WO2022049637A1

WO2022049637A1 - 異常監視装置および異常監視方法

Info

Publication number: WO2022049637A1
Application number: PCT/JP2020/033122
Authority: WO
Inventors: 亮平野; 剛岸川; 良浩氏家
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2020-09-01
Filing date: 2020-09-01
Publication date: 2022-03-10
Also published as: WO2022049895A1; EP4209948A1; JPWO2022049895A1; US20230208859A1; EP4209948A4; CN115968472A

Abstract

車両は電動化されており、制御コマンドをなりすますことにより不正に操作される脅威がある。しかしながら、車両遠隔操作システムの場合、車両内のネットワーク上で検知された異常がオペレーターの異常操作による異常であるか、サイバー攻撃による異常であるか判断することができない課題がある。本開示は、上記課題を解決するために、異常監視装置が車両の制御ログとオペレーターの操作ログを収集して比較することで、異常の原因がサイバー攻撃であるか、オペレーターの異常操作であるか判断することで、原因に応じた効果的な対策を講じることができるため、より安全な自律走行モビリティを提供できる。

Description

異常監視装置および異常監視方法

　本開示は、車両遠隔操作システムにおいて、異常を監視する装置および方法に関する。

　近年、ドライバーの人材不足の解消や、事故ゼロ社会の実現を目的として自動運転車両など自律走行モビリティの導入が期待されている。しかしながら、宅配用途ではドアツードアの自律走行が要求され、高速道路や公道のみならず小道や砂利道などの走行が必要となるためシステム構築の難易度が高い。

　そこで、完全な自律走行モビリティが実現するまで、車両の走行場所に応じてオペレーターが遠隔から車両を制御する車両遠隔操作システムが必要とされる。

　また、完全な自律走行モビリティの実現後であっても、車両故障時またはサイバー攻撃時に自律走行が危険と判断される状態の場合、車両遠隔操作システムが必要とされる。

特許第５６６４７９９号公報

　車両遠隔操作システムにおいて、車両が異常動作して物損事故や人身事故を起こした場合の事故原因を解析する必要がある。事故原因として、車両への物理攻撃、オペレーターの異常操作、サイバー攻撃が想定される。

　車両への物理攻撃は、例えば、悪意のある第三者が車両に物理的に接近し、車両を横転させる攻撃である。オペレーターの異常操作は、例えば、悪意のあるオペレーターが車両を横転させる攻撃である。サイバー攻撃は、例えば、攻撃者が車両とオペレーターの通信を偽装して車両を横転させる攻撃である。

　車両へのサイバー攻撃を検知する方法として、例えば、車両内のネットワーク上を流れるフレームを監視して異常を検知する方法が特許文献１に記載されている。

　しかしながら、車両遠隔操作システムの場合、車両内のネットワーク上で検知された異常フレームがオペレーターの異常操作による異常フレームであるか、サイバー攻撃による異常フレームであるか判断することができないという課題がある。

　本開示は、従来の課題を解決するもので、車両遠隔操作システムにおいて、異常監視装置が車両の制御ログとオペレーターの操作ログを収集して比較することで、異常の原因がサイバー攻撃であるか、オペレーターの異常操作であるか判断できる。これにより、原因に応じた対策を講じることができるため、より安全な自律走行モビリティを提供できる。

　上記課題を解決するために、車両遠隔操作システムにおける異常監視装置であって、前記異常監視装置は、車両操作装置から車両操作コマンドの履歴である操作ログを収集し、車両制御装置から車両制御コマンドの履歴である制御ログを収集するログ収集部と、前記操作ログと前記制御ログが一致しない場合に異常であると検知する異常検知部と、前記異常を検知した場合に第一の攻撃手段であると判定する攻撃手段判定部と、前記第一の攻撃手段に対して対策を実施する異常対策部と、を備える、異常監視装置である。

　本開示の異常監視装置によれば、車両遠隔操作システムにおいて発生した異常の原因がサイバー攻撃であるか、オペレーターの異常操作であるか判断できる。これにより、原因に応じた対策を講じることができるため、より安全な自律走行モビリティを提供できる。

図１は、本開示の実施の形態１における車両遠隔操作システムの全体構成図を示した図である。図２は、本開示の実施の形態１における異常監視装置の構成図を示した図である。図３は、本開示の実施の形態１における車両操作装置の構成図を示した図である。図４は、本開示の実施の形態１における車両制御装置の構成図を示した図である。図５は、本開示の実施の形態１における操作ログの一例を示した図である。図６は、本開示の実施の形態１における制御ログの一例を示した図である。図７は、本開示の実施の形態１における位置ログの一例を示した図である。図８は、本開示の実施の形態１におけるログの一例を示した図である。図９は、本開示の実施の形態１における異常検知ルールの一例を示した図である。図１０は、本開示の実施の形態１における攻撃手段判定ルールの一例を示した図である。図１１は、本開示の実施の形態１における異常対策ルールの一例を示した図である。図１２は、本開示の実施の形態１における車両遠隔操作の処理シーケンスを示した図である。図１３は、本開示の実施の形態１におけるログ収集の処理シーケンスを示した図である。図１４は、本開示の実施の形態１における異常検知から異常対策までの処理シーケンスを示した図である。図１５は、本開示の実施の形態１における異常検知処理のフローチャートを示した図である。図１６は、本開示の実施の形態１における攻撃手段判定処理のフローチャートを示した図である。

　上記課題を解決するために、本開示の一態様に係る異常監視装置は、車両遠隔操作システムにおける異常監視装置であって、前記異常監視装置は、車両操作装置から車両操作コマンドの履歴である操作ログを収集し、車両制御装置から車両制御コマンドの履歴である制御ログを収集するログ収集部と、前記操作ログと前記制御ログが一致しない場合に異常であると検知する異常検知部と、前記異常を検知した場合に第一の攻撃手段であると判定する攻撃手段判定部と、前記第一の攻撃手段に対して対策を実施する異常対策部と、を備える、異常監視装置である。

　これにより、操作ログと車両ログが一致しない場合は、車両操作装置と車両制御装置の間の通信路にてオペレーターの操作コマンドが改ざんされて車両にて実行された可能性が高いため、攻撃手段が通信路（第一の攻撃手段の一例）であると判定できる。攻撃手段が通信路である場合、車両の遠隔制御機能を停止する（第一の攻撃手段に対して対策の一例）ことで、攻撃を効果的に止めることができる。

　また、前記異常監視装置は、前記ログ収集部は、車両操作装置から車両操作コマンドの履歴である操作ログのハッシュ値を収集し、車両制御装置から車両制御コマンドの履歴である制御ログのハッシュ値を収集し、前記異常検知部は、前記操作ログのハッシュ値と前記制御ログのハッシュ値が一致しない場合に異常であると検知する、異常監視装置である。

　これにより、操作ログと車両ログを収集する通信量を抑えて効率的に操作ログと車両ログの一致を判定できる。

　また、前記異常検知部は、さらに、前記操作ログと前記制御ログのそれぞれの異常を所定のルールにて検知し、前記攻撃手段判定部は、さらに、前記操作ログと前記制御ログの両方で異常が検知された場合に第二の攻撃手段であると判定し、前記攻撃手段の種類に応じて対策を実施する異常対策部と、を備える異常監視装置である。

　これにより、操作ログと制御ログの両方で異常が検知された場合は、悪意のあるオペレーターが異常な操作コマンドを入力し、車両にて異常な制御コマンドが実行された可能性が高いため、攻撃手段がオペレーター（第二の攻撃手段の一例）であると判定できる。攻撃手段がオペレーターである場合、オペレーターの車両操作装置へのアクセス権限を破棄する（第二の攻撃手段に対して対策の一例）ことで、攻撃を効果的に止めることができる。

　また、前記ログ収集部は、さらに、車両制御装置から車両の位置情報の履歴である位置ログを受信し、前記異常検知部は、前記操作ログと前記制御ログと前記位置ログのそれぞれの異常を所定のルールにて検知し、前記攻撃手段判定部は、前記位置ログのみが異常である場合に第三の攻撃手段であると判定する、異常監視装置である。

　これにより、操作ログと制御ログの両方で異常が検知されず、位置ログのみで異常が検知された場合は、第三者が車両に物理的に接近して、車両に異常をもたらした可能性が高いため、攻撃手段が近距離（第三の攻撃手段の一例）であると判定できる。攻撃手段が近距離である場合、警報アラームなどを用いて車両制御装置の周囲へ警告を実施する（第三の攻撃手段に対して対策の一例）ことで、攻撃を効果的に止めることができる。

　また、前記攻撃手段判定部は、第一の攻撃手段として車両操作装置と車両制御装置の通信路で悪意のある車両操作コマンドが挿入されたと判定し、第二の攻撃手段として車両操作装置を利用するオペレーターが悪意のある車両操作コマンドを送信したと判定し、第三の攻撃手段として車両制御装置へ物理的に攻撃されたという攻撃手段であると判定し、前記異常対策部は、第一の攻撃手段と判定された場合に前記車両制御装置の遠隔制御機能の停止を実施し、第二の攻撃手段と判定された場合に前記オペレーターの車両操作装置へのアクセス権限を破棄し、第三の攻撃手段と判定された場合に前記車両制御装置の周囲への警告を実施する異常監視装置である。

　これにより、判定された攻撃手段に応じて、効果的な対策手段を選択して実行できる。

　また、車両遠隔操作システムにおける異常監視方法であって、前記異常監視方法は、車両操作装置から車両操作コマンドの履歴である操作ログを収集し、車両制御装置から車両制御コマンドの履歴である制御ログを収集するログ収集ステップと、前記操作ログと前記制御ログが一致しない場合に異常であると検知する異常検知ステップと、前記異常を検知した場合に第一の攻撃手段であると判定する攻撃手段判定ステップと、前記第一の攻撃手段に対して対策を実施する異常対策ステップと、を備える、異常監視方法である。

　なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態に係る異常検知装置について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態１）
　［車両遠隔制御システムの全体構成］
　図１は、本開示の実施の形態１における車両遠隔制御システムの全体構成図である。

　図１において、車両遠隔制御システムは、異常監視装置１０と、車両操作装置２０と、車両制御装置３０を備える。

　異常監視装置１０と、車両操作装置２０と、車両制御装置３０は、インターネット等の外部ネットワークを介して接続される。ここで、外部ネットワークへの接続形態は、有線であっても無線であってもよいし、車両操作装置２０と車両制御装置３０は、外部ネットワークを介さずに５Ｇネットワークやラジオ無線等のローカルエリアネットワークにて接続されてもよい。

　異常監視装置１０は、車両操作装置２０と車両制御装置３０の異常を監視する装置であり、車両操作装置２０から操作コマンドの履歴である操作ログを収集し、車両制御装置３０から制御コマンドの履歴である制御ログと、車両の位置情報の履歴である位置ログを収集して異常を監視する。ここで、異常監視装置１０は、複数の車両操作装置２０と複数の車両制御装置３０を監視してもよい。

　車両操作装置２０は、オペレーターが車両を遠隔制御するための遠隔操作装置であり、操作コマンドの入力を受け付け、車両制御装置３０へ操作コマンドを送信する。ここで、車両操作装置２０は、複数の車両制御装置３０を操作してもよい。

　車両制御装置３０は、車両操作装置２０から操作コマンドに応じて車両を制御するための制御装置であり、車両操作装置２０から操作コマンドを受信し、車両にて実行する。実行された操作コマンドを制御コマンドと呼ぶ。

　［異常監視装置１０の構成］
　図２は、本実施の形態１における異常監視装置１０の構成図である。図２において、異常監視装置１０は、通信部１０１と、ログ収集部１０２と、ログ記憶部１０３と、異常検知部１０４と、攻撃手段判定部１０５と、異常通知部１０６と、を備える。

　通信部１０１は、外部ネットワークを介して車両操作装置２０と車両制御装置３０と通信する。

　ログ収集部１０２は、車両操作装置２０から操作ログを受信し、車両制御装置３０から制御ログと位置ログを受信する。

　ログ記憶部１０３は、受信した操作ログと制御ログと位置ログを記憶する。

　異常検知部１０４は、異常検知ルールに基づいて操作ログと制御ログと位置ログを用いて異常を検出する。異常検知ルールおよび異常検知方法についての詳細は後述する。

　攻撃手段判定部１０５は、異常手段判定ルールに基づいて攻撃手段を判定する。攻撃手段判定方法の詳細は後述する。

　異常通知部１０６は、異常検知時に車両操作装置２０と車両制御装置３０へ攻撃手段を含む情報を通知する。また、車両にドライバーが搭乗している場合は、ドライバーへ異常を通知してもよいし、車両近くの警備員へ異常を通知してもよい。

　［車両操作装置２０の構成］
　図３は、本開示の実施の形態１における車両操作装置２０の構成図である。図３において、車両操作装置２０は、通信部２０１と、操作コマンド入力部２０２と、操作コマンド送信部２０３と、操作ログ記憶部２０４と、操作ログ送信部２０５と、異常対策部２０６と、を備える。

　通信部２０１は、外部ネットワークを介して異常監視装置１０と車両制御装置３０と通信する。

　操作コマンド入力部２０２は、車両の遠隔制御を担当するオペレーターから車両の制御を指示する操作コマンドの入力を受け付ける。ここで、制御コマンドはキーボードとマウスまたはゲーミングコントローラーで入力されてもよい。

　操作コマンド送信部２０３は、入力された操作コマンドを車両制御装置３０へ送信する。

　操作ログ記憶部２０４は、操作コマンドの履歴を操作ログとして記憶する。操作ログの詳細については後述する。

　操作ログ送信部２０５は、操作ログを異常監視装置１０へ送信する。

　異常対策部２０６は、異常監視装置１０から判定された攻撃手段を受信し、攻撃手段に基づく異常対策ルールに応じて対策を実施する。異常対策ルールの詳細については後述する。

　［車両制御装置３０の構成］
　図４は、本開示の実施の形態１における車両制御装置３０の構成図である。図４において、車両制御装置３０は、通信部３０１と、操作コマンド受信部３０２と、車両制御部３０３と、制御ログ記憶部３０４と、位置ログ記憶部３０５と、制御ログ送信部３０６と、位置ログ送信部３０７と、異常対策部３０８と、を備える。

　通信部３０１は、外部ネットワークを介して異常監視装置１０と車両操作装置２０と通信する。

　操作コマンド受信部３０２は、異常監視装置１０から操作コマンドを受信する。

　車両制御部３０３は、操作コマンドに基づいて車両を制御する。さらに、車両制御時の位置情報をＧＰＳ等から取得する。車両を制御したコマンドを制御コマンドと呼ぶ。制御コマンドの詳細については後述する。

　制御ログ記憶部３０４は、制御コマンドの履歴を制御ログとして記憶する。制御ログの詳細については後述する。

　位置ログ記憶部３０５は、車両の位置情報の履歴を位置ログとして記憶する。位置ログの詳細については後述する。

　制御ログ送信部３０６は、制御ログを異常監視装置１０へ送信する。

　位置ログ送信部３０７は、位置ログを異常監視装置１０へ送信する。

　異常対策部３０８は、異常監視装置１０から判定された攻撃手段を受信し、攻撃手段に基づく異常対策ルールに応じて対策を実施する。異常対策ルールの詳細については後述する。

　［操作ログの一例］
　図５は、本開示の実施の形態１における車両操作装置２０が保持する操作ログの一例である。

　操作ログは、時刻と操作コマンドで構成され、操作コマンドは操作コマンド入力部２０２を介してオペレーターから入力された車両の操作コマンドであり、時刻は操作コマンドが操作コマンド送信部２０３によって送信された時刻である。

　操作コマンドは、例えば、右移動、左移動、右旋回、左旋回、前進、後退、アクションＡ、アクションＢなどが記載される。

　右移動、左移動、右旋回、左旋回、前進、後退は車両の移動を制御するコマンドの一例である。

　アクションＡ、アクションＢは、車両の特殊動作を制御するコマンドの一例であり、具体的には車両のドアオープンまたは車両のシステム再起動、車両接近者に対する警告アラートなどである。

　また、時刻Ｔ８における操作コマンドには、（異常）と記載があるが、操作コマンドであるアクションＢに異常が含まれていることを説明するためであり、実際の操作ログには記載されていない。

　例えば、操作ログを参照することで、オペレーターに対してアクションＢの操作権限が与えられていないにも関わらずアクションＢが実行された場合に異常として検知可能である。また、例えば、アクションＢの操作条件と車両の状態が一致していないにも関わらずアクションＢが実行された場合に異常として検知可能である。また、例えば、アクションＢの操作条件と一致していないにも関わらずアクションＢが実行された場合に異常として検知可能である。また、例えば、オペレーターは普段アクションＢを実行していないにも関わらずアクションＢが実行された場合に異常として検知可能である。

　［制御ログの一例］
　図６は、本開示の実施の形態１における車両制御装置３０が保持する制御ログの一例である。

　制御ログは、時刻と制御コマンドで構成され、制御コマンドは操作コマンド受信部３０２を介してオペレーターから受信して、車両制御部３０３にて実行された制御コマンドであり、時刻は制御コマンドが車両制御部３０３にて実行された時刻である。

　制御コマンドは、例えば、右移動、左移動、右旋回、前進、後退、アクションＡ、アクションＢ、アクションＣなどが記載される。

　アクションＡ、アクションＢ、アクションＣは、車両の特殊動作を制御するコマンドであり、具体的には車両のドアオープンまたは車両のシステム再起動、車両接近者に対する警告アラートなどである。

　また、時刻Ｔ４における制御コマンドには、（異常）と記載があるが、制御コマンドに異常が含まれていることを説明するためであり、実際の制御ログには記載されない。

　例えば、制御ログを参照することで、車両に対してアクションＣの操作権限が与えられていないにも関わらずアクションＣが実行された場合に異常として検知可能である。また、例えば、アクションＣの操作条件と車両の状態が一致していないにも関わらずアクションＣが実行された場合に異常として検知可能である。また、例えば、アクションＣの操作条件と一致していないにも関わらずアクションＣが実行された場合に異常として検知可能である。また、例えば、車両が普段アクションＣを実行していないにも関わらずアクションＣが実行された場合に異常として検知可能である。

　［位置ログの一例］
　図７は、本開示の実施の形態１における車両制御装置３０が保持する位置ログの一例である。

　位置ログは、時刻と位置情報で構成され、位置情報は車両制御部３０３にて制御コマンドが実行された際の車両の位置情報がＧＰＳなどから取得して記憶する。時刻は位置情報が取得された時刻である。

　位置情報は、例えば、Ｘ、Ｙ、Ｚなどが記載され、Ｘは緯度、Ｙは経度、Ｚは標高を表す。

　また、時刻Ｔ６における位置情報には、（異常）と記載があるが、位置情報に異常が含まれていることを説明するためであり、実際の位置情報には記載されない。

　例えば、位置ログを参照することで、時刻Ｔ５の位置情報Ｘ、Ｙ＋１、Ｚと、時刻Ｔ６の位置情報Ｘ、Ｙ＋２、Ｚを参照することで、車両が東向きに２度移動したことがわかる。ここで、車両の走行性能としてＴ６－Ｔ５の期間で２度移動することは困難にも関わらず２度移動した場合、第三者によって性能を上回る速度で車両が移動させられたと判断して異常として検知可能である。

　また、位置情報に加えて、車両の速度や加速度を位置ログとして用いてもよい。この場合、車両の速度や加速度は車両制御部３０３が速度センサーおよび加速度センサーから情報取得して、位置ログとして記憶する。これにより、第三者が車両へ物理的に衝撃を与えた場合に、異常として検知可能となる。

　［ログの一例］
　図８は、異常監視装置１０が収集するログの一例である。車両操作装置２０から操作ログを収集し、車両制御装置３０から制御ログと位置ログを収集して記憶する。

　ログは、時刻、操作コマンド、制御コマンド、位置情報で構成され、それぞれ、操作ログの一例、制御ログの一例、位置ログの一例で述べた通りである。

　また、それぞれ時刻として、操作コマンドの送信時刻と、制御コマンドの実行時刻と、位置情報の取得時刻を用いるため、通信遅延などで完全に一致しない。そこで、通信遅延を考慮して時刻を０．５秒単位に丸めて、同一時刻として扱う。

　ここで、０．５秒は時刻を丸める基準の一例であり、時刻を丸める所定の基準があればよい。

　また、ログには（異常）と記載が含まれる例もあるが、ログに異常が含まれていることを説明するためであり、実際のログには記載されない。

　例えば、ログに含まれる操作コマンドを参照することで、操作ログの一例の説明で述べた異常を検知可能となり、ログに含まれる制御コマンドを参照することで、制御ログの一例の説明で述べた異常を検知可能となり、ログに含まれる位置ログを参照することで、位置ログの一例の説明で述べた異常を検知可能となる。

　さらに、同一時刻の制御コマンドと位置情報を参照することで、車両制御部３０３にて制御コマンドとして後退が実行されたにも関わらず位置情報に変化がない場合、第三者によって車両が固定されているとして異常として検知可能である。

　さらに、同一時刻の操作コマンドと制御コマンドを参照することで、オペレーターの操作コマンドが車両にて正しく実行されているかどうかを判定できる。

　例えば、時刻Ｔ４の操作コマンドは左旋回であるが、制御コマンドはアクションＣである。つまり、悪意のある第三者によって、操作コマンドの送信から制御コマンドの実行までの通信路において操作コマンドが改ざんされてアクションＣが車両にて実行されたことがわかり、異常として検知可能である。

　また、操作ログと制御ログはハッシュ値のみで取得してもよい。ハッシュ値で取得する場合、普段オペレーターが操作していない操作コマンドが入力されて異常として検知するなどの詳細な検知はできないものの、前述の操作コマンドと制御コマンドが一致しているかどうかという判定はハッシュ値のみで実現可能である。

　ハッシュ値で取得する場合、詳細な時刻情報をハッシュ関数の入力に含めると通信遅延のため操作ログと制御ログのハッシュ値が一致しないため、ハッシュ関数の入力として、例えば、１分間の操作コマンド群および、１分間の制御コマンド群を用いる。例えば、Ｄ１（Ｔ１－Ｔ８）の期間で取得された操作コマンドの群のハッシュ値である０ｘＡＢＣＤと、Ｄ１の期間で取得された制御コマンドの群のハッシュ値である０ｘＥＦＧＨを取得して記憶する。Ｔ４にて操作コマンドと制御コマンドが一致していないため、操作コマンドの群のハッシュ値と制御コマンドの群のハッシュ値も一致しない。

　［異常検知ルールの一例］
　図９は、異常監視装置１０が異常検知に利用する異常検知ルールの一例である。異常検知ルールは、異常監視装置１０の異常検知部１０４にて操作ログ、制御ログ、位置ログを用いて異常を検知する際に利用される。

　異常検知ルールは、番号、種類、ルールで構成される。番号は異常検知ルールの識別番号であり、種類は異常検知に用いるログの種類であり、ルールは異常として検知する条件であり、異常箇所は異常として検知した場合に、異常が含まれていると想定されるログの種類が記載される。

　例えば、番号１の異常検知ルールでは、操作ログと制御ログを用いて、同一時刻の操作コマンドと制御コマンドが一致しない場合に異常として検知し、制御ログに異常が含まれていると判定するルールが記載される。図９に記載のルールは、それぞれ、操作ログの一例、制御ログの一例、位置ログの一例、ログの一例で述べた異常を検知するためのルールを一例として記載している。

　このように、異常検知部１０４が異常検知ルールを保持することで、操作ログ、制御ログ、位置ログのそれぞれに対して異常の検知が可能である。

　［攻撃手段判定ルールの一例］
　図１０は、異常監視装置１０が攻撃手段判定に利用する攻撃手段判定ルールの一例である。攻撃手段判定ルールは、異常監視装置１０の攻撃手段判定部１０５にて異常が引き起こされた攻撃手段を判定するために利用される。

　攻撃手段判定ルールは、番号と、ルールと、攻撃手段で構成される。番号は攻撃手段判定ルールの識別番号であり、ルールは攻撃手段を判定する条件であり、攻撃手段は判定される攻撃手段が記載される。

　例えば、番号１の攻撃手段判定ルールでは、同一時刻の操作コマンドと制御コマンドが一致しない場合に、攻撃手段は通信路であると判定する。操作コマンドと車両コマンドが一致しない場合は、車両操作装置と車両制御装置の間の通信路にてオペレーターの操作コマンドが改ざんされて車両にて実行された可能性が高いため、攻撃手段が通信路（第一の攻撃手段の一例）であると判定する。

　例えば、番号２の攻撃手段判定ルールでは、操作ログと制御ログの両方で異常が発生した場合に、攻撃手段はオペレーターであると判定する。操作ログと制御ログの両方で異常が検知された場合は、悪意のあるオペレーターが異常な操作コマンドを入力し、車両にて異常な制御コマンドが実行された可能性が高いため、攻撃手段がオペレーター（第二の攻撃手段の一例）であると判定する。

　例えば、番号３の攻撃手段判定ルールでは、位置ログのみで異常が発生した場合、攻撃手段は近距離であると判定する。これは、操作ログと制御ログの両方で異常が検知されず、位置ログのみで異常が検知された場合は、第三者が車両に物理的に接近して、車両に異常をもたらした可能性が高いため、攻撃手段が近距離（第三の攻撃手段の一例）であると判定する。

　［異常対策ルールの一例］
　図１１は、車両操作装置２０と車両制御装置３０が異常対策に利用する異常対策ルールの一例である。異常検知ルールは、車両操作装置２０の異常対策部２０６と、車両制御装置３０の異常対策部３０８にて異常の対策手段を講じるために利用される。

　異常対策ルールは、攻撃手段、ルールで構成される。攻撃手段は異常監視装置１０の攻撃手段判定部１０５が判定した攻撃手段の種類であり、ルールは該当する攻撃手段に対する対策として実施する内容が記載される。

　例えば、攻撃手段が通信路である場合の異常対策ルールでは、攻撃手段が通信路である場合、車両の遠隔制御機能を停止することで、攻撃を止める（第一の攻撃手段に対して対策の一例）。車両制御部３０３が車両操作装置２０からの操作コマンドを受け付けないことで実現可能である。

　また、攻撃手段がオペレーターである場合の異常対策ルールでは、オペレーターの車両操作装置へのアクセス権限を破棄することで、攻撃を止める（第二の攻撃手段に対して対策の一例）。操作コマンド入力部２０２がオペレーターからの操作コマンドを受け付けないことで実現可能である。

　また、攻撃手段が近距離である場合、警報アラームなどを用いて車両制御装置の周囲へ警告を実施することで、攻撃を止める（第三の攻撃手段に対して対策の一例）。異常対策部３０８が警報動作を実行することで実現可能である。

　このように、異常対策ルールを用いることで、攻撃手段判定部１０５判定した攻撃手段に応じて対策を講じることが可能になる。

　［車両遠隔操作の処理シーケンス］
　図１２は、本開示の実施の形態１におけるオペレーターが操作コマンドを入力してから車両を制御して位置情報を記憶するまでの処理シーケンスを示している。

　（Ｓ１２０１）車両操作装置２０の操作コマンド入力部２０２は、オペレーターから操作コマンドの入力を受け付け、入力された操作コマンドを操作コマンド送信部２０３へ送信する。

　（Ｓ１２０２）車両操作装置２０の操作コマンド送信部２０３は、受信した操作コマンドを操作コマンド受信部３０２へ送信し、操作コマンドと操作コマンドが送信された時刻を操作ログ記憶部２０４へ記憶する。

　（Ｓ１２０３）車両制御装置３０の操作コマンド受信部３０２は、受信した操作コマンドを車両制御部３０３へ送信する。

　（Ｓ１２０４）車両制御装置３０の車両制御部３０３は、受信した操作コマンドを制御コマンドとして、車両の制御を実行し、実行された制御コマンドと実行された時刻を制御ログ記憶部３０４へ記憶する。

　（Ｓ１２０５）車両制御装置３０の車両制御部３０３は、ＧＰＳなどから車両の位置情報を取得し、位置情報と位置情報を取得した時刻を位置ログ記憶部３０５へ記憶する。

　［ログ収集の処理シーケンス］
　図１３は、本開示の実施の形態１におけるログ収集部１０２が操作ログと制御ログと位置ログを収集して記憶するまでの処理シーケンスを示している。

　（Ｓ１３０１）操作ログ送信部２０５は、操作ログ記憶部２０４が記憶している操作ログをログ収集部１０２へ送信する。

　（Ｓ１３０２）ログ収集部１０２は、受信した操作ログをログ記憶部１０３に記憶する。

　（Ｓ１３０３）制御ログ送信部３０６は、制御ログ記憶部３０４が記憶している制御ログをログ収集部１０２へ送信する。

　（Ｓ１３０４）ログ収集部１０２は、受信した制御ログをログ記憶部１０３に記憶する。

　（Ｓ１３０５）位置ログ送信部３０７は、位置ログ記憶部３０５が記憶している位置ログをログ収集部１０２へ送信する。

　（Ｓ１３０６）ログ収集部１０２は、受信した位置ログをログ記憶部１０３に記憶する。

　ここで、操作ログ送信部２０５と、制御ログ送信部３０６と、位置ログ送信部３０７は、定期的にログをログ収集部１０２へ送信してもよいし、ログの記憶容量に応じて送信してもよいし、ログ収集部１０２からの指示に応じて送信してもよい。

　［異常検知から異常対策までの処理シーケンス］
　図１４は、本開示の実施の形態１におけるログ収集部１０２が操作ログと制御ログと位置ログを収集してから異常検知部１０４が異常を検知し、攻撃手段判定部１０５が攻撃手段を判定し、異常対策部２０６または異常対策部３０８が異常対策を実施するまでの処理シーケンスを示している。

　（Ｓ１４０１）異常検知部１０４は、ログ記憶部１０３が記憶している操作ログと制御ログと位置ログを取得する。

　（Ｓ１４０２）異常検知部１０４は、異常検知ルールを用いて、操作ログと制御ログと位置ログを入力として異常を検知する。異常を検知した場合、異常検知部１０４は、検知した異常を攻撃手段判定部１０５へ通知する。異常検知方法の詳細は後述する。

　（Ｓ１４０３）攻撃手段判定部１０５は、異常を受信した場合、ログ記憶部１０３が記憶している操作ログと制御ログと位置ログを取得する。そして、攻撃手段判定ルールを用いて、攻撃手段を判定する。判定された攻撃手段を異常通知部１０６へ送信する。攻撃手段判定方法の詳細は後述する。

　（Ｓ１４０４）異常通知部１０６は、異常の発生と攻撃手段判定部１０５判定した攻撃手段を異常対策部２０６または異常対策部３０８へ送信する。

　（Ｓ１４０５）異常対策部２０６または異常対策部３０８は、異常対策ルールを用いて、攻撃手段に応じた対策を実施する。

　［異常検知処理のフローチャート］
　図１５に、本開示の実施の形態１における異常検知部１０４の異常検知処理のフローチャートを示す。

　（Ｓ１５０１）異常検知部１０４は、操作ログ、制御ログ、位置ログを取得し、Ｓ１５０２を実施する。

　（Ｓ１５０２）異常検知部１０４は、Ｓ１５０１で取得したログと異常検知ルールを用いて、異常の有無を判定する。操作ログ、制御ログ、位置ログのうち、少なくとも１つのログにおいて異常が検知された場合、Ｓ１５０２を実施する。異常が検知されなかった場合、終了する。異常検知方法の詳細は異常検知ルールの一例にて述べた通りである。

　（Ｓ１５０３）異常検知部１０４は、車両に異常が発生していると判定し、攻撃手段判定部１０５に異常を通知して、終了を実施する。

　［攻撃手段判定処理のフローチャート］
　図１６に、本開示の実施の形態１における攻撃手段判定部１０５の異常検知処理のフローチャートを示す。

　（Ｓ１６０１）攻撃手段判定部１０５は、操作ログ、制御ログ、位置ログを取得し、Ｓ１６０２を実施する。

　（Ｓ１６０２）攻撃手段判定部１０５は、操作ログと制御ログを比較し、一致しない場合、攻撃手段判定部１０５はＳ１６０３を実施し、一致している場合、攻撃手段判定部１０５はＳ１６０５を実施する。攻撃手段判定ルールの一例にて述べた通りである。

　（Ｓ１６０３）攻撃手段判定部１０５は、攻撃手段が通信路である第一の攻撃手段と判定し、Ｓ１６０４を実施する。

　（Ｓ１６０４）異常対策部２０６または異常対策部３０８は、第一の攻撃手段の対策として「車両制御装置の遠隔制御機能の停止」を実施し、終了する。異常対策ルールの一例にて述べた通りである。

　（Ｓ１６０５）攻撃手段判定部１０５は、操作ログの異常の有無と制御ログの異常の有無を確認し、操作ログと制御ログの両方が異常である場合、攻撃手段判定部１０５は、Ｓ１６０６を実施し、操作ログと制御ログの両方が異常であるという条件を満たさない場合、攻撃手段判定部１０５は、Ｓ１６０８を実施する。攻撃手段判定ルールの一例にて述べた通りである。また、それぞれのログの異常の有無の確認方法は攻撃検知ルールの一例にて述べた通りである。

　（Ｓ１６０６）攻撃手段判定部１０５は、攻撃手段がオペレーターである第二の攻撃手段と判定し、Ｓ１６０７を実施する。

　（Ｓ１６０７）異常対策部３０８は、第二の攻撃手段の対策として、「オペレーターの車両操作装置へのアクセス権限を破棄」を実施し、終了する。これは、異常対策ルールの一例にて述べた通りである。

　（Ｓ１６０８）攻撃手段判定部１０５は、位置ログのみ異常である場合、Ｓ１６０９を実施し、位置ログのみ異常であるという条件を満たさない場合、終了する。これは、攻撃手段判定ルールの一例にて述べた通りである。また、それぞれのログの異常の有無の確認方法は攻撃検知ルールの一例にて述べた通りである。

　（Ｓ１６０９）攻撃手段判定部１０５は、攻撃手段が近距離である第三の攻撃手段と判定し、Ｓ１６１０を実施する。

　（Ｓ１６１０）異常対策部３０８は、第三の攻撃手段の対策として、「車両制御装置の周囲への警告を実施」を実施し、終了する。これは、異常対策ルールの一例にて述べた通りである。

　（他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態１を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。

　（１）上記実施の形態では、自動車に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。

　（２）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（３）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示の一態様としては、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ―ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（５）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示の車両遠隔操作システムにおける異常監視装置によれば、異常監視装置が車両の制御ログとオペレーターの操作ログを収集して比較することで、異常の原因がサイバー攻撃であるか、オペレーターの異常操作であるか判断する。これにより、原因に応じた対策を講じることができるため、より安全な自律走行モビリティを提供することを目的とする。

　１０　異常監視装置
　２０　車両操作装置
　３０　車両制御装置
　１０１　通信部
　１０２　ログ収集部
　１０３　ログ記憶部
　１０４　異常検知部
　１０５　攻撃手段判定部
　１０６　異常通知部
　２０１　通信部
　２０２　操作コマンド入力部
　２０３　操作コマンド送信部
　２０４　操作ログ記憶部
　２０５　操作ログ送信部
　２０６　異常対策部
　３０１　通信部
　３０２　操作コマンド受信部
　３０３　車両制御部
　３０４　制御ログ記憶部
　３０５　位置ログ記憶部
　３０６　制御ログ送信部
　３０７　位置ログ送信部
　３０８　異常対策部

Claims

　車両遠隔操作システムにおける異常監視装置であって、
　前記異常監視装置は、
　車両操作装置から車両操作コマンドの履歴である操作ログを収集し、車両制御装置から車両制御コマンドの履歴である制御ログを収集するログ収集部と、
　前記操作ログと前記制御ログが一致しない場合に異常であると検知する異常検知部と、
　前記異常を検知した場合に第一の攻撃手段であると判定する攻撃手段判定部と、
　前記第一の攻撃手段に対して対策を実施する異常対策部と、を備える、
　異常監視装置。
　前記異常監視装置は、
　前記ログ収集部は、車両操作装置から車両操作コマンドの履歴である操作ログのハッシュ値を収集し、車両制御装置から車両制御コマンドの履歴である制御ログのハッシュ値を収集し、
　前記異常検知部は、前記操作ログのハッシュ値と前記制御ログのハッシュ値が一致しない場合に異常であると検知する、
　請求項１記載の異常監視装置。
　前記異常検知部は、さらに、前記操作ログと前記制御ログのそれぞれの異常を所定のルールにて検知し、
　前記攻撃手段判定部は、さらに、前記操作ログと前記制御ログの両方で異常が検知された場合に第二の攻撃手段であると判定し、
　前記攻撃手段の種類に応じて対策を実施する異常対策部と、を備える、
　請求項１または２に記載の異常監視装置。
　前記ログ収集部は、さらに、車両制御装置から車両の位置情報の履歴である位置ログを受信し、
　前記異常検知部は、前記操作ログと前記制御ログと前記位置ログのそれぞれの異常を所定のルールにて検知し、
　前記攻撃手段判定部は、前記位置ログのみが異常である場合に第三の攻撃手段であると判定する、
　請求項１から３のいずれか１項に記載の異常監視装置。
　前記攻撃手段判定部は、第一の攻撃手段として車両操作装置と車両制御装置の通信路で悪意のある車両操作コマンドが挿入されたと判定し、第二の攻撃手段として車両操作装置を利用するオペレーターが悪意のある車両操作コマンドを送信したと判定し、第三の攻撃手段として車両制御装置へ物理的に攻撃されたという攻撃手段であると判定し、
　前記異常対策部は、第一の攻撃手段と判定された場合に前記車両制御装置の遠隔制御機能の停止を実施し、第二の攻撃手段と判定された場合に前記オペレーターの車両操作装置へのアクセス権限を破棄し、第三の攻撃手段と判定された場合に前記車両制御装置の周囲への警告を実施する、
　請求項１から４のいずれか１項に記載の異常監視装置。
　車両遠隔操作システムにおける異常監視方法であって、
　前記異常監視方法は、
　車両操作装置から車両操作コマンドの履歴である操作ログを収集し、車両制御装置から車両制御コマンドの履歴である制御ログを収集するログ収集ステップと、
　前記操作ログと前記制御ログが一致しない場合に異常であると検知する異常検知ステップと、
　前記異常を検知した場合に第一の攻撃手段であると判定する攻撃手段判定ステップと、
　前記第一の攻撃手段に対して対策を実施する異常対策ステップと、を備える、
　異常監視方法。