JP7808912B2 - Trust management device and trust management method - Google Patents
Trust management device and trust management methodInfo
- Publication number
- JP7808912B2 JP7808912B2 JP2022084320A JP2022084320A JP7808912B2 JP 7808912 B2 JP7808912 B2 JP 7808912B2 JP 2022084320 A JP2022084320 A JP 2022084320A JP 2022084320 A JP2022084320 A JP 2022084320A JP 7808912 B2 JP7808912 B2 JP 7808912B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- expected
- trust management
- entities
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、トラスト管理装置及びトラスト管理方法に関する。 The present invention relates to a trust management device and a trust management method.
近時、産業制御システム(ICS、Industrial Control System )に対しオープン技術を活用することが浸透しつつあるが、その反面、サイバーセキュリティの問題がより深刻化している。例えば、ICSに多くのIoT(Internet of Things)機器が導入されることによりIoT機器経由で不正なソフトウェアがICS内へ侵入する、サプライチェーン経由で不正なソフトウェアがICS内の各機器にインストールされる等、攻撃の侵入源も多様化している。一方で、ICSのDX(Digital Transformation)化を推進するためには、多様な技術を柔軟に取り入れるためのスケーラビリティ(拡張性)確保が必要不可欠であり、ICSにおいても、侵入を前提とした上でのセキュリティ対策が重要となっている。 In recent years, the use of open technologies in industrial control systems (ICS) has become more widespread, but at the same time, cybersecurity issues have become more serious. For example, as more and more IoT (Internet of Things) devices are introduced into ICS, the sources of attacks are diversifying, with malicious software entering the ICS via IoT devices and malicious software being installed on various devices within the ICS via the supply chain. Meanwhile, in order to promote DX (Digital Transformation) of ICS, it is essential to ensure scalability so that diverse technologies can be flexibly incorporated. Therefore, even in ICS, it is important to implement security measures that assume intrusions will occur.
また、エンタープライズ(大企業)向け情報システムを中心に、ゼロトラストの考えに基づくセキュリティ対策が浸透し始めている。この対策は、従来の境界防御ではなく「システムネットワークの内部に不正なソフトウェアが侵入した前提でセキュリティ防御策を設計する」という考えに基づき、エンドポイントでのセキュリティ強化や厳密なアクセス制御ポリシ管理を実施するセキュリティ対策である。 In addition, security measures based on the idea of zero trust are beginning to spread, particularly in enterprise (large company) information systems. These measures are based on the idea of "designing security defenses based on the assumption that malicious software has infiltrated the system network," rather than traditional perimeter defense, and involve strengthening security at endpoints and implementing strict access control policy management.
一方で、ICSは、エンタープライズ向け情報システムとは異なり、組込みコンピュータの処理性能が乏しい、リプレースやアップデート頻度がエンタープライズ向けシステムと比べて少ないといった点もある。このような点から、ゼロトラストアーキテクチャをICSにそのまま適用するのは課題が残る。したがって、すべてのエンドポイントでセキュリティ対策のための検証や制御を実施することが困難であり、前記の課題を踏まえた上で、ICSに適したトラスト管理アーキテクチャの実現が求められる。 However, unlike enterprise information systems, ICSs have poor embedded computer processing performance and are replaced or updated less frequently than enterprise systems. For these reasons, there are still challenges in applying zero trust architecture to ICSs as is. As a result, it is difficult to implement security verification and control measures at all endpoints, and a trust management architecture suitable for ICSs must be realized while taking these challenges into account.
トラスト管理を実現するためには、ICSにおける「トラスト」の定義の明確化と、ICSへの影響を最小化しつつ、ICSにおけるトラストを最大限評価するための仕組みが求められる。 To achieve trust management, it is necessary to clarify the definition of "trust" in ICS and to establish a mechanism for maximizing the evaluation of trust in ICS while minimizing the impact on ICS.
特許文献1の技術は、クライアントプラットフォームがネットワーク上にあるリソース又はサービスへアクセスすることを許可する前に、クライアントプラットフォームから受信した複数のインテグリティ情報を元に、その許可の可否を決定することができる。 The technology in Patent Document 1 can determine whether to allow a client platform to access resources or services on a network based on multiple pieces of integrity information received from the client platform before allowing that access.
特許文献1によれば、クライアントプラットフォームから受信した複数のインテグリティ情報を元にアクセス許可の可否を決定することができる。しかしながら、トラストを判断するためのインテグリティ情報を個別に定義する必要があり、最適化されたトラスト判断基準に関するデータベースをICS毎に用意する必要がある。さらに、オープン技術の活用により、ICSが複雑になるほど、データベースに格納すべきトラスト判断基準が複雑になる傾向があり、ICSにとって意味のある判断基準を厳選する必要がある。 According to Patent Document 1, access permission can be determined based on multiple pieces of integrity information received from the client platform. However, the integrity information used to determine trust must be defined individually, and a database of optimized trust criteria must be prepared for each ICS. Furthermore, as open technology becomes more complex, the trust criteria to be stored in the database tend to become more complex, making it necessary to carefully select criteria that are meaningful for the ICS.
非特許文献1は、トラスト(trustworthiness)を”Ability to meet stakeholders’ expectations in a verifiable way”と定義する。この定義に従って、ステークホルダ(ICS)が期待する性質を満足していることを測定可能な方法で実証又は検証することを「トラスト」と定義することも可能である。しかしながら、この場合、システム設計仕様や運用条件といった、ICSに求められる要件を厳選する必要があり、特許文献1では、その考慮が不十分である。 Non-Patent Document 1 defines trustworthiness as "the ability to meet stakeholders' expectations in a verifiable way." Following this definition, it is also possible to define "trust" as demonstrating or verifying in a measurable way that the properties expected by stakeholders (ICS) are met. However, in this case, it is necessary to carefully select the requirements for ICS, such as system design specifications and operating conditions, and Patent Document 1 does not take this into consideration sufficiently.
さらに、トラストを判定するための情報を収集するにあたり、クライアントから収集可能な情報が限られる場合もある。例えば、クライアントに情報収集用エージェントをインストールできない場合や、情報収集対象機器に対して様々な通信データを送信した後の応答を検証することによる情報収集(アクティブスキャン)を実行できない場合がICSでは多々存在する。 Furthermore, when collecting information to determine trust, there are cases where the information that can be collected from the client is limited. For example, there are many cases in ICS where it is not possible to install an information collection agent on the client, or where it is not possible to perform information collection (active scanning) by verifying responses after sending various communication data to the target device.
そこで本発明の目的は、これらの従来技術では解決できなかったICSにおけるトラストを踏まえた上で、ICSの運用への影響を最小化する方法で、トラストを判定するための情報を収集、評価するための仕組みを提供することである。 The object of this invention is to provide a mechanism for collecting and evaluating information to determine trust in ICS, taking into account issues that could not be resolved with these prior art technologies, in a way that minimizes the impact on ICS operation.
本発明のトラスト管理装置は、システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成し、前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集し、複数の前記期待仕様ごとに、計測可能なクライテリアを記憶しており、前記クライテリアに基づき、前記期待仕様を前記検知されたエンティティが充足する度合いを定性的な又は定量的な指標で評価し、前記クライテリアの根拠となった情報を入手又は追跡すること、を特徴とする。 The trust management device of the present invention generates expected specifications that the system expects from entities as system components from system design information or operation information, and collects information about entities detected in the system in a way that minimizes the impact on the system to a level that meets specified standards , storing measurable criteria for each of a plurality of expected specifications, evaluating the degree to which the detected entities fulfill the expected specifications based on the criteria using qualitative or quantitative indicators, and obtaining or tracking the information that served as the basis for the criteria .
本発明において、トラストは、システム(ICS)の情報処理及び運用に関与する装置、ユーザ、サブシステム、ソフトウェアといった要素(エンティティ)が、システムが備えるべき仕様を満足することを、実証可能、検証可能又は測定可能な方法で検証する能力として定義する。ここで、システムが備えるべき仕様とは、対象システムの設計仕様、及びシステム運用上の条件である。 In this invention, trust is defined as the ability to verify, in a demonstrable, verifiable, or measurable manner, that elements (entities) involved in the information processing and operation of a system (ICS), such as devices, users, subsystems, and software, satisfy the specifications that the system must meet. Here, the specifications that the system must meet are the design specifications of the target system and the conditions for system operation.
つまり、全体としてのシステム(ICS)が、自身を構成する個々のエンティティに対し所定の仕様を期待している。ここでのエンティティは、システムが既にアクセス済であるもの、及び、未だアクセスしていないものを含む。そして、システムがエンティティに期待する仕様は、「期待仕様」とも呼ばれ、そのエンティティが実際に備える仕様(エンティティに関する情報)とは区別される。もちろん、エンティティが実際に備える情報は、期待仕様と比較され得る。 In other words, the system (ICS) as a whole expects certain specifications from the individual entities that make up its structure. Entities here include those that the system has already accessed and those that it has not yet accessed. The specifications that the system expects from entities are also called "expected specifications," and are distinguished from the specifications that the entity actually possesses (information about the entity). Of course, the information that an entity actually possesses can be compared with the expected specifications.
ここで、システムの設計仕様は、非機能要件を含むシステム要求仕様書、システムのネットワーク情報や装置構成といったシステム構成仕様書等を含むシステムの設計情報を示す。 Here, system design specifications refer to system design information including system requirements specifications, which include non-functional requirements, and system configuration specifications, such as system network information and device configuration.
例えば、システムネットワークの非機能要件として「ネットワークに参加するノード間で暗号通信できること」が要求されているとする。このとき、ネットワークに参加するエンティティが暗号通信できることを自ら実証するか、システム側がそれを検証することで、初めてエンティティとシステムに関するトラスト関係が満たされる。このシステム要件は、システム設計文書から引用され、又は、システム管理者によって個別に定義される。 For example, suppose a non-functional requirement of a system network is that "encrypted communication is possible between nodes participating in the network." In this case, the trust relationship between the entity and the system is satisfied only when the entity participating in the network proves that it can communicate encrypted, or when the system verifies this. This system requirement can be taken from the system design document or defined individually by the system administrator.
また、システムの運用情報は、システムが置かれた環境や、システム利用者向けの運用マニュアルといった、システム運用に関する情報から構成される。例えば、システムがアプリケーションによって重要な制御プロセスの安全制御機能等を扱う場合、システムが扱うアプリケーションの重要性(問題発生時の深刻度合い)が、システムが置かれた環境の例となる。 In addition, system operational information consists of information about system operation, such as the environment in which the system is located and operation manuals for system users. For example, if a system handles safety control functions for important control processes using applications, the importance of the applications handled by the system (the severity of a problem when it occurs) would be an example of the environment in which the system is located.
本発明は、以上に示したシステムの設計情報及びシステムの運用情報から、システムがエンティティに対して期待する仕様(期待仕様)を生成することを特徴とするトラスト管理装置及びトラスト管理方法である。 The present invention is a trust management device and trust management method that generate specifications (expected specifications) that a system expects from entities from the system design information and system operation information described above.
さらに、本発明は、システム(ICS)への影響を最小化しつつ、システムの稼働状態を観測し、前記のトラストを判定するために必要な情報を最大限収集することを可能とする。その方法として本発明は、システムの稼働状態や機器特性を観測・評価し、観測・評価結果及び期待仕様を元に情報収集手段をスケジュール化することを特徴とする。 Furthermore, the present invention makes it possible to observe the system's operating status and collect the maximum amount of information necessary to determine the above-mentioned trust while minimizing the impact on the system (ICS). The method used in this invention is characterized by observing and evaluating the system's operating status and device characteristics, and scheduling information collection procedures based on the observation and evaluation results and expected specifications.
本発明によれば、ICSにおけるトラストを踏まえた上で、ICSの運用への影響を最小化する方法で、トラストを判定するための情報を収集、評価するための仕組みを提供することが可能となる。 The present invention makes it possible to provide a mechanism for collecting and evaluating information to determine trust in an ICS in a way that minimizes the impact on ICS operations.
<全体構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。
<Overall structure>
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
図1は、本実施形態の全体構成図である。産業制御システム(ICS)10は、ICSネットワーク11を介してトラスト管理装置100と接続されている。産業制御システム(ICS)10は、多くの構成要素(エンティティ)12~16を備える。トラスト管理装置100は、これらの構成要素が期待仕様を満たすか否かを、ゼロトラストの考え方に基づき決定する。 Figure 1 is an overall configuration diagram of this embodiment. An industrial control system (ICS) 10 is connected to a trust management device 100 via an ICS network 11. The industrial control system (ICS) 10 comprises many components (entities) 12-16. The trust management device 100 determines whether these components meet expected specifications based on the zero trust concept.
ICSネットワーク11に対して、トラスト管理装置100が接続されている。ICSネットワーク11には、制御装置等のシステムコンポーネント12が接続され、業務に係る処理を実行する。システムコンポーネント12には、システムコンポーネント12のハードウェアを制御するソフトウェア12-1がインストールされており、所定の情報処理機能を実行する。 A trust management device 100 is connected to the ICS network 11. System components 12, such as control devices, are connected to the ICS network 11 and perform business-related processing. Software 12-1 that controls the hardware of the system component 12 is installed in the system component 12, and performs specified information processing functions.
また、トラスト管理装置100に対してリモートアクセスし、トラスト管理装置100のユーザ(システム管理者)に対して操作処理を提供するリモート端末13も、ICSネットワーク11に接続されている。システム管理者は、トラスト管理装置100を用いた管理業務をリモート端末13経由で、又は、トラスト管理装置100が具備するローカルユーザインタフェース経由で実施する。 Also connected to the ICS network 11 is a remote terminal 13 that remotely accesses the trust management device 100 and provides operation processing to the user (system administrator) of the trust management device 100. The system administrator performs management tasks using the trust management device 100 via the remote terminal 13 or via a local user interface provided by the trust management device 100.
ICSネットワーク11には、ネットワーク負荷やICS10に接続する各情報処理装置の処理状態といったICS10に関する計算資源の状態を観測、収集する監視装置14が接続される。監視装置14には、例えばSCADA(Supervisory Control And Data Acquisition)やHistorianと呼ばれるICSコンポーネント(制御システム集中管理機能)等が該当する。 Connected to the ICS network 11 is a monitoring device 14 that observes and collects information about the status of computational resources related to the ICS 10, such as the network load and the processing status of each information processing device connected to the ICS 10. Examples of the monitoring device 14 include ICS components (centralized control system management functions) called SCADA (Supervisory Control And Data Acquisition) and Historian.
ICSネットワーク11には、ICSネットワーク11に新規に参加したエンティティや既に接続されている機器からトラスト判断に関する情報を収集するスキャン端末15も接続される。トラスト管理装置100は、スキャン端末15に対して、情報収集又はスキャン処理の実行を制御する権限を有している。 The ICS network 11 is also connected to a scan terminal 15, which collects information related to trust decisions from entities that have newly joined the ICS network 11 and from devices that are already connected. The trust management device 100 has the authority to control the scan terminal 15's information collection and execution of scan processing.
さらに、ICSネットワーク11には、トラスト管理装置100が指定するセキュリティ制御処理を実行するセキュリティ制御装置16が接続される。セキュリティ制御装置16は、ファイアウォールやIPS(Intrusion Prevention System)に代表されるネットワークやエンドポイントのアクセス制御(認証・認可・アカウンティング)をトラスト管理装置100の指示に従い実行する。セキュリティ制御装置16は、VLAN(Virtual Local Area Network)技術を活用したネットワーク分離、暗号通信制御等のセキュリティに係る制御処理をトラスト管理装置100の指示に従い実行する。 Furthermore, the ICS network 11 is connected to a security control device 16 that executes security control processes specified by the trust management device 100. The security control device 16 executes access control (authentication, authorization, and accounting) for networks and endpoints, such as firewalls and IPS (Intrusion Prevention Systems), in accordance with instructions from the trust management device 100. The security control device 16 executes security-related control processes, such as network separation using VLAN (Virtual Local Area Network) technology and encrypted communication control, in accordance with instructions from the trust management device 100.
<ハードウェア構成>
図2は、本実施形態におけるトラスト管理装置のハードウェア構成例を示す図である。本構成は、計算機における記憶領域に相当する記憶部101、計算処理を実行するCPU(Central processing Unit)104、プログラムやデータをロードし、計算処理を実行するためのデータを保持する揮発性記憶素子から構成される主記憶(メインメモリ)105、計算機とユーザ間でデータの遣り取りを担うユーザインタフェース106及び他計算機間の通信処理を担う通信処理部107を要素として含む。
<Hardware configuration>
2 is a diagram showing an example of the hardware configuration of the trust management device in this embodiment. This configuration includes, as elements, a storage unit 101 equivalent to a storage area in a computer, a CPU (Central Processing Unit) 104 that executes calculations, a main memory 105 consisting of volatile memory elements into which programs and data are loaded and which stores data for executing calculations, a user interface 106 that handles data exchange between the computer and the user, and a communication processing unit 107 that handles communication processing between other computers.
記憶部101は、トラスト管理に係る処理情報が格納されたプログラム102及びトラスト管理に関するデータを格納するデータベース103を含む。記憶部101には、例えば、HDD(Hard Disk Drive)やSDD(Solid State Drive)等の不揮発性記憶素子が該当する。 The storage unit 101 includes a program 102 that stores processing information related to trust management and a database 103 that stores data related to trust management. The storage unit 101 may be, for example, a non-volatile storage element such as a hard disk drive (HDD) or a solid state drive (SDD).
プログラム102は、CPU104が解読可能な言語で表現されたソフトウェアであり、トラスト管理装置100が提供する機能を実行する。なお、本構成は、物理的に存在するハードウェアに限らず、仮想化されたハードウェアにおいても実装され、ハードウェアブロックの実装形態は、物理的に存在するハードウェアに限らない。 Program 102 is software written in a language that can be deciphered by CPU 104, and executes the functions provided by the trust management device 100. Note that this configuration is not limited to physically existing hardware, but may also be implemented in virtualized hardware, and the implementation form of the hardware blocks is not limited to physically existing hardware.
ユーザインタフェース106は、コマンドベースで入力されるCLI(Command Line Interface)又はGUI(Graphical User Interface)で構成され、ユーザフレンドリーな形態である。
通信処理部107は、ICSネットワーク11と接続するためのネットワークインタフェースカード等である。通信形式は、有線ネットワークの場合もあれば無線ネットワークの場合もある。
The user interface 106 is configured as a command line interface (CLI) or a graphical user interface (GUI) that is input on a command basis, and is user-friendly.
The communication processing unit 107 is a network interface card or the like for connecting to the ICS network 11. The communication format may be a wired network or a wireless network.
<本発明におけるトラスト管理の仕組み>
以下に本発明の実施形態のトラスト管理の仕組みについて図面を用いて説明する。
<Trust management mechanism in the present invention>
The trust management mechanism according to the embodiment of the present invention will be described below with reference to the drawings.
<本発明における期待仕様生成の仕組み>
図3は、本実施形態における期待仕様生成処理の動作を示す図である。ユーザによる手動入力によって又はリモート端末13経由で、トラスト管理装置100にシステム設計情報301及びシステム運用情報302が入力され、トラスト管理装置100のユーザインタフェース106及び通信処理部107がそれらを受け付ける。つまり、システム設計情報301又はシステム運用情報302を所定の書式に従いユーザが文書として入力する。入力された情報は、トラスト管理装置100の主記憶105にロードされたプログラム102に読み込まれる。
<Mechanism for generating expected specifications in the present invention>
3 is a diagram showing the operation of the expected specification generation process in this embodiment. System design information 301 and system operation information 302 are input to the trust management device 100 either manually by the user or via the remote terminal 13, and are accepted by the user interface 106 and communication processing unit 107 of the trust management device 100. In other words, the user inputs the system design information 301 or system operation information 302 as a document in accordance with a predetermined format. The input information is read into the program 102 loaded into the main memory 105 of the trust management device 100.
プログラム102として、入力情報解析部311及び期待仕様生成部312が存在する。まず、入力情報解析部311は、システムの期待仕様生成に必要な情報を抽出する。次に、期待仕様生成部312は、入力された情報を元に期待仕様を生成する。期待仕様生成部312は、標準仕様DB(Data Base)313を参照し、期待仕様の生成に必要な追加情報を抽出する。 Program 102 includes an input information analysis unit 311 and an expected specification generation unit 312. First, the input information analysis unit 311 extracts the information necessary to generate the expected specifications of the system. Next, the expected specification generation unit 312 generates the expected specifications based on the input information. The expected specification generation unit 312 references a standard specification DB (Data Base) 313 and extracts additional information necessary to generate the expected specifications.
入力情報解析部311は、テンプレート化された入力を読み取り、タグ付けされた情報を抽出することで期待仕様を生成してもよいし、システム設計情報301をテキストマイニング処理することで、期待仕様の生成に必要な情報を抽出してもよい。 The input information analysis unit 311 may generate expected specifications by reading templated input and extracting tagged information, or it may extract information necessary to generate expected specifications by performing text mining on the system design information 301.
期待仕様は、システム設計情報301又はシステム運用情報302から生成されるが、期待仕様を生成するための情報が不十分である場合、期待仕様生成部312は、標準仕様DB313に格納された期待仕様テンプレートを参照し、期待仕様の不足を補う。その期待仕様テンプレートは、テンプレート単位で属性情報を紐づけることが可能であり、入力情報からトラスト管理対象システム(ICS10)の属性を判断できる場合は、その属性情報からテンプレートを抽出することもできる。 Expected specifications are generated from system design information 301 or system operation information 302, but if there is insufficient information to generate expected specifications, the expected specifications generation unit 312 references expected specification templates stored in the standard specifications DB 313 to make up for the deficiencies in the expected specifications. Attribute information can be linked to these expected specification templates on a template-by-template basis, and if the attributes of the trust management target system (ICS10) can be determined from the input information, a template can also be extracted from that attribute information.
例えば、「システムの重要度」という属性情報があり、その属性値が「高・中・低」で構成される場合、属性値が「高」の場合の期待仕様テンプレート、「中」の場合の期待仕様テンプレート、「低」の場合の期待仕様テンプレートが標準仕様DB313に格納される。期待仕様生成部312は、入力情報解析部311が解析した結果に基づき「システムの重要度」を決定し、該当する期待仕様テンプレートを抽出する。 For example, if there is attribute information called "system importance" and the attribute value is composed of "high, medium, low," an expected specification template for the attribute value "high," an expected specification template for the attribute value "medium," and an expected specification template for the attribute value "low" are stored in the standard specification DB 313. The expected specification generation unit 312 determines the "system importance" based on the results of the analysis by the input information analysis unit 311, and extracts the corresponding expected specification template.
図4Aは、本実施形態におけるシステム設計情報の入力画面を示す図である。システム設計情報301を入力する項目として、システム設計書やシステム要求仕様書等のシステム設計に関するドキュメントファイルを入力する項目や、個別にシステム情報を入力する項目が設けられる。ドキュメントファイルの例として、OA(Office Automation)業務で利用されるような文書作成ソフトウェア等で作成された文書(所定の書式に従う文書)が挙げられる。これら関連ファイルを複数入力することもできる。 Figure 4A is a diagram showing the system design information input screen in this embodiment. The system design information 301 input fields include fields for inputting document files related to system design, such as system design documents and system requirement specifications, as well as fields for inputting individual system information. Examples of document files include documents (documents that follow a specified format) created using document creation software used in OA (Office Automation) work. Multiple related files can also be input.
システム情報は、トラスト管理対象システムのネットワーク情報と資産情報とに区分して入力される。ネットワーク情報の例として、ネットワークトポロジーや、有線LAN、無線LAN、シリアルネットワーク等のネットワークの種類、ネットワークに参加するノード間の接続関係が挙げられる。 System information is entered separately as network information and asset information for the trust management system. Examples of network information include network topology, the type of network (wired LAN, wireless LAN, serial network, etc.), and the connection relationships between nodes participating in the network.
ネットワーク情報の入力方法として、テキストベースの定義ファイル用意し、当ファイルを入力してもよいし、GUIとして画面上に描画してもよい。資産情報も同様に、テキストベースの定義ファイルで入力されてもよいし、GUIとして入力されてもよい。資産情報は、例えば、資産名の他、エンティティの種類や下位カテゴリ、システムを実現する上でのエンティティの要求仕様定義情報から構成される。 Network information can be entered by preparing a text-based definition file and inputting this file, or by drawing it on the screen as a GUI. Similarly, asset information can be entered as a text-based definition file or as a GUI. Asset information consists of, for example, the asset name, as well as the entity type and subcategory, and the entity requirement specification definition information for realizing the system.
図4Bは、本実施形態におけるシステム運用情報の入力画面を示す図である。システム運用情報302を入力する項目として、システム運用マニュアルなどのシステム運用に関するドキュメントファイルを入力する項目や、個別にシステム運用に関する情報を入力する項目が設けられる。ドキュメントファイルの例として、OA(Office Automation)業務で利用されるような文書作成ソフトウェア等で作成された文書(所定の書式に従う文書)が挙げられる。図4Aに示したシステム設計情報入力時と同様、これら関連ファイルを複数入力することもできる。 Figure 4B is a diagram showing the system operation information input screen in this embodiment. The system operation information 302 input fields include a field for inputting document files related to system operation, such as a system operation manual, and a field for inputting individual information related to system operation. Examples of document files include documents (documents that follow a specified format) created using document creation software used in OA (Office Automation) tasks. As with the system design information input shown in Figure 4A, multiple related files can also be input.
また、システム運用に関して個別入力する場合、「システムのアプリケーション」や「システムの重要度」といった、システム運用や環境に関する個々の入力項目があり、それぞれ該当する項目が選択される。なお、これら個々のシステム運用情報の定義をテキストベースの定義ファイルで入力する方法もある。
図4A及び図4Bに示した画面は、リモート端末13又はトラスト管理装置100のローカルユーザインタフェース経由で表示される。
When entering individual information about system operations, there are individual input items related to system operations and the environment, such as "system application" and "system importance," and the appropriate item is selected. Note that there is also a method of entering the definitions of each of these system operation information items in a text-based definition file.
The screens shown in FIGS. 4A and 4B are displayed via the local user interface of the remote terminal 13 or the trust management device 100.
図5は、本実施形態における入力解析処理フローを示す図である。この入力解析処理は、トラスト管理装置100内のプログラム102(入力情報解析部311)にて実行される。 Figure 5 shows the input analysis processing flow in this embodiment. This input analysis processing is executed by program 102 (input information analysis unit 311) in the trust management device 100.
ステップS501において、入力情報解析部311は、ユーザインタフェース106又は通信処理部107からシステム設計情報301又はシステム運用情報302を受信し、その後、これらの入力情報を解析する。このとき、入力情報解析部311は、入力情報から、期待仕様を生成する上で必要なシステム構造モデルやオペレーション(運用)モデルの構築に必要とする情報を抽出する。 In step S501, the input information analysis unit 311 receives the system design information 301 or system operation information 302 from the user interface 106 or the communication processing unit 107, and then analyzes this input information. At this time, the input information analysis unit 311 extracts from the input information the information required to construct a system structure model and an operation model required to generate expected specifications.
ステップS502において、入力情報解析部311は、入力されたシステム設計情報301を元に、期待仕様となるシステム構造モデルを生成する。このシステム構造モデルは、複数の属性情報からなるメタデータとして定義される。 In step S502, the input information analysis unit 311 generates a system structure model that represents the expected specifications based on the input system design information 301. This system structure model is defined as metadata consisting of multiple attribute information.
ステップS503において、入力情報解析部311は、入力されたシステム運用情報302を元にオペレーションモデルを生成する。オペレーションモデルも、システム構造モデルと同様、複数の属性情報からなるメタデータとして定義される。 In step S503, the input information analysis unit 311 generates an operation model based on the input system operation information 302. Like the system structure model, the operation model is defined as metadata consisting of multiple attribute information.
ステップS504において、入力情報解析部311は、システム構造モデル及びオペレーションモデルを構造化データとして生成・出力する。この構造化データは、例えばXML(Extensible Markup Language)やJSON(JavaScript Object Notation)等の構造化データを表現するデータ形式で生成される。この構造化データは、必要に応じてファイルとして保存され、ユーザインタフェース106又はリモート端末13を介して参照可能である。 In step S504, the input information analysis unit 311 generates and outputs the system structure model and operation model as structured data. This structured data is generated in a data format that expresses structured data, such as XML (Extensible Markup Language) or JSON (JavaScript Object Notation). This structured data is saved as a file as needed and can be referenced via the user interface 106 or remote terminal 13.
図6は、本実施形態における期待仕様生成処理フローを示す図である。この期待仕様生成処理も、トラスト管理装置100内のプログラム102(期待仕様生成部312)にて実行される。本処理フローは、図5に示した処理により生成された構造化データを元に期待仕様を生成する。 Figure 6 shows the expected specification generation processing flow in this embodiment. This expected specification generation processing is also executed by program 102 (expected specification generation unit 312) in the trust management device 100. This processing flow generates expected specifications based on the structured data generated by the processing shown in Figure 5.
ステップS601において、期待仕様生成部312は、構造化データを解析し、期待仕様モデルの生成に必要な情報を抽出する。 In step S601, the expected specification generation unit 312 analyzes the structured data and extracts the information necessary to generate the expected specification model.
ステップS602において、期待仕様生成部312は、構造化データから抽出したシステム構造モデル及びオペレーションモデルから期待仕様モデルを生成する。この処理において、期待仕様生成部312は、システム構造モデル及びオペレーションモデルの情報をそのまま利用して期待仕様モデルを生成してもよいし、標準仕様DB313を参照し、テンプレート期待仕様を抽出することで期待仕様モデルを生成してもよい。 In step S602, the expected specification generation unit 312 generates an expected specification model from the system structure model and operation model extracted from the structured data. In this process, the expected specification generation unit 312 may generate the expected specification model by directly using the information in the system structure model and operation model, or may generate the expected specification model by referencing the standard specification DB 313 and extracting template expected specifications.
ステップS603において、期待仕様生成部312は、期待仕様モデルを元に、期待仕様に対する満足度合いを評価するためのクライテリア情報を標準仕様DB313から取得する。 In step S603, the expected specification generation unit 312 obtains criteria information for evaluating the degree of satisfaction with the expected specifications from the standard specification DB 313 based on the expected specification model.
ステップS604において、期待仕様生成部312は、期待仕様モデル及びクライテリアの取得に成功した後に期待仕様を出力する。 In step S604, the expected specification generation unit 312 outputs the expected specifications after successfully acquiring the expected specification model and criteria.
図7は、本実施形態における期待仕様一覧を示す図である。期待仕様一覧は、図3の標準仕様DB313に格納されている期待仕様テンプレートの一部であり、ポイント・ドメイン、トラスト対象、期待仕様及びクライテリアを相互に関連付けている。 Figure 7 shows the expected specification list in this embodiment. The expected specification list is part of the expected specification template stored in the standard specification DB 313 in Figure 3, and associates point domains, trust targets, expected specifications, and criteria with each other.
ポイント・ドメインは、トラスト管理対象システム上のネットワークやコンポーネント等である。
トラスト対象は、例えば、「制御情報ネットワーク」に対して接続するコンポーネント等の一覧である。
A point domain is a network, component, etc. on a trusted management system.
The trust target is, for example, a list of components connected to the "control information network."
期待仕様は、例えば「強固な暗号通信機能をサポートすること(NW-01)」といった、トラスト管理対象システムに対するシステム要求仕様の形で定義される。
クライテリアは、例えば、前記の期待仕様を例にとると、「TLS(Transport Layer Security)v1.3以上の公開鍵暗号処理機能を具備していることを確認する」、「AES(Advanced encryption standard)と同等の共通鍵暗号能を具備していることを確認する」等、システムの期待仕様を測定可能な方法で検証する手段として定義される。
The expected specifications are defined in the form of system requirements specifications for the trust management target system, such as "Supporting strong encryption communication functions (NW-01)."
For example, taking the above-mentioned expected specifications as an example, criteria are defined as a means of verifying the expected specifications of a system in a measurable manner, such as "confirming that the system has a public key encryption processing function of TLS (Transport Layer Security) v1.3 or higher" or "confirming that the system has a symmetric key encryption function equivalent to AES (Advanced encryption standard)."
なお、期待仕様は、トラストに関する様々な観点で整理されることもある。例えば、あるエンティティの期待仕様を真正性(Authenticity)、信頼性(Reliability)、保護性(Protectivity)、セキュリティ(Security)、品質(Quality)、強靭性(Resilience)等の特性に応じて定めることもできる。なお、期待仕様に関する特性は、前記の項目だけには限られない。 Note that expected specifications can also be organized from various perspectives related to trust. For example, expected specifications for an entity can be determined according to characteristics such as authenticity, reliability, protectivity, security, quality, and resilience. Note that characteristics related to expected specifications are not limited to the items mentioned above.
図8は、本実施形態におけるトラストレベル判定基準テーブルを示す図である。トラストレベル判定基準テーブルは、図7の期待仕様一覧における期待仕様及びクライテリアの組合せに対して、詳細検証方法及びトラストレベルの複数の組合せを関連付けている。トラストレベル判定基準テーブルもまた、図3の標準仕様DB313に格納されている期待仕様テンプレートの一部である。 Figure 8 shows the trust level determination criteria table in this embodiment. The trust level determination criteria table associates multiple combinations of detailed verification methods and trust levels with combinations of expected specifications and criteria in the expected specifications list in Figure 7. The trust level determination criteria table is also part of the expected specification template stored in the standard specification DB 313 in Figure 3.
詳細検証方法は、前記の通り、定義されたクライテリアに対して、測定可能な方法で検証する具体的な手段である。詳細検証方法として、例えば、「(システムの利用が許可された)信頼できるユーザによる手動入力」、「(対象となるコンポーネントに)TLS通信ライブラリを具備することをソフトウェアライブラリから確認」、「通信キャプチャ、またはアクティブスキャンによるTLSv1.3セッション確立の確認」等がある。 As mentioned above, detailed verification methods are specific means of verifying defined criteria in a measurable manner. Examples of detailed verification methods include "manual input by a trusted user (authorized to use the system)," "confirming from the software library that the TLS communication library is included (in the target component)," and "confirming the establishment of a TLS v1.3 session using communication capture or active scanning."
トラストレベルは、詳細検証方法による検証の結果を示す数値である。トラストレベルとしては、例えば、「信頼できるユーザによる手動入力」に対してトラストレベル「1」が規定される。「TLS通信ライブラリを具備することをソフトウェアライブラリから確認」に対してトラストレベル「2」が規定される。「通信キャプチャ、またはアクティブスキャンによるTLSv1.3セッション確立の確認」に対してトラストレベル「3」が規定される。トラストレベルは、レベル1、レベル2といった定性的な仕様であってもよいし、期待仕様に対する確からしさを示すパーセンテージ等の定量的な割合であってもよい。トラストレベルは、エンティティが期待仕様を充足する度合いでもあるともいえる。 The trust level is a numerical value that indicates the results of verification using the detailed verification method. For example, trust level "1" is defined for "manual input by a trusted user." Trust level "2" is defined for "confirmation from a software library that a TLS communication library is included." Trust level "3" is defined for "confirmation of TLSv1.3 session establishment using communication capture or active scanning." Trust level may be a qualitative specification such as level 1 or level 2, or may be a quantitative ratio such as a percentage indicating the likelihood of the expected specification. The trust level can also be said to be the degree to which an entity fulfills the expected specification.
図9は、本実施形態における情報スキャン制御動作を示す図である。トラスト管理装置100は、監視装置14からトラスト管理対象システムのシステム状態を、通信処理部107を介して取得する。このシステム状態は、SCADA、Historian、システムを構成する各情報処理装置のログ情報から取得するシステムの稼働状態情報、ネットワークの処理負荷状態情報、情報処理装置の処理負荷状態情報等を含む。 Figure 9 is a diagram showing the information scanning control operation in this embodiment. The trust management device 100 acquires the system status of the trust management target system from the monitoring device 14 via the communication processing unit 107. This system status includes system operating status information acquired from SCADA, Historian, and log information of each information processing device that makes up the system, network processing load status information, information on the processing load status of the information processing device, etc.
これらの情報から構成されるシステム状態を入力情報として、トラスト管理装置100内のプログラム102から主記憶105にロードされたシステム状態解析部911は、システム状態の解析処理を実行する。システム状態解析部911は、この解析結果として、システムや各情報処理装置の処理リソースを時間軸で見たときの変化を得る。 Using the system state composed of this information as input information, the system state analysis unit 911, which is loaded from program 102 in the trust management device 100 into main memory 105, executes a system state analysis process. As a result of this analysis, the system state analysis unit 911 obtains changes in the processing resources of the system and each information processing device over time.
情報収集スケジューラ912は、この解析結果及びトラスト管理対象システムのモデル情報を元に、期待仕様の満足度合いを評価するための情報収集スケジュールを策定する。データ収集指示部913は、情報収集スケジューラ912が策定した情報収集スケジュールに基づき、データ収集指示を生成する。データ収集指示は、ICSネットワーク11に参加する1台以上のスキャン端末15に対する指示である。データ収集指示部913は、通信処理部107を介して各スキャン端末15にデータ収集指示を送信する。 The information collection scheduler 912 formulates an information collection schedule for evaluating the degree of satisfaction with expected specifications based on the analysis results and model information of the trust management target system. The data collection instruction unit 913 generates a data collection instruction based on the information collection schedule formulated by the information collection scheduler 912. The data collection instruction is an instruction to one or more scan terminals 15 participating in the ICS network 11. The data collection instruction unit 913 transmits the data collection instruction to each scan terminal 15 via the communication processing unit 107.
図10は、本実施形態におけるトラストレベル判定動作を示す図である。ICSネットワーク11に接続する各スキャン端末15からの自動入力、又は、ユーザインタフェース106を介した手動入力により、検証対象エンティティに関する情報(エンティティ関連データ)がトラスト管理装置100に入力される。 Figure 10 shows the trust level determination operation in this embodiment. Information about the entity to be verified (entity-related data) is entered into the trust management device 100 by automatic input from each scanning terminal 15 connected to the ICS network 11 or by manual input via the user interface 106.
収集データ解析部1011は、入力されたエンティティ関連データを解析する。この解析は、図8で規定された詳細検証方法を満足する方法で実行される。
次に、トラストレベル判定部1012は、解析結果を元にトラストレベルを判定する。トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用して、規定された詳細検証方法を満足する度合いによりトラストレベルを判定する。
The collected data analysis unit 1011 analyzes the input entity-related data in a manner that satisfies the detailed verification method defined in FIG.
Next, the trust level determination unit 1012 determines the trust level based on the analysis result. The trust level determination unit 1012 determines the trust level based on the degree to which the specified detailed verification method is satisfied, using the trust level determination criteria table of FIG.
その後、通知・セキュリティ制御部1013は、トラストレベル判定結果を表示し、又は、セキュリティ制御内容を決定する。 The notification/security control unit 1013 then displays the trust level determination result or determines the security control content.
通知・セキュリティ制御部1013は、ユーザインタフェース106を介してトラスト管理装置100内のローカルユーザインタフェースに対して、又は、通信処理部107を介してリモート端末13に対して、トラストレベル判定結果を通知する。セキュリティ制御を実行する場合、通知・セキュリティ制御部1013は、通信処理部107を介してICSネットワーク11に接続する各セキュリティ制御装置16に対してセキュリティ制御指示を送信する。 The notification/security control unit 1013 notifies the trust level determination result to the local user interface within the trust management device 100 via the user interface 106, or to the remote terminal 13 via the communication processing unit 107. When executing security control, the notification/security control unit 1013 sends a security control instruction to each security control device 16 connected to the ICS network 11 via the communication processing unit 107.
図11は、本実施形態における新規エンティティ検知時の処理フローを示す図である。
ステップS1101において、収集データ解析部1011は、スキャン端末15からの通知、又は、ユーザからの手動入力により、ICSネットワーク11に参加する新規エンティティを検知する。
FIG. 11 is a diagram showing a processing flow when a new entity is detected in this embodiment.
In step S1101, the collected data analysis unit 1011 detects a new entity joining the ICS network 11 by notification from the scan terminal 15 or manual input from the user.
ステップS1102において、各スキャン端末15は、情報収集スケジューラ912が生成したデータ収集スケジュールに従い、新規エンティティに対して、情報スキャンを実行する。なお、監視装置14が出力するログ情報から、収集データ解析部1011部が新規エンティティの存在を検知する場合もある。 In step S1102, each scanning terminal 15 performs an information scan on the new entity in accordance with the data collection schedule generated by the information collection scheduler 912. Note that the collected data analysis unit 1011 may also detect the existence of a new entity from the log information output by the monitoring device 14.
ステップS1103において、収集データ解析部1011は、得られたスキャン結果を収集・解析する。
ステップS1104において、トラストレベル判定部1012は、図8のトラストレベル判定基準テーブルを使用し、これらの情報の解析結果及び新規エンティティに対する期待仕様から、トラストレベルを判定する。
ステップS1105において、トラストレベル判定部1012は、新規エンティティのトラストレベルを、システム管理者に対して通知する、又は、セキュリティ制御指示を生成し各セキュリティ制御装置16に通知する。
In step S1103, the collected data analysis unit 1011 collects and analyzes the obtained scan results.
In step S1104, the trust level determination unit 1012 uses the trust level determination criteria table of FIG. 8 to determine the trust level from the analysis results of this information and the expected specifications for the new entity.
In step S1105, the trust level determination unit 1012 notifies the system administrator of the trust level of the new entity, or generates a security control instruction and notifies each security control device 16 of it.
次に、本実施形態において、ICSへの影響を最小化する方法で情報スキャンする方法について述べる。 Next, we will describe a method for scanning information in this embodiment that minimizes the impact on the ICS.
図12は、本実施形態におけるスキャン切り替えタイミングを示す図である。例えば、システム状態としてのネットワーク負荷の時間変化を監視装置14が監視した結果、図12に示すグラフが得られたとする。一般に知られているように、スキャンの方法として、自ら通信データを生成しない受動的(パッシブ)スキャン、及び、自ら通信データを生成し、その応答を観測することができる能動的(アクティブ)スキャンが存在する。スキャン端末15は、これら2つの方法を切り替える。 Figure 12 is a diagram showing the timing of scan switching in this embodiment. For example, suppose that the graph shown in Figure 12 is obtained as a result of the monitoring device 14 monitoring the time change in network load as a system state. As is generally known, there are two types of scanning methods: passive scanning, which does not generate communication data itself, and active scanning, which generates communication data itself and can observe the response. The scanning terminal 15 switches between these two methods.
具体的には、スキャン端末15は、例えば、ピーク時点(ネットワーク負荷の極大点)においては、過剰な通信を発生させるアクティブスキャンを控え、過剰な通信を発生させないパッシブスキャンのみを実行する。スキャン端末15は、帯域が落ち着いた時点(ネットワーク負荷の極小点)においては、アクティブスキャンを実施する。 Specifically, for example, at peak times (maximum network load points), the scanning terminal 15 refrains from active scanning, which generates excessive communication, and only performs passive scanning, which does not generate excessive communication. When the bandwidth has settled down (minimum network load points), the scanning terminal 15 performs active scanning.
こうすることで、システム(ICS)の負荷が少ないタイミングで最大限情報を収集することが可能となる。ICSは、周期的に所定の処理を実行する場合が多く、この方式はICSへの影響を最小化する手段として有用である。なお、スキャン方式を切り替えるタイミングは、前記の例に限定されない。他の例として、動的にICSの状態を観測し、ネットワーク負荷が減少傾向にある場合にアクティブスキャンを実行するといった、JIT(Just-In-Time)型なスケジューリングもある。 This makes it possible to collect the maximum amount of information when the system (ICS) is under low load. ICSs often perform certain processes periodically, so this method is useful as a means of minimizing the impact on the ICS. Note that the timing for switching scanning methods is not limited to the example above. Another example is JIT (Just-In-Time) scheduling, which dynamically observes the status of the ICS and performs active scanning when the network load is decreasing.
さらに、スキャン対象の属性に応じて、スキャン方式を決定する方式もある。例えば、スキャン端末15は、計算リソースが充分に大きい産業用パーソナルコンピュータやサーバ機器といったホストデバイスに対しては、タイミングにかかわらずアクティブスキャンを実行する。スキャン端末15は、「保守」や「試運転」といったオペレーションモードの場合は、システム停止に繋がる業務影響は発生しないので、アクティブスキャンを常に実行する。 In addition, there is also a method for determining the scanning method depending on the attributes of the scan target. For example, the scanning terminal 15 performs active scanning regardless of the timing for host devices with sufficiently large computing resources, such as industrial personal computers and server equipment. When the scanning terminal 15 is in an operation mode such as "maintenance" or "trial run," there is no impact on business operations that could lead to a system shutdown, so it always performs active scanning.
図12において、スキャン端末15は、ネットワーク負荷の極小点においてアクティブスキャンを実行しているが、これは一例である。監視装置14は、ネットワーク負荷以外のシステム状態の時間変化を監視してもよい。スキャン端末15は、任意のシステム状態が厳密に極小値となるタイミングにのみアクティブスキャンを実行する必要はなく、システムへの影響が所定の基準を満たす程度に小さくなる方法(小さくする方法)でエンティティに関する情報を収集すればよい。なお、スキャン端末15は、ネットワーク負荷の接線の傾きを常時監視し、極小点及び極大点を判別してもよいし、ネットワーク負荷の過去の時系列変化を機械学習することによって、それらを判別してもよい。 In Figure 12, the scanning terminal 15 performs an active scan at a minimum point in the network load, but this is just one example. The monitoring device 14 may also monitor changes over time in system states other than the network load. The scanning terminal 15 does not need to perform an active scan only when a given system state is strictly at a minimum value; it may collect information about entities in a way that minimizes the impact on the system to a degree that meets specified standards. The scanning terminal 15 may constantly monitor the slope of the tangent to the network load to determine minimum and maximum points, or may determine these by machine learning past time-series changes in network load.
つまり、システムへの影響を小さくするため、トラスト管理装置1は、策定した情報収集スケジュールに従い、システム(ICS)内部にインストールされたスキャン端末15に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成する。 In other words, to minimize the impact on the system, the trust management device 1 generates scan instructions to selectively perform passive or active scans on the scan terminals 15 installed within the system (ICS) in accordance with the established information collection schedule.
トラスト管理装置100は、検知されたエンティティの属性情報、又は、システム(ICS)の運転状態に応じてパッシブスキャン又はアクティブスキャンを切り替えてもよい。例えば、スキャン端末15が2つ存在し、第1のスキャン端末が利用可能になるタイミング(第1のタイミング)の後に第2のスキャン端末が利用可能になるタイミング(第2のタイミング)が到来するとする。さらに、第1のスキャン装置よりも第2のスキャン端末のほうが多くの情報を収集可能であるとする。 The trust management device 100 may switch between passive scanning and active scanning depending on the attribute information of the detected entity or the operating status of the system (ICS). For example, suppose there are two scanning terminals 15, and the timing (first timing) when the first scanning terminal becomes available is followed by the timing (second timing) when the second scanning terminal becomes available. Furthermore, suppose the second scanning terminal is capable of collecting more information than the first scanning terminal.
この場合、トラスト管理装置100は、第2のタイミングまでは、検知されたエンティティが期待仕様を充足する度合いを第1のスキャン端末に暫定的に判定させる。そして、トラスト管理装置100は、第2のタイミングが到来した後に、検知されたエンティティが期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させる。 In this case, the trust management device 100 causes the first scanning terminal to provisionally determine the degree to which the detected entity satisfies the expected specifications until the second timing. Then, after the second timing arrives, the trust management device 100 causes the second scanning terminal to again determine the degree to which the detected entity satisfies the expected specifications.
図13は、本実施形態におけるトラスト管理装置の出力を示す図である。トラスト管理装置100は、図13に示した情報を、ユーザインタフェース106又はリモート端末13を介して出力する。トラスト管理装置100は、トラスト管理される対象エンティティ(図13の「対象」)毎に、エンティティのカテゴリ、期待仕様、トラストレベル、クライテリアの確認手段、及び、トラストレベルを判定した最終確認日時を出力する。 Figure 13 is a diagram showing the output of the trust management device in this embodiment. The trust management device 100 outputs the information shown in Figure 13 via the user interface 106 or the remote terminal 13. For each target entity ("Target" in Figure 13) subject to trust management, the trust management device 100 outputs the entity category, expected specifications, trust level, criteria confirmation means, and the last confirmation date and time when the trust level was determined.
ユーザは、トラストレベル又は最終確認日時を確認することで、トラスト管理の点で問題のあるエンティティを識別することが可能となる。また、クライテリアの確認手段として、トラスト管理装置100が管理する他のエンティティが関与することがある。 By checking the trust level or last confirmed date and time, users can identify entities with trust management issues. In addition, other entities managed by the trust management device 100 may be involved in verifying the criteria.
本実施形態におけるトラスト管理装置100は、あるエンティティのクライテリアを確認した他のエンティティを入手又は追跡することもできる。つまり、エンティティ1における期待仕様のクライテリアを確認する手段としてエンティティ2を利用した場合、エンティティ1の期待仕様は、エンティティ2によって検証できていると言える。 The trust management device 100 in this embodiment can also obtain or track other entities that have confirmed the criteria of a certain entity. In other words, if entity 2 is used as a means of confirming the criteria of the expected specifications of entity 1, it can be said that the expected specifications of entity 1 have been verified by entity 2.
換言すると、エンティティ2の期待仕様が満足できていないことが後で判明した場合、エンティティ1の期待仕様の妥当性も保証できなくなる。本実施形態におけるトラスト管理装置100は、前記のようなクライテリアを確認する手段をトレースする機能を有する。 In other words, if it is later discovered that the expected specifications of Entity 2 are not met, the validity of the expected specifications of Entity 1 cannot be guaranteed. The trust management device 100 in this embodiment has the ability to trace the means for verifying the above-mentioned criteria.
また、セキュリティ制御装置16に対して、セキュリティ制御処理の内容を、トラストレベル及び最終確認日時に合わせて決定することもできる。この場合、セキュリティ制御処理の内容も出力(図13の表)に含まれることとなる。なお、本実施形態におけるトラスト管理のプロセスは、ハードウェアとして存在する装置を例に示したが、実装形態はハードウェアに限られず、一連の手順を実行するものであれば何でもよい。例えば、クラウドコンピューティングを前提とする、何らかのプログラミング言語で記述された手順も適用できる。 The content of the security control process for the security control device 16 can also be determined based on the trust level and the last confirmation date and time. In this case, the content of the security control process will also be included in the output (table in Figure 13). Note that, although the trust management process in this embodiment is illustrated as an example of a device that exists as hardware, the implementation form is not limited to hardware and can be anything that executes a series of procedures. For example, procedures written in some programming language that assume cloud computing can also be applied.
なお、本発明は前記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、前記した実施例は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The present invention is not limited to the above-described embodiments, and includes various modifications. For example, the above-described embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those including all of the described configurations. Furthermore, it is possible to replace part of the configuration of one embodiment with the configuration of another embodiment, or to add the configuration of another embodiment to the configuration of one embodiment. Furthermore, it is possible to add, delete, or replace part of the configuration of each embodiment with other configurations.
また、前記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、前記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際には殆どすべての構成が相互に接続されていると考えてもよい。
Furthermore, the above-described configurations, functions, processing units, processing means, etc. may be partially or entirely implemented in hardware, for example, by designing them as integrated circuits. The above-described configurations, functions, etc. may also be implemented in software, with a processor interpreting and executing a program that implements each function. Information such as the programs, tables, and files that implement each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.
In addition, the control lines and information lines shown are those that are considered necessary for the explanation, and do not necessarily show all the control lines and information lines in the product. In reality, it can be assumed that almost all components are interconnected.
10 産業制御システム(ICS)
11 ICSネットワーク
12 システムコンポーネント(装置)
12-1 ソフトウェア
13 リモート端末
14 監視装置
15 スキャン端末
16 セキュリティ制御装置
100 トラスト管理装置
101 記憶部
104 CPU
105 主記憶
106 ユーザインタフェース
107 通信処理部
301 システム設計情報
302 システム運用情報
311 入力情報解析部
312 期待仕様生成部
313 標準仕様DB
911 システム状態解析部
912 情報収集スケジューラ
913 データ収集指示部
1011 収集データ解析部
1012 トラストレベル判定部
1013 通知・セキュリティ制御部
10. Industrial Control Systems (ICS)
11 ICS network 12 System components (devices)
12-1 Software 13 Remote terminal 14 Monitoring device 15 Scan terminal 16 Security control device 100 Trust management device 101 Storage unit 104 CPU
105 Main memory 106 User interface 107 Communication processing unit 301 System design information 302 System operation information 311 Input information analysis unit 312 Expected specification generation unit 313 Standard specification DB
911 System state analysis unit 912 Information collection scheduler 913 Data collection instruction unit 1011 Collection data analysis unit 1012 Trust level determination unit 1013 Notification and security control unit
Claims (7)
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集し、
複数の前記期待仕様ごとに、計測可能なクライテリアを記憶しており、
前記クライテリアに基づき、前記期待仕様を前記検知されたエンティティが充足する度合いを定性的な又は定量的な指標で評価し、
前記クライテリアの根拠となった情報を入手又は追跡すること、
を特徴とするトラスト管理装置。 Generate an expected specification that the system expects from entities as system components from the design information or operation information of the system;
collecting information about entities detected in the system for comparison with the expected specifications in a manner that minimizes impact on the system from the detected entities to a predetermined standard;
storing measurable criteria for each of the plurality of expected specifications;
evaluating the degree to which the detected entity satisfies the expected specification based on the criteria using qualitative or quantitative indicators;
Obtaining or tracing the information on which the criteria are based;
A trust management device comprising:
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集し、
SCADA(Supervisory Control And Data Acquisition)若しくはHistorianを含む制御システム集中管理機能を使用し、又は、前記システムを構成する情報処理装置が生成するログ情報を元に前記システムの状態を観測した結果を使用して情報収集スケジュールを策定し、
前記策定した情報収集スケジュールに従い、前記システム内部にインストールされたスキャン端末に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成し、
前記検知されたエンティティの属性情報、又は、前記システムの運転状態に応じてパッシブスキャン又はアクティブスキャンを切り替え、
第1のスキャン端末が利用可能になる第1のタイミングの後に、前記第1のスキャン端末よりも多くの情報を収集可能な第2のスキャン端末が利用可能になる第2のタイミングが到来する場合、前記第2のタイミングまで、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第1のスキャン端末に暫定的に判定させ、
前記第2のタイミングが到来した後に、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させること、
を特徴とするトラスト管理装置。 Generate an expected specification that the system expects from entities as system components from the design information or operation information of the system;
collecting information about entities detected in the system for comparison with the expected specifications in a manner that minimizes impact on the system from the detected entities to a predetermined standard;
A control system centralized management function including SCADA (Supervisory Control And Data Acquisition) or Historian is used, or an information collection schedule is formulated using the results of observing the status of the system based on log information generated by an information processing device that constitutes the system,
Generate a scan instruction for selectively performing a passive scan or an active scan on a scanning terminal installed in the system according to the established information collection schedule;
Switching between passive scanning and active scanning according to attribute information of the detected entity or an operating state of the system;
If a second time comes when a second scanning terminal that can collect more information than the first scanning terminal becomes available after a first time when the first scanning terminal becomes available, the first scanning terminal is caused to provisionally determine a degree to which the detected entity satisfies the expected specification until the second time comes;
causing the second scanning terminal to again determine the degree to which the detected entity meets the expected specifications after the second timing has arrived;
A trust management device comprising:
を特徴とする請求項1又は2に記載のトラスト管理装置。 Accepting design information or operation information of the system as a document input by a user in accordance with a predetermined format;
3. The trust management device according to claim 1 or 2, wherein:
を特徴とする請求項1又は2に記載のトラスト管理装置。 generating the expected specifications by referring to a database in which the expected specifications are templated according to the classification of the components that make up the system;
3. The trust management device according to claim 1 or 2, wherein:
前記検知されたエンティティが前記期待仕様を充足する度合いを判定した結果を元に、前記システム内にインストールされたセキュリティ制御装置に対して指令を生成すること、
を特徴とする請求項1又は2に記載のトラスト管理装置。 notifying a result of determining the degree to which the detected entity satisfies the expected specifications to a user interface of the trust management device or to an external device of the trust management device via a communication interface;
generating a command to a security controller installed in the system based on the result of determining the degree to which the detected entity satisfies the expected specification;
3. The trust management device according to claim 1 or 2, wherein:
システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成するステップと、
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集するステップと、
複数の前記期待仕様ごとに記憶された計測可能なクライテリアに基づき、前記期待仕様を前記検知されたエンティティが充足する度合いを定性的な又は定量的な指標で評価するステップと、
前記クライテリアの根拠となった情報を入手又は追跡するステップと、
を実行することを特徴とするトラスト管理方法。 The trust management device
A step of generating an expected specification that the system expects from entities as system components from design information or operation information of the system;
collecting information about entities detected in the system for comparison with the expected specifications in a manner that minimizes impact on the system from the detected entities to a predetermined standard;
evaluating the degree to which the detected entity satisfies the expectations based on measurable criteria stored for each of the expectations, using a qualitative or quantitative indicator;
obtaining or tracking the information on which the criteria are based;
A trust management method comprising:
システムの設計情報又は運用情報から、前記システムがシステム構成要素としてのエンティティに期待する期待仕様を生成するステップと、
前記期待仕様と比較するための情報であって、前記システムに検知されたエンティティに関する情報を、前記検知されたエンティティから、前記システムへの影響が所定の基準を満たす程度に小さくなる方法で収集するステップと、
SCADA(Supervisory Control And Data Acquisition)若しくはHistorianを含む制御システム集中管理機能を使用し、又は、前記システムを構成する情報処理装置が生成するログ情報を元に前記システムの状態を観測した結果を使用して情報収集スケジュールを策定するステップと、
前記策定した情報収集スケジュールに従い、前記システム内部にインストールされたスキャン端末に対して、パッシブスキャン又はアクティブスキャンを選択的に実行するスキャン指示を生成するステップと、
前記検知されたエンティティの属性情報、又は、前記システムの運転状態に応じてパッシブスキャン又はアクティブスキャンを切り替えるステップと、
第1のスキャン端末が利用可能になる第1のタイミングの後に、前記第1のスキャン端末よりも多くの情報を収集可能な第2のスキャン端末が利用可能になる第2のタイミングが到来する場合、前記第2のタイミングまで、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第1のスキャン端末に暫定的に判定させるステップと、
前記第2のタイミングが到来した後に、前記検知されたエンティティが前記期待仕様を充足する度合いを前記第2のスキャン端末に再度判定させるステップと、
を実行することを特徴とするトラスト管理方法。 The trust management device
A step of generating an expected specification that the system expects from entities as system components from design information or operation information of the system;
collecting information about entities detected in the system for comparison with the expected specifications in a manner that minimizes impact on the system from the detected entities to a predetermined standard;
Formulating an information collection schedule using a control system centralized management function including SCADA (Supervisory Control And Data Acquisition) or Historian, or using results of observing the state of the system based on log information generated by information processing devices that constitute the system;
generating a scan instruction for selectively performing passive scanning or active scanning on a scanning terminal installed in the system according to the established information collection schedule;
switching between passive scanning and active scanning according to attribute information of the detected entity or the operating state of the system;
If a second time comes when a second scanning terminal that can collect more information than the first scanning terminal becomes available after a first time when the first scanning terminal becomes available, causing the first scanning terminal to provisionally determine the degree to which the detected entity satisfies the expected specifications until the second time comes;
after the second timing has arrived, causing the second scanning terminal to again determine the degree to which the detected entity meets the expected specifications;
A trust management method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022084320A JP7808912B2 (en) | 2022-05-24 | 2022-05-24 | Trust management device and trust management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022084320A JP7808912B2 (en) | 2022-05-24 | 2022-05-24 | Trust management device and trust management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023172481A JP2023172481A (en) | 2023-12-06 |
| JP7808912B2 true JP7808912B2 (en) | 2026-01-30 |
Family
ID=89029228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022084320A Active JP7808912B2 (en) | 2022-05-24 | 2022-05-24 | Trust management device and trust management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7808912B2 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010011400A (en) | 2008-06-30 | 2010-01-14 | National Institute Of Advanced Industrial & Technology | Cipher communication system of common key system |
| JP2014182577A (en) | 2013-03-19 | 2014-09-29 | Mitsubishi Electric Corp | Data collecting/recording device, management system, data collecting/recording method and data collecting/recording program |
| JP2015191523A (en) | 2014-03-28 | 2015-11-02 | 富士通株式会社 | Configuration management apparatus, configuration management system, and configuration management program |
| WO2021205655A1 (en) | 2020-04-10 | 2021-10-14 | 三菱電機株式会社 | On-vehicle control system and abnormality diagnosis method |
-
2022
- 2022-05-24 JP JP2022084320A patent/JP7808912B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010011400A (en) | 2008-06-30 | 2010-01-14 | National Institute Of Advanced Industrial & Technology | Cipher communication system of common key system |
| JP2014182577A (en) | 2013-03-19 | 2014-09-29 | Mitsubishi Electric Corp | Data collecting/recording device, management system, data collecting/recording method and data collecting/recording program |
| JP2015191523A (en) | 2014-03-28 | 2015-11-02 | 富士通株式会社 | Configuration management apparatus, configuration management system, and configuration management program |
| WO2021205655A1 (en) | 2020-04-10 | 2021-10-14 | 三菱電機株式会社 | On-vehicle control system and abnormality diagnosis method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023172481A (en) | 2023-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2023220143B2 (en) | System and method for implementing an artificial intelligence security platform | |
| US12003524B2 (en) | Cloud-based cybersecurity management of hierarchical network groups | |
| US11627054B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10467426B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| CN107409134B (en) | Forensic Analysis Methods | |
| WO2016018382A1 (en) | Creating a security report for a customer network | |
| EP4435648B1 (en) | Apparatuses, computer-implemented methods, and computer program products for improved remote access cybersecurity | |
| JP7808912B2 (en) | Trust management device and trust management method | |
| JP6690674B2 (en) | Unauthorized access detection system, unauthorized access detection method and unauthorized access detection program | |
| US20250023892A1 (en) | Determining the impact of malicious processes in it infrastructure | |
| CN115085956A (en) | Intrusion detection method and device, electronic equipment and storage medium | |
| Zou et al. | Autocvss: An approach for automatic assessment of vulnerability severity based on attack process | |
| Buecker et al. | IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager | |
| Horan | Open-source intelligence investigations: Development and application of efficient tools | |
| JP6369249B2 (en) | Unauthorized access detection system, unauthorized access detection method and unauthorized access detection program | |
| Karlzén | An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis | |
| De Marco et al. | Digital evidence management, presentation, and court preparation in the cloud: a forensic readiness approach | |
| US12413610B1 (en) | Assessing security of service provider computing systems | |
| US20240346168A1 (en) | Data Center Monitoring and Management Operation for Discovering, Analyzing and Remediating Sensitive Data Center Data | |
| US20240089283A1 (en) | System and method for centralized cybersecurity configuration compliance management | |
| Zhou | Security risk analysis based on data criticality | |
| Eyers et al. | Configuring large‐scale storage using a middleware with machine learning | |
| EP4483266A1 (en) | Document open detection and remediation | |
| CN120874052A (en) | Method, computing system, and computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20241114 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250904 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20251014 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20251128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20260106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20260116 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7808912 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |