TOP特許意匠商標
特許ウォッチ Twitter
10個以上の画像は省略されています。
公開番号2025015459
公報種別公開特許公報(A)
公開日2025-01-30
出願番号2024111611
出願日2024-07-11
発明の名称セキュリティ機能実行デバイス
出願人株式会社日立製作所
代理人弁理士法人サンネクスト国際特許事務所
主分類G06F 21/57 20130101AFI20250123BHJP(計算;計数)
要約【課題】システム構成の変更および追加の更新を伴わずに、レガシーなオペレーショナルテクノロジー(OT)システムにおいてセキュリティ機能を実行するデバイス及び方法を提供する。
【解決手段】通信システム20において、ネットワークスイッチ110を介して複数のノード(GW120、HMI130,PLC140、PLC150)と通信してセキュリティ機能を実行するデバイス100は、ネットワークと通信している複数のノードの属性を識別し、属性に基づいて、複数のノードのうち各ノードのクリティカリティを判定し、複数のノードのうち非クリティカルであると判定されたノード(例えばGW120、HMI130)との間の通信を仲介し、仲介された通信に対してセキュリティ機能を実行する。
【選択図】図1
特許請求の範囲【請求項1】
ネットワークと通信するセキュリティ機能実行デバイスであって、
プロセッサを備え、前記プロセッサが、
前記ネットワークと通信している複数のノードの属性を識別し、
前記属性に基づいて、前記複数のノードのうち各ノードのクリティカリティを判定し、
前記複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された前記通信に対してセキュリティ機能を実行する
ように構成された、デバイス。
続きを表示(約 2,000 文字)【請求項2】
前記属性に基づいて前記複数のノードのうち各ノードのクリティカリティを判定することが、
前記複数のノードのうち外部ネットワークに接続されているノードに関して、前記ノードのクリティカリティを非クリティカルと判定することと、
前記複数のノードのうちフィールド制御のアプリケーションを有するノードに関して、前記ノードのクリティカリティをクリティカルと判定することと、
前記複数のノードのうちフィールド制御以外のアプリケーションを有するノードに関して、前記ノードのクリティカリティを非クリティカルと判定することと
を含む、請求項1に記載のデバイス。
【請求項3】
前記複数のノードのうちクリティカルであると判定されたノードに関して、前記ノードを通信仲介から除外することをさらに含む、請求項2に記載のデバイス。
【請求項4】
前記属性に基づいて前記複数のノードのうち各ノードのクリティカリティを判定することが、
前記複数のノードのうちビジネスオペレーションのクリティカルプロセスと関連付けられたノードに関して、前記ノードのクリティカリティをクリティカルと判定し、
前記複数のノードのうちリソース閾値未満のコンピューティングリソースを有するものとして判定されたノードに関して、前記ノードのクリティカリティをクリティカルと判定し、
前記複数のノードのうちビジネスオペレーションのクリティカルプロセスと関連付けられないノードに関して、前記ノードのクリティカリティを非クリティカルと判定し、
前記複数のノードのうち前記リソース閾値以上のコンピューティングリソースを有するものとして判定されたノードに関して、前記ノードのクリティカリティを非クリティカルと判定することと
を含む、請求項1に記載のデバイス。
【請求項5】
前記ネットワークと通信している前記複数のノードの属性を識別することが、前記複数のノードの前記属性を前記ネットワークから自動的に取り出すことを含む、請求項1に記載のデバイス。
【請求項6】
前記複数のノードが、ソフトウェア構成要素、ハードウェア構成要素、またはソフトウェアおよびハードウェア構成要素の組み合わせを含み、
ソフトウェア構成要素が、監視制御およびデータ収集(SCADA)システム、製造実行システム(MES)、製造オペレーション管理(MOM)システム、ならびにエンタープライズリソースプランニング(ERP)システムを含み、
ハードウェア構成要素が、フィールドデバイス、コントローラ、およびサーバを含む、
請求項1に記載のデバイス。
【請求項7】
前記属性が、前記複数のノードと関連付けられたネットワーク構造、デバイスタイプ、アプリケーション、リソース、および処理状態を含む、請求項1に記載のデバイス。
【請求項8】
前記ネットワークが無線ネットワークであり、前記複数のノードが、前記無線ネットワークを管理するアクセスポイントを通して前記無線ネットワークと通信し、
前記ネットワークと通信している前記複数のノードの属性を識別することが、前記アクセスポイントをスキャンすることによって、前記複数のノードの前記属性を識別することを含む、
請求項1に記載のデバイス。
【請求項9】
プロセッサによって、ネットワークと通信している複数のノードの属性を識別することと、
前記プロセッサによって、前記属性に基づいて、前記複数のノードのうち各ノードのクリティカリティを判定することと、
前記プロセッサによって、前記複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された前記通信に対してセキュリティ機能を実行することと
を含む、セキュリティ機能実行のための方法。
【請求項10】
前記属性に基づいて前記複数のノードのうち各ノードのクリティカリティを判定することが、
前記複数のノードのうち外部ネットワークに接続されているノードに関して、前記ノードのクリティカリティを非クリティカルと判定することと、
前記複数のノードのうちフィールド制御のアプリケーションを有するノードに関して、前記ノードのクリティカリティをクリティカルと判定することと、
前記複数のノードのうちフィールド制御以外のアプリケーションを有するノードに関して、前記ノードのクリティカリティを非クリティカルと判定することと
を含む、請求項9に記載の方法。
(【請求項11】以降は省略されています)
発明の詳細な説明【技術分野】
【0001】
本開示は、全体として、セキュリティ機能実行のための方法およびデバイスを対象とする。
続きを表示(約 2,100 文字)【背景技術】
【0002】
ファクトリーオートメーション(FA)およびプロセスオートメーション(PA)などのレガシーなオペレーショナルテクノロジー(OT)システムでセキュリティ対策を可能にするのは、システム更新および/または部分的交換が必要なことにより、特に厄介である。ほとんどの場合、エンジニアリング費用が高価なため、セキュリティの問題に対処するだけのために、すべてのOTシステムを更新するのは困難である。サイバーセキュリティを強化するためには、OTシステムユーザに対する一時的なセキュリティ対策を可能にすることを含む、サイバーセキュリティリスクの評価およびコスト効率が良い対抗策の計画が、焦点となる分野である。
【0003】
ネットワーク仲介(中間者(MitM))は、レガシーなネットワークに関して2つのノード間の通信を安全にするのに有用である。しかしながら、インターネットプロトコルベース(IPベース)のネットワーク(Ethernetなどの有線ネットワークまたはWiFiなどの無線ネットワーク)上でMitMを使用することにより、通信遅延およびリソース枯渇が生じる場合がある。結果として生じる制御の喪失は、レガシーなOTシステムに重大な影響を及ぼす可能性がある。したがって、MitM方式をOTシステムにおけるレガシーなIPベースのネットワークシステムに適用するのは困難である。
【0004】
関連技術では、プロキシサーバを使用する、セキュリティ機能を可能にする方法が開示されている。プロキシサーバは、ノード間の通信を仲介することによって、セキュリティ機能実行を実施する。しかしながら、通信の仲介は、ネットワーク上の任意の2つのノード間におけるすべての通信に対して実施される。これは、通信遅延を引き起こし、リソース利用可能性を低減させる。通信遅延の結果として生産中止およびセーフティフィーチャの損失が生じることがあるので、影響はレガシーなOTシステムを利用するビジネスにとって特に重大である。
【0005】
加えて、脆弱性はすべてのノードにわたって同じではない。例えば、2つのノードが1つのネットワーク(ネットワークA)に接続され、第1のノードは、エンタープライズシステムに接続されたWindows(登録商標)パーソナルコンピュータ(PC)であり、他方は、ネットワークAを通して他のネットワークに接続された組込みシステムであると仮定する。その場合、Windows PCノードは、組込みシステムノードよりも比較的脆弱性が高い。敵対者は、クリティカルノードよりも脆弱性が高いノードを介してクリティカルノードを攻撃することがある。関連技術は、有効なセキュリティに対する取組みを得るのに、通信を絞り込むための規則を何ら説明していない。
【0006】
システム構成の変更および追加の更新を伴わずに、レガシーなOTシステムにおいてセキュリティ対策を可能にする必要性がある。
【発明の概要】
【0007】
本開示の態様は、セキュリティ機能実行のための革新的な方法を含む。方法は、プロセッサによって、ネットワークと通信している複数のノードの属性を識別することと、プロセッサによって、属性に基づいて、複数のノードのうち各ノードのクリティカリティを判定することと、プロセッサによって、複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された通信に対してセキュリティ機能を実行することと、を含んでもよい。
【0008】
本開示の態様は、セキュリティ機能実行のための命令を格納する、革新的な非一時的コンピュータ可読媒体を含む。命令は、ネットワークと通信している複数のノードの属性を識別することと、属性に基づいて、複数のノードのうち各ノードのクリティカリティを判定することと、複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された通信に対してセキュリティ機能を実行することと、を含んでもよい。
【0009】
本開示の態様は、セキュリティ機能を実施するための、ネットワークと通信する革新的なデバイスを含む。デバイスはプロセッサを含んでもよく、プロセッサは、ネットワークと通信している複数のノードの属性を識別し、属性に基づいて、複数のノードのうち各ノードのクリティカリティを判定し、複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された通信に対してセキュリティ機能を実行するように構成される。
【0010】
本開示の態様は、セキュリティ機能実行のための革新的なシステムを含む。システムは、ネットワークと通信している複数のノードの属性を識別する手段と、属性に基づいて、複数のノードのうち各ノードのクリティカリティを判定する手段と、複数のノードのうち非クリティカルであると判定されたノード間の通信を仲介し、仲介された通信に対してセキュリティ機能を実行する手段と、を含んでもよい。
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する
Flag Counter

関連特許

個人
物品
1か月前
個人
情報提示方法
8日前
個人
プログラム
今日
個人
自動精算システム
1か月前
個人
アカウントマップ
1日前
個人
プログラム
7日前
個人
自動精算システム
16日前
個人
RFタグ読取装置
25日前
個人
売買システム
22日前
個人
管理サーバ
1か月前
個人
救急搬送システム
1か月前
個人
発想支援方法及びシステム
11日前
個人
市場受発注システム
14日前
個人
学習装置及び推論装置
今日
日本精機株式会社
車両用表示装置
24日前
個人
分類処理プログラム及び方法
11日前
キヤノン株式会社
印刷装置
1か月前
日本精機株式会社
車両用表示装置
24日前
富士通株式会社
金融システム
8日前
個人
VRによる人体各部位の立体化
1か月前
個人
生成AIとの常時接続システム
1か月前
井関農機株式会社
ロボット作業車両
16日前
個人
未来型家系図構築システム
1か月前
個人
コンテンツ開示順位判定システム
1か月前
株式会社SEKT
文字認識装置
1か月前
トヨタ自動車株式会社
推定装置
1か月前
キヤノン株式会社
情報処理装置
1か月前
株式会社COLORS
表示装置
1か月前
株式会社プレニーズ
仲介システム
1日前
トヨタ自動車株式会社
表認識装置
1か月前
キヤノン電子株式会社
業務管理システム
1か月前
ローム株式会社
ソース機器
1か月前
個人
情報処理装置およびプログラム
1か月前
トヨタ自動車株式会社
作業評価装置
23日前
トヨタ自動車株式会社
作業評価装置
1か月前
トヨタ自動車株式会社
情報通知方法
14日前
続きを見る