特許 7571844 ログ管理装置及びセンタ装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-10-15

(45)【発行日】2024-10-23

(54)【発明の名称】ログ管理装置及びセンタ装置

(51)【国際特許分類】

   G06F 21/55 20130101AFI20241016BHJP

【ＦＩ】

G06F21/55 320

【請求項の数】 10

(21)【出願番号】P 2023172112

(22)【出願日】2023-10-03

(62)【分割の表示】P 2020120910の分割

【原出願日】2020-07-14

(65)【公開番号】P2023171904

(43)【公開日】2023-12-05

【審査請求日】2023-10-03

(73)【特許権者】

【識別番号】000004260

【氏名又は名称】株式会社デンソー

(74)【代理人】

【識別番号】230120499

【弁護士】

【氏名又は名称】藤江 和典

(74)【代理人】

【識別番号】100201385

【弁理士】

【氏名又は名称】中安 桂子

(72)【発明者】

【氏名】石田 直也

(72)【発明者】

【氏名】江川 万寿三

(72)【発明者】

【氏名】菅島 健司

(72)【発明者】

【氏名】安部 泰司

(72)【発明者】

【氏名】田中 克弥

(72)【発明者】

【氏名】井本 礼一郎

(72)【発明者】

【氏名】長柄 啓悟

【審査官】上島 拓也

(56)【参考文献】

【文献】特開２０１９－０６１７２６（ＪＰ，Ａ）

【文献】特開２０１９－１２５３４４（ＪＰ，Ａ）

【文献】特開２０１８－０３２２５４（ＪＰ，Ａ）

【文献】特開２０１９－０１６２４８（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集するログ収集管理部（１０２）と、
前記ログ収集管理部で収集した前記ログを保存する保存部（１０４）と、
前記車載装置が搭載された車両の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定する外部送信管理部（１０３）と、
前記外部送信管理部で決定した前記ログを送信する送信部（１０５）と、を有するログ管理装置であって、
サイバー攻撃を検知した場合、前記外部送信ルール及び前記内部送信ルールは、前記車載装置を構成する構成要素が定義される層のうちより深い層に位置する前記構成要素で生成された前記ログを送信対象とするよう更新されるとともに、前記内部送信ルールで内部送信対象となった前記ログは、前記外部送信ルールで外部送信対象となった前記ログよりも深い層に位置する前記構成要素で生成されている、
ログ管理装置（１００）。

【請求項2】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集するログ収集管理部（１０２）と、
前記ログ収集管理部で収集した前記ログを保存する保存部（１０４）と、
前記車載装置が搭載された車両の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定する外部送信管理部（１０３）と、
前記外部送信管理部で決定した前記ログを送信する送信部（１０５）と、を有するログ管理装置であって、
前記外部送信ルールが更新された場合、前記外部送信ルールの更新内容に基づき前記内部送信ルールが更新される、
ログ管理装置（１００）。

【請求項3】

前記外部送信ルールで外部送信対象とならずかつ前記内部送信ルールで収集対象となった前記ログが生成された第２の電子制御装置は、前記外部送信ルールで外部送信対象となった前記ログが生成された第１の電子制御装置よりも、下位の層に位置する、
請求項１又は２記載のログ管理装置。

【請求項4】

前記保存部は、前記電子制御装置が前記ログを保存する保存領域よりも記憶容量が大きい、
請求項３記載のログ管理装置。

【請求項5】

さらに、前記センタ装置からの指示を受信する受信部（１０６）を有し、
前記ログ収集管理部及び前記外部送信管理部は、前記指示に基づき、それぞれ前記内部送信ルール及び前記外部送信ルールを書き換える、
請求項１記載のログ管理装置。

【請求項6】

前記指示は、前記センタ装置が前記車載装置においてサイバー攻撃を検知した場合に送信される、
請求項５記載のログ管理装置。

【請求項7】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置で実行されるログ管理方法であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
収集した前記ログを保存し、
前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
決定した前記ログを送信するログ管理方法であって、
サイバー攻撃を検知した場合、前記外部送信ルール及び前記内部送信ルールは、前記車載装置を構成する構成要素が定義される層のうちより深い層に位置する前記構成要素で生成された前記ログを送信対象とするよう更新されるとともに、前記内部送信ルールで内部送信対象となった前記ログは、前記外部送信ルールで外部送信対象となった前記ログよりも深い層に位置する前記構成要素で生成されている、
ログ管理方法。

【請求項8】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置で実行可能なログ管理プログラムであって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
収集した前記ログを保存し、
前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
決定した前記ログを送信するログ管理プログラムであって、
サイバー攻撃を検知した場合、前記外部送信ルール及び前記内部送信ルールは、前記車載装置を構成する構成要素が定義される層のうちより深い層に位置する前記構成要素で生成された前記ログを送信対象とするよう更新されるとともに、前記内部送信ルールで内部送信対象となった前記ログは、前記外部送信ルールで外部送信対象となった前記ログよりも深い層に位置する前記構成要素で生成されている、
ログ管理プログラム。

【請求項9】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置で実行されるログ管理方法であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
収集した前記ログを保存し、
前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
決定した前記ログを送信するログ管理方法であって、
前記外部送信ルールが更新された場合、前記外部送信ルールの更新内容に基づき前記内部送信ルールが更新される、
ログ管理方法。

【請求項10】

車載装置を構成する電子制御装置からログを収集し管理する、車両に搭載されているログ管理装置で実行可能なログ管理プログラムであって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
収集した前記ログを保存し、
前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
決定した前記ログを送信するログ管理プログラムであって、
前記外部送信ルールが更新された場合、前記外部送信ルールの更新内容に基づき前記内部送信ルールが更新される、
ログ管理プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、サイバー攻撃を検知・分析する装置であって、車載装置に設けられているログ管理装置、又はセンタ装置、に関する。

【背景技術】

【0002】

近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。サイバー攻撃に伴い車両のコントロールを失う可能性があるため、サイバー攻撃に対してより強固な防御手段が必要となる。

【0003】

ここで、車両におけるサイバー攻撃に関し、例えば特許文献１には、攻撃の深度に応じて、外部との通信経路、ログの保存先、保存対象のログを変更する装置が開示されている。

【先行技術文献】

【特許文献】

【0004】

【文献】特開２０１９－１２３４４号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

ここで、本発明者は、以下の課題を見出した。
通信機能を備えた車両においては、サイバー攻撃が起きていない状況においても、車両側からセンタ装置に多くのログを送信しているため、常に通信負荷が高い状況に置かれている。

【0006】

本発明は、車両から送信されるログを、必要になる可能性のあるものに絞ることにより、車両側からセンタ装置に送信するログの数を削減することを目的とする。
また、本発明は、必要になる可能性のあるログを適切な場所に保持することにより、ログが消去されないようにすることを目的とする。

【課題を解決するための手段】

【0007】

本開示のログ管理装置（１００）は、
車載装置を構成する電子制御装置からログを収集し管理するログ管理装置であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集するログ収集管理部（１０２）と、
前記ログ収集管理部で収集した前記ログを保存する保存部（１０４）と、
前記車載装置が搭載された車両の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定する外部送信管理部（１０３）と、
前記外部送信管理部で決定した前記ログを送信する送信部（１０５）と、
を有する。

【0008】

なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。

【発明の効果】

【0009】

上述のような構成により、車両側からセンタ装置に送信するログの数を削減することができる。
また、必要になる可能性のあるログが消去されないようにすることができる。

【図面の簡単な説明】

【0010】

【図1】本開示の実施形態のサイバー攻撃検知システムの構成例を示す図

【図2】本開示の実施形態のログ管理装置の構成例を示すブロック図

【図3】本開示の実施形態のセンタ装置の構成例を示すブロック図

【図4】本開示の実施形態の異常ログにおける構成要素及び層を説明する説明図

【図5】本開示の実施形態の正常ログにおける構成要素及び層を説明する説明図

【図6A】本開示の実施形態の外部送信ルールの決定内容を説明する説明図

【図6B】本開示の実施形態の外部送信ルールの決定内容を説明する説明図

【図6C】本開示の実施形態の外部送信ルールの決定内容を説明する説明図

【図7】本開示の実施形態のセンタ装置及びログ管理装置の動作を示すフローチャート

【発明を実施するための形態】

【0011】

以下、本発明の実施形態について、図面を参照して説明する。

【0012】

なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。

【0013】

特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。

【0014】

実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。

【0015】

複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。

【0016】

発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。

【0017】

１．実施形態１
（１）サイバー攻撃検知システムの全体の構成
図１を用いて、サイバー攻撃検知システムの全体構成をまず説明する。

【0018】

サイバー攻撃検知システム１は、「移動体」である車両に「搭載される」車載装置１５０、及びセンタ装置２００から構成される。車載装置１５０は、ログ管理装置１００、単数又は複数の「電子制御装置」（ＥＣＵ（Electric Control Unit）、以下ＥＣＵと略する。）、及びこれらを接続する車載ネットワークから構成される。ログ管理装置１００も、広義のＥＣＵである。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
「電子制御装置」とは、情報を処理し特定の機能を発揮する装置であれば足り、呼称は問わない。例えば、情報処理装置、情報処理回路、制御ユニット、制御装置、計算装置、等と呼ばれる装置でもよい。また、その形態も任意であり、部品の形態として、半導体回路、半導体モジュール、半完成品の形態として電子制御装置、電子制御ユニット、完成品の形態としてサーバ、ワークステーション、パーソナルコンピュータ（ＰＣ）、スマートフォン、携帯電話、ナビゲーションシステム、であってもよい。

【0019】

車載装置１５０は、通信ネットワーク２を介して、センタ装置２００と接続されている。

【0020】

通信ネットワーク２は、無線通信方式の場合、例えば、ＩＥＥＥ８０２．１１（ＷｉＦｉ（登録商標））やＩＥＥＥ８０２．１６（ＷｉＭＡＸ（登録商標））、Ｗ－ＣＤＭＡ（Wideband Code Division Multiple Access）、ＨＳＰＡ（High Speed Packet Access）、ＬＴＥ（Long Term Evolution）、ＬＴＥ－Ａ（Long Term Evolution Advanced）、４Ｇ、５Ｇ等を用いることができる。あるいは、ＤＳＲＣ(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、ＬＡＮ（Local Area Network）やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、車載装置１５０とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置２００との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。

【0021】

（２）車載装置の構成
図２を用いて、本実施形態の車載装置１５０の構成について説明する。

【0022】

車載装置１５０は、ログ管理装置１００、及びログ管理装置１００と車載ネットワークで接続されたＥＣＵ２、ＥＣＵ３、ＥＣＵ４を有する。ＥＣＵ２、ＥＣＵ３、及びＥＣＵ４をまとめて表現する場合は、各ＥＣＵと呼ぶ。
ログ管理装置１００は、制御部１０１、保存部１０４、送信部１０５、及び受信部１０６からなる。

【0023】

車載装置１５０を構成するログ管理装置１００や各ＥＣＵは、汎用のＣＰＵ（Central Processing Unit）、ＲＡＭ等の揮発性メモリ、ＲＯＭ、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図２に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図３で示されるセンタ装置２００においても同様である。
もちろん、これらの装置を、ＬＳＩ等の専用のハードウェアで実現してもよい。

【0024】

ログ管理装置１００は、本実施形態では半完成品としての電子制御装置の形態を想定しているが、これに限らない。例えば、部品の形態としては、半導体回路や半導体モジュール、完成品の形態としては、パーソナルコンピュータ（ＰＣ）、スマートフォン、携帯電話、ナビゲーションシステムが挙げられる。
なお、ログ管理装置１００は、単一のＥＣＵの他、複数のＥＣＵで構成されてもよい。例えば、送信部１０５及び受信部１０６は、通信ＥＣＵが担当してもよい。この場合、ログ管理装置１００は、通信ＥＣＵを含めた複数のＥＣＵで構成される。

【0025】

本実施形態では、ログ管理装置１００を含め、各ＥＣＵはそれぞれ層に属している。図２の場合、ログ管理装置１００が１層目、ＥＣＵ２が２層目ＥＣＵ、ＥＣＵ３が３層目ＥＣＵ、ＵＣＵ４が４層目ＥＣＵとなっている。本明細書では、各ＥＣＵが属している層のことを、「電子制御装置（ＥＣＵ）が定義される層」、と呼ぶ。

【0026】

本実施形態では、外部との接点である通信ＥＣＵを基準としたとき、通信ＥＣＵから離れるにつれて層が深くなるとしている。例えば、通信ＥＣＵを１層目としたとき、通信ＥＣＵと接続されるとともに複数の個別ＥＣＵと接続され個別ＥＣＵを管理するセントラルゲートウェイＥＣＵ（ＣＥＣＵ）が２層目、個別ＥＣＵが３層目以降と定義できる。この他、さらにサブゲートウェイＥＣＵ等を用いて、ドメインやサブネットワークに細分化し、さらなる階層を設けてもよい。本実施形態のログ管理装置１００は、１層目である通信ＥＣＵに含まれる構成としているが、２層目であるＣＥＣＵに含まれる構成としてもよい。

【0027】

車載ネットワークは、例えばＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）といった通信方式の他、Ｅｔｈｅｒｎｅｔ（登録商標）やＷｉ－Ｆｉ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等、任意の通信方式を用いることができる。

【0028】

各ＥＣＵは任意のＥＣＵであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ＥＣＵ同士が並列ではなく、マスターとスレーブとに分類されていてもよい。

【0029】

制御部１０１は、保存部１０４、送信部１０５、及び受信部１０６の動作を制御する。また、制御部１０１は、それ自身で、ログ収集管理部１０２、及び外部送信管理部１０３を実現している。

【0030】

ログ収集管理部１０２は、各ＥＣＵ及びログ管理装置１００自身からログを収集する。収集するログは、内部送信ルールに規定されており、ログ収集管理部は内部送信ルールを参照して各ＥＣＵにログを送信するよう指示する。内部送信ルールとは、ＥＣＵからログ管理装置１００へ送信するログを規定したものである。内部送信ルールは、ログ送信ルールと呼ぶこともある。内部送信ルールの詳細は後述する。

【0031】

ログ収集管理部１０２は、センタ装置２００からの指示に基づき、内部送信ルールを書き換える。

【0032】

保存部１０４は、ログ収集管理部１０２で収集したログを保存する。また、保存部１０４は、内部送信ルールや、次に述べる外部送信ルールを保存してもよい。
保存部１０４は、不揮発性メモリ又は揮発性メモリで構成されている。

【0033】

外部送信管理部１０３は、外部送信ルールを参照して、センタ装置２００に送信するログを決定する。外部送信ルールとは、車載装置１５０の外部へ送信するログを規定したものである。外部送信ルールは、ログアップロードルールと呼ぶこともある。外部送信ルールの詳細は後述する。

【0034】

外部送信管理部１０３は、センタ装置２００からの指示に基づき、外部送信ルールを書き換える。

【0035】

送信部１０５は、外部送信管理部１０３で決定したログを、センタ装置２００にアンテナＡを介して送信する。
なお、外部通信を担当する通信ＥＣＵがログ管理装置１００とは別に設けられている場合は、送信部１０５は通信ＥＣＵにログを送信する。しかし、この場合も送信部１０５は、通信ＥＣＵを介してセンタ装置２００にログを送信することに相違ない。

【0036】

受信部１０６は、センタ装置２００からの指示をアンテナＡを介して受信する。

【0037】

各ＥＣＵ、及びログ管理装置１００は、以下の構成を有する。ただし、全てのＥＣＵにこれらの構成が搭載される必要はない。

【0038】

セキュリティセンサ１１１は、通信または車両の内部処理に異常がないかを監視し、異常があればセキュリティログを生成する。

【0039】

車両制御部１１２は、移動体である車両を制御する。車両制御部が生成するログは正常ログであり定常的にログが生成されるが、異常ログを生成してもよい。定常ログの場合、例えばＣＡＮログやＣＡＮデータがこれにあたる。

【0040】

死活監視部１１３は、セキュリティセンサ１１１や車両制御部１１２が正常に動作していることを監視する。異常があれば、異常ログを生成する。

【0041】

保存領域１１４は、セキュリティセンサ１１１、車両制御部１１２、死活監視部１１３が生成したログを保存する。ログ管理装置１００にセキュリティセンサ１１１、車両制御部１１２、死活監視部１１３が設けられている場合は、保存領域１１４は保存部１０４で代用してもよい。
ログ管理装置１００の保存部１０４は、通常保存領域１１４よりも記憶容量が大きい。

【0042】

ログ通知部１１５は、ログ収集管理部１０２の指示に基づき、ログを保存領域１１４から読み出し、ログ管理装置１００に送信する。もっとも、内部送信ルールを保存領域１１４に保存しておき、ログ収集管理部１０２の指示によらずに自発的に内部送信ルールに規定されたログを送信するようにしてもよい。

【0043】

（３）センタ装置の構成
図３を用いて、本実施形態のセンタ装置２００の構成について説明する。

【0044】

センタ装置２００は、受信部２０１、制御部２０２、保存部２０６、及び送信部２０７を有する。

【0045】

センタ装置２００は、本実施形態では完成品としてのサーバ装置の形態を想定しているが、これに限らない。例えば、完成品の形態として、ワークステーション、パーソナルコンピュータ（ＰＣ）、半完成品の形態としてＥＣＵ、部品の形態として半導体回路素子が挙げられる。

【0046】

受信部２０１は、車載装置１５０から送信された異常ログや正常ログを、アンテナＡを介して受信する。
異常ログとは、異常が発生したときに作動し生成されるログであり、例えば、プロキシログ、ＩＤＳログ、プロセス監視ログ、等が挙げられる。
正常ログとは、定期的に作動し生成されるログであり、例えば、セキュリティセンサ／ＥＣＵの死活監視ログ、ＣＡＮやイーサネット等の車載通信ログ、等が挙げられる。
車載装置１５０から送信されるログは、車載装置１５０の外部へ送信するログを規定した外部送信ルールに基づいて選択されている。外部送信ルールの詳細は後述する。

【0047】

制御部２０２は、受信部２０１、保存部２０６、及び送信部２０７の動作を制御する。また、制御部２０２は、それ自身で、ログ分析部２０３、外部送信ルール更新決定部２０４、及び内部送信ルール更新決定部２０５を実現している。

【0048】

ログ分析部２０３は、受信部２０１で受信したログを分析してサイバー攻撃の発生を検知する。ログの分析方法は、公知の方法を用いることができる。

【0049】

外部送信ルール更新決定部２０４は、ログ分析部２０３がサイバー攻撃を検知した場合、検知結果に基づき外部送信ルールの更新を決定する。より具体的には、外部送信ルールの更新の要否、及び更新が必要であるとした場合の更新内容を決定する。そして、車載装置１５０に対して外部送信ルールの更新を指示するための外部送信ルール更新指示を生成する。外部送信ルールの更新例は後述する。

【0050】

内部送信ルール更新決定部２０５は、ログ分析部２０３がサイバー攻撃を検知した場合、検知結果に基づき内部送信ルールの更新を決定する。より具体的には、内部送信ルールの更新の要否、及び更新が必要であるとした場合の更新内容を決定する。そして、車載装置１５０に対して内部送信ルールの更新を指示するための内部送信ルール更新指示を生成する。

【0051】

内部送信ルールの更新は、必ずしも直接サイバー攻撃の検知結果に基づかなくてもよい。例えば、外部送信ルールの更新内容が決定された場合、外部送信ルールの更新内容に基づき内部送信ルールの更新内容を決定するようにしてもよい。内部送信ルールの詳細は後述する。また、内部送信ルールの更新例は後述する。

【0052】

保存部２０６は、受信部２０１で受信したログを保存する。また、外部送信ルールの更新内容、及び内部送信ルールの更新内容を保存してもよい。
保存部２０６は、不揮発性メモリ又は揮発性メモリで構成されている。

【0053】

送信部２０７は、外部送信ルール更新指示又は／及び内部送信ルール更新指示を、車載装置１５０にアンテナＡを介して送信する。

【0054】

（４）ログの種類、層、及び攻撃深度
本実施形態では、車載装置を構成する「構成要素」が定義される「層」について、構成要素がＥＣＵの場合を挙げたが、この他の構成要素の例として、ＥＣＵが有するセキュリティセンサ、ＯＳＩ参照モデルが挙げられる。あるいは、ログ自体や、ＣＡＮデータ、ＣＡＮＩＤも構成要素となりうる。
ここで、「構成要素」とは、ハードウェア、又はソフトウェア若しくはデータをいい、電子制御装置、セキュリティセンサ、ＯＳＩ参照モデル、ログ、ＣＡＮデータ、ＣＡＮＩＤ等がこれにあたる。
また、「層」とは、「物理的又は機能的に段階をなしていることをいい、前者の例として、外部との接点を有する通信ＥＣＵからの距離、又は通信ＥＣＵからの経路上で経由するポイントの数、後者の例としてマスタスレーブの関係、が挙げられる。

【0055】

図４は、外部送信対象又は内部送信対象が異常ログの場合の構成要素及び層の例示である。図４の場合、構成要素は、ＥＣＵ、ＥＣＵが有するセキュリティセンサ、又は、ＯＳＩ参照モデルとなる。

【0056】

ＥＣＵが構成要素の場合、例えば外部接続ＥＣＵ、セントラルＥＣＵ、内部ＥＣＵを有する場合、それぞれ第１層、第２層、第３層となり、この順で層の深度が深くなる。

【0057】

各ＥＣＵに設けられたセキュリティセンサが構成要素の場合、複数のセキュリティセンサのうち、セキュリティセンサＡ、セキュリティセンサＢの順で層の深度が深くなる。それぞれのセキュリティセンサがどの層に属するか、また層の深度の相対性は機能や監視対象で決めることができる。

【0058】

各セキュリティセンサに含まれるＯＳＩ参照モデルが構成要素の場合、Ｌ２：データリンク層、Ｌ３：ネットワーク層、Ｌ４：トランスポート層、Ｌ７：アプリケーション層の順で層の深度が深くなる。

【0059】

図５は、外部送信対象又は内部送信対象が正常ログの場合の構成要素及び層の例示である。図５の場合、構成要素は、ＥＣＵ、ログの種類、又はＣＡＮＩＤとなる。

【0060】

ＥＣＵが構成要素の場合は、図４と同様である。

【0061】

ログの種類が構成要素の場合は、図４の場合、ＣＡＮログ、ＥＣＵの死活監視結果のログ、セキュリティセンサの死活監視結果のログの順で層の深度が深くなる。それぞれのログがどの層に属するか、また層の深度の相対性は機能や監視対象で決めることができる。

【0062】

ＣＡＮＩＤが構成要素の場合は、ＣＡＮＩＤの識別番号が大きくなるほど、層の深度が深くなる。

【0063】

また、構成要素毎の層の深度の他、図４及び図５に示す通り、構成要素間においても層の深度を定義することができる。例えば、図４において、外部接続ＥＣＵのセキュリティセンサＡのＬ７：アプリケーション層よりも、セントラルＥＣＵのセキュリティセンサＣのＬ２：データリンク層の方が、層の深度が深くなる。

【0064】

（５）外部送信ルールとその更新例
外部送信ルールは、センタ装置２００において、サイバー攻撃を検知するための情報、及びサイバー攻撃を検知した場合にその対応策を講じるための情報をどのレベルまで収集するかという意義がある。

【0065】

そして、サイバー攻撃を検知するためには早期かつ被害が深刻になる前に検知する必要があり、さらに平時において通信量を削減する必要があるため、車載装置１５０を構成する構成要素が定義される層が存在する場合、サイバー攻撃を検知する場合は浅い層のログを収集することが望ましい。

【0066】

これに対して、サイバー攻撃が検知された場合は、被害の拡大を防止するため、サイバー攻撃が検知された層よりも深い層のログも収集し、対応策を講じる必要がある。つまり、サイバー攻撃を検知した場合は、より深い層のログまで収集することが望ましい。

【0067】

以上から、外部送信ルール更新決定部２０４は、サイバー攻撃の「攻撃深度」が深いほど、車載装置１５０を構成する「構成要素」が定義される「層」のうち、より深い層で生成されたログを外部送信対象とする。例えば、車載装置１５０においてサイバー攻撃が発生したＥＣＵが定義される層よりも深い層で生成されたログを外部送信対象とする。
ここで、「攻撃深度」とは、サイバー攻撃の対象となっているＥＣＵの、外部との接点を有する通信ＥＣＵからの距離又は経由するポイントの数の大小の他、車載装置に与える攻撃の深刻度も含む。

【0068】

例えば、図２のようなＥＣＵの構成の場合、外部更新ルール更新決定部２０４は、平時においては１層目のＥＣＵのログを外部送信対象とし、サイバー攻撃を検知した場合は、１層目に加えて２層目及び３層目のＥＣＵのログを外部送信対象とするよう外部送信ルールを更新する。
他の例として、例えば、図２において、外部更新ルール更新決定部２０４は、平時においては１層目のＥＣＵのログを外部送信対象とし、サイバー攻撃を１層目のＥＣＵで検知された場合は、サイバー攻撃が発生した第１層よりも深い層である２層目及び３層目のＥＣＵのログを外部送信対象とするよう外部送信ルールを更新する。

【0069】

また、サイバー攻撃の攻撃深度を攻撃の深刻度まで加味した場合、以下のような内容で更新することもできる。
外部接続ＥＣＵへの攻撃が検知された場合、外部送信ルール更新決定部２０４は、図６のように、攻撃の深刻度によって外部送信ルールの更新内容を決定する。

【0070】

１層目の外部接続ＥＣＵへの攻撃が検知され、１層目が制御を乗っ取られている可能性がある場合（「第１のレベルよりも深い場合」に相当）、図６（Ａ）のように、２層目のセントラルＥＣＵすべてのログを外部送信対象とするよう外部送信ルールを更新する。
１層目の外部接続ＥＣＵへの攻撃が検知され、１層目に侵入されている可能性がある場合（「第１のレベルと第２のレベルの中間の場合」に相当）、図６（Ｂ）のように、２層目のセントラルＥＣＵのうち、セキュリティセンサＣのログを外部送信対象とするよう外部送信ルールを更新する。
１層目の外部接続ＥＣＵへの攻撃が検知され、１層目で不正な通信が見られた場合（「第２のレベルより浅い場合」に相当）、図６（Ｃ）のように、２層目のセントラルＥＣＵのセキュリティセンサＣのうちＯＳＩモデルのＬ４：トランスポート層までのログを外部送信対象とするよう外部送信ルールを更新する。

【0071】

このように、サイバー攻撃の攻撃深度に応じて、異なる構成要素で外部送信対象を決定することにより、サイバー攻撃の状況に応じて適正かつ必要なログを収集することができる。

【0072】

図６は、図４の異常ログの場合の例を示しているが、図５の正常ログにおいても同様の処理を行うことができる。すなわち、サイバー攻撃の攻撃深度に応じて、ＥＣＵ、ログの種類、ＣＡＮＩＤの単位で外部送信対象を決定してもよい。

【0073】

さらに、外部送信ルールに代えて、異常ログ又は正常ログの内部送信ルールも同様の更新方法とすることができる。

【0074】

（６）内部送信ルールとその更新例
内部送信ルールは、各ＥＣＵで収集されたログの保存期間を延長するという意義がある。すなわち、保存部１０４の記憶容量が、各ＥＣＵの保存領域１１４の記憶容量よりも大きいことを利用して、将来サイバー攻撃が検知された場合にその対応策を講じるために必要な情報を予め確保しておくという意義がある。

【0075】

例えば、図２のようなＥＣＵの構成の場合、センタ装置２００の内部送信ルール更新決定部２０５は、平時においては１層目及び２層目のＥＣＵのログを内部送信対象とする。つまり、外部送信ルール更新決定部２０４で決定した外部送信対象よりも深い層で生成されたログを内部送信対象とする。これにより、将来サイバー攻撃が１層目で検知された場合、２層目のＥＣＵのログを過去にさかのぼって取得することが可能になる。

【0076】

また、サイバー攻撃を検知した場合は、内部送信ルール更新決定部２０５は、１層目及び２層目に加えて、３層目のＥＣＵのログを内部送信対象とするよう内部送信ルールを更新する。

【0077】

これをログ管理装置１００の視点で見ると、以下のようになる。
内部送信ルールでログ収集管理部１０２による収集対象（内部送信対象と同じ）となったログは、外部送信ルールで外部送信管理部１０３による外部送信対象となったログよりも多い。つまり、将来サイバー攻撃を検知した場合に備えて、予め外部送信対象となっているログよりも下位の構成要素で生成されたログまで含めて内部送信対象としている。
言い換えれば、外部送信ルールで外部送信対象とならずかつ内部送信ルールで収集対象となったログが生成されたＥＣＵ（「第２の電子制御装置」に相当）は、外部送信ルールで外部送信対象となったログが生成されたＥＣＵ（「第１の電子制御装置」に相当）よりも、下位の層に位置する。

【0078】

（７）方法、プログラム
図７のフローチャートを用いて、本実施形態のログ管理装置１００及びセンタ装置２００の動作について説明する。
なお、以下の動作は、ログ管理装置１００やセンタ装置２００で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図７で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。

【0079】

ログ管理装置１００のログ収集管理部１０２は、内部送信ルールに基づきログを収集する（Ｓ１０１）。

【0080】

保存部１０４は、ログ収集管理部１０２で収集したログを保存する（Ｓ１０２）。

【0081】

外部送信管理部１０３は、外部送信ルールに基づき、センタ装置２００に送信するログを決定する（Ｓ１０３）。

【0082】

送信部１０５は、外部送信管理部１０３で決定したログをセンタ装置２００に送信する（Ｓ１０４）。

【0083】

センタ装置２００の受信部２０１は、ログ管理装置１００から送信されたログを受信する（Ｓ２０１）。

【0084】

ログ分析部２０３は、受信部２０１で受信したログを分析し、サイバー攻撃の発生を検知する（Ｓ２０２）。

【0085】

外部送信ルール更新決定部２０４及び内部送信ルール決定部２０５は、検知結果に基づきそれぞれ外部送信ルール及び内部送信ルールの更新を決定する（Ｓ２０３）。

【0086】

送信部２０７は、外部送信ルール更新指示及び内部送信ルール更新指示を送信する（Ｓ２０４）。

【0087】

ログ管理装置１００の受信部１０６は、外部送信ルール更新指示及び内部送信ルール更新指示を受信し、ログ収集管理部１０２は内部送信ルールを、外部送信管理部１０３は外部送信ルールを、それぞれ書き換える（Ｓ１０５）。

【0088】

２．その他の実施形態
本実施形態では、センタ装置２００が外部送信ルールの更新内容、及び内部送信ルールの更新内容を決定しログ管理装置１００に更新指示を行っているが、これに代えてセンタ装置２００は更新指示を行うのみで、更新内容はログ管理装置１００が決定してもよい。
また、外部送信ルールの更新内容はセンタ装置２００が決定し、内部送信ルールの更新内容はログ管理装置１００が決定するようにしてもよい。

【0089】

３．総括
以上、本発明の各実施形態におけるサイバー攻撃検知システム、ログ管理装置、及びセンタ装置について説明した。

【0090】

各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。

【0091】

実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。

【0092】

各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。

【0093】

各実施形態、及び特許請求の範囲で使用する、第１、第２、乃至、第Ｎ（Ｎは整数）、の用語は、同種の２以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。

【0094】

各実施形態は、車両に搭載される車両用の車載装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。

【0095】

各実施形態では、各実施形態に開示の車載装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。

【0096】

また、本発明のログ管理装置やセンタ装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置（ＥＣＵ（Electric Control Unit））、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ（ＰＣ）、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。

【0097】

また車載装置やセンタ装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。

【0098】

本発明のセンタ装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のセンタ装置が使用され、本発明の方法が使用され、又は／及び本発明のプログラムが実行されることになる。

【0099】

加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用ＣＰＵ及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。

【0100】

専用や汎用のハードウェアの非遷移的実体的記録媒体（例えば、外部記憶装置（ハードディスク、ＵＳＢメモリ、ＣＤ／ＢＤ等）、又は内部記憶装置（ＲＡＭ、ＲＯＭ等））に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。

【産業上の利用可能性】

【0101】

本発明の車載装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。

【符号の説明】

【0102】

１００ ログ管理装置、１０２ ログ収集管理部、１０３ 外部送信管理部、１０４ 保存部、１０５ 送信部、１０６ 受信部、２００ センタ装置、２０１ 受信部、２０３ ログ分析部、２０４ 外部送信ルール更新決定部、２０５ 内部送信ルール更新決定部、２０６ 保存部、２０７ 送信部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6A】

【図6B】

【図6C】

【図7】