知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニックオートモーティブシステムズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-12
(45)【発行日】2025-02-20
(54)【発明の名称】車両制御システム、車両制御システムの制御方法及びプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20250213BHJP
【FI】
G06F21/55 340
【請求項の数】
8
(21)【出願番号】P 2022579377
(86)(22)【出願日】2021-12-14
(86)【国際出願番号】 JP2021045969
(87)【国際公開番号】W WO2022168453
(87)【国際公開日】2022-08-11
【審査請求日】2024-05-23
(31)【優先権主張番号】P 2021018087
(32)【優先日】2021-02-08
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】安齋 潤
(72)【発明者】
【氏名】中野 稔久
(72)【発明者】
【氏名】田村 健人
【審査官】塩澤 如正
(56)【参考文献】
【文献】国際公開第2020/261519(WO,A1)
【文献】特表2015-528171(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
アプリケーションを動作させるアプリケーション実行環境を備える車両に搭載された車両制御システムであって、前記アプリケーションに対する攻撃を検出する検出部と、
前記検出部により前記攻撃が検出された際に、前記車両が停車中、一時停車中、手動走行中、自動走行中のいずれの状態であるかを確認する車両状態確認部と、
前記車両状態確認部の確認結果に基づいて、前記攻撃を受けた前記アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を、管理テーブルを参照することで確認する影響確認部と、
前記影響確認部の確認結果に基づいて、前記攻撃に対する対応方法、及び、前記攻撃を受けた前記アプリケーションの復旧方法の少なくとも一方を決定する決定部と、
決定された前記対応方法及び前記復旧方法の少なくとも一方を実行する制御部と、を備える
車両制御システム。
【請求項2】
前記車両制御システムは、さらに、前記攻撃を受けた前記アプリケーションの復旧の準備状況を確認する復旧準備状況確認部を備え、前記制御部は、前記復旧準備状況確認部の確認結果に基づいて、前記攻撃を受けた前記アプリケーションの復旧の準備が整ったことを条件として、前記復旧方法を実行する
請求項1に記載の車両制御システム。
【請求項3】
前記車両制御システムは、さらに、前記攻撃を受けた前記アプリケーションの危殆化度を確認する危殆化度確認部を備え、前記影響確認部は、前記アプリケーションの危殆化度が閾値以上である場合に、当該アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を確認する
請求項1又は2に記載の車両制御システム。
【請求項4】
前記アプリケーション実行環境は、前記アプリケーションを複数動作させるように構成されており、前記制御部は、前記複数のアプリケーションの各危殆化度の合計が所定値を超えた場合、又は、前記対応方法の実行に失敗した前記アプリケーションの数が所定数を超えた場合に、前記複数のアプリケーションの全てに対して前記対応方法を実行する、又は、前記対応方法から前記復旧方法に切り替えて実行する
請求項3に記載の車両制御システム。
【請求項5】
前記対応方法は、監視頻度を増加した上での前記アプリケーションの再監視、前記アプリケーションの完全性検査、前記アプリケーションの動作の停止、前記アプリケーションの削除、及び、前記アプリケーションのAPI(Application Programming Interface)の利用禁止のいずれかである請求項1~4のいずれか1項に記載の車両制御システム。
【請求項6】
前記復旧方法は、前記アプリケーションから修正アプリケーションへの書き換え、前記アプリケーションの再起動、及び、前記アプリケーション実行環境の再起動のいずれかである請求項1~5のいずれか1項に記載の車両制御システム。
【請求項7】
アプリケーションを動作させるアプリケーション実行環境を備える車両に搭載された車両制御システムの制御方法であって、(a)前記アプリケーションに対する攻撃を検出するステップと、
(b)前記(a)で前記攻撃が検出された際に、前記車両が停車中、一時停車中、手動走行中、自動走行中のいずれの状態であるかを確認するステップと、
(c)前記(b)の確認結果に基づいて、前記アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を、管理テーブルを参照することで確認するステップと、
(d)前記(c)の確認結果に基づいて、前記攻撃に対する対応方法、及び、前記アプリケーションの復旧方法の少なくとも一方を決定するステップと、
(e)決定された前記対応方法及び前記復旧方法の少なくとも一方を実行するステップと、を含む
車両制御システムの制御方法。
【請求項8】
請求項7に記載の車両制御システムの制御方法をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車両制御システム、車両制御システムの制御方法及びプログラムに関する。
【背景技術】
【0002】
例えばMaaS(Mobility as a Service)等のモビリティサービスでは、当該モビリティサービス用のアプリケーションを動作させるアプリケーション実行環境が車両に搭載されている。
【0003】
このようなモビリティサービスでは、アプリケーションに対する不正侵入が発生した場合に対処するセキュリティ技術が求められている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【文献】特許第4256107号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上述した従来のセキュリティ技術では、車両の安全性が必ずしも担保されないという課題が生じる。
【0006】
そこで、本開示は、車両の安全性を担保しながら、セキュリティ対策を実行することができる車両制御システム、車両制御システムの制御方法及びプログラムを提供する。
【課題を解決するための手段】
【0007】
本開示の一態様に係る車両制御システムは、アプリケーションを動作させるアプリケーション実行環境を備える車両に搭載された車両制御システムであって、前記アプリケーションに対する攻撃を検出する検出部と、前記検出部により前記攻撃が検出された際に、前記車両の状態を確認する車両状態確認部と、前記車両状態確認部の確認結果に基づいて、前記攻撃を受けた前記アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を確認する影響確認部と、前記影響確認部の確認結果に基づいて、前記攻撃に対する対応方法、及び、前記攻撃を受けた前記アプリケーションの復旧方法の少なくとも一方を決定する決定部と、決定された前記対応方法及び前記復旧方法の少なくとも一方を実行する制御部と、を備える。
【0008】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM(Compact Disc-Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0009】
本開示の一態様に係る車両制御システムによれば、車両の安全性を担保しながら、セキュリティ対策を実行することができる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
本開示の一態様に係る車両制御システムは、アプリケーションを動作させるアプリケーション実行環境を備える車両に搭載された車両制御システムであって、前記アプリケーションに対する攻撃を検出する検出部と、前記検出部により前記攻撃が検出された際に、前記車両の状態を確認する車両状態確認部と、前記車両状態確認部の確認結果に基づいて、前記攻撃を受けた前記アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を確認する影響確認部と、前記影響確認部の確認結果に基づいて、前記攻撃に対する対応方法、及び、前記攻撃を受けた前記アプリケーションの復旧方法の少なくとも一方を決定する決定部と、決定された前記対応方法及び前記復旧方法の少なくとも一方を実行する制御部と、を備える。
【0012】
本態様によれば、影響確認部は、車両の状態に応じて、攻撃を受けたアプリケーションの動作を停止させたと仮定した場合における、車両への影響を確認する。そして、決定部は、影響確認部の確認結果に基づいて、攻撃に対する対応方法、及び、攻撃を受けたアプリケーションの復旧方法の少なくとも一方を決定する。その結果、車両の状態を考慮して決定された対応方法及び復旧方法の少なくとも一方を実行するので、車両の安全性を担保しながら、セキュリティ対策を実行することができる。
【0013】
例えば、前記車両制御システムは、さらに、前記攻撃を受けた前記アプリケーションの復旧の準備状況を確認する復旧準備状況確認部を備え、前記制御部は、前記復旧準備状況確認部の確認結果に基づいて、前記攻撃を受けた前記アプリケーションの復旧の準備が整ったことを条件として、前記復旧方法を実行するように構成してもよい。
【0014】
本態様によれば、攻撃を受けたアプリケーションの復旧の準備が整った状態で、復旧方法を確実に実行することができる。
【0015】
例えば、前記車両制御システムは、さらに、前記攻撃を受けた前記アプリケーションの危殆化度を確認する危殆化度確認部を備え、前記影響確認部は、前記アプリケーションの危殆化度が閾値以上である場合に、当該アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を確認するように構成してもよい。
【0016】
本態様によれば、アプリケーションの危殆化度が比較的低い場合に、対応方法及び復旧方法の少なくとも一方を無駄に実行することを回避することができる。
【0017】
例えば、前記アプリケーション実行環境は、前記アプリケーションを複数動作させるように構成されており、前記制御部は、前記複数のアプリケーションの各危殆化度の合計が所定値を超えた場合、又は、前記対応方法の実行に失敗した前記アプリケーションの数が所定数を超えた場合に、前記複数のアプリケーションの全てに対して前記対応方法を実行する、又は、前記対応方法から前記復旧方法に切り替えて実行するように構成してもよい。
【0018】
本態様によれば、攻撃を受けたアプリケーションが複数存在する場合に、対応方法及び復旧方法の少なくとも一方を効果的に実行することができる。
【0019】
例えば、前記対応方法は、監視頻度を増加した上での前記アプリケーションの再監視、前記アプリケーションの完全性検査、前記アプリケーションの動作の停止、前記アプリケーションの削除、及び、前記アプリケーションのAPI(Application Programming Interface)の利用禁止のいずれかであるように構成してもよい。
【0020】
本態様によれば、対応方法を効果的に実行することができる。
【0021】
例えば、前記復旧方法は、前記アプリケーションから修正アプリケーションへの書き換え、前記アプリケーションの再起動、及び、前記アプリケーション実行環境の再起動のいずれかであるように構成してもよい。
【0022】
本態様によれば、復旧方法を効果的に実行することができる。
【0023】
本開示の一態様に係る車両制御システムの制御方法は、アプリケーションを動作させるアプリケーション実行環境を備える車両に搭載された車両制御システムの制御方法であって、(a)前記アプリケーションに対する攻撃を検出するステップと、(b)前記(a)で前記攻撃が検出された際に、前記車両の状態を確認するステップと、(c)前記(b)の確認結果に基づいて、前記アプリケーションの動作を停止させたと仮定した場合における、前記車両への影響を確認するステップと、(d)前記(c)の確認結果に基づいて、前記攻撃に対する対応方法、及び、前記アプリケーションの復旧方法の少なくとも一方を決定するステップと、(e)決定された前記対応方法及び前記復旧方法の少なくとも一方を実行するステップと、を含む。
【0024】
本態様によれば、車両の状態に応じて、攻撃を受けたアプリケーションの動作を停止させたと仮定した場合における、車両への影響を確認する。そして、当該確認結果に基づいて、攻撃に対する対応方法、及び、攻撃を受けたアプリケーションの復旧方法の少なくとも一方を決定する。その結果、車両の状態を考慮して決定された対応方法及び復旧方法の少なくとも一方を実行するので、車両の安全性を担保しながら、セキュリティ対策を実行することができる。
【0025】
本開示の一態様に係るプログラムは、上述した車両制御システムの制御方法をコンピュータに実行させる。
【0026】
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
【0027】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0028】
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0029】
(実施の形態)
[1.車両制御システムの構成]
まず、図1~図4を参照しながら、実施の形態に係る車両制御システム2の構成について説明する。図1は、実施の形態に係る車両制御システム2の概要を示す図である。図2は、実施の形態に係る車両制御システム2の機能構成を示すブロック図である。図3は、実施の形態に係る第1の管理テーブルの一例を示す図である。図4は、実施の形態に係る第2の管理テーブルの一例を示す図である。
[1.車両制御システムの構成]
まず、図1~図4を参照しながら、実施の形態に係る車両制御システム2の構成について説明する。図1は、実施の形態に係る車両制御システム2の概要を示す図である。図2は、実施の形態に係る車両制御システム2の機能構成を示すブロック図である。図3は、実施の形態に係る第1の管理テーブルの一例を示す図である。図4は、実施の形態に係る第2の管理テーブルの一例を示す図である。
【0030】
実施の形態に係る車両制御システム2は、例えば自動車等の車両4に搭載された、車両4の加減速、操舵及び制動等の運転操作をADAS(Advanced Driver Assistance System:先進運転者支援システム)により自動で行うように制御するための自動運転システムに適用される。
【0031】
図1に示すように、車両4には、TCU(Telematics Control Unit)100と、コクピットドメインコントローラ102と、セントラルECU(Electronic Control Unit)104と、ゾーンECU106a,106b,106cと、センサ108a,108b,108cと、アクチュエータ110a,110b,110cとが搭載されている。なお、これらの各構成要素は、例えばCAN(Controller Area Network)バスを介して互いに接続されている。
【0032】
TCU100は、インターネット等の通信ネットワークに接続可能な通信モジュールである。すなわち、TCU100は、外部と通信可能である。例えば、TCU100は、カーメーカ、カーディーラ及び車両4のユーザのいずれでもないサードパーティから、通信ネットワークを介して、アプリケーションをダウンロードする。TCU100は、ダウンロードしたアプリケーションをセントラルECU104に出力する。
【0033】
コクピットドメインコントローラ102は、例えばIVI(In-Vehicle Infotainment)、デジタルクラスタ及びヘッドアップディスプレイを統合して制御する。なお、デジタルクラスタは、車両4の運転に必要な各種メータを集合させたユニットパネルである。
【0034】
セントラルECU104は、ゾーンECU106a~106cを制御する。本実施の形態では、このセントラルECU104が、車両4に搭載された車両制御システム2の一例である。
【0035】
ゾーンECU106aは、センサ108aのセンシング結果と、セントラルECU104からの指示とに応じて、アクチュエータ110aを制御することにより、車両4における当該ゾーンECU106aに割り当てられた領域の機構を駆動する。この機構は、例えば、車両4の前輪又は後輪であってもよいし、ウインドウ、ドア又はトランクの開閉機構等であってもよい。
【0036】
同様に、ゾーンECU106bは、センサ108bのセンシング結果と、セントラルECU104からの指示とに応じて、アクチュエータ110bを制御することにより、車両4における当該ゾーンECU106bに割り当てられた領域の機構を駆動する。この機構は、例えば、車両4の前輪又は後輪であってもよいし、ウインドウ、ドア又はトランクの開閉機構等であってもよい。
【0037】
同様に、ゾーンECU106cは、センサ108cのセンシング結果と、セントラルECU104からの指示とに応じて、アクチュエータ110cを制御することにより、車両4における当該ゾーンECU106cに割り当てられた領域の機構を駆動する。この機構は、例えば、車両4の前輪又は後輪であってもよいし、ウインドウ、ドア又はトランクの開閉機構等であってもよい。
【0038】
図2に示すように、セントラルECU104は、SoC(System on a Chip)として構成され、アプリケーション実行部6と、通信部10と、セキュリティ機能部12とを備えている。なお、これらのアプリケーション実行部6、通信部10及びセキュリティ機能部12は、セントラルECU104によるソフトウェアプログラムの実行によって実現される。なお、セントラルECU104は、1つのCPU(Central Processing Unit)を有していてもよいし、複数のCPUを有していてもよい。
【0039】
また、セントラルECU104には、アプリケーション実行部6上で動作する複数のアプリケーション8が搭載されている。複数のアプリケーション8の各々は、例えばサードパーティから提供されたモビリティサービス用のアプリケーションである。
【0040】
具体的には、複数のアプリケーション8は、a)車両4のバッテリの充電管理を行うためのアプリケーション(以下、「アプリケーションA」という)、b)車両4のエンジンを遠隔で始動させるリモートスタートを行うためのアプリケーション(以下、「アプリケーションB」という)、c)車両4のトランク(荷室)を荷物の受け渡し場所として利用するトランクシェアを行うためのアプリケーション(以下、「アプリケーションC」という)、d)車両4の自動配車を行うためのアプリケーション(以下、「アプリケーションD」という)、e)複数のユーザが1つの車両4を分け合って利用するカーシェアを行うためのアプリケーション(以下、「アプリケーションE」という)、f)車両4の車外装備(例えば、ヘッドライト及びワイパー等)を制御するためのアプリケーション(以下、「アプリケーションF」という)、g)車両4の車内装備(例えば、ルームランプ及びドアロック等)を制御するためのアプリケーション(以下、「アプリケーションG」という)、h)駐車場内の空きスペースに車両4を自動で駐車させる自動バレーパーキングを行うためのアプリケーション(以下、「アプリケーションH」という)等を含んでいる。
【0041】
アプリケーション実行部6は、複数のアプリケーション8の各々を動作させるアプリケーション実行環境の一例である。アプリケーション実行部6は、例えばハイパーバイザー上で動作する仮想マシンであり、モビリティサービスプラットフォームとして機能する。なお、ハイパーバイザー上で動作する仮想マシンとしては、上述したモビリティサービスプラットフォーム用の仮想マシンの他に、例えばADAS用の仮想マシン等が存在する。
【0042】
通信部10は、車両4に搭載されたモビリティネットワークであるCANバス14に接続されており、CANバス14から車両4の状態を示す車両状態情報を受信する。車両状態情報は、車両4に搭載された各種センサにより検出される情報であり、例えば、走行中、停車中、アイドリング中、トランクの開閉、ドアの開閉、周囲の障害物の有無、走行速度、及び、車内状況等を示す情報である。
【0043】
セキュリティ機能部12は、検出部16と、車両状態確認部18と、危殆化度確認部20と、影響確認部22と、決定部24と、復旧準備状況確認部26と、制御部28とを有している。
【0044】
検出部16は、アプリケーション実行部6上で動作する複数のアプリケーション8の各々に対する攻撃(例えば、アプリケーション8の乗っ取り等)を検出する。具体的には、検出部16は、アプリケーション実行部6上で動作する複数のアプリケーション8の各々の振る舞い(挙動)を検出し、検出した振る舞いと、予め登録された正常な振る舞いとを比較することにより、複数のアプリケーション8の各々に対する攻撃を検出する。あるいは、検出部16は、マルウェアのシグネチャとの一致の有無を判定するパターンマッチングにより、複数のアプリケーション8の各々に対する攻撃を検出してもよい。検出部16は、検出結果を車両状態確認部18及び危殆化度確認部20に出力する。
【0045】
車両状態確認部18は、検出部16により攻撃が検出された際に、通信部10から車両状態情報を取得することにより、車両4の状態を確認する。車両状態確認部18は、確認結果を影響確認部22に出力する。
【0046】
危殆化度確認部20は、検出部16により攻撃が検出された際に、検出部16の検出結果に基づいて、攻撃を受けたアプリケーション8の危殆化度を確認する。危殆化度とは、攻撃を受けたアプリケーション8の危殆化の度合いを示す指標であり、例えば、レベル1(攻撃を受けたが、侵入の可能性無し)、レベル2(侵入の可能性あり)、レベル3(侵入の可能性大)の3段階で表される。この場合、危殆化度は、レベル1、レベル2、レベル3の順に大きくなる。危殆化度確認部20は、確認結果を影響確認部22に出力する。
【0047】
影響確認部22は、アプリケーション8の危殆化度がレベル2(閾値の一例)以上である場合に、車両状態確認部18の確認結果に基づいて、攻撃を受けたアプリケーション8の動作を停止させたと仮定した場合における、車両4への影響を確認する。
【0048】
具体的には、影響確認部22は、例えば図3に示す第1の管理テーブルを参照することにより、攻撃を受けたアプリケーション8の動作を停止させたと仮定した場合における、車両4への影響を確認する。図3に示す第1の管理テーブルは、車両4の状態毎(停車中、一時停車中、手動走行中、自動走行中)に、各アプリケーション8(アプリケーションA~H)の動作を停止させたと仮定した場合における、車両4への影響の大小を示すテーブルである。
【0049】
なお、「停車中」とは、車両4のイグニッションがオフの状態で停車している状態を意味する。また、「一時停車中」とは、車両4のイグニッションがオンの状態で停車している状態を意味する。また、「手動走行中」とは、車両4の運転操作がユーザにより手動で行われている状態を意味する。また、「自動走行中」とは、車両4の運転操作がADASにより自動で行われている状態を意味する。
【0050】
例えば、車両状態確認部18により確認された車両4の状態が「停車中」であり、且つ、攻撃を受けたアプリケーション8が「アプリケーションB」である場合には、影響確認部22は、図3に示す第1の管理テーブルを参照することにより、車両4の停車中にアプリケーションBの動作を停止させたと仮定した場合における、車両4への影響は「〇(車両4への影響小)」であると確認する。
【0051】
また例えば、車両状態確認部18により確認された車両4の状態が「自動走行中」であり、且つ、攻撃を受けたアプリケーション8が「アプリケーションC」である場合には、影響確認部22は、図3に示す第1の管理テーブルを参照することにより、車両4の自動走行中にアプリケーションCの動作を停止させたと仮定した場合における、車両4への影響は「△(車両4への影響大)」であると確認する。
【0052】
決定部24は、影響確認部22の確認結果に基づいて、攻撃に対する対応方法、及び、アプリケーション8の復旧方法を決定する。
【0053】
対応方法は、例えば、a)監視頻度を増加した上でのアプリケーション8の再監視(以下、「対応A」という)、b)アプリケーション8の完全性検査(以下、「対応B」という)、c)アプリケーション8のAPI(Application Programming Interface)の利用禁止(以下、「対応C」という)、d)アプリケーション8の動作の停止、削除(以下、「対応D」という)等である。
【0054】
復旧方法は、例えば、a)アプリケーション8の再起動(以下、「復旧A」という)、b)修正アプリケーションへの書き換え(以下、「復旧B」という)、c)アプリケーション実行環境を構成する仮想マシンの再起動(以下、「復旧C」という)、d)車両制御システム2を構成するCPU(Central Processing Unit)の再起動(以下、「復旧D」という)等である。
【0055】
具体的には、決定部24は、例えば図4に示す第2の管理テーブルを参照することにより、影響確認部22の確認結果に基づいて、攻撃に対する対応方法、及び、アプリケーションの復旧方法を決定する。図4に示す第2の管理テーブルは、アプリケーション8毎(アプリケーションA~H)に、車両4への影響の大きさに応じた対応方法(対応A~D)及び復旧方法(復旧A~D)を示すテーブルである。
【0056】
なお、対応A、対応B、対応C及び対応Dの順に、対応方法に対応する車両4への影響の大きさが大きくなる。すなわち、車両4への影響が比較的小さい場合には、決定部24は、第2の管理テーブルを参照することにより、対応A(又は対応B)を対応方法として決定する。また、車両4への影響が比較的大きい場合には、決定部24は、第2の管理テーブルを参照することにより、対応C(又は対応D)を対応方法として決定する。
【0057】
また、復旧A、復旧B、復旧C及び復旧Dの順に、復旧方法に対応する車両4への影響の大きさが大きくなる。すなわち、車両4への影響が比較的小さい場合には、決定部24は、第2の管理テーブルを参照することにより、復旧A(又は復旧B)を復旧方法として決定する。また、車両4への影響が比較的大きい場合には、決定部24は、第2の管理テーブルを参照することにより、復旧C(又は復旧D)を復旧方法として決定する。
【0058】
例えば、攻撃を受けたアプリケーション8が「アプリケーションB」であり、且つ、影響確認部22により確認された車両4への影響が「〇(車両4への影響小)」である場合には、決定部24は、図4に示す第2の管理テーブルを参照することにより、対応A(又は対応B)を対応方法として決定し、復旧A(又は復旧B)を復旧方法として決定する。
【0059】
また例えば、攻撃を受けたアプリケーション8が「アプリケーションF」であり、且つ、影響確認部22により確認された車両4への影響が「△(車両4への影響大)」である場合には、決定部24は、図4に示す第2の管理テーブルを参照することにより、対応C(又は対応D)を対応方法として決定し、復旧C(又は復旧D)を復旧方法として決定する。
【0060】
復旧準備状況確認部26は、決定部24により対応方法及び復旧方法が決定された際に、アプリケーション8の復旧の準備状況を確認する。復旧の準備状況は、例えば、a)外部(例えば、仮想マシン、監視ECU、外部サーバ又はユーザ等)への通知の完了の有無、b)ロギングの完了の有無、c)データのバックアップの完了の有無、d)修正アプリケーションのダウンロードの完了の有無等である。復旧準備状況確認部26は、確認結果を制御部28に出力する。
【0061】
制御部28は、決定部24により決定された対応方法を実行する。また、制御部28は、復旧準備状況確認部26の確認結果に基づいて、アプリケーション8の復旧の準備が整ったことを条件として、決定部24により決定された復旧方法を実行する。
【0062】
【0063】
図5に示すように、検出部16がアプリケーション8に対する攻撃を検出した場合には(S101でYES)、車両状態確認部18は、通信部10から車両状態情報を取得することにより、車両4の状態を確認する(S102)。なお、検出部16がアプリケーション8に対する攻撃を検出しない場合には(S101でNO)、ステップS101が繰り返し実行される。
【0064】
ステップS102の後、危殆化度確認部20は、検出部16の検出結果に基づいて、攻撃を受けたアプリケーション8の危殆化度を確認する(S103)。アプリケーション8の危殆化度がレベル2以上である場合には(S104でYES)、影響確認部22は、車両状態確認部18の確認結果に基づいて、攻撃を受けたアプリケーション8の動作を停止させたと仮定した場合における、車両4への影響を確認する(S105)。なお、アプリケーション8の危殆化度がレベル2未満である場合には(S104でNO)、ステップS101に戻る。
【0065】
ステップS105の後、決定部24は、影響確認部22の確認結果に基づいて、攻撃に対する対応方法、及び、アプリケーション8の復旧方法を決定する(S106)。制御部28は、決定部24により決定された対応方法を実行する(S107)。
【0066】
対応方法の実行結果が実行中である場合には(S108で「実行中」)、決定部24は、対応方法の実行が完了するまで待機し(S109)、ステップS108に戻る。
【0067】
対応方法の実行結果が失敗である場合には(S108で「失敗」)、決定部24は、対応方法の実行をリトライし(S110)、ステップS108に戻る。
【0068】
対応方法の実行結果が成功である場合には(S108で「成功」)、制御部28は、復旧準備状況確認部26からアプリケーション8の復旧の準備状況を取得する(S111)。アプリケーション8の復旧の準備が整った場合には(S112でYES)、制御部28は、決定部24により決定された復旧方法を実行する(S113)。
【0069】
ステップS112において、アプリケーション8の復旧の準備が整っていない場合には(S112でNO)、制御部28は、アプリケーション8の復旧の準備が整うまで待機し(S114)、ステップS112に戻る。
【0070】
[3.効果]
本実施の形態では、影響確認部22は、車両4の状態に応じて、攻撃を受けたアプリケーション8の動作を停止させたと仮定した場合における、車両4への影響を確認する。そして、決定部24は、影響確認部22の確認結果に基づいて、攻撃に対する対応方法、及び、攻撃を受けたアプリケーション8の復旧方法を決定する。
本実施の形態では、影響確認部22は、車両4の状態に応じて、攻撃を受けたアプリケーション8の動作を停止させたと仮定した場合における、車両4への影響を確認する。そして、決定部24は、影響確認部22の確認結果に基づいて、攻撃に対する対応方法、及び、攻撃を受けたアプリケーション8の復旧方法を決定する。
【0071】
その結果、車両4の状態を考慮して決定された対応方法及び復旧方法を実行するので、車両4の安全性を担保しながら、セキュリティ対策を実行することができる。
【0072】
(変形例等)
以上、一つ又は複数の態様に係る車両制御システム及び車両制御システムの制御方法について、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
以上、一つ又は複数の態様に係る車両制御システム及び車両制御システムの制御方法について、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
【0073】
上記実施の形態では、決定部24は、攻撃に対する対応方法、及び、アプリケーションの復旧方法の両方を決定したが、これに限定されず、対応方法及び復旧方法の一方のみを決定してもよい。この場合、制御部28は、決定された対応方法及び復旧方法の一方のみを実行してもよい。
【0074】
また、上記実施の形態では、制御部28は、決定された対応方法及び復旧方法を実行したが、例えば攻撃を受けたアプリケーション8が複数存在する場合には、次のように実行してもよい。すなわち、制御部28は、複数のアプリケーション8の各危殆化度の合計が所定値を超えた場合、又は、対応方法の実行に失敗したアプリケーション8の数が所定数を超えた場合に、複数のアプリケーション8の全てに対して対応方法を実行してもよい。あるいは、制御部28は、複数のアプリケーション8の各危殆化度の合計が所定値を超えた場合、又は、対応方法の実行に失敗したアプリケーション8の数が所定数を超えた場合に、対応方法から復旧方法に切り替えて実行してもよい。なお、複数のアプリケーション8の各危殆化度を合計する際に、各アプリケーション8が有する車両4の挙動(走る、曲がる、止まる)への影響度に応じた重み付けをしてもよい。
【0075】
また、アプリケーション8に対する攻撃がDoS(Denial-of-Service)攻撃等である場合には、対応方法として、当該アプリケーション8へのCPUリソースの割り当ての量や優先度を下げてもよい。
【0076】
また、復旧方法として修正アプリケーションへの書き換えを行う場合、修正アプリケーションのダウンロードに時間を要するため、修正アプリケーションのバックアップがあれば、当該アプリケーションをリストアしてもよい。
【0077】
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
【0078】
また、上記実施の形態に係る車両制御システムの機能の一部又は全てを、CPU等のプロセッサがプログラムを実行することにより実現してもよい。
【0079】
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
【0080】
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えばフレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
【産業上の利用可能性】
【0081】
本開示に係る車両制御システムは、例えば車両に搭載された自動運転システム等に適用可能である。
【符号の説明】
【0082】
2 車両制御システム
4 車両
6 アプリケーション実行部
8 アプリケーション
10 通信部
12 セキュリティ機能部
14 CANバス
16 検出部
18 車両状態確認部
20 危殆化度確認部
22 影響確認部
24 決定部
26 復旧準備状況確認部
28 制御部
100 TCU
102 コクピットドメインコントローラ
104 セントラルECU
106a,106b,106c ゾーンECU
108a,108b,108c センサ
110a,110b,110c アクチュエータ
4 車両
6 アプリケーション実行部
8 アプリケーション
10 通信部
12 セキュリティ機能部
14 CANバス
16 検出部
18 車両状態確認部
20 危殆化度確認部
22 影響確認部
24 決定部
26 復旧準備状況確認部
28 制御部
100 TCU
102 コクピットドメインコントローラ
104 セントラルECU
106a,106b,106c ゾーンECU
108a,108b,108c センサ
110a,110b,110c アクチュエータ
【図1】
【図2】
【図3】
【図4】
【図5】