JP2021196997A - ログ送信制御装置 - Google Patents

ログ送信制御装置 Download PDF

Info

Publication number
JP2021196997A
JP2021196997A JP2020104331A JP2020104331A JP2021196997A JP 2021196997 A JP2021196997 A JP 2021196997A JP 2020104331 A JP2020104331 A JP 2020104331A JP 2020104331 A JP2020104331 A JP 2020104331A JP 2021196997 A JP2021196997 A JP 2021196997A
Authority
JP
Japan
Prior art keywords
log
priority
update
update instruction
transmission control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020104331A
Other languages
English (en)
Other versions
JP7392586B2 (ja
Inventor
啓悟 長柄
Keigo Nagara
泰司 安部
Taiji Abe
礼一郎 井本
Reiichiro Imoto
万寿三 江川
Masuzo Egawa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2020104331A priority Critical patent/JP7392586B2/ja
Priority to US17/346,314 priority patent/US11474889B2/en
Publication of JP2021196997A publication Critical patent/JP2021196997A/ja
Application granted granted Critical
Publication of JP7392586B2 publication Critical patent/JP7392586B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0778Dumping, i.e. gathering error/state information after a fault for later diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】車載装置において生成された更新指示に基づいてサーバ装置に送信するログの優先度を更新する。【解決手段】移動体に搭載されるログ送信制御装置100は、当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部101と、前記移動体の外部に位置するサーバ装置20,30に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部102と、前記移動体に搭載された更新指示装置300で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する前記更新指示を取得する更新指示取得部104と、前記更新指示に基づいて前記優先度情報を更新する優先度更新部105と、更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部106と、を備える。【選択図】図3

Description

本発明は、サーバ装置へのログの送信を制御する装置であって、主に自動車をはじめとする移動体に搭載されるログ送信制御装置、ならびに当該ログ送信制御装置で実行されるログ送信制御方法及びログ送信制御プログラムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。
車両に対するサイバー攻撃が発生した場合、攻撃により車両のコントロールに支障をきたすおそれがあるため、これを事前に予防する、あるいは攻撃に対する対応や復旧を迅速に行うべく事案の分析が重要になる。そこで、リソースが豊富なサーバ装置が車載装置のログを収集して解析することが知られている。しかしながら、車載装置で発生する大量のログ全てをサーバ装置に送信することは、車載装置のリソースの不足やネットワーク負荷の観点から望ましくない。
例えば、特許文献1には、サーバ装置が車載装置から受信したログを解析し、サイバー攻撃の可能性を検知すると、車載装置に蓄積させるログの優先度を変更する更新指令を車載装置に送信することが開示されている。そして、車載装置は、サイバー攻撃の判断に用いるログの優先度が高くなるように優先度を変更させる更新指令を受信すると、優先度に従ってログを蓄積してサーバ装置に送信する。これにより、特許文献1によれば、サーバ装置は、限定されたリソースを利用しながら、サイバー攻撃を判断するのに適したログを収集することができる。
特開2018−32254号公報
ここで、本発明者は、以下の課題を見出した。車載装置がサーバ装置からの指示に基づいてログの優先度を更新する場合、サーバ装置におけるログ解析に時間がかかり、ひいては優先度の更新指示を送信するまでに時間がかかる場合、サイバー攻撃の発生から車載装置において優先度が変更されるまでに時間を要することがある。また、車載装置とサーバ装置との間の通信環境が良好でない場合、車載装置がサーバ装置から送信された更新指示を受信できないことが起こりうる。このような場合、優先度が高いログを収集するのに時間がかかるだけでなく、車載装置が優先度の更新指示を受信して優先度を更新するまでにサイバー攻撃の解析に必要なログが失われるおそれがある。
本発明は、車載装置において生成された更新指示に基づいてサーバ装置に送信するログの優先度を更新することを目的とする。
本開示の一態様によるログ収集システム(1)は、移動体に搭載されるログ送信制御装置(100)と、前記移動体の外部に位置するサーバ装置(30)とを有し、
前記ログ送信制御装置は、
前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示を取得する更新指示取得部(104)と、
前記第1の更新指示及び前記第2の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
前記サーバ装置は、
前記送信部から送信された前記ログを受信する通信部(21)と、
前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示を生成するサーバ側指示生成部(32)と、を備え、
前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信する。
本開示の他の態様による、移動体に搭載されるログ送信制御装置(100)は、
当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
前記移動体の外部に位置するサーバ装置(20、30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する前記更新指示を取得する更新指示取得部(104)と、
前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、本開示のログ送信制御装置は、車載装置において生成されたログの優先度の変更指示に基づいて、サーバ装置に送信するログの優先度を迅速に変更することができる。
各実施形態に共通のログ収集システムの構成例を示すブロック図 各実施形態に共通の車載装置の構成例を示すブロック図 実施形態1乃至3のログ送信制御装置の構成例を示すブロック図 実施形態1の優先度保存部に保存される情報を説明する図 実施形態1乃至3の更新指示装置の構成例を示すブロック図 実施形態1乃至3の更新情報保存部に保存される情報を説明する図 実施形態1のサーバ装置の構成例を示すブロック図 実施形態1乃至3のログ送信制御装置の動作を説明するフローチャート 実施形態2のサーバ装置の構成例を示すブロック図 実施形態2の優先度保存部に保存される情報を説明する図
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.各実施形態に共通の構成
(1)ログ収集システム
図1を用いて、各実施形態に共通のログ収集システム1の例を説明する。ログ収集システム1は、自動車に搭載される電子制御システム10と、自動車の外部に位置するサーバ装置20又はサーバ装置30とから構成される。電子制御システム10とサーバ装置20、30は通信ネットワーク2を介して通信を行う。なお、以下の各実施形態では、ログ収集システム1を構成する電子制御システムが自動車に搭載される車載システム10であるものとして説明する。しかしながら、電子制御システムは車載システムに限定されるものではない。
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W−CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE−A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。また、有線通信方式の場合、例えば、有線LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
(2)車載システム
図2を用いて、車載システム10の構成を説明する。車載システム10は、セントラルゲートウェイ装置(以下、CGW)11、外部通信電子制御装置(以下、外部通信ECU)12、電子制御装置(以下、ECU)13、及びこれらを接続するネットワーク14、を有する。
CGW11は、ネットワーク14を介して外部通信ECU12及びECU13の間、あるいはECU13同士の間の通信を中継する電子制御装置である。
外部通信ECU12は、通信ネットワーク2を用いて、サーバ装置20、30と無線通信を行う電子制御装置である。
ECU13は、それぞれの機能を実現する電子制御装置である。ECU13は、任意のECUを割り当てることができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。
なお、ECU同士は並列ではなく、主従関係を有するように分類されていてもよい。すなわちマスターとスレーブとに分類されていてもよい。また、特定のECU13の下に、さらにサブネットワークを介して複数のECU13を設けるようにしてもよい。その場合、特定のECU13はサブゲートウェイとしての機能を有する。
ネットワーク14は、CGW11、外部通信ECU12、及びECU13を接続するネットワークである。以下に示す各実施形態では、ネットワーク14は車載ネットワークであり、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi−Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
2.実施形態1
(1)ログ送信制御装置の構成
図3を用いて、本実施形態のログ送信制御装置100の構成について説明する。ログ送信制御装置100は、「移動体」である自動車に搭載されている。そして、ログ送信制御装置100は、ログ取得部101、優先度保存部102、ログ保存部103、更新指示取得部104、優先度更新部105、及びログ送信部106を備える。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
本実施形態を含め、以下に示す実施形態では、ログ送信制御装置100は、図2のCGW11の内部に設けられているとして説明する。もっとも、ログ送信制御装置100が設けられている場所はこれに限られず、例えばネットワーク14に接続された任意の場所に設けることができる。例えば、独立した専用のECUとして設けてもよいし、サブゲートウェイの役割を有するECU13に設けられてもよい。
ログ送信制御装置100の形態は、部品、半完成品、完成品のいずれでもよい。本実施形態ではログ送信制御装置100はCGW12の内部の半導体回路によって実現されているので、部品の形態に属する。
その他、部品の例として半導体モジュール、半完成品の形態として独立したECU、完成品の形態として、サーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられるが、これらに限らない。
ログ送信制御装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図3に記載の各機能ブロックの機能を発揮させるように構成することができる。
ログ取得部101(「取得部」に相当)は、ログ送信制御装置100に接続されたECU13の「状態」を示すログを取得する。ECU13の状態を示すログ(以下、状態ログ)はサーバ装置20におけるログ解析に使用されるログであり、例えば、ECU13が実現する各々の機能の動作の他、ECU13へのデータの入出力(データを入力又は出力する間隔、入出力されたデータのサイズ等)、ECU13自体のCPU使用率やメモリ使用量といったリソースを記録したログである。状態ログはさらに、ECU13の機能やバージョン情報、ログ送信制御装置100が搭載された自動車の種別情報等を記録するものであってもよい。また、状態ログはさらに、ECU13の状態に加えて、時刻情報やECUの識別情報といった情報を含んでもよい。
ここで、「状態」を示すログ、とは、例えば、ECUの動作といった常に変化する動的な状態を記録したものの他、ECUのバージョンや機能といった基本的には変化しない静的な状態を記録したものも含む。
優先度保存部102は、サーバ装置20に状態ログを送信する「優先度」を示す優先度情報を保存する。優先度保存部102に保存される優先度情報の詳細は後述する。
ここで、「優先度」は、所定の評価基準に基づいて定められる指標であり、表現方法は任意である。例えば、数字で表す場合の他、記号で表してもよい。指標によって分類される数は複数であればよく、有限であっても無限であってもよい。
ログ保存部103は揮発性又は不揮発性のメモリであり、ログ取得部101が取得した状態ログを保存する。
更新指示取得部104は、後述する更新指示装置300で生成された更新指示を取得する。この更新指示は、優先度保存部102に保存された優先度情報を更新することを指示するものであり、優先度情報の更新内容を含む。例えば、更新指示は、優先度を更新すべき状態ログの種別、各状態ログの優先度の更新値、優先度の更新値の有効期限を含む。
優先度更新部105は、更新指示取得部104が取得した更新指示に基づいて、優先度保存部102に保存されている優先度情報を更新する。
ログ送信部106(「送信部」に相当)は、優先度保存部102に保存された優先度情報が示す優先度に「基づいて」、ログ保存部103に保存された状態ログをサーバ装置20に送信する。優先度更新部105によって優先度情報が更新されている場合には、ログ送信部106は、状態ログとともに、更新後の優先度情報をサーバ装置20に送信してもよい。
ここで、優先度に「基づいて」ログを送信する、とは、優先度を用いることで、優先度が低いログと比較して優先度が高いログを優先的に送信することを実現していればよく、例えば、優先度が高いログから順次送信すること、優先度が高いログの送信頻度を優先度が低いログの送信頻度より高くすること、を含む。
例えば、ログ取得部101が状態ログを取得すると、優先度保存部102に保存されている優先度情報の中から取得した状態ログに対応する優先度が抽出され、抽出した優先度が付与された状態ログがログ保存部103に保存される。そして、ログ送信部106には、高い優先度が付与された状態ログから順に出力される。これにより、ログ送信部106は、優先度に基づいて、つまり、優先度が高いものから順に状態ログをサーバ装置20に順次送信する。
あるいは、優先度が高い状態ログについては高い頻度で、優先度が低い状態ログについては低い頻度でサーバ装置20に送信してもよい。
さらに、ログ保存部103の保存容量に達した場合には、優先度が低い状態ログから順に状態ログを破棄してもよい。
図4は優先度保存部102に保存される優先度情報の一例を示している。図4の例では、優先度保存部102には、優先度情報として、サーバ装置20に送信する状態ログの種別、状態ログの優先度、及び優先度の有効期限がそれぞれ保存されている。また、優先度は、最新の優先度及びデフォルト優先度を含む。図4に示す例では、優先度は1〜15の数値で表されており、数値が小さいほど優先順位が高いことを示している。また、優先度の有効期限とは、最新の優先度の有効期限である。
デフォルト優先度は、例えば、CGW13や車載システム10の製造業者、又は車載システム10を搭載する自動車の販売業者によって予め設定される値である。そして、最新の優先度は状態ログをサーバ装置20に送信する際に使用する優先度であり、優先度更新部105は、最新の優先度の値を更新指示が指示する優先度の値に更新する。
図4aは、初期状態として優先度保存部102に保存されている情報を示している。そのため、最新の優先度はデフォルト優先度と等しい。また、最新の優先度の有効期限は設定されておらず、更新指示によって最新優先度が更新されるまで、デフォルト優先度と等しい最新の優先度が使用される。図4aの例では、各状態ログの優先度はいずれも10〜15のいずれかであり、各状態ログの優先度はいずれも然程高くないことが分かる。
優先度保存部102が図4aに示す情報を保存している場合、ログ送信部106は、図4aに示す最新の優先度に基づいて、各状態ログをサーバ装置20に送信する。
なお、最も低い優先度は、状態ログを送信しないことを示してもよい。優先度が最も低く、状態ログを送信しないことを示している場合、この優先度に対応する状態ログは、優先度情報が更新されるまでサーバ装置20に送信されない。
これに対し、図4bは、更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。図4bでは各状態ログの優先度はいずれも2〜5であり、最新の優先度がデフォルト優先度とは異なる値に更新されている。図4の例では、更新指示に基づいて、各状態ログの優先度がデフォルト優先度よりも高くなるように更新されたことが分かる。さらに、図4bでは、図4aとは異なり、有効期限が設定されている。これは、更新された最新の優先度の有効期限を示しており、有効期限を過ぎると最新の優先度はデフォルト優先度に再び更新される。
優先度保存部102が図4bに示す情報を保存している場合、ログ送信部106は、図4bに示す最新の優先度に基づいて、各状態ログをサーバ装置20に送信する。この例では、ECU−Aのバージョン情報ログ及びECU−Bのバージョン情報ログの優先度が最も高いため、これらの状態ログから順にサーバ装置20に送信する。
(2)更新指示装置の構成
次に、図5を用いて、更新指示装置300の構成を説明する。更新指示装置300は、異常検出部301、更新情報保存部302、指示生成部303、及び送信部304を備える。
更新指示装置300は、ログ送信制御装置100と同様に、自動車に搭載されている。本実施形態を含め、以下に示す実施形態では、更新指示装置300は、ログ送信制御装置100の外部、例えば、図2のECU13の内部に設けられているとして説明する。更新指示装置300が、ECU13の内部に設けられる場合、各機能に近い場所に設けられることになる。そのため、更新指示装置300は、異常が発生してからのタイムラグが少ない状態で異常の検知、及び更新指示を行うことができ、解析に必要な情報が失われるのを防ぐことができる。しかしながら、更新指示装置300が設けられている場所はこれに限られず、ログ送信制御装置100とともにCGW11に設けられてもよい。CGW11は一般に車載システム10を構成するECUの中でも特に高い性能を有する。そのため、更新指示装置300をCGW11に設けることにより、CGW11よりも性能が低いECU13の負荷が増大するのを防ぐことができる。さらに、CGW11は多くの車載ネットワーク14に接続されているため、各ネットワークの監視も行うことができる。
異常検出部301は、ECU13に発生した異常を「検出」する。異常検出部301は、例えば、CFI(Control Flow Integrity)、IDS(Intrusion Detection System)、SSL証明書のエラーや伝送エラー等のエラーチェック、フィルタリングすべき通信の検出、リソースモニタリング等によって異常な状態を示す状態ログを検出することにより、ECU13に発生した異常を検出する。又は、異常検出部301は、更新指示装置300とは別のECU13に設けられた異常検出装置(図示せず)から異常が発生したことを示す情報を取得することにより、ECU13に発生した異常を「検出」してもよい。異常検出部301はECU13をリアルタイムでモニタして異常を検出することができるため、サイバー攻撃を受けた後に遅滞なく異常を検出できる可能性が高い。
ここで、「検出」する、とは、異常検出部自体が異常を発見することによって異常を検出する場合の他、他の装置から異常が発見されたことを示す情報を取得することにより、異常を検出することを含む。
更新情報保存部302は、異常検出部201が検出しうる異常の内容毎に、優先度を更新すべき状態ログ、優先度の更新値、及び優先度の有効期限を保存している。更新情報保存部302に保存される情報の詳細については後述する。
指示生成部303は、異常検出部301が異常を検出すると、更新情報保存部302から、検出した異常の「内容」に対応する、更新すべき状態ログ、優先度の更新値、及び有効期限の情報を抽出して更新指示を生成する。つまり、指示生成部303は、所定の状態ログについて、検出された異常の「内容」に応じた優先度に所定の有効期間だけ更新することを指示する更新指示を生成する。
ここで、異常の「内容」とは、異常の種別の他、異常の程度、異常が発生した場所、更には異常発生の事実も含む。
送信部304は、指示生成部303が生成した更新指示をログ送信制御装置100に送信する。送信部304はさらに、異常な状態を示す状態ログに対し、異常検出部301が検出した異常の種別等を示す異常情報を付与して、ログ送信制御装置100に送信してもよい。
図6は、更新情報保存部302に保存される情報の一例を示している。図6の例では、異常検出部301が検出する異常の例として、ECU−AのCFI異常及びCAN通信のログ異常を挙げている。更新情報保存部302はさらに、これらの異常が検出された場合に、優先度を更新すべき状態ログの種別と、それぞれの状態ログの優先度の更新値及び有効期限を保存している。
例えば、異常検出部302がECU−AのCFI異常を検出した場合、図6に示す5つの状態ログについて、それぞれの優先度の更新値に優先度情報を更新することを指示する更新指示を生成する。
なお、図6に示すとおり、異常検出部301がECU−Aの異常を検出した場合でも、優先度を更新すべき状態ログはECU−Aの状態ログに限定されない。例えば、更新情報保存部302は、外部通信ECU12から異常が発生したECU(例えば、ECU−A)までの経路に存在するECU、つまり、CGW11や外部通信ECU12の状態ログについても、優先度を更新すべき状態ログとしてもよい。外部通信ECU12から異常が発生したECUまでの経路に存在するECUは、サイバー攻撃を受けた経路に存在しているため、サイバー攻撃による影響を受けている可能性がある。そこで、このような経路上に存在するECUの状態ログの優先度を高い優先度に更新して、サーバ装置20に送信することにより、サーバ装置20では、これらのECUの被害状況の把握、攻撃経路の特定、又はECUの脆弱性を特定できる可能性がある。同様に、異常検出部301がCAN通信のログの異常を検出した場合、異常が発生したECUとバスで接続されたECUや、異常が検出されたログと同じIDを有するログを送受信するECUにおける状態ログを、優先度を更新すべき状態ログとしてもよい。
このように、異常が発生したECUに限定せず、異常が発生したECUに関連するECUの状態ログの優先度についても、優先度を更新すべき状態ログとして更新情報保存部302に保存しておくことが望ましい。これにより、サーバ装置20は、サイバー攻撃の可能性又は被害状況を詳細に解析することが可能となる。
更新情報保存部302に保存される、優先度を更新すべき状態ログの種別、優先度の更新値、及び優先度の有効期限は、ECUの機能の重要度、ECU同士の関連性等を考慮して設定され、例えば、優先度保存部102に保存される優先度情報と同様、製造メーカ等によって予め保存される、あるいは、サーバ装置20からの指示によって定期的に更新されてもよい。
さらに、更新情報保存部302は、異常の種別が同じであっても、異常の深刻度に応じて、異なる状態ログ、優先度の更新値、有効期限を設定してもよい。異常の深刻度は、例えば、異常の程度(例えば、異常なログが示す値と閾値との差分)や、異常が発生した箇所によって設定されてもよい。また、送信部302が、異常が検出された状態ログをログ送信制御装置100に送信する場合には、異常の種別や深刻度の情報を状態ログに付与して送信してもよい。なお、当然のことながら、更新情報保存部302に保存される異常の内容、及び優先度を更新すべき状態ログ等は、図6に示す例には限定されない。
また、図6の例では、ECU−AのCFI異常が発生したときのECU−AのCFIログの優先度更新値は2であり、CAN通信のログ異常が発生したときのECU−AのCFIログの優先度更新値は3である。そのため、万一、ECU−AのCFI異常が発生した後にCAN通信のログ異常が発生した場合、ログ送信制御装置100の優先度保存部102に保存されたECU−AのCFIログに対応する優先度は、最初の更新指示によって“2”に更新された後、次の更新指示によって“3”に更新されることになり、低い優先度で上書きされるおそれがある。そのため、ログ送信制御装置100の優先度更新部105は、更新指示に基づいて更新された優先度情報が示す優先度は、低い優先度に上書きされないように予め設定してもよい。
(3)サーバ装置
図7を用いて、サーバ装置20の構成を説明する。サーバ装置20は、通信部21、データベース22、及びログ解析部23を備える。
通信部21は、通信ネットワーク2を用いて、車載システム10と通信を行う。
データベース22は、ログデータベース(以下、ログDB)221、セキュリティデータベース(以下、セキュリティDB)222を含むデータベースである。ログDB221は、車載システム10から送信され、通信部21で受信したログを収集して保存する。セキュリティDB222は、後述するログ解析部23での解析結果や、過去のサイバー攻撃に関する脅威、車載システム10の脆弱性に関する情報を保存する。
ログ解析部23は、ログ送信制御装置100のログ送信部106から送信されたログを解析することにより、車両に発生したセキュリティ異常、つまり、サイバー攻撃の詳細、例えば、攻撃者、攻撃経路、原因、攻撃による影響等を解析する。ログ解析部23によるセキュリティ異常の解析手法は任意である。例えば、ログ解析部23は、セキュリティDB222の情報等を用いて解析してもよい。ログ解析部23による解析結果は車載システム10にフィードバックする、又はセキュリティ管理者にレポートとして出力してもよい。
(4)ログ送信制御装置の動作
次に、図8を用いて、ログ送信制御装置100の動作を説明する。なお、以下の動作は、ログ送信制御装置100を用いたログ送信制御方法を示すだけでなく、ログ送信制御装置100で実行されるプログラムの処理手順を示すものである。また、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以上、本実施形態だけでなく、他の実施形態においても同様である。
S101において、更新指示取得部104が更新指示を取得すると(S101:Yes)、更新指示に基づいて優先度保存部102に保存されている優先度情報を更新する(S102)。S103において、ログ取得部101は、ECU13から送信される状態ログを取得する(S103)。
優先度保存部102に保存されている優先度情報が示す優先度に基づいて、S103において取得した状態ログをサーバ装置20に送信する。S102において優先度情報が更新されている場合、更新後の優先度情報が示す優先度に基づいて、状態ログは送信される。
優先度保存部102に保存された優先度の有効期限となるまで、S102で更新された更新後の優先度情報は維持される。そして、優先度保存部102に保存された優先度の有効期限になると(S105:Yes)、優先度更新部105は、優先度保存部102に保存された優先度の値を、デフォルト優先度に更新する(S106)。
(5)小括
以上、本実施形態のログ送信制御装置100によれば、自動車に搭載された更新指示装置300からの更新指示に基づいて状態ログの優先度情報を更新する。自動車に搭載された更新指示装置300では、サイバー攻撃を受けてからタイムラグなく異常を検知して更新指示を生成することができるため、優先度保存部102に保存された状態ログの優先度情報を迅速に更新することができる。
(6)変形例
上述した実施形態1では、更新指示に基づいて優先度情報が更新された場合、ログ送信制御装置100は更新後の優先度情報に基づいてログ取得部101が取得する状態ログをサーバ装置20に送信した。ここで、ログ送信制御装置100がサーバ装置20に送信する状態ログは、優先度情報を更新する前にログ保存部103に保存された状態ログであってもよい。優先度更新部105が優先度情報を更新する前にログ保存部103に保存された状態ログ(「更新前ログ」に相当)には、更新前のデフォルト優先度が付与されている。しかしながら、優先度更新部105が優先度を更新すると、ログ保存部103に保存された状態ログには、更新後の優先度が改めて付与される。これにより、ログ保存部103に保存されている状態ログは、更新後の優先度情報が示す優先度に基づいてサーバ装置20に送信される。
これにより、サーバ装置20は、異常が発生する前、つまり正常時の状態ログと、異常発生後の状態ログの双方を用いてログ解析を行うことができるため、より詳細にサイバー攻撃の解析を行うことが可能となる。
3.実施形態2
本実施形態は、ログ送信制御装置100の更新指示取得部104が、更新指示装置300が生成した更新指示に加えて、サーバ装置が生成した更新指示を取得し、これらの更新指示に基づいて優先度情報を更新するものである。
本実施形態のログ送信制御装置100及び更新指示装置300の構成は、図3、図5を参照して説明する。
(1)サーバ装置の構成
図9は、本実施形態のサーバ装置30の構成を示している。サーバ装置30は、実施形態1のサーバ装置20が有する各構成に加えて、更新情報保存部31及び指示生成部32を備える。更新情報保存部31及び指示生成部32はそれぞれ、実施形態1の更新指示装置300の更新情報保存部302及び指示生成部303と同様の機能を有する。すなわち、更新情報保存部31は、ログ解析部23によるログ、ひいては車両の車載システムに発生したセキュリティ異常の解析結果に応じて、優先度を更新すべき状態ログ、優先度の更新値、有効期限を保存する。また、指示生成部32(「サーバ側指示生成部」に相当)は、ログ解析部23によるセキュリティ異常の解析結果に基づいて、ログ送信制御装置100の優先度保存部102に保存された優先度情報を更新することを指示する更新指示(「第2の更新指示」に相当)を生成する。
ただし、ログ解析部23は、セキュリティDBに保存されたサイバー攻撃に関する多くの情報や、サーバ装置30の豊富なリソースを利用して解析を行うことができるため、サイバー攻撃の詳細な解析に有用と思われる状態ログの優先度をより高い精度で判定して設定することができる。そのため、サーバ装置30の更新情報保存部31は、更新指示装置300の更新情報保存部302よりも詳細に分類された更新情報を保存していることが望ましい。あるいは、サーバ装置30は更新情報保存部31に代えて、ログの解析結果に応じて適切な状態ログの優先度の更新値を適宜判定する更新情報判定部(図示せず)を有してもよい。あるいは、サーバ装置30のユーザが、ログ解析部23による解析結果に基づいて、優先度の更新値を手動で設定してもよい。
そして、指示生成部32は、優先度保存部102に保存された優先度情報を更新することを指示する更新指示を生成し、通信部21を介してログ送信制御装置100に送信する。
(2)ログ送信制御装置
本実施形態のログ送信制御装置100の更新指示取得部104は、更新指示装置300で生成された更新指示(「第1の更新指示」に相当)に加えて、サーバ装置30の指示生成部32で生成された更新指示(「第2の更新指示」に相当)を外部通信ECU12を介して取得する。
優先度更新部105は、更新指示装置300で生成された更新指示、及びサーバ装置30で生成された更新指示に基づいて優先度情報を更新する。
本実施形態におけるログ送信制御装置100の動作は、実施形態1と同様である。ただし、S101で取得する更新指示は、更新指示装置300で生成された更新指示、又はサーバ装置30で生成された更新指示のいずれかである。
サーバ装置30は、車載システム10から送信される状態ログに基づいて異常の解析を行い、その解析結果に基づいて、サイバー攻撃の更なる解析に必要な状態ログの優先度を高くするための更新指示を生成する。そのため、指示生成部32が更新指示を生成するまでに時間がかかる可能性がある。また、指示生成部32が生成した更新指示をログ送信制御装置100に送信する際、ネットワーク2の通信環境が悪いと、ログ送信制御装置100が更新指示を取得するまでに時間がかかる可能性がある。
しかしながら、本実施形態では、サーバ装置30からの更新指示を取得する前に、更新指示装置300の指示生成部303で生成された更新指示に基づいて、状態ログの優先度情報を更新することができる。そのため、サイバー攻撃が発生してから、ログ送信制御装置100がサーバ装置30からの更新指示を取得するまでにタイムラグが発生しても、更新指示装置300からの更新指示に基づいて更新された優先度情報が示す優先度を用いて、状態ログをサーバ装置30に送信することができる。その結果、サーバ装置30からの更新指示を取得するまでに、ログ解析に必要とされる状態ログが誤って失われるのを防ぐことができる。
なお、本実施形態の更新指示は、更新指示の指示元が更新指示装置300又はサーバ装置30のいずれであるかを示す指示元情報を含んでもよい。つまり、更新指示装置300で生成された更新指示には、優先度を更新する指示元が更新指示装置300であることを示す指示元情報(「第1の指示元情報」に相当)を含み、サーバ装置30で生成された更新指示には、指示元がサーバ装置30であることを示す指示元情報(「第2の指示元情報」に相当)を含む。この場合、優先度保存部102は、図4に示す各情報に加えて指示元情報を保存する。
サーバ装置30で生成された更新指示はさらに、当該更新指示に基づいて更新された優先度情報が、更新指示装置300で生成された更新指示によって更新されないことを示す情報を含んでもよい。
例えば、サーバ装置30で生成された更新指示に基づいて優先度情報が更新された後、更新指示装置300が新たな異常を検出して、新たな更新指示を生成する可能性がある。この場合、サーバ装置30で生成された更新指示に基づいて更新された優先度情報は、更新指示装置300で生成された新たな更新指示に基づいて再度更新される。しかしながら、先に発生した異常の解析に必要とされる十分な状態ログがサーバ装置30に送信される前に優先度情報が再び更新されると、サーバ装置30は先に発生した異常を解析するのに十分な状態ログを収集できないおそれがある。そこで、サーバ装置30で生成される更新指示に基づく優先度情報が、更新指示装置300の更新指示によって更新されないことを示す情報を含むことにより、更新指示装置300で生成された新たな更新指示に基づいて優先度情報が再び更新され、上書きされるのを防ぐことができる。なお、サーバ装置30の更新指示は、サーバ装置30の更新指示による更新のみを許可する情報を含むことにより、更新指示装置300の更新指示によって更新されないことを示してもよい。
さらに、更新指示が指示元情報を含む場合、指示元情報が更新指示装置300の更新指示によって優先度情報が更新されないことを示してもよい。例えば、サーバ装置30からの更新指示は、更新指示装置300の更新指示によって優先度情報が更新されないことを示す指示元情報(例えば、指示元ID:0000)、又は更新指示装置300の更新指示によって優先度情報の更新を許可することを示す指示元情報(例えば、指示元ID:1111)のいずれかを含むものとする。同じサーバ装置30で生成される更新指示であるが、異なる指示元情報を含むことにより、更新指示の情報量を増やすことなく、更新指示装置300の更新指示によって更新されるか否かを示すことができる。なお、これらの指示元情報は、更新指示装置300の更新指示による優先度情報の更新可否のいずれを示すかを予め特定している必要がある。したがって、このような指示元情報は、更新指示装置300の更新指示によって更新されるか否かを示す情報であるといえる。
図10は、本実施形態による優先度保存部102に保存された優先度情報の更新の一例を示している。図10aは初期状態として優先度保存部102に保存されている情報を示しており、図10bは、更新指示装置300の更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。また、図10a、図10bはそれぞれ、図4a、図4bに対応しているが、図4とは異なり、指示元情報及び更新指示装置300による更新の可否情報が含まれている。図10aはデフォルトの優先度を示しているため、指示元は明示されていない。しかしながら、デフォルトの優先度がサーバ装置30から送信されている場合には、指示元情報はサーバ装置30を示してもよい。また、図10bは、更新指示装置300の更新指示に基づいて優先度情報が更新された後の情報であるため、指示元情報は指示元が更新指示装置300であることを示している。
図10cは、サーバ装置30の更新指示に基づいて優先度情報が更新された後の優先度保存部102に保存されている情報を示している。図10cでは、ECU−Aのバージョン情報ログ及びECU−AのCFIログの最新の優先度は、図10bの最新の優先度と異なっている。これは、サーバ装置30の更新指示に基づいて、優先度情報が更新されたことを示している。そのため、これら2つの状態ログに対応する指示元情報は、指示元がサーバ装置であることを示している。さらに、これら2つの状態ログの指示元はサーバ装置であるため、優先度情報がさらに更新指示装置300によって更新可能か否かを示す情報が更新されている。図10cの例では、ECU−Aのバージョン情報ログについては、更新指示装置300の更新指示によって更新されてもよく、ECU−AのCFIログについては、更新指示装置300の更新指示によって更新されないことを示している。
本実施形態では、更新指示装置300からの更新指示に基づいて更新された更新後の優先度情報をサーバ装置30に送信することが望ましい。更新後の優先度情報をサーバ装置30に送信することにより、サーバ装置30は、ログ送信制御装置100において設定されている状態ログの優先度を把握することができる。そのため、更新指示装置300からの更新指示によって既に優先度情報が更新されており、サーバ装置30からの更新指示によって優先度情報を更新する必要がない場合には、更新指示から不要な情報を除外してログ送信制御装置100に送信することができ、更新指示による通信量を抑制することが可能となる。
本実施形態によれば、更新指示装置300における簡易的な異常検出結果を用いて、迅速な優先度の更新を行い、さらにサーバ装置30による詳細なログの解析結果を用いて、優先度の更なる更新を行う。これにより、更新指示装置300からの更新指示のみに基づいて優先度の更新を行う場合よりも、サイバー攻撃の解析に必要な状態ログをより高い精度で判定して、適切な優先度を設定して更新することができる。さらに、サーバ装置30からの更新指示のみに基づいて優先度の更新を行う場合よりも、迅速に優先度を更新することが可能となり、車載システム10とサーバ装置30との通信環境が悪く、サーバ装置30からの優先度の更新指示を適切に受信できない場合であっても、必要なログが誤って失われるのを防ぐことができる。
4.実施形態3
本実施形態では、ログ送信制御装置100が、状態ログに加えて、サーバ装置20でのログ解析に有用な他の情報をサーバ装置20に送信する構成を説明する。なお、本実施形態のログ送信制御装置100及び更新指示装置300の構成及び動作は実施形態1、2と同様であるため、説明は省略する。また、以下の説明では、サーバ装置が実施形態1のサーバ装置20であるものとして説明するが、本実施形態のサーバ装置は実施形態2のサーバ装置30であってもよい。
本実施形態では、図2の車載システム10を構成するECU13のうち、少なくとも一のECUが、車両情報管理装置としての機能を有する。車両情報管理装置は、車載システムが搭載された車両の状態を示す車両情報(「移動体情報」に相当)を収集し管理する。車両情報とは、例えば、自動車の速度や舵角、ドアの開閉状態、ロック状態などを示す情報であり、車両情報管理装置はこれらの情報を収集して保存する。
本実施形態のログ取得部101は、状態ログに加えて、車両情報管理装置から送信された車両情報を取得する。ログ取得部101は、状態ログと同様、車両情報を定期的に取得してロブ保存部103に保存していてもよいが、更新指示装置300の異常検出部301が異常を検出した場合に限り、車両情報管理装置から車両情報を取得してもよい。例えば、ログ取得部101が、更新指示装置300から異常情報が付与された状態ログを受信すると、車両情報管理装置に対して、異常検出部301が異常を検出したときの車両情報を送信することを要求する。そして、ログ取得部101は、車両情報を取得すると、ログ保存部103に保存する。そして、ログ送信部106は、状態ログとともに、異常を検出したときの車両情報をサーバ装置20に送信する。
車両情報は、状態ログとは異なり、車両の状態を示す情報であり、これらの情報は、サーバ装置20が状態ログを詳細に解析する際、車両がどのような状況に置かれているときに異常が発生したかを解析するのに用いることができる。そこで、状態ログと併せて、異常が検出されたときの車両情報をサーバ装置20に送信することにより、サーバ装置20におけるログの解析に有用な情報を送信することができる。
5.総括
以上、本発明の各実施形態におけるログ送信制御装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
各実施形態では、各実施形態に開示の装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明のログ送信制御装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またログ送信制御装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本開示のログ送信制御装置は、主として自動車に搭載される電子制御装置を対象としているが、自動車に搭載されない通常の電子制御装置を対象としてもよい。
11 ゲートウェイ装置、20,30 サーバ装置、100 ログ送信制御装置、101 ログ取得部、102 優先度保存部、103 ログ保存部、104 更新指示取得部、105 優先度更新部、106 送信部、300 更新指示装置、301 異常検出部、303 指示生成部

Claims (13)

  1. 移動体に搭載されるログ送信制御装置(100)と、前記移動体の外部に位置するサーバ装置(30)とを有するログ収集システム(1)であって、
    前記ログ送信制御装置は、
    前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
    前記サーバ装置に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
    前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する第1の更新指示、及び、前記サーバ装置で生成された更新指示であって、前記優先度情報を更新することを指示する第2の更新指示を取得する更新指示取得部(104)と、
    前記第1の更新指示及び前記第2の更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
    更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、を備え、
    前記サーバ装置は、
    前記送信部から送信された前記ログを受信する通信部(21)と、
    前記通信部が受信したログを解析し、前記移動体に発生したセキュリティ異常を解析するログ解析部(23)と、
    前記ログ解析部における解析結果に基づいて、前記優先度情報を更新することを指示する前記第2の更新指示を生成するサーバ側指示生成部(32)と、を備え、
    前記通信部は、前記第2の更新指示を前記ログ送信制御装置に送信する、
    ログ収集システム。
  2. 移動体に搭載されるログ送信制御装置(100)であって、
    当該ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得するログ取得部(101)と、
    前記移動体の外部に位置するサーバ装置(20、30)に前記ログを送信する優先度を示す優先度情報を保存する優先度保存部(102)と、
    前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記優先度保存部に保存された前記優先度情報を更新することを指示する前記更新指示を取得する更新指示取得部(104)と、
    前記更新指示に基づいて前記優先度情報を更新する優先度更新部(105)と、
    更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する送信部(106)と、
    を備える、ログ送信制御装置。
  3. 前記更新指示取得部は、前記更新指示である第1の更新指示に加えて、前記サーバ装置で生成された、前記優先度情報を更新することを指示する第2の更新指示を取得し、
    前記優先度更新部は、前記第1の更新指示及び前記第2の更新指示に基づいて前記優先度情報を更新する、
    請求項2記載のログ送信制御装置。
  4. 前記第1の更新指示は、前記優先度情報を更新する指示元が前記更新指示装置であることを示す第1の指示元情報を含み、
    前記第2の更新指示は、前記優先度情報を更新する指示元が前記サーバ装置であることを示す第2の指示元情報を含み、
    前記優先度保存部は前記第1の指示元情報及び前記第2の指示元情報を保存する、
    請求項3記載のログ送信制御装置。
  5. 前記第2の更新指示は、前記第2の更新指示に基づく更新後の前記優先度情報が前記第1の更新指示によって更新されないことを示す情報を含む、
    請求項3記載のログ送信制御装置。
  6. 前記更新指示装置は、
    前記複数の電子制御装置に発生した異常を検出する異常検出部(301)と、
    前記優先度保存部に保存された前記優先度情報が示す前記優先度を、前記異常の内容に応じた優先度に更新することを指示する前記更新指示を生成する指示生成部(303)と、
    を備える、請求項2記載のログ送信制御装置。
  7. 当該ログ送信制御装置はゲートウェイ装置(11)に設けられており、
    前記更新指示装置は前記ゲートウェイ装置の外部に設けられる、
    請求項2記載のログ送信制御装置。
  8. 当該ログ送信制御装置及び前記更新指示装置はともにゲートウェイ装置(11)に設けられる、
    請求項2記載のログ送信制御装置。
  9. 前記送信部は、更新後の前記優先度情報を前記サーバ装置に送信する、
    請求項2記載のログ送信制御装置。
  10. 当該ログ送信制御装置はさらに、前記ログ取得部が取得した前記ログを保存するログ保存部(103)を備え、
    前記送信部は、更新後の前記優先度情報が示す優先度に基づいて、前記優先度更新部が前記優先度情報を更新する前に前記ログ保存部に保存された前記ログである更新前ログを前記サーバ装置に送信する、
    請求項2記載のログ送信制御装置。
  11. 前記ログ取得部はさらに、前記異常検出部が前記異常を検出したときの前記移動体の状態を示す移動体情報を取得し、
    前記送信部は、前記ログとともに前記移動体情報を前記サーバ装置に送信する、
    請求項6記載のログ送信制御装置。
  12. 移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御方法であって、
    前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
    前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記移動体の外部に位置するサーバ装置(20、30)に前記ログを送信する優先度を示す優先度情報を更新することを指示する前記更新指示を取得し、
    前記更新指示に基づいて前記優先度情報を更新し、
    更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する、
    ログ送信制御方法。
  13. 移動体に搭載されるログ送信制御装置(100)で実行されるログ送信制御プログラムであって、
    前記ログ送信制御装置に接続された複数の電子制御装置の状態を示すログを取得し、
    前記移動体に搭載された更新指示装置(300)で生成された更新指示であって、前記移動体の外部に位置するサーバ装置(20、30)に前記ログを送信する優先度を示す優先度情報を更新することを指示する前記更新指示を取得し、
    前記更新指示に基づいて前記優先度情報を更新し、
    更新後の前記優先度情報が示す優先度に基づいて、前記ログを前記サーバ装置に送信する、
    ログ送信制御プログラム。
JP2020104331A 2020-06-17 2020-06-17 ログ送信制御装置 Active JP7392586B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020104331A JP7392586B2 (ja) 2020-06-17 2020-06-17 ログ送信制御装置
US17/346,314 US11474889B2 (en) 2020-06-17 2021-06-14 Log transmission controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020104331A JP7392586B2 (ja) 2020-06-17 2020-06-17 ログ送信制御装置

Publications (2)

Publication Number Publication Date
JP2021196997A true JP2021196997A (ja) 2021-12-27
JP7392586B2 JP7392586B2 (ja) 2023-12-06

Family

ID=79022341

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020104331A Active JP7392586B2 (ja) 2020-06-17 2020-06-17 ログ送信制御装置

Country Status (2)

Country Link
US (1) US11474889B2 (ja)
JP (1) JP7392586B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7439668B2 (ja) * 2020-07-13 2024-02-28 株式会社デンソー ログ送信制御装置
WO2022091720A1 (ja) * 2020-10-26 2022-05-05 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019093098A1 (ja) * 2017-11-08 2019-05-16 ソニー株式会社 情報処理装置、移動装置、および方法、並びにプログラム
WO2019107210A1 (ja) * 2017-12-01 2019-06-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御装置、不正検知サーバ、車載ネットワークシステム、車載ネットワーク監視システム及び車載ネットワーク監視方法
WO2019142741A1 (ja) * 2018-01-22 2019-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
WO2019244210A1 (ja) * 2018-06-18 2019-12-26 三菱電機株式会社 情報収集装置、サーバ装置、及び情報収集方法
WO2020075826A1 (ja) * 2018-10-11 2020-04-16 日本電信電話株式会社 機器、データ送信方法及びプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6433851B2 (ja) 2015-05-26 2018-12-05 株式会社日立製作所 情報収集システムおよび方法
JP6701030B2 (ja) * 2016-08-25 2020-05-27 クラリオン株式会社 車載装置、ログ収集システム
US20230115290A1 (en) * 2020-02-27 2023-04-13 Sumitomo Electric Industries, Ltd. In-vehicle/out-vehicle cooperation device and method
JP7439669B2 (ja) * 2020-07-14 2024-02-28 株式会社デンソー ログ分析装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019093098A1 (ja) * 2017-11-08 2019-05-16 ソニー株式会社 情報処理装置、移動装置、および方法、並びにプログラム
WO2019107210A1 (ja) * 2017-12-01 2019-06-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御装置、不正検知サーバ、車載ネットワークシステム、車載ネットワーク監視システム及び車載ネットワーク監視方法
WO2019142741A1 (ja) * 2018-01-22 2019-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
WO2019244210A1 (ja) * 2018-06-18 2019-12-26 三菱電機株式会社 情報収集装置、サーバ装置、及び情報収集方法
WO2020075826A1 (ja) * 2018-10-11 2020-04-16 日本電信電話株式会社 機器、データ送信方法及びプログラム

Also Published As

Publication number Publication date
US11474889B2 (en) 2022-10-18
US20210397504A1 (en) 2021-12-23
JP7392586B2 (ja) 2023-12-06

Similar Documents

Publication Publication Date Title
US11277427B2 (en) System and method for time based anomaly detection in an in-vehicle communication
US11115433B2 (en) System and method for content based anomaly detection in an in-vehicle communication network
JPWO2019142741A1 (ja) 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
US20210337387A1 (en) Vehicle information processing apparatus, user terminal, information processing method, and program
US20150172306A1 (en) Method and apparatus for enhancing security in an in-vehicle communication network
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
US20200183373A1 (en) Method for detecting anomalies in controller area network of vehicle and apparatus for the same
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
US10861253B2 (en) Information processing device and information processing method
US11474889B2 (en) Log transmission controller
JP2021140460A (ja) セキュリティ管理装置
JP2022024266A (ja) ログ分析装置
JP7509091B2 (ja) 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
JP7392598B2 (ja) ログ管理装置及びセキュリティ攻撃検知・分析システム
US20220019662A1 (en) Log management device and center device
JP2022017118A (ja) ログ送信制御装置
JP6979630B2 (ja) 監視装置、監視方法及びプログラム
JP2022025565A (ja) セキュリティ監視システム
JP2021117568A (ja) サイバー攻撃分析支援装置
JP7571844B2 (ja) ログ管理装置及びセンタ装置
US20240111859A1 (en) Log determination device, log determination method, log determination program, and log determination system
US20240114044A1 (en) Log determination device, log determination method, log determination program, and log determination system
JP2024139499A (ja) ログ管理装置、電子制御システム、ログ管理方法、及びログ管理プログラム
JP2024051325A (ja) 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム
JP2024041334A (ja) 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231024

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231106

R151 Written notification of patent or utility model registration

Ref document number: 7392586

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151