具体实施方式

一面参照附图一面对本发明的实施方式进行详细说明。再者，对图中的相同或相当部分标注相同符号，并不重复进行其说明。

＜A.适用例＞

对适用本发明的场面的一例进行说明。首先，对本实施方式的控制器系统1的结构进行说明。

图1是表示本实施方式的控制器系统1的结构例的外观图。参照图1，控制器系统1包括控制单元100、安保单元200、安全单元300、一个或多个功能单元400及电源单元450。

控制单元100与安保单元200之间经由任意的数据传输路(例如，外围组件快速互连(PCI Express)或以太网(Ethernet)(注册商标)等)而连接。控制单元100与安全单元300及一个或多个功能单元400之间经由未图示的内部总线而连接。

控制单元100在控制器系统1中执行中心处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与由后述的安全单元300执行的控制运算的比对中，将由控制单元100执行的控制运算也称为“标准控制”。在图1所示的结构例中，控制单元100具有一个或多个通信端口。

安保单元200与控制单元100连接，负责针对控制器系统1的安保功能。在图1所示的结构例中，安保单元200具有一个或多个通信端口。关于安保单元200所提供的安保功能的详细情况，将于后述。

安全单元300与控制单元100相独立，执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常，“安全控制”是以满足用于实现国际电工委员会(International Electro technical Commission，IEC)61508等所规定的安全功能的条件的方式设计。“安全控制”为用于防止人的安全受到设备或机械等威胁的处理的总称。

功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。典型而言，功能单元400可包含输入输出(Input Output，I/O)单元、安全I/O单元、通信单元、动作控制器单元、温度调整单元、脉冲计数器单元等。作为I/O单元，例如可举出：数字输入(Digital Input，DI)单元、数字输出(Digital Output，DO)单元、模拟输出(Analog Input，AI)单元、模拟输出(Analog Output，AO)单元、脉冲捕捉输入单元、及使多种混合而成的复合单元等。安全I/O单元负责安全控制的I/O处理。

电源单元450对构成控制器系统1的各单元供给规定电压的电源。

＜B.各单元的硬件结构例＞

接下来，对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。

(b1：控制单元100)

图2是表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图2，控制单元100包含中央处理器(Central Processing Unit，CPU)或图形处理器(Graphical Processing Unit，GPU)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(Universal Serial Bus，USB)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122及指示器124作为主要组件。

处理器102读取保存于二次存储装置108中的各种程序，在主存储装置106展开并加以执行，由此实现标准控制的控制运算、及如后所述的各种处理。芯片组104中介处理器102与各组件之间的数据互换，由此实现控制单元100总体的处理。

在二次存储装置108中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的控制程序。

通信控制器110负责与安保单元200之间的数据互换。作为通信控制器110，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器112负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口114构成为可装卸存储卡115，可对存储卡115写入控制程序或各种设定等的数据，或者从存储卡115读取控制程序或各种设定等的数据。

网络控制器116、118、120各自负责经由网络的与任意的器件之间的数据互换。网络控制器116、118、120可采用以太网控制自动化技术(EtherCAT)(注册商标)、以太网工业协议(EtherNet/IP)(注册商标)、器件网(DeviceNet)(注册商标)、康宝网(CompoNet)(注册商标)等工业用网络协议。

内部总线控制器122负责与构成控制器系统1的安全单元300或一个或多个功能单元400之间的数据互换。关于内部总线，可使用制造商固有的通信协议，也可使用与任一工业用网络协议相同或依据此工业用网络协议的通信协议。

指示器124通知控制单元100的动作状态等，且包含配置于单元表面的一个或多个发光二极管(Light Emitting Diode，LED)等。

在图2中示出通过处理器102执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，特殊应用集成电路(Application Specific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现控制单元100的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个操作系统(Operating System，OS)，并且在各OS上执行所需的应用。

(b2：安保单元200)

图3是表示构成本实施方式的控制器系统1的安保单元200的硬件结构例的示意图。参照图3，安保单元200包含CPU或GPU等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、USB控制器212、存储卡接口214、网络控制器216、218及指示器224作为主要组件。

处理器202读取保存于二次存储装置208中的各种程序，在主存储装置206展开并加以执行，由此实现如后所述的各种安保功能。芯片组204中介处理器202与各组件之间的数据互换，由此实现安保单元200总体的处理。

在二次存储装置208中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的安保系统程序。

通信控制器210负责与控制单元100之间的数据互换。作为通信控制器210，与控制单元100的通信控制器210同样地，例如可采用与PCI Express或以太网(注册商标)等对应的通信芯片。

USB控制器212负责经由USB连接而与任意的信息处理装置之间的数据互换。

存储卡接口214构成为可装卸存储卡215，可对存储卡215写入控制程序或各种设定等的数据，或者从存储卡215读取控制程序或各种设定等的数据。

网络控制器216、218各自负责经由网络的与任意的器件之间的数据互换。网络控制器216、218也可采用以太网(注册商标)等通用的网络协议。

指示器224通知安保单元200的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图3中示出通过处理器202执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安保单元200的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

(b3：安全单元300)

图4是表示构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。参照图4，安全单元300包含CPU或GPU等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322及指示器324作为主要组件。

处理器302读取保存于二次存储装置308中的各种程序，在主存储装置306展开并加以执行，由此实现安全控制的控制运算、及如后所述的各种处理。芯片组304通过中介处理器302与各组件之间的数据互换，从而实现安全单元300总体的处理。

在二次存储装置308中，除保存系统程序以外，还保存在系统程序提供的执行环境上动作的安全程序。

存储卡接口314构成为可装卸存储卡315，可对存储卡315写入安全程序或各种设定等的数据，或者从存储卡315读取安全程序或各种设定等的数据。

内部总线控制器322负责经由内部总线的与控制单元100之间的数据互换。

指示器324通知安全单元300的动作状态等，且包含配置于单元表面的一个或多个LED等。

在图4中示出通过处理器302执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业个人计算机)来实现安全单元300的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个OS，并且在各OS上执行所需的应用。

＜C：安保功能的设定＞

接下来，对在所述安保单元200中进行用于实现各种安保功能的设定时的处理的一例进行说明。图5是用于对利用与本实施方式的控制器系统连接的支持装置进行安保的设定的系统结构进行说明的框图。如图5所示，支持装置600包括系统结构输入部630、威胁场景制作部632、对策制作部634及安保设定部636。再者，支持装置600还包括威胁分析数据库6106及对策数据库6108。但是，威胁分析数据库6106、对策数据库6108也可不设置于支持装置600内而设置于外部服务器中。

首先，支持装置600利用系统结构输入部630从控制器系统1获取装置结构(装置系统结构)的信息及保护资产的信息(包含安保单元200的资源信息)。威胁场景制作部632与利用系统结构输入部630获取的装置结构及保护资产相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景。在本说明书中，“重要级别”是表示构成控制器系统1的保护资产的重要度的指标，也可由用户设定。在本说明书中，“威胁级别”是表示针对控制器系统1的安保的威胁的指标，也可由用户设定。在本说明书中，“保护资产”是构成控制器系统1的装置等，且包括控制单元100、安保单元200及现场器件500等。

在威胁分析数据库6106中预先保存有针对控制器系统1的保护资产的重要级别、针对安保的威胁的威胁级别。用户对威胁场景制作部632所制作的威胁场景进行OK或NG的判定，将所述判定结果输入至威胁场景制作部632。另外，用户可对威胁场景制作部632输入对策必要风险级别。

对策制作部634根据利用威胁场景制作部632制作的威胁场景与对策数据库6108的对策，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。在对策数据库6108中预先保存有与安保的威胁相应的对策。用户对对策制作部634所制作的对策场景进行OK或NG的判定，将所述判定结果输入至对策制作部634。

安保设定部636根据利用对策制作部634制作的对策场景，对安保单元200输出安保功能的设定数据(安保功能设定数据)。在安保单元200中，根据设定数据(安保功能设定数据)来实现各种安保功能。对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。

图5中所说明的结构是通过以下所说明的支持装置600的硬件结构来实现。图6是表示与本实施方式的控制器系统1连接的支持装置600的硬件结构例的示意图。作为一例，支持装置600是使用按照通用架构的硬件(例如，通用个人计算机)而实现。

参照图6，支持装置600包含处理器602、主存储器604、输入部606、输出部608、贮存器610、光学驱动器612及USB控制器620。这些组件经由处理器总线618而连接。

处理器602包含CPU或GPU等，读取保存于贮存器610中的程序(作为一例，为OS6102及支持程序6104)，在主存储器604展开并加以执行，由此实现针对控制器系统1的设定处理等。

主存储器604包含动态随机存取存储器(Dynamic Random Access Memory，DRAM)或静态随机存取存储器(Static Random Access Memory，SRAM)等易失性存储装置等。贮存器610例如包含硬盘驱动器(Hard Disc Drive，HDD)或固态驱动器(Solid State Drive，SSD)等非易失性存储装置等。

在贮存器610中，除保存用于实现基本功能的OS 6102以外，还保存用于提供作为支持装置600的功能的支持程序6104。即，支持程序6104通过由与控制器系统1连接的计算机执行，从而实现本实施方式的支持装置600。进而，在贮存器610中保存有威胁分析数据库6106及对策数据库6108。

输入部606包含键盘或鼠标等，受理用户操作。输出部608包含显示器、各种指示器、打印机等，输出来自处理器602的处理结果等。

USB控制器620经由USB连接而互换与控制器系统1等之间的数据。

支持装置600具有光学驱动器612，从计算机可读取的非暂时性地保存程序的记录介质614(例如，数字多功能光盘(Digital Versatile Disc，DVD)等光学记录介质)读取其中所保存的程序，并安装于贮存器610等中。

由支持装置600执行的支持程序6104等可经由计算机可读取的记录介质614而安装，也能以从网络上的服务器装置等下载的形式安装。另外，本实施方式的支持装置600提供的功能也有时以利用OS所提供的模块的一部分的形式实现。

在图6中示出通过处理器602执行程序而提供作为支持装置600所需的功能的结构例，但也可使用专用的硬件电路(例如，ASIC或FPGA等)来实现这些所提供的功能的一部分或全部。

接下来，对在利用所述支持装置600进行安保的设定的系统结构中，在开发装置时、启动装置时进行的威胁分析及安保的设定进行详细说明。图7是用于对本实施方式的控制器系统及支持装置中的威胁分析以及安保的设定进行说明的序列图。在图7所示的序列图中，对包括控制器系统1及支持装置600的控制系统的典型例进行说明。

首先，用户利用支持装置600启动安保单元200的设定工具。当启动所述设定工具时，系统结构输入部630对控制器系统1进行查询。控制器系统1针对来自系统结构输入部630的查询，将控制器系统1的装置结构的信息、保护资产的信息回信给系统结构输入部630。系统结构输入部630从控制器系统1获取装置结构的信息及保护资产的信息。进而，系统结构输入部630从安保单元200获取软件及硬件的版本信息、资源容量等安保单元200的资源信息。

在用户利用支持装置600选择开始设定安保单元200并选择了装置类别的情况下，威胁场景制作部632与装置类别相应地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。具体而言，威胁场景制作部632参照威胁分析数据库6106的信息来制作保护资产评价列表及威胁列表，将基于保护资产评价列表及威胁列表的威胁场景列表提示给用户。再者，威胁场景制作部632也可与装置类别无关地，根据威胁分析数据库6106的重要级别及威胁级别来制作威胁场景列表。

用户进行所提示的威胁场景列表是OK或NG的判定，将所述判定结果输入至威胁场景制作部632。在威胁场景列表是NG的情况下，用户可通过手作业来修正。另外，用户可对威胁场景制作部632输入对策必要风险级别。再者，在支持装置600中，可根据对策必要风险级别来制作与安保的威胁相应的对策。

对策制作部634根据利用威胁场景制作部632制作的威胁场景列表与对策数据库6108的对策，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。对策制作部634参照保存于威胁分析数据库6106中的威胁对策列表，来决定针对威胁场景列表的各种威胁的对策并制作对策场景。

对策制作部634将所制作的对策场景提示给用户。用户对对策制作部634所制作的对策场景进行OK或NG的判定，将所述判定结果输入至对策制作部634。在对策场景是NG的情况下，将处理返回至威胁场景制作部632，用户可通过手作业来修正威胁场景列表。

安保设定部636根据利用对策制作部634制作的对策场景，而对安保单元200输出安保功能的设定数据(安保功能设定数据)。在安保单元200中，根据设定数据(安保功能设定数据)来实现各种安保功能。安保单元200在根据设定数据(安保功能设定数据)而完成了设定的情况下，将OK的信息返送至安保设定部636，在未完成设定的情况下，将NG的信息返送至安保设定部636。

对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。如上所述，控制系统可利用支持装置600来分析安保的威胁，并容易地采取针对所述威胁的对策。

＜D：威胁场景列表、对策场景的制作＞

接下来，图8是表示本实施方式的支持装置600中的威胁场景列表制作的处理顺序的流程图。进而，图9是表示本实施方式的支持装置600中的对策场景制作的处理顺序的流程图。首先，当开始图8所示的处理时，支持装置600利用系统结构输入部630来获取装置结构的信息(步骤S101)。由于根据利用控制器系统1控制的装置类别而控制的目的、重要事项等不同，因此所设定的安保功能也不同。

例如，若利用控制器系统1控制的装置为半导体制造装置，则在制造工序中基本上不存在人进入装置的附近的情况，因此重要的是持续维持装置的控制。另一方面，若利用控制器系统1控制的装置为冲压装置，则在制造工序中，基本上是人在装置的附近进行作业，因此重要的是在紧急时使装置确实地停止来保护人的安全。因此，若为半导体制造装置，则优先设定持续维持装置的控制所需的结构的安保功能，若为冲压装置，则优先设定用于使装置确实地停止所需的结构的安保功能。

图10是表示利用本实施方式的支持装置进行威胁分析及安保的设定的装置结构的一例的示意图。图10(a)所示的装置结构是半导体制造装置，图10(b)所示的装置结构是冲压装置。在图10(a)及图10(b)所示的装置结构中，控制单元(PLC)100及安保单元200构成控制器系统1。

控制器系统1的安保单元200经由通信端口(图3的网络控制器216)而与网络连接并与支持装置(维护个人计算机(personal computer，PC))600连接。

支持装置600至少可访问控制单元100，且将由控制器系统1中所含的各单元执行的程序的制作、调试、各种参数的设定、各种安保功能的设定等功能提供给用户。

控制器系统1经由通信端口(图2的网络控制器116)而与网络连接，并与人机接口(Human Machine Interface，HMI)800及外部网络(Network，NW)900连接。

HMI 800将通过控制器系统1中的控制运算而获得的各种信息提示给操作员，并且按照来自操作员的操作，对控制器系统1生成内部命令等。

控制器系统1的控制单元100经由通信端口(图2的网络控制器118)而与一个或多个现场器件500连接。现场器件500包含从控制对象收集控制运算所需的各种信息的传感器或检测器、以及对控制对象给予某些作用的致动器等。

返回至图8，在步骤S101，系统结构输入部630对控制器系统1查询装置结构的信息、保护资产的信息，从控制器系统1获取装置结构的信息及保护资产的信息。进而，系统结构输入部630基于用户所选择的装置类别(例如，半导体制造装置、冲压装置等)的信息，并根据装置结构的信息、保护资产的信息来制作如图10所示的装置结构。

接下来，支持装置600利用威胁场景制作部632，根据利用系统结构输入部630获取的装置结构及保护资产来制作保护资产评价列表(步骤S102)。对保护资产评价列表的制作处理进行更详细说明。图11是表示利用本实施方式的支持装置制作保护资产评价列表的处理顺序的流程图。首先，威胁场景制作部632从装置结构信息提取结构机器(步骤S201)。威胁场景制作部632针对在步骤S201中提取的结构机器，连结威胁分析数据库6106中的各功能、各信息的保护资产列表(步骤S202)。

例如，在图10(a)所示的半导体制造装置的情况下，装置结构包括HMI、PLC、照相机及伺服。因此，在威胁场景制作部632中，从威胁分析数据库6106中的保护资产列表中取出HMI保护资产、PLC保护资产、照相机保护资产、伺服保护资产的列表并加以连结。图12是表示利用本实施方式的支持装置制作的保护资产评价列表的一例的图。在图12中示出图10(a)所示的半导体制造装置时的保护资产评价列表(a)。在保护资产评价列表(a)中保存有HMI保护资产、PLC保护资产、照相机保护资产、伺服保护资产的属性及重要级别。

另外，在图10(b)所示的冲压装置的情况下，装置结构包括HMI、PLC及伺服。因此，在威胁场景制作部632中，从威胁分析数据库6106中的保护资产列表中取出HMI保护资产、PLC保护资产、伺服保护资产的列表并加以连结。图13是表示利用本实施方式的支持装置制作的保护资产评价列表的另一例的图。在图13中示出图10(b)所示的冲压装置时的保护资产评价列表(b)。在保护资产评价列表(b)中保存有HMI保护资产、PLC保护资产、伺服保护资产的属性及重要级别。

在保护资产评价列表(a)与保护资产评价列表(b)中，由于装置结构不同，因此所保存的保护资产不同。进而，在保护资产评价列表(a)与保护资产评价列表(b)中，由于在半导体制造装置与冲压装置中重要事项不同，因此重要级别也不同。例如，在保护资产评价列表(a)中，为了持续维持装置的控制，PLC保护资产的用户程序的重要级别高达“5”(图12)。另一方面，在保护资产评价列表(b)中，为了使装置确实地停止，伺服保护资产的伺服功能、控制指示数据的重要级别高达“5”(图13)。

返回至图11，威胁场景制作部632将在步骤S202中制作的保护资产列表提示给用户(步骤S203)。威胁场景制作部632通过在步骤S203中提示的保护资产列表来判定是否从用户获得确认(步骤S204)。在从用户获得确认的情况下(在步骤S204中为是(YES))，威胁场景制作部632将所制作的保护资产列表作为保护资产评价列表而完成制作(步骤S205)。在未从用户获得确认的情况下(在步骤S204中为否(NO))，威胁场景制作部632受理基于用户的保护资产列表的修正(步骤S206)。威胁场景制作部632将在步骤S206中修正过的保护资产列表作为保护资产评价列表而完成制作(步骤S205)。

威胁场景制作部632在制作保护资产评价列表后，如图8所示那样制作威胁场景(步骤S103)。当在步骤S103中制作威胁场景时，威胁场景制作部632需要首先制作威胁列表。

对威胁列表的制作处理进行更详细说明。图14是表示利用本实施方式的支持装置制作威胁列表的处理顺序的流程图。首先，威胁场景制作部632从装置结构信息提取结构机器(步骤S301)。威胁场景制作部632针对在步骤S301中提取的结构机器，连结威胁分析数据库6106中的设想攻击部位的威胁列表(步骤S302)。

例如，在图10(a)所示的半导体制造装置的情况下，装置结构包括HMI、PLC、照相机及伺服。因此，在威胁场景制作部632中，从威胁分析数据库6106中的各攻击部位的威胁列表取出针对HMI、PLC、照相机、伺服的保护资产预先确定的设想攻击部位的威胁列表并加以连结。图15是表示利用本实施方式的支持装置制作的威胁列表的一例的图。在图15中示出图10(a)所示的半导体制造装置时的威胁列表(a)。在威胁列表(a)中保存有外部网络、非法机器连接、存储卡、维护PC、照相机、伺服的威胁、对象属性、威胁级别作为针对HMI、PLC、照相机、伺服的保护资产而设想的攻击部位。

此处，在本说明书中，“威胁”是指妨碍设备或机械正常运转的任意事项。在以PLC为中心的控制装置中，关于典型的威胁，考虑有来自如下等四方面的威胁：(1)来自数据库等上位装置的攻击、(2)来自现场器件的攻击、(3)经由支持装置的攻击、(4)经由存储卡等装配于控制装置中的存储介质的攻击。进而，搭载于控制装置上的所有物理端口存在受到攻击的安保风险。

例如，图15所示的所设想的攻击部位的外部网络被分类为“(1)来自数据库等上位装置的攻击”，作为具体的威胁，有“通信分布式拒绝服务(Distributed Denial ofService，DoS)攻击”、“通信数据窃听”、“通信数据篡改”。“通信DoS攻击”是向攻击对象的通信地址发送大量数据包的攻击，仅是与外部的通信功能受到影响，多数情况是可使装置自身运行。因此，在“通信DoS攻击”中，对象属性是“功能”，威胁级别被设定为“3”。

“通信数据窃听”是经由网络机器监听通信来窥视通信中的数据的攻击，仅泄露信息，不对装置的功能造成影响。因此，在“通信数据窃听”中，对象属性是“信息”，威胁级别被设定为“4”。“通信数据篡改”是经由网络机器篡改通信中的数据的攻击，且是针对信息的威胁。在“通信数据篡改”中，对象属性是“信息”，威胁级别被设定为“2”。

另外，图15所示的所设想的攻击部位的存储卡被分类为“(4)经由存储卡等装配于控制装置中的存储介质的攻击”，作为具体的威胁，有“固件篡改”、“用户程序的盗用”。“固件篡改”例如是篡改控制单元100的更新固件，并写入非法动作的程序的攻击，且是针对信息的威胁。因此，在“固件篡改”中，对象属性是“信息”，威胁级别被设定为“4”。“用户程序的盗用”是盗用用户的程序，在其他机器中进行再利用的攻击，且是信息的泄漏。因此，在“用户程序的盗用”中，对象属性是“信息”，威胁级别被设定为“4”。

进而，图15所示的所设想的攻击部位的维护PC被分类为“(3)经由支持装置的攻击”，作为具体的威胁，有“由恶意软件导致的功能不全”、“数据盗用”、“通信数据篡改”。“由恶意软件导致的功能不全”例如是使控制单元100感染恶意软件，并使其功能不全的攻击，且是针对信息的威胁。因此，在“由恶意软件导致的功能不全”中，对象属性是“功能”，威胁级别被设定为“4”。“数据盗用”是盗用装置的数据，在其他机器中进行再利用的攻击，且是信息的泄漏。因此，在“数据盗用”中，对象属性是“信息”，威胁级别被设定为“4”。“通信数据篡改”是经由网络机器篡改通信中的数据的攻击，且是针对信息的威胁。在“通信数据篡改”中，对象属性是“信息”，威胁级别被设定为“3”。

另外，图15所示的所设想的攻击部位的照相机、伺服被分类为“(2)来自现场器件的攻击”，作为具体的威胁，有“照相机劫持”、“图像非法篡改”、“伺服功能停止”、“伺服控制数据篡改”。“照相机劫持”是无操作权限的使用人员恶意操作照相机，是针对控制单元100的攻击，且是针对控制单元100的功能的威胁。因此，在“照相机劫持”中，对象属性是“功能”，威胁级别被设定为“3”。

“图像非法篡改”是对利用照相机拍摄的图像进行篡改的攻击，且是针对信息的威胁。在“图像非法篡改”中，对象属性是“信息”，威胁级别被设定为“1”。“伺服功能停止”是无操作权限的使用人员恶意停止伺服功能，不进行基于控制单元100的伺服控制的攻击，且是针对控制单元100的功能的威胁。因此，在“伺服功能停止”中，对象属性是“功能”，威胁级别被设定为“3”。“伺服控制数据篡改”是篡改伺服控制所需的数据的攻击，且是针对信息的威胁。在“伺服控制数据篡改”中，对象属性是“信息”，威胁级别被设定为“2”。

另外，在图10(b)所示的冲压装置的情况下，装置结构包括HMI、PLC、伺服。因此，威胁场景制作部632从威胁分析数据库6106中的各攻击部位的威胁列表取出针对HMI、PLC、伺服的保护资产预先确定的设想攻击部位的威胁列表并加以连结。图16是表示利用本实施方式的支持装置制作的威胁列表的另一例的图。在图16中示出图10(b)所示的冲压装置时的威胁列表(b)。在威胁列表(b)中保存有外部网络、非法机器连接、存储卡、维护PC、伺服的威胁、对象属性、威胁级别作为针对HMI、PLC、伺服的保护资产所设想的攻击部位。

在威胁列表(a)与威胁列表(b)中，由于在半导体制造装置与冲压装置中重要事项不同，因此即便是相同的威胁，所保存的威胁级别也不同。例如，在威胁列表(b)中，为了使装置确实地停止，针对存储卡、维护PC的威胁的威胁级别高达“5”(图16)。

返回至图14，威胁场景制作部632将在步骤S302中制作的威胁列表提示给用户(步骤S303)。威胁场景制作部632通过在步骤S303中提示的威胁列表来判定是否从用户获得确认(步骤S304)。在从用户获得确认的情况下(在步骤S304中为是(YES))，威胁场景制作部632通过所提示的威胁列表而完成制作(步骤S305)。在未从用户获得确认的情况下(在步骤S304中为否(NO))，威胁场景制作部632受理基于用户的威胁列表的修正(步骤S306)。威胁场景制作部632通过在步骤S306中修正过的威胁列表而完成制作(步骤S205)。

再者，说明了威胁列表针对如图15及图16所示那样设想的各攻击部位保存有威胁、对象属性、威胁级别。但是，保存于威胁列表中的信息并不限于此，例如也可为控制单元100或安保单元200的软件及硬件的版本信息。图17是表示利用本实施方式的支持装置制作的威胁列表的变形例的图。在图17所示的威胁列表(c)中，除威胁、对象属性、威胁级别的信息以外，还追加有控制单元100或安保单元200的软件及硬件的版本信息。控制单元100及安保单元200的安保的漏洞根据软件及硬件的版本信息而不同，因此需要根据版本信息而使威胁级别不同。

返回至图8，威胁场景制作部632在步骤S103中根据威胁列表与保护资产评价列表来制作威胁场景。威胁场景制作部632利用属性将威胁列表与保护资产评价列表链接而制作组合威胁场景。威胁场景将组合保护资产与威胁而成的各项目制成列表。经列表化的威胁场景以下也称为威胁场景列表。威胁场景制作部632算出针对所制作的威胁场景列表的各项目的风险值(步骤S104)。风险值是表示针对安保的威胁的风险的指标，例如，利用预先确定的试算方法，以威胁列表的威胁级别与保护资产评价列表的重要级别的积算来求出。

威胁场景制作部632判定所制作的威胁场景列表的风险值是否为用户设定的对策必要风险级别以上(步骤S105)。在风险值为对策必要风险级别以上的情况下(在步骤S105中为是(YES))，威胁场景制作部632对威胁场景列表的项目进行需要对策的设定(步骤S106)。另一方面，在风险值低于对策必要风险级别的情况下(在步骤S105中为否(NO))，威胁场景制作部632对威胁场景列表的项目进行无需对策的设定(步骤S107)。

威胁场景制作部632判定是否结束与所制作的威胁场景列表的所有风险值相关的是否需要对策的试算(步骤S108)。在与所有风险值相关的是否需要对策的试算未结束的情况下(在步骤S108中为否(NO))，威胁场景制作部632使处理返回至步骤S104。在与所有风险值相关的是否需要对策的试算结束的情况下(在步骤S108中为是(YES))，威胁场景制作部632以风险值从高到低的顺序、以是否需要对策的顺序对威胁场景列表进行项目的重排(步骤S109)。

关于利用步骤S103～步骤S109所制作的威胁场景列表，示出具体例来进行说明。图18是表示利用本实施方式的支持装置制作的威胁场景列表的一例的图。在图18所示的威胁场景列表中，将重要级别为“5”的装置功能的保护资产评价列表的项目与威胁级别为“5”的DoS攻击的项目积算所得的结果作为风险值而保存有“25”的值。针对所述威胁场景列表，将对策必要风险级别设为“15”以上，以风险值从高到低的顺序进行重排。将进行了重排的威胁场景列表示于图18的下侧。

接下来，对如下处理进行说明：对策制作部634根据利用威胁场景制作部632制作的威胁场景列表与对策数据库6108的对策(威胁对策列表)，来制作保存有针对控制器系统1的各个保护资产的对策的对策场景。返回至图9，首先，对策制作部634从对策数据库6108提取与威胁场景列表的各项目对应的对策(步骤S110)。从对策数据库6108提取的对策包括基于安保单元200的安保功能的对策及基于不使用所述安保功能的运用的对策。当然，在保存于对策数据库6108中的对策仅是基于安保单元200的安保功能的对策的情况下，所提取的对策也可仅是基于安保单元200的安保功能的对策。

对策制作部634判定是否设置了用于采取选自对策数据库6108的威胁对策列表中的基于安保功能的对策的、安保单元所需的版本以上的版本的安保单元200(步骤S111)。在为所需的版本以上的情况下(在步骤S111中为是(YES))，对策制作部634判定用于采取基于安保功能的对策的、安保单元所需的资源容量是否为安保单元200的资源容量以下(步骤S112)。

在所需的资源容量为安保单元200的资源容量以下的情况下(在步骤S112中为是(YES))，对策制作部634对威胁场景列表的项目设定基于所述安保功能的对策(步骤S113)。对策制作部634在对威胁场景列表的项目设定基于安保功能的对策的情况下，从安保单元200的资源容量中减去所设定的基于安保功能的对策的资源容量(步骤S114)。

在低于所需的版本的情况下(在步骤S111中为否(NO))，或者在所需的资源容量大于安保单元200的资源容量的情况下(在步骤S112中为否(NO))，对策制作部634对威胁场景列表的项目设定基于不使用安保功能的运用的对策(步骤S115)。

对策制作部634判定针对威胁场景列表的所有项目是否完成了对策的设定(步骤S116)。在针对所有项目未完成对策的设定的情况下(在步骤S116中为否(NO))，对策制作部634使处理返回至步骤S111。在针对所有项目完成了对策的设定的情况下(在步骤S116中为是(YES))，对策制作部634制作针对威胁场景列表的所有项目完成了对策的设定的对策场景。安保设定部636根据利用对策制作部634制作的对策场景，对安保单元200输出安保功能的设定数据(安保功能设定数据)(步骤S117)。在步骤S117中，对策结果输出部638将包含利用对策制作部634制作的对策场景的威胁分析结果作为威胁分析结果报告而输出给用户。

关于利用步骤S110～步骤S116所制作的对策场景，示出具体例来进行说明。图19是表示利用本实施方式的支持装置制作的对策场景的一例的图。图19所示的对策场景(b)中，对图18所示的威胁场景列表的各项目设定有从对策数据库6108的威胁对策列表(a)中选择的对策。在对策场景(b)中，除威胁场景列表的信息以外，还保存有对策、资源、效果威胁级别、对策后风险值的各信息。例如，在“装置功能”דDoS攻击”的项目中，保存有作为对策的“入侵探测系统(Intrusion Detection System，IDS)-隔离”、作为资源的“50”、作为效果威胁级别的“1”、作为对策后风险值的“5”。此处，“IDS-隔离”是通过安保单元200的安保功能之一的入侵探测系统来切断通信，而与其他设备隔离的对策。

在对策场景(b)中，根据风险值是否为对策必要风险级别的“10”以上来判定是否需要对策，假设装置版本为1.3且安保单元200的资源容量可搭载全部功能，对对策必要风险级别“10”以上的所有项目设定有对策。但是，实际上安保单元200的资源容量有限，根据所述资源容量而所选择的对策不同。图20是表示利用本实施方式的支持装置制作的资源容量为50时的对策场景的一例的图。图20所示的对策场景(c)中，装置版本为1.0且资源容量为50，因此与对策场景(b)不同，在“装置功能”דDoS攻击”的项目中保存有作为对策的“过滤”、作为资源的“10”、作为效果威胁级别的“2”、作为对策后风险值的“10”。在对策场景(c)中，在“用户程序”ד窃听”的项目中保存有作为对策的“加密”、作为资源的“20”、作为效果威胁级别的“2”、作为对策后风险值的“8”。

图21是表示利用本实施方式的支持装置制作的资源容量为100时的对策场景的一例的图。图21所示的对策场景(d)中，装置版本为1.2且资源容量为100，因此与对策场景(c)不同，在“装置功能”דDoS攻击”的项目中保存有作为对策的“IDS-隔离”、作为资源的“50”、作为效果威胁级别的“1”、作为对策后风险值的“5”。在对策场景(d)中，在“用户程序”ד窃听”的项目中保存有作为对策的“加密”、作为资源的“20”、作为效果威胁级别的“2”、作为对策后风险值的“8”。

图22是表示利用本实施方式的支持装置制作的资源容量为20时的对策场景的一例的图。图22所示的对策场景(e)中，装置版本为1.2且资源容量为20，因此与对策场景(b)不同，在“装置功能”דDoS攻击”的项目中保存有作为对策的“过滤”、作为资源的“10”、作为效果威胁级别的“2”、作为对策后风险值的“10”。进而，在对策场景(e)中，残留的资源容量少，因此在“用户程序”ד窃听”的项目中选择基于运用的对策而非基于安保功能的对策。在对策场景(e)中，在“用户程序”ד窃听”的项目中保存有作为对策的“有线通信/堵塞端口”、作为资源的“0”、作为效果威胁级别的“2”、作为对策后风险值的“8”。

基于安保单元200的安保功能的对策(例如，IDS-隔离、过滤等)使用安保单元200的资源，因此需要在资源容量内采取对策。另一方面，基于运用的对策(例如，有线通信/堵塞端口等)不使用安保单元200的资源，因此可不在意资源容量而采取对策。再者，在图19～图22所示的对策场景中，根据各项目的风险值是否为对策必要风险级别以上来判定是否需要对策，但也可与风险值无关地对所有项目设定对策。

接下来，关于利用步骤S117所制作的威胁分析结果报告，示出具体例来进行说明。图23是表示利用本实施方式的支持装置制作的威胁分析结果报告的一例的图。图23所示的威胁分析结果报告记载有装置结构图、攻击口及所设想的威胁一览，例如是向工厂的信息技术(Information Technology，IT)部门提出用的报告。在图23(a)中示出表示装置结构的图，在图23(b)中示出威胁场景列表，在图23(c)中示出对策场景。特别是，在图23(b)的威胁场景列表中，在于图23(a)中示出装置结构的图中标注有攻击口的编号，因此即便是具有安保知识的人员，也可容易地识别安保的威胁。

图24是表示利用本实施方式的支持装置制作的威胁分析结果报告的另一例的图。图24所示的威胁分析结果报告以易于理解的方式记载有基于运用的对策，例如是面向工厂的作业人员的报告。在图24(a)中示出在对策场景中附加有在安保单元200中使用的功能(安保功能)的信息的图，在图24(b)中示出基于运用的对策列表。特别是，在图24(b)中，可一览基于运用的对策，也详细记载有其实施内容。例如，“有线通信/堵塞端口”项目的实施内容记载为“进行使通信端口不可连接的锁闭”。另外，在基于运用的对策列表中，也明确记载有采取对策的部位(例如，PLC)。

接下来，对在图8及图9中所说明的处理中支持装置600的显示部(例如，液晶显示器(Liquid Crystal Display，LCD))中所显示的画面进行说明。图25是表示由本实施方式的支持装置显示的装置结构的信息的一例的图。在图25(a)中示出有用户选择装置类别(例如，半导体制造装置、冲压装置等)的画面的一例。在图25(b)中示出有装置类别为半导体制造装置时的装置结构图的一例。在支持装置600中，可通过图25(b)所示的画面向用户提示利用步骤S101的处理从控制器系统1获取的装置结构的信息及根据保护资产的信息而制作的装置配置。因此，用户可视觉掌握装置结构。

图26是表示由本实施方式的支持装置显示的保护资产评价列表的一例的图。在支持装置600中，可通过图26所示的画面向用户提示利用步骤S102的处理制作的保护资产评价列表。进而，支持装置600针对所显示的保护资产评价列表，可受理视需要的列表的追加、重要级别的编辑。

图27是表示由本实施方式的支持装置显示的威胁列表的一例的图。在支持装置600中，可通过图27所示的画面向用户提示利用步骤S103的处理制作的威胁列表。进而，支持装置600针对所显示的威胁列表，可受理视需要的列表的追加、威胁级别的编辑。

图28是表示由本实施方式的支持装置显示的风险值试算方法的设定的一例的图。在支持装置600中，可通过图28所示的画面向用户提示利用步骤S104的处理制作的威胁场景列表的风险值的试算方法的设定。在图28(a)中示出有用户选择试算风险值的方法(例如，重要度(重要级别)×威胁级别等)的画面的一例。在图28(b)中示出有设定以重要度(重要级别)×威胁级别试算风险值时的权重的画面的一例。此处，风险值不仅可将重要度(重要级别)与威胁级别单纯积算来求出，也可对各自的值设定权重进行积算来求出。例如，也可将威胁级别加倍来试算风险值。另外，作为其他试算方法，也可使用作为通常的威胁分析的风险评价方法的通用漏洞评价系统(Common Vulnerability Scoring System，CVSS)或汽车系统风险评价方法(Risk Scoring Methodology for Automotive system，RSMA)来试算风险值。

图29是表示由本实施方式的支持装置显示的威胁场景列表的一例的图。在支持装置600中，可通过图29所示的画面向用户提示利用步骤S109的处理制作的威胁场景列表。进而，支持装置600针对所显示的威胁场景列表，可受理对策必要风险级别。

图30是表示由本实施方式的支持装置显示的对策方针的选择的一例的图。在支持装置600中，可通过图30所示的画面向用户提示步骤S111～步骤S114的处理中的方针的设定(例如，默认值(Default)(MAX)设定等)。默认值(Default)(MAX)设定是以在安保单元200的资源容量的容许范围内成为最大的方式选择对策的设定。

图31是表示由本实施方式的支持装置显示的威胁对策列表的一例的图。在支持装置600中，可通过图31所示的画面向用户提示利用步骤S111～步骤S114的处理从对策数据库6108读取的威胁对策列表。进而，支持装置600针对所显示的威胁对策列表，可受理视需要的对策技术、资源等的编辑。

图32是表示由本实施方式的支持装置显示的对策场景的一例的图。在支持装置600中，可通过图32所示的画面向用户提示利用步骤S117的处理制作的对策场景。因此，在支持装置600中，可使用户确认所制作的对策场景。

图33是表示由本实施方式的支持装置显示的输出内容的选择的一例的图。在支持装置600中，可通过图33所示的画面向用户提示设定在步骤S117中输出的内容的画面。在支持装置600中，例如可设定为输出威胁分析结果报告、运用对策报告、单元设定数据。

＜E.附注＞

如上所述的本实施方式包含以下的技术思想。

[结构1]

一种控制系统，包括：

控制器系统(1)，对控制对象进行控制；及

支持装置(600)，对所述控制器系统(1)的设定进行支持；

所述控制器系统(1)包括：

控制单元(100)，执行用于对控制对象进行控制的控制运算；及

安保单元(200)，与所述控制单元(100)连接，负责针对所述控制器系统(1)的安保功能；

所述支持装置(600)包括：

系统结构输入部(630)，从所述控制器系统(1)获取装置结构及保护资产；

威胁分析数据库(6106)，预先保存有针对所述控制器系统(1)的保护资产的重要级别、针对安保的威胁的威胁级别；

威胁场景制作部(632)，与利用所述系统结构输入部(630)获取的装置结构及保护资产相应地，根据所述威胁分析数据库(6106)的重要级别及威胁级别来制作威胁场景；

对策数据库(6108)，预先保存有与安保的威胁相应的对策；

对策制作部(634)，根据利用所述威胁场景制作部(632)制作的所述威胁场景与所述对策数据库(6108)的对策，来制作保存有针对所述控制器系统(1)的各个保护资产的对策的对策场景；及

安保设定部(636)，根据利用所述对策制作部(634)制作的所述对策场景，对所述安保单元(200)输出安保功能的设定数据。

[结构2]

根据结构1所记载的控制系统，其中，所述支持装置(600)还包括对策结果输出部(638)，所述对策结果输出部(638)输出包含所述威胁场景及所述对策场景中的至少一种信息的对策报告。

[结构3]

根据结构1或结构2所记载的控制系统，其中，所述威胁分析数据库(6106)中的针对安保的威胁的威胁级别根据所述控制器系统(1)的装置类别而不同。

[结构4]

根据结构1至结构3中任一项所记载的控制系统，其中，所述威胁场景保存有针对所述控制器系统(1)的保护资产及安保的威胁的各个利用预先确定的方法试算所得的风险值。

[结构5]

根据结构4所记载的控制系统，其中，所述对策制作部(634)针对保存于所述威胁场景中的风险值为预先确定的值以上的所述控制器系统(1)的保护资产及安保的威胁的各个制作所述对策场景。

[结构6]

根据结构1至结构5中任一项所记载的控制系统，其中，所述对策数据库(6108)分别保存有基于所述安保单元(200)的安保功能的对策、基于不使用所述安保功能的运用的对策作为与安保的威胁相应的对策。

[结构7]

根据结构1至结构6中任一项所记载的控制系统，其中，所述对策制作部(634)根据所述控制器系统(1)的资源，来选择基于所述安保单元(200)的安保功能的对策而制作所述对策场景。

[结构8]

根据结构7所记载的控制系统，其中，所述对策制作部(634)根据构成所述控制器系统(1)的装置各自的软件及硬件的版本而选择的对策不同。

[结构9]

根据结构6至结构8中任一项所记载的控制系统，其中，所述对策制作部(634)在所述控制器系统(1)的资源不足的情况下，选择基于运用的对策来制作所述对策场景。

[结构10]

一种设定方法，对控制器系统(1)设定安保功能的设定数据，所述控制器系统(1)包括：控制单元(100)，执行用于对控制对象进行控制的控制运算；及安保单元(200)，与所述控制单元(100)连接，负责针对所述控制器系统(1)的安保功能；且所述控制器系统(1)的设定方法包括：

从所述控制器系统(1)获取装置结构及保护资产的步骤；

与所获取的装置结构及保护资产相应地，根据威胁分析数据库(6106)中预先保存的重要级别及威胁级别来制作威胁场景的步骤；

根据所制作的所述威胁场景与和对策数据库(6108)中预先保存的安保的威胁相应的对策，来制作保存有针对所述控制器系统(1)的各个保护资产的对策的对策场景的步骤；及

根据所制作的所述对策场景，对所述安保单元(200)输出安保功能的设定数据的步骤。

＜F.优点＞

根据本实施方式的控制系统，可利用支持装置来分析安保的威胁，并容易地采取针对所述威胁的对策。

应认为，此次公开的实施方式在所有方面为例示而非限制者。本发明的范围是由权利要求而非所述说明所示，且意图包含与权利要求均等的含义及范围内的所有变更。

符号的说明

1：控制器系统

10：控制系统

100：控制单元

102、202、302、602：处理器

104、204、304：芯片组

106、206、306：主存储装置

108、208、308：二次存储装置

110、210：通信控制器

112、212、620：USB控制器

114、214、314：存储卡接口

115、215、315：存储卡

116、118、120、216、218：网络控制器

122、322：内部总线控制器

124、224、324：指示器

142、144、242：通信端口

200：安保单元

300：安全单元

400：功能单元

450：电源单元

500：现场器件

600：支持装置

604：主存储器

606：输入部

608：输出部

610：贮存器

612：光学驱动器

614：记录介质

618：处理器总线

800：HMI

900：外部网络

6102：OS

6104：支持程序

6106：威胁分析数据库

6108：对策数据库