JP2020077234A - Information management device, system, computer program and method for detecting processing abnormality - Google Patents

Information management device, system, computer program and method for detecting processing abnormality Download PDF

Info

Publication number
JP2020077234A
JP2020077234A JP2018210516A JP2018210516A JP2020077234A JP 2020077234 A JP2020077234 A JP 2020077234A JP 2018210516 A JP2018210516 A JP 2018210516A JP 2018210516 A JP2018210516 A JP 2018210516A JP 2020077234 A JP2020077234 A JP 2020077234A
Authority
JP
Japan
Prior art keywords
execution
information
execution time
software
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018210516A
Other languages
Japanese (ja)
Other versions
JP7319039B2 (en
Inventor
純史 矢野
Ayafumi Yano
純史 矢野
畑 洋一
Yoichi Hata
洋一 畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2018210516A priority Critical patent/JP7319039B2/en
Publication of JP2020077234A publication Critical patent/JP2020077234A/en
Application granted granted Critical
Publication of JP7319039B2 publication Critical patent/JP7319039B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide an information management apparatus, system, computer program and method for detecting processing abnormality.SOLUTION: In an information management system 10, an information management device 20 includes a processor 21 that executes an abnormality detection process 22. The detection process 22 acquires execution time information indicating the execution time of the process executed in a vehicle 50 from the vehicle 50, and detects an abnormality in the execution of the process in the vehicle 50 based on the result of comparison between the execution time indicated by the execution time information and an execution allowable period in which the execution of the process in the vehicle 50 is allowed.SELECTED DRAWING: Figure 1

Description

本開示は、処理異常検知のための情報管理装置、システム、コンピュータプログラム及び方法に関する。   The present disclosure relates to an information management device, system, computer program, and method for detecting processing abnormality.

特許文献1は、車両に搭載された車載機器の記憶部に記憶されたプログラム又はデータの更新を開示している。   Patent Literature 1 discloses updating of a program or data stored in a storage unit of an in-vehicle device mounted on a vehicle.

特開2018−100002号公報JP, 2018-100002, A

近年、車両に、車両外部との通信機能を追加したコネクティッドカーが主流になろうとしている。コネクティッドカーの普及により、プログラム又はデータなどのソフトウェアの更新が、無線通信などの通信機能を使用して行われることになる。   In recent years, connected cars in which a communication function with the outside of the vehicle is added to the vehicle are becoming mainstream. With the spread of connected cars, software such as programs or data is updated using communication functions such as wireless communication.

しかし、車両のように、外部と通信可能な機器は、外部からクラッキングされるおそれがある。車両の場合、クラッキングにより、車両が車外から遠隔操作される懸念が生じる。このため、機器において実行されるソフトウェア更新などの処理が、正当なものでない場合には、それを検知することが望まれる。特に、異常な処理であっても、正常な処理と同じ実施手順で実行された場合には、異常の検知が困難であるが、そのような場合であっても、異常を検知することが望まれる。   However, a device such as a vehicle that can communicate with the outside may be cracked from the outside. In the case of a vehicle, cracking may cause the vehicle to be remotely controlled from outside the vehicle. For this reason, when the processing such as software update executed in the device is not proper, it is desired to detect it. In particular, even if it is an abnormal process, it is difficult to detect the abnormality if it is executed in the same procedure as the normal process. However, even in such a case, it is desirable to detect the abnormality. Be done.

本開示のある側面は、情報管理装置である。情報管理装置は、異常の検知処理を実行するプロセッサを備え、前記検知処理は、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す前記実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知することを含む。   One aspect of the present disclosure is an information management device. The information management device includes a processor that executes an abnormality detection process, the detection process acquires execution time information indicating an execution time of a process executed in a device from the device, and the execution time information indicates the execution time information. It includes detecting an abnormality in the execution of the process in the device based on a result of comparing an execution time with an execution allowable period in which the process is allowed to be executed in the device.

本開示の他の側面は、情報管理装置とコンピュータとを備えたシステムである。システムは、機器において実行される処理の実行時期を示す実行時期情報を前記機器から取得し、前記実行時期情報が示す実行時期と前記機器において前記処理の実行が許容される実行許容期間とを対比した結果に基づいて前記機器における前記処理の実行の異常を検知するよう構成された情報管理装置と、前記機器において実行される処理の実行時期を、前記時処理の実行が許容される実行許容期間を示す管理情報に基づいて管理するコンピュータと、を備え、前記情報管理装置は、前記管理情報を前記コンピュータから取得するよう構成されている。   Another aspect of the present disclosure is a system including an information management device and a computer. The system acquires execution timing information indicating execution timing of a process executed in the device from the device, and compares the execution time indicated by the execution time information with an execution allowable period in which the device is allowed to execute the process. An information management device configured to detect an abnormality in the execution of the process in the device based on the result, an execution time of the process executed in the device, and a permissible execution period in which the execution of the hour process is permitted. And a computer that manages the management information based on the management information indicating that the information management apparatus acquires the management information from the computer.

本開示の他の側面は、コンピュータプログラムである。コンピュータプログラムは、異常の検知処理をコンピュータに実行させる。前記検知処理は、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知する。   Another aspect of the disclosure is a computer program. The computer program causes a computer to execute an abnormality detection process. The detection process acquires execution timing information indicating the timing of execution of the process executed in the device from the device, the execution timing indicated by the execution time information, and the execution permission by which the execution of the process is permitted in the device. An abnormality in the execution of the process in the device is detected based on the result of comparison between the period and the period.

本開示の他の側面は、方法である。方法は、情報管理装置が、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知することを含む。   Another aspect of the disclosure is a method. The method is such that the information management apparatus obtains execution timing information indicating execution timing of a process executed in the device from the device, the execution timing indicated by the execution time information, and execution of the process in the device are permitted. And detecting an abnormality in execution of the process in the device based on a result of a comparison between the execution permission period.

本開示によれば、機器において実行される処理が、実行許容期間から外れた異常なものである場合には、それを検知することができる。   According to the present disclosure, when the process executed in the device is an abnormal process that is out of the permissible execution period, it can be detected.

図1は、情報管理システムの構成を示す図である。FIG. 1 is a diagram showing the configuration of an information management system. 図2は、車両内ネットワーク図である。FIG. 2 is an in-vehicle network diagram. 図3は、管理情報データベースの説明図である。FIG. 3 is an explanatory diagram of the management information database. 図4は、正常ソフトウェア更新処理のタイミングチャートである。FIG. 4 is a timing chart of normal software update processing. 図5は、正常なログと管理情報との対比説明図である。FIG. 5 is an explanatory diagram of comparison between a normal log and management information. 図6は、検知処理のフローチャートである。FIG. 6 is a flowchart of the detection process. 図7は、異常ソフトウェア更新処理のタイミングチャートである。FIG. 7 is a timing chart of abnormal software update processing. 図8は、異常なログと管理情報との対比説明図である。FIG. 8 is an explanatory diagram of comparison between an abnormal log and management information. 図9Aは、管理情報とログの他の例を示す図である。図9Bは、管理情報とログのさらに他の例を示す図である。FIG. 9A is a diagram showing another example of management information and logs. FIG. 9B is a diagram showing still another example of management information and logs. 図10は、管理情報とログのさらに他の例を示す図である。FIG. 10 is a diagram showing still another example of management information and logs.

[1.実施形態の概要] [1. Outline of Embodiment]

(1)実施形態に係る情報管理装置は、異常の検知処理を実行するプロセッサを備える。前記検知処理は、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得することを含む。機器は、例えば、車両である。機器は、処理が実行される他の機器、例えば、モバイル機器などであってもよい。実行時期情報は、既に行われた処理の実行時期を示してもよいし、将来行われる予定の処理の実行時期(実行予定時期)を示すものであってもよい。 (1) The information management device according to the embodiment includes a processor that executes an abnormality detection process. The detection processing includes acquiring execution timing information indicating the execution timing of the processing executed in the device from the device. The device is, for example, a vehicle. The device may be another device on which the process is performed, such as a mobile device. The execution timing information may indicate the execution timing of the processing that has already been performed, or may indicate the execution timing (scheduled execution timing) of the processing scheduled to be performed in the future.

前記検知処理は、前記実行時期情報が示す前記実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知することを含む。本実施形態によれば、実行時期と実行許容時間との対比という簡易な処理により、異常を検知することができる。   The detection process detects an abnormality in the execution of the process in the device based on a result of comparing the execution time indicated by the execution time information and an execution allowable period in which the execution of the process is allowed in the device. Including detecting. According to the present embodiment, the abnormality can be detected by a simple process of comparing the execution timing and the execution allowable time.

(2)前記機器において実行される前記処理は、前記機器におけるソフトウェアの更新処理を含むことができる。この場合、ソフトウェア更新の正当性を確認することができる。 (2) The process executed in the device may include a software update process in the device. In this case, the validity of the software update can be confirmed.

(3)前記機器において実行される前記処理は、前記実行許容期間を示す管理情報を有するコンピュータからソフトウェアを受信する受信処理を含み、前記実行時期は、前記受信処理の実行時期であるのが好ましい。この場合、ソフトウェアの受信処理の正当性を確認することができる。 (3) It is preferable that the process executed in the device includes a reception process of receiving software from a computer having management information indicating the execution permitted period, and the execution time is an execution time of the reception process. .. In this case, it is possible to confirm the validity of the software reception process.

(4)前記機器において実行される処理は、前記機器が受信したソフトウェアを前記機器において実行可能にするインストール処理を含み、前記実行時期は、前記インストール処理の実行時期であるのが好ましい。この場合、インストール処理の正当性を確認することができる。 (4) It is preferable that the process executed by the device includes an installation process for enabling the device to execute the software received by the device, and the execution time is the execution time of the installation process. In this case, the legitimacy of the installation process can be confirmed.

(5) 前記機器において実行される処理は、ソフトウェアを受信する受信処理と、受信した前記ソフトウェアを前記機器において実行可能にするインストール処理と、を含み、前記実行時期は、前記受信処理の実行時期及び前記インストール処理の実行時期を含むことができる。この場合、受信処理及びインストール処理の正当性を確認することができる。 (5) The process executed in the device includes a reception process for receiving software and an installation process for enabling the received software to be executed in the device, and the execution time is the execution time of the reception process. And the time of execution of the installation process. In this case, the legitimacy of the reception process and the installation process can be confirmed.

(6)前記プロセッサは、前記実行許容期間を示す管理情報を有するコンピュータから、前記管理情報を取得する取得処理をさらに実行するよう構成され、前記検知処理において前記実行時期と対比される前記実行許容期間は、前記管理情報によって示される期間であるのが好ましい。この場合、情報管理装置は、実行許容時間を容易に把握することができる。 (6) The processor is configured to further execute an acquisition process for acquiring the management information from a computer having management information indicating the execution permission period, and the execution permission compared with the execution time in the detection process. The period is preferably the period indicated by the management information. In this case, the information management device can easily grasp the allowable execution time.

(7)前記取得処理において前記管理情報の取得先となる前記コンピュータは、前記機器と通信可能であり、前記機器において実行される処理の実行時期を前記管理情報に基づいて管理するコンピュータであるのが好ましい。この場合、前記コンピュータが管理のため有している管理情報を、情報管理装置における異常検知に流用することができる。 (7) The computer that is the acquisition destination of the management information in the acquisition process is a computer that is communicable with the device and manages the execution timing of the process executed in the device based on the management information. Is preferred. In this case, the management information that the computer has for management can be diverted to the abnormality detection in the information management device.

(8)前記検知処理は、前記処理が実行される前記機器の種類を示す情報を、前記機器から取得することをさらに含み、前記検知処理において前記実行時期と対比される前記実行許容期間は、前記機器の種類に応じた実行許容期間であるのが好ましい。この場合、機器の種類に応じて実行許容期間が異なっていても対応することができる。 (8) The detection process further includes acquiring information indicating the type of the device on which the process is executed from the device, and the execution allowable period compared with the execution time in the detection process is: It is preferable that the execution allowable period is according to the type of the device. In this case, even if the permissible execution period is different depending on the type of device, it is possible to cope with it.

(9)前記機器は車両であるのが好ましい。 (9) The device is preferably a vehicle.

(10)実施形態に係るシステムは、機器において実行される処理の実行時期を示す実行時期情報を前記機器から取得し、前記実行時期情報が示す実行時期と前記機器において前記処理の実行が許容される実行許容期間とを対比した結果に基づいて前記機器における前記処理の実行の異常を検知するよう構成された情報管理装置と、前記機器において実行される処理の実行時期を、前記処理の実行が許容される実行許容期間を示す管理情報に基づいて管理するコンピュータと、を備え、前記情報管理装置は、前記管理情報を前記コンピュータから取得するよう構成されている。 (10) The system according to the embodiment obtains execution timing information indicating the execution timing of a process executed in a device from the device, and the execution timing indicated by the execution time information and the execution of the process in the device are permitted. An information management device configured to detect an abnormality in the execution of the process in the device based on a result of a comparison between the execution allowable period and the execution time of the process executed in the device. A computer that manages based on management information indicating an allowable execution period, and the information management device is configured to acquire the management information from the computer.

(11)実施形態に係るコンピュータプログラムは、異常の検知処理をコンピュータに実行させる。前記検知処理は、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知することを含む。 (11) The computer program according to the embodiment causes a computer to execute abnormality detection processing. The detection process acquires execution timing information indicating the timing of execution of the process executed in the device from the device, the execution timing indicated by the execution time information, and the execution permission by which the execution of the process is permitted in the device. Detecting an abnormality in the execution of the process in the device based on the result of comparison between the period and the period.

(12)実施形態に係る方法は、情報管理装置が、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知することを含む。 (12) In the method according to the embodiment, the information management apparatus obtains execution time information indicating the execution time of the process executed in the device from the device, and the execution time indicated by the execution time information and the execution time in the device. Detecting an abnormality in the execution of the process in the device based on the result of comparing the execution allowable period in which the execution of the process is allowed.

[2 実施形態の詳細] [2 Details of Embodiment]

[2.1 情報管理サーバ(情報管理装置)を備えた情報管理システム] [2.1 Information Management System Equipped with Information Management Server (Information Management Device)]

図1は、実施形態に係る情報管理システム10を示している。情報管理システム10は、情報管理サーバ20を備える。実施形態に係る情報管理サーバ20は、処理が実行される機器における異常を、機器から受信したログに基づいて検知する情報管理装置として機能する。実施形態において、機器は、車両50である。実施形態において、車両50は、車外との通信機能を有するコネクティッドカーである。車両50は、無線通信経由でのソフトウェア更新(Software Over The Air:SOTA)が可能である。なお、ここでの、ソフトウェア更新は、ファームウェア更新(Firmware Over The Air: FOTA)を含むものとする。また、ソフトウェアは、プログラムであってもよいし、データであってもよい。   FIG. 1 shows an information management system 10 according to the embodiment. The information management system 10 includes an information management server 20. The information management server 20 according to the embodiment functions as an information management device that detects an abnormality in a device on which processing is executed based on a log received from the device. In the embodiment, the device is the vehicle 50. In the embodiment, the vehicle 50 is a connected car that has a communication function with the outside of the vehicle. The vehicle 50 is capable of software update (Software Over The Air: SOTA) via wireless communication. Note that the software update here includes firmware update (Firmware Over The Air: FOTA). Further, the software may be a program or data.

情報管理サーバ20は、Security Information and Event Management(SIEM)として機能する。SIEMは、機器におけるファイアウォール及び不正侵入検知システム(Intrusion Detection System:IDS)などにおけるイベントを、複数の機器から収集して一元的に管理・保管し、脅威となる事象を把握する。実施形態の情報管理サーバ20は、複数の車両50内において発生した様々なイベントに関するログ(イベントの実行時期情報)を収集して蓄積する。情報管理サーバ20は、蓄積されたログを分析し、車両50への攻撃又は攻撃予兆などの異常を検知する。情報管理サーバ20は、異常が検知されると、異常情報を、他の車両50へ通知する。   The information management server 20 functions as Security Information and Event Management (SIEM). SIEM collects events from a plurality of devices, such as firewalls and intrusion detection systems (IDS) in devices, centrally manages and stores them, and grasps threatening events. The information management server 20 of the embodiment collects and accumulates logs (event execution time information) regarding various events that have occurred in the plurality of vehicles 50. The information management server 20 analyzes the accumulated logs and detects an abnormality such as an attack on the vehicle 50 or an attack sign. When an abnormality is detected, the information management server 20 notifies the other vehicle 50 of the abnormality information.

図2に示すように、車両50は、車外と無線通信するための通信機能を有する。車両50は、車外通信のための通信ユニット51を備える。通信ユニット51は、例えば、Telematics Communication Unit(TCU:)である。TCU51は、Central GateWay(CGW:ゲートウェイ)52を介して、車両内ネットワーク57に接続されている。車両内ネットワーク57には、複数のElectronic Control Unit(ECU:電子制御ユニット)55が接続されている。TCU51は、車両50内において行われた通信(例えば、TCU51とCGW52との間の通信、CGWとECU55との間の通信、又はECU55間の通信)のログ(車両ログ)を、無線通信により、車外へ送信する。ログは、定期的に送信されるか、又は、イベントドリブンにより送信される。車両50から送信されたログは、無線通信回線及び無線通信回線に接続されたネットワークを介して、情報管理サーバ20に到達する。情報管理サーバ20は、受信したログを蓄積する。なお、車外通信機能は、CGW52が担ってもよいし、TCU及びCGWの統合ユニットが担ってもよい。   As shown in FIG. 2, the vehicle 50 has a communication function for wirelessly communicating with the outside of the vehicle. The vehicle 50 includes a communication unit 51 for external communication. The communication unit 51 is, for example, a Telematics Communication Unit (TCU :). The TCU 51 is connected to the in-vehicle network 57 via a Central Gate Way (CGW: gateway) 52. A plurality of electronic control units (ECU: electronic control unit) 55 are connected to the in-vehicle network 57. The TCU 51 wirelessly communicates a log (vehicle log) of communication (for example, communication between the TCU 51 and the CGW 52, communication between the CGW and the ECU 55, or communication between the ECU 55) performed in the vehicle 50 by wireless communication. Send outside the car. Logs are either sent periodically or event driven. The log transmitted from the vehicle 50 reaches the information management server 20 via the wireless communication line and the network connected to the wireless communication line. The information management server 20 accumulates the received logs. The outside-vehicle communication function may be performed by the CGW 52 or an integrated unit of TCU and CGW.

図1に戻り、情報管理サーバ20は、プロセッサ21及び記憶装置25を備えるコンピュータである。プロセッサ21は、記憶装置25に記憶されたコンピュータプログラム29を実行することにより、コンピュータを情報管理サーバ20として機能させる。コンピュータプログラム29は、プロセッサ21に後述の検知処理22を実行させる。また、コンピュータプログラム29は、プロセッサ21に後述の同期処理(取得処理)23を実行させる。   Returning to FIG. 1, the information management server 20 is a computer including a processor 21 and a storage device 25. The processor 21 causes the computer to function as the information management server 20 by executing the computer program 29 stored in the storage device 25. The computer program 29 causes the processor 21 to execute a detection process 22 described later. Further, the computer program 29 causes the processor 21 to execute a synchronization process (acquisition process) 23 described later.

記憶装置25は、管理情報データベース26を備える。管理情報データベース26は、後述のOTAサーバ40が備える管理情報データベース41と同期する。記憶装置25は、ログデータベース27を備える。ログデータベース27は、車両50から送信されたログを蓄積する。   The storage device 25 includes a management information database 26. The management information database 26 is synchronized with the management information database 41 included in the OTA server 40 described later. The storage device 25 includes a log database 27. The log database 27 stores the logs transmitted from the vehicle 50.

情報管理サーバ20は、インターネットなどのネットワーク30に接続されている。また、情報管理サーバ20は、無線通信経由で車両50との通信が可能である。   The information management server 20 is connected to a network 30 such as the Internet. Further, the information management server 20 can communicate with the vehicle 50 via wireless communication.

実施形態の情報管理システム10は、Over The Air(OTA)サーバ40を備える。実施形態のOTAサーバ40は、車両50において用いられるソフトウェアを無線通信経由で更新させる。すなわち、OTAサーバ40は、ソフトウェアの更新管理サーバとして機能する。   The information management system 10 of the embodiment includes an Over The Air (OTA) server 40. The OTA server 40 of the embodiment updates the software used in the vehicle 50 via wireless communication. That is, the OTA server 40 functions as a software update management server.

OTAサーバ40は、プロセッサ及び記憶装置を有するコンピュータである。OTAサーバ40は、ネットワーク30に接続されている。また、OTAサーバ40は、無線通信経由で車両50との通信が可能である。OTAサーバ40は、更新ソフトウェア42を、車両50に配信する。更新ソフトウェア42は、車両50のTCU51及びCGW53を経由して、車両50のECU55に送信される。ECU55は、更新ソフトウェアをインストールし、ECU55において実行可能にする。従来は、ディーラに車両50を持ち込んでソフトウェア更新をするのが一般的であったが、無線通信経由でのソフトウェア更新により、ディーラに車両50を持ち込む必要がなくなる。   The OTA server 40 is a computer having a processor and a storage device. The OTA server 40 is connected to the network 30. Further, the OTA server 40 can communicate with the vehicle 50 via wireless communication. The OTA server 40 delivers the update software 42 to the vehicle 50. The update software 42 is transmitted to the ECU 55 of the vehicle 50 via the TCU 51 and the CGW 53 of the vehicle 50. The ECU 55 installs the update software and makes it executable in the ECU 55. Conventionally, it was general to bring the vehicle 50 into the dealer to update the software, but the software update via wireless communication eliminates the need to bring the vehicle 50 into the dealer.

OTAサーバ40は、キャンペーンと呼ばれる管理情報261に基づいて、ソフトウェアの更新を管理する。管理情報261は、更新のスケジュール等が規定されている。図3に示すように、実施形態の管理情報261は、更新可能期間(実行許容期間)を示す情報91、対象車両(機器種別)を示す情報92、対象コンポーネント(対象ECU)を示す情報93、ソフトウェア名/ソフトウェアバージョンを示す情報94を有する。   The OTA server 40 manages software updates based on management information 261 called a campaign. The management information 261 defines an update schedule and the like. As shown in FIG. 3, management information 261 of the embodiment includes information 91 indicating an updatable period (permissible execution period), information 92 indicating a target vehicle (device type), information 93 indicating a target component (target ECU), It has information 94 indicating the software name / software version.

更新可能期間(実行許容期間)を示す情報91は、車両50がソフトウェア更新することが可能な期間を示す。車両50は、更新可能期間内においてのみソフトウェアを更新することが許容され、それ以外の期間ではソフトウェアを更新することができない。対象車両(機器種別)を示す情報92は、ソフトウェア更新をすべき車両50の種類を示す。ソフトウェア更新をすべき車両50は、例えば、リコールの対象となっている車両である。対象コンポーネント(対象ECU)を示す情報93は、車両50においてソフトウェアを更新すべきコンポーネントを示す。コンポーネントは、例えば、ECU55である。ソフトウェアが更新されるコンポーネントは、TCU又はCGWであってもよい。ソフトウェア名/ソフトウェアバージョンを示す情報94は、更新すべきソフトウェアの名称及びバージョンを示す。   The information 91 indicating the updatable period (permissible execution period) indicates the period during which the vehicle 50 can update the software. The vehicle 50 is allowed to update the software only within the renewable period, and cannot update the software in any other period. The information 92 indicating the target vehicle (device type) indicates the type of the vehicle 50 whose software should be updated. The vehicle 50 whose software should be updated is, for example, a vehicle that is the subject of recall. The information 93 indicating the target component (target ECU) indicates the component for which the software should be updated in the vehicle 50. The component is, for example, the ECU 55. The component whose software is updated may be a TCU or CGW. The information 94 indicating the software name / software version indicates the name and version of the software to be updated.

図1に戻り、ソフトウェア更新においては、まず、カーメーカ60が、更新ソフトウェア42をOTAサーバ40に登録するとともに、更新ソフトウェア42の更新のための管理情報261をOTAサーバ40に登録する。管理情報261は、OTAサーバ40の管理情報データベース41に格納される。   Returning to FIG. 1, in software update, first, the car maker 60 registers the update software 42 in the OTA server 40, and also registers the management information 261 for updating the update software 42 in the OTA server 40. The management information 261 is stored in the management information database 41 of the OTA server 40.

OTAサーバ40の管理情報データベース41と、情報管理サーバ20の管理情報データベース26と、は同期しており。両データベース26,41の内容は一致する。同期のため、情報管理サーバ20は、OTAサーバ40との間で、同期処理23を実行する。同期処理23は、定期的又は管理情報データベース41の内容に変更があったときに実行される。したがって、OTAサーバ40に新規に登録された管理情報261は、情報管理サーバ20にも登録が反映される。なお、同期処理23は、情報管理サーバ20が、OTAサーバ40から管理情報261を取得する取得処理でもある。   The management information database 41 of the OTA server 40 and the management information database 26 of the information management server 20 are synchronized. The contents of both databases 26 and 41 match. For synchronization, the information management server 20 executes a synchronization process 23 with the OTA server 40. The synchronization process 23 is executed periodically or when the contents of the management information database 41 are changed. Therefore, the management information 261 newly registered in the OTA server 40 is reflected in the information management server 20 as well. The synchronization process 23 is also an acquisition process in which the information management server 20 acquires the management information 261 from the OTA server 40.

OTAサーバ40は、登録された管理情報261に基づいて、ソフトウェア更新のための処理を実行する。図4に示すように、まず、OTAサーバ40は、管理情報261が示す更新可能期間になると、ソフトウェア更新通知を車両50へ送信する(ステップS101)。ソフトウェア更新通知が送信される車両50は、管理情報261が示す対象車両に該当する車両(ソフトウェア更新が必要な車両)である。なお、ここでは、ECUのファームウェアが更新されるものとする。   The OTA server 40 executes processing for software update based on the registered management information 261. As shown in FIG. 4, first, the OTA server 40 transmits a software update notification to the vehicle 50 when the updatable period indicated by the management information 261 is reached (step S101). The vehicle 50 to which the software update notification is transmitted is a vehicle corresponding to the target vehicle indicated by the management information 261 (vehicle requiring software update). Note that the firmware of the ECU is updated here.

ソフトウェア更新通知を受けた車両50のTCU51は、OTAサーバ40にアクセスし、管理情報261の内容を確認する(ステップS102)。管理情報261の内容確認により、車両50は、更新可能期間を把握できるため、その更新可能期間内にソフトウェア更新が完了するように動作する。具体的には、TCU51は、OTAサーバ40から更新ソフトウェア42をダウンロード(受信)する(ステップS103)。なお、何らかの都合により、更新可能期間内にソフトウェア更新が完了できないと判断される場合には、車両50は、更新を実行しない。したがって、正常に更新が行われる限りは、更新可能期間外にソフトウェア更新が行われることはない。   Upon receiving the software update notification, the TCU 51 of the vehicle 50 accesses the OTA server 40 and confirms the content of the management information 261 (step S102). By confirming the content of the management information 261, the vehicle 50 can grasp the updatable period, and therefore operates so that the software update is completed within the updatable period. Specifically, the TCU 51 downloads (receives) the update software 42 from the OTA server 40 (step S103). Note that, for some reason, when it is determined that the software update cannot be completed within the updatable period, the vehicle 50 does not execute the update. Therefore, as long as the update is normally performed, the software update will not be performed outside the updatable period.

車両50のCGW53は、定期的に、ソフトウェア更新の有無を確認する問い合わせをTCU51に対して行う(ステップS201)。TCU51は、更新ソフトウェア42をダウンロードしている場合には、ステップS201の問い合わせに対して、「更新あり」をCGW53に対して通知する(ステップS202)。すると、CGW53は、TCU52に対して、更新ソフトウェアを要求する(ステップS203)。要求を受けたTCU51は、更新ソフトウェアをCGW53へ転送する(ステップS204)。CGW53は、更新ソフトウェアを対象ECU55へ転送する(S301)。対象ECU55は、更新ソフトウェアをインストールし、対象ECU55において、更新ソフトウェアを実行可能にする(ステップS401)。以上により、ソフトウェア更新が完了する。   The CGW 53 of the vehicle 50 periodically makes an inquiry to the TCU 51 to confirm the presence or absence of software update (step S201). When the update software 42 is downloaded, the TCU 51 notifies the CGW 53 of “updated” in response to the inquiry in step S201 (step S202). Then, the CGW 53 requests the TCU 52 for the updated software (step S203). Upon receiving the request, the TCU 51 transfers the updated software to the CGW 53 (step S204). The CGW 53 transfers the updated software to the target ECU 55 (S301). The target ECU 55 installs the updated software and makes the updated software executable in the target ECU 55 (step S401). With the above, the software update is completed.

車両50は、上記のソフトウェア更新の処理のうち、TCU51とCGW53間においてソフトウェア要求(ステップS203)又はソフトウェア転送(ステップS204)の通信が発生した時刻を記録する。ここでは、ソフトウェア要求(ステップS203)又はソフトウェア転送(ステップS204)の通信は、「ソフトウェア更新のための通信」というイベントとして扱われる。   The vehicle 50 records the time when the software request (step S203) or the software transfer (step S204) communication occurs between the TCU 51 and the CGW 53 in the above software update process. Here, the communication of the software request (step S203) or the software transfer (step S204) is handled as an event of "communication for software update".

TCU51は、「ソフトウェア更新のための通信」のログ(実行時期情報)271を情報管理サーバ20へアップロードする(ステップS501)。アップロードは、「ソフトウェア更新のための通信」が発生したタイミングで行われてもよいし、定期的なアップロードタイミングで行われてもよい。アップロードされたログ271は、ログデータベース27に蓄積される。なお、車両50は、「ソフトウェア更新のための通信」イベントを示すログ271に限らず、車両50内において発生する様々なイベントを示す多数のログを送信する。   The TCU 51 uploads the log (execution time information) 271 of “communication for software update” to the information management server 20 (step S501). The upload may be performed at the timing when “communication for software update” occurs, or may be performed at the regular upload timing. The uploaded log 271 is accumulated in the log database 27. The vehicle 50 transmits not only the log 271 indicating the “communication for software update” event but also a large number of logs indicating various events occurring in the vehicle 50.

図5には、ログ271の例が示されている。ログ271は、ログ送信元の車両ID、イベントの発生日時(実行時期)、及びイベント内容を示す情報を含む。ログ送信元の車両IDは、ログ送信元をユニークに識別するために用いられてもよいし、送信元の車両50の種類を識別したりするために用いられてもよい。図5では、イベントの発生日時は、2018年11月1日 11:00であり、イベント内容は、「ソフトウェア更新のための通信」である。なお、実行時期情報であるログ271は、一般的には、既に発生したイベント(処理)の実行時期を示すが、実施形態においては、実行時期情報は、将来実行する予定の処理の実行時期を示すものであってもよい。   FIG. 5 shows an example of the log 271. The log 271 includes a vehicle ID of the log transmission source, an event occurrence date / time (execution time), and information indicating the event content. The vehicle ID of the log transmission source may be used to uniquely identify the log transmission source, or may be used to identify the type of the transmission source vehicle 50. In FIG. 5, the event occurrence date and time is 11:00 on November 1, 2018, and the event content is “communication for software update”. Note that the log 271 that is the execution time information generally indicates the execution time of the event (process) that has already occurred, but in the embodiment, the execution time information indicates the execution time of the process scheduled to be executed in the future. It may be shown.

情報管理サーバ20は、受信したログ271に基づいて異常を検知する検知処理22を実行する。図6に示すように、検知処理22において、情報管理サーバ20は、まず、ログ271を受信する(ステップS11)。ログ271を受信することにより、情報管理サーバ20は、ログ271の内容を把握できる。続いて、情報管理サーバ20は、ログ271を分析する(ステップS12)。分析の結果、ログ271が示すイベント、管理情報(キャンペーン)261と対比すべきイベント(ここでは、「ソフトウェア更新のための通信」)である場合には、ステップS13が実行される。ステップS13では、分析結果(ログ271の内容)と管理情報(キャンペーン)261との対比がなされる。   The information management server 20 executes the detection process 22 for detecting an abnormality based on the received log 271. As shown in FIG. 6, in the detection process 22, the information management server 20 first receives the log 271 (step S11). The information management server 20 can grasp the contents of the log 271 by receiving the log 271. Then, the information management server 20 analyzes the log 271 (step S12). As a result of the analysis, if the event is the event indicated by the log 271 or the event to be compared with the management information (campaign) 261 (here, “communication for software update”), step S13 is executed. In step S13, the analysis result (contents of the log 271) and the management information (campaign) 261 are compared.

実施形態において、ログ271と対比されるべき管理情報261は、管理情報データベース26に格納された複数の管理情報261の中から選択される。情報管理サーバ20は、受信したログ271が示す車両IDから、ログ271の送信元の車種を識別する。情報管理サーバ20は、識別された車種についての管理情報261を、管理情報データベース26から選択する。具体的には、管理情報261の情報92が示す車種が、ログ271の送信元の車種に対応している管理情報261が、選択される。例えば、ログ271から識別された車種が「AAA」であれば、情報92が車種「AAA」を示している管理情報261が選択される。なお、ログ271は、車種を直接的に示す情報を有していてもよく、その場合、情報管理サーバ20は、ログ271中の車種を示す情報から車種を識別することができる。   In the embodiment, the management information 261 to be compared with the log 271 is selected from the plurality of management information 261 stored in the management information database 26. The information management server 20 identifies the vehicle type of the transmission source of the log 271 from the vehicle ID indicated by the received log 271. The information management server 20 selects the management information 261 regarding the identified vehicle type from the management information database 26. Specifically, the vehicle type indicated by the information 92 of the management information 261 is selected as the management information 261 corresponding to the vehicle type of the transmission source of the log 271. For example, if the vehicle type identified from the log 271 is “AAA”, the management information 261 whose information 92 indicates the vehicle type “AAA” is selected. Note that the log 271 may have information that directly indicates the vehicle type, and in that case, the information management server 20 can identify the vehicle type from the information indicating the vehicle type in the log 271.

図5には、対象車両を示す情報92が「AAA」である管理情報261、すなわち、車種「AAA」についての管理情報261が示されている。ログ271の車両IDから識別される車種が「AAA」である場合、そのログ271は、図5に示す管理情報261と対比される。実施形態においては、ログ271が示すイベント発生日時(ソフトウェア更新の実行時期)と、管理情報261が示す更新可能期間と、が対比される。   FIG. 5 shows the management information 261 in which the information 92 indicating the target vehicle is “AAA”, that is, the management information 261 for the vehicle type “AAA”. When the vehicle type identified from the vehicle ID of the log 271 is “AAA”, the log 271 is compared with the management information 261 shown in FIG. In the embodiment, the event occurrence date and time (software update execution time) indicated by the log 271 is compared with the updatable period indicated by the management information 261.

ステップS14において、情報管理サーバ20は、ログ271の内容と、管理情報(キャンペーン)261の内容と、に不一致があるかどうかが判定される。不一致がある場合、情報管理サーバ20は、ソフトウェアの不正更新、すなわち異常、を検知する(ステップS15)。不一致がなければ、異常は検知されない。図5に示すログ271の場合、ソフトウェア更新のための通信が発生した日時は、2018年11月01日11:00であり、この日時は、対比される管理情報261が示す更新可能期間である2018年11月01日10:00−12:00内に収まっている。したがって、ログ271の内容と、管理情報(キャンペーン)261の内容と、は一致しており、異常は検知されない。   In step S14, the information management server 20 determines whether or not there is a mismatch between the content of the log 271 and the content of the management information (campaign) 261. If there is a mismatch, the information management server 20 detects an unauthorized update of software, that is, an abnormality (step S15). If there is no discrepancy, no abnormality is detected. In the case of the log 271 shown in FIG. 5, the date and time when communication for software update occurred is 11:00 on November 01, 2018, and this date and time is the updatable period indicated by the compared management information 261. It fits within 10: 00-12: 00 on November 1, 2018. Therefore, the contents of the log 271 and the contents of the management information (campaign) 261 match, and no abnormality is detected.

一般に、ログから異常を検知するには、ログから異常を検知するために構築された異常検知モデルを用いることが考えられるが、異常検知モデルを構築するには、専門的で高度な知識が必要である。また、モデル構築のための労力が必要となる。これに対して、本実施形態によれば、ログ271と管理情報261との対比という簡単な処理により異常検知が行える。   Generally, in order to detect anomalies from logs, it is possible to use the anomaly detection model constructed to detect anomalies from logs, but it is necessary to have specialized and advanced knowledge to construct an anomaly detection model. Is. Also, labor is required for model building. On the other hand, according to the present embodiment, abnormality detection can be performed by a simple process of comparing the log 271 and the management information 261.

本実施形態では、異常検知を簡単に行うため、ソフトウェア更新などの特定の処理においては、その処理の実行が許容される期間が、あらかじめ決まっていることを利用している。すなわち、処理が正当に実行されているのであれば、その処理の実行時期は、実行許容期間内に収まっているはずである。したがって、処理の実行時期が、実行許容期間から外れていれば、異常であるとみなされる。   In the present embodiment, in order to easily detect an abnormality, in a specific process such as software update, it is used that the period during which the process is permitted is predetermined. That is, if the process is being properly executed, the execution time of the process should be within the execution allowable period. Therefore, if the execution time of the process is out of the execution allowable period, it is considered to be abnormal.

図5に示す例では、車種「AAA」の車両50について、ソフトウェア更新が行われるのは、ソフトウェア更新の実行許容期間である更新可能期間2018年11月01日10:00−12:00内に限られており、正常な車両50であれば、この更新可能期間外にソフトウェア更新を行うことはない。すなわち、正常な車両50は、更新可能期間外に更新処理を実行しようとしないし、OTAサーバ40も、更新可能期間外での更新処理を許可しないため、正常な車両50とOTAサーバ40間では、更新可能期間外の更新処理は起こらない。   In the example shown in FIG. 5, the software update is performed for the vehicle 50 of the vehicle type “AAA” within the updatable period November 01, 2018, 10: 00-12: 00, which is the execution allowable period of the software update. It is limited, and if the vehicle 50 is normal, the software update will not be performed outside the updatable period. That is, the normal vehicle 50 does not try to execute the update processing outside the updatable period, and the OTA server 40 does not permit the update processing outside the updatable period. Therefore, between the normal vehicle 50 and the OTA server 40. , Renewal processing does not occur outside the renewable period.

これに対して、クラッキングなどにより異常が生じている車両50は、OTAサーバ40以外の不正なサーバ(例えば、Command and Control(C&C)サーバ)にアクセスして、不正ソフトウェアをダウンロードし、ソフトウェア更新をすることがある。不正ソフトウェアのダウンロード等は、OTAサーバ40が管理する更新可能期間とは無関係に行われるため、更新可能期間外の更新処理になりやすい。本実施形態では、このことを利用して、不正ソフトウェアのダウンロードなどの異常を検知する。   On the other hand, the vehicle 50 in which an abnormality has occurred due to cracking or the like accesses an unauthorized server other than the OTA server 40 (for example, Command and Control (C & C) server), downloads the unauthorized software, and updates the software. I have something to do. Since illegal software is downloaded regardless of the updatable period managed by the OTA server 40, the update process is likely to occur outside the updatable period. In the present embodiment, this is used to detect an abnormality such as downloading of unauthorized software.

図7は、不正ソフトウェアが異常更新される例を示している。まず、攻撃者(Attacker)70は、車両50に侵入し(ステップS601)、バックドア(マルウェア)を仕掛ける(ステップS602)。すると、車両50のTCU51は、マルウェアをインストールする(ステップS701)。これにより、TCU51は、マルウェアに感染する。マルウェアに感染したTCU51は、C&Cサーバ(不正サーバ)80から、更新用の不正ソフトウェアをダウンロードする(ステップS603)。   FIG. 7 shows an example in which unauthorized software is abnormally updated. First, the attacker 70 attacks the vehicle 50 (step S601) and sets a back door (malware) (step S602). Then, the TCU 51 of the vehicle 50 installs malware (step S701). As a result, the TCU 51 is infected with malware. The TCU 51 infected with the malware downloads the illegal software for update from the C & C server (illegal server) 80 (step S603).

車両50のCGW53は、定期的に、ソフトウェア更新の有無を確認する問い合わせをTCU51に対して行う(ステップS201)。したがって、TCU51が、更新用の不正ソフトウェアをダウンロードすると、TCU51は、ステップS201の問い合わせに対して、「更新あり」をCGW53に対して通知する(ステップS202)。すると、CGW53は、TCU52に対して、更新ソフトウェアを要求する(ステップS203)。要求を受けたTCU51は、更新ソフトウェアをCGW53へ転送する(ステップS204)。CGW53は、更新ソフトウェアを対象ECU55へ転送する(S301)。対象ECU55は、更新ソフトウェアをインストールし、対象ECU55において、更新ソフトウェアを実行可能にする(ステップS401)。以上により、ソフトウェア更新が完了する。更新されたソフトウェアは不正なものであるため、車両50は異常な挙動を起こすことがある。   The CGW 53 of the vehicle 50 periodically makes an inquiry to the TCU 51 to confirm the presence or absence of software update (step S201). Therefore, when the TCU 51 downloads the unauthorized software for update, the TCU 51 notifies the CGW 53 of "updated" in response to the inquiry in step S201 (step S202). Then, the CGW 53 requests the TCU 52 for the updated software (step S203). Upon receiving the request, the TCU 51 transfers the updated software to the CGW 53 (step S204). The CGW 53 transfers the updated software to the target ECU 55 (S301). The target ECU 55 installs the updated software and makes the updated software executable in the target ECU 55 (step S401). With the above, the software update is completed. Since the updated software is incorrect, the vehicle 50 may behave abnormally.

車両50は、上記のソフトウェア更新の処理のうち、TCU51とCGW53間においてソフトウェア要求(ステップS203)又はソフトウェア転送(ステップS204)の通信が発生した時刻を記録する。   The vehicle 50 records the time when the software request (step S203) or the software transfer (step S204) communication occurs between the TCU 51 and the CGW 53 in the above software update process.

TCU51は、「ソフトウェア更新のための通信」のログ271を情報管理サーバ20へアップロードする(ステップS501)。   The TCU 51 uploads the log 271 of "communication for software update" to the information management server 20 (step S501).

上記のような不正ソフトウェアの更新処理において、車両50内のTCU51−CGW53−ECU55間で行われる手順(ステップS201からステップS204、ステップS301、及びステップS401)自体は、図4に示す正常な場合の手順と同じである。したがって、車両50内で生じるイベントとしては、図4の場合も図7の場合も共通しており、車両50内で生じるイベントを示すログも共通したものとなる。このため、図4の手順で送信されるログ271を正常として扱い、図7の手順で送信されるログ271を異常として取り扱うのは、一般的には容易ではない。   In the update process of the unauthorized software as described above, the procedure (steps S201 to S204, step S301, and step S401) performed between the TCU 51-CGW 53-ECU 55 in the vehicle 50 itself is the same as in the normal case shown in FIG. The procedure is the same. Therefore, the event occurring in the vehicle 50 is common in both cases of FIG. 4 and FIG. 7, and the log indicating the event occurring in the vehicle 50 is also common. Therefore, it is generally not easy to treat the log 271 transmitted in the procedure of FIG. 4 as normal and the log 271 transmitted in the procedure of FIG. 7 as abnormal.

しかし、本実施形態では、ログ271と管理情報261と対比することで、図7の手順で送信されたログ271から異常を容易に検知することができる。図8は、図7の手順で送信されたログ271の例と、そのログ271と対比される管理情報261の例を示している。情報管理サーバ20は、受信したログ271の車両IDから識別される車種が「AAA」である場合、車種「AAA」についての管理情報261を管理情報データベース26から読み出し、ログ271と対比する。   However, in the present embodiment, by comparing the log 271 and the management information 261, it is possible to easily detect an abnormality from the log 271 transmitted in the procedure of FIG. 7. FIG. 8 shows an example of the log 271 transmitted in the procedure of FIG. 7 and an example of management information 261 to be compared with the log 271. When the vehicle type identified by the vehicle ID of the received log 271 is “AAA”, the information management server 20 reads the management information 261 about the vehicle type “AAA” from the management information database 26 and compares it with the log 271.

図8に示すログ271の場合、ソフトウェア更新のための通信が発生した日時は、2018年11月01日9:00であり、この日時は、対比される管理情報261が示す更新可能期間である2018年11月01日10:00−12:00外である。したがって、ログ271の内容と、管理情報(キャンペーン)261の内容と、は不一致である。不一致であるということは、管理情報261に基づく情報管理サーバ20での管理外での処理が行われたことを示す。情報管理サーバ20は、不一致である場合に、ログ271が示すソフトウェア更新は異常であることを検知する。   In the case of the log 271 shown in FIG. 8, the date and time when the communication for software update occurred is 1:00 on November 1, 2018, and this date and time is the updatable period indicated by the compared management information 261. It is outside of 10: 00-12: 00 on November 1, 2018. Therefore, the contents of the log 271 and the contents of the management information (campaign) 261 do not match. The non-coincidence indicates that processing outside the management by the information management server 20 based on the management information 261 has been performed. When the information management server 20 does not match, the information management server 20 detects that the software update indicated by the log 271 is abnormal.

情報管理サーバ20又はその管理者は、異常が検知されると、ログ271の送信元の車両50への対処を行うことができる。また、情報管理サーバ20は、ログ271の送信元以外の車両50へ異常に関する情報(異常が発生した車両の情報、攻撃者情報など)を通知することができる。   When an abnormality is detected, the information management server 20 or its manager can deal with the vehicle 50 that is the transmission source of the log 271. In addition, the information management server 20 can notify the vehicle 50 other than the transmission source of the log 271 of information related to the abnormality (information on the vehicle in which the abnormality has occurred, attacker information, etc.).

ソフトウェア更新などの処理の正当性は、処理に用いられるデータ(ソフトウェア)の暗号化又は認証といった手段によっても確認することができるが、本実施形態では、それ以外に、処理の実行時期という観点から、処理の正当性を確認することができる。したがって、他の異常検知手法に加えて、本実施形態の異常検知手法を採用することで、攻撃に対する多層防御が可能となる。   The legitimacy of processing such as software update can be confirmed by means such as encryption or authentication of data (software) used for processing, but in the present embodiment, other than that, from the viewpoint of the timing of execution of processing. , The validity of the processing can be confirmed. Therefore, by adopting the anomaly detection method of the present embodiment in addition to other anomaly detection methods, it becomes possible to carry out multi-layer defense against attacks.

なお、本実施形態において、ログ271は、既に実行された処理の実行時期を示しているため、異常の検知は、処理の実行後にしか検知されない。しかし、車両50がこれから実行しようとする処理の実行時期(実行予定時期)を、あらかじめ情報管理サーバ20に実行時期情報としてアップロードすることで、処理の実行前に異常を検知することも可能である。   Note that in the present embodiment, the log 271 indicates the execution timing of the processing that has already been executed, and therefore the detection of abnormality is detected only after the execution of the processing. However, by uploading the execution time (scheduled execution time) of the process that the vehicle 50 is about to execute to the information management server 20 in advance as execution time information, it is possible to detect an abnormality before executing the process. ..

図9A、図9B、及び図10は、対比されるログ271及び管理情報261の他の例を示している。図9Aに示す管理情報261では、ソフトウェア更新処理のうち、更新ソフトウェアのダウンロードという処理の実行可能期間(ダウンロード可能期間)が、2018年11月01日10:00−12:00に設定されている。図9Aに示す管理情報261は、ソフトウェア更新のためのダウンロード処理(ソフトウェアの受信処理)が、ダウンロード可能期間内において可能であることを示している。この場合、ダウンロード後のインストールは、ダウンロード可能期間後に行われてもよい。   9A, 9B, and 10 show another example of the log 271 and the management information 261 to be compared. In the management information 261 shown in FIG. 9A, the executable period (downloadable period) of the process of downloading the updated software in the software update process is set to 10: 00-12: 00 on November 01, 2018. .. The management information 261 shown in FIG. 9A indicates that the download processing for software update (software reception processing) is possible within the downloadable period. In this case, the installation after the download may be performed after the downloadable period.

図9Aに示す管理情報261と対比されるログ271は、車両50における「ソフトウェアダウンロード」イベントのログ271である。図9Aの例では、ソフトウェアダウンロードが実行された日時は、2018年11月01日11:00であり、管理情報261が示すダウンロード可能期間である2018年11月01日10:00−12:00内であるから正常なダウンロード処理であると判断される。   The log 271 contrasted with the management information 261 shown in FIG. 9A is the log 271 of the “software download” event in the vehicle 50. In the example of FIG. 9A, the date and time when the software download was executed is November 1, 2018, 11:00, and the downloadable period indicated by the management information 261 is November 1, 2018, 10: 00-12: 00. Since it is within the range, it is determined that the download processing is normal.

図9Bに示す管理情報261では、ソフトウェア更新処理のうち、更新ソフトウェアのインストールという処理の実行可能期間(インストール可能期間)が、2018年11月01日10:00−13:00に設定されている。図9Bに示す管理情報261は、ソフトウェア更新のためのインストール処理が、インストール可能期間内において可能であることを示している。この場合、インストール前に行われるダウンロードは、インストール可能期間前に行われてもよい。   In the management information 261 shown in FIG. 9B, the executable period (installable period) of the process of installing the updated software in the software update process is set to November 1st, 2018 10: 00-13: 00. .. The management information 261 shown in FIG. 9B indicates that the installation process for updating the software is possible within the installable period. In this case, the download performed before the installation may be performed before the installable period.

図9Bに示す管理情報261と対比されるログ271は、車両50における「ソフトウェアインストール」イベントのログ271である。図9Bの例では、ソフトウェアインストールが実行された日時は、2018年11月01日12:30であり、管理情報261が示すインストール可能期間である2018年11月01日10:00−13:00内であるから正常なインストール処理であると判断される。   The log 271 contrasted with the management information 261 shown in FIG. 9B is the log 271 of the “software installation” event in the vehicle 50. In the example of FIG. 9B, the date and time when the software is installed is November 30, 2018 12:30, and the installable period indicated by the management information 261 is November 01, 2018 10: 00-13: 00. Since it is within the range, it is determined that the installation process is normal.

図10に示す管理情報261では、ダウンロード可能期間及びインストール可能期間の両方が設定されている。図10では、ダウンロード可能期間は、2018年11月01日10:00−12:00に設定され、インストール可能期間は、2018年11月01日10:00−13:00に設定されている   In the management information 261 shown in FIG. 10, both the downloadable period and the installable period are set. In FIG. 10, the downloadable period is set to November 01, 2018 10: 00-12: 00, and the installable period is set to November 01, 2018 10: 00-13: 00.

図10に示す管理情報261は、車両50における「ソフトウェアダウンロード」イベントのログ271a及び「ソフトウェアインストール」イベントのログ271bと対比される。図10の例では、ソフトウェアダウンロードが実行された日時は、2018年11月01日11:00であり、管理情報261が示すダウンロード可能期間である2018年11月01日10:00−12:00内であるから正常なダウンロード処理であると判断される。また、ソフトウェアインストールが実行された日時は、2018年11月01日12:30であり、管理情報261が示すインストール可能期間である2018年11月01日10:00−13:00内であるから正常なインストール処理であると判断される。   The management information 261 illustrated in FIG. 10 is compared with the “software download” event log 271 a and the “software install” event log 271 b in the vehicle 50. In the example of FIG. 10, the date and time when the software download is executed is November 1, 2018, 11:00, and the downloadable period indicated by the management information 261 is November 1, 2018, 10: 00-12: 00. Since it is within the range, it is determined that the download processing is normal. In addition, the date and time when the software is installed is 12:30 on November 01, 2018, and is within the installable period indicated by the management information 261 within the period from 10:00 to 13:00 on November 01, 2018. It is determined that the installation process is normal.

[3.付記] [3. Note]

なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味、及び範囲内でのすべての変更が含まれることが意図される。   It should be understood that the embodiments disclosed this time are exemplifications in all points and not restrictive. The scope of the present invention is shown not by the above meaning but by the scope of the claims, and is intended to include the meaning equivalent to the scope of the claims and all modifications within the scope.

10 :情報管理システム
20 :情報管理サーバ
21 :プロセッサ
22 :検知処理
23 :同期処理
25 :記憶装置
26 :管理情報データベース
27 :ログデータベース
29 :コンピュータプログラム
30 :ネットワーク
40 :OTAサーバ(コンピュータ)
41 :管理情報データベース
42 :更新ソフトウェア
50 :車両
55 :ECU
57 :車両内ネットワーク
60 :カーメーカ
91 :情報
92 :情報
93 :情報
94 :情報
261 :キャンペーン(管理情報)
271 :ログ(実行時期情報)
271a :ログ(実行時期情報)
271b :ログ(実行時期情報) 10: information management system 20: information management server 21: processor 22: detection processing 23: synchronization processing 25: storage device 26: management information database 27: log database 29: computer program 30: network 40: OTA server (computer)
41: management information database 42: update software 50: vehicle 55: ECU
57: In-vehicle network 60: Car maker 91: Information 92: Information 93: Information 94: Information 261: Campaign (management information)
271: Log (execution time information)
271a: Log (execution timing information)
271b: Log (execution timing information)

Claims (12)

異常の検知処理を実行するプロセッサを備え、
前記検知処理は、
機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、
前記実行時期情報が示す前記実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知する
ことを含む、情報管理装置。 Equipped with a processor that executes abnormality detection processing,
The detection process is
Execution time information indicating the execution time of the process executed in the device is acquired from the device,
Detecting an abnormality in the execution of the process in the device based on a result of comparing the execution time indicated by the execution time information with an execution allowable period in which the device is allowed to execute the process , Information management device. 前記機器において実行される前記処理は、前記機器におけるソフトウェアの更新処理を含む、
請求項1に記載の情報管理装置。 The process executed in the device includes a software update process in the device,
The information management device according to claim 1. 前記機器において実行される前記処理は、前記実行許容期間を示す管理情報を有するコンピュータからソフトウェアを受信する受信処理を含み、
前記実行時期は、前記受信処理の実行時期である、
請求項1又は2に記載の情報管理装置。 The process executed in the device includes a reception process of receiving software from a computer having management information indicating the execution allowable period,
The execution time is the execution time of the reception process,
The information management device according to claim 1. 前記機器において実行される処理は、前記機器が受信したソフトウェアを前記機器において実行可能にするインストール処理を含み、
前記実行時期は、前記インストール処理の実行時期である、
請求項1又は2に記載の情報管理装置。 The process executed in the device includes an installation process for enabling the software received by the device to be executed in the device,
The execution time is the execution time of the installation process,
The information management device according to claim 1. 前記機器において実行される処理は、
ソフトウェアを受信する受信処理と、
受信した前記ソフトウェアを前記機器において実行可能にするインストール処理と、を含み、
前記実行時期は、前記受信処理の実行時期及び前記インストール処理の実行時期を含む、
請求項1又は2に記載の情報管理装置。 The processing executed in the device is
A receiving process for receiving software,
An installation process for making the received software executable on the device,
The execution time includes an execution time of the reception process and an execution time of the installation process,
The information management device according to claim 1. 前記プロセッサは、前記実行許容期間を示す管理情報を有するコンピュータから、前記管理情報を取得する取得処理をさらに実行するよう構成され、
前記検知処理において前記実行時期と対比される前記実行許容期間は、前記管理情報によって示される期間である、
請求項1から5のいずれか1項に記載の情報管理装置。 The processor is configured to further execute an acquisition process of acquiring the management information from a computer having management information indicating the execution permitted period,
The execution permissible period compared with the execution time in the detection process is a period indicated by the management information,
The information management device according to any one of claims 1 to 5. 前記取得処理において前記管理情報の取得先となる前記コンピュータは、前記機器と通信可能であり、前記機器において実行される処理の実行時期を前記管理情報に基づいて管理するコンピュータである、
請求項6に記載の情報管理装置。 The computer that is the acquisition destination of the management information in the acquisition process is a computer that is capable of communicating with the device and that manages the execution timing of the process executed in the device based on the management information.
The information management device according to claim 6. 前記検知処理は、前記処理が実行される前記機器の種類を示す情報を、前記機器から取得することをさらに含み、
前記検知処理において前記実行時期と対比される前記実行許容期間は、前記機器の種類に応じた実行許容期間である、
請求項1から7のいずれか1項に記載の情報管理装置。 The detection process further includes acquiring information indicating the type of the device on which the process is executed from the device,
The execution allowable period compared with the execution time in the detection process is an execution allowable period according to the type of the device,
The information management device according to claim 1. 前記機器は車両である、
請求項1から8のいずれか1項に記載の情報管理装置。 The device is a vehicle,
The information management device according to claim 1. 機器において実行される処理の実行時期を示す実行時期情報を前記機器から取得し、前記実行時期情報が示す実行時期と前記機器において前記処理の実行が許容される実行許容期間とを対比した結果に基づいて前記機器における前記処理の実行の異常を検知するよう構成された情報管理装置と、
前記機器において実行される処理の実行時期を、前記処理の実行が許容される実行許容期間を示す管理情報に基づいて管理するコンピュータと、
を備え、
前記情報管理装置は、前記管理情報を前記コンピュータから取得するよう構成されている
システム。 The execution time information indicating the execution time of the process executed in the device is acquired from the device, and the result obtained by comparing the execution time indicated by the execution time information with the execution permissible period in which the execution of the process in the device is compared. An information management device configured to detect an abnormality in the execution of the process in the device based on the:
A computer that manages the execution timing of the process executed in the device based on management information indicating an execution allowable period in which the execution of the process is allowed;
Equipped with
The information management device is configured to obtain the management information from the computer. 異常の検知処理をコンピュータに実行させるコンピュータプログラムであって、
前記検知処理は、
機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、
前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知する
ことを含む、コンピュータプログラム。 A computer program that causes a computer to execute an abnormality detection process,
The detection process is
Execution time information indicating the execution time of the process executed in the device is acquired from the device,
Detecting an abnormality in the execution of the process in the device based on a result of comparing an execution time indicated by the execution time information and an execution allowable period in which the execution of the process is allowed in the device, Computer program. 情報管理装置が、機器において実行される処理の実行時期を示す実行時期情報を、前記機器から取得し、前記実行時期情報が示す実行時期と、前記機器において前記処理の実行が許容される実行許容期間と、を対比した結果に基づいて、前記機器における前記処理の実行の異常を検知する
ことを含む、方法。

The information management apparatus acquires execution timing information indicating execution timing of a process executed in the device from the device, the execution timing indicated by the execution time information, and execution permission by which execution of the process is permitted in the device. Detecting an anomaly in the execution of the process in the device based on a result of comparing the period with the period.

JP2018210516A 2018-11-08 2018-11-08 Information management device, system, computer program and method for processing abnormality detection Active JP7319039B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018210516A JP7319039B2 (en) 2018-11-08 2018-11-08 Information management device, system, computer program and method for processing abnormality detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018210516A JP7319039B2 (en) 2018-11-08 2018-11-08 Information management device, system, computer program and method for processing abnormality detection

Publications (2)

Publication Number Publication Date
JP2020077234A true JP2020077234A (en) 2020-05-21
JP7319039B2 JP7319039B2 (en) 2023-08-01

Family

ID=70724204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018210516A Active JP7319039B2 (en) 2018-11-08 2018-11-08 Information management device, system, computer program and method for processing abnormality detection

Country Status (1)

Country Link
JP (1) JP7319039B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276663A (en) * 2007-05-07 2008-11-13 Denso Corp Vehicle control device and data rewrite system therefor
JP2012203624A (en) * 2011-03-25 2012-10-22 Nomura Research Institute Ltd Business information protection device and business information protection method, and program
JP2015530653A (en) * 2012-09-05 2015-10-15 シマンテック コーポレーションSymantec Corporation System and method for detecting unauthorized applications
JP2017111796A (en) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security processing method and server

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276663A (en) * 2007-05-07 2008-11-13 Denso Corp Vehicle control device and data rewrite system therefor
JP2012203624A (en) * 2011-03-25 2012-10-22 Nomura Research Institute Ltd Business information protection device and business information protection method, and program
JP2015530653A (en) * 2012-09-05 2015-10-15 シマンテック コーポレーションSymantec Corporation System and method for detecting unauthorized applications
JP2017111796A (en) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security processing method and server

Also Published As

Publication number Publication date
JP7319039B2 (en) 2023-08-01

Similar Documents

Publication Publication Date Title
US11856106B2 (en) Secure configuration of a device
US20200201988A1 (en) IoT DEVICE MANAGED BASED ON BLOCK CHAIN, SYSTEM AND METHOD THEREOF
US7478383B2 (en) System and method for remotely securing software updates of computer systems
US11886594B2 (en) Secure transfer of registered network access devices
US6044471A (en) Method and apparatus for securing software to reduce unauthorized use
US20190207813A1 (en) Device provisioning system
US20160350097A1 (en) Method for updating firmware and configuration file and a firmware-configuration file management system therefor
US20190196806A1 (en) Method and system for updating the software of a motor vehicle sensor
EP3318448B1 (en) Vehicle data rewrite control device and vehicle data rewrite authentication system
CN102693375A (en) Information processing apparatus, information processing method, and information processing system
EP2757499A1 (en) System and method for massive controlled and secured update of devices firmware
CN113051539A (en) Method and device for calling digital certificate
JP7319039B2 (en) Information management device, system, computer program and method for processing abnormality detection
JP7009554B2 (en) Interface proxy device for cyber security
US8612538B2 (en) System and method for upgrading telemonitor unit firmware
US10621334B2 (en) Electronic device and system
CN113243003B (en) Method and device for managing aircraft equipment software configuration
US20170163559A1 (en) Distribution system and method for controlling the same
CN105652740B (en) System and method for takeover protection for a security system
CN109634643B (en) Three-proofing automation equipment firmware upgrading system of civil air defense command post
JP6888445B2 (en) How to install secure elements, computer programs, devices, servers and trusted applications
Thakur et al. Universal firmware upgrade over-the-air for IoT devices with security
GB2582006A (en) Vehicle controller
CN114297733A (en) Method and device for upgrading and deploying software of digital media equipment
JP6005023B2 (en) Communication device installation support device, communication device installation support system, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220418

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221114

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20221114

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20221122

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20221125

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20221209

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20221214

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20230123

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20230310

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20230403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230720

R150 Certificate of patent or registration of utility model

Ref document number: 7319039

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150