© 2016 IPA Software Reliability Enhancement Center

ET/IoT2016 ブースプレゼン

2016年11月16日、18日

独立行政法人情報処理推進機構（ＩＰＡ）

技術本部 ソフトウェア高信頼化センター（ＳＥＣ）

研究員 丸山 秀史

つながる世界のセーフティ＆セキュリティの実装～産業ロボット分野での障害波及防止技術の実証実験～

2© 2016 IPA Software Reliability Enhancement Center

目次

背景

実証実験を行うシステムの選定

想定する脅威と対策

実証実験の結果と評価

シミュレーターの導入

3© 2016 IPA Software Reliability Enhancement Center

IoT時代：様々なモノやサービスがつながる世界

医療・ヘルスケアネットワーク

ホームゲートウェイ

蓄電池・コジェネ

HEMSネットワーク

電力会社

省エネ制御家電・照明

EV/HV

スマートメータ

太陽光発電

HEMS端末

医療・ヘルスケア機器 ウェラブル機器

医療・ヘルスケア

サーバ

ロボット介護

ITS＆自動車安全機能の連携

テレマティクス端末、データレコーダ等

Newサービス

後付車載器

車載 ECU

車車間通信持込機器

ITS路側機

自動運転

４K・８Kコンテンツ

ホームサーバ

ネットワーク家電

HEMS関連企業

コンテンツ提供企業

医療機関・ヘルスケア企業

サービス提供サーバ（クラウド）

自動車メーカ・交通管制Convenience

お弁当セール

生活圏の公共エリアのネットワーク機器

ATM機器メーカ

遠隔監視・制御

オフィスエリアのネットワーク機器

MFP

出典：一般社団法人重要生活機器連携セキュリティ協議会 提言

AVネットワーク

4© 2016 IPA Software Reliability Enhancement Center

つながる世界では様々な課題が存在

異なる分野のサービスがつながる

サービス企業やユーザがモノをつなげられる

IoT技術は日進月歩

様々なモノがつながる

１つの製品の不具合による影響が拡大

相手の信頼性レベルが分からない

時間が経つにつれて安全安心が劣化

メーカが想像もしないつなぎ方、使い方も

つながる世界では、製品供給者が想定しない、把握できない課題が発生

つながる世界のリスクを認識し、安全・安心への対策が急務！

5© 2016 IPA Software Reliability Enhancement Center

つながる世界の開発指針を策定

つながる世界の開発指針の特徴

※本開発指針は、２０１６年３月２４日に公開http://www.ipa.go.jp/sec/reports/20160324.html

6© 2016 IPA Software Reliability Enhancement Center

つながる世界の開発指針の実装に向けて

大項目 指針

方針

つながる世界の安全安心に企業として取り組む

指針1 安全安心の基本方針を策定する

指針2 安全安心のための体制・人材を見直す

指針3 内部不正やミスに備える

分析

つながる世界のリスクを認識する

指針4 守るべきものを特定する

指針5 つながることによるリスクを想定する

指針6 つながりで波及するリスクを想定する

指針7 物理的なリスクを認識する

設計

守るべきものを守る設計を考える

指針8 個々でも全体でも守れる設計をする

指針9 つながる相手に迷惑をかけない設計をする

指針10 安全安心を実現する設計の整合性をとる

指針11 不特定の相手とつなげられても安全安心を確保できる設計をする

指針12 安全安心を実現する設計の検証・評価を行う

保守

市場に出た後も守る設計を考える

指針13 自身がどのような状態かを把握し、記録する機能を設ける

指針14 時間が経っても安全安心を維持する機能を設ける

運用

関係者と一緒に守る

指針15 出荷後もIoTリスクを把握し、情報発信する

指針16 出荷後の関係事業者に守ってもらいたいことを伝える

指針17 つながることによるリスクを一般利用者に知ってもらう

業界横断的な安全安心の取組みの方向性を示している（遵守基準ではない）

つながる世界の開発指針 指針を裏付ける技術の実装一般的な技術が確立していないと思われる指針９と指針１１に重点化して実証

異常な状態の早期検知と早期対処のための対策の実装例を示す。

機器の信頼性を表す情報群の適用方式とその内容の確認方法の実装例を示す。

指針9 つながる相手に迷惑をかけない設計をする

指針11 不特定の相手とつなげられても安全安心を確保できる設計をする

本プレゼンテーションでは、上記指針9の対策について紹介

7© 2016 IPA Software Reliability Enhancement Center

目次

背景

実証実験を行うシステムの選定

想定する脅威と対策

実証実験の結果と評価

シミュレーターの導入

8© 2016 IPA Software Reliability Enhancement Center

実証実験システムの選定

IoTリスクへの対策の必要性が増大

ORiN協議会、機械振興協会と共同でFA システムを使って対策技術を実証

IoTはFA（Factory Automation)システム分野でも拡大

従来：閉じたFAシステム統合制御ファーム更新

・・・

情報共有機能連携

標準インタフェースミドルウェア（ORiN等）

標準インタフェースミドルウェア（ORiN等）

標準インタフェースミドルウェア（ORiN等）

Industrie 4.0 等・・・

IoT時代統合制御ファーム更新

・・・

9© 2016 IPA Software Reliability Enhancement Center

ORiN概要

出典：ORiN協議会ホームページ http://www.orin.jp/

10© 2016 IPA Software Reliability Enhancement Center

指示パラメーター

実証実験で用いた仮想システムの概要

産業用ロボット（単軸）

産業用ロボット（６軸）

NC装置（工作機械）

セルコントロールPC

① 前工程からの製造物の移動

② 製造物をNCの正確な位置に設置

③ 製造物を加工

④ 加工した製造物を単軸ロボットへ移動

⑤ 製造物を次工程の場所へ移動

指示パラメーター指示パラメーター

11© 2016 IPA Software Reliability Enhancement Center

目次

背景

実証実験を行うシステムの選定

想定する脅威と対策

実証実験の結果と評価

シミュレーターの導入

12© 2016 IPA Software Reliability Enhancement Center

脅威 ： FAシステムに対するサイバー攻撃

製造物の破損

近接した機器との衝突

近接した機器との衝突

セルコントロールPC

攻撃 ： ロボットに渡す指示パラメーターを改竄

ロボットの異常な動作の影響が波及近接した他の機器との衝突製造物の落下、破壊

設備の復旧、システムの復旧・再稼働による保守費用増加FAシステム稼働率低下・生産量低下

指示パラメーター

例えば、指示パラメーターに誤った値が設定されると・・・

誤った値

FAシステムセルコントロールＰＣへの攻撃（サイバー攻撃の対象となりやすい）・ 内部犯行によるプログラムやデータの改竄・ マルウェアによるメモリ上、媒体上のデータの改竄

FAシステムのIoT化によりこれらの攻撃の可能性が増加

13© 2016 IPA Software Reliability Enhancement Center

指示パラメーター

対策 ： 異常の早期検知と早期対処

開発指針の指針８では守るべきものを防御する対策の必要性を提示

本実証実験では、守るべきものが攻撃をうけてしまった場合に備え、開発指針の指針９で示している異常の早期検知と早期対処を、入手可能な技術で実装することが可能であることを実証

誤った値

製造物の破損

近接した機器との衝突

近接した機器との衝突

セルコントロールPC

監視用PC

指示パラメーター監視

停止指示

攻撃時間と共にバリェーション増加・高度化

防御

防御しきれない可能性

異常の早期検知

早期対処

FAシステム

14© 2016 IPA Software Reliability Enhancement Center

異常検知の手法

運用前準備

システムの正常時の動作での

指示パラメーターのリストを正解

値として保持

運用時

既存システムに指示パラメーターを監視する機能を追加。

監視機能では、機器が受け付けた指示パラメーターを適切

な時間間隔で監視し、運用前準備で保持しておいた正解値

と比較する。監視した指示パラメーターが正解値の中にな

ければ異常と認識し、コンソールにアラートを出力してロボ

ットを安全に停止する。

比較的簡易な技術を使って対策を実装

実証実験システムで想定したシステムの特徴

機器は製造物の種類毎に、セル（工程）の単位で必ず同じ動作をするように指示

され、一連の指示パラメーターの並びが一定周期で繰り返す。

15© 2016 IPA Software Reliability Enhancement Center

異常の検知と波及防止の実装 ～早期検知・早期対処～

フェーズ１ ： 前もって正しい指示パラメーターのパターンを比較用ログファイルに格納

フェーズ２ ： 監視用PCがロボットが実行直前の指示パラメーターの値をロボットコントローラーから取得し、比較用ログファイルの中の指示パラメーターの値と比較

正常に動作しているときにロボットが実行した指示パラメーターのリストを比較用ログファイルに格納しておく

ロボットが異常な値の指示パラメーターを受信した場合でも、それを十分に早く検知して、他の機器との衝突や製造物の破損につながる前にロボットを停止する

ロボット

セルコントロールＰＣ 監視用ＰＣ

実行対象指示パラメーター

ORiN 実証実験アプリ

システム停止要求

取得した指示パラメーター格納域

セルコントロールアプリ 比較用ログファイル指示パラメーターのサンプリング ORiN

XXXX, XXXX, XXXX↓

YYYY, YYYY, YYYY↓

指示パラメーターの送信

XXXX, XXXX, XXXX

XXXX, XXXX, XXXX

XXXX, XXXX, XXXXXXXX, XXXX, XXXX

フェーズ２：十分に短い時間間隔で実行直前の指示パラメーターを監視

指示パラメーターのチェック

フェーズ１で作成

16© 2016 IPA Software Reliability Enhancement Center

目次

背景

実証実験を行うシステムの選定

想定する脅威と対策の実証実験

実証実験の結果と評価

シミュレーターの導入

17© 2016 IPA Software Reliability Enhancement Center

実機環境での実証実験

実験の目的開発指針のリスク対応策として考えられる技術項目のうち、一般的な技術が確立していないもの（障害の波及防止の対策等）について検証し、指針の実装可能性と効果を実証

実施体制

• IPA ： 実証実験の仕様決定、評価と報告書作成• ORiN協議会 ： ソフトウェア（ORiN）への実験機能の追加• 機械振興協会 ： 実験環境の提供（技術研究所（東久留米））

写真 実験環境確認できたこと

１．異常の波及防止のための早期検知、早期対処の対策の有効性２．実証実験での対策のコストパフォーマンスの面での有効性

18© 2016 IPA Software Reliability Enhancement Center

実証実験の実施 （動画１）

19© 2016 IPA Software Reliability Enhancement Center

実証実験の実施 （動画２）

20© 2016 IPA Software Reliability Enhancement Center

異常の早期検知と波及防止の評価

異常の検知と波及防止の効果

異常の検知と波及防止による影響

ロボットコントローラー、セルコントロールPC、監視用PCでは、監視機能の追加による負荷の上昇が非常に小さいことを確認

CPU負荷ページファイル使用量ネットワーク負荷

ロボットアームの動作速度を考慮して、十分に早く異常を検知し、異常な動作による影響が発生する前にロボットを停止できることを確認

指示パラメーターの異常を早期に検知してロボットが異常な動作をする前に安全に停止

本来機能に影響しない程度の負荷で指示パラメーターを監視

つながる世界の開発指針実証実験報告書を以下 url で公開中https://www.ipa.go.jp/sec/reports/20160511_3.html

21© 2016 IPA Software Reliability Enhancement Center

他の異常検知の方式との比較

他の方式の例 ： センサーを使った方式（ライトカーテン等）ロボットアームや外からの物体が進入してはいけない範囲をセンサーにより監視し、進入を検知したらロボットを停止

センサーを使った方式の費用はロボットの台数に依存して増加実証実験の方式は、費用はロボットの台数に依存せず → 対策によるコスト増加を低くおさえる

センサーを使った方式はロボットの一部が進入禁止領域にはいったとき、並びに外部から他の物体や人が進入禁止領域にはいったときに異常として検知実証実験の異常検知は指示パラメーターの値の正誤を正確に識別 → より多くの動作異常を検知

現在利用されているセンサーを使った方式（ライトカーテン等）に加えて、実証実験で示した方式を適用することにより、ロボットのより多くの動作の異常を検知して対処することが可能

つながる世界の開発指針実証実験報告書を以下 url で公開中https://www.ipa.go.jp/sec/reports/20160511_3.html

22© 2016 IPA Software Reliability Enhancement Center

目次

背景

実証実験を行うシステムの選定

想定する脅威と対策

実証実験の結果と評価

シミュレーターの導入

23© 2016 IPA Software Reliability Enhancement Center

シミュレーターを使った実証実験システム

シミュレーターを使った実証実験システムの目的・ 実機のない（PCのみの）環境で実験が可能・ 実機環境ではできない脅威（実機の破損を伴う等）の影響と対策の検証・ まだ世の中に出ていないが実用化されつつある方式を使った対策の効果の見える化

シミュレーターを使った実験システムの動作

*) 出展 シミュレーター（富士通製VPS） : デジタルプロセス株式会社エミュレーター : 株式会社デンソーウェーブ６軸ロボットの3Dデータ : 株式会社デンソーウェーブNC装置の3Dデータ : 一般財団法人 機械振興協会、ファナック株式会社単軸ロボットの3Dデータ : ヤマハ発動機株式会社

エミュレーター

ORiN

セルコントロールアプリ

指示パラメーター

ロボットの動作を正確にエミュレート

3D画像で見える化

セルコントロールPC

ロボットの動作を示すデータ

エミュレーターPC （ロボットのエミュレート）

ORiN

シミュレーターPC

シミュレーター

ORiN

アプリケーションは実機と全く同じ

設備の位置、ロボットの動作を画像で正確に再現

24© 2016 IPA Software Reliability Enhancement Center

機器の破損を伴う異常と対策をシミュレーターで再現

25© 2016 IPA Software Reliability Enhancement Center

まとめ

本実証実験では、FAシステムのIoT化の流れを見据え、FA機器の接続性を拡大する技術であるORiNを使ったシステムを想定し、このタイプのシステムにおいて、はじめてセーフティのためのセキュリティの対策を実装した。

この環境で、「つながる世界の開発指針」の一部（指針９：異常の早期検知と早期対処）について利用可能な技術で実装し、その効果を実証した。

（既存システムの機能に簡易な対処を追加することにより、機器を動作させるための指示パラメー

ターが改竄される攻撃を受けたときでも、その影響が設備や製造物に及ぶ前に異常を検知して対

処できることを実証した。）

本年度は、シミュレーターを使った実験システムを構築し、実機環境で行える検証内容に加えて、実機環境では発生させることができない異常において、対策の有効性を検証することに利用できることを確認した。

26© 2016 IPA Software Reliability Enhancement Center

ご清聴ありがとうございました。