Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7701851B2 - Security management system and security management method - Google Patents
[go: Go Back, main page]

JP7701851B2 - Security management system and security management method - Google Patents

Security management system and security management method Download PDF

Info

Publication number
JP7701851B2
JP7701851B2 JP2021171490A JP2021171490A JP7701851B2 JP 7701851 B2 JP7701851 B2 JP 7701851B2 JP 2021171490 A JP2021171490 A JP 2021171490A JP 2021171490 A JP2021171490 A JP 2021171490A JP 7701851 B2 JP7701851 B2 JP 7701851B2
Authority
JP
Japan
Prior art keywords
business
communication
countermeasure
security management
impact
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021171490A
Other languages
Japanese (ja)
Other versions
JP2023061537A5 (en
JP2023061537A (en
Inventor
真愉子 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021171490A priority Critical patent/JP7701851B2/en
Publication of JP2023061537A publication Critical patent/JP2023061537A/en
Publication of JP2023061537A5 publication Critical patent/JP2023061537A5/ja
Application granted granted Critical
Publication of JP7701851B2 publication Critical patent/JP7701851B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。 The present invention relates to a security management system and a security management method.

特許文献1には、ネットワークで発生した攻撃に対し、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することを目的として構成されたセキュリティ対処案設計装置に関して記載されている。セキュリティ対処案設計装置は、攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶し、攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信し、検知情報に対応する対処テンプレートを抽出し、抽出された対処テンプレート及び検知情報に基づきセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照し、作成したセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出し、抽出したセキュリティ対処案を出力する。 Patent Document 1 describes a security countermeasure plan design device configured for the purpose of shortening the operation time from detection of an attack to response to the attack occurring on a network and realizing an early response to the attack. The security countermeasure plan design device stores countermeasure templates for creating security countermeasure plans for attacks, receives attack detection information from an attack detection device that detects the attack, extracts a countermeasure template corresponding to the detection information, creates security countermeasure plans based on the extracted countermeasure template and the detection information, refers to device information and topology information within the network, extracts implementable security countermeasure plans from the created security countermeasure plans, and outputs the extracted security countermeasure plans.

特開2018―137500号公報JP 2018-137500 A

上記のように、特許文献1に記載のセキュリティ対処案設計装置は、ネットワーク内の機器情報及びトポロジ情報を参照し、対処テンプレート及び検知情報に基づき作成したセキュリティ対処案の中から実施可能なセキュリティ対処案を管理者に提示する。 As described above, the security countermeasure design device described in Patent Document 1 refers to device information and topology information within the network, and presents to the administrator feasible security countermeasures from among the security countermeasures created based on countermeasure templates and detection information.

しかし、提示されたセキュリティ対処案を実施するか否かは、業務への影響を考慮しつつ、管理者が最終的に意思決定する必要があり、管理者の負担が大きいことが課題である。一方で、業務への影響を許容できるようなセキュリティ対処案については、迅速に実施することがセキュリティ対策上、好ましいといえる。 However, the final decision on whether or not to implement the proposed security measures must be made by the administrator, taking into account the impact on business operations, which places a heavy burden on the administrator. On the other hand, for security measures where the impact on business operations is tolerable, it is preferable from a security perspective to implement them promptly.

本発明は、このような背景に鑑みてなされたものであり、セキュリティ管理を行う管理者の負担を軽減しつつ、セキュリティ侵害に対する必要な対処を迅速に実施することが可能な、セキュリティ管理システム、及びセキュリティ管理方法を提供することを目的とする。 The present invention has been made in light of this background, and aims to provide a security management system and a security management method that can quickly take necessary measures against security breaches while reducing the burden on the administrator who manages security.

上記目的を達成するための本発明のうちの一つは、通信可能に接続された複数の業務装置を含んで構成される監視対象システムのセキュリティ管理を行う情報処理システム(セキュリティ管理システム)であって、プロセッサ及びメモリを有する情報処理装置を用いて構成され、前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶し、前記監視対象システムにおいて行われる通信を監視し、前記監視対象システムにおいて行われた不正通信を検知すると、当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記監視対象システムが行う業務に与える影響の度合いを示す指標である影響値を求め、前記影響値に基づき前記対処案を自動実施するか否かを判定する。
One of the present inventions for achieving the above-mentioned object is an information processing system (security management system) that performs security management of a monitored system that includes a plurality of business devices connected to communicate with each other, the system being configured using an information processing device having a processor and a memory, and storing information indicating the communication paths used for communication between the business devices and business communication importance, which is information indicating the importance of each of the communication paths, monitoring communications performed in the monitored system, and upon detecting unauthorized communication performed in the monitored system, identifying the communication path used for the unauthorized communication, identifying the extent of the impact that the unauthorized communication will have on the monitored system based on the identified communication path, generating a countermeasure plan for the unauthorized communication based on the identified impact range, identifying the communication paths that may be affected if the countermeasure plan is implemented, calculating an impact value, which is an index of the degree of impact that the countermeasure plan will have on the business performed by the monitored system , based on the business communication importance of the identified communication path, and determining whether or not to automatically implement the countermeasure plan based on the impact value.

その他、本願が開示する課題、およびその解決方法は、発明を実施するための形態の欄、および図面により明らかにされる。 Other problems and solutions disclosed in this application will be made clear in the detailed description of the invention and the drawings.

本発明によれば、セキュリティ管理を行う管理者の負担を軽減しつつ、セキュリティ侵害に対する必要な対処を迅速に実施することができる。 The present invention makes it possible to quickly take necessary measures against security breaches while reducing the burden on security management administrators.

セキュリティ管理システムの概略的な構成を示す図である。FIG. 1 is a diagram illustrating a schematic configuration of a security management system. セキュリティ管理システムを構成する情報処理装置の一例である。1 is an example of an information processing device constituting a security management system. 通信監視装置が備える主な機能を説明するブロック図である。FIG. 2 is a block diagram illustrating main functions of the communication monitoring device. 対処支援装置が備える主な機能を説明するブロック図である。FIG. 2 is a block diagram illustrating main functions of the countermeasure support device. 対処実行装置が備える主な機能を説明するブロック図である。FIG. 2 is a block diagram illustrating main functions of the countermeasure execution device. 業務装置情報テーブルの一例である。13 is an example of a business device information table. ホワイト通信テーブルの一例である。13 is an example of a white communication table. 業務情報テーブルの一例である。13 is an example of a business information table. 制御情報テーブルの一例である。13 is an example of a control information table. 不正通信監視処理を説明するフローチャートである。13 is a flowchart illustrating an unauthorized communication monitoring process. 業務影響値算出処理を説明するフローチャートである。13 is a flowchart illustrating a business impact value calculation process. 対処案実施可否指定画面の一例である。13 is an example of a countermeasure implementation possibility designation screen.

以下、図面を適宜参照しつつ本発明の実施形態について説明する。以下の記載及び図面は、本発明を説明するための例示であり、説明の明確化のため、適宜、省略及び簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。 Below, an embodiment of the present invention will be described with reference to the drawings as appropriate. The following description and drawings are examples for explaining the present invention, and some omissions and simplifications have been made as appropriate for clarity of explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.

以下の説明において、同一の又は類似する構成に同一の符号を付して重複した説明を省略することがある。また、以下の説明において、符号の前に付した「S」の文字は処理ステップの意味である。 In the following explanation, the same or similar components may be designated with the same reference numerals, and duplicate explanations may be omitted. Also, in the following explanation, the letter "S" placed before a reference numeral indicates a processing step.

以下の説明において、「テーブル」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「XXテーブル」等を「XX情報」と呼ぶことがある。また、識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。 In the following explanation, various types of information may be explained using expressions such as "tables", but the various types of information may be expressed in other data structures. Furthermore, to indicate independence from the data structure, an "XX table" may be referred to as "XX information". Furthermore, when explaining identification information, expressions such as "identification information", "identifier", "name", "ID", and "number" are used, but these are interchangeable.

図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成を示している。同図に示すように、セキュリティ管理システム1は、監視対象システム5、通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100を含む。尚、監視対象システム5は、必ずしもセキュリティ管理システム1の構成要素でなくてもよい。通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100は、いずれも情報処理装置(コンピュータ)を用いて構成されている。 Figure 1 shows a schematic configuration of an information processing system (hereinafter referred to as "security management system 1") described as one embodiment. As shown in the figure, the security management system 1 includes a monitored system 5, a communication monitoring device 20, a countermeasure execution device 30, an administrator device 40, and a countermeasure support device 100. Note that the monitored system 5 does not necessarily have to be a component of the security management system 1. The communication monitoring device 20, the countermeasure execution device 30, the administrator device 40, and the countermeasure support device 100 are all configured using information processing devices (computers).

セキュリティ管理システム1は、監視対象システム5において検知された不正な通信(以下、「不正通信」と称する。)に対し、監視対象システム5が行う業務への影響を考慮しつつ、必要なセキュリティ対処案(以下、「対処案」と称する。)を生成し、業務への影響が許容できる場合は自動的に実施する機能を有する。セキュリティ管理システム1に
よれば、業務の継続性を保ちつつ、監視対象システム5の監視を行う者(以下、「管理者2」と称する。)の負担を軽減することができる。
The security management system 1 has a function of generating necessary security countermeasures (hereinafter referred to as "countermeasures") for unauthorized communications (hereinafter referred to as "unauthorized communications") detected in the monitored system 5 while taking into consideration the impact on the business performed by the monitored system 5, and automatically implementing the countermeasures if the impact on the business is tolerable. The security management system 1 can reduce the burden on the person monitoring the monitored system 5 (hereinafter referred to as "administrator 2") while maintaining the continuity of business.

監視対象システム5は、いわゆる産業用ネットワークシステムである。監視対象システム5の種類は必ずしも限定されず、例えば、工場IoTシステム(IoT:Internet of Things)、スマートファクトリ、社会インフラシステム(鉄道交通システム、受変電システ
ム、上下水道システム、道路システム、通信放送システム等)等である。
The monitored system 5 is a so-called industrial network system. The type of the monitored system 5 is not necessarily limited, and may be, for example, a factory IoT system (Internet of Things: IoT), a smart factory, or a social infrastructure system (railway transportation system, power receiving and transforming system, water supply and sewerage system, road system, communication and broadcasting system, etc.).

例示する監視対象システム5は、一つ以上のコントローラ61、一つ以上のアクチュエータ71、一つ以上のセンサ72、及び制御サーバ50を含む。尚、以下では、これらの装置のことを「業務装置」と総称する。業務装置は、通信ネットワークを介した双方向通信が可能な情報処理装置として機能する。 The example monitored system 5 includes one or more controllers 61, one or more actuators 71, one or more sensors 72, and a control server 50. In the following, these devices are collectively referred to as "business devices." The business devices function as information processing devices capable of two-way communication via a communication network.

監視対象システム5は、当該システムの構成要素を通信可能に接続する通信ネットワークである、情報系ネットワーク51及び制御系ネットワーク52を含む。監視対象システム5が、例えば、工場IoTシステムである場合、情報系ネットワーク51は、例えば、制御ネットワークであり、制御系ネットワーク52は、例えば、フィールドネットワークである。 The monitored system 5 includes an information system network 51 and a control system network 52, which are communication networks that communicatively connect the components of the system. If the monitored system 5 is, for example, a factory IoT system, the information system network 51 is, for example, a control network, and the control system network 52 is, for example, a field network.

情報系ネットワーク51及び制御系ネットワーク52は、有線方式又は無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット、各種公衆無線通信網、専用線等である。これらの通信ネットワ
ークは、いずれも適宜、暗号化通信やVPN(Virtual Private Network)の利用、ファ
イアウォールやDMZ(DeMilitarized Zone)の設置等の一定水準のセキュリティ管理が施されている。
The information system network 51 and the control system network 52 are wired or wireless communication networks, such as a LAN (Local Area Network), a WAN (Wide Area Network), the Internet, various public wireless communication networks, dedicated lines, etc. All of these communication networks are appropriately provided with a certain level of security management, such as the use of encrypted communication or a VPN (Virtual Private Network), or the installation of a firewall or a DMZ (DeMilitarized Zone).

同図に示すように、情報系ネットワーク51には、一つ以上のコントローラ61及び制御サーバ50が接続している。また、制御系ネットワーク52には、上記の各コントローラ61、一つ以上のアクチュエータ71、及び一つ以上のセンサ72が通信可能に接続している。 As shown in the figure, one or more controllers 61 and a control server 50 are connected to the information system network 51. In addition, each of the controllers 61, one or more actuators 71, and one or more sensors 72 are communicatively connected to the control system network 52.

制御サーバ50とコントローラ61は、情報系ネットワーク51を介して双方向通信が可能な状態で接続している。制御サーバ50は、情報系ネットワーク51を介して、コントローラ61、アクチュエータ71、及びセンサ72の動作状態の監視や制御を行う。制御サーバ50は、例えば、情報系ネットワーク51を介してコントローラ61に制御指示を送信する。制御サーバ50は、例えば、情報系ネットワーク51を介してコントローラ61から送られてくる情報(センサの計測値等)を受信し、受信した情報に基づき各コントローラ61の状態を監視する。制御サーバ50は、例えば、EWS(Engineering WorkStation)として機能し、例えば、コントローラ61において実行される制御プログラム
(ファームウェア)のロジックの変更/更新(バージョンアップ)等を行う。
The control server 50 and the controllers 61 are connected to each other via an information network 51 in a state where two-way communication is possible. The control server 50 monitors and controls the operating states of the controllers 61, the actuators 71, and the sensors 72 via the information network 51. The control server 50 transmits control instructions to the controllers 61 via the information network 51, for example. The control server 50 receives information (such as sensor measurement values) sent from the controllers 61 via the information network 51, and monitors the states of the controllers 61 based on the received information. The control server 50 functions as, for example, an EWS (Engineering WorkStation), and performs, for example, change/update (upgrade) the logic of a control program (firmware) executed in the controllers 61.

コントローラ61は、アクチュエータ71及びセンサ72と、制御系ネットワーク52を介して双方向通信が可能な状態で接続している。コントローラ61は、例えば、PLC(Programmable Logic Controller)であり、情報系ネットワーク51を介して制御サー
バ50から送られてくる指示に従い、制御系ネットワーク52を介して、例えば、アクチュエータ71を構成するモータの回転数制御や動作設定、センサ72が出力する情報の収集等を行う。
The controller 61 is connected to the actuator 71 and the sensor 72 in a state where two-way communication is possible via the control system network 52. The controller 61 is, for example, a programmable logic controller (PLC), and performs, for example, control of the rotation speed and operation settings of the motor constituting the actuator 71, collection of information output by the sensor 72, and the like via the control system network 52 in accordance with instructions sent from the control server 50 via the information system network 51.

アクチュエータ71は、例えば、コントローラ61からの命令に基づき設定された設定値に従い、バルブ、モータ、電動機等を機能させる。センサ72は、例えば、温度、流量
、圧力等の物理量を計測し、その計測値を制御系ネットワーク52を介してコントローラ61に送信する。
The actuator 71 causes a valve, a motor, an electric motor, etc. to function in accordance with a set value that is set based on, for example, a command from the controller 61. The sensor 72 measures physical quantities such as temperature, flow rate, pressure, etc., and transmits the measured values to the controller 61 via the control system network 52.

通信監視装置20は、ミラーポート41を介して情報系ネットワーク51を流れる通信(パケット、通信電文)を取得し、取得した情報を分析することにより、情報系ネットワーク51における通信を監視(不正通信の検知等)する。通信監視装置20は、ミラーポート42を介して制御系ネットワーク52を流れる通信(パケット、通信電文)の内容を取得し、取得した内容を分析することにより、制御系ネットワーク52における通信を監視(不正通信の検知等)する。 The communication monitoring device 20 acquires communications (packets, communication messages) flowing through the information network 51 via the mirror port 41, and monitors communications in the information network 51 (detecting unauthorized communications, etc.) by analyzing the acquired information. The communication monitoring device 20 acquires the contents of communications (packets, communication messages) flowing through the control network 52 via the mirror port 42, and monitors communications in the control network 52 (detecting unauthorized communications, etc.) by analyzing the acquired contents.

同図に示すように、通信監視装置20、対処実行装置30、管理者装置40、及び対処支援装置100は、いずれも対処系ネットワーク43を介して、各アクチュエータ71及び各センサ72と双方向通信が可能な状態で接続している。 As shown in the figure, the communication monitoring device 20, the countermeasure execution device 30, the administrator device 40, and the countermeasure support device 100 are all connected to each actuator 71 and each sensor 72 via the countermeasure network 43 in a state where two-way communication is possible.

対処実行装置30は、対処系ネットワーク43を介して、監視対象システム5及び対処支援装置100と通信可能に接続している。対処系ネットワーク43は、有線方式又は無線方式の通信ネットワークであり、例えば、LAN、WAN、インターネット、各種公衆無線通信網、専用線等である。 The countermeasure execution device 30 is communicatively connected to the monitored system 5 and the countermeasure support device 100 via the countermeasure network 43. The countermeasure network 43 is a wired or wireless communication network, such as a LAN, a WAN, the Internet, various public wireless communication networks, or a dedicated line.

対処実行装置30は、監視対象システム5の各業務装置に対する処理権限(制御権限)を有する。対処実行装置30は、対処系ネットワーク43を介して、対処支援装置100から送られてくる対処命令を受信する。対処実行装置30は、受信した対処命令を、例えば、当該対処実行装置30が実行可能もしくは処理可能な、制御コマンドや制御ロジックプログラムに変換し、変換した制御コマンドや制御ロジックプログラム(以下、「制御命令」と称する。)を対処案の適用対象となる業務装置(以下、「対処業務装置」と称する。)に送信することで、対処業務装置に対処案に対応する処理を実行させる(セキュリティ対処の実施)。 The countermeasure execution device 30 has processing authority (control authority) for each business device of the monitored system 5. The countermeasure execution device 30 receives countermeasure commands sent from the countermeasure support device 100 via the countermeasure network 43. The countermeasure execution device 30 converts the received countermeasure commands, for example, into control commands or control logic programs that the countermeasure execution device 30 can execute or process, and transmits the converted control commands or control logic programs (hereinafter referred to as "control commands") to the business device to which the countermeasure plan is to be applied (hereinafter referred to as "countermeasure work device"), thereby causing the countermeasure work device to execute processing corresponding to the countermeasure plan (implementation of security countermeasures).

対処支援装置100は、通信監視装置20から受信した不正通信に関する情報(以下、「検知情報」と称する。)を用いて、当該不正通信の影響を受ける業務を分析し、分析結果に基づき対処案を生成する。また、対処による業務に与える影響の大きさ(以下、「業務影響値」と称する。)を求め、求めた業務影響値に基づき、対処案を自動実施可能であるか否かを判定する。そして、対処支援装置100は、対処案が自動実施可能であると判定した場合、対処案に基づき対処命令を生成し、生成した対処命令を対処実行装置30に送信する。 The countermeasure support device 100 uses information about the unauthorized communication received from the communication monitoring device 20 (hereinafter referred to as "detection information") to analyze the business affected by the unauthorized communication, and generates a countermeasure plan based on the analysis results. It also calculates the impact of the countermeasure on the business (hereinafter referred to as "business impact value"), and determines whether the countermeasure plan can be automatically implemented based on the calculated business impact value. If the countermeasure support device 100 determines that the countermeasure plan can be automatically implemented, it generates a countermeasure command based on the countermeasure plan, and transmits the generated countermeasure command to the countermeasure execution device 30.

管理者装置40は、対処支援装置100から受信した対処案を管理者2に提示し、対処案を実施するか否かの意思表示の入力を受け付ける。管理者装置40は、上記意思表示の入力を受け付けると、受け付けた内容を対処支援装置100に送信する。 The administrator device 40 presents the countermeasure plan received from the countermeasure support device 100 to the administrator 2 and accepts input of an indication of intent as to whether or not to implement the countermeasure plan. When the administrator device 40 accepts the input of the indication of intent, it transmits the accepted content to the countermeasure support device 100.

図2は、セキュリティ管理システム1の構成要素(通信監視装置20、対処実行装置30、管理者装置40、制御サーバ50、対処支援装置100)の実現に用いる情報処理装置のハードウェア構成例を示すブロック図である。例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13、入力装置14、出力装置15、及び通信装置16を備える。情報処理装置10の例として、パーソナルコンピュータ、オフィスコンピュータ、サーバ装置、スマートフォン、タブレット、汎用機(メインフレーム)等がある。尚、セキュリティ管理システム1の構成要素(通信監視装置20、対処実行装置30、管理者装置40、制御サーバ50、対処支援装置100)のうちの2つ以上が、共通の情報処理装置10により実現されていてもよい。 FIG. 2 is a block diagram showing an example of the hardware configuration of an information processing device used to realize the components of the security management system 1 (communication monitoring device 20, countermeasure execution device 30, administrator device 40, control server 50, and countermeasure support device 100). The illustrated information processing device 10 includes a processor 11, a main storage device 12 (memory), an auxiliary storage device 13, an input device 14, an output device 15, and a communication device 16. Examples of the information processing device 10 include a personal computer, an office computer, a server device, a smartphone, a tablet, and a general-purpose machine (mainframe). Note that two or more of the components of the security management system 1 (communication monitoring device 20, countermeasure execution device 30, administrator device 40, control server 50, and countermeasure support device 100) may be realized by a common information processing device 10.

情報処理装置10は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
The information processing device 10 may be realized, in whole or in part, by using virtual information processing resources provided by using virtualization technology, process space separation technology, or the like, such as a virtual server provided by a cloud system. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a cloud system via an API (Application Programming Interface) or the like. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a cloud system via an API (Application Programming Interface), or the like. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a service provider such as SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure
This may be realized by using the Service as a Service, etc.

プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
The processor 11 may be, for example, a central processing unit (CPU), a micro processing unit (MPU), a graphics processing unit (GPU), a field programmable gate array (FPGA), or the like.
It is composed of a gate array, an application specific integrated circuit (ASIC), an artificial intelligence (AI) chip, etc.

主記憶装置12は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。セキュリティ管理システム1の各構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
The main memory device 12 is a device for storing programs and data, and is, for example, a ROM (Read Only Memory).
The main memory 12 may include a random access memory (RAM), a random access memory (RAM), a non-volatile memory (NVRAM), etc. The functions realized in each component of the security management system 1 are realized by the processor 11 reading and executing a program stored in the main memory 12.

補助記憶装置13は、例えば、SSD(Solid State Drive)、ハードディスクドライ
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
The auxiliary storage device 13 is, for example, a solid state drive (SSD), a hard disk drive, an optical storage device (CD (Compact Disc), DVD (Digital Versatile Disc), etc.), a storage system, an IC card, a read/write device for a non-transient recording medium such as an SD card or an optical recording medium, a non-transient storage area of a cloud server, etc. Programs and data can be read into the auxiliary storage device 13 from other information processing devices equipped with non-transient recording media or non-transient storage devices via a recording medium reader or a communication device 16. The programs and data stored (stored) in the auxiliary storage device 13 are read into the main storage device 12 as needed.

入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入力装置等である。 The input device 14 is an interface that accepts information input from the outside, and is, for example, a keyboard, a mouse, a touch panel, a card reader, a pen-input tablet, a voice input device, etc.

出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。 The output device 15 is an interface that outputs various information such as the progress of processing and the results of processing to the outside. The output device 15 is, for example, a display device (liquid crystal monitor, LCD (Liquid Crystal Display), graphic card, etc.) that visualizes the various information described above, a device that converts the various information described above into audio (audio output device (speaker, etc.)), or a device that converts the various information described above into text (printer, etc.). Note that, for example, the information processing device 10 may be configured to input and output information to and from other devices via the communication device 16.

入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。 The input device 14 and the output device 15 constitute a user interface that realizes interactive processing with the user (accepting information, providing information, etc.).

通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、各種通信ネットワーク(情報系ネットワーク51、制御系ネットワーク52、対処系ネットワーク53)を介して、所定の通信プロトコルに準拠した他の装置との間の通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。 The communication device 16 is a device that realizes communication with other devices. The communication device 16 is a wired or wireless communication interface that realizes communication with other devices that conform to a specific communication protocol via various communication networks (information system network 51, control system network 52, response system network 53), and is, for example, a NIC (Network Interface Card), a wireless communication module, a USB module, etc.

情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DB
MS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
The information processing device 10 includes, for example, an operating system, a file system, a database,
A DataBase Management System (MS) (relational database, NoSQL, etc.), a Key-Value Store (KVS), etc. may also be introduced.

図3は、通信監視装置20が備える主な機能を示すブロック図である。通信監視装置20は、監視対象システム5における通信を監視することにより不正通信を検知すると、検知した不正通信の検知情報を生成し、生成した検知情報を対処支援装置100に送信する。 Figure 3 is a block diagram showing the main functions of the communication monitoring device 20. When the communication monitoring device 20 detects unauthorized communication by monitoring the communication in the monitored system 5, it generates detection information of the detected unauthorized communication and transmits the generated detection information to the countermeasure support device 100.

同図に示すように、通信監視装置20は、記憶部210、システム情報管理部220、不正通信検知部230、及び検知情報送信部240の各機能を有する。 As shown in the figure, the communication monitoring device 20 has the functions of a memory unit 210, a system information management unit 220, an unauthorized communication detection unit 230, and a detection information transmission unit 240.

上記機能のうち、記憶部210は、業務装置情報テーブル211、ホワイト通信テーブル212、業務情報テーブル213、及び制御情報テーブル214を記憶する。 Of the above functions, the memory unit 210 stores a business device information table 211, a white communication table 212, a business information table 213, and a control information table 214.

このうち業務装置情報テーブル211には、業務装置に関する情報(以下、「業務装置情報」と称する。)が管理される。業務装置情報テーブル211の内容は、例えば、管理者2によって設定される。 In the business device information table 211, information about business devices (hereinafter referred to as "business device information") is managed. The contents of the business device information table 211 are set by, for example, the administrator 2.

図6に、業務装置情報テーブル211の一例を示す。同図に示すように、業務装置情報テーブル211は、業務装置ID611、装置名612、IPアドレス613、代替装置ID614、自律制御可否615、及び業務ID616の各項目を有する一つ以上のレコードで構成される。業務装置情報テーブル211の一つのレコードは、一つの業務装置に対応している。 Figure 6 shows an example of the business device information table 211. As shown in the figure, the business device information table 211 is composed of one or more records having the following fields: business device ID 611, device name 612, IP address 613, alternative device ID 614, autonomous control possible/not possible 615, and business ID 616. One record in the business device information table 211 corresponds to one business device.

上記項目のうち、業務装置ID611には、業務装置の識別子である業務装置IDが格納される。装置名612には、当該業務装置の名称(装置名)が格納される。 Of the above items, the business device ID 611 stores the business device ID, which is an identifier for the business device. The device name 612 stores the name of the business device (device name).

IPアドレス613には、当該業務装置の制御系ネットワーク52におけるネットワークアドレス(本例ではIPアドレス)が格納される。尚、例示する業務装置情報テーブル211では、制御系ネットワーク52におけるIPアドレスのみを示しているが、業務装置情報テーブル211には、業務装置の夫々が接続している通信ネットワークのIPアドレスが管理される。 IP address 613 stores the network address (in this example, the IP address) of the business device in the control network 52. Note that, although the illustrated business device information table 211 only shows the IP address in the control network 52, the business device information table 211 also manages the IP addresses of the communication networks to which each of the business devices is connected.

代替装置ID614には、当該業務装置の業務を代替(代行)可能な他の装置(以下、「代替装置」と称する。)の業務装置ID(以下、「代替装置ID」と称する。)が格納される。尚、当該業務装置の業務を他の装置に代替させることができないか、もしくは代替先の装置が用意されていない場合は、代替装置ID614に「なし」が格納される。 The alternative device ID 614 stores the business device ID (hereinafter referred to as the "alternative device ID") of another device (hereinafter referred to as the "alternative device") that can substitute (act as a proxy) for the business device. Note that if the business device's business cannot be substituted by another device or if no alternative device is available, "none" is stored in the alternative device ID 614.

自律制御可否615には、当該業務装置が自律運転可能(自律制御可能)か否かを示す情報が格納される。本例では、自律運転可能な場合は自律制御可否615に「可」が、自律運転不可能な場合は自律制御可否615に「不可」が格納される。尚、「自律制御可能な場合」には、業務効率が低下する等の影響は出るが業務を安全に継続可能な場合も含む。 In autonomous control possible or not 615, information indicating whether the business device is capable of autonomous operation (autonomous control possible) is stored. In this example, if autonomous operation is possible, "yes" is stored in autonomous control possible or not 615, and if autonomous operation is not possible, "no" is stored in autonomous control possible or not 615. Note that "if autonomous control is possible" also includes cases where business can be continued safely, although there will be effects such as a decrease in business efficiency.

業務ID616には、当該業務装置が行う業務の識別子(以下、「業務ID」と称する。)が格納される。尚、例示する業務装置情報テーブル211における業務装置ID611が「D03」の業務装置の業務ID616には「なし」が格納されているが、これは当該業務装置が代替装置として用意されたものであり、現在は待機状態である(業務を行っていない)ことを示す。尚、その後に当該代替装置が代替先として稼働を開始することとなった際は、当該レコードの業務ID616に当該代替装置の代替元の業務装置が行って
いた業務の業務IDが格納される。
The business ID 616 stores an identifier of the business performed by the business device (hereinafter referred to as the "business ID"). Note that "none" is stored in the business ID 616 of the business device with the business device ID 611 of "D03" in the illustrated business device information table 211, which indicates that the business device has been prepared as an alternative device and is currently in a standby state (not performing any business). Note that when the alternative device subsequently starts operating as an alternative, the business ID of the business performed by the original business device that took over the alternative device is stored in the business ID 616 of the record.

図3に戻り、ホワイト通信テーブル212には、監視対象システム5の業務において行われる正規の通信(業務の実行に際し業務装置間で行われる通信)の、情報の送信元となるノードと情報の送信先(宛先)となるノードの対応(以下、「通信経路」と称する。)を示す情報が管理される。上記通信経路は、通信に用いられるプロトコル、IPアドレス、及びポートの組合せで識別(特定)される。ホワイト通信テーブル212には、上記通信経路の夫々の重要度(以下、「業務通信重要度」と称する。)を示す情報が管理される。ホワイト通信テーブル212の内容は、例えば、管理者2によって設定される。 Returning to FIG. 3, the white communication table 212 manages information indicating the correspondence between the node that is the source of information and the node that is the destination of information (hereinafter referred to as the "communication path") for regular communication (communication between business devices when performing business) carried out in the business of the monitored system 5. The above communication path is identified (specified) by a combination of the protocol, IP address, and port used in the communication. The white communication table 212 manages information indicating the importance of each of the above communication paths (hereinafter referred to as the "business communication importance"). The contents of the white communication table 212 are set, for example, by the administrator 2.

図7に、ホワイト通信テーブル212の一例を示す。同図に示すように、例示するホワイト通信テーブル212は、通信経路ID711、通信プロトコル712、送信元アドレス713、宛先アドレス714、送信元ポート715、宛先ポート716、及び業務通信重要度717の各項目を有する一つ以上のレコードで構成される。ホワイト通信テーブル212の一つのレコードは、情報系ネットワーク51又は制御系ネットワーク52を介して行われる通信経路の一つに対応している。 Figure 7 shows an example of the white communication table 212. As shown in the figure, the illustrated white communication table 212 is composed of one or more records having each of the following items: communication path ID 711, communication protocol 712, source address 713, destination address 714, source port 715, destination port 716, and business communication importance 717. One record in the white communication table 212 corresponds to one of the communication paths that are performed via the information system network 51 or the control system network 52.

通信経路ID711には、当該通信経路の識別子(以下、「通信経路ID」と称する。)が格納される。通信プロトコル712には、当該通信経路で用いられる通信プロトコルを示す情報が格納される。 In the communication path ID 711, an identifier of the communication path (hereinafter referred to as the "communication path ID") is stored. In the communication protocol 712, information indicating the communication protocol used in the communication path is stored.

送信元アドレス713には、当該通信経路の送信元ノードのネットワークアドレス(本例ではIPアドレス)が格納される。宛先アドレス714には、当該通信経路の宛先ノードのネットワークアドレス(本例ではIPアドレス)が格納される。 The source address 713 stores the network address (in this example, an IP address) of the source node of the communication path. The destination address 714 stores the network address (in this example, an IP address) of the destination node of the communication path.

送信元ポート715には、当該通信経路の送信元ノードのポート番号が格納される。宛先ポート716には、当該通信経路の宛先ノードのポート番号が格納される。尚、送信元ポートや宛先ポートを指定しない通信経路(ポート番号が任意の通信経路)については、送信元ポート715又は宛先ポート716に「*」が格納される。 The source port 715 stores the port number of the source node of the communication path. The destination port 716 stores the port number of the destination node of the communication path. For communication paths that do not specify a source port or destination port (communication paths with an arbitrary port number), "*" is stored in the source port 715 or destination port 716.

業務通信重要度717には、業務通信重要度を示す情報が格納される。本実施形態では、業務通信重要度は、「0」~「1」の範囲の値をとる(「1」が最も重要度が高く「0」が最も重要度が低い)ものとする。例えば、当該通信経路が遮断されると当該通信経路を利用する業務が停止してしまう場合は、業務通信重要度717に「1」が格納される。また、例えば、当該通信経路が保守用である場合や冗長構成されたセンサ72のうちの一つが使用する通信経路である場合は、業務通信重要度717に「0」が格納される。業務通信重要度717は、管理者2によって予め設定される。 In the business communication importance level 717, information indicating the business communication importance level is stored. In this embodiment, the business communication importance level takes a value ranging from "0" to "1" ("1" being the most important and "0" being the least important). For example, if the interruption of the communication path will result in the stop of the business using the communication path, "1" is stored in the business communication importance level 717. Also, for example, if the communication path is for maintenance or is a communication path used by one of the redundantly configured sensors 72, "0" is stored in the business communication importance level 717. The business communication importance level 717 is set in advance by the administrator 2.

図3に戻り、業務情報テーブル213には、監視対象システム5において行われる業務に関する情報(以下、「業務情報」と称する。)が管理される。例えば、業務情報テーブル213には、各業務の稼働期間、各業務の優先度、各業務で行われる通信、各業務についての縮退運転の可否等の情報が管理される。 Returning to FIG. 3, the business information table 213 manages information related to the business operations performed in the monitored system 5 (hereinafter referred to as "business information"). For example, the business information table 213 manages information such as the operating period of each business operation, the priority of each business operation, the communications performed in each business operation, and whether or not degraded operation is possible for each business operation.

図8に、業務情報テーブル213の一例を示す。同図に示すように、業務情報テーブル213は、業務ID811、業務名812、稼働期間813、業務優先度814、利用経路815、及び縮退運転可否816の各項目を有する一つ以上のレコードで構成される。業務情報テーブル213の一つのレコードは、監視対象システム5が行う業務の一つに対応している。 Figure 8 shows an example of the business information table 213. As shown in the figure, the business information table 213 is composed of one or more records having the following items: business ID 811, business name 812, operating period 813, business priority 814, usage path 815, and degraded operation availability 816. One record in the business information table 213 corresponds to one of the business operations performed by the monitored system 5.

業務ID811には、当該業務の業務IDが格納される。業務名812には、当該業務
の名称(以下、「業務名」と称する。)が格納される。
The task ID of the task is stored in the task ID 811. The task name 812 stores the name of the task (hereinafter, referred to as the "task name").

稼働期間813には、当該業務が行われる期間を示す情報が格納される。 Operating period 813 stores information indicating the period during which the business is performed.

業務優先度814には、当該業務の優先度(以下、「業務優先度」と称する。)を示す情報が格納される。本例では、業務優先度の値が小さい程、優先度が高いものとする。 In the task priority 814, information indicating the priority of the task (hereinafter referred to as the "task priority"). In this example, the smaller the task priority value, the higher the priority.

利用経路815には、当該業務の実行に際して利用する通信経路の通信経路IDが格納される。 The communication path ID of the communication path used when executing the task is stored in the usage path 815.

縮退運転可否816には、当該業務が縮退運転可能であるか否かを示す情報が格納される。縮退運転が可能な場合、縮退運転可否816に「可」が格納され、縮退運転が不可能な場合、縮退運転可否816に「不可」が格納される。 In the degraded operation availability 816, information indicating whether the relevant task can be operated in a degraded state is stored. If degraded operation is possible, "yes" is stored in the degraded operation availability 816, and if degraded operation is not possible, "no" is stored in the degraded operation availability 816.

図3に戻り、制御情報テーブル214には、通信経路を利用して業務装置間で行われる制御に関する情報(制御プロトコル、制御コマンド、制御パラメータ、通信周期、影響値等。以下、「制御情報」と称する。)が管理される。 Returning to FIG. 3, the control information table 214 manages information related to the control performed between business devices using the communication path (control protocol, control command, control parameters, communication cycle, impact value, etc., hereafter referred to as "control information").

図9に、制御情報テーブル214の一例を示す。同図に示すように、制御情報テーブル214は、通信経路ID911、制御プロトコル912、制御コマンド913、制御パラメータ914、通信周期915、及び影響度916の各項目を有する一つ以上のレコードで構成される。制御情報テーブル214の一つのレコードは、通信経路の一つに対応している。 Figure 9 shows an example of the control information table 214. As shown in the figure, the control information table 214 is composed of one or more records having each of the following items: communication path ID 911, control protocol 912, control command 913, control parameter 914, communication cycle 915, and impact degree 916. One record in the control information table 214 corresponds to one communication path.

通信経路ID911には、当該通信経路の通信経路IDが格納される。 The communication path ID of the communication path in question is stored in communication path ID 911.

制御プロトコル912には、当該通信経路を介して業務装置の制御を行う際に用いられる制御プロトコルを示す情報が格納される。 Control protocol 912 stores information indicating the control protocol used when controlling the business device via the communication path.

制御コマンド913には、当該通信経路を介して業務装置の制御を行う際に用いられる制御コマンドを示す情報が格納される。 Control command 913 stores information indicating the control command used when controlling the business device via the communication path.

制御パラメータ914には、当該通信経路を介して業務装置の制御を行う際に用いられる制御パラメータを示す情報が格納される。 Control parameters 914 stores information indicating the control parameters used when controlling the business device via the communication path.

通信周期915には、当該通信経路を介して業務装置の制御が行われる際の通信の通信周期(通信周期の平均値でもよい)を示す情報が格納される。当該通信が周期的な通信でない場合は通信周期915に「*」が格納される。 In the communication cycle 915, information indicating the communication cycle (which may be the average communication cycle) of the communication when the business device is controlled via the communication path is stored. If the communication is not periodic, "*" is stored in the communication cycle 915.

影響度916には、当該通信経路に異常が生じた場合(制御コマンドが送信されなくなった場合や急増した場合、不正な制御パラメータが設定された場合等)に、業務の継続性や安全性に与える影響の大きさを示す値(以下、「影響度」と称する。)が格納される。影響度916の内容は、例えば、業務通信重要度717を設定する際の根拠として用いられる。本例では、例えば、「高」、「中」、「低」のいずれかが影響度916に設定される。例えば、業務が数日間停止したり、人命が脅かされたりする可能性がある等、業務への影響が大きい場合は、影響度916に「高」が格納される。また、例えば、影響が軽微である場合や限定的な場合は、影響度916に「低」が格納される。 In the impact level 916, a value (hereinafter referred to as "impact level") indicating the magnitude of the impact on business continuity and safety when an abnormality occurs in the communication path (when control commands are no longer transmitted or increase sharply, when an incorrect control parameter is set, etc.) is stored. The contents of the impact level 916 are used, for example, as a basis for setting the business communication importance level 717. In this example, for example, one of "high", "medium", or "low" is set in the impact level 916. For example, when the impact on business is large, such as when business is stopped for several days or there is a possibility that human life is threatened, "high" is stored in the impact level 916. Also, for example, when the impact is minor or limited, "low" is stored in the impact level 916.

図3に戻り、同図に示す機能のうち、システム情報管理部220は、業務装置情報テーブル211、ホワイト通信テーブル212、業務情報テーブル213、及び制御情報テー
ブル214(以下、これらの情報を「システム情報」と総称する。)を管理する。
Returning to Figure 3, among the functions shown in the figure, the system information management unit 220 manages a business device information table 211, a white communication table 212, a business information table 213, and a control information table 214 (hereinafter, these pieces of information are collectively referred to as "system information").

不正通信検知部230は、ミラーポート41やミラーポート42を介して、監視対象システム5の情報系ネットワーク51及び制御系ネットワーク52に流れる通信(パケット、通信電文)の内容を取得する。不正通信検知部230は、取得した通信の内容を分析し、例えば、パケットのヘッダ情報(データ送信元の装置及びデータ送信先の装置のIPアドレス、通信プロトコル、及びポート番号等)、パケットのペイロードに含まれる制御コマンド及びパラメータの各情報(以下、「通信情報」と称する。)を取得する。また、不正通信検知部230は、取得した通信情報に基づく情報(単位時間当たりの通信数の変化、単位時間当たりの制御命令の数等。以下、「統計情報」と称する。)を生成する。不正通信検知部230は、例えば、通信情報及び統計情報(以下、これらを「分析情報」と称する。)と、記憶部210が記憶している各テーブルの情報とを対照することで、監視対象システム5において不正通信が行われているか否かを判定する。 The unauthorized communication detection unit 230 acquires the contents of the communication (packets, communication messages) flowing through the information network 51 and the control network 52 of the monitored system 5 via the mirror port 41 and the mirror port 42. The unauthorized communication detection unit 230 analyzes the acquired communication contents and acquires, for example, packet header information (such as the IP addresses of the data source device and the data destination device, the communication protocol, and the port number), and information on the control commands and parameters included in the packet payload (hereinafter referred to as "communication information"). The unauthorized communication detection unit 230 also generates information based on the acquired communication information (such as the change in the number of communications per unit time and the number of control commands per unit time; hereinafter referred to as "statistical information"). The unauthorized communication detection unit 230 determines whether unauthorized communication is occurring in the monitored system 5, for example, by comparing the communication information and statistical information (hereinafter referred to as "analysis information") with the information of each table stored in the storage unit 210.

検知情報送信部240は、不正通信検知部230が、監視対象システム5において不正通信が行われていると判定した場合に検知情報を生成し、生成した検知情報を対処系ネットワーク43を介して対処支援装置100に送信する。 The detection information transmission unit 240 generates detection information when the unauthorized communication detection unit 230 determines that unauthorized communication is occurring in the monitored system 5, and transmits the generated detection information to the response support device 100 via the response system network 43.

図4は、対処支援装置100が備える主な機能を説明するブロック図である。対処支援装置100は、通信監視装置20から検知情報を受信すると、当該検知情報の不正通信によって影響を受ける可能性のある業務を特定し、当該不正通信に対する対処案を生成する。また、対処支援装置100は、生成した対処案を実施した場合に業務に与える影響を示す指標である業務影響値を求め、求めた業務影響値に基づき、生成した対処案の自動実施の可否を判定する。 Figure 4 is a block diagram illustrating the main functions of the countermeasure support device 100. When the countermeasure support device 100 receives detection information from the communication monitoring device 20, it identifies business that may be affected by the unauthorized communication of the detection information, and generates a countermeasure against the unauthorized communication. The countermeasure support device 100 also calculates a business impact value, which is an index showing the impact on the business if the generated countermeasure is implemented, and determines whether or not to automatically implement the generated countermeasure based on the calculated business impact value.

同図に示すように、対処支援装置100は、記憶部110、システム情報管理部120、検知情報受信部130、対処案生成部140、自動実施可否判定部150、対処命令送信部160、及び対処情報送信部170の各機能を有する。 As shown in the figure, the countermeasure support device 100 has the functions of a memory unit 110, a system information management unit 120, a detection information receiving unit 130, a countermeasure plan generating unit 140, an automatic implementation feasibility determining unit 150, a countermeasure command transmitting unit 160, and a countermeasure information transmitting unit 170.

上記機能のうち、記憶部110は、業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213を記憶する。これらの情報については、図3に示したシステム情報(業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213)と同様であるので説明を省略する。尚、対処支援装置100は、これらの情報を、対処案の生成や、生成した対処案についての業務影響値の算出に際して参照する。 Of the above functions, the storage unit 110 stores a business device information table 211, a white communication table 212, and a business information table 213. This information is similar to the system information (business device information table 211, white communication table 212, and business information table 213) shown in FIG. 3, so a description thereof will be omitted. The countermeasure support device 100 refers to this information when generating countermeasure plans and calculating the business impact value for the generated countermeasure plans.

システム情報管理部120は、業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213を管理する。尚、通信監視装置20と対処支援装置100との間でシステム情報を共有管理するようにしてもよい。 The system information management unit 120 manages the business device information table 211, the white communication table 212, and the business information table 213. Note that system information may be shared and managed between the communication monitoring device 20 and the response support device 100.

検知情報受信部130は、通信監視装置20から送られてくる検知情報を受信する。 The detection information receiving unit 130 receives the detection information sent from the communication monitoring device 20.

対処案生成部140は、検知情報に基づき、当該検知情報の不正通信により影響を受ける可能性のある業務を特定し、当該不正通信に対する一つ以上の対処案を生成する。具体的には、対処案生成部140は、当該検知情報と、記憶部110が記憶しているシステム情報(業務装置情報テーブル211、ホワイト通信テーブル212、及び業務情報テーブル213)とに基づき、当該不正通信に関係する業務装置と当該不正通信によって影響を受ける可能性のある業務を特定する。また、対処案生成部140は、生成した対処案を実施した場合の業務影響値を求める。対処案生成部140は、ある業務について何らかの対処を現在実施中である場合、実施中の全ての対処の影響値の合計値に、新たに生成した対
処案を実施した場合の影響値を加算することにより業務影響値を求める。業務影響値の算出方法の詳細については後述する。尚、対処案生成部140が、生成した各対処案について、業務装置の稼働状況や業務の実施状況を考慮して推奨順位を付与し、各対処案と夫々の推奨順位を管理者2に提示し、実施を希望する推奨順位をユーザインタフェースを介して管理者2に選択させるようにしてもよい。
The countermeasure plan generating unit 140 identifies a business that may be affected by the unauthorized communication of the detection information based on the detection information, and generates one or more countermeasure plans for the unauthorized communication. Specifically, the countermeasure plan generating unit 140 identifies a business device related to the unauthorized communication and a business that may be affected by the unauthorized communication based on the detection information and the system information (business device information table 211, white communication table 212, and business information table 213) stored in the storage unit 110. In addition, the countermeasure plan generating unit 140 calculates a business impact value when the generated countermeasure plan is implemented. When some countermeasure is currently being implemented for a certain business, the countermeasure plan generating unit 140 calculates a business impact value by adding an impact value when the newly generated countermeasure plan is implemented to the total impact value of all the countermeasures being implemented. The details of the calculation method of the business impact value will be described later. Furthermore, the countermeasure plan generation unit 140 may assign a recommendation rank to each generated countermeasure plan taking into consideration the operating status of the business equipment and the implementation status of the business, present each countermeasure plan and its respective recommended rank to the administrator 2, and allow the administrator 2 to select the recommended rank he or she wishes to implement via a user interface.

自動実施可否判定部150は、対処案の業務影響値を予め設定された閾値と比較することにより、当該対処案が自動実施可能か否かを判定する。当該対処案が自動実施可能と判定した場合、自動実施可否判定部150は、対処実行装置30に対処命令を送信する。一方、当該対処案が自動実施不可であると判定した場合、自動実施可否判定部150は、当該対処案の内容、当該対処案を実施することにより影響が生じる業務を示す情報、当該対処案の業務影響値等を含む情報である対処情報を生成し、生成した対処情報を管理者装置40へ送信し、当該対処案を実施するか否かについての意志表示を受け付ける。 The automatic implementation feasibility determination unit 150 determines whether the countermeasure plan can be implemented automatically by comparing the business impact value of the countermeasure plan with a preset threshold value. If it is determined that the countermeasure plan can be implemented automatically, the automatic implementation feasibility determination unit 150 sends a countermeasure command to the countermeasure execution device 30. On the other hand, if it is determined that the countermeasure plan cannot be implemented automatically, the automatic implementation feasibility determination unit 150 generates countermeasure information that includes the contents of the countermeasure plan, information indicating the business that will be affected by implementing the countermeasure plan, the business impact value of the countermeasure plan, etc., transmits the generated countermeasure information to the administrator device 40, and accepts an indication of intent as to whether or not to implement the countermeasure plan.

対処命令送信部160は、対処案を実施する場合に対処実行装置30に対処命令を送信する。 The countermeasure command transmission unit 160 transmits a countermeasure command to the countermeasure execution device 30 when implementing a countermeasure plan.

対処情報送信部170は、対処案を自動実施しない場合に管理者装置40に対処情報を送信する。 The countermeasure information transmission unit 170 transmits countermeasure information to the administrator device 40 if the countermeasure is not to be automatically implemented.

図5は、対処実行装置30が備える主な機能を説明するブロック図である。対処実行装置30は、対処支援装置100から対処命令を受信し、受信した対処命令に基づき、対処業務装置に、制御コマンドや制御ロジック(所定の処理や演算を実行することで実現されるコントローラ61の制御シーケンス)を送信する。 Figure 5 is a block diagram explaining the main functions of the countermeasure execution device 30. The countermeasure execution device 30 receives a countermeasure command from the countermeasure support device 100, and transmits a control command and control logic (a control sequence of the controller 61 that is realized by executing a specified process or calculation) to the countermeasure work device based on the received countermeasure command.

同図に示すように、対処実行装置30は、記憶部310、対処情報受信部320、制御ロジック構成部330、及び制御コマンド送信部340の各機能を有する。 As shown in the figure, the countermeasure execution device 30 has the functions of a memory unit 310, a countermeasure information receiving unit 320, a control logic configuration unit 330, and a control command transmitting unit 340.

上記機能のうち、記憶部310は、監視対象システム5の業務装置の夫々が対応している、制御コマンドや制御ロジックに関する情報が管理される制御ロジックテーブル311を記憶する。 Of the above functions, the memory unit 310 stores a control logic table 311 that manages information regarding the control commands and control logic corresponding to each of the business devices of the monitored system 5.

対処情報受信部320は、通信装置16を介して、対処支援装置100から送られてくる対処命令を受信し、受信した対処命令を制御ロジック構成部330に入力する。 The handling information receiving unit 320 receives handling commands sent from the handling support device 100 via the communication device 16, and inputs the received handling commands to the control logic configuration unit 330.

制御ロジック構成部330は、対処情報受信部320から入力される対処命令に対応する、対処業務装置に送信する制御コマンドや制御ロジックを制御ロジックテーブル311から取得し、取得した制御コマンドや制御ロジックを対処命令として制御コマンド送信部340に入力する。 The control logic configuration unit 330 obtains from the control logic table 311 the control command or control logic to be sent to the response operation device that corresponds to the response command input from the response information receiving unit 320, and inputs the obtained control command or control logic to the control command transmitting unit 340 as a response command.

制御コマンド送信部340は、制御ロジック構成部330から入力される対処命令を対処業務装置に送信し、対処業務装置に対処のための処理を実行させる。尚、制御コマンド送信部340が、対処業務装置から、上記処理の結果を示す情報を受信し、受信した上記情報を対処支援装置100に転送するようにしてもよい。これにより対処支援装置100は、対処業務装置における対処の実施状況を把握することができる。またその場合に、対処支援装置100が、把握した実施状況を示す情報を管理者装置40に送信し、管理者装置40が上記情報を受信してその内容を管理者2に提示するようにしてもよい。これにより管理者2は対処案の実施状況を効率よく把握することができる。 The control command transmission unit 340 transmits the countermeasure command input from the control logic configuration unit 330 to the countermeasure work device, and causes the countermeasure work device to execute processing for the countermeasure. The control command transmission unit 340 may receive information indicating the results of the above processing from the countermeasure work device, and transfer the received information to the countermeasure support device 100. This allows the countermeasure support device 100 to grasp the implementation status of the countermeasure in the countermeasure work device. In this case, the countermeasure support device 100 may transmit information indicating the grasped implementation status to the administrator device 40, and the administrator device 40 may receive the above information and present the contents to the administrator 2. This allows the administrator 2 to efficiently grasp the implementation status of the countermeasure plan.

続いて、セキュリティ管理システム1において行われる処理について説明する。 Next, we will explain the processing performed in the security management system 1.

図10は、監視対象システム5における不正通信の監視に際してセキュリティ管理システム1が行う処理(以下、「不正通信監視処理S1000」と称する。)を説明するシーケンス図である。以下、同図とともに不正通信監視処理S1000について説明する。 Figure 10 is a sequence diagram explaining the process (hereinafter referred to as "unauthorized communication monitoring process S1000") performed by the security management system 1 when monitoring unauthorized communication in the monitored system 5. The unauthorized communication monitoring process S1000 will be explained below with reference to the same figure.

通信監視装置20は、情報系ネットワーク51についてはミラーポート41を介して、制御系ネットワーク52についてはミラーポート42を介して、夫々を流れるパケットを取得し、監視対象システム5において不正通信が行われていないかをリアルタイムに監視している(S1010:NO)。通信監視装置20は、不正通信を検知すると(S1010:YES)、当該不正通信の検知情報を対処支援装置100に送信する。 The communication monitoring device 20 acquires packets flowing through the information network 51 via mirror port 41 and the control network 52 via mirror port 42, and monitors in real time whether unauthorized communication is occurring in the monitored system 5 (S1010: NO). When the communication monitoring device 20 detects unauthorized communication (S1010: YES), it transmits detection information of the unauthorized communication to the countermeasure support device 100.

尚、不正通信は、例えば、ホワイト通信テーブル212に存在する通信経路の通信のうち、制御情報テーブル214の内容に適合しない内容の通信をいう。上記の適合しない内容の通信として、例えば、以下の通信がある。 Unauthorized communication refers to, for example, communication on a communication path present in the white communication table 212, whose contents do not conform to the contents of the control information table 214. Examples of such communications that do not conform include the following:

(1)制御情報テーブル214の制御プロトコル912に格納されている制御プロトコル以外の制御プロトコルを用いた通信(利用可能な制御プロトコルを逸脱した通信)
(2)制御情報テーブル214の制御コマンド913に格納されている制御コマンド以外の制御コマンドを用いた通信(利用可能な制御コマンドを逸脱した通信)
(3)制御情報テーブル214の制御パラメータ914に格納されている制御パラメータ以外の制御パラメータを用いた通信(利用可能な制御パラメータを逸脱した通信)
(4)通信周期が制御情報テーブル214の通信周期915に格納されている通信周期から大きく逸脱する通信(予め設定された許容範囲を超える通信周期で行われた通信)
(1) Communication using a control protocol other than the control protocol stored in the control protocol 912 of the control information table 214 (communication deviating from the available control protocols)
(2) Communication using a control command other than the control command stored in the control command 913 of the control information table 214 (communication deviating from the available control commands)
(3) Communication using control parameters other than those stored in the control parameters 914 of the control information table 214 (communication deviating from the available control parameters)
(4) A communication whose communication cycle significantly deviates from the communication cycle stored in the communication cycle 915 of the control information table 214 (a communication performed with a communication cycle that exceeds a preset allowable range)

尚、本実施形態では、ホワイト通信テーブル212に存在しない通信経路で行われる通信については、例えば、ルーティングの設定、ファイアウォール、セキュリティ対策ソフトウェア等の他のセキュリティ対処の仕組みにより遮断されるものとする。 In this embodiment, any communication that occurs via a communication path that does not exist in the white communication table 212 is blocked by other security mechanisms, such as routing settings, a firewall, or security software.

検知情報は、例えば、不正通信の通信経路の通信経路ID、不正の具体的な内容(逸脱している制御プロトコル、逸脱している制御コマンド、逸脱している制御パラメータ、逸脱している通信周期)を示す情報を含む。 The detection information includes, for example, the communication path ID of the communication path of the unauthorized communication, and information indicating the specific details of the unauthorized communication (the deviating control protocol, the deviating control command, the deviating control parameters, and the deviating communication cycle).

対処支援装置100は、通信監視装置20から検知情報を受信すると、業務影響値を算出する処理(以下、「業務影響値算出処理S1011」と称する。)を実行し、受信した検知情報における不正通信に対する対処案の生成や、対処案を実施した場合の業務影響値の算出を行う。業務影響値算出処理S1011の詳細については後述する。 When the countermeasure support device 100 receives detection information from the communication monitoring device 20, it executes a process for calculating a business impact value (hereinafter referred to as "business impact value calculation process S1011"), generates countermeasures against unauthorized communication in the received detection information, and calculates a business impact value when the countermeasures are implemented. Details of the business impact value calculation process S1011 will be described later.

続いて、対処支援装置100は、生成した対処案を自動実施するか否かを判定する(S1012)。具体的には、対処支援装置100は、業務影響値算出処理S1011で求めた業務影響値が予め設定された閾値未満(業務影響値<閾値)であれば自動実施すると判定し(S1012:YES)、業務影響値算出処理S1011で求めた業務影響値が予め設定された閾値以上(業務影響値≧閾値)であれば自動実施しないと判定する(S1012:NO)。 Next, the countermeasure support device 100 judges whether or not to automatically implement the generated countermeasure (S1012). Specifically, the countermeasure support device 100 judges to automatically implement the countermeasure if the business impact value calculated in the business impact value calculation process S1011 is less than a preset threshold (business impact value<threshold) (S1012: YES), and judges not to automatically implement the countermeasure if the business impact value calculated in the business impact value calculation process S1011 is equal to or greater than a preset threshold (business impact value≧threshold) (S1012: NO ).

自動実施すると判定した場合(S1012:YES)、対処支援装置100は、対処案に対応する対処命令を生成し、生成した対処命令を対処実行装置30に送信する(S1017)。対処実行装置30は、対処支援装置100から対処命令を受信すると制御命令を生成し、生成した制御命令を対処業務装置に送信する(S1018)。対処業務装置は、制御命令を受信すると、当該制御命令に従った制御を実行する(S1019)。 When it is determined that automatic implementation is to be performed (S1012: YES), the countermeasure support device 100 generates a countermeasure command corresponding to the countermeasure plan and transmits the generated countermeasure command to the countermeasure execution device 30 (S1017). When the countermeasure execution device 30 receives a countermeasure command from the countermeasure support device 100, it generates a control command and transmits the generated control command to the countermeasure work device (S1018). When the countermeasure work device receives the control command, it executes control according to the control command (S1019).

一方、自動実施しないと判定した場合(S1012:NO)、対処支援装置100は、対処情報を生成し、生成した対処情報を管理者装置40に送信する。管理者装置40は、対処情報を受信すると、受信した対処情報の内容を管理者2に提示し、当該対処案を実施するか否かについての意思表示の入力を受け付ける(S1013)。管理者2は、提示された対処情報の内容を確認し、当該対処案を実施するか否かの判断結果を管理者装置40に入力する(S1014)。管理者装置40は、入力された内容(以下、「判断結果」と称する。)を対処支援装置100に送信する(S1015)。 On the other hand, if it is determined that automatic implementation is not to be performed (S1012: NO), the countermeasure support device 100 generates countermeasure information and transmits the generated countermeasure information to the administrator device 40. Upon receiving the countermeasure information, the administrator device 40 presents the contents of the received countermeasure information to the administrator 2 and accepts input of an indication of intent as to whether or not to implement the countermeasure (S1013). The administrator 2 checks the contents of the presented countermeasure information and inputs the result of the judgment as to whether or not to implement the countermeasure to the administrator device 40 (S1014). The administrator device 40 transmits the input contents (hereinafter referred to as the "judgment result") to the countermeasure support device 100 (S1015).

図12に、S1013で管理者2から対処案を実施するか否かについての意思表示を受け付ける際に対処支援装置100が表示する画面(以下、「対処案実施可否指定画面1200」と称する。)の一例を示す。例示する対処案実施可否指定画面1200では、2つの対処案を提示し、符号1211,1212で示すボタン(「実施する」、「実施しない」)の操作を促すことにより、各対処案の実施可否についての意志表示を管理者2から受け付けている。尚、対処案実施可否指定画面1200には、対処案と共に、当該対処案を実施することにより影響が生じる業務の名称や、業務に与える影響の大きさ(業務影響値)を表示してもよい。これらの情報を表示することで、管理者2に対し、対処案の選択や実施の判断を支援することができる。 12 shows an example of a screen (hereinafter referred to as "countermeasure implementation suitability designation screen 1200") that the countermeasure support device 100 displays when accepting an indication of intent from the administrator 2 as to whether or not to implement the countermeasures in S1013 (S1013). In the illustrated countermeasure implementation suitability designation screen 1200, two countermeasures are presented, and the administrator 2 is prompted to operate the buttons indicated by the reference numerals 1211 and 1212 ("Implement" and "Not Implement") to accept an indication of intent as to whether or not to implement each countermeasure from the administrator 2. Note that the countermeasure implementation suitability designation screen 1200 may display, together with the countermeasures, the name of the business that will be affected by implementing the countermeasures and the magnitude of the impact on the business (business impact value). By displaying this information, the administrator 2 can be supported in selecting a countermeasure and deciding whether to implement it.

図10に戻り、対処支援装置100は、管理者装置40から判断結果を受信すると、受信した判断結果の内容に基づき、当該対処案を実施するか否かを判定する(S1016)。当該対処案を実施すると判定すると、対処支援装置100は、対処案に対応する対処命令を生成し、生成した対処命令を対処実行装置30に送信する(S1017)。尚、前述と同様、対処実行装置30は、対処命令を受信すると、制御命令を生成し、生成した制御命令を業務装置に送信する(S1018)。また、業務装置は、制御命令を受信すると、当該制御命令に従った制御を実行する(S1019)。 Returning to FIG. 10, when the countermeasure support device 100 receives a judgment result from the administrator device 40, it judges whether or not to implement the countermeasure plan based on the content of the received judgment result (S1016). If it is judged that the countermeasure plan is to be implemented, the countermeasure support device 100 generates a countermeasure command corresponding to the countermeasure plan and transmits the generated countermeasure command to the countermeasure execution device 30 (S1017). As described above, when the countermeasure execution device 30 receives a countermeasure command, it generates a control command and transmits the generated control command to the business device (S1018). Furthermore, when the business device receives the control command, it executes control according to the control command (S1019).

図11は、図10の業務影響値算出処理S1011の詳細を説明するフローチャートである。以下、同図とともに業務影響値算出処理S1011について説明する。 Figure 11 is a flowchart explaining the details of the business impact value calculation process S1011 in Figure 10. Below, the business impact value calculation process S1011 will be explained with reference to this figure.

まず、対処支援装置100は、通信監視装置20から検知情報を受信する(S1111)。 First, the response support device 100 receives detection information from the communication monitoring device 20 (S1111).

続いて、対処支援装置100は、受信した検知情報に記載されている不正通信が監視対象システム5に与える影響範囲(不正通信の影響を受ける可能性のある業務装置)を特定する(S1112)。具体的には、まず、対処支援装置100は、検知情報に含まれている不正通信の通信経路に関する情報(送信元アドレス、宛先アドレス、送信元ポート、宛先ポート)をホワイト通信テーブル212と対照することにより不正通信の通信経路を特定する。続いて、対処支援装置100は、特定した通信経路を利用する業務を業務情報テーブル213から特定する。続いて、対処支援装置100は、特定した業務を業務装置情報テーブル211と対照することにより、特定した業務を実行する業務装置を特定する。 Then, the response support device 100 identifies the extent of the impact of the unauthorized communication described in the received detection information on the monitored system 5 (business devices that may be affected by the unauthorized communication) (S1112). Specifically, first, the response support device 100 identifies the communication path of the unauthorized communication by comparing information on the communication path of the unauthorized communication included in the detection information (source address, destination address, source port, destination port) with the white communication table 212. Next, the response support device 100 identifies the business that uses the identified communication path from the business information table 213. Next, the response support device 100 identifies the business device that performs the identified business by comparing the identified business with the business device information table 211.

続いて、対処支援装置100は、S1112で特定した業務装置について実施可能な対処案を一つ以上生成する(S1113)。例えば、対処支援装置100は、業務装置情報テーブル211を参照し、特定した業務装置が代替装置を有しているか否かを判定する。そして、対処支援装置100は、特定した業務装置が代替装置を有していれば、「特定した業務装置が行っている業務を代替装置に代替させる」という対処案を生成する。また、例えば、対処支援装置100は、業務装置情報テーブル211を参照し、特定した業務装置が自律制御可能か否かを判定する。そして、対処支援装置100は、特定した業務装置が自律制御が可能であれば、「特定した業務装置を自律制御に切り換え、当該業務装置を利用中の通信経路から切り離す」という対処案を生成する。尚、例えば、対処支援装置1
00が、不正通信の内容に応じて対処案を生成するようにしてもよい。また、例えば、対処支援装置100が、過去の不正通信の履歴と当該不正通信について行った対処の履歴とを含む情報を蓄積管理しておき、当該情報に基づき(例えば、履歴を学習した機械学習モデルを用いて)、対処案を生成するようにしてもよい。
Next, the response support device 100 generates one or more actionable countermeasures for the business device identified in S1112 (S1113). For example, the response support device 100 refers to the business device information table 211 and determines whether or not the identified business device has an alternative device. If the identified business device has an alternative device, the response support device 100 generates a countermeasure of "having the alternative device take over the business performed by the identified business device." Also, for example, the response support device 100 refers to the business device information table 211 and determines whether or not the identified business device is capable of autonomous control. If the identified business device is capable of autonomous control, the response support device 100 generates a countermeasure of "switching the identified business device to autonomous control and disconnecting the business device from the communication path currently in use." For example, the response support device 100 refers to the business device information table 211 and determines whether or not the identified business device is capable of autonomous control. If the identified business device is capable of autonomous control, the response support device 100 generates a countermeasure of "switching the identified business device to autonomous control and disconnecting the business device from the communication path currently in use."
The countermeasure support device 100 may generate a countermeasure plan according to the content of the unauthorized communication. In addition, for example, the countermeasure support device 100 may accumulate and manage information including a history of past unauthorized communications and a history of countermeasures taken against the unauthorized communications, and generate a countermeasure plan based on the information (for example, by using a machine learning model that has learned the history).

続いて、対処支援装置100は、生成した対処案について業務影響値を求める(S1114)。まず、対処支援装置100は、次式に基づき影響値を求める。
[数1]
影響値=影響基準×業務通信重要度×業務稼働状態 (式1)
Next, the countermeasure support apparatus 100 calculates a task impact value for the generated countermeasure plan (S1114). First, the countermeasure support apparatus 100 calculates the impact value based on the following formula.
[Number 1]
Impact value = Impact standard × Business communication importance × Business operation status (Formula 1)

上式における影響基準は、対処案が業務に与える影響のベース値であり、管理者2が予め監視対象システム5において行われる各業務について設定した値である。本例では、影響基準は、「0」から「1」の値(値が大きい程、業務への影響が大きくなる)をとるものとする。例えば、制御通信の遮断や装置の停止等のように業務で必要な通信が不可能になるような場合には、影響基準に「1」が設定される。また、例えば、対処案が縮退運転や自律制御である場合は業務に与える影響が限られるため、影響基準に「0.5」等の中間的な値が設定される。また、代替案が代替装置への切り換えである場合は業務を継続可能であるので、影響基準に「0」が設定される。尚、業務情報テーブル213(図8を参照)における業務優先度814の値に応じて影響基準の値を調整する(例えば、優先度の高い業務ほど影響基準の値を大きくする等)ようにしてもよい。 The impact criterion in the above formula is a base value of the impact of the countermeasure plan on the business, and is a value that the administrator 2 has set in advance for each business performed in the monitored system 5. In this example, the impact criterion takes a value from "0" to "1" (the larger the value, the greater the impact on the business). For example, in cases where communication required for the business becomes impossible, such as when control communication is cut off or the device is stopped, the impact criterion is set to "1". In addition, for example, when the countermeasure plan is degraded operation or autonomous control, the impact on the business is limited, so an intermediate value such as "0.5" is set to the impact criterion. In addition, when the alternative plan is switching to an alternative device, the business can be continued, so the impact criterion is set to "0". The value of the impact criterion may be adjusted according to the value of the business priority 814 in the business information table 213 (see FIG. 8) (for example, the higher the priority of the business, the larger the impact criterion value).

上式における業務通信重要度は、対処案を実施することにより影響を受ける可能性のある、S1112で特定した通信経路のホワイト通信テーブル212における業務通信重要度717の値であり、前述したように「0」~「1」の値(「1」が最も重要度が高く、「0」が最も重要度が低い)が設定される。 The business communication importance in the above formula is the value of the business communication importance 717 in the white communication table 212 of the communication path identified in S1112 that may be affected by implementing the countermeasure plan, and is set to a value between "0" and "1" ("1" being the most important and "0" being the least important) as described above.

上式における業務稼働状態には、「1」又は「0」のいずれかの値が設定される。当該業務(対処案を実施した場合に影響を受ける可能性のある通信経路を利用する業務)が現在稼働中であれば、業務稼働状態には「1」が、当該業務が現在稼働中でない場合は、業務稼働状態には「0」が設定される。このように、業務が現在稼働中である場合は、業務に影響が生じる可能性があるため、式1から求められる影響値は「0」以外の値になる。尚、対処支援装置100は、例えば、業務情報テーブル213の稼働期間312と現在時刻とを対照することにより当該業務の業務稼働状態を取得する。 In the above formula, the business operation status is set to either "1" or "0". If the business (business that uses a communication path that may be affected if the countermeasure plan is implemented) is currently operating, the business operation status is set to "1", and if the business is not currently operating, the business operation status is set to "0". In this way, if the business is currently operating, there is a possibility that the business will be affected, so the impact value calculated from formula 1 will be a value other than "0". The countermeasure support device 100 obtains the business operation status of the business by, for example, comparing the operation period 312 in the business information table 213 with the current time.

続いて、対処支援装置100は、S1112で特定した、不正通信により影響を受ける業務について、現在実施中の対処案の業務影響値nを取得する。尚、当該業務について現
在実施中の対処案が無い場合、業務影響値nは「0」であり、この場合は影響値がそのま
ま業務影響値n+1となる。
Next, the countermeasure support device 100 acquires a business impact value n of a countermeasure currently being implemented for the business affected by the fraudulent communication identified in S1112. Note that if there is no countermeasure currently being implemented for the business, the business impact value n is "0", and in this case the impact value becomes the business impact value n+1 as it is.

続いて、対処支援装置100は、次式に示すように、現在、当該業務について既に実施している(現在適用中の)対処案の影響値の合計である業務影響値nに、S1113で生
成した対処案の影響値を加算することにより業務影響値n+1を求める。
[数2]
業務影響値n+1=業務影響値n+影響値 (式2)
Next, the countermeasure support device 100 calculates a business impact value n+1 by adding the impact value of the countermeasure plan generated in S1113 to the business impact value n , which is the sum of the impact values of the countermeasure plans that have already been implemented (currently being applied) for the business in question, as shown in the following formula.
[Number 2]
Business impact value n+1 = Business impact value n + Impact value (Formula 2)

以上で業務影響値算出処理S1011は終了し、上式から求めた業務影響値n+1を戻り
値(業務影響値)として、処理は図10に戻り、S1012の処理に進む。
This completes the business impact value calculation process S1011, and the business impact value n+1 calculated from the above formula is used as the return value (business impact value), and the process returns to FIG. 10 and proceeds to the process of S1012.

尚、対処支援装置100は、図10のS1017で対処命令を生成した場合(即ち、新たな対処を行った場合)、記憶している業務影響値nを、新たに求めた業務影響値n+1で更
新する。
When a countermeasure command is generated in S1017 of FIG. 10 (that is, when a new countermeasure is taken), the countermeasure support apparatus 100 updates the stored business impact value n with the newly calculated business impact value n+1 .

以上、詳細に説明したように、本実施形態のセキュリティ管理システム1は、対処案が業務に与える影響を評価し、影響が小さいと判定した場合は対処案を自動実施するので、業務に与える影響が小さい対処案については迅速に実施することができ、セキュリティ性能の向上を図ることができる。また、管理者2は意志表示をする必要がないため、その場合は管理者2の負担軽減を図ることができる。また、業務への影響が大きいと判定した場合は、管理者2の意志表示の内容(判断)に基づき対処案を実施するか否かが決定されるので、業務への影響を考慮しつつ不正通信に対して適切な対応を取ることができる。 As described above in detail, the security management system 1 of this embodiment evaluates the impact of a countermeasure plan on business operations, and if it is determined that the impact is small, it automatically implements the countermeasure plan, so that countermeasure plans that have a small impact on business operations can be implemented quickly, improving security performance. Furthermore, since the administrator 2 does not need to express an intention, in this case the burden on the administrator 2 can be reduced. Furthermore, if it is determined that the impact on business operations is large, a decision is made as to whether or not to implement the countermeasure plan based on the content (judgment) of the administrator 2's expression of intention, so that appropriate measures can be taken against unauthorized communications while taking into account the impact on business operations.

以上、実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれ、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることや、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。 Although the embodiments have been described above, the present invention is not limited to the above-described embodiments, and includes various modified examples, and is not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, or to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

1 セキュリティ管理システム、2 管理者、5 監視対象システム、10 情報処理装置、20 通信監視装置、100 対処支援装置、110 記憶部、120 システム情報管理部、130 検知情報受信部、140 対処案生成部、150 自動実施可否判定部、160 対処命令送信部、170 対処情報送信部、210 記憶部、211 業務装置情報テーブル、212 ホワイト通信テーブル、213 業務情報テーブル、214
制御情報テーブル、220 システム情報管理部、230 不正通信検知部、240 検知情報送信部、30 対処実行装置、310 記憶部、311 制御ロジックテーブル、320 対処情報受信部、330 制御ロジック構成部、340 制御コマンド送信部、40 管理者装置、43 対処系ネットワーク、50 制御サーバ、51 情報系ネットワーク、52 制御系ネットワーク、61 コントローラ、71 アクチュエータ、72 センサ、S1000 不正通信監視処理、S1011 業務影響値算出処理、1200 対処案実施可否指定画面
REFERENCE SIGNS LIST 1 security management system, 2 administrator, 5 monitored system, 10 information processing device, 20 communication monitoring device, 100 response support device, 110 storage unit, 120 system information management unit, 130 detection information receiving unit, 140 response plan generating unit, 150 automatic implementation feasibility determining unit, 160 response command transmitting unit, 170 response information transmitting unit, 210 storage unit, 211 business device information table, 212 white communication table, 213 business information table, 214
Control information table, 220 System information management unit, 230 Unauthorized communication detection unit, 240 Detection information transmission unit, 30 Countermeasure execution device, 310 Storage unit, 311 Control logic table, 320 Countermeasure information reception unit, 330 Control logic configuration unit, 340 Control command transmission unit, 40 Administrator device, 43 Countermeasure network, 50 Control server, 51 Information network, 52 Control network, 61 Controller, 71 Actuator, 72 Sensor, S1000 Unauthorized communication monitoring process, S1011 Business impact value calculation process, 1200 Countermeasure implementation possibility designation screen

Claims (15)

通信可能に接続された複数の業務装置を含んで構成される監視対象システムのセキュリティ管理を行うセキュリティ管理システムであって、
プロセッサ及びメモリを有する情報処理装置を用いて構成され、
前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶し、
前記監視対象システムにおいて行われる通信を監視し、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記監視対象システムが行う業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定する、
セキュリティ管理システム。
A security management system that performs security management of a monitored system including a plurality of business devices connected in a communicable manner,
The information processing device includes a processor and a memory.
storing information indicating a communication path used for communication between the business devices and a business communication importance level which is information indicating the importance of each of the communication paths;
Monitor communications taking place in the monitored system;
When unauthorized communication is detected in the monitored system,
Identifying a communication path used for the unauthorized communication, and identifying the extent of the impact of the unauthorized communication on the monitored system based on the identified communication path;
generating a countermeasure against the unauthorized communication based on the identified extent of the impact;
Identifying the communication path that may be affected when the countermeasure plan is implemented;
calculating an impact value, which is an index showing the degree of impact that the countermeasure plan has on the business performed by the monitored system , based on the business communication importance of the identified communication path;
determining whether to automatically implement the countermeasure plan based on the impact value;
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施する、
セキュリティ管理システム。
2. The security management system according to claim 1,
When it is determined that the countermeasure is to be automatically implemented, the countermeasure is automatically implemented.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定する、
セキュリティ管理システム。
2. The security management system according to claim 1,
If the impact value is less than a preset threshold value, it is determined that the countermeasure plan is to be automatically implemented, and if the impact value is equal to or greater than the threshold value, it is determined that the countermeasure plan is not to be automatically implemented.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理し、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求める、
セキュリティ管理システム。
2. The security management system according to claim 1,
managing a business operation status, which is information indicating whether the business using the communication path that may be affected when the countermeasure plan is implemented is currently in operation;
determining the impact value based on the business communication importance and the business operation state;
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正通信の前記対処案について求めた影響値を加算することにより求める、
セキュリティ管理システム。
2. The security management system according to claim 1,
When one or more countermeasures are currently being applied to the business, the impact value is calculated by adding an impact value calculated for the countermeasure for the newly detected unauthorized communication to a total value of the impact values of the countermeasures currently being applied.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
セキュリティ管理システム。
2. The security management system according to claim 1,
adjusting the influence value based on an influence criterion, which is a value preset for each of the tasks;
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記不正通信は、前記業務装置間の通信で利用可能な制御プロトコルを逸脱した通信、前記業務装置間の通信で利用可能な制御コマンド以外の制御コマンドを用いた通信、前記業務装置間の通信で利用可能な制御パラメータ以外の制御パラメータを用いた通信、及び、前記業務装置間の通信について予め設定された許容範囲を超える通信周期で行われた通信、のうちの少なくともいずれかである、
セキュリティ管理システム。
2. The security management system according to claim 1,
The unauthorized communication is at least one of a communication that deviates from a control protocol that can be used in communication between the business devices, a communication that uses a control command other than a control command that can be used in communication between the business devices, a communication that uses a control parameter other than a control parameter that can be used in communication between the business devices, and a communication that is performed in a communication cycle that exceeds a preset allowable range for communication between the business devices.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記対処案を自動実施しないと判定した場合、
前記対処案の内容をユーザインタフェースを介して提示し、
前記対処案を実施するか否かについての意志表示の入力を受け付け、
前記対処案を実施する旨の意志表示を受け付けた場合は前記対処案を実施する、
セキュリティ管理システム。
2. The security management system according to claim 1,
If it is determined that the countermeasure is not to be automatically implemented,
Presenting the content of the countermeasure plan via a user interface;
Accepting an input of an indication of intent as to whether or not to implement the countermeasure plan;
If an indication of intent to implement the countermeasure plan is received, the countermeasure plan is implemented.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記対処案は、特定した前記通信経路を利用して通信を行う前記業務装置が行っている業務を他の前記業務装置に代替させるものである、
セキュリティ管理システム。
2. The security management system according to claim 1,
The countermeasure plan is to substitute a business performed by the business device that communicates using the identified communication path with another business device.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記対処案は、特定した前記業務装置を自律制御に切り換え、当該業務装置を通信経路から切り離すものである、
セキュリティ管理システム。
2. The security management system according to claim 1,
The countermeasure plan is to switch the identified business device to autonomous control and to disconnect the business device from the communication path.
Security management systems.
プロセッサ及びメモリを有する情報処理装置が、
通信可能に接続された複数の業務装置を含んで構成される監視対象システムの前記業務装置の間の通信に利用される通信経路を示す情報と、前記通信経路の夫々の重要度を示す情報である業務通信重要度と、を記憶するステップ、
前記監視対象システムにおいて行われる通信を監視するステップ、
前記監視対象システムにおいて行われた不正通信を検知すると、
当該不正通信に利用されている通信経路を特定し、特定した通信経路に基づき当該不正通信が前記監視対象システムに与える影響範囲を特定し、
特定した前記影響範囲に基づき前記不正通信についての対処案を生成し、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を特定し、
特定した前記通信経路の前記業務通信重要度に基づき、前記対処案が前記監視対象システムが行う業務に与える影響の度合いを示す指標である影響値を求め、
前記影響値に基づき前記対処案を自動実施するか否かを判定するステップ、及び、
前記対処案を自動実施すると判定した場合に、前記対処案を自動実施するステップ、
を実行する、セキュリティ管理方法。
An information processing device having a processor and a memory,
A step of storing information indicating a communication path used for communication between business devices of a monitored system including a plurality of business devices communicatively connected to each other, and business communication importance, which is information indicating the importance of each of the communication paths;
monitoring communications taking place in the monitored system;
When unauthorized communication is detected in the monitored system,
Identifying a communication path used for the unauthorized communication, and identifying the extent of the impact of the unauthorized communication on the monitored system based on the identified communication path;
generating a countermeasure against the unauthorized communication based on the identified extent of the impact;
Identifying the communication path that may be affected when the countermeasure plan is implemented;
calculating an impact value, which is an index showing the degree of impact that the countermeasure plan has on the business performed by the monitored system , based on the business communication importance of the identified communication path;
determining whether to automatically implement the countermeasure plan based on the impact value; and
When it is determined that the countermeasure is to be automatically implemented, automatically implementing the countermeasure;
A security management methodology.
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記影響値が予め設定した閾値未満であれば前記対処案を自動実施すると判定し、前記影響値が前記閾値以上であれば前記対処案を自動実施しないと判定するステップ、
を更に実行する、セキュリティ管理方法。
12. A security management method according to claim 11, comprising:
a step of determining, by the information processing device, to automatically implement the countermeasure plan if the impact value is less than a preset threshold value, and determining, by the information processing device, not to automatically implement the countermeasure plan if the impact value is equal to or greater than the threshold value;
The security management method further comprises:
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、
前記対処案を実施した場合に影響を受ける可能性のある前記通信経路を利用する前記業務が現在稼働中であるか否かを示す情報である業務稼働状態を管理するステップ、及び、
前記影響値を、前記業務通信重要度及び前記業務稼働状態に基づき求めるステップ、
を更に実行する、セキュリティ管理方法。
12. A security management method according to claim 11, comprising:
The information processing device,
managing a business operation status, which is information indicating whether the business using the communication path that may be affected when the countermeasure plan is implemented is currently in operation; and
determining the impact value based on the business communication importance and the business operation state;
The security management method further comprises:
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記業務について一つ以上の対処案を現在適用中である場合に、前記影響値を、現在適用中の対処案の夫々の影響値の合計値に、新たに検知した前記不正通信の前記対処案について求めた影響値を加算することにより求めるステップ、
を更に実行する、セキュリティ管理方法。
12. A security management method according to claim 11, comprising:
a step of calculating the impact value by adding an impact value calculated for the countermeasure plan for the newly detected unauthorized communication to a total value of impact values of the countermeasure plans currently being applied when the information processing device is currently applying one or more countermeasure plans for the business;
The security management method further comprises:
請求項11に記載のセキュリティ管理方法であって、
前記情報処理装置が、前記業務毎に予め設定される値である影響基準に基づき前記影響値を調整する、
を更に実行する、セキュリティ管理方法。
12. A security management method according to claim 11, comprising:
the information processing device adjusts the influence value based on an influence criterion which is a value preset for each of the tasks;
The security management method further comprises:
JP2021171490A 2021-10-20 2021-10-20 Security management system and security management method Active JP7701851B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021171490A JP7701851B2 (en) 2021-10-20 2021-10-20 Security management system and security management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021171490A JP7701851B2 (en) 2021-10-20 2021-10-20 Security management system and security management method

Publications (3)

Publication Number Publication Date
JP2023061537A JP2023061537A (en) 2023-05-02
JP2023061537A5 JP2023061537A5 (en) 2024-03-28
JP7701851B2 true JP7701851B2 (en) 2025-07-02

Family

ID=86249771

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021171490A Active JP7701851B2 (en) 2021-10-20 2021-10-20 Security management system and security management method

Country Status (1)

Country Link
JP (1) JP7701851B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2026013711A1 (en) * 2024-07-08 2026-01-15 Astemo株式会社 Business integration system and management method for business integration system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037962A (en) 2016-09-01 2018-03-08 日本電信電話株式会社 Security countermeasure system and security countermeasure method
JP2018137500A (en) 2017-02-20 2018-08-30 日本電信電話株式会社 Security countermeasure design apparatus, security countermeasure proposal evaluation apparatus, security countermeasure proposal design method, and security countermeasure proposal evaluation method
JP2019080211A (en) 2017-10-26 2019-05-23 株式会社日立製作所 Countermeasure planning system and monitoring device for control system
JP2019205125A (en) 2018-05-25 2019-11-28 株式会社東芝 Abnormal factor determination device, control system, and abnormal factor determination method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037962A (en) 2016-09-01 2018-03-08 日本電信電話株式会社 Security countermeasure system and security countermeasure method
JP2018137500A (en) 2017-02-20 2018-08-30 日本電信電話株式会社 Security countermeasure design apparatus, security countermeasure proposal evaluation apparatus, security countermeasure proposal design method, and security countermeasure proposal evaluation method
JP2019080211A (en) 2017-10-26 2019-05-23 株式会社日立製作所 Countermeasure planning system and monitoring device for control system
JP2019205125A (en) 2018-05-25 2019-11-28 株式会社東芝 Abnormal factor determination device, control system, and abnormal factor determination method

Also Published As

Publication number Publication date
JP2023061537A (en) 2023-05-02

Similar Documents

Publication Publication Date Title
US20240195833A1 (en) System for automated capture and analysis of business information for security and client-facing infrastructure reliability
EP3979114A1 (en) Systems and methods for data lifecycle management with code content optimization and servicing
US9497072B2 (en) Identifying alarms for a root cause of a problem in a data processing system
US9497071B2 (en) Multi-hop root cause analysis
US8261018B2 (en) Managing data storage systems
US9276803B2 (en) Role based translation of data
US20100293316A1 (en) Migration of Switch in a Storage Area Network
US9854002B1 (en) Application centric compliance management system and method for a multi-level computing environment
CN103973488B (en) Operation management system based on RDP agreements and method
CA3083652C (en) Network capacity planning systems and methods
US11363072B1 (en) Identifying and mitigating vulnerable security policies
JP7701851B2 (en) Security management system and security management method
EP4435648A1 (en) Apparatuses, computer-implemented methods, and computer program products for improved remote access cybersecurity
CN120029848A (en) Optimization method, device, equipment and storage medium for database cluster management
US12153672B2 (en) Security management system and security management method
US20210382807A1 (en) Machine learning based application sizing engine for intelligent infrastructure orchestration
US12079066B1 (en) Method to estimate time to failure from sectional survival probabilities
US12181965B2 (en) Data center monitoring and management operation including data center alert prioritization by shaping rewards
US20240118669A1 (en) Management system for infrastructure of an industrial system
US12289215B2 (en) Data center monitoring and management operation including model drift prediction for automated model retraining and deployment
KR20180073918A (en) Factory Data Security Management Method by IoT-based Integrated Factory Management System
US11916773B1 (en) Data center monitoring and management operation including data center analytics outlier detection operation
US12181964B2 (en) Data center monitoring and management operation including data center analytics failure forecasting operation
US20260111289A1 (en) Web service resource scaling
US11895159B2 (en) Security capability determination

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240319

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250610

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250620

R150 Certificate of patent or registration of utility model

Ref document number: 7701851

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150