[发明专利]非法侵入防止装置、非法侵入防止方法以及非法侵入防止程序

说明书

非法侵入防止装置(10)从控制对象设备(30)接收表示该控制对象设备(30)的状态的通知。而且，非法侵入防止装置(10)接收从控制装置(20)发送到控制对象设备(30)的控制命令。然后，非法侵入防止装置(10)在接收控制命令时，根据接收到的控制对象设备(30)的状态，判定允许还是截断控制命令的通过。

技术领域

本发明涉及非法侵入防止装置、非法侵入防止方法以及非法侵入防止程序。

背景技术

互联网技术(以下记载为IT(InformationTechnology))的世界中，进行所谓恶意软件和DDoS(DistributedDenialofServiceAttack，分布式拒绝服务攻击)的网络攻击，所谓IDS(IntrusionDetectionSystem，入侵检测系统)、IPS(IntrusionPreventionSystem，入侵防御系统)或FW(Firewall，防火墙)的安全技术发展起来。开始将这些技术导入操作技术(以下记载为OT(OperationalTechnology))。

在IT中将网络内全部信息认为是信息资产，将防止该资产价值因泄露、删除、改变等原因而破坏作为确保安全的目的。另一方面，在OT的世界中，需要将防止控制对象设备对重要基础设施自身或利用它的人身带来危险的事态作为确保安全的目的。

在工业系统中，控制装置通过将控制命令作为分组(packet)对连接到工业设备的控制对象设备发送来进行控制。例如如图13中例示的那样，在这样的工业系统中，IT侧的控制装置200对分别与OT侧的各工业设备300连接的各控制对象设备400发送控制命令的分组。图13是表示以往的工业系统的整体结构的概略图。

而且，在这样的工业系统中，通过IT用的IDS或者IPS判定控制装置200发送的分组是否是与作为控制命令定义的规格相反的非法的分组，可以截断非法的分组或者通知异常。

而且，在这样的工业系统中，作为联锁机构，已知防止由于误操作或确认不足而进行适当的步骤以外的步骤的操作的机构、在脱离正常的制造、运转的执行条件时截断对设备的原材料供给的机构等控制制造或设备的运转的机构。

现有技术文献

非专利文献

非专利文献1：“McAfeeNetworkSecurityPlatform”，[online]，IntelCorporation，[平成28年8月18日搜索]，因特网＜http://www.mcafee.com/jp/promos/nsp/index.aspx＞

发明内容

发明要解决的课题

但是，在上述的以往的技术中，存在虽然可以截断非法的分组，但是不能根据设备的状态适当地截断正规的控制命令的分组的课题。即，在工业系统中，控制装置通过将控制命令作为分组对控制对象设备发送来进行控制，但是存在即使是按照作为这样的命令定义的规格的正规的分组，也因控制对象设备的状态而引起异常的状态的情况。在以往的技术中，不能根据设备的状态适当地截断这样的正规的控制命令的分组。

用于解决课题的手段

为了解决上述的课题，达到目的，本发明的非法侵入防止装置的特征是，包括：接收单元，从控制对象设备接收表示该控制对象设备的状态的通知；监视单元，接收从控制装置发送到所述控制对象设备的控制命令；以及判定单元，根据由所述接收单元接收到的所述控制对象设备的状态，判定允许还是截断由所述监视单元接收到的控制命令的通过。

而且，本发明的非法侵入防止方法是由非法侵入防止装置执行的非法侵入防止方法，其特征在于，包括：接收工序，从控制对象设备接收表示该控制对象设备的状态的通知；监视工序，接收从控制装置发送到所述控制对象设备的控制命令；以及判定工序，根据由所述接收工序接收到的所述控制对象设备的状态，判定允许还是截断由所述监视工序接收到的控制命令的通过。