IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > パナソニックオートモーティブシステムズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックオートモーティブシステムズ株式会社の特許一覧

<>
  • 特開-情報提供方法及び情報処理装置 図1
  • 特開-情報提供方法及び情報処理装置 図2
  • 特開-情報提供方法及び情報処理装置 図3
  • 特開-情報提供方法及び情報処理装置 図4
  • 特開-情報提供方法及び情報処理装置 図5
  • 特開-情報提供方法及び情報処理装置 図6
  • 特開-情報提供方法及び情報処理装置 図7
  • 特開-情報提供方法及び情報処理装置 図8
  • 特開-情報提供方法及び情報処理装置 図9
  • 特開-情報提供方法及び情報処理装置 図10
  • 特開-情報提供方法及び情報処理装置 図11
  • 特開-情報提供方法及び情報処理装置 図12
  • 特開-情報提供方法及び情報処理装置 図13
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024070327
(43)【公開日】2024-05-23
(54)【発明の名称】情報提供方法及び情報処理装置
(51)【国際特許分類】
   B60R 25/102 20130101AFI20240516BHJP
   G08G 1/09 20060101ALI20240516BHJP
   B60R 25/01 20130101ALI20240516BHJP
   G06F 21/55 20130101ALI20240516BHJP
【FI】
B60R25/102
G08G1/09 V
G08G1/09 F
B60R25/01
G06F21/55 320
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022180736
(22)【出願日】2022-11-11
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
(71)【出願人】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】福嶌 秀世
(72)【発明者】
【氏名】日高 淳
(72)【発明者】
【氏名】吉田 順一
(72)【発明者】
【氏名】仲辻 栄義
(72)【発明者】
【氏名】浅沼 将人
【テーマコード(参考)】
5H181
【Fターム(参考)】
5H181AA14
5H181BB04
5H181CC04
5H181FF06
5H181FF32
5H181LL09
5H181MA44
(57)【要約】
【課題】更なる改善が必要とされていた。
【解決手段】情報提供方法は、車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置において実行される情報提供方法であって、セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、第1車両を識別するための車両情報とを含む攻撃情報を受信し(S14)、車両情報で特定される第1車両に対して、第1機能に応じて決定された対処を第1車両に行わせる指示を送信し(S20)、対処は、第1機能が第1車両の走行機能以外の1以上の第2機能に含まれる機能である場合、走行機能を停止せずに、第1機能を停止するための第1対処を含む。
【選択図】図11
【特許請求の範囲】
【請求項1】
車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置において実行される情報提供方法であって、
前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、
前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、
前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能に含まれる機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む
情報提供方法。
【請求項2】
前記第1対処は、前記第1機能を強制停止することを含む
請求項1に記載の情報提供方法。
【請求項3】
前記対処は、さらに、前記第1機能を示す機能情報を前記第1車両が備える提示部に提示させる第2対処を含む
請求項2に記載の情報提供方法。
【請求項4】
前記第2対処は、さらに、前記第1機能を強制停止させた後に、前記第1機能の再開の指示を前記第1車両が備える入力インタフェースを介して前記第1車両のユーザから受け付けるための第1UI(User Interface)を、前記提示部へ提示することを含む
請求項3に記載の情報提供方法。
【請求項5】
前記第1対処は、前記第1機能の停止の指示を前記第1車両が備える入力インタフェースを介して前記第1車両のユーザから受け付けるための第2UI(User Interface)を、前記第1車両が備える提示部へ提示することを含む
請求項1に記載の情報提供方法。
【請求項6】
前記第1対処は、さらに、前記第1機能を停止させた後に、前記第1機能の再開の指示を前記入力インタフェースを介して前記第1車両のユーザから受け付けるための第3UI(User Interface)を、前記提示部へ提示することを含む
請求項5に記載の情報提供方法。
【請求項7】
前記第2UIは、さらに、前記第1機能を停止しない場合のリスクを提示するためのリスク情報を含む
請求項5または6に記載の情報提供方法。
【請求項8】
前記対処は、前記第1機能が前記第1車両の走行機能である場合、前記走行機能を停止する第3対処を含む
請求項1から4のいずれか1項に記載の情報提供方法。
【請求項9】
前記1以上の第2機能は、前記第1車両を管理する管理者に応じて設定されている
請求項1から4のいずれか1項に記載の情報提供方法。
【請求項10】
車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置であって、
プロセッサと、
メモリと、を備え、
前記プロセッサは、前記メモリを用いて、
前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、
前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、
前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む
情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は情報提供方法及び情報処理装置に関する。
【背景技術】
【0002】
特許文献1には、車両から取得された当該車両に関する複数の情報を統合して、ファイルサーバから車両側マスタ装置にダウンロードされたリプログデータに係る車両状態を特定するセンター装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2020-21135号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に係る技術では、更なる改善が必要とされていた。
【課題を解決するための手段】
【0005】
本開示の一態様に係る情報提供方法は、車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置において実行される情報提供方法であって、前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能に含まれる機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む。
【0006】
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0007】
上記態様によれば、更なる改善を実現することができる。
【図面の簡単な説明】
【0008】
図1図1は、実施の形態に係る車両への情報を提供する情報提供システムの概略図である。
図2図2は、実施の形態に係る情報処理装置のハードウェア構成の一例を示すブロック図である。
図3図3は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。
図4図4は、実施の形態に係る情報提供システムの機能構成の一例を示すブロック図である。
図5図5は、脅威レベルと、セキュリティ攻撃の種類との関係について説明するための表である。
図6図6は、セキュリティ攻撃の対象となった運行中の第1車両に対する対応ルールの一例を示す表である。
図7図7は、セキュリティ攻撃の対象となった運行前(運行終了中)の第1車両に対する対応ルールの一例を示す表である。
図8図8は、レベルBのセキュリティ攻撃を運行中の第1車両が受けた場合に強制停止させる機能の管理者に応じて定められた対応ルールの一例を示す表である。
図9図9は、レベルBのセキュリティ攻撃を運行前(運行終了中)の第1車両が受けた場合に強制停止させる機能の管理者に応じて定められた対応ルールの一例を示す表である。
図10図10は、実施の形態に係る車両の車載ディスプレイの配置例を示す図である。
図11図11は、実施の形態に係る情報提供システムにおける情報提供方法の一例を示すシーケンス図である。
図12図12は、実施の形態に係る情報提供システムにおける復旧時の動作の一例を示すシーケンス図である。
図13図13は、実施の形態に係る提示指示によって車載ディスプレイに提示されるUI(User Interface)の一例を示す図である。
【発明を実施するための形態】
【0009】
(本開示の基礎となった知見)
本発明者は、「背景技術」の欄において記載した、センター装置に関し、以下の問題が生じることを見出した。
【0010】
特許文献1に記載の技術では、車両の異常状況を可視化してユーザに提示する。しかしながら、車両の異常状況をユーザに提示しただけでは、ユーザは、車両の運行を継続できるのか否かを即座に判断できず、混乱する恐れがある。
【0011】
例えば、セキュリティ攻撃を受けた場合、そのセキュリティ攻撃が車両の走行機能に影響がない場合には、車両の運行を継続できる可能性がある。しかしながら、従来技術では、ユーザが車両の運行を継続できるか否かを即座に判断することができないため、想定しない走行制御されることを抑制するためには車両の運行を中止せざるを得ない。
【0012】
このように、セキュリティ攻撃が車両の走行に影響しない場合には、当該セキュリティ攻撃によるリスクを回避しつつ、車両の運行(走行)を継続することが求められている。
また、ユーザは、車両が正常状態へ復旧するまでの間、車両の運行を継続しながら被害リスクを回避する手段の有無が分からない、という課題がある。
【0013】
本発明者は、鋭意検討の上、車両の走行機能に影響がない攻撃である場合、車両の運行(走行)を継続することができる情報提供方法などを見出すに至った。
【0014】
本開示の第1の態様に係る情報提供方法は、車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置において実行される情報提供方法であって、前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能に含まれる機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む。
【0015】
これによれば、第1車両において攻撃の対象とされた第1機能が走行機能以外の1以上の第2機能に含まれる機能である場合、走行機能を停止せずに、第1機能を停止するための対処を第1車両に行わせることができる。つまり、第1車両の走行機能に影響がない攻撃である場合、第1車両の運行(走行)を継続することができる。
【0016】
本開示の第2の態様に係る情報提供方法は、第1の態様に係る情報提供方法であって、前記第1対処は、前記第1機能を強制停止することを含む。
【0017】
このため、攻撃によるリスクを回避することができる。
【0018】
本開示の第3の態様に係る情報提供方法は、第2の態様に係る情報提供方法であって、前記対処は、さらに、前記第1機能を示す機能情報を前記第1車両が備える提示部に提示させる第2対処を含む。
【0019】
このため、ユーザは、攻撃によるリスクを回避するために停止された機能を認識することができる。
【0020】
本開示の第4の態様に係る情報提供方法は、第3の態様に係る情報提供方法であって、前記第2対処は、さらに、前記第1機能を強制停止させた後に、前記第1機能の再開の指示を前記第1車両が備える入力インタフェースを介して前記第1車両のユーザから受け付けるための第1UI(User Interface)を、前記提示部へ提示することを含む。
【0021】
このため、ユーザは、攻撃によるリスクを承知した上で、攻撃を受けている機能を継続して使用することができる。
【0022】
本開示の第5の態様に係る情報提供方法は、第1の態様に係る情報提供方法であって、前記第1対処は、前記第1機能の停止の指示を前記第1車両が備える入力インタフェースを介して前記第1車両のユーザから受け付けるための第2UI(User Interface)を、前記第1車両が備える提示部へ提示することを含む。
【0023】
このため、ユーザは、攻撃を受けている機能を停止するか否かを選択することができる。
【0024】
本開示の第6の態様に係る情報提供方法は、第5の態様に係る情報提供方法であって、前記第1対処は、さらに、前記第1機能を停止させた後に、前記第1機能の再開の指示を前記入力インタフェースを介して前記第1車両のユーザから受け付けるための第3UI(User Interface)を、前記提示部へ提示することを含む。
【0025】
このため、ユーザは、攻撃を受けている機能の再開を選択することができる。
【0026】
本開示の第7の態様に係る情報提供方法は、第5の態様または第6の態様に係る情報提供方法であって、前記第2UIは、さらに、前記第1機能を停止しない場合のリスクを提示するためのリスク情報を含む。
【0027】
このため、ユーザは、攻撃によるリスクを認識することができる。
【0028】
本開示の第8の態様に係る情報提供方法は、第1の態様から第7の態様のいずれか1つの態様に係る情報提供方法であって、前記対処は、前記第1機能が前記第1車両の走行機能である場合、前記走行機能を停止する第3対処を含む。
【0029】
このため、走行機能が攻撃を受けている場合には、攻撃を受けている第1車両の走行機能を自動的に停止させることができる。これにより、第1車両に対して想定しない走行制御が行われることを抑制することができる。
【0030】
本開示の第9の態様に係る情報提供方法は、第1の態様から第8の態様のいずれか1つの態様に係る情報提供方法であって、前記1以上の第2機能は、前記第1車両を管理する管理者に応じて設定されている。
【0031】
このため、管理者に応じて設定された条件に応じて、攻撃を受けた際に停止させる、走行機能に影響しない機能を設定することができる。
【0032】
本開示の第10の態様に係る情報提供装置は、車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置であって、プロセッサと、メモリと、を備え、前記プロセッサは、前記メモリを用いて、前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む。
【0033】
これによれば、第1車両において攻撃の対象とされた第1機能が走行機能以外の1以上の第2機能に含まれる機能である場合、走行機能を停止せずに、第1機能を停止するための対処を第1車両に行わせることができる。つまり、第1車両の走行機能に影響がない攻撃である場合、第1車両の運行(走行)を継続することができる。
【0034】
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
【0035】
以下、本開示の一態様に係る情報提供方法及び情報処理装置について、図面を参照しながら具体的に説明する。
【0036】
なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0037】
(実施の形態)
以下、図1図13を用いて、実施の形態を説明する。
【0038】
[構成]
図1は、実施の形態に係る車両への情報を提供する情報提供システムの概略図である。
【0039】
具体的には、図1において、セキュリティ監視装置100、情報処理装置200、車両400、通信ネットワーク300および移動体通信網の基地局310が示されている。セキュリティ監視装置100、情報処理装置200、及び、車両400は、通信ネットワーク300を介して、互いに情報の授受ができるように通信可能に接続されている。
【0040】
セキュリティ監視装置100は、車両400の状態を監視する装置であり、例えば、監視センターに設けられる。セキュリティ監視装置100は、車両400からログ情報を定期的に取得し、取得したログ情報に基づいて車両400の状態を監視する。具体的には、セキュリティ監視装置100は、ログ情報に基づいて車両400に対するセキュリティ攻撃の有無を判定する。セキュリティ監視装置100は、次に車両400からログ情報を取得するまでの期間を短くすることで、ほぼリアルタイムに車両400に対するセキュリティ攻撃の有無を判定することができる。セキュリティ監視装置100は、車両400に対するセキュリティ攻撃があったことを判定すると、判定により得られた攻撃情報を情報処理装置200へ送信する。
【0041】
なお、図1では、1台の車両400が示されているが、情報提供システム1は、複数台の車両400を備えていてもよい。つまり、セキュリティ監視装置100は、複数台の車両400のそれぞれからログ情報を定期的に取得し、車両400のそれぞれに対するセキュリティ攻撃の有無を判定し、車両400毎に得られた攻撃情報を情報処理装置200へ送信してもよい。セキュリティ監視装置100は、車両400に対するセキュリティ攻撃があったことを判定した場合に、攻撃情報を生成し、車両400に対するセキュリティ攻撃がなかったことを判定した場合に、攻撃情報を生成しない。セキュリティ監視装置100は、サーバなどのようなコンピュータにより構成される。
【0042】
情報処理装置200は、車両400の運行を管理する装置である。情報処理装置200は、車両400から車両400の運行状況を取得し、車両400の運行状況を管理する。情報処理装置200は、車両400がセキュリティ攻撃を受けた場合に、セキュリティ攻撃に応じた指示を車両400へ送信する。例えば、情報処理装置200は、受信した車両毎の攻撃情報に応じて車両毎に当該車両への指示を決定し、決定した指示を、攻撃情報に対応する車両へ送信する。情報処理装置200は、サーバなどのようなコンピュータにより構成される。
【0043】
車両400は、自律運転が可能な自動運転車である。車両400は、情報を提示する提示部を備える。車両400は、受信した指示に応じて、車両400の動作を制御する。具体的には、車両400は、指示に応じて、提示部に情報を提示してもよいし、車両400の走行に関する動作(以下、走行動作という)を制御してもよい。車両400は、例えば、カーシェアリングサービスに用いられる車両であってもよいし、タクシーサービスに用いられる車両であってもよい。車両400は、自律運転可能な自動運転車であってもよい。
【0044】
図2は、実施の形態に係る情報処理装置のハードウェア構成の一例を示すブロック図である。
【0045】
図2に示すように、情報処理装置200は、ハードウェア構成として、CPU(Central Processing Unit)21と、メインメモリ22と、ストレージ23と、通信IF(Interface)24とを備える。
【0046】
CPU21は、ストレージ23等に記憶された制御プログラムを実行するプロセッサである。
【0047】
メインメモリ22は、CPU21が制御プログラムを実行するときに使用するワークエリアとして用いられる揮発性の記憶領域である。
【0048】
ストレージ23は、制御プログラム、コンテンツなどを保持する不揮発性の記憶領域である。
【0049】
通信IF24は、通信ネットワーク300を介して、セキュリティ監視装置100または車両400と通信する通信インタフェースである。通信IF24は、例えば、有線LANインタフェースである。なお、通信IF24は、無線LANインタフェースであってもよい。また、通信IF24は、LANインタフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インタフェースであれば、どのような通信インタフェースであってもよい。
【0050】
図3は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。
【0051】
図3に示すように、車両400は、ハードウェア構成として、TCU(Telematics Control Unit)41と、複数のECU42と、ストレージ43と、車載ディスプレイ44と、入力IF(Interface)45とを備える。
【0052】
TCU41は、車両400が通信ネットワーク300との間で無線通信を行う通信ユニットである。TCU41は、移動体通信網の規格に対応したセルラモジュールを含む通信ユニットである。
【0053】
複数のECU42は、車両400が備える車載ディスプレイ44、または、車両400が備える他の機器の制御を実行する制御回路である。他の機器は、例えば、エンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、エアコンなどを含む。また、複数のECU42の少なくとも1つは、車両400の自律運転を制御する制御回路である。複数のECU42は、これらの各種機器のそれぞれに対応して設けられていてもよい。複数のECU42のそれぞれは、ここでは図示しないが、各ECU42が実行するプログラムを格納している記憶部(不揮発性の記憶領域)を備えていてもよい。記憶部は、例えば、不揮発性のメモリである。
【0054】
ストレージ43は、制御プログラムなどを保持する不揮発性の記憶領域である。ストレージ43は、例えば、HDD(Hard Disk Drive)、SSD(Solid Stated Drive)などにより実現される。
【0055】
車載ディスプレイ44は、車両400の車室に配置され、車室内のユーザに対して、文字または記号で示される情報を表示する。車載ディスプレイ44は、画像を表示してもよい。車載ディスプレイ44は、液晶ディスプレイ、有機ELディスプレイなどである。
【0056】
入力IF45は、車両400の車室に配置され、車室内のユーザからの入力(操作)を受け付ける。入力IF45は、例えば、車載ディスプレイ44の表面に配置されているタッチパネルであってもよいし、車両400の座席に着座しているユーザから届く範囲に配置されているタッチパッドであってもよい。
【0057】
次に、情報提供システム1の情報処理装置200及び車両400の機能構成について説明する。図4は、実施の形態に係る情報提供システムの機能構成の一例を示すブロック図である。なお、図4では、通信ネットワーク300を省略している。
【0058】
まず、情報処理装置200の機能構成について説明する。
【0059】
情報処理装置200は、通信部210と、制御部220と、対応ルールデータベース(DB)230と、機能動作データベース(DB)240とを備える。
【0060】
通信部210は、通信ネットワーク300を介して、セキュリティ監視装置100との間で情報の授受を行う。通信部210は、具体的には、セキュリティ監視装置100から攻撃情報を受信する。なお、通信部210は、通信IF24により実現される。
【0061】
攻撃情報は、車両400において攻撃の対象とされた機能(以下、「攻撃対象機能」という)と、車両400を識別するための車両情報とを含む情報である。車両情報は、セキュリティ攻撃の対象となった車両400、つまり、セキュリティ攻撃があったことが検出された車両400を示す識別情報である。攻撃対象機能は、第1機能の一例である。
【0062】
なお、攻撃情報に含まれる攻撃対象機能は、脅威レベルと対応付けられていてもよい。脅威レベルは、車両400へのセキュリティ攻撃の脅威の度合いを示す指標である。脅威レベルは、セキュリティ攻撃の度合いに応じて、セキュリティ攻撃の種類をランク付けするための情報である。脅威レベルは、例えば、攻撃対象機能に応じて定められていてもよい。
【0063】
なお、セキュリティ攻撃の対象となった車両400は、第1車両の一例である。
【0064】
図5は、脅威レベルと、セキュリティ攻撃の種類との関係について説明するための表である。
【0065】
例えば、セキュリティ攻撃の脅威レベルは、最も脅威の度合いが高いレベルA、レベルAの次に脅威の度合いが高いレベルB、及び、最も脅威の度合いが低いレベルCの3つの段階に分けられてもよい。
【0066】
レベルAのセキュリティ攻撃は、例えば、車両400が予期せぬ不正動作の実行や、車両400が走行不能などがリスクとして想定されるセキュリティ攻撃などを含む。言い換えると、レベルAのセキュリティ攻撃は、車両400の走行機能(アクセル、ブレーキ、ハンドル制御などの機能)に対するセキュリティ攻撃である。レベルBのセキュリティ攻撃は、例えば、車両400の性能劣化に至るセキュリティ攻撃を含む。性能劣化に至るセキュリティ攻撃とは、例えば、盗撮、盗聴、位置追尾、情報漏洩などがリスクとして想定されるセキュリティ攻撃である。言い換えると、レベルBのセキュリティ攻撃は、車両400の走行機能以外の機能(カメラ、マイク、GPS(Global Positioning System)、Bluetooth、Wi-Fiなどの機能)に対するセキュリティ攻撃である。レベルBのセキュリティ攻撃の対象となるこれらの機能は、1以上の第2機能の一例である。レベルCのセキュリティ攻撃は、例えば、車両400の動作に影響しないセキュリティ攻撃を含む。
【0067】
また、通信部210は、通信ネットワーク300を介して、車両400との間で情報の授受を行う。具体的には、通信部210は、車両400への指示を車両400へ送信する。指示は、例えば、車両情報で特定される車両400に対して、攻撃対象機能に応じて決定された対処を車両400に行わせる指示である。対処は、攻撃対象機能が車両400の走行機能以外の機能である場合、走行機能を停止せずに、攻撃対象機能を停止するための第1対処を含む。第1対処は、攻撃対象機能を強制停止することを含む。また、対処は、攻撃対象機能が車両400の走行機能である場合、走行機能の停止を指示する第3対処を含んでいてもよい。
【0068】
また、対処は、さらに、攻撃対象機能を示す機能情報を車両400が備える提示部430に提示させる第2対象を含んでいてもよい。第2対処は、さらに、攻撃対象機能を強制停止させた後に、攻撃対象機能の再開の指示を車両400が備える入力インタフェースを介して車両400のユーザから受け付けるための第1UI(User Interface)を、提示部430へ提示させることを含んでいてもよい。第1UIの詳細は、後述する。
【0069】
制御部220は、通信部210により受信された攻撃情報に含まれる脅威レベル、及び、対応ルールDB230に格納されている対応ルールに基づいて、車両400へ送信する指示を決定する。制御部220は、脅威レベル及び対応ルールの他に、機能動作DB240に格納されている機能動作履歴に基づいて、車両400へ送信する指示を決定してもよい制御部220は、攻撃情報に含まれる車両情報で特定される車両400に対する指示を生成する。なお、制御部220は、例えば、CPU21、メインメモリ22、及び、ストレージ23により実現される。
【0070】
対応ルールDB230は、図6及び図7に示す対応ルール231、232を格納している。なお、対応ルールDB230は、例えば、ストレージ23により実現される。
【0071】
図6は、セキュリティ攻撃の対象となった運行中の第1車両に対する対応ルールの一例を示す表である。第1車両の具体例は、上述したように、車両400である。
【0072】
第1車両に対する対応ルール231には、セキュリティ攻撃の脅威レベルに応じた第1車両への指示が定められている。つまり、制御部220は、第1車両が運行中である場合、攻撃情報に基づいて、対応ルールDB230の対応ルール231を参照し、セキュリティ攻撃の対象となった車両400への指示を生成する。対応ルール231には、具体的には、セキュリティ攻撃の脅威レベルがレベルA~レベルCのそれぞれのレベルの場合に生成する制御指示が示されている。
【0073】
例えば、対応ルール231は、車両400がレベルAのセキュリティ攻撃を受けた場合、運行中止の制御指示(つまり、走行機能の停止指示)、及び、停止した機能を示す機能情報の提示指示(つまり、運行中止であることを提示する指示)を含む指示を制御部220が生成するルールを含む。なお、この場合の提示指示は、車両400を回収する案内を含んでいてもよい。
【0074】
また、例えば、対応ルール231は、車両400がレベルBのセキュリティ攻撃を受けた場合、攻撃対象機能を強制停止する制御指示、及び、停止した機能を示す機能情報の提示指示を含む指示を制御部220が生成するルールを含む。また、対応ルール231は、車両400がレベルBのセキュリティ攻撃を受けた場合、ユーザから再開の指示を受ければ強制停止された機能を再開する制御指示を含んでもよい。また、対応ルール231は、車両400がレベルBのセキュリティ攻撃を受けた場合、強制停止された機能を再開する指示をユーザから受け付けるためのUI(第1UI)を提示する提示指示を含んでもよい。
【0075】
また、例えば、対応ルール231は、車両400がレベルCのセキュリティ攻撃を受けた場合、運行継続指示を含む制御指示を制御部220が生成するルールを含む。
【0076】
図7は、セキュリティ攻撃の対象となった運行前(運行終了中)の第1車両に対する対応ルールの一例を示す表である。第1車両の具体例は、上述したように、車両400である。
【0077】
第1車両に対する対応ルール232には、対応ルール231と同様に、セキュリティ攻撃の脅威レベルに応じた第1車両への指示が定められている。つまり、制御部220は、第1車両が運行前(運行終了中)である場合、攻撃情報に基づいて、対応ルールDB230の対応ルール232を参照し、セキュリティ攻撃の対象となった車両400への指示を生成する。対応ルール232には、具体的には、セキュリティ攻撃の脅威レベルがレベルA~レベルCのそれぞれのレベルの場合に生成する制御指示が示されている。
【0078】
例えば、対応ルール232は、車両400がレベルAのセキュリティ攻撃を受けた場合、運行不可の制御指示(つまり、走行機能の停止指示)、及び、停止した機能を示す機能情報の提示指示(つまり、運行不可であることを提示する指示)を含む指示を制御部220が生成するルールを含む。この場合、車両400は、制御指示による制御を実行すると、ユーザからの運行開始のための入力(操作)を受け付けない状態となる。つまり、車両400は、ユーザから運行開始のための入力(操作)がなされても、運行開始しない。
【0079】
また、例えば、対応ルール232は、車両400がレベルBのセキュリティ攻撃を受けた場合、攻撃対象機能を強制停止する制御指示、及び、停止した機能を示す機能情報の提示指示を含む指示を制御部220が生成するルールを含む。この場合の制御指示は、例えば、車両400の運行開始時においては車両400が攻撃対象機能を強制停止するための指示であり、運行終了時においては車両400が運行中にユーザの判断で再開された機能があれば運行終了時に当該機能を強制停止するための指示である。また、対応ルール232は、車両400の運行開始時において、車両400がレベルBのセキュリティ攻撃を受けた場合、強制停止された機能を再開する指示をユーザから受け付けるためのUI(第1UI)を提示する提示指示を含んでもよい。また、車両400がレベルBのセキュリティ攻撃を受けた場合の提示指示は、例えば、車両400の運行開始時になされ、車両400の運行終了時にはなされなくてもよい。
【0080】
また、例えば、対応ルール232は、車両400がレベルCのセキュリティ攻撃を受けた場合、運行開始指示を含む制御指示を制御部220が生成するルールを含む。
【0081】
なお、図6及び図7におけるレベルBのセキュリティ攻撃を受けた場合に強制停止させる機能が定められたルールは、図8及び図9に示されるように、車両400を管理する管理者(サービス提供会社)に応じて設定されていてもよい。
【0082】
図8は、レベルBのセキュリティ攻撃を運行中の第1車両が受けた場合に強制停止させる機能の管理者に応じて定められた対応ルールの一例を示す表である。
【0083】
管理者に応じて定められた対応ルール233は、例えばカーシェアサービス会社(第1管理者)であれば、レベルBのセキュリティ攻撃を運行中の第1車両が受けた場合に強制停止させる機能として、カメラ、マイク、GPS(Global Positioning System)、Bluetooth、及び、Wi-Fiの機能が設定されていてもよい。つまり、対応ルール233は、カーシェアサービス会社が所有する車両においては、カメラ、マイク、GPS、Bluetooth、及び、Wi-Fiの機能のいずれかが攻撃されれば、攻撃された機能を強制停止させる制御指示を生成するためのルールである。
【0084】
また、対応ルール233は、例えばタクシーサービス会社(第2管理者)であれば、レベルBのセキュリティ攻撃を運行中の第1車両が受けた場合に強制停止させる機能として、カメラ及びマイクを除く、GPS、Bluetooth、及び、Wi-Fiの機能が設定されていてもよい。つまり、対応ルール233は、タクシーサービス会社が所有する車両においては、GPS、Bluetooth、及び、Wi-Fiの機能のいずれかが攻撃されれば、攻撃された機能を強制停止させる制御指示を生成するためのルールであり、かつ、カメラ及びマイクが攻撃されてもカメラ及びマイクの機能を強制停止させないルールである。
【0085】
図9は、レベルBのセキュリティ攻撃を運行前(運行終了中)の第1車両が受けた場合に強制停止させる機能の管理者に応じて定められた対応ルールの一例を示す表である。
【0086】
管理者に応じて定められた対応ルール234は、例えばカーシェアサービス会社(第1管理者)及びタクシーサービス会社にかかわらず、レベルBのセキュリティ攻撃を運行中の第1車両が受けた場合に強制停止させる機能として、カメラ、マイク、GPS、Bluetooth、及び、Wi-Fiの機能が設定されていてもよい。つまり、対応ルール234は、カーシェアサービス会社及びタクシーサービス会社が所有する車両においては、カメラ、マイク、GPS、Bluetooth、及び、Wi-Fiの機能のいずれかが攻撃されれば、攻撃された機能を強制停止させる制御指示を生成するためのルールである。
【0087】
機能動作DB240は、車両400から取得した機能動作情報を記録している。機能動作情報は、車両400における複数の機能それぞれの動作状態を示す情報である。動作状態とは、例えば、対応する機能が動作しているか否かを示す情報である。機能動作情報は、動作状態が検出された時刻が当該動作状態に対応付けられていてもよい。
【0088】
制御部220は、機能動作DB240を参照することで、攻撃の対象となった車両400における複数の機能それぞれの動作状態を把握することができる。制御部220は、動作している機能について対応ルール231、232に応じて機能停止させる制御指示を生成し、動作していない機能について対応ルール231、232に応じて機能停止させる機能であっても機能停止させる制御指示を生成しなくてもよい。この場合、制御部220は、攻撃対象機能を示す機能情報を提示する提示指示を車両400に送信し、制御指示を車両400に送信しなくてもよい。
【0089】
次に、車両400の機能構成について説明する。
【0090】
車両400は、通信部410と、制御部420と、提示部430と、入力受付部440とを備える。
【0091】
通信部410は、通信ネットワーク300を介して、セキュリティ監視装置100との間で情報の授受を行う。通信部410は、具体的には、セキュリティ監視装置100へログ情報を受信する。ログ情報は、例えば、車両400の制御状態、車両400が備えるセンサの検出値などである。また、通信部410は、通信ネットワーク300を介して、情報処理装置200との間で情報の授受を行う。具体的には、通信部410は、運行状況情報を情報処理装置200へ送信する。また、通信部410は、車両400への指示を情報処理装置200から受信する。なお、通信部410は、TCU41により実現される。
【0092】
制御部420は、通信部410により受信された指示に応じて、車両400の動作を制御する。制御部420は、例えば、指示が走行を停止させる指示を含む場合、車両400の走行を停止する。制御部420は、例えば、指示が提示指示を含む場合、提示部430に提示指示に含まれる内容を提示させる。制御部420は、例えば、複数のECU42により実現される。
【0093】
また、制御部420は、車両400が有する複数の機能のそれぞれが動作しているか否かを示す機能動作情報を異なる複数のタイミングで生成し、機能動作情報を情報処理装置200へ通信部410を介して送信する。異なる複数のタイミングは、所定時間毎のタイミングであってもよいし、予め定められたイベントが発生したタイミングであってもよい。予め定められたイベントとは、例えば、予め定められたセンサの検知結果が変化したこと、通信部410が外部から情報を受信したことなどである。
【0094】
提示部430は、車両400の車室内に配置される。提示部430は、車載ディスプレイ44により実現される。
【0095】
入力受付部440は、ユーザからの入力(操作)を受け付ける。入力受付部440は、入力IF45により実現される。
【0096】
図10は、実施の形態に係る車両の車載ディスプレイの配置例を示す図である。
【0097】
図10に示されるように、車載ディスプレイ44は、車両400の運転席より前側(例えば、ダッシュボード)に配置されていてもよい。
【0098】
なお、車載ディスプレイ44は、車両400のウインドシールドに投影されるヘッドアップディスプレイで実現されてもよい。
【0099】
図13は、実施の形態に係る提示指示によって車載ディスプレイに提示されるUIの一例を示す図である。
【0100】
提示部430は、停止した機能を示す機能情報の提示指示を含む指示が通信部410により受信された場合、UI431を表示する。UI431は、セキュリティ攻撃が発生し、そのセキュリティ攻撃の対象の機能が停止されたことを示す。また、UI431は、強制停止された機能の再開の指示をユーザから受け付けるための再開ボタン431aを含んでいてもよい。再開ボタン431aは、第1UIの一例である。また、UI431は、攻撃対象機能が動作している場合に想定される被害リスクを示す情報が含まれていてもよい。再開ボタン431aへの入力が為されると、制御部420は、停止された機能を再開する。
【0101】
また、提示部430は、再開ボタン431aへの入力が受け付けられた場合、UI432を表示する。UI432は、セキュリティ攻撃が発生し、そのセキュリティ攻撃の対象の機能が動作中であることを示す。また、UI432は、セキュリティ攻撃の対象の機能を停止の指示をユーザから受け付けるための停止ボタン432aを含んでいてもよい。停止ボタン432aへの入力が為されると、制御部420は、動作中の機能を停止する。
【0102】
[動作]
図11は、実施の形態に係る情報提供システムにおける情報提供方法の一例を示すシーケンス図である。図11では、対応ルール231、232を用いる場合の例について説明する。
【0103】
車両400は、ログ情報をセキュリティ監視装置100へ送信する(S11)。
【0104】
セキュリティ監視装置100は、ログ情報に基づいて車両400にセキュリティ攻撃が行われたことを検出する(S12)。
【0105】
セキュリティ監視装置100は、車両400において攻撃の対象とされた機能(攻撃対象機能)と、車両400を識別するための車両情報とを含む攻撃情報を情報処理装置200へ送信する(S13)。
【0106】
情報処理装置200は、攻撃情報を受信する(S14)。
【0107】
車両400は、機能動作情報を送信する(S15)。
【0108】
情報処理装置200は、機能動作情報を受信する(S16)。
【0109】
なお、ステップS13及びステップS15は、この順に限らずに、ステップS15がステップS13より先に行われてもよいし、同時に行われてもよい。
【0110】
情報処理装置200は、ステップS14の後で、攻撃情報及び対応ルールDB230を照合する(S17)。
【0111】
次に、情報処理装置200は、攻撃情報に含まれる車両情報を用いて、機能動作DB240を参照することで、車両400の運行状況を特定してもよい。情報処理装置200は、攻撃情報に含まれる攻撃対象機能及び特定した運行状況を用いて、対応ルールDB230を参照することで、車両400への指示を決定する(S18)。
【0112】
そして、情報処理装置200は、決定した指示を生成する(S19)。
【0113】
情報処理装置200は、生成した指示を車両400へ送信する(S20)。
【0114】
車両400は、指示を受信すると、指示に応じて車両400を制御する(S21)。例えば、指示がカメラの強制停止及びその提示を含む場合、車両400は、カメラの機能を強制停止し、強制停止した機能を示す機能情報を提示部430に提示させる。
【0115】
次に、車両400は、ユーザから強制停止した機能の機能再開の入力を受け付けると(S22)、強制停止した機能を再開する(S23)。
【0116】
図12は、実施の形態に係る情報提供システムにおける復旧時の動作の一例を示すシーケンス図である。
【0117】
セキュリティ監視装置100は、セキュリティ攻撃された機能の脆弱性を解消するためのソフトウェア更新用のデータを車両400に送信する(S31)。
【0118】
車両400は、ソフトウェア更新用のデータを受信すると、当該データを用いてソフトウェア更新を実行し、正常状態に復旧する(S32)。このとき、車両400は、強制停止された機能を再開しない。
【0119】
車両400は、正常状態に復旧した後で、正常状態に復旧したことを情報処理装置200へ通知する(S33)。
【0120】
情報処理装置200は、車両400から復旧の通知を受けると、攻撃により強制停止した機能の再開する指示を車両400へ送信する(S34)。
【0121】
車両400は、再開する指示を受けると、強制停止した機能を再開する(S35)。
【0122】
[効果など]
本実施の形態に係る情報提供方法は、車両400から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置100と通信して攻撃情報を取得することで、攻撃された車両400(第1車両)に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置200において実行される情報提供方法である。情報処理装置200は、セキュリティ監視装置100から、車両400において攻撃の対象とされた攻撃対象機能(第1機能)と、車両を識別するための車両情報とを含む攻撃情報を受信する。情報処理装置200は、車両情報で特定される車両400に対して、攻撃対象機能に応じて決定された対処を車両400に行わせる指示を送信する。対処は、攻撃対象機能が車両400の走行機能以外の1以上の第2機能に含まれる機能である場合、走行機能を停止せずに、第1機能を停止するための第1対処を含む。
【0123】
これによれば、第1車両において攻撃の対象とされた第1機能が走行機能以外の1以上の第2機能に含まれる機能である場合、走行機能を停止せずに、第1機能を停止するための対処を第1車両に行わせることができる。つまり、第1車両の走行機能に影響がない攻撃である場合、当該攻撃によるリスクを回避しつつ第1車両の運行(走行)を継続することができる。
【0124】
また、本実施の形態に係る情報提供方法において、第1対処は、攻撃対象機能を強制停止することを含む。このため、攻撃によるリスクを回避することができる。
【0125】
また、本実施の形態に係る情報提供方法において、対処は、さらに、攻撃対象機能を示す機能情報を車両400が備える提示部430に提示させる第2対処を含む。このため、ユーザは、攻撃によるリスクを回避するために停止された機能を認識することができる。
【0126】
また、本実施の形態に係る情報提供方法において、第2対処は、さらに、攻撃対象機能を強制停止させた後に、攻撃対象機能の再開の指示を車両400が備える入力IF45を介して車両400のユーザから受け付けるための第1UIを、提示部430へ提示させることを含む。このため、ユーザは、攻撃によるリスクを承知した上で、攻撃を受けている機能を継続して使用することができる。
【0127】
また、本実施の形態に係る情報提供装置において、対処は、攻撃対象機能が車両400の走行機能である場合、走行機能の停止を指示する第3対処を含む。これにより、第1車両に対して想定しない走行制御が行われることを抑制することができる。
【0128】
また、本実施の形態に係る情報提供装置において、走行機能以外の1以上の第2機能は、車両400を管理する管理者に応じて設定されている。このため、管理者に応じて設定された条件に応じて、攻撃を受けた際に停止させる、走行機能に影響しない機能を設定することができる。
【0129】
[変形例]
(1)
上記実施の形態では、制御部220は、レベルBのセキュリティ攻撃が発生した場合、攻撃対象機能を強制停止する指示を生成するとしたが、これに限らない。例えば、制御部220は、第1対処を車両400に実行させる指示を生成してもよい。第1対処は、レベルBのセキュリティ攻撃の対象となった機能の停止の指示を車両400が備える入力IF45を介して車両400のユーザから受け付けるための第2UIを、車両400が備える提示部430へ提示することを含む。このため、ユーザは、攻撃を受けている機能を停止するか否かを選択することができる。
【0130】
この場合の第2UIは、図11のUI432であってもよい。つまり、第2UIは、さらに、攻撃対象機能を停止しない場合のリスクを提示するためのリスク情報を含む。このため、ユーザは、攻撃によるリスクを認識することができる。
【0131】
また、第1対処は、さらに、攻撃対象機能を停止させた後に、攻撃対象機能の再開の指示を入力IF45を介して車両400のユーザから受け付けるための第3UIを、提示部430へ提示することを含んでもよい。この場合の第3UIは、図11のUI431であってもよい。このため、ユーザは、攻撃を受けている機能の再開を選択することができる。
【0132】
(2)
上記実施の形態において、車両400が備える提示部430は、情報を表示するディスプレイであるとしたが、これに限らずに、情報を音で出力するスピーカであってもよい。
【0133】
(3)
上記実施の形態において、セキュリティ監視装置100は、セキュリティ攻撃がない場合に、攻撃情報を生成しないとしたが、これに限らずに、セキュリティ攻撃の有無にかかわらず、車両400に対するセキュリティ攻撃の有無を示す攻撃情報を生成してもよい。つまり、セキュリティ監視装置100は、車両400に対するセキュリティ攻撃があったことを判定した場合に、セキュリティ攻撃があったことを示す情報を含む攻撃情報を生成し、車両400に対するセキュリティ攻撃がなかったことを判定した場合に、セキュリティ攻撃がなかったことを示す情報を含む攻撃情報を生成してもよい。
【0134】
(4)
なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の情報処理装置200などを実現するソフトウェアは、次のようなプログラムである。
【0135】
すなわち、このプログラムは、コンピュータに、車両から取得したログ情報に基づいて攻撃の有無を判定するセキュリティ監視装置と通信して攻撃情報を取得することで、攻撃された車両に当該攻撃に応じた対処を行わせるための指示を提供する情報処理装置において実行される情報提供方法であって、前記セキュリティ監視装置から、第1車両において攻撃の対象とされた第1機能と、前記第1車両を識別するための車両情報とを含む攻撃情報を受信し、前記車両情報で特定される前記第1車両に対して、前記第1機能に応じて決定された対処を前記第1車両に行わせる指示を送信し、前記対処は、前記第1機能が前記第1車両の走行機能以外の1以上の第2機能に含まれる機能である場合、前記走行機能を停止せずに、前記第1機能を停止するための第1対処を含む情報提供方法を実行させる。
【0136】
以上、本開示の一つまたは複数の態様に係る情報処理方法について、実施の形態に基づいて説明したが、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれてもよい。
【産業上の利用可能性】
【0137】
本開示は、車両の走行機能に影響がない攻撃である場合、攻撃に対するリスクを承知または対処した上で車両の運行(走行)を継続することができる情報提供方法などとして有用である。
【符号の説明】
【0138】
1 情報提供システム
21 CPU
22 メインメモリ
23 ストレージ
24 通信IF
41 TCU
42 ECU
43 ストレージ
44 車載ディスプレイ
45 入力IF
100 セキュリティ監視装置
200 情報処理装置
210 通信部
220 制御部
230 対応ルールDB
240 機能動作DB
300 通信ネットワーク
310 基地局
400 車両
410 通信部
420 制御部
430 提示部
440 入力受付部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.