知財求人 - 知財ポータルサイト「IP Force」
特開2024-169239ログ収集装置、ログ収集方法、ログ収集プログラム、及びログ送信装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024169239
(43)【公開日】2024-12-05
(54)【発明の名称】ログ収集装置、ログ収集方法、ログ収集プログラム、及びログ送信装置
(51)【国際特許分類】
G06F 11/07 20060101AFI20241128BHJP
G06F 11/34 20060101ALI20241128BHJP
【FI】
G06F11/07 178
G06F11/07 140R
G06F11/34 176
【審査請求】未請求
【請求項の数】17
【出願形態】OL
(21)【出願番号】P 2023086545
(22)【出願日】2023-05-25
(71)【出願人】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】所 和馬
(72)【発明者】
【氏名】幾世 知範
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GB08
5B042KK07
5B042KK20
5B042MA08
5B042MA09
5B042MC40
(57)【要約】 (修正有)
【課題】将来的にサイバー攻撃を受ける可能性が高い車両に搭載された電子制御システムからよりも多くのログを収集する。
【解決手段】ログ収集装置100,200は、複数の電子制御システムS1,S2それぞれの状態を示す第1のログを受信し、複数のECU10から構成される車載システムであって、第1の電子制御システムS1に発生した脅威を示す脅威情報と、脅威が発生したときの第1の電子制御システムの第1の接続状況を示す接続情報とを取得し、複数の電子制御システムそれぞれの構成を示す構成情報を保存し、構成情報に基づいて、第1の電子制御システムと共通の構成を有する電子制御システムを、同じ脅威が発生しうる第2の電子制御システムS2として特定して、第1のログに加えて第2のログを、第2の電子制御システムの第2の接続状況が第1の接続状況と同じ場合に送信することを指示し、指示情報と接続情報とを第2の電子制御システムに送信する。
【選択図】図1
【解決手段】ログ収集装置100,200は、複数の電子制御システムS1,S2それぞれの状態を示す第1のログを受信し、複数のECU10から構成される車載システムであって、第1の電子制御システムS1に発生した脅威を示す脅威情報と、脅威が発生したときの第1の電子制御システムの第1の接続状況を示す接続情報とを取得し、複数の電子制御システムそれぞれの構成を示す構成情報を保存し、構成情報に基づいて、第1の電子制御システムと共通の構成を有する電子制御システムを、同じ脅威が発生しうる第2の電子制御システムS2として特定して、第1のログに加えて第2のログを、第2の電子制御システムの第2の接続状況が第1の接続状況と同じ場合に送信することを指示し、指示情報と接続情報とを第2の電子制御システムに送信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信するログ受信部(101)と、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得する脅威情報取得部(103)と、
前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)と、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(105)と、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する送信部(107)と、
を備える、ログ収集装置(100)。
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得する脅威情報取得部(103)と、
前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)と、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(105)と、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する送信部(107)と、
を備える、ログ収集装置(100)。
【請求項2】
複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信するログ受信部(101)と、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得する脅威情報取得部(103)と、
前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す第2の接続情報と、を保存するシステム情報保存部(204)と、
前記構成情報、前記第1の接続情報、及び前記第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(205)と、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成する指示生成部(206)と、
前記指示情報を前記第2の電子制御システムに送信する送信部(207)と、
を備える、ログ収集装置(200)。
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得する脅威情報取得部(103)と、
前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す第2の接続情報と、を保存するシステム情報保存部(204)と、
前記構成情報、前記第1の接続情報、及び前記第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(205)と、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成する指示生成部(206)と、
前記指示情報を前記第2の電子制御システムに送信する送信部(207)と、
を備える、ログ収集装置(200)。
【請求項3】
前記第1の接続状況と前記第2の接続状況とが同じ場合は、前記第1の電子制御システムの通信方式と前記第2の電子制御システムが現在接続中の通信方式とが同じ場合である、
請求項1又は2記載のログ収集装置。
請求項1又は2記載のログ収集装置。
【請求項4】
前記第1の接続状況と前記第2の接続状況とが同じ場合は、前記第1の電子制御システムに接続された外部機器と前記第2の電子制御システムが現在接続中の外部機器とが同じ場合である、
請求項1又は2記載のログ収集装置。
請求項1又は2記載のログ収集装置。
【請求項5】
前記指示生成部はさらに、前記第2のログの送信停止を指示する停止指示情報を生成し、
前記送信部は、前記停止指示情報を前記第2の電子制御システムに送信する、
請求項1又は2記載のログ収集装置。
前記送信部は、前記停止指示情報を前記第2の電子制御システムに送信する、
請求項1又は2記載のログ収集装置。
【請求項6】
前記第2の接続状況は、前記第2の電子制御システムが現在接続中の状況であり、
前記第2の電子制御システムは、前記第2の接続状況が前記第1の接続状況とは異なる接続状況になった場合に、前記第2のログの送信を停止する、
請求項1記載のログ収集装置。
前記第2の電子制御システムは、前記第2の接続状況が前記第1の接続状況とは異なる接続状況になった場合に、前記第2のログの送信を停止する、
請求項1記載のログ収集装置。
【請求項7】
前記複数の電子制御システムはそれぞれ移動体に搭載されており、
前記第2電子制御システムは、前記第1の電子制御システムが搭載された移動体から所定の距離に位置する移動体に搭載された電子制御システムである、
請求項1又は2記載のログ収集装置。
前記第2電子制御システムは、前記第1の電子制御システムが搭載された移動体から所定の距離に位置する移動体に搭載された電子制御システムである、
請求項1又は2記載のログ収集装置。
【請求項8】
前記複数の電子制御システムはそれぞれ移動体に搭載されており、
前記特定部が前記第2の電子制御システムとして特定した電子制御システムの数が所定の閾値以上の場合、前記送信部は、特定の地点により近い第2の電子制御システムから順に前記指示情報を送信する、
請求項1又は2記載のログ収集装置。
前記特定部が前記第2の電子制御システムとして特定した電子制御システムの数が所定の閾値以上の場合、前記送信部は、特定の地点により近い第2の電子制御システムから順に前記指示情報を送信する、
請求項1又は2記載のログ収集装置。
【請求項9】
前記特定部が前記第2の電子制御システムとして特定した電子制御システムの数が所定の閾値以上の場合、前記送信部は、前記第1の電子制御システムが使用するIPアドレスとの類似度が高いIPアドレスを使用する第2の電子制御システムから順に前記指示情報を送信する、
請求項1又は2記載のログ収集装置。
請求項1又は2記載のログ収集装置。
【請求項10】
前記複数の電子制御システムはそれぞれ車両に搭載されており、
前記特定部が前記第2の電子制御システムとして特定した電子制御システムの数が所定の閾値以上の場合、前記送信部は、前記車両のうち前記第1の電子制御システムが搭載された車両と同じ用途で使用される車両に搭載された第2の電子制御システムから優先的に前記指示情報を送信する、
請求項1又は2記載のログ収集装置。
前記特定部が前記第2の電子制御システムとして特定した電子制御システムの数が所定の閾値以上の場合、前記送信部は、前記車両のうち前記第1の電子制御システムが搭載された車両と同じ用途で使用される車両に搭載された第2の電子制御システムから優先的に前記指示情報を送信する、
請求項1又は2記載のログ収集装置。
【請求項11】
前記第2のログは、前記脅威に関係するログである、
請求項1又は2記載のログ収集装置。
請求項1又は2記載のログ収集装置。
【請求項12】
移動体に搭載されるログ送信装置(150)であって、
前記移動体に搭載される電子制御システムの状態を示す第1のログを、前記移動体の外部に位置するログ収集装置(100)に送信するログ送信部(152)と、
前記ログ収集装置から、第1の接続状況を示す接続情報と、前記第1のログに加えて前記第1のログとは異なる第2のログを、前記電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報と、を受信する指示受信部(153)と、
前記第1の接続状況と前記第2の接続状況が同じか否かを判定する接続状況判定部(154)と、
を備え、
前記ログ送信部は、前記第1の接続状況と前記第2の接続状況とが同じ場合に、前記第1のログに加えて前記第2のログを前記ログ収集装置に送信する、
ログ送信装置。
前記移動体に搭載される電子制御システムの状態を示す第1のログを、前記移動体の外部に位置するログ収集装置(100)に送信するログ送信部(152)と、
前記ログ収集装置から、第1の接続状況を示す接続情報と、前記第1のログに加えて前記第1のログとは異なる第2のログを、前記電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報と、を受信する指示受信部(153)と、
前記第1の接続状況と前記第2の接続状況が同じか否かを判定する接続状況判定部(154)と、
を備え、
前記ログ送信部は、前記第1の接続状況と前記第2の接続状況とが同じ場合に、前記第1のログに加えて前記第2のログを前記ログ収集装置に送信する、
ログ送信装置。
【請求項13】
前記第2の接続状況は、前記電子制御システムが現在接続中の状況であり、
前記接続状況判定部が、前記第2の接続状況が前記第1の接続状況とは異なる接続状況になったと判定した場合、前記ログ送信部は前記第2のログの送信を停止する、
請求項12記載のログ収集装置。
前記接続状況判定部が、前記第2の接続状況が前記第1の接続状況とは異なる接続状況になったと判定した場合、前記ログ送信部は前記第2のログの送信を停止する、
請求項12記載のログ収集装置。
【請求項14】
複数の電子制御システムからログを収集するログ収集装置(100)で実行されるログ収集方法であって、
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得し(S102)、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S103)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成し(S104)、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する(S105)、
ログ収集方法。
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得し(S102)、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S103)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成し(S104)、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する(S105)、
ログ収集方法。
【請求項15】
複数の電子制御システムからログを収集するログ収集装置(100)で実行可能なログ収集プログラムであって、
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得し(S102)、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S103)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成し(S104)、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する(S105)、
ログ収集プログラム。
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得し(S102)、
前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S103)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成し(S104)、
前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する(S105)、
ログ収集プログラム。
【請求項16】
複数の電子制御システムからログを収集するログ収集装置(200)で実行されるログ収集方法であって、
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す接続情報と、を保存するシステム情報保存部(204)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得し(S102)、
前記構成情報、前記第1の接続情報、及び前記システム情報保存部に保存された接続情報である第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S203)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成し(S204)、
前記指示情報を前記第2の電子制御システムに送信する(S205)、
ログ収集方法。
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す接続情報と、を保存するシステム情報保存部(204)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得し(S102)、
前記構成情報、前記第1の接続情報、及び前記システム情報保存部に保存された接続情報である第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S203)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成し(S204)、
前記指示情報を前記第2の電子制御システムに送信する(S205)、
ログ収集方法。
【請求項17】
複数の電子制御システムからログを収集するログ収集装置(200)で実行可能なログ収集プログラムであって、
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す接続情報と、を保存するシステム情報保存部(204)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得し(S102)、
前記構成情報、前記第1の接続情報、及び前記システム情報保存部に保存された接続情報である第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S203)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成し(S204)、
前記指示情報を前記第2の電子制御システムに送信する(S205)、
ログ収集プログラム。
前記ログ収集装置は、前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す接続情報と、を保存するシステム情報保存部(204)を備え、
前記複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信し(S101)、
前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得し(S102)、
前記構成情報、前記第1の接続情報、及び前記システム情報保存部に保存された接続情報である第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定し(S203)、
前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成し(S204)、
前記指示情報を前記第2の電子制御システムに送信する(S205)、
ログ収集プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は主に、車両に搭載された電子制御システムからログを収集するログ収集装置、ログ収集装置で実行されるログ収集方法並びにログ収集プログラム、及び、ログ収集装置にログを送信するログ送信装置に関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築する必要性が益々高まっている。
【0003】
例えば、特許文献1には、サーバ装置が車載装置から受信したログを解析し、サイバー攻撃の可能性を検知すると、車載装置に蓄積させるログの優先度を変更する更新指令を車載装置に送信することが開示されている。そして、車載装置は、サイバー攻撃の判断に用いるログの優先度が高くなるように優先度を変更させる更新指令を受信すると、優先度に従ってログを蓄積してサーバ装置に送信する。これにより、特許文献1によれば、サーバ装置は、限定されたリソースを利用しながらログを収集することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2018-32254号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、本発明者は詳細な検討の結果、以下の課題を見出した。
実際にサイバー攻撃を受けた車両と同じ車種や型式の車両は、全く異なる車種や型式の車両と比較して、同じサイバー攻撃を受ける可能性が高い。そこで、サイバー攻撃を受けた車両と同車種や同型の車両から、サイバー攻撃の分析に有用なログを通常よりも多く収集することで、これらの車両が将来的にサイバー攻撃を受けたとき、多く収集していたログを用いてサイバー攻撃を詳細に分析ができる可能性がある。ところが、車種や型式が共通する車両は数多く存在するため、中には同じサイバー攻撃を受ける可能性がそれほど高くないものも含まれる。その結果、サイバー攻撃の詳細な分析に必ずしも必要のないログも収集することになり、ひいては、通信リソースを必要以上に消費してしまう。そのため、より精度が高い手法で、同じサイバー攻撃を受ける可能性が高い車両を選定することが望ましい。
実際にサイバー攻撃を受けた車両と同じ車種や型式の車両は、全く異なる車種や型式の車両と比較して、同じサイバー攻撃を受ける可能性が高い。そこで、サイバー攻撃を受けた車両と同車種や同型の車両から、サイバー攻撃の分析に有用なログを通常よりも多く収集することで、これらの車両が将来的にサイバー攻撃を受けたとき、多く収集していたログを用いてサイバー攻撃を詳細に分析ができる可能性がある。ところが、車種や型式が共通する車両は数多く存在するため、中には同じサイバー攻撃を受ける可能性がそれほど高くないものも含まれる。その結果、サイバー攻撃の詳細な分析に必ずしも必要のないログも収集することになり、ひいては、通信リソースを必要以上に消費してしまう。そのため、より精度が高い手法で、同じサイバー攻撃を受ける可能性が高い車両を選定することが望ましい。
【0006】
そこで、本発明は、車両の通信状況に基づいて、サイバー攻撃を受けた車両と同じサイバー攻撃を受ける可能性がある車両を高い精度で特定するとともに、サイバー攻撃を受ける可能性が高い車両から、サイバー攻撃の分析に有用なログを収集することが可能なログ収集装置等を実現することを目的とする。
【課題を解決するための手段】
【0007】
本開示の一態様によるログ収集装置(100)は、複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信するログ受信部(101)と、前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す接続情報と、を取得する脅威情報取得部(103)と、前記複数の電子制御システムそれぞれの構成を示す構成情報を保存するシステム情報保存部(104)と、前記構成情報に基づいて、前記複数の電子制御システムのうち前記第1の電子制御システムと共通の構成を有する電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(105)と、前記第1のログに加えて、前記第1のログとは異なる第2のログを、前記第2の電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報を生成する指示生成部(106)と、前記指示情報と前記接続情報とを前記第2の電子制御システムに送信する送信部(107)と、を備える。
【0008】
本開示の他の態様によるログ収集装置(200)は、複数の電子制御システムから、前記複数の電子制御システムそれぞれの状態を示す第1のログを受信するログ受信部(101)と、前記複数の電子制御システムのうち一の電子制御システムである第1の電子制御システムに発生した脅威を示す脅威情報と、前記脅威が発生したときの前記第1の電子制御システムの第1の接続状況を示す第1の接続情報と、を取得する脅威情報取得部(103)と、前記複数の電子制御システムそれぞれの構成を示す構成情報と、それぞれの接続状況を示す第2の接続情報と、を保存するシステム情報保存部(204)と、前記構成情報、前記第1の接続情報、及び前記第2の接続情報に基づいて、前記複数の電子制御システムのうち、前記第1の電子制御システムと共通の構成を有するとともに、前記第1の接続状況と同じ第2の接続状況で接続される電子制御システムを、前記脅威と同じ脅威が発生しうる第2の電子制御システムとして特定する特定部(205)と、前記第1のログに加えて、前記第1のログとは異なる第2のログを送信することを指示する指示情報を生成する指示生成部(206)と、前記指示情報を前記第2の電子制御システムに送信する送信部(207)と、を備える。
【0009】
本開示の他の態様によるログ送信装置(150)は、移動体に搭載されるログ送信装置であって、前記移動体に搭載される電子制御システムの状態を示す第1のログを、前記移動体の外部に位置するログ収集装置(100)に送信するログ送信部(152)と、前記ログ収集装置から、第1の接続状況を示す接続情報と、前記第1のログに加えて前記第1のログとは異なる第2のログを、前記電子制御システムの第2の接続状況が前記第1の接続状況と同じ場合に送信することを指示する指示情報と、を受信する指示受信部(153)と、前記第1の接続状況と前記第2の接続状況が同じか否かを判定する接続状況判定部(154)と、を備え、前記ログ送信部は、前記第1の接続状況と前記第2の接続状況とが同じ場合に、前記第1のログに加えて前記第2のログを前記ログ収集装置に送信する。
【0010】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0011】
上述のような構成により、本開示のログ収集装置等によれば、将来的にサイバー攻撃を受ける可能性が高い電子制御システムから、ログ分析に有用な多くのログを収集することが可能となる。
【図面の簡単な説明】
【0012】
【図1】各実施形態のログ収集装置、ログ送信装置、及び関係する機器の関係を説明する図
【図2】各実施形態の電子制御システムの構成例を説明する図
【図3】第1の実施形態のログ収集装置の構成例を説明する図
【図4】各実施形態のシステム情報保存部に保存される構成情報を説明する図
【図5】第1の実施形態のログ送信装置の構成例を説明する図
【図6】第1の実施形態のログ収集装置及びログ送信装置の動作を説明する図
【図7】第1の実施形態のログ収集装置及びログ送信装置の動作を説明する図
【図8】第2の実施形態のログ収集装置の構成例を説明する図
【図9】第2の実施形態のログ送信装置の構成例を説明する図
【図10】第2の実施形態のログ収集装置及びログ送信装置の動作を説明する図
【図11】第2の実施形態のログ収集装置及びログ送信装置の動作を説明する図
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について、図面を参照して説明する。
【0014】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0015】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0016】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0017】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
【0018】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0019】
1.各実施形態の前提となる構成
(1)ログ収集装置、ログ送信装置、及び関連する機器の関係
図1は、各実施形態のログ収集装置及び電子制御システムの配置を説明する図である。ログ収集装置100、ログ収集装置200(以下、ログ収集装置100等と略する。)は、「移動体」である車両に「搭載」されている複数の電子制御システムS(S1、S2・・・)それぞれからログを収集する装置である。
(1)ログ収集装置、ログ送信装置、及び関連する機器の関係
図1は、各実施形態のログ収集装置及び電子制御システムの配置を説明する図である。ログ収集装置100、ログ収集装置200(以下、ログ収集装置100等と略する。)は、「移動体」である車両に「搭載」されている複数の電子制御システムS(S1、S2・・・)それぞれからログを収集する装置である。
【0020】
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
【0021】
ログ収集装置100等は、例えば、遠隔地から車両のセキュリティを管理するSOC(Security Operation Center)や、車両に関するデータを収集するデータセンタに設けられるサーバ装置が挙げられる。ログ収集装置100等と電子制御システムSとは、例えば、IEEE802.11(Wi-Fi(登録商標))、IEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等の無線通信方式といった通信ネットワークを介して接続されている。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
【0022】
図1では、ログ収集装置100等が2つの電子制御システムS(S1、S2)と接続されている例を図示しているが、当然のことながら、ログ収集装置100等は、任意の数の電子制御システムと接続されてもよい。
【0023】
車両に搭載されている電子制御システムSは、複数のECU10から構成される車載システムである。電子制御システムSの構成については後述する。電子制御システムSは、ログ収集装置100等の他、外部機器20とも通信ネットワークを介して接続される。電子制御システムSと外部機器20とは、電子制御システムSとログ収集装置100等との間と同様の有線通信方式又は無線通信方式の通信ネットワークを介して接続される。外部機器20は、例えば、図1に示すような路側機の他、ダイアグ診断機、他の車両、HEMS(Home Energy Management Service)といった車両の外部に設けられる機器が挙げられる。しかしながら、外部機器20は、スマートフォンやパーソナルコンピュータ(PC)といった車両に搭載される機器であってもよい。
【0024】
(2)電子制御システムSの構成
図2は、電子制御システムSの構成例を示す図である。電子制御システムSは、複数のECU10、及びこれらを接続する車載ネットワーク(NW1~NW3)から構成されている。図2は7つのECU(ECU10a~ECU10h)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以後の説明では、単数又は複数の電子制御装置全体を包括して説明する場合はECU10や各ECU10、個々の電子制御装置を特定して説明する場合はECU10a、ECU10b、ECU10c、・・・のように記載している。
図2は、電子制御システムSの構成例を示す図である。電子制御システムSは、複数のECU10、及びこれらを接続する車載ネットワーク(NW1~NW3)から構成されている。図2は7つのECU(ECU10a~ECU10h)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以後の説明では、単数又は複数の電子制御装置全体を包括して説明する場合はECU10や各ECU10、個々の電子制御装置を特定して説明する場合はECU10a、ECU10b、ECU10c、・・・のように記載している。
【0025】
各ECU10は、セキュリティセンサ(図2ではSSと示す)を有する。セキュリティセンサは、各ECU10での処理やECU間の通信を監視するとともにログを生成する。例えば、セキュリティセンサは、予め設定された閾値を超える値を検出した場合や、何らかの異常な動作を検出した場合などにログを生成する。セキュリティセンサに代えて、SIEM(Security Information and Event Management)と呼ばれる機能がログを生成してもよい。セキュリティセンサが生成するログは、各ECU10やECU間の通信の状態を示すものであり、ひいては、電子制御システムSの状態を示すものである。セキュリティセンサが生成するログの内容や、ログを生成する基準となる閾値は、後述するログ送信装置100等からの指示に基づいて変更することができる。
【0026】
図2に示す電子制御システムSは、統合ECU10a、ゾーンECU(10b,10c)、及び個別ECU(10d~10g)を有している。
【0027】
統合ECU10aは、電子制御システムS全体を制御する機能を備えるとともに、各ECU10間の通信を仲介するゲートウェイ機能を備えたECUである。統合ECU10aは、ゲートウェイECU(G-ECU)、モビリティコンピュータ(MC)と呼ばれることもある。また、統合ECU10aは、中継装置やゲートウェイ装置であってもよい。
【0028】
図2に示す統合ECU10aはさらに、車両の外部に設けられた外部装置、例えば、ログ収集装置100等、又は外部機器20と通信を行う通信部としての機能を有している。しかしながら、統合ECU10aとは別に、外部装置との通信を行う外部通信ECU(図示せず)を設けてもよい。統合ECU10aが外部装置との通信に用いる通信方式は、図1の説明で記載した無線通信方式や有線通信方式である。
【0029】
ゾーンECU(10b,10c)は、後述の個別ECUが配置される場所や機能に応じて適宜配置されたゲートウェイ機能を備えたECUである。例えば、ゾーンECU10bは、車両の前方に配置された個別ECU10d及び個別ECU10eと他のECU10との通信を仲介するゲートウェイ機能を有するECU、ゾーンECU10cは、車両の後方に配置された個別ECU10f及び個別ECU10gと他のECU10との通信を仲介するゲートウェイ機能を有するECU、である。ゾーンECU(10b,10c)は、ドメインコンピュータ(DC)と呼ばれることもある。ゾーンECU10bには、ネットワーク2(NW2)を介して個別ECU10d及び個別ECU10eが接続され、ゾーンECU10cには、ネットワーク3(NW3)を介して個別ECU10f及び個別ECU10gが接続されている。
【0030】
個別ECU(10d~10g)は任意の機能を有するECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスタとスレーブとに分類されていてもよい。
【0031】
以下、各ECU10のセキュリティセンサからログを集約し、集約したログをログ収集装置100等に送信する機能を有する装置を、実施形態1ではログ送信装置150、実施形態2ではログ送信装置250、とそれぞれ称する。後述する実施形態1及び2では、統合ECU10aがログ送信装置150及びログ送信装置250としての機能を有する場合を例に挙げて説明する。もっとも、統合ECU10aに代えて、ゾーンECU(10b、10c)又は個別ECU(10d~10g)が、ログ送信装置としての機能を有していてもよい。また、ログ送信装置150及びログ送信装置250は、単一のECUの他、複数のECU(例えば、統合ECU10aと外部通信ECU)によって構成される装置であってもよい。
【0032】
2.第1の実施形態
(1)ログ収集装置100の構成
図3を参照して、本実施形態のログ収集装置100の構成例を説明する。ログ収集装置100は、ログ受信部101、ログ保存部102、脅威情報取得部103、システム情報保存部104、特定部105、指示生成部106、及び指示送信部107を備える。
(1)ログ収集装置100の構成
図3を参照して、本実施形態のログ収集装置100の構成例を説明する。ログ収集装置100は、ログ受信部101、ログ保存部102、脅威情報取得部103、システム情報保存部104、特定部105、指示生成部106、及び指示送信部107を備える。
【0033】
ログ受信部101は、電子制御システムSから、電子制御システムSの状態を示すログを受信する。図1に示すように、ログ収集装置100は複数の電子制御システムSと接続されているため、ログ受信部101は、それぞれの電子制御システムS(S1、S2・・・)からログを受信する。ログ受信部101が受信するログには、後述するように、通常ログ(「第1のログ」に相当)と追加ログとがある。
【0034】
ログ保存部102は、ログ受信部101が受信したログを保存して蓄積する。ログ保存部102に保存されたログは、電子制御システムSに発生した異常やサイバー攻撃等を分析するために用いられる。ログ保存部102に保存されたログの分析は、例えば、SOCの分析者やオペレータ、ログ収集装置100に設けられる分析部(図示せず)、あるいは、ログ収集装置100の外部に設けられた分析システムによって行われる。
【0035】
ログ保存部102に蓄積されたログは、電子制御システムSが受けたサイバー攻撃や脆弱性に対する詳細な分析に使用されることはもちろん、その他の任意の用途に使用されてもよい。例えば、車両に不具合やリコールが発生した際、又は車両が盗難被害にあった際に、車両の状況を確認するためにログを使用してもよい。
【0036】
脅威情報取得部103は、ログ収集装置100が接続されている複数の電子制御システムSのうち一の電子制御システムSに発生した「脅威」を示す脅威情報を取得する。以下、脅威が発生した電子制御システムSを脅威発生システムS0(「第1の電子制御システム」に相当)と称する。脅威発生システムS0に発生した脅威とは、例えば、サイバー攻撃やシステムにおいて発見された脆弱性などが挙げられる。脅威情報は、脅威の内容の他、脅威発生システムS0の識別番号、脅威発生システムS0が搭載された車両の識別番号等が含まれていてもよい。脅威情報取得部103はさらに、脅威情報が示す脅威が発生するときの脅威発生システムS0の「接続状況」(「第1の接続状況」に相当)を示す接続情報を取得する。システムの接続状況とは、例えば、脅威発生システムS0が接続されている外部機器20の種別や、外部機器20との接続に用いられる通信方式である。
【0037】
ここで、「脅威」とは、電子制御システムが実際に受けた攻撃の他、将来的に攻撃を受ける可能性が高い電子制御システムの脆弱性であってもよい。
「接続状況」とは、接続先、接続元、又は接続そのものに関する情報であれば足り、例えば、接続元の機器を特定する情報、接続先の機器を特定する情報、又は接続の通信方式等を特定する情報が挙げられる。
「接続状況」とは、接続先、接続元、又は接続そのものに関する情報であれば足り、例えば、接続元の機器を特定する情報、接続先の機器を特定する情報、又は接続の通信方式等を特定する情報が挙げられる。
【0038】
脅威情報取得部103は、例えば、SOCの分析者やオペレータから入力された脅威情報及び接続情報を取得する。脅威発生システムS0に発生した脅威がシステムの脆弱性である場合、このような脆弱性は分析者やオペレータによる分析によって判明することが多い。そこで、脅威情報取得部103は、分析者やオペレータによって入力された、脆弱性に関する脅威情報、及び脆弱性である脅威が発生するときの接続状況を示す接続情報を取得する。あるいは、脅威情報取得部103は、ログ収集装置100に設けられた分析部(図示せず)から、当該分析部が分析したサイバー攻撃に関する脅威情報及び接続情報を取得してもよい。
【0039】
システム情報保存部104は、ログ収集装置100が接続されている複数の電子制御システムSそれぞれの「構成」を示す構成情報を保存しているデータベースである。図4は、システム情報保存部104に保存される情報の一例を示している。図4の例では、車両の識別番号(車両ID)に対応付けて、車両の型式、電子制御システムを構築する車載ECU、及び車載ネットワーク(車載NW)がそれぞれ保存されている。図4に示す各情報に加えて、システム情報保存部104はさらに、各ECUに搭載されているソフトウェアや、ソフトウェアのバージョン、電子制御システムの識別番号等を保存していてもよい。
【0040】
ここで、電子制御システムの「構成」とは、電子制御システムを構築するハードウェアのアーキテクチャの他、ECU同士やメモリの接続構成、ECUに搭載されたソフトウェア、メモリに保存されている情報(例えば、電子制御システムが搭載されている移動体の型式番号など)、及びこれらのバージョンであってもよい。
【0041】
なお、システム情報保存部104は、図3に示す各構成と物理的に一体的に設けられていてもよく、あるいは、物理的に分離して設けられていてもよい。すなわち、システム情報保存部104は、図3に示す各構成とは分離した外部データベースとして設けられてもよい。この場合、図3に示す各構成と、外部データベースであるシステム情報保存部104とをまとめて、ログ収集装置100を構成する。
【0042】
特定部105は、ログ収集装置100に接続されている複数の電子制御システムSのうち、脅威発生システムS0との関連性が高い電子制御システムを、脅威発生システムS0と同じ脅威が発生しうる電子制御システムとして特定する。具体的には、特定部105は、システム情報保存部104に保存されている構成情報に基づいて、脅威発生システムS0と「共通の構成」を有する電子制御システムを、脅威発生システムS0と同じ脅威が発生しうる電子制御システムとして特定する。以下、このような電子制御システムを、関連システム(「第2の電子制御システム」に相当)と称する。
【0043】
ここで、「共通の構成」とは、脅威発生システムと共通する構成を少なくとも一部有していればよく、全ての構成が共通していなくともよい。
【0044】
より具体的には、特定部105は、システム情報保存部104を参照して、脅威情報に含まれる脅威発生システムS0の識別情報等に対応付けられた構成情報を特定する。特定部105はさらに、脅威発生システムS0に対応する構成情報が示す各構成と共通の構成を有する他の電子制御システムを、関連システムとして特定する。
【0045】
例えば、特定部105は、脅威発生システムS0と共通のECUを搭載している電子制御システムSを関連システムとして特定する。脅威発生システムS0を構成するECU10のうち、ゾーンECU10bがサイバー攻撃の被害を受けたとする。この場合、被害を受けたゾーンECU10bと共通のECUを搭載する電子制御システムは、同じサイバー攻撃を受ける可能性がある。そこで、脅威発生システムS0と共通の構成、すなわち、ゾーンECU10bを有する電子制御システムを関連システムとして特定する。
【0046】
共通の構成とは、ECUに限定されるものではない。例えば、脅威発生システムS0と同じ車載ネットワーク(NW1、NW2、NW3)、バス、ソフトウェア、あるいは、これらのバージョンを有する電子制御システムを関連システムとして特定してもよい。また、脅威発生システムS0が搭載された車両と同じ車種や型式の車両に搭載された電子制御システムを関連システムとして特定してもよい。
【0047】
特定部105は、脅威発生システムS0の構成に加えて、脅威発生システムS0の位置に基づいて関連システムを特定してもよい。例えば、特定部105は、脅威発生システムS0と共通の構成を有する電子制御システムのうち、脅威発生システムS0が搭載された車両から所定の距離に位置する車両に搭載された電子制御システムを、関連システムとして特定してもよい。脅威発生システムS0に近接して攻撃者がいる場合、脅威発生システムS0の近くに位置する電子制御システムが同様の攻撃を受ける可能性が高い。そこで、特定部105は、脅威発生システムS0の近くに位置する電子制御システムを関連システムとして特定する。
【0048】
指示生成部106は、ログ収集装置100にこれまで送信していたログ(「第1のログ」に相当)に加えて、当該ログとは異なるログ(「第2のログ」に相当)を、関連システムの接続状況(「第2の接続状況」に相当)が脅威発生システムS0の接続状況と同じ場合に送信することを指示する「指示情報」を生成する。以下、指示情報が追加で送信することを指示するログを追加ログと称し、指示情報が指示する前に電子制御システムSがログ収集装置100に送信していたログを通常ログと称する。
【0049】
「指示情報」とは、追加ログをログ収集装置に送信することを直接的に指示する情報の他、間接的に指示するものであってもよい。例えば、追加ログを追加で収集することを指示することによって、追加ログが送信されればよい。
【0050】
追加ログは通常ログでは送信されない内容のログであり、主に脅威に関係するログであって、脅威に関する詳細な分析を行うために使用されるログである。例えば、攻撃につながるECU10の動作を示すログを通常ログとしてログ収集装置100が収集すると、SOCでは攻撃との関連性が低いログを常時分析することが必要となり、分析の負荷が増大することに加えて、ログ収集装置100と電子制御システムSとの間の通信負荷も増加することになる。そのため、このようなログは追加ログとして収集することが望ましい。指示情報は、追加ログの内容や、追加ログを取得する基準となる閾値を更に含んでもよい。
【0051】
接続状況が同じとは、過去の接続状況が同じであった場合、将来的に接続状況が同じになりうる場合、及び現在の接続状況が同じである場合、のいずれであってもよい。好適には、指示生成部106は、関連システムの現在の接続状況が、脅威発生システムS0の接続状況と同じである場合に追加ログを送信することを指示する。関連システムの現在の接続状況が脅威発生システムS0の接続状況と同じ場合に、最も脅威発生システムS0と同じ脅威が発生する可能性が高いためである。
【0052】
例えば、脅威発生システムS0の接続状況と関連システムの接続状況とが同じ場合とは、脅威発生システムS0に脅威が発生したときの通信方式と、関連システムが現在接続中の通信方式と、が同じ場合である。一例として、脅威発生システムS0においてWi-Fi機器の脆弱性が指摘されている場合、通信方式としてWi-Fiを用いて通信をしているときに脆弱性を突いた攻撃がされる可能性がある。そこで、指示生成部106は、関連システムが現在接続中の通信方式がWi-Fiである場合に通常ログに加えて追加ログを送信することを指示する指示情報を生成する。
【0053】
あるいは、脅威発生システムS0の接続状況と関連システムの接続状況とが同じ場合とは、脅威発生システムS0に脅威が発生したときに接続されていた外部機器20と、関連システムが現在接続中の外部機器20とが同じ場合である。脅威発生システムS0がサイバー攻撃を受けたときに特定の外部機器20、例えば、特定の路側機に接続されている場合を想定する。この場合、脅威発生システムS0は、当該路側機を介して攻撃を受けた可能性がある。そこで、指示生成部106は、関連システムが現在接続中の外部機器20が、脅威発生システムS0に脅威が発生したときに接続されていた路側機である場合に、通常ログに加えて追加ログを送信することを指示する指示情報を生成する。
【0054】
指示生成部106は、追加ログの送信停止を指示する停止指示情報を更に生成してもよい。例えば、脅威発生システムS0に発生した脅威に対する対策が取られ、SOCのオペレータ等から追加ログの送信停止を指示する入力がされた場合に、指示生成部106は停止指示情報を生成する。あるいは、脅威発生システムS0に脅威が発生してから一定期間が経過した場合に、指示生成部106は停止指示情報を生成してもよい。
【0055】
指示送信部107(「送信部」に相当)は、指示生成部106が生成した指示情報と、脅威情報取得部103が取得した脅威発生システムS0の接続情報と、を関連システムに送信する。指示生成部106が停止指示情報を生成した場合、指示送信部107はさらに停止指示情報を関連システムに送信する。
【0056】
(2)ログ送信装置150の構成
次に、図5を参照して、電子制御システムSの各ECU10からログを集約し、集約したログをログ収集装置100に送信するログ送信装置150について説明する。ログ送信装置150は、ログ取得部151、ログ送信部152、指示受信部153、接続状況判定部154、及びセンサ指示部155を備える。以下、ログ収集装置100と同じ車両に搭載されている電子制御システムを、自車両システムとする。
次に、図5を参照して、電子制御システムSの各ECU10からログを集約し、集約したログをログ収集装置100に送信するログ送信装置150について説明する。ログ送信装置150は、ログ取得部151、ログ送信部152、指示受信部153、接続状況判定部154、及びセンサ指示部155を備える。以下、ログ収集装置100と同じ車両に搭載されている電子制御システムを、自車両システムとする。
【0057】
ログ取得部151は、自車両システムの各ECU10に搭載されたセキュリティセンサが生成したログを取得する。
【0058】
ログ送信部152は、ログ取得部151が取得したログ(「第1のログ」に相当)を、車両の外部に位置するログ収集装置100に送信する。
【0059】
指示受信部153は、ログ収集装置100から、接続情報と指示情報とを受信する。接続状況は、電子制御システムの接続状況(「第1の接続状況」に相当)を示す情報である。また、指示情報は、ログ送信装置150が当該指示情報を受信する前にログ収集装置100に送信していたログである通常ログ(「第1のログ」に相当)に加えて、通常ログとは異なる追加ログ(「第2のログ」に相当)を、自車両システムの接続状況(「第2の接続状況」に相当)が接続情報が示す接続状況と同じ場合に送信することを指示する情報である。
【0060】
接続状況判定部154は、自車両システムの接続状況が、指示受信部153が受信した接続情報が示す接続状況と同じか否かを判定する。ここで、接続状況判定部154が、自車両システムの接続状況と、接続情報が示す接続状況とが同じであると判定した場合、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置150に送信することを指示する。
【0061】
各ECU10に搭載されたセキュリティセンサは、センサ指示部155から追加ログの生成指示を受けると、新たに追加ログを生成してログ送信装置150に送信する。指示受信部153が受信した指示情報が、追加ログを取得する基準となる閾値を含む場合、セキュリティセンサは、監視対象となるデータが閾値を超えた場合に追加ログを生成してもよい。その結果、ログ取得部151は、これまでセキュリティセンサが生成していた通常ログに加えて、追加ログも取得することができる。ログ取得部151が追加ログを取得すると、ログ送信部152は追加ログをログ収集装置100に送信する。
【0062】
また、指示受信部153がログ収集装置100から停止指示情報を受信した場合、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログの生成を停止することを指示する。
【0063】
なお、センサ指示部155は、指示受信部153が停止指示情報を受信していない場合であっても、セキュリティセンサに対し、追加ログの生成を停止することを指示するように構成されてもよい。例えば、接続状況判定部154が、自車両システムが現在接続中の状況が、接続情報が示す接続状況とは異なる状況になったと判定した場合に、センサ指示部155は追加ログの生成を停止することを指示してもよい。この場合、自車両システムが現在接続中の状況が、接続情報が示す接続状況とは異なる状況になると、ログ送信装置150は、追加ログの送信を停止する。
【0064】
あるいは、センサ指示部155は、指示受信部153が指示情報を受信してから一定時間が経過した場合に、追加ログの生成を停止することを指示してもよい。
【0065】
(3)ログ収集装置100及びログ送信装置150の動作
次に、図6を参照して、ログ収集装置100及びログ送信装置150の動作を説明する。図6は、ログ収集装置100で実行されるログ収集方法、及びログ送信装置150で実行されるログ送信方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものでもある。そして、これらの処理は、図6に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。後述する図7、及び、図10、図11についても同様である。
次に、図6を参照して、ログ収集装置100及びログ送信装置150の動作を説明する。図6は、ログ収集装置100で実行されるログ収集方法、及びログ送信装置150で実行されるログ送信方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものでもある。そして、これらの処理は、図6に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。後述する図7、及び、図10、図11についても同様である。
【0066】
ログ送信装置150のログ取得部151は、各ECU10に搭載されたセキュリティセンサから、自車両システムの状態を示す通常ログを取得する(S151)。
ログ送信部152は、ログ取得部151が取得した通常ログをログ収集装置100に送信する(S152)。
ログ送信部152は、ログ取得部151が取得した通常ログをログ収集装置100に送信する(S152)。
【0067】
ログ収集装置100のログ受信部101は、ログ送信装置150から通常ログを受信する(S101)。
ここで、ログ収集装置100の脅威情報取得部103が脅威情報及び接続情報を取得している場合(S102:Y)、特定部105は、システム情報保存部104に保存されている構成情報に基づいて、脅威情報が示す脅威と同じ脅威が発生しうる電子制御システムを、関連システムとして特定する(S103)。
指示生成部106は、通常ログに加えて追加ログを、関連システムの接続状況が脅威発生システムS0の接続状況と同じ場合に送信することを指示する指示情報を生成する(S104)。
指示送信部107は、S103で特定した関連システムに、指示情報及び接続情報を送信する(S105)。
ここで、ログ収集装置100の脅威情報取得部103が脅威情報及び接続情報を取得している場合(S102:Y)、特定部105は、システム情報保存部104に保存されている構成情報に基づいて、脅威情報が示す脅威と同じ脅威が発生しうる電子制御システムを、関連システムとして特定する(S103)。
指示生成部106は、通常ログに加えて追加ログを、関連システムの接続状況が脅威発生システムS0の接続状況と同じ場合に送信することを指示する指示情報を生成する(S104)。
指示送信部107は、S103で特定した関連システムに、指示情報及び接続情報を送信する(S105)。
【0068】
ログ送信装置150の指示受信部153は、ログ収集装置100から指示情報及び接続情報を受信する(S153)。
接続状況判定部154は、自車両システムの接続状況が、指示受信部153が受信した接続情報が示す接続状況と同じか否かを判定する(S154)。
ここで、接続状況判定部154が、自車両システムの接続状況と、接続情報が示す接続状況とが同じであると判定した場合(S155:Y)、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置150に送信することを指示する(S156)。
接続状況判定部154は、自車両システムの接続状況が、指示受信部153が受信した接続情報が示す接続状況と同じか否かを判定する(S154)。
ここで、接続状況判定部154が、自車両システムの接続状況と、接続情報が示す接続状況とが同じであると判定した場合(S155:Y)、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置150に送信することを指示する(S156)。
【0069】
次に、図7を参照して、追加ログの送信停止に係るログ収集装置100及びログ送信装置150の動作を説明する。
【0070】
指示生成部106は、SOCのオペレータ等によって追加ログの送信停止指示が入力された場合(S111:Y)、停止指示情報を生成する(S113)。
また、追加ログの送信停止指示が入力されていない場合(S111:N)であっても、指示情報を関連システムに送信してから一定時間が経過した場合(S112:Y)には、指示生成部106は停止指示情報を生成する(S113)。
そして、指示送信部107は、S113で生成した停止指示情報を関連システムに送信する(S114)。
また、追加ログの送信停止指示が入力されていない場合(S111:N)であっても、指示情報を関連システムに送信してから一定時間が経過した場合(S112:Y)には、指示生成部106は停止指示情報を生成する(S113)。
そして、指示送信部107は、S113で生成した停止指示情報を関連システムに送信する(S114)。
【0071】
ログ送信装置150の接続状況判定部154が、自車両システムの現在の接続状況が、接続情報が示す接続状況とは異なる状況になったと判定した場合(S161:Y)、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログの生成停止を指示する(S163)。
また、ログ送信装置150の指示受信部153は、ログ収集装置100から停止指示情報を受信(S162)した場合も、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログの生成停止を指示する(S163)。
また、ログ送信装置150の指示受信部153は、ログ収集装置100から停止指示情報を受信(S162)した場合も、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログの生成停止を指示する(S163)。
【0072】
(4)具体的例
次に、関連システムにおいて、ログ収集装置100からの指示を受けて、追加ログの生成をする場合の具体的な事例を説明する。
次に、関連システムにおいて、ログ収集装置100からの指示を受けて、追加ログの生成をする場合の具体的な事例を説明する。
【0073】
(a)事例1
一例として、オペレータが異常を示すログを分析した結果、OBD(On Board Diagnostics)コネクタ経由の不正アクセスが疑われる場合を説明する。
一例として、オペレータが異常を示すログを分析した結果、OBD(On Board Diagnostics)コネクタ経由の不正アクセスが疑われる場合を説明する。
【0074】
この場合、脅威情報取得部103は、不正アクセスを示す脅威情報と、OBDコネクタを示す接続情報とを取得する。また、特定部105は、異常が検出されたECUと共通のハードウェアであって、且つ、共通するバージョンのソフトウェアを搭載するECUが搭載されている電子制御システムSを、関連システムとして特定する。そして、指示生成部106は、OBDコネクタとの通信内容を示す追加ログを、関連システムの接続状況が接続情報が示す接続状況と同じ場合、すなわち、関連システムが現在接続中の外部機器がOBDコネクタである場合に送信することを指示する指示情報を生成する。
【0075】
ログ送信装置150がログ収集装置100から指示情報を受信すると、接続状況判定部154は、自車両システムが現在接続中の外部機器20がOBDコネクタであるか否かを判定する。ここで、接続状況判定部154がOBDコネクタに接続されていると判定した場合、センサ指示部155は、各ECU10のセキュリティセンサに対し、OBDコネクタへの通信内容の監視及び通信内容に係るログの生成を指示する。指示を受けた各ECU10のセキュリティセンサは、OBDコネクタとの通信内容を示すログ、すなわち追加ログを生成する。セキュリティセンサが生成した追加ログは、ログ送信装置150を介して、ログ収集装置100に送信される。
【0076】
また、自車両システムとOBDコネクタとの接続が終了し、接続状況判定部154が、自車両システムが現在接続中の外部機器20がOBDコネクタではないと判定した場合、センサ指示部155は、セキュリティセンサに対し、追加ログの生成停止を指示する。あるいは、OBDコネクタ経由の不正アクセスに対する対策が行われ、指示受信部153がログ収集装置100から停止指示情報を受信した場合には、センサ指示部155は、セキュリティセンサに対し、追加ログの生成停止を指示する。
【0077】
OBDコネクタ経由の不正アクセスが疑われる場合であっても、ログ収集装置100がOBDコネクタとの通信内容に関するログを通常ログとして取得していない場合、不正アクセスに関して詳細な調査を行うことができないおそれがある。また、OBDコネクタとの通信内容に関するログを通常ログとして収集すると、特に異常が発生していない状態での通常ログのデータ量が増大し、ひいては通信リソースの消費が増大することになる。
【0078】
そこで、OBDコネクタ経由の不正アクセスが行われる可能性が高い電子制御システムを関連システムとして特定し、このような関連システムがOBDコネクタに接続される接続状況になった場合に限り、追加ログを収集するようにする。これにより、通常時のリソース消費を抑制しながら、OBDコネクタ経由の不正アクセスに関する詳細な調査を可能にする。
【0079】
(b)事例2
別の例として、電子制御システムを構成するNAVIアプリケーションにおいて、Bluetooth(登録商標)用の通信モジュールの脆弱性が電子制御システムの脅威として見つかった場合を説明する。脆弱性として、例えば、IDを偽造した通信でBluetoothのペアリングに必要な認証鍵を強度の低い暗号スイートなどに上書きし、不正なデバイスとの接続を可能にするようなものが挙げられる。このような場合、Bluetoothの接続自体は正常に実行されるため、セキュリティセンサは異常を検知できない可能性がある。
別の例として、電子制御システムを構成するNAVIアプリケーションにおいて、Bluetooth(登録商標)用の通信モジュールの脆弱性が電子制御システムの脅威として見つかった場合を説明する。脆弱性として、例えば、IDを偽造した通信でBluetoothのペアリングに必要な認証鍵を強度の低い暗号スイートなどに上書きし、不正なデバイスとの接続を可能にするようなものが挙げられる。このような場合、Bluetoothの接続自体は正常に実行されるため、セキュリティセンサは異常を検知できない可能性がある。
【0080】
この場合、脅威情報取得部103は、Bluetooth用の通信モジュールの脆弱性を示す脅威情報と、Bluetoothの通信方式を示す接続情報とを取得する。また、特定部105は、脅威が見つかった電子制御システムと同じNAVIシステムを有する電子制御システムを、関連システムとして特定する。そして、指示生成部106は、NAVIシステムのアプリケーションの動作ログを、関連システムが現在接続中の通信方式がBluetoothである場合に送信することを指示する指示情報を生成する。
【0081】
ログ送信装置150がログ収集装置100から指示情報を受信すると、接続状況判定部154は、自車両システムが現在接続中の通信方式がBluetoothであるか否かを判定する。ここで、接続状況判定部154が現在接続中の通信方式がBluetoothであると判定した場合、センサ指示部155は、各ECU10のセキュリティセンサに対し、NAVIシステムのアプリケーションの動作ログの生成を指示する。指示を受けた各ECU10のセキュリティセンサは、アプリケーションの動作ログ、すなわち追加ログを生成する。セキュリティセンサが生成した追加ログは、ログ送信装置150を介して、ログ収集装置100に送信される。
【0082】
事例1と同様、接続状況判定部154が、自車両システムが現在接続中の通信方式がBluetoothではないと判定した場合、センサ指示部155は、セキュリティセンサに対し、追加ログの生成停止を指示する。あるいは、脆弱性に対する対策が行われ、指示受信部153がログ収集装置100から停止指示情報を受信した場合には、センサ指示部155は、セキュリティセンサに対し、追加ログの生成停止を指示する。
【0083】
ログ収集装置100が収集した追加ログを分析することで、脆弱性が悪用された場合に実施される攻撃の観測と分析を行うことが可能となる。
【0084】
なお、具体的な関連システムや追加ログの内容は、上述した事例1及び事例2に限定されるものではない。例えば、接続機器20との通信内容やアプリケーションの動作ログに代えて、あるいはこれらに加えて、接続機器20と通信をしている間の車載ネットワークにおけるECU間の通信内容、自車両システムにて実行しているサービスやプロセス、車両自体の走行状況を、追加ログとして取得してもよい。
【0085】
(5)小括
以上、本実施形態によれば、ログ収集装置が収集するログを必要に応じて変化させることができる。これにより、特に異常が発生していない場合には通常ログのみを収集し、何らかの脅威が発生した場合に限り通常ログに加えて追加ログを収集することで、通常時に使用される通信リソースを抑制しながら、脅威の分析に必要なログを収集することが可能となる。
以上、本実施形態によれば、ログ収集装置が収集するログを必要に応じて変化させることができる。これにより、特に異常が発生していない場合には通常ログのみを収集し、何らかの脅威が発生した場合に限り通常ログに加えて追加ログを収集することで、通常時に使用される通信リソースを抑制しながら、脅威の分析に必要なログを収集することが可能となる。
【0086】
3.第2の実施形態
第1の実施形態では、ログ収集装置100から指示情報を受信したログ送信装置150が、自車両システムの接続状況を判定するとともに、判定結果に基づいて追加ログの生成をセキュリティセンサに指示する構成を説明した。本実施形態では、ログ収集装置が、電子制御システムの接続状況を考慮して、関連システムを特定する構成を説明する。
第1の実施形態では、ログ収集装置100から指示情報を受信したログ送信装置150が、自車両システムの接続状況を判定するとともに、判定結果に基づいて追加ログの生成をセキュリティセンサに指示する構成を説明した。本実施形態では、ログ収集装置が、電子制御システムの接続状況を考慮して、関連システムを特定する構成を説明する。
【0087】
(1)ログ収集装置200の構成
図8を参照して、本実施形態のログ収集装置200の構成を説明する。第1の実施形態と同じ機能を有する構成については、ログ収集装置100と同じ符号を付し、説明は省略する。本実施形態のログ収集装置200は、ログ受信部101、ログ保存部102、脅威情報取得部103、システム情報保存部204、特定部205、指示生成部206、及び指示送信部207を備える。
図8を参照して、本実施形態のログ収集装置200の構成を説明する。第1の実施形態と同じ機能を有する構成については、ログ収集装置100と同じ符号を付し、説明は省略する。本実施形態のログ収集装置200は、ログ受信部101、ログ保存部102、脅威情報取得部103、システム情報保存部204、特定部205、指示生成部206、及び指示送信部207を備える。
【0088】
本実施形態のシステム情報保存部204は、図4に示すような各電子制御システムSの構成情報に加えて、ログ収集装置200に接続されている各電子制御システムSの接続状況を示す接続情報(「第2の接続情報」に相当)を保存している。なお、電子制御システムSの接続状況は経時的に変化するものである。そのため、システム情報保存部204に保存される電子制御システムSの接続情報は随時更新される。例えば、ログ受信部101は、電子制御システムSの接続状況を示すログを随時受信するとともに、受信した情報に基づいてシステム情報保存部204に保存されている接続情報を更新してもよい。
【0089】
なお、第1の実施形態と同様、システム情報保存部204は、図8に示す各構成とは物理的に分離した外部データベースとして設けられてもよい。
【0090】
特定部205は、脅威情報取得部103が取得した脅威発生システムS0の接続情報(「第1の接続情報」に相当)、及び、システム情報保存部204に保存されている電子制御システムSの構成情報並びに接続情報に基づいて、脅威発生システムS0と同じ脅威が発生しうる電子制御システムを、関連システムとして特定する。具体的には、特定部205は、脅威発生システムS0と共通の構成を有するとともに、脅威が発生したときの脅威発生システムS0の接続状況(「第1の接続状況」に相当)と同じ接続状況で接続される電子制御システムSを、関連システム(「第2の電子制御システム」に相当)として特定する。
【0091】
つまり、第1の実施形態では、車両に搭載されたログ送信装置150の接続状況判定部154が脅威発生システムS0の接続状況と電子制御システムS(すなわち、自車両システム)の接続状況が同じであるか否かを判定していたのに対し、本実施形態では、特定部205が、脅威発生システムS0の接続状況と電子制御システムSの接続状況が同じであるか否かを判定する。
【0092】
指示生成部206は、通常ログ(「第1のログ」に相当)に加えて、通常ログとは異なる追加ログ(「第2のログ」に相当)を送信することを指示する指示情報を生成する。
【0093】
指示送信部207(「送信部」に相当)は、指示生成部206が生成した指示情報を関連システムに送信する。ここで、第1の実施形態の指示送信部107は、指示情報に加えて脅威発生システムS0の接続情報を送信した。しかしながら、本実施形態では、ログ送信装置250が接続状況を判定する必要がないため、指示送信部207は脅威発生システムS0の接続情報を送信しなくともよい。
【0094】
(2)ログ送信装置250の構成
図9を参照して、本実施形態のログ送信装置250の構成を説明する。ログ送信装置250は、ログ取得部151、ログ送信部152、指示受信部253、及びセンサ指示部155を備える。図9に示すとおり、ログ送信装置250は、第1の実施形態のログ送信装置150とは異なり、接続状況判定部154を有さない。
図9を参照して、本実施形態のログ送信装置250の構成を説明する。ログ送信装置250は、ログ取得部151、ログ送信部152、指示受信部253、及びセンサ指示部155を備える。図9に示すとおり、ログ送信装置250は、第1の実施形態のログ送信装置150とは異なり、接続状況判定部154を有さない。
【0095】
指示受信部253は、ログ収集装置200から指示情報を受信する。第1の実施形態とは異なり、指示受信部253は脅威発生システムS0の接続情報を受信しない。そして、指示受信部253が指示情報を受信すると、センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置250に送信することを指示する。
【0096】
(3)ログ収集装置200及びログ送信装置250の動作
図10を参照して、ログ収集装置200及びログ送信装置250の動作を説明する。第1の実施形態のログ収集装置100及びログ送信装置150と同じ処理については同じ符号を付し、詳細な説明は省略する。
図10を参照して、ログ収集装置200及びログ送信装置250の動作を説明する。第1の実施形態のログ収集装置100及びログ送信装置150と同じ処理については同じ符号を付し、詳細な説明は省略する。
【0097】
ログ収集装置100と同様、脅威情報取得部103が脅威情報及び接続情報を取得している場合(S102:Y)、特定部205は、脅威情報が示す脅威と同じ脅威が発生しうる電子制御システムを、関連システムとして特定する(S203)。ただし、ログ収集装置200は、システム情報保存部204に保存されている構成情報に加えて、電子制御システムSの接続情報、及び、脅威発生システムS0の接続状況を示す接続情報に基づいて、関連システムを特定する。
指示生成部206は、通常ログに加えて追加ログを送信することを指示する指示情報を生成する(S204)。
そして、指示送信部207は、S203で特定した関連システムに、S204で生成した指示情報を送信する(S205)。
指示生成部206は、通常ログに加えて追加ログを送信することを指示する指示情報を生成する(S204)。
そして、指示送信部207は、S203で特定した関連システムに、S204で生成した指示情報を送信する(S205)。
【0098】
ログ送信装置250の指示受信部253は、ログ収集装置200から指示情報を受信する(S253)。
センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置250に送信することを指示する(S156)。
センサ指示部155は、各ECU10に搭載されたセキュリティセンサに対し、追加ログを生成してログ送信装置250に送信することを指示する(S156)。
【0099】
次に、図11を参照して、追加ログの送信停止に係るログ収集装置200及びログ送信装置250の動作を説明する。
【0100】
図11に示すログ収集装置200の動作は、図7に示すログ収集装置100の動作と同じである。
これに対し、ログ送信装置250は、ログ送信装置150とは異なり、電子制御システムSの接続状況が脅威発生システムS0と同じではなくなったか否かを判定せず、ログ収集装置200から停止指示情報を受信(S162)した場合に、各セキュリティセンサに対し、追加ログの生成停止を指示する。
これに対し、ログ送信装置250は、ログ送信装置150とは異なり、電子制御システムSの接続状況が脅威発生システムS0と同じではなくなったか否かを判定せず、ログ収集装置200から停止指示情報を受信(S162)した場合に、各セキュリティセンサに対し、追加ログの生成停止を指示する。
【0101】
(4)小括
以上、本実施形態によれば、第1の実施形態と同様、通常時に使用される通信リソースを抑制しながら、脅威の分析に必要なログを収集することが可能となる。
以上、本実施形態によれば、第1の実施形態と同様、通常時に使用される通信リソースを抑制しながら、脅威の分析に必要なログを収集することが可能となる。
【0102】
さらに、本実施形態によれば、ログ収集装置が、電子制御システムSの構成情報に加えて、電子制御システムSの接続状況に基づいて関連システムを特定することにより、ログ送信装置における処理を軽減することが可能となる。
【0103】
4.変形例
(1)変形例1
本変形例では、ログ収集装置100の指示送信部107が、予め設定された優先順位に基づいて指示情報を送信する構成を説明する。
(1)変形例1
本変形例では、ログ収集装置100の指示送信部107が、予め設定された優先順位に基づいて指示情報を送信する構成を説明する。
【0104】
特定部105が特定した関連システムの数が多い場合、全ての関連システムに対して一度に指示情報を送信することが困難なことがある。そのため、脅威発生システムS0と同じ脅威が発生する可能性がより高い関連システムから順に指示情報を送信することが望ましい。そこで、特定部105が特定した関連システムの数が所定の閾値「以上」の場合、予め設定された優先順位の高いシステムから順に指示情報を送信する。
【0105】
ここで、「以上」とは、比較対象と同じ値を含む場合及び含まない場合の両方が含まれる。
【0106】
例えば、指示送信部107は、特定の地点により近い関連システムから順に指示情報を送信する。特定の地点とは、例えば、脅威発生システムS0の現在位置、あるいは、脅威が発生した時点における脅威発生システムS0の位置である。脅威発生システムS0に近接して攻撃者がいる場合、脅威発生システムS0の近くに位置する電子制御システムSが同様の攻撃を受ける可能性が高い。そのため、脅威発生システムS0の近くに位置する電子制御システムから順に指示情報を送信する。また、脅威発生システムS0に発生した脅威が特定の地点、例えば、路側機、Wi-Fiスポット、充電スポットといった地点に関連する脅威である場合には、これらの地点により近い関連システムから順に指示情報を送信してもよい。
【0107】
別の例では、指示送信部107は、脅威発生システムS0が使用するIPアドレスとの類似度が高いIPアドレスを使用する関連システムから順に指示情報を送信する。攻撃者が総当たり攻撃をしている場合、攻撃を受けた脅威発生システムS0が使用するIPアドレスに類似するIPアドレスが将来的に攻撃を受ける可能性は高いためである。
【0108】
さらに別の例では、指示送信部107は、脅威発生システムS0が搭載された車両と同じ用途で使用されている車両に搭載された関連システムから優先的に指示情報を送信する。例えば、脅威発生システムS0が搭載された車両が商用車両である場合には、関連システムが搭載されている車両のうち商用車両に搭載された関連システムから優先的に指示情報を送信する。
【0109】
以上の他に、過去の統計に基づいて、攻撃を受ける頻度が高い車両に搭載されている関連システムから優先的に指示情報を送信してもよい。
【0110】
(2)変形例2
上述した実施形態では、脅威発生システムS0にサイバー攻撃や脆弱性といった脅威が発生した場合に、特定部107が脅威発生システムS0と同様の脅威が発生しうる関連システムを特定し、関連システムから追加ログを収集した。しかしながら、ログ収集装置100に接続された電子制御システムSに脅威が発生していない場合に、追加ログを収集するように構成してもよい。
上述した実施形態では、脅威発生システムS0にサイバー攻撃や脆弱性といった脅威が発生した場合に、特定部107が脅威発生システムS0と同様の脅威が発生しうる関連システムを特定し、関連システムから追加ログを収集した。しかしながら、ログ収集装置100に接続された電子制御システムSに脅威が発生していない場合に、追加ログを収集するように構成してもよい。
【0111】
例えば、特定の電子制御システムが、特定の接続状況においてサイバー攻撃を受けることが予測される場合、追加ログを送信することを関連システムのログ送信装置150に対して予め指示してもよい。この場合、実際に発生する脅威に先駆けて追加ログを収集することが可能となる。
【0112】
(3)変形例3
上述した実施形態では、ログ収集装置100が、追加ログの送信を指示する指示情報をログ送信装置150に直接送信する構成を説明した。しかしながら、ログ収集装置100は、一のログ送信装置を介して別のログ送信装置に指示情報を送信してもよい。
上述した実施形態では、ログ収集装置100が、追加ログの送信を指示する指示情報をログ送信装置150に直接送信する構成を説明した。しかしながら、ログ収集装置100は、一のログ送信装置を介して別のログ送信装置に指示情報を送信してもよい。
【0113】
例えば、ログ送信装置150は、ログ収集装置100から指示情報を受信すると、受信した指示情報を、自車両の近くに位置する他車両に車車間通信を用いて送信する。車車間通信を介して、一のログ送信装置から別のログ送信装置に指示情報を送信することにより、ログ送信装置とログ収集装置との間の通信リソースを抑制することができることに加えて、特定のエリア内に位置する車両については、ログ収集装置100が直接送信するよりも早く指示情報を多くのログ送信装置に伝達できる可能性がある。
【0114】
なお、上述した変形例はいずれも、第1の実施形態に適用する場合を例に挙げて説明したが、各変形例は第2の実施形態にも同様に適用してもよい。
【0115】
5.総括
以上、本発明の各実施形態におけるログ収集装置及びログ送信装置等の特徴について説明した。
以上、本発明の各実施形態におけるログ収集装置及びログ送信装置等の特徴について説明した。
【0116】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0117】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0118】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0119】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0120】
また、本発明のログ収集装置及びログ送信装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0121】
また、ログ収集装置及びログ送信装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0122】
本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0123】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0124】
本開示のログ収集装置は、自動車に搭載された車載システムからログを収集する装置を対象としているが、自動車に搭載されない任意のシステムからログを収集する装置であってもよい。
【符号の説明】
【0125】
100,200 ログ収集装置、101 ログ受信部、103 脅威情報取得部、104,204 システム情報保存部、105,205 特定部、106,206 指示生成部、107,207 送信部、150 ログ送信装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
