具体实施方式

一面参照附图一面对本发明的实施方式进行详细说明。再者，对图中的相同或相当部分标注相同符号，并不重复进行其说明。

＜A.适用例＞

对适用本发明的场面的一例进行说明。首先，对本实施方式的控制器系统1的结构进行说明。

图1是表示本实施方式的控制器系统1的结构例的外观图。参照图1，控制器系统1包括控制单元100、安保单元200、安全单元300、一个或多个功能单元400及电源单元450。

控制单元100与安保单元200之间经由任意的数据传输路(例如，外围组件快速互连(PCI Express)或以太网(Ethernet)(注册商标)等)而连接。控制单元100与安全单元300及一个或多个功能单元400之间经由未图示的内部总线而连接。

控制单元100在控制器系统1中执行中心处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与由后述的安全单元300执行的控制运算的比对中，将由控制单元100执行的控制运算也称为“标准控制”。在图1所示的结构例中，控制单元100具有一个或多个通信端口。

安保单元200与控制单元100连接，负责针对控制器系统1的安保功能。在图1所示的结构例中，安保单元200具有一个或多个通信端口。关于安保单元200所提供的安保功能的详细情况，将于后述。

安全单元300与控制单元100相独立，执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常，“安全控制”是以满足用于实现国际电工委员会(International Electro technical Commission，IEC)61508等所规定的安全功能的条件的方式设计。“安全控制”为用于防止人的安全受到设备或机械等威胁的处理的总称。

功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。典型而言，功能单元400可包含输入输出(Input Output，I/O)单元、安全I/O单元、通信单元、动作控制器单元、温度调整单元、脉冲计数器单元等。作为I/O单元，例如可举出：数字输入(Digital Input，DI)单元、数字输出(Digital Output，DO)单元、模拟输出(Analog Input，AI)单元、模拟输出(Analog Output，AO)单元、脉冲捕捉输入单元、及使多种混合而成的复合单元等。安全I/O单元负责安全控制的I/O处理。

电源单元450对构成控制器系统1的各单元供给规定电压的电源。

＜B.各单元的硬件结构例＞

接下来，对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。

(b1：控制单元100)

图2是表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图2，控制单元100包含中央处理器(Central Processing Unit，CPU)或图形处理器(Graphical Processing Unit，GPU)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(Universal Serial Bus，USB)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122及指示器124作为主要组件。

处理器102读取保存于二次存储装置108中的各种程序，在主存储装置106展开并加以执行，由此实现标准控制的控制运算、及如后所述的各种处理。芯片组104中介处理器102与各组件之间的数据互换，由此实现控制单元100总体的处理。

在二次存储装置108中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的控制程序。

通信控制器110负责与安保单元200之间的数据互换。作为通信控制器110，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器112负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口114构成为可装卸存储卡115，可对存储卡115写入控制程序或各种设定等的数据，或者从存储卡115读取控制程序或各种设定等的数据。

网络控制器116、118、120各自负责经由网络的与任意的器件之间的数据互换。网络控制器116、118、120可采用以太网控制自动化技术(EtherCAT)(注册商标)、以太网工业协议(EtherNet/IP)(注册商标)、器件网(DeviceNet)(注册商标)、康宝网(CompoNet)(注册商标)等工业用网络协议。

内部总线控制器122负责与构成控制器系统1的安全单元300或一个或多个功能单元400之间的数据互换。关于内部总线，可使用制造商固有的通信协议，也可使用与任一工业用网络协议相同或依据此工业用网络协议的通信协议。

指示器124通知控制单元100的动作状态等，且包含配置于单元表面的一个或多个发光二极管(Light Emitting Diode，LED)等。

在图2中示出通过处理器102执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，特殊应用集成电路(Application Specific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现控制单元100的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个操作系统(Operating System，OS)，并且在各OS上执行所需的应用。

(b2：安保单元200)

图3是表示构成本实施方式的控制器系统1的安保单元200的硬件结构例的示意图。参照图3，安保单元200包含CPU或GPU等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、USB控制器212、存储卡接口214、网络控制器216、218及指示器224作为主要组件。

处理器202读取保存于二次存储装置208中的各种程序，在主存储装置206展开并加以执行，由此实现如后所述的各种安保功能。芯片组204中介处理器202与各组件之间的数据互换，由此实现安保单元200总体的处理。

在二次存储装置208中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的安保系统程序。

通信控制器210负责与控制单元100之间的数据互换。作为通信控制器210，与控制单元100中通信控制器210同样地，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器212负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口214构成为可装卸存储卡215，可对存储卡215写入控制程序或各种设定等的数据，或者从存储卡215读取控制程序或各种设定等的数据。

网络控制器216、218各自负责经由网络的与任意的器件之间的数据互换。网络控制器216、218也可采用以太网(注册商标)等通用的网络协议。

指示器224通知安保单元200的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图3中示出通过处理器202执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安保单元200的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

(b3：安全单元300)

图4是表示构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。参照图4，安全单元300包含CPU或GPU等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322及指示器324作为主要组件。

处理器302读取保存于二次存储装置308中的各种程序，在主存储装置306展开并加以执行，由此实现安全控制的控制运算、及如后所述的各种处理。芯片组304通过中介处理器302与各组件之间的数据互换，从而实现安全单元300总体的处理。

在二次存储装置308中，除保存系统程序以外，还保存在系统程序提供的执行环境上动作的安全程序。

存储卡接口314构成为可装卸存储卡315，可对存储卡315写入安全程序或各种设定等的数据，或者从存储卡315读取安全程序或各种设定等的数据。

内部总线控制器322负责经由内部总线的与控制单元100之间的数据互换。

指示器324通知安全单元300的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图4中示出通过处理器302执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安全单元300的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

＜C：安保的威胁对策的确认＞

接下来，对在所述安保单元200中实现各种安保功能而针对安保的威胁采取对策时的确认进行说明。图5是用于对确认本实施方式的控制器系统中的安保的威胁对策的结构进行说明的框图。如图5所示，支持装置600根据用户(例如，设定人员)的指示而开始控制器系统1的安保的威胁分析650。如后所述，威胁分析650从安保单元200获取装置结构的信息及保有资产的信息，对控制器系统1的安保的威胁进行分析，并制作所需的对策场景。在本说明书中，“对策场景”包含与控制器系统1中的安保的对策有关的信息，至少包含保护资产、安保的威胁及安保的对策的信息。

支持装置600对用户显示包含利用威胁分析650制作的对策场景等的威胁分析结果，并受理来自用户的结果OK的输入。支持装置600在受理了来自用户的结果OK的输入的情况下，在控制器系统1中设定对策场景。在控制器系统1中，根据所设定的对策场景来执行安保单元200的安保功能。至此的处理是在控制器系统1中设定安保的威胁对策的处理。

在以后的处理中，是确认在所述处理中设定的安保的威胁对策的处理。首先，控制器系统1将对策场景传输至HMI 800。HMI 800对用户提示对策场景的内容来确认安保的威胁对策的内容。HMI 800在从用户受理了确认安保的威胁对策的内容OK的输入的情况下，结束处理。此处，HMI 800将通过控制器系统1中的控制运算而获得的各种信息(例如，对策场景的内容)提示给用户(例如，操作员)，并且按照来自操作员的操作，对控制器系统1生成内部命令等。在本实施方式中，以HMI 800包含于控制器系统1中的形式进行说明，但也可不包含于控制器系统1中。另外，控制器系统1也可另行设置HMI 800之类的对用户提示对策场景的内容的提示机构。

接下来，对在控制器系统中使操作员确认安保的威胁对策的处理进行详细说明。图6是用于对利用本实施方式的控制器系统及HMI使操作员确认安保的威胁对策的处理进行说明的序列图。在图6所示的序列图中，对包括控制器系统1及HMI 800的控制系统的典型例进行说明。

首先，用户启动控制器系统1。控制器系统1至少包括控制单元100及安保单元200。控制器系统1在启动时，利用认证部150对操作员进行认证信息的确认。具体而言，认证部150对操作员要求身份(Identification，ID)与密码的输入。在认证部150从操作员受理了认证信息的情况下，对策场景传输部160将安保的对策场景传输至HMI 800。在从对策场景传输部160受理了安保的对策场景的传输的情况下，HMI 800提示所述对策场景，来催促操作员进行安保的对策的确认。作为提示机构的一例的HMI 800根据对策场景而将控制器系统1中需要安保对策的部位提示给操作员。

对策场景中所含的对策包括基于安保单元200的安保功能的对策(例如，入侵探测系统(Intrusion Detection System，IDS)-隔离、过滤等)及基于不使用所述安保功能的运用的对策(例如，有线通信/堵塞端口等)。特别是，基于运用的对策并非由安保单元200执行的对策，因此需要操作员进行确认来执行对策。因此，通过利用HMI 800将需要基于运用的对策的部位提示给操作员，操作员可容易地把握基于运用的对策，可防止基于运用的对策的泄漏。

在操作员确认到HMI 800所提示的对策场景的情况下，HMI 800受理来自操作员的对策确认OK的信息。在受理了来自操作员的对策确认OK的信息的情况下，HMI 800对控制器系统1的确认日志保存部170输出确认结果的信息。确认日志保存部170将操作员确认了对策场景的情况(确认操作)作为确认日志(确认历程)而保存。在工厂的信息技术(Information Technology，IT)部门中，以标准等要求实施组织的安保教育，但通过在确认日志保存部170中取得操作员确认了对策场景的确认历程，可制成安保教育的受训历程。因此，通过利用确认日志保存部170保存确认日志，可削减进行安保教育的工时，并削减制造现场中的对策确认的工时。

控制器系统1在利用确认日志保存部170保存了确认日志后，开始通常的启动处理。

＜D：威胁对策的确认的具体例＞

接下来，图7是用于对利用本实施方式的控制器系统及HMI使操作员确认安保的威胁对策的处理进行说明的流程图。首先，控制器系统1进行认证作业人员(操作员)的处理(步骤S501)。图8是用于进行在步骤S501中显示于HMI 800中的认证确认的画面。在图8所示的画面中，显示有供作业人员ID及密码输入的一栏，催促进行认证确认。

返回至图7，控制器系统1进行图8中所输入的作业人员ID及密码是否正确的设定权限的确认(步骤S502)。在作业人员ID及密码不正确的情况下(在步骤S502中为否(NO))，控制器系统1停止装置。

另一方面，在作业人员ID及密码正确的情况下(在步骤S502中为是(YES))，控制器系统1用颜色显示装置内部的器件配置与安保的风险(步骤S503)。图9是用于确认在步骤S503中显示于HMI 800中的安保对策内容的画面的一例。在图9所示的画面中，将需要安保对策的部位显示于左图，用右图示出通过实施对策而风险降低的情况。

在图9中，示意性图示有装置结构(装置内部的器件配置)，以便操作员容易把握采取安保的对策的装置结构，在其中将需要安保对策的部位加以识别(颜色区分)来图示。再者，在图9中，由于无法显示颜色，因此以括号记号表现颜色。具体而言，在图9的左图中，维护个人计算机(personal computer，PC)与PLC之间及外部网络(Network，NW)与PLC之间的线用红色表示，并表示安保的威胁高的部位。HMI与PLC之间的线用绿色表示，并表示安保的威胁为中等程度的部位。照相机、伺服及PLC之间的线用蓝色表示，并表示安保的威胁低的部位。

安保的威胁的颜色区分是根据对策场景中所含的风险值(表示针对安保的威胁的风险的指标)来决定，例如，由于维护PC与PLC之间所含的保护资产的风险值中最高值为20以上，因此用红色显示。由于HMI与PLC之间所含的保护资产的风险值中最高值为10以上且小于20，因此用绿色显示，由于照相机、伺服及PLC之间所含的保护资产的风险值中最高值小于10，因此用蓝色显示。如上所述，在表示控制器系统1的装置结构的示意图中将需要安保对策的部位加以颜色区分来显示，由此操作员可容易地把握需要安保对策的部位。

进而，在图9的右图中，还图示出沿着对策场景实施对策时的安保的威胁。维护PC与PLC之间、外部网络(NW)与PLC及HMI与PLC之间的线用蓝色图示。由此，操作员沿着对策场景实施对策，由此可容易地把握有效地采取了安保对策。

与PLC(控制单元100)连接的照相机及多个伺服是从控制对象收集控制运算所需的各种信息的传感器或检测器、以及对控制对象给予某些作用的致动器等，也被称为现场器件。再者，控制器系统1的控制单元100经由通信端口(图2的网络控制器118)而与一个或多个现场器件500连接。

返回至图7，控制器系统1显示装置内部的器件配置与所设想的安保的威胁的内容(步骤S504)。图10是用于确认在步骤S504中显示于HMI 800中的设想威胁的画面的一例。在图10所示的画面中，在设想安保的威胁的部位显示所述威胁的内容。

在图10中，在示意性图示的装置结构中以对话框图示有安保的威胁，以便操作员容易把握安保的威胁的内容。具体而言，在图10中，在维护PC与PLC之间，图示有用户程序的窃听、用户程序的篡改作为安保的威胁。另外，在外部网络(NW)与PLC之间及HMI与PLC之间，图示有对装置功能的分布式拒绝服务(Distributed Denial of Service，DoS)攻击、装置功能的伪装作为安保的威胁。在照相机、伺服及PLC之间，图示有对装置功能的DoS攻击、装置功能的伪装、控制数据的篡改、控制数据的窃听作为安保的威胁。

返回至图7，控制器系统1显示装置内部的器件配置与安保的对策(步骤S505)。图11是用于确认在步骤S505中显示于HMI 800中的安保对策的画面的一例。在图11所示的画面中，在采取安保的对策的部位显示有所述对策的内容。

在图11中，在装置结构的示意图中图示有安保对策的标记与其对策内容，以便操作员容易把握采取安保的对策的部位与其对策内容。再者，在图11中，由于无法显示颜色，因此以括号记号表现颜色。具体而言，在图11中，显示有在维护PC与PLC之间所显示的安保对策的标记，根据所述标记在对话框中用红字图示出“有线通信/堵塞端口”。另外，在外部网络(NW)与PLC之间及HMI与PLC之间也显示有安保对策的标记，在这些标记中用蓝字标注了“IDS-隔离”与对话框。在照相机、伺服及PLC之间所显示的安保对策的标记中用蓝字标注了“IDS-隔离”及“机器认证”与对话框。

进而，在包围PLC、HMI、照相机、伺服的范围内显示有安保对策的标记，在所述标记中用红字标注了“锁闭管理”与对话框。对话框的颜色区分是根据对策场景中所含的对策的内容来决定，用蓝字显示基于安保单元200的安保功能的对策(技术对策)，用红字显示基于不使用所述安保功能的运用的对策。在基于安保单元200的安保功能的对策中，通过对安保单元200进行设定，而自动启动来执行对策。例如，在外部网络(NW)与PLC之间，安保单元200执行“IDS-隔离”的对策。此处，“IDS-隔离”是通过安保单元200的安保功能之一的入侵探测系统来切断通信，而与其他设备隔离的对策。

另一方面，基于不使用安保功能的运用的对策是操作员实际进行作业来采取对策的内容，由于并非安保单元200自动执行对策，因此在操作员疏忽作业的情况下，成为产生安保的漏洞的原因。因此。在图11所示的画面中，为了示出需要操作员进行用于执行基于运用的对策的作业，而用红字显示对策内容，并且显示出“在运用对策中，请确认是否正确采取对策”的注意事项作为用于防止忘记采取对策的注意提醒。具体而言，当在维护PC与PLC之间显示有“有线通信/堵塞端口”的情况下，操作员进行如下作业：将用于连接维护PC与PLC的端口中未使用的端口物理性堵塞。

返回至图7，控制器系统1受理操作员确认了安保对策的主旨的信息(步骤S506)。在未受理操作员确认了安保对策的主旨的信息的情况下(在步骤S506中为否(NO))，控制器系统1停止装置。

另一方面，在受理了操作员确认了安保对策的主旨的信息的情况下(在步骤S506中为是(YES))，控制器系统1利用安保单元200保存确认日志(步骤S507)。在利用安保单元200保存了确认日志后，控制器系统1开始通常的运行。图12是确认了在步骤S507中保存于安保单元200中的安保对策的主旨的确认日志的一例。在图12中，确认日志包含操作员确认了安保对策的时间(确认时间)、所确认的装置的识别信息(装置ID)、确认人员、对策场景的版本的信息。

图12所示的确认日志中所含的信息是一例，且设定为至少包含以标准等要求实施组织的安保教育的信息。由此，通过在步骤S507中保存表示操作员确认了对策场景的确认日志，可制成安保教育的受训历程，可削减进行安保教育的工时，并削减制造现场中的对策确认的工时。

＜E：确认日志的确认处理＞

说明了在图7的步骤S507中保存表示操作员确认了对策场景的确认日志。对用于确认所述确认日志的处理进行详细说明。图13是用于对利用与本实施方式的控制器系统连接的支持装置确认确认日志的处理进行说明的序列图。在图13所示的序列图中，对包括控制器系统1、支持装置600及HMI 800的控制系统的典型例进行说明。

首先，用户(例如，设定人员)利用支持装置600启动安保单元200的确认工具。当启动所述确认工具时，用户对支持装置600输入确认日志结果获取命令及认证信息。控制器系统1利用认证部150对用户进行认证信息的确认。具体而言，认证部150对用户要求ID与密码的输入。在认证部150从用户受理了认证信息的情况下，将认证结果发送至支持装置600。支持装置600将从认证部150接收的认证结果提示给用户。

接下来，若从认证部150接收的认证结果为OK，则支持装置600将确认日志结果获取命令发送至确认日志通知部180。确认日志通知部180在从支持装置600接收到确认日志结果获取命令的情况下，通知保存于支持装置600中的确认日志。支持装置600将从确认日志通知部180通知的确认日志显示给用户。

接下来，图14是用于对利用与本实施方式的控制器系统连接的支持装置确认确认日志的处理进行说明的流程图。首先，控制器系统1进行认证访问人员即用户(例如，设定人员)的处理(步骤S601)。用于进行在步骤S601中显示于HMI 800中的认证确认的画面与图8所示的画面相同，且显示有供ID及密码输入的一栏，催促进行认证确认。

控制器系统1进行所输入的ID及密码是否正确且所述ID对确认日志是否有访问权限的确认(步骤S602)。在ID及密码不正确或所述ID对确认日志无访问权限的情况下(在步骤S602中为否(NO))，控制器系统1不对支持装置600通知确认日志作为确认日志通知失败。

另一方面，在ID及密码正确且所述ID对确认日志有访问权限的情况下(在步骤S602中为是(YES))，控制器系统1将确认日志通知给支持装置600(步骤S603)。由此，控制器系统1结束确认日志的通知处理。图15是在步骤S603中通知给支持装置600，并由支持装置600显示的确认日志的显示画面的一例。在图15所示的画面中，显示有从控制器系统1通知的确认日志的一览。

在图15中，确认日志包含操作员确认了安保对策的时间、所确认的装置的识别信息(装置ID)、确认人员、对策场景的版本的信息。图15所示的确认日志中所含的信息是一例，且设定为至少包含以标准等要求实施组织的安保教育的信息。由此，通过在步骤S603中保存表示操作员确认了对策场景的确认日志，可制成安保教育的受训历程，可削减进行安保教育的工时，并削减制造现场中的对策确认的工时。

再者，在控制器系统1中，根据所输入的ID的访问权限而对策场景的确认、编辑及确认日志的通知的处理不同。图16是用于对基于访问权限的处理的不同进行说明的图。如图16所示，若仅是确认对策场景，则不论用户是操作员，还是工厂IT管理人员，抑或是装置开发人员，均可执行处理。但是，可通知确认日志的限于工厂IT管理人员与装置开发人员。进而，对策场景的设定限于装置开发人员。由此，根据用户的权限而可限制对策场景的编辑，因此可防止非法的编辑，可进行与访问权限相应的安保管理。

＜F：安保功能的设定＞

如上所述，在本实施方式的控制器系统1中，使用户(例如，操作员)确认所设定的对策场景，并进行保存所述确认日志的处理。以下，对对策场景的设定处理的一例进行详细说明。再者，关于对策场景的设定处理，并不限定于以下的处理，只要利用某些处理对控制器系统1的安保的威胁进行分析来制作所需的对策场景即可。

对在安保单元200中进行用于实现各种安保功能的设定时的处理的一例进行说明。图17是用于对利用与本实施方式的控制器系统连接的支持装置进行安保的设定的系统结构进行说明的框图。如图17所示，支持装置600包括系统结构输入部630、威胁场景制作部632、对策制作部634及安保设定部636。再者，支持装置600还包括威胁分析数据库6106及对策数据库6108。但是，威胁分析数据库6106、对策数据库6108也可不设置于支持装置600内而设置于外部服务器中。

首先，支持装置600利用系统结构输入部630从控制器系统1获取装置结构(装置系统结构)的信息及保有资产的信息(包含安保单元200的资源信息)。威胁场景制作部632与利用系统结构输入部630获取的装置结构及保护资产相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景。在本说明书中，“重要级别”是表示构成控制器系统1的保护资产的重要度的指标，也可由用户设定。在本说明书中，“威胁级别”是表示针对控制器系统1的安保的威胁的指标，也可由用户设定。在本说明书中，“保有资产”是构成控制器系统1的装置等，且包括控制单元100、安保单元200及现场器件500等。

在威胁分析数据库6106中预先保存有针对控制器系统1的保护资产的重要级别、针对安保的威胁的威胁级别。用户对威胁场景制作部632所制作的威胁场景进行OK或NG的判定，将所述判定结果输入至威胁场景制作部632。另外，用户可对威胁场景制作部632输入对策必要风险级别。

对策制作部634根据利用威胁场景制作部632制作的威胁场景与对策数据库6108的对策，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。在对策数据库6108中预先保存有与安保的威胁相应的对策。用户对对策制作部634所制作的对策场景进行OK或NG的判定，将所述判定结果输入至对策制作部634。

安保设定部636根据利用对策制作部634制作的对策场景，对安保单元200输出安保功能的设定数据(安保功能设定数据)。在安保单元200中，根据设定数据(安保功能设定数据)来实现各种安保功能。对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。

图17中所说明的结构是通过以下所说明的支持装置600的硬件结构来实现。图18是表示与本实施方式的控制器系统1连接的支持装置600的硬件结构例的示意图。作为一例，支持装置600是使用按照通用架构的硬件(例如，通用个人计算机)而实现。

参照图18，支持装置600包含处理器602、主存储器604、输入部606、输出部608、贮存器610、光学驱动器612及USB控制器620。这些组件经由处理器总线618而连接。

处理器602包含CPU或GPU等，读取保存于贮存器610中的程序(作为一例，为OS6102及支持程序6104)，在主存储器604展开并加以执行，由此实现针对控制器系统1的设定处理等。

主存储器604包含动态随机存取存储器(Dynamic Random Access Memory，DRAM)或静态随机存取存储器(Static Random Access Memory，SRAM)等易失性存储装置等。贮存器610例如包含硬盘驱动器(Hard Disc Drive，HDD)或固态驱动器(Solid State Drive，SSD)等非易失性存储装置等。

在贮存器610中，除保存用于实现基本功能的OS 6102以外，还保存用于提供作为支持装置600的功能的支持程序6104。即，支持程序6104通过由与控制器系统1连接的计算机执行，从而实现本实施方式的支持装置600。进而，在贮存器610中保存有威胁分析数据库6106及对策数据库6108。

输入部606包含键盘或鼠标等，受理用户操作。输出部608包含显示器、各种指示器、打印机等，输出来自处理器602的处理结果等。

USB控制器620经由USB连接而互换与控制器系统1等之间的数据。

支持装置600具有光学驱动器612，从计算机可读取的非暂时性地保存程序的记录介质614(例如，数字多功能光盘(Digital Versatile Disc，DVD)等光学记录介质)读取其中所保存的程序，并安装于贮存器610等中。

由支持装置600执行的支持程序6104等可经由计算机可读取的记录介质614而安装，也能以从网络上的服务器装置等下载的形式安装。另外，本实施方式的支持装置600提供的功能也有时以利用OS所提供的模块的一部分的形式实现。

在图18中示出通过处理器602执行程序而提供作为支持装置600所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。

接下来，对在利用所述支持装置600进行安保的设定的系统结构中，在开发装置时、启动装置时进行的威胁分析及安保的设定进行详细说明。图19是用于对本实施方式的控制器系统及支持装置中的威胁分析以及安保的设定进行说明的序列图。在图19所示的序列图中，对包括控制器系统1及支持装置600的控制系统的典型例进行说明。

首先，用户利用支持装置600启动安保单元200的设定工具。当启动所述设定工具时，系统结构输入部630对控制器系统1进行查询。控制器系统1针对来自系统结构输入部630的查询，将控制器系统1的装置结构的信息、保有资产的信息回信给系统结构输入部630。系统结构输入部630从控制器系统1获取装置结构的信息及保有资产的信息。进而，系统结构输入部630从安保单元200获取软件及硬件的版本信息、资源容量等安保单元200的资源信息。

在用户利用支持装置600选择开始设定安保单元200并选择了装置类别的情况下，威胁场景制作部632与装置类别相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。具体而言，威胁场景制作部632参照威胁分析数据库6106的信息来制作保有资产评价列表及威胁列表，将基于保有资产评价列表及威胁列表的威胁场景列表提示给用户。再者，威胁场景制作部632也可与装置类别无关地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。

用户进行所提示的威胁场景列表是OK或NG的判定，将所述判定结果输入至威胁场景制作部632。在威胁场景列表是NG的情况下，用户可通过手作业来修正。另外，用户可对威胁场景制作部632输入对策必要风险级别。再者，在支持装置600中，可根据对策必要风险级别来制作与安保的威胁相应的对策。

对策制作部634根据利用威胁场景制作部632制作的威胁场景列表与对策数据库6108的对策，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。对策制作部634参照保存于威胁分析数据库6106中的威胁对策列表，来决定针对威胁场景列表的各种威胁的对策并制作对策场景。

对策制作部634将所制作的对策场景提示给用户。用户对对策制作部634所制作的对策场景进行OK或NG的判定，将所述判定结果输入至对策制作部634。在对策场景是NG的情况下，将处理返回至威胁场景制作部632，用户可通过手作业来修正威胁场景列表。

安保设定部636根据利用对策制作部634制作的对策场景，而对安保单元200输出安保功能的设定数据(安保功能设定数据)。在安保单元200中，根据设定数据(安保功能设定数据)来实现各种安保功能。安保单元200在根据设定数据(安保功能设定数据)而完成了设定的情况下，将OK的信息返送至安保设定部636，在未完成设定的情况下，将NG的信息返送至安保设定部636。

对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。如上所述，控制系统可利用支持装置600来分析安保的威胁，并容易地采取针对所述威胁的对策。

＜G：威胁场景列表、对策场景的制作＞

接下来，图20是表示本实施方式的支持装置600中的威胁场景列表制作的处理顺序的流程图。进而，图21是表示本实施方式的支持装置600中的对策场景制作的处理顺序的流程图。首先，当开始图20所示的处理时，支持装置600利用系统结构输入部630来获取装置结构的信息(步骤S101)。由于根据利用控制器系统1控制的装置类别而控制的目的、重要事项等不同，因此所设定的安保功能也不同。

例如，若利用控制器系统1控制的装置为半导体制造装置，则在制造工序中基本上不存在人进入装置的附近的情况，因此重要的是持续维持装置的控制。另一方面，若利用控制器系统1控制的装置为冲压装置，则在制造工序中，基本上是人在装置的附近进行作业，因此重要的是在紧急时使装置确实地停止来保护人的安全。因此，若为半导体制造装置，则优先设定持续维持装置的控制所需的结构的安保功能，若为冲压装置，则优先设定用于使装置确实地停止所需的结构的安保功能。

在步骤S101，系统结构输入部630对控制器系统1查询装置结构的信息、保有资产的信息，从控制器系统1获取装置结构的信息及保有资产的信息。进而，系统结构输入部630基于用户所选择的装置类别(例如，半导体制造装置、冲压装置等)的信息，并根据装置结构的信息、保有资产的信息来制作如图9所示的装置结构。

接下来，支持装置600利用威胁场景制作部632，根据利用系统结构输入部630获取的装置结构及保护资产来制作保护资产评价列表(步骤S102)。具体而言，威胁场景制作部632针对在步骤S101中获取的结构机器，连结威胁分析数据库6106中的各功能的保护资产列表。

例如，在半导体制造装置的情况下，当设为装置结构包括HMI、PLC、照相机及伺服时，在威胁场景制作部632中，从威胁分析数据库6106中的保护资产列表中取出HMI保护资产、PLC保护资产、照相机保护资产、伺服保护资产的列表并加以连结。图22是表示利用本实施方式的支持装置制作的保护资产评价列表的一例的图。在图22中示出半导体制造装置时的保护资产评价列表(a)。在保护资产评价列表(a)中保存有HMI保护资产、PLC保护资产、照相机保护资产、伺服保护资产的属性及重要级别。

在保护资产评价列表中，例如，由于在半导体制造装置与冲压装置中重要事项不同，因此重要级别也可不同。例如，在半导体制造装置的保护资产评价列表中，为了持续维持装置的控制，而提高PLC保护资产的用户程序的重要级别，在冲压装置的保护资产评价列表中，为了使装置确实地停止，而提高伺服保护资产的伺服功能、控制指示数据的重要级别。

威胁场景制作部632在制作保护资产评价列表后，如图20所示那样制作威胁场景(步骤S103)。当在步骤S103中制作威胁场景时，威胁场景制作部632需要首先制作威胁列表。具体而言，威胁场景制作部632针对在步骤S101中获取的结构机器，连结威胁分析数据库6106中的设想攻击部位的威胁列表。

例如，在半导体制造装置的情况下，当设为装置结构包括HMI、PLC、照相机及伺服时，在威胁场景制作部632中，从威胁分析数据库6106中的各攻击部位的威胁列表取出针对HMI、PLC、照相机、伺服的保护资产预先确定的设想攻击部位的威胁列表并加以连结。图23是表示利用本实施方式的支持装置制作的威胁列表的一例的图。在图23中示出半导体制造装置时的威胁列表(a)。在威胁列表(a)中保存有外部网络、非法机器连接、存储卡、维护PC、照相机、伺服的威胁、对象属性、威胁级别作为针对HMI、PLC、照相机、伺服的保护资产所设想的攻击部位。

此处，在本说明书中，“威胁”是指妨碍设备或机械正常运转的任意事项。在以PLC为中心的控制装置中，关于典型的威胁，考虑有来自如下等四方面的威胁：(1)来自数据库等上位装置的攻击、(2)来自现场器件的攻击、(3)经由支持装置的攻击、(4)经由存储卡等装配于控制装置中的存储介质的攻击。进而，搭载于控制装置上的所有物理端口存在受到攻击的安保风险。

例如，图23所示的所设想的攻击部位的外部网络被分类为“(1)来自数据库等上位装置的攻击”，作为具体的威胁，有“通信分布式拒绝服务(Distributed Denial ofService，DoS)攻击”、“通信数据窃听”、“通信数据篡改”。“通信DoS攻击”是向攻击对象的通信地址发送大量数据包的攻击，仅是与外部的通信功能受到影响，多数情况是可使装置自身运行。因此，在“通信DoS攻击”中，对象属性是“功能”，威胁级别被设定为“3”。

“通信数据窃听”是经由网络机器监听通信来窥视通信中的数据的攻击，仅泄露信息，不对装置的功能造成影响。因此，在“通信数据窃听”中，对象属性是“信息”，威胁级别被设定为“4”。“通信数据篡改”是经由网络机器篡改通信中的数据的攻击，且是针对信息的威胁。在“通信数据篡改”中，对象属性是“信息”，威胁级别被设定为“2”。

另外，图23所示的所设想的攻击部位的存储卡被分类为“(4)经由存储卡等装配于控制装置中的存储介质的攻击”，作为具体的威胁，有“固件篡改”、“用户程序的盗用”。“固件篡改”例如是篡改控制单元100的更新固件，并写入非法动作的程序的攻击，且是针对信息的威胁。因此，在“固件篡改”中，对象属性是“信息”，威胁级别被设定为“4”。“用户程序的盗用”是盗用用户的程序，在其他机器中进行再利用的攻击，且是信息的泄漏。因此，在“用户程序的盗用”中，对象属性是“信息”，威胁级别被设定为“4”。

进而，图23所示的所设想的攻击部位的维护PC被分类为“(3)经由支持装置的攻击”，作为具体的威胁，有“由恶意软件导致的功能不全”、“数据盗用”、“通信数据篡改”。“由恶意软件导致的功能不全”例如是使控制单元100感染恶意软件，并使其功能不全的攻击，且是针对信息的威胁。因此，在“由恶意软件导致的功能不全”中，对象属性是“功能”，威胁级别被设定为“4”。“数据盗用”是盗用装置的数据，在其他机器中进行再利用的攻击，且是信息的泄漏。因此，在“数据盗用”中，对象属性是“信息”，威胁级别被设定为“4”。“通信数据篡改”是经由网络机器篡改通信中的数据的攻击，且是针对信息的威胁。在“通信数据篡改”中，对象属性是“信息”，威胁级别被设定为“3”。

另外，图23所示的所设想的攻击部位的照相机、伺服被分类为“(2)来自现场器件的攻击”，作为具体的威胁，有“照相机劫持”、“图像非法篡改”、“伺服功能停止”、“伺服控制数据篡改”。“照相机劫持”是无操作权限的使用人员恶意操作照相机，是针对控制单元100的攻击，且是针对控制单元100的功能的威胁。因此，在“照相机劫持”中，对象属性是“功能”，威胁级别被设定为“3”。

“图像非法篡改”是对利用照相机拍摄的图像进行篡改的攻击，且是针对信息的威胁。在“图像非法篡改”中，对象属性是“信息”，威胁级别被设定为“1”。“伺服功能停止”是无操作权限的使用人员恶意停止伺服功能，不进行基于控制单元100的伺服控制的攻击，且是针对控制单元100的功能的威胁。因此，在“伺服功能停止”中，对象属性是“功能”，威胁级别被设定为“3”。“伺服控制数据篡改”是篡改伺服控制所需的数据的攻击，且是针对信息的威胁。在“伺服控制数据篡改”中，对象属性是“信息”，威胁级别被设定为“2”。

由于在半导体制造装置与冲压装置中重要事项不同，因此即便是相同的威胁，所保存的威胁级别也可不同。例如，在冲压装置的威胁列表中，为了使装置确实地停止，而提高针对存储卡、维护PC的威胁的威胁级别。

再者，说明了威胁列表针对如图23所示那样设想的各攻击部位保存有威胁、对象属性、威胁级别。但是，保存于威胁列表中的信息并不限于此，例如也可为控制单元100或安保单元200的软件及硬件的版本信息。控制单元100及安保单元200的安保的漏洞根据软件及硬件的版本信息而不同，因此需要根据版本信息而使威胁级别不同。

返回至图20，威胁场景制作部632在步骤S103中根据威胁列表与保护资产评价列表来制作威胁场景。威胁场景制作部632利用属性将威胁列表与保护资产评价列表链接而制作组合威胁场景。威胁场景将组合保护资产与威胁而成的各项目制成列表。经列表化的威胁场景以下也称为威胁场景列表。威胁场景制作部632算出针对所制作的威胁场景列表的各项目的风险值(步骤S104)。风险值是表示针对安保的威胁的风险的指标，例如，利用预先确定的试算方法，以威胁列表的威胁级别与保护资产评价列表的重要级别的积算来求出。

威胁场景制作部632判定所制作的威胁场景列表的风险值是否高于用户设定的对策必要风险级别(步骤S105)。在风险值高于对策必要风险级别的情况下(在步骤S105中为是(YES))，威胁场景制作部632对威胁场景列表的项目进行需要对策的设定(步骤S106)。另一方面，在风险值低于对策必要风险级别的情况下(在步骤S105中为否(NO))，威胁场景制作部632对威胁场景列表的项目进行无需对策的设定(步骤S107)。

威胁场景制作部632判定是否结束与所制作的威胁场景列表的所有风险值相关的是否需要对策的试算(步骤S108)。在与所有风险值相关的是否需要对策的试算未结束的情况下(在步骤S108中为否(NO))，威胁场景制作部632使处理返回至步骤S104。在与所有风险值相关的是否需要对策的试算结束的情况下(在步骤S108中为是(YES))，威胁场景制作部632以风险值从高到低的顺序、以是否需要对策的顺序对威胁场景列表进行项目的重排(步骤S109)。

关于利用步骤S103～步骤S109所制作的威胁场景列表，示出具体例来进行说明。图24是表示利用本实施方式的支持装置制作的威胁场景列表的一例的图。在图24所示的威胁场景列表中，将重要级别为“5”的装置功能的保护资产评价列表的项目与威胁级别为“5”的DoS攻击的项目积算所得的结果作为风险值而保存有“25”的值。针对所述威胁场景列表，将对策必要风险级别设为“15”以上，以风险值从高到低的顺序进行重排。将进行了重排的威胁场景列表示于图24的下侧。

接下来，对如下处理进行说明：对策制作部634根据利用威胁场景制作部632制作的威胁场景列表与对策数据库6108的对策(威胁对策列表)，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。返回至图21，首先，对策制作部634从对策数据库6108提取与威胁场景列表的各项目对应的对策(步骤S110)。从对策数据库6108提取的对策包括基于安保单元200的安保功能的对策及基于不使用所述安保功能的运用的对策。当然，在保存于对策数据库6108中的对策仅是基于安保单元200的安保功能的对策的情况下，所提取的对策也可仅是基于安保单元200的安保功能的对策。

对策制作部634判定是否设置了用于采取选自对策数据库6108的威胁对策列表中的基于安保功能的对策的、安保单元所需的版本以上的版本的安保单元200(步骤S111)。在为所需的版本以上的情况下(在步骤S111中为是(YES))，对策制作部634判定用于采取基于安保功能的对策的、安保单元所需的资源容量是否为安保单元200的资源容量以下(步骤S112)。

在所需的资源容量为安保单元200的资源容量以下的情况下(在步骤S112中为是(YES))，对策制作部634对威胁场景列表的项目设定基于所述安保功能的对策(步骤S113)。对策制作部634在对威胁场景列表的项目设定基于安保功能的对策的情况下，从安保单元200的资源容量中减去所设定的基于安保功能的对策的资源容量(步骤S114)。

在低于所需的版本的情况下(在步骤S111中为否(NO))，或者在所需的资源容量大于安保单元200的资源容量的情况下(在步骤S112中为否(NO))，对策制作部634对威胁场景列表的项目设定基于不使用安保功能的运用的对策(步骤S115)。

对策制作部634判定针对威胁场景列表的所有项目是否完成了对策的设定(步骤S116)。在针对所有项目未完成对策的设定的情况下(在步骤S116中为否(NO))，对策制作部634使处理返回至步骤S111。在针对所有项目完成了对策的设定的情况下(在步骤S116中为是(YES))，对策制作部634制作针对威胁场景列表的所有项目完成了对策的设定的对策场景。安保设定部636根据利用对策制作部634制作的对策场景，对安保单元200输出安保功能的设定数据(安保功能设定数据)(步骤S117)。在步骤S117中，对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。

关于利用步骤S110～步骤S116所制作的对策场景，示出具体例来进行说明。图25是表示利用本实施方式的支持装置制作的对策场景的一例的图。图25所示的对策场景(b)中，对图24所示的威胁场景列表的各项目设定有从对策数据库6108的威胁对策列表(a)中选择的对策。在对策场景(b)中，除威胁场景列表的信息以外，还保存有对策、资源、效果威胁级别、对策后风险值的各信息。例如，在“装置功能”דDoS攻击”的项目中，保存有作为对策的“过滤”、作为资源的“10”、作为效果威胁级别的“2”、作为对策后风险值的“10”。进而，在对策场景(b)中，残留的资源容量少，因此在“用户程序”ד窃听”的项目中选择基于运用的对策而非基于安保功能的对策。在对策场景(b)中，在“用户程序”ד窃听”的项目中保存有作为对策的“有线通信/堵塞端口”、作为资源的“0”、作为效果威胁级别的“2”、作为对策后风险值的“8”。

在对策场景中，根据风险值是否为对策必要风险级别以上来判定是否需要对策，也可假设安保单元200的资源容量可搭载全部功能，对对策必要风险级别以上的所有项目设定对策。但是，实际上安保单元200的资源容量有限，根据所述资源容量而所选择的对策不同。

基于安保单元200的安保功能的对策(例如，IDS-隔离、过滤等)使用安保单元200的资源，因此需要在资源容量内采取对策。另一方面，基于运用的对策(例如，有线通信/堵塞端口等)不使用安保单元200的资源，因此可不在意资源容量而采取对策。

在支持装置600中，为了试算利用步骤S104的处理制作的威胁场景列表的风险值，用户可选择试算风险值的方法(例如，重要度(重要级别)×威胁级别等)。此处，风险值不仅可将重要度(重要级别)与威胁级别单纯积算来求出，也可对各自的值设定权重进行积算来求出。例如，也可将威胁级别加倍来试算风险值。另外，作为其他试算方法，也可使用作为通常的威胁分析的风险评价方法的通用漏洞评价系统(Common Vulnerability ScoringSystem，CVSS)或汽车系统风险评价方法(Risk Scoring Methodology for Automotivesystem，RSMA)来试算风险值。

＜H.附注＞

如上所述的本实施方式包含以下的技术思想。

[结构1]

一种控制器系统(1)，所述控制器系统(1)包括：

控制单元(100)，执行用于对控制对象进行控制的控制运算；

安保单元(200)，与所述控制单元(100)连接，负责针对所述控制器系统(1)的安保功能；及

提示机构(HMI 800)，将基于所述安保单元(200)的所述控制器系统(1)的安保对策提示给用户；

所述安保单元(200)保持与所述控制器系统(1)的装置结构及保护资产的威胁分析相应的对策场景，并根据所述对策场景来进行安保功能的设定，

所述提示机构根据所述对策场景而将所述控制器系统(1)中需要安保对策的部位提示给用户。

[结构2]

根据结构1所记载的控制器系统(1)，其中，所述提示机构根据针对安保的威胁的风险来识别所述控制器系统(1)中需要安保对策的部位并提示给用户。

[结构3]

根据结构1或结构2所记载的控制器系统(1)，其中，所述提示机构将在所述控制器系统(1)中需要安保对策的部位所设想的威胁的内容提示给用户。

[结构4]

根据结构1至结构3中任一项所记载的控制器系统(1)，其中，所述提示机构根据所述对策场景而将进行了所述安保单元(200)的安保功能的设定的部位提示给用户。

[结构5]

根据结构4所记载的控制器系统(1)，其中，所述提示机构根据所述对策场景而将需要采取基于不使用所述安保单元(200)的安保功能的运用的对策的部位提示给用户。

[结构6]

根据结构5所记载的控制器系统(1)，其中，所述提示机构提示催促用户采取基于所述运用的对策的显示。

[结构7]

根据结构1至结构6中任一项所记载的控制器系统(1)，其还包括认证机构(认证部150)，所述认证机构(认证部150)认证用户可访问所述控制器系统(1)，

所述提示机构根据所述对策场景而仅对用所述认证机构认证过的用户提示所述控制器系统(1)中需要安保对策的部位。

[结构8]

根据结构1至结构7中任一项所记载的控制器系统(1)，其还包括保存机构(确认日志保存部170)，所述保存机构(确认日志保存部170)将用户的确认操作作为确认历程而保存。

[结构9]

根据结构8所记载的控制器系统(1)，其还包括通知机构(确认日志通知部180)，所述通知机构(确认日志通知部180)将保存于所述保存机构中的确认历程通知给用户。

[结构10]

根据结构7所记载的控制器系统(1)，其中，根据用所述认证机构认证过的用户的权限，可编辑用所述提示机构提示的所述对策场景。

[结构11]

根据结构1至结构10中任一项所记载的控制器系统(1)，其中，所述安保单元(200)在与所述控制器系统(1)连接的支持装置中进行威胁分析，并保持所制作的所述对策场景。

＜I.优点＞

根据本实施方式的控制系统，可使用户容易地把握针对安保的威胁的对策。

应认为，此次公开的实施方式在所有方面为例示而非限制者。本发明的范围是由结构书而非所述说明所示，且意图包含与结构书均等的含义及范围内的所有变更。

符号的说明

1：控制器系统

10：控制系统

100：控制单元

102、202、302、602：处理器

104、204、304：芯片组

106、206、306：主存储装置

108、208、308：二次存储装置

110、210：通信控制器

112、212、620：USB控制器

114、214、314：存储卡接口

115、215、315：存储卡

116、118、120、216、218：网络控制器

122、322：内部总线控制器

124、224、324：指示器

142、144、242：通信端口

200：安保单元

300：安全单元

400：功能单元

450：电源单元

500：现场器件

600：支持装置

604：主存储器

606：输入部

608：输出部

610：贮存器

612：光学驱动器

614：记录介质

618：处理器总线

800：HMI

900：外部网络

6102：OS

6104：支持程序

6106：威胁分析数据库

6108：对策数据库