IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社デンソーの特許一覧 ▶ トヨタ自動車株式会社の特許一覧

特開2024-93789電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム
<図1>
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図1
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図2
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図3
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図4
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図5
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図6
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図7
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図8
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図9
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図10
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図11
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図12
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図13
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図14
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図15
  • 特開-電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム 図16
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024093789
(43)【公開日】2024-07-09
(54)【発明の名称】電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラム
(51)【国際特許分類】
   G06F 11/34 20060101AFI20240702BHJP
   G06F 11/07 20060101ALI20240702BHJP
   G06F 21/55 20130101ALI20240702BHJP
   H04L 41/069 20220101ALI20240702BHJP
   H04L 12/28 20060101ALI20240702BHJP
【FI】
G06F11/34 176
G06F11/07 140R
G06F11/07 178
G06F21/55 340
H04L41/069
H04L12/28 100A
【審査請求】未請求
【請求項の数】17
【出願形態】OL
(21)【出願番号】P 2022210371
(22)【出願日】2022-12-27
(71)【出願人】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(71)【出願人】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】栗林 晴香
(72)【発明者】
【氏名】福地 直也
(72)【発明者】
【氏名】稲垣 徳也
(72)【発明者】
【氏名】村上 亮介
(72)【発明者】
【氏名】渡邊 聖剛
【テーマコード(参考)】
5B042
5K033
【Fターム(参考)】
5B042GB08
5B042MA05
5B042MA08
5B042MA09
5B042MA14
5B042MC40
5K033AA08
5K033BA06
5K033DB18
(57)【要約】      (修正有)
【課題】車両の電源状態に応じたセキュリティイベントログを異常の分析に活用する電子制御装置及びシステム並びにログ処理方法及びプログラムを提供する。
【解決手段】車両に搭載された1又は複数の電子制御装置10~10n及びログ管理装置20を有する電子制御システムであって、電子制御装置は、電源状態がIG ON及びIG OFFにおいて電子制御装置の異常を検出するセキュリティセンサ、異常を検出したときの車両の電源状態を取得する電源情報取得部、セキュリティセンサの出力に基づき、電源情報を含めたセキュリティイベントログを生成するログ生成部及びセキュリティイベントログを送信する通信部を備える。ログ管理装置は、電源状態がIG ONにおいて電子制御装置から受信したセキュリティイベントログを評価及び/又は選別するログ集約部及び評価及び/又は選別されたセキュリティイベントログを外部装置30に転送する転送部を備える。
【選択図】図6
【特許請求の範囲】
【請求項1】
車両に搭載された単数若しくは複数の電子制御装置(10)と、ログ管理装置(20)とを有する電子制御システム(1)であって、
前記電子制御装置は、
電源状態がIG ON及びIG OFFにおいて前記電子制御装置の異常を検出するセキュリティセンサ(101)と、
前記異常を検出したときの前記車両の前記電源状態を示す電源情報を取得する電源情報取得部(102)と、
前記セキュリティセンサの出力に基づき、前記電源情報を含めたセキュリティイベントログを生成するログ生成部(103)と、
前記セキュリティイベントログを記憶する記憶部(104)と、
前記セキュリティイベントログを送信する通信部(105)と、を備え、
前記ログ管理装置は、
電源状態がIG ONにおいて前記電子制御装置から受信した前記セキュリティイベントログを評価及び/又は選別するログ集約部(201)と、
前記ログ集約部で評価及び/又は選別された前記セキュリティイベントログを外部装置(30)に転送する転送部(202)と、を備える、
電子制御システム。
【請求項2】
前記ログ集約部は、前記セキュリティイベントログに含まれる前記電源情報を参照して、前記セキュリティイベントログを評価及び/又は選別する、
請求項1記載の電子制御システム。
【請求項3】
前記ログ管理装置が前記電子制御装置から、前記電子制御装置が起動したことを通知する第1の起動通知を受信した場合、
前記ログ集約部は、前記ログ管理装置に接続されている予め定めた電子制御装置から前記第1の起動通知を受信した後、前記セキュリティイベントログの評価及び/又は選別を開始する、
請求項1記載の電子制御システム。
【請求項4】
前記ログ管理装置は、接続されている予め定めた電子制御装置に対し、前記ログ管理装置が起動したことを通知する第2の起動通知を送信する、
請求項1記載の電子制御システム。
【請求項5】
前記ログ管理装置が前記電子制御装置から、前記電子制御装置が動作を終了したことを通知する終了通知を受信した場合、
前記ログ集約部は、前記ログ管理装置に接続されている予め定めた電子制御装置から前記終了通知を受信した後、前記セキュリティイベントログの評価及び/又は選別を終了する、
請求項1記載の電子制御システム。
【請求項6】
車両に搭載された単数若しくは複数の電子制御装置(10)と、ログ管理装置(20)とを有する電子制御システム(1)で実行するログ処理方法であって、
前記電子制御装置においては、
電源状態がIG ON及びIG OFFにおいて前記電子制御装置の異常を検出し(S101)、
前記異常を検出したときの前記車両の前記電源状態を示す電源情報を取得し(S102)、
前記セキュリティセンサの出力に基づき、前記電源情報を含めたセキュリティイベントログを生成し(S104,S105)と、
前記セキュリティイベントログを記憶し(S107)、
前記セキュリティイベントログを送信し(S105)、
前記ログ管理装置においては、
電源状態がIG ONにおいて前記電子制御装置から受信した前記セキュリティイベントログを評価及び/又は選別し(S212)、
評価及び/又は選別された前記セキュリティイベントログを外部装置(30)に転送する(S213)、
ログ処理方法。
【請求項7】
車両に搭載された電子制御装置(10)であって、
当該電子制御装置の異常を検出するセキュリティセンサ(101)と、
前記異常を検出したときの前記車両の電源状態を示す電源情報を取得する電源情報取得部(102)と、
前記セキュリティセンサの出力に基づき、前記電源情報を含めたセキュリティイベントログを生成するログ生成部(103)と、
前記セキュリティイベントログを記憶する記憶部(104)と、
前記セキュリティイベントログを送信する通信部(105)と、を備える、
電子制御装置。
【請求項8】
前記ログ生成部は、前記電源情報を前記セキュリティイベントログのイベントID領域に含める、
請求項7記載の電子制御装置。
【請求項9】
前記ログ生成部は、前記電源情報を前記セキュリティイベントログのコンテキスト領域に含める、
請求項7記載の電子制御装置。
【請求項10】
前記電源状態は、イグニッション電源を使用するIG ON、又は前記イグニッション電源を使用しないIG OFFを示す、
請求項7記載の電子制御装置。
【請求項11】
前記電源状態がIG ONである場合、前記通信部は前記セキュリティイベントログを送信し、
前記電源状態がIG OFFである場合、前記通信部は前記セキュリティイベントログを送信せず、前記記憶部は前記セキュリティイベントログを記憶する、
請求項10記載の電子制御装置。
【請求項12】
前記電源状態がIG OFFからIG ONに変化した場合、前記通信部は前記記憶部に記憶している前記セキュリティイベントログを送信する、
請求項11記載の電子制御装置。
【請求項13】
前記ログ生成部は、当該電子制御装置が起動した場合、当該電子制御装置が起動したことを通知する第1の起動通知を含めた前記セキュリティイベントログを生成する、
請求項7記載の電子制御装置。
【請求項14】
前記通信部は、ログ管理装置(20)からログ管理装置が起動したことを通知する第2の起動通知を受信し、
前記電源状態がIG ONである場合かつ前記第2の起動通知を受信した場合、前記通信部は前記セキュリティイベントログを送信し、
前記電源状態がIG OFFである場合又は前記第2の起動通知を受信していない場合、前記通信部は前記セキュリティイベントログを送信せず、前記記憶部は前記セキュリティイベントログを記憶する、
請求項10記載の電子制御装置。
【請求項15】
前記ログ生成部は、当該電子制御装置が動作を終了する場合、当該電子制御装置が動作を終了したことを通知する終了通知を含めた前記セキュリティイベントログを生成する、
請求項7記載の電子制御装置。
【請求項16】
車両に搭載された電子制御装置(10)で実行するログ処理方法であって、
当該電子制御装置の異常を検出し(S101)、
前記異常を検出したときの前記車両の電源状態を示す電源情報を取得し(S102)、
前記異常の検出結果に基づき、前記電源情報を含めたセキュリティイベントログを生成し(S104,S106)、
前記セキュリティイベントログを記憶し(S107)、
前記セキュリティイベントログを送信する(S105)、
ログ処理方法。
【請求項17】
車両に搭載された電子制御装置(10)で実行可能なログ処理プログラムであって、
当該電子制御装置の異常を検出し(S101)、
前記異常を検出したときの前記車両の電源状態を示す電源情報を取得し(S102)、
前記異常の検出結果に基づき、前記電源情報を含めたセキュリティイベントログを生成し(S104,S106)、
前記セキュリティイベントログを記憶し(S107)、
前記セキュリティイベントログを送信する(S105)、
ログ処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主に自動車をはじめとする移動体に設けられた電子制御システムにセキュリティ的なイベントが生じたときに出力されるセキュリティイベントログを処理する電子制御装置、電子制御システム、ログ処理方法、及びログ処理プログラムに関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといった外部からのサイバー攻撃等を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
【0003】
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、センタ装置200の攻撃経路分析部203は、受信した異常ログを分析し車両に対する攻撃の攻撃経路を推定すること、そしてこの異常ログは、電子制御システムの各ECUのセキュリティセンサで生成されセンタ装置200に送信されたものであること、が記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2022-17873号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、本発明者は、以下の課題を見出した。
駐車中等のように車両のイグニッション電源がオフ(IG OFF)の状態では、ECUへの電源供給が遮断されたり、処理が停止されたりすることに伴い、ログ管理用のアプリケーションソフトウェア(以下、適宜、ログ管理アプリと称する)が起動していないことも起こり得る。このため、IG OFFの状態において他のECUで生成されたセキュリティイベントログを、異常の分析に活用することができない。
【0006】
そこで、本発明の目的は、セキュリティイベントログが生成されたときの車両の電源状態に応じて、セキュリティイベントログを適切に処理し、セキュリティイベントログを異常の分析に活用する技術を提供することにある。
【課題を解決するための手段】
【0007】
本開示の電子制御システム(1)は、
車両に搭載された単数若しくは複数の電子制御装置(10)と、ログ管理装置(20)とを有する電子制御システム(1)であって、
前記電子制御装置は、
電源状態がIG ON及びIG OFFにおいて前記電子制御装置の異常を検出するセキュリティセンサ(101)と、
前記異常を検出したときの前記車両の前記電源状態を示す電源情報を取得する電源情報取得部(102)と、
前記セキュリティセンサの出力に基づき、前記電源情報を含めたセキュリティイベントログを生成するログ生成部(103)と、
前記セキュリティイベントログを記憶する記憶部(104)と、
前記セキュリティイベントログを送信する通信部(105)と、を備え、
前記ログ管理装置は、
電源状態がIG ONにおいて前記電子制御装置から受信した前記セキュリティイベントログを評価及び/又は選別するログ集約部(201)と、
前記ログ集約部で評価及び/又は選別された前記セキュリティイベントログを外部装置(30)に転送する転送部(202)と、
を備える。
【0008】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0009】
上述のような構成により、セキュリティイベントログに電源情報が含まれているので、車両の電源状態に応じたセキュリティイベントログの分析を行うことができる。
【図面の簡単な説明】
【0010】
図1】電子制御装置、電子制御システム、及び外部装置の配置を説明する説明図
図2】電子制御システムの構成例を説明するブロック図
図3】電子制御装置のセキュリティセンサから出力されるセキュリティイベントログを説明する説明図
図4】実施形態1の電子制御装置の構成例を説明するブロック図
図5】ログ生成部から出力されるセキュリティイベントログの例を説明する説明図
図6】実施形態1の電子制御システムの構成例を説明するブロック図
図7】実施例1の電子制御装置の動作を説明するフロー図
図8】実施例2の電子制御装置の動作を説明するフロー図
図9】実施例2のログ管理装置の動作を説明するフロー図
図10】実施例1、2における外部装置30の動作を説明するフロー図
図11】実施例3の電子制御装置の動作を説明するフロー図
図12】実施例3のログ管理装置の動作を説明するフロー図
図13】実施例4の電子制御装置の動作を説明するフロー図
図14】実施例4のログ管理装置の動作を説明するフロー図
図15】実施例5の電子制御装置の動作を説明するフロー図
図16】実施例5のログ管理装置の動作を説明するフロー図
【発明を実施するための形態】
【0011】
以下、本発明の実施形態について、図面を参照して説明する。
【0012】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0013】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0014】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0015】
複数の実施形態や実施例がある場合、各実施形態や実施例に開示の構成は各実施形態や実施例のみで閉じるものではなく、実施形態や実施例をまたいで組み合わせることが可能である。例えば一の実施形態や実施例に開示の構成を、他の実施形態や実施例に組み合わせてもよい。また、複数の実施形態や実施例それぞれに開示の構成を集めて組み合わせてもよい。
【0016】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0017】
1.実施形態の前提となる構成
(1)各装置の配置
図1を用いて、まず本実施形態の電子制御装置10、ログ管理装置20、及び外部装置30の配置を説明する。
電子制御システム1は、単数若しくは複数の「電子制御装置」(以下、ECU(Electronic Control Unit)と称する)10とログ管理装置20とを有しており、「車両」に「搭載され」ている。
ここで、
「車両」とは、移動可能な物体をいい、移動速度は任意である。また車両が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載され」とは、車両に直接固定されている場合の他、車両に固定されていないが車両と共に移動する場合も含む。例えば、車両に乗った人が所持している場合、車両に載置された積荷に搭載されている場合、が挙げられる。
「電子制御装置」とは、物理的に独立した電子制御装置の他、仮想化技術を用いて実現した仮想化電子制御装置であってもよい。
【0018】
ECU10とログ管理装置20や、ECU10同士は、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載通信ネットワークを介して接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続されてもよい。
なお、図1ではログ管理装置20は電子制御システム1の内部に設けられているが、ログ管理装置20を電子制御システム1の外部に設けるようにしてもよい。
また、接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。
【0019】
外部装置30は、車両の外部に設けられており、例えばサーバ装置等で実現されている。外部装置30は、例えば主に電子制御システム1やログ管理装置20に対して各種の情報を提供したり、ログ管理装置20からセキュリティイベントログを取得し、サイバー攻撃の種類やサイバー攻撃の攻撃経路を分析する装置である。外部装置30はセンタ装置や攻撃分析装置とも呼ばれる。
【0020】
外部装置30と、電子制御システム1又はログ管理装置20とは、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等といった、無線通信方式の通信ネットワークを介して接続されている。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、Ethernet(登録商標)等のLAN(Local Area Network)やインターネット、光回線、固定電話回線を用いることができる。
この他、無線通信方式と有線通信方式とを組み合わせた回線であってもよい。例えば、電子制御システム1とセルラーシステムにおける基地局装置との間は4G等の無線通信方式で、基地局装置と外部装置30との間は通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。基幹回線とインターネットとの接点にはゲートウェイ装置を設けてもよい。
【0021】
(2)電子制御システム1の構成
図2は、電子制御システム1の構成例を示す図である。電子制御システム1は、既に述べた車載通信ネットワークを介して接続された、外部通信ECU及び統合ECUを含めた複数のECUから構成されている。図2は一つの外部通信ECU、一つの統合ECU、及び四つの個別ECU(ECU A,B,C,D)を例示しているが、当然のことながら、電子制御システム1は任意の数のECUから構成される。以下、外部通信ECU、統合ECU、個別ECUを包括的に示す用語として、ECUや各ECUの語を用いる。
【0022】
外部通信ECUは、外部との通信を行うECUである。外部通信ECUが用いる通信方式は、上述の無線通信方式及び有線通信方式で述べた通りである。なお、複数の通信方式を実現するため、外部通信ECUを複数設けるようにしてもよい。
【0023】
統合ECUは、個別ECUや外部通信ECUを仲介するゲートウェイ機能を備えたECUである。また、統合ECUに電子制御システム1の全体を制御する機能、例えばセキュリティ機能やログ管理アプリ等のセキュリティイベントログを管理する機能を設けるようにしてもよい。統合ECUは、ゲートウェイECU(G-ECU)やモビリティコンピュータ(MC)と呼ばれることもある。また、統合ECUは、中継装置やゲートウェイ装置であってもよい。
後述の実施形態では、統合ECUでログ管理装置20を実現している。
【0024】
電子制御システム1の個別ECUは任意の機能を有するECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置、あるいは、バッテリー等の電源の制御を行う電源系電子制御装置が挙げられる。また、ECU同士は並列ではなく、マスタとスレーブとに分類されていてもよい。
なお、個別ECUでログ管理装置20を実現してもよい。
【0025】
さらに、ECUは、物理的に独立したECUである場合の他、仮想的に実現された仮想ECU(あるいは、仮想マシンと呼ぶこともある。)であってもよい。
【0026】
図2の電子制御システム1においては、各ECUにセキュリティセンサが搭載されている。もっとも、全てのECUにセキュリティセンサが搭載されている必要は必ずしもない。
後述の実施形態では、セキュリティセンサを搭載したECUがECU10に相当する。すなわち、ECU10は、個別ECUに限らず、外部通信ECUや統合ECUであってもよい。
【0027】
(3)セキュリティイベントログの形式
図3は、電子制御システム1を構成する各ECUのセキュリティセンサの出力に基づき生成したセキュリティイベントログの内容を示す図である。
【0028】
セキュリティイベントログは、セキュリティセンサが搭載されているECUの識別情報を示すECUID、セキュリティセンサの識別情報を示すセンサID、セキュリティイベントの識別情報を示すイベントID、イベントの発生回数を示すカウンタ、イベントの発生時刻を示すタイムスタンプ、及びセキュリティセンサの出力の詳細を示すコンテキストデータ、の各フィールド(領域)を有する。セキュリティイベントログは、さらに、プロトコルのバージョンや、各領域の状態を示す情報を格納したヘッダを有していてもよい。
【0029】
AUTOSAR(AUTomotive Open System ARchitecture)で定めた仕様によれば、IdsM Instance IDがECUID、Sensor Instance IDがセンサID、Event Definition IDがイベントID、Countがカウンタ、Timestampがタイムスタンプ、Context Dataがコンテキストデータ、Protocol VersionやProtocol Header がヘッダ、にそれぞれ相当する。なお、AUTOSAR仕様によれば、IdsM Instance ID(ECUID)、Sensor Instance ID(センサID)、Event Definition ID(イベントID)、Count(カウンタ)が必須の領域、Timestamp(タイムスタンプ)、Context Data(コンテキストデータ)が任意(オプション)の領域となっている。
【0030】
なお、図3は異常を示す異常ログの例であるが、セキュリティハートビート等の正常ログも図3と同じ仕様としてもよい。その場合、正常ログのコンテキストデータは省略することができる。また、ヘッダにコンテキストデータの有無を示すフラグを設定することにより、フラグを確認することで、異常ログと正常ログとを識別することができる。
【0031】
また、図3は物理的に独立したECUが生成したセキュリティイベントログであるが、仮想ECUが生成したセキュリティイベントログであってもよい。
【0032】
なお、セキュリティセンサが生成したセキュリティイベントログはSEv、絞り込み済の的確なセキュリティイベントログはQSEv、と呼ばれる。例えば、図2の個別ECUのセキュリティセンサはSEvを生成して図示しない侵入検知システムマネージャ(IdsM)にレポートし、IdsMでSEvが認定フィルタを通過して指定された基準を満たした場合にQSEvとして侵入検知レポータから送信される。本実施形態では、セキュリティセンサの出力(SEv)をセキュリティイベント、IdsM等で構成されるログ生成部の出力(QSEv)をセキュリティイベントログ、として説明する。
【0033】
2.実施形態1
車両のイグニッション電源がオン(IG ON)の場合はECU10及びログ管理装置20にはイグニッション電源が供給されている。しかし、車両の電源状態がIG OFFの場合はイグニッション電源は使用できずバッテリー電源のみが使用可能となる。この場合、電力消費を抑えるため、ログ管理装置20のログ管理アプリの動作を停止させることがある。一方、ログ管理装置20に接続されているECUは、例えばドアやライトを制御するECUのように、IG OFFの場合でも動作を継続するものや、IG OFFから一定時間は動作を継続するもの、さらに一部の機能のみ動作を継続するものもある。このようなECUの場合、ECUにはバッテリー電源が供給されているので、サイバー攻撃の対象となる可能性があり、サイバー攻撃があった場合はセキュリティイベントログを生成する。本実施形態のECU10は、このようにIG OFFの場合でもバッテリー電源で動作するECUを想定する。
このように、IG OFF中においてECU10は動作し、ログ管理装置20は動作していない場合、ECU10で生成したセキュリティイベントログをログ管理装置20に出力しても、ログ管理装置20はセキュリティイベントログを受信することができないのでセキュリティイベントログが消失してしまう。
以下の実施形態では、このような電源状態でのECU10及びログ管理装置20の構成及び動作について説明する。もっとも、本実施形態の構成及び動作は、このような動作状態以外でのECU10及びログ管理装置20にも適用可能である。
【0034】
(1)ECU10の構成
図4は、本実施形態におけるECU10の構成を示すブロック図である。ECU10は、セキュリティセンサ101、電源情報取得部102、ログ生成部103、記憶部104、通信部105、及び外部出力部106を備える。ECU10は、例えば各ECUを構成するハードウェア装置やソフトウェアで実現される。
【0035】
セキュリティセンサ101は、「電子制御装置の異常」、すなわちECU10の異常を検出する。検出結果は、例えばセキュリティイベント(SEv)として出力される。本実施形態では、セキュリティセンサ101は電源状態がIG ON及びIG OFFのいずれであっても動作している。
ここで、「電子制御装置の異常」とは、電子制御装置で検出した異常であればよく、電子制御装置自体で生じた異常の他、電子制御装置が接続するネットワークの異常を電子制御装置で検出した場合も含む。
【0036】
電源情報取得部102は、セキュリティセンサ101が異常を検出したときの車両の「電源状態」を示す電源情報を取得する。電源状態は、本実施形態では、車両のイグニッション(IG)電源のON又はOFFに関する情報である。この例の他、電源状態は、IG ON時やIG OFF時に使用するバッテリーの種類に関する情報であってもよい。
ここで、「電源状態」とは、車両のイグニッション電源のON又はOFFに関する情報の他、電源の供給元を特定する情報であってもよい。
【0037】
セキュリティセンサ101が異常を検出したときの電源状態は、例えばセキュリティセンサ101の出力があった際に図示しない電源管理ブロックに電源状態を問い合わせることで取得することができる。あるいは、IG ON時やIG OFF時に送信されるデータ、例えばCANデータを記録しておき、直近のCANデータの内容を参照することで取得してもよい。
【0038】
ログ生成部103は、セキュリティセンサ101の出力に基づき、セキュリティイベントログ(「セキュリティイベントログ」に相当)を生成する。例えば、セキュリティセンサ101が出力したセキュリティイベント(SEv)に基づき、セキュリティイベントログ(QSEv)を生成する。ログ生成部103は、例えば、IdsM(Intrusion detection system Manager)モジュールにより構成される。
【0039】
本実施形態では、ログ生成部103は、電源情報取得部102で取得した「電源情報を含めた」セキュリティイベントログを生成している。例えば、IG ON状態を0x00、IG OFF状態を0x01、としてセキュリティイベントログの所定の領域に格納する。
ここで、「電源情報を含めた」とは、電源情報そのものを含めている場合の他、電源情報が復元できるように電源情報を変換した情報であってもよい。
【0040】
図5(a)は、ログ生成部103が生成するセキュリティイベントログの例を示している。同図に示す例では、ログ生成部103は、異常が検出されたときの車両の電源状態をイベントIDで区別するため、電源状態に応じて異なるイベントIDを有するセキュリティイベントログを生成する。図5(a)の例では、IG ON状態であれば、イベントIDとしてID:1を割り当て、IG OFF状態であれば、イベントIDとしてID:2を割り当てている。
これにより、車両の電源状態に応じてセキュリティイベントログのイベントIDを分けて管理することが可能になる。また、セキュリティイベントログにおいて必須のID領域を使用することで、セキュリティイベントログのサイズを増加させることなく、電源情報を含むセキュリティイベントログを生成することができる。
【0041】
なお、図5(a)では、電源情報をID領域のうちイベントID領域に含めているが、それ以外のID領域、すなわちECU ID領域やセンサID領域に含めるようにしてもよい。
【0042】
図5(b)は、ログ生成部103が生成するセキュリティイベントログの他の例を示している。同図に示すように、ログ生成部103は、車両の電源状態を含める領域としてコンテキストデータ領域を用いている。図5(b)の例では、IG ON状態であればコンテキストデータ領域にIG ONが書き込まれ、IG OFF状態であればIG OFFが書き込まれる。これに代えて、IG ON状態を0x00、IG OFF状態を0x01と定義して、コンテキストデータ領域に書き込んでもよい。
これにより、セキュリティイベントログにおいて必須のID領域ではなく、任意(オプション)の領域であるコンテキストデータ領域を用いることにより、管理するID数が少なくなるため、検知ECUやログ管理アプリのプログラムサイズを削減することできる。また、ID領域は6~16ビットの固定長であるため、これ以上の情報を書き込む場合に有用である。
【0043】
なお、車両の電源状態を区別するためにログ生成部103が生成するセキュリティイベントログは、図5(a)、図5(b)に示す態様に限られない。例えば、IG ON状態とIG OFF状態とを区別するためにID領域を用い、さらに、車両の電源状態を具体的に特定するためにコンテキストデータ領域を用いて、電源状態をより詳細に区別してもよい。例えば、バッテリーの残量や、接続されているバッテリーの種類を書き込むようにしてもよい。
【0044】
ログ生成部103が生成するセキュリティイベントログは、セキュリティセンサ101で異常を検出したときの車両の電源情報を含んでいる。このため、セキュリティイベントログの解析において、車両の電源状況に関する情報を活用できる。例えば、異常が検出されたときの電源状況では生じえない攻撃を解析対象から外すことにより、セキュリティイベントログの解析の効率や精度が向上する。
また、セキュリティイベントログの一部に電源情報を含めることにより、セキュリティイベントログ以外の情報を参照することなく、セキュリティイベントの内容を参照するだけで車両の電源情報を利用できる。
【0045】
なお、本実施形態では、ログ生成部103でセキュリティイベントログに電源情報を含めているが、セキュリティセンサ101から出力するセキュリティイベント(SEv)に電源情報を含めるようにしてもよい。この場合においても、ログ生成部103の出力であるセキュリティイベントログには電源情報が含まれているのであるから、ログ生成部103はセキュリティセンサ101の出力に基づき、電源情報を含めたセキュリティイベントログを生成しているといえる。
【0046】
記憶部104は、ログ生成部103で生成したセキュリティイベントログを記憶する。ECU10は、IG ON時にはイグニッション電源、IG OFF時にはバッテリー電源を用いており、ON・OFFに関わらず電源が供給されているので、記憶部104は、不揮発性メモリ及び揮発性メモリのいずれを用いてもよい。
【0047】
記憶部104は、電源状態にかかわらずログ生成部103で生成された全てのセキュリティイベントログを記憶してもよいが、本実施形態においては、IG ON状態である場合にはセキュリティイベントログを記憶せず、IG OFF状態である場合に記憶部104に記憶する。
【0048】
通信部105は、ログ生成部103で生成したセキュリティイベントログをログ管理装置20に送信する。
本実施形態においては、IG ON状態である場合、通信部105はセキュリティイベントログを送信するが、IG OFF状態である場合、ログ管理装置20のログ管理アプリが動作していないので、通信部105はセキュリティイベントログを送信せずに、記憶部104がセキュリティイベントログを記憶する。
これにより、IG OFF中に生成されたセキュリティイベントログの消失を防ぎ、異常の解析に用いることができる。
【0049】
その後、電源状態がIG OFFからIG ONに変化した場合、ログ管理装置20のログ管理アプリが動作を開始するので、通信部105は記憶部104に記憶しているセキュリティイベントログを送信してもよい。
【0050】
もっとも、電源状態がIG OFFからIG ONに変化した場合であっても、通信部105は記憶部104に記憶しているセキュリティイベントログを送信しないようにしてもよい。この場合、ECU10は、記憶部104のセキュリティイベントログをそのまま保持しておく。そして、ECU10は、外部の装置から読み出し要求がなされたときに、記憶部104に保存されているセキュリティイベントログを外部出力部106から出力して外部の装置に受け渡す。外部の装置としては、車両整備の際に診断(ダイアグ)に用いられる診断装置が挙げられる。
【0051】
(2)ログ管理装置20の構成
図6は、本実施形態における電子制御システム1の構成を示すブロック図である。電子制御システム1は、単数若しくは複数のECU10とログ管理装置20とを有する。図6では、ECU10がn個接続されている例を示している。
【0052】
図6において、ログ管理装置20は、ログ集約部201、及び転送部202を備える。本実施形態では、ログ管理装置20は、統合ECU上でログ管理アプリを実行することにより実現している。
【0053】
ログ管理装置20は、上述のECU10の通信部105で説明した通り、IG ON状態で動作するので、IG ON時において検出された異常を示すセキュリティイベントログをECU10から受信する。これに加え、ログ管理装置20は、IG OFF状態からIG ON状態に変化したときに、IG OFF時において検出された異常を示すセキュリティイベントログをECU10から受信してもよい。
【0054】
ログ集約部201は、ECU10から受信したセキュリティイベントログを評価及び/又は選別する。具体的には、受信したセキュリティイベントログを所定の基準を用いて評価し選別する。例えば、セキュリティイベントログを重要度でランク付けし、所定の重要度を超えるセキュリティイベントログを選別する。あるいは、一定数のセキュリティイベントログを受信したときに、外部装置30に送信しない不必要なセキュリティイベントログを送信対象から除いたり、重要であることを示すフラグの立ったセキュリティイベントログを受信した場合に、転送部202に対して当該重要なセキュリティイベントログの前後に受信したセキュリティイベントログを含めて外部装置30への送信を指示してもよい。なお、ログ集約部201は、評価のみを行ってもよい。また、ログ集約部201は、評価を経ずに選別だけ行ってもよい。以下、評価及び/又は選別を、集約と略する。
【0055】
転送部202は、ログ集約部201で集約されたセキュリティイベントログを、外部装置30に転送する。転送部202は、例えばIdsR(Intrusion detection system Reporter)モジュール等で構成される。
【0056】
3.実施形態1における具体的な動作例
(1)実施例1
次に、図7を参照して、本実施例のECU10の動作を説明する。
図7は、ECU10で実行されるログ処理方法を示すだけでなく、ECU10で実行可能なログ処理プログラムの処理手順を示すものでもある。そして、これらの処理は、図7に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。他の実施例のフロー図も同様である。
【0057】
ログ生成部103は、車両に搭載されたECU10のセキュリティセンサ101が検出した異常を示すセキュリティイベントが発生したとき(S101:Yes)、電源情報取得部102は、車両の電源状態を示す電源情報を取得する(S102)。具体的には、電源情報取得部102は、車両の電源状態がIG ON中であるか、IG OFF中であるか、についての電源情報を取得する。電源情報取得部102は、車両が備えている電源管理用のECUや、通信を介して取得した情報から、電源情報を取得する。
【0058】
セキュリティイベントが発生したときの車両の電源状態がIG ON中である場合(S103:Yes)、ログ生成部103はイベントIDをID:1としたセキュリティイベントログを生成し(S104)、生成したセキュリティイベントログをログ管理装置20に送信する(S105)。なお、この場合、ECU10はセキュリティイベントログを送信した後は、当該送信済のセキュリティイベントログを保持する必要がないため破棄してもよい。
【0059】
セキュリティイベントが発生したときの車両の電源状態がIG ON中ではない場合(S103:No)、ログ生成部103はイベントIDをID:2としたセキュリティイベントログを生成し(S106)、生成したセキュリティイベントログを記憶部104に保存する(S107)。
【0060】
なお、セキュリティイベントログを記憶部104に保存するECU10は、車両の電源状態がIG ON中でなくても起動している。このため、記憶部104は、RAM(Random Access Memory)等の揮発性メモリであってもよい。しかし、電源が落ちた場合でも、S107において保存したセキュリティイベントログを保持できることから、記憶部104としては不揮発性メモリが好ましい。
【0061】
記憶部104に保存されたセキュリティイベントログは、後述の実施例2で説明する通り、車両の電源状態がIG ONになったときにログ管理装置20に出力される。ただし、システム構成上、記憶部104に保存されたセキュリティイベントログを送信できない制約がある場合、記憶部104に記憶されたセキュリティイベントログは、外部からの要求に応じて読み出される。
【0062】
本実施例のECU10によれば、車両の電源状態がIG ON中でないときに生成されたセキュリティイベントログを記憶することにより、生成されたセキュリティイベントログの消失を防ぎ、異常の解析に用いることが可能になる。
【0063】
(2)実施例2
図8を参照して、ECU10の動作を説明する。
本実施例のECU10は、IG ON中でないときに生成され、記憶部104に保存されたイベントIDをID:2とするセキュリティイベントログを、IG ONとなった後にログ管理装置20に送信する。すなわち、車両が全体として起動したときに、記憶部104に保存されたセキュリティイベントログがあるかを確認して、ある場合にはセキュリティイベントログをログ管理装置20に送信する。車両が全体として起動したときとは、例えば、駐車中の車両のエンジンを始動したときや、電気自動車のEVシステムが起動したとき等が該当する。
【0064】
通信部105は、車両の電源状態がIG OFF状態からIG ON状態に変化した場合、記憶部104にイベントIDをID:2とするセキュリティイベントログがある場合(S201:Yes)、保存しているセキュリティイベントログをログ管理装置20に送信する(S202)。保存しているセキュリティイベントログを送信した後、ECU10は図7で説明したS101~S107の動作を行う。
【0065】
通信部105は、車両の電源状態がIG OFF状態からIG ON状態に変化した場合で、記憶部104にイベントIDをID:2とするセキュリティイベントログがない場合(S201:No)、セキュリティイベントログを送信しない。
【0066】
本実施例のECU10によれば、記憶部104にイベントIDをID:2とするセキュリティイベントログを、車両の電源状態がIG ONのときに送信することで、車両の電源状態がIG OFFのときに生成されたセキュリティイベントログをログ管理装置20に送信して利用することができる。
【0067】
図9を参照して、ログ管理装置20の動作を説明する。
【0068】
ログ管理装置20は、ECU10からセキュリティイベントログを受信する(S211)。受信するセキュリティイベントログには、車両の電源状態がIG ON時及びIG OFF時に生成されたものが含まれる。
【0069】
ログ集約部201は、受信したセキュリティイベントログを集約する(S212)。ログ集約部201は、受信したセキュリティイベントログに含まれる電源情報を参照して、セキュリティイベントログを集約してもよい。例えば、イベントIDがIG ONを示すセキュリティイベントログと、イベントIDがIG OFFを示すセキュリティログとは、区別して集約する。
【0070】
転送部202は集約したセキュリティイベントログを外部装置30に送信する(S213)。ここで、送信されるセキュリティイベントログには、電源情報が含まれている。
【0071】
図10を参照して、外部装置30の動作を説明する。
外部装置30は、ログ管理装置20からセキュリティイベントログを受信する(S221)。実施例2では、IG OFF時のセキュリティイベントログは、IG OFFからIG ONに変化したときにログ管理装置20に送信される。このため、外部装置30は、ログ管理装置20からIG ON時及びIG OFF時の両方のセキュリティイベントログを受信する。
【0072】
外部装置30は、受信したセキュリティイベントログに含まれる車両の電源状態のIDを確認する(S222)。セキュリティイベントログがIG ON中のものである場合(S222:Yes)、外部装置30は、IG ON中に発生したセキュリティイベントとしてセキュリティイベントログを解析する(S223)。セキュリティイベントログがIG ON中のものでない場合(S222:No)、外部装置30は、IG OFF中に発生したセキュリティイベントとしてセキュリティイベントログを解析する(S224)。
【0073】
なお、上述した実施例1では、記憶部104に保存されたセキュリティイベントログをどのように処理するかを特定していない。記憶部104に保存されたセキュリティイベントログが、例えば工場や自動車販売店等における車両診断の際、診断装置等の要求に応じて読み出される場合、外部装置30は、IG OFF状態時のセキュリティイベントログを、外部の診断装置等から受信する(S221)。
【0074】
外部装置30は、セキュリティイベントログのIDで異常発生時の車両の電源状態を特定できるので、車両の電源状態を踏まえてセキュリティイベントのログ解析を実施できる。一般的に、車両の駐車中等のような電源状態IG OFF中と、車両の移動中のような電源状態IG ON中とでは、サイバー攻撃の種類や攻撃経路が異なる。このため、セキュリティイベントログ生成時の車両の電源状態に基づいて、起こり得るサイバー攻撃の候補を絞って、ログ解析の精度や速度を向上させることができる。
【0075】
(3)実施例3
本実施例では、ECU10が起動した際のECU10及びログ管理装置20の動作について説明する。
【0076】
図11を参照して、ECU10の動作を説明する。
ECU10のログ生成部103は、ECU10の起動時の初期化処理が完了したかを判断する(S301)。起動時の初期化処理が完了していない場合(S301:No)、初期化処理完了の判断に戻る(S301)。起動時の初期化処理が完了した場合(S301:Yes)、起動通知用の専用ID(「第1の起動通知」に相当)を使って、起動通知用セキュリティイベントログを生成する(S302)。図11では、起動通知用の専用IDとしてイベントIDにID:3を割り当てた例を示したが、ID:3に代えてコンテキストデータ領域に起動完了を記載してもよい。
初期化処理が完了したとは、例えば、前回起動時の設定情報を読み出してセットした状態や、OS(Operating System)及び必要なアプリケーションがすべて立ち上がった状態をいう。
【0077】
続いて、通信部105は、起動通知用セキュリティイベントログをログ管理装置20に送信する(S303)。セキュリティイベントログは、セキュリティに関係するイベントが生じたときに生成されるが、異常が発生したときに加えて、正常動作していることを通知するためにも生成されてもよい。この場合、ECU10やセキュリティセンサ101が正常に動作していることを通知するセキュリティハートビートの役割を有する。セキュリティハートビートとして生成されるセキュリティイベントログに起動が完了したとの情報を含めることにより、セキュリティイベントログを起動完了の通知として利用できる。
S303の後、ECU10は、図7に示す実施例1または図8に示す実施例2において説明した動作を行う。
【0078】
図12を参照して、ログ管理装置20の動作を説明する。
ログ管理装置20は、ECU10からセキュリティイベントログを受信する(S311)。
【0079】
起動通知用セキュリティイベントログは、起動通知用の専用ID(「第1の起動通知」に相当)を含んでいる。ログ管理装置20は、起動通知用の専用IDに基づいて、ECU10の初期化処理が完了したか否かを判断する。つまり、ログ管理装置20に「接続されている」予め定められたECUから起動通知用の専用IDを含む起動通知用セキュリティイベントログを受信したかを判断する(S312)。本実施例では、予め定められたECUは接続されている全てのECUである場合とする。
【0080】
ログ管理装置20は、「接続されている」全てのECU10から起動通知用セキュリティイベントログを受信していない場合(S312:No)、S311において受信したセキュリティイベントログを破棄する(S313)。全てのECU10が起動していない段階においては、セキュリティイベントログの信用性が不十分であるため、本実施形態ではセキュリティイベントログを破棄している。セキュリティイベントログの破棄は、受信毎に破棄しても複数をまとめて破棄してもよい。もっとも、全てのECU10が起動していない段階においても、起動しているECU10が送信するセキュリティイベントログについては一定の信用性を認めて、セキュリティイベントログを保存しておいてもよい。
【0081】
ログ管理装置20のログ集約部201は、「接続されている」全てのECU10から起動通知用セキュリティイベントログを受信した場合(S312:Yes)、車両に搭載されたECU10の全てについて起動が完了したとして、セキュリティイベントログの収集又は集約を開始する(S314)。
ここで、「接続されている」とは、ログ管理装置に直接接続されている場合の他、他の電子制御装置やその他の装置を介して間接的に接続されている場合であってもよい。
【0082】
全てのECUが起動した状態でなければそれまでに受信したセキュリティイベントログを利用しないシステムの場合、ログ管理装置20は、起動通知用セキュリティイベントログを全て受信したこと(S312:Yes)をトリガとして、セキュリティイベントログの収集及び集約を開始する(S314)。ログ管理装置20は、セキュリティイベントログ用の通信を利用してECU10の起動を判定できるため、適切なタイミングでセキュリティイベントログの収集及び集約を開始することができる。この場合、ログ管理装置20は、S313においてセキュリティイベントログを保存する必要がないため、受信したセキュリティイベントログを破棄すればよい。
【0083】
全てのECUが起動した状態でなくてもそれまでに受信したセキュリティイベントログを利用するシステムの場合、ログ管理装置20は、起動通知用セキュリティイベントログを全て受信したこと(S312:Yes)をトリガとして、セキュリティイベントログの集約を開始する。ログ管理装置20は、セキュリティイベントログ用の通信を利用してECU10の起動を判定できるため、適切なタイミングでセキュリティイベントログの集約を開始できる。この場合、ログ管理装置20は、S313において保存したセキュリティイベントログも破棄せずに保存し、集約の対象としてもよい。
【0084】
続いて、ログ管理装置20の転送部202は、ログ集約部201で集約したセキュリティイベントログを外部装置30に送信する(S315)。
【0085】
以上のように、全てのECU10の起動完了を確認することにより、ECU10の時刻が同期されていない場合であっても、ログ管理装置20は、適切なタイミングでセキュリティイベントログの収集又は集約を開始することができる。本実施例は、起動順序としてログ管理装置20のログ管理アプリがECU10よりも先に立ち上がる場合、特に有用である。
【0086】
なお、予め定められたECUの別の例としては、IG OFFで動作を終了するECUや、ログ解析において特定のグループのECUで生成したログのセットが必要な場合における当該特定のグループに含まれるECU、等が挙げられる。ECUのグループとしては、上述の通り機能に着目した個別ECUのグループが挙げられる。
【0087】
(4)実施例4
本実施例では、実施例3とは異なり、ECU10ではなくログ管理装置20がECU10に対して起動通知を行う場合のECU10及びログ管理装置20の動作について説明する。
【0088】
図13を参照して、ECU10の動作を説明する。図13はS401を除き図7と同じであるので、図7と同じステップは図7の説明を引用する。
【0089】
S102でセキュリティイベントが発生したときの車両の電源状態がIG ON中である場合(S103:Yes)、ECU10は通信部105がログ管理装置20から起動通知メッセージ(「第2の起動通知」に相当)を受信したか否かを判断する(S401)。起動通知メッセージを受信していない場合(S401:No)、S106に処理を移す。起動通知メッセージを受信した場合(S401:Yes)、S104に処理を移す。
すなわち、電源状態がIG ONである場合かつ起動通知メッセージをログ管理装置20から受信した場合、通信部105はセキュリティイベントログを送信する(S105)。電源状態がIG OFFである場合又は起動通知メッセージをログ管理装置20から受信していない場合、通信部105はセキュリティイベントログを送信せず、記憶部104はセキュリティイベントログを記憶する(S107)。
【0090】
なお、起動通知メッセージの形式は、セキュリティイベントログの形式でも、その他の形式、例えばCANデータの形式であってもよい。
【0091】
また、本実施例では、S401をS103の後段で実行したが、S101の前段で実行するようにしてもよい。この場合、起動通知メッセージを受信した後に生成したセキュリティイベントログの送信又は保存を開始する。
【0092】
図14を参照して、ログ管理装置20の動作を説明する。
ログ管理装置20は、起動時の初期化処理が完了したか否かを判断する(S411)。起動時の初期化処理が完了していない場合(S411:No)、S411の判断に戻る。起動時の初期化処理が完了した場合(S411のYes)、ログ管理装置20は、「接続されている」予め定めたECUに対し、ログ管理装置20が起動したことを通知する起動通知メッセージ(「第2の起動通知」に相当)を送信する(S412)。本実施例では、予め定められたECUは接続されている全てのECUである場合とする。起動処理を終了した後におけるログ管理装置20の動作は、図9に示す実施例2と同様である。
【0093】
一部のECU10がログ管理装置20よりも先に起動するような場合、実施例3のようにECU10が起動通知を行っても、ログ管理装置20は先に起動したECU10からの起動通知を受け取ることができない。そこで、本実施例のように、ログ管理装置20がECU10に対して起動通知を行うことにより、ECU10はログ管理装置20の起動を確認することができる。本実施例は、起動順序としてECU10がログ管理装置20のログ管理アプリよりも先に立ち上がる場合に、特に有用である。
【0094】
なお、予め定められたECUの別の例としては、IG OFF中も動作しているECUが挙げられる。
【0095】
(5)実施例5
本実施例では、ECU10が終了する際のECU10及びログ管理装置20の動作について説明する。
【0096】
図15を参照して、ECU10の動作を説明する。
ログ生成部103は、ECU10が動作を終了する場合、ECU10が動作を終了することを通知する終了通知用の専用ID(「終了通知」に相当)を含めて、終了通知用セキュリティイベントログを生成する(S501)。図15では、終了通知用の専用IDとしてイベントIDにID:4を割り当てた例を示したが、ID:4に代えてコンテキストデータ領域に終了を記載してもよい。
【0097】
続いて、通信部105は、終了通知用セキュリティイベントログをログ管理装置20に送信して(S502)、終了前の後処理を行い(S503)、ECU10は動作を終了する。終了前の後処理とは、終了時にすべき処理としてあらかじめ決められた処理をいい、例えば、揮発性の記憶手段のデータを不揮発性の記憶手段に保存すること、電源をイグニッション電源からバッテリー電源に切り替えること、アプリケーション及びOSを終了させること等をいう。ECU10の終了のタイミングは、例えばIG ONからIG OFFへと変化したときが挙げられる。終了後は、本実施形態によればECU10はそれ以降セキュリティイベントログをログ管理装置20に送信せず、記憶部104に記憶する。
【0098】
図16を参照して、ログ管理装置20の動作を説明する。
ログ管理装置20は、「接続されている」予め定めたECUから終了通知用の専用IDを有する終了通知用セキュリティイベントログを受信したかを判断する(S511)。本実施例では、予め定められたECUは接続されている全てのECUである場合とする。ログ管理装置20は、接続されている全てのECU10から終了通知用セキュリティイベントログを受信していない場合(S511:No)、図9に示す実施例2と同様の動作を行う。ログ管理装置20は、接続されている全てのECU10から終了通知用セキュリティイベントログを受信した場合(S511:Yes)、ログ集約部201や転送部202の動作を終了するとともに終了前の後処理を行い(S512)、ログ管理装置20は動作を終了する。終了前の後処理は、上述のECU10の後処理と同様である。
【0099】
車両を駐車してIG OFFにする場合、IG OFFによっていきなり車両全体の電源が落ちるのではなく、一定の期間で終了処理を行ように設計されている。本実施例では、ECU10は終了通知用セキュリティイベントログを用いてログ管理装置20に対して動作を終了することを通知し、ログ管理装置20は全てのECU10の終了通知を確認してから、ログ管理装置20におけるセキュリティイベントログの処理を終了する。このように、終了処理において、ECU10が終了した後に、ログ管理装置20が終了する順序とすることにより、ECU10の終了間際において発生したセキュリティイベントログをログ管理装置20が取りこぼすことを防止できる。本実施例は、終了順序としてECU10がログ管理装置20のログ管理アプリよりも先に終了する場合に、特に有用である。
【0100】
なお、予め定められたECUの別の例としては、終了動作をしないECUを除いたECUが挙げられる。
【0101】
4.総括
以上、本発明の各実施形態における電子制御装置や電子制御システム等の特徴について説明した。
【0102】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0103】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、ブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0104】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0105】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0106】
また、本発明の電子制御装置や電子制御システムの形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0107】
またログ管理装置や電子制御システムに、アンテナや通信用インターフェース等、必要な機能を追加してもよい。
【0108】
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0109】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0110】
本発明の電子制御装置や電子制御システムは、車両以外に搭載された電子制御システムにおけるセキュリティイベントログの生成及びセキュリティイベントログの収集・集約に使用してもよい。
【符号の説明】
【0111】
1:電子制御システム、10:ECU、20:ログ管理装置、30:外部装置、101:セキュリティセンサ、102:電源情報取得部、103:ログ生成部、104:記憶部、105:通信部、106:外部出力部、201:ログ集約部、202:転送部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16