特許ウォッチ

公開番号2025043651
公報種別公開特許公報(A)
公開日2025-04-01
出願番号2023151062
出願日2023-09-19
発明の名称システムおよびプログラム
出願人株式会社東芝
代理人弁理士法人スズエ国際特許事務所
主分類G06F 21/55 20130101AFI20250325BHJP(計算;計数)
要約【課題】利用者の安全を確保することと、利用者の利便性の低下を抑制することとを両立させること。
【解決手段】一実施形態に係るシステムは、組込み型コンピュータを有する複数のサブ装置に接続された中央制御装置を含む。中央制御装置は、サイバー攻撃による異常を検出する。中央制御装置は、異常が検出された場合、システムの運転を停止させる停止指示を各サブ装置に送信する。中央制御装置は、各サブ装置をセキュアブートにより再起動させるための再起動指示を各サブ装置に送信する。中央制御装置は、システムを構成する物理的な要素が、劣化しているか否かを診断するための診断指示をサブ装置に送信する。中央制御装置は、再起動指示に応じて実行された再起動の結果と、診断指示に応じて実行された診断の結果とに基づき、システムの運転を再開させるか否かを判定する。
【選択図】図2
特許請求の範囲【請求項１】
組込み型コンピュータを各々有する複数のサブ装置に接続された中央制御装置を含むシステムであって、
前記中央制御装置は、
前記システムが正常状態から逸脱しているか否かに基づいて、サイバー攻撃による異常を検出し、
前記異常が検出された場合、前記システムの運転を停止させるための停止指示を前記各サブ装置に送信し、
前記システムの運転が停止された後に、前記各サブ装置をセキュアブートにより再起動させるための再起動指示を前記各サブ装置に送信し、
前記システムを構成する物理的な要素が、劣化しているか否かを診断するための診断指示を少なくとも１つのサブ装置に送信し、
前記再起動指示に応じて前記各サブ装置において実行された再起動の結果と、前記診断指示に応じて前記少なくとも１つのサブ装置において実行された診断の結果とに基づき、前記システムの運転を再開させるか否かを判定する、
システム。
続きを表示（約 980 文字）【請求項２】
前記中央制御装置は、
前記各サブ装置において実行された再起動の結果が成功した旨を示し、かつ、前記少なくとも１つのサブ装置において実行された診断の結果が正常な旨を示す場合に、前記システムの運転を再開させる、
請求項１に記載のシステム。
【請求項３】
前記中央制御装置は、
前記各サブ装置の論理的な状態に関する情報と、前記各サブ装置によって制御される物理装置の制御状態に関する情報との両方を含む特徴量空間において、前記システムの状態が所定の正常状態を定義する部分空間に含まれるかどうかに基づいて、前記システムが正常状態から逸脱しているか否かを検出する、
請求項１に記載のシステム。
【請求項４】
前記中央制御装置は、
前記システムが外部装置と通信するための機能と、前記各サブ装置が相互に通信するための機能とを制限した状態で、前記再起動指示を前記各サブ装置に送信する、
請求項１に記載のシステム。
【請求項５】
前記システムは、移動機構を備える車両システムである、
請求項１に記載のシステム。
【請求項６】
組込み型コンピュータを各々有する複数のサブ装置に接続された中央制御装置のコンピュータに、
前記中央制御装置と前記複数のサブ装置とを含むシステムが正常状態から逸脱しているか否かに基づいて、サイバー攻撃による異常を検出するステップと、
前記異常が検出された場合、前記システムの運転を停止させるための停止指示を前記各サブ装置に送信するステップと、
前記システムの運転が停止された後に、前記各サブ装置をセキュアブートにより再起動させるための再起動指示を前記各サブ装置に送信するステップと、
前記システムを構成する物理的な要素が、劣化しているか否かを診断するための診断指示を少なくとも１つのサブ装置に送信するステップと、
前記再起動指示に応じて前記各サブ装置において実行された再起動の結果と、前記診断指示に応じて前記少なくとも１つのサブ装置において実行された診断の結果とに基づき、前記システムの運転を再開させるか否かを判定するステップと、
を実行させるためのプログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明の実施形態は、システムおよびプログラムに関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
近年、各種システムのＣＰＳ（Cyber Physical System）化に伴い、サイバー攻撃の脅威はＩＴ（Information Technology）からＯＴ（Operation Technology）へと拡大している。ＯＴとは、社会インフラで利用されている物理装置（ハードウェア）を適切に動作させるための制御・運用技術であり、例えば化学プラントや自動車といったＯＴシステムは、システム全体を管理する中央制御装置と、当該システムに含まれる多数の物理装置のそれぞれを管理する多数のサブ装置と、を備えている。このようなＯＴシステムがサイバー攻撃を受けると、当該システムが正常に動作せず、当該システムを利用する利用者やその周囲の人々に危険が及ぶ可能性がある。例えば、ＯＴシステムが上記した自動車の場合、当該自動車が正常に動作せずに、事故などが発生する可能性がある。
【０００３】
ところで、近年、サイバー攻撃の手口は日々進歩している。このようなサイバー攻撃の進歩に対応するために、機械学習を利用してサイバー攻撃を検出することが行われている。機械学習を利用したサイバー攻撃の検出は、防衛対象であるシステムの正常状態を学習し、当該正常状態からの逸脱を検出することで、既知の攻撃パターンだけでなく、未知の攻撃パターンも検出することが可能である。
【０００４】
しかしながら、このような機械学習を利用したサイバー攻撃の検出にも限界があり、サイバー攻撃の未検出や誤検出をゼロにすることができないため、防衛対象であるシステムの運用者は、上記した正常状態からの逸脱（つまり、異常の兆候）が検出された場合には、当該異常の兆候がサイバー攻撃によるものと仮定してシステムの運用を停止するか、当該異常の兆候がサイバー攻撃の誤検出によるものと仮定してシステムの運用を継続するか、を選択する必要がある。
【０００５】
システムの運用を停止することは、当該システムを利用する利用者やその周囲の人々の安全面の観点によれば最良の選択となるが、当該利用者の利便性を著しく低下させてしまう。一方で、システムの運用を継続することは、当該システムを利用する利用者の利便性の低下を抑制することができるものの、当該利用者やその周囲の人々に危険が及ぶ可能性がある。このように、利用者の安全を確保することと、利用者の利便性の低下を抑制することとの間には、トレードオフの関係があり、これらを両立させるシステムの実現が望まれている。
【先行技術文献】
【特許文献】
【０００６】
米国特許出願公開第２０２２／０４０７８７２号明細書
【発明の概要】
【発明が解決しようとする課題】
【０００７】
本発明が解決しようとする課題は、利用者の安全を確保することと、利用者の利便性の低下を抑制することとを両立させることが可能なシステムおよびプログラムを提供することである。
【課題を解決するための手段】
【０００８】
一実施形態に係るシステムは、組込み型コンピュータを各々有する複数のサブ装置に接続された中央制御装置を含むシステムである。前記中央制御装置は、前記システムが正常状態から逸脱しているか否かに基づいて、サイバー攻撃による異常を検出し、前記異常が検出された場合、前記システムの運転を停止させるための停止指示を前記各サブ装置に送信し、前記システムの運転が停止された後に、前記各サブ装置をセキュアブートにより再起動させるための再起動指示を前記各サブ装置に送信し、前記システムを構成する物理的な要素が、劣化しているか否かを診断するための診断指示を少なくとも１つのサブ装置に送信し、前記再起動指示に応じて前記各サブ装置において実行された再起動の結果と、前記診断指示に応じて前記少なくとも１つのサブ装置において実行された診断の結果とに基づき、前記システムの運転を再開させるか否かを判定する。
【図面の簡単な説明】
【０００９】
図１は、一実施形態に係る制御システムの概略構成例を示す図である。
図２は、同実施形態に係る対象システムに含まれる中央制御装置の動作の一例を示すフローチャートである。
図３は、同実施形態に係る対象システムに含まれるサブ装置の動作の一例を示すフローチャートである。
図４は、同実施形態に係る対象システムに含まれるサブ装置の動作の一例を示すフローチャートである。
【発明を実施するための形態】
【００１０】
以下、図面を参照して実施形態を説明する。
なお、開示はあくまで一例にすぎず、以下の実施形態に記載した内容により発明が限定されるものではない。当業者が容易に想到し得る変形は、当然に開示の範囲に含まれる。説明をより明確にするため、図面において、各部分のサイズ、形状等を実際の実施態様に対して変更して模式的に表す場合もある。複数の図面において、対応する要素には同じ参照数字を付して、詳細な説明を省略する場合もある。
（【００１１】以降は省略されています）

関連特許