JP2016201603A - 不正通信検査装置および通信システム - Google Patents

不正通信検査装置および通信システム Download PDF

Info

Publication number
JP2016201603A
JP2016201603A JP2015078796A JP2015078796A JP2016201603A JP 2016201603 A JP2016201603 A JP 2016201603A JP 2015078796 A JP2015078796 A JP 2015078796A JP 2015078796 A JP2015078796 A JP 2015078796A JP 2016201603 A JP2016201603 A JP 2016201603A
Authority
JP
Japan
Prior art keywords
definition
communication
inspection
communication data
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015078796A
Other languages
English (en)
Inventor
淳一 飯島
Junichi Iijima
淳一 飯島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2015078796A priority Critical patent/JP2016201603A/ja
Publication of JP2016201603A publication Critical patent/JP2016201603A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】 ネットワークにおいて発生する通信データを正確に検査し、不正な通信を確実に防止する。【解決手段】 不正通信検査装置100において、設定・動作定義登録機能部103は、制御ネットワーク500を利用して通信を行う装置が従うべき動作定義である動作定義203およびコントローラの設定・プログラム204をエンジニアリングステーション200から通信機能部101等を介して取得し、この動作定義に基づいて、正常な通信データを定義する検査定義113を生成する。通信データ検査機能部102は、制御ネットワーク500から通信機能部101を介して取得した通信データを検査し、検査定義113により定義された通信データのみを許可するとともに、通信機能部101を介して取得した通信データを通信データ114として記録する。【選択図】図2

Description

この発明は、ネットワークを介した通信を検査する装置に係り、特に制御ネットワークにおいて不正な通信を検査する不正通信検査装置に関する。
従来、ポンプやアクチュエータ等の制御や、センサ値を読み出す計測を行う制御システムでは、ベンダによる専用機と、独自の信号線や通信規格が用いられていた。しかし、近年の利用者の利便性向上やコストダウン、オープン化、情報連携といった要請により、制御システムにおいても機器間のネットワーク通信を情報システムで用いられているEthernet(登録商標)やTCP/IP、UDP/IPといったプロトコルを採用する事例が増えている。
しかしながら、これらの広く採用されているプロトコルを採用すると、悪意のある攻撃者によって制御システムが侵害される可能性が増す。また、制御システムの構成要素として想定されていない情報機器が不意に制御ネットワークに接続されることにより、制御システム全体や制御システムを構成する各装置が意図せぬ挙動を示す危険性がある。
情報システムでは、外部からの攻撃である不正な通信を検査する手段として、パケットフィルタ、ファイアウォールという仕組みが用いられている。これは、基本的には事前に図9に例示するような正常な通信の態様、具体的には送信元と宛先を定義し、定義されていない態様の通信を遮断する仕組みである。
また、不正な通信を検査する手段として、IDS(Intrusion Detection System:侵入検査システム)、IPS(Intrusion Prevention System/Intrusion Protection System:侵入防止システム/侵入防御システム)という仕組みがある。
IDSは通信の内容を検査するものであり、シグネチャと呼ばれる検査ルールに基づいて通信を判定することで不正な通信を検知する仕組みである。ここで、シグネチャは、コンピュータウイルスや攻撃者の行う通信のパターンを定義した情報である。
IPSは、通信に関してIDSと同様な判定を行う仕組みである。ただし、IDSが不正な通信を検知しても管理者などへの通知のみ行うものであるのに対し、IPSは不正な通信を遮断するものである。図10は、IDSやIPSにおいて用いられる不正通信の検査ルールを例示するものである。また、図11は、IDSやIPSにより行われる不正通信の検査の結果を例示するものである。
不正な通信を検査するためには、検査のための検査ルールを如何に正確に作成するかが重要である。不適切な検査ルールは、不正でない通信を誤検出し、また、不正な通信を検出し損なう原因となるからである。そこで、情報システムにおいては、セキュリティベンダ等により特定のウイルスのみ判定するシグネチャ等の作成が行われている。
特許第5088403号
しかしながら、制御システムにおいては情報システムと比較して利用される通信が限られている。このため、制御システムには、確実に不正な通信を定義するブラックリスト型ではなく、確実に正常な通信を定義するホワイトリスト型の不正通信の検査が向いている。しかしながら、制御システムの構築者のすべてが通信プロトコルの詳細(利用ポート番号、データフォーマットなど)を把握しているわけではない。また、制御システムの通信プロトコル、特に独自プロトコルや非公開仕様によりシステム構築者も認識していない通信もあり正確なシグネチャを作成することは実際には不可能である。
このような背景から、特に制御システムと他のシステムとの境界で不正な通信を検査し、場合によっては遮断する技術が提案されている。例えば特許文献1では、ネットワーク境界にIDSを拡張した通信検出装置を設け、この通信検出装置により不正な通信を検出し、制御システムを保護する。しかし、この特許文献1に開示の技術では、制御ネットワークの内部の機器がウイルスに感染した場合や、不正な機器が制御ネットワークに接続された場合に、これらの機器による脅威から制御ネットワークを守ることができない。
また、特許文献1に開示された不正通信検査技術では、不正な通信を定義するリストを如何にして作成するかが重要であるが、特許文献1には、このリストの作成方法に関する説明がない。
一方、特許文献1では、情報システムへのIPS装置導入時に通常行われることと同様、一定期間の通信データを収集・分析し、正常な通信データを定義する情報を通信許可リストに登録する手法が提案されている。しかし、制御システムにおいては仮に20年連続稼働したとしても一度も発生しないような設備の故障などの際にのみ発生する通信データも存在する。特許文献1に開示の技術を採用した場合、このような発生頻度の著しく低い通信データを定義する情報が通信許可リストに登録されない可能性が高い。しかし、そのような通信許可リストに定義情報が登録されていない通信データが発生した場合には、正常な通信データであるにも拘わらず、不正通信と判定され、通信が遮断される問題が発生する。
この発明は、以上のような事情に鑑みてなされたものであり、ネットワークにおいて発生する通信データを正確に検査し、不正な通信を確実に防止する技術的手段を提供することを目的とする。
この発明による不正通信検査装置は、ネットワークを利用して通信を行う装置が従うべき動作定義を取得し、前記動作定義に基づいて、正常な通信データを定義する検査定義を生成する検査定義生成手段と、前記ネットワークから取得した通信データを検査し、前記検査定義により定義された正常な通信データのみを許可する通信データ検査手段とを具備することを特徴とする。
かかる発明によれば、不正通信検査装置は、ネットワークを経由する通信データのうち正常な通信データを正確に漏れなく定義することが可能となる。従って、不正な通信が行われるのを確実に防止することができる。
この発明の一実施形態による不正通信検査装置を含む通信システムの構成を示すブロック図である。 同実施形態における制御システムの構成を示すブロック図である。 同実施形態による不正通信検査装置の動作を示すフローチャートである。 同実施形態におけるコントローラに記憶されたコントローラ設定・プログラムにおいて定義された制御システム内の通信制御に使用される信号とメモリアドレスのリストである。 同実施形態におけるオペレータステーションに記憶された動作定義の例を示す図である。 同実施形態におけるデータベースステーションに記憶された動作定義の例を示す図である。 同不正通信検査装置に記憶された検査定義の例を示す図である。 同実施形態における通信データの検査結果を示すデータを例示する図である。 ファイアウォールにおいて用いられる検査ルールを例示する図である。 IDSやIPSにおいて用いられる検査ルールを例示する図である。 IDSやIPSにおいて行われる不正通信の検査の結果を例示する図である。
以下、図面を参照し、この発明の実施形態について説明する。
図1はこの発明の一実施形態による不正通信検査装置100を含む通信システムの構成を示すブロック図である。図1に示すように、この通信システムは、制御ネットワーク500に接続された制御システム500Sと、情報ネットワーク700に接続された情報システム700Sとを有する。ここで、制御システム500Sと情報システム700Sは、ファイアウォール300などにより隔離されている。
情報ネットワーク700には、オフィスパソコン等によるクライアント装置380が接続されている。このクライアント装置380は、インターネットに代表されるネットワーク800を介してWebサーバやメールサーバ等(図示略)と通信を行う。この通信のセキュリティを確保するため、情報ネットワーク700には、IDS装置340やIPS装置360、ファイアウォール400等が接続されている。ここで、ファイアウォール300、IDS装置340、IPS装置360、ファイアウォール400は、自動的または管理者の指示により、セキュリティベンダ等によって運営されるシグネチャ配布サーバ420にネットワーク800を介してアクセスし、このシグネチャ配布サーバ420からシグネチャの配布を受け、シグネチャを随時更新する。
制御ネットワーク500には、本実施形態による不正通信検査装置100の他に、制御システム500Sを構成するエンジニアリングステーション200、データベースステーション220、オペレータステーション240、コントローラ260が接続されている。これらの各装置は、制御ネットワーク500を介して通信を行う。
ここで、コントローラ260は、例えばPLC(Programmable Logic Controller)、DCS用コントローラ等である。エンジニアリングステーション200、データベースステーション220、オペレータステーション240は、専用装置またはPC(Personal Computer)である。このエンジニアリングステーション200、データベースステーション220、オペレータステーション240の各々は、一台の専用装置またはPCにより構成される場合があり、また、冗長性を考慮して複数台の専用装置またはPCにより構成される場合もある。また、エンジニアリングステーション200、データベースステーション220、オペレータステーション240は、VPN装置などを経由して互いに離れた場所に設置される場合もある。
フィールド機器280は、制御および計測対象であり、例えば各種センサやアクチュエータ、モータ、ポンプ、バルブなどが代表的である。
コントローラ260は、フィールド機器280を制御し、またはフィールド機器280により計測を行うものである。制御システム500Sの規模や重要度に応じて、一台のコントローラ260が設けられる場合もあり、また、複数台のコントローラ260からなる冗長構成が採られる場合もある。また、異機種のコントローラ260からなる同一論理構成のコントローラが用いられる場合もある。また、コントローラ260は、専用装置であってもよいし、PC上で動作するアプリケーションにより実現されるソフトウェアPLCであってもよい。
制御システム500Sと情報システム700Sとの間には制御情報ネットワーク600が介在している。制御ネットワーク500および制御情報ネットワーク600の両方に接続された装置(例えばオペレータステーション240、データベースステーション220)は、制御情報ネットワーク600およびファイアウォール300を介して、情報ネットワーク700に接続された装置(例えばクライアント装置380)と通信することが可能である。また、制御ネットワーク500により接続された制御システム500Sは、制御情報ネットワーク600を介して生産管理システム320等から生産指示や情報の取得を行う。
図2は、図1における制御システム500Sの構成を示すブロック図である。図2に示すように、制御システム500Sは、不正通信検査装置100と、エンジニアリングステーション200と、データベースステーション220と、オペレータステーション240と、コントローラ260とを有する。
エンジニアリングステーション200は、制御ネットワーク500を利用して通信を行う装置が従うべき動作定義を生成する動作定義生成手段である。このエンジニアリングステーション200は、制御システム500S内の他の装置と通信する手段である通信機能部201と、システムの動作定義やコントローラ260のプログラムを作成するエンジニアリング支援機能部202とを保有する。エンジニアリング支援機能部202は、保守画面やトレンド画面といった画面に出す信号の定義や画面の作成、コントローラ260のプログラム開発を行う手段であり、エンジニアリング作業の成果として動作定義203、コントローラ設定・プログラム204を作成する。
データベースステーション220は、制御システム500S内の他の装置と通信する通信機能部221と、制御システム500Sの実績情報などを収集して蓄積データ224として蓄積するデータ収集機能部222を有する。ここで、データ収集機能部222は、エンジニアリングステーション200によって生成された動作定義203から抽出された動作定義223に基づいて動作する。
オペレータステーション240は、制御システム500S内の他の装置と通信するための通信機能部241と、制御システム500Sの実績情報などを表示し、必要に応じて操作指示を行う表示機能・操作機能部242を有する。ここで、表示機能・操作機能部242は、エンジニアリングステーション200によって生成された動作定義203から抽出された動作定義243に基づいて動作する。
コントローラ260は、制御システム500S内の他の装置と通信するための通信機能部261と、コントローラ設定・プログラム263を元に動作し、デジタル信号やアナログ信号の入出力を通じてセンサやアクチュエータの制御を行う計測・制御機能部262とを有する。コントローラ設定・プログラム263は、エンジニアリングステーション200により生成され、通信機能部261等(他の手段として、例えばSDカードなどの媒体やUSBケーブルによる接続などがある)によって取得されたコントローラ設定・プログラム204である。
不正通信検査装置100は、制御ネットワーク500に接続された装置を送信元とする通信データ、制御ネットワーク500に接続された装置を宛先とする通信データが正常な通信データであるか否かを検査し、正常な通信データの通信のみを許可する装置である。図2に示すように、不正通信検査装置100は、通信機能部101と、通信データ検査機能部102と、設定・動作定義登録機能部103とを保有する。ここで、通信データ検査機能部102と、設定・動作定義登録機能部103は、不正通信検査装置100を構成するCPUが不揮発性メモリに記憶されたプログラムを実行することにより実現される機能である。
通信機能部101は、制御ネットワーク500と直接、または制御ネットワーク500の通信データを複製する通信データ複製機能部501を介して間接的に通信を行う手段である。
設定・動作定義登録機能部103は、制御ネットワーク500を利用して通信を行う装置が従うべき動作定義である動作定義203およびコントローラの設定・プログラム204をエンジニアリングステーション200から通信機能部101等を介して取得し、この動作定義に基づいて、正常な通信データを定義する検査定義113を生成する検査定義生成手段である。
通信データ検査機能部102は、制御ネットワーク500から通信機能部101を介して取得した通信データを検査し、検査定義113により定義された通信データのみを許可するとともに、通信機能部101を介して取得した通信データを通信データ114として記録する通信データ検査手段である。
次に本実施形態の動作について説明する。
オペレータがエンジニアリングステーション200に対して動作定義111およびコントローラ設定・プログラム112を登録したとする。この場合、エンジニアリングステーション200のエンジニアリング支援機能部202は、通信機能部201により、制御ネットワーク500を介してコントローラ260、データベースステーション220およびオペレータステーション240に動作定義203およびコントローラ設定・プログラム204を配布する。
コントローラ260は、エンジニアリングステーション200から配布されたコントローラ設定・プログラム204をコントローラ設定・プログラム263として記憶する。また、データベースステーション220およびオペレータステーション240は、エンジニアリングステーション200から配布された動作定義203から自装置に関係する情報を抽出し、動作定義223および243として各々記憶する。
図4は、コントローラ260に記憶されたコントローラ設定・プログラム263において定義された制御システム500S内の通信制御に使用される信号とメモリアドレスのリストである。図5は、オペレータステーション240に記憶された動作定義243の例である。図6は、データベースステーション220によって記憶された動作定義223の例である。
エンジニアリングステーション200のエンジニアリング支援機能部202は、コントローラ260、データベースステーション220およびオペレータステーション240に動作定義203およびコントローラ設定・プログラム204を配布する場合に、同時に不正通信検査装置100に対して動作定義203およびコントローラ設定・プログラム204の登録処理を行う。
動作定義203およびコントローラ設定・プログラム204として正しい情報を登録するための登録方法としては、次のような方法があり得る。
第1の方法では、例えば事前に外部記憶媒体を経由してエンジニアリングステーション200と不正通信検査装置100にそれぞれの公開鍵(公開鍵暗号に基づく電子署名証明書検証用の公開鍵)を交換させておき、この公開鍵を利用した暗号通信によりエンジニアリングステーション200から不正通信検査装置100に動作定義203およびコントローラ設定・プログラム204を送信する。
この第1の方法により自動的に不正通信検査装置100への動作定義203およびコントローラ設定・プログラム204の登録が行われる場合、次のような運用を行ってもよい。すなわち、現場の人間による不正改ざんを防止するため、不正通信検査装置100では、動作定義203およびコントローラ設定・プログラム204の登録後、現場の人間以外の人間の承認が行われるまでの間、登録された動作定義203およびコントローラ設定・プログラム204を反映していないそれまでの検査定義113を用いて検査を継続するのである。
第2の方法では、エンジニアリングステーション200に登録画面を表示させ、または不正通信検査装置100にWeb画面を表示させる。そして、例えばエンジニアリングステーション200を操作するオペレータに対して、パスワードや二要素認証等を行い、同オペレータに手動でエンジニアリングステーション200から不正通信検査装置100への動作定義203およびコントローラ設定・プログラム204の登録を行わせる。この方法は、システム変更を関係者に意識させることができる利点がある。
第3の方法では、不正通信検査装置100に外部記憶媒体のインタフェースを設ける。このインタフェースは、不正通信検査装置100にロックされており、不正通信検査装置100から取り外し不能であることが好ましい。そして、外部記憶媒体に動作定義203およびコントローラ設定・プログラム204を書き込み、この外部記憶媒体内の動作定義203およびコントローラ設定・プログラム204をインタフェース経由で不正通信検査装置100に入力しない限り、検査定義113の更新を行えないように不正通信検査装置100を構成しておくのである。
図3は、不正通信検査装置100の処理の流れを示すフローチャートである。不正通信検査装置100の電源が投入されると、不正通信検査装置100では、設定・動作定義登録機能部103がデータ格納領域内に動作定義111およびコントローラ設定・プログラム112が登録されているかを判定する(ステップS101)。ここで、初期状態では、データ格納領域に動作定義111およびコントローラ設定・プログラム112が登録されていないため、不正通信検査装置100の設定・動作定義登録機能部103は、検査定義113として基本動作を定義する(ステップS103)。この基本動作は、不正通信検査装置100のベンダが事前に定義しておくこともできるが、システムを確実に運用するためには、ステップS103においてすべての通信を不正として取り扱う基本動作を検査定義113として登録することが望ましい。
検査定義113を定義した後、不正通信検査装置100は、通信データの監視を開始する。さらに詳述すると、不正通信検査装置100において通信データ検査機能部102は、通信機能部101が通信データを受信したか否かを判断する(ステップS106)。この判断結果が「No」である場合、通信データ検査機能部102は、一定時間待機(ステップS107)した後、動作終了指示の有無を確認する(ステップS110)。そして、動作終了指示がない場合、処理はステップS101に戻り、不正通信検査装置100の設定・動作定義登録機能部103が動作定義111およびコントローラ設定・プログラム112の登録の有無を判断する。以下同様であり、不正通信検査装置100は、ステップS103→S106→S107→S110の順に各ステップの処理を繰り返す。
ここで、通信機能部101が通信データを受信すると、ステップS106の判断結果が「Yes」となる。この場合、通信データ検査機能部102が検査定義113に基づいて通信データを検査し、正常な通信か異常な通信かを判定する(ステップS108)。そして、通信データ検査機能部102は、通信機能部101が受信した通信データを、その通信データが意味する操作の形式で通信データ114として記録する(ステップS109)。このステップS109の処理が終わると、処理はステップS110へ進む。
エンジニアリングステーション200から不正通信検査装置100に動作定義111およびコントローラ設定・プログラム112の登録が行われると、ステップS101の判断結果が「Yes」となる。この場合、不正通信検査装置100の設定・動作定義登録機能部103は、動作定義111およびコントローラ設定・プログラム112がデータ格納領域に最後に書き込まれた日時と、検査定義113が最後に書き込まれた日時とを比較することにより、検査定義113が最新の状態であるか否かを判断する(ステップS102)。
ここで、動作定義111およびコントローラ設定・プログラム112がデータ格納領域に最後に書き込まれた日時が、検査定義113が最後に書き込まれた日時よりも所定時間以上後の日時である場合、ステップS102の判断結果は「No」となる。この場合、不正通信検査装置100の設定・動作定義登録機能部103は、データ格納領域内の動作定義111およびコントローラ設定・プログラム112に基づいて、最新の検査定義113を作成し、データ格納領域に格納する(ステップS104)。このように本実施形態において検査定義生成手段である設定・動作定義登録機能部103は、データ格納領域内の動作定義111およびコントローラ設定・プログラム112の更新に応じて、検査定義113の更新を行う。このステップS104の処理が終わると、処理はステップS106に進む。
図7は不正通信検査装置100のデータ格納領域に書き込まれた検査定義113の例を示すものである。この検査定義113は、動作定義111およびコントローラ設定・プログラム112を組み合わせた内容となっている。
さらに詳述すると、動作定義111のうち例えばオペレータステーション240に関する動作定義(図5の動作定義243参照)では、No.1の動作として、100msの動作タイミングでオペレータステーション240がコントローラ260のメモリアドレス%MD1.2000から信号を取得する動作が定義されている。そこで、検査定義113では、図7に示すように、このNo.1の動作に対応した正常な通信データが定義される。このNo.1の動作に対応した正常な通信データの定義では、送信元をオペレータステーション240とし、宛先をコントローラ260とし、メモリアドレス%MD1.2000を使用する通信データが100msの発生周期で発生する旨が定義される。この通信データの定義において、利用プロトコルであるTCPや宛先ポート番号である12345は、コントローラ設定・プログラム112において定義された情報である。図7に示す検査定義113では、同様に、オペレータステーション240に関する動作定義(図5の動作定義243参照)におけるNo.2〜No.9の動作に対応した正常な通信データが定義されている。また、図7に示す検査定義113では、動作定義111のうちデータベースステーション220に関する動作定義(図6の動作定義223参照)のNo.1〜No.6の動作に対応した正常な通信データが、No.10〜No.15の正常な通信データとして定義されている。
このように本実施形態では、動作定義111およびコントローラ設定・プログラム112に基づいて、制御ネットワーク500において発生する全ての通信データを正確にかつ漏れなく定義した検査定義113が設定・動作定義登録機能部103によって生成される。
また、本実施形態において設定・動作定義登録機能部103は、検査定義113において定義された正常な通信データと、動作定義111において定義された当該通信データを発生させる動作とを関連付ける情報を生成して記憶する。例えば図7に示す検査定義113において定義されたNo.1の正常な通信データは、動作定義111のうちオペレータステーション240に関する動作定義(図5の動作定義243参照)において定義されたNo.1の動作により発生する。そこで、設定・動作定義登録機能部103は、検査定義113におけるNo.1の正常な通信データの定義と、オペレータステーション240に関する動作定義におけるNo.1の動作の定義とを関連付ける情報を生成して記憶するのである。
図3において、ステップS102の判断結果が「Yes」となる場合、不正通信検査装置100の設定・動作定義登録機能部103は、データ格納領域内の既存の検査定義113を維持する(ステップS105)。このステップS105の処理が終わると、処理はステップS106に進む。
次にステップS106に進むと、上述したように、通信データ検査機能部102は、通信機能部101が通信データを受信したか否かを判断する(ステップS106)。ステップS106の判断結果が「Yes」となると、通信データ検査機能部102が検査定義113に基づいて通信データを検査し、正常な通信か異常な通信かを判定する(ステップS108)。そして、通信データ検査機能部102は、通信機能部101が受信した通信データを、その通信データが意味する操作の形式で通信データ114としてデータ格納領域に記録する(ステップS109)。
図8はこの通信データ114の例を示す図である。図8に示すように、通信データ114は、通信データ検査機能部102の検査対象となった通信データと、その検査時刻と、検査における判定結果と、判定理由と、通信データが示す操作内容と、通信データそのものであるバイナリデータとからなる。ここで、通信データが検査定義113に定義された正常な通信データのいずれかに該当する場合、判定結果は許可となり、その正常な通信データの番号が判定理由となる。また、通信データが検査定義113に定義された正常な通信データのいずれにも該当しない場合、判定結果は通知となり、判定理由は空欄となる。操作内容は、検査定義113において、検査対象となった通信データが該当する正常な通信データの定義に関連付けられた動作定義を参照することにより生成される情報である。例えば図8に示す例において、最上段に示された通信データの判定理由はNo.1となっている。ここで、検査定義113において、No.1の正常な通信データの定義は、オペレータステーション240に関する動作定義(図5の動作定義243参照)におけるNo.1の動作の定義に関連付けられている。そこで、通信データ検査機能部102は、このNo.1の動作の定義を参照し、オペレータステーション240からコントローラ260に要求することにより行われるポンプ1動作状況取得を操作内容として記録する。
不正通信検査装置100は、制御システム500Sの責任者から与えられる指示に従い、この通信データ114を表示画面に表示し、あるいは印刷装置により印刷することが可能である。
通信データ114の記録(ステップS109)が終わると、処理は、ステップS110を介してステップS101に戻る。以下、同様の処理が繰り返される。
以上説明したように、本実施形態による不正通信検査装置100によれば、エンジニアリングステーション200の生成する動作定義203およびコントローラ設定・プログラム204を活用することで、制御ネットワーク500において発生し得る正常な通信データの検査ルールである検査定義113が生成される。従って、制御ネットワーク500において起こりうる通信を正確に識別し、不正な通信を確実に検知することが可能となる。
また、本実施形態による不正通信検査装置100は、検査定義113における正常な通信データの定義と、その正常な通信データを発生させる動作定義とを紐付け可能であるので、各通信データがどのような意図で発生されたかを人および機械が理解可能な形式で記録することが可能となる。この結果、不正な操作指令等に由来する異常な通信データの発生についての原因調査を始めとして、それ以外のシステムの異常時や正常運用時においてもどのような操作が行われたのかを調査することが容易になるという効果がある。
<他の実施形態>
以上、この発明の一実施形態について説明したが、この発明には他にも実施形態が考えられる。例えば、以下の通りである。
(1)制御システム500Sの各装置が記憶する動作定義111、コントローラ設定・プログラム112、動作定義223、動作定義243、コントローラ設定・プログラム263は、各装置が必要とするデータがすべて含まれていればよく、すべて同一ファイルとすることも可能である。
(2)上記実施形態において、エンジニアリング支援装置であるエンジニアリングステーション200は、ネットワークを利用して通信を行う装置が従うべき動作定義を生成する動作定義生成手段として機能し、不正通信検査装置100は、動作定義に基づいて、正常な通信データを定義する検査定義を生成する検査定義生成手段と、ネットワークから取得した通信データのうち検査定義により定義された通信データのみを許可する不正通信検査手段として機能した。このように、検査定義113を不正通信検査装置100内で生成することは、セキュリティ上望ましいことである。しかし、検査定義生成手段をエンジニアリングステーション200に設け、このエンジニアリングステーション200の検査定義生成手段が生成した検査定義を不正通信検査装置100に登録するようにしてもよい。
(3)上記実施形態では、動作定義111、コントローラ設定・プログラム112の存在確認や検査定義113の生成を、通信データの検査を行う一連の処理の中で実施した。しかし、不正通信検査装置100の処理対象となる通信データ量が多い場合あるいはシステム構成を変更する際は停止する等の運用ポリシーが存在する場合には、動作定義111、コントローラ設定・プログラム112の存在確認や検査定義113の生成を定周期で実施してもよいし、起動時のみの実行としてもよい。
500……制御ネットワーク、500S……制御システム、100……不正通信検査装置、200……エンジニアリングステーション、220……データベースステーション、240……オペレータステーション、260……コントローラ、280……フィールド機器、111,203,223,243……動作定義、112,204,263……コントローラ設定・プログラム、103……設定・動作定義登録機能部、102……通信データ検査機能部、101,201,221,241,261……通信機能部、114……通信データ、202……エンジニアリング支援機能部、222……データ収集機能部、224……蓄積データ、242……表示機能・操作機能部、262……計測・制御機能部、501……通信データ複製機能部。

Claims (10)

  1. ネットワークを利用して通信を行う装置が従うべき動作定義を取得し、前記動作定義に基づいて、正常な通信データを定義する検査定義を生成する検査定義生成手段と、
    前記ネットワークから取得した通信データを検査し、前記検査定義により定義された正常な通信データのみを許可する通信データ検査手段と
    を具備することを特徴とする不正通信検査装置。
  2. 前記検査定義における正常な通信データの定義は、前記動作定義における当該通信データを発生させる動作の定義と関連付けられており、前記通信データ検査手段は、検査対象となった通信データに関するデータであって、当該通信データが該当する正常な通信データの定義に関連付けられた動作の定義を示すデータを記録することを特徴とする請求項1に記載の不正通信検査装置。
  3. 前記検査定義生成手段は、前記動作定義を取得する前、所定の基本動作に基づいて検査定義を生成することを特徴とする請求項1または2に記載の不正通信検査装置。
  4. 前記検査定義生成手段は、正常な通信データの送信元、宛先、特徴を定義した検査定義を生成することを特徴とする請求項1〜3のいずれか1の請求項に記載の不正通信検査装置。
  5. 前記動作定義は、前記ネットワークを利用した通信を行う装置が実行するプログラムを含み、前記検査定義生成手段は、当該プログラムにおいて定義されたデータを含む前記検査定義を生成することを特徴とする請求項1〜4のいずれか1の請求項に記載の不正通信検査装置。
  6. 取得した動作定義および生成した検査定義を記憶する記憶手段を具備し、前記検査定義生成手段は、前記記憶手段における前記動作定義の更新に応じて、前記記憶手段における前記検査定義の更新を行うことを特徴とする請求項1〜5のいずれか1の請求項に記載の不正通信検査装置。
  7. ネットワークを利用して通信を行う装置が従うべき動作定義を生成する動作定義生成手段と、
    前記動作定義に基づいて、正常な通信データを定義する検査定義を生成する検査定義生成手段と、
    前記ネットワークから取得した通信データのうち前記検査定義により定義された通信データのみを許可する不正通信検査手段と
    を具備することを特徴とする通信システム。
  8. 前記動作定義生成手段は、前記ネットワークを利用して通信を行う装置に前記動作定義を取得させるときに、前記動作定義を前記検査定義生成手段に取得させることを特徴とする請求項7に記載の通信システム。
  9. 前記検査定義生成手段は、暗号化通信により前記動作定義を取得することを特徴とする請求項8に記載の通信システム。
  10. 前記検査定義生成手段は、記憶媒体を介して前記動作定義を取得することを特徴とする請求項7に記載の通信システム。
JP2015078796A 2015-04-07 2015-04-07 不正通信検査装置および通信システム Pending JP2016201603A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015078796A JP2016201603A (ja) 2015-04-07 2015-04-07 不正通信検査装置および通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015078796A JP2016201603A (ja) 2015-04-07 2015-04-07 不正通信検査装置および通信システム

Publications (1)

Publication Number Publication Date
JP2016201603A true JP2016201603A (ja) 2016-12-01

Family

ID=57422837

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015078796A Pending JP2016201603A (ja) 2015-04-07 2015-04-07 不正通信検査装置および通信システム

Country Status (1)

Country Link
JP (1) JP2016201603A (ja)

Similar Documents

Publication Publication Date Title
CN108989042B (zh) 用于授权更新自动化技术现场设备的方法
CN104991528B (zh) Dcs信息安全控制方法及控制站
JP2017111532A (ja) 制御装置及び統合生産システム
Robles-Durazno et al. PLC memory attack detection and response in a clean water supply system
CN113557483B (zh) 控制系统及设定方法
CN114760103A (zh) 一种工业控制系统异常检测系统、方法、设备及存储介质
JP7074104B2 (ja) コントローラシステム
JPWO2019240020A1 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
JP7054824B2 (ja) 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
CN105074833B (zh) 用于识别对控制和调节单元的系统状态的未授权操控的装置以及具有该装置的核设施
JP2024537730A (ja) セキュアな耐タンパー性のデータ処理、記憶装置、伝送ゲートウェイ、コントローラ及びデータ異常検出プログラム
JP2015200971A (ja) 改竄検知機能を備えた制御システム
WO2021117665A1 (ja) 電子機器および電子機器の攻撃検知方法
JP2016201603A (ja) 不正通信検査装置および通信システム
JP6384107B2 (ja) 通信検査モジュール、通信モジュール、および制御装置
WO2020166329A1 (ja) 制御システム
JP6690377B2 (ja) コントローラおよび制御システム
CN113490892A (zh) 控制装置以及控制系统
US8418255B2 (en) Method for the secure transmission of operating data
JP6238849B2 (ja) プラント計装システム
US11768940B2 (en) Controller system
JP2018018325A (ja) 異常検知システム及び異常検知方法
CN113330375A (zh) 控制装置、管理程序以及控制系统
JP2015201021A (ja) アクセス制御装置
JP2006244141A (ja) 不正侵入監視装置