知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-19
(45)【発行日】2024-02-28
(54)【発明の名称】ログ送信制御装置
(51)【国際特許分類】
G06F 11/30 20060101AFI20240220BHJP
G06F 11/34 20060101ALI20240220BHJP
【FI】
G06F11/30 172
G06F11/34 176
G06F11/30 140D
【請求項の数】
14
(21)【出願番号】P 2020120229
(22)【出願日】2020-07-13
(65)【公開番号】P2022017118
(43)【公開日】2022-01-25
【審査請求日】2022-09-13
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】長柄 啓悟
(72)【発明者】
【氏名】安部 泰司
【審査官】北川 純次
(56)【参考文献】
【文献】国際公開第2020/075826(WO,A1)
【文献】特開2018-010441(JP,A)
【文献】特開2018-032254(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/30
G06F 11/34
H04L 67/00
(57)【特許請求の範囲】
【請求項1】
移動体に搭載されるログ送信制御装置(100)と、前記移動体の外部に位置するサーバ装置(30)とを有するログ収集システム(1)であって、前記ログ送信制御装置は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記第1の更新指示、前記第2の更新指示、及び前記第3の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記更新指示取得部は、前記第3の更新指示とともに、前記サーバ装置が前記優先度保存部に保存されている優先度情報であると推定した推定優先度情報を取得し、
前記優先度更新部は、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが一致する場合、前記第3の更新指示に基づいて前記優先度情報を更新し、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが異なる場合、前記第3の更新指示に基づいて前記優先度情報を更新せず、
前記サーバ装置は、
前記送信部から送信された前記ログを受信する通信部(21)と、
前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示及び前記第3の更新指示を生成するサーバ側指示生成部(32)と、を備え、
前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示である、
ログ収集システム。
【請求項2】
移動体に搭載されるログ送信制御装置(100)と、前記移動体の外部に位置するサーバ装置(30)とを有するログ収集システム(1)であって、
前記ログ送信制御装置は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記第1の更新指示、前記第2の更新指示、及び前記第3の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記サーバ装置は、
前記送信部から送信された前記ログを受信する通信部(21)と、
前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示及び前記第3の更新指示を生成するサーバ側指示生成部(32)と、を備え、
前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記優先度更新部は、前記優先度保存部に保存されている前記優先度情報が前記所定の優先度とは異なる場合に、前記更新指示取得部が取得した更新指示に基づいて前記優先度情報の更新可否を判定し、前記優先度情報を更新可と判定した場合は前記優先度情報を更新し、更新否と判定した場合は前記優先度情報を更新しない、
ログ収集システム。
【請求項3】
移動体に搭載されるログ送信制御装置(100)であって、当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記移動体の外部に位置するサーバ装置(30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、
を備え、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記更新指示取得部は、前記第3の更新指示とともに、前記サーバ装置が前記優先度保存部に保存されている優先度情報であると推定した推定優先度情報を取得し、
前記優先度更新部は、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが一致する場合、前記第3の更新指示に基づいて前記優先度情報を更新し、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが異なる場合、前記第3の更新指示に基づいて前記優先度情報を更新しない、
ログ送信制御装置。
【請求項4】
移動体に搭載されるログ送信制御装置(100)であって、
当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記移動体の外部に位置するサーバ装置(30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、
を備え、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記優先度更新部は、前記優先度保存部に保存されている前記優先度情報が前記所定の優先度とは異なる場合に、前記更新指示取得部が取得した更新指示に基づいて前記優先度情報の更新可否を判定し、前記優先度情報を更新可と判定した場合は前記優先度情報を更新し、更新否と判定した場合は前記優先度情報を更新しない、
ログ送信制御装置。
【請求項5】
前記送信部は、前記第3の更新指示に基づいて前記優先度情報が更新されたことを示す情報を前記サーバ装置に送信する、請求項3又は4記載のログ送信制御装置。
【請求項6】
当該ログ送信制御装置はさらに、前記ログ取得部が取得した前記ログを保存するログ保存部(103)を備え、前記優先度更新部により、前記優先度情報が示す前記優先度が前記所定の優先度に更新されると、前記ログ保存部に保存された前記ログのうち前記優先度情報が示す前記優先度が低いログを破棄する、
請求項3又は4記載のログ送信制御装置。
【請求項7】
当該ログ送信制御装置はさらに、前記ログ取得部が取得した前記ログを保存するログ保存部(103)を備え、前記ログ保存部に保存された前記ログは、前記優先度情報が示す前記優先度が低いログから順に破棄される、
請求項3又は4記載のログ送信制御装置。
【請求項8】
移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御方法であって、前記ログ送信制御装置は、前記移動体の外部に位置するサーバ装置(30)にログを送信する優先度を示す優先度情報を保存する優先度保存部(102)を備え、
当該ログ送信制御方法は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得し、
前記更新指示に基づいて前記優先度情報を更新し、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記ログ送信制御装置は、前記第3の更新指示とともに、前記サーバ装置が前記優先度保存部に保存されている優先度情報であると推定した推定優先度情報を取得し、
前記優先度情報の更新において、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが一致する場合、前記第3の更新指示に基づいて前記優先度情報を更新し、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが異なる場合、前記第3の更新指示に基づいて前記優先度情報を更新しない、
ログ送信制御方法。
【請求項9】
移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御方法であって、
前記ログ送信制御装置は、前記移動体の外部に位置するサーバ装置(30)にログを送信する優先度を示す優先度情報を保存する優先度保存部(102)を備え、
当該ログ送信制御方法は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得し、
前記更新指示に基づいて前記優先度情報を更新し、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記優先度情報の更新において、前記優先度保存部に保存されている前記優先度情報が前記所定の優先度とは異なる場合に、取得した更新指示に基づいて前記優先度情報の更新可否を判定し、前記優先度情報を更新可と判定した場合は前記優先度情報を更新し、更新否と判定した場合は前記優先度情報を更新しない、
ログ送信制御方法。
【請求項10】
移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御プログラムであって、前記ログ送信制御装置は、前記移動体の外部に位置するサーバ装置(30)にログを送信する優先度を示す優先度情報を保存する優先度保存部(102)を備え、
当該ログ送信制御プログラムは、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得し、
前記更新指示に基づいて前記優先度情報を更新し、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する、
ことを含む処理を前記ログ送信制御装置に実行させ、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記ログ送信制御装置は、前記第3の更新指示とともに、前記サーバ装置が前記優先度保存部に保存されている優先度情報であると推定した推定優先度情報を取得し、
前記優先度情報の更新において、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが一致する場合、前記第3の更新指示に基づいて前記優先度情報を更新し、
前記推定優先度情報と、前記優先度保存部に保存されている前記優先度情報とが異なる場合、前記第3の更新指示に基づいて前記優先度情報を更新しない、
ログ送信制御プログラム。
【請求項11】
移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御プログラムであって、
前記ログ送信制御装置は、前記移動体の外部に位置するサーバ装置(30)にログを送信する優先度を示す優先度情報を保存する優先度保存部(102)を備え、
当該ログ送信制御プログラムは、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得し、
前記更新指示に基づいて前記優先度情報を更新し、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する、
ことを含む処理を前記ログ送信制御装置に実行させ、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示であり、
前記優先度情報の更新において、前記優先度保存部に保存されている前記優先度情報が前記所定の優先度とは異なる場合に、取得した更新指示に基づいて前記優先度情報の更新可否を判定し、前記優先度情報を更新可と判定した場合は前記優先度情報を更新し、更新否と判定した場合は前記優先度情報を更新しない、
ログ送信制御プログラム。
【請求項12】
前記優先度保存部に保存されている前記優先度情報が前記第2の更新指示に基づいて更新された優先度であり、前記更新指示取得部が取得した更新指示が前記第1の更新指示の場合、前記優先度更新部は更新否と判定する、
請求項2記載のログ収集システム。
【請求項13】
前記更新指示取得部が取得した更新指示が、前記優先度保存部に保存されている前記優先度情報が示す優先度よりも低い優先度に更新することを指示する場合、前記優先度更新部は更新否と判定する、
請求項2記載のログ収集システム。
【請求項14】
前記送信部はさらに、前記優先度更新部によって更新された優先度を示す優先度情報を前記サーバ装置に送信する、
請求項2記載のログ収集システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サーバ装置へのログの送信を制御する装置であって、主に自動車をはじめとする移動体に搭載されるログ送信制御装置、ならびに当該ログ送信制御装置で実行されるログ送信制御方法及びログ送信制御プログラムに関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。
【0003】
車両に対するサイバー攻撃が発生した場合、攻撃により車両のコントロールに支障をきたすおそれがあるため、これを事前に予防する、あるいは攻撃に対する対応や復旧を迅速に行うべく事案の分析が重要になる。そこで、リソースが豊富なサーバ装置が車載装置のログを収集して解析することが知られている。しかしながら、車載装置で発生する大量のログ全てをサーバ装置に送信することは、車載装置のリソースの不足やネットワーク負荷の観点から望ましくない。
【0004】
例えば、特許文献1には、サーバ装置が車載装置から受信したログを解析し、サイバー攻撃の可能性を検知すると、車載装置に蓄積させるログの優先度を変更する更新指令を車載装置に送信することが開示されている。そして、車載装置は、サイバー攻撃の判断に用いるログの優先度が高くなるように優先度を変更させる更新指令を受信すると、優先度に従ってログを蓄積してサーバ装置に送信する。これにより、特許文献1によれば、サーバ装置は、限定されたリソースを利用しながら、サイバー攻撃を判断するのに適したログを収集することができる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2018-32254号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、本発明者は、以下の課題を見出した。車載装置がサーバ装置からの指示に基づいてログの優先度を更新する場合、サーバ装置におけるログ解析に時間がかかり、ひいては優先度の更新指示を送信するまでに時間がかかる場合、サイバー攻撃の発生から車載装置において優先度が変更されるまでに時間を要することがある。また、車載装置とサーバ装置との間の通信環境が良好でない場合、車載装置がサーバ装置から送信された更新指示を受信できないことが起こりうる。このような場合、優先度が高いログを収集するのに時間がかかるだけでなく、車載装置が優先度の更新指示を受信して優先度を更新するまでにサイバー攻撃の解析に必要なログが失われるおそれがある。また、サーバ装置にアップロードする必要がないログが高い優先度に設定されたまま蓄積及び送信され続けると、車載装置のリソースを無駄に消費するおそれがある。
【0007】
本発明は、車載装置及びサーバ装置からの指示に基づいて高い優先度が設定されたログによって、車載装置のリソースが必要以上に消費されるのを防ぐことを目的とする。
【課題を解決するための手段】
【0008】
本開示の一態様によるログ収集システム(1)は、移動体に搭載されるログ送信制御装置(100)と、前記移動体の外部に位置するサーバ装置(30)とを有し、
前記ログ送信制御装置は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記第1の更新指示、前記第2の更新指示、及び前記第3の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記サーバ装置は、
前記送信部から送信された前記ログを受信する通信部(21)と、
前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示及び前記第3の更新指示を生成するサーバ側指示生成部(32)と、を備え、
前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示である。
前記ログ送信制御装置は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記第1の更新指示、前記第2の更新指示、及び前記第3の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記サーバ装置は、
前記送信部から送信された前記ログを受信する通信部(21)と、
前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示及び前記第3の更新指示を生成するサーバ側指示生成部(32)と、を備え、
前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信し、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示である。
【0009】
本開示の他の態様による、移動体に搭載されるログ送信制御装置(100)は、
当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記移動体の外部に位置するサーバ装置(30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示である。
当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記移動体の外部に位置するサーバ装置(30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示及び第3の更新指示を取得する更新指示取得部(104)と、
前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記第1の更新指示及び前記第2の更新指示は、前記優先度情報が示す前記優先度を所定の優先度よりも高い優先度に更新する指示であり、前記第3の更新指示は、前記優先度情報が示す前記優先度を前記所定の優先度に更新する指示である。
【0010】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0011】
上述のような構成により、本開示のログ送信制御装置は、サーバ装置がログを収集する必要がなくなると、車載装置及びサーバ装置において生成されたログの優先度の更新指示に基づいて優先度をデフォルトの優先度に更新することにより、不要なログが車載装置に蓄積されたり、サーバ装置に送信されるのを防ぐことができる。
【図面の簡単な説明】
【0012】
【図1】各実施形態に共通のログ収集システムの構成例を示すブロック図
【図2】各実施形態に共通の車載システムの構成例を示すブロック図
【図3】実施形態1乃至3のログ送信制御装置の構成例を示すブロック図
【図4】実施形態1の優先度保存部に保存される情報を説明する図
【図5】実施形態1乃至3の更新指示装置の構成例を示すブロック図
【図6】実施形態1乃至3の更新情報保存部に保存される情報を説明する図
【図7】実施形態1のサーバ装置の構成例を示すブロック図
【図8】実施形態1、2のログ送信制御装置の動作を説明するフローチャート
【図9】実施形態2、3のサーバ装置の構成例を示すブロック図
【図10】実施形態2の優先度保存部に保存される情報を説明する図
【図11】実施形態3のログ送信制御装置の動作を説明するフローチャート
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について、図面を参照して説明する。
【0014】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0015】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0016】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0017】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
【0018】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0019】
1.各実施形態に共通の構成
(1)ログ収集システム
図1を用いて、各実施形態に共通のログ収集システム1の例を説明する。ログ収集システム1は、自動車に搭載される電子制御システム10と、自動車の外部に位置するサーバ装置20又はサーバ装置30とから構成される。電子制御システム10とサーバ装置20、30は通信ネットワーク2を介して通信を行う。なお、以下の各実施形態では、ログ収集システム1を構成する電子制御システムが自動車に搭載される車載システム10であるものとして説明する。しかしながら、電子制御システムは車載システムに限定されるものではない。
(1)ログ収集システム
図1を用いて、各実施形態に共通のログ収集システム1の例を説明する。ログ収集システム1は、自動車に搭載される電子制御システム10と、自動車の外部に位置するサーバ装置20又はサーバ装置30とから構成される。電子制御システム10とサーバ装置20、30は通信ネットワーク2を介して通信を行う。なお、以下の各実施形態では、ログ収集システム1を構成する電子制御システムが自動車に搭載される車載システム10であるものとして説明する。しかしながら、電子制御システムは車載システムに限定されるものではない。
【0020】
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。また、有線通信方式の場合、例えば、有線LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
【0021】
(2)車載システム
図2を用いて、車載システム10の構成を説明する。車載システム10は、セントラルゲートウェイ装置(以下、CGW)11、外部通信電子制御装置(以下、外部通信ECU)12、電子制御装置(以下、ECU)13、及びこれらを接続するネットワーク14、を有する。
図2を用いて、車載システム10の構成を説明する。車載システム10は、セントラルゲートウェイ装置(以下、CGW)11、外部通信電子制御装置(以下、外部通信ECU)12、電子制御装置(以下、ECU)13、及びこれらを接続するネットワーク14、を有する。
【0022】
CGW11は、ネットワーク14を介して外部通信ECU12及びECU13の間、あるいはECU13同士の間の通信を中継する電子制御装置である。
【0023】
外部通信ECU12は、通信ネットワーク2を用いて、サーバ装置20、30と無線通信を行う電子制御装置である。
【0024】
ECU13は、それぞれの機能を実現する電子制御装置である。ECU13は、任意のECUを割り当てることができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。
【0025】
なお、ECU同士は並列ではなく、主従関係を有するように分類されていてもよい。すなわちマスターとスレーブとに分類されていてもよい。また、特定のECU13の下に、さらにサブネットワークを介して複数のECU13を設けるようにしてもよい。その場合、特定のECU13はサブゲートウェイとしての機能を有する。
【0026】
ネットワーク14は、CGW11、外部通信ECU12、及びECU13を接続するネットワークである。以下に示す各実施形態では、ネットワーク14は車載ネットワークであり、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
【0027】
2.実施形態1
(1)ログ送信制御装置の構成
図3を用いて、本実施形態のログ送信制御装置100の構成について説明する。ログ送信制御装置100は、「移動体」である自動車に搭載されている。そして、ログ送信制御装置100は、ログ取得部101、優先度保存部102、ログ保存部103、更新指示取得部104、優先度更新部105、及びログ送信部106を備える。
(1)ログ送信制御装置の構成
図3を用いて、本実施形態のログ送信制御装置100の構成について説明する。ログ送信制御装置100は、「移動体」である自動車に搭載されている。そして、ログ送信制御装置100は、ログ取得部101、優先度保存部102、ログ保存部103、更新指示取得部104、優先度更新部105、及びログ送信部106を備える。
【0028】
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
【0029】
本実施形態を含め、以下に示す実施形態では、ログ送信制御装置100は、図2のCGW11の内部に設けられているとして説明する。もっとも、ログ送信制御装置100が設けられている場所はこれに限られず、例えばネットワーク14に接続された任意の場所に設けることができる。例えば、独立した専用のECUとして設けてもよいし、サブゲートウェイの役割を有するECU13に設けられてもよい。
【0030】
ログ送信制御装置100の形態は、部品、半完成品、完成品のいずれでもよい。本実施形態ではログ送信制御装置100はCGW11の内部の半導体回路によって実現されているので、部品の形態に属する。
その他、部品の例として半導体モジュール、半完成品の形態として独立したECU、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
その他、部品の例として半導体モジュール、半完成品の形態として独立したECU、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
【0031】
ログ送信制御装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図3に記載の各機能ブロックの機能を発揮させるように構成することができる。
【0032】
ログ取得部101は、ログ送信制御装置100に接続されたECU13の「状態」を示すログを取得する。ECU13の状態を示すログ(以下、状態ログ)はサーバ装置20におけるログ解析に使用されるログであり、例えば、ECU13が実現する各々の機能の動作の他、ECU13へのデータの入出力(データを入力又は出力する間隔、入出力されたデータのサイズ等)、ECU13自体のCPU使用率やメモリ使用量といったリソースを記録したログである。状態ログはさらに、ECU13の機能やバージョン情報、ログ送信制御装置100が搭載された自動車の種別情報等を記録するものであってもよい。また、状態ログはさらに、ECU13の状態に加えて、時刻情報やECUの識別情報といった情報を含んでもよい。
【0033】
ここで、「状態」を示すログ、とは、例えば、ECUの動作といった常に変化する動的な状態を記録したものの他、ECUのバージョンや機能といった基本的には変化しない静的な状態を記録したものも含む。
【0034】
優先度保存部102は、サーバ装置20に状態ログを送信する「優先度」を示す優先度情報を保存する。優先度保存部102に保存される優先度情報の詳細は後述する。
【0035】
ここで、「優先度」は、所定の評価基準に基づいて定められる指標であり、表現方法は任意である。例えば、数字で表す場合の他、記号で表してもよい。指標によって分類される数は複数であればよく、有限であっても無限であってもよい。
【0036】
ログ保存部103は揮発性又は不揮発性のメモリであり、ログ取得部101が取得した状態ログを保存する。ログ保存部103に保存される状態ログは、ログ保存部103の保存容量を確保するために、後述するログ送信部106から送信された後に自動的に削除される。また、状態ログの容量がログ保存部103の保存容量に達した場合には、ログ保存部103に保存されている状態ログのうち、優先度情報が示す優先度が低い状態ログから順に破棄されてもよい。また、サーバ装置20から特定の状態ログを破棄する指示を受信した場合にも、ログ保存部103に保存された状態ログを破棄してもよい。サーバ装置20は、例えば、サイバー攻撃によって改ざんされた状態ログや、故障によって異常な値を示す状態ログを破棄することを指示することが想定される。
【0037】
更新指示取得部104は、後述する更新指示装置300で生成された更新指示を取得する。この更新指示は、優先度保存部102に保存された優先度情報を更新することを指示するものであり、優先度情報の更新内容を含む。例えば、更新指示は、優先度を更新すべき状態ログの種別、各状態ログの優先度の更新値、優先度の更新値の有効期限を含む。
【0038】
優先度更新部105は、更新指示取得部104が取得した更新指示に基づいて、優先度保存部102に保存されている優先度情報を更新する。
【0039】
ログ送信部106(「送信部」に相当)は、優先度保存部102に保存された優先度情報が示す優先度に「基づいて」、ログ保存部103に保存された状態ログをサーバ装置20に送信する。優先度更新部105によって優先度情報が更新されている場合には、ログ送信部106は、状態ログとともに、更新後の優先度情報をサーバ装置20に送信してもよい。
【0040】
ここで、優先度に「基づいて」ログを送信する、とは、優先度を用いることで、優先度が低いログと比較して優先度が高いログを優先的に送信することを実現していればよく、例えば、優先度が高いログから順次送信すること、優先度が高いログの送信頻度を優先度が低いログの送信頻度より高くすること、を含む。
【0041】
例えば、ログ取得部101が状態ログを取得すると、優先度保存部102に保存されている優先度情報の中から取得した状態ログに対応する優先度が抽出され、抽出した優先度が付与された状態ログがログ保存部103に保存される。そして、ログ送信部106には、高い優先度が付与された状態ログから順に出力される。これにより、ログ送信部106は、優先度に基づいて、つまり、優先度が高いものから順に状態ログをサーバ装置20に順次送信する。
【0042】
あるいは、優先度が高い状態ログについては高い頻度で、優先度が低い状態ログについては低い頻度でサーバ装置20に送信してもよい。
【0043】
図4は優先度保存部102に保存される優先度情報の一例を示している。図4の例では、優先度保存部102には、優先度情報として、サーバ装置20に送信する状態ログの種別、状態ログの優先度、及び優先度の有効期限がそれぞれ保存されている。また、優先度は、最新の優先度及びデフォルト優先度を含む。図4に示す例では、優先度は1~15の数値で表されており、数値が小さいほど優先順位が高いことを示している。また、優先度の有効期限とは、最新の優先度の有効期限である。
【0044】
デフォルト優先度(「所定の優先度」に相当)は、例えば、CGW11や車載システム10の製造業者、又は車載システム10を搭載する自動車の販売業者によって予め設定される所定の値を有する優先度である。そして、最新の優先度は状態ログをサーバ装置20に送信する際に使用する優先度であり、優先度更新部105は、最新の優先度の値を更新指示が指示する優先度の値に更新する。なお、このデフォルト優先度として、複数のデフォルト優先度が予め設定されていてもよい。複数のデフォルト優先度が設定されている場合には、車両の状態に応じて、いずれのデフォルト優先度を使用するかを決定してもよい。
【0045】
図4aは、初期状態として優先度保存部102に保存されている情報を示している。そのため、最新の優先度はデフォルト優先度と等しい。また、最新の優先度の有効期限は設定されておらず、更新指示によって最新優先度が更新されるまで、デフォルト優先度と等しい最新の優先度が使用される。図4aの例では、各状態ログの優先度はいずれも10~15のいずれかであり、各状態ログの優先度はいずれも然程高くないことが分かる。
【0046】
【0047】
なお、最も低い優先度は、状態ログを送信しないことを示してもよい。優先度が最も低く、状態ログを送信しないことを示している場合、この優先度に対応する状態ログは、優先度情報が更新されるまでサーバ装置20に送信されない。
【0048】
これに対し、図4bは、更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。図4bでは各状態ログの優先度はいずれも2~5であり、最新の優先度がデフォルト優先度とは異なる値に更新されている。図4の例では、更新指示に基づいて、各状態ログの優先度がデフォルト優先度よりも高くなるように更新されたことが分かる。さらに、図4bでは、図4aとは異なり、有効期限が設定されている。これは、更新された最新の優先度の有効期限を示しており、有効期限を過ぎると最新の優先度はデフォルト優先度に再び更新される。
【0049】
優先度保存部102が図4bに示す情報を保存している場合、ログ送信部106は、図4bに示す最新の優先度に基づいて、各状態ログをサーバ装置20に送信する。この例では、ECU-Aのバージョン情報ログ及びECU-Bのバージョン情報ログの優先度が最も高いため、これらの状態ログから順にサーバ装置20に送信する。
【0050】
(2)更新指示装置の構成
次に、図5を用いて、更新指示装置300の構成を説明する。更新指示装置300は、異常検出部301、更新情報保存部302、指示生成部303、及び送信部304を備える。
次に、図5を用いて、更新指示装置300の構成を説明する。更新指示装置300は、異常検出部301、更新情報保存部302、指示生成部303、及び送信部304を備える。
【0051】
更新指示装置300は、ログ送信制御装置100と同様に、自動車に搭載されている。本実施形態を含め、以下に示す実施形態では、更新指示装置300は、ログ送信制御装置100の外部、例えば、図2のECU13の内部に設けられているとして説明する。更新指示装置300が、ECU13の内部に設けられる場合、各機能に近い場所に設けられることになる。そのため、更新指示装置300は、異常が発生してからのタイムラグが少ない状態で異常の検知、及び更新指示を行うことができ、解析に必要な情報が失われるのを防ぐことができる。しかしながら、更新指示装置300が設けられている場所はこれに限られず、ログ送信制御装置100とともにCGW11に設けられてもよい。CGW11は一般に車載システム10を構成するECUの中でも特に高い性能を有する。そのため、更新指示装置300をCGW11に設けることにより、CGW11よりも性能が低いECU13の負荷が増大するのを防ぐことができる。さらに、CGW11は多くの車載ネットワーク14に接続されているため、各ネットワークの監視も行うことができる。
【0052】
異常検出部301は、ECU13に発生した異常を「検出」する。異常検出部301は、例えば、CFI(Control Flow Integrity)、IDS(Intrusion Detection System)、SSL証明書のエラーや伝送エラー等のエラーチェック、フィルタリングすべき通信の検出、リソースモニタリング等によって異常な状態を示す状態ログを検出することにより、ECU13に発生した異常を検出する。又は、異常検出部301は、更新指示装置300とは別のECU13に設けられた異常検出装置(図示せず)から異常が発生したことを示す情報を取得することにより、ECU13に発生した異常を「検出」してもよい。異常検出部301はECU13をリアルタイムでモニタして異常を検出することができるため、サイバー攻撃を受けた後に遅滞なく異常を検出できる可能性が高い。
【0053】
ここで、「検出」する、とは、異常検出部自体が異常を発見することによって異常を検出する場合の他、他の装置から異常が発見されたことを示す情報を取得することにより、異常を検出することを含む。
【0054】
更新情報保存部302は、異常検出部301が検出しうる異常の内容毎に、優先度を更新すべき状態ログ、優先度の更新値、及び優先度の有効期限を保存している。更新情報保存部302に保存される情報の詳細については後述する。
【0055】
指示生成部303は、異常検出部301が異常を検出すると、更新情報保存部302から、検出した異常の「内容」に対応する、更新すべき状態ログ、優先度の更新値、及び有効期限の情報を抽出して更新指示を生成する。つまり、指示生成部303は、所定の状態ログについて、検出された異常の「内容」に応じた優先度に所定の有効期間だけ更新することを指示する更新指示を生成する。
【0056】
ここで、異常の「内容」とは、異常の種別の他、異常の程度、異常が発生した場所、更には異常発生の事実も含む。
【0057】
送信部304は、指示生成部303が生成した更新指示をログ送信制御装置100に送信する。送信部304はさらに、異常な状態を示す状態ログに対し、異常検出部301が検出した異常の種別等を示す異常情報を付与して、ログ送信制御装置100に送信してもよい。
【0058】
図6は、更新情報保存部302に保存される情報の一例を示している。図6の例では、異常検出部301が検出する異常の例として、ECU-AのCFI異常及びCAN通信のログ異常を挙げている。更新情報保存部302はさらに、これらの異常が検出された場合に、優先度を更新すべき状態ログの種別と、それぞれの状態ログの優先度の更新値及び有効期限を保存している。
【0059】
例えば、異常検出部301がECU-AのCFI異常を検出した場合、図6に示す5つの状態ログについて、それぞれの優先度の更新値に優先度情報を更新することを指示する更新指示を生成する。
【0060】
なお、図6に示すとおり、異常検出部301がECU-Aの異常を検出した場合でも、優先度を更新すべき状態ログはECU-Aの状態ログに限定されない。例えば、更新情報保存部302は、外部通信ECU12から異常が発生したECU(例えば、ECU-A)までの経路に存在するECU、つまり、CGW11や外部通信ECU12の状態ログについても、優先度を更新すべき状態ログとしてもよい。外部通信ECU12から異常が発生したECUまでの経路に存在するECUは、サイバー攻撃を受けた経路に存在しているため、サイバー攻撃による影響を受けている可能性がある。そこで、このような経路上に存在するECUの状態ログの優先度を高い優先度に更新して、サーバ装置20に送信することにより、サーバ装置20では、これらのECUの被害状況の把握、攻撃経路の特定、又はECUの脆弱性を特定できる可能性がある。同様に、異常検出部301がCAN通信のログの異常を検出した場合、異常が発生したECUとバスで接続されたECUや、異常が検出されたログと同じIDを有するログを送受信するECUにおける状態ログを、優先度を更新すべき状態ログとしてもよい。
【0061】
このように、異常が発生したECUに限定せず、異常が発生したECUに関連するECUの状態ログの優先度についても、優先度を更新すべき状態ログとして更新情報保存部302に保存しておくことが望ましい。これにより、サーバ装置20は、サイバー攻撃の可能性又は被害状況を詳細に解析することが可能となる。
【0062】
更新情報保存部302に保存される、優先度を更新すべき状態ログの種別、優先度の更新値、及び優先度の有効期限は、ECUの機能の重要度、ECU同士の関連性等を考慮して設定され、例えば、優先度保存部102に保存される優先度情報と同様、製造メーカ等によって予め保存される、あるいは、サーバ装置20からの指示によって定期的に更新されてもよい。なお、サイバー攻撃に対する対応までに要する期間は一般に、平均1週間、最長1月程度であると考えられている。そのため、優先度の有効期間は、規定値として1週間としてもよい。
【0063】
さらに、更新情報保存部302は、異常の種別が同じであっても、異常の深刻度に応じて、異なる状態ログ、優先度の更新値、有効期限を設定してもよい。異常の深刻度は、例えば、異常の程度(例えば、異常なログが示す値と閾値との差分)や、異常が発生した箇所によって設定されてもよい。また、送信部304が、異常が検出された状態ログをログ送信制御装置100に送信する場合には、異常の種別や深刻度の情報を状態ログに付与して送信してもよい。なお、当然のことながら、更新情報保存部302に保存される異常の内容、及び優先度を更新すべき状態ログ等は、図6に示す例には限定されない。
【0064】
また、図6の例では、ECU-AのCFI異常が発生したときのECU-AのCFIログの優先度更新値は2であり、CAN通信のログ異常が発生したときのECU-AのCFIログの優先度更新値は3である。そのため、万一、ECU-AのCFI異常が発生した後にCAN通信のログ異常が発生した場合、ログ送信制御装置100の優先度保存部102に保存されたECU-AのCFIログに対応する優先度は、最初の更新指示によって“2”に更新された後、次の更新指示によって“3”に更新されることになり、低い優先度で上書きされるおそれがある。そのため、ログ送信制御装置100の優先度更新部105は、更新指示に基づいて更新された優先度情報が示す優先度は、低い優先度に上書きされないように予め設定してもよい。
【0065】
(3)サーバ装置
図7を用いて、サーバ装置20の構成を説明する。サーバ装置20は、通信部21、データベース22、及びログ解析部23を備える。
図7を用いて、サーバ装置20の構成を説明する。サーバ装置20は、通信部21、データベース22、及びログ解析部23を備える。
【0066】
通信部21は、通信ネットワーク2を用いて、車載システム10と通信を行う。
【0067】
データベース22は、ログデータベース(以下、ログDB)221、セキュリティデータベース(以下、セキュリティDB)222を含むデータベースである。ログDB221は、車載システム10から送信され、通信部21で受信したログを収集して保存する。セキュリティDB222は、後述するログ解析部23での解析結果や、過去のサイバー攻撃に関する脅威、車載システム10の脆弱性に関する情報を保存する。
【0068】
ログ解析部23は、ログ送信制御装置100のログ送信部106から送信されたログを解析することにより、車両に発生したセキュリティ異常、つまり、サイバー攻撃の詳細、例えば、攻撃者、攻撃経路、原因、攻撃による影響等を解析する。ログ解析部23によるセキュリティ異常の解析手法は任意である。例えば、ログ解析部23は、セキュリティDB222の情報等を用いて解析してもよい。ログ解析部23による解析結果は車載システム10にフィードバックする、又はセキュリティ管理者にレポートとして出力してもよい。
【0069】
(4)ログ送信制御装置の動作
次に、図8を用いて、ログ送信制御装置100の動作を説明する。なお、以下の動作は、ログ送信制御装置100を用いたログ送信制御方法を示すだけでなく、ログ送信制御装置100で実行されるプログラムの処理手順を示すものである。また、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以上、本実施形態だけでなく、他の実施形態においても同様である。
次に、図8を用いて、ログ送信制御装置100の動作を説明する。なお、以下の動作は、ログ送信制御装置100を用いたログ送信制御方法を示すだけでなく、ログ送信制御装置100で実行されるプログラムの処理手順を示すものである。また、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以上、本実施形態だけでなく、他の実施形態においても同様である。
【0070】
S101において、更新指示取得部104が更新指示を取得すると(S101:Yes)、更新指示に基づいて優先度保存部102に保存されている優先度情報を更新する(S102)。S103において、ログ取得部101は、ECU13から送信される状態ログを取得する(S103)。
【0071】
優先度保存部102に保存されている優先度情報が示す優先度に基づいて、S103において取得した状態ログをサーバ装置20に送信する。S102において優先度情報が更新されている場合、更新後の優先度情報が示す優先度に基づいて、状態ログは送信される。
【0072】
優先度保存部102に保存された優先度の有効期限となるまで、S102で更新された更新後の優先度情報は維持される。そして、優先度保存部102に保存された優先度の有効期限になると(S105:Yes)、優先度更新部105は、優先度保存部102に保存された優先度の値を、デフォルト優先度に更新する(S106)。
【0073】
(5)小括
以上、本実施形態のログ送信制御装置100によれば、自動車に搭載された更新指示装置300からの更新指示に基づいて状態ログの優先度情報を更新する。自動車に搭載された更新指示装置300では、サイバー攻撃を受けてからタイムラグなく異常を検知して更新指示を生成することができるため、優先度保存部102に保存された状態ログの優先度情報を迅速に更新することができる。
以上、本実施形態のログ送信制御装置100によれば、自動車に搭載された更新指示装置300からの更新指示に基づいて状態ログの優先度情報を更新する。自動車に搭載された更新指示装置300では、サイバー攻撃を受けてからタイムラグなく異常を検知して更新指示を生成することができるため、優先度保存部102に保存された状態ログの優先度情報を迅速に更新することができる。
【0074】
(6)変形例1
上述した実施形態1では、更新指示に基づいて優先度情報が更新された場合、ログ送信制御装置100は更新後の優先度情報に基づいてログ取得部101が取得する状態ログをサーバ装置20に送信した。ここで、ログ送信制御装置100がサーバ装置20に送信する状態ログは、優先度情報を更新する前にログ保存部103に保存された状態ログであってもよい。優先度更新部105が優先度情報を更新する前にログ保存部103に保存された状態ログ(「更新前ログ」に相当)には、更新前のデフォルト優先度が付与されている。しかしながら、優先度更新部105が優先度を更新すると、ログ保存部103に保存された状態ログには、更新後の優先度が改めて付与される。これにより、ログ保存部103に保存されている状態ログは、更新後の優先度情報が示す優先度に基づいてサーバ装置20に送信される。
上述した実施形態1では、更新指示に基づいて優先度情報が更新された場合、ログ送信制御装置100は更新後の優先度情報に基づいてログ取得部101が取得する状態ログをサーバ装置20に送信した。ここで、ログ送信制御装置100がサーバ装置20に送信する状態ログは、優先度情報を更新する前にログ保存部103に保存された状態ログであってもよい。優先度更新部105が優先度情報を更新する前にログ保存部103に保存された状態ログ(「更新前ログ」に相当)には、更新前のデフォルト優先度が付与されている。しかしながら、優先度更新部105が優先度を更新すると、ログ保存部103に保存された状態ログには、更新後の優先度が改めて付与される。これにより、ログ保存部103に保存されている状態ログは、更新後の優先度情報が示す優先度に基づいてサーバ装置20に送信される。
【0075】
これにより、サーバ装置20は、異常が発生する前、つまり正常時の状態ログと、異常発生後の状態ログの双方を用いてログ解析を行うことができるため、より詳細にサイバー攻撃の解析を行うことが可能となる。
【0076】
(7)変形例2
上述した実施形態1では、優先度情報とは、ログ送信制御装置100がサーバ装置20に状態ログを送信する優先度を示す情報であると説明した。しかしながら、優先度情報は、サーバ装置20に状態ログを送信する優先度に加えて、ログ保存部103に状態ログを蓄積する優先度を示す情報をさらに示すものであってもよい。
上述した実施形態1では、優先度情報とは、ログ送信制御装置100がサーバ装置20に状態ログを送信する優先度を示す情報であると説明した。しかしながら、優先度情報は、サーバ装置20に状態ログを送信する優先度に加えて、ログ保存部103に状態ログを蓄積する優先度を示す情報をさらに示すものであってもよい。
【0077】
優先度の有効期限を長く設定した場合、サーバ装置20がサイバー攻撃の解析を行うのに必ずしも必要がない多くの状態ログがログ送信部106から送信されることになるため、ログ送信制御装置100のリソースを多く消費する可能性がある。しかしながら、優先度の有効期限を短く設定すると、サーバ装置20での解析に必要な状態ログの優先度がデフォルト優先度に自動的に更新されて、誤って破棄されるおそれがある。
【0078】
そこで、本変形例では、サーバ装置20に状態ログを送信する優先度とは別に、ログ保存部103に状態ログを蓄積する優先度を設定する。この場合、サーバ装置20に状態ログを送信する有効期限が過ぎて優先度がデフォルト優先度に更新され、状態ログを送信する順序や頻度が低下しても、ログ保存部103に保存する優先度を高い値に設定しておくことで、必要な状態ログが破棄されるのを防ぐことができる。そして、サーバ装置20から、特定の状態ログのアップロード要求があったときは、ログ保存部103に保存されている状態ログをサーバ装置20に送信することができる。
【0079】
(8)変形例3
上述した実施形態では、更新指示装置300は、異常検出部301が異常を検出したときに、優先度を更新する更新指示を生成する構成を説明した。しかしながら、更新指示装置300は、異常を検出していない場合であっても優先度を更新する更新指示を生成する構成としてもよい。
上述した実施形態では、更新指示装置300は、異常検出部301が異常を検出したときに、優先度を更新する更新指示を生成する構成を説明した。しかしながら、更新指示装置300は、異常を検出していない場合であっても優先度を更新する更新指示を生成する構成としてもよい。
【0080】
例えば、更新指示装置300は、車両の走行中、停車中、自動運転中、高速道路などの特定の道路の走行中、などといった車両の状態に応じて、優先度を更新することを指示する更新指示を生成してもよい。この場合、更新指示装置300は、優先度を更新することを指示することに加えて、車両の状態に応じてさらに、優先度をデフォルト優先度に更新することを指示する更新指示を生成してもよい。例えば、車両が高速道路を走行している場合には特定のログの優先度が高くなるように優先度を更新し、高速道路から一般道に移動した場合には、ログの優先度がデフォルト優先度となるように優先度を更新してもよい。
【0081】
3.実施形態2
本実施形態は、ログ送信制御装置100の更新指示取得部104が、更新指示装置300が生成した更新指示に加えて、サーバ装置が生成した更新指示を取得し、これらの更新指示に基づいて優先度情報を更新するものである。
本実施形態は、ログ送信制御装置100の更新指示取得部104が、更新指示装置300が生成した更新指示に加えて、サーバ装置が生成した更新指示を取得し、これらの更新指示に基づいて優先度情報を更新するものである。
【0082】
【0083】
(1)サーバ装置の構成
図9は、本実施形態のサーバ装置30の構成を示している。サーバ装置30は、実施形態1のサーバ装置20が有する各構成に加えて、更新情報保存部31及び指示生成部32を備える。更新情報保存部31及び指示生成部32はそれぞれ、実施形態1の更新指示装置300の更新情報保存部302及び指示生成部303と同様の機能を有する。すなわち、更新情報保存部31は、ログ解析部23によるログ、ひいては車両の車載システムに発生したセキュリティ異常の解析結果に応じて、優先度を更新すべき状態ログ、優先度の更新値、有効期限を保存する。また、指示生成部32(「サーバ側指示生成部」に相当)は、ログ解析部23によるセキュリティ異常の解析結果に基づいて、ログ送信制御装置100の優先度保存部102に保存された優先度情報を更新することを指示する更新指示(「第2の更新指示」に相当)を生成する。
図9は、本実施形態のサーバ装置30の構成を示している。サーバ装置30は、実施形態1のサーバ装置20が有する各構成に加えて、更新情報保存部31及び指示生成部32を備える。更新情報保存部31及び指示生成部32はそれぞれ、実施形態1の更新指示装置300の更新情報保存部302及び指示生成部303と同様の機能を有する。すなわち、更新情報保存部31は、ログ解析部23によるログ、ひいては車両の車載システムに発生したセキュリティ異常の解析結果に応じて、優先度を更新すべき状態ログ、優先度の更新値、有効期限を保存する。また、指示生成部32(「サーバ側指示生成部」に相当)は、ログ解析部23によるセキュリティ異常の解析結果に基づいて、ログ送信制御装置100の優先度保存部102に保存された優先度情報を更新することを指示する更新指示(「第2の更新指示」に相当)を生成する。
【0084】
ただし、ログ解析部23は、セキュリティDBに保存されたサイバー攻撃に関する多くの情報や、サーバ装置30の豊富なリソースを利用して解析を行うことができるため、サイバー攻撃の詳細な解析に有用と思われる状態ログの優先度をより高い精度で判定して設定することができる。そのため、サーバ装置30の更新情報保存部31は、更新指示装置300の更新情報保存部302よりも詳細に分類された更新情報を保存していることが望ましい。あるいは、サーバ装置30は更新情報保存部31に代えて、ログの解析結果に応じて適切な状態ログの優先度の更新値を適宜判定する更新情報判定部(図示せず)を有してもよい。あるいは、サーバ装置30のユーザが、ログ解析部23による解析結果に基づいて、優先度の更新値を手動で設定してもよい。更新情報保存部302に保存される情報と同様、サーバ装置30では、異常の種別が同じであっても、異常の深刻度に応じて、異なる状態ログ、優先度の更新値、有効期限を設定してもよい。
【0085】
そして、指示生成部32は、優先度保存部102に保存された優先度情報を更新することを指示する更新指示を生成し、通信部21を介してログ送信制御装置100に送信する。
【0086】
(2)ログ送信制御装置
本実施形態のログ送信制御装置100の更新指示取得部104は、更新指示装置300で生成された更新指示(「第1の更新指示」に相当)に加えて、サーバ装置30の指示生成部32で生成された更新指示(「第2の更新指示」に相当)を外部通信ECU12を介して取得する。
本実施形態のログ送信制御装置100の更新指示取得部104は、更新指示装置300で生成された更新指示(「第1の更新指示」に相当)に加えて、サーバ装置30の指示生成部32で生成された更新指示(「第2の更新指示」に相当)を外部通信ECU12を介して取得する。
【0087】
優先度更新部105は、更新指示装置300で生成された更新指示、及びサーバ装置30で生成された更新指示に基づいて優先度情報を更新する。
【0088】
本実施形態におけるログ送信制御装置100の動作は、実施形態1と同様である。ただし、S101で取得する更新指示は、更新指示装置300で生成された更新指示、又はサーバ装置30で生成された更新指示のいずれかである。
【0089】
サーバ装置30は、車載システム10から送信される状態ログに基づいて異常の解析を行い、その解析結果に基づいて、サイバー攻撃の更なる解析に必要な状態ログの優先度を高くするための更新指示を生成する。そのため、指示生成部32が更新指示を生成するまでに時間がかかる可能性がある。また、指示生成部32が生成した更新指示をログ送信制御装置100に送信する際、ネットワーク2の通信環境が悪いと、ログ送信制御装置100が更新指示を取得するまでに時間がかかる可能性がある。
【0090】
しかしながら、本実施形態では、サーバ装置30からの更新指示を取得する前に、更新指示装置300の指示生成部303で生成された更新指示に基づいて、状態ログの優先度情報を更新することができる。そのため、サイバー攻撃が発生してから、ログ送信制御装置100がサーバ装置30からの更新指示を取得するまでにタイムラグが発生しても、更新指示装置300からの更新指示に基づいて更新された優先度情報が示す優先度を用いて、状態ログをサーバ装置30に送信することができる。その結果、サーバ装置30からの更新指示を取得するまでに、ログ解析に必要とされる状態ログが誤って失われるのを防ぐことができる。
【0091】
なお、本実施形態の更新指示は、更新指示の指示元が更新指示装置300又はサーバ装置30のいずれであるかを示す指示元情報を含んでもよい。つまり、更新指示装置300で生成された更新指示には、優先度を更新する指示元が更新指示装置300であることを示す指示元情報(「第1の指示元情報」に相当)を含み、サーバ装置30で生成された更新指示には、指示元がサーバ装置30であることを示す指示元情報(「第2の指示元情報」に相当)を含む。この場合、優先度保存部102は、図4に示す各情報に加えて指示元情報を保存する。
【0092】
サーバ装置30で生成された更新指示はさらに、当該更新指示に基づいて更新された優先度情報が、更新指示装置300で生成された更新指示によって更新されないことを示す情報を含んでもよい。
【0093】
例えば、サーバ装置30で生成された更新指示に基づいて優先度情報が更新された後、更新指示装置300が新たな異常を検出して、新たな更新指示を生成する可能性がある。この場合、サーバ装置30で生成された更新指示に基づいて更新された優先度情報は、更新指示装置300で生成された新たな更新指示に基づいて再度更新される。しかしながら、先に発生した異常の解析に必要とされる十分な状態ログがサーバ装置30に送信される前に優先度情報が再び更新されると、サーバ装置30は先に発生した異常を解析するのに十分な状態ログを収集できないおそれがある。そこで、サーバ装置30で生成される更新指示に基づく優先度情報が、更新指示装置300の更新指示によって更新されないことを示す情報を含むことにより、更新指示装置300で生成された新たな更新指示に基づいて優先度情報が再び更新され、上書きされるのを防ぐことができる。なお、サーバ装置30の更新指示は、サーバ装置30の更新指示による更新のみを許可する情報を含むことにより、更新指示装置300の更新指示によって更新されないことを示してもよい。
【0094】
さらに、更新指示が指示元情報を含む場合、指示元情報が更新指示装置300の更新指示によって優先度情報が更新されないことを示してもよい。例えば、サーバ装置30からの更新指示は、更新指示装置300の更新指示によって優先度情報が更新されないことを示す指示元情報(例えば、指示元ID:0000)、又は更新指示装置300の更新指示によって優先度情報の更新を許可することを示す指示元情報(例えば、指示元ID:1111)のいずれかを含むものとする。同じサーバ装置30で生成される更新指示であるが、異なる指示元情報を含むことにより、更新指示の情報量を増やすことなく、更新指示装置300の更新指示によって更新されるか否かを示すことができる。なお、これらの指示元情報は、更新指示装置300の更新指示による優先度情報の更新可否のいずれを示すかを予め特定している必要がある。したがって、このような指示元情報は、更新指示装置300の更新指示によって更新されるか否かを示す情報であるといえる。
【0095】
図10は、本実施形態による優先度保存部102に保存された優先度情報の更新の一例を示している。図10aは初期状態として優先度保存部102に保存されている情報を示しており、図10bは、更新指示装置300の更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。また、図10a、図10bはそれぞれ、図4a、図4bに対応しているが、図4とは異なり、指示元情報及び更新指示装置300による更新の可否情報が含まれている。図10aはデフォルトの優先度を示しているため、指示元は明示されていない。しかしながら、デフォルトの優先度がサーバ装置30から送信されている場合には、指示元情報はサーバ装置30を示してもよい。また、図10bは、更新指示装置300の更新指示に基づいて優先度情報が更新された後の情報であるため、指示元情報は指示元が更新指示装置300であることを示している。
【0096】
図10cは、サーバ装置30の更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。図10cでは、ECU-Aのバージョン情報ログ及びECU-AのCFIログの最新の優先度は、図10bの最新の優先度と異なっている。これは、サーバ装置30の更新指示に基づいて、優先度情報が更新されたことを示している。そのため、これら2つの状態ログに対応する指示元情報は、指示元がサーバ装置であることを示している。さらに、これら2つの状態ログの指示元はサーバ装置であるため、優先度情報がさらに更新指示装置300によって更新可能か否かを示す情報が更新されている。図10cの例では、ECU-Aのバージョン情報ログについては、更新指示装置300の更新指示によって更新されてもよく、ECU-AのCFIログについては、更新指示装置300の更新指示によって更新されないことを示している。
【0097】
本実施形態では、更新指示装置300からの更新指示に基づいて更新された更新後の優先度情報をサーバ装置30に送信することが望ましい。更新後の優先度情報をサーバ装置30に送信することにより、サーバ装置30は、ログ送信制御装置100において設定されている状態ログの優先度を把握することができる。そのため、更新指示装置300からの更新指示によって既に優先度情報が更新されており、サーバ装置30からの更新指示によって優先度情報を更新する必要がない場合には、更新指示から不要な情報を除外してログ送信制御装置100に送信することができ、更新指示による通信量を抑制することが可能となる。
【0098】
本実施形態によれば、更新指示装置300における簡易的な異常検出結果を用いて、迅速な優先度の更新を行い、さらにサーバ装置30による詳細なログの解析結果を用いて、優先度の更なる更新を行う。これにより、更新指示装置300からの更新指示のみに基づいて優先度の更新を行う場合よりも、サイバー攻撃の解析に必要な状態ログをより高い精度で判定して、適切な優先度を設定して更新することができる。さらに、サーバ装置30からの更新指示のみに基づいて優先度の更新を行う場合よりも、迅速に優先度を更新することが可能となり、車載システム10とサーバ装置30との通信環境が悪く、サーバ装置30からの優先度の更新指示を適切に受信できない場合であっても、必要なログが誤って失われるのを防ぐことができる。
【0099】
4.実施形態3
上述した実施形態では、優先度に有効期限を設ける構成を説明した。優先度に有効期限を設ける場合、有効期限を過ぎると優先度はデフォルト優先度に自動的に更新されるため、状態ログの優先度が高い値に更新されたままサーバ装置に送信され続けることはない。しかしながら、サーバ装置による解析が完了する前に有効期限が過ぎると、サーバ装置は解析に必要とされる十分な状態ログを収集できないおそれがある。有効期限を長く設定することによって十分な状態ログを収集することはできるが、この場合、状態ログの蓄積量や送信量が増大することにより、ログ送信制御装置のリソースを圧迫するおそれがある。
上述した実施形態では、優先度に有効期限を設ける構成を説明した。優先度に有効期限を設ける場合、有効期限を過ぎると優先度はデフォルト優先度に自動的に更新されるため、状態ログの優先度が高い値に更新されたままサーバ装置に送信され続けることはない。しかしながら、サーバ装置による解析が完了する前に有効期限が過ぎると、サーバ装置は解析に必要とされる十分な状態ログを収集できないおそれがある。有効期限を長く設定することによって十分な状態ログを収集することはできるが、この場合、状態ログの蓄積量や送信量が増大することにより、ログ送信制御装置のリソースを圧迫するおそれがある。
【0100】
そこで、本実施形態では、ログ送信制御装置100の更新指示取得部104が、サーバ装置からの更新指示に基づいて、優先度をデフォルト優先度に戻すように更新するとともに、優先度が低い状態ログを必要に応じて削除する構成を説明する。
【0101】
(1)サーバ装置の構成
本実施形態のサーバ装置の構成は、実施形態2と同様であり図9を参照して説明する。本実施形態のサーバ装置30の更新情報保存部31は、ログ解析部23によるログの解析結果、ひいては車両の車載システムに発生したセキュリティ異常の解析結果に応じて、優先度を更新すべき状態ログ、優先度の更新値を保存する。ただし、本実施形態の更新情報保存部31では、優先度の有効期限は保存しない。
本実施形態のサーバ装置の構成は、実施形態2と同様であり図9を参照して説明する。本実施形態のサーバ装置30の更新情報保存部31は、ログ解析部23によるログの解析結果、ひいては車両の車載システムに発生したセキュリティ異常の解析結果に応じて、優先度を更新すべき状態ログ、優先度の更新値を保存する。ただし、本実施形態の更新情報保存部31では、優先度の有効期限は保存しない。
【0102】
本実施形態の指示生成部32は、ログ送信制御装置100の優先度保存部102に保存された優先度情報を更新することを指示する更新指示を少なくとも2回生成する。最初は、実施形態2と同様、ログ解析部23が車両の車載システムに発生したセキュリティ異常を解析した結果に応じて、指示生成部32は、サイバー攻撃の詳細な解析に有用と思われる状態ログの優先度を高くすることを指示する更新指示(「第2の更新指示」に相当)を生成する。
【0103】
次は、ログ解析部23が、最初の更新指示によって優先度が高く設定された状態ログを収集して解析した結果、サイバー攻撃に対する対応が完了したタイミングであることが望ましい。サイバー攻撃に対する対応が完了とは、攻撃による影響をなくして、再び同様のサイバー攻撃を受けないような対策が完了したことであり、例えば、攻撃の対象になった脆弱性のあるECUを、無線通信ネットワークを介してリプログラムするといった対応が考えられる。このような場合、サーバ装置30は、サイバー攻撃に関係する状態ログを収集する必要がなくなるため、指示生成部32は優先度をデフォルト優先度に戻すことを指示する更新指示(「第3の更新指示」に相当)を生成する。以下、デフォルト優先度に戻すことを指示する更新指示をデフォルト更新指示とする。
【0104】
あるいは、サイバー攻撃に対する対応が完了したときに代えて、サイバー攻撃の詳細な解析が完了したときに指示生成部32は優先度をデフォルト優先度に戻すことを指示する更新指示を生成してもよい。サイバー攻撃の解析が完了し、攻撃による影響が許容できることが判明した場合や、サイバー攻撃に対する対応フェーズに移行した場合には、高い優先度で状態ログを収集することは不要であると判断できることがある。そこで、このような場合には、指示生成部32は、サイバー攻撃の解析が完了したタイミングで、デフォルト更新指示を生成してもよい。あるいは、解析の途中に高い優先度で状態ログを収集することを不要であると判断した場合にも、指示生成部32はデフォルト更新指示を生成してもよい。
【0105】
ここで、サイバー攻撃に対する対応が完了したタイミングや、サイバー攻撃の解析が完了したタイミングは、ログ解析部23の解析状況や、サーバ装置30からリプログラミング用のデータが送信されたか否かに基づいて指示生成部32が自動的に判断することを想定している。しかしながら、サーバ装置30のユーザが、サイバー攻撃に対する対応が完了したことや、サイバー攻撃の解析が完了したことを手動で入力する、あるいは、デフォルト優先度に戻す指示を手動で入力した場合に、指示生成部32はデフォルト更新指示を生成してもよい。
【0106】
指示生成部32がデフォルト更新指示を生成する場合、全ての状態ログについて優先度をデフォルト優先度に戻すことを指示する更新指示としてもよく、あるいは、特定の状態ログを指定してデフォルト優先度に戻すことを指示する更新指示としてもよい。すべての状態ログについてデフォルト優先度に戻す指示は、サーバ装置30における優先度情報の管理及び通信にかかる処理を簡易にすることができる。これに対し、特定の状態ログのみをデフォルト優先度に戻すことを指示する場合には、サイバー攻撃に対する対応又は解析が完了して、収集が不要となった状態ログの優先度のみをデフォルト優先度に戻すことができる。特定の状態ログのみをデフォルト優先度に戻すことを指示する場合、例えば、状態ログに予め割り当てられた識別番号を指定する、あるいは、特定のセンサによって取得される状態ログを指定してデフォルト更新指示を生成する。
【0107】
デフォルト更新指示を生成する場合、指示生成部32はさらに、ログ送信制御装置100の優先度保存部102に保存されていると推定した優先度情報を含むようにデフォルト更新指示を生成してもよい。以下の説明では、指示生成部32が、優先度保存部102に保存されていると推定した優先度情報を、推定優先度情報と称する。優先度保存部102に保存されている優先度情報は、指示生成部32が過去に生成した更新指示に基づいて更新された優先度情報と一致するはずである。そのため、指示生成部32は、過去に生成した更新指示に基づく更新後の優先度情報が、優先度保存部102に保存されている優先度情報であると推定することができる。
【0108】
【0109】
実施形態2と同様、本実施形態のログ送信制御装置100の更新指示取得部104は、更新指示装置300で生成された更新指示(「第1の更新指示」に相当)に加えて、サーバ装置30の指示生成部32で生成された、サイバー攻撃の更なる解析に必要な状態ログの優先度が高くなるように更新することを指示する更新指示(「第2の更新指示」に相当)を外部通信ECU12を介して取得する。本実施形態の更新指示取得部104はさらに、状態ログの優先度がデフォルト優先度に戻するように更新することを指示するデフォルト更新指示(「第3の更新指示」に相当)を外部通信ECU12を介して取得する。
【0110】
更新指示取得部104がデフォルト更新指示を取得した場合、優先度更新部105は、デフォルト更新指示に基づいて、優先度保存部102に保存されている優先度情報が示す優先度をデフォルト優先度に戻すように更新する。
【0111】
また、更新指示取得部104が、デフォルト更新指示とともに推定優先度情報を受信した場合、優先度更新部105は、優先度保存部102に保存されている優先度情報と、受信した推定優先度情報とを比較する。そして、比較した結果、推定優先度情報と、優先度保存部102に保存されている優先度情報とが一致する場合には、デフォルト更新指示に基づいて状態ログの優先度をデフォルト優先度に戻すように更新をする。一方、推定優先度情報と、優先度保存部102に保存されている優先度情報とが異なる場合には、デフォルト更新指示に基づいて優先度情報を更新しない。優先度情報は、例えば、ハッシュ値を用いて比較してもよい。
【0112】
推定優先度情報と、優先度保存部102に保存された優先度情報とが異なるということは、サーバ装置30が優先度情報を更新する更新指示を送信した後に、更新指示装置300が新たな異常を検出して新たな更新指示を生成し、新たな更新指示に基づいて優先度情報がさらに更新された可能性がある。そのため、デフォルト更新指示に基づいてデフォルト優先度に更新すると、新たに発生した異常の解析に必要な状態ログの優先度についてもデフォルト優先度に更新されるため、サーバ装置30が解析に必要な状態ログを収集できないおそれがある。
【0113】
そこで、推定優先度情報と、優先度保存部102に保存されている優先度情報とが一致する場合に限り、つまり、新たな更新指示に基づいて優先度情報が更新されていない場合に、優先度更新部105は状態ログの優先度をデフォルト優先度に戻す処理を行う。これにより、更新指示装置300で生成された新たな更新指示によって更新された優先度情報が、デフォルト更新指示に基づいて上書きされるのを防ぐことができる。
【0114】
この構成では、ログ送信制御装置100は、デフォルト更新指示に基づいて優先度情報が更新されたことを示す情報をサーバ装置30に送信することが望ましい。推定優先度情報と優先度保存部102に保存されている優先度情報が一致し、更新が成功した場合には、ログ送信制御装置100はデフォルト優先度への更新が完了したことを示す情報をサーバ装置30に送信する。これにより、サーバ装置30は、優先度保存部102に保存されている優先度情報が示す優先度がデフォルト優先度であると判断することができる。
【0115】
なお、推定優先度情報と優先度保存部102に保存されている優先度情報が異なり、デフォルト優先度への更新が失敗した場合には、ログ送信制御装置100はデフォルト優先度への更新が失敗したことを示す情報をサーバ装置30に送信してもよい。これにより、サーバ装置30は、優先度保存部102に保存されている優先度情報が示す優先度が、サーバ装置30で管理している優先度とは異なると判断することができる。
【0116】
デフォルト優先度に更新されると、状態ログの優先度は低く更新されるため、サーバ装置30への状態ログの送信順序が他の状態ログよりも後になる、又は送信頻度が低下することになる。このような、低い優先度の状態ログがログ保存部103に蓄積されると、ログ保存部103のリソースを消費するだけでなく、優先度の高い状態ログをログ保存部103に保存できなくなるおそれがある。そこで、ログ保存部103の保存容量に達した場合には、優先度が低い状態ログから順に削除されることが望ましい。デフォルト優先度は低い値で設定されるため、本実施形態では、デフォルト優先度が付与された状態ログから順に、ログ保存部103から削除されることになる。なお、ログ保存部103の保存容量とは、必ずしもログ保存部103の保存可能容量ではなくともよく、予め設定された保存容量の上限値であってもよい。
【0117】
あるいは、優先度更新部105により、優先度情報が示す優先度がデフォルト優先度に更新されるタイミングで、ログ保存部103に保存されたログのうち優先度が低いログを破棄してもよい。
【0118】
なお、デフォルト優先度として複数のデフォルト優先度が設定されている場合、いずれのデフォルト優先度に更新するかは、サーバ装置30が指示してもよく、あるいは、ログ送信制御装置100が車両の状態に応じて判断をしてもよい。
【0119】
【0120】
S101において、更新指示取得部104は更新指示を取得する。ここで、本実施形態のS101で取得する更新指示は、更新指示装置300で生成された更新指示、あるいは、サーバ装置30で生成された、優先度を高くすることを指示する更新指示又はデフォルト優先度に戻すことを指示するデフォルト更新指示のいずれかである。
【0121】
S201において、ログ保存部103の保存容量の上限に到達したと判定すると(S201:Yes)、優先度が低い状態ログから順に削除する(S202)。また、ログ保存部103の保存容量に余裕がある場合には(S201:No)、処理を終了する。
【0122】
(4)小括
以上のとおり、本実施形態によれば、ログ送信制御装置100の優先度保存部102に保存される優先度情報は、サーバ装置30からの更新指示に基づいてデフォルト優先度に戻す更新が行われる。これにより、サーバ装置30が状態ログを必要としなくなった時点で状態ログの優先度を低くすることができるため、不要な状態ログがログ保存部103に保存されたり、サーバ装置30に送信されるのを防ぎ、ログ送信制御装置100のリソースを有効に利用することが可能となる。さらに、サーバ装置30がサイバー攻撃の解析に必要な状態ログが誤って破棄されるのを防ぐことが可能となる。
以上のとおり、本実施形態によれば、ログ送信制御装置100の優先度保存部102に保存される優先度情報は、サーバ装置30からの更新指示に基づいてデフォルト優先度に戻す更新が行われる。これにより、サーバ装置30が状態ログを必要としなくなった時点で状態ログの優先度を低くすることができるため、不要な状態ログがログ保存部103に保存されたり、サーバ装置30に送信されるのを防ぎ、ログ送信制御装置100のリソースを有効に利用することが可能となる。さらに、サーバ装置30がサイバー攻撃の解析に必要な状態ログが誤って破棄されるのを防ぐことが可能となる。
【0123】
なお、優先度の有効期限を設けないことを前提として、本実施形態3を説明した。しかしながら、他の実施形態と同様、本実施形態においても優先度の有効期限を設定しておいてもよい。この場合、有効期限は、サーバ装置が必要な状態ログを収集するのに十分長い有効期限が設定されることが望ましい。これにより、仮に、車載システム10とサーバ装置30との間の通信状況が悪く、優先度をデフォルト優先度に戻す更新指示を送受信できない場合であっても、優先度が高い値の状態が続いてログ送信制御装置100のリソースを消費し続けるのを防ぐことができる。
【0124】
また、実施形態3では、実施形態2と同様、サーバ装置30の指示生成部32は、サイバー攻撃の更なる解析に必要な状態ログの優先度が高くなるように更新することを指示する更新指示を生成することを前提として説明した。しかしながら、指示生成部32は、デフォルト更新指示のみを生成するものであってもよい。この場合、サーバ装置30は、更新指示措置300で生成された更新指示に基づく更新後の優先度情報をログ送信制御装置100から受信することにより、優先度保存部102に保存されている優先度情報を推定することができる。
【0125】
5.総括
以上、本発明の各実施形態におけるログ送信制御装置等の特徴について説明した。
以上、本発明の各実施形態におけるログ送信制御装置等の特徴について説明した。
【0126】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0127】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0128】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0129】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0130】
各実施形態は、車両に搭載される車両用の装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
【0131】
各実施形態では、各実施形態に開示の装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
【0132】
また、本発明のログ送信制御装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0133】
またログ送信制御装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0134】
本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0135】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0136】
本開示のログ送信制御装置は、主として自動車に搭載される電子制御装置を対象としているが、自動車に搭載されない通常の電子制御装置を対象としてもよい。
【符号の説明】
【0137】
30 サーバ装置、100 ログ送信制御装置、101 ログ取得部、102 優先度保存部、103 ログ保存部、104 更新指示取得部、105 優先度更新部、106 送信部、300 更新指示装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
