WO2019117184A1

WO2019117184A1 - 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

Info

Publication number: WO2019117184A1
Application number: PCT/JP2018/045619
Authority: WO
Inventors: 弘泰寺澤; 芳賀　智之; 唯之鳥崎; 遼加藤
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2017-12-15
Filing date: 2018-12-12
Publication date: 2019-06-20
Also published as: US20200220888A1; CN111448783B; EP3726782B1; EP3726782A4; EP3726782A1; CN111448783A; US11438355B2; JP7071998B2; JPWO2019117184A1

Abstract

車載ネットワーク異常検知システム（２００）は、第一プロトコルでの通信単位データである第一単位データを第一ネットワークから受信する第一通信部（２０１）と、異常判定ルールの情報を含む異常判定データベース（２０３）と、異常判定ルールを用いて第一単位データの異常の有無を判定する異常判定部（２０２）と、異常判定部（２０２）が異常を含まないと判定した第一単位データから第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部（２０４）と、抽出された第二単位データを第二ネットワークに送出する第二通信部（２０６）とを備え、第一単位データは、送信元である第一機器を示す送信元情報を含み、第二単位データはデータ識別子を含み、異常判定部（２０２）は、送信元情報とデータ識別子との組み合わせを異常判定ルールと比較して第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。

Description

車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

　本発明は、車載ネットワークにおいて利用されるメッセージのうちの不正なメッセージによる異常を検知するものである。

　近年、自動車を構成するシステムには、電子制御ユニット（以下、ＥＣＵ（英文名のＥｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔの略語）と表記）と呼ばれる装置が多数配置されおり、複数のＥＣＵを相互につなぐネットワークは車載ネットワークと呼ばれている。車載ネットワークには多くの規格が規定されており、一般的には、通信速度が最大１Ｍｂｐｓ程度であるＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以下、ＣＡＮ（登録商標）と表記）が利用されている。

　今後、自動車は、運転支援の高度化を経て完全自動運転の実現に向けて進化していく中で、車両一台に搭載されるＥＣＵの数は増加することが見込まれている。このＥＣＵの数の増加に伴って車載ネットワーク上の通信量も増加するため、ＣＡＮの通信速度では限界がある。そこで、車載ネットワークの高速化を実現するための一手法として、インターネットなどに代表される一般の情報ネットワークとして既に実績のあるＥｔｈｅｒｎｅｔ（登録商標）を車載ネットワークへ適用する動きがある。Ｅｔｈｅｒｎｅｔでは、ＣＡＮの１００倍である１００Ｍｂｐｓの速度で通信が可能であり、また、帯域幅の拡張性及び柔軟性の観点からも、ＣＡＮに置き換わって車載ネットワークに適用される技術として期待されている。

　しかし、Ｅｔｈｅｒｎｅｔを車載ネットワークへ適用した自動車は未だ発展途上であり、安全性及び導入コストの観点からも、ＣＡＮからＥｔｈｅｒｎｅｔへの完全な移行は現時点では困難である。

　そこで、ＣＡＮからＥｔｈｅｒｎｅｔへの移行は段階的に進む、つまり、ＣＡＮのネットワークとＥｔｈｅｒｎｅｔのネットワークとが一台の車両の車載ネットワークに混在する状況を経た後に、完全にＥｔｈｅｒｎｅｔに置き換わると考えられている。より高度な運転支援、及びその発展形ともいえる完全自動運転においては、車載ネットワークで取り扱うデータ量は膨大であり、その中で各種センサのデータ及び映像データなどのこの大量のデータを同時に並列で処理できなければならない。そこで車載ネットワークの中でも、カメラ、ＬＩＤＡＲといったセンサからのセンシング情報、又はダイナミックマップの情報に代表される、膨大な情報を処理する必要がある情報系、安全系、運転支援（自動運転を含む、以下同じ）系に分類される車載機器が接続される部分からＥｔｈｅｒｎｅｔに置き換わり、次いで、安全性と信頼性の観点で、自動車において最も重要である、車両の走行、駆動をつかさどる制御系に分類される機器が接続される部分がＥｔｈｅｒｎｅｔに置き換わると想定される。

　このような、ＣＡＮのネットワークとＥｔｈｅｒｎｅｔのネットワークとが混在する環境では、プロトコルの異なる複数のネットワーク間でメッセージを中継するためのゲートウェイが必要となる。

　例えば、特許文献１では、ＣＡＮとは異なる他のプロトコルに従って通信を行う場合において、ＣＡＮプロトコルと他のプロトコルとの間でプロトコル変換を行い、メッセージを中継するゲートウェイについて開示している。

　また、完全自動運転の実現に向けては、自動車が最新の地図情報やリアルタイムに変化する周囲の情報を取得するために、クラウドサービスの情報を利用することが必要不可欠であり、外部ネットワークとの接続が必須である。そのため、常に、外部ネットワークからの不正アクセスなどのセキュリティの脅威にさらされることになるため、セキュリティ対策を行う必要がある。

　例えば、特許文献２では、車載ネットワークに不正なメッセージを侵入させて誤動作させる攻撃を検知し防御する方法について開示している。ＣＡＮのみを利用した車載ネットワークでは、含むデータの種類ごとに規定された周期的に送信されるメッセージが主に利用される。この点を利用して、規定された周期とは異なる周期でメッセージが送信された場合には不正であると判断し、不正の検出及び不正なデータ転送の防止を図っている。

特開２０１６－１１１４７７号公報国際公開第２０１４／１１５４５５号

　しかしながら、上記のようなより高度な運転支援に対応する車両の車載ネットワークでの異常検知では、車載ネットワークをサイバー攻撃の脅威から守るために、特許文献１又は２に開示される技術以上により確実に異常を検知することが求められる。

　本発明は、異常をより確実に検知して車載ネットワークをサイバー攻撃の脅威から守る車載ネットワーク異常検知システム等を提供する。

　本発明の一態様に係る車載ネットワーク異常検知システムは、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。

　また、本発明の一態様に係る車載ネットワーク異常検知方法は、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムにおいて実行される異常検知方法であって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信し、前記第一単位データの異常の有無の判定に用いられる異常判定ルールを用いて前記第一単位データが異常を含むか否か判定し、前記判定の結果、前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出し、抽出された前記第二単位データを前記第二ネットワークに送出し、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常を含むか否かの判定は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して行う。

　なお、これらの包括的または具体的な態様は、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　本発明の車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法は、異常をより確実に検知して車載ネットワークをサイバー攻撃の脅威から守ることができる。

図１は、実施の形態における車載ネットワーク全体の構成図である。図２は、実施の形態におけるＥｔｈｅｒｎｅｔパケットのフォーマットを示す図である。図３は、実施の形態におけるＣＡＮフレームのフォーマットを示す図である。図４は、実施の形態におけるＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイの構成図である。図５は、実施の形態におけるＥｔｈｅｒｎｅｔ－ＣＡＮ変換部による処理の概要を示す図である。図６は、実施の形態における各ＥＣＵが受信するＣＡＮフレームのＣＡＮ　ＩＤ及びデータフィールドにおいて設定可能な値のリストの一例を示す図である。図７は、実施の形態における情報系及び運転支援系の機器が命令を出す制御系ＥＣＵが受信するＣＡＮフレームのホワイトリストの一例を示す図である。図８は、実施の形態における異常判定部が行う異常対応処理のリストの一例を示す図である。図９は、実施の形態における異常判定部により送信元機器とＣＡＮ　ＩＤの値との組み合わせに基づいて異常があると判定された場合の処理リストの一例を示す図である。図１０は、実施の形態における異常判定部により、ＣＡＮ　ＩＤに紐づけられたデータフィールドの値に基づいて異常があると判定された場合の処理リストを示す図である。図１１は、実施の形態におけるＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイの処理フローチャートである。

　（本発明の基礎となった知見）
　本発明者は、「背景技術」の欄において記載した車載ネットワークの異常検出のための技術に関し、以下の問題が生じることを見出した。

　特許文献１は、異なるプロトコルが用いられるネットワーク間のメッセージを中継するゲートウェイにおいて、機器との通信バスの電圧、及び当該機器の通信周期の両方又は一方を監視し、監視の結果が異常である場合、その機器の正当性を判断する手法を開示する。

　また、特許文献２は、不正なデータを侵入させて誤動作させる攻撃を検知し防御を目的として、ネットワークの周期情報に基づく不正の検出及び不正なデータ転送の防止の手法を開示する。

　これらのネットワークとは、単一のプロトコルを利用した車載ネットワークが主に想定されている。この車載ネットワークでは、メッセージが周期的に送信されるため、規定された周期とは異なる周期でメッセージを受信した場合に不正が発生したと判断され、不正の検出及び不正なデータ転送の防止などの、攻撃に対する防御動作が行われている。

　しかし、この手法では、通信周期に基づいて車載ネットワーク上の異常検出ができたとしても、不正なメッセージの送信元を断つことができず、異常が発生し続け得る。例えば車載ネットワークを構成する機器の計算資源が異常を含むデータの処理に追われると、運転支援に必要な大量のデータの処理が間に合わない事態が発生するおそれがある。このような事態の発生は、車両の安全上重大な問題である。

　このような問題を解決するために、本発明の一態様に係る車載ネットワーク異常検知システムは、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。

　これにより、車載ネットワーク上のより確実な異常検知が可能になる。

　例えば、前記複数の第一機器は、前記車載ネットワークを搭載する車両の走行経路又は前記車両の状況もしくは状態に基づく当該車両の運転支援のために、前記複数の第二機器のいずれかによる制御のための命令を示す前記第二単位データを前記第一単位データに含めて送出する機器を含み、前記異常判定ルールは、前記複数の第一機器の各々についての、仕様上、前記第一単位データに含めて送出し得る、前記命令を示す前記第二単位データが含む前記データ識別子の組み合わせに関するルールであってもよい。

　また例えば、前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、前記複数の第一機器は前記車両のセンシング機器を含み、前記異常判定ルールは、前記センシング機器を示す前記送信元情報と、前記制御装置が受信する前記第二単位データが含む前記データ識別子との組み合わせは異常であると前記異常判定部に判定させるためのルールを含んでもよい。

　これにより、仕様上は通信を行わない機器間の通信の発生が抑制される。その結果、車載ネットワーク上のより確実な異常検知が可能になる。

　例えば、前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、前記第一単位データに含まれる前記第二単位データは、前記運転支援のための制御のパラメータをさらに含み、前記異常判定ルールは、前記複数の第二機器の各々について、仕様上受信する前記第二単位データが含む前記データ識別子と、前記パラメータの値との組み合わせに関するルールであってもよい。

　例えば、前記命令は、前記車両の加速、制動及び操舵のいずれかに関する命令であり、前記パラメータは、前記車両の加速、制動及び操舵のいずれかの制御に関するパラメータであってもよい。

　これにより、より大きな事故につながる、車両の制御系の機器への攻撃の影響を防ぐことができる。

　例えば、前記異常判定ルールは、前記組み合わせのうち仕様上異常でない組み合わせを示し、前記異常判定部は前記判定において、前記組み合わせが前記異常判定ルールに示されている場合に、前記第一単位データは異常を含まないと判定してもよい。

　これにより、仕様上は通信を行わない機器間では、送信されたデータは転送されない。その結果、車両上での情報処理によって提供される機能を犠牲にすることなく、車載ネットワークのサイバー攻撃に対する安全性を高めることができる。

　例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データを破棄してもよい。また例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、前記車載ネットワークを搭載する車両の運転支援のレベルを下げてもよい。

　これにより、車載ネットワーク上での異常の影響、特に運転支援のレベルを下げることで制御系への攻撃の影響を防ぐことができる。また、速やかに運転者が退避のための運転を実行することもでき、交通事故の可能性を抑えることができる。

　例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、特定した前記第一機器の前記車載ネットワークにおける通信を遮断してもよい。

　これにより、異常の原因は車載ネットワークから排除され、安全な運転の継続が可能になる。

　例えば、前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、前記車載ネットワークを搭載する車両がさらに備える、当該車両のユーザに情報を提示する情報提示部に、前記異常判定部が出力した前記判定の結果を送信することで、異常の発生を前記ユーザに通知する結果送信部を備えてもよい。また例えば、前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、前記異常判定部が出力した前記判定の結果を、前記車載ネットワークを搭載する車両の外部の通信ネットワークへ送信する結果送信部を備えてもよい。これにより、車載ネットワークで異常が発生したことの情報を、車両の運転者等のユーザが利用することができる。または、異常が発生した車両の周辺を走行する他の車両、路側機、又はＳＯＣ（Ｓｅｃｕｒｉｔｙ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｅｒ）で利用されてもよい。これにより、異常の発生した現場周辺で必要に応じてサイバー攻撃に対する対策を打つことができる。また、この情報を車両又は車両部品のメーカー等が利用して、同種の攻撃を未然に防ぐよう製品の改良又は開発に役立ててもよい。

　なお、これらの包括的または具体的な態様は、集積回路、コンピュータプログラム又はコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態について、図面を参照しながら具体的に説明する。以下で説明する実施の形態は、包括的または具体的な例を示すものである。実施の形態で示される数値、形状、材料、構成要素、構成要素の配置、位置関係及び接続形態、ステップ、ステップの順序などは一例であり、本発明を限定する趣旨ではない。また、実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に含み得る構成要素として説明される。

　（実施の形態）
　［システム構成］
　図１は、実施の形態における車載ネットワークの全体構成図である。車両１に搭載される車載ネットワーク１０は、Ｅｔｈｅｒｎｅｔのプロトコルに従って構築されている一重の実線で示されるネットワークと、ＣＡＮのプロトコルに従って構築されている二重の実線で示されるネットワークで構成される。本実施の形態において、Ｅｔｈｅｒｎｅｔのプロトコルは第一のプロトコルの例であり、ＣＡＮのプロトコルは第二のプロトコルの例である。

　車載ネットワーク１０を構成するセントラルゲートウェイ１００には、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００と、テレマティクスコントロールユニット（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ、以下ＴＣＵ）３００と、情報系ＤＣＵ（ＤＣＵ：Ｄｏｍａｉｎ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）４００と、運転支援系ＤＣＵ５００が、Ｅｔｈｅｒｎｅｔの通信線で接続される。

　同じく車載ネットワーク１０を構成するＴＣＵ３００は、車両１が外部ネットワーク３を経由してクラウドサーバ２と通信するためユニットであり、本実施の形態では、例えば携帯電話網又はＷｉ－Ｆｉ（登録商標）などの無線通信のための機器である。

　同じく車載ネットワーク１０を構成する情報系ＤＣＵ４００は、情報系の機器又はシステムであるＩＶＩ（Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｎｆｏｔａｉｎｍｅｎｔ）４１０とＥｔｈｅｒｎｅｔの通信線で接続され、運転者その他の乗員（以下、ユーザ）に映像及び音を用いて情報を提供する情報系ネットワークのドメイン管理を行う。ＩＶＩには、例えばカーナビゲーションシステムが含まれ、その他、映像及び音楽の再生機能、車両１の周囲の状況又は車両１の状態に関する情報を、運転者を含む車両１のユーザに提示する機能を提供するためのハードウェア及びソフトウェアが含まれ得る。

　同じく車載ネットワーク１０を構成する運転支援系ＤＣＵ５００には、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ－Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍｓ）５１０と、ＬＩＤＡＲ（Ｌａｓｅｒ　Ｉｍａｇｉｎｇ　Ｄｅｔｅｃｔｉｏｎ　ａｎｄ　Ｒａｎｇｉｎｇ）５２０と、カメラ５３０と、ＤＹＮＡＭＩＣ　ＭＡＰ５４０とが、Ｅｔｈｅｒｎｅｔの通信線で接続されている。

　ＡＤＡＳ５１０は、走行する車両１の内外の状況から、車線維持、自動駐車、又は他の交通体又は障害物の回避動作の実行に関する判断をして運転操作を支援するシステムである。

　ＬＩＤＡＲ５２０は車外の障害物を感知するため、カメラ５３０は車外の状況を撮影するために光検出をするセンサを備え、それぞれ本実施の形態におけるセンシング機器の例である。

　ＤＹＮＡＭＩＣ　ＭＡＰ５４０は、ダイナミックマップの受信や制御をする。

　なお、情報系ＤＣＵ４００及びＩＶＩを、以下ではまとめて、又はこれらのうち任意のいずれかを指して情報系機器ともいう場合がある。また、運転支援系ＤＣＵ５００、並びに運転支援系ＤＣＵ５００に接続されるＡＤＡＳ５１０、ＬＩＤＡＲ５２０、カメラ５３０及びＤＹＮＡＭＩＣ　ＭＡＰ５４０を、以下ではまとめて、又はこれらのうち任意のいずれかを指して運転支援系機器ともいう場合がある。そして、これらの機器からは、車両１の走行経路又は車両１の状況もしくは状態に基づく運転支援のために、車両１の制御のための命令を示すデータをＥｔｈｅｒｎｅｔパケットに含めて送信することができる。

　同じく車載ネットワーク１０を構成するＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００は、車載ネットワーク１０においてＥｔｈｅｒｎｅｔのネットワークとＣＡＮのネットワークとを中継する。Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００には、ミラーＥＣＵ２１０と、ウィンドウＥＣＵ２２０と、ブレーキＥＣＵ２３０と、アクセルＥＣＵ２４０と、ステアリングＥＣＵ２５０とがＣＡＮバスで接続される。

　ミラーＥＣＵ２１０は、車両１の電動ミラーの格納及び展開の動作を制御する。ウィンドウＥＣＵ２２０は、車両１のウィンドウの開閉の動作を制御する。ブレーキＥＣＵ２３０は、車両１の主ブレーキの動作を制御する。アクセルＥＣＵ２４０は、車両１の加速のため動作を制御する。ステアリングＥＣＵ２５０は、車両１の操舵のための動作を制御する。ミラーＥＣＵ２１０、ウィンドウＥＣＵ２２０、ブレーキＥＣＵ２３０、アクセルＥＣＵ２４０及びステアリングＥＣＵ２５０は、それぞれ本実施の形態における制御機器の例であり、以下では制御系ＥＣＵともいう。

　なお、セントラルゲートウェイ１００、ＴＣＵ３００、情報系ＤＣＵ４００、運転支援系ＤＣＵ５００及びこれらの機器に接続される上述の各機器はＥｔｈｅｒｎｅｔプロトコルで通信する、本実施の形態における第一機器の例である。第一機器は、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００とも、直接又は間接にＥｔｈｅｒｎｅｔのプロトコルで通信する。そして、これらの第一機器が接続されるネットワークを、以下では第一ネットワークともいう。

　また、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００とＣＡＮバスで接続されてＣＡＮのプロトコルで通信するミラーＥＣＵ２１０、ウィンドウＥＣＵ２２０、ブレーキＥＣＵ２３０、アクセルＥＣＵ２４０及びステアリングＥＣＵ２５０は、本実施の形態における第二機器の例である。そして、これらの第二機器が接続されるネットワークを、以下では第二ネットワークともいう。

　図２は、第一ネットワークで送受信されるＥｔｈｅｒｎｅｔパケットのデータフォーマットである。Ｅｔｈｅｒｎｅｔパケットは先頭から順に、Ｅｔｈｅｒｎｅｔヘッダと、ＩＰヘッダと、ＴＣＰヘッダ又はＵＤＰヘッダと、データから構成される。Ｅｔｈｅｒｎｅｔヘッダは、あて先ＭＡＣアドレスと、送信元ＭＡＣアドレスと、タイプを含む。ＩＰヘッダは、送信元ＩＰアドレスと、あて先アドレスを含む。ＴＣＰヘッダ、ＵＤＰヘッダは、送信元ポート番号と、あて先ポート番号を含む。ここまでに述べた部分はＥｔｈｅｒｎｅｔパケットを送信する機器から受信する機器までの適切な送受信に関わる部分である。続くデータのフィールド（以下、（Ｅｔｈｅｒｎｅｔパケットの）データフィールドという）には、例えばセンサが出力した、センシングの結果を示すセンシング情報、又は送信する機器から受信する機器に対する命令等を示すデータが含まれる。このようなＥｔｈｅｒｎｅｔパケットは、第一機器間の送受信の通信単位のデータであり、本実施の形態における第一単位データの例である。

　図３は、第二ネットワークで送受信されるＣＡＮフレームのフォーマットを示す図である。ＣＡＮフレームには、標準フォーマット及び拡張フォーマットの２種類が存在し、本実施の形態は示す技術は、標準フォーマットでも拡張フォーマットでも利用可能である。以下では標準フォーマットを例に用いて説明する。

　標準フォーマットのＣＡＮフレームは先頭から順に、ＳＯＦ（Ｓｔａｒｔ　ｏｆ　Ｆｒａｍｅ）、ＩＤ、ＲＴＲ（Ｒｅｍｏｔｅ　Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｒｅｑｕｅｓｔ）、コントロールフィールド、データフィールド、ＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄｅｎｃｙ　Ｃｈｅｃｋ）シーケンス及びＣＲＣデリミタ、ＡＣＫ（ＡＣＫｎｏｗｌｅｄｇｅｍｅｎｔ）スロット及びＡＣＫデリミタ、並びにＥＯＦ（Ｅｎｄ　ｏｆ　Ｆｒａｍｅ）のスロットで構成される。図３には、各スロットの長さ（ビット長）も示している。また、上下の実線は、各スロットでＣＡＮバスがとり得る状態（リセッシブ／ドミナント）を示している。Ｅｔｈｅｒｎｅｔパケットにおけるデータフィールドの内容に相当するデータは、ＣＡＮフレームのデータフィールドに含まれる。また、この内容の種類は、ＩＤのスロットの値で示される。このようなＣＡＮフレームは、第二機器間の送受信の通信単位のデータであり、本実施の形態における第二単位データの例である。また、ＩＤは、データフィールドのデータの種類に関しての第二単位データの識別子であり、本実施の形態におけるデータ識別子の例である。

　図４は、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００の構成図である。Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００は、Ｅｔｈｅｒｎｅｔパケット送受信部２０１と、異常判定部２０２と、異常判定データベース２０３と、Ｅｔｈｅｒｎｅｔ－ＣＡＮ変換部２０４と、結果送信部２０５と、ＣＡＮフレーム送受信部２０６とを備える。

　Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００は、Ｅｔｈｅｒｎｅｔパケット送受信部２０１が受信したＥｔｈｅｒｎｅｔパケットにパッキングされたＣＡＮフレームを抽出し、ＣＡＮフレーム送受信部２０６からＣＡＮバスへ送出することでＥｔｈｅｒｎｅｔのネットワークからＣＡＮのネットワークへデータを転送する。また、ＣＡＮフレーム送受信部２０６が受信したＣＡＮフレームをＥｔｈｅｒｎｅｔパケットにパッキングして、Ｅｔｈｅｒｎｅｔパケット送受信部２０１からＥｔｈｅｒｎｅｔの通信線へ送出することでＣＡＮのネットワークからＥｔｈｅｒｎｅｔのネットワークへデータを転送する。

　図５は、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００において、Ｅｔｈｅｒｎｅｔ－ＣＡＮ変換部２０４が１つのＥｔｈｅｒｎｅｔパケットから複数のＣＡＮフレームを抽出し、抽出したＣＡＮフレームを送出する処理の概要を示す図である。

　上述したように、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００では、Ｅｔｈｅｒｎｅｔネットワークに接続される情報系機器又は運転支援系機器のいずれから送信されたＥｔｈｅｒｎｅｔパケットが、Ｅｔｈｅｒｎｅｔパケット送受信部２０１によって受信される。情報系機器又は運転支援系機器は、このＥｔｈｅｒｎｅｔパケット（第一単位データ）のデータフィールドにＣＡＮフレーム（第二単位データ）を含めて送信している。図５の例では、ｎ個のＣＡＮフレームがＥｔｈｅｒｎｅｔパケットのデータフィールドに含められている。これらのＣＡＮフレームの中には、ＣＡＮネットワークに接続される機器に対する命令をデータフィールドに含むものもある。Ｅｔｈｅｒｎｅｔパケット送受信部２０１によって受信されたＥｔｈｅｒｎｅｔパケットのデータフィールドに含まれるｎ個の連結されたＣＡＮフレームが抽出される。抽出されたｎ個の連結されたＣＡＮフレームは、ＣＡＮフレーム送受信部２０６によって個別にＣＡＮバスへ送出される。これらの一連の処理のうち、ＥｔｈｅｒｎｅｔパケットのデータフィールドからＣＡＮフレームを抽出するのがＥｔｈｅｒｎｅｔ－ＣＡＮ変換部２０４である。

　異常判定データベース２０３は、車載ネットワーク１０で送受信されるデータが不正なデータであるか否か、つまり異常なデータを含むか否かを判定するためのルール（以下、異常判定ルールともいう）を示す。

　異常判定部２０２及び結果送信部２０５については後述する。

　図６は、ＣＡＮバスに接続された各制御系ＥＣＵが仕様上受信するＣＡＮフレームのＣＡＮ　ＩＤ、及び受信するＣＡＮフレームのデータフィールドに、仕様上、設定可能な値（パラメータの値）のリストの一例である。ここでいう仕様とは、例えば車両１又は車載ネットワーク１０の設計者によって、ＣＡＮネットワーク全体の動作を考慮して決定される。このリストは異常判定データベース２０３に含まれ、異常判定ルールの基である情報の一部を含む。

　この例では、ミラーＥＣＵ２１０はＣＡＮ　ＩＤが１０のＣＡＮフレームを受信する。ＣＡＮ　ＩＤが１０のＣＡＮフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、１０００及び１００１である。値１０００はミラーの格納を意味し、値１００１は、ミラーの展開を意味する。

　ウィンドウＥＣＵ２２０は、ＣＡＮ　ＩＤが２０のＣＡＮフレームを受信する。ＣＡＮ　ＩＤが２０のＣＡＮフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、２０００～２０１０である。値２０００は、ある窓の全閉を意味し、値２００１～２００９は、この窓の段階的な開状態（ウィンドウの開き具合の大小）、値２０１０は、この窓の全開を意味する。

　ブレーキＥＣＵ２３０は、ＣＡＮ　ＩＤが３０のＣＡＮフレームを受信する。ＣＡＮ　ＩＤが３０のＣＡＮフレームのデータフィールドに仕様上含まれ得るパラメータの値は、３０００及び３００１である。値３０００はブレーキ制御ＯＮを意味し、値３００１はブレーキ制御ＯＦＦを意味する。

　アクセルＥＣＵ２４０は、ＣＡＮ　ＩＤが４０のＣＡＮフレームを受信する。ＣＡＮ　ＩＤが３０のＣＡＮフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、４０００～４２００である。これらの値は車速を示しており、例えば値４０００は０ｋｍ／ｈを意味し、値４２００は２００ｋｍ／ｈを意味する。

　ステアリングＥＣＵ２５０は、ＣＡＮ　ＩＤが５０のＣＡＮフレームを受信する。ＣＡＮ　ＩＤが５０のＣＡＮフレームのデータフィールドに仕様上含まれ得るパラメータの値は、５０００～５６００である。これらの値はステアリングの回転角の大きさを示しており、例えば５０００は左方向に最大角、５３００はセンター（回転角はゼロ）、５６００は右方向に最大角を意味する。

　図７は、Ｅｔｈｅｒｎｅｔネットワークに接続された情報系又は運転支援系の各機器のＩＰアドレスと、これらの各機器が仕様上制御のために送信する命令を受信する制御系ＥＣＵが受信するＣＡＮフレームのＣＡＮ　ＩＤとの組み合わせを示したリストの一例である。つまりこのリストは、車載ネットワーク１０において、情報系機器又は運転支援系機器から制御系機器に送信される命令を示すデータであって不正でないものを並べたホワイトリストの一例である。このリストもまた異常判定データベース２０３に含まれ、異常判定ルールの基である情報の一部を含む。

　このリストによれば、例えばＩＶＩ４１０は、ＩＰアドレスが１９２．１６８．０．２である。また、ＩＶＩ４１０が仕様上制御のために送信するＣＡＮフレームのＣＡＮ　ＩＤは、１０及び２０である。つまり、図６の表とあわせて参照すると、ＩＶＩ４１０が仕様上送信する命令を受信する制御系ＥＣＵは、ミラーＥＣＵ２１０及びウィンドウＥＣＵ２２０である。ここで、ＩＶＩ４１０が、その他のＥＣＵ（つまり、ブレーキＥＣＵ２３０、アクセルＥＣＵ２４０、ステアリングＥＣＵ２５０）に命令を送信することは、仕様上無いものとする。別の表現をすると、車載ネットワーク１０の仕様によれば、ＩＶＩ４１０が制御のための命令を与える対象の機器は、ミラーＥＣＵ２１０及びウィンドウＥＣＵ２２０に限定されている。

　ＡＤＡＳ５１０は、ＩＰアドレスが１９２．１６８．０．３である。また、ＡＤＡＳ５１０が仕様上制御のために送信するＣＡＮフレームのＣＡＮ　ＩＤは、３０、４０及び５０である。つまり、図６の表とあわせて参照すると、ＡＤＡＳ５１０が仕様上送信する命令を受信する制御系ＥＣＵは、ブレーキＥＣＵ２３０、アクセルＥＣＵ２４０、及びステアリングＥＣＵ２５０である。ここで、ＡＤＡＳ５１０が、その他のＥＣＵ（つまり、ミラーＥＣＵ２１０及びウィンドウＥＣＵ２２０）に命令を送信することは、仕様上無いものとする。

　ＬＩＤＡＲ５２０は、ＩＰアドレスが１９２．１６８．０．４であり、カメラ５３０は、ＩＰアドレスが１９２．１６８．０．５であり、ＤＹＮＡＭＩＣ　ＭＡＰ５４０は、ＩＰアドレスが１９２．１６８．０．６である。これらの運転支援系の機器は、制御系ＥＣＵのいずれにも制御のための命令を直接送信することは仕様上無いものとする。つまり、例えばＬＩＤＡＲ又はカメラのようなセンシング機器は、車載ネットワーク１０にセンシングの結果のデータを送出することはあるが、何らかの判断をしてその判断に基づいて制御系機器に命令を送出することは仕様上発生しないとするものである。

　異常判定部２０２は、Ｅｔｈｅｒｎｅｔパケット送受信部２０１が受信したＥｔｈｅｒｎｅｔパケットが異常を含むか否かを、上記の異常判定ルールに基づいて判定する。図８は、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００において、異常判定部２０２が、異常判定データベース２０３が含む異常判定ルールに基づいて、Ｅｔｈｅｒｎｅｔパケットが異常を含むと判定した場合に行う処理（以下、異常対応処理ともいう）の例を示す。処理Ｎｏ．１は、Ｅｔｈｅｒｎｅｔパケットが異常を含むこと、つまり異常の発生を結果送信部２０５に通知する処理である。処理Ｎｏ．２は、異常を含むと判定したＥｔｈｅｒｎｅｔパケットを破棄する処理である。処理Ｎｏ．３は、送信元の情報系又は運転支援系機器からの通信を遮断する処理である。処理Ｎｏ．４は、自動運転モードを停止し、手動運転モードに切り替えの指示を結果送信部へ通知する処理である。

　図９は、異常判定部２０２により送信元の情報系又は運転支援系の機器が指定した、つまりＥｔｈｅｒｎｅｔパケットのデータフィールドに含まれるＣＡＮフレーム内のＣＡＮ　ＩＤの値に関する異常があると判定された場合の処理リストの一例である。

　例えば送信元機器がＩＶＩ４１０の場合、図７のホワイトリストにより、制御の命令を受け取る制御系ＥＣＵは、ミラーＥＣＵ２１０と、ウィンドウＥＣＵ２２０である。したがって、ＩＶＩ４１０が送信するＥｔｈｅｒｎｅｔパケットに含まれるＣＡＮフレームのＣＡＮ　ＩＤが１０又は２０である場合、異常判定部２０２は正常であると判定し、正常時の所定の処理、例えば抽出したＣＡＮフレームのＣＡＮネットワークへの送出を行う。一方、ＩＶＩ４１０は、ブレーキＥＣＵ２３０、アクセルＥＣＵ２４０又はステアリングＥＣＵ２５０に対する命令を送信することは仕様上あり得ない。したがって、Ｅｔｈｅｒｎｅｔパケットのデータフィールドに含まれるＣＡＮフレームのＣＡＮ　ＩＤが３０、４０又は５０である場合、異常判定部２０２は、当該Ｅｔｈｅｒｎｅｔパケットは異常を含むデータであると判定し、図８の処理ＩＤに従って異常対応処理を実行する。例えばＩＶＩ４１０が送信したＥｔｈｅｒｎｅｔパケットに含まれるＣＡＮパケットのＣＡＮ　ＩＤが、仕様上ブレーキＥＣＵ２３０のみが受信するＣＡＮフレームのＣＡＮ　ＩＤである「３０」である場合、異常判定部２０２はこの判定結果の結果送信部への通知（処理Ｎｏ．１）、当該Ｅｔｈｅｒｎｅｔパケットの破棄（処理Ｎｏ．２）、及び当該Ｅｔｈｅｒｎｅｔパケットに含まれる送信元情報（例えばＩＰアドレス）から当該Ｅｔｈｅｒｎｅｔパケットの送信元である機器を特定しての、及び当該機器からの通信の遮断（処理Ｎｏ．３）の異常対応処理を実行する。また例えば、アクセルＥＣＵ２４０のみが受信するＣＡＮパケットのＣＡＮ　ＩＤである「４０」が指定されていた場合、判定結果の結果送信部への通知（処理Ｎｏ．１）、当該Ｅｔｈｅｒｎｅｔパケットの破棄（処理Ｎｏ．２）、当該Ｅｔｈｅｒｎｅｔパケットに含まれる送信元情報から特定した送信元である機器からの通信の遮断（処理Ｎｏ．３）、及び自動運転モードを停止し、手動運転モードに切り替える命令を結果送信部へ通知する（処理Ｎｏ．４）異常対応処理を実行する。送信元機器がＡＤＡＳ５１０、ＬＩＤＡＲ５２０、カメラ５３０、又はＤＹＮＡＭＩＣ　ＭＡＰ５４０である場合も同様に、図９に示すテーブルに示される、Ｅｔｈｅｒｎｅｔパケットの異常の有無の判定の結果に応じた正常処理又は異常対応処理のいずれかが実行される。このテーブルもまた異常判定データベース２０３に含まれ、異常判定ルールの情報の一部を含む。

　図１０は、異常判定部２０２が、異常判定データベース２０３に含まれる情報が示す異常判定ルールに基づいて、ＣＡＮ　ＩＤに対応するデータフィールドの値が異常判定された場合の処理リストの一例である。異常判定部２０２は、受信したＥｔｈｅｒｎｅｔパケットに含まれるｎ個のＣＡＮフレームを順番、またはランダムに選択する一部を対象として、データフィールドに含むパラメータの値に関する異常の有無について判定する。

　ＣＡＮ　ＩＤが１０（ミラーＥＣＵ２１０が受信するＣＡＮフレーム）、または、２０（ウィンドウＥＣＵ２２０が受信するＣＡＮフレーム）の場合において、異常判定部２０２は、データフィールドの値が、図６のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部へ送信し（処理Ｎｏ．１）、当該Ｅｔｈｅｒｎｅｔパケットを破棄する（処理Ｎｏ．２）。ただし、ミラーＥＣＵ２１０及びウィンドウＥＣＵ２２０は、異常なデータが原因で誤動作した場合でも、重大事故に繋がる可能性は低いと判断し、重要度は低と規定されている。

　ＣＡＮ　ＩＤが３０（ブレーキＥＣＵ２３０が受信するＣＡＮフレーム）の場合において、異常判定部２０２は、データフィールドの値が、図６のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部への送信（処理Ｎｏ．１）、及び当該Ｅｔｈｅｒｎｅｔパケットの破棄（処理Ｎｏ．２）の異常対応処理を実行する。また、異常判定部２０２はこれらの処理に加えて、当該Ｅｔｈｅｒｎｅｔパケットに含まれる送信元情報から、送信元である機器を特定し、特定したこの機器からの通信を遮断する（処理Ｎｏ．３）異常対応処理を実行する。ただし、異常なデータが原因でブレーキＥＣＵ２３０が誤動作した場合は、運転支援が阻害されて運転の安全性が損なわれる可能性があるため、重要度は中と規定されている。

　ＣＡＮ　ＩＤが４０（アクセルＥＣＵ２４０が受信するＣＡＮフレーム）、または５０（ステアリングＥＣＵ２５０が受信するＣＡＮフレーム）の場合において、異常判定部２０２は、データフィールドの値が、図６のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部への送信（処理Ｎｏ．１）、当該Ｅｔｈｅｒｎｅｔパケットの破棄（処理Ｎｏ．２）、及び当該Ｅｔｈｅｒｎｅｔパケットに含まれる送信元情報から特定した送信元である機器からの通信の遮断（処理Ｎｏ．３）の異常対応処理を実行する。また、異常判定部２０２はこれらの処理に加えて、自動運転モードを停止し、手動運転モードに切り替えの命令を結果送信部へ通知する（処理Ｎｏ．４）。アクセルＥＣＵ２４０又はステアリングＥＣＵ２５０が不正に制御された場合は重大事故に繋がる可能性が高いため、重要度は高と規定されている。

　このように用いられる図１０の処理リストもまた異常判定データベース２０３に含まれ、異常判定ルールの情報の一部を含む。

　以下では、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００が上記の異常判定データベース２０３に含まれる情報を用いて行う処理の手順を、具体的な例を用いて説明する。

　［異常の判定から異常対応までの処理手順］
　図１１は、本実施の形態におけるＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ２００がＥｔｈｅｒｎｅｔパケットを受信し、異常の有無を判定した上で、その判定の結果に応じて行う処理までの手順例のフローチャートである。

　（Ｓ１１００）Ｅｔｈｅｒｎｅｔパケット送受信部２０１が、情報系機器又は運転支援系機器がＥｔｈｅｒｎｅｔネットワークに送出したＥｔｈｅｒｎｅｔパケットを受信する。

　（Ｓ１１０１）異常判定部２０２が、Ｅｔｈｅｒｎｅｔパケットに含まれる送信元情報と、当該Ｅｔｈｅｒｎｅｔパケットのデータフィールドに含まれる各ＣＡＮフレームのＣＡＮ　ＩＤとの組み合わせをチェックする。

　（Ｓ１１０２）このチェックにおいて異常判定部２０２は、上記の送信元情報とＣＡＮ　ＩＤとの組み合わせと、図７のホワイトリストに含まれる情報とを比較して、データフィールドに含まれるＣＡＮ　ＩＤが、仕様上、送信元情報が示す送信元の機器の制御対象の機器が受信するＣＡＮフレームのＣＡＮ　ＩＤであるか否かチェックする。

　（Ｓ１１０３）Ｓ１１０２の結果、送信元の機器が、仕様上制御を指示することは無い制御系ＥＣＵが受信するＣＡＮ　ＩＤであった場合、つまり、送信元情報とＣＡＮ　ＩＤとの組み合わせが図７のホワイトリストにない場合、当該Ｅｔｈｅｒｎｅｔパケットは異常を含むと判定し、図９の処理リストに従って図８に示される異常対応処理を実行する。

　（Ｓ１１０４）Ｓ１１０２の結果、正常と判定した場合、次に異常判定部２０２は、Ｅｔｈｅｒｎｅｔパケットに含まれる各ＣＡＮフレームのＣＡＮ　ＩＤとデータフィールドの値との組み合わせをチェックする。このデータフィールドの値は、例えば受信した制御系ＥＣＵによる制御のパラメータの値である。

　（Ｓ１１０５）このチェックにおいて異常判定部２０２は、ＣＡＮ　ＩＤとパラメータの値との組み合わせと、図６のリストに含まれる該当のＣＡＮ　ＩＤと設定可能値との組み合わせとを比較して、ＣＡＮ　ＩＤに対して、データフィールドの値が設定可能値又はその範囲に含まれているかをチェックする。

　（Ｓ１１０６）Ｓ１１０５の結果、ＣＡＮフレームに含まれるデータフィールドの値が、該当のＣＡＮ　ＩＤに対して設定可能値でない場合、当該ＣＡＮフレームを含む当該Ｅｔｈｅｒｎｅｔパケットは異常を含むと判定し、図１０の処理リストに従って図８に示される異常対応処理を実行する。

　（Ｓ１１０７）Ｓ１１０５の結果、正常と判定された場合、Ｅｔｈｅｒｎｅｔ－ＣＡＮ変換部２０４が当該ＥｔｈｅｒｎｅｔパケットからＣＡＮフレームを抽出する。そして抽出されたＣＡＮフレームが、ＣＡＮフレーム送受信部２０６からＣＡＮバスへ送信される。

　（実施の形態の効果）
　上記の実施の形態では、ＣＡＮネットワークとＥｔｈｅｒｎｅｔネットワークとが混在する車載ネットワークにおいて、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイで両プロトコルの特性を活かして不正なメッセージが検知される。本構成によって、例えば攻撃者がＥｔｈｅｒｎｅｔネットワークに接続されるＥＣＵ等の機器又はシステムを乗っ取り、車載ネットワークで利用されるメッセージの中身を書き換えることで、不正に制御系ＥＣＵを操作するといったサイバー攻撃などを検知して、重大事故を未然に防ぐことができる。また、その送信元の機器を特定してその機器からの通信を遮断できるため、車載ネットワークがセキュリティの脅威に晒されたり、高負荷であったりする状態が長く持続することを防ぐことができる。このようなＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイは、上記の実施の形態における車載ネットワーク異常検知システムの例である。

　（その他変形例）
　なお、一つ又は複数の態様に係る車載ネットワーク異常検知システムについて説明してきたが、本発明は、上記実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、実施の形態及びその各種の変形における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。以下には、上記の実施の形態の変形の例を挙げる。

　（１）上記実施の形態では、異常判定部がＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイの中に構成されているが、これは本発明における車載ネットワーク異常検知システムの一態様であり、異常判定部の場所はＥｔｈｅｒｎｅｔ－ＣＡＮゲートウェイに限定されない。異常判定部は、車載ネットワーク上でデータを中継する任意の装置に構成されてもよく、例えばＥｔｈｅｒｎｅｔ　Ｓｗｉｔｃｈ、セントラルゲートウェイ、各ドメインのＤＣＵなどに構成されてもよい。

　（２）上記実施の形態では、異常判定データベースはホワイトリスト方式としているが、異常判定データベースのリストと合致する場合は異常と判定する、ブラックリスト方式であってもよい。また、ホワイトリスト方式、ブラックリスト方式の両方のデータベースが利用されてもよい。

　（３）上記実施の形態では、異常判定データベースに含まれる情報に基づく異常判定ルールと合致しない場合は異常があると判定されているが、これに限定されない。合致しない場合、例えば判定の結果をログとして保存するとしてもよい。また、合致しない場合、異常判定結果を結果送信部へ通知するとしているが、この通知は実行されなくてもよい。さらに、異常判定データベースに含まれるエントリごとに、異常判定を実行する、若しくはしない、又は異常判定以外の処理を実行する、といったアクションの切り替えが可能なように、異常判定データベースに対応アクションの項目を保持してもよい。例えば、特定のエントリについては、異常判定部による判定の実行後、さらに判定結果を常にログとして保存するとしてもよい。また例えば、異常判定部は判定結果を結果送信部に通知し、結果送信部はこの判定結果をＴＣＵに転送して、ＴＣＵから常にクラウドサーバ上へ送信する、としてもよい。

　（４）上記実施の形態では、異常対応処理のうち、運転支援の機能に関するものとして、自動運転モードの停止及び手動運転モードへの切替が例示されるが、これに限定されない。異常対応処理として、車両で実行中の運転支援のレベルを下げる（手動運転のレベルを上げる）処理が実行されればよい。例えば、追突防止機能及び車線維持支援機能は維持するが、車線変更支援機能等の加速制御が実行され得る機能は停止する、といったように、運転支援の機能の一部を無効にしてもよい。また別の例として、いったんは自動運転によって強制的に減速して車両を安全な場所に停止させてもよい。

　（５）また、上記実施の形態では異常を含むＥｔｈｅｒｎｅｔパケットの送信元機器の通信を遮断する手法を具体的に示していないが、特に限定されるものではない。当該送信元機器の送受信機能が無効にされるのみでもよいし、当該送信元機器をシャットダウンさせてもよい。または、当該送信元機器がいずれかのドメインに属する場合に、車載ネットワークのその他の部分への流出を防ぐために、当該ドメインのＤＣＵに、当該送信元機器から受信したデータをすべて破棄させてもよい。

　（６）また、異常対応処理として、ユーザに判定の結果が通知されてもよい。例えば異常判定部は、判定の結果を出力して結果送信部に通知する。そして結果送信部が、この通知された判定の結果をＩＶＩに送信すると、ＩＶＩを介してユーザに当該判定の結果が通知されてもよい。ＩＶＩは、この例における車両の情報提示部であり、他の例として、判定の結果は計器盤を介してユーザに通知されてもよい。また、判定の結果には、異常の有無のみならず、異常なデータの送信元機器、影響を受ける受信側の機器、又はこれらの機器を含む系統の情報が含まれてもよい。また、上記のように運転支援の機能が制限される場合には、制限される機能等の情報がさらにユーザに通知されてもよい。

　（７）結果送信部からＴＣＵを介しての判定結果は、Ｖ２Ｘ（Ｖｅｈｉｃｌｅ－ｔｏ－Ｅｖｅｒｙｔｈｉｎｇ）によって周辺の他車へ、又はＶ２Ｉ（Ｖｅｈｉｃｌｅ－ｔｏ－Ｉｎｆｒａｓｔｒａｃｔｕｒｅ）によって、信号機又は道路標識などの交通基盤設備へ送信されてもよい。

　（８）上記実施の形態では、情報系及び運転制御系の機器が仕様上制御を命令する制御系ＥＣＵの特定に、異常判定データベースに含まれる情報が用いられているがこれに限定されない。る制御系ＥＣＵの特定、例えば各機能の仕様に基づいて、各機能がネットワーク通信を行う際の正常時の動作から決定してもよい。また、あらかじめ決められた仕様に基づくのみならず、ユーザ設定に従って特定されてもよい。

　（９）上記実施の形態における異常判定データベースに含まれる各種のリスト等のデータは一例であり限定的なものではない。例えば、異常判定データベースで扱うデータの種類の項目は、Ｅｔｈｅｒｎｅｔ　ＡＶＢにおけるＩＥＥＥ１７２２フレームに含まれるストリームＩＤであったり、車載ネットワークに接続される機器固有の値などであったりしてもよい。

　（１０）上記実施の形態では、運転支援系ＤＣＵ５００がＣＡＮバスと直接は接続されていないが、ＣＡＮバスと直接に接続されてもよい。この場合、Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイが運転支援系ＤＣＵに含まれ、運転支援系ＤＣＵがＥｔｈｅｒｎｅｔパケットとＣＡＮフレームとの変換、及びＥｔｈｅｒｎｅｔパケットの異常判定を行ってもよい。そして、異常を含まないと判定されたＥｔｈｅｒｎｅｔパケットが含む制御系ＥＣＵへの命令のＣＡＮフレームが、運転支援系ＤＣＵから直接ＣＡＮバスに送信されてもよい。

　（１１）上記実施の形態は、ＥｔｈｅｒｎｅｔネットワークとＣＡＮネットワークが混在するネットワーク環境を例に説明したが、これに限定されない。例えばＥｔｈｅｒｎｅｔに代えてＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）又はＦｌｅｘＲａｙのプロトコルが適用されているネットワークであっても本発明に係る技術は適用できる。また、ＣＡＮネットワークに代えて、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）が適用されているネットワークであっても本発明に係る技術は適用できる。

　（１２）上記の実施の形態における各機器は、具体的には、マイクロプロセッサ及びＲＯＭ、ＲＡＭ又はハードディスクユニット等の記憶装置等で構成されるコンピュータシステムである。記憶装置には、コンピュータプログラムが記録されている。マイクロプロセッサが、このコンピュータプログラムに従って動作することにより、各機器はその機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　本発明にかかる車載ネットワーク異常検知システムを、車載ネットワーク上に配置することで、不正アクセスなどのサイバー攻撃から車載ネットワークをより確実に守り、より高い安全性が確保された車両の開発に貢献する。

　１　車両
　２　クラウドサーバ
　３　外部ネットワーク
　１０　車載ネットワーク
　１００　セントラルゲートウェイ
　２００　Ｅｔｈｅｒｎｅｔ－ＣＡＮゲートウェイ（車載ネットワーク異常検知システム）
　２０１　Ｅｔｈｅｒｎｅｔパケット送受信部（第一通信部）
　２０２　異常判定部
　２０３　異常判定データベース
　２０４　Ｅｔｈｅｒｎｅｔ－ＣＡＮ変換部（単位データ変換部）
　２０５　結果送信部
　２０６　ＣＡＮフレーム送受信部（第二通信部）
　２１０　ミラーＥＣＵ
　２２０　ウィンドウＥＣＵ
　２３０　ブレーキＥＣＵ
　２４０　アクセルＥＣＵ
　２５０　ステアリングＥＣＵ
　３００　ＴＣＵ
　４００　情報系ＤＣＵ
　４１０　ＩＶＩ
　５００　運転支援系ＤＣＵ
　５１０　ＡＤＡＳ
　５２０　ＬＩＤＡＲ
　５３０　カメラ
　５４０　ＤＹＮＡＭＩＣ　ＭＡＰ

Claims

　第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、
　前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、
　前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、
　前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、
　前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、
　抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、
　前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、
　前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、
　前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する
　車載ネットワーク異常検知システム。
　前記複数の第一機器は、前記車載ネットワークを搭載する車両の走行経路又は前記車両の状況もしくは状態に基づく当該車両の運転支援のために、前記複数の第二機器のいずれかによる制御のための命令を示す前記第二単位データを前記第一単位データに含めて送出する機器を含み、
　前記異常判定ルールは、前記複数の第一機器の各々についての、仕様上、前記第一単位データに含めて送出し得る、前記命令を示す前記第二単位データが含む前記データ識別子の組み合わせに関するルールである
　請求項１に記載の車載ネットワーク異常検知システム。
　前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、
　前記複数の第一機器は前記車両のセンシング機器を含み、
　前記異常判定ルールは、前記センシング機器を示す前記送信元情報と、前記制御装置が受信する前記第二単位データが含む前記データ識別子との組み合わせは異常であると前記異常判定部に判定させるためのルールを含む
　請求項１に記載の車載ネットワーク異常検知システム。
　前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、
　前記第一単位データに含まれる前記第二単位データは、前記運転支援のための制御のパラメータをさらに含み、
　前記異常判定ルールは、前記複数の第二機器の各々について、仕様上受信する前記第二単位データが含む前記データ識別子と、前記パラメータの値との組み合わせに関するルールである
　請求項１に記載の車載ネットワーク異常検知システム。
　前記命令は、前記車両の加速、制動及び操舵のいずれかに関する命令であり、
　前記パラメータは、前記車両の加速、制動及び操舵のいずれかの制御に関するパラメータである
　請求項４に記載の車載ネットワーク異常検知システム。
　前記異常判定ルールは、前記組み合わせのうち仕様上異常でない組み合わせを示し、
　前記異常判定部は前記判定において、前記組み合わせが前記異常判定ルールに示されている場合に、前記第一単位データは異常を含まないと判定する
　請求項１に記載の車載ネットワーク異常検知システム。
　前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データを破棄する
　請求項１に記載の車載ネットワーク異常検知システム。
　前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、前記車載ネットワークを搭載する車両の運転支援のレベルを下げる
　請求項１に記載の車載ネットワーク異常検知システム。
　前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、特定した前記第一機器の前記車載ネットワークにおける通信を遮断する
　請求項１に記載の車載ネットワーク異常検知システム。
　前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、
　前記車載ネットワークを搭載する車両がさらに備える、当該車両のユーザに情報を提示する情報提示部に、前記異常判定部が出力した前記判定の結果を送信することで、異常の発生を前記ユーザに通知する結果送信部を備える
　請求項１に記載の車載ネットワーク異常検知システム。
　前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、
　前記異常判定部が出力した前記判定の結果を、前記車載ネットワークを搭載する車両の外部の通信ネットワークへ送信する結果送信部を備える
　請求項１に記載の車載ネットワーク異常検知システム。
　第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムにおいて実行される異常検知方法であって、
　前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信し、
　前記第一単位データの異常の有無の判定に用いられる異常判定ルールを用いて前記第一単位データが異常を含むか否か判定し、
　前記判定の結果、前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出し、
　抽出された前記第二単位データを前記第二ネットワークに送出し、
　前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、
　前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、
　前記異常を含むか否かの判定は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して行う
　車載ネットワーク異常検知方法。