▶ パナソニックオートモーティブシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-29
(45)【発行日】2024-06-06
(54)【発明の名称】情報処理装置、情報処理装置の制御方法及びプログラム
(51)【国際特許分類】
H04L 43/00 20220101AFI20240530BHJP
H04L 41/00 20220101ALI20240530BHJP
H04L 12/28 20060101ALI20240530BHJP
【FI】
H04L43/00
H04L41/00
H04L12/28 100A
【請求項の数】
15
(21)【出願番号】P 2022558973
(86)(22)【出願日】2021-10-08
(86)【国際出願番号】 JP2021037477
(87)【国際公開番号】W WO2022091754
(87)【国際公開日】2022-05-05
【審査請求日】2023-02-03
(31)【優先権主張番号】P 2020181935
(32)【優先日】2020-10-29
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】鳥崎 唯之
(72)【発明者】
【氏名】伊藤 貴佳
(72)【発明者】
【氏名】横田 薫
(72)【発明者】
【氏名】竹内 章人
(72)【発明者】
【氏名】中野 稔久
【審査官】中川 幸洋
(56)【参考文献】
【文献】特開2018-032254(JP,A)
【文献】特開2020-150430(JP,A)
【文献】国際公開第2019/093098(WO,A1)
【文献】特開2012-221031(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/00
H04L 41/00
H04L 12/28
(57)【特許請求の範囲】
【請求項1】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、
前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報を記憶する検出履歴情報記憶部と、
前記モビリティネットワークにおける攻撃経路の候補を示す攻撃経路情報を記憶する攻撃経路情報記憶部と、
前記攻撃経路情報に基づいて、前記特定の機器を含む攻撃経路を推定する攻撃経路推定部と、
前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記攻撃経路推定部により推定された攻撃経路上にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、
前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、
前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える
情報処理装置。
【請求項2】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、
前記複数の機器の相互の接続関係を示す接続関係情報を記憶する接続関係情報記憶部と、
前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報を記憶する検出履歴情報記憶部と、
前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記接続関係情報及び前記検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、
前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、
前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える
情報処理装置。
【請求項3】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、
前記複数の機器の相互の接続関係を示す接続関係情報を記憶する接続関係情報記憶部と、
前記特定の機器との論理距離を判定する接続関係判定部と、
ログ情報を記憶するログ情報記憶部と、
前記ログ情報記憶部の残記憶容量、前記モビリティネットワークにおける通信容量、前記モビリティの移動状態、及び、前記モビリティの機能動作状態のいずれかを判定する状態判定部と、
前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記状態判定部の判定結果に基づいて、収集対象の絞り込みの実施有無及び絞り込み数を決定し、絞り込みを実施する場合には、前記接続関係情報及び前記接続関係判定部の判定結果から得られる前記特定の機器との論理距離の遠い順に前記絞り込み数に至るまで収集対象から除外することで分析用ログ情報の収集対象を決定する収集対象決定部と、
前記収集対象決定部により収集対象として決定された1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、
前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える
情報処理装置。
【請求項4】
前記状態判定部は、前記ログ情報記憶部の残記憶容量を判定し、前記収集対象決定部は、前記ログ情報記憶部の残記憶容量に余裕がある場合には、前記分析用ログ情報の収集対象を絞り込まず、前記ログ情報記憶部の残記憶容量に余裕が無い場合には、前記分析用ログ情報の収集対象を絞り込む
請求項3に記載の情報処理装置。
【請求項5】
前記状態判定部は、前記モビリティネットワークにおける通信容量を判定し、前記収集対象決定部は、前記モビリティネットワークにおける通信容量に余裕がある場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティネットワークにおける通信容量に余裕が無い場合には、前記分析用ログ情報の収集対象を絞り込む
請求項3に記載の情報処理装置。
【請求項6】
前記状態判定部は、前記モビリティの移動状態を判定し、前記収集対象決定部は、前記モビリティが停止中の場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティが移動中の場合には、前記分析用ログ情報の収集対象を絞り込む
請求項3に記載の情報処理装置。
【請求項7】
前記状態判定部は、前記モビリティの機能動作状態を判定し、前記収集対象決定部は、前記モビリティが自動運転を実施中の場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティが手動運転を実施中の場合には、前記分析用ログ情報の収集対象を絞り込む
請求項3に記載の情報処理装置。
【請求項8】
前記情報処理装置は、さらに、前記分析用ログ情報受信部により受信された前記分析用ログ情報を記憶する分析用ログ情報記憶部を備え、前記分析用ログ情報受信部は、前記分析用ログ情報記憶部に記憶された前記分析用ログ情報と、当該分析用ログ情報の有効度合いに関連する有効度との対応関係を示す対応情報に基づいて、前記分析用ログ情報記憶部に記憶された前記分析用ログ情報のうち、前記有効度の最も低い前記分析用ログ情報から順に削除する
請求項1~7のいずれか1項に記載の情報処理装置。
【請求項9】
前記有効度は、前記特定の機器と、前記分析用ログ情報の送信元との論理距離に基づいて決定される請求項8に記載の情報処理装置。
【請求項10】
前記有効度は、前記特定の機器に対する前記分析用ログ情報の送信元の配置に基づいて決定される請求項8に記載の情報処理装置。
【請求項11】
前記情報処理装置は、さらに、前記リクエスト情報送信部が前記リクエスト情報を送信してから所定の時間内に、前記分析用ログ情報受信部により前記分析用ログ情報が受信されない場合に、外部に異常通知を送信する異常通知送信部を備える請求項1~10のいずれか1項に記載の情報処理装置。
【請求項12】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、
(b)前記モビリティネットワークにおける攻撃経路の候補を示す攻撃経路情報に基づいて、前記特定の機器を含む攻撃経路を推定するステップと、
(c)前記(a)で前記異常検出情報を受信したことを契機として、前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記(b)で推定された攻撃経路上にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定するステップと、
(d)前記(c)で決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、
(e)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む
情報処理装置の制御方法。
【請求項13】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、
(b)前記(a)で前記異常検出情報を受信したことを契機として、前記複数の機器の相互の接続関係を示す接続関係情報、及び、前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定するステップと、
(c)前記(b)で決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、
(d)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む
情報処理装置の制御方法。
【請求項14】
モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、
(b)前記特定の機器との論理距離を判定するステップと、
(c)ログ情報を記憶するログ情報記憶部の残記憶容量、前記モビリティネットワークにおける通信容量、前記モビリティの移動状態、及び、前記モビリティの機能動作状態のいずれかを判定するステップと、
(d)前記(a)で前記異常検出情報を受信したことを契機として、前記(c)における判定結果に基づいて、収集対象の絞り込みの実施有無及び絞り込み数を決定し、絞り込みを実施する場合には、前記複数の機器の相互の接続関係を示す接続関係情報及び前記(b)における判定結果から得られる前記特定の機器との論理距離の遠い順に前記絞り込み数に至るまで収集対象から除外することで分析用ログ情報の収集対象を決定するステップと、
(e)前記(d)で収集対象として決定された1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、
(f)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む
情報処理装置の制御方法。
【請求項15】
請求項12~14のいずれか1項に記載の情報処理装置の制御方法をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報処理装置、情報処理装置の制御方法及びプログラムに関する。
【背景技術】
【0002】
特許文献1には、複数の車両の各内部に設置されたサイバーウォッチマンと、各車両の外部に設置されたサイバーハブとを備えたシステムが開示されている。サイバーウォッチマンは、車両に搭載された車載ネットワークに接続され、車載ネットワーク上のトラフィックデータを取得する。サイバーハブは、サイバーウォッチマンにより取得されたトラフィックデータを、サイバーウォッチマンから外部ネットワーク(例えばインターネット)を介して受信する。これにより、サイバーハブは、複数の車両の各々からトラフィックデータを収集することによって、各車両における異常の有無を監視する。
【先行技術文献】
【特許文献】
【0003】
【文献】特許第6382724号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述した従来のシステムでは、例えば複数の車両のうち特定の車両で異常が検出された場合であっても、サイバーハブは、全ての車両からトラフィックデータを収集する。そのため、サイバーハブは、特定の車両における異常の分析に必要なトラフィックデータだけでなく、当該異常の分析には不要なトラフィックデータも収集してしまうため、サイバーハブの残記憶容量が逼迫するおそれがあるという課題が生じる。
【0005】
そこで、本開示は、分析用ログ情報を適切に収集することができる情報処理装置、情報処理装置の制御方法及びプログラムを提供する。
【課題を解決するための手段】
【0006】
本開示の一態様に係る情報処理装置は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、前記モビリティネットワークにおける攻撃経路の候補を示す攻撃経路情報を記憶する攻撃経路情報記憶部と、前記攻撃経路情報に基づいて、前記特定の機器を含む攻撃経路を推定する攻撃経路推定部と、前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記複数の機器の中から絞り込んだ、前記攻撃経路推定部により推定された攻撃経路上にある1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える。
【0007】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM(Compact Disc-Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0008】
本開示の一態様に係る情報処理装置等によれば、分析用ログ情報を適切に収集することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
本開示の一態様に係る情報処理装置は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、前記モビリティネットワークにおける攻撃経路の候補を示す攻撃経路情報を記憶する攻撃経路情報記憶部と、前記攻撃経路情報に基づいて、前記特定の機器を含む攻撃経路を推定する攻撃経路推定部と、前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記複数の機器の中から絞り込んだ、前記攻撃経路推定部により推定された攻撃経路上にある1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える。
【0011】
本態様によれば、収集対象決定部は、異常検出情報受信部が異常検出情報を受信したことを契機として、複数の機器の中から絞り込んだ、攻撃経路推定部により推定された攻撃経路上にある1以上の候補機器を、分析用ログ情報の収集対象として決定する。攻撃経路推定部により推定された攻撃経路上に無い候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、推定された攻撃経路上に無い候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0012】
また、本開示の一態様に係る情報処理装置は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、前記複数の機器の相互の接続関係を示す接続関係情報を記憶する接続関係情報記憶部と、前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報を記憶する検出履歴情報記憶部と、前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記接続関係情報及び前記検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える。
【0013】
本態様によれば、収集対象決定部は、接続関係情報及び検出履歴情報に基づいて、特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、分析用ログ情報の収集対象として決定する。異常の検出の履歴を有する候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、特定の機器と所定の接続関係がある候補機器であったとしても、異常の検出の履歴を有する候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0014】
また、本開示の一態様に係る情報処理装置は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置であって、前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部と、ログ情報を記憶するログ情報記憶部と、前記ログ情報記憶部の残記憶容量、前記モビリティネットワークにおける通信容量、前記モビリティの移動状態、及び、前記モビリティの機能動作状態のいずれかを判定する状態判定部と、前記異常検出情報受信部が前記異常検出情報を受信したことを契機として、前記状態判定部の判定結果に基づいて、前記複数の機器の中から絞り込んだ1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部と、前記収集対象決定部により決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するリクエスト情報送信部と、前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信する分析用ログ情報受信部と、を備える。
【0015】
本態様によれば、ログ情報記憶部の残記憶容量、モビリティネットワークにおける通信容量、モビリティの移動状態、及び、モビリティの機能動作状態のいずれかに応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。これにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0016】
例えば、前記状態判定部は、前記ログ情報記憶部の残記憶容量を判定し、前記収集対象決定部は、前記ログ情報記憶部の残記憶容量に余裕がある場合には、前記分析用ログ情報の収集対象を絞り込まず、前記ログ情報記憶部の残記憶容量に余裕が無い場合には、前記分析用ログ情報の収集対象を絞り込むように構成してもよい。
【0017】
本態様によれば、ログ情報記憶部の残記憶容量に応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。
【0018】
例えば、前記状態判定部は、前記モビリティネットワークにおける通信容量を判定し、前記収集対象決定部は、前記モビリティネットワークにおける通信容量に余裕がある場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティネットワークにおける通信容量に余裕が無い場合には、前記分析用ログ情報の収集対象を絞り込むように構成してもよい。
【0019】
本態様によれば、モビリティネットワークにおける通信容量に応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。
【0020】
例えば、前記状態判定部は、前記モビリティの移動状態を判定し、前記収集対象決定部は、前記モビリティが停止中の場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティが移動中の場合には、前記分析用ログ情報の収集対象を絞り込むように構成してもよい。
【0021】
本態様によれば、モビリティの移動状態に応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。
【0022】
例えば、前記状態判定部は、前記モビリティの機能動作状態を判定し、前記収集対象決定部は、前記モビリティが自動運転を実施中の場合には、前記分析用ログ情報の収集対象を絞り込まず、前記モビリティが手動運転を実施中の場合には、前記分析用ログ情報の収集対象を絞り込むように構成してもよい。
【0023】
本態様によれば、モビリティの機能動作状態に応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。
【0024】
例えば、前記情報処理装置は、さらに、前記分析用ログ情報受信部により受信された前記分析用ログ情報を記憶する分析用ログ情報記憶部を備え、前記分析用ログ情報受信部は、前記分析用ログ情報記憶部に記憶された前記分析用ログ情報と、当該分析用ログ情報の有効度合いに関連する有効度との対応関係を示す対応情報に基づいて、前記分析用ログ情報記憶部に記憶された前記分析用ログ情報のうち、前記有効度の最も低い前記分析用ログ情報から順に削除するように構成してもよい。
【0025】
本態様によれば、有用性の高い分析用ログ情報を分析用ログ情報記憶部に蓄積させておくことができるとともに、分析用ログ情報記憶部の残記憶容量が逼迫するのを解消することができる。
【0026】
例えば、前記有効度は、前記特定の機器と、前記分析用ログ情報の送信元との距離に基づいて決定されるように構成してもよい。
【0027】
本態様によれば、有効度を、特定の機器と、分析用ログ情報の送信元との距離に基づいて決定することができる。
【0028】
例えば、前記有効度は、前記特定の機器に対する前記分析用ログ情報の送信元の配置に基づいて決定されるように構成してもよい。
【0029】
本態様によれば、有効度を、特定の機器に対する分析用ログ情報の送信元の配置に基づいて決定することができる。
【0030】
例えば、前記情報処理装置は、さらに、前記リクエスト情報送信部が前記リクエスト情報を送信してから所定の時間内に、前記分析用ログ情報受信部により前記分析用ログ情報が受信されない場合に、外部に異常通知を送信する異常通知送信部を備えるように構成してもよい。
【0031】
本態様によれば、分析用ログ情報を受信できない場合には、モビリティネットワークにおける未検出の異常の有無を分析することができない。そのため、分析用ログ情報を受信できなかったこと自体を異常事象と捉えて、外部に異常通知を送信することにより、当該異常事象に対して適切な処置を迅速に実行することができる。
【0032】
本開示の一態様に係る情報処理装置の制御方法は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、(b)前記モビリティネットワークにおける攻撃経路の候補を示す攻撃経路情報に基づいて、前記特定の機器を含む攻撃経路を推定するステップと、(c)前記(a)で前記異常検出情報を受信したことを契機として、前記複数の機器の中から絞り込んだ、前記(b)で推定された攻撃経路上にある1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定するステップと、(d)前記(c)で決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、(e)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む。
【0033】
本態様によれば、複数の機器の中から絞り込んだ、推定された攻撃経路上にある1以上の候補機器を、分析用ログ情報の収集対象として決定する。推定された攻撃経路上に無い候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、推定された攻撃経路上に無い候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0034】
また、本開示の一態様に係る情報処理装置の制御方法は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、(b)前記(a)で前記異常検出情報を受信したことを契機として、前記複数の機器の相互の接続関係を示す接続関係情報、及び、前記複数の機器の各々における異常の検出の履歴を示す検出履歴情報に基づいて、前記複数の機器の中から絞り込んだ、前記特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定するステップと、(c)前記(b)で決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、(d)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む。
【0035】
本態様によれば、接続関係情報及び検出履歴情報に基づいて、特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、分析用ログ情報の収集対象として決定する。異常の検出の履歴を有する候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、特定の機器と所定の接続関係がある候補機器であったとしても、異常の検出の履歴を有する候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0036】
また、本開示の一態様に係る情報処理装置の制御方法は、モビリティに搭載されたモビリティネットワークに接続された情報処理装置の制御方法であって、(a)前記モビリティネットワークに接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信するステップと、(b)ログ情報を記憶するログ情報記憶部の残記憶容量、前記モビリティネットワークにおける通信容量、前記モビリティの移動状態、及び、前記モビリティの機能動作状態のいずれかを判定するステップと、(c)前記(a)で前記異常検出情報を受信したことを契機として、前記(b)における判定結果に基づいて、前記複数の機器の中から絞り込んだ1以上の候補機器を、前記モビリティネットワークにおける未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定するステップと、(d)前記(c)で決定された前記1以上の候補機器に対して、前記分析用ログ情報の送信を要求するためのリクエスト情報を送信するステップと、(e)前記リクエスト情報に応じて前記1以上の候補機器から送信された前記分析用ログ情報を受信するステップと、を含む。
【0037】
本態様によれば、ログ情報記憶部の残記憶容量、モビリティネットワークにおける通信容量、モビリティの移動状態、及び、モビリティの機能動作状態のいずれかに応じて、モビリティネットワークに接続された複数の機器から1以上の候補機器を適切に絞り込むことができる。これにより、分析用ログ情報を無駄に収集するのを回避して、分析用ログ情報を適切に収集することができる。
【0038】
本開示の一態様に係るプログラムは、上述したいずれかの情報処理装置の制御方法をコンピュータに実行させる。
【0039】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
【0040】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0041】
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0042】
(実施の形態1)
[1-1.通信システムの概要]
まず、図1を参照しながら、実施の形態1に係る通信システム2の概要について説明する。図1は、実施の形態1に係る通信システム2の概要を示すブロック図である。
[1-1.通信システムの概要]
まず、図1を参照しながら、実施の形態1に係る通信システム2の概要について説明する。図1は、実施の形態1に係る通信システム2の概要を示すブロック図である。
【0043】
実施の形態1に係る通信システム2は、例えば自動車等の車両4に搭載された、車両4の運転操作を自動で行うための自動運転システムに適用される。図1に示すように、通信システム2は、CAN(Controller Area Network)バス6と、TCU(Telematics Control Unit)8と、IVI(In-Vehicle Infotainment)10と、CGW(Central GateWay)12と、NIDS(Network-based Intrusion Detection System)14と、ECU(Electronic Control Unit)16と、ログ管理モジュール18とを備えている。
【0044】
なお、車両4はモビリティの一例であり、CANバス6はモビリティネットワークの一例である。各機器を接続するモビリティネットワークは、CANバス6に限定されず、例えばEthernet(登録商標)、FlexRay(登録商標)、又は、それらの混成で構成されていてもよい。TCU8、IVI10、CGW12、NIDS14及びECU16の各々は、機器の一例である。また、ログ管理モジュール18は、情報処理装置の一例である。
【0045】
CANバス6は、例えばCANプロトコルに従って通信する車載ネットワークであり、車両4に搭載されている。TCU8、IVI10、CGW12、NIDS14、ECU16及びログ管理モジュール18は、CANバス6を介して互いに通信可能に接続されている。
【0046】
TCU8は、車両4の外部との無線通信を実行するための通信モジュールである。TCU8は、CANバス6を介してCGW12に接続されている。また、TCU8は、車両4の外部のネットワーク(例えば、インターネット等)に接続可能である。TCU8は、TCU8における異常(例えば、車両4の外部からの不正なアクセス等の攻撃)を検出するための侵入検出システムであるIDS(Intrusion Detection System)20を有している。IDS20は、TCU8における異常を検出した際に、TCU8に異常が検出されたことを示す異常検出情報を、CANバス6を介してログ管理モジュール18に送信する。
【0047】
IVI10は、種々の情報を車両4の乗員に対して表示するための情報機器であり、例えばカーナビゲーション装置である。IVI10は、CANバス6を介してCGW12に接続されている。また、IVI10は、車両4の外部のネットワーク(例えばインターネット等)に接続可能である。IVI10は、IVI10における異常を検出するための侵入検出システムであるIDS22を有している。IDS22は、IVI10における異常を検出した際に、IVI10に異常が検出されたことを示す異常検出情報を、CANバス6を介してログ管理モジュール18に送信する。
【0048】
CGW12は、CANバス6間で情報(フレーム)を中継するためのセントラルゲートウェイECUである。CGW12は、CGW12における異常を検出するための侵入検出システムであるIDS24を有している。IDS24は、CGW12における異常を検出した際に、CGW12に異常が検出されたことを示す異常検出情報を、CANバス6を介してログ管理モジュール18に送信する。
【0049】
NIDS14は、車載ネットワーク(CANバス6)における異常を検出するためのネットワークベースの侵入検出システム(IDS)である。NIDS14は、CANバス6を介してCGW12に接続されている。NIDS14は、車載ネットワークにおける異常を検出した際に、車載ネットワークに異常が検出されたことを示す異常検出情報を、CANバス6を介してログ管理モジュール18に送信する。
【0050】
ECU16は、例えば、車両4の加減速、操舵、制動、ドアの開閉及びウィンドウの開閉等を制御するための電子制御ユニットである。ECU16は、CANバス6を介してCGW12に接続されている。ECU16は、ECU16における異常を検出するための侵入検出システムであるIDS26を有している。IDS26は、ECU16における異常を検出した際に、ECU16に異常が検出されたことを示す異常検出情報を、CANバス6を介してログ管理モジュール18に送信する。
【0051】
ログ管理モジュール18は、CANバス6を介してCGW12に接続されている。ログ管理モジュール18は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26のいずれかから送信された異常検出情報を受信した際に、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の中から1以上の候補機器に絞り込み、当該1以上の候補機器から分析用ログ情報を収集する。ログ管理モジュール18は、収集した分析用ログ情報に基づいて、車載ネットワークにおける未検出の異常の有無を分析する。なお、ログ管理モジュール18は、分析用ログ情報に基づく分析を行わずに、収集した分析用ログ情報を車両4に搭載された他の分析モジュール、又は、車両4の外部に設置された監視センター(図示せず)に送信し、当該分析モジュール又は監視センターにおいて分析用ログ情報に基づく分析が行われてもよい。
【0052】
ここで、分析用ログ情報とは、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の各々において監視対象としている車載ネットワークの通信又は機器の動作のログである。なお、分析用ログ情報は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の各々において検出された情報の履歴であってもよいし、上記通信又は機器の動作のログと、上記検出された情報の履歴との双方から構成される情報であってもよい。
【0053】
[1-2.ログ管理モジュールの機能構成]
次に、図2を参照しながら、実施の形態1に係るログ管理モジュール18の機能構成について説明する。図2は、実施の形態1に係るログ管理モジュール18の機能構成を示すブロック図である。
次に、図2を参照しながら、実施の形態1に係るログ管理モジュール18の機能構成について説明する。図2は、実施の形態1に係るログ管理モジュール18の機能構成を示すブロック図である。
【0054】
図2に示すように、ログ管理モジュール18は、異常検出情報受信部28と、異常検出ID管理部30と、検出履歴情報記憶部32と、接続関係情報記憶部34と、接続関係判定部36と、収集対象決定部38と、リクエスト情報生成部40と、リクエスト情報送信部42と、分析用ログ情報受信部44と、分析用ログ情報記憶部46とを備えている。
【0055】
異常検出情報受信部28は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26のうち特定の機器から送信された異常検出情報を受信する。
【0056】
異常検出ID管理部30は、異常検出情報受信部28で受信された異常検出情報に基づいて、当該異常検出情報の送信元を特定し、特定した送信元を識別するためのIDS-IDを管理する。
【0057】
検出履歴情報記憶部32は、異常検出情報受信部28で受信された異常検出情報と、当該異常検出情報の送信元を識別するためのIDS-IDとの対応関係を示す検出履歴情報を記憶する。
【0058】
接続関係情報記憶部34は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の相互の接続関係を示す接続関係情報を記憶する。
【0059】
接続関係判定部36は、接続関係情報記憶部34に記憶された接続関係情報に基づいて、異常検出情報受信部28で受信された異常検出情報の送信元である特定の機器と所定の接続関係にある1以上の機器を判定する。本実施の形態では、所定の接続関係とは、特定の機器とCANバス6を介して直接(他の機器を介在することなく)接続されている接続関係を意味する。例えば、CGW12のIDS24において異常が検出された場合、接続関係判定部36は、CGW12のIDS24と所定の接続関係にある機器として、TCU8のIDS20、IVI10のIDS22及びNIDS14を判定する。なお、所定の接続関係は、上述した意味に限定されず、例えば、特定の機器と論理的な接続関係があり、且つ、特定の機器との論理経路上に他のIDSが無い接続関係を意味してもよい。
【0060】
収集対象決定部38は、異常検出情報受信部28が異常検出情報を受信したことを契機として、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の中から1以上の候補機器を絞り込み、当該1以上の候補機器を分析用ログ情報の収集対象として決定する。具体的には、収集対象決定部38は、接続関係情報記憶部34に記憶された接続関係情報、及び、検出履歴情報記憶部32に記憶された検出履歴情報に基づいて、異常検出情報の送信元である特定の機器と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、分析用ログ情報の収集対象として決定する。
【0061】
リクエスト情報生成部40は、収集対象決定部38により決定された1以上の候補機器に対して、分析用ログ情報の送信を要求するためのリクエスト情報を生成する。
【0062】
リクエスト情報送信部42は、リクエスト情報生成部40により生成されたリクエスト情報を、収集対象決定部38により決定された1以上の候補機器に送信する。
【0063】
分析用ログ情報受信部44は、リクエスト情報に応じて1以上の候補機器から送信された分析用ログ情報を受信する。
【0064】
分析用ログ情報記憶部46は、分析用ログ情報受信部44で受信された分析用ログ情報を記憶する。
【0065】
[1-3.ログ管理モジュールの動作]
図3を参照しながら、実施の形態1に係るログ管理モジュール18の動作について説明する。図3は、実施の形態1に係るログ管理モジュール18の動作の流れを示すフローチャートである。
図3を参照しながら、実施の形態1に係るログ管理モジュール18の動作について説明する。図3は、実施の形態1に係るログ管理モジュール18の動作の流れを示すフローチャートである。
【0066】
図3に示すように、まず、異常検出情報受信部28は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26のいずれかから異常検出情報を受信する(S101)。
【0067】
異常検出ID管理部30は、異常検出情報受信部28で受信された異常検出情報に基づいて、当該異常検出情報の送信元を特定し(S102)、検出履歴情報記憶部32に記憶された検出履歴情報を更新する(S103)。
【0068】
収集対象決定部38は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24、NIDS14及びECU16のIDS26の中から1以上の候補機器を絞り込み、当該1以上の候補機器を分析用ログ情報の収集対象として決定する(S104)。
【0069】
リクエスト情報送信部42は、リクエスト情報生成部40により生成されたリクエスト情報を、収集対象決定部38により決定された1以上の候補機器に送信する(S105)。
【0070】
分析用ログ情報受信部44は、リクエスト情報に応じて1以上の候補機器から送信された分析用ログ情報を受信する(S106)。
【0071】
ここで、図4及び図5を参照しながら、図3のフローチャートにおける分析用ログ情報の収集対象の決定処理(S104)について具体的に説明する。図4は、図3のフローチャートにおける分析用ログ情報の収集対象の決定処理の内容を具体的に示すフローチャートである。図5は、実施の形態1に係るログ管理モジュール18の動作を説明するための図である。
【0072】
以下、図5の(a)に示すように、CGW12のIDS24において異常が検出され、異常検出情報受信部28がCGW12のIDS24からの異常検出情報を受信した場合について説明する。
【0073】
図4に示すように、収集対象決定部38は、検出履歴情報記憶部32に記憶された検出履歴情報から、異常検出情報受信部28で受信された異常検出情報に対応するIDS-IDを抽出する(S201)。IDS-IDは、異常検出情報の送信元であるCGW12のIDS24を識別するためのIDである。
【0074】
接続関係判定部36は、接続関係情報記憶部34にアクセスすることにより(S202)、抽出されたIDS-IDにより示されるCGW12のIDS24と所定の接続関係にある機器として、TCU8のIDS20、IVI10のIDS22及びNIDS14を判定する。
【0075】
収集対象決定部38は、接続関係判定部36の判定結果に基づいて、収集対象IDSリストを生成する(S203)。収集対象IDSリストは、分析用ログ情報の収集対象である候補機器の一覧を示すリストである。収集対象IDSリストには、分析用ログ情報の収集対象として、TCU8のIDS20、IVI10のIDS22及びNIDS14が含まれる。図5の(a)に示す例では、この時点では、収集対象決定部38は、TCU8のIDS20、IVI10のIDS22及びNIDS14を分析用ログ情報の収集対象として仮決定する。
【0076】
収集対象決定部38は、検出履歴情報記憶部32にアクセスすることにより(S204)、収集対象IDSリストに異常の検出の履歴を有する候補機器が存在するか否かを判定する(S205)。
【0077】
収集対象IDSリストに異常の検出の履歴を有する候補機器が存在する場合には(S205でYES)、収集対象決定部38は、収集対象IDSリストから、異常の検出の履歴を有する候補機器を削除することにより(S206)、分析用ログ情報の収集対象を絞り込む。その後、図3のフローチャートのステップS105に進む。図5の(b)に示す例では、収集対象決定部38は、収集対象IDSリストから、異常の検出の履歴を有するTCU8のIDS20を削除することにより、IVI10のIDS22及びNIDS14を分析用ログ情報の収集対象として最終決定する。
【0078】
ステップS205に戻り、収集対象IDSリストに異常の検出の履歴のある候補機器が存在しない場合には(S205でNO)、図3のフローチャートのステップS105に進む。この場合、収集対象決定部38は、上述したステップS203で生成した収集対象IDSリストに含まれる候補機器を維持し、分析用ログ情報の収集対象を絞り込まない。図示しないが、収集対象決定部38は、例えば、TCU8のIDS20、IVI10のIDS22及びNIDS14を分析用ログ情報の収集対象として最終決定する。
【0079】
[1-4.効果]
本実施の形態では、収集対象決定部38は、接続関係情報及び検出履歴情報に基づいて、異常検出情報の送信元と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、分析用ログ情報の収集対象として決定する。
本実施の形態では、収集対象決定部38は、接続関係情報及び検出履歴情報に基づいて、異常検出情報の送信元と所定の接続関係にあり、且つ、異常の検出の履歴を有しない1以上の候補機器を、分析用ログ情報の収集対象として決定する。
【0080】
異常の検出の履歴を有する候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、異常検出情報の送信元と所定の接続関係がある候補機器であったとしても、異常の検出の履歴を有する候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避することができる。その結果、分析用ログ情報を適切に収集することができ、分析用ログ情報記憶部46の残記憶容量が不足するのを抑制することができる。また、分析用ログ情報を収集する際の通信量、及び、監視センター等へ送信する際の通信量を低減することができる。
【0081】
[1-5.変形例1]
図6~図8を参照しながら、実施の形態1の変形例1に係るログ管理モジュール18Aの機能について説明する。図6は、実施の形態1の変形例1に係るログ管理モジュール18Aの機能を説明するための図である。図7は、実施の形態1の変形例1に係る管理テーブル48の一例を示す図である。図8は、実施の形態1の変形例1に係るログ管理モジュール18Aの動作の流れを示すフローチャートである。
図6~図8を参照しながら、実施の形態1の変形例1に係るログ管理モジュール18Aの機能について説明する。図6は、実施の形態1の変形例1に係るログ管理モジュール18Aの機能を説明するための図である。図7は、実施の形態1の変形例1に係る管理テーブル48の一例を示す図である。図8は、実施の形態1の変形例1に係るログ管理モジュール18Aの動作の流れを示すフローチャートである。
【0082】
本変形例のログ管理モジュール18Aでは、例えば分析用ログ情報記憶部46(図2参照)の残記憶容量が逼迫した場合に、分析用ログ情報記憶部46に記憶された分析用ログ情報が順に削除される。
【0083】
図6に示すように、例えばECU16のIDS26において異常が検出された場合、異常検出情報受信部28(図2参照)は、ECU16のIDS26からの異常検出情報(以下、「異常検出情報A」という)を受信する。リクエスト情報送信部42(図2参照)は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14の各々にリクエスト情報を送信する。分析用ログ情報受信部44(図2参照)は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14の各々から送信された分析用ログ情報を受信する。
【0084】
ログ管理モジュール18Aでは、分析用ログ情報の受信時に、図7に示す管理テーブル48が生成される。管理テーブル48は、異常検出情報の種類毎に、分析用ログ情報と、当該分析用ログ情報の有効度合いに関連する有効度としての距離情報との対応関係を示す対応情報の一例である。有効度は、異常が検出された特定の機器と、分析用ログ情報の送信元との距離に基づいて決定される。なお、図7に示す例では、管理テーブル48に距離情報を含めているが、これに限定されず、各機器間の距離情報を機器間距離情報として管理し、距離情報を異常発生機器及び上記機器間距離情報から必要になる都度導き出すようにしてもよい。
【0085】
図7に示す例では、管理テーブル48には、異常検出情報Aについて、「NIDSログ1」(NIDS14からの分析用ログ情報)に対応する距離情報「1」、「CGWログ1」(CGW12のIDS24からの分析用ログ情報)に対応する距離情報「2」、TCUログ1(TCU8のIDS20からの分析用ログ情報)に対応する距離情報「3」、及び、IVIログ1(IVI10のIDS22からの分析用ログ情報)に対応する距離情報「3」がそれぞれ格納されている。
【0086】
ここで、距離情報とは、異常が検出されたECU16のIDS26と、分析用ログ情報の送信元との距離を示す情報である。図6に示すように、ECU16のIDS26とTCU8のIDS20及びIVI10のIDS22との距離は最も長い「3」であり、ECU16のIDS26とCGW12のIDS24との距離は2番目に長い「2」であり、ECU16のIDS26とNIDS14との距離は最も短い「1」である。本変形例では、異常が検出された特定の機器から近い距離にある機器ほど、新たな未知の攻撃が発生している可能性が高いという前提である。そのため、距離情報により示される距離が短いほど、有効度が高いものとする。
【0087】
ログ管理モジュール18Aでは、図7に示す管理テーブル48に基づいて、分析用ログ情報記憶部46に記憶された分析用ログ情報のうち、距離情報により示される距離の最も長い分析用ログ情報から順に削除される。以下、図8を参照しながら、ログ管理モジュール18Aにおける分析用ログ情報の削除処理について説明する。
【0088】
図8に示すように、距離情報n=最大距離(例えば「3」)とし(S301)、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要があるか否かが判定される(S302)。例えば分析用ログ情報記憶部46の残記憶容量に余裕があるため、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要が無い場合には(S302でNO)、処理を終了する。
【0089】
一方、例えば分析用ログ情報記憶部46の残記憶容量が逼迫しているため、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要がある場合には(S302でYES)、管理テーブル48を参照することにより、距離情報=nの分析用ログ情報が存在するか否かが判定される(S303)。
【0090】
距離情報=nの分析用ログ情報が存在する場合には(S303で「あり」)、分析用ログ情報受信部44は、距離情報=nの分析用ログ情報(例えば「TCUログ1」及び「IVIログ1」)を削除する(S304)。その後、距離情報nがn-1(例えば「2」)にデクリメントされ(S305)、上述したステップS302に戻る。
【0091】
ステップS303に戻り、距離情報=nの分析用ログ情報が存在しない場合には(S303で「なし」)、ステップS305に進む。
【0092】
本変形例では、異常が検出された特定の機器から近い距離にある機器ほど、新たな未知の攻撃が発生している可能性が高いという前提であるため、距離情報により示される距離が短いほど、有効度が高い。そのため、上述のように、分析用ログ情報記憶部46に記憶された分析用ログ情報を、距離情報により示される距離の最も長いものから順に削除することにより、有用性の高い分析用ログ情報を分析用ログ情報記憶部46に蓄積させておくことができるとともに、分析用ログ情報記憶部46の残記憶容量が逼迫するのを解消することができる。
【0093】
[1-6.変形例2]
図9~図11を参照しながら、実施の形態1の変形例2に係るログ管理モジュール18Bの機能について説明する。図9は、実施の形態1の変形例2に係るログ管理モジュール18Bの機能を説明するための図である。図10は、実施の形態1の変形例2に係る管理テーブル50の一例を示す図である。図11は、実施の形態1の変形例2に係るログ管理モジュール18Bの動作の流れを示すフローチャートである。
図9~図11を参照しながら、実施の形態1の変形例2に係るログ管理モジュール18Bの機能について説明する。図9は、実施の形態1の変形例2に係るログ管理モジュール18Bの機能を説明するための図である。図10は、実施の形態1の変形例2に係る管理テーブル50の一例を示す図である。図11は、実施の形態1の変形例2に係るログ管理モジュール18Bの動作の流れを示すフローチャートである。
【0094】
本変形例のログ管理モジュール18Bでは、例えば分析用ログ情報記憶部46(図2参照)の残記憶容量が逼迫した場合に、分析用ログ情報記憶部46に記憶された分析用ログ情報が順に削除される。
【0095】
図9に示すように、例えばECU16のIDS26において異常が検出された場合、異常検出情報受信部28(図2参照)は、ECU16のIDS26からの異常検出情報(以下、「異常検出情報A」という)を受信する。リクエスト情報送信部42(図2参照)は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14の各々にリクエスト情報を送信する。分析用ログ情報受信部44(図2参照)は、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14の各々から送信された分析用ログ情報を受信する。
【0096】
ログ管理モジュール18Bでは、分析用ログ情報の受信時に、図10に示す管理テーブル50が生成される。管理テーブル50は、異常検出情報の種類毎に、分析用ログ情報と、当該分析用ログ情報の有効度合いに関連する有効度としての優先度との対応関係を示す対応情報の一例である。有効度は、異常が検出された特定の機器に対する分析用ログ情報の送信元の配置に基づいて決定される。なお、図10に示す例では、管理テーブル50に優先度を含めているが、これに限定されず、各機器の優先度を機器優先情報として管理し、優先度を分析用ログ情報の送信元の機器及び上記機器優先度情報から必要になる都度導き出すようにしてもよい。また、上記機器優先情報を複数記憶させておき、検出された異常の検出内容や検出箇所、車両状態等に応じて参照する機器優先情報を変更してもよい。
【0097】
図10に示す例では、管理テーブル50には、異常検出情報Aについて、「NIDSログ1」(NIDS14からの分析用ログ情報)に対応する優先度「1」、「CGWログ1」(CGW12のIDS24からの分析用ログ情報)に対応する優先度「1」、TCUログ1(TCU8のIDS20からの分析用ログ情報)に対応する優先度「2」、及び、IVIログ1(IVI10のIDS22からの分析用ログ情報)に対応する優先度「2」がそれぞれ格納されている。
【0098】
ここで、優先度とは、車載ネットワークの入口側(図9において左側)に近いほど高い指標を示し、且つ、車載ネットワークの出口側(図9において右側)に近いほど低い指標を示す情報である。図9に示すように、TCU8のIDS20及びIVI10のIDS22の各優先度は、車載ネットワークの入口側に比較的近いため、「2」である。また、CGW12のIDS24及びNIDS14の各優先度は、車載ネットワークの入口側から比較的遠いため、「1」である。本変形例では、車載ネットワークの入口側に近い機器からの分析用ログ情報ほど、攻撃の開始位置を特定するために重要であるという前提である。そのため、優先度が高いほど、有効度が高いものとする。
【0099】
なお、図9に示す例では、車載ネットワークの入口側から遠いほど優先度が低いとしたが、車載ネットワークの入口側から遠くても、セキュリティ上又は車両制御の上で重要と考えられる機器の優先度は、車載ネットワークの入口側からの距離に関わらず高くしてもよい。そのような機器としては、例えば、ADAS-ECUや自動運転ECUのような制御を集中的に行うECU、あるいは、通信の集中するゲートウェイ等が考えられる。また、優先度は、異常検出時の車両4の通信状態や走行状態に応じて変更されてもよい。
【0100】
ログ管理モジュール18Bでは、図10に示す管理テーブル50に基づいて、分析用ログ情報記憶部46に記憶された分析用ログ情報のうち、優先度の最も低い分析用ログ情報から順に削除される。以下、図11を参照しながら、ログ管理モジュール18Bにおける分析用ログ情報の削除処理について説明する。
【0101】
図11に示すように、優先度n=1とし(S401)、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要があるか否かが判定される(S402)。例えば分析用ログ情報記憶部46の残記憶容量に余裕があるため、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要が無い場合には(S402でNO)、処理を終了する。
【0102】
一方、例えば分析用ログ情報記憶部46の残記憶容量が逼迫しているため、分析用ログ情報記憶部46に記憶された分析用ログ情報を削除する必要がある場合には(S402でYES)、管理テーブル50を参照することにより、優先度=nの分析用ログ情報が存在するか否かが判定される(S403)。
【0103】
優先度=nの分析用ログ情報が存在する場合には(S403で「あり」)、分析用ログ情報受信部44は、優先度=nの分析用ログ情報(例えば「NIDSログ1」及び「CGWログ1」)を削除する(S404)。その後、優先度nがn+1(=2)にインクリメントされ(S405)、上述したステップS402に戻る。
【0104】
ステップS403に戻り、優先度=nの分析用ログ情報が存在しない場合には(S403で「なし」)、ステップS405に進む。
【0105】
本変形例では、車載ネットワークの入口側に近い機器からの分析用ログ情報ほど、攻撃の開始位置を特定するために重要であるという前提であるため、優先度が高いほど、有効度が高い。そのため、上述のように、分析用ログ情報記憶部46に記憶された分析用ログ情報を、優先度の最も低いものから順に削除することにより、有用性の高い分析用ログ情報を分析用ログ情報記憶部46に蓄積させておくことができるとともに、分析用ログ情報記憶部46の残記憶容量が逼迫するのを解消することができる。
【0106】
(実施の形態2)
[2-1.ログ管理モジュールの機能構成]
次に、図12を参照しながら、実施の形態2に係るログ管理モジュール18Cの機能構成について説明する。図12は、実施の形態2に係るログ管理モジュール18Cの機能構成を示すブロック図である。なお、以下に示す各実施の形態において、上記実施の形態1と同一の構成要素には同一の符号を付して、その説明を省略する。
[2-1.ログ管理モジュールの機能構成]
次に、図12を参照しながら、実施の形態2に係るログ管理モジュール18Cの機能構成について説明する。図12は、実施の形態2に係るログ管理モジュール18Cの機能構成を示すブロック図である。なお、以下に示す各実施の形態において、上記実施の形態1と同一の構成要素には同一の符号を付して、その説明を省略する。
【0107】
図12に示すように、実施の形態2に係るログ管理モジュール18Cは、上記実施の形態1で説明した構成要素に加えて、攻撃経路情報記憶部52と、攻撃経路推定部54とを備えている。
【0108】
攻撃経路情報記憶部52は、車載ネットワークにおける攻撃経路の候補を示す攻撃経路情報を記憶する。攻撃経路情報は、例えば「TCU8のIDS20→CGW12のIDS24→NIDS14→ECU16のIDS26」のように、車両4の外部からの攻撃が辿ると予測される経路を示す情報である。
【0109】
攻撃経路推定部54は、攻撃経路情報記憶部52に記憶された攻撃経路情報に基づいて、異常が検出された機器を含む攻撃経路を推定する。
【0110】
また、収集対象決定部38Cは、攻撃経路推定部54により推定された攻撃経路上にある1以上の候補機器を、分析用ログ情報の収集対象として決定する。
【0111】
[2-2.ログ管理モジュールの動作]
図13及び図14を参照しながら、実施の形態2に係るログ管理モジュール18Cの動作(分析用ログ情報の収集対象の決定処理)について説明する。図13は、実施の形態2に係るログ管理モジュール18Cの動作の流れを示すフローチャートである。図14は、実施の形態2に係るログ管理モジュール18Cの動作を説明するための図である。なお、図13のフローチャートにおいて、図4のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
図13及び図14を参照しながら、実施の形態2に係るログ管理モジュール18Cの動作(分析用ログ情報の収集対象の決定処理)について説明する。図13は、実施の形態2に係るログ管理モジュール18Cの動作の流れを示すフローチャートである。図14は、実施の形態2に係るログ管理モジュール18Cの動作を説明するための図である。なお、図13のフローチャートにおいて、図4のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
【0112】
以下、図14の(a)に示すように、CGW12のIDS24において異常が検出され、異常検出情報受信部28がCGW12のIDS24からの異常検出情報を受信した場合について説明する。
【0113】
図13に示すように、上記実施の形態1と同様に、ステップS201~S203が実行される。ステップS203で生成される収集対象IDSリストには、分析用ログ情報の収集対象として、TCU8のIDS20、IVI10のIDS22及びNIDS14が含まれる。図14の(a)に示す例では、この時点では、収集対象決定部38Cは、TCU8のIDS20、IVI10のIDS22及びNIDS14を分析用ログ情報の収集対象として仮決定する。
【0114】
収集対象決定部38Cは、検出履歴情報記憶部32にアクセスすることにより(S204)、収集対象IDSリストに含まれる候補機器のうち、異常の検出の履歴を有する候補機器が存在するか否かを判定する。
【0115】
攻撃経路推定部54は、攻撃経路情報記憶部52にアクセスすることにより(S501)、攻撃経路情報記憶部52に記憶された攻撃経路に基づいて、異常が検出されたCGW12のIDS24を含む攻撃経路を推定する(S502)。図14の(b)に示す例では、攻撃経路推定部54は、「TCU8のIDS20→CGW12のIDS24→NIDS14」という攻撃経路を推定する。
【0116】
収集対象決定部38Cは、収集対象IDSリストに、攻撃経路推定部54により推定された攻撃経路上に無い候補機器が存在するか否かを判定する(S503)。収集対象IDSリストに、攻撃経路推定部54により推定された攻撃経路上に無い候補機器が存在しない場合には(S503でNO)、上述したステップS205に進む。
【0117】
収集対象IDSリストに、攻撃経路推定部54により推定された攻撃経路上に無い候補機器が存在する場合には(S503でYES)、収集対象決定部38Cは、収集対象IDSリストから当該候補機器を削除することにより(S504)、分析用ログ情報の収集対象を絞り込む。図14の(b)に示す例では、収集対象決定部38Cは、収集対象IDSリストから、攻撃経路推定部54により推定された攻撃経路上に無いIVI10のIDS22を削除する。
【0118】
その後、収集対象決定部38Cは、収集対象IDSリストに異常の検出の履歴を有する候補機器が存在するか否かを判定する(S205)。
【0119】
収集対象IDSリストに異常の検出の履歴を有する候補機器が存在する場合には(S205でYES)、収集対象決定部38Cは、収集対象IDSリストから、異常の検出の履歴を有する候補機器を削除することにより(S206)、分析用ログ情報の収集対象をさらに絞り込む。その後、図3のフローチャートのステップS105に進む。図14の(b)に示す例では、収集対象決定部38Cは、収集対象IDSリストから、異常の検出の履歴を有するTCU8のIDS20を削除する。これにより、収集対象決定部38Cは、NIDS14を分析用ログ情報の収集対象として最終決定する。
【0120】
ステップS205に戻り、収集対象IDSリストに異常の検出の履歴のある候補機器が存在しない場合には(S205でNO)、図3のフローチャートのステップS105に進む。この場合、図示しないが、収集対象決定部38Cは、例えば、TCU8のIDS20及びNIDS14を分析用ログ情報の収集対象として最終決定する。
【0121】
なお、本実施の形態では、ステップS205及びS206の処理を実行するようにしたが、ステップS205及びS206の処理は必ずしも必要では無く、これらの処理を省略してもよい。
【0122】
また、本実施の形態では、ステップS202及びS203を実行した後に、ステップS204,S501及びS502により攻撃経路を推定し、取得された収集対象IDSリストから収集対象を絞り込む方法をとっているが、ステップS204,S501及びS502をステップS201の後に実行し、その後にステップS202及びS203を実行することにより、攻撃経路上のIDSから、ステップS202で出力される情報を用いて、収集対象を絞り込んでもよい。あるいは、ステップS202及びS203を実行せず、ステップS204,S501及びS502を実行することにより、攻撃経路上のIDSを分析用ログ情報の収集対象として決定してもよい。
【0123】
[2-3.効果]
本実施の形態では、収集対象決定部38Cは、攻撃経路推定部54により推定された攻撃経路上に含まれる1以上の候補機器を分析用ログ情報の収集対象として決定する。
本実施の形態では、収集対象決定部38Cは、攻撃経路推定部54により推定された攻撃経路上に含まれる1以上の候補機器を分析用ログ情報の収集対象として決定する。
【0124】
攻撃経路推定部54により推定された攻撃経路上に無い候補機器では、新たに未知の攻撃が発生している可能性は低いと考えられる。そのため、異常検出情報の送信元と所定の接続関係がある候補機器であったとしても、推定された攻撃経路上に無い候補機器を分析用ログ情報の収集対象から除外することにより、分析用ログ情報を無駄に収集するのを回避することができる。その結果、分析用ログ情報を適切に収集することができ、分析用ログ情報記憶部46の残記憶容量が不足するのを抑制することができる。
【0125】
(実施の形態3)
[3-1.ログ管理モジュールの機能構成]
次に、図15を参照しながら、実施の形態3に係るログ管理モジュール18Dの機能構成について説明する。図15は、実施の形態3に係るログ管理モジュール18Dの機能構成を示すブロック図である。
[3-1.ログ管理モジュールの機能構成]
次に、図15を参照しながら、実施の形態3に係るログ管理モジュール18Dの機能構成について説明する。図15は、実施の形態3に係るログ管理モジュール18Dの機能構成を示すブロック図である。
【0126】
図15に示すように、実施の形態3に係るログ管理モジュール18Dは、上記実施の形態1で説明した構成要素に加えて、状態判定部56を備えている。なお、ログ管理モジュール18Dは、上記実施の形態1で説明した検出履歴情報記憶部32を備えていない。
【0127】
状態判定部56は、分析用ログ情報記憶部46の残記憶容量を判定する。分析用ログ情報記憶部46は、ログ情報を記憶するログ情報記憶部の一例である。
【0128】
また、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、1以上の候補機器を分析用ログ情報の収集対象として決定する。
【0129】
[3-2.ログ管理モジュールの動作]
図16及び図17を参照しながら、実施の形態3に係るログ管理モジュール18Dの動作(分析用ログ情報の収集対象の決定処理)について説明する。図16は、実施の形態3に係るログ管理モジュール18Dの動作の流れを示すフローチャートである。図17は、実施の形態3に係るログ管理モジュール18Dの動作を説明するための図である。なお、図16のフローチャートにおいて、図4のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
図16及び図17を参照しながら、実施の形態3に係るログ管理モジュール18Dの動作(分析用ログ情報の収集対象の決定処理)について説明する。図16は、実施の形態3に係るログ管理モジュール18Dの動作の流れを示すフローチャートである。図17は、実施の形態3に係るログ管理モジュール18Dの動作を説明するための図である。なお、図16のフローチャートにおいて、図4のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
【0130】
以下、図17の(a)に示すように、ECU16のIDS26において異常が検出され、異常検出情報受信部28がECU16のIDS26からの異常検出情報を受信した場合について説明する。
【0131】
図16に示すように、上記実施の形態1と同様に、ステップS201~S203が実行される。ステップS203で生成される収集対象IDSリストには、分析用ログ情報の収集対象として、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14が含まれる。図17の(a)に示す例では、この時点では、収集対象決定部38Dは、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14を分析用ログ情報の収集対象として仮決定する。
【0132】
状態判定部56は、分析用ログ情報記憶部46の残記憶容量を判定する(S601)。収集対象決定部38Dは、状態判定部56の判定結果に基づいて、分析用ログ情報記憶部46の残記憶容量が閾値以上であるか否かを判定する(S602)。
【0133】
分析用ログ情報記憶部46の残記憶容量が閾値未満である場合には(S602でNO)、収集対象決定部38Dは、収集対象IDSリストから、ECU16のIDS26に対して接続関係の遠い候補機器を削除することにより(S603)、分析用ログ情報の収集対象を絞り込む。図17の(b)に示す例では、収集対象決定部38Dは、収集対象IDSリストから、異常が検出されたECU16のIDS26から遠い距離にあるTCU8のIDS20及びIVI10のIDS22を削除する。
【0134】
ステップS602に戻り、分析用ログ情報記憶部46の残記憶容量が閾値以上である場合には(S602でYES)、図3のフローチャートのステップS105に進む。この場合、図示しないが、収集対象決定部38Dは、TCU8のIDS20、IVI10のIDS22、CGW12のIDS24及びNIDS14を分析用ログ情報の収集対象として最終決定する。
【0135】
[3-3.効果]
本実施の形態では、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、1以上の候補機器を分析用ログ情報の収集対象として決定する。具体的には、分析用ログ情報記憶部46の残記憶容量に余裕がある場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まない。一方、分析用ログ情報記憶部46の残記憶容量に余裕が無い場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込む。
本実施の形態では、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、1以上の候補機器を分析用ログ情報の収集対象として決定する。具体的には、分析用ログ情報記憶部46の残記憶容量に余裕がある場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まない。一方、分析用ログ情報記憶部46の残記憶容量に余裕が無い場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込む。
【0136】
これにより、分析用ログ情報を適切に収集することができ、分析用ログ情報記憶部46の残記憶容量が不足するのを抑制することができる。
【0137】
なお、本実施の形態では、状態判定部56は、分析用ログ情報記憶部46の残記憶容量を判定したが、これに限定されず、例えば、車載ネットワークにおける通信容量、車両4の移動状態、又は、車両4の機能動作状態を判定してもよい。
【0138】
状態判定部56が車載ネットワークにおける通信容量を判定する場合には、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、次のようにして1以上の候補機器を分析用ログ情報の収集対象として決定する。車載ネットワークにおける通信容量に余裕がある場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まない。一方、車載ネットワークにおける通信容量に余裕が無い場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込む。
【0139】
また、状態判定部56が車両4の移動状態を判定する場合には、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、次のようにして1以上の候補機器を分析用ログ情報の収集対象として決定する。車両4が停止中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まない。一方、車両4が走行中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込む。これは、車両4が走行中の場合には、車載ネットワークにおける通信容量に余裕が無く、車両4が停止中の場合には、車載ネットワークにおける通信容量に余裕があると推定されるためである。
【0140】
また、状態判定部56が車両4の機能動作状態を判定する場合には、収集対象決定部38Dは、状態判定部56の判定結果に基づいて、次のようにして1以上の候補機器を分析用ログ情報の収集対象として決定する。車両4が自動運転を実施中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まない。一方、車両4が手動運転を実行中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込む。これは、車両4が自動運転を実行中の場合には、攻撃による危険性が高く、車両4が手動運転を実行中の場合には、攻撃による危険性が低いと推定されるためである。あるいは、車両4が手動運転を実施中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込まず、車両4が自動運転を実行中の場合には、収集対象決定部38Dは、分析用ログ情報の収集対象を絞り込むようにしてもよい。これは、車両4が自動運転を実行中の場合には、車載ネットワークにおける通信容量に余裕が無く、車両4が手動運転を実行中の場合には、車載ネットワークにおける通信容量に余裕があると推定されるためである。
【0141】
なお、車両4の機能動作状態の判定としては、自動運転か手動運転かの判定に限定されず、車両4の通信状態や攻撃の危険性に影響する制御機能の動作状態を用いて判定してもよい。
【0142】
(実施の形態4)
[4-1.ログ管理モジュールの機能構成]
次に、図18を参照しながら、実施の形態4に係るログ管理モジュール18Eの機能構成について説明する。図18は、実施の形態4に係るログ管理モジュール18Eの機能構成を示すブロック図である。
[4-1.ログ管理モジュールの機能構成]
次に、図18を参照しながら、実施の形態4に係るログ管理モジュール18Eの機能構成について説明する。図18は、実施の形態4に係るログ管理モジュール18Eの機能構成を示すブロック図である。
【0143】
図18に示すように、実施の形態4に係るログ管理モジュール18Eは、上記実施の形態1で説明した構成要素に加えて、リクエスト情報記憶部58と、受信判定部60と、異常通知送信部62を備えている。
【0144】
リクエスト情報記憶部58は、リクエスト情報生成部40により生成されたリクエスト情報を記憶する。
【0145】
受信判定部60は、リクエスト情報送信部42がリクエスト情報を送信してから所定の時間内に、分析用ログ情報受信部44により分析用ログ情報が受信されたか否かを判定する。
【0146】
異常通知送信部62は、受信判定部60が所定時間内に分析用ログ情報を受信しなかったと判定した場合に、ログ管理モジュール18Eの外部に異常通知を送信する。なお、異常通知の送信先は、例えば、通信システム2に搭載された監視モジュール(図示せず)、又は、車両4の外部に設置された監視サーバ(図示せず)等である。
【0147】
[4-2.ログ管理モジュールの動作]
図19を参照しながら、実施の形態4に係るログ管理モジュール18Eの動作について説明する。図19は、実施の形態4に係るログ管理モジュール18Eの動作の流れを示すフローチャートである。なお、図19のフローチャートにおいて、図3のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
図19を参照しながら、実施の形態4に係るログ管理モジュール18Eの動作について説明する。図19は、実施の形態4に係るログ管理モジュール18Eの動作の流れを示すフローチャートである。なお、図19のフローチャートにおいて、図3のフローチャートと同一の処理には同一のステップ番号を付して、その説明を省略する。
【0148】
図19に示すように、上記実施の形態1と同様に、ステップS101~S105が実行される。ステップS105の後、受信判定部60は、分析用ログ情報受信部44により分析用ログ情報が受信されたか否かを判定する(S601)。
【0149】
分析用ログ情報受信部44により分析用ログ情報が受信された場合には(S601でYES)、受信判定部60は、受信された分析用ログ情報のフォーマットが異常であるか否かを判定する(S602)。
【0150】
受信された分析用ログ情報のフォーマットが異常でない場合には(S602でNO)、分析用ログ情報受信部44は、受信判定部60からの指示に従い、受信した分析用ログ情報を分析用ログ情報記憶部46に記憶する(S603)。
【0151】
ステップ602に戻り、受信された分析用ログ情報のフォーマットが異常である場合には(S602でYES)、受信判定部60は、受信された分析用ログ情報のフォーマットが異常である旨を示す異常通知を送信するように異常通知送信部62に指示する。これにより、異常通知送信部62は、ログ管理モジュール18Eの外部に異常通知を送信する(S605)。
【0152】
ステップS601に戻り、リクエスト情報送信部42がリクエスト情報を送信してから所定の時間内に、分析用ログ情報受信部44により分析用ログ情報が受信されない場合には(S601でNO、S604でYES)、受信判定部60は、分析用ログ情報を未受信である旨を示す異常通知を送信するように異常通知送信部62に指示する。これにより、異常通知送信部62は、ログ管理モジュール18Eの外部に異常通知を送信する(S605)。
【0153】
ステップS601に戻り、リクエスト情報送信部42がリクエスト情報を送信してから所定の時間内に、分析用ログ情報受信部44により分析用ログ情報が受信された場合には(S601でNO、S604でNO)、上述したステップS601に戻る。
【0154】
[4-3.効果]
本実施の形態では、異常通知送信部62は、リクエスト情報送信部42がリクエスト情報を送信してから所定の時間内に、分析用ログ情報受信部44により分析用ログ情報が受信されない場合に、ログ管理モジュール18Eの外部に異常通知を送信する。
本実施の形態では、異常通知送信部62は、リクエスト情報送信部42がリクエスト情報を送信してから所定の時間内に、分析用ログ情報受信部44により分析用ログ情報が受信されない場合に、ログ管理モジュール18Eの外部に異常通知を送信する。
【0155】
分析用ログ情報を受信できない場合には、車載ネットワークにおける未検出の異常の有無を分析することができない。そのため、分析用ログ情報を受信できなかったこと自体を異常事象と捉えて、外部に異常通知を送信することにより、当該異常事象に対して適切な処置を迅速に実行することができる。
【0156】
(他の変形例)
以上、一つ又は複数の態様に係る情報処理装置及び情報処理装置の制御方法について、上記各実施の形態に基づいて説明したが、本開示は、上記各実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記各実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
以上、一つ又は複数の態様に係る情報処理装置及び情報処理装置の制御方法について、上記各実施の形態に基づいて説明したが、本開示は、上記各実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記各実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
【0157】
上記各実施の形態では、本開示に係るログ管理モジュール18(18A~18E)の適用例として、自動車等の車両4に搭載された車載ネットワークにおけるCGW12に接続された機器として説明したが、ログ管理モジュール18(18A~18E)の搭載箇所は上記に限定されず、車載ネットワークに接続されていればよく、例えば車両4と接続された監視センターに配置されていても構わない。
【0158】
また、上記各実施の形態では、本開示に係るログ管理モジュール18(18A~18E)の適用例として、ログ管理モジュールを単独の機器として説明したが、これに限定されず、単独の機器ではなく、例えばCGW12等の他の機器に内蔵されていても構わない。
【0159】
また、上記各実施の形態では、本開示に係るログ管理モジュール18(18A~18E)の適用例として、自動車等の車両4に搭載された車載ネットワークにおけるセキュリティ対策への適用について説明したが、本開示に係るログ管理モジュール18(18A~18E)の適用範囲はこれに限定されない。本開示に係るログ管理モジュール18(18A~18E)は、自動車等の車両4に限定されず、例えば、建機、農機、船舶、鉄道又は飛行機等の任意のモビリティに適用してもよい。
【0160】
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
【0161】
また、上記実施の形態に係る情報処理装置の機能の一部又は全てを、CPU等のプロセッサがプログラムを実行することにより実現してもよい。
【0162】
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
【0163】
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えばフレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
【産業上の利用可能性】
【0164】
本開示に係る情報処理装置は、例えば車両に搭載された自動運転システム等に適用可能である。
【符号の説明】
【0165】
2 通信システム
4 車両
6 CANバス
8 TCU
10 IVI
12 CGW
14 NIDS
16 ECU
18,18A,18B,18C,18D,18E ログ管理モジュール
20,22,24,26 IDS
28 異常検出情報受信部
30 異常検出ID管理部
32 検出履歴情報記憶部
34 接続関係情報記憶部
36 接続関係判定部
38,38C,38D 収集対象決定部
40 リクエスト情報生成部
42 リクエスト情報送信部
44 分析用ログ情報受信部
46 分析用ログ情報記憶部
48,50 管理テーブル
52 攻撃経路情報記憶部
54 攻撃経路推定部
56 状態判定部
58 リクエスト情報記憶部
60 受信判定部
62 異常通知送信部
4 車両
6 CANバス
8 TCU
10 IVI
12 CGW
14 NIDS
16 ECU
18,18A,18B,18C,18D,18E ログ管理モジュール
20,22,24,26 IDS
28 異常検出情報受信部
30 異常検出ID管理部
32 検出履歴情報記憶部
34 接続関係情報記憶部
36 接続関係判定部
38,38C,38D 収集対象決定部
40 リクエスト情報生成部
42 リクエスト情報送信部
44 分析用ログ情報受信部
46 分析用ログ情報記憶部
48,50 管理テーブル
52 攻撃経路情報記憶部
54 攻撃経路推定部
56 状態判定部
58 リクエスト情報記憶部
60 受信判定部
62 異常通知送信部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】