JP7251685B2 - 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 - Google Patents

車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 Download PDF

Info

Publication number
JP7251685B2
JP7251685B2 JP2022503958A JP2022503958A JP7251685B2 JP 7251685 B2 JP7251685 B2 JP 7251685B2 JP 2022503958 A JP2022503958 A JP 2022503958A JP 2022503958 A JP2022503958 A JP 2022503958A JP 7251685 B2 JP7251685 B2 JP 7251685B2
Authority
JP
Japan
Prior art keywords
data
vehicle
security
computer
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022503958A
Other languages
English (en)
Other versions
JPWO2022091371A1 (ja
JPWO2022091371A5 (ja
Inventor
佳高 小峰
悟 松山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nissan Motor Co Ltd
Original Assignee
Nissan Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nissan Motor Co Ltd filed Critical Nissan Motor Co Ltd
Publication of JPWO2022091371A1 publication Critical patent/JPWO2022091371A1/ja
Publication of JPWO2022091371A5 publication Critical patent/JPWO2022091371A5/ja
Application granted granted Critical
Publication of JP7251685B2 publication Critical patent/JP7251685B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法に関する。
自動車に備わる車載コンピュータシステムが知られている(例えば、特許文献1)。特許文献1に記載の車載コンピュータシステムは、マスタECUと複数のエンドECUとが制御用ネットワークに接続されて構成されている。マスタECUは、ゲートウェイ機能を有し、主ゲートウェイとして、車載コンピュータシステムの内部と外部の間の通信を監視する。
特開2018-14770号公報
特許文献1に記載の車載コンピュータシステムでは、マスタECUは、データに応じてセキュリティレベルを調整できない。そのため、車載コンピュータシステムのセキュリティを向上させるために、セキュリティレベルが上げられた場合、データの異常を検知する異常検知処理に要する時間はどのデータに対しても増大し、その結果、車載コンピュータシステム全体としての処理時間が増大する、という問題がある。
本発明が解決しようとする課題は、車載コンピュータシステムのセキュリティを確保しつつ、車載コンピュータシステム全体としての処理時間を低減できる車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法を提供することである。
本発明は、通信インターフェースを介して車両の外部から入力されたデータのデータ情報に基づき、データにより異常が生じたときのリスクを評価し、評価されたリスクに基づき、データに対するセキュリティ強度を調整し、調整されたセキュリティ強度でデータに対するセキュリティを設定することで、上記課題を解決する。
本発明によれば、リスクに基づくセキュリティ強度の調整によって、異常検知処理に要する時間をデータごとに変えることができるため、車載コンピュータシステムのセキュリティを確保しつつ、車載コンピュータシステム全体としての処理時間を低減させることができる。
本実施形態に係る車載コンピュータシステムのブロック図である。 通信モジュールがデータを受信してから、車載コンピュータ内の車両制御用アプリケーションで処理が開始されるまでの様子を示す説明図である。 通信モジュールがデータを受信してから、車両制御用ECU内の車両制御用アプリケーションで処理が開始されるまでの様子を示す説明図である。
以下、本発明の実施形態を図面に基づいて説明する。
本実施形態では、本発明に係る車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法を、車載コンピュータシステムに適用した例を用いて説明する。
図1は、車両に搭載された車載コンピュータシステム1のブロック図である。車載コンピュータシステム1を搭載する車両としては、例えば、電気自動車、ハイブリッド自動車、ガソリン自動車などが挙げられる。車載コンピュータシステム1を搭載する車両の種別は特に限定されない。また本実施形態では、車両のドライバによる運転を支援する態様により、又は完全に自動的な方法により、車両の駆動装置を制御する自律走行制御機能を備えた車両を例に挙げて説明する。なお、本発明に係る車載コンピュータが、自律走行制御機能を備えた車両に搭載されることに限定するものではない。
図1に示すように、車載コンピュータシステム1は、通信モジュール10、車両制御用ECU31~車両制御用ECU34、及び車載コンピュータ100を含む。ECUとは、Electronic Control Unitの略称である。図1に示す各装置は相互に情報の送受信を行うために、例えばCAN(Controller Area Network)その他の車載ネットワーク(イーサネット(登録商標)など)によって接続されている。なお、車載コンピュータシステム1において、車載ネットワークの種別やその数は特に限定されない。例えば、車載コンピュータシステム1は、複数種類の車載ネットワークによって各装置間が接続されていてもよい。
通信モジュール10は、車両の外部との間で無線によりデータを送受信する無線通信機能を備えた機器である。通信モジュール10としては、例えば、テレマティクスコントロールユニット(TCU:Telematics Control Unit)が挙げられる。通信モジュール10は、無線通信機能により、例えば、4G/LTE、Wifi(登録商標)等の通信規格を利用して、インターネットに接続し、車両の外部に設けられたサーバやシステムとの間で様々なデータの送受信を行う。
通信モジュール10は、サーバやシステムからデータを受信すると、受信したデータを車載コンピュータ100に出力する。通信モジュール10が受信するデータとしては、例えば、車載用オペレーションシステムをアップデートするためのプログラム、ECUのアプリケーションをアップデートするためのプログラム、ナビゲーションシステムで用いられる更新された地図情報、車両の乗員に向けた案内情報などが挙げられる。なお、上記データは一例であって、通信モジュール10が受信するデータを限定するものではない。
一方、車両に搭載された各種ECUやシステムから、車載コンピュータ100を介して通信モジュール10にデータが入力されると、通信モジュール10は、入力されたデータをサーバやシステムに送信する。通信モジュール10が送信するデータとしては、例えば、データの受領確認を示す情報、アップデートが完了したことを示す情報、車両の乗員がヒューマンインターフェースを介して入力した情報などが挙げられる。上記データは一例であって、通信モジュール10が送信するデータを限定するものではない。
車両制御用ECU31~車両制御用ECU34は、車両を制御するためのECUである。各車両制御用ECUは、車両を制御するためのプログラムを格納したROM(Read Only Memory)と、このROMに格納されたプログラムを実行するCPU(Central Processing Unit)と、アクセス可能な記憶装置として機能するRAM(Random Access Memory)とから構成されるコンピュータである。
車両制御用ECU31~車両制御用ECU34が有する機能としては、例えば、車両の駆動源を制御する駆動源制御機能、車両のブレーキ動作を制御するブレーキ制御機能、車両の操舵を制御する操舵制御機能、車両の乗員に音声で経路案内するナビゲーション機能、音楽や動画などのマルチメディア再生機能、車両の外部にいる人間と車両の乗員とが音声で対話する音声通信機能などが挙げられる。なお、図1では、車両制御用ECUとして4つのECUを示しているが、車載コンピュータシステム1が備える車両制御用ECUの数は図1に示す数に限定されない。車載コンピュータシステム1は、図1に示す数よりも少ない数の車両制御用ECU、又は図1に示す数よりも多い車両制御用ECUを備えていてもよい。
図1に示すように、車両制御用ECU31が実行するプログラムには、車両制御用アプリケーション35が含まれる。車両制御用ECU31は、車両制御用アプリケーション35を実行することで、車両制御用ECU31が有する機能を実現する。車両制御用ECU32と車両制御用アプリケーション36、車両制御用ECU33と車両制御用アプリケーション37、及び車両制御用ECU34と車両制御用アプリケーション38については、車両制御用ECU31と車両制御用アプリケーション35の関係と同様であるため、車両制御用ECU31での説明を援用する。なお、各ECUが実行するプログラムは、図1に示すアプリケーションに限定されず、図1に示すアプリケーションに加えて、その他のアプリケーションを実行してもよい。
また図1に示すように、車両制御用アプリケーション35~車両制御用アプリケーション38は、ASILでのランクが付されている。図1の例では、車両制御用アプリケーション35は、ASIL-Aに予めランク付けされ、車両制御用アプリケーション36は、ASIL-Bに予めランク付けされ、車両制御用アプリケーション37は、ASIL-Cに予めランク付けされ、車両制御用アプリケーション38は、ASIL-Dに予めランク付けされている。
ここで、ASILとは、Automotive Safety Integrity Levelの略称であり、車両の機能安全について規格されたIEC61508/ISO2626に規定されている、自動車の安全要求と安全対策を指定する指標である。車両制御用アプリケーション35~車両制御用アプリケーション38は、当該指標に基づいて生成されたアプリケーションのうち、安全性の基準が高いアプリケーションを示している。ASILには4段階の安全性レベルが規定されており、安全性の基準が高い順に、ASIL-D、ASIL-C、ASIL-B、ASIL-Aとなっている。つまり、図1の例では、安全性の基準が高い順に、車両制御用アプリケーション38、車両制御用アプリケーション37、車両制御用アプリケーション36、車両制御用アプリケーション35となっている。
またASILのランクは、3つの項目と項目ごとの変数に応じて定められる。ASILのランクを定めるための3つの項目とは、車両の乗員に与える影響度を示す「重大度」、車両が危険分子又は危険因子に遭遇する頻度を示す「曝露確率」、車両のドライバによる危険回避の難易度を示す「制御可能性」である。また各項目はさらに変数により細分化される。「重大度」は4段階の変数に分類され、「曝露確率」は5段階の変数に分類され、「制御可能性」は4段階の変数に分類される。ASILのランクは、項目ごとの変数の大きさに応じて設定されている。例えば、「重大度」が最上位段階の変数、「曝露確率」が最上位段階の変数、及び「制御可能性」が最上位段階の変数の組み合わせの場合、ASIL-Dに分類される。
車載コンピュータ100は、データのセキュリティに関する処理及び車両制御用アプリケーションを実行するためのプログラムを格納したROM(Read Only Memory)と、このROMに格納されたプログラムを実行するCPU(Central Processing Unit)と、アクセス可能な記憶装置として機能するRAM(Random Access Memory)とから構成される。なお、動作回路としては、CPUに代えて又はこれとともに、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などを用いることができる。以降では、車載コンピュータ100が実行するプログラムは、ROMに格納されたプログラムとして説明するが、プログラムの格納場所は車載コンピュータ100の外部であってもよい。例えば、車載コンピュータ100が実行するプログラムは、コンピュータが読み取り可能な記録媒体に格納されていてもよい。この場合、当該記録媒体と車載コンピュータ100とを所定の規格を用いて接続することで、車載コンピュータ100は、記録媒体に記録されたプログラムを実行することができる。
図1に示すように、車載コンピュータ100は、セキュリティに関する処理を行うセキュリティ処理部20と、車両制御用アプリケーション25~車両制御用アプリケーション28とを含み、これらのブロックは、ROMに記憶されたプログラムによって、後述する各機能を実現する。
車両制御用アプリケーション25~車両制御用アプリケーション28は、車載コンピュータ100が実行する、車両を制御するためのプログラムである。車両制御用アプリケーション35~車両制御用アプリケーション38と同様に、車両制御用アプリケーション25~車両制御用アプリケーション28もASILでのランクが付されている。図1の例では、車両制御用アプリケーション25は、ASIL-Aに予めランク付けされ、車両制御用アプリケーション26は、ASIL-Bに予めランク付けされ、車両制御用アプリケーション27は、ASIL-Cに予めランク付けされ、車両制御用アプリケーション28は、ASIL-Dに予めランク付けされている。ASILに関する説明は、車両制御用ECU31~車両制御用ECU34を用いたときの説明を援用する。なお、図1では、車載コンピュータ100が実行する車両制御用アプリケーションとして4つの車両制御用アプリケーションを示しているが、車載コンピュータ100が実行する車両制御用アプリケーションの数は図1に示す数に限定されない。車載コンピュータ100は、図1に示す数よりも少ない数の車両制御用アプリケーション(車両制御用アプリケーションが存在しない場合も含む)、又は図1に示す数よりも多い車両制御用アプリケーションを実行してもよい。
セキュリティ処理部20について説明する。セキュリティ処理部20は、車載コンピュータシステム1と車両の外部にあるサーバ又はシステムとの間の通信を監視する。セキュリティ処理部20は、通信モジュール10を介して車載コンピュータシステム1に入力されるデータと、通信モジュール10を介して車載コンピュータシステム1から出力されるデータについて監視する。図1に示すように、セキュリティ処理部20は、リスク評価部21、セキュリティ強度調整部22、セキュリティ設定部23、及びゲートウェイ部24を含む。各ブロックが実現する機能について説明する。
リスク評価部21には、車両の外部から、通信モジュール10を介してデータが入力される。リスク評価部21は、入力データのデータ情報に基づき、当該データにより異常が生じたときのリスクを評価する。以降、便宜上、通信モジュール10からリスク評価部21に入力されるデータを入力データと称し、入力データにより異常が生じたときのリスクを異常発生リスクと称して説明する。
異常発生リスクとは、入力データが原因で、入力データを処理するためのハードウェア又はソフトウェアに異常が発生し、発生した異常が車両又は車両の乗員に対して与える悪影響の程度の高さである。入力データが原因でハードウェア又はソフトウェアに異常が発生する場合は、入力データが偶発的に発生したデータ化けを含んでいたため、ハードウェア又はソフトウェアに異常が発生する場合と、入力データがウィルスやスパイウェアなど、外部からの攻撃を意図したデータのため、ハードウェア又はソフトウェアに異常が発生する場合とを含む。上記の説明におけるハードウェアとしては、図1に示す車両制御用ECU31~車両制御用ECU34が挙げられる。また上記の説明におけるソフトウェアとしては、図1に示す車両制御用アプリケーション25~車両制御用アプリケーション28、及び車両制御用アプリケーション35~車両制御用アプリケーション38が挙げられる。
入力データのデータ情報とは、入力データが処理される予定の車両制御用アプリケーションの種別情報である。具体的には、入力データが処理される予定の車両制御用アプリケーションに付されたASILのランクである。
リスク評価部21は、入力データから、入力データが処理される予定の車両制御用アプリケーションを特定するとともに、特定した車両制御用アプリケーションに付されたASILのランクを特定する。リスク評価部21は、ASILのランクに応じて、入力データによる異常発生リスクを評価する。例えば、リスク評価部21は、特定した車両制御用アプリケーションに付されたASILのランクがASIL-Aの場合、ASIL-B、ASIL-C、又はASIL-Dの場合に比べて、入力データによる異常発生リスクを低く評価する。また例えば、リスク評価部21は、特定した車両制御用アプリケーションに付されたASILのランクがASIL-Bの場合、ASIL-Aの場合に比べて、入力データによる異常発生リスクを高く評価しつつ、ASIL-C、又はASIL-Dの場合に比べて、入力データによる異常発生リスクを低く評価する。また例えば、リスク評価部21は、特定した車両制御用アプリケーションに付されたASILのランクがASIL-Cの場合、ASIL-A又はASIL-Bの場合に比べて、入力データによる異常発生リスクを高く評価しつつ、ASIL-Dの場合に比べて、入力データによる異常発生リスクを低く評価する。また例えば、リスク評価部21は、特定した車両制御用アプリケーションに付されたASILのランクがASIL-Dの場合、ASIL-A、ASIL-B、又はASIL-Cの場合に比べて、入力データによる異常発生リスクを高く評価する。異常発生リスクが高いほど、ハードウェア又はソフトウェアで発生した異常が車両又は車両の乗員に対して与える悪影響の程度は高くなる。
セキュリティ強度調整部22は、リスク評価部21により評価された異常発生リスクに基づき、入力データに対するセキュリティ強度を調整する。セキュリティ強度調整部22は、入力データによる異常発生リスクが高いほど、入力データに対するセキュリティ強度を強く設定する。図1の例を用いると、セキュリティ強度調整部22は、ASIL-Aとしてランク付けされた車両制御用アプリケーション25で処理される入力データに対するセキュリティ強度よりも、ASIL-Dとしてランク付けされた車両制御用アプリケーション28で処理される入力データに対するセキュリティ強度を強く設定する。
入力データに対するセキュリティ強度は、複数のパラメータによって定義することができる。データの異常を検知する異常検知処理に要する時間によって、セキュリティ強度を定義してもよい。例えば、セキュリティ強度が強い場合、セキュリティ強度が弱い場合に比べて、異常検知処理に要する時間はより長くなる。またデータの異常を検知する異常検知方法の数によって、セキュリティ強度を定義してもよい。例えば、セキュリティ強度が強い場合、セキュリティ強度が弱い場合に比べて、より多くの異常検知方法が用いられる。またデータのうち異常を検知する対象範囲を示す異常検知対象範囲の広さによって、セキュリティ強度を定義してもよい。例えば、セキュリティ強度が強い場合、データのうち主要部分及びそれ以外の部分を対象にして異常の検知が行われ、セキュリティ強度が弱い場合、データのうち主要部分のみを対象にして異常の検知が行われる。
セキュリティ設定部23は、セキュリティ強度調整部22により調整されたセキュリティ強度で入力データに対するセキュリティを設定する。セキュリティ設定部23によるセキュリティの設定では、入力データの異常検知方法は特に限定されない。
セキュリティ設定部23は、セキュリティ強度調整部22により調整されたセキュリティ強度に応じて、ファイヤーウォールの段数、入力データのうちファイヤーウォールにより異常を検知する対象範囲、及び異常検知方法のうち少なくとも何れか一つを設定する。例えば、セキュリティ設定部23は、セキュリティ強度調整部22により調整されたセキュリティ強度に応じて、入力データを通過させるファイヤーウォールの設定を行う。例えば、セキュリティ設定部23は、セキュリティ強度に応じて、ファイヤーウォールの段数を設定する。セキュリティ設定部23は、セキュリティ強度が強いほど、ファイヤーウォールの段数を増やす。また例えば、セキュリティ設定部23は、セキュリティ強度に応じて、入力データのうちファイヤーウォールにより異常を検知する対象範囲を設定してもよい。セキュリティ設定部23は、セキュリティ強度が強いほど、入力データのうちファイヤーウォールにより異常を検知する対象範囲を広く設定してもよい。また例えば、セキュリティ設定部23は、セキュリティ強度に応じて、異常検知方法を設定してもよい。セキュリティ設定部23は、セキュリティ強度が所定の強度よりも低い場合、異常検知方法をファイヤーウォールに設定し、セキュリティ強度が所定の強度よりも高い場合、異常検知方法を、ファイヤーウォールと、IDS(Instruction Detection System)又はIPS(Instruction Prevention System)に設定してもよい。なお、所定の強度とは、異常検知方法を設定するために予め設定されたセキュリティ強度である。
ゲートウェイ部24には、入力データの異常を検知するための複数のファイヤーウォールがインストールされている。ゲートウェイ部24は、ファイヤーウォールを用いて入力データの異常を検知する異常検知機能と、入力データを車両制御用アプリケーション又は車両制御用ECUに転送する転送機能とを備えている。
ゲートウェイ部24は、異常検知機能により、セキュリティ設定部23により設定された内容にて、入力データに対する異常検知処理を実行する。例えば、ゲートウェイ部24は、セキュリティ設定部23により設定されたファイヤーウォールの段数だけ入力データを通過させる処理を実行する。そして、ゲートウェイ部24は、入力データに異常が検知されなかった場合、転送機能により、入力データを、当該入力データを処理する予定の車両制御用アプリケーション又は車両制御用ECUに転送する。なお、異常検知処理にて異常が検知された場合の処理については特に限定されず、例えば、ゲートウェイ部24は、異常が検知されたことを示す情報を、ヒューマンインターフェースを制御するためのECUに出力する。この場合、入力データに異常が検知されたことを示す情報は、当該ECUによって、車両の乗員に提示される。
図2は、通信モジュール10がデータを受信してから、車載コンピュータ100内の車両制御アプリケーションで処理が開始されるまでの様子を示す説明図である。図2に示す通信モジュール10、セキュリティ処理部20、車両制御用アプリケーション25、及び車両制御用アプリケーション28のそれぞれは、図1に示すブロック図に対応している。図2は、比較目的のために、通信モジュール10がデータAを受信してから、車両制御用アプリケーション25がデータAを用いて処理を開始するまでと、通信モジュール10がデータBを受信してから、車両制御用アプリケーション28がデータBを用いて処理されるまでとを示している。なお、以降では、データA及びデータBの送信元を車両の外部にあるサーバとして説明するが、データA及びデータBの送信元を限定するものではない。
サーバからデータAが送信されると、通信モジュール10はデータAを受信し、受信したデータAを車載コンピュータ100に出力する。データAは、車載コンピュータ100のセキュリティ処理部20に入力される。
セキュリティ処理部20は、所定の特定方法を用いて、データAから、データAが車両制御用アプリケーション25で処理される予定であり、車両制御用アプリケーション25に付されたランクがASIL-Aであることを特定する。セキュリティ処理部20は、データAによる異常発生リスクとして、ASIL-Aの指標に基づく評価を行う。セキュリティ処理部20は、ASIL-Aに対応したセキュリティ強度でのセキュリティとして、ファイヤーウォールの段数を1段に設定する。セキュリティ処理部20は、データAを1段のファイヤーウォールに通過させ、データAに異常が検知されるか否かを判定する。セキュリティ処理部20は、データAに異常が検知されない場合、車載コンピュータ100により実行される車両制御用アプリケーション25にデータAを転送する。車両制御用アプリケーション25は、データAを用いた処理が可能な状態となり、データAを用いた処理を開始する。
一方、サーバからデータBが送信されると、通信モジュール10はデータBを受信し、受信したデータBを車載コンピュータ100に出力する。データBは、車載コンピュータ100のセキュリティ処理部20に入力される。
セキュリティ処理部20は、所定の特定方法を用いて、データBから、データBが車両制御用アプリケーション28で処理される予定であり、車両制御用アプリケーション28に付されたランクがASIL-Dであることを特定する。セキュリティ処理部20は、データBによる異常発生リスクとして、ASIL-Dの指標に基づく評価を行う。セキュリティ処理部20は、ASIL-Dに対応したセキュリティ強度でのセキュリティとして、ファイヤーウォールの段数を4段に設定する。セキュリティ処理部20は、データBを4段のファイヤーウォールに通過させ、データBに異常が検知されるか否かを判定する。セキュリティ処理部20は、データBに異常が検知されない場合、車載コンピュータ100により実行される車両制御用アプリケーション28にデータBを転送する。車両制御用アプリケーション28は、データBを用いた処理が可能な状態となり、データBを用いた処理を開始する。
図3は、通信モジュール10がデータを受信してから、車両制御用ECU内の車両制御アプリケーションで処理が開始されるまでの様子を示す説明図である。図3に示す通信モジュール10、セキュリティ処理部20、車両制御用アプリケーション36、及び車両制御用アプリケーション37のそれぞれは、図1に示すブロック図に対応している。図3は、比較目的のために、通信モジュール10がデータCを受信してから、車両制御用アプリケーション36がデータCを用いて処理を開始するまでと、通信モジュール10がデータDを受信してから、車両制御用アプリケーション37がデータDを用いて処理されるまでとを示している。なお、以降では、データA及びデータBの送信元と同様に、データC及びデータDの送信元を車両の外部にあるサーバとして説明する。
サーバからデータCが送信されると、通信モジュール10はデータCを受信し、受信したデータCを車載コンピュータ100に出力する。データCは、車載コンピュータ100のセキュリティ処理部20に入力される。
セキュリティ処理部20は、所定の特定方法を用いて、データCから、データCが車両制御用アプリケーション36で処理される予定であり、車両制御用アプリケーション36に付されたランクがASIL-Bであることを特定する。セキュリティ処理部20は、データCによる異常発生リスクとして、ASIL-Bの指標に基づく評価を行う。セキュリティ処理部20は、ASIL-Bに対応したセキュリティ強度でのセキュリティとして、ファイヤーウォールの段数を2段に設定する。セキュリティ処理部20は、データCを2段のファイヤーウォールに通過させ、データCに異常が検知されるか否かを判定する。セキュリティ処理部20は、データCに異常が検知されない場合、データCを車両制御用ECU32に転送する。車両制御用ECU32にはデータCが入力され、車両制御用アプリケーション36は、データCを用いた処理が可能な状態となり、データCを用いた処理を開始する。
一方、サーバからデータDが送信されると、通信モジュール10はデータDを受信し、受信したデータDを車載コンピュータ100に出力する。データDは、車載コンピュータ100のセキュリティ処理部20に入力される。
セキュリティ処理部20は、所定の特定方法を用いて、データDから、データDが車両制御用アプリケーション37で処理される予定であり、車両制御用アプリケーション37に付されたランクがASIL-Cであることを特定する。セキュリティ処理部20は、データDによる異常発生リスクとして、ASIL-Cの指標に基づく評価を行う。セキュリティ処理部20は、ASIL-Cに対応したセキュリティ強度でのセキュリティとして、ファイヤーウォールの段数を3段に設定する。セキュリティ処理部20は、データDを3段のファイヤーウォールに通過させ、データDに異常が検知されるか否かを判定する。セキュリティ処理部20は、データDに異常が検知されない場合、データDを車両制御用ECU33に転送する。車両制御用ECU33にはデータDが入力され、車両制御用アプリケーション37は、データDを用いた処理が可能な状態となり、データDを用いた処理を開始する。
図2において、データAとデータBとを比較すると、各データが通過するファイヤーウォールの段数が異なる。データAは1段のファイヤーウォールを通過するのに対して、データBは4段のファイヤーウォールを通過するため、データBの異常を検知する異常検知処理に要する時間は、データAの異常を検知する異常検知処理に要する時間よりも長くなる。安全性の基準が高い車両制御用アプリケーション28で使用されるデータに対しては十分な時間をかけて異常検知を行う一方で、安全性の基準が比較的低い車両制御用アプリケーション25で使用されるデータに対しては必要以上に時間をかけずに異常検知を行う。このため、本実施形態に係る車載コンピュータ100によれば、安全性の基準と異常検知処理に要する時間とのバランスをとることができる。また、例えば、データAが車両制御用アプリケーションで処理された後、データAの送信元に対して所定の時間内に応答する必要がある場合、車載コンピュータシステム1のセキュリティを確保しながら、応答性に対する要求を満足させることができる。なお、図3に示すデータC及びデータDについても、データA及びデータBと同様の効果を得ることができるため、データA及びデータBを用いた説明を援用する。
以上のように、本実施形態に係る車載コンピュータ100は、通信モジュール10を介して車両の外部からデータが入力される車載コンピュータである。車載コンピュータ100は、入力データのデータ情報に基づき、入力データにより異常が生じたときのリスクである異常発生リスクを評価するリスク評価部21と、リスク評価部21により評価された異常発生リスクに基づき、入力データに対するセキュリティ強度を調整するセキュリティ強度調整部22と、セキュリティ強度調整部22により調整されたセキュリティ強度で入力データに対するセキュリティを設定するセキュリティ設定部23を備える。本発明に係る車載コンピュータ100、コンピュータを車載コンピュータ100として機能させるためのプログラム、当該プログラムを記録したコンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法によれば、入力データに対するセキュリティ強度は、異常発生リスクに基づいて調整されるため、異常検知処理に要する時間はデータごとに変えることができる。その結果、車載コンピュータシステム1のセキュリティを確保しつつ、車載コンピュータシステム1全体としての処理時間を低減させることができる。
また、本実施形態では、異常発生リスクの高さは、車両の乗員に影響を与える影響度である「重大度」、車両が危険分子又は危険因子に遭遇する頻度である「曝露確率」、及び車両のドライバによる危険回避の難易度である「制御可能性」に基づき評価される。これにより、入力データの異常が車両又は車両の乗員に対して与える悪影響の程度を適切に評価することができる。
さらに、本実施形態では、セキュリティ強度調整部22は、入力データによる異常発生リスクが高いほど、入力データに対するセキュリティ強度を強く設定する。異常発生リスクの高さに対応したセキュリティ強度を設定することができるため、異常発生リスクと異常検知処理に要する時間とのバランスをとることができる。その結果、車載コンピュータシステム1のセキュリティを確保しつつ、車載コンピュータシステム1全体としての処理時間を低減させることができる。
加えて、本実施形態では、リスク評価部21が異常発生リスクを評価する時に用いる入力データのデータ情報は、入力データを用いて処理を実行する予定の車両制御用アプリケーションの種別である。これにより、入力データによる異常発生リスクを容易に評価することができる。その結果、異常発生リスクの評価処理に要する時間の短縮化を図ることができ、車載コンピュータシステム1全体としての処理時間に与える影響を低減させることができる。
また、本実施形態に係る車載コンピュータ100は、入力データの異常を検知するためのファイヤーウォールがインストールされたゲートウェイ部を備え、セキュリティ設定部23は、セキュリティ強度調整部22により調整されたセキュリティ強度に応じて、入力データを通過させるファイヤーウォールの段数を設定する。これにより、異常発生リスクが高いほど、ファイヤーウォールの段数を多く設定することができるため、入力データに対する信頼性を向上させることができる。
さらに、本実施形態では、ゲートウェイ部24は、ファイヤーウォールを用いて、入力データに異常があるか否かを検知する異常検知処理を実行する。車両の外部からのサイバー攻撃に対しても、車載コンピュータシステム1のセキュリティを保つことができる。
なお、以上に説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記の実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。
例えば、上述した実施形態では、入力データによる異常発生リスクを、ASILのランクに基づき評価する構成を例に挙げて説明したが、入力データの内容に基づいて、入力データによる異常発生リスクを評価してもよい。例えば、リスク評価部21は、入力データの内容が車載用オペレーティングシステムをアップデートするためのプログラムの場合、入力データの内容が車両の乗員に向けた案内情報の場合に比べて、入力データによる異常発生リスクを高く評価してもよい。ASILのランク付けがされないECUやアプリケーション、例えば、QM(Quality Management)のランク付けされたECUやアプリケーションにより実行される入力データに対しても、異常発生リスクを適切に評価することができる。その結果、車載コンピュータシステム1に含まれる全てのECU又は全てのアプリケーションで実行される入力データに対して、異常発生リスクを適切に評価することができる。
また例えば、上述した実施形態では、入力データのデータ情報として、車両制御用アプリケーションの種別を例に挙げて説明したが、入力データのデータ情報は、車両制御用ECUの種別であってもよい。
また例えば、上述した実施形態では、入力データによる異常発生リスクを、ASILのランクに基づき評価する構成を例に挙げて説明したが、入力データによる異常発生リスクは、ASILのランクを分類するための「重大度」、「曝露確率」、及び「制御可能性」のうち少なくともいずれか一つに基づき評価してもよい。
例えば、リスク評価部21は、ASILのランクではなく、ASILのランクを分類するための「重大度」、「曝露確率」、及び「制御可能性」のそれぞれの変数に応じて、入力データによる異常発生リスクを評価してもよい。図1の例では、車両制御用アプリケーション26及び車両制御用アプリケーション36は、それぞれASIL-Bとしてランク付けされている。ここで、車両制御用アプリケーション26がASIL-Bとしてランク付けされたときの「重大度」の変数、「曝露確率」変数、及び「制御可能性」の変数と、車両制御用アプリケーション36がASIL-Bとしてランク付けされたときの「重大度」の変数、「曝露確率」の変数、及び「制御可能性」の変数とが異なるものとする。この場合、リスク評価部21は、車両制御用アプリケーション26が処理する予定の入力データによる異常発生リスクと、車両制御用アプリケーション36が処理する予定の入力データによる異常発生リスクとを異なる評価にすることができる。
また例えば、リスク評価部21は、「重大度」、「曝露確率」、及び「制御可能性」の組み合わせに限られず、各項目の変数に応じて、入力データによる異常発生リスクを評価してもよい。また例えば、リスク評価部21は、2つの項目の変数の組み合わせに応じて、入力データによる異常発生リスクを評価してもよい。
また例えば、上述した実施形態では、入力データによる異常発生リスクを評価する指標として、ASILを用いて説明したが、異常発生リスクを評価する指標はASILに限られない。リスク評価部21は、車両の機能安全について規格されたその他の指標を用いて、異常発生リスクを評価してもよい。またリスク評価部21は、複数の指標を用いて、異常発生リスクを評価してもよい。
また例えば、上述した実施形態では、図2及び図3の例において、ファイヤーウォールの段数がASILのランクごとに変わる場合を例に挙げて説明したが、これに限定されない。例えば、図3の例において、セキュリティ設定部23は、データCに対して設定するファイヤーウォールの段数とデータDに対して設定するファイヤーウォールの段数とを同じにしてもよい。そのうえで、セキュリティ設定部23は、データDに対して、ファイヤーウォールだけでなく、IDS又はIPSによる異常検知方法を設定してもよい。また例えば、セキュリティ設定部23は、ファイヤーウォールの段数を同じにしたうえで、ファイヤーウォールによる異常検知の対象範囲を、データCよりもデータDに対して広く設定してもよい。
また例えば、上述した実施形態では、車載コンピュータ100がゲートウェイ部24を備える構成を例に挙げて説明したが、車載コンピュータ100とは異なるコンピュータがゲートウェイ部24を備えていてもよい。すなわち、入力データの異常を検知する異常検知処理及び入力データの転送処理は、車載コンピュータ100以外のコンピュータにより実行されてもよい。この場合、車載コンピュータ100は、セキュリティ設定部23により設定されたセキュリティの設定情報を、ゲートウェイ部24を備えるコンピュータに出力する。
また例えば、上述した実施形態では、入力データの異常検知方法として、ファイヤーウォール、IDS、IPSを例に挙げて説明したが、本願出願時に通信分野において知られている異常検知方法を用いて入力データの異常を検知してもよい。例えば、車載コンピュータ100は、セキュリティ強度に応じて、Proxy(プロキシ)によるフィルタリング処理を設定してもよい。また例えば、車載コンピュータ100は、セキュリティ強度に応じて、車載コンピュータシステム1が備えるアクセスコントロールを設定してもよい。
1…車載コンピュータシステム
10…通信モジュール
100…車載コンピュータ
20…セキュリティ処理部
21…リスク評価部
22…セキュリティ強度調整部
23…セキュリティ設定部
24…ゲートウェイ部
25…車両制御用アプリケーション
26…車両制御用アプリケーション
27…車両制御用アプリケーション
28…車両制御用アプリケーション
31…車両制御用ECU
35…車両制御用アプリケーション
32…車両制御用ECU
36…車両制御用アプリケーション
33…車両制御用ECU
37…車両制御用アプリケーション
34…車両制御用ECU
38…車両制御用アプリケーション

Claims (10)

  1. 通信インターフェースを介して車両の外部からデータが入力される車載コンピュータであって、
    前記車載コンピュータは、
    前記データのデータ情報に基づき、前記データにより異常が生じたときのリスクを評価するリスク評価部と、
    前記リスク評価部により評価された前記リスクに基づき、前記データに対するセキュリティ強度を調整するセキュリティ強度調整部と、
    前記セキュリティ強度調整部により調整された前記セキュリティ強度で前記データに対するセキュリティを設定するセキュリティ設定部を備える
    車載コンピュータ。
  2. 請求項1に記載の車載コンピュータであって、
    前記リスクの高さは、第1項目、第2項目、及び第3項目のうち少なくともいずれか一つに基づき評価され、
    前記第1項目は、前記車両の乗員に与える影響度であり、
    前記第2項目は、前記車両が危険分子又は危険因子に遭遇する頻度であり、
    前記第3項目は、前記車両のドライバによる危険回避の難易度である
    車載コンピュータ。
  3. 請求項2に記載の車載コンピュータであって、
    前記セキュリティ強度調整部は、前記リスクが高いほど前記セキュリティ強度を強く設定する
    車載コンピュータ。
  4. 請求項2又は3に記載の車載コンピュータであって、
    前記データの前記データ情報は、前記データを用いて処理を実行する予定のアプリケーション及び機器のうち少なくともいずれか一つの種別である
    車載コンピュータ。
  5. 請求項2~4のいずれかに記載の車載コンピュータであって、
    前記リスクの高さは、前記データの内容に基づき評価される
    車載コンピュータ。
  6. 請求項1~5のいずれかに記載の車載コンピュータであって、
    前記データの異常を検知するためのファイヤーウォールがインストールされたゲートウェイ部を備え、
    前記セキュリティ設定部は、前記セキュリティ強度に応じて、前記データを通過させる前記ファイヤーウォールの段数を設定する
    車載コンピュータ。
  7. 請求項6に記載の車載コンピュータであって、
    前記ゲートウェイ部は、少なくとも前記ファイヤーウォールを用いて、前記データに異常があるか否かを検知する異常検知処理を実行する
    車載コンピュータ。
  8. コンピュータを、請求項1~7のいずれかに記載の車載コンピュータとして機能させるためのプログラム。
  9. 請求項8に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
  10. 通信インターフェースを介して車両の外部からデータが入力される車載コンピュータが実行するセキュリティ設定方法であって、
    前記車載コンピュータは、
    前記データのデータ情報に基づき、前記データにより異常が生じたときのリスクを評価し、
    前記リスクに基づき、前記データに対するセキュリティ強度を調整し、
    前記セキュリティ強度で前記データに対するセキュリティを設定する
    セキュリティ設定方法。
JP2022503958A 2020-10-30 2020-10-30 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 Active JP7251685B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/040906 WO2022091371A1 (ja) 2020-10-30 2020-10-30 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法

Publications (3)

Publication Number Publication Date
JPWO2022091371A1 JPWO2022091371A1 (ja) 2022-05-05
JPWO2022091371A5 JPWO2022091371A5 (ja) 2022-10-11
JP7251685B2 true JP7251685B2 (ja) 2023-04-04

Family

ID=81383861

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022503958A Active JP7251685B2 (ja) 2020-10-30 2020-10-30 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法

Country Status (5)

Country Link
US (1) US20220358224A1 (ja)
EP (1) EP4239506A4 (ja)
JP (1) JP7251685B2 (ja)
CN (1) CN114698392A (ja)
WO (1) WO2022091371A1 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015041167A (ja) 2013-08-21 2015-03-02 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
WO2017060978A1 (ja) 2015-10-06 2017-04-13 株式会社日立製作所 自動運転制御装置および自動運転制御方法
JP2018045392A (ja) 2016-09-13 2018-03-22 株式会社東芝 ネットワーク監視装置、ネットワークシステムおよびプログラム
US20180295518A1 (en) 2017-04-05 2018-10-11 International Business Machines Corporation Secure mobile device integration with vehicles
JP2019073102A (ja) 2017-10-13 2019-05-16 日立オートモティブシステムズ株式会社 車両用制御装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4905657B2 (ja) * 2006-05-24 2012-03-28 オムロン株式会社 セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法
CN105050868B (zh) * 2012-10-17 2018-12-21 安全堡垒有限责任公司 用于检测和防止对交通工具的攻击的设备
EP3056394B1 (en) * 2013-10-08 2022-11-30 ICTK Holdings Co., Ltd. Vehicle security network device and design method therefor
JP6500517B2 (ja) * 2015-03-10 2019-04-17 住友電気工業株式会社 路側通信装置、データ中継方法、中央装置、コンピュータプログラム、及びデータ処理方法
JP6476462B2 (ja) 2017-10-30 2019-03-06 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2019237072A1 (en) * 2018-06-08 2019-12-12 Nvidia Corporation Virtualized intrusion detection and prevention in autonomous vehicles

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015041167A (ja) 2013-08-21 2015-03-02 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
WO2017060978A1 (ja) 2015-10-06 2017-04-13 株式会社日立製作所 自動運転制御装置および自動運転制御方法
JP2018045392A (ja) 2016-09-13 2018-03-22 株式会社東芝 ネットワーク監視装置、ネットワークシステムおよびプログラム
US20180295518A1 (en) 2017-04-05 2018-10-11 International Business Machines Corporation Secure mobile device integration with vehicles
JP2019073102A (ja) 2017-10-13 2019-05-16 日立オートモティブシステムズ株式会社 車両用制御装置

Also Published As

Publication number Publication date
EP4239506A4 (en) 2023-11-29
JPWO2022091371A1 (ja) 2022-05-05
EP4239506A1 (en) 2023-09-06
WO2022091371A1 (ja) 2022-05-05
US20220358224A1 (en) 2022-11-10
CN114698392A (zh) 2022-07-01

Similar Documents

Publication Publication Date Title
US11875612B2 (en) Vehicle monitoring apparatus, fraud detection server, and control methods
US10909237B2 (en) Method of updating fraud detection rules for detecting malicious frames, fraud detecting electronic control unit, and on-board network system
US9843523B2 (en) Communication management apparatus and communication management method for vehicle network
US20200287872A1 (en) Method For Detecting, Blocking and Reporting Cyber-Attacks Against Automotive Electronic Control Units
WO2017038351A1 (ja) 車載ネットワーク装置
WO2019021403A1 (ja) 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
US11528325B2 (en) Prioritizing data using rules for transmission over network
US11440557B2 (en) Electronic control device, recording medium, and gateway device
CN111373701B (zh) 异常检测装置、异常检测系统以及控制方法
US10796503B2 (en) Vehicle calibration based upon performance product detection
JP2018170719A (ja) 情報処理装置、情報処理方法及びプログラム
JP7251685B2 (ja) 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法
JP2014031077A (ja) 車両動作検証システム
JP5904157B2 (ja) 制御装置
WO2013042494A1 (ja) 車載制御装置
JP7310891B2 (ja) モビリティ制御システム、方法、および、プログラム
JP2008259124A (ja) 車載通信システム、電子制御ユニット
KR20180053073A (ko) 차량의 센서 데이터 모니터링 장치 및 방법
CN116142226A (zh) 一种基于汽车智能座舱的车载娱乐智能感知方法及系统
CN111176251A (zh) 网络系统
WO2020129911A1 (ja) 統括ecu、制御方法、制御システム及びプログラム
JPWO2022091371A5 (ja)
JP7160206B2 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体
US20240174259A1 (en) Vehicle controls supporting multiple ads ecus
JP2020184651A (ja) 車載制御装置、及び情報処理装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220120

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230306

R151 Written notification of patent or utility model registration

Ref document number: 7251685

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151