▶ パナソニックオートモーティブシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024157113
(43)【公開日】2024-11-07
(54)【発明の名称】監視システム及び制御方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20241030BHJP
【FI】
G06F11/07 193
G06F11/07 140R
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023071248
(22)【出願日】2023-04-25
(11)【特許番号】
(45)【特許公報発行日】2024-06-28
(71)【出願人】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】平野 亮
(72)【発明者】
【氏名】今本 吉治
(72)【発明者】
【氏名】関屋 翔一朗
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GA22
5B042GB08
5B042KK11
5B042KK17
5B042KK20
(57)【要約】
【課題】異常対応処理を実行することによる車両の機能への影響を抑えることができる監視システムを提供する。
【解決手段】統合ECU10は、ホスト仮想マシン40と、ホスト仮想マシン40におけるセキュリティ異常を検出する異常検出部54と、車載システム2で実行される複数のサービスの一覧を示すサービスリストを記憶するサービスリスト記憶部66と、異常検出部54によりセキュリティ異常が検出された場合に、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部70と、判定部70の判定結果に基づいて、特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部56とを備える。
【選択図】図3
【解決手段】統合ECU10は、ホスト仮想マシン40と、ホスト仮想マシン40におけるセキュリティ異常を検出する異常検出部54と、車載システム2で実行される複数のサービスの一覧を示すサービスリストを記憶するサービスリスト記憶部66と、異常検出部54によりセキュリティ異常が検出された場合に、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部70と、判定部70の判定結果に基づいて、特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部56とを備える。
【選択図】図3
【特許請求の範囲】
【請求項1】
車両に搭載された車載システムを監視するための監視システムであって、
オペレーティングシステムと、
前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、
前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、
前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、
前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、を備える
監視システム。
オペレーティングシステムと、
前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、
前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、
前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、
前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、を備える
監視システム。
【請求項2】
前記監視システムは、さらに、前記異常対応部により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数する計数部を備え、
前記判定部は、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
前記判定部は、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
【請求項3】
前記監視システムは、さらに、前記異常対応回数と前記異常対応処理との対応関係を示す異常対応テーブルを記憶する第2の記憶部を備え、
前記判定部は、前記異常対応テーブルを参照することにより、前記計数部により計数された前記異常対応回数に対応する前記異常対応処理に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項2に記載の監視システム。
前記判定部は、前記異常対応テーブルを参照することにより、前記計数部により計数された前記異常対応回数に対応する前記異常対応処理に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項2に記載の監視システム。
【請求項4】
前記監視システムは、さらに、前記車両の状態を示す情報である車両状態情報を取得する取得部を備え、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項2又は3に記載の監視システム。
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項2又は3に記載の監視システム。
【請求項5】
前記車両状態情報は、前記車両の状態として、前記車両が走行中又は停車中であることを示す情報であり、
前記サービスリストでは、前記複数のサービスの各々と、前記車両が走行中又は停車中に当該サービスを停止することの可否とが対応付けられており、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスのうち、前記車両が走行中又は停車中において停止することが不可能なサービスを前記特定のサービスとして採用しない
請求項4に記載の監視システム。
前記サービスリストでは、前記複数のサービスの各々と、前記車両が走行中又は停車中に当該サービスを停止することの可否とが対応付けられており、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスのうち、前記車両が走行中又は停車中において停止することが不可能なサービスを前記特定のサービスとして採用しない
請求項4に記載の監視システム。
【請求項6】
前記監視システムは、さらに、前記異常対応部により前記特定のサービスが停止又は設定変更された場合に、前記特定のサービスが停止又は設定変更された旨を通知する通知部を備える
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項7】
前記通知部は、さらに、前記セキュリティ異常が解消された場合に、前記異常対応部が実行した前記異常対応処理の内容を通知する
請求項6に記載の監視システム。
請求項6に記載の監視システム。
【請求項8】
前記異常対応部は、前記異常検出部により前記セキュリティ異常が検出された場合に、前記セキュリティ異常が検出された前記オペレーティングシステムを複製した複製オペレーティングシステムを生成する
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項9】
前記サービスリストでは、前記複数のサービスの各々に対して優先度が対応付けられており、
前記判定部は、前記優先度に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
前記判定部は、前記優先度に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
【請求項10】
前記サービスリストでは、前記複数のサービスは、ネットワーク、デバイス、車両機能、車両安全機能及びセキュリティの少なくとも1つを含むカテゴリに分類されている
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項11】
車両に搭載される車載システムを監視するための監視システムにおける制御方法であって、
(a)前記オペレーティングシステムにおけるセキュリティ異常を検出するステップと、
(b)前記(a)で前記セキュリティ異常が検出された場合に、前記車載システムで実行される複数のサービスの一覧を示すサービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定するステップと、
(c)前記(b)の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行するステップと、を含む
制御方法。
(a)前記オペレーティングシステムにおけるセキュリティ異常を検出するステップと、
(b)前記(a)で前記セキュリティ異常が検出された場合に、前記車載システムで実行される複数のサービスの一覧を示すサービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定するステップと、
(c)前記(b)の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行するステップと、を含む
制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、監視システム及び制御方法に関する。
【背景技術】
【0002】
車両に搭載されたオペレーションシステムが外部からの攻撃を受けた場合に、オペレーティングシステムにおけるセキュリティ異常の発生の有無を監視する監視システムが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第7113337号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述した従来の監視システムでは、セキュリティ異常を解消するための異常対応処理を実行することにより、車両の機能が大きく制限されるおそれがある。
【0005】
そこで、本開示は、異常対応処理を実行することによる車両の機能への影響を抑えることができる監視システム及び制御方法を提供する。
【課題を解決するための手段】
【0006】
本開示の一態様に係る監視システムは、車両に搭載された車載システムを監視するための監視システムであって、オペレーティングシステムと、前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、を備える。
【0007】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM(Compact Disc-Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0008】
本開示の一態様に係る監視システム等によれば、異常対応処理を実行することによる車両の機能への影響を抑えることができる。
【図面の簡単な説明】
【0009】
【図1】実施の形態に係る車載システムの概要を示す概念図である。
【図2】実施の形態に係る車載システムの概要を示すブロック図である。
【図3】実施の形態に係る統合ECUの機能構成を示すブロック図である。
【図4A】実施の形態に係る検出結果情報の一例を示す図である。
【図4B】実施の形態に係る車両状態情報の一例を示す図である。
【図4C】実施の形態に係る異常対応回数の一例を示す図である。
【図5】実施の形態に係るサービスリストの一例を示す図である。
【図6】実施の形態に係る異常対応テーブルの一例を示す図である。
【図7】実施の形態に係る統合ECUの判定部の処理を説明するための図である。
【図8】実施の形態に係る停止サービスリストの一例を示す図である。
【図9】実施の形態に係る統合ECUの全体動作の流れを示すシーケンス図である。
【図10】実施の形態に係る統合ECUの判定部の動作の流れを示すフローチャートである。
【図11】実施の形態に係る統合ECUの判定部の動作の流れを示すフローチャートである。
【図12】実施の形態に係る統合ECUの判定部の動作の流れを示すフローチャートである。
【図13】実施の形態に係る統合ECUの判定部の動作を説明するための図である。
【図14】実施の形態の変形例に係る異常対応テーブルの一例を示す図である。
【発明を実施するための形態】
【0010】
本開示の第1の態様に係る監視システムは、車両に搭載された車載システムを監視するための監視システムであって、オペレーティングシステムと、前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、を備える。
【0011】
本態様によれば、判定部は、異常検出部によりセキュリティ異常が検出された場合に、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する。これにより、異常対応部は、例えば脆弱性を含む可能性の高い、最小限の特定のサービスを停止又は設定変更する異常対応処理を実行するので、異常対応処理を実行することによる車両の機能への影響を最小限に抑えることができる。
【0012】
また、本開示の第2の態様に係る監視システムでは、第1の態様において、前記監視システムは、さらに、前記異常対応部により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数する計数部を備え、前記判定部は、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定するように構成してもよい。
【0013】
本態様によれば、異常対応回数が増大するのに従って、例えば脆弱性を含む可能性の高いものから順に、特定のサービスを停止又は設定変更する異常対応処理を実行することができる。
【0014】
また、本開示の第3の態様に係る監視システムでは、第2の態様において、前記監視システムは、さらに、前記異常対応回数と前記異常対応処理との対応関係を示す異常対応テーブルを記憶する第2の記憶部を備え、前記判定部は、前記異常対応テーブルを参照することにより、前記計数部により計数された前記異常対応回数に対応する前記異常対応処理に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定するように構成してもよい。
【0015】
本態様によれば、異常対応回数が増大するのに従って、例えば脆弱性を含む可能性の高いものから順に、特定のサービスを停止又は設定変更する異常対応処理を実行することができる。
【0016】
また、本開示の第4の態様に係る監視システムでは、第2の態様又は第3の態様において、前記監視システムは、さらに、前記車両の状態を示す情報である車両状態情報を取得する取得部を備え、前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定するように構成してもよい。
【0017】
本態様によれば、車両状態情報をも加味して、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定することができる。
【0018】
また、本開示の第5の態様に係る監視システムでは、第4の態様において、前記車両状態情報は、前記車両の状態として、前記車両が走行中又は停車中であることを示す情報であり、前記サービスリストでは、前記複数のサービスの各々と、前記車両が走行中又は停車中に当該サービスを停止することの可否とが対応付けられており、前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスのうち、前記車両が走行中又は停車中において停止することが不可能なサービスを前記特定のサービスとして採用しないように構成してもよい。
【0019】
本態様によれば、車両が走行中又は停車中において停止することが不可能なサービスを、停止又は設定変更すべき特定のサービスとして採用しないことにより、車載システムへの影響を最小限に抑えることができる。
【0020】
また、本開示の第6の態様に係る監視システムでは、第1の態様~第5の態様のいずれか一態様において、前記監視システムは、さらに、前記異常対応部により前記特定のサービスが停止又は設定変更された場合に、前記特定のサービスが停止又は設定変更された旨を通知する通知部を備えるように構成してもよい。
【0021】
本態様によれば、特定のサービスが停止又は設定変更された旨を、例えば外部の監視サーバ等で把握することができる。
【0022】
また、本開示の第7の態様に係る監視システムでは、第6の態様において、前記通知部は、さらに、前記セキュリティ異常が解消された場合に、前記異常対応部が実行した前記異常対応処理の内容を通知するように構成してもよい。
【0023】
本態様によれば、異常対応部が実行し、セキュリティ異常が解消された異常対応処理の内容を、例えば外部の監視サーバ等で把握でき、セキュリティ異常の原因の解析に役立てることができる。
【0024】
また、本開示の第8の態様に係る監視システムでは、第1の態様~第7の態様のいずれか一態様において、前記異常対応部は、前記異常検出部により前記セキュリティ異常が検出された場合に、前記セキュリティ異常が検出された前記オペレーティングシステムを複製した複製オペレーティングシステムを生成するように構成してもよい。
【0025】
本態様によれば、オペレーティングシステムが攻撃を受けた場合に、例えば当該オペレーティングシステムを複製した複製オペレーティングシステムが引き続き攻撃の対象となるようにしながら、複製元のオペレーティングシステムの設定(例えば、IPアドレス等)を、攻撃を受け難い設定に変更することができる。
【0026】
また、本開示の第9の態様に係る監視システムでは、第1の態様~第8の態様のいずれか一態様において、前記サービスリストでは、前記複数のサービスの各々に対して優先度が対応付けられており、前記判定部は、前記優先度に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定するように構成してもよい。
【0027】
本態様によれば、サービスリストにより示される複数のサービスのうち、例えば脆弱性を含む可能性の高いサービスを優先的に特定のサービスとして判定することができる。
【0028】
また、本開示の第10の態様に係る監視システムでは、第1の態様~第9の態様のいずれか一態様において、前記サービスリストでは、前記複数のサービスは、ネットワーク、デバイス、車両機能、車両安全機能及びセキュリティの少なくとも1つを含むカテゴリに分類されているように構成してもよい。
【0029】
本態様によれば、サービスリストにより示される複数のサービスのうち、例えばセキュリティ異常の内容と関連性のあるカテゴリのサービスを、優先的に特定のサービスとして判定することができる。
【0030】
また、本開示の第11の態様に係る制御方法は、車両に搭載される車載システムを監視するための監視システムにおける制御方法であって、(a)前記オペレーティングシステムにおけるセキュリティ異常を検出するステップと、(b)前記(a)で前記セキュリティ異常が検出された場合に、前記車載システムで実行される複数のサービスの一覧を示すサービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定するステップと、(c)前記(b)の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行するステップと、を含む。
【0031】
本態様によれば、第1の態様に係る監視システムと同様に、異常対応処理を実行することによる車両の機能への影響を最小限に抑えることができる。
【0032】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
【0033】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0034】
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0035】
(実施の形態)
[1.車載システムの概要]
まず、図1及び図2を参照しながら、実施の形態に係る車載システム2の概要について説明する。図1は、実施の形態に係る車載システム2の概要を示す概念図である。図2は、実施の形態に係る車載システム2の概要を示すブロック図である。
[1.車載システムの概要]
まず、図1及び図2を参照しながら、実施の形態に係る車載システム2の概要について説明する。図1は、実施の形態に係る車載システム2の概要を示す概念図である。図2は、実施の形態に係る車載システム2の概要を示すブロック図である。
【0036】
図1に示すように、実施の形態に係る車載システム2は、例えば自動車等の車両4に搭載された、車両4の加減速、操舵及び制動等の運転操作をADAS(Advanced Driver Assistance System:先進運転者支援システム)により自動で行うように制御するための自動運転システムに適用される。
【0037】
車載システム2は、インターネット等の外部ネットワーク6を介して、監視サーバ8と通信可能である。車載システム2は、当該車載システム2におけるセキュリティ異常の発生の有無を監視し、外部ネットワーク6を介して、監視サーバ8へ監視結果を通知する。
【0038】
監視サーバ8は、例えばセキュリティ監視センター等に設置されている。監視サーバ8は、車載システム2からの通知を受けて、各車両4におけるセキュリティ異常の発生状況を把握し、当該セキュリティ異常に対する対応等について助言する。
【0039】
図2に示すように、車載システム2は、統合ECU(Electronic Control Unit)10と、ゲートウェイECU12と、ステアリングECU14と、ブレーキECU16と、ゾーンECU18と、フロントカメラECU20と、リアカメラECU22とを備えている。
【0040】
なお、統合ECU10は、CAN(Controller Area Network)24を介して、ゲートウェイECU12と通信可能に接続されている。また、ゲートウェイECU12、ステアリングECU14及びブレーキECU16は、CAN26を介して互いに通信可能に接続されている。
【0041】
また、統合ECU10は、イーサネット(登録商標)28を介して、ゾーンECU18と通信可能に接続されている。また、ゾーンECU18、フロントカメラECU20及びリアカメラECU22は、イーサネット(登録商標)30を介して互いに通信可能に接続されている。さらに、統合ECU10は、外部ネットワーク6を介して監視サーバ8(図1参照)と通信可能に接続されている。
【0042】
統合ECU10は、(a)外部ネットワーク6、CAN24及びイーサネット28を介してメッセージを送受信する通信制御、(b)CAN24及びイーサネット28を介してゲートウェイECU12及びゾーンECU18へそれぞれ車両4の制御を指示する車両制御、(c)インフォテイメントシステムやインストルメントパネルへの映像出力等を実行する。また、統合ECU10は、車載システム2におけるセキュリティ異常(例えば、不正なアクセス等)の発生の有無を監視し、監視サーバ8へ監視結果を通知する。すなわち、統合ECU10は、車両4に搭載された車載システム2を監視するための監視システムの一例である。
【0043】
ゲートウェイECU12は、統合ECU10と、ステアリングECU14及びブレーキECU16との間で送受信されるメッセージを仲介する。
【0044】
ステアリングECU14は、車両4に搭載されたステアリングホイールによる操舵を制御する。
【0045】
ブレーキECU16は、車両4に搭載されたブレーキの駆動を制御する。
【0046】
なお、車載システム2は、ステアリングECU14及びブレーキECU16の他に、車両4のエンジンやボディ等を制御するECUを用いて、車両4の走る、曲がる、止まるといった各種制御を実行する。
【0047】
ゾーンECU18は、統合ECU10と、フロントカメラECU20及びリアカメラECU22との間で送受信されるメッセージを仲介する。
【0048】
フロントカメラECU20は、車両4の前部に搭載されたフロントカメラにより撮像された、車両4の前方映像を取得する。
【0049】
リアカメラECU22は、車両4の後部に搭載されたリアカメラにより撮像された、車両4の後方映像を取得する。
【0050】
[2.統合ECUの機能構成]
次に、図3~図8を参照しながら、統合ECU10(監視システム)の機能構成について説明する。図3は、実施の形態に係る統合ECU10の機能構成を示すブロック図である。図4Aは、実施の形態に係る検出結果情報の一例を示す図である。図4Bは、実施の形態に係る車両状態情報の一例を示す図である。図4Cは、実施の形態に係る異常対応回数の一例を示す図である。図5は、実施の形態に係るサービスリストの一例を示す図である。図6は、実施の形態に係る異常対応テーブルの一例を示す図である。図7は、実施の形態に係る統合ECU10の判定部70の処理を説明するための図である。図8は、実施の形態に係る停止サービスリストの一例を示す図である。
次に、図3~図8を参照しながら、統合ECU10(監視システム)の機能構成について説明する。図3は、実施の形態に係る統合ECU10の機能構成を示すブロック図である。図4Aは、実施の形態に係る検出結果情報の一例を示す図である。図4Bは、実施の形態に係る車両状態情報の一例を示す図である。図4Cは、実施の形態に係る異常対応回数の一例を示す図である。図5は、実施の形態に係るサービスリストの一例を示す図である。図6は、実施の形態に係る異常対応テーブルの一例を示す図である。図7は、実施の形態に係る統合ECU10の判定部70の処理を説明するための図である。図8は、実施の形態に係る停止サービスリストの一例を示す図である。
【0051】
図3に示すように、統合ECU10は、機能構成として、ハードウェア32と、仮想化プラットフォーム34と、ゲスト仮想マシン36(オペレーティングシステムの一例)と、ゲスト仮想マシン38(オペレーティングシステムの一例)と、ホスト仮想マシン40(オペレーティングシステムの一例)とを備えている。
【0052】
ハードウェア32は、例えばCPU(Central Processing Unit)又はECU等を有するプロセッサを含み、複数のコンピュータプログラムの実行環境を提供する。なお、ハードウェア32は、1つのプロセッサで構成されてもよいし、複数のプロセッサで構成されてもよい。
【0053】
仮想化プラットフォーム34は、ハードウェア32上で実行され、ゲスト仮想マシン36,38及びホスト仮想マシン40の実行を制御する仮想化ソフトウェアである。この仮想化プラットフォーム34により、1つのハードウェア32上に異なる複数のオペレーティングシステム(ゲスト仮想マシン36,38及びホスト仮想マシン40)を仮想化して搭載することができる。なお、仮想化プラットフォーム34は、ハードウェア32上で直接動作するType1型のハイパーバイザでもよいし、ハードウェア32上で直接動作するオペレーティングシステム上で動作するTYPE2型のハイパーバイザでもよい。あるいは、仮想化プラットフォーム34は、コンテナでもよい。また、本実施の形態では、統合ECU10を仮想化プラットフォーム34により仮想環境で実現したが、これに限定されず、実際のハードウェアで実現してもよい。
【0054】
ゲスト仮想マシン36は、仮想化プラットフォーム34上で動作する例えばLinux(登録商標)やAndroid(登録商標)等のオペレーティングシステムである。ゲスト仮想マシン36は、異常検出部42と、異常対応部44と、異常通知部46(通知部の一例)とを有している。なお、ゲスト仮想マシン36には、当該ゲスト仮想マシン36を識別するための仮想マシン番号「1」が割り当てられている。
【0055】
異常検出部42は、車載システム2における各ECUの挙動や通信の状態等を監視することにより、ゲスト仮想マシン36におけるセキュリティ異常を検出する。異常検出部42は、例えばネットワークIDS(NIDS:Network-based Intrusion Detection System)又はホストIDS(HIDS:Host-based Intrusion Detection System)で構成されている。
【0056】
異常対応部44は、異常検出部42によりセキュリティ異常が検出された場合に、ホスト仮想マシン40からの異常対応指示(後述する)に基づいて、検出されたセキュリティ異常を解消するための異常対応処理(後述する)を実行する。
【0057】
異常通知部46は、異常検出部42によりセキュリティ異常が検出された場合に、例えば検出されたセキュリティ異常の内容や、異常対応処理の内容、特定のサービス(後述する)が停止又は設定変更された旨等を示す情報を、監視サーバ8(図1参照)に通知する。また、異常通知部46は、セキュリティ異常が解消された場合に、セキュリティ異常が解消された旨を示す情報や、異常対応処理の内容、特定のサービスが停止又は設定変更された旨を示す情報を監視サーバ8に通知する。
【0058】
なお、本実施の形態では、異常通知部46は上述した各種情報を監視サーバ8に通知するようにしたが、これに限定されず、例えば車両4の運転者や周辺車両、周辺歩行者等に通知するようにしてもよい。例えば、異常通知部46は、各種情報を車両4の運転者に通知する場合には、車両4の車室内に搭載されたディスプレイにメッセージを表示させたり、車両4の車室内に搭載されたボタンに配置されたランプを点灯させたりしてもよい。このことは、後述する異常通知部52,58についても同様である。
【0059】
ゲスト仮想マシン38は、仮想化プラットフォーム34上で動作する例えばLinux(登録商標)やAndroid(登録商標)等のオペレーティングシステムである。ゲスト仮想マシン38は、異常検出部48と、異常対応部50と、異常通知部52(通知部の一例)とを有している。なお、ゲスト仮想マシン38には、当該ゲスト仮想マシン38を識別するための仮想マシン番号「2」が割り当てられている。
【0060】
異常検出部48は、車載システム2における各ECUの挙動や通信の状態等を監視することにより、ゲスト仮想マシン38におけるセキュリティ異常を検出する。異常検出部48は、例えばネットワークIDS又はホストIDSで構成されている。
【0061】
異常対応部50は、異常検出部48によりセキュリティ異常が検出された場合に、ホスト仮想マシン40からの異常対応指示に基づいて、検出されたセキュリティ異常を解消するための異常対応処理を実行する。
【0062】
異常通知部52は、異常検出部48によりセキュリティ異常が検出された場合に、例えば検出されたセキュリティ異常の内容や、異常対応処理の内容、特定のサービスが停止又は設定変更された旨等を示す情報を、監視サーバ8に通知する。また、異常通知部52は、セキュリティ異常が解消された場合に、セキュリティ異常が解消された旨を示す情報を監視サーバ8に通知する。
【0063】
ホスト仮想マシン40は、仮想化プラットフォーム34上で動作する例えばLinux(登録商標)やAndroid(登録商標)等のオペレーティングシステムである。ホスト仮想マシン40は、異常検出部54と、異常対応部56と、異常通知部58(通知部の一例)と、検出結果収集部60と、車両状態取得部62(取得部の一例)と、異常対応回数計数部64(計数部の一例)と、サービスリスト記憶部66(第1の記憶部の一例)と、異常対応テーブル記憶部68(第2の記憶部の一例)と、判定部70と、指示部72とを有している。なお、ホスト仮想マシン40には、当該ホスト仮想マシン40を識別するための仮想マシン番号「3」が割り当てられている。
【0064】
異常検出部54は、車載システム2における各ECUの挙動や通信の状態等を監視することにより、ホスト仮想マシン40におけるセキュリティ異常を検出する。異常検出部54は、例えばネットワークIDS又はホストIDSで構成されている。
【0065】
異常対応部56は、異常検出部54によりセキュリティ異常が検出された場合に、指示部72からの異常対応指示に基づいて、検出されたセキュリティ異常を解消するための異常対応処理を実行する。
【0066】
異常通知部58は、異常検出部54によりセキュリティ異常が検出された場合に、例えば検出されたセキュリティ異常の内容や、異常対応処理の内容、特定のサービスが停止又は設定変更された旨等を示す情報を、監視サーバ8に通知する。また、異常通知部58は、セキュリティ異常が解消された場合に、セキュリティ異常が解消された旨を示す情報を監視サーバ8に通知する。
【0067】
検出結果収集部60は、各異常検出部42,48,54の検出結果を示す情報(以下、「検出結果情報」という)を収集する。検出結果情報は、例えば、(a)セキュリティ異常が検出された仮想マシンの仮想マシン番号、(b)セキュリティ異常を検出した異常検出部の種類(ネットワークIDS又はホストIDS)、(c)セキュリティ異常の内容等を含んでいる。検出結果収集部60は、収集した検出結果情報を、例えば図4Aに示すようなデータテーブルとして保持する。
【0068】
車両状態取得部62は、例えばゲートウェイECU12及びゾーンECU18等から、車両4の状態を示す情報(以下、「車両状態情報」という)を取得する。車両状態情報は、例えば、(a)車両4の走行状態(走行中、停止中)、(b)車両4のエンジンの稼働状態(オン又はオフ)等を含んでいる。車両状態取得部62は、取得した車両状態情報を、例えば図4Bに示すようなデータテーブルとして保持する。なお、車両状態情報は、上記の(a)及び(b)以外に、例えば(c)オートクルーズコントロール中、(d)自動運転中、(e)イグニッションのON/OFF、(f)アクセサリーのON/OFF、(g)インターネット接続中、(h)GPS(Global Posioning System)情報等を含んでいてもよい。
【0069】
異常対応回数計数部64は、各異常対応部44,50,56が所定の期間に亘って(例えば、直近の1時間の間に)異常対応処理を実行した回数(以下、「異常対応回数」という)を計数する。異常対応回数計数部64は、各異常対応部44,50,56のいずれかが異常対応処理を実行する毎に、異常対応回数を「1」ずつインクリメントする。異常対応回数計数部64は、計数した異常対応回数を、例えば図4Cに示すようなデータテーブルとして保持する。なお、異常対応回数計数部64は、セキュリティ異常の種類毎に異常対応回数を計数してもよい。
【0070】
サービスリスト記憶部66は、サービスリストを記憶する不揮発性メモリである。サービスリストは、車載システム2で実行される複数のサービス(機能)の一覧を示すリストであり、例えば図5に示すようなデータテーブルである。図5に示すように、サービスリストでは、サービス名と、仮想マシン番号と、優先度と、カテゴリと、車両状態と、再起動要否と、設定値とが対応付けられている。
【0071】
サービスリストにおける「サービス名」は、車載システム2において実行されるサービスの名称である。
【0072】
「車外通信」は、例えばWiFi(登録商標)やBluetooth(登録商標)、無
線インターネット通信、暗号通信等、車両4の外部との通信のために必要なサービスである。「デバイス接続」は、例えばUSB(Universal Serial Bus)やBluetooth(登録商標)等、外部デバイスとの通信のために必要なサービスである。「内部通信」は、例えば仮想マシン間の通信や、ハイパーバイザとの通信(hypercall)、TrustZoneとの通信(Secure Monitor Call)等のために必要なサービスである。
線インターネット通信、暗号通信等、車両4の外部との通信のために必要なサービスである。「デバイス接続」は、例えばUSB(Universal Serial Bus)やBluetooth(登録商標)等、外部デバイスとの通信のために必要なサービスである。「内部通信」は、例えば仮想マシン間の通信や、ハイパーバイザとの通信(hypercall)、TrustZoneとの通信(Secure Monitor Call)等のために必要なサービスである。
【0073】
「車内通信」は、例えばCANやCAN-FD(CAN with Flexible
Data Rate)、FlexRay(登録商標)、イーサネット(登録商標)等、車両4の制御に関わる通信に必要なサービスである。「ソフト更新」は、ソフトウェアのアップロードのために必要なサービスである。「ナビ」は、例えばナビゲーション機能や、音楽・ラジオの再生のために必要なサービスである。「メータ」は、車速や警告等の表示のために必要なサービスである。
Data Rate)、FlexRay(登録商標)、イーサネット(登録商標)等、車両4の制御に関わる通信に必要なサービスである。「ソフト更新」は、ソフトウェアのアップロードのために必要なサービスである。「ナビ」は、例えばナビゲーション機能や、音楽・ラジオの再生のために必要なサービスである。「メータ」は、車速や警告等の表示のために必要なサービスである。
【0074】
「車両制御」は、例えば車両4の走る、曲がる、止まるといった各種制御のために必要なサービスである。「ファイアウォール」は、例えばネットワークのフィルタリングのために必要なサービスである。「アクセス制御」は、例えばプロセスのアクセスコントロールのために必要なサービスである。「侵入検出防御」は、例えばセキュリティ異常の検出及び防御のために必要なサービスである。「セキュリティ(暗号・署名)」は、例えばTrustZoneを用いたセキュリティ機能のために必要なサービスである。
【0075】
サービスリストにおける「仮想マシン番号」は、サービスの停止の影響を受ける仮想マシンの仮想マシン番号(例えば、「1」、「2」、「3」)である。
【0076】
サービスリストにおける「優先度」は、停止又は設定変更するサービスの優先順位を示す数値である。優先度は、例えば「1」~「4」の数値で表され、数値が小さいほど優先度が高い(すなわち、サービスが脆弱性を含む可能性が高い)ことを意味する。
【0077】
サービスリストにおける「カテゴリ」は、サービスの種別であり、例えばネットワーク、デバイス、車両機能、車両安全機能及びセキュリティである。
【0078】
サービスリストにおける「車両状態」は、サービスを停止することが不可能である車両4の状態(走行中、停止中)である。例えば、サービス名「メータ」に対応する車両状態「走行中NG」は、車両4の走行中は「メータ」のサービスを停止することが不可能であることを意味している。なお、車両状態「-」は、車両4の状態に関わらず、サービスを停止することが可能であることを意味している。
【0079】
サービスリストにおける「再起動要否」は、サービスを停止するための再起動の要否である。例えば、再起動要否「不要」は、サービスを停止するための再起動が不要であることを意味している。また例えば、再起動要否「システム」は、サービスを停止するために、統合ECU10全体の再起動が必要であることを意味している。また例えば、再起動要否「該当仮想マシン」は、サービスを停止するために、セキュリティ異常が検出された仮想マシンのみの再起動が必要であることを意味している。
【0080】
サービスリストにおける「設定値」は、サービスを設定変更する際の、設定変更する対象である。例えば、サービス名「車外通信」に対応する設定値「IPアドレス」は、異常対応処理として、「車外通信」のサービスのIPアドレスを設定変更することを意味している。また例えば、サービス名「ファイアウォール」に対応する設定値「ルール/停止不要」は、異常対応処理として、「ファイアウォール」のサービスのルールを設定変更(例えば、特定のIPアドレスをドロップするルールに設定変更)し、且つ、当該サービスの
停止は不要であることを意味している。
停止は不要であることを意味している。
【0081】
異常対応テーブル記憶部68は、異常対応テーブルを記憶する不揮発性メモリである。異常対応テーブルは、異常対応回数と異常対応処理との対応関係を示す、例えば図6に示すようなデータテーブルである。
【0082】
図6に示すように、例えば異常対応テーブルの1行目では、異常対応回数「0」と、異常対応処理「優先度1のサービスの設定を変更」とが対応付けられている。また例えば、異常対応テーブルの2行目では、異常対応回数「1」と、異常対応処理「優先度1のサービスを停止」とが対応付けられている。また例えば、異常対応テーブルの3行目では、異常対応回数「2」と、異常対応処理「優先度2のサービスの設定を変更」とが対応付けられている。また例えば、異常対応テーブルの4行目では、異常対応回数「3」と、異常対応処理「優先度2のサービスを停止」とが対応付けられている。すなわち、異常対応テーブルでは、異常対応回数が増大するのに従って、例えば脆弱性を含む可能性の高いサービスから順に停止又は設定変更する異常対応処理が規定されている。
【0083】
判定部70は、異常検出部42,48,54のいずれかによりセキュリティ異常が検出された場合に、検出結果収集部60からの検出結果情報、車両状態取得部62からの車両状態情報、及び、異常対応回数計数部64からの異常対応回数を取得する。そして、判定部70は、サービスリスト及び異常対応テーブルを参照して、検出結果情報、車両状態情報及び異常対応回数に基づいて、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する。そして、判定部70は、停止又は設定変更すべき特定のサービスの一覧である停止サービスリストを出力する。すなわち、図7に示すように、判定部70は、検出結果情報、車両状態情報、異常対応回数、サービスリスト及び異常対応テーブルを入力として、停止サービスリストを出力する処理を実行する。
【0084】
停止サービスリストは、例えば図8に示すようなデータテーブルである。図8に示すように、停止サービスリストでは、異常対応回数と、仮想マシン番号と、優先度と、サービス名と、設定変更/停止とが対応付けられている。
【0085】
例えば、判定部70は、取得した異常対応回数が0回である場合、異常対応テーブルから、異常対応回数「0」に対応する異常対応処理「優先度1のサービスの設定を変更」を読み出す。そして、判定部70は、取得した検出結果情報に基づいて、セキュリティ異常を検出した異常検出部がネットワークIDSであると判定する。また、判定部70は、取得した車両情報に基づいて、車両4が走行中であると判定する。この場合、判定部70は、サービスリストから、優先度が「1」であり、且つ、カテゴリが「ネットワーク」又は「セキュリティ」であり、且つ、車両状態が「-」であるサービスとして、「車外通信」及び「ファイアウォール」を抽出する。そして、判定部70は、設定変更する特定のサービスとして「車外通信」及び「ファイアウォール」を判定し、「車外通信」及び「ファイアウォール」の各サービスを停止サービスリストに追加する。
【0086】
指示部72は、判定部70の判定結果に基づいて、異常対応部44,50,56のうちセキュリティ異常を検出した異常対応部に対して、判定部70により判定された特定のサービスを停止又は設定変更するように指示する異常対応指示を出力する。
【0087】
なお、例えば、指示部72が、セキュリティ異常を検出した異常対応部44に対して、判定部70により判定された特定のサービスを停止又は設定変更するように指示する異常対応指示を出力した場合、異常対応部44は、セキュリティ異常が検出されたゲスト仮想マシン36を複製した複製ゲスト仮想マシン(複製オペレーティングシステムの一例)を
生成してもよい。これにより、例えばゲスト仮想マシン36が攻撃を受けた場合に、複製ゲスト仮想マシンが引き続き攻撃の対象となるようにしながら、複製元のゲスト仮想マシン36の設定(例えば、IPアドレス等)を、攻撃を受け難い設定に変更することができる。あるいは、動的に複製ゲスト仮想マシンを生成するのに代えて、予め複製ゲスト仮想マシンを準備しておいてもよい。
生成してもよい。これにより、例えばゲスト仮想マシン36が攻撃を受けた場合に、複製ゲスト仮想マシンが引き続き攻撃の対象となるようにしながら、複製元のゲスト仮想マシン36の設定(例えば、IPアドレス等)を、攻撃を受け難い設定に変更することができる。あるいは、動的に複製ゲスト仮想マシンを生成するのに代えて、予め複製ゲスト仮想マシンを準備しておいてもよい。
【0088】
【0089】
以下、ゲスト仮想マシン36においてセキュリティ異常が検出された場合について説明する。図9に示すように、まず、ゲスト仮想マシン36の異常検出部42は、当該ゲスト仮想マシン36におけるセキュリティ異常を検出する(S101)。次いで、ホスト仮想マシン40の検出結果収集部60は、異常検出部42から検出結果情報を収集する(S102)。
【0090】
次いで、ホスト仮想マシン40の判定部70は、検出結果収集部60から検出結果情報を取得し(S103)、車両状態取得部62及び異常対応回数計数部64からそれぞれ車両状態情報及び異常対応回数を取得する(S104)。
【0091】
次いで、判定部70は、サービスリスト及び異常対応テーブルを参照して、検出結果情報、車両状態情報及び異常対応回数に基づいて、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する(S105)。
【0092】
次いで、ホスト仮想マシン40の指示部72は、判定部70の判定結果に基づいて、セキュリティ異常が検出されたゲスト仮想マシン36の異常対応部44に対して、判定部70により判定された特定のサービスを停止又は設定変更するように指示する異常対応指示を出力する(S106)。次いで、ゲスト仮想マシン36の異常対応部44は、指示部72からの異常対応指示に基づいて、特定のサービスを停止又は設定変更する異常対応処理を実行する(S107)。
【0093】
次いで、ゲスト仮想マシン36の異常通知部46は、検出されたセキュリティ異常の内容や、異常対応処理の内容等を示す情報を監視サーバ8に通知する(S108)。これにより、監視サーバ8のディスプレイには、異常通知部46からの通知内容が表示される(S109)。
【0094】
なお、本実施の形態では、ゲスト仮想マシン36でセキュリティ異常が検出された場合について説明したが、ゲスト仮想マシン38又はホスト仮想マシン40でセキュリティ異常が検出された場合についても、上述と同様の処理が実行される。
【0095】
[4.判定部の動作]
次に、図10~図13を参照しながら、統合ECU10の判定部70の動作について説明する。図10~図12は、実施の形態に係る統合ECU10の判定部70の動作の流れを示すフローチャートである。図13は、実施の形態に係る統合ECU10の判定部70の動作を説明するための図である。
次に、図10~図13を参照しながら、統合ECU10の判定部70の動作について説明する。図10~図12は、実施の形態に係る統合ECU10の判定部70の動作の流れを示すフローチャートである。図13は、実施の形態に係る統合ECU10の判定部70の動作を説明するための図である。
【0096】
図10に示すように、判定部70は、検出結果収集部60から検出結果情報を取得する(S201)。次いで、判定部70は、異常対応回数計数部64から異常対応回数を取得
し、異常対応回数がN(≧1)回であるか否かを判定する(S202)。
し、異常対応回数がN(≧1)回であるか否かを判定する(S202)。
【0097】
異常対応回数が0回である場合には(S202でNO)、判定部70は、異常対応テーブルから、異常対応回数「0」に対応する異常対応処理を読み出し、該当する特定のサービスを停止サービスリストに追加する(S203)。
【0098】
一方、異常対応回数がN回である場合には(S202でYES)、判定部70は、異常対応テーブルから、異常対応回数「N」に対応する異常対応処理を読み出し、該当する特定のサービスを停止サービスリストに追加する(S204)。
【0099】
また、図11に示すように、判定部70は、検出結果収集部60から検出結果情報を取得する(S301)。次いで、判定部70は、車両状態取得部62から車両状態情報を取得し、車両4の状態が走行中及び停車中のいずれであるかを判定する(S302)。
【0100】
車両4の状態が停車中である場合には(S302で「停車中」)、判定部70は、サービスリストにより示される複数のサービスのうち、車両状態「停車中NG」のサービスを停止サービスリストから除外する(S303)。すなわち、判定部70は、サービスリストにより示される複数のサービスのうち、車両状態「停車中NG」のサービスを、停止又は設定変更する特定のサービスとして採用しない。
【0101】
一方、車両4の状態が走行中である場合には(S302で「走行中」)、判定部70は、サービスリストにより示される複数のサービスのうち、車両状態「走行中NG」のサービスを停止サービスリストから除外する(S304)。すなわち、判定部70は、サービスリストにより示される複数のサービスのうち、車両状態「走行中NG」のサービスを、停止又は設定変更する特定のサービスとして採用しない。
【0102】
また、図12に示すように、判定部70は、検出結果収集部60から検出結果情報を取得する(S401)。次いで、判定部70は、検出結果情報に基づいて、セキュリティ異常を検出した異常検出部の種類を判定する(S402,S403)。
【0103】
セキュリティ異常を検出した異常検出部がネットワークIDSである場合には(S402でYES)、判定部70は、サービスリストにより示される複数のサービスのうち、カテゴリ「ネットワーク」のサービスを停止サービスリストに追加する(S404)。
【0104】
一方、セキュリティ異常を検出した異常検出部がホストIDSである場合には(S402でNO、S403でYES)、判定部70は、セキュリティ異常が発生したサービスを特定可能か否かを判定する(S405)。セキュリティ異常が発生したサービスを特定可能な場合には(S405でYES)、判定部70は、特定したサービスを停止サービスリストに追加する(S406)。一方、セキュリティ異常が発生したサービスを特定不可能な場合には(S405でNO)、判定部70は処理を終了する。
【0105】
ステップS402に戻り、セキュリティ異常を検出した異常検出部がネットワークIDS及びホストIDSのいずれでもない場合には(S402でNO、S403でNO)、判定部70は処理を終了する。
【0106】
上述したようにして生成された停止サービスリストは、次のようにして用いられる。図13に示すように、統合ECU10が正常に稼働している状態で、例えばゲスト仮想マシン36の異常検出部42がセキュリティ異常を検出したとする。この時点では、異常対応回数は0回であるので、判定部70は、異常対応テーブルから、異常対応回数「0」に対応する異常対応処理を読み出し、該当する特定のサービスを停止サービスリストに追加す
る。これにより、ゲスト仮想マシン36の異常対応部44は、例えば停止サービスリストに追加されたサービス「車外通信」及び「ファイアウォール」をそれぞれ設定変更する異常対応処理を実行する。この時、ホスト仮想マシン40の異常対応回数計数部64は、異常対応回数を「0」から「1」にインクリメントする。
る。これにより、ゲスト仮想マシン36の異常対応部44は、例えば停止サービスリストに追加されたサービス「車外通信」及び「ファイアウォール」をそれぞれ設定変更する異常対応処理を実行する。この時、ホスト仮想マシン40の異常対応回数計数部64は、異常対応回数を「0」から「1」にインクリメントする。
【0107】
その後、統合ECU10が一定期間正常に稼働していたが、例えばゲスト仮想マシン36の異常検出部42が再度セキュリティ異常を検出したとする。この時点では、異常対応回数は1回であるので、判定部70は、異常対応テーブルから、異常対応回数「1」に対応する異常対応処理を読み出し、該当する特定のサービスを停止サービスリストに追加する。これにより、ゲスト仮想マシン36の異常対応部44は、例えば停止サービスリストに追加されたサービス「車外通信」を停止し、且つ、サービス「ファイアウォール」を設定変更する異常対応処理を実行する。この時、ホスト仮想マシン40の異常対応回数計数部64は、異常対応回数を「1」から「2」にインクリメントする。なお、異常対応回数が1回の場合、異常対応テーブルの異常対応回数「1」に対応する異常対応処理に該当する特定のサービスのみを停止サービスリストに追加してもよいし、異常対応テーブルの異常対応回数「0」及び「1」にそれぞれ対応する異常対応処理に該当する特定のサービスを停止サービスリストに追加してもよい。
【0108】
その後、セキュリティ異常が完全に解消された場合には、統合ECU10は正常に稼働する。なお、異常検出部42,48,54のいずれかがセキュリティ異常を検出した場合には、上述と同様の処理が繰り返し実行される。
【0109】
[5.効果]
本実施の形態では、判定部70は、異常検出部42,48,54のいずれかによりセキュリティ異常が検出された場合に、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する。
本実施の形態では、判定部70は、異常検出部42,48,54のいずれかによりセキュリティ異常が検出された場合に、サービスリストにより示される複数のサービスの中から、セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する。
【0110】
これにより、例えば脆弱性を含む可能性の高い、最小限の特定のサービスを停止又は設定変更する異常対応処理を実行するので、異常対応処理を実行することによる車両4の機能への影響を最小限に抑えることができる。
【0111】
[6.変形例]
図14は、実施の形態の変形例に係る異常対応テーブルの一例を示す図である。図14に示すように、異常対応テーブルの1行目では、異常対応回数「0」と、異常対応処理「まずサービスを全て停止して、優先度4のサービスを順に立ち上げ、所定時間の経過後に優先度3のサービスを順に立ち上げ、さらに所定の時間の経過後に優先度2のサービスを順に立ち上げ、さらに所定の時間の経過後に優先度1のサービスを順に立ち上げ」とが対応付けられている。
図14は、実施の形態の変形例に係る異常対応テーブルの一例を示す図である。図14に示すように、異常対応テーブルの1行目では、異常対応回数「0」と、異常対応処理「まずサービスを全て停止して、優先度4のサービスを順に立ち上げ、所定時間の経過後に優先度3のサービスを順に立ち上げ、さらに所定の時間の経過後に優先度2のサービスを順に立ち上げ、さらに所定の時間の経過後に優先度1のサービスを順に立ち上げ」とが対応付けられている。
【0112】
すなわち、異常対応テーブルの1行目では、異常対応回数が0回の場合には、全てのサービスを一旦停止した後に、優先度の低いサービスから高いサービスへと順に立ち上げる異常対応処理が規定されている。
【0113】
また、異常対応テーブルの2行目では、異常対応回数「1」と、異常対応処理「まずサービスを全て停止して、優先度Mのサービス以外のサービスを優先度の低いものから順に立ち上げ」とが対応付けられている。ここで、優先度Mは、異常対応回数が0回の時に、セキュリティ異常が検出されたサービスの優先度である。例えば、優先度M=2の場合、異常対応回数が0回の時に、優先度4のサービス、優先度3のサービス、優先度2のサービスの順に立ち上げた際に、優先度2のサービスを立ち上げたタイミングでセキュリティ異常が検出されたことを意味する。
【0114】
すなわち、異常対応テーブルの2行目では、異常対応回数が1回目の場合には、全てのサービスを一旦停止した後に、優先度Mのサービス以外のサービスを優先度の低いサービスから高いサービスへと順に立ち上げる異常対応処理が規定されている。つまり、例えば、優先度M=2の場合、優先度4のサービス、優先度3のサービス、優先度1のサービスの順に立ち上げることを意味する。
【0115】
(他の変形例)
以上、一つ又は複数の態様に係る監視システムについて、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
以上、一つ又は複数の態様に係る監視システムについて、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
【0116】
上記実施の形態では、本開示の適用例として自動車(車両)に対するセキュリティ対策として説明したが、適用範囲はこれに限定されない。例えば、自動車に限らず、建機、農機、船舶、鉄道又は飛行機等の各種モビリティにも本開示を適用してもよい。
【0117】
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したコンピュータプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたコンピュータプログラムを読み出して実行することによって実現されてもよい。
【0118】
また、上記実施の形態に係る監視システムの機能の一部又は全てを、CPU等のプロセッサがコンピュータプログラムを実行することにより実現してもよい。
【0119】
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
【0120】
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムを含むデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えばフレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記コンピュータプログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記コンピュータプログラム又は前
記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
【産業上の利用可能性】
【0121】
本開示に係る監視システムは、例えば車両に搭載された車載システムを監視する機能を有する統合ECU等に適用可能である。
【符号の説明】
【0122】
2 車載システム
4 車両
6 外部ネットワーク
8 監視サーバ
10 統合ECU
12 ゲートウェイECU
14 ステアリングECU
16 ブレーキECU
18 ゾーンECU
20 フロントカメラECU
22 リアカメラECU
24,26 CAN
28,30 イーサネット(登録商標)
32 ハードウェア
34 仮想化プラットフォーム
36,38 ゲスト仮想マシン
40 ホスト仮想マシン
42,48,54 異常検出部
44,50,56 異常対応部
46,52,58 異常通知部
60 検出結果収集部
62 車両状態取得部
64 異常対応回数計数部
66 サービスリスト記憶部
68 異常対応テーブル記憶部
70 判定部
72 指示部
4 車両
6 外部ネットワーク
8 監視サーバ
10 統合ECU
12 ゲートウェイECU
14 ステアリングECU
16 ブレーキECU
18 ゾーンECU
20 フロントカメラECU
22 リアカメラECU
24,26 CAN
28,30 イーサネット(登録商標)
32 ハードウェア
34 仮想化プラットフォーム
36,38 ゲスト仮想マシン
40 ホスト仮想マシン
42,48,54 異常検出部
44,50,56 異常対応部
46,52,58 異常通知部
60 検出結果収集部
62 車両状態取得部
64 異常対応回数計数部
66 サービスリスト記憶部
68 異常対応テーブル記憶部
70 判定部
72 指示部
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【手続補正書】
【提出日】2024-04-30
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
車両に搭載された車載システムを監視するための監視システムであって、
オペレーティングシステムと、
前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、
前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、
前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、
前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、
前記異常対応部により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数する計数部と、を備え、
前記判定部は、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
監視システム。
オペレーティングシステムと、
前記オペレーティングシステムにおけるセキュリティ異常を検出する異常検出部と、
前記車載システムで実行される複数のサービスの一覧を示すサービスリストを記憶する第1の記憶部と、
前記異常検出部により前記セキュリティ異常が検出された場合に、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定する判定部と、
前記判定部の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行する異常対応部と、
前記異常対応部により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数する計数部と、を備え、
前記判定部は、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
監視システム。
【請求項2】
前記監視システムは、さらに、前記異常対応回数と前記異常対応処理との対応関係を示す異常対応テーブルを記憶する第2の記憶部を備え、
前記判定部は、前記異常対応テーブルを参照することにより、前記計数部により計数された前記異常対応回数に対応する前記異常対応処理に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
前記判定部は、前記異常対応テーブルを参照することにより、前記計数部により計数された前記異常対応回数に対応する前記異常対応処理に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
【請求項3】
前記監視システムは、さらに、前記車両の状態を示す情報である車両状態情報を取得する取得部を備え、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1又は2に記載の監視システム。
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1又は2に記載の監視システム。
【請求項4】
前記車両状態情報は、前記車両の状態として、前記車両が走行中又は停車中であることを示す情報であり、
前記サービスリストでは、前記複数のサービスの各々と、前記車両が走行中又は停車中に当該サービスを停止することの可否とが対応付けられており、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスのうち、前記車両が走行中又は停車中において停止することが不可能なサービスを前記特定のサービスとして採用しない
請求項3に記載の監視システム。
前記サービスリストでは、前記複数のサービスの各々と、前記車両が走行中又は停車中に当該サービスを停止することの可否とが対応付けられており、
前記判定部は、前記異常対応回数及び前記車両状態情報に基づいて、前記サービスリストにより示される前記複数のサービスのうち、前記車両が走行中又は停車中において停止することが不可能なサービスを前記特定のサービスとして採用しない
請求項3に記載の監視システム。
【請求項5】
前記監視システムは、さらに、前記異常対応部により前記特定のサービスが停止又は設定変更された場合に、前記特定のサービスが停止又は設定変更された旨を通知する通知部を備える
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項6】
前記通知部は、さらに、前記セキュリティ異常が解消された場合に、前記異常対応部が実行した前記異常対応処理の内容を通知する
請求項5に記載の監視システム。
請求項5に記載の監視システム。
【請求項7】
前記異常対応部は、前記異常検出部により前記セキュリティ異常が検出された場合に、前記セキュリティ異常が検出された前記オペレーティングシステムを複製した複製オペレーティングシステムを生成する
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項8】
前記サービスリストでは、前記複数のサービスの各々に対して優先度が対応付けられており、
前記判定部は、前記優先度に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
前記判定部は、前記優先度に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
請求項1に記載の監視システム。
【請求項9】
前記サービスリストでは、前記複数のサービスは、ネットワーク、デバイス、車両機能、車両安全機能及びセキュリティの少なくとも1つを含むカテゴリに分類されている
請求項1に記載の監視システム。
請求項1に記載の監視システム。
【請求項10】
車両に搭載される車載システムを監視するための監視システムにおける制御方法であって、
(a)オペレーティングシステムにおけるセキュリティ異常を検出するステップと、
(b)前記(a)で前記セキュリティ異常が検出された場合に、前記車載システムで実行される複数のサービスの一覧を示すサービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定するステップと、
(c)前記(b)の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行するステップと、
(d)前記(c)により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数するステップと、を含み、
前記(b)では、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
制御方法。
(a)オペレーティングシステムにおけるセキュリティ異常を検出するステップと、
(b)前記(a)で前記セキュリティ異常が検出された場合に、前記車載システムで実行される複数のサービスの一覧を示すサービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき特定のサービスを判定するステップと、
(c)前記(b)の判定結果に基づいて、前記特定のサービスを停止又は設定変更する異常対応処理を実行するステップと、
(d)前記(c)により所定の期間に亘って前記異常対応処理が実行された回数である異常対応回数を計数するステップと、を含み、
前記(b)では、前記異常対応回数に基づいて、前記サービスリストにより示される前記複数のサービスの中から、前記セキュリティ異常を解消するために停止又は設定変更すべき前記特定のサービスを判定する
制御方法。