(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-22
(45)【発行日】2023-10-02
(54)【発明の名称】脅威分析装置、脅威分析方法、および、プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20230925BHJP
【FI】
G06F21/57 370
(21)【出願番号】P 2020553115
(86)(22)【出願日】2019-10-09
(86)【国際出願番号】 JP2019039831
(87)【国際公開番号】W WO2020080222
(87)【国際公開日】2020-04-23
【審査請求日】2022-07-20
(32)【優先日】2018-10-17
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】芳賀 智之
(72)【発明者】
【氏名】佐々木 崇光
(72)【発明者】
【氏名】田崎 元
(72)【発明者】
【氏名】松島 秀樹
【審査官】宮司 卓佳
(56)【参考文献】
【文献】米国特許出願公開第2018/0295518(US,A1)
【文献】特開2010-146076(JP,A)
【文献】米国特許出願公開第2013/0346956(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理部と、
サイバー攻撃の脅威情報を格納する脅威情報管理部と、
前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理部と、
前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理部と、
前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新部と、
前記関連脅威情報管理部が管理する前記関連脅威情報を出力する出力部と、
を備える脅威分析装置。
【請求項2】
前記IoTデバイスは、モビリティデバイスであり、
前記脅威分析装置は、さらに、
前記脅威情報を交換する脅威情報交換処理部を備える
請求項1に記載の脅威分析装置。
【請求項3】
前記リスクレベルは、モビリティ制御に関連する機能ごとに定義されている
請求項2に記載の脅威分析装置。
【請求項4】
前記リスクレベルは、モビリティ制御メッセージを送受信する電子制御ユニットの関係に基づいて定義されている
請求項2又は3に記載の脅威分析装置。
【請求項5】
前記リスクレベルは、モビリティ制御を行うアプリケーションに対応した権限の個数に応じて定義されている
請求項2~4のいずれか1項に記載の脅威分析装置。
【請求項6】
前記関連脅威情報は、車種ごとに管理されている
請求項2~5のいずれか1項に記載の脅威分析装置。
【請求項7】
前記関連脅威情報は、車両ごとに管理されている
請求項2~6のいずれか1項に記載の脅威分析装置。
【請求項8】
前記リスクレベル更新部は、前記IoTデバイスの前記機能追加の完了前に、前記関連脅威情報を更新する
請求項1~7のいずれか1項に記載の脅威分析装置。
【請求項9】
前記リスクレベル更新部は、所定の台数の前記IoTデバイスの前記機能追加の完了後に、前記関連脅威情報を更新する
請求項1~8のいずれか1項に記載の脅威分析装置。
【請求項10】
さらに、
前記リスクレベル更新部によって前記関連脅威情報が更新された場合に、更新後の前記関連脅威情報に基づいて車両に制御信号を送信する車両制御部を備える
請求項1~9のいずれか1項に記載の脅威分析装置。
【請求項11】
コンピュータが実行する脅威分析方法であって、
コンピュータが、IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理ステップと、
コンピュータが、サイバー攻撃の脅威情報を格納する脅威情報管理ステップと、
コンピュータが、前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理ステップと、
コンピュータが、前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理ステップと、
コンピュータが、前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新ステップと、
コンピュータが、前記関連脅威情報管理ステップで管理する前記関連脅威情報を出力する出力ステップと、
を含む
脅威分析方法。
【請求項12】
請求項11に記載の脅威分析方法をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、脅威分析装置、脅威分析方法、および、プログラムに関する。
【背景技術】
【0002】
車両などに対してなされるサイバー攻撃の分析の効率化のために、標準化されたフォーマットであるSTIX(Structured Threat Information eXpression)を活用する技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、車両などに対する新たな脅威が出現した場合に、新たな脅威を分析するまでに時間を要するという問題がある。なお、この問題は、車両に限らず、広くIoT(Internet of Things)デバイスにおいて起こり得る。
【0005】
そこで、本発明は、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮する脅威分析装置を提供する。
【課題を解決するための手段】
【0006】
本発明の一態様に係る脅威分析装置は、IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理部と、サイバー攻撃の脅威情報を格納する脅威情報管理部と、前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理部と、前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理部と、前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新部と、前記関連脅威情報管理部が管理する前記関連脅威情報を出力する出力部と、を備える。
【0007】
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0008】
本発明の脅威分析装置は、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【図面の簡単な説明】
【0009】
【
図1】
図1は、実施の形態1における脅威分析システムの構成を示す模式図である。
【
図2】
図2は、実施の形態1におけるSTIXで記述した脅威情報の一例を示す説明図である。
【
図3】
図3は、実施の形態1における脅威情報の交換手順を示すシーケンス図である。
【
図4】
図4は、実施の形態1における脅威情報分析サーバーの構成を示す説明図である。
【
図5】
図5は、実施の形態1におけるリスクレベル管理部が保持する機能別リスクレベルテーブルの一例を示す説明図である。
【
図6】
図6は、実施の形態1におけるリスクレベル管理部が保持する関連ECU別リスクレベルテーブルの一例を示す説明図である。
【
図7】
図7は、実施の形態1におけるリスクレベル管理部が保持するアプリケーション権限別リスクレベルテーブルの一例を示す説明図である。
【
図8】
図8は、実施の形態1における脅威情報管理部が保持する脅威情報データベースの一例を示す説明図である。
【
図9】
図9は、実施の形態1における関連脅威情報管理部が保持するモデル別関連脅威情報データベースの一例を示す説明図である。
【
図10】
図10は、実施の形態1における更新により機能追加された後のモデル別関連脅威情報データベースの一例を示す説明図である。
【
図11】
図11は、実施の形態1における、機能追加の際の車種別の関連脅威情報が更新される処理を示すシーケンス図である。
【
図12】
図12は、実施の形態1における、機能追加の際の関連脅威情報が更新される処理を示すシーケンス図である。
【
図13】
図13は、実施の形態1における機能追加される更新前の関連脅威情報出力画面の一例を示す説明図である。
【
図14】
図14は、実施の形態1における機能追加された更新後の関連脅威情報出力画面の一例を示す説明図である。
【
図15】
図15は、実施の形態2における更新により機能追加される場合の車両別の関連脅威情報が更新される処理を示すシーケンス図である。
【
図16】
図16は、実施の形態2における車両別の関連脅威情報データベースの一例を示す説明図である。
【
図17】
図17は、実施の形態2における車両別の関連脅威情報出力画面の一例を示す説明図である。
【発明を実施するための形態】
【0010】
(本発明の基礎となった知見)
本発明者は、「背景技術」の欄において記載した、サイバー攻撃に関し、以下の問題が生じることを見出した。
【0011】
近年、ネットワークに接続された自動車であるコネクテッドカーの分野において、自動車に搭載されたソフトウェアを無線で更新するOTA(Over the Air)機能が搭載され始めている。このようなOTAを活用することで、自動車メーカーは、リコール費用を大幅に削減できる利点がある。また、自動車メーカーは、サイバー攻撃に関する対応時間を短縮し、品質の運用効率を向上させるだけでなく、出荷後に車両性能の機能を強化することが可能となっている。
【0012】
一方で、自動車がインターネットに接続されると、パソコン等と同様に自動車へのサイバー攻撃のリスクが高まる。特に、車載システムにLinux(登録商標)を始めとするオープンソースソフトウェアが採用されたり、電動化又は高機能化に伴いソフトウェア規模が拡大されたりすることにより、出荷前に脆弱性を完全になくすことが難しく、出荷後に脆弱性をついてサイバー攻撃されることが問題となっている。
【0013】
脆弱性が発見されても、その対策を車両に反映させるためには時間がかかる。対策が反映されるまでの間は、サイバー攻撃を受ける可能性があるので、対策が反映されるまでの時間を短縮することが重要となる。
【0014】
新たに発見されるサイバー攻撃であっても、既知の脆弱性又は攻撃手法を利用されることがあるので、攻撃の分析には、過去の攻撃事例又は対策案を参照することが有効である。こうしたことから、サイバー攻撃の分析を効率化するために、過去のサイバー攻撃の活動を、標準化されたフォーマットであるSTIX(Structured Threat Information eXpression)で記述し、脅威情報を交換する仕様が規定されている。
【0015】
STIXを活用して、類似するサイバー攻撃を提供して、攻撃を分析する方法がある(特許文献1)。しかしながら、特許文献1では、OTAにより車両の機能が更新された際に、更新された機能に関して脅威情報を迅速に提示することができない。
【0016】
一方、コネクテッドカーにおけるソフトウェア更新機能により、出荷後に強化される機能は、注目されやすく、攻撃の対象になりやすい。また、攻撃は、過去の脆弱性や攻撃手法を利用するケースも多い。
【0017】
そこで、本発明では、ソフトウェア更新により追加された新機能に関連する過去の脅威情報を関連付けて、脅威分析を行うセキュリティ分析官に迅速に提示する。このようにすることで、ソフトウェア更新により追加された新機能へのサイバー攻撃を検知した場合に、新機能に関連づけられた脅威情報を参照して攻撃分析することで、分析の効率化を図り、攻撃発見から対策までの時間を短縮することを目的とする。
【0018】
本発明の一実施態様に係る脅威分析装置は、IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理部と、サイバー攻撃の脅威情報を格納する脅威情報管理部と、前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理部と、前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理部と、前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新部と、前記関連脅威情報管理部が管理する前記関連脅威情報を出力する出力部と、を備える。
【0019】
上記態様によれば、脅威分析装置は、IoTデバイスのソフトウェア更新により追加された機能に関連した脅威情報を、過去の脅威情報を検索して関連付けて出力する。分析官は、出力された、追加された機能に関連した脅威情報と、それに関連付けられた過去の脅威情報とに基づく分析をすることができる。このように、ソフトウェア更新により追加された機能がサイバー攻撃の対象となった際に、攻撃の分析を効率化し、サイバー攻撃の発生からその対策を講じるまでの時間を大幅に削減することが可能となる。よって、脅威分析装置は、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。また、上記時間を短縮することができれば、脅威分析装置が稼働するための電力を削減する効果も得られる。
【0020】
例えば、前記IoTデバイスは、モビリティデバイスであり、前記脅威分析装置は、さらに、前記脅威情報を交換する脅威情報交換処理部を備えてもよい。
【0021】
上記態様によれば、脅威分析装置は、IoTデバイスとして、コネクテッドカーを始めとする自動車、建機、または農機などのモビリティデバイスのソフトウェア更新に関して、新たな脅威の分析に要する時間を短縮できる。
【0022】
例えば、前記リスクレベルは、モビリティ制御に関連する機能ごとに定義されていてもよい。
【0023】
上記態様によれば、脅威分析装置は、走る、曲がる、止まるといった車両の制御ごとにリスクレベルを定義でき、自動運転レベルに合わせたリスクレベルも設定可能となる。よって、脅威分析装置は、車両の制御ごとに定義したリスクレベルを用いてより容易に、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0024】
例えば、前記リスクレベルは、モビリティ制御メッセージを送受信する電子制御ユニットの関係に基づいて定義されていてもよい。
【0025】
上記態様によれば、モビリティデバイスの制御を司る電子制御ユニット(ECU)ごとにリスクレベルを設定することが可能となる。例えば複数の制御を司るECUのリスクレベルを高く設定することも可能となる。また、ECUが採用しているハードウェアセキュリティモジュールのレベルごとに設定が可能となる。また、ECUサプライヤごとにリスクレベルも設定可能となる。よって、脅威分析装置は、ECUごとに定義したリスクレベルを用いてより容易に、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0026】
例えば、前記リスクレベルは、モビリティ制御を行うアプリケーションに対応した権限の個数に応じて定義されていてもよい。
【0027】
上記態様によれば、サービスオリエンテッドアーキテクチャにおけるアプリケーションごとにリスクレベルが可能となる。特に、車載向けOSのアプリケーションでは、機能をサービスとして提供し、それぞれのアプリケーションがどのサービスを利用するかはマニフェストファイルに定義されるため、アプリケーションに付与されるマニフェストファイルごとにリスクレベルを定義することが可能となる。よって、脅威分析装置は、アプリケーションに対応した権限の個数ごとに定義したリスクレベルを用いてより容易に、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0028】
例えば、前記関連脅威情報は、車種ごとに管理されていてもよい。
【0029】
上記態様によれば、車種ごとに関連する脅威情報を提示することが可能となり、セキュリティ分析も効率化される。よって、脅威分析装置は、車種ごとに管理されている関連脅威情報を用いて、より容易に、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0030】
例えば、前記関連脅威情報は、車両ごとに管理されていてもよい。
【0031】
上記態様によれば、同一車種(モデル)においても、更新タイミングが異なる車両においても、個別の車両の更新状況に応じた関連脅威情報の提示が可能となり、より柔軟で効率的なセキュリティ分析が可能となる。よって、脅威分析装置は、車両ごとに管理されている関連脅威情報を用いて、より容易に、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0032】
例えば、前記リスクレベル更新部は、前記IoTデバイスの前記機能追加の完了前に、前記関連脅威情報を更新してもよい。
【0033】
上記態様によれば、IoTデバイスによるソフトウェア更新の直後から、更新される機能に関連する脅威情報を提示することが可能となり、更新直後に、新機能に対してサイバー攻撃が発生したとしても効率的に攻撃分析が可能となる。よって、脅威分析装置は、IoTデバイスによるソフトウェア更新の直後から、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0034】
例えば、前記リスクレベル更新部は、所定の台数の前記IoTデバイスの前記機能追加の完了後に、前記関連脅威情報を更新してもよい。
【0035】
上記態様によれば、新機能に対する脅威情報の提示のタイミングを柔軟に設定することが可能となる。具体的には、所定の台数の車両でソフトウェアの動作の試行のあとに、新機能に対する脅威情報の提示をすることが可能となる。よって、柔軟に設定したタイミングを利用して、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮することができる。
【0036】
例えば、さらに、前記リスクレベル更新部によって前記関連脅威情報が更新された場合に、更新後の前記関連脅威情報に基づいて車両に制御信号を送信する車両制御部を備えてもよい。
【0037】
上記態様によれば、更新したあとの関連脅威情報を用いて車両を制御することができる。よって、脅威分析装置は、新たな脅威からの攻撃が発見されてから新たな脅威を分析するとともに車両を制御するまでに要する時間を短縮することができる。
【0038】
また、本発明の一実施態様に係る脅威分析方法は、IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理ステップと、サイバー攻撃の脅威情報を格納する脅威情報管理ステップと、前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理ステップと、前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理ステップと、前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新ステップと、前記関連脅威情報管理ステップで管理する前記関連脅威情報を出力する出力ステップと、を含む。
【0039】
これにより、上記脅威分析装置と同様の効果を奏する。
【0040】
また、本発明の一実施態様に係るプログラムは、上記の脅威分析方法をコンピュータに実行させるためのプログラムである。
【0041】
これにより、上記脅威分析装置と同様の効果を奏する。
【0042】
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
【0043】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0044】
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0045】
(実施の形態1)
本実施の形態において、新たな脅威からの攻撃が発見されてから新たな脅威を分析するまでに要する時間を短縮する脅威情報分析システムについて説明する。脅威情報分析システムは、脅威分析装置に相当する。
【0046】
本実施の形態では、ソフトウェア更新機能により、車両に機能が追加された場合に、予め決められたリスクレベルに基づき、車両ごとに追加された機能に関連する脅威情報を表示する例について、以下図面を用いて説明をする。
【0047】
なお、車両は、モビリティデバイスの一例であり、また、IoTデバイスの一例である。
【0048】
<脅威情報分析システムの構成>
図1は、本実施の形態における脅威情報分析システム1の構成を示す模式図である。
【0049】
図1に示されるように、脅威情報分析システム1は、脅威情報分析サーバー10と、脅威情報管理サーバー20と、更新サーバー30と、車両50a、50b、50c、50d、50eおよび50fとを備える。上記装置および車両のそれぞれは、ネットワーク40を介して接続される。
【0050】
脅威情報管理サーバー20は、脅威情報100を管理しているサーバーである。
【0051】
脅威情報分析サーバー10は、車両50a~車両50fへのセキュリティ監視を行うセキュリティオペレーションセンターのサーバーとして機能する。車両50a~車両50fに異常が検出されると、車両50a~車両50fは、脅威情報分析サーバー10に異常を通知し、さらには定期的もしくはイベント的に車両のセキュリティ状態を通知する。
【0052】
脅威情報管理サーバー20は、車両50a~車両50fから受信した情報を用いて車両50a~車両50fへのサイバー攻撃を分析するSIEM(Security Information and Event Management)機能を備える。脅威情報分析サーバー10は、新たに発生したサイバー攻撃を分析するために、過去の脆弱性又は攻撃手順などが記録された脅威情報100を参照する。脅威情報100は、脅威情報分析サーバー10が、脅威情報管理サーバー20から受信する。
【0053】
更新サーバー30は、出荷後の車両50a~車両50fのセキュリティレベルを維持するための脆弱性を修正したソフトウェアを配信する機能、および、車両50a~車両50fの機能追加または性能向上のためのソフトウェアを配信する機能を備える。
【0054】
ネットワーク40は、Wi-Fi等を含むローカルエリアネットワーク、携帯電話のキャリアネットワーク、およびインターネットなどを含むネットワークである。
【0055】
<脅威情報>
図2は、本実施の形態におけるSTIXで記述した脅威情報の一例である脅威情報100を示す説明図である。
図2に示される脅威情報100は、脅威情報管理サーバー20が管理する脅威情報を示している。STIXで記述した脅威情報は、STIX_Packageともよばれる。
【0056】
サイバー攻撃活動の分析には、攻撃者(つまり、サイバー攻撃に関与している人または組織)、攻撃者の行動または手口、狙っている脆弱性などのように、攻撃者側の側面から状況をまとめる必要がある。また、サイバー攻撃活動の分析には、サイバー攻撃を検知するための兆候、サイバー攻撃によって引き起こされる問題、または、サイバー攻撃に対処するためにとるべき措置などのように、防護側の側面から状況をまとめる必要がある。
【0057】
脅威情報100は、これらの関連する情報を標準化された方法で記述し、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴づける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されたSTIX(Structured Threat Information eXpression)で記述される。
図2は、STIXのバージョン1のフォーマットで脅威情報100が記述されたものである。
【0058】
脅威情報100は、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、および、攻撃対象(Exploit_Targets)の8つの情報群を含んで構成されている。
図2では、例として、サイバー攻撃活動(Campaigns)のフィールドからリンク可能な各情報フィールドを矢印で表している。
【0059】
脅威情報100は、STIX_Headerのフィールド101と、Related_Packagesの付属情報についてのフィールド110と、上記のサイバー攻撃活動に関連する各項目の情報についてのフィールド102~109とを有する。
【0060】
例として、サイバー攻撃活動(Campaigns)のフィールド108は、各項目のフィールド(103、104、106、109および110)にリンクされている。
【0061】
サイバー攻撃活動(Campaigns)のフィールド108には、該当するサイバー攻撃活動における意図または攻撃活動の状態などが記述される。具体的には、フィールド108には、サイバー攻撃活動または攻撃者の意図(Intended_Effect)の情報が個別に記述される。また、フィールド108には、攻撃活動状態(campaign:Status)が個別に記述される。
【0062】
攻撃者(Threat_Actors)のフィールド109には、サイバー攻撃の攻撃者のタイプ、攻撃者の動機、攻撃者の熟練度、または、攻撃者の意図などの視点からサイバー攻撃に寄与している人もしくは組織についての情報が個別に記述される。例えば、フィールド109には、不正アクセス元(言い換えれば送信元)のIPアドレス、またはメールアドレス、ソーシャルネットワークサービスのアカウントの情報が記述される。
【0063】
攻撃手口(TTPs)のフィールド104には、攻撃のパターン、攻撃者が用いたマルウェアまたはツールなどのリソース、攻撃者の攻撃基盤、もしくは攻撃対象についての情報が個別に記述される。なお、攻撃のパターン(ttp:Attack_Pattern)は、CAPEC(Common Attack Pattern Enumeration and Classification:共通攻撃パターン一覧)を使用して記述される。例えば、フィールド104には、サイバー攻撃に関与した情報処理装置に割り当てられたIPアドレス、情報処理装置からのアクセス先の少なくともいずれかの情報が記述される。
【0064】
検知指標(Indicators)のフィールド103には、サイバー攻撃イベントを特徴づける指標を示す情報が個別に記述される。例えば、フィールド103では、検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、痕跡などから検知指標を作成するために使用したツールと共に、サイバー攻撃を特徴づける指標について記述される。
【0065】
観測事象(Observables)のフィールド102には、サイバー攻撃イベントによって観測された動作に関わる事象を示す情報が個別に記述される。例えば、フィールド102には、サイバー攻撃によって観測された事象として、ファイル名、ハッシュ値もしくはファイルサイズ、レジストリの値、稼働中のサービス、または、HTTP要求などが記述される。また、記述には、サイバー攻撃の観測事象を記述するための仕様であるCybOX(Cyber Observable eXpression)が使用される。
【0066】
インシデント(Incidents)のフィールド106には、どのようなインシデントなのかという分類、インシデントの関与者(具体的には報告者、対応者、調整者または被害者)、インシデントによる被害を受けた資産(具体的には所有者、管理者または場所)、インシデントによる直接的または間接的な影響、インシデント対処の状況などの視点から、サイバー攻撃によって発生した事案の情報が個別に記述される。例えば、フィールド106には、サイバー攻撃の攻撃者により被害を受けた資産の所有者または管理者、資産の場所の情報が個別に記述される。
【0067】
対処措置(Courses_Of_Action)のフィールド107には、対処措置の状況、対処措置のタイプ、対処措置の目的、影響、費用または有効性などの視点から、サイバー攻撃イベントによる脅威に対処するための処置を示す情報が個別に記述される。
【0068】
攻撃対象(Exploit_Targets)のフィールド105には、脆弱性、脆弱性の種類、設定や構成などの視点から、攻撃の対象となりうるソフトウェアやシステムの弱点など、サイバー攻撃イベントにおいて攻撃の対象となる資産の弱点を示す情報が個別に記述される。例えば、フィールド105では、脆弱性を記述するためにCVE(Common Vulnerability and Exposures:共通脆弱性識別子)を使用する。また、フィールド105では、脆弱性の種類を記述するためにCWE(Common Weakness Enumeration:共通脆弱性タイプ一覧)を使用する。また、フィールド105では、設定上のセキュリティ問題を記述するためにCCE(Common Configuration Enumeration:共通セキュリティ設定一覧)を使用する。
【0069】
本実施の形態の脅威情報100はSTIXのフォーマットで説明をしたが、STIXのフォーマットに限定される必要はなく、他のフォーマットを利用してもよい。
【0070】
<脅威情報100交換シーケンス>
図3は、本実施の形態における脅威情報の交換手順を示すシーケンス図である。
図3には、脅威情報分析サーバー10が、脅威情報管理サーバー20から脅威情報100を収集するときの手順が示されている。
【0071】
ステップS101において、脅威情報分析サーバー10は、脅威情報管理サーバー20にアクセスする。具体的には、脅威情報分析サーバー10は、脅威情報リクエストを脅威情報管理サーバー20に送信する。脅威情報管理サーバー20は、送信された脅威情報リクエストを受信する。
【0072】
ステップS102において、脅威情報管理サーバー20は、ステップS101で脅威情報リクエストを受信したことに応じて、脅威情報100を脅威情報分析サーバー10に送信する。脅威情報分析サーバー10は、送信された脅威情報100を受信する。
【0073】
ステップS103において、脅威情報分析サーバー10は、ステップS102で受信した脅威情報100を脅威情報管理部400に保存する。
【0074】
ここで、ステップS101及びS102において、例えば、脅威情報の交換手順として規定されているTAXII(Trusted Automated eXchange of Indicator Information)プロトコルに従って脅威情報が交換される。この交換シーケンスは、定期的に行われてもよいし、脅威情報が新たに登録されたときに行われるようにしてもよい。本実施の形態の脅威情報の交換手順は、TAXIIを用いるとして説明するが、TAXIIプロトコルに限定される必要はなく、他の通信プロトコルを用いてもよい。
【0075】
<脅威情報分析サーバー10>
図4は、脅威情報分析サーバー10の構成を示す説明図である。
【0076】
図4に示されるように、脅威情報分析サーバー10は、脅威情報交換処理部200、更新管理部210、リスクレベル更新部220、出力部230、車両制御部240、リスクレベル管理部300、脅威情報管理部400、および関連脅威情報管理部500を含んで構成される。
【0077】
脅威情報交換処理部200は、脅威情報を交換する処理部である。具体的には、脅威情報交換処理部200は、
図3で示したTAXIIプロトコルに従って、脅威情報管理サーバー20から脅威情報100を取得する。
【0078】
更新管理部210は、更新サーバー30から、出荷後の車両50a~車両50fのセキュリティレベルを維持するための脆弱性を修正したソフトウェアを受信する。また更新管理部210は、車両50a~車両50fの機能追加又は性能向上のためのソフトウェアの配信の状況、更新したソフトウェア、および車両機能の情報を受信する。また、更新管理部210は、更新サーバー30から受信した情報を、リスクレベル管理部300へ提供する。
【0079】
リスクレベル更新部220は、更新情報に基づいて、脅威情報と車両のリスクレベルとの関連づけを行い、関連脅威情報を更新する処理部である。リスクレベル更新部220は、具体的には、更新管理部210から受信した情報に基づき、リスクレベル管理部300に保存されているリスクレベルテーブル310を更新する。また、リスクレベル更新部220は、更新管理部210から受信した更新内容に関連する脅威情報100が、脅威情報管理部400で管理されている脅威情報データベース410に含まれているか否かを判定する。リスクレベル更新部220は、更新内容に関連する脅威情報100が脅威情報データベース410に含まれていると判定した場合、リスクレベルテーブル310に基づき、関連脅威情報管理部500が保持するモデル別関連脅威情報データベース510を更新する。詳細シーケンスは、後述する。
【0080】
リスクレベル管理部300は、車両のリスクレベルが定義されたリスクレベルテーブルを管理する。リスクレベルテーブルは、車両のモビリティ制御に関連する機能ごとに定義されてもよいし、モビリティ制御メッセージを送受信するECU(Electronic Control Unit、電子制御ユニット)ごとに定義されてもよいし、モビリティ制御を行うアプリケーションに対応した権限の個数に応じて定義されてもよい。上記のように定義されたリスクレベルテーブルについては、あとで詳しく説明する。なお、リスクレベルテーブルは、IoTデバイスのリスクレベルが定義されたリスクレベル情報の一例である。
【0081】
脅威情報管理部400は、脅威情報データベース410を保持する。脅威情報データベース410は、サイバー攻撃の脅威情報に相当する。
【0082】
関連脅威情報管理部500は、脅威情報と、車両にリスクレベルを関連づけた関連脅威情報とを管理する。関連脅威情報管理部500は、具体的には、モデル別関連脅威情報データベース510を保持し管理する。
【0083】
出力部230は、モデル別関連脅威情報データベース510の内容を出力することによって、脅威情報分析サーバー10を使ってサイバー攻撃を分析するセキュリティ分析官に提示する。例えば、出力部230は、表示画面を備え、車種モデルごとに関連する脅威情報をわかりやすく表示することによって、モデル別関連脅威情報データベース510の内容をセキュリティ分析官に提示する。
【0084】
車両制御部240は、関連脅威情報に基づいて車両に制御信号を送信する処理部である。より具体的には、車両制御部240は、リスクレベル更新部220によって関連脅威情報が更新された場合に、更新後の関連脅威情報に基づいて車両に制御信号を送信する。制御方信号は、例えば、脅威によって攻撃され得るソフトウェアを車両において稼働させない制御、又は、脅威によって攻撃され得るソフトウェアであることを示すメッセージを車両のドライバに提示する制御などに係る制御信号である。
【0085】
<機能別リスクレベルテーブル>
図5は、本実施の形態におけるリスクレベル管理部300が保持する機能別リスクレベルテーブルの一例を示す説明図である。
【0086】
図5は、リスクレベルテーブル310の一例であり、車両が備える機能別にリスクレベルを定義した機能別リスクレベルテーブル311である。
【0087】
機能別リスクレベルテーブル311は、自動運転レベル、車両が備える機能、その機能についてのリスクレベルを含んで構成される。ここで、自動運転レベルとは、車両の自動化の程度(レベル)を示す一般の指標である。
【0088】
図5では、自動運転レベルそれぞれに対応して定められる、車両が備える機能ごとにリスクレベルが定義されている。
【0089】
自動運転レベル0に対応する機能は、例えば、死角検知機能を含む。なお、自動運転レベルが0である車両は、ドライバーが常時全ての運転操作を行い、自動運転システムが車両の制御に介入することはない。
【0090】
自動運転レベル1に対応する機能は、例えば、アダプティブクルーズコントロール(ACC)、車線逸脱防止、自動ブレーキなどの機能を含む。なお、自動運転レベル1は、ステアリング操作と加減速とのいずれかを自動運転システムがサポートする自動運転レベルである。
【0091】
自動運転レベル2に対応する機能は、例えば、渋滞追従、駐車支援、自動車線変更、割り込み減速、車線中央維持などの機能を含む。なお、自動運転レベル2は、ステアリング操作と加減速との両方を自動運転システムがサポートする自動運転レベルである。
【0092】
自動運転レベル3に対応する機能は、例えば、高速追従、追い越し、合流・分岐、急カーブ自動走行、本線離脱、緊急路肩退避、または、自動駐車などの機能を備える。なお、自動運転レベル3は、特定の場所で全ての操作が自動運転システムによって自動化される自動運転レベルである。ただし緊急時はドライバーによる操作が要求される。
【0093】
自動運転レベル4に対応する機能は、例えば、信号停止・発進、歩行者・自転車回避、障害物回避、必要に応じた徐行、交差点の右左折・停止・進入、標識に従った走行、対向車両の回避、大型車両識別判断、または、狭路走行などの機能を含む。なお、自動運転レベル4は、特定の場所で全ての操作が自動運転システムによって自動化される自動運転レベルである。緊急時の対応も自動化される。
【0094】
自動運転レベル5に対応する機能は、例えば、信号停止・発進、歩行者・自転車回避、障害物回避、必要に応じた徐行、交差点の右左折・停止・進入、標識に従った走行、対向車両の回避、大型車両識別判断、または、狭路走行などの機能を含む。なお、自動運転レベル5は、あらゆる状況下において操作が自動運転システムによって自動化される自動運転レベルである。
【0095】
なお、車両は、当該車両の自動運転レベル以下の自動運転レベルに対応する機能も有する。言い換えれば、自動運転レベルがN(ただしN=0~5)である車両は、自動運転レベルN以下に対応する機能を有する。
【0096】
このように、自動運転のレベルが上がるほど、自動運転システムによって制御される範囲が広がり、つまり、車両が備える機能が増える。そのため、自動運転レベルが高いほど、リスクレベルが高く設定されている。
【0097】
図5では、自動運転レベル0に対応する機能がリスクレベル1と設定され、自動運転レベル1に対応する機能がリスクレベル2と設定され、自動運転レベル2に対応する機能がリスクレベル3と設定され、自動運転レベル3に対応する機能がリスクレベル4と設定され、自動運転レベル4に対応する機能がリスクレベル5と設定され、自動運転レベル5に対応する機能がリスクレベル6と設定されている。
【0098】
なお、自動運転レベルが同じものは、同じリスクレベルを設定しているが、同じレベル内であっても機能ごとにリスクレベルを変えてもよい。
【0099】
<関連ECU別リスクレベルテーブル>
図6は、本実施の形態におけるリスクレベル管理部300が保持する関連ECU別リスクレベルテーブルの一例を示す説明図である。
【0100】
図6は、リスクレベルテーブル310の一例であり、車載ネットワークシステムに搭載されるECU別にリスクレベルを定義した関連ECU別リスクレベルテーブル312である。
【0101】
関連ECU別リスクレベルテーブル312は、ECUメーカー、ECU識別情報、ECUのソフトウェアバージョン、メッセージを送受信する関係にあるECUの情報、カメラ/センサー/カメラの利用可否状況、ECUごとのリスクレベルが定義される。なお、メッセージを送受信する関係にあるECUを、「関連するECU」とも表現する。
【0102】
例えば、
図6ではECUメーカーAのECU_A1は、ACCソフトウェアのバージョンが1.0であり、ECU_B1とメッセージを送受信する関係にあり、機能実現のためにカメラとレーダーの情報を使うことを示している。
【0103】
また、ECU_A3については、2つのバージョンそれぞれについてリスクレベルが定義される。具体的には、ECU_A3のソフトウェアバージョン1.0では、ECU_A2とメッセージを送受信する関係にあり、車両は、駐車支援機能を有する。ECU_A3のソフトウェアバージョン2.0では、ECU_A1ともメッセージを送受信する関係にあり、車両は、駐車支援機能に加えて自動駐車機能を有する。
【0104】
機能が追加されれば、メッセージを送受信するECU、つまり、関連するECUが増えることになる。メッセージ送受信するECUの増加は、1つのECUの脆弱性が、送受信を行うECUにもリスクを与える危険性があることになる。そのため、関連するECUが多いほど、リスクレベルが高く設定されている。
【0105】
<アプリケーション権限別リスクレベルテーブル>
図7は、本実施の形態におけるリスクレベル管理部300が保持するアプリケーション権限別リスクレベルテーブルの一例を示す説明図である。
【0106】
図7は、リスクレベルテーブル310を車両に実装されるアプリケーションの権限別にリスクレベルを定義したアプリケーション権限別リスクレベルテーブル313である。アプリケーション権限別リスクレベルテーブル313は、アプリケーションサプライヤ名、アプリケーションID、ソフトウェアバージョン、アプリケーションが備える機能、アプリケーションが保有する機能又はデバイスに対するアクセス権限情報、および、リスクレベルを含んで構成される。
【0107】
例えば、
図7ではサプライヤAのアプリA3のソフトウェアバージョン1.0は、ステアリング操作、アクセル操作、カメラ、レーザーへのアクセス権限情報を保持しており、また、駐車支援機能をサポートしている。
【0108】
また、アプリA3のソフトウェアバージョン2.0は、駐車支援機能だけでなく、ブレーキ操作の権限情報を保持しており、自動駐車機能が追加されたことを示している。
【0109】
アプリケーションの、機能又はデバイスに対するアクセス権限が追加されれば、車両の制御範囲が広がることになる。アプリケーションのアクセス権限の増加は、1つのアプリケーションの脆弱性が、車両制御へ与えるリスクを広げることになるので、アクセス権限の個数が多いほど、リスクレベルが高く設定されている。
【0110】
<脅威情報データベース410>
図8は、本実施の形態における脅威情報管理部400が保持する脅威情報データベースの一例としての脅威情報データベース410を示した説明図である。
【0111】
脅威情報管理部400は、脅威情報交換処理部200で取得した脅威情報100を保存する。
【0112】
脅威情報データベース410は、脅威情報100に示される各脅威情報が、車両が備える機能、ECUまたはアプリケーションに関連した脅威であるか否かを示すテーブルである。例えば、ECU_A3およびアプリA3は、脅威情報ID003、010および020に関連することが示されている。ECU_A3およびアプリA3は、駐車支援と自動駐車支援機能とを有するからである。
【0113】
<モデル別関連脅威情報データベース(更新前)>
図9は、関連脅威情報管理部500が保持するモデル別関連脅威情報データベースの一例として、モデル別関連脅威情報データベース510を示す説明図である。
【0114】
モデル別関連脅威情報データベース510は、車種モデル別に脅威情報とそのリスクレベルを管理しているテーブルである。
【0115】
具体的には、モデル別関連脅威情報データベース510は、カーメーカー、車種情報、機能情報、その機能を制御するECU ID、リスクレベル、ECUに関連する脅威情報のIDを含んで構成される。
【0116】
図9は、
図6の関連ECU別リスクレベルテーブル312に基づいて、車両ごとにリスクレベルを設定された例を示している。例えば、カーメーカーOEM_Aの車種モデルA1のECU_A1は、ACC機能を有しており、ACC機能のリスクレベルは2であり、ACCもしくはECU_A1に関連する脅威情報は、脅威情報001であることを示している。
【0117】
また、カーメーカーOEM_Aの車種モデルA1のECU_A3は駐車支援機能を有しており、駐車支援機能のリスクレベルは3であり、駐車支援機能もしくはECU_A3に関連する脅威情報は、脅威情報003であることを示している。
【0118】
<モデル別関連脅威情報データベース(更新後)>
図10は、本実施の形態における更新により機能追加された後のモデル別関連脅威情報データベースの一例として、モデル別関連脅威情報データベース510Aを示す説明図である。
【0119】
車両の機能が追加され、追加された機能に関連する機能が存在する場合は、追加機能に関する脅威情報がモデル別関連脅威情報データベース510に追加されて、モデル別関連脅威情報データベース510Aとなる。
【0120】
図10は、カーメーカーOEM_Aの車種モデルA1の駐車支援機能を有しているECU_A3に、ソフトウェア更新により、新たに自動駐車機能が追加された場合におけるモデル別関連脅威情報データベース510Aを示している。ECU_A3の自動駐車機能のリスクレベルが4であり、ECU_A3あるいは自動駐車機能に関連する脅威情報として、新たに脅威情報010と020とが追加されたことを示している。
【0121】
<更新シーケンス>
図11と
図12は、車両50a~車両50fに搭載されるソフトウェアをOTAで更新し、機能を追加する際のシーケンスを示す説明図である。ここでは、カーメーカーOEM_AのモデルA1車種のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加されるケースを例として説明する。
【0122】
より具体的には、
図11は、本実施の形態における、機能追加の際の車種別の関連脅威情報が更新される処理を示すシーケンス図である。
図12は、本実施の形態における、機能追加の際の関連脅威情報が更新される処理を示すシーケンス図である。
【0123】
図11に示されるように、ステップS201において、更新サーバー30に、更新すべき対象ソフトおよび更新機能に関する情報が登録される。例えば、ECU_A3の新しいソフトウェアが登録される。その際、更新機能情報として、配信先対象となるカーメーカーの情報、車種情報、追加機能情報、更新対象となるECU情報(ECUのID、ハードウェアバージョン情報、又はECUのソフトウェアのバージョン情報)およびリスクレベルが登録される。
【0124】
ステップS202において、更新サーバー30は、ステップS201で登録された更新機能情報を脅威情報分析サーバー10の更新管理部210に送信する。
【0125】
ステップS203において、更新管理部210は、リスクレベル更新部220へ更新機能情報を送信する。
【0126】
ステップS204において、リスクレベル更新部220は、ステップS203で受信した更新機能情報が、リスクレベルテーブル310に登録されているかを判定する。更新機能情報がリスクレベルテーブル310に登録されていると判定した場合(ステップS204でYes)にはステップS206へ処理を移し、そうでない場合(ステップS204でNo)にはステップS205へ処理を移す。
【0127】
ステップS205において、リスクレベル更新部220は、リスクレベルテーブル310を更新する。具体的には、機能別にリスクレベルが定義されている場合は、
図5で示した機能別リスクレベルテーブル311を更新する。ECU別にリスクレベルが定義されている場合は、
図6で示した関連ECU別リスクレベルテーブル312を更新する。アプリケーション別リスクレベルが定義されている場合は、
図7で示したアプリケーション権限別リスクレベルテーブル313を更新する。なお、機能別リスクレベルテーブル311と、関連ECU別リスクレベルテーブル312と、アプリケーション権限別リスクレベルテーブル313とを組み合わせてリスクレベルを判定してもよい。
【0128】
ステップS206において、リスクレベル更新部220は、更新管理部210へリスクレベルテーブルの更新が完了した旨を通知する。
【0129】
ステップS207において、更新管理部210は、更新サーバー30へ、リスクレベルテーブルの更新が完了した旨を通知する。
【0130】
図12に移り、ステップS208において、更新サーバー30は、車両50a~車両50fへ新しいソフトウェアを配信する。例えば、カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアを、自動駐車機能(リスクレベル4)に対応したソフトウェアに更新する場合は、更新サーバー30は、更新ソフトウェアを更新対象車両である車両50aと車両50bとに配信する。
【0131】
ステップS209において、更新対象車両は、ステップS208で受信したソフトウェアに更新する。ここでは詳細は記載しないが、更新処理においては、ソフトウェアにデジタル署名が付与されて配布され、車両内でソフトウェアの署名検証が行われることが望ましい。
【0132】
ステップS210において、更新対象車両は、更新処理が終わると、ソフトウェアの更新が完了した旨の通知である更新完了通知を更新サーバー30へ送信する。
【0133】
ステップS211において、更新サーバー30は、更新された機能に関する情報である更新機能情報を脅威情報分析サーバー10へ送信する。
【0134】
ステップS212において、脅威情報分析サーバー10の更新管理部210は、更新機能情報をリスクレベル更新部220へ送信する。
【0135】
ステップS213において、リスクレベル更新部220は、更新機能に関連した脅威情報が脅威情報管理部400にある脅威情報データベース410に含まれているか否かを判定する。更新機能に関連した脅威情報がないと判定した場合(ステップS213でNo)、ステップS217へ処理を移す。一方、更新機能に関連した脅威情報があると判定した場合(ステップS213でYes)、ステップS214へ処理を移す。
【0136】
ステップS214において、リスクレベル更新部220は、リスクレベル管理部300の機能別リスクレベルテーブル311で更新機能のリスクレベルを参照する。
【0137】
ステップS215において、リスクレベル更新部220は、関連脅威情報管理部500のモデル別関連脅威情報データベース510に、更新機能情報を追加し、更新機能に関連する脅威情報とリスクレベルとを追加して、モデル別関連脅威情報データベース510を更新する。
【0138】
例えば、カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアを、自動駐車機能(リスクレベル4)に対応したソフトウェアに更新する場合、ステップS215の更新前のモデル別関連脅威情報データベース510は、
図9のように機能・脅威情報・リスクレベルが登録されているが、ステップS215の処理の後は、
図10に示すように自動駐車機能に関する脅威情報・リスクレベルが追加される。
【0139】
ステップS216において、リスクレベル更新部220は、モデル別関連脅威情報データベースの更新を完了した旨の通知である関連脅威情報更新完了通知を出力部230に送信する。
【0140】
ステップS217において、出力部230は、モデル別関連脅威情報データベースに登録された情報を、セキュリティ分析官が解釈しやすいユーザーインターフェースで表示画面に表示する。
【0141】
以上のように、リスクレベル更新部220は、車両の機能追加の完了前に、関連脅威情報を更新する。これにより、脅威情報分析サーバー10は、ソフトウェア更新の直後から、更新される機能に関連する脅威情報を提示することが可能となり、更新直後に、新機能に対してサイバー攻撃が発生したとしても効率的に攻撃分析が可能となる。
【0142】
なお、リスクレベル更新部220は、所定の台数の車両の機能追加の完了後に、関連脅威情報を更新してもよい。これにより、脅威情報分析サーバー10は、新機能に対する脅威情報の提示のタイミングを柔軟に設定することが可能となる。具体的には、所定の台数の車両でソフトウェアの動作の試行のあとに、新機能に対する脅威情報の提示をすることが可能となる。
【0143】
<機能追加前の出力画面イメージ>
図13は、本実施の形態における機能追加される更新前の関連脅威情報出力画面の一例を示す説明図である。
図13は、
図9のモデル別関連脅威情報データベースの表示の一例を示している。
【0144】
図13において、カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加される前の状態の表示例である、関連脅威情報出力画面800である。
【0145】
図13に示される関連脅威情報出力画面800では、カーメーカーOEM_Aの車種モデルA1が備える機能それぞれについて、当該機能が関連するECU、当該機能のリスクランク、および当該機能が関連する脅威情報が示されている。
【0146】
分析官は、
図13に示される出力画面を見て機能ごとのリスクレベルを知り、ログの分析に役立てることが想定される。分析官は、車両50a等から脅威情報分析サーバー10にアップロードされたログを分析することによって当該車両50aが新たな脅威、又は、既知の脅威による攻撃を受けていないかを監視している。このとき、分析官は、
図13に示される出力画面において、リスクレベルの高い脅威ほど、より優先的に着目して、車両50a等からアップロードされたログを分析する。これは、リスクレベルの高い脅威が発見されてからその脅威を分析するまでに要する時間を短縮する効果につながる。
【0147】
なお、
図13では、リスクレベルが、低、中および高の3段階に丸めて表示されているが、リスクレベル管理部300が保持するリスクレベルテーブルに基づき、リスクレベルを表示してもよい。
【0148】
<機能追加後の出力画面イメージ>
図14は、本実施の形態における機能追加された更新後の関連脅威情報出力画面の一例を示す説明図である。
図14は、
図10のモデル別関連脅威情報データベースの表示の一例を示している。
【0149】
カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加された後の状態の表示例である、関連脅威情報出力画面810である。
【0150】
図14に示される関連脅威情報出力画面810では、関連脅威情報出力画面800(
図13参照)に加えて、機能追加された自動駐車機能について、新たな機能であることを示す印811が付されている。また、新たな機能である自動駐車機能のリスクレベルが「高」であることから注意を要することを示す印812が表示されている。
【0151】
<実施の形態1の効果>
実施の形態1に示したように、例えば、カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加される場合、新たな機能である自動運転機能に関連する脅威情報を優先的に表示し、それに関わるリスクレベルも高いことが分かるように関連脅威情報出力画面810を表示することが可能となる。分析官は、関連脅威情報出力画面810を視認し、印811及び812が付されていることに基づいて、直感的に自動駐車機能に注目して、分析をすることができる。
【0152】
そのため、もし、リスクの高い自動駐車機能がサイバー攻撃された場合、セキュリティ分析官による攻撃分析が効率化され、自動駐車機能のソフトウェアの脆弱性を修正したソフトウェアを配信するまでの時間を大幅に短縮することが可能となる。攻撃発生から、対応ソフトの配信までの時間短縮化は、被害の拡大を防止することになるのでセキュリティ効果としては非常に高い。
【0153】
(実施の形態2)
実施の形態1では、OTAによる更新内容に基づき、モデル別に関連する脅威情報を表示していた。しかしながら、同一モデルであっても個車ごとに更新タイミングは異なる。実施の形態2では、モデル別ではなく、個車ごとの更新状況に合わせた脅威情報の提示である。実施の形態1と構成が同じ部分が多いため、差異がある部分のみ説明する。
【0154】
関連脅威情報管理部500は、実施の形態1におけるモデル別関連脅威情報データベース510に代えて、車両別関連脅威情報データベース520を保持する。
【0155】
<更新シーケンス>
図15は、本実施の形態における、更新により機能追加される場合の車両別の関連脅威情報が更新される処理を示すシーケンス図である。実施の形態1の
図11のステップS201からS207までの処理は、実施の形態1と同じであるため説明を省略する。
図15に示されるステップS308からS317までの処理は、実施の形態1の
図12のステップS208からS217までの処理に対応している。以降では、実施の形態1と異なる部分を説明する。
【0156】
また、ここでは、カーメーカーOEM_Aの車種モデルA1の車両IDが「VID_A1」と「VID_A2」とである車両のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加されるケースを例として説明する。
【0157】
ステップS308において、更新サーバー30は、車両50a~車両50fへ新しいソフトウェアを配信する。例えば、カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能(リスクレベル3)のソフトウェアを、自動駐車機能(リスクレベル4)に対応したソフトウェアに更新する場合は、更新サーバー30は、更新ソフトを車両IDが「VID_A1」と「VID_A2」とである車両に配信する。
【0158】
ステップS309において、更新対象車両(VID_A1とVID_A2)は、ステップS308で受信したソフトウェアに更新する。ここでは詳細は記載しないが、更新処理においては、ソフトウェアにデジタル署名が付与されて配布され、車両内でソフトウェアの署名検証が行われることが望ましい。
【0159】
ステップS310において、更新対象車両(VID_A1とVID_A2)は、更新処理が終わると、車両IDと共に、ソフトウェアの更新が完了した旨の通知である更新完了通知を更新サーバー30へ送信する。
【0160】
ステップS311において、更新サーバー30は、更新された機能に関する情報である更新機能情報を脅威情報分析サーバー10へ送信する。
【0161】
ステップS312において、脅威情報分析サーバー10の更新管理部210は、更新機能情報をリスクレベル更新部220へ送信する。
【0162】
ステップS313において、リスクレベル更新部220は、更新機能に関連した脅威情報が脅威情報管理部400にある脅威情報データベース410に含まれているかを判定する。更新機能に関連した脅威情報がないと判定した場合(ステップS313でNo)、ステップS317へ処理を移す。一方、更新機能に関連した脅威情報があると判定した場合(ステップS313でYes)、ステップS314へ処理を移す。
【0163】
ステップS314において、リスクレベル更新部220は、リスクレベル管理部300の機能別リスクレベルテーブル311で更新機能のリスクレベルを参照する。
【0164】
ステップS315において、リスクレベル更新部220は、関連脅威情報管理部500の車両別関連脅威情報データベースに、更新機能情報を追加し、更新機能に関連する脅威情報とリスクレベルとを追加し、さらには車両別の更新状況を記録して、車両別関連脅威情報データベースを更新する。
【0165】
例えば、カーメーカーOEM_Aの車種モデルA1の車両VID_A1と車両VID_A2とのECU_A3の駐車支援機能(リスクレベル3)のソフトウェアを、自動駐車機能(リスクレベル4)に対応したソフトウェアに更新する場合、車両ごとの更新状況が記録される。車両別関連脅威情報データベースは
図16を用いて後述する。
【0166】
ステップS316において、リスクレベル更新部220は、車両別関連脅威情報データベースの更新を完了した旨の通知である関連脅威情報更新完了通知を出力部230に送信する。
【0167】
ステップS317において、出力部230は、車両別関連脅威情報データベースに登録された情報を、セキュリティ分析官が解釈しやすいユーザーインターフェースで表示画面に表示する。
【0168】
<車両別関連脅威情報データベース>
図16は、本実施の形態における車両別の関連脅威情報データベースの一例として、車両別関連脅威情報データベース520を示す説明図である。
【0169】
車両別関連脅威情報データベース520は、カーメーカー、車種情報、車両ID、機能情報、その機能を制御するECU ID、ECUソフトのバージョン、ECUソフトの更新状況、リスクレベル、ECUに関連する脅威情報のIDを含んで構成される。
【0170】
例えば、カーメーカーOEM_Aの車種モデルA1の車両VID_A1と車両VID_A2のECU_A3の駐車支援機能(リスクレベル3)のソフトウェア(Version1.0)を、自動駐車機能(リスクレベル4)に対応したソフトウェア(Version2.0)へ更新する例で、
図16は、車両VID_A1が未更新であり、車両VID_A2が更新済みであることを示している。
【0171】
<車両別関連脅威情報の表示>
図17は、
図16の車両別関連脅威情報データベースを表示した一例を示している。
【0172】
カーメーカーOEM_Aの車種モデルA1のECU_A3の駐車支援機能のソフトウェアが、自動駐車機能(リスクレベル4)に対応したソフトウェアへ更新し機能追加された後の状態の表示例である関連脅威情報出力画面900である。関連脅威情報出力画面900は、車両VID_A1についてはECU_A3の駐車支援機能のソフトウェアが未更新であり、車両VID_A2については上記ソフトウェアが更新済みであることを示している。
【0173】
図17に示される関連脅威情報出力画面900では、
図14と同様、機能追加された自動駐車機能および駐車支援機能について、新たな機能であることを示す印811が付されている。また、車両VID_A1については、上記ソフトウェアが未更新であることから、注意を要することを示す印812が表示されている。なお、この場合における印812は、ソフトウェアが未更新であることを分析官に示すための印であるともいえるし、ソフトウェアを更新する必要があることを分析官に示すための印であるともいえる。また、車両VID_A2については、新たな機能である自動駐車機能のリスクレベルが高いことから注意を要することを分析官に示す印812が表示されている。
【0174】
<実施の形態2の効果>
同一モデルであっても個車ごとに更新タイミングは異なる。実施の形態2では、モデル別ではなく、個車ごとの更新状況に合わせた脅威情報が可能となり、車両ごとの更新状況に合わせたセキュリティ分析が可能となる。
【0175】
<その他変形例>
なお、本発明を上記各実施の形態に基づいて説明してきたが、本発明は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
【0176】
(1)上記の実施の形態では、脅威情報を活用した自動車へのサイバー攻撃分析として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。また、工場やビルなどの産業制御システムで利用される通信ネットワーク、又は、組込みデバイスを制御するための通信ネットワークに適用してもよい。また、より広く、IoTデバイスであってもよい。IoTデバイスとは、上記のモビリティのほか、家電製品を含む概念であり、通信インタフェースを有している一方、計算処理などに使用するリソースが比較的小さいデバイスを指す概念である。なお、IoTデバイスの概念には、パーソナルコンピュータ、又はマートフォンなどの情報処理装置は含まれない。
【0177】
(2)上記の実施の形態では、リスクレベル管理部300が、機能別、アプリケーション権限別、又は、ECU別でリスクレベルを定義していたが、これに限定されない。例えば、採用するOS別、又は、ECUがサポートしている通信プロトコル別(例えばCAN(Controller Area Network)、CAN-FD(Controller Area Network with Flexible Data Rate)、Ethernet、LIN(Local Interconnect Network)、Flexray)であってもよいし、それぞれを組み合わせたものでリスクレベルを定義してもよい。
【0178】
(3)上記の実施の形態では、各機能に対して1つの脅威情報しか関連づけしていないが、関連する脅威情報を複数関連づけしてもよい。これにより、複数の攻撃手法を組み合わせた高度な攻撃も分析可能となる。また、複数の脅威情報を関連付ける場合は、出力部230は、攻撃手順に従った順序で関連する脅威情報を並べ変えて出力してもよい。これにより、攻撃手順を追った分析が可能となり、対応までの時間を短縮することが可能となる。
【0179】
(4)上記の実施の形態では、関連脅威情報を表形式で表示していたが、関連する機能と脅威情報をツリー形式で表示してもよい。これにより、関連する脅威情報が多い機能やECUからの枝が密になるので、攻撃されやすいポイントをわかりやすく提示することが可能となる。
【0180】
(5)上記の実施の形態では、ソフトウェア更新により追加される機能に関連した脅威情報を、過去の脅威情報を検索して関連づけしていたが、過去の脅威情報にない場合は、その時点では脅威情報がないことが分かる形で関連脅威情報として登録しておいてもよい。関連する過去の脅威情報がないが、新たな脅威情報を関連脅威情報に関連づけして登録してもよい。
【0181】
(6)上記の実施の形態では、ソフトウェア更新時に、更新される機能に対する脅威情報を検索していたが、この検索処理は、定期的に行っても良い。これにより、常に最新の脅威情報を関連づけることが可能となる。
【0182】
(7)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0183】
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
【0184】
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
【0185】
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
【0186】
(8)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
【0187】
(9)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0188】
また、本発明は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標)Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
【0189】
また、本発明は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
【0190】
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
【0191】
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【0192】
(10)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【0193】
なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の脅威分析装置などを実現するソフトウェアは、次のようなプログラムである。
【0194】
すなわち、このプログラムは、コンピュータに、IoTデバイスの機能追加がなされたことを示す更新情報を管理する更新管理ステップと、サイバー攻撃の脅威情報を格納する脅威情報管理ステップと、前記IoTデバイスのリスクレベルが定義されたリスクレベル情報を管理するリスクレベル管理ステップと、前記脅威情報と、前記IoTデバイスに前記リスクレベルを関連づけた関連脅威情報とを管理する関連脅威情報管理ステップと、前記更新情報に基づいて、前記脅威情報と前記IoTデバイスの前記リスクレベルとの関連づけを行い、前記関連脅威情報を更新するリスクレベル更新ステップと、前記関連脅威情報管理ステップで管理する前記関連脅威情報を出力する出力ステップと、を含む脅威分析方法を実行させるプログラムである。
【0195】
以上、一つまたは複数の態様に係る脅威分析装置などについて、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。
【産業上の利用可能性】
【0196】
本発明は、車両などに対してなされるサイバー攻撃を分析する分析装置に適用可能である。
【符号の説明】
【0197】
1 脅威情報分析システム
10 脅威情報分析サーバー
20 脅威情報管理サーバー
30 更新サーバー
40 ネットワーク
50a、50b、50c、50d、50e、50f 車両
100 脅威情報
101、102、103、104、105、106、107、108、109、110 フィールド
200 脅威情報交換処理部
210 更新管理部
220 リスクレベル更新部
230 出力部
240 車両制御部
300 リスクレベル管理部
310 リスクレベルテーブル
311 機能別リスクレベルテーブル
312 関連ECU別リスクレベルテーブル
313 アプリケーション権限別リスクレベルテーブル
400 脅威情報管理部
410 脅威情報データベース
500 関連脅威情報管理部
510、510A モデル別関連脅威情報データベース
520 車両別関連脅威情報データベース
800、810、900 関連脅威情報出力画面
811、812 印