JP7259966B2 - セキュリティ装置、設定変更方法、プログラム、及び記憶媒体 - Google Patents

セキュリティ装置、設定変更方法、プログラム、及び記憶媒体 Download PDF

Info

Publication number
JP7259966B2
JP7259966B2 JP2021536480A JP2021536480A JP7259966B2 JP 7259966 B2 JP7259966 B2 JP 7259966B2 JP 2021536480 A JP2021536480 A JP 2021536480A JP 2021536480 A JP2021536480 A JP 2021536480A JP 7259966 B2 JP7259966 B2 JP 7259966B2
Authority
JP
Japan
Prior art keywords
threat
notification
unit
user
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021536480A
Other languages
English (en)
Other versions
JPWO2021019638A1 (ja
Inventor
直樹 廣部
泰生 山本
徹 小河原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Publication of JPWO2021019638A1 publication Critical patent/JPWO2021019638A1/ja
Application granted granted Critical
Publication of JP7259966B2 publication Critical patent/JP7259966B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/10Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、セキュリティ装置、設定変更方法、プログラム、及び記憶媒体に関する。
特許文献1には、自ユニットが搭載された車両とは別の車両に搭載された車載ネットワークで不正フレームが検知された際に当該別の車両に搭載された装置から送信される不正検知通知を受信する受信部と、該受信部により受信された前記不正検知通知の内容に応じて、予め定められた複数の不正対応処理から実行する不正対応処理を選択し、当該選択した不正対応処理を実行する不正対処部とを備える電子制御ユニットが開示されている。
前記不正検知通知の内容には、不正に制御された場合の車両の安全性等に鑑みて予め定められたセキュリティレベルを示すレベル情報が含まれている。前記セキュリティレベルは、その値が高い程、安全性への影響が大きいものとして定められ、その値が低い程、車両の事故への直接的な影響が小さいものとして定められている。
前記電子制御ユニットでは、前記レベル情報が示す前記セキュリティレベルの程度に応じた前記不正対応処理が選択され、選択された前記不正対応処理が予め決められた方法で実行されるようになっている。
[発明が解決しようとする課題]
上記のとおり特許文献1記載の電子制御ユニットでは、前記セキュリティレベルに応じて選択された前記不正対応処理が予め決められた方法で実行されており、これら不正対応処理の実行方法については、ユーザビリティの観点からの配慮が欠けているという課題があった。
特開2016-134170号公報
課題を解決するための手段及びその効果
本発明は上記課題に鑑みなされたものであって、セキュリティ攻撃が検知された場合の対応処理の実行方法について、機器システムの安全性を損なうことなく、ユーザビリティを向上させることができるセキュリティ装置、設定変更方法、プログラム、及び記憶媒体を提供することを目的としている。
上記目的を達成するために本開示に係るセキュリティ装置(1)は、1以上の機器が通信路を介して接続された機器システムに含まれるセキュリティ装置であって、
前記機器システムに存在する1以上の保護資産に対する脅威を分析した脅威分析結果が記憶される第1記憶部と、
前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含む設定内容が記憶される第2記憶部と、
前記脅威分析結果の中から、ユーザによる前記設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定部と、
該特定部により特定された前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知部と、
該設定内容通知部による通知に基づいて変更入力された前記設定内容を前記第2記憶部に記憶する記憶処理部とを備えていることを特徴としている。
上記セキュリティ装置(1)によれば、前記脅威分析結果の中から、前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせが特定され、特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容が、前記ユーザによる変更入力が可能な形態で通知され、当該通知に基づいて変更入力された前記設定内容が前記第2記憶部に記憶される。
そのため、前記変更許可条件を満たさない、例えば、前記機器システムの安全性に係わるリスクが高い、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容については、前記ユーザによる変更入力を不可とする。一方、前記変更許可条件を満たす、例えば、前記機器システムの安全性に係わるリスクが低い、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容についてのみ、前記ユーザによる変更入力を可とし、該変更入力に基づいて前記設定内容を変更することが可能となる。
したがって、前記機器システムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させることができ、前記ユーザに対するユーザビリティを向上させることができ、前記機器システムの安全性と前記ユーザビリティの向上との両立を図ることができる。
また本開示に係るセキュリティ装置(2)は、上記セキュリティ装置(1)において、
前記脅威分析結果が、
1以上の前記保護資産と、該保護資産に対する前記脅威と、該脅威に対するリスク値と、前記脅威に対する対策とを含み、
前記変更許可条件が、
前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルの条件を含むものであることを特徴としている。
上記セキュリティ装置(2)によれば、前記脅威分析結果に含まれる、1以上の前記保護資産の重要レベル、前記保護資産に対する前記脅威が示す脅威レベル、又は前記脅威に対するリスク値の閾値レベルが、前記変更許可条件に用いられるので、該変更許可条件を前記機器システムの安全性に係わるリスクが適切に考慮された条件に設定することができる。
したがって、前記機器システムの安全性を確保しつつ、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させることができ、前記ユーザに対するユーザビリティを向上させることができ、前記機器システムの安全性と前記ユーザビリティの向上との両立を適切に図ることができる。
また本開示に係るセキュリティ装置(3)は、上記セキュリティ装置(1)又は(2)において、
前記通知条件には、前記脅威の検知回数、及び前記ユーザへの通知方法のうちのいずれかが含まれ、
前記実施条件には、前記脅威に対する対策を自動的に実施するか否かの設定が含まれていることを特徴としている。
上記セキュリティ装置(3)によれば、前記通知条件として、前記脅威の検知回数、及び前記ユーザへの通知方法のうちの少なくとも1つについて、前記ユーザに設定させることができる。また、前記実施条件として、前記脅威に対する対策を自動的に実施するか否かについて、前記ユーザに設定させることができる。したがって、前記ユーザの要望に応じた条件で、前記脅威に対する通知や対策を実行することができ、ユーザビリティを一層向上させることができる。
また本開示に係るセキュリティ装置(4)は、上記セキュリティ装置(1)~(3)のいずれかにおいて、
前記ユーザを認証する認証部を備え、
前記特定部が、
前記認証部により前記ユーザが正しく認証された場合に、前記脅威分析結果の中から前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定するものであることを特徴としている。
上記セキュリティ装置(4)によれば、前記認証部により前記ユーザが正しく認証された場合に、前記特定部によって、前記脅威分析結果の中から前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせが特定される。
したがって、前記ユーザが正しく認証された場合にのみ、前記設定内容の変更を許可することができ、他人による前記設定内容の変更を防止でき、また、前記機器システムを複数人が共用する場合であっても、前記ユーザ毎に前記設定内容を変更することができる。
また本開示に係るセキュリティ装置(5)は、上記セキュリティ装置(1)~(4)のいずれかにおいて、
前記機器システムに対する攻撃を検知する攻撃検知部と、
該攻撃検知部により前記攻撃が検知された場合、検知された前記攻撃に対応する前記脅威を前記脅威分析結果に基づいて判定する脅威判定部と、
該脅威判定部により判定された前記脅威に対応する前記通知条件を前記設定内容に基づいて判定する通知条件判定部と、
該通知条件判定部により判定された前記通知条件に基づいて、前記ユーザへ通知を行う通知部とを備えていることを特徴としている。
上記セキュリティ装置(5)によれば、前記攻撃が検知された場合、検知された前記攻撃に対応する前記脅威が前記脅威分析結果に基づいて判定され、判定された前記脅威に対応する前記通知条件が前記設定内容に基づいて判定され、判定された前記通知条件に基づいて、前記ユーザへ通知が行われる。したがって、前記ユーザの要望に応じた方法で前記攻撃の検知を通知することができる。
また本開示に係るセキュリティ装置(6)は、上記セキュリティ装置(5)において、
前記脅威判定部により判定された前記脅威に対応する対策の前記実施条件を前記設定内容に基づいて判定する実施条件判定部と、
該実施条件判定部により判定された前記実施条件に基づいて、前記脅威に対応する対策を実行する対策実行部とを備えていることを特徴としている。
上記セキュリティ装置(6)によれば、前記脅威判定部により判定された前記脅威に対応する対策の前記実施条件が前記設定内容に基づいて判定され、判定された前記実施条件に基づいて、前記脅威に対応する対策が実行される。したがって、前記ユーザの要望に応じた前記実施条件で、前記脅威に対応する対策を実行することができる。
また本開示に係るセキュリティ装置(7)は、上記セキュリティ装置(1)~(6)のいずれかにおいて、
前記機器が、車両に搭載される制御装置であり、
前記機器システムが、1以上の前記制御装置が前記通信路を介して接続された車載システムであることを特徴としている。
上記セキュリティ装置(7)によれば、前記車載システムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させることができる。したがって、前記ユーザに対するユーザビリティを向上させることができ、前記車両の安全性と前記ユーザビリティの向上との両立を図ることができる。
また本開示に係るセキュリティ装置(8)は、上記セキュリティ装置(1)~(6)のいずれかにおいて、
前記機器が、産業機器であり、
前記通信路が、産業機器ネットワークであり、
前記機器システムが、FA(Factory Automation)システムであることを特徴としている。
上記セキュリティ装置(8)によれば、前記FAシステムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させることができる。したがって、前記ユーザに対するユーザビリティを向上させることができ、前記FAシステムの安全性と前記ユーザビリティの向上との両立を図ることができる。
また本開示に係るセキュリティ装置(9)は、上記セキュリティ装置(1)~(8)のいずれかにおいて、
前記セキュリティ装置が、前記機器システムに含まれるゲートウェイ装置であることを特徴としている。
上記セキュリティ装置(9)によれば、1以上の前記機器どうしの通信を中継する機能を有する前記ゲートウェイ装置を、当該セキュリティ装置として機能させることにより、前記機器システムに存在する1以上の前記保護資産に対応する前記設定内容を一元的に管理することができる。
また本開示に係る設定変更方法は、1以上の機器が通信路を介して接続された機器システムで検知された攻撃への対応処理の設定を変更する方法であって、
前記機器システムに存在する1以上の保護資産に対する脅威を分析した脅威分析結果の中から、ユーザによる前記対応処理の設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定ステップと、
該特定ステップにより特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知ステップと、
該設定内容通知ステップによる通知に基づいて変更入力された前記設定内容を記憶する記憶処理ステップとを含み、
前記設定内容に、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含むことを特徴としている。
上記設定変更方法によれば、前記脅威分析結果の中から、前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定し、特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知し、当該通知に基づいて変更入力された前記設定内容を記憶するようになっている。
そのため、前記変更許可条件を満たさない、例えば、前記機器システムの安全性に係わるリスクが高い、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容については、前記ユーザによる変更入力を不可とする。一方、前記変更許可条件を満たす、例えば、前記機器システムの安全性に係わるリスクが低い、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容についてのみ、前記ユーザによる変更入力を可とし、該変更入力に基づいて前記設定内容を変更することが可能となる。
したがって、前記機器システムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させることができ、前記ユーザに対するユーザビリティを向上させることができ、前記機器システムの安全性と前記ユーザビリティの向上との両立を図ることができる。
また本開示に係るプログラムは、上記設定変更方法の各ステップを前記機器システムに含まれる少なくとも1以上のコンピュータに実行させるためのプログラムであることを特徴としている。
上記プログラムによれば、前記機器システムに含まれる少なくとも1以上のコンピュータに、前記機器システムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させる処理を実行させることができ、前記ユーザに対するユーザビリティを向上させることができ、前記機器システムの安全性と前記ユーザビリティの向上との両立を図ることができる。
また本開示に係る記憶媒体は、上記設定変更方法の各ステップを前記機器システムに含まれる少なくとも1以上のコンピュータに実行させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体であることを特徴としている。
上記記憶媒体によれば、前記機器システムに含まれる少なくとも1以上のコンピュータに、前記プログラムを読み込ませて実行させることにより、前記機器システムの安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定を前記ユーザに変更させる処理を実行させることができ、前記ユーザに対するユーザビリティを向上させることができ、前記機器システムの安全性と前記ユーザに対するユーザビリティの向上との両立を図ることができる。
実施の形態に係るセキュリティ装置が適用された車載システムの一例を示す概略ブロック図である。 実施の形態に係るゲートウェイECUの機能構成例を示すブロック図である。 脅威分析結果テーブルと設定内容テーブルとのデータ構成例を示す図である。 HMI装置に表示される設定変更画面の一例を示す図である。 実施の形態に係るゲートウェイECUを構成するセキュリティ制御部が行う設定変更処理動作を示すフローチャートである。 実施の形態に係るゲートウェイECUを構成するセキュリティ制御部が行う攻撃対応処理動作を示すフローチャートである。
以下、本発明に係るセキュリティ装置、設定変更方法、プログラム、及び記憶媒体の実施の形態を図面に基づいて説明する。
[適用例]
図1は、実施の形態に係るセキュリティ装置が適用された車載システムの一例を示す概略ブロック図である。
車載システム2は、車両1に搭載された通信ネットワークシステムであり、OBDII(On-board diagnostics II)4、走行系ECU(Electronic Control Unit)群5、運転支援系ECU群6、ボディ系ECU群7、情報系ECU群8、及びゲートウェイECU10を含んで構成されている。車載システム2は、例えば、CAN(Controller Area Network)プロトコルに従って通信するネットワークで構成されている。なお、車載システム2には、CAN以外の他の通信規格が採用されてもよい。また、走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8(以下、これらをまとめてECU群ともいう)は、車両1に搭載される制御装置の一例である。
OBDII4、走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8は、それぞれ通信路であるバス3を介して、ゲートウェイECU10のCH1、CH2、CH3、CH4、及びCH5に接続されている。なお、ゲートウェイECU10の有するCH数は、この5つに限定されるものではない。また、図1の例では、ECU群が機能系統ごとにゲートウェイECU10に接続されたセントラルゲートウェイ方式が採用されているが、ゲートウェイECU10の接続方式は、この方式に限定されず、各ECU群の間にゲートウェイECU10が設けられた方式などであってもよい。
走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、及び情報系ECU群8、及びゲートウェイECU10は、1つ以上のプロセッサ、メモリ、及び通信モジュールなどを含むコンピュータ装置で構成されている。そして、各ECUに搭載されたプロセッサが、メモリに記憶されたプログラムを読み出し、プログラムを解釈し実行することで、各ECUで所定の制御が実行されるようになっている。ゲートウェイECU10が、本発明の「セキュリティ装置」の一例である。
OBDII4は、故障診断、又は保守等を行うための診断器又はスキャンツールなどが接続されるポートを備えている診断用コネクタ装置の一例である。
走行系ECU群5には、駆動系ECUと、シャーシ系ECUとが含まれている。駆動系ECUには、エンジン制御、モータ制御、燃料電池制御、EV(Electric Vehicle)制御、又はトランスミッション制御等の「走る」機能に関する制御ユニットが含まれている。シャーシ系ECUには、ブレーキ制御、又はステアリング制御等の「止まる、曲がる」機能に関する制御ユニットが含まれている。
運転支援系ECU群6には、自動ブレーキ支援機能、車線維持支援機能(LKA/Lane Keep Assistともいう)、定速走行・車間距離支援機能(ACC/Adaptive Cruise Controlともいう)、前方衝突警告機能、車線逸脱警報機能、死角モニタリング機能、交通標識認識機能、ドライバモニタリング機能等、走行系ECU群5などとの連携により自動的に安全性の向上、又は快適な運転を実現する機能(運転支援機能、又は自動運転機能)に関する制御ユニットが少なくとも1つ以上含まれている。
運転支援系ECU群6には、例えば、米国自動車技術会(SAE)が提示している自動運転レベルにおけるレベル1(ドライバ支援)、レベル2(部分的自動運転)、及びレベル3(条件付自動運転)の機能が装備されていてもよい。さらに、自動運転レベルのレベル4(高度自動運転)、レベル5(完全自動運転)の機能が装備されていてもよいし、レベル1、2のみ、又はレベル2、3のみの機能が装備されていてもよい。
ボディ系ECU群7には、ドアロック、スマートキー、パワーウインドウ、エアコン、ライト、又はウインカ等の車体の機能に関する制御ユニットが少なくとも1つ以上含まれている。
情報系ECU群8は、インフォテイメント装置、テレマティクス装置、又はITS(Intelligent Transport Systems)関連装置が含まれている。インフォテイメント装置には、HMI(Human Machine Interface)装置の他、カーナビゲーション装置、オーディオ機器などが含まれ、テレマティクス装置には、携帯電話網等へ接続するための通信ユニットなどが含まれている。ITS関連装置には、ETC(Electronic Toll Collection System)、又はITSスポットなどの路側機との路車間通信、若しくは車々間通信を行うための通信ユニットなどが含まれている。
また、外部インターフェースがゲートウェイECU10に接続されてもよい。外部インターフェースには、例えば、Bluetooth(登録商標)、Wi-Fi(登録商標)、USB(Universal Serial Bus)ポート、又はメモリーカードスロットなどが含まれる。
ゲートウェイECU10は、車載システム2に含まれる各ECU群との間で、CANプロトコルに従ってフレーム(メッセージ)の授受などの処理を行うゲートウェイ機能部11を備えている。また、ゲートウェイECU10は、車載システム2に対する攻撃(セキュリティ攻撃、又はサイバー攻撃ともいう)を検知し、検知した攻撃に対する対策(インシデント対応ともいう)の実施などの処理を行うセキュリティ制御部12を備えている。
従来、車載システムへの攻撃に対する対策の実行方法(例えば、攻撃検知の通知、又は対策の実施可否の設定など)は、自動車メーカー側で予め決められていた。すなわち、前記対策の実行方法は、自動車メーカーで実施する脅威分析結果(例えば、車載システムに存在する1以上の保護資産を明確にした上で、これら保護資産に対する脅威の特定、及び特定された脅威に対するリスク分析などを行い、これら脅威に対する対策を立案した結果)を基に、車両の安全性などを考慮して、予め決められていた。
そのため、車両のユーザが、攻撃検知の通知条件や対策の実施可否の条件などについて、これらの設定を変更することができなかった。
しかしながら、ユーザによっては、「リスクの低い攻撃検知については、頻繁に通知されるのは不快なので、通知は特に必要ないが、対策は実施してほしい」という要望があったり、「リスクが低くても、通知は必要であるが、対策を実施するかどうかは、ユーザ自身に判断させてほしい」という要望があったりした。このように、ユーザ毎に通知や対策の実行条件についての要望が異なる場合もあったが、従来、このようなユーザの要望を反映できる構成については特に検討されていなかった。
このようなユーザの要望を反映できるようにすべく、本実施の形態に係るゲートウェイECU10には、車載システム2に存在する1以上の保護資産に対する脅威を分析した脅威分析結果と、前記脅威が検知された場合の通知条件、及び検知された前記脅威に対する対策の実施条件のうちの少なくともいずれかを含む設定内容とが記憶されている。
そしてゲートウェイECU10が、前記脅威分析結果の中から、ユーザによる前記設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する処理を行い、特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する処理を行い、前記通知に基づいて変更入力された前記設定内容を記憶する処理を行うように構成されている。
前記脅威分析結果には、例えば、1以上の保護資産と、これら各保護資産に対する脅威と、各脅威に対するリスク値と、各脅威に対する対策とが含まれている。
また、前記変更許可条件には、例えば、前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルが考慮された条件が設定され得る。
かかる構成により、前記変更許可条件を満たさない、例えば、前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルが、所定のレベルより高く、車載システム2の安全性に係わるリスクが高い場合、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容については、ユーザによる変更入力を不可とする。一方、前記変更許可条件を満たす、例えば、前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルが、前記所定のレベル以下であり、車載システム2の安全性に係わるリスクが低い場合、前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容について、ユーザによる変更入力を可とし、該変更入力に基づいて前記設定内容を変更することが可能となる。
したがって、車載システム2の安全性を損なうことなく、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかの設定をユーザに変更させることができ、ユーザに対するユーザビリティを向上させることができ、車載システム2の安全性とユーザビリティの向上との両立を図ることが可能となる。
[構成例]
図2は、実施の形態に係るゲートウェイECU10の機能構成例を示すブロック図である。
ゲートウェイECU10は、ゲートウェイ(GW)機能部11と、セキュリティ制御部12と、記憶部40とを含んで構成されている。
ゲートウェイ機能部11は、各ECU群とバス3を介してフレーム(メッセージ)を転送する制御を行う機能を備えており、例えば、図示しないフレーム送受信部、フレーム解釈部、及びフレーム変換部など、車載システム2の各ECU群との間でCANプロトコルに従って相互通信するために必要な構成が含まれている。CANプロトコルにおけるフレームは、例えば、データフレーム、リモートフレーム、オーバーロードフレーム、及びエラーフレームを含んで構成されている。
セキュリティ制御部12は、ユーザ認証部21、特定部22、設定内容通知部23、記憶処理部24、攻撃検知部25、脅威判定部26、通知条件判定部27、攻撃通知部28、実施条件判定部29、及び対策実行部30を含んで構成されている。
セキュリティ制御部12は、ハードウェアとして、上記各部で実行されるプログラムが格納されるROM(Read Only Memory)、RAM(Random Access Memory)などを含むメモリ、該メモリからプログラムを読み出して実行するCPU(Central Processing Unit)などプロセッサなどを含んで構成され、これらハードウェアとプログラムとが協働することによって、上記各部の機能が実現されるようになっている。
記憶部40は、ユーザ認証データベース(DB)41、脅威分析データベース(DB)42、及び設定内容データベース(DB)43を含んで構成され、例えば、フラッシュメモリなどの半導体メモリで構成されている。脅威分析DB42が、本発明の「第1記憶部」の一例であり、設定内容DB43が、本発明の「第2記憶部」の一例である。
HMI装置80は、ユーザ認証を行うための認証UI(ユーザインターフェース)部81、設定入力を行うための設定UI部82、及び各種の情報を報知するための報知部83を含んで構成されている。
ユーザ認証部21は、HMI装置80の認証UI部81を介して入力されたユーザの認証情報を取得するとともに、ユーザ認証DB41からユーザ認証用の登録データを読み込み、取得した認証情報と登録データとを照合して、正しいユーザであるか否かを認証し、その認証結果(認証OK又は認証NGのデータ)を特定部22に送出する処理を行う。
ユーザ認証DB41には、登録データとして、例えば、ユーザ固有のID(識別番号)、パスワード、又は各種の生体認証用(例えば、顔認証用、虹彩認証用、指紋認証用、静脈認証用、又は声紋認証用)データなどが記憶されている。
また、脅威分析DB42には、車載システム2に存在する1以上の保護資産に対する脅威を分析した脅威分析結果が、例えば、脅威分析結果テーブルのデータ形式で記憶されている。
設定内容DB43には、車載システム2に対する脅威が検知された場合の通知条件、及び各脅威に対する対策の実施条件のうちの少なくともいずれかを含む設定内容が、例えば、設定内容テーブルのデータ形式で記憶されている。また、設定内容DB43には、設定内容の初期値が記憶された設定内容テーブルの他、ユーザにより変更入力された設定内容を含む、ユーザ固有の設定内容テーブルが記憶されるようになっている。
図3は、脅威分析DB42に記憶されている脅威分析結果テーブル42aと、設定内容DB43に記憶されている設定内容テーブル(初期値)43aとのデータ構成例の一部を示す図である。なお、図3では、説明の便宜上、脅威分析結果テーブル42aと設定内容テーブル43aとを1つのテーブルにまとめているが、各テーブル42a、43aのデータが互いに紐付けられた形式で記憶されていればよく、テーブルの形式は特に限定されない。
脅威分析結果テーブル42aは、脅威分析結果として、1以上の保護資産、これら各保護資産に対する脅威、各脅威に対するリスク値、各脅威に対する対策の要否、及び各対策の内容に関する情報を含んで構成されている。
また、保護資産に関する情報には、保護資産の重要レベルが含まれている。重要レベルは、その値が大きい程、保護すべき重要性が高いことを示す情報である。また、脅威に関する情報には、脅威レベルが含まれている。脅威レベルは、その値が大きい程、車載システム2に与える脅威が大きいことを示す情報である。
車載システム2の脅威分析の手法は特に限定されない。脅威分析では、車載システム2で攻撃対象となり得る機器等(ゲートウェイECU10、これに接続される走行系ECU群5、運転支援系ECU群6、ボディ系ECU群7、情報系ECU群8、及びOBDII4に接続される機器、その他、車載システム2に繋がる通信機器)において、保護すべき対象となる保護資産を抽出し、これら保護資産に対する脅威の特定、及び各脅威に対するリスク分析などが行われる。例えば、DFD(Date Flow Diagram)を用いた脅威抽出、STRIDEによる脅威分類、脅威ツリー、又はDREADによる脅威評価などの各種手法が採用され得る。
保護資産の欄には、例えば、各ECU群を動作させるための通信機能、通信データ、車両IDや機器IDなどの車両1の固有情報、位置や車速などの車両1の状態情報、ユーザ情報、車両1の各部の制御機能などに関わるソフトウェア、各種のアプリケーション用データ、各種の設定情報など、保護すべき対象が記憶されている。
脅威の欄には、例えば、なりすましなどの不正利用、データ改ざんなどの不正設定、不正中継、不正挿入、情報漏洩、盗聴、Dos攻撃、メッセージ喪失、ログ喪失、又は偽メッセージなど、保護資産に対する脅威が記憶されている。
リスク値は、例えば、保護資産の重要レベルと脅威のレベルとに基づいて導き出された値である。図3の例では、リスク値として、重要レベルと脅威レベルとを掛け合わせた値が記憶されているが、リスク値の算出方法はこれに限定されない。
対策要否の欄には、脅威に対する対策を実行する必要があるか否かを示す情報が記憶されている。
対策内容の欄には、例えば、バス遮断、メッセージ遮断などの通信遮断、メッセージ破棄、代替メッセージ生成、通知、フィルタリング、再起動、又は再認証など、脅威に対して実行する対策に関する情報が記憶されている。
設定内容テーブル43aは、設定内容として、脅威分析結果テーブル42aに記憶されている保護資産に対する脅威が検知された場合の通知条件と、脅威に対する対策の実施条件(対策実施条件)とを含んで構成されている。
通知条件には、攻撃検知回数と、通知方法とが含まれている。
攻撃検知回数には、攻撃検知の通知を行うまでに、検知される攻撃の回数が設定されている。例えば、「3回以上」に設定されている場合は、攻撃が3回以上検知された場合に、通知が実行される。
通知方法は、攻撃検知を通知する方法であり、例えば、HMI装置80に表示して通知する方法、車内に設けられたスピーカからブザー音を出力して通知する方法、車内に設けられたLEDなどのランプを点灯又は点滅させて通知する方法、ユーザ所有の端末装置などの車載システム2以外の装置に通知する方法などが設定されている。
対策実施条件には、自動実施可否設定が含まれている。
自動実施可否設定には、対策内容をゲートウェイECU10が自動的に実施するか否かについて設定されている。
特定部22は、ユーザ認証部21からユーザが正しく認証された情報を取得した場合に、脅威分析DB42から脅威分析結果テーブル42aを、設定内容DB43から設定内容テーブル43aをそれぞれ読み込み、脅威分析結果テーブル42aの中から、ユーザによる設定内容の変更を許可する変更許可条件を満たす保護資産、脅威、又はこれらの組み合わせを特定する処理を行う。
変更許可条件は、例えば、脅威分析結果テーブル42a中の保護資産の重要レベル、脅威レベル、又はリスク値の閾値レベルの条件に設定され得る。本実施の形態では、変更許可条件の一例として、リスク値の閾値レベルが10以下の条件が設定されている。なお、閾値レベルは、車両1の安全性に係るリスクなどを考慮して、ユーザによる設定内容の変更により車両1の安全性などが損なわれない値に予め設定されている。
設定内容通知部23は、特定部22により特定された変更許可条件を満たす保護資産、脅威、又はこれらの組み合わせに対応する設定内容をユーザによる変更入力が可能な形態で通知する処理を行う。例えば、HMI装置80の設定UI部82に設定変更画面を表示する処理を行う。
図4は、HMI装置80に表示される設定変更画面の一例を示す図である。
図4に例示した設定変更画面は、脅威分析結果の表示欄と、通知設定及び対策設定の表示欄とを含んで構成され、脅威分析結果の内容と、通知設定及び対策設定の内容とが対応付けて表示されている。
脅威分析結果の表示欄には、脅威分析結果テーブル42aに含まれている保護資産、脅威、リスク値、対策要否、対策内容の5つの項目の内容が含まれている。また、保護資産の項目には、保護資産の重要レベルがカッコ内に表示され、脅威の項目には、脅威レベルがカッコ内に表示されている。
なお、脅威分析結果の表示形態は、図4に例示した上記5つの項目が全て表示されている形態に限定されるものではなく、例えば、保護資産、脅威、及び対策内容のうちの少なくとも1つの項目を表示する形態などでもよい。
通知設定及び対策設定の表示欄には、通知設定として、攻撃検知回数及び通知方法の項目の内容が含まれ、対策設定として、自動実施可否設定の項目の内容が含まれている。
図4に例示した設定変更画面では、変更許可条件としてリスク値が10以下の条件を満たす保護資産、又は脅威に対応する設定内容(通知設定及び対策設定)が、ユーザによる変更入力可能な形態で表示されている。なお、リスク値が10以下の条件を満たさない(すなわち、10より大きい)ものについては、設定変更ができない構成になっている。
攻撃検知回数の項目では、ユーザに通知を行うまでに脅威が検知される回数、すなわち、「n回以上」のn(数値)を入力することが可能となっている。
通知方法の項目では、攻撃検知の通知方法の一例として、車内に設けられたスピーカからブザー音を発して通知する「ブザー」、HMI装置80に表示する「HMI」、及び車内に設けられたLEDなどのランプを点灯又は点滅表示する「LED」、ユーザの携帯端末にメールで通知する「メール通知」などが選択設定可能となっている。なお、通知方法はこれらに限定されず、その他の通知方法が含まれてもよい。
自動実施可否設定の項目では、対策内容の自動実施を許可する「可」、許可しない「否」を選択設定可能となっている。なお、「可否」の選択設定の他、対策実施前にユーザに対策を実施するか否かを確認する「ユーザ確認」を選択できるようにしてもよい。
記憶処理部24は、設定内容通知部23による通知に基づいて変更入力された設定内容を設定内容DB43に記憶する処理を行う。例えば、図4に例示した設定変更画面において、設定変更入力が完了したことを示す「完了」ボタンが入力されると、設定変更画面で入力された設定内容(通知設定及び対策設定)を設定内容DB43に記憶する処理を行う。これら設定内容は、ユーザ固有の設定情報であるので、ユーザ認証DB41に登録されているユーザ情報と紐付け可能な形式で記憶されるようになっている。例えば、図3に例示した設定内容テーブル(初期値)43aとは別に、設定内容が反映されたユーザ固有の設定内容テーブルが記憶される。
攻撃検知部25は、ゲートウェイ機能部11を介して各ECU群から取得したフレームに基づいて、車載システム2に発生した異常(フレーム異常、又はバス異常など)を検出し、検出された異常に対応する攻撃を検知する処理を行う。
フレーム異常は、例えば、フレームのID毎に設定されるRTR(Remote Transmission Request)、DLC(Data Length Code)、ペイロード、受信周期などのパラメータを確認することで検出される。フレーム異常は、CAN信号単体での異常を表している。
また、バス異常は、例えば、CH1~CH5の各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、これらバス3に出現するIDなどのパラメータを確認することで検出される。バス異常は、CAN信号の状況的な異常を表している。
攻撃を検知する処理では、例えば、最初の異常を検出してから所定時間内に収集された異常のデータと、攻撃の種類ごとに予め保持されている異常検出パターン(複数の異常検出パラメータを含む)とを照合して、検出した異常に対応する攻撃の種類を特定する処理を行ってもよい。
脅威判定部26は、攻撃検知部25により攻撃が検知された場合、検知された攻撃に対応する脅威を脅威分析結果テーブル42aに基づいて判定する、換言すれば、脅威分析結果テーブル42aの中から、検知された攻撃に対応する脅威の脅威分析結果の内容を特定し、その内容(保護資産、脅威、リスク値、対策要否、及び対策内容)を抽出する。
通知条件判定部27は、脅威判定部26により判定された脅威に対応する通知条件を、ユーザ固有の設定内容テーブルに基づいて判定する。より具体的には、通知条件判定部27は、脅威判定部26により判定された脅威に対応する脅威分析結果の内容を取り込むととともに、設定内容DB43からユーザ固有の設定内容テーブルを読み込む。次に通知条件判定部27は、読み込んだユーザ固有の設定内容テーブルから、判定された脅威に対応する通知条件を特定し、その内容(攻撃検知回数及び通知方法の設定内容)を抽出する。
攻撃通知部28は、通知条件判定部27により判定された通知条件(攻撃検知回数及び通知方法)に基づいて、ユーザへ攻撃が検知されたことを通知する処理を行う。
実施条件判定部29は、脅威判定部26により判定された脅威に対応する対策の実施条件を、ユーザ固有の設定内容テーブルに基づいて判定する。より具体的には、実施条件判定部29は、脅威判定部26により判定された脅威に対応する脅威分析結果の内容を取り込むととともに、設定内容DB43からユーザ固有の設定内容テーブルを読み込む。次に実施条件判定部29は、読み込んだユーザ固有の設定内容テーブルから、判定された脅威に対応する対策の実施条件を特定し、その内容(自動実施可否設定の設定内容)を抽出する。
対策実行部30は、実施条件判定部29により判定された実施条件(自動実施可否設定)に基づいて、各ECU群などに対して、脅威に対する対策(インシデント対応)を実行する。
[動作例]
図5は、実施の形態に係るゲートウェイECU10を構成するセキュリティ制御部12が行う設定変更処理動作を示すフローチャートである。なお、本処理動作は、例えば、ユーザが車両1に乗車して、車両1の始動スイッチがオンされて、車載システム2が起動された場合に実行される。
まず、ステップS1では、セキュリティ制御部12は、ユーザ認証部21として動作し、ユーザ認証処理を行う。例えば、HMI装置80の認証UI部81を介して入力された、ユーザの認証情報を取り込むとともに、ユーザ認証DB41からユーザ認証用の登録データを読み込み、取得したユーザの認証情報と登録データとを照合するなどの認証処理を行い、その後ステップS2に処理を進める。
ステップS2では、セキュリティ制御部12は、ユーザ認証に成功したか否か(認証OK又は認証NG)を判断し、ユーザ認証に失敗した(すなわち、正しいユーザではない)と判断すれば、その後処理を終える一方、ユーザ認証に成功した(認証OK)と判断すれば、ステップS3に処理を進める。
ステップS3では、セキュリティ制御部12は、特定部22として動作し、ユーザ認証部21から認証OKの信号を取得すると、脅威分析DB42から脅威分析結果テーブル42aを読み込む処理を行い、その後ステップS4に処理を進める。
ステップS4では、セキュリティ制御部12は、特定部22として動作し、設定内容DB43から、初期値が登録された設定内容テーブル43aを読み込む処理を行い、その後ステップS5に処理を進める。
ステップS5では、セキュリティ制御部12は、特定部22として動作し、脅威分析結果テーブル42aの中からリスク値が閾値レベル以下の(すなわち、変更許可条件を満たす)保護資産と脅威との組み合わせを特定する処理を行い、その後ステップS6に処理を進める。なお、変更許可条件として、リスク値の閾値レベルに代えて、保護資産の重要レベル、又は脅威レベルを用いてもよい。また、リスク値が閾値レベル以下の保護資産と脅威との組み合わせを特定する他に、リスク値が閾値レベル以下の保護資産、又は脅威を特定してもよい。
ステップS6では、セキュリティ制御部12は、設定内容通知部23として動作し、図4に例示したような、通知・対策設定の設定変更画面を生成し、HMI装置80の設定UI部82に表示する処理を行い、その後ステップS7に処理を進める。すなわち、ステップS6では、ステップS5で特定された、リスク値が閾値レベル以下の保護資産と脅威との組み合わせに対応する設定内容(通知条件、対策実施条件)をユーザによる変更入力可能な形態(例えば、数値入力、数値選択、プルダウンリスト表示など)にして表示する処理を行う。
ステップS7では、セキュリティ制御部12は、設定内容通知部23として動作し、設定変更画面中の設定変更可能な項目に対するユーザからの変更入力を受け付ける処理を行い、その後ステップS8に処理を進める。
ステップS8では、セキュリティ制御部12は、設定内容通知部23として動作し、設定変更画面中の設定変更可能な項目に対するユーザからの変更入力が完了したか否かを判断し(例えば、「完了」ボタンの入力があったか否かを判断し)、変更入力が完了していないと判断すれば、ステップS7に戻る一方、変更入力が完了したと判断すれば、ステップS9に処理を進める。
ステップS9では、セキュリティ制御部12は、記憶処理部24として動作し、設定変更画面を介して変更入力された設定内容(通知条件、対策実施条件)を、ユーザ固有の設定情報として設定内容DB43に記憶する処理を行う。例えば、ユーザ認証DB41に登録されているユーザ情報と紐付け可能なユーザ固有の設定内容テーブルを作成して設定内容DB43に記憶する処理を行い、その後処理を終える。
図6は、実施の形態に係るゲートウェイECU10を構成するセキュリティ制御部12が行う攻撃対応処理動作を示すフローチャートである。本処理動作は、例えば、セキュリティ制御部12でセキュリティ攻撃が検知された場合に実行される。
まずステップS11では、セキュリティ制御部12は、攻撃検知部25として動作し、車載システム2に発生した異常(フレーム異常、又はバス異常など)を検出し、これら異常に対応するセキュリティ攻撃を検知したか否かを判断する。ステップS11において、セキュリティ制御部12は、攻撃を検知していないと判断すれば、その後処理を終える一方、攻撃を検知したと判断すれば、ステップS12に処理を進める。
ステップS12では、セキュリティ制御部12は、脅威判定部26として動作し、ステップS11で検知された攻撃に対応する脅威を、脅威分析DB42から読み込んだ脅威分析結果テーブル42aに基づいて判定する処理を行い、その後、ステップS13に処理を進める。
ステップS13では、セキュリティ制御部12は、通知条件判定部27として動作し、ステップS12で判定された脅威に対応するユーザ固有の通知条件を、設定内容DB43から読み込んだユーザ固有の設定内容テーブルに基づいて判定する処理を行い、その後、ステップS14に処理を進める。
ステップS14では、セキュリティ制御部12は、実施条件判定部29として動作し、ステップS12で判定された脅威に対応するユーザ固有の対策実施条件を、設定内容DB43から読み出したユーザ固有の設定内容テーブルに基づいて判定する処理を行い、その後、ステップS15に処理を進める。
ステップS15では、セキュリティ制御部12は、攻撃通知部28として動作し、ステップS13で判定されたユーザ固有の通知条件に基づいて、ユーザに攻撃が検知されたことを通知する処理を行い、その後ステップS16に進む。
ステップS16では、セキュリティ制御部12は、対策実行部30として動作し、ステップS14で判定されたユーザ固有の対策実施条件に基づいて、脅威に対応する対策、すなわちインシデント対応を行い、その後処理を終える。例えば、対策実施条件に含まれている自動実施可否設定が、「可」に設定されていれば、対策内容に基づいて自動的に対応処理を行う。自動実施可否設定が、「否」に設定されていれば、対応処理を行わない、又は、ユーザに対応処理を行うか否かを確認し、確認結果に基づいて対応処理を行ってもよい。
なお、ステップS13とS14の処理順序を入れ替えてもよいし、これら処理を並列的に行ってもよい。また、ステップS15とS16の処理順序を入れ替えてもよいし、これら処理を並列的に行ってもよい。また、ステップS13の次にステップS15の処理を行い、その後、ステップS14、S16の処理を行うようにしてもよい。
[作用・効果]
上記実施の形態に係るゲートウェイECU10によれば、脅威分析結果テーブル42aの中から、変更許可条件を満たす保護資産、脅威、又はこれらの組み合わせが特定され、特定された変更許可条件を満たす保護資産、脅威、又はこれらの組み合わせに対応する設定内容がユーザによる変更入力が可能な画面形態でHMI装置80に表示され、設定変更画面を介して変更入力されたユーザ固有の設定内容が設定内容DB43に記憶される。
そのため、変更許可条件を満たさない、例えば、保護資産の重要レベル、脅威レベル、又はリスク値の閾値レベルが、所定のレベルより高く、車載システム2の安全性に係わるリスクが高い場合、これらに対応する設定内容については、ユーザによる変更入力を不可とする。一方、変更許可条件を満たす、例えば、保護資産の重要レベル、脅威レベル、又はリスク値の閾値レベルが所定のレベル以下であり、車載システム2の安全性に係わるリスクが低い場合、これらに対応する設定内容についてのみ、ユーザによる変更入力を可とし、該変更入力に基づいて設定内容をユーザ固有の内容に変更することが可能となる。
したがって、車載システム2の安全性を損なうことなく、脅威が検知された場合の通知条件、及び脅威に対する対策の実施条件のうちの少なくともいずれかの設定をユーザに変更させることができ、ユーザに対するユーザビリティを向上させることができ、車載システム2の安全性とユーザビリティの向上との両立を適切に図ることができる。
また、ゲートウェイECU10によれば、通知条件として、攻撃の検知回数、及び通知方法のうちの少なくとも1つについて、ユーザに設定させることができる。また、対策実施条件として、脅威に対する対策を自動的に実施するか否かについて、ユーザに設定させることができる。したがって、これらのユーザの要望に応じた条件で、脅威に対する通知や対策を実行することができ、ユーザビリティを一層向上させることができる。
また、ゲートウェイECU10によれば、ユーザ認証部21によりユーザが正しく認証された場合、すなわち、ユーザ認証部21から認証OKの情報を取得した場合、特定部22によって、脅威分析結果テーブル42aの中から変更許可条件を満たす保護資産、脅威又は、これらの組み合わせが特定される。
したがって、ユーザが正しく認証された場合にのみ、設定内容の変更を許可することができ、他人による設定内容の変更を防止でき、また、車載システム2を複数人が共用する場合であっても、ユーザ毎に設定内容を変更し、登録することができ、利便性を高めることができる。
また、ゲートウェイECU10によれば、攻撃検知部25で攻撃が検知された場合、検知された攻撃に対応する脅威が脅威分析結果テーブル42aに基づいて判定され、判定された脅威に対応する通知条件が、ユーザ固有の設定内容テーブルに基づいて判定され、判定されたユーザ固有の通知条件に基づいて、ユーザへ通知処理が行われる。したがって、ユーザの要望に応じた方法で攻撃の検知を通知することができる。
また、ゲートウェイECU10によれば、脅威判定部26により判定された脅威に対応する対策の実施条件が、ユーザ固有の設定内容テーブルに基づいて判定され、判定されたユーザ固有の実施条件に基づいて、脅威に対応する対策が実行される。したがって、ユーザの要望に応じた実施条件で、脅威に対応する対策を実行することができる。
また、各ECU群の通信を中継する機能を有するゲートウェイECU10を、セキュリティ装置として機能させることにより、車載システム2に存在する1以上の保護資産に対応する設定内容を一元的に管理することができる。
[変形例]
以上、本発明の実施の形態を詳細に説明したが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく、種々の改良や変更を行うことができることは言うまでもない。
例えば、ゲートウェイECU10に実装されたセキュリティ制御部12を、他のECUに搭載してもよいし、セキュリティ制御部12が装備されたセキュリティECUを車載システム2に接続する構成としてもよい。
また、上記ゲートウェイECU10では、ユーザ認証部21とユーザ認証DB41とが装備されているが、別の実施の形態では、ユーザ認証部21とユーザ認証DB41とを、HMI装置80などの外部装置に設け、ゲートウェイECU10では、外部装置からユーザ認証をした認証結果を取得する構成としてもよい。
また別の実施の形態に係るゲートウェイECU10では、セキュリティ制御部12において、車載システム2に接続された情報系ECU群8に含まれるテレマティクス装置、又はITS関連装置を介して車外に、上記した攻撃検知を通知してもよい。係る構成によれば、テレマティクス装置、又はITS関連装置を介して車外に、攻撃を検知したことを通報することが可能となる。したがって、例えば、周辺の他車、インフラ設備、ディーラー、メーカー、又は公的機関に、攻撃の発生を知らせることができ、車外から攻撃に対して適切な対応を実施することも可能となる。
また、上記実施の形態では、車載システム2に接続されたゲートウェイECU10に本発明に係る技術が適用された例を説明した。車載システム2は、本発明に係る技術が適用される機器システムの一例である。本発明に係る技術は、他の機器ネットワークシステム、例えば、FA(Factory Automation)システムを構成する1以上の産業機器が通信路を介して接続された産業機器ネットワークに含まれるセキュリティ装置にも適用可能である。前記産業機器には、例えば、プログラマブルコントローラ、フィールドネットワーク機器、無線機器、センサ、アクチュエータ、ロボット、HMI(Human Machine Interface)機器、及びデータ収集機器のうちの少なくとも1つが含まれる。また、本発明に係る技術は、家庭用機器が接続されたホーム機器ネットワーク、又は事務用機器が接続された事務機器ネットワークなどに含まれるセキュリティ装置にも適用可能である。なお、通信路は、有線であってもよいし、無線であってもよいし、有線と無線とを含んでいてもよい。
本発明は、車載機器、又は産業機器などの1以上の機器が通信路を介して接続された機器システムで検知された攻撃を通知したり、対策を実行したりするセキュリティ装置関連の産業分野において広く利用することができる。
[付記]
本発明の実施の形態は、以下の付記の様にも記載され得るが、これらに限定されない。
(付記1)
1以上の機器が通信路を介して接続された機器システム(2)に含まれるセキュリティ装置(10)であって、
前記機器システム(2)に存在する1以上の保護資産に対する脅威を分析した脅威分析結果が記憶される第1記憶部(42)と、
前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含む設定内容が記憶される第2記憶部(43)と、
前記脅威分析結果の中から、ユーザによる前記設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定部(22)と、
該特定部(22)により特定された前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知部(23)と、
該設定内容通知部(23)による通知に基づいて変更入力された前記設定内容を前記第2記憶部(43)に記憶する記憶処理部(24)とを備えていることを特徴とするセキュリティ装置(10)。
(付記2)
1以上の機器が通信路を介して接続された機器システム(2)で検知された攻撃への対応処理の設定を変更する方法であって、
前記機器システム(2)に存在する1以上の保護資産に対する脅威を分析した脅威分析結果の中から、ユーザによる前記対応処理の設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定ステップ(S5)と、
該特定ステップ(S5)により特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知ステップ(S6)と、
該設定内容通知ステップによる通知に基づいて変更入力された前記設定内容を記憶する記憶処理ステップ(S9)とを含み、
前記設定内容に、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含むことを特徴とする設定変更方法。
1 車両
2 車載システム(機器システム)
3 バス
4 OBDII
5 走行系ECU群
6 運転支援系ECU群
7 ボディ系ECU群
8 情報系ECU群
10 ゲートウェイECU(セキュリティ装置)
11 ゲートウェイ機能部
12 セキュリティ制御部
21 ユーザ認証部
22 特定部
23 設定内容通知部
24 記憶処理部
25 攻撃検知部
26 脅威判定部
27 通知条件判定部
28 攻撃通知部
29 実施条件判定部
30 対策実行部
40 記憶部
41 ユーザ認証DB
42 脅威分析DB
43 設定内容DB
80 HMI装置
81 認証UI部
82 設定UI部
83 報知部

Claims (11)

  1. 1以上の機器が通信路を介して接続された機器システムに含まれるセキュリティ装置であって、
    前記機器システムに存在する1以上の保護資産に対する脅威を分析した脅威分析結果が記憶される第1記憶部と、
    前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含む設定内容が記憶される第2記憶部と、
    前記脅威分析結果の中から、ユーザによる前記設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定部と、
    該特定部により特定された前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知部と、
    該設定内容通知部による通知に基づいて変更入力された前記設定内容を前記第2記憶部に記憶する記憶処理部とを備え
    前記脅威分析結果が、
    1以上の前記保護資産と、該保護資産に対する前記脅威と、該脅威に対するリスク値と、前記脅威に対する対策とを含み、
    前記変更許可条件が、
    前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルの条件を含むものである、
    セキュリティ装置。
  2. 前記通知条件には、
    前記脅威の検知回数、及び前記ユーザへの通知方法のうちのいずれかが含まれ、
    前記実施条件には、
    前記脅威に対する対策を自動的に実施するか否かの設定が含まれていることを特徴とする請求項1記載のセキュリティ装置。
  3. 前記ユーザを認証する認証部を備え、
    前記特定部が、
    前記認証部により前記ユーザが正しく認証された場合に、前記脅威分析結果の中から前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定するものであることを特徴とする請求項1記載のセキュリティ装置。
  4. 前記機器システムに対する攻撃を検知する攻撃検知部と、
    該攻撃検知部により前記攻撃が検知された場合、検知された前記攻撃に対応する前記脅威を前記脅威分析結果に基づいて判定する脅威判定部と、
    該脅威判定部により判定された前記脅威に対応する前記通知条件を前記設定内容に基づいて判定する通知条件判定部と、
    該通知条件判定部により判定された前記通知条件に基づいて、前記ユーザへ通知を行う通知部とを備えていることを特徴とする請求項1記載のセキュリティ装置。
  5. 前記脅威判定部により判定された前記脅威に対応する対策の前記実施条件を前記設定内容に基づいて判定する実施条件判定部と、
    該実施条件判定部により判定された前記実施条件に基づいて、前記脅威に対応する対策を実行する対策実行部とを備えていることを特徴とする請求項記載のセキュリティ装置。
  6. 前記機器が、車両に搭載される制御装置であり、
    前記機器システムが、1以上の前記制御装置が前記通信路を介して接続された車載システムであることを特徴とする請求項1記載のセキュリティ装置。
  7. 前記機器が、産業機器であり、
    前記通信路が、産業機器ネットワークであり、
    前記機器システムが、FA(Factory Automation)システムであることを特徴とする請求項1記載のセキュリティ装置。
  8. 前記セキュリティ装置が、前記機器システムに含まれるゲートウェイ装置であることを特徴とする請求項1記載のセキュリティ装置。
  9. 1以上の機器が通信路を介して接続された機器システムに含まれるセキュリティ装置で検知された攻撃への対応処理の設定を変更する方法であって、
    前記セキュリティ装置のセキュリティ制御部が、前記機器システムに存在する1以上の保護資産に対する脅威を分析した脅威分析結果の中から、ユーザによる前記対応処理の設定内容の変更を許可する変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせを特定する特定ステップと、
    前記セキュリティ装置の前記セキュリティ制御部が、該特定ステップにより特定された前記変更許可条件を満たす前記保護資産、前記脅威、又はこれらの組み合わせに対応する前記設定内容を前記ユーザによる変更入力が可能な形態で通知する設定内容通知ステップと、
    前記セキュリティ装置の前記セキュリティ制御部が、該設定内容通知ステップによる通知に基づいて変更入力された前記設定内容を記憶する記憶処理ステップとを含み、
    前記設定内容に、前記脅威が検知された場合の通知条件、及び前記脅威に対する対策の実施条件のうちの少なくともいずれかを含み、
    前記脅威分析結果が、
    1以上の前記保護資産と、該保護資産に対する前記脅威と、該脅威に対するリスク値と、前記脅威に対する対策とを含み、
    前記変更許可条件が、
    前記保護資産の重要レベル、前記脅威が示す脅威レベル、又は前記リスク値の閾値レベルの条件を含むものである、
    設定変更方法。
  10. 請求項記載の設定変更方法の各ステップを前記機器システムに含まれる少なくとも1以上のコンピュータに実行させるためのプログラム。
  11. 請求項記載の設定変更方法の各ステップを前記機器システムに含まれる少なくとも1以上のコンピュータに実行させるためのプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
JP2021536480A 2019-07-29 2019-07-29 セキュリティ装置、設定変更方法、プログラム、及び記憶媒体 Active JP7259966B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/029629 WO2021019638A1 (ja) 2019-07-29 2019-07-29 セキュリティ装置、設定変更方法、プログラム、及び記憶媒体

Publications (2)

Publication Number Publication Date
JPWO2021019638A1 JPWO2021019638A1 (ja) 2021-02-04
JP7259966B2 true JP7259966B2 (ja) 2023-04-18

Family

ID=74230318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021536480A Active JP7259966B2 (ja) 2019-07-29 2019-07-29 セキュリティ装置、設定変更方法、プログラム、及び記憶媒体

Country Status (2)

Country Link
JP (1) JP7259966B2 (ja)
WO (1) WO2021019638A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230289435A1 (en) 2022-03-10 2023-09-14 Denso Corporation Incident response according to risk score

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005031590A (ja) 2003-07-11 2005-02-03 Fuji Xerox Co Ltd 異常検知装置および方法
JP2016071551A (ja) 2014-09-29 2016-05-09 株式会社日本総合研究所 コンセントのアダプタを用いた生活見守りサーバ及び生活見守り方法
JP2017111532A (ja) 2015-12-15 2017-06-22 横河電機株式会社 制御装置及び統合生産システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8786425B1 (en) * 2011-09-09 2014-07-22 Alarm.Com Incorporated Aberration engine

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005031590A (ja) 2003-07-11 2005-02-03 Fuji Xerox Co Ltd 異常検知装置および方法
JP2016071551A (ja) 2014-09-29 2016-05-09 株式会社日本総合研究所 コンセントのアダプタを用いた生活見守りサーバ及び生活見守り方法
JP2017111532A (ja) 2015-12-15 2017-06-22 横河電機株式会社 制御装置及び統合生産システム

Also Published As

Publication number Publication date
WO2021019638A1 (ja) 2021-02-04
JPWO2021019638A1 (ja) 2021-02-04

Similar Documents

Publication Publication Date Title
US11575699B2 (en) Security processing method and server
CN110494330B (zh) 车辆监视装置、不正当检测服务器、以及控制方法
JP7045288B2 (ja) データ解析装置、データ解析方法及びプログラム
JP7496404B2 (ja) セキュリティ処理方法及びサーバ
CN107431709B (zh) 攻击识别方法、攻击识别装置和用于汽车的总线系统
US9805520B2 (en) Method and system for providing vehicle security service
US10326793B2 (en) System and method for guarding a controller area network
Wright Hacking cars
US9560061B2 (en) Motor vehicle with a driving behavior which can be modified at a later stage using an application program
CN111142500B (zh) 车辆诊断数据的权限设置方法、装置及车载网关控制器
JP7045286B2 (ja) データ解析装置、データ解析方法及びプログラム
EP2454701B1 (de) Kommunikationsverfahren, computerprogrammprodukt und kommunikationssystem
CN111314386B (zh) 一种智能网联汽车的入侵检测方法和装置
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
JP7259966B2 (ja) セキュリティ装置、設定変更方法、プログラム、及び記憶媒体
KR101791786B1 (ko) 자동차 보안 시스템 및 그 동작 방법
CN106982213A (zh) 一种应用于车载设备的网络攻击防御方法及相关装置
JP7318710B2 (ja) セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体
CN111439222A (zh) 车辆控制方法及装置
WO2021019637A1 (ja) セキュリティ装置、サーバ装置、セキュリティシステム、及びセキュリティ機能設定方法
JP7160206B2 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体
CN110519213A (zh) 车内消息的过滤方法、装置、设备及计算机可读存储介质
JP2014021617A (ja) 車両用認証装置及び車両用認証システム
US20240114044A1 (en) Log determination device, log determination method, log determination program, and log determination system
CN109388940B (zh) 车机系统访问方法、装置、服务器及工程u盘

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230307

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230320

R150 Certificate of patent or registration of utility model

Ref document number: 7259966

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150