IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > パナソニックオートモーティブシステムズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックオートモーティブシステムズ株式会社の特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-26
(45)【発行日】2025-01-10
(54)【発明の名称】情報通知方法及び情報通知装置
(51)【国際特許分類】
   G06F 11/07 20060101AFI20241227BHJP
   G06F 11/34 20060101ALI20241227BHJP
【FI】
G06F11/07 193
G06F11/07 140R
G06F11/34 152
【請求項の数】 28
(21)【出願番号】P 2023206062
(22)【出願日】2023-12-06
(65)【公開番号】P2024087784
(43)【公開日】2024-07-01
【審査請求日】2024-08-02
(31)【優先権主張番号】P 2022202232
(32)【優先日】2022-12-19
(33)【優先権主張国・地域又は機関】JP
【早期審査対象出願】
(73)【特許権者】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】伊藤 貴佳
(72)【発明者】
【氏名】鳥崎 唯之
【審査官】太田 龍一
(56)【参考文献】
【文献】特開2005-196675(JP,A)
【文献】国際公開第2019/163160(WO,A1)
【文献】特開2021-149260(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/34
(57)【特許請求の範囲】
【請求項1】
情報通知装置により実行される情報通知方法であって、
過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得し、
取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定し、
インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する
情報通知方法。
【請求項2】
前記優先度は、高いほど前記暫定対応または前記恒久対応が早い順で行われることを示し、前記発生傾向に基づいて、セキュリティ攻撃による将来の被害が大きいほど高くなるように決定される
請求項1に記載の情報通知方法。
【請求項3】
前記発生傾向は、前記種別毎のインシデントの発生件数の経時的変化に関する
請求項2に記載の情報通知方法。
【請求項4】
前記発生傾向は、前記経時的変化における前記第2期間内の第1時刻での傾きであり、
前記優先度は、前記傾きが大きいほど高くなるように決定される
請求項3に記載の情報通知方法。
【請求項5】
前記発生傾向は、前記第2期間における前記経時的変化を示す曲線であり、
前記優先度は、前記曲線の最大値が大きいほど高くなるように決定される
請求項3に記載の情報通知方法。
【請求項6】
前記発生傾向は、前記第2期間における前記経時的変化を示す曲線であり、
前記優先度は、前記曲線において所定の発生件数より大きい期間が長いほど高くなるように決定される
請求項3に記載の情報通知方法。
【請求項7】
前記発生傾向は、前記第2期間におけるインシデントの発生件数の総数であり、
前記優先度は、前記総数が大きいほど高くなるように決定される
請求項3に記載の情報通知方法。
【請求項8】
前記発生傾向は、前記第2期間におけるインシデントの発生件数の総数であり、
前記優先度は、前記総数に、インシデントが1件発生することで生じる被害額を乗算することで算出される総被害額が大きいほど高くなるように決定される
請求項3に記載の情報通知方法。
【請求項9】
前記発生傾向は、当該発生傾向を示す指標において前記決定で決定される可能性がある複数の指標値の分布を含む
請求項1から3のいずれか1項に記載の情報通知方法。
【請求項10】
前記分布は、当該発生傾向を示す指標を確率変数とする確率密度関数で表される
請求項9に記載の情報通知方法。
【請求項11】
前記分布は、前記複数の指標値を含む第1範囲で表される
請求項9に記載の情報通知方法。
【請求項12】
前記優先度は、前記分布に基づく期待値が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項13】
前記優先度は、前記複数の指標値のうちの最大値が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項14】
前記優先度は、前記分布における分散が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項15】
前記優先度は、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項16】
前記優先度は、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向を入力とし、前記複数の発生傾向のそれぞれに対して決定された第1評価値を正解データとする機械学習により生成された機械学習モデルを用いて決定される
請求項9に記載の情報通知方法。
【請求項17】
前記優先度に基づく優先順位は、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向を入力とし、前記複数の発生傾向のそれぞれに対して決定された優先順位を正解データとする機械学習により生成された機械学習モデルを用いて決定される
請求項9に記載の情報通知方法。
【請求項18】
前記決定では、さらに、
前記分布に基づく期待値と、前記複数の指標値のうちの最大値と、前記分布における分散と、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合と、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向に基づいて機械学習モデルを用いて決定される評価値とのうちの少なくとも2つの値のそれぞれについて、当該値の大きさで前記複数のインシデントを順位付けすることで第2評価値を算出し、
前記複数のインシデントのそれぞれについて算出された少なくとも2つの第2評価値を合算することでインシデント毎に第3評価値を算出し、
前記優先度は、前記第3評価値が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項19】
前記決定では、さらに、
前記複数のインシデントのそれぞれについて、第4評価値を算出し、
前記第4評価値の算出では、対応するインシデントについて、
前記分布に基づく期待値と、前記複数の指標値のうちの最大値と、前記分布における分散と、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合と、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向に基づいて機械学習モデルを用いて決定される評価値とのうちの少なくとも2つの値のそれぞれについて、当該値の大きさに対応する第5評価値を決定し、
なくとも2つの前記第5評価値を合算することで前記第4評価値を算出し、
前記優先度は、前記第4評価値が大きいほど高くなるように決定される
請求項9に記載の情報通知方法。
【請求項20】
前記決定では、前記インシデントの種別毎、及び、監視対象の機種毎に、前記監視対象における将来の第2期間における当該種別及び当該機種のインシデントの発生傾向、及び、当該種別及び当該機種のインシデントに対する暫定対応または恒久対応の優先度を決定する
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項21】
前記決定では、さらに、前記インシデントの種別毎に、当該種別のインシデント情報の発生総数に、当該種別のインシデント情報が発生することで生じる被害額を乗算することで総被害額を算出し、
前記優先度は、前記総被害額が大きいほど高くなるように決定される
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項22】
さらに、
インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて、当該インシデントの種別の前記第2期間における発生数に関する指標値を算出し、
前記指標値が基準値を超える場合に、前記暫定対応の推奨を通知する
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項23】
さらに、
インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて第6評価値を算出し、
前記第6評価値が基準値を超える場合に、前記暫定対応の推奨を通知する
請求項10に記載の情報通知方法。
【請求項24】
前記発生傾向は、過去の第3期間において発生した複数の第1インシデント情報を入力とし、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績を正解データとする機械学習により生成された機械学習モデルを用いて決定される
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項25】
さらに、
過去の第3期間において発生した複数の第1インシデント情報を入力とし、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額を正解データとする機械学習により生成された機械学習モデルを用いて、前記第2期間におけるセキュリティ攻撃による被害総額を決定する
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項26】
前記発生傾向は、過去の第3期間において発生した複数の第1インシデント情報と、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績との間の相関関係を用いて決定される
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項27】
さらに、
過去の第3期間において発生した複数の第1インシデント情報と、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額の実績との間の相関関係を用いて、前記第2期間におけるセキュリティ攻撃による被害総額を決定する
請求項1から8のいずれか1項に記載の情報通知方法。
【請求項28】
過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得する取得部と、
取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定する決定部と、
インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する提示部と、を備える
情報通知装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は情報通知方法及び情報通知装置に関する。
【背景技術】
【0002】
特許文献1には、発生したインシデントの特徴に基づいてクラスタ分析を行い、分析結果に基づいてより異常らしいものを高優先度に決定し、アラートを通知するアラート通知装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2019-175070号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に係る技術では、大量に通知されるインシデントにおいてより異常らしいものを高優先度に位置づけることを主目的としており、今後被害が拡大するインシデントを高優先度に位置づけることができない。
【課題を解決するための手段】
【0005】
本開示の一態様に係る情報通知方法は、過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得し、取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定し、インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する。
【0006】
なお、これらの全般的または具体的な態様は、システム、装置、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0007】
上記態様によれば、今後被害が拡大するインシデントから優先的に対応することが可能になることで、インシデントによる被害を抑制することができる。
【図面の簡単な説明】
【0008】
図1図1は、実施の形態に係る情報通知システムの概略図である。
図2図2は、実施の形態に係る情報処理装置のハードウェア構成の一例を示すブロック図である。
図3図3は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。
図4図4は、実施の形態に係る情報通知システムの機能構成の一例を示すブロック図である。
図5図5は、インシデント統計情報の具体例を示す表である。
図6図6は、インシデント統計情報の他の一例を示す表である。
図7図7は、インシデント統計情報の他の一例を示す表である。
図8図8は、インシデント統計情報の他の一例を示す表である。
図9図9は、インシデント情報の発生件数の経時的変化を示すグラフである。
図10図10は、実施の形態に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
図11図11は、変形例1に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
図12図12は、変形例2に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
図13図13は、変形例3に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
図14図14は、発生傾向を示す指標を確率変数とする確率密度関数の一例を示す図である。
図15図15は、分布が、発生傾向を示す指標において取り得る複数の指標値を含む範囲で表される例を示す図である。
図16図16は、分布が、発生傾向を示す指標において取り得る複数の指標値で表される例を示す図である。
図17図17は、変形例4の優先度の決定方法の第1の例を説明するための図である。
図18図18は、変形例4の優先度の決定方法の第2の例を説明するための図である。
図19図19は、変形例4の優先度の決定方法の第3の例を説明するための図である。
図20図20は、変形例4の優先度の決定方法の第4の例を説明するための図である。
図21図21は、変形例4の優先度の決定方法の第5の例を説明するための図である。
図22図22は、変形例4の優先度の決定方法の第6の例を説明するための図である。
図23図23は、変形例4の優先度の決定方法の第7の例を説明するための図である。
図24図24は、変形例4の優先度の決定方法の第8の例を説明するための図である。
図25図25は、変形例4に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
【発明を実施するための形態】
【0009】
(本開示の基礎となった知見)
車両などの機器に情報セキュリティ上の脆弱性が見つかった場合、その機器またはその機器と同一機種の他の機器において同種のセキュリティ攻撃が複数発生する可能性がある。このため、セキュリティ攻撃による被害を最小限に抑えるために、SIRT(Security
Incident Response Team)において暫定対応または恒久対応を早期に判断し、セキュリ
ティ攻撃への対処をすべきである。
【0010】
しかしながら、暫定対応は、例えば、機能縮退(機能停止)であり、エンドユーザに与える影響が大きい。よって、十分な判断材料がない状況において、セキュリティ攻撃への対処として、暫定対応を行うことを決定することが難しいという課題がある。また、恒久対応において、SIRTの人員は有限であるため、複数のインシデントに対して同時に対応することが難しいという課題がある。
【0011】
本開示の一態様に係る情報通知方法は、情報通知装置により実行される情報通知方法であって、過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得し、取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定し、インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する。
【0012】
本開示の第1の態様に係る情報通知方法は、過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得し、取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定し、インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する。
【0013】
このため、暫定対応の実施可否、及び恒久対応の対応優先度を精度よくかつ容易に判断するための判断材料を提供することができる。例えば通知を受けたSIRTでは、暫定対応または恒久対応を早期に実行することができ、暫定対応の実施判断や、恒久対応の実施優先度を容易に決定することができる。これにより、限られた人員であっても、セキュリティへの影響が大きいインシデントへの対応を優先的に行うことができる。
【0014】
本開示の第2の態様に係る情報通知方法は、第1の態様に係る情報通知方法であって、前記優先度は、高いほど前記暫定対応または前記恒久対応が早い順で行われることを示し、前記発生傾向に基づいて、セキュリティ攻撃による将来の被害が大きいほど高くなるように決定される。
【0015】
これにより、限られた人員であっても、セキュリティ攻撃による将来の被害が大きいインシデントへの対応を優先的に行うことができる。
【0016】
本開示の第3の態様に係る情報通知方法は、第2の態様に係る情報通知方法であって、前記発生傾向は、前記種別毎のインシデントの発生件数の経時的変化に関する。
【0017】
このため、例えば通知を受けたSIRTでは、将来のインシデント情報の発生傾向を容易に把握することができる。
【0018】
本開示の第4の態様に係る情報通知方法は、第3の態様に係る情報通知方法であって、前記発生傾向は、前記経時的変化における前記第2期間内の第1時刻での傾きであり、前記優先度は、前記傾きが大きいほど高くなるように決定される。
【0019】
これによれば、傾きが大きく増加傾向であるインシデントほど対応の優先度が高くなるように決定されるため、傾きが大きく増加傾向であるインシデントほどより優先的に対応することを促すことができる。
【0020】
本開示の第5の態様に係る情報通知方法は、第3の態様に係る情報通知方法であって、前記発生傾向は、前記第2期間における前記経時的変化を示す曲線であり、前記優先度は、前記曲線の最大値が大きいほど高くなるように決定される。
【0021】
これによれば、曲線の最大値が大きいインシデントほど対応の優先度が高くなるように決定されるため、曲線の最大値が大きいインシデントほどより優先的に対応することを促すことができる。
【0022】
本開示の第6の態様に係る情報通知方法は、第3の態様に係る情報通知方法であって、前記発生傾向は、前記第2期間における前記経時的変化を示す曲線であり、前記優先度は、前記曲線において所定の発生件数より大きい期間が長いほど高くなるように決定される。
【0023】
これによれば、所定の発生件数より大きい期間が長いインシデントほど、対応の優先度が高くなるように決定されるため、所定の発生件数より大きい期間が長いインシデントほどより優先的に対応することを促すことができる。
【0024】
本開示の第7の態様に係る情報通知方法は、第3の態様に係る情報通知方法であって、前記発生傾向は、前記第2期間におけるインシデントの発生件数の総数であり、前記優先度は、前記総数が大きいほど高くなるように決定される。
【0025】
これによれば、第2期間におけるインシデント情報の発生件数の総数が大きいインシデントほど対応の優先度が高くなるように決定されるため、第2期間におけるインシデント情報の発生件数の総数が大きいインシデントほどより優先的に対応することを促すことができる。
【0026】
本開示の第8の態様に係る情報通知方法は、第3の態様に係る情報通知方法であって、前記発生傾向は、前記第2期間におけるインシデントの発生件数の総数であり、前記優先度は、前記総数に、インシデントが1件発生することで生じる被害額を乗算することで算出される総被害額が大きいほど高くなるように決定される。
【0027】
これによれば、総被害額が大きいインシデントほど対応の優先度が高くなるように決定されるため、総被害額が大きいインシデントほどより優先的に対応することを促すことができる。
【0028】
本開示の第9の態様に係る情報通知方法は、第1の態様から第8の態様のいずれか1つの態様に係る情報通知方法であって、前記発生傾向は、当該発生傾向を示す指標において前記決定で決定される可能性がある複数の指標値の分布を含む。
【0029】
このため、発生傾向の予測の確からしさを考慮して優先度を決定することができる。
【0030】
本開示の第10の態様に係る情報通知方法は、第9の態様に係る情報通知方法であって、前記分布は、当該発生傾向を示す指標を確率変数とする確率密度関数で表される。
【0031】
このため、発生傾向の発生確率を考慮して優先度を決定することができる。
【0032】
本開示の第11の態様に係る情報通知方法は、第9の態様に係る情報通知方法であって、前記分布は、前記複数の指標値を含む第1範囲で表される。
【0033】
このため、発生傾向の分布を考慮して優先度を決定することができる。
【0034】
本開示の第12の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度は、前記分布に基づく期待値が大きいほど高くなるように決定される。
【0035】
本開示の第13の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度は、前記複数の指標値のうちの最大値が大きいほど高くなるように決定される。
【0036】
本開示の第14の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度は、前記分布における分散が大きいほど高くなるように決定される。
【0037】
本開示の第15の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度は、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合が大きいほど高くなるように決定される。
【0038】
本開示の第16の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度は、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向を入力とし、前記複数の発生傾向のそれぞれに対して決定された第1評価値を正解データとする機械学習により生成された機械学習モデルを用いて決定される。
【0039】
本開示の第17の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記優先度に基づく優先順位は、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向を入力とし、前記複数の発生傾向のそれぞれに対して決定された優先順位を正解データとする機械学習により生成された機械学習モデルを用いて決定される。
【0040】
本開示の第18の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記決定では、さらに、前記分布に基づく期待値と、前記複数の指標値のうちの最大値と、前記分布における分散と、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合と、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向に基づいて機械学習モデルを用いて決定される評価値とのうちの少なくとも2つの値のそれぞれについて、当該値の大きさで前記複数のインシデントを順位付けすることで第2評価値を算出し、前記複数のインシデントのそれぞれについて算出された少なくとも2つの第2評価値を合算することでインシデント毎に第3評価値を算出し、前記優先度は、前記第3評価値が大きいほど高くなるように決定される。
【0041】
本開示の第19の態様に係る情報通知方法は、第9の態様から第11の態様のいずれか1つの態様に係る情報通知方法であって、前記決定では、さらに、前記複数のインシデントのそれぞれについて、第4評価値を算出し、前記第4評価値の算出では、対応するインシデントについて、前記分布に基づく期待値と、前記複数の指標値のうちの最大値と、前記分布における分散と、前記分布に基づいて算出される割合であって、前記指標において第1の閾値以上の指標値が分布している割合と、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向に基づいて機械学習モデルを用いて決定される評価値とのうちの少なくとも2つの値のそれぞれについて、当該値の大きさに対応する第5評価値を決定し、前記少なくとも2つの第5評価値を合算することで前記第4評価値を算出し、前記優先度は、前記第4評価値が大きいほど高くなるように決定される。
【0042】
本開示の第20の態様に係る情報通知方法は、第1の態様から第8の態様のいずれか1つの態様に係る情報通知方法であって、前記決定では、前記インシデントの種別毎、及び、監視対象の機種毎に、前記監視対象における将来の第2期間における当該種別及び当該機種のインシデントの発生傾向、及び、当該種別及び当該機種のインシデントに対する暫定対応または恒久対応の優先度を決定する。
【0043】
このため、インシデントの種別毎及び監視対象の機種毎に、暫定対応または恒久対応の優先度を決定することができる。
【0044】
本開示の第21の態様に係る情報通知方法は、第1の態様から第8の態様のいずれか1つの態様に係る情報通知方法であって、前記決定では、さらに、前記インシデントの種別毎に、当該種別のインシデント情報の発生総数に、当該種別のインシデント情報が発生することで生じる被害額を乗算することで総被害額を算出し、前記優先度は、前記総被害額が大きいほど高くなるように決定される。
【0045】
このため、被害総額に応じた優先度を決定することができる。
【0046】
本開示の第22の態様に係る情報通知方法は、第1の態様から第8の態様のいずれか1つの態様に係る情報通知方法であって、さらに、インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて、当該インシデントの種別の前記第2期間における発生数に関する指標値を算出し、前記指標値が基準値を超える場合に、前記暫定対応の推奨を通知する。
【0047】
このため、第2期間における発生数に関する指標値が基準値を超える場合に、暫定対応の推奨を通知することができる。
【0048】
本開示の第23の態様に係る情報通知方法は、第10の態様に係る情報通知方法であって、さらに、インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて第6評価値を算出し、前記第6評価値が基準値を超える場合に、前記暫定対応の推奨を通知する。
【0049】
このため、第5評価値が基準値を超える場合に、暫定対応の推奨を通知することができる。
【0050】
本開示の第24の態様に係る情報通知方法は、第1の態様から第22の態様のいずれか1つの態様に係る情報通知方法であって、前記発生傾向は、過去の第3期間において発生した複数の第1インシデント情報を入力とし、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績を正解データとする機械学習により生成された機械学習モデルを用いて決定される。
【0051】
このため、機械学習モデルを用いて将来のインシデント情報の発生傾向を予測することができる。
【0052】
本開示の第25の態様に係る情報通知方法は、第1の態様から第22の態様のいずれか1つの態様に係る情報通知方法であって、さらに、過去の第3期間において発生した複数の第1インシデント情報を入力とし、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額を正解データとする機械学習により生成された機械学習モデルを用いて、前記第2期間におけるセキュリティ攻撃による被害総額を決定する。
【0053】
このため、機械学習モデルを用いて将来のセキュリティ攻撃による被害総額を予測することができる。
【0054】
本開示の第26の態様に係る情報通知方法は、第1の態様から第22の態様のいずれか1つの態様に係る情報通知方法であって、前記発生傾向は、過去の第3期間において発生した複数の第1インシデント情報と、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績との間の相関関係を用いて決定される。
【0055】
このため、過去の実績に基づいての発生傾向を予測することができる。
【0056】
本開示の第27の態様に係る情報通知方法は、第1の態様から第22の態様のいずれか1つの態様に係る情報通知方法であって、さらに、過去の第3期間において発生した複数の第1インシデント情報と、前記第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額の実績との間の相関関係を用いて、前記第2期間におけるセキュリティ攻撃による被害総額を決定する。
【0057】
このため、過去の実績に基づいての将来のセキュリティ攻撃による被害総額を予測することができる。
【0058】
本開示の第28の態様に係る情報通知装置は、過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデントのインシデント情報を取得する取得部と、取得した前記インシデント情報に基づいて、インシデントの種別毎に、前記監視対象における将来の第2期間における当該種別のインシデントの発生傾向、及び、当該種別のインシデントに対する暫定対応または恒久対応の優先度を決定する決定部と、インシデントの種別毎に決定した前記発生傾向及び前記優先度を提示する提示部と、を備える。
【0059】
このため、暫定対応の実施可否、及び恒久対応の対応優先度を精度よくかつ容易に判断するための判断材料を提供することができる。例えば通知を受けたSIRTでは、暫定対応または恒久対応を早期に実行することができ、暫定対応の実施判断や、恒久対応の実施優先度を容易に決定することができる。これにより、限られた人員であっても、セキュリティへの影響が大きいインシデントへの対応を優先的に行うことができる。
【0060】
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
【0061】
以下、本開示の一態様に係る情報通知方法及び情報処理装置について、図面を参照しながら具体的に説明する。
【0062】
なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0063】
(実施の形態)
以下、図1図10を用いて、実施の形態を説明する。
【0064】
[構成]
図1は、実施の形態に係る情報通知システムの概略図である。
【0065】
具体的には、図1において、セキュリティ監視装置100、情報通知装置200、車両400、通信ネットワーク300および移動体通信網の基地局310が示されている。セキュリティ監視装置100、情報通知装置200、及び、車両400は、通信ネットワーク300を介して、互いに情報の授受ができるように通信可能に接続されている。
【0066】
セキュリティ監視装置100は、車両400の状態を監視する装置であり、例えば、監視センター(SOC(Security Operation Center))及びSIRTにおける機能を有していてもよい。セキュリティ監視装置100は、監視センターの機能として、車両400からログ情報を定期的に取得し、取得したログ情報に基づいて車両400の状態を監視する。具体的には、セキュリティ監視装置100は、ログ情報に基づいて車両400に対するセキュリティ攻撃の有無を判定する。セキュリティ監視装置100は、次に車両400からログ情報を取得するまでの期間を短くすることで、ほぼリアルタイムに車両400に対するセキュリティ攻撃の有無を判定することができる。セキュリティ監視装置100は、車両400に対するセキュリティ攻撃があったことを判定すると、判定により得られたインシデント情報を情報通知装置200へ送信する。
【0067】
また、セキュリティ監視装置100は、SIRTにおける機能として、情報通知装置200から予測発生傾向及び優先度を示す通知情報を取得し、通知情報をSIRTの人員に提示する。セキュリティ監視装置100は、SIRTの人員から通知情報を参考に開発することで生成された対応情報の入力を受け付けて、車両400へ対応情報を送信する。
【0068】
なお、セキュリティ監視装置100が有するとした監視センターにおける機能と、SIRTにおける機能とは、別々の装置で実現されてもよい。つまり、この場合、監視センターにおける機能を有する第1装置は、ログ情報を車両400から取得し、生成したインシデント情報を情報通知装置200へ出力する。SIRTにおける機能を有する第2装置は、情報通知装置200から通知情報を取得し、生成した対応情報を車両400へ出力する。
【0069】
なお、図1では、1台の車両400が示されているが、情報通知システム1は、複数台の車両400を備えていてもよい。つまり、セキュリティ監視装置100は、複数台の車両400のそれぞれからログ情報を定期的に取得し、車両400のそれぞれに対するセキュリティ攻撃の有無を判定し、車両400毎に得られたインシデント情報を情報通知装置200へ送信してもよい。セキュリティ監視装置100は、車両400に対するセキュリティ攻撃があったことを判定した場合に、インシデント情報を生成し、車両400に対するセキュリティ攻撃がなかったことを判定した場合に、インシデント情報を生成しない。セキュリティ監視装置100は、サーバなどのようなコンピュータにより構成される。
【0070】
情報通知装置200は、過去の複数のインシデント情報に基づいて、インシデント情報の種別毎に、将来の当該種別のインシデント情報の発生傾向、及び、当該種別のインシデント情報に対する暫定対応または恒久対応の優先度を決定し、決定した発生傾向及び優先度を通知する装置である。情報通知装置200は、セキュリティ監視装置100からインシデント情報を取得し、取得したインシデント情報に基づいて、インシデント情報の種別毎に、将来のインシデント情報の発生傾向を推定する。情報通知装置200は、サーバなどのようなコンピュータにより構成される。
【0071】
車両400は、自律運転が可能な自動運転車である。車両400は、情報を提示する提示部を備える。車両400は、受信した指示に応じて、車両400の動作を制御する。具体的には、車両400は、指示に応じて、提示部に情報を提示してもよいし、車両400の走行に関する動作(以下、走行動作という)を制御してもよい。車両400は、例えば、カーシェアリングサービスに用いられる車両であってもよいし、タクシーサービスに用いられる車両であってもよい。車両400は、自律運転可能な自動運転車に限らずに、ADAS機能などの運転補助機能を備えた自動車であってもよい。
【0072】
なお、本実施の形態では、セキュリティ監視装置100と情報通知装置200とが別体の構成としているが、これに限らずに、一体の構成であってもよい。つまり、セキュリティ監視装置100は、情報通知装置200の機能を有していてもよい。
【0073】
図2は、実施の形態に係る情報通知装置のハードウェア構成の一例を示すブロック図である。
【0074】
図2に示すように、情報通知装置200は、ハードウェア構成として、CPU(Central Processing Unit)21と、メインメモリ22と、ストレージ23と、通信IF(Interface)24とを備える。
【0075】
CPU21は、ストレージ23等に記憶されたプログラムを実行するプロセッサである。
【0076】
メインメモリ22は、CPU21がプログラムを実行するときに使用するワークエリアとして用いられる揮発性の記憶領域である。
【0077】
ストレージ23は、プログラム、インシデント情報などを保持する不揮発性の記憶領域である。
【0078】
通信IF24は、通信ネットワーク300を介して、セキュリティ監視装置100と通信する通信インタフェースである。通信IF24は、例えば、有線LANインタフェースである。なお、通信IF24は、無線LANインタフェースであってもよい。また、通信IF24は、LANインタフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インタフェースであれば、どのような通信インタフェースであってもよい。
【0079】
図3は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。
【0080】
図3に示すように、車両400は、ハードウェア構成として、TCU(Telematics Control Unit)41と、複数のECU42と、ストレージ43とを備える。
【0081】
TCU41は、車両400が通信ネットワーク300との間で無線通信を行う通信ユニットである。TCU41は、移動体通信網の規格に対応したセルラモジュールを含む通信ユニットである。
【0082】
複数のECU42は、車両400が備える機器の制御を実行する制御回路である。車両400が備える機器は、例えば、エンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、エアコンなどを含む。また、複数のECU42の少なくとも1つは、車両400の自律運転を制御する制御回路である。複数のECU42は、これらの各種機器のそれぞれに対応して設けられていてもよい。複数のECU42のそれぞれは、ここでは図示しないが、各ECU42が実行するプログラムを格納している記憶部(不揮発性の記憶領域)を備えていてもよい。記憶部は、例えば、不揮発性のメモリである。
【0083】
ストレージ43は、制御プログラムなどを保持する不揮発性の記憶領域である。ストレージ43は、例えば、HDD(Hard Disk Drive)、SSD(Solid
State Drive)などにより実現される。
【0084】
次に、情報通知システム1の情報通知装置200及び車両400の機能構成について説明する。図4は、実施の形態に係る情報通知システムの機能構成の一例を示すブロック図である。なお、図4では、通信ネットワーク300を省略している。
【0085】
まず、情報通知装置200の機能構成について説明する。
【0086】
情報通知装置200は、通信部210と、取得部220と、決定部230と、通知部240と、記憶部250とを備える。
【0087】
通信部210は、通信ネットワーク300を介して、セキュリティ監視装置100との間で情報の授受を行う。通信部210は、具体的には、セキュリティ監視装置100からインシデント情報を受信する。通信部210により受信されたインシデント情報は、記憶部250に蓄積される。また、通信部210は、セキュリティ監視装置100へ通知情報を送信する。なお、通信部210は、通信IF24により実現される。
【0088】
図5は、インシデント統計情報の具体例を示す表である。
【0089】
インシデント統計情報は、過去の第1期間において監視対象としての車両400がセキュリティ攻撃を受けることにより発生したインシデント情報に基づいて生成された情報である。記憶部250に蓄積されるインシデント統計情報は、図5に示すように、IDと、日付と、インシデント種別と、発生件数とを含む。インシデント統計情報は、蓄積された複数のインシデント情報に基づいて生成されるインシデント情報に関する統計情報である。IDは、例えば、同日に発生した同じ種別のインシデントを識別する情報である。日付は、インシデントが発生した日付を示す。インシデント種別は、発生したインシデントの種別を示し、例えば、番号で示される。発生件数は、同じ種別のインシデントが同日に発生した件数を示す。
【0090】
図6は、インシデント統計情報に含まれる情報の他の一例を示す表である。
【0091】
図5では、インシデント統計情報は、インシデントの発生時刻に関する情報として、インシデントが発生した日付を含むとしたが、その代わりに、図6に示すように、インシデントが発生した日時を含んでいてもよい。
【0092】
図7は、インシデント統計情報に含まれる情報の他の一例を示す表である。
【0093】
図5のインシデント種別は、インシデント種別を示す番号で示されるとしたが、これに限らずに、図7に示すように、攻撃方法及びその影響度、攻撃の実現可用性などインシデントの特性を表す情報で示されてもよい。
【0094】
図8は、インシデント統計情報に含まれる情報の他の一例を示す表である。
【0095】
図5では、インシデント統計情報は、同じ種別のインシデントが同日に発生した件数を示す発生件数を含むとしたが、これに限らずに、図8に示すように、発生の頻度を含んでいてもよい。発生の頻度は、例えば、1日に発生した件数に応じて段階的に定義されており、「極めて少ない」、「少ない」、「普通」、「多い」、及び、「極めて多い」の5段階の頻度に分類されていてもよい。頻度の段階の数は、5段階に限らずに2~4段階であってもよいし、6段階以上であってもよい。
【0096】
なお、セキュリティ攻撃の対象となった車両400は、監視対象の一例である。なお、監視対象は、車両400に限らずに、コンピュータを搭載し、外部のネットワークと通信可能な機能を有する装置であればよい。つまり、車両監視に限らずに、IoT監視、サーバ監視、ビル監視、工場監視、飛行機や船舶など移動体の監視などに適用されてもよい。
【0097】
図4を用いた説明に戻る。
【0098】
取得部220は、過去の第1期間において車両400がセキュリティ攻撃を受けることにより発生した複数のインシデント情報を記憶部250から取得する。なお、取得部220は、記憶部250から、第1期間において発生した複数のインシデント情報を取得することに限らずに、セキュリティ監視装置100から複数のインシデント情報を取得してもよいし、インシデント統計情報を取得してもよい。
【0099】
決定部230は、取得した複数のインシデント情報またはインシデント統計情報に基づいて、インシデント情報の種別毎に、車両400における将来の第2期間における当該種別のインシデント情報の発生傾向、及び、当該種別のインシデント情報に対する暫定対応または恒久対応の優先度を決定する。具体的には、決定部230は、まず、将来の第2期間における当該種別のインシデント情報の発生傾向(以下、「予測発生傾向」という)を決定した後に、当該種別のインシデント情報に対する暫定対応または恒久対応の優先度を決定する。予測発生傾向は、種別毎のインシデント情報の発生件数の経時的変化に関する。
【0100】
図9は、インシデント情報の発生件数の経時的変化を示すグラフである。
【0101】
例えば、予測発生傾向は、種別毎のインシデント情報の発生件数の経時的変化における第2期間内の第1時刻t1での傾きである。つまり、予測発生傾向は、経時的変化のグラフにおける第1時刻t1での接線の傾きである。また、例えば、予測発生傾向は、第2期間におけるインシデントの発生件数の経時的変化を示す曲線(グラフ)であってもよい。また、例えば、予測発生傾向は、第2期間におけるインシデント情報の発生件数の総数であってもよい。つまり、予測発生傾向は、図9の第2期間における発生件数を示す曲線と発生件数が0を示す直線との間の面積(つまり、図9における斜線ハッチング箇所の面積)であってもよい。
【0102】
予測発生傾向は、例えば、機械学習を用いて決定されてもよい。この場合、予測発生傾向は、過去の第3期間において発生した複数の第1インシデント情報を入力とし、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績を正解データとする機械学習により生成された機械学習モデルを用いて決定される。
【0103】
また、予測発生傾向は、例えば、ルールベースモデルを用いて決定されてもよい。この場合、予測発生傾向は、過去の第3期間において発生した複数の第1インシデント情報と、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績との間の相関関係を用いて決定される。
【0104】
決定部230は、予測発生傾向を決定した後に、種別毎のインシデント情報の発生傾向に基づいて、セキュリティ攻撃による将来の被害が大きいほど高くなるように種別毎の優先度を決定する。優先度は、高いほど暫定対応または恒久対応が早い順で行われることを示す。優先度は、予測発生傾向としての傾きが大きいほど高くなるように決定されてもよい。優先度は、予測発生傾向としての曲線の最大値が大きいほど高くなるように決定されてもよい。優先度は、予測発生傾向としての曲線において所定の発生件数より大きい期間が長いほど高くなるように決定されてもよい。優先度は、予測発生傾向としての、第2期間におけるインシデント情報の発生件数の総数が大きいほど高くなるように決定されてもよい。
【0105】
図4を用いた説明に戻る。
【0106】
通知部240は、インシデント情報の種別毎に決定された予測発生傾向及び優先度を通知する。具体的には、通知部240は、予測発生傾向及び優先度を示す通知情報を通信部210を介してセキュリティ監視装置100へ送信する。
【0107】
取得部220、決定部230及び通知部240は、CPU21及びメインメモリ22などにより実現される。記憶部250は、ストレージ23により実現される。
【0108】
[動作]
図10は、実施の形態に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。
【0109】
車両400は、ログ情報をセキュリティ監視装置100へ送信する(S11)。ログ情報は、例えば、車両400の制御状態、車両400が備えるセンサの検出値などである。
【0110】
セキュリティ監視装置100は、ログ情報に基づいて車両400にセキュリティ攻撃が行われたことを検出する(S12)。
【0111】
セキュリティ監視装置100は、セキュリティ攻撃に基づいて上述したインシデント情報を生成し、インシデント情報を情報通知装置200へ送信する(S13)。
【0112】
情報通知装置200は、インシデント情報を受信する(S14)。
【0113】
情報通知装置200は、受信したインシデント情報を記憶部250に記憶する(S15)。
【0114】
情報通知装置200は、インシデントの種別毎にステップS16及びステップS17をループで実行する。
【0115】
情報通知装置200は、処理対象の種別のインシデント情報を記憶部250から読み出す(S16)。ここで読み出されるインシデント情報は、過去の第1期間において発生したセキュリティ攻撃によって生成された複数のインシデント情報である。
【0116】
情報通知装置200は、過去の第1期間において発生したセキュリティ攻撃によって生成された複数のインシデント情報に基づいて、予測発生傾向を決定する(S17)。
【0117】
情報通知装置200は、予測発生傾向に基づいて、インシデントの種別毎の優先度を決定する(S18)。
【0118】
情報通知装置200は、予測発生傾向及び優先度をセキュリティ監視装置100へ通知する(S19)。
【0119】
セキュリティ監視装置100は、取得した予測発生傾向、および優先度の情報を参考にインシデント種別毎に暫定対応の実施有無や対応内容の決定または恒久対応の優先度付けを行う。セキュリティ監視装置100は、種別毎のインシデントに対応するための暫定対応または恒久対応を車両400に実行させるための対応情報であって、SIRTの人員によって生成された対応情報の入力を受け付けて、受け付けた対応情報を車両400へ送信する(S20)。
【0120】
なお、優先度は、複数のインシデント種別間における相対的なものであってもよいし、予め定められた基準との比較により算出される絶対的なものであってもよい。
【0121】
暫定対応は、例えば、セキュリティ攻撃の原因となった脆弱性を含む機能やその影響を受ける機能を停止させる対応である。なお、対象となるインシデント種別に対応した暫定対応の方法が複数ある場合、インシデントの種別毎の優先度を用いて暫定対応の方法を決定してもよい。
【0122】
恒久対応は、例えば、セキュリティ攻撃の原因となった脆弱性を克服するためのソフトウェア更新を実行させる対応である。
【0123】
[効果など]
本実施の形態に係る情報通知方法は、過去の第1期間において車両400(監視対象)がセキュリティ攻撃を受けることにより発生した複数のインシデント情報を取得し、取得した複数のインシデント情報に基づいて、インシデント情報の種別毎に、車両400(監視対象)における将来の第2期間における当該種別のインシデント情報の発生傾向(予測発生傾向)、及び、当該種別のインシデント情報に対する暫定対応または恒久対応の優先度を決定し、インシデント情報の種別毎に決定した予測発生傾向及び優先度を通知する。
【0124】
このため、暫定対応の実施可否、及び恒久対応の対応優先度を精度よくかつ容易に判断するための判断材料を提供することができる。例えば通知を受けたSIRTでは、暫定対応の実施判断や、恒久対応の実施優先度を容易に決定することができ、暫定対応または恒久対応を早期に実行することができる。これにより、限られた人員であっても、セキュリティへの影響が大きいインシデントへの対応を優先的に行うことができる。
【0125】
また、本実施の形態に係る情報通知方法において、優先度は、高いほど暫定対応または恒久対応が早い順で行われることを示し、発生傾向に基づいて、セキュリティ攻撃による将来の被害が大きいほど高くなるように決定される。これにより、限られた人員であっても、セキュリティ攻撃による将来の被害が大きいインシデントへの対応を優先的に行うことができる。
【0126】
また、本実施の形態に係る情報通知方法において、予測発生傾向は、種別毎のインシデント情報の発生件数の経時的変化に関する。このため、例えば通知を受けたSOCやSIRTでは、将来のインシデント情報の発生傾向を容易に把握することができる。これにより、人員配置を変更するなど効率的な監視や対応が可能となる。
【0127】
また、本実施の形態に係る情報通知方法において、予測発生傾向は、前記経時的変化における前記第2期間内の第1時刻での傾きである。また、優先度は、傾きが大きいほど高くなるように決定される。これによれば、傾きが大きく増加傾向であるインシデントほど対応の優先度が高くなるように決定されるため、傾きが大きく増加傾向であるインシデントほどより優先的に対応することを促すことができる。
【0128】
また、本実施の形態に係る情報通知方法において、予測発生傾向は、第2期間における経時的変化を示す曲線である。また、優先度は、曲線の最大値が大きいほど高くなるように決定される。これによれば、曲線の最大値が大きいインシデントほど対応の優先度が高くなるように決定されるため、曲線の最大値が大きいインシデントほどより優先的に対応することを促すことができる。
【0129】
また、本実施の形態に係る情報通知方法において、優先度は、曲線において所定の発生件数より大きい期間が長いほど高くなるように決定される。これによれば、所定の発生件数より大きい期間が長いインシデントほど、対応の優先度が高くなるように決定されるため、所定の発生件数より大きい期間が長いインシデントほどより優先的に対応することを促すことができる。
【0130】
また、本実施の形態に係る情報通知方法において、予測発生傾向は、第2期間におけるインシデント情報の発生件数の総数である。また、優先度は、前記総数が大きいほど高くなるように決定される。これによれば、第2期間における発生件数の総数が大きいインシデントほど対応の優先度が高くなるように決定されるため、第2期間における発生件数の総数が大きいインシデントほどより優先的に対応することを促すことができる。
【0131】
また、本実施の形態に係る情報通知方法において、予測発生傾向は、過去の第3期間において発生した複数の第1インシデント情報を入力とし、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績を正解データとする機械学習により生成された機械学習モデルを用いて決定される。このため、機械学習モデルを用いて将来のインシデント情報の発生傾向を予測することができる。
【0132】
また、本実施の形態に係る情報通知方法において、過去の第3期間において発生した複数の第1インシデント情報と、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく発生傾向の実績との間の相関関係を用いて決定される。このため、過去の実績に基づいての発生傾向を予測することができる。
【0133】
[変形例]
(1)変形例1
上記実施の形態では、インシデントの種別毎にインシデント情報の読み出し(S16)と、予測発生傾向の決定(S17)とを行い、インシデントの種別毎に優先度を決定するとしたが、これに限らない。
【0134】
図11は、変形例1に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。なお、図11には、実施の形態と同様の処理である場合には、図10と同じ符号を付し、説明を省略する。
【0135】
例えば、図11に示すように、さらに、車両400(つまり監視対象)の機種毎に、インシデントの種別毎にインシデント情報の読み出し(S16)と、予測発生傾向の決定(S17)とを行い、インシデントの種別毎に優先度を決定してもよい。つまり、機種毎及びインシデントの種別毎に、予測発生傾向及び優先度を決定してもよい。また同様に、インシデントの種別毎及び機種毎に、予測発生傾向及び優先度を決定してもよい。
【0136】
(2)変形例2
上記実施の形態では、優先度は、予測発生傾向に基づいて決定されるとしたが、予測発生傾向からさらに算出される総被害額に基づいて決定されてもよい。
【0137】
図12は、変形例2に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。なお、図12には、実施の形態と同様の処理である場合には、図10と同じ符号を付し、説明を省略する。
【0138】
ステップS17の後において、情報通知装置200は、インシデントの種別毎の総被害額を決定する。例えば、情報通知装置200は、当該種別のインシデント情報の発生総数に、当該種別のインシデント情報が1件発生することで生じる被害額(被害影響度)を乗算することで総被害額(総被害影響度)を算出する。
【0139】
また、被害総額は、過去の第3期間において発生した複数の第1インシデント情報を入力とし、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額の実績を正解データとする機械学習により生成された機械学習モデルを用いて算出されてもよい。
【0140】
また、被害総額は、過去の第3期間において発生した複数の第1インシデント情報と、第3期間よりも後の過去の第4期間において発生した複数の第2インシデント情報に基づく被害総額の実績との間の相関関係を用いて決定されてもよい。
【0141】
情報通知装置200は、被害総額(総被害影響度)が大きいほど高くなるように優先度を決定する(S18a)。
【0142】
情報通知装置200は、予測発生傾向、優先度及び総被害影響度をセキュリティ監視装置100へ通知する(S19a)。
【0143】
これによれば、総被害額が大きいインシデントほど対応の優先度が高くなるように決定されるため、総被害額が大きいインシデントほどより優先的に対応することを促すことができる。
【0144】
(3)変形例3
図13は、変形例3に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。なお、図13には、実施の形態と同様の処理である場合には、図10と同じ符号を付し、説明を省略する。
【0145】
ステップS17の後において、情報通知装置200は、将来の発生数が基準値より大きいか否かを判定する(S17b)。
【0146】
情報通知装置200は、将来の発生数が基準値より大きい場合(S17bでYes)、暫定対応の実施の推奨をセキュリティ監視装置100へ通知し(S17c)、そうでない場合(S17bでNo)、次の処理を行う。
【0147】
なお、将来の発生数が基準値より大きいか否かを判定することに限らずに、インシデントの発生数を機種台数で除算した発生確率が閾値より大きいか否かを判定してもよい。この場合、発生確率が閾値より大きい場合、ステップS17cを行い、そうでない場合、次の処理を行う。また、将来の発生数が基準値より大きいか否かを判定することに限らずに、インシデントの種別毎の総被害額を算出することにより、将来の総被害額が閾値より大きいか否かを判定してもよい。この場合、総被害額が閾値より大きい場合、ステップS17cを行い、そうでない場合、次の処理を行う。
【0148】
このように、情報通知装置200は、インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて、当該インシデントの種別の前記第2期間における発生数に関する指標値を算出する。指標値は、上述したように、将来の発生数、将来の発生確率、将来の総被害額などである。
【0149】
(4)変形例4
変形例4では、1つの種別のインシデント情報の発生傾向は、当該発生傾向を示す指標において、決定される可能性がある複数の指標値の分布を含んでもよい。具体的には、発生傾向を示す指標は、(i)種別毎のインシデント情報の発生件数の経時的変化における第2期間内の第1時刻t1での傾き、(ii)第2期間におけるインシデントの発生件数の経時的変化を示す曲線(グラフ)の最大値、(iii)第2期間におけるインシデントの発生件数の経時的変化を示す曲線(グラフ)において所定の発生件数より大きい期間、及び、(iv)第2期間におけるインシデント情報の発生件数の総数のいずれかである。
【0150】
複数の指標値の分布は、図14に示すように、当該分布が対応する発生傾向を示す指標を確率変数とする確率密度関数で表されてもよい。図14は、発生傾向を示す指標を確率変数とする確率密度関数の一例を示す図である。確率密度関数は、横軸が発生傾向を示す、縦軸が対応する発生傾向の発生確率を示す。例えば、発生傾向が、種別毎のインシデント情報の発生件数の経時的変化における第2期間内の第1時刻t1での傾きである場合、確率密度関数は、傾きと、当該傾きの発生確率の密度との関係を示す。
【0151】
また、複数の指標値の分布は、図15に示すように、当該分布が対応する発生傾向を示す指標において取り得る複数の指標値を含む範囲で表されてもよい。図15は、分布が、発生傾向を示す指標において取り得る複数の指標値を含む範囲で表される例を示す図である。図15における複数の点は、それぞれ、発生傾向を示す指標において取り得る複数の指標値を示す。複数の指標値を含む範囲は、例えば、複数の指標値のうちの最小値から最大値までの範囲で示される。
【0152】
また、複数の指標値の分布は、図16に示すように、複数の指標値の分布そのものであってもよい。図16は、分布が、発生傾向を示す指標において取り得る複数の指標値で表される例を示す図である。図16における複数の点は、それぞれ、発生傾向を示す指標において取り得る複数の指標値を示す。
【0153】
次に、複数の指標値の分布が確率密度関数で表される場合の優先度の決定方法について説明する。
【0154】
図17は、変形例4の優先度の決定方法の第1の例を説明するための図である。図17には、種別がNo.1のインシデント情報の確率密度関数f1における発生傾向の期待値E1と、種別がNo.2のインシデント情報の確率密度関数f2における発生傾向の期待値E2と、種別No.3のインシデント情報の確率密度関数f3における発生傾向の期待値E3とが示されている。優先度は、確率密度関数に基づく期待値が大きいほど高くなるように決定されてもよい。図17の例の場合、期待値E2は期待値E1より大きく、期待値E1は期待値E3より大きい。よって、No.2のインシデント情報の優先度がNo.1のインシデント情報の優先度よりも高くなるように決定され、No.1のインシデント情報の優先度がNo.3のインシデント情報の優先度よりも高くなるように決定されてもよい。なお、No.1のインシデント情報、No.2のインシデント情報、及び、No.3のインシデント情報は、互いに種別が異なるインシデント情報である。なお、インシデント情報の優先度とは、当該インシデント情報に対する暫定対応または恒久対応のための優先度を示す。
【0155】
図18は、変形例4の優先度の決定方法の第2の例を説明するための図である。図18には、No.1のインシデント情報の確率密度関数f1における発生傾向の変域の最大値MAX1と、No.2のインシデント情報の確率密度関数f2における発生傾向の変域の最大値MAX2と、No.3のインシデント情報の確率密度関数f3における発生傾向の変域の最大値MAX3とが示されている。優先度は、確率密度関数における発生傾向の変域の最大値が大きいほど高くなるように決定されてもよい。図18の例の場合、最大値MAX1は最大値MAX2より大きく、最大値MAX2は最大値MAX1より大きい。よって、No.1のインシデント情報の優先度がNo.2のインシデント情報の優先度よりも高くなるように決定され、No.2のインシデント情報の優先度がNo.3のインシデント情報の優先度よりも高くなるように決定されてもよい。
【0156】
図19は、変形例4の優先度の決定方法の第3の例を説明するための図である。図19には、No.1のインシデント情報の確率密度関数f1における発生傾向の分散V1と、No.2のインシデント情報の確率密度関数f2における発生傾向の分散V2と、No.3のインシデント情報の確率密度関数f3における発生傾向の分散V3とが示されている。なお、図19における分散V1、分散V2及び分散V3は、厳密な図示ではなく概略図である。優先度は、確率密度関数に基づく分散が大きいほど高くなるように決定されてもよい。図19の例の場合、分散V3は分散V1より大きく、分散V1は分散V2より大きい。よって、No.3のインシデント情報の優先度がNo.1のインシデント情報の優先度よりも高くなるように決定され、No.1のインシデント情報の優先度がNo.2のインシデント情報の優先度よりも高くなるように決定されてもよい。このように、分散が大きいほど高くなるように優先度を決定することで、発生傾向のばらつきが大きいほど高くなるように優先度を決定することができる。つまり、発生傾向のリスクが大きいほど高くなるように優先度を決定することができる。
【0157】
図20は、変形例4の優先度の決定方法の第4の例を説明するための図である。図20には、No.1のインシデント情報の確率密度関数f1における発生傾向が閾値Th1以上となる発生確率(例えば15%)と、No.2のインシデント情報の確率密度関数f2における発生傾向が閾値Th1以上となる発生確率(例えば30%)と、No.3のインシデント情報の確率密度関数f3における発生傾向が閾値Th1以上となる発生確率(例えば5%)とが示されている。優先度は、確率密度関数における閾値Th1以上の確率変数の発生確率が大きいほど高くなるように決定されてもよい。
【0158】
図21は、変形例4の優先度の決定方法の第5の例を説明するための図である。第5の例は、機械学習モデルを用いた優先度の決定方法の一例である。機械学習モデルは、過去の第3期間において発生した複数の第1インシデント情報に対応する複数の発生傾向を入力とし、当該複数の発生傾向のそれぞれに対して決定された評価値を正解データとする機械学習により生成される。正解データにおける評価値は、第1評価値の一例である。正解データにおける評価値は、例えば、人が評価した値であってもよいし、上述した確率密度関数に基づいて決定される優先度を算出するための期待値、最大値、及び、分散の少なくとも1つに基づくスコアであってもよい。機械学習モデルにインシデント情報に対応する発生傾向を入力することで、当該インシデント情報に対応する評価値が算出される。そして、優先度は、算出された評価値が大きいほど高くなるように決定される。
【0159】
図22は、変形例4の優先度の決定方法の第6の例を説明するための図である。第6の例は、機械学習モデルを用いた優先度の決定方法の他の一例である。機械学習モデルは、過去の第3期間において発生した、異なる種別の複数の第1インシデント情報に対応する複数の発生傾向を入力とし、当該複数の発生傾向のそれぞれに対して決定された優先順位を正解データとする機械学習により生成される。正解データにおける優先順位は、例えば、人が付けた順位であってもよいし、上述した確率密度関数に基づいて決定される優先度に基づいて決定された優先順位であってもよい。優先順位は、優先度が高いほど順位が高くなるように決定される。機械学習モデルに異なる種別の複数のインシデント情報に対応する複数の発生傾向を入力することで、各インシデント情報に対応する優先順位が決定される。
【0160】
図23は、変形例4の優先度の決定方法の第7の例を説明するための図である。第7の例では、第1の例~第3の例で特定される期待値、最大値、及び、分散の各値に対応する評価値が算出される。この評価値は第2評価値の一例である。例えば、図23に示すように、No.1のインシデント情報について、期待値E1の評価値は期待値E1~E3のうちで2番目に大きい値であるため2点に算出され、最大値MAX1の評価値は最大値MAX1~MAX3のうちで1番目に大きい値であるため3点に算出され、分散V1の評価値は分散V1~V3のうちで2番目に大きい値であるため2点に算出される。同様に、No.2のインシデント情報の期待値E2、最大値MAX2及び分散V2についても各評価値が算出され、No.3のインシデント情報の期待値E3、最大値MAX3及び分散V3についても各評価値が算出される。このように、期待値、最大値、及び、分散の各値の複数のインシデント情報の順位付けによって、各値に対応する評価値が算出される。
【0161】
そして、各種別のインシデント情報について算出された期待値の評価値、最大値の評価値及び分散の評価値は合算されて、種別毎にスコアが算出される。スコアは第3評価値の一例である。これにより、No.1のインシデント情報のスコアは7点に算出され、No.2のインシデント情報のスコアは6点に算出され、No.3のインシデント情報のスコアは5点に算出される。
【0162】
なお、第7の例では、第1の例~第3の例で特定される期待値、最大値、及び、分散の各値に対応する評価値を算出する例について説明したが、期待値、最大値、及び、分散に加えて、第4の例~第6の例の分布に基づいて算出される閾値Th1以上の指標値が分布している割合、及び、機械学習モデルを用いて決定される評価値のうちの少なくとも2つの値に基づいて、当該少なくとも2つの値に対応する評価値が算出されてもよい。
【0163】
このように、優先度の決定では、情報通知装置200は、確率密度関数に基づく期待値、確率変数の変域の最大値、確率密度関数における分散、割合、及び、機械学習モデルを用いて決定される評価値のうちの少なくとも2つの値のそれぞれについて、当該値の大きさで複数のインシデントを順位付けすることで第2評価値を算出する。そして、情報通知装置200は、複数のインシデントのそれぞれについて算出された少なくとも2つの第2評価値を合算することでインシデント毎に第3評価値を算出する。また、ここで、優先度は、第3評価値が大きいほど高くなるように決定される。
【0164】
図24は、変形例4の優先度の決定方法の第8の例を説明するための図である。第8の例では、第1の例~第3の例で特定される期待値、最大値、及び、分散の各値に対応する評価値が算出される。この評価値は、第4評価値の一例である。期待値、最大値、及び、分散の各値は、当該値の大きさに応じて複数のランクに分類され、分類されたランクに応じた評価値が当該値に対応する評価値として算出される。例えば、図24では、期待値、最大値、及び、分散の各値は、当該値の大きさに応じて大、中、小の3つのランクに分類される。No.1のインシデント情報では、期待値E1は中に分類されるため期待値E1の評価値は2点に算出される。同様に、最大値MAX1は大に分類されるため最大値MAX1の評価値は5点に算出される。同様に、分散V1は中に分類されるため分散V1の評価値は2点に算出される。
【0165】
そして、種別がNo.1のインシデント情報について算出された期待値E1の評価値、最大値MAX1の評価値及び分散V1の評価値は合算されて、スコアが算出される。これにより、No.1のインシデント情報のスコアは9点に算出される。なお、図24では、種別がNo.1のインシデント情報のスコアの算出方法を例示しているが、他の種別のインシデント情報に対しても同様にスコアが算出される。スコアは第4評価値の一例である。
【0166】
なお、第8の例では、第1の例~第3の例で特定される期待値、最大値、及び、分散の各値に対応する評価値を算出する例について説明したが、期待値、最大値、及び、分散に加えて、第4の例~第6の例の分布に基づいて算出される閾値Th1以上の指標値が分布している割合、及び、機械学習モデルを用いて決定される評価値のうちの少なくとも2つの値に基づいて、当該少なくとも2つの値に対応する評価値が算出されてもよい。
【0167】
このように、優先度の決定では、情報通知装置200は、複数のインシデントのそれぞれについて、第4評価値を算出する。第4評価値の算出では、対応するインシデントについて、(i)確率密度関数に基づく期待値、確率密度関数における確率変数の変域の最大値、及び、確率密度関数における分散のうちの少なくとも2つの値のそれぞれについて、当該値の大きさに対応する第5評価値を決定し、(ii)少なくとも2つの第5評価値を合算することで第4評価値を算出する。
【0168】
なお、第1~第8の例における優先度の決定方法は、発生傾向が図14のような確率密度分布関数で表される場合の例として説明したが、発生傾向が図15のような複数の指標値を含む範囲で表される場合、及び、発生傾向が図16のような複数の指標値そのもので表される場合に対しても同様に適用されてもよい。
【0169】
例えば、第1の例における優先度の決定方法を範囲で表される分布に適用する場合、期待値として、分布を表す範囲全体の中央値が算出されてもよい。また、第1の例における優先度の決定方法を複数の指標値そのもので表される分布に適用する場合、期待値として、複数の指標値の平均が算出されてもよい。つまり、第1の例では、優先度は、発生傾向を示す指標において決定される可能性がある複数の指標値の分布に基づく期待値が大きいほど高くなるように決定される。
【0170】
例えば、第2の例における優先度の決定方法を範囲で表される分布に適用する場合、最大値として、分布を表す範囲の最大値が算出されてもよい。また、第2の例における優先度の決定方法を複数の指標値そのもので表される分布に適用する場合、最大値として、複数の指標値のうちの最大値が算出されてもよい。つまり、第2の例では、優先度は、発生傾向を示す指標において決定される可能性がある複数の指標値のうちの最大値が大きいほど高くなるように決定される。
【0171】
例えば、第3の例における優先度の決定方法を範囲で表される分布に適用する場合、分散として、分布を表す範囲の大きさ(幅)が算出されてもよい。つまり、第3の例では、優先度は、発生傾向を示す指標において決定される可能性がある複数の指標値の分布における分散が大きいほど高くなるように決定される。
【0172】
また、例えば、第4の例における優先度の決定方法を範囲で表される分布に適用する場合、分布を表す範囲全体のうちで閾値Th1以上となる範囲の割合を、確率密度関数における発生傾向が閾値Th1以上となる発生確率の代わりに算出してもよい。また、なお、第4の例における優先度の決定方法を複数の指標値そのもので表される分布に適用する場合、複数の評価値のうちで閾値Th1以上となる評価値の数を、確率密度関数における発生傾向が閾値Th1以上となる発生確率の代わりに算出してもよい。このように、優先度は、発生傾向を示す指標において、決定される可能性がある複数の指標値の分布に基づいて算出される割合であって、当該指標において閾値Th1以上の指標値が分布している割合が大きいほど高くなるように決定されてもよい。
【0173】
図25は、変形例4に係る情報通知システムにおける情報通知方法の一例を示すシーケンス図である。なお、図25には、実施の形態と同様の処理である場合には、図10と同じ符号を付し、説明を省略する。
【0174】
ステップS17の後において、情報通知装置200は、基準θ以上になる発生確率が基準値(N%)より大きいか否かを判定する(S17d)。
【0175】
情報通知装置200は、将来の発生数が基準値より大きい場合(S17dでYes)、暫定対応の実施の推奨をセキュリティ監視装置100へ通知し(S17c)、そうでない場合(S17dでNo)、次の処理を行う。
【0176】
このように、情報通知装置200は、インシデントの種別毎に決定された当該インシデントの種別の発生傾向に基づいて第6評価値を算出する。第6評価値は、例えば、基準θ以上になる発生確率である。なお、第6評価値は、上記のような発生確率に限らずに、上述した優先度が確率密度関数に基づいて決定される場合の優先度に相関する値(例えば、期待値、最大値、分散、スコア(第2評価値、第3評価値、または、第5評価値))であってもよい。そして、情報通知装置200は、第6評価値が基準値を超える場合に、暫定対応の推奨を通知し、第6評価値が基準値以下の場合に、暫定対応の推奨の通知をスキップしてもよい。
【0177】
なお、優先度は、数値または順位で示されるだけでなく、数値に基づいて分類されたランクで示されてもよい。優先度は、第1範囲に対応する第1ランク、第2範囲に対応する第2ランク、第3範囲に対応する第3ランクなど複数段階に分類されたランクで示されてもよい。第1ランクは、第2ランクよりも優先度が高く、第2ランクは、第3ランクよりも優先度が高い。第1範囲は、第1の値から第1の値より小さい第2の値までの範囲であり、第2範囲は、第2の値より小さい第3の値から第3の値より小さい第4の値までの範囲であり、第3範囲は、第4の値より小さい第5の値から第5の値より小さい第6の値までの範囲である。
【0178】
(5)変形例5
なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の情報通知装置200などを実現するソフトウェアは、次のようなプログラムである。
【0179】
すなわち、このプログラムは、コンピュータに、過去の第1期間において監視対象がセキュリティ攻撃を受けることにより発生した複数のインシデント情報を取得し、取得した前記複数のインシデント情報に基づいて、インシデント情報の種別毎に、前記監視対象における将来の第2期間における当該種別のインシデント情報の発生傾向、及び、当該種別のインシデント情報に対する暫定対応または恒久対応の優先度を決定し、インシデント情報の種別毎に決定した前記発生傾向及び前記優先度を通知する情報通知方法を実行させる。
【0180】
以上、本開示の一つまたは複数の態様に係る情報処理方法について、実施の形態に基づいて説明したが、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれてもよい。
【産業上の利用可能性】
【0181】
本開示は、暫定対応の実施可否、及び恒久対応の対応優先度を精度よくかつ容易に判断するための判断材料を提供することができる情報通知方法などとして有用である。
【符号の説明】
【0182】
1 情報通知システム
21 CPU
22 メインメモリ
23 ストレージ
24 通信IF
41 TCU
42 ECU
43 ストレージ
100 セキュリティ監視装置
200 情報通知装置
210 通信部
220 取得部
230 決定部
240 通知部
250 記憶部
300 通信ネットワーク
310 基地局
400 車両
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.