる。
【0037】
第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、間違ったPIN入力の回数を制限するステップを含む。第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、エンドユーザのログイン、ログアウト及びワークステーションアクセスを監督者に知らせるシステム使用通知を、監督者に送信するステップを含むことができる。
【0038】
第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、識別及び認可プロセスを提供するステップを含むことができる。第2の実施形態及び後続の実施形態によれば、リモートアクセス・サービスを提供するステップは、ワークステーションへのユーザアクセスを認可するように監督者に要求するステップを含むことができる。
【0039】
安全なユーザ認証と、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、リモートアクセス・サービスとを含む、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステム及び方法は、様々な例示的実施形態に関連して説明されるが、本明細書に記載した実施形態は単なる例示であり、当業者であれば、実施形態の趣旨及び範囲から逸脱することなく、変形及び変更を加えることができることを理解されたい。このような全ての変形及び変更は、上記のような実施形態の範囲内に含まれることが意図されている。
【0040】
さらに、様々な実施形態を組み合わせて所望の結果を提供することができるので、開示された全ての実施形態は必ずしも代替手段ではない。従って、安全なユーザ認証と、安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、リモートアクセス・サービスとを含む、ハードウェアベースの認証を用いて産業制御システムに安全にリモートアクセスするためのシステム及び方法は、いずれかの単一の実施形態に限定されるのではなく、むしろ、特許請求の範囲の記載による広さ及び範囲で解釈されることが意図されている。
【図1】
【図2】
【手続補正書】
【提出日】2023-01-30
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムであって、安全なユーザ認証と、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信と、
リモートアクセス・サービスと、
を含むシステム。
【請求項2】
前記安全なユーザ認証は、スマートカードに基づく2要素認証(2FA)又は3要素認証(3FA)を含み、好ましくは、前記スマートカードは、クレデンシャルと、暗号鍵と、X.509証明書とを保管するセキュアエレメント(SE)を含み、
または、好ましくは、管理者、監督者、及びエンドユーザ用の前記スマートカードは、異なる機能を有する、
請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項3】
前記安全なユーザ認証は、スマートカードの所持と、対応する個人識別番号(PIN)の知識と、任意選択で生体認証と、を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項4】
前記安全な対話型リモートアクセスは、仮想マシンとソフトウェアとを含む管理型リモートアクセス・アプライアンス(RAA)を含み、好ましくは、前記管理型リモートアクセス・アプライアンス(RAA)は、スマートカード・クレデンシャルだけで使用することができる、
請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項5】
前記リモートアクセス・サービスは、ユーザとトークンのライフサイクルとの管理、ソフトウェア構成管理、階層型セキュリティを用いたアクセス制御と認可、並びにリモートアクセスの監査証跡に関するセキュリティポリシー及びプロセスを自動化する技術的なサイバーセキュリティ制御サービスを含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項6】
前記リモートアクセス・サービスは、ユーザ、スマートカード・トークン、及びリモートアクセス・アプライアンス(RAA)状態の管理を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項7】
前記リモートアクセス・サービスは、リモートアクセス認可及びポリシーと階層型セキュリティ制御との管理を含む、請求項1に記載の産業用制御システムに安全にリモートアクセスするためのシステム。
【請求項8】
産業用制御システムに安全にリモートアクセスするための方法であって、ハードウェアベースの認証を用いて産業用制御システムに安全にリモートアクセスするためのシステムを提供するステップと、
安全なユーザ認証を実行するステップと、
安全な対話型リモートアクセス或いは安全なマシン間リモートアクセス又は通信を提供するステップと、
リモートアクセス・サービスを提供するステップと、
を含む方法。
【請求項9】
前記安全なユーザ認証を実行するステップは、スマートカードの所持と、個人識別番号(PIN)と、随意的に生体認証とを必要とする2要素認証(2FA)又は3要素認証(3FA)を提供するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項10】
前記安全な対話型リモートアクセスを提供するステップは、仮想マシン及びソフトウェアを含むリモートアクセス・アプライアンス(RAA)でスマートカードPINを認可するステップを含み、好ましくは、前記リモートアクセス・サービスを提供するステップは、間違ったPIN入力の回数を制限するステップを含み、
または、好ましくは、前記リモートアクセス・サービスを提供するステップは、管理者、監督者、及び少なくとも1人のエンドユーザの役割に関するアカウント管理を提供するステップを含む、
請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項11】
前記リモートアクセス・サービスを提供するステップは、RSA暗号システムのデジタル署名方式を用いることによって否認防止を提供するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項12】
前記リモートアクセス・サービスを提供するステップは、全てのトランザクションイベントをデータベースに安全に保存することによって監査可能な記録を提供するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項13】
前記リモートアクセス・サービスを提供するステップは、エンドユーザのログイン、ログアウト及びワークステーションアクセスを監督者に知らせるシステム使用通知を、監督者に送信するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項14】
前記リモートアクセス・サービスを提供するステップは、ワークステーションへのユーザアクセスを認可するように監督者に要求するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【請求項15】
前記リモートアクセス・サービスを提供するステップは、識別及び認可プロセスを提供するステップを含む、請求項8に記載の産業用制御システムに安全にリモートアクセスするための方法。
【国際調査報告】