特許ウォッチ

公開番号2025163549
公報種別公開特許公報(A)
公開日2025-10-29
出願番号2024066929
出願日2024-04-17
発明の名称セキュリティ監視装置、セキュリティ監視方法、及びプログラム
出願人富士電機株式会社
代理人個人,個人
主分類G06F 21/55 20130101AFI20251022BHJP(計算;計数)
要約【課題】インシデント発生前に、そのインシデントの原因がサイバー攻撃によるものであるか否かを判定すること。
【解決手段】本開示の一態様によるセキュリティ監視装置は、制御対象に対する制御コマンドの定義情報に基づいて、前記制御コマンドの危険性を検証する第1の検証部と、前記制御対象から収集されたデータに基づいて、前記制御対象のインシデントの兆候を検証する第2の検証部と、前記制御対象にインシデントの兆候があることが検証された場合、所定の危険性以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する判定部と、を有する。
【選択図】図13
特許請求の範囲【請求項１】
制御対象に対する制御コマンドの定義情報に基づいて、前記制御コマンドの危険性を検証する第１の検証部と、
前記制御対象から収集されたデータに基づいて、前記制御対象のインシデントの兆候を検証する第２の検証部と、
前記制御対象にインシデントの兆候があることが検証された場合、所定の危険性以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する判定部と、
を有するセキュリティ監視装置。
続きを表示（約 1,400 文字）【請求項２】
前記制御対象の運転を行う運転員の端末に対して、前記判定部による判定の結果が含まれる通知を送信する出力部、を有する請求項１に記載のセキュリティ監視装置。
【請求項３】
前記制御コマンドの危険性は、前記危険性が高い順に警告、注意、正常のいずれかに分類され、
前記第１の検証部は、
前記制御コマンドの危険性が警告、注意、正常のいずれに分類されるかを検証し、
前記判定部は、
危険性が注意以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する、請求項１又は２に記載のセキュリティ監視装置。
【請求項４】
前記判定部は、
危険性が注意の制御コマンドが発行された回数が第１の閾値を超えている場合、又は、危険性が警告の制御コマンドが発行された回数が第２の閾値を超えている場合、前記インシデントの原因が外部からの攻撃によるものであると判定する、請求項３に記載のセキュリティ監視装置。
【請求項５】
前記制御コマンドは複数の種別が存在し、
前記判定部は、
少なくとも１つ以上の種別の制御コマンドに関して危険性が注意の制御コマンドが発行された回数が第１の閾値を超えている場合、
少なくとも１つ以上の種別の制御コマンドに関して危険性が警告の制御コマンドが発行された回数が第２の閾値を超えている場合、
前記危険性が注意の制御コマンドが発行された回数のすべての種別に関する合計が第３の閾値を超えている場合、
前記危険性が警告の制御コマンドが発行された回数のすべての種別に関する合計が第４の閾値を超えている場合、
前記インシデントの原因が外部からの攻撃によるものであると判定する、請求項４に記載のセキュリティ監視装置。
【請求項６】
前記判定部は、
前記インシデントの原因が外部からの攻撃によるものであると判定しなかった場合、前記インシデントの原因を故障であると判定し、
過去の故障を定義した定義情報と、前記制御対象から収集されたデータとに基づいて、前記故障の要因を判定する、請求項１に記載のセキュリティ監視装置。
【請求項７】
制御対象に対する制御コマンドの定義情報に基づいて、前記制御コマンドの危険性を検証する第１の検証手順と、
前記制御対象から収集されたデータに基づいて、前記制御対象のインシデントの兆候を検証する第２の検証手順と、
前記制御対象にインシデントの兆候があることが検証された場合、所定の危険性以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する判定手順と、
をコンピュータが実行するセキュリティ監視方法。
【請求項８】
制御対象に対する制御コマンドの定義情報に基づいて、前記制御コマンドの危険性を検証する第１の検証手順と、
前記制御対象から収集されたデータに基づいて、前記制御対象のインシデントの兆候を検証する第２の検証手順と、
前記制御対象にインシデントの兆候があることが検証された場合、所定の危険性以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する判定手順と、
をコンピュータに実行させるプログラム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、セキュリティ監視装置、セキュリティ監視方法、及びプログラムに関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
プラント等の制御システムでは、インシデントが発生した際にその原因を特定する必要がある。このため、従来、インシデントの原因がサイバー攻撃によるものであるか否かを判定することができる技術が知られている（例えば、特許文献１）。
【先行技術文献】
【特許文献】
【０００３】
特開２０２１－１１１００３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
しかしながら、従来技術では、実際にインシデントが発生する前に、そのインシデントの兆候からその原因がサイバー攻撃によるものであるか否かを判定することはできなかった。
【０００５】
本開示は、上記の点に鑑みてなされたもので、インシデント発生前に、そのインシデントの原因がサイバー攻撃によるものであるか否かを判定することを目的とする。
【課題を解決するための手段】
【０００６】
本開示の一態様によるセキュリティ監視装置は、制御対象に対する制御コマンドの定義情報に基づいて、前記制御コマンドの危険性を検証する第１の検証部と、前記制御対象から収集されたデータに基づいて、前記制御対象のインシデントの兆候を検証する第２の検証部と、前記制御対象にインシデントの兆候があることが検証された場合、所定の危険性以上の制御コマンドが発行された回数に基づいて、前記インシデントの原因が外部からの攻撃によるものであるか否かを判定する判定部と、を有する。
【発明の効果】
【０００７】
インシデント発生前に、そのインシデントの原因がサイバー攻撃によるものであるか否かを判定することができる。
【図面の簡単な説明】
【０００８】
本実施形態に係るセキュリティ監視システムの全体構成の一例を示す図である。
本実施形態に係るセキュリティ監視装置のハードウェア構成の一例を示す図である。
本実施形態に係るセキュリティ監視装置の機能構成の一例を示す図である。
制御コマンド情報の一例を示す図である。
制御コマンド定義情報の一例を示す図である。
制御コマンド検証結果情報及び制御コマンド実行可否判定回数情報の一例を示す図である。
不正操作基準情報の一例を示す図である。
プラント稼働状況検証結果情報の一例を示す図である。
故障定義情報の一例を示す図である。
制御コマンド検証処理の一例を示すフローチャートである。
プラント稼働状況検証処理の一例を示すフローチャートである。
インシデント判定処理の一例を示すフローチャートである。
セキュリティ監視画面の一例を示す図である。
【発明を実施するための形態】
【０００９】
以下、本発明の一実施形態について、図面を参照しながら詳細に説明する。以下では、プラントの制御システムを対象として、インシデントが発生する前に、そのインシデントの原因がサイバー攻撃によるものであるか否かを判定することができるセキュリティ監視システム１について説明する。インシデントとは、プラントに発生した何等かの異常（故障、サイバー攻撃による異常等も含む。）のことである。また、サイバー攻撃とは、外部からの不正な操作（つまり、不正な制御コマンドによる操作）等のことである。
【００１０】
＜セキュリティ監視システム１の全体構成例＞
本実施形態に係るセキュリティ監視システム１の全体構成例について、図１を参照しながら説明する。図１は、本実施形態に係るセキュリティ監視システム１の全体構成の一例を示す図である。
（【００１１】以降は省略されています）

関連特許