ホーム > 特許ランキング > 日立Astemo株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024166652
(43)【公開日】2024-11-29
(54)【発明の名称】情報処理装置
(51)【国際特許分類】
G06F 11/07 20060101AFI20241122BHJP
【FI】
G06F11/07 178
G06F11/07 140R
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023082877
(22)【出願日】2023-05-19
(71)【出願人】
【識別番号】509186579
【氏名又は名称】日立Astemo株式会社
(74)【代理人】
【識別番号】110002572
【氏名又は名称】弁理士法人平木国際特許事務所
(72)【発明者】
【氏名】笹 晋也
(72)【発明者】
【氏名】井手口 恒太
(72)【発明者】
【氏名】山口 隆
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GB08
5B042KK07
5B042MA08
5B042MA09
5B042MA11
5B042MC40
(57)【要約】
【課題】セキュリティインシデント発生時に、当該セキュリティインシデントに関連する車載装置のログを特定することで、車両を監視するセンタに送信するログを絞り込むことを可能にする。
【解決手段】情報処理装置は、車載装置のログを取得するログ取得部と、取得したログに基づき、車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、対象事象が発生したと判断されたとき、ログの検索処理を実行する検索部と、検索処理によって取得したログをセンタへ送信する送信部と、を備え、検索処理は、対象事象に関連する関連事象を特定する特定処理と、特定処理によって特定した関連事象の発生の有無を判断するためのログを取得する取得処理と、取得処理によって取得したログに基づき関連事象の発生の有無を判断する判断処理と、を含む。
【選択図】図2
【解決手段】情報処理装置は、車載装置のログを取得するログ取得部と、取得したログに基づき、車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、対象事象が発生したと判断されたとき、ログの検索処理を実行する検索部と、検索処理によって取得したログをセンタへ送信する送信部と、を備え、検索処理は、対象事象に関連する関連事象を特定する特定処理と、特定処理によって特定した関連事象の発生の有無を判断するためのログを取得する取得処理と、取得処理によって取得したログに基づき関連事象の発生の有無を判断する判断処理と、を含む。
【選択図】図2
【特許請求の範囲】
【請求項1】
車載装置のログを取得するログ取得部と、
取得した前記ログに基づき、前記車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、
前記対象事象が発生したと判断されたとき、前記ログの検索処理を実行する検索部と、
前記検索処理によって取得した前記ログをセンタへ送信する送信部と、を備え、
前記検索処理は、
前記対象事象に関連する関連事象を特定する特定処理と、
前記特定処理によって特定した前記関連事象の発生の有無を判断するためのログを取得する取得処理と、
前記取得処理によって取得した前記ログに基づき前記関連事象の発生の有無を判断する判断処理と、を含む、
ことを特徴とする情報処理装置。
取得した前記ログに基づき、前記車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、
前記対象事象が発生したと判断されたとき、前記ログの検索処理を実行する検索部と、
前記検索処理によって取得した前記ログをセンタへ送信する送信部と、を備え、
前記検索処理は、
前記対象事象に関連する関連事象を特定する特定処理と、
前記特定処理によって特定した前記関連事象の発生の有無を判断するためのログを取得する取得処理と、
前記取得処理によって取得した前記ログに基づき前記関連事象の発生の有無を判断する判断処理と、を含む、
ことを特徴とする情報処理装置。
【請求項2】
請求項1に記載の情報処理装置であって、
前記送信部は、前記検索処理において前記関連事象が発生していると判断するための前記ログが取得されなかったとき、該検索処理までに取得した前記ログを前記センタへ送信する、
ことを特徴とする情報処理装置。
前記送信部は、前記検索処理において前記関連事象が発生していると判断するための前記ログが取得されなかったとき、該検索処理までに取得した前記ログを前記センタへ送信する、
ことを特徴とする情報処理装置。
【請求項3】
請求項2に記載の情報処理装置であって、
前記センタ側からの要求を受信する受信部をさらに備え、
前記検索部は、前記センタからの要求に応じて、前記検索処理の対象となっていた前記関連事象を前記対象事象として前記検索処理を実行する、
ことを特徴とする情報処理装置。
前記センタ側からの要求を受信する受信部をさらに備え、
前記検索部は、前記センタからの要求に応じて、前記検索処理の対象となっていた前記関連事象を前記対象事象として前記検索処理を実行する、
ことを特徴とする情報処理装置。
【請求項4】
請求項3に記載の情報処理装置であって、
前記検索部は、前記センタからの要求に応じて前記検索処理の対象となっていなかった他の事象を前記対象事象として前記検索処理を実行する、
ことを特徴とする情報処理装置。
前記検索部は、前記センタからの要求に応じて前記検索処理の対象となっていなかった他の事象を前記対象事象として前記検索処理を実行する、
ことを特徴とする情報処理装置。
【請求項5】
請求項1に記載の情報処理装置であって、
前記検索部は、前記検索処理を所定回数繰り返したとき、または、前記センタへ送信する前記ログを所定容量以上取得したとき、前記検索処理を停止する、
ことを特徴とする情報処理装置。
前記検索部は、前記検索処理を所定回数繰り返したとき、または、前記センタへ送信する前記ログを所定容量以上取得したとき、前記検索処理を停止する、
ことを特徴とする情報処理装置。
【請求項6】
請求項1に記載の情報処理装置であって、
前記送信部は、前記事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別の前記ログを取得しているとき、前記他の種別の前記ログを除外して前記所定の種別の前記ログを前記センタに送信する、
ことを特徴とする情報処理装置。
前記送信部は、前記事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別の前記ログを取得しているとき、前記他の種別の前記ログを除外して前記所定の種別の前記ログを前記センタに送信する、
ことを特徴とする情報処理装置。
【請求項7】
請求項1に記載の情報処理装置であって、
前記検索部は、前記関連事象が発生していると判断されたとき、該関連事象を前記対象事象として繰り返し検索処理を実行する、
ことを特徴とする情報処理装置。
前記検索部は、前記関連事象が発生していると判断されたとき、該関連事象を前記対象事象として繰り返し検索処理を実行する、
ことを特徴とする情報処理装置。
【請求項8】
請求項1に記載の情報処理装置であって、
前記送信部は、前記事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別の前記ログを取得していないとき、前記他の種別の前記ログを前記センタに送信する、
ことを特徴とする情報処理装置。
前記送信部は、前記事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別の前記ログを取得していないとき、前記他の種別の前記ログを前記センタに送信する、
ことを特徴とする情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報処理装置に関し、特にセキュリティインシデント発生時に、当該セキュリティインシデントに関連する車載装置のログを特定することで、車両を監視するセンタに送信するログを絞り込むことを可能にする情報処理装置に関する。
【背景技術】
【0002】
車をインターネットに接続することで様々な機能を利用可能にしたコネクテッドカーの普及が進んでいる。コネクテッドカーがセキュリティ上の攻撃を受けた場合、人命を脅かす重大な事象につながる可能性があり、そのような攻撃に迅速に対処する必要がある。
【0003】
そのため近年、使用中の車両の状態を継続的に監視し、セキュリティインシデントの発生時にその原因を分析し、車両の遠隔操作などにより対処する自動車向けセキュリティオペレーションセンタ(VSOC:Vehicle Security Operation Center)の検討が進められている。セキュリティオペレーションセンタは車両からログなどのデータを収集し、分析官による人手での分析、またはシステムによる自動分析によりインシデントの原因を特定し、必要な対処を立案する。
【0004】
しかし、車載システムの複雑化に伴い、車両において取得可能なデータは増大しており、それらのデータをすべてセンタに送信することは通信帯域を大きく消費する。そのため、発生したインシデントに関連するデータを絞り込んでセンタに送信することで、通信帯域の消費を抑えることができる。
【0005】
車両のデータ収集に関する先行技術として特許文献1では、監視対象からのログを受動収集ログと能動収集ログに分類し、受動収集ログより生成されたアラートに基づき、他の監視対象に能動収集ログの収集リクエストを送信する監視装置が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2021-027505号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかし、特許文献1で開示されている技術では、収集するログを決定するために監視装置と通信する必要がある。そのため、車両がトンネル内や通信圏外を走行している場合など、通信が途絶した場合にログの収集処理を車両側で実施することができない。したがって、通信回復時に監視装置にログを送信するためには、監視装置が収集する可能性のあるログを車両内で保存しておく処理などが必要になり、その分だけ車載システムのストレージを消費してしまうことや、保存しきれなかったログを送信できなくなることなどの問題が生じうる。
【0008】
本発明は、上記の点を鑑みてなされたものであり、車両にセキュリティインシデントが発生した場合に、車両側の限られたリソースで送信すべきログを判断することを可能にする情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る情報処理装置の一例は、車載装置のログを取得するログ取得部と、取得したログに基づき、車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、対象事象が発生したと判断されたとき、ログの検索処理を実行する検索部と、検索処理によって取得したログをセンタへ送信する送信部と、を備え、検索処理は、対象事象に関連する関連事象を特定する特定処理と、特定処理によって特定した関連事象の発生の有無を判断するためのログを取得する取得処理と、取得処理によって取得したログに基づき関連事象の発生の有無を判断する判断処理と、を含む。
【発明の効果】
【0010】
本発明によれば、車両にセキュリティインシデントが発生した場合に、当該セキュリティインシデントに関連するログを車両側で特定し、センタに送信するログを絞り込むことが可能になる。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施例における情報処理装置の機能構成を示すブロック図。
【図2】本発明の一実施例において情報処理装置が行う処理フローの概要を示すブロック図。
【図3】本発明の一実施例における常時監視攻撃事象DBの内容例を示す図。
【図4】本発明の一実施例における関連攻撃事象DBの内容例を示す図。
【図5】本発明の一実施例における攻撃事象関連ログDBの内容例を示す図。
【図6】本発明の一実施例においてログ取得部が行う処理を示すフローチャート。
【図7】本発明の一実施例において判断部が行う処理を示すフローチャート。
【図8】本発明の一実施例において検索部が行う処理を示すフローチャート。
【図9】本発明の一実施例において、追加検索要求に対して検索部が行う処理を示すフローチャート。
【発明を実施するための形態】
【0012】
以下、本発明の実施例について、実施例を用い、図面を参照しながら詳細に説明する。
【0013】
まず、本発明の一実施例に係る情報処理装置100の機能構成を説明する。なお、情報処理装置100は、ハードウェア構成としては例えばメモリ及びプロセッサを備えたコンピュータであってよい。
【0014】
図1は、情報処理装置100の機能構成を示すブロック図である。情報処理装置100は、ログ取得部101、判断部102、検索部103、送信部104、受信部105、関連攻撃事象データベース(DB)106、攻撃事象関連ログDB107、常時監視攻撃事象DB108、送信対象ログリスト109、及び検索対象攻撃事象リスト110を備える。これらの機能部やデータベースの詳細については後述する。なお、情報処理装置100は車両に搭載され、CPU(Central Processing Unit)およびメモリを備えたコンピュータである。
【0015】
情報処理装置100はまた、通信路111を介して複数の車載装置112へ接続されている。通信路111は、物理的には複数の通信バスを含んでもよく、各通信バスの規格はすべて同一でもよいし異なっていてもよい。車載装置112は車両を制御するための各種のECU(Electronic Control Unit)である。
【0016】
情報処理装置100はまた、ネットワーク113を介してセンタ114へ接続されている。センタ114は上述したVSOCである。
【0017】
図1に示す機能ブロック図は例示であり、機能の単位および名称はこれに限らない。たとえば、本実施例において検索部103が実現する機能は、図1に示す他の機能部によって実現されてもよく、図1に示さない機能部によって実現されてもよい。
【0018】
図2は、情報処理装置100が行う処理フロー全体の概要を示す図である。
ログ取得部101は、車載装置112からログを定期的に取得する機能部である。ログ取得部101は常時監視攻撃事象DB108から常時監視攻撃事象情報を事前に取得する(201)。ここで、常時監視攻撃事象DB108とは、監視対象の攻撃事象が保存されたデータベースであり、詳細は後述する。また、攻撃事象とは車載装置に対する攻撃によって引き起こされる事象である。また、常時監視攻撃事象情報とは、発生を常時監視する攻撃事象と、当該攻撃事象が発生したと判断する根拠となるログを示した情報である。
ログ取得部101は、車載装置112からログを定期的に取得する機能部である。ログ取得部101は常時監視攻撃事象DB108から常時監視攻撃事象情報を事前に取得する(201)。ここで、常時監視攻撃事象DB108とは、監視対象の攻撃事象が保存されたデータベースであり、詳細は後述する。また、攻撃事象とは車載装置に対する攻撃によって引き起こされる事象である。また、常時監視攻撃事象情報とは、発生を常時監視する攻撃事象と、当該攻撃事象が発生したと判断する根拠となるログを示した情報である。
【0019】
ログ取得部101は、常時監視攻撃事象情報に記載されたログ(全体ログ)を、車載装置112に定期的に要求する(202)。車載装置112は要求に応じてログをログ取得部101に送信し(203)、ログ取得部101は取得したログを判断部102に受け渡す(204)。
【0020】
判断部102は、ログ取得部101から受信した車載装置のログに基づき、攻撃事象の発生の有無を判断する機能部である。
【0021】
判断部102は、常時監視攻撃事象DB108から常時監視攻撃事象情報を事前に取得する(205)。判断部102は、ログ取得部101からログを受け取ると、そのログ情報をもとに、何らかの攻撃事象が発生したかどうかを判断する。攻撃事象が発生したと判断される場合、当該攻撃事象に関する攻撃事象情報を検索部103に送信する(206)。
【0022】
検索部103は、攻撃事象が発生したと判断されたとき、判断部102から受信した攻撃事象情報をもとに、ログの検索処理を実行する機能部である。検索部103は、判断部102から攻撃事象情報を受信すると、関連攻撃事象DB106に対し、当該攻撃事象に関係する関連攻撃事象情報を検索する(207)。ここで、関連攻撃事象情報とは、攻撃事象どうしの関連性を示す情報であり、ある攻撃事象が発生している場合に別の攻撃事象も発生している可能性が高い場合、それらの攻撃事象の関係性が関連攻撃事象情報として関連攻撃事象DB106に記録されている。検索部103は、関連攻撃事象情報を取得すると(208)、判断部102から受け取った攻撃事象情報に関連する他の攻撃事象を、当該関連攻撃事象情報を用いて特定する。
【0023】
次に、検索部103は特定された関連攻撃事象が発生したかどうかを車載装置112のログをもとに判断する。そのために、検索部103は攻撃事象関連ログDB107に対し、当該関連攻撃事象に関係する攻撃事象関連ログ情報を検索・取得する(209、210)。ここで、攻撃事象関連ログ情報とは、ある攻撃事象が発生した場合に影響を受けるログを示す情報であり、攻撃事象が発生したかどうかの判断に用いられる。検索部103は、取得した攻撃事象関連ログ情報を用いて、当該関連攻撃事象に関連するログを特定し、車載装置112に対して当該ログを要求する(211)。検索部103はログ(検索ログ)を受信すると(212)、それに基づき当該関連攻撃事象が発生したかどうかを判断する。
【0024】
換言すると、検索部103が行う検索処理とは、攻撃事象に関連する関連攻撃事象を特定する特定処理と、特定処理によって特定した関連攻撃事象の発生の有無を判断するためのログを取得する取得処理と、取得処理によって取得したログに基づき関連攻撃事象の発生の有無を判断する判断処理と、を含む。
【0025】
検索部103は、当該関連攻撃事象が発生したと判断した場合、更に当該関連攻撃事象に対して処理207~212を実行し、当該関連攻撃事象に対する関連攻撃事象の特定、ログの検索、関連事象の発生有無の判断を行う。検索部103は、この処理を繰り返すことにより逐次的にログを検索する。換言すると、検索部103は、ある関連攻撃事象が発生したと判断したとき、その関連攻撃事象に関連して繰り返し検索処理を実行する。
【0026】
検索部103は、上記の処理によって取得したログを、ログ検索結果として送信部104に受け渡す(213)。送信部104は受け取ったログ検索結果をセンタ114に送信する(214)。
【0027】
上記の処理により、何らかの攻撃事象が発生したと判断される場合に、当該攻撃事象に関連するログのみを車載装置112から取得し、センタ114に送信することが可能になる。特許文献1のようにFT(Fault Tree)のような攻撃事象をツリー状に整理したデータ構造の場合、パターン数、すなわちツリーの個数が膨大になる傾向にあるが、本実施例においては事前に準備するデータを攻撃事象同士の関連性を示す関連攻撃事象情報と、攻撃事象とログの関連性を示す攻撃事象関連ログ情報として整理することで、ログの検索に必要なデータ量を削減することができる。また、関連攻撃事象の発生有無の判断をしながらログを逐次的に収集することで、発生した可能性の高い攻撃事象に関するログを選択的に収集することができ、ログを一括で取得する方式に比べて効率的にログを取得することができる。
【0028】
受信部105は、センタ114から追加検索要求があった場合にそれを受信し(215)、検索部103に受け渡す(216)機能部である。検索部103は追加検索要求に従いログを検索し、その結果を再び送信部104を介してセンタ114に送信する。
【0029】
図3は、常時監視攻撃事象DB108の内容例を示す図である。
常時監視攻撃事象DB108は、常時監視対象とする攻撃事象301に対し、攻撃事象が発生したと判断するための根拠となるログ302および条件303を紐づけたDBである。すなわち、条件303を満たすログ302が存在した場合、判断部102はそのログ302に対応する攻撃事象301が発生したと判断する。本実施例においては例えば、車載IDS(侵入検知システム:Intrusion Detection System)に対する攻撃は常に監視対象であり、その車載IDSのログの中に条件「文字列に“Detection Rule changed”」が含まれるものが検出された場合、第三者による車載IDSのルール変更という攻撃事象が発生したと判断されることになる。常時監視攻撃事象DB108は、攻撃事象301が共通する複数のレコードを含んでいても良い。この場合、同一の攻撃事象301に紐づけられているログ302と条件303の組のうち、いずれかに該当するログが存在した場合当該攻撃事象301が発生したと判断する。
常時監視攻撃事象DB108は、常時監視対象とする攻撃事象301に対し、攻撃事象が発生したと判断するための根拠となるログ302および条件303を紐づけたDBである。すなわち、条件303を満たすログ302が存在した場合、判断部102はそのログ302に対応する攻撃事象301が発生したと判断する。本実施例においては例えば、車載IDS(侵入検知システム:Intrusion Detection System)に対する攻撃は常に監視対象であり、その車載IDSのログの中に条件「文字列に“Detection Rule changed”」が含まれるものが検出された場合、第三者による車載IDSのルール変更という攻撃事象が発生したと判断されることになる。常時監視攻撃事象DB108は、攻撃事象301が共通する複数のレコードを含んでいても良い。この場合、同一の攻撃事象301に紐づけられているログ302と条件303の組のうち、いずれかに該当するログが存在した場合当該攻撃事象301が発生したと判断する。
【0030】
なお、図3は常時監視攻撃事象DB108の一例であり、例えば攻撃事象が発生したと判断するためのより複雑な条件を設定できるようなデータ構造になっていても良い。
【0031】
図4は、関連攻撃事象DB106の内容例を示す図である。
本実施例における関連攻撃事象DB106では、ある攻撃事象401に対し、当該攻撃事象が発生した場合にそれより先に実行されている可能性が高い攻撃事象の1つが先行攻撃事象402として対応付けられている。また、後述する検索部103によるログ検索処理において検索対象とする時間幅が検索対象時間403として指定されている。検索部103は攻撃事象401に対し、先行攻撃事象402が発生したかどうかを、攻撃事象401の発生時刻以前の検索対象時間403だけ遡った分のログをもとに判断する。例えば関連攻撃事象DBの内容が図4の通りであり、攻撃事象「外部から制御ECUへの不正コマンド送信」が2023/2/20 10:00に発生したと判断された場合、検索部103は先行攻撃事象「車載IDSルール変更」の発生有無を判断するためのログを2023/2/19 10:00から2023/2/20 10:00までの期間を対象に検索し、それをもとに当該先行攻撃事象が発生したかどうかを判定する。
本実施例における関連攻撃事象DB106では、ある攻撃事象401に対し、当該攻撃事象が発生した場合にそれより先に実行されている可能性が高い攻撃事象の1つが先行攻撃事象402として対応付けられている。また、後述する検索部103によるログ検索処理において検索対象とする時間幅が検索対象時間403として指定されている。検索部103は攻撃事象401に対し、先行攻撃事象402が発生したかどうかを、攻撃事象401の発生時刻以前の検索対象時間403だけ遡った分のログをもとに判断する。例えば関連攻撃事象DBの内容が図4の通りであり、攻撃事象「外部から制御ECUへの不正コマンド送信」が2023/2/20 10:00に発生したと判断された場合、検索部103は先行攻撃事象「車載IDSルール変更」の発生有無を判断するためのログを2023/2/19 10:00から2023/2/20 10:00までの期間を対象に検索し、それをもとに当該先行攻撃事象が発生したかどうかを判定する。
【0032】
関連攻撃事象DB106においては、例えばあるECUに対して特定の操作が行われるという攻撃事象に対して、当該操作を実施可能にするための権限取得などの準備や、当該ECUに操作を実行させるための信号の送信などを先行攻撃事象として対応付けることができる。また、あるECUに対して信号を送信するという攻撃事象に対しては、送信元機器に当該信号を送信させるための権限取得・不正ソフトウェアインストールなどの準備や、送信元機器から送信先ECUに信号を到達させるために通信経路上にある通信制御機器のルーティングテーブルやフィルタリングルールを変更する操作などを先行攻撃事象として対応付けることができる。
【0033】
関連攻撃事象DB106においては、本実施例のような攻撃事象と先行攻撃事象の対応付けだけでなく、攻撃事象に対してその発生後に実行される可能性が高い後続攻撃事象を対応付けてもよい。
【0034】
図5は、攻撃事象関連ログDB107の内容例を示す図である。
攻撃事象関連ログDB107は、ある攻撃事象501に対し、当該攻撃事象が発生したと判断するための根拠となるログ502、条件503及びログの種別504を紐づけたDBである。ここで、本実施例におけるログの種別504は「直接」と「参考」の2種類の値を取る。「直接」は条件503を満たすログ502が存在する場合に攻撃事象501が発生したと直接的に判断できることを表し、「参考」は条件503を満たすログ502が攻撃事象501の影響を受けるものの、そのようなログが存在するだけでは攻撃事象501が発生したと直接的には判断できないことを表す。検索部103は、種別504が「直接」である条件503を満たすログ502が存在した場合、そのログ502に対応する攻撃事象501が発生したと判断する。
攻撃事象関連ログDB107は、ある攻撃事象501に対し、当該攻撃事象が発生したと判断するための根拠となるログ502、条件503及びログの種別504を紐づけたDBである。ここで、本実施例におけるログの種別504は「直接」と「参考」の2種類の値を取る。「直接」は条件503を満たすログ502が存在する場合に攻撃事象501が発生したと直接的に判断できることを表し、「参考」は条件503を満たすログ502が攻撃事象501の影響を受けるものの、そのようなログが存在するだけでは攻撃事象501が発生したと直接的には判断できないことを表す。検索部103は、種別504が「直接」である条件503を満たすログ502が存在した場合、そのログ502に対応する攻撃事象501が発生したと判断する。
【0035】
図5に記載の通り、攻撃事象関連ログDB107は、攻撃事象501が共通する複数のレコードを含んでいても良い。この場合、同一の攻撃事象501に紐づけられている、種別504が「直接」であるログ502のうち、対応する条件503を満たすいずれかのログが存在した場合当該攻撃事象501が発生したと判断する。例えば、攻撃事象「外部から制御ECUへの不正コマンド送信」に対しては、文字列"Invalid control message detected"が含まれる車載IDSログまたは、文字列"Invalid external message detected"が含まれ、かつ送信先が制御ECUであるCGW(Central GateWay)ログが存在した場合、当該攻撃事象が発生したと判断する。なお、図5は攻撃事象関連ログDB107の一例であり、例えば攻撃事象が発生したと判断するためのより複雑な条件を設定できるようなデータ構造になっていても良い。
【0036】
常時監視攻撃事象DB108、関連攻撃事象DB106、攻撃事象関連ログDB107の内容は、判断部102および検索部103が機械的に処理できるよう、機械可読な形式で書かれていても良い。また、複数のECUに対する常時監視攻撃事象情報、関連事象情報、攻撃事象関連ログ情報をまとめて記述できるような形式になっていても良い。
【0037】
図6は、ログ取得部101が行う処理の一例を示すフローチャートである。
ログ取得部101は、事前に常時監視攻撃事象DB108から取得した常時監視攻撃事象情報をもとに、車載装置112にログを要求する(601)。例えば図3の常時監視攻撃事象DB108の場合、ログ302として「車載IDSログ」「CGWログ」「制御ECUからのアラート」などが記載されており、ログ取得部101は定期的にこれらのログを車載装置112に要求する。
ログ取得部101は、事前に常時監視攻撃事象DB108から取得した常時監視攻撃事象情報をもとに、車載装置112にログを要求する(601)。例えば図3の常時監視攻撃事象DB108の場合、ログ302として「車載IDSログ」「CGWログ」「制御ECUからのアラート」などが記載されており、ログ取得部101は定期的にこれらのログを車載装置112に要求する。
【0038】
次にログ取得部101は、ログ要求に応じて車載装置112から送られたログを受信し(602)、更に受信したログを判断部102に送信する(603)。ログ取得の方法としては、本実施例のようにログ取得部101が車載装置112に定期的にログを要求するのではなく、車載装置112が自ら収集対象のログをログ取得部101に定期的に送信する方式でも良い。
【0039】
図7は、判断部102が行う処理の一例を示すフローチャートである。判断部102はログ取得部101からログを受信すると、事前に常時監視攻撃事象DB108から取得した常時監視攻撃事象情報を参照し、条件303を満たすログ302が存在するかどうかを判断する(701)。そのようなログが存在した場合、対応する攻撃事象301が発生したと判断し、攻撃事象301およびその発生の根拠となったログ、すなわち条件303を満たすログ302を検索部103に受け渡す(702)。以下、検索部103に送信された攻撃事象をトリガー攻撃事象と呼ぶ。その際、ログをもとにトリガー攻撃事象の発生時刻を判断し、その情報もあわせて検索部103に受け渡す。条件303を満たすログ302が存在しない場合、判断部102は処理を終了する。
【0040】
図8は、検索部103が行う処理の一例を示すフローチャートである。
検索部103の主な処理は、判断部102から受け取った情報に対する初期処理(801~802)、攻撃事象に関連するログの検索(803~805)、攻撃事象の発生有無の判断(806)、攻撃事象が発生した場合の処理(807~808)、攻撃事象が発生していない場合の処理(809~810)、検索終了条件の判断(811)、及び収集したログの受け渡し(812)から構成される。
検索部103の主な処理は、判断部102から受け取った情報に対する初期処理(801~802)、攻撃事象に関連するログの検索(803~805)、攻撃事象の発生有無の判断(806)、攻撃事象が発生した場合の処理(807~808)、攻撃事象が発生していない場合の処理(809~810)、検索終了条件の判断(811)、及び収集したログの受け渡し(812)から構成される。
【0041】
検索部103はまず、判断部102から受け取ったログを送信対象ログリスト109に追加する(801)。ここで、送信対象ログリストとは後述する処理812において送信部104に受け渡すログを格納するリストである。この際、センタ114でのログ分析の参考となる情報として、判断部102から受信したトリガー攻撃事象の情報と対応付けて送信対象ログリストに追加しても良い。
【0042】
検索部103は次に、判断部102から受信したトリガー攻撃事象に対し、関連攻撃事象DB106を参照して関連する攻撃事象を特定し、検索対象攻撃事象リスト110に追加する(802)。ここで、検索対象攻撃事象リストとは、関連するログを検索する処理(803~805)の対象とする攻撃事象を格納するリストである。処理802において、検索部103はまず、判断部102から受信したトリガー攻撃事象に対し、関連攻撃事象DB106中「攻撃事象」列401が当該トリガー攻撃事象であるような関連攻撃事象情報を関連攻撃事象DB106から検索・取得する(図4参照)。そして、取得した関連攻撃事象情報の「先行攻撃事象」列402に含まれる攻撃事象を検索対象攻撃事象リスト110に追加する。この際、トリガー攻撃事象の発生時刻および関連事象情報の「検索対象時間」列403から、ログ検索対象期間の開始時刻と終了時刻を算出し、あわせて検索対象攻撃事象リスト110に追加する。
【0043】
検索部103は次に、検索対象攻撃事象リスト110から攻撃事象を1つ取り出す(803)。この際、検索対象攻撃事象リストに記録されている検索対象期間の開始時刻と終了時刻の情報もあわせて取得する。
【0044】
検索部103は次に、取り出した攻撃事象に対する関連ログを特定する(804)。処理804において、検索部103はまず、取り出した攻撃事象に対し、攻撃事象関連ログDB107を参照して、「攻撃事象」列501が当該攻撃事象であるような攻撃事象関連ログ情報を検索・取得する(図5参照)。そして、取得した攻撃事象関連ログ情報に含まれるログ502を関連ログとする。
【0045】
検索部103は次に、直接関連ログ、すなわち攻撃事象関連ログDB107における種別504が「直接」である関連ログを車載装置から取得する(805)。この際、処理803で取得した検索対象期間内の関連ログを取得する。取得する方法としては、図2のフロー211および212として記載した通り、車載装置に対してログを要求し車載装置がそれに対して応答する方式でも、あるいはログが記録されたファイルを検索部103が参照し直接取得する方式でも良い。また、車載装置から直接関連ログを取得する時点で、条件503を満たす可能性のある直接関連ログのみに絞り込んで取得しても良い。
【0046】
検索部103は次に、取得した直接関連ログの中に、対応する条件503を満たすものが存在するか否かを判定し、そのようなログが存在した場合攻撃事象が発生したと判断する(806)。この際、ログをもとに攻撃事象の発生時刻の判断も行う。
【0047】
攻撃事象が発生したと判断された場合(806で“Yes”の場合)、検索部103はその根拠となったログ、すなわち対応する条件503を満たす直接関連ログを送信対象ログリスト109に追加する(807)。この際、センタでのログ分析の参考となる情報として、当該攻撃事象の情報と対応付けて送信対象ログリスト109に追加しても良い。更に、検索部103は発生したと判断された攻撃事象に対応する関連攻撃事象を検索対象攻撃事象リスト110に追加する(808)。この処理808では処理802と同様に、検索部103は発生したと判断された攻撃事象に対し、「攻撃事象」列401が当該攻撃事象であるような関連攻撃事象情報を関連攻撃事象DB106から検索・取得する。そして、取得した関連攻撃事象情報の「先行攻撃事象」列402に含まれる攻撃事象を、検索対象攻撃事象リスト110に追加する。この際、発生したと判断された攻撃事象の発生時刻および関連事象情報の「検索対象時間」列403から、ログ検索対象期間の開始時刻と終了時刻を算出し、あわせて検索対象攻撃事象リスト110に追加する。
【0048】
一方で、処理806において攻撃事象が発生したと判断されなかった場合、検索部103は参考関連ログ、すなわち攻撃事象関連ログDB107において種別504が「参考」である関連ログを車載装置から取得する(809)。この際、処理803で取得した検索対象期間内の関連ログを取得する。また、車載装置から参考関連ログを取得する時点で、条件503を満たす可能性のある参考関連ログのみに絞り込んで取得しても良い。これ以降、各DBに記載された攻撃事象のうち発生したと判断されなかった攻撃事象を未判断事象と呼ぶ。次に、取得した参考関連ログのうち、対応する条件503を満たすものが存在するか否かを判定し、そのようなログが存在した場合送信対象ログリスト109に追加する(810)。この際、センタ114でのログ分析の参考となる情報として、当該未判断事象の情報と対応付けて送信対象ログリストに追加しても良い。また、直接関連ログと参考関連ログを区別するための情報を含めて送信対象ログリスト109に追加しても良い。
【0049】
検索部103は処理808または810の完了後、終了条件を満たしているか否かを判定する(811)。ここで、終了条件は事前に検索部103に設定されているものとする。例えば、送信対象ログリストに含まれるログの容量が一定値に達することを終了条件として設定することで、センタ114に対して送信するデータ量を抑えることができる。また、検索対象攻撃事象リストに含まれる各攻撃事象について、当該攻撃事象が検索対象攻撃事象リスト110に追加されるまでの検索処理の回数をカウントし、その最小値が一定値に達することを終了条件として設定できる。例えば、処理802において攻撃事象Aが検索対象攻撃事象リスト110に追加され、攻撃事象Aに対する処理808において攻撃事象Bが検索対象攻撃事象リスト110に追加された場合、攻撃事象Bが検索対象攻撃事象リスト110に追加されるまでの検索処理の回数は2回となる。処理803において、検索対象攻撃事象リスト110に追加されるまでの検索処理回数が最小である攻撃事象を取り出すこととし、かつ検索処理回数の最小値が一定値に達することを終了条件に用いることで、検索処理回数が一定値以下、つまりトリガー攻撃事象との関連性が高い攻撃事象に関するログのみを取得することができる。
【0050】
終了条件が満たされた場合、検索部103は送信対象ログリスト109に含まれるログおよび付随する情報を、ログ検索結果として送信部104に受け渡す。その後、送信部104は検索部103から受け取ったログ検索結果をセンタ114に送信する。
【0051】
受信部105は、センタ114から追加検索要求があった場合にそれを受信し、検索部103に受け渡す。例えば、センタ114におけるログ分析により、未判断事象が発生していた可能性が高いと判断される場合、センタ114から未判断事象に関連するログの検索要求が受信部105に送られることが考えられる。あるいは、検索部103による検索対象となっていなかった攻撃事象が発生していた可能性が高いと判断される場合、当該攻撃事象に対する検索要求が受信部105に送られることが考えられる。
【0052】
図9は、受信部105から追加検索要求として、特定の攻撃事象に関連するログの検索要求を受け取った場合の検索部103の処理の一例を示す図である。
【0053】
検索部103はまず、受信部105から受け取った追加検索要求の対象である攻撃事象を、検索対象攻撃事象リスト110に追加する(901)。その後、判断部102から攻撃事象情報を受け取った場合(図8)と同様に処理803~812を実行し、送信部104にログを受け渡す。その後、送信部104は検索部103から受け取ったログをセンタ114に送信する。
【0054】
以上で説明した本発明の実施例により、以下の作用効果が得られる。
【0055】
(1)本発明に係る情報処理装置は、車載装置のログを取得するログ取得部と、取得したログに基づき、車載装置で発生する事象のうち所定の対象事象の発生の有無を判断する判断部と、対象事象が発生したと判断されたとき、ログの検索処理を実行する検索部と、検索処理によって取得したログをセンタへ送信する送信部と、を備え、検索処理は、対象事象に関連する関連事象を特定する特定処理と、特定処理によって特定した関連事象の発生の有無を判断するためのログを取得する取得処理と、取得処理によって取得したログに基づき関連事象の発生の有無を判断する判断処理と、を含む。
【0056】
上記構成により、セキュリティインシデント発生時に、当該セキュリティインシデントに関連する車載装置のログを特定することで、車両を監視するセンタに送信するログを絞り込むことが可能になる。
【0057】
(2)送信部は、検索処理において関連事象が発生していると判断するためのログが取得されなかったとき、該検索処理までに取得したログをセンタへ送信する。これらのログを分析することで、関連事象に関してより詳細に分析を行うことが可能になる。
【0058】
(3)センタ側からの要求を受信する受信部をさらに備え、検索部は、センタからの要求に応じて、検索処理の対象となっていた関連事象を対象事象として検索処理を実行する。このように、装置側からだけでなく、センタ側からも検索処理を行わせることも可能である。
【0059】
(4)検索部は、センタからの要求に応じて検索処理の対象となっていなかった他の事象を対象事象として検索処理を実行する。これにより、データベースやリストに記載されていなかった新規の攻撃事象についても発見できる可能性が高まることになる。
【0060】
(5)検索部は、検索処理を所定回数繰り返したとき、または、センタへ送信するログを所定容量以上取得したとき、検索処理を停止する。これにより、送信するデータ容量を抑制することが可能になる。
【0061】
(6)送信部は、事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別のログを取得しているとき、他の種別のログを除外して所定の種別のログをセンタに送信する。すなわち、重要なログのみセンタに送信することで、(5)と同様に、送信するデータ容量を抑制することが可能になる。
【0062】
(7)検索部は、関連事象が発生していると判断されたとき、該関連事象を対象事象として繰り返し検索処理を実行する。これにより、関連する攻撃事象を逐次的に発見することが可能になる。
【0063】
(8)送信部は、事象の発生との関連性を示す種別のうち他の種別より高い関連性を示す所定の種別のログを取得していないとき、他の種別のログをセンタに送信する。このようなログを分析することで新規の攻撃事象を発見できる可能性が高まる。
【0064】
なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。
【符号の説明】
【0065】
100 情報処理装置、101 ログ取得部、102 判断部、103 検索部、104 送信部、105 受信部、112 車載装置、114 センタ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】