JP2021140460A - セキュリティ管理装置 - Google Patents
セキュリティ管理装置 Download PDFInfo
- Publication number
- JP2021140460A JP2021140460A JP2020037665A JP2020037665A JP2021140460A JP 2021140460 A JP2021140460 A JP 2021140460A JP 2020037665 A JP2020037665 A JP 2020037665A JP 2020037665 A JP2020037665 A JP 2020037665A JP 2021140460 A JP2021140460 A JP 2021140460A
- Authority
- JP
- Japan
- Prior art keywords
- security management
- management device
- abnormality
- abnormality occurrence
- electronic control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005856 abnormality Effects 0.000 claims abstract description 210
- 238000007726 management method Methods 0.000 claims description 140
- 238000004891 communication Methods 0.000 claims description 96
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 42
- 238000000034 method Methods 0.000 description 30
- 230000006870 function Effects 0.000 description 27
- 230000002159 abnormal effect Effects 0.000 description 9
- 241000700605 Viruses Species 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000000047 product Substances 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 239000011265 semifinished product Substances 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Safety Devices In Control Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】サイバー攻撃に対する対策を実行するか否かの判断をより正確に行う。【解決手段】本発明のセキュリティ管理装置100は、複数の電子制御装置がネットワークで接続されたシステムにおける異常発生箇所、及び前記異常発生箇所における異常発生量を管理する管理部109と、前記異常発生箇所及び前記異常発生量に基づき、異常に対する対策を実行するか否かを判断する判断部110と、前記判断部の判断結果に基づく命令を出力する出力部111と、を有する。【選択図】図2
Description
本発明は、サイバー攻撃に対する対策の実行の要否を判断する装置であって、主に自動車をはじめとする移動体におけるセキュリティ管理装置、セキュリティ管理方法、及びセキュリティ管理プログラムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。
車両に対するサイバー攻撃は、サイバー攻撃により車両のコントロールに支障をきたす虞があるため、これを事前に検知するとともに、サイバー攻撃の可能性がある場合に対応策を実行することが重要になる。
例えば、特許文献1には、検出した攻撃の脅威レベルを判定し、それに応じた対策を起動する技術が記載されている。具体的には、検出された攻撃数をカウントし、攻撃数が特定の閾値に達すると、脅威レベル決定ユニットが任意の利用可能な対策を起動している。
ここで、本発明者は、以下の課題を見出した。
脅威レベルは攻撃対象箇所によって変化しうる。特に自動車においては機能ごとに電子制御装置(ECU)が設けられているので、脅威レベルは攻撃対象によって大きく異なると考えられる。
脅威レベルは攻撃対象箇所によって変化しうる。特に自動車においては機能ごとに電子制御装置(ECU)が設けられているので、脅威レベルは攻撃対象によって大きく異なると考えられる。
しかしながら、特許文献1の技術によれば、対策が起動される閾値を、攻撃対象によらず攻撃を検知した回数で定義しているため、有効な判断基準とならない可能性がある。
本発明は、対策を実行するか否かの判断をより正確に行うことができるセキュリティ管理装置等を実現することを目的とする。
本開示のセキュリティ管理装置(100,200、300)は、複数の電子制御装置がネットワークで接続されたシステムにおける異常発生箇所、及び前記異常発生箇所における異常発生量を管理する管理部(109)と、前記異常発生箇所及び前記異常発生量に基づき、異常に対する対策を実行するか否かを判断する判断部(110)と、前記判断部の判断結果に基づく命令を出力する出力部(111)と、を有する。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、本開示のセキュリティ管理装置は、異常発生箇所に基づき異常に対する対策を実行するか否かを判断するので、対策を実行するか否かの判断をより正確に行うことができる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.各実施形態が管理するシステム
図1を用いて、まず各実施形態が管理するシステムについて説明する。なお、本実施形態では、自動車に搭載された車両アーキテクチャーである電子制御システムを例として説明するが、これ以外の例を排除するものではない。
図1を用いて、まず各実施形態が管理するシステムについて説明する。なお、本実施形態では、自動車に搭載された車両アーキテクチャーである電子制御システムを例として説明するが、これ以外の例を排除するものではない。
電子制御システム1は、複数の電子制御装置(ECU)が「ネットワーク」で接続されたシステムである。電子制御システム1は、以下の構成を有する。
・外部通信ECU11、外部通信ECU12、外部通信ECU13(以下、これらをまとめて指す場合は『外部ECU10』とする。)
・ネットワーク21、ネットワーク22、ネットワーク23、ネットワーク24(以下、これらをまとめて指す場合は『ネットワーク20』とする。)
・中心電子制御装置(C―ECU)30
・ネットワーク41、ネットワーク42、ネットワーク43、ネットワーク44(以下、これらをまとめて指す場合は『ネットワーク40』とする。)
・ドメインコントロールユニット(DCU)51、DCU52、DCU53、DCU54(以下、これらをまとめて指す場合は『DCU50』とする。)
・ネットワーク61、ネットワーク62、ネットワーク63、ネットワーク64(以下、これらをまとめて指す場合は『ネットワーク60』とする。)
・ECU71、ECU72、ECU73、ECU74(以下、これらをまとめて指す場合は『ECU70』とする。)
・外部通信ECU11、外部通信ECU12、外部通信ECU13(以下、これらをまとめて指す場合は『外部ECU10』とする。)
・ネットワーク21、ネットワーク22、ネットワーク23、ネットワーク24(以下、これらをまとめて指す場合は『ネットワーク20』とする。)
・中心電子制御装置(C―ECU)30
・ネットワーク41、ネットワーク42、ネットワーク43、ネットワーク44(以下、これらをまとめて指す場合は『ネットワーク40』とする。)
・ドメインコントロールユニット(DCU)51、DCU52、DCU53、DCU54(以下、これらをまとめて指す場合は『DCU50』とする。)
・ネットワーク61、ネットワーク62、ネットワーク63、ネットワーク64(以下、これらをまとめて指す場合は『ネットワーク60』とする。)
・ECU71、ECU72、ECU73、ECU74(以下、これらをまとめて指す場合は『ECU70』とする。)
ここで、「ネットワーク」とは、有線通信ネットワークの他、無線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
外部通信ECU10は、各種通信方式を用いて外部との通信を行う電子制御装置である。外部通信ECU10は任意の通信方式を用いることができるが、図1の例では、外部ECU11はLTE(Long Term Evolution)(登録商標)を用いて遠距離無線通信を行い、外部ECU12はBluetooth(登録商標)やWi―Fi(登録商標)を用いて近距離無線通信を行い、外部ECU13は、V2X通信を用いて他車両や路側機との間で通信を行う。このように、外部通信ECU10は、複数の通信方式に対応するため複数設けることができるが、もちろん単一の通信方式に対応して1つでもよい。遠距離無線通信の他の例として、W−CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE−A(Long Term Evolution Advanced)、4G、5G等が挙げられる。その他、DSRC(Dedicated Short Range Communication)やIEEE802.16(WiMAX(登録商標))を用いるようにしてもよい。
ネットワーク20は、外部通信ECU10とC−ECU30とを接続するネットワークである。図1の例では、ネットワーク21は外部ECU11とC−ECU30とを接続する。ネットワーク22、ネットワーク23も同様である。ネットワーク24は、診断ツール等をインターフェースを介して接続することにより、診断ツールとC−ECU30とを接続する。
C−ECU30は、ネットワーク20やネットワーク40を介して各ECU間の通信を中継する電子制御装置である。すなわち、C−ECU30はゲートウェイの機能を有する。
ネットワーク40は、C−ECU30とDCU50とを接続するネットワークである。図1の例では、ネットワーク41はC−ECU30とDCU51とを接続する。ネットワーク42、ネットワーク43、ネットワーク44も同様である。
DCU50は、ネットワーク40やネットワーク60を介してECU70同士やECU70とC−ECU30とを接続する。DCU50は、同じDCUに接続されているECU同士を接続する場合は、C−ECU30を経由せずに直接接続を行う。図1の例では、DCU51はネットワーク41やネットワーク61を介してECU71同士やECU71とC−ECU30とを接続する。すなわち、DCU50はサブゲートウェイの機能を有する。
なお、DCU50は必ずしも設ける必要はない。その場合、ネットワーク41及びDCU50は省略可能である。
なお、DCU50は必ずしも設ける必要はない。その場合、ネットワーク41及びDCU50は省略可能である。
ネットワーク60は、DCU50とECU70とを接続するネットワークである。図1の例では、ネットワーク61はDCU51とECU71とを接続する。ネットワーク62、ネットワーク63、ネットワーク64も同様である。
ECU70は、それぞれの機能を実現する電子制御装置である。ECU70は、任意のECUを割り当てることができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。図1の例として、例えばECU71を駆動系電子制御装置群、ECU72を車体系電子制御装置群、ECU73を情報系電子制御装置群、ECU74を安全制御系電子制御装置群とすることができる。
このようなECUの機能(ドメイン)に着目し、DCU50も機能別に割り当ててもよい、例えば、DCU51を駆動系DCU、DCU52を車体系DCU、DCU53を情報系DCU、DCU54を安全制御系DCUとすることができる。
なお、ECU同士は並列ではなく、主従関係を有するように分類されていてもよい。すなわち、マスターとスレーブとに分類されていてもよい。
このようなECUの機能(ドメイン)に着目し、DCU50も機能別に割り当ててもよい、例えば、DCU51を駆動系DCU、DCU52を車体系DCU、DCU53を情報系DCU、DCU54を安全制御系DCUとすることができる。
なお、ECU同士は並列ではなく、主従関係を有するように分類されていてもよい。すなわち、マスターとスレーブとに分類されていてもよい。
図1の例では、ネットワーク20、ネットワーク40、ネットワーク60は、車載ネットワークであり、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi−Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
ここで、電子制御システム1は、外部通信ECU10を基準とした階層で分類、特定することができる。図1の例では、外部通信ECU10が階層1、ネットワーク20が階層2、C−ECU30が階層3、ネットワーク40が階層4、DCU50が階層5、ネットワーク60が階層6、ECU70が階層7と分類できる。ECUとネットワーク(通信線)とを、外部に近い側から順に深くなる階層構造として分類したものである。電子制御システム1の外部である外部ネットワークを含める場合は、外部ネットワークを階層0としてもよい。つまり、サイバー攻撃の対象となるシステムは外部との接点を必ず有するので、外部通信ECU10を基準として階層を定義することが可能である。図1の例では、階層の番号が大きくなるほど、外部通信ECU10から離れた階層であり、深い階層であると言える。なお、階層の番号のつけ方は、昇順又は降順のいずれでもよい。また、外部通信ECU10の階層番号も必ずしも1である必要はない。例えば、外部ネットワークを階層1としてもよい。
2.実施形態1
(1)セキュリティ管理装置の構成
図2を用いて、本実施形態のセキュリティ管理装置100の構成について説明する。セキュリティ管理装置100は、受信部101、記憶部102〜108、判断部110、及び送信部111を有する。なお、図2では、受信部101及び記憶部102〜108をまとめて管理部109を構成する。なお、本実施形態では、セキュリティ管理装置100は、図1のC−ECU30の内部に設けられている。
(1)セキュリティ管理装置の構成
図2を用いて、本実施形態のセキュリティ管理装置100の構成について説明する。セキュリティ管理装置100は、受信部101、記憶部102〜108、判断部110、及び送信部111を有する。なお、図2では、受信部101及び記憶部102〜108をまとめて管理部109を構成する。なお、本実施形態では、セキュリティ管理装置100は、図1のC−ECU30の内部に設けられている。
セキュリティ管理装置100の形態は、部品、半完成品、完成品のいずれでもよい。本実施形態ではセキュリティ管理装置100はC−ECU30の内部の半導体回路によって実現されているので、部品の形態に属する。
その他、部品の例として半導体モジュール、半完成品の形態として独立した電子制御装置(ECU)、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
その他、部品の例として半導体モジュール、半完成品の形態として独立した電子制御装置(ECU)、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
セキュリティ管理装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。
受信部101は、電子制御システム1の「異常発生箇所」での異常発生を示す検知信号を受信する。本実施形態では異常発生箇所として、各ECUや各ネットワークが挙げられる。
ここで、「異常発生箇所」とは、異常が発生した特定の部分を指す場合の他、特定の装置との位置関係又は機能に応じて特定される部分の集合であってもよい。
各異常発生箇所を示す検知信号の例を以下に挙げる。
(a)外部ネットワーク(すなわち階層0)の異常
外部通信ECU10に設置したファイヤーウォールで、外部からの異常通信を検知した場合、外部通信ECU10は、外部ネットワークで異常が発生したことを示す検知信号を送信する。例えば外部通信ECU11は、LTEの通信方式を用いたネットワークで異常が発生したことを示す検知信号を送信する。
外部通信ECU10に設置したファイヤーウォールで、外部からの異常通信を検知した場合、外部通信ECU10は、外部ネットワークで異常が発生したことを示す検知信号を送信する。例えば外部通信ECU11は、LTEの通信方式を用いたネットワークで異常が発生したことを示す検知信号を送信する。
(b)外部通信ECU10(すなわち階層1)の異常
外部通信ECU10は、外部通信ECU10に設置したアンチウィルス機能に基づき、外部通信ECU10自身の異常を示す検知信号を送信する。例えば、外部通信ECU11でウィルスを検出した場合、外部通信ECU11は外部通信ECU11でウィルスを検出したことを示す検知信号を送信する。この他、サンドボックス(Sandbox)を用い、外部から受け取ったプログラムを保護された領域で動作させることで異常を検知してもよい。
外部通信ECU10は、外部通信ECU10に設置したアンチウィルス機能に基づき、外部通信ECU10自身の異常を示す検知信号を送信する。例えば、外部通信ECU11でウィルスを検出した場合、外部通信ECU11は外部通信ECU11でウィルスを検出したことを示す検知信号を送信する。この他、サンドボックス(Sandbox)を用い、外部から受け取ったプログラムを保護された領域で動作させることで異常を検知してもよい。
(c)ネットワーク20(すなわち階層2)の異常
外部通信ECU10又はC−ECU30は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク20に異常が発生したことを示す検知信号を送信する。例えば、C−ECU30のNIDSでネットワーク21における不正侵入を検知した場合、C−ECU30はネットワーク21に異常が発生したことを示す検知信号を送信する。
外部通信ECU10又はC−ECU30は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク20に異常が発生したことを示す検知信号を送信する。例えば、C−ECU30のNIDSでネットワーク21における不正侵入を検知した場合、C−ECU30はネットワーク21に異常が発生したことを示す検知信号を送信する。
(d)C−ECU30(すなわち階層3)の異常
C−ECU30は、C−ECU30に設置したアンチウィルス機能に基づき、C−ECU30自身の異常を示す検知信号を送信する。
C−ECU30は、C−ECU30に設置したアンチウィルス機能に基づき、C−ECU30自身の異常を示す検知信号を送信する。
(e)ネットワーク40(すなわち階層4)の異常
C−ECU30又はDCU50は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク40に異常が発生したことを示す検知信号を送信する。例えば、C−ECU30のNIDSでネットワーク41における不正侵入を検知した場合、C−ECU30はネットワーク41に異常が発生したことを示す検知信号を送信する。
C−ECU30又はDCU50は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク40に異常が発生したことを示す検知信号を送信する。例えば、C−ECU30のNIDSでネットワーク41における不正侵入を検知した場合、C−ECU30はネットワーク41に異常が発生したことを示す検知信号を送信する。
(f)DCU50(すなわち階層5)の異常
DCU50は、DCU50に設置したアンチウィルス機能に基づき、DCU50自身の異常を示す検知信号を送信する。例えば、DCU51でウィルスを検出した場合、DCU51はDCU51でウィルスを検出したことを示す検知信号を送信する。
DCU50は、DCU50に設置したアンチウィルス機能に基づき、DCU50自身の異常を示す検知信号を送信する。例えば、DCU51でウィルスを検出した場合、DCU51はDCU51でウィルスを検出したことを示す検知信号を送信する。
(g)ネットワーク60(すなわち階層6)の異常
DCU50は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク60に異常が発生したことを示す検知信号を送信する。例えば、DCU51のNIDSでネットワーク61における不正侵入を検知した場合、DCU51はネットワーク61に異常が発生したことを示す検知信号を送信する。
DCU50は、これらに設置したネットワーク型侵入検知システム(NIDS)で偵察行為や不正侵入などのインシデントの兆候を検知した場合、ネットワーク60に異常が発生したことを示す検知信号を送信する。例えば、DCU51のNIDSでネットワーク61における不正侵入を検知した場合、DCU51はネットワーク61に異常が発生したことを示す検知信号を送信する。
(h)ECU70(すなわち階層7)の異常
ECU70は、自身に設置したメッセージ認証機能でメッセージ認証異常を検知した場合、ECU70で異常が発生したことを示す検知信号を送信する。例えば、ECU71でメッセージ認証異常を検知した場合、ECU71で異常が発生したことを示す検知信号を送信する。
ECU70は、自身に設置したメッセージ認証機能でメッセージ認証異常を検知した場合、ECU70で異常が発生したことを示す検知信号を送信する。例えば、ECU71でメッセージ認証異常を検知した場合、ECU71で異常が発生したことを示す検知信号を送信する。
このように、本実施形態では異常発生箇所を特定する情報を検知信号に含めてセキュリティ管理装置100に送信している。例えば、異常が発生した装置を識別する識別情報を検知信号に含めて送信する。この他、異常が発生した装置を演算等により識別可能なデータを検知信号に含めて送信してもよい。
また、検知信号に異常発生箇所以外の情報を含めてもよい。例えば、異常発生時刻や異常終了時刻、異常の種類、異常発生を検出した装置を識別する識別情報、を検知信号に含めるようにしてもよい。
記憶部は、検知すべき異常発生箇所の数に応じて設けられている。本実施形態では、記憶部102〜108は、それぞれ外部通信ECU10(すなわち階層1)、ネットワーク20(すなわち階層2)、C−ECU30(すなわち階層3)、ネットワーク40(すなわち階層4)、DCU50(すなわち階層5)、ネットワーク60(すなわち階層6)、及びECU70(すなわち階層7)を異常発生箇所とし、各異常発生箇所における「異常発生量」を記憶する。本実施形態では、異常発生量として、各階層のECU又はネットワークで異常が発生した回数を記憶する。異常が発生した回数は、異常を検知した際に送信される検知信号の受信回数をカウントすればよい。例えば、外部ECU11の異常が1回発生し、外部ECU12で異常が2回発生した場合、階層1からの検知信号は3回送信されているので、記憶部102は異常発生回数として3を記憶する。
ここで、「異常発生量」とは、異常を量的に評価できる指標であればよく、例えば異常発生回数、異常発生時間、異常なデータのサイズや数、が挙げられる。
そして、記憶部102〜108は、異常発生箇所及び異常発生量を、判断部110に引き渡す。
本実施形態では、受信部101及び記憶部102〜108をまとめて管理部109を構成する。すなわち、管理部109は、全体として、異常発生箇所及び異常発生箇所における異常発生量を「管理する」。
ここで、「管理する」とは、異常発生箇所及び異常発生量を把握できる状態に置ければよく、具体的には異常発生箇所及び異常発生量を取得、保存、又は引渡しの少なくとも一つを行うことができればよい。
管理部109の他の例として、管理部109を構成する受信部101は、異常発生箇所に加えて異常発生量を含む検知信号を受信してもよい。異常発生量の例として、外部通信ECU10で検知したウィルスファイルの個数や、ファイヤーウォール機能でブロックしたアクセスの数などが挙げられる。受信した検知信号に含まれる異常発生箇所及び異常発生量は、異常発生箇所に対応して記憶部102〜108のいずれかに記憶される。
さらに管理部109の他の例として、管理部109を構成する受信部101は、各ECUから送信されるCANデータを受信するようにしてもよい。そして、受信部101は、CANデータを分析して異常を検出し、異常発生箇所と異常発生量を記憶部102〜108のいずれかに記憶する。例えば、ECU71から送信される速度情報の送信間隔が規定の送信間隔よりも短い場合、ECU71になりすました機器からの不正なアクセスが原因である可能性がある。そこで、受信部101は、異常発生箇所をECU71、異常発生量を1回、として記憶部108に記憶する。この例の場合、受信部101は単なるインターフェースではなく、分析機能を含むように構成される。
判断部110は、記憶部102〜108から引渡しを受けた異常発生箇所及び異常発生量に「基づき」、異常に対する対策を実行するか否かを判断する。
ここで、「基づき」とは、異常発生箇所及び異常発生量を直接用いる場合はもちろん、これらに所定の演算を行うなどした結果を用いる場合も含む。
図3は、判断部110が異常に対する対策を実行するか否かの判断例を示す図である。図3の縦軸は検知信号の受信回数、横軸は階層である。
判断部110は、異常発生箇所が外部通信ECU10から離れるほど、即ち階層が深くなるほど、少ない異常発生量で異常に対する対策を実行すると判断する。
図3の場合、異常発生箇所が階層0の場合は12回以上であれば、異常発生に対する対策を実行すると判断する。12回未満であれば、対策を実行しない。そして、階層が深くなるにつれて閾値は小さくなり、異常発生箇所が階層7の場合は1回で異常発生に対する対策を実行すると判断する。
図3の場合、異常発生箇所が階層0の場合は12回以上であれば、異常発生に対する対策を実行すると判断する。12回未満であれば、対策を実行しない。そして、階層が深くなるにつれて閾値は小さくなり、異常発生箇所が階層7の場合は1回で異常発生に対する対策を実行すると判断する。
このような閾値を設けるのは、サイバー攻撃は通常複数の不正アクセスからなり、これら複数の不正アクセスが順次成功して初めて攻撃が成功するという特徴を有するからである。そして、閾値を設けることにより、サイバー攻撃以外の通常の異常や誤検知を攻撃と判定することを防ぐことができ、不要な対策の実行を行うことを避けることができる。
また、階層が深くなるほど閾値を小さくすることにより、サイバー攻撃の入り口である外部通信ECU10から電子制御システム1の内部への侵入度合いに応じた対策の実行が可能である。特に、自動車の電子制御システム1の場合、階層が深い末端のECUほど重要な情報を扱っており、末端のECUが乗っ取られることにより自動車の制御に直接影響が出る可能性が高い。このように、階層は、サイバー攻撃に対する緊急度の高さを表しているとも把握できる。
特に、自動車(「移動体」に相当)に「搭載された」本実施形態の電子制御システム1においては、判断部110は、異常発生箇所が自動車を構成する機器の制御に用いるECUである場合に、最も少ない異常発生量で異常に対する対策を実行すると判断する。このような構成により、電子制御システム1において制御対象に近い部分での異常ほど、早期にかつサイバー攻撃が成功する前に対策を実行することができる。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
送信部111(「出力部」に相当)は、判断部110の判断結果に基づく「命令」を、電子制御システム1の所定のECU等に「出力する」。
ここで、「命令」とは、コマンドの他、出力先が解釈可能なデータであってもよい。
また、「出力する」とは、システムの内部に出力する場合の他、システムの外部に出力する場合も含む。また、セキュリティ管理装置の外部に出力する場合の他、セキュリティ管理装置の内部の対策実行部に出力する場合も含む。
また、「出力する」とは、システムの内部に出力する場合の他、システムの外部に出力する場合も含む。また、セキュリティ管理装置の外部に出力する場合の他、セキュリティ管理装置の内部の対策実行部に出力する場合も含む。
本実施形態では、例えば、外部通信ECU11のファイヤーウォールで外部からの異常通信を検知した場合、階層0に対する対策を実行するため、外部通信ECU10に対して、IPフィルタリングを実行する命令を出力する。例えば、C−ECU30のNIDSでネットワーク23の異常を検知した場合、階層2に対する対策を実行するため、C−ECU30に対して、CANIDフィルタリングを実行する命令を出力する。例えば、DCU52でアンチウィルス機能に基づきウィルスを検知した場合、階層5に対する対策を実行するため、DCU50に対して、アンチウィルス機能を再起動する命令を出力する。
上述の例では、異常発生箇所の属する階層全体に対する対策を実行するようにしているが、具体的な異常発生箇所に対する対策を実行するようにしてもよい。例えば、外部通信ECU11のファイヤーウォールで外部からの異常通信を検知した場合、外部通信ECU11のみに対して、IPフィルタリングを実行する命令を出力するようにしてもよい。
(2)セキュリティ管理装置の動作
次に、本実施形態のセキュリティ管理装置100の動作を図4を用いて説明する。
なお、以下の動作は、セキュリティ管理装置100におけるセキュリティ管理方法を示すだけでなく、セキュリティ管理装置100で実行されるセキュリティ管理プログラムの処理手順を示すものである。
そして、これらの処理は、図4で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
以上、本実施形態だけでなく、他の実施形態や変形例においても同様である。
次に、本実施形態のセキュリティ管理装置100の動作を図4を用いて説明する。
なお、以下の動作は、セキュリティ管理装置100におけるセキュリティ管理方法を示すだけでなく、セキュリティ管理装置100で実行されるセキュリティ管理プログラムの処理手順を示すものである。
そして、これらの処理は、図4で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
以上、本実施形態だけでなく、他の実施形態や変形例においても同様である。
受信部101は、電子制御システム1の異常発生箇所での異常発生を示す検知信号を受信することにより、異常発生箇所を取得する(S101)。そして、異常発生箇所における異常発生量を取得する(S101)。本実施形態では、検知信号の受信回数をもって異常発生量とし、検知信号の受信回数をカウントすることにより異常発生量を取得する。取得した異常発生箇所及び異常発生量は、異常発生箇所に応じて記憶部102〜108のいずれかに記憶される。
判断部110は、記憶部102〜108から異常発生箇所及び異常発生量を読み出し、読み出した異常発生箇所及び異常発生量に基づき、異常に対する対策を実行するか否かを判断する(S102)。本実施形態では、あらかじめ階層ごとに定められた閾値を用い、検知信号の受信回数が、異常発生箇所が属する階層の閾値以上か閾値未満かで判断する。
判断部110が異常に対する対策を実行しないと判断した場合(S102:No)、処理を終了する。
判断部110が異常に対する対策を実行すると判断した場合(S102:Yes)、判断部の判断結果に基づく命令を出力する(S103)。本実施形態では、異常発生箇所を検知したECUに対し、それぞれのECUが持つセキュリティ対策機能の実行命令を送信する。
判断部110が異常に対する対策を実行すると判断した場合(S102:Yes)、判断部の判断結果に基づく命令を出力する(S103)。本実施形態では、異常発生箇所を検知したECUに対し、それぞれのECUが持つセキュリティ対策機能の実行命令を送信する。
(3)小括
以上、本実施形態のセキュリティ管理装置100によれば、異常発生箇所を階層で管理しているので、階層ごとの危険度に応じた対策を階層全体で実行することができるとともに、異常発生箇所及び異常発生量を記憶する記憶部102〜108を削減できる。
また、本実施形態のセキュリティ管理装置100によれば、異常発生箇所の階層が深くなるほど検知信号の受信回数の閾値を小さくしているので、サイバー攻撃の入り口である外部通信ECU10から電子制御システム1の内部への侵入度合いに応じた対策の実行が可能である。
また、本実施形態のセキュリティ管理装置100によれば、ゲートウェイの役割を有するC−ECU30に設けられているので、各ECUからの検知信号を漏れなく収集することができるとともに、判断結果に基づく命令を漏れなく出力することができる。
以上、本実施形態のセキュリティ管理装置100によれば、異常発生箇所を階層で管理しているので、階層ごとの危険度に応じた対策を階層全体で実行することができるとともに、異常発生箇所及び異常発生量を記憶する記憶部102〜108を削減できる。
また、本実施形態のセキュリティ管理装置100によれば、異常発生箇所の階層が深くなるほど検知信号の受信回数の閾値を小さくしているので、サイバー攻撃の入り口である外部通信ECU10から電子制御システム1の内部への侵入度合いに応じた対策の実行が可能である。
また、本実施形態のセキュリティ管理装置100によれば、ゲートウェイの役割を有するC−ECU30に設けられているので、各ECUからの検知信号を漏れなく収集することができるとともに、判断結果に基づく命令を漏れなく出力することができる。
3.実施形態1の変形例
(1)異常発生箇所
実施形態1では、異常発生箇所を外部通信装置を基準とした階層で特定し管理しているが、異常発生箇所を個々のECUやネットワーク単位で特定し管理してもよい。この例によれば、記憶部の容量は増加するものの、異常を検出した異常発生箇所に対し直接かつ最小限の対策を実行することができる。
(1)異常発生箇所
実施形態1では、異常発生箇所を外部通信装置を基準とした階層で特定し管理しているが、異常発生箇所を個々のECUやネットワーク単位で特定し管理してもよい。この例によれば、記憶部の容量は増加するものの、異常を検出した異常発生箇所に対し直接かつ最小限の対策を実行することができる。
また、異常発生箇所を、階層や個別のECU又はネットワークではなく、特定の機能を有するECUやネットワークの集合で特定し管理してもよい。例えば、複数の安全制御系ECUをまとめた集合で特定したり、C−ECU30に接続されたネットワークをまとめた集合で特定してもよい。この例によれば、機能ごとに特定することにより、異常に対する対策を共通にすることができる。
そして、実施形態1に開示した形態やこれらの変形例を組み合わせることもできる。すなわち、電子制御システム1の一部は階層で特定し、他の部分は個別のECUやネットワークで特定するようにしてもよい。
(2)異常発生量
実施形態1では、各ECU又はネットワークで異常が発生した回数、すなわち検知信号の受信回数を異常発生量としたが、異常が継続した時間や、異常なデータのサイズ若しくは数を異常発生量としてもよい。例えば、DoS攻撃(Denial of Service Attack)のうち、大量のリクエストや巨大なデータを送り付けるなどしてシステムを利用不能にするフラッド攻撃のような場合、攻撃の継続時間や、送り付けられたデータのサイズ若しくは送り付けられたファイルの数を用いてもよい。攻撃の継続時間は、例えばバス占有率が所定の値を超える時間を計測することにより求めることができる。
実施形態1では、各ECU又はネットワークで異常が発生した回数、すなわち検知信号の受信回数を異常発生量としたが、異常が継続した時間や、異常なデータのサイズ若しくは数を異常発生量としてもよい。例えば、DoS攻撃(Denial of Service Attack)のうち、大量のリクエストや巨大なデータを送り付けるなどしてシステムを利用不能にするフラッド攻撃のような場合、攻撃の継続時間や、送り付けられたデータのサイズ若しくは送り付けられたファイルの数を用いてもよい。攻撃の継続時間は、例えばバス占有率が所定の値を超える時間を計測することにより求めることができる。
(3)異常発生回数の閾値
実施形態1では、階層ごとに閾値を設け、各階層の異常発生回数が閾値以上か否かによって異常に対する対策の実行の要否を判断したが、複数の階層の異常発生回数に基づき判断してもよい。
例えば、図3に示す閾値を設定するとともに、階層0から階層7までの異常発生回数をそれぞれa,b,c,d,e,f,g,hとしたとき、
1/12a+1/9b+1/6c+1/5d+1/4e+1/3f+1/2g+1/1h >= 1 ・・・(式1)
の式を満たす場合に異常に対する対策を実行すると判断してもよい。
実施形態1では、階層ごとに閾値を設け、各階層の異常発生回数が閾値以上か否かによって異常に対する対策の実行の要否を判断したが、複数の階層の異常発生回数に基づき判断してもよい。
例えば、図3に示す閾値を設定するとともに、階層0から階層7までの異常発生回数をそれぞれa,b,c,d,e,f,g,hとしたとき、
1/12a+1/9b+1/6c+1/5d+1/4e+1/3f+1/2g+1/1h >= 1 ・・・(式1)
の式を満たす場合に異常に対する対策を実行すると判断してもよい。
また、実施形態1では、階層に着目し、ECUとネットワークとの差異には着目していなかったが、異常発生箇所がECUの場合とネットワークの場合とで閾値に差を設けてもよい。例えば、図1の例では、階層1、階層3、階層5、階層7はECUであり、これらの階層で異常が発生した場合の閾値をすべて1としたり、又は3、2、2、1のように比較的小さい値で漸次減少するようにしてもよい。これに対し、階層0、階層2、階層4、階層6はネットワークであり、これらの階層で異常が発生した場合の閾値を10、7、5、4のように比較的大きい値で漸次減少するようにしてもよい。ECUの方がネットワークよりも閾値を小さくするのは、ECUの異常の方がサイバー攻撃による影響が出やすいためである。
これは異常検知方法の違いとしても把握できる。つまり、NIDSとホスト型侵入検知システム(HIDS)とを比較すると、NIDSの方がHIDSよりも誤検知の確率が高い。したがって、NIDSの方がHIDSよりも閾値を高くすることにより、誤検知に基づく対策の実行を防止することができる。
(4)セキュリティ管理装置を設ける場所
実施形態1では、セキュリティ管理装置100をC−ECU30に設けたが、電子制御システム1の内部のいずれかのECUに設けてもよい。例えば、外部通信ECU10のいずれか、あるいはDCU50のいずれか、に設けてもよい。あるいは、専用のECUとして電子制御システム1の内部に設けてもよい。
実施形態1では、セキュリティ管理装置100をC−ECU30に設けたが、電子制御システム1の内部のいずれかのECUに設けてもよい。例えば、外部通信ECU10のいずれか、あるいはDCU50のいずれか、に設けてもよい。あるいは、専用のECUとして電子制御システム1の内部に設けてもよい。
さらに、セキュリティ管理装置100を複数のECUに分散して設けてもよい。例えば、外部ECU11、外部ECU12、外部ECU13、及びC−ECU30に設けてもよい。この場合、外部ECU11は、LTEの通信方式を用いたネットワーク、外部ECU11自身、及びネットワーク21の異常発生箇所及び異常発生量を管理する。外部ECU12は、Bluetooth(登録商標)やWi―Fi(登録商標)を用いたネットワーク、外部ECU12自身、及びネットワーク22の異常発生箇所及び異常発生量を管理する。外部ECU13は、V2X通信を用いたネットワーク、外部ECU13自身、及びネットワーク23の異常発生箇所及び異常発生量を管理する。そして、C−ECU30は、C−ECU30自身及び階層4以下のネットワーク40、DCU50、ネットワーク60、及びECU70の異常発生箇所及び異常発生量を管理する。
セキュリティ管理装置100を複数のECUに分散して設ける場合、それぞれのECUに設けられた部分セキュリティ管理装置も、本発明の「セキュリティ管理装置」に相当する。
この他、電子制御システム1の外部にセキュリティ管理装置100を設けてもよいが、これは実施形態2で説明する。
4.実施形態2
本実施形態は、セキュリティ管理装置100を、電子制御システム1の外部に設けた例である。図5を用いて、セキュリティ管理装置100と電子制御システム1の関係を説明する。
本実施形態は、セキュリティ管理装置100を、電子制御システム1の外部に設けた例である。図5を用いて、セキュリティ管理装置100と電子制御システム1の関係を説明する。
電子制御システム1は自動車に搭載されており、通信ネットワーク2を介してセキュリティ管理装置100と通信を行う。電子制御システム1及びセキュリティ管理装置100は、実施形態1で説明したものと同じであるので、実施形態1を引用し、説明は省略する。
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(Wi―Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W−CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE−A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワーク2は、有線通信方式の場合、例えば、有線LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
通信ネットワーク2は、有線通信方式の場合、例えば、有線LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
本実施形態の場合、異常発生箇所を含む検知信号を、電子制御システム1の各ECUから通信ネットワーク2を介してセキュリティ管理装置100に送信している。また、セキュリティ管理装置100は、判断部110の判断結果に基づく命令を、通信ネットワーク2を介して電子制御システム1の所定のECU等に出力している。
本実施形態によれば、セキュリティ管理装置100を電子制御システム1の外部、例えばサーバ等に設けることにより、リソースの豊富な安定した装置で管理を行うことができる。
5.実施形態3
本実施形態は、セキュリティ管理装置100を、電子制御システム1の内部と電子制御システム1の外部の両方に設けた例である。図6を用いて、本実施形態を説明する。
本実施形態は、セキュリティ管理装置100を、電子制御システム1の内部と電子制御システム1の外部の両方に設けた例である。図6を用いて、本実施形態を説明する。
電子制御システム1の内部には、第1のセキュリティ管理装置200が設けられ、電子制御システム1の外部には、第2のセキュリティ管理装置300が設けられている。第1のセキュリティ管理装置200の構成と第2のセキュリティ管理装置300の構成は、実施形態1のセキュリティ管理装置100の構成と同じであるので、実施形態1を引用し、説明は省略する。
第1のセキュリティ管理装置200と第2のセキュリティ管理装置300との間で通信ネットワーク2による通信が可能な場合は、第2のセキュリティ管理装置300を動作させる。すなわち、電子制御システム1における異常発生箇所及び異常発生量は、第2のセキュリティ管理装置300で管理し、異常に対する対策を実行するか否かの判断、及び判断結果に基づく命令の出力はすべて第2のセキュリティ管理装置300で行う。
一方、第1のセキュリティ管理装置200と第2のセキュリティ管理装置300との間で通信ネットワークによる通信が可能でない場合は、第1のセキュリティ管理装置200を動作させる。すなわち、電子制御システム1における異常発生箇所及び異常発生量は、第1のセキュリティ管理装置200で管理し、異常に対する対策を実行するか否かの判断、及び判断結果に基づく命令の出力はすべて第1のセキュリティ管理装置200で行う。
通信が可能か否かの判断は、第1のセキュリティ管理装置200で行うことが望ましい。例えば、第1のセキュリティ管理装置の外部通信ECU11で一定時間メッセージを受信しないときは通信が遮断されたとして、通信が可能でないと判断する。
以上の第1の例によれば、通信が可能な場合は処理能力の高い外部の第2のセキュリティ管理装置300で管理を行い、通信が可能でない場合に内部の第1のセキュリティ管理装置200で管理を行うので、通常は処理能力が高い装置で管理するとともに、通信が遮断された場合でも管理を継続することができる。
なお、第1の例では、通信が可能か否かで、異常発生箇所と異常発生量の管理及び判断を第1のセキュリティ管理装置200と第2のセキュリティ管理装置300のいずれかに振り分けたが、その他の基準で振り分けてもよい。
例えば、第1のセキュリティ管理装置200は、電子制御システム1における外部通信ECU10から遠い階層での異常発生箇所及び異常発生量を管理し、第2のセキュリティ管理装置300は、電子制御システム1における外部通信ECU10から近い階層での異常発生箇所及び異常発生量を管理するようにしてもよい。例えば、第1のセキュリティ管理装置200は、図1の階層3、階層4、階層5、階層6、及び階層7を、第2のセキュリティ管理装置300は、図1の階層0、階層1、及び階層2を、それぞれ管理するようにしてもよい。
以上の第2の例によれば、サイバー攻撃による影響が大きいECUに対しては、異常が発生した場合の対策の実行を電子制御システム1の内部に設けた第1のセキュリティ管理装置200で行うことにより、通信環境の影響を受けずにセキュリティ管理を行うことができる。
なお、第1の例と第2の例を組み合わせることもできる。
6.総括
以上、本発明の各実施形態におけるセキュリティ管理装置等の特徴について説明した。
以上、本発明の各実施形態におけるセキュリティ管理装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
各実施形態では、各実施形態に開示の装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明のセキュリティ管理装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またセキュリティ管理装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のセキュリティ管理装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のセキュリティ管理装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明のセキュリティ管理装置は、主として自動車に搭載された電子制御システムを対象としているが、自動車に搭載されない通常のシステムを対象としてもよい。
100 セキュリティ管理装置、109 管理部、110 判断部、111 送信部
Claims (17)
- 複数の電子制御装置がネットワークで接続されたシステムにおける異常発生箇所、及び前記異常発生箇所における異常発生量を管理する管理部(109)と、
前記異常発生箇所及び前記異常発生量に基づき、異常に対する対策を実行するか否かを判断する判断部(110)と、
前記判断部の判断結果に基づく命令を出力する出力部(111)と、を有する、
セキュリティ管理装置(100、200、300)。 - 前記異常発生箇所は、外部との通信を行う外部通信電子制御装置を基準とした階層で特定される、
請求項1記載のセキュリティ管理装置。 - 前記異常発生箇所は、特定の機能を有する前記電子制御装置の集合で特定される、
請求項1記載のセキュリティ管理装置。 - 前記異常発生量は、異常が発生した回数である、
請求項1記載のセキュリティ管理装置。 - 前記異常発生量は、異常が継続した時間、又は異常なデータのサイズ若しくは数である、
請求項1記載のセキュリティ管理装置。 - 前記判断部は、前記異常発生箇所が、外部との通信を行う外部通信電子制御装置から離れるほど、少ない前記異常発生量で異常に対する対策を実行すると判断する、
請求項1記載のセキュリティ管理装置。 - 移動体に搭載された前記システムにおいて、
前記判断部は、前記異常発生箇所が、前記移動体を構成する機器の制御に用いる前記電子制御装置である場合に、最も少ない前記異常発生量で異常に対する対策を実行すると判断する、
請求項1記載のセキュリティ管理装置。 - 前記判断部は、前記異常発生箇所が、前記電子制御装置よりも前記ネットワークである方が、より少ない前記異常発生量で異常に対する対策を実行すると判断する、
請求項1記載のセキュリティ管理装置。 - 当該セキュリティ管理装置は、前記システムの内部の一つ又は複数の前記電子制御装置に設けられている、
請求項1記載のセキュリティ管理装置。 - 当該セキュリティ管理装置は、中心電子制御装置(C−ECU)、又は/及び外部通信電子制御装置に設けられている、
請求項9記載のセキュリティ管理装置。 - 当該セキュリティ管理装置は、前記システムの外部に設けられている、
請求項1記載のセキュリティ管理装置。 - 当該セキュリティ管理装置は、前記システムの内部に第1のセキュリティ管理装置(200)として設けられるとともに、前記システムの外部に第2のセキュリティ管理装置(300)が設けられ、
前記第1のセキュリティ管理装置と前記第2のセキュリティ管理装置との間で通信が可能でない場合は前記第1のセキュリティ管理装置を動作させ、
前記第1のセキュリティ管理装置と前記第2のセキュリティ管理装置との間で通信が可能な場合は前記第2のセキュリティ管理装置を動作させる、
請求項1記載のセキュリティ管理装置(200)。 - 当該セキュリティ管理装置は、前記システムの外部に第2のセキュリティ管理装置(300)として設けられるとともに、前記システムの内部に第1のセキュリティ管理装置(200)が設けられ、
前記第1のセキュリティ管理装置と前記第2のセキュリティ管理装置との間で通信が可能でない場合は前記第1のセキュリティ管理装置を動作させ、
前記第1のセキュリティ管理装置と前記第2のセキュリティ管理装置との間で通信が可能な場合は前記第2のセキュリティ管理装置を動作させる、
請求項1記載のセキュリティ管理装置(300)。 - 当該セキュリティ管理装置は、前記システムの内部に第1のセキュリティ管理装置(200)として設けられるとともに、前記システムの外部に第2のセキュリティ管理装置(300)が設けられ、
前記第1のセキュリティ管理装置は、前記外部通信電子制御装置から遠い前記階層での異常発生箇所及び異常発生量を管理し、
前記第2のセキュリティ管理装置は、前記外部通信電子制御装置から近い前記階層での異常発生箇所及び異常発生量を管理する、
請求項2記載のセキュリティ管理装置(200)。 - 当該セキュリティ管理装置は、前記システムの外部に第2のセキュリティ管理装置(300)として設けられるとともに、前記システムの内部に第1のセキュリティ管理装置(200)が設けられ、
前記第1のセキュリティ管理装置は、前記外部通信電子制御装置から遠い前記階層での異常発生箇所及び異常発生量を管理し、
前記第2のセキュリティ管理装置は、前記外部通信電子制御装置から近い前記階層での異常発生箇所及び異常発生量を管理する、
請求項2記載のセキュリティ管理装置(300)。 - 複数の電子制御装置がネットワークで接続されたシステムにおける異常発生箇所、及び前記異常発生箇所における異常発生量を取得し(S101)、
前記異常発生箇所及び前記異常発生量に基づき、異常に対する対策を実行するか否かを判断し(S102)、
前記判断部の判断結果に基づく命令を出力する(S103)、
セキュリティ管理方法。 - 複数の電子制御装置がネットワークで接続されたシステムにおける異常発生箇所、及び前記異常発生箇所における異常発生量を取得し(S101)、
前記異常発生箇所及び前記異常発生量に基づき、異常に対する対策を実行するか否かを判断し(S102)、
前記判断部の判断結果に基づく命令を出力する(S103)、
セキュリティ管理装置で実行可能なセキュリティ管理プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020037665A JP7443832B2 (ja) | 2020-03-05 | 2020-03-05 | セキュリティ管理装置 |
| US17/190,455 US11711387B2 (en) | 2020-03-05 | 2021-03-03 | Security management device, security management method, and computer program executed by security management device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020037665A JP7443832B2 (ja) | 2020-03-05 | 2020-03-05 | セキュリティ管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021140460A true JP2021140460A (ja) | 2021-09-16 |
| JP7443832B2 JP7443832B2 (ja) | 2024-03-06 |
Family
ID=77556048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020037665A Active JP7443832B2 (ja) | 2020-03-05 | 2020-03-05 | セキュリティ管理装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11711387B2 (ja) |
| JP (1) | JP7443832B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024013995A1 (ja) * | 2022-07-15 | 2024-01-18 | 日産自動車株式会社 | 電子制御装置及び電子制御方法 |
| WO2024070859A1 (ja) * | 2022-09-30 | 2024-04-04 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7730193B2 (en) * | 2007-04-03 | 2010-06-01 | Computer Associates Think, Inc. | Automated time zone based grouping |
| JP5363927B2 (ja) * | 2009-09-07 | 2013-12-11 | 株式会社日立製作所 | 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム |
| EP2832070B1 (en) * | 2012-03-29 | 2020-05-20 | Arilou Information Security Technologies Ltd. | Device for protecting a vehicle electronic system |
| US9692775B2 (en) * | 2013-04-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system to dynamically detect traffic anomalies in a network |
| US9401923B2 (en) * | 2013-10-23 | 2016-07-26 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
| CN105637803B (zh) | 2014-05-08 | 2019-10-22 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常应对方法 |
| US9703955B2 (en) * | 2014-07-17 | 2017-07-11 | VisualThreat Inc. | System and method for detecting OBD-II CAN BUS message attacks |
| WO2016108963A1 (en) * | 2014-12-30 | 2016-07-07 | Battelle Memorial Institute | Temporal anomaly detection on automotive networks |
| US11115433B2 (en) * | 2015-06-29 | 2021-09-07 | Argus Cyber Security Ltd. | System and method for content based anomaly detection in an in-vehicle communication network |
| WO2017107982A1 (en) | 2015-12-24 | 2017-06-29 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for vehicle management |
| US20170279685A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Adjusting anomaly detection operations based on network resources |
| EP3226168A1 (en) | 2016-03-31 | 2017-10-04 | Nxp B.V. | Electronic device and protection method |
| US10382196B2 (en) * | 2016-04-29 | 2019-08-13 | Olympus Sky Technologies, S.A. | System and method for secure communications based on locally stored values |
| US10333958B2 (en) * | 2016-07-19 | 2019-06-25 | Cisco Technology, Inc. | Multi-dimensional system anomaly detection |
| JP6782444B2 (ja) | 2017-01-18 | 2020-11-11 | パナソニックIpマネジメント株式会社 | 監視装置、監視方法およびコンピュータプログラム |
| JP7113337B2 (ja) | 2018-01-12 | 2022-08-05 | パナソニックIpマネジメント株式会社 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
| JP2019209945A (ja) | 2018-06-08 | 2019-12-12 | 住友電装株式会社 | 車載制御装置、制御プログラム及び制御方法 |
-
2020
- 2020-03-05 JP JP2020037665A patent/JP7443832B2/ja active Active
-
2021
- 2021-03-03 US US17/190,455 patent/US11711387B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024013995A1 (ja) * | 2022-07-15 | 2024-01-18 | 日産自動車株式会社 | 電子制御装置及び電子制御方法 |
| WO2024070859A1 (ja) * | 2022-09-30 | 2024-04-04 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7443832B2 (ja) | 2024-03-06 |
| US20210281594A1 (en) | 2021-09-09 |
| US11711387B2 (en) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112204578B (zh) | 使用机器学习在数据接口上检测数据异常 | |
| Aliwa et al. | Cyberattacks and countermeasures for in-vehicle networks | |
| US11411681B2 (en) | In-vehicle information processing for unauthorized data | |
| US20200220888A1 (en) | In-vehicle network anomaly detection system and in-vehicle network anomaly detection method | |
| EP3793141B1 (en) | Anomaly sensing electronic control unit, vehicle-mounted network system, and anomaly sensing method | |
| WO2017038351A1 (ja) | 車載ネットワーク装置 | |
| KR101853676B1 (ko) | 차량 침입 탐지 장치 및 방법 | |
| JP2022125099A (ja) | 不正検知サーバ、及び、方法 | |
| WO2022088160A1 (zh) | 异常检测方法及装置 | |
| JP6761793B2 (ja) | 車両用制御装置 | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| CN111448787B (zh) | 用于提供安全的车载网络的系统及方法 | |
| WO2019093098A1 (ja) | 情報処理装置、移動装置、および方法、並びにプログラム | |
| US11711387B2 (en) | Security management device, security management method, and computer program executed by security management device | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| JP2023171904A (ja) | ログ管理装置及びセンタ装置 | |
| JP2022024266A (ja) | ログ分析装置 | |
| JP7392598B2 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム | |
| JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
| KR102204656B1 (ko) | 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템 | |
| Linghu et al. | Weighted local outlier factor for detecting anomaly on in-vehicle network | |
| JP7160206B2 (ja) | セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 | |
| da Bernarda et al. | Automotive Controller Area Network Intrusion Detection Systems | |
| CN117544410A (zh) | Can总线攻击类型的确定方法、处理器及计算机设备 | |
| JP2024051321A (ja) | ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230111 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230816 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230822 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230920 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231107 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240205 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7443832 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |