JP7160206B2 - セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 - Google Patents
セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 Download PDFInfo
- Publication number
- JP7160206B2 JP7160206B2 JP2021536477A JP2021536477A JP7160206B2 JP 7160206 B2 JP7160206 B2 JP 7160206B2 JP 2021536477 A JP2021536477 A JP 2021536477A JP 2021536477 A JP2021536477 A JP 2021536477A JP 7160206 B2 JP7160206 B2 JP 7160206B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- risk
- information
- network
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体に関する。
下記の特許文献1には、車両のネットワークに接続された複数の車両制御装置と、これら車両制御装置間の通信を管理するゲートウェイとを含んで構成された車載通信システムが開示されている。
上記車載通信システムにおいては、前記ゲートウェイが二重化され、対策テーブルが装備されている。この対策テーブルには、通信において発生し得る不具合現象と、その不具合現象が、ゲートウェイの故障に起因するのか、ゲートウェイに対するセキュリティ攻撃に起因するのかの原因の確認方法と、対応する対策方法とが規定されている。
前記車載通信システムは、前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、対策テーブルに規定された確認方法に基づいて、検出された不具合現象の原因を判断し、ゲートウェイの故障と、ゲートウェイに対するセキュリティ攻撃とを適切に区別し、それぞれの場合について適切に対策するように構成されている。
前記車載通信システムは、前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、対策テーブルに規定された確認方法に基づいて、検出された不具合現象の原因を判断し、ゲートウェイの故障と、ゲートウェイに対するセキュリティ攻撃とを適切に区別し、それぞれの場合について適切に対策するように構成されている。
[発明が解決しようとする課題]
他方、セキュリティ攻撃と判断することができるまでの上記車載通信システムにおける危険度には種々の段階がある。
他方、セキュリティ攻撃と判断することができるまでの上記車載通信システムにおける危険度には種々の段階がある。
例えば、図11に示したような状況でセキュリティ攻撃と判断することができた場合には、判断を下した時点で危険度はすでにかなり高くなってしまっている。
図11に示した状況では、攻撃者は、セキュリティ攻撃と判断されるまでの、時間稼ぎ的・予備的攻撃を先に実施している。攻撃者は、まず、予備的攻撃としてECU3をネットワークから切り離す。そうすると、通信路におけるトラフィックは、一旦減少する。その後、攻撃者は攻撃用の不正のECUをネットワークに接続し、この不正のECUから不正なメッセージの送信を開始する。
そうすると通信路におけるトラフィックは徐々に増加してゆく。不正メッセージ送信開始当初は、トラフィックは通常の水準よりも一旦低くなっており、このため、トラフィックの増加が異常検出閾値Th1を超えるタイミングが通常より遅くなる。従って、攻撃の検知は遅くなる。このため、ゲートウェイECUにてトラフィックは監視されてはいるものの、攻撃を検知して通信を遮断するまでに時間を要し、長時間の攻撃に晒される結果、被害が大きくなる可能性が高くなってしまっている。
図11に示した状況では、攻撃者は、セキュリティ攻撃と判断されるまでの、時間稼ぎ的・予備的攻撃を先に実施している。攻撃者は、まず、予備的攻撃としてECU3をネットワークから切り離す。そうすると、通信路におけるトラフィックは、一旦減少する。その後、攻撃者は攻撃用の不正のECUをネットワークに接続し、この不正のECUから不正なメッセージの送信を開始する。
そうすると通信路におけるトラフィックは徐々に増加してゆく。不正メッセージ送信開始当初は、トラフィックは通常の水準よりも一旦低くなっており、このため、トラフィックの増加が異常検出閾値Th1を超えるタイミングが通常より遅くなる。従って、攻撃の検知は遅くなる。このため、ゲートウェイECUにてトラフィックは監視されてはいるものの、攻撃を検知して通信を遮断するまでに時間を要し、長時間の攻撃に晒される結果、被害が大きくなる可能性が高くなってしまっている。
また、図12に示したような状況でセキュリティ攻撃と判断された場合にも、判断を下した時点で危険度はすでに高くなってしまっている。
攻撃者は、まず、予備的な攻撃として、センサECUに電気的な攻撃を加え(例えば、車速パルスにノイズを印加し)、センサの出力値に改変を加える。続いて、攻撃のための不正のECUをネットワークに接続し、この不正のECUから不正な制御メッセージの送信を開始する。
ゲートウェイECUは、センサ値と制御メッセージとの整合性を判定しているが、センサ値は改変され、不正な制御メッセージの送信を受け、センサ値と制御メッセージとの整合性を正しく判定できない状態に陥る。その後、追加の攻撃を種々受けた結果、ようやく攻撃を検知できることとなり、例え攻撃を検知できたとしても、攻撃を検知できた時点では、危険度はすでに高まっており、被害が大きくなる可能性が高くなってしまっている。
攻撃者は、まず、予備的な攻撃として、センサECUに電気的な攻撃を加え(例えば、車速パルスにノイズを印加し)、センサの出力値に改変を加える。続いて、攻撃のための不正のECUをネットワークに接続し、この不正のECUから不正な制御メッセージの送信を開始する。
ゲートウェイECUは、センサ値と制御メッセージとの整合性を判定しているが、センサ値は改変され、不正な制御メッセージの送信を受け、センサ値と制御メッセージとの整合性を正しく判定できない状態に陥る。その後、追加の攻撃を種々受けた結果、ようやく攻撃を検知できることとなり、例え攻撃を検知できたとしても、攻撃を検知できた時点では、危険度はすでに高まっており、被害が大きくなる可能性が高くなってしまっている。
特許文献1記載の上記車載通信システムにおいては、上記したような、予備的な攻撃までは察知しておらず、セキュリティ攻撃と判断が下された時点で、すでにシステムにおける危険度が高くなってしまっている状況は考慮されていない。従って、セキュリティ攻撃と判断が下された時点における攻撃による危険度の状況を把握した、危険度の状況に応じた適切な対応(セキュリティ対策)を取ることは不可能であるという課題があった。
本発明は上記課題に鑑みなされたものであって、機器ネットワークに対する潜在的な攻撃をも考慮し、これら攻撃の危険度の状況を把握し、危険度の状況に応じた適切な攻撃対応(セキュリティ対策)を迅速に実施することができるセキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体を提供することを目的としている。
上記目的を達成するために、本開示に係るセキュリティ装置(1)は、1以上の機器が通信路を介して接続された機器ネットワークに含まれるセキュリティ装置であって、
前記機器ネットワークに発生した異常に基づいて攻撃を検知する攻撃検知部と、
前記機器ネットワークに含まれる前記機器やセンサの状態に関する情報(以下、ネットワーク情報という)を取得するネットワーク情報取得部と、
前記ネットワーク情報に基づいて、前記機器ネットワークにおける現在の危険度を算出する危険度算出部と、
前記攻撃検知部において攻撃が検知された場合、前記危険度算出部において算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する攻撃対応決定部と、
を備えていることを特徴としている。
前記機器ネットワークに発生した異常に基づいて攻撃を検知する攻撃検知部と、
前記機器ネットワークに含まれる前記機器やセンサの状態に関する情報(以下、ネットワーク情報という)を取得するネットワーク情報取得部と、
前記ネットワーク情報に基づいて、前記機器ネットワークにおける現在の危険度を算出する危険度算出部と、
前記攻撃検知部において攻撃が検知された場合、前記危険度算出部において算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する攻撃対応決定部と、
を備えていることを特徴としている。
上記セキュリティ装置(1)によれば、前記攻撃検知部において攻撃が検知された場合、前記危険度算出部において算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応が決定されるので、危険度が高い場合には、より迅速にセキュリティレベルを上げた対応を実施することができ、他方、危険度が低い場合には、機能制限のレベルを下げた適切な条件で前記攻撃対応を迅速に実施することができる。
なお、前記通信路は、有線の通信路であってもよいし、無線の通信路であってもよいし、有線と無線とを含む通信路であってもよい。
なお、前記通信路は、有線の通信路であってもよいし、無線の通信路であってもよいし、有線と無線とを含む通信路であってもよい。
また、本開示に係るセキュリティ装置(2)は、上記セキュリティ装置(1)において、
前記危険度算出部が、前記ネットワーク情報における危険要因毎に予め割り振られた点数を基に危険度を算出するものであることを特徴としている。
危険要因としては、例えば、ECUとの通信断絶、一時的な通信エラー検出、センサ値の異常、ハードウェア故障、などが挙げられ、それぞれの要因毎に予め危険度を考慮し、(2.0)、(0.1)などと点数を割り振っておく。
前記危険度算出部が、前記ネットワーク情報における危険要因毎に予め割り振られた点数を基に危険度を算出するものであることを特徴としている。
危険要因としては、例えば、ECUとの通信断絶、一時的な通信エラー検出、センサ値の異常、ハードウェア故障、などが挙げられ、それぞれの要因毎に予め危険度を考慮し、(2.0)、(0.1)などと点数を割り振っておく。
上記セキュリティ装置(2)によれば、適切な前記危険度を迅速に算出することができることとなり、従って、危険度の状況に応じた適切な攻撃対応を迅速に実施することができることとなる。
また、本開示に係るセキュリティ装置(3)は、上記セキュリティ装置(1)又は(2)において、
算出された前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部を備え、
前記攻撃対応決定部が、
前記テーブル情報に基づいて、前記攻撃対応を決定するものであることを特徴としている。
算出された前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部を備え、
前記攻撃対応決定部が、
前記テーブル情報に基づいて、前記攻撃対応を決定するものであることを特徴としている。
上記セキュリティ装置(3)によれば、前記実施条件記憶部には、前記危険度と、攻撃対応との関係を示すテーブル情報が記憶されているので、前記攻撃対応決定部が前記テーブル情報を用いて攻撃対応を決定することで、算出された前記危険度に最適化された攻撃対応を迅速に決定することができ、攻撃対応の最適化・高速化を実現することができる。
また、本開示に係るセキュリティ装置(4)は、上記セキュリティ装置(1)~(3)のいずれかにおいて、
前記攻撃の種類と、前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部を備え、
前記攻撃対応決定部が、
前記テーブル情報に基づいて、前記攻撃の種類及び算出された前記危険度情報の組み合わせ毎に前記攻撃対応を決定するものであることを特徴としている。
前記攻撃の種類と、前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部を備え、
前記攻撃対応決定部が、
前記テーブル情報に基づいて、前記攻撃の種類及び算出された前記危険度情報の組み合わせ毎に前記攻撃対応を決定するものであることを特徴としている。
上記セキュリティ装置(4)によれば、前記実施条件記憶部には、前記攻撃の種類と、前記危険度と、攻撃対応との関係を示すテーブル情報が記憶されているので、前記攻撃対応決定部が前記テーブル情報を用いて攻撃対応を決定することで、前記攻撃の種類と、算出された前記危険度との組み合わせ毎に最適化された攻撃対応を迅速に決定することができ、攻撃対応の最適化・高速化を実現することができる。
例えば、前記攻撃の対象となった前記機器の状態が、危険度が高い状態である場合、前記テーブル情報を用いたレベルの高い攻撃対応を迅速に実行することで、前記攻撃による被害の拡大を速やかに阻止することができる。
また、前記攻撃の対象となった前記機器の状態が、危険度がさほど高くない状態である場合、前記テーブル情報を用いた、前記機器の機能が過剰に制限されることのない攻撃対応を実行することで、前記機器の利便性が損なわれることのない攻撃対応を実行することが可能となる。
また、前記攻撃の対象となった前記機器の状態が、危険度がさほど高くない状態である場合、前記テーブル情報を用いた、前記機器の機能が過剰に制限されることのない攻撃対応を実行することで、前記機器の利便性が損なわれることのない攻撃対応を実行することが可能となる。
また、本開示に係るセキュリティ装置(5)は、上記セキュリティ装置(1)~(4)のいずれかにおいて、
前記機器ネットワークに含まれる前記機器やセンサに対する攻撃危険度の状況に応じて、異常検出の閾値を変更するものであることを特徴としている。
例えば、危険度が高い場合の、異常検出の閾値を下げておけば、異常をより早く検出することが可能となり、攻撃をより早く検知して、攻撃に対する対応をより早い段階で実施することができることとなり、攻撃による被害を低減することができる。
前記機器ネットワークに含まれる前記機器やセンサに対する攻撃危険度の状況に応じて、異常検出の閾値を変更するものであることを特徴としている。
例えば、危険度が高い場合の、異常検出の閾値を下げておけば、異常をより早く検出することが可能となり、攻撃をより早く検知して、攻撃に対する対応をより早い段階で実施することができることとなり、攻撃による被害を低減することができる。
上記セキュリティ装置(5)によれば、通信異常や制御異常を検出するのを早めることができ、攻撃に対する対応をより早い段階で実施することができ、攻撃による被害をより一層低減することが可能となる。
また、本開示に係るセキュリティ装置(6)は、上記セキュリティ装置(1)~(5)のいずれかにおいて、
前記機器が、車両に搭載される制御装置であり、
前記機器ネットワークが、車載ネットワークであることを特徴としている。
前記機器が、車両に搭載される制御装置であり、
前記機器ネットワークが、車載ネットワークであることを特徴としている。
上記セキュリティ装置(6)によれば、1以上の前記制御装置が前記通信路を介して接続された前記車載ネットワークに対して攻撃を受けた場合、前記車両単体で、前記攻撃に対して、これら攻撃の危険度が考慮された適切な条件で前記攻撃対応を効率良く迅速に実行することができる。従って、前記車両のユーザは、セキュリティの脅威に対して不安を抱くことなく、より安心して乗車することが可能となる。
また、本開示に係るセキュリティ装置(7)は、上記セキュリティ装置(6)において、
前記制御装置には、前記車両の走行系制御装置、運転支援系制御装置、ボディ系制御装置、情報系制御装置、及び診断用コネクタ装置のうちの少なくとも1つが含まれていることを特徴としている。
前記制御装置には、前記車両の走行系制御装置、運転支援系制御装置、ボディ系制御装置、情報系制御装置、及び診断用コネクタ装置のうちの少なくとも1つが含まれていることを特徴としている。
上記セキュリティ装置(7)によれば、上記した制御装置のいずれかに対する攻撃が含まれている場合であっても、これら攻撃に対して、これら攻撃の危険度が考慮された適切な条件で前記攻撃対応を迅速に適確に実行することができる。
また、本開示に係るセキュリティ装置(8)は、上記セキュリティ装置(1)~(5)のいずれかにおいて、
前記機器が、FAシステムを構成する産業機器であり、
前記機器ネットワークが、産業機器ネットワークであることを特徴としている。
前記機器が、FAシステムを構成する産業機器であり、
前記機器ネットワークが、産業機器ネットワークであることを特徴としている。
上記セキュリティ装置(8)によれば、1以上の前記制御装置が前記通信路を介して接続された前記機器ネットワークに対して攻撃を受けた場合、前記産業機器単体で、前記攻撃に対して、これら攻撃の危険度が考慮された適切な条件で前記攻撃対応を効率良く迅速に実行することができる。従って、前記産業機器のユーザは、セキュリティの脅威に対して不安を抱くことなく、より安心して産業機器を使用することが可能となる。
また、本開示に係る攻撃対応処理方法(1)は、1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータが実行する攻撃対応処理方法であって、
前記機器ネットワークの状態に関する情報を取得して前記機器ネットワークの現在の危険度を算出する危険度算出ステップと、
前記機器ネットワークに発生した異常状況に基づいて攻撃を検知する攻撃検知ステップと、
算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する対応決定ステップと、
決定された前記攻撃対応を実施する対応実施ステップとを含んでいることを特徴としている。
前記機器ネットワークの状態に関する情報を取得して前記機器ネットワークの現在の危険度を算出する危険度算出ステップと、
前記機器ネットワークに発生した異常状況に基づいて攻撃を検知する攻撃検知ステップと、
算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する対応決定ステップと、
決定された前記攻撃対応を実施する対応実施ステップとを含んでいることを特徴としている。
上記攻撃対応処理方法(1)によれば、前記攻撃検知ステップにおいて攻撃が検知された場合、前記危険度算出ステップにおいて算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応が決定されるので、危険度が高い場合には、セキュリティレベルを上げた対応を迅速に実施することができ、他方、危険度が低い場合には、機能制限のレベルを下げた適切な条件で前記攻撃対応を迅速に実施することができる。
また、本開示に係る攻撃対応処理方法(2)は、上記攻撃対応処理方法(1)において、
前記危険度算出ステップが、
通信異常情報を取得するステップと、
ハードウェア異常情報を取得するステップと、
センサ値の異常を判定し、センサ値異常情報を作成するステップと、
を含んで構成されていることを特徴としている。
上記攻撃対応処理方法(2)によれば、前記機器ネットワークに生じ得る危険を適確に把握することができ、前記危険度を高精度に適切に算出することが可能となる。
前記危険度算出ステップが、
通信異常情報を取得するステップと、
ハードウェア異常情報を取得するステップと、
センサ値の異常を判定し、センサ値異常情報を作成するステップと、
を含んで構成されていることを特徴としている。
上記攻撃対応処理方法(2)によれば、前記機器ネットワークに生じ得る危険を適確に把握することができ、前記危険度を高精度に適切に算出することが可能となる。
また、本開示に係る攻撃対応処理方法(3)は、上記攻撃対応処理方法(2)において、
さらに、各異常情報毎の点数を、予め作成された異常情報点数テーブルから取得するステップと、
取得した点数の合計値から危険度を算出するステップと、
を含んでいることを特徴としている。
上記攻撃対応処理方法(3)によれば、適切な前記危険度を迅速に算出することができることとなり、従って、危険度の状況に応じた適切な攻撃対応を迅速に実施することができることとなる。
さらに、各異常情報毎の点数を、予め作成された異常情報点数テーブルから取得するステップと、
取得した点数の合計値から危険度を算出するステップと、
を含んでいることを特徴としている。
上記攻撃対応処理方法(3)によれば、適切な前記危険度を迅速に算出することができることとなり、従って、危険度の状況に応じた適切な攻撃対応を迅速に実施することができることとなる。
また、本開示に係る攻撃対応処理方法(4)は、上記攻撃対応処理方法(1)~(3)のいずれかにおいて、
前記対応決定ステップが、
算出された危険度を取得するステップと、
予め作成された危険度と危険度に応じた対応が定義づけられたテーブルを呼び出すステップと、
算出された危険度から前記対応テーブルに基づいて対応を決定するステップと、
を含んでいることを特徴としている。
前記対応決定ステップが、
算出された危険度を取得するステップと、
予め作成された危険度と危険度に応じた対応が定義づけられたテーブルを呼び出すステップと、
算出された危険度から前記対応テーブルに基づいて対応を決定するステップと、
を含んでいることを特徴としている。
上記攻撃対応処理方法(4)によれば、適切な前記危険度を迅速に算出することができると共に、各危険度の状況に応じた最適な攻撃対応を迅速に実施することができることとなる。
また、本開示に係るコンピュータプログラム(1)は、上記攻撃対応処理方法(1)~(4)のいずれかに記載の各ステップを、前記機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させることを特徴としている。
上記コンピュータプログラム(1)によれば、前記コンピュータに、適切な前記危険度を迅速に算出させることができ、前記危険度の状況に応じた最適な攻撃対応を迅速に実施させることができる。
上記コンピュータプログラムは、記憶媒体に保存されたコンピュータプログラムであってもよいし、通信ネットワークなどを介して転送可能なコンピュータプログラムであってもよい。
また、本開示に係るコンピュータプログラムが記憶されたコンピュータ読み取り可能な記憶媒体(1)は、上記攻撃対応処理方法(1)~(4)のいずれかに記載の各ステップを、前記機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させるためのコンピュータプログラムが記憶されていることを特徴としている。
上記コンピュータプログラムが記憶されたコンピュータ読み取り可能な記憶媒体(1)によれば、前記コンピュータに、適切な前記危険度を迅速に算出させることができ、前記危険度の状況に応じた最適な攻撃対応を迅速に実施させることができる。
以下、本発明に係るセキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体の実施の形態を図面に基づいて説明する。
[適用例]
図1は、実施の形態に係るセキュリティ装置が車載ネットワークシステムに適用された例を示す概略ブロック図である。
図1は、実施の形態に係るセキュリティ装置が車載ネットワークシステムに適用された例を示す概略ブロック図である。
車載ネットワーク2は、車両1に搭載された通信ネットワークシステムであり、OBDII(On-board diagnostics II)4、走行系ECU(Electronic Control Unit)群5、運転支援系ECU群6、ボディ系ECU群7、情報系ECU群8、及びゲートウェイECU10を含んで構成されている。
本実施の形態における車載ネットワーク2は、CAN(Controller Area Network)プロトコルに従って通信するネットワークとなっている。但し、車載ネットワーク2に、CAN以外の他の通信規格を適用することももちろん可能である。
また、走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8(以下、これらをまとめてECU群ともいう)は、車両1に搭載される制御装置の一例として挙げられており、さらに追加のECU群があっても差し支えない。
本実施の形態における車載ネットワーク2は、CAN(Controller Area Network)プロトコルに従って通信するネットワークとなっている。但し、車載ネットワーク2に、CAN以外の他の通信規格を適用することももちろん可能である。
また、走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8(以下、これらをまとめてECU群ともいう)は、車両1に搭載される制御装置の一例として挙げられており、さらに追加のECU群があっても差し支えない。
OBDII4、走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8は、通信路であるバス3を介して、ゲートウェイECU10のCH1、CH2、CH3、CH4、及びCH5にそれぞれ接続されている。なお、ゲートウェイECU10の有するCH数は、これら5つに限定されるものではない。
また、図1に示した例では、ECU群が機能系統ごとにゲートウェイECU10に接続されたセントラルゲートウェイ方式となっているが、ゲートウェイECU10の接続方式は、この方式に限定されるものではなく、各ECU群の間にゲートウェイECU10が接続された方式であってもよく、さらに他の方式であっても差し支えない。
また、図1に示した例では、ECU群が機能系統ごとにゲートウェイECU10に接続されたセントラルゲートウェイ方式となっているが、ゲートウェイECU10の接続方式は、この方式に限定されるものではなく、各ECU群の間にゲートウェイECU10が接続された方式であってもよく、さらに他の方式であっても差し支えない。
OBDII4は、故障診断、又は保守等を行うための診断器又はスキャンツールなどが接続されるポートを備えた診断用コネクタ装置の一例として示されている。
走行系ECU群5には、駆動系ECUと、シャーシ系ECUとが含まれている。駆動系ECUには、エンジン制御、モータ制御、燃料電池制御、EV(Electric Vehicle)制御、あるいはトランスミッション制御等の「走る」機能に関する制御ユニットが含まれている。シャーシ系ECUには、ブレーキ制御、又はステアリング制御等の「止まる、曲がる」機能に関する制御ユニットが含まれている。
運転支援系ECU群6には、自動ブレーキ支援機能、車線維持支援機能(LKA/Lane Keep Assistともいう)、定速走行・車間距離支援機能(ACC/Adaptive Cruise Controlともいう)、前方衝突警告機能、車線逸脱警報機能、死角モニタリング機能、交通標識認識機能、ドライバモニタリング機能等、走行系ECU群5などとの連携による自動安全性向上機能、又は快適運転実現機能(運転支援機能、又は自動運転機能)に関する制御ユニットが少なくとも1つ以上含まれている。
運転支援系ECU群6には、例えば、米国自動車技術会(SAE)が提示している自動運転レベルにおけるレベル1(ドライバ支援)、レベル2(部分的自動運転)、及びレベル3(条件付自動運転)の機能が装備されていてもよい。さらに、自動運転レベルのレベル4(高度自動運転)、レベル5(完全自動運転)の機能が装備されていてもよい。
ボディ系ECU群7には、ドアロック、スマートキー、パワーウィンドウ、エアコン、ライト、又はウィンカ等の車体の機能に関する制御ユニットが少なくとも1つ以上含まれている。
情報系ECU群8には、インフォテイメント装置、テレマティクス装置、又はITS(Intelligent Transport Systems)関連装置が含まれている。
インフォテイメント装置には、カーナビゲーション装置、あるいはオーディオ機器などが含まれ、テレマティクス装置には、携帯電話網等へ接続するための通信ユニットなどが含まれている。
ITS関連装置には、ETC(Electronic Toll Collection System)、又はITSスポットなどの路側機との路車間通信、若しくは車々間通信を行うための通信ユニットなどが含まれている。
インフォテイメント装置には、カーナビゲーション装置、あるいはオーディオ機器などが含まれ、テレマティクス装置には、携帯電話網等へ接続するための通信ユニットなどが含まれている。
ITS関連装置には、ETC(Electronic Toll Collection System)、又はITSスポットなどの路側機との路車間通信、若しくは車々間通信を行うための通信ユニットなどが含まれている。
また、外部インターフェースがゲートウェイECU10に接続されていてもよい。外部インターフェースには、例えば、Bluetooth(登録商標)、Wi-Fi(登録商標)、USB(Universal Serial Bus)ポート、又はメモリーカードスロットなどが含まれる。
ゲートウェイECU10は、車載ネットワーク2に含まれる各ECU群との間で、CANプロトコルに従ってフレーム(メッセージ)の授受を行う機能を有し、本実施の形態に係るセキュリティ装置として機能する。
走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8、及びゲートウェイECU10の各ECUは、1つ以上のプロセッサ、メモリ、及び通信モジュールなどを含むコンピュータ装置で構成されている。そして、各ECUに搭載されたプロセッサが、メモリに記憶されたプログラムを読み出し、プログラムを解釈し実行することで、各ECUで所定の制御が実行されるようになっている。
[機能構成例1]
図2は、実施の形態に係るゲートウェイECU10の機能構成例を示すブロック図である。
ゲートウェイECU10は、ゲートウェイ機能部11と、セキュリティ制御部12とを含んで構成されている。セキュリティ制御部12に、本実施の形態に係るセキュリティ装置の機能が実装されている。
ゲートウェイECU10は、ハードウェアとして、プログラムが格納されるROM(Read Only Memory)、RAM(Random Access Memory)などを含むメモリ、これらメモリからプログラムを読み出して実行するCPU(Central Processing Unit)などのプロセッサ、及び車載ネットワーク2に接続するための通信モジュールなどを含んで構成されている。
図2は、実施の形態に係るゲートウェイECU10の機能構成例を示すブロック図である。
ゲートウェイECU10は、ゲートウェイ機能部11と、セキュリティ制御部12とを含んで構成されている。セキュリティ制御部12に、本実施の形態に係るセキュリティ装置の機能が実装されている。
ゲートウェイECU10は、ハードウェアとして、プログラムが格納されるROM(Read Only Memory)、RAM(Random Access Memory)などを含むメモリ、これらメモリからプログラムを読み出して実行するCPU(Central Processing Unit)などのプロセッサ、及び車載ネットワーク2に接続するための通信モジュールなどを含んで構成されている。
ゲートウェイ機能部11は、各ECU群とバス3を介してフレーム(メッセージ)を転送する制御を行う機能を備えており、例えば、図示しないフレーム送受信部、フレーム解釈部、及びフレーム変換部など、車載ネットワーク2の各ECU群との間でCANプロトコルに従って相互通信するために必要な構成が含まれている。
CANプロトコルにおけるフレームは、例えば、データフレーム、リモートフレーム、オーバーロードフレーム、及びエラーフレームを含んで構成されている。
データフレームは、SOF(Start Of Frame)、ID、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ(DEL)、ACK(Acknowledgement)スロット、ACKデリミタ(DEL)、及びEOF(End Of Frame)の各フィールドを含んで構成されている。
データフレームは、SOF(Start Of Frame)、ID、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ(DEL)、ACK(Acknowledgement)スロット、ACKデリミタ(DEL)、及びEOF(End Of Frame)の各フィールドを含んで構成されている。
セキュリティ制御部12は、ネットワーク情報取得部21、危険度算出部22、攻撃検知部23、攻撃対応決定部24、対応実施部25、実施条件記憶部31を含んで構成されている。
セキュリティ制御部12は、ハードウェアとして、上記各部で実行されるプログラムが格納されるROM、RAMなどを含むメモリ、これらメモリからプログラムを読み出して実行するプロセッサなどを含んで構成され、これらハードウェアとプログラムとが協働することによって、上記各部の機能が実現されるようになっている。
ネットワーク情報取得部21は、ゲートウェイECU10とバス3を介して接続された各ECU群の状態に関するネットワーク情報を取得する処理を行う。これらネットワーク情報には、通信状況、各種センサ値の状況、ハードウェアの故障状況なども含まれ、換言すれば、車両1の状態に関するすべての情報が含まれている。ネットワーク情報取得部21で取得された前記ネットワーク情報は危険度算出部22に送出される。
危険度算出部22は、ネットワーク情報取得部21から送られてくるネットワーク情報に基づいて、現在のセキュリティ攻撃に関する危険度を算出する。
危険度算出部22には、例えば、図5に示すような、危険度算出のための危険要因のテーブルが格納されており、この危険要因テーブルに基づいて、ネットワーク情報取得部21から送られてくるネットワーク情報を元に危険度を算出するようになっている。
危険度算出部22には、例えば、図5に示すような、危険度算出のための危険要因のテーブルが格納されており、この危険要因テーブルに基づいて、ネットワーク情報取得部21から送られてくるネットワーク情報を元に危険度を算出するようになっている。
攻撃検知部23は、ゲートウェイ機能部11から取得したフレームに基づいて、車載ネットワーク2に発生した異常(フレーム異常、又はバス異常など)を検出し、検出された異常に対応する攻撃の種類を特定する処理を行う。また、攻撃検知部23は、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理も行う。攻撃検知部23で特定又は推定された攻撃の情報が攻撃対応決定部24に送出される。
フレーム異常は、例えば、フレームのID毎に設定されるRTR、DLC、ペイロード、受信周期などのパラメータを確認することで検出される。フレーム異常は、CAN信号単体での異常を表している。
また、バス異常は、例えば、CH1~CH5の各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、これらバス3に出現するIDなどのパラメータを確認することで検出される。バス異常は、CAN信号の状況的な異常を表している。
また、バス異常は、例えば、CH1~CH5の各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、これらバス3に出現するIDなどのパラメータを確認することで検出される。バス異常は、CAN信号の状況的な異常を表している。
攻撃の種類を特定する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている異常検出パターン(複数の異常検出パラメータを含む)とを照合して、検出した異常に対応する攻撃の種類を特定する処理を行う。
また、攻撃の種別を推定する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている攻撃推定パターン(複数の攻撃推定パラメータを含む)とを照合して、検出した異常に近い攻撃の種類を推定する処理を行う。
また、攻撃の種別を推定する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている攻撃推定パターン(複数の攻撃推定パラメータを含む)とを照合して、検出した異常に近い攻撃の種類を推定する処理を行う。
攻撃対応決定部24に送出される攻撃情報は、例えば、ネットワーク情報取得部21でネットワーク情報が収集され、危険度が算出された所定時間に対応する期間に取得された攻撃情報とすることができる。
攻撃対応決定部24は、危険度算出部22で算出された危険度と、実施条件記憶部31に記憶されている対応情報とに基づいて、実施すべき攻撃対応を決定する処理を行う。攻撃対応決定部24で決定された攻撃対応の情報が対応実施部25に送出される。
実施条件記憶部31には、危険度算出部22で算出された危険度ごとに、実施すべき攻撃対応情報が記憶されている。
図7は、実施条件記憶部31に記憶されている攻撃対応情報テーブルの一例を示した図である。
例えば、算出された危険度が0又は1の場合は、通信の遮断とログへの記録が攻撃対応として規定され、算出された危険度が2又は3の場合には、さらに、自動運転の停止などの機能縮退が攻撃対応として規定されている。
算出された危険度が9の場合は、危険度8までのすべての対応に加え、「車両が重大なセキュリティ攻撃を受けている虞があります。すぐに最寄りのディーラーで点検を受けてください」などの警告が表示される。
図7は、実施条件記憶部31に記憶されている攻撃対応情報テーブルの一例を示した図である。
例えば、算出された危険度が0又は1の場合は、通信の遮断とログへの記録が攻撃対応として規定され、算出された危険度が2又は3の場合には、さらに、自動運転の停止などの機能縮退が攻撃対応として規定されている。
算出された危険度が9の場合は、危険度8までのすべての対応に加え、「車両が重大なセキュリティ攻撃を受けている虞があります。すぐに最寄りのディーラーで点検を受けてください」などの警告が表示される。
対応実施部25は、攻撃対応決定部24で決定された攻撃対応を実施する。
なお、ゲートウェイECU10が、攻撃を検知する構成は上記のものに限定されない。例えば、別の実施の形態では、攻撃検知部23と同様の機能をクラウドコンピュータ上に設け、クラウドコンピュータ側で特定又は推定された攻撃情報を、外部の通信ネットワークを介した通信により取得する構成としてもよい。
[処理動作例]
図3は、実施の形態に係るゲートウェイECU10を構成するセキュリティ制御部12が行う処理動作を示した概略フローチャートである。
図3は、実施の形態に係るゲートウェイECU10を構成するセキュリティ制御部12が行う処理動作を示した概略フローチャートである。
まず、ステップS1では、セキュリティ制御部12は、危険度算出処理を行う。この危険度算出処理の詳細は、図4のフローチャートに示されている。
危険度算出処理を終えると、次にステップS2に進み、ステップS2では、セキュリティ攻撃の検知処理を行う。
危険度算出処理を終えると、次にステップS2に進み、ステップS2では、セキュリティ攻撃の検知処理を行う。
セキュリティ攻撃の検知処理は、ここでは特に限定されないが、例えば、上記したように、ゲートウェイ機能部11から取得したフレームに基づいて、車載ネットワーク2に発生した異常(フレーム異常、又はバス異常など)を検出し、検出された異常に対応する攻撃の種類を特定する処理を行う。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理も行う。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理も行う。
フレーム異常は、例えば、フレームのID毎に設定されるRTR、DLC、ペイロード、受信周期などのパラメータを確認することで検出される。フレーム異常は、CAN信号単体での異常を表している。
また、バス異常は、例えば、CH1~CH5の各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、これらバス3に出現するIDなどのパラメータを確認することで検出される。バス異常は、CAN信号の状況的な異常を表している。
また、バス異常は、例えば、CH1~CH5の各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、これらバス3に出現するIDなどのパラメータを確認することで検出される。バス異常は、CAN信号の状況的な異常を表している。
攻撃の種類を特定する処理では、例えば、最初の異常が検出されてから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている異常検出パターン(複数の異常検出パラメータを含む)とを照合し、検出された異常に対応する攻撃の種類を特定する処理を行う。
また、攻撃の種別を推定する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている攻撃推定パターン(複数の攻撃推定パラメータを含む)とを照合し、検出された異常に近い攻撃の種類を推定する処理を行う。
また、攻撃の種別を推定する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている攻撃推定パターン(複数の攻撃推定パラメータを含む)とを照合し、検出された異常に近い攻撃の種類を推定する処理を行う。
セキュリティ攻撃の検知処理を終えると、次にステップS3に進み、ステップS3では、攻撃対応の決定処理を行う。
この攻撃対応決定処理の詳細は、図6のフローチャートに示されている。
攻撃対応の決定処理を終えると、次にステップS4に進み、ステップS4では、決定された攻撃対応を対応実施部25に出力する処理を行う。
この攻撃対応決定処理の詳細は、図6のフローチャートに示されている。
攻撃対応の決定処理を終えると、次にステップS4に進み、ステップS4では、決定された攻撃対応を対応実施部25に出力する処理を行う。
図4に示した危険度算出処理のフローを説明する。
まず、ステップS11では、通信異常情報の取得を行う。各ECU群との通信において、通信が途絶えたECUがあれば、それは攻撃を受けた結果か、あるいは真の攻撃の準備としての結果である確率が高く、危険度は高くなっている。かかる状況を、ステップS11では検出する。
まず、ステップS11では、通信異常情報の取得を行う。各ECU群との通信において、通信が途絶えたECUがあれば、それは攻撃を受けた結果か、あるいは真の攻撃の準備としての結果である確率が高く、危険度は高くなっている。かかる状況を、ステップS11では検出する。
ステップS11で、通信異常情報の取得を行うと、次に、ステップS12に進み、ステップS12では、ハードウェアにおける異常情報(ハードウェアの故障情報とは異なる)の取得を行う。ハードウェアに異常が発生していれば、それも攻撃により発生した確率が高く、前記通信異常よりも危険度は高くなっていると考えられる。
ステップS12で、ハードウェアにおける異常情報の取得を行うと、次に、ステップS13に進み、ステップS13では、各センサ値の異常を判定し、センサ値の異常情報の作成を行う。
通常ではあり得ないようなセンサ値であれば、攻撃によるものと、すぐに攻撃検知部23で判断できるが、すぐに攻撃とは判断できないような曖昧な数値によるセンサ値の異常であっても、実際には真の攻撃の準備的攻撃により発生している確率も高い。
ステップS13では、このようなセンサ値の異常も取得判定し、各センサ値の異常情報を収集し、センサ値の異常情報の作成を行う。
ステップS13では、このようなセンサ値の異常も取得判定し、各センサ値の異常情報を収集し、センサ値の異常情報の作成を行う。
ステップS13で、各センサ値の異常を判定し、センサ値の異常情報の作成を行うと、次に、ステップS14に進み、ステップS14では、各異常情報毎の点数を取得する。
この点数は、例えば、図5に示したような、危険要因毎の危険度点数テーブルが危険度算出部22に格納されており、この危険要因毎の危険度点数テーブルにアクセスし、このテーブルに基づいて、ネットワーク情報取得部21から送られてくるすべてのネットワーク情報を元に危険度を算出する。
この点数は、例えば、図5に示したような、危険要因毎の危険度点数テーブルが危険度算出部22に格納されており、この危険要因毎の危険度点数テーブルにアクセスし、このテーブルに基づいて、ネットワーク情報取得部21から送られてくるすべてのネットワーク情報を元に危険度を算出する。
次に、ステップS15に進み、ステップS15では、各危険要因毎に検出された危険度点数を合計し、セキュリティ攻撃の危険度を算出する。
次に、図6に示した攻撃対応決定処理のフローを説明する。
まず、ステップS31では、攻撃検知部23において行われた、攻撃の検知結果を取得する。
まず、ステップS31では、攻撃検知部23において行われた、攻撃の検知結果を取得する。
攻撃検知部23におけるセキュリティ攻撃の検知処理は、上記したように、ここでは特に限定されないが、例えば、ゲートウェイ機能部11から取得したフレームに基づいて、車載ネットワーク2に発生した異常(フレーム異常、又はバス異常など)を検出し、検出された異常に対応する攻撃の種類を特定する処理を行う。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理も行う。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理も行う。
ステップS31で、攻撃検知部23において行われた、攻撃の検知結果を取得すると、次にステップS32に進み、ステップS32では、攻撃の検知結果に基づいて攻撃が検知されたか否かの判断がなされる。ステップS32で攻撃がなかったと判断されると、次にステップS33に進み、ステップS33では、攻撃がなかった場合の対応が実施される。
他方、ステップS32で攻撃有りと判断されると、次にステップS34に進み、ステップS34では、危険度算出部22で算出された攻撃の危険度が取得される。
その後、ステップS35に進み、ステップS35では、実施条件記憶部31に格納されている、図7に示したような、攻撃対応情報テーブルを実施条件記憶部31から取得する。
攻撃対応情報テーブルには、上記したように、例えば、算出された危険度が0又は1の場合は、通信の遮断とログへの記録が攻撃対応として規定され、算出された危険度が2又は3の場合には、さらに、自動運転の停止などの機能縮退が攻撃対応として規定されている。
算出された危険度が9の場合は、危険度8までのすべての対応に加え、「車両が重大なセキュリティ攻撃を受けている虞があります。すぐに最寄りのディーラーで点検を受けてください」などの警告表示が規定されている。
攻撃対応情報テーブルには、上記したように、例えば、算出された危険度が0又は1の場合は、通信の遮断とログへの記録が攻撃対応として規定され、算出された危険度が2又は3の場合には、さらに、自動運転の停止などの機能縮退が攻撃対応として規定されている。
算出された危険度が9の場合は、危険度8までのすべての対応に加え、「車両が重大なセキュリティ攻撃を受けている虞があります。すぐに最寄りのディーラーで点検を受けてください」などの警告表示が規定されている。
ステップS35で、攻撃対応情報テーブルを取得すると、その後、ステップS36に進み、ステップS36では、ステップS34で取得したセキュリティ攻撃の危険度と、ステップS35で取得した攻撃対応情報テーブルとを比較して危険度に応じた攻撃対応を決定する。
ステップS36で攻撃対応の決定処理を終えると、上記したように、図3に示したステップS4に進み、ステップS4では、決定された攻撃対応を対応実施部25に出力する処理が行われ、処理が終了する。
[作用・効果]
上記実施の形態に係るセキュリティ装置としてのゲートウェイECU10によれば、攻撃検知部23において攻撃が検知された場合、危険度算出部22において算出された危険度に基づいて、前記攻撃に対して実施すべき最適の攻撃対応が決定される。危険度が高い場合には、より迅速にセキュリティレベルを上げた対応を実施することができ、他方、危険度が低い場合には、機能制限のレベルを下げた適切な条件で前記攻撃対応を迅速に実施することができる。
また、危険度算出部22が、前記ネットワーク情報における危険要因毎に予め割り振られた点数を基に危険度を算出するものであるので、適切な危険度を迅速に算出することができることとなり、従って、危険度の状況に応じた適切な攻撃対応を迅速に実施させることができることとなる。
上記実施の形態に係るセキュリティ装置としてのゲートウェイECU10によれば、攻撃検知部23において攻撃が検知された場合、危険度算出部22において算出された危険度に基づいて、前記攻撃に対して実施すべき最適の攻撃対応が決定される。危険度が高い場合には、より迅速にセキュリティレベルを上げた対応を実施することができ、他方、危険度が低い場合には、機能制限のレベルを下げた適切な条件で前記攻撃対応を迅速に実施することができる。
また、危険度算出部22が、前記ネットワーク情報における危険要因毎に予め割り振られた点数を基に危険度を算出するものであるので、適切な危険度を迅速に算出することができることとなり、従って、危険度の状況に応じた適切な攻撃対応を迅速に実施させることができることとなる。
[機能構成例2]
図8は、別の実施の形態に係るゲートウェイECU10Aの機能構成例を示すブロック図である。
図8は、別の実施の形態に係るゲートウェイECU10Aの機能構成例を示すブロック図である。
図8に示したゲートウェイECU10Aが、図2に示したゲートウェイECU10と異なる点は、ゲートウェイECU10Aでは、攻撃検知部23で攻撃を検知する際の異常を検出する閾値を変更できる閾値変更部26を備えている点である。この閾値変更部26は、危険度算出部22で算出された危険度に応じて異常を検出する閾値を変更する。
より具体的には、危険度算出部22で算出された危険度が高い場合には、異常を検出する閾値を下げて、攻撃を早く検知できるようにする。
例えば、攻撃の危険度が高いと判断された場合には、図11に示した、異常検出の閾値Th1をTh2に下げることにより、攻撃の検知を早める制御を実施する。
例えば、攻撃の危険度が高いと判断された場合には、図11に示した、異常検出の閾値Th1をTh2に下げることにより、攻撃の検知を早める制御を実施する。
このように危険度が高い攻撃を早く検知できるようにすることにより、攻撃に対する対応をより早く実施できることとなり、セキュリティ攻撃による被害をより一層低減することが可能となる。
[機能構成例3]
図9は、さらに別の実施の形態に係るゲートウェイECU10Bの機能構成例を示すブロック図である。
図9は、さらに別の実施の形態に係るゲートウェイECU10Bの機能構成例を示すブロック図である。
図9に示したゲートウェイECU10Bが、図2に示したゲートウェイECU10と異なる点は、ゲートウェイECU10Bでは、実施条件記憶部31Bに、図10に示したような二次元的攻撃対応データベース・テーブルを備えている点である。
図10に示した攻撃対応データベース・テーブルでは、攻撃の種類とセキュリティ攻撃の危険度との組合せ毎に攻撃対応が規定されており、(攻撃の種類)×(セキュリティ攻撃の危険度)の組合せ毎の攻撃対応二次元テーブルにより、攻撃の種類・危険度に即した、よりきめの細かい攻撃対応が決定されることとなる。
本実施の形態に係る攻撃検知部23におけるセキュリティ攻撃の検知処理では、ゲートウェイ機能部11から取得したフレームに基づいて、車載ネットワーク2に発生した異常(フレーム異常、又はバス異常など)を検出し、検出された異常に対応する攻撃の種類を特定する処理が行われることとなる。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理が行われることとなる。
また、攻撃の種類が特定できなかった(例えば、未知の攻撃であった)場合に、検出された異常に対応する攻撃の種類を推定する処理が行われることとなる。
[変形例]
以上、本発明の実施の形態を説明したが、上記説明はあらゆる点において本発明のほんの一例に過ぎない。本発明の範囲を逸脱することなく、種々の改良や変更を実施することができることは言うまでもない。
以上、本発明の実施の形態を説明したが、上記説明はあらゆる点において本発明のほんの一例に過ぎない。本発明の範囲を逸脱することなく、種々の改良や変更を実施することができることは言うまでもない。
例えば、ゲートウェイECU10に実装されたセキュリティ制御部12を、他のECUに搭載してもよいし、セキュリティ制御部12が装備されたセキュリティECUを車載ネットワーク2に接続する構成としてもよい。
また、別の実施の形態に係るゲートウェイECU10では、セキュリティ制御部12に、車載ネットワーク2に接続された情報系ECU群8に含まれる報知装置を介して車内の乗員に、決定された攻撃対応に応じて、異常が発生したこと、攻撃が発生したことを報知したり、適切な運転操作、縮退運転の開始、継続、復帰、又は解除、異常発生後の対応などを報知したりする報知処理部が装備されていてもよい。
このような報知装置は、ナビゲーション装置、又はオーディオ機器などに適用され得る。係る構成によれば、前記報知処理部によって、前記報知装置を介して車内の乗員に異常などを報知することが可能となるので、乗員に、異常又は攻撃などに対して適切な対応を実施させることが可能となる。
また、さらに別の実施の形態に係るゲートウェイECU10では、セキュリティ制御部12に、車載ネットワーク2に接続された情報系ECU群8に含まれるテレマティクス装置、又はITS関連装置を介して車外に、上記した異常の発生又は攻撃の発生などを通報する通報処理部が装備されていてもよい。
係る構成によれば、前記通報処理部によって、テレマティクス装置、又はITS関連装置を介して車外に異常の発生又は攻撃の発生などを通報することが可能となる。したがって、例えば、周辺の他車、インフラ設備、ディーラー、メーカー、又は公的機関に、異常又は攻撃の発生などを知らせることができ、車外から異常又は攻撃に対して適切な対応を実施してもらうことも可能となる。
係る構成によれば、前記通報処理部によって、テレマティクス装置、又はITS関連装置を介して車外に異常の発生又は攻撃の発生などを通報することが可能となる。したがって、例えば、周辺の他車、インフラ設備、ディーラー、メーカー、又は公的機関に、異常又は攻撃の発生などを知らせることができ、車外から異常又は攻撃に対して適切な対応を実施してもらうことも可能となる。
また、上記実施の形態では、車載ネットワーク2に接続されたゲートウェイECU10、10A、10Bに本発明に係る技術思想が適用された例を説明した。車載ネットワーク2は、本発明に係る技術思想が適用される機器ネットワークの一例であり、他の機器ネットワーク、例えば、FA(Factory Automation)システムを構成する1以上の産業機器が通信路を介して接続された産業機器ネットワーク、家庭用機器が接続されたホーム機器ネットワーク、又は事務用機器が接続された事務機器ネットワークなどに含まれるセキュリティ装置にも本発明に係る技術思想は適用可能である。
上記のFAシステムには、例えば、各種物品の搬送システム、検査システム、ロボットを用いた組立システムなどが含まれる。また、制御装置には、プログラマブルコントローラ、モーション位置制御コントローラなどのコントローラ機器の他、各種のセンサ機器なども含まれる。
また、FAシステムにおいて各種の制御装置を接続する通信路は、有線でもよいし、無線でもよい。
また、機器ネットワークにおける通信プロトコルはCANプロトコルに限定されない。前記通信プロトコルは、例えば、FAシステムに用いられるCANOpen、又は他の派生的なプロトコルなどであってもよい。
また、FAシステムにおいて各種の制御装置を接続する通信路は、有線でもよいし、無線でもよい。
また、機器ネットワークにおける通信プロトコルはCANプロトコルに限定されない。前記通信プロトコルは、例えば、FAシステムに用いられるCANOpen、又は他の派生的なプロトコルなどであってもよい。
本発明は、車載機器、又は産業用機器などの1以上の機器が通信路を介して接続された機器ネットワークに発生した攻撃に対する攻撃対応を実行するセキュリティ装置関連の産業分野において広く利用することができる。
[付記]
本発明の実施の形態は、以下の付記の様にも記載され得るが、これらに限定されない。
(付記1)
1以上のECU群(5、6、7、8)がバス(3)を介して接続された車載ネットワーク(2)に含まれる少なくとも1以上のコンピュータが実行する攻撃対応処理方法であって、
車載ネットワーク(2)の状態に関する情報を取得して車載ネットワーク(2)の現在の危険度を算出する危険度算出ステップ(S1)と、
車載ネットワーク(2)に発生した異常状況に基づいて攻撃を検知する攻撃検知ステップ(S2)と、
算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する対応決定ステップ(S3)と、
決定された前記攻撃対応を実施する対応実施ステップ(S4)とを、含んでいることを特徴とする攻撃対応処理方法。
本発明の実施の形態は、以下の付記の様にも記載され得るが、これらに限定されない。
(付記1)
1以上のECU群(5、6、7、8)がバス(3)を介して接続された車載ネットワーク(2)に含まれる少なくとも1以上のコンピュータが実行する攻撃対応処理方法であって、
車載ネットワーク(2)の状態に関する情報を取得して車載ネットワーク(2)の現在の危険度を算出する危険度算出ステップ(S1)と、
車載ネットワーク(2)に発生した異常状況に基づいて攻撃を検知する攻撃検知ステップ(S2)と、
算出された前記危険度に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する対応決定ステップ(S3)と、
決定された前記攻撃対応を実施する対応実施ステップ(S4)とを、含んでいることを特徴とする攻撃対応処理方法。
1 車両
2 車載ネットワーク(機器ネットワーク)
3 バス
4 OBDII
5 走行系ECU群
6 運転支援系ECU群
7 ボディ系ECU群
8 情報系ECU群
10 ゲートウェイECU(セキュリティ装置)
11 ゲートウェイ機能部
12 セキュリティ制御部
21 ネットワーク情報取得部
22 危険度算出部
23 攻撃検知部
24 攻撃対応決定部
25 対応実施部
26 閾値変更部
31 実施条件記憶部
2 車載ネットワーク(機器ネットワーク)
3 バス
4 OBDII
5 走行系ECU群
6 運転支援系ECU群
7 ボディ系ECU群
8 情報系ECU群
10 ゲートウェイECU(セキュリティ装置)
11 ゲートウェイ機能部
12 セキュリティ制御部
21 ネットワーク情報取得部
22 危険度算出部
23 攻撃検知部
24 攻撃対応決定部
25 対応実施部
26 閾値変更部
31 実施条件記憶部
Claims (13)
- 1以上の機器が通信路を介して接続された機器ネットワークに含まれるセキュリティ装置であって、
前記機器ネットワークに発生した異常に基づいて攻撃を検知する攻撃検知部と、
前記機器ネットワークに含まれる前記機器やセンサの状態に関する情報(以下、ネットワーク情報という)を取得するネットワーク情報取得部と、
前記ネットワーク情報に基づいて、前記機器ネットワークにおける現在の危険度を算出する危険度算出部と、
前記攻撃検知部において攻撃が検知された場合、算出された前記危険度情報に基づいて、前記攻撃に対して実施すべき攻撃対応を決定する攻撃対応決定部と、
算出された前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部と、を備え、
前記テーブル情報は、攻撃の種類とセキュリティ攻撃の危険度との組合せ毎に攻撃対応が規定されており、
前記テーブル情報に基づいて、(攻撃の種類)×(セキュリティ攻撃の危険度)の組合せ毎の攻撃対応二次元テーブルにより、攻撃の種類・危険度に即した前記攻撃対応を決定する、
セキュリティ装置。 - 前記危険度算出部が、前記ネットワーク情報における危険要因毎に予め割り振られた点数を基に危険度を算出するものであることを特徴とする請求項1記載のセキュリティ装置。
- 前記攻撃の種類と、前記危険度と、攻撃対応との関係を示すテーブル情報が記憶された実施条件記憶部を備え、
前記攻撃対応決定部が、
前記テーブル情報に基づいて、前記攻撃の種類及び算出された前記危険度情報の組み合わせ毎に前記攻撃対応を決定するものであることを特徴とする請求項1又は請求項2記載のセキュリティ装置。 - 前記機器ネットワークに含まれる前記機器やセンサに対する攻撃危険度の状況に応じて、異常検出の閾値を変更するものであることを特徴とする請求項1~3のいずれかの項に記載のセキュリティ装置。
- 前記機器が、車両に搭載される制御装置であり、
前記機器ネットワークが、車載ネットワークであることを特徴とする請求項1~4のいずれかの項に記載のセキュリティ装置。 - 前記制御装置には、
前記車両の走行系制御装置、運転支援系制御装置、ボディ系制御装置、情報系制御装置、及び診断用コネクタ装置のうちの少なくとも1つが含まれていることを特徴とする請求項5記載のセキュリティ装置。 - 前記機器が、FAシステムを構成する産業機器であり、
前記機器ネットワークが、産業機器ネットワークであることを特徴とする請求項1~4のいずれかの項に記載のセキュリティ装置。 - 1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータが実行する攻撃対応処理方法であって、
前記機器ネットワークの状態に関する情報を取得して前記機器ネットワークの現在の危険度を算出する危険度算出ステップと、
前記機器ネットワークに発生した異常状況に基づいて攻撃を検知する攻撃検知ステップと、
予め記憶された、算出された前記危険度と攻撃対応との関係を示すとともに、攻撃の種類とセキュリティ攻撃の危険度との組合せ毎に攻撃対応が規定されたテーブル情報に基づいて、(攻撃の種類)×(セキュリティ攻撃の危険度)の組合せ毎の攻撃対応二次元テーブルにより、攻撃の種類・危険度に即した、前記攻撃に対して実施すべき攻撃対応を決定する対応決定ステップと、
決定された前記攻撃対応を実施する対応実施ステップとを含んでいることを特徴とする攻撃対応処理方法。 - 前記危険度算出ステップが、
通信異常情報を取得するステップと、
ハードウェア異常情報を取得するステップと、
センサ値の異常を判定し、センサ値異常情報を作成するステップと、
を含んでいることを特徴とする請求項8記載の攻撃対応処理方法。 - さらに、各異常情報毎の点数を、予め作成された異常情報点数テーブルから取得するステップと、
取得した点数の合計値から危険度を算出するステップと、
を含んでいることを特徴とする請求項8又は請求項9記載の攻撃対応処理方法。 - 前記対応決定ステップが、
算出された危険度を取得するステップと、
予め作成された危険度と該危険度に応じた対応が定義づけられたテーブルを呼び出すステップと、
算出された前記危険度から前記テーブル情報に基づいて対応を決定するステップと、
を含んでいることを特徴とする請求項8~10のいずれかの項に記載の攻撃対応処理方法。 - 請求項8~11のいずれかの項に記載の攻撃対応処理方法の各ステップを、前記機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させるためのコンピュータプログラム。
- 請求項8~11のいずれかの項に記載の攻撃対応処理方法の各ステップを、前記機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させるためのコンピュータプログラムが記憶されたコンピュータ読み取り可能な記憶媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/029626 WO2021019635A1 (ja) | 2019-07-29 | 2019-07-29 | セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021019635A1 JPWO2021019635A1 (ja) | 2021-02-04 |
| JP7160206B2 true JP7160206B2 (ja) | 2022-10-25 |
Family
ID=74229784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021536477A Active JP7160206B2 (ja) | 2019-07-29 | 2019-07-29 | セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7160206B2 (ja) |
| WO (1) | WO2021019635A1 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018062320A (ja) | 2016-10-14 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 情報処理装置、情報処理方法、および情報処理システム |
| JP2019039182A (ja) | 2017-08-23 | 2019-03-14 | 大成建設株式会社 | 作業車両用旋回制御システム |
-
2019
- 2019-07-29 JP JP2021536477A patent/JP7160206B2/ja active Active
- 2019-07-29 WO PCT/JP2019/029626 patent/WO2021019635A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018062320A (ja) | 2016-10-14 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 情報処理装置、情報処理方法、および情報処理システム |
| JP2019039182A (ja) | 2017-08-23 | 2019-03-14 | 大成建設株式会社 | 作業車両用旋回制御システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2021019635A1 (ja) | 2021-02-04 |
| WO2021019635A1 (ja) | 2021-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108028784B (zh) | 不正常检测方法、监视电子控制单元以及车载网络系统 | |
| CN110226310B (zh) | 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法 | |
| US11438355B2 (en) | In-vehicle network anomaly detection system and in-vehicle network anomaly detection method | |
| CN106031098B (zh) | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 | |
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| US9843523B2 (en) | Communication management apparatus and communication management method for vehicle network | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| CN106603620B (zh) | 车载记录系统以及车载控制装置 | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| JP7231559B2 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| US11247694B2 (en) | Control apparatus, control system, control method, and storage medium | |
| CN111147448B (zh) | 一种can总线洪范攻击防御系统及方法 | |
| US11247696B2 (en) | Information processing device, information processing method, and recording medium | |
| CN108989319B (zh) | 基于can总线的车辆入侵检测方法及车辆入侵检测装置 | |
| US20220247772A1 (en) | Attack monitoring center apparatus and attack monitoring terminal apparatus | |
| US20210258187A1 (en) | Electronic control device, electronic control method, and recording medium | |
| US10944775B2 (en) | Authentication device for a vehicle | |
| JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP5071340B2 (ja) | ゲートウェイ装置、車両用ネットワーク、片側断線検出方法 | |
| JP5578207B2 (ja) | 通信負荷判定装置 | |
| JP2021140460A (ja) | セキュリティ管理装置 | |
| JP7160206B2 (ja) | セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体 | |
| JP7318710B2 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| JP2019209961A (ja) | 情報処理装置、監視方法、プログラム及びゲートウェイ装置 | |
| US20220019662A1 (en) | Log management device and center device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220823 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220829 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220913 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220926 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7160206 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |