WO2023048187A1

WO2023048187A1 - 車両セキュリティ分析装置、方法およびそのプログラム

Info

Publication number: WO2023048187A1
Application number: PCT/JP2022/035184
Authority: WO
Inventors: 哲上野; 厚司若杉; 健介中田; 靖伸千葉
Original assignee: エヌ・ティ・ティ・コミュニケーションズ株式会社; Ｎｔｔセキュリティ・ジャパン株式会社
Priority date: 2021-09-24
Filing date: 2022-09-21
Publication date: 2023-03-30
Also published as: EP4407494A1; JP7230147B1; US20240236139A1; JP2023046938A; CN117836769A

Abstract

管理対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能にする。車両セキュリティ分析装置において、車両構成と、当該車両構成毎に予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶部に記憶しておく。そして、分析対象データが取得される毎に、取得された分析対象データに含まれる属性情報に含まれる車両識別情報をもとに、当該分析対象データの発生元となる車両構成の種類を判定し、判定された前記車両構成の種類に対応する分析ロジックを上記対応情報から選択する。そして、選択された上記分析ロジックに従い上記分析対象データを分析してサイバー攻撃の種類を特定し、その結果を含む分析レポートを生成して出力する。

Description

車両セキュリティ分析装置、方法およびそのプログラム

　この発明の一態様は、例えば車両内に構築される車載ネットワークのセキュリティの状態を監視し分析するための車両セキュリティ分析装置と、この装置において実行される方法およびプログラムに関する。

　近年、各車両メーカでは、電子制御ユニット（Electric Control Unit：ＥＣＵ）等を含む車載ネットワークと外部ネットワークのサーバ装置との間で各種データの授受を可能にしたコネクテッドカーの開発が進められている。コネクテッドカーは、例えばナビゲーションシステムの地図データの更新や自動運転に係る高度なサービスを実現する上できわめて有用であるが、車載ネットワークが外部ネットワークに接続されることから、外部のネットワークからマルウェアやウィルス等を用いたサイバー攻撃を受けるおそれがある。

　そこで、最近では車両セキュリティ・オペレーション・センタ（Security Operation Center：ＳＯＣ）を設け、この車両ＳＯＣにおいて車載システムに対するサイバー脅威／攻撃の種類や内容を分析する技術が種々検討されている。例えば、監視対象の車両に搭載された車載装置に複数のセンサを配置し、これらのセンサから発生されるセンサログをネットワークを介して車両ＳＯＣで収集する。そして、車両ＳＯＣにおいて、収集された上記センサログをもとに上記車載装置に対するサイバー脅威／攻撃を分析する（例えば特許文献１を参照）。

日本国特開２０２０－１１９０９０号公報

　ところが、監視対象の車両には様々な車種が存在し、また車種が同一であっても年式やグレードが異なれば、車両に搭載される車載装置の構成は異なる。さらに、それぞれの車載装置には、一般に様々な箇所に多くのセンサが設置される。このため、車両ＳＯＣで収集されるログデータの種類や数は膨大になり、これにより車両ＳＯＣにおける分析のための処理負荷は非常に高くなり、また分析スループットは低下する。

　この発明は上記事情に着目してなされたもので、一側面では、管理対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能な技術を提供しようとするものである。

　上記課題を解決するためにこの発明の一態様は、車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを前記ネットワークを介して取得し分析する装置または方法にあって、前記車両と、当該車両に搭載される前記車載装置の種類に対応して予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶部に設定する。そして、前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる属性情報をもとに、当該分析対象データの発生元となる前記車載装置の種類を判定し、判定された前記車載装置の種類に対応する前記分析ロジックを前記対応情報をもとに前記複数の分析ロジックの中から選択し、選択された前記分析ロジックに従い前記分析対象データを分析して分析結果を表す情報を生成し、出力するようにしたものである。

　この発明の一態様によれば、車載装置から分析対象データが取得される毎に、その発生元の車載装置の種類に対応付けられた分析ロジックが多数の分析ロジックの中から選択され、選択された分析ロジックにより上記分析対象データの分析処理が行われる。すなわち、各分析対象データはその分析処理に対応する機能を有する分析ロジックに振り分けられて分散処理される。このため、車載装置の種類にかかわらず、そのすべての分析対象データを、例えば１つの統合分析ロジックを用いて、或いは複数の分析ロジックを決められた順に選択して分析処理する場合に比べ、分析処理に要する処理負荷を軽減することが可能となり、かつ分析処理のスループットの低下を抑制することが可能となる。

　すなわち、この発明の一態様によれば、監視対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能な技術を提供することが可能となる。

図１は、この発明の一実施形態に係る車両セキュリティ分析装置を含む車両セキュリティ監視システム全体の構成を示す図である。図２は、図１に示したシステムにおいてサイバーセキュリティの分析対象となる車載装置の構成の一例を示す図である。図３は、この発明の一実施形態に係る車両セキュリティ分析装置のハードウェア構成を示すブロック図である。図４は、この発明の一実施形態に係る車両セキュリティ分析装置のソフトウェア構成を示すブロック図である。図５は、図４に示した車両セキュリティ分析装置が備える車両構成対応データベースの一例を示す図である。図６は、図４に示した車両セキュリティ分析装置が備える分析ロジックデータベースの一例を示す図である。図７は、図４に示した車両セキュリティ分析装置による分析処理の手順と処理内容を示すフローチャートである。

　以下、図面を参照してこの発明に係わる実施形態を説明する。

　［一実施形態］
　（構成例）
　（１）システム
　図１は、この発明の一実施形態に係る車両セキュリティ監視システムの構成の一例を示す図である。

　一実施形態に係る車両セキュリティ監視システムは、例えば車両メーカが運用するＯＥＭ（Original Equipment Manufacture）センタＣＮを備えている。なお、一般にＯＥＭセンタＣＮは車両メーカごとに設置されるが、ここでは一つの車両メーカのＯＥＭセンタＣＮを例にとって説明する。

　車両メーカのＯＥＭセンタＣＮは、自社が管理する複数の車両ＭＶ１～ＭＶｎとの間で、移動通信ネットワークＭＮＷおよびゲートウェイＧＷ１を介してデータ伝送が可能になっている。ＯＥＭセンタＣＮは、車両ＭＶ１～ＭＶｎに対して当該車両向けの各種サービスを提供するもので、管理サーバＯＳＶを備える。ＯＥＭセンタＣＮは、管理サーバＯＳＶの制御の下、例えば、車両ＭＶ１～ＭＶｎから送信されるセンサログデータを上記移動通信ネットワークＭＮＷおよびゲートウェイＧＷ１を介して収集し、収集されたセンサログデータを後述する車両ＳＯＣサーバＳＳＶに提供する。またそれと共に、車両ＭＶ１～ＭＶｎに対してソフトウェアを配信したり、配信後のソフトウェアを更新する役割も担う。

　なお、移動通信ネットワークＭＮＷとしては、例えばセルラ移動通信ネットワークまたは無線ＬＡＮ（Local Area Network）が用いられるが、これに限るものではない。

　車両メーカのＯＥＭセンタＣＮには、車両セキュリティ・オペレーション・センタ（Security Operation Center：ＳＯＣ）サーバＳＳＶが接続される。車両ＳＯＣサーバＳＳＶは、この発明の一実施形態に係る車両セキュリティ分析装置として使用されるもので、その機能については後に詳しく説明する。

　車両メーカのＯＥＭセンタＣＮは、ゲートウェイＧＷ２を介してインターネットＩＮＷにも接続され、このインターネットＩＮＷを介して外部サーバＥＳＶとの間でもデータ通信が可能となっている。外部サーバＥＳＶは、例えばＡｕｔｏ－ＩＳＡＣ（Automotive Information Sharing and Analysis Center）が運用管理するもので、コネクテッドカー関連のサイバー脅威や潜在的な脆弱性に関する脅威情報を蓄積するデータベースを備え、当該データベースに蓄積された情報を車両ＳＯＣサーバＳＳＶに提供する。

　また車両セキュリティ監視システムは、例えば車両メーカが運用するＳＩＲＴ（Security Incident Response Team）サーバＩＳＶを備えている。ＳＩＲＴサーバＩＳＶは、対応する車両メーカのＯＥＭセンタＣＮとの間、および車両ＳＯＣサーバＳＳＶとの間でデータ伝送が可能となっている。

　ＳＩＲＴサーバＩＳＶは、例えば車両メーカ又はその車載装置の開発ライフサイクルを通じて必要な安全管理、サポート、インシデント対応を実施するための組織（ＳＩＲＴ）が運用する。ＳＩＲＴサーバＩＳＶは、例えば、車両メーカ固有のサイバー脅威情報を記憶する脅威情報データベースを有し、車両ＳＯＣサーバＳＳＶからの要求に応じてサイバー脅威情報を車両ＳＯＣサーバＳＳＶへ送信する。

　またＳＩＲＴサーバＩＳＶは、例えば、車両ＳＯＣサーバＳＳＶから提供されるセキュリティ分析レポートをＳＩＲＴの管理者に提示する。そして、上記分析レポートをもとにＳＩＲＴの管理者が車両メーカ別に決定された対応方針等を入力した場合に、当該対応方針等を含むリコール指示を該当車両に向けて送信する機能を有する。なお、サイバー脅威情報は、例えば脅威の種別と危険度の尺度との組み合わせにより定義される。分析レポートも、例えば上記脅威の種別と危険度の尺度との組み合わせを用いて記述される。

　（２）装置
　（２－１）車載装置ＶＵ
　図２は、車両ＭＶ１～ＭＶｎにそれぞれ搭載される車載装置ＶＵの構成の一例を示すブロック図である。

　車載装置ＶＵは、複数の電子制御ユニット（Electric Control Unit：ＥＣＵ）４を備えている。ＥＣＵ４は、例えばＣＡＮ（Control Area Network）と呼称される車載ネットワーク２を介して車載ゲートウェイ（ＣＧＷ）１に接続される。また、ＣＧＷ１には、通信制御ユニット（ＴＣＵ）５およびナビゲーション装置（ＩＶＩ）３が接続される。

　ＥＣＵ４は、それぞれがプロセッサにプログラムを実行させることにより所定の制御機能を果たすように構成され、例えばエンジンやトランスミッション、操舵角、アクセル、ブレーキ等を制御する装置、ウィンカーやライト、ワイパーを制御する装置、ドアロックおよび窓の開閉を制御する装置、空調を制御する装置等として用いられる。また、車両ＭＶ１～ＭＶｎには、速度センサや温度センサ、振動センサ等の車両の動作状態に係る各種車両センサの計測データをはじめ、運転者等を含む車内の状態を監視する車内センサ、車外の状況を監視する車外センサ等の多くのセンサが設けられており、ＥＣＵ４はこれらのセンサから出力されるセンシングデータを取り込む装置としても用いられる。さらに、自動運転制御装置や運転者の状態を監視する装置としても用いられる。

　ＴＣＵ５は、車載装置ＶＵと移動通信ネットワークＭＮＷとの間でＩＰ（Internet Protocol）を使用した通信を行うもので、運転者または搭乗者の通話データを送受信したり、Ｗｅｂサイトからナビゲーション更新データを受信したり、車載装置ＶＵの各構成要素の動作状態の検出結果を示すログデータを車両メーカのＯＥＭセンタＣＮへ送信するために用いられる。

　ＩＶＩ３は、ＵＳＢポートおよび無線インタフェースを有している。そして、ＵＳＢポートを介してＵＳＢ機器（図示省略）との間で各種データの書き込みおよび読み出しを行うと共に、無線インタフェースを介してスマートフォン等の携帯端末との間のデータの送受信や外部との間のデータの送受信を行う機能を有している。なお、無線インタフェースとしては、例えばBluetooth（登録商標）またはWiFi（登録商標）が用いられる。

　なお、車載装置ＶＵは、外部インタフェースポート（ＯＢＤ－II）６を有している。このＯＢＤ－IIポート６には、試験装置やパーソナルコンピュータが接続可能である。試験装置やパーソナルコンピュータは、例えばＥＣＵ４の試験を行ったり、ＥＣＵ４に対し更新プログラムや制御データをインストールするために使用される。

　ＣＧＷ１は、ＴＣＵ５と各ＥＣＵ４、ＩＶＩ３およびＯＢＤ－IIポート６との間でデータ転送を行う際に、それぞれＩＰ／ＣＡＮのプロトコル変換を行う。

　なお、以上車載装置ＶＵの一例を述べたが、車載装置ＶＵは車両メーカごとに種類、つまり構成や機能が異なることは勿論のこと、同一の車両メーカにおいても例えば車種毎或いは年式毎に構成または機能が異なる。

　（２－２）車両ＳＯＣサーバＳＳＶ
　図３および図４は、それぞれ車両ＳＯＣサーバＳＳＶのハードウェア構成およびソフトウェア構成を示すブロック図である。

　車両ＳＯＣサーバは、車両ＭＶ１～ＭＶｎに対し行われたサイバー攻撃を、車両メーカのＯＥＭセンタＣＮに代わって分析し、分析結果を対応する車両メーカのＳＩＲＴサーバＩＳＶに通知する機能を備える。

　車両ＳＯＣサーバＳＳＶは、例えばクラウド上に配置されるサーバコンピュータからなり、中央処理ユニット（Central Processing Unit：ＣＰＵ）等のハードウェアプロセッサを使用した制御部１０を備える。そして、この制御部１０に対し、バス５０を介して、プログラム記憶部２０およびデータ記憶部３０を有する記憶ユニットと、通信Ｉ／Ｆ４０を接続したものとなっている。

　通信Ｉ／Ｆ４０は、制御部１０の制御の下、ネットワークＭＮＷ，ＩＮＷにより定義される通信プロトコルを使用して、車両メーカのＯＥＭセンタＣＮ、ＳＩＲＴサーバＩＳＶ、および外部サーバＥＳＶとの間で、それぞれデータ伝送を行う。

　プログラム記憶部２０は、例えば、記憶媒体としてＨＤＤ（Hard Disk Drive）またはＳＳＤ（Solid State Drive）等の随時書込みおよび読出しが可能な不揮発性メモリと、ＲＯＭ（Read Only Memory）等の不揮発性メモリとを組み合わせて構成したもので、ＯＳ（Operating System）等のミドルウェアに加えて、この発明の一実施形態に係る各種制御処理を実行するために必要なプログラムを格納する。

　データ記憶部３０は、例えば、記憶媒体として、ＨＤＤまたはＳＳＤ等の随時書込みおよび読出しが可能な不揮発性メモリと、ＲＡＭ（Random Access Memory）等の揮発性メモリと組み合わせたもので、この発明の一実施形態を実施するために必要な記憶領域として、分析対象データ記憶部３１と、車両構成対応データベース（以後データベースをＤＢと略称する）３２と、分析ロジックＤＢ３３と、分析結果記憶部３４とを備えている。

　分析対象データ記憶部３１は、車両メーカのＯＥＭセンタＣＮから取得されたセンサログデータを、分析対象データとして一旦保存するために用いられる。

　車両構成対応ＤＢ３２は、管理対象のすべての車両ＭＶ１～ＭＶｎに対し個別に割り当てられた車両識別番号（Vehicle Identification Number：ＶＩＮ）の各々に対応付けて、当該車両識別番号に対応する車両構成識別子を記憶したものである。図５は、車両構成ＤＢ３２に記憶される、車両識別番号と車両構成識別子との対応関係の一例を示すものである。

　分析ロジックＤＢ３３は、上記車両構成識別子の各々に対応付けて、当該車両構成識別子に対応する分析ロジックを記憶したものである。分析ロジックは、車両構成、すなわち車両ＭＶ１～ＭＶｎに搭載されている車載装置ＶＵの種類に対応して、それぞれ専用に用意される。図６は、上記分析ロジックＤＢ３３に記憶される、車両構成識別子と分析ロジックとの対応関係の一例を示すものである。

　分析結果記憶部３４は、後述する制御部１０の分析処理部１４により得られる分析結果を表す情報を、分析レポートを生成するために一時的に保存するために用いられる。

　制御部１０は、この発明の一実施形態に係る処理機能として、分析対象データ取得処理部１１と、車両構成判定処理部１２と、分析ロジック選択処理部１３と、分析処理部１４と、分析レポート出力処理部１５とを備える。これらの処理部１１～１５は、何れもプログラム記憶部２０に格納されたプログラムを制御部１０のハードウェアプロセッサに実行させることにより実現される。

　分析対象データ取得処理部１１は、各車両ＭＶ１～ＭＶｎから送信されるセンサログデータをＯＥＭセンタＣＮを介して取得し、取得された上記センサログデータを分析対象データとして上記分析対象データ記憶部３１に保存させる処理を行う。

　車両構成判定処理部１２は、分析対象データ記憶部３１からセンサログデータを読み込み、このセンサログデータに含まれる車両属性情報から送信元の車両の車両識別番号を抽出する。そして、上記車両構成対応ＤＢ３２を参照して、上記車両識別番号に対応する車両構成識別子を判定する処理を行う。

　なお、上記車両構成対応ＤＢ３２が、上記車両識別番号の代わりに車種の識別情報に対応付けて車両構成識別子を記憶している場合には、車両構成判定処理部１２は、センサログデータに含まれる車両属性情報から送信元の車両の車種の識別情報を抽出し、この車種の識別情報を用いて上記車両構成対応ＤＢ３２から対応する車両構成識別子を検索するようにしてもよい。要するに、車両構成を特定可能な情報であれば、車両属性情報に含まれる如何なる情報を使用するようにしてもよい。

　分析ロジック選択処理部１３は、上記車両構成判定処理部１２により判定された車両構成識別子をもとに分析ロジックＤＢ３３を検索し、上記車両構成識別子に対応付けられた分析ロジックを選択的に読み出す処理を行う。

　分析処理部１４は、上記分析対象データ記憶部３１に保存されている各センサログデータを、上記分析ロジック選択処理部１３により選択的に読み出された上記分析ロジックに基づいて分析することにより、車載装置ＶＵで発生したサイバー脅威／攻撃の種類を特定する。そして、特定されたサイバー脅威／攻撃の種類を分析結果を表す情報として分析結果記憶部３４に保存させる処理を行う。

　分析レポート出力処理部１５は、上記分析結果記憶部３４に保存された分析結果を、単独で或いは複数用いて分析レポートを生成する。そして、生成された分析レポートをＳＩＲＴサーバＩＳＶに向けて通信Ｉ／Ｆ４０から送信する処理を行う。

　（動作例）
　次に、以上のように構成された車両ＳＯＣサーバＳＳＶの動作例を、車両セキュリティ監視システム全体の動作と共に説明する。

　（１）車載装置ＶＵに関係するサイバー脅威／攻撃の検出
　車載装置ＶＵに対するサイバー脅威／攻撃の種類には、例えば、
　(a) 改ざんされたＷｅｂサイトや攻撃者の端末から、インターネットＩＮＷを経由して車載装置ＶＵ内の通信機器（例えばＴＣＵ５やＩＶＩ３）にマルウェア感染等を引き起こす攻撃
　(b) 外部の無線通信機器から車載装置ＶＵの通信機器（例えばＴＣＵ５またはＩＶＩ３）に対し、悪意を持った遠隔操作コマンドを送信し、運転者の意図に反した操作を引き起こす攻撃
　(c) ＯＢＤ－IIポート６にパーソナルコンピュータ等の外部端末を不正に接続し、この外部端末からＥＣＵ４等に対し不正コマンドを入力してＥＣＵ４の設定変更やＥＣＵ４の情報の搾取、運転者の意図に反した操作を引き起こす攻撃
　(d) マルウェアに感染済のスマートフォン等の携帯端末をBluetoothまたはWiFiの無線インタフェースに接続し、上記携帯端末を踏み台として車載装置ＶＵのＥＣＵ４等への不正コマンドの送信や、ＯＳの乗っ取り、ファームウェアの書き換え等を行う攻撃
　(e) ＩＶＩ３のアプリケーションにマルウェアを感染させ、車載装置ＶＵのＥＣＵ４等への不正コマンドの送信や、ＯＳの乗っ取り、ファームウェアの書き換え等を行う攻撃等がある。

　また、サイバー脅威／攻撃のパターンには、例えば以下の複数の段階がある。　
　(1) 初期潜入；例えば車載装置ＶＵの通信機器（ＴＣＵ５やＩＶＩ３）に対しマルウェア等を感染させる行為
　(2) 基盤構築；マルウェアを感染させた通信機器（ＴＣＵ５やＩＶＩ３）から、例えば車両メーカのＯＥＭセンタＣＮまたはインターネットＩＮＷを介して、攻撃者のサーバや端末との間にＣ＆Ｃ通信による遠隔制御基盤を構築する行為
　(3) 内部侵入・調査；例えばＴＣＵ５、ＩＶＩ３またはＣＧＷ１内に侵入してその内部調査を行う行為
　(4) 目的遂行；ＴＣＵ５、ＩＶＩ３またはＥＣＵ４から情報を搾取する行為や、ＴＣＵ５またはＩＶＩ３を踏み台としてＯＥＭセンタＣＮまたはインターネットＩＮＷに接続されたサーバ等に対し攻撃する行為、ＴＣＵ５またはＩＶＩ３を経由してＥＣＵ４等の車載装置ＶＵ内部の構成要素を遠隔制御する行為
　(5) 初期潜入＋目的遂行；ＴＣＵ５またはＩＶＩ３に侵入した後、上記基盤構築や内部侵入・調査の段階を省いて、上記情報の搾取や、車載装置ＶＵを踏み台としたＯＥＭセンタＣＮまたはインターネットＩＮＷに接続されたサーバ等への攻撃、ＥＣＵ４等の車載装置ＶＵ内部の構成要素を遠隔制御する行為。

　以上のようなサイバー脅威／攻撃の種類およびパターンを考慮し、車載装置ＶＵ内の各構成要素、例えばＴＣＵ５、ＩＶＩ３、ＥＣＵ４およびＣＧＷ１には、それぞれセンサが設けられる。

　例えば、ＴＣＵ５およびＩＶＩ３には、ネットワーク経由の攻撃をＴＣＵ５またはＩＶＩ３において検出するホスト設置型センサが設けられる。このセンサは、例えば、脅威インテリジェンス、もしくは悪性ＩＰアドレスのリストを示すＩＰレピュレーションリスト（ＩＰアドレス）との突き合わせにより攻撃を検出する機能、通常では発生しない送受信ＩＰアドレス、ポートへのアクセス（許可／拒否／廃棄）の発生や、ログイン成功／失敗の発生、送受信ＭＡＣアドレス（Media Access Control Address）の発生を異常として検出する機能、ＳＳＬ／ＴＬＳ（Secure Socket Layer／Transport Layer Security）証明書の検証エラーログを異常として検出する機能、ＣＡＮ２のＩＤフィルタの検証による拒否ログの発生を異常として検出する機能、ＣＡＮ２のＩＤＳ検査ロジックで検出されたものを異常として検出する機能、ＣＡＮメッセージのＭＡＣ検証エラーの発生を異常として検出する機能を有する。

　また、ＴＣＵ５およびＩＶＩ３には、当該ＴＣＵ５およびＩＶＩ３上で発生した攻撃を検出するセンサも設けられる。このセンサは、例えば、アンチウイルスのシグネチャで検出したものを攻撃として検出する機能、サンドボックスの動的解析／ふるまい検知で検出したものを攻撃として検出する機能、ホワイトリスティングの実行禁止ファイルの実行試行時のログを異常として検出する機能、署名不整合の検出ログを異常として検出する機能、通常発生しないログイン成功/失敗が発生した際に異常として検出する機能、通常発生しない権限操作を異常として検出する機能、通常発生しないプロセスの実行/終了を異常として検出する機能、通常発生しないリソース利用量の増加等を異常として検出する機能、セキュアブート時の署名不整合を異常として検出する機能を有する。

　いずれのセンサも、検出結果を表すセンサログデータを、リアルタイムでまたは所定の送信タイミングにおいて車両メーカのＯＥＭセンタＣＮへ送信する。

　なお、車両メーカのＯＥＭセンタＣＮにもセンサが設置される。このセンサは、車載装置ＶＵに対するネットワーク経由の攻撃をネットワーク上で検出するもので、先に述べたホスト設置型センサとほぼ同様の機能を有する。

　（２）車両ＳＯＣサーバＳＳＶにおけるサイバー脅威／攻撃の分析
　図７は、車両ＳＯＣサーバＳＳＶの制御部１０により実行される分析処理の処理手順と処理内容の一例を示すフローチャートである。

　（２－１）脅威情報の取得
　車両ＳＯＣサーバＳＳＶの制御部１０は、分析処理に先立ち、外部サーバＥＳＶおよびＳＩＲＴサーバＩＳＶから、定期的または任意のタイミングで、コネクテッドカー関連のサイバー脅威／攻撃や潜在的な脆弱性等を定義した情報、具体的には脅威種別と危険度の尺度とでサイバー脅威／攻撃を定義した情報を取得する。そして、取得された情報を脅威情報としてデータ記憶部３０内の脅威情報記憶領域（図示省略）に記憶させる。

　なお、上記脅威情報の取得処理は、車両ＳＯＣサーバＳＳＶから外部サーバＥＳＶまたはＳＩＲＴサーバＩＳＶにアクセスして取得する方式でも、外部サーバＥＳＶまたはＳＩＲＴサーバＩＳＶが定期的または不定期にプッシュ方式で送信する脅威情報を車両ＳＯＣサーバＳＳＶが受信する方式であってもよい。また、脅威情報の取得は必須ではなく、必要に応じて実施されるようにしてもよい。

　（２－２）分析対象データの取得
　各車両ＭＶ１～ＭＶｎの車載装置ＶＵでは、先に述べたようにＴＣＵ５およびＩＶＩ３等の各構成要素に設置されたセンサが、サイバー脅威／攻撃による動作異常または異常なデータを監視している。そして、動作異常または異常なデータが検出されると、その検出結果を示すセンサログデータが、上記車両ＭＶ１～ＭＶｎの車両識別番号を含む車両属性情報と共に、対応する車両メーカのＯＥＭセンタＣＮに向けて送信される。なお、センサログデータには、異常動作または異常データを検出したセンサを示す情報と、シグネチャの情報またはＤＳＴを示す情報等が含まれる。

　ＯＥＭセンタＣＮは、管理対象の車両ＭＶ１～ＭＶｎから送信されたセンサログデータを受信すると、受信されたセンサログデータを一旦保存した後、車両ＳＯＣサーバＳＳＶからのポーリング等による取得要求に応じて車両ＳＯＣサーバＳＳＶへ転送する。

　これに対し、車両ＳＯＣサーバＳＳＶの制御部１０は、分析対象データ取得処理部１１の制御の下、ステップＳ１０により分析対象データの取得タイミングまで待機し、取得タイミングになると、ステップＳ１１において、ＯＥＭセンタＣＮに対しポーリング等により取得要求を送信する。そして、上記取得要求に応じてＯＥＭセンタＣＮから送信されるセンサログデータを通信Ｉ／Ｆ４０を介して受信し、受信された上記センサログデータを分析対象データとして分析対象データ記憶部３１に一旦保存する。

　以後同様に分析対象データ取得処理部１１では、取得タイミングになる毎に上記したセンサログデータの取得処理が繰り返し実行される。なお、分析対象データの取得処理は、車両ＳＯＣサーバＳＳＶからのポーリングにより能動的に行う方式以外に、ＯＥＭセンタＣＮからの通知を受けて受動的に行う方式であってもよい。

　（２－３）車両構成の判定
　車両ＳＯＣサーバＳＳＶの制御部１０は、新たなセンサログデータが取得される毎に、または任意のタイミングにおいて、車両構成判定処理部１２の制御の下、先ずステップＳ１２において、分析対象データ記憶部３１からセンサログデータを読み込む。そして、読み込まれた上記センサログデータから車両属性情報に含まれる車両識別番号を抽出し、抽出された上記車両識別番号に対応する車両構成識別子を、車両構成対応ＤＢ３２を参照することで判定する。例えば、図５に示す例では、車両識別番号が“JP000000000000006”だったとすれば、車両構成識別子は“Ａ”と判定される。

　（２－４）分析ロジックの選択
　車両ＳＯＣサーバＳＳＶの制御部１０は、次に分析ロジック選択処理部１３の制御の下、ステップＳ１３において、上記車両構成識別子をキーとして分析ロジックＤＢ３３を検索し、上記車両構成識別子に対応付けられている分析ロジックを選択する。そして、選択された上記分析ロジックを分析ロジックＤＢ３３から読み出して分析処理部１４に与える。

　例えば、いま車両構成識別子が“Ａ”であれば、この車両構成識別子が“Ａ”に対応付けられている分析ロジックをすべて選択し、選択された複数の分析ロジックを分析ロジックＤＢ３３から読み出して分析処理部１４に与える。

　（２－５）分析対象データの分析処理
　車両ＳＯＣサーバＳＳＶの制御部１０は、続いて分析処理部１４の制御の下、ステップＳ１５において、分析対象データ記憶部３１から分析対象の上記センサログデータを読み込む。そして、読み込まれた上記センサログデータを、上記選択された複数の分析ロジックに従い分析する。このとき分析処理部１４は、例えば上記複数の分析ロジックによる分析処理を並列に実行する。このようにすることで、分析ロジックが複数選択された場合でも、すべての分析ロジックによる分析結果を短時間に得ることが可能となる。

　上記分析ロジックを用いた分析処理の一例を、図６に示す分析ロジックを用いて説明する。例えば、いまセンサログデータに含まれる項目がSENSOR=1，DST＝”10.0.0.1”であったとする。この場合は、分析ロジックIF(AND(SENSOR=1,DST=”10.0.0.1”)，”T001”)により、サイバー攻撃の種類は”T001”と特定される。また、センサログデータに含まれる項目がSENSOR=2，SIGNATURE=1であれば、分析ロジックIF(AND(SENSOR=2，SIGNATURE=1)，”T002”)により、サイバー攻撃の種類は”T002”と特定される。同様に、センサログデータに含まれる項目がSENSOR=3，SIGNATURE=2であれば、分析ロジックIF(AND(SENSOR=3，SIGNATURE=2)，”T003”)により、サイバー攻撃の種類は”T003”と特定される。

　分析処理部１４は、以上のように複数の分析ロジックのいずれかにより特定されたサイバー攻撃の種類を表す情報を、上記車両識別番号および車両構成識別子と対応付けて分析結果記憶部３４に保存する。

　（２－６）分析レポートの生成・出力
　車両ＳＯＣサーバＳＳＶの制御部１０は、最後に分析レポート出力処理部１５の制御の下、ステップＳ１６において、分析結果記憶部３４から分析結果である、サイバー攻撃の種類を表す情報を読み込み、読み込まれたサイバー攻撃の種類を表す情報をもとに分析レポートを生成する。

　上記分析レポートは、個々のセンサログデータから特定されたサイバー攻撃の種類に応じて生成されてもよいし、所定の分析期間内に取得された同一の車両識別番号または車両構成識別子に係る複数のセンサログデータに着目し、これらのセンサログデータからそれぞれ特定されたサイバー攻撃の種類を総合して生成されてもよい。

　分析レポート出力処理部１５は、生成された上記分析レポートを、上記車両識別番号または車両構成識別子に基づいて、対応する車両メーカが運用するＳＩＲＴサーバＩＳＶに向け、通信Ｉ／Ｆ４０から送信する。ＳＩＲＴサーバＩＳＶは、上記分析レポートをもとに、例えば車両ＳＯＣサーバＳＳＶに対し上記サイバー攻撃に対する暫定的な処置を指示したり、該当する車両構成を持つすべての車両に対し恒久的な対応処置を指示する。

　また、車両ＳＯＣサーバＳＳＶは、上記サイバー攻撃の種類が特定された時点で、当該サイバー攻撃の種類を表す情報またはその対処方法を示す情報を、センサログデータ送信元の車両へ通知するようにしてもよい。このようにすると、サイバー攻撃を受けた車両ＭＶ１～ＭＶｎの車載装置ＶＵに対し、リアルタイムにサイバー攻撃に対する暫定処置を実行させることが可能となる。

　（作用・効果）
　以上述べたように一実施形態では、車両ＳＯＣサーバＳＳＶにおいて、管理対象の各車両ＭＶ１～ＭＶｎの車載装置ＶＵから送信されるセンサログデータをＯＥＭセンタＣＮを介して取得し、取得されたセンサログデータの車両属性情報に含まれる車両識別番号をキーとして車両構成対応ＤＢ３２から車両構成識別子を判定し、この車両構成識別子をキーとしてさらに分析ロジックＤＢ３３を検索して当該車両構成に対応付けられた分析ロジックを選択する。そして、選択された上記分析ロジックを用いて上記センサログデータを分析することにより、上記車両に発生したサイバー攻撃の種類を特定し、特定されたサイバー攻撃の種類に応じた分析レポートを生成してＳＩＲＴに提供するようにしている。

　従って、車両ＭＶ１～ＭＶｎの車載装置ＶＵからセンサログデータが取得される毎に、その発生元の車両構成、例えば車載装置ＶＵの種類に対応して予め用意された分析ロジックが多数の分析ロジックの中から選択され、選択された分析ロジックに従い上記センサログデータの分析処理が行われる。すなわち、各センサログデータは、発生元の車両構成の種類毎に対応する分析ロジックに振り分けられて分散処理される。

　このため、車載装置ＶＵの種類によらず、センサログデータを、例えば１つの統合された分析ロジックを用いて分析処理する場合や、複数の分析ロジックを決められた順に選択して分析処理する場合に比べ、分析処理に要する車両ＳＯＣサーバＳＳＶの処理負荷を軽減することが可能となり、かつ分析処理のスループットの低下を抑制することが可能となる。

　すなわち、１つの車両ＳＯＣサーバＳＳＶにより、多数の車種または年式の車両に搭載された車載装置に対し発生するサイバー攻撃を分析しようとする場合に、センサログデータの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能となる。

　［その他の実施形態］
　（１）一実施形態では、分析ロジック選択処理部１３により分析ロジックが複数選択された場合に、分析処理部１４は、選択された上記複数の分析ロジックによる分析処理を並列に実行するようにした。しかし、この発明はこれに限定されるものではなく、上記複数の分析ロジックによる分析処理を直列的に実行するようにしてもよい。このようにすると、一つのセンサログデータを分析処理するときの単位時間当たりの車両ＳＯＣサーバＳＳＶの処理負荷を低く抑えることが可能となる。

　さらに、複数の分析ロジックによる分析処理を直列的に実行する際に、以下のような優先処理が適用可能である。すなわち、車両構成毎にそれに対応する複数の分析ロジックの各々の過去の攻撃検知率を算出し、算出された攻撃検知率を分析処理の順序を決める優先情報として保存する。そして、上記複数の分析ロジックによる分析処理を開始する際に、上記優先情報に従い、攻撃検知率が高い分析ロジックから順に選択して分析処理を実行し、サイバー攻撃の種類を検知した時点で分析処理を終了する。

　このようにすると、複数の分析ロジックによる分析処理が直列的に実行されるにもかかわらず、攻撃の種類の特定に要する平均的な時間を短縮することが可能となり、さらにサイバー攻撃の種類が特定された時点で分析処理が終了することで、選択されたすべての分析ロジックによる分析処理をすべて実行する場合に比べ、車両ＳＯＣサーバの処理負荷を軽減し、かつ処理の平均的な所要時間を短縮することが可能となる。

　（２）前記一実施形態では、車載装置ＶＵから発生されるセンサログデータをネットワークＭＮＷおよびＯＥＭセンタＣＮを経由して取得する場合を例にとって説明した。しかしそれに限らず、例えば車両修理工場等において車載装置ＶＵから発生されるセンサログデータを記録媒体に記憶させて車両ＳＯＣサーバＳＳＶに提供し、車両ＳＯＣサーバＳＳＶが提供された上記記憶媒体からセンサログデータを読み込んで分析処理を実行するようにしてもよい。

　その他、車両ＳＯＣサーバの機能構成、センサログデータの構成、車両構成毎に用意される分析ロジックの種類と数、分析ロジックの構成、分析ロジックの選択手法、分析処理の手順と処理内容、特定対象のサイバー攻撃の種類等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。

　以上、本発明の実施形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。

　要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。

　ＭＶ１～ＭＶｎ…車両
　ＶＵ…車載装置
　ＳＳＶ…車両ＳＯＣサーバ
　ＩＳＶ…ＳＩＲＴサーバ
　ＣＮ…車両メーカのＯＥＭセンタ
　ＯＳＶ…管理サーバ
　ＭＮＷ…移動通信ネットワーク
　ＩＮＷ…インターネット
　ＧＷ１，ＧＷ２…ゲートウェイ
　ＥＳＶ…外部サーバ
　１…車載ゲートウェイ
　２…車載ネットワーク（ＣＡＮ）
　３…ナビゲーション装置（ＩＶＩ）
　４…電子制御ユニット（ＥＣＵ）
　５…通信制御ユニット（ＴＣＵ）
　１０…制御部
　１１…分析対象データ取得処理部
　１２…車両構成判定処理部
　１３…分析ロジック選択処理部
　１４…分析処理部
　１５…分析レポート出力処理部
　２０…プログラム記憶部
　３０…データ記憶部
　３１…分析対象データ記憶部
　３２…車両構成対応ＤＢ
　３３…分析ロジックＤＢ
　３４…分析結果記憶部
　４０…通信インタフェース（通信Ｉ／Ｆ）
　５０…バス

Claims

　車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを取得し分析する車両セキュリティ分析装置であって、
　前記車両と、当該車両に搭載される前記車載装置の種類に対応して予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶する記憶部と、
　前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる前記車両の属性情報をもとに、当該分析対象データの発生元となる前記車載装置の種類を判定する判定処理部と、
　判定された前記車載装置の種類に対応する前記分析ロジックを、前記対応情報をもとに前記複数の分析ロジックの中から選択する選択処理部と、
　選択された前記分析ロジックに従い前記分析対象データを分析し、分析結果を表す情報を生成する分析処理部と、
　前記分析結果を表す情報を出力する出力処理部と
　を具備する車両セキュリティ分析装置。
　前記記憶部は、前記車両の構成に係る車両属性情報と前記車載装置の種類を識別する情報との対応関係を表す第１の対応情報と、前記車載装置の種類を識別する情報と前記分析ロジックとの対応関係を表す第２の対応情報とを記憶し、
　前記判定処理部は、取得された前記分析対象データに含まれる前記属性情報から車両識別情報を抽出し、抽出された前記車両識別情報をもとに前記第１の対応情報から対応する前記車載装置の種類を判定し、
　前記選択処理部は、選択された前記車載装置の種類を識別する情報をもとに前記第２の対応情報から対応する分析ロジックを選択する、
　請求項１に記載の車両セキュリティ分析装置。
　前記分析処理部は、前記車載装置の種類に対応する前記分析ロジックが複数選択された場合に、選択された前記複数の分析ロジックによる分析処理を並列に実行することにより前記分析対象データを分析する、請求項１に記載の車両セキュリティ分析装置。
　前記分析処理部は、前記車載装置の種類に対応する前記分析ロジックが複数選択された場合に、選択された前記複数の分析ロジックにより分析処理を予め設定された優先情報に従い順に実行することにより前記分析対象データを分析する、請求項１に記載の車両セキュリティ分析装置。
　前記分析処理部は、前記複数の分析ロジック各々による過去の攻撃検知率を前記優先情報とし、前記攻撃検知率が高い順に前記複数の分析ロジックによる分析処理を実行することにより前記分析対象データを分析する、請求項４に記載の車両セキュリティ分析装置。
　車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを取得し分析する装置が実行する車両セキュリティ分析方法であって、
　前記車両と、当該車両に搭載される前記車載装置の種類に対応して予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶部に設定させる過程と、
　前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる前記車両の属性情報をもとに、当該分析対象データの発生元となる前記車載装置の種類を判定する過程と、
　判定された前記車載装置の種類に対応する前記分析ロジックを、前記対応情報をもとに前記複数の分析ロジックの中から選択する過程と、
　選択された前記分析ロジックに従い前記分析対象データを分析し、分析結果を表す情報を生成する過程と、
　前記分析結果を表す情報を出力する過程と
　を具備する車両セキュリティ分析方法。
　請求項１乃至５のいずれかに記載の車両セキュリティ分析装置が具備する前記各処理部による処理を、前記車両セキュリティ分析装置が備えるプロセッサに実行させるプログラム。