(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-05
(45)【発行日】2023-09-13
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
H04L 41/00 20220101AFI20230906BHJP
H04L 43/00 20220101ALI20230906BHJP
【FI】
H04L41/00
H04L43/00
(21)【出願番号】P 2019098725
(22)【出願日】2019-05-27
【審査請求日】2021-12-27
(32)【優先日】2018-10-17
(33)【優先権主張国・地域又は機関】US
【前置審査】
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】佐々木 崇光
(72)【発明者】
【氏名】高橋 良太
【審査官】阿部 弘
(56)【参考文献】
【文献】特開2017-111796(JP,A)
【文献】特開2004-030286(JP,A)
【文献】特開2007-058514(JP,A)
【文献】特開2018-041200(JP,A)
【文献】特開2017-167916(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/00
H04L 43/00
(57)【特許請求の範囲】
【請求項1】
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、
第一車両の状態に関する第一車両情報を取得する車両情報取得部と、
前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、
前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、
前記機能制限指示を出力する指示出力部とを備え、
前記車両機能は、前記第一車両の通信に関する機能であり、
前記第一車両の通信に関する機能は、前記第一車両が備える機器間の通信、前記第一車両と前記第一車両の乗員が所有する機器との間の通信、前記第一車両と前記第一車両の外部の機器との間の通信のうち、少なくとも1つの通信の機能である
情報処理装置。
【請求項2】
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、
第一車両の状態に関する第一車両情報を取得する車両情報取得部と、
前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、
前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、
前記機能制限指示を出力する指示出力部とを備え、
前記車両機能は、前記第一車両における通信機能であり、
前記車両機能に対する機能制限指示とは、前記第一車両における通信機能を停止する指示、または、前記第一車両の通信機能の通信帯域を所定帯域に制限する指示である
情報処理装置。
【請求項3】
前記リスク対策指示生成部は、前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成する
請求項1
または2に記載の情報処理装置。
【請求項4】
前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、
前記指示出力部は、前記機能制限解除指示を出力する
請求項1から
3のいずれか一項に記載の情報処理装置。
【請求項5】
前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記リスク判定部は、記車両機能のリスクレベルを再判定する
請求項1から
4のいずれか一項に記載の情報処理装置。
【請求項6】
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、
第一車両の状態に関する第一車両情報を取得する車両情報取得部と、
前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、
前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、
前記機能制限指示を出力する指示出力部とを備え、
前記リスク対策指示生成部は、前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成し、
前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、
前記指示出力部は、前記機能制限解除指示を出力し、
前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定し、
前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記機能制限解除指示生成部は、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成する
情報処理装置。
【請求項7】
前記第一車両情報が示す前記第一車両の走行位置に所定の変化があった場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定する
請求項1から
6のいずれか一項に記載の情報処理装置。
【請求項8】
前記車両情報取得部は、第二車両の状態に関する第二車両情報を取得し、
前記リスク判定部は、前記インシデント情報と前記第二車両情報との一致度に基づいて前記第二車両の車両機能のリスクレベルを判定し、
前記第二車両の車両機能のリスクレベルが第三基準より高い場合、前記リスク対策指示生成部は、前記第二車両の車両機能に対応する前記第一車両の車両機能に対する機能制限指示を生成する
請求項1から
7のいずれか一項に記載の情報処理装置。
【請求項9】
前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、
前記指示出力部は、前記機能制限解除指示を出力し、
前記車両情報取得部は、第二車両の状態に関する第二車両情報を取得し、
前記リスク判定部は、前記インシデント情報と前記第二車両情報との一致度に基づいて前記第二車両の車両機能のリスクレベルを判定し、
前記第二車両の車両機能のリスクレベルが第三基準より高い場合、前記リスク対策指示生成部は、前記第二車両の車両機能に対応する前記第一車両の車両機能に対する機能制限指示を生成し、
前記第二車両が前記第一車両の走行位置から所定距離以下の位置を走行している場合、かつ前記リスク対策指示生成部が生成した前記機能制限指示によって前記第二車両の車両機能に対応する前記第一車両の車両機能が制限されている場合、前記第二車両の位置が前記第一車両の走行位置から前記所定距離より遠くなると、前記機能制限解除指示生成部は、前記第一車両の車両機能に対する機能制限解除指示を生成する
請求項1から
3のいずれか一項に記載の情報処理装置。
【請求項10】
前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、より新しいインシデント情報と一致する場合に、より古いインシデント情報と一致する場合よりも高く判定される
請求項1から
9のいずれか一項に記載の情報処理装置。
【請求項11】
前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、直近の所定期間に所定件数以上発生したインシデント情報と一致する場合に、前記所定期間に所定件数未満発生したインシデント情報と一致する場合よりも高く判定される
請求項1から
10のいずれか一項に記載の情報処理装置。
【請求項12】
情報処理装置が、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、
第一車両の状態に関する第一車両情報を取得し、
前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力し、
前記車両機能は、前記第一車両の通信に関する機能であり、
前記第一車両の通信に関する機能は、前記第一車両が備える機器間の通信、前記第一車両と前記第一車両の乗員が所有する機器との間の通信、前記第一車両と前記第一車両の外部の機器との間の通信のうち、少なくとも1つの通信の機能である
情報処理方法。
【請求項13】
情報処理装置が、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、
第一車両の状態に関する第一車両情報を取得し、
前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力し、
前記車両機能は、前記第一車両における通信機能であり、
前記車両機能に対する機能制限指示とは、前記第一車両における通信機能を停止する指示、または、前記第一車両の通信機能の通信帯域を所定帯域に制限する指示である
情報処理方法。
【請求項14】
情報処理装置が、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、
第一車両の状態に関する第一車両情報を取得し、
前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力し、
前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成し、
前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成し、
前記機能制限解除指示を出力し、
前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記車両機能のリスクレベルを再判定し、
前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成する
情報処理方法。
【請求項15】
プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、
第一車両の状態に関する第一車両情報を取得させ、
前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させ、
前記車両機能は、前記第一車両の通信に関する機能であり、
前記第一車両の通信に関する機能は、前記第一車両が備える機器間の通信、前記第一車両と前記第一車両の乗員が所有する機器との間の通信、前記第一車両と前記第一車両の外部の機器との間の通信のうち、少なくとも1つの通信の機能である
プログラム。
【請求項16】
プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、
第一車両の状態に関する第一車両情報を取得させ、
前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させ、
前記車両機能は、前記第一車両における通信機能であり、
前記車両機能に対する機能制限指示とは、前記第一車両における通信機能を停止する指示、または、前記第一車両の通信機能の通信帯域を所定帯域に制限する指示である
プログラム。
【請求項17】
プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、
車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、
第一車両の状態に関する第一車両情報を取得させ、
前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、
前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させ、
記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成させ、
前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成させ、
前記機能制限解除指示を出力させ、
前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記車両機能のリスクレベルを再判定させ、
前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成させる
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両で利用される情報を処理する情報処理装置に関する。
【背景技術】
【0002】
高機能化が進む自動車では、車載ネットワークシステム内で、また、車載ネットワークと外部の情報機器、交通基盤又は他の車両等のシステムとの間で多くの情報がやり取りされる。そして、やり取りされる情報を処理する車載ネットワークシステムの脆弱性を突くサイバー攻撃の脅威が顕在化している。
【0003】
情報処理によって実現される高機能な自動車のセキュリティを向上させる技術が提案されている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示される対抗手段は、すでに攻撃者が車載ネットワークに侵入した上で異常メッセージの送信等による発生した攻撃を検知して対応するものである。つまり、この対応が完了するまでの時間、車両は攻撃の影響を受ける。また、攻撃対象である車両単体にとって未知のパターンによる攻撃を受けた場合には、異常の検知又は停止までに時間が掛かったり、さらには被害が深刻化したりするおそれもある。
【0006】
本発明は、車両単体にとっては未知の手法によるものであっても、車載ネットワークへの侵入を抑えてサイバー攻撃の発生及び被害の深刻化を防ぐ情報処理装置等を提供する。
【課題を解決するための手段】
【0007】
本発明の一態様に係る情報処理装置は、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、第一車両の状態に関する第一車両情報を取得する車両情報取得部と、前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、前記機能制限指示を出力する指示出力部とを備える。
【0008】
また、本発明の一態様に係る情報処理方法は、情報処理装置が、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、第一車両の状態に関する第一車両情報を取得し、前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力する。
【0009】
また、本発明の一態様に係るプログラムは、プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、第一車両の状態に関する第一車両情報を取得させ、前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させる。
【0010】
なお、これらの包括的または具体的な態様は、システム、集積回路又はコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、装置、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意の組み合わせで実現されてもよい。
【発明の効果】
【0011】
本発明は、車両単体にとっては未知の手法によるものであっても、車載ネットワークへの侵入を抑え、また、サイバー攻撃の発生又は被害の深刻化を防ぐ情報処理装置等を提供する。
【図面の簡単な説明】
【0012】
【
図1】
図1は、実施の形態1に係る情報処理装置を含むセキュリティリスク対策システムの構成例の概要を示す図である。
【
図2】
図2は、実施の形態1におけるインシデント情報のデータ構成例を示す図である。
【
図3】
図3は、上記のセキュリティリスク対策システムによるセキュリティリスク対策の適用対象である車両が備える車載ネットワークの構成例を示す図である。
【
図4】
図4は、上記のセキュリティリスク対策システムに含まれるセキュリティリスク対策サーバの構成例を示す図である。
【
図5】
図5は、上記のセキュリティリスク対策サーバで実行されるセキュリティリスク対策の処理の手順例を示すフロー図である。
【
図6】
図6は、上記のセキュリティリスク対策の処理における、インシデント情報収集サーバとセキュリティリスク対策サーバとの連携を含む手順を示すシーケンス図である。
【
図7A】
図7Aは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7B】
図7Bは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7C】
図7Cは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7D】
図7Dは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7E】
図7Eは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7F】
図7Fは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図7G】
図7Gは、上記のセキュリティリスク対策の処理で用いられるリスクポイントテーブルの一例である。
【
図8】
図8は、上記のリスクポイントテーブルの更新処理の手順例を示すフロー図である。
【
図9】
図9は、上記のセキュリティリスク対策の処理における、第一車両とセキュリティリスク対策サーバとの連携を含む手順を示すシーケンス図である。
【
図10】
図10は、実施の形態1における車両情報のデータ構成例を示す図である。
【
図11】
図11は、実施の形態1における車両情報のデータ構成例を示す図である。
【
図12】
図12は、実施の形態1におけるリスクレベル管理リストのデータ構成例を示す図である。
【
図13】
図13は、上記のリスクレベル管理リストに含まれるリスクスコアの算出処理の手順例を示すフロー図である。
【
図14A】
図14Aは、上記のセキュリティリスク対策の処理における、第一車両の車載機器のリスクポイントの算出処理の手順例を示すフロー図である。
【
図14B】
図14Bは、上記のセキュリティリスク対策の処理における、第一車両の走行位置のリスクポイントの算出処理の手順例を示すフロー図である。
【
図14C】
図14Cは、上記のセキュリティリスク対策の処理における、第一車両の車種のリスクポイントの算出処理の手順例を示すフロー図である。
【
図14D】
図14Dは、上記のセキュリティリスク対策の処理における、第一車両の通信プロトコルのリスクポイントの算出処理の手順例を示すフロー図である。
【
図14E】
図14Eは、上記のセキュリティリスク対策の処理における、第一車両の搭載機能のリスクポイントの算出処理の手順例を示すフロー図である。
【
図14F】
図14Fは、上記のセキュリティリスク対策の処理における、第一車両の走行状態のリスクポイントの算出処理の手順例を示すフロー図である。
【
図15】
図15は、上記のリスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図である。
【
図16A】
図16Aは、上記のセキュリティリスク対策の処理における、第一車両とセキュリティリスク対策サーバとの連携を含む手順を示すシーケンス図である。
【
図16B】
図16Bは、上記のセキュリティリスク対策の処理における、第一車両とセキュリティリスク対策サーバとの連携を含む手順を示すシーケンス図である。
【
図17】
図17は、上記のリスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図である。
【
図18A】
図18Aは、上記のリスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図である。
【
図18B】
図18Bは、上記のリスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図である。
【
図18C】
図18Cは、上記のリスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図である。
【
図19】
図19は、実施の形態2に係る情報処理装置を含むセキュリティリスク対策システムの構成例の概要を示す図である。
【
図20】
図20は、実施の形態2に係る情報処理装置で実現されるセキュリティリスク対策サーバで実行されるセキュリティリスク対策の処理の手順例を示すフロー図である。
【
図21】
図21は、上記のセキュリティリスク対策の処理における、第二車両とセキュリティリスク対策サーバとの連携及び第一車両とセキュリティリスク対策サーバとの連携を含む手順を示すシーケンス図である。
【
図22】
図22は、第二車両のリスクスコアを用いた第一車両のリスク制御処理の手順例を示すフロー図である。
【
図23】
図23は、第二車両のリスクスコアを用いた第一車両のリスク制御処理の手順例を示すフロー図である。
【
図24A】
図24Aは、第一車両と第二車両と間の距離を用いた第一車両のリスク制御処理の手順例を示すフロー図である。
【
図24B】
図24Bは、第一車両と第二車両と間の距離を用いた第一車両のリスク制御処理の手順例を示すフロー図である。
【
図25】
図25は、第二車両のインシデント履歴に応じたセキュリティ対策の処理の手順例を示すフロー図である。
【
図26】
図26は、実施の形態におけるセキュリティリスク対策を実行する車載の情報処理装置の構成例を示す図である。
【発明を実施するための形態】
【0013】
(本発明の基礎となった知見)
本発明者は、「背景技術」の欄において記載したサイバー攻撃への対抗手法に関し、異常の検知後の対応であることによる上述のような問題が生じることを見出した。
【0014】
IT(Information Technology)の分野では、新たな手法によるサイバー攻撃に対してもコストを抑えながら速やかな対応を可能にするために、蓄積される脅威情報を共有する仕組みの構築が始まっている。情報化が進んだ自動車についても、セキュリティ対策として同様の仕組みを導入することは一案である。しかしながら、自動車では車両間で状態に差があり、各車両の状態も一定ではない。そのため、脅威に対するリスクレベル及び必要な対処は車両によって差があり、各車両でも変化し得る。したがって、単純に各車両からの情報の収集及び各車両へのセキュリティに関する情報の提供が可能な仕組みを構築するだけでは、自動車の情報セキュリティと情報の利用による利便性との両立に支障が出る可能性もある。
【0015】
このような問題を解決するために、本発明の一態様に係る情報処理装置は、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、第一車両の状態に関する第一車両情報を取得する車両情報取得部と、前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、前記機能制限指示を出力する指示出力部とを備える。
【0016】
これにより、多数の車両でのサイバー攻撃のインシデントに関する情報に基づいて、状態に応じた第一車両のリスクレベルが判定される。この判定の結果得られたリスクレベルが所定の基準を超えて高い場合、第一車両の機能を制限することで攻撃の発生、又は攻撃による悪影響の拡大を抑えることができる。
【0017】
例えば、前記リスク対策指示生成部は、前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成してもよい。また例えば、前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、前記指示出力部は、前記機能制限解除指示を出力してもよい。
【0018】
このように、リスクレベルの高さに応じて機能の制限の程度を変えることで、車両での情報利用の安全と利便性との両立を図ることができる。
【0019】
例えば、前記車両情報が示す前記第一車両の走行状態が変化した場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定してもよい。具体的な例としては、前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記機能制限解除指示生成部は、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成してもよい。
【0020】
これにより、車両の走行状態によって変わるリスクレベルの高さ又は必要な対処に応じて適切な機能制限が適用される。
【0021】
例えば、前記車両情報が示す前記第一車両の走行位置に所定の変化があった場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定してもよい。
【0022】
サイバー攻撃の脅威の大きさは場所によっても変化し得る。この構成により、車両の変化するリスクレベルの高さ又は必要な対処に応じて適切な機能制限が適用される。
【0023】
例えば、前記車両情報取得部は、第二車両の状態に関する第二車両情報を取得し、前記リスク判定部は、前記インシデント情報と前記第二車両情報との一致度に基づいて前記第二車両の車両機能のリスクレベルを判定し、前記第二車両の車両機能のリスクレベルが第三基準より高い場合、前記リスク対策指示生成部は、前記第二車両の車両機能に対応する前記第一車両の車両機能に対する機能制限指示を生成してもよい。
【0024】
例えば自車両の近くを走行する車両がサイバー攻撃に対するリスクが高いために脅威となり得る場合、この近くを走行する車両が攻撃により不正走行を行うと、自車両と衝突する可能性がある。また、この近くを走行する車両と情報の授受をする自車両のサイバー攻撃に対するリスクも上がる。例えば不正な虚偽の情報が提供されたり、不正なコードが埋め込まれたメッセージが送信されたりし得る。上記の構成により、近くを走行する車両の変化するリスクレベルの高さ又は必要な対処に応じて適切なレベルの機能制限が自車両に適用される。なお、車両間の距離は、例えば、各車両のGPS(Global Positioning System)から得られる位置情報から計算してもよいし、車両間通信の遅延時間、レーダー等により測定した距離など、いずれの方法で計算してもよい。また、第三基準は、第一車両のリスクレベルと比較される第一基準又は第二基準と同じものであってもよいし別のものであってもよい。
【0025】
例えば、前記第二車両が前記第一車両の走行位置から所定距離以下の位置を走行している場合、かつ前記リスク対策指示生成部が生成した前記機能制限指示によって前記第二車両の車両機能に対応する前記第一車両の車両機能が制限されている場合、前記第二車両の位置が前記第一車両の走行位置から前記所定距離より遠くなると、前記機能制限解除指示生成部は、前記第一車両の車両機能に対する機能制限解除指示を生成してもよい。
【0026】
つまり、車両は移動体であり、一時は近くにあってサイバー攻撃に対するリスクレベルの高い、通信相手であれば脅威となり得る車両であっても、通信相手となり得ない距離まで離れれば脅威ではなくなる。したがって、この相手と情報の授受がなくなった車両のリスクレベルは低下するため、厳しい機能制限は不要となる。上記の構成により、第一車両では、変化するリスクの高さ又は必要な対処に応じて適切なレベルの機能制限が適用される。また、第一車両での情報利用の安全と利便性との両立を図ることができる。
【0027】
例えば、前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、より新しいインシデント情報と一致する場合に、より古いインシデント情報と一致する場合よりも高く判定されてもよい。また例えば、前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、直近の所定期間に所定件数以上発生したインシデント情報と一致する場合に、前記所定期間に所定件数未満発生したインシデント情報と一致する場合よりも高く判定されてもよい。
【0028】
このように、より新しいインシデント情報に重みを置いた判定をすることで、すでに対策が実施されたインシデント、又は最近増加しつつある攻撃によるインシデントにも適切に対応することが可能になる。
【0029】
また、本発明の一態様に係る情報処理方法は、情報処理装置が、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、第一車両の状態に関する第一車両情報を取得し、前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力する。また、本発明の一態様に係るプログラムは、プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、第一車両の状態に関する第一車両情報を取得させ、前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させる。
【0030】
これらの方法又はプログラムにより、多数の車両でのサイバー攻撃のインシデントに関する情報に基づいて、車両の状態に応じた第一車両のリスクレベルが判定される。また、判定の結果得られたリスクレベルが所定の基準を超えて高い場合、第一車両の機能を制限することで攻撃の発生、又は攻撃による悪影響の拡大を抑えることができる。
【0031】
なお、これらの包括的または具体的な態様は、システム、集積回路、又はコンピュータ読み取り可能なCD-ROM等の記録媒体で実現されてもよく、装置、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
【0032】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0033】
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序、及び機能的な構成要素間の機能分担等は一例であり、本発明を限定する趣旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0034】
(実施の形態1)
実施の形態1に係る情報処理装置を含むセキュリティリスク対策システムでは、多数の車両を対象に集められたサイバー攻撃のインシデントに関する情報(以下、インシデント情報ともいう)と、車両の現在の状態に関する情報(以下、車両情報ともいう)とを用いて、この車両が持つ機能(以下、車両機能ともいう)のサイバー攻撃を受ける可能性(リスクレベル)が判定される。本実施の形態における車両機能は、通信関連機能と、走行関連機能とに分類される。通信関連機能は、例えば、CAN通信、Wi-Fi(登録商標)通信、Bluetooth(登録商標)通信、LTE通信の機能である。通信関連機能によって、これらの通信関連機能によって、車両が備える各種の機器間、車両と乗員が持つ機器との間、又は車両と車両の外部にある機器との間で情報がやり取りされる。走行関連機能は、例えば、自動運転、各種の運転支援の機能である。このような機能を備える車両にとって、サイバー攻撃は異常な動作を招く脅威である。この脅威に対する対策としてセキュリティリスク対策システム1では、車両機能のリスクレベルが所定の基準より高い場合に、この車両機能を制限する。車両機能を制限することで、例えばサイバー攻撃による不正なデータの車載ネットワークへの侵入の抑制が図られる。また、不正なデータが車載ネットワークに流されたとしても、このデータによる異常な動作の発生の抑制が図られる。
【0035】
[1.構成]
図1は、本実施の形態に係る情報処理装置を含むセキュリティリスク対策システム1の構成例の概要を示す図である。
【0036】
図1に示される構成例では、セキュリティリスク対策サーバ10と、車両20と、インシデント情報収集サーバ30とがインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。
【0037】
[1.1 インシデント情報サーバ]
インシデント情報収集サーバ30は、例えば車両メーカーが設けるSOC(Security Operation Center)のサーバであり、プロセッサ及びメモリを含む1台又は複数台の情報処理装置で構成される。インシデント情報収集サーバ30には、各車両で実際に発生したサイバー攻撃に関するインシデントの履歴がインシデント情報として蓄積されている。
図2は、本実施の形態1におけるインシデント情報のデータ構成例を示す図である。
図2に示すデータ構成例では、インシデント情報に含まれる項目は下記のとおりである。
【0038】
インシデントID:インシデント識別用の文字列
【0039】
発生日時:インシデントの発生日時
【0040】
発生地域:インシデントが発生した場所を含む地域
【0041】
車種:インシデントが発生した車両の車種
【0042】
リスク部品:インシデントにおいて攻撃の標的となった部品。この例では部品が型番で特定されている。
【0043】
リスク機能:インシデントにおいて影響を受けた車両機能
【0044】
侵入経路:車載ネットワークへの不正アクセスに利用された、又は不正な機器が設置された車載ネットワーク上の場所。
【0045】
脅威度:インシデントの影響の大きさについての安全に関する所定の基準に依る評価。例えば、侵入のみで車内の機器の動作に影響がないものは低。加減速、操舵、又はドライバー若しくはセンサーによる周辺状況の認識に影響するものは高。その他のものは中。
【0046】
上に挙げた項目は例であり、これらの項目すべてが本発明において必須ではなく、また、インシデント情報には上記以外の情報に関する項目が含まれてもよい。例えばリスク部品の製造者又はソフトウェアバージョン、インシデントが発生したときの車両の走行状態(走行中または停止)、インシデントが発生した車両を識別するための情報等が含まれてもよい。
【0047】
このようなインシデント情報は多数の車両を対象として集められたものであり、大規模なデータ資産とも言える。そしてインシデント情報の少なくとも一部は必要に応じてセキュリティリスク対策サーバ10に提供される。インシデント情報収集サーバ30からセキュリティリスク対策サーバ10へのインシデント情報の提供は、例えば仮想専用線(
図1の点線)を通じて行われるが、これに限定されない。
【0048】
なお、インシデント情報収集サーバ30は複数でもよく、例えば車両メーカー各社のSOCのインシデント情報収集サーバからセキュリティリスク対策サーバ10にインシデント情報が提供されてもよい。インシデント情報は、このような複数の主体による共有を容易にするために、例えば脅威情報に関する国際標準であるSTIX(Structured Threat Information Expression)に準拠する形式で記述されていてもよい。
【0049】
[1.2 車両]
車両20は、セキュリティリスク対策システム1による目下のセキュリティリスク対策の実行対象の車両である。本開示では、目下のセキュリティリスク対策の実行対象の車両を、車両全般又は特定の他の車両と区別して指すために、第一車両ともいう。
【0050】
車両20は車載ネットワーク200を備える。
図3は、車載ネットワーク200の構成例を示す図である。
【0051】
車載ネットワーク200には、多数のECUが接続されている。
図3に示される車載ネットワーク200にはCAN(Controller Area Network)、Ethernet(登録商標)、FlexRay(登録商標)といった異なる通信プロトコルによる複数のサブネットワークが含まれ、ECUはこれらのサブネットワークのいずれかに接続されている。これらのECUの中には、例えば図示しないセンサと接続されて車両内又は車両周辺の状況を示すデータを収集するもの、又はアクチュエータと接続され、制御信号を送出して車両上の装置を動作させるものが含まれる。また別の例として、ネットワークを流れるデータを監視する等、セキュリティに関する情報処理を行うECUも含まれ得る。上記の車両機能は、これらのECUのいずれかによって、又は複数のECU間のデータのやり取りを伴う連携によって実現される。通信プロトコルが異なるサブネットワーク同士は、ゲートウェイ220を介して接続されている。ゲートウェイ220は、サブネットワーク間でやり取りされるデータの通信プロトコル間での変換を行う。
【0052】
また、この構成例では、車載ネットワーク200にIVI(In-Vehicle Infotainment)システム230が接続されている。
【0053】
各ECU及びIVIシステム230は、ゲートウェイ220と、通信モジュールとしての機能を有する外部通信装置240とを介して外部の通信ネットワークと接続する。上述のSOCに提供されるインシデントの発生に関する情報、及びセキュリティリスク対策サーバ10に提供される車両情報も、これらのECUのいずれかからこの経路で送信される。車両情報については、具体例を挙げて後述する。
【0054】
[1.3 セキュリティリスク対策サーバ]
セキュリティリスク対策サーバ10は、インシデント情報収集サーバ30から取得するインシデント情報と、車両20から取得した車両情報とを用いて、車両20が持つ車両機能のサイバー攻撃に関するリスクレベルを判定する。また、セキュリティリスク対策サーバ10は、判定したリスクレベルが所定の基準より高い場合には、車両20の車両機能を制限する指示(以下、機能制限指示ともいう)を発行し、この指示を、通信ネットワークを介して車両20に送信する。セキュリティリスク対策サーバ10は、プロセッサ及びメモリを含む1台又は複数台の情報処理装置で構成される。
【0055】
図4は、セキュリティリスク対策サーバ10の構成例を示す図である。
【0056】
セキュリティリスク対策サーバ10の構成要素には、インシデント情報取得部11、車両情報取得部12、蓄積部13、リスク判定部14、リスクポイント管理部15、リスク対策指示生成部16、指示出力部17、及び機能制限解除指示生成部18が含まれる。
【0057】
インシデント情報取得部11は、インシデント情報収集サーバ30からインシデント情報を受信して取得する。
【0058】
車両情報取得部12は、車両20の状態に関する情報である車両情報を受信して取得する。
【0059】
蓄積部13は、上記のインシデント情報、車両情報、及び後述のリスクレベルの判定に用いられるその他の情報が蓄積される。
図1に記載のリスクレベル管理リスト及びリスクポイントテーブルも蓄積部13に蓄積されるその他の情報に含まれ、これらについては例を用いて後述する。
【0060】
リスク判定部14は、上記のインシデント情報と車両20の車両情報との一致度に基づいて、車両20が持つ各種の車両機能のリスクレベルを判定する。
【0061】
リスクポイント管理部15は、リスク判定部14による上記のリスクレベルの判定に用いられる情報の一種であるリスクポイント情報の管理を、インシデント情報に基づいて行う。
【0062】
リスク対策指示生成部16は、リスク判定部14が判定したリスクレベルに応じて、リスク対策としての車両機能に対する制限(無効化の場合を含む)に関する指示(以下、リスク対策指示ともいう)を生成する。
【0063】
機能制限解除指示生成部18は、リスク判定部14が判定したリスクレベルに応じて、車両機能に対する制限を解除する指示(以下、機能制限解除指示ともいう)を生成する。
【0064】
指示出力部17は、機能制限指示及び機能制限解除指示を車両20に送信する。
【0065】
セキュリティリスク対策サーバ10のこれらの構成要素は、セキュリティリスク対策サーバ10を構成する情報処理装置において、例えばメモリに記憶される1個又は複数個のプログラムをプロセッサが実行することで実現される機能的な構成要素であってよい。セキュリティリスク対策システム1で実行されるセキュリティリスク対策のための処理は、セキュリティリスク対策サーバ10のこれらの構成要素が上記の機能を発揮しながら連携することで実行される。
【0066】
なお、インシデント情報収集サーバ30とセキュリティリスク対策サーバ10とは個別に確立される存在でなくてもよい。例えば、インシデント情報収集サーバ30とセキュリティリスク対策サーバ10とは一体的に統合されたシステムであってもよい。また、インシデント情報収集サーバ30がセキュリティリスク対策サーバ10の一部であってもよく、例えばインシデント情報収集サーバ30が蓄積部13として機能してもよい。この場合のインシデント情報取得部11の機能は、処理に用いる範囲のインシデント情報を蓄積部13から取得することであってもよい。
【0067】
[2.動作]
次に、セキュリティリスク対策システム1で実行されるセキュリティリスク対策の処理の動作について説明する。
【0068】
図5は、セキュリティリスク対策サーバ10で実行されるこの処理の手順例を示すフロー図である。以下では、説明の便宜上、この手順を大きく二つの段階に分けて説明する。
【0069】
ひとつは、多数の車両でのサイバー攻撃のインシデントに関するインシデント情報を収集し、このインシデント情報に基づいて車両の様々な状態についてのリスクの高さを評価し、リスクポイントとして管理する(ステップS1及びステップS2)の第一段階である。
【0070】
もうひとつは、セキュリティリスク対策の実行対象である第一車両の状態を示す車両情報を取得し、この車両情報が示す第一車両の状態と、インシデント情報に表れる車両の状態との一致度に基づいて、リスクポイントから第一車両の各車両機能のリスクレベルを算出し、算出したリスクレベルに基づいて、車両機能の制限又は制限の解除を実行するか否かについて判定し、必要に応じて第一車両のリスク対策指示を出力するまで(ステップS3からステップS7)の第二段階である。
【0071】
[2.1 第一段階]
図6は、インシデント情報収集サーバ30とセキュリティリスク対策サーバ10との連携を含む手順を示すシーケンス図であり、
図5に示される処理手順例の第一段階に関する。
【0072】
第一段階では、まずインシデント情報収集サーバ30からセキュリティリスク対策サーバ10へとインシデント情報が送信される(ステップS3010)。インシデント情報は
図2にデータ構成例が示されるものであり、再度の説明は省略する。インシデント情報の送信は一定の時間間隔で行われてもよいし、所定数のレコード又は脅威度の高いインシデントのレコードが追加されたとき等の、所定のイベントの発生をトリガに行われてもよい。また、セキュリティリスク対策サーバ10からの要求に応じて送信されてもよい。
【0073】
セキュリティリスク対策サーバ10では、インシデント情報取得部11によって受信されたインシデント情報がいったん蓄積部13に保存される(ステップS10)。ここまでが
図5のフロー図のステップS1に相当する。次いでセキュリティリスク対策サーバ10では、リスクポイント管理部15によって、このインシデント情報に基づいてリスクポイントテーブルが更新される(ステップS20)。ステップS20は、
図5のフロー図のステップS2に相当する。
【0074】
リスクポイントテーブルとは、車両の様々な状態のサイバー攻撃に対するリスクの評価値(リスクポイント)をまとめたテーブルであり、蓄積部13に保持される。リスクポイントはインシデント情報が示すインシデントの実績に基づいて決定され、新たなインシデント情報が取得されると更新される。リスクポイントの更新処理については、例を用いて後述する。
【0075】
図7Aから
図7Gは、本実施の形態におけるリスクポイントテーブルの例である。
【0076】
図7Aに示すリスクポイントテーブルは、車両の状態としての車両が搭載する機器、この例ではECU及びIVIシステムの、型番及びソフトウェアのバージョン別のリスクポイントに関する。
図7Bに示すリスクポイントテーブルは、車両の状態としての車両が搭載する機器の製造者(メーカー)別のリスクポイントに関する。
図7Cに示すリスクポイントテーブルは、車両の状態としての車両が走行している地域別のリスクポイントに関する。
図7Dに示すリスクポイントテーブルは、車両の状態としての車両の車種別のリスクポイントに関する。
図7Eに示すリスクポイントテーブルは、車両の状態としての車両が搭載する車載ネットワークで使用されている通信プロトコル別のリスクポイントに関する。
図7Fに示すリスクポイントテーブルは、車両の状態としての搭載する車両機能別のリスクポイントに関する。
図7Gに示すリスクポイントテーブルは、車両の状態としての車両で有効な車両機能ごとの走行状態別のリスクポイントに関する。走行状態は、この例では2つの走行速度帯及び停止の計3つの状態に分類される。
【0077】
インシデント情報に基づいてリスクポイントが決定されることで、例えばこれらの状態別のサイバー攻撃に対する脆弱性又は攻撃者からの狙われやすさの現実の傾向が反映される。このようなリスクポイントの決定を含むリスクポイントテーブルの更新(又は作成)処理の手順について、フロー図を用いて次に説明する。
【0078】
図8は、リスクポイント管理部15による上記の各リスクポイントテーブルの更新処理の手順例を示すフロー図である。この処理は、
図5のフロー図のステップS2及び
図6のシーケンス図のステップS20に相当する。以下の説明は、
図7Aから
図7Gに示されるリスクポイントテーブルのいずれか及び
図2に示されるインシデント情報を適宜参照して理解されたい。
【0079】
リスクポイント管理部15は、リスクポイントテーブル内のポイントをいったん初期化してから(ステップS210)、リスクポイントテーブルに含まれる状態の種類を示す項目に対して順次、以下に説明するステップS211からステップS218までを実行する(
図8中、テーブル項目ループ)。状態の種類を示す項目とは、本実施の形態の例では各リスクポイントテーブルの太い縦罫線の左に配置され、
図7Aの搭載機器に関するリスクポイントテーブルでは、「ECU-a」及び「1.0.1」等である。
図7Dの車種に関するリスクポイントテーブルでは、「X」「Y」等などである。
【0080】
ステップS211では、リスクポイント管理部15は、インシデント情報の一レコードに、上記の状態の種類を示す項目に対応する情報が含まれるか否か判定する。当該レコードが対応する情報を含む場合(ステップS211でYes)、当該レコードにある脅威度に応じた所定値を、この項目のリスクポイントとして加算する(ステップS212)。脅威度に応じた所定値としては、より高い脅威度により大きな値が定められている。これにより、車両の安全な走行により深刻な影響を与えたインシデントに関与した項目には、大きな値のリスクポイントが付与される。このような脅威度に応じた所定値は、例えば蓄積部13に保持される図示しないテーブルで管理されていてもよい。
【0081】
次にリスクポイント管理部15は、当該レコードに含まれる発生日時から所定の時間が既に経過しているか否か判定する(ステップS213)。所定の時間が既に経過している場合(ステップS213でYes)、ステップS212での加算後のリスクポイントから所定値を減算する(ステップS214)。これは、ある程度以上古い脅威は、例えば車両、ECU、又は通信機器等のメーカーによって対策が実施された結果、発生当時に比べて脅威度が下がっている可能性が高いことに基づくリスクポイントの調整である。
【0082】
なお、テーブル項目ループの中でステップS211からステップS214までは、インシデント情報に含まれるレコードに対して順次実行される(
図8中、インシデント情報ループ)。つまり、例えば状態の種類を示す車種の項目「X」について、車種のフィールドに「X」を含む全レコードの脅威度に応じたリスクポイントが加算され、そのレコードのうちある程度以上古いレコードの件数に応じて、リスクポイントから所定値が減算される。なお、ステップS211でNoであったレコードについてはステップS212からS214まで、ステップS213でNoであったレコードについてはステップS214が省略される。
【0083】
次にリスクポイント管理部15は、項目に対応する情報を含むレコードの件数が所定の基準値n以上か否か判定する(ステップS215)。このレコードの件数が基準値n以上である場合(ステップS215でYes)、リスクポイント管理部15は、この項目のリスクポイントに所定値を加算する(ステップS216)。これは、多くのインシデントに関与した状態には、脆弱性等の何らかのインシデント発生の要因がある可能性が高いことに基づくリスクポイントの調整である。
【0084】
次にリスクポイント管理部15は、現在から遡る所定期間における、項目に対応する情報を含むレコードの件数が所定の基準値m以上か否か判定する(ステップS217)。このレコードの件数が基準値m以上である場合(ステップS217でYes)、リスクポイント管理部15は、この項目のリスクポイントに所定値を加算する(ステップS218)。これは、例えばこの項目に関する未知の脆弱性が攻撃者によって標的にされ始めている等の、インシデントの何らかの傾向がある可能性が高いことに基づくリスクポイントの調整である。
【0085】
ここまでのステップをリスクポイントテーブルに含まれる状態の種類を示す項目すべてについて実行することで、当該リスクポイントテーブルの更新が完了する。このようにして算出されたリスクポイントの大きさは、サイバー攻撃に対する車両の種々の状態の、セキュリティリスク対策サーバ10が取得した最新のインシデント情報に基づくリスクの高さを反映する。
【0086】
このように更新されたリスクポイントテーブルが、次の第二段階で実行される第一車両20のリスクレベルの判定に用いられる。
【0087】
[2.2 第二段階]
[2.2.1 第一車両のリスクレベル判定]
図9は、第一車両20とセキュリティリスク対策サーバ10との連携を含む手順を示すシーケンス図である。また、このシーケンス図は
図5に示される処理手順例の、第二段階に関する。
【0088】
第一車両20からセキュリティリスク対策サーバ10へと車両情報が送信される(ステップS3020)。車両情報は、第一車両20の状態に関する情報であり、以下、第一車両情報ともいう。
図10及び
図11は、それぞれこの車両情報のデータ構成の一例を示す図である。
【0089】
図10の車両情報は、第一車両20が備える部品、特に情報処理又は通信に関する機器に関する情報を含み、以下では機器リストともいう。このような内容の変更の頻度が高くない車両情報は、例えば第一車両20の各日の最初の始動時等の日次処理で、又は車載ネットワーク200上で機器構成の変更が発生した時等の特定のイベントをトリガにセキュリティリスク対策サーバ10へ送信されてもよい。ここでの機器構成の変更とは、例えば機器の追加又は削除のみならず、ソフトウェアの更新も含む。また、ここでの関連機能とは、各機器によって送受信又はその他の処理がなされる情報が、第一車両20で利用される車両機能である。別の表現をすると、各機器が故障したりサイバー攻撃を受けたりした場合に悪影響を受ける可能性がある車両機能である。
【0090】
図11のデータ構成例は、第一車両20の直近の様々な状態に関する車両情報の例である。
図11の車両情報には、走行位置及び走行状態といった変更の頻度が高い情報が含まれているため、例えば数分以下の頻度で定期的に、又は第一車両20の状態に変化が生じる度にセキュリティリスク対策サーバ10へ随時送信されてもよい。
【0091】
なお、
図10及び
図11に示した車両情報の例にそれぞれ含めた情報の項目は一例であり、これに限定されない。例えば、
図10及び
図11に示した全項目を含む一種類の車両情報として送信されてもよい。また、
図11に示される項目のうち、車種、通信プロトコル、搭載機能等の変更の頻度が比較的低い項目は、その他の変更の頻度が高い項目と別のスケジュールで第一車両20からセキュリティリスク対策サーバ10へ送信されてもよい。また、いずれの例でも、すべての項目の情報が毎回送信されるのではなくてもよい。例えば、セキュリティリスク対策サーバ10で第一車両20を識別するための車両IDと、前回の送信時から変更のあった項目の情報のみが送信されてもよい。また、これらの項目の全てが必須ではなく、又は他の項目も含まれてもよい。また、各項目により詳細な情報が含まれてもよい。例えば走行位置の項目は、
図11での市町村のような地域で表現される情報に限定されず、第一車両20が備えるGPS受信機で取得される経緯度の情報が含まれてもよい。
【0092】
セキュリティリスク対策サーバ10では、車両情報取得部12によって受信された車両情報がいったん蓄積部13に保存される(ステップS30)。ここまでが
図5のフロー図のステップS3に相当する。
【0093】
次いでセキュリティリスク対策サーバ10では、リスク判定部14が、リスクポイントテーブル及び車両情報を用いてリスクレベルを判定し、リスクレベル管理リストを作成(更新の場合を含む)する(ステップS40)。ステップS40は
図5のフロー図のステップS4に相当する。続く第二段階については後述する。
【0094】
リスクレベル管理リストとは、第一車両20が持つ車両機能ごとに判定された、サイバー攻撃に対するリスクレベル(リスクの高さ)のリストであり、蓄積部13に保持される。
図12に示される例では、リスクレベルは、上述のインシデント情報に基づくリスクポイントテーブルと車両情報とを用いて算出されるリスクスコアで表されている。以下では、このリスクレベル管理リスト及びリスクレベルの算出処理について例を用いて説明する。
【0095】
図12は、本実施の形態におけるリスクレベル管理リストのデータ構成例を示す図である。
【0096】
左端の欄は第一車両20が持つ車両機能の名称を示す。その右の欄は、各車両機能の種類を示す。さらにその右の欄は、各車両機能がセキュリティリスク対策システム1において制限される場合の、その制限の詳細な内容である。また、さらにその右の欄は、各車両機能がセキュリティリスク対策システム1において無効化される場合の詳細な内容である。ここまでの各欄の内容は基本的に変更されない。ただし、第一車両20の車両機能に増減があれば、その車両機能に関する行がリストに追加又はリストから削除される。また、セキュリティリスク対策システム1で第一車両20の車両機能の制限又は無効化に関する運用ルールに変更が生じた場合には、各欄の内容は変更され得る。
【0097】
リスク判定部14によって判定された各車両機能のリスクレベルは、この例では右端の欄に入力されているリスクスコアで表されている。この欄に入力されるリスクスコアの算出の処理の手順について、フロー図を用いて次に説明する。
【0098】
図13は、リスク判定部14によるリスクスコアの算出処理の手順例を示すフロー図である。この処理は
図5のフロー図のステップS4及び
図9のシーケンス図のステップS40に相当する。以下の説明は、
図7Aから
図7Gに示されるリスクポイントテーブル、
図10及び
図11の車両情報、並びに
図12に示されるリスクレベル管理リストを適宜参照して理解されたい。また、以下の説明では、
図11に示される車両情報を取得したセキュリティリスク対策サーバ10のリスク判定部14が、この車両情報の走行状態の欄にある「自動運転」の車両機能についてのリスクスコアを算出する場合を例に用いる。
【0099】
リスク判定部14は、リスクレベル管理リスト内のリスクスコアをいったん初期化する(ステップS410)。次いでリスク判定部14は、蓄積部13に保存されている車両情報である
図10の機器リストを読み込むと(ステップS411)、ステップS412からステップS414までを、機器リストに型番が挙げられている機器に対して順次実行する(
図12中、機器ループ)。
【0100】
ステップS412では、リスク判定部14は、車両機能が機器と関連するか否か判定する。この判定は、
図10に示す機器リストの関連機能の情報が基づいて行われる。車両機能「自動運転」についてのリスクスコアが算出されるこの例では、型番「ECU-a」に対するステップS412で、車両機能がこの機器と関連すると判定される(ステップS412でYes)。
【0101】
ステップS412でYesの場合、リスク判定部14は、この機器のリスクポイントを算出する(ステップS413)。
図14Aは、第一車両20が備える各機器のリスクポイントの算出処理の手順例である。
【0102】
リスク判定部14は、第一車両20が備える機器のリスクポイントをいったん初期化してから、リスクポイントの算出対象である機器の型番及び当該機器のソフトウェアバージョンを機器リストから読み出す(ステップS4130、S4131、S4132)。
【0103】
次にリスク判定部14は、
図7Aに示す機器のリスクポイントテーブルを参照して、ステップS4131及びS4132でそれぞれ読み出した型番及びソフトウェアバージョンに対応するリスクポイントを読み取る(ステップS4133)。この例で
図10に示す機器リストの先頭にある型番「ECU-a」及びソフトウェアバージョン「1.0.2」を読み出したリスク判定部14は、
図7Aのリスクポイントテーブルからリスクポイント「2」を読み取る。ステップS4133で読み取られたリスクポイントは、当該機器のリスクポイントに加算される(ステップS4134)。
【0104】
次にリスク判定部14は、当該機器の製造者を読み出し(ステップS4135)、読み出した製造者に対応するリスクポイントを、
図7Bに示す機器の製造者のリスクポイントテーブルを参照して読み取る(ステップS4136)。この例で
図10に示す機器リストの先頭にある製造者「A社」を読み出したリスク判定部14は、ステップS4136でリスクポイントテーブルからリスクポイント「1」を読み取る。ステップS4136で読み取られたリスクポイントは、当該機器のリスクポイントに加算される(ステップS4137)。つまりこの例では、ステップS4137の後の当該機器のリスクポイントは2+1=3である。リスク判定部14は、このリスクポイントを当該機器のリスクポイントとして出力して(ステップS4138)、当該機器についてのリスクポイントの算出を終了する。
【0105】
ステップS4138で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では「自動運転」のリスクスコアに加算される(ステップS414)。ステップS414の実行後、又はステップS412でNoの場合、リスク判定部14の処理は
図13のフロー図のステップS412に戻って、車両機能「自動運転」が、
図10の機器リストにおける次の機器と関連するかの判定に移る。以降、リスク判定部14は、機器ループを機器リストに含まれる全ての機器について実行する。
【0106】
このようにして算出される第一車両20が備える機器のリスクポイントの大きさには、第一車両20以外の車両で発生したものも含むサイバー攻撃のインシデント情報に基づく車載機器のリスクの高さが反映されている。
【0107】
ステップS415からは、リスク判定部14は
図11に示す車両情報を用いて、機器以外の第一車両20の状態について、サイバー攻撃に対するリスクの大きさを判定する。
【0108】
ステップS415では、第一車両20の状態としての走行位置についてのリスクの大きさを示すリスクポイントが算出される。
図14Bは、第一車両20の走行位置のリスクポイントの算出処理の手順例である。
【0109】
リスク判定部14は、走行位置のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両20の走行位置を
図11の車両情報から読み出す(ステップS4150、S4151)。
【0110】
次にリスク判定部14は、
図7Cに示す走行位置のリスクポイントテーブルを参照して、ステップS4151で読み出した走行位置に対応するリスクポイントを読み取る(ステップS4152)。この例で
図11に示す車両情報にある走行位置「東京都〇〇区」を読み出したリスク判定部14は、
図7Cのリスクポイントテーブルからリスクポイント「2」を読み取る。ステップS4152で読み取られたリスクポイントは、ステップS4150で初期化されていた走行位置のリスクポイントに加算され、出力される(ステップS4153、S4154)。以上で走行位置についてのリスクポイントの算出は終了する。
【0111】
ステップS4154で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップS414後の「自動運転」のリスクスコアに加算される(ステップS416)。
【0112】
続くステップS417では、第一車両20の状態としての車種についてのリスクの大きさを示すリスクポイントが算出される。
図14Cは、第一車両20の車種のリスクポイントの算出処理の手順例である。
【0113】
リスク判定部14は、車種のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両20の車種を
図11の車両情報から読み出す(ステップS4170、S4171)。
【0114】
次にリスク判定部14は、
図7Dに示す車種のリスクポイントテーブルを参照して、ステップS4171で読み出した車種に対応するリスクポイントを読み取る(ステップS4172)。この例で
図11に示す車両情報にある車種「X」を読み出したリスク判定部14は、
図7Dのリスクポイントテーブルからリスクポイント「1」を読み取る。ステップS4172で読み取られたリスクポイントは、ステップS4170で初期化されていた車種のリスクポイントに加算され、出力される(ステップS4173、S4174)。以上で車種についてのリスクポイントの算出は終了する。
【0115】
ステップS4174で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップS416後の「自動運転」のリスクスコアに加算される(ステップS418)。
【0116】
続くステップS419では、第一車両20の状態としての使用されている通信プロトコルについてのリスクの大きさを示すリスクポイントが算出される。
図14Dは、第一車両20で使用されている通信プロトコルのリスクポイントの算出処理の手順例である。
【0117】
リスク判定部14は、通信プロトコルのリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両20で使用されている通信プロトコルを
図11の車両情報から読み出す(ステップS4190、S4191)。
【0118】
次にリスク判定部14は、
図7Eに示す侵入経路のリスクポイントテーブルを参照して、ステップS4191で読み出した通信プロトコルに対応するリスクポイントを読み取る(ステップS4192)。この例で
図11に示す車両情報にある通信プロトコル「CAN」、「FlexRay」及び「MOST」を読み出したリスク判定部14は、
図7Eのリスクポイントテーブルから、各通信プロトコルに対応付けられているリスクポイント「8」、「1」、「2」を読み取る。ステップS4192で読み取られたリスクポイントは、ステップS4170で初期化されていた通信プロトコルのリスクポイントに加算され、出力される(ステップS4193、S4194)。以上で通信プロトコルについてのリスクポイントの算出は終了する。
【0119】
ステップS4194で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップS418後の「自動運転」のリスクスコアに加算される(ステップS420)。
【0120】
続くステップS421では、第一車両20の状態としての搭載される車両機能(各図では搭載機能と表記)についてのリスクの大きさを示すリスクポイントが算出される。
図14Eは、第一車両20が搭載する車両機能のリスクポイントの算出処理の手順例である。
【0121】
リスク判定部14は、搭載される車両機能のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両20が搭載する車両機能を
図11の車両情報から読み出す(ステップS4210、S4211)。
【0122】
次にリスク判定部14は、
図7Fに示す搭載される車両機能のリスクポイントテーブルを参照して、ステップS4211で読み出した搭載される車両機能に対応するリスクポイントを読み取る(ステップS4212)。この例で
図11に示す車両情報にある搭載される車両機能「運転支援」、「自動運転」及び「Wi-Fi」を読み出したリスク判定部14は、
図7Fのリスクポイントテーブルから、各機能名に対応付けられているリスクポイント「20」、「5」、「10」を読み取る。ステップS4212で読み取られたリスクポイントは、ステップS4210で初期化されていた搭載される車両機能のリスクポイントに加算され、出力される(ステップS4213、S4214)。以上で搭載される車両機能についてのリスクポイントの算出は終了する。
【0123】
ステップS4214で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップS420後の「自動運転」のリスクスコアに加算される(ステップS422)。
【0124】
続くステップS423では、第一車両20の状態としての走行状態についてのリスクの大きさを示すリスクポイントが算出される。
図14Fは、第一車両20の走行状態のリスクポイントの算出処理の手順例である。
【0125】
リスク判定部14は、走行状態のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両20の走行状態を
図11の車両情報から読み出す(ステップS4230、S4231)。
【0126】
次にリスク判定部14は、
図7Gに示す走行状態のリスクポイントテーブルを参照して、ステップS4231で読み出した走行状態に対応するリスクポイントを読み取る(ステップS4232)。この例で
図11に示す車両情報に走行状態「自動運転」及び「停止」を読み出したリスク判定部14は、
図7Gのリスクポイントテーブルから、機能名「自動運転」下の「停止」に対応付けられているリスクポイント「3」を読み取る。ステップS4232で読み取られたリスクポイントは、ステップS4230で初期化されていた走行状態のリスクポイントに加算され、出力される(ステップS4233、S4234)。以上で走行状態についてのリスクポイントの算出は終了する。
【0127】
ステップS4234で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップS422後の「自動運転」のリスクスコアに加算される(ステップS424)。
【0128】
ここまでの手順で、第一車両20の状態に関する各種の項目(自動運転に関連する機器、走行位置、車種、通信プロトコル、搭載機能、走行状態)についてのリスクポイントが算出され、その合計が自動運転のリスクスコアとして算出される。リスク判定部14は、このように算出したリスクスコアを、
図12に示すリスクレベル管理リストにおける自動運転のリスクスコアの欄にいったん書き込む(ステップS425)。これによりリスクレベル管理リストが作成される。
【0129】
このように、セキュリティリスク対策サーバ10は、目下のセキュリティリスク対策の実行対象である第一車両以外の車両を含む多数の車両から集められた、その発生時の各車両の状態と、実際に発生したサイバー攻撃の脅威度とを示すインシデント情報を取得する。そしてこのインシデント情報に基づいて、サイバー攻撃の発生時の車両の様々な状態別のリスクポイントを、発生件数、発生時期、脅威度等に応じて数値化して取得する。
【0130】
さらに、セキュリティリスク対策サーバ10では、第一車両から取得される車両情報が示す当該車両の状態のうち、上記のインシデント情報が示すサイバー攻撃の発生時の車両の状態との一致するものについてのリスクポイントが積算されてリスクスコアとして算出される。つまり、車両情報が示す第一車両の状態とインシデント情報が示す状態との一致度が高いほどリスクスコアは高くなる。また、第一車両の状態が、より最近の、より高頻度な、又はより脅威度の高いサイバー攻撃が発生した時の車両の状態と一致すれば、リスクスコアはより高くなる。
【0131】
このようなリンクスコアは、車両情報が示す状態にある第一車両がサイバー攻撃を受ける可能性の高さ(リスクレベル)を示すものである。また、リスクポイントの数値化には、セキュリティリスク対策サーバ10が取得した最新のインシデント情報が用いられ、例えば第一車両では未発生のサイバー攻撃の事例又はさらにその傾向も反映され得る。したがって、車両単体にとっては既知のサイバー攻撃のみならず、未知のものについてもリスクレベルを示すものである。
【0132】
次に、このようなリスクスコアを用いた第一車両でのリスク制御の処理について説明する。
【0133】
[2.2.2 リスクレベルに応じたリスク制御(機能制限まで)]
図15は、セキュリティリスク対策サーバ10において実行される、リスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図であり、
図5に示される処理手順例の第二段階の一部に関する。
【0134】
まずリスク判定部14によって、リスクレベル管理リストに含まれる、現在有効な車両機能についてのリスクスコアが読み取られる(ステップS500)。このステップは、
図5のフロー図のステップS5及び
図9のシーケンス図のステップS50に相当する。
【0135】
以下のステップでは、このリスクスコアと、リスクスコアに関する2つの閾値(第一閾値、第二閾値)とを用いて、この有効な車両機能の制限(無効化を含む)を実行するか否かについて判断される。第一閾値は、車両機能を制限するか否かの判断のためのリスクレベルを示す基準である。第二閾値は第一閾値よりも大きいリスクスコアの値であり、車両機能を無効化するか否かの判断のためのより高いリスクレベルを示す基準である。第一閾値は、本実施の形態における第一基準の例であり、第二閾値は第二基準の例である。
【0136】
リスク判定部14は、ステップS500で読み取ったリスクスコアが第二閾値以上であるか判定する(ステップS600)。リスクスコアが第二閾値未満である場合(ステップS600でNo)、リスク判定部14はさらにこのリスクスコアが第一閾値以上であるか判定する(ステップS601)。ステップS600及びステップS601は、
図5のフロー図のステップS6及び
図9のシーケンス図のステップS60に相当する。
【0137】
リスクスコアが第一閾値未満の場合(ステップS601でNo)、車両機能は制限も無効化もされないでリスク制御の処理がいったん終了する。
【0138】
リスクスコアが第二閾値以上の場合(ステップS600でYes)、リスク判定部14は、リスク対策指示生成部16に当該車両機能に対する無効化の指示(以下、機能無効化指示ともいう)を生成させる。リスク対策指示生成部16は、リスクレベル管理リストでリスク制御対象の車両機能の「無効化」欄の内容に従って、機能無効化指示を生成する(ステップS610)。生成された機能無効化指示は、指示出力部17から出力され(ステップS620)、第一車両20に送信される。
【0139】
リスクスコアが第二閾値未満かつ第一閾値以上の場合(ステップS601でYes)、リスク判定部14は、リスク対策指示生成部16に当該車両機能に対する制限の指示(以下、機能制限指示ともいう)を生成させる。リスク対策指示生成部16は、リスクレベル管理リストでリスク制御対象の車両機能の「制限」欄の内容に従って、機能制限指示を生成する(ステップS611)。
【0140】
生成された機能制限指示は指示出力部17から出力され(ステップS620)、第一車両20に送信される。ステップS610及びステップS611は、
図9のシーケンス図のステップS61に相当する。また、ステップS620は、
図9のシーケンス図のステップS62に相当する。
【0141】
このように、
図15のフロー図に手順例が示される処理によって、第一段階で算出されたリスクスコア、つまりリスクレベルに応じた車両機能の制限が実行される。有効である車両機能のサイバー攻撃を受ける可能性がある程度以上に高い場合には、この車両機能を制限することで、車載ネットワークへの攻撃者による侵入、不正データの送出又は送出されても悪影響の発生若しくは拡大を抑えることができる。
【0142】
[2.2.3 リスクレベルに応じたリスク制御(リスクレベルの再判定を含む)]
ここまで、第一車両20の車両機能を、第一車両20の状態に応じて制限するか否かの判定までの処理手順を説明した。以下では、第一車両20の状態に変化があった場合に、車両機能への制限に変化を加える処理手順について例を用いて説明する。これにより、第一車両20の状態の変化に追従性の高いリスク対策が可能になる。
【0143】
なお、上述のとおり、
図11に示される車両情報のうち、走行位置及び走行状態は比較的頻繁に変わり得る。走行位置又は走行状態が変化した場合、セキュリティリスク対策サーバ10では、これらの点のみについてのリスクスコアの修正(リスクレベルの再判定)がなされてもよい。これにより、セキュリティリスク対策サーバ10の負荷増大、及びリスクレベル判定実行周期の長期化を抑え、第一車両20の状態の変化に追従性の高いリスク対策が可能になる。以下では、走行位置に変化があった場合、走行状態に変化があった場合の二つの例を用いて車両機能への制限に変化を加える処理手順について説明する。
【0144】
図16A及び
図16Bは、それぞれ第一車両20とセキュリティリスク対策サーバ10との連携を含む手順を示すシーケンス図である。また、各シーケンス図が示すのは、
図9のシーケンス図が示す手順の変形であり、共通の手順は共通の参照符号で示される。以下、各図が示す手順と
図9が示す手順との差異を中心に説明する。
【0145】
図16Aの手順では、第一車両20から送信されるのは
図10及び
図11に示される第一車両情報に代えて、走行位置変化通知である点が
図9のシーケンス図が示す手順と異なる。走行位置変化通知は、例えば第一車両20が地域間の境界を越えた時にセキュリティリスク対策サーバ10に送信され、新たな現在の走行位置を示す通知である。なお、この通知は、
図11に示される車両情報の一部である、車両ID及び走行位置の項目のみが送信されることで行われてもよい。この通知を受けたセキュリティリスク対策サーバ10では、走行位置変化通知が蓄積部13に保存された後(ステップS30A)、リスク判定部14が、
図13に示すフロー図の手順ではステップS415、S416及びS425のみを行い(ステップS40A)、引き続いて第二段階の処理を実行する。
【0146】
図16Bの手順では、第一車両20から送信されるのが
図10及び
図11に示される第一車両情報に代えて、走行状態変化通知である点が
図9のシーケンス図が示す手順と異なる。走行状態変化通知は、例えば第一車両20の走行状態が低速走行から所定の速度以上である高速走行に移行した場合にセキュリティリスク対策サーバ10に送信される、新たな現在の走行速度帯を示す通知である。なお、この通知は、
図11に示される車両情報の一部である、車両ID及び走行状態の項目のみが送信されることで行われてもよい。この通知を受けたセキュリティリスク対策サーバ10では、走行状態変化通知が蓄積部13に保存された後(ステップS30B)、リスク判定部14が、
図13に示すフロー図の手順ではステップS423からS425のみを行い(ステップS40B)、引き続いて第二段階の処理を実行する。
【0147】
[2.2.4 リスクレベルに応じたリスク制御(機能制限解除)]
ここまでの説明では、リスクレベルに応じて有効である車両機能に制限が加えられる例を挙げたが、本実施の形態に係るセキュリティリスク対策サーバ10を含むセキュリティリスク対策システム1では、リスクレベルが第一基準よりも低下したとの判定がされたことに応じて車両機能の制限の解除処理が実行されてもよい。これにより、第一車両20のドライバーは、リスクレベルが高まったためにいったんは制限された、情報処理を伴う高度な機能の利益を再び受けることができる。以下、この車両機能の制限の解除処理について説明する。
【0148】
図17は、セキュリティリスク対策サーバ10において実行される、リスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図であり、
図5に示される処理手順例の第二段階の一部に関する。この手順が実行されるのは、例えば
図15のフロー図に手順例が示される処理によってリスク対策指示がいったん出力されたより後に、第一車両20からの新しい第一車両情報が受信され、リスクレベル管理リストが再作成(更新)された場合であり、
図5のフロー図でいえば、2回目以降のリスク制御ループで実行され得る。また、この手順は、第一車両20から上述の走行位置変化通知又は走行状態変化通知が受信された時、又はリスクポイントテーブルが更新された場合に実行されてもよい。
【0149】
リスク判定部14は、リスクレベル管理リストからあらためて読み取ったリスクスコアが第一閾値未満か否か判定する(ステップS700)。リスクスコアが第一閾値未満の場合(ステップS700でYes)、リスク判定部14は、機能無効化指示が未発行か否か判定する(ステップS701)。機能無効化指示が未発行である場合(ステップS701でYes)、リスク判定部14は、当該車両機能に対する機能制限の解除の指示(以下、機能制限解除指示ともいう)を機能制限解除指示生成部18に生成させる。機能制限解除指示生成部18は機能制限解除指示を生成し(ステップS710)、生成された機能制限解除指示は、指示出力部17から出力され(ステップS720)、第一車両20に送信される。ステップS700及びステップS701は、
図5のフロー図のステップS7に相当する。
【0150】
リスクスコアが第一閾値以上の場合(ステップS700でNo)、又は機能無効化指示が発行済みである場合(ステップS701でNo)、機能制限には変更が加えられることなくこの処理は終了する。
【0151】
なお、上記の処理手順例では、車両機能が無効化されている場合には機能制限は解除されない。これは、車両機能が無効化されるのは、リスクレベルが非常に高い場合であることを考慮して、第一車両20をサイバー攻撃からより確実に守るための措置である。車両機能の無効化は、例えば第一車両20の車両メーカー又はSOCによって安全が確認された後に解除されてもよい。
【0152】
また、車両機能の制限の解除処理は、上述した走行位置又は走行状態が変化した場合のリスクスコアの再算出の後に実行されてもよい。
図18Aは、リスクスコアの再算出の後に実行される車両機能の制限の解除処理の手順例を示すフロー図である。
【0153】
この手順例では、セキュリティリスク対策サーバ10において走行位置変化通知が取得され(ステップS300A)、蓄積部13に保存された後、リスク判定部14が、走行位置に関するリスクスコアの再算出(
図13に示すフロー図の手順ではステップS415及びS416に相当)を実行し(ステップS400A)、リスクレベル管理リストに書き込む。リスク判定部14は、再算出したリスクスコアをリスクレベル管理リストからあらためて読み取り、以降は、
図17に示した処理手順と共通である。
【0154】
また、走行状態に変化があった場合も、走行位置に変化があった場合と同様の処理手順が実行されてもよい(
図18B参照)。
図18Bに示す処理手順の
図18Aに示す処理手順との差異は、セキュリティリスク対策サーバ10において取得されるのが走行状態変化通知である点(ステップS300B)、及びリスク判定部14が走行状態に関するリスクスコアを再算出するステップが、
図13に示すフロー図の手順ではステップS423及びS424に相当する点である。
【0155】
なお、車両の通信関連機能については、走行状態が停止に変化した場合には、速やかに機能制限が解除されることで、第一車両20からSOC等への通報が迅速に行える、又はSOC等からセキュリティパッチを取得できる等の利点がある。また、第一車両20がサイバー攻撃の影響で停止状態から危険な動作に移行する可能性が低いことからも、通信関連機能の機能制限の解除による危険性は小さい。このような考えに基づく、走行状態の停止への変化時の通信関連機能の機能制限の解除の処理手順例を
図18Cに示す。
【0156】
この例では、セキュリティリスク対策サーバ10において走行状態変化通知が取得され(ステップS300B)、蓄積部13に保存された後、リスク判定部14は、
図18Aに示すようなリスクスコアの再算出を実行するのではなく、走行状態が停止に変化したか否か判定する(ステップS700C)。走行状態が停止に変化した場合(ステップS700CでYes)、リスク判定部14は、機能無効化指示が未発行か否か判定する(ステップS701)。機能無効化指示が未発行である場合(ステップS701でYes)、リスク判定部14は、通信関連機能に対する機能制限解除指示を機能制限解除指示生成部18に生成させる。機能制限解除指示生成部18は、通信関連機能に対する機能制限解除指示を生成し(ステップS710C)、生成された通信関連機能に対する機能制限解除指示は、指示出力部17から出力され(ステップS720C)、第一車両20に送信される。
【0157】
走行状態が停止以外に変化した場合(ステップS700CでNo)又は機能無効化指示が発行済みである場合(ステップS701でNo)、通信関連機能に対する機能制限には変更が加えられることなくこの処理は終了する。
【0158】
セキュリティリスク対策システム1では、ここまでに説明した第二段階が繰り返し実行される(
図5中、リスク制御ループ)。これにより、セキュリティリスク対策の実行対象である第一車両20に、その車両状態に応じて変化する車両機能のリスクレベルに適したセキュリティリスク対策を持続的に適用することができる。
【0159】
(実施の形態2)
実施の形態2に係る情報処理装置を含むセキュリティリスク対策システムでは、目下のセキュリティリスク対策の実行対象の車両である第一車両が持つ車両機能のリスクレベルの判定に、多数の車両を対象に集められたサイバー攻撃のインシデント情報を用いる点は実施の形態1と共通である。
【0160】
一方、実施の形態2では、このリスクレベルの判定に、インシデント情報とあわせて、第一車両以外の車両(以下、第二車両ともいう)の車両情報が用いられる点が実施の形態1と異なる。以下、この実施の形態1との差異点を中心に本実施の形態を説明する。なお、実施の形態1との共通点については、説明を簡略化又は省略する。
【0161】
ここでの第二車両とは、例えば第一車両と通信し得る車両である。より具体的には、例えば第一車両の近隣にあって、第一車両と直接の通信が可能な車両である。また例えば、それぞれが接続する中継局、路側機、又は他の車両等に仲介されて第一車両との通信が確立し得る車両である。通信相手である第二車両のサイバー攻撃に対するリスクレベルが高い場合、第二車両との情報の授受をする第一車両のリスクレベルも上がる。別の例として、第二車両は、第一車両と同じECUであって所定の大きさ以上のリスクポイントのECU(以下、リスクECUともいう)を搭載している車両、同一車種の車両、又は共通の車両機能を持つ車両であってもよい。このような第二車両のサイバー攻撃に対するリスクレベルが高い場合、第一車両も共通の脆弱性を有する可能性が高いため、同様にサイバー攻撃に対するリスクレベルが高い。また別の例として、第二車両は、第一車両との通信の有無にかかわらず第一車両の近くを走行する車両であってもよい。第二車両が地域的なサイバー攻撃を受けている場合、近くを走行する第一車両も同様にサイバー攻撃ににさらされる可能性ががあり、リスクレベルが高い。したがって、このように第一車両以外のリスクレベルに応じて第一車両の車両機能を制限することも、第一車両のセキュリティリスク対策として有効である。
【0162】
[1.構成]
図19は、本実施の形態に係る情報処理装置を含むセキュリティリスク対策システム1Aの構成例の概要を示す図である。
【0163】
図1に示される構成例では、セキュリティリスク対策サーバ10Aと、第一車両である車両20A、インシデント情報収集サーバ30とがインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。また、第一車両20Aとは別の第二車両20Bも、セキュリティリスク対策サーバ10A及びインシデント情報収集サーバ30とインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。
【0164】
インシデント情報収集サーバ30については、実施の形態1と共通の構成でよいため詳細な説明は省略する。また、インシデント情報収集サーバ30からセキュリティリスク対策サーバ10Aに提供されるインシデント情報の構成も実施の形態1と共通でよいため詳細な説明は省略する。
【0165】
また、第一車両20A及び第二車両20Bについても、各々が備える車載ネットワーク200A及び200Bの構成は、
図3を用いて説明した、実施の形態1における第一車両20の車載ネットワーク200の構成と共通でよく、詳細な説明は省略する。
【0166】
セキュリティリスク対策サーバ10Aは、実施の形態1のセキュリティリスク対策サーバ10と基本的な構成は共通である。セキュリティリスク対策サーバ10Aもまた、プロセッサ及びメモリを含む1台又は複数台の情報処理装置で構成され、本実施の形態における本発明の情報処理装置の例である。セキュリティリスク対策サーバ10Aのセキュリティリスク対策サーバ10との差異点は、上述のとおり、インシデント情報収集サーバ30から取得するインシデント情報と、第二車両20Bから取得した第二車両の状態に関する情報とを用いて、第一車両20Aが持つ車両機能のサイバー攻撃に関するリスクレベルを判定するという第二段階の処理にある。なお、この処理は、実施の形態1における、セキュリティリスク対策の実行対象の車両20から取得された第一車両情報を用いた処理と合わせての実行が可能であり、処理を実行する各構成要素は、セキュリティリスク対策サーバ10の構成要素と共通でよいため、詳細な説明は省略する。
【0167】
[2.動作]
次に、セキュリティリスク対策システム1Aで実行されるセキュリティリスク対策の処理の動作について、実施の形態1との差異点を中心に説明する。
【0168】
図20は、セキュリティリスク対策サーバ10で実行されるこの処理の手順例を示すフロー図である。
【0169】
インシデント情報収集サーバ30からのインシデント情報の取得(ステップS21)から蓄積、及び取得されたインシデント情報に基づく、リスクポイント管理部15によるリスクポイントテーブルの更新(ステップS22)の処理手順は
図5に示される実施の形態1と共通でよく、説明を省略する。以下の手順については、実施の形態1との比較のため、
図9のシーケンス図に対応する
図21のシーケンス図も参照しながら説明する。
図21のシーケンス図を参照すると、セキュリティリスク対策の実行対象である第一車両20A以外の車両である第二車両20Bが第一車両20Aのセキュリティリスク対策の処理に関与している。
【0170】
次にセキュリティリスク対策システム1Aでは、第二車両20Bから送信された第二車両20Bの状態に関する情報(以下、第二車両情報ともいう)が、車両情報取得部12によっていったん蓄積部13に保存される(
図20のステップS23、
図21のステップS22030、S230)。
【0171】
次いでセキュリティリスク対策システム1Aでは、リスク判定部14が、リスクポイントテーブル及び第二車両情報を用いて第二車両のリスクレベルを判定し、リスクレベル管理リストを作成(更新の場合を含む)する(
図20のステップS24、
図21のステップS240)。第二車両のリスクレベルの判定及びリスクレベル管理リストの作成の処理手順については、実施の形態1について
図10から
図14Fを用いて説明した第一車両20の場合の処理手順と共通でよいため、ここでは説明を省略する。
【0172】
第二車両20Bのリスクスコアをいったんリスクレベル管理リストに書き込んだリスク判定部14は、次にこのリスクスコアを読み取り(
図20のステップS25、
図21のステップS250)第一車両20Aのリスク制御処理、つまり有効な車両機能の機能制限(無効化の場合を含む)の要否についての判定(
図20のステップS26)に用いる。
【0173】
図22は、セキュリティリスク対策サーバ10Aにおいて実行される、第二車両20Bのリスクスコアを用いた第一車両20Aのリスク制御処理の手順例を示すフロー図である。
【0174】
本実施の形態における第一車両20Aのリスク制御処理の基本的な流れは、
図15を用いて説明した実施の形態1でのリスク制御処理と共通でよい。図中の第一閾値、第二閾値、機能無効化指示、機能制限指示、及びリスク対策指示については、実施の形態1と共通でよいため、説明を省略する。
【0175】
リスク判定部14は、リスクレベル管理リストから第二車両20Bのリスクスコアを読み取ると(ステップS2500)、このリスクスコアが第二閾値以上であるか判定する(ステップS2600)。第二車両20Bのリスクスコアが第二閾値未満である場合(ステップS2600でNo)、リスク判定部14はさらにこのリスクスコアが第一閾値以上であるか判定する(ステップS2601)。ステップS2600及びステップS2601は、
図20のフロー図のステップS26及び
図21のシーケンス図のステップS260に相当する。
【0176】
第二車両20Bのリスクスコアが第一閾値未満の場合(ステップS2601でNo)、第一車両20Aの車両機能は制限も無効化もされないでリスク制御の処理が終了する。
【0177】
第二車両20Bのリスクスコアが第二閾値以上の場合(ステップS2600でYes)、リスク判定部14は、リスク対策指示生成部16に第一車両20Aの車両機能に対する機能無効化指示を生成させる。リスク対策指示生成部16は、リスクレベル管理リスト(
図12)でリスク制御対象の車両機能の「無効化」欄の内容に従って、機能無効化指示を生成する(ステップS2610)。生成された機能無効化指示は、指示出力部17から出力され(ステップS2620)、第一車両20Aに送信される。
【0178】
第二車両20Bのリスクスコアが第二閾値未満かつ第一閾値以上の場合(ステップS2601でYes)、リスク判定部14は、リスク対策指示生成部16に機能制限指示を生成させる。リスク対策指示生成部16は、リスクレベル管理リストでリスク制御対象の車両機能の「制限」欄の内容に従って、機能制限指示を生成する(ステップS2611)。生成された機能制限指示は、指示出力部17から出力され(ステップS2620)、第一車両20Aに送信される。ステップS2610及びステップS2611は、
図21のシーケンス図のステップS261に相当する。また、ステップS2620は、
図21のシーケンス図のステップS262に相当する。
【0179】
このように、
図15にフロー図に手順例が示される処理によって、第二車両20Bのリスクスコア、つまりリスクレベルに応じて第一車両20Aの車両機能の制限が実行される。これにより、例えば第二車両20Bが第一車両20Aと通信が可能であり、かつサイバー攻撃に対する脆弱性があってリスクレベルが高い場合にも、第一車両20Aの車両機能に、第二車両20Bで発生するインシデントの影響が通信を介して及ぶことを防ぐことができる。
【0180】
なお、第一車両20Aにとっての第二車両20Bの選定は、
図21のシーケンス図におけるステップS26の手前までに、例えばリスク判定部14又はリスク対策指示生成部16によって随時行われ得る。例えば、ステップS24まではセキュリティリスク対策システム1Aによる監視対象の全ての車両に対して実行される。そしてリスク判定部14は、監視対象の一台である第一車両20Aの車両情報に含まれる走行位置の情報と、第一車両20A以外の監視対象の車両の車両情報に含まれる走行位置の情報とを用いて第一車両20Aと所定の近さ(所定の距離以下)にある車両を第二車両20Bとして選択してステップS20B以降を実行してもよい。または、第一車両20Aと所定の近さ(所定の距離以下)にあって第一車両20Aと通信し得る機能を備える車両を第二車両20Bとして選択してもよい。または、車両情報の機器リスト(
図10)を参照して、第一車両20Aと共通の機器を備える車両を第二車両20Bとして選択してもよい。または、セキュリティリスク対策システム1Aによる監視対象の全ての車両に対して、
図5に示す実施の形態1のセキュリティリスク対策の処理を実行した上で、何らかの機能制限が適用された車両がまず第二車両20Bとして選定され、上述のように走行位置、備える機能又は機器等に基づいて第一車両20Aが選定されてもよい。
【0181】
また、第二車両20Bのリスクスコアと比較された第一閾値及び第二閾値は、実施の形態1では第一車両20で用いられた第一閾値及び第二閾値と共通であってもよいし、これらと異なるリスクレベルを示す基準であってもよい。第二車両20Bで用いられる第一閾値が示す基準(第三基準)と第二閾値が示す基準(第四基準)との間で、第四基準が第三基準より高いものであればよい。
【0182】
また、第二車両20Bのリスクスコアが第二閾値未満かつ第一閾値以上の場合に第一車両20Aに適用される制限は、第一車両20Aが自車のリスクスコアが第二閾値未満かつ第一閾値以上の場合に適用される制限と異なるものであってもよい。例えば、これらの制限は、リスクレベル管理リストに2列の「制限」欄があり、各欄に分けて規定されていてもよい。
【0183】
また、第一車両20Aで制限又は無効化される車両機能は、第二車両20Bでリスクスコアが第一閾値又は第二閾値を超える車両機能に対応する第一車両20Aの車両機能である。ここでの第二車両20Bの車両機能に対応する第一車両20Aの車両機能とは、例えばリスクスコアが各閾値を超える第二車両20Bの車両機能と同じ車両機能である。またさらに、第一車両20Aにおいて制限又は無効化される車両機能を提供するECUが提供する他の車両機能も、この対応する車両機能に含まれてもよい。別の例として、対応する車両機能は、第一車両20Aで提供する機能は異なっていても、第二車両20Bでリスクスコアが第一閾値又は第二閾値を超える車両機能を提供しているECUと、製造元が同じECUもしくは同型のECUが提供する車両機能であってもよい。このような対応する車両機能は、機器リストを参照して把握される。
【0184】
また、本実施の形態における第二車両20Bのリスクレベルに応じた第一車両20Aのリスク制御としても、実施の形態1と同様に機能制限の解除が実行されてもよい。
図23は第二車両20Bのリスクスコアの再算出の後に実行される車両機能の制限の解除処理の手順例を示すフロー図である。
【0185】
この手順例では、まず、リスク判定部14によって、第二車両20Bの走行状態について変化の有無が判定される(ステップS2300)。第二車両20Bの走行状態に変化があった場合(ステップS2300でYes)、リスク判定部14は、第二車両20Bの走行状態に関するリスクスコアの再算出(
図13に示すフロー図の手順ではステップS423及びS424に相当)を実行し(ステップS2400)、リスクレベル管理リストに書き込む。次にリスク判定部14は、再算出した第二車両20Bのリスクスコアをリスクレベル管理リストからあらためて読み取り、以降は、このリスクスコアを用いて
図17に示した処理手順と共通の手順を実行する。ステップS2700、S2701、S2710及びS2720は、
図17に示す実施の形態1におけるステップS700、S701、S710及びS720に相当する。ステップS2701で機能無効化指示の発行についての判定が行われるのは、実施の形態1において車両機能が無効化されている場合には機能制限は解除されないのと同じ理由による。
【0186】
また、本実施の形態においては、第二車両20Bとの通信の確立の可否に応じて、第一車両20Aの車両機能が第二車両20Bで発生するインシデントの影響を受ける可能性も変わる。つまり、通信の確立が不可能であれば、第二車両20Bで発生するインシデントの影響が通信を介して第一車両20Aの車両機能に及ぶ可能性がない。したがって、例えば第一車両20Aとリスクレベルの高い第二車両20Bとの間の距離が、車車間の通信の確立が可能な距離であるか否かに応じて第一車両20Aの車両機能を制限するか否かが決定されてもよい。
図24Aは、この態様での第一車両20Aの車両機能に対する機能制限処理の手順例を示すフロー図である。また、
図24Bは、
図24Aに示す手順例で第一車両20Aの車両機能に対する機能制限指示が出力された後の、第一車両20Aの車両機能に対する機能制限解除処理の手順例を示すフロー図である。
【0187】
図24Aに示す手順例では、リスク判定部14は、リスクレベル管理リストから読み取った第二車両20Bのリスクスコアが第一閾値以上であるか否か判定する(ステップS2601A)。第二車両20Bのリスクスコアが第一閾値以上である場合(ステップS2601AでYes)、リスク判定部14は、さらに第一車両20Aの第二車両20Bとの距離が、所定の基準距離d未満であるか否か判定する。基準距離dは、例えば第一車両20Aの第二車両20Bとの間で確立され得る通信が準拠する規格での、通信可能距離の上限に基づいて定められる。第一車両20Aの第二車両20Bとの距離が基準距離d未満である場合(ステップS2602AでYes)、リスク判定部14は、この例では、第一車両20Aの車両機能のうち、走行関連機能に対する機能制限指示をリスク対策指示生成部16に生成させている。そしてこの走行関連機能に対する機能制限指示が、指示出力部17から出力され(ステップS2603A)、第一車両20Aに送信される。
【0188】
第二車両20Bのリスクスコアが第一閾値未満の場合(ステップS2601AでNo)又は第一車両20Aの第二車両20Bとの距離が基準距離d以上である場合、第一車両20Aの車両機能に対する機能制限指示は生成されない。これらのいずれの場合も第二車両20Bで発生するインシデントの影響が通信を介して第一車両20Aの車両機能に及ぶ可能性がないので、第一車両20Aで第二車両20Bのリスクレベルに応じたセキュリティ対策の実行の必要はない。
【0189】
なお、上記の手順例で制限の対象が走行関連機能であるのは、少なくとも第二車両20Bが比較的近距離に存在しながら走行している状況でインシデントの影響を受けるともっとも深刻な事態を招き得るのが走行関連機能であるためである。
【0190】
ステップS2702Aが実行された場合に実行される
図24Bに示す手順例では、リスク判定部14は、第一車両20Aの第二車両20Bとの距離が、所定の基準距離d以上であるか否か判定する(ステップS2701A)。第一車両20Aの第二車両20Bとの距離が、所定の基準距離d以上である場合(ステップS2701AでYes)、第二車両20Bでインシデントが発生したとしてもその影響が通信を介して第一車両20Aの車両機能に及ぶ可能性がないので、第一車両20Aの車両機能に対する走行関連機能に対する機能制限解除指示が生成されて出力される(ステップS2702B)。第一車両20Aの第二車両20Bとの距離が、所定の基準距離d未満である間(ステップS2701AでNo)、この機能制限解除指示の出力には至らない。つまり、第一車両20Aでの走行関連機能に対する機能制限が維持される。
【0191】
また、インシデントが発生した車両を特定可能な情報がインシデント情報に含まれる場合は、第二車両20Bにインシデント発生の履歴がある場合に第二車両20Bのリスクスコアを上昇させてもよい。サイバー攻撃のインシデントが発生した実績のある車両には、攻撃を許した何らかの脆弱性、又はその攻撃の影響が残る可能性があり、そのような車両と通信可能な車両では警戒して予防的対策がなされるのが妥当である。そのような第二車両20Bのリスクスコアを第一閾値以上にしておくことで、第一車両20Aでは、車両機能に対する機能制限がなされる。これにより、第二車両20Bでインシデントが発生した場合にも、その影響が通信を介して第一車両20Aの車両機能に及ぶ可能性を抑えることができる。
図25は、このような第二車両のインシデント履歴に応じたセキュリティ対策の処理の手順例を示すフロー図である。
【0192】
図25に示す手順例では、リスク判定部14は、蓄積部2113に保存されたインシデント情報で第二車両20Bに関するインシデント情報のレコードを検索する(ステップS2900)。第二車両20Bに関するインシデント情報のレコードが見つからなかった場合(ステップS2901でNo)、第二車両20Bのリスクスコアは変動しない。第二車両20Bに関するインシデント情報のレコードが見つかった場合(ステップS2901でYes)、第二車両20Bのリスクスコアが第一閾値以上に設定される(ステップS2902)。この場合に第一閾値以上に設定されるリスクスコアは、例えば見つかったインシデント情報のレコードの中身に応じた車両機能についてのリスクスコアであってもよい。具体例としては、例えば第二車両20Bで発生していたのが自動運転機能に影響を受けたインシデントであれば、自動運転機能のリスクスコアが第一閾値以上に設定されてもよい。また、このインシデントを引き起こしたサイバー攻撃では同一の機能系統も影響を受ける可能性が他の機能系統よりも高いため、自動運転機能と同一の機能系統、つまり走行系に属する運転支援及び走行制御の機能(
図12のリスクレベル管理リスト参照)のリスクスコアも各々第一閾値以上に設定されてもよい。
【0193】
(変形例等)
以上、一つまたは複数の態様に係る、セキュリティリスク対策システムに含まれるセキュリティリスク対策サーバを構成する情報処理装置について、実施の形態に基づいて説明したが、本発明はこれらの実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。以下に、そのような変形の例を挙げる。
【0194】
(1)上記の実施の形態の説明のために例示した情報処理装置はサーバであるが、情報処理装置の構成要素の少なくとも一部は、1個以上のECU等の車載の情報処理装置であってもよい。例えば
図3に示すECUのうち、ECU210Aがセキュリティリスク対策サーバ10又は10Aと同じ機能的構成を備えてもよい。
図26は、このようなECU210Aの機能的構成例を示すブロック図である。なお、
図26の車両情報取得部2112は、第一車両20の車両情報は外部の通信ネットワーク経由で受信するのではなく、車載ネットワーク上の通信で取得する。また、指示出力部2117から出力される機能制限指示及び機能制限解除指示は直接車載ネットワークに送出され、外部の通信ネットワークは経由しない。
【0195】
また、車載の情報処理装置がセキュリティリスク対策サーバ10又は10Aの一部の機能を備える例としては、例えばリスクポイント管理部による、インシデント情報に基づくリスクポイントの更新、つまり
図5のフロー図におけるステップS2まではセキュリティリスク対策サーバで実行され、リスクポイントテーブルが通信ネットワークを介して車載の情報処理装置に提供されてもよい。この場合、車載の情報処理装置は、提供された最新のリスクポイントテーブルと車載の他の情報処理装置から取得した車両情報を用いてステップS4以降を実行する。
【0196】
また例えば、
図5のフロー図におけるステップS4のリスクレベル管理リストの作成(更新)までがセキュリティリスク対策サーバで実行され、リスクレベル管理リストが通信ネットワークを介して車載の情報処理装置に提供されてもよい。この場合、車載の情報処理装置は、提供された最新のリスクレベル管理リストを用いてステップS5以降を実行する。また、リスクポイントテーブルもセキュリティリスク対策サーバから車載の情報処理装置に提供され、走行位置又は走行状態に関するリスクレベルの比較的小規模な更新、及びその後の機能制限判定等が車載の情報処理装置で実行されてもよい。この場合、例えば第一車両の車両情報が各日の深夜等に日次処理でセキュリティリスク対策サーバに提供されてもよい。セキュリティリスク対策サーバでは、夜間の日次処理としてインシデント情報に基づくリスクポイントテーブルの更新及び第一車両のリスクレベル管理リストの全面的な更新が実行される、そして早朝までにセキュリティリスク対策サーバから第一車両へ最新のリスクポイントテーブル及びリスクレベル管理リストが送信される。第一車両の車載の情報処理装置では、早朝から深夜までリスクレベルの小規模な更新及び機能制限判定等が実行される。また、日次処理のような定期的な処理ではなく、第一車両のドライバーの要求に応じて、第一車両の車両情報のセキュリティリスク対策サーバへの提供又はセキュリティリスク対策サーバから第一車両への最新のリスクポイントテーブル及びリスクレベル管理リストの提供が実施されてもよい。
【0197】
(2)機能制限の態様は、
図12のリスクレベル管理リスト及び
図15等を参照しての機能制限に関する上記の説明に限定されない。例えばより多くの基準を用いて判断されるより多段階な制限であってもよい。その場合、リスク判定部14又は2114が行う機能制限の解除の判定には、機能制限の緩和も概念的に含まれる。
【0198】
(3)インシデント情報におけるインシデントの発生場所及び車両情報における車両の走行位置の表現は、上記の市区町村のような地名を用いる例に限定されず、統計的にインシデントの発生の多い又は少ない場所と第一車両の走行位置との位置関係が分かる表現であればよい。走行位置の表現には、例えばランドマーク若しくは通信基地局等の施設の名称、道路の名称及びその区間、経緯度、又はセルを並べたグリッド地図が用いられてもよい。そして、位置関係は、例えばこれらのとの距離及び方角、包含又は重複で表現され得る。経緯度の情報は、例えば、各車両から提供される経緯度の情報として取得される。その他の表現は、例えばインシデント情報収集サーバ30又はセキュリティリスク対策サーバ10において、各車両から提供された経緯度の情報から変換して実現されてもよい。
【0199】
そして、リスク判定部14又は2114は、第一車両の走行位置に、リスクレベルが変わり得る所定の変化があった場合に車両機能のリスクレベルの再判定を実行する。この所定の変化の例としては、最寄りの施設の切り換わり、道路又はその区間の切り換わり、経緯度の所定量の変化、グリッド地図において走行位置を含むセルの切り換わりが挙げられる。
【0200】
(4)上記実施の形態で示した各種処理の手順(例えば
図5、
図8、
図13~
図18C、
図20、
図22~
図25等に示した手順等)の実行順序は、必ずしも、上述した通りの順序に制限されるものではない。本発明の要旨を逸脱しない範囲で、実行順序を入れ替えたり、複数の手順を並列に行ったり、その手順の一部を省略したりすることができる。
【0201】
(5)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていてもよいし、一部又は全部を含むように1チップ化されてもよい。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブルプロセッサを利用してもよい。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。
【0202】
(6)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。ICカード又はモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
【0203】
(7)本発明の一態様としては、例えば
図5、
図8、
図13~
図18C、
図20、
図22~
図25等に示した手順に示す処理手順の全部又は一部を含む情報処理方法であるとしてもよい。また、これらの方法をコンピュータにより実現するプログラム(コンピュータプログラム)であるとしてもよい。
【0204】
(8)本発明の一態様としては、上記のコンピュータプログラム又はこのコンピュータプログラムを表すデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。また、本発明の一態様としては、上記のコンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットに代表されるネットワーク、データ放送等を経由して伝送するものとしてもよい。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしてもよい。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【0205】
(9)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
【産業上の利用可能性】
【0206】
本発明は、車両で利用される情報を処理する情報処理装置、情報処理方法、及びプログラムに利用可能である。
【符号の説明】
【0207】
1、1A セキュリティリスク対策システム
10、10A セキュリティリスク対策サーバ
11、2111 インシデント情報取得部
12、2112 車両情報取得部
13、2113 蓄積部
14、2114 リスク判定部
15、2115 リスクポイント管理部
16、2116 リスク対策指示生成部
17、2117 指示出力部
18、2118 機能制限解除指示生成部
20 車両(第一車両)
20A 車両(第一車両)
20B 車両(第二車両)
30 インシデント情報収集サーバ
200、200A、200B 車載ネットワーク
210A、210B、210C、211A、211B、211C、212A、212B、212C ECU
220 ゲートウェイ
230 IVIシステム
240 外部通信装置