知財求人 - 知財ポータルサイト「IP Force」
特許7409247不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-25
(45)【発行日】2024-01-09
(54)【発明の名称】不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
(51)【国際特許分類】
H04L 12/66 20060101AFI20231226BHJP
G06F 21/55 20130101ALI20231226BHJP
H04L 12/28 20060101ALI20231226BHJP
H04L 12/22 20060101ALI20231226BHJP
【FI】
H04L12/66
G06F21/55 320
H04L12/28 100A
H04L12/22
【請求項の数】
7
(21)【出願番号】P 2020120685
(22)【出願日】2020-07-14
(65)【公開番号】P2022017873
(43)【公開日】2022-01-26
【審査請求日】2023-01-11
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】井本 礼一郎
(72)【発明者】
【氏名】菅島 健司
(72)【発明者】
【氏名】江川 万寿三
【審査官】大石 博見
(56)【参考文献】
【文献】特開2019-125344(JP,A)
【文献】特開2017-060057(JP,A)
【文献】特開2019-087277(JP,A)
【文献】米国特許出願公開第2020/0145437(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/28
G06F 21/55
H04L 12/22
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
移動体に搭載される電子制御装置の異常を検出した場合に、前記移動体に対する措置の実行を指示する不正侵入防止装置であって、前記電子制御装置の防御機能と関係する第1の情報、及び前記電子制御装置の前記防御機能以外の機能と関係する第2の情報を取得する取得部(101又は201)と、
前記第1の情報を用いて前記防御機能が正常か異常かを判定する第1の判定部(111又は211)と、
前記第2の情報を用いて前記防御機能以外の機能が正常か異常かを判定する第2の判定部(112又は212)と、
前記第1の判定部及び前記第2の判定部の判定結果を用いて、前記移動体における不正な情報の遮断方法である前記措置を決定する措置決定部(113又は213)と、を有する、
不正侵入防止装置(100又は200)。
【請求項2】
前記防御機能以外の機能は、前記電子制御装置自体である、請求項1記載の不正侵入防止装置。
【請求項3】
前記措置決定部は、前記第1の判定部が前記防御機能は正常であると判定した場合、前記防御機能に基づく遮断方法を前記措置とし、
前記第1の判定部が前記防御機能は異常であると判定した場合、
前記第2の判定部が前記防御機能以外の機能が正常であると判定した場合、前記電子制御装置からの出力動作を停止する遮断方法を前記措置とし、
前記第2の判定部が前記防御機能以外の機能が異常であると判定した場合、前記電子制御装置の下位の階層に位置する他の電子制御装置への入力動作を停止する遮断方法を前記措置とする、
請求項1記載の不正侵入防止装置。
【請求項4】
当該不正侵入防止装置は、移動体の外部に設けられた、前記移動体と通信を行うセンタ装置である、請求項1~3いずれかに記載の不正侵入防止装置(200)。
【請求項5】
当該不正侵入防止装置は、移動体に搭載されている、請求項1~3いずれかに記載の不正侵入防止装置(100)。
【請求項6】
移動体に搭載される電子制御装置の異常を検出した場合に、前記移動体に対する措置の実行を指示する不正侵入防止方法であって、前記電子制御装置の防御機能と関係する第1の情報、及び前記電子制御装置の前記防御機能以外の機能と関係する第2の情報を取得し、
前記第1の情報を用いて前記防御機能が正常か異常かを判定する第1の判定を行い、
前記第2の情報を用いて前記防御機能以外の機能が正常か異常かを判定する第2の判定を行い、
前記第1の判定及び前記第2の判定の判定結果を用いて、前記移動体に対する不正な情報の遮断方法である前記措置を決定する、
不正侵入防止方法。
【請求項7】
移動体に搭載される電子制御装置の異常を検出した場合に、前記移動体に対する措置の実行を指示する不正侵入防止装置で実行可能な不正侵入防止用プログラムであって、前記電子制御装置の防御機能と関係する第1の情報、及び前記電子制御装置の前記防御機能以外の機能と関係する第2の情報を取得し、
前記第1の情報を用いて前記防御機能が正常か異常かを判定する第1の判定を行い、
前記第2の情報を用いて前記防御機能以外の機能が正常か異常かを判定する第2の判定を行い、
前記第1の判定及び前記第2の判定の判定結果を用いて、前記移動体に対する不正な情報の遮断方法である前記措置を決定する、
不正侵入防止用プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイバー攻撃を検知・分析する装置であって、センタ装置又は車載装置に設けられている不正侵入防止装置に関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。サイバー攻撃に伴い車両のコントロールを失う可能性があるため、サイバー攻撃に対してより強固な防御手段が必要となる。
【0003】
ここで、車両におけるサイバー攻撃に関し、例えば特許文献1には、車両ログに基づいてインシデントを検知し、脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う装置が開示されている。
【0004】
また、特許文献2には、車両に対する不正な攻撃の侵入の深度に従って、車両外部への通信方法、不正な攻撃に対する防御方法、車載装置に関するログの保存方法の少なくとも1つを変更する制御器を備える装置が記載されている。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2019-133599号公報
【文献】特開2019-125344号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、本発明者は、以下の課題を見出した。
セキュリティインシデントの対応として、被害の拡大を防止することを目的として暫定措置のような速やかな措置が求められる。多層防御アーキテクチャーを採用する車両の措置として有害な情報や有害な通信を含む不正な情報を遮断する方法が考えられる。この場合、侵入口である上位層(例えば1層目)で遮断することが望ましいが、下位層(例えば2層目)まで侵入が及んでいる場合には、被害の拡大を招いてしまう。
セキュリティインシデントの対応として、被害の拡大を防止することを目的として暫定措置のような速やかな措置が求められる。多層防御アーキテクチャーを採用する車両の措置として有害な情報や有害な通信を含む不正な情報を遮断する方法が考えられる。この場合、侵入口である上位層(例えば1層目)で遮断することが望ましいが、下位層(例えば2層目)まで侵入が及んでいる場合には、被害の拡大を招いてしまう。
【0007】
本発明は、不正な情報を効果的に遮断することができる不正侵入防止装置等を実現することを目的とする。
【課題を解決するための手段】
【0008】
本開示の不正侵入防止装置(100又は200)は、
電子制御装置の異常を検出した場合に暫定措置の実行を指示する不正侵入防止装置であって、
前記電子制御装置の防御機能と関係する第1の情報、及び前記電子制御装置の前記防御機能以外の機能と関係する第2の情報を取得する取得部(101又は201)と、
前記第1の情報を用いて前記防御機能が正常か異常かを判定する第1の判定部(111又は211)と、
前記第2の情報を用いて前記防御機能以外の機能が正常か異常かを判定する第2の判定部(112又は212)と、
前記第1の判定部及び前記第2の判定部の判定結果を用いて、不正な情報の遮断方法である前記暫定措置を決定する暫定措置決定部(113又は213)と、を有する。
電子制御装置の異常を検出した場合に暫定措置の実行を指示する不正侵入防止装置であって、
前記電子制御装置の防御機能と関係する第1の情報、及び前記電子制御装置の前記防御機能以外の機能と関係する第2の情報を取得する取得部(101又は201)と、
前記第1の情報を用いて前記防御機能が正常か異常かを判定する第1の判定部(111又は211)と、
前記第2の情報を用いて前記防御機能以外の機能が正常か異常かを判定する第2の判定部(112又は212)と、
前記第1の判定部及び前記第2の判定部の判定結果を用いて、不正な情報の遮断方法である前記暫定措置を決定する暫定措置決定部(113又は213)と、を有する。
【0009】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0010】
上述のような構成により、不正な情報を効果的かつ必要最小限の制約の元遮断することができる。
【図面の簡単な説明】
【0011】
【図1】本開示の実施形態の不正侵入防止システムの構成例を示す図
【図2】本開示の各実施形態に共通の暫定措置を説明する説明図
【図3】本開示の実施形態1の車載装置の構成例を示すブロック図
【図4】本開示の実施形態1のセンタ装置の構成例を示すブロック図
【図5】本開示の実施形態1の不正侵入防止システムの動作を示すフローチャート
【図6】本開示の実施形態2の車載装置の構成例を示すブロック図
【図7】本開示の実施形態2のセンタ装置の構成例を示すブロック図
【図8】本開示の実施形態2の不正侵入防止システムの動作を示すフローチャート
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について、図面を参照して説明する。
【0013】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0014】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0015】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0016】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
【0017】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0018】
【0019】
不正侵入防止システム1は、車両に搭載される車載装置100(又は120。各実施形態に共通の構成等の章において、以下同様)、及びセンタ装置200(又は220。各実施形態に共通の構成等の章において、以下同様)から構成される。
【0020】
車載装置100は、通信ネットワーク2を介して、センタ装置200と接続されている。
【0021】
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、車載装置100とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置200との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、車載装置100とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置200との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
【0022】
各実施形態の「不正侵入防止装置」は、車載装置100又はセンタ装置200のいずれかに搭載される。実施形態1ではセンタ装置200に搭載される場合を、実施形態2では、車載装置100に搭載される場合を、それぞれ説明する。
ここで、「不正侵入防止装置」とは、不正侵入を防止するための措置の実行を指示する装置であれば足り、不正侵入を防止する措置を実行する機能を自装置中に含む必要は必ずしもない。
ここで、「不正侵入防止装置」とは、不正侵入を防止するための措置の実行を指示する装置であれば足り、不正侵入を防止する措置を実行する機能を自装置中に含む必要は必ずしもない。
【0023】
(2)暫定措置
図2を用いて、各実施形態に共通の暫定措置を説明する。
図2を用いて、各実施形態に共通の暫定措置を説明する。
【0024】
車載装置100に複数のECUが接続されるとともに、複数のECUが階層(レイヤ)を構成する場合を考える。図2では、ECU1が上位の階層に位置し、ECU2がECU1の「下位の階層」に位置している。このような階層は、例えば、外部との通信を担う通信ECU、通信ECUと接続されるとともに複数の個別ECUと接続され個別ECUを管理するセントラルゲートウェイECU(CECU)、及び個別ECU、が接続された車載ネットワークシステムに見られる。すなわち、通信ECU、CECU、個別ECUの順に階層が下位になる。この他、さらにサブゲートウェイECU等を用いて、ドメインやサブネットワークに細分化し、さらなる階層を設けてもよい。
ここで、「下位の階層」とは、物理的、又は機能的に下位であればよい。前者の例として、外部との接点を有する通信ECUからの距離、又は通信ECUからの経路上のECU等の装置の数、後者の例としてマスタスレーブ関係があるECUのうちスレーブ側のECU、が挙げられる。
ここで、「下位の階層」とは、物理的、又は機能的に下位であればよい。前者の例として、外部との接点を有する通信ECUからの距離、又は通信ECUからの経路上のECU等の装置の数、後者の例としてマスタスレーブ関係があるECUのうちスレーブ側のECU、が挙げられる。
【0025】
階層を構成する複数のECUに対する攻撃としては、図2(A)に示す通り、以下の例が考えられる。
(a)まず、外部から不正な情報が正しい情報として送信され、ECU1が受信する。この時点では、ECU1の防御機能及び防御機能以外のその他の機能はまだ正常に動作する。
(b)次に、不正な情報により、ECU1の防御機能が無効化される。この時点では、ECU1の防御機能は無効化され正常な動作を行うことができないが、その他の機能はまだ正常に動作する。
(c)さらに、不正な情報により、ECU1のその他の機能が無効化され、その結果ECU1の全ての機能が無効化される。この時点では、ECU1の防護機能もその他の機能も無効化されているので、いずれも正常な動作を行うことができない。
(d)外部から不正な情報が正しい情報として送信され、ECU1を通過してECU2が受信する。
(a)まず、外部から不正な情報が正しい情報として送信され、ECU1が受信する。この時点では、ECU1の防御機能及び防御機能以外のその他の機能はまだ正常に動作する。
(b)次に、不正な情報により、ECU1の防御機能が無効化される。この時点では、ECU1の防御機能は無効化され正常な動作を行うことができないが、その他の機能はまだ正常に動作する。
(c)さらに、不正な情報により、ECU1のその他の機能が無効化され、その結果ECU1の全ての機能が無効化される。この時点では、ECU1の防護機能もその他の機能も無効化されているので、いずれも正常な動作を行うことができない。
(d)外部から不正な情報が正しい情報として送信され、ECU1を通過してECU2が受信する。
【0026】
図2(B)に示す通り、(a)の場合であれば、ECU1の防御機能に基づく遮断方法を暫定措置とする。これにより、ECU1の防御機能で不正な情報の侵入を止めることができる。
(b)の場合であれば、ECU1の防御機能は正常な動作を行うことができないが、ECU1のその他の機能は正常に動作するので、ECU1のその他の機能に基づきECU1からの出力動作を停止する遮断方法を暫定措置とする。これにより、ECU1から不正な情報がECU2に流出するのを止めることができる。
(c)の場合であれば、ECU1の防御機能もその他の機能も正常な動作を行うことができないが、ECU2はまだすべての機能が正常な動作を行うことができるので、ECU2のその他の機能に基づきECU2への入力動作を停止する遮断方法を暫定措置とする。あるいは、これに代えて、ECU2の防御機能に基づく遮断方法を暫定措置としてもよい。
(b)の場合であれば、ECU1の防御機能は正常な動作を行うことができないが、ECU1のその他の機能は正常に動作するので、ECU1のその他の機能に基づきECU1からの出力動作を停止する遮断方法を暫定措置とする。これにより、ECU1から不正な情報がECU2に流出するのを止めることができる。
(c)の場合であれば、ECU1の防御機能もその他の機能も正常な動作を行うことができないが、ECU2はまだすべての機能が正常な動作を行うことができるので、ECU2のその他の機能に基づきECU2への入力動作を停止する遮断方法を暫定措置とする。あるいは、これに代えて、ECU2の防御機能に基づく遮断方法を暫定措置としてもよい。
【0027】
なお、防御機能以外のその他の機能として、ECUの機能自体としてもよい。つまり、ECU自体が正常に動作するか否かを判定するようにしてもよい。
また、本実施形態では、不正な情報の遮断を暫定措置としたが、これを恒久措置として実行してもよい。その場合、本実施形態の暫定措置は措置全般を意味する「措置」と読み替える。
また、本実施形態では、不正な情報の遮断を暫定措置としたが、これを恒久措置として実行してもよい。その場合、本実施形態の暫定措置は措置全般を意味する「措置」と読み替える。
【0028】
(3)防御機能、防御機能以外の機能が正常か異常かを判定するために用いる情報
(a)ECUの防御機能と「関係する」情報(「第1の情報」に相当)としては、以下の情報が挙げられる。防御機能の動作を推認できる理由とともに説明する。
ここで、「関係する」とは、当該機能の動作を直接示す場合の他、第1の情報又は第2の情報から当該機能の動作を推認できる、すなわち当該機能の動作を間接的に示す場合も含まれる。以下同様である。
(a)ECUの防御機能と「関係する」情報(「第1の情報」に相当)としては、以下の情報が挙げられる。防御機能の動作を推認できる理由とともに説明する。
ここで、「関係する」とは、当該機能の動作を直接示す場合の他、第1の情報又は第2の情報から当該機能の動作を推認できる、すなわち当該機能の動作を間接的に示す場合も含まれる。以下同様である。
【0029】
防御機能プロセスの停止ログ:防御機能プロセスの停止ログを検出した場合、その防御機能は正常に動作していないと判定できる。
セキュリティ設定変更ログ:セキュリティ設定変更ログの内容が既定の設定を示す場合は、防御機能が正常に動作していると判定できる。
セキュアブートログ(防御機能が検証範囲の場合):セキュアブートに成功していれば、検証範囲である防御機能が正常に動作していると判定できる。
防御機能を確認するためのテストパケットを送信した際の動作ログ:動作ログを確認し、期待通りの動作であれば、その防御機能は正常に動作していると判定できる。
セキュリティ設定変更ログ:セキュリティ設定変更ログの内容が既定の設定を示す場合は、防御機能が正常に動作していると判定できる。
セキュアブートログ(防御機能が検証範囲の場合):セキュアブートに成功していれば、検証範囲である防御機能が正常に動作していると判定できる。
防御機能を確認するためのテストパケットを送信した際の動作ログ:動作ログを確認し、期待通りの動作であれば、その防御機能は正常に動作していると判定できる。
【0030】
(b)ECUの防御機能以外の機能と「関係する」情報(「第2の情報」に相当)としては、以下の情報が挙げられる。防御機能以外の動作を推認できる理由とともに説明する。
【0031】
セキュアブートログ(防御機能以外の機能が検証範囲の場合):セキュアブートに成功していれば、検証範囲である防御機能以外の機能が正常に動作していると判定できる。
リ・プログラミング実施ログ:最後のリ・プログラミングの実施により正しいソフトウェアが書かれていれば、防御機能以外の機能が正常に動作していると判定できる。
ネットワーク異常検出ログ:異常通信の送信元ECUが特定できた場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
ホスト異常検出ログ:CFI(Control-Flow Integrity)で異常を検出した場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
ホスト異常検出ログ:ホワイトリストによるプロセス、コマンド、ファイルの不正実行を検出した場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
故障情報:防御機能以外の故障を検出した場合、そのECUの故障検出箇所が正常に動作していないと判定できる。
リ・プログラミング実施ログ:最後のリ・プログラミングの実施により正しいソフトウェアが書かれていれば、防御機能以外の機能が正常に動作していると判定できる。
ネットワーク異常検出ログ:異常通信の送信元ECUが特定できた場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
ホスト異常検出ログ:CFI(Control-Flow Integrity)で異常を検出した場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
ホスト異常検出ログ:ホワイトリストによるプロセス、コマンド、ファイルの不正実行を検出した場合、そのECUは防御機能以外の動作が正常に動作していないと判定できる。
故障情報:防御機能以外の故障を検出した場合、そのECUの故障検出箇所が正常に動作していないと判定できる。
【0032】
なお、これらに挙げられた複数の情報を用いて判定してもよい。これにより、判定精度を上げることができる。
【0033】
2.実施形態1
本実施形態では、不正侵入防止装置はセンタ装置200に設けられている。
本実施形態では、不正侵入防止装置はセンタ装置200に設けられている。
【0034】
(1)車載装置の構成
図3を用いて、本実施形態の車載装置100の構成について説明する。
図3を用いて、本実施形態の車載装置100の構成について説明する。
【0035】
車載装置100は、ログ収集部101、保存部102、制御部103、送信部107、及び受信部108からなる。
【0036】
車載装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図3に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図4で示されるセンタ装置200においても同様である。
もちろん、車載装置100を、LSI等の専用のハードウェアで実現してもよい。
もちろん、車載装置100を、LSI等の専用のハードウェアで実現してもよい。
【0037】
車載装置100は、本実施形態では半完成品としての電子制御装置(ECU(Electric Control Unit)、以下ECUと略する。)の形態を想定しているが、これに限らない。例えば、部品の形態としては、半導体回路や半導体モジュール、完成品の形態としては、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられる。
なお、車載装置100は、単一のECUの他、複数のECUで構成されてもよい。例えば、外部との通信を通信ECUが担当するようにしてもよい。
あるいは、視点を変えて、通信ECUを含めた複数のECUを、本実施形態の車載装置100と把握してもよい。
なお、車載装置100は、単一のECUの他、複数のECUで構成されてもよい。例えば、外部との通信を通信ECUが担当するようにしてもよい。
あるいは、視点を変えて、通信ECUを含めた複数のECUを、本実施形態の車載装置100と把握してもよい。
【0038】
ログ収集部101は、車載装置100に接続された単数又は複数の「電子制御装置」であるECUと車載ネットワークを介して接続され、各ECUに設けられたセキュリティセンサから送信された異常ログ、各ECUに設けられた防御機能から送信された動作状態ログ(「第1の情報」に相当)や、各ECUに設けられたその他機能から送信された動作状態ログ(「第2の情報」に相当)、を受信する。セキュリティセンサは、各ECU自身や各ECUの通信を監視し、異常ログによって異常報告を行う。
ここで、「電子制御装置」とは、情報を処理し特定の機能を発揮する装置であれば足り、呼称は問わない。例えば、情報処理装置、情報処理回路、制御ユニット、制御装置、計算装置、等と呼ばれる装置でもよい。また、その形態も任意であり、部品の形態として、半導体回路、半導体モジュール、半完成品の形態として電子制御装置、電子制御ユニット、完成品の形態としてサーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステム、であってもよい。
ここで、「電子制御装置」とは、情報を処理し特定の機能を発揮する装置であれば足り、呼称は問わない。例えば、情報処理装置、情報処理回路、制御ユニット、制御装置、計算装置、等と呼ばれる装置でもよい。また、その形態も任意であり、部品の形態として、半導体回路、半導体モジュール、半完成品の形態として電子制御装置、電子制御ユニット、完成品の形態としてサーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステム、であってもよい。
【0039】
各ECUであるECU1、ECU2、ECU3は任意のECUであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスターとスレーブとに分類されていてもよい。
【0040】
車載ネットワークは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
【0041】
保存部102は、ログ収集部101から制御部103を介して、又はログ収集部101から直接、ログ収集部101で収集したログを保存する。
保存部102は、不揮発性メモリ又は揮発性メモリで構成されている。
保存部102は、不揮発性メモリ又は揮発性メモリで構成されている。
【0042】
制御部103は、ログ収集部101、保存部102、送信部107、及び受信部108の動作を制御する。また、制御部103は、それ自身で、異常検出ログ処理部104、状態監視部105、及び暫定措置実行部106を実現している。
【0043】
異常検出ログ処理部104は、各ECUのセキュリティセンサから異常ログを受信した場合は、異常ログをセンタ装置200に送信するよう、送信部108に指示する。
【0044】
状態監視部105は、各ECUの状態を監視し、各ECUに設けられた防御機能から送信された動作状態ログや、各ECUに設けられたその他機能から送信された動作状態ログを保存部102に保存するよう指示する。また、センタ装置200からの指示に基づき、動作状態ログを保存部102から読み出し、動作状態ログをセンタ装置200に送信するよう送信部108に指示する。
【0045】
暫定措置実行部106は、センタ装置200の暫定措置決定部213で決定された暫定措置を実行する。具体的には、暫定措置を該当するECUに対して実行するよう指示を行う。
【0046】
送信部107は、異常ログや動作状態ログを、センタ装置200にアンテナAを介して送信する。
なお、外部通信を担当する通信ECUが車載装置100とは別に設けられている場合は、送信部107は通信ECUに異常ログや動作状態ログを送信する。しかし、この場合も送信部107は、通信ECUを介してセンタ装置200に異常ログや動作状態ログを送信することに相違ない。
なお、外部通信を担当する通信ECUが車載装置100とは別に設けられている場合は、送信部107は通信ECUに異常ログや動作状態ログを送信する。しかし、この場合も送信部107は、通信ECUを介してセンタ装置200に異常ログや動作状態ログを送信することに相違ない。
【0047】
受信部108は、センタ装置200から、後述の動作状態ログ要求や暫定措置実行指示をアンテナAを介して受信する。
【0048】
(2)センタ装置の構成
図4を用いて、本実施形態のセンタ装置200の構成について説明する。
図4を用いて、本実施形態のセンタ装置200の構成について説明する。
【0049】
センタ装置200は、受信部201、制御部202、保存部205、及び送信部206を有する。
【0050】
センタ装置200は、本実施形態では完成品としてのサーバ装置の形態を想定しているが、これに限らない。例えば、完成品の形態として、ワークステーション、パーソナルコンピュータ(PC)、半完成品の形態としてECU、部品の形態として半導体回路素子が挙げられる。
【0051】
受信部201(「取得部」に相当)は、車載装置100から送信された異常ログや動作状態ログをアンテナAを介して受信する。
【0052】
制御部202は、受信部201、保存部205、及び送信部206の動作を制御する。また、制御部202は、それ自身で、攻撃経路分析部203、暫定措置要否判断部204、第1の判定部211、第2の判定部212、及び暫定措置決定部213を実現している。
【0053】
攻撃経路分析部203は、受信部201で受信した異常ログを分析し、車両に対する攻撃の攻撃経路を推定する。攻撃経路の推定とは、どのECUやどのネットワークを経由して攻撃されているかを推定することをいう。具体的には、ネットワーク異常検出ログを用い、異常通信の送信元及び送信先の情報から攻撃経路を推定する。あるいは、ホスト異常検出ログを用い、ホスト上の異常発生箇所を推定する。推定結果は、暫定措置要否判断部204に出力する。
【0054】
暫定措置要否判断部204は、攻撃経路分析部203で推定した攻撃経路に基づき、暫定措置の要否を判断する。具体的には、攻撃経路と異常ログに基づき、車載装置100に接続されたどのECUに不正な情報の侵入が及んでいる可能性があるか否かを判断する。そして、暫定措置が必要と判断した場合、攻撃経路上のECUの動作状態ログの送信要求である動作状態ログ要求を生成し、これを車載装置100に送信するよう送信部206に指示する。
なお、動作状態ログ要求は、異常ログを送信した車両に対して送信するだけでなく、その他の車両に対しても送信するようにしてもよい。例えば、同一車種の車両に対して送信するようにしてもよい。多数の車両から動作状態ログを収集することにより、必要に応じ暫定措置の指示範囲を拡大することができる。ここで、センタ装置200の保存部205には、各車両の車両ID及び車種等の識別情報が保存されており、複数の車両の異常ログ及び動作状態ログは、車両IDと紐づけて保存される。そして、例えば、同一車種の車両のうち一定数以上が攻撃を受けていると分析された場合、暫定措置決定部213は、攻撃を受けている車両だけでなく同一車種の車両全てに対し、暫定措置を指示するようにしてもよい。
なお、動作状態ログ要求は、異常ログを送信した車両に対して送信するだけでなく、その他の車両に対しても送信するようにしてもよい。例えば、同一車種の車両に対して送信するようにしてもよい。多数の車両から動作状態ログを収集することにより、必要に応じ暫定措置の指示範囲を拡大することができる。ここで、センタ装置200の保存部205には、各車両の車両ID及び車種等の識別情報が保存されており、複数の車両の異常ログ及び動作状態ログは、車両IDと紐づけて保存される。そして、例えば、同一車種の車両のうち一定数以上が攻撃を受けていると分析された場合、暫定措置決定部213は、攻撃を受けている車両だけでなく同一車種の車両全てに対し、暫定措置を指示するようにしてもよい。
【0055】
第1の判定部211(「第1の判定部」に相当)は、動作状態ログ要求に従って車載装置100から送信され受信部201で受信した動作状態ログのうち、攻撃経路上のECUの防御機能と「関係する」動作状態ログ(「第1の情報」に相当)を用いて、防御機能が正常か異常かを判定する。具体的な判定方法は、上述の1.(3)(a)で説明したとおりである。
【0056】
第2の判定部212(「第2の判定部」に相当)は、動作状態ログ要求に従って車載装置100から送信され受信部201で受信した動作状態ログのうち、攻撃経路上のECUの防御機能以外の機能と「関係する」動作状態ログ(「第2の情報」に相当)を用いて、防御機能以外の機能が正常か異常かを判定する。具体的な判定方法は、上述の1.(3)(b)で説明したとおりである。
なお、本実施形態では、防御機能以外の機能として、ECUの機能自体としている。つまり、「ECU自体が正常に動作するか否か」を判定している。
ここで、「ECU(電子制御装置)自体が正常か異常か」とは、電子制御装置自体が正しく動作することが保証できるか否かをいい、電子制御装置自体の死活を含む。
なお、本実施形態では、防御機能以外の機能として、ECUの機能自体としている。つまり、「ECU自体が正常に動作するか否か」を判定している。
ここで、「ECU(電子制御装置)自体が正常か異常か」とは、電子制御装置自体が正しく動作することが保証できるか否かをいい、電子制御装置自体の死活を含む。
【0057】
暫定措置決定部213(「措置決定部」に相当)は、第1の判定部211及び第2の判定部212の判定結果を用いて、「不正な情報」の遮断方法である暫定措置を決定する。本実施形態では、具体的な暫定措置の決定方法として、上述の1.(2)で説明したロジックを用いる。そして、暫定措置決定部213は、決定した暫定措置を示す暫定措置実行指示を生成し、これを車載装置100に送信するよう送信部206に指示する。
暫定措置は、複数の措置から構成されてもよい。例えば、車両の安全を保ちながら不正な情報を遮断するために、いきなり通信を遮断するのではなく、まず車両を安全な場所に停止させてから通信を遮断するようにしてもよい。また、その際、第1の情報や第2の情報に加えて、その他のECU動作状態やセキュリティ分析結果を用いるようにしてもよい。
ここで、「不正な情報」とは、ウィルス等それ自体が有害であり不正である場合の他、不正アクセス等それ自体が有害な情報とはいえないが、その行為が有害であり不正である場合を含む。
暫定措置は、複数の措置から構成されてもよい。例えば、車両の安全を保ちながら不正な情報を遮断するために、いきなり通信を遮断するのではなく、まず車両を安全な場所に停止させてから通信を遮断するようにしてもよい。また、その際、第1の情報や第2の情報に加えて、その他のECU動作状態やセキュリティ分析結果を用いるようにしてもよい。
ここで、「不正な情報」とは、ウィルス等それ自体が有害であり不正である場合の他、不正アクセス等それ自体が有害な情報とはいえないが、その行為が有害であり不正である場合を含む。
【0058】
保存部205は、受信部201で受信した異常ログや動作状態ログを保存する。また、暫定措置要否判断部204で生成した動作状態ログ要求や、暫定措置決定部213で生成した暫定措置実行指示を保存するようにしてもよい。
【0059】
送信部206は、動作状態ログ要求や暫定措置実行指示を、車載装置100にアンテナAを介して送信する。
【0060】
本実施形態では、受信部201(「取得部」に相当)、第1の判定部211(「第1の判定部」に相当)、第2の判定部212(「第2の判定部」に相当)、及び暫定措置決定部213(「暫定措置決定部」に相当)、をもって不正侵入防止装置を構成する。もちろん、不正侵入防止装置はこれ以外の構成を有するようにしてもよい。また、車両の外部に設けられた、車両と通信を行うセンタ装置200の全体又はその一部を不正侵入防止装置としてもよい。
【0061】
なお、ECUの異常検出は、異常検出ログ処理部104での異常ログ受信を端緒とするものである。あるいは、攻撃経路分析部203の攻撃経路推定時や、暫定措置要否判断部204の暫定措置要否判断時をECUの異常検出と把握してもよい。実施形態2においても同様である。
【0062】
(3)不正防止侵入システムの動作
図5のフローチャートを用いて、本実施形態の不正侵入防止システム1、並びにこれを構成する車載装置100及びセンタ装置200(不正侵入防止装置を含む)の動作について説明する。
なお、以下の動作は、不正侵入防止システム1を構成する車載装置100やセンタ装置200で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図5のフローチャートを用いて、本実施形態の不正侵入防止システム1、並びにこれを構成する車載装置100及びセンタ装置200(不正侵入防止装置を含む)の動作について説明する。
なお、以下の動作は、不正侵入防止システム1を構成する車載装置100やセンタ装置200で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0063】
車載装置100のログ収集部101は、車載装置100に接続されたECUから送信された異常ログ、各ECUに設けられた防御機能から送信された動作状態ログ(「第1の情報」に相当)、各ECUに設けられたその他機能から送信された動作状態ログ(「第2の情報」に相当)、を受信する(S101)。
【0064】
送信部107は、異常ログをセンタ装置200に送信する(S102)。
【0065】
センタ装置200の受信部201は、車載装置100から送信された異常ログを受信する(S201)。
【0066】
攻撃経路分析部203は、受信部201で受信した異常ログを分析し、車両に対する攻撃の攻撃経路を推定する(S202)。
【0067】
暫定措置要否判断部204は、攻撃経路分析部203で推定した攻撃経路に基づき、暫定措置の要否を判断する(S203)。暫定措置が必要と判断した場合(S203:Yes)、攻撃経路上のECUの動作状態ログの送信要求である動作状態ログ要求を生成し、これを車載装置100に送信するよう送信部206に指示する。暫定措置が不要と判断した場合(S203:No)、処理を終了する。
【0068】
送信部206は、動作状態ログ要求を、車載装置100に送信する(S204)。
【0069】
車載装置100の受信部108は、センタ装置200から動作状態ログ要求を受信する(S103)。
【0070】
状態監視部105は、動作状態ログ要求に基づき、動作状態ログを保存部102から読み出し、センタ装置200に送信するよう送信部108に指示する。そして送信部107は、動作状態ログを、センタ装置200に送信する(S104)。
【0071】
センタ装置200の受信部201は、車載装置100から送信された動作状態ログを受信する(S205)。
【0072】
第1の判定部211は、動作状態ログのうち攻撃経路上のECUの防御機能と関係する動作状態ログを用いて、防御機能が正常か異常かを判定する(S206)。
【0073】
第2の判定部212は、動作状態ログのうち攻撃経路上のECUの防御機能以外の機能と関係する動作状態ログを用いて、防御機能以外の機能が正常か異常かを判定する。本実施形態では、ECU自体が正常に動作するか否かを判定している(S207)。
【0074】
暫定措置決定部213は、第1の判定部211及び第2の判定部212の判定結果を用いて、不正な情報の遮断方法である暫定措置を決定する(S208)。暫定措置決定部213は、決定した暫定措置を示す暫定措置実行指示を生成し、これを車載装置100に送信するよう送信部206に指示する。
【0075】
送信部203は、暫定措置実行指示を、車載装置100に送信する(S209)。
【0076】
車載装置100の受信部108は、センタ装置200から暫定措置実行指示を受信する(S105)。
【0077】
暫定措置実行部106は、暫定措置実行指示に基づき暫定措置を実行する(S106)。
【0078】
(4)小括
このように、本実施形態によれば、ECUの防御機能とそれ以外のECUの機能のそれぞれの情報を用いて暫定措置を判断するので、階層的な暫定措置を講じることができる。その結果、効果的かつ必要最小限の制約の元、不正な情報を遮断することができる。
また、本実施形態によれば、不正侵入防止装置をセンタ装置200で実現しているので、リソースの豊富な装置で暫定措置を決定することができる。
さらに、本実施形態によれば、通常送信するのは異常ログのみであり、暫定措置が必要と判断した際に動作状態ログを送信するようにしているので、通信ネットワーク2を介した通信量を削減することができる。また、全ての動作状態ログではなく攻撃経路に関係する動作状態ログを送信するようにしているので、通信ネットワーク2を介した通信量を削減することができる。
このように、本実施形態によれば、ECUの防御機能とそれ以外のECUの機能のそれぞれの情報を用いて暫定措置を判断するので、階層的な暫定措置を講じることができる。その結果、効果的かつ必要最小限の制約の元、不正な情報を遮断することができる。
また、本実施形態によれば、不正侵入防止装置をセンタ装置200で実現しているので、リソースの豊富な装置で暫定措置を決定することができる。
さらに、本実施形態によれば、通常送信するのは異常ログのみであり、暫定措置が必要と判断した際に動作状態ログを送信するようにしているので、通信ネットワーク2を介した通信量を削減することができる。また、全ての動作状態ログではなく攻撃経路に関係する動作状態ログを送信するようにしているので、通信ネットワーク2を介した通信量を削減することができる。
【0079】
3.実施形態2
本実施形態では、不正侵入防止装置は車載装置120に設けられている。
本実施形態では、不正侵入防止装置は車載装置120に設けられている。
【0080】
(1)車載装置の構成
図6を用いて、本実施形態の車載装置120の構成について説明する。
図6を用いて、本実施形態の車載装置120の構成について説明する。
【0081】
本実施形態の車載装置120は、実施形態1の車載装置100に、第1の判定部111、第2の判定部112、及び暫定措置決定部113を追加したものである。その他の構成は実施形態1と同様であるので、実施形態1の説明を引用する。また、第1の判定部111、第2の判定部112、及び暫定措置決定部113は、実施形態1のセンタ装置200の第1の判定部211、第2の判定部212、及び暫定措置決定部213と同様の機能を有する。
【0082】
第1の判定部111(「第1の判定部」に相当)は、ログ収集部101(「取得部」に相当)で受信した動作状態ログのうち、攻撃経路上のECUの防御機能と「関係する」動作状態ログ(「第1の情報」に相当)を用いて、防御機能が正常か異常かを判定する。具体的な判定方法は、上述の1.(3)(a)で説明したとおりである。
【0083】
第2の判定部112(「第2の判定部」に相当)はログ収集部101(「取得部」に相当)で受信した動作状態ログのうち、攻撃経路上のECUの防御機能以外の機能と「関係する」動作状態ログ(「第2の情報」に相当)を用いて、防御機能以外の機能が正常か異常かを判定する。具体的な判定方法は、上述の1.(3)(b)で説明したとおりである。
なお、本実施形態では、防御機能以外の機能として、ECUの機能自体としている。つまり、ECU自体が正常に動作するか否かを判定している。
なお、本実施形態では、防御機能以外の機能として、ECUの機能自体としている。つまり、ECU自体が正常に動作するか否かを判定している。
【0084】
暫定措置決定部113(「措置決定部」に相当)は、第1の判定部111及び第2の判定部112の判定結果を用いて、不正な情報の遮断方法である暫定措置を決定する。本実施形態では、具体的な暫定措置の決定方法として、上述の1.(2)で説明したロジックを用いる。そして、暫定措置決定部113は、決定した暫定措置を示す暫定措置実行指示を生成する。暫定措置実行部106は、暫定措置実行指示に基づき暫定措置を実行する。
暫定措置は、複数の措置から構成されてもよい。例えば、車両の安全を保ちながら不正な情報を遮断するために、いきなり通信を遮断するのではなく、まず車両を安全な場所に停止させてから通信を遮断するようにしてもよい。また、その際、第1の情報や第2の情報に加えて、その他のECU動作状態やセキュリティ分析結果を用いるようにしてもよい。
暫定措置は、複数の措置から構成されてもよい。例えば、車両の安全を保ちながら不正な情報を遮断するために、いきなり通信を遮断するのではなく、まず車両を安全な場所に停止させてから通信を遮断するようにしてもよい。また、その際、第1の情報や第2の情報に加えて、その他のECU動作状態やセキュリティ分析結果を用いるようにしてもよい。
【0085】
本実施形態では、ログ収集部101(「取得部」に相当)、第1の判定部111(「第1の判定部」に相当)、第2の判定部112(「第2の判定部」に相当)、及び暫定措置決定部113(「暫定措置決定部」に相当)、をもって不正侵入防止装置を構成する。もちろん、不正侵入防止装置はこれ以外の構成を有するようにしてもよい。また、「移動体」である車両に「搭載されている」車載装置120の全体又はその一部を不正侵入防止装置としてもよい。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
【0086】
(2)センタ装置の構成
図7を用いて、本実施形態のセンタ装置220の構成について説明する。
図7を用いて、本実施形態のセンタ装置220の構成について説明する。
【0087】
本実施形態のセンタ装置220は、実施形態1のセンタ装置200から、第1の判定部211、第2の判定部212、及び暫定措置決定部213を省略したものである。その他の構成は実施形態1と同様であるので、実施形態1の説明を引用する。
【0088】
なお、暫定措置要否判断部204は、暫定措置が必要と判断した場合、暫定措置決定指示を生成し、これを車載装置100に送信するよう送信部206に指示する。暫定措置決定指示には、攻撃経路の情報を含めてもよい。
なお、暫定措置決定指示は、異常ログを送信した車両に対して送信するだけでなく、その他の車両に対しても送信するようにしてもよい。例えば、同一車種の車両に対して送信するようにしてもよい。これにより、必要に応じ暫定措置の指示範囲を拡大することができる。ここで、センタ装置200の保存部205には、各車両の車両ID及び車種等の識別情報が保存されており、複数の車両の異常ログ及び動作状態ログは、車両IDと紐づけて保存される。そして、例えば、同一車種の車両のうち一定数以上が攻撃を受けていると分析された場合、暫定措置決定部213は、攻撃を受けている車両だけでなく同一車種の車両全てに対し、暫定措置を指示するようにしてもよい。
なお、暫定措置決定指示は、異常ログを送信した車両に対して送信するだけでなく、その他の車両に対しても送信するようにしてもよい。例えば、同一車種の車両に対して送信するようにしてもよい。これにより、必要に応じ暫定措置の指示範囲を拡大することができる。ここで、センタ装置200の保存部205には、各車両の車両ID及び車種等の識別情報が保存されており、複数の車両の異常ログ及び動作状態ログは、車両IDと紐づけて保存される。そして、例えば、同一車種の車両のうち一定数以上が攻撃を受けていると分析された場合、暫定措置決定部213は、攻撃を受けている車両だけでなく同一車種の車両全てに対し、暫定措置を指示するようにしてもよい。
【0089】
(3)不正防止侵入システムの動作
図8のフローチャートを用いて、本実施形態の不正侵入防止システム1、並びにこれを構成する車載装置120(不正侵入防止装置を含む)及びセンタ装置220の動作について説明する。図5と同様の処理は、図5と同じステップ番号を付与し、図5の説明を引用する。
なお、以下の動作は、不正侵入防止システム1を構成する車載装置120やセンタ装置220で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図8のフローチャートを用いて、本実施形態の不正侵入防止システム1、並びにこれを構成する車載装置120(不正侵入防止装置を含む)及びセンタ装置220の動作について説明する。図5と同様の処理は、図5と同じステップ番号を付与し、図5の説明を引用する。
なお、以下の動作は、不正侵入防止システム1を構成する車載装置120やセンタ装置220で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0090】
暫定措置要否判断部204は、攻撃経路分析部203で推定した攻撃経路に基づき、暫定措置の要否を判断する(S223)。暫定措置が必要と判断した場合(S223:Yes)、暫定措置決定指示を生成し、これを車載装置120に送信するよう送信部206に指示する。暫定措置が不要と判断した場合(S223:No)、処理を終了する。
【0091】
送信部206は、暫定措置決定指示を、車載装置120に送信する(S224)。
【0092】
車載装置120の受信部108は、センタ装置200から暫定措置決定指示を受信する(S123)。
【0093】
状態監視部105は、攻撃経路上のECUの動作状態ログを保存部102から読み出す(S124)。
【0094】
第1の判定部111は、動作状態ログのうち攻撃経路上のECUの防御機能と関係する動作状態ログを用いて、防御機能が正常か異常かを判定する(S125)。
【0095】
第2の判定部112は、動作状態ログのうち攻撃経路上のECUの防御機能以外の機能と関係する動作状態ログを用いて、防御機能以外の機能が正常か異常かを判定する。本実施形態では、ECU自体が正常に動作するか否かを判定している(S126)。
【0096】
暫定措置決定部113は、第1の判定部111及び第2の判定部112の判定結果を用いて、不正な情報の遮断方法である暫定措置を決定する(S127)。暫定措置決定部213は、決定した暫定措置を示す暫定措置実行指示を生成する。
【0097】
暫定措置実行部106は、暫定措置実行指示に基づき暫定措置を実行する(S128)。
【0098】
(4)小括
このように、本実施形態によれば、ECUの防御機能とそれ以外のECUの機能のそれぞれの情報を用いて暫定措置を判断するので、階層的な暫定措置を講じることができる。その結果、効果的かつ必要最小限の制約の元、不正な情報を遮断することができる。
また、本実施形態によれば、不正侵入防止装置を車載装置120で実現しているので、通信ネットワーク2を介さないで動作状態ログを取得し、車両内部で処理を行うことが可能になる。
さらに、本実施形態によれば、通常送信するのは異常ログのみであるので、通信ネットワークを介した通信量を削減することができる。
このように、本実施形態によれば、ECUの防御機能とそれ以外のECUの機能のそれぞれの情報を用いて暫定措置を判断するので、階層的な暫定措置を講じることができる。その結果、効果的かつ必要最小限の制約の元、不正な情報を遮断することができる。
また、本実施形態によれば、不正侵入防止装置を車載装置120で実現しているので、通信ネットワーク2を介さないで動作状態ログを取得し、車両内部で処理を行うことが可能になる。
さらに、本実施形態によれば、通常送信するのは異常ログのみであるので、通信ネットワークを介した通信量を削減することができる。
【0099】
4.その他の実施形態
実施形態1のセンタ装置200と、実施形態2の車載装置120を組み合わせて用いることもできる。この場合、不正侵入防止装置は、センタ装置200と車載装置120の両方に存在するので、例えば、通信ネットワーク2の通信品質に応じて、私用する不正侵入防止装置を切り替えてもよい。すなわち、通信品質が所定の品質以下の場合は、車載装置120の不正侵入防止装置を用い、通信品質が所定の品質以上の場合は、センタ装置200の不正侵入防止装置を用いるようにする。これにより、車載装置120とセンタ装置200との間の通信が困難な場合は、車載装置120側で暫定措置を完了させることができる。
実施形態1のセンタ装置200と、実施形態2の車載装置120を組み合わせて用いることもできる。この場合、不正侵入防止装置は、センタ装置200と車載装置120の両方に存在するので、例えば、通信ネットワーク2の通信品質に応じて、私用する不正侵入防止装置を切り替えてもよい。すなわち、通信品質が所定の品質以下の場合は、車載装置120の不正侵入防止装置を用い、通信品質が所定の品質以上の場合は、センタ装置200の不正侵入防止装置を用いるようにする。これにより、車載装置120とセンタ装置200との間の通信が困難な場合は、車載装置120側で暫定措置を完了させることができる。
【0100】
4.総括
以上、本発明の各実施形態における不正侵入防止システム、車載装置、及びセンタ装置について説明した。
以上、本発明の各実施形態における不正侵入防止システム、車載装置、及びセンタ装置について説明した。
【0101】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0102】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0103】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0104】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0105】
各実施形態は、車両に搭載される車両用の車載装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
【0106】
各実施形態では、各実施形態に開示の車載装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
【0107】
また、本発明の車載装置やセンタ装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0108】
また車載装置やセンタ装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0109】
本発明のセンタ装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のセンタ装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
【0110】
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0111】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0112】
本発明の車載装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
【符号の説明】
【0113】
100 120 車載装置、101 ログ収集部、102 保存部、103 制御部、104 異常検出ログ処理部、105 状態監視部、106 暫定措置実行部、107 送信部、108 受信部、200 220 センタ装置、201 受信部、202 制御部、203 攻撃経路分析部、204 暫定措置要否判断部、205 保存部、206 送信部、111 211 第1の判定部、112 212 第2の判定部、113 213 暫定措置決定部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
