▶ パナソニックオートモーティブシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-09-04
(45)【発行日】2024-09-12
(54)【発明の名称】監視装置、監視方法、及び、プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240905BHJP
G06F 21/57 20130101ALI20240905BHJP
B60R 16/02 20060101ALI20240905BHJP
【FI】
G06F21/55
G06F21/57 320
B60R16/02 660U
【請求項の数】
14
(21)【出願番号】P 2023131554
(22)【出願日】2023-08-10
【審査請求日】2023-12-19
【早期審査対象出願】
(73)【特許権者】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】平野 亮
(72)【発明者】
【氏名】今本 吉治
(72)【発明者】
【氏名】安齋 潤
【審査官】田名網 忠雄
(56)【参考文献】
【文献】特開2018-062320(JP,A)
【文献】特開2022-048019(JP,A)
【文献】特開2012-212391(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06F 21/57
G06F 9/455
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両に備えられる車載システムに搭載される監視装置であって、前記車載システムのセキュリティ異常を検知する監視部と、
前記監視部が前記セキュリティ異常を検知した場合、第1の動作モードから、前記第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置と、
前記第2の動作モードに切り替わった後に、前記車載システムの前記セキュリティ異常を解消するためのソフトウェアの更新が完了したことを契機に、前記第2の動作モードから前記第1の動作モードに切り替える正常システム制御装置とを備え、
前記緊急システム制御装置は、前記第1の動作モードに含まれる機能のセキュリティ状態と、前記第2の動作モードに含まれる機能のセキュリティ状態とを確認し、前記第1の動作モードと前記第2の動作モードとに共通して含まれる機能に前記セキュリティ異常が発生している場合、前記第1の動作モードから前記第2の動作モードへは切り替えできないと判断する、
監視装置。
【請求項2】
前記第2の動作モードは、前記第1の動作モードに含まれる機能の少なくとも一部を含まず、
前記ソフトウェアの更新機能を含む動作モードである、
請求項1に記載の監視装置。
【請求項3】
前記第2の動作モードは、前記車載システムの外部から更新用の前記ソフトウェアを受信するための外部通信機能、診断通信機能、メディア通信機能のうち少なくとも1つと、
前記ソフトウェアの更新機能と、
受信した前記ソフトウェアを検証するための署名検証機能とを含む動作モードである、
請求項1に記載の監視装置。
【請求項4】
前記緊急システム制御装置は、前記第2の動作モードに切り替わることにより前記第1の動作モードが停止した時の前記車両の安全状態に関する条件、前記車両のユーザによる切り替えに対する同意の取得状態に関する条件、及び、前記第2の動作モードに含まれる機能のセキュリティ状態に関する条件のうち、少なくとも1つの条件により前記第1の動作モードから前記第2の動作モードへの切り替えの可否を判断する、請求項1に記載の監視装置。
【請求項5】
車両に備えられる車載システムに搭載される監視装置であって、
前記車載システムのセキュリティ異常を検知する監視部と、
前記監視部が前記セキュリティ異常を検知した場合、第1の動作モードから、前記第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置と、
前記第2の動作モードに切り替わった後に、前記車載システムの前記セキュリティ異常を解消するためのソフトウェアの更新が完了したことを契機に、前記第2の動作モードから前記第1の動作モードに切り替える正常システム制御装置とを備え、
前記緊急システム制御装置は、前記第1の動作モードに含まれる機能のセキュリティ状態と、前記第2の動作モードに含まれる機能のセキュリティ状態とを確認し、前記第1の動作モードのみに含まれる機能の前記セキュリティ異常が検出された後に前記第2の動作モードに含まれる機能の前記セキュリティ異常が検出された場合、第1の動作モードから第2の動作モードへ切り替えできると判断する、
監視装置。
【請求項6】
前記ソフトウェアの更新機能では、前記第2の動作モードに切り替わることにより前記第1の動作モードが停止した時の前記車両の安全状態に関する条件、前記車両のユーザによる切り替えに対する同意の取得状態に関する条件、前記第2の動作モードに含まれる機能のセキュリティ状態に関する条件、前記ソフトウェアの更新に必要なシステムのセキュリティ状態に関する条件、前記ソフトウェアの更新に必要なシステムの前記第2の動作モードへの切り替え状況に関する条件のうち、少なくとも1つの条件により前記ソフトウェアの更新可否を判断する、請求項1に記載の監視装置。
【請求項7】
前記正常システム制御装置は、前記ソフトウェアの更新の実行結果に関する条件、前記第1の動作モードに切り替わることにより前記第2の動作モードが停止した時の前記車両の安全状態に関する条件、前記車両のユーザによる切り替えに対する同意の取得状態に関する条件のうち、少なくとも1つの条件により第1のモードに切り替えができるかどうか判断する、請求項1に記載の監視装置。
【請求項8】
前記緊急システム制御装置は、(a)前記第1の動作モード用の電子制御装置と前記第2の動作モード用の電子制御装置とを用いて実施する、(b)前記第1の動作モード用の仮想マシンと前記第2の動作モード用の仮想マシンとを用いて実施する、(c)前記第1の動作モード用のコンテナと前記第2の動作モード用のコンテナとを用いて実施する、(d)前記第1の動作モード用のアプリケーション及びサービスと前記第2の動作モード用のアプリケーション及びサービスとを用いて実施する、ならびに、(e)前記第1の動作モード用のセキュリティ設定と前記第2の動作モード用のセキュリティ設定とのうち少なくとも1つの手段で前記第1の動作モード及び前記第2の動作モードを択一的に実施する、請求項1に記載の監視装置。
【請求項9】
前記車載システムは、電子制御装置と接続され、
前記電子制御装置のセキュリティ状態又は第2の動作モードへの切り替え状態に応じて、動作モードを切り替える、又は、前記ソフトウェアを更新する、
請求項1に記載の監視装置。
【請求項10】
前記車載システムは、外部サーバー又は電子制御装置と接続され、
前記外部サーバー又は電子制御装置から受信した前記第1の動作モードへの切り替え要求又は前記第2の動作モードへの切り替え要求に応じて、動作モードを切り替える、
請求項1に記載の監視装置。
【請求項11】
前記車載システムは、外部サーバー又は電子制御装置と接続され、
前記外部サーバー又は電子制御装置へ前記第1の動作モードへの切り替え要求又は前記第2の動作モードへの切り替え要求を送信する、
請求項1に記載の監視装置。
【請求項12】
前記車載システムは、表示部を備え、前記表示部は、動作モードを前記第2の動作モードに切り替えた場合に、前記第2の動作モードが稼働中であることを表示する、
請求項1~11のいずれか1項に記載の監視装置。
【請求項13】
車載システムに搭載される監視装置によって実行される監視方法であって、前記車載システムのセキュリティ異常を検知するステップと、
前記セキュリティ異常を検知した場合、第1の動作モードから、前記第1の動作モードとは異なる第2の動作モードへ切り替えるステップと、
前記第2の動作モードに切り替わった後に、前記車載システムのソフトウェアの更新が完了したことを契機に、前記第2の動作モードから前記第1の動作モードに切り替えるステップと、
前記第2の動作モードへ切り替えるステップでは、前記第1の動作モードに含まれる機能のセキュリティ状態と、前記第2の動作モードに含まれる機能のセキュリティ状態とを確認し、前記第1の動作モードと前記第2の動作モードとに共通して含まれる機能に前記セキュリティ異常が発生している場合、前記第1の動作モードから前記第2の動作モードへは切り替えできないと判断する、
監視方法。
【請求項14】
請求項13に記載の監視方法をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、監視装置、監視方法、及び、プログラムに関する。
【背景技術】
【0002】
近年の車両では、外部との情報の送受信が可能となっており、例えば、このような情報の送受信によって、情報端末を用いて車両の施開錠及びエンジン始動をすることが可能になるデジタルキーシステムも開発されている。車両との情報の送受信が可能になったことから、車両に対するサイバー攻撃が行われることも増えている。これに対して、車載ネットワークのインシデントレベルに応じて縮退処理を実行し、セキュリティレベルに応じて縮退状態からの復旧方法を選択するというサイバー攻撃への対策に関する技術が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-141318号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
一方で、上記のような、車載ネットワークにおいて縮退処理を実行したり縮退状態からの復旧方法を選択したりするのみでは、サイバー攻撃への対策として十分でなかった。
【0005】
上記に鑑みて、本開示は、車両によるより適切なサイバー攻撃への対策が実現可能な監視装置等を提供することを目的とする。
【課題を解決するための手段】
【0006】
本開示の一態様に係る監視装置は、車両に備えられる車載システムに搭載される監視装置であって、前記車載システムのセキュリティ異常を検知する監視部と、前記監視部が前記セキュリティ異常を検知した場合、第1の動作モードから、前記第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置と、前記第2の動作モードに切り替わった後に、前記車載システムの前記セキュリティ異常を解消するためのソフトウェアの更新が完了したことを契機に、前記第2の動作モードから前記第1の動作モードに切り替える正常システム制御装置とを備える。
【0007】
また、本開示の一態様に係る監視方法は、車載システムに搭載される監視装置によって実行される監視方法であって、前記車載システムのセキュリティ異常を検知するステップと、前記セキュリティ異常を検知した場合、第1の動作モードから、前記第1の動作モードとは異なる第2の動作モードへ切り替えるステップと、前記第2の動作モードに切り替わった後に、前記車載システムのソフトウェアの更新が完了したことを契機に、前記第2の動作モードから前記第1の動作モードに切り替えるステップとを含む。
【0008】
また、本開示の一態様は、上記に記載の情報処理方法をコンピュータに実行させるためのプログラムとして実現することもできる。
【0009】
なお、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0010】
本開示によれば、車両によるより適切なサイバー攻撃への対策が実現可能となる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
(開示の基礎となった知見)
背景技術の欄において説明したように、近年、車両がインターネット等の通信網に接続可能になることで、車両と外部とで情報の送受信が可能になっている。そして、多くの人が高度な情報処理を実行できるスマートフォン及びタブレット端末等の情報端末を所有しており、このような情報端末を用いて、車両の操作をする等の目的で、情報端末から車両にアクセスして情報を送受信することが増えている。一方で、このような情報の送受信には、悪意のある情報の送受信も含まれ、そのために車両に対してサイバー攻撃を試みる者もある。
背景技術の欄において説明したように、近年、車両がインターネット等の通信網に接続可能になることで、車両と外部とで情報の送受信が可能になっている。そして、多くの人が高度な情報処理を実行できるスマートフォン及びタブレット端末等の情報端末を所有しており、このような情報端末を用いて、車両の操作をする等の目的で、情報端末から車両にアクセスして情報を送受信することが増えている。一方で、このような情報の送受信には、悪意のある情報の送受信も含まれ、そのために車両に対してサイバー攻撃を試みる者もある。
【0013】
サイバー攻撃下では、緊急用の車載システムの稼働が保証されないため安全性の保証ができないことがある。具体的には、緊急通信、診断、OTA/リプログラミング等が稼働しないことによって車両の危殆化を通知できない、車両の危殆化を把握できない、車両の危殆化から復旧できないという問題が生じる。このように、車載システムに侵入した攻撃者によって、ソフトウェア(以下単にSWと記載する場合がある)の更新機能が停止され、危殆化状態から容易には復旧できない場合がある。
【0014】
以上をまとめると、サイバー攻撃などによる車両の異常が検知されてからOTAなどでのSWの更新が実施され復旧が可能になるまでの期間において、車両安全性を確保することが求められている。そのため、サイバー攻撃を受けたとしても、暫定的に車両の動作を持ちこたえさせる技術が必要となる。
【0015】
そこで、本願開示では、車両において、第1のモードである正常システムを稼働させて、通常時の車両の動作を実現しつつ、サイバー攻撃等のセキュリティ異常が検知されると、第2のモードである緊急システムを稼働させて、緊急システムが稼働しているときにSWの更新を行い、そのようなSWの更新が行われたことを条件として再び正常システムの稼働に移行させる。つまり、本願開示では、正常システム及び緊急システムを切り替えて稼動させながら、サイバー攻撃が発生してもSWの更新(暫定的な車両の動作)を行い、再び正常システムでの稼働につなげる(車両の危殆化から復旧)ことを行う。
【0016】
より具体的には、本開示の第1態様に係る監視装置は、車両に備えられる車載システムに搭載される監視装置であって、車載システムのセキュリティ異常を検知する監視部と、監視部がセキュリティ異常を検知した場合、第1の動作モードから、第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置(異常システム制御部)と、第2の動作モードに切り替わった後に、車載システムのセキュリティ異常を解消するためのSWの更新が完了したことを契機に、第2の動作モードから第1の動作モードに切り替える正常システム制御装置(正常システム制御部)とを備える。
【0017】
このような監視装置によれば、セキュリティ異常の発生時に、第2の動作モードに切り替えることで、第2の動作モードに含まれない機能の脆弱性をついた攻撃の影響を低減させるとともに、脆弱性を修正させうるSWの更新を受け付けて、これを行うことができた場合に、再び、第1の動作モードに移行できる。その結果、車両の安全性を向上できるため、車両によるより適切なサイバー攻撃への対策が実現できる。
【0018】
また、例えば、本開示の第2態様に係る監視装置は、第1態様に係る監視装置であって、第2の動作モードは、第1の動作モードに含まれる機能の少なくとも一部を含まず、SWの更新機能を含む動作モードである。
【0019】
これによれば、セキュリティ異常の発生時にSWの更新を受け付けることが可能な第2の動作モードに切り替えることで、第1の動作モードに含まれていながら第2の動作モードには含まれない機能の脆弱性をついた攻撃を抑制するとともに、そのような脆弱性が修正されたSWの更新を受け付けることができるため、車両の安全性を向上できる。
【0020】
また、例えば、本開示の第3態様に係る監視装置は、第1又は第2態様に係る監視装置であって、第2の動作モードは、車載システムの外部から更新用のSWを受信するための外部通信機能、診断通信機能、メディア通信機能のうち少なくとも1つと、SWの更新機能と、受信したSWを検証するための署名検証機能とを含む動作モードである。
【0021】
これによれば、SWの更新の経路を1以上有することで、当該経路を用いて更新用のSWを取得することができる。また、SWの更新の経路が2以上有れば、1つの経路が異常であっても、他の経路で更新用のSWを取得できる。
【0022】
また、例えば、本開示の第4態様に係る監視装置は、第1~第3態様のいずれか1態様に係る監視装置であって、緊急システム制御装置は、第2の動作モードに切り替わることにより第1の動作モードが停止した時の車両の安全状態に関する条件、車両のユーザによる切り替えに対する同意の取得状態に関する条件、及び、第2の動作モードに含まれる機能のセキュリティ状態に関する条件のうち、少なくとも1つの条件により第1の動作モードから第2の動作モードへの切り替えの可否を判断する。
【0023】
これによれば、車両が安全でない場合や、ユーザの同意が取得できない場合や、第2の動作モードの機能が異常な場合など、第2の動作モードに切り替えることが適切でない場合であるか否かを切り替え前に確認することで安全に第2の動作モードに切り替えることができる。
【0024】
また、例えば、本開示の第5態様に係る監視装置は、第1~第4態様のいずれか1態様に係る監視装置であって、緊急システム制御装置は、第1の動作モードに含まれる機能のセキュリティ状態と、第2の動作モードに含まれる機能のセキュリティ状態とを確認し、セキュリティ異常が検出された機能の組み合わせに基づいて、第1の動作モードから第2の動作モードへの切り替え可否を判断する。
【0025】
これによれば、第2の動作モードの一部の機能に異常が発生していない場合であっても、例えば、第1の動作モードと第2の動作モードとで同じ機能に異常が発生している場合に、これらの機能において共通に利用する共通領域に異常が発生していると判断し、そのような場合は第2の動作モードにも影響している可能性があり安全でないため第2の動作モードに切り替えないことができる。
【0026】
また、例えば、本開示の第6態様に係る監視装置は、第1~第5態様のいずれか1態様に係る監視装置であって、緊急システム制御装置は、第1の動作モードに含まれる機能のセキュリティ状態と、第2の動作モードに含まれる機能のセキュリティ状態とを確認し、セキュリティ異常が検出された順番に基づいて、第1の動作モードから第2の動作モードへの切り替え可否を判断する。
【0027】
これによれば、セキュリティ異常が検出された順番に基づいて、第1の動作モードの機能の異常が原因で第2の動作モードの機能に異常が発生していることが推定できる場合に、第2の動作モードにセキュリティ異常が検出されていても、第2の動作モード単独であればこのような影響が生じない可能性が高いため、第2の動作モードに切り替えることができる。
【0028】
また、例えば、本開示の第7態様に係る監視装置は、第1~第6態様のいずれか1態様に係る監視装置であって、SWの更新機能では、第2の動作モードに切り替わることにより第1の動作モードが停止した時の車両の安全状態に関する条件、車両のユーザによる切り替えに対する同意の取得状態に関する条件、第2の動作モードに含まれる機能のセキュリティ状態に関する条件、SWの更新に必要なシステムのセキュリティ状態に関する条件、SWの更新に必要なシステムの第2の動作モードへの切り替え状況に関する条件のうち、少なくとも1つの条件によりSWの更新可否を判断する。
【0029】
これによれば、車両が安全でない場合や、ユーザの同意が取得できない場合や、第2の動作モードの機能が異常な場合や、SW更新システムが異常でありSWの更新によって不正なSWが導入されてしまう可能性がある場合など、SWの更新が適切でない場合であるか否かを更新前に確認することで安全にSWの更新を行うことができる。
【0030】
また、例えば、本開示の第8態様に係る監視装置は、第1~第7態様のいずれか1態様に係る監視装置であって、正常システム制御装置は、SWの更新の実行結果に関する条件、第1の動作モードに切り替わることにより第2の動作モードが停止した時の車両の安全状態に関する条件、車両のユーザによる切り替えに対する同意の取得状態に関する条件のうち、少なくとも1つの条件により判断する。
【0031】
これによれば、SWの更新に失敗した場合や、車両が安全でない場合や、ユーザの同意が取得できない場合など、第1の動作モードに切り替えることが適切でない場合であるか否かを切り替え前に確認することで安全に第1の動作モードに切り替えることができる。
【0032】
また、例えば、本開示の第9態様に係る監視装置は、第1~第8態様のいずれか1態様に係る監視装置であって、緊急システム制御装置は、(a)第1の動作モード用の電子制御装置と第2の動作モード用の電子制御装置とを用いて実施する、(b)第1の動作モード用の仮想マシンと第2の動作モード用の仮想マシンとを用いて実施する、(c)第1の動作モード用のコンテナと第2の動作モード用のコンテナとを用いて実施する、(d)第1の動作モード用のアプリケーション及びサービスと第2の動作モード用のアプリケーション及びサービスとを用いて実施する、ならびに、(e)第1の動作モード用のセキュリティ設定と第2の動作モード用のセキュリティ設定とのうち少なくとも1つの手段で第1の動作モード及び第2の動作モードを択一的に実施する。
【0033】
これによれば、ホットスタンバイやコールドスタンバイで準備された冗長構成を用いることで、第2の動作モードへの切り替えができる。あるいは、アクセスコントロールやファイアウォールなどのセキュリティ設定を変更することで、冗長構成を用いずにSWの更新に限定するなどした動作モードを実現することができる。
【0034】
また、例えば、本開示の第10態様に係る監視装置は、第1~第9態様のいずれか1態様に係る監視装置であって、車載システムは、電子制御装置と接続され、電子制御装置のセキュリティ状態又は第2の動作モードへの切り替え状態に応じて、動作モードを切り替える、又は、SWを更新する。
【0035】
これによれば、電子制御装置としてのゲートウェイECUなどに異常が発生していない場合や、当該ゲートウェイECUが第2の動作モードに切り替わっている場合に、このようなゲートウェイECUの状態から安全に第1の動作モード及び第2の動作モードの一方から他方への切り替え、ならびに、SWの更新の適否を判断して、適切な場合にのみこれらを実行することができる。
【0036】
また、例えば、本開示の第11態様に係る監視装置は、第1~第10態様のいずれか1態様に係る監視装置であって、車載システムは、外部サーバー又は電子制御装置と接続され、外部サーバー又は電子制御装置から受信した第1の動作モードへの切り替え要求又は第2の動作モードへの切り替え要求に応じて、動作モードを切り替える。
【0037】
これによれば、外部サーバー又は電子制御装置である、統合ECU以外の装置でセキュリティ異常が発生した場合に、当該装置からの要求により第2の動作モードに切り替えることで当該装置から統合ECUへの攻撃の波及を抑制することができ、安全にSWの更新ができる。また、当該装置でセキュリティ異常が解消された場合に、当該装置からの要求により正常システムに切り替えることができる。また、外部サーバーから動作モードの切り替え要求を受信して切り替えすることで、他の車両で発生したセキュリティ異常や、市場で発生したセキュリティ異常を元に、統合ECUに異常が発生する前に第2の動作モードに切り替えできる。
【0038】
また、例えば、本開示の第12態様に係る監視装置は、第1~第11態様のいずれか1態様に係る監視装置であって、車載システムは、外部サーバー又は電子制御装置と接続され、外部サーバー又は電子制御装置へ第1の動作モードへの切り替え要求又は第2の動作モードへの切り替え要求を送信する。
【0039】
これによれば、統合ECUでセキュリティ異常が発生した場合に、統合ECU以外の外部サーバー又は電子制御装置を第2の動作モードに切り替えることで攻撃の波及を抑制することができ、安全にソフトウェアの更新ができる。また、統合ECUのセキュリティ異常が解消された場合に、統合ECU以外の外部サーバー又は電子制御装置を第1の動作モードに切り替えることができる。また、外部サーバーへ第2の動作モードへの切り替え要求を通知することで、外部サーバーを介して同一のソフトウェアを利用する他の車両に対して同様に第2の動作モードへの切り替えを要求できる。
【0040】
また、例えば、本開示の第13態様に係る監視装置は、第1~第12態様のいずれか1態様に係る監視装置であって、車載システムは、表示部を備え、表示部は、動作モードを第2の動作モードに切り替えた場合に、第2の動作モードが稼働中であることを表示する。
【0041】
これによれば、搭乗者に第2の動作モードが稼働中であることを表示することで、第1の動作モードと第2の動作モードとの含まれる機能差分の機能制限が行われていること、及び、異常が発生していることを警告できる。これにより、ユーザが安全に路肩に停車したり、駐車場に駐車したり、ディーラーに持ち込むなどの対応を行うことができる。
【0042】
また、本開示の第14態様に係る監視方法は、車載システムに搭載される監視装置によって実行される監視方法であって、車載システムのセキュリティ異常を検知するステップと、セキュリティ異常を検知した場合、第1の動作モードから、第1の動作モードとは異なる第2の動作モードへ切り替えるステップと、第2の動作モードに切り替わった後に、車載システムのソフトウェアの更新が完了したことを契機に、第2の動作モードから第1の動作モードに切り替えるステップとを含む。
【0043】
これによれば、上記に記載の監視装置と同様の効果を奏することができる。
【0044】
また、本開示の第15態様に係るプログラムは、上記に記載の監視方法をコンピュータに実行させるためのプログラムである。
【0045】
これによれば、コンピュータを用いて上記に記載の監視装置と同様の効果を奏することができる。
【0046】
さらに、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
【0047】
以下、実施の形態について、図面を参照しながら具体的に説明する。なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。なお、各図は模式図であり、必ずしも厳密に図示されたものではない。また、各図において、実質的に同一の構成に対しては同一の符号を付し、重複する説明は省略又は簡略化される場合がある。
【0048】
また、以下の説明において、第1及び第2等の序数が要素に付けられている場合がある。これらの序数は、要素同士を互いから識別するために要素に付けられており、意味のある順序に必ずしも対応しない。これらの序数は、適宜、入れ替えられてもよいし、新たに付与されてもよいし、取り除かれてもよい。
【0049】
(実施の形態)
[構成]
はじめに、実施の形態に係る監視システムの全体の構成を示す概略図である。監視システムは、監視装置が搭載された車両900と、各種のサーバーとを含む。図中に示すように、本実施の形態では、監視装置を機能的に実装している車載システム100が、車両900に搭載されている。車両900は、インターネット等のネットワーク150を介してOTAサーバー200及び監視サーバー300に接続されている。車載システム100は、監視装置の機能の他に、車両900の運転に関する機能や運転支援に関する機能、自動運転に関する機能などを実現する、複数の情報処理装置によって構成されている。
[構成]
はじめに、実施の形態に係る監視システムの全体の構成を示す概略図である。監視システムは、監視装置が搭載された車両900と、各種のサーバーとを含む。図中に示すように、本実施の形態では、監視装置を機能的に実装している車載システム100が、車両900に搭載されている。車両900は、インターネット等のネットワーク150を介してOTAサーバー200及び監視サーバー300に接続されている。車載システム100は、監視装置の機能の他に、車両900の運転に関する機能や運転支援に関する機能、自動運転に関する機能などを実現する、複数の情報処理装置によって構成されている。
【0050】
OTAサーバー200は、車載システム100上で実行されるSWの更新に必要なパッケージを、当該車載システム100へと配布するサーバー装置である。
【0051】
監視サーバー300は、車両900からセキュリティ異常のログを収集するサーバー装置である。監視サーバー300は、複数の車両900を管理するセキュリティ監視センターなどで利用される。セキュリティ監視センターとは、セキュリティ異常を把握して、このような異常への暫定対応、及び、恒久対応について取り組む組織によって運営されている。なお、監視サーバー300が、後述する緊急システムへの切り替えを指示してもよい。このようにすることで、脆弱性が含まれていたり、異常が検出されたりした車両900とは別の車両900において、同じSWを有する場合に、異常が検出される前に緊急モードに切り替えるよう指示をすることができる。
【0052】
図2は、実施の形態に係る車載システムの構成を示す概略図である。図2では、車載システム100を実現するハードウェアとしての複数のECUが示されている。ゲートウェイECU91は、ネットワーク150などの外部ネットワーク通信や車内ネットワーク通信のルーティング及びフィルタリングなどのゲートウェイ機能を有する。
【0053】
統合ECU99は、メーター、インフォテインメントシステム、ヘッドアップディスプレイ、リアシートエンターテイメント、先進運転機能などの各種機能が統合されたECUである。ECUの統合は、部品点数、軽量化、ソフト更新の容易性の利点がある。統合ECU99は、ゲートウェイECU91の機能を備えてもよい。その場合、統合ECU99は、ネットワーク150に、無線LANなどを介して直接的に接続可能であり、ゲートウェイECU91が備えられる必要はない。
【0054】
ZoneECU93及び94は、車両900に設けられた複数のセンサーやアクチュエーターの制御に関するECUである。例えば、ZoneECU93及び94は、ステアリングECU95、ブレーキECU96、フロントカメラECU97、及び、リアカメラECU98に接続されている。ステアリングECU95、ブレーキECU96、フロントカメラECU97、及び、リアカメラECU98は、それぞれ、ステアリング、ブレーキ、フロントカメラ、及び、リアカメラを制御するECUである。なお、ECU間の接続には、イーサネット(登録商標)及びCANが用いられるが、このような接続の方式に特に限定はない。
【0055】
図3は、実施の形態に係る監視装置の機能構成を示すブロック図である。図3では、統合ECU99のより詳細な構成について示している。本実施の形態では、統合ECU99は、正常システムの稼働に関する正常システム領域70、緊急システムの稼働に関する緊急システム領域80、及び、正常システムと緊急システムとの両方の稼働に関する共通領域50を構成している。
【0056】
正常システム領域70は、緊急システムに必要ではないアプリケーション及びサービス群(つまり、これらのアプリケーション及びサービス群によって実現される機能)を含む。正常システム領域70には、アプリ部71、及び、サービス部72が含まれる。アプリ部71は、メーター、インフォテインメントシステム、ヘッドアップディスプレイ、リアシートエンターテイメント、先進運転機能などを提供する(つまり、このような機能を実現するための)アプリケーションである。アプリ部71は、外部通信を利用するサービスや第3者開発のアプリケーションを多く含み、脆弱性が含まれる可能性が高い構成でもある。サービス部72は、アプリ部71が必要とするシステムサービス群である。
【0057】
緊急システム領域80は、緊急システムだけに必要なアプリケーションやサービス群(つまり、これらのアプリケーション及びサービス群によって実現される機能)を含む。緊急システム領域80には、緊急通知機能や車両900のユーザへの警告機能などを含んでもよい。また、緊急システム領域80は、正常システム領域70とは独立して構成されているため、正常システム領域70を介して緊急システム領域80に対して攻撃を仕掛けることが困難なようになっている。さらに、緊急システムは、正常システムに比べて実行されるSWのコードサイズや複雑性が低く、脆弱性が含まれる可能性が低い。
【0058】
緊急システム領域80には、SW通信部81、SW更新制御部82、SW更新判断部83、及び、署名検証部84が含まれる。SW通信部81は、以降に更新する予定のSWが含まれる更新パッケージをOTAサーバー200又はゲートウェイECU91から取得する。このような更新パッケージには電子署名が付与されている。署名検証部84は、更新パッケージに含まれる電子署名が正規の署名であることを検証する。SW更新制御部82は、更新パッケージにより、導入済のSW、パッケージ内のSWで書き換え等することにより更新する。なお、SW更新制御部82によるSWの更新は、上書き更新でもよいが、2面更新でもよい。また、SWの更新は、セキュリティ異常を解消するための更新、すなわち、セキュリティ異常の解消を目的とした、手段としての更新であればよい。そのため、SWの更新後に結果的にセキュリティ異常が解消されていない場合も含まれうる。あるいは、セキュリティ異常の解消までをも検証するために、SWの更新後に結果としてセキュリティ異常が解消されたか否かを判定し、セキュリティ異常が解消されたことを以てSWの更新が完了したとしてもよい。SW更新判断部83は、SWを更新する条件を満たすか否かの判断に必要な情報を収集して収集した情報により、条件を満たすか否かを判断する。SW更新判断部83の詳細については、後述する。なお、緊急システム(つまり緊急システム領域80の各構成)はTrusted Execution Environmentのような信頼領域に配置されてもよい。これにより、緊急システムそのものをより信頼できる。
【0059】
共通領域50は、正常システムと緊急システムとの両方に共通で必要なアプリケーションやサービス群(つまり、これらのアプリケーション及びサービス群によって実現される機能)を含む。言い換えると、正常システムの機能は、正常システム領域70及び共通領域50に含まれるアプリケーションやサービス群で決まり、緊急システムの機能は、緊急システム領域80及び共通領域50に含まれるアプリケーションやサービス群で決まる。
【0060】
共通領域50には、監視部51、緊急システム切り替え判断部52、正常システム切り替え判断部53、車両状態収集部54、セキュリティ状態収集部55、メディア通信部56、車両構成保存部57、緊急システム制御部58、正常システム制御部59、外部通信部60、車内通信部61、及び、診断通信部62が含まれる。
【0061】
監視部51は、車載システム状態を監視してセキュリティ異常を検出する。監視部51の詳細は後述する。なお、監視部51は、Trusted Execution Environmentのような信頼領域に配置されてもよい。これにより、より信頼できる監視結果が得られる。
【0062】
車両構成保存部57は、緊急システムの稼働に必要な構成要素を記憶する記憶装置である。車両構成保存部57には、緊急システム切り替え方法及びSW更新経路が記憶される。なお、緊急システムの構成要素と緊急システム切り替え方法の詳細についても後述する。SW更新経路としては、統合ECU99以外のSW更新経路が記憶される。例えば、ゲートウェイECU91がOTAサーバー200から更新パッケージを取得して、統合ECU99に配布する場合、SW更新経路は、OTAサーバー200、ゲートウェイECU91、統合ECU99の順である。さらに、ゲートウェイECU91にセキュリティ異常が発生している場合、ゲートウェイECU91から配布される更新パッケージが安全である保証がなくなってしまうため、ゲートウェイECU91のセキュリティ状態や緊急システムへの切り替え状況などを確認して安全である場合にのみSWを更新するために利用してもよい。
【0063】
緊急システム切り替え判断部52は、緊急システムへの切り替えをする条件を満たすか否かの判断に必要な情報を収集して収集した情報により、条件を満たすか否かを判断する。緊急システム切り替え判断部52の詳細については、後述する。
【0064】
緊急システム制御部58は、緊急システムへの切り替えを行う。緊急システムへの切り替え方法については後述する。
【0065】
正常システム切り替え判断部53は、正常システムの切り替えをする条件を満たすか否かの判断に必要な情報を収集して収集した情報により、条件を満たすか否かを判断する。正常システム切り替え判断部53の詳細については、後述する。
【0066】
正常システム制御部59は、正常システムへの切り替えを行う。正常システムへの切り替え方法については後述する。
【0067】
車両状態収集部54は、車内通信部61経由で、車両900の速度又は充電状態を車両状態として収集し、速度が0km/h又は充電中であることを確認する。さらに、車両状態収集部54は、ユーザ・ドライバが搭乗中であり、ステアリングを握っていることを確認する。
【0068】
セキュリティ状態収集部55は、監視部51が検出したセキュリティ異常のログを収集する。さらに、ゲートウェイECU91など統合ECU99以外のECUのセキュリティ異常も収集してもよい。
【0069】
外部通信部60は、車外のサーバーやシステムと接続して、SWの更新パッケージの取得や、監視サーバー300への異常の通知や、緊急システムへの切り替え指示などの通信を行う。
【0070】
車内通信部61は、車内のECUと接続して、SWの更新パッケージの取得や、監視サーバー300への異常の通知や、緊急システムへの切り替え指示などの通信を行う。SWの更新パッケージの取得や、監視サーバー300への異常の通知や、緊急システムへの切り替え指示などはゲートウェイECUを介して実施される場合は車内通信部61にてこれらの通信が実施される。
【0071】
メディア通信部56は、カード状又はスティック状の半導体メモリなどの外部接続メディアと接続された場合にこれらの外部接続メディアから情報の読み出し、及び、書き込みなどの通信を行う。メディア通信部56を介した通信によるSWの更新が可能である。
【0072】
診断通信部62は、OBD2などイーサネット経由での診断セッションや通信内容を管理する。診断通信部62を介して診断コマンドによるSWの更新が可能である。
【0073】
図4Aは、実施の形態に係る監視装置の処理の概略を説明するための図である。図4Bは、実施の形態に係る監視装置の処理の概略を説明するための図である。図4Cは、実施の形態に係る監視装置の処理の概略を説明するための図である。
【0074】
図4Aでは、監視装置の処理の1つである「緊急システムへの切り替え判断」の概略を示している。図4Aに示すように、緊急システムへの切り替え判断においては、セキュリティ状態収集部55によって収集されたセキュリティ状態と、車両状態とを用いて、切り替え方法の定義及び緊急システムへの切り替え条件を参照して、緊急システムへの切り替えをすべきか否かを判定する。その結果、判定結果として緊急システムへの切り替えをすべきか否かを示す「切り替えOK/NG」の情報と、切り替えの際の「切り替え方法」とが出力される。
【0075】
図4Bでは、監視装置の処理の1つである「SWの更新判断」の概略を示している。図4Bに示すように、SWの更新判断においては、セキュリティ状態収集部55によって収集されたセキュリティ状態と、車両状態と、SW更新通知とを用いて、SW更新条件を参照して、SWの更新をすべきか否かを判定する。その結果、判定結果としてSWの更新をすべきか否かを示す「SW更新OK/NGの情報」が出力される。
【0076】
図4Cでは、監視装置の処理の1つである「正常システムへの切り替え判断」の概略を示している。図4Cに示すように、正常システムへの切り替え判断においては、SW更新OK/NGの情報と、車両状態とを用いて、切り替え方法の定義及び正常システムへの切り替え条件を参照して、正常システムへの切り替えをすべきか否かを判定する。その結果、判定結果として正常システムへの切り替えをすべきか否かを示す「切り替えOK/NG」の情報が出力される。
【0077】
図5は、実施の形態に係るセキュリティ異常の例を示す図である。統合ECU99の監視部51が出力するセキュリティ異常は、セキュリティ状態収集部55によって収集される。監視アルゴリズムは問わないが、異常モジュールや異常な範囲、異常検知時刻を特定できるような監視アルゴリズムが採用されるとよい。例えば、事前に設定されたリソースへのアクセスのみを許可するSELinux(登録商標)のポリシーが適用されている場合、許可外のリソースにアクセスを試みた場合に強制アクセスコントロールの違反となり、違反を犯したアプリケーションに異常が発生していることがわかる。監視部51は、該当アプリが異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。
【0078】
また、セキュアブートやランタイムのSWの完全性検証が失敗した場合、該当SWや設定ファイルが改ざんされた可能性があり、検証対象のサービスに異常が発生していることが疑われるため、監視部51は、該当サービスが異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。
【0079】
また、ネットワーク侵入検知システムなどで不正な外部通信や車内通信が検出された場合、不正な通信を送信した送信元と通信する外部通信部60又は車内通信部61に異常が発生していることが疑われるため、監視部51は、外部通信部60又は車内通信部61が異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。
【0080】
また、メディア接続試行が何回も実施されたなど不正なメディア通信が検出された場合、メディア通信部56に異常が発生していることが疑われるため、監視部51は、メディア通信部56が異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。
【0081】
また、診断セッションで利用されるセキュリティアクセスなど認証に失敗した場合、診断通信部62に異常が発生していることが疑われるため、監視部51は、診断通信部62が異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。
【0082】
また、署名検証に失敗した場合、署名検証部84に異常が発生していることが疑われるため、監視部51は、署名検証部84が異常であると判定し、異常のログを出力してセキュリティ状態収集部55に収集させる。以上の例のようにして、監視部51は、異常モジュールを特定する。
【0083】
また、例えば、正常システム領域70の少なくとも1つのモジュールが異常である場合に正常システムを異常と判定し、緊急システム領域80の少なくとも1つのモジュールが異常である場合に緊急システムを異常と判定する。以上の例のようにして、監視部51は、異常である範囲を特定する。
【0084】
また、例えば、時刻1に正常システム領域70に異常が発生し、その後、時刻2に緊急システム領域80に異常が発生した場合、監視部51は、異常の発生順序を特定できる。
【0085】
また、統合ECU99以外の他のECUについてのセキュリティ異常を監視部51が出力して、セキュリティ状態収集部55によって収集してもよい。
【0086】
他のECUに搭載される監視部が出力するセキュリティ異常を車内通信部61経由で受信してもよい。この場合、他のECUにも、統合ECU99に搭載される監視部51と同様の構成が搭載される。また、リモートアテステーション機能等によって、統合ECU99から他のECUの構成やセキュリティ状態を受信してもよい。この場合、他のECUには、リモートアテステーション機能への応答機能が搭載される。
【0087】
図6は、実施の形態に係る緊急システムの実行に要求される構成の例を示す図である。図6では、車両構成保存部57に記憶される緊急システムの構成要素の一例が示されている。例えば、図中の「アプリ部」は、緊急システムに不要であり、条件不問であることが示されている。また、図中の「SW更新制御部」は、緊急システムに必要であり、条件不問であることが示されている。また、図中の「外部通信部」は、緊急システムに必要であるが、外部通信部が正常な場合に限って必要である、との条件が示されている。「外部通信部」に異常が発生している場合に、異常な「外部通信部」を含めずに緊急システムを稼働させることができるため安全である。
【0088】
ここで、緊急システムの構成要素は、1パターンに決定されるが、2以上のパターンであってもよい。例えば、「アプリ部」のみを不要とする「第1の緊急システム」と、「アプリ部」と「サービス部」とを不要とする「第2の緊急システム」など緊急システムを複数パターン設けて、段階をつけるようにしてもよい。これにより、正常システムから緊急システムへの切り替えを行うことによる機能的な影響を小さくできる。
【0089】
図7は、実施の形態に係る緊急システムへの切り替え方法の例を示す図である。図7では、車両構成保存部57に記憶される緊急システムの切り替え方法の一例として、セキュリティ異常が発生した場合の緊急システムへの切り替え方法が記載されている。
【0090】
緊急システムへの切り替え方法は静的に一つに決定されてもよく、複数の切り替え可能な方法を備えてもよい。採用の列は、緊急システム制御部58が、どの切り替え方法であるかを判断するために利用できる。例えば、方法ID7と方法ID8との切り替え方法が、Yesであり、切り替え方法として採用される。
【0091】
また、例えば、方法ID1の場合、図中に示されるようにECU自体を冗長化して保持する。冗長化されたECUは、正常時から立ち上げられる。方法ID2の場合、図中に示されるようにECUを冗長化して保持するものの、方法ID1とは異なり、冗長化されたECUは、異常時に立ち上げられる。
【0092】
また、例えば、方法ID3の場合、図中に示されるように仮想マシンを冗長化して保持する。冗長化された仮想マシンは、正常時から立ち上げられる。方法ID4の場合、図中に示されるように仮想マシンを冗長化して保持するものの、方法ID3とは異なり、冗長化された仮想マシンは異常時に立ち上げられる。
【0093】
また、方法ID5の場合、図中に示されるようにコンテナを冗長化して保持する。冗長化されたコンテナは、正常時から立ち上げられる。方法ID6の場合、図中に示されるようにコンテナを冗長化して保持するものの、方法ID5とは異なり、冗長化されたコンテナは、異常時に立ち上げられる。
【0094】
一方、方法ID1~方法ID6の冗長化の例に対して、車載システムなどの組み込み機器の場合、計算リソースが限られており冗長化できない場合がある。この場合、方法ID7から方法ID10の方法で緊急システムに切り替えることができる。
【0095】
例えば、方法ID7の場合、同一のシステムにおいて、正常システムが緊急システムの動作に影響与えないようにアクセス制御のポリシーを変更する。その際、必要であれば再起動する。これによって、正常システムの一部に脆弱性があり、乗っ取られた場合であっても緊急システムに必要なリソースを保護できる。
【0096】
また、例えば、方法ID8の場合、同一のシステムにおいて、正常システムが緊急システムの動作に影響与えないようにファイアウォールのポリシーを変更する。その際、必要であれば再起動する。これによって、正常システムの一部に脆弱性があり、乗っ取られた場合であっても緊急システムに必要な通信の妨害や改ざんを抑制することができる。例えば、外部通信はOTAサーバー200に限定し、それ以外の通信はブロックするなどのポリシーに変更するなどすればよい。
【0097】
また、例えば、方法ID9の場合、ハイパーバイザーの設定変更により、緊急システムに切り替える。例えば、緊急システムでは特定の仮想マシン間通信を利用しない場合、仮想マシン間通信を受け付けないなどで実施することができる。これによって、仮想マシン自体で対応することなくハイパーバイザーの設定のみで切り替えを実施することができる。
【0098】
また、例えば、方法ID10の場合、同一のシステムにおいて、正常システムが緊急システムの動作に影響与えないように、正常システムのアプリケーション・サービスを停止する。その際、必要であれば再起動する。これによって、正常システムの一部に脆弱性がある場合であっても、脆弱性があるアプリやサービスを停止させることができる。
【0099】
また、正常システムへの切り替え方法は、緊急システムの切り替え方法の反対手順で処理を行えばよい。例えば、方法ID1に対応する正常システムへの切り替え方法の場合、緊急システムを動作させるECU又はSoCを冗長構成で動作させ、異常発生時に正常ECU又はSoCを停止又はアクセス不可に設定し、冗長ECU又はSoCに切り替えていた場合、緊急システムのECU又はSoCを停止又はアクセス不可に設定し、元の正常システムのECU又はSoCに切り替える。
【0100】
また、例えば、方法ID8に対応する正常システムへの切り替え方法の場合、緊急システムは正常システムと同居し、異常発生時に緊急システムのみがOTAサーバー200とのみ通信可能なファイアウォールポリシーを有効にする。また、緊急システムに切り替えていた場合、元の正常システムが通信可能なファイアウォールポリシーに変更する。
【0101】
図8は、実施の形態に係る緊急システムへの切り替え条件の例を示す図である。図8では、緊急システム切り替え条件として、監視部51がセキュリティ異常を検知した場合に、緊急システムに切り替える際の条件が記載されている。
【0102】
緊急システム切り替え判断部52は、緊急システムの切り替え条件判断に必要な情報を収集して、条件に従って判断する。ここでは、セキュリティ異常の発生が緊急システムの切り替え条件確認の起点であるとして説明するが、ゲートウェイECU91など他のECUのセキュリティ異常が発生した場合や、ゲートウェイECU91など他のECUや、監視サーバー300からの要求を起点として緊急システムの切り替え条件確認を実施してもよい。
【0103】
図中において、採用の列が「必須」の場合はAND条件であり、「任意」の場合はオプション条件であるが、これらは一例であり、少なくとも1つの条件に一致している場合に緊急システムに切り替えてもよい。
【0104】
条件ID1、条件ID2、及び、条件ID3の条件は、統合ECU99の監視部51が出力するセキュリティ異常から判定できる。条件ID4、及び、条件ID5は車両状態収集部54において収集された情報又はグラフィカルユーザーインターフェース等の外部入力を用いて取得された情報から判定できる。
【0105】
グラフィカルユーザーインターフェースは、本実施の形態の統合ECU99の構成図に含まれていないが、統合ECU99は、インフォテインメントシステムなどを備えることもあり、その場合はグラフィカルユーザーインターフェースやドライバとの干渉機能を有する。なお、条件確認方法は図中に記載された通りであるが、これに限らない。
【0106】
条件ID1を確認することで、SW更新制御部82が異常でないことを検証できるため、緊急システムに切り替えたあと、安全にSWを更新できる。もしSW更新制御部82が異常である場合、攻撃者によって不正なSWに更新させられる可能性がある。
【0107】
条件ID2を確認することで、署名検証部84が異常でないことを検証できるため、緊急システムに切り替えたあと、安全にSWを更新できる。もし署名検証部84が異常である場合、攻撃者によって不正なSWに更新させられる可能性がある。
【0108】
条件ID3を確認することで、SWが配信される通信経路に異常がないことを検証できるため、緊急システムに切り替えたあと、安全にSWを更新できる。もし通信経路に異常がある場合、攻撃者によって不正なSWに更新させられる可能性がある。また、条件ID3では、緊急システムの外部通信部60、メディア通信部56、診断通信部62の3種類の異常をそれぞれ確認するため、いずれか一つが異常であった場合、異常でない他の2種類のモジュールをSWの更新に利用することで、緊急システムに切り替えたあと、安全にSWを更新できる。また、条件ID3では、緊急システムの外部通信部60、メディア通信部56、診断通信部62の3種類の異常をそれぞれ確認し、すべてが異常であった場合、緊急システムに切り替えない。これにより、異常なモジュールを含む状態で安全でない可能性のあるSWの更新を止めることができる。
【0109】
条件ID4を確認することで、緊急システムに切り替えた場合の車両900への影響を判断できる。例えば、高速走行中にメーターディスプレイ表示機能を停止すると危険であるため、車両900が停止中であることを確認することで安全を担保できる。また、ドライバがステアリングを握っていない状態で、自動走行モード機能を停止すると危険であるため、ドライバがステアリングを握っていることを確認することで、安全を担保できる。
【0110】
条件ID5を確認することで、緊急システムに切り替えることに対してドライバから承諾を得ることができるため、ドライバが意図しない状況での緊急システムへの唐突な切り替えを防ぐことができる。なお、緊急システムに切り替えたことをドライバや監視サーバー300に通知してもよく、他のECUに通知してもよい。これにより、車両900が異常であることをドライバやセキュリティオペレーションセンターが認識できる。さらに、他のECUや監視サーバー300に緊急システムに切り替えるように要求してもよい。これにより、他のECUや監視サーバー300を介して他の車両900を緊急システムに切り替えることで、より安全にSWを更新できる。
【0111】
なお、異常の発生の順番に基づいて、緊急システムへの切り替えを判断してもよい。時刻1に正常システム領域70に異常が発生し、その後、時刻2に緊急システム領域80に異常が発生した場合、異常の発生順序を特定できる。この場合、時刻1に発生した異常が原因となり、時刻2の異常が発生したと考えられる。つまり、正常システムを止めて、緊急システムだけを起動した場合には発生しない異常である可能性があるため、このような場合には、緊急システムの稼働を許可してもよい。
【0112】
また、異常の発生の組み合わせに基づいて、緊急システムへの切り替えを判断してもよい。正常システム領域70に異常が発生し、共通領域50に異常が発生している場合、共通領域50は緊急システムでも利用するため、緊急システムの起動を禁止してもよい。
【0113】
また、セキュリティ異常に深刻度を定義し、深刻度をもとに緊急システムへの切り替えを判断してもよい。これにより、重大なセキュリティ異常が発生した場合にのみ緊急システムを起動できる。
【0114】
図9は、実施の形態に係るソフトウェアの更新条件の例を示す図である。図9では、緊急システムに切り替わった後、OTAサーバー200からSW更新通知を受信した場合のSW更新条件が記載されている。SW更新判断部83は、SWを更新する条件判断に必要な情報を収集して、条件に従って判断する。
【0115】
ここでは、OTAサーバー200からSW更新通知を受信したことを起点として説明するが、ゲートウェイECU91など他のECUからの要求を起点としてもよい。
【0116】
採用の列が「必須」の場合はAND条件であり、「任意」の場合はオプション条件であるが、これらは一例であり、少なくとも1つの条件に一致している場合にSWの更新を実施してもよい。
【0117】
条件ID1、及び、条件ID2は、車両状態収集部54が収集した情報又は、グラフィカルユーザーインターフェースを用いて取得する情報から判定できる。
【0118】
条件ID3は、OTAサーバー200に問い合わせて、車両900の車両IDに紐づくライセンス契約を確認することで取得できる。車両900の車両IDは、ドライバ又は車両900に対してユニークな車両である。
【0119】
条件ID4、条件ID5、及び、条件ID6の条件は、統合ECU99の監視部51が出力するセキュリティ異常から判定できる。また、OTAシステムや診断システムが異常であることは、他のECUに搭載される監視部が出力するセキュリティ異常から判定できる。この場合、他のECUにも、統合ECU99に搭載される監視部51と同じ構成が搭載される。
【0120】
また、リモートアテステーション機能等によって、統合ECU99から他のECUの構成やセキュリティ状態を検証してもよい。この場合、他のECUには、リモートアテステーション機能への応答機能が搭載される。
【0121】
なお、条件確認方法は図中に記載された通りであるがこれに限らない。
【0122】
条件ID1を確認することで、緊急システムに切り替えた場合の車両900への影響を判断できる。例えば、高速走行中にメーターディスプレイ表示機能を停止すると危険であるため、停止中であることを確認することで安全を担保できる。
【0123】
また、ドライバがステアリングを握っていない状態で、自動走行モード機能を停止すると危険であるため、ドライバがステアリングを握っていることを確認することで、安全を担保できる。
【0124】
条件ID2を確認することで、緊急システムに切り替えることに対してドライバから承諾を得ることができるため、ドライバが意図しない状況での緊急システムへの唐突な切り替えを抑制することができる。
【0125】
条件ID3を確認することで、SWライセンスが期間外である場合に、ユーザにSWを更新できない旨を通知又はライセンスの更新を促すことができる。
【0126】
条件ID4、条件ID5、及び、条件ID6を確認することで、SWが配信される通信経路に異常がないことを検証できるため、緊急システムに切り替えたあとに通信経路に異常が発生した場合にSW更新を停止できる。もし通信経路に異常がある場合、攻撃者によって不正なSWに更新させられる可能性がある。さらに、OTAシステムや診断システム全体が緊急システムに切り替わっていることを確認することで、脆弱性が含まれるアプリ・サービスが稼働する可能性が低くなるため、攻撃される可能性をより低くできる。
【0127】
【0128】
正常システム切り替え判断部53は、正常システムの切り替え条件判断に必要な情報を収集して、条件に従って判断する。ここでは、SWの更新を実施したことを起点として説明するが、ゲートウェイECU91など、他のECUや、監視サーバー300、OTAサーバー200からの要求を起点としてもよい。
【0129】
採用の列が「必須」の場合はAND条件であり、「任意」の場合はオプション条件であるが、これらは一例であり、少なくとも1つの条件に一致している場合にSWの更新を実施してもよい。
【0130】
条件ID1は、SW更新制御部82がSWの更新が成功したかどうかの結果から判定できる。
【0131】
条件ID2、及び、条件ID3は、車両状態収集部54が収集した情報又は、グラフィカルユーザーインターフェースを用いて取得する情報から判定できる。
【0132】
条件ID1を確認することで、SWの更新に失敗した場合であっても、SWの更新に成功するまで緊急システムの稼働を継続できる。
【0133】
条件ID2を確認することで、SWを更新した場合の車両900への影響を判断できる。例えば、高速走行中にメーターディスプレイ表示機能を停止すると危険であるため、停止中であることを確認することで安全を担保できる。また、ドライバがステアリングを握っていない状態で、SWの更新を実施すると危険であるため、ドライバがステアリングを握っていることを確認することで、安全を担保できる。
【0134】
条件ID3を確認することで、SW更新に対してドライバから承諾を得ることができるため、ドライバが意図しない状況での唐突なSWの更新を抑制することができる。
【0135】
また、SW更新の対象は、車載システム100のいずれかのECU、統合ECU99、正常システム領域70、異常システム領域70、共通領域50のいずれか一つであってもよい。
【0136】
【0137】
図11では、緊急システム切り替え判断部52の処理の一例が示されている。図中に示すように、監視部51がセキュリティ異常を受信した後(ステップS101)、緊急システム切り替え判断部52は、車両状態が安全であるか否か(ステップS102)、ユーザ同意を取得済みであるか否か(ステップS103)、SW更新制御部82及び署名検証部84が正常であるか否か(ステップS104)、外部通信部60、メディア通信部56及び診断通信部62が正常であるか否か(ステップS105)をそれぞれ判定する。この判定の順序に特に限定はない。車両状態が安全であり(ステップS102でYes)、ユーザ同意を取得済みであり(ステップS103でYes)、SW更新制御部82及び署名検証部84が正常であり(ステップS104でYes)、外部通信部60、メディア通信部56及び診断通信部62が正常であると判定された場合(ステップS105でYes)、緊急システムへの切り替えを行う(ステップS106)。一方で、いずれか1つでも条件を満たさなかった場合、ステップS102~ステップS105の少なくとも1つでNo)、緊急システムへの切り替えを行わず、例えば、縮退モードに変更する(ステップS107)。縮退モードとは、車両900の走る、曲がる、止まるに影響する部分の機能を残して、その他の機能を制限するモードである。縮退モードでは、SWの更新機能などの機能も停止され、車載システムへの影響が大きいといえる。
【0138】
図12では、SWの更新判断部の処理の一例が示されている。図中に示すように、SWの更新指示を受信すると(ステップS201)、SW更新判断部83は、車両状態が安全であるか否か(ステップS202)、ユーザ同意を取得済みであるか否か(ステップS203)、外部通信部60、メディア通信部56及び診断通信部62が正常であるか否か(ステップS204)、OTAシステム/経路、及び、診断システム/経路が正常であるか否か(ステップS205)、をそれぞれ判定する。この判定の順序に特に限定はない。車両状態が安全であり(ステップS202でYes)、ユーザ同意を取得済みであり(ステップS203でYes)、外部通信部60、メディア通信部56及び診断通信部62が正常であり(ステップS204でYes)、OTAシステム/経路、及び、診断システム/経路が正常であると判定された場合(ステップS205でYes)、SWの更新を行う(ステップS206)。一方で、いずれか1つでも条件を満たさなかった場合、ステップS202~ステップS205の少なくとも1つでNo)、SWの更新を行わない(ステップS207)。
【0139】
図13では、正常システム切り替え判断部53の処理の一例が示されている。図中に示すように、SWの更新結果を受信すると(ステップS301)、正常システム切り替え判断部53は、車両状態が安全であるか否か(ステップS302)、ユーザ同意を取得済みであるか否か(ステップS303)、SWの更新結果が成功であるか否か(ステップS304)をそれぞれ判定する。この判定の順序に特に限定はない。車両状態が安全であり(ステップS302でYes)、ユーザ同意を取得済みであり(ステップS303でYes)、SWの更新結果が成功であると判定された場合(ステップS304でYes)、正常システムへの切り替えを行う(ステップS305)。一方で、いずれか1つでも条件を満たさなかった場合、ステップS302~ステップS304の少なくとも1つでNo)、正常システムへの切り替えを行わず、緊急システムの稼働を維持する(ステップS306)。
【0140】
【0141】
図14では、「緊急システムへの切り替え判断」の処理における情報の送受信の例が示されている。図中に示すように、まず、監視部51が緊急システム切り替え判断部52へと異常検知結果を送信する(ステップS401)。緊急システム切り替え判断部52では、送信された異常検知結果を取得する(ステップS402)。また、セキュリティ状態収集部55がセキュリティ状態を収集し、緊急システム切り替え判断部52へと送信する(ステップS403)。緊急システム切り替え判断部52では、送信されたセキュリティ状態を取得する(ステップS404)。また、車両状態収集部54が車両状態を収集し、緊急システム切り替え判断部52へと送信する(ステップS405)。緊急システム切り替え判断部52では、送信された車両状態を取得する(ステップS406)。そして、緊急システム切り替え判断部52は、緊急システムへの切り替えの判断をする(ステップS407)。緊急システム切り替え判断部52は、緊急システムへの切り替えの判断結果に応じて、緊急システムへの切り替えを指示する(ステップS408)。この指示情報が緊急システム制御部58へと送信されることで、緊急システム制御部58が緊急システムへの切り替えを行う(ステップS409)。
【0142】
図15では、「SWの更新判断」の処理における情報の送受信の例が示されている。図中に示すように、まず、OTAサーバー200が外部通信部60へとSWの更新指示を送信する(ステップS501)。外部通信部60では、送信されたSWの更新指示を取得し、SW更新判断部83へと送信する(ステップS502)。SW更新判断部83では、送信されたSWの更新指示を取得する(ステップS503)。また、セキュリティ状態収集部55がセキュリティ状態を収集し、SW更新判断部83へと送信する(ステップS504)。SW更新判断部83では、送信されたセキュリティ状態を取得する(ステップS505)。また、車両状態収集部54が車両状態を収集し、SW更新判断部83へと送信する(ステップS506)。SW更新判断部83では、送信された車両状態を取得する(ステップS507)。そして、SW更新判断部83は、SWの更新可否を判断する(ステップS508)。SW更新判断部83は、SWの更新可否の判断結果に応じて、SWの更新を指示する(ステップS509)。この指示情報がSW更新制御部82へと送信されることで、SW更新制御部82がSWの更新を行う(ステップS510)。
【0143】
図16では、「SWの更新判断」の処理における情報の送受信の例が示されている。本例は、図15に示す例に比べて、SWの更新の起点が異なる以外に差異は無いので、異なる点について述べる。図中に示すように、まず、診断システムが診断通信部62へとSWの更新指示を送信する(ステップS601)。診断通信部62では、送信されたSWの更新指示を取得し、SW更新判断部83へと送信する(ステップS602)。以降の処理は、図15と同じであるため説明を省略する。
【0144】
図17では、「SWの更新判断」の処理における情報の送受信の例が示されている。本例は、図15に示す例に比べて、SWの更新の起点が異なる以外に差異は無いので、異なる点について述べる。図中に示すように、まず、外部メディアがメディア通信部56へとSWの更新指示を送信する(ステップS701)。メディア通信部56では、送信されたSWの更新指示を取得し、SW更新判断部83へと送信する(ステップS702)。以降の処理は、図15と同じであるため説明を省略する。
【0145】
図18では、「正常システムへの切り替え判断」の処理における情報の送受信の例が示されている。図中に示すように、まず、SW更新制御部82が正常システム切り替え判断部53へとSW更新結果を送信する(ステップS801)。正常システム切り替え判断部53では、送信されたSW更新結果を取得する(ステップS802)。また、セキュリティ状態収集部55がセキュリティ状態を収集し、正常システム切り替え判断部53へと送信する(ステップS803)。正常システム切り替え判断部53では、送信されたセキュリティ状態を取得する(ステップS804)。また、車両状態収集部54が車両状態を収集し、正常システム切り替え判断部53へと送信する(ステップS805)。正常システム切り替え判断部53では、送信された車両状態を取得する(ステップS806)。そして、正常システム切り替え判断部53は、正常システムへの切り替えの判断をする(ステップS807)。正常システム切り替え判断部53は、正常システムへの切り替えの判断結果に応じて、正常システムへの切り替えを指示する(ステップS808)。この指示情報が正常システム制御部59へと送信されることで、正常システム制御部59が正常システムへの切り替えを行う(ステップS809)。
【0146】
図19は、実施の形態に係る緊急システム動作時の表示例を示す図である。図19では、インフォテインメントシステム等のユーザインタフェースといった表示部10が例示されている。図19に示すように、緊急システムに切り替わっており、正常システムでない期間には、表示部10に「緊急システム稼働中」などと表示することにより、緊急システムの稼働中であることをドライバ等に対して表示する。これにより、正常システムに比べて機能制限中であることや、異常が発生していることなどをドライバに知らせるとともに、車両900の運転において一層の注意を促すことが可能となる。その結果、安全に路肩に停車したり、駐車場に駐車したり、ディーラーなどの修理機関に持ち込むなどの対応をとることができる。
【0147】
【0148】
図20では、ECUを冗長化して、第1統合ECU99aと第2統合ECU99bとを保持する構成を示している。ここでは、正常システム時から2つのECUを保持している。
【0149】
第1統合ECU99aの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、第1統合ECU99aを停止する。また、第2統合ECU99bの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、第1統合ECU99aを起動する。なお、ECUの冗長化において、第1統合ECU99aと第2統合ECU99bとを保持し、正常時は第1統合ECU99aのみを起動してもよい。
【0150】
第1統合ECU99aの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、第2統合ECU99bを起動し、第1統合ECU99aを停止する。また、第2統合ECU99bの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、第1統合ECU99aを起動し、第2統合ECU99bを停止する。なお、ECUの切り替え時には、車載システムが正常に稼働するように、IPアドレスなどのネットワーク設定を変更してもよい。
【0151】
図21では、仮想化プラットフォーム99cを用いて正常システム仮想マシン70aと緊急システム仮想マシン80aとを保持する構成を示している。ここでは、正常システム時から2つの仮想マシンを起動している。
【0152】
正常システム仮想マシン70aの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、正常システム仮想マシン70aを停止する。また、緊急システム仮想マシン80aの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、緊急システム仮想マシン80aを起動する。なお、仮想化プラットフォーム99cを用いて正常システム仮想マシン70aと緊急システム仮想マシン80aとを保持し、正常時は正常システム仮想マシン70aのみを起動してもよい。
【0153】
正常システム仮想マシン70aの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、緊急システム仮想マシン80aを起動し、正常システム仮想マシン70aを停止する。また、緊急システム仮想マシン80aの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、正常システム仮想マシン70aを起動し、緊急システム仮想マシン80aを停止する。なお、仮想マシンの切り替え時には、車載システムが正常に稼働するように、IPアドレスなどのネットワーク設定を変更してもよい。
【0154】
図22では、コンテナ技術を用いてホストOS99d上に正常システムコンテナ70bと緊急システムコンテナ80bとを保持する。ここでは、正常システム時から2つのコンテナを起動している。
【0155】
正常システムコンテナ70bの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、正常システムコンテナ70bを停止する。また、緊急システムコンテナ80bの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、緊急システムコンテナ80bを起動する。なお、コンテナ技術を用いて正常システムコンテナ70bと緊急システムコンテナ80bとを保持し、正常時は正常システムコンテナ70bのみを起動してもよい。
【0156】
正常システムコンテナ70bの緊急システム切り替え判断部52が緊急システムへの切り替えを判断した場合、緊急システムコンテナ80bを起動し、正常システムコンテナ70bを停止する。また、緊急システムコンテナ80bの正常システム切り替え判断部53が正常システムへの切り替えを判断した場合、正常システムコンテナ70bを起動し、緊急システムコンテナ80bを停止する。なお、コンテナの切り替え時には、車載システムが正常に稼働するように、IPアドレスなどのネットワーク設定を変更してもよい。
【0157】
(その他の実施の形態)
以上、実施の形態について説明したが、本開示は、上記の実施の形態に限定されるものではない。
以上、実施の形態について説明したが、本開示は、上記の実施の形態に限定されるものではない。
【0158】
例えば、上記の実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。
【0159】
また、上記の実施の形態において、各構成要素は、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサなどのプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
【0160】
また、各構成要素は、ハードウェアによって実現されてもよい。例えば、各構成要素は、回路(又は集積回路)でもよい。これらの回路は、全体として1つの回路を構成してもよいし、それぞれ別々の回路でもよい。また、これらの回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。
【0161】
また、上記の実施の形態において、自動車に対するセキュリティ対策として監視装置を用いる例を説明したが、監視装置の適用範囲はこれに限られない。例えば、監視装置は、自動車に限らず、つまり、車両に代えて、建機、農機、船舶、鉄道又は飛行機などのモビリティにも適用してもよい。
【0162】
また、本開示の全般的又は具体的な態様は、装置、装置、方法、集積回路、コンピュータプログラム又はコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよい。また、本開示の全般的又は具体的な態様は、装置、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
【0163】
例えば、本開示は、コンピュータによって実行される監視方法として実現されてもよいし、監視方法をコンピュータに実行させるためのプログラムとして実現されてもよい。本開示は、このようなプログラムが記録されたコンピュータ読み取り可能な非一時的な記録媒体として実現されてもよい。
【0164】
その他、各実施の形態に対して当業者が思いつく各種変形を施して得られる形態、又は、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
【産業上の利用可能性】
【0165】
本開示は、車両の安全な利用という観点で有用である。
【符号の説明】
【0166】
10 表示部
50 共通領域
51 監視部
52 緊急システム切り替え判断部
53 正常システム切り替え判断部
54 車両状態収集部
55 セキュリティ状態収集部
56 メディア通信部
57 車両構成保存部
58 緊急システム制御部
59 正常システム制御部
60 外部通信部
61 車内通信部
62 診断通信部
70 正常システム領域
70a 正常システム仮想マシン
70b 正常システムコンテナ
71 アプリ部
72 サービス部
80 緊急システム領域
80a 緊急システム仮想マシン
80b 緊急システムコンテナ
81 SW通信部
82 SW更新制御部
83 SW更新判断部
84 署名検証部
91 ゲートウェイECU
93,94 ZoneECU
95 ステアリングECU
96 ブレーキECU
97 フロントカメラECU
98 リアカメラECU
99、99a、99b 統合ECU
99c 仮想化プラットフォーム
99d ホストOS
100 車載システム
150 ネットワーク
200 OTAサーバー
300 監視サーバー
900 車両
50 共通領域
51 監視部
52 緊急システム切り替え判断部
53 正常システム切り替え判断部
54 車両状態収集部
55 セキュリティ状態収集部
56 メディア通信部
57 車両構成保存部
58 緊急システム制御部
59 正常システム制御部
60 外部通信部
61 車内通信部
62 診断通信部
70 正常システム領域
70a 正常システム仮想マシン
70b 正常システムコンテナ
71 アプリ部
72 サービス部
80 緊急システム領域
80a 緊急システム仮想マシン
80b 緊急システムコンテナ
81 SW通信部
82 SW更新制御部
83 SW更新判断部
84 署名検証部
91 ゲートウェイECU
93,94 ZoneECU
95 ステアリングECU
96 ブレーキECU
97 フロントカメラECU
98 リアカメラECU
99、99a、99b 統合ECU
99c 仮想化プラットフォーム
99d ホストOS
100 車載システム
150 ネットワーク
200 OTAサーバー
300 監視サーバー
900 車両
【要約】
【課題】車両によるより適切なサイバー攻撃への対策が実現可能な監視装置等を提供する。
【解決手段】監視装置は、車両900に備えられる車載システム100に搭載される監視装置であって、車載システム100のセキュリティ異常を検知する監視部51と、監視部51がセキュリティ異常を検知した場合、第1の動作モードから、第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置(緊急システム制御部58)と、第2の動作モードに切り替わった後に、車載システム100のセキュリティ異常を解消するためのソフトウェアの更新が完了したことを契機に、第2の動作モードから第1の動作モードに切り替える正常システム制御装置(正常システム制御部59)とを備える。
【選択図】図3
【解決手段】監視装置は、車両900に備えられる車載システム100に搭載される監視装置であって、車載システム100のセキュリティ異常を検知する監視部51と、監視部51がセキュリティ異常を検知した場合、第1の動作モードから、第1の動作モードとは異なる第2の動作モードへ切り替える緊急システム制御装置(緊急システム制御部58)と、第2の動作モードに切り替わった後に、車載システム100のセキュリティ異常を解消するためのソフトウェアの更新が完了したことを契機に、第2の動作モードから第1の動作モードに切り替える正常システム制御装置(正常システム制御部59)とを備える。
【選択図】図3
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】