JP7016837B2 - Controller system - Google Patents
Controller system Download PDFInfo
- Publication number
- JP7016837B2 JP7016837B2 JP2019114337A JP2019114337A JP7016837B2 JP 7016837 B2 JP7016837 B2 JP 7016837B2 JP 2019114337 A JP2019114337 A JP 2019114337A JP 2019114337 A JP2019114337 A JP 2019114337A JP 7016837 B2 JP7016837 B2 JP 7016837B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- unit
- control
- controller system
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
Description
本発明は、制御対象を制御するコントローラシステムに対するセキュリティ機能に関する。 The present invention relates to a security function for a controller system that controls a controlled object.
各種設備および各設備に配置される各種装置の制御には、PLC(プログラマブルロジックコントローラ)などの制御装置が用いられる。制御装置は、制御対象の設備や機械に生じる異常を監視するとともに、制御装置自体の異常を監視することも可能である。何らかの異常が検知されると、制御装置から外部に対して何らかの方法で通知がなされる。 A control device such as a PLC (programmable logic controller) is used to control various facilities and various devices arranged in each facility. The control device can monitor the abnormality that occurs in the equipment or machine to be controlled, and can also monitor the abnormality of the control device itself. When any abnormality is detected, the control device notifies the outside in some way.
例えば、特開2000-137506号公報(特許文献1)は、異常履歴が登録されたとき、または、予め定められた時間が到来したときに、予め指定された宛先に電子メールを送信するプログラマブルコントローラを開示する。 For example, Japanese Patent Application Laid-Open No. 2000-137506 (Patent Document 1) is a programmable controller that sends an e-mail to a predetermined destination when an abnormality history is registered or when a predetermined time has arrived. To disclose.
近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、想定される脅威の種類も増加している。 With the progress of ICT (Information and Communication Technology) in recent years, the control device is also connected to various external devices via a network, and the processing executed by the control device is also becoming more sophisticated. With such networking or intelligentization, the types of threats that can be assumed are increasing.
従来の制御装置においては、設備や機械に生じた異常、または、制御装置自体に生じた異常を検知するのみであり、ネットワーク化あるいはインテリジェント化に伴って生じ得る脅威については、何ら想定されていない。 Conventional control devices only detect abnormalities that occur in equipment and machines, or abnormalities that occur in the control device itself, and do not anticipate any threats that may occur with networking or intelligentization. ..
本発明は、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護という新たな課題を解決することを一つの目的としている。 One object of the present invention is to solve a new problem of protection against threats that may occur due to networking or intelligentization of control devices and control systems.
本発明のある局面に従うコントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含む。セキュリティユニットは、コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段と、検知手段により検知された不正侵入の属性を示すインシデント特性を制御ユニットへ通知する通知手段とを含む。制御ユニットは、通知手段から通知されたインシデント特性に応じて、制御動作を変更する。 A controller system according to an aspect of the present invention includes a control unit that executes a control operation for controlling a controlled object, and a security unit that is connected to the control unit and is in charge of a security function for the controller system. The security unit includes a detection means for detecting whether or not some kind of unauthorized intrusion has occurred in the controller system, and a notification means for notifying the control unit of an incident characteristic indicating an attribute of the unauthorized intrusion detected by the detection means. The control unit changes the control operation according to the incident characteristic notified from the notification means.
この局面によれば、制御ユニットは、検知された不正侵入に応じた制御動作を実現できる。 According to this aspect, the control unit can realize the control operation according to the detected unauthorized intrusion.
好ましくは、制御ユニットは、制御動作を変更することにより、制御対象の動作を停止する。この局面によれば、不正侵入が検知されることで、制御対象の動作を安全に停止できる。 Preferably, the control unit stops the operation of the controlled object by changing the control operation. According to this aspect, the operation of the controlled object can be safely stopped by detecting the unauthorized intrusion.
好ましくは、制御ユニットは、制御動作を変更することにより、制御対象の動作を制限する。この局面によれば、不正侵入が検知されることで、制御対象の動作を制限し、万が一、インシデントが発生しても、制御対象の破損などを防止できる。 Preferably, the control unit limits the operation of the controlled object by changing the control operation. According to this aspect, by detecting unauthorized intrusion, the operation of the controlled object can be restricted, and even if an incident should occur, the controlled object can be prevented from being damaged.
好ましくは、制御ユニットは、制御動作を変更することにより、コントローラシステムに含まれる装置の動作を制限する。この局面によれば、不正侵入が検知されることで、コントローラシステムに含まれる装置の動作を制限し、インシデントへの進展などを防止できる。 Preferably, the control unit limits the operation of the devices included in the controller system by modifying the control operation. According to this aspect, by detecting the unauthorized intrusion, the operation of the device included in the controller system can be restricted and the progress to the incident can be prevented.
好ましくは、制御ユニットは、通知されるインシデント特性に対応付けられたプログラムを実行することで、制御動作を変更する。この局面によれば、インシデント特性毎に対応するプログラムを予め用意できるため、各種の不正侵入に応じた制御動作を実現できる。 Preferably, the control unit modifies the control operation by executing a program associated with the reported incident characteristic. According to this aspect, since a program corresponding to each incident characteristic can be prepared in advance, control operations corresponding to various unauthorized intrusions can be realized.
本発明の別の局面に従うコントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを含む。セキュリティユニットは、コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段を含む。制御ユニットは、セキュリティユニットの検知手段の挙動を変更するための指令を送信する指令送信手段を含む。 A controller system according to another aspect of the present invention includes a control unit that executes a control operation for controlling a controlled object, and a security unit connected to the control unit and responsible for a security function for the controller system. The security unit includes a detection means for detecting whether or not any unauthorized intrusion has occurred in the controller system. The control unit includes a command transmitting means for transmitting a command for changing the behavior of the detecting means of the security unit.
この局面によれば、何らかの不正侵入が検知された後に、その不正侵入に関する要因が取り除かれた後、制御対象を正常運転に復帰する際に、セキュリティユニットの挙動を柔軟に制御できる。 According to this aspect, after some kind of unauthorized intrusion is detected, the behavior of the security unit can be flexibly controlled when the control target is returned to normal operation after the factors related to the unauthorized intrusion are removed.
本発明のさらに別の局面に従うコントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットと、少なくとも制御ユニットにアクセス可能なサポート装置とを含む。セキュリティユニットは、コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段を含む。制御ユニットは、検知手段により検知された不正侵入に応じた制御演算を実行するように構成されている。サポート装置は、検知手段により検知された不正侵入に応じて制御ユニットにより実行される制御演算に係る設定を受け付ける。 A controller system according to yet another aspect of the present invention includes a control unit that executes a control operation for controlling a controlled object, a security unit connected to the control unit and responsible for a security function for the controller system, and at least a control unit. Includes accessible support equipment. The security unit includes a detection means for detecting whether or not any unauthorized intrusion has occurred in the controller system. The control unit is configured to execute a control operation according to an unauthorized intrusion detected by the detection means. The support device accepts the settings related to the control calculation executed by the control unit in response to the unauthorized intrusion detected by the detection means.
この局面によれば、何らかの不正侵入が検知された後に、その不正侵入に対応する処理を実行するための設定を容易に行うことができる。 According to this aspect, after some kind of unauthorized intrusion is detected, the setting for executing the process corresponding to the unauthorized intrusion can be easily performed.
本発明のさらに別の局面に従うコントローラシステムは、制御対象を制御するための制御演算を実行する制御ユニットと、制御ユニットに接続され、コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットと、少なくとも制御ユニットにアクセス可能なサポート装置とを含む。セキュリティユニットは、コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段と、検知手段による検知動作から算出されるセキュリティリスクをユーザに提示する提示手段とを含む。 A controller system according to yet another aspect of the present invention includes a control unit that executes a control operation for controlling a controlled object, a security unit connected to the control unit and responsible for a security function for the controller system, and at least a control unit. Includes accessible support equipment. The security unit includes a detection means for detecting whether or not some kind of unauthorized intrusion has occurred in the controller system, and a presentation means for presenting a security risk calculated from the detection operation by the detection means to the user.
この局面によれば、不正侵入自体は検知されていないが、そのリスクが高まっているか否かを一見して把握できる。 According to this aspect, the unauthorized intrusion itself is not detected, but it is possible to grasp at a glance whether or not the risk is increasing.
本発明によれば、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得る脅威に対する保護という新たな課題を解決できる。 According to the present invention, it is possible to solve a new problem of protection against threats that may occur due to networking or intelligentization of control devices and control systems.
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。 Embodiments of the present invention will be described in detail with reference to the drawings. The same or corresponding parts in the drawings are designated by the same reference numerals and the description thereof will not be repeated.
<A.コントローラシステム1>
まず、本実施の形態に従うコントローラシステム1の構成について説明する。
<
First, the configuration of the
図1は、本実施の形態に係るコントローラシステム1の構成例を示す外観図である。図1を参照して、コントローラシステム1は、制御ユニット100と、セキュリティユニット200と、セーフティユニット300と、1または複数の機能ユニット400と、電源ユニット450とを含む。
FIG. 1 is an external view showing a configuration example of the
制御ユニット100とセキュリティユニット200との間は、任意のデータ伝送路(例えば、PCI Expressあるいはイーサネット(登録商標)など)を介して接続されている。制御ユニット100とセーフティユニット300および1または複数の機能ユニット400との間は、図示しない内部バスを介して接続されている。
The
制御ユニット100は、コントローラシステム1において中心的な処理を実行する。制御ユニット100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。後述のセーフティユニット300で実行される制御演算との対比で、制御ユニット100で実行される制御演算を「標準制御」とも称す。図1に示す構成例において、制御ユニット100は、1または複数の通信ポートを有している。
The
セキュリティユニット200は、制御ユニット100に接続され、コントローラシステム1に対するセキュリティ機能を担当する。図1に示す構成例において、セキュリティユニット200は、1または複数の通信ポートを有している。セキュリティユニット200が提供するセキュリティ機能の詳細については、後述する。
The
セーフティユニット300は、制御ユニット100とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット300で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、IEC 61508などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。
The
機能ユニット400は、コントローラシステム1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。I/Oユニットとしては、例えば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ出力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティI/Oユニットは、セーフティ制御に係るI/O処理を担当する。
The
電源ユニット450は、コントローラシステム1を構成する各ユニットに対して、所定電圧の電源を供給する。
The
<B.各ユニットのハードウェア構成例>
次に、本実施の形態に従うコントローラシステム1を構成する各ユニットのハードウェア構成例について説明する。
<B. Hardware configuration example of each unit>
Next, a hardware configuration example of each unit constituting the
(b1:制御ユニット100)
図2は、本実施の形態に従うコントローラシステム1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
(B1: Control unit 100)
FIG. 2 is a schematic diagram showing a hardware configuration example of the
プロセッサ102は、二次記憶装置108に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット100全体としての処理を実現する。
The
二次記憶装置108には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。
In addition to the system program, the
通信コントローラ110は、セキュリティユニット200との間のデータの遣り取りを担当する。通信コントローラ110としては、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
The
USBコントローラ112は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
The
メモリカードインターフェイス114は、メモリカード115を着脱可能に構成されており、メモリカード115に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード115から制御プログラムや各種設定などのデータを読出すことが可能になっている。
The
ネットワークコントローラ116,118,120の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ116,118,120は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
Each of the
内部バスコントローラ122は、コントローラシステム1を構成するセーフティユニット300や1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。
The
インジケータ124は、制御ユニット100の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
The
図2には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。あるいは、制御ユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
FIG. 2 shows a configuration example in which the necessary functions are provided by the
(b2:セキュリティユニット200)
図3は、本実施の形態に従うコントローラシステム1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。図3を参照して、セキュリティユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
(B2: Security unit 200)
FIG. 3 is a schematic diagram showing a hardware configuration example of the
プロセッサ202は、二次記憶装置208に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、後述するような各種セキュリティ機能を実現する。チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、セキュリティユニット200全体としての処理を実現する。
The
二次記憶装置208には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。
In addition to the system program, the
通信コントローラ210は、制御ユニット100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御ユニット100に通信コントローラ210と同様に、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
The
USBコントローラ212は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
The
メモリカードインターフェイス214は、メモリカード215を着脱可能に構成されており、メモリカード215に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード215から制御プログラムや各種設定などのデータを読出すことが可能になっている。
The
ネットワークコントローラ216,218の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ216,218は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。
Each of the
インジケータ224は、セキュリティユニット200の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
The
図3には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セキュリティユニット200の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
FIG. 3 shows a configuration example in which the necessary functions are provided by the
(b3:セーフティユニット300)
図4は、本実施の形態に従うコントローラシステム1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
(B3: Safety unit 300)
FIG. 4 is a schematic diagram showing a hardware configuration example of the
プロセッサ302は、二次記憶装置308に格納された各種プログラムを読み出して、主記憶装置306に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。チップセット304は、プロセッサ302と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット300全体としての処理を実現する。
The
二次記憶装置308には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。
In addition to the system program, the
メモリカードインターフェイス314は、メモリカード315を着脱可能に構成されており、メモリカード315に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード315からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。
The
内部バスコントローラ322は、内部バスを介した制御ユニット100との間のデータの遣り取りを担当する。
The
インジケータ324は、セーフティユニット300の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
The
図4には、プロセッサ302がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セーフティユニット300の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
FIG. 4 shows a configuration example in which the necessary functions are provided by the
<C.制御システム10>
次に、本実施の形態に従うコントローラシステム1を含む制御システム10の典型例について説明する。図5は、本実施の形態に従うコントローラシステム1を含む制御システム10の典型例を示す模式図である。
<
Next, a typical example of the
一例として、図5に示す制御システム10は、2つのライン(ラインAおよびラインB)を制御対象とする。典型的には、各ラインは、ワークを搬送するコンベアに加えて、コンベア上のワークに対して任意の物理的作用を与えることが可能なロボットが配置されているとする。
As an example, the
ラインAおよびラインBのそれぞれに制御ユニット100が配置されている。ラインAを担当する制御ユニット100に加えて、セキュリティユニット200およびセーフティユニット300がコントローラシステム1を構成する。なお、説明の便宜上、図5には、機能ユニット400および電源ユニット450の記載を省略している。
The
コントローラシステム1のセキュリティユニット200は、通信ポート242(図3のネットワークコントローラ216)を介して第1ネットワーク2に接続されている。第1ネットワーク2には、サポート装置600およびSCADA(Supervisory Control And Data Acquisition)装置700が接続されているとする。
The
サポート装置600は、少なくとも制御ユニット100にアクセス可能になっており、コントローラシステム1に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定などの機能をユーザへ提供する。
The
SCADA装置700は、コントローラシステム1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム1に対して内部コマンドなどを生成する。SCADA装置700は、コントローラシステム1が扱うデータを収集する機能も有している。
The
コントローラシステム1の制御ユニット100は、通信ポート142(図2のネットワークコントローラ116)を介して第2ネットワーク4に接続されている。第2ネットワーク4には、HMI(Human Machine Interface)800およびデータベース900が接続されているとする。
The
HMI800は、コントローラシステム1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム1に対して内部コマンドなどを生成する。データベース900は、コントローラシステム1から送信される各種データ(例えば、各ワークから計測されたトレーサビリティに関する情報など)を収集する。
The
コントローラシステム1の制御ユニット100は、通信ポート144(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。フィールドデバイス500は、制御対象から制御演算に必要な各種情報を収集するセンサや検出器、および、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。図5に示す例では、フィールドデバイス500は、ワークに対して何らかの外的な作用を与えるロボット、ワークを搬送するコンベヤ、フィールドに配置されたセンサやアクチュエータとの間で信号を遣り取りするI/Oユニットなどを含む。
The
同様に、ラインBを担当する制御ユニット100についても同様に、通信ポート144(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。
Similarly, the
ここで、コントローラシステム1の機能面に着目すると、制御ユニット100は、標準制御に係る制御演算を実行する処理実行部である制御エンジン150と、外部装置との間でデータを遣り取りする情報エンジン160とを含む。セキュリティユニット200は、後述するようなセキュリティ機能を実現するためのセキュリティエンジン250を含む。セーフティユニット300は、セーフティ制御に係る制御演算を実行する処理実行部であるセーフティエンジン350を含む。
Here, focusing on the functional aspect of the
各エンジンは、各ユニットのプロセッサなどの任意のハードウェア要素または各種プログラムなどの任意のソフトウェア要素、あるいは、それら要素の組合せによって実現される。各エンジンは任意の形態で実装できる。 Each engine is realized by any hardware element such as the processor of each unit or any software element such as various programs, or a combination of these elements. Each engine can be implemented in any form.
さらに、コントローラシステム1は、エンジン同士の遣り取りを仲介するブローカー170を含む。ブローカー170の実体は、制御ユニット100およびセキュリティユニット200の一方または両方に配置してもよい。
Further, the
制御エンジン150は、制御対象を制御するための制御演算の実行に必要な変数テーブルおよびファンクションブロック(FB)などを保持している。変数テーブルに格納される各変数は、I/Oリフレッシュ処理により、フィールドデバイス500から取得された値で周期的に収集されるとともに、フィールドデバイス500へ各値が周期的に反映される。制御エンジン150での制御演算のログはログデータベース180に格納されてもよい。
The
情報エンジン160は、制御ユニット100が保持するデータ(変数テーブルで保持される変数値)に対して任意の情報処理を実行する。典型的には、情報エンジン160は、制御ユニット100が保持するデータを周期的にデータベース900などへ送信する処理を含む。このようなデータの送信には、SQLなどが用いられる。
The
セキュリティエンジン250は、コントローラシステム1に発生する不正侵入の検知、検知された不正侵入に応じた処理、インシデントの発生有無判断、発生したインシデントに応じた処理などを実行する。セキュリティエンジン250の挙動は、セキュリティ情報260として保存される。
The
セキュリティエンジン250は、セキュリティに関する何らかのイベントが発生したこと、あるいは発生しているセキュリティに関するイベントのレベルなどを、インジケータ224で通知する。
The
セーフティエンジン350は、コントローラシステム1において何らかの不正侵入が発生したか否かを検知する検知手段に相当する。セーフティエンジン350は、制御ユニット100を介して、セーフティ制御に係る制御演算の実行に必要なセーフティI/O変数を取得および反映する。セーフティエンジン350でのセーフティ制御のログはログデータベース360に格納されてもよい。
The
ブローカー170は、例えば、セキュリティエンジン250が何らかのイベントを検知すると、制御エンジン150、情報エンジン160およびセーフティエンジン350の動作などを変化させる。
For example, when the
<D.セキュリティ脅威に対する対策サイクル>
本実施の形態に従うコントローラシステム1は、設備や機械を正常運転することを妨げる任意のセキュリティ脅威を検知し、必要な対策を実行可能になっている。
<D. Countermeasure cycle against security threats>
The
本明細書において、「セキュリティ脅威」は、設備や機械を正常運転することを妨げる任意の事象を意味する。ここで、「正常運転」は、システム設計通りおよび生産計画通りに、設備や機械を運転継続できる状態を意味する。なお、システム設計通りおよび生産計画通りに、設備や機械を運転継続するための、設備や機械の立ち上げ、メンテナンス、段取り替えなども付属的な処理も「正常運転」の概念には含まれる。 As used herein, "security threat" means any event that prevents the equipment or machine from operating normally. Here, "normal operation" means a state in which equipment and machines can be continuously operated according to the system design and the production plan. The concept of "normal operation" includes the start-up, maintenance, setup change, and other ancillary processing of equipment and machines to continue operation of equipment and machines according to the system design and production plan.
PLCを中心とする制御装置においては、典型的には、(1)データベースなどの上位装置からの攻撃、(2)フィールドデバイスからの攻撃、(3)サポート装置を介した攻撃、(4)メモリカードなどの制御装置に装着される記憶媒体を介した攻撃、といった4つの局面からのセキュリティ脅威が考えられる。さらに、制御装置に搭載されているすべての物理ポートは攻撃を受けるセキュリティリスクが存在している。 In a control device centered on a PLC, typically, (1) an attack from a higher-level device such as a database, (2) an attack from a field device, (3) an attack via a support device, and (4) a memory. Security threats from four aspects, such as attacks via storage media attached to control devices such as cards, can be considered. In addition, all physical ports on the controller have a security risk of being attacked.
本実施の形態に従うセキュリティユニット200は、これらの各局面で生じるセキュリティ脅威あるいはリスクを検知し、必要な対策が実行できるようにするための処理を実行する。
The
通常、セキュリティ脅威は順次進化するため、セキュリティ脅威に対する対策は継続的に実行する必要がある。このようなセキュリティ脅威に対する継続的な対策について説明する。 Security threats usually evolve over time, so countermeasures against security threats need to be implemented continuously. The continuous countermeasures against such security threats will be described.
図6は、セキュリティ脅威に対する対策サイクルの一例を示す模式図である。図6を参照して、セキュリティ脅威に対する対策サイクルは、主として、(1)開発時の対策(ステップS1,S2,S9)および(2)運用時の対策(ステップS3~S8)に大別される。(1)開発時の対策は、主として、制御対象の設備や機械の設計・仕様を決定する段階における対策を意味し、(2)運用時の対策は、主として、制御対象の設備や機械を運転する段階における対策を意味する。 FIG. 6 is a schematic diagram showing an example of a countermeasure cycle against a security threat. With reference to FIG. 6, the countermeasure cycle against security threats is mainly classified into (1) countermeasures at the time of development (steps S1, S2, S9) and (2) countermeasures at the time of operation (steps S3 to S8). .. (1) Measures during development mainly mean measures at the stage of determining the design and specifications of equipment and machines to be controlled, and (2) Measures during operation mainly mean operating equipment and machines to be controlled. It means measures at the stage of
より具体的には、まず、制御対象の設備や機械に対する脅威分析が実行される(ステップS1)。ステップS1の脅威分析においては、セキュリティ要件定義が決定される。続いて、セキュリティ機能設計が実行される(ステップS2)。このセキュリティ機能設計においては、暗号方式、認証方式、アクセス制限などのセキュリティ機能が設計される。 More specifically, first, a threat analysis for the equipment or machine to be controlled is executed (step S1). In the threat analysis of step S1, the security requirement definition is determined. Subsequently, the security function design is executed (step S2). In this security function design, security functions such as encryption method, authentication method, and access control are designed.
これらのステップS1およびS2において設計された内容が制御対象の設備や機械に反映された上で、運用が開始される。この時点では、通常は正常運転となる(ステップS3)。上述したように、正常運転は、設備や機械の立ち上げ、本稼働、メンテナンス、段取り替えなどの処理を含む。 The contents designed in these steps S1 and S2 are reflected in the equipment or machine to be controlled, and then the operation is started. At this point, normal operation is normally performed (step S3). As mentioned above, normal operation includes processing such as start-up, production operation, maintenance, and setup change of equipment and machines.
このような正常運転中において、何らかの不正侵入を検知したとする。すると、セキュリティ脅威1次対応が実行される(ステップS4)。 It is assumed that some kind of unauthorized intrusion is detected during such normal operation. Then, the primary security threat response is executed (step S4).
ここで、本明細書において、「不正侵入の検知」あるいは「不正侵入検知」は、何らかのセキュリティ脅威となり得る現象または異常を検知することを意味する。言い換えれば、不正侵入の検知は、通常とは異なる現象または状態の発生を検知することを意味するのみであり、通常インシデントが発生しておらず(但し、インシデントの発生のリスク存在している)、また、通常とは異なる現象または状態が不正なものであるか否かを確実に判断することまではできない。そのため、不正侵入が検知されただけでは、すべての処理やイベントをブロックすることは、生産活動を維持する観点からは好ましくない。 Here, in the present specification, "intrusion detection" or "intrusion detection" means detecting a phenomenon or abnormality that may be some kind of security threat. In other words, detection of unauthorized intrusion only means detecting the occurrence of an unusual phenomenon or condition, and normally no incident has occurred (however, there is a risk of occurrence of an incident). Moreover, it is not possible to reliably determine whether or not an unusual phenomenon or condition is illegal. Therefore, it is not preferable from the viewpoint of maintaining production activities to block all processes and events just by detecting an unauthorized intrusion.
そのため、図6に示されるセキュリティ脅威に対する対策サイクルにおいては、不正侵入が検知されると、1次的な措置として、セキュリティ脅威1次対応が実行される(ステップS4)。 Therefore, in the countermeasure cycle against the security threat shown in FIG. 6, when an unauthorized intrusion is detected, the security threat primary response is executed as a primary measure (step S4).
セキュリティ脅威1次対応は、インシデント発生のリスクがある状況における1次的な措置であり、インシデント発生への進展を防止できる場合もある。仮にインシデントが発生したとしても、セキュリティ脅威1次対応を実行することで、被害を最小限に抑えることができる。本実施の形態に従うコントローラシステム1においては、事前設定することで、セキュリティ脅威1次対応を自動的に実行するようになっている。
Primary security threat response is a primary measure in situations where there is a risk of an incident occurring, and in some cases it can prevent the development of an incident. Even if an incident occurs, the damage can be minimized by implementing the primary security threat response. In the
典型的には、セキュリティ脅威1次対応は、継続、縮退、停止の3つに大別できる。
セキュリティ脅威1次対応の「継続」は、不正侵入が検知される直前と同様に稼働を続行することを意味する。但し、セキュリティ脅威をアラームなどで通知することにより、さらなる対応を迅速に取れる状態としておくのが好ましい。
Typically, the primary security threat response can be roughly divided into three types: continuation, degeneration, and suspension.
"Continued" for the primary security threat response means to continue the operation as it was immediately before the unauthorized intrusion was detected. However, it is preferable to notify the security threat by an alarm or the like so that further measures can be taken promptly.
セキュリティ脅威1次対応の「縮退」は、コントローラシステムの部分停止(一部のみ稼働)、性能縮小(性能低下)、機能制限などの、限定的ながら稼働を続行することを意味する。すなわち、「縮退」においては、不正侵入が検知される直前の稼働に比較して、ハード面あるいはソフト面で何らかの制限を受けながらも稼働自体は継続する。 "Degenerate" of the primary security threat response means that the operation of the controller system is continued in a limited manner, such as partial stoppage (only partial operation), performance reduction (performance deterioration), and function limitation. That is, in "degenerate", the operation itself continues even though there are some restrictions in terms of hardware or software as compared with the operation immediately before the detection of unauthorized intrusion.
セキュリティ脅威1次対応の「縮退」は、一般的な縮退運転(フォールバック)も含み得る。このような一般的な縮退運転は、システムの機能や性能を部分的に停止させた状態で稼働を維持することを意味する。縮退運転に切り替えた後には、利用できる機能が最低限に抑制され、あるいは、応答速度が低下するといた状態になることが多い。 The "degenerate" of the primary security threat response may also include general degenerate operation (degenerate operation). Such a general degenerate operation means that the operation is maintained in a state where the function or performance of the system is partially stopped. After switching to the degenerate operation, the available functions are often suppressed to the minimum, or the response speed is slowed down.
セキュリティ脅威1次対応の「停止」は、安全にシステムの動作を止めることを意味する。 "Stopping" the primary response to a security threat means stopping the operation of the system safely.
このようなセキュリティ脅威1次対応が実行された後に、復旧作業が実行される。図5に示すような制御システム10においては、コントローラシステム1およびコントローラシステム1のフィールド側は、OT(Operation Technology)部門の作業者が担当し、コントローラシステム1の上位側(第1ネットワーク2および第2ネットワーク4ならびに各ネットワークに接続される装置)については、IT(Information Technology)部門の作業者が担当する。
After the primary response to such a security threat is executed, the recovery work is executed. In the
より具体的には、OT部門の作業者は、制御対象の設備や機械に対して必要な処理を行う(現場対応)(ステップS5)。具体的には、設備や機械の復旧作業や監視などの作業が実行される。一方、IT部門の作業者は、発生したセキュリティ脅威に対する脅威解析およびその対策などを行う(ステップS6)。IT部門の作業者による対策は、暫定的なものと、恒久的なものとを含み得る場合もある。 More specifically, the worker in the OT department performs necessary processing for the equipment or machine to be controlled (on-site response) (step S5). Specifically, work such as restoration work and monitoring of equipment and machines is executed. On the other hand, the worker in the IT department performs threat analysis and countermeasures against the security threat that has occurred (step S6). Measures taken by IT department workers may include provisional and permanent measures.
OT部門およびIT部門の作業者による対策が完了すると、試運転が実行される(ステップS7)。この試運転が問題なければ、運用が再開され、正常運転に復帰する(ステップS3)。 When the measures taken by the workers in the OT department and the IT department are completed, the test run is executed (step S7). If there is no problem with this test run, the operation is restarted and the normal operation is restored (step S3).
一方、セキュリティ脅威1次対応を実行したものの(ステップS4)、インシデントが発生すると、インシデント対応が実行される(ステップS8)。インシデント対応は、インシデントが発生した後の対応であり、現場復旧や影響範囲を限定するために緊急的に行う措置を含む。本実施の形態に従うコントローラシステム1においては、事前設定することで、インシデント対応についても自動的に実行するようになっている。
On the other hand, although the security threat primary response is executed (step S4), when an incident occurs, the incident response is executed (step S8). Incident response is a response after an incident occurs, and includes urgent measures to restore the site and limit the scope of impact. In the
インシデント対応が実行された後に、OT部門の作業者は、制御対象の設備や機械に対して必要な処理を行う(現場対応)(ステップS5)とともに、IT部門の作業者は、発生したセキュリティ脅威に対する脅威解析およびその対策などを行う(ステップS6)。さらに、インシデントレポートが作成され(ステップS9)、その作成されたインシデントレポートの内容に基づいて、脅威分析(ステップS1)およびセキュリティ機能設計(ステップS2)などが再度実行される。 After the incident response is executed, the workers in the OT department perform the necessary processing for the equipment and machines to be controlled (on-site response) (step S5), and the workers in the IT department generate security threats. Threat analysis and countermeasures against the above are performed (step S6). Further, an incident report is created (step S9), and threat analysis (step S1), security function design (step S2), and the like are executed again based on the contents of the created incident report.
このように、インシデントが発生した場合には、その発生したインシデントの内容が開発段階までフィードバックされることになる。 In this way, when an incident occurs, the content of the incident is fed back to the development stage.
なお、インシデントレポートは、インシデントが発生していなくても作成するようにしてもよい。 The incident report may be created even if no incident has occurred.
後述するように、本実施の形態に従うコントローラシステム1は、図6に示すセキュリティ脅威に対する対策サイクルを確実に実行できるような仕組みを提供する。
As will be described later, the
<E.セキュリティ脅威1次対応>
次に、図6に示されるセキュリティ脅威1次対応(ステップS4)について説明する。
<E. Primary security threat response>
Next, the security threat primary response (step S4) shown in FIG. 6 will be described.
(e1:制御システム10でのセキュリティ脅威1次対応)
まず、制御システム10に生じる不正侵入(セキュリティ脅威)の検知およびそれに応じたセキュリティ脅威1次対応の一例について説明する。
(E1: Primary security threat response in control system 10)
First, an example of detection of unauthorized intrusion (security threat) occurring in the
図7は、本実施の形態に従うコントローラシステム1を含む制御システム10における不正侵入検知時の対応の一例を示す模式図である。図7には、図5に示す制御システム10において、SCADA装置700がウィルスに感染して、第1ネットワーク2およびセキュリティユニット200の通信ポート242から攻撃された例を示す。
FIG. 7 is a schematic diagram showing an example of a response at the time of unauthorized intrusion detection in the
図7に示す例では、ラインAを担当するコントローラシステム1に対してのみ攻撃されており、ラインBを担当する制御ユニット100に対する攻撃はないものとする。セキュリティユニット200は、不正侵入を検知すると、その検知した不正侵入のインシデント特性を制御ユニット100などへ通知する。
In the example shown in FIG. 7, it is assumed that only the
本明細書において、「インシデント特性」は、検知された不正侵入(セキュリティ脅威)の属性(例えば、攻撃種類、攻撃特性、攻撃レベル、深刻度、緊急度など)を包含する用語である。セキュリティユニット200のセキュリティエンジン250は、予め定められた検知ロジックに基づいて、検知した不正侵入(セキュリティ脅威)のインシデント特性を決定し、制御ユニット100などへ出力する。すなわち、セキュリティユニット200のセキュリティエンジン250は、検知機能により検知された不正侵入の属性を示すインシデント特性を制御ユニット100へ通知する通知手段として機能する。
As used herein, the term "incident characteristic" is a term that includes the attributes of the detected unauthorized intrusion (security threat) (for example, attack type, attack characteristic, attack level, severity, urgency, etc.). The
制御ユニット100は、セキュリティユニット200からのインシデント特性に応じた、セキュリティ脅威1次対応および/またはインシデント対応を実行する。すなわち、制御ユニット100は、セキュリティユニット200のセキュリティエンジン250から通知されたインシデント特性に応じて、制御動作を変更する。
The
図7には、セキュリティ脅威1次対応が実行される例を示す。具体的には、コンベア上を搬送されるワークをロボットで加工するようなラインAを想定する。このようなラインAにおいて、不正侵入が検知されることで、一例として、ワークを加工するロボットを安全に停止させるとともに、コンベア上の仕掛品のワークを倉庫へ退避する処理がセキュリティ脅威1次対応として実行される。 FIG. 7 shows an example in which the primary security threat response is executed. Specifically, it is assumed that the line A is such that the work transported on the conveyor is processed by a robot. In such line A, when an unauthorized intrusion is detected, as an example, the process of safely stopping the robot that processes the work and evacuating the work in process on the conveyor to the warehouse is the primary security threat response. Is executed as.
このようなセキュリティ脅威1次対応を実現するにあたって、制御ユニット100の制御エンジン150は、ラインAについて、ロボットを安全に停止するとともに、コンベア上の仕掛品を倉庫に移動する処理を実行する(ステップS41)。制御エンジン150が出力する命令に従って、フィールドデバイス500のロボットは安全停止(停止)し(ステップS42)、フィールドデバイス500のコンベアは搬送のスピードを低速に切り替えるとともに、仕掛品を倉庫へ移動させるための特殊仕分け処理を実行(縮退)する(ステップS43)。一方、フィールドデバイス500のI/Oユニットは、運転(動作)を継続する(ステップS44)。I/Oユニットが周期的に更新する入出力データは、制御エンジン150が適切に処理を実行するために必要になるからである。
In order to realize such a primary security threat response, the
また、上述したように、図7に示すSCADA装置700からの攻撃では、ラインBを担当する制御ユニット100には影響はないので、ラインBを担当する制御ユニット100の制御エンジン150は運転を継続する(ステップS45)。
Further, as described above, since the attack from the
また、制御ユニット100の通信ポート142については、生産継続のための最小限の通信のみを許可するようにしてもよい(ステップS46)。すなわち、制御ユニット100の通信物理ポートの通信を制御するようにしてもよい。なお、制御ユニット100の通信物理ポートに限らず、何らかの不正侵入(セキュリティ脅威)が検知されると、セキュリティユニット200および/またはセーフティユニット300の任意の通信物理ポートの通信を制限するようにしてもよい。
Further, for the
また、制御ユニット100は、不正侵入(セキュリティ脅威)が検知を知らせるアラームをHMI800のインジケータ824に表示する(ステップS47)。
Further, the
さらに、制御ユニット100は、セキュリティユニット200からインシデントの発生を受けると、インシデントレポートをHMI800に表示してもよい(ステップS48)。
Further, when the
図7に示すように、コントローラシステム1は、不正侵入(セキュリティ脅威)を検知すると、当該検知された不正侵入のインシデント特性に応じたセキュリティ脅威1次対応を実行できる。
As shown in FIG. 7, when the
(e2:その他の設備/機械でのセキュリティ脅威1次対応)
上述の図7においては、コンベア上のワークに対して任意の物理的作用を与えることが可能なロボットが配置されたラインを制御対象とする制御システム10において、SCADA装置から攻撃を受けた場合のセキュリティ脅威1次対応について例示した。しかしながら、セキュリティ脅威1次対応は、少なくとも、制御対象に含まれる設備や機械、および、インシデント特性に応じて、対応内容を異ならせることが好ましい。
(E2: Primary response to security threats in other equipment / machines)
In FIG. 7 described above, when an attack is received from a SCADA device in a
(i)加工機に対するデータ改ざんの攻撃
例えば、NC(Numerical Control)などによるワークの加工機に対して、加工データ(仕上がり形状などを規定したデータ)が改ざんされたような場合を想定する。この場合、加工機および加工機の周辺設備の制御に関しては、セキュリティ脅威1次対応として停止が採用され、人の安全が優先されることになる。
(I) Attack of data falsification on the processing machine For example, it is assumed that the processing data (data that defines the finished shape, etc.) is falsified on the processing machine of the workpiece by NC (Numerical Control) or the like. In this case, regarding the control of the processing machine and the peripheral equipment of the processing machine, suspension is adopted as the primary security threat response, and human safety is prioritized.
一方、情報通信処理に関しては、基本的には、通信を遮断して他の設備から隔離する(情報通信処理)とともに、データ改ざんの攻撃を受けた後に加工されたワークを特定する(情報処理)といったセキュリティ脅威1次対応が採用される。 On the other hand, regarding information communication processing, basically, communication is blocked and isolated from other equipment (information communication processing), and the work processed after being attacked by data falsification is specified (information processing). The primary response to security threats such as is adopted.
(ii)充填機に対するDDoS攻撃
例えば、缶や瓶などへの液体の充填機(ボトリングマシーン)に対するDDoS(Distributed Denial of Service)攻撃を想定する。通常、充填機は高速に充填動作を行っているので、急停止させることは、設備に対するダメージおよび充填中の缶または瓶の後処理といった面で問題が生じ得る。一方で、DDoS攻撃は、外部との通信が影響を受けるだけであり、充填機自体を動作させることは可能である場合が多い。そのため、充填機は正常運転または縮退運転(例えば、搬送速度を緩やかに低下させる)といったセキュリティ脅威1次対応がとられる。
(Ii) DDoS attack on a filling machine For example, a DDoS (Distributed Denial of Service) attack on a liquid filling machine (bottling machine) for a can or a bottle is assumed. Since the filling machine usually performs the filling operation at a high speed, sudden stoppage may cause problems in terms of damage to the equipment and post-treatment of the can or bottle during filling. On the other hand, in the DDoS attack, only the communication with the outside is affected, and it is often possible to operate the filling machine itself. Therefore, the filling machine takes a primary security threat response such as normal operation or degenerate operation (for example, the transport speed is gradually reduced).
一方、制御ユニット100における情報通信処理に関しては、基本的には、通信を遮断して他の設備から隔離する(通信処理)とともに、データ改ざんの攻撃を受けた後に加工されたワークを特定する(情報処理)といったセキュリティ脅威1次対応が採用される。
On the other hand, regarding the information communication processing in the
一方、情報通信処理に関しては、情報を受信する処理(すなわち、DDoS攻撃の対象)については遮断し、情報を送信する処理(例えば、上位サーバへの生産情報の送信)については有効化を継続する。 On the other hand, regarding the information communication process, the process of receiving information (that is, the target of DDoS attack) is blocked, and the process of transmitting information (for example, transmission of production information to a higher-level server) is continued to be enabled. ..
このように、制御対象に含まれる設備や機械、および、インシデント特性に応じて、対応内容を異ならせることが好ましい。 In this way, it is preferable to make the corresponding contents different according to the equipment and machines included in the controlled object and the incident characteristics.
<F.インシデントに応じた対応>
次に、図6に示されるインシデント対応(ステップS8)について説明する。
<F. Response according to the incident>
Next, the incident response (step S8) shown in FIG. 6 will be described.
図8は、生産機械および検査装置を含むラインに対する攻撃例を示す模式図である。図8を参照して、例えば、生産機械が製品を生産するとともに、生産機械の下流側に配置された検査装置によって生産機械が生産した製品を検査した上で出荷するようなラインを想定する。 FIG. 8 is a schematic diagram showing an example of an attack on a line including a production machine and an inspection device. With reference to FIG. 8, for example, it is assumed that a production machine produces a product and the product produced by the production machine is inspected by an inspection device arranged on the downstream side of the production machine before being shipped.
このようなラインに対して、攻撃者は、不良品を市場に流出させることを目論んだとする。このような目論みを実現するために、攻撃者は、不良品を生産するように生産機械を改ざんし、さらに、その不良品を検出できないように検査装置を改ざんする。 In response to such a line, the attacker intends to bring defective products to the market. In order to realize such a plan, the attacker tampers with the production machine to produce defective products, and further tampers with the inspection device so that the defective products cannot be detected.
このような攻撃の具体的な内容としては、例えば、検査装置に対して、良否判定ロジックを改ざんする。すなわち、検査装置が不良品であると判断しないように、良否判定ロジックを意図的に書き換えるといった攻撃がなされる。 As a specific content of such an attack, for example, the pass / fail determination logic is falsified for the inspection device. That is, an attack is made in which the quality determination logic is intentionally rewritten so that the inspection device does not determine that the product is defective.
併せて、生産機械に対して、レシピ情報および/または制御ロジックを改ざんする。すなわち、生産機械が不良品を生産するように制御内容を変更するといった攻撃がなされる。 At the same time, the recipe information and / or the control logic is tampered with for the production machine. That is, an attack is made in which the control content is changed so that the production machine produces defective products.
このような攻撃を受けた場合には、インシデントの発生となり、インシデントに応じた対応が必要となる。インシデントに応じた対応についても、インシデント特性に応じてその対応内容を変化させることが好ましい。 In the event of such an attack, an incident will occur and it will be necessary to respond to the incident. Regarding the response to the incident, it is preferable to change the response content according to the incident characteristics.
本事例において、具体的なインシデントに応じた対応としては、以下のようなものが想定される。 In this case, the following are assumed as the measures to be taken according to the specific incident.
・改ざんされた可能性のある検査装置を使用せずに、別の検査装置に切り替える(検査装置を冗長化しておく、あるいは、別のラインにある安全な検査装置へ製品を流す)
・改ざん前のロジック(良否判定ロジックあるいは制御ロジック)をバックアップしておき、自動的にリストアする(自動的にリストアすることで、エンドユーザが定期的にバックアップをとらなくてもよく、また、安全と判断できる過去のバックアップがどれなのかを特定できる)
・リスクが存在し得る工程の生産を停止する一方で、その他の脅威がない工程については生産を継続する(仕掛品が増加するが、全工程を止める必要はない)
・既に生産された製品の良否判定結果も疑わしいので、正規の倉庫へ保管するのではなく、再度検査を行うことで、そのまま市場へ流通させない(再検査用のラインへ流すようにしてもよいし、人手で再検査してもよい)
上述したように本実施の形態においては、検知された不正侵入(セキュリティ脅威)のインシデント特性を利用できるので、例えば、製品の良否判定が適切に実行されていることが保証できれば、生産ラインを全停止する必要はない。また、再検査の対象となる商品を絞り込むことができれば、全品回収などの被害拡大を回避できる。
-Switch to another inspection device without using an inspection device that may have been tampered with (make the inspection device redundant, or send the product to a safe inspection device on another line).
-Back up the logic (pass / fail judgment logic or control logic) before tampering and restore automatically (By automatically restoring, the end user does not have to back up regularly, and it is safe. You can identify which past backup you can determine)
-Stop production of processes where risks may exist, while continuing production of processes without other threats (work in process will increase, but it is not necessary to stop all processes)
・ Since the quality judgment result of the already produced product is doubtful, it may not be stored in the regular warehouse but re-inspected so that it will not be distributed to the market as it is (it may be sent to the re-inspection line). , May be re-examined manually)
As described above, in the present embodiment, the incident characteristics of the detected unauthorized intrusion (security threat) can be used. Therefore, for example, if it can be guaranteed that the quality judgment of the product is properly executed, the entire production line can be used. There is no need to stop. In addition, if the products subject to re-inspection can be narrowed down, it is possible to avoid the spread of damage such as the collection of all products.
<G.インシデント特性に応じた対応>
上述したように、本実施の形態に従うコントローラシステム1においては、セキュリティユニット200が不正侵入(セキュリティ脅威)を検知すると、その検知された不正侵入(セキュリティ脅威)のインシデント特性を制御ユニット100などに通知する(図7など参照)。制御ユニット100およびセーフティユニット300においては、インシデント特性に基づいて、セキュリティ脅威に対する適切な範囲および内容の対応が可能となる(図6のステップS4およびS8)。
<G. Response according to incident characteristics>
As described above, in the
本実施の形態に従うコントローラシステム1は、検知された不正侵入(セキュリティ脅威)のインシデント特性に応じて、制御ユニット100および/またはセーフティユニット300における制御(すなわち、セキュリティ脅威1次対応またはインシデント対応)の内容を異ならせることができる。以下、このようなインシデント特性に応じた制御内容の決定例について説明する。
The
図9は、本実施の形態に従うコントローラシステム1におけるインシデント特性に応じた設備別の制御動作の一例を示す図である。図10は、本実施の形態に従うコントローラシステム1におけるインシデント特性に応じた設備別の制御動作の別の一例を示す図である。図11は、本実施の形態に従うコントローラシステム1におけるインシデント特性に応じた各設備における状態別の制御動作の一例を示す図である。
FIG. 9 is a diagram showing an example of control operation for each equipment according to the incident characteristics in the
図9には、インシデント特性として、攻撃の種類あるいは攻撃後の状態(例えば、無作為改ざん、リソース枯渇、DDoS攻撃など)がセキュリティユニット200から出力される例を示す。セキュリティユニット200から出力される各インシデント特性に応じた対応が実行されることになる。このようなインシデント特性に応じた対応は、設備や機械毎にさらに細かく設定されてもよい。
FIG. 9 shows an example in which the type of attack or the state after the attack (for example, random alteration, resource exhaustion, DDoS attack, etc.) is output from the
インシデント特性に応じた対応としては、設備制御についての対応、および、情報通信についての対応に大別できる。設備制御は、主として、制御ユニット100の制御エンジン150および/またはセーフティユニット300のセーフティエンジン350(いずれも図5参照)が担当する処理を意味し、制御対象の設備や機械の動作についての対応を意味する。情報通信は、主として、制御ユニット100の情報エンジン160が担当する処理を意味し、制御ユニット100と外部装置との間のデータの遣り取りや、制御ユニット100内部での情報の取り扱いなどについての対応を意味する。
Responses according to incident characteristics can be broadly divided into response to equipment control and response to information communication. Equipment control mainly means the processing in charge of the
図9に示す制御動作のうち、「正常運転」は、システム設計通りおよび生産計画通りに、設備や機械を運転継続できる状態を意味する。「縮退」(図中には、「縮退」に「A1」などの識別情報を付加して表現している。)は、コントローラシステム1の部分停止(一部のみ稼働)、性能縮小(性能低下)、機能制限などの、限定的ながら稼働を続行することを意味する。「停止」は、安全に、対象の設備や機械あるいはコントローラシステム1の動作を止めることを意味する。なお、図10および図11においても同様である。
Among the control operations shown in FIG. 9, "normal operation" means a state in which equipment and machines can be continuously operated according to the system design and the production plan. "Degenerate" (in the figure, "degenerate" is expressed by adding identification information such as "A1") is a partial stop (only part of the operation) of the
図10には、インシデント特性としては、検知された不正侵入(セキュリティ脅威)のレベル(重篤度あるいは緊急度など)がセキュリティユニット200から出力される例を示す。各レベルは、検知された攻撃の種類あるいは攻撃後の状態などに基づいて算出される。セキュリティユニット200から出力される各インシデント特性に応じた対応が実行されることになる。このようなインシデント特性に応じた対応は、設備や機械毎にさらに細かく設定されてもよい。
FIG. 10 shows an example in which the detected unauthorized intrusion (security threat) level (severity, urgency, etc.) is output from the
図11には、各設備や機械の状態毎に各インシデント特性に応じた対応を設定する例を示す。例えば、設備毎に運転中、メンテナンス中、段取り替え中などの状態を特定するとともに、検知されたインシデント特性と、現在の状態とに基づいて、各設備に対する対応を決定してもよい。 FIG. 11 shows an example of setting a response according to each incident characteristic for each state of each facility or machine. For example, the state of operation, maintenance, setup change, etc. may be specified for each facility, and the response to each facility may be determined based on the detected incident characteristics and the current state.
なお、図11には、設備や機械の状態を例示するが、これに限らず、例えば、PLCの動作状態(通常運転中、リモートアクセス中、デバッグ中など)に応じて、対応の内容を異ならせてもよい。さらに、各インシデント特性に応じた対応を状態のみに基づいて決定してもよい。すなわち、設備や機械の違いによらず、セキュリティ脅威が検知されたときの状態のみに基づいて対応を決定するようにしてもよい。 Note that FIG. 11 illustrates the state of equipment and machines, but the present invention is not limited to this, and the contents of correspondence may differ depending on, for example, the operating state of the PLC (during normal operation, during remote access, during debugging, etc.). You may let me. Furthermore, the response according to each incident characteristic may be determined based only on the state. That is, the response may be determined based only on the state when the security threat is detected, regardless of the difference in equipment or machine.
また、図11に示すインシデント特性として、図10に示すレベルを用いてもよい。
図9~図11に示すように、本実施の形態に従うコントローラシステム1においては、セキュリティユニット200から出力されるインシデント特性に応じて、設備毎および/または状態毎に必要な対応を動的に決定できる。このような対応の内容を動的に決定することで、設備や機械の運転を継続することによる生産性の維持と、セキュリティに対する対処とを柔軟に実行できる。なお、図9~図11には、標準制御に関する制御動作を例示するが、セーフティ制御についても同様の制御動作を定義できる。
Further, the level shown in FIG. 10 may be used as the incident characteristic shown in FIG.
As shown in FIGS. 9 to 11, in the
次に、図9~図11に示す「縮退」の一例について説明する。
(1)設備制御の縮退
設備制御の縮退は、範囲、機能、生産性などの面において制限を受けた状態で運転することを意味する。
Next, an example of "degeneration" shown in FIGS. 9 to 11 will be described.
(1) Degeneration of equipment control Degeneration of equipment control means operating in a restricted state in terms of range, function, productivity, and the like.
範囲としては、制御対象となるゾーンを制限することができる。制御対象となるゾーンとしては、例えば、制御装置、制御装置に装着されるモジュール、制御装置に装着されるユニットなどの制御側を制限することができる。あるいは、特定の機械、ライン、フロア、工場全体といった被制御側(制御対象)を制限することができる。 As the range, the zone to be controlled can be limited. As the zone to be controlled, for example, the control side such as a control device, a module mounted on the control device, and a unit mounted on the control device can be restricted. Alternatively, the controlled side (controlled object) such as a specific machine, line, floor, or the entire factory can be restricted.
機能としては、コントローラシステム1が提供する処理のうち特定の処理(例えば、情報制御、標準制御、セーフティ制御など)を制限することができる。
As a function, it is possible to limit specific processes (for example, information control, standard control, safety control, etc.) among the processes provided by the
生産性としては、安全、安心のために一時的に生産性(例えば、ラインスピード、単位時間あたりの生産数、単位時間あたりの生産量など)を制限することができる。 As for productivity, productivity (for example, line speed, number of production per unit time, production amount per unit time, etc.) can be temporarily limited for safety and security.
(2)情報通信の縮退
情報通信の縮退は、範囲、方向、帯域、QoS(Quality of Service)、データなどの面において制限を受けた状態で運転することを意味する。
(2) Degeneration of information communication Degeneration of information communication means operating in a restricted state in terms of range, direction, bandwidth, quality of service (QoS), data, and the like.
範囲としては、例えば、通信物理ポート、通信論理ポート、ネットワーク離脱などを制限できる。 As the range, for example, the communication physical port, the communication logic port, the network withdrawal, and the like can be restricted.
通信物理ポートを制限する場合には、制御ユニット100およびセキュリティユニット200にそれぞれ配置されている通信ポートのうち特定のポート使用を制限することができる。あるいは、コントローラシステム1に実装される通信ポートのうち、上位側あるいはフィールド側のみを有効化してもよい。
When the communication physical port is restricted, the use of a specific port among the communication ports arranged in the
通信論理ポートを制限する場合には、利用可能なTCP/UDPポートを制限してもよいし、利用可能な通信プロトコルを制限してもよい。さらに、アクセスを受け付けるMACアドレスやIPアドレスを制限してもよい。 When limiting the communication logical port, the available TCP / UDP ports may be limited, or the available communication protocol may be limited. Furthermore, the MAC address and IP address that accept access may be restricted.
方向としては、例えば、各ポートにおいてデータが流れる方向を一方向のみに制限してもよい。例えば、特定のポートについて、データの受信のみ許可、あるいは、データの送信のみ許可といった具合である。このような一方向のデータのみを許可することで、何らかのセキュリティ脅威が検知されたときに、コントローラシステム1からデータが流出することを防止できる。
As the direction, for example, the direction in which data flows in each port may be limited to only one direction. For example, for a specific port, only data reception is permitted, or only data transmission is permitted. By allowing only such one-way data, it is possible to prevent data from leaking from the
帯域としては、コントローラシステム1の通信負荷あるいは処理負荷を低減させるために、通信速度を制限(例えば、1Gbpsから100Mbpsに変更)してもよい。
As the band, the communication speed may be limited (for example, changed from 1 Gbps to 100 Mbps) in order to reduce the communication load or the processing load of the
QoSとしては、通過させるパケットの優先度を動的に変化させてもよい。例えば、何らかのセキュリティ脅威が検知された場合には、通過させるパケットの優先度を高く変更してもよい。 As QoS, the priority of the packet to be passed may be dynamically changed. For example, when some kind of security threat is detected, the priority of the packet to be passed may be changed to a higher priority.
データとしては、例えば、EtherCATなどの産業用ネットワークプロトコルにおいては、プロセスデータ通信の有効/無効の切り替えや、出力値の更新を制限(更新停止/ゼロクリア/前回値を保持など)してもよい。 As the data, for example, in an industrial network protocol such as EtherCAT, the process data communication may be enabled / disabled and the update of the output value may be restricted (update stop / zero clear / hold the previous value, etc.).
上述したものに限らず、「縮退」は、正常運転に対して任意の制限が加えられた状態での運転を包含し得る。なお、「縮退」は、部分停止と見なすこともでき、「停止」は、特定の機能を全面的に停止することを包含し得るので、「縮退」を拡張した概念と見なすこともできる。 Not limited to those described above, "degenerate" may include operation in a state where any restriction is applied to normal operation. It should be noted that "degenerate" can be regarded as a partial stop, and "degeneration" can be regarded as an extended concept of "degenerate" because it can include stopping a specific function completely.
図12は、本実施の形態に従うコントローラシステム1におけるセキュリティ脅威が検知された場合の処理手順を示すフローチャートである。図12に示す各ステップは、制御ユニット100のプロセッサ102、セキュリティユニット200のプロセッサ202、およびセーフティユニット300のプロセッサ302がそれぞれプログラムを実行することで実現される。
FIG. 12 is a flowchart showing a processing procedure when a security threat is detected in the
図12を参照して、セキュリティユニット200は、制御ユニット100で生じる処理、および、ネットワーク上を流れるパケットなどに基づいて、不正侵入が生じているか否かを判断する(ステップS100)。不正侵入が生じていなければ(ステップS100においてNO)、ステップS100の処理が繰り返される。
With reference to FIG. 12, the
不正侵入が生じていなければ(ステップS100においてYES)、セキュリティユニット200は、検知した不正侵入(セキュリティ脅威)に対応するインシデント特性を制御ユニット100へ通知する(ステップS102)。制御ユニット100は、セキュリティユニット200からのインシデント特性の通知を受けて、予め定められた動作の変更に係る条件に合致するか否かを判断する(ステップS104)。
If no unauthorized intrusion has occurred (YES in step S100), the
予め定められた動作の変更に係る条件に合致すれば(ステップS104においてYES)、制御ユニット100は、当該合致した条件に対応する対象の設備や機械の動作を変更する(ステップS106)。
If the condition relating to the change of the predetermined operation is satisfied (YES in step S104), the
これに対して、予め定められた動作の変更に係る条件に合致しなければ(ステップS104においてNO)、ステップS106の処理はスキップされる。そして、ステップS100以下の処理が繰り返される。 On the other hand, if the condition relating to the change of the predetermined operation is not satisfied (NO in step S104), the process of step S106 is skipped. Then, the process of step S100 or less is repeated.
<H:不正侵入検知時の処理の設定>
次に、上述したようなコントローラシステム1における不正侵入の検知時の処理を設定するためのユーザインターフェイスの一例について説明する。図5に示すように、サポート装置600がコントローラシステム1に対する設定を行う。
<H: Processing settings when intrusion is detected>
Next, an example of a user interface for setting a process when an unauthorized intrusion is detected in the
図13は、本実施の形態に従うコントローラシステム1に接続されるサポート装置600のハードウェア構成例を示す模式図である。サポート装置600は、一例として、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコン)を用いて実現される。
FIG. 13 is a schematic diagram showing a hardware configuration example of the
図13を参照して、サポート装置600は、プロセッサ602と、メインメモリ604と、入力部606と、出力部608と、ストレージ610と、光学ドライブ612と、USBコントローラ620とを含む。これらのコンポーネントは、プロセッサバス618を介して接続されている。
With reference to FIG. 13, the
プロセッサ602は、CPUやGPUなどで構成され、ストレージ610に格納されたプログラム(一例として、OS6102およびサポートプログラム6104)を読出して、メインメモリ604に展開して実行することで、コントローラシステム1に対する設定処理などを実現する。
The
メインメモリ604は、DRAMやSRAMなどの揮発性記憶装置などで構成される。ストレージ610は、例えば、HDDやSSDなどの不揮発性記憶装置などで構成される。
The
ストレージ610には、基本的な機能を実現するためのOS6102に加えて、サポート装置600としての機能を提供するためのサポートプログラム6104が格納される。すなわち、サポートプログラム6104は、コントローラシステム1に接続されるコンピュータにより実行されることで、本実施の形態に係るサポート装置600を実現する。
In the
入力部606は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。出力部608は、ディスプレイ、各種インジケータ、プリンタなどで構成され、プロセッサ602からの処理結果などを出力する。
The
USBコントローラ620は、USB接続を介して、コントローラシステム1などとの間のデータを遣り取りする。
The
サポート装置600は、光学ドライブ612を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体614(例えば、DVD(Digital Versatile Disc)などの光学記録媒体)から、その中に格納されたプログラムが読取られてストレージ610などにインストールされる。
The
サポート装置600で実行されるサポートプログラム6104などは、コンピュータ読取可能な記録媒体614を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置600が提供する機能は、OSが提供するモジュールの一部を利用する形で実現される場合もある。
The
図13には、プロセッサ602がプログラムを実行することで、サポート装置600として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。
FIG. 13 shows a configuration example in which the
図14~図17は、本実施の形態に従うコントローラシステム1に対する不正侵入検知時の対処を設定するためのユーザインターフェイス画面の一例を示す模式図である。図14~図17には、一例として、不正侵入通知イベントタスクとして制御ユニット100に設定される場合の設定手順の一例を示す。なお、図14~図17に示すユーザインターフェイス画面は、典型的には、サポート装置600のプロセッサ602がサポートプログラム6104を実行することで実現される。
14 to 17 are schematic views showing an example of a user interface screen for setting a countermeasure at the time of unauthorized intrusion detection for the
図14に示すユーザインターフェイス画面650は、セキュリティユニット200から通知される不正侵入のインシデント特性の設定および登録を受け付ける。具体的には、ユーザインターフェイス画面650は、インシデント特性の設定登録領域652を有している。設定登録領域652には、セキュリティユニット200において検知可能な不正侵入(セキュリティ脅威)が一覧表示されている。
The
図14の設定登録領域652は、「攻撃タイプ」のカラム656を含んでおり、ユーザは、「有効」のカラム654において、通知を有効化する攻撃タイプ(検知される不正侵入の種類)をチェックする。図14に示す例では、3つの攻撃タイプが有効化されている。すなわち、図14に示すユーザインターフェイス画面650においてチェックされている攻撃タイプについては、セキュリティユニット200により検知されると、対応するインシデント特性が制御ユニット100へ通知されることになる。
The setting
図15に示すユーザインターフェイス画面660は、セキュリティユニット200からインシデント特性を通知されたときに実行されるプログラムの作成が可能になっている。具体的には、ユーザインターフェイス画面660は、プログラム編集領域662を有しており、ユーザはプログラム編集領域662に特定のインシデント特性が通知されたときに実行されるべきプログラム(典型的には、縮退または停止といったセキュリティ脅威1次対応を実現するためのプログラム)が記述される。図15に示す例では、縮退を実現するためのプログラムが記述され、「縮退処理A」として登録されるものとする。
The
図16に示すユーザインターフェイス画面670は、イベントタスクの設定を受け付ける。イベントタスクは、予め定められた条件が満たされたときのみ実行されるタスクを意味する。より具体的には、ユーザインターフェイス画面670のカラム672において、タスクタイプとして「イベントタスク」が指定される。そして、カラム674において、タスク名として「Security_RiskDetected_A」が指定される。なお、このタスク名は任意に指定できる。さらに、カラム676において、周期/実行条件として、「不正侵入検知」が指定される。「不正侵入検知」が指定されることで、セキュリティユニット200からインシデント特性が通知されたことをイベントとして実行されることが規定される。
The
さらに、カラム678において、セキュリティユニット200から通知されるインシデント特性に対する条件、すなわちインシデント特性の種別が設定される。図16に示す例では、「無作為改ざん」、「リソース枯渇」、「DDoS攻撃」の3種類が提示されており、ユーザはこれらのインシデント特性のうち1または複数を選択する。
Further, in
図17に示すユーザインターフェイス画面680は、図15に示すユーザインターフェイス画面660上で作成したプログラムを、図16に示すユーザインターフェイス画面670において設定したタスクに割り当てる設定を受け付ける。
The
「Security_RiskDetected_A」と表示されたタスク名を示すオブジェクト682を選択し、「縮退処理A」として登録されたプログラムを入力欄684に設定することで、セキュリティユニット200からのインシデント特性の通知を条件に、「縮退処理A」のプログラムがイベント実行されるようになる。
By selecting the
以上のような設定手順によって、セキュリティユニット200での不正侵入の検知、セキュリティユニット200から制御ユニット100へのインシデント特性の通知、制御ユニット100でのインシデント特性に応じた動作の変更(予め登録されたプログラムの実行)が実現される。このように、サポート装置600は、セキュリティユニット200のセキュリティエンジン250により検知された不正侵入に応じて制御ユニット100により実行される制御演算に係る設定およびプログラムなどを受け付ける。
By the above setting procedure, the
制御ユニット100は、通知されるインシデント特性に対応付けられたプログラムを実行することで、制御動作を変更する。同様に、制御ユニット100は、制御動作を変更することにより、前記制御対象の動作を停止することもできる。あるいは、制御ユニット100は、制御動作を変更することにより、制御対象の動作を制限すること(縮退動作)もできる。
The
また、制御ユニット100は、制御動作を変更することにより、コントローラシステム1に含まれる装置の動作を制限することもできる。
Further, the
上述の説明においては、不正侵入通知イベントタスクとして処理を設定する例を説明したが実装形態はこれに限られない。例えば、セキュリティユニット200からインシデント特性の通知を示すシステム変数を用意するとともに、当該システム変数を起動条件とした、縮退処理や停止処理に必要なプログラムを作成するようにしてもよい。
In the above description, an example of setting the process as an unauthorized intrusion notification event task has been described, but the implementation form is not limited to this. For example, a system variable indicating an incident characteristic notification may be prepared from the
さらに、システム変数をユーザ定義変数にマッピングすることで、ユーザプログラム内の任意の命令で参照可能にしてもよい。 Further, by mapping the system variable to the user-defined variable, it may be possible to refer to it by any instruction in the user program.
<I.セキュリティユニット200に対する指令>
上述したように、セキュリティユニット200は不正侵入を検知すると、検知した不正侵入に対応するインシデント特性を制御ユニット100およびセーフティユニット300へ通知する。制御ユニット100および/またはセーフティユニット300は、セキュリティユニット200からのインシデント特性に応じて制御動作を適宜変更することができる。
<I. Directive for
As described above, when the
図6のセキュリティ脅威に対する対策サイクルに示すように、セキュリティ脅威1次対応が実行された後、あるいは、インシデント対応が実行された後、対策が完了すると、試運転を経て運用が再開される。このような正常運転に復旧するにあたっては、制御ユニット100あるいはセーフティユニット300からセキュリティユニット200に対して、復旧するための指令を与える必要がある。
As shown in the countermeasure cycle for security threats in FIG. 6, when the countermeasures are completed after the primary security threat response is executed or the incident response is executed, the operation is restarted after the trial run. In order to restore such normal operation, it is necessary to give a command for restoration from the
また、制御ユニット100またはセーフティユニット300で実行される制御演算において、セキュリティユニット200のセキュリティ監視レベルや有効化されたセキュリティ機能を変更したいというニーズも存在する。例えば、他のコントローラシステム1において不正侵入が検知されたとの通知を受けて、自コントローラシステム1におけるセキュリティ監視レベルを高めるといった処理や、制御ユニット100がリモートメンテナンスされる場合に、セキュリティ監視レベルを緩和するといった処理が要求されることもある。
There is also a need to change the security monitoring level and the enabled security function of the
そこで、本実施の形態に従うコントローラシステム1は、制御ユニット100またはセーフティユニット300からセキュリティユニット200に対して、動作状態を変更するための指令が送信可能であってもよい。
Therefore, the
図18は、本実施の形態に従うコントローラシステム1におけるセキュリティユニット200に対する変更指令の遣り取りを説明するための模式図である。図18を参照して、例えば、制御ユニット100の制御エンジン150および情報エンジン160は、ユーザ操作などを受けて、セキュリティユニット200のセキュリティエンジン250に各種の変更指令を出力可能になっている。
FIG. 18 is a schematic diagram for explaining the exchange of change commands to the
このように、制御ユニット100制御エンジン150および情報エンジン160は、セキュリティユニット200のセキュリティエンジン250(検知手段)の挙動を変更するための指令を送信する指令送信手段に相当する。
As described above, the
図19は、本実施の形態に従うコントローラシステム1におけるセキュリティユニット200の動作を変更するためのプログラム命令の一例を示す図である。図19を参照して、例えば、制御ユニット100で実行されるユーザプログラムに、セキュリティユニット200の動作を変更するための命令190を含めることができる。図19に示す例では、命令190をファンクションブロックの形式で記述しているが、任意の言語または形式で記述できるようにしてもよい(例えば、IEC 61131-3に規定されたいずれかの言語)。
FIG. 19 is a diagram showing an example of a program instruction for changing the operation of the
このようなユーザプログラムで利用できる命令を用意することで、制御対象や動作状態などに応じて、セキュリティ機能を柔軟に運用できる。 By preparing an instruction that can be used in such a user program, the security function can be flexibly operated according to the control target, the operating state, and the like.
セキュリティユニット200の動作を変更する命令としては、例えば、(1)検知対象の攻撃タイプ(インシデント特性)の変更・削除・追加、(2)不正侵入検知の有効化/無効化、(3)不正侵入の検知レベルの変更、(4)インシデント特性の通知先の変更・追加・削除などが挙げられる。これらに限らず、セキュリティユニット200の動作を変更するための任意の命令を採用できる。
Instructions for changing the operation of the
なお、セキュリティユニット200に対する不正な命令が発行されることにより、セキュリティユニット200自体が無効化されることを防止するために、セキュリティレベルを上げる方向の指令のみを有効化してもよい。
In order to prevent the
あるいは、セキュリティユニット200に対して命令を発行する制御ユニット100またはセーフティユニット300を公知の方法で事前認証または都度認証するようにしてもよい。
Alternatively, the
上述したように、制御ユニット100またはセーフティユニット300からセキュリティユニット200に対して動作の変更を指示する機構を採用することで、コントローラシステム1全体として、適切なセキュリティレベルを維持しつつ、柔軟な生産を実現できる。
As described above, by adopting a mechanism for instructing the
<J.セキュリティ情報の可視化・ユーザ支援>
通常、セキュリティ事象は目に見えないので、特に、OT部門の作業者にとってみれば、現在どのようなステータスであるのかを把握することが難しい。そのため、本実施の形態に従うコントローラシステム1は、セキュリティ情報を可視化するとともに、不正侵入が検知されたときなどのユーザ支援を提供する。
<J. Visualization of security information / user support>
Since security events are usually invisible, it is difficult for workers in the OT department to know what the current status is. Therefore, the
(j1:ステータス)
セキュリティユニット200が何らかの不正侵入を検知した場合には、セキュリティユニット200の表面に配置されたインジケータ224、制御ユニット100の表面に配置されたインジケータ124、HMI800のインジケータ824(いずれも図5参照)などを用いて、ユーザに通知を行うようにしてもよい。この場合、不正侵入の検知前後で、点灯色変更、点灯開始、点滅開始などの任意の表示態様の変化を利用すればよい。さらに、表示だけではなく、音や音声メッセージなどを用いてもよい。
(J1: Status)
When the
セキュリティ脅威は、セキュリティリスクに応じて定量化することもできる。本明細書において、「セキュリティリスク」は、不正侵入として検知される確率あるいは度合いを定量的に示す用語である。「セキュリティリスク」は、例えば、無作為改ざんを行うためのパケットの到来頻度やDDoS攻撃の度合いなどにより算出できる。このような定量化されたセキュリティリスクが得られる場合には、制御ユニット100の表面に配置されたインジケータ124、HMI800のインジケータ824には、算出される度合いを表示するようにしてもよい。
Security threats can also be quantified according to security risks. As used herein, the term "security risk" is a term that quantitatively indicates the probability or degree of detection as an unauthorized intrusion. The "security risk" can be calculated, for example, by the frequency of arrival of packets for random alteration, the degree of DDoS attack, and the like. When such a quantified security risk is obtained, the calculated degree may be displayed on the
図20は、本実施の形態に従うコントローラシステム1に採用されるインジケータの一例を示す模式図である。図20(A)および図20(B)には、定量化されたセキュリティリスクを表示する場合の構成例を示す。
FIG. 20 is a schematic diagram showing an example of an indicator adopted in the
図20(A)に示すインジケータ224においては、3つのLED(Light Emitting Diode)が配置されており、算出されたセキュリティリスクに応じて点灯数あるいは点灯位置を変化させる。図20(B)に示すインジケータ224においては、1つのLEDが配置されており、算出されたセキュリティリスクに応じて点灯色あるいは点灯強度を変化させる。
In the
このように、セキュリティユニット200は、検知手段であるセキュリティエンジン250による検知動作から算出されるセキュリティリスクをユーザに提示する提示手段を有している。
As described above, the
上述したようなインジケータ224を配置することで、専門知識のない作業者であっても、現在のセキュリティリスクのステータスを容易に把握できる。
By arranging the
図20に示すようなインジケータに限らず、セキュリティリスクを提示できる形態であれば、どのようなインジケータを採用してもよい。 Not limited to the indicator as shown in FIG. 20, any indicator may be adopted as long as it can present a security risk.
(j2:ログ)
セキュリティユニット200での不正侵入検知の結果などは、セキュリティユニット200のセキュリティ情報260として保存されてもよい(図5など参照)。さらに、必要なログは、コントローラシステム1の内部あるいはコントローラシステム1の外部に配置されたデータベースに適宜格納するようにしてもよい。
(J2: Log)
The result of unauthorized intrusion detection in the
(j3:アラーム履歴)
上述のログと同様に、セキュリティユニット200が不正侵入を検知してアラームを発生した場合などは、そのアラーム履歴をセキュリティユニット200のセキュリティ情報260として保存するようにしてもよい(図5など参照)。さらに、必要なアラーム履歴は、コントローラシステム1の内部あるいはコントローラシステム1の外部に配置されたデータベースに適宜格納するようにしてもよい。
(J3: Alarm history)
Similar to the above log, when the
(j4:トラブルシュート)
図6に示すように、不正侵入が検知され、セキュリティ脅威1次対応が実行されると(ステップS4)、OT部門の作業者は、制御対象の設備や機械に対して必要な処理を行う(現場対応)(ステップS5)必要がある。このようなOT部門の作業者の作業を支援する目的で、HMI800などに、検知された不正侵入の種類、および、実行されたセキュリティ脅威1次対応の内容などに応じたトラブルシュート用の情報を提示するようにしてもよい。
(J4: Troubleshooting)
As shown in FIG. 6, when an unauthorized intrusion is detected and a primary security threat response is executed (step S4), the worker in the OT department performs necessary processing for the equipment or machine to be controlled (step S4). On-site response) (step S5) is necessary. For the purpose of supporting the work of workers in the OT department, information for troubleshooting according to the type of unauthorized intrusion detected and the content of the primary response to the security threat executed is provided to the HMI800 or the like. It may be presented.
このようなトラブルシュート用の情報を提示することで、正常運転での運用再開までに要する時間を短縮できる。 By presenting such troubleshooting information, the time required to resume operation in normal operation can be shortened.
<K.付記>
上述したような本実施の形態は、以下のような技術思想を含む。
[構成1]
コントローラシステム(1)であって、
制御対象を制御するための制御演算を実行する制御ユニット(100)と、
前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニット(200)とを備え、
前記セキュリティユニットは、
前記コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段(250)と、
前記検知手段により検知された不正侵入の属性を示すインシデント特性を前記制御ユニットへ通知する通知手段(250)とを含み、
前記制御ユニットは、前記通知手段から通知されたインシデント特性に応じて、制御動作を変更する、コントローラシステム。
[構成2]
前記制御ユニットは、前記制御動作を変更することにより、前記制御対象の動作を停止する、構成1に記載のコントローラシステム。
[構成3]
前記制御ユニットは、前記制御動作を変更することにより、前記制御対象の動作を制限する、構成1または2に記載のコントローラシステム。
[構成4]
前記制御ユニットは、前記制御動作を変更することにより、前記コントローラシステムに含まれる装置の動作を制限する、構成1または2に記載のコントローラシステム。
[構成5]
前記制御ユニットは、前記通知されるインシデント特性に対応付けられたプログラムを実行することで、制御動作を変更する、構成1に記載のコントローラシステム。
[構成6]
コントローラシステム(1)であって、
制御対象を制御するための制御演算を実行する制御ユニット(100)と、
前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニット(200)とを備え、
前記セキュリティユニットは、前記コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段(250)を含み、
前記制御ユニットは、前記セキュリティユニットの前記検知手段の挙動を変更するための指令を送信する指令送信手段(150,160)を含む、コントローラシステム。
[構成7]
コントローラシステム(1)であって、
制御対象を制御するための制御演算を実行する制御ユニット(100)と、
前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニット(200)と、
少なくとも前記制御ユニットにアクセス可能なサポート装置(800)とを備え、
前記セキュリティユニットは、前記コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段(250)を含み、
前記制御ユニットは、前記検知手段により検知された不正侵入に応じた制御演算を実行するように構成されており、
前記サポート装置は、前記検知手段により検知された不正侵入に応じて前記制御ユニットにより実行される制御演算に係る設定を受け付ける、コントローラシステム。
[構成8]
コントローラシステム(1)であって、
制御対象を制御するための制御演算を実行する制御ユニット(100)と、
前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニット(200)とを備え、
前記セキュリティユニットは、
前記コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段(250)と、
前記検知手段による検知動作から算出されるセキュリティリスクをユーザに提示する提示手段(250)とを含む、コントローラシステム。
<K. Addendum>
The present embodiment as described above includes the following technical ideas.
[Structure 1]
The controller system (1)
A control unit (100) that executes a control operation to control a controlled object, and
It is provided with a security unit (200) connected to the control unit and in charge of security functions for the controller system.
The security unit is
A detection means (250) for detecting whether or not any unauthorized intrusion has occurred in the controller system, and
Including the notification means (250) for notifying the control unit of the incident characteristic indicating the attribute of the unauthorized intrusion detected by the detection means.
The control unit is a controller system that changes a control operation according to an incident characteristic notified from the notification means.
[Structure 2]
The controller system according to
[Structure 3]
The controller system according to
[Structure 4]
The controller system according to
[Structure 5]
The controller system according to
[Structure 6]
The controller system (1)
A control unit (100) that executes a control operation to control a controlled object, and
It is provided with a security unit (200) connected to the control unit and in charge of security functions for the controller system.
The security unit includes a detection means (250) for detecting whether or not any unauthorized intrusion has occurred in the controller system.
The control unit is a controller system including command transmission means (150, 160) for transmitting a command for changing the behavior of the detection means of the security unit.
[Structure 7]
The controller system (1)
A control unit (100) that executes a control operation to control a controlled object, and
A security unit (200) connected to the control unit and in charge of a security function for the controller system, and
With at least a support device (800) accessible to the control unit,
The security unit includes a detection means (250) for detecting whether or not any unauthorized intrusion has occurred in the controller system.
The control unit is configured to execute a control operation in response to an unauthorized intrusion detected by the detection means.
The support device is a controller system that accepts settings related to control operations executed by the control unit in response to an unauthorized intrusion detected by the detection means.
[Structure 8]
The controller system (1)
A control unit (100) that executes a control operation to control a controlled object, and
It is provided with a security unit (200) connected to the control unit and in charge of security functions for the controller system.
The security unit is
A detection means (250) for detecting whether or not any unauthorized intrusion has occurred in the controller system, and
A controller system including a presentation means (250) that presents a security risk calculated from a detection operation by the detection means to a user.
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 It should be considered that the embodiments disclosed this time are exemplary in all respects and not restrictive. The scope of the present invention is shown by the scope of claims, not the above description, and is intended to include all modifications within the meaning and scope equivalent to the scope of claims.
1 コントローラシステム、2 第1ネットワーク、4 第2ネットワーク、10 制御システム、100 制御ユニット、102,202,302,602 プロセッサ、104,204,304 チップセット、106,206,306 主記憶装置、108,208,308 二次記憶装置、110,210 通信コントローラ、112,212,620 USBコントローラ、114,214,314 メモリカードインターフェイス、115,215,315 メモリカード、116,118,120,216,218 ネットワークコントローラ、122,322 内部バスコントローラ、124,224,324,824 インジケータ、142,144,242 通信ポート、150 制御エンジン、160 情報エンジン、170 ブローカー、180,360 ログデータベース、190 命令、200 セキュリティユニット、250 セキュリティエンジン、260 セキュリティ情報、300 セーフティユニット、350 セーフティエンジン、400 機能ユニット、450 電源ユニット、500 フィールドデバイス、600 サポート装置、604 メインメモリ、606 入力部、608 出力部、610 ストレージ、612 光学ドライブ、614 記録媒体、618 プロセッサバス、650,660,670,680 ユーザインターフェイス画面、652 設定登録領域、654,656,672,674,676,678 カラム、662 プログラム編集領域、682 オブジェクト、684 入力欄、700 装置、800 HMI、900 データベース、6102 OS、6104 サポートプログラム。 1 controller system, 2nd network, 4th network, 10 control system, 100 control unit, 102,202,302,602 processor, 104,204,304 chipset, 106,206,306 main memory, 108, 208,308 secondary storage, 110,210 communication controller, 112,212,620 USB controller, 114,214,314 memory card interface, 115,215,315 memory card, 116,118,120,216,218 network controller , 122,322 internal bus controller, 124,224,324,824 indicator, 142,144,242 communication port, 150 control engine, 160 information engine, 170 broker, 180,360 log database, 190 instructions, 200 security unit, 250 Security engine, 260 security information, 300 safety unit, 350 safety engine, 400 functional unit, 450 power supply unit, 500 field device, 600 support device, 604 main memory, 606 input section, 608 output section, 610 storage, 612 optical drive, 614 recording medium, 618 processor bus, 650, 660, 670, 680 user interface screen, 652 setting registration area, 654,656,672,674,676,678 columns, 662 program editing area, 682 objects, 684 input fields, 700 Equipment, 800 HMI, 900 database, 6102 OS, 6104 support program.
Claims (6)
設備または機械を含む制御対象を制御するための制御演算と、外部装置とのデータ通信とを実行する制御ユニットと、
前記制御ユニットに接続され、前記コントローラシステムに対するセキュリティ機能を担当するセキュリティユニットとを備え、
前記セキュリティユニットは、
前記コントローラシステムにおいて何らかの不正侵入が発生したか否かを検知する検知手段と、
前記検知手段により検知された不正侵入の属性を示すインシデント特性を前記制御ユニットへ通知する通知手段とを含み、
前記制御ユニットは、インシデント特性毎に予め定められた、前記制御対象に含まれる設備または機械の動作に関する第1の定義と、前記外部装置とのデータ通信または前記制御ユニットでの情報の取り扱いに関する第2の定義とを有しており、前記通知手段から通知されたインシデント特性に応じて、対応する第1の定義に従う制御演算を実行するとともに、対応する第2の定義に従うデータ通信を実行する、コントローラシステム。 It ’s a controller system,
A control unit that executes control operations for controlling controlled objects including equipment or machines and data communication with external devices .
It is equipped with a security unit that is connected to the control unit and is in charge of security functions for the controller system.
The security unit is
A detection means for detecting whether or not some kind of unauthorized intrusion has occurred in the controller system,
Including the notification means for notifying the control unit of the incident characteristic indicating the attribute of the unauthorized intrusion detected by the detection means.
The control unit has a first definition relating to the operation of equipment or a machine included in the controlled object, which is predetermined for each incident characteristic, and a first definition relating to data communication with the external device or handling of information in the control unit. It has the definition of 2, and according to the incident characteristic notified from the notification means, the control operation according to the corresponding first definition is executed, and the data communication according to the corresponding second definition is executed . Controller system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019114337A JP7016837B2 (en) | 2019-06-20 | 2019-06-20 | Controller system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019114337A JP7016837B2 (en) | 2019-06-20 | 2019-06-20 | Controller system |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018222649 Division | 2018-11-28 | 2018-11-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020087423A JP2020087423A (en) | 2020-06-04 |
| JP7016837B2 true JP7016837B2 (en) | 2022-02-07 |
Family
ID=70910012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019114337A Active JP7016837B2 (en) | 2019-06-20 | 2019-06-20 | Controller system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7016837B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015001594A1 (en) | 2013-07-01 | 2015-01-08 | 株式会社日立製作所 | Control system, control method, and controller |
| JP2015176369A (en) | 2014-03-14 | 2015-10-05 | オムロン株式会社 | control device |
| JP2018136811A (en) | 2017-02-23 | 2018-08-30 | 三菱電機株式会社 | Control system |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4902335B2 (en) * | 2006-12-15 | 2012-03-21 | ヒトエキスプレス株式会社 | Communication notification program and quality improvement system using the same |
| JP2014203116A (en) * | 2013-04-01 | 2014-10-27 | 株式会社東芝 | Remote monitoring control system and remote monitoring control method |
| JP2015200971A (en) * | 2014-04-04 | 2015-11-12 | 富士電機株式会社 | Control system equipped with falsification detection function |
| JP6402577B2 (en) * | 2014-10-16 | 2018-10-10 | 株式会社リコー | Information processing system, information processing apparatus, setting determination method, and program |
| JP6633373B2 (en) * | 2015-12-03 | 2020-01-22 | 株式会社東芝 | Control device |
| JP6759572B2 (en) * | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | Integrated production system |
| JP2017129894A (en) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | Cyberattack detection system |
-
2019
- 2019-06-20 JP JP2019114337A patent/JP7016837B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015001594A1 (en) | 2013-07-01 | 2015-01-08 | 株式会社日立製作所 | Control system, control method, and controller |
| JP2015176369A (en) | 2014-03-14 | 2015-10-05 | オムロン株式会社 | control device |
| JP2018136811A (en) | 2017-02-23 | 2018-08-30 | 三菱電機株式会社 | Control system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020087423A (en) | 2020-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2017111532A (en) | Control device and integrated production system | |
| JP2023068023A (en) | controller system | |
| WO2020202884A1 (en) | Controller system | |
| US10320747B2 (en) | Automation network and method for monitoring the security of the transfer of data packets | |
| WO2020166329A1 (en) | Control system | |
| JP7180500B2 (en) | Control system and setting method | |
| WO2020189207A1 (en) | Controller system | |
| JP7016837B2 (en) | Controller system | |
| WO2020110876A1 (en) | Controller system | |
| JP7255369B2 (en) | control system | |
| US20200280570A1 (en) | Method for Monitoring an Industrial Network | |
| US20220100162A1 (en) | Control device, recording medium storing management program, and control system | |
| WO2020240969A1 (en) | Support device and setting program | |
| WO2020195640A1 (en) | Monitoring system, setting device, and monitoring method | |
| WO2020213271A1 (en) | Communication monitoring system and communication monitoring method | |
| CN117792866A (en) | System and method for container-based data collection and analysis in an operating technology network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200616 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200626 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20201201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210219 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210219 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210303 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210309 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20210416 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20210421 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20210720 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20210907 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211108 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20211214 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20220118 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20220118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220126 |