知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-19
(45)【発行日】2024-02-28
(54)【発明の名称】ログ分析装置
(51)【国際特許分類】
G06F 11/30 20060101AFI20240220BHJP
G06F 11/34 20060101ALI20240220BHJP
G06F 11/07 20060101ALI20240220BHJP
G06F 21/55 20130101ALI20240220BHJP
【FI】
G06F11/30 172
G06F11/30 140D
G06F11/34 176
G06F11/07 181
G06F11/07 140R
G06F21/55 320
【請求項の数】
22
(21)【出願番号】P 2020120382
(22)【出願日】2020-07-14
(65)【公開番号】P2022024266
(43)【公開日】2022-02-09
【審査請求日】2022-09-13
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】長柄 啓悟
(72)【発明者】
【氏名】安部 泰司
【審査官】多賀 実
(56)【参考文献】
【文献】国際公開第2020/075826(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/28-11/36
G06F 21/00-21/88
(57)【特許請求の範囲】
【請求項1】
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信する受信部(101)と、前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記ログ分析部は、前記ログを分析することにより、
前記電子制御システムに異常が発生したことを検知する第1の分析と、
前記第1の分析によって検知した前記異常の内容を解析する第2の分析と、
前記異常に対する対応が実行された場合に、前記対応後の前記電子制御システムの状態を確認する第3の分析と、を実行する、
ログ分析装置(10)。
【請求項2】
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信する受信部(101)と、前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記ログ分析部のセキュリティセンサの検知機能に応じて、前記ログの優先度を決定する、
ログ分析装置(10)。
【請求項3】
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信する受信部(101)と、前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記電子制御システムが有する電子制御装置で保護される情報の種別に応じて、前記ログの優先度を決定する、
ログ分析装置(10)。
【請求項4】
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信する受信部(101)と、前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記電子制御システムの電源状態と、前記電子制御システムが有する電子制御装置の電源状態とに応じて、前記ログの優先度を決定する、
ログ分析装置(10)。
【請求項5】
前記優先度決定部は、前記第1の分析の結果に応じて第1の優先度を決定し、
前記第2の分析の結果に応じて第2の優先度を決定し、
前記ログ分析部は、
前記第1の優先度に基づいて前記電子制御システムから送信されたログである第1のログを分析することにより、前記第2の分析を実行し、
前記第2の優先度に基づいて前記電子制御システムから送信されたログである第2のログを分析することにより、前記第3の分析を実行する、
請求項1記載のログ分析装置。
【請求項6】
前記優先度決定部は、前記ログ分析部が検知した異常の内容に応じて、前記ログの優先度を決定する、請求項1記載のログ分析装置。
【請求項7】
ログ分析装置(10)で実行されるログ分析方法であって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記ログ分析部における分析において、
前記電子制御システムに異常が発生したことを検知する第1の分析と、
前記第1の分析によって検知した前記異常の内容を解析する第2の分析と、
前記異常に対する対応が実行された場合に、前記対応後の前記電子制御システムの状態を確認する第3の分析と、を実行する、
ログ分析方法。
【請求項8】
ログ分析装置(10)で実行されるログ分析方法であって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記ログ分析部のセキュリティセンサの検知機能に応じて、前記ログの優先度を決定する、
ログ分析方法。
【請求項9】
ログ分析装置(10)で実行されるログ分析方法であって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムが有する電子制御装置で保護される情報の種別に応じて、前記ログの優先度を決定する、
ログ分析方法。
【請求項10】
ログ分析装置(10)で実行されるログ分析方法であって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムの電源状態と、前記電子制御システムが有する電子制御装置の電源状態とに応じて、前記ログの優先度を決定する、
ログ分析方法。
【請求項11】
ログ分析装置(10)で実行可能なログ分析プログラムであって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記ログ分析部における分析において、
前記電子制御システムに異常が発生したことを検知する第1の分析と、
前記第1の分析によって検知した前記異常の内容を解析する第2の分析と、
前記異常に対する対応が実行された場合に、前記対応後の前記電子制御システムの状態を確認する第3の分析と、を実行する、
処理を前記ログ分析装置に実行させる、ログ分析プログラム。
【請求項12】
ログ分析装置(10)で実行可能なログ分析プログラムであって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記ログ分析部のセキュリティセンサの検知機能に応じて、前記ログの優先度を決定する、
処理を前記ログ分析装置に実行させる、ログ分析プログラム。
【請求項13】
ログ分析装置(10)で実行可能なログ分析プログラムであって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムが有する電子制御装置で保護される情報の種別に応じて、前記ログの優先度を決定する、
処理を前記ログ分析装置に実行させる、ログ分析プログラム。
【請求項14】
ログ分析装置(10)で実行可能なログ分析プログラムであって、
移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムの電源状態と、前記電子制御システムが有する電子制御装置の電源状態とに応じて、前記ログの優先度を決定する、
処理を前記ログ分析装置に実行させる、ログ分析プログラム。
【請求項15】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)であって、
前記ログ分析装置は、
前記電子制御システムから、前記電子制御システムの状態を示すログを受信する受信部(101)と、
前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記ログ分析部は、前記ログを分析することにより、
前記電子制御システムに異常が発生したことを検知する第1の分析と、
前記第1の分析によって検知した前記異常の内容を解析する第2の分析と、
前記異常に対する対応が実行された場合に、前記対応後の前記電子制御システムの状態を確認する第3の分析と、を実行し、
前記電子制御システムは、
前記ログ分析装置から前記指示情報を受信する指示取得部(203)と、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信するログ送信部(205)と、を備える、
ログ収集システム。
【請求項16】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)であって、
前記ログ分析装置は、
前記電子制御システムから、前記電子制御システムの状態を示すログを受信する受信部(101)と、
前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記ログ分析部のセキュリティセンサの検知機能に応じて、前記ログの優先度を決定し、
前記電子制御システムは、
前記ログ分析装置から前記指示情報を受信する指示取得部(203)と、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信するログ送信部(205)と、を備える、
ログ収集システム。
【請求項17】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)であって、
前記ログ分析装置は、
前記電子制御システムから、前記電子制御システムの状態を示すログを受信する受信部(101)と、
前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記電子制御システムが有する電子制御装置で保護される情報の種別に応じて、前記ログの優先度を決定し、
前記電子制御システムは、
前記ログ分析装置から前記指示情報を受信する指示取得部(203)と、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信するログ送信部(205)と、を備える、
ログ収集システム。
【請求項18】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)であって、
前記ログ分析装置は、
前記電子制御システムから、前記電子制御システムの状態を示すログを受信する受信部(101)と、
前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、
前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、
前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、
前記指示情報を前記電子制御システムに送信する送信部(107)と、
を備え、
前記優先度決定部は、前記電子制御システムの電源状態と、前記電子制御システムが有する電子制御装置の電源状態とに応じて、前記ログの優先度を決定し、
前記電子制御システムは、
前記ログ分析装置から前記指示情報を受信する指示取得部(203)と、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信するログ送信部(205)と、を備える、
ログ収集システム。
【請求項19】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)で実行されるログ収集方法であって、
前記ログ分析装置において、
前記電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記ログ分析部における分析において、
前記電子制御システムに異常が発生したことを検知する第1の分析と、
前記第1の分析によって検知した前記異常の内容を解析する第2の分析と、
前記異常に対する対応が実行された場合に、前記対応後の前記電子制御システムの状態を確認する第3の分析と、を実行し、
前記電子制御システムにおいて、
前記ログ分析装置から前記指示情報を受信し、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信する、
ログ収集方法。
【請求項20】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)で実行されるログ収集方法であって、
前記ログ分析装置において、
前記電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記ログ分析部のセキュリティセンサの検知機能に応じて、前記ログの優先度を決定し、
前記電子制御システムにおいて、
前記ログ分析装置から前記指示情報を受信し、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信する、
ログ収集方法。
【請求項21】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)で実行されるログ収集方法であって、
前記ログ分析装置において、
前記電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムが有する電子制御装置で保護される情報の種別に応じて、前記ログの優先度を決定し、
前記電子制御システムにおいて、
前記ログ分析装置から前記指示情報を受信し、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信する、
ログ収集方法。
【請求項22】
ログ分析装置(10)と、移動体に搭載された電子制御システム(20)と、を有するログ収集システム(1)で実行されるログ収集方法であって、
前記ログ分析装置において、
前記電子制御システム(20)から、前記電子制御システムの状態を示すログを受信し、
受信した前記ログを用いて、ログ分析部において前記電子制御システムにおける異常に関し分析し、
前記ログ分析部における分析結果に応じて、前記電子制御システムが前記ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定し、
決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成し、
前記指示情報を前記電子制御システムに送信し、
前記優先度の決定において、前記電子制御システムの電源状態と、前記電子制御システムが有する電子制御装置の電源状態とに応じて、前記ログの優先度を決定し、
前記電子制御システムにおいて、
前記ログ分析装置から前記指示情報を受信し、
前記指示情報が指示する前記優先度に基づいて、前記電子制御システムの状態を示す前記ログを前記ログ分析装置に送信する、
ログ収集方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主に自動車をはじめとする移動体に搭載される電子制御システムのログの分析を行うログ分析装置に関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。
【0003】
車両に対するサイバー攻撃が発生した場合、攻撃により車両のコントロールに支障をきたすおそれがあるため、これを事前に予防する、あるいは攻撃に対する対応や復旧を迅速に行うべく事案の分析が重要になる。そこで、リソースが豊富なサーバ装置が車載装置のログを収集して解析することが知られている。
【0004】
例えば、特許文献1には、サーバ装置が車載装置から受信したログを解析し、サイバー攻撃の可能性を検知すると、車載装置に蓄積させるログの優先度を変更する更新指令を車載装置に送信することが開示されている。そして、車載装置は、サイバー攻撃の判断に用いるログの優先度が高くなるように優先度を変更させる更新指令を受信すると、優先度に従ってログを蓄積してサーバ装置に送信する。これにより、特許文献1によれば、サーバ装置は、限定されたリソースを利用しながらログを収集することができる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2018-32254号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、本発明者は、以下の課題を見出した。車載装置が受けたサイバー攻撃の内容に応じて、サイバー攻撃の詳細をさらに解析したり、攻撃に対する対策を実行するために必要とされるログは異なってくる。そのため、サーバ装置ではログを分析した結果に応じて、更なる分析に必要なログの優先度を適宜判定して、設定する必要がある。
【0007】
本発明は、ログ分析装置によるログの分析結果に応じて、車載システムからログ分析装置にログを送信する優先度を適宜決定することを目的とする。
【課題を解決するための手段】
【0008】
本開示の一態様によるログ分析装置は、移動体に搭載された電子制御システム(20)から、前記電子制御システムの状態を示すログを受信する受信部(101)と、前記受信部が受信した前記ログを用いて、前記電子制御システムにおける異常に関し分析するログ分析部(103)と、前記ログ分析部における分析結果に応じて、前記電子制御システムが当該ログ分析装置に前記ログを送信するための優先度を当該ログ毎に決定する優先度決定部(104)と、前記優先度決定部が決定した前記優先度に基づいて前記ログを送信制御することを指示する指示情報を生成する指示生成部(106)と、前記指示情報を前記電子制御システムに送信する送信部(107)と、を備える。
【0009】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0010】
上述のような構成により、本開示のログ分析装置は、車載装置がログ分析装置にログを送信する優先度をログの分析結果に応じて適切に決定することができる。
【図面の簡単な説明】
【0011】
【図1】ログ分析装置の構成例を示すブロック図
【図2】ログ分析部の影響特定機能が特定する影響度の例を説明する図
【図3】ログ分析装置の動作を説明するフローチャート
【図4】ログ分析装置の動作を説明するフローチャート
【図5】ログ分析装置によるログの分析を説明する図
【図6】ログ分析装置によるログの分析を説明する図
【図7】ログ分析装置によるログの分析を説明する図
【図8】ログ分析装置と通信を行う車載システムの構成例を示すブロック図
【図9】車載システムが有するログ送信制御装置の構成例を示すブロック図
【図10】ログ分析装置及び車載システムからなるログ収集システムの構成例を示す図
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について、図面を参照して説明する。
【0013】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0014】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0015】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0016】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
【0017】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0018】
1.ログ分析装置
(1)ログ分析装置の構成
図1を用いて、本開示のログ分析装置10の構成を説明する。なお、以下の実施形態では、ログ分析装置10は、「移動体」である車両に搭載された車載システム(「電子制御システム」に相当)と通信を行うサーバ装置を想定して説明している。しかしながら、ログ分析装置10は、車載システムと通信を行うサーバ装置に限定されるものではない。例えば、ログ分析装置10は、車両とは異なる移動体に搭載された電子制御システムと通信を行うログ分析装置であってもよく、あるいは、ログ分析装置10自体が移動体に搭載されて、ログを分析するものであってもよい。なお、ログ分析装置10と通信を行う車載システム20については後述する。
(1)ログ分析装置の構成
図1を用いて、本開示のログ分析装置10の構成を説明する。なお、以下の実施形態では、ログ分析装置10は、「移動体」である車両に搭載された車載システム(「電子制御システム」に相当)と通信を行うサーバ装置を想定して説明している。しかしながら、ログ分析装置10は、車載システムと通信を行うサーバ装置に限定されるものではない。例えば、ログ分析装置10は、車両とは異なる移動体に搭載された電子制御システムと通信を行うログ分析装置であってもよく、あるいは、ログ分析装置10自体が移動体に搭載されて、ログを分析するものであってもよい。なお、ログ分析装置10と通信を行う車載システム20については後述する。
【0019】
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
【0020】
ログ分析装置10の形態は、部品、半完成品、完成品のいずれでもよい。本実施形態では、ログ分析装置10はサーバ装置内部の半導体回路によって実現されているので、部品の形態に属する。
その他、部品の例として半導体モジュール、半完成品の形態として独立したECU、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
その他、部品の例として半導体モジュール、半完成品の形態として独立したECU、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
【0021】
ログ分析装置10は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図1に記載の各機能ブロックの機能を発揮させるように構成することができる。
【0022】
ログ分析装置10は、受信部101、データベース102、ログ分析部103、優先度決定部104、対応決定部105、指示生成部106、及び送信部107を備える。
【0023】
受信部101は、無線通信ネットワークを用いて車載システム20と通信を行い、車載システム20から送信されたログを受信する。このログは、車載システム20の「状態」を示すログである。車載システム20の状態とは、車載システム20全体の状態はもちろん、車載システムを構成するECUや車内ネットワークそれぞれの状態も含む。
【0024】
ここで、「状態」を示すログ、とは、例えば、電子制御システムを構成するECUやネットワークの動作といった常に変化する動的な状態を記録したものの他、ECUのバージョンや機能といった基本的には変化しない静的な状態を記録したものも含む。
【0025】
データベース102は、ログデータベース(以下、ログDB)1021、セキュリティデータベース(以下、セキュリティDB)1022、車両情報データベース(以下、車両情報DB)1023を含むデータベースである。ログDB1021は、受信部101が受信した車載システム20のログを収集して蓄積する。セキュリティDB1022は、後述するログ分析部103における分析結果や、過去のサイバー攻撃に関する脅威、車載システム20の脆弱性に関する情報を蓄積する。車両情報DB1023は、ログ分析装置10と通信を行う車載システム20の構成、例えば、車載システム20を構成するECUの機能、ECUの配置、ECUのバージョン情報、及びECU同士を接続するネットワークに関する情報を蓄積する。
【0026】
ログ分析部103は、セキュリティDB1022や車両情報DB1023に蓄積された情報を利用して、受信部101が受信したログを分析する。ログ分析部103は、様々な種類のセキュリティセンサを有し、これらのセキュリティセンサを用いてログを分析する。以下に説明する例では、ログ分析部103は、ログを分析することによって主に3つの分析を実行する。3つの分析とは、車載システム20に異常(例えば、サイバー攻撃)が発生したことを検知する分析(「第1の分析」に相当)、検知した異常の内容を詳細に解析する分析(「第2の分析」に相当)、及び異常に対する対応が実行された場合に、対応後の車載システム20の状態を確認する分析(「第3の分析」に相当)である。
【0027】
ログ分析部103は複数の機能を有し、これらの機能を用いて上述した3つの分析を実行してもよい。図1に示す例では、ログ分析部103は、車載システム20に対するサイバー攻撃を検知する攻撃検知機能1031、攻撃検知機能で検知した攻撃による被害箇所や被害状況を特定する被害特定機能1032、攻撃の攻撃経路や攻撃元を特定する経路特定機能1033、及びサイバー攻撃によって生じる影響を分析する影響分析機能1034、を有する。ログ分析部103によるログの詳細な分析方法については後述する。
【0028】
なお、以下に示す実施形態では、ログ分析部103は、車載システム20に発生した異常がサイバー攻撃である例を挙げて説明する。しかしながら、ログ分析部103は、ログを分析することによって、サイバー攻撃を原因とせずに発生した車載システム20の異常を分析するものであってもよい。
【0029】
優先度決定部104は、ログ分析部103におけるログの分析結果に応じて、車載システム20がログ分析装置10にログを送信するための「優先度」を決定する。なお、優先度決定部104は、ログの分析結果に応じて、優先度の値を決定するだけでなく、優先度を決定すべき対象のログをさらに決定してもよい。なお、ログを送信するための「優先度」とは、車載システム20がログを送信する優先度はもちろん、車載システム20がログ分析装置10にログを送信するために、車載システム20を構成する各電子制御装置からログを収集する優先度も含む。
【0030】
ここで、「優先度」は、所定の評価基準に基づいて定められる指標であり、表現方法は任意である。例えば、数字で表す場合の他、記号で表してもよい。指標によって分類される数は複数であればよく、有限であっても無限であってもよい。
【0031】
優先度決定部104は、ログ分析部103におけるログの分析結果に応じて、少なくとも2回、優先度を決定することが望ましい。まず、ログ分析部103がログを分析した結果、車載システム20のECUに異常が発生したこと、例えば、サイバー攻撃を受けたことを検知した場合、ログ分析部103において攻撃の内容を詳細に解析するために必要なログを収集する必要がある。そこで、優先度決定部104は、車載システム20が攻撃を受けたことを検知した分析結果に応じて、優先度を決定する。以下の説明では、サイバー攻撃を検知した分析結果に応じて決定する優先度を、第1の優先度とする。
【0032】
優先度決定部104はさらに、ログ分析部103が、第1の優先度に基づいて車載システム20から送信されたログ(「第1のログ」に相当)を分析した結果、サイバー攻撃に対する対応が車載システム20に実行された後に優先度を決定する。サイバー攻撃に対する対応が実行された場合、ログ分析部103は、攻撃に対する対応が適切であるか否か、攻撃による被害が解消されたか否か等といった、攻撃対応後の車載システム20の状態を、ログを分析して確認することが望ましい。そこで、優先度決定部104は、対応後の車載システム20の状態を確認するログを収集するために、優先度を決定する。以下の説明では、サイバー攻撃への対応後のログを分析するために決定する優先度を、第2の優先度とする。なお、対応後の車載システム20の状態を確認する必要があるログは、ログ分析部103が攻撃の内容を解析した結果判明する。したがって、第2の優先度は、ログ分析部103が攻撃の内容を解析したログの分析結果に応じて決定されるものである。ログ分析部103は、第2の優先度に基づいて車載システム20から送信されたログ(「第2のログ」に相当)を分析することにより、車載システム20の状態を確認することができる。
【0033】
なお、以下の実施形態では、優先度決定部104が第1の優先度及び第2の優先度を決定する構成を説明するが、優先度決定部104はログ分析状況に応じて、複数回にわたって優先度を決定してもよい。
【0034】
また、優先度決定部104によって決定される優先度は、例えば、1~10といった数値であってもよく、また、高・中・低といったいくつかのレベルで表されるものであってもよい。あるいは、他のログや過去のログとの相対評価で、すなわち、過去の優先度よりも優先度が高く又は低くなるように優先度を決定してもよい。
【0035】
対応決定部105は、ログ分析部103が検知したサイバー攻撃に対する対応を決定する。例えば、対応決定部105は、第1の優先度に基づいて車載システム20から送信されたログを解析した結果に基づいて攻撃への対応を決定する。対応決定部105は、サイバー攻撃に対する対応として、例えば、車載システム20が有するECUを再起動すること、攻撃を受けたECUを他のECUから隔離すること、又は無線通信ネットワークを利用したリプログラムを実行することを決定する。
【0036】
対応決定部105は、例えば、攻撃を受けて動作が停止したECUや、正常な動作ができないECUに対しては、攻撃に対する対応としてECUの再起動を決定する。
また、攻撃を受けたECUが他のECUに影響を与える恐れがある場合、攻撃を受けたECUを他のECUから遮断又は隔離することが望ましい。ログ分析部103がDoS攻撃を検知した場合には、ECUの遮断又は隔離を行い、ECU同士又は車外との通信を制限することが望ましい。そこで、対応決定部105は、特定のECUを他のECUから遮断又は隔離することを決定してもよい。さらに、重要性の高い情報(例えば、暗号鍵)を管理するECUを遮断することで、重要な情報が流出するのを防いでもよい。
さらに、ECUの再起動や遮断又は隔離では攻撃に対する対応が十分ではない場合、ECU、ソフトウェア、ファイル、及び暗号鍵をリプログラムや更新することを決定してもよい。
また、攻撃を受けたECUが他のECUに影響を与える恐れがある場合、攻撃を受けたECUを他のECUから遮断又は隔離することが望ましい。ログ分析部103がDoS攻撃を検知した場合には、ECUの遮断又は隔離を行い、ECU同士又は車外との通信を制限することが望ましい。そこで、対応決定部105は、特定のECUを他のECUから遮断又は隔離することを決定してもよい。さらに、重要性の高い情報(例えば、暗号鍵)を管理するECUを遮断することで、重要な情報が流出するのを防いでもよい。
さらに、ECUの再起動や遮断又は隔離では攻撃に対する対応が十分ではない場合、ECU、ソフトウェア、ファイル、及び暗号鍵をリプログラムや更新することを決定してもよい。
【0037】
ただし、サイバー攻撃による被害が大きく、上述した再起動、遮断又は隔離、リプログラムでは車載システム20を復旧できず、車両の販売会社や修理工場での対応が必要になる場合がある。このような場合は、対応決定部105は、修理工場等での対応が必要であることを車両のユーザに通知することを決定してもよい。
【0038】
なお、サイバー攻撃を受けた車両と車種や型式が等しい車両や、サイバー攻撃を受けたECUと同じ種類及びバージョンを有するECUを備える他の車両では、同様の攻撃を受ける可能性がある。そこで、対応決定部105はさらに、攻撃を受けた車両と同等の車両や、攻撃を受けたECUと同じECUを搭載する車両に対して、同様の攻撃が発生しているか否かを確認するか否かを決定してもよい。攻撃を受けた車両と同等の車両や、同じECUを搭載する車両は、車両情報DB1023に蓄積されている情報から判定することができる。
【0039】
指示生成部106は、優先度決定部104が決定した優先度に「基づいて」ログを送信することを車載システム20に指示する指示情報(以下、優先度指示情報)を生成する。
【0040】
ここで、優先度に「基づいて」ログを送信する、とは、優先度を用いることで、優先度が低いログと比較して優先度が高いログを優先的に送信することを実現していればよく、例えば、優先度が高いログから順次送信すること、優先度が高いログの送信頻度を優先度が低いログの送信頻度より高くすること、を含む。
【0041】
指示生成部106はさらに、対応決定部105が攻撃に対する対応を決定した場合には、対応を実行することを車載システム20に指示する指示情報(以下、対応指示情報)を生成する。なお、対応決定部105がリプログラムをすることを決定した場合、指示生成部106がリプログラム用のプログラムを生成してもよいが、ログ分析装置10の外部に設けられた専用の装置から、リプログラムを取得する構成としてもよい。
【0042】
優先度指示情報はさらに、車載システム20がログに優先度を付与するタイミングを指示してもよい。例えば、優先度指示情報は、車両のイグニッションがOFFからONになったときに、ログへの優先度付与を開始することを指示する。ただし、車両のイグニッションがOFFであっても、ACC電源がONのときに動作する装置(例えば、カーナビゲーションシステム)もある。そのため、イグニッションがOFF時に動作する装置の状態を示すログについては、イグニッションがOFFのときに取得されたログに遡って、優先度を付与するように指示をしてもよい。あるいは、車載システム20に蓄積されている過去のログに対し、優先度を付与することを指示してもよい。
【0043】
送信部107は、指示生成部106が生成した指示情報、すなわち、優先度指示情報及び対応指示情報を車載システム20に送信する。
【0044】
(2)ログ分析部におけるログの分析
次に、ログ分析部103におけるログの分析方法を説明する。
次に、ログ分析部103におけるログの分析方法を説明する。
【0045】
(2-1)攻撃検知機能におけるログの分析
ログ分析部103の攻撃検知機能1031は、受信部101が受信したログが正常であるか否かを分析し、正常ではない場合は攻撃が発生したことを検知する。また、車載システム20が異常検出装置を有している場合、異常又は正常であることを示すフラグや付加情報がログに付与されていることがある。そこで、ログに異常であることを示すフラグや付加情報が付与されている場合には、攻撃検知機能1031は、このログが本当に異常なログであるか否かを判定してもよい。攻撃検知機能1031は、以下の方法を用いて、車載システム20に対する攻撃を検知する。
ログ分析部103の攻撃検知機能1031は、受信部101が受信したログが正常であるか否かを分析し、正常ではない場合は攻撃が発生したことを検知する。また、車載システム20が異常検出装置を有している場合、異常又は正常であることを示すフラグや付加情報がログに付与されていることがある。そこで、ログに異常であることを示すフラグや付加情報が付与されている場合には、攻撃検知機能1031は、このログが本当に異常なログであるか否かを判定してもよい。攻撃検知機能1031は、以下の方法を用いて、車載システム20に対する攻撃を検知する。
【0046】
攻撃検知機能1031は、受信部101が定期的に受信するログを分析し、ログに異常が発生している場合には、車載システム20にサイバー攻撃が発生したことを検知する。
攻撃検知機能1031は、セキュリティセンサのログから、車載システム20に攻撃が発生したことを検知する。セキュリティセンサのログとは、ログに、異常が発生したことを示すフラグや付加情報が付与されているログである。
あるいは、車載システム20を構成する複数のECUの状態を示すログの相関から、攻撃が発生したことを検知する。例として、ギアのポジションを示すログ(以下、ログa)と、車両速度を示すログ(以下、ログb)の相関が挙げられる。ギアがパーキング(P)のポジションにある場合、車両速度は0となる。しかしながら、ログaがパーキングのポジションを示しているにもかかわらず、ログbが0以上の速度を示している場合、車両には何らかの異常が発生している、あるいは、ログが正しくなく、攻撃によって書き換えられた可能性がある。このようなログの相関から、攻撃検知機能1031は、攻撃が発生したことを検知してもよい。
攻撃検知機能1031は、セキュリティセンサのログから、車載システム20に攻撃が発生したことを検知する。セキュリティセンサのログとは、ログに、異常が発生したことを示すフラグや付加情報が付与されているログである。
あるいは、車載システム20を構成する複数のECUの状態を示すログの相関から、攻撃が発生したことを検知する。例として、ギアのポジションを示すログ(以下、ログa)と、車両速度を示すログ(以下、ログb)の相関が挙げられる。ギアがパーキング(P)のポジションにある場合、車両速度は0となる。しかしながら、ログaがパーキングのポジションを示しているにもかかわらず、ログbが0以上の速度を示している場合、車両には何らかの異常が発生している、あるいは、ログが正しくなく、攻撃によって書き換えられた可能性がある。このようなログの相関から、攻撃検知機能1031は、攻撃が発生したことを検知してもよい。
【0047】
攻撃検知機能1031が攻撃を検知する手法は任意であるが、例えば、車載システム20から受信するログのリストと照らし合わせて異常の有無を検知するブラックリスト及びホワイトリスト、ログが示すECUのバージョンの整合性をチェックする手法、機械学習アルゴリズムを用いた各ログが示す値の異常値のアノマリー検出などが想定される。あるいは、ログ分析装置10を使用するセキュリティアナリストなどのユーザが、ログの内容を確認することで異常を発見し、サイバー攻撃の発生を検知してもよい。
【0048】
なお、攻撃検知機能1031が攻撃の発生を検知した場合、攻撃が発生した時刻、攻撃検知機能1031が攻撃を特定した時刻、及び攻撃の検知に利用したログ等をセキュリティDB1022に保存することが望ましい。
【0049】
(2-2)被害特定機能におけるログの分析
ログ分析部103の被害特定機能1032は、攻撃検知機能1031が攻撃を検知すると、例えば、以下の方法を用いて、サイバー攻撃によって車載システム20に発生した被害を特定する。車載システム20に発生した被害とは、被害が発生した箇所、及び被害の程度を含んでもよい。
ログ分析部103の被害特定機能1032は、攻撃検知機能1031が攻撃を検知すると、例えば、以下の方法を用いて、サイバー攻撃によって車載システム20に発生した被害を特定する。車載システム20に発生した被害とは、被害が発生した箇所、及び被害の程度を含んでもよい。
【0050】
被害特定機能1032は、車載システム20を構成するECUのうち、エントリポイントのECUの状態を示すログに異常を検出した場合、これらのECUに接続されているECUのログに異常がないかどうかを確認して、これらのECUに攻撃による被害が発生しているかどうかを特定する。アプリに関連するログの異常を検出した場合、被害特定機能1032はアプリの階層が被害を受けていることを特定する。ここで、エントリポイントのECUとは、車外と通信を行う外部通信ECUや、ゲートウェイECUを想定しているが、これらに限定されるものではない。
被害特定機能1032はさらに、ログの対象項目から、不正アクセスしたプロセス、改ざんされたプロセス、又はリソースを異常使用しているプロセスを特定する。
被害特定機能1032はさらに、ログの対象項目から、攻撃を受けて停止した、車載システム20の防御機能や異常検知機能を特定することにより、攻撃によって被害を受けた箇所を特定してもよい。
被害特定機能1032はさらに、ログの対象項目から、不正アクセスしたプロセス、改ざんされたプロセス、又はリソースを異常使用しているプロセスを特定する。
被害特定機能1032はさらに、ログの対象項目から、攻撃を受けて停止した、車載システム20の防御機能や異常検知機能を特定することにより、攻撃によって被害を受けた箇所を特定してもよい。
【0051】
また、別の方法として、被害特定機能1032は、OSログの異常を検出した場合、OSの階層が被害を受けていることを特定する。
被害特定機能1032が、OSの階層が被害を受けていることを特定する場合にも、ログの対象項目から、不正にログが改ざんされたプロセスを特定したり、リソースを異常使用しているプロセスを特定してもよい。
被害特定機能1032が、OSの階層が被害を受けていることを特定する場合にも、ログの対象項目から、不正にログが改ざんされたプロセスを特定したり、リソースを異常使用しているプロセスを特定してもよい。
【0052】
さらに別の方法として、被害特定機能1032は、セキュアブートのログに異常を検出した場合、OSの階層が被害を受けていることを特定する。
また、被害特定機能1032は、ログの対象項目からプログラムファイル名を確認して、不正なプログラムファイルを特定してもよい。
また、被害特定機能1032は、ログの対象項目からプログラムファイル名を確認して、不正なプログラムファイルを特定してもよい。
【0053】
また、被害特定機能1032は、車載システム20を構成するECU同士を接続するネットワークの通信ログの異常を検出した場合、ネットワークの階層が被害を受けていることを特定する。
さらに、被害特定機能1032は、ログの対象項目から、改ざんされたメッセージを確認して不正なメッセージを特定する、予め設定された仕様違反をしているメッセージを確認して不正なメッセージを特定する、Dos攻撃をしているメッセージを特定して不正なメッセージを特定する、又は、不正なドメイン、ポート番号、IPアドレスから送信されたメッセージを確認して不正なメッセージを特定することにより、被害を受けた箇所を特定してもよい。
さらに、被害特定機能1032は、ログの対象項目から、改ざんされたメッセージを確認して不正なメッセージを特定する、予め設定された仕様違反をしているメッセージを確認して不正なメッセージを特定する、Dos攻撃をしているメッセージを特定して不正なメッセージを特定する、又は、不正なドメイン、ポート番号、IPアドレスから送信されたメッセージを確認して不正なメッセージを特定することにより、被害を受けた箇所を特定してもよい。
【0054】
また、被害特定機能1032は、証明書のログに異常を検出した場合、証明書の管理階層が被害を受けていることを特定する。
【0055】
なお、被害特定機能1032が、サイバー攻撃による被害箇所を特定した場合、特定した被害箇所、被害の程度を記録しておくことが望ましい。例えば、被害を受けたECU、被害を受けたECUの階層(例えば、アプリ、OS、基盤ソフトウェア、ネットワーク、半導体、マネジメント)と共に、被害箇所を特定するために利用したログや、当該ログが状態を示すECUを対応付けて、セキュリティDB1022に記録してもよい。
【0056】
(2-3)経路特定機能におけるログの分析
ログ分析部103の経路特定機能1033は、被害特定機能1032が被害を特定した後、例えば、以下の方法を用いて車載システム20に発生したサイバー攻撃の攻撃経路や侵入経路を特定する。経路特定機能1033はさらに、攻撃経路に加えて、攻撃者(例えば、IPアドレスなどの通信元)を特定してもよい。
ログ分析部103の経路特定機能1033は、被害特定機能1032が被害を特定した後、例えば、以下の方法を用いて車載システム20に発生したサイバー攻撃の攻撃経路や侵入経路を特定する。経路特定機能1033はさらに、攻撃経路に加えて、攻撃者(例えば、IPアドレスなどの通信元)を特定してもよい。
【0057】
経路特定機能1033は、例えば、通信ログに基づいて、車外からエントリポイントまでの侵入経路を特定する。
具体的には、経路特定機能1033は、車外通信ログに基づいて、攻撃に使用された、つまり、攻撃によって乗っ取られたエントリポイントECUを特定する。また、経路特定機能1033は、異常が発生したログの送信元及び送信先に基づいて、攻撃に至った経路を特定してもよい。あるいは、送信先とエントリポイントの車外通信ログの送信元に基づいて侵入経路を特定してもよく、接続先ECUからエントリポイントまでに経由するECUの情報を示すログに基づいて、侵入経路を特定してもよい。
具体的には、経路特定機能1033は、車外通信ログに基づいて、攻撃に使用された、つまり、攻撃によって乗っ取られたエントリポイントECUを特定する。また、経路特定機能1033は、異常が発生したログの送信元及び送信先に基づいて、攻撃に至った経路を特定してもよい。あるいは、送信先とエントリポイントの車外通信ログの送信元に基づいて侵入経路を特定してもよく、接続先ECUからエントリポイントまでに経由するECUの情報を示すログに基づいて、侵入経路を特定してもよい。
【0058】
経路特定機能1033はさらに、エントリポイントからエンドポイント(例えば、末端ECU)までの間で、サイバー攻撃に使用された可能性がある経路をログから特定してもよい。具体的には、車載システム20内で通信される通信ログを紐付けて、攻撃に使用された可能性がある経路を特定する。例えば、異常が検出されたログの送信元及び送信先のECU、エンドポイントの接続先ECUの情報、接続先ECUから外部通信ECUまでに経由するECUの情報から、攻撃経路を特定する。
【0059】
経路特定機能1033が、サイバー攻撃の攻撃経路や侵入経路を特定した場合、特定した経路や、特定結果を記録しておくことが望ましい。例えば、外部通信ECUやゲートウェイECUのログや、これらのECUで行われた通信を示すログ、あるいは、外部通信ECUやゲートウェイECUから末端のECUまでに、攻撃が辿った可能性がある経路を特定して記録する。
【0060】
(2-4)影響分析機能におけるログの分析
ログ分析部の影響分析機能1034は、例えば、以下の方法を用いて車載システム20に発生したサイバー攻撃による影響度を定量的に分析する。ここで、影響度とは、被害を受けたECUに生じる影響だけでなく、車両そのもの、及び車両を使用するユーザ(例えば、乗員、乗客)に生じる影響も含む。
ログ分析部の影響分析機能1034は、例えば、以下の方法を用いて車載システム20に発生したサイバー攻撃による影響度を定量的に分析する。ここで、影響度とは、被害を受けたECUに生じる影響だけでなく、車両そのもの、及び車両を使用するユーザ(例えば、乗員、乗客)に生じる影響も含む。
【0061】
サイバー攻撃の影響度は、例えば、異常の発生箇所や、異常の内容、異常の対応に係る難易度、及び攻撃の容易さに応じて分析することができる。異常の発生箇所が、車両の走行に直接影響を与えるECUやソフトウェアである場合、異常が発生したことによる影響度は高いと分析することができる。これに対し、例えば、異常の発生箇所が、車両の走行に直接影響を与える箇所ではなく、例えば、車両のユーザの娯楽用のECUやソフトウェアの場合には、異常が発生したことによる影響度は低いと分析することができる。
また、同じECUで発生した異常であっても、異常の内容で影響度は異なるため、ECUで発生した異常の種別や、ログが示す異常な値と正常値との差分に応じて、影響度を分析する。
また、攻撃に対応するために、例えば、ECUを車内ネットワークから隔離や遮断することが必要なのか、無線通信によるリプログラムが可能であるか否か、あるいは、リコールが必要なのかによって、影響度を分析してもよい。例えば、無線通信によるリプログラムが可能な場合、リコールが必要とされる場合よりも、サイバー攻撃による影響度は低いと分析してもよい。
さらに、影響分析機能1034は、サイバー攻撃の難易度に応じて影響度を分析してもよい。例えば、攻撃の難易度が低い場合、同様の攻撃が繰り返し行われたり、あるいは、他の車両の車載装置にも同様の攻撃が行われる可能性が高い。そのため、攻撃の難易度が低い場合には、影響度が高いと分析をしてもよい。
また、同じECUで発生した異常であっても、異常の内容で影響度は異なるため、ECUで発生した異常の種別や、ログが示す異常な値と正常値との差分に応じて、影響度を分析する。
また、攻撃に対応するために、例えば、ECUを車内ネットワークから隔離や遮断することが必要なのか、無線通信によるリプログラムが可能であるか否か、あるいは、リコールが必要なのかによって、影響度を分析してもよい。例えば、無線通信によるリプログラムが可能な場合、リコールが必要とされる場合よりも、サイバー攻撃による影響度は低いと分析してもよい。
さらに、影響分析機能1034は、サイバー攻撃の難易度に応じて影響度を分析してもよい。例えば、攻撃の難易度が低い場合、同様の攻撃が繰り返し行われたり、あるいは、他の車両の車載装置にも同様の攻撃が行われる可能性が高い。そのため、攻撃の難易度が低い場合には、影響度が高いと分析をしてもよい。
【0062】
なお、影響分析機能1034は、上述したパラメータを総合的に判断して、車両及び車両のユーザに発生するリスクから影響度を分析してもよい。影響分析機能1034がログを分析して判定する影響度の一例を図2に示す。図2に示す例は、影響分析機能1034が6段階で影響度を判定する例を説明している。。
【0063】
例えば、影響度6は、死亡事故や重傷事故の可能性があることを示している。上述したように、攻撃の発生箇所や、攻撃による被害箇所が、車両の走行に直接影響を与える箇所である場合、車両の死亡事故や重傷事故が発生する可能性はある。そこで、このような場合は、影響分析機能1034は、影響度が最も高い、つまり影響度は6であると判定する。一方、攻撃の発生箇所や被害箇所が、ユーザの娯楽用の機能に関するものである場合、ユーザが不快を感じる可能性はあるが、車両の走行に影響を与える可能性は低い。そこで、影響分析機能1034は、影響度は最も低い、つまり1であると判定する。
【0064】
他の例では、影響分析機能1034は、検知したサイバー攻撃の攻撃シナリオや、多層防御システムを有する場合の攻撃の侵入度合いで、影響度を分析してもよい。
【0065】
多層防御システムは、車両のセキュリティを保護するシステムとして用いられるものであり、例えば、外部接続との認証機能、外部からの攻撃を車内と分離するゲートウェイ機能、車内の通信システムをセキュアにする認証機能、及び電子制御装置を保護するECU防御機能を用いて車両を保護するシステムである。このうち、攻撃が1層目(例えば、外部接続との認証機能)で異常が検知されずに、2層目(例えば、ゲートウェイ機能)まで攻撃された場合、影響度は高いと判定することができる。
【0066】
また、影響分析機能1034は、攻撃を受けたECUの配置に応じて、影響度を重み付けして、影響度を分析してもよい。
【0067】
異常が重複すると、攻撃による影響度は深刻となるため、他のセンサが正常に動作しているかいないかで、影響度を補正してもよい。
【0068】
また、車載システム20側での異常の検知状況に応じて影響度を分析してもよい。車載システム20が異常に対する検知機能を有している場合があるが、車載システムの検知機能が動作をせずに異常や攻撃を検知できなかった場合、車両に対する影響度は高いと言える。そこで、車載システム20側で異常検知機能が動作したかどうか、及び車載システム20側が異常を検知できた場合あっても、攻撃の侵入段階で検知したか否かに応じて、影響度を分析してもよい。
【0069】
また、サイバー攻撃を構造化したサイバーキルチェーンに基づいて、攻撃の進行度を特定できる場合には、その進行度から影響度を分析してもよい。
【0070】
ログ分析部103が、攻撃検知機能1031、被害特定機能1032、経路特定機能1033、影響分析機能1034を用いてログを分析する場合、車載システム20から受信したログに加えて、車両情報DB1023に保存された車両情報を利用してログを分析してもよい。例えば、ログ分析部103の被害特定機能1032、経路特定機能1033、影響分析機能1034は、車両情報から得られる車両の機能や通信、ECU同士の接続や関連性に基づいて、被害箇所、攻撃経路、影響度を分析する。
具体的には、車両情報DB1023に保存された車両情報を利用して、ECUバージョン情報、ECU種別、車両の型式、車種の順に分析の範囲を絞ったうえでログを分析し、分析が進むにつれて、分析対象を拡大してもよい。
具体的には、車両情報DB1023に保存された車両情報を利用して、ECUバージョン情報、ECU種別、車両の型式、車種の順に分析の範囲を絞ったうえでログを分析し、分析が進むにつれて、分析対象を拡大してもよい。
【0071】
(3)ログ分析装置の動作
次に、図3、4を用いて、ログ分析装置10の動作を説明する。なお、以下の動作は、ログ分析装置10を用いたログ分析方法を示すだけでなく、ログ分析装置10で実行されるプログラムの処理手順を示すものである。また、これらの処理は、図3、4で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以上、本実施形態だけでなく、他の実施形態においても同様である。
次に、図3、4を用いて、ログ分析装置10の動作を説明する。なお、以下の動作は、ログ分析装置10を用いたログ分析方法を示すだけでなく、ログ分析装置10で実行されるプログラムの処理手順を示すものである。また、これらの処理は、図3、4で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以上、本実施形態だけでなく、他の実施形態においても同様である。
【0072】
図3は、車載システム20から受信したログを分析した結果、サイバー攻撃を検知した場合、ログ分析部103において攻撃の内容を詳細に解析する分析を行うために第1の優先度を決定する処理のフローチャートを示している。
【0073】
S101において、受信部101は、車載システム20から送信されたログを受信する。
S102において、ログ分析部103は、S101で受信したログを分析する。
S103において、ログ分析部103が、サイバー攻撃を検知した場合(S103:Yes)、優先度決定部104は、ログの分析結果に応じて第1の優先度を決定する(S104)。なお、S104では、ログ分析部103において攻撃の内容を詳細に解析するために必要とされるログの優先度が高くなるように第1の優先度を決定する。
S105において、指示生成部106は、S104で決定した第1の優先度に基づいてログを送信制御することを指示する優先度指示情報を生成する。
S106において、S105で生成した優先度指示情報を車載システム20に送信する。
S102において、ログ分析部103は、S101で受信したログを分析する。
S103において、ログ分析部103が、サイバー攻撃を検知した場合(S103:Yes)、優先度決定部104は、ログの分析結果に応じて第1の優先度を決定する(S104)。なお、S104では、ログ分析部103において攻撃の内容を詳細に解析するために必要とされるログの優先度が高くなるように第1の優先度を決定する。
S105において、指示生成部106は、S104で決定した第1の優先度に基づいてログを送信制御することを指示する優先度指示情報を生成する。
S106において、S105で生成した優先度指示情報を車載システム20に送信する。
【0074】
図4は、図3の処理で決定された第1の優先度に基づいて車載システム20から送信されたログを解析した結果、サイバー攻撃に対する対応が車載システム20に実行された後に、第2の優先度を決定する処理のフローチャートを示している。
【0075】
S201において、サイバー攻撃に対する対応指示情報が車載システム20に送信されたか否かを判定する。
対応指示情報が送信されたと判定した場合(S201:Yes)には、S202において、優先度決定部104は、ログの分析結果に応じて第2の優先度を決定する。ここで、S202では、対応指示情報に含まれるサイバー攻撃に対する対応が適切であるか否かといった、対応後の車載システム20の状態を確認するために必要とされるログの優先度が高くなるように第2の優先度を決定する。
S203において、指示生成部106は、S202で決定した第2の優先度に基づいてログを送信制御することを指示する優先度指示情報を生成する。
S204において、S203で生成した優先度指示情報を車載システム20に送信する。
対応指示情報が送信されたと判定した場合(S201:Yes)には、S202において、優先度決定部104は、ログの分析結果に応じて第2の優先度を決定する。ここで、S202では、対応指示情報に含まれるサイバー攻撃に対する対応が適切であるか否かといった、対応後の車載システム20の状態を確認するために必要とされるログの優先度が高くなるように第2の優先度を決定する。
S203において、指示生成部106は、S202で決定した第2の優先度に基づいてログを送信制御することを指示する優先度指示情報を生成する。
S204において、S203で生成した優先度指示情報を車載システム20に送信する。
【0076】
(4)優先度の決定
本項では、優先度決定部104が決定する優先度の具体例を説明する。
本項では、優先度決定部104が決定する優先度の具体例を説明する。
【0077】
(a)第1の優先度の決定
(i)異常の種別、及び異常を検知したセキュリティセンサの種類に応じた優先度の決定
ログ分析部103は、検知した異常の種別や、異常を検知したセキュリティセンサの種類に応じて、異常が検知されたログと、それに関連するログの優先度の値を決定する。図5は、検知した異常や、異常を検知したセキュリティセンサに応じて優先度を設定する一例を示している。
ログ分析部103が検知する異常には、サイバー攻撃によって発生する異常と、攻撃によらずに発生する異常が考えられる。そこで、ログ分析部103がサイバー攻撃によって発生した異常を検知した場合、優先度決定部104は高い優先度を第1の優先度として決定する。サイバー攻撃による異常は、セントラルECU(以下、C-ECU)や、エントリポイントのECU(以下、EP ECU)等のサンドボックス異常検知センサ、アンチウイルス異常検知センサといったセキュリティセンサで検知される。
これに対し、ログ分析部103が攻撃によらずに発生した異常を検知した場合、優先度決定部104は攻撃によって発生した異常よりも低い優先度、例えば、中程度の優先度を決定する。攻撃によらずに発生した異常は、C-ECUのCAN IDやメッセージの異常検知センサや、各ECUのプロセス・権限監視センサといったセキュリティセンサで検知される。
さらに、ログ分析部103が検知した異常が、通信タイミングのずれといった車載システム20に対する影響の小さい異常については、優先度を高くする必要性は低い。また、車載システム20側で異常又は攻撃を検知した結果、通信拒否やログの廃棄といった対応が既に実行されて成功しているものについては、ログの優先度を高くする必要性は低い。そこで、このような場合は、優先度決定部104は、攻撃等を検知した場合と比べて低い優先度を第1の優先度として決定してもよい。上記のような異常や、異常への対応の有無は、例えば、C-ECUのCAN/Ether IDS、EP ECUやC-ECUのファイアウォール、Ethernetのファイアウォールといったセキュリティセンサで検知される。ただし、異常に対する対応を実行したが失敗している場合には、高い優先度を設定することが望ましい。
(i)異常の種別、及び異常を検知したセキュリティセンサの種類に応じた優先度の決定
ログ分析部103は、検知した異常の種別や、異常を検知したセキュリティセンサの種類に応じて、異常が検知されたログと、それに関連するログの優先度の値を決定する。図5は、検知した異常や、異常を検知したセキュリティセンサに応じて優先度を設定する一例を示している。
ログ分析部103が検知する異常には、サイバー攻撃によって発生する異常と、攻撃によらずに発生する異常が考えられる。そこで、ログ分析部103がサイバー攻撃によって発生した異常を検知した場合、優先度決定部104は高い優先度を第1の優先度として決定する。サイバー攻撃による異常は、セントラルECU(以下、C-ECU)や、エントリポイントのECU(以下、EP ECU)等のサンドボックス異常検知センサ、アンチウイルス異常検知センサといったセキュリティセンサで検知される。
これに対し、ログ分析部103が攻撃によらずに発生した異常を検知した場合、優先度決定部104は攻撃によって発生した異常よりも低い優先度、例えば、中程度の優先度を決定する。攻撃によらずに発生した異常は、C-ECUのCAN IDやメッセージの異常検知センサや、各ECUのプロセス・権限監視センサといったセキュリティセンサで検知される。
さらに、ログ分析部103が検知した異常が、通信タイミングのずれといった車載システム20に対する影響の小さい異常については、優先度を高くする必要性は低い。また、車載システム20側で異常又は攻撃を検知した結果、通信拒否やログの廃棄といった対応が既に実行されて成功しているものについては、ログの優先度を高くする必要性は低い。そこで、このような場合は、優先度決定部104は、攻撃等を検知した場合と比べて低い優先度を第1の優先度として決定してもよい。上記のような異常や、異常への対応の有無は、例えば、C-ECUのCAN/Ether IDS、EP ECUやC-ECUのファイアウォール、Ethernetのファイアウォールといったセキュリティセンサで検知される。ただし、異常に対する対応を実行したが失敗している場合には、高い優先度を設定することが望ましい。
【0078】
(ii)車両の状態に応じた優先度の決定
優先度決定部104は、車両の状態に応じて優先度を決定してもよい。例えば、優先度決定部104は、車両の状態に応じて稼働するECUの優先度が高くなるように優先度を決定する。具体的には、車両が走行している場合、走行に関するECUのログの優先度が高くなり、停車中は、走行に関するECU以外のECUのログの優先度が高くなるように優先度を決定する。
優先度決定部104は、車両の状態に応じて優先度を決定してもよい。例えば、優先度決定部104は、車両の状態に応じて稼働するECUの優先度が高くなるように優先度を決定する。具体的には、車両が走行している場合、走行に関するECUのログの優先度が高くなり、停車中は、走行に関するECU以外のECUのログの優先度が高くなるように優先度を決定する。
【0079】
あるいは、優先度決定部104は、車両、車載システム、及びECUの電源状態の変化に伴って、優先度を決定してもよい。例えば、ECUの起動時は攻撃を受けやすく、また異常な挙動が起きやすい。また、ECUの起動後、ECUが正常であるか否かを即座に把握したいというニーズがある。そこで、IG(イグニッション)やACC(アクセサリー電源)の電源状態が変化したときに、それに伴って起動するECUのログの優先度が高くなるように優先度を決定する。
【0080】
図6は、電源状態に応じて高い優先度を決定する対象となるECUの例を示している。図6の例では、IGやACCがOFFであって、+B、つまり、常時電源のみがONの場合、ACCがONの状態の場合、並びに、IG及びACCの双方ともONの状態にある場合をそれぞれ例に挙げて示している。
例えば、IGとACCがOFFであって、常時電源のみがONの状態にある場合、電源コストの観点から、車載システム20ではログを収集しない可能性が高い。しかしながら、+Bで起動するECUに関するログについては、常時電源のみがONの状態にある場合でも高い優先度となるように、優先度を決定してもよい。例えば、ドアロックや、ホーンに関するログが想定される。
また、IGがOFFであり、ACCがONの状態では、ACCで起動するECUに関するログの優先度が高くなるように優先度を決定してもよい。例えば、カーナビやECTに関するログが想定される。
さらに、IG及びACCの双方ともONの状態では、IGで起動するECUに関するログの優先度が高くなるように、優先度を決定してもよい。例えば、エアコン、パワーウィンドウといったECUのログが想定される。IGのON/OFFによりACC電源がリセットされる場合には、IGがONになったときに、ACC電源に関するログの優先度が高くなるように、優先度を決定してもよい。なお、IGがONの状態では、基本的に全てのECUが起動しているため、IGがONの状態では特定のECUのログの優先度が高くなるようにしなくともよい。
なお、ログ分析部103の経路特定機能1033が攻撃経路を特定した場合において、収集すべきログ又は収集すべきログを出力するECUが複数ある場合、上述のように、車両の状態に応じて、ログの優先度を決定してもよい。
例えば、IGとACCがOFFであって、常時電源のみがONの状態にある場合、電源コストの観点から、車載システム20ではログを収集しない可能性が高い。しかしながら、+Bで起動するECUに関するログについては、常時電源のみがONの状態にある場合でも高い優先度となるように、優先度を決定してもよい。例えば、ドアロックや、ホーンに関するログが想定される。
また、IGがOFFであり、ACCがONの状態では、ACCで起動するECUに関するログの優先度が高くなるように優先度を決定してもよい。例えば、カーナビやECTに関するログが想定される。
さらに、IG及びACCの双方ともONの状態では、IGで起動するECUに関するログの優先度が高くなるように、優先度を決定してもよい。例えば、エアコン、パワーウィンドウといったECUのログが想定される。IGのON/OFFによりACC電源がリセットされる場合には、IGがONになったときに、ACC電源に関するログの優先度が高くなるように、優先度を決定してもよい。なお、IGがONの状態では、基本的に全てのECUが起動しているため、IGがONの状態では特定のECUのログの優先度が高くなるようにしなくともよい。
なお、ログ分析部103の経路特定機能1033が攻撃経路を特定した場合において、収集すべきログ又は収集すべきログを出力するECUが複数ある場合、上述のように、車両の状態に応じて、ログの優先度を決定してもよい。
【0081】
以上のとおり、優先度決定部104は、車両、ひいては車載システムの電源状態と、各ECUの電源状態とに応じて、ログの優先度を決定してもよい。ここで、優先度が決定されるログは、電源状態が判定されるECUから出力されるログである。
【0082】
(iii)特定した攻撃経路に応じた優先度の決定
ログ分析部103の経路特定機能1033が攻撃経路を特定した場合、攻撃経路に存在するECUが保護する情報やECUの機能に応じて、優先度決定部104はログの優先度を決定してもよい。
ログ分析部103の経路特定機能1033が攻撃経路を特定した場合、攻撃経路に存在するECUが保護する情報やECUの機能に応じて、優先度決定部104はログの優先度を決定してもよい。
【0083】
図7は、攻撃経路となるECU毎に、攻撃によって流出する可能性がある情報や、攻撃によって悪用される可能性がある機能の一例を説明している。
例えば、攻撃経路としてEP ECUが使用された場合、通信履歴の情報、具体的には、サービサ(センタ)の情報や、プライバシーとしてのアクセス情報が流出する恐れがある。また、EP ECUが攻撃経路として使用されると、外部への通信やC-ECUへのアクセス機能が悪用され、外部への不正な通信が行われたり、C-ECUへの不正アクセスが行われる可能性がある。そこで、攻撃経路としてEP ECUが使用されたことを特定した場合には、EP ECUに関するログの優先度が高くなるように優先度を決定する。
あるいは、攻撃経路としてC-ECUが使用された場合、プライバシー情報、例えば、走行履歴や位置情報、住所・氏名・電話番号といった登録情報が流出する可能性がある。特に、C-ECUは多くのプライバシー情報を有しているため、C-ECUが攻撃経路に使用されると、その攻撃経路上のECUの脆弱性が悪用されて情報が流出するおそれがある。また、C-ECUよりも下層のECUへのアクセス機能が悪用され、不正にアクセスされる可能性がある。そこで、攻撃経路としてC-ECUが使用されたことを特定した場合には、C-ECUに関するログの優先度が高くなるように優先度を決定する。
例えば、攻撃経路としてEP ECUが使用された場合、通信履歴の情報、具体的には、サービサ(センタ)の情報や、プライバシーとしてのアクセス情報が流出する恐れがある。また、EP ECUが攻撃経路として使用されると、外部への通信やC-ECUへのアクセス機能が悪用され、外部への不正な通信が行われたり、C-ECUへの不正アクセスが行われる可能性がある。そこで、攻撃経路としてEP ECUが使用されたことを特定した場合には、EP ECUに関するログの優先度が高くなるように優先度を決定する。
あるいは、攻撃経路としてC-ECUが使用された場合、プライバシー情報、例えば、走行履歴や位置情報、住所・氏名・電話番号といった登録情報が流出する可能性がある。特に、C-ECUは多くのプライバシー情報を有しているため、C-ECUが攻撃経路に使用されると、その攻撃経路上のECUの脆弱性が悪用されて情報が流出するおそれがある。また、C-ECUよりも下層のECUへのアクセス機能が悪用され、不正にアクセスされる可能性がある。そこで、攻撃経路としてC-ECUが使用されたことを特定した場合には、C-ECUに関するログの優先度が高くなるように優先度を決定する。
【0084】
このように、EP ECUやC-ECUが攻撃経路として使用された場合、情報の秘匿性や重要性が高い情報が流出する可能性がある。そこで、優先度決定部104は、各ECUで保護される情報、つまり、ECUが攻撃されることによって流出する可能性がある情報の種別に応じて優先度を決定してもよい。情報の「種別」とは、プライバシー情報であるか否かといった情報の内容だけでなく、情報の秘匿性や重要度も含むものである。保護される情報の種別が、プライバシー情報である場合や、秘匿性や重要性が高いものである場合には、ログの優先度が高くなるように優先度を決定する。例えば、C-ECUやEP ECUが攻撃経路として使用された場合には、ユーザの個人情報を保護するためにC-ECUの優先度が最も高くなり、EP ECUの優先度が中程度となるように、優先度を決定してもよい。
【0085】
さらに、EP ECUやC-ECUが攻撃経路として使用された場合、外部や他のECUへの不正アクセスによって被害が拡大するおそれがある。そこで、優先度決定部104は、ECUが実現する機能の種別に応じて、優先度を決定してもよい。
【0086】
なお、車両に一般的に設けられる、車両の様々な機能を実現するECUが攻撃経路として使用された場合、E-ECUやEP ECUと比較して、プライバシー情報が流出する可能性は低い。しかしながら、車両制御(例えば、走行制御やドアロックの解除)が乗っ取られる可能性や、他のECUへの不正アクセスが行われる可能性もある。そこで、攻撃経路として通常のECUが使用された場合には、攻撃経路として使用された各ECUに関するログの優先度が高くなるように優先度を決定してもよい。
【0087】
(b)第2の優先度の決定
【0088】
再起動後のログを分析するために、優先度決定部104は、ECUの機能(例えば、エントリポイントや防御機能を含む)に関連するログ、具体的には、ECUのプロセスを示すログ、リソースを示すログ、入出力を示すログ、に対して第2の優先度を決定する。
【0089】
隔離又は遮断後のログを分析するために、優先度決定部104は、例えば、隔離又は遮断されたECUやプログラムのプロセス、リソース、出力に関連するログ、対象のネットワークのパケットに関するログに対して第2の優先度を決定する。
【0090】
リプログラム後のログを分析するために、優先度決定部104は、例えば、リプログラムされたECUの機能に関連するログや、リプログラムされたECUやソフトウェアのバージョンを示すログに対して第2の優先度を決定する。
【0091】
(5)小括
本開示のログ分析装置10によれば、ログ分析部103におけるログの分析結果に応じて、優先度決定部104は収集すべきログ、及びログの優先度を決定することができる。これにより、サイバー攻撃の解析や、攻撃に対する対応後の車載システムの状態を確認するのに必要なログを効率的に収集して分析することが可能となる。
本開示のログ分析装置10によれば、ログ分析部103におけるログの分析結果に応じて、優先度決定部104は収集すべきログ、及びログの優先度を決定することができる。これにより、サイバー攻撃の解析や、攻撃に対する対応後の車載システムの状態を確認するのに必要なログを効率的に収集して分析することが可能となる。
【0092】
さらに、本開示のログ分析装置10によれば、サイバー攻撃の内容を解析するための優先度と、サイバー攻撃に対する対応を実行した後に、実行した対応が適切であるか否かを確認するための優先度とをそれぞれ決定することにより、サイバー攻撃の解析フェーズ、解析後の対応フェーズそれぞれに応じた適切なログを効率的に収集して分析することが可能となる。
【0093】
5.車載システム
(1)車載システムの概要
図8を用いて、車載システム20の構成を説明する。車載システム20は、セントラルゲートウェイ装置(以下、CGW)21、外部通信電子制御装置(以下、外部通信ECU)22、電子制御装置(以下、ECU)23、及びこれらを接続するネットワーク24、を有する。
(1)車載システムの概要
図8を用いて、車載システム20の構成を説明する。車載システム20は、セントラルゲートウェイ装置(以下、CGW)21、外部通信電子制御装置(以下、外部通信ECU)22、電子制御装置(以下、ECU)23、及びこれらを接続するネットワーク24、を有する。
【0094】
CGW21は、ネットワーク24を介して外部通信ECU22及びECU23の間、あるいはECU23同士の間の通信を中継する電子制御装置である。
【0095】
外部通信ECU22は、通信ネットワーク2を用いて、ログ分析装置10と無線通信を行う電子制御装置である。
【0096】
ECU23は、それぞれの機能を実現する電子制御装置である。ECU23は、任意のECUを割り当てることができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。
【0097】
なお、ECU同士は並列ではなく、主従関係を有するように分類されていてもよい。すなわちマスターとスレーブとに分類されていてもよい。また、特定のECU23の下に、さらにサブネットワークを介して複数のECU23を設けるようにしてもよい。その場合、特定のECU23はサブゲートウェイとしての機能を有する。
【0098】
ネットワーク24は、CGW21、外部通信ECU22、及びECU23を接続するネットワークである。以下に示す各実施形態では、ネットワーク24は車載ネットワークであり、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
【0099】
(2)ログ送信制御装置の構成
次に、車載システム20が備えるログ送信制御装置200の構成を説明する。ログ送信制御装置200は、ログ分析装置10から受信した優先度指示情報に基づいて、電子制御システムの状態を示すログに対して優先度を付与すると共に、優先度に基づいてログ分析装置10にログを送信するように制御する装置である。
次に、車載システム20が備えるログ送信制御装置200の構成を説明する。ログ送信制御装置200は、ログ分析装置10から受信した優先度指示情報に基づいて、電子制御システムの状態を示すログに対して優先度を付与すると共に、優先度に基づいてログ分析装置10にログを送信するように制御する装置である。
【0100】
ログ送信制御装置200は、例えば、図8のCGW21の内部に設けられる。もっとも、ログ送信制御装置200が設けられている場所はこれに限られず、例えばネットワーク24に接続された任意の場所に設けることができる。例えば、独立した専用のECUとして設けてもよいし、サブゲートウェイの役割を有するECU23に設けられてもよい。
【0101】
図9を用いて、ログ送信制御装置200の構成を説明する。ログ送信制御装置200は、ログ取得部201、ログ保存部202、指示取得部203、優先度設定部204、及びログ送信部205を備える。
【0102】
ログ取得部201は、ログ送信制御装置200に接続されたECU23やネットワークの状態を示すログを取得する。ECU23の状態を示すログは、例えば、ECU23が実現する各々の機能の動作の他、ECU23へのデータの入出力(データを入力又は出力する間隔、入出力されたデータのサイズ等)、ECU23自体のCPU使用率やメモリ使用量といったリソースを記録したログである。状態ログはさらに、ECU23の機能やバージョン情報、ログ送信制御装置200が搭載された自動車の種別情報等を記録するものであってもよい。また、ログはさらに、ECU23の状態に加えて、時刻情報やECUの識別情報といった情報を含んでもよい。
【0103】
ログ保存部202は揮発性又は不揮発性のメモリであり、ログ取得部201が取得した状態ログを保存する。
【0104】
指示取得部203は、ログ分析装置10から送信された優先度指示情報を受信する。
【0105】
ログ送信制御装置200がCGW21の内部に設けられる場合には、指示取得部203はさらに、ログ分析装置10から送信された対応指示情報をさらに受信してもよい。
【0106】
優先度設定部204は、指示取得部203が取得した優先度指示情報が指示する優先度を、ログ保存部202に保存されるログに付与する。
【0107】
なお、本実施形態では、優先度設定部204は、ログ分析装置10で決定された第1の優先度又は第2の優先度をログに付与する構成を説明する。しかしながら、車両の製造業者や販売業者によって設定されたデフォルト優先度が予め保存されている、又は、車載システム20の内部に優先度を決定して指示する装置が設けられている場合には、優先度設定部204はさらにデフォルト優先度や、車載システム20の内部からの指示に基づく優先度をログに付与するものであってもよい。この場合、指示取得部203が優先度指示情報を受信すると、デフォルト優先度を第1の優先度又は第2の優先度に更新し、更新後の優先度をログに付与する。
【0108】
ログ送信部205は、ログに付与された優先度に基づいて、ログ保存部202に保存されたログをログ分析装置10に送信する。ここで、ログ送信部205は、ログ保存部202に保存されたログのうち、高い優先度が付与されたログから順に送信を行う。あるいは、優先度が高い状態ログについては高い頻度で、優先度が低い状態ログについては低い頻度でログ分析装置10に送信してもよい。
【0109】
6.ログ収集システム
図10は、ログ分析装置10及び車載システム20を有するログ収集システム1の例を説明する。ログ分析装置10と電子制御システム20とは通信ネットワーク2を介して通信を行う。なお、以下の各実施形態では、ログ収集システム1を構成する電子制御システムが自動車に搭載される車載システム20であるものとして説明する。しかしながら、電子制御システムは車載装置に限定されるものではない。
図10は、ログ分析装置10及び車載システム20を有するログ収集システム1の例を説明する。ログ分析装置10と電子制御システム20とは通信ネットワーク2を介して通信を行う。なお、以下の各実施形態では、ログ収集システム1を構成する電子制御システムが自動車に搭載される車載システム20であるものとして説明する。しかしながら、電子制御システムは車載装置に限定されるものではない。
【0110】
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。また、有線通信方式の場合、例えば、有線LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
【0111】
7.総括
以上、本発明の各実施形態におけるログ分析装置、及びログ分析装置と通信を行う車載システム等の特徴について説明した。
以上、本発明の各実施形態におけるログ分析装置、及びログ分析装置と通信を行う車載システム等の特徴について説明した。
【0112】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0113】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0114】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0115】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0116】
各実施形態は、車両に搭載される車載システムと通信を行うログ分析装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置と通信を行う装置も含むものである。
【0117】
各実施形態では、ログ分析装置と通信するシステムを車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
【0118】
また、本発明のログ分析装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0119】
またログ分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0120】
本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0121】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0122】
本開示のログ分析装置は、主として自動車に搭載される車載システムと通信を行うサーバ装置を対象としているが、ログ分析装置はサーバ装置に限定されるものではなく、また、自動車に搭載されない通常の電子制御システムと通信を行う装置であってもよい。
【符号の説明】
【0123】
10 ログ分析装置、101 受信部、102 データベース、103 ログ分析部、104 優先度決定部、106 指示生成部、107 送信部、20 車載システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
