図面 (/)

技術 通信制御装置およびシステム

出願人 株式会社日立製作所
発明者 丸山龍也松本典剛岩澤寛遠藤浩通藤田淳也
出願日 2019年9月24日 (1年9ヶ月経過) 出願番号 2019-172583
公開日 2021年4月1日 (3ヶ月経過) 公開番号 2021-052256
状態 未査定
技術分野 広域データ交換 小規模ネットワーク(3)ループ,バス以外
主要キーワード 多重化要素 ソフトウェアクロック 流行情報 byte目 工作機械テーブル 隣接装置間 処理割り当て 各検査パターン
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2021年4月1日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題

従来のセキュリティ対策は一般にITシステムを対象としていることから、制御システムに要求されるリアルタイム性可用性満足することが困難であった。さらに時分割型タイムスロット通信方式を考慮していないため、そのようなタイムスロット通信では計算機資源の効率的な利用や、可用性低下の課題がある。

解決手段

本発明は、上記課題を解決するために、受信部133で受信した通信パケットの特性からタイムスロット特性記憶部130を用いてタイムスロットを特定し、特定されたタイムスロットに応じて、検査パターン記憶部136に記憶された検査パターンを検査パターン選択部131で選択する。

概要

背景

制御システムとして、制御用計算機が、ネットワークを介して単一または複数の制御対象を制御する構成がある。このような制御システムにおいては、制御システムの用途、要件、要求によって、適切な制御ネットワークが選択され、適用される。技術的な観点からは、それら制御システムの要求の高度化によって制御ネットワークの技術進展がもたらされたとも言える。そのような制御ネットワークへの要求は多岐渡り通信遅延の低減、低コスト化接続台数の増加、時刻同期高精度化接続距離の長大化、通信媒体及び通信データモデルの共通化、冗長化通信等である。

標準化技術の導入による技術的進展とあいまって、制御ネットワークにおける制御システムへの要求は高度化している。従来は、制御対象との制御通信性能の高度化を指向していた。しかし、近年では通信性能に留まらず、制御システムへのAI適用や、あるいは保守データ活用によるCBM(Condition Based Maintenance)の適用による資産管理といった用途が挙げられる。

このような情報技術の制御システムへの導入を促進する制御ネットワークとして、TSN(Time Sensitive Network)が挙げられる。

TSNと呼ばれる一連IEE規格群で構成される通信方式は、IEEE802.3規格を制御システムに適用可能とした制御ネットワークである。TSNは、時分割に基づくタイムスロット通信を導入することにより、タイムスロットごとに制御通信や情報通信(AI、監視用途、CBM等の通信を含む)の使い分けが可能である。

つまり、制御通信のリアルタイム要件満足しながら、同一ネットワーク上での情報通信との両立が可能である。

一方で、これら標準化技術やIT分野の技術の導入にともない、制御システムにおいてもサイバーセキュリティ脅威が高まっている。特にフィールド分野でのセキュリティ確保はリアルタイム性可用性といった制御システム特有の要件を満足する必要があり、対応を困難としている。

概要

従来のセキュリティ対策は一般にITシステムを対象としていることから、制御システムに要求されるリアルタイム性、可用性を満足することが困難であった。さらに時分割型のタイムスロット通信方式を考慮していないため、そのようなタイムスロット通信では計算機資源の効率的な利用や、可用性低下の課題がある。 本発明は、上記課題を解決するために、受信部133で受信した通信パケットの特性からタイムスロット特性記憶部130を用いてタイムスロットを特定し、特定されたタイムスロットに応じて、検査パターン記憶部136に記憶された検査パターンを検査パターン選択部131で選択する。

目的

ただし、MAC機能を提供するICを通信制御IC102とPHY103間に配置する構成や、MAC機能を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

通信フレーム転送する通信制御装置において、前記通信フレームを受信する手段と、前記通信フレームを処理する時間を特定する手段と、特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定する手段とを有することを特徴とする通信制御装置。

請求項2

請求項1に記載の通信制御装置において、さらに、前記タイムスロットを特定する手段を有し、前記セキュリティ対策を特定する手段は、特定された前記タイムスロットに応じたセキュリティ対策を特定することを特徴とする通信制御装置。

請求項3

請求項2に記載の通信制御装置において、前記タイムスロットを特定する手段は、前記通信フレームに含まれる前記タイムスロットを特定する情報を用いることを特徴とする通信制御装置。

請求項4

請求項2に記載の通信制御装置において、さらに、時間帯毎のタイムスロットを特定する情報を格納する手段を有し、前記タイムスロットを特定する手段は、前記格納する手段を用いて、前記タイムスロットを特定することを特徴とする通信制御装置。

請求項5

請求項1に記載の通信制御装置において、さらに、前記通信フレームから当該通信フレームの特性を抽出する手段を有し、前記セキュリティ対策を特定する手段は、抽出された前記通信フレームの特性に応じたセキュリティ対策を特定する通信制御装置。

請求項6

請求項5に記載の通信制御装置において、前記通信フレームの特性には、前記通信フレームの通信プロトコル、用途および当該通信フレームを利用するアプリケーションプログラムのうち少なくとも1つが含まれることを特徴とする通信制御装置。

請求項7

請求項1に記載の通信制御装置において、さらに、前記セキュリティ対策を施す手段を有し、前記前記セキュリティ対策を特定する手段は、受信した前記通信フレームと予め記憶された検査パターンを照合し、前記セキュリティ対策を実行する手段は、前記セキュリティ対策として、前記照合の結果に基づいて、前記通信フレームの末尾誤り検査符号を変更することを特徴とする通信制御装置。

請求項8

通信フレームを送信する送信装置、前記通信フレームを転送する通信中継装置および転送された前記通信フレームを受信する受信装置からなる通信ステムにおいて、前記送信装置が、前記通信フレームを送信し、前記通信中継装置が、前記通信フレームを受信し、前記通信中継装置が、前記通信フレームを処理する時間を特定し、前記通信中継装置が、特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定し、特定された前記セキュリティ対策が前記通信フレームに施されることを特徴とする通信システム。

請求項9

請求項8に記載の通信システムにおいて、前記通信中継装置が、前記セキュリティ対策を特定するために、受信した前記通信フレームと予め記憶された検査パターンを照合し、前記セキュリティ対策として、前記照合の結果に基づいて、前記通信フレームの末尾の誤り検査符号が変更されることを特徴とする通信システム。

技術分野

0001

本発明は、通信制御技術に関わり、そのための情報処理装置及び情報処理ハードウェア情報処理ソフトウェア通信制御方法および通信ステムに関する。

背景技術

0002

制御システムとして、制御用計算機が、ネットワークを介して単一または複数の制御対象を制御する構成がある。このような制御システムにおいては、制御システムの用途、要件、要求によって、適切な制御ネットワークが選択され、適用される。技術的な観点からは、それら制御システムの要求の高度化によって制御ネットワークの技術進展がもたらされたとも言える。そのような制御ネットワークへの要求は多岐渡り通信遅延の低減、低コスト化接続台数の増加、時刻同期高精度化接続距離の長大化、通信媒体及び通信データモデルの共通化、冗長化通信等である。

0003

標準化技術の導入による技術的進展とあいまって、制御ネットワークにおける制御システムへの要求は高度化している。従来は、制御対象との制御通信性能の高度化を指向していた。しかし、近年では通信性能に留まらず、制御システムへのAI適用や、あるいは保守データ活用によるCBM(Condition Based Maintenance)の適用による資産管理といった用途が挙げられる。

0004

このような情報技術の制御システムへの導入を促進する制御ネットワークとして、TSN(Time Sensitive Network)が挙げられる。

0005

TSNと呼ばれる一連IEE規格群で構成される通信方式は、IEEE802.3規格を制御システムに適用可能とした制御ネットワークである。TSNは、時分割に基づくタイムスロット通信を導入することにより、タイムスロットごとに制御通信や情報通信(AI、監視用途、CBM等の通信を含む)の使い分けが可能である。

0006

つまり、制御通信のリアルタイム要件満足しながら、同一ネットワーク上での情報通信との両立が可能である。

0007

一方で、これら標準化技術やIT分野の技術の導入にともない、制御システムにおいてもサイバーセキュリティ脅威が高まっている。特にフィールド分野でのセキュリティ確保はリアルタイム性可用性といった制御システム特有の要件を満足する必要があり、対応を困難としている。

先行技術

0008

特開2006−148505号公報
特開2015−119386号公報

発明が解決しようとする課題

0009

しかしながら、従来のセキュリティ対策は一般にITシステムを対象としていることから、前述のように制御システムに要求されるリアルタイム性、可用性を満足することが困難であった。

0010

特許文献1は、通信データのパケット中継装置内に格納する発明である。しかしながら、パケットの中継時にメモリ等への書き込みと読み出しという少なくとも2回のメモリ操作が必要であり、中継による遅延を増大させる要因となる。メモリ素子バス高速化により遅延を短縮できる可能性はあるが、中継装置の大型化や消費電力の増加を招く。このような高速化は、多くの制御対象設備において制御装置設置場所が限られていることや、制御装置の信頼性確保のために発熱量が管理されている点を考慮すると好ましくない。

0011

さらに特許文献2は、第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、通信フレームの特徴を示す特徴値を決定して、特徴値が条件を満たすか否かを判定する。そして、受信される複数の要素を順に伝達し、特徴値が条件を満たさないと判定された場合に、伝達される複数の要素の一部を変更して、順に第二通信装置へ送信する発明である。しかしながら、TSNといった時分割型のタイムスロット通信方式を考慮していないため、そのようなタイムスロット通信では計算機資源(メモリや照合回路等)の効率的な利用や、一律の特徴値比較による可用性低下の課題がある。

課題を解決するための手段

0012

本発明は、上記課題を解決するために、タイムスロットに応じたセキュリティ対策を特定する。セキュリティ対策の特定には、検査パターンの特定(タイムスロットごとに検査パターンを変更)やセキュリティソフトの特定が含まれる。

0013

本発明の一態様には、以下の構成が含まれる。通信フレームを転送する通信制御装置において、前記通信フレームを受信する手段と、前記通信フレームを処理する時間を特定する手段と、特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定する手段とを有する通信制御装置。

発明の効果

0014

タイムスロット通信を採用するネットワークにおいて、状況に応じたセキュリティ対策を施すことが可能になる。

図面の簡単な説明

0015

本発明の一実施形態を用いたシステム構成図である。
本発明の一実施形態でのハードウェア構成図である。
本発明の一実施形態を示す機能構成図である。
本発明の一実施形態の動作手順を示した図である。
本発明の一実施形態の動作手順を示した図である。
本発明の一実施形態の動作手順を示した図である。
本発明の一実施形態の動作手順を示した図である。
本発明の一実施形態における特性と検査パターンの関係を示す図である。
本発明の一実施形態における特性と検査パターンの関係を示す図である。
本発明の一実施形態における各特性間の関係を示す図である。
中継通信装置121におけるタイムスロットを示した図である。
本発明の一実施形態におけるタイムスロットと動作を示した図である。
本発明の一実施形態におけるタイムスロットと動作を示した図である。
本発明の一実施形態における照合処理と検査パターンの更新並行して行う機能構成を示した図である。
本発明の一実施形態におけるタイムスロットと動作を示した図である。
本発明の一実施形態におけるタイムスロットと動作を示した図である。
本発明の一実施形態を示す機能構成図である。
本発明の一実施形態を用いたシステム構成図とタイムスロット及び動作を示した図である。
本発明の一実施形態を用いたシステム構成図である。

実施例

0016

(システム構成例)
本発明の一実施形態を適用したシステム構成を図1に示す。中央制御装置120は、制御ネットワーク122、ネットワーク中継装置121を介して、分散制御装置123と接続し、通信する。

0017

中央制御装置120は、分散制御装置123に対して、通信パケット送受信することにより、被制御装置124を制御するための制御指令値伝送、被制御装置124の計測値の取得や各種設定を実行する。

0018

中央制御装置120は、DCS(Distributed Control System)の中央制御装置や電力系統保護制御装置のように、各制御システム内のサンプリングデータや、制御指令状態信号やりとりすることが例示される。同一制御システム内のデータをパケット内に格納してもよい。

0019

中央制御装置120として、専用コントローラ産業用パソコン、制御用計算機、DCSコントローラSCADA(Supervisory Control and Data Acquisition)サーバPLC(Programmable Logic Controller)、IED(Intelligent Electronic Device)、保護制御装置、クラウド、サーバが例示される。

0020

ネットワーク中継装置121は、制御ネットワーク122における中継装置であり、中央制御装置120、分散制御装置123やネットワーク中継装置121の通信するパケットを経路制御し、転送する。ネットワーク中継装置121として、L2スイッチ、L3スイッチを含むネットワークスイッチブリッジルータ、IEEE 1588のTC(Transparent Clock)、BC(Boundary Clock)、OpenFlowスイッチ、IEC62439−3で定義されるRedBox、QuadBox、光スイッチ、光合波器光分波器等の各種ネットワーク中継装置が例示される。

0021

制御ネットワーク122は、中央制御装置120、分散制御装置123、ネットワーク中継装置121を接続するネットワークであり、TSNと関連するIEEE通信規格群、IEC61784でのタイムスロット通信を採用する一部の規格、その他タイムスロット通信を用いるネットワークが例示される。

0022

また、プロトコルスタックにおける上位プロトコルとして、IEC61850、OPCUA(Unified Architecture)、IEC 61850−7−420、IEC 60870−5−104、OpenADR、ECHONET Lite(登録商標)等が例示される。あるいは、以上のプロトコル階層化されていてもよい。例えば、TSN上でデータ領域の内容はOPC UA規格を適用することが例示される。

0023

分散制御装置123は、被制御装置124に接続され、制御ネットワーク122を介して、中央制御装置120から受信した制御指令に応じて被制御装置124を制御、設定する。また、被制御装置124の状態や情報を取得して制御ネットワーク122を介して中央制御装置120へ送信する。

0024

分散制御装置123として、専用コントローラ、産業用パソコン、制御用計算機、DCSコントローラ、SCADA装置、PLC、IED、MU(Merging Unit)、保護制御装置が例示される。

0025

被制御装置124は、分散制御装置123によって制御される機器、装置である。被制御装置124として、移動ロボットロボットアーム等の産業用ロボットチップマウンタ工作機械テーブル加工装置工作機械半導体製造装置、あるいは製造装置内モータインバータや、遮断器断路器といった電力機器が例示される。

0026

検査パターン管理装置125は、ファイアウォール126における検査パターンを管理する。管理の内容としては、検査パターンの更新、置換、除去、有効化、無効化、取得等の処理を含む。

0027

なお、検査パターンとは不正な通信を特徴づける通信内容を示す。その内容は、通信プロトコル上の意味を持った領域(例えば、宛先アドレス通信ポート番号等)における不正値、異常値や、マルウェアを含む通信等の任意の位置における特定のデータ列、あるいはマルウェアの特徴値と定義する。さらに、検査パターンは、セキュリティ対策の一態様であって、後述するアンチウィルスソフトなども含まれる。

0028

検査パターン管理装置125として、SDN(Software Defined Network)におけるOpenFlowコントローラ等の通信制御装置、専用の通信装置が例示される。

0029

ファイアウォール126は、本実施形態の処理を実行する通信装置である。また、基本機能として、中央制御装置120、ネットワーク中継装置121、分散制御装置123、検査パターン管理装置125のそれぞれの装置間に設置されて通信を中継し、不正な通信内容に対してはセキュリティ対策を実施する。図1ではネットワーク中継装置121と分散制御装置123間に設置される構成を示している。

0030

ファイアウォール126は、入力されたパケットと検査パターンを比較し、一致した場合に該パケットを不正パケットあるいは攻撃パケットと判断する。不正パケット、攻撃パケットと判断した場合は該パケットを破棄してもよいし、パケット末尾CRC(Cyclic Redundancy Check:巡回冗長検査)、つまり、パケット末尾の誤り検査符号を変更して、転送先にて該パケットを破棄できるようにしてもよい。

0031

なお、図1では中央制御装置120と分散制御装置123間に2つのネットワーク中継装置121を接続しているが、異なる数でもよいし、通信経路が複数であってもよい。

0032

図1に示すシステム構成として、FA(Factory Automation)、PA(Process Automation)向けのDCS等の制御システム、電力分野の監視制御保護制御システムや、産業用機器、半導体製造装置、車載システム建設機械鉄道車両内の制御システム、鉄道地上信号システム、航空機内の制御システム等が例示される。あるいは、制御ネットワーク122を介して収集した情報をもとに、中央制御装置120あるいは、図示していないクラウドやコンピュータ上で人工知能にて解析し、制御システムの性能向上を図るIoTシステム等が例示される。
(ハードウェア構成)
図2に、本実施形態を適用したファイアウォール126のハードウェア構成を示す。

0033

CPU101は、不揮発性記憶媒体105からプログラムをメモリ104に転送して実行する。実行処理プログラムとしては、オペレーティングシステム(以下、OSと称す)やOS上で動作するアプリケーションプログラムが例示される。CPU101上で動作するプログラムは通信制御IC102の動作設定状態情報を取得する。

0034

通信制御IC102は、PHY103から受信したパケットを検査パターンと比較して不正パケットかどうかを判断し、不正パケットの場合に該パケットを破棄する。あるいはバス106を介してCPU101、メモリ104、不揮発性記憶媒体105へパケットを転送し、CPU101上で動作するソフトウェアにおいて、不正パケットの判断処理と破棄等の対応をする。

0035

通信制御IC102の実装例としては、FPGA(Field Programmable Gate Array)、CPLD(Complex Programmable Logic Device)、ASIC(Application Specific IntegratedCircuit)、ゲートアレイ等のICが例示される。あるいは、CPU101と一体化して構成されてもよい。通信制御IC102をMAC層PHY層を含めたIEEE 802.3通信デバイスとしてもよいし、また、PHY機能まで含めて通信制御IC102に包含してもよい。この場合、通信制御IC102の実装例としてはIEEE802.3規格のMAC(Media Access Control)チップ、PHY(物理層)チップ、MACとPHYの複合チップを含む。なお、通信制御IC102は、CPU101や、コンピュータ内部の情報経路を制御するチップセットに含まれていてもよい。また、図2の構成では、通信制御IC102を1つ示しているが、通信制御IC102の数は複数であってもよい。

0036

PHY103は、制御ネットワーク122との通信機能を実装した送受信機ICである。PHY103の提供する通信規格としてIEEE802.3のPHY(物理層)チップが例示される。なお、図2の構成では、PHY103と通信制御IC102が接続しているので、IEEE 802.3のMAC(Media Access Control)層の処理は通信制御IC102に含まれる。ただし、MAC機能を提供するICを通信制御IC102とPHY103間に配置する構成や、MAC機能を提供するICとPHY103を組み合わせた通信用ICと通信制御IC102を接続する構成においても、本発明の効果は失われるものではない。なお、PHY103は、通信制御IC102に含まれていてもよい。また、図2の構成では、PHY103を1つずつ示しているが、PHY103の数は複数であってもよい。

0037

メモリ104は、CPU101が動作するための一時的な記憶領域であり、検査パターン、不揮発性記憶媒体105から転送したOS、アプリケーションプログラム等が格納される。

0038

不揮発性記憶媒体105は、情報の記憶媒体で、OS、アプリケーションデバイスドライバ等や、CPU101を動作させるためのプログラムの保存、検査パターン、プログラムの実行結果の保存に利用される。不揮発性記憶媒体105として、ハードディスクドライブ(HDD)やソリッドステートドライブSSD)、フラッシュメモリが例示される。また、取り外しが容易な外部記憶媒体として、フロッピーディスクFD)、CD、DVD、ブルーレイ(登録商標)、USBメモリCFカード等のフラッシュメモリ型メモリーカード等の利用が例示される。

0039

バス106は、CPU101、通信制御IC102、メモリ104、不揮発性記憶媒体105をそれぞれ接続する。バス106としては、PCIバスISAバスPCIExpressバス、システムバスメモリバス等が例示される。

0040

また、図2に示す構成において、複数のデバイス(例えば、CPU101、メモリ104、不揮発性記憶媒体105、通信制御IC102)をプロセッサ内蔵型のFPGAとして構成してもよい。
(ファイアウォール126の機能構成)
本発明の一実施形態を適用したファイアウォール126の機能構成を、図3に示す。図3におけるタイムスロット特性記憶部130は、ファイアウォール126に設定されている各タイムスロットの特性を記憶する。このような特性は、該タイムスロットで通信されるように設定、設計されている上位通信プロトコルや、あるいは図1の制御システム上で構築されるアプリケーション上での用途等が例示される。後者の用途の例としては、制御、情報処理、管理、監視、時刻同期、AI(推論処理含む)、機械学習等が例示される。

0041

タイムスロット特性記憶部130は、メモリ104、不揮発性記憶媒体105のいずれか、または両方による構成が例示され、情報を記憶する機能を有する。

0042

検査パターン選択部131は、タイムスロット連携時刻同期部135で同期したタイムスロットにあわせて、タイムスロット特性記憶部130の情報をもとに該タイムスロットの特性を判別する。また、検査パターン記憶部136から検査パターンを選択する。この選択結果が、リアルタイムパターン検査部134で用いられる。この検査パターン選択部131は、通信制御IC102、CPU101上で動作するソフトウェアのいずれか、または両方により実現される。

0043

送信部132は、リアルタイムパターン検査部134から通知されたデータ、あるいはパケットを加工して送信する機能を有する。送信部132の加工処理は、データからフレームを生成する処理や、データまたはパケットの複製、所定のタグを追加することや、CRC等の異常診断データの計算と付加が例示される。送信部132が付加するタグとして、IEEE802.1Qで定義されるVLANタグ、IEC62439−3で定義されるHSRタグ、PRPタグが例示される。VLANタグの設定では、TSN関連規格で定義される内容にしたがったPCP(Priority Code Point)、VID(VLAN Identifier)の設定を含む。

0044

送信部132はPHY103、CPU101上で動作するソフトウェア、通信制御IC102のいずれか、または複数で構成する。送信部132がMAC機能を有してもよい。

0045

受信部133は、受信したパケットをリアルタイムパターン検査部134へ転送する。受信部133は、受信パケットを加工してもよく、加工処理としては、パケットに付加されたタグの除去やデータの抽出が例示される。また、受信部133は、処理したパケットの情報を一定期間記憶するために情報記憶手段を有し、例えば、送信元アドレスやタグ上の情報を記憶してもよい。受信部133は、通信制御IC102、PHY103、またはCPU101上のソフトウェアのいずれか、または複数で実装することが例示される。

0046

リアルタイムパターン検査部134は、受信部133から入力されたパケットまたはデータを受信する。そして、検査パターン選択部131から通知された検査パターンに対して順次照合する。入力データを順次照合するため、転送遅延を一定とするカットスルー転送が可能である。なお、複数の検査パターンを並列的に照合してもよい。また、判定方式は検査パターンに一致したパケットまたはデータを不正と判定するブラックリスト方式でもよいし、あるいは検査パターンに一致したデータを正常(不正ではない)と判定するホワイトリスト方式でもよい。

0047

不正と判定したパケットは破棄してもよいし、カットスルー転送をするため、FCS(Frame Check Sequence)部のCRCを意図的に、誤った計算値(何らかの不正を示す値)としてもよい。これにより、受信側の分散制御装置123で該パケットを破棄できる。

0048

あるいは、条件に応じて、パケットをバッファリングしてストアフォワード方式で不正判定し、判定結果に応じた処理(パケット破棄やCRCの変更等)を実行してもよい。

0049

リアルタイムパターン検査部134は、通信制御IC102またはCPU101上で動作するソフトウェアのいずれか、または両方による構成が例示される。

0050

タイムスロット連携時刻同期部135は、ネットワーク中継装置121または中央制御装置120、分散制御装置123、他のファイアウォール126と時刻同期通信プロトコル及びタイムスロット通信プロトコルにしたがって通信することで、ファイアウォール126上のタイムスロットを管理する。これにより、タイムスロット連携時刻同期部135は、中央制御装置120、ネットワーク中継装置121、分散制御装置123、他のファイアウォール126と時刻同期する。そして、ある瞬間において、どのタイムスロットとなっているか、次のタイムスロットに切り替わるタイミングを判別する。

0051

時刻同期プロトコルを実現するため、タイムスロット連携時刻同期部135は、受信部133、送信部132、リアルタイムパターン検査部134を用いて時刻同期プロトコルに対応する。そのような時刻同期プロトコルとして、IEEE1588(PTP:Precision Time Protocol)、NTP(Network Time Protocol)、SNTP(Simple Network Time Protocol)等が例示される。

0052

IEEE1588のPeer delayメカニズムに対応するため、TC(Transparent Clock)の機能を具えることが例示される。

0053

これは、隣接装置間同期パケットを通信して、経路上の遅延を計測することが例示される。また、ファイアウォール126内の同期パケットの転送時間を計測して、1ステップ方式または2ステップ方式で、計測した転送時間を同期パケット(SyncまたはFollow_Upメッセージ)上のCorrectionFieldまたはタイムスタンプ上に加算することが例示される。

0054

タイムスロット連携時刻同期部135は、通信制御IC102またはCPU101上で動作するソフトウェアのいずれか、または両方による構成が例示される。

0055

検査パターン記憶部136は、リアルタイムパターン検査部134で照合する検査パターンの集合を記憶する。そのような検査パターンは、所定通信プロトコルパケットフォーマットにおける所定フィールドの値でもよいし、所定通信プロトコルに依存しないシグネチャ(特徴値)でもよい。

0056

また、検査パターンはブラックリスト、ホワイトリストかを示す情報を有してもよい。これは検査パターンごとにホワイトリストか、ブラックリストかをわけ、両者それぞれの検査パターンが混在していてもよい。なお、ブラックリストとは、リストに一致するものがある場合に不正と判断し、一致するものがない場合に正常と判断するものである。ホワイトリストとは、リストに一致するものがある場合に正常と判断し、一致するものがない場合に不正と判断するものである。

0057

あるいは、複数のホワイトリストの検査パターンとブラックリストの検査パターンが同時に一致した場合に、不正と判定するか、正常と判定するかを決定するための優先度ルールを記憶してもよい。なお、正常とは不正を検知できない場合とも定義可能である。

0058

例えば、ブラックリストの検査パターンとホワイトリストの検査パターンに同時に一致した場合に、優先度の高い検査パターンの判定結果を採用することが示される。具体的には、ブラックリストの検査パターンAとホワイトリストの検査パターンBに同時に一致し、検査パターンAの優先度を高く設定している場合に不正と判定する。

0059

あるいは、ホワイトリストの検査パターンA、B、ブラックリストの検査パターンCがあるとして、「AかつBに一致すれば、Cと一致した場合でも正常と判定する」(A&B→正常判定)で表現してもよい。

0060

同様に、「一つでもブラックリストの検査パターンに一致すれば、異常と判定する」という定義が例示される。

0061

検査パターン記憶部136は、通信制御IC102、メモリ104、不揮発性記憶媒体105、CPU101上で動作するソフトウェアのいずれか、または複数で構成することが例示される。
(ファイアウォール126の動作手順)
次に、図4にファイアウォール126における検査パターンの設定における動作手順を示す。この動作手順は検査パターン選択部131を中心とした動作である。

0062

はじめにタイムスロット連携時刻同期部135が同期している時刻に基づいて、タイムスロットの切り換わり待機する(S001)。タイムスロットが切り換われば(S001のY)、検査パターン選択部131はタイムスロット特性記憶部130から、該タイムスロットの特性を抽出する(S002)。この特性とは、該タイムスロットで通信される通信プロトコルや、あるいは制御用途、情報収集用途、監視用途、AIの学習用途、アプリケーションプログラムといった用途が例示される。

0063

なお、本実施形態では、特性を用いてタイムスロットを特定しているが、パケット内のタイムスロットを識別するIDを使って特定してもよい。また、ファイアウォール126がタイムスロットを特定するテーブルを保持し、これを用いてタイムスロットを特定してもよい。

0064

次に、検査パターン選択部131はS002で抽出したタイムスロットに対応する検査パターンを検査パターン記憶部136から選択する(S003)。これは1つでも複数でもよいし、あるいは0(選択しない)でも構わない。

0065

次に、選択した検査パターンをリアルタイムパターン検査部134に設定する(S004)。

0066

次に、終了条件を満たすかを判定する(S005)。終了条件を満たしていれば(S005のY)、処理を終了する。終了条件を満たしていなければ(S005のN)、次のタイムスロットに向け、S001の手順へ戻る。

0067

終了条件はシステム運用者あるいは制御システム管理装置(SCADA、ワークステーションサーバ装置含む)等から明示的に終了と設定してもよいし、あるいはハードウェア故障ソフトウェア故障といった異常の発生をもとに判断してもよい。あるいは、所定数所定データサイズのパケットを転送したことや、所定時間稼働したこと、あるいは所定期間(例えば、1日のうちの10時から17時)経過したことをもとに判断してもよい。

0068

なお、S001はタイムスロットの切り換わりを契機としたが、S002からS004のいずれか、または複数の手順の処理時間だけ、タイムスロットの切り換わりから早い時間にS001を開始してもよい。このようにすれば、タイムスロットが切り換わったタイミングで、リアルタイムパターン検査部134に該検査パターンを設定できる。また、これを実現するため、S002からS004の手順を一定の固定時間で実行する構成が例示される。
(動作手順)
次に、リアルタイムパターン検査部134におけるパケットの検査手順図5図6を用いて説明する。
(動作手順:フィールド
図5は、所定の通信プロトコルを想定し、所定フィールドの値を比較する場合等の手順である。

0069

はじめに、受信部133がパケットを受信し、リアルタイムパターン検査部134に入力されるまで待機する(S010)。なお、カットスルー転送を可能とするため、受信部133はパケット全体をバッファリングすることなく、パケットの先頭を受信次第、順次、リアルタイムパターン検査部134へ転送することが例示される。受信パケットが入力されると(S010のY)、パケットの入力にしたがって、検査パターンを比較する条件を満足したかどうかを判定する(S011)。これは、順次入力されるパケットの内容を解析して、通信プロトコルの判別や通信プロトコルごとのフィールドの位置の特定が例示される。例えば、検査パターンとしてIPv4の送信元MACアドレスを対象とする場合は、IEEE802.3フレームとして入力されたデータに対してタイプ(先頭から13byte目と14byte目)が0x0800であることを識別する。そして、後続するIPv4ヘッダの13byte目から16byte目までの情報を抽出することを意味する。

0070

S011で条件を満足すれば(S011のY)、検査パターンと一致するかを判定する(S012)。一致した場合(S012のY)、一致しなかった場合(S012のN)のそれぞれで、検査パターンがホワイトリスト比較かどうかを判定する(S013、S014)。

0071

検査パターンと一致して(S012のY)、ホワイトリスト比較の場合(S013のY)、及び検査パターンと一致せず(S012のN)、ホワイトリスト比較でない場合(S014のN)、正常パケットとして処理する(S015)。

0072

一方、検査パターンと一致して(S012のY)、ホワイトリスト比較でない場合(S013のN)、及び検査パターンと一致せず(S012のN)、ホワイトリスト比較の場合(S014のY)、不正パケットとして異常処理する(S016)。

0073

正常処理の例としては、受信パケットに何もせずに、そのまま転送することが含まれる。さらに、IEEE 1588の時刻同期パケットの場合は、ファイアウォール126における転送時間をcorrectionField(滞留時間遅延補正に用いられるIEEE1588ヘッダ上のフィールド)に加算することが例示される。なお、本実施形態では、S013およびS014で「ホワイトリスト比較か」と表現しているが、「ブラックリスト比較か」とも表現可能である。つまり、S013およびS014では、ホワイトリスト比較とブラックリスト比較かを判断している。なお、「ブラックリスト比較か」と表現する場合、「ホワイトリスト比較か」とはY(Yes)とN(No)フローが逆になる。

0074

異常処理の例としては、該パケットを破棄することやCRCを意図的に異常な値(もとのCRC値反転する等)に変更することが例示される。

0075

次に、パケットの終端かを判定する(S017)。パケットの終端であれば(S017のY)、終了判定をする(S018)。S018は図4のS005と同様である。S017でパケットの終端でなければ(S017のN)、S011に戻る。

0076

なお、S011での条件を満足していなければ(S011のN)、S017へ進む。
(動作手順:シグネチャ)
図6は、所定シグネチャと比較する場合等の手順である。シグネチャは、パケット上の任意の場所に現れ得る。したがって、図5の手順とほぼ同様であるが、S011の手順が省略される。

0077

図5図6に示す検査パターンの比較手順は、検査パターンの違い、ホワイトリスト判定か、ブラックリスト判定かの違い等により、複数並列して動作することが例示される。これらを統合した動作を図7に示す。

0078

はじめに、受信パケットの入力を待機する(S010)。受信パケットが入力されれば、すべての検査パターンの検査の終了を待機する(S020)。通常、これはリアルタイムパターン検査部134の判定処理が受信パケットの末尾に到達することで判断される。あるいは各検査パターンの検証が終了したと判定し(例えば検査パターンに一致し、何らかの判定結果を出力した)、判定結果が揃ったところで終了と判定してもよい。

0079

各検査パターンの検証が終了すれば(S020のY)、個別の判定結果をもとに、最終的な判定結果を決定する(S021)。これは個別の検査パターンに優先度を設定して決定してもよいし、全体の検査パターンに対する決定方法(例えば、一つでも異常と判定した場合に異常と判定する)に基づいて決定してもよい。

0080

なお、図5、6のS015、S016で正常処理、異常処理としたが、S015、S016では判定結果を決定するにとどめ、最終的な処理はS021で実行してもよい。

0081

また、シグネチャを判定する場合であっても、プロトコル上のフィールドを判別してもよい。例えば、所定プロトコルのヘッダを識別し、ヘッダについては検査パターンの照合対象から除外し、データ領域のみに照合を限定することが例示される。
(用途)
なお、各タイムスロットの用途としては、AI適用に向けた学習データの収集や、ニューラルネットによる推論を実行するための入力情報の伝送が例示される。あるいは、被制御装置124に対する予防保全予兆診断を適用するための監視データ、状態データ用の通信が例示される。

0082

あるいは中央制御装置120から分散制御装置123に対して、以下を更新、配信する場合の該データの転送用としての用途が例示される。例えば、プログラムやファームウェア、OS、OSレベル仮想化環境であるコンテナ仮想マシン含む)イメージまたはコンテナの構成情報セキュリティパッチ等である。
(検査パターンに対する用途、プロトコルまたはアプリケーションの設定)
タイムスロット特性記憶部130で識別した特性に基づく検査パターン記憶部136での検査パターンの選択において、各検査パターンに関連する用途またはプロトコルを設定することが例示される。

0083

例えば、ある検査パターンに対して、その検査パターンが対象とする通信プロトコル、用途、あるいはアプリケーションプログラム等を設定してもよい。この設定は、通信プロトコルと用途、アプリケーションプログラムのいずれか、または複数を設定してもよい。例えば、シグネチャ検査パターンは、通信プロトコルを想定せず、特定アプリケーションプログラムを対象とする場合があり得るため、そのアプリケーションプログラムを設定する。なお、用途とアプリケーションプログラムは1対1で対応しない場合があり得るため、独立した項目とすることが例示される。例えば、保全用途に対して、複数の異なるアプリケーションプログラムが連携する場合や、使い分ける場合があり得る。

0084

同様に、同じ用途に対して、異なる通信プロトコルを関連付けることも例示される。例えば、制御という用途に対して、EtherCAT(IEC61158、IEC61784−2)や、その上位プロファイルであるCOE(CANopen over EtherCAT)、またはIEC61850のGOOSE通信を用いることがあり得る。このような場合、タイムスロットの特性として、制御用途を抽出する。次に、制御用途に関連付けられた通信プロトコルとして、例えば、COE向けの検査パターンと、IEC61850のGOOSE通信の検査パターンを選択して、リアルタイムパターン検査部134に設定することが例示される。

0085

これらの関係を図8に示す。タイムスロット特性記憶部130として抽出され得る特性は、通信プロトコル140、用途141、アプリケーションプログラム142であり、また、それらは相互に関連づいている。ただし、循環参照を避けるため、参照は一巡しないことが例示される。例えば、最初に抽出された特性が用途141として、その用途に関連づいた通信プロトコル140及び、またはアプリケーションプログラム142が抽出される。さらに、それぞれで、関連する通信プロトコル140,アプリケーションプログラム142を抽出した後は、関連の抽出を停止する。その後、それぞれに関連づいた検査パターンを選択する。

0086

具体例を、図9に示す。図9(a)は特性間の関係を示す。ここでは、最初にタイムスロット特性記憶部130で抽出された特性として、制御という用途があり、そこから通信プロトコルEtherCATCOEとIEC61850のGOOSEと、アプリケーションプログラムD、Eを抽出している。次に通信プロトコルのEtherCAT COEとIEC61850のGOOSEに関連づいているアプリケーションプログラムとして、A、B、Cを抽出する。また、アプリケーションプログラムDと関連づいている通信プロトコルとして、IEEE1588を選択している。

0087

図9(b)は各検査パターンと特性との関係を示す。例えば、検査パターン1は、通信プロトコルとしてEtherCATCOE、アプリケーションプログラムとしてプログラムBを対象とし、検査パターン2は、用途として制御を対象とすることを示す。

0088

抽出された各特性を対象とした検査パターンを選択する。図9(a)に示す特性を例に取ると、用途として制御、通信プロトコルとしてEtherCATCOE、IEC61850のGOOSE、IEEE1588、アプリケーションプログラムとしてプログラムA、B、C、D、Eが抽出されている。このため、検査パターンとして、1から7が選択される。

0089

なお、図9では特性間で順序関係をつけ、用途を最初に抽出したが、通信プロトコル、アプリケーションプログラムのいずれでも構わない。例えば、用途、通信プロトコル、アプリケーションプログラムと順序づけ、タイムスロット特性記憶部130で抽出された特性が通信プロトコルであれば、通信プロトコルとアプリケーションプログラムのみを抽出する。あるいはタイムスロット特性記憶部130で抽出された特性がアプリケーションプログラムであればアプリケーションプログラムのみを抽出することが例示される。
(非選択)
なお、図9の検査パターンの指定において、関連づく特性を示すのではなく、関連づかない特性を指定してもよい。例えば、「IEEE1588以外のプロトコルに適用」といった条件である。このようにすることで設定の柔軟性を向上できる。

0090

同様に、該タイムスロットにおいて、無関係の通信プロトコルのパケットは破棄(非選択)してもよい。
(検査パターンの優先順位
なお、リアルタイムパターン検査部134の計算機資源に対して、検査パターン選択部131で選択した検査パターンのすべてを適用できない場合があり得る。

0091

例えば、LSI(FPGA、CPLD含む)のロジック容量の制限や、RAM等の記憶容量の制限、あるいは、選択された検査パターンの照合処理時間に対して、タイムスロットの時間が短いといった時間制限が例示される。

0092

このような場合には、検査パターンに優先度をつけて、順に選択することが例示される。この優先度付けには、運用者セキュリティ攻撃流行情報統計情報に基づいて、システム稼働前に静的に定めた固定的な優先度に基づいてもよいし、あるいは動作中に変更、設定してもよい。あるいは過去の該検査パターンの利用回数、登録されてからの経過時間(例えば、新しく登録された検査パターンを最近のセキュリティ脅威として優先的に検査する)、最後に利用されてからの経過時間等によって動的に定めてもよい。あるいは、タイムスロット特性記憶部130で抽出された特性と、その抽出順序に基づいて優先度を定めてもよい。例えば、以下に例示する場合で優先度を変更してもよい。
・該検査パターンが用途に関連する場合。
・タイムスロット特性記憶部130で最初に抽出された特性が用途の場合。
・タイムスロット特性記憶部130が用途を抽出した順番が2番目(例えば、通信プロトコルの次に用途を抽出)、3番目(例えば、通信プロトコル、アプリケーションプログラムの次に用途を抽出)の場合。

0093

あるいは、これらの指標値重み付けして加算した結果を最終的な指標値として優先度を定めてもよい。

0094

加えて、検査パターンの数が多ければ外部に提示してもよい。これは通信制御IC102上にレジスタをもうけ、CPU101上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール126から、事前に設定した送信先電子メール等の電子手段で通知してもよいし、ファイアウォール126上でwebサーバを構築して、外部からwebブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール126上にLED、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は検査パターンの数を調整することや、追加のファイアウォール126を配置することで、セキュリティの観点において、結果的に制御システムを適切に運用しやすくなる。
(検査パターンの切り換え方法
検査パターンの設定方法は、予め、該検査パターンを保持する照合機能をソフトウェアまたはLSI(FPGA、CPLD含む)におけるハードウェア論理として構成し、該照合機能を有効または無効にすることが例示される。

0095

あるいはリアルタイムパターン検査部134内で、照合対象とする受信パケットの転送経路を変えることで、照合する検査パターンを選択してもよい。

0096

あるいは検査パターンをRAM等のストレージデバイスに記憶し、タイムスロットの切り換わりに応じて照合機能にロードする構成で、選択された検査パターンに応じて、ストレージデバイスごとの保存アドレスロード元アドレス)を変更する構成としてもよい。

0097

なお、サイクル内のタイムスロットの数が多く(つまり、検査パターンの切り換えが多い)、アクセス速度の異なるストレージデバイスが多段に構成される場合に、ストレージデバイス間の検査パターンのロードをスケジュールすることが例示される。例えば、図2の構成において、FPGAを用いて通信制御IC102を構成し、検査パターンの照合機能をハードウェア回路にて実装し、ストレージデバイスとして通信制御IC102内のオンチップRAMと、メモリ104の2段で構成する場合が例示される。

0098

一般的に、記憶容量とアクセス速度間にトレードオフが存在し、上記で言えば、FPGA内のハードウェア照合回路から見てオンチップRAMは高速にアクセス可能であるが、容量は限られている。一方、メモリ104は容量を相対的に大きくすることが可能だが、バス106を介するため、アクセス速度が遅くなる。

0099

検査パターンの転送、ロードのスケジューリング例を図12(a)に示す。タイムスロットAからFが計画されているとして、照合回路は1つのタイムスロット分の検査パターンの容量、オンチップRAMは3つのタイムスロット分の容量があり、メモリ上は6つのタイムスロットを格納できる容量があるとする。

0100

t0では検査パターンAを照合回路へ転送し、t2、t4、t7、t10、t12、t15も同様に各検査パターンを転送する。照合回路はt1、t3、t5、t9、t11、t13、t17でタイムスロットの検査パターンを設定され、受信パケットに対して照合する。

0101

t6ではメモリからオンチップRAMに対し、タイムスロットD、E、F用の検査パターンが転送され、t14ではタイムスロットA、B、C用の検査パターンが転送される。例えば、t1−t0はオンチップRAMに対するアクセス時間(ロード時間)を示し、t8−t6がメモリとオンチップRAM間のアクセス時間(ロード時間)を示す。

0102

各デバイス間のアクセス速度、転送容量、アクセス時間、タイムスロットの開始時間(t1、t3、t5、t9、t11、t13、t17)をもとに、転送開始時間(t0、t2、t4、t7、t10、t12、t15、t6、t14)を決定する。これらは検査パターンの数や個々の検査パターンのサイズ、オンチップRAM、照合回路の記憶容量にあわせて設計され得る。

0103

なお、図12(a)ではストレージを2段としたが、3段以上でもよく、例えば、不揮発性記憶媒体105(HDD等)を加えることが例示される。

0104

以上は、装置内で検査パターンをロードする構成を説明したが、制御ネットワーク122をまたいで検査パターンを、制御ネットワーク122上のストレージデバイス(例えば、NAS:Network Attached Storage)からロードしてもよい。

0105

また、オンチップRAMの一部を更新用エリアとして、照合処理と並行して検査パターンを更新してもよい。このための機能構成例を、図12(b)に示す。この場合、同時アクセスを可能とするために通信制御IC102のオンチップRAMはDual Portメモリを用いることが例示される。なお、図13に示すように、タイムスロット直前に受信したパケットの終端の処理時刻t1がt0よりも遅ければ、t2まではパケットを受信しないことが想定されるため、検査パターンを切り換えてもよい。ここで、t0とは、t2よりもフレーム間隔Interframe gapだけ前の時間である。
(ソフトウェアによる照合)
なお、伝送遅延の要求が厳しくない場合であれば、カットスルー転送ではなく、受信パケットをバッファリングするストアアンドフォワード方式によって検査パターンと照合してもよい。このような場合、図2の構成において通信制御IC102でパケットを取り込んだ後、パケットをメモリ104へ転送して、CPU101上で動作するソフトウェアで照合することが例示される。

0106

あるいは、図2の構成と同様のプロセッサ内蔵型のFPGAで構成してもよい。このとき、当該タイムスロットで転送せずに、次のサイクル以降のタイムスロットで転送してもよい(図11)。

0107

このようにすることで、記憶容量が相対的に大きいメモリ104で記憶される多数の検査パターンと照合することでセキュリティレベルを向上することができる。なお、このような処理を適用する場合として、所定のタイムスロットを対象とする場合が例示される。あるいはタイムスロットとは独立して、所定の用途、通信プロトコル、アプリケーションプログラムに関連するパケットを対象とすることが例示される。

0108

なお、検査パターンとして、特定に応じた通信プロトコル用のアンチウィルスソフトを用いることが含まれる。

0109

また、通信プロトコルの特性として、上述した用途を用いる場合、その用途と検査パターンの関係を以下のとおりとしてもよい。それぞれ前者が用途で、後者が検査パターンの特徴を示す。
・制御用途:高速検査可能。
・AI用途(学習):低速だが詳細検査可能。
・監視用途および情報収集用途:上記の中間(中速検査内容中庸)(タイムスロット切り換わり直前に受信したパケット)。

0110

図10に、上述した各用途を、中継通信装置121のタイムスロットに適用した例を示す。図10では、タイムスロット1を制御用(制御用途)、タイムスロット2をAI用(AI用途(学習))、タイムスロット3を監視用(監視用途および情報収集用途)としてる。

0111

なお、タイムスロット切り換わりと、受信パケットの処理が重なる場合(図14)の処理を述べる。

0112

この場合はタイムスロットAの検査パターンのまま照合してもよいし、あるいはタイミングが重なったことを検知して、パケットを破棄してもよい。なお、タイミングが重なったことを検知し、外部に提示してもよい。これは通信制御IC102上にレジスタをもうけ、CPU101上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール126から、事前に設定した送信先に電子メール等の電子手段で通知してもよいし、ファイアウォール126上でwebサーバを構築して、外部からwebブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール126上にLED、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は送信側の送信タイミングを調整することで通信の時間的制約等を保証しやすく改善でき、結果的に制御システムを適切に運用しやすくなる。
(サイクル)
なお、複数のタイムスロットの集合で構成されるサイクルごとに、各タイムスロットへの検査パターンを変更してもよい。
マルチポート
また、ファイアウォール126は通信ポートが送信部132と受信部133のそれぞれで1つずつとして説明しているが、ネットワーク中継装置121と同様に複数の通信ポートを具えてもよい。この場合、それぞれのポートごとに、タイムスロットに応じて検査パターンを変更してもよい。
(検査パターン配信用タイムスロット)
また、タイムスロットの一部は検査パターン管理装置125による検査パターンの配信用のタイムスロットとしてもよい。例えば、このタイムスロットでは検査パターンの照合をしないことが例示される。

0113

このタイムスロットの設定は、ファイアウォール126で明示的に電子的、あるいは物理的手段のいずれか、または複数で設定してもよいし、パケット上の所定フィールドに、検査パターン配信用パケットであることを明示してもよい。これにより、ファイアウォール126は、検査パターンの配信であることを認識して、取り込むことが例示される。

0114

そのまま破棄してもよいし、転送してもよい。なお、後段の装置がファイアウォール126でない場合は、必ず破棄することが例示される。そのために後段の装置がファイアウォール126であるかを事前に設定または通信で確認することが例示される。

0115

検査パターンの配布は、暗号化、証明書等の、しかるべきセキュリティ手段を講じて配布することが例示される。複数のサイクルで分割して送信してもよい。更新後、意図的に検査パターンに一致する不正パケットを送信して動作検証してもよいし、そのような動作検証用のタイムスロットを設けてもよい。
(あいまい検索
検査パターンの一部を複数の値または未定義(完全一致を求めないdon‘t care)でもよい。このようにすることで、あいまい検索や亜種ウィルス、シグネチャを検知できる。または、一つの検査パターン情報で複数のパターンを表現できるため、検査パターンの記憶容量を効率化できる。
(前後のタイムスロットから特性を推定
なお、タイムスロットの特性抽出は、前後のタイムスロットの特性から自動抽出してもよい。例えば、サイクル内の最後のタイムスロットで、それまでのタイムスロットで時刻同期プロトコルが実行されていなければ、そのタイムスロットを時刻同期プロトコル用と推定する。

0116

このように、全体の特性の集合を既知として、実行済みのタイムスロットで抽出されていない未抽出の特性と推定することが例示される。

0117

あるいは、資源予約プロトコルの通信内容を見て決定してもよい。
(タイムスロットファイアウォール)
なお、ファイアウォール126は、制御ネットワーク122上に計画されたタイムスロットの全てを検査する必要はなく、一つまたは複数の所定のタイムスロットを対象に検査パターンの照合をしてもよい。

0118

このような対象タイムスロットを限定したファイアウォール126を連続に複数設置してもよい。ファイアウォール126の機器ごとに対象タイムスロットを限定し、制御ネットワーク122上の配置を調整することで柔軟にセキュリティ対象を設定できる。
(階層化)
なお、複数のファイアウォール126を用いて、階層的に検査パターンを照合する例を図16に示す。図16は、ネットワーク構成の一部を示す。

0119

ファイアウォール126aは、タイムスロットA、B、Cのそれぞれで検査パターンの照合をする。ファイアウォール126b、c、dは、ファイアウォール126aから転送されたパケットをそれぞれ計画されたタイムスロットで、さらに細分化したタイムスロットで検査パターンと照合する。例えば、以下のとおり転送するよう設定されている。ファイアウォール126aがタイムスロットAで受信したパケットはファイアウォール126bに転送する。タイムスロットBで受信したパケットはファイアウォール126cに転送する。タイムスロットCで受信したパケットはファイアウォール126dに転送する。

0120

このような構成として、例えば、以下に示すとおり、ある通信プロトコル内のサブプロトコルを分担するように構成してもよい。タイムスロットAで、通信プロトコルとしてIEC61850について検査する。また、ファイアウォール126bのタイムスロットDでIEC61850のGOOSE、タイムスロットEでSampledValue、タイムスロットFで、それ以外を検査する。

0121

あるいはファイアウォール126aは通信プロトコルで検査パターンを照合し、ファイアウォール126bは用途別にタイムスロットDで制御用途、タイムスロットEは監視用途、タイムスロットFはAIの学習用途というように、特性別に階層化してもよい。

0122

その後、ファイアウォール126eで通信経路上、再び集約してもよいし、それぞれの宛先に転送してもよい(例えば、ファイアウォール126d)。

0123

なお、タイムスロットごとにルーティングを変更する方法は、静的に構成してもよいし、VLANで構成してもよい。

0124

このようにすることで、検査パターン照合の構成を柔軟にすることができ、複数のファイアウォール126で機能分散することで、セキュリティレベルを保証することができる。
(動的に判定)
また、タイムスロットだけが計画されており、各タイムスロット内の検査パターンを定めていない状況で、各タイムスロット内で通信されている内容から、検査パターンを決定することが例示される。例えば、図9の情報と、対象タイムスロットで通信されているパケットのプロトコル種別から、適用する検査パターンを決定する。

0125

具体的には、あるタイムスロットでIEC61850 GOOSEが通信された場合に、IEC 61850のGOOSE用の検査パターン、制御用途の検査パターン、関連するアプリケーションプログラム用の検査パターンを適用することが例示される。

0126

これは、通信をセットアップ段階と、本運用段階にわけ、セットアップ段階で判定した検査パターンとタイムスロットの対応付けを本運用段階以降に適用することが例示される。セットアップ段階、本運用段階の違いは、時間(所定時刻稼動してからの経過期間)や、段階の切り換わりを示す通知を明示的に指示することが例示される。これは、ファイアウォール126上でのソフトウェア上の操作またはハードウェア上の操作(ボタン物理スイッチによる設定)が示される。
(SDN活用)
なお、検査パターンは、検査パターン管理装置125から動的にファイアウォール126にアクセスして変更してもよい。これはファイアウォール126のメモリ104、通信制御IC102、不揮発性記憶媒体105上で保持する検査パターンを変更することが例示される。

0127

このとき、検査パターン管理装置125からファイアウォール126へ通知する検査パターンの内容は、検査パターンの内容そのものに加え、以下のものを含んでもよい。該検査パターンが対応付けられる所定タイムスロットの情報、識別子を含むことや、あるいは該タイムスロットが対応づく特性(通信プロトコル、用途、アプリケーションプログラム等)を含むことが例示される。

0128

あるいは、検査パターンそのものは含まず、タイムスロットごとに関連付けられた特性を変更して、その内容を通知してもよい。特性の変更を通知することで、ファイアウォール126で適用される検査パターンを自動で変更できる。このため、検査パターンそのものを通知する方法に比べ、簡易な方法で、かつ通信データ量を減らせるため、制御ネットワーク122のネットワーク資源通信帯域等)の消費を抑制して設定変更できる。

0129

このとき、検査パターン、特性の変更の履歴を記録し、現在の状態を確認できるようにすることや、過去の任意の時点で、どのような検査パターンが適用されていたかを判定できる。
(同期異常)
なお、ファイアウォール126が同期をとれず、タイムスロットを適切に管理できない場合の動作を示す。そのような場合として、以下の場合がある。
・他装置からの時刻同期プロコトルに基づいた応答時刻情報の配信がないこと。
・最後に時刻同期してからの経過時間が所定時間以上の場合となること。
・ファイアウォール126における時刻管理デバイス(CPU101上のソフトウェアクロック水晶振動子オシレータ、通信制御IC102内の計時デバイス)等での異常発生

0130

タイムスロットを適切に管理できない場合には、以下の対応方法がある。
各受信パケットを転送させること。
・各受信パケットを破棄させること。
・時刻同期の異常用に定義する検査パターン群と照合させること。
・検査パターンの優先度に基づいて選択した検査パターンと照合すること。
・時刻同期プロトコルの通信に関するパケットのみを転送すること。

0131

最後に時刻同期してからの経過時間に基づいて時刻同期異常を判定するために、ファイアウォール126は経過時間のしきい値、現在の経過時間等の情報を外部に提示する手段を設けてもよい。これは通信制御IC102上にレジスタをもうけ、CPU101上のソフトウェアあるいは外部の装置から通信経由で該レジスタにアクセス可能としてもよい。

0132

また、時刻同期の異常であることを外部に提示してもよい。これは通信制御IC102上にレジスタをもうけ、CPU101上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール126から、事前に設定した送信先に電子メール等の電子手段で通知してもよいし、ファイアウォール126上でwebサーバを構築して、外部からwebブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール126上にLED、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は時刻同期異常を知ることができ、必要な調査や適切な対処をすることで、結果的に制御システムを適切に運用しやすくなる。

0133

本実施形態によれば、タイムスロットごとに検査パターンが変わり得るため、同じパケットであってもタイムスロットごとに通過パケットの挙動が変わり得る。例えば、あるタイムスロットでは、CRC改変による異常対応処理がなされたとしても、別のタイムスロットではCRC改変がされない等である。
無線適用)
なお、本実施形態は、TSNといったタイムスロット型有線通信方式を対象に説明したが、5G、4GやWifi、LPWA(Low Power,Wide Area)、LoRa、SIGFOXといった無線を対象としても構わない。
(システム構成)
システム構成としては、図17に示す階層構造や、図1のようなフラットなシステム、5Gや無線通信のように物理的な接続関係がない構成が例示される。
多重化要素
なお、本発明ではタイムスロットにあわせて検査パターンを変えることを示したが、時分割に限らず、多重化要素にあわせて検査パターンを変更することが例示される。そのような多重化要素としては、振幅の異なる基本信号(例えば搬送波)ごとに信号を載せる場合の振幅ごとの検査パターン、異なる周波数の基本信号における該周波数ごとの検査パターン、位相の異なる基本信号における位相ごとの検査パターンが例示される。

0134

リアルタイムパターン検査部134の機能構成として、図15の分離部150は、多重化要素にあわせて信号を分離する。リアルタイムパターン検査部151は、分離された各信号に対して検査パターンを照合する。合成部152は、分離された信号を合成する。このとき、攻撃データや不正な異常信号に関しては、合成せずに破棄することが例示される(例えば、基本の搬送波のみを送信する)。

0135

以上の構成により、本実施形態では、あるタイムスロットで、無関係な通信プロトコルや通信特性を対象とした検査パターンに偶然一致してパケットを破棄する等の処理を避け、可用性を向上できる。また、限られた計算機資源(ストレージ容量、CPU等の処理割り当て時間)に対して、タイムスロットにあわせた検査パターンの照合に限定することで、効率よく活用しながら、セキュリティを確保できる。

0136

特に、制御システムに本実施形態を適用した場合、セキュリティを維持しながら、計算機資源の利用効率に優れ、制御システムのリアルタイム要件を保証しながら、制御システムでの情報技術の導入を可能とする高度な制御システムを提供できる。

0137

101…CPU、102…通信制御IC、103…PHY、104…メモリ、105…不揮発性記憶媒体、106…バス、120…中央制御装置、121…ネットワーク中継装置、122…制御ネットワーク、123…分散制御装置、124…被制御装置、125…検査パターン管理装置、126…ファイアウォール、130…タイムスロット特性記憶部、131…検査パターン選択部、132…送信部、133…受信部、134、151…リアルタイムパターン検査部、135…タイムスロット連携時刻同期部、136…検査パターン記憶部、140…通信プロトコル、141…用途、142…アプリケーションプログラム、143…検査パターン、150…分離部、152…合成部

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ