知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-27
(45)【発行日】2024-12-05
(54)【発明の名称】異常監視装置および異常監視方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20241128BHJP
【FI】
G06F21/55 320
【請求項の数】
9
(21)【出願番号】P 2022546911
(86)(22)【出願日】2021-07-08
(86)【国際出願番号】 JP2021025869
(87)【国際公開番号】W WO2022049895
(87)【国際公開日】2022-03-10
【審査請求日】2024-04-10
(31)【優先権主張番号】PCT/JP2020/033122
(32)【優先日】2020-09-01
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】平野 亮
(72)【発明者】
【氏名】岸川 剛
(72)【発明者】
【氏名】氏家 良浩
【審査官】青木 重徳
(56)【参考文献】
【文献】特表2017-539018(JP,A)
【文献】特開2019-174426(JP,A)
【文献】特開2019-123337(JP,A)
【文献】国際公開第2019/021922(WO,A1)
【文献】国際公開第2020/080047(WO,A1)
【文献】米国特許出願公開第2019/0356685(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
モビリティを遠隔操作するための遠隔操作システムにおける異常監視装置であって、前記モビリティを遠隔操作する操作装置から操作コマンドの履歴である操作ログを収集し、かつ、前記モビリティに搭載される制御装置から制御コマンドの履歴である制御ログを収集し、前記制御装置から前記モビリティの位置情報の履歴である位置ログを収集するログ収集部と、
前記操作ログおよび前記制御ログの少なくとも1つ、並びに、前記位置ログに基づいて、前記モビリティが異常であるか否かを検知する異常検知部と、
前記異常検知部により前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果、並びに、前記位置ログに基づく異常の有無に応じて、前記モビリティの異常が引き起こされた原因となる攻撃源を複数の攻撃源の中から特定する攻撃源特定部と、
前記攻撃源特定部により特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知部と、を備える、
異常監視装置。
【請求項2】
前記異常検知部は、さらに、前記操作ログおよび前記制御ログのそれぞれの異常の有無を第1のルールに基づいて検知し、前記攻撃源特定部は、さらに、前記操作ログと前記制御ログとが一致しない場合に、前記攻撃源を第一の攻撃源であると特定し、前記操作ログおよび前記制御ログの両方で異常が検知された場合に前記攻撃源を前記第一の攻撃源とは異なる第二の攻撃源であると特定する、
請求項1に記載の異常監視装置。
【請求項3】
前記第1のルールは、さらに、位置ログの異常に関する情報を含み、前記異常検知部は、前記操作ログと前記制御ログと前記位置ログとのそれぞれの異常を前記第1のルールに基づいて検知し、
前記攻撃源特定部は、前記位置ログのみが異常である場合に前記攻撃源を前記第一の攻撃源および前記第二の攻撃源と異なる第三の攻撃源であると特定する、
請求項2に記載の異常監視装置。
【請求項4】
前記第一の攻撃源は、前記操作装置と前記制御装置との通信路で悪意のある操作コマンドが挿入されたことを含み、前記第二の攻撃源は、前記操作装置を利用するオペレータが悪意のある操作コマンドを送信したことを含み、
前記第三の攻撃源は、第三者により前記モビリティが物理的に攻撃されたことを含み、
前記異常通知部は、前記第一の攻撃源と判定された場合に前記制御装置の遠隔制御機能の停止を実施し、前記第二の攻撃源と判定された場合に前記オペレータの前記操作装置へのアクセス権限を破棄し、前記第三の攻撃源と判定された場合に前記制御装置の周囲への警告を実施するための通知を行う、
請求項3に記載の異常監視装置。
【請求項5】
前記ログ収集部は、前記操作ログのハッシュ値、および、前記制御ログのハッシュ値をさらに収集し、前記異常検知部は、前記操作ログのハッシュ値と前記制御ログのハッシュ値とが一致しない場合に異常であると検知する、
請求項1から4のいずれか1項に記載の異常監視装置。
【請求項6】
前記第1のルールは、前記操作ログと前記制御ログとが一致しない場合、前記制御ログに異常が含まれていること示す情報を含む、請求項2または3に記載の異常監視装置。
【請求項7】
前記第1のルールは、前記位置ログが前記制御ログと異なる位置情報の変化を示す情報を含む場合、前記位置ログに異常が含まれていることを示す情報を含む、請求項3に記載の異常監視装置。
【請求項8】
前記攻撃源特定部は、前記操作ログおよび前記制御ログと、第2のルールとに基づいて、前記モビリティの異常が引き起こされた原因となる攻撃源を特定し、前記第2のルールは、同一時刻の前記操作コマンドおよび前記制御コマンドが一致しない場合、前記攻撃源が前記操作装置と前記制御装置との間の通信路であること、および、前記操作ログおよび前記制御ログの両方で異常が検知された場合、前記攻撃源が前記操作装置を利用するオペレータであることを含む、
請求項1に記載の異常監視装置。
【請求項9】
モビリティを遠隔操作するための遠隔操作システムにおける異常監視方法であって、前記モビリティを遠隔操作する前記モビリティに搭載される操作装置から操作コマンドの履歴である操作ログを収集し、かつ、車両制御装置から制御コマンドの履歴である制御ログを収集し、前記車両制御装置から前記モビリティの位置情報の履歴である位置ログを収集するログ収集ステップと、
前記操作ログおよび前記制御ログの少なくとも1つ、並びに、前記位置ログに基づいて、前記モビリティが異常であるか否かを検知する異常検知ステップと、
前記異常検知ステップにおいて前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果、並びに、前記位置ログに基づく異常の有無に応じて、前記モビリティの異常が引き起こされた原因を示す攻撃源を複数の攻撃源の中から特定する攻撃源特定ステップと、
前記攻撃源特定ステップにより特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知ステップと、を含む、
異常監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、モビリティを遠隔操作可能な遠隔操作システムにおける、異常を監視する異常監視装置および異常監視方法に関する。
【背景技術】
【0002】
近年、ドライバの人材不足の解消、事故ゼロ社会の実現等を目的として自動運転車両など自律走行モビリティの導入が期待されている。しかしながら、宅配用途ではドアツードアの自律走行が要求され、高速道路または公道のみならず小道または砂利道などの走行が必要となるため、自律走行モビリティのためのシステム構築の難易度が高い。
【0003】
そこで、完全な自律走行モビリティが実現するまで、モビリティの移動場所に応じてオペレータが遠隔からモビリティを制御する遠隔操作システムが提案されている。
【0004】
遠隔操作システムにおいては、モビリティが異常動作して物損事故または人身事故を起こした場合の事故原因を解析する必要がある。事故原因の1つであるサイバー攻撃を検知する方法として、例えば、特許文献1には、車両内のネットワーク上を流れるフレームを監視して異常を検知する方法が開示されている。
【先行技術文献】
【特許文献】
【0005】
【文献】特許第5664799号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、遠隔操作システムの場合、モビリティ内(例えば、車両内)のネットワーク上で検知された異常フレームがオペレータの異常操作による異常フレームであるか、サイバー攻撃による異常フレームであるかを判定することができないという課題がある。つまり、遠隔操作システムに特許文献1の技術を用いた場合、異常の原因を特定できないことが起こり得る。
【0007】
そこで、本開示は、モビリティにおける異常の原因を特定可能な異常監視装置および異常監視方法を提供する。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本開示の一態様に係る異常監視装置は、モビリティを遠隔操作するための遠隔操作システムにおける異常監視装置であって、前記モビリティを遠隔操作する操作装置から操作コマンドの履歴である操作ログを収集し、かつ、前記モビリティに搭載される制御装置から制御コマンドの履歴である制御ログを収集するログ収集部と、前記操作ログおよび前記制御ログの少なくとも1つに基づいて、前記モビリティが異常であるか否かを検知する異常検知部と、前記異常検知部により前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果に応じて、前記モビリティの異常が引き起こされた原因となる攻撃源を複数の攻撃源の中から特定する攻撃源特定部と、前記攻撃源特定部により特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知部と、を備える。
【0009】
上記課題を解決するために、本開示の一態様に係る異常監視方法は、モビリティを遠隔操作するための遠隔操作システムにおける異常監視方法であって、前記モビリティを遠隔操作する前記モビリティに搭載される操作装置から操作コマンドの履歴である操作ログを収集し、かつ、車両制御装置から制御コマンドの履歴である制御ログを収集するログ収集ステップと、前記操作ログおよび前記制御ログの少なくとも1つに基づいて、前記モビリティが異常であるか否かを検知する異常検知ステップと、前記異常検知ステップにおいて前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果に応じて、前記モビリティの異常が引き起こされた原因を示す攻撃源を複数の攻撃源の中から特定する攻撃源特定ステップと、前記攻撃源特定ステップにより特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知ステップと、を含む。
【発明の効果】
【0010】
本開示の一態様によれば、モビリティにおける異常の原因を特定可能な異常監視装置および異常監視方法を実現することができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
(本開示に至った経緯)
「背景技術」でも記載したように、完全な自律走行モビリティが実現するまで、モビリティの移動場所に応じてオペレータが遠隔からモビリティを制御する(遠隔操作する)遠隔操作システムが提案されている。また、完全な自律走行モビリティの実現後であっても、故障時またはサイバー攻撃時にモビリティの自律走行が危険と判定されることが想定されるので、モビリティを遠隔操作するための遠隔操作システムが必要とされ得る。
「背景技術」でも記載したように、完全な自律走行モビリティが実現するまで、モビリティの移動場所に応じてオペレータが遠隔からモビリティを制御する(遠隔操作する)遠隔操作システムが提案されている。また、完全な自律走行モビリティの実現後であっても、故障時またはサイバー攻撃時にモビリティの自律走行が危険と判定されることが想定されるので、モビリティを遠隔操作するための遠隔操作システムが必要とされ得る。
【0013】
遠隔操作システムにおける事故原因としては、モビリティへの物理攻撃、オペレータの異常操作、サイバー攻撃などが想定される。
【0014】
モビリティへの物理攻撃は、例えば、悪意のある第三者がモビリティに物理的に接近し、モビリティを横転させる攻撃である。オペレータの異常操作は、例えば、悪意のあるオペレータがモビリティを横転させる攻撃である。サイバー攻撃は、例えば、攻撃者がモビリティとオペレータとの通信を偽装してモビリティを横転させる攻撃である。なお、攻撃内容は、モビリティの横転に限定されない。
【0015】
特許文献1の技術では、異常の有無は判定できるものの、当該異常の原因までを特定できないことが起こり得る。そこで、本願発明者らは、遠隔操作システムにおける異常の原因を特定可能な異常監視装置および異常監視方法について鋭意検討を行い、以下に示す異常監視装置および異常監視方法を創案した。
【0016】
具体的には、本願発明者らは、遠隔操作システムにおいて、異常監視装置がモビリティの制御ログとオペレータの操作ログとを収集して比較することで、異常の原因がサイバー攻撃であるか、オペレータの異常操作であるかを判定できることを見いだし、以下に示す異常監視装置および異常監視方法を創案した。
【0017】
本開示の一態様に係る異常監視装置は、モビリティを遠隔操作するための遠隔操作システムにおける異常監視装置であって、前記モビリティを遠隔操作する操作装置から操作コマンドの履歴である操作ログを収集し、かつ、前記モビリティに搭載される制御装置から制御コマンドの履歴である制御ログを収集するログ収集部と、前記操作ログおよび前記制御ログの少なくとも1つに基づいて、前記モビリティが異常であるか否かを検知する異常検知部と、前記異常検知部により前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果に応じて、前記モビリティの異常が引き起こされた原因となる攻撃源を複数の攻撃源の中から特定する攻撃源特定部と、前記攻撃源特定部により特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知部と、を備える。
【0018】
これにより、異常監視装置は、操作ログおよび車両ログの比較結果に応じて複数の攻撃源からモビリティの異常に応じた攻撃源、例えばモビリティの異常の原因を特定することが可能である。よって、本開示の一態様によれば、モビリティの異常の原因を特定可能な異常監視装置を実現することができる。また、異常通知部の通知により異常の原因に応じた対策が行われることで、効果的に攻撃を抑制し得る。
【0019】
また、例えば、前記異常検知部は、さらに、前記操作ログおよび前記制御ログのそれぞれの異常の有無を第1のルールに基づいて検知し、前記攻撃源特定部は、さらに、前記操作ログと前記制御ログとが一致しない場合に、前記攻撃源を第一の攻撃源であると特定し、前記操作ログおよび前記制御ログの両方で異常が検知された場合に前記攻撃源を前記第一の攻撃源とは異なる第二の攻撃源であると特定してもよい。
【0020】
これにより、異常監視装置は、操作ログおよび車両ログが一致しない場合と、操作ログおよび制御ログの両方で異常が検知された場合とを、互いに異なる攻撃源(第一の攻撃源および第二の攻撃源)であると判定することができる。例えば、操作ログおよび車両ログが一致しない場合は、操作装置と制御装置との間の通信路にてオペレータの操作コマンドが改ざんされてモビリティにて実行された可能性が高い。また、例えば、操作ログおよび制御ログの両方で異常が検知された場合、悪意のあるオペレータが異常な操作コマンドを入力し、モビリティにて異常な制御コマンドが実行された可能性が高い。よって、異常監視装置は、操作ログおよび車両ログが一致しない場合と、操作ログおよび制御ログの両方で異常が検知された場合とにおいて、モビリティの異常の原因を適切に特定可能である。
【0021】
また、例えば、前記ログ収集部は、さらに、前記制御装置から前記モビリティの位置情報の履歴である位置ログを収集し、前記第1のルールは、さらに、位置ログの異常に関する情報を含み、前記異常検知部は、前記操作ログと前記制御ログと前記位置ログとのそれぞれの異常を前記第1のルールに基づいて検知し、前記攻撃源特定部は、前記位置ログのみが異常である場合に前記攻撃源を前記第一の攻撃源および前記第二の攻撃源と異なる第三の攻撃源であると特定してもよい。
【0022】
これにより、異常監視装置は、操作ログおよび制御ログの両方で異常が検知されず、かつ、位置ログのみで異常が検知された場合、さらに他の攻撃源(第三の攻撃源)であると判定することができる。例えば、位置ログのみで異常が検知された場合、第三者がモビリティに物理的に接近して、モビリティに異常をもたらした可能性が高い。よって、異常監視装置は、操作ログ、制御ログおよび位置ログのうち位置ログのみで異常が検知された場合において、モビリティの異常の原因を適切に特定可能である。
【0023】
また、例えば、前記第一の攻撃源は、前記操作装置と前記制御装置との通信路で悪意のある操作コマンドが挿入されたことを含み、前記第二の攻撃源は、前記操作装置を利用するオペレータが悪意のある操作コマンドを送信したことを含み、前記第三の攻撃源は、第三者により前記モビリティが物理的に攻撃されたことを含み、前記異常通知部は、前記第一の攻撃源と判定された場合に前記制御装置の遠隔制御機能の停止を実施し、前記第二の攻撃源と判定された場合に前記オペレータの前記操作装置へのアクセス権限を破棄し、前記第三の攻撃源と判定された場合に前記制御装置の周囲への警告を実施するための通知を行ってもよい。
【0024】
これにより、異常監視装置は、判定された攻撃源に応じて、効果的な対策方法を選択して実行できる。具体的には、異常監視装置は、第一の攻撃源(通信路)に対しては、モビリティの遠隔制御機能を停止する(第一の攻撃源に対して対策の一例)ことで、通信路を介した攻撃を効果的に抑制することができる。また、異常監視装置は、第二の攻撃源(オペレータ)に対しては、オペレータの操作装置へのアクセス権限を破棄する(第二の攻撃源に対して対策の一例)ことで、オペレータによる攻撃を効果的に抑制することができる。また、異常監視装置は、第三の攻撃源(近距離)に対しては、警報アラームなどを用いて制御装置の周囲へ警告を実施する(第三の攻撃源に対して対策の一例)ことで、モビリティの近距離にいる悪意のある第三者からの攻撃を効果的に抑制することができる。
【0025】
また、例えば、前記ログ収集部は、前記操作ログのハッシュ値、および、前記制御ログのハッシュ値をさらに収集し、前記異常検知部は、前記操作ログのハッシュ値と前記制御ログのハッシュ値とが一致しない場合に異常であると検知してもよい。
【0026】
これにより、操作ログと車両ログとが一致するか否かを、ハッシュ値を比較することにより判定することができる。つまり、判定処理に要する処理量を低減することができる。よって、異常監視装置の処理量を低減して効率的に操作ログと車両ログとの比較を行うことができる。
【0027】
また、例えば、前記第1のルールは、前記操作ログと前記制御ログとが一致しない場合、前記制御ログに異常が含まれていること示す情報を含んでいてもよい。
【0028】
これにより、異常監視装置は、第1のルールに基づいて、操作ログと制御ログとが一致しない場合、操作ログおよび制御ログのうち制御ログが異常であると特定することができる。
【0029】
また、例えば、前記第1のルールは、前記位置ログが前記制御ログと異なる位置情報の変化を示す情報を含む場合、前記位置ログに異常が含まれていることを示す情報を含んでいてもよい。
【0030】
これにより、異常監視装置は、第1のルールに基づいて、位置ログが制御ログと異なる位置情報の変化を示す情報を含む場合、操作ログ、制御ログおよび位置ログのうち位置ログが異常であると特定することができる。
【0031】
また、例えば、前記攻撃源特定部は、前記操作ログおよび前記制御ログと、第2のルールとに基づいて、前記モビリティの異常が引き起こされた原因となる攻撃源を特定し、前記第2のルールは、同一時刻の前記操作コマンドおよび前記制御コマンドが一致しない場合、前記攻撃源が前記操作装置と前記制御装置との間の通信路であること、および、前記操作ログおよび前記制御ログの両方で異常が検知された場合、前記攻撃源が前記操作装置を利用するオペレータであることを含んでいてもよい。
【0032】
これにより、攻撃源特定部は、第2のルールに基づいて、攻撃源を容易に特定可能である。
【0033】
また、上記課題を解決するために、本開示の一態様に係る異常監視方法は、モビリティを遠隔操作するための遠隔操作システムにおける異常監視方法であって、前記モビリティを遠隔操作する前記モビリティに搭載される操作装置から操作コマンドの履歴である操作ログを収集し、かつ、車両制御装置から制御コマンドの履歴である制御ログを収集するログ収集ステップと、前記操作ログおよび前記制御ログの少なくとも1つに基づいて、前記モビリティが異常であるか否かを検知する異常検知ステップと、前記異常検知ステップにおいて前記異常があることが検知された場合、前記操作ログおよび前記制御ログの比較結果に応じて、前記モビリティの異常が引き起こされた原因を示す攻撃源を複数の攻撃源の中から特定する攻撃源特定ステップと、前記攻撃源特定ステップにより特定された前記攻撃源に応じた対策を実施するための通知を行う異常通知ステップと、を含む。
【0034】
これにより、上記の異常監視装置と同様の効果を奏する。
【0035】
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
【0036】
以下、実施の形態に係る異常検知装置について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置および接続形態、並びに、処理の要素としてのステップおよびステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。
【0037】
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺等は必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略または簡略化する。
【0038】
また、本明細書において、同じ、同一等の要素間の関係性を示す用語、並びに、数値、および、数値範囲は、厳格な意味のみを表す表現ではなく、実質的に同等な範囲、例えば数%程度(例えば、10%程度)の差異をも含むことを意味する表現である。
【0039】
(実施の形態)
[車両遠隔操作システムの全体構成]
図1は、本実施の形態における車両遠隔操作システムの全体構成図である。本実施の形態では、モビリティの一例である車両40を用いて説明する。車両40は、例えば、電動化されている。
[車両遠隔操作システムの全体構成]
図1は、本実施の形態における車両遠隔操作システムの全体構成図である。本実施の形態では、モビリティの一例である車両40を用いて説明する。車両40は、例えば、電動化されている。
【0040】
図1において、車両遠隔操作システムは、異常監視装置10と、車両操作装置20と、車両制御装置30とを備える。車両遠隔操作システムは、車両40(モビリティの一例)を遠隔操作(遠隔制御)するためのシステムであり、遠隔操作可能な遠隔操作システムの一例である。
【0041】
異常監視装置10と、車両操作装置20と、車両制御装置30とは、インターネット等の外部ネットワークを介して接続される。ここで、外部ネットワークへの接続形態は、有線であっても無線であってもよいし、車両操作装置20と車両制御装置30とは、外部ネットワークを介さずに5Gネットワークまたはラジオ無線等のローカルエリアネットワークにて接続されてもよい。
【0042】
異常監視装置10は、車両操作装置20および車両制御装置30の異常を監視する装置であり、車両操作装置20から操作コマンドの履歴である操作ログを収集し、車両制御装置30から制御コマンドの履歴である制御ログと、車両40の位置情報の履歴である位置ログとを収集して異常を監視する。当該車両制御装置30は、車両操作装置20が遠隔操作する対象の車両40に搭載されている車両制御装置である。
【0043】
ここで、異常監視装置10は、複数の車両操作装置20と複数の車両制御装置30とを監視してもよい。つまり、車両遠隔操作システムが備える車両操作装置20および車両制御装置30の数は特に限定されない。
【0044】
なお、異常を監視するとは、異常があるか否かを判定することを含む。また、操作ログを収集するとは、車両操作装置20から操作ログを取得することを意味し、制御ログおよび位置ログを収集するとは、車両制御装置30から制御ログおよび位置ログを取得することを意味する。
【0045】
車両操作装置20は、オペレータが車両40を遠隔操作するための遠隔操作装置であり、オペレータから操作コマンドの入力を受け付け、車両制御装置30へ操作コマンドを送信する。ここで、車両操作装置20は、複数の車両40(複数の車両制御装置30)を遠隔操作してもよい。
【0046】
車両制御装置30は、車両操作装置20からの操作コマンドに応じて車両40を制御するための制御装置であり、車両操作装置20から操作コマンドを受信し、車両40にて実行する。
【0047】
制御コマンドは、車両40を制御したコマンドであり、例えば、車両40にて実行された操作コマンドは制御コマンドに含まれる。以降において、制御コマンドは、車両40にて実行された操作コマンドを意味する。
【0048】
[異常監視装置10の構成]
図2は、本実施の形態における異常監視装置10の機能構成を示すブロック図である。異常監視装置10は、図1に示すような車両遠隔操作システムに用いられる装置である。図2において、異常監視装置10は、通信部101と、ログ収集部102と、ログ記憶部103と、異常検知部104と、攻撃源判定部105と、異常通知部106と、を備える。
図2は、本実施の形態における異常監視装置10の機能構成を示すブロック図である。異常監視装置10は、図1に示すような車両遠隔操作システムに用いられる装置である。図2において、異常監視装置10は、通信部101と、ログ収集部102と、ログ記憶部103と、異常検知部104と、攻撃源判定部105と、異常通知部106と、を備える。
【0049】
通信部101は、外部ネットワークを介して車両操作装置20および車両制御装置30と通信する。通信部101は、例えば、通信回路(通信モジュール)を含んで構成される。
【0050】
ログ収集部102は、車両操作装置20から操作ログを通信部101を介して受信し、車両制御装置30から制御ログと位置ログとを通信部101を介して受信する。なお、ログ収集部102は、少なくとも操作ログと制御ログとを受信すればよい。例えば、ログ収集部102は、車両40を遠隔操作する車両操作装置20から操作コマンドの履歴である操作ログを収集し、車両40に搭載される車両制御装置30から制御コマンドの履歴である制御ログを収集するともいえる。以降においては、ログ収集部102は、操作ログと制御ログと位置ログとを収集する例について説明する。
【0051】
ログ収集部102は、例えば、同一期間における操作ログと制御ログと位置ログとを収集する。なお、操作ログと制御ログと位置ログとは、例えば、定期的に収集されるが、収集タイミングは特に限定されない。
【0052】
ログ記憶部103は、受信した操作ログと制御ログと位置ログとを記憶する。ログ記憶部103は、半導体メモリなどにより実現されるが、これに限定されない。
【0053】
異常検知部104は、操作ログおよび制御ログの少なくとも1つに基づいて、車両40が異常であるか否かを検知する。異常検知部104は、例えば、少なくとも操作ログおよび制御ログに基づいて、車両40が異常であるか否かを検知してもよい。本実施の形態では、異常検知部104は、異常検知ルールと、操作ログ、制御ログおよび位置ログとに基づいて、車両40の異常を検知する。異常検知ルールおよび異常検知方法についての詳細は後述する。
【0054】
攻撃源判定部105は、異常検知部104により異常であることが検知された場合に、操作ログと制御ログとの比較結果に基づいて攻撃源を判定する。攻撃源判定部105は、例えば、比較結果に基づいて、複数の攻撃源(複数の攻撃源の候補)の中から現在の車両40の異常に対する攻撃源を特定する。攻撃源判定部105は、例えば、異常手段判定ルールに基づいて攻撃源を特定する。攻撃源判定部105は、攻撃源特定部の一例である。異常手段判定ルールおよび攻撃源判定方法の詳細は後述する。
【0055】
攻撃源判定部105は、例えば、異常検知部104により異常であることが検知された場合に、異常が引き起こされた攻撃源を少なくとも操作ログと制御ログとの差異に応じて特定してもよい。また、攻撃源判定部105は、例えば、異常検知部104により異常であることが検知された場合に、操作ログおよび制御ログのうち異常が含まれていると想定されるログの種類を示す異常ログを取得し、取得した異常ログに応じて、車両40の異常が引き起こされた原因を示す攻撃源を特定してもよい。
【0056】
なお、攻撃源は、攻撃の原因を特定するための情報であり、車両40の異常が引き起こされた原因に関する情報である。攻撃源は、車両40の異常を引き起こす原因となった攻撃(例えば、コマンドの改ざん、物理的な攻撃など)が行われた位置(例えば、通信路または車両40の近距離)、車両40の異常を引き起こした主体(例えば、オペレータ、第三者など)などを含む情報である。
【0057】
異常通知部106は、攻撃源判定部105により特定された攻撃源に応じた対策を実施するための通知を、車両操作装置20および車両制御装置30の少なくとも一方に対して行う。例えば、異常通知部106は、異常検知時に車両操作装置20および車両制御装置30へ攻撃源を含む情報を通知する。また、異常通知部106は、車両40にドライバが搭乗している場合は、ドライバへ異常を通知してもよいし、車両40近くの警備員へ異常を通知してもよい。
【0058】
[車両操作装置20の構成]
図3は、本実施の形態における車両操作装置20の機能構成を示すブロック図である。図3において、車両操作装置20は、通信部201と、操作コマンド入力部202と、操作コマンド送信部203と、操作ログ記憶部204と、操作ログ送信部205と、異常対策部206と、を備える。車両操作装置20は、操作装置の一例である。
図3は、本実施の形態における車両操作装置20の機能構成を示すブロック図である。図3において、車両操作装置20は、通信部201と、操作コマンド入力部202と、操作コマンド送信部203と、操作ログ記憶部204と、操作ログ送信部205と、異常対策部206と、を備える。車両操作装置20は、操作装置の一例である。
【0059】
通信部201は、外部ネットワークを介して異常監視装置10および車両制御装置30と通信する。通信部201は、例えば、通信回路(通信モジュール)を含んで構成される。
【0060】
操作コマンド入力部202は、車両40の遠隔操作を担当するオペレータから車両40の制御を指示する操作コマンドの入力を受け付ける。ここで、操作コマンドは、キーボード、マウスまたはゲーミングコントローラで入力されてもよいし、音声により入力されてもよい。操作コマンド入力部202は、キーボード、マウス、ゲーミングコントローラ、タッチパネル、マイクなどにより実現される。
【0061】
操作コマンド送信部203は、入力された操作コマンドを通信部201を介して車両制御装置30へ送信する。
【0062】
操作ログ記憶部204は、操作コマンドの履歴を操作ログとして記憶する。操作ログの詳細については後述する。操作ログ記憶部204は、半導体メモリなどにより実現されるが、これに限定されない。
【0063】
操作ログ送信部205は、操作ログを通信部201を介して異常監視装置10へ送信する。
【0064】
異常対策部206は、異常監視装置10から判定された攻撃源を受信し、受信した攻撃源と、攻撃源ごとの対策を示す異常対策ルールとに基づいて、対策を実施する。異常対策部206は、例えば、車両操作装置20において実施する対策を決定する。異常対策ルールの詳細については後述する。
【0065】
なお、車両操作装置20は、操作ログを送信する異常監視装置10を特定するための情報(例えば、識別情報)を予め記憶していてもよい。また、車両操作装置20は、制御対象となる車両40が決定されると、当該車両40または当該車両40に搭載される車両制御装置30を特定するための情報を異常監視装置10に送信してもよい。
【0066】
[車両制御装置30の構成]
図4は、本実施の形態における車両制御装置30の機能構成を示すブロック図である。図4において、車両制御装置30は、通信部301と、操作コマンド受信部302と、車両制御部303と、制御ログ記憶部304と、位置ログ記憶部305と、制御ログ送信部306と、位置ログ送信部307と、異常対策部308と、を備える。車両制御装置30は、制御装置の一例である。
図4は、本実施の形態における車両制御装置30の機能構成を示すブロック図である。図4において、車両制御装置30は、通信部301と、操作コマンド受信部302と、車両制御部303と、制御ログ記憶部304と、位置ログ記憶部305と、制御ログ送信部306と、位置ログ送信部307と、異常対策部308と、を備える。車両制御装置30は、制御装置の一例である。
【0067】
通信部301は、外部ネットワークを介して異常監視装置10および車両操作装置20と通信する。通信部301は、例えば、通信回路(通信モジュール)を含んで構成される。
【0068】
操作コマンド受信部302は、異常監視装置10から操作コマンドを通信部301を介して受信する。
【0069】
車両制御部303は、操作コマンドに基づいて車両40を制御する。車両制御部303は、さらに、車両制御時の位置情報をGPS(Global Positioning System)等から取得する。制御コマンドの詳細については後述する。
【0070】
制御ログ記憶部304は、制御コマンドの履歴を制御ログとして記憶する。制御ログの詳細については後述する。制御ログ記憶部304は、半導体メモリなどにより実現されるが、これに限定されない。
【0071】
位置ログ記憶部305は、車両40の位置情報の履歴を位置ログとして記憶する。位置ログの詳細については後述する。位置ログ記憶部305は、半導体メモリなどにより実現されるが、これに限定されない。
【0072】
制御ログ送信部306は、制御ログを通信部301を介して異常監視装置10へ送信する。
【0073】
位置ログ送信部307は、位置ログを通信部301を介して異常監視装置10へ送信する。
【0074】
異常対策部308は、異常監視装置10から判定された攻撃源を受信し、受信した攻撃源と、攻撃源ごとの対策を示す異常対策ルールとに基づいて、対策を実施する。異常対策部308は、例えば、車両制御装置30において実施する対策を決定する。異常対策ルールの詳細については後述する。
【0075】
【0076】
操作ログは、時刻と操作コマンドとを含んで構成される。操作コマンドは、操作コマンド入力部202を介してオペレータから入力された車両40の操作コマンドである。時刻は、操作コマンドが操作コマンド送信部203によって送信された時刻である。
【0077】
操作コマンドは、車両40の移動または特殊動作(例えば配送時の作業)を行わせるためのコマンドである。操作コマンドには、例えば、右移動、左移動、右旋回、左旋回、前進、後退、アクションA、アクションBなどが記載される。
【0078】
右移動、左移動、右旋回、左旋回、前進および後退は、車両40の移動を制御するコマンドの一例である。
【0079】
アクションAおよびアクションBは、車両40の特殊動作を制御するコマンドの一例であり、具体的には車両40のドアオープンまたは車両40のシステム再起動、車両40の接近者に対する警告アラートなどである。
【0080】
また、時刻T8における操作コマンドには、(異常)と記載があるが、操作コマンドであるアクションBに異常が含まれていることを説明するためであり、実際の操作ログには記載されていない。
【0081】
異常検知部104は、例えば、操作ログを取得し参照することで、オペレータに対してアクションBの操作権限が与えられていないにも関わらずアクションBが実行された場合に異常として検知可能である。この場合、異常監視装置10は、オペレータに対して権限が与えられている操作に関する情報を、予め記憶している。なお、参照するとは、例えば、基準等と比較することを含む。
【0082】
また、異常検知部104は、例えば、アクションBの操作条件と車両40の状態とが一致していないにも関わらずアクションBが実行された場合に異常として検知可能である。例えば、異常検知部104は、アクションBが車両40のドアオープンであり、アクションBの操作条件が車両40が停止していることである場合、車両40が走行中(車両40の状態の一例)に車両40のドアがオープンしたときに異常として検知可能である。この場合、異常監視装置10は、アクションごとの操作条件に関する情報を、予め記憶している。また、異常監視装置10は、例えば、車両制御装置30から現在の車両40の状態を示す情報を取得する。
【0083】
また、異常検知部104は、例えば、オペレータが普段アクションBを実行していないにも関わらずアクションBが実行された場合に異常として検知可能である。この場合、異常監視装置10は、オペレータの過去の操作ログを記憶しており、異常検知部104は、当該過去の操作ログと現在のアクションBとを比較することにより、異常を検知してもよい。
【0084】
【0085】
制御ログは、時刻と制御コマンドとを含んで構成される。制御コマンドは、操作コマンド受信部302を介してオペレータから受信して、車両制御部303にて実行された操作コマンドである。時刻は、制御コマンドが車両制御部303にて実行された時刻である。
【0086】
制御コマンドは、車両40の移動または特殊動作(例えば配送時の作業)を行わせたコマンドである。制御コマンドには、例えば、右移動、左移動、右旋回、左旋回、前進、後退、アクションA、アクションB、アクションCなどが記載される。
【0087】
右移動、左移動、右旋回、左旋回、前進および後退は、車両40の移動を制御するコマンドの一例である。
【0088】
アクションA、アクションBおよびアクションCは、車両40の特殊動作を制御するコマンドであり、具体的には車両40のドアオープンまたは車両40のシステム再起動、車両40の接近者に対する警告アラートなどである。
【0089】
また、時刻T4における制御コマンドには、(異常)と記載があるが、制御コマンドに異常が含まれていることを説明するためであり、実際の制御ログには記載されない。
【0090】
異常検知部104は、例えば、制御ログを取得し参照することで、車両40に対してアクションCの操作権限が与えられていないにも関わらずアクションCが実行された場合に異常として検知可能である。この場合、異常監視装置10は、車両40に対して権限が与えられている動作に関する情報を、予め記憶している。
【0091】
また、異常検知部104は、例えば、アクションCの制御条件と車両40の状態とが一致していないにも関わらずアクションCが実行された場合に異常として検知可能である。この場合、異常監視装置10は、アクションごとの制御条件に関する情報を、予め記憶している。また、異常監視装置10は、例えば、車両制御装置30から現在の車両40の状態を示す情報を取得する。
【0092】
また、異常検知部104は、例えば、車両40が普段アクションCを実行していないにも関わらずアクションCが実行された場合に異常として検知可能である。この場合、異常監視装置10は、車両40の過去の制御ログを記憶しており、異常検知部104は、当該過去の制御ログと現在のアクションCとを比較することにより、異常を検知してもよい。
【0093】
【0094】
位置ログは、時刻と位置情報とを含んで構成される。位置情報は、車両制御部303にて制御コマンドが実行されたときの車両40の位置情報がGPSなどから取得される。時刻は、位置情報が取得された時刻である。
【0095】
位置情報は、例えば、X、Y、Zなどが記載され、Xは緯度、Yは経度、Zは標高を表す。なお、位置情報は、例えば、基準点からの相対的な位置関係を示す情報であってもよい。
【0096】
また、時刻T6における位置情報には、(異常)と記載があるが、位置情報に異常が含まれていることを説明するためであり、実際の位置情報には記載されない。
【0097】
異常検知部104は、例えば、位置ログを取得し参照することで、時刻T5(位置情報「X、Y+1、Z」)と、時刻T6(位置情報「X、Y+3、Z」)との間で、車両40が東向きに2度移動したことがわかる。ここで、異常検知部104は、車両40の走行性能として時刻T6-時刻T5の期間で2度移動することは困難であるにも関わらず2度移動した場合、第三者によって性能を上回る速度で車両40が移動させられたと判定して異常として検知可能である。この場合、異常監視装置10は、車両制御装置30が搭載された車両40の走行性能に関する情報(例えば、カタログ値)を、予め記憶している。例えば、異常監視装置10は、車両40の走行性能の正常範囲(例えば、速度、加速度および操舵角の変化の正常範囲)、または、制御コマンドに対する走行における正常範囲(例えば、前進するときの速度または加速度の正常範囲)を記憶していてもよい。
【0098】
また、異常検知部104は、位置情報に替えてまたは位置情報に加えて、車両40の速度または加速度を位置ログとして用いてもよい。この場合、車両40の速度または加速度は、車両制御部303が速度センサおよび加速度センサから情報を取得して、位置ログとして位置ログ記憶部305に記憶する。これにより、異常検知部104は、第三者が車両40へ物理的に衝撃を与えた場合に、異常として検知可能となる。なお、第三者は、車両40の搭乗者およびオペレータ以外の人物であるが、他のモビリティ(悪意のあるモビリティ)であってもよい。
【0099】
[ログの一例]
図8は、本実施の形態におけるログの一例を示す図である。図8に示すログは、例えば、異常監視装置10が収集した各種ログである。異常監視装置10は、車両操作装置20から操作ログを収集し、車両制御装置30から制御ログと位置ログとを収集してログ記憶部103に記憶する。ログは、同一期間(例えば、時刻T1~T8)に送信または取得されたコマンドおよび位置情報が対応付けられる。
図8は、本実施の形態におけるログの一例を示す図である。図8に示すログは、例えば、異常監視装置10が収集した各種ログである。異常監視装置10は、車両操作装置20から操作ログを収集し、車両制御装置30から制御ログと位置ログとを収集してログ記憶部103に記憶する。ログは、同一期間(例えば、時刻T1~T8)に送信または取得されたコマンドおよび位置情報が対応付けられる。
【0100】
【0101】
また、それぞれ時刻として、操作コマンドの送信時刻と、制御コマンドの実行時刻と、位置情報の取得時刻とを用いるため、通信遅延などで操作コマンド、制御コマンドおよび位置情報の時刻が完全に一致しない。そこで、通信遅延を考慮して時刻を0.5秒単位に丸めて、同一時刻として扱う。例えば、時刻が0.5秒ずれている操作コマンドおよび制御コマンドを、同一時刻のコマンドである、例えば、操作コマンドに対応する制御コマンドであるとして、異常の判定が行われる。
【0102】
ここで、0.5秒は時刻を丸める基準の一例であり、0.5秒に限定されず、時刻を丸める所定の基準があればよい。
【0103】
また、ログには(異常)と記載が含まれる例もあるが、ログに異常が含まれていることを説明するためであり、実際のログには記載されない。
【0104】
異常検知部104は、例えば、ログに含まれる操作コマンドを参照することで、操作ログの一例の説明で述べた異常を検知可能となり、ログに含まれる制御コマンドを参照することで、制御ログの一例の説明で述べた異常を検知可能となり、ログに含まれる位置ログを参照することで、位置ログの一例の説明で述べた異常を検知可能となる。
【0105】
異常検知部104は、さらに、同一時刻の制御コマンドと位置情報とを参照することで、車両制御部303にて制御コマンドとして後退が実行されたにも関わらず位置情報に変化がない場合、第三者によって車両40が固定されているとして異常として検知可能である。つまり、異常検知部104は、同一時刻の制御コマンドと位置情報との間において矛盾が生じているか否かを判定し、矛盾が生じている場合、異常として検知可能である。
【0106】
異常検知部104は、さらに、同一時刻の操作コマンドと制御コマンドとを参照することで、オペレータの操作コマンドが車両40にて正しく実行されているかどうかを判定できる。
【0107】
例えば、時刻T4の操作コマンドは左旋回であるが、制御コマンドはアクションCである。これは、悪意のある第三者によって、操作コマンドの送信から制御コマンドの実行までの通信路において操作コマンドが改ざんされてアクションCが車両40にて実行されたことを示している。異常検知部104は、例えば、操作コマンドと制御コマンドとが一致しない場合、異常として検知可能である。
【0108】
このように、操作ログ、制御ログおよび位置ログを取得することで、異常検知部104は、操作コマンド単独で判定可能な異常、制御コマンド単独で判定可能な異常、位置情報単独で判定可能な異常に加えて、2以上のログの組み合わせにより判定可能な異常を検知可能である。
【0109】
また、操作ログと制御ログとは、さらにハッシュ値を含んでいてもよい。例えば、ログ収集部102は、操作ログのハッシュ値、および、制御ログのハッシュ値を収集してもよい。ハッシュ値を含む場合、普段オペレータが操作していない操作コマンドが入力されて異常として検知するなどの詳細な検知はできないものの、前述の操作コマンドと制御コマンドとが一致しているかどうかという判定は実現可能である。つまり、車両40の異常の有無をハッシュ値により判定可能である。
【0110】
ログをハッシュ値で取得する場合、詳細な時刻情報をハッシュ関数の入力に含めると通信遅延のため操作ログと制御ログとのハッシュ値が一致しないため、ハッシュ関数の入力として、例えば、1分間(例えば、10時から10時1分までの期間)の操作コマンド群、および、1分間(例えば、10時から10時1分までの期間)の制御コマンド群を用いる。例えば、D1(T1-T8)の期間で取得された操作コマンドの群のハッシュ値である0xABCDと、D1の期間で取得された制御コマンドの群のハッシュ値である0xEFGHを取得して記憶する。図8の例では、時刻T4において操作コマンドと制御コマンドとが一致していないため、操作コマンドの群のハッシュ値と制御コマンドの群のハッシュ値とは一致しない。
【0111】
この場合、車両操作装置20と車両制御装置30とは共通のハッシュ関数を、予め記憶していてもよい。
【0112】
なお、異常監視装置10は、車両操作装置20から第1期間の操作コマンドに対するハッシュ値を含む第1の操作ログを収集し、車両制御装置30から当該第1期間の制御コマンドに対するハッシュ値を含む第1の制御ログを収集し、ハッシュ値が一致しない(比較結果の一例)場合、さらに、車両操作装置20から当該第1期間の操作コマンドを含む第2の操作ログを収集し、車両制御装置30から当該第1期間の制御コマンドを含む第2の制御ログを収集してもよい。このように、異常監視装置10は、第1の操作ログおよび第1の制御ログを用いて車両40の異常の有無を判定し、かつ、第2の操作ログおよび第2の制御ログを用いて異常の原因を示す攻撃源を特定するように構成されてもよい。
【0113】
[異常検知ルールの一例]
図9は、本実施の形態における異常検知ルールの一例を示す図である。図9に示す異常検知ルールは、異常監視装置10が異常検知を行う場合に利用される。例えば、異常検知ルールは、異常監視装置10の異常検知部104にて操作ログ、制御ログおよび位置ログを用いて異常を検知する際に利用される。
図9は、本実施の形態における異常検知ルールの一例を示す図である。図9に示す異常検知ルールは、異常監視装置10が異常検知を行う場合に利用される。例えば、異常検知ルールは、異常監視装置10の異常検知部104にて操作ログ、制御ログおよび位置ログを用いて異常を検知する際に利用される。
【0114】
異常検知ルールは、番号、種類、ルールおよび異常箇所を含んで構成される。番号は異常検知ルールの識別番号であり、種類は異常検知に用いるログの種類であり、ルールは異常として検知する条件であり、異常箇所は異常として検知した場合に、異常が含まれていると想定されるログの種類が記載される。異常箇所に示されるログは、異常ログの一例である。
【0115】
例えば、番号1の異常検知ルールでは、操作ログと制御ログとを用いて、同一時刻の操作コマンドと制御コマンドとが一致しない場合に異常として検知し、制御ログに異常が含まれていると判定するルールが記載されている。図9に記載のルールは、それぞれ、操作ログの一例、制御ログの一例、位置ログの一例およびログの一例で述べた異常を検知するためのルールを一例として記載している。
【0116】
また、例えば、番号2~4の異常検知ルールでは、操作ログにおいて、未許可の操作コマンドが入力された、操作コマンド時(操作コマンドの実行時)のコンテキスト(例えば、車両40の状態)が異なる、普段のふるまいと異なる操作コマンドである場合に異常として検知し、操作ログに異常が含まれていると判定するルールが記載されている。
【0117】
また、例えば、番号5~7の異常検知ルールでは、制御ログにおいて、未許可の制御コマンドが入力された、制御コマンド時(制御コマンドの実行時)のコンテキスト(例えば、車両40の状態)が異なる、普段のふるまいと異なる制御コマンドである場合に異常として検知し、制御ログに異常が含まれていると判定するルールが記載されている。
【0118】
また、例えば、番号8の異常検知ルールでは、位置ログにおいて、車両40の性能を超える距離を移動したことが検知された場合に異常として検知し、位置ログに異常が含まれていると判定するルールが記載されている。
【0119】
また、例えば、番号9の異常検知ルールでは、制御ログと位置ログとを用いて、制御コマンドと異なる位置情報の変化をした場合に異常として検知し、位置ログに異常が含まれていると判定するルールが記載されている。
【0120】
このように、異常検知部104が異常検知ルールを保持することで、操作ログ、制御ログおよび位置ログのそれぞれに対して異常の検知が可能である。
【0121】
異常検知ルールは、操作ログおよび制御ログのそれぞれの異常を検知するための第1のルールの一例である。本実施の形態では、異常検知ルールは、位置ログの異常に関する情報を含む。
【0122】
なお、同一時刻の操作コマンドと制御コマンドとが一致しないことは、操作ログのハッシュ値と制御ログのハッシュ値とが一致しないことを含む。異常検知部104は、操作ログのハッシュ値と制御ログのハッシュ値とが一致しない場合に異常であると検知してもよい。
【0123】
[攻撃源判定ルールの一例]
図10は、本実施の形態における攻撃源判定ルールの一例を示す図である。図10に示す攻撃源判定ルールは、異常監視装置10が攻撃源判定を行う場合に利用される。例えば、攻撃源判定ルールは、異常監視装置10の攻撃源判定部105にて異常が引き起こされた攻撃源を特定するために利用される。
図10は、本実施の形態における攻撃源判定ルールの一例を示す図である。図10に示す攻撃源判定ルールは、異常監視装置10が攻撃源判定を行う場合に利用される。例えば、攻撃源判定ルールは、異常監視装置10の攻撃源判定部105にて異常が引き起こされた攻撃源を特定するために利用される。
【0124】
攻撃源判定ルールは、番号と、ルールと、攻撃源とを含んで構成される。番号は攻撃源判定ルールの識別番号であり、ルールは攻撃源を判定する条件であり、攻撃源は判定される攻撃源が記載される。
【0125】
例えば、番号1の攻撃源判定ルールでは、同一時刻の操作コマンドと制御コマンドとが一致しない場合、攻撃源は通信路であると判定される。攻撃源判定部105は、操作コマンドと制御コマンドとが一致しない場合、図10に示す攻撃源判定ルールに基づいて、車両操作装置20と車両制御装置30との間の通信路にてオペレータの操作コマンドが改ざんされて車両40にて実行された可能性が高いため、攻撃源が通信路(第一の攻撃源の一例)であると判定する。第一の攻撃源は、車両操作装置20と車両制御装置30との通信路で悪意のある操作コマンドが挿入されたと想定される場合の攻撃源である。なお、同一時刻の操作コマンドと制御コマンドとが一致しないことは、操作ログと制御ログとの比較結果の一例である。
【0126】
また、例えば、番号2の攻撃源判定ルールでは、操作ログと制御ログとの両方で異常が発生した場合、攻撃源はオペレータであると判定される。攻撃源判定部105は、操作ログと制御ログとの両方で異常が検知された場合、図10に示す攻撃源判定ルールに基づいて、悪意のあるオペレータが異常な操作コマンドを入力し、車両40にて異常な制御コマンドが実行された可能性が高いため、攻撃源がオペレータ(第二の攻撃源の一例)であると判定する。第二の攻撃源は、車両操作装置20を利用するオペレータが悪意のある操作コマンドを送信したと想定される場合の攻撃源である。なお、操作ログと制御ログとの両方で異常が発生したことは、操作ログと制御ログとの比較結果の一例である。
【0127】
また、例えば、番号3の攻撃源判定ルールでは、位置ログのみで異常が発生した場合、攻撃源は近距離であると判定される。攻撃源判定部105は、操作ログと制御ログとの両方で異常が検知されず、かつ、位置ログのみで異常が検知された場合、第三者が車両40に物理的に接近して、車両40に異常をもたらした可能性が高いため、攻撃源が近距離(第三の攻撃源の一例)であると判定する。第三の攻撃源は、車両制御装置30が物理的に攻撃されたと想定される場合の攻撃源である。なお、操作ログと制御ログとの両方で異常が検知されず、かつ、位置ログのみで異常が検知されたことは、操作ログと制御ログとの比較結果の一例である。
【0128】
攻撃源判定ルールは、攻撃源を特定するために用いられるルールであり、第2ルールの一例である。攻撃源判定ルールには、少なくとも操作ログおよび制御ログに基づいて攻撃源を特定可能な情報を含む。例えば、攻撃源判定部105は、操作ログおよび制御ログと、攻撃源判定ルールとに基づいて、車両40の異常に対する攻撃源を特定する。なお、本実施の形態では、攻撃源判定ルールには、さらに位置ログの異常に基づいて攻撃源を特定可能な情報を含む。
【0129】
[異常対策ルールの一例]
図11は、本実施の形態における異常対策ルールの一例を示す図である。図11に示す異常対策ルールは、車両操作装置20と車両制御装置30とが異常対策を行う場合に利用される。例えば、異常検知ルールは、車両操作装置20の異常対策部206と、車両制御装置30の異常対策部308とにおいて異常の対策手段を講じる(実行する)ために利用される。
図11は、本実施の形態における異常対策ルールの一例を示す図である。図11に示す異常対策ルールは、車両操作装置20と車両制御装置30とが異常対策を行う場合に利用される。例えば、異常検知ルールは、車両操作装置20の異常対策部206と、車両制御装置30の異常対策部308とにおいて異常の対策手段を講じる(実行する)ために利用される。
【0130】
異常対策ルールは、攻撃源およびルールを含んで構成される。攻撃源は異常監視装置10の攻撃源判定部105が判定した攻撃源の種類であり、ルールは該当する攻撃源に対する対策として実施する内容が記載される。
【0131】
例えば、攻撃源が通信路である場合、図11に示す異常対策ルールでは、車両40に搭載される車両制御装置30の遠隔制御機能を停止する(第一の攻撃源に対する対策の一例)ことで、攻撃を受けることを抑制する。第一の攻撃源に対する対策は、車両制御部303が車両操作装置20からの操作コマンドを受け付けないことで実現可能である。
【0132】
また、例えば、攻撃源がオペレータである場合、図11に示す異常対策ルールでは、オペレータの車両操作装置20へのアクセス権限を破棄する(第二の攻撃源に対する対策の一例)ことで、攻撃を受けることを抑制する。第二の攻撃源に対する対策は、操作コマンド入力部202がオペレータからの操作コマンドを受け付けないことで実現可能である。
【0133】
また、例えば、攻撃源が近距離である場合、図11に示す異常対策ルールでは、警報アラームなどを用いて車両制御装置30の周囲へ警告を実施する(第三の攻撃源に対する対策の一例)ことで、攻撃を受けることを抑制する。第三の攻撃源に対する対策は、異常対策部308が警報動作を実行することで実現可能である。
【0134】
このように、異常対策ルールを用いることで、異常対策部206および308の少なくとも一方において、攻撃源判定部105が判定した攻撃源に応じた対策を実行することが可能になる。これにより、異常対策部206および308は、原因に応じた対策を講じることができるため、より安全な自律走行可能な車両40(自律走行モビリティの一例)を提供できる。
【0135】
[車両遠隔操作の処理シーケンス]
図12は、本実施の形態における車両遠隔操作の処理シーケンスを示す図である。具体的には、図12は、オペレータが操作コマンドを入力してから車両40が当該操作コマンドに基づく制御コマンドにより制御された後に位置情報を記憶するまでの処理シーケンスを示している。
図12は、本実施の形態における車両遠隔操作の処理シーケンスを示す図である。具体的には、図12は、オペレータが操作コマンドを入力してから車両40が当該操作コマンドに基づく制御コマンドにより制御された後に位置情報を記憶するまでの処理シーケンスを示している。
【0136】
(S1201)車両操作装置20の操作コマンド入力部202は、オペレータから操作コマンドの入力を受け付け、入力された操作コマンドを操作コマンド送信部203へ送信する。
【0137】
(S1202)車両操作装置20の操作コマンド送信部203は、受信した操作コマンドを操作コマンド受信部302へ送信し、操作コマンドと操作コマンドが送信された時刻とを操作ログ記憶部204へ記憶する。
【0138】
(S1203)車両制御装置30の操作コマンド受信部302は、受信した操作コマンドを車両制御部303へ送信する。
【0139】
(S1204)車両制御装置30の車両制御部303は、受信した操作コマンドを制御コマンドとして、車両40の制御を実行し、実行された制御コマンドと当該制御コマンドが実行された時刻とを制御ログ記憶部304へ記憶する。
【0140】
(S1205)車両制御装置30の車両制御部303は、GPSなどから車両40の位置情報を取得し、位置情報と位置情報を取得した時刻とを位置ログ記憶部305へ記憶する。位置情報を取得する時刻は、制御コマンドが実行された時刻と同じ時刻を含むとよい。位置情報は、例えば、制御コマンドが実行される前、および、実行された後のそれぞれにおいて取得されてもよいし、制御コマンドの実行中に取得されてもよい。
【0141】
[ログ収集の処理シーケンス]
図13は、本実施の形態におけるログ収集の処理シーケンスを示す図である。具体的には、図13は、ログ収集部102が操作ログと制御ログと位置ログとを収集して記憶するまでの処理シーケンスを示している。
図13は、本実施の形態におけるログ収集の処理シーケンスを示す図である。具体的には、図13は、ログ収集部102が操作ログと制御ログと位置ログとを収集して記憶するまでの処理シーケンスを示している。
【0142】
(S1301)操作ログ送信部205は、操作ログ記憶部204が記憶している操作ログをログ収集部102へ送信する。
【0143】
(S1302)ログ収集部102は、受信した操作ログをログ記憶部103に記憶する。
【0144】
(S1303)制御ログ送信部306は、制御ログ記憶部304が記憶している制御ログをログ収集部102へ送信する。
【0145】
(S1304)ログ収集部102は、受信した制御ログをログ記憶部103に記憶する。
【0146】
(S1305)位置ログ送信部307は、位置ログ記憶部305が記憶している位置ログをログ収集部102へ送信する。
【0147】
(S1306)ログ収集部102は、受信した位置ログをログ記憶部103に記憶する。
【0148】
ここで、操作ログ送信部205と、制御ログ送信部306と、位置ログ送信部307とは、定期的にログをログ収集部102へ送信してもよいし、ログの記憶容量に応じて送信してもよいし、ログ収集部102からの指示に応じて送信してもよい。
【0149】
また、ログ収集部102は、図8に示すように、受信した操作ログ、制御ログおよび位置ログを時刻ごとに対応付けてログ記憶部103に記憶してもよい。
【0150】
[異常検知から異常対策までの処理シーケンス]
図14は、本実施の形態における異常検知から異常対策までの処理シーケンスを示す図である。具体的には、図14は、ログ収集部102が操作ログと制御ログと位置ログとを収集してから異常検知部104が異常を検知し、攻撃源判定部105が攻撃源を判定し、異常対策部206または異常対策部308が異常対策を実施するまでの処理シーケンスを示している。
図14は、本実施の形態における異常検知から異常対策までの処理シーケンスを示す図である。具体的には、図14は、ログ収集部102が操作ログと制御ログと位置ログとを収集してから異常検知部104が異常を検知し、攻撃源判定部105が攻撃源を判定し、異常対策部206または異常対策部308が異常対策を実施するまでの処理シーケンスを示している。
【0151】
(S1401)異常検知部104は、ログ記憶部103が記憶している操作ログと制御ログと位置ログとを取得する。
【0152】
(S1402)異常検知部104は、異常検知ルール(例えば、図8を参照)と、操作ログ、制御ログおよび位置ログとに基づいて、異常を検知する。異常を検知した場合、異常検知部104は、検知した異常を攻撃源判定部105へ通知する。異常検知部104は、どのルールの異常が検知されたか、および、異常箇所の少なくとも一方を攻撃源判定部105へ通知してもよい。
【0153】
例えば、異常検知部104は、同一時刻の操作コマンドと制御コマンドとが一致しないことが検知された場合、同一時刻の操作コマンドと制御コマンドとが一致しない異常が検知されたこと、および、異常箇所が制御ログであることの両方を攻撃源判定部105へ通知してもよい。なお、異常検知方法の詳細は後述する。
【0154】
(S1403)攻撃源判定部105は、異常を受信した場合、ログ記憶部103が記憶している操作ログと制御ログと位置ログとを取得する。そして、攻撃源判定部105は、攻撃源判定ルールを用いて攻撃源を判定し、判定された攻撃源を異常通知部106へ送信する。攻撃源判定方法の詳細は後述する。
【0155】
(S1404)異常通知部106は、異常の発生と攻撃源判定部105が判定した攻撃源とを異常対策部206または異常対策部308へ送信する。異常通知部106は、例えば、攻撃源が通信路または近距離である場合、異常の発生と攻撃源判定部105が判定した攻撃源とを異常対策部308へ送信し、攻撃源がオペレータである場合、異常の発生と攻撃源判定部105が判定した攻撃源とを異常対策部206へ送信する。なお、異常通知部106は、例えば、攻撃源判定部105が判定した攻撃源に関わらず、異常の発生と攻撃源判定部105が判定した攻撃源とを異常対策部206および異常対策部308のそれぞれへ送信してもよい。これにより、異常通知部106は、通信路または近距離で異常が発生していることを、オペレータに知らせることができる。
【0156】
(S1405)異常対策部206または異常対策部308は、攻撃源を受信し、異常対策ルールを用いて、受信した攻撃源に応じた対策を実施する。
【0157】
[異常検知処理のフローチャート]
図15は、本実施の形態における異常検知処理のフローチャートを示す図である。
図15は、本実施の形態における異常検知処理のフローチャートを示す図である。
【0158】
(S1501)異常検知部104は、ログ記憶部103から操作ログ、制御ログおよび位置ログを取得し、ステップS1502を実施する。ステップS1501は、図14に示すステップS1401に対応する。
【0159】
(S1502)異常検知部104は、ステップS1501で取得したログと異常検知ルールとに基づいて、異常の有無を判定する。異常検知部104は、操作ログ、制御ログおよび位置ログのうち少なくとも1つのログにおいて異常が検知された場合(S1502でYes)、ステップS1503を実施する。また、異常検知部104は、異常が検知されなかった場合(S1502でNo)、異常検知処理を終了する。なお、異常検知方法の詳細は異常検知ルールの一例にて述べた通りである。
【0160】
(S1503)異常検知部104は、車両40に異常が発生していると判定し、攻撃源判定部105に異常を通知して、異常検知処理を終了する。
【0161】
なお、ステップS1502およびS1503は、図14に示すステップS1402に対応する。
【0162】
上記のように、異常検知部104は、操作ログと制御ログと位置ログとのそれぞれの異常を異常検知ルール(例えば、図9に示す異常検知ルール)に基づいて検知する。
【0163】
【0164】
(S1601)攻撃源判定部105は、操作ログ、制御ログおよび位置ログを取得し、ステップS1602を実施する。
【0165】
(S1602)攻撃源判定部105は、操作ログと制御ログとが一致するか否かを判定する。攻撃源判定部105は、操作ログと制御ログとを比較し、一致しない場合(S1602No)、ステップS1603を実施し、一致する場合(S1602でYes)、ステップS1605を実施する。ステップS1602は、図10に示す番号1のルールに該当するか否かの判定である。なお、操作ログと制御ログとが一致する(S1602でYesと判定される)ことは、図10に示す攻撃源判定ルールにおける番号1の条件を満たすことを意味し、操作ログと制御ログとが一致しない(S1602でNoと判定される)ことは、図10に示す攻撃源判定ルールにおける番号1の条件を満たさないことを意味する。
【0166】
(S1603)攻撃源判定部105は、ステップS1602でNoの場合、図10に示す攻撃源判定ルールに基づいて、攻撃源が通信路である第一の攻撃源と判定する。言い換えると、攻撃源判定部105は、ステップS1602の判定結果(比較結果の一例)に基づいて、図10に示す攻撃源判定ルールに示される複数の攻撃源の中から、攻撃源が通信路(第一の攻撃源)であることを特定する。そして、攻撃源判定部105は、ステップS1602でNoと判定されたことを示す判定結果を異常対策部206または異常対策部308に送信する。これにより、ステップS1604が実施可能となる。
【0167】
(S1604)異常対策部206または異常対策部308は、攻撃源判定部105から判定結果を受信すると、図11に示す異常対策ルールに基づいて、第一の攻撃源の対策として「車両制御装置30の遠隔制御機能の停止」を実施し、終了する。
【0168】
(S1605)攻撃源判定部105は、ステップS1602でYesの場合、さらに操作ログと制御ログとの両方が異常であるか否かを判定する。攻撃源判定部105は、操作ログの異常の有無と制御ログの異常の有無とを確認し、操作ログと制御ログとの両方が異常である場合(S1605でYes)、ステップS1606を実施し、操作ログと制御ログとの両方が異常ではない場合(S1605でNo)、ステップS1608を実施する。なお、操作ログと制御ログとの両方が異常である(S1605でYesと判定される)ことは、図10に示す攻撃源判定ルールにおける番号2の条件を満たすことを意味し、操作ログと制御ログとの両方が異常ではない(S1605でNoと判定される)ことは、図10に示す攻撃源判定ルールにおける番号2の条件を満たさないことを意味する。
【0169】
(S1606)攻撃源判定部105は、ステップS1605でYesの場合、攻撃源がオペレータである第二の攻撃源と判定する。そして、攻撃源判定部105は、ステップS1605でYesと判定されたことを示す判定結果を異常対策部206に送信する。これにより、ステップS1607が実施可能となる。
【0170】
(S1607)異常対策部206は、攻撃源判定部105から判定結果を受信すると、図11に示す異常対策ルールに基づいて、第二の攻撃源の対策として、「オペレータの車両操作装置20へのアクセス権限を破棄」を実施し、終了する。
【0171】
(S1608)攻撃源判定部105は、ステップS1605でNoの場合、さらに位置ログのみが異常であるか否かを判定する。攻撃源判定部105は、位置ログのみ異常である場合(S1608でYes)、ステップS1609を実施し、位置ログのみ異常ではない場合(S1608でNo)、終了する。なお、位置ログのみが異常である(S1608でYesと判定される)ことは、図10に示す攻撃源判定ルールにおける番号3の条件を満たすことを意味し、位置ログのみが異常ではない(S1608でNoと判定される)ことは、図10に示す攻撃源判定ルールにおける番号3の条件を満たさないことを意味する。
【0172】
(S1609)攻撃源判定部105は、ステップS1608でYesの場合、攻撃源が近距離である第三の攻撃源と判定する。そして、攻撃源判定部105は、ステップS1608でYesと判定されたことを示す判定結果を異常対策部308に送信する。これにより、ステップS1610が実施可能となる。
【0173】
(S1610)異常対策部308は、攻撃源判定部105から判定結果を受信すると、図11に示す異常対策ルールに基づいて、第三の攻撃源の対策として、「車両制御装置30の周囲への警告を実施」を実施し、終了する。
【0174】
なお、ステップS1601~S1603、S1605、S1606、S1608およびS1609は、図14に示すステップS1403に対応する。また、ステップS1604、S1607およびS1610は、図14に示すステップS1405に対応する。
【0175】
上記のように、攻撃源判定部105は、操作ログと制御ログとが一致しない場合に車両40の異常が引き起こされた攻撃源を複数の攻撃源の中から第一の攻撃源であると特定し、操作ログおよび制御ログの両方で異常が検知された場合に車両40の異常が引き起こされた攻撃源を複数の攻撃源の中から第一の攻撃源とは異なる第二の攻撃源であると特定する。また、攻撃源判定部105は、位置ログのみが異常である場合に複数の攻撃源の中から第一の攻撃源および第二の攻撃源と異なる第三の攻撃源であると特定する。
【0176】
そして、異常対策部206および308の少なくとも一方は、第一の攻撃源と判定された場合に車両制御装置30の遠隔制御機能の停止を実施し、第二の攻撃源と判定された場合にオペレータの車両操作装置20へのアクセス権限を破棄し、第三の攻撃源と判定された場合に車両制御装置30の周囲への警告を実施してもよい。
【0177】
これにより、異常監視装置10は、車両40の制御ログとオペレータの操作ログとを収集して比較することで、車両40の異常の原因がサイバー攻撃であるか、オペレータの異常操作であるかを判定することができる。そして、異常監視装置10は、異常の原因に応じた効果的な対策を行わせることができる。よって、異常監視装置10によれば、より安全な自律走行モビリティを提供することができる。
【0178】
なお、攻撃源判定部105は、ステップS1602、S1605およびS1608の判定をこの順に実施するが、順序はこれに限定されない。
【0179】
(他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。
【0180】
(1)上記実施の形態では、自動車に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行体(例えば、飛行機、ドローンなど)などの任意のモビリティにも適用してもよい。つまり、モビリティは、自動車を含む車両に限定されず、建機、農機、船舶、鉄道、飛行機などであってもよい。また、モビリティは、完全自動運転可能であってもよいし、自動運転と手動運転とを切り替え可能であってもよい。
【0181】
(2)上記実施の形態における各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM(Read Only Memory)、RAM(Random Access Memory)等を含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部または全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
【0182】
(3)上記各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしても良い。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
【0183】
(4)本開示の一態様としては、異常検知の方法をコンピュータにより実現するプログラム(コンピュータプログラム)であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラムまたはデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu―ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、または、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【0184】
(5)また、ブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを一つの機能ブロックとして実現したり、一つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェアまたはソフトウェアが並列又は時分割に処理してもよい。
【0185】
また、上記実施の形態等に係る車両監視装置は、単一の装置として実現されてもよいし、複数の装置により実現されてもよい。車両監視装置が複数の装置によって実現される場合、当該車両監視装置が有する各構成要素は、複数の装置にどのように振り分けられてもよい。車両監視装置が複数の装置で実現される場合、当該複数の装置間の通信方法は、特に限定されず、無線通信であってもよいし、有線通信であってもよい。また、装置間では、無線通信および有線通信が組み合わされてもよい。
【0186】
また、車両監視装置の各構成要素の機能の一部は、車両操作装置および車両制御装置の少なくとも1つが有していてもよい。例えば、車両操作装置は、操作ログの異常を検知する機能を有していてもよい。この場合、車両操作装置は、オペレータに権限が与えられている操作に関する情報を予め記憶していてもよい。また、例えば、車両制御装置は、制御ログの異常を検知する機能を有していてもよい。この場合、車両制御装置は、当該車両制御装置が搭載された車両の走行性能に関する情報(例えば、カタログ値)を、予め記憶していてもよい。
【0187】
また、車両監視装置は、車両操作装置および車両制御装置の少なくとも1つが有する各構成要素の機能の一部を有していてもよい。車両監視装置は、例えば、車両操作装置および車両制御装置が有する異常対策部の機能のうち対策内容を決定する機能を有していてもよい。つまり、車両監視装置は、異常操作装置および車両制御装置のそれぞれが行う異常に対する対策を決定してもよい。この場合、車両監視装置は、異常対策ルール(例えば、図11に示す異常対策ルール)を予め記憶していてもよい。
【0188】
(6)また、上記実施の形態における車両監視装置は、1つの車両操作装置が複数の車両制御装置(つまり、複数の車両)を制御する場合、操作ログおよび複数の車両制御装置のうち少なくとも1つの車両制御装置における制御ログに基づいて攻撃源がオペレータであると特定されたとき、他の車両制御装置を遠隔操作するための車両操作装置へのアクセス権限も破棄してもよい。
【0189】
(7)また、上記実施の形態において異常検知部は、異常検知ルールを用いて異常箇所(異常があるログ)を検知したが、異常箇所の検知方法はこれに限定されない。異常検知部は、例えば、操作ログと制御ログとを入力情報とし、異常箇所を出力するように学習された機械学習モデルを用いて、異常箇所を検知してもよい。
【0190】
(8)また、フローチャートにおける各ステップが実行される順序は、本開示を具体的に説明するために例示するためのものであり、上記以外の順序であってもよい。また、上記ステップの一部が他のステップと同時(並列)に実行されてもよいし、上記ステップの一部は実行されなくてもよい。
【0191】
(9)上記実施の形態では、操作ログおよび制御ログは、コマンドに加えハッシュ値を含む例について説明したが、ハッシュ値のみを含んでいてもよい。これにより、操作ログと車両ログとを収集するときの通信量を抑えて効率的に操作ログと車両ログとの比較を行うことができる。
【0192】
(10)上記実施の形態では、攻撃源として、「通信路」、「オペレータ」および「近距離」の3つを例示したが、これ以外の攻撃源が含まれてもよい。また、攻撃源の数は、2以上であれば特に限定されない。
【0193】
(11)上記実施の形態および上記変形例で示した各構成要素および機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。例えば、本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示に含まれてもよい。
【産業上の利用可能性】
【0194】
本開示は、モビリティを遠隔操作する遠隔操作システムに有用である。
【符号の説明】
【0195】
10 異常監視装置
20 車両操作装置
30 車両制御装置
40 車両
101 通信部
102 ログ収集部
103 ログ記憶部
104 異常検知部
105 攻撃源判定部
106 異常通知部
201 通信部
202 操作コマンド入力部
203 操作コマンド送信部
204 操作ログ記憶部
205 操作ログ送信部
206 異常対策部
301 通信部
302 操作コマンド受信部
303 車両制御部
304 制御ログ記憶部
305 位置ログ記憶部
306 制御ログ送信部
307 位置ログ送信部
308 異常対策部
20 車両操作装置
30 車両制御装置
40 車両
101 通信部
102 ログ収集部
103 ログ記憶部
104 異常検知部
105 攻撃源判定部
106 異常通知部
201 通信部
202 操作コマンド入力部
203 操作コマンド送信部
204 操作ログ記憶部
205 操作ログ送信部
206 異常対策部
301 通信部
302 操作コマンド受信部
303 車両制御部
304 制御ログ記憶部
305 位置ログ記憶部
306 制御ログ送信部
307 位置ログ送信部
308 異常対策部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】