TOP > 国内特許検索 > 動的ゾーニングプラントシステム > 明細書

明細書 :動的ゾーニングプラントシステム

発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2016-158194 (P2016-158194A)
公開日 平成28年9月1日(2016.9.1)
発明の名称または考案の名称 動的ゾーニングプラントシステム
国際特許分類 H04L  12/28        (2006.01)
G05B  23/02        (2006.01)
H04L  12/46        (2006.01)
H04Q   9/00        (2006.01)
FI H04L 12/28 200M
G05B 23/02 V
H04L 12/46 200S
H04Q 9/00 301B
請求項の数または発明の数 4
出願形態 OL
全頁数 17
出願番号 特願2015-036148 (P2015-036148)
出願日 平成27年2月26日(2015.2.26)
発明者または考案者 【氏名】越島 一郎
【氏名】待井 航
【氏名】小池 正人
【氏名】青山 友美
【氏名】内田 拓郎
出願人 【識別番号】304021277
【氏名又は名称】国立大学法人 名古屋工業大学
審査請求 未請求
テーマコード 3C223
5K033
5K048
Fターム 3C223AA01
3C223BA04
3C223CC04
3C223DD03
3C223DD04
3C223EA07
3C223FF32
3C223GG01
3C223HH01
5K033AA06
5K033BA08
5K033DA02
5K033DB01
5K033DB20
5K033EA06
5K033EB07
5K033EB08
5K048AA06
5K048BA23
5K048DC03
5K048EB02
要約 【課題】プラントの機器のネットワーク接続を変更することによりインシデント被害の拡大の阻止と早期復旧を可能とする動的ゾーニングプラントシステムを提供する。
【解決手段】IT系システム3とローカルコントローラ群5との間に、LAN切り替え装置71と、ローカルコントローラ群監視装置72と、LAN分岐装置73を有し、ローカルコントローラ群5のネットワークの構成を動的に変更するするLAN切り替えシステム7を備える。さらに、ローカルコントローラ群5とフィールド機器群6との間のフィールドバス62に、フィールドバス切り替え装置81と、フィールド機器監視装置82と、フィールドバス分岐装置83を有し、ローカルコントローラ群5とフィールド機器群6をつなぐネットワークの構成を動的に変更するフィールドバス切り替えシステム8を備える。
【選択図】図1
特許請求の範囲 【請求項1】
インターネットに繋がるIT系システム(3)と、
前記IT系システム(3)に繋がるローカルコントローラ群(5)とフィールド機器群(6)を有する制御系システム(4)と、
を有する動的ゾーニングプラントシステム(1)において、
前記IT系システム(3)と前記ローカルコントローラ群(5)との間に、
前記ローカルコントローラ群(5)のネットワーク構成の変更のためのネットワークの動的変更を行う制御を行うLAN切り替え装置(71)と、
前記ローカルコントローラ群(5)の通信の監視するローカルコントローラ群監視装置(72)と、
前記ローカルコントローラ群(5)の通信を監視するLAN分岐装置(73)を有し、
前記ローカルコントローラ郡(5)のネットワークの構成を動的に変更するするLAN切り替えシステム(7)と、を備え、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)との間のフィールドバス(62)に、
前記フィールド機器群(6)のネットワーク構成の変更のためのネットワークの動的変更を行う制御するフィールドバス切り替え装置(81)と、
前記フィールド機器群(6)の通信の監視するフィールド機器監視装置(82)と、
前記フィールド機器群(6)の通信を監視するフィールドバス分岐装置(83)を有し、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)をつなぐネットワークの構成を動的に変更するフィールドバス切り替えシステム(8)と、を備え、
プラントの動作中であってもプラントのネットワーク構成を手動もしくは自動で変更できる前記LAN切り替えシステム(7)、または前記フィールドバス切り替えシステム(8)のいずれかを備えたことを特徴とする動的ゾーニングプラントシステム(1)。
【請求項2】
前記LAN切り替え装置(71)は、
前記ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、
自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、
前記ローカルコントローラ群監視装置(72)は、
前記LAN分岐装置(73)が傍受した通信から、
前記ローカルコントローラ群(5)の状態を監視し、
異常発生時、
前記ネットワーク構成変更手段(712)に対して、
ネットワークの構成を変更の命令をすることを特徴とする請求項1に記載の動的ゾーニングプラントシステム(1)。
【請求項3】
前記フィールドバス切り替え装置(81)は、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、
前記フィールド機器監視装置(82)は、
前記フィールドバス分岐装置(83)が傍受した通信から、
前記フィールド機器群(6)の状態を監視し、
異常発生時、
前記ネットワーク構成変更手段(812)に対して、
ネットワークの構成を変更の命令をすることを特徴とする請求項1または2に記載の動的ゾーニングプラントシステム(1)。
【請求項4】
前記ローカルコントローラ群監視装置(72)、および前記フィールド機器監視装置(82)は、正常時状態遷移表(9)を有し、異常判断を行っていることを特徴とする請求項1乃至3のいずれかに記載する動的ゾーニングプラントシステム(1)。








発明の詳細な説明 【技術分野】
【0001】
本発明は、プラントシステムのネットワークや接続構成を、生産プロセスを実行中であっても変更、つまりは動的な切り替えを可能にすることによりセキュリティやセーフティを向上させる技術に関する。
具体的には、現在主流のインターネットと接続されている一般的なプラントシステムは、IT系システムと制御系システムを備え、制御系はフィールドコントローラとローカルコントローラそれらの情報を監視するスーパーバイザリーシステムなどを備える。本発明は制御系システムに流れる通信を傍受することで、それらのシステムを監視し状態を把握することで、プラントシステムのネットワークや接続構成の変更を可能にする切り替え手段を有する動的ゾーニングプラントシステムに関する。システム構成の変更とはローカルコントローラやフィールド機器の接続を変更もしくは遮断することである。
【背景技術】
【0002】
ネットワークを切り替える技術は既に存在しており、ネットワークの設定をソフトウェアで切り替える技術とネットワークのLANの接続を物理的に切り替える装置が存在する。これらの技術はセキュリティ向上やネットワークのリソースの効果的な活用のために利用されている。またこの技術を活用したシステムとして特許文献1が挙げられる。
【0003】
特許文献1は、ネットワークに接続されたホストと、制御スイッチを備えたチャネルスイッチ装置、複数の記録媒体とロボット装置を格納したライブラリ装置からなる。ライブラリ制御システムはスイッチ装置がホストとドライブの接続の組み合わせを切り替え、さらにロボット装置が記録媒体とドライブの接続を切り替える仕組みを持つ動的ゾーニングプラントシステムが記載されている。これによりホストとドライブ装置の接続が変更可能になり、必要な時に動的にホストとドライブ装置の接続を変更することにより、複数のホストによりライブラリ装置を共有化して使用する場合に発生するデータ消失や破壊の防止などのセキュリティ向上を目的としている。
要するに最初から複数のホストによりライブラリ装置を共有化して使用する装置がありそれに対してセキュリティの向上を目的とした接続切り替え装置になる。
【0004】
特許文献1に記載されている技術は、ネットワークを切り替える技術ではなく、システムの装置の構成を動的に切り替える技術である。またこの特許技術が対象にしているシステムはライブラリ装置になる。この特許技術の効果もセキュリティ向上と利便性にある。
【0005】
現行のプラントのような制御系を用いたシステムはIT系システムと組み合わせて構成されている。また近年では、プラントシステムは利便性や生産効率向上の観点から、外部ネットワークへ接続されるようになってきた。しかしながら、制御系システムはセキュリティの観点を考慮して設計されておらず、セキュリティ対策が十分になされていない。その結果、ハッカーからのサイバー攻撃によってシステムをコントロールされてしまうという事例が発生している。ハッカーからのサイバー攻撃に対するセキュリティ向上策として、ゾーン分割という技術が存在する。これは制御系装置を複数のゾーンに分割し配置することでハッカーからの攻撃によって重大な事故を引き起こさせられる確率を下げ、サイバー攻撃による情報隠蔽工作を検知するためのものである。
【0006】
図7の従来の一般的なプラントシステムの動的ゾーニングプラントシステムの構成図を示しており、この図について説明する。図7が示すようにプラントシステムは大きくIT系システム3aと制御系システム4aに分割することができ、IT系システムは第1ゲートウェイ32aを通じて外部のインターネット2aと接続されている。
IT系システム3aにはインターネット2aに接続される外部ネットワーク31aと非武装地帯に接続されるネットワーク33aと内部ネットワーク34aに接続する第1ゲートウェイ32a、外部向けサービスサーバー35a、ワークステーション36a、OPCデータサーバー37a、データベースサーバー38a、内部ネットワーク34aと制御系システム4aを接続する第2ゲートウェイ39Aがある。
さらに制御系システム4aにはエンジニアリングワークステーション51a、SCADA52a、OPCサーバー53a、ローカルコントローラ54aが存在する。これらを今回の発明ではローカルコントローラ群5aとする。ローカルコントローラ54aの下位にフィールド機器61aがフィールドバス62aで接続され存在し、これらをフィールド機器群6aとする。
【0007】
図8は従来の通常時の一般的なプラントシステムの動作のフローチャートを示しており、図8に従い、一般的なプラントシステムの動作を説明する。
S100でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S101でオペレーターはプラントシステムを起動させる。S102でオペレーターは、SCADAを操作してOPCサーバーを経由してフィールド機器の設定値を入力する。S103でオペレーターはさきほど定義した生産プロセスを実行し、プラントシステムは生産プロセスにしたがって生産を行う。S104でプラントシステムは生産プロセスを完了し成果物を得る。
【0008】
制御系はインフラや工場などに使用されており、インシデントが発生すると被害総額や被害規模が大規模になる可能性がある。過去において制御系を備えたプラントシステムはネットワークと接続されていなかったため、サイバー攻撃を受けることはないと考えられていた。その結果、十分なセキュリティ対策が施されていない、また制御系システムではオペレーションを常時継続することを最優先するため、そのオペレーションを阻害する可能性のあるIT系のための既存のセキュリティ対策をそのまま適用できないという問題もある。例えば、制御系システムの代表であるプラントシステムなどは生産効率や安全性の観点から、インシデントが発生したからといって急にシステムを停止することが出来ないという問題がある。そのためIT系サイドだけでなく制御系サイドでの特徴を考慮したセキュリティ対策が求められている現状がある。
【先行技術文献】
【0009】

【特許文献1】特開2006-92166
【0010】
<nplcit num="1"> <text>Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems 2011/8/29Eric D. Knapp, Joel Thomas Langill</text></nplcit>
【発明の概要】
【発明が解決しようとする課題】
【0011】
従来の動的ゾーニングプラントシステムは、制御系を備えたプラントシステムがセキュリティ上の脆弱性を持っており、これに対して対策を行う必要がある。またその解決策は既存のIT系のセキュリティ対策ではなく制御系の特徴を踏まえたセキュリティ対策手法を提案すること。さらに制御系にインシデントが発生したとしても早期復旧や対策を行えるようにすることが本発明の解決しようとしている課題になる。
本発明は、動的ゾーニングプラントシステムであるプラントが生産プロセスを実行中であっても構成を変更させることでインシデント対応を行うことを目的とする。
【課題を解決するための手段】
【0012】
発明1は、インターネットに繋がるIT系システム(3)と、IT系システム(3)に繋がるローカルコントローラ群(5)とフィールド機器群(6)を有する制御系システム(4)と、を有する動的ゾーニングプラントシステム(1)において、IT系システム(3)とローカルコントローラ群(5)との間に、ローカルコントローラ群(5)のネットワーク構成の変更のためのネットワークの動的変更を行う制御を行うLAN切り替え装置(71)と、ローカルコントローラ群(5)の通信の監視するローカルコントローラ群監視装置(72)と、ローカルコントローラ群(5)の通信を監視するLAN分岐装置(73)を有し、ローカルコントローラ郡(5)のネットワークの構成を動的に変更するするLAN切り替えシステム(7)と、を備え、ローカルコントローラ群(5)とフィールド機器群(6)との間のフィールドバス(62)に、フィールド機器群(6)のネットワーク構成の変更のためのネットワークの動的変更を行う制御するフィールドバス切り替え装置(81)と、フィールド機器群(6)の通信の監視するフィールド機器監視装置(82)と、フィールド機器群(6)の通信を監視するフィールドバス分岐装置(83)を有し、ローカルコントローラ群(5)とフィールド機器群(6)をつなぐネットワークの構成を動的に変更するフィールドバス切り替えシステム(8)と、を備え、プラントの動作中であってもプラントのネットワーク構成を手動もしくは自動で変更できるLAN切り替えシステム(7)、またはフィールドバス切り替えシステム(8)のいずれかを備えたことを特徴とする動的ゾーニングプラントシステム(1)である。
発明2は、LAN切り替え装置(71)は、ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、ローカルコントローラ群監視装置(72)は、LAN分岐装置(73)が傍受した通信から、ローカルコントローラ群(5)の状態を監視し、異常発生時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1に記載の動的ゾーニングプラントシステム(1)である。
発明3は、フィールドバス切り替え装置(81)は、ローカルコントローラ群(5)とフィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、フィールド機器監視装置(82)は、フィールドバス分岐装置(83)が傍受した通信から、フィールド機器群(6)の状態を監視し、異常発生時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更
の命令をすることを特徴とする発明1または2に記載の動的ゾーニングプラントシステム(1)である。
発明4は、ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、正常時状態遷移表を有し、異常判断を行っていることを特徴とする発明1乃至3のいずれかに記載する動的ゾーニングプラントシステム(1)である。
【発明の効果】
【0013】
発明1は、動的ゾーニングプラントシステムに、LAN切り替えシステム(7)、またはフィールドバス切り替えシステム(8)のいずれかを有する動的ゾーニングプラントシステム(1)を提供することで、プラントシステムに、インシデントの発生、例えばハッカーからの攻撃やコンピュータウィルスの感染が発生した際、プラントシステムの構成を変更させるなどの対応をすることができる。よって、プラントシステムが稼働中の場合でも、生産を止めないで対策することが可能になる。
発明2は、LAN切り替えシステム(7)のLAN切り替え装置(71)は、ローカルコントローラ群(5)の状態を監視し、異常発生時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にローカルコントローラ群(5)の構成を変更できるようになり、インシデントの発生時にローカルコントロール群(5)の状態に合わせてネットワーク構成を変更することでインシデント対応を可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより攻撃を受けにくくすることができる。
発明3は、フィールドバス切り替えシステム(8)のフィールドバス切り替え装置(81)は、フィールド機器群(6)の状態を監視し、異常発生時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にフィールド機器群(6)の構成を変更できるようになり、インシデントの発生時にフィールド機器群(6)の状態に合わせてネットワーク構成を変更することでインシデント対応を可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより攻撃を受けにくくすることができる。
発明4は、ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、正常時状態遷移表(9)を有し、異常判断を行っている。正常時状態遷移表(9)は、生産プロセス実行によりローカルコントローラとフィールド機器の状態も変化するため、時系列順のローカルコントローラとフィールド機器の状態変化を表す。ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、傍受した情報から把握したローカルコントローラとフィールド機器の状態と比較し、一致していれば正常、一致していなければ異常であると判断する。これにより、ローカルコントローラとフィールド機器の状態の異常を、適格に判断することができる。
以上より、本発明の動的ゾーニングプラントシステム(1)の適用は、プラントシステムに対するインシデントが発生の際の復元性の向上やプラントシステムのセーフティとセキュリティの向上効果を有する。
具体的には、プラントシステムを稼働時に、さらに何らかのインシデントが発生した場合には不正規な情報が流れるためこれを監視、発見し、状況に応じてネットワーク構成の変更を行うことで被害の拡大を阻止することが可能になる。
【0014】
上記および特許請求の範囲における括弧内の符号は、特許請求の範囲に記載された用語と後述の実施形態に記載される当該用語を例示する具体物等との対応関係を示すものである。
【図面の簡単な説明】
【0015】
【図1】本発明の第1実施形態に係る動的ゾーニングプラントシステム1の概要図を示す。
【図2】LAN切り替えシステム7の構成図を示す。
【図3】フィールドバス切り替えシステム8の構成図を示す。
【図4】動的ゾーニングプラントシステム1の構成を元にしたインシデント発生時のフローチャートを示す。
【図5】ローカルコントローラ群5またはフィールド機器群6の正常時状態遷移表9を示す。
【図6】第2実施形態に係る動的ゾーニングプラントシステム1の正常時のフローチャートを示す。
【図7】従来のプラントシステムの概要図を示す。
【図8】従来の通常時の一般的なプラントシステムの動作のフローチャート示す。
【発明を実施するための形態】
【0016】
以下図面を参照にしながら本発明の実施形態を説明する。本発明は、以下の実施形態に限定されるものではなく、発明の範囲を逸脱しない限りにおいて、変更、修正、改良を加え得るものである。

【0017】
(第1実施形態)
図1は、本発明の第1実施形態に係る動的ゾーニングプラントシステム1の構成図を示す。図1に示すように、動的ゾーニングプラントシステムは、大きくIT系システム3と制御系システム4に分割することができ、IT系システムは第1ゲートウェイを通じて外部のインターネットに接続されている。この図の構成は参考特許文献から抜粋した図8とほぼ同じ構成になっている。
IT系システム3には外部ネットワーク31と非武装地帯33と内部ネットワーク34に接続する第1ゲートウェイ32、外部向けサービスサーバー35、ワークステーション36、OPCデータサーバー37、データベースサーバー38、内部ネットワーク34と制御系ネットワークを接続する第2ゲートウェイ39を有している。
さらに制御系システム4には一般的な制御系システムと同様にエンジニアリングワークステーション51、SCADA52、OPCサーバー53、ローカルコントローラ54、フィールド機器61、フィールドバス62を有している。
さらにローカルコントローラ群5の上部にLAN切り替えシステム7がある。ローカルコントローラ群5の内部にLAN切り替え装置71と、ローカルコントローラ群監視装置72とLAN分岐装置73を有している。
ローカルコントローラ群5とフィールド機器群6の間のフィールドバス62にフィールド機器監視システム8があり、フィールド機器監視システム8の内部にフィールド機器監視装置82とフィールドバス分岐装置83を有している。

【0018】
図2は、第1実施形態のLAN切り替えシステム7の詳細を表した図である。LAN切り替え装置71は、手動変更プログラム7121と自動変更プログラム7122を備えたネットワーク構成変更手段712とLAN切り替え手段711を備えている。このLAN切り替え手段711によりLAN切り替え装置71は第2ゲートウェイ36とエンジニアリングワークステーション51、SCADA52、OPCサーバー53、さらに複数のローカルコントローラ54が接続される。LAN切り替え装置71に接続されたローカルコントローラ群監視装置72は監視手段721と正常時切替手段722と異常時切替判定手段723を有する。ローカルコントローラ群監視装置72はLAN分岐装置73からの信号を受け取る。LAN分岐装置73はLAN切り替え装置71とローカルコントローラ群5の間に存在する。

【0019】
図3は、第1実施形態のフィールドバス切り替えシステム8の詳細を表した図である。フィールドバス切り替え装置81は、手動変更プログラム813と自動変更プログラム814を備えたネットワーク構成変更手段812とフィールドバス切り替え手段811を備えている。このフィールドバス切り替え手段811によりフィールドバス切り替え装置81は複数のローカルコントローラ52と複数のフィールド機器61が接続される。フィールドバス切り替え装置81に接続されたフィールド機器監視装置82は監視手段821と正常時切替手段822と異常時切替判定手段823を有する。フィールド機器監視装置82はフィールドバス分岐装置63からの信号を受け取る。フィールドバス分岐装置63はローカルコントローラ54とフィールド機器61の間に存在する。

【0020】
(機能)
図2を用いて、第1実施形態の動的ゾーニングプラントシステム1の機能について説明する。一般的なプラントシステムの機能と同様に動的ゾーニングプラントシステム1におけるIT系システム3の第2ゲートウェイ36の下位に存在する制御系システムはSCADA52を使用し、OPCサーバー53を介して情報をローカルコントローラ54へと送信する。ローカルコントローラ54はその情報を基に設定されたプロセスを遂行する。
エンジニアリングワークステーション51は生産プロセスの構築を行う機能を持ち、生産プロセスを稼働させる前に使用される。
IT系システムに存在するサーバー群は生産管理や生産計画の受注を行うためのものであり、そのため外部と情報のやりとりが必要になり、インターネットと接続される。
ローカルコントローラ54はフィールド機器61の制御を行い、フィールドバスを介してフィールド機器61に接続される。
ローカルコントローラ54は与えられた命令に従ってフィールド機器61をコントロールし、生産プロセスを実行する。
LAN切り替えシステムとフィールドバス切り替えシステムに関しては後述する。

【0021】
図3を用いて、第1実施形態のLAN切り替えシステム7の機能について説明する。
LAN切り替えシステム7はLAN切り替え手段711によってゲートウェイと複数のローカルコントローラ54、OPCサーバー53、SCADA52、エンジニアリングワークステーション51が接続される。ローカルコントローラ54とOPCサーバー53、SCADA52、エンジニアリングワークステーション51にはアドレスが与えられており、指定の場所に情報が受け渡すことが可能になっている。LAN切り替え装置71のネットワーク構成変更手段712によってネットワーク構成を変更することが可能である。この際の変更は手動変更プログラム7121と自動変更プログラム7122によって手動もしくは自動で行うことができ、切り替えは短時間で行われプラントシステムの生産プロセスを妨げることがないようになっている。変更を自動で行うためにローカルコントローラ群監視装置72はLAN分岐装置73と監視手段721によりローカルコントローラ群5が上部でやり取りする通信を監視しローカルコントローラとフィールド機器の状態を把握している。
また監視手段721は監視した通信からローカルコントロール群5が正常か異常かを判断する。正常時においては、正常時切替手段722が働きネットワーク構成変更手段712に構成を変更する命令を出す。
正常時切替手段722にはコントローラ群5の状態に応じたプラント構成が登録されており、コントローラ群5が正常時の特定の状態の時に登録されたプラント構成へと変更させる命令をネットワーク構成変更手段712に送る。
インシデントが発生した場合には、監視手段721は監視した通信をもとに異常を発見し、必要があれば異常時切替判定手段723が働きネットワーク構成変更手段712に構成を変更する命令を出す。
異常時切替判定手段723にはローカルコントローラ群5の異常な状態に応じたプラント構成が登録されており、ローカルコントローラ群5が登録された異常な状態になると、これに合わせたプラント構成を変更させる命令をネットワーク構成変更手段712に送る。
LAN分岐装置73はローカルコントローラ54とLAN切り替え装置71の間に存在しており、アドレスを持たないためハッカーからのネットワーク解析によって自身を発見させないようになっており、ローカルコントローラ54の通信を傍受しローカルコントローラ群監視装置72に情報を送る。

【0022】
図3を用いて、フィールドバス切り替えシステム8の機能について説明する。フィールドバス切り替えシステム8はフィールドバス切り替え手段811によって複数のローカルコントローラ54と複数のフィールド機器61が接続される。これによりローカルコントローラ54から指定のフィールド機器61に情報が受け渡すことが可能になっている。フィールドバス切り替え装置81のネットワーク構成変更手段812によってフィールド機器61の接続先は変更することが可能である。この際の変更は手動変更プログラム8121と自動変更プログラム8122によって手動もしくは自動で行うことができ、切り替えは短時間で行われプラントシステムの生産プロセスを妨げることがないようになっている。変更を自動で行うためにフィールド機器監視装置82はフィールドバス分岐装置83と監視手段821によりローカルコントローラ54とフィールド機器61でやりとりされる通信を監視し、各フィールド機器の状態を把握し、状態が変化したタイミングで自動変更プログラム8122に命令を出す。
また監視手段821は監視した通信からフィールド機器群6が正常か異常かを判断する。正常時においては、正常時切替手段822が働きネットワーク構成変更手段812に構成を変更する命令を出す。
正常時切替手段822にはフィールド機器群6の状態に応じたプラント構成が登録されており、フィールド機器群6が正常時の特定の状態の時に登録されたプラント構成へと変更させる命令をネットワーク構成変更手段812に送る。
インシデントが発生した場合には、監視手段821は監視した通信をもとに異常を発見し、必要があれば異常時切替判定手段823が働きネットワーク構成変更手段712に構成を変更する命令を出す。
異常時切替判定手段823にはコントローラ群5の異常な状態に応じたプラント構成が登録されており、フィールド機器群6が登録された異常な状態になると、これに合わせたプラント構成を変更させる命令をネットワーク構成変更手段812に送る。
フィールドバス分岐装置83はローカルコントローラ54とフィールド機器61の間のフィールドバス62に存在しており、アドレスを持たないためハッカーなどからのネットワーク解析によって自身を発見させないようになっており、フィールドバス62を流れる情報を傍受しフィールド機器監視装置82に情報を送る。

【0023】
ローカルコントローラ群監視装置72の監視手段721およびフィールド機器監視装置82における監視手段821がどのように正常か異常かを判断する方法を説明する。一例として図5は、プラントシステムのローカルコントローラ群5とフィールド機器群6の正常時の状態遷移を表している(以下、正常時状態遷移表9)。正常時状態遷移表9の最左列が生産プロセス実行による変化するステップ番号になり、最上行はプラントシステムを構成するローカルコントローラ群5とフィールド機器群6になる。即ち、正常時状態遷移表9は、生産プロセス実行によりローカルコントローラ群5とフィールド機器群6の状態も変化するため、時系列順のローカルコントローラ群5とフィールド機器群6の状態変化が分かるようになっている。正常時状態遷移表9の図5のセルの中に記述されている0や1はローカルコントローラ群5とフィールド機器群6の状態を示している。このように正常時状態遷移表9は、プラントシステムの正常な作動状態を数値で定義する。第1実施形態は0と1で表しているが、プラントの生産プロセスや機器の仕組みなどによってはもっと多くの状態があるため、正常時状態遷移表9は、0や1以外の数値が記述されることもあり得る。
監視手段721、821では事前にこの図のような正常時状態遷移表9の情報を所持しており、傍受した情報から把握したローカルコントローラ群5とフィールド機器群6の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。また一部でも一致しないことを確認した場合、異常であると判断する。正常時状態遷移表9は、監視手段721、821において、それぞれ異なる。

【0024】
(動作)
図4に従い、動的ゾーニングプラントシステム1のインシデント発生時の動作を説明する。
S200でオペレーターは動的ゾーニングプラントシステム1を起動させる。S201でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S202でオペレーターはSCADAを操作してOPCサーバーを経由してフィールド機器の設定値を入力する。S203でオペレーターはさきほど定義した生産プロセスを実行し、動的ゾーニングプラントシステム1は生産プロセスにしたがって生産を行う。
S204ではハッカーなどのサイバー攻撃によるインシデントが発生する。S205ではローカルコントローラ群監視装置72の監視手段721によって通信の異常を検知できたかどうかで分岐し、検知された場合S206へ(S205:YES)、検知されなかった場合S214へ進む(S205:NO)。異常状態か否かの判断は、監視手段721ではそれぞれローカルコントローラ群5に相当する正常時状態遷移表9の情報を所持しており、傍受した情報から把握したローカルコントローラ群5の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。S206では警告表示手段が監視手段によって検知された異常をオペレーターに告げる。S207ではローカルコントローラ群監視装置72によって検知された異常状態が異常時切替判定手段723に定義された切り替えの条件か否かで分岐し、定義された条件に合致した場合S208へ(S207:YES)、合致しなかった場合S211へ進む(S207:NO)。S208でローカルコントローラ群監視装置72の異常時切替判定手段723がLAN切り替え装置の自動変更プログラム7122を動かす命令を送る。S209でLAN切り替え装置の自動変更プログラム7122がインシデントに応じて実行されLAN切り替え手段711を用いてローカルコントローラの接続を変更し構成を変更する。S210で警告表示手段724がオペレーターに異常を検知し自動変更プログラム7122によって構成が変更されたことを表示して知らせる。S211で警告表示手段724がオペレーターに異常を検知したが構成が変更されなかったことを表示して知らせる。S212では自動的に切り替え装置が働かなかったとしても再度、オペレーターが動的ゾーニングプラントシステムの構成の変更が必要かどうかを判断し必要であると判断すればS213に移行(S212:YES)、必要でなければS214に移行する(S212:NO)。S213ではオペレーターは構成の変更を必要と判断したためLAN切り替え装置の手動変更プログラム7121を実行しLAN切り替え手段711を用いてローカルコントローラの接続5を変更し構成を変更する。S214ではプラントシステムは構成変更の有る無しにかかわらず定義された生産プロセスを継続する。
次に、S214ではフィールド機器監視装置82の監視手段821によって通信の異常を検知できたかどうかで分岐し、検知された場合S215へ(S214:YES)、検知されなかった場合S223へ進む(S214:NO)。異常状態か否かの判断は、監視手段821では、それぞれフィールド機器群6に相当する正常時状態遷移表9の情報を所持しており、傍受した情報から把握したフィールド機器群6の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。S215では警告表示手段824が監視手段821によって検知された異常をオペレーターに告げる。S216では監視装置82によって検知された異常状態が異常時切替判定手段823に定義された切り替えの条件か否かで分岐し、定義された条件に合致した場合S217へ(S216:YES)、合致しなかった場合S220へ進む(S216:NO)。S217で監視装置82の異常時切替判定手段823がフィールドバス切り替え装置81の自動変更プログラム8122を動かす命令を送る。S218でフィールドバス切り替え装置81の自動変更プログラム8122がインシデントに応じて実行されフィールドバス切り替え手段811を用いてフィールド機器の接続を変更し構成を変更する。S219で警告表示手段824がオペレーターに異常を検知し自動変更プログラム8122によって構成が変更されたことを表示して知らせる。S220で警告表示手段824がオペレーターに異常を検知したが構成が変更されなかったことを表示して知らせる。S221では自動的に切り替え装置が働かなかったとしても再度、オペレーターが動的ゾーニングプラントシステムの構成の変更が必要かどうかを判断し必要であると判断すればS222に移行(S221:YES)、必要でなければS223に移行する(S221:NO)。S222ではオペレーターは構成の変更を必要と判断したためフィールドバス切り替え装置の手動変更プログラム8121を実行しフィールドバス切り替え手段811を用いてフィールド機器群6の接続を変更し構成を変更する。S223ではプラントシステムは構成変更の有る無しに関わらず定義された生産プロセスを継続する。

【0025】
以上より、インシデントが発生し異常を検出し、自動変更プログラム7122、8122が実行されない場合、オペレーターがプラントを手動変更プログラム7121、8121で変更することになる。ただし、オペレーターが手動変更プログラム7121、8121を実行できなかったとしても、プラントの生産プロセスは既に実行されている場合急には、生産を停止することはできないため生産プロセスが継続される。

【0026】
(効果)
第1実施形態の動的ゾーニングプラントシステム1によって、インシデントが起こった際にプラントの機器のネットワーク接続を変更することにより被害の拡大の阻止と早期復旧を可能とする。

【0027】
LAN切り替え装置71のネットワーク構成変更手段712によって、ローカルコントローラ54の接続が変更されるとハッカーがサイバー攻撃を成功することがより困難になる。またネットワークから切り離すことにより攻撃の影響の範囲を限定することができる上に、隔離した状態でコントロールが可能になる。ハッカーのサイバー攻撃に対して早期に気付いた場合(例えば、マルウェア感染した場所がSCADAのみ、ハッカーによって侵入された端末がOPCサーバーのみなど)SCADAやOPCサーバーをネットワークから切り離すことで、安全性の確立と、早期マルウェア対応やハッカーをシャットアウトすることが可能になる。これらの切り替えはプラントの生産プロセスを実行中に可能であるため、生産プロセスを止めることなくインシデント対応が可能になる。

【0028】
LAN分岐装置73とフィールドバス分岐装置83は自身のアドレスを持たずに自身の存在するネットワークに流れる情報を傍受し、ローカルコントローラ群監視装置72またはフィールド機器監視装置82に受け渡す。これによりハッカーからはプラントシステムのローカルコントローラ群5とフィールド機器群6を監視していることを分からないようにしながら監視することができるためLAN分岐装置73とフィールドバス分岐装置83は攻撃を受けることなく確実に傍受し続けることが可能になる。

【0029】
ローカルコントローラ群監視装置72とフィールド機器監視装置82は、それぞれ監視手段721、821と異常時切替判定手段723、823を持ち、LAN分岐装置73とフィールドバス分岐装置83により傍受した通信を、監視手段721、821に定義された情報の状態と比較することで異常を発見することが可能である。また異常時切替判定手段723、823により発見した異常に合わせた適切な命令をネットワーク切り替え手段に送ることが可能である。

【0030】
(第2実施形態)
従来のプラントシステムでは、正常に稼働している場合、構成機器など変更の際には安全のためにプラントをいったん完全に停止させる必要があった。そのためプラント構成を変更させるためには停止から再稼働までの時間と停止したことによる生産効率の低下によるコストがかかる課題があった。第2実施形態は、プラントを停止することなく、プラントの構成を変更できるようにし、オペレーターの操作ミスやハッカーからのサイバー攻撃の予防をすることを目的とする。

【0031】
発明1により、これを行う動的ゾーニングプラントシステム(1)を提供することができる。
また、発明5は、LAN切り替え装置(71)は、ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、ローカルコントローラ群監視装置(72)は、LAN分岐装置(73)が傍受した通信から、前記ローカルコントローラ群(5)の状態を監視し、正常時に監視していた情報から、ローカルコントローラ群(5)の接続を変更すべきタイミングを判断し、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1に記載の動的ゾーニングプラントシステム(1)である。
発明5は、LAN切り替えシステム(7)のLAN切り替え装置(71)は、ローカルコントローラ群(5)の状態を監視し、正常時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にローカルコントローラ群(5)の構成を変更できるようになり、インシデントが発生しておらず生産プロセスが問題なく遂行されている正常時にローカルコントロール群(5)の状態に合わせてネットワーク構成を変更することを可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより、使っていない機器を切り離すなど必要性の薄い機器を変更する機能がある。よって、プラントシステムのサイバー攻撃に対する露出を最小限にする、人間による誤操作を防ぐ効果がある。
発明6は、フィールドバス切り替え装置(81)は、ローカルコントローラ群(5)とフィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、フィールド機器監視装置(82)は、フィールドバス分岐装置(83)が傍受した通信から、フィールド機器群(6)の状態を監視し、正常時に監視していた情報からフィールド機器群(6)の接続を変更すべきタイミングを判断し、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1または5に記載の動的ゾーニングプラントシステム(1)である。
発明6は、フィールドバス切り替えシステム(8)のフィールドバス切り替え装置(81)は、フィールド機器群(6)の状態を監視し、インシデントが発生しておらず生産プロセスが問題なく遂行されている正常時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にフィールド機器群(6)の構成を変更できるようになり、正常時にフィールド機器群(6)の状態に合わせてネットワーク構成を変更することを可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより、使っていない機器を切り離すなど必要性の薄い機器を変更する機能がある。よって、プラントシステムのサイバー攻撃に対する露出を最小限にする、人間による誤操作を防ぐ効果がある。

【0032】
図6に、第2実施形態に係る動的ゾーニングプラントシステム1正常時のフローチャートを示す。
まずS500でオペレーターは動的ゾーニングプラントシステム1を起動させる。S501でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S502でオペレーターはSCADAを操作してOPCサーバーを経由してフィールド機器群6の設定値を入力する。S503でオペレーターはさきほど定義した生産プロセスを実行し、動的ゾーニングプラントシステム1は生産プロセスにしたがって生産を行う。S504でローカルコントローラ群監視装置72の監視手段721が通信を監視し、正常状態であると判断する。S505でローカルコントローラ群監視装置72の正常時切替判定手段722によって切り替えの条件と照らし合わせネットワーク構成の変更の有無を判断し、必要であると判断すれば変更の命令を自動変更プログラム7122に対して行いS506に移行(S505:YES)、必要でなければS507に移行する(S505:NO)。S506でLAN切り替え装置71の自動変更プログラム7122が命令に従ってLAN切り替え手段711を用いてローカルコントローラ群5の接続を変更する。S507ではプラントシステムは構成の変更が有る無しに関わらず定義された生産プロセスを継続する。
次に、S508でフィールド機器監視装置82の監視手段821が通信を監視し、正常状態であると判断する。S509でフィールド機器監視装置82の正常時切替判定手段822によって切り替えの条件と照らし合わせネットワーク構成の変更の有無を判断し、必要であると判断すれば変更の命令を自動変更プログラム8122に対して行いS510に移行(S509:YES)、必要でなければS511に移行する(S509:NO)。
S510でフィールドバス切り替え装置81の自動変更プログラム8122が命令に従ってフィールドバス切り替え手段811を用いてフィールド機器群6の接続を変更する。S511ではプラントシステムは構成の変更が有る無しに関わらず定義された生産プロセスを継続する。
【産業上の利用可能性】
【0033】
(使用時の例1)
動的ゾーニングプラントシステム1のIT系システム3の部署にハッカーが潜り込みプラントシステムを破壊するマルウェアをOPCデータサーバーにアップロードした。マルウェアは通信のログなどを元にさらなるネットワーク情報を取得し、脆弱性を悪用して制御系システム内部のSCADAに侵入した場合の使用例である。マルウェアはSCADAからOPCサーバーを踏み台にしてローカルコントローラ54に不正規な命令を送った。LAN分岐装置73によって傍受された不正規な命令はローカルコントローラ群監視装置72に送られ監視手段を用いて異常を発見した。この異常を元に異常時切替判定手段723がLAN切り替え装置71のネットワーク構成変更手段を用いてローカルコントローラ54を素早くネットワークから独立させた。これによりマルウェアの影響の波及を抑えることができる。
(使用時の例2)
プラントシステムに対する攻撃が何件も報告されているというシチュエーションを仮定した場合である。こういったニュースが動的ゾーニングプラントシステム1の関係者の耳に入った時点で、念のためエンジニアリングワークステーション、SCADA、OPCサーバー、ローカルコントローラ54のアドレスや構成、ゾーン、さらにローカルコントローラ群5とフィールド機器群6の接続構成がネットワーク構成変更手段を用いて変更された。この攻撃は事前に内部の情報を取得したことで成功させるタイプの攻撃だったため、アドレス、ゾーンを変更することで攻撃対象を見失うことになり、ハッカーの思惑が外れた。これにより事前に攻撃を防ぐことができる。
(使用時の例3)
通常時においてオペレーターはSCADAを操作して、フィールド機器61に設定値を送り込んだ場合である。その後の生産プロセスにおいてこのフィールド機器61は操作を行う必要がないため、自動変更プログラムによってネットワークから切り離された。これにより、オペレーターが間違った操作をすることを防ぐことができ、またハッカーの攻撃の対象となりうる可能性を下げることができた。
【符号の説明】
【0034】
1 プラントシステム
2 インターネット
3 IT系システム
4 制御系システム
5 ローカルコントローラ群
6 フィールド機器群
7 LAN切り替えシステム
8 フィールドバス切り替えシステム
9 正常時状態遷移表
31 外部ネットワーク
32 第1ゲートウェイ
33 非武装地帯
34 内部ネットワーク
35 外部向けサービスサーバー
36 ワークステーション
37 OPCデータサーバー
38 データベースサーバー
39 第2ゲートウェイ
51 エンジニアリングワークステーション
52 SCADA
53 OPCサーバー
54 ローカルコントローラ
61 フィールド機器
62 フィールドバス
71 LAN切り替え装置
72 ローカルコントローラ群監視装置
73 LAN分岐装置
81 フィールドバス切り替え装置
82 フィールド機器監視装置
83 フィールドバス分岐装置
711 LAN切り替え手段
712 ネットワーク構成変更手段
7121 手動変更プログラム
7122 自動変更プログラム
721 監視手段
722 正常時判定手段
723 異常時判定手段
724 警告表示手段
811 フィールドバス切り替え手段
812 ネットワーク構成変更手段
8121 手動変更プログラム
8122 自動変更プログラム
821 監視手段
822 正常時判定手段
823 異常時判定手段
824 警告表示手段


図面
【図1】
0
【図2】
1
【図3】
2
【図4】
3
【図5】
4
【図6】
5
【図7】
6
【図8】
7