平成13年3月制御機器専用マイクロプロキシ.....194 6.6.1 制御機器での認証機能.....196 6.6.2 制御機器での秘匿通信 6.6.3 制御機器でのセキュリティ監視機能.....196

経経経経済産業省委託事業済産業省委託事業済産業省委託事業済産業省委託事業

平成１３年３月平成１３年３月平成１３年３月平成１３年３月

外部設計書外部設計書外部設計書外部設計書

情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会

－－－－制御系におけるセキュリティ機能共通基盤の開発制御系におけるセキュリティ機能共通基盤の開発制御系におけるセキュリティ機能共通基盤の開発制御系におけるセキュリティ機能共通基盤の開発－－－－

iiii

目次目次目次目次

1 はじめに __________________________________________ 11.1 目的........................................................................................................................ 1

1.2 研究開発プロセス .................................................................................................. 1

1.3 外部設計書の内容について ................................................................................... 4

2 システムの概要_____________________________________ 5

3 設計指針 __________________________________________ 83.1 フレームワークを適応した制御系システム.......................................................... 8

3.2 フレームワークとアプリケーションの役割分担 ................................................ 12

3.2.1 機器間の通信とフレームワークの関係 ................................................ 12

3.2.2 役割分担................................................................................................ 15

3.3 フレームワークとアプリケーションの動作........................................................ 26

3.3.1 エンコンからのユーザアプリケーションの流れ.................................. 26

3.3.2 オペコンからコントローラへのデータアクセス.................................. 27

3.3.3 監視端末からWebページでプラントを監視 ....................................... 29

3.3.4 プロコンからコントローラへのデータアクセス.................................. 31

4 通信仕様 _________________________________________ 354.1 認証フレームワーク ............................................................................................ 35

4.2 秘匿通信フレームワーク ..................................................................................... 42

4.3 セキュリティ監視フレームワーク ...................................................................... 48

4.4 セキュリティ運用管理フレームワーク ............................................................... 53

4.5 制御系保護専用ファイアウォール ...................................................................... 58

4.6 制御機器専用マイクロプロキシ .......................................................................... 60

5 システム構造 _____________________________________ 625.1 機能説明 .............................................................................................................. 62

5.2 機能ブロックの構成 ............................................................................................ 62

5.3 機能ブロックの概要説明 ..................................................................................... 64

5.3.1 認証フレームワーク ............................................................................. 64

5.3.2 秘匿通信フレームワーク ...................................................................... 71

5.3.3 セキュリティ監視フレームワーク........................................................ 74

5.3.4 セキュリティ運用管理フレームワーク ................................................ 78

5.3.5 制御系保護専用ファイアウォール........................................................ 81

5.3.6 制御機器専用マイクロプロキシ ........................................................... 84

6 機能仕様 _________________________________________ 906.1 認証フレームワーク ............................................................................................ 90

6.1.1 制御 LAN専用認証フレームワーク ...................................................... 95

iiiiiiii

6.1.2 制御系情報 LAN専用認証フレームワーク ......................................... 105

6.2 秘匿通信フレームワーク ................................................................................... 129

6.3 セキュリティ監視フレームワーク .................................................................... 142

6.3.1 セキュリティ監視エージェント ......................................................... 142

6.3.2 セキュリティ監視マネージャ ............................................................. 154

6.4 セキュリティ運用管理フレームワーク ............................................................. 164

6.4.1 セキュリティ・ポリシーマネージャ .................................................. 164

6.4.2 セキュリティ・ポリシーエージェント .............................................. 179

6.5 制御系保護専用ファイアウォール .................................................................... 183

6.6 制御機器専用マイクロプロキシ ........................................................................ 194

6.6.1 制御機器での認証機能........................................................................ 196

6.6.2 制御機器での秘匿通信機能 ................................................................ 196

6.6.3 制御機器でのセキュリティ監視機能 .................................................. 196

7 設計・製造指針___________________________________ 1997.1 認証フレームワーク .......................................................................................... 199

7.2 秘匿通信フレームワーク ................................................................................... 201

7.3 セキュリティ監視フレームワーク .................................................................... 202

7.4 セキュリティ運用管理フレームワーク ............................................................. 204

7.5 制御系保護専用ファイアウォール .................................................................... 206

7.6 制御機器専用マイクロプロキシ ........................................................................ 207

8 おわりに ________________________________________ 2088.1 結果の概要......................................................................................................... 208

8.2 今後の課題......................................................................................................... 209

iiiiiiiiiiii

図表目次図表目次図表目次図表目次

図 1 研究開発プロセス........................................................................................................... 2

図 2 制御系セキュアフレームワーク..................................................................................... 3

図 3 モデル・システム........................................................................................................... 6

図 4 開発対象範囲 .................................................................................................................. 7

図 5 フレームワークを適応した制御系システム..................................................................11

図 6 フレームワークを搭載した機器間の通信 .................................................................... 12

図 7 受信機器のみフレームワークを搭載............................................................................ 13

図 8 送信機器のみフレームワークを搭載............................................................................ 14

図 9 ３つの機器にまたがる処理と機器認証 ........................................................................ 16

図 10 オペコンからデータサーバへの通信 ......................................................................... 19

図 11 利用者認証におけるフレームワークとアプリケーションの連携 .............................. 20

図 12 セキュリティ監視フレームワークによる監視 ........................................................... 24

図 13 制御系保護専用ファイアウォール ............................................................................. 25

図 14 エンコンからオペコンへユーザアプリケーションをコピー ..................................... 27

図 15 オペコンからコントローラへのデータアクセス ....................................................... 29

図 16 SSLとフレームワーク................................................................................................ 30

図 17 プロコンとホストコンピュータ間の通信 .................................................................. 32

図 18 VPNとフレームワーク ............................................................................................... 32

図 19 ホストコンピュータからプロコンへの通信............................................................... 33

図 20 プロコンからホストコンピュータへの通信............................................................... 34

図 21 制御系情報 LANにおけるメッセージ交換................................................................. 37

図 22 制御 LANにおけるメッセージ交換............................................................................ 39

図 23 機能ブロック間の相互関係 ........................................................................................ 64

図 24 制御 LAN専用認証フレームワーク機能関連図 ......................................................... 65

図 25 制御系情報 LAN 専用認証フレームワーク（認証・秘匿通信サーバ部）機能関連図 .......................................................................................................................... 67

図 26 制御系情報 LAN専用認証フレームワーク（機器部）機能関連図 ............................ 69

図 27 秘匿通信フレームワーク機能関連図 ......................................................................... 72

図 28 セキュリティ監視フレームワーク機能関連図 ........................................................... 75

図 29 セキュリティ運用管理フレームワーク機能関連図.................................................... 78

図 30 制御系保護専用ファイアウォール機能関連図 ........................................................... 82

図 31 制御機器専用マイクロプロキシ機能関連図............................................................... 85

図 32 制御機器での認証・秘匿通信機能関連図 .................................................................. 86

図 33 制御機器でのセキュリティ監視フレームワーク機能関連図 ..................................... 88

図 34 制御 LAN専用認証フレームワーク機能関連図 ......................................................... 92

図 35 制御系情報 LAN 専用認証フレームワーク（認証・秘匿通信サーバ部）機能関連図 .......................................................................................................................... 93

iviviviv

図 36 制御系情報 LAN専用認証フレームワーク（機器部）機能関連図 ............................ 94

図 37 管理情報取得機能機能ブロック関連図 .................................................................... 95

図 38 秘匿通信連携機能機能ブロック関連図 .................................................................... 97

図 39 メッセージ制御機能機能ブロック関連図 ................................................................ 98

図 40 ペイロード制御機能機能ブロック関連図 .............................................................. 100

図 41 鍵交換処理機能機能ブロック関連図...................................................................... 102

図 42 機器識別機能機能ブロック関連図 ......................................................................... 103

図 43 ログ出力機能機能ブロック関連図 ......................................................................... 104

図 44 管理情報取得機能機能ブロック関連図 .................................................................. 105

図 45 認証制御機能機能ブロック関連図 ......................................................................... 108

図 46 メッセージ制御機能機能ブロック関連図 ...............................................................110

図 47 利用者識別機能機能ブロック関連図.......................................................................112

図 48 利用者認証制御機能機能ブロック関連図 ...............................................................113

図 49 機器識別機能機能ブロック関連図 ..........................................................................115

図 50 機器認証制御機能機能ブロック関連図 ...................................................................116

図 51 アクセス許可情報発行制御機能機能ブロック関連図 .............................................118

図 52 アクセス許可情報発行機能機能ブロック関連図 ................................................... 120

図 53 認証子生成機能機能ブロック関連図...................................................................... 121

図 54 アクセス許可情報制御機能機能ブロック関連図 ................................................... 123

図 55 アクセス許可情報検証機能 ...................................................................................... 125

図 56 秘匿通信連携機能機能ブロック関連図 .................................................................. 126


図 58 秘匿通信フレームワーク機能関連図 ....................................................................... 130

図 59 パケット制御機能機能ブロック関連図 .................................................................. 131

図 60 秘匿通信管理機能機能ブロック関連図 .................................................................. 133

図 61 SA管理機能機能ブロック関連図............................................................................ 134

図 62 データ暗号化機能機能ブロック関連図 .................................................................. 135

図 63 データ認証機能機能ブロック関連図...................................................................... 136

図 64 データ送信機能機能ブロック関連図...................................................................... 137

図 65 データ受信機能機能ブロック関連図...................................................................... 138

図 66 データ検証機能機能ブロック関連図...................................................................... 139

図 67 データ復号化機能機能ブロック関連図 .................................................................. 140


図 69 制御系専用ファイアウォール機能関連図 ................................................................ 184

図 70 パケットフィルタ機能機能ブロック関連図........................................................... 186

図 71 プロキシ機能機能ブロック関連図 ......................................................................... 187

図 72 リバースプロキシ機能機能ブロック関連図........................................................... 189

図 73 フィルタ設定機能機能ブロック関連図 .................................................................. 191


図 75 制御機器マイクロプロキシにおける機能 ................................................................ 195

図 76 監視ログ送信機能の関連図 ...................................................................................... 196

図 77 監視ログ受信機能の関連図 ...................................................................................... 198

vvvv

表 1 用語使い分け（フレームワークとアプリケーション） ................................................ 8

表 2 フレームワークのサーバ機器 ........................................................................................ 9

表 3 フレームワークとアプリケーションの役割分担 ......................................................... 15

表 4 機器の定義例 ................................................................................................................ 17

表 5 機器グループの定義例 ................................................................................................. 17

表 6 機器が属する機器グループの定義例............................................................................ 18

表 7 機器グループ間のアクセス権限................................................................................... 18

表 8 オペコンにおける利用者権限の一般的な分類 ............................................................. 20

表 9 利用者の定義例 ............................................................................................................ 21

表 10 利用者グループの定義例............................................................................................ 21

表 11 利用者が属する利用者グループの定義例 .................................................................. 22

表 12 利用者グループと機器グループ間のアクセス権限.................................................... 22

表 13 制御系情報 LANにおける認証・秘匿通信サーバと機器間でのメッセージ種別 ...... 36

表 14 制御系情報 LANにおける機器間でのメッセージ種別 .............................................. 36

表 15 制御 LANにおける機器間のメッセージ種別 ............................................................. 38

表 16 メンバ詳細.................................................................................................................. 40

表 17 メンバ詳細.................................................................................................................. 41

表 18 データ送信部、データ受信部間のメッセージ種別.................................................... 42

表 19 SA管理機能、認証フレームワーク間のメッセージ種別 ........................................... 43

表 20 ログ出力機能、セキュリティ監視エージェント間のメッセージ種別 ...................... 43

表 21 秘匿通信管理機能、認証フレームワーク間のメッセージ種別 ................................. 43

表 22 メッセージ詳細 .......................................................................................................... 45

表 23 メッセージ詳細 .......................................................................................................... 46

表 24 メッセージ詳細 .......................................................................................................... 47

表 25 メッセージ詳細 .......................................................................................................... 47

表 26 監視エージェントとマネージャ間のメッセージ種別 ................................................ 49

表 27 メンバ詳細.................................................................................................................. 51

表 28 レスポンスコードの例 ............................................................................................... 52

表 29 被害識別子の例 .......................................................................................................... 52

表 30 セキュリティ・ポリシーエージェントとセキュリティ・ポリシーマネージャ間のメッセージ種別 ................................................................................................. 54

表 31 メンバ詳細.................................................................................................................. 56

表 32 レスポンスコードの例 ............................................................................................... 57

表 33 ポリシーファイル配布結果の例................................................................................. 57

表 34 制御系保護専用ファイアウォールが使用する通信プロトコル ................................. 58

表 35 制御系保護専用ファイアウォールが使用するセキュリティプロトコル................... 59

表 36 コントローラとデータサーバ間のメッセージ種別.................................................... 60

表 37 メンバ詳細.................................................................................................................. 61

表 38 レスポンスコードの例 ............................................................................................... 61

表 39 機器認証ログ ............................................................................................................ 104

表 40 利用者情報................................................................................................................ 105

vivivivi

表 41 機器情報 ................................................................................................................... 106

表 42 利用者情報................................................................................................................ 107

表 43 機器情報 ................................................................................................................... 107

表 44 利用者情報................................................................................................................ 109

表 45 機器情報 ................................................................................................................... 109

表 46 利用者情報.................................................................................................................118

表 47 機器情報 ....................................................................................................................119

表 48 機器認証ログ ............................................................................................................ 127

表 49 利用者認証ログ ........................................................................................................ 128

表 50 秘匿通信フレームワーク・イベントログ出力 ......................................................... 141

表 51 データサーバ・イベントログ（Windows NT Serverの場合）.............................. 143

表 52 データサーバ・イベントログ（UNIXの場合） ..................................................... 143

表 53 ログ・チェックのキーワード例............................................................................... 144

表 54 Webサーバ・デーモンのログ .................................................................................. 145

表 55 制御系保護専用ファイアウォール・イベントログ.................................................. 146

表 56 機器認証ログ ............................................................................................................ 146

表 57 利用者認証ログ ........................................................................................................ 147

表 58 秘匿通信フレームワーク・イベントログ ................................................................ 147

表 59 制御 LANおよび制御系情報 LAN上を流れるパケットログ ................................... 147

表 60 不正イベント通知..................................................................................................... 155

表 61 セキュリティ・ポリシー情報 .................................................................................. 156

表 62 セキュリティ監査イベントのフィルタ条件............................................................. 157

表 63 ログ改ざん検知結果 ................................................................................................. 157

表 64 データサーバ・イベントログのレポート項目 ......................................................... 159

表 65 Webサーバ・デーモンログのレポート項目 ............................................................ 160

表 66 制御系保護専用ファイアウォール・イベントログのレポート項目 ........................ 161

表 67 認証フレームワーク・イベントログのレポート項目 .............................................. 161

表 68 秘匿通信フレームワーク・イベントログのレポート項目....................................... 162

表 69 パケットログのレポート項目 .................................................................................. 162

表 70 機器マスタ................................................................................................................ 164

表 71 機器グループマスタ ................................................................................................. 164

表 72 利用者マスタ ............................................................................................................ 164

表 73 利用者グループマスタ ............................................................................................. 165

表 74 機器情報画面 ............................................................................................................ 165

表 75 実行結果のメッセージ例.......................................................................................... 166

表 76 利用者情報画面 ........................................................................................................ 166

表 77 実行結果のメッセージ例.......................................................................................... 167

表 78 アクセス権限情報（機器グループ間） .................................................................... 168

表 79 アクセス権限情報（利用者グループ－機器グループ間）....................................... 169

表 80 ファイアウォール設定 ............................................................................................. 169

表 81 フィルタ情報 ............................................................................................................ 170

表 82 状態管理ファイル..................................................................................................... 170

viiviiviivii

表 83 適用状況のメッセージ例.......................................................................................... 170

表 84 アクセス権限設定画面（機器グループ間）............................................................. 171

表 85 実行結果のメッセージ例.......................................................................................... 172

表 86 アクセス権限設定画面（利用者グループ－機器グループ間） ............................... 172

表 87 実行結果のメッセージ例.......................................................................................... 173

表 88 フィルタ情報画面..................................................................................................... 173

表 89 実行結果のメッセージ例.......................................................................................... 173

表 90 ファイアウォール設定画面 ...................................................................................... 174

表 91 実行結果のメッセージ例.......................................................................................... 174

表 92 ポリシー配布管理画面 ............................................................................................. 175

表 93 実行結果のメッセージ例.......................................................................................... 175

表 94 検索条件 ................................................................................................................... 176

表 95 ログ情報 ................................................................................................................... 176

表 96 不正イベント通知..................................................................................................... 176

表 97 不正イベント通知ファイル ...................................................................................... 176

表 98 ログ情報画面 ............................................................................................................ 177

表 99 イベント情報画面..................................................................................................... 177

表 100 ポリシーファイル配布データ ................................................................................ 178

表 101 ポリシーファイル配布データ ................................................................................ 179

表 102 ポリシーファイル配布データ ................................................................................ 180

表 103 ポリシーファイル配布データ ................................................................................ 181

表 104 状態管理データ ...................................................................................................... 182

表 105 定義可能な条件 ...................................................................................................... 185

表 106 制御系保護専用ファイアウォール発生イベント ................................................... 192

表 107 制御系保護専用ファイアウォール・イベントログ................................................ 193

表 108 機器認証ログ .......................................................................................................... 197

表 109 秘匿通信ログ .......................................................................................................... 197

1

1 はじめにはじめにはじめにはじめに

1.1 目的目的目的目的電力施設、石油精製設備、備蓄設備等の大規模プラント制御系システムにおけるセキュリティ対策のあり方について、大規模プラント・ネットワーク・セキュリティ対策委員会(PSEC)が調査、研究を実施し、種々の成果を挙げつつ、その活動は平成 11 年度をもって終了した。中でも PSEC WG1 では、不正アクセスの防止技術をテーマとし、別途コンソーシアムを構成して、セキュリティ技術の研究開発およびアタック実験によるその有効性の実証を行った。ここでは、想定される脅威とそれに対する対策を網羅的に研究し、ボトムアップ的なアプローチでその中の技術的対策を体系化することにより開発すべき技術テーマを選出した。ここでのプラットホームは DCS(Distributed Control System)を中心とする制御系システムであり、メーカ独自仕様の制御 LAN を内包したモデルを前提としたものである。しかし、今後５～６年先を見据えた場合、この分野においてもイーサネットを中心としたオープンな機器の導入が予想される。プラントに直結した制御系ネットワークのセキュリティに関しては、保守性や信頼性のほかに制御のリアルタイム性等の特殊な要因を踏まえた検討が必要である。そこで本研究開発は、今まで特殊仕様であった制御 LAN がオープン化されることを前提とし、DCS に限定しない制御系システム全体としてのセキュリティ機能の検討と、そのセキュリティ機能の統合化を課題とし先進的に取り組むものである。すなわち、特定のプラットホームに依存しない共通基盤である制御系セキュアフレームワークを確立し、情報系システムに比すと閉鎖的であるがゆえの制御系システムのセキュリティ対策技術の遅れを解消させ、大規模プラントにおけるセキュリティ対策の向上への貢献を目指すものである。

1.2 研究開発プロセス研究開発プロセス研究開発プロセス研究開発プロセス本研究開発の実施作業のプロセスを図 1に示す。作業は、オープンな制御系システムにおけるセキュリティ対策の姿を描くため、PSECの昨年度成果物等の内容を踏まえ、トップダウン的なアプローチにより制御系システムのオープン化動向から想定するモデル・システムを基にセキュリティに関する全体要件を定義する要件定義作業と、全体要件を体系立てて個別要件として切分け、それぞれが求めるセキュリティ機能をアプリケーションの機能ブロックとして中項目レベル相当で設計を行う外部設計作業とで構成される。ここで、要件定義作業はモデル・システム、セキュリティ・ポリシー、セキュリティ機能要件を検討し要件定義書としてまとめる作業である。また外部設計作業は後述する６機能を作業開始時点で想定しており、要件定義の結果を踏まえそれぞれの機能の必要性、関連を再度見極めた上でアプリケーション設計を行い、外部設計書としてまとめる。

2

モデル・システム策定作業

制御系ネットワークのオープン化動向

[要件定義書]

モデル・システム

[最終報告書]

要件定義

技術開発コンソーシアム公開報告書（第1/2分冊）

[要件定義書]

セキュリティ機能要件

[実地適用研究報告書]

ニーズ/脅威/対策

[中間報告書]

侵入経路別の脅威

[中間報告書]

セキュリティ対策

全体要件定義作業

個別要件定義作業

[中間報告書]




セキュリティ・ポリシー策定作業

[要件定義書]

セキュリティ・ポリシー

[中間報告書]




「高信頼性/高セキュリティ制御システムの研究」報告書

ISO/IEC15408

セキュリティ機能要件体系

外部設計作業

[外部設計書]

機能仕様

要件定義作業要件定義作業要件定義作業要件定義作業

外部設計作業外部設計作業外部設計作業外部設計作業外部設計作業

外部設計作業

外部設計作業

外部設計作業

外部設計作業

作業項目

[成果物名称]

成果物

既存の成果物

凡例凡例凡例凡例

基本構想基本構想基本構想基本構想

認証

秘匿通信

ファイアウォール

監視

運用・管理

マイクロプロキシ

中間成果物

図1 研究開発プロセス

(1) 要件定義要件定義要件定義要件定義

要件定義作業は、制御系システムのオープン化動向から想定するモデル・システムを元にセキュリティに関する全体要件を定義する。

(i) モデルモデルモデルモデル・システム策定・システム策定・システム策定・システム策定

オープンな制御系ネットワークを含むシステム構成をモデル･システムとして作成し、制御系システムに関わるユーザとその役割を定義し各種条件を策定する。

(ii) セキュリティ･ポリシー策定セキュリティ･ポリシー策定セキュリティ･ポリシー策定セキュリティ･ポリシー策定

モデル･システムに対して PSEC WG3関連の「セキュリティ運用ガイドライン実施適用研究」等を参考にセキュリティ･ポリシーを策定する。

3

(iii) 全体要件定義全体要件定義全体要件定義全体要件定義

制御系システムのセキュリティ対策は本来どうあるべきかという考察を重ねながらセキュリティ機能要件を検討する。

(iv) 個別要件定義個別要件定義個別要件定義個別要件定義

制御系システムのセキュリティ機能についてアプリケーションの機能を体系的に切り分け、機能ブロック単位で個別要件として検討を行う。ここでいう機能ブロックとは、後述の(2)外部設計における大項目レベルの機能に相当す

るが、現時点で想定している機能ブロックを以下に記載する。①認証フレームワーク②秘匿通信フレームワーク③制御系保護専用ファイアウォール④制御機器専用マイクロプロキシ⑤セキュリティ監視フレームワーク⑥セキュリティ運用管理フレームワーク

(2) 外部設計外部設計外部設計外部設計

要件定義書を踏まえて全体要件を個別要件にブレークダウンし、それぞれに求められるセキュリティ機能をアプリケーションの機能ブロックとして中項目レベル相当で設計を行う作業である。作業開始時点で想定している機能を図 2に示す。図 2の①～⑥の機能ブロックが大項目レベルの機能に相当する。

制御機器専用マイクロプロキシ

制御系セキュアフレームワーク

認証フレームワーク

操作者認証機器認証

秘匿通信フレームワーク

通信内容の秘匿非改ざん性保証

セキュリティ監視フレームワーク

セキュリティ運用管理フレームワーク

制御系保護専用ファイアウォール

情報系システムセキュリティ・ポリシー

1 2

4 356

現場機器

図2 制御系セキュアフレームワーク

4

1.3 外部設計書の内容について外部設計書の内容について外部設計書の内容について外部設計書の内容について外部設計書の主な内容について以下に記述する。

(1) システムの概要システムの概要システムの概要システムの概要

制御系セキュアフレームワークの全体概要を説明する。

(2) 設計指針設計指針設計指針設計指針

制御系システムと本書で外部設計を行うセキュリティ機能の関係を説明するとともに、セキュリティ機能の設計指針を示す。

(3) 通信仕様通信仕様通信仕様通信仕様

制御系セキュアフレームワークの通信仕様について、機能毎にメッセージ種別を定義する。

(4) システム構造システム構造システム構造システム構造

制御系セキュアフレームワークの機能ブロックを構成する大項目レベルの６機能について概要を説明する。

(5) 機能仕様機能仕様機能仕様機能仕様

制御系セキュアフレームワークの機能ブロックを構成する中項目レベルの機能について説明し入出力データを定義する。

(6) 設計設計設計設計・製造指針・製造指針・製造指針・製造指針

実装に際して特筆すべき項目を制御系セキュアフレームワークの各機能毎に記述する。

5

2 システムの概要システムの概要システムの概要システムの概要

(1) 開発目的開発目的開発目的開発目的

本研究開発は、今まで特殊仕様であった制御 LAN がオープン化されることを前提とし、DCS に限定しない制御系システム全体としてのセキュリティ機能検討とそのセキュリティ機能の統合化を課題とした特定のプラットホームに依存しない共通基盤、制御系セキュアフレームワークを確立することを目的とする。研究開発プロセスは、要件定義作業と外部設計作業で構成され、前工程である要件定義作業でまとめたモデル・システム、セキュリティ・ポリシー、セキュリティ機能要件を踏まえ、外部設計作業を行う。外部設計は制御系セキュアフレームワークが備えるべき機能を中項目レベルまで検討し、設計を行った結果を外部設計書としてまとめる。ここでの成果物を元に次工程では小項目レベルの機能検討が必要である。

(2) 概要説明概要説明概要説明概要説明

フレームワークは、認証、秘匿通信の機能をベースとし、セキュリティ監視、制御系保護専用ファイアウォール、セキュリティ運用管理、制御機器専用マイクロプロキシの機能からなる。各機能は制御系システムの各アプリケーションから透過的に動作する。動作環境は要件定義作業で検討したモデル・システムを対象としており、制御 LAN および制御系情報 LAN に接続された機器上で動作することを前提として設計したソフトウェアである。動作環境となるモデル・システムを以下に記述する。

6

データサーバ

Webサーバ

情報系LAN情報系LAN情報系LAN情報系LAN

制御系情報LAN制御系情報LAN制御系情報LAN制御系情報LAN

制御LAN制御LAN制御LAN制御LAN

ルータ

オペコン

コントローラ

Internet

プロコン保守用コンソール

監視端末(Webクライアント)

エンコン

監視端末(Webクライアント)ホストコンピュータ

プロコン

図3 モデル・システム

(3) 全体構成全体構成全体構成全体構成

フレームワークは以下の６機能から構成される。



セキュリティ監視フレームワーク




7

(4) 開発対象範囲開発対象範囲開発対象範囲開発対象範囲

本研究開発の開発対象範囲を図に示す。図中の網掛け部分が対象となる。

��





オペコン

Internet



エンコン


プロコン

データサーバ

コントローラ

パケットモニタ


（ステルス）

Webサーバ

監視サーバ運用管理サーバ認証・秘匿サーバ

図4 開発対象範囲

8

3 設計指針設計指針設計指針設計指針

　この章では、制御系システムと本書で外部設計を行うセキュリティ機能の関係を説明するとともに、セキュリティ機能の設計指針を示す。まず、要件定義書の 2. モデル・システムに示した制御系システムのモデルにセキュリティ機能を適応した構成について解説する。つぎに、制御系システムで稼動するアプリケーションと、セキュリティ機能の役割分担を示す。　セキュリティ機能は基本的に透過的に機能する。つまり、制御系システムのアプリケーションは、セキュリティに関することは意識しない。セキュリティ機能が稼動していれば、アプリケーションは何もしなくても、制御系システムがセキュアになるということである。　要件定義書のモデル・システムの章では、制御監視システムにおけるアプリケーションの動作とデータの流れが、４つの処理例をもとに説明されている。この章の最後に 3.3 フレームワークとアプリケーションの動作で、それらの処理それぞれについて、セキュリティ機能を適応した場合の動作を解説する。

セキュリティ機能は、認証フレームワーク、秘匿通信フレームワークなどで構成される。これらのセキュリティ機能の総称としてフレームワークと記述する。この章では、表 1に示すようにフレームワークとアプリケーションという用語を使い分ける。

表1 用語使い分け（フレームワークとアプリケーション）

用語開発者説明フレームワーク本外部設計書の開

発対象認証フレームワーク、秘匿通信フレームワークなど本書で外部設計を行うセキュリティ機能

アプリケーション制御監視システムのベンダ

制御監視システムの機能を実現するためにベンダが開発する。コントローラ、オペコンなどそれぞれの機器専用のアプリケーションがある。

ユーザアプリケーションユーザユーザが個々のプラントを稼動するために開発する。コントローラで実行される制御プログラムや、オペコンで表示されるグラフィック画面などである。

3.1 フレームワークを適応した制御系システムフレームワークを適応した制御系システムフレームワークを適応した制御系システムフレームワークを適応した制御系システム要件定義書の２．モデル・システムで示した制御系システムのモデルに、フレームワークを適応した構成を図 5に示す。図 5には、表 2に示す３台のサーバ機器が追加されている。

9

表2 フレームワークのサーバ機器

機器名用途認証・秘匿通信サーバ認証フレームワーク、秘匿通信フレームワークのサーバ機能が稼

動する機器である。監視サーバセキュリティ監視マネージャが稼動する機器である。運用管理サーバセキュリティ・ポリシーマネージャが稼動する機器である。

　表 2に示したサーバ機器は、制御系情報 LANには接続するが、制御 LANには接続しない。これはプラント運転で最も重要なコントローラを接続する制御 LAN に接続する機器を最小限にするためであり、また、コントローラにおける処理を高速にするために制御機器専用マイクロプロキシはサーバ機器と通信をしないことを前提に外部設計を行うからである。　図 5では３つの機能を別々の機器に配置しているが、同一機器に配置することも可能である。例えば、認証・秘匿通信フレームワークのサーバ機能、セキュリティ監視マネージャおよびセキュリティ・ポリシーマネージャのすべてを１台の機器上で稼動させることができる。

(1) 認証フレームワークと秘匿通信フレームワーク認証フレームワークと秘匿通信フレームワーク認証フレームワークと秘匿通信フレームワーク認証フレームワークと秘匿通信フレームワーク

　制御系システムの各機器には、認証フレームワークと秘匿通信フレームワークのセキュリティ機能を配置する。認証フレームワークは、機器と利用者の認証を行う。秘匿通信フレームワークは、通信データの暗号化とデータ認証を行う。これらのフレームワークには、制御系情報 LAN 専用（図 5の「認証・秘匿：情」）と制御 LAN 専用（図 5の「認証・秘匿：制」）の２種類がある。データサーバとエンコンのように両方のネットワークに接続する機器では、制御系情報 LAN専用と制御 LAN専用の両方の認証・秘匿通信機能を配置する。コントローラを接続する制御 LAN には速い通信速度が求められる、生産計画や生産情報の流れる制御系情報 LAN には堅牢なセキュリティが求められる、というように２つのネットワークの性質は異なっている。そこで本外部設計書では、認証フレームワークと秘匿通信フレームワークを制御系情報 LAN専用と制御 LAN専用に分割し、それぞれのネットワークの性質に適した設計を行っている。

(2) セキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワーク

　セキュリティ監視フレームワークは、セキュリティ監視を行う機能である。制御系情報LAN に接続する各機器には、セキュリティ監視エージェント（図 5の「監視 A」）を配置する。各機器でフレームワークが検出した事象はセキュリティ監視エージェントに通知され、一旦それぞれの機器にログ情報として保持される。各機器に保持されたログ情報は、セキュリティ監視マネージャとセキュリティ監視エージェント間の通信機能により、監視サーバに集められ、セキュリティ監視マネージャにより管理される。監視サーバに集められたログ情報に対して、セキュリティ監視マネージャとセキュリティ運用管理フレームワークの連携により、検索や表示を行うことができる。　コントローラには、セキュリティ監視エージェントは配置しない。一般的にコントローラにはメモリ以外の記憶媒体はなく、ログ情報を保持できないからである。コントローラで検出された事象は監視ログ送信機能がデータサーバに通知し、データサーバ上のセキュリティ監視エージェントに管理させることにした。この方式については、制御機器専用マイクロプロキシ機能の一部として外部設計を行っている。

10

　制御系情報 LANと制御 LANのそれぞれにパケットモニタを接続し、不正な通信を監視する。検出された不正な通信は、セキュリティ監視エージェントが管理する。パケットモニタを経由したネットワークへの侵入を防ぐため、パケットモニタの制御 LAN 側および制御系情報 LAN 側の接続は、ステルス（IP アドレスを割り振らないなどの手段により隠蔽）とする（図 5の点線の部分）。

(3) セキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワーク

　セキュリティ運用管理フレームワークは、利用者情報、機器情報、アクセス権限情報などセキュリティ・ポリシーに関連する情報を管理する。これらの情報を保持するデータベースが、セキュリティ・ポリシーマネージャにより作成される。認証・秘匿通信フレームワークが必要とする情報は、認証・秘匿通信フレームワークとセキュリティ運用管理フレームワークの連携により、認証・秘匿通信サーバに送られる。また、セキュリティ監視フレームワークが必要とする情報は、セキュリティ監視フレームワークとセキュリティ運用管理フレームワークの連携により、監視サーバに送られる。　セキュリティ運用管理フレームワークは、ログ情報の GUI機能を持つ。セキュリティ監視マネージャとセキュリティ運用管理フレームワークの連携により、セキィリティ監視フレームワークが監視サーバに集めたログ情報に対して、検索や表示を行うことができる。

(4) 制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール

制御系保護専用ファイアウォールは、情報系 LANと制御系情報 LANを分離し、制御系情報 LAN側を保護する。制御系保護専用ファイアウォールの内側、つまり制御系情報 LANと制御 LANに接続する各機器ではフレームワークが稼動する。外側の情報系 LANに接続する機器では、フレームワークは稼動させない。言いかえれば、制御系保護専用ファイアウォールは、フレームワークが稼動する領域と、フレームワークが稼動しない領域を分離している。制御系保護専用ファイアウォールの制御系情報 LAN側に、制御系情報 LAN専用の認証・秘匿通信機能（図 5の「認証・秘匿：情」）を配置する。フィルタリング・ルールなどのセキュリティ・ポリシー情報が、セキュリティ・ポリシーマネージャにより作成されるが、セキュリティ・ポリシーエージェントを経由して制御系保護専用ファイアウォールに配布される。

(5) 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ

制御機器専用マイクロプロキシは、コントローラをセキュアな機器として動作させるためのセキュリティ機能である。制御機器専用マイクロプロキシの一部として制御 LAN 専用の認証・秘匿機能（図 5の「認証・秘匿：制」）を配置する。制御機器専用マイクロプロキシにはセキュリティ監視エージェントは含めない。一般的にコントローラにはメモリ以外の記憶媒体はなく、ログ情報を保持できないからである。代わりに、事象をデータサーバに中継する監視ログ送信機能を用意することにより、制御機器専用マイクロプロキシ内で検出した事象を、データサーバのセキュリティ監視エージェント機能で管理する。

111111 11





オペコン

Internet



エンコン


プロコン

データサーバ

コントローラ



Webサーバ

データベース

監視サーバ運用管理サーバ認証・秘匿通信サーバ

セキュリティ監視マネージャ

ポリシーAポリシーMポリシーA

監視A

監視M

監視A 監視A

監視M

監視A

セキュリティ監視エージェント

ポリシーM

ポリシーA

セキュリティ・ポリシーエージェント

セキュリティ・ポリシーマネージャ

データベース

データベース

認証･秘匿:制

認証･秘匿:情認証･秘匿:情

認証･秘匿:制

認証･秘匿:情

認証･秘匿:制

認証･秘匿:制

認証･秘匿:情認証･秘匿:情認証･秘匿:情認証･秘匿:情

認証･秘匿:情認証･秘匿:情認証･秘匿:情認証･秘匿:情

認証･秘匿S

認証･秘匿S

認証･秘匿通信フレームワークのサーバ機能

認証･秘匿通信フレームワークのクライアント機能（制御LAN専用）

認証･秘匿通信フレームワークのクライアント機能（制御系情報LAN専用）

監視A監視A監視A監視A

監視A 監視A 監視A

監視A監視ログ送信機能


認証･秘匿:情

監視A

認証･秘匿:情

GUI機能

ポリシーA

図5 フレームワークを適応した制御系システム

12121212

3.2 フレームワークとアプリケーションの役割分担フレームワークとアプリケーションの役割分担フレームワークとアプリケーションの役割分担フレームワークとアプリケーションの役割分担　フレームワークは基本的に透過的に機能するので、アプリケーションがセキュリティに関することを意識する必要はない。制御系システムのアプリケーションは、自身に送られてくる通信要求が全て正当な要求であると信じて動作すればよい。フレームワークが稼動していれば、フレームワークが正当と認める機器間でのみ通信が可能であり、不当な機器からの通信が制御系システムの各機器に到達するはできない。

3.2.1 機器間の通信とフレームワークの関係機器間の通信とフレームワークの関係機器間の通信とフレームワークの関係機器間の通信とフレームワークの関係フレームワークを搭載した機器間の通信において認証・秘匿通信機能が透過的に動作し、通信がセキュアになることを説明しておく。さらに、フレームワークを搭載した機器とフレームワークを搭載しない機器の間では通信できない理由を説明する。

(1) フレームワークを搭載した機器間の通信フレームワークを搭載した機器間の通信フレームワークを搭載した機器間の通信フレームワークを搭載した機器間の通信

図 6にフレームワークを搭載した機器間の通信を示す。フレームワークが搭載されている機器における IP プロトコル上の任意の通信に対して、フレームワークのセキュリティ機能が透過的に動作する。つまり、送信側および受信側のアプリケーションが何もしなくても、フレームワークの認証機能と秘匿通信機能が有効になる。

ネットワーク

(a) 送信先認証

(b) 暗号化 (c) 復号化

(d) 送信元認証

受信機器送信機器

フレームワーク

アプリケーションアプリケーション


図6 フレームワークを搭載した機器間の通信

　通信に伴うフレームワークの動作概略を以下に示す（(a)～(d)は図 6に対応している）。(a) 送信側の認証フレームワークは、セキュリティ運用管理フレームワークが作成した機器間のアクセスルールをもとに、送信機器から受信機器への通信が正当であるか検査する。

(b) 送信側の秘匿通信フレームワークは、通信データを暗号化する。(c) 受信側の秘匿通信フレームワークは、通信データを復号化する。さらに、通信データが改ざんされていないか検査する。

(d) 受信側の認証フレームワークは、正当な機器からの送信であるかを検査する。

13131313

(2) 受信機器のみフレームワークを搭載受信機器のみフレームワークを搭載受信機器のみフレームワークを搭載受信機器のみフレームワークを搭載

フレームワークが搭載されていない機器から、フレームワークが搭載されている機器への通信を図 7に示す。この組み合わせは、不当な機器から制御系システムの機器に侵入しようとする場合に相当する。

ネットワーク

(c) 復号化

(d) 送信元認証




図7 受信機器のみフレームワークを搭載

受信側の機器における以下の検査により、通信データは不当と判断される（(c)と(d)は図7に対応している）。

(c) 受信側の秘匿通信フレームワークは、通信データを復号化できない。また、受信側の秘匿通信フレームワークは、通信データが改ざんされていないことを検査できない。

(d) 受信側の秘匿通信フレームワークは、正当な機器からの送信であることを証明できない。

14141414

(3) 送信機器のみフレームワークを搭載送信機器のみフレームワークを搭載送信機器のみフレームワークを搭載送信機器のみフレームワークを搭載

最後に、フレームワークが搭載されている機器から、フレームワークが搭載されていない機器への通信を図 8に示す。

ネットワーク

(a) 送信先認証

(b) 暗号化




図8 送信機器のみフレームワークを搭載

この組み合わせでは、以下の検査により通信は不当と判断される（(a)は図 8に対応している）。

(a) 送信側の認証フレームワークは、セキュリティ運用管理フレームワークが作成した機器間のアクセスルールをもとに、送信機器から受信機器への通信が正当であるか検査するが、受信機器がフレームワークの管理外であるので不当であると判断する。

仮に送信が行われた場合でも、受信側には秘匿通信フレームワークが存在しないため、送信側の秘匿通信フレームワークで暗号化されている通信データを復号化することはできない。

15151515

3.2.2 役割分担役割分担役割分担役割分担セキュリティに関する処理は基本的に全てフレームワークが行い、アプリケーションはセキュリティに関する処理はしない。ただし、利用者認証に限り、フレームワークとアプケーションが連携して動作する。表 3にフレームワークとアプリケーションの役割分担を示す。

表3 フレームワークとアプリケーションの役割分担

フレームワークアプリケーション機器の認証。機器間の通信可否の判定。

意識しない。認証

利用者の認証。ユーザアプリケーションで定義される利用者毎の権限と動作の違い。

秘匿通信秘匿通信に関する全ての処理。意識しない。監視セキュリティ監視に関する全て

の処理。フレームワークが検出する事象の管理。

セキュリティ監視については意識しない。アプリケーションとユーザアプリケーションが検出する事象の管理。

フレームワークに必要な項目の管理。

フレームワークに必要な定義については意識しない。アプリケーション、および、ユーザアプリケーションに必要な項目の管理。

運用管理

利用者名、利用者グループ名、機器名、機器の IP アドレスについては、フレームワークとアプリケーションが同じ内容の定義を必要とする。しかし、本外部設計では、フレームワークとアプリケーション間での定義の共用は設計の対象外とする。フレームワークが参照する定義はセキュリティ・ポリシーマネージャが管理し、制御監視システムの各アプリケーションが参照する定義はエンコンのアプリケーションが管理する。

以下、セキュリティの各機能毎に、フレームワークの機能概要、および、フレームワークとアプリケーションの役割分担を説明していく。

(1) 認証フレームワーク認証フレームワーク認証フレームワーク認証フレームワーク（機器認証）（機器認証）（機器認証）（機器認証）

認証フレームワークは、機器と利用者の認証を行う。機器認証は、セキュリティ運用管理フレームワークが定義する機器情報とアクセス権限に従い動作する。機器認証に関する処理は全てフレームワークが行い、アプリケーションは何もしない。ここでは、セキュリティ運用フレームワークが作成する主要な定義項目と機器認証の動作概要を説明する。認証フレームワークは、通信において送信機器と受信機器の２つの機器間で機器認証を行う。３つ以上の機器にまたがる処理では、各通信の送信機器と受信機器に対し、機器認証を行う。例えば、オペコンからデータサーバを経由してコントローラにデータアクセスをする場合には、オペコンとデータサーバ間、および、データサーバとコントローラ間で、それぞれ機器認証を行う（図 9）。この２つの機器認証は別々の完結した動作である。つま

16161616

り、オペコンとデータサーバ間の機器認証の処理と、データサーバとコントローラ間の機器認証の処理は、何ら関連を持たない。



データサーバ

オペコン

コントローラ

データサーバとコントローラ間で機器認証

オペコンとデータサーバ間で機器認証

図9 ３つの機器にまたがる処理と機器認証

　認証フレームワークには、制御系情報 LAN 専用と制御 LAN専用がある。制御 LAN には速い処理速度が求められ、制御系情報 LAN には堅牢なセキュリティが求められるため、つぎの方針で外部設計を行っている。

制御系情報 LAN 専用の認証フレームワークの機器認証は、認証・秘匿通信サーバの機能と連携して動作する。認証・秘匿通信サーバと連携することにより、高いレベルのセキュリティ機能を実現できる。

制御 LAN 専用の認証フレームワークの機器認証機能は、認証・秘匿通信サーバの機能とは連携しないで、自身の内部で処理を行う。認証・秘匿通信サーバとの通信をしないため、短い時間でフレームワークのセキュリティ処理を実行することができる。

17171717

(i) 機器機器機器機器

機器名、IPアドレス、公開鍵を定義する。表 4に定義の例を示す。

表4 機器の定義例

機器名 IPアドレス公開鍵CL001 172.16.1.1 ＜公開鍵 1＞CL002 172.16.1.2 ＜公開鍵 2＞

172.16.1.10 ＜公開鍵 3＞DS010172.16.2.10 ＜公開鍵 4＞

WS011 172.16.2.11 ＜公開鍵 5＞172.16.1.12 ＜公開鍵 6＞EN012172.16.2.12 ＜公開鍵 7＞

OP020 172.16.2.20 ＜公開鍵 8＞OP021 172.16.2.21 ＜公開鍵 9＞…… …… ……

機器名と IPアドレスは、ユーザが定義する。

公開鍵は、セキュリティ運用管理フレームワークが作成・管理する。

データサーバとエンコンは、制御系情報 LANと制御 LANの両方に接続にするので、それぞれに IPアドレスがある。

(ii) 機器グループ機器グループ機器グループ機器グループ

機器グループ名を定義する。機器グループ名は、制御系システムを構成する機器の役割を表す。表 5に定義の例を示す。

表5 機器グループの定義例

機器グループ名コントローラデータサーバエンコンオペコンWebサーバ……

セキュリティ運用管理フレームワークがデフォルトを提供する。

ベンダが変更・追加できる。

18181818

(iii) 機器が属する機器グループ機器が属する機器グループ機器が属する機器グループ機器が属する機器グループ

機器と機器グループの対応を定義する。表 6に定義の例を示す。

表6 機器が属する機器グループの定義例

機器グループ名機器名コントローラ CL001, CL002データサーバ DS010エンコン EN012オペコン OP020, OP021Webサーバ WS011…… ……

機器グループ名に対応する機器名をユーザが指定する。

(iv) 機器グループ間のアクセス権限機器グループ間のアクセス権限機器グループ間のアクセス権限機器グループ間のアクセス権限

機器グループ間のアクセス権限を定義する。これは制御系システムにおける機器の種類毎の通信可否である。表 7に定義の例を示す。

表7 機器グループ間のアクセス権限

　　受信送信

コントローラ

エンコンデータサーバ

オペコンプロコンプロコン保守用コンソール

Webサーバ

ファイアウォール（＊１）

コントローラ OKOKOKOK OKOKOKOK OKOKOKOK NG NG NG NG NG

エンコン OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK NG OKOKOKOK NG

データサーバ OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK NG OKOKOKOK NG

オペコン NG OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK NG OKOKOKOK NG

プロコン NG OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK


NG NG NG NG OKOKOKOK OKOKOKOK NG NG

Webサーバ

NG OKOKOKOK OKOKOKOK OKOKOKOK OKOKOKOK NG OKOKOKOK OKOKOKOK

ファイアウォール(*1)

NG NG NG NG OKOKOKOK NG OKOKOKOK OKOKOKOK

＊１：制御系保護専用ファイアウォール


ベンダが変更・追加できる。

OKOKOKOKなら通信可能である。

NGなら通信はできない。

19191919

表 7のアクセス権限は以下に示す考え方で決定した。

コントローラは、必要最小限の機器とのみ通信可能とする。なお、コントローラ間の通信は必要であり、OKOKOKOKにしてある。

制御系保護専用ファイアウォールは、必要最小限の機器とのみ通信可能とする。

プロコン保守用コンソールは、プロコンとのみ通信可能とする。

これら以外の機器間は、全て通信可能とする。

　アクセス権限に基づいた機器認証の動作を説明する。図 10にオペコンからデータサーバへの通信を示す。表 7では、送信がオペコンで受信がデータサーバの欄は OK であり、通信が許可されている。オペコンの認証フレームワークは、アクセス権限の該当欄が OK なので、データサーバへの通信を許可する。もしも、アクセス権限が NG であれば、送信機器の認証フレームワークが通信を不可と判断する。

認証フレームワーク（アクセス権限を検査）

アプリケーション



制御系情報LAN

データサーバ（受信機器）

オペコン（送信機器）

図10 オペコンからデータサーバへの通信

(2) 認証フレームワーク認証フレームワーク認証フレームワーク認証フレームワーク（利用者認証）（利用者認証）（利用者認証）（利用者認証）

　認証フレームワークの利用者認証は、オペレーティング・システムのログイン・ユーザとは関係を持たない。オペコンやエンコンのオペレーティング・システムは、Windows もしくは UNIX が一般的であるが、これら汎用オペレーティング・システムが認証する利用者と、本外部設計書の認証フレームワークが認証する利用者は、独立している。　認証フレームワークには、制御系情報 LAN専用と制御 LAN専用があるが、利用者認証をサポートするのは、制御系情報 LAN 専用だけである。コントローラに利用者が直接ログインすることは常に許可しないのだから、制御 LAN専用の利用者認証機能は必要ない。　認証フレームワークによる利用者認証は、アプリケーションと連携して動作する。利用者の認証はフレームワークが全処理を行う。アプリケーションは認証された利用者に関する情報を、フレームワークから取得することができる。ユーザアプリケーションで定義された利用者の権限に従い、アプリケーションが処理を切り分ける。ユーザがユーザアプリケーションで定義する内容に、フレームワークが関係するべきではないため、このような役割分担とした。

20202020

　認証フレームワークが認証する利用者の名称は、セキュリティ運用管理フレームワークにより定義する。この名称は、ユーザアプリケーションで定義する利用者の名称と一致させる必要がある。　一般に、オペコンにおける利用者の権限は、表 8に示す３種類に大別できる。このような利用者の分類による権限の違いは、エンコンで開発されるユーザアプリケーションにユーザが定義する。

表8 オペコンにおける利用者権限の一般的な分類

利用者の分類説明利用者名の例保守員ユーザアプリケーションの開発および保守に使用す

る利用者である。すべてのデータに対する読み取りと書き込みの権限を持っている。

enguser

運転員プラント運転時の操作員として使用する利用者である。運転時に変更が必要なデータに対する書き込み権限と、すべてのデータに対する読み取りの権限を持っている。

opeuser

スタッフプラント運転の監視専用の利用者である。データの読み取りだけが許可されており、書き込みの権限はない。

monuser

　オペコンからコントローラへのデータアクセスを例に、フレームワークとアプリケーションの連携動作を説明する（図 11）。



コントローラ


利用者名opeuserを取得する


利用者名opeuserのアクセス権限に従いアクセス制御をおこなう


利用者名opeuserを認証する

データサーバのユーザアプリケーション

利用者ごとのアクセス権限が定義されている

アプリケーションのパラメータに利用者名opeuserを乗せる

オペコンデータサーバ

データアクセス

図11 利用者認証におけるフレームワークとアプリケーションの連携

　オペコンにおいて認証フレームワークの利用者認証機能が、利用者を認証する。図 11では利用者名 opeuser が認証されたものとしてある。オペコンのアプリケーションは、フレームワークから認証された利用者名(opeuser)を取得する。そして、オペコンのアプリケーションは、データサーバとの通信パラメータに利用者名 opeuser を含める。データサーバ

21212121

のアプリケーションは、ユーザアプリケーションで定義された opeuser のアクセス権限に基づきアクセス制御を行う。

(i) 利用者利用者利用者利用者

利用者名、利用者識別情報、公開鍵を定義する。表 9に定義の例を示す。

表9 利用者の定義例

利用者名公開鍵enguser ＜公開鍵 1＞enguser2 ＜公開鍵 2＞enguser3 ＜公開鍵 3＞opeuser ＜公開鍵 4＞opeuser2 ＜公開鍵 5＞opeuser3 ＜公開鍵 6＞monuser ＜公開鍵 7＞monuser2 ＜公開鍵 8＞monuser3 ＜公開鍵 9＞…… ……


利用者名は、ベンダおよびユーザが変更・追加できる。

公開鍵は、セキュリティ運用管理フレームワークが作成・管理する。

利用者を識別する情報は、個人情報格納装置（例えば、IC カード）に含まれているので、セキュリティ運用管理フレームワークが管理する情報には含まれない。

(ii) 利用者グループ利用者グループ利用者グループ利用者グループ

機器グループ名を定義する。機器グループ名は、制御系システムを構成する機器の役割を表す。表 10に定義の例を示す。

表10 利用者グループの定義例

利用者グループ名保守員運転員スタッフ……


ベンダおよびユーザが変更・追加できる。

22222222

(iii) 利用者が属する利用者グループ利用者が属する利用者グループ利用者が属する利用者グループ利用者が属する利用者グループ

利用者と利用者グループの対応を定義する。表 11に定義の例を示す。

表11 利用者が属する利用者グループの定義例

利用者グループ名利用者名保守員 enguser, enguser2, enguser3運転員 opeuser, opeuser2, opeuser3スタッフ monuser, monuser2, monuser3…… ……


ベンダおよびユーザが変更・追加できる。

(iv) 利用者グループと機器グループ間のアクセス権限利用者グループと機器グループ間のアクセス権限利用者グループと機器グループ間のアクセス権限利用者グループと機器グループ間のアクセス権限

利用者グループと機器グループ間のアクセス権限を定義する。これは制御系システムにおける機器の種類毎の、利用者認証の可否である。表 12に定義の例を示す。

表12 利用者グループと機器グループ間のアクセス権限

　　コントローラ

エンコンデータサーバ

オペコンプロコンプロコン保守用コンソール

Webサーバ

ファイアウォール（＊１）

保守員 ― (*2) OKOKOKOK (NG) OKOKOKOK OKOKOKOK OKOKOKOK (NG) (NG)

運転員 ― (*2) NG (NG) OKOKOKOK OKOKOKOK NG (NG) (NG)

スタッフ ― (*2) NG (NG) OKOKOKOK OKOKOKOK NG (NG) (NG)

＊ 1：制御系保護専用ファイアウォール＊ 2：制御LAN専用の認証フレームワークは利用者認証の機能を持たないので、制御LANにのみ接続するコントローラでは利用者認証は不可


(NG)の項目は、ベンダが OKに変更することができるが、ユーザは変更できない。

OKOKOKOKとNGの項目は、ベンダおよびユーザが定義内容を変更できる。

利用者グループまたは機器グループを、ベンダおよびユ－ザが変更・追加できる。

OKOKOKOKなら利用者認証が可能である。

NGなら利用者認証が不可である。

(NG)なら利用者認証が不可である。

表 12のアクセス権限は以下に示す考え方で決定した。

23232323

コントローラ、データサーバ、Web サーバ、制御系保護専用ファイアウォールで、通常ユーザアプリケーションの開発やプラントの操作監視を行うことはないので(NG)である。

エンコンとプロコン保守用コンソールは、ユーザアプリケーション開発と保守を行う機器であるため、保守員のみ OKOKOKOKとし、運転員とスタッフは NGとした。

フレームワークの動作を規定する表 12では、運転員とスタッフは、同じアクセス権限をもっている。ユーザが作成するユーザアプリケーションでは、運転員（操作と監視が可能）とスタッフ（監視のみ可能）に異なるアクセス権限が定義されるが、この定義に従った動作の切り分けはアプリケーションが行う（前途の図 11 利用者認証におけるフレームワークとアプリケーションの連携とその説明を参照）。

　表 12のアクセス権限に基づいた認証フレームワークの利用者認証の動作を説明する。例えば、利用者グループ「スタッフ」に属する利用者 monuser がエンコンで利用者認証を受けようとすると、該当欄が NG であるためフレームワークは利用者を認証しない。しかし、利用者グループ「スタッフ」のオペコンに対する該当欄は OKOKOKOKなので、利用者monuserは、オペコンでは認証を受けることが可能である。認証フレームワークは、個人情報格納装置に保持されている情報を使用して検査を行い、正当と判断すれば利用者を認証する。

(3) 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク

秘匿通信フレームワークは、通信データの暗号化とデータ認証を行う。フレームワークが正当と認める機器間の通信は、秘匿通信フレームワークにより暗号化される。通信データは送信機器のフレームワークにより暗号化され、受信機器のフレームワークにより復号化される。アプリケーションは、通信が秘匿されていることを全く意識しない。また、秘匿通信フレームワークのデータ認証によりデータが改ざんされていなことが検査される。秘匿通信フレームワークは、認証フレームワークと連携して動作する。認証フレームワークは制御系情報 LAN専用と制御 LAN専用で異なる設計をしているが、秘匿通信フレームワークは同じである。制御系情報 LAN専用と制御 LAN専用による処理の違いは、秘匿通信フレームワークと連携して動作する認証フレームワークの機能に包含されている。


セキュリティ監視フレームワークは、フレームワークにより検出される事象を管理する。一方、制御監視システムのアプリケーションとユーザアプリケーションが検出する事象は制御監視システムのアプリケーションが管理する（制御監視システムのログ機能については、要件定義書の 2.2.5 制御監視システムのログ機能参照）。つまり、セキュリティ監視フレームワークがセキュリティに関する監視を行い、制御監視システムアプリケーションの監視機能がプラント運転に関する監視を行う。両者は独立していて、それぞれのログ情報は別々に管理される。　フレームワークが検出した事象を、セキュリティ監視フレームワークが管理する仕組みの概要を説明しておく。図 12は制御系システムの一部分である。図 12においてエンコン、オペコン、データサーバおよび監視サーバには、セキュリティ監視エージェントが搭載されている。各機器のフレームワークが検出した事象は、セキュリティ監視エージェントに通知され、一旦各機器にログ情報として保存される。セキュリティ監視マネージャは、セキュリティ監視エージェントと通信を行い、各機器のログ情報を監視サーバに集める。

24242424

　セキュリティ運用管理フレームワークの GUI機能で、監視サーバに集められたログ情報の表示や検索を行うことができる。ログ情報の参照においては、セキュリティ運用管理フレームワークとセキュリティ監視マネージャが連携して動作する。



オペコンエンコンデータサーバ

監視サーバ運用管理サーバ

ポリシーMポリシーA

認証･秘匿:情認証･秘匿:情

認証･秘匿:制

認証･秘匿:情

監視A ログ情報

認証･秘匿:情


認証･秘匿:制

認証･秘匿:情



監視Mログ情報(全体)

GUI機能

ログ情報

監視A


監視M 監視A


ポリシーM ポリシーA


セキュリティ・ポリシーマネージャ

認証･秘匿:制認証･秘匿:情

認証･秘匿通信フレームワークのクライアント機能（制御LAN専用）

認証･秘匿通信フレームワークのクライアント機能（制御系情報LAN専用）

図12 セキュリティ監視フレームワークによる監視


セキュリティ運用管理フレームワークは、利用者情報、機器情報、アクセス権限など、フレームワークの動作に必要となる項目のデータベースを作成し一元管理する。これらの項目には、エンコンで制御監視システムのユーザアプリケーションとして定義する項目と重複するものがある。重複する項目としては、利用者名、利用者グループ名、機器名、機器の IP アドレスな

どがある。本外部設計では、これらの重複する項目を、セキュリティ運用管理フレームワークとエンコンのアプリケーションが、別々に管理するものとした。重複する項目に関して両者が連携することに関しては検討対象外とした。つまり、「利用者名を一度だけ入力すれば、エンコンのアプリケーションと運用管理フレームワークが連携して両者のデータベースに反映される」というようなことは設計の範囲外である。セキュリティ運用管理フレームワークの外部設計として、セキュリティ機能を実現するために各フレームワークが必要とする項目を示す。これらは、セキュリティ運用管理フレームワークが管理する。


制御系保護専用ファイアウォールは、情報系 LANと制御系情報 LANを分離し、制御系情報 LAN側を保護する。制御系保護専用ファイアウォールの内側、つまり制御系情報 LANと制御 LAN に接続する各機器ではフレームワークが稼動する。外側の機器では、フレー

25252525

ムワークは稼動させない。監視端末やホストコンピュータのように外側にある機器と、内側の機器の間で通信をする場合には、制御系保護専用ファイアウォールが仲介をする。図 13に制御系保護専用ファイアウォールの構成の概要を示す。パケットフィルタ機能は、パケットを監視し、フィルタリング・ルールに基づいたアクセス制御を行う。フィルタリング・ルールは、あらかじめセキュリティ運用管理フレームワークにおいて定義されたものを、セキュリティ・ポリシーエージェントから取得する。制御系保護専用ファイアウォールには、通信の仲介を行うプロキシ機能とリバースプロキシ機能がある。また、制御系情報 LAN側には、フレームワークを配置する。




プロキシ機能


リバースプロキシ機能

フレームワーク無効

フレームワーク有効







機器機器

機器機器

パケットフィルタ機能

図13 制御系保護専用ファイアウォール

制御系保護専用ファイアウォールの内側（制御系情報 LAN）から外側（情報系 LAN）への通信では、プロキシ機能が仲介を行う。内側の機器とプロキシ機能（厳密には、制御系保護専用ファイアウォールのフレームワークまで）の間の通信は、フレームワークが有効である。そして、プロキシ機能と外部の機器間の通信では、フレームワークが無効である。制御系保護専用ファイアウォールの外側（情報系 LAN）から内側（制御系情報 LAN）への通信では、リバースプロキシ機能が仲介をする。外側の機器とリバースプロキシ機能の間の通信は、フレームワークが無効である。そして、リバースプロキシ機能（厳密には、制御系保護専用ファイアウォールのフレームワークから先）と内部の機器間の通信は、フレームワークが有効になる。

26262626

役割分担としては、制御機器保護専用ファイアウォールより内側はフレームワークがセキュリティを確保するが、制御機器保護専用ファイアウォールの外側はフレームワークの機能範囲外ということである。


　制御機器専用マイクロプロキシは、コントローラをセキュアな機器として稼動させるセキュリティ機能である。コントローラにおけるセキュリティ処理は、制御機器専用マイクロプロキシが透過的に行う。制御機器専用マイクロプロキシのセキュリティ機能には、コントローラに要求される要件に合わせた独自の外部設計をするものがあるが、これはフレームワーク内部の問題である。制御機器専用マイクロプロキシが透過的に動作するので、当然、アプリケーションは通常のフレームワークと制御機器専用マイクロプロキシの違いを全く意識しない。

3.3 フレームワークとアプリケーションの動作フレームワークとアプリケーションの動作フレームワークとアプリケーションの動作フレームワークとアプリケーションの動作　要件定義書の２.モデル・システムの章には、制御監視システムにおけるアプリケーションの動作とデータの流れが、４つの処理例をもとに解説されている。この節では、セキュリティ機能を適応した制御系システムで同じ処理を行う場合の、フレームワークとアプリケーションそれぞれの動作を説明する。　監視端末からのWebページによるプラント監視のように、制御系保護専用ファイアウォールの外側からの処理では、制御系保護専用ファイアウォールの内側（制御系情報 LAN側）はフレームワークで保護し、外側（情報系 LAN 側）は汎用のセキュリティ機能を使うという構成を示す。

3.3.1 エンコンからのユーザアプリケーションの流れエンコンからのユーザアプリケーションの流れエンコンからのユーザアプリケーションの流れエンコンからのユーザアプリケーションの流れ要件定義書の 2.2.1 エンコンからのユーザアプリケーションの流れには、エンコンで開

発されたユーザアプリケーションが、オペコン、データサーバなどの各機器にコピーされることが説明されている。このうち、エンコンからオペコンへユーザアプリケーションをコピーする場合を例に、フレームワークとアプリケーションそれぞれの動作を解説する。エンコンからオペコンへのユーザアプリケーションのコピーは、図 14の(a)から(h)の順に行われる。

(a) エンコンで稼動するアプリケーションがオペコンのユーザアプリケーションを作成するが、このアプリケーションは認証フレームワークの利用者認証機能により利用者 enguser を認証する。利用者 enguser が属する利用者グループは、エンコンが属する機器グループの機器において利用者認証が可能とする。もしも、認証フレームワークが利用者を認証しない場合には、アプケーションはユーザアプリケーションの作成を許可しない。

(b) エンコンのアプリケーションは、オペコンのユーザアプリケーションをエンコンに送信する。

(c) エンコンの認証フレームワークは、送信機器（エンコン）から受信機器（オペコン）への通信が可能か検査する。

(d) エンコンの秘匿通信フレームワークは、通信データを暗号化する。(e) オペコンの秘匿通信フレームワークは、通信データを復号化する。また、データが改ざんされていないか検査する。

27272727

(f) オペコンの認証フレームワークは、送信機器が正当であることを検査する。(g) 通信データがオペコンで稼動するアプリケーションに届く。(h) オペコンで稼動するアプリケーションのファイル受け取り処理は、ユーザアプリケーションを保存する。




認証・秘匿通信フレームワーク(d)暗号化(c)機器認証（送信先確認）

エンコンオペコン

認証・秘匿通信フレームワーク(e)復号化(f)機器認証（送信元確認）

(a) 認証フレームワーク　　により利用者名 enguserを認証

(h) ファイル受け取り処理オペコンの

ユーザアプリケーション

オペコンのユーザアプリケーション

(b)データ送信 (g)データ受信

図14 エンコンからオペコンへユーザアプリケーションをコピー

3.3.2 オペコンからコントローラへのデータアクセスオペコンからコントローラへのデータアクセスオペコンからコントローラへのデータアクセスオペコンからコントローラへのデータアクセスオペコンからコントローラへのデータアクセスは、データサーバを経由する。この処理は、要件定義書の 2.2.2 オペコンからコントローラへのデータアクセスで説明されている。オペコン、データサーバ、コントローラの３つの機器が登場するが、認証フレームワークは、オペコンとデータサーバ間、および、データサーバとコントローラ間の２組の機器認証を行う。この２つの機器認証は、ぞれぞれが完結した動作である。つまり、オペコンとデータサーバ間の機器認証の処理と、データサーバとコントローラ間の機器認証の処理は、何ら関連を持たない。利用者認証では、認証フレームワークとアプリケーションが連携して動作する。利用者の認証は認証フレームワークが行う。アプリケーションは認証された利用者に関する情報をフレームワークから取得し、ユーザアプリケーションで定義された利用者の権限に従いコントローラへのデータアクセスに対するアクセス制御を行う。認証フレームワークが認証する利用者の名称は、セキュリティ運用管理フレームワークにより定義する。この名称は、ユーザアプリケーションで定義する利用者の名称と一致させておく必要がある。オペコンからコントローラへのデータアクセスは、図 15の(a)から(m)の順に行われる。(a) オペコンのアプリケーションは、認証フレームワークの利用者認証機能により利用者 opeuser を認証する。利用者 opeuser が属する利用者グループは、オペコンが属する機器グループの機器において利用者認証が可能とする。もしも、認証フレームワークが利用者を認証しない場合には、アプケーションはユーザアプリケーションの実行を許可しない。

(b) オペコンのアプリケーションは、認証フレームワークより利用者名 opeuser を取得する。

28282828

(c) オペコンのアプリケーションは、コントローラのデータアクセスクライアントに、コントローラへのデータアクセスを要求する。アプリケーションは、このデータアクセス要求のパラメータに利用者名 opeuserを含める。

(d) オペコンの認証フレームワークは、送信機器（オペコン）から受信機器（データサーバ）への通信が可能か検査する。

(e) オペコンの秘匿通信フレームワークは、通信データを暗号化する。(f) データサーバの秘匿通信フレームワークは、通信データを復号化する。また、データが改ざんされていないか検査する。

(g) データサーバの認証フレームワークは、送信機器が正当であることを検査する。(h) データサーバのデータアクセスサーバは、ユーザアプリケーションに定義されたアクセス権限をもとに、要求されたデータアクセスが利用者 opeuser に対して許可されているか検査する。許可されていれば、コントローラへデータアクセス要求を送信する。

(i) データサーバの認証フレームワークは、送信機器（データサーバ）から受信機器（コントローラ）への通信が可能か検査する。

(j) データサーバの秘匿通信フレームワークは、通信データを暗号化する。(k) コントローラの秘匿通信フレームワークは、通信データを復号化する。また、データが改ざんされていないか検査する。

(l) コントローラの認証フレームワークは、送信機器が正当であることを検査する。(m) コントローラのデータアクセス機能は、データアクセスを実行する。

29292929



アプリケーション(ユーザアプリケーションを実行）

データアクセス　　サーバ

(h)利用者名opeuserのアクセス権限に従いアクセス制御をおこなう

認証・秘匿通信フレームワーク(e)暗号化(d)機器認証（送信先確認）

オペコンデータサーバ認証・秘匿通信フレームワーク(f)復号化(g)機器認証（送信元確認）

(a) 認証フレームワークで　利用者名opeuserを認証(b) 認証フレームワークか　利用者名opeuserを取得

認証・秘匿通信フレームワーク(k)復号化(l)機器認証（送信元確認）


クライアント

データサーバのユーザアプリケーション

(論理名とデータの対応定義)(利用者ごとのアクセス権限の定義）

認証・秘匿通信フレームワーク(i)機器認証（送信先確認）(j)暗号化

　　　　データアクセス機能(m) データまたはパラメータにアクセスする

データパラメータ

コントローラ

(c)アプリケーションのパラメータに利用者名opeuserを乗せる

図15 オペコンからコントローラへのデータアクセス

3.3.3 監視端末から監視端末から監視端末から監視端末からWebページでプラントを監視ページでプラントを監視ページでプラントを監視ページでプラントを監視情報系 LAN 上の監視端末(Web クライアント)に、コントローラのデータを含む Web ペ

ージを表示する場合の動作が、要件定義書の 2.2.3 監視端末からWebページでプラントを監視で説明されている。監視端末では、Web ブラウザに Web サーバ上の URL を指定してWebページを表示する。制御系保護専用ファイアウォールの内側はフレームワークが保護する。ここでは、WebブラウザとWebサーバ間の通信に SSL(Secure Sockets Layer)を使用し、フレームワークのセキュリティ機能が働かない制御系保護専用ファイアウォールの外側を保護する構成について解説する（図 16）。なお、Web サーバのデータアクセスクライアントからコントローラへのデータアクセスは、本書の3.3.2 オペコンからコントローラへのデータアクセスの解説におけるオペコンをWebサーバに置きかえれば、処理の流れは同じである。

30303030


WebサーバWebサーバ

(i) データ取得要求


　　Webブラウザ(a) データ取得要求

　　フレームワーク(d) 機器認証（送信先確認）(e) 暗号化


(c) Webサーバに送る

　　　SSL　(b) 暗号化

　　　　　フレームワーク　　　(g) 機器認証（送信元確認）　　　(f) 復号化

SSL(h) 復号化

制御系保護専用ファイアウォールデータ収集機能

データアクセスクライアント

SSLが保護

SSLが保護

制御系情報LAN制御系情報LAN制御系情報LAN制御系情報LANデータサーバを経由してコントローラのデータにアクセス（フレームワークが保護）

SSLとフレームワーク両方が保護

フレームワークが保護

図16 SSLとフレームワーク

SSL は、TCP/IP プロトコル上の通信をセキュアにするための汎用プロトコルである。SSL は、TCP/IP 層とアプリケーション層の間に位置し、暗号化によるデータの秘匿、電子署名によるサーバとクライアントの認証、データの改ざん防止などのセキュリティ機能が組み込まれている。Microsoft 社の Internet Explorer や Netscape 社の NetscapeNavigatorなど汎用のWebブラウザで SSLが採用されており、SSLを採用したWebサーバとの間で、SSL によるセキュアな通信が広く利用されている。その他の TCP/IP サービスでも SSLを利用することができる。図 16のWebサーバには、SSLサーバ機能が組み込まれている。監視端末から SSLに対応した Web ブラウザで Web ページを表示すると、Web ブラウザと Web サーバ間は SSLにより保護される。制御系保護専用ファイアウォールの内側（制御系情報 LAN 側）はフレームワークが保護するので、制御系保護専用ファイアウォールから Web サーバまではSSLとフレームワークで２重に保護されることになる。監視端末のWebページにコントローラのデータを表示する場合のデータ取得処理は、図

16の(a)から(i)の順に行われる。(a) 監視端末のWebブラウザは、URLで指定されたWebページ（HTMLファイル）を解釈し、データ取得要求を出す。

(b) 監視端末の SSLは、通信データを暗号化する。

31313131

(c) 制御系保護専用ファイアウォールのリバースプロキシ機能は、通信データを Web サーバに送る。

(d) 制御系保護専用ファイアウォールの認証フレームワークは、送信機器（制御系保護専用ファイアウォール）から受信機器（Webサーバ）への通信が可能か検査する。

(e) 制御系保護専用ファイアウォールの秘匿通信フレームワークは、通信データを暗号化する。

(f) Web サーバの秘匿通信フレームワークは、通信データを復号化する（(e)の秘匿通信フレームワークによる暗号化に対応する復号化）。また、データが改ざんされていないか検査する。

(g) Webサーバの認証フレームワークは、送信機器が正当であることを検査する。(h) Web サーバの SSL は、通信データを復号化する（(b)の SSL による暗号化に対応する復号化）。

(i) Webサーバ上のWebサーバ機能は、データ収集機能を使いデータ取得要求を出す。データ取得要求は、Web サーバのデータアクセスクライアントから、データサーバを経由してコントローラに通知される。データアクセスクライアントから先は、本書の3.3.2 オペコンからコントローラへのデータアクセスの解説におけるオペコンをWebサーバに置きかえれば、処理の流れは同じである。

3.3.4 プロコンからコントローラへのデータアクセスプロコンからコントローラへのデータアクセスプロコンからコントローラへのデータアクセスプロコンからコントローラへのデータアクセス要件定義書の 2.2.4 プロコンからコントローラへのデータアクセスには、プロコンか

らデータサーバを経由したコントローラへのデータアクセスと、ホストコンピュータとプロコンの間におけるデータのやり取りが説明されている。プロコンからコントローラへのデータアクセスは、本書の3.3.2 オペコンからコントローラへのデータアクセスの解説におけるオペコンをプロコンに置きかえれば、処理の流れは同じである。情報系 LANに接続するホストコンピュータと制御系情報 LANに接続するプロコンの間

では、双方の機器からデータが送信される（図 17）。ホストコンピュータはプロコンに生産管理等の情報を送出する。プロコンはプラントの運転データをホストコンピュータに送出する。

32323232



プロコン

ホストコンピュータ

ユーザアプリケーション（ホストコンピュータ用）

プラントの運転データ

生産管理等の情報

ホストコンピュータのユーザアプリケーション

ユーザアプリケーション（DCS用）


クライアント

送出

送出


データサーバを経由してコントローラのデータにアクセス

コントローラへのデータアクセス

図17 プロコンとホストコンピュータ間の通信

ホストコンピュータは制御系保護専用ファイアウォールの外側にあり、フレームワークを搭載していない。ホストコンピュータと制御系保護専用ファイアウォール間の通信を、汎用のセキュリティ機能である VPN(Virtual Private Network)を使用してセキュアにする構成を図 18示す。

VPNは、機器の間をトンネル化することにより仮想的な専用ネットワークを構築する。図 18では、ホストコンピュータと制御系保護専用ファイアウォールの情報系 LAN 側の通信が VPN によりトンネル化されている。このトンネルを通る通信は、VPN により秘匿することができる。ホストコンピュータと制御系保護専用ファイアウォール間は VPN が保護し、制御系保護専用ファイアウォールとプロコン間はフレームワークが保護する。この結果、ホストコンピュータとプロコンの間の通信は、経路のすべてでセキュアになる。


制御系情報LAN制御系情報LAN制御系情報LAN制御系情報LANデータサーバを経由してコントローラのデータにアクセス（フレームワークが保護）

プロコン制御系保護専用ファイアウォール


VPN

フレームワークフレームワーク

VPN

トンネル化

VPNが保護

フレームワークが保護

図18 VPNとフレームワーク

33333333

　ホストコンピュータからプロコンへの通信は、図 19の(a)から(h)の順に行われる。(a) ホストコンピュータのユーザアプリケーションは、プロコンに通信データを送信する。

(b) ホストコンピュータの VPNは、通信データを暗号化する。(c) 制御系保護専用ファイアウォールの VPNは、通信データを復号化する（(b)の VPNによる暗号化に対応する復号化）。

(d) 制御系保護専用ファイアウォールの認証フレームワークは、送信機器（制御系保護専用ファイアウォール）から受信機器（プロコン）への通信が可能か検査する。

(e) 制御系保護専用ファイアウォールの秘匿通信フレームワークは、通信データを暗号化する。

(f) プロコンの秘匿通信フレームワークは、通信データを復号化する（(e)の秘匿通信フレームワークによる暗号化に対応する復号化）。また、データが改ざんされていないか検査する。

(g) プロコンの認証フレームワークは、送信機器が正当であることを検査する。(h) プロコンのユーザアプリケーションは、通信データを受信する。



プロコン



VPN　(b)暗号化

フレームワーク (d) 機器認証（送信先確認) (e) 暗号化

フレームワーク (g) 機器認証（送信元確認) (f) 復号化

VPN (c)復号化

トンネル化

VPNが保護

　ホストコンピュータの　ユーザアプリケーション　(a) プロコンへ通信データを送信

　プロコンの　ユーザアプリケーション　(h) 通信データを受信

通信データの流れ

図19 ホストコンピュータからプロコンへの通信

34343434

　プロコンからホストコンピュータへの通信は、図 20の(a)から(h)の順に行われる。(a) プロコンのユーザアプリケーションは、ホストコンピュータに通信データを送信する。

(b) プロコンの認証フレームワークは、送信機器（プロコン）から受信機器（制御系保護専用ファイアウォール）への通信が可能か検査する。

(c) プロコンの秘匿通信フレームワークは、通信データを暗号化する。(d) 制御系保護専用ファイアウォールの秘匿通信フレームワークは、通信データを復号化する（(c)の秘匿通信フレームワークによる暗号化に対応する復号化）。また、データが改ざんされていないか検査する。

(e) 制御系保護専用ファイアウォールの認証フレームワークは、送信機器が正当であることを検査する。

(f) 制御系保護専用ファイアウォールの VPNは、通信データを暗号化する。(g) ホストコンピュータの VPN は、通信データを復号化する（(f)の VPN による暗号化に対応する復号化）。

(h) ホストコンピュータのユーザアプリケーションは、通信データを受信する。



プロコン



VPN　(g)復号化

フレームワーク (e) 機器認証（送信元確認) (d) 復号化

フレームワーク (b) 機器認証（送信先確認) (c) 暗号化

VPN (f)暗号化

トンネル化

VPNが保護

　ホストコンピュータの　ユーザアプリケーション　(h) 通信データを受信

　プロコンの　ユーザアプリケーション　(a) ホストコンピュータへ　　　通信データを送信

通信データの流れ

図20 プロコンからホストコンピュータへの通信

35353535

4 通信仕様通信仕様通信仕様通信仕様

4.1 認証フレームワーク認証フレームワーク認証フレームワーク認証フレームワーク

(1) 通信方式通信方式通信方式通信方式

(i) 利用する通信プロトコル利用する通信プロトコル利用する通信プロトコル利用する通信プロトコル

利用する通信プロトコルは、秘匿通信フレームワークの通信プロトコルを利用する。

(ii) セキュリティセキュリティセキュリティセキュリティ

DoSやリプレイ攻撃を防ぐためにプロトコルが必要とする情報（クッキー、アドレ

スなど）をヘッダ情報または必要とするペイロードに含める。

(2) 通信メッセージ通信メッセージ通信メッセージ通信メッセージ

(i) 制御系情報制御系情報制御系情報制御系情報 LAN

制御系情報 LAN専用認証フレームワークにおけるメッセージを定義する。

各エンティティ間の処理を以下に示す。これらのメッセージを送受信する場合は、秘匿

通信フレームワークでは暗号化処理等を行わないで、認証フレームワークにそのまま提供

する。

認証・秘匿通信サーバとクライアント間での認証処理

送信元機器と宛先機器間での接続処理

ここで定義するクライアントとは、認証対象機器もしくは認証対象利用者、もしくはそ

の両方を指す。各エンティティ間の関係およびメッセージ・シーケンスを図 19 に示す。

ただし、送信元機器（Initiator）は、認証成立後のクライアント（Client）において実際

に送受信処理を行う機器のことを指す。

36363636

表13 制御系情報 LANにおける認証・秘匿通信サーバと機器間でのメッセージ種別

メッセージ種別内容メッセージの方向

認証開始要求クライアントから認証・秘匿通信サーバに対して認証処理の開始を要求するメッセージ

C → AS

認証開始応答認証開始要求を受けて認証・秘匿通信サーバからクライアントに返す応答メッセージ

AS → C

初期認証要求認証・秘匿通信サーバに対して初期認証処理を要求するメッセージ C → AS

初期認証応答初期認証要求を受けて認証・秘匿通信サーバからクライアントに返す応答メッセージ。

AS → C

エラー通知認証・秘匿通信サーバから送信元機器に通知されるエラーメッセージ

AS → C

C:Client

AS:Authentication Server

表14 制御系情報 LANにおける機器間でのメッセージ種別


接続要求送信元機器から宛先機器に接続を要求する要求メッセージ

I → R

接続応答接続要求を受けて宛先機器から送信元機器に返す応答メッセージ

R → I

I:Initiator

R:Responder

37373737

送信元機器Initiator

認証・秘匿通信サーバAuthentication Server

認証開始要求

認証開始応答

初期認証要求

初期認証応答

宛先機器Responder

接続要求

接続応答

図21 制御系情報 LANにおけるメッセージ交換

38383838

(ii) 制御制御制御制御 LAN

制御 LAN専用認証フレームワークにおけるメッセージを定義する。

各エンティティ間の処理を以下に示す。第一のメッセージとして認証・鍵交換データ交

換に利用するパラメータ情報である SA（Security Association）を交換し、共有した SA

を用いて第二のメッセージで認証・鍵交換データを交換する。第三のメッセージにおいて、

送信元機器および宛先機器の間での相互認証を行う。

これらのメッセージを送受信する場合は、秘匿通信フレームワークでは暗号化処理等を

行わないで、認証フレームワークにそのまま提供する。

送信元機器と宛先機器間での接続処理

表15 制御 LANにおける機器間のメッセージ種別


SA交換要求送信元機器から宛先機器に認証・鍵交換処理で使用する SA（Security Association）交換を要求する要求メッセージ

I → R

SA交換応答SA 交換要求を受けて宛先機器から送信元機器に返す応答メッセージ

R → I

データ交換要求送信元機器から宛先機器に認証・鍵交換データの交換を要求する要求メッセージ

I → R

データ交換応答データ交換要求を受けて宛先機器から送信元機器に返す応答メッセージ

R → I

認証データ送信送信元機器から宛先機器に認証データを送信するメッセージ

I → R

認証データ応答認証データ送信を受けて宛先機器から送信元機器に返す応答メッセージ

R → I

I:Initiator

R:Responder

39393939

送信元機器Initiator

宛先機器Responder

ＳＡ交換要求

SA交換応答

データ交換要求

データ交換応答

認証データ送信

認証データ応答

図22 制御 LANにおけるメッセージ交換

40404040

(3) データ形式データ形式データ形式データ形式

(i) 制御系情報制御系情報制御系情報制御系情報 LANにおけるメッセージ形式におけるメッセージ形式におけるメッセージ形式におけるメッセージ形式

制御系情報 LAN 専用認証フレームワークにおけるエンティティ間のメッセージ形式を

以下に示す。

＜メッセージ＞：：＝＜共通部＞＜固有部＞

＜共通部＞：：＝＜ヘッダ情報＞

＜ヘッダ情報＞：：＝＜プロトコルバージョン＞＜メッセージタイプ＞

＜固有部＞：：＝＜ペイロード＞

表16 メンバ詳細

項目ユニーク性説明プロトコルバージョン本規定使用プロトコルのバージョン番号ヘッダ

情報メッセージタイプ本規定メッセージ種別を示す番号

ペイロード各種ペイロード

41414141

(ii) 制御制御制御制御 LANにおけるメッセージ形式におけるメッセージ形式におけるメッセージ形式におけるメッセージ形式

＜メッセージ＞：：＝＜共通部＞＜固有部＞

＜共通部＞：：＝＜ヘッダ情報＞

＜ヘッダ情報＞：：＝＜送信元クッキー＞＜宛先クッキー＞

＜次ペイロードタイプ＞＜バージョン＞

＜交換タイプ＞＜メッセージ ID＞

＜固有部＞：：＝＜ペイロード共通ヘッダ情報＞＜ペイロード＞

＜ペイロード共通ヘッダ情報＞：：＝＜次ペイロードタイプ＞＜ペイロード長＞


項目ユニーク性説明送信元クッキー送信元機器のクッキー宛先クッキー宛先機器のクッキー次ペイロードタイプ本規定メッセージ中最初のペイロードの種別バージョン本規定プロトコルのバージョン交換タイプ本規定使われている交換の種類

ヘッダ情報

メッセージ ID プロトコルの状態を特定するためのユニークなメッセージの ID

次ペイロードタイプ

本規定次にくるペイロードの種別ペイロード共通ヘッダ情報ペイロード長ペイロードの長さ

固有部ペイロード各種ペイロード

42424242

4.2 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク



利用する通信プロトコルとして IPv6を候補とする。

通信は、パケット交換であり、非同期的に行う。end-to-end でパケットは到達可能であるが、本プロトコルでは到達確認や再送制御については行わず、下位のプロトコルに依存する。


本質的に本フレームワークはセキュリティを提供しているため、本フレームワークに対するセキュリティはない。以下は、本フレームワークが提供するセキュリティ機能である。

通信内容について盗聴、改ざん、成り済ましを防ぐために、パケット単位での認証情報の付加、暗号化を行う。認証、暗号化に必要な情報（Salt、鍵など）は、認証フレームワークから取得することとする。

本フレームワークは認証・暗号化を実行するが、それに使用する情報の正当性の保証は行わない。認証フレームワークに全て依存する。

パケットのリプレイ攻撃に対する耐性は、IPv6 が本質的に具備する機能を使用する。

認証を行う方法は、IPsec の AH ヘッダにより、暗号化を行う方法は ESP ヘッダによる。


秘匿通信フレームワークにおけるデータ送信部とデータ受信部との通信メッセージを以下のように定義する。

表18 データ送信部、データ受信部間のメッセージ種別


データ通信データ送信部がデータ受信部に対して、秘匿通信データを送信する

SND→RCV

SND:データ送信部RCV:データ受信部

43434343

秘匿通信フレームワークの SA 管理機能と認証フレームワークとの通信メッセージを以下のように定義する。

表19 SA管理機能、認証フレームワーク間のメッセージ種別


SA要求SA管理機能が認証フレームワークに宛先機器との SAの確立を要求する

SAM→AFW

SA応答認証フレームワークから SA 管理機能に、確立した SAを返却する

AFW→SAM

SAエラー通知認証フレームワークが SA を確立しようと試みたが失敗したことを SA管理機能に通知する

AFW→SAM

SAM:SA管理機能AFW:認証フレームワーク

ログ出力機能とセキュリティ監視エージェントとの通信メッセージを以下のように定義する。

表20 ログ出力機能、セキュリティ監視エージェント間のメッセージ種別


ログ出力ログ出力機能がログ情報をセキュリティ監視エージェントに出力する

LOG→SWA

LOG:ログ出力機能SWA:セキュリティ監視エージェント

秘匿通信管理機能と認証フレームワークとの通信メッセージを以下のように定義する。

表21 秘匿通信管理機能、認証フレームワーク間のメッセージ種別


ポリシー要求秘匿通信管理機能が認証フレームワークに対して、宛先機器に対する通信のセキュリティ・ポリシーを問合せる

STM→AFW

ポリシー応答認証フレームワークがポリシー要求に対応するポリシー情報を秘匿通信管理機能に返却する

AFW→STM

ポリシーエラー通知

認証フレームワークがポリシーを取得できなかったことを秘匿通信管理機能に通知する

AFW→STM

AFW:認証フレームワークSTM:秘匿通信管理機能

44444444


(i) メッセージ形式メッセージ形式メッセージ形式メッセージ形式

データ送信部、データ受信部間データ送信部、データ受信部間データ送信部、データ受信部間データ送信部、データ受信部間＜メッセージ＞：：＝＜共通部１＞＜固有部＞＜共通部２＞＜共通部１＞：：＝＜ヘッダ情報＞＜ヘッダ情報＞：：＝＜IPv6基本ヘッダ＞＜AHヘッダ＞＜ESPヘッダ＞＜IPv6基本ヘッダ＞：：＝＜バージョン＞＜トラフィッククラス＞＜フローラベル＞

＜ペイロード長＞＜次ヘッダ番号＞＜中継限界数＞＜発信元アドレス＞＜宛先アドレス＞

＜AHヘッダ＞：：＝＜次ヘッダ＞＜ペイロード長＞＜予約＞＜SPI＞＜シーケンス番号＞＜認証データ＞

＜ESPヘッダ＞：：＝＜SPI＞＜シーケンス番号＞＜IV＞＜固有部＞：：＝＜暗号化ペイロード＞＜共通部２＞：：＝＜トレイラ＞＜トレイラ＞：：＝＜パッド＞＜認証データ＞

45454545

表22 メッセージ詳細

項目ユニーク性説明バージョン 6トラフィッククラストラフィックの識別用フローラベルサービス品質の指定ペイロード長 AH ヘッダ以降のパケッ

ト長次ヘッダ番号次のヘッダの番号中継限界数中継される限界の数発信元アドレス発信元のネットワーク

層アドレス

IPv6 基本ヘッダ

宛先アドレス宛先のネットワーク層アドレス

次ヘッダ次のヘッダの番号ペイロード長 AHヘッダ長予約機能拡張用SPI パケットに対応するセ

キュリティ・ポリシーを一意に示すインデックス

シーケンス番号パケットの送信順に付加される番号

AHヘッダ

認証データパケットの認証に用いるデータ

SPI パケットに対応するセキュリティ・ポリシーを一意に示すインデックス

シーケンス番号パケットの送信順に付加される番号

ヘッダ情報

ESPヘッダ

IV 暗号化に用いられる初期ベクタ

固有部暗号化ペイロード暗号化されたペイロード

パッド暗号化ペイロード長を暗号化アルゴリズムに適合させるためのパッド

トレイラ

認証データ ESP ヘッダ～パッドを含めた認証データ

46464646

SASASASA管理機能、認証フレームワーク間管理機能、認証フレームワーク間管理機能、認証フレームワーク間管理機能、認証フレームワーク間＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜ヘッダ情報＞：：＝＜IPv6基本ヘッダ＞＜固有部＞：：＝＜ペイロード＞＜ペイロード＞：：＝＜リクエスト｜SAデータ＞＜リクエスト＞：：＝＜宛先機器 IPv6アドレス＞＜宛先機器ポート番号＞

＜送信元機器ポート番号＞＜上位レイヤプロトコル番号＞＜SAデータ＞：：＝＜シーケンス番号＞＜シーケンス番号オーバフロー＞

＜アンチリプレイウィンドウ＞＜有効期限＞＜モード＞＜Path MTU＞


項目ユニーク性説明ヘッダ情報 IPv6基本ヘッダ表 22にて定義される

IPv6基本ヘッダと同様宛先機器 IPv6アドレス

宛先機器のネットワーク層アドレス

宛先機器ポート番号

宛先機器のトランスポート層のポート番号

送信元機器ポート番号

送信元機器のトランスポート層のポート番号

リクエスト

上位レイヤプロトコル番号

トランスポート層のプロトコル番号

シーケンス番号パケットに対して一意に割当てられる番号

シーケンス番号オーバフロー

シーケンス番号がオーバフローした場合に ON

アンチリプレイウィンドウ

リプレイ攻撃を防ぐためのウィンドウ

有効期限 SAの有効期限タイマモード SAを利用するモード

固有部

SAデータ

Path MTU 経路最大転送ユニット

47474747

ログ出力機能、セキュリティ監視エージェント間ログ出力機能、セキュリティ監視エージェント間ログ出力機能、セキュリティ監視エージェント間ログ出力機能、セキュリティ監視エージェント間＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜ヘッダ情報＞：：＝＜IPv6基本ヘッダ＞＜固有部＞：：＝＜ペイロード＞＜ペイロード＞：：＝＜ログデータ＞


項目ユニーク性説明ヘッダ情報 IPv6基本ヘッダ表 22にて定義される IPv6基本ヘッダと同

様固有部ログデータ秘匿通信フレームワーク内の機能が出力す

るログデータ

秘匿通信管理機能、認証フレームワーク間秘匿通信管理機能、認証フレームワーク間秘匿通信管理機能、認証フレームワーク間秘匿通信管理機能、認証フレームワーク間＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜ヘッダ情報＞：：＝＜IPv6基本ヘッダ＞＜固有部＞：：＝＜ペイロード＞＜ペイロード＞：：＝＜リクエスト｜ポリシー応答＞


項目ユニーク性説明ヘッダ情報 IPv6基本ヘッダ表 22にて定義される IPv6基本ヘッダと同

様リクエストセキュリティ・ポリシーの要求メッセージ固有部ポリシー応答リクエストに対する応答メッセージ

48484848

4.3 セキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワーク



利用する通信プロトコルとして HTTPを候補とする。

通信は、同期的に行う。


盗聴、改ざん、成り済ましを防ぐために、トランスポート層以下のセキュア通信プロトコルを使用する。

セキュア通信プロトコルの候補は以下がある。

HTTPS（HTTP　over TLS／SSL）

SocksV5

IPSec

認証・秘匿通信フレームワークのプロトコル（IPSec）


セキュリティ監視エージェントとセキュリティ監視マネージャ間のメッセージとして以下を定義する。

49494949

表26 監視エージェントとマネージャ間のメッセージ種別


起動通知セキュリティ監視エージェントが起動したことをセキュリティ監視マネージャに通知するメッセージ。

A→M

起動確認起動通知を受けてセキュリティ監視マネージャからセキュリティ監視エージェントに返す応答メッセージ。

M→A

起動要求セキュリティ監視マネージャからセキュリティ監視エージェントに起動を要求するメッセージ。

M→A

起動応答起動要求を受けてセキュリティ監視エージェントからセキュリティ監視マネージャに返す応答メッセージ。

A→M

停止通知セキュリティ監視マネージャに対してセキュリティ監視エージェントの停止を通知するメッセージ。

A→M

停止確認停止通知を受けてセキュリティ監視マネージャからセキュリティ監視エージェントに返す応答メッセージ。

M→A

停止要求セキュリティ監視マネージャからセキュリティ監視エージェントの停止を要求するメッセージ。

M→A

停止応答停止要求を受けてセキュリティ監視エージェントからセキュリティ監視マネージャに返す応答メッセージ。

A→M

状態監視要求セキュリティ監視マネージャからセキュリティ監視エージェントを監視するために送信されるメッセージ。セキュリティ監視マネージャから定期的に送信される。

M→A

状態監視応答状態監視要求を受けてセキュリティ監視エージェントからセキュリティ監視マネージャに返す応答メッセージ。

A→M

検知通知セキュリティ監視エージェントが不正アクセスを検知したことをセキュリティ監視マネージャに通知するメッセージ。

A→M

検知確認検知通知を受けてセキュリティ監視マネージャからセキュリティ監視エージェントに返す応答メッセージ。

M→A

状態問合要求（ログ収集）

セキュリティ監視マネージャからセキュリティ監視エージェントに対してログ情報を問合せるメッセージ。

M→A

状態問合応答状況問合を受けてセキュリティ監視エージェントからセキュリティ監視マネージャに返す応答メッセージ。

A→M

フィルタ設定要求セキュリティ監視マネージャからセキュリティ監視エージェントに対して、不正アクセス検知のためのフィルタ情報を配布するためのメッセージ。

M→A

フィルタ設定確認フィルタ設定要求を受けて、セキュリティ監視エージェントからセキュリティ監視マネージャに返す応答メッセージ。

A→M

A:AgentM:Manager

50505050



セキュリティ監視マネージャとセキュリティ監視エージェント間のメッセージ形式を以下に示す。＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜レスポンス情報＞＜事象情報＞＜問合情報＞＜ヘッダ情報＞：：＝＜プロトコルバージョン＞＜メッセージ種別＞　　　　　　　　　　＜シーケンス番号＞＜マネージャ ID＞　　　　　　　　　　＜エージェント ID＞　　　　　　　　　　＜エンティティ ID＞＜レスポンス情報＞：：＝＜レスポンスコード＞＜事象情報＞：：＝＜事象識別子＞＜被害識別子＞＜事象発生時刻＞＜事象検知ログ＞＜問合情報＞：：＝＜問合パラメータ＞＜問合結果＞＜固有部＞：：＝＜固有情報＞

51515151


項目ユニーク性説明プロトコルバージョン本規定本プロトコルのバージョンメッセージ種別本規定メッセージの種別を識別す

る。表 26参照。シーケンス番号メッセージを識別する番号管理マネージャ ID サイトセキュリティ監視マネージャ

を識別する IDエージェント ID サイトセキュリティ監視エージェン

トを識別する ID

ヘッダ情報

エンティティ ID サイトエンティティを識別する IDレスポンス情報

レスポンスコード本規定要求に対する処理の結果を表すコード。表 28に例を示す。

事象識別子本規定監視エージェントが検知した事象を一意に識別する情報

被害識別子本規定被害が発生したかどうかを識別する情報。表 29に例を示す。

事象発生時刻事象が発生した時刻

事象情報

事象検知ログエンティティで獲得したログ項目の値が得られるもの

問合パラメータ問合せに必要なパラメータ問合情報

問合結果問合せの結果を示す情報

固有情報エージェント種別により固有の情報。Xは１文字以上の英数字

52525252

表28 レスポンスコードの例

正常終了プロトコルバージョンが不一致な場合メッセージ送受信先のエージェント ID が一致しない場合メッセージ送受信先の監視マネージャ ID が一致しない場合(起動応答、停止応答)問合せパラメータが解釈不能だった場合(状況問合応答)予期しないエラーが発生した場合(状況問合応答、)未サポートメッセージを受信した場合。パラメータが不足している場合パラメータの値が規約に違反している場合内部エラーエンティティに到達できない場合エージェントが動作しない場合上記以外の場合

表29 被害識別子の例

被害あり被害なし被害状況不明

53535353

4.4 セキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワーク



利用する通信プロトコルとして HTTPを候補とする。



盗聴、改ざん、成り済ましを防ぐために、トランスポート層以下のセキュア通信プロトコルを使用する。

セキュア通信プロトコルの候補は以下がある。

HTTPS（HTTP　over TLS／SSL）

SocksV5

IPSec

認証・秘匿通信フレームワークのプロトコル（IPSec）


セキュリティ・ポリシーエージェントとセキュリティ・ポリシーマネージャ間のメッセージとして以下を定義する。

54545454

表30 セキュリティ・ポリシーエージェントとセキュリティ・ポリシーマネージャ間のメッセージ種別


起動通知セキュリティ・ポリシーエージェントが起動したことをセキュリティ・ポリシーマネージャに通知するメッセージ。

A→M

起動確認起動通知を受けてセキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントに返す応答メッセージ。

M→A

起動要求セキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントに起動を要求するメッセージ。

M→A

起動応答起動要求を受けてセキュリティ・ポリシーエージェントからセキュリティ・ポリシーマネージャに返す応答メッセージ。

A→M

停止通知セキュリティ・ポリシーマネージャに対してセキュリティ・ポリシーエージェントの停止を通知するメッセージ。

A→M

停止確認停止通知を受けてセキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントに返す応答メッセージ。

M→A

停止要求セキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントの停止を要求するメッセージ。

M→A

停止応答停止要求を受けてセキュリティ・ポリシーエージェントからセキュリティ・ポリシーマネージャに返す応答メッセージ。

A→M

ポリシーファイル受信要求

セキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントへポリシーファイルを配布するために送信されるメッセージ。

M→A

ポリシーファイル受信応答

ポリシーファイル受信要求を受けてセキュリティ・ポリシーエージェントからセキュリティ・ポリシーマネージャに返す応答メッセージ。

A→M

ログ情報送信要求セキュリティ・ポリシーマネージャがセキュリティ・ポリシーエージェントへログ情報の送信を要求するメッセージ。

M→A

ログ情報送信応答ログ情報送信要求を受けてセキュリティ・ポリシーエージェントからセキュリティ・ポリシーマネージャに返す応答メッセージ。

A→M

不正イベント通知要求

セキュリティ・ポリシーエージェントからセキュリティ・ポリシーマネージャに対して不正イベントが発生したことを通知するメッセージ。

A→M

不正イベント通知確認

不正イベント通知要求を受けてセキュリティ・ポリシーマネージャからセキュリティ・ポリシーエージェントに返す応答メッセージ。

M→A

A:Agent

55555555

M:Manager



セキュリティ・ポリシーマネージャとセキュリティ・ポリシーエージェント間のメッセージ形式を以下に示す。＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜レスポンス情報＞＜事象情報＞＜問合情報＞＜ヘッダ情報＞：：＝＜プロトコルバージョン＞＜メッセージ種別＞　　　　　　　　　　＜シーケンス番号＞＜マネージャ ID＞　　　　　　　　　　＜エージェント ID＞　　　　　　　　　　＜エンティティ ID＞＜レスポンス情報＞：：＝＜レスポンスコード＞＜事象情報＞：：＝＜事象識別子＞＜被害識別子＞＜事象発生時刻＞＜事象検知ログ＞＜問合情報＞：：＝＜問合パラメータ＞＜問合結果＞＜固有部＞：：＝＜固有情報＞

56565656



る。表 30参照。シーケンス番号メッセージを識別する番号ポリシーマネージャ ID サイトセキュリティ・ポリシーマネ

ージャを識別する IDエージェント ID サイトセキュリティ・ポリシーエー

ジェントを識別する ID

ヘッダ情報

エンティティ ID サイトエンティティを識別する IDレスポンス情報


ポリシーファイル種別本規定ポリシーファイル種別を一意に識別する情報

ポリシーファイル配布結果

本規定ポリシーファイルの配布結果を識別する情報。表 33に例を示す。

ポリシー配布情報

ポリシーファイル配布時刻

事象が発生した時刻

問合パラメータ問合せに必要なパラメータ問合せ情報

問合結果問合せの結果を示す情報

固有情報エージェント種別により固有の情報。Xは１文字以上の英数字

57575757


正常終了プロトコルバージョンが不一致な場合メッセージ送受信先のエージェント ID が一致しない場合メッセージ送受信先のポリシーマネージャ ID が一致しない場合(起動応答、停止応答)問合せパラメータが解釈不能だった場合(状況問合応答)予期しないエラーが発生した場合(状況問合応答、)未サポートメッセージを受信した場合。パラメータが不足している場合パラメータの値が規約に違反している場合内部エラーエンティティに到達できない場合エージェントが動作しない場合上記以外の場合

表33 ポリシーファイル配布結果の例

正常異常不明

58585858

4.5 制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール



ホストコンピュータと制御系保護専用ファイアウォール間の伝送プロトコルは VPNによる保護を行う。また、アプリケーションプロトコルについてはホストコンピュータとプロコン間の標準的なプロトコルを特定することが困難なため特に限定はしない。

監視端末と制御系保護専用ファイアウォール間のアプリケーションプロトコルは、HTTPSおよびHTTPに限定する。

プロコンと制御系保護専用ファイアウォールとの伝送プロトコルは、秘匿通信フレームワークで使用する通信プロトコルに依存する。また、アプリケーションプロトコルについてはホストコンピュータ間と同様に限定はしない。

Web サーバと制御系保護専用ファイアウォール間の伝送プロトコルは、秘匿通信フレームワークで使用する通信プロトコルに依存する。また、アプリケーションプロトコルについては監視端末間と同様に、HTTPSおよび HTTPに限定する。

表34 制御系保護専用ファイアウォールが使用する通信プロトコル

通信相手アプリケーションプロトコル伝送プロトコル

ホストコンピュータ特に限定しない TCP（VPNソフトウェア）

監視端末（Webクライアント）

HTTPS、HTTPTCP

プロコン特に限定しない TCP（秘匿通信フレームワーク）

Webサーバ HTTPS、HTTP TCP（秘匿通信フレームワーク）

59595959


ホストコンピュータと制御系保護専用ファイアウォール間のセキュリティは、VPN製品に依存する。

監視端末と制御系保護専用ファイアウォール間のセキュリティは、SSL(SecureSockets Layer)を使用する。基本的に SSL の実装は Web サーバ上で行うことを想定しているが、ファイアウォールにおいて SSL が実装されている場合は、その限りではない。

表35 制御系保護専用ファイアウォールが使用するセキュリティプロトコル

通信相手セキュリティプロトコルホストコンピュータ VPNソフトウェアに依存監視端末（Webクライアント）

SSL

プロコン秘匿通信フレームワーク+SOCKS

Webサーバ秘匿通信フレームワーク+SSL


制御系保護専用ファイアウォールにおける通信の役割は、External ネットワークの伝送プロトコルを Internal ネットワークの伝送プロトコルに変換すること、または、Internalネットワークの伝送プロトコルを External ネットワークの伝送プロトコルに変換することであり、ファイアウォールとしての通信メッセージは特に持たない。


通信メッセージと同様。

60606060

4.6 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ独自の通信仕様としては、コントローラとデータサーバ間での監視ログ送信がある。（詳細については、『5.4.6 制御機器専用マイクロプロキシ』の概要説明を参照。）制御機器専用マイクロプロキシではセキュリティ監視エージェントを実装できないため、監視ログをデータサーバ上のセキュリティ監視エージェントを利用し管理する。



利用する通信プロトコルとして TCPまたは UDPを候補とする。



盗聴、改ざん、成り済ましを防ぐために、認証・秘匿通信フレームワークが提供するプロトコルを使用する。


コントローラとデータサーバ間のメッセージとして以下を定義する。

表36 コントローラとデータサーバ間のメッセージ種別


ログ送信要求コントローラからデータサーバへの監視ログの送信要求メッセージ。

C→D

ログ送信確認ログ送信要求を受けてデータサーバからコントローラに返す応答メッセージ。

D→C

C:コントローラD:データサーバ

61616161



コントローラとデータサーバ間のメッセージ形式を以下に示す。＜メッセージ＞：：＝＜共通部＞＜固有部＞＜共通部＞：：＝＜ヘッダ情報＞＜レスポンス情報＞＜ヘッダ情報＞：：＝＜プロトコルバージョン＞＜メッセージ種別＞　　　　　　　　　　＜シーケンス番号＞＜コントローラ ID＞＜レスポンス情報＞：：＝＜レスポンスコード＞＜固有部＞：：＝＜属性＞＜固有情報＞



る。表 36参照。シーケンス番号メッセージを識別する番号

ヘッダ情報コントローラ ID サイトコントローラを識別する IDレスポンス情報


属性本規定固有情報の属性。固有部固有情報固有の情報。（監視ログデー

タ）


正常終了プロトコルバージョンが不一致な場合メッセージ送信先のコントローラ ID が一致しない場合未サポートメッセージを受信した場合。パラメータが不足している場合パラメータの値が規約に違反している場合内部エラー上記以外の場合

62626262

5 システム構造システム構造システム構造システム構造

5.1 機能説明機能説明機能説明機能説明フレームワークは認証、秘匿通信機能をベースとして構成される。制御系システムの通信は全てフレームワークにより認証を行い、正当と認める機器間の通信は、秘匿する。認証には機器認証と利用者認証がある。制御 LAN は直接利用者にアクセスさせないため、利用者認証機能は制御系情報 LAN にのみ提供される。機器はセキュリティ監視を目的としたログ情報が収集され、集中監視が行われる。利用者情報、機器情報、アクセス権限情報などセキュリティ・ポリシーに関連する情報は統合管理を行う。情報系 LAN 経由の監視端末に対しては制御系情報 LAN へのアクセス制御を行う。コントローラに対してはセキュアな機器として動作させるための専用セキュリティ機能を持つ。以上の機能は大項目レベルとして６機能ブロックから構成される。

5.2 機能ブロックの構成機能ブロックの構成機能ブロックの構成機能ブロックの構成機能ブロックを構成する大項目レベルの６機能について以下に示す。

(1) 認証フレームワーク認証フレームワーク認証フレームワーク認証フレームワーク

認証フレームワークは、機器と利用者の認証を行うことを目的とした機能である。機器認証は、セキュリティ運用管理フレームワークが定義する機器情報とアクセス権限に従い動作し、通信において送信機器と受信機器の２つの機器間で機器認証を行う。３つ以上の機器にまたがる処理では、それぞれの通信の送信機器と受信機器に対し、機器認証を行う。また利用者認証は、汎用オペレーティング・システムが認証する利用者と、認証フレームワークが認証する利用者は、独立しており、アプリケーションと連携して動作する。利用者の認証はフレームワークが全処理を行う。アプリケーションは認証された利用者に関する情報を、フレームワークから取得することができる。

(2) 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク

秘匿通信フレームワークは、機器間の通信の暗号化およびデータ認証を行うことを目的とした機能である。認証フレームワークが正当と認める機器間の通信は、秘匿通信フレームワークにより暗号化される。通信データは送信機器の秘匿通信フレームワークにより暗号化され、受信機器の秘匿通信フレームワークにより復号化される。


セキュリティ監視フレームワークは、制御 LANおよび制御系情報 LAN上の機器のセキュリティ監視を目的とした機能である。機能はセキュリティ監視エージェントとセキュリティ監視マネージャで構成され、ログ情報の収集を行う。各機器で検出された事象は、各

63636363

機器のセキュリティ監視エージェントによりログ情報として保持され、通信機能により監視サーバに集められ、セキュリティ監視マネージャにより管理される。監視サーバに集められたログ情報に対して、セキュリティ監視マネージャとセキュリティ運用管理フレームワークの連携により、検索や表示を行うことができる。


セキュリティ運用管理フレームワークは、利用者情報、機器情報、アクセス権限情報などセキュリティ・ポリシーに関連する情報の一元管理を目的とした機能である。セキュリティ・ポリシーは全てセキュリティ運用管理フレームワークで作成され、他フレームワークへ配布する。またセキュリティ監視フレームワークとの連携によりログ情報を検索、表示する。


制御系保護専用ファイアウォールは、制御系情報 LAN を保護することを目的として動作する機能である。情報系 LAN と制御系情報 LANを分離し、情報系 LAN 上の許可された監視端末のみが制御系情報 LAN 上の Web サーバをアクセスできるようにネットワーク間通信の仲介を行う。またホストコンピュータとプロコン間の通信の仲介も行う。


制御機器専用マイクロプロキシは、コントローラをセキュアな機器として動作させることを目的とした機能である。コントローラが配置される制御 LANは制御系情報 LANへの通信経路が制限されていること、および一般的にコントローラにはメモリ以外の記憶媒体はないことなどから、認証フレームワーク、秘匿通信フレームワーク、セキュリティ監視フレームワークの機能をコントローラの実装条件に合わせて設計したものである。

64646464

機能ブロック間の相互関係を以下に示す。

図23 機能ブロック間の相互関係

5.3 機能ブロックの概要説明機能ブロックの概要説明機能ブロックの概要説明機能ブロックの概要説明

5.3.1 認証フレームワーク認証フレームワーク認証フレームワーク認証フレームワーク本フレームワークは、秘匿通信フレームワークで利用するパラメータ情報である

SA(Security Association)の確立を目的としている。SA は、認証機能、暗号化機能、確立した鍵、IV(Initial Vector)、SPI(Security Parameter Index)など秘匿通信に必要な各パラメータを示す情報である。本フレームワークは、SA 確立のための認証手段と鍵交換手段を提供するものである。本フレームワークにより SA が確立されることにより、機器間での相互認証と秘匿通信フレームワークのための各パラメータ情報を共有することができる。SA を合意するための方法は、制御 LAN と制御系情報 LAN により異なる。これは、制御 LANと制御系情報 LANとでは取り扱う情報の違いから、ネットワークとセキュリティ機能に関する要件がそれぞれの LANで異なるからである。制御 LAN では、速い通信速度が要求されるため、SA を合意する手段もパフォーマンスの高い方法が望ましい。制御系情報 LAN では、情報セキュリティに重点が置かれるため、第三者によるより安全な認証手段が求められる。そこで、本フレームワークにおいては、おのおのの LANの特性に適した機能構成を提供するものである。以下、各 LANにおける認証フレームワークの機能ブロックについて説明する。

ネットワーク間の

アクセス制御

アクセス制御・暗号化

セキュリティ・

ポリシー

ログ情報

ログ情報セキュリティ・

ポリシー

セキュリティ運用管理


セキュリティ監視


認証


秘匿通信


制御系保護専用

ファイアウォール

制御機器

制御機器専用

マイクロプロキシ

情報系 LAN

65656565

(1) 制御制御制御制御 LAN専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク

制御 LAN専用認証フレームワークは、制御 LAN上の機器間での相互認証と秘匿通信フレームワークで利用する SAを交換する機能を提供する。以下に、制御 LAN専用認証フレームワークの機能関連図を示す。

メッセージ制御機能機器識別機能

機器識別情報

ペイロード制御機能

秘匿通信連携機能

ペイロードSA情報

機器識別情報


機器秘密情報

SA情報メッセージ

SAメッセージ

秘密鍵証明書など


ログ出力機能

ログ

機器

メッセージ

メッセージ


鍵交換処理機能

管理情報取得機能

鍵交換情報鍵

問い合わせ情報ポリシー

ポリシー

ペイロード

ログ出力機能への入力は、各機能からログ情報が入力されるログ出力機能への入力は、各機能からログ情報が入力されるログ出力機能への入力は、各機能からログ情報が入力されるログ出力機能への入力は、各機能からログ情報が入力される

ポリシー

運用管理サーバ

ポリシー

図24 制御 LAN専用認証フレームワーク機能関連図

本機能は、以下の機能から構成される。



メッセージ制御機能



機器識別機能

ログ出力機能

66666666

(i) 管理情報取得機能管理情報取得機能管理情報取得機能管理情報取得機能

機器で使用する各種管理情報を取得する機能を提供する。

(ii) 秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能

秘匿通信フレームワークと認証フレームワークの間でのメッセージ連携を行う機能を提供する。また、秘匿通信フレームワークの SA（Security Association：パラメータ情報）を生成する機能を提供する。

(iii) メッセージ制御機能メッセージ制御機能メッセージ制御機能メッセージ制御機能

SA確立処理におけるメッセージの処理を制御する機能を提供する。

(iv) ペイロード制御機能ペイロード制御機能ペイロード制御機能ペイロード制御機能

SA確立処理におけるペイロード処理を制御する機能を提供する。

(v) 鍵交換処理機能鍵交換処理機能鍵交換処理機能鍵交換処理機能

SA確立処理時の鍵交換処理を行う機能を提供する。

(vi) 機器識別機能機器識別機能機器識別機能機器識別機能

機器の識別を行う機能を提供する。

(vii) ログ出力機能ログ出力機能ログ出力機能ログ出力機能

機器において発生した監視対象イベントのログ情報をセキュリティ監視エージェントに出力する機能を提供する。

67676767

(2) 制御系情報制御系情報制御系情報制御系情報 LAN専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク（認証（認証（認証（認証・秘匿通・秘匿通・秘匿通・秘匿通

信サーバ部）信サーバ部）信サーバ部）信サーバ部）

認証・秘匿通信サーバにおける制御系情報 LAN 専用認証フレームワークは、利用者および機器の認証を行い、宛先機器に対するアクセス許可情報を送信元機器に発行する機能を提供する。以下に、認証・秘匿通信サーバにおける制御系情報 LAN 専用認証フレームワークの機能関連図を示す。

認証制御機能


アクセス許可情報発行制御機能

アクセス許可情報発行機能

発行情報発行命令

利用者情報機器情報


アクセス権限情報

認証結果

セキュリティ・ポリシーエージェントセキュリティ監視エージェント

ログ出力機能

ログ利用者情報機器情報


機器

メッセージ

アクセス許可情報

認証サーバ



図25 制御系情報 LAN専用認証フレームワーク（認証・秘匿通信サーバ部）機能関連図



認証制御機能



ログ出力機能

68686868

(i) 管理情報取得機能管理情報取得機能管理情報取得機能管理情報取得機能

認証・秘匿通信サーバで使用する各種管理情報をセキュリティ・ポリシーエージェントから取得する機能を提供する。

(ii) 認証制御機能認証制御機能認証制御機能認証制御機能

認証・秘匿通信サーバでの認証処理を制御する機能を提供する。

(iii) アクセス許可情報発行制御機能アクセス許可情報発行制御機能アクセス許可情報発行制御機能アクセス許可情報発行制御機能

機器アクセス時に使用するアクセス許可情報発行を制御する機能を提供する。

(iv) アクセス許可情報発行機能アクセス許可情報発行機能アクセス許可情報発行機能アクセス許可情報発行機能

アクセス許可情報を発行する機能を提供する。

(v) ログ出力機能ログ出力機能ログ出力機能ログ出力機能

認証・秘匿通信サーバにおいて発生した監視対象イベントのログ情報をセキュリティ監視エージェントに出力する機能を提供する。

69696969

(3) 制御系情報制御系情報制御系情報制御系情報 LAN専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク（機器部）（機器部）（機器部）（機器部）

機器における制御系情報 LAN 専用認証フレームワークは、認証・秘匿通信サーバに対する利用者および機器の認証処理を行う機能を提供する。また、認証・秘匿通信サーバから発行されたアクセス許可情報に基づく機器相互認証と秘匿通信フレームワークで利用する SAを交換する機能を提供する。以下に、機器における制御系情報 LAN専用認証フレームワークの機能関連図を示す。

利用者認証制御機能

利用者識別機能

利用者識別情報

利用者秘密情報

認証子生成機能

機器識別機能

機器識別情報

機器認証制御機能

アクセス許可情報制御機能


アクセス許可情報検証機能

機器認証ペイロード

機器識別情報

利用者識別結果

利用者認証ペイロード

アクセス許可情報認証子生成鍵


機器秘密情報

アクセス許可情報認証子


SAメッセージ

認証子


ログ出力機能

ログ

生体識別装置

個人情報格納機能

検証結果


ログイン情報

機器

メッセージ

メッセージ


認証子生成鍵

アクセス許可情報認証子検証結果


認証子生成鍵



認証・秘匿通信サーバ

メッセージ

図26 制御系情報 LAN専用認証フレームワーク（機器部）機能関連図

70707070






機器識別機能





ログ出力機能

(i) 秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能

秘匿通信フレームワークと認証フレームワークの間でのメッセージ連携を行う機能を提供する。また、秘匿通信フレームワークの SA（Security Association：パラメータ情報）を生成する機能を提供する。

(ii) メッセージ制御機能メッセージ制御機能メッセージ制御機能メッセージ制御機能

認証処理および SA確立処理におけるメッセージの処理を制御する機能を提供する。

(iii) 利用者識別機能利用者識別機能利用者識別機能利用者識別機能

機器を利用する利用者の本人確認を行う機能を提供する。

(iv) 利用者認証制御機能利用者認証制御機能利用者認証制御機能利用者認証制御機能

利用者認証処理を制御する機能を提供する。

(v) 機器識別機能機器識別機能機器識別機能機器識別機能

機器の識別を行う機能を提供する。

(vi) 機器認証制御機能機器認証制御機能機器認証制御機能機器認証制御機能

機器認証処理を制御する機能を提供する。

(vii) 認証子生成機能認証子生成機能認証子生成機能認証子生成機能

アクセス許可情報に対する認証子を生成する機能を提供する。

(viii) アクセス許可情報制御機能アクセス許可情報制御機能アクセス許可情報制御機能アクセス許可情報制御機能

機器におけるアクセス許可情報の処理を制御する機能を提供する。

71717171

(ix) アクセス許可情報検証機能アクセス許可情報検証機能アクセス許可情報検証機能アクセス許可情報検証機能

受信したアクセス許可情報の正当性を検証する機能を提供する。

(x) ログ出力機能ログ出力機能ログ出力機能ログ出力機能

機器において発生した監視対象イベントのログ情報をセキュリティ監視エージェントに出力する機能を提供する。

5.3.2 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク本フレームワークは平文データの入力を暗号化、認証情報を付加し、暗号文データの入

力を復号化・検証することを目的とする。図 27において左側が出力機器、右側が入力機器になっているが、実機では一つの機器内に入力・出力が混在する。

OS からの入力はパケット制御機能に入り、そのパケットに対してどのような秘匿通信機能を与えるのかを秘匿通信管理機能に問合せる。秘匿通信管理機能は認証フレームワークに問合せて、そのパケットに対するセキュリティ・ポリシーを得る。そのポリシーに応じて平文のまま送信するか暗号化・認証するかを決定する。暗号化・認証する場合は、SA(Security Association)管理機能によって暗号化、認証の方法を問合せる。SA 管理機能は認証フレームワークからそのパケットに該当する SAを得て返却する。SAが得られなかった場合は、パケット制御機能が該当パケットを破棄し、SA が得られないというエラーをログ出力機能に出力する。送信データの SA にしたがって、データ暗号化機能でデータを暗号化し、データ認証機

能でデータの認証情報を付加し、データ送信機能に渡す。この一連の過程でエラーが発生した場合は該当パケットを破棄し、エラーログをログ出力機能に出力する。最終的に、データ送信機能が宛先機器アドレスにしたがってパケットを送信する。このとき発生した通信エラーは秘匿通信機能のエラーではないため、下層の通信プロトコルによって処理され本フレームワークは関知しない。また、コネクションレス指向のプロトコルを採用しているため本フレームワークでの再送制御や輻輳制御は行わない。データの受信側は、受け取ったデータに対応する SA にしたがって、データ検証機能で

データの正当性を検証し、データ復号化機能でデータの復号化を行い、パケット制御機能に渡す。パケット制御機能では、そのパケットに対するポリシーを適用して、データを OSに渡すか破棄するかを決定する。復号・検証の処理でエラーが発生した場合は該当パケットを破棄し、エラーログをログ出力機能に出力する。

72727272

OS OS


パケット制御機能

SA管理機能

データ暗号化機能

データ認証機能


データ復号化機能

データ検証機能SA管理機能

データ

データ

平文、SA

秘匿通信管理機能

暗号化後データ、SA

データ送信機能データ受信機能

認証後データ入力データ、SA

検証後データ、SA

復号化後データ

データ

データ


平文平文

SA問合せ

SA問合せ、SA返却

管理情報問合せ管理情報問合せ、

管理情報返却




ログ出力機能ログ出力機能


ログログ

ログ出力機能には細破線中の全ての機能から入線がある。しかし、簡単のため省略。

秘匿通信ポリシー問合せ


通信路

図27 秘匿通信フレームワーク機能関連図




SA管理機能



データ送信機能

データ受信機能

データ検証機能


ログ出力機能

(i) パケット制御機能パケット制御機能パケット制御機能パケット制御機能

Outbound データを扱う場合、セキュリティ機能を適用するなら SA を取得してデータ暗号化機能に渡す。Inbound データの場合、セキュリティ・ポリシーに応じてパケットの取捨選択をし、上位層に渡す。

(ii) 秘匿通信管理機能秘匿通信管理機能秘匿通信管理機能秘匿通信管理機能

認証フレームワークと連携して、パケットに対する処理の内容を決定する。

73737373

(iii) SA管理機能管理機能管理機能管理機能

認証フレームワークと連携して、パケット単位で適用するセキュリティ機能を決定する。

(iv) データ暗号化機能データ暗号化機能データ暗号化機能データ暗号化機能

Outboundデータの暗号化を行う。

(v) データ認証機能データ認証機能データ認証機能データ認証機能

Outboundデータが改ざんされてないことを保証するための認証情報を生成する。

(vi) データ送信機能データ送信機能データ送信機能データ送信機能

通信相手の機器のデータ受信機能にデータを送信する。

(vii) データ受信機能データ受信機能データ受信機能データ受信機能

通信相手の機器のデータ送信機能からデータを受信し、データ検証機能またはパケット制御機能に渡す。

74747474

(viii) データ検証機能データ検証機能データ検証機能データ検証機能

Inboundデータが改ざんされていないことを検証する。

(ix) データ復号化機能データ復号化機能データ復号化機能データ復号化機能

Inboundデータの復号化を行う。

(x) ログ出力機能ログ出力機能ログ出力機能ログ出力機能

秘匿通信フレームワークにおいて発生する各種イベントをセキュリティ監視エージェントに転送する。

5.3.3 セキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワークセキュリティ監視フレームワークとは、制御系システムにおける外部からの不正アクセスの検知とログの保全に関して、セキュリティ監査を実現する機能仕様である。本フレームワークは、セキュリティ国際標準である、ISO/IEC15408 セキュリティ機能

要件の中で規定されている、セキュリティ監査に関わる機能コンポーネントに則して設計を行い、セキュリティ監視エージェント、セキュリティ監視マネージャから構成される。セキュリティ監視フレームワークの機能関連図を以下に示す。

75757575

ログ取得機能

認証・秘匿通信フレームワーク

セキュリティ監視エージェント通信機能


ログ管理機能

ログ通信機能イベント通信機能ログ分析機能

フィルタ設定機能


ポリシー連携機能ログ改ざん検知機能


セキュリティ・ポリシーエージェント機能

フィルタ管理機能ログ管理機能

レポート生成機能

イベント分析機能

セキュリティ監視マネージャ通信機能

ログ情報

図28 セキュリティ監視フレームワーク機能関連図

(1) セキュリティ監視エージェントセキュリティ監視エージェントセキュリティ監視エージェントセキュリティ監視エージェント

セキュリティ監視エージェントは、データサーバ、オペコン、プロコン、Web サーバ、エンコン、プロコン用保守コンソール、制御系保護専用ファイアウォール、認証フレームワーク、秘匿通信フレームワーク、パケットモニタの上で動作し、それぞれのエンティティからログ情報を取得・分析する機能を提供する。


ログ取得機能

76767676

ログ管理機能

ログ分析機能

ログ通信機能


イベント通信機能

セキュリティ監視エージェント通信機能

(i) ログ取得機能ログ取得機能ログ取得機能ログ取得機能

各々のエンティティから通知されるログ情報を取得する機能を提供する。

(ii) ログ管理機能ログ管理機能ログ管理機能ログ管理機能

ログ取得機能からログ情報を受け取り、これを保管し、レポート生成機能からの要求により必要なログ情報を取り出す機能を提供する。

(iii) ログ分析機能ログ分析機能ログ分析機能ログ分析機能

分析ルールの内容にしたがって、ログ情報を分析する機能を提供する。

(iv) ログ通信機能ログ通信機能ログ通信機能ログ通信機能

ログ分析機能からのログ情報の分析結果を、セキュリティ監視マネージャに通知すルータめに、監視エージェント通信機能へ受け渡しする機能を提供する。

(v) イベント通信機能イベント通信機能イベント通信機能イベント通信機能

フィルタ設定機能にて設定されたフィルタ条件により検知された不正アクセス事象をセキュリティ監視マネージャに通知する機能を提供する。

(vi) フィルタ設定機能フィルタ設定機能フィルタ設定機能フィルタ設定機能

本機能は、監視マネージャから、監視エージェントへ通知される不正アクセス事象に対する、フィルタ条件を追加／削除する機能を提供する。

(vii) セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能

本機能は、セキュリティ監視マネージャとの通信機能を提供する。

(2) セキュリティ監視マネージャセキュリティ監視マネージャセキュリティ監視マネージャセキュリティ監視マネージャ

セキュリティ監視マネージャは、セキュリティ監視エージェントが動作する各エンティティから通知されるログ情報を入力とし、セキュリティ・ポリシーエージェント機能からのルール・ポリシー情報に従い、不正アクセスを分析し、その結果を運用機能へ受け渡しする機能を提供する。


77777777

ログ管理機能

イベント分析機能

ポリシー連携機能

フィルタ管理機能

ログ改ざん検知機能

レポート生成機能

セキュリティ監視マネージャ通信機能

(i) ログ管理機能ログ管理機能ログ管理機能ログ管理機能

本機能は、セキュリティ監視エージェントのセキュリティ監視エージェント通信機能より、認証・秘匿通信フレームワークを介してセキュリティ監視マネージャ通信機能へと通知されたログ情報を保管し、レポート生成機能からの要求により、必要なログ情報を取り出す機能を提供する。

(ii) イベント分析機能イベント分析機能イベント分析機能イベント分析機能

本機能は、セキュリティ・ポリシーエージェント機能および、ポリシー連携機能を使用して設定したルール・ポリシー情報にしたがって、ログ管理機能を使用して管理されているログ情報を分析し、不正アクセス事象を検知する機能を提供する。

(iii) ポリシー連携機能ポリシー連携機能ポリシー連携機能ポリシー連携機能

入力ログ情報に対して、不正アクセスとして判別すべき事象を抽出するようなファイル群（パターンファイル）を、セキュリティ・ポリシーエージェント機能の情報より規定する機能を提供する。

(iv) フィルタ管理機能フィルタ管理機能フィルタ管理機能フィルタ管理機能

セキュリティ監視エージェントにおいて、不正アクセスを検知するためのフィルタ群（パターンファイル）を受理する。セキュリティ監視エージェントにフィルタを配布する機能を提供する。

(v) ログ改ざん検知機能ログ改ざん検知機能ログ改ざん検知機能ログ改ざん検知機能

本機能は、ログ管理機能が管理するログが改ざんされた場合に、改ざんされた事実を検知する機能を提供する。

(vi) レポート生成機能レポート生成機能レポート生成機能レポート生成機能

本機能は、ログ管理機能により、保管されているログデータをレポート化する機能を提供する。

(vii) セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能

セキュリティ監視エージェントとの通信機能を提供する。

78787878

5.3.4 セキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワークセキュリティ運用管理フレームワークとは、制御系セキュアフレームワークにおけるセキュリティ・ポリシー情報や監視状況を、他フレームワークと連携して、分散された資源、情報に対する統合的な運用管理を実現する機能仕様である。本フレームワークはセキュリティ・ポリシーマネージャ、セキュリティ・ポリシーエージェントから構成される。機能関連図を以下に示す。

図29 セキュリティ運用管理フレームワーク機能関連図

(1) セキュリティセキュリティセキュリティセキュリティ・ポリシーマネージャ・ポリシーマネージャ・ポリシーマネージャ・ポリシーマネージャ

セキュリティ・ポリシーマネージャは、セキュリティ・ポリシーのベースとなる資源（機器、利用者）を一元管理し、それを元にアクセス権限などのセキュリティ・ポリシー情報を定義する機能、各エンティティで動作するセキュリティ・ポリシーエージェントへセキュリティ・ポリシー情報を配布し適用状況を管理する機能およびセキュリティ監視フレームワークの監視状況（ログ、不正イベント通知）を取得、表示する機能を提供する。


構成管理機能

ポリシー管理機能

認証ﾌﾚｰﾑﾜｰｸ連携機能

認証･秘匿通信認証･秘匿通信認証･秘匿通信認証･秘匿通信ｻｰﾊﾞｻｰﾊﾞｻｰﾊﾞｻｰﾊﾞ

(認証･秘匿通信ﾌﾚｰﾑﾜｰｸ)

ポリシーマネージャ通信機能

セキュリティ・ポリシーエージェントセキュリティ・ポリシーマネージャ

構成管理機能

ｾｷｭﾘﾃｨ監視ｾｷｭﾘﾃｨ監視ｾｷｭﾘﾃｨ監視ｾｷｭﾘﾃｨ監視ﾏﾈｰｼﾞｬﾏﾈｰｼﾞｬﾏﾈｰｼﾞｬﾏﾈｰｼﾞｬ

(ｾｷｭﾘﾃｨ監視ﾌﾚｰﾑﾜｰｸ)

自ﾌﾚｰﾑﾜｰｸ

他ﾌﾚｰﾑﾜｰｸ

自機能ﾌﾞﾛｯｸ

認証･秘匿通信フレームワーク

・利用者情報・機器情報・ｱｸｾｽ権限情報

・機器情報・ﾌｧｲｱｳｫｰﾙ設定・ﾌｨﾙﾀ情報・ﾚﾎﾟｰﾄ・ｲﾍﾞﾝﾄ

監視ＧＵＩ機能

ポリシー管理機能

制御系保護専用制御系保護専用制御系保護専用制御系保護専用ﾌｧｲｱｳｫｰﾙﾌｧｲｱｳｫｰﾙﾌｧｲｱｳｫｰﾙﾌｧｲｱｳｫｰﾙ

・ﾌｧｲｱｳｫｰﾙ　設定

利用者情報

機器情報

ｱｸｾｽ権限情報

ＧＵＩ画面ＧＵＩ画面ＧＵＩ画面

ﾌｧｲｱｳｫｰﾙ設定

監視ﾌﾚｰﾑﾜｰｸ連携機能

ﾌｧｲｱｳｫｰﾙ連携機能

ポリシーエージェント通信機能

ﾌｨﾙﾀ情報

ログファイル

イベントファイル

79797979

監視 GUI機能

ポリシーマネージャ通信機能

(i) 構成管理機能構成管理機能構成管理機能構成管理機能

制御系セキュアフレームワークの対象となる機器および利用者に関する情報を一元管理する機能を提供する。この機能で定義する機器グループ（機器の役割毎に機器グループを定義し同じ役割をもつ機器が同じ機器グループに所属する）および利用者グループ（利用者の役割毎に利用者グループを定義し同じ役割をもつ利用者が同じ利用者グループに所属する）の単位で後述のポリシー管理機能によりアクセス権限が定義される。

(ii) ポリシー管理機能ポリシー管理機能ポリシー管理機能ポリシー管理機能

構成管理機能で管理されている機器および利用者に関する情報に基づき、アクセス権限、ファイアウォール設定を一元管理する機能、セキュリティ監視フレームワークでの監視ルールとなるフィルタ情報を一元管理する機能およびその情報をセキュリティ・ポリシーエージェント経由で配布し適用状況を管理する機能を提供する。

(iii) 監視監視監視監視 GUI機能機能機能機能

セキュリティ・ポリシーエージェント経由で、セキュリティ監視フレームワークで取得されたログの検索、表示を行う機能およびセキュリティ監視フレームワークから通知される不正イベントの表示を行う機能を提供する。

(iv) ポリシーマネージャ通信機能ポリシーマネージャ通信機能ポリシーマネージャ通信機能ポリシーマネージャ通信機能

セキュリティ・ポリシーエージェントとの通信機能を提供する。

(2) セキュリティセキュリティセキュリティセキュリティ・ポリシーエージェント・ポリシーエージェント・ポリシーエージェント・ポリシーエージェント

セキュリティ・ポリシーエージェントは、認証フレームワークのサーバ機能（認証･秘匿通信サーバ）、セキュリティ監視フレームワークのサーバ機能（セキュリティ監視マネージャ）、制御系保護専用ファイアウォールが動作するエンティティ上で動作し、他フレームワークへセキュリティ・ポリシー情報を配布し適用状況を管理する機能およびセキュリティ監視フレームワークの監視状況（ログ、不正イベント通知）を取得する機能を提供する。


認証フレームワーク連携機能

監視フレームワーク連携機能

ファイアウォール連携機能

ポリシーエージェント通信機能

(i) 認証フレームワーク連携機能認証フレームワーク連携機能認証フレームワーク連携機能認証フレームワーク連携機能

認証フレームワークのサーバ機能（認証･秘匿通信サーバ）に対してセキュリティ・ポリシー情報を配布し、適用状況を管理する機能を提供する。

80808080

(ii) 監視フレームワーク連携機能監視フレームワーク連携機能監視フレームワーク連携機能監視フレームワーク連携機能

セキュリティ監視フレームワークのサーバ機能（セキュリティ監視マネージャ）に対してセキュリティ・ポリシー情報を配布し、適用状況を管理する機能、セキュリティ監視フレームワークで取得されたログ情報の取得およびセキュリティ監視フレームワークから通知される不正イベントの受信を行う機能を提供する。

(iii) ファイアウォール連携機能ファイアウォール連携機能ファイアウォール連携機能ファイアウォール連携機能

制御系保護専用ファイアウォールに対してセキュリティ・ポリシー情報を配布し、適用状況を管理する機能を提供する。

(iv) ポリシーエージェント通信機能ポリシーエージェント通信機能ポリシーエージェント通信機能ポリシーエージェント通信機能

セキュリティ・ポリシーマネージャとの通信機能および配布したセキュリティ・ポリシー情報の他フレームワークでの適用状況を管理する機能を提供する。

81818181

5.3.5 制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォール制御系保護専用ファイアウォールは、情報系 LANから制御系情報 LANへの不正侵入を

防止することを主な目的とする。

不正侵入を防止する方式としては、一般的なファイアウォールと同様「フィルタリング

方式」と、「アプリケーションゲートウェイ方式」を採用する。

フィルタリング方式

パケットをフィルタリングし、設定条件にしたがってパケットの通過を拒否する方式

である。制御系保護専用ファイアウォールにおいては、「パケットフィルタ機能」にお

いて実現を行うものとする。

アプリケーションゲートウェイ方式

クライアントまたは、サーバの代わりにデータを送受信し、チェックを行った後に別

の通信プロトコルに変換し、サーバまたはクライアントにデータを転送する方式であ

る。制御系保護専用ファイアウォールにおいては、「プロキシ機能」、「リバースプロキ

シ機能」で実現を行うものとする。「プロキシ機能」は制御系情報 LAN 上の機器が情報

系 LAN 上の機器にアクセスするためのアプリケーションゲートウェイであり、「リバー

スプロキシ機能」は情報系 LAN上の機器が制御系情報 LAN上の機器にアクセスするた

めのアプリケーションゲートウェイである。

なお、これら機能は市販ファイアウォール製品において標準的に採用されているもので

ある。制御系保護専用ファイアウォールにおいては、これらを独自に開発実装するのでは

なく、市販ファイアウォール製品と連携することによって実現する。

82828282


NIC(External)

パケットフィルタ機能リバースプロキシ機能

NIC(Internal)



ログ出力機能

プロキシ機能





Webサーバプロコン

市販ファイアウォール製品

図30 制御系保護専用ファイアウォール機能関連図

83838383



プロキシ機能



ログ出力機能

(i) パケットフィルタ機能パケットフィルタ機能パケットフィルタ機能パケットフィルタ機能

ルーティングデータを監視し、不正・不要パケットの通過を抑止する。

(ii) プロキシ機能プロキシ機能プロキシ機能プロキシ機能

制御系機器の代理クライアントとして情報系機器へアクセスする。

(iii) リバースプロキシ機能リバースプロキシ機能リバースプロキシ機能リバースプロキシ機能

制御系機器の代理サーバとして情報系機器へサーバサービスを提供する。

(iv) フィルタ設定機能フィルタ設定機能フィルタ設定機能フィルタ設定機能

フィルタリング・ルールを運用管理フレームワークから取得し適応する。

(v) ログ出力機能ログ出力機能ログ出力機能ログ出力機能

制御系保護専用ファイアウォールにおいて発生する各種イベントを監視運用フレームワ

ークへ転送する。

84848484

5.3.6 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシは、コントローラに対しセキュリティ機能を実現するフレームワークの正当な構成要素として機能させるために必要な機能を提供するものである。これによりプラント運転で最も重要なコントローラのセキュリティを確保することが可能になる。コントローラは、制御系システムにおいて以下の点でほかの構成要素とは異なる属性および稼動環境を持つ。したがって各フレームワークの機能そのものではなく、そのサブセットとして機能を実現する。

コントローラはプラントの制御を司ることが役割であり、その処理速度が重要な意味を持つ。したがって、ある一定時間内に一定の処理を終了させる必要がある。

コントローラはその役割の性格上、基本的にメモリ以外の記憶媒体を持たない。

コントローラが接続される制御 LAN は、他からコントローラへのアクセスを極力防御するため制御系情報 LAN および情報 LAN と直接通信することが出来ないネットワーク構成を取る。データのやり取りはデータサーバおよびエンコンのアプリケーションを介在してのみ可能となる。

コントローラが通信する対象は、データサーバ、エンコンおよび他のコントローラに限られる。

上記制約を前提に制御機器専用マイクロプロキシの実装方針を以下とする。

制御機器専用マイクロプロキシの機能は，各フレームワークのエージェント（クライアント）機能のサブセットとし、コントローラに必要な機能のみをサポートする。

コントローラは限られた資源（CPU，メモリ）で、補助記憶なしに、高速処理を要求される。このため制御機器マイクロプロキシでは必要に応じて、エージェントと同じ機能を独自の実装で処理することによりコントローラに対する要求を満たす。

制御機器専用マイクロプロキシは、セキュリティを実現する各フレームワークの機能を提供するが、コントローラで動作する従来からのユーザアプリケーションからはその存在を意識させることなく透過的に機能する。

コントローラ上の制御機器専用マイクロプロキシは、各フレームワークの機能より認証・秘匿通信機能とセキュリティ監視機能を提供する必要がある。制御機器専用マイクロプロキシの機能関連を、図 31に示す。

85858585

図31 制御機器専用マイクロプロキシ機能関連図

��

コントローラコントローラコントローラコントローラ

データサーバデータサーバデータサーバデータサーバ

認証・秘匿通信フレームワーク認証・秘匿通信フレームワーク認証・秘匿通信フレームワーク認証・秘匿通信フレームワーク（制御LAN専用）（制御LAN専用）（制御LAN専用）（制御LAN専用）

監視ログ監視ログ監視ログ監視ログ送信機能送信機能送信機能送信機能

アプリケーションアプリケーションアプリケーションアプリケーション


エンコンエンコンエンコンエンコン ��

監視ログ監視ログ監視ログ監視ログ受信機能受信機能受信機能受信機能


制御機器専用制御機器専用制御機器専用制御機器専用マイクロプロキシマイクロプロキシマイクロプロキシマイクロプロキシ


セキュリティ監視セキュリティ監視セキュリティ監視セキュリティ監視エージェントエージェントエージェントエージェント


86868686

(1) 制御機器での認証および秘匿通信フレームワーク制御機器での認証および秘匿通信フレームワーク制御機器での認証および秘匿通信フレームワーク制御機器での認証および秘匿通信フレームワーク

制御機器専用マイクロプロキシが提供するフレームワーク機能として、認証・秘匿通信機能がある。コントローラはデータサーバやエンコンと比較してハードウェア構成などでかなりの違いを持つが、制御 LAN 上においてセキュアな通信を実現するためデータサーバやエンコンと同等の制御 LAN 用認証・秘匿通信機能を配置する。図 32に制御機器での認証・秘匿通信の機能関連を示す。

図32 制御機器での認証・秘匿通信機能関連図



��



アプリケーションアプリケーションアプリケーションアプリケーション


エンコンエンコンエンコンエンコン



87878787

(2) 制御機器でのセキュリティ監視フレームワーク制御機器でのセキュリティ監視フレームワーク制御機器でのセキュリティ監視フレームワーク制御機器でのセキュリティ監視フレームワーク

制御機器専用マイクロプロキシが提供するフレームワーク機能として、セキュリティ監視機能がある。セキュリティ監視では各機器にセキュリティ監視エージェントを配置する形態を取るが、コントローラの場合には以下の要因よりこの形態を取らない。

記憶媒体としてメモリ主体であるためログ情報の保持が困難。

ネットワーク構成の制約からセキュリティ監視マネージャと直接通信できない。

制御機器専用マイクロプロキシでは、セキュリティ監視機能を実現するため以下の方式を提供する。

データサーバは常時コントローラと通信している唯一の機器であり、コントローラからの通信を常時受信することが可能である。よって、セキュリティ監視マネージャとの仲介にデータサーバのセキュリティ監視エージェントを利用する。コントローラの監視ログはデータサーバの監視ログと合わせて管理され、セキュリティ監視マネージャへ送られる。

監視ログは、発生と同時にデータサーバへ送信し、コントローラ上では保持しない。このため制御機器専用マイクロプロキシの機能として『監視ログ送信機能』を提供する。

データサーバではコントローラからの監視ログを受信し、データサーバのセキュリティ監視エージェントへ引き渡す『監視ログ受信機能』を提供する。

図 33に制御機器でのセキュリティ監視フレームワークの機能関連を示す。

88888888

図33 制御機器でのセキュリティ監視フレームワーク機能関連図


監視ログ送信機能

監視ログ受信機能

(i) 監視ログ送信機能監視ログ送信機能監視ログ送信機能監視ログ送信機能

制御機器専用マイクロプロキシの一機能として提供されるもので、制御機器専用マイクロプロキシ自身が出力する監視ログをデータサーバ上の監視ログ受信機能へ送信する。送信対象となる監視ログは、認証および秘匿通信フレームワーク内の各機能が出力するものになる。また、監視ログは発生後リアルタイムにデータサーバへ送信され、コントローラ内部に保持することはしない。監視ログ送信機能が提供する認証および秘匿通信フレームワークとのインターフェースは、他の機器へ配置されるセキュリティ監視エージェントと同等とし認証および秘匿通信フレームワークとして統一性が取れることを配慮する。

(ii) 監視ログ受信機能監視ログ受信機能監視ログ受信機能監視ログ受信機能

監視ログ受信機能はデータサーバで動作し、制御機器専用マイクロプロキシが出力する監視ログをデータサーバ上のセキュリティ監視エージェントへ受け渡す機能を提供する。



��


監視ログ監視ログ監視ログ監視ログ送信機能送信機能送信機能送信機能


��

監視ログ監視ログ監視ログ監視ログ受信機能受信機能受信機能受信機能

セキュリティ監セキュリティ監セキュリティ監セキュリティ監視エージェント視エージェント視エージェント視エージェント

認証・秘匿通信認証・秘匿通信認証・秘匿通信認証・秘匿通信監視ログ

監視ログ

監視ログ

監視ログ

監視ログ監視ログ監視ログ監視ログ

89898989

複数コントローラからの受信を可能とし、セキュリティ監視エージェントが提供する標準的なログ取得機能のインターフェースを使用して監視ログの受け渡しを行う。必要に応じて受信した監視ログの一時的な保持も行う。

90909090

6 機能仕様機能仕様機能仕様機能仕様


(1) 機能説明機能説明機能説明機能説明

本フレームワークは、秘匿通信フレームワークで利用するパラメータ情報である

SA(Security Association)の確立を目的としている。SA は、認証機能、暗号化機能、確立

した鍵、IV(Initial Vector)、SPI(Security Parameter Index)などで構成される。各機器間

で SAが共有された時点で、機器間での相互認証が達成されたものとする。

本フレームワークでは、制御 LANと制御系情報 LANによりそれぞれに適した機能構成

を提供する。制御 LANと制御系情報 LANとでは取り扱う情報の違いから、ネットワーク

とセキュリティ機能に関する要件がそれぞれの LANで異なる。

制御 LAN においては、速い通信速度が求められ、よりパフォーマンスの高い認証方式

が求められる。よって、認証・秘匿通信サーバなどの第三者的な機器を介すのではなく、

機器同士による相互認証を行うことを想定している。なお、制御 LAN 上における利用者

の認証は、制御系情報 LAN 専用認証フレームワークにおいて取得される認証情報を元に

制御アプリケーションにおいて実現される。

制御系情報 LAN においては、通信速度よりも堅牢なセキュリティが求められる。その

ため、認証・秘匿通信サーバおよび生体識別装置、安全な個人情報格納装置などを利用す

ることを想定している。まず、ログイン時に生体識別装置などを用いて利用者本人かどう

かの本人確認を行い、利用者所有の秘密情報が保存されている個人情報格納装置の操作許

可を判断する。本人確認後、利用者所有の秘密情報を用いて、認証・秘匿通信サーバに対

して利用者認証処理を行う。また、送信元機器は認証・秘匿通信サーバに対して機器認証

処理を行う。認証・秘匿通信サーバは利用者認証結果もしくは機器認証結果を受けて、セ

キュリティ運用管理フレームワークにより決定されたアクセス権限情報に基づき、アクセ

ス許可情報発行許可または不可を決定する。発行許可の場合、宛先機器に対するアクセス

許可情報を送信元機器に発行する。送信元機器は、アクセス許可情報を宛先機器に提示す

ることにより、宛先機器に対してアクセス権限を証明する。

91919191

それぞれの認証フレームワークにより確立された SA は、秘匿通信フレームワークに提

供される。また、制御 LAN上機器と制御系情報 LAN上機器は直接バスを持つことはない

ため、各 LANの認証を統括する機能については本フレームワークでは考慮しない。各 LAN

専用認証フレームワークにより取得された認証情報を連携することにより総合的な認証を

実現する。

92929292

(2) 機能ブロックの構成および関連機能ブロックの構成および関連機能ブロックの構成および関連機能ブロックの構成および関連

メッセージ制御機能機器識別機能

機器識別情報



ペイロードSA情報

機器識別情報


機器秘密情報


SAメッセージ



ログ出力機能

ログ

機器

メッセージ

メッセージ




鍵交換情報鍵

問い合わせ情報ポリシー

ポリシー

ペイロード


ポリシー

運用管理サーバ

ポリシー

図34 制御 LAN専用認証フレームワーク機能関連図

93939393

認証制御機能








認証結果

セキュリティ・ポリシーエージェントセキュリティ監視エージェント

ログ出力機能

ログ利用者情報機器情報


機器

メッセージ


認証サーバ



図35 制御系情報 LAN専用認証フレームワーク（認証・秘匿通信サーバ部）機能関連図

94949494






機器識別機能

機器識別情報






機器識別情報





機器秘密情報



SAメッセージ

認証子


ログ出力機能

ログ

生体識別装置


検証結果


ログイン情報

機器

メッセージ

メッセージ


認証子生成鍵



認証子生成鍵




メッセージ

図36 制御系情報 LAN専用認証フレームワーク（機器部）機能関連図

95959595

6.1.1 制御制御制御制御 LAN専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク

(1) 管理情報取得機能管理情報取得機能管理情報取得機能管理情報取得機能

(i) 機能説明機能説明機能説明機能説明

認証機能および鍵交換機能を決定するためのポリシーを取得する。認証機能および鍵交

換機能を決定するためのポリシーは、認証処理および鍵交換処理において利用する認証機

能、暗号化機能、および鍵交換機能、アクセス・ルールなどにより構成される。ポリシー

は、上位層の通信内容、宛先機器アドレス、送信元機器アドレスを鍵として取得する。以

下、これらの情報を問合せ情報と呼ぶ。

メッセージ制御機能の要求にしたがって、取得したポリシーを提供する。

問合せ情報に対応するポリシーが存在しないなどの監視対象イベント（主にエラー）が

生じた場合は、ログ情報をログ出力機能に提供する。



ポリシーポリシー

問い合わせ情報

機器

ポリシー

図37 管理情報取得機能機能ブロック関連図

(ii) 入力データ入力データ入力データ入力データ

ポリシー

認証機能および鍵交換機能を決定するためのポリシー。

利用する認証機能、暗号化機能、鍵交換機能など。

問合せ情報

ポリシーを取得するための情報。

上位層の通信内容、宛先機器アドレス、送信元機器アドレスなど。

96969696

(iii) 出力データ出力データ出力データ出力データ

ポリシー



ログ情報

管理情報取得機能内で生じた監視対象イベントのログ情報。

問合せ情報に対応するポリシーが存在しないなどの監視対象イベント（主にエラー）

が生じた場合は、ログ情報をログ出力機能に提供する。

97979797

(2) 秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能


秘匿通信フレームワークと認証フレームワークの間でのメッセージ連携を行う。

また、秘匿通信フレームワークで利用されるパラメータ情報である SA の生成をし、秘

匿通信フレームワークに提供する。




メッセージSA情報

メッセージメッセージ

SAメッセージ

機器

図38 秘匿通信連携機能機能ブロック関連図


メッセージ

SA確立処理のメッセージ。

SA情報

SAを生成するための情報。

SA確立処理により合意および共有された情報。


メッセージ


SA

秘匿通信フレームワークで利用するパラメータ情報。

認証機能、暗号化機能、確立した鍵、IV(Initial Vector)など。

98989898

(3) メッセージ制御機能メッセージ制御機能メッセージ制御機能メッセージ制御機能


機器内の各機能を制御および統括する。

また、SA確立処理におけるメッセージの処理を行う。

宛先機器へ SA 確立を要求する場合は、管理情報取得機能にポリシーの取得を要求し、

取得のための問合せ情報を提供する。ポリシーの合意を求めるメッセージを生成する。こ

のメッセージは、秘匿通信連携機能および秘匿通信フレームワークを介して、宛先機器に

送信される。宛先機器が SA 確立の要求を受け取った場合は、管理情報取得機能にポリシ

ーの取得を要求し、送信されてきたポリシーから合意できるポリシーを選択し、応答する

メッセージを送り返す。これにより、SA確立処理のポリシーを合意する。

SA 確立処理時には、メッセージ制御機能は各処理でのメッセージの生成および解釈を

行い、メッセージ内に含まれるペイロードをペイロード制御機能に提供する。ペイロード

は、認証処理および鍵交換処理で実際に処理されるデータである。



秘匿通信連携機能メッセージ

ペイロードペイロードSA情報

管理情報取得機能ポリシー

問い合わせ情報


機器

図39 メッセージ制御機能機能ブロック関連図

99999999


メッセージ


ポリシー



ペイロード

SA確立処理のデータ。

SA情報




メッセージ


ペイロード


問合せ情報

ポリシーを取得するための情報。

上位層の通信内容、宛先機器アドレス、送信元機器アドレスなど。

SA情報



100100100100

(4) ペイロード制御機能ペイロード制御機能ペイロード制御機能ペイロード制御機能


SA確立処理におけるペイロード処理を制御する。

認証処理および鍵交換処理における暗号化処理および復号処理、または圧縮処理、また

は疑似乱数生成等を制御する。認証処理および鍵交換処理を行った結果、共有した情報を

SA情報としてメッセージ制御機能に提供する。

認証失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をログ出力

機能に提供する。

メッセージ制御機能機器識別機能ペイロード制御機能ペイロードSA情報

機器識別情報

機器秘密情報



鍵交換情報鍵

ペイロード

機器

図40 ペイロード制御機能機能ブロック関連図


ペイロード


機器秘密情報

機器で秘密に保持される情報。

秘密鍵、証明書、pre-shard鍵、機器 IDなど。

鍵

101101101101

鍵交換処理によって確立した鍵。

機器識別結果

機器を一意に識別した結果。


ペイロード


SA情報



鍵交換情報

鍵交換処理に必要なパラメータ情報。

Diffie-Hellman公開値など。

ログ情報

ペイロード制御機能内で生じた監視対象イベントのログ情報。

認証失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をログ出

力機能に提供する。

102102102102

(5) 鍵交換処理機能鍵交換処理機能鍵交換処理機能鍵交換処理機能


SA 確立処理時の鍵交換処理を行う。鍵交換処理時のペイロードに含まれる鍵交換情報

および機器秘密情報により鍵交換処理を行う。鍵交換情報は、ペイロード制御機能により

鍵交換ペイロードより抽出され、機器秘密情報とともに鍵交換処理機能に提供される。

ペイロード制御機能鍵交換処理機能鍵交換情報

鍵

機器

図41 鍵交換処理機能機能ブロック関連図


鍵交換情報

鍵交換処理に必要なパラメータ情報。

Diffie-Hellman公開値など。


鍵

鍵交換処理によって確立した鍵。

103103103103

(6) 機器識別機能機器識別機能機器識別機能機器識別機能


機器固有の機器識別情報を機器より取得し、機器の識別を行う。

機器を識別した結果を機器認証制御機能に提供する。

機器識別失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をログ

出力機能に提供する。

機器識別機能機器識別情報ペイロード制御機能機器識別情報

機器

図42 機器識別機能機能ブロック関連図


機器識別情報

機器を一意に識別する情報。（IPアドレスなど）


機器識別結果

機器を一意に識別した結果

ログ情報

機器識別機能内で生じた監視対象イベントのログ情報。

機器識別失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をロ

グ出力機能に提供する。

104104104104

(7) ログ出力機能ログ出力機能ログ出力機能ログ出力機能


認証フレームワークの各機能より、発生した監視対象イベントのログ情報を受け取り、

監視フレームワークにログとして提供する。

認証フレームワークの各機能


ログ出力機能ログ情報ログ

機器

図43 ログ出力機能機能ブロック関連図


ログ情報

認証フレームワークの各機能で発生した監視対象イベントのログ情報。


ログ

セキュリティ監視エージェントに提供する監視対象のイベントログ。

以下に制御 LAN専用認証フレームワークにおける主なログを示す。

表39 機器認証ログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻認証要求機器名アクセス要求してきた送信元機器の機器名認証先機器名アクセス要求する先の宛先機器の機器名機器認証結果機器認証の成功／失敗の結果失敗事由認証失敗の場合の理由

105105105105

6.1.2 制御系情報制御系情報制御系情報制御系情報 LAN専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク専用認証フレームワーク

(1) 管理情報取得機能管理情報取得機能管理情報取得機能管理情報取得機能


認証・秘匿通信サーバに位置し、認証フレームワークで利用される管理情報をセキュリ

ティ・ポリシーエージェントより取得する。認証フレームワークの各機能からの要求に従

い、取得した情報を提供する。管理情報としては、利用者情報および機器情報およびアク

セス権限情報が含まれる。

セキュリティ・ポリシーエージェントから適切なレスポンスが返ってこないなどの監視

対象イベントが生じた場合は、ログ情報をログ出力機能に提供する。




利用者情報、機器情報、アクセス権限情報

認証制御機能

利用者情報、機器情報




図44 管理情報取得機能機能ブロック関連図


利用者情報

表40 利用者情報

項目内容利用者名利用者に付加された名称

利用者認証鍵利用者認証に利用する鍵

106106106106

機器情報

表41 機器情報

項目内容機器名機器に付加された名称

アドレス機器の通信インターフェース毎に付加されたアドレス機器認証鍵機器認証に利用する鍵機器共通鍵アクセス許可情報発行時に利用する鍵


アクセス・ルールに基づくアクセス許可の可否情報

107107107107


利用者情報




機器情報

表43 機器情報





ログ情報

管理情報取得機能で生じた監視対象イベントのログ情報。

セキュリティ・ポリシーエージェントから適切なレスポンスが返ってこないなどの監

視対象イベントが生じた場合は、ログ情報をログ出力機能に提供する。

108108108108

(2) 認証制御機能認証制御機能認証制御機能認証制御機能


認証フレームワークにおける各認証制御機能の制御および統括する。

認証制御機能は、送信元機器との間の利用者認証処理および機器認証処理を行う。各認

証処理のメッセージの作成および解釈を行い、送受信を行う。

認証結果が正当であると判断した場合には、アクセス許可情報発行制御機能に認証結果

を提供する。

認証失敗などの監視対象イベントが生じた場合は、ログ情報をログ出力機能に提供す

る。



認証制御機能

利用者情報、機器情報


認証結果アクセス許可情報発行機能


機器

メッセージ

図45 認証制御機能機能ブロック関連図


メッセージ

認証・秘匿通信サーバまたは他の機器の間での認証処理および鍵交換処理のメッセー

ジ


機器に対するアクセス許可を証明する情報

利用者情報

109109109109




機器情報

表45 機器情報




メッセージ


ジ

認証結果

認証処理の正否結果

ログ情報

認証制御機能で生じた監視対象イベントのログ情報。

認証失敗などの監視対象イベントが生じた場合は、ログ情報をログ出力機能に提供す

る。

110110110110

(3) メッセージ制御機能メッセージ制御機能メッセージ制御機能メッセージ制御機能

メッセージ制御機能は、認証・秘匿通信サーバと送信元機器との利用者認証処理および

機器認証処理のメッセージを制御する。各認証処理のメッセージ作成および解釈を行い、

送受信を行う。

エラーなどの監視対象イベントが生じた場合は、ログ情報をログ出力機能に提供する。



利用者認証ペイロード機能




メッセージSA情報メッセージ

個人情報格納装置

機器



認証子生成鍵


図46 メッセージ制御機能機能ブロック関連図

(i) 入力データ入力データ入力データ入力データ

メッセージ


ジ


利用者認証処理のデータ


機器認証処理のデータ



認証子

111111111111

アクセス許可情報に対する認証子。

検証結果

アクセス許可情報および認証子の正当性を検証した結果。

アクセス許可情報および認証子内の情報を含む。

(ii) 出力データ出力データ出力データ出力データ

メッセージ


ジ

SA情報






機器認証処理のデータ



認証子


認証子生成鍵

認証子生成時に利用する暗号化鍵。

ただし、機器側で認証子を生成する場合。

ログ情報

メッセージ制御機能で生じた監視対象イベントのログ情報。

エラーなどの監視対象イベントが生じた場合は、ログ情報をログ出力機能に提供す

る。

112112112112

(4) 利用者識別機能利用者識別機能利用者識別機能利用者識別機能


操作機器を利用する利用者の本人確認を行う。

利用者が所有する個人情報格納装置および生体識別装置に位置する。

生体識別装置から入力された利用者識別情報を用いて本人かどうか識別する。

利用者を識別した結果を利用者認証制御機能に提供する。

監視対象イベント（主にエラー）が生じた場合は、ログ情報をログ出力機能に提供する。

本人確認が失敗した場合は、個人情報格納装置内へのアクセスを拒否する。

利用者識別機能利用者識別情報利用者認証制御機能利用者識別結果

個人情報格納装置機器生体識別装置

図47 利用者識別機能機能ブロック関連図



利用者を一意に識別する情報（生体識別情報、PINなど）



利用者を一意に識別した結果

ログ情報

利用者識別機能内で生じた監視対象イベントのログ情報。

本人確認失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をロ


113113113113

(5) 利用者認証制御機能利用者認証制御機能利用者認証制御機能利用者認証制御機能


利用者識別機能により本人確認済みの利用者に対して行われる利用者認証処理を制御す

る。メッセージ制御機能において送受信されるメッセージに含まれる利用者認証ペイロー

ドの処理を行う。個人情報格納装置内に秘密に保持される情報（秘密鍵、証明書、pre-shard

鍵、利用者 IDなど）を用いて利用者認証ペイロードを生成または解釈する。

また、操作機器上のアプリケーションに対して利用者の動的なログイン情報を提供す

る。

また、利用者のログイン／ログアウト要求のハンドリングを行う。









アプリケーションログイン情報

認証子生成鍵


機器個人情報格納装置

生体識別装置

図48 利用者認証制御機能機能ブロック関連図

114114114114





利用者を一意に識別した結果


利用者が秘密に保持する情報。

秘密鍵、証明書、pre-shard鍵、利用者 IDなど。




ログイン情報

利用者のログイン状態。アプリケーションに提供。

認証子生成鍵

認証子生成時に利用する暗号化鍵。

ただし、利用者側で認証子を生成する場合。

ログ情報

利用者認証制御機能内で生じた監視対象イベントのログ情報。



115115115115

(6) 機器識別機能機器識別機能機器識別機能機器識別機能


機器固有の機器識別情報を機器より抽出し、エンコンやオペコンなどの操作機器の識別

を行う。機器を識別した結果を機器認証制御機能に提供する。

機器識別失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をログ

出力機能に提供する。

機器識別機能機器識別情報機器認証制御機能機器

識別結果

機器

図49 機器識別機能機能ブロック関連図


機器識別情報

機器を一意に識別する情報（IPアドレスなど）


機器識別結果

機器を一意に識別した結果

ログ情報

機器識別機能内で生じた監視対象イベントのログ情報。

機器識別失敗などの監視対象イベント（主にエラー）が生じた場合は、ログ情報をロ


116116116116

(7) 機器認証制御機能機器認証制御機能機器認証制御機能機器認証制御機能


機器識別機能において機器識別した結果を受けて、認証・秘匿通信サーバに対する機器

認証処理を制御する。メッセージ制御機能において送受信されるメッセージに含まれる機

器認証ペイロードの処理を行う。機器内に秘密に保持される情報（秘密鍵、証明書、pre-

shard鍵、機器 IDなど）を用いて機器認証ペイロードを生成または解釈する。



機器識別機能機器認証制御機能機器認証ペイロード

機器識別情報

機器秘密情報


機器

図50 機器認証制御機能機能ブロック関連図



機器認証処理のデータ。

機器識別結果

機器を一意に識別した結果。

機器秘密情報

機器が秘密に保持する情報。


117117117117



機器認証処理のデータ。

ログ情報

機器認証制御機能内で生じた監視対象イベントのログ情報。



118118118118

(8) アクセス許可情報発行制御機能アクセス許可情報発行制御機能アクセス許可情報発行制御機能アクセス許可情報発行制御機能


認証・秘匿通信サーバにおけるアクセス許可情報の発行を制御する。

認証結果およびアクセス権限情報をもとに、接続要求に対するアクセス許可情報発行の

可否を判断する。判断結果が発行可の場合、アクセス許可情報発行機能に対して発行命令

とアクセス許可情報発行に必要な情報を提供する。アクセス許可情報発行に必要な情報と

して、利用者情報と機器情報およびアクセス権限情報を提供する。

認証制御機能管理情報取得機能アクセス許可情報発行制御機能




アクセス権限情報認証結果


図51 アクセス許可情報発行制御機能機能ブロック関連図


認証結果

認証処理の正否結果

利用者情報




119119119119

機器情報

表47 機器情報






発行命令

アクセス許可情報の発行命令

発行情報

利用者情報および送信元機器の機器情報および宛先機器の機器情報、またはそれらの

組

120120120120

(9) アクセス許可情報発行機能アクセス許可情報発行機能アクセス許可情報発行機能アクセス許可情報発行機能


アクセス許可情報発行命令に基づき宛先機器に対するアクセス許可情報を発行する。

発行したアクセス許可情報を認証制御機能に提供する。

認証制御機能アクセス許可情報発行制御機能





図52 アクセス許可情報発行機能機能ブロック関連図


発行命令

アクセス許可情報の発行命令

発行情報

利用者情報および送信元機器の機器情報および宛先機器の機器情報、またはそれらの

組




121121121121

(10) 認証子生成機能認証子生成機能認証子生成機能認証子生成機能


アクセス許可情報に対する認証子を生成する。

利用者が認証子を生成する場合は、認証子生成機能は個人情報格納装置内に位置し、個

人情報格納装置内の利用者認証機能より認証子生成鍵を取得する。

機器が認証子を生成する場合は、認証子生成機能は機器内に位置し、アクセス許可情報

制御機能より認証子生成鍵を取得する。

認証子内に秘匿通信フレームワークで利用する鍵を含める場合は、鍵生成を行う。


認証子生成機能アクセス許可情報制御機能


機器秘密情報

認証子


認証子生成鍵

機器

図53 認証子生成機能機能ブロック関連図




認証子生成鍵

アクセス許可情報内に含まれるセッション鍵。

機器側で認証子を生成する場合に利用。

機器秘密情報



122122122122


認証子


123123123123

(11) アクセス許可情報制御機能アクセス許可情報制御機能アクセス許可情報制御機能アクセス許可情報制御機能


認証・秘匿通信サーバより取得、または他の機器より送信されたアクセス許可情報の機

器における処理を制御する。

他の機器よりアクセス許可情報を受けた場合は、アクセス許可情報検証機能にアクセス

許可情報および認証子を提供し、検証してもらう。検証結果が正当であれば、検証結果を

メッセージ制御機能に提供する。検証結果には、検証により抽出されたアクセス許可情報

および認証子内の情報を含む。

認証・秘匿通信サーバよりアクセス許可情報を受けた場合には、認証子生成機能に認証

子生成を要求する。

認証子生成機能アクセス許可情報制御機能




認証子

検証結果

機器


認証子生成鍵



個人情報格納装置

図54 アクセス許可情報制御機能機能ブロック関連図

124124124124




認証子

アクセス許可情報に対する認証子

認証子生成鍵

認証子生成時に利用する暗号化鍵。ただし、機器側で認証子を生成する場合。

検証結果


アクセス許可情報および認証子内の構成情報を含む。


検証結果





認証子

アクセス許可情報に対する認証子

認証子生成鍵

認証子生成時に利用する暗号化鍵。ただし、機器側で認証子を生成する場合。

125125125125

(12) アクセス許可情報検証機能アクセス許可情報検証機能アクセス許可情報検証機能アクセス許可情報検証機能


アクセス許可情報制御機能より受け取ったアクセス許可情報および認証子を機器秘密情

報により検証する。

検証結果は、取得したアクセス許可情報および認証子が正当であるかの判断結果であ

る。また、アクセス許可情報および認証子内に SA 生成に必要な情報を含む場合は、これ

らも検証結果内に含めて提供する。



機器秘密情報検証結果


機器

図55 アクセス許可情報検証機能



機器に対するアクセス許可を証明する情報。

認証子


機器秘密情報


機器で秘密に保持される情報。



検証結果



126126126126

(13) 秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能秘匿通信連携機能


秘匿通信フレームワークと認証フレームワークとの連携を行う。

秘匿通信フレームワークで利用する SAを生成し、提供する。

秘匿通信フレームワークからは、メッセージを取得し、メッセージ制御機能に提供する。




メッセージSA情報

メッセージメッセージ

SAメッセージ

機器

図56 秘匿通信連携機能機能ブロック関連図


メッセージ

認証処理および鍵交換処理のメッセージ

SA情報





メッセージ

認証処理および鍵交換処理のメッセージ

SA

秘匿通信フレームワークで利用するパラメータ情報。


127127127127



認証フレームワークの各機能より、発生した監視対象イベントのログ情報を受け取り、

監視フレームワークにログとして提供する。

認証フレームワークの各機能


ログ出力機能ログ情報ログ

機器および認証・秘匿通信サーバ



ログ情報

認証フレームワークの各機能で発生した監視対象イベントのログ情報


ログ

セキュリティ監視エージェントに提供する監視対象のイベントログ。

以下に制御系情報 LAN専用認証フレームワークにおける主なログを示す。


項目内容日付イベントが発生した日付時刻イベントが発生した時刻認証要求機器名アクセス要求してきた送信元機器の機器名認証先機器名アクセス要求する先の宛先機器の機器名機器認証結果機器認証の成功／失敗の結果失敗事由認証失敗の場合の理由

128128128128

表49 利用者認証ログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻利用者名機器を操作している利用者名利用者認証結果利用者認証の成功／失敗の結果失敗事由認証失敗の場合の理由

129129129129

6.2 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク本フレームワークは平文データの入力を暗号化し、暗号文データの入力を復号化することを目的とする。図において左側が出力機器、右側が入力機器になっているが、実機では一つの機器内に入力・出力が混在する。

OS からの入力はパケット制御機能に入り、そのパケットに対してどのような秘匿通信機能を与えるのかを秘匿通信管理機能に問合せる。秘匿通信管理機能は認証フレームワークに問合せて、そのパケットにどのような秘匿通信機能を与えるかの管理情報を得る。その結果、パケットに秘匿通信機能を付与しない場合は平文のままデータ送信機能にパケットを渡す。暗号化または認証をする場合、SA(Security Association)管理機能にどのような方法で暗号化、認証したらよいかを問合せる。SA 管理機能は認証フレームワークからそのパケットに該当する SAを貰う。SAが返却されなかった場合は、パケットを破棄し、SAが得られない旨をログ出力機能に出力する。パケット制御機能は、処理対象のパケットにセキュリティ機能を付加しない場合は、そのままデータ送信機能に当該パケットを渡す。セキュリティ機能を付加する場合は平文とSA をデータ暗号化機能に送る。データ暗号化機能は、処理対象のパケットを暗号化する場合は SA にしたがって暗号化する。データ暗号化機能は、暗号化処理の適用如何に関わらず、パケットと SA をデータ認証機能に渡す。データ認証機能は、処理対象のパケットを認証する場合は、SA にしたがって認証情報を付加する。データ認証機能は、認証処理の適用如何に関わらず、パケットをデータ送信機能に渡す。データ送信機能は宛先機器のデータ受信機能に対して通信データを渡す。データの受信側は、受け取ったデータに対応する SAを SA管理機能に問合せる。SA が受信側にないことはありえないが、万が一 SA がなかったらパケットを破棄する。パケットにセキュリティ機能が付加されているならデータ検証機能へパケットを渡し、付加されていないなら、パケット制御機能へ渡す。データ検証機能はパケットに認証情報が付加されていたら SA にしたがってデータを検証し、検証に失敗したらパケットを破棄しエラーをログ出力機能に出力する。検証処理を適用する如何に関わらず、パケットと SA をデータ復号化機能へ渡す。データ復号化機能はパケットが暗号化されていたら、SA にしたがって暗号文を復号化

する。復号化に失敗したらパケットを破棄し、エラーログをログ出力機能に出力する。復号化処理をする如何に関わらず、処理対象のパケットをパケット制御機能に渡す。パケット制御機能はそのパケットをどう扱ったらよいか秘匿通信管理機能に問合せる。秘匿通信管理機能は認証フレームワークに問合せて、管理情報を返却する。パケット制御機能は渡された管理情報に基づいてパケットをどうするのか決定し、そのまま上位の階層に渡すか、破棄してログ出力機能にログを出力する。

130130130130

OS OS



SA管理機能





データ検証機能SA管理機能

データ

データ

平文、SA




認証後データ入力データ、SA



データ

データ


平文平文

SA問合せ


管理情報問合せ管理情報問合せ、

管理情報返却




ログ出力機能ログ出力機能


ログログ

ログ出力機能には細破線中の全ての機能から入線がある。しかし、簡単のため省略。



通信路

図58 秘匿通信フレームワーク機能関連図

131131131131

(1) パケット制御機能パケット制御機能パケット制御機能パケット制御機能


送信側（out-boundデータ）機器の上位層からの入力パケットを受け取り、それに対して適切な暗号化・認証情報を付加すべく秘匿通信ポリシーを秘匿通信管理機能に問合せる。問合せた結果が discardならパケットを捨てる。bypass なら秘匿通信機能を付加せず、データ送信機能に渡す。applyならば、秘匿通信機能を有効にする。

applyのときには、SA（Security Association）管理機能に問合せて SAを取得する。SA が取得できなかったらエラーログをログ出力機能に出力して、パケットを破棄する。SAの取得に成功したら、入力パケットと SAをデータ暗号化機能に渡す。

受信側（in-boundデータ）データ復号化機能からの入力パケットを受け取り、それを適切に処理すべく秘匿通信ポリシーを秘匿通信管理機能に問合せる。問合せた結果が discard ならパケットを捨てる。それ以外なら、上位層にそのままパケットを渡す。

OS OS


SA管理機能データ暗号化機能



データ

平文、SA




データ


平文平文


管理情報問合せ、管理情報返却

管理情報問合せ、管理情報返却

ログ出力機能エラーログ


図59 パケット制御機能機能ブロック関連図

132132132132


送信側送信側送信側送信側

データ

上位層からの通信データの内容

管理情報

ペイロードに対応する秘匿通信機能の管理情報

SA

ペイロードに対応した Security Association

受信側受信側受信側受信側

暗号化後データ

暗号化された通信データ

平文

平文の通信データ

管理情報

ペイロードに対応する秘匿通信機能の管理情報


送信側送信側送信側送信側

平文上位層からの通信データの内容

SASA管理機能から受け取った Security Association

管理情報問合せ入力データに付加されるべき秘匿通信機能の問合せ情報

SA問合せペイロードのヘッダ情報。秘匿通信管理機能、SA管理機能に渡される

エラーログパケット制御機能内で発生したエラーログ。ログ出力機能に渡される

受信側受信側受信側受信側

データ通信データの内容。上位層（OS）に渡される

管理情報問合せ入力データの暗号文を復号化するために必要な情報の問合せ

エラーログパケット制御機能内で発生したエラーログ。ログ出力機能に渡される

133133133133

(2) 秘匿通信管理機能秘匿通信管理機能秘匿通信管理機能秘匿通信管理機能


通信データに対して付加する秘匿機能の情報を取得する。適用する秘匿機能を取得するためのパラメータは、上位層の通信の内容、宛先機器アドレス、送信元機器アドレスである。これらのパラメータによって認証フレームワークに問合せ、返却される秘匿通信機能（discard, bypass, apply）をパケット制御機能に返却する。認証フレームワークに問合せて適切な結果が得られなかったら、エラーログをログ出力機能に渡す。

パケット制御機能秘匿通信管理機能管理情報問合せ、管理情報返却



ログ出力機能

エラーログ

図60 秘匿通信管理機能機能ブロック関連図


管理情報問合せパケットのヘッダ情報を問合せとして用いる

秘匿通信ポリシー秘匿通信ポリシーを問合せた結果


秘匿通信ポリシー問合せ通信データのヘッダ情報。認証フレームワークに渡される

管理情報秘匿通信のパラメータ情報。利用する秘匿通信機能、鍵などを含む

エラーログ秘匿通信管理機能内で採取されたエラーログ

134134134134

(3) SA管理機能管理機能管理機能管理機能


宛先機器と秘匿通信をするためのパラメータ情報を管理する。パラメータ情報は SA（Security Association）と呼ぶ。SAは通信データに付加される秘匿通信機能によって認証機能または暗号化機能のものがある。通信データの情報によって認証フレームワークに問合せて、対応する SAを得る。

パケット制御機能 SA管理機能 SA管理機能データ受信機能SA問合せ、

SA返却SA問合せ、

SA返却




ログ出力機能

エラーログ

ログ出力機能

エラーログ

図61 SA管理機能機能ブロック関連図


SA問合せSA を問合せるメッセージ。送信側と受信側はそれぞれパケット制御機能とデータ受信機能から渡される

SA

SA問合せに対して返却されるべき SA


SA

認証機能・暗号化機能の選択肢、鍵、IV、SAを一意に特定する SPIの値など

SA問合せ入力データの SA問合せを受けて認証フレームワークに問合せるための情報

エラーログSA管理機能内で発生したエラーログ

135135135135

(4) データ暗号化機能データ暗号化機能データ暗号化機能データ暗号化機能


入力データを暗号化する場合は SA の内容にしたがって暗号化し、データ認証機能に暗号文と SAを渡す。暗号化をしない場合は、入力データと SAを渡す。

SAに従った暗号化に失敗した場合はエラーログをログ出力機能に渡す。サポートされる暗号は共通鍵暗号で、CBC モードを利用する。また、デバグのためのヌル暗号化を含む。




平文、SA



図62 データ暗号化機能機能ブロック関連図


平文暗号化されるべき通信データ

SA

Security Association。暗号化に使用する鍵、IV、SPIなど


暗号化後データ暗号化された平文。暗号化されないこともある

SA

Security Association。パケット認証を付加するための Saltなど

エラーログデータ暗号化機能が暗号化処理に失敗したときに送出する

136136136136

(5) データ認証機能データ認証機能データ認証機能データ認証機能


入力データが改ざんされていないことを保証するための認証情報を入力データに付加し、データ送信機能に渡す。認証情報を付加しない場合は、入力データをそのままデータ送信機能に渡す。SA の情報にしたがって認証を行う。認証に失敗した場合は、エラーログをログ出力機能に出力する。認証アルゴリズムにはヌル認証（認証なし）を含む。




データ送信機能

認証後データ


図63 データ認証機能機能ブロック関連図


暗号化後データデータ暗号化機能から渡される通信データのペイロード。実際に暗号化されているかは関知しない

SA

Security Association。認証に使用する Saltなど


認証後データ認証情報が付加された暗号化後データ。暗号化されていないこともある

エラーログデータ認証機能が認証処理に失敗したときに送出する

137137137137

(6) データ送信機能データ送信機能データ送信機能データ送信機能


入力データを宛先機器のデータ受信機能に渡す。送信時に致命的なエラーが発生したらエラーログをログ出力機能に渡し、該当データを破棄する。致命的でないエラーによって通信不能状態に陥った場合の再送制御は、この層では行わない。


データ送信機能データ受信機能通信データ

認証後データ

ログ出力機能

エラーログ


平文

図64 データ送信機能機能ブロック関連図


認証後データパケット制御機能またはデータ認証機能から渡される通信データのペイロード

平文暗号化機能を付加していない場合は入力データそのままの平文のまま


通信データネットワーク層での通信に必要なヘッダ情報を付加した通信データ

エラーログ通信時における致命的なエラーが発生したらログ出力機能に渡す

138138138138

(7) データ受信機能データ受信機能データ受信機能データ受信機能


送信元機器からの通信データを入力データとし、SA を SA 管理機能から取得する。SAがなく、入力データに秘匿通信ペイロードがない場合は、入力データをパケット制御機能に渡し、SA がある場合は、データ検証機能に渡す。それ以外の場合は、SA 解決不能なためエラーログをログ出力機能に渡し、通信データを破棄する。



SA管理機能データ送信機能データ受信機能

通信データ

入力データ、SA

平文



図65 データ受信機能機能ブロック関連図


通信データ送信元機器のデータ送信機能から受信した通信データ

SA

SA管理機能から受け取る Security Association


入力データ送信元機器とのデータ通信に必要なヘッダ情報を取り除いた通信ペイロード。暗号化されていたり認証情報が付加されていたりしたらデータ検証機能に渡す

SA

SA管理機能から受け取った Security Association

平文秘匿通信機能が吹かされていない通信データ

SA問合せSAを SA管理機能へ問合せる

エラーログデータ通信時に致命的なエラーが出たらエラーログをログ出力機能に渡す

139139139139

(8) データ検証機能データ検証機能データ検証機能データ検証機能


データ受信機能から渡された入力データに認証情報が付加されていれば認証情報を取り出し、それによって入力データの正当性を検証する。検証に失敗した（すなわち不正な入力データだった）場合、入力データを破棄しエラーログをログ出力機能に渡す。SA では認証することになっているが、通信データに認証データが付加されていない場合は、エラーログをログ出力機能に出力し、入力データを破棄する。検証しないデータ、検証に成功したデータ、SAをデータ復号化機能に渡す。



データ受信機能

入力データ、SA


ログ出力機能

エラーログ

図66 データ検証機能機能ブロック関連図


入力データデータ受信機能から渡されるペイロード

SA

Security Association。検証に必要な情報（Saltなど）を持つ


検証後データ入力データの正当性を検証したもの

SA

Security Association。復号化に必要な鍵、IV、SPIなど

エラーログデータの検証時に発生したエラー情報。ログ出力機能に渡す

140140140140

(9) データ復号化機能データ復号化機能データ復号化機能データ復号化機能


データ検証機能から渡された入力データについて、暗号化ペイロードがあれば、SA にしたがって復号化する。復号化に失敗した場合はエラーログをログ出力機能に渡して入力データを破棄する。暗号化ペイロードがなければ、そのままパケット制御機能に入力データを渡す。暗号化ペイロードと SA が適合しない場合は、エラーログをログ出力機能に渡し、入力データを破棄する。






ログ出力機能

エラーログ

図67 データ復号化機能機能ブロック関連図


検証後データデータの正当性が検証されたデータ。検証されていないこともある

SA

Security Association。復号化に必要な情報（鍵、IV、SPIなど）を持つ



復号化した通信データ。パケット制御機能に渡す

エラーログ

復号化に失敗したときのエラーログをログ出力機能に渡す

141141141141



秘匿通信フレームワーク中の各機能から受信するエラーログをセキュリティ監視エージェントに転送する。ログ出力機能がエラーを出力した場合も同様にセキュリティ監視エージェントに送る。輻輳を回避するため秘匿通信機能のデータ送信機能・受信機能は使用しない。再送制御については関知しない。

パケット制御機能 SA管理機能データ暗号化機能データ認証機能秘匿通信管理機能データ送信機能

ログ出力機能


ログ

エラー－ログエラーログ

エラーログエラーログ

エラーログエラーログ



エラーログ秘匿通信フレームワークの各機能から渡されるエラーログ


ログセキュリティ監視エージェントに渡すログ情報。主な項目は表 50にあるとおりだが、ここの機器に応じて固有のイベントログ出力を行う場合もある。

表50 秘匿通信フレームワーク・イベントログ出力

項目内容日付イベントが発生した日付時刻イベントが発生した時刻Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレスデータ認証送受信データが、通信経路において改ざんされていないことを

証明するための検証記録パケット監視アプリケーションとネットワークカード間のネットワーク系路

上を流れるパケットデータの改ざん検知の記録

142142142142


6.3.1 セキュリティ監視エージェントセキュリティ監視エージェントセキュリティ監視エージェントセキュリティ監視エージェント

(1) ログ取得機能ログ取得機能ログ取得機能ログ取得機能


データサーバ・イベントログを受け取り、これを「ログ管理機能」へ送る機能

オペコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能

プロコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能

Webサーバ・イベントログを受け取り、これを「ログ管理機能」へ送る機能

エンコン・イベントログを受け取り、これを「ログ管理機能」へ送る機能

プロコン保守用コンソール・イベントログを受け取り、これを「ログ管理機能」へ送る機能

制御系保護専用ファイアウォール・イベントログを受け取り、これを「ログ管理機能」へ送る機能

認証フレームワーク・イベントログを受け取り、これを「ログ管理機能」へ送る機能

秘匿通信フレームワーク・イベントログを受け取り、これを「ログ管理機能」へ送る機能

パケットモニタからのパケットログを受け取り、これを「ログ管理機能」へ送る機能


データサーバ・イベントログ

Windows NT Server 4.0（以下、Windows NT Server）にて、次の 2種類のログにイベントを記録する。① システムログ

Windows NT Serverのシステムコンポーネントがログに記録したイベントが含まれる。

② セキュリティログファイルやその他のオブジェクトの作成、オープン、削除などリソースの使用に関連するイベントのほかに、有効なログインと無効なログインの記録も含まれる。

システムログは、データサーバにアクセスするすべてのユーザが参照できるが、セキュリティログにアクセスできるのはシステム管理者のみとする。

143143143143

イベントログはヘッダ、イベント種類毎の記述で構成される。ヘッダ情報は以下のとおりである。

表51 データサーバ・イベントログ（Windows NT Serverの場合）

項目内容日付イベントが発生した日付時刻イベントが発生した時刻ユーザイベントが発生したユーザのユーザ名コンピュータイベントが発生したコンピュータの名前イベント ID 特定のイベントの種類を識別する番号ソースイベントをログに記録したシステムコンポーネントの名前種類イベントの重大度の分類。システムログの場合はエラー、

情報、警告など。セキュリティログの場合は成功の監査または失敗の監査に分類。

分類イベントソースによるイベントの分類。この情報は主にセキュリティログで使用される。

UNIX（syslogd デーモン）において、ログ出力項目はイベントをログに記録したシステムコンポーネントに依存する。ログの共通出力項目としては、以下のとおり。

表52 データサーバ・イベントログ（UNIXの場合）

項目内容日付イベントが発生した日付時刻イベントが発生した時刻ユーザイベントが発生したユーザのユーザ名コンピュータイベントが発生したコンピュータの名前PID プロセス ID

144144144144

ログをチェックすルータめには，システムコンポーネントから出力されるエラー・メッセージをキーワードにしてログを抽出する。以下に，ログ・チェックの際のキーワード例をまとめる。

表53 ログ・チェックのキーワード例

キーワード内容warningerrabort

エラー全般定義ファイルのミスなど

timeouttimed out

ネットワークの通信異常サーバの高負荷状態など

refusedrejectnot permitteddenied

アクセス制御の設定ミス何らかの不正アクセスなど

failincorrectinvalid

パラメータの設定ミス不正なパスワード入力など

/phf/php/test-cgi

CGIの不正利用

null connectioneof received

ポート・スキャンなど

authentication failedrepeated login failureslogin incorrect

辞書アタックなど

passwd パスワード・ファイルへの不正アクセス

プロコン、エンコン、Webサーバに関しても、Windows NT Server および UNIX（syslogdデーモン）のそれぞれの場合のログ出力は同様となる。

オペコン・イベントログ

上述「データサーバ・イベントログ」と同様

プロコン・イベントログ


145145145145

Webサーバ・ログ

Webサーバのイベントログに関しては、上述「データサーバ」と同様

なお、IIS や NES 等の Web サーバ・デーモンが出力するログに関しては、以下のとおりとなる。

表54 Webサーバ・デーモンのログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻ホストアクセスを要求するクライアントのホスト名（DNS が無

効にされている場合は IPアドレス）認証ユーザ名認証を要した場合の認証ユーザ名要求全説明クライアントが行った正確な要求説明ステータスサーバがクライアントに戻したステータスコードコンテンツ長クライアントに送信されたドキュメントのバイトでのコン

テンツ長HTTPヘッダ ① クライアントが現ページをアクセスしたときにどのペ

ージから来たかを指定② クライアントが使用するブラウザのタイプ、そのバージョン、それを実行する OS を含むユーザエージェント情報

メソッド使用される要求メソッドURI Universal Resource Identifier。サーバ上のリソースの場

所プロトコル使用されるトランスポートプロトコルおよびバージョン

エンコン・イベントログ


プロコン保守用コンソール・イベントログ


146146146146

制御系保護専用ファイアウォール・イベントログ

表55 制御系保護専用ファイアウォール・イベントログ

項目内容ログ項目番号ファイアウォールが割当てる連続番号日付イベントが発生した日付時刻イベントが発生した時刻インターフェース記録されたイベントが発生したハードウェア・インタフ

ェースイベントホスト記録されたイベントの原因となったルールを実施してい

るホスト名サービスこの通信が要求したサービス（宛先ポート）Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレスプロトコル使用された通信プロトコルルールファイアウォールを通過するパケットに適用されたベー

スのルール番号ポート発信元ポート接続時間ログが更新されるまでの接続時間バイト転送されるパケットのバイト数拒否通知パケットフィルタリング機能により、情報系 LAN と制

御系情報 LAN 間の通過をブロックされた不正パケット検知の記録

アクセス状況制御系機器および情報系機器の相互の代行アクセス状況

認証フレームワーク・イベントログ


項目内容日付イベントが発生した日付時刻イベントが発生した時刻認証要求機器名リモート機器へアクセスを要求する機器が、正当な機器か

らの要求であることの確認の記録機器認証結果機器認証の失敗／成功の結果を記録する失敗事由機器認証失敗の場合の原因を記録する

147147147147

表57 利用者認証ログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻利用者名機器を操作する利用者がフレームワークにおいて正規の利

用者であることの確認の記録利用者認証結果利用者認証の失敗／成功の結果を記録する失敗事由利用者認証失敗の場合の原因を記録する

秘匿通信フレームワーク・イベントログ

表58 秘匿通信フレームワーク・イベントログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレスデータ認証送受信データが、通信経路において改ざんされていない

ことを証明すルータめの検証記録パケット監視アプリケーションとネットワークカード間のネットワー

ク経路上を流れるパケットデータの改ざん検知の記録

パケットログ

制御 LANおよび制御系情報 LAN上を流れるパケットのログを記録する

表59 制御 LANおよび制御系情報 LAN上を流れるパケットログ

項目内容日付イベントが発生した日付時刻イベントが発生した時刻Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレス


上述「6.3.1(1)(ii)入力データ」に同じ

148148148148

(2) ログ管理機能ログ管理機能ログ管理機能ログ管理機能


「ログ取得機能」からデータサーバ・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」からオペコン・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」からプロコン・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」から Web サーバ・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」からエンコン・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」からプロコン保守用コンソール・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」から制御系保護専用ファイアウォール・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」から認証フレームワーク・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」から秘匿通信フレームワーク・イベントログを受け取り、これを保管し、「ログ分析機能」へ送る機能

「ログ取得機能」からパケットログを受け取り、これを保管し、「ログ分析機能」へ送る機能


上述「6.3.1(1)(iii)出力データ」に同じ



149149149149

(3) ログ分析機能ログ分析機能ログ分析機能ログ分析機能


「ログ管理機能」からデータサーバ・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのデータサーバ・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からオペコン・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのオペコン・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からプロコン・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのプロコン・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からWebサーバ・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、その Web サーバ・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からエンコン・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのエンコン・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からプロコン保守用コンソール・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのプロコン保守用コンソール・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」から制御系保護専用ファイアウォール・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、その制御系保護専用ファイアウォール・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」から認証フレームワーク・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、その認証フレームワーク・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」から秘匿通信フレームワーク・イベントログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、その秘匿通信フレームワーク・イベントログをそのまま「ログ通信機能」へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能

「ログ管理機能」からパケットログを受け取り、ログ情報を分析する。不正アクセス事象が検知されなかった場合は、そのパケットログをそのまま「ログ通信機能」

150150150150

へ送る。不正アクセス事象が検知された場合には、その分析結果を「イベント通信機能」へ送る機能




不正アクセス事象が検知されなかった場合不正アクセス事象が検知されなかった場合不正アクセス事象が検知されなかった場合不正アクセス事象が検知されなかった場合


不正アクセス事象が検知された場合不正アクセス事象が検知された場合不正アクセス事象が検知された場合不正アクセス事象が検知された場合

不正アクセス検知事象（エラー回数）

(4) ログ通信機能ログ通信機能ログ通信機能ログ通信機能


「ログ分析機能」からデータサーバ・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」からオペコン・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」からプロコン・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」から Web サーバ・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」からエンコン・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」からプロコン保守用コンソール・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

151151151151

「ログ分析機能」から制御系保護専用ファイアウォール・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」から認証フレームワーク・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」から秘匿通信フレームワーク・イベントログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能

「ログ分析機能」からパケットログを受け取り、これを「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「セキュリティ監視マネージャ」における「ログ管理機能」へ送る機能


上述「6.3.1(3)(iii)出力データ（不正アクセス事象が検知されなかった場合）」に同じ



(5) イベント通信機能イベント通信機能イベント通信機能イベント通信機能


「ログ分析機能」からの、不正アクセス事象を「セキュリティ監視エージェント通信機能」および、「セキュリティ監視マネージャ通信機能」を介して、「イベント分析機能」へ送る機能


検知された不正アクセス事象



152152152152

(6) フィルタ設定機能フィルタ設定機能フィルタ設定機能フィルタ設定機能


「フィルタ管理機能」からの、データサーバ・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、オペコン・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、プロコン・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、Web サーバ・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、エンコン・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、プロコン保守用コンソール・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、制御系保護専用ファイアウォール・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、認証フレームワーク・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、秘匿通信フレームワーク・イベントログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。

「フィルタ管理機能」からの、パケットログ分析に対する設定更新のフィルタ条件を受け取り、不正アクセス事象に追加／削除の設定を行う。


後述「6.3.2(4)(iii)出力データ」に同じ


なし

153153153153

(7) セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能セキュリティ監視エージェント通信機能


「ログ通信機能」からの出力データを受け取り、これを「セキュリティ監視マネージャ通信機能」へ通信する機能

「イベント通信機能」からの出力データを受け取り、これを「セキュリティ監視マネージャ通信機能」へ通信する機能

「フィルタ管理機能」からの出力データを「セキュリティ監視マネージャ通信機能」を介して受け取り、これを「フィルタ設定機能」へ送る機能




後述「6.3.2(4)(iii)出力データ」に同じ



154154154154

6.3.2 セキュリティ監視マネージャセキュリティ監視マネージャセキュリティ監視マネージャセキュリティ監視マネージャ

(1) ログ管理機能ログ管理機能ログ管理機能ログ管理機能


「セキュリティ監視エージェント」における「ログ通信機能」からのデータサーバ・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からのオペコン・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からのプロコン・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からの Web サーバ・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からのエンコン・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からのプロコン保守用コンソール・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からの制御系保護専用ファイアウォール・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からの認証フレームワーク・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からの秘匿通信フレームワーク・イベントログを受け取り、これを保管する機能

「セキュリティ監視エージェント」における「ログ通信機能」からのパケットログを受け取り、これを保管する機能

「レポート生成機能」からの要求により、必要なログ情報を取り出す機能

「ログ改ざん検知機能」からの要求により、必要なログ情報を取り出す機能





155155155155

(2) イベント分析機能イベント分析機能イベント分析機能イベント分析機能


複数の「セキュリティ監視エージェント」における「イベント通信機能」から、検知された不正アクセス事象を受け取り、集められた分析データから総合判断して、不正アクセスが検知された情報を「セキュリティ運用管理フレームワーク」へ通知する機能




不正イベント通知

表60 不正イベント通知

項目内容不正イベント通知「セキュリティ監視マネージャ」で分析した結果の通知。

運用管理側で、管理者に表示などの手段を用い通知する。

(3) ポリシー連携機能ポリシー連携機能ポリシー連携機能ポリシー連携機能


セキュリティ運用フレームワークにおける「セキュリティ・ポリシーエージェント機能」からセキュリティ・ポリシー情報を受け取り、これを「フィルタ管理機能」へ通知する機能

156156156156


セキュリティ・ポリシー情報

表61 セキュリティ・ポリシー情報

項目内容機器情報設定制御 LANに接続されている機器リスト（IPアドレス）

制御系情報 LAN に接続されている機器リスト（IP アドレス）

ポリシー情報設定ファイアウォール設定情報フィルタ情報設定 Webサーバ対応不正アクセス検知パターン

システムレベル不正アクセス検知パターンログ情報要求表示・印刷したいログの種類、範囲などを指定して要求



(4) フィルタ管理機能フィルタ管理機能フィルタ管理機能フィルタ管理機能


「セキュリティ運用管理フレームワーク」にて管理されている不正アクセス事象の検知パターン情報を取得し、「ポリシー連携機能」からのポリシー情報を参照にして、不正アクセス事象に対する、設定更新のフィルタ条件を「フィルタ設定機能」へ送る機能




157157157157


検知パターン情報によるセキュリティ監査イベントのフィルタ条件

表62 セキュリティ監査イベントのフィルタ条件

項目内容機器情報設定制御 LANに接続されている機器リスト（IPアドレス）

制御系情報 LAN に接続されている機器リスト（IP アドレス）

ポリシー情報設定通信が要求したサービス（宛先ポート）発信元ポート通信の発信元および宛先ポート

フィルタ情報設定 Webサーバ対応不正アクセス検知パターンシステムレベル不正アクセス検知パターン

(5) ログ改ざん検知機能ログ改ざん検知機能ログ改ざん検知機能ログ改ざん検知機能


「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、ログ情報を受け取り、これが改ざんされていないかどうかを検知し、改ざんされている場合につき、「セキュリティ運用管理フレームワーク」に通知する機能




ログ改ざん検知結果

表63 ログ改ざん検知結果

項目内容表示の先頭指定した日付および時間より後のイベント。デフォルトはロ

グファイルの最初のイベントの日付表示の末尾指定した日付と時間までのイベント。デフォルトはログファ

イルの最後のイベントの日付改ざん結果改ざん検知された箇所

158158158158

(6) レポート生成機能レポート生成機能レポート生成機能レポート生成機能


「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、データサーバ・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、オペコン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、プロコン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、Webサーバ・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、エンコン・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、プロコン保守用コンソール・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、制御系保護専用ファイアウォール・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、認証フレームワーク・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、秘匿通信フレームワーク・イベントログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「セキュリティ監視マネージャ」における「ログ管理機能」が保管している、パケットログを受け取り、必要なログ情報を抽出し、レポートとして生成する機能

「イベント分析機能」からの分析結果をレポートとして生成する機能



159159159159


データサーバ・イベントログのレポート

表64 データサーバ・イベントログのレポート項目

項目内容表示の先頭指定した日付および時間より後のイベント。デフォルト

はログファイルの最初のイベントの日付表示の末尾指定した日付と時間までのイベント。デフォルトはログ

ファイルの最後のイベントの日付情報あまり重大ではないイベント。主要なサーバサービスの

オペレーションが成功したことを示す。警告必ずしも重大ではないが、この後問題を起こす可能性の

あるイベント。例えば残りのディスク容量が少なくなった場合に、警告イベントがロギングされる。

エラーデータの損失や機能の損失などの重大な問題。例えばWindows NT Serverの起動時にサービスがロードされない場合などに、エラーイベントがロギングされる。

成功の監査セキュリティアクセスの成功の監査。例えば、ユーザがシステムにログインできた場合、成功の監査イベントがロギングされる。

種類

失敗の監査セキュリティアクセスの失敗の監査。例えば、ユーザがネットワークにアクセスしようとして失敗した場合、その試行が失敗の監査イベントとしてロギングされる。

ソースイベントをログに記録すルータめのソース。アプリケーション、システムコンポーネント、ドライバなど。

分類ソースによって定義されたイベントの分類。例えばセキュリティイベントの分類には、ログイン／ログオフ、原則の変更、特権の使用、システムイベント、オブジェクトアクセス、詳細の追跡、アカウント管理がある。

ユーザ実施のユーザ名と一致する特定のユーザ。このフィールドでは、大文字と小文字が区別されない。

コンピュータ実際のコンピュータ名と一致する特定のコンピュータ。このフィールドでは、大文字と小文字が区別されない。

イベント ID 実際のイベントに対応する特定の番号

オペコン・イベントログのレポート

「データサーバ・イベントログのレポート項目」に同じ

プロコン・イベントログのレポート


160160160160

Webサーバ・ログのレポート

Web サーバ・イベントログのレポート項目は、「データサーバ・イベントログのレポート項目」に同じ

表65 Webサーバ・デーモンログのレポート項目



ファイルの最後のイベントの日付ホストアクセスを要求するクライアントのホスト名（DNS が無

効にされている場合は IPアドレス）認証ユーザ名認証を要した場合の認証ユーザ名要求全説明クライアントが行った正確な要求説明ステータスサーバがクライアントに戻したステータスコードコンテンツ長クライアントに送信されたドキュメントのバイトでのコ

ンテンツ長HTTPヘッダ ③ クライアントが現ページをアクセスしたときにどの

ページから来たかを指定④ クライアントが使用するブラウザのタイプ、そのバージョン、それを実行する OS を含むユーザエージェント情報

メソッド使用される要求メソッドURI Universal Resource Identifier。サーバ上のリソースの

場所プロトコル使用されるトランスポートプロトコルおよびバージョン

エンコン・イベントログのレポート


プロコン保守用コンソール・イベントログのレポート


161161161161

制御系保護専用ファイアウォール・イベントログのレポート

表66 制御系保護専用ファイアウォール・イベントログのレポート項目



ファイルの最後のイベントの日付インターフェース記録されたイベントが発生したハードウェア・インタフ


るホスト名サービスこの通信が要求したサービス（宛先ポート）Source 通信の発信元Destination 通信の宛先プロトコル使用された通信プロトコルルールファイアウォールを通過するパケットに適用されたベー

スのルール番号ポート発信元ポート接続時間ログが更新されるまでの接続時間バイト転送されるパケットのバイト数拒否通知パケットフィルタリング機能により、情報系 LAN と制


認証フレームワーク・イベントログのレポート

表67 認証フレームワーク・イベントログのレポート項目



ファイルの最後のイベントの日付利用者認証機器を操作する利用者がフレームワークにおいて正規の

利用者であることの確認の記録機器認証リモート機器へアクセスを要求する機器が、正当な機器

からの要求であることの確認の記録チケット発行チケット発行サーバよりチケットが発行された結果を記

録機器管理フレームワークにおける機器情報の管理記録

162162162162

秘匿通信フレームワーク・イベントログのレポート

表68 秘匿通信フレームワーク・イベントログのレポート項目



ファイルの最後のイベントの日付データ認証送受信データが、通信経路において改ざんされていない

ことを証明すルータめの検証記録パケット監視アプリケーションとネットワークカード間のネットワー

ク経路上を流れるパケットデータの改ざん検知の記録

制御 LANおよび制御系情報 LAN上を流れるパケットログのレポート

表69 パケットログのレポート項目

項目内容日付イベントが発生した日付時刻イベントが発生した時刻Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレス

(7) セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ通信機能


「フィルタ管理機能」からの出力データを受け取り、これを「セキュリティ監視エージェント通信機能」へ通信する機能

「セキュリティ監視エージェント」における「ログ通信機能」からの出力データを「セキュリティ監視エージェント通信機能」を介して受け取り、これを「セキュリティ監視マネージャ」における「ログ管理機能」へ通信する機能

「イベント通信機能」からの出力データを「セキュリティ監視エージェント通信機能」を介して受け取り、これを「セキュリティ監視マネージャ通信機能」へ通信する機能




163163163163



164164164164


6.4.1 セキュリティセキュリティセキュリティセキュリティ・ポリシーマネ・ポリシーマネ・ポリシーマネ・ポリシーマネージャージャージャージャ

(1) 構成管理機能構成管理機能構成管理機能構成管理機能


機器名および機器グループ名の情報を機器マスタおよび機器グループマスタとして検索、更新する画面機能

利用者名および利用者グループ名の情報を利用者マスタおよび利用者グループマスタとして検索、更新する画面機能


機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタの項目と内容を以下に示す。

表70 機器マスタ

項目内容機器名機器毎に一意に付与される名称IPアドレス機器の通信インターフェース毎に付与された IP アドレ

ス公開鍵機器毎に発行された公開鍵

表71 機器グループマスタ

項目内容機器名機器毎に一意に付与される名称機器グループ名機器の役割を表す機器グループ名。一つの機器名または

同じ役割である複数の機器名に対応する

表72 利用者マスタ

項目内容利用者名利用者毎に一意に付与される名称パスワード利用者名に対するパスワード公開鍵利用者毎に発行された公開鍵個人情報格納装置利用者毎に発行された個人情報格納装置

165165165165

表73 利用者グループマスタ

項目内容利用者名利用者毎に一意に付与される名称利用者グループ名利用者の役割を表す利用者グループ名。一つの利用者名

または同じ役割である複数の利用者名に対応する


前述の機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタである。

(iv) 画面入出力データ画面入出力データ画面入出力データ画面入出力データ

機器情報画面の項目と内容を以下に示す。

表74 機器情報画面

項目内容入出力区分機器名機器マスタの機器名入出力機器グループ名機器グループマスタの機器グループ名入出力IPアドレス機器マスタの IPアドレス入出力公開鍵機器マスタの公開鍵入出力更新削除フラグ ”更新”、”削除”または”空白”

（画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新削除フラグを更新にし、画面表示されたデータを削除する場合は更新削除フラグを削除にする）

入力

実行結果検索、更新の結果をメッセージとして表示する出力

画面制御の例を以下に記述する。機器名、機器グループ名、IP アドレスのいずれか、または複数の項目に文字列を入力すると、それを検索条件として機器マスタと機器グループマスタを検索し、該当データの画面表示を行う。機器グループ名での検索等により複数のデータが検索された場合、または検索条件無しで全件検索された場合は、１画面１データとして頁送り（前頁、次頁）により表示する。画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新削除フラグを”更新”にすると、機器マスタと機器グループマスタの該当データを更新する。画面表示されたデータを削除する場合は画面上の該当項目を書き換えて更新削除フラグを”削除”にすると、機器マスタの該当データを削除する。実行結果のメッセージ例を以下に示す。

166166166166

表75 実行結果のメッセージ例

実行内容メッセージ例該当する機器はありませんｎ件検索されました（ｎは検索されたデータの件数）

検索

ｘファイルの読み込みで異常が発生しました（ｘは機器マスタまたは機器グループマスタ）正常に更新されました正常に削除されました入力された機器名は他の機器グループに登録済です

更新

ｘファイルの書き込みで異常が発生しました（ｘは機器マスタまたは機器グループマスタ）

利用者情報画面の項目と内容を以下に示す。

表76 利用者情報画面

項目内容入出力区分利用者名利用者マスタの利用者名入出力利用者グループ名利用者グループマスタの利用者グループ名入出力パスワード利用者マスタのパスワード入出力公開鍵利用者マスタの公開鍵入出力個人情報格納装置利用者マスタの個人情報格納装置入出力更新削除フラグ ”更新”、”削除”または”空白”


入力


画面制御の例を以下に記述する。利用者名、利用者グループ名のいずれか、または複数の項目に文字列を入力すると、それを検索条件として利用者マスタと利用者グループマスタを検索し、該当データの画面表示を行う。利用者グループ名での検索等により複数のデータが検索された場合、または検索条件無しで全件検索された場合は、１画面１データとして頁送り（前頁、次頁）により表示する。画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新削除フラグを”更新”にすると、利用者マスタと利用者グループマスタの該当データを更新する。画面表示されたデータを削除する場合は画面上の該当項目を書き換えて更新削除フラグを”削除”にすると、利用者マスタの該当データを削除する。実行結果のメッセージ例を以下に示す。

167167167167


実行内容メッセージ例該当する利用者名はありませんｎ件検索されました（ｎは検索されたデータの件数）

検索

ｘファイルの読み込みで異常が発生しました（ｘは利用者マスタまたは利用者グループマスタ）正常に更新されました正常に削除されました入力された利用者名は他の利用者グループに登録済です

更新

ｘファイルの書き込みで異常が発生しました（ｘは利用者マスタまたは利用者グループマスタ）

(2) ポリシー管理機能ポリシー管理機能ポリシー管理機能ポリシー管理機能


機器グループ間のアクセス権限の情報をアクセス権限情報として検索、更新する画面機能

制御系保護専用ファイアウォールの設定情報をファイアウォール設定として検索、更新する画面機能

セキュリティ監視フレームワークが監視する検知パターンをフィルタ情報として検索、更新する画面機能

機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報の他フレームワークへの配布状況を状態管理ファイルで検索する画面機能

機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報を他フレームワークへ配布するため配布先を状態管理ファイルに登録する機能

機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報をポリシーマネージャ通信機能へ送る機能

他フレームワークへの機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報の配布状況をポリシーマネージャ通信機能から受け取り、状態管理ファイルに登録する機能

168168168168


アクセス権限情報、ファイアウォール設定、フィルタ情報、状態管理ファイルの項目と内容を以下に示す。

表78 アクセス権限情報（機器グループ間）

項目内容送信元機器グループ名送信元の機器グループ名（例：コントローラ）

受信先機器グループ名 1 受信先の機器グループ名（例：コントローラ）アクセス権限 1 アクセス不可またはアクセス可

受信先機器グループ名 2 受信先の機器グループ名（例：エンコン）アクセス権限 2 アクセス不可またはアクセス可

受信先機器グループ名 3 受信先の機器グループ名（例：データサーバ）アクセス権限 3 アクセス不可またはアクセス可

受信先機器グループ名 4 受信先の機器グループ名（例：オペコン）アクセス権限 4 アクセス不可またはアクセス可

受信先機器グループ名 5 受信先の機器グループ名（例：プロコン）アクセス権限 5 アクセス不可またはアクセス可

受信先機器グループ名 6 受信先の機器グループ名（例：プロコン保守用コンソール）アクセス権限 6 アクセス不可またはアクセス可

受信先機器グループ名 7 受信先の機器グループ名（例：Webサーバ）アクセス権限 7 アクセス不可またはアクセス可

受信先機器グループ名 8 受信先の機器グループ名（例：ファイアウォール）アクセス権限 8 アクセス不可またはアクセス可

受信先機器グループ名、アクセス権限の項目数は例として 1～8 としてあるが、機器グループマスタの機器グループ名の数に依存する。

169169169169

表79 アクセス権限情報（利用者グループ－機器グループ間）

項目内容利用者グループ名利用者グループ名（例：エンジニア）アクセス先機器グループ名 1 アクセス先の機器グループ名（例：コントローラ）

アクセス権限 1 アクセス不可またはアクセス可アクセス先機器グループ名 2 アクセス先の機器グループ名（例：エンコン）

アクセス権限 2 アクセス不可またはアクセス可アクセス先機器グループ名 3 アクセス先の機器グループ名（例：データサーバ）

アクセス権限 3 アクセス不可またはアクセス可アクセス先機器グループ名 4 アクセス先の機器グループ名（例：オペコン）

アクセス権限 4 アクセス不可またはアクセス可アクセス先機器グループ名 5 アクセス先の機器グループ名（例：プロコン）

アクセス権限 5 アクセス不可またはアクセス可アクセス先機器グループ名 6 アクセス先の機器グループ名（例：プロコン保守用コンソール）

アクセス権限 6 アクセス不可またはアクセス可アクセス先機器グループ名 7 アクセス先の機器グループ名（例：Webサーバ）

アクセス権限 7 アクセス不可またはアクセス可アクセス先機器グループ名 8 アクセス先の機器グループ名（例：ファイアウォール）

アクセス権限 8 アクセス不可またはアクセス可

アクセス先機器グループ名、アクセス権限の項目数は例として 1～8 としてあるが、機器グループマスタの機器グループ名の数に依存する。

表80 ファイアウォール設定

項目内容ルール名ファイアウォール設定の中で一意のルールに対する名称通信可否通信不可または通信可宛て先 IPアドレス宛て先の IPアドレス送信元 IPアドレス送信元の IPアドレスプロトコル通信プロトコルの種別通信ポート通信ポート番号

※ファイアウォール情報はフィルタリング条件を定義し、それを元に制御系保護専用ファイアウォールがフィルタリングを行なえるものとする。定義フォーマットその他詳細は制御系保護専用ファイアウォールの仕様に基づく。

170170170170

表81 フィルタ情報

項目内容フィルタ名フィルタ情報の中で一意のフィルタに対する名称検知パターン検知パターンを表すデータ

※ログファイルの種別とそのデータ項目を特定し、検知する値や指定時間内の上限値、下限値などを定義し、それを元にセキュリティ監視フレームワークが検知を行なえるものとする。構文その他詳細は本外部設計書では特に規定しない。

表82 状態管理ファイル

項目内容ファイル種別機器マスタ、機器グループマスタ、利用者マスタ、利用

者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報のいずれかを表す

更新日時ファイルの最終更新日時版数ファイルの版数配布先ファイルの配布先受信日時配布先のセキュリティ･ポリシーエージェントでのファ

イル受信日時適用日時配布先の他フレームワークでのファイル適用日時適用状況配布先の他フレームワークでのファイル適用状況

適用状況のメッセージ例を以下に示す。

表83 適用状況のメッセージ例

実行内容メッセージ例正常正常未適用他フレームワークでのファイル読み込み異常他フレームワーク側での異常

異常

他フレームワークから応答無し


前述のアクセス権限情報、ファイアウォール設定、フィルタ情報、状態管理ファイルである。


アクセス権限設定画面の項目と内容を以下に示す。

171171171171

表84 アクセス権限設定画面（機器グループ間）

項目内容入出力区分送信元機器グループ名

データの送信元となる機器グループ名出力

受信先機器グループ名 1

データの受信先となる機器グループ名出力

アクセス権限 1 アクセス不可またはアクセス可入出力受信先機器グループ名 2














アクセス権限 8 アクセス不可またはアクセス可入出力更新フラグ ”更新”または”空白”

（画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新フラグを”更新”にする）

入力

実行結果表示、更新の結果をメッセージとして表示する出力

画面制御の例を以下に記述する。アクセス権限設定画面（機器グループ間）を起動すると、送信元機器グループ名 1～8

を縦軸、受信先機器グループ名 1～8 を横軸で構成された表形式で、送信元機器グループ名の行と受信先機器グループ名の列が交わるセルがアクセス権限を表し、アクセス可であれば”ＯＫ”、アクセス不可であれば”ＮＧ”で表示される。アクセス権限を変更する場合は画面上のアクセス権限を”ＯＫ”または”ＮＧ”に書き換えて行毎にある更新フラグを”更新”にすると、アクセス権限情報の該当データを更新する。実行結果のメッセージ例を以下に示す。

172172172172


実行内容メッセージ例起動アクセス権限情報ファイルの読み込みで異常が発生しました

正常に更新されました更新アクセス権限情報ファイルの書き込みで異常が発生しました

アクセス権限設定画面の項目と内容を以下に示す。

表86 アクセス権限設定画面（利用者グループ－機器グループ間）

項目内容入出力区分利用者グループ名利用者グループ名出力アクセス先機器グループ名 1

アクセス先の機器グループ名出力

アクセス権限 1 アクセス不可またはアクセス可入出力アクセス先機器グループ名 2














アクセス権限 8 アクセス不可またはアクセス可入出力更新フラグ ”更新”または”空白”

（画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新フラグを”更新”にする）

入力

実行結果表示、更新の結果をメッセージとして表示する出力

画面制御の例を以下に記述する。アクセス権限設定画面（利用者グループ－機器グループ間）を起動すると、利用者グル

ープ名を縦軸、アクセス先機器グループ名 1～8 を横軸で構成された表形式で、利用者グループ名の行とアクセス先機器グループ名の列が交わるセルがアクセス権限を表し、アク

173173173173

セス可であれば”ＯＫ”、アクセス不可であれば”ＮＧ”で表示される。アクセス権限を変更する場合は画面上のアクセス権限を”ＯＫ”または”ＮＧ”に書き換えて行毎にある更新フラグを”更新”にすると、アクセス権限情報の該当データを更新する。実行結果のメッセージ例を以下に示す。


実行内容メッセージ例起動アクセス権限情報ファイルの読み込みで異常が発生しました

正常に更新されました更新アクセス権限情報ファイルの書き込みで異常が発生しました

フィルタ情報画面の項目と内容を以下に示す。

表88 フィルタ情報画面

項目内容入出力区分フィルタ名フィルタ名入出力検知パターン検知パターン入出力更新削除フラグ ”更新”、”削除”または”空白”


入力


画面制御の例を以下に記述する。フィルタ名の項目に文字列を入力すると、それを検索条件としてフィルタ情報ファイルを検索し、該当データの画面表示を行う。検索条件無しで全件検索された場合は、１画面１データとして頁送り（前頁、次頁）により表示する。画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新削除フラグを”更新”にすると、フィルタ情報ファイルの該当データを更新する。画面表示されたデータを削除する場合は画面上の該当項目を書き換えて更新削除フラグを”削除”にすると、フィルタ情報ファイルの該当データを削除する。実行結果のメッセージ例を以下に示す。


実行内容メッセージ例検索フィルタ情報ファイルの読み込みで異常が発生しました

正常に更新されました更新削除フィルタ情報ファイルの書き込みで異常が発生しました

ファイアウォール設定画面の項目と内容を以下に示す。

174174174174

表90 ファイアウォール設定画面

項目内容入出力区分ルール名ファイアウォール設定の中で一意のルールに対する名称入出力通信可否通信不可または通信可入出力宛て先 IPアドレス宛て先の IPアドレス入出力送信元 IPアドレス送信元の IPアドレス入出力プロトコル通信プロトコルの種別入出力通信ポート通信ポート番号入出力更新削除フラグ ”更新”、”削除”または”空白”


入力


画面制御の例を以下に記述する。ルール名、宛て先 IP アドレス、送信元 IP アドレス、プロトコル、通信ポートのいずれか、または複数の項目に文字列を入力すると、それを検索条件としてファイアウォール設定ファイルを検索し、該当データの画面表示を行う。検索条件無しで全件検索された場合は、１画面１データとして頁送り（前頁、次頁）により表示する。画面表示されたデータを更新する場合は画面上の該当項目を書き換えて更新削除フラグを”更新”にすると、ファイアウォール設定ファイルの該当データを更新する。画面表示されたデータを削除する場合は画面上の該当項目を書き換えて更新削除フラグを”削除”にすると、ファイアウォール設定ファイルの該当データを削除する。実行結果のメッセージ例を以下に示す。


実行内容メッセージ例検索ファイアウォール設定ファイルの読み込みで異常が発生しました

正常に更新されました更新削除ファイアウォール設定ファイルの書き込みで異常が発生しました

ポリシー配布管理画面の項目と内容を以下に示す。

175175175175

表92 ポリシー配布管理画面

項目内容入出力区分ファイル種別機器マスタ、機器グループマスタ、利用者マスタ、利用


入出力

更新日時ファイルの最終更新日時入出力版数ファイルの版数入出力配布先ファイルの配布先入出力受信日時配布先のセキュリティ･ポリシーエージェントでのファイ

ル受信日時入出力

適用日時配布先の他フレームワークでのファイル適用日時入出力適用状況配布先の他フレームワークでのファイル適用状況入出力配布指示 ”配布”または”空白” 入力実行結果検索、更新の結果をメッセージとして表示する出力

画面制御の例を以下に記述する。ファイル種別、更新日時、版数、配布先、受信日時、適用状況、適用日時のいずれか、または複数の項目に文字列を入力すると、それを検索条件として状態管理ファイルを検索し、該当データの画面表示を行う。機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報を配布するには画面上の配布指示の項目を書き換えて”配布”にすると、該当データがポリシーマネージャ通信機能へ送信される。実行結果のメッセージ例を以下に示す。


実行内容メッセージ例検索 x ファイルの読み込みで異常が発生しました（x は機器マスタ、機器グルー

プマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報、配布管理ファイルのいずれかを示す）正常に配布が開始されましたx ファイルの読み込みで異常が発生しました（x は機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報、配布管理ファイルのいずれかを示す）

配布

ポリシーマネージャ通信機能で異常が発生しました

(3) 監視監視監視監視 GUI機能機能機能機能


セキュリティ監視マネージャで取得されたログ情報を検索するための検索条件をポリシーマネージャ通信機能へ送信する画面機能

176176176176

セキュリティ監視マネージャで取得されたログ情報の検索結果を表示するためポリシーマネージャ通信機能から検索結果としてのログ情報を受け取り、表示を行う画面機能

セキュリティ監視マネージャで取得された不正イベント通知をポリシーマネージャ通信機能から受け取り不正イベント通知ファイルへ蓄積する機能

不正イベント通知ファイルから不正イベント通知を読み込んで表示し、不正イベント通知ファイルから不正イベント通知を削除する画面機能


検索条件、ログ情報、不正イベント通知の項目と内容を以下に示す。

表94 検索条件

項目内容検索開始日時検索対象とするログの開始日時検索終了日時検索対象とするログの終了日時検索キーワード検索条件となるキーワード

※セキュリティ監視フレームワークで管理されるログファイルの種別やデータ項目を定義し、それを元にセキュリティ監視フレームワークが検索処理と検索結果のログファイル生成を行なえるものとする。構文その他詳細は本外部設計書では特に規定しない。

表95 ログ情報

項目内容ログ情報ログ情報の検索結果

表96 不正イベント通知

項目内容不正イベント通知不正イベント通知のデータ


表97 不正イベント通知ファイル

項目内容不正イベント通知 ID 不正イベント通知の中で一意の名称不正イベント通知不正イベント通知のデータ

177177177177


ログ情報画面の項目と内容を以下に示す。

表98 ログ情報画面

項目内容入出力区分検索開始日時検索対象とするログの開始日時入力検索終了日時検索対象とするログの終了日時入力検索キーワード検索条件となるキーワード

※セキュリティ監視フレームワークで管理されるログファイルの種別やデータ項目を定義し、それを元にセキュリティ監視フレームワークが検索処理と検索結果のログファイル生成を行なえるものとする。構文その他詳細は本外部設計書では特に規定しない。

入力

ログ情報検索結果のログ情報出力

画面制御の例を以下に記述する。検索開始日時、検索終了日時、検索キーワードのいずれか、または複数の項目を入力するとそれを検索条件としてポリシーマネージャ通信機能へ送る。ポリシーマネージャ通信機能から検索結果としてログ情報を受け取り、画面表示する。

イベント情報画面の項目と内容を以下に示す。

表99 イベント情報画面

項目内容入出力区分不正イベント通知 ID 不正イベント通知の中で一意の名称出力不正イベント通知不正イベント通知のデータ出力削除フラグ ”削除”または”空白”

（画面表示されたデータを削除する場合は削除フラグを削除にする）

入力

実行結果検索、削除の結果をメッセージとして表示する出力

画面制御の例を以下に記述する。不正イベント通知ファイルから定期的にデータを読み込み、画面表示する。画面表示された不正イベント通知を確認し、画面表示が不要となった場合は削除フラグを削除にすると不正イベント通知ファイルの該当データが削除される。

(4) ポリシーマネージャ通信機能ポリシーマネージャ通信機能ポリシーマネージャ通信機能ポリシーマネージャ通信機能


セキュリティ･ポリシーエージェントとの通信機能

178178178178

機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報を受け取り、状態管理ファイルに登録された配布先に基づきポリシーマネージャ通信機能へ送る機能

他フレームワークへの機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報の配布状況をポリシーエージェント通信機能から受け取り、ポリシー管理機能へ送信する機能

セキュリティ監視フレームワークで取得されたログ情報を検索するための検索条件をポリシーエージェント通信機能へ送信する機能

セキュリティ監視フレームワークで取得されたログ情報の検索結果をポリシーエージェント通信機能から受け取り監視 GUI機能へ送信する機能

セキュリティ監視フレームワークで取得された不正イベント通知をポリシーエージェント通信機能から受け取り監視 GUI機能へ送信する機能


前述の機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報、状態管理ファイルおよびポリシーファイル配布データである。ポリシーファイル配布データの項目と内容を以下に示す。

表100 ポリシーファイル配布データ


者グループマスタ、アクセス権限情報、フィルタ情報、ファイアウォール設定のいずれかを表す


イル受信日時ポリシーファイルファイル種別で表されたファイルのデータ


前述の機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、ファイアウォール設定、フィルタ情報、状態管理ファイルおよびポリシーファイル配布データである。

179179179179

6.4.2 セキュリティセキュリティセキュリティセキュリティ・ポリシーエージェント・ポリシーエージェント・ポリシーエージェント・ポリシーエージェント

(1) 認証フレームワーク連携機能認証フレームワーク連携機能認証フレームワーク連携機能認証フレームワーク連携機能


ポリシーエージェント通信機能より機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報を受け取り、認証フレームワークへ送る機能

認証フレームワークより機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報の適用状況を受け取り、ポリシーエージェント通信機能へ送る機能


ポリシーファイル配布データの項目と内容を以下に示す。



者グループマスタ、アクセス権限情報のいずれかを表す更新日時ファイルの最終更新日時版数ファイルの版数配布先ファイルの配布先受信日時配布先のセキュリティ･ポリシーエージェントでのファ



前述の表 82 状態管理ファイルである。

(2) 監視フレームワーク連携機能監視フレームワーク連携機能監視フレームワーク連携機能監視フレームワーク連携機能


ポリシーエージェント通信機能より機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、フィルタ情報、ファイアウォール設定を受け取り、監視フレームワークへ送る機能

180180180180

監視フレームワークより機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報の適用状況を受け取り、ポリシーエージェント通信機能へ送る機能

ポリシーエージェント通信機能よりログの検索条件を受け取り、監視フレームワークへ送る機能

監視フレームワークよりログの検索結果を受け取り、ポリシーエージェント通信機能へ送る機能

監視フレームワークより不正イベント通知を受け取り、ポリシーエージェント通信機能へ送る機能





者グループマスタ、アクセス権限情報、フィルタ情報、ファイアウォール設定のいずれかを表す





(3) ファイアウォール連携機能ファイアウォール連携機能ファイアウォール連携機能ファイアウォール連携機能


ポリシーエージェント通信機能よりファイアウォール設定を受け取り、ファイアウォールへ送る機能

ファイアウォールよりファイアウォール設定の適用状況を受け取り、ポリシーエージェント通信機能へ送る機能



181181181181


項目内容ファイル種別ファイアウォール設定を表す更新日時ファイルの最終更新日時版数ファイルの版数配布先ファイルの配布先受信日時配布先のセキュリティ･ポリシーエージェントでのファ




(4) ポリシーエージェント通信機能ポリシーエージェント通信機能ポリシーエージェント通信機能ポリシーエージェント通信機能


セキュリティ･ポリシーマネージャとの通信機能

認証フレームワーク連携機能から機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報の適用状況を受け取り、状態管理ファイルを更新する機能

監視フレームワーク連携機能から機器マスタ、機器グループマスタ、利用者マスタ、利用者グループマスタ、アクセス権限情報、フィルタ情報、ファイアウォール設定の適用状況を受け取り、状態管理ファイルを更新する機能

ファイアウォール連携機能からファイアウォール設定の適用状況を受け取り、状態管理ファイルを更新する機能


前述の表 95 ログ情報、表 96 不正イベント通知および状態管理データである。状態管理データの項目と内容を以下に示す。

182182182182

表104 状態管理データ



更新日時ファイルの最終更新日時版数ファイルの版数配布先ファイルの配布先適用日時配布先の他フレームワークでのファイル適用日時適用状況配布先の他フレームワークでのファイル適用状況

（適用済、適用失敗など）


前述の表 104 状態管理データである。

183183183183


本機能は、情報系 LANから制御系情報 LANへの不正侵入を防止することを主な目的と

する。

以下に主な構成機能を示す。


情報系 LANと制御系情報 LAN間を通過するパケットを監視し、フィルタリング・ル

ールに基づいたアクセス制御を行う。

プロキシ機能

プロコンの代理クライアントとして、情報系 LAN 上のホストコンピュータへアクセ

スを行う。情報系 LAN 上から識別できるのはフォイアウォールの存在のみであり、制

御系情報 LAN上の実プロコン機器を外部から隠蔽することが可能である。


Web サーバの代理サーバとして、情報系 LAN 上の監視端末（Web クライアント）へ

コントローラデータを提供する。また、プロコンの代理サーバとして、ホストコンピュ

ータからの生産管理情報送信要求を受付ける。情報系 LAN 上から識別できるのはファ

イアウォールの存在のみであり、制御系情報 LAN 上の実サーバ機器を外部から隠蔽す

ることが可能である。

なお、これら機能は市販ファイアウォール製品に標準的に実装されている機能であるた

め、本仕様書においては各機能設計の掘り下げを目的とせず、各機能の設定方法およびフ

レームワークとの連携に主眼をおいて記述するものである。

184184184184


NIC(External)



NIC(Internal)

イベント通知



ログ出力機能

http要求

プロキシ機能

データ要求

データ要求


フィルタリングルール


フィルタ定義ファイルログデータ



Webサーバプロコン

http要求

データ配信

データ配信

イベント通知

イベント通知

図69 制御系専用ファイアウォール機能関連図

185185185185

(1) パケットフィルタ機能パケットフィルタ機能パケットフィルタ機能パケットフィルタ機能


情報系 LANと制御系情報 LAN間を通過するパケットを監視し、あらかじめ登録された

フィルタリング・ルールに基づいてアクセス制御（通過および遮断）を行う。

フィルタリング・ルールは、TCP/IP レベルで設定できるものを必要とし、あらかじめ

運用管理フレームワークにおいて定義されているものとする。

想定する定義条件を以下に挙げる。

表105 定義可能な条件

項目内容

ホストコンピュータリストアクセス可能なホストコンピュータのアドレスリスト例）192.168.81.1

ホストコンピュータプロトコル

ホストコンピュータとプロコン間で使用するプロトコル種別特に限定しない

監視端末リストアクセス可能な監視端末のアドレスリスト例）192.168.82.1

監視端末プロトコル監視端末とWebサーバ間で使用するプロトコル種別例）https/https

また、本機能はフィルタリング・ルールに違反するパケットを検知（拒否）した場合、

ログ出力機能に対しイベント通知を行う。

186186186186

拒否イベントログ出力機能フィルタ設定機能フィルタリングルール

NIC(External)

NIC(Internal)


パケット

パケット

図70 パケットフィルタ機能機能ブロック関連図


フィルタリング・ルール

市販ファイアウォールのパケットフィルタ機能が入力できる形式の定義データ

（ファイル形式のものを期待）


アクセス拒否イベントデータ

市販ファイアウォールが出力するアクセスログ

（日時／送信元アドレス／送信先アドレス／プロトコル種別等を期待）

187187187187

(2) プロキシ機能プロキシ機能プロキシ機能プロキシ機能


プロコンの代理クライアントとして、情報系 LAN 上のホストコンピュータへアクセス

を行う。情報系 LAN 上から識別できるのはファイアウォールの存在(IP アドレス)のみで

あり、結果的に制御系情報 LAN上の実プロコンを外部から隠蔽することが可能である（脆

弱性探査の対象にならない）。

なお、プロコンとホストコンピュータの通信プロトコルを限定することが困難であるた

め、本機能とプロコン間の通信に透過型プロキシ（SOCKS）を使用する。したがって、

制御系保護専用ファイアウォールに実装するプロキシ機能は SOCKS プロトコルを持って

いる必要がある。また、プロコン上において SOCKSソフトウェアを実装する必要がある。



プロコン

要求応答

プロキシ機能

SOCKS

SOCKS

要求（代理送信）

応答（代理受信）

図71 プロキシ機能機能ブロック関連図


要求メッセージ

プロコンがホストコンピュータに送信する要求メッセージ（プロコン、ホストコンピ

ュータ間で使用するアプリケーション通信プロトコルに依存）

188188188188


応答メッセージ

ホストコンピュータが返信する応答メッセージ（プロコン、ホストコンピュータ間で

使用するアプリケーション通信プロトコルに依存）

189189189189

(3) リバースプロキシ機能リバースプロキシ機能リバースプロキシ機能リバースプロキシ機能


制御系情報 LAN 上 Web サーバの代理サーバとして、情報系 LAN 上の監視端末（Web

クライアント）へコントローラ情報を提供する。また、プロコンの代理サーバとして、ホ

ストコンピュータからの生産管理情報を受信する。情報系 LAN 上から識別できるのはフ

ァイアウォールの存在（IP アドレス）のみであり、制御系情報 LAN 上の実サーバを外部

から隠蔽することが可能である（脆弱性探査の対象にならない）。

監視端末とWebサーバ間の秘匿通信には利便性を考慮し、秘匿通信フレームワークの持

ち出しはせず、情報系で標準的な SSL(Secure Sockets Layer)を使用し実現するものとす

る。また、ホストコンピュータとファイアウォール間の秘匿通信については、ホストコン

ピュータとプロコン間のアプリケーション通信プロトコルが限定できないため、

VPN(Virtual Private Network)を使用するものとする。ホストコンピュータ上に VPNを実装

することが困難である場合は、ホストコンピュータの前段に VPN 機能を持ったルータを

設置するものとする。



プロコン

要求応答


要求（代理受信）

応答（代理送信）

監視端末（Webクライアント）

Webサーバ

http要求（代理受信）

http応答（代理送信）

http要求 http応答

SSL

SSLVPN

VPN

図72 リバースプロキシ機能機能ブロック関連図

190190190190


監視端末監視端末監視端末監視端末

https要求メッセージ

監視端末が送信する https要求メッセージおよび http要求メッセージ

ホストコンピュータホストコンピュータホストコンピュータホストコンピュータ

要求メッセージ

ホストコンピュータが送信する要求メッセージ（ホストコンピュータとプロコン間の

アプリケーション通信プロトコルに依存）


監視端末監視端末監視端末監視端末

https応答メッセージ

Webサーバが返信する https応答メッセージおよび http応答メッセージ

ホストコンピュータホストコンピュータホストコンピュータホストコンピュータ

応答メッセージ

オペコンが返信する応答メッセージ（ホストコンピュータとプロコン間のアプリケー

ション通信プロトコルに依存）

191191191191

(4) フィルタ設定機能フィルタ設定機能フィルタ設定機能フィルタ設定機能


フィルタリング・ルールをセキュリティ・ポリシーエージェントから取得し、パケット

フィルタ機能に反映する。

フィルタリング・ルールは、定義ファイルとしてセキュリティ・ポリシーエージェント

から取得し、パケットフィルタ機能が入力可能な形式に変換し、反映させるものとする。

パケットフィルタ機能は、市販ファイアウォールによる実装を想定しており、ファイアウ

ォール製品の仕様によっては、マクロ作成、キーシミュレート等のファイル形式以外の方

法で反映させる必要がある。

フィルタ設定機能フィルタリングルール

パケットフィルタ機能セキュリティ・ポリシー

エージェント設定完了通知

フィルタ定義ファイル

図73 フィルタ設定機能機能ブロック関連図


フィルタ定義ファイル

セキュリティ・ポリシーエージェントにおいて作成したフィルタリング・ルールが定

義されているファイル


設定完了通知

セキュリティ・ポリシーエージェントに対し、フィルタ設定の完了情報として

日時／定義ファイル名／作定義ファイル成日時

を返す。

192192192192



制御系保護専用ファイアウォールにおいて発生する各種イベントを、セキュリティ監視

エージェントのログデータ形式に変換し、転送する。

ログ出力機能イベントデータ各機能セキュリティ監視エージェントログデータ


制御系保護専用ファイアウォールにおいて発生するイベント例を以下に挙げる。

表106 制御系保護専用ファイアウォール発生イベント

種別発生元機能内容アクセス拒否パケットフィルタ機能ファイアウォールへのアクセスを拒否したフィルタ更新フィルタ設定機能ファイアウォールのフィルタ定義を更新したアクセス許可プロキシ機能情報系 LANへのアクセスを許可したアクセス許可リバースプロキシ機能情報系 LANからのアクセスを許可した


イベントデータ

各機能が生成するイベントデータ

発生日時

イベント種別

詳細情報

193193193193


ログ

セキュリティ監視エージェントに渡すログデータ（セキュリティ監視エージェントが

要求するログデータ形式に準ずる）

以下に制御系保護専用ファイアウォールにおける主なログを示す。

表107 制御系保護専用ファイアウォール・イベントログ

項目内容ログ項目番号ファイアウォール内において割当てる連続番号日付イベントが発生した日付時刻イベントが発生した時刻インターフェース記録されたイベントが発生したハードウェア・インタフ


るホスト名サービスこの通信が要求したサービス（宛先ポート）Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレスプロトコル使用された通信プロトコルルールファイアウォールを通過するパケットに適用されたベー

スのルール番号ポート発信元ポート接続時間ログが更新されるまでの接続時間バイト転送されたパケットのバイト数拒否通知パケットフィルタリング機能により、情報系 LAN と制


アクセス状況制御系機器および情報系機器の相互の代行アクセス状況

194194194194

6.6 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシとして提供する

認証･秘匿通信機能

セキュリティ監視機能

の機能仕様について示す（図 75）。

195195195195

図75 制御機器マイクロプロキシにおける機能

��

認証・秘匿通信機能認証・秘匿通信機能認証・秘匿通信機能認証・秘匿通信機能

��

監視ログ送信機能監視ログ送信機能監視ログ送信機能監視ログ送信機能




制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ

��監視ログ受信機能監視ログ受信機能監視ログ受信機能監視ログ受信機能

��

セキュリティ監視機能セキュリティ監視機能セキュリティ監視機能セキュリティ監視機能��

認証･秘匿通信機能認証･秘匿通信機能認証･秘匿通信機能認証･秘匿通信機能




認証・秘匿通信機能認証・秘匿通信機能認証・秘匿通信機能認証・秘匿通信機能

制御機器専用マイクロプ制御機器専用マイクロプ制御機器専用マイクロプ制御機器専用マイクロプロキシ内のデータの流れロキシ内のデータの流れロキシ内のデータの流れロキシ内のデータの流れ

アプリケーションでのアプリケーションでのアプリケーションでのアプリケーションでのデータの流れデータの流れデータの流れデータの流れ

196196196196

6.6.1 制御機器での認証機能制御機器での認証機能制御機器での認証機能制御機器での認証機能制御機器専用マイクロプロキシにおける認証機能は、制御 LAN 専用認証フレームワー

クを実装する。詳細については『6.1.1 制御 LAN専用認証フレームワーク』の機能仕様を参照のこと。


制御機器専用マイクロプロキシにおける制御 LAN 専用認証フレームワークでは、その処理に必要となるポリシー情報および機器情報をあらかじめ制御機器専用マイクロプロキシ内に設定またはインストールしておく必要がある。

6.6.2 制御機器での秘匿通信機能制御機器での秘匿通信機能制御機器での秘匿通信機能制御機器での秘匿通信機能制御機器専用マイクロプロキシにおける秘匿通信機能は、秘匿通信フレームワークそのものを実装する。詳細については『6.2 秘匿通信フレームワーク』の機能仕様を参照のこと。


制御機器専用マイクロプロキシにおける秘匿通信フレームワークでは、コントローラおよび制御 LANにおける実装や稼動環境の違いを、全て制御 LAN専用認証フレームワークで吸収されるため秘匿通信フレームワークとして特別な配慮を必要としない。

6.6.3 制御機器でのセキュリティ監視機能制御機器でのセキュリティ監視機能制御機器でのセキュリティ監視機能制御機器でのセキュリティ監視機能制御機器専用マイクロプロキシにおけるセキュリティ監視機能は、コントローラへの実装および制御 LAN での稼動環境の制約からセキュリティ管理エージェントを配置することができない。よって、図 75で示すように監視ログ送信機能および監視ログ受信機能を配置することでセキュリティ監視機能を実現する。

(1) 監視ログ送信機能監視ログ送信機能監視ログ送信機能監視ログ送信機能


制御機器専用マイクロプロキシ内で出力される監視ログをデータサーバ上の監視ログ受信機能へ送信する（図 76）。

図76 監視ログ送信機能の関連図

認証・秘匿通信機能監視ログ受信機能監視ログ送信機能監視ログ送信機能監視ログ送信機能監視ログ送信機能

197197197197


認証フレームワークのログ


項目内容日付イベントが発生した日付時刻イベントが発生した時刻ログ出力機器名イベントを出力した機器名

認証要求機器名リモート機器へアクセスを要求する機器が、正当な機器からの要求であることの確認の記録

機器認証結果機器認証の失敗／成功の結果失敗事由機器認証失敗の場合の原因

秘匿通信フレームワークのログ

表109 秘匿通信ログ

情報説明日付イベントが発生した日付時刻イベントが発生した時刻ログ出力機器名イベントを出力した機器名Source 通信の発信元 IPアドレスDestination 通信の宛先 IPアドレス

データ認証送受信データが、通信経路において改ざんされていないことを証明するための検証記録

パケット監視アプリケーションとネットワークカード間のネットワーク経路上を流れるパケットデータの改ざん検知の記録


上述「6.6.3(1)(ii) 入力データ」に同じ

(2) 監視ログ受信機能監視ログ受信機能監視ログ受信機能監視ログ受信機能


各コントローラ上の監視ログ送信機能が送信するイベントを受信し、データサーバ上のセキュリティ監視エージェントへ渡す。これにより各コントローラの監視ログはデータサーバのセキュリティ監視エージェントを経由してセキュリティ監視マネージャに送らる（図77）。また、必要に応じて受信した監視ログの一時保持機能を持つ。

198198198198

図77 監視ログ受信機能の関連図


上述「6.6.3(1)(iii) 出力データ」に同じ


上述「6.6.3(2)(ii) 入力データ」に同じ

監視ログ送信機能セキュリティ監視エージェント監視ログ受信機能監視ログ受信機能監視ログ受信機能監視ログ受信機能

199199199199

7 設計設計設計設計・製造指針・製造指針・製造指針・製造指針

本外部設計書は、制御系セキュアフレームワーク全体の通信仕様、構造、機能仕様を記

述するものである。しかし、時間的な制約もあり、中項目レベルの機能設計までにとどめ

ている。またデータ設計に関しても項目定義のレベルである。したがって、実装に際して

は、よりブレークダウンした下位項目レベルの機能設計、およびデータ定義が必要である。

以下に、実装に際して特筆すべき項目をフレームワークの各構成要素毎に記述する。


(1) 各各各各 LANでの相互接続方法での相互接続方法での相互接続方法での相互接続方法

各 LAN での相互接続。情報系 LAN および制御系情報 LAN および制御 LAN の間で

の相互接続方法。認証方法が異なる LAN の間での認証情報および認証結果の連携を検

討する必要がある。それに伴い、相互接続のポリシーの検討が必要である。

(2) 初期認証アルゴリズム初期認証アルゴリズム初期認証アルゴリズム初期認証アルゴリズム

初期認証アルゴリズムの選定。アクセス許可情報発行時の利用者および機器のより具

体的な初期認証アルゴリズムを選定する必要がある。同時に認証子生成をどの機器で行

うのかを検討する必要がある。

(3) 暗号化および圧縮アルゴリズム暗号化および圧縮アルゴリズム暗号化および圧縮アルゴリズム暗号化および圧縮アルゴリズム

制御系システムで使用する暗号化および圧縮アルゴリズムの選定。認証フレームワーク

の各認証処理において使用される具体的な暗号化および圧縮アルゴリズムを選定する必

要がある。

(4) 生体識別装置から個人情報格納装置への送信情報の保護生体識別装置から個人情報格納装置への送信情報の保護生体識別装置から個人情報格納装置への送信情報の保護生体識別装置から個人情報格納装置への送信情報の保護

生体識別装置から個人情報格納装置への送信情報の保護。生体識別装置と個人情報格

納装置間での相互認証および暗号化処理を検討する必要がある。

200200200200

(5) 生体識別アルゴリズム生体識別アルゴリズム生体識別アルゴリズム生体識別アルゴリズム

初期認証処理において、個人情報格納装置の使用権限を取得するための具体的な生体

識別アルゴリズムを選定する必要がある。また、個人情報格納装置の処理能力を考慮し

て、生体識別機能の実装個所を検討する必要がある。

(6) 利用者認証機能の配置利用者認証機能の配置利用者認証機能の配置利用者認証機能の配置

認証処理において、利用者認証機能の配置を検討する必要がある。個人情報格納装置

の処理能力を考慮して、利用者認証機能の実装個所を検討する必要がある。

(7) 秘密情報の安全性秘密情報の安全性秘密情報の安全性秘密情報の安全性

秘密情報の安全性。本フレームワークにおいて利用される各認証は、利用される秘密

情報が安全に保管され、各エンティティと検証者のみが知りうる情報であることを前提

としている。よって、第三者が秘密情報を取得できないような安全な保管手段が必要で

ある。

201201201201

7.2 秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク秘匿通信フレームワーク

(1) SA詳細定義詳細定義詳細定義詳細定義

認証フレームワークとの連携において、秘匿通信フレームワーク中の SA 管理機能が扱う SAの詳細な項目について定義する必要がある。

(2) セキュリティセキュリティセキュリティセキュリティ・ポリシー詳細定義・ポリシー詳細定義・ポリシー詳細定義・ポリシー詳細定義

認証フレームワークとの連携において、秘匿通信フレームワークがサポートすべきポリシーの定義が必要である。認証フレームワークが定義する全てのポリシーを実装に反映できるかを検討する必要がある。

(3) 不整合の回避策不整合の回避策不整合の回避策不整合の回避策

パケットにセキュリティ機能を付加するにあたって、認証フレームワークを経由して間接的にセキュリティ・ポリシーエージェントと認証・秘匿通信サーバに問合せることになるが、これら三者間（秘匿通信フレームワーク、セキュリティ・ポリシーエージェント、認証・秘匿通信サーバ）で不整合が起こらないような仕組みを検討する必要がある。例えば、SA では暗号化することになっているのに、セキュリティ・ポリシーでは破棄する設定になっている、といったことが考えられる。また、この不整合はどのフレームワークが管理するのかを決定する必要がある。

(4) 暗号アルゴリズム暗号アルゴリズム暗号アルゴリズム暗号アルゴリズム

暗号モジュールのリニューアルを考えたとき、どのフレームワークでそれを管理するのかを決定する必要があり、またリニューアルを利用するための仕組みを秘匿通信フレームワークに取り込む必要がある。使用する暗号アルゴリズムの選定。制御機器は一般の計算機に比べて計算能力が低いことが分かっている。したがって、通信のスループットを低下させないような暗号アルゴリズムを選定する必要がある。

(5) キャッシュ機能キャッシュ機能キャッシュ機能キャッシュ機能

セキュリティ・ポリシーや SA の管理を実装するにあたって、パケットを受理するたびに認証フレームワークに処理を問合せるのは非常に無駄が多い。したがって、秘匿通信フレームワークで何らかのキャッシュ機能を導入する必要がある。しかし、セキュリティ・ポリシーエージェントの情報が変更されたときに、認証フレームワークを経由して本フレームワークに適時反映される保証がない。この問題を解決するために、キャッシュの有効期限の設定などを検討する必要がある。

202202202202

(6) レイヤ間の機能連携レイヤ間の機能連携レイヤ間の機能連携レイヤ間の機能連携

本フレームワークでは再送制御や送受信時のエラー検査（AH による完全性の検査とは異なる）を他のレイヤに依存しているが、レイヤ間の機能連携がうまく働くかを検討する必要がある。

(7) エラー処理エラー処理エラー処理エラー処理

セキュリティ監視エージェントとの連携において、秘匿通信フレームワーク中のログ出力機能が出力すべきログのフォーマットを定義する必要がある。認証・秘匿通信サーバから間接的に受信する SA が不正だった場合、本フレームワークでは処理中のパケットを破棄するとしている。そして、その後にエラーログをログ出力機能に渡すとしている。しかし、このエラーの情報が認証・秘匿通信サーバに反映されたかを本フレームワークは知ることができない。したがって、SA についてのエラーが起きた宛先機器に対しては常に正しく通信できない可能性がある。これを解決するために、何らかの形でエラー情報が認証・秘匿通信サーバに確実にフィードバックされたことを知る必要がある。


(1) 通信仕様通信仕様通信仕様通信仕様

今回、セキュリティ監視マネージャとセキュリティ監視エージェントの通信仕様として、データ項目のみを決めているが、詳細化が必要である。その場合、ベースとなる通信プロトコルを何にするかが重要である。本設計書では、HTTP

を候補として掲げているが、SNMP 等の管理プロトコルを利用することや、独自な方式も考えられる。

(2) 不正アクセスイベント不正アクセスイベント不正アクセスイベント不正アクセスイベント

何をもって不正アクセスとするかは、ポリシーとも大きく関わる。今回セキュリティ運用管理フレームワークとの連携で、ポリシーとの連携を設計できた意義は大きい。しかしながら、詳細化には至っておらず、今後さらなる検討が必要である。事象識別子については、通産省補正事業の別プロジェクトである、不正アクセス防止基盤システムで決めているものが、一つの候補である。

IETFの IDWG（Intrusion Detection Working Group）の標準化動向等を見ながら検討を進める必要がある。

(3) フィルタおよびルールフィルタおよびルールフィルタおよびルールフィルタおよびルール

不正アクセスを検知するためのフィルタやルールについては、今回詳細化できていなため、さらに検討が必要である。

203203203203

(4) セキュリティ運用管理フレームワークとの連携強化セキュリティ運用管理フレームワークとの連携強化セキュリティ運用管理フレームワークとの連携強化セキュリティ運用管理フレームワークとの連携強化

セキュリティ監視フレームワークで検知した不正アクセスに対する対策については、セキュリティ運用管理フレームワークにて、どのような対策が実行可能かを検討する必要がある。特に制御系システムとして実施することが可能な対策について、自動化可能か、必ず人間の判断を介すべきかなど、議論が必要と考えられる。

204204204204


(1) ISO/IEC15408に準じた機能要件抽出作業に準じた機能要件抽出作業に準じた機能要件抽出作業に準じた機能要件抽出作業

認証フレームワークなどで行った ISO/IEC15408 に準じた機能要件抽出を、今回のセキュリティ運用管理フレームワークの設計では作業の優先度から実施を見送った。ISO/IEC15408 からのコンポーネント抽出結果との比較により検証することで機能範囲がより明確になると考えられる。

(2) 他機能との連携、自動化の検討他機能との連携、自動化の検討他機能との連携、自動化の検討他機能との連携、自動化の検討

今回の設計作業にあたっては、従来の DCS アプリケーションでのセキュリティ機能をベースに検討し、フレームワークとの役割分担を明確にしたが、セキュリティ・ポリシーに関わる情報を完全に連携するところまでには至っていない。実際の運用ではそれぞれの機能で情報の不整合が起こることがセキュリティホールを発生させる一つの要因と考えられる。完全な情報一元化を目指した他機能との連携を検討し、自動化による運用負荷軽減を推し進めるべきである。

(3) 監視監視監視監視 GUI

監視 GUIについては概要レベルのデータ項目定義に止まっている。アタックのシミュレーションなどを行って必要なデータ項目をより明確にする必要がある。

(4) セキュリティセキュリティセキュリティセキュリティ・ポリシーマネージャの操作権限・ポリシーマネージャの操作権限・ポリシーマネージャの操作権限・ポリシーマネージャの操作権限

今回の設計はセキュリティ・ポリシーマネージャの操作に関するアクセス権限は認証フレームワークにより管理されることを前提としたが、セキュリティ運用管理フレームワークでのセキュリティ・ポリシー作成が一番初めの作業であるので、この操作権限に関わるセキュリティは認証フレームワークの動作とは独立させることも考えられる。必要性を検討するべきである。

(5) アタックがあった場合の対処アタックがあった場合の対処アタックがあった場合の対処アタックがあった場合の対処

セキュリティ監視フレームワークとの連携は機能定義されたが、不正イベント検知を例とすると、その事象を画面で確認するのみであり、対処は運用管理者に委ねられている。対処に関する支援機能もアタックのシミュレーションなどで検証し盛り込んでいくべきである。

(6) 運用体制の検討運用体制の検討運用体制の検討運用体制の検討

基本的な機能は定義したが、これは運用管理者が、セキュリティ運用管理フレームワークで扱う全ての情報を把握してセキュリティ・ポリシーマネージャを操作するという前提である。しかし実際の現場での運用はネットワーク担当者、利用者管理担当者など複数の人に役割が分かれている場合もある。そのような役割分担に応じた GUIやデータ連携のインターフェースも検討するべきである。

205205205205

(7) 運用管理者に求められる技術的知識運用管理者に求められる技術的知識運用管理者に求められる技術的知識運用管理者に求められる技術的知識

セキュリティ運用管理フレームワークは運用管理者が利用するものであり、運用管理者には利用にあたってネットワークや暗号化などある程度の技術的知識が求められる。本研究開発に関わっていない人々が利用することを前提として、必要な知識のマニュアル化や、操作面での支援機能などを検討するべきである。

206206206206


(1) 制御コマンドのパケットフィルタ制御コマンドのパケットフィルタ制御コマンドのパケットフィルタ制御コマンドのパケットフィルタ

TCP/IP レベルのフィルタリングのみ検討しており、制御コマンドレベルのフィルタリングの検討は行っていない。厳密な制御系専用ファイアウォールとして使用するのであれば、制御コマンドレベルでのフィルタリングが必要である。

(2) 通信プロトコルの限定通信プロトコルの限定通信プロトコルの限定通信プロトコルの限定

監視端末－Web サーバ間におけるアプリケーション通信プロトコル以外（ホスト－オペコン間）の使用プロトコルは限定できていない。今後,限定することが可能であれば、VPNおよび SOCKSを使用せずに SSLのみで外部機器間の秘匿通信を行うことが可能になる。

(3) フィルタリングフィルタリングフィルタリングフィルタリング・ルールの反映・ルールの反映・ルールの反映・ルールの反映

市販ファイアウォール製品毎、フィルタ設定方法が異なるため、使用製品毎異なるフィルタ定義コンポーネントを用意する必要がある。また、標準化されたフィルタ定義方式が確立されれば、それを使用すべきである。

(4) SOCKSの実装の実装の実装の実装

オペコンの OS 種別によって、SOCKS ソフトウェアが実装できないことが予想される。その場合は、オペコン OS上に独自に SOCKSプロトコルを実装する必要がある。

207207207207

7.6 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ

(1) オペレーティングオペレーティングオペレーティングオペレーティング・システムへの依存度・システムへの依存度・システムへの依存度・システムへの依存度

コントローラはその機能を実現するには十分な機能を有するオペレーティング・システム（OS）を持つが、他の汎用的に使用されているオペレーティング・システムと比較すると機能的に制約を受ける場合が多い。したがって各フレームワーク、特にそのまま配置される認証・秘匿通信フレームワークの設計に対し、オペレーティング・システムへの依存度を極力少なくするよう要請する必要がある。

(2) 開発環境開発環境開発環境開発環境

コントローラは他の構成要素と異なり多種のプログラム開発環境（言語）を持たない場合が多い。したがって各フレームワーク、特にそのまま配置される認証・秘匿通信フレームワークの製造に対し、実装が容易なプログラム開発環境（言語）の採用を要請する必要がある。

(3) インストールおよび起動インストールおよび起動インストールおよび起動インストールおよび起動

今後詳細設計および製造に進む上では、制御機器専用マイクロプロキシ自体のダウンロードまたはインストール方法ならびに起動方法について検討、設計を行う必要がある。また、起動時に必要となる初期情報のインストールまたは設定方法についても同様である。

(4) エンコンとの関連エンコンとの関連エンコンとの関連エンコンとの関連

今後詳細設計および製造に進む上では、制御機器専用マイクロプロキシとエンコンとの関係も十分に考慮し、上記のようなインストールや設定でエンコンを使用する場合にはその間の関係やインターフェースについて検討、設計を行う必要がある。

208208208208

8 おわりにおわりにおわりにおわりに

8.1 結果の概要結果の概要結果の概要結果の概要本外部設計では、要件定義書を踏まえて全体要件を個別要件にブレークダウンし、それぞれに求められるセキュリティ機能の外部設計作業を実施した。制御系セキュアフレームワークが備えるべき機能を中項目レベルまで検討し、設計を行った結果を外部設計書としてまとめることができた。

本外部設計書は、制御系セキュアフレームワークとして、次の６ヶの大機能から構成されている。① 認証フレームワーク② 秘匿通信フレームワーク③ セキュリティ監視フレームワーク④ セキュリティ運用管理フレームワーク⑤ 制御系保護専用ファイアウォール⑥ 制御機器専用マイクロプロキシ

制御系セキュアフレームワークの設計指針として以下を念頭に設計を進めた。セキュアなネットワーク環境（機器間の相互認証、暗号化等）を提供すること。

セキュリティ機能は、個別アプリケーションに対して透過的（セキュリティに関してアプリケーションは意識する必要がない）であること。

制御系 LANに負荷をかけない

３章の設計指針では、フレームワークを適用した制御系システムの全体像を明らかにするとともに、フレームワークとアプリケーションとの機能分担を明確にした。また、フレームワークが適用されたシステムでのアプリケーションの動作説明を加え、全体イメージがつかめるように配慮した。

本フレームワークを適用したセキュアな制御系システムの概要は以下のとおりである。制御系システムの各機器には、①認証フレームワークと②秘匿通信フレームワークのセキュリティ機能を配置する。認証フレームワークは、機器と利用者の認証を行う。秘匿通信フレームワークは、通信データの暗号化とデータ認証を行う。③セキュリティ監視フレームワークは、制御系情報 LAN に接続される各機器にセキュリティ監視エージェントを配置し、セキュリティに関するログを収集しセキュリティ監視を常時行う。④セキュリティ運用管理フレームワークは、利用者情報、機器情報、アクセス権限等セキュリティ・ポリシーに関する情報を管理する。⑤制御系保護専用ファイアウォールは情報系 LAN と制御系情報 LANを分離し、制御系情報 LANを保護する。⑥制御機器専用マイクロプロキシは、コントローラをセキュアの機器として高速に動作させるため、制御 LAN専用の認証・秘匿機能を持つ。

209209209209

４章の通信仕様では、上記６ヶの大機能毎のメッセージ種別を定義した。利用する通信プロトコルについては、利用候補を上げるにとどめ、実装開発の設計段階で決定することとした。

５章のシステム構造で、上記６ヶの大機能ブロック間の相互関係を明確にし、さらに、個々の機能ブロック毎のシステム構造を、中項目の機能レベルにブレークダウンし、必要な中機能項目の洗い出しと機能検討を行い取りまとめた。

６章の機能仕様で、各大機能について、中項目の機能レベルまでの機能詳細設計と、入出力データのデータ項目の定義を行った。

以上、制御系セキュアフレームワーク全体の通信仕様、構造、および中項目レベルの機能仕様までのとりまとめを行った。最後に７章の設計・製造指針で、実装に際して必要となる、よりブレークダウンした下位項目レベルの機能設計、およびデータ定義を遂行していく上での留意事項、特筆事項を、各大機能別に記述した。

8.2 今後の課題今後の課題今後の課題今後の課題本外部設計書で、セキュアな制御系システムのフレームワークの要件定義に対応した外部設計書を、中項目レベルの機能までブレークダウンし取りまとめを行った。今後の課題として大きく次の２点がある。一つは、実装可能なレベルまで詳細設計を行い、それに基づきプロトタイプ開発を行うこと、二つ目はプロトタイプを使用して本研究の妥当性、有効性を検証するための実証実験を行うことである。実装開発を行うための留意事項、特筆事項は、本外部設計書の第７章に設計・製造指針としてとりまとめを行ったが、その中で主要なポイントを以下にあげる。

(1) 通信プロトコル通信プロトコル通信プロトコル通信プロトコルセキュアなフレームワークのベースとなっている秘匿通信フレームワークの通信プロト

コルは、IPv6 を候補として選定している。使用される IP のバージョンは現在のところ４であるが、今後は、IPアドレス枯渇化対応の流れの中でバージョン６になると予測できる。しかし、制御システムで用いられているコントローラは、その CPU 能力の大半を機器の制御に費やしており、IPv4 に対して処理の重い IPv6 をそのまま導入するとコントローラの処理能力が追いつかず、リアルタイム性が重視される制御系 LAN では致命傷となる可能性がある。制御用のライトウエイトな IPv6 を新たに定義する等の対応検討が必要と思われる。

(2) 暗号アルゴリズム暗号アルゴリズム暗号アルゴリズム暗号アルゴリズム制御機器は一般の計算機に比べて計算能力が低い。したがって通信のスループットを低下させないようなアルゴリズムの選定を行う必要がある。また、プラントシステムは長期に渡って連続的に使用される。使用途上で、制御 LAN に使用されている暗号アルゴリズムが陳腐化し、あるいは解読手法が発見され、秘匿通信機能が意味をなさなくなる可能性がある。暗号システムを容易にリニューアルする仕組みを埋め込む必要がある。

210210210210

(3) 制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御機器専用マイクロプロキシ制御 LAN に使用されるコントローラなどの機器は、各々ベンダ毎に別個のハードウエア、OS で構成されるため、機器毎にセキュリティ機能の実装形態が異なってしまう。コントローラへの実装を行う制御機器専用マイクロプロキシについてはこのような問題をさけるため、OS 環境への依存度を極力少なくし、また開発環境についても実装の容易な開発環境を採用する必要がある。ないしは、コントローラにマイクロ・エージェントを配置しコントローラ間の違いを吸収するような仕組みの検討が必要である。

以上主要な検討課題を上げたが、今後は是非、本外部設計書を実装レベルまでブレークダウンした形で完成させ、プロトタイプを製作し、制御系システムとしての実証試験を実施・評価し、セキュアな制御系システムのフレームワークを完成させていきたい。

Documents

平成13年3月 制御機器専用マイクロプロキシ.....194 6.6.1 制御機器での認証機能.....196 6.6.2 制御機器での秘匿通信 6.6.3 制御機器でのセキュリティ監視機能.....196

平成13年3月制御機器専用マイクロプロキシ.....194 6.6.1 制御機器での認証機能.....196 6.6.2 制御機器での秘匿通信 6.6.3 制御機器でのセキュリティ監視機能.....196