JP2023171904A - ログ管理装置及びセンタ装置 - Google Patents

ログ管理装置及びセンタ装置 Download PDF

Info

Publication number
JP2023171904A
JP2023171904A JP2023172112A JP2023172112A JP2023171904A JP 2023171904 A JP2023171904 A JP 2023171904A JP 2023172112 A JP2023172112 A JP 2023172112A JP 2023172112 A JP2023172112 A JP 2023172112A JP 2023171904 A JP2023171904 A JP 2023171904A
Authority
JP
Japan
Prior art keywords
log
logs
external transmission
transmitted
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023172112A
Other languages
English (en)
Inventor
直也 石田
Naoya Ishida
万寿三 江川
Masuzo Egawa
健司 菅島
Kenji Sugashima
泰司 安部
Taiji Abe
克弥 田中
Katsuya Tanaka
礼一郎 井本
Reiichiro Imoto
啓悟 長柄
Keigo Nagara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2023172112A priority Critical patent/JP2023171904A/ja
Publication of JP2023171904A publication Critical patent/JP2023171904A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】通信機能を備えた車両においては、サイバー攻撃が起きていない状況においても、車両側からセンタ装置に多くのログを送信しているため、常に通信負荷が高い状況に置かれている。【解決手段】本発明のログ管理装置100は、車載装置を構成する電子制御装置からログを収集し管理するログ管理装置であって、電子制御装置から当該ログ管理装置へ送信するログを規定した内部送信ルールに基づき、ログを収集するログ収集管理部102と、ログ収集管理部で収集したログを保存する保存部104と、車載装置が搭載された車両の外部へ送信するログを規定した外部送信ルールに基づき、センタ装置に送信するログを決定する外部送信管理部103と、外部送信管理部で決定したログを送信する送信部105と、を有する。【選択図】図2

Description

本発明は、サイバー攻撃を検知・分析する装置であって、車載装置に設けられているログ管理装置、又はセンタ装置、に関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。サイバー攻撃に伴い車両のコントロールを失う可能性があるため、サイバー攻撃に対してより強固な防御手段が必要となる。
ここで、車両におけるサイバー攻撃に関し、例えば特許文献1には、攻撃の深度に応じて、外部との通信経路、ログの保存先、保存対象のログを変更する装置が開示されている。
特開2019-12344号公報
ここで、本発明者は、以下の課題を見出した。
通信機能を備えた車両においては、サイバー攻撃が起きていない状況においても、車両側からセンタ装置に多くのログを送信しているため、常に通信負荷が高い状況に置かれている。
本発明は、車両から送信されるログを、必要になる可能性のあるものに絞ることにより、車両側からセンタ装置に送信するログの数を削減することを目的とする。
また、本発明は、必要になる可能性のあるログを適切な場所に保持することにより、ログが消去されないようにすることを目的とする。
本開示のログ管理装置(100)は、
車載装置を構成する電子制御装置からログを収集し管理するログ管理装置であって、
前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集するログ収集管理部(102)と、
前記ログ収集管理部で収集した前記ログを保存する保存部(104)と、
前記車載装置が搭載された車両の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定する外部送信管理部(103)と、
前記外部送信管理部で決定した前記ログを送信する送信部(105)と、
を有する。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、車両側からセンタ装置に送信するログの数を削減することができる。
また、必要になる可能性のあるログが消去されないようにすることができる。
本開示の実施形態のサイバー攻撃検知システムの構成例を示す図 本開示の実施形態のログ管理装置の構成例を示すブロック図 本開示の実施形態のセンタ装置の構成例を示すブロック図 本開示の実施形態の異常ログにおける構成要素及び層を説明する説明図 本開示の実施形態の正常ログにおける構成要素及び層を説明する説明図 本開示の実施形態の外部送信ルールの決定内容を説明する説明図 本開示の実施形態の外部送信ルールの決定内容を説明する説明図 本開示の実施形態の外部送信ルールの決定内容を説明する説明図 本開示の実施形態のセンタ装置及びログ管理装置の動作を示すフローチャート
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.実施形態1
(1)サイバー攻撃検知システムの全体の構成
図1を用いて、サイバー攻撃検知システムの全体構成をまず説明する。
サイバー攻撃検知システム1は、「移動体」である車両に「搭載される」車載装置150、及びセンタ装置200から構成される。車載装置150は、ログ管理装置100、単数又は複数の「電子制御装置」(ECU(Electric Control Unit)、以下ECUと略する。)、及びこれらを接続する車載ネットワークから構成される。ログ管理装置100も、広義のECUである。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
「電子制御装置」とは、情報を処理し特定の機能を発揮する装置であれば足り、呼称は問わない。例えば、情報処理装置、情報処理回路、制御ユニット、制御装置、計算装置、等と呼ばれる装置でもよい。また、その形態も任意であり、部品の形態として、半導体回路、半導体モジュール、半完成品の形態として電子制御装置、電子制御ユニット、完成品の形態としてサーバ、ワークステーション、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステム、であってもよい。
車載装置150は、通信ネットワーク2を介して、センタ装置200と接続されている。
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、車載装置150とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置200との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
(2)車載装置の構成
図2を用いて、本実施形態の車載装置150の構成について説明する。
車載装置150は、ログ管理装置100、及びログ管理装置100と車載ネットワークで接続されたECU2、ECU3、ECU4を有する。ECU2、ECU3、及びECU4をまとめて表現する場合は、各ECUと呼ぶ。
ログ管理装置100は、制御部101、保存部104、送信部105、及び受信部106からなる。
車載装置150を構成するログ管理装置100や各ECUは、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図3で示されるセンタ装置200においても同様である。
もちろん、これらの装置を、LSI等の専用のハードウェアで実現してもよい。
ログ管理装置100は、本実施形態では半完成品としての電子制御装置の形態を想定しているが、これに限らない。例えば、部品の形態としては、半導体回路や半導体モジュール、完成品の形態としては、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられる。
なお、ログ管理装置100は、単一のECUの他、複数のECUで構成されてもよい。例えば、送信部105及び受信部106は、通信ECUが担当してもよい。この場合、ログ管理装置100は、通信ECUを含めた複数のECUで構成される。
本実施形態では、ログ管理装置100を含め、各ECUはそれぞれ層に属している。図2の場合、ログ管理装置100が1層目、ECU2が2層目ECU、ECU3が3層目ECU、UCU4が4層目ECUとなっている。本明細書では、各ECUが属している層のことを、「電子制御装置(ECU)が定義される層」、と呼ぶ。
本実施形態では、外部との接点である通信ECUを基準としたとき、通信ECUから離れるにつれて層が深くなるとしている。例えば、通信ECUを1層目としたとき、通信ECUと接続されるとともに複数の個別ECUと接続され個別ECUを管理するセントラルゲートウェイECU(CECU)が2層目、個別ECUが3層目以降と定義できる。この他、さらにサブゲートウェイECU等を用いて、ドメインやサブネットワークに細分化し、さらなる階層を設けてもよい。本実施形態のログ管理装置100は、1層目である通信ECUに含まれる構成としているが、2層目であるCECUに含まれる構成としてもよい。
車載ネットワークは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
各ECUは任意のECUであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスターとスレーブとに分類されていてもよい。
制御部101は、保存部104、送信部105、及び受信部106の動作を制御する。また、制御部101は、それ自身で、ログ収集管理部102、及び外部送信管理部103を実現している。
ログ収集管理部102は、各ECU及びログ管理装置100自身からログを収集する。収集するログは、内部送信ルールに規定されており、ログ収集管理部は内部送信ルールを参照して各ECUにログを送信するよう指示する。内部送信ルールとは、ECUからログ管理装置100へ送信するログを規定したものである。内部送信ルールは、ログ送信ルールと呼ぶこともある。内部送信ルールの詳細は後述する。
ログ収集管理部102は、センタ装置200からの指示に基づき、内部送信ルールを書き換える。
保存部104は、ログ収集管理部102で収集したログを保存する。また、保存部104は、内部送信ルールや、次に述べる外部送信ルールを保存してもよい。
保存部104は、不揮発性メモリ又は揮発性メモリで構成されている。
外部送信管理部103は、外部送信ルールを参照して、センタ装置200に送信するログを決定する。外部送信ルールとは、車載装置150の外部へ送信するログを規定したものである。外部送信ルールは、ログアップロードルールと呼ぶこともある。外部送信ルールの詳細は後述する。
外部送信管理部103は、センタ装置200からの指示に基づき、外部送信ルールを書き換える。
送信部105は、外部送信管理部103で決定したログを、センタ装置200にアンテナAを介して送信する。
なお、外部通信を担当する通信ECUがログ管理装置100とは別に設けられている場合は、送信部105は通信ECUにログを送信する。しかし、この場合も送信部105は、通信ECUを介してセンタ装置200にログを送信することに相違ない。
受信部106は、センタ装置200からの指示をアンテナAを介して受信する。
各ECU、及びログ管理装置100は、以下の構成を有する。ただし、全てのECUにこれらの構成が搭載される必要はない。
セキュリティセンサ111は、通信または車両の内部処理に異常がないかを監視し、異常があればセキュリティログを生成する。
車両制御部112は、移動体である車両を制御する。車両制御部が生成するログは正常ログであり定常的にログが生成されるが、異常ログを生成してもよい。定常ログの場合、例えばCANログやCANデータがこれにあたる。
死活監視部113は、セキュリティセンサ111や車両制御部112が正常に動作していることを監視する。異常があれば、異常ログを生成する。
保存領域114は、セキュリティセンサ111、車両制御部112、死活監視部113が生成したログを保存する。ログ管理装置100にセキュリティセンサ111、車両制御部112、死活監視部113が設けられている場合は、保存領域114は保存部104で代用してもよい。
ログ管理装置100の保存部104は、通常保存領域114よりも記憶容量が大きい。
ログ通知部115は、ログ収集管理部102の指示に基づき、ログを保存領域114から読み出し、ログ管理装置100に送信する。もっとも、内部送信ルールを保存領域114に保存しておき、ログ収集管理部102の指示によらずに自発的に内部送信ルールに規定されたログを送信するようにしてもよい。
(3)センタ装置の構成
図3を用いて、本実施形態のセンタ装置200の構成について説明する。
センタ装置200は、受信部201、制御部202、保存部206、及び送信部207を有する。
センタ装置200は、本実施形態では完成品としてのサーバ装置の形態を想定しているが、これに限らない。例えば、完成品の形態として、ワークステーション、パーソナルコンピュータ(PC)、半完成品の形態としてECU、部品の形態として半導体回路素子が挙げられる。
受信部201は、車載装置150から送信された異常ログや正常ログを、アンテナAを介して受信する。
異常ログとは、異常が発生したときに作動し生成されるログであり、例えば、プロキシログ、IDSログ、プロセス監視ログ、等が挙げられる。
正常ログとは、定期的に作動し生成されるログであり、例えば、セキュリティセンサ/ECUの死活監視ログ、CANやイーサネット等の車載通信ログ、等が挙げられる。
車載装置150から送信されるログは、車載装置150の外部へ送信するログを規定した外部送信ルールに基づいて選択されている。外部送信ルールの詳細は後述する。
制御部202は、受信部201、保存部206、及び送信部207の動作を制御する。また、制御部202は、それ自身で、ログ分析部203、外部送信ルール更新決定部204、及び内部送信ルール更新決定部205を実現している。
ログ分析部203は、受信部201で受信したログを分析してサイバー攻撃の発生を検知する。ログの分析方法は、公知の方法を用いることができる。
外部送信ルール更新決定部204は、ログ分析部203がサイバー攻撃を検知した場合、検知結果に基づき外部送信ルールの更新を決定する。より具体的には、外部送信ルールの更新の要否、及び更新が必要であるとした場合の更新内容を決定する。そして、車載装置150に対して外部送信ルールの更新を指示するための外部送信ルール更新指示を生成する。外部送信ルールの更新例は後述する。
内部送信ルール更新決定部205は、ログ分析部203がサイバー攻撃を検知した場合、検知結果に基づき内部送信ルールの更新を決定する。より具体的には、内部送信ルールの更新の要否、及び更新が必要であるとした場合の更新内容を決定する。そして、車載装置150に対して内部送信ルールの更新を指示するための内部送信ルール更新指示を生成する。
内部送信ルールの更新は、必ずしも直接サイバー攻撃の検知結果に基づかなくてもよい。例えば、外部送信ルールの更新内容が決定された場合、外部送信ルールの更新内容に基づき内部送信ルールの更新内容を決定するようにしてもよい。内部送信ルールの詳細は後述する。また、内部送信ルールの更新例は後述する。
保存部206は、受信部201で受信したログを保存する。また、外部送信ルールの更新内容、及び内部送信ルールの更新内容を保存してもよい。
保存部206は、不揮発性メモリ又は揮発性メモリで構成されている。
送信部207は、外部送信ルール更新指示又は/及び内部送信ルール更新指示を、車載装置150にアンテナAを介して送信する。
(4)ログの種類、層、及び攻撃深度
本実施形態では、車載装置を構成する「構成要素」が定義される「層」について、構成要素がECUの場合を挙げたが、この他の構成要素の例として、ECUが有するセキュリティセンサ、OSI参照モデルが挙げられる。あるいは、ログ自体や、CANデータ、CANIDも構成要素となりうる。
ここで、「構成要素」とは、ハードウェア、又はソフトウェア若しくはデータをいい、電子制御装置、セキュリティセンサ、OSI参照モデル、ログ、CANデータ、CANID等がこれにあたる。
また、「層」とは、「物理的又は機能的に段階をなしていることをいい、前者の例として、外部との接点を有する通信ECUからの距離、又は通信ECUからの経路上で経由するポイントの数、後者の例としてマスタスレーブの関係、が挙げられる。
図4は、外部送信対象又は内部送信対象が異常ログの場合の構成要素及び層の例示である。図4の場合、構成要素は、ECU、ECUが有するセキュリティセンサ、又は、OSI参照モデルとなる。
ECUが構成要素の場合、例えば外部接続ECU、セントラルECU、内部ECUを有する場合、それぞれ第1層、第2層、第3層となり、この順で層の深度が深くなる。
各ECUに設けられたセキュリティセンサが構成要素の場合、複数のセキュリティセンサのうち、セキュリティセンサA、セキュリティセンサBの順で層の深度が深くなる。それぞれのセキュリティセンサがどの層に属するか、また層の深度の相対性は機能や監視対象で決めることができる。
各セキュリティセンサに含まれるOSI参照モデルが構成要素の場合、L2:データリンク層、L3:ネットワーク層、L4:トランスポート層、L7:アプリケーション層の順で層の深度が深くなる。
図5は、外部送信対象又は内部送信対象が正常ログの場合の構成要素及び層の例示である。図5の場合、構成要素は、ECU、ログの種類、又はCANIDとなる。
ECUが構成要素の場合は、図4と同様である。
ログの種類が構成要素の場合は、図4の場合、CANログ、ECUの死活監視結果のログ、セキュリティセンサの死活監視結果のログの順で層の深度が深くなる。それぞれのログがどの層に属するか、また層の深度の相対性は機能や監視対象で決めることができる。
CANIDが構成要素の場合は、CANIDの識別番号が大きくなるほど、層の深度が深くなる。
また、構成要素毎の層の深度の他、図4及び図5に示す通り、構成要素間においても層の深度を定義することができる。例えば、図4において、外部接続ECUのセキュリティセンサAのL7:アプリケーション層よりも、セントラルECUのセキュリティセンサCのL2:データリンク層の方が、層の深度が深くなる。
(5)外部送信ルールとその更新例
外部送信ルールは、センタ装置200において、サイバー攻撃を検知するための情報、及びサイバー攻撃を検知した場合にその対応策を講じるための情報をどのレベルまで収集するかという意義がある。
そして、サイバー攻撃を検知するためには早期かつ被害が深刻になる前に検知する必要があり、さらに平時において通信量を削減する必要があるため、車載装置150を構成する構成要素が定義される層が存在する場合、サイバー攻撃を検知する場合は浅い層のログを収集することが望ましい。
これに対して、サイバー攻撃が検知された場合は、被害の拡大を防止するため、サイバー攻撃が検知された層よりも深い層のログも収集し、対応策を講じる必要がある。つまり、サイバー攻撃を検知した場合は、より深い層のログまで収集することが望ましい。
以上から、外部送信ルール更新決定部204は、サイバー攻撃の「攻撃深度」が深いほど、車載装置150を構成する「構成要素」が定義される「層」のうち、より深い層で生成されたログを外部送信対象とする。例えば、車載装置150においてサイバー攻撃が発生したECUが定義される層よりも深い層で生成されたログを外部送信対象とする。
ここで、「攻撃深度」とは、サイバー攻撃の対象となっているECUの、外部との接点を有する通信ECUからの距離又は経由するポイントの数の大小の他、車載装置に与える攻撃の深刻度も含む。
例えば、図2のようなECUの構成の場合、外部更新ルール更新決定部204は、平時においては1層目のECUのログを外部送信対象とし、サイバー攻撃を検知した場合は、1層目に加えて2層目及び3層目のECUのログを外部送信対象とするよう外部送信ルールを更新する。
他の例として、例えば、図2において、外部更新ルール更新決定部204は、平時においては1層目のECUのログを外部送信対象とし、サイバー攻撃を1層目のECUで検知された場合は、サイバー攻撃が発生した第1層よりも深い層である2層目及び3層目のECUのログを外部送信対象とするよう外部送信ルールを更新する。
また、サイバー攻撃の攻撃深度を攻撃の深刻度まで加味した場合、以下のような内容で更新することもできる。
外部接続ECUへの攻撃が検知された場合、外部送信ルール更新決定部204は、図6のように、攻撃の深刻度によって外部送信ルールの更新内容を決定する。
1層目の外部接続ECUへの攻撃が検知され、1層目が制御を乗っ取られている可能性がある場合(「第1のレベルよりも深い場合」に相当)、図6(A)のように、2層目のセントラルECUすべてのログを外部送信対象とするよう外部送信ルールを更新する。
1層目の外部接続ECUへの攻撃が検知され、1層目に侵入されている可能性がある場合(「第1のレベルと第2のレベルの中間の場合」に相当)、図6(B)のように、2層目のセントラルECUのうち、セキュリティセンサCのログを外部送信対象とするよう外部送信ルールを更新する。
1層目の外部接続ECUへの攻撃が検知され、1層目で不正な通信が見られた場合(「第2のレベルより浅い場合」に相当)、図6(C)のように、2層目のセントラルECUのセキュリティセンサCのうちOSIモデルのL4:トランスポート層までのログを外部送信対象とするよう外部送信ルールを更新する。
このように、サイバー攻撃の攻撃深度に応じて、異なる構成要素で外部送信対象を決定することにより、サイバー攻撃の状況に応じて適正かつ必要なログを収集することができる。
図6は、図4の異常ログの場合の例を示しているが、図5の正常ログにおいても同様の処理を行うことができる。すなわち、サイバー攻撃の攻撃深度に応じて、ECU、ログの種類、CANIDの単位で外部送信対象を決定してもよい。
さらに、外部送信ルールに代えて、異常ログ又は正常ログの内部送信ルールも同様の更新方法とすることができる。
(6)内部送信ルールとその更新例
内部送信ルールは、各ECUで収集されたログの保存期間を延長するという意義がある。すなわち、保存部104の記憶容量が、各ECUの保存領域114の記憶容量よりも大きいことを利用して、将来サイバー攻撃が検知された場合にその対応策を講じるために必要な情報を予め確保しておくという意義がある。
例えば、図2のようなECUの構成の場合、センタ装置200の内部送信ルール更新決定部205は、平時においては1層目及び2層目のECUのログを内部送信対象とする。つまり、外部送信ルール更新決定部204で決定した外部送信対象よりも深い層で生成されたログを内部送信対象とする。これにより、将来サイバー攻撃が1層目で検知された場合、2層目のECUのログを過去にさかのぼって取得することが可能になる。
また、サイバー攻撃を検知した場合は、内部送信ルール更新決定部205は、1層目及び2層目に加えて、3層目のECUのログを内部送信対象とするよう内部送信ルールを更新する。
これをログ管理装置100の視点で見ると、以下のようになる。
内部送信ルールでログ収集管理部102による収集対象(内部送信対象と同じ)となったログは、外部送信ルールで外部送信管理部103による外部送信対象となったログよりも多い。つまり、将来サイバー攻撃を検知した場合に備えて、予め外部送信対象となっているログよりも下位の構成要素で生成されたログまで含めて内部送信対象としている。
言い換えれば、外部送信ルールで外部送信対象とならずかつ内部送信ルールで収集対象となったログが生成されたECU(「第2の電子制御装置」に相当)は、外部送信ルールで外部送信対象となったログが生成されたECU(「第1の電子制御装置」に相当)よりも、下位の層に位置する。
(7)方法、プログラム
図7のフローチャートを用いて、本実施形態のログ管理装置100及びセンタ装置200の動作について説明する。
なお、以下の動作は、ログ管理装置100やセンタ装置200で実行される方法を示すだけでなく、これらの装置で実行可能なプログラムの処理手順を示すものである。
そして、これらの処理は、図7で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
ログ管理装置100のログ収集管理部102は、内部送信ルールに基づきログを収集する(S101)。
保存部104は、ログ収集管理部102で収集したログを保存する(S102)。
外部送信管理部103は、外部送信ルールに基づき、センタ装置200に送信するログを決定する(S103)。
送信部105は、外部送信管理部103で決定したログをセンタ装置200に送信する(S104)。
センタ装置200の受信部201は、ログ管理装置100から送信されたログを受信する(S201)。
ログ分析部203は、受信部201で受信したログを分析し、サイバー攻撃の発生を検知する(S202)。
外部送信ルール更新決定部204及び内部送信ルール決定部205は、検知結果に基づきそれぞれ外部送信ルール及び内部送信ルールの更新を決定する(S203)。
送信部207は、外部送信ルール更新指示及び内部送信ルール更新指示を送信する(S204)。
ログ管理装置100の受信部106は、外部送信ルール更新指示及び内部送信ルール更新指示を受信し、ログ収集管理部102は内部送信ルールを、外部送信管理部103は外部送信ルールを、それぞれ書き換える(S105)。
2.その他の実施形態
本実施形態では、センタ装置200が外部送信ルールの更新内容、及び内部送信ルールの更新内容を決定しログ管理装置100に更新指示を行っているが、これに代えてセンタ装置200は更新指示を行うのみで、更新内容はログ管理装置100が決定してもよい。
また、外部送信ルールの更新内容はセンタ装置200が決定し、内部送信ルールの更新内容はログ管理装置100が決定するようにしてもよい。
3.総括
以上、本発明の各実施形態におけるサイバー攻撃検知システム、ログ管理装置、及びセンタ装置について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の車載装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
各実施形態では、各実施形態に開示の車載装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明のログ管理装置やセンタ装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また車載装置やセンタ装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のセンタ装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のセンタ装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の車載装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
100 ログ管理装置、102 ログ収集管理部、103 外部送信管理部、104 保存部、105 送信部、106 受信部、200 センタ装置、201 受信部、203 ログ分析部、204 外部送信ルール更新決定部、205 内部送信ルール更新決定部、206 保存部、207 送信部

Claims (9)

  1. 車載装置を構成する電子制御装置からログを収集し管理するログ管理装置であって、
    前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集するログ収集管理部(102)と、
    前記ログ収集管理部で収集した前記ログを保存する保存部(104)と、
    前記車載装置が搭載された車両の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定する外部送信管理部(103)と、
    前記外部送信管理部で決定した前記ログを送信する送信部(105)と、を有する
    ログ管理装置(100)。
  2. 前記内部送信ルールで収集対象となった前記ログは、前記外部送信ルールで外部送信対象となった前記ログよりも多い、
    請求項1記載のログ管理装置。
  3. 前記外部送信ルールで外部送信対象とならずかつ前記内部送信ルールで収集対象となった前記ログが生成された第2の電子制御装置は、前記外部送信ルールで外部送信対象となった前記ログが生成された第1の電子制御装置よりも、下位の層に位置する、
    請求項2記載のログ管理装置。
  4. 前記保存部は、前記電子制御装置が前記ログを保存する保存領域よりも記憶容量が大きい、
    請求項3記載のログ管理装置。
  5. さらに、前記センタ装置からの指示を受信する受信部(106)を有し、
    前記ログ収集管理部及び前記外部送信管理部は、前記指示に基づき、それぞれ前記内部送信ルール及び前記外部送信ルールを書き換える、
    請求項1記載のログ管理装置。
  6. 前記指示は、前記センタ装置が前記車載装置においてサイバー攻撃を検知した場合に送信される、
    請求項5記載のログ管理装置。
  7. 当該ログ管理装置は、移動体に搭載されている、
    請求項1~6いずれかに記載のログ管理装置。
  8. 車載装置を構成する電子制御装置からログを収集し管理するログ管理装置で実行されるログ管理方法であって、
    前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
    収集した前記ログを保存し、
    前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
    決定した前記ログを送信する
    ログ管理方法。
  9. 車載装置を構成する電子制御装置からログを収集し管理するログ管理装置で実行可能なログ管理プログラムであって、
    前記電子制御装置から当該ログ管理装置へ送信する前記ログを規定した内部送信ルールに基づき、前記ログを収集し、
    収集した前記ログを保存し、
    前記車載装置の外部へ送信する前記ログを規定した外部送信ルールに基づき、センタ装置に送信する前記ログを決定し、
    決定した前記ログを送信する
    ログ管理プログラム。
JP2023172112A 2020-07-14 2023-10-03 ログ管理装置及びセンタ装置 Pending JP2023171904A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023172112A JP2023171904A (ja) 2020-07-14 2023-10-03 ログ管理装置及びセンタ装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020120910A JP7419998B2 (ja) 2020-07-14 2020-07-14 ログ管理装置及びセンタ装置
JP2023172112A JP2023171904A (ja) 2020-07-14 2023-10-03 ログ管理装置及びセンタ装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020120910A Division JP7419998B2 (ja) 2020-07-14 2020-07-14 ログ管理装置及びセンタ装置

Publications (1)

Publication Number Publication Date
JP2023171904A true JP2023171904A (ja) 2023-12-05

Family

ID=79292502

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020120910A Active JP7419998B2 (ja) 2020-07-14 2020-07-14 ログ管理装置及びセンタ装置
JP2023172112A Pending JP2023171904A (ja) 2020-07-14 2023-10-03 ログ管理装置及びセンタ装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2020120910A Active JP7419998B2 (ja) 2020-07-14 2020-07-14 ログ管理装置及びセンタ装置

Country Status (2)

Country Link
US (1) US20220019662A1 (ja)
JP (2) JP7419998B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7438473B1 (ja) 2022-04-05 2024-02-26 三菱電機株式会社 リソース管理装置、列車無線システム、通信制御方法、制御回路、および、記憶媒体

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10250619B1 (en) 2015-06-17 2019-04-02 Mission Secure, Inc. Overlay cyber security networked system and method
JP6701030B2 (ja) * 2016-08-25 2020-05-27 クラリオン株式会社 車載装置、ログ収集システム
JP6490879B2 (ja) * 2016-12-06 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理装置及び情報処理方法
JP6585113B2 (ja) * 2017-03-17 2019-10-02 株式会社東芝 データ格納装置
JP7113337B2 (ja) * 2018-01-12 2022-08-05 パナソニックIpマネジメント株式会社 サーバ装置、車両装置、車両用システム及び情報処理方法
CN110494330B (zh) * 2018-01-22 2022-08-05 松下电器(美国)知识产权公司 车辆监视装置、不正当检测服务器、以及控制方法

Also Published As

Publication number Publication date
JP7419998B2 (ja) 2024-01-23
US20220019662A1 (en) 2022-01-20
JP2022017995A (ja) 2022-01-26

Similar Documents

Publication Publication Date Title
JP6531011B2 (ja) 車載ネットワーク装置
US9813436B2 (en) Method for vehicle intrusion detection with electronic control unit
US9787703B2 (en) Method for vehicle intrusion detection with mobile router
US9776597B2 (en) Vehicle with electronic system intrusion detection
WO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US9787694B2 (en) Method for vehicle electronic system intrusion detection
JP2023171904A (ja) ログ管理装置及びセンタ装置
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
US11711387B2 (en) Security management device, security management method, and computer program executed by security management device
US9787702B2 (en) Electronic control unit with vehicle intrusion detection
JP7392586B2 (ja) ログ送信制御装置
JP7392598B2 (ja) ログ管理装置及びセキュリティ攻撃検知・分析システム
JP7409247B2 (ja) 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
JP7380473B2 (ja) セキュリティ監視システム
US20230007034A1 (en) Attack analyzer, attack analysis method and attack analysis program
US20230007033A1 (en) Attack analyzer, attack analysis method and attack analysis program
JP7375619B2 (ja) 異常検知装置
US9762600B2 (en) Mobile router with vehicle intrusion detection
JP7439668B2 (ja) ログ送信制御装置
JP2023157723A (ja) ログ管理装置及びログ管理分析システム
JP2023107137A (ja) ログ管理装置、ログ管理方法、及びログ管理プログラム
JP2024016763A (ja) 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231003