WO2021260984A1

WO2021260984A1 - 情報処理装置、情報処理方法及びプログラム

Info

Publication number: WO2021260984A1
Application number: PCT/JP2021/002471
Authority: WO
Inventors: 章人竹内; 健人田村; 薫横田
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2020-06-26
Filing date: 2021-01-25
Publication date: 2021-12-30
Also published as: JP2022007238A

Abstract

情報処理装置（１０）は、異常発生箇所および当該異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶するパターン記憶部（１０５）と、モビリティのネットワークにおいて発生した事象に関するログを取得するログ取得部（１０８）と、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部（１０５）が記憶するパターンとに基づいて、攻撃を受けているか否かを判定する判定部（１０６）とを備える。

Description

情報処理装置、情報処理方法及びプログラム

　本開示は、情報処理装置、情報処理方法及びプログラムに関する。

　特許文献１には、車載通信ネットワークにおける不正メッセージを正しく検知するための検知装置が提案されている。特許文献１に記載の検知装置は、あらかじめＣＡＮＩＤごとにメッセージの送信間隔を算出し、記憶しているヒストグラムにおける高さを確認し、その高さが閾値以上なら正常、閾値未満なら不正と判定する。

特開２０１８－４６４３２号公報

　しかしながら、特許文献１に記載の検知装置のように、送信周期の変化に基づいて不正を検知する構成では、不正な攻撃なのか、あるいはバグや故障、外乱といったその他の異常なのかを特定することが困難であり、バグや故障を攻撃として誤検知する可能性があり、必ずしもセキュリティ対策が十分ではないという課題が生じる。

　そこで、本開示は、セキュリティ対策を高めることができる情報処理装置、情報処理方法及びプログラムを提供する。

　本開示の一態様に係る情報処理装置は、異常発生箇所および当該異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶しているパターン記憶部と、モビリティのネットワークにおいて発生した事象に関するログを取得するログ取得部と、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する判定部と、を備える。

　なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ－Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　本開示の一態様に係る情報処理装置等によれば、セキュリティ対策を高めることができる。

図１は、実施の形態に係る情報処理装置を含む情報処理システムの一例を示す図である。図２は、実施の形態に係る情報処理装置の機能ブロックの一例を模式的に示す図である。図３は、異常発生箇所および異常発生箇所における異常内容に関して、攻撃を示すパターンの一例を示す図である。図４は、異常ログの一例を示す図である。図５は、実施の形態に係る情報処理装置による処理の流れの一例を示すフローチャートである。図６は、攻撃者による外部からの不正アクセスのイメージを示す図である。図７は、ログの順序の補正について説明するための図である。

　上記態様によれば、情報処理装置は、モビリティのネットワークにおいて発生した事象に関して、事象の発生箇所に関する情報だけでなく、発生した事象の内容も含めて、攻撃を受けているか否かを判定することができる。これにより、情報処理装置は、ＩＤＳ（Intrusion Detection System）などの異常検知器による検知結果を用いて不正判定を行う場合、異常の内容も考慮して不正判定を行うため、異常検知器による検知結果への依存を低減することができ、不正な攻撃を受けているか否かについて、適切に判定することができる。

　例えば、前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果に基づいて、攻撃を受けているか否かを判定してもよい。

　上記態様によれば、情報処理装置は、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部に記憶されているパターンとを比較した結果に基づいて、攻撃を受けているか否かを判定する。これにより、不正な攻撃を受けているか否かについて、より適切に判定することができる。

　例えば、前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えた場合、攻撃を受けていると判定してもよい。

　上記態様によれば、情報処理装置は、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部に記憶されているパターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えた場合、攻撃を受けていると判定する。これにより、不正な攻撃を受けているか否かについて、さらに適切に判定することができる。

　例えば、前記ログ取得部は、前記ネットワークに接続された異常検知器から送信された異常検知情報を前記ログとして取得してもよい。

　上記態様によれば、情報処理装置は、統合監視の機能を有する装置として、モビリティのネットワークに接続された異常検知器からの異常検知情報をログとして収集し、モビリティのネットワークに接続された各種の異常検知情報を考慮した上で攻撃を受けているか否かを判定できる。これにより、不正な攻撃を受けているか否かについての判定の精度を向上させることができる。

　また、仮にログに含まれる事象の発生箇所のみに基づいて判定した場合、異常検知器により異常に関する事象が検知されたことは正しかったとしても、事象の内容について正しく検知できていないときは、検知した事象の内容が誤っていたことに気づくことができない。そこで、ログに含まれる事象の発生箇所および事象内容に基づく判定を行うことで、事象の発生箇所としては正しいものの、事象の内容が誤っていたときに、異常検知器がどのような誤検知をしたか判断することが可能となる。したがって、上記態様によれば、情報処理装置は、例えば、事象の発生箇所および事象内容と、その事象が異常であると誤検知したことを示す誤検知情報とを含む情報のような、異常検知器の検知ルールの更新に利用可能な情報をフィードバックすることが可能となる。

　例えば、前記情報処理装置は、前記異常検知器から送信された前記異常検知情報のうち、前記判定部によって攻撃を受けていると判定された際の判定に用いられた前記ログとしての前記異常検知情報を外部装置に送信する出力部をさらに備えてもよい。

　上記態様によれば、情報処理装置は、異常検知器からの異常検知情報のうち、判定部によって攻撃を受けていると判定された際の判定に用いられたログとしての異常検知情報を選択的に外部装置へ送信できる。これにより、ログのうち、攻撃による異常検知情報以外の誤検知等の可能性がある異常検知情報をＳＯＣ（Security Operation Center）サーバ等の外部装置へ送信しないでおくことができる。したがって、不要なログのサーバへのアップロードを防ぎ、通信データの容量を削減することができる。

　例えば、前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、前記異常検知情報が前記異常検知器における誤検知によって生成された可能性があると判定してもよい。

　上記態様によれば、情報処理装置は、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部に記憶されているパターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、誤検知の可能性があると判定できる。これにより、攻撃を受けたことを示すログと誤検知の可能性があるログとを切り分けて識別することができ、攻撃の確度が高い事象に関する情報のみを優先して選択的にＳＯＣサーバ等の外部装置へアップロードすることができる。

　例えば、前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、未知の攻撃を受けている可能性や故障の可能性があると判定してもよい。

　上記態様によれば、情報処理装置は、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部に記憶されているパターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、パターン記憶部に記憶されていないパターンの未知の攻撃を受けている可能性や故障の可能性がある。これにより、攻撃を受けたことを示すログと未知の攻撃の可能性や故障の可能性があるログとを切り分けて識別することができ、攻撃の確度が高い事象に関する情報のみを優先して選択的にＳＯＣサーバ等の外部装置へアップロードすることができる。

　例えば、前記パターン記憶部は、前記パターンとして、異常である複数の事象の発生順序を記憶しており、前記判定部は、前記ログ取得部により順次取得された複数のログの時系列の順序と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する。

　上記態様によれば、情報処理装置は、異常である複数の事象の発生順序が定義されたパターンと、複数のログの時系列の順序とを比較して、攻撃を受けているか否かを判定する。これにより、情報処理装置は、不正な攻撃を受けているか否かについて、より適切に判定することができる。

　例えば、前記ネットワークは、複数の階層を含む階層構造を有し、前記情報処理装置は、前記複数のログのそれぞれに含まれる前記事象の発生箇所の前記ネットワークにおける自装置からの階層的な距離と、当該自装置において前記複数のログのそれぞれを取得した時間とに基づいて、前記複数のログの時系列の順序を補正する補正部を更に備えてもよい。

　上記態様によれば、情報処理装置は、各ログに含まれる事象の発生箇所のネットワークにおける自装置からの階層的な距離、すなわちネットワーク構成に関する情報と、自装置において各ログを取得した時間に基づいて、時系列の順序を実際に事象が発生した順序に補正する。これにより、実際に事象が発生した順序と、情報処理装置においてログを取得した順序とが異なる場合でも、不正な攻撃を受けているか否かについて、適切に判定することができる。

　本開示の一態様に係る情報処理方法は、異常発生箇所および当該異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶しているパターン記憶部を備えた情報処理装置における情報処理方法であって、モビリティ内のネットワークにおいて発生した事象に関するログを取得するログ取得ステップと、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する判定ステップと、を含む。

　上記態様によれば、上記情報処理装置と同様の効果を奏する。

　本開示の一態様に係るプログラムは、上記の情報処理方法を実行させるためのプログラムである。

　なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態）
　まず、図１及び図２を参照しながら、実施の形態に係る情報処理装置１０の構成について説明する。図１は、実施の形態に係る情報処理装置１０を含む情報処理システムの一例を示す図である。図２は、実施の形態に係る情報処理装置１０の機能ブロックの一例を模式的に示す図である。

　本実施の形態に係る情報処理システム３は、車両１と外部装置２とを含んで構成される。車両１は、例えば自動車であり、モビリティの一例である。外部装置２は、例えばＳＯＣ（Security Operation Center）サーバであるが、ＳＯＣ以外の用途のサーバであってもよく、特に限定されない。

　図１に示すように、車両１は、情報処理装置１０と異常検知器（ＩＤＳ：Intrusion Detection System）２０ａ、２０ｂ、２０ｃと、通信装置３０とを備える。

　情報処理装置１０は、例えば、統合ＥＣＵ（Electronic Control Unit）として構成されるが、統合ＥＣＵ以外の装置として構成されていてもよく、特に限定はされない。

　異常検知器２０ａ、２０ｂ、２０ｃは一例であり、車両１が備える異常検知器は３台に限定されるわけではなく、車両１はその他の異常検知器を備えていてもよい。また、異常検知器２０ａ、２０ｂ、２０ｃは、独立した装置として車両１に備えられているとは限らず、ＥＣＵ等に組み込まれていてもよいし、情報処理装置１０に組み込まれていてもよい。異常検知器２０ａ、２０ｂ、２０ｃは、不正な通信や侵入等を検知し、検知結果を情報処理装置１０に通知することができる。

　通信装置３０は、例えば、ＴＣＵ（Telematics Control Unit）である。車両１は、通信装置３０を介して、インターネット等の外部のネットワークを経由して、外部装置２とデータを通信することができる。

　車両１の内部において、情報処理装置１０と異常検知器２０ａ、２０ｂ、２０ｃと通信装置３０とは、相互に通信可能なネットワークで接続されている。このネットワークはモビリティのネットワークの一例である。

　情報処理装置１０は、異常検知器２０ａ、２０ｂ、２０ｃからの検知結果に基づいて、統合的に不正な通信等に関する判定を行うことができる。情報処理装置１０は、そのような判定結果を、通信装置３０を介して外部装置２に送信することができる。

　また、情報処理装置１０は、異常検知器２０ａ、２０ｂ、２０ｃから取得した検知結果を検知ログとして、通信装置３０を介して外部装置２に送信することができる。また、情報処理装置１０は、ＩＤＳのほか図示しないＥＣＵやセンサなどを含め、モビリティのネットワークに接続された各種の機器から取得した車両に関する各種のログを車両ログとして、通信装置３０を介して外部装置２に送信することができる。

　図２に示すように、車両１は、情報処理装置１０（例えば、統合ＥＣＵ）と異常検知器（例えば、ＩＤＳ）２０ａ、２０ｂ、２０ｃを備えている。情報処理装置１０は、検知情報受信部１０１とログ記憶部１０２と補正部１０３とログ抽出部１０４とパターン記憶部１０５と判定部１０６と出力部１０７とを備えている。

　検知情報受信部１０１は、モビリティ内のネットワークにおいて発生した事象に関するログを取得する。検知情報受信部１０１は、例えば、異常検知器２０ａ、２０ｂ、２０ｃが異常を検知した場合に、異常検知器２０ａ、２０ｂ、２０ｃから当該異常に関する検知情報をログとして順次取得する。なお、検知情報受信部１０１は、例えば、図示しないＥＣＵやセンサなどから受信した車両情報などを検知情報として受信してもよい。検知情報受信部１０１は、検知情報をログ記憶部１０２に送信する。

　ログ記憶部１０２は、検知情報受信部１０１から受信したログを記憶する。ログ記憶部１０２は、例えば、検知情報受信部１０１から異なる複数のタイミングで受信した複数のログを順次記憶する。ログ記憶部１０２は、例えば、メモリやソリッドステートドライブやハードディスクなどにより実現されてもよい。なお、ログ記憶部１０２は、例えば、図示しないＥＣＵやセンサなどから受信した車両情報などを含めてログとして記憶してもよい。

　補正部１０３は、ログ記憶部１０２に記憶されているログを補正する。例えば、補正部１０３は、ログ記憶部１０２に記憶されているログの検知された順序を補正する。補正部１０３における補正内容の詳細については後述する。

　ログ抽出部１０４は、ログ記憶部１０２に記憶されるログのうち、判定部１０６における判定の対象とするログを抽出する。なお、検知情報受信部１０１とログ記憶部１０２とログ抽出部１０４とは、例えば、ログ取得部１０８のような形で一体的に構成されていてもよく、特に限定はされない。

　パターン記憶部１０５は、異常発生箇所および異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶する。ここで、図３を用いて、攻撃を示すパターンについて説明する。

　図３は、異常発生箇所および異常発生箇所における異常内容に関して、攻撃を示すパターンの一例を示す図である。図３に示す例では、攻撃パターン１（攻撃パターンの一例）は、最初に（Ｓｔｅｐ１）、ＩＶＩ（Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｎｆｏｔａｉｎｍｅｎｔ）機能を制御するＥＣＵにおいてポートスキャンが発生し、次に（Ｓｔｅｐ２）、ＧＷ（ＧａｔｅＷａｙ）機能を制御するＥＣＵにおいて不正リプログラミングが発生し、最後に（Ｓｔｅｐ３）、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ　Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ）機能を制御するＥＣＵにおいてコマンド注入が発生した場合、攻撃を受けているパターンであることを示すものである。

　このように、パターン記憶部１０５は、１つのログに含まれる異常発生箇所および異常内容の組み合わせが特定の組み合わせに該当するパターンを、攻撃を示すパターンとして記憶していてもよい。また、パターン記憶部１０５は、複数のログに含まれる異常である複数の事象の発生順序を、攻撃を示すパターンとして記憶していてもよい。

　判定部１０６は、ログに含まれるモビリティ内のネットワークにおいて発生した事象の発生箇所およびその内容と、パターン記憶部１０５に記憶されているパターンとに基づいて、攻撃を受けているか否かを判定する。

　例えば、判定部１０６は、ログに含まれる事象の発生箇所および事象の内容と、パターン記憶部１０５に記憶されているパターンとを比較した結果に基づいて、攻撃を受けているか否かを判定する。

　例えば、判定部１０６は、ログに含まれる事象の発生箇所および事象内容とパターン記憶部１０５に記憶されているパターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えた場合、攻撃を受けていると判定する。

　仮にログに含まれる事象の発生箇所のみに基づいて判定した場合、異常検知器により異常に関する事象が検知されたことは正しかったとしても、事象の内容について正しく検知できていないときに、検知した事象の内容が誤っていたことに気づくことができない。そこで、判定部１０６は、ログに含まれる事象の発生箇所および事象内容に基づく判定を行う。これにより、事象の発生箇所としては正しいものの、事象の内容が誤っていたときに、異常検知器がどのような誤検知をしたか判断することが可能となる。したがって、情報処理装置１０は、事象の発生箇所および事象内容と、その事象が異常であると誤検知したことを示す誤検知情報とを含む情報のような、外部装置２における異常検知器の検知ルールの更新に利用可能な情報を外部装置２にフィードバックすることができる。

　判定部１０６における判定処理について、図４を用いて、より具体的に説明すれば以下のとおりである。図４は、ログのうち異常に関するログ（異常ログ）の一例を示す図である。図４に示すとおり、異常ログには、異常発生箇所とその異常発生箇所における異常内容が含まれる。また、異常ログには検知時刻も含まれてもよい。

　ここでの検知時刻は、例えば、検知情報受信部１０１が検知情報を受信した時刻である。ログ記憶部１０２は、この時刻を検知時刻とするログを記憶している。ログ抽出部１０４は、判定部１０６における判定の対象とするログとして、ログ記憶部１０２に記憶されているログの中から、異常に関するログ（異常ログ）を抽出する。なお、ログ記憶部１０２は、ログの種類ごとにログを管理してもよい。例えば、ログ記憶部１０２は、ログの種類ごとのテーブルを用いてログを記憶してもよいし、ログにログの種類を表すフラグを付与し、フラグが付与されたログを記憶してもよく、特に限定されない。

　判定部１０６は、ログ抽出部１０４が抽出した異常ログの中から、パターン記憶部１０５が記憶する攻撃を示すパターン（攻撃パターン）を検索する。判定部１０６は、異常ログの中から、攻撃パターンに類似するパターンを含めて検索してもよい。判定部１０６による異常ログ中に含まれる攻撃パターンの検索は既知のパターンマッチング等のアルゴリズムを用いてよい。

　判定部１０６は、例えば、図４に示す異常ログの中から、図３に示す攻撃パターン１と同一または類似のパターンを検索する。図４に示す例では、破線で囲まれたログ（攻撃パターンと一致した異常ログ）が図３に示す攻撃パターン１と一致する。

　なお、図４において、検知時刻は、上の行から順に早い時刻のものとする。すなわち、図４に示すログにおいては、最初の１行目（異常発生箇所：ＩＶＩ、異常内容：ポートスキャン）の検知時刻が最も早い時刻のものであり、最後の６行目（異常発生箇所：ＡＤＡＳ　ＥＣＵ、異常内容：コマンド注入）の検知時刻が最も遅い時刻のものである。

　この場合、判定部１０６は、マッチング度合いが１００％であると判定する。例えば、マッチング度合いに関する所定の閾値として１００％という値が設定されていた場合、判定部１０６は、攻撃パターン１と完全一致するパターン（マッチング度合い＝１００％）が見つかった場合、そのパターンに関して、攻撃を受けていると判定する。

　なお、パターンマッチングについては、完全一致のみを検索するものである必要はない。例えば、異常発生箇所の一連の並び（順序）のみが一致し、異常内容が一致しない場合について、類似パターンとして検索してもよい。

　この場合、例えば、図４において、５行目が「異常発生箇所：ＧＷ、異常内容：アクセス権書き換え」となっていた場合でも、判定部１０６は、検索対象とする。そして、所定のアルゴリズムによってマッチング度合いを算出する。

　判定部１０６は、１つのログに含まれる異常発生箇所および異常内容の組み合わせが、パターン記憶部１０５に記憶されているパターンに含まれる特定の組み合わせに一致する場合に、攻撃を受けていると判定してもよい。また、判定部１０６は、異常ログに含まれる複数のログの時系列の順序が、パターン記憶部１０５に記憶されているパターンに含まれる特定の順序に一致する場合に、攻撃を受けていると判定してもよい。

　例えば、異常ログに含まれる複数のログにおいて、異常発生箇所の一連の並び（順序）が一致していることを重視するような重み付けの設定と場合には、異常発生箇所の一連の並び（順序）が一致していた場合に７０％のマッチング度合いとし、残りの３０％分については、異常発生箇所に対応する異常内容の一致率で定めてもよい。

　上述の例（５行目が「異常発生箇所：ＧＷ、異常内容：アクセス権書き換え」となっていた場合）では、異常内容が３つのうち１つだけ不一致のため、残りの３０％分について、異常内容の一致率に基づいて２０％のマッチング度合いとして算出してもよい。これにより、判定部１０６は、異常発生箇所の一連の並び（順序）に基づく７０％のマッチング度合いと、異常内容の一致率に基づく２０％のマッチング度合いを加算することで、９０％のマッチング度合いに決定してもよい。この場合、判定部１０６は、例えば、所定の閾値として９５％と設定されていた場合には、マッチング度合いが９０％（７０％＋２０％）のため攻撃を受けているとは限らない（攻撃を受けていない可能性や未知の攻撃の可能性や故障の可能性などがある）と判定する。なお、未知の攻撃とは、パターン記憶部１０５に記憶されているパターンで示される攻撃とは異なる攻撃である。

　一方、判定部１０６は、例えば、所定の閾値が８０％と設定されていた場合には、マッチング度合いが９０％のため攻撃を受けている（攻撃の可能性が高い）と判定する。

　なお、このマッチング度合いの算出の例は、攻撃パターンとログに含まれるパターンとの比較に基づく攻撃可能性についての評価値の算出手法の一種であって、仕様に応じて任意の比較手法やマッチングアルゴリズムが選択されてよく、特に限定はされない。また、マッチング度合いやその他攻撃の可能性についての評価値は、パーセントで評価するものに限定されず、攻撃を受けている可能性として「高」、「中」、「低」のような段階的な評価であってもよく、特に限定されない。

　さらには、予め、攻撃パターンだけでなく、類似パターンやその他のパターンも含めて網羅的にパターン記憶部１０５に記憶しておき、さらに各パターンに対応付けて攻撃の可能性の程度が設定されていてもよく、特に限定されない。この場合、判定部１０６は、ログ記憶部１０２に記憶されたログがパターン記憶部１０５に記憶されるいずれのパターンに該当するかに応じて、攻撃の可能性について判定する。

　出力部１０７は、判定部１０６による攻撃の可能性に関する判定結果等を出力する。出力部１０７から出力された判定結果等の情報は、例えば、ＴＣＵ等の通信装置を介して、インターネット等のネットワークを経由し、外部装置（ＳＯＣサーバ）２へ送信される。

　図５は、情報処理装置１０による処理の流れの一例を示すフローチャートである。図５を用いて情報処理装置１０における処理について説明する。

　情報処理装置１０において、検知情報受信部１０１は、異常検知器２０ａ、２０ｂ、２０ｃ等から、異常に関する検知情報をログとして受信する（ステップＳ５０１）。ログ記憶部１０２は、検知情報受信部１０１が受信したログを記憶する（ステップＳ５０２）。

　続いて、例えば、補正部１０３が、所定のタイミングで、ログ記憶部１０２に記憶されるログの時系列の順序が正しいか否かを判定する（ステップＳ５０３）。所定のタイミングは、定期的なタイミングであってもよいし、あるいは、例えば、判定部１０６から要求を受けたタイミングであってもよい。

　ログの時系列の順序が正しくない場合（ステップＳ５０３においてＮＯ）、補正部１０３は、ログ記憶部１０２に記憶されているログの順序を補正する（ステップＳ５０４）。ここで、ログの時系列の順序の補正について、図６および図７を用いて説明する。

　図６は、攻撃者による外部からの不正アクセスのイメージを示す図である。攻撃者は、最初に、例えば、１層目のＴＣＵを介して外部から車両内部のネットワークに侵入する。その後、ＴＣＵに接続された２層目の統合ＥＣＵを経由して、３層目のＡＤＡＳ　ＥＣＵに侵入し、ＡＤＡＳ　ＥＣＵを介して車両に対する不正な制御を指示するなどして攻撃を行う。

　車両内部のネットワークは、例えば図６に示すように、１層目（ＴＣＵ）、２層目（統合ＥＣＵ）、３層目（ＡＤＡＳ　ＥＣＵ）のような階層構造を有する。なお、図６に示す階層構造は一例であって、３層構造に限定されるものではない。

　また、各階層には、複数の機器が接続されていてもよく、特に限定されない。この階層構造は、例えば、統合ＥＣＵをＮ層目とすると、それよりも外部に１層近いＴＣＵの層はＮ－１層目、内部に１層進んだＡＤＡＳ　ＥＣＵの層はＮ＋１層目と定義することができる。

　例えば、外部から攻撃者が車両内部のネットワークに侵入する場合、１番最初に１層目に侵入し、次に２層目に侵入し、最後に３層目に侵入することになる。すなわち、外部からの攻撃が発生した場合、外部のネットワークに近い順番、すなわち１層目のノード、２層目のノード、３層目のノードの順番で異常な事象が発生することになる。

　ところで、情報処理装置１０のような統合ＥＣＵにおいては統合監視が行われる。すなわち、車両内部のネットワークに接続された各ノードから統合ＥＣＵへ検知された異常に関するログが送信され、統合ＥＣＵではそれらのログを集約し、それらを統合して総合考慮した結果、発生している異常な事象が攻撃に起因するものであるか否かが判定されることになる。

　そして、上述のとおり、車両内部のモビリティのネットワークは階層構造になっており、統合ＥＣＵと各ノードとの間にはネットワーク上の階層的な距離が存在する。このため、統合ＥＣＵが各ノードから異常に関する情報を受信して異常を検知するタイミングの順序と、各ノードに組み込まれた異常検知器２０ａ、２０ｂ、２０ｃのようなＩＤＳが実際に異常を検知したタイミングの順序とは一致しない場合がある。

　したがって、統合ＥＣＵにおいて各ＩＤＳから検知情報を受信したタイミングを統合ＥＣＵでの検知時刻としてログ記憶部１０２に記憶する場合、ログの時系列の順序は、実際に各ＩＤＳにおいて異常が検知された時系列の順序とは一致しない場合がある。

　図７は、ログの順序の補正について説明するための図である。図７に示すログＡは、統合ＥＣＵにおいて検知時刻ｔのタイミングで「異常発生箇所：統合ＥＣＵ、異常内容：コマンド注入」の異常が検知されたことを示すログである。

　図７に示すログＢは、統合ＥＣＵにおいて、ログＡの異常の検知後、一定の時間内である検知時刻ｔ＋１のタイミングで「異常発生箇所：ＴＣＵ、異常内容：ポートスキャン」の異常が検知された場合のログである。図７に示すログＣは、統合ＥＣＵにおいて、ログＡの検知後、一定の時間内である検知時刻ｔ＋１のタイミングで、他の異常が検知されなかった場合のログである。

　ログＢにおいて、ＴＣＵにおけるポートスキャンのログは、統合ＥＣＵにおける検知時刻としてはｔ＋１だが、上述のとおり、ＴＣＵは１層目に存在しており、かつ、所定の時間内（例えばＴＣＵから統合ＥＣＵへの通信時間として想定される程度の範囲内）に発生している場合、実際には、検知時刻ｔのログである２層目の統合ＥＣＵにおけるコマンド注入よりも先に発生していると考えられる。

　そこで、このような場合、補正部１０３は、検知時刻ｔの「異常発生箇所：統合ＥＣＵ、異常内容：コマンド注入」のログと、そこから所定時間内の検知時刻ｔ＋１の「異常発生箇所：ＴＣＵ、異常内容：ポートスキャン」のログとの順序を入れ替える。このとき、補正部１０３は、時系列の順序を表すシーケンス番号等を付すことでログの時系列の順序を入れ替えてもよい。

　一方、ログＣは、統合ＥＣＵにおけるログＡの検知後、一定の時間内である時刻ｔ＋１のタイミングで他のログが存在していないことを示す。この場合、ログＣは、単発で「異常発生箇所：統合ＥＣＵ、異常内容：コマンド注入」が発生したログ、もしくは、他のタイミングのログとの組み合わせで攻撃パターンとマッチする可能性があるログ、あるいは、統合ＥＣＵにおいて誤って検知されたログである可能性が考えられる。

　ログの時系列の順序が正しい場合（ステップＳ５０３においてＹＥＳ）、ログ抽出部１０４は、ログ記憶部１０２から判定対象のログを抽出する（ステップＳ５０５）。例えば、あるタイミングで検知情報受信部１０１が検知情報を受信した場合、そのタイミングを基準にして、ログ記憶部１０２に記憶されているログの中から所定の時刻範囲内にあるログを抽出する。

　判定部１０６は、ログ抽出部１０４によって抽出されたログについて、パターン記憶部１０５に記憶されているパターンとのマッチング度合いを算出する（ステップＳ５０６）。そして、判定部１０６は、マッチング度合いが所定の閾値を超えるか否かを判定する（ステップＳ５０７）。

　マッチング度合いが所定の閾値を超える場合（ステップＳ５０７でＹＥＳ）、判定部１０６は、マッチング度合いを算出し判定する際に用いたパターンに対応する攻撃が発生したと判定する（ステップＳ５０８）。

　一方、マッチング度合いが所定の閾値を超えない場合（ステップＳ５０７でＮＯ）、判定部１０６は、ＩＤＳにおける誤検知や未知の攻撃や故障などの可能性があると判定する（ステップＳ５０９）。

　その後、出力部１０７は、判定部１０６における判定結果を出力する（ステップＳ５１０）。例えば、出力部１０７は、判定結果と判定結果に関連する情報（判定の対象としたログとして用いられた異常に関する検知情報等）を、ＴＣＵを介して外部のネットワークを経由して外部装置２に送信する。このとき、出力部１０７は、攻撃が発生したと判定された場合の判定結果と当該判定結果に関連する情報（判定の対象としたログとして用いられた異常に関する検知情報等）を選択して外部装置２に送信する構成であってもよい。

　このような構成とすることで、攻撃を受けたことを示すログと誤検知あるいは未知の攻撃の可能性や故障の可能性などがあるログとを切り分けて識別することができ、攻撃の確度が高い事象に関する情報のみを優先して選択的にＳＯＣサーバなどの外部装置２へアップロードすることできる。したがって、不要なログのサーバへのアップロードを防ぎ、通信データの容量を削減することができる。

　なお、車両１は、ＩＤＳにおける誤検知や未知の攻撃や故障などの可能性があると判定された場合の判定結果を、一旦、車両１内の記憶部に記憶しておき、記憶部に記憶しておいた判定結果を別のタイミングで外部装置２に送信してもよい。外部装置２は、例えば、事象の内容が誤っていた場合などに、誤検知の内容に基づいて、異常検知器における検知ルールの更新を行うことができる。

　以上、一つ又は複数の態様に係る情報処理装置及び情報処理方法について、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。

　上記実施の形態では、本開示に係る情報処理装置の適用例として、自動車等の車両に搭載される車載ネットワークにおけるセキュリティ対策への適用について説明したが、本開示に係る電子制御システムの適用範囲はこれに限定されない。本開示に係る電子制御システムは、自動車等の車両に限定されず、例えば、建機、農機、船舶、鉄道又は飛行機等の任意のモビリティに適用してもよい。

　なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。

　また、上記実施の形態に係る情報処理装置の機能の一部又は全てを、ＣＰＵ等のプロセッサがプログラムを実行することにより実現してもよい。

　上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。前記ＩＣカード又は前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。前記ＩＣカード又は前記モジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカード又は前記モジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしても良い。

　本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えばフレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記プログラムもしくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラムもしくは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。

　本開示に係る情報処理装置、情報処理方法及びプログラムは、例えば、不正な攻撃から車両を保護するためのセキュリティシステム等に適用可能である。

１　車両
２　外部装置
３　情報処理システム
１０　情報処理装置
２０ａ　異常検知器（ＩＤＳ）
２０ｂ　異常検知器（ＩＤＳ）
２０ｃ　異常検知器（ＩＤＳ）
１０１　検知情報受信部
１０２　ログ記憶部
１０３　補正部
１０４　ログ抽出部
１０５　パターン記憶部
１０６　判定部
１０７　出力部
１０８　ログ取得部

Claims

　異常発生箇所および当該異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶しているパターン記憶部と、
　モビリティのネットワークにおいて発生した事象に関するログを取得するログ取得部と、
　前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する判定部と、を備える、
　情報処理装置。
　前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果に基づいて、攻撃を受けているか否かを判定する、
　請求項１に記載の情報処理装置。
　前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えた場合、攻撃を受けていると判定する、
　請求項２に記載の情報処理装置。
　前記ログ取得部は、前記ネットワークに接続された異常検知器から送信された異常検知情報を前記ログとして取得する、
　請求項１から３のいずれか１項に記載の情報処理装置。
　前記異常検知器から送信された前記異常検知情報のうち、前記判定部によって攻撃を受けていると判定された際の判定に用いられた前記ログとしての前記異常検知情報を外部装置に送信する出力部をさらに備える、
　請求項４に記載の情報処理装置。
　前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、前記異常検知情報が前記異常検知器における誤検知によって生成された可能性があると判定する、
　請求項５に記載の情報処理装置。
　前記判定部は、前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとを比較した結果、一致の程度を示すマッチング度合いが所定の閾値を超えない場合、未知の攻撃を受けている可能性または故障の可能性があると判定する、
　請求項５に記載の情報処理装置。
　前記パターン記憶部は、前記パターンとして、異常である複数の事象の発生順序を記憶しており、
　前記判定部は、前記ログ取得部により順次取得された複数のログの時系列の順序と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する、
　請求項１から７のいずれか１項に記載の情報処理装置。
　前記ネットワークは、複数の階層を含む階層構造を有し、
　前記複数のログのそれぞれに含まれる前記事象の発生箇所の前記ネットワークにおける自装置からの階層的な距離と、当該自装置において前記複数のログのそれぞれを取得した時間とに基づいて、前記複数のログの時系列の順序を補正する補正部をさらに備える、
　請求項８に記載の情報処理装置。
　異常発生箇所および当該異常発生箇所における異常内容に関して、攻撃を示すパターンを記憶しているパターン記憶部を備えた情報処理装置における情報処理方法であって、
　モビリティ内のネットワークにおいて発生した事象に関するログを取得するログ取得ステップと、
　前記ログに含まれる前記事象の発生箇所および前記事象の内容と、前記パターン記憶部に記憶されている前記パターンとに基づいて、攻撃を受けているか否かを判定する判定ステップと、を含む、
　情報処理方法。
　請求項１０に記載の情報処理方法をコンピュータに実行させるためのプログラム。