(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022173394
(43)【公開日】2022-11-18
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221111BHJP
【FI】
G06F21/55
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022153889
(22)【出願日】2022-09-27
(62)【分割の表示】P 2019061994の分割
【原出願日】2019-03-27
(31)【優先権主張番号】62/746,852
(32)【優先日】2018-10-17
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】田崎 元
(72)【発明者】
【氏名】佐々木 崇光
(57)【要約】
【課題】車両への攻撃の処理優先度の決定を効果的に行うことができる情報処理装置を提供する。
【解決手段】情報処理装置100は、情報処理装置100に接続された車両への攻撃の検知結果を取得する取得部1001と、検知結果が示す攻撃が脅威情報サーバに蓄積された少なくとも1つの脅威情報に存在するか否かを判定する第1判定部1002と、検知結果が示す攻撃が少なくとも1つの脅威情報に存在する場合に、少なくとも1つの脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する第2判定部1003と、第1判定部1002の判定結果、又は、第1判定部1002の判定結果及び第2判定部1003の判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定する決定部1007と、決定部1007が決定した処理優先度を出力する出力部1009とを備える。
【選択図】
図6
【特許請求の範囲】
【請求項1】
車両と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた少なくとも1つの脅威情報を蓄積する脅威情報サーバと、にネットワークを介して接続された情報処理装置であって、
前記情報処理装置に接続された前記車両への攻撃の検知結果を取得する取得部と、
前記検知結果が示す攻撃が前記脅威情報サーバに蓄積された前記少なくとも1つの脅威情報に存在するか否かを判定する第1判定部と、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合に、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する第2判定部と、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記第1判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記第1判定部の判定結果及び前記第2判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定する決定部と、
前記決定部が決定した前記処理優先度を出力する出力部と、を備える
情報処理装置。
【請求項2】
前記決定部は、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合、前記検知結果が示す攻撃の処理優先度を第1優先度に決定し、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合に、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が未対応を示すときには、前記処理優先度を前記第1優先度よりも優先度が低い第2優先度に決定し、当該対応状況が対応済みを示すときには、前記処理優先度を前記第2優先度よりも優先度が低い第3優先度に決定する
請求項1に記載の情報処理装置。
【請求項3】
前記情報処理装置は、さらに、
前記検知結果が示す攻撃が行われた回数が所定数以上であるか否かを判定する第4判定部を備え、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記決定部は、前記第1判定部の判定結果及び前記第4判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記決定部は、前記第1判定部の判定結果、前記第2判定部の判定結果及び前記第4判定部の判定結果に基づいて、前記処理優先度を決定する
請求項1に記載の情報処理装置。
【請求項4】
前記情報処理装置は、さらに、
車両への攻撃に対する対策の、前記情報処理装置に接続された前記車両への適用状況を少なくとも含む車両情報を蓄積する車両情報サーバとネットワークを介して接続され、
前記車両情報サーバに蓄積された前記車両情報に含まれる前記検知結果が示す攻撃に対する対策の前記適用状況が未適用を示すか適用済みを示すかを判定する第3判定部を備え、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記決定部は、前記第1判定部の判定結果、前記第3判定部の判定結果及び前記第4判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記決定部は、前記第1判定部の判定結果、前記第2判定部の判定結果、前記第3判定部の判定結果及び前記第4判定部の判定結果に基づいて、前記処理優先度を決定する
請求項3に記載の情報処理装置。
【請求項5】
前記決定部は、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在し、かつ、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、前記検知結果が示す攻撃が行われた回数が前記所定数未満であるときには、前記処理優先度を第2優先度よりも優先度が低い第3優先度に決定する
請求項4に記載の情報処理装置。
【請求項6】
前記決定部は、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在し、かつ、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、前記適用状況が未適用を示し、かつ前記検知結果が示す攻撃が行われた回数が前記所定数以上であるときには、前記処理優先度を第1優先度よりも優先度が低く、かつ、第3優先度よりも優先度が高い第2優先度に決定する
請求項4又は5に記載の情報処理装置。
【請求項7】
前記決定部は、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在し、かつ、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、前記適用状況が適用済みを示し、かつ前記検知結果が示す攻撃が行われた回数が前記所定数以上であるときには、前記処理優先度を第2優先度よりも優先度が高い第1優先度に決定する
請求項4~6のいずれか1項に記載の情報処理装置。
【請求項8】
前記情報処理装置は、さらに、前記検知結果が示す攻撃に関する情報を表示する表示部の表示内容を前記決定部が決定した前記処理優先度に基づいて制御する表示制御部を備え、
前記表示制御部は、
前記処理優先度が第1優先度に決定された前記検知結果が示す攻撃に関する情報を、前記処理優先度が前記第1優先度よりも優先度が低い第2優先度に決定された前記検知結果が示す攻撃に関する情報、及び、前記第2優先度よりも優先度が低い第3優先度に決定された前記検知結果が示す攻撃に関する情報よりも優先的に表示するよう前記表示部の表示内容を制御し、
前記処理優先度が前記第3優先度に決定された前記検知結果が示す攻撃に関する情報を表示しないよう前記表示部の表示内容を制御する
請求項1~7のいずれか1項に記載の情報処理装置。
【請求項9】
車両と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた少なくとも1つの脅威情報を蓄積する脅威情報サーバと、にネットワークを介して接続された情報処理装置が実行する情報処理方法であって、
前記情報処理装置に接続された前記車両への攻撃の検知結果を取得し、
(i)前記検知結果が示す攻撃が前記脅威情報サーバに蓄積された前記少なくとも1つの脅威情報に存在するか否かを判定し、
(ii)前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合に、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定し、
前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記(i)での判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記(i)での判定結果及び前記(ii)での判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、
決定した前記処理優先度を出力する
情報処理方法。
【請求項10】
請求項9に記載の情報処理方法を前記情報処理装置に実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車両への攻撃の処理優先度を決定する情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
従来、様々なIoT(Internet of Things)機器等の保守対象システムを監視する監視サーバは、保守対象システムに対して攻撃(例えばサイバー攻撃)がなされた場合に、その攻撃に対する検知結果を作成し、作成した検知結果を分析官に提示する。分析官は、保守対象システムになされた攻撃の検知結果を処理し、セキュリティルールを更新する等して、当該攻撃の対策を立てることができる。
【0003】
しかしながら、保守対象システムへの攻撃が多発した場合、数多くの攻撃の検知結果が分析官に提示されることになる。この場合、分析官は、提示された数多くの検知結果のうちのどの検知結果を優先的に処理すべきかわからず、分析業務に支障をきたすおそれがある。
【0004】
例えば、特許文献1には、保守対象システムと脅威情報の適合率(例えば、その脅威の保守対象システムに対する危険度)に応じて、セキュリティルールの更新(例えば、攻撃の対策)の優先度を評価する装置が開示されている。これにより、分析官は、優先度の高い検知結果を優先して処理することができるようになる。
【先行技術文献】
【特許文献】
【0005】
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記特許文献1に開示された優先度の評価方法では、同一の攻撃が数多くあった場合に、当該攻撃の危険度が高く処理優先度が高いと評価されたときには、当該攻撃に対する数多くの検知結果が分析官に提示されることとなる。つまり、分析官は、当該数多くの検知結果のうちの1つのみを処理するだけで当該攻撃に対する対策が可能であるにもかかわらず、数多くの当該攻撃の検知結果のそれぞれに一様に高い優先度が付与されて、分析官に提示される。このため、分析官は、重複した攻撃は処理が不要であるとして、例えば手作業で優先度を付与し直す等の手間がかかる。
【0007】
本開示の目的は、車両への攻撃の処理優先度の決定を効果的に行うことができる情報処理装置等を提供することである。
【課題を解決するための手段】
【0008】
上記目的を達成するために本開示の一態様に係る情報処理装置は、車両と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた少なくとも1つの脅威情報を蓄積する脅威情報サーバと、にネットワークを介して接続された情報処理装置であって、前記情報処理装置に接続された前記車両への攻撃の検知結果を取得する取得部と、前記検知結果が示す攻撃が前記脅威情報サーバに蓄積された前記少なくとも1つの脅威情報に存在するか否かを判定する第1判定部と、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合に、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する第2判定部と、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記第1判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記第1判定部の判定結果及び前記第2判定部の判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定する決定部と、前記決定部が決定した前記処理優先度を出力する出力部と、を備える。
【0009】
上記目的を達成するために本開示の一態様に係る情報処理方法は、車両と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた少なくとも1つの脅威情報を蓄積する脅威情報サーバと、にネットワークを介して接続された情報処理装置が実行する情報処理方法であって、前記情報処理装置に接続された前記車両への攻撃の検知結果を取得し、(i)前記検知結果が示す攻撃が前記脅威情報サーバに蓄積された前記少なくとも1つの脅威情報に存在するか否かを判定し、(ii)前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合に、前記少なくとも1つの脅威情報に含まれる前記検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定し、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在しない場合は、前記(i)での判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、前記検知結果が示す攻撃が前記少なくとも1つの脅威情報に存在する場合は、前記(i)での判定結果及び前記(ii)での判定結果に基づいて、前記検知結果が示す攻撃の処理優先度を決定し、決定した前記処理優先度を出力する。
【0010】
上記目的を達成するために本開示の一態様に係るプログラムは、上記の情報処理方法を前記情報処理装置に実行させるためのプログラムである。
【発明の効果】
【0011】
本開示によれば、車両への攻撃の処理優先度の決定を効果的に行うことができる。
【図面の簡単な説明】
【0012】
【
図1】実施の形態に係る情報処理システムの構成図である。
【
図2】実施の形態に係る車載ネットワークの構成図である。
【
図3】実施の形態に係るセキュリティECUの構成図である。
【
図5】実施の形態に係る監視サーバの構成図である。
【
図6】実施の形態に係る情報処理装置の構成図である。
【
図7】実施の形態に係る情報処理装置の動作の一例を示すフローチャートである。
【
図8】実施の形態に係る脅威情報サーバの構成図である。
【
図9】実施の形態に係る車両情報サーバの構成図である。
【
図10】処理優先度が対応付けられる前の検知結果のデータ構造の一例を示す図である。
【
図11】攻撃に対する対策の最新情報のデータ構造の一例を示す図である。
【
図12】脅威情報のデータ構造の一例を示す図である。
【
図13】車両情報のデータ構造の一例を示す図である。
【
図14】処理優先度が対応付けられた検知結果のデータ構造の一例を示す図である。
【
図15】実施の形態に係る車両で攻撃を検知する場合の処理優先度の決定の流れの一例を示すシーケンス図である。
【
図16】実施の形態に係る情報処理装置で攻撃を検知する場合の処理優先度の決定の流れの一例を示すシーケンス図である。
【
図17】実施の形態に係る情報処理装置の処理優先度の決定方法の一例を示すフローチャートである。
【
図18】実施の形態に係る車両で攻撃を検知する場合の処理優先度の決定の流れの他の一例を示すシーケンス図である。
【
図19】実施の形態に係る情報処理装置で攻撃を検知する場合の処理優先度の決定の流れの他の一例を示すシーケンス図である。
【
図20】実施の形態に係る情報処理装置の処理優先度の決定方法の他の一例を示すフローチャートである。
【
図21】実施の形態に係る情報処理装置の表示部の表示内容の制御方法の具体例を示すフローチャートである。
【
図22A】比較例に係る表示部の表示内容の一例を示す図である。
【
図22B】実施の形態に係る表示部の表示内容の一例を示す図である。
【
図22C】実施の形態に係る表示部の表示内容の他の一例を示す図である。
【発明を実施するための形態】
【0013】
(実施の形態)
以下、実施の形態に係る情報処理システムについて図面を参照しながら説明する。
【0014】
[情報処理システム1の構成]
図1は、実施の形態に係る情報処理システム1の構成図である。
【0015】
情報処理システム1は、車両に対するサイバー攻撃等の脅威に対応するためのシステムである。情報処理システム1において、監視サーバ10、車両50(具体的には、車両50に搭載された車載ネットワーク40)、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた複数の脅威情報を蓄積する脅威情報サーバ20、及び、車両への攻撃に対する対策の車両50への適用状況を少なくとも含む車両情報を蓄積する車両情報サーバ30が、インターネット等の広域ネットワークであるネットワーク60を介して接続されている。なお、監視サーバ10(後述するように監視サーバ10が備える情報処理装置100)にネットワーク60を介して接続された車両を車両50と呼び、車両50に限らない車両全般については符号を付けずに車両と呼ぶ。例えば、車両全般に対する攻撃を車両への攻撃と呼び、監視サーバ10(情報処理装置100)に接続された車両50に対する攻撃を車両50への攻撃と呼ぶ。
【0016】
[車載ネットワーク40の構成]
図2は、実施の形態に係る車載ネットワーク40の構成図である。
【0017】
車載ネットワーク40では、例えばCAN(Controller Area Network)プロトコルに従って通信が行われる。なお、車載ネットワーク40はCANに限定される必要はなく、例えば、Ethernet(登録商標)やFlexRay(登録商標)に基づく通信ネットワークであってもよい。
【0018】
車載ネットワーク40は、例えば、ゲートウェイ(GW)410、各種ECU(Electronic Control Unit)及びバス(例えばCANバス)を含んで構成される。なお、GW410も一種のECUである。各種ECUには、セキュリティECU420及び様々なECU430が含まれる。ECU430としては、例えば、ステアリング、ブレーキ、エンジン、ドア又はウィンドウ等に関連したECUがある。
【0019】
ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行されるプログラムを記憶することができる。例えばプロセッサが、プログラムに従って動作することにより、ECUは各種機能を実現することになる。ECUは、例えば、CANプロトコルに従って車載ネットワークにおけるバスを介してデータの送受信を行う。
【0020】
各ECUは、バスに対して、CANのプロトコルに従ったデータを送受信する。例えば、バスから他のECUが送信したデータを受信し、また、他のECUに送信したい内容を含むデータを生成してバスに送信する。具体的には、各ECUは、受信したデータの内容に応じた処理を行い、また、ECUに接続されている機器、センサ等の状態を示すデータもしくは他のECUへの指示値(制御値)等のデータを生成して送信する。
【0021】
GW410は、車載ネットワーク40におけるバスを流れるデータを、車載ネットワーク40内で転送する機能を有する。また、GW410は、車載ネットワーク40におけるバスを流れるデータをネットワーク60へ送信し、ネットワーク60からデータを受信する。GW410の詳細については、後述する
図4で説明する。
【0022】
セキュリティECU420は、車載ネットワーク40における異常を検知する機能を有する。セキュリティECU420の詳細について、
図3を用いて説明する。
【0023】
[セキュリティECU420の構成]
図3は、実施の形態に係るセキュリティECU420の構成図である。
【0024】
セキュリティECU420は、攻撃検知部4201、攻撃データ無効化部4202、蓄積部4203及び通信部4204を備える。
【0025】
通信部4204は、車載ネットワーク40におけるバスを流れるデータを受信し、また、当該バスへデータを送信する通信回路である。
【0026】
攻撃検知部4201は、通信部4204を介して受信した車載ネットワーク40におけるバスを流れるデータに基づいて車載ネットワーク40への攻撃を検知する。なお、以下では、車載ネットワーク40への攻撃を車両50への攻撃ともいう場合がある。例えば、セキュリティECU420は、攻撃があったか否かを判定するための判定ルールを保持しており、攻撃検知部4201は、バスから受信するデータを判定ルールに照らし合わせることで、車載ネットワーク40への攻撃を検知する。具体的には、攻撃検知部4201は、判定ルールに基づいて、バスを流れるデータの送信周期に異常があったり、バスを流れるデータに含まれる指示値に異常があったりした場合に、車両50が攻撃されたとして、車両50への攻撃を検知する。
【0027】
攻撃データ無効化部4202は、異常と判定されたデータを無効化するために、無効化情報(例えばエラーフレーム)を通信部4204を介してバスへ送信する。これにより、異常と判定されたデータを無効化できる。
【0028】
蓄積部4203は、車両50への攻撃の検知結果を蓄積する。蓄積された検知結果は、通信部4204を介してGW410へ向けてバスへ送信される。
【0029】
[GW410の構成]
図4は、実施の形態に係るGW410の構成図である。
【0030】
GW410は、車外通信部5101、車内通信部5102及び転送処理部5103を備える。
【0031】
車外通信部5101は、車両50の外部と通信するための通信回路であり、ネットワーク60へデータを送信し、ネットワーク60からデータを受信する。
【0032】
車内通信部5102は、車載ネットワーク40内での通信を行うための通信回路であり、バスを流れるデータを受信し、また、バスへデータを送信する。
【0033】
転送処理部5103は、車内通信部5102を介して、GW410に接続された複数のバスのうちの一のバスから受信したデータを他のバスに転送する。また、転送処理部5103は、車内通信部5102を介してバスから受信したデータを、車外通信部5101を介してネットワーク60へ転送する。例えば、転送処理部5103は、バスから受信したセキュリティECU420による検知結果(具体的にはセキュリティECU420の蓄積部4203に蓄積された検知結果)をネットワーク60へ送信する。
【0034】
なお、GW410は、セキュリティECU420の機能を有するセキュリティGWであってもよい。つまり、車載ネットワーク40にセキュリティECU420が設けられず、GW410が、さらに、セキュリティECU420の機能構成要素である攻撃検知部4201、攻撃データ無効化部4202及び蓄積部4203を備えていてもよい。
【0035】
[監視サーバ10の構成]
図5は、実施の形態に係る監視サーバ10の構成図である。
【0036】
監視サーバ10は、情報処理装置100、攻撃検知部110、表示部120、蓄積部130及び通信部140を備える。これらの各構成要素は、監視サーバ10における通信回路、ディスプレイ等の表示装置、メモリ、メモリに格納されたプログラムを実行するプロセッサ等により実現される。
【0037】
情報処理装置100は、本開示の特徴的な構成であり、車両50への攻撃の処理優先度の決定を効果的に行うことができる装置である。情報処理装置100の詳細については、後述する
図6で説明する。
【0038】
通信部140は、ネットワーク60を介して車両50、脅威情報サーバ20及び車両情報サーバ30と通信する。
【0039】
攻撃検知部110は、通信部140を介して車両50から受信した検知結果を詳細に解析等して、車両50への攻撃についてより詳細な検知を行う。なお、車両50は、車両50への攻撃を検知する機能を有していなくてもよい。この場合、車両50は、車載ネットワーク40に流れるデータのログを監視サーバ10に送信し、攻撃検知部110は、当該ログに基づいて車両50への攻撃を検知する。
【0040】
表示部120は、車両50への攻撃の検知結果を表示する表示装置である。表示部120での表示内容については、後述する
図22B及び
図22Cで説明する。
【0041】
蓄積部130は、車両50への攻撃の検知結果を蓄積する。攻撃検知部110での検知結果は、例えば、いったん蓄積部130に格納され、その後情報処置装置100から出力される当該検知結果の処理優先度が対応付けられる。処理優先度が対応付けられる前の検知結果のデータ構造については後述する
図10で説明し、処理優先度が対応付けられた検知結果のデータ構造については後述する
図14で説明する。
【0042】
なお、
図5では、情報処理装置100を監視サーバ10に備えられる装置としているが、情報処理装置100が監視サーバ10の機能も有していてもよい。つまり、情報処理装置100は、攻撃検知部110、表示部120、蓄積部130及び通信部140を備えていてもよい。以下では、情報処理装置100が
図6に示す機能に加えて、監視サーバ10の機能(攻撃検知部110、表示部120、蓄積部130及び通信部140)もさらに有しているとして説明する。
【0043】
[情報処理装置100の構成]
図6は、実施の形態に係る情報処理装置100の構成図である。
【0044】
情報処理装置100は、車両50と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた複数の脅威情報を蓄積する脅威情報サーバ20と、車両への攻撃に対する対策の、車両50への適用状況を少なくとも含む車両情報を蓄積する車両情報サーバ30と、にネットワークを介して接続された装置である。
【0045】
情報処理装置100は、取得部1001、第1判定部1002、第2判定部1003、第3判定部1004、第4判定部1005、攻撃回数記憶部1006、決定部1007、蓄積部1008、出力部1009及び表示制御部1010を備える。これらの各構成要素について、情報処理装置100の動作の説明とともに
図7を用いて説明する。
【0046】
図7は、実施の形態に係る情報処理装置100の動作の一例を示すフローチャートである。
【0047】
取得部1001は、情報処理装置100に接続された車両50への攻撃の検知結果を取得する(ステップS11)。例えば、蓄積部130に蓄積された検知結果(処理優先度が対応付けられる前の検知結果)を取得する。
【0048】
第1判定部1002は、取得された検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定する(ステップS12)。詳細は後述するが、例えば、第1判定部1002は、当該検知結果が示す攻撃に該当する脅威情報が脅威情報サーバ20に蓄積された複数の脅威情報に存在するかを、脅威情報サーバ20に検索させる。
【0049】
第2判定部1003は、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する(ステップS13)。詳細は後述するが、例えば、第2判定部1003は、当該検知結果が示す攻撃に該当する脅威情報において、当該攻撃と対応付けられた当該攻撃に対する対応状況がどうなっているかを、脅威情報サーバ20に確認させる。
【0050】
第3判定部1004は、車両情報サーバ30に蓄積された車両情報に含まれる検知結果が示す攻撃に対する対策の車両50への適用状況が未適用を示すか適用済みを示すかを判定する(ステップS14)。詳細は後述するが、例えば、第3判定部1004は、検知結果が示す攻撃に対する対策の車両50への適用状況がどうなっているかを、車両情報サーバ30に確認させる。例えば、蓄積部1008には、車両への攻撃に対する対策の最新の情報が格納されており、第3判定部1004は、車両情報サーバ30に確認させた検知結果が示す攻撃に対する対策の車両50への適用状況と、蓄積部1008に格納された最新の情報とを比較することで、上記判定を行う。車両への攻撃に対する対策の最新情報のデータ構造については、後述する
図11で説明する。
【0051】
第4判定部1005は、検知結果が示す攻撃が行われた回数が所定数以上であるか否かを判定する(ステップS15)。例えば、所定数は、情報処理装置100の管理者等によって適宜決定される。具体的には、所定数は、車両への攻撃が流行しているだろうと考える数に決定される。詳細は後述するが、例えば、第4判定部1005は、当該検知結果が示す攻撃が行われた回数を脅威情報サーバ20に確認させる。そして、第4判定部1005は、脅威情報サーバ20に確認させた回数に対して1回足した回数を攻撃回数記憶部1006に格納する。また、第4判定部1005は、攻撃回数記憶部1006に格納した当該回数(1回足した回数)を脅威情報サーバ20に送信し、脅威情報サーバ20において管理されている当該検知結果が示す攻撃が行われた回数を、送信した回数に更新させる。つまり、脅威情報サーバ20において管理されている当該検知結果が示す攻撃が行われた回数に1回足される。
【0052】
決定部1007は、第1判定部1002の判定結果、第2判定部1003の判定結果、第3判定部1004の判定結果及び第4判定部1005の判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定する(ステップS16)。例えば、決定部1007は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、検知結果が示す攻撃が行われた回数が所定数未満であるときには、処理優先度を第2優先度よりも優先度が低い第3優先度に決定する。また、例えば、決定部1007は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、適用状況が未適用を示し、かつ検知結果が示す攻撃が行われた回数が所定数以上であるときには、処理優先度を第1優先度よりも優先度が低く、かつ、第3優先度よりも優先度が高い第2優先度に決定する。また、例えば、決定部1007は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、適用状況が適用済みを示し、かつ検知結果が示す攻撃が行われた回数が所定数以上であるときには、処理優先度を第2優先度よりも優先度が高い第1優先度に決定する。決定部1007の動作の詳細については、後述する。
【0053】
出力部1009は、決定部1007が決定した処理優先度を出力する(ステップS17)。例えば、出力部1009は、当該処理優先度を蓄積部130に出力し、処理優先度が対応付けられる前の検知結果に当該処理優先度を対応付ける。
【0054】
そして、表示制御部1010は、検知結果が示す攻撃に関する情報を表示する表示部120の表示内容を、決定部1007が決定した処理優先度に基づいて制御する(ステップS18)。表示制御部1010の動作の詳細については、後述する。
【0055】
なお、情報処理装置100は、車両情報サーバ30とネットワーク60を介して接続されていなくてもよい。この場合、情報処理装置100は、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えていなくてもよい。また、この場合、決定部1007は、第1判定部1002の判定結果及び第2判定部1003の判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定する。例えば、決定部1007は、検知結果が示す攻撃が複数の脅威情報に存在しない場合、検知結果が示す攻撃の処理優先度を第1優先度に決定し、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すときには、処理優先度を第1優先度よりも優先度が低い第2優先度に決定し、当該対応状況が対応済みを示すときには、処理優先度を第2優先度よりも優先度が低い第3優先度に決定する。この場合の決定部1007の動作の詳細についても、後述する。
【0056】
[脅威情報サーバ20の構成]
図8は、実施の形態に係る脅威情報サーバ20の構成図である。
【0057】
脅威情報サーバ20は、情報受付部210、情報検索部220、蓄積部230、情報表示部240及び通信部250を備える。これらの各構成要素は、脅威情報サーバ20における通信回路、ディスプレイ等の表示装置、メモリ、メモリに格納されたプログラムを実行するプロセッサ等により実現される。
【0058】
通信部250は、ネットワーク60を介して情報処理装置100と通信する。
【0059】
情報受付部210は、通信部250を介して車両50への攻撃の検知結果を受け付ける。例えば、情報受付部210は、受け付けた検知結果を予め決められたフォーマットに成形する。
【0060】
例えば、蓄積部230には、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた複数の脅威情報が格納されており、情報検索部220は、情報受付部210が受け付けた検知結果が示す攻撃が、蓄積部230に格納された複数の脅威情報の中に存在するかを検索する。複数の脅威情報のデータ構造については、後述する
図12で説明する。
【0061】
情報検索部220は、当該攻撃が、蓄積部230に格納された複数の脅威情報の中に存在しない場合、その旨を通信部250を介して情報処理装置100に送信する。また、情報受付部210が受け付けた検知結果を新たな脅威情報として、蓄積部230に格納する。
【0062】
情報検索部220は、当該情報が、蓄積部230に格納された複数の脅威情報の中に存在する場合、その旨を通信部250を介して情報処理装置100に送信する。また、情報検索部220は、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況を通信部250を介して情報処理装置100に送信する。また、情報検索部220は、検知結果が示す攻撃が行われた回数を通信部250を介して情報処理装置100に送信する。
【0063】
情報表示部240は、例えば、脅威情報サーバ20の管理者等からの要求に応じて、蓄積部230に格納された複数の脅威情報を表示する。
【0064】
[車両情報サーバ30の構成]
図9は、実施の形態に係る車両情報サーバ30の構成図である。
【0065】
車両情報サーバ30は、情報受付部310、情報検索部320、蓄積部330、情報表示部340及び通信部350を備える。これらの各構成要素は、車両情報サーバ30における通信回路、ディスプレイ等の表示装置、メモリ、メモリに格納されたプログラムを実行するプロセッサ等により実現される。
【0066】
通信部350は、ネットワーク60を介して情報処理装置100と通信する。
【0067】
情報受付部310は、通信部250を介して検知結果が示す攻撃に対する対策の車両50への適用状況がどうなっているかの問合せを受け付ける。例えば、当該問合せには、車両50を特定するための情報として、車両50の車両ID又は車両50の所有者情報等が含まれる。
【0068】
例えば、蓄積部330には、車両への攻撃に対する対策の、車両50への適用状況を少なくとも含む車両情報が格納されており、情報検索部320は、情報受付部310が受け付けた問合せに基づいて、車両情報に含まれる検知結果が示す攻撃に対する対策の車両50への適用状況を確認する。車両情報のデータ構造については、後述する
図13で説明する。情報検索部320は、適用状況を通信部350を介して情報処理装置100に送信する。
【0069】
情報表示部340は、例えば、車両情報サーバ30の管理者等からの要求に応じて、蓄積部330に格納された車両情報を表示する。
【0070】
[データ構造例]
次に、車両への攻撃の検知結果、車両への攻撃に対する対策の最新情報、脅威情報及び車両情報のデータ構造例について、
図10から
図14を用いて説明する。
【0071】
図10は、処理優先度が対応付けられる前の検知結果のデータ構造の一例を示す図である。
【0072】
検知結果は、例えば、車両の攻撃検知部4201又は情報処理装置100の攻撃検知部110により車両への攻撃が検知されたときに生成される。検知結果には、例えば、攻撃検知結果ID、攻撃を受けた車両の車両ID、攻撃を受けた車両の車種、攻撃発生日時、攻撃種別、攻撃経路、メッセージID及び攻撃を受けた車両における攻撃対象等が含まれる。なお、メッセージIDはプロトコルによって定まり、プロトコルがCANであればメッセージIDはCANIDであり、プロトコルがEthernet(登録商標)であればメッセージIDはIPアドレスである。
【0073】
図11は、攻撃に対する対策の最新情報のデータ構造の一例を示す図である。
【0074】
例えば、車両の部品(例えばECU等)ごとに、その部品の機能を乗っ取ったり、その機能を低下又は停止させたりするような攻撃がなされることがあり、車両の部品のメーカは、部品に対する攻撃が分析官等から報告されると、その攻撃に対する対策を行う。具体的には、各メーカは部品のセキュリティパッチを作成する。例えば、攻撃に対する対策の最新情報には、各部品のメーカ名、最新の更新がされた更新日時及び最新更新情報(具体的には最新のファームウェアのバージョン)が含まれる。情報処理装置100は、各メーカから各部品の最新情報を取得し、例えば蓄積部1008に蓄積している。
【0075】
図12は、脅威情報のデータ構造の一例を示す図である。
【0076】
脅威情報は、例えば、脅威情報サーバ20が情報処理装置100から攻撃の検知結果を取得し、検知結果を
図12に示すように成形された情報である。脅威情報には、車両への攻撃と当該攻撃に対する対応状況とが少なくとも対応付けられる。例えば、本実施の形態では、脅威情報には、脅威情報ID、検知結果が示す攻撃の対応状況、攻撃発生日時、攻撃を受けた車両の車種、攻撃種別、攻撃発生回数、攻撃経路、メッセージID及び攻撃を受けた車両における攻撃対象等が含まれる。対応状況は、攻撃対象の部品のメーカがその攻撃に対する対策を行った場合、対応済みとなる。攻撃の発生回数は、情報処理装置100が様々な車両を監視して様々な車両がその攻撃を受けて、その攻撃を検知した回数となる。つまり、攻撃の発生回数が多いと、多くの車両においてその攻撃が流行していることになる。例えば、
図12には、3つの脅威情報の例が示されているが、脅威情報サーバ20は、攻撃毎にこのような脅威情報を数多く蓄積している。
【0077】
図13は、車両情報のデータ構造の一例を示す図である。
【0078】
車両情報は、各個人が所有している車両についての情報であり、車両への攻撃に対する対策の、情報処理装置100に接続された車両50への適用状況を少なくとも含む。例えば、本実施の形態では、車両情報には、車両ID、所有者情報、乗車回数、車種及び車両が備える部品の型番及び各部品に現在適用されているファームウェアのバージョン等が含まれる。なお、各個人が所有している車両が備える部品のファームウェアのバージョンは、最新のものとは限らない。例えば、
図11に示すように、部品「ECU01」の最新のファームウェアのバージョンは1.50であるのに対して、
図13に示すように、車両IDが「CAR-100」の車両が備える部品「ECU01」の現在のファームウェアのバージョンは1.40と最新のものになっていない。
【0079】
図14は、処理優先度が対応付けられた検知結果のデータ構造の一例を示す図である。
【0080】
図14に示すように、
図10に示す検知結果に対して、さらに処理優先度が対応付けられていることがわかる。処理優先度として、「高」は最も優先度の高い第1優先度を意味し、「中」は2番目に優先度の高い第2優先度を意味し、「低」は最も優先度の低い第3優先度を意味する。
【0081】
[具体例]
次に、検知結果の処理優先度の決定の流れについて、具体例をあげて説明する。
【0082】
車両50への攻撃を車両50自身で検知する場合の処理優先度の決定の流れの一例について
図15を用いて説明する。
【0083】
図15は、実施の形態に係る車両50で攻撃を検知する場合の処理優先度の決定の流れの一例を示すシーケンス図である。なお、ここでは、情報処理装置100は、車両情報サーバ30とネットワーク60を介して接続されておらず、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えていないとする。
【0084】
車両50は、車両50への攻撃を検知し(ステップS101)、攻撃の検知結果を情報処理装置100へ送信する(ステップS102)。
【0085】
情報処理装置100は、車両50から受信した車両50への攻撃の検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するかを脅威情報サーバ20に検索させるために、当該検知結果を脅威情報サーバ20へ送信する(ステップS103)。
【0086】
脅威情報サーバ20は、受信した検知結果を脅威情報サーバ20が蓄積する複数の脅威情報に照合して、検知結果が示す攻撃(つまり、車両50への攻撃)が複数の脅威情報に存在するかを検索し、検索結果を情報処理装置100へ送信する(ステップS104)。例えば、脅威情報サーバ20は、
図12に示す複数の脅威情報(脅威情報IDが「A0001」、「A0002」、「A0080」、・・・)を蓄積しており、
図10の攻撃検知結果IDが「B001」の検知結果を受信したとする。この場合、車両50への攻撃は、「Model-A」の車種の車両に搭載された「ECU01」への「OBD-II」からのメッセージID「0xAA」が含まれる「A攻撃」という攻撃になる。検知結果における車種、攻撃種別、攻撃経路、メッセージID及び攻撃対象が、複数の脅威情報のうちの脅威情報IDが「A0001」のものと合致する。このため、脅威情報サーバ20は、車両50への攻撃が複数の脅威情報に存在することを示す検索結果を情報処理装置100へ送信する。また、脅威情報IDが「A0001」の脅威情報に含まれる車両50への攻撃に対する対応状況は「対応済み」となっている。このため、脅威情報サーバ20は、複数の脅威情報に含まれる車両50への攻撃に対する対応状況が対応済みであることも、例えば検索結果の送信と合わせて行う。
【0087】
情報処理装置100は、第1判定として、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定し、第2判定として、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する(ステップS105)。例えば、情報処理装置100は、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在すると判定し、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示すと判定する。
【0088】
情報処理装置100は、第1判定の判定結果及び第2判定の判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定し、決定した処理優先度を出力する(ステップS106)。具体的な決定方法については、後述する
図17で説明する。
【0089】
情報処理装置100は、検知結果が示す攻撃に関する情報を表示する表示部120の表示内容を決定された処理優先度に基づいて制御する(ステップS107)。具体的な制御方法については、後述する
図21で説明する。
【0090】
情報処理装置100は、検知結果が示す攻撃に関する情報を、制御された表示内容によって表示部120に表示する(ステップS108)。具体的な表示内容については、後述する
図22B及び
図22Cで説明する。
【0091】
次に、車両50への攻撃を情報処理装置100で検知する場合の処理優先度の決定の流れの一例について
図16を用いて説明する。
【0092】
図16は、実施の形態に係る情報処理装置100で攻撃を検知する場合の処理優先度の決定の流れの一例を示すシーケンス図である。なお、ここでは、情報処理装置100は、車両情報サーバ30とネットワーク60を介して接続されておらず、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えていないとする。
【0093】
車両50は、車載ネットワーク40において流れる車両データもしくは車両データの解析結果を情報処理装置100へ送信する(ステップS201)。
【0094】
情報処理装置100は、受信した車両データもしくは車両データの解析結果から車両50への攻撃を検知する(ステップS202)。
【0095】
以降の処理は、
図15での説明と同じであるため説明は省略する。
【0096】
情報処理装置100が、車両情報サーバ30とネットワーク60を介して接続されておらず、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えていない場合の処理優先度の決定方法の具体例について、
図17を用いて説明する。
【0097】
図17は、実施の形態に係る情報処理装置100の処理優先度の決定方法の一例を示すフローチャートである。
【0098】
情報処理装置100は、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定する(ステップS21)。
【0099】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在しない場合(ステップS21でNo)、検知結果が示す攻撃の処理優先度を第1優先度に決定する(ステップS22)。この場合、車両50が受けた攻撃が未知の攻撃であり、早急に対応が必要となる可能性があるため、処理優先度を最も高い第1優先度とすることができる。
【0100】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在する場合に(ステップS21でYes)、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する(ステップS23)。
【0101】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すときには(ステップS23で未対応)、処理優先度を第2優先度に決定する(ステップS24)。この場合、車両50が受けた攻撃が既知の攻撃ではあるがまだ対応されていないため、処理優先度を2番目に高い第2優先度とすることができる。
【0102】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示すときには(ステップS23で対応済み)、処理優先度を第3優先度に決定する(ステップS25)。この場合、車両50が受けた攻撃が既知の攻撃で既に対応されているため、処理優先度を最も低い第3優先度とすることができる。
【0103】
次に、車両50への攻撃を車両50自身で検知する場合の処理優先度の決定の流れの他の一例について
図18を用いて説明する。
【0104】
図18は、実施の形態に係る車両50で攻撃を検知する場合の処理優先度の決定の流れの一例を示すシーケンス図である。なお、ここでは、情報処理装置100は、車両情報サーバ30とネットワーク60を介して接続されており、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えているとする。
【0105】
車両50は、車両50への攻撃を検知し(ステップS301)、攻撃の検知結果を情報処理装置100へ送信する(ステップS302)。
【0106】
情報処理装置100は、車両50から受信した車両50への攻撃の検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するかを脅威情報サーバ20に検索させるために、当該検知結果を脅威情報サーバ20へ送信する(ステップS303)。
【0107】
脅威情報サーバ20は、受信した検知結果を脅威情報サーバ20が蓄積する複数の脅威情報に照合して、検知結果が示す攻撃(つまり、車両50への攻撃)が複数の脅威情報に存在するかを検索し、検索結果を情報処理装置100へ送信する(ステップS304)。例えば、
図16での説明と同じように、脅威情報サーバ20は、車両50への攻撃が複数の脅威情報に存在することを示す検索結果及び車両50への攻撃に対する対応状況が対応済みであることを情報処理装置100へ送信する。さらに、脅威情報サーバ20は車両50への攻撃と同じ攻撃が行われた回数(例えば、
図12に示す脅威情報IDがA0001の攻撃の場合20回)を情報処理装置100へ送信する。
【0108】
情報処理装置100は、第1判定として、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定し、第2判定として、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する(ステップS305)。例えば、情報処理装置100は、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在すると判定し、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示すと判定する。
【0109】
情報処理装置100は、車両情報サーバ30に蓄積された車両情報に含まれる検知結果が示す攻撃に対する対策の車両50への適用状況を車両情報サーバ30に確認させるために、車両50の車両ID又は車両50の所有者情報等の車両50を特定するための情報を車両情報サーバ30に送信する(ステップS306)。
【0110】
車両情報サーバ30は、受信した車両50を特定するための情報を車両情報サーバ30が蓄積する車両情報に照合して、車両への攻撃の対策の車両50への適用状況を確認し、適用状況を情報処理装置100へ送信する(ステップS307)。例えば、車両情報サーバ30は、
図13に示す車両情報(車両IDが「CAR-100」、「CAR-101」、「CAR-102」、・・・)を蓄積しており、攻撃(例えば、
図10に示す攻撃検知結果IDが「B001」の攻撃)を受けた車両50の車両IDとして、「CAR-100」を受信したとする。これにより、
図13に示す車両IDが「CAR-100」の車両50について、攻撃に対する対策の適用状況として、部品「ECU01」についてはファームウェアのバージョンが1.40であり、部品「ECU02」についてはファームウェアのバージョンが2.10であり、部品「ECU50」についてはファームウェアのバージョンが3.20であると確認できる。車両情報サーバ30は、このような適用状況を情報処理装置100へ送信する。
【0111】
なお、ステップS306及びステップS307での処理について、ステップS305での処理の後に行われたが、ステップS305での処理の前に行われてもよい。
【0112】
情報処理装置100は、第3判定として、車両情報サーバ30に蓄積された車両情報に含まれる検知結果が示す攻撃に対する対策の車両50への適用状況が未適用を示すか適用済みを示すかを判定し、第4判定として、検知結果が示す攻撃が行われた回数が所定数以上であるか否かを判定する(ステップS308)。例えば、情報処理装置100は、
図13に示すように、車両IDが「CAR-100」の車両50の部品「ECU01」の攻撃の対策の適用状況としてファームウェアのバージョンが1.40となっているのに対して、
図11に示すように、部品「ECU01」のファームウェアの最新のバージョンが1.50となっている。つまり、車両50の攻撃に対する対策は最新のものとなっていない。このため、情報処理装置100は、検知結果が示す攻撃に対する対策の車両50への適用状況が未適用を示すと判定する。また、例えば所定数が10回と決められている場合、情報処理装置100は、検知結果が示す攻撃が行われた回数(20回)が所定数以上であると判定する。
【0113】
情報処理装置100は、第1判定の判定結果、第2判定の判定結果、第3判定の判定結果及び第4判定の判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定し、決定した処理優先度を出力する(ステップS309)。具体的な決定方法については、後述する
図20で説明する。
【0114】
情報処理装置100は、検知結果が示す攻撃に関する情報を表示する表示部120の表示内容を決定された処理優先度に基づいて制御する(ステップS310)。具体的な制御方法については、後述する
図21で説明する。
【0115】
情報処理装置100は、検知結果が示す攻撃に関する情報を制御された表示内容によって表示部120に表示する(ステップS311)。具体的な表示内容については、後述する
図22B及び
図22Cで説明する。
【0116】
車両50への攻撃を情報処理装置100で検知する場合の処理優先度の決定の流れの他の一例について
図19を用いて説明する。
【0117】
図19は、実施の形態に係る情報処理装置100で攻撃を検知する場合の処理優先度の決定の流れの他の一例を示すシーケンス図である。なお、ここでは、情報処理装置100は、車両情報サーバ30とネットワーク60を介して接続されており、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えているとする。
【0118】
車両50は、車載ネットワーク40において流れる車両データもしくは車両データの解析結果を情報処理装置100へ送信する(ステップS401)。
【0119】
情報処理装置100は、受信した車両データもしくは車両データの解析結果から車両50への攻撃を検知する(ステップS402)。
【0120】
以降の処理は、
図18での説明と同じであるため説明は省略する。
【0121】
情報処理装置100が、車両情報サーバ30とネットワーク60を介して接続されており、第3判定部1004、第4判定部1005、攻撃回数記憶部1006及び蓄積部1008を備えている場合の処理優先度の決定方法の具体例について、
図20を用いて説明する。
【0122】
図20は、実施の形態に係る情報処理装置100の処理優先度の決定方法の他の一例を示すフローチャートである。
【0123】
情報処理装置100は、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定する(ステップS31)。
【0124】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在しない場合(ステップS31でNo)、検知結果が示す攻撃の処理優先度を第1優先度に決定する(ステップS32)。この場合、車両50が受けた攻撃が未知の攻撃であり、早急に対応が必要となる可能性があるため、処理優先度を最も高い第1優先度とすることができる。
【0125】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在する場合に(ステップS31でYes)、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定する(ステップS33)。
【0126】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すときには(ステップS33で未対応)、処理優先度を第2優先度に決定する(ステップS34)。この場合、車両50が受けた攻撃が既知の攻撃ではあるがまだ対応されていないため、処理優先度を2番目に高い第2優先度とすることができる。
【0127】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合(ステップS33で対応済み)、車両情報サーバ30に蓄積された車両情報に含まれる検知結果が示す攻撃に対する対策の車両50への適用状況が未適用を示すか適用済みを示すかを判定する(ステップS35)。
【0128】
また、情報処理装置100は、攻撃の対策の車両50への適用状況が未適用か適用済みであるかに関わらず、検知結果が示す攻撃が行われた回数が所定数以上であるか否かを判定する(ステップS36又はステップS39)。なお、検知結果が示す攻撃が行われた回数が所定数以上であるか否かの判定が行われた後に、攻撃の対策の車両50への適用状況についての判定が行われてもよい。
【0129】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、上記適用状況が未適用を示し(ステップS35で未適用)、かつ検知結果が示す攻撃が行われた回数が所定数以上であるときには(ステップS39でYes)、処理優先度を第2優先度に決定する(ステップS40)。この場合、車両50が受けた攻撃が既知の攻撃で既に対応されているが、当該攻撃が流行しており、当該攻撃の対策が車両50に適用されていないと考えられる。この場合、多くの車両で当該攻撃の対策が適用されていないおそれがあるため、処理優先度を2番目に高い第2優先度とすることができる。
【0130】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、適用状況が適用済みを示し(ステップS35で適用済み)、かつ検知結果が示す攻撃が行われた回数が所定数以上であるときには(ステップS36でYes)、処理優先度を第1優先度に決定する(ステップS37)。この場合、当該攻撃が流行しており、当該攻撃の対策が車両50に適用されているにも関わらず車両50から当該攻撃が検知されていると考えられる。この場合、当該攻撃の対策が機能していないおそれがあるため、処理優先度を最も高い第1優先度とすることができる。
【0131】
情報処理装置100は、検知結果が示す攻撃が複数の脅威情報に存在し、かつ、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が対応済みを示す場合に、検知結果が示す攻撃が行われた回数が前記所定数未満であるときには(ステップS36又はステップS39でNo)、処理優先度を第3優先度に決定する(ステップS38又はステップS41)。つまり、攻撃の対策の車両50への適用状況が未適用か適用済みであるかに関わらず、検知結果が示す攻撃が行われた回数が前記所定数未満であるときには、処理優先度が第3優先度に決定される。この場合、車両50が受けた攻撃が既知の攻撃で既に対応されており、さらに、当該攻撃が流行していないと考えられる。このため、この場合、処理優先度を最も低い第3優先度とすることができる。
【0132】
次に、表示部120の表示内容を決定された処理優先度に基づいて制御する方法について、具体例をあげて説明する。
【0133】
図21は、実施の形態に係る情報処理装置100の表示部120の表示内容の制御方法の具体例を示すフローチャートである。
【0134】
情報処理装置100は、決定した処理優先度が第1優先度、第2優先度及び第3優先度のうちのいずれであるかを判定する(ステップS51)。
【0135】
情報処理装置100は、決定した処理優先度が第1優先度の場合(ステップS51で第1優先度)、処理優先度が第1優先度に決定された検知結果が示す攻撃に関する情報を、処理優先度が第2優先度に決定された検知結果が示す攻撃に関する情報、及び、第3優先度に決定された検知結果が示す攻撃に関する情報よりも優先的に表示するよう表示部120の表示内容を制御する(ステップS52)。処理優先度の最も高い第1優先度の攻撃を示す検知結果が優先的に表示されるため、例えば分析官は当該攻撃を示す検知結果の処理を優先的に行いやすくなる。
【0136】
情報処理装置100は、決定した処理優先度が第2優先度の場合(ステップS51で第2優先度)、処理優先度が第2優先度に決定された検知結果が示す攻撃に関する情報を、処理優先度が第1優先度に決定された検知結果が示す攻撃に関する情報の下部に表示するよう表示部120の表示内容を制御する(ステップS53)。処理優先度の最も高い第1優先度の攻撃を示す検知結果が優先的に表示されつつ、その下に処理優先度が2番目に高い第2優先度の攻撃を示す検知結果を表示することができる。
【0137】
情報処理装置100は、決定した処理優先度が第3優先度の場合(ステップS51で第3優先度)、処理優先度が第3優先度に決定された検知結果が示す攻撃に関する情報を表示しないよう表示部120の表示内容を制御する(ステップS54)。処理優先度の最も低い第3優先度の攻撃を示す検知結果が表示されないため、例えば分析官は、より処理優先度の高い攻撃を示す検知結果の処理を優先的に行いやすくなる。
【0138】
次に、表示部120の表示内容について、具体例をあげて説明する。
【0139】
図22Aは、比較例に係る表示部120の表示内容の一例を示す図である。
【0140】
従来、アクセスを膨大に繰り返すような攻撃が発生し同一の攻撃が数多くあった場合に、当該攻撃の危険度が高く処理優先度が高いと評価されたときには、
図22Aに示すように、当該攻撃に対する数多くの検知結果が表示部120に表示される。このとき、分析官は、当該数多くの検知結果のうちの1つのみを処理するだけで当該攻撃に対する対策が可能である。例えば、分析官は、それぞれ同一の攻撃であるEvent IDが「001」、「009」及び「010」の攻撃のうち、例えばEvent IDが「001」の攻撃の検知結果のみを処理するだけで足り、また、それぞれ同一の攻撃であるEvent IDが「002」から「008」の攻撃のうち、例えばEvent IDが「002」の攻撃の検知結果のみを処理するだけで足りる。それにもかかわらず、従来、数多くの当該攻撃の検知結果のそれぞれに一様に高い優先度が付与されて、分析官に提示される。このため、分析官は、重複した攻撃は処理が不要であるとして、例えば手作業で優先度を付与し直す等の手間がかかる。
【0141】
これに対して、本開示では、表示部120の表示内容は、
図22B又は
図22Cに示すようなものとなる。
【0142】
図22Bは、実施の形態に係る表示部120の表示内容の一例を示す図である。
図22Cは、実施の形態に係る表示部120の表示内容の他の一例を示す図である。なお、ここでは、検知結果が示す攻撃に関する情報を、例えば、当該攻撃が行われた日時、処理優先度、攻撃対象及び攻撃種別を含む情報としている。
【0143】
例えば、
図22Bに示すように、処理優先度が第1優先度(高)に決定された検知結果が示す攻撃に関する情報は、第2優先度(中)及び第3優先度(低)に決定された検知結果が示す攻撃に関する情報よりも優先的に表示される。具体的には、第1優先度が第2優先度よりも目立つように、第2優先度に決定された検知結果が示す攻撃に関する情報が第1優先度に決定された検知結果が示す攻撃に関する情報の下部に階層的に表示される。また、第3優先度に決定された検知結果が示す攻撃に関する情報が表示されない。
【0144】
また、例えば、
図22Cに示すように、第1優先度に決定された検知結果が示す攻撃に関する情報のみが表示され、第2優先度及び第3優先度に決定された検知結果が示す攻撃に関する情報は表示されなくてもよい。
【0145】
なお、表示内容は、第1優先度が第2優先度及び第3優先度よりも優先的に表示されれば、
図22B及び
図22Cに示すものに限らない。
【0146】
[まとめ]
以上説明したように、検知結果が示す攻撃(つまり車両50が受けた攻撃)が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否か(つまり、車両50が受けた攻撃がすでに過去に検出されているか否か)の判定結果、及び、当該攻撃が未対応か対応済みかの判定結果に基づいて当該攻撃の処理優先度が決定される。このため、同一であり未知の攻撃が数多くあった場合、当該数多くの攻撃のうちの1つ目の攻撃については、脅威情報サーバ20に蓄積された複数の脅威情報に存在しないと判定される。2つ目以降の攻撃については、1つ目の攻撃についての脅威情報が脅威情報サーバ20に蓄積されることになるため、脅威情報サーバ20に蓄積された複数の脅威情報に存在すると判定される。したがって、当該数多くの攻撃のうちの1つ目の攻撃と2つ目以降の攻撃について、異なる判定結果となるため、処理優先度についても異なるものとすることができる。さらに、当該攻撃が未対応か対応済みかの判定によっても処理優先度を異なるものとすることができる。このように、車両50への攻撃の過去の検出状況及び車両への攻撃の対応状況に基づいて、車両50への攻撃の処理優先度の決定を効果的に行うことができる。
【0147】
さらに、検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かの判定結果、及び、当該攻撃が未対応か対応済みかの判定結果に加えて、車両情報サーバ30に蓄積された車両情報に含まれる当該攻撃に対する対策の適用状況が未適用を示すか適用済みを示すか(つまり、攻撃を受けた車両50に対して当該攻撃の対策が適用されているか否か)の判定結果、及び、当該攻撃が行われた回数が所定数以上であるか否か(つまり、車両50が受けた攻撃を他の車両も受けており、当該攻撃が流行しているか否か)の判定結果に基づいて当該攻撃の処理優先度が決定される。このように、処理優先度の決定のための条件がより詳細に設定されるため、車両50への攻撃の処理優先度の決定をより詳細に行うことができる。
【0148】
(その他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
【0149】
例えば、情報処理装置100は、表示制御部1010を備えていなくてもよく、表示部120の表示内容の制御は、情報処理装置100から出力された処理優先度に基づいて、他の装置が行ってもよい。
【0150】
なお、本開示は、情報処理装置100として実現できるだけでなく、情報処理装置100を構成する各構成要素が行うステップ(処理)を含む情報処理方法として実現できる。
【0151】
情報処理方法は、車両50と、それぞれ車両への攻撃と当該攻撃に対する対応状況とが対応付けられた複数の脅威情報を蓄積する脅威情報サーバ20と、にネットワークを介して接続された情報処理装置100が実行する情報処理方法であって、
図7に示すように、情報処理装置100に接続された車両50への攻撃の検知結果を取得し(ステップS11)、(i)検知結果が示す攻撃が脅威情報サーバ20に蓄積された複数の脅威情報に存在するか否かを判定し(ステップS12)、(ii)検知結果が示す攻撃が複数の脅威情報に存在する場合に、複数の脅威情報に含まれる検知結果が示す攻撃に対する対応状況が未対応を示すか対応済みを示すかを判定し(ステップS13)、上記(i)での判定結果及び上記(ii)での判定結果に基づいて、検知結果が示す攻撃の処理優先度を決定し(ステップS16)、決定した処理優先度を出力する(ステップS17)。
【0152】
例えば、情報処理方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、情報処理方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
【0153】
さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
【0154】
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。
【0155】
また、上記実施の形態の情報処理装置100に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。
【0156】
また、上記実施の形態の情報処理装置100に含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
【0157】
また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
【0158】
さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、情報処理装置100に含まれる各構成要素の集積回路化が行われてもよい。
【0159】
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
【産業上の利用可能性】
【0160】
本開示は、車両への攻撃を監視する装置等に適用できる。
【符号の説明】
【0161】
1 情報処理システム
10 監視サーバ
20 脅威情報サーバ
30 車両情報サーバ
40 車載ネットワーク
50 車両
60 ネットワーク
100 情報処理装置
110 攻撃検知部
120 表示部
130 蓄積部
140 通信部
210 情報受付部
220 情報検索部
230 蓄積部
240 情報表示部
250 通信部
310 情報受付部
320 情報検索部
330 蓄積部
340 情報表示部
350 通信部
410 GW
420 セキュリティECU
430 ECU
1001 取得部
1002 第1判定部
1003 第2判定部
1004 第3判定部
1005 第4判定部
1006 攻撃回数記憶部
1007 決定部
1008 蓄積部
1009 出力部
1010 表示制御部
4201 攻撃検知部
4202 攻撃データ無効化部
4203 蓄積部
4204 通信部
5101 車外通信部
5102 車内通信部
5103 転送処理部