[go: up one dir, main page]

JP7266925B1 - 診断装置及び診断方法 - Google Patents

診断装置及び診断方法 Download PDF

Info

Publication number
JP7266925B1
JP7266925B1 JP2022147446A JP2022147446A JP7266925B1 JP 7266925 B1 JP7266925 B1 JP 7266925B1 JP 2022147446 A JP2022147446 A JP 2022147446A JP 2022147446 A JP2022147446 A JP 2022147446A JP 7266925 B1 JP7266925 B1 JP 7266925B1
Authority
JP
Japan
Prior art keywords
configuration information
read
authentication
communication control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022147446A
Other languages
English (en)
Other versions
JP2024042610A (ja
Inventor
賢一 森本
Original Assignee
株式会社産業セキュリティ構築
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社産業セキュリティ構築 filed Critical 株式会社産業セキュリティ構築
Priority to JP2022147446A priority Critical patent/JP7266925B1/ja
Priority to PCT/JP2022/044056 priority patent/WO2024057557A1/ja
Priority to CN202280006885.9A priority patent/CN116964991A/zh
Priority to EP22871108.1A priority patent/EP4362413A1/en
Priority to US18/247,380 priority patent/US20240372851A1/en
Application granted granted Critical
Publication of JP7266925B1 publication Critical patent/JP7266925B1/ja
Publication of JP2024042610A publication Critical patent/JP2024042610A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークシステムの運用に用いる情報の意図しない変更を早期に検出することができる診断装置及び診断方法を提供する。【解決手段】診断装置12は、通信制御機器27に設定された構成情報53を通信制御機器27から定期的に読み出し、過去の構成情報を予め元の構成情報52、54として記憶しているネットワークシステム内の記憶先42、50から元の構成情報52、54を読み出し、通信制御機器27から定期的に読み出した構成情報53と、記憶先42、50から読み出した元の構成情報52、54とを定期的に比較し、通信制御機器27から読み出した現在の構成情報53が、元の構成情報52、54と不一致の場合には、管理者に対して不一致である旨を通報する。【選択図】図2

Description

本発明は、診断装置及び診断方法に関する。
一般に、ネットワーク内のセキュリティを確保するために、外部のネットワークとの接続部にファイアーウォール等の障壁となる通信制御機器が設けられている。ファイアーウォールについては、近年の情報通信技術の進化に伴って、高いセキュリティを確保するための種々の方法が検討されている。
例えば、特許文献1には、ネットワークの内部にあるサーバ装置に対して、ネットワーク外にある情報通信端末からサーバ名を特定したアクセス要求があった場合には、動的にサーバのアドレスを付与するとともに、サーバ装置及び情報通信端末のアドレスを記録するアクセスコントロールリストを動的に生成することで、セキュリティ性能を高める技術が開示されている。
特開2009-272659号公報
近年、プラント、インフラ、及び、生産工場などにおいて、設備等のハードウェアの稼働状態を集約し運用や保守の効率化に役立てるため、従来は設備毎に設けられていた制御ネットワークを横断的に接続し、1つのより広域なネットワークを構成することが行われている。このようなネットワークは、設備の直接的な監視操作や制御に用いられるネットワークと区別するために、OT(Operational Technology)ネットワークと称される場合がある。
OTネットワークは、制御ネットワークの外乱となったり、制御コンピュータの不正操作をされたりしないように、ネットワークの各所に障壁を設けることで、階層的かつ設備の重要度や機能ごとに分離するセキュリティ設計が行われている。このようなセキュリティの実現アプローチは、多層防御(Defense in depth)と称されている。
ネットワークの各所に設けられた障壁などの通信制御機器の内部にある設定情報(以下これを構成情報という)は、各ネットワークにおけるセキュリティを確保するためには重要であるため、意図しない変更がなされたことが検知できるように、通信制御機器自らが構成情報が変化した際に管理者に通知したり、変更の履歴を不揮発性メモリに保管するなどし、定期的な管理者の検査において、不必要な改ざんがないか確認することが一般的である。
このように通信制御機器は高いセキュリティが担保された状態で記録、運用される必要があるが、通信制御機器を改ざんすることができる悪意のある操作者やウイルスなどの不適切なプログラムにとっては、そのような通知機能や変更履歴の記録を停止したり、記録そのものを削除することは容易である。そのため、ネットワークシステムにおいては、機器そのものの機能や健全性に依存しない手段により、機器に用いられる情報の意図しない変更を検知する方法が求められている。
本発明は、このような課題を解決するためになされたものであり、ネットワークシステムの運用に用いる情報の意図しない変更を早期に検出することができる診断装置及び診断方法を提供することを目的とする。
本願発明の一態様の診断装置は、複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した構成情報に沿って動作して通信経路における通信を制御する通信制御機器と、を有したネットワークシステムに設けられ、通信制御機器に設定された構成情報の診断を行う。診断装置は、通信制御機器に設定された構成情報を通信制御機器から定期的に読み出し、過去の構成情報を予め元の構成情報として記憶しているネットワークシステム内の記憶先から元の構成情報を読み出し、通信制御機器から定期的に読み出した構成情報と、記憶先から読み出した元の構成情報とを定期的に比較し、通信制御機器から読み出した現在の構成情報が、元の構成情報と不一致の場合には、管理者に対して不一致である旨を通報する。
本願発明の一態様の診断装置は、複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した認証情報に基づいて、ネットワークに設けられた機器への管理者のログインを認証する認証機器と、を有したネットワークシステムに設けられ、認証機器に設定された認証情報の診断を行う。診断装置は、認証機器に設定された認証情報を認証機器から定期的に読み出し、過去の認証情報を予め元の認証情報として記憶しているネットワークシステム内の記憶先から元の認証情報を読み出し、認証機器から定期的に読み出した認証情報と、記憶先から読み出した元の認証情報とを定期的に比較し、認証機器から読み出した現在の認証情報が、元の認証情報と不一致の場合には、管理者に対して不一致である旨を通報する。
本願発明の一態様の診断方法は、複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した構成情報に沿って動作して通信経路における通信を制御する通信制御機器と、を有するネットワークシステムに設けられた診断装置によって、通信制御機器に設定された構成情報の診断を行う。この診断方法においては、診断装置によって、通信制御機器に設定された構成情報を通信制御機器から定期的に読み出し、過去の構成情報を予め元の構成情報として記憶しているネットワークシステム内の記憶先から元の構成情報を読み出し、通信制御機器から定期的に読み出した構成情報と、記憶先から読み出した元の構成情報とを定期的に比較し、通信制御機器から読み出した現在の構成情報が、元の構成情報と不一致の場合には、管理者に対して不一致である旨を通報する。
本願発明の一態様の診断方法は、複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した認証情報に基づいて、ネットワークに設けられた機器への管理者のログインを認証する認証機器と、を有するネットワークシステムに設けられた診断装置によって、認証機器に設定された認証情報の診断を行う。この診断方法においては、診断装置によって、認証機器に設定された認証情報を認証機器から定期的に読み出し、過去の認証情報を予め元の認証情報として記憶しているネットワークシステム内の記憶先から元の認証情報を読み出し、認証機器から定期的に読み出した認証情報と、記憶先から読み出した元の認証情報とを定期的に比較し、認証機器から読み出した現在の認証情報が、元の認証情報と不一致の場合には、管理者に対して不一致である旨を通報する。
本願発明の一態様の診断装置及び診断方法によれば、通信制御機器に設定されている現在の構成情報と、記憶先の元の構成情報とを読み出し、両者を比較して、両者が不一致の場合には、通信制御機器の管理者に対してその不一致を通報する。そのため、通信制御機器そのものの機能や健全性に依存せずに、構成情報に改ざん等の意図しない変更があっても、その構成情報の意図しない変更を早期に検出することが可能になる。
本願発明の一態様の診断装置及び診断方法によれば、認証機器に設定されている現在の認証情報と、記憶先の元の認証情報とを読み出し、両者を比較して、両者が不一致の場合には、管理者に対してその不一致を通報する。そのため、認証機器そのものの機能や健全性に依存せずに、認証情報に改ざん等の意図しない変更があっても、その認証情報の意図しない変更を早期に検出することが可能になる。
第1実施形態におけるネットワークシステムの概略構成図である。 診断装置に関する動作の説明図である。 診断装置及びファイアーウォールの動作のフローチャートである。 第2実施形態におけるネットワークシステムの概略構成図である。 変形例におけるネットワークシステムの概略構成図である。 第3実施形態におけるネットワークシステムの概略構成図である。
以下、図面を参照して、本発明の実施形態について説明する。
(第1実施形態)
図1は、本発明の第1実施形態におけるネットワークシステムの概略構成図である。
ネットワークシステム1は、通信装置群11を介して接続された複数のネットワーク、すなわち、OT(Operational Technology)ネットワーク2、管理ネットワーク3、及び、専用線ネットワーク4を備える。OTネットワーク2、管理ネットワーク3、及び、専用線ネットワーク4に含まれる機器は、自身の所属するネットワークを超えて通信装置群11を介して相互に通信可能に構成されている。
また、通信装置群11は、1つ以上の通信装置により構成されてもよい。また、診断装置12は、通信装置群11とLAN(Local Area Network)またはコンソールにより接続されており、通信装置群11を介して、OTネットワーク2、管理ネットワーク3、及び、専用線ネットワーク4内のファイアーウォール27~29、35、36、43と通信可能に構成されている。診断装置12は、自身が備えるプログラム処理を実行しており、所定の周期でファイアーウォール27~29、35、36、43の構成情報の診断を行う。診断装置12による診断処理の詳細な説明は、図2、3を用いて後述する。
OTネットワーク2は、任意の数の機械設備を有しており、本実施形態においては、3つの機械設備21~23を備える。機械設備21~23は、例えば、工場のライン等であって、それぞれ複数の機器(不図示)を備える。機械設備21~23は、さらに、それらの機器を制御する設備制御装置24~26を備える。そして、機械設備21~23の機器及び設備制御装置24~26を接続するサブネットワークであるLAN1~LAN3が構成されている。
LAN1~LAN3は、それぞれ、ファイアーウォール27~29を介して、機械設備21~23と通信装置群11とを接続させている。それぞれの機械設備21~23内の機器の数は任意である。また、3つの機械設備21~23は、同じ工場の敷地内に設けられてもよいし、個々に遠隔に配置されてもよい。ファイアーウォール27~29は、通信制御機器の一例である。
なお、この図の例においては、OTネットワーク2は、3つの機械設備21~23を備えているが、1、2または、4以上の任意の数の機械設備を備えてもよい。それぞれの機械設備21~23は、それらの含まれる機器と設備制御装置24~26を含む任意の数のネットワークを構成し、ファイアーウォールを介して通信装置群11と接続されてもよい。
管理ネットワーク3は、中央操作室31と計算機室32とを備える。中央操作室31には管理者がネットワークシステム1の全体を監視するために用いる監視端末33が設けられる。計算機室32にはネットワークシステム1の全体における動作ログを蓄積可能な蓄積処理装置34が設けられる。中央操作室31内の監視端末33を外部と接続可能なように構成されるネットワークとしてLAN4が構成される。計算機室32内の蓄積処理装置34を外部と接続可能なように構成されるネットワークとしてLAN5が構成される。なお、LAN4及びLAN5においては、それぞれ、監視端末33及び蓄積処理装置34以外の他の機器が設けられて接続されてもよい。
より詳細には、中央操作室31においては、管理者が監視端末33を操作することにより、通信装置群11を介してOTネットワーク2内の設備制御装置24~26を制御し、その結果、機械設備21~23の機器の制御及び監視を行う。計算機室32においては、蓄積処理装置34は、通信装置群11を介してOTネットワーク2内の設備制御装置24~26の制御ログや、機械設備21~23の機器の動作ログなどを受信し、蓄積処理装置34に記録する。なお、管理ネットワーク3内の機器については、その用途等に応じて任意に構成できる。
専用線ネットワーク4は、WANのような広域ネットワークを介して、一般的なクラウドサービス41等と接続可能に構成されている。さらに、専用線ネットワーク4は、ネットワークシステム1内の種々の機器の構成情報を記録するマスターデータベース42を備える。専用線ネットワーク4は、便宜上、LAN6として示されており、ファイアーウォール43を介して通信装置群11と接続されている。ファイアーウォール43は、構成情報に沿って動作して、ネットワークシステム1内での通信経路を介した通信を制御する。
ここで、LAN1~LAN6のそれぞれにおいて通信装置群11との間にファイアーウォール27~29、35、36、43が設けられている。これらの構成のうちファイアーウォール27について説明すれば、ファイアーウォール27には、構成情報として通過するデータの疎通ルールが定義されている。この疎通ルールによれば、ファイアーウォール27は、宛先として機械設備21のデータに限定してデータを通過させるだけでなく、機械設備21にデータを送信できる送信元を例えば監視端末33のみに限定してデータを通過させてもよい。また、ファイアーウォール27は、送信先及び送信元に応じて、特定のアプリケーションのデータの通過を許可するようにポートを限定してデータを通過させてもよい。さらに、ファイアーウォール27に設定される構成情報には、これらの疎通ルールだけでなく、自身の起動時に実行されるサービス、アクセスする管理者のID及びパスワード、クラスマップの設定や、接続先の機械設備21の通信能力に応じた通信に関する設定も記憶されている。これらの構成情報は、予め管理者の入力等によってマスターデータベース42に記憶されており、ファイアーウォール27の初期設定時や設定変更時に、マスターデータベース42から取得される。
図2は、診断装置12に関する動作の説明図である。図2に示すように、ネットワークシステム1には、診断装置12、ファイアーウォール27、及び、マスターデータベース42が設けられている。なお、ファイアーウォール28、29、35、36、43は、ファイアーウォール27と同等の動作をするため、ここでは説明を簡単にするためにその記載は省略し、ファイアーウォール27に着目して以下説明する。
ファイアーウォール27は、演算装置やプログラム等を記憶する記憶領域を備える装置であって、所定のプログラムを実行する。記憶領域としては、電源オフによって消去されない不揮発メモリ50、及び、プログラムの実行中に一時記憶領域として利用される作業用メモリ51(例えば、RAM)を備えている。また、後述のように、マスターデータベース42には、ファイアーウォール27の最初の起動前に管理者によりマスター構成情報54が記録されている。そして、不揮発メモリ50には、ファイアーウォール27の最初の起動時において取得されるマスター構成情報54が、初期構成情報52(StartupConfig)として記憶されている。
詳細には、マスターデータベース42には、ファイアーウォール27の最初の起動前に、管理者によってファイアーウォール27の構成情報が、マスター構成情報54として記録されている。すなわち、マスターデータベース42には、元の構成情報としてマスター構成情報54が長期保管されている。マスターデータベース42は暗号化されていてもよい。
ファイアーウォール27は、最初の起動時において、管理者による初期設定により、マスターデータベース42に記憶されているファイアーウォール27のマスター構成情報54を取得し、不揮発メモリ50に初期構成情報52として記録する。
ファイアーウォール27は、毎回の起動時に、不揮発メモリ50から初期構成情報52を読み込み、作業用メモリ51に稼働中構成情報53(RunningConfig)として記録する。稼働中構成情報53は、ファイアーウォール27内で実行されるプログラムにより参照される。
なお、マスター構成情報54の更新は、管理者の操作によって任意のタイミングで実行することができる。同様に、管理者の操作によって、ファイアーウォール27は、任意のタイミングで、マスター構成情報54をマスターデータベース42から取得して、初期構成情報52として不揮発メモリ50に上書きして記録できる。そして、管理者の操作によって、ファイアーウォール27は、任意のタイミングで、不揮発メモリ50から初期構成情報52を読み出して、作業用メモリ51に稼働中構成情報53として記録できる。さらに、管理者の操作によって、不揮発メモリ50の初期構成情報52、及び、作業用メモリ51の稼働中構成情報53は、ファイアーウォール27の稼働中に、その一部を変更できる。
診断装置12は、不揮発メモリ55及び作業用メモリ56を備える。診断装置12は、予めマスターデータベース42に記憶されたマスター構成情報54を、LAN6や通信装置群11などを介して取得し、不揮発メモリ55にマスター構成情報57として一時保管する。そして、診断装置12は、ファイアーウォール27から、記憶先となる不揮発メモリ50に記憶された初期構成情報52、及び、作業用メモリ51に展開されている現在の稼働中構成情報53を、LAN1や通信装置群11を介して定期的に取得し、それぞれ、作業用メモリ56において初期構成情報58及び稼働中構成情報59として記録する。
診断装置12は、作業用メモリ56に記録されている初期構成情報58と稼働中構成情報59と、不揮発メモリ55に記録されているマスター構成情報57と、の3種類の構成情報の相互の比較を行い、一致するか否かを判定する。そして、診断装置12は、これらの値が一致しない場合には、中央操作室31の監視端末33に対してメールやPush配信等によって、不一致である旨の表示等を通じて管理者に通報する。なお、構成情報の取得及び比較は、所定の間隔で繰り返し行われる。また、その他、診断装置12は、初期構成情報58や稼働中構成情報59について、過去に取得した値と比較し、不一致の場合には同様に不一致の旨を管理者に通報してもよい。
図3は、診断装置12及びファイアーウォール27の動作を示すフローチャートである。診断装置12とファイアーウォール27とは互いに関連して動作しており、図左側には診断装置12の処理であるステップS61~S72までが示されており、図右側には、ファイアーウォール27の処理であるステップS73~S76の処理が示されている。図示されるように、診断装置12のステップS61~S64の処理と、ファイアーウォール27のステップS73~S75の処理は相互に関連している。
診断装置12は、所定の周期で図3に示される処理を実行しており、ユーザからの入力を受け付けることなく図示された処理を開始する。診断装置12は動作を開始すると、ステップS61において、まず、マスターデータベース42にアクセスして、マスター構成情報54を取得し、不揮発メモリ55にマスター構成情報57として一時保管する。マスターデータベース42は、例えば暗号化鍵等を用いた比較的堅牢性の高い状態でマスター構成情報54を保管しており、診断装置12は、マスターデータベース42から、復号処理等を行ってマスター構成情報54を取得する。
ステップS62において、診断装置12は、診断装置12内部のソフトウェア処理によってファイアーウォール27に対してログインを行う。パスワード認証の場合には、診断装置12には、ファイアーウォール27のログイン情報としてIDとパスワードとが予め登録されており、診断装置12は、これらのログイン情報が含まれたログインと稼働中構成情報53及び初期構成情報52の情報取得との要求をファイアーウォール27に送信する。
ステップS73では、診断装置(12)からファイアーウォール27に対してログインが行われる。ファイアーウォール27は、診断装置12からログイン情報を含むログイン・情報取得要求を受信すると、まず、受信したログイン情報を予め記憶されている認証情報と比較して、IDとパスワードが一致する場合には、ログインを許可する。ファイアーウォール27は、このようなログイン処理を通常の動作中に受け付けることができ、通常動作の実行中にログイン要求を受信すると、ログインを許可する。
ステップS74において、ファイアーウォール27は、診断装置12からのログイン要求に応じて、作業用メモリ51に記録されている稼働中構成情報53を診断装置12に送信する。ファイアーウォール27においては、一般的に稼働中構成情報53を出力するコマンドが用意されており、当該コマンドを実行することで出力された稼働中構成情報53を、診断装置12に送信する。
ステップS75において、ファイアーウォール27は、不揮発メモリ50に記憶されている初期構成情報52を診断装置12に送信する。ファイアーウォール27においては、不揮発メモリ50に記憶されている初期構成情報52を読み出して出力するコマンドが用意されており、当該コマンドを実行することで出力された初期構成情報52を、診断装置12に送信する。
ステップS76において、ファイアーウォール27は、初期構成情報52及び稼働中構成情報53の送信を終えると、ログアウト処理を実行し、通常の動作を継続する。
再び、診断装置12の処理に戻って説明する。診断装置12は、ステップS63において、ステップS74でファイアーウォール27から送信された稼働中構成情報53を取得するとともに、ステップS64において、ステップS75でファイアーウォール27から送信された初期構成情報52を取得する。診断装置12は、取得した初期構成情報52及び稼働中構成情報53を、それぞれ、作業用メモリ56に、初期構成情報58及び稼働中構成情報59としてタイムスタンプとともに記憶する。
ステップS65において、診断装置12は、取得して作業用メモリ56に記憶されている現在の稼働中構成情報59と初期構成情報58とを比較する。
ステップS66において、診断装置12は、現在の稼働中構成情報59と初期構成情報58とが一致すると判断した場合には(S66:Yes)、次にステップS67の処理を行い、両者が一致しない場合には(S66:No)、次にステップS72の処理を行う。
ステップS66において稼働中構成情報59と初期構成情報58が一致していないとの判定結果が得られると(S66:No)、ステップS72において、診断装置12は、取得した現在の稼働中構成情報53と、不揮発メモリ55に記憶されている初期構成情報52とが不一致である旨を中央操作室31の監視端末33に送信して、例えば監視端末33の表示部に不一致である旨を表示させるなどして管理者に通報する。
一方、ステップS66において稼働中構成情報59と初期構成情報58が一致しているとの判定結果が得られると(S66:Yes)、ステップS67において、診断装置12は、例えば不揮発メモリ55に両者が一致していたことを示す比較結果を記録する。この記録には、比較対象となった初期構成情報52及び稼働中構成情報53の取得時刻(タイムスタンプ)もあわせて記録される。
ステップS67の後には、ステップS68において、診断装置12は、取得した現在の稼働中構成情報53と、不揮発メモリ55に記憶されているマスター構成情報54とを比較する。
ステップS69において、診断装置12は、取得して作業用メモリ56に記憶されている現在の稼働中構成情報59と、ステップS61で取得して不揮発メモリ55に記憶されているマスター構成情報57とが一致するか否かを判定する。両者が一致する場合には(S69:Yes)、診断装置12は、次にステップS70の処理を行い、両者が一致しない場合には(S69:No)、診断装置12は、次にステップS72の処理を行う。
ステップS69において両者が一致していないとの判定結果が得られると(S69:No)、診断装置12は、ステップS72において、取得した現在の稼働中構成情報53と、不揮発メモリ55に記憶されているマスター構成情報54とが不一致である旨を中央操作室31の監視端末33に送信して、例えば監視端末33の表示部に不一致である旨を表示させるなどして管理者に通報する。
一方、ステップS69において両者が一致しているとの判定結果が得られると(S69:Yes)ステップS70において、診断装置12は、例えば不揮発メモリ55に両者が一致していたことを示す比較結果を記録する。
ステップS70の処理の後には、ステップS71において、診断装置12は、次回の診断時間になるまで待機する。診断装置12は、診断時間まで待機した後、ステップS62の処理を再度実行する。次回の診断時間までの待機時間は診断の間隔を示しており、1~数時間が好ましいが、任意の時間が設定可能である。このようにして、診断装置12は、現在の稼働中構成情報53と初期構成情報52とが一致しているか否かの判断と、現在の稼働中構成情報53とマスター構成情報54とが一致しているか否かの判断とを、定期的に行う。
なお、本実施形態においては、稼働中構成情報53と初期構成情報52との比較、及び、稼働中構成情報53とマスター構成情報54との比較をしたが、これに限らない。稼働中構成情報53、初期構成情報52、及び、マスター構成情報54の3つを同時に比較してもよい。また、初期構成情報52、稼働中構成情報53、及び、マスター構成情報54の少なくとも1つの構成情報について、タイムスタンプ付きで記録された過去のこれらの構成情報と比較してもよい。
また、稼働中構成情報53、初期構成情報52、及び、マスター構成情報54について、それらの構成情報の正当性の確認(バリデーション)を行ってもよい。このような処理を含めることで、より確実に、構成情報の意図しない変更を検出できる。
このような第1実施形態の診断装置12によれば、ファイアーウォール27における稼働中構成情報53と、その元の構成情報である初期構成情報52を読み出して記録し、読みだした初期構成情報52と稼働中構成情報53とを比較して、両者が不一致の場合には、ファイアーウォール27の管理者に対してその不一致を通報する。
ファイアーウォール27はソフトウェアで動作するコンピュータの一種であるため、製造者が意図しない機能上の不備(脆弱性とも称される)もあり得る。悪意のある第三者は、このような脆弱性を利用して構成情報を書き換えてしまう。ファイアーウォール27は意図しない変更の検出やログ機能を備えているが、対象の機器が正常に動作していることが前提となっており、例えば、一時的なログの停止等をされてしまうと変更の検出に時間を要する。
本実施形態においては稼働中構成情報53と元の構成情報である初期構成情報52とを定期的に比較する。初期構成情報52、及び、稼働中構成情報53の両者に対して意図しない変更が短時間で生じる可能性は低い。そのため、悪意のある第三者により改ざん等の意図しない変更が稼働中構成情報53にされても、診断装置12は、初期構成情報52と稼働中構成情報53とを比較することで、その意図しない変更を検出することが可能になる。そして、本実施形態の診断装置12は、このような比較処理を定期的に行うため、初期構成情報52及び稼働中構成情報53の一方の変更の早期の検出が可能となる。
また、診断装置12は、複数の通信制御機器であるファイアーウォール27~29、35、36、43に対しても、同様に初期構成情報52、及び、稼働中構成情報53の変更を早期に診断することが可能であるため、診断対象となるファイアーウォールの数を容易に変更できる。
さらに第1実施形態の診断装置12によれば、ファイアーウォール27における初期構成情報52、及び、稼働中構成情報53を周期的に読み出して、タイムスタンプを付して記録する。そして、診断装置12は、読み出した初期構成情報52及び稼働中構成情報53を、過去の初期構成情報52及び稼働中構成情報53と比較して、いずれかが不一致の場合には管理者に対してその不一致を通報する。このようにすることで、初期構成情報52、及び、稼働中構成情報53の両者に意図しない変更があった場合でも、その変更を検出できる。
第1実施形態のネットワークシステム1では、マスターデータベース42等の外部記憶媒体にマスター構成情報54が記憶されており、ファイアーウォール27は、初期設定時などに、例えばマスターデータベース42からマスター構成情報54を取得して、初期構成情報52を設定する。診断装置12は、ファイアーウォール27から読み出して作業用メモリ56に記録した初期構成情報58、及び、稼働中構成情報59と、不揮発メモリ55に一時保管したマスター構成情報54とを比較し、両者が不一致の場合には管理者に対して不一致である旨を通報する。このような比較をさらに行うことで、さらに確実に意図しない構成情報の変更を検出できる。
(第2実施形態)
第1実施形態においては、ネットワークシステム1において、LAN1~LAN6のそれぞれと対応して通信制御装置であるファイアーウォール27~29、35、36、43が設けられ、これらのLAN1~LAN6が通信装置群11を介して接続されたがこれに限らない。第2実施形態においては、他の通信制御装置の配置方法について説明する。
図4は、第2実施形態におけるネットワークシステム1Aの概略構成図である。図4に示すネットワークシステム1Aは、図1に示した第1実施形態のネットワークシステム1と比較すると、ファイアーウォール27~29、35、36、43が設けられておらず、L3スイッチである通信装置81と、通信装置81に接続されたファイアーウォール82とが設けられている。
OTネットワーク2内では、3つの機械設備21~23の設備制御装置24~26と通信装置81とを接続するLAN1~LAN3は、仮想的なセグメントが設けられたVLAN(Virtual Local Area Network)として機能してもよい。同様に、管理ネットワーク3内では、中央操作室31と監視端末33、及び、計算機室32と蓄積処理装置34と通信装置81に接続するLAN4~LAN5がVLANとして機能してもよい。専用線ネットワーク4のLAN6は、同様にVLANとして機能してもよい。なお、LAN1~LAN6はVLANとして機能しなくてもよく、VLANではないLAN1~LAN6がL3スイッチの通信装置81により接続されてもよい。
L3スイッチである通信装置81は、これらのVLANを相互に接続しており、VLANに関するデータの疎通ルールがファイアーウォール82の構成情報に記載されている。データの疎通ルールは、第1実施形態のファイアーウォール27~29、35、36、43と同様に、どのようなデータの通過を許可するかを示す。また、構成情報には、疎通ルール以外にも、起動時に実行されるサービス等の種々の設定情報が含まれ得る。
診断装置12は、通信装置81を介してファイアーウォール82にアクセス可能に構成されている。診断装置12は、図3に示された第1実施形態と同様の処理により、ファイアーウォール82内の不揮発メモリ50に記憶された初期構成情報52、作業用メモリ51に記憶された稼働中構成情報53、及び、マスターデータベース42に記憶されたマスター構成情報54をそれぞれ読み出して比較する。そして、上述した第1実施形態と同様に、診断装置12は、現在の稼働中構成情報53と初期構成情報52とを比較し、両者が一致しているか否かの判断と、現在の稼働中構成情報53とマスター構成情報54とを比較し、両者が一致しているか否かの判断とを、定期的に行う。これらの比較結果が不一致の場合には管理者に通報する。
このような第2実施形態の診断装置12によれば、LAN1~LAN6がL3スイッチの通信装置81により接続されているネットワークシステム1Aでも、診断装置12の構成を大きく変更することなく、上述した第1実施形態と同様に、初期構成情報52、及び、稼働中構成情報53に改ざん等の意図しない変更があっても、その意図しない変更を早期に検出することが可能になる。
(変形例)
第2実施形態においては、L3スイッチである通信装置81がファイアーウォール82と別体として設けられたが、これに限らない。図5に示すように、ネットワークシステム1Bに、構成情報を記憶する構成情報記憶部83を記憶先として設け、通信装置81、構成情報記憶部83及び診断装置12が一体となったファイアーウォール82Bを設けてもよい。このようにすることで、既存の通信装置群やファイアーウォールからの置き換えを容易に行うことができる。
(第3実施形態)
第1及び第2実施形態においては、ネットワークシステムに用いる情報の正当性を確かめるための診断として、診断装置12によって、ファイアーウォール27~29、35、36、43、82に設定された構成情報の正当性を確かめるための診断について説明したが、本発明はこれに限らない。第3実施形態においては、ネットワークシステムに用いる他の情報の正当性の診断を行う技術について説明する。
図6は、第3実施形態のネットワークシステム1Cを示す概略構成図である。図6に示すように、第3実施形態のネットワークシステム1Cは、図4に示した第2実施形態のネットワークシステム1Bと比較すると、さらに、通信装置81に認証機器84が接続されている。
OTネットワーク2を含む場合に限らず、ネットワークシステム1Cのように、接続される機器や、当該機器を使用する人物を特定し、ネットワーク接続に許可を与える認証機器84が含まれることがある。一例としては、パソコンなどの機器に電子証明書を導入することで、電子証明書に基づくネットワーク接続認証を行うことができる。詳細には、RADIUS(Remote Authentication Dial In User Service)サーバなどが使用され得る。また接続する人物を特定するためには、AD(Active Directory)サーバのようにパスワードや二要素認証を行う認証機器84が用いられることもある。これらの具体例に限らず、認証機器84は、接続許可を与える機器や人物、または接続許可を与えてない機器や人物の識別子及び対応する認証情報が保存されている。
例えば、認証機器84は通信装置81及び診断装置12と接続されている。認証機器84は、ユーザである管理者が中央操作室31の監視端末33を介して通信装置81にログインする際の管理者の認証処理を行う。管理者により監視端末33から入力された認証情報は、LAN4及び通信装置81を介して認証機器84に送信される。認証機器84は、受信した認証情報と予め記憶されている認証情報とが一致する場合には、監視端末33から設定された認証情報を正しい情報であるとして記憶し、通信装置81に対して監視端末33からのアクセスを許可させる。
このように認証機器84に設定される認証情報は、認証機器84及びマスターデータベース42に記憶される。すなわち、マスターデータベース42には、認証機器84の最初の起動の前に、管理者の設定によってマスター認証情報が記録される。そして、認証機器84は、初回起動時に、LAN4及び通信装置81を介して取得した認証情報を初期認証情報として、認証機器84が有する不揮発メモリに記録する。認証機器84は、毎回の起動時に、当該不揮発メモリから初期認証情報を読み込み、認証機器84が有する作業用メモリに稼働中認証成情報として記録する。
そして、診断装置12は、接続された認証機器84との間で、図3に示した処理と同様の処理を行う。すなわち、診断装置12は、マスターデータベース42からマスター認証情報を取得すると、不揮発メモリ55に記録する。さらに、診断装置12は、認証機器84から初期認証情報及び稼働中認証情報を取得すると、作業用メモリ56に記録する。そして、作業用メモリ56の稼働中認証情報と初期認証情報との比較、及び、作業用メモリ56の稼働中認証情報と不揮発メモリ55のマスター認証情報とを比較し、それぞれの比較結果のいずれかにおいて両者が一致しない場合には、管理者にその不一致を通報する。
以上のように、第3実施形態に係る診断装置12は、認証機器84に設定された認証情報を当該認証機器84から定期的に読み出し、過去の認証情報を予め元の認証情報(初期認証情報及びマスター認証情報)として記憶している、ネットワークシステム1C内の記憶先となる認証機器84の不揮発メモリやマスターデータベース42から、元の認証情報を読み出す。そして、診断装置12は、認証機器84から定期的に読み出した認証情報と、当該記憶先から読み出した元の認証情報とを定期的に比較し、認証機器84から読み出した現在の認証情報が、元の認証情報と不一致の場合には、認証機器84の管理者に対して不一致である旨を通報する。
このような第3実施形態の診断装置12によれば、第1及び第2実施形態において示した診断装置12の構成を大きく変更することなく、当該診断装置12を用いて、認証機器84の認証処理に用いる認証情報の意図しない変更を早期に検出できる。さらに、診断装置12によって第1実施形態や第2実施形態で説明した処理を実行させることにより、ファイアーウォール27の構成情報についての正当性の診断と併用させることもでき、かくして、ファイアーウォール27の構成情報と認証機器84の認証情報を包括的に診断することができる。
(変形例)
第3実施形態においては、認証機器84を通信装置81に併設させたネットワークシステム1Cについて説明したが、本発明はこれに限らない。例えば、他のネットワークシステムとして、OTネットワーク2の各設備制御装置24~26、管理ネットワーク3の監視端末33、蓄積処理装置34、及び、専用線ネットワーク4のマスターデータベース42にも、認証機器84をそれぞれ個別に設けたネットワークシステムとしてもよい。また、OTネットワーク2の機械設備21~23に含まれる機器の個々にも、認証機器84を設けた構成としてもよい。このように、ネットワークシステムを構成する各機器に、適宜、認証機器84を設けた場合でも、上述した第3実施形態の診断装置12を用いることで、それぞれの認証機器84に設定した認証情報について正当性を診断することができる。なお、診断装置12については、各認証機器84に個別に設けるようにしてもよく、サブネットワーク単位で設けるようにしてもよく、またOTネットワーク2や管理ネットワーク3単位等で設けるようにしてもよい。
生産現場やインフラなどのOTネットワーク2において、末端の装置や機器の認証処理をクラウドなど遠隔に依存すると、OTネットワーク2での稼働や保守が困難となることや、応答性能が劣ることがある。これに対して、本変形例においては、OTネットワーク2、管理ネットワーク3、及び、専用線ネットワーク4における認証処理はローカルで行われるとともに、これらの他の認証機器の認証情報の検証についても定期的に行うことができるようになるため、通信状態に依存せずに、他の認証機器の認証情報の意図しない変更を早期に検出することができる。
本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施形態及び変形が可能とされるものである。また、上述した実施形態は、本発明を説明するためのものであり、本発明の範囲を限定するものではない。すなわち、本発明の範囲は、実施形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、本発明の範囲内とみなされる。
1、1A、1B、1C ネットワークシステム
2 OTネットワーク(ネットワーク)
11 通信装置群
12 診断装置
27~29、35、36、43、82、82B ファイアーウォール(通信制御機器)
42 マスターデータベース(記憶先)
50、55 不揮発メモリ(記憶先)
52、58 初期構成情報(元の構成情報)
53、59 稼働中構成情報
54、57 マスター構成情報(元の構成情報)
81 通信装置
84 認証機器
LAN1~LAN6(サブネットワーク)

Claims (9)

  1. 複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した構成情報に沿って動作して通信経路における通信を制御する通信制御機器と、を有したネットワークシステムに設けられ、前記通信制御機器に設定された前記構成情報の診断を行う、診断装置であって、
    前記通信制御機器に設定された前記構成情報を前記通信制御機器から定期的に読み出し、過去の前記構成情報を予め元の構成情報として記憶している前記ネットワークシステム内の記憶先から前記元の構成情報を読み出し、
    前記通信制御機器から定期的に読み出した前記構成情報と、前記記憶先から読み出した前記元の構成情報とを定期的に比較し、
    前記通信制御機器から読み出した現在の前記構成情報が、前記元の構成情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報
    前記記憶先が前記通信制御機器の不揮発メモリであり、前記不揮発メモリに前記元の構成情報として記憶されている初期構成情報を読み出し、
    前記通信制御機器の起動時に前記初期構成情報が前記通信制御機器の作業用メモリに稼働中構成情報として読み出されて、前記稼働中構成情報に沿って動作する前記通信制御機器から前記稼働中構成情報を定期的に読み出し、
    前記通信制御機器から読み出した前記初期構成情報と現在の前記稼働中構成情報とを定期的に比較し、
    現在の前記稼働中構成情報が前記初期構成情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報する、診断装置。
  2. 前記通信制御機器から読み出した前記初期構成情報及び前記稼働中構成情報を記録しておき、
    前記通信制御機器から読み出した前記初期構成情報及び前記稼働中構成情報と、前記記録された過去の前記初期構成情報及び前記稼働中構成情報とを、それぞれ定期的に比較し、
    前記通信制御機器から読み出した前記初期構成情報及び前記稼働中構成情報と、前記記録された過去の前記初期構成情報及び前記稼働中構成情報とのうち、少なくとも一方が不一致の場合には、前記管理者に対して前記不一致である旨を通報する、請求項に記載の診断装置。
  3. 前記記憶先が前記ネットワークシステムに設けられた外部記憶媒体であり、前記外部記憶媒体に前記元の構成情報として記憶されているマスター構成情報を前記外部記憶媒体から読み出し、前記通信制御機器から現在の前記構成情報を読み出し、
    前記通信制御機器から読み出した前記構成情報と、前記外部記憶媒体から読み出した前記マスター構成情報とを定期的に比較し、
    前記通信制御機器から読み出した現在の前記構成情報が、前記マスター構成情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報する、請求項1に記載の診断装置。
  4. 前記構成情報は、前記通信制御機器を通るデータの、送信元、送信先、及び、前記データのサービスのうちのいずれかを示す識別子を含む、請求項1に記載の診断装置。
  5. 前記通信制御機器は、前記サブネットワークの通信経路のそれぞれに設けられるファイアーウォールである、請求項1に記載の診断装置。
  6. 前記通信制御機器は、前記サブネットワークを接続するL3スイッチである、請求項1に記載の診断装置。
  7. 複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した認証情報に基づいて、前記ネットワークに設けられた機器への前記管理者のログインを認証する認証機器と、を有したネットワークシステムに設けられ、前記認証機器に設定された前記認証情報の診断を行う、診断装置であって、
    前記認証機器に設定された前記認証情報を前記認証機器から定期的に読み出し、過去の前記認証情報を予め元の認証情報として記憶している前記ネットワークシステム内の記憶先から前記元の認証情報を読み出し、
    前記認証機器から定期的に読み出した前記認証情報と、前記記憶先から読み出した前記元の認証情報とを定期的に比較し、
    前記認証機器から読み出した現在の前記認証情報が、前記元の認証情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報する、診断装置。
  8. 複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した構成情報に沿って動作して通信経路における通信を制御する通信制御機器と、を有するネットワークシステムに設けられた診断装置によって、前記通信制御機器に設定された前記構成情報の診断を行う、診断方法であって、
    前記診断装置によって、
    前記通信制御機器に設定された前記構成情報を前記通信制御機器から定期的に読み出し、過去の前記構成情報を予め元の構成情報として記憶している前記ネットワークシステム内の記憶先から前記元の構成情報を読み出し、
    前記通信制御機器から定期的に読み出した前記構成情報と、前記記憶先から読み出した前記元の構成情報とを定期的に比較し、
    前記通信制御機器から読み出した現在の前記構成情報が、前記元の構成情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報
    前記記憶先が前記通信制御機器の不揮発メモリであり、前記不揮発メモリに前記元の構成情報として記憶されている初期構成情報を読み出し、
    前記通信制御機器の起動時に前記初期構成情報が前記通信制御機器の作業用メモリに稼働中構成情報として読み出されて、前記稼働中構成情報に沿って動作する前記通信制御機器から前記稼働中構成情報を定期的に読み出し、
    前記通信制御機器から読み出した前記初期構成情報と現在の前記稼働中構成情報とを定期的に比較し、
    現在の前記稼働中構成情報が前記初期構成情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報する、診断方法。
  9. 複数のサブネットワークが接続されて構成されたネットワークと、管理者が設定した認証情報に基づいて、前記ネットワークに設けられた機器への前記管理者のログインを認証する認証機器と、を有するネットワークシステムに設けられた診断装置によって、前記認証機器に設定された前記認証情報の診断を行う、診断方法であって、
    前記診断装置によって、
    前記認証機器に設定された前記認証情報を前記認証機器から定期的に読み出し、過去の前記認証情報を予め元の認証情報として記憶している前記ネットワークシステム内の記憶先から前記元の認証情報を読み出し、
    前記認証機器から定期的に読み出した前記認証情報と、前記記憶先から読み出した前記元の認証情報とを定期的に比較し、
    前記認証機器から読み出した現在の前記認証情報が、前記元の認証情報と不一致の場合には、前記管理者に対して前記不一致である旨を通報する、診断方法。
JP2022147446A 2022-09-15 2022-09-15 診断装置及び診断方法 Active JP7266925B1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2022147446A JP7266925B1 (ja) 2022-09-15 2022-09-15 診断装置及び診断方法
PCT/JP2022/044056 WO2024057557A1 (ja) 2022-09-15 2022-11-29 診断装置及び診断方法
CN202280006885.9A CN116964991A (zh) 2022-09-15 2022-11-29 诊断装置及诊断方法
EP22871108.1A EP4362413A1 (en) 2022-09-15 2022-11-29 Diagnostic device and diagnosis method
US18/247,380 US20240372851A1 (en) 2022-09-15 2022-11-29 Diagnostic apparatus and diagnostic method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022147446A JP7266925B1 (ja) 2022-09-15 2022-09-15 診断装置及び診断方法

Publications (2)

Publication Number Publication Date
JP7266925B1 true JP7266925B1 (ja) 2023-05-01
JP2024042610A JP2024042610A (ja) 2024-03-28

Family

ID=86239464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022147446A Active JP7266925B1 (ja) 2022-09-15 2022-09-15 診断装置及び診断方法

Country Status (2)

Country Link
JP (1) JP7266925B1 (ja)
WO (1) WO2024057557A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7615000B2 (ja) 2021-09-30 2025-01-16 本田技研工業株式会社 車両用情報提供装置、車両用情報提供方法、及びプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009272659A (ja) 2008-03-03 2009-11-19 Nec Corp 通信制御装置、通信制御方法および通信システム
JP2016066945A (ja) * 2014-09-25 2016-04-28 株式会社日立製作所 管理装置、ネットワーク装置の管理方法及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7615000B2 (ja) 2021-09-30 2025-01-16 本田技研工業株式会社 車両用情報提供装置、車両用情報提供方法、及びプログラム

Also Published As

Publication number Publication date
JP2024042610A (ja) 2024-03-28
WO2024057557A1 (ja) 2024-03-21

Similar Documents

Publication Publication Date Title
JP7152765B2 (ja) 通信システム、それに用いる通信装置、管理装置及び情報端末
CN101809519B (zh) 在服务技师与可以远程诊断和/或可以远程维护的自动化环境的故障组件之间建立安全连接的方法
JP7414391B2 (ja) 強化されたスマートプロセス制御スイッチのポートロックダウン
CN100591011C (zh) 一种认证方法及系统
US9544300B2 (en) Method and system for providing device-specific operator data for an automation device in an automation installation
JP4016019B2 (ja) 許可されたリモート・アクセスをターゲット・システムに対して行うための装置、システム、および方法
CN110719203B (zh) 智能家居设备的操作控制方法、装置、设备及存储介质
JP6487939B2 (ja) データを伝送するための設備及び方法
CN104981784A (zh) 经由网络监视和控制计算机装置和虚拟机
CN108966216B (zh) 一种应用于配电网的移动通信方法及系统
CN110597541A (zh) 基于区块链的接口更新处理方法、装置、设备及存储介质
CN113794578A (zh) 一种基于云平台的通信网监控架构系统
JP7266925B1 (ja) 診断装置及び診断方法
CN103460669B (zh) 用于现场设备数据通信的密码保护的方法和通信装置
CN107735998B (zh) 用于网络组件访问数据网的网络仪器和方法
CN111327602B (zh) 一种设备接入处理方法、设备及存储介质
JP3737594B2 (ja) ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
US20240243930A1 (en) Communication method for iot nodes or iot devices in a local network
EP4362413A1 (en) Diagnostic device and diagnosis method
CN116783871B (zh) 远程系统、远程连接方法以及记录介质
CN116962149A (zh) 网络故障的检测方法和装置、存储介质及电子设备
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
CN113330375B (zh) 控制装置、记录介质以及控制系统
CN117941320A (zh) 用于并入自动化设备的方法和自动化系统
CN113132112A (zh) 应用于油料存储系统的设备身份认证系统、方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230210

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230328

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230412

R150 Certificate of patent or registration of utility model

Ref document number: 7266925

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150