JP6735952B2 - セキュリティ装置及び組込み機器 - Google Patents
セキュリティ装置及び組込み機器 Download PDFInfo
- Publication number
- JP6735952B2 JP6735952B2 JP2020512961A JP2020512961A JP6735952B2 JP 6735952 B2 JP6735952 B2 JP 6735952B2 JP 2020512961 A JP2020512961 A JP 2020512961A JP 2020512961 A JP2020512961 A JP 2020512961A JP 6735952 B2 JP6735952 B2 JP 6735952B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- function
- main function
- execution environment
- operation mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Description
本発明は、組込み制御装置により制御される組込み機器に対するサイバー攻撃に対抗するセキュリティ装置、当該セキュリティ装置を備える組込み機器に関する。
自動車等の移動体、家電機器、ファクトリーオートメーション(FA)機器等の機器には、組込み機器が搭載される。組込み機器は、組込み制御装置により制御される。例えば、自動車には、車載機器が搭載される。車載機器は、車両制御エンジンコントロールユニット(ECU)により制御される。
従来においては、組込み機器は、スタンドアローンで使用されていた。しかし、近年においては、組込み機器は、モノのインターネット(IoT)化の流れを受けて、外部ネットワークに接続された状態で使用されるようになりつつある。
外部ネットワークに接続された状態で使用される組込み機器は、サイバー攻撃に晒される可能性がある。このため、近年においては、サイバー攻撃から組込み機器を守るためのセキュリティ機能を組込み制御装置に実装することが求められるようになりつつある。例えば、車両に搭載される組み込み制御機器、及び車両に搭載されない情報処理装置に共通鍵を共有させ、暗号化されたメッセージ認証コード及びレスポンスコードを通信の際にやり取りさせることにより、情報処理装置の認証を行う認証システムが提案されている。特許文献1に記載された技術は、その一例である。
しかし、サイバー攻撃に対抗するセキュリティ機能を組込み制御装置に実装する場合には、組込み制御装置に搭載される計算機リソースが限られることが問題となる。すなわち、情報セキュリティ技術の導入が進んでいるパーソナルコンピューター(PC)と比較された場合に、組込み制御装置に搭載される中央演算処理装置(CPU)、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)等の計算機リソースが限られることが問題になる。このため、暗号化処理のようなサイバー攻撃に対抗する高度なセキュリティ機能を組込み制御装置に実装する場合には、組込み制御装置に実装される主機能を低機能化することを強いられることがある。もちろん、組み込み制御装置に搭載される計算機リソースを強化することによりこの問題は解消するが、組み込み制御装置に搭載される計算機リソースを強化することは、組み込み制御装置の高コスト化を招く。
本発明は、これらの問題を考慮してなされる。本発明が解決しようとする課題は、組込み制御装置において主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができるようにすることである。
本発明の第1の態様は、セキュリティ装置に向けられる。
セキュリティ装置は、攻撃検知部、セキュリティリスクステート決定部及び実行環境制御部を備える。
攻撃検知部は、組込み制御装置により制御される組込み機器に対するサイバー攻撃の検知を行う。
セキュリティリスクステート決定部は、検知の結果に基づいて、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方を示すセキュリティリスクステートを決定する。
実行環境制御部は、組み込み制御装置に備えられ、セキュリティリスクステートに応じて、サイバー攻撃に対抗するセキュリティ機能を決定し、組込み制御装置がセキュリティ機能を実行することができるように、組込み制御装置におけるセキュリティ機能の実行環境を構成する。
本発明の第2の態様は、上記のセキュリティ装置を備える組込み機器に向けられる。
本発明においては、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方に応じて、組込み制御装置がサイバー攻撃に対抗するセキュリティ機能を実行することができるように組込み制御装置におけるセキュリティ機能の実行環境が構成される。このため、組込み制御装置における主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができる。
この発明の目的、特徴、局面、および利点は、以下の詳細な説明と添付図面とによって、より明白となる。
1 実施の形態1
1.1 組込み機器の概略
図1は、実施の形態1のセキュリティ装置を内蔵する組込み機器を模式的に図示するブロック図である。
1.1 組込み機器の概略
図1は、実施の形態1のセキュリティ装置を内蔵する組込み機器を模式的に図示するブロック図である。
図1に図示される組込み機器1000は、組込み制御装置1020、組込み制御装置1021、組込み制御装置1022、組込み制御装置1023、制御系ネットワーク1040、外部接続系ネットワーク1060、外部接続系ネットワーク1061、外部接続系ネットワーク1062、ゲートウェイ(GW)1080、通信インターフェース(I/F)1100、通信I/F1101及び通信I/F1102を備える。組込み機器1000がこれらの要素以外の要素を備えてもよい。
組込み機器1000は、自動車等の移動体、家電機器、ファクトリーオートメーション(FA)機器等の機器に搭載される。以下では、組込み機器1000が自動車に搭載される車載機器であり、組込み制御装置1020,1021,1022及び1023が自動車の走行を制御する車両制御エンジンコントロールユニット(ECU)であるとして説明を進める。
GW1080及び組込み制御装置1020は、組込み機器1000に対するサイバー攻撃に対抗するセキュリティ装置1110を構成する。GW1080がセキュリティ装置1110を構成しない場合もある。組込み制御装置1021,1022又は1023がセキュリティ装置1110を構成する場合もある。
組込み制御装置1020は、組込み機器1000を制御する主機能を実行し、組込み機器1000に対するサイバー攻撃に対抗するセキュリティ機能を実行する。組込み制御装置1021,1022及び1023は、組込み機器1000を制御する主機能を実行するが、組込み機器1000に対するサイバー攻撃に対抗するセキュリティ機能を実行しない。ただし、本構成は一例であり、上述したとおり、GW1080上に構成されているセキュリティ機能を組込み制御装置1021,1022又は1023上に構成してもよい。
制御系ネットワーク1040には、組込み制御装置1020,1021,1022及び1023が通信可能に接続される。制御系ネットワーク1040には、組込み機器1000に備えられる組込み制御装置1020,1021,1022及び1023等の装置間でやりとりされる制御データが流れる。
外部接続系ネットワーク1060,1061及び1062は、それぞれ通信I/F1100,1101及び1102に通信可能に接続される。外部接続系ネットワーク1060,1061及び1062は、それぞれ通信I/F1100,1101及び1102を介して組込み機器1000の外部に存在する情報通信機器に通信可能に接続される。外部接続系ネットワーク1060,1061及び1062には、組込み機器1000に備えられる組込み制御装置1020,1021,1022及び1023等の装置と組込み機器1000の外部に存在する情報通信機器との間でやりとりされる通信データが流れる。
外部接続系ネットワーク1060,1061及び1062は、GW1080を介して制御系ネットワーク1040に通信可能に接続される。
組込み制御装置1020,1021,1022及び1023からなる組込み制御装置群が、他の組込み制御装置群又は単独の組込み制御装置に置き換えられてもよい。制御系ネットワーク1040、外部接続系ネットワーク1060、外部接続系ネットワーク1061、外部接続系ネットワーク1062及びGW1080からなるネットワークが、他のネットワークに置き換えられてもよい。セキュリティ機能を実行する組込み制御装置が、組込み制御装置1020から組込み制御装置1021,1022又は1023に変更されてもよい。
組込み制御装置1020は、中央演算処理装置(CPU)コア1120、CPUコア1121、CPUコア1122、CPUコア1123、コア間共有キャッシュ1140、コア間共有メモリ1160及びリードオンリーメモリ(ROM)1180を備える。組込み制御装置1020がこれらの要素以外の要素を備えてもよい。
1.2 セキュリティ装置
図2は、実施の形態1のセキュリティ装置を構成するGWの機能的構成を模式的に図示するブロック図である。
図2は、実施の形態1のセキュリティ装置を構成するGWの機能的構成を模式的に図示するブロック図である。
GW1080は、図2に図示されるように、ルーティング部1200、攻撃検知部1220、フィルタリング部1240及びセキュリティリスクステート決定部1260を備える。これらの要素は、インストールされたプログラムをGWが実行することより実現される。これらの要素の全部又は一部がプログラムを実行しないハードウェアにより実現されてもよい。GW1080がこれらの要素以外の要素を備えてもよい。攻撃検知部1220及びセキュリティリスクステート決定部1260が、組込み制御装置1020,1021,1022又は1023に実装されてもよい。
ルーティング部1200は、一のネットワークを経由して受信したパケットを他のネットワークを経由して送信する場合に、当該他のネットワークを適切に選択するルーティングを行う。ルーティングは、GW1080が本来有する機能である。
攻撃検知部1220は、組込み機器1000に対するサイバー攻撃の検知を行う。検知が行われるサイバー攻撃は、自動車外等の組込み機器1000の外部からの組込み機器1000に対するサイバー攻撃、組込み機器1000に不正に装着された装置からの組込み機器1000に対するサイバー攻撃等である。攻撃検知部1220は、外部ネットワーク等を経由して送られてきた攻撃データの検知を行うことにより、組込み機器1000に対するサイバー攻撃の検知を行う。
フィルタリング部1240は、サイバー攻撃により送られてきた攻撃データが外部接続系ネットワーク1060,1061又は1062から制御系ネットワーク1040に流入することを防止し、機密データが制御系ネットワーク1040から外部接続系ネットワーク1060,1061又は1062に流出することを防止するためにデータのフィルタリングを行う。
セキュリティリスクステート決定部1260は、組込み機器1000に対するサイバー攻撃の検知の結果に基づいて、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方を示すセキュリティリスクステートを決定する。決定されたセキュリティリスクステートは、GW1080から制御系ネットワーク1040を経由して組込み制御装置1020に通知される。
図3は、実施の形態1のセキュリティ装置を構成する組込み制御装置の機能的構成を模式的に図示するブロック図である。
組込み制御装置1020は、図3に図示されるように、主機能実行部1280、セキュリティ機能実行部1300及び実行環境制御部1320を備える。これらの要素は、インストールされたプログラムをGWが実行することより実現される。これらの要素の全部又は一部がプログラムを実行しないハードウェアにより実現されてもよい。また、組込み制御装置1020においては、ROM1180等の記憶媒体が、セキュリティ機能テーブル1340を記憶する。組込み制御装置1020がこれらの要素以外の要素を備えてもよい。
主機能実行部1280は、組込み機器1000を制御する主機能を実行する。
セキュリティ機能実行部1300は、組込み機器1000に対するサイバー攻撃に対抗するセキュリティ機能を実行する。セキュリティ機能により、サイバー攻撃に対する保護が組込み機器1000に与えられる。
実行環境制御部1320は、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて、組込み制御装置1020が実行するセキュリティ機能を決定する。また、実行環境制御部1320は、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて、決定したセキュリティ機能を組込み制御装置1020が実行することができるように、組込み制御装置におけるセキュリティ機能の実行環境を構成する。また、実行環境制御部1320は、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて、組込み制御装置1020における主機能の実行環境を構成する。
セキュリティ機能及び主機能の各機能の実行環境は、各機能を実行するために必要な組込み制御装置1020の動作環境である。各機能の実行環境は、各機能に割り当てられる計算機リソース、CPUコアの動作モード等により規定される。計算機リソースは、CPUコアの数、CPUコア1020,1021,1022及び1023の使用率の上限、コア間共有キャッシュ1140の使用量の上限、コア間共有メモリ1160の使用量の上限等である。各機能の実行環境が、各機能に割り当てられる計算機リソース、並びにCPUコアの動作モードに代えて、又は各機能に割り当てられる計算機リソース、並びにCPUコアの動作モードに加えて、各機能に割り当てられる計算機リソース、並びにCPUコアの動作モード以外の設定により規定されてもよい。当該設定は、ネットワーク帯域の使用量の上限、アクセス可能な入出力(I/O)ポート、アクセス可能な専用アクセラレータ、割込みが通知されるCPUコアの割付け等である。組込み制御装置1020が優先度ベーススケジューリングを行うシステムを備える場合は、CPUコア1020,1021,1022及び1023の使用率に代えて、各機能を実行するタスクの優先度、周期等により各機能の実行環境が規定されてもよい。
図4は、実施の形態1のセキュリティ装置を構成する組込み制御装置に記憶されるセキュリティ機能テーブルを模式的に図示する図である。
実行環境制御部1320は、セキュリティ機能、セキュリティ機能の実行環境の構成内容、及び主機能の実行環境の構成内容の決定において、図4に図示されるセキュリティ機能テーブル1340を参照する。
セキュリティ機能テーブル1340は、複数のセキュリティリスクステート1361,1362,1363,1364及び1365を含む。また、セキュリティ機能テーブル1340は、複数のセキュリティリスクステート1361,1362,1363,1364及び1365にそれぞれ対応する複数のセキュリティ機能1381,1382,1383,1384及び1385を含み、複数のセキュリティリスクステート1361,1362,1363,1364及び1365にそれぞれ対応する複数のセキュリティ機能の実行環境の構成内容1401,1402,1403,1404及び1405を含み、複数のセキュリティリスクステート1361,1362,1363,1364及び1365にそれぞれ対応する複数の主機能の実行環境の構成内容1421,1422,1423,1424及び1425を含む。また、セキュリティ機能テーブル1340は、複数のセキュリティリスクステート1361,1362,1363,1364及び1365にそれぞれ対応する複数の識別子(ID)1441,1442,1443,1444及び1445を含む。複数のID1441,1442,1443,1444及び1445の各IDは、各IDに対応するセキュリティリスクステート、当該セキュリティリスクステートに対応するセキュリティ機能、当該セキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容、及び当該セキュリティリスクステートに対応する主機能の実行環境の構成内容の対に付与される。
複数のセキュリティリスクステート1361,1362,1363,1364及び1365の各セキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容は、当該各セキュリティリスクステートに対応するセキュリティ機能を決められた時間内に完了するために必要な計算機リソースの見積もり、及びその結果に基づいて決定される。
複数のセキュリティリスクステート1361,1362,1363,1364及び1365の各セキュリティリスクステートに対応する主機能の実行環境の構成内容は、組込み制御装置1020に搭載されている計算機リソース、及び各セキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容において要求される計算機リソースから、主機能に割り当てることができる計算機リソースを求めることにより決定される。
実行環境制御部1320は、セキュリティ機能テーブル1340を参照し、セキュリティ機能テーブル1340に含まれる複数のセキュリティリスクステート1361,1362,1363,1364及び1365から、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに一致するセキュリティリスクステートを選択する。また、実行環境制御部1320は、セキュリティ機能テーブル1340に含まれる複数のセキュリティ機能1381,1382,1383,1384及び1385から、選択したセキュリティリスクステートに対応するセキュリティ機能を選択する。また、実行環境制御部1320は、セキュリティ機能テーブル1340に含まれる複数のセキュリティ機能の実行環境の構成内容1401,1402,1403,1404及び1405から、選択したセキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容を選択する。また、実行環境制御部1320は、セキュリティ機能テーブル1340に含まれる複数の主機能の実行環境の構成内容1421,1422,1423,1424及び1425から、選択したセキュリティリスクステートに対応する主機能の実行環境の構成内容を選択する。
実行環境制御部1320は、選択したセキュリティ機能を、組込み制御装置1020により実行されるセキュリティ機能とする。また、実行環境制御部1320は、構成するセキュリティ機能の実行環境が、選択したセキュリティ機能の実行環境の構成内容を有するようにする。また、実行環境制御部1320は、構成する主機能の実行環境が、選択した主機能の実行環境の構成内容を有するようにする。
これらにより、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて、組込み制御装置1020により実行されるセキュリティ機能が決定され、組込み制御装置1020におけるセキュリティ機能の実行環境、及び主機能の実行環境が構成される。
実行環境制御部1320が、セキュリティ機能テーブル1340を参照せずに、組込み制御装置1020により実行されるセキュリティ機構を決定し、組込み制御装置1020におけるセキュリティ機能の実行環境、及び主機能の実行環境を構成してもよい。例えば、実行環境制御部1320が、条件判定を行うプログラムによりこれらの処理を行ってもよいし、機械学習を行った学習プログラムによりこれらの処理を行ってもよい。
1.3 セキュリティ機能テーブル
図4に図示されるセキュリティリスクステート1361は、高い受信頻度で不正メッセージを受信していることを示す。セキュリティリスクステート1361は、自動車の不正制御等を目的とした不正データの送信、サービス拒否(DoS)攻撃、機密データの盗み出し等を目的としたデータの不正取得等の脅威を想定する。
図4に図示されるセキュリティリスクステート1361は、高い受信頻度で不正メッセージを受信していることを示す。セキュリティリスクステート1361は、自動車の不正制御等を目的とした不正データの送信、サービス拒否(DoS)攻撃、機密データの盗み出し等を目的としたデータの不正取得等の脅威を想定する。
セキュリティリスクステート1361に対応するセキュリティ機能1381は、メッセージ認証機能、パケットモニタリング及びデータ暗号化を含む。メッセージ認証機能によれば、メッセージの完全性、及びメッセージの送信元の正当性(真正性)を確保することができ、不正データの送信に対抗することができるようになる。パケットモニタリングによれば、制御系ネットワーク1040内の通信量を監視し、異常トラフィックを検知した場合に特定のパケットを遮断することができ、DoS攻撃に対抗することができるようになる。データ暗号化によれば、送受信されるデータのモニタリングを不可能にすることができ、データの不正取得に対抗することができるようになる。
セキュリティリスクステート1361に対応するセキュリティ機能の実行環境の構成内容1401は、CPUコア1020,1021,1022及び1023の使用率の上限、CPUコアの動作モード、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限を含む。セキュリティ機能の実行環境の構成内容1401は、セキュリティ機能1381を実行するために必要なセキュリティ機能の実行環境を規定する。
セキュリティ機能の実行環境の構成内容1401に含まれるCPUコア1020,1021,1022及び1023の使用率の上限、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限は、それぞれセキュリティ機能の実行環境の構成内容1402,1403,1404及び1405に含まれるCPUコア1020,1021,1022及び1023の使用率の上限、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限より大きい。これにより、複雑な演算を要するデータ暗号化が可能になる。
セキュリティ機能の実行環境の構成内容1401に含まれるCPUコアの動作モードは、セキュアモードである。これにより、メッセージ認証機能及びデータ暗号化を実行する際に必要となる鍵へのアクセスが可能になる。
セキュリティリスクステート1362は、低い受信頻度で不正メッセージを受信していることを示す。セキュリティリスクステート1362における不正メッセージの受信頻度は、セキュリティリスクステート1361における不正メッセージの受信頻度より低い。セキュリティリスクステート1362は、不正データの送信を想定する。
セキュリティリスクステート1362に対応するセキュリティ機能1382は、データフォーマット監視を含む。データフォーマット監視とは、データがとり得る値域が仕様上定められている場合に、データが当該値域から外れているか否かを監視し、当該データが当該値域から外れている場合に当該データを改ざんされた不正データとみなすことである。例えば、速度データがとり得る0km/h以上200km/以下という値域が仕様上定められている場合には、0km/h以上200km/以下という値域から外れる−10km/hというデータは改ざんされた不正速度データとみなされる。データフォーマット監視が組込み制御装置1020に与える処理負荷は、メッセージ認証機能、パケットモニタリング及びデータ暗号化が組込み制御装置1020に与える処理負荷より小さい。データフォーマット監視により、不正データの送信に対抗することができるようになる。小さな処理負荷しか与えないデータフォーマット監視で不正データの送信に対抗するのは、低い受信頻度で不正メッセージを受信していることのセキュリティ上の危険度が比較的低いからである。
セキュリティリスクステート1362に対応するセキュリティ機能の実行環境の構成内容1402は、CPUコア1020,1021,1022及び1023の使用率の上限、CPUコアの動作モード、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限を含む。セキュリティ機能の実行環境の構成内容1402は、セキュリティ機能1382を実行するために必要なセキュリティ機能の実行環境を規定する。
セキュリティ機能の実行環境の構成内容1402に含まれるCPUコアの動作モードは、通常モードである。これは、鍵等の高い秘匿性を有するデータへのアクセスが不要であるためである。
セキュリティリスクステート1363は、特定の組込み制御装置ののっとり、又は特定の組込み制御装置へのなりすましにつながる攻撃シナリオを検知したことを示す。セキュリティリスクステート1363は、自動車の不正制御等を目的とした不正データの送信、機密データの盗み出し等を目的としたデータの不正取得等の脅威を想定する。
プログラムが外部ネットワークを経由して組込み制御装置ののっとり、又は組込み制御装置へのなりすましを試みる場合は、攻撃シナリオが存在し、当該プログラムが当該攻撃シナリオに合致する挙動を示す。例えば、組込み制御装置をのっとることを試みるプログラムは、下記の攻撃シナリオ(1),(2),(3)及び(4)に合致する挙動を示す。
(1)ネットワーク検査コマンドによりIPアドレスを取得する。
(2)ポートスキャンを行い、各ポートにより提供されるサービスを特定する。
(3)複数のパケットを各ポートに送り付け、送り付けた複数のパケットに対する反応により各ポートを使用しているソフトウェアの種別及び版数を特定する。
(4)特定したソフトウェアの種別及び版数に脆弱性が存在する場合は、存在する脆弱性を利用して組込み制御装置をのっとる。
したがって、プログラムが示す挙動を監視し、攻撃シナリオに合致する挙動を検知することにより、特定の組込み制御装置ののっとり、及び特定の組込み制御装置へのなりすましにつながる攻撃シナリオを検知することができる。
セキュリティリスクステート1363に対応するセキュリティ機能1383は、メッセージ認証機能及びデータ暗号化を含む。メッセージ認証機能によれば、先述したように、メッセージの完全性、及びメッセージの送信元の正当性(真正性)を確保することができる、不正データの送信に対抗することができるようになる。データ暗号化によれば、先述したように、送受信されるデータのモニタリングを不可能にすることができ、データの不正取得への対抗が可能になる。
セキュリティリスクステート1363に対応するセキュリティ機能の実行環境の構成内容1403は、CPUコア1020,1021,1022及び1023の使用率の上限、CPUコアの動作モード、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限を含む。セキュリティ機能の実行環境の構成内容1403は、セキュリティ機能1383を実行するために必要なセキュリティ機能の実行環境を規定する。
セキュリティ機能の実行環境の構成内容1403に含まれるCPUコアの動作モードは、セキュアモードである。これにより、メッセージ認証機能及びデータ暗号化を実行する際に必要となる鍵へのアクセスが可能になる。
セキュリティ機能テーブル1340に含まれるセキュリティリスクステート1364は、データの不正取得につながる攻撃シナリオを検知したことを示す。セキュリティリスクステート1364は、機密データの盗み出し等を目的としたデータの不正取得等の脅威を想定する。
セキュリティリスクステート1364に対応するセキュリティ機能1384は、データ暗号化を含む。データ暗号化によれば、先述したように、送受信されるデータのモニタリングを不可能にすることができ、データの不正取得に対抗することができるようになる。
セキュリティリスクステート1364に対応するセキュリティ機能の実行環境の構成内容1404は、CPUコア1020,1021,1022及び1023の使用率の上限、CPUコアの動作モード、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限を含む。セキュリティ機能の実行環境の構成内容1404は、セキュリティ機能1384を実行するために必要なセキュリティ機能の実行環境を規定する。
セキュリティ機能の実行環境の構成内容1404に含まれるCPUコアの動作モードは、セキュアモードである。これにより、データ暗号化を実行する際に必要となる鍵へのアクセスが可能になる。
セキュリティリスクステート1365は、不正な機器を制御用ネットワーク1040に直接的に接続する不正接続が行われたことを示す。セキュリティリスクステート1365は、不正データの送信、データの不正取得、組込み制御装置1020上での不正プログラムの実行等の脅威を想定する。不正プログラムの実行は、不正プログラムが組込み制御装置1020にインストールされ、インストールされた不正プログラムが実行されることを想定する。
セキュリティリスクステート1365に対応するセキュリティ機構1385は、メッセージ認証機能、リソースモニタリング及びデータ暗号化を含む。メッセージ認証機能によれば、先述したように、メッセージの完全性、及びメッセージの送信元の正当性(真正性)を確保することができ、不正データの送信に対抗することができるようになる。リソースモニタリングによれば、プログラムの実行プロファイルを監視し、監視している実行プロファイルが異常な挙動を示した場合に当該プログラムの実行を制限することができ、不正プログラムの実行に対抗することができるようになる。監視される実行プロファイルは、CPUコア1020,1021,1022及び1023の使用率、コア間共有メモリ1160の使用量等である。データ暗号化によれば、先述したように、送受信されるデータのモニタリングを不可能にすることができ、データの不正取得に対抗することができるようになる。
セキュリティリスクステート1365に対応するセキュリティ機能の実行環境の構成内容1405は、CPUコア1020,1021,1022及び1023の使用率の上限、CPUコアの動作モード、コア間共有キャッシュ1140の使用量の上限、並びにコア間共有メモリ1160の使用量の上限を含む。セキュリティ機能の実行環境の構成内容1405は、セキュリティ機能1385を実行するために必要なセキュリティ機能の実行環境を規定する。
セキュリティ機能の実行環境の構成内容1405に含まれるCPUコアの動作モードは、特権モードである。これにより、リソースモニタリングを実行する際に必要となるCPUに組み込まれているパフォーマンスモニタユニット(PMU)へのアクセスが可能になる。
1.4 動作
図5は、実施の形態1のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合のGWの動作を示すフローチャートである。図6は、実施の形態1のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合の組込み制御装置の動作を示すフローチャートである。
図5は、実施の形態1のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合のGWの動作を示すフローチャートである。図6は、実施の形態1のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合の組込み制御装置の動作を示すフローチャートである。
図5に図示されるステップS101においては、攻撃検知部1220が、攻撃検知処理を実行する。攻撃検知処理においては、組込み機器1000に対してサイバー攻撃が行われていることが検知される。
ステップS101に続くステップS102においては、攻撃の有無が判定される。ステップS102において組込み機器1000に対してサイバー攻撃が行われていると判定された場合は、処理がステップS103に進められる。一方、ステップS102において組込み機器1000に対してサイバー攻撃が行われていないと判定された場合は、処理がステップS105に進められる。
サイバー攻撃が行われていると判定された場合は、ステップS103において、フィルタリング部1240がパケットフィルタリングを実行し、ステップS103に続くステップS104において、セキュリティリスクステート決定部1260がセキュリティリスクステートを決定する。パケットフィルタリングにより、不正なパケットが遮断される。セキュリティリスクステートは、サイバー攻撃の内容を示す情報から決定される。
ステップS102又はS104に続くステップS105においては、セキュリティリスクステート決定部1260が、組込み制御装置1020にセキュリティリスクステートを通知する。ステップS102において組込み機器1000に対してサイバー攻撃が行われていると判定されステップS104においてセキュリティリスクステートが決定された場合は、通知されるセキュリティリスクステートは、ステップS104において決定されたセキュリティリスクステートである。ステップS102において組込み機器1000に対してサイバー攻撃が行われていないと判定された場合は、通知されるセキュリティリスクステートは、組込み機器1000に対してサイバー攻撃が行われていないことを示すセキュリティリスクステートである。
ステップS105に続くステップS106においては、ルーティング部1200が、正常パケットルーティングを実行する。正常パケットルーティングにおいては、サイバー攻撃に晒されていない通常のデータが適切なネットワークにルーティングされる。
実行環境制御部1320は、セキュリティリスクステートの受信に同期して、図6に図示されるステップS107からS110までを含む実行環境制御処理を開始する。セキュリティリスクステートの受信に同期して実行環境制御処理が開始される同期処理に代えて、非同期処理が実行されてもよい。例えば、主機能実行部1280が主機能の実行を開始する際に実行環境制御部1320が実行環境制御処理を開始する非同期処理が実行されてもよい。
ステップS107においては、実行環境制御部1320が、セキュリティ機能テーブル1340を参照する。また、実行環境制御部1320は、通知されたセキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容、及び主機能の実行環境の構成内容を取得する。
ステップS107に続くステップS108においては、実行環境制御部1320が、取得した主機能の実行環境の構成内容にしたがって主機能の実行環境を構成する。ただし、主機能の実行環境を構成することが不要である場合は、ステップS108は実行されない。例えば、セキュリティ機能に割り当てられるCPUコア、及びセキュリティ機能を実行するタスクの優先度に応じて主機能の実行環境がオペレーティングシステム等のシステムソフトウェアにより自動的に制御される場合は、ステップS108は実行されない。主機能の実行環境を構成することは、セキュリティ機能を実行しないCPUコアへの主機能のコアマイグレーション、メモリ使用量の制限、CPU使用率の制限、割り込み用のCPUコアの再割付け、I/O用のCPUコアの再割付け、キャッシュメンテナンス処理、及びメモリ管理ユニット(MMU)の再設定の少なくともひとつを含む。
ステップ108に続くステップS109においては、実行環境制御部1320が、取得したセキュリティ機能の実行環境の構成内容にしたがってセキュリティ機能の実行環境を構成する。セキュリティ機能の実行環境を構成することは、セキュリティ機能を実行するCPUコアの割付け、CPUの動作モードの設定、割り込み用のCPUコアの割付け、I/O用のCPUコアの再割付け、及びキャッシュロックダウンの設定の少なくともひとつを含む。
ステップS109に続くステップS110においては、セキュリティ機能が起動される。
1.5 実行環境の変更の例
図7及び図8は、実施の形態1のセキュリティ装置を備える組込み機器における実行環境の変更の例を模式的に図示する図である。
図7及び図8は、実施の形態1のセキュリティ装置を備える組込み機器における実行環境の変更の例を模式的に図示する図である。
図7には、決定されたセキュリティリスクステートが組込み機器1000に対してサイバー攻撃が行われていないことを示す低いセキュリティリスクステートである場合の状態が図示される。図7には、このような通常動作時の状態においては、組込み制御装置1020に搭載されている計算機リソースの全部が主機能1460の実行に使用されている状態が図示される。
図8には、決定されたセキュリティリスクステートがセキュリティリスクステート1365である場合の状態が図示される。図8には、このようなセキュリティ強化動作時においては、組込み制御装置1020に搭載されている計算機リソースに含まれる1個のCPUコア1123、コア間共有キャッシュ1140の一部、及びコア間共有メモリ1160の一部がセキュリティ機能1461の実行に使用されており、組込み制御装置1020に搭載されている計算機リソースに含まれる残りが主機能1460の実行に使用されている状態が図示される。
1.6 実施の形態1の効果
実施の形態1においては、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方に応じて、組込み制御装置1020がサイバー攻撃に対抗するセキュリティ機能を実行することができるように組込み制御装置1020におけるセキュリティ機能の実行環境が構成される。このため、組込み制御装置1020における主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができる。特に、セキュリティ上のリスクが高い場合に高度なセキュリティ機能を実行することができる。
実施の形態1においては、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方に応じて、組込み制御装置1020がサイバー攻撃に対抗するセキュリティ機能を実行することができるように組込み制御装置1020におけるセキュリティ機能の実行環境が構成される。このため、組込み制御装置1020における主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができる。特に、セキュリティ上のリスクが高い場合に高度なセキュリティ機能を実行することができる。
2 実施の形態2
実施の形態1においては、セキュリティリスクステートに応じて主機能の実行環境が構成されるが、主機能の内容はセキュリティリスクステートの影響を受けない。これに対して、実施の形態2においては、セキュリティリスクステートに応じて主機能の実行環境が構成されるのに加えて、セキュリティ機能の内容に応じて主機能の内容が変更される。
実施の形態1においては、セキュリティリスクステートに応じて主機能の実行環境が構成されるが、主機能の内容はセキュリティリスクステートの影響を受けない。これに対して、実施の形態2においては、セキュリティリスクステートに応じて主機能の実行環境が構成されるのに加えて、セキュリティ機能の内容に応じて主機能の内容が変更される。
以下では、上記の相違に関連する実施の形態2の構成が説明される。説明されない構成については、実施の形態1において採用された構成がそのまま又は変形されてから実施の形態2においても採用される。
図9は、実施の形態2のセキュリティ装置を構成する組込み制御装置を模式的に図示するブロック図である。
図9に図示される組込み制御装置1020は、実施の形態1と同様に、主機能実行部1280、セキュリティ機能実行部1300及び実行環境制御部1320を備える。また、組込み制御装置1020においては、ROM1180等の記憶媒体が、実施の形態1と同様に、セキュリティ機能テーブル1340を記憶する。加えて、組込み制御装置1020においては、ROM1180等の記憶媒体が、主機能動作モードテーブル1480を記憶する。
実行環境制御部1320は、セキュリティ機能の実行環境を構成した場合に、主機能に割り当てることができる組込み制御装置1020の計算機リソースにより実行することができるように主機能の動作モードを決定する。また、実行環境制御部1320は、決定した主機能の動作モードで主機能を実行することができるように組込み制御装置1020における主機能の実行環境を構成する。
図10は、実施の形態2のセキュリティ装置を構成する組込み制御装置に記憶される主機能動作モードテーブルを模式的に図示する図である。
実行環境制御部1320は、主機能の動作モードの決定において、図10に図示される主機能動作モードテーブル1480を参照する。
主機能動作モードテーブル1480は、複数のセキュリティリスクステート1361,1362,1363,1364及び1365を含む。また、主機能動作モードテーブル1480は、複数のセキュリティリスクステート1361,1362,1363,1364及び1365にそれぞれ対応する主機能の複数の動作モード1501,1502,1503,1504及び1505を含む。
複数のセキュリティリスクステート1361,1362,1363,1364及び1365の各セキュリティリスクステートに対応する主機能の動作モードは、各セキュリティリスクステートに対応するセキュリティ機能に割り当てられておらず主機能に割り当てることができる計算機リソースにより実行可能であるように決定されている。
実行環境制御部1320は、主機能動作モードテーブル1480を参照し、主機能動作モードテーブル1480に含まれる複数のセキュリティリスクステート1361,1362,1363,1364及び1365から、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに一致するセキュリティリスクステートを選択する。また、実行環境制御部1320は、主機能動作モードテーブル1480に含まれる主機能の複数の動作モード1501,1502,1503,1504及び1505から、選択したセキュリティリスクステートに対応する主機能の動作モードを選択する。
主機能実行部1280は、選択した主機能の動作モードで主機能を実行する。
これらにより、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて、主機能の動作モードが決定される。また、実施の形態1において説明したようにセキュリティリスクステート決定部1260により決定されたセキュリティリスクステートに応じて主機能の実行環境が構成されることにより、主機能の実行環境は、決定された主機能の動作モードで主機能を実行することができる。
望ましくは、実行環境制御部1320は、セキュリティ機能の実行環境を構成した場合に、セキュリティリスクステート決定部1260により決定されたセキュリティリスクステートにおけるセキュリティ上の要求を満たすように主機能の動作モードを決定する。したがって、計算機リソースにより実行可能である一の主機能の動作モードが存在する場合であっても、当該一の主機能の動作モードがセキュリティリスクステート決定部1260により決定されたセキュリティステートにおけるセキュリティ上の要求を満たさない場合は、当該一の主機能の動作モードが採用されず、当該一の主機能の動作モードの機能より低い機能を有し当該一の主機能の動作モードの機能より低い機能を有する他の主機能の動作モードが採用される。
2.1 主機能動作モードテーブル
図10に図示されるセキュリティリスクステート1361に対応する主機能の動作モード1501は、フェールセーフモードである。フェールセーフモードにおいては、主機能の実行が急に停止されることはないが、主機能の実行が段階的に停止される。フェールセーフモードは、主機能の実行環境が主機能を実行する余裕を有するが、主機能の実行を長時間にわたって継続することが困難である場合に採用される。
図10に図示されるセキュリティリスクステート1361に対応する主機能の動作モード1501は、フェールセーフモードである。フェールセーフモードにおいては、主機能の実行が急に停止されることはないが、主機能の実行が段階的に停止される。フェールセーフモードは、主機能の実行環境が主機能を実行する余裕を有するが、主機能の実行を長時間にわたって継続することが困難である場合に採用される。
セキュリティリスクステート1363及び1365にそれぞれ対応する主機能の動作モード1503及び1505は、縮退動作継続モードである。縮退動作継続モードにおいては、主機能が縮退させられて主機能の一部の実行が継続される。縮退動作継続モードは、主機能の実行環境が主機能を実行することができるが、計算機リソースの制約から主機能の全体を実行することが困難であり主機能の一部のみを実行することが必要である場合に採用される。
セキュリティリスクステート1362及び1364にそれぞれ対応する主機能の動作モード1502及び1504は、動作時間の上限を有する本来動作継続モードである。本来動作継続モードにおいては、主機能の全体の実行が継続される。動作時間の上限を有する本来動作継続モードは、主機能の実行環境が主機能を実行することができ、計算機リソースが主機能に十分に割り当てられているが、主機能の実行が長時間にわたって継続された場合は計算機リソースが不足し組込み制御装置1020の安定性が低下することが見込まれる場合に採用される。
縮退動作継続モードで主機能の実行が継続されている時間が動作時間の上限を超えたにもかかわらず、セキュリティリスクステート決定部1260がセキュリティ上のリスクが解消したと判断しておらずセキュリティリスクステート決定部1260により決定されたセキュリティリスクステートが組込み機器1000に対するサイバー攻撃が行われていない場合のセキュリティリスクステートに変化しない場合は、主機能の動作モードは、動作時間の上限を有する本来動作継続モードから縮退動作継続モード又はフェールセーフモードへ移行する。
2.2 動作
図11は、実施の形態2のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合のGWの動作を示すフローチャートである。図12は、実施の形態2のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合の組込み制御装置の動作を示すフローチャートである。
図11は、実施の形態2のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合のGWの動作を示すフローチャートである。図12は、実施の形態2のセキュリティ装置における、組込み機器がサイバー攻撃を受けた場合の組込み制御装置の動作を示すフローチャートである。
図11に図示されるステップS201からS206までは、それぞれ図5に図示されるステップS101からS106までと同様のステップである。
実行環境制御部1320は、セキュリティリスクステートの受信に同期して、図12に図示されるステップS207からS213までを含む実行環境制御処理を開始する。
ステップS207においては、実行環境制御部1320が、セキュリティ機能テーブル1340を参照する。また、実行環境制御部1320は、通知されたセキュリティリスクステートに対応するセキュリティ機能の実行環境の構成内容、及び主機能の実行環境の構成内容を取得する。
ステップS207に続くステップS208においては、実行環境制御部1320が、主機能動作モードテーブル1480を参照する。また、実行環境制御部1320は、通知されたセキュリティリスクステートに対応する主機能の動作モードを取得する。
ステップS208に続くステップS209においては、実行環境制御部1320が、取得した主機能の実行環境の構成内容にしたがって主機能の実行環境を構成する。
ステップS209に続くステップS210においては、実行環境制御部1320が、取得したセキュリティ機能の実行環境の構成内容にしたがってセキュリティ機の実行環境を構成する。
ステップS210に続くステップS211においては、主機能の動作モードの変更の有無が判定される。ステップS211において主機能の動作モードが変更されたと判定された場合は、処理がステップS212に進められる。ステップS211において主機能の動作モードが変更されていないと判定された場合は、処理がステップS213に進められる。
主機能の動作モードが変更されたと判定された場合は、ステップS212において、変更後の主機能の動作モードで主機能が起動される。
ステップS211又はステップS212に続くステップS213においては、セキュリティ機能が起動される。
図13は、実施の形態2のセキュリティ装置における、組込み制御装置が主機能を実行している場合の組込み制御装置の動作を示すフローチャートである。
ステップS301においては、主機能実行部1280が、主機能を起動した後に、現在の主機能の動作モードが時間制約付き動作モードであるか否かを判定する。先述した例においては、動作時間の上限を有する本来動作継続モードが時間制約付きの動作モードに該当する。ステップS301において現在の主機能の動作モードが時間制約付き動作モードであると判定された場合は、処理がステップS302に進められる。ステップS301において現在の主機能の動作モードが時間制約付き動作モードでないと判定された場合は、処理がステップS304に進められる。
ステップS302においては、主機能実行部1280が、現在の主機能の動作モードで主機能の実行が継続されている実行継続時間があらかじめ設定された閾値を超えているか否かを判定する。ステップS302において現在の主機能の動作モードで主機能の実行が継続されている時間が閾値を超えていると判定された場合は、処理がステップS303に進められる。ステップS302において現在の主機能の動作モードで主機能の実行が継続されている時間が閾値を超えていないと判定された場合は、処理がステップS304に進められる。
現在の主機能の動作モードが時間制約付き動作モードであると判定され、現在の主機能の動作モードで主機能の実行が継続されている時間が閾値を超えていると判定された場合は、ステップS303において、主機能実行部1280が、主機能の動作モードを、時間制約付き動作モードから、時間制約付き動作モードの機能より低い機能を有し時間制約付き動作モードのセキュリティ上のリスクより低いセキュリティ上のリスクを有する別の動作モードに変更する。先述した例においては、フェールセーフモード及び縮退動作継続モードが別の動作モードに該当する。
ステップS304においては、主機能実行部1280が、主機能を実行する。現在の主機能の動作モードが時間制約付き動作モードでない場合、又は現在の主機能の動作モードが時間制約付き動作モードであるが実行継続時間が閾値を超えていない場合は、現在の主機能の動作モードで主機能が実行される。また、現在の主機能の動作モードが時間制約付き動作モードであり、実行継続時間が閾値を超えた場合は、別の動作モードで主機能が実行される。
したがって、主機能実行部1280は、時間制約付き動作モード、及び時間制約付き動作モードの機能より低い機能を有し時間制約付き動作モードのセキュリティ上のリスクより低いセキュリティ上のリスクを有する別の動作モードで主機能を実行することができる。また、主機能の動作モードが時間制約付き動作モードにされた後に、セキュリティリスクステートが変更されないまま時間制約付き動作モードで主機能の実行が継続されている時間が閾値を超えた場合は、主機能の動作モードが、時間制約付き動作モードから別の動作モードに変更される。
2.3 実施の形態2の効果
実施の形態2においても、実施の形態1と同様に、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方に応じて、組込み制御装置1020がサイバー攻撃に対抗するセキュリティ機能を実行することができるように組込み制御装置1020におけるセキュリティ機能の実行環境が構成される。このため、組込み制御装置1020における主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができる。特に、セキュリティ上のリスクが高い場合に高度なセキュリティ機能を実行することができる。
実施の形態2においても、実施の形態1と同様に、サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方に応じて、組込み制御装置1020がサイバー攻撃に対抗するセキュリティ機能を実行することができるように組込み制御装置1020におけるセキュリティ機能の実行環境が構成される。このため、組込み制御装置1020における主機能の実行への影響を抑制しながらセキュリティ機能を適切に実行することができる。特に、セキュリティ上のリスクが高い場合に高度なセキュリティ機能を実行することができる。
加えて、実施の形態2においては、主機能の動作モードが変更されることにより、計算機リソースの不足が主機能の実行時に予期せぬ不正動作を引き起こすことが抑制され、組込み制御装置1020の信頼性を向上することができる。
なお、本発明は、その発明の範囲内において、実施の形態を適宜、変形、省略することが可能である。
この発明は詳細に説明されたが、上記した説明は、すべての局面において、例示であって、この発明がそれに限定されるものではない。例示されていない無数の変形例が、この発明の範囲から外れることなく想定され得るものと解される。
1000 組込み機器、1020 組込み制御装置、1080 ゲートウェイ(GW)、1110 セキュリティ装置、1220 攻撃検知部、1260 セキュリティリスクステート決定部、1280 主機能実行部、1300 セキュリティ機能実行部、1320 実行環境制御部、1340 セキュリティ機能テーブル、1480 主機能動作モードテーブル。
Claims (7)
- 組込み制御装置(1020)により制御される組込み機器(1000)に対するサイバー攻撃の検知を行う攻撃検知部(1220)と、
前記検知の結果に基づいて、前記サイバー攻撃により生じるセキュリティ上の脅威の種類及び危険度の少なくとも一方を示すセキュリティリスクステートを決定するセキュリティリスクステート決定部(1260)と、
前記組込み制御装置(1020)に備えられ、前記セキュリティリスクステートに応じて、前記サイバー攻撃に対抗するセキュリティ機能を決定し、前記組込み制御装置(1020)が前記セキュリティ機能を実行することができるように、前記組込み制御装置(1020)における前記セキュリティ機能の実行環境を構成する実行環境制御部(1320)と、
を備えるセキュリティ装置(1110)。 - 前記実行環境制御部(1320)は、
前記セキュリティ機能の実行環境を構成した場合に、前記組込み機器(1000)を制御する主機能に割り当てることができる前記組込み制御装置(1020)の計算機リソースにより実行することができるように前記主機能の動作モードを決定し、
前記主機能の動作モードで前記主機能を実行することができるように前記組込み制御装置(1020)における前記主機能の実行環境を構成する
請求項1のセキュリティ装置(1110)。 - 前記実行環境制御部(1320)は、
前記セキュリティ機能の実行環境を構成した場合に、前記セキュリティリスクステートにおけるセキュリティ上の要求を満たすように前記主機能の動作モードを決定する
請求項2のセキュリティ装置(1110)。 - 前記主機能を実行する主機能実行部(1280)をさらに備え、
前記主機能実行部(1280)は、
時間制約付き動作モード、及び前記時間制約付き動作モードの機能より低い機能を有し前記時間制約付き動作モードのセキュリティ上のリスクより低いセキュリティ上のリスクを有する別の動作モードで前記主機能を実行することができ、
前記主機能の動作モードが前記時間制約付き動作モードにされた後に、前記セキュリティリスクステートが変更されないまま前記時間制約付き動作モードで前記主機能の実行が継続されている時間が閾値を超えた場合に、前記主機能の動作モードを、前記時間制約付き動作モードから前記別の動作モードに変更する
請求項2又は3のセキュリティ装置(1110)。 - 前記セキュリティ機能の実行環境を構成することは、前記セキュリティ機能を実行するCPUコアの割付け、CPUの動作モードの設定、割り込み用のCPUコアの割付け、I/O用のCPUコアの再割付け、及びキャッシュロックダウンの設定の少なくともひとつを含む
請求項1から4までのいずれかのセキュリティ装置(1110)。 - 前記実行環境制御部(1320)は、前記セキュリティリスクステートに応じて、前記組込み機器(1000)を制御する主機能の実行環境を構成し、
前記主機能の実行環境を構成することは、前記セキュリティ機能を実行しないCPUコアへの前記主機能のコアマイグレーション、メモリ使用量の制限、CPU使用率の制限、割り込み用のCPUコアの再割付け、I/O用のCPUコアの再割付け、キャッシュメンテナンス処理、及びメモリ管理ユニットの再設定の少なくともひとつを含む
請求項1から5までのいずれかのセキュリティ装置(1110)。 - 請求項1から6までのいずれかのセキュリティ装置(1110)を備える組込み機器(1000)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/014982 WO2019198137A1 (ja) | 2018-04-10 | 2018-04-10 | セキュリティ装置及び組込み機器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019198137A1 JPWO2019198137A1 (ja) | 2020-07-02 |
| JP6735952B2 true JP6735952B2 (ja) | 2020-08-05 |
Family
ID=68163157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020512961A Active JP6735952B2 (ja) | 2018-04-10 | 2018-04-10 | セキュリティ装置及び組込み機器 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11599640B2 (ja) |
| JP (1) | JP6735952B2 (ja) |
| CN (1) | CN111936991A (ja) |
| DE (1) | DE112018007217B4 (ja) |
| WO (1) | WO2019198137A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7344009B2 (ja) * | 2018-10-17 | 2023-09-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| JP7243326B2 (ja) * | 2019-03-15 | 2023-03-22 | オムロン株式会社 | コントローラシステム |
| CN115023701A (zh) | 2020-01-28 | 2022-09-06 | 三菱电机株式会社 | 认证符管理装置、认证符管理程序和认证符管理方法 |
| WO2021172451A1 (ja) * | 2020-02-27 | 2021-09-02 | パナソニックIpマネジメント株式会社 | 制御方法、プログラム、制御システム |
| JP7409247B2 (ja) * | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
| JP7354074B2 (ja) * | 2020-09-18 | 2023-10-02 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| TWI756974B (zh) | 2020-12-09 | 2022-03-01 | 財團法人工業技術研究院 | 機器學習系統及其資源配置方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1820262A (zh) * | 2003-06-09 | 2006-08-16 | 范拉诺公司 | 事件监控及管理 |
| JP2005100220A (ja) * | 2003-09-26 | 2005-04-14 | Konica Minolta Business Technologies Inc | サーバ装置及びその制御方法 |
| US7526806B2 (en) * | 2003-11-05 | 2009-04-28 | Cisco Technology, Inc. | Method and system for addressing intrusion attacks on a computer system |
| CN100429101C (zh) * | 2005-09-09 | 2008-10-29 | 中国科学院自动化研究所 | 汽车行驶安全监控系统及监控方法 |
| WO2008062647A1 (en) | 2006-11-02 | 2008-05-29 | Nec Corporation | Multiprocessor system, system configuration method in multiprocessor system, and program thereof |
| US8788570B2 (en) * | 2009-06-22 | 2014-07-22 | Citrix Systems, Inc. | Systems and methods for retaining source IP in a load balancing multi-core environment |
| JP5395036B2 (ja) | 2010-11-12 | 2014-01-22 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| DE202013103358U1 (de) | 2013-07-25 | 2013-09-19 | Kaspersky Lab, Zao | Selektive Einschätzung der Schädlichkeit von im Adressraum eines vertrauenswürdigen Prozesses ausgeführtem Software-Code |
| EP3061030A4 (en) * | 2013-10-24 | 2017-04-19 | McAfee, Inc. | Agent assisted malicious application blocking in a network environment |
| EP2892199B1 (en) * | 2014-01-06 | 2018-08-22 | Argus Cyber Security Ltd. | Global automotive safety system |
| CN103856371A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种用于信息系统的安全防护方法 |
| CN103905450B (zh) * | 2014-04-03 | 2017-05-31 | 国网河南省电力公司电力科学研究院 | 智能电网嵌入式设备网络检测评估系统与检测评估方法 |
| JP6369341B2 (ja) | 2015-01-30 | 2018-08-08 | 株式会社デンソー | 車載通信システム |
| JP6576676B2 (ja) * | 2015-04-24 | 2019-09-18 | クラリオン株式会社 | 情報処理装置、情報処理方法 |
| JP6345157B2 (ja) | 2015-06-29 | 2018-06-20 | クラリオン株式会社 | 車載情報通信システム及び認証方法 |
| JP6759572B2 (ja) * | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| JP6260066B2 (ja) | 2016-01-18 | 2018-01-17 | Kddi株式会社 | 車載コンピュータシステム及び車両 |
| WO2017183099A1 (ja) * | 2016-04-19 | 2017-10-26 | 三菱電機株式会社 | 中継装置 |
| EP3668756B1 (en) * | 2017-08-17 | 2023-08-02 | Red Bend Ltd. | Systems and methods for disabling a malicious ecu in a controller area network (can) bus |
| US10666767B1 (en) | 2018-01-30 | 2020-05-26 | State Farm Mutual Automobile Insurance Company | Systems and methods for vehicle configuration verification using smart contracts |
-
2018
- 2018-04-10 JP JP2020512961A patent/JP6735952B2/ja active Active
- 2018-04-10 US US16/964,609 patent/US11599640B2/en active Active
- 2018-04-10 CN CN201880090956.1A patent/CN111936991A/zh active Pending
- 2018-04-10 DE DE112018007217.7T patent/DE112018007217B4/de active Active
- 2018-04-10 WO PCT/JP2018/014982 patent/WO2019198137A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019198137A1 (ja) | 2019-10-17 |
| DE112018007217B4 (de) | 2022-03-17 |
| JPWO2019198137A1 (ja) | 2020-07-02 |
| US11599640B2 (en) | 2023-03-07 |
| US20210049275A1 (en) | 2021-02-18 |
| CN111936991A (zh) | 2020-11-13 |
| DE112018007217T5 (de) | 2020-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6735952B2 (ja) | セキュリティ装置及び組込み機器 | |
| US20210105288A1 (en) | Automated security policy generation for controllers | |
| JP2021128785A (ja) | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス | |
| EP2832070B1 (en) | Device for protecting a vehicle electronic system | |
| EP3522475A1 (en) | Apparatus, method and device for encapsulating heterogeneous function equivalent bodies | |
| JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
| US11283810B2 (en) | Communication control method and communication control device for substituting security function of communication device | |
| CN108259226B (zh) | 网络接口设备管理方法与装置 | |
| CA3021285C (en) | Methods and systems for network security | |
| WO2013049299A1 (en) | Enhanced security scada systems and methods | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP7439669B2 (ja) | ログ分析装置 | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| Hamad et al. | Intrusion response system for vehicles: Challenges and vision | |
| WO2020137852A1 (ja) | 情報処理装置 | |
| JP2019047177A (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| JP6978358B2 (ja) | 中継装置切り替えシステム | |
| Oberti et al. | Ext-taurum p2t: an extended secure can-fd architecture for road vehicles | |
| JP6964829B2 (ja) | ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法 | |
| KR101196366B1 (ko) | 서버보안을 위한 랜카드 시스템 | |
| US20220080989A1 (en) | Information processing apparatus, information processing method, and recording medium | |
| KR102447980B1 (ko) | 이중 네트워크 구조를 갖는 차량 및 그의 운용 방법 | |
| RU2790338C1 (ru) | Система и способ контроля доступа к данным | |
| CN115398427A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
| CN114726656A (zh) | 一种网络安全防护的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200326 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200326 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200608 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200714 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6735952 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |