WO2017203375A1

WO2017203375A1 - セキュリティ検査システム、セキュリティ検査方法、機能評価装置、及びプログラム

Info

Publication number: WO2017203375A1
Application number: PCT/IB2017/052566
Authority: WO
Inventors: デニス健五岡
Original assignee: ローベルトボッシュゲゼルシャフトミットべシュレンクテルハフツングシュトゥットガルトポストファッハ 30 02 20
Priority date: 2016-05-27
Filing date: 2017-05-03
Publication date: 2017-11-30

Abstract

【課題】ECUに改変を加えることなく、ランダムなテスト信号を用いてECUのセキュリティ検査を実行可能にする。【解決手段】セキュリティ検査システムは、車載ネットワーク向けの制御装置のセキユリティを診断するための、不正信号を含むランダムなテスト信号を送信するテスト信号送信部、及び、テスト信号による制御装置の処理結果に基づいて不正信号を特定する診断部、を有するセキュリティ検査ュニッ卜と、制御装置の処理結果に関連する情報を取得する処理情報取得部、テス卜信号に基づく制御装置の処理結果の異常を検出する異常検出部、及び、検出された異常の情報を出力する異常情報出力部、を有する機能評価ユニットと、を備える。

Description

【書類名】明細書

【発明の名称】セキュリティ検査システム、セキュリティ検査方法、機能評価装置、及びプログラム

【技術分野】

【 0 0 0 1】

本発明は、車載ネットワーク向けの制御装置のセキュリティ検査を行うセキュリティ検査システム及びセキュリティ検査方法、並びに、当該セキュリティ検査システムに利用可能な機能評価装置及びプログラムに関する。

【背景技術】

【 0 0 0 2】

従来、ソフトウェアの脆弱性を発見するための検査方法として、不正信号を含むランダムなテスト信号を、検査対象のソフトウェアが実行され得る装置に入力し、その際の装置の動作を監視する方法が知られている。かかる検査方法としては、例えば、フアジングテストが挙げられる。フアジングテストは、ソフトウェアの内部構造を知らない、いわゆるブラックボックスの状態で行われる検査方法であり、検査装置は、テスト信号をランダムに大量に検査対象の装置に送信し、当該装置による演算処理の結果を受けて不正信号を特定する等により、ソフトウェアの脆弱性を発見する（特許文献 1及び 2を参照）。

【先行技術文献】

【特許文献】

【 0 0 0 3】

【特許文献 1】特開 2 0 1 4— 2 2 9 3 0 1号公報

【特許文献 2】特開 2 0 1 5— 7 5 8 0 8号公報

【発明の概要】

【発明が解決しょうとする課題】

【 0 0 0 4】

ここで、 CAN (C o n t r o l l e r A r e a N e t w o r k) に代表される車載の通信ネットワークでは、ネットワーク上の各制御装置（E CU : E l e c t r o n i c C o n t r o l Un i t ) が適宜のタイミングでネットワーク上にメッセージ（C ANメッセージ）を送信するようになっている。つまり、このようなネットワーク上の E CUは、検査装置からネットワークを介して取得したテスト信号に基づき演算処理を行つた後、当該テスト信号に対応して検査装置に対して応答を返すようには構成されていない。したがって、かかる検査装置は、車載ネットワーク向けの E CUに対して適用することが困難であった。

【 0 0 0 5】

さらに、仮に E CUがテスト信号に対応して検査装置に対して検査結果についての応答を返すように構成されていたとしても、実際に E CUが周辺機器や他の E CUとの間で異常な信号のやり取りをしていないかを把握することは困難であった。

【 0 0 0 6】

本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、 E C Uに改変を加えることなく、ランダムなテスト信号を用いて E CUのセキュリティ検査を実行可能な、新規かつ改良されたセキュリティ検査システム及びセキュリティ検査方法、並びに、当該セキュリティ検査システムに利用可能な機能評価装置及びプログラムを提供することにある。

【課題を解決するための手段】

【 0 0 0 7】

上記課題を解決するために、本発明のある観点によれば、車載ネットワーク上の制御装置のセキュリティを診断するための、不正信号を含むランダムなテスト信号を送信するテスト信号送信部、及び、テスト信号による制御装置の処理結果に基づいて不正信号を特定する診断部、を有するセキュリティ検査ユニットと、制御装置の処理結果に関連する情報を取得する処理情報取得部、テス卜信号に基づく制御装置の処理結果の異常を検出する異常検出部、及び、検出された異常の情報を出力する異常情報出力部、を有する機能評価ュニットと、を備えた、車載ネットワーク向けの制御装置のセキュリティ検査システムが提供される。

【 0 0 0 8】

本発明に係るセキュリティ検査システムによれば、セキュリティ検査ュニットとは別に従来から使用されている、制御装置（E CU) による処理結果の機能評価を行う機能評価ユニットが、セキュリティ検査ュニッ卜のセキュリティ検査に用いられ得る異常の情報を出力する異常情報出力部を備える。このため、制御装置に改変を加えることなく、セキュリティ検査ュニットは、機能評価ュニッ卜の異常情報出力部が出力する異常情報を用いて、制御装置のセキュリティを診断することができる。

【 0 0 0 9】

セキュリティ検査ユニットは、直前までの検査結果に基づいて、以降送信されるランダムなテスト信号を設定するテスト信号適合部を備えてもよい。

【0 0 1 0】

機能評価ュニットは、制御装置が車載ネットワーク上で置かれ得る状態をテスト条件として設定し、制御装置に送信するテスト条件設定部を備えてもよい。

【0 0 1 1】

セキュリティ検査ュニッ卜のテスト信号送信部は、制御装置と併せて機能評価ュニットにテスト信号を送信し、機能評価ュニッ卜の異常情報出力部は、正常であった処理結果に対応するテスト信号を除外して、異常となった処理結果に対応するテスト信号の情報を出力してもよレ、。

【0 0 1 2】

機能評価ュニッ卜の異常情報出力部は、セキュリティ検査ュニッ卜に異常の情報を送信してもよレ、。

【0 0 1 3】

機能評価ュニッ卜の異常情報出力部は、機能評価ュニッ卜に設けられた記憶部に異常の情報を記憶させてもよい。

【0 0 1 4】

車載ネットワーク力 CAN (C o n t r o l l e r A r e a N e t w o r k) 、 L I N (L o c a l I n t e r c o n n e c t N e t w o r k) 、 F l e x R a y、 MO S T (Me d i a O r i e n t e d S y s t e m s T r a n s p o r t ) 、 C AN- F D (CAN w i t h F l e x i b l e D a t a r a t e ) 、又は、 Au t o m o t i v e E t h e r n e tであってもよレヽ。

【0 0 1 5】

機能評価ュニッ卜の異常検出部は、制御装置の処理結果として出力される出力信号の送信周波数が想定される周波数を超える場合に、処理結果の異常を検出してもよい。

【0 0 1 6】

機能評価ュニッ卜の異常検出部は、制御装置の処理結果として出力される出力信号又は入力される入力信号としてのアナログ信号又はデジタル信号の電圧値が想定される上限を超え又は下限を下回る場合に、処理結果の異常を検出してもよい。

【0 0 1 7】

機能評価ュニッ卜の異常検出部は、制御装置の処理結果として出力される出力信号又は入力される入力信号としてのアナログ信号又はデジタル信号の周波数が想定される周波数を超える場合に、処理結果の異常を検出してもよい。

【0 0 1 8】

機能評価ュニッ卜の異常検出部は、制御装置の処理結果に基づいて表示制御が行われる表示装置を撮影した撮像情報に基づいて、処理結果の異常を検出してもよい。

【0 0 1 9】

機能評価ュニッ卜の異常検出部は、撮像情報に基づいて表示装置の矛盾する表示を検出した場合に、処理結果の異常を検出してもよい。【 0 0 2 0】

機能評価ュニッ卜の異常検出部は、制御装置の処理結果に関連する所定の値の単位時間当たりの変化量が想定される閾値を超える場合に、処理結果の異常を検出してもよい。

【 0 0 2 1】

機能評価ユニットの異常検出部は、制御装置の処理結果として、制御装置内のメモリアドレスに含まれる変更不可能な値が上書きされた場合に、処理結果の異常を検出してもよレ、。

【 0 0 2 2】

また、本発明の別の観点によれば、セキュリティ検査ユニットが、車載ネットワーク上の制御装置のセキュリティを診断するための、不正信号を含むランダムなテスト信号を送信するステップと、機能評価ユニットが、制御装置の処理結果に関連する情報を取得するステップと、機能評価ュニッ卜が、テスト信号に基づく制御装置の処理結果の異常を検出するステップと、機能評価ユニットが、検出された異常の情報を記憶又はセキュリティ検査ユニットに送信するステップと、セキュリティ検査ユニットが、テスト信号による制御装置の処理結果に基づいて不正信号を特定するステップと、を含む、車載ネットワーク向けの制御装置のセキュリティ検査方法が提供される。

【 0 0 2 3】

また、本発明のさらに別の観点によれば、車載ネットワーク上の制御装置の処理結果に関連する情報を取得する処理情報取得部と、制御装置のセキュリティを診断するセキユリティ検査ュニッ卜から車載ネットワークを介して制御装置に送信された、不正信号を含むランダムなテスト信号による制御装置の処理結果の異常を検出する異常検出部と、検出された異常の情報を出力する異常情報出力部と、を備えた、車載ネットワーク向けの制御装置の機能評価装置が提供される。

【 0 0 2 4】

また、本発明のさらに別の観点によれば、コンピュータにより、車載ネットワーク上の制御装置の処理結果に関連する情報を取得する処理情報取得部と、制御装置のセキュリティを診断するセキュリティ検査ュニッ卜から車載ネットワークを介して制御装置に送信された、不正信号を含むランダムなテスト信号による制御装置の処理結果の異常を検出する異常検出部と、検出された異常の情報を出力する異常情報出力部と、の機能を実現させる、プログラムが提供される。

【発明の効果】

【 0 0 2 5】

以上説明したように本発明によれば、 E C Uに改変を加えることなく、ランダムなテスト信号を用いて E C Uのセキュリティ検査を実行することができる。

【図面の簡単な説明】

【 0 0 2 6】

【図 1】本発明の検査対象の E C Uを含む車載ネットワークの構成例を示す模式図である。

【図 2】第 1の実施の形態に係るセキュリティ検査システムの構成例を示す模式図である。

【図 3】同実施形態に係るセキュリティ検査システムによる異常判定方法を示す説明図である。

【図 4】同実施形態に係るセキュリティ検査システムによる処理のフローチヤ一卜の一例を示す説明図である。

【図 5】同実施形態の第 1の変形例に係るセキュリティ検査システムの構成例を示す模式図である。

【図 6】同実施形態の第 1の変形例に係るセキュリティ検査システムによる異常判定方法を示す説明図である。

【図 7】同実施形態の第 2の変形例に係るセキュリティ検査システムの構成例を示す模式図である。【図 8】同実施形態の第 2の変形例に係るセキュリティ検査システムによる処理のフローチャー卜の一例を示す説明図である。

【図 9】同実施形態の第 3の変形例に係るセキュリティ検査システムによる処理のフローチャー卜の一例を示す説明図である。

【図 1 0】第 2の実施の形態に係るセキュリティ検査システムの構成例を示す模式図である。

【図 1 1】同実施形態に係るセキュリティ検査システムによる処理のフローチヤ一トの一例を示す説明図である。

【図 1 2】第 3の実施の形態に係るセキュリティ検査システムの構成例を示す模式図である。

【図 1 3】同実施形態に係るセキュリティ検査システムによる処理のフローチヤ一トの一例を示す説明図である。

【図 1 4】同実施形態の変形例に係るセキュリティ検査システムの構成例を示す模式図である。

【図 1 5】同実施形態の変形例に係るセキュリティ検査システムによる処理のフローチヤ一卜の一例を示す説明図である。

【図 1 6】第 4の実施の形態に係るセキュリティ検査システムの構成例を示す模式図である。

【図 1 7】同実施形態に係るセキュリティ検査システムによる処理のフローチヤ一トの一例を示す説明図である。

【図 1 8】第 5の実施の形態に係るセキュリティ検査システムの構成例を示す模式図である。

【図 1 9】セキュリティ検査システムの別の構成例を示す模式図である。

【発明を実施するための形態】

【 0 0 2 7】

以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。

【 0 0 2 8】

くく 1 . 第 1の実施の形態 > >

< 1 - 1 . 車載ネットワーク >

まず、図 1を参照して、第 1の実施の形態に係るセキュリティ検査システムによるセキユリティ検査を適用可能な E C U (制御装置）を備えた車載の通信ネットワーク（以下、

「車載ネットワーク」ともいう。）の構成例について簡単に説明する。図 1は、乗用車や商用車等の車両に搭載された複数の E C U 1 0 A〜 1 0 Eが接続された車載ネットワーク 1を示している。

【 0 0 2 9】

複数の E C U 1 0 A〜 1 0 Eは、例えば、車両のエンジンを制御するためのエンジンコントロールュニット、自動変速機を制御するためのトランスミッションコントロールュニット、ハイブリッド車両の駆動用モータ又は発電用モータを制御するためのモータコントロールュニット、ハイブリッド車両の高電圧バッテリを制御するためのバッテリコント口ールュニット、ハイブリッド車両の駆動力あるいは回生力を統合的に制御するためのハイブリッドコントローノレュニット、ィンストノレメントパネノレやドア口ック、ノワーウィンドゥ等を制御するためのボディコントロールュニット、エアバッグ装置を制御するためのェアバッグコントロールュニット等である。

【 0 0 3 0】

各 E C U 1 0 A〜1 0 Eには、それぞれの制御対象の制御に必要とされる各種のァクチユエータゃセンサ等の周辺機器が接続されている。 E C U 1 0 A〜1 0 Eは、演算処理結果に基づいて周辺機器に対して信号を送信し、あるいは、周辺機器からセンサ信号等を受信する。例えば、 E C U 1 0 Aに接続された周辺機器 2 1〜 2 4のように、周辺機器 2 1 〜24が個別に E CU 1 O Aに接続されていてもよレ、。あるレ、は、 E CU 1 0 Cに接続された周辺機器 3 1〜 3 4のように、周辺機器 3 1〜3 4カ L I N (L o c a l I n t e r c o n n e c t N e t w o r k) 等のサブネットワーク 3 0を介して E C U 1 0 C に接続されていてもよい。

【 0 0 3 1】

各 E C U 1 0 A〜 1 0 Eは、例えば、通信バス 5との通信回路、 C PU (C e n t r a 1 P r o c e s s i n g U n i t ) 、及び、 RAM (R a n d o m A c c e s s Me m o r y) や ROM (R e a d O n l y M e m o r y) 等の記憶素子を備えて構成されている。 ROMには、例えば、 C PUによって実行されるプログラムや、プロダラムの演算処理に用いられるパラメータ等の情報が記憶される。 RAMには、例えば、 C P Uによる演算処理結果や各種周辺機器の送信信号、各種周辺機器からの受信信号の情報が記憶される。

【 0 0 3 2】

これらの複数の E CU 1 0 A〜 1 0 Eは、それぞれ通信バス 5に接続され、通信バス 5 を介して互いに情報の送受信が可能となっている。本実施形態に係る車載ネットワーク 1 は、 CAN (C o n t r o l l e r A r e a N e t w o r k) システムとして構築され、複数の E CU 1 0 A〜 1 0 Eは、通信バス 5を介して CANメッセージを送受信することにより、互いに情報を送受信可能に構成されている。

【 0 0 3 3】

各 E CU 1 0 A〜 1 0 Eは、自身の E CUにおいて取得あるいは算出された情報を、他の E C Uにより共有されるようにするために、通信バス 5上に CANメッセージを送信する。 CANメッセージの送信は、所定の時間間隔で行われるように設定され得る。他の E CUからの CANメッセージを受信した E C Uは、 CANメッセージに含まれる情報を用いて、制御対象の制御を実行することができる。

【 0 0 3 4】

本実施形態においては、 1つの E CUから送信された CANメッセージを他の E CUが受信して演算処理を実行したとしても、送信された CANメッセージに対する応答として、なんらかのメッセージが送信元の E CUに返信される構成とはなっていない。

【 0 0 3 5】

なお、車載ネットワーク 1に接続される E CUの数は限定されない。また、通信バス 5 に対して接続される装置は E CUに限られず、通信バス 5との通信回路及び駆動回路を備えた各種周辺機器が接続されていてもよい。また、上記車載ネットワーク 1は CANシステムとして構築されているが、車載ネットワーク 1は、 L I N (L o c a l I n t e r c o n n e c t N e t w o r k; f l e x R a y^ M S T (Me d i a O r i e n t e d S y s t e m s T r a n s p o r t ) 、 C AN— F D (CAN w i t h F l e x i b l e D a t a r a t e ) 、又は、 Au t o m o t i v e E t h e r n e tであってもよい。通信バス 5を介して送受信される信号は、車載ネットワーク 1の規格に沿って構成される。各 E CU 1 0 A〜 1 0 Eと通信バス 5との間で行われる通信は、有線通信に限られず、無線通信であってもよい。

【 0 0 3 6】

く 1— 2. セキュリティ検査システム >

( 1 - 2 - 1. 全体概要）

次に、車載ネットワーク 1上の E C U 1 0 A〜 1 0 E (以下、特に区別する必要がある場合を除き、「E CU 1 0」と表記する。）のセキュリティの脆弱性を検査する本実施形態に係るセキュリティ検査システムについて説明する。上述のとおり、車載ネットワーク 1上には複数の E CU 1 0等が存在し、さらに、車両の機能の多様化にも対応できるように、追加の E CUや各種周辺機器が車載ネットワーク 1に接続可能になっている。 E CU 1 0では、意図的に、あるいは、意図せずに、 E CU 1 0に送信されてくる不正な信号によって異常な制御動作が引き起こされないように、不正信号に対するセキュリティが補償されなければならない。【 0 0 3 7】

このため、 E C U 1 0の開発段階においては、 E C U 1 0の R O M等に格納されるソフトウエアのセキュリティ検査が行われ、 E C U 1 0の演算処理に異常を引き起こし得る不正信号が特定され、ソフトウェアの修正が行われる。一般的なソフトウェアのセキユリティ検査は、ソフトウェアの内部構造の情報を持たないセキュリティ検査装置（セキユリティ検査ツール）により、ブラックボックスの状態で行われている。かかるセキュリティ検査装置としては、一般的に、不正信号を含むランダムなテスト信号を送信しつつ、当該テスト信号に対する何らかの返信をテスト対象の装置から受け取って、不正信号を特定する。このようなセキュリティ検査としては、例えばフアジングが知られている。

【 0 0 3 8】

このため、他の E C U等から信号を受け取り、演算処理を行った結果を当該他の E C U 等に返信する構成とはなっていない E C U 1 0では、一般的なセキュリティ検査装置によるセキユリティ検査を実行することができない。

【 0 0 3 9】

他方で、 E C U 1 0の開発段階において、 E C U 1 0の動作を検査する装置として、検査対象の E C U 1 0から他の E C Uあるいは周辺機器への出力信号、又は、周辺機器から検査対象の E C U 1 0への入力信号を監視して、評価を行う機能評価装置（テスト評価ッール）が用いられている。かかる機能評価装置は、 E C U 1 0に対して特定の指令あるいは条件を入力したときの E C U 1 0からの出力信号又は E C U 1 0への入力信号を評価するようになっている。したがって、考え得るあらゆる入力信号に対するセキュリティを検査できるものではない。

【 0 0 4 0】

これに対して、本実施形態に係るセキュリティ検査システムでは、セキュリティ検査装置から出力されるランダムなテスト信号に基づいて E C U 1 0が演算処理を行った結果として E C U 1 0から出力される出力信号、又は、周辺機器から E C U 1 0に対して入力される入力信号に異常が見られないかを、機能評価装置により監視する。また、 E C U 1 0 からの出力信号又は E C U 1 0への入力信号に異常が見られた場合には、当該異常の情報に基づいて、セキュリティ検査装置が、異常を発生させた不正信号を特定する。これにより、 E C U 1 0に大幅な改変を加えることなく、セキュリティ検査装置によるセキュリティ検査が可能となっている。

【 0 0 4 1】

図 2は、本実施形態に係るセキュリティ検査システムの全体構成を示すプロック図である。セキュリティ検査システムは、セキュリティ検査ュニット 1 0 0と、機能評価ュニット（機能評価装置） 1 5 0とを備える。すでに述べたとおり、本実施形態に係るセキユリティ検査システムは、セキュリティ検査ュニット 1 0 0と機能評価ュニット 1 5 0とは独立した装置として構成されている。ただし、セキュリティ検査ユニット 1 0 0と機能評価ュニット 1 5 0とが単体の装置として構成されてもよレ、。以下、車載ネットワーク 1が C A Nシステムである場合を例に採って、各ユニットの構成、及び、セキュリティ検査システムによるセキュリティ検査方法について説明する。

【 0 0 4 2】

( 1— 2— 2 . セキュリティ検査ユニット）

セキュリティ検査ュニット 1 0 0は、例えば C P U等のプロセッサを備え、テスト信号送信部 1 1 0と、診断部 1 2 0と、記憶部 1 3 0とを有する。プロセッサは、プログラムを実行することにより、テスト信号送信部 1 1 0及び診断部 1 2 0として機能する。記憶部 1 3 0は、 R A M及び R O Mを含み、プロセッサにより実行されるプログラム及び各種のデータを記憶する。また、記憶部 1 3 0は、半導体メモリやハードディスク、外付けの記憶装置等を含んでいてもよい。

【 0 0 4 3】

テスト信号送信部 1 1 0は、例えばプロセッサ及び駆動回路により構成され、不正信号を含むランダムなテスト信号を、通信バス 5を介して検査対象の E C U 1 0に送信する。かかるテスト信号は、例えばフアジング信号であってもよい。本実施形態に係るセキユリティ検査システムでは、テスト信号送信部 1 1 0は、テスト信号として、構成され得る C ANメッセージを、 E CU 1 0に対してランダムに送信する。例えば、構成され得るすべての CANメッセージを E CU 1 0に対してランダムに送信してもよレ、。この CANメッセージには、不正信号も含まれ得る。

【 0 0 4 4】

診断部 1 2 0は、テスト信号送信部 1 1 0から送信されたテスト信号に基づいて E CU 1 0が演算処理を実行した結果、処理結果に異常が見られた場合に、当該異常を発生させた不正信号を特定する。例えば、診断部 1 2 0は、機能評価ュニット 1 5 0から出力されて記憶部 1 3 0に記憶された異常の情報に基づき、当該異常を発生させたテスト信号の送信時期を特定することで、不正信号を特定してもよい。ただし、診断部 1 2 0による不正信号の特定方法は上記の例に限られず、従来公知のセキュリティ検査装置による方法を含む種々の方法が採用され得る。

【 0 0 4 5】

記憶部 1 3 0は、機能評価ュニット 1 5 0から出力される異常の情報を記憶する。当該異常の情報は、テスト信号送信部 1 1 0から E CU 1 0に送信されたテスト信号のうちの不正信号によって、 E CU 1 0による演算処理の結果に異常が見られた場合の、当該演算処理結果に関連する情報である。具体的には、機能評価ュニット 1 5 0の異常検出部 1 7 0の説明において詳述する。

【 0 0 4 6】

( 1 - 2 - 3. 機能評価ュニット）

機能評価ュニット 1 5 0は、例えば C P U等のプロセッサを備え、テスト条件設定部 1 5 5と、処理情報取得部 1 6 0と、異常検出部 1 7 0と、異常情報出力部 1 8 0とを有する。プロセッサは、プログラムを実行することにより、テスト条件設定部 1 5 5、処理情報取得部 1 6 0、異常検出部 1 7 0及び異常情報出力部 1 8 0として機能する。また、機能評価ユニット 1 5 0は、図示しない記憶部を備える。記憶部は、 RAM及び ROMを含み、プロセッサにより実行されるプログラム及びデータを記憶する。記憶部は、半導体メモリやドディスク、外付けの記憶装置等を含んでいてもよい。

【 0 0 4 7】

テスト条件設定部 1 5 5は、検査対象の E CU 1 0が正常なテスト環境下に置かれるように、当該 E CU 1 0に対してテスト条件の信号を送信する。例えば、 E CU 1 0が実際に車両に搭載された場合に生じ得る車両の状態をテスト条件として設定し、 E CU 1 0に対して送信する。例えば、送信され得るテスト条件の信号には、イダニッシヨンスィッチのオンオフ状態を示す信号、周辺機器等から E CU 1 0に入力され得る種々の情報を含むアナ口グ信号あるいはデジタル信号、及び車速やギヤポジション等の情報を含む CANメッセージのうちの少なくとも 1つが含まれ得る。テスト条件は、ユーザにより手動で設定されてもよく、あるいは、あらかじめ設定された 1つ又は複数のテスト条件の中から手動又は自動で選択されてもよい。複数のテスト条件下でセキュリティ検査を実行する場合、テスト条件設定部 1 5 5は、テスト条件を切り替えながら様々なテスト条件下でセキュリティ検査を実行させてもよい。

【 0 0 4 8】

処理情報取得部 1 6 0は、セキュリティ検査ュニット 1 0 0から送信されたテスト信号に基づいて行われた E CU 1 0による処理結果の情報を取得する。かかる処理結果の情報は、処理結果として E CU 1 0から出力される出力信号、周辺機器から E CU 1 0に入力される入力信号、及び、 E CU 1 0に備えられた RAMや ROM等の記憶部に記憶されたデータ等を含み得る。より具体的には、処理結果の情報は、 E CU 1 0から通信バス 5上に送信された CANメッセージ、 E CU 1 0から周辺機器に送信されたアナログ信号又はデジタル信号、周辺機器から E CU 1 0に入力されたアナログ信号又はデジタル信号、及び、 E CU 1 0の記憶部に記憶されたメモリアドレスのデータ等を含み得る。処理情報取得部 1 6 0は、取得した情報を図示しない記憶部に記憶してもよい。【 0 0 4 9】

異常検出部 1 7 0は、処理情報取得部 1 6 0により取得された処理結果の情報から、処理結果の異常を検出する。 E CU 1 0がランダムなテスト信号を用いて演算処理を行った結果として生じ得る異常は、様々な態様で現れ得る。例えば、 E CU 1 0による CANメッセージの転送の有無が適切に行われているか否か、あるいは、 E CU 1 0に入力されるセンサ値が適切な範囲であるか否か、センサ値の変化が適切か否か、又は、センサ値の周波数が適切であるか否かにより、 E CU 1 0の処理結果の異常を判定することができる。これらの異常の有無は、テスト条件設定部 1 5 5により設定されたテスト条件下において出力された処理結果として適切であるか否かを判別することにより判定され得る。

【 0 0 5 0】

図 3は、異常検出部 1 7 0による異常判定方法のいくつかを例示した判定テーブルを示している。例えば、 E CU 1 0からの出力信号として、通信バス 5に送信される C ANメッセージの送信周波数 f eが、設定されたテスト条件下において想定される上限の周波数 f e— 0を超える場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、ある CANメッセージが、 1 0 0ミリ秒ごとに送信されるように設定されているにもかかわらず、より高い頻度で CANメッセージが送信された場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる

【 0 0 5 1】

また、 E CU 1 0からの出力信号として、周辺機器に対して送信されるアナログ又はデジタルの指令信号の電圧値 Vが、設定されたテスト条件下において想定される上限の値 V —0を超える場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、指令信号の電圧値 Vが 2. 0 V ( = V— 0) を大きく上回っている場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。電圧値 Vの上限値だけでなく下限値が定められてもよい。

【 0 0 5 2】

E CU 1 0から周辺機器に対して送信されるアナログ又はデジタルの指令信号の送信周波数 f Vが、設定されたテスト条件下において想定される上限の周波数 f V— 0を超える場合においても、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。 E CU 1 0では、制御対象に応じて演算処理のサイクルあるいは指令信号の送信サイクルが設定されているため、かかる指令信号の送信周波数 f Vを異常検出に用いることができる。例えば、アナログ又はデジタルの指令信号の送信周波数 f Vが 1 0 , 0 0 0 H z (= f v_0 ) を大きく上回っている場合に、異常検出部 1 7 0は、 E CU 1 0 の処理結果が異常であると判定することができる。

【 0 0 5 3】

また、 E CU 1 0による演算処理の結果を反映して、周辺機器から E CU 1 0に対して入力されるアナログ信号又はデジタル信号の電圧値 Vが、設定されたテスト条件下において想定される上限の値 V—0を超える場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、センサ信号の電圧値 Vが 2. 0 V (= V— 0 ) を大きく上回っている場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。電圧値 Vの上限値だけでなく下限値が定められてもよレ、。

【 0 0 5 4】

周辺機器から E CU 1 0に対して入力されるアナログ信号又はデジタル信号の周波数 f Vが、設定されたテスト条件下において想定される上限の周波数 f v— 0を超える場合においても、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、 E CU 1 0では、各種センサから E CU 1 0へのセンサ信号の送信サイクルが設定されているため、かかるセンサ信号の周波数 f Vを異常検出に用いることができる。

【 0 0 5 5】また、 E CU 1 0から通信バス 5に送信される CANメッセージに含まれる情報、 E C U 1 0から周辺機器への出力信号、又は、周辺機器から E CU 1 0への入力信号に含まれ得る値の単位時間当たりの変化量 Δ Xが、設定されたテスト条件下において想定される閾値 Δ X— 0を超える場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、 E CU 1 0からの出力信号又は E CU 1 0への入力信号に含まれる情報としてのエンジン回転数が、短時間の間に 3 , 0 0 0回転から 8 , 0 0 0 回転に上昇した場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。

【 0 0 5 6】

また、 E CU 1 0による演算処理の結果を反映して、 E C U 1 0内の所定のメモリアドレスに含まれる変更不可能なメモリアドレス値 Yが上書きされた場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、 CANメッセージのバッファフレームの終わりを意味するメモリアドレス値 Yは、変更不可能な値とされているにもかかわらず、当該メモリアドレス値 Yが上書きされた場合に、異常検出部 1 7 0は、 E C U 1 0の処理結果が異常であると判定することができる。

【 0 0 5 7】

例えば、異常判定を行うための閾値等は、設定し得るテスト条件ごとに設定される。好ましくは、設定され得るテスト条件ごとにあらかじめ判定テーブルが用意されて記憶部に記憶される。異常判定方法は、図 3に示した例に限られない。図 3に例示した判定種別のいくつかが省略されていてもよい。あるいは、異常判定部 1 7 0は、ここに示した例以外の方法により、 E CU 1 0の処理結果の異常を判定してもよい。例えば、ゲートウェイとしての機能を有する E CU 1 0が CANメッセージを受信した場合に、他の E CUに対して受信した CANメッセージを転送するよう設定されているにもかかわらず、転送されない場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することがでさる。

【 0 0 5 8】

異常情報出力部 1 8 0は、異常検出部 1 7 0により E CU 1 0の演算処理結果の異常が検出された場合に、当該異常の情報を出力し、セキュリティ検査ユニット 1 0 0の記憶部 1 3 0に記憶させる。かかる異常の情報がセキュリティ検査ュニット 1 0 0の記憶部 1 3 0に記憶される際に、例えば、 E CU 1 0による出力あるいは入力の時刻、機能評価ュニット 1 5 0の処理情報取得部 1 6 0が処理結果の情報を取得した時刻、異常検出部 1 7 0 により異常が検出された時刻、あるいは、異常情報出力部 1 8 0から出力した時刻の少なくとも 1つの情報とともに記憶されてもよい。

【 0 0 5 9】

セキュリティ検査ユニット 1 0 0の診断部 1 2 0は、例えば、異常の情報に紐付けされた時刻の情報と、テスト信号送信部 1 1 0からランダムに送信されたそれぞれのテスト信号の送信時刻の情報とに基づいて、 E CU 1 0の処理結果の異常を発生させた不正信号を特定することができる。ただし、セキュリティ検査ュニット 1 0 0の診断部 1 2 0による不正信号の特定方法は、かかる例に限定されるものではなく、診断部 1 2 0は、以下のようにして、 E CU 1 0の処理結果の異常を発生させた不正信号を特定してもよい。

【 0 0 6 0】

例えば、セキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0が短い間隔で複数のテスト信号を送信するような場合には、上記の例のように、異常の情報に紐付けされた時刻の情報と、送信時刻の情報とに基づいて不正信号を一旦特定した後、再び、当該特定された不正信号の前後に送信された複数のテスト信号を、テスト信号送信部 1 0 0が再送する。このとき、テスト信号送信部 1 0 0は、最初にテスト信号を送信したときの送信間隔よりも大きい送信間隔でテスト信号を再送する。これにより、特定される不正信号の確からしさが保証され得る。

【 0 0 6 1】

例えば、テスト信号送信部 1 1 0が、 1巡目に、テスト信号 T S 1 , T S 2 , T S 3 , T S 4 , T S 5 , T S 6 , T S 7 , T S 8 , T S 9 , T S 1 0を送信して、テスト信号 T S 6が不正信号と特定された場合、テスト信号送信部 1 1 0は、 2巡目に、テスト信号 Τ S 4 , T S 5, T S 6 , T S 7, T S 8を、送信間隔を大きくして送信する。 1回目と同様に機能評価ュニット 1 5 0の異常検出部 1 7 0で異常判定が行われてフィードバックされた異常の情報に基づいて、診断部 1 2 0が再度不正信号を特定する。このとき、テスト信号の送信間隔が大きいことから、時刻情報の対応付けが容易になるため、例えば、実際の不正信号が、テスト信号 T S 6ではなくテスト信号 T S 5であることを発見することが可能になる。

【 0 0 6 2】

また、別の例として、機能評価ュニット 1 5 0の処理情報取得部 1 6 0力 E CU 1 0 から演算処理の結果の情報を取得する際に、併せて、当該演算処理を実行させた CANメッセージとしてのテスト信号の情報を取得する。この場合、機能評価ュニット 1 5 0の異常検出部 1 7 0は、処理結果の異常を検出する際に、テスト信号（不正信号）を把握することができ、異常情報出力部 1 8 0は、不正信号の情報も含む異常の情報を出力して、セキュリティ検査ュニット 1 0 0の記憶部 1 3 0に記憶させる。その結果、セキュリティ検査ュニット 1 0 0の診断部 1 2 0力不正信号を特定することができる。

【 0 0 6 3】

さらなる別の例として、セキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0が、機能評価ュニット 1 5 0から異常の情報がフィードバックされ得る最大待機時間以上の送信間隔でテスト信号を送信してもよい。この場合、診断部 1 2 0は、機能評価ュニット 1 5 0から E CU 1 0の処理結果の異常の情報がフィ一ドバックされてきたときに、直前に送信したテスト信号が不正信号であることを特定することができる。

【 0 0 6 4】

( 1— 2— 4. フローチャート）

次に、図 4を参照して、本実施形態に係るセキュリティ検査システムによるセキユリティ検査方法のフローチャートの一例を説明する。以下のフローチャートによる処理は、例えば、 E CU 1 0の開発過程の最終段階で実施されてもよい。

【 0 0 6 5】

まず、機能評価ュニット 1 5 0のテスト条件設定部 1 5 5は、テスト条件を設定して、検査対象の E CU 1 0に送信する（ステップ S 8 ) 。テスト条件は、例えば、イダニッションスィツチのオンオフ状態、 E CU 1 0にアナログ信号あるいはデジタル信号が入力され得る周辺機器等の差動状態、及び車速やギヤポジション等の車両の状態などを含む。これらの条件は、ユーザにより手動で設定されてもよく、あるいは、あらかじめ設定された 1つ又は複数のテスト条件の中から手動又は自動で選択されてもよい。

【 0 0 6 6】

次いで、セキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0は、不正信号を含むランダムなテスト信号を、通信バス 5を介して E CU 1 0に送信する（ステップ S 1 0 ) 。ランダムなテスト信号の生成は、所定のランダム信号生成プログラムにより実行されてもよい。次いで、テスト信号を受信した E CU 1 0は、当該テスト信号に基づいて演算処理を実行する（ステップ S 1 4 ) 。その結果、 E CU 1 0から通信バス 5へ C ANメッセージが出力されたり、 E CU 1 0に接続された周辺機器に対して指令信号が出力されたり、さらに、周辺機器から E CU 1 0に対してセンサ信号等が入力されたりする。

【 0 0 6 7】

次いで、機能評価ユニット 1 5 0の処理情報取得部 1 6 0が、 E CU 1 0から、処理結果として E CU 1 0からの出力信号、周辺機器から E CU 1 0への入力信号、及び、 E C U 1 0に備えられた RAMや ROM等の記憶部に記憶されたデータ等を取得し、異常検出部 1 7 0が異常判定を行う（ステップ S 1 8 ) 。例えば、異常検出部 1 7 0は、図 3に例示したテスト条件に応じた対応する異常判定の基準を参照して、 E CU 1 0の処理結果の異常の有無を判定する。

【 0 0 6 8】次いで、機能評価ュニット 1 5 0の異常検出部 1 7 0は、 E CU 1 0の処理結果に異常があったか否かを判別し（ステップ S 2 2 ) 、異常が無い場合（S 2 2 ： N o ) にはステップ S 3 4に進む。一方、異常が有った場合（S 2 2 ： Y e s ) 、機能評価ュニット 1 5 0の異常情報出力部 1 8 0は、セキュリティ検査ュニット 1 0 0に対して異常の情報を出力する（ステップ S 2 6 ) 。これにより、 E CU 1 0の処理結果の異常の情報は、セキュリティ検査ュニット 1 0 0の記憶部 1 3 0に記憶される。

【 0 0 6 9】

次いで、セキュリティ検査ュニット 1 0 0の診断部 1 2 0は、記憶部 1 3 0に記憶された異常の情報と、テスト信号送信部 1 1 0から送信されたテスト信号の情報とに基づいて、 E CU 1 0の処理結果の異常を発生させた不正信号を特定する（ステップ S 3 0) 。例えば、診断部 1 2 0は、機能評価ュニット 1 5 0から出力されて記憶部 1 3 0に記憶された異常の情報に基づき、当該異常を発生させたテスト信号の送信時期を特定することで、不正信号を特定してもよい。なお、不正信号を特定する方法は上記の例に限定されない。特定された不正信号の情報は、後に参照可能なように、記憶部 1 3 0に記憶されてもよい

【 0 0 7 0】

ステップ S 2 2において異常が見られなかった場合（S 2 2 ： N o ) 、あるいは、ステップ S 3 0で不正信号が特定された場合、セキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0は、検査を継続するか否かを判別する（ステップ S 3 4) 。検査すべきテスト信号が残存する場合（S 3 4 ： Y e s ) 、ステップ S 1 0に戻って、ここまでに説明した処理を繰り返し実行する。一方、すべてのテスト信号の送信が終了している場合（S 3 4 ： N o ) 、セキュリティ検査システムによるセキュリティ検査が終了する。

【 0 0 7 1】

この後、 E CU 1 0のソフトウェアのプログラマ一等は、セキュリティ検査ユニット 1 0 0の記憶部 1 3 0に記憶された不正信号の情報を参照し、ソフトウエアの修正等を行うことで、ソフトウェアの脆弱性を改善する。すべてのテスト信号に対して、 E CU 1 0の処理結果がすべて正常となるまでかかるセキュリティ検査が繰り返し実行される。これにより、 E CU 1 0のセキュリティが保証される。

【 0 0 7 2】

< 1 - 3. 変形例 >

ここまでに説明した実施形態に係るセキュリティ検査システムは、上記の構成に限られず、種々の変形が可能である。以下、本実施形態に係るセキュリティ検査システムの変形例のいくつかを説明する。

【 0 0 7 3】

( 1 - 3 - 1. 第 1の変形例）

図 5は、本実施形態の第 1の変形例に係るセキュリティ検査システムの構成例を示している。第 1の変形例に係るセキュリティ検査システムは、 E CU 1 0の処理結果に基づいて表示制御が行われる表示装置 8 0と、かかる表示装置 8 0の表示状態を撮像する撮像ュニット 9 0とを備える。

【 0 0 7 4】

表示装置 8 0は、例えば、インストルメントクラスターであってよく、 E C U 1 0の制御指令に基づく車両の制御状態が疑似的にィンストルメントクラスター上に表示される。

【 0 0 7 5】

撮像ュニット 9 0は、表示装置 8 0の表示部を撮像範囲に捉える 3台のカメラ 9 1 , 9 2 , 9 3を備える。それぞれのカメラ 9 1 , 9 2 , 9 3は、表示装置 8 0の表示部を分割して撮像する。カメラの台数は 3つに限られない。カメラは、例えば、 C CD (C h a r g e - C o u p 1 e d D e v i c e ) ィメージセンサ又は C MO S (C o m p 1 e rn e n t a r y Me t a l O x i d e S e m i c o n d u c t o r ) イメージセンサを備えたカラー画像を取得可能なカメラとすることができる。撮像ュニット 9 0で撮像された画像情報は、機能評価ュニット 1 5 0の異常検出部 1 7 0に送信される。【 0 0 7 6】

異常検出部 1 7 0は、例えば、画像認識や文字認識等の画像処理を実行するとともに、当該画像処理の結果に基づいて、 E CU 1 0の演算処理結果の異常判定を実行する。例えば、異常検出部 1 7 0は、画像処理により、表示装置 8 0上の数値を認識したり、ゲージの角度を認識したり、ランプの点灯の有無を認識したりすることにより、表示内容を算出することができる。

【 0 0 7 7】

図 6は、第 1の変形例に係るセキュリティ検査システムの機能評価ュニット 1 5 0における、異常検出部 1 7 0による異常判定方法のいくつかを例示した判定テーブルを示している。図 6に示した判定種別のうち、 1〜 3， 5の判定種別は、図 3に示した判定テープルと同じである。

【 0 0 7 8】

また、判定種別の 4では、 E CU 1 0から通信バス 5に送信される CANメッセージに含まれる情報、 E CU 1 0から周辺機器への出力信号、又は、周辺機器から E CU 1 0への入力信号に含まれ得る値だけでなく、表示装置 8 0の撮像情報を用いて、所定の値の単位時間当たりの変化量 Δ Xが想定される閾値 Δ X—0を超える場合に、異常検出部 1 7 0 は、 E CU 1 0の処理結果が異常であると判定することができる。例えば、表示装置 8 0 の表示部のエンジン回転数メータに表示されたエンジン回転数が、短時間の間に 3 , 0 0 0回転から 8 , 0 0 0回転に上昇した場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。

【 0 0 7 9】

さらに、判定種別の 6では、表示装置 8 0の表示内容に矛盾がある場合に、異常検出部 1 7 0は、 E C U 1 0の処理結果が異常であると判定することができる。例えば、テスト信号に基づく E CU 1 0の演算処理の結果により、表示装置 8 0におけるギヤレンジの位置の表示の「D (ドライブ）」及び「P (パーキング）」がともに点灯した場合に、異常検出部 1 7 0は、 E CU 1 0の処理結果が異常であると判定することができる。

【 0 0 8 0】

第 1の変形例に係るセキュリティ検査システムによるセキュリティ検査方法は、図 4に示したフローチヤ一卜の例に沿って実行され得る。第 1の変形例に係るセキュリティ検査システムによれば、 E CU 1 0の制御指令に基づく車両の制御状態が表示される表示装置 8 0の撮像情報を用いて、視覚的に E CU 1 0の動作を監視することもできるようになる

【 0 0 8 1】

( 1 - 3 - 2. 第 2の変形例）

図 7は、本実施形態の第 2の変形例に係るセキュリティ検査システムの構成例を示している。第 2の変形例に係るセキュリティ検査システムは、機能評価ユニット 1 5 0の異常情報出力部 1 8 5が、セキュリティ検査ュニット 1 0 0に異常の情報を送信するのではなく、機能評価ュニット 1 5 0に備えられた記憶部 1 9 0に異常の情報を出力し、記憶させる。記憶部 1 9 0は、半導体メモリやハードディスク、外付けの記憶装置等からなり、後に、セキュリティ検査ユニット 1 0 0が、記憶された異常の情報を読み込み可能になっている。

【 0 0 8 2】

例えば、セキュリティ検査ュニット 1 0 0と機能評価ュニット 1 5 0とを通信線により接続したり、異常の情報を記憶したハードディスクや U S B (Un i v e r s a l S e r i a l B u s ) メモリ等をセキュリティ検査ュニット 1 0 0に接続したりすることにより、セキュリティ検査ユニット 1 0 0が異常の情報を読み込んでもよい。これにより、セキュリティ検査ュニット 1 0 0の診断部 1 2 0は、 E CU 1 0の処理結果の異常の情報と、ランダムに送信されたテスト信号の情報とに基づいて、不正信号を特定することがでさる。

【 0 0 8 3】図 8は、第 2の変形例に係るセキュリティ検査システムによるセキュリティ検査方法のフローチヤ一トを示している。セキュリティ検査ュニット 1 0 0、 E C U 1 0、及び、機能評価ユニット 1 5 0は、それぞれ、図 4のフローチャートに基づいて説明した手順と同様の手順で、ステップ S 8〜ステップ S 2 2の各処理を実行する。第 2の変形例に係るセキュリティ検査システムでは、 E C U 1 0の処理結果に異常があった場合（S 2 2 ： Y e s ) 、ステップ S 2 7において、機能評価ュニット 1 5 0の異常情報出力部 1 8 5力記憶部 1 9 (H E C U 1 0の処理結果の異常の情報を記憶する。

【 0 0 8 4】

ステップ S 2 2において異常が見られなかった場合（S 2 2 ： N o ) 、あるいは、ステップ S 2 7で異常の情報が記憶部 1 9 0に記憶された場合、セキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0は、検査を継続するか否かを判別する（ステップ S 3 4 ) 。検査すべきテスト信号がすべて終了するまで（S 3 4 ： N o ) 、ステップ S 1 0に戻つて、ここまでの各ステップの処理を繰り返し実行する。

【 0 0 8 5】

第 2の変形例に係るセキュリティ検査システムによれば、機能評価ユニット 1 5 0の異常検出部 1 7 0により検出された異常の情報を、一旦記憶部 1 9 0に記憶させておき、後で不正信号をまとめて特定することができる。第 2の変形例に係るセキュリティ検査システムによれば、例えば、フアジング等のランダムなテスト信号の送信中におけるセキユリティ検査ュニット 1 0 0の負荷を低減させることができる。

【 0 0 8 6】

( 1 - 3 - 3 . 第 3の変形例）

図 9は、図 2に示した本実施形態に係るセキュリティ検査システムによるセキュリティ検査方法のフローチャートの変形例（第 3の変形例）を示している。第 3の変形例では、機能評価ュニット 1 5 0のテスト条件設定部 1 5 5により複数のテスト条件が順次に設定され、それぞれのテスト条件下においてセキュリティ検査が実行されるようになつている

【 0 0 8 7】

機能評価ュニット 1 5 0のテスト条件設定部 1 5 5は、図示しない記憶部にあらかじめ記憶された複数のテスト条件の中から、セキュリティ検査を実行するテスト条件を選択し、検査対象の E C U 1 0に対してテスト条件の信号を送信可能になっている。また、テスト条件設定部 1 5 5は、あるテスト条件についてのセキュリティ検査が終了した場合、次のテスト条件へと順次切り替えて、複数のテスト条件下においてセキュリティ検査が実行されるようにする。

【 0 0 8 8】

複数のテスト条件は、例えば、以下のように設定され得る。

テスト条件 1 ：ィグニッシヨンスィッチ =オフ、ギヤレンジ =パーキングレンジ、車速 = 0 k m / h , など

テスト条件 2 ：イダニッシヨンスィッチ =オン、ギヤレンジ = ドライブレンジ、車速 = 5 0 k m / h , など

テスト条件 3 ：ィダニッションスィツチ =オン、ギヤレンジ =リバースレンジ、車速 = 5 k m/ h、なと

【 0 0 8 9】

なお、テスト条件は 3つに限られない。また、上記に例示したテスト条件以外に、想定され得る車両の状態の情報がテスト条件に含まれてもよい。以下のフローチヤ一卜の説明においては、上記のテスト条件 1〜テスト条件 3をこの順に設定しながらセキュリティ検査を行う例について説明する。ただし、テスト条件の設定順序はランダムであってもよい

【 0 0 9 0】

図 9に示したフローチヤ一トを参照すると、まず、機能評価ュニット 1 5 0のテスト条件設定部 1 5 5は、あらかじめ設定された複数のテスト条件の中から、いずれかのテスト条件を選択する（ステップ S 6 ) 。例えば、セキュリティ検査の開始直後において、テスト条件設定部 1 5 5は、上記のテスト条件 1を選択する。

【 0 0 9 1】

以降、選択されたテスト条件下で、セキュリティ検査ュニット 1 0 0、 E C U 1 0、及び、機能評価ユニット 1 5 0は、それぞれ図 4のフローチャートに基づいて説明した手順と同様の手順で、ステップ S 8〜ステップ S 3 0の各処理を実行する。当該処理の結果、あるテスト信号が不正信号であるか否かが判定された後、テスト条件設定部 1 5 5は、現在のテスト条件下で検査を継続するか否かを判別する（ステップ S 3 6 ) 。例えば、テスト条件設定部 1 5 5は、現在のテスト条件下で、すべてのテスト信号についての検査を終了したか否かを判別することにより、ステップ S 3 6の判別を行ってもよい。

【 0 0 9 2】

現在のテスト条件下での検査を継続する場合（S 3 6 ： Y e s ) 、ステップ S 8に戻つて、ステップ S 8〜ステップ S 3 0の処理が繰り返し実行される。一方、現在のテスト条件下での検査が終了している場合（S 3 6 ： N o ) 、テスト条件設定部 1 5 5は、異なるテスト条件下で検査を継続するか否かを判別する（ステップ S 3 8 ) 。検査が終了していないテスト条件が残っており、異なるテスト条件下での検査を継続する場合（S 3 8 ： Y e s ) 、テスト条件設定部 1 5 5は、ステップ S 6に戻って次のテスト条件を選択する。例えば、テスト条件設定部 1 5 5は、テスト条件 1の下での検査が終了した後にテスト条件 2を選択し、さらに、テスト条件 2の下での検査が終了した後にテスト条件 3を選択する。

【 0 0 9 3】

このように、複数のテスト条件が順次選択されつつ、セキュリティ検査ユニット 1 0 0 、 E C U 1 0及び機能評価ユニット 1 5 0は、選択されたテスト条件下でステップ S 8〜ステップ S 3 0の各処理を実行する。そして、すべてのテスト条件下での検査が終了した場合、テスト条件設定部 1 5 5は、異なるテスト条件下での検査を継続しないと判定し（ S 3 8 ： N o ) 、セキュリティ検査システムによるセキュリティ検査が終了する。

【 0 0 9 4】

第 3の変形例に係るセキュリティ検査システムによれば、あらかじめ想定され得る様々な車両の状態に応じて設定される複数のテスト条件下でのセキュリティ検査が自動で行われ、各テスト条件下において存在し得る不正信号を特定することができる。

【 0 0 9 5】

なお、図 9に示したフローチャートは、図 4に示した処理のフローチャートに対して第 3の変形例を適用した例であるが、図 8に示した第 2の変形例による処理のフローチヤ一卜に第 3の変形例が適用されてもよい。第 2の変形例に第 3の変形例を適用する場合、図 8に示したフローチヤ一卜のステップ S 8の前処理としてステップ S 6が設けられ、さらに、ステップ S 3 4の代わりにステップ S 3 6及びステップ S 3 8が設けられる。

【 0 0 9 6】

以上説明したように、第 1の実施の形態に係るセキュリティ検査システムは、 E C U 1 0に対して通信バス 5を介してランダムなテスト信号を送信するセキュリティ検査ュニット 1 0 0と、テスト信号に基づく E C U 1 0の演算処理結果の情報を取得して異常判定を行い、検出された異常の情報をセキュリティ検査ユニット 1 0 0にフィードバックし、あるいは、記憶部 1 9 0に記憶する機能評価ュニット 1 5 0とを備える。したがって、受信された C A Nメッセージに対して処理結果等の何らかの応答を返す構成とはなっていない E C U 1 0であっても、セキュリティ検査ュニット 1 0 0を用いたセキュリティ検査を行うことができるようになる。

【 0 0 9 7】

くく 2 . 第 2の実施の形態 > >

次に、第 2の実施の形態に係るセキュリティ検査システムについて説明する。図 1 0は、本実施形態に係るセキュリティ検査システムの全体構成を示すブロック図である。セキュリティ検査システムは、セキュリティ検査ュニット 3 0 0 と、機能評価ュニット 3 5 0 とを備える。以下、各ュニッ卜の構成、及び、セキュリティ検査システムによるセキュリティ検査方法について、第 1の実施の形態と異なる点を中心に説明する。

【 0 0 9 8】

セキュリティ検査ュニット 3 0 0は、例えば C P U等のプロセッサを備え、テスト信号送信部 3 1 0と、診断部 3 2 0と、記憶部 3 3 0とを有する。このうち、診断部 3 2 0及び記憶部 3 3 0は、図 2に示したセキュリティ検査ュニット 1 0 0の診断部 1 2 0及び記憶部 1 3 0と同様の構成とすることができる。また、本実施形態に係るセキュリティ検査システムにおいて、テスト信号送信部 3 1 0は、不正信号を含むランダムなテスト信号を、通信バス 5を介して検査対象の E C U 1 0に送信するだけでなく、機能評価ユニット 3 5 0にも送信する。

【 0 0 9 9】

機能評価ユニット 3 5 0は、例えば C P U等のプロセッサを備え、テスト条件設定部 3 5 5と、処理情報取得部 3 6 0と、異常検出部 3 7 0と、異常情報出力部 3 8 0とを有する。このうち、テスト条件設定部 3 5 5、処理情報取得部 3 6 0及び異常情報出力部 3 8 0は、図 2に示した機能評価ュニット 1 5 0のテスト条件設定部 1 5 5、処理情報取得部 1 6 0及び異常情報出力部 1 8 0と同様の構成とすることができる。

【0 1 0 0】

また、本実施形態に係るセキュリティ検査システムにおいて、機能評価ユニット 3 5 0 の異常検出部 3 7 0は、セキュリティ検査ュニット 3 0 0のテスト信号送信部 3 1 0から送信されるテスト信号の情報を取得する。また、異常検出部 3 7 0は、テスト信号のうち、 E C U 1 0に送信する C A Nメッセージとして適切でない不正信号候補を抽出する。そして、異常検出部 3 7 0は、処理情報取得部 3 6 0が取得した E C U 1 0の処理結果の情報のうち、抽出した不正信号候補に基づく処理結果の情報のみを対象として、異常判定を実行する。異常判定処理は、図 3に例示した異常判定方法と同様に行うことができる。

【0 1 0 1】

不正信号候補の抽出は、例えば、検査対象の E C U 1 0に対して想定外の情報を含むテスト信号等、想定される不正信号が把握される場合には、あらかじめ当該テスト信号を不正信号候補として設定することにより行われてもよい。あるいは、不正信号候補の抽出は、すでに同一のテスト条件下で検査が行われて正常であると判定されたテスト信号を除外することにより行われてもよレ、。この他、異常検出部 3 7 0は、 C A Nメッセージの構造上適切でないと考えられるテスト信号を不正信号候補として選択する等、種々の方法により不正信号候補を抽出してもよい。

【0 1 0 2】

異常情報出力部 3 8 0は、異常判定処理の結果、実際に異常が見られた E C U 1 0の処理結果の情報を、セキュリティ検査ユニット 3 0 0に出力し、セキュリティ検査ユニット 3 0 0の記憶部 3 3 0に記憶させる。セキュリティ検査ュニット 3 0 0の診断部 3 2 0は、記憶部 3 3 0に記憶された E C U 1 0の処理結果の異常の情報と、ランダムに送信されたテスト信号の情報とに基づいて、不正信号を特定する。

【0 1 0 3】

図 1 1は、本実施形態に係るセキュリティ検査システムによるセキュリティ検査方法のフローチヤ一卜の一例を示している。図 1 1に示したフローチヤ一トは、ステップ S 1 1 及びステップ S 1 7以外は、図 4に示したフローチャートと同様のステップ S 8 , S 1 4 , S 1 8 , S 2 2 , S 2 6 , S 3 0 , S 3 4を含む。

【0 1 0 4】

まず、機能評価ュニット 1 5 0のテスト条件設定部 1 5 5は、テスト条件を設定して、検査対象の E C U 1 0に送信する（ステップ S 8 ) 。次いで、セキュリティ検査ユニット 3 0 0のテスト信号送信部 3 1 0は、不正信号を含むランダムなテスト信号を、通信バス 5を介して E C U 1 0に送信するとともに、機能評価ュニット 3 5 0に送信する（ステツプ S 1 1 ) 。次いで、テスト信号を受信した E C U 1 0は、当該テスト信号に基づいて演算処理を実行する（ステップ S 1 4 ) 。次いで、機能評価ユニット 3 5 0の異常検出部 3 7 0は、テスト信号の中から、 CANメッセージとして適切でない不正信号候補を抽出する（ステップ S 1 7) 。

【0 1 0 5】

次いで、機能評価ユニット 3 5 0の処理情報取得部 3 6 0力 E CU 1 0から、処理結果の情報を取得するとともに、異常検出部 3 7 0が、ステップ S 1 7で抽出した不正信号候補に基づく処理結果の情報について異常判定を行う（ステップ S 1 8 ) 。異常検出部 3 7 0は、図 3に例示した異常判定の基準を参照して、 E CU 1 0の処理結果の異常の有無を判定してもよい。

【0 1 0 6】

以降、 E CU 1 0の処理結果に異常が見られた場合（S 2 2 ： Y e s ) 、機能評価ュニット 3 5 0の異常情報出力部 3 8 0は、セキュリティ検査ュニット 3 0 0に異常の情報を送信し（ステップ S 2 6 ) 、セキュリティ検査ュニット 3 0 0の診断部 3 2 0は、不正信号を特定する（ステップ S 3 0) 。ステップ S 2 2〜ステップ S 3 4までの各処理は、図 4に示したフローチヤ一卜に基づいて説明した各処理と同様に実行することができる。

【0 1 0 7】

以上説明したように、第 2の実施の形態に係るセキュリティ検査システムは、機能評価ュニット 3 5 0が、あらかじめ抽出した不正信号候補に対応する E CU 1 0の処理結果の情報についてのみ異常判定を行い、検出された異常の情報をセキュリティ検査ュニット 3 0 0にフィードバックする。したがって、第 1の実施の形態に係るセキュリティ検査システムと比較して、機能評価ュニット 3 5 0の負荷を低減することができる。

【0 1 0 8】

なお、本実施形態に係るセキュリティ検査システムにおいても、第 1の実施の形態の第 1の変形例〜第 3の変形例を適宜組み合わせてセキュリティ検査が実行されてもよい。

【0 1 0 9】

くく 3. 第 3の実施の形態 >>

次に、第 3の実施の形態に係るセキュリティ検査システムについて説明する。図 1 2は、本実施形態に係るセキュリティ検査システムの全体構成を示すブロック図である。セキュリティ検査システムは、セキュリティ検査ュニット 4 0 0 と、機能評価ュニット 4 5 0 とを備える。以下、各ュニッ卜の構成、及び、セキュリティ検査システムによるセキュリティ検査方法について、第 1及び第 2の実施の形態と異なる点を中心に説明する。

【0 1 1 0】

セキュリティ検査ュニット 4 0 0は、例えば C P U等のプロセッサを備え、テスト信号送信部 4 1 0 と、診断部 4 2 0 と、記憶部 4 3 0とを有する。このうち、診断部 4 2 0及び記憶部 4 3 0は、図 2に示したセキュリティ検査ュニット 1 0 0の診断部 1 2 0及び記憶部 1 3 0と同様の構成とすることができる。また、本実施形態に係るセキュリティ検査システムにおいて、テスト信号送信部 4 1 0は、不正信号を含むランダムなテスト信号を機能評価ュニット 4 5 0に送信する。

【0 1 1 1】

機能評価ュニット 4 5 0は、例えば C PU等のプロセッサを備え、テスト条件設定部 4 5 5と、不正信号候補抽出部 4 6 0と、処理情報取得部 4 7 0と、異常検出部 4 8 0と、異常情報出力部 4 9 0とを有する。このうち、テスト条件設定部 4 5 5、処理情報取得部 4 7 0、異常検出部 4 8 0、及び、異常情報出力部 4 9 0は、図 2に示した機能評価ュニット 1 5 0のテスト条件設定部 1 5 5、処理情報取得部 1 6 0、異常検出部 1 7 0、及び、異常情報出力部 1 8 0と同様の構成とすることができる。

【0 1 1 2】

本実施形態に係るセキュリティ検査システムにおいて、機能評価ュニット 4 5 0の不正信号候補抽出部 4 6 0は、セキュリティ検査ュニット 4 0 0のテスト信号送信部 4 1 0からランダムに送信されるテスト信号から、 E CU 1 0に送信される CANメッセージとして不適切な不正信号候補を抽出する。また、不正信号候補抽出部 4 6 0は、抽出した不正信号候補のテスト信号を、通信バス 5を介して E CU 1 0に送信する。これにより、 E C U 1 0では、不正信号と思われるテスト信号のみに基づいて演算処理が行われる。その結果、処理情報取得部 4 7 0により取得される E CU 1 0の処理結果の情報は少なくなり、異常判定部 4 8 0による判定処理の負荷が低減される。

【0 1 1 3】

不正信号候補の抽出は、例えば、検査対象の E CU 1 0に対して想定外の情報を含むテスト信号等、想定される不正信号が把握される場合には、あらかじめ当該テスト信号を不正信号候補として設定することにより行われてもよい。あるいは、不正信号候補の抽出は、すでに同一のテスト条件下で検査が行われて正常であると判定されたテスト信号を除外することにより行われてもよい。この他、不正信号候補抽出部 4 6 0は、 CANメッセ一ジの構造上適切でないと考えられるテスト信号を不正信号候補として選択する等、種々の方法により不正信号候補を抽出してもよい。

【0 1 1 4】

図 1 3は、本実施形態に係るセキュリティ検査システムによるセキュリティ検査方法のフローチヤ一卜の一例を示している。図 1 3に示したフローチヤ一トは、ステップ S 1 2 及びステップ S 1 3以外は、図 4に示したフローチャートと同様のステップ S 8 , S 1 4 , S 1 8 , S 2 2 , S 2 6 , S 3 0 , S 3 4を含む。

【0 1 1 5】

本実施形態では、まず、機能評価ュニット 1 5 0のテスト条件設定部 4 5 5は、テスト条件を設定して、検査対象の E CU 1 0に送信する（ステップ S 8 ) 。次いで、セキユリティ検査ュニット 4 0 0のテスト信号送信部 4 1 0は、不正信号を含むランダムなテスト信号を機能評価ュニット 4 5 0に送信する（ステップ S 1 2 ) 。次いで、テスト信号を受信した機能評価ュニット 4 5 0の不正信号候補抽出部 4 6 0は、テスト信号の中から、 E CU 1 0に送信される CANメッセージとして不適切な不正信号候補を抽出し、抽出されたテスト信号を E CU 1 0に転送する（ステップ S 1 3) 。

【0 1 1 6】

以降、 E CU 1 0が、受信したテスト信号に基づいて演算処理を実行し（ステップ S 1 4 ) 、機能評価ユニット 4 5 0の処理情報取得部 4 7 0が、 E CU 1 0から、処理結果の情報を取得するとともに、異常検出部 4 8 0が、処理結果の情報について異常判定を行う (ステップ S 1 8 ) 。 E CU 1 0の処理結果に異常が見られた場合（S 2 2 ： Y e s ) 、機能評価ュニット 4 5 0の異常情報出力部 4 9 0は、セキュリティ検査ュニット 4 0 0に異常の情報を送信し（ステップ S 2 6 ) 、セキュリティ検査ユニット 4 0 0の診断部 4 2 0は、不正信号を特定する（ステップ S 3 0) 。ステップ S 1 4〜ステップ S 3 4までの各処理は、図 4に示したフローチャートに基づいて説明した各処理と同様に実行することができる。

【0 1 1 7】

以上説明したように、第 3の実施の形態に係るセキュリティ検査システムは、機能評価ユニット 4 5 0が、ランダムに送信されるテスト信号の中から、あらかじめ不正信号候補を抽出して E CU 1 0に転送する。そして、機能評価ユニット 4 5 0は、不正信号候補に基づく E CU 1 0の演算処理結果の情報についてのみ異常判定を行い、検出された異常の情報をセキュリティ検査ユニット 4 0 0にフィードバックする。したがって、第 1の実施の形態に係るセキュリティ検査システムと比較して、機能評価ュニット 4 5 0の負荷を低減することができる。

【0 1 1 8】

なお、本実施形態に係るセキュリティ検査システムにおいても、第 1の実施の形態の第 1の変形例〜第 3の変形例を適宜組み合わせてセキュリティ検査が実行されてもよい。例えば、図 1 4は、本実施形態に係るセキュリティ検査システムに、第 1の実施の形態の第 2の変形例を組み合わせた構成例を示している。かかる変形例に係るセキュリティ検査システムは、機能評価ュニット 4 5 0の異常情報出力部 4 9 5が、セキュリティ検査ュニット 4 0 0に異常の情報を送信するのではなく、機能評価ュニット 4 5 0に備えられた記憶部 4 9 8に異常の情報を出力し、記憶させる。記憶部 4 9 8は、半導体メモリやハードデイスク、外付けの記憶装置等からなり、後に、セキュリティ検査ユニット 3 0 0が、記憶された異常の情報を読み込み可能になっている。

【0 1 1 9】

例えば、セキュリティ検査ュニット 4 0 0と機能評価ュニット 4 5 0とを通信線により接続したり、異常の情報を記憶したハードディスクや U S B (Un i v e r s a l S e r i a l B u s ) メモリ等をセキュリティ検査ュニット 4 0 0に接続したりすることにより、セキュリティ検査ユニット 4 0 0が異常の情報を読み込んでもよい。これにより、セキュリティ検査ュニット 4 0 0の診断部 4 2 0は、 E CU 1 0の処理結果の異常の情報と、ランダムに送信されたテスト信号の情報とに基づいて、不正信号を特定することがでさる。

【0 1 2 0】

図 1 5は、変形例に係るセキュリティ検査システムによるセキュリティ検査方法のフロ一チヤ一トを示している。セキュリティ検査ュニット 4 0 0、 E CU 1 0、及び、機能評価ユニット 4 5 0は、それぞれ、図 1 3のフローチャートに基づいて説明した手順と同様の手順で、ステップ S 8〜ステップ S 2 2の各処理を実行する。変形例に係るセキユリティ検査システムでは、 E CU 1 0の処理結果に異常があった場合（S 2 2 ： Y e s ) 、ステツプ S 2 7において、機能評価ュニット 4 5 0の異常情報出力部 4 9 5が、記憶部 4 9 8に E CU 1 0の処理結果の異常の情報を記憶する。

【0 1 2 1】

ステップ S 2 2において異常が見られなかった場合（S 2 2 ： N o ) 、あるいは、ステップ S 2 7で異常の情報が記憶部 4 9 8に記憶された後、検査すべきテスト信号がすべて終了するまで（S 3 4 ： N o ) 、ステップ S 8に戻って、ここまでの各ステップの処理を繰り返し実行する。

【0 1 2 2】

本実施形態の変形例に係るセキュリティ検査システムによれば、機能評価ュニット 4 5 0の異常検出部 4 8 0により検出された異常の情報を、一旦記憶部 4 9 8に記憶させておき、後で不正信号をまとめて特定することができる。変形例に係るセキュリティ検査システムによれば、例えば、フアジング等のランダムなテスト信号の送信中におけるセキユリティ検査ュニット 4 0 0の負荷を低減させることができる。

【0 1 2 3】

くく 4. 第 4の実施の形態 >>

次に、第 4の実施の形態に係るセキュリティ検査システムについて説明する。本実施形態に係るセキュリティ検査システムは、多大な数の入力信号の中から E CU 1 0を不正に動作させ得る不正信号の特定を効率的に実行できるように構成されている。図 1 6は、本実施形態に係るセキュリティ検査システムの全体構成を示すブロック図である。セキユリティ検査システムは、セキュリティ検査ュニット 5 0 0と、機能評価ュニット 5 5 0とを備える。以下、各ユニットの構成、及び、セキュリティ検査システムによるセキュリティ検査方法について、第 1の実施の形態と異なる点を中心に説明する。

【0 1 2 4】

セキュリティ検査ュニット 5 0 0は、例えば C P U等のプロセッサを備え、テスト信号送信部 5 1 0と、診断部 5 2 0と、記憶部 5 3 0と、テスト信号適合部 5 4 0とを有する。このうち、テスト信号送信部 5 1 0、診断部 5 2 0及び記憶部 5 3 0は、図 2に示したセキュリティ検査ュニット 1 0 0のテスト信号送信部 1 1 0、診断部 1 2 0及び記憶部 1 3 0と同様の構成とすることができる。テスト信号適合部 5 4 0は、直前までに実行された検査結果に基づいて、テスト信号送信部 5 1 0から E CU 1 0に対して送信されるテスト信号の適合を行う。これにより、セキュリティ検査ユニット 5 0 0は、セキュリティ検査が効率よく正しい方向へと進行するように、テスト信号を生成することができる。

【0 1 2 5】

例えば、車載ネットワークとしての CANシステムにおいて、標準フォーマットの C A Nメッセージは、データフレーム内に 1 1 ビット長の識別子（ I D : I d e n t i f i e r ) を含む。拡張フォーマットの CANメッセージは、標準フォーマットにおける 1 1 ビット長の識別子に加えて、 1 8ビット長の拡張識別子を含む。標準フォーマツ卜の CAN メッセージの場合、 2 , 0 4 8種類の識別が可能であり、拡張フォーマットの CANメッセージの場合、約 5 , 4 0 0 , 0 0 0種類の識別が可能である。これら個々の識別子を有する C ANメッセージについて、データ内容が異なるすべての CANメッセージを送信してセキュリティ検査を行うには、膨大な工数が必要になる。

【0 1 2 6】

そこで、本実施形態に係るセキュリティ検査システムでは、あるテスト条件下においてセキュリティ検査を実行する場合、テスト信号送信部 5 1 0は、まず、識別子が異なる複数の CANメッセージをテスト信号として E CU 1 0にランダムに送信する。送信されたいずれかのテスト信号に基づく E CU 1 0の処理結果に異常が見られた場合、セキユリティ検査ユニット 5 0 0の診断部 5 2 0によって不正信号が特定される。つまり、どの識別子を含む CANメッセージが不正信号であるかが特定される。

【0 1 2 7】

そうすると、テスト信号適合部 5 4 0は、以降の検査用に、不正信号とされた CANメッセージと同一の識別子を含みデータ内容が異なる CANメッセージがテスト信号として送信されるように適合する。これにより、テスト信号送信部 5 1 0は、当該識別子を含みデータ内容が異なる複数の C ANメッセージをランダムに E CU 1 0に送信する。これにより、以降の検査においては、特定の識別子を含む CANメッセージに特化したセキユリティ検査が実行される。その結果、すでに不正信号と特定された CANメッセージと同一の識別子を有する CANメッセージであって、データ内容の異なる CANメッセージについての検査を効率的に行うことができる。つまり、識別子及びデータ内容の異なる大量の CANメッセージを無作為に送信しつつ不正信号を特定する場合に比べて、不正信号が含まれる可能性の高い C ANメッセージが優先的に検査対象とされるため、セキュリティ検査が効率的に実行されるようになる。

【0 1 2 8】

なお、テスト信号適合部 5 4 0によるテスト信号の適合（絞り込み）の方法は、上記のような識別子を特定する例に限られない。テスト信号適合部 5 4 0は、その他の適宜の条件により、直前までに実行された検査結果に基づいてテスト信号の適合を行ってもよい。

【0 1 2 9】

図 1 7は、本実施形態に係るセキュリティ検査システムによるセキュリティ検査方法のフローチャートの一例を示している。図 1 7に示したフローチャートは、ステップ S 7を含む点以外、図 4に示したフローチャートと同様のステップ S 8 , S 1 0 , S 1 4 , S 1 8 , S 2 2 , S 2 6 , S 3 0 , S 3 4を含む。

【0 1 3 0】

まず、セキュリティ検査ュニット 5 0 0のテスト信号適合部 5 4 0は、テスト信号送信部 5 1 0から E CU 1 0に対して送信させる CANメッセージ（テスト信号）を適合する (ステップ S 7 ) 。例えば、セキュリティ検査の開始直後において、テスト信号適合部 5 4 0は、複数の異なる識別子を含む CANメッセージがテスト信号としてランダムに送信されるように設定する。以降、セキュリティ検査ュニット 5 0 0、 E CU 1 0及び機能評価ュニット 1 5 0は、それぞれ図 4のフローチヤ一トに基づいて説明した手順と同様の手順で、ステップ S 8〜ステップ S 3 0の各処理を実行する。ステップ S 1 0において、セキユリティ検査ュニット 5 0 0のテスト信号送信部 5 1 0は、 E CU 1 0に対して、テスト信号適合部 5 4 0により設定された複数のテスト信号をランダムに送信する。

【0 1 3 1】

ステップ S 8〜ステップ S 3 0における各処理の結果、ある C ANメッセージが不正信号であるか否かが判定された後、テスト信号適合部 5 4 0は、検査を継続するか否かを判別する（ステップ S 3 4) 。すべてのテスト信号の送信が終了している場合（S 3 4 ： N o ) 、セキュリティ検査システムによるセキュリティ検査が終了する。一方、検査すべきテスト信号が残存する場合（S 3 4 ： Y e s ) 、テスト信号適合部 5 4 0は、テスト信号としての CANメッセージの再適合が必要か否かを判別する（ステップ S 3 9) 。例えば、直前に送信されたテスト信号に基づく E CU 1 0の処理結果に異常が見られなかった場合（ステップ S 2 2が N o判定であった場合）において、現在の適合（絞り込み）条件によるすベてのテスト信号の送信が終了していない場合には、テスト信号の再適合は不要と判定される（S 3 9 : N o) 。この場合、ステップ S 8に戻って、ここまでに説明した処理を繰り返し実行する。

【0 1 3 2】

一方、直前に送信されたテスト信号に基づく E CU 1 0の処理結果に異常が見られて不正信号が特定された場合（ステップ S 2 2が Y e s判定であった場合）において、テスト信号のさらなる絞り込みが可能な場合には、テスト信号の再適合が要と判定される（S 3 9 : Y e s ) 。この場合、ステップ S 7に戻って、ここまでに説明した処理を繰り返し実行する。例えば、ステップ S 7において、テスト信号適合部 54 0は、直前に不正信号として特定された CANメッセージと同一の識別子を含みデータ内容の異なる複数の CAN メッセージがテスト信号としてランダムに送信されるように設定する。これにより、不正信号が含まれる可能性の高い CANメッセージが優先的に検査対象とされ得る。

【0 1 3 3】

あるいは、ステップ S 3 9において、現在の適合（絞り込み）条件によるすベての CA Nメッセージの送信が終了している場合であって、さらに別の適合（絞り込み）が可能な場合においても、テスト信号の再適合が要と判定される（S 3 9 : Y e s ) 。この場合、ステップ S 7に戻って、別の適合（絞り込み）条件でテスト信号を設定した上で、ここまでに説明した処理を繰り返し実行する。

【0 1 3 4】

以上説明したように、第 4の実施の形態に係るセキュリティ検査システムでは、セキュリティ検査ュニット 5 0 0から検査対象の E CU 1 0に対して送信されるテスト信号として、不正信号が含まれる可能性の高い CANメッセージが優先的に選択される。したがつて、不正信号を特定するセキュリティ検査を効率的に実行することができる。

【0 1 3 5】

なお、本実施形態に係るセキュリティ検査システムにおいても、第 1の実施の形態の第 1の変形例〜第 3の変形例、あるいは、第 2の実施の形態又は第 3の実施の形態を適宜組み合わせて構成されてもよい。

【0 1 3 6】

くく 5. 第 5の実施の形態 >>

次に、第 5の実施の形態に係るセキュリティ検査システムについて説明する。本実施形態に係るセキュリティ検査システムは、例えばスマートホンや無線電波を発信する電子機器等によるドアロックシステムを司る E CUのセキュリティ検査を実行するためのシステムとして構成される。図 1 8は、本実施形態に係るセキュリティ検査システムの全体構成を示すブロック図である。セキュリティ検査システムは、セキユリティ検査ュニット 6 0 0と、機能評価ュニット 6 5 0とを備える。以下、各ュニッ卜の構成、及び、セキュリティ検査システムによるセキュリティ検査方法について、第 1の実施の形態と異なる点を中心に説明する。

【0 1 3 7】

セキュリティ検査ュニット 6 0 0は、例えば C P U等のプロセッサを備え、テスト信号送受信部 6 1 0と、診断部 6 2 0と、記憶部 6 3 0とを有する。このうち診断部 6 2 0及び記憶部 6 3 0は、基本的には図 2に示したセキュリティ検査ュニット 1 0 0の診断部 1 2 0及び記憶部 1 3 0と同様の構成とすることができる。本実施形態に係るセキュリティ検査システムにおいて、テスト信号送受信部 6 1 0は、 CAN等の車載用の通信プロトコルではなく、 W i — f iや B 1 u e t o o t h (登録商標）、あるいは U S B等の通信手段 8を介して E CU 1 0との間で信号の送受信を行う。

【0 1 3 8】

例えば、テスト信号送受信部 6 1 0は、通信手段 8を介して、ドアロックのオンオフの指示信号等をテスト信号として検査対象の E CU 1 0に送信する。また、テスト信号送受信部 6 1 0は、通信手段 8を介して、テスト信号に基づく E CU 1 0の処理結果としてのドア口ックの駆動信号を E CU 1 0から受信する。テスト信号送受信部 6 1 0が受信した E CU 1 0の処理結果の情報は、診断部 6 2 0によっても参照可能になっている。

【 0 1 3 9】

機能評価ュニット 6 5 0は、例えば C P U等のプロセッサと記憶部を備え、テスト条件設定部 6 5 5と、処理情報取得部 6 6 0と、異常検出部 6 7 0と、異常情報出力部 6 8 0 とを有する。これらの各部は、基本的には図 2に示した機能評価ユニット 1 5 0のテスト条件設定部 1 5 5、処理情報取得部 1 6 0、異常検出部 1 7 0、及び異常情報出力部 1 8 0と同様に構成され得る。

【 0 1 4 0】

かかる構成を有する本実施形態に係るセキュリティ検査システムは、テスト信号に対する応答結果をセキュリティ検査ュニット 6 0 0に返信可能な E CU 1 0であっても、さらに当該テスト信号に基づいて E CU 1 0と周辺機器や他の E CUとの間で異常な信号がやり取りされていないかを検査することができる。したがって、セキュリティ検査ユニット 6 0 0の診断部 6 2 0は、テスト信号に対する応答が E CU 1 0によって適切に行われているかの検査だけでなく、テスト信号によって E CU 1 0が異常な動作を起こしていないかを検査することができる。これにより、 E CU 1 0のソフトウェアの脆弱性がより的確に発見されやすくなり、セキュリティ検査の精度を向上させることができる。

【 0 1 4 1】

なお、本実施形態に係るセキュリティ検査システムにおいても、第 1の実施の形態の第 1の変形例〜第 3の変形例、あるいは、第 2の実施の形態、第 3の実施の形態又は第 4の実施の形態を適宜組み合わせて構成されてもよい。

【 0 1 4 2】

以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。

【 0 1 4 3】

例えば、上記各実施形態では、セキュリティ検査ユニットと、機能評価ユニットとが、それぞれ独立した装置として構成された例について説明したが、本発明は係る例に限定されない。図 1 9に例示するように、セキュリティ検査ュニット 1 0 0と機能評価ュニット

1 5 0とは、 1つの装置 7 0 0内に格納され、それぞれ異なるソフトウエアプログラムが実行されるようになっていてもよレ、。この場合、機能評価ュニット 1 5 0からセキュリティ検査ュニット 1 0 0への異常情報のフィードバックは、装置 7 0 0内のフィードノくック回路として構成され得る。また、かかる構成の場合、各ユニットの記憶部の一部が共通のメモリ等により構成されてもよい。

【符号の説明】

【 0 1 4 4】

1 車載ネットワーク

5 通信バス

1 0 E CU

8 0 不装

9 0 撮像ュニット

9 1 ， 9 2 , 9 3 カメラ

1 0 0 セキュリティ検査ユニット（セキュリティ検査装置)

1 1 0 テス卜信号送信部

1 2 0 診断部

1 3 0 記憶部機能評価ュニット（機能評価装置) 処理情報取得部

異常判定部

異常情報出力部

Claims

【書類名】特許請求の範囲

【請求項 1】

車載ネットワーク向けの制御装置のセキュリティを診断するための、不正信号を含むランダムなテスト信号を送信するテスト信号送信部、及び、前記テスト信号による前記制御装置の処理結果に基づいて前記不正信号を特定する診断部、を有するセキュリティ検査ュニッ卜と、

前記制御装置の処理結果に関連する情報を取得する処理情報取得部、前記テス卜信号に基づく前記制御装置の処理結果の異常を検出する異常検出部、及び、検出された前記異常の情報を出力する異常情報出力部、を有する機能評価ュニッ卜と、

を備えた、車載ネットワーク向けの制御装置のセキュリティ検査システム。

【請求項 2】

前記セキュリティ検査ユニットは、直前までの検査結果に基づいて、以降送信される前記ランダムなテスト信号を設定するテスト信号適合部を備える、請求項 1に記載のセキュリティ検査システム。

【請求項 3】

前記機能評価ュニットは、前記制御装置が前記車載ネットワーク上で置かれ得る状態をテスト条件として設定し、前記制御装置に送信するテスト条件設定部を備える、請求項 1 又は 2に記載のセキュリティ検査システム。

【請求項 4】

前記セキュリティ検査ュニッ卜の前記テスト信号送信部は、前記制御装置と併せて前記機能評価ュニッ卜に前記テスト信号を送信し、前記機能評価ュニッ卜の前記異常情報出力部は、正常であった前記処理結果に対応する前記テスト信号を除外して、前記異常となつた前記処理結果に対応する前記テスト信号の情報を出力する、請求項 1〜3のいずれか 1 項に記載のセキュリティ検査システム。

【請求項 5】

前記機能評価ュニッ卜の前記異常情報出力部は、前記セキュリティ検査ュニッ卜に前記異常の情報を送信する、請求項 1〜4のいずれか 1項に記載のセキュリティ検査システム

【請求項 6】

前記機能評価ュニッ卜の前記異常情報出力部は、前記機能評価ュニッ卜に設けられた記憶部に前記異常の情報を記憶させる、請求項 1〜4のいずれか 1項に記載のセキュリティ検査システム。

【請求項 7】

前記車載ネットワーク力 CAN (C o n t r o l l e r A r e a N e t w o r k ) 、 L I N o c a i I n t e r c o n n e c t N e t w o r k) 、 F l e x R a y、 MO S T (Me d i a O r i e n t e d S y s t e m s T r a n s p o r t ) , C AN- F D (CAN w i t h F l e x i b l e D a t a r a t e ) 、又は、 Au t o m o t i v e E t h e r n e tである、請求項 1〜 6のレヽずれ力 1項に記載のセキュリティ検査システム。

【請求項 8】

前記機能評価ュニッ卜の前記異常検出部は、前記制御装置の処理結果として出力される出力信号の送信周波数が想定される周波数を超える場合に、前記処理結果の異常を検出する、請求項 1〜 7のいずれか 1項に記載のセキュリティ検査システム。

【請求項 9】

前記機能評価ュニッ卜の前記異常検出部は、前記制御装置の処理結果として出力される出力信号又は入力される入力信号としてのアナログ信号又はデジタル信号の電圧値が想定される上限を超え又は下限を下回る場合に、前記処理結果の異常を検出する、請求項 1〜 7のいずれか 1項に記載のセキュリティ検査システム。

【請求項 1 0】

前記機能評価ュニッ卜の前記異常検出部は、前記制御装置の処理結果として出力される出力信号又は入力される入力信号としてのアナログ信号又はデジタル信号の周波数が想定される周波数を超える場合に、前記処理結果の異常を検出する、請求項 1〜7のいずれか 1項に記載のセキュリティ検査システム。

【請求項 1 1】

前記機能評価ュニッ卜の前記異常検出部は、前記制御装置の処理結果に基づいて表示制御が行われる表示装置を撮影した撮像情報に基づいて、前記処理結果の異常を検出する、請求項 1〜 7のいずれか 1項に記載のセキュリティ検査システム。

【請求項 1 2】

前記機能評価ュニッ卜の前記異常検出部は、前記撮像情報に基づいて前記表示装置の矛盾する表示を検出した場合に、前記処理結果の異常を検出する、請求項 1 1に記載のセキュリティ検査システム。

【請求項 1 3】

前記機能評価ュニッ卜の前記異常検出部は、前記制御装置の処理結果に関連する所定の値の単位時間当たりの変化量が想定される閾値を超える場合に、前記処理結果の異常を検出する、請求項 1〜 7のいずれか 1項に記載のセキュリティ検査システム。

【請求項 1 4】

前記機能評価ユニットの前記異常検出部は、前記制御装置の処理結果として、前記制御装置内のメモリァドレスに含まれる変更不可能な値が上書きされた場合に、前記処理結果の異常を検出する、請求項 1〜 7のいずれか 1項に記載のセキュリティ検査システム。【請求項 1 5】

セキュリティ検査ュニッ卜が、車載ネットワーク向けの制御装置のセキュリティを診断するための、不正信号を含むランダムなテスト信号を送信するステップと、

機能評価ュニッ卜が、前記制御装置の処理結果に関連する情報を取得するステップと、前記機能評価ュニッ卜が、前記テスト信号に基づく前記制御装置の処理結果の異常を検出するステップと、

前記機能評価ュニッ卜が、検出された前記異常の情報を記憶又は前記セキュリティ検査ュニッ卜に送信するステップと、

前記セキュリティ検査ュニッ卜が、前記テスト信号による前記制御装置の処理結果に基づいて前記不正信号を特定するステップと、

を含む、車載ネットワーク向けの制御装置のセキュリティ検査方法。

【請求項 1 6】

車載ネットワーク向けの制御装置の処理結果に関連する情報を取得する処理情報取得部と、

前記制御装置のセキュリティを診断するセキュリティ検査ュニッ卜から前記車載ネットワークを介して前記制御装置に送信された、不正信号を含むランダムなテスト信号による前記制御装置の処理結果の異常を検出する異常検出部と、

検出された前記異常の情報を出力する異常情報出力部と、

を備えた、車載ネットワーク向けの制御装置の機能評価装置。

【請求項 1 7】

コンピュータにより、

検出された前記異常の情報を出力する異常情報出力部と、

の機能を実現させる、プログラム。