つながる世界の障害波及防止技術の一例

～産業ロボットにおけるデータ異常早期発見の実証実験～

第１３回情報セキュリティEXPO[春]

2016年5月1１日

独立行政法人情報処理推進機構（IPA)

技術本部ソフトウェア高信頼化センター（SEC)

研究員 丸山 秀史

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の概要

つながる世界の開発指針大項目 指針

方針

つながる世界の安全安心に企業として取り組む

指針1 安全安心の基本方針を策定する

指針2 安全安心のための体制・人材を見直す

指針3 内部不正やミスに備える

分析

つながる世界のリスクを認識する

指針4 守るべきものを特定する

指針5 つながることによるリスクを想定する

指針6 つながりで波及するリスクを想定する

指針7 物理的なリスクを認識する

設計

守るべきものを守る設計を考える

指針8 個々でも全体でも守れる設計をする

指針9 つながる相手に迷惑をかけない設計をする

指針10 安全安心を実現する設計の整合性をとる

指針11 不特定の相手とつなげられても安全安心を確保できる設計をする

指針12 安全安心を実現する設計の検証・評価を行う

保守

市場に出た後も守る設計を考える

指針13 自身がどのような状態かを把握し、記録する機能を設ける

指針14 時間が経っても安全安心を維持する機能を設ける

運用

関係者と一緒に守る

指針15 出荷後もIoTリスクを把握し、情報発信する

指針16 出荷後の関係事業者に守ってもらいたいことを伝える

指針17 つながることによるリスクを一般利用者に知ってもらう

業界横断的な安全安心の取組みの方向性を示している（遵守基準ではない）

実績が少なく一般的な技術が確立していない対策のうち指針９を事例として対策技術を検討

ORiN協議会、機械振興協会とFA*システムを使って対策技術を実証FA* : Factory Automation

実証実験では、指針９に加えて指針11も対策を実装し評価したが、本プレゼンでは指針９の実装についてのみ紹介する。

2

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の体制と役割

団体 役割

独立行政法人情報処理推進機構

代表窓口

実証実験の仕様決定、評価と報告書作成実証実験のテーマ選定実証実験システムの仕様とシナリオの作成実証実験の評価と報告書作成

ORiN協議会ORiNを使った実験システムへの実験機能の追加

実証実験用プログラムをORiNの機能を使って開発実証実験システムの運用・調整

一般財団法人 機械振興協会実験環境・設備の調整：

機械振興協会 技術研究所（東久留米）実験内容・方法への提案

ORiN協議会、機械振興協会と協議し、実験システムの環境を整備

3

Copyright © 2016 独立行政法人情報処理推進機構

ORiN概要 ORiN協議会ホームページより http://www.orin.jp/

4

Copyright © 2016 独立行政法人情報処理推進機構

実験システムの動作概要

産業用ロボット（単軸）

産業用ロボット（６軸）

NC

セルコントロールPC

① 前工程からの製造物の移動 ② 製造物をNCの正確な位置に設置

③ 製造物を加工

④ 加工した製造物を単軸ロボットへ移動⑤ 製造物を次工程の場所へ移動

① 単軸ロボットが前工程が終わった製造物を六軸ロボットまで移動する。② 移動されてきた製造物をNCで加工するために、六軸ロボットが単軸ロボットのスライダー上の製造物をつかみ、

NCの正確な位置に移動する。③ NCで製造物の立体加工を行う。④ 立体加工が完了した製造物を次工程に移動するために、六軸ロボットが製造物をつかみ、単軸ロボットのスライダ－上に置く。

⑤ 単軸ロボットが製造物を次工程の場所に移動する。

5

Copyright © 2016 独立行政法人情報処理推進機構

想定する異常発生のリスク

FAシステムでは、ロボットやNCでの異常の動作の影響が、製造物の破損等を通じて他の機器に波及する場合がある

指示パラメーター

誤った値

指示パラメーターに誤った値が設定されると・・・

製造物の破損

近接した機器との不整合

近接した機器との不整合

ロボットに渡す指示パラメーターの内容・処理・運用の複雑化

アプリミス、運用ミス、ウィルスによりロボットに渡す指示パラメーターの異常発生のリスクが増加

・機器間の動作の不整合によるシステム停止・機器の想定外の動作による製造物破損、不良品の製造

ロボットの指示パラメーターの早期検知・早期対応の対処が必要

6

Copyright © 2016 独立行政法人情報処理推進機構

異常検知の手法

実証実験システムでの指示パラメーターの特徴

機器は製造物の種類毎に、セル（工程）の単位で必ず同じ動作をするように指示

される。

一連の指示パラメーターの並びが一定周期で繰り返す。

指示パラメーターの検査方法

① 指示パラメーターの正しい値のパターンを前もって記録しておく。

② 機器が受け付けた指示パラメーターを適切な時間間隔で監視する。

採取した指示パラメーターが①で記録したパターンに存在しなければ異常と認識

し、コンソールにアラートを出力してロボットを安全に停止する。

7

Copyright © 2016 独立行政法人情報処理推進機構

正しい指示パラメーターのパターン

機器毎の正しい指示パラメーターのパターン（製造物１を加工するケース）

機器 正しい指示パラメーター

単軸ロボット 1-1-1 1-1-2

機器 正しい指示パラメーター

六軸ロボット 2-1-1 2-1-2

機器 正しい指示パラメーター

NCの指示パラメーター 3-1-1

指示パラメーターの番号 X-Y-Z

X 機器の種別

１ ： 単軸ロボット

２ ： 六軸ロボット

３ ： NC

Y 製造物の種別

１ ： 製造物１

２ ： 製造物２

Ｚ 機器内での指示パラメーターの順番

１ ： １番目

２ ： ２番目

実験システムでは、製造物毎に各機器での指示パラメーターの正しい値のパターンが決まっている。

機器毎の正しい指示パラメーターのパターン（製造物２を加工するケース）

機器 正しい指示パラメーター

単軸ロボット 1-2-1 1-2-2

機器 正しい指示パラメーター

六軸ロボット 2-2-1 2-2-2

機器 正しい指示パラメーター

NCの指示パラメーター 3-2-1

8

Copyright © 2016 独立行政法人情報処理推進機構

指示パラメーターの検査の方式

機器毎に、指示パラメーターが正しい値の組に入っているかを確認する手法

実証実験では、六軸ロボット（以降「ロボット」）の指示パラメーターの値が正しい値のパターンの中に入っているかを確認し、入っていなければ異常と認識してロボットを安全に停止する

機器 製造物 確認方法

単軸ロボット 製造物１の場合 指示パラメーターが 1-1-1, 1-1-2 の中になければ異常

製造物２の場合 指示パラメーターが 1-2-1, 1-2-2 の中になければ異常

六軸ロボット 製造物１の場合 指示パラメーターが 2-1-1, 2-1-2 の中になければ異常

製造物２の場合 指示パラメーターが 2-2-1, 2-2-2 の中になければ異常

NC 製造物１の場合 指示パラメーターが 3-1-1 でなければ異常

製造物２の場合 指示パラメーターが 3-2-1 でなければ異常

9

Copyright © 2016 独立行政法人情報処理推進機構

異常の検知と波及防止の実装方式

産業用ロボット コントローラ

セルコントロールＰＣ

産業用ロボットプロバイダ

監視用ＰＣ

XXXX, XXXX, XXXX↓

YYYY, YYYY, YYYY↓

ZZZZ, ZZZZ, ZZZZ

ORiN

非同期で座標値のサンプリング

指示パラメーター

ORiN (CAO SQL)

実証実験アプリ（監視用）

動作指示パラメーターチェック

実証実験アプリ（ログ作成用）

ORiN(CAO)

ORiN (CAO SQL)プロバイダ

確認用指示パラメーター

システム制御アプリ

指示パラメーター値比較

システム停止要求

システム停止

XXXX, XXXX, XXXX

XXXX, XXXX, XXXX

異常

指示パラメーター格納域

CaoSQLController

セルコントロールアプリ

L-1

D-2D-1

外部からは参照のみ可能な領域

ORiNを使ったアプリケーションプログラム、機器毎のプロバイダ

ORiNのライブラリ 実証実験で開発したプログラム

凡例

L-2

D-3

比較用ログファイル（正常時の指示パラメーターリスト）

比較用ログファイル生成 L-1 ロボット内部から指示パラメーターを取得 L-2 取得した指示パラメーターを比較用ログファイルに格納

ロボットの監視 D-1 ロボット内部から指示パラメーターを取得 D-2 取得した指示パラメーターを比較用ロフファイルの値を比較

D-3 指示パラメーターが比較用ログファイルになければ異常と認識。コンソールにアラートを表示し、ロボットを安全に停止する。

10

指示パラメーター

ロボットコントローラ内部の領域に渡った指示パラメーターを参照のみ可能なインタフェースにより参照

ＰＣと較べて改竄される可能性がほとんどなく、最も安全に確認することが可能

Copyright © 2016 独立行政法人情報処理推進機構

実装方式の性能設計

産業用ロボットコントローラ

セルコントロールＰＣ

産業用ロボットプロバイダ

システム制御ＰＣ

比較用ログファイル（正常時の指示パラメタリスト）

ORiN

非同期でサンプリング

動作指示パラメタ

ORiN (CAO SQL)

実証実験アプリ（監視用）

動作指示パラメタチェック

ORiN(CAO)

ORiN (CAO SQL)プロバイダ

システム制御アプリ

動作指示パラメタ値比較

システム停止要求

システム停止

異常指示パラメタ格納域

CaoSQLController

セルコントロールアプリ

XXXX, XXXX, XXXX↓

YYYY, YYYY, YYYY↓

ZZZZ, ZZZZ, ZZZZ

ロボットの動作速度約40 cm / sec

動作データ参照機能

ORiNのサンプリング機能での指定間隔

25 m sec

XXXX, XXXX, XXXX

実証実験アプリのサンプリング間隔200 m sec

ロボットのアームの移動距離は最短でも10 cm 以上あると想定。監視プログラムからロボットへの指示パラメタを200 m sec 間隔で監視すれば、10 cm 動作する前に停止することが可能、と推定。

11

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の手順

・・・

座標値・・・

正常時の動作確認比較用ログ準備

正常ログ

比較用ログファイルを準備（正常時の指示パラメーター）

監視機能を起動せずに異常状態を発生させる

指示パラメーター

異常

指示パラメーターを異常な値に更新

正常ログ

比較用ログと比較し該当する指示パラメーターがなければ異常と認識。アラートを表示しシステムを停止

監視機能を起動してから異常状態を発生させる

指示パラメーター

・・・ 安全に停止

異常な動作により製造物を落下

セルコントロールPC

監視用PC

12

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の実施 正常時動作・比較用ログファイル生成

13

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の実施 対策前と対策後

14

Copyright © 2016 独立行政法人情報処理推進機構

実証実験の結果

ロボットが受信した指示パラメーターのリスト（空間座標とアームの角度を示すデータ）

異常な指示パラメーターを渡され、予定外の場所に製造物を落下させてしまう

実証実験アプリ（監視用）からの指示により動作停止。

異常検出直前の指示パラメーター

異常検出のアラート と異常検出時の指示パラメーター

15

Copyright © 2016 独立行政法人情報処理推進機構

評価

異常の検知と波及防止の効果

異常の検知と波及防止の負荷

セルコントロールPCでは、CPU負荷が5%上昇ページファイル使用量、ネットワーク負荷は非常に小さい（監視用PCでは実証実験アプリの負荷が非常に小さかった）

ロボットアームの動作速度は MAX 40 cm/sec200 mm sec間隔での監視では、計算上は 8cm 以内でロボットを停止することが可能実測では、異常検知時に１cm から 2cm 動作して停止成功率は １０回／１０回

＊ PCの仕様CPU Intel® Celeron® M CPU 410 @ 1.46GHz RAM 1.99GB 物理アドレス拡張OＳ Microsoft Windows XP Professional Version 2002 Service Pack 3

指示パラメーターの異常を検知してロボットが異常な動作をする前に安全に停止

本来機能に影響しない程度の負荷で指示パラメーターを監視

CPU使用率 ページファイル使用量 ネットワーク負荷率セルコントロールアプリ起動中（監視機能なし）

88 % 0 KB 0.13～0.2 Mbyte / sec

セルコントロールアプリ起動中（監視機能あり）

93 % 0 KB 0.13～0.2 Mbyte / sec

16

Copyright © 2016 独立行政法人情報処理推進機構

考察（課題）

異常の監視対象の拡大

今回の実証実験の方式 ： 機器毎に、指示パラメーターが正しい値の組に入っているかを確認する

・ 機器毎に、指示パラメーターが正しい順番で指定されているかを確認する

・ 機器に跨って指示パラメーターの順番が正しいか確認する

*1) Hash based Message Authentication Code

*2) 一般にプログラムの難読化、プログラム内データの秘匿（暗号化）、プログラムの改竄チェック等

以下の方式を組み合わせることにより、より効果的な異常検知が可能になると推測

（負荷上昇の影響は考慮が必要）

監視対象データの信頼性保証

ロボットコントローラ内部の指示パラメーターは信頼性がほぼ保証されるが、それを参照するプログラムはセル

コントローラＰＣ並びに監視用ＰＣ上で動作し、悪意をもった第三者に攻撃を受ける可能性はある。

・ PCのメモリ上に展開された監視対象データの改竄

・ ＰＣ上の監視制御プログラムの異常検知処理の改竄、処理結果の改竄

上記攻撃への対処の例を以下に示す。

・ 監視対象データの電子署名あるいはHMAC *1) を適用した改竄チェック

・ ＰＣ上で動作するセルコントローラアプリ、監視制御プログラムの耐タンパー性の強化 *2)

17

Copyright © 2016 独立行政法人情報処理推進機構

まとめ

実証実験のまとめ

・ FAシステムで想定されるリスクへの対策として「つながる世界の開発指針」の

[指針９]を適用し、指示パラメーターを監視する対策技術の実現性と有効性を示した。

・ 実証実験での対策技術の負荷が実際のシステムでの性能要件やインタフェース要

件に耐えるものであることを示した。

・ 今後検討が必要な課題は以下である。

監視範囲の拡大による効果の改善

より高度な攻撃への対策

今後の活動

・ FA以外の分野でも対策の実証実験を計画。

・ 異分野間での機器連携の実証実験を計画。

18

Copyright © 2016 独立行政法人情報処理推進機構

新試験はじまる！

情報セキュリティマネジメント試験

◆28年度秋期試験実施時期◆

・実施日 2016年10月16日（日）

・申込受付 2016年7月11日（月）から

・個人情報を扱う全ての方・業務部門・管理部門で情報管理を担当する全ての方

◆受験をお勧めする方◆

初回応募者約2万3千人！！

情報セキュリティの基礎知識から管理能力まで、

組織の情報セキュリティ確保に貢献し、脅威から

継続的に組織を守るための基本的スキルを認定する試験

19

「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html

21