WO2021059632A1

WO2021059632A1 - 通信制御装置およびシステム

Info

Publication number: WO2021059632A1
Application number: PCT/JP2020/024603
Authority: WO
Inventors: 丸山　龍也; 松本　典剛; 寛岩澤; 遠藤　浩通; 淳也藤田
Original assignee: 株式会社日立製作所
Priority date: 2019-09-24
Filing date: 2020-06-23
Publication date: 2021-04-01
Also published as: JP7337627B2; US20220329564A1; CN114342321B; JP2021052256A; CN114342321A

Abstract

従来のセキュリティ対策は一般にＩＴシステムを対象としていることから、制御システムに要求されるリアルタイム性、可用性を満足することが困難であった。さらに時分割型のタイムスロット通信方式を考慮していないため、そのようなタイムスロット通信では計算機資源の効率的な利用や、可用性低下の課題がある。本発明は、上記課題を解決するために、受信部１３３で受信した通信パケットの特性からタイムスロット特性記憶部１３０を用いてタイムスロットを特定し、特定されたタイムスロットに応じて、検査パターン記憶部１３６に記憶された検査パターンを検査パターン選択部１３１で選択する。

Description

通信制御装置およびシステム

　本発明は、通信制御技術に関わり、そのための情報処理装置及び情報処理ハードウェア、情報処理ソフトウェア、通信制御方法および通信システムに関する。

　制御システムとして、制御用計算機が、ネットワークを介して単一または複数の制御対象を制御する構成がある。このような制御システムにおいては、制御システムの用途、要件、要求によって、適切な制御ネットワークが選択され、適用される。技術的な観点からは、それら制御システムの要求の高度化によって制御ネットワークの技術進展がもたらされたとも言える。そのような制御ネットワークへの要求は多岐に渡り、通信遅延の低減、低コスト化、接続台数の増加、時刻同期の高精度化、接続距離の長大化、通信媒体及び通信データモデルの共通化、冗長化通信等である。

　標準化技術の導入による技術的進展とあいまって、制御ネットワークにおける制御システムへの要求は高度化している。従来は、制御対象との制御通信性能の高度化を指向していた。しかし、近年では通信性能に留まらず、制御システムへのＡＩ適用や、あるいは保守データの活用によるＣＢＭ（Ｃｏｎｄｉｔｉｏｎ　Ｂａｓｅｄ　Ｍａｉｎｔｅｎａｎｃｅ）の適用による資産管理といった用途が挙げられる。

　このような情報技術の制御システムへの導入を促進する制御ネットワークとして、ＴＳＮ（Ｔｉｍｅ　Ｓｅｎｓｉｔｉｖｅ　Ｎｅｔｗｏｒｋ）が挙げられる。

　ＴＳＮと呼ばれる一連のＩＥＥＥ規格群で構成される通信方式は、ＩＥＥＥ８０２．３規格を制御システムに適用可能とした制御ネットワークである。ＴＳＮは、時分割に基づくタイムスロット通信を導入することにより、タイムスロットごとに制御通信や情報通信（ＡＩ、監視用途、ＣＢＭ等の通信を含む）の使い分けが可能である。

　つまり、制御通信のリアルタイム要件を満足しながら、同一ネットワーク上での情報通信との両立が可能である。

　一方で、これら標準化技術やＩＴ分野の技術の導入にともない、制御システムにおいてもサイバーセキュリティの脅威が高まっている。特にフィールド分野でのセキュリティ確保はリアルタイム性、可用性といった制御システム特有の要件を満足する必要があり、対応を困難としている。

特開２００６－１４８５０５号公報特開２０１５－１１９３８６号公報

　しかしながら、従来のセキュリティ対策は一般にＩＴシステムを対象としていることから、前述のように制御システムに要求されるリアルタイム性、可用性を満足することが困難であった。

　特許文献１は、通信データのパケットを中継装置内に格納する発明である。しかしながら、パケットの中継時にメモリ等への書き込みと読み出しという少なくとも２回のメモリ操作が必要であり、中継による遅延を増大させる要因となる。メモリ素子やバスの高速化により遅延を短縮できる可能性はあるが、中継装置の大型化や消費電力の増加を招く。このような高速化は、多くの制御対象設備において制御装置の設置場所が限られていることや、制御装置の信頼性確保のために発熱量が管理されている点を考慮すると好ましくない。

　さらに特許文献２は、第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、通信フレームの特徴を示す特徴値を決定して、特徴値が条件を満たすか否かを判定する。そして、受信される複数の要素を順に伝達し、特徴値が条件を満たさないと判定された場合に、伝達される複数の要素の一部を変更して、順に第二通信装置へ送信する発明である。しかしながら、ＴＳＮといった時分割型のタイムスロット通信方式を考慮していないため、そのようなタイムスロット通信では計算機資源（メモリや照合回路等）の効率的な利用や、一律の特徴値比較による可用性低下の課題がある。

　本発明は、上記課題を解決するために、タイムスロットに応じたセキュリティ対策を特定する。セキュリティ対策の特定には、検査パターンの特定（タイムスロットごとに検査パターンを変更）やセキュリティソフトの特定が含まれる。

　本発明の一態様には、以下の構成が含まれる。通信フレームを転送する通信制御装置において、前記通信フレームを受信する手段と、前記通信フレームを処理する時間を特定する手段と、特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定する手段とを有する通信制御装置。

　タイムスロット通信を採用するネットワークにおいて、状況に応じたセキュリティ対策を施すことが可能になる。

本発明の一実施形態を用いたシステム構成図である。本発明の一実施形態でのハードウェア構成図である。本発明の一実施形態を示す機能構成図である。本発明の一実施形態の動作手順を示した図である。本発明の一実施形態の動作手順を示した図である。本発明の一実施形態の動作手順を示した図である。本発明の一実施形態の動作手順を示した図である。本発明の一実施形態における特性と検査パターンの関係を示す図である。本発明の一実施形態における特性と検査パターンの関係を示す図である。本発明の一実施形態における各特性間の関係を示す図である。中継通信装置１２１におけるタイムスロットを示した図である。本発明の一実施形態におけるタイムスロットと動作を示した図である。本発明の一実施形態におけるタイムスロットと動作を示した図である。本発明の一実施形態における照合処理と検査パターンの更新を並行して行う機能構成を示した図である。本発明の一実施形態におけるタイムスロットと動作を示した図である。本発明の一実施形態におけるタイムスロットと動作を示した図である。本発明の一実施形態を示す機能構成図である。本発明の一実施形態を用いたシステム構成図とタイムスロット及び動作を示した図である。本発明の一実施形態を用いたシステム構成図である。

（システム構成例）
　本発明の一実施形態を適用したシステム構成を図１に示す。中央制御装置１２０は、制御ネットワーク１２２、ネットワーク中継装置１２１を介して、分散制御装置１２３と接続し、通信する。

　中央制御装置１２０は、分散制御装置１２３に対して、通信パケットを送受信することにより、被制御装置１２４を制御するための制御指令値の伝送、被制御装置１２４の計測値の取得や各種設定を実行する。

　中央制御装置１２０は、ＤＣＳ（Ｄｉｓｔｒｉｂｕｔｅｄ　Ｃｏｎｔｒｏｌ　Ｓｙｓｔｅｍ）の中央制御装置や電力系統の保護制御装置のように、各制御システム内のサンプリングデータや、制御指令、状態信号をやりとりすることが例示される。同一制御システム内のデータをパケット内に格納してもよい。

　中央制御装置１２０として、専用コントローラ、産業用パソコン、制御用計算機、ＤＣＳコントローラ、ＳＣＡＤＡ（Ｓｕｐｅｒｖｉｓｏｒｙ　Ｃｏｎｔｒｏｌ　ａｎｄ　Ｄａｔａ　Ａｃｑｕｉｓｉｔｉｏｎ）サーバ、ＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）、ＩＥＤ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｅｌｅｃｔｒｏｎｉｃ　Ｄｅｖｉｃｅ）、保護制御装置、クラウド、サーバが例示される。

　ネットワーク中継装置１２１は、制御ネットワーク１２２における中継装置であり、中央制御装置１２０、分散制御装置１２３やネットワーク中継装置１２１の通信するパケットを経路制御し、転送する。ネットワーク中継装置１２１として、Ｌ２スイッチ、Ｌ３スイッチを含むネットワークスイッチ、ブリッジ、ルータ、ＩＥＥＥ１５８８のＴＣ（Ｔｒａｎｓｐａｒｅｎｔ　Ｃｌｏｃｋ）、ＢＣ（Ｂｏｕｎｄａｒｙ　Ｃｌｏｃｋ）、ＯｐｅｎＦｌｏｗスイッチ、ＩＥＣ　６２４３９－３で定義されるＲｅｄＢｏｘ、ＱｕａｄＢｏｘ、光スイッチ、光合波器、光分波器等の各種ネットワーク中継装置が例示される。

　制御ネットワーク１２２は、中央制御装置１２０、分散制御装置１２３、ネットワーク中継装置１２１を接続するネットワークであり、ＴＳＮと関連するＩＥＥＥ通信規格群、ＩＥＣ６１７８４でのタイムスロット通信を採用する一部の規格、その他タイムスロット通信を用いるネットワークが例示される。

　また、プロトコルスタックにおける上位プロトコルとして、ＩＥＣ６１８５０、ＯＰＣ　ＵＡ（Ｕｎｉｆｉｅｄ　Ａｒｃｈｉｔｅｃｔｕｒｅ）、ＩＥＣ　６１８５０－７－４２０、ＩＥＣ　６０８７０－５－１０４、ＯｐｅｎＡＤＲ、ＥＣＨＯＮＥＴ　Ｌｉｔｅ（登録商標）等が例示される。あるいは、以上のプロトコルは階層化されていてもよい。例えば、ＴＳＮ上でデータ領域の内容はＯＰＣ　ＵＡ規格を適用することが例示される。

　分散制御装置１２３は、被制御装置１２４に接続され、制御ネットワーク１２２を介して、中央制御装置１２０から受信した制御指令に応じて被制御装置１２４を制御、設定する。また、被制御装置１２４の状態や情報を取得して制御ネットワーク１２２を介して中央制御装置１２０へ送信する。

　分散制御装置１２３として、専用コントローラ、産業用パソコン、制御用計算機、ＤＣＳコントローラ、ＳＣＡＤＡ装置、ＰＬＣ、ＩＥＤ、ＭＵ（Ｍｅｒｇｉｎｇ　Ｕｎｉｔ）、保護制御装置が例示される。

　被制御装置１２４は、分散制御装置１２３によって制御される機器、装置である。被制御装置１２４として、移動ロボットやロボットアーム等の産業用ロボット、チップマウンタ、工作機械テーブル、加工装置、工作機械、半導体製造装置、あるいは製造装置内のモータ、インバータや、遮断器、断路器といった電力機器が例示される。

　検査パターン管理装置１２５は、ファイアウォール１２６における検査パターンを管理する。管理の内容としては、検査パターンの更新、置換、除去、有効化、無効化、取得等の処理を含む。

　なお、検査パターンとは不正な通信を特徴づける通信内容を示す。その内容は、通信プロトコル上の意味を持った領域（例えば、宛先アドレスや通信ポート番号等）における不正値、異常値や、マルウェアを含む通信等の任意の位置における特定のデータ列、あるいはマルウェアの特徴値と定義する。さらに、検査パターンは、セキュリティ対策の一態様であって、後述するアンチウィルスソフトなども含まれる。

　検査パターン管理装置１２５として、ＳＤＮ（Ｓｏｆｔｗａｒｅ　Ｄｅｆｉｎｅｄ　Ｎｅｔｗｏｒｋ）におけるＯｐｅｎＦｌｏｗコントローラ等の通信制御装置、専用の通信装置が例示される。

　ファイアウォール１２６は、本実施形態の処理を実行する通信装置である。また、基本機能として、中央制御装置１２０、ネットワーク中継装置１２１、分散制御装置１２３、検査パターン管理装置１２５のそれぞれの装置間に設置されて通信を中継し、不正な通信内容に対してはセキュリティ対策を実施する。図１ではネットワーク中継装置１２１と分散制御装置１２３間に設置される構成を示している。

　ファイアウォール１２６は、入力されたパケットと検査パターンを比較し、一致した場合に該パケットを不正パケットあるいは攻撃パケットと判断する。不正パケット、攻撃パケットと判断した場合は該パケットを破棄してもよいし、パケット末尾のＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ：巡回冗長検査）、つまり、パケット末尾の誤り検査符号を変更して、転送先にて該パケットを破棄できるようにしてもよい。

　なお、図１では中央制御装置１２０と分散制御装置１２３間に２つのネットワーク中継装置１２１を接続しているが、異なる数でもよいし、通信経路が複数であってもよい。

　図１に示すシステム構成として、ＦＡ（Ｆａｃｔｏｒｙ　Ａｕｔｏｍａｔｉｏｎ）、ＰＡ（Ｐｒｏｃｅｓｓ　Ａｕｔｏｍａｔｉｏｎ）向けのＤＣＳ等の制御システム、電力分野の監視制御・保護制御システムや、産業用機器、半導体製造装置、車載システム、建設機械や鉄道車両内の制御システム、鉄道地上信号システム、航空機内の制御システム等が例示される。あるいは、制御ネットワーク１２２を介して収集した情報をもとに、中央制御装置１２０あるいは、図示していないクラウドやコンピュータ上で人工知能にて解析し、制御システムの性能向上を図るＩｏＴシステム等が例示される。
（ハードウェア構成）
　図２に、本実施形態を適用したファイアウォール１２６のハードウェア構成を示す。

　ＣＰＵ１０１は、不揮発性記憶媒体１０５からプログラムをメモリ１０４に転送して実行する。実行処理プログラムとしては、オペレーティングシステム（以下、ＯＳと称す）やＯＳ上で動作するアプリケーションプログラムが例示される。ＣＰＵ１０１上で動作するプログラムは通信制御ＩＣ１０２の動作設定や状態情報を取得する。

　通信制御ＩＣ１０２は、ＰＨＹ１０３から受信したパケットを検査パターンと比較して不正パケットかどうかを判断し、不正パケットの場合に該パケットを破棄する。あるいはバス１０６を介してＣＰＵ１０１、メモリ１０４、不揮発性記憶媒体１０５へパケットを転送し、ＣＰＵ１０１上で動作するソフトウェアにおいて、不正パケットの判断処理と破棄等の対応をする。

　通信制御ＩＣ１０２の実装例としては、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、ＣＰＬＤ（Ｃｏｍｐｌｅｘ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ゲートアレイ等のＩＣが例示される。あるいは、ＣＰＵ１０１と一体化して構成されてもよい。通信制御ＩＣ１０２をＭＡＣ層、ＰＨＹ層を含めたＩＥＥＥ　８０２．３通信デバイスとしてもよいし、また、ＰＨＹ機能まで含めて通信制御ＩＣ１０２に包含してもよい。この場合、通信制御ＩＣ１０２の実装例としてはＩＥＥＥ８０２．３規格のＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）チップ、ＰＨＹ（物理層）チップ、ＭＡＣとＰＨＹの複合チップを含む。なお、通信制御ＩＣ１０２は、ＣＰＵ１０１や、コンピュータ内部の情報経路を制御するチップセットに含まれていてもよい。また、図２の構成では、通信制御ＩＣ１０２を１つ示しているが、通信制御ＩＣ１０２の数は複数であってもよい。

　ＰＨＹ１０３は、制御ネットワーク１２２との通信機能を実装した送受信機ＩＣである。ＰＨＹ１０３の提供する通信規格としてＩＥＥＥ８０２．３のＰＨＹ（物理層）チップが例示される。なお、図２の構成では、ＰＨＹ１０３と通信制御ＩＣ１０２が接続しているので、ＩＥＥＥ８０２．３のＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）層の処理は通信制御ＩＣ１０２に含まれる。ただし、ＭＡＣ機能を提供するＩＣを通信制御ＩＣ１０２とＰＨＹ１０３間に配置する構成や、ＭＡＣ機能を提供するＩＣとＰＨＹ１０３を組み合わせた通信用ＩＣと通信制御ＩＣ１０２を接続する構成においても、本発明の効果は失われるものではない。なお、ＰＨＹ１０３は、通信制御ＩＣ１０２に含まれていてもよい。また、図２の構成では、ＰＨＹ１０３を１つずつ示しているが、ＰＨＹ１０３の数は複数であってもよい。

　メモリ１０４は、ＣＰＵ１０１が動作するための一時的な記憶領域であり、検査パターン、不揮発性記憶媒体１０５から転送したＯＳ、アプリケーションプログラム等が格納される。

　不揮発性記憶媒体１０５は、情報の記憶媒体で、ＯＳ、アプリケーション、デバイスドライバ等や、ＣＰＵ１０１を動作させるためのプログラムの保存、検査パターン、プログラムの実行結果の保存に利用される。不揮発性記憶媒体１０５として、ハードディスクドライブ（ＨＤＤ）やソリッドステートドライブ（ＳＳＤ）、フラッシュメモリが例示される。また、取り外しが容易な外部記憶媒体として、フロッピーディスク（ＦＤ）、ＣＤ、ＤＶＤ、ブルーレイ（登録商標）、ＵＳＢメモリ、ＣＦカード等のフラッシュメモリ型メモリーカード等の利用が例示される。

　バス１０６は、ＣＰＵ１０１、通信制御ＩＣ１０２、メモリ１０４、不揮発性記憶媒体１０５をそれぞれ接続する。バス１０６としては、ＰＣＩバス、ＩＳＡバス、ＰＣＩ　Ｅｘｐｒｅｓｓバス、システムバス、メモリバス等が例示される。

　また、図２に示す構成において、複数のデバイス（例えば、ＣＰＵ１０１、メモリ１０４、不揮発性記憶媒体１０５、通信制御ＩＣ１０２）をプロセッサ内蔵型のＦＰＧＡとして構成してもよい。
（ファイアウォール１２６の機能構成）
　本発明の一実施形態を適用したファイアウォール１２６の機能構成を、図３に示す。図３におけるタイムスロット特性記憶部１３０は、ファイアウォール１２６に設定されている各タイムスロットの特性を記憶する。このような特性は、該タイムスロットで通信されるように設定、設計されている上位通信プロトコルや、あるいは図１の制御システム上で構築されるアプリケーション上での用途等が例示される。後者の用途の例としては、制御、情報処理、管理、監視、時刻同期、ＡＩ（推論処理含む）、機械学習等が例示される。

　タイムスロット特性記憶部１３０は、メモリ１０４、不揮発性記憶媒体１０５のいずれか、または両方による構成が例示され、情報を記憶する機能を有する。

　検査パターン選択部１３１は、タイムスロット連携時刻同期部１３５で同期したタイムスロットにあわせて、タイムスロット特性記憶部１３０の情報をもとに該タイムスロットの特性を判別する。また、検査パターン記憶部１３６から検査パターンを選択する。この選択結果が、リアルタイムパターン検査部１３４で用いられる。この検査パターン選択部１３１は、通信制御ＩＣ１０２、ＣＰＵ１０１上で動作するソフトウェアのいずれか、または両方により実現される。

　送信部１３２は、リアルタイムパターン検査部１３４から通知されたデータ、あるいはパケットを加工して送信する機能を有する。送信部１３２の加工処理は、データからフレームを生成する処理や、データまたはパケットの複製、所定のタグを追加することや、ＣＲＣ等の異常診断データの計算と付加が例示される。送信部１３２が付加するタグとして、ＩＥＥＥ８０２．１Ｑで定義されるＶＬＡＮタグ、ＩＥＣ６２４３９－３で定義されるＨＳＲタグ、ＰＲＰタグが例示される。ＶＬＡＮタグの設定では、ＴＳＮ関連規格で定義される内容にしたがったＰＣＰ（Ｐｒｉｏｒｉｔｙ　Ｃｏｄｅ　Ｐｏｉｎｔ）、ＶＩＤ（ＶＬＡＮ　Ｉｄｅｎｔｉｆｉｅｒ）の設定を含む。

　送信部１３２はＰＨＹ１０３、ＣＰＵ１０１上で動作するソフトウェア、通信制御ＩＣ１０２のいずれか、または複数で構成する。送信部１３２がＭＡＣ機能を有してもよい。

　受信部１３３は、受信したパケットをリアルタイムパターン検査部１３４へ転送する。受信部１３３は、受信パケットを加工してもよく、加工処理としては、パケットに付加されたタグの除去やデータの抽出が例示される。また、受信部１３３は、処理したパケットの情報を一定期間記憶するために情報記憶手段を有し、例えば、送信元アドレスやタグ上の情報を記憶してもよい。受信部１３３は、通信制御ＩＣ１０２、ＰＨＹ１０３、またはＣＰＵ１０１上のソフトウェアのいずれか、または複数で実装することが例示される。

　リアルタイムパターン検査部１３４は、受信部１３３から入力されたパケットまたはデータを受信する。そして、検査パターン選択部１３１から通知された検査パターンに対して順次照合する。入力データを順次照合するため、転送遅延を一定とするカットスルー転送が可能である。なお、複数の検査パターンを並列的に照合してもよい。また、判定方式は検査パターンに一致したパケットまたはデータを不正と判定するブラックリスト方式でもよいし、あるいは検査パターンに一致したデータを正常（不正ではない）と判定するホワイトリスト方式でもよい。

　不正と判定したパケットは破棄してもよいし、カットスルー転送をするため、ＦＣＳ（Ｆｒａｍｅ　Ｃｈｅｃｋ　Ｓｅｑｕｅｎｃｅ）部のＣＲＣを意図的に、誤った計算値(何らかの不正を示す値)としてもよい。これにより、受信側の分散制御装置１２３で該パケットを破棄できる。

　あるいは、条件に応じて、パケットをバッファリングしてストア＆フォワード方式で不正判定し、判定結果に応じた処理（パケット破棄やＣＲＣの変更等）を実行してもよい。

　リアルタイムパターン検査部１３４は、通信制御ＩＣ１０２またはＣＰＵ１０１上で動作するソフトウェアのいずれか、または両方による構成が例示される。

　タイムスロット連携時刻同期部１３５は、ネットワーク中継装置１２１または中央制御装置１２０、分散制御装置１２３、他のファイアウォール１２６と時刻同期通信プロトコル及びタイムスロット通信プロトコルにしたがって通信することで、ファイアウォール１２６上のタイムスロットを管理する。これにより、タイムスロット連携時刻同期部１３５は、中央制御装置１２０、ネットワーク中継装置１２１、分散制御装置１２３、他のファイアウォール１２６と時刻同期する。そして、ある瞬間において、どのタイムスロットとなっているか、次のタイムスロットに切り替わるタイミングを判別する。

　時刻同期プロトコルを実現するため、タイムスロット連携時刻同期部１３５は、受信部１３３、送信部１３２、リアルタイムパターン検査部１３４を用いて時刻同期プロトコルに対応する。そのような時刻同期プロトコルとして、ＩＥＥＥ１５８８（ＰＴＰ：Ｐｒｅｃｉｓｉｏｎ　Ｔｉｍｅ　Ｐｒｏｔｏｃｏｌ）、ＮＴＰ（Ｎｅｔｗｏｒｋ　Ｔｉｍｅ　Ｐｒｏｔｏｃｏｌ）、ＳＮＴＰ（Ｓｉｍｐｌｅ　Ｎｅｔｗｏｒｋ　Ｔｉｍｅ　Ｐｒｏｔｏｃｏｌ）等が例示される。

　ＩＥＥＥ１５８８のＰｅｅｒ　ｄｅｌａｙメカニズムに対応するため、ＴＣ（Ｔｒａｎｓｐａｒｅｎｔ　Ｃｌｏｃｋ）の機能を具えることが例示される。

　これは、隣接装置間と同期パケットを通信して、経路上の遅延を計測することが例示される。また、ファイアウォール１２６内の同期パケットの転送時間を計測して、１ステップ方式または２ステップ方式で、計測した転送時間を同期パケット（ＳｙｎｃまたはＦｏｌｌｏｗ＿Ｕｐメッセージ）上のＣｏｒｒｅｃｔｉｏｎＦｉｅｌｄまたはタイムスタンプ上に加算することが例示される。

　タイムスロット連携時刻同期部１３５は、通信制御ＩＣ１０２またはＣＰＵ１０１上で動作するソフトウェアのいずれか、または両方による構成が例示される。

　検査パターン記憶部１３６は、リアルタイムパターン検査部１３４で照合する検査パターンの集合を記憶する。そのような検査パターンは、所定通信プロトコルパケットフォーマットにおける所定フィールドの値でもよいし、所定通信プロトコルに依存しないシグネチャ（特徴値）でもよい。

　また、検査パターンはブラックリスト、ホワイトリストかを示す情報を有してもよい。
これは検査パターンごとにホワイトリストか、ブラックリストかをわけ、両者それぞれの検査パターンが混在していてもよい。なお、ブラックリストとは、リストに一致するものがある場合に不正と判断し、一致するものがない場合に正常と判断するものである。ホワイトリストとは、リストに一致するものがある場合に正常と判断し、一致するものがない場合に不正と判断するものである。

　あるいは、複数のホワイトリストの検査パターンとブラックリストの検査パターンが同時に一致した場合に、不正と判定するか、正常と判定するかを決定するための優先度やルールを記憶してもよい。なお、正常とは不正を検知できない場合とも定義可能である。

　例えば、ブラックリストの検査パターンとホワイトリストの検査パターンに同時に一致した場合に、優先度の高い検査パターンの判定結果を採用することが示される。具体的には、ブラックリストの検査パターンＡとホワイトリストの検査パターンＢに同時に一致し、検査パターンＡの優先度を高く設定している場合に不正と判定する。

　あるいは、ホワイトリストの検査パターンＡ、Ｂ、ブラックリストの検査パターンＣがあるとして、「ＡかつＢに一致すれば、Ｃと一致した場合でも正常と判定する」（Ａ＆Ｂ→正常判定）で表現してもよい。

　同様に、「一つでもブラックリストの検査パターンに一致すれば、異常と判定する」という定義が例示される。

　検査パターン記憶部１３６は、通信制御ＩＣ１０２、メモリ１０４、不揮発性記憶媒体１０５、ＣＰＵ１０１上で動作するソフトウェアのいずれか、または複数で構成することが例示される。
（ファイアウォール１２６の動作手順）
　次に、図４にファイアウォール１２６における検査パターンの設定における動作手順を示す。この動作手順は検査パターン選択部１３１を中心とした動作である。

　はじめにタイムスロット連携時刻同期部１３５が同期している時刻に基づいて、タイムスロットの切り換わりを待機する（Ｓ００１）。タイムスロットが切り換われば（Ｓ００１のＹ）、検査パターン選択部１３１はタイムスロット特性記憶部１３０から、該タイムスロットの特性を抽出する（Ｓ００２）。この特性とは、該タイムスロットで通信される通信プロトコルや、あるいは制御用途、情報収集用途、監視用途、ＡＩの学習用途、アプリケーションプログラムといった用途が例示される。

　なお、本実施形態では、特性を用いてタイムスロットを特定しているが、パケット内のタイムスロットを識別するＩＤを使って特定してもよい。また、ファイアウォール１２６がタイムスロットを特定するテーブルを保持し、これを用いてタイムスロットを特定してもよい。

　次に、検査パターン選択部１３１はＳ００２で抽出したタイムスロットに対応する検査パターンを検査パターン記憶部１３６から選択する（Ｓ００３）。これは１つでも複数でもよいし、あるいは０（選択しない）でも構わない。

　次に、選択した検査パターンをリアルタイムパターン検査部１３４に設定する（Ｓ００４）。

　次に、終了条件を満たすかを判定する（Ｓ００５）。終了条件を満たしていれば（Ｓ００５のＹ）、処理を終了する。終了条件を満たしていなければ（Ｓ００５のＮ）、次のタイムスロットに向け、Ｓ００１の手順へ戻る。

　終了条件はシステム運用者あるいは制御システム管理装置（ＳＣＡＤＡ、ワークステーション、サーバ装置含む）等から明示的に終了と設定してもよいし、あるいはハードウェア故障、ソフトウェア故障といった異常の発生をもとに判断してもよい。あるいは、所定数、所定データサイズのパケットを転送したことや、所定時間稼働したこと、あるいは所定期間（例えば、１日のうちの１０時から１７時）経過したことをもとに判断してもよい。

　なお、Ｓ００１はタイムスロットの切り換わりを契機としたが、Ｓ００２からＳ００４のいずれか、または複数の手順の処理時間だけ、タイムスロットの切り換わりから早い時間にＳ００１を開始してもよい。このようにすれば、タイムスロットが切り換わったタイミングで、リアルタイムパターン検査部１３４に該検査パターンを設定できる。また、これを実現するため、Ｓ００２からＳ００４の手順を一定の固定時間で実行する構成が例示される。
（動作手順）
　次に、リアルタイムパターン検査部１３４におけるパケットの検査手順を図５、図６を用いて説明する。
（動作手順：フィールド）
　図５は、所定の通信プロトコルを想定し、所定フィールドの値を比較する場合等の手順である。

　はじめに、受信部１３３がパケットを受信し、リアルタイムパターン検査部１３４に入力されるまで待機する（Ｓ０１０）。なお、カットスルー転送を可能とするため、受信部１３３はパケット全体をバッファリングすることなく、パケットの先頭を受信次第、順次、リアルタイムパターン検査部１３４へ転送することが例示される。受信パケットが入力されると（Ｓ０１０のＹ）、パケットの入力にしたがって、検査パターンを比較する条件を満足したかどうかを判定する（Ｓ０１１）。これは、順次入力されるパケットの内容を解析して、通信プロトコルの判別や通信プロトコルごとのフィールドの位置の特定が例示される。例えば、検査パターンとしてＩＰｖ４の送信元ＭＡＣアドレスを対象とする場合は、ＩＥＥＥ８０２．３フレームとして入力されたデータに対してタイプ（先頭から１３ｂｙｔｅ目と１４ｂｙｔｅ目）が０ｘ０８００であることを識別する。そして、後続するＩＰｖ４ヘッダの１３ｂｙｔｅ目から１６ｂｙｔｅ目までの情報を抽出することを意味する。

　Ｓ０１１で条件を満足すれば（Ｓ０１１のＹ）、検査パターンと一致するかを判定する（Ｓ０１２）。一致した場合（Ｓ０１２のＹ）、一致しなかった場合（Ｓ０１２のＮ）のそれぞれで、検査パターンがホワイトリスト比較かどうかを判定する（Ｓ０１３、Ｓ０１４）。

　検査パターンと一致して（Ｓ０１２のＹ）、ホワイトリスト比較の場合（Ｓ０１３のＹ）、及び検査パターンと一致せず（Ｓ０１２のＮ）、ホワイトリスト比較でない場合（Ｓ０１４のＮ）、正常パケットとして処理する（Ｓ０１５）。

　一方、検査パターンと一致して（Ｓ０１２のＹ）、ホワイトリスト比較でない場合（Ｓ０１３のＮ）、及び検査パターンと一致せず（Ｓ０１２のＮ）、ホワイトリスト比較の場合（Ｓ０１４のＹ）、不正パケットとして異常処理する（Ｓ０１６）。

　正常処理の例としては、受信パケットに何もせずに、そのまま転送することが含まれる。さらに、ＩＥＥＥ　１５８８の時刻同期パケットの場合は、ファイアウォール１２６における転送時間をｃｏｒｒｅｃｔｉｏｎＦｉｅｌｄ（滞留時間や遅延補正に用いられるＩＥＥＥ１５８８ヘッダ上のフィールド）に加算することが例示される。なお、本実施形態では、Ｓ０１３およびＳ０１４で「ホワイトリスト比較か」と表現しているが、「ブラックリスト比較か」とも表現可能である。つまり、Ｓ０１３およびＳ０１４では、ホワイトリスト比較とブラックリスト比較かを判断している。なお、「ブラックリスト比較か」と表現する場合、「ホワイトリスト比較か」とはＹ（Ｙｅｓ）とＮ（Ｎｏ）フローが逆になる。

　異常処理の例としては、該パケットを破棄することやＣＲＣを意図的に異常な値（もとのＣＲＣ値を反転する等）に変更することが例示される。

　次に、パケットの終端かを判定する（Ｓ０１７）。パケットの終端であれば（Ｓ０１７のＹ）、終了判定をする（Ｓ０１８）。Ｓ０１８は図４のＳ００５と同様である。Ｓ０１７でパケットの終端でなければ（Ｓ０１７のＮ）、Ｓ０１１に戻る。

　なお、Ｓ０１１での条件を満足していなければ（Ｓ０１１のＮ）、Ｓ０１７へ進む。
（動作手順：シグネチャ）
　図６は、所定シグネチャと比較する場合等の手順である。シグネチャは、パケット上の任意の場所に現れ得る。したがって、図５の手順とほぼ同様であるが、Ｓ０１１の手順が省略される。

　図５や図６に示す検査パターンの比較手順は、検査パターンの違い、ホワイトリスト判定か、ブラックリスト判定かの違い等により、複数並列して動作することが例示される。
これらを統合した動作を図７に示す。

　はじめに、受信パケットの入力を待機する（Ｓ０１０）。受信パケットが入力されれば、すべての検査パターンの検査の終了を待機する（Ｓ０２０）。通常、これはリアルタイムパターン検査部１３４の判定処理が受信パケットの末尾に到達することで判断される。
あるいは各検査パターンの検証が終了したと判定し（例えば検査パターンに一致し、何らかの判定結果を出力した）、判定結果が揃ったところで終了と判定してもよい。

　各検査パターンの検証が終了すれば（Ｓ０２０のＹ）、個別の判定結果をもとに、最終的な判定結果を決定する（Ｓ０２１）。これは個別の検査パターンに優先度を設定して決定してもよいし、全体の検査パターンに対する決定方法（例えば、一つでも異常と判定した場合に異常と判定する）に基づいて決定してもよい。

　なお、図５、６のＳ０１５、Ｓ０１６で正常処理、異常処理としたが、Ｓ０１５、Ｓ０１６では判定結果を決定するにとどめ、最終的な処理はＳ０２１で実行してもよい。

　また、シグネチャを判定する場合であっても、プロトコル上のフィールドを判別してもよい。例えば、所定プロトコルのヘッダを識別し、ヘッダについては検査パターンの照合対象から除外し、データ領域のみに照合を限定することが例示される。
（用途）
　なお、各タイムスロットの用途としては、ＡＩ適用に向けた学習データの収集や、ニューラルネットによる推論を実行するための入力情報の伝送が例示される。あるいは、被制御装置１２４に対する予防保全、予兆診断を適用するための監視データ、状態データ用の通信が例示される。

　あるいは中央制御装置１２０から分散制御装置１２３に対して、以下を更新、配信する場合の該データの転送用としての用途が例示される。例えば、プログラムやファームウェア、ＯＳ、ＯＳレベルの仮想化環境であるコンテナ（仮想マシン含む）イメージまたはコンテナの構成情報、セキュリティパッチ等である。
（検査パターンに対する用途、プロトコルまたはアプリケーションの設定）
　タイムスロット特性記憶部１３０で識別した特性に基づく検査パターン記憶部１３６での検査パターンの選択において、各検査パターンに関連する用途またはプロトコルを設定することが例示される。

　例えば、ある検査パターンに対して、その検査パターンが対象とする通信プロトコル、用途、あるいはアプリケーションプログラム等を設定してもよい。この設定は、通信プロトコルと用途、アプリケーションプログラムのいずれか、または複数を設定してもよい。
例えば、シグネチャ検査パターンは、通信プロトコルを想定せず、特定アプリケーションプログラムを対象とする場合があり得るため、そのアプリケーションプログラムを設定する。なお、用途とアプリケーションプログラムは１対１で対応しない場合があり得るため、独立した項目とすることが例示される。例えば、保全用途に対して、複数の異なるアプリケーションプログラムが連携する場合や、使い分ける場合があり得る。

　同様に、同じ用途に対して、異なる通信プロトコルを関連付けることも例示される。例えば、制御という用途に対して、ＥｔｈｅｒＣＡＴ（ＩＥＣ６１１５８、ＩＥＣ６１７８４－２）や、その上位プロファイルであるＣＯＥ（ＣＡＮｏｐｅｎ　ｏｖｅｒ　ＥｔｈｅｒＣＡＴ）、またはＩＥＣ６１８５０のＧＯＯＳＥ通信を用いることがあり得る。このような場合、タイムスロットの特性として、制御用途を抽出する。次に、制御用途に関連付けられた通信プロトコルとして、例えば、ＣＯＥ向けの検査パターンと、ＩＥＣ６１８５０のＧＯＯＳＥ通信の検査パターンを選択して、リアルタイムパターン検査部１３４に設定することが例示される。

　これらの関係を図８に示す。タイムスロット特性記憶部１３０として抽出され得る特性は、通信プロトコル１４０、用途１４１、アプリケーションプログラム１４２であり、また、それらは相互に関連づいている。ただし、循環参照を避けるため、参照は一巡しないことが例示される。例えば、最初に抽出された特性が用途１４１として、その用途に関連づいた通信プロトコル１４０及び、またはアプリケーションプログラム１４２が抽出される。さらに、それぞれで、関連する通信プロトコル１４０，アプリケーションプログラム１４２を抽出した後は、関連の抽出を停止する。その後、それぞれに関連づいた検査パターンを選択する。

　具体例を、図９に示す。図９（ａ）は特性間の関係を示す。ここでは、最初にタイムスロット特性記憶部１３０で抽出された特性として、制御という用途があり、そこから通信プロトコルＥｔｈｅｒＣＡＴ　ＣＯＥとＩＥＣ６１８５０のＧＯＯＳＥと、アプリケーションプログラムＤ、Ｅを抽出している。次に通信プロトコルのＥｔｈｅｒＣＡＴ　ＣＯＥとＩＥＣ６１８５０のＧＯＯＳＥに関連づいているアプリケーションプログラムとして、Ａ、Ｂ、Ｃを抽出する。また、アプリケーションプログラムＤと関連づいている通信プロトコルとして、ＩＥＥＥ１５８８を選択している。

　図９（ｂ）は各検査パターンと特性との関係を示す。例えば、検査パターン１は、通信プロトコルとしてＥｔｈｅｒＣＡＴ　ＣＯＥ、アプリケーションプログラムとしてプログラムＢを対象とし、検査パターン２は、用途として制御を対象とすることを示す。

　抽出された各特性を対象とした検査パターンを選択する。図９（ａ）に示す特性を例に取ると、用途として制御、通信プロトコルとしてＥｔｈｅｒＣＡＴ　ＣＯＥ、ＩＥＣ６１８５０のＧＯＯＳＥ、ＩＥＥＥ１５８８、アプリケーションプログラムとしてプログラムＡ、Ｂ、Ｃ、Ｄ、Ｅが抽出されている。このため、検査パターンとして、１から７が選択される。

　なお、図９では特性間で順序関係をつけ、用途を最初に抽出したが、通信プロトコル、アプリケーションプログラムのいずれでも構わない。例えば、用途、通信プロトコル、アプリケーションプログラムと順序づけ、タイムスロット特性記憶部１３０で抽出された特性が通信プロトコルであれば、通信プロトコルとアプリケーションプログラムのみを抽出する。あるいはタイムスロット特性記憶部１３０で抽出された特性がアプリケーションプログラムであればアプリケーションプログラムのみを抽出することが例示される。
（非選択）
　なお、図９の検査パターンの指定において、関連づく特性を示すのではなく、関連づかない特性を指定してもよい。例えば、「ＩＥＥＥ１５８８以外のプロトコルに適用」といった条件である。このようにすることで設定の柔軟性を向上できる。

　同様に、該タイムスロットにおいて、無関係の通信プロトコルのパケットは破棄（非選択）してもよい。
（検査パターンの優先順位）
　なお、リアルタイムパターン検査部１３４の計算機資源に対して、検査パターン選択部１３１で選択した検査パターンのすべてを適用できない場合があり得る。

　例えば、ＬＳＩ（ＦＰＧＡ、ＣＰＬＤ含む）のロジック容量の制限や、ＲＡＭ等の記憶容量の制限、あるいは、選択された検査パターンの照合処理時間に対して、タイムスロットの時間が短いといった時間制限が例示される。

　このような場合には、検査パターンに優先度をつけて、順に選択することが例示される。この優先度付けには、運用者がセキュリティ攻撃の流行情報や統計情報に基づいて、システム稼働前に静的に定めた固定的な優先度に基づいてもよいし、あるいは動作中に変更、設定してもよい。あるいは過去の該検査パターンの利用回数、登録されてからの経過時間（例えば、新しく登録された検査パターンを最近のセキュリティ脅威として優先的に検査する）、最後に利用されてからの経過時間等によって動的に定めてもよい。あるいは、タイムスロット特性記憶部１３０で抽出された特性と、その抽出順序に基づいて優先度を定めてもよい。例えば、以下に例示する場合で優先度を変更してもよい。
・該検査パターンが用途に関連する場合。
・タイムスロット特性記憶部１３０で最初に抽出された特性が用途の場合。
・タイムスロット特性記憶部１３０が用途を抽出した順番が２番目（例えば、通信プロトコルの次に用途を抽出）、３番目（例えば、通信プロトコル、アプリケーションプログラムの次に用途を抽出）の場合。

　あるいは、これらの指標値を重み付けして加算した結果を最終的な指標値として優先度を定めてもよい。

　加えて、検査パターンの数が多ければ外部に提示してもよい。これは通信制御ＩＣ１０２上にレジスタをもうけ、ＣＰＵ１０１上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール１２６から、事前に設定した送信先に電子メール等の電子手段で通知してもよいし、ファイアウォール１２６上でｗｅｂサーバを構築して、外部からｗｅｂブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール１２６上にＬＥＤ、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は検査パターンの数を調整することや、追加のファイアウォール１２６を配置することで、セキュリティの観点において、結果的に制御システムを適切に運用しやすくなる。
（検査パターンの切り換え方法）
　検査パターンの設定方法は、予め、該検査パターンを保持する照合機能をソフトウェアまたはＬＳＩ（ＦＰＧＡ、ＣＰＬＤ含む）におけるハードウェア論理として構成し、該照合機能を有効または無効にすることが例示される。

　あるいはリアルタイムパターン検査部１３４内で、照合対象とする受信パケットの転送経路を変えることで、照合する検査パターンを選択してもよい。

　あるいは検査パターンをＲＡＭ等のストレージデバイスに記憶し、タイムスロットの切り換わりに応じて照合機能にロードする構成で、選択された検査パターンに応じて、ストレージデバイスごとの保存アドレス（ロード元アドレス）を変更する構成としてもよい。

　なお、サイクル内のタイムスロットの数が多く（つまり、検査パターンの切り換えが多い）、アクセス速度の異なるストレージデバイスが多段に構成される場合に、ストレージデバイス間の検査パターンのロードをスケジュールすることが例示される。例えば、図２の構成において、ＦＰＧＡを用いて通信制御ＩＣ１０２を構成し、検査パターンの照合機能をハードウェア回路にて実装し、ストレージデバイスとして通信制御ＩＣ１０２内のオンチップＲＡＭと、メモリ１０４の２段で構成する場合が例示される。

　一般的に、記憶容量とアクセス速度間にトレードオフが存在し、上記で言えば、ＦＰＧＡ内のハードウェア照合回路から見てオンチップＲＡＭは高速にアクセス可能であるが、容量は限られている。一方、メモリ１０４は容量を相対的に大きくすることが可能だが、バス１０６を介するため、アクセス速度が遅くなる。

　検査パターンの転送、ロードのスケジューリング例を図１２（ａ）に示す。タイムスロットＡからＦが計画されているとして、照合回路は１つのタイムスロット分の検査パターンの容量、オンチップＲＡＭは３つのタイムスロット分の容量があり、メモリ上は６つのタイムスロットを格納できる容量があるとする。

　ｔ０では検査パターンＡを照合回路へ転送し、ｔ２、ｔ４、ｔ７、ｔ１０、ｔ１２、ｔ１５も同様に各検査パターンを転送する。照合回路はｔ１、ｔ３、ｔ５、ｔ９、ｔ１１、ｔ１３、ｔ１７でタイムスロットの検査パターンを設定され、受信パケットに対して照合する。

　ｔ６ではメモリからオンチップＲＡＭに対し、タイムスロットＤ、Ｅ、Ｆ用の検査パターンが転送され、ｔ１４ではタイムスロットＡ、Ｂ、Ｃ用の検査パターンが転送される。
例えば、ｔ１－ｔ０はオンチップＲＡＭに対するアクセス時間（ロード時間）を示し、ｔ８－ｔ６がメモリとオンチップＲＡＭ間のアクセス時間（ロード時間）を示す。

　各デバイス間のアクセス速度、転送容量、アクセス時間、タイムスロットの開始時間（ｔ１、ｔ３、ｔ５、ｔ９、ｔ１１、ｔ１３、ｔ１７）をもとに、転送開始時間（ｔ０、ｔ２、ｔ４、ｔ７、ｔ１０、ｔ１２、ｔ１５、ｔ６、ｔ１４）を決定する。これらは検査パターンの数や個々の検査パターンのサイズ、オンチップＲＡＭ、照合回路の記憶容量にあわせて設計され得る。

　なお、図１２（ａ）ではストレージを２段としたが、３段以上でもよく、例えば、不揮発性記憶媒体１０５（ＨＤＤ等）を加えることが例示される。

　以上は、装置内で検査パターンをロードする構成を説明したが、制御ネットワーク１２２をまたいで検査パターンを、制御ネットワーク１２２上のストレージデバイス（例えば、ＮＡＳ：Ｎｅｔｗｏｒｋ　Ａｔｔａｃｈｅｄ　Ｓｔｏｒａｇｅ）からロードしてもよい。

　また、オンチップＲＡＭの一部を更新用のエリアとして、照合処理と並行して検査パターンを更新してもよい。このための機能構成例を、図１２（ｂ）に示す。この場合、同時アクセスを可能とするために通信制御ＩＣ１０２のオンチップＲＡＭはＤｕａｌ　Ｐｏｒｔメモリを用いることが例示される。なお、図１３に示すように、タイムスロット直前に受信したパケットの終端の処理時刻ｔ１がｔ０よりも遅ければ、ｔ２まではパケットを受信しないことが想定されるため、検査パターンを切り換えてもよい。ここで、ｔ０とは、ｔ２よりもフレーム間隔Ｉｎｔｅｒｆｒａｍｅ　ｇａｐだけ前の時間である。
（ソフトウェアによる照合）
　なお、伝送遅延の要求が厳しくない場合であれば、カットスルー転送ではなく、受信パケットをバッファリングするストアアンドフォワード方式によって検査パターンと照合してもよい。このような場合、図２の構成において通信制御ＩＣ１０２でパケットを取り込んだ後、パケットをメモリ１０４へ転送して、ＣＰＵ１０１上で動作するソフトウェアで照合することが例示される。

　あるいは、図２の構成と同様のプロセッサ内蔵型のＦＰＧＡで構成してもよい。このとき、当該タイムスロットで転送せずに、次のサイクル以降のタイムスロットで転送してもよい（図１１）。

　このようにすることで、記憶容量が相対的に大きいメモリ１０４で記憶される多数の検査パターンと照合することでセキュリティレベルを向上することができる。なお、このような処理を適用する場合として、所定のタイムスロットを対象とする場合が例示される。
あるいはタイムスロットとは独立して、所定の用途、通信プロトコル、アプリケーションプログラムに関連するパケットを対象とすることが例示される。

　なお、検査パターンとして、特定に応じた通信プロトコル用のアンチウィルスソフトを用いることが含まれる。

　また、通信プロトコルの特性として、上述した用途を用いる場合、その用途と検査パターンの関係を以下のとおりとしてもよい。それぞれ前者が用途で、後者が検査パターンの特徴を示す。
・制御用途：高速検査可能。
・ＡＩ用途(学習)：低速だが詳細検査可能。
・監視用途および情報収集用途：上記の中間（中速で検査内容も中庸）（タイムスロット切り換わり直前に受信したパケット）。

　図１０に、上述した各用途を、中継通信装置１２１のタイムスロットに適用した例を示す。図１０では、タイムスロット１を制御用（制御用途）、タイムスロット２をＡＩ用（ＡＩ用途（学習））、タイムスロット３を監視用（監視用途および情報収集用途）としている。

　なお、タイムスロット切り換わりと、受信パケットの処理が重なる場合（図１４）の処理を述べる。

　この場合はタイムスロットＡの検査パターンのまま照合してもよいし、あるいはタイミングが重なったことを検知して、パケットを破棄してもよい。なお、タイミングが重なったことを検知し、外部に提示してもよい。これは通信制御ＩＣ１０２上にレジスタをもうけ、ＣＰＵ１０１上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール１２６から、事前に設定した送信先に電子メール等の電子手段で通知してもよいし、ファイアウォール１２６上でｗｅｂサーバを構築して、外部からｗｅｂブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール１２６上にＬＥＤ、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は送信側の送信タイミングを調整することで通信の時間的制約等を保証しやすく改善でき、結果的に制御システムを適切に運用しやすくなる。
（サイクル）
　なお、複数のタイムスロットの集合で構成されるサイクルごとに、各タイムスロットへの検査パターンを変更してもよい。
（マルチポート）
　また、ファイアウォール１２６は通信ポートが送信部１３２と受信部１３３のそれぞれで１つずつとして説明しているが、ネットワーク中継装置１２１と同様に複数の通信ポートを具えてもよい。この場合、それぞれのポートごとに、タイムスロットに応じて検査パターンを変更してもよい。
（検査パターン配信用タイムスロット）
　また、タイムスロットの一部は検査パターン管理装置１２５による検査パターンの配信用のタイムスロットとしてもよい。例えば、このタイムスロットでは検査パターンの照合をしないことが例示される。

　このタイムスロットの設定は、ファイアウォール１２６で明示的に電子的、あるいは物理的手段のいずれか、または複数で設定してもよいし、パケット上の所定フィールドに、検査パターン配信用パケットであることを明示してもよい。これにより、ファイアウォール１２６は、検査パターンの配信であることを認識して、取り込むことが例示される。

　そのまま破棄してもよいし、転送してもよい。なお、後段の装置がファイアウォール１２６でない場合は、必ず破棄することが例示される。そのために後段の装置がファイアウォール１２６であるかを事前に設定または通信で確認することが例示される。

　検査パターンの配布は、暗号化、証明書等の、しかるべきセキュリティ手段を講じて配布することが例示される。複数のサイクルで分割して送信してもよい。更新後、意図的に検査パターンに一致する不正パケットを送信して動作検証してもよいし、そのような動作検証用のタイムスロットを設けてもよい。
（あいまい検索）
　検査パターンの一部を複数の値または未定義（完全一致を求めないｄｏｎ‘ｔ　ｃａｒｅ）でもよい。このようにすることで、あいまい検索や亜種のウィルス、シグネチャを検知できる。または、一つの検査パターン情報で複数のパターンを表現できるため、検査パターンの記憶容量を効率化できる。
（前後のタイムスロットから特性を推定）
　なお、タイムスロットの特性抽出は、前後のタイムスロットの特性から自動抽出してもよい。例えば、サイクル内の最後のタイムスロットで、それまでのタイムスロットで時刻同期プロトコルが実行されていなければ、そのタイムスロットを時刻同期プロトコル用と推定する。

　このように、全体の特性の集合を既知として、実行済みのタイムスロットで抽出されていない未抽出の特性と推定することが例示される。

　あるいは、資源予約プロトコルの通信内容を見て決定してもよい。
（タイムスロットファイアウォール）
　なお、ファイアウォール１２６は、制御ネットワーク１２２上に計画されたタイムスロットの全てを検査する必要はなく、一つまたは複数の所定のタイムスロットを対象に検査パターンの照合をしてもよい。

　このような対象タイムスロットを限定したファイアウォール１２６を連続に複数設置してもよい。ファイアウォール１２６の機器ごとに対象タイムスロットを限定し、制御ネットワーク１２２上の配置を調整することで柔軟にセキュリティ対象を設定できる。
（階層化）
　なお、複数のファイアウォール１２６を用いて、階層的に検査パターンを照合する例を図１６に示す。図１６は、ネットワーク構成の一部を示す。

　ファイアウォール１２６ａは、タイムスロットＡ、Ｂ、Ｃのそれぞれで検査パターンの照合をする。ファイアウォール１２６ｂ、ｃ、ｄは、ファイアウォール１２６ａから転送されたパケットをそれぞれ計画されたタイムスロットで、さらに細分化したタイムスロットで検査パターンと照合する。例えば、以下のとおり転送するよう設定されている。ファイアウォール１２６ａがタイムスロットＡで受信したパケットはファイアウォール１２６ｂに転送する。タイムスロットＢで受信したパケットはファイアウォール１２６ｃに転送する。タイムスロットＣで受信したパケットはファイアウォール１２６ｄに転送する。

　このような構成として、例えば、以下に示すとおり、ある通信プロトコル内のサブプロトコルを分担するように構成してもよい。タイムスロットＡで、通信プロトコルとしてＩＥＣ６１８５０について検査する。また、ファイアウォール１２６ｂのタイムスロットＤでＩＥＣ６１８５０のＧＯＯＳＥ、タイムスロットＥでＳａｍｐｌｅｄＶａｌｕｅ、タイムスロットＦで、それ以外を検査する。

　あるいはファイアウォール１２６ａは通信プロトコルで検査パターンを照合し、ファイアウォール１２６ｂは用途別にタイムスロットＤで制御用途、タイムスロットＥは監視用途、タイムスロットＦはＡＩの学習用途というように、特性別に階層化してもよい。

　その後、ファイアウォール１２６ｅで通信経路上、再び集約してもよいし、それぞれの宛先に転送してもよい（例えば、ファイアウォール１２６ｄ）。

　なお、タイムスロットごとにルーティングを変更する方法は、静的に構成してもよいし、ＶＬＡＮで構成してもよい。

　このようにすることで、検査パターン照合の構成を柔軟にすることができ、複数のファイアウォール１２６で機能分散することで、セキュリティレベルを保証することができる。
（動的に判定）
　また、タイムスロットだけが計画されており、各タイムスロット内の検査パターンを定めていない状況で、各タイムスロット内で通信されている内容から、検査パターンを決定することが例示される。例えば、図９の情報と、対象タイムスロットで通信されているパケットのプロトコル種別から、適用する検査パターンを決定する。

　具体的には、あるタイムスロットでＩＥＣ６１８５０　ＧＯＯＳＥが通信された場合に、ＩＥＣ　６１８５０のＧＯＯＳＥ用の検査パターン、制御用途の検査パターン、関連するアプリケーションプログラム用の検査パターンを適用することが例示される。

　これは、通信をセットアップ段階と、本運用段階にわけ、セットアップ段階で判定した検査パターンとタイムスロットの対応付けを本運用段階以降に適用することが例示される。セットアップ段階、本運用段階の違いは、時間（所定時刻、稼動してからの経過期間）や、段階の切り換わりを示す通知を明示的に指示することが例示される。これは、ファイアウォール１２６上でのソフトウェア上の操作またはハードウェア上の操作（ボタン、物理スイッチによる設定）が示される。
（ＳＤＮ活用）
　なお、検査パターンは、検査パターン管理装置１２５から動的にファイアウォール１２６にアクセスして変更してもよい。これはファイアウォール１２６のメモリ１０４、通信制御ＩＣ１０２、不揮発性記憶媒体１０５上で保持する検査パターンを変更することが例示される。

　このとき、検査パターン管理装置１２５からファイアウォール１２６へ通知する検査パターンの内容は、検査パターンの内容そのものに加え、以下のものを含んでもよい。該検査パターンが対応付けられる所定タイムスロットの情報、識別子を含むことや、あるいは該タイムスロットが対応づく特性（通信プロトコル、用途、アプリケーションプログラム等）を含むことが例示される。

　あるいは、検査パターンそのものは含まず、タイムスロットごとに関連付けられた特性を変更して、その内容を通知してもよい。特性の変更を通知することで、ファイアウォール１２６で適用される検査パターンを自動で変更できる。このため、検査パターンそのものを通知する方法に比べ、簡易な方法で、かつ通信データ量を減らせるため、制御ネットワーク１２２のネットワーク資源（通信帯域等）の消費を抑制して設定変更できる。

　このとき、検査パターン、特性の変更の履歴を記録し、現在の状態を確認できるようにすることや、過去の任意の時点で、どのような検査パターンが適用されていたかを判定できる。
（同期異常）
　なお、ファイアウォール１２６が同期をとれず、タイムスロットを適切に管理できない場合の動作を示す。そのような場合として、以下の場合がある。
・他装置からの時刻同期プロコトルに基づいた応答や時刻情報の配信がないこと。
・最後に時刻同期してからの経過時間が所定時間以上の場合となること。
・ファイアウォール１２６における時刻管理デバイス（ＣＰＵ１０１上のソフトウェアクロック、水晶振動子、オシレータ、通信制御ＩＣ１０２内の計時デバイス）等での異常発生。

　タイムスロットを適切に管理できない場合には、以下の対応方法がある。
・各受信パケットを転送させること。
・各受信パケットを破棄させること。
・時刻同期の異常用に定義する検査パターン群と照合させること。
・検査パターンの優先度に基づいて選択した検査パターンと照合すること。
・時刻同期プロトコルの通信に関するパケットのみを転送すること。

　最後に時刻同期してからの経過時間に基づいて時刻同期異常を判定するために、ファイアウォール１２６は経過時間のしきい値、現在の経過時間等の情報を外部に提示する手段を設けてもよい。これは通信制御ＩＣ１０２上にレジスタをもうけ、ＣＰＵ１０１上のソフトウェアあるいは外部の装置から通信経由で該レジスタにアクセス可能としてもよい。

　また、時刻同期の異常であることを外部に提示してもよい。これは通信制御ＩＣ１０２上にレジスタをもうけ、ＣＰＵ１０１上のソフトウェアから該レジスタにアクセス可能としてもよい。あるいはファイアウォール１２６から、事前に設定した送信先に電子メール等の電子手段で通知してもよいし、ファイアウォール１２６上でｗｅｂサーバを構築して、外部からｗｅｂブラウザ等でアクセスして確認できるようにしてもよい。あるいはファイアウォール１２６上にＬＥＤ、アラームといった物理的手段で提示してもよい。このように外部に通知することで、運用者は時刻同期異常を知ることができ、必要な調査や適切な対処をすることで、結果的に制御システムを適切に運用しやすくなる。

　本実施形態によれば、タイムスロットごとに検査パターンが変わり得るため、同じパケットであってもタイムスロットごとに通過パケットの挙動が変わり得る。例えば、あるタイムスロットでは、ＣＲＣ改変による異常対応処理がなされたとしても、別のタイムスロットではＣＲＣ改変がされない等である。
（無線適用）
　なお、本実施形態は、ＴＳＮといったタイムスロット型の有線通信方式を対象に説明したが、５Ｇ、４ＧやＷｉｆｉ、ＬＰＷＡ（Ｌｏｗ　Ｐｏｗｅｒ，Ｗｉｄｅ　Ａｒｅａ）、ＬｏＲａ、ＳＩＧＦＯＸといった無線を対象としても構わない。
（システム構成）
　システム構成としては、図１７に示す階層構造や、図１のようなフラットなシステム、５Ｇや無線通信のように物理的な接続関係がない構成が例示される。
（多重化要素）
　なお、本発明ではタイムスロットにあわせて検査パターンを変えることを示したが、時分割に限らず、多重化要素にあわせて検査パターンを変更することが例示される。そのような多重化要素としては、振幅の異なる基本信号(例えば搬送波)ごとに信号を載せる場合の振幅ごとの検査パターン、異なる周波数の基本信号における該周波数ごとの検査パターン、位相の異なる基本信号における位相ごとの検査パターンが例示される。

　リアルタイムパターン検査部１３４の機能構成として、図１５の分離部１５０は、多重化要素にあわせて信号を分離する。リアルタイムパターン検査部１５１は、分離された各信号に対して検査パターンを照合する。合成部１５２は、分離された信号を合成する。このとき、攻撃データや不正な異常信号に関しては、合成せずに破棄することが例示される（例えば、基本の搬送波のみを送信する）。

　以上の構成により、本実施形態では、あるタイムスロットで、無関係な通信プロトコルや通信特性を対象とした検査パターンに偶然一致してパケットを破棄する等の処理を避け、可用性を向上できる。また、限られた計算機資源（ストレージ容量、ＣＰＵ等の処理割り当て時間）に対して、タイムスロットにあわせた検査パターンの照合に限定することで、効率よく活用しながら、セキュリティを確保できる。

　特に、制御システムに本実施形態を適用した場合、セキュリティを維持しながら、計算機資源の利用効率に優れ、制御システムのリアルタイム要件を保証しながら、制御システムでの情報技術の導入を可能とする高度な制御システムを提供できる。

１０１…ＣＰＵ、１０２…通信制御ＩＣ、１０３…ＰＨＹ、１０４…メモリ、１０５…不揮発性記憶媒体、１０６…バス、１２０…中央制御装置、１２１…ネットワーク中継装置、１２２…制御ネットワーク、１２３…分散制御装置、１２４…被制御装置、１２５…検査パターン管理装置、１２６…ファイアウォール、１３０…タイムスロット特性記憶部、１３１…検査パターン選択部、１３２…送信部、１３３…受信部、１３４、１５１…リアルタイムパターン検査部、１３５…タイムスロット連携時刻同期部、１３６…検査パターン記憶部、１４０…通信プロトコル、１４１…用途、１４２…アプリケーションプログラム、１４３…検査パターン、１５０…分離部、１５２…合成部

Claims

　通信フレームを転送する通信制御装置において、
　前記通信フレームを受信する手段と、
　前記通信フレームを処理する時間を特定する手段と、
　特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定する手段とを有することを特徴とする通信制御装置。
　請求項１に記載の通信制御装置において、
　さらに、前記タイムスロットを特定する手段を有し、
　前記セキュリティ対策を特定する手段は、特定された前記タイムスロットに応じたセキュリティ対策を特定することを特徴とする通信制御装置。
　請求項２に記載の通信制御装置において、
　前記タイムスロットを特定する手段は、前記通信フレームに含まれる前記タイムスロットを特定する情報を用いることを特徴とする通信制御装置。
　請求項２に記載の通信制御装置において、
　さらに、時間帯毎のタイムスロットを特定する情報を格納する手段を有し、
　前記タイムスロットを特定する手段は、前記格納する手段を用いて、前記タイムスロットを特定することを特徴とする通信制御装置。
　請求項１に記載の通信制御装置において、
　さらに、前記通信フレームから当該通信フレームの特性を抽出する手段を有し、
　前記セキュリティ対策を特定する手段は、抽出された前記通信フレームの特性に応じたセキュリティ対策を特定する通信制御装置。
　請求項５に記載の通信制御装置において、
　前記通信フレームの特性には、前記通信フレームの通信プロトコル、用途および当該通信フレームを利用するアプリケーションプログラムのうち少なくとも１つが含まれることを特徴とする通信制御装置。
　請求項１に記載の通信制御装置において、
　さらに、前記セキュリティ対策を施す手段を有し、
　前記前記セキュリティ対策を特定する手段は、受信した前記通信フレームと予め記憶された検査パターンを照合し、
　前記セキュリティ対策を実行する手段は、前記セキュリティ対策として、前記照合の結果に基づいて、前記通信フレームの末尾の誤り検査符号を変更することを特徴とする通信制御装置。
　通信フレームを送信する送信装置、前記通信フレームを転送する通信中継装置および転送された前記通信フレームを受信する受信装置からなる通信システムにおいて、
　前記送信装置が、前記通信フレームを送信し、
　前記通信中継装置が、前記通信フレームを受信し、
　前記通信中継装置が、前記通信フレームを処理する時間を特定し、
　前記通信中継装置が、特定された前記時間に対応するタイムスロットに応じた、前記通信フレームに対するセキュリティ対策を特定し、
　特定された前記セキュリティ対策が前記通信フレームに施されることを特徴とする通信システム。
　請求項８に記載の通信システムにおいて、
　前記通信中継装置が、前記セキュリティ対策を特定するために、受信した前記通信フレームと予め記憶された検査パターンを照合し、
　前記セキュリティ対策として、前記照合の結果に基づいて、前記通信フレームの末尾の誤り検査符号が変更されることを特徴とする通信システム。