具体实施方式

一面参照附图一面对本发明的实施方式进行详细说明。再者，对图中的相同或相当部分标注相同符号，并不重复进行其说明。

＜A.适用例＞

对适用本发明的场面的一例进行说明。首先，对本实施方式的控制器系统1的结构进行说明。

图1是表示本实施方式的控制器系统1的结构例的外观图。参照图1，控制器系统1包括控制单元100、安保单元200、安全单元300、一个或多个功能单元400及电源单元450。

控制单元100与安保单元200之间经由任意的数据传输路(例如，外围组件快速互连(PCI Express)或以太网(Ethernet)(注册商标)等)而连接。控制单元100与安全单元300及一个或多个功能单元400之间经由未图示的内部总线而连接。

控制单元100在控制器系统1中执行中心处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与由后述的安全单元300执行的控制运算的比对中，将由控制单元100执行的控制运算也称为“标准控制”。在图1所示的结构例中，控制单元100具有一个或多个通信端口。

安保单元200与控制单元100连接，负责针对控制器系统1的安保功能。在图1所示的结构例中，安保单元200具有一个或多个通信端口。关于安保单元200所提供的安保功能的详细情况，将于后述。

安全单元300与控制单元100相独立，执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常，“安全控制”是以满足用于实现国际电工委员会(International Electro technical Commission，IEC)61508等所规定的安全功能的条件的方式设计。“安全控制”为用于防止人的安全受到设备或机械等威胁的处理的总称。

功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。典型而言，功能单元400可包含输入输出(Input Output，I/O)单元、安全I/O单元、通信单元、动作控制器单元、温度调整单元、脉冲计数器单元等。作为I/O单元，例如可举出：数字输入(Digital Input，DI)单元、数字输出(Digital Output，DO)单元、模拟输出(Analog Input，AI)单元、模拟输出(Analog Output，AO)单元、脉冲捕捉输入单元、及使多种混合而成的复合单元等。安全I/O单元负责安全控制的I/O处理。

电源单元450对构成控制器系统1的各单元供给规定电压的电源。

图2是用于对本实施方式的控制器系统1所提供的安保功能的事先评价进行说明的示意图。参照图2，控制器系统1与一个或多个现场器件500连接。现场器件500可包含远程IO器件、伺服、传感器、人机接口(Human Machine Interface，HMI)等。

控制器系统1具有安保功能，且经由支持装置600等而进行所需的设定(安保功能设定)(安保功能设定)。与此种控制器系统1连接的支持装置600从控制器系统1获取所需的信息而制作威胁场景，支持装置600基于所制作的威胁场景来决定攻击模式。而且，支持装置600按照所决定的攻击模式来实施针对控制器系统1的攻击，基于针对所述攻击的控制器系统1的行为等，来评价所设定的安保功能是否合适。视需要将评价给结果提供给用户。

＜B.各单元的硬件结构例＞

接下来，对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。

(b1：控制单元100)

图3是表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图3，控制单元100包含中央处理器(Central Processing Unit，CPU)或图形处理器(Graphical Processing Unit，GPU)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(Universal Serial Bus，USB)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122及指示器124作为主要组件。

处理器102读取保存于二次存储装置108中的各种程序，在主存储装置106展开并加以执行，由此实现标准控制的控制运算、及如后所述的各种处理。芯片组104中介处理器102与各组件之间的数据互换，由此实现控制单元100总体的处理。

在二次存储装置108中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的控制程序。

通信控制器110负责与安保单元200之间的数据互换。作为通信控制器110，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器112负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口114构成为可装卸存储卡115，可对存储卡115写入控制程序或各种设定等的数据，或者从存储卡115读取控制程序或各种设定等的数据。

网络控制器116、118、120各自负责经由网络的与任意的器件之间的数据互换。网络控制器116、118、120可采用以太网控制自动化技术(EtherCAT)(注册商标)、以太网工业协议(EtherNet/IP)(注册商标)、器件网(DeviceNet)(注册商标)、康宝网(CompoNet)(注册商标)等工业用网络协议。

内部总线控制器122负责与构成控制器系统1的安全单元300或一个或多个功能单元400之间的数据互换。关于内部总线，可使用制造商固有的通信协议，也可使用与任一工业用网络协议相同或依据此工业用网络协议的通信协议。

指示器124通知控制单元100的动作状态等，且包含配置于单元表面的一个或多个发光二极管(Light Emitting Diode，LED)等。

在图3中示出通过处理器102执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，特殊应用集成电路(Application Specific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现控制单元100的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个操作系统(Operating System，OS)，并且在各OS上执行所需的应用。

(b2：安保单元200)

图4是表示构成本实施方式的控制器系统1的安保单元200的硬件结构例的示意图。参照图4，安保单元200包含CPU或GPU等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、USB控制器212、存储卡接口214、网络控制器216、218及指示器224作为主要组件。

处理器202读取保存于二次存储装置208中的各种程序，在主存储装置206展开并加以执行，由此实现如后所述的各种安保功能。芯片组204中介处理器202与各组件之间的数据互换，由此实现安保单元200总体的处理。

在二次存储装置208中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的安保系统程序。

通信控制器210负责与控制单元100之间的数据互换。作为通信控制器210，与控制单元100中通信控制器210同样地，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器212负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口214构成为可装卸存储卡215，可对存储卡215写入控制程序或各种设定等的数据，或者从存储卡215读取控制程序或各种设定等的数据。

网络控制器216、218各自负责经由网络的与任意的器件之间的数据互换。网络控制器216、218也可采用以太网(注册商标)等通用的网络协议。

指示器224通知安保单元200的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图4中示出通过处理器202执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安保单元200的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

(b3：安全单元300)

图5是表示构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。参照图5，安全单元300包含CPU或GPU等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322及指示器324作为主要组件。

处理器302读取保存于二次存储装置308中的各种程序，在主存储装置306展开并加以执行，由此实现安全控制的控制运算、及如后所述的各种处理。芯片组304通过中介处理器302与各组件之间的数据互换，从而实现安全单元300总体的处理。

在二次存储装置308中，除保存系统程序以外，还保存在系统程序提供的执行环境上动作的安全程序。

存储卡接口314构成为可装卸存储卡315，可对存储卡315写入安全程序或各种设定等的数据，或者从存储卡315读取安全程序或各种设定等的数据。

内部总线控制器322负责经由内部总线的与控制单元100之间的数据互换。

指示器324通知安全单元300的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图5中示出通过处理器302执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安全单元300的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

＜C：安保功能的事先评价＞

接下来，对进行在所述安保单元200中所设定的安保功能的事先评价时的处理的一例进行说明。图6是用于对利用与本实施方式的控制器系统连接的支持装置进行安保功能的事先评价的系统结构进行说明的框图。如图6所示，支持装置600包括系统结构输入部630、威胁场景制作部632、攻击模式制作部634及攻击实施部636。再者，支持装置600还包括威胁分析数据库6106及攻击模式数据库6108。但是，威胁分析数据库6106及攻击模式数据库6108也可不设置于支持装置600内而设置于外部服务器中。

首先，支持装置600利用系统结构输入部630从控制器系统1获取装置结构(装置系统结构)的信息及保护资产的信息。威胁场景制作部632与利用系统结构输入部630获取的装置结构及保护资产相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景。

在本说明书中，“保护资产”是指构成控制器系统1的元件的集合。成为“保护资产”的对象的单位可根据控制对象等来任意设定。例如，“保护资产”是构成控制器系统1的装置等，且可将控制单元100、安保单元200、现场器件500等设为单位。

在本说明书中，“重要级别”是表示构成控制器系统1的保护资产的重要度的指标，也可由用户设定。

在本说明书中，“威胁级别”是表示针对控制器系统1的安保的威胁的指标，也可由用户设定。

在本说明书中，“对策必要风险级别”是表示在控制器系统1中应确保的保护的指标，也可由用户设定。

在威胁分析数据库6106中预先保存有针对控制器系统1的保护资产的重要级别、针对安保的威胁的威胁级别。

用户将对策必要风险级别输入至威胁场景制作部632。威胁场景制作部632与由用户输入的对策必要风险级别及装置类别相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。

攻击模式制作部634获取控制器系统1中的设定信息，并且基于所获取的设定信息来决定针对控制器系统1的攻击模式。更具体而言，攻击模式制作部634根据利用威胁场景制作部632制作的威胁场景与攻击模式数据库6108的攻击模式列表，来制作一个或多个攻击模式，所述一个或多个攻击模式用于事先评价针对控制器系统1所设定的安保功能。

攻击模式制作部634将所制作的一个或多个攻击模式作为候补而提示给用户，并且通过用户操作来决定攻击中所使用的攻击模式。即，当将所制作的攻击模式中的用户所期望的攻击模式的选择输入至攻击模式制作部634，攻击模式制作部634按照所选择的攻击模式来对控制器系统1实施攻击。而且，攻击模式制作部634基于从控制器系统1获取的事件日志等，将由按照攻击模式的攻击所得的安保功能的评价结果作为评价结果报告而输出给用户。

图6中所说明的结构是通过以下所说明的支持装置600的硬件结构来实现。图7是表示与本实施方式的控制器系统1连接的支持装置600的硬件结构例的示意图。作为一例，支持装置600是使用按照通用架构的硬件(例如，通用个人计算机)而实现。

参照图7，支持装置600包含处理器602、主存储器604、输入部606、输出部608、贮存器610、光学驱动器612及USB控制器620。这些组件经由处理器总线618而连接。

处理器602包含CPU或GPU等，读取保存于贮存器610中的程序(作为一例，为OS6102及支持程序6104)，在主存储器604展开并加以执行，由此实现针对控制器系统1的设定处理等。

主存储器604包含动态随机存取存储器(Dynamic Random Access Memory，DRAM)或静态随机存取存储器(Static Random Access Memory，SRAM)等易失性存储装置等。贮存器610例如包含硬盘驱动器(Hard Disc Drive，HDD)或固态驱动器(Solid State Drive，SSD)等非易失性存储装置等。

在贮存器610中，除保存用于实现基本功能的OS 6102以外，还保存用于提供作为支持装置600的功能的支持程序6104。即，支持程序6104通过由与控制器系统1连接的计算机执行，从而实现本实施方式的支持装置600。进而，在贮存器610中保存有威胁分析数据库6106及攻击模式数据库6108。

输入部606包含键盘或鼠标等，受理用户操作。输出部608包含显示器、各种指示器、打印机等，输出来自处理器602的处理结果等。

USB控制器620经由USB连接而互换与控制器系统1等之间的数据。

支持装置600具有光学驱动器612，从计算机可读取的非暂时性地保存程序的记录介质614(例如，数字多功能光盘(Digital Versatile Disc，DVD)等光学记录介质)读取其中所保存的程序，并安装于贮存器610等中。

由支持装置600执行的支持程序6104等可经由计算机可读取的记录介质614而安装，也能以从网络上的服务器装置等下载的形式安装。另外，本实施方式的支持装置600提供的功能也有时以利用OS所提供的模块的一部分的形式实现。

在图7中示出通过处理器602执行程序而提供作为支持装置600所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。

接下来，对在利用所述支持装置600进行安保功能的事先评价的系统结构中，在开发装置时、启动装置时进行的威胁分析及安保功能的事先评价进行详细说明。图8是用于对本实施方式的控制器系统及支持装置中的安保功能的事先评价进行说明的序列图。在图8所示的序列图中，对包括控制器系统1及支持装置600的控制系统的典型例进行说明。

首先，用户利用支持装置600启动安保单元200的事先评价工具。当启动所述事先评价工具时，系统结构输入部630对控制器系统1进行查询。控制器系统1针对来自系统结构输入部630的查询，将控制器系统1的装置结构的信息、保护资产的信息回信给系统结构输入部630。系统结构输入部630从控制器系统1获取装置结构的信息及保护资产的信息。进而，系统结构输入部630从安保单元200获取软件及硬件的版本信息、资源容量等安保单元200的资源信息。

在用户利用支持装置600选择开始设定安保单元200并选择了装置类别的情况下，威胁场景制作部632与装置类别相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。此时，用户也输入安保功能应维持的对策必要风险级别。

如上所述，威胁场景制作部632基于从控制器系统1获取的装置结构的信息及保护资产的信息来制作针对控制器系统1所设想的包含一个或多个威胁的威胁场景。更具体而言，威胁场景制作部632参照威胁分析数据库6106的信息来制作保护资产评价列表及威胁列表，基于保护资产评价列表及威胁列表，将与对策必要风险级别相应的威胁场景列表提示给用户。再者，威胁场景制作部632也可与装置类别无关地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。

攻击模式制作部634从对象的控制器系统1获取网络连接设定信息。即，从控制器系统1获取的设定信息包含在控制器系统1与外部器件之间规定数据通信的网络连接设定信息。而且，攻击模式制作部634基于所获取的网络连接设定信息，并参照利用威胁场景制作部632制作的威胁场景列表与攻击模式数据库6108的攻击模式，来制作保存有用于事先评价控制器系统1的安保功能的项目的一个或多个攻击模式案，将所述攻击模式案提示给用户。

用户选择所提示的攻击模式案中的所期望的攻击模式。攻击模式制作部634仅将攻击模式案中所选择的攻击模式决定为有效的攻击模式。

攻击实施部636按照由攻击模式制作部634制作的攻击模式来实施针对控制器系统1的攻击。而且，攻击实施部636基于针对攻击的控制器系统1的行为，来评价控制器系统1中所设定的安保功能是否合适。更具体而言，攻击实施部636基于所实施的攻击的内容及从控制器系统1获取的事件日志(控制器系统1的动作历程等)，来评价针对攻击的控制器系统1的防御动作等。攻击实施部636将评价结果作为评价结果报告而输出。如上所述，控制器系统1可利用支持装置600容易地进行针对所设定的安保功能的事先评价。

＜D.处理流程＞

接下来，对进行在本实施方式的所述安保单元200中所设定的安保功能的事先评价时的处理的一例进行说明。

图9及图10是表示本实施方式的安保功能的事先评价的处理流程的流程图。

当开始图9所示的处理时，支持装置600利用系统结构输入部630来获取装置结构的信息(步骤S101)。由于根据利用控制器系统1控制的装置类别而控制的目的、重要事项等不同，因此所设定的安保功能也不同。

例如，若利用控制器系统1控制的装置为半导体制造装置，则在制造工序中基本上不存在人进入装置的附近的情况，因此重要的是持续维持装置的控制。另一方面，若利用控制器系统1控制的装置为冲压装置，则在制造工序中，基本上是人在装置的附近进行作业，因此重要的是在紧急时使装置确实地停止来保护人的安全。因此，若为半导体制造装置，则优先设定持续维持装置的控制所需的结构的安保功能，若为冲压装置，则优先设定用于使装置确实地停止所需的结构的安保功能。

在步骤S101，系统结构输入部630对控制器系统1查询装置结构的信息、保护资产的信息，从控制器系统1获取装置结构的信息及保护资产的信息。进而，系统结构输入部630基于用户所选择的装置类别(例如，半导体制造装置、冲压装置等)的信息，并根据装置结构的信息、保护资产的信息来制作如图10所示的装置结构。

接下来，支持装置600利用威胁场景制作部632，根据利用系统结构输入部630获取的装置结构及保护资产来制作保护资产评价列表(步骤S102)。保护资产评价列表包含应由安保功能保护的元件的一览以及对应的属性及重要级别。

威胁场景制作部632在制作保护资产评价列表后，制作威胁场景(步骤S103)。更具体而言，威胁场景制作部632基于威胁列表及保护资产评价列表来制作威胁场景。威胁场景包含各设想攻击部位的攻击内容及风险的一览。

在本说明书中，“威胁”是指妨碍设备或机械正常运转的任意事项。在以PLC为中心的控制装置中，关于典型的威胁，考虑有来自如下等四方面的威胁：(1)来自数据库等上位装置的攻击、(2)来自现场器件的攻击、(3)经由支持装置的攻击、(4)经由存储卡等装配于控制装置中的存储介质的攻击。进而，搭载于控制装置上的所有物理端口存在受到攻击的安保风险。

威胁场景制作部632将组合保护资产与威胁而成的各项目制成列表。经列表化的威胁场景以下也称为威胁场景列表。

威胁场景制作部632在步骤S103中根据威胁列表与保护资产评价列表来制作威胁场景。威胁场景制作部632利用属性将威胁列表与保护资产评价列表链接而制作组合威胁场景。而且，威胁场景制作部632算出针对所制作的威胁场景列表的各项目的风险值(各威胁场景风险值)(步骤S104)。风险值是表示针对安保的威胁的风险的指标，例如，利用预先确定的试算方法，以威胁列表的威胁级别与保护资产评价列表的重要级别的积算来求出。

威胁场景制作部632判定所制作的威胁场景列表的风险值是否为用户设定的对策必要风险级别以上(步骤S105)。在风险值为对策必要风险级别以上的情况下(在步骤S105中为是(YES))，威胁场景制作部632对威胁场景列表的项目进行需要对策的设定(步骤S106)。另一方面，在风险值低于对策必要风险级别的情况下(在步骤S105中为否(NO))，威胁场景制作部632对威胁场景列表的项目进行无需对策的设定(步骤S107)。

威胁场景制作部632判定是否结束与所制作的威胁场景列表的所有风险值相关的是否需要对策的试算(步骤S108)。在与所有风险值相关的是否需要对策的试算未结束的情况下(在步骤S108中为否(NO))，威胁场景制作部632使处理返回至步骤S104。在与所有风险值相关的是否需要对策的试算结束的情况下(在步骤S108中为是(YES))，威胁场景制作部632以风险值从高到低的顺序、以是否需要对策的顺序对威胁场景列表进行项目的重排(步骤S109)。

基于通过以上的流程而决定的威胁场景列表(包含一个或多个威胁场景)来制作攻击场景。

在步骤S110中，攻击模式制作部634与控制器系统1连接，从控制器系统1获取网络连接设定信息。在步骤S111中，网络连接设定信息包括控制器系统1所互换的数据的设定(例如，标签数据链接的设定)、IP地址、变量映射等信息。攻击模式制作部634从攻击模式数据库6108提取与威胁场景列表中所含的各威胁场景对应的攻击模式。

攻击模式制作部634判定与威胁场景列表中所含的所有威胁场景对应的攻击模式的制作是否结束(步骤S112)。在与所有威胁场景对应的攻击模式的制作未结束的情况下(在步骤S112中为否(NO))，攻击模式制作部634使处理返回至步骤S111。在与所有威胁场景对应的攻击模式的制作结束的情况下(在步骤S112中为是(YES))，攻击模式制作部634结束处理。

通过以上的程序来决定一个或多个攻击模式。

在步骤S120中，攻击实施部636选择先决定的一个或多个攻击模式中的一个而对控制器系统1实施攻击。在步骤S121中，攻击实施部636复位控制器系统1。这是用于排除由之前的攻击带来的影响的处理。在步骤S122中，攻击实施部636从控制器系统1获取事件日志。由于所述所获取的事件日志包含表示通过之前的攻击而产生的内部状态的信息，因此通过评价事件日志的内容，可评价控制器系统1对于所实施的攻击的性能。

更具体而言，在步骤S123中，攻击实施部636参照所获取的事件日志，来判定是否产生了异常日志(步骤S123)。在未产生异常日志的情况下(在步骤S123中为否(NO))，攻击实施部636保存“OK”作为针对所实施的攻击的评价结果(步骤S124)。在产生了异常日志的情况下(在步骤S123中为是(YES))，攻击实施部636保存“NG”作为针对所实施的攻击的评价结果(步骤S125)。

在步骤S126中，攻击实施部636判定所制作的所有攻击模式的实施是否完成。在所制作的所有攻击模式的实施未完成的情况下(在步骤S126中为否(NO))，攻击实施部636使处理返回至步骤S120。在所制作的所有攻击模式的实施完成的情况下(在步骤S120中为是(YES))，攻击实施部636输出与所实施的攻击有关的攻击模式列表及与各攻击模式有关的测试结果(评价结果报告)(步骤S127)。然后，攻击实施部636结束处理。

＜E.攻击模式的制作＞

接下来，对攻击模式的制作的处理进行说明。

(e1：攻击模式数据库)

图11是表示在本实施方式的控制器系统1中所利用的攻击模式数据库6108的一例的示意图。参照图11，攻击模式数据库6108规定了用于评价不同于威胁场景的威胁的攻击的内容。

更具体而言，攻击模式数据库6108包括攻击源640、威胁641、攻击方法642及实施方法643。攻击源640、威胁641及攻击方法642分别相当于威胁场景。

攻击源640表示实施成为威胁的动作的源，威胁641表示攻击的内容，攻击方法642表示具体的攻击方法。针对这些各威胁，实施方法643规定了应实施的测试的内容。

攻击模式制作部634根据目标威胁场景，并参照攻击模式数据库6108，将成为对象的实施方法643加以汇总，来制作攻击模式。

(e2：威胁场景)

支持装置600从控制器系统1获取所需的信息来制作威胁场景。以下，对威胁场景的制作中可利用的控制器系统1的信息的一例进行说明。

(1)标签数据链接

控制器系统1当在与其他控制系统或控制装置等之间利用以太网工业协议(EtherNet/IP)的通信协议来互换数据时，建立被称为标签数据链接的连接。通过获取所建立的连接的设定，可特定控制器系统1的连接目的地及所互换的数据的内容等。基于此种所特定的信息，可决定威胁场景。例如，设想冒充或伪装与控制器系统1连接的目的地器件之类的攻击等。

作为标签数据链接的设定，包含连接目的地的器件的地址、通信方法、连接类型、发送间隔等。另外，作为标签数据链接的设定，包含规定了所发送的数据的标签或标签组的定义。

如上所述，威胁场景制作部632可基于控制器系统1在与外部器件之间建立的连接的设定信息来决定威胁场景。通过参照此种标签数据链接的设定信息，可决定与控制器系统1有关的威胁场景。

(2)共享变量信息

在控制器系统1与其他控制系统或控制装置之间，也可共享任意的数据。再者，作为所共享的数据型，可共享设定通常的变量、列举型、排列型、结构体型、共用体型等任意变量。设想伪装此种所共享的变量之类的攻击。

如上所述，威胁场景制作部632也可基于在控制器系统1中所共享的变量的信息来决定威胁场景。

(3)用户程序内的功能框

设想利用用户程序中所规定的功能框所参照的变量表等的攻击。在功能框中，除具有输入变量及输出变量以外，还具有内部参照的局部变量表。

威胁场景制作部632也可基于在由控制器系统1执行的用户程序中所参照的变量的信息来决定威胁场景。设想伪装此种输入变量、输出变量及局部变量表之类的攻击。

使用如上所述的可从控制器系统1获取的任意信息来决定威胁场景，可决定与所决定的威胁场景相应的攻击模式。

＜F.用户接口＞

接下来，对控制器系统1所提供的用户接口的一例进行说明。

(f1：攻击模式的设定)

图12是表示本实施方式的控制器系统1所提供的攻击模式的用户接口画面的一例的图。图13是表示显示由按照图12所示的设定而执行的攻击所得的评价结果的用户接口画面的一例的图。

参照图12，用户接口画面650示出由攻击模式制作部634制作的攻击模式案。更具体而言，用户接口画面650按各攻击模式包括攻击对象651、攻击源652、威胁653及攻击方法654。这些项目是指攻击场景。进而，按各攻击模式包括实施方法655。攻击场景及实施方法655相当于从攻击模式数据库6108(图11)的内容中提取出与威胁场景对应的要素的东西。

用户接口画面650按各攻击模式包括实施有无656及评价结果657。实施有无656可受理决定是否实施按照所对应的攻击模式的攻击的标志。另外，如后所述，评价结果657表示实施了按照所对应的攻击模式的攻击的结果。

用户一面参照用户接口画面650，一边决定实际实施的攻击模式的内容。例如，实施方法655在存在多个实施项目的候补的情况下，包括用于受理各候补是否执行的指定的复选框660、661及用于针对可调整实施程度的候补受理哪种程度的设定的数值框662、663、664。即，复选框660、661相当于选择一个或多个攻击模式的候补中的哪一攻击模式的指示。另外，数值框662、663、664相当于调整攻击模式中所含的攻击程度的指示。

用户可通过操作复选框660、661和/或数值框662、663、664来设定希望实施的任意攻击的内容。

当用户完成一系列的设定时，通过操作页面变更按钮658，即便在攻击模式的候补遍及多个页面的情况下，也可进行所需的设定。

按照由此种操作而决定的攻击模式，实施针对控制器系统1的攻击。其结果，如图13所示，显示于用户接口画面650的评价结果657中。

(f2：安保功能的评价结果的输出)

本实施方式的控制器系统1可输出针对安保功能的评价结果，所述针对安保功能的评价结果是通过按照攻击模式实施的攻击而获得。示出输出此种评价结果报告时的用户接口画面的一例。

图14是表示本实施方式的控制器系统1所提供的评价结果的输出的用户接口画面的一例的图。参照图14，用户接口画面680包括受理输出评价结果的目的地文件名的设定的输入框682及输出执行按钮684。

用户在将输出实施按照所设定的攻击模式的攻击而获得的评价结果的文件名输入至输入框682后，按下输出执行按钮684，由此对所指定的文件名输出评价结果。所述所输出的评价结果除包括图13所示的用户接口画面650的评价结果657的内容以外，还可包括对应的攻击场景及实施方法的内容等。

＜G.附注＞

如上所述的本实施方式包含以下的技术思想。

[结构1]

一种控制器系统(1)，所述控制器系统包括：

控制单元(100)，执行用于对控制对象进行控制的控制运算；

安保单元(200)，与所述控制单元连接，负责针对所述控制器系统的安保功能；

攻击模式制作机构(634)，获取所述控制器系统中的设定信息，并且基于所获取的设定信息来制作针对所述控制器系统的攻击模式；及

攻击实施机构(636)，按照所制作的攻击模式来实施针对控制器系统的攻击，基于针对所述攻击的所述控制器系统的行为，来评价所述控制器系统中所设定的安保功能是否合适。

[结构2]

根据结构1所记载的控制器系统，其还包括威胁场景制作机构(632)，所述威胁场景制作机构(632)基于从所述控制器系统获取的装置结构的信息及保护资产的信息，来制作针对所述控制器系统所设想的包含一个或多个威胁的威胁场景。

[结构3]

根据结构2所记载的控制器系统，其中，所述设定信息包含在所述控制器系统与外部器件之间规定数据通信的网络连接设定信息。

[结构4]

根据结构2或结构3所记载的控制器系统，其中，所述威胁场景制作机构基于所述控制器系统在与外部器件之间建立的连接的设定信息，来决定所述威胁场景。

[结构5]

根据结构2至结构4中任一项所记载的控制器系统，其中，所述威胁场景制作机构基于在所述控制器系统中所共享的变量的信息，来决定所述威胁场景。

[结构6]

根据结构2至结构5中任一项所记载的控制器系统，其中，所述威胁场景制作机构基于在由所述控制器系统执行的用户程序中所参照的变量的信息，来决定所述威胁场景。

[结构7]

根据结构1至结构6中任一项所记载的控制器系统，其中，所述攻击模式制作机构将所制作的一个或多个所述攻击模式作为候补而提示给用户(650)，并且通过用户操作来决定攻击中所使用的攻击模式。

[结构8]

根据结构7所记载的控制器系统，其中，所述用户操作包含：选择所述一个或多个攻击模式的候补中的哪一攻击模式的指示(660、661)、及调整攻击模式中所含的攻击的程度的指示(662、663、664)中的至少一个。

[结构9]

一种支持装置(600)，其与控制器系统连接，所述控制器系统包括：控制单元(100)，执行用于对控制对象进行控制的控制运算；及安保单元(200)，与所述控制单元连接而负责安保功能；且所述支持装置包括：

攻击模式制作机构(634)，获取所述控制器系统中的设定信息，并且基于所获取的设定信息来制作针对所述控制器系统的攻击模式；及

攻击实施机构(636)，按照所制作的攻击模式来实施针对控制器系统的攻击，基于针对所述攻击的所述控制器系统的行为，来评价所述控制器系统中所设定的安保功能是否合适。

[结构10]

一种评价方法，其由控制器系统(1)执行，且所述评价方法中，

所述控制器系统包括：控制单元(100)，执行用于对控制对象进行控制的控制运算；及安保单元(200)，与所述控制单元连接，负责针对所述控制器系统的安保功能；

所述评价方法包括：

获取所述控制器系统中的设定信息的步骤(S101、S110)；

基于所获取的设定信息来制作针对所述控制器系统的攻击模式的步骤(S111、S112)；

按照所制作的攻击模式来实施针对控制器系统的攻击的步骤(S120、S121)；及

基于针对所述攻击的所述控制器系统的行为，来评价所述控制器系统中所设定的安保功能是否合适的步骤(S122)。

＜H.优点＞

根据本实施方式的控制器系统，即便是缺乏专业知识的用户，也可事先容易地评价针对控制器系统1所设定的安保功能的妥当性。

应认为，此次公开的实施方式在所有方面为例示而非限制者。本发明的范围是由权利要求而非所述说明所示，且意图包含与权利要求均等的含义及范围内的所有变更。

符号的说明

1：控制器系统

100：控制单元

102、202、302、602：处理器

104、204、304：芯片组

106、206、306：主存储装置

108、208、308：二次存储装置

110、210：通信控制器

112、212、620：USB控制器

114、214、314：存储卡接口

115、215、315：存储卡

116、118、120、216、218：网络控制器

122、322：内部总线控制器

124、224、324：指示器

200：安保单元

300：安全单元

400：功能单元

450：电源单元

500：现场器件

600：支持装置

604：主存储器

606：输入部

608：输出部

610：贮存器

612：光学驱动器

614：记录介质

618：处理器总线

630：系统结构输入部

632：威胁场景制作部

634：攻击模式制作部

636：攻击实施部

640、652：攻击源

641、653：威胁

642、654：攻击方法

643、655：实施方法

650、680：用户接口画面

651：攻击对象

656：实施有无

657：评价结果

658：页面变更按钮

660、661：复选框

662、663、664：数值框

682：输入框

684：输出执行按钮

6102：OS

6104：支持程序

6106：威胁分析数据库

6108：攻击模式数据库