WO2024122142A1

WO2024122142A1 - セキュリティ方法、および、セキュリティ装置

Info

Publication number: WO2024122142A1
Application number: PCT/JP2023/032837
Authority: WO
Inventors: 順一吉田; 淳日高; 秀世福嶌; 栄義仲辻; 将人浅沼
Original assignee: パナソニックオートモーティブシステムズ株式会社
Priority date: 2022-12-08
Filing date: 2023-09-08
Publication date: 2024-06-13
Also published as: JP2024082318A

Abstract

本開示の一態様に係るセキュリティ方法は、車両における車載通信ネットワークと接続され、車両の制御を行う車両計算機が攻撃されることで発生した異常に関する異常情報を取得し（Ｓ１０）、異常情報に基づいて、車両計算機が有する記憶部に記憶されたデータのうち、所定のタイミングより後に記憶部に追加された追加データを削除させる（Ｓ２０）。

Description

セキュリティ方法、および、セキュリティ装置

　本開示は、セキュリティ方法、および、セキュリティ装置に関する。

　従来、車載通信ネットワークなどの通信ネットワークにおけるセキュリティを提供するシステムがある。

　特許文献１には、車両への攻撃を検知したときに、攻撃が車両の各制御に与える影響に応じて、各制御に抑制をかける装置が開示されている。

特開２０１９－７５０５６号公報

　しかしながら、特許文献１に開示されている装置では、応急処置的には攻撃を回避できるが、脆弱性の解析またはセキュリティパッチの作成などの恒久対応が行われるまで車両の使用ができなくなる虞がある。

　本開示は、車両が攻撃を受けた際に当該攻撃に素早く対処できる可能性を向上できるセキュリティ方法などを提供する。

　本開示の一態様に係るセキュリティ方法は、車両における車載通信ネットワークと接続され、前記車両の制御を行う車両計算機が攻撃されることで発生した異常に関する異常情報を取得し、前記異常情報に基づいて、前記車両計算機が有する記憶部に記憶されたデータのうち、所定のタイミングより後に前記記憶部に追加された追加データを削除させる。

　本開示の一態様に係るセキュリティ装置は、車両における車載通信ネットワークと接続され、前記車両の制御を行う車両計算機が攻撃されることで発生した異常に関する異常情報を取得する取得部と、前記異常情報に基づいて、前記車両計算機が有する記憶部に記憶されたデータのうち、所定のタイミングより後に前記記憶部に追加された追加データを削除させる制御部と、を備える。

　本開示の一態様に係るセキュリティ方法などによれば、車両が攻撃を受けた際に当該攻撃に素早く対処できる可能性を向上できる。

図１は、実施の形態に係るセキュリティシステムの構成を示すブロック図である。図２は、実施の形態に係る車両計算機の構成を示すブロック図である。図３は、実施の形態に係る管理サーバの構成を示すブロック図である。図４は、実施の形態に係るセキュリティシステムにおける追加データの削除の処理手順を示すシーケンス図である。図５は、実施の形態に係るセキュリティシステムにおける根本対策の処理手順を示すシーケンス図である。図６は、実施の形態に係る管理サーバの追加データの削除の処理手順を示すフローチャートである。図７は、実施の形態に係る管理サーバの根本対策の処理手順を示すフローチャートである。図８は、実施の形態に係るセキュリティ装置の処理手順を示すフローチャートである。

　（本開示の基礎となった知見）
　車両における車載通信ネットワークで攻撃（具体的には、サイバー攻撃）が検知された場合には、運転者などの車両の搭乗者の安全確保のために、攻撃による車両の異常動作の阻止を目的とした応急処置的な即時対応が必要となる。即時対応としては、例えば、縮退動作、車両制御抑制、または、外部との通信の遮断などが挙げられる。

　縮退動作とは、自動制御で車両を路肩など安全な場所に緊急停止させる動作である。車両制御抑制とは、アクチュエータ（ハンドル、ブレーキ、および、アクセルなど）の制御に制限を行い、攻撃による異常動作の影響を抑制する処理である。外部との通信の遮断とは、車外からのリモートでの車両への不正制御攻撃を想定して、Ｗｉ－Ｆｉ（登録商標）またはモバイル通信などの車両と車外の外部機器との通信を遮断する処理である。

　しかしながら、例えば、縮退動作では、攻撃自体が遮断されたわけではないため、再び運転を始めると同様の攻撃が再開される虞がある。そのため、車両は、緊急停止した後に、身動きが取れなくなる虞がある。

　また、例えば、車両制御抑制では、通常の運転制御も制限されるため、運転者も正しい運転ができなくなる虞がある。

　上記のような即時対応では、応急処置的には攻撃を回避できるが、脆弱性の解析またはセキュリティパッチの作成などの恒久対応が行われるまで車両の使用ができなくなる虞がある。これでは、攻撃を受けた車両は、運転自体ができなくなったり、一部の機能が使用不能になることで、当該車両を運搬する他の車両を用いて修理のためにサービスセンターなどに持ち込まなければならないなどの不具合が生じる。

　そこで、本願発明者らは、車両が攻撃を受けた際にも、例えば車両の運転機能に制限をかけないように当該攻撃に素早く対処できる可能性を向上できるセキュリティ方法などを見出した。

　以下、本開示の実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態）
　［構成］
　図１は、実施の形態に係る車両への情報を提供するセキュリティシステム１０の概略図である。

　セキュリティシステム１０は、インターネットなどの無線ネットワーク（例えば、移動体通信網）を介して互いに通信可能に接続された車両１００、監視サーバ２００、管理サーバ３００、および、データサーバ４００を備える車載通信ネットワークシステムである。セキュリティシステム１０では、例えば、車両１００と、ＳＯＣ（Ｓｅｃｕｒｉｔｙ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｅｒ）などの監視センターに配置された監視サーバ２００および管理サーバ３００とが通信することで、車両１００における車載通信ネットワークと接続された車両計算機１２０などの各機器およびこれらを通信可能に接続するバスなどに異常がないかが監視される。また、車両１００は、監視サーバ２００および管理サーバ３００とともにセンター（例えば、監視センターなどの建屋）に配置されたデータサーバ４００と通信することで、車両１００の制御に用いられるプログラム（ソフトウェア）の更新などを行う。

　車両１００は、自動二輪車または自動四輪車などの任意の車両である。本実施の形態では、車両１００は、自動運転機能を搭載した自動運転車である。

　車両１００は、セキュリティ装置１１０と、複数の車両計算機１２０と、ソフトウェア管理装置１３０と、を備える。

　なお、図１では、車両１００が備える車両計算機１２０を３つ示しているが、車両１００が備える車両計算機１２０の数は、１つでもよいし２以上でもよく、任意でよい。

　車両１００は、例えば、ハードウェア構成として、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、および、複数のＥＣＵなどを備える。

　なお、車両１００は、自動運転車両でなくてもよい。

　セキュリティ装置１１０は、車両１００の状態を監視するための装置である。セキュリティ装置１１０は、監視サーバ２００および管理サーバ３００と通信可能に接続されている。

　セキュリティ装置１１０は、車両１００で検知された車両１００への攻撃（具体的には、サイバー攻撃）に関する情報（検知情報ともいう）を取得し、取得した検知情報に基づいて車両１００の状態を監視する。セキュリティ装置１１０は、例えばＮＩＤＳ（Ｎｅｔｗｏｒｋ－ｂａｓｅｄ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）であって、複数の車両計算機１２０とのそれぞれとバスを介して通信可能に接続され、接続されたバスに流れるデータを監視する。具体的には、セキュリティ装置１１０は、車両計算機１２０と接続されたバスに流れるデータを監視することで、車両１００（より具体的には、車両計算機１２０）に行われる異常（言い換えると、攻撃）を検知する。

　なお、セキュリティ装置１１０が検知する異常は、任意に定められてよい。当該異常は、例えば、セキュリティ装置１１０の問い合わせに対して車両計算機１２０から応答がない、バスに不正なコマンドが流れている、または、コマンドの量が所定の量より多いもしくは少ないなどである。当該所定の量は、任意に定められてよい。セキュリティ装置１１０は、セキュリティ装置１１０と通信可能に接続されており、異常の検知結果を示す検知情報（異常検知ログ）をセキュリティ装置１１０に出力（送信）する。

　また、車両計算機１２０および車両計算機１２０が接続されるバスの数は、特に限定されない。

　セキュリティ装置１１０は、例えば、監視サーバ２００および管理サーバ３００と通信するための移動体通信網の規格に対応したセルラモジュールを含むＴＣＵ、複数の車両計算機１２０およびソフトウェア管理装置１３０と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現される。具体的には、セキュリティ装置１１０としては、ＥＣＵが例示される。

　なお、セキュリティ装置１１０が備える通信インターフェースは、有線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）インターフェースであってもよいし、無線ＬＡＮインターフェースであってもよい。また、セキュリティ装置１１０が備える通信インターフェースは、ＬＡＮインターフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インターフェースであれば、どのような通信インターフェースであってもよい。

　また、セキュリティ装置１１０は、車両１００が備えるＴＣＵおよびＥＣＵなどがＴＣＵおよびＥＣＵなどの本来機能に加えてセキュリティ装置１１０の機能を兼ねることによって実現されてもよい。

　セキュリティ装置１１０は、監視部１１１と、特定部１１２と、報知部１１３と、受信部１１４と、を備える。

　監視部１１１は、車両計算機１２０に異常があるか否かを監視する処理部である。監視部１１１は、例えば、車両計算機１２０が接続されるバスに流れるコマンドを取得（受信）し、当該コマンドにおける異常の有無を判定する。

　特定部１１２は、異常が発生した車両計算機１２０を特定する処理部である。特定部１１２は、例えば、監視部１１１が、異常が発生したと判定した場合、発生した異常の要因が複数の車両計算機１２０のうちのどの車両計算機１２０によるものかを特定する。

　例えば、特定部１１２は、監視部１１１から、車載通信ネットワークにおいてバスに異常なコマンド（以下、不正ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）制御コマンドともいう）が流れていることを示す情報（以下、異常検知ログともいう）を取得する。異常検知ログには、例えば、不正ＣＡＮ制御コマンドの内容、および、車載通信ネットワークを構成する複数のバスのうちのどのバスに不正ＣＡＮ制御コマンドが流れていたかを示す情報などが含まれる。監視部１１１が不正ＣＡＮ制御コマンドの送信元の車両計算機１２０が特定可能である場合には、異常検知ログに当該送信元の車両計算機１２０を示す情報が含まれていてもよい。例えば、特定部１１２は、監視部１１１が車載通信ネットワークにおいて不正ＣＡＮ制御コマンドを検知した場合、その不正ＣＡＮ制御コマンドを送信可能な車両計算機１２０を特定する。例えば、特定部１１２は、監視部１１１が受信した異常検知ログに基づいて、その不正ＣＡＮ制御コマンドを送信可能な車両計算機１２０を特定する。

　不正ＣＡＮ制御コマンドを送信可能な車両計算機１２０とは、例えば、不正ＣＡＮ制御コマンドが流れるバスと接続された車両計算機１２０である。例えば、特定部１１２は、第１バスおよび第２バスのうちの第１バスに不正ＣＡＮ制御コマンドが流れていることをセキュリティ装置１１０が検知した場合、第１バスおよび第２バスの少なくとも一方に接続された車両計算機１２０のうち、第１バスと接続されている車両計算機１２０を、不正ＣＡＮ制御コマンドを送信可能な車両計算機１２０として特定してもよい。

　また、コマンドの内容によっては、ハードウェアレベルで車両計算機１２０ごとに特定のコマンドしか送信されないような仕組み（例えばＴｘフィルタリングなど）がある場合がある。このような場合には、例えば、特定部１１２は、不正ＣＡＮ制御コマンドの内容に基づいて、当該不正ＣＡＮ制御コマンドを送信可能な車両計算機１２０を特定する。車両計算機１２０ごとの送信可能なコマンドに関する情報は、例えば、セキュリティ装置１１０が備えるメモリに予め記憶されていてもよい。

　なお、特定部１１２が特定する車両計算機１２０の数は、特に限定されない。

　報知部１１３は、発生した異常を監視サーバ２００に報知する処理部である。例えば、報知部１１３は、監視部１１１が、異常が発生したと判定した場合、異常の内容を示す情報、および、特定部１１２によって特定された車両計算機１２０を示す情報を監視サーバ２００に出力する。

　受信部１１４は、管理サーバ３００から異常に対する対象指示を示す情報を取得する処理部である。受信部１１４は、例えば、取得した情報に基づいて、ソフトウェア管理装置１３０に、車両計算機１２０が用いるソフトウェア（プログラム）を更新させる指示を出力する。また、例えば、受信部１１４は、例えば、取得した情報に基づいて、車両計算機１２０に特定の機能を制限する（例えば、当該機能を一時停止させる）処理などを実行させる。

　複数の車両計算機１２０は、それぞれ、車両１００における車載通信ネットワークと接続され、車両１００の制御を行う装置である。具体的には、複数の車両計算機１２０は、それぞれ、それぞれの車両計算機１２０が備える記憶部１２６に記憶されたデータ（プリインストールアプリおよび追加データ）を用いて車両１００の制御を行う。複数の車両計算機１２０は、それぞれ、例えば、プログラムなどのデータを記憶するメモリ、ＴＣＵおよび他のＥＣＵなどとＣＡＮ制御コマンド信号の送受信をするための入出力ポート、および、プログラムを実行するプロセッサなどで実現される。複数の車両計算機１２０は、それぞれ、上記の入出力ポートによってＣＡＮなどの車載通信ネットワークに接続され、車載通信ネットワークを介して通信可能となっている。具体的には、複数の車両計算機１２０としては、それぞれ、ＩＶＩ（Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｎｆｏｔａｉｎｍｅｎｔ）、ＥＣＵ、または、ＲＳＥ（Ｒｅａｒ　Ｓｅａｔ　Ｅｎｔｅｒｔａｉｎｍｅｎｔ）などが例示される。

　複数の車両計算機１２０は、例えば、車両１００が備える機器の制御を実行する。当該機器は、例えば、エンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、エアコン、および、カーナビゲーションなどを含む。また、複数の車両計算機１２０の少なくとも１つは、例えば、車両１００の自律運転に係る車両動作を制御する制御回路である。例えば、複数の車両計算機１２０は、これらの各種機器のそれぞれに対応して設けられている。

　複数の車両計算機１２０は、それぞれ、当該機器を制御するためのコマンドを出力する。当該コマンドは、例えば、ＣＡＮなどの通信プロトコルに準拠したコマンド（上記のＣＡＮ制御コマンド）である。

　図２は、実施の形態に係る車両計算機１２０の構成を示すブロック図である。

　車両計算機１２０は、実行部１２１と、初期化部１２２と、復元部１２３と、機能制限部１２４と、追加データ取得部１２５と、記憶部１２６と、を備える。

　実行部１２１は、初期化部１２２と、復元部１２３と、機能制限部１２４と、追加データ取得部１２５とに各種処理を実行させる処理部である。実行部１２１は、例えば、セキュリティ装置１１０および／またはソフトウェア管理装置１３０から特定の機能を制限する処理またはプログラムの更新などの所定の処理を実行させる指示を取得した場合に、当該指示に基づく処理を各処理部に実行させる。

　初期化部１２２は、記憶部１２６に記憶されたデータを初期化する処理部である。記憶部１２６には、例えば車両１００がユーザに販売される前に予め記憶されているプリインストールプログラムと、後からユーザがインストールする追加データとが、それぞれ異なるデータ領域に記憶されている。例えば、記憶部１２６は、プリインストールプログラム領域と、追加データ領域と、を有する。プリインストールプログラム領域には、プリインストールプログラムが記憶（格納）されており、追加データ領域には、追加データが記憶（格納）される。初期化部１２２は、例えば、追加データ領域に記憶されている追加データを削除することで、記憶部１２６を初期化（言い換えると、記憶部１２６に記憶されているデータを初期化）する。

　プリインストールプログラムは、例えば、運転機能などの基本的な動作を車両１００が実行するためのプログラムである。プリインストールプログラムは、例えば、車両１００の販売時などに予め記憶部１２６に記憶されている。

　追加データは、例えば、ユーザによって車両１００の利用が開始されてから記憶部１２６に記憶されるデータである。追加データは、例えば、ユーザが設定するタイムゾーンのような設定情報、または、ユーザが車両１００の利用を開始してから追加されたポストインストールアプリなどのデータである。

　復元部１２３は、初期化部１２２が初期化を実行した後に、削除された追加データを復元、つまり、記憶部１２６に再度記憶させる処理部である。追加データは、例えば、データサーバ４００にバックアップ情報として記憶される。復元部１２３は、例えば、初期化部１２２が初期化を実行した後に、削除された追加データであるバックアップ情報を取得した場合、取得した追加データを記憶部１２６に記憶させる。

　機能制限部１２４は、車両１００の機能を制限する処理部である。機能制限部１２４は、例えば、セキュリティ装置１１０から特定の機能を制限する指示を取得した場合に、当該指示に基づいて、車両１００の機能の一部を一時停止させる。また、機能制限部１２４は、例えば、セキュリティ装置１１０から特定の機能の制限を解除する指示を取得した場合に、当該指示に基づいて、一時停止させていた車両１００の機能の一部を再度動作させる。

　追加データ取得部１２５は、記憶部１２６に記憶されている追加データを取得し、ソフトウェア管理装置１３０に出力する処理部である。

　なお、追加データ取得部１２５が、記憶部１２６に記憶されている追加データを取得し、ソフトウェア管理装置１３０に出力するタイミング、および、ソフトウェア管理装置１３０が追加データをデータサーバ４００に転送し、データサーバ４００に記憶させるタイミングは、任意に定められてよく、特に限定されない。当該タイミングは、例えば、ユーザによる初期セットアップ時であってもよいし、ユーザが車両１００を利用中の任意にタイミングであってもよい。

　実行部１２１、初期化部１２２、復元部１２３、機能制限部１２４、および、追加データ取得部１２５などの各処理部は、例えば、１以上のプロセッサにより実現される。

　記憶部１２６は、各処理部が車両１００の制御を行う際に用いるプログラムなどのデータを記憶するメモリである。上記の通り、例えば、記憶部１２６は、プリインストールプログラムが記憶されたプリインストールプログラム領域と、追加データが記憶された追加データ領域と、を有する。

　なお、記憶部１２６は、１つのメモリにより実現されてもよいし、複数のメモリにより実現されてもよい。例えば、記憶部１２６が、複数のメモリにより実現される場合には、プリインストールプログラム領域と追加データ領域とが別のメモリに設けられてもよいし、各メモリにプリインストールプログラム領域と追加データ領域とが設けられてもよい。

　記憶部１２６は、例えば、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）またはＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）などにより実現される。

　ソフトウェア管理装置１３０は、複数の車両計算機１２０のそれぞれが用いるソフトウェア（例えば、プリインストールプログラム）の更新を実行する装置である。具体的に例えば、ソフトウェア管理装置１３０は、データサーバ４００と通信可能に接続されており、データサーバ４００から最新のソフトウェアを取得し、取得したソフトウェアに複数の車両計算機１２０が用いるソフトウェアの更新を実行させる。

　ソフトウェア管理装置１３０は、ＯＴＡ指示部１３１と、情報送信部１３２とを備える。

　ＯＴＡ指示部１３１は、複数の車両計算機１２０にプリインストールプログラムを更新させる指示を出力する処理部である。例えば、セキュリティ装置１１０は、異常に対する対処の指示としてプリインストールプログラムの更新指示を取得した場合、ソフトウェア管理装置１３０にプリインストールプログラムの更新指示を出力する。ＯＴＡ指示部１３１は、プリインストールプログラムの更新指示を取得した場合、データサーバ４００から取得したＯＴＡデータである更新プログラムを用いて、複数の車両計算機１２０にプリインストールプログラムを更新させる。

　情報送信部１３２は、複数の車両計算機１２０が備える記憶部１２６に記憶された追加データをデータサーバ４００に出力することで、追加データをデータサーバにバックアップさせる処理部である。

　ソフトウェア管理装置１３０（具体的には、ＯＴＡ指示部１３１および情報送信部１３２）は、例えば、ＴＣＵ、ＥＣＵ、および、これらの機器が実行するプログラムが記憶されたメモリにより実現される。

　監視サーバ２００は、車両１００（具体的には、セキュリティ装置１１０）と通信し、車両１００の状態を監視するためのコンピュータである。セキュリティ装置１１０は、例えば、ＳＯＣなどの監視センターで用いられ、ＳＩＥＭ（Ｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｅｖｅｎｔ　Ｍａｎａｇｅｍｅｎｔ）を実現するサーバである。監視サーバ２００は、セキュリティ装置１１０および管理サーバ３００と通信可能に接続されている。

　例えば、監視サーバ２００は、セキュリティ装置１１０から異常を示す情報を取得した場合に、異常を発生された攻撃（セキュリティ攻撃ともいう）の内容を特定する。監視サーバ２００は、異常を発生した車両計算機１２０を示す情報、異常の内容、および、異常を発生された攻撃の内容を示す情報を攻撃情報として管理サーバ３００に出力する。

　なお、攻撃の内容の特定は、マウスおよびキーボードなどのユーザインターフェースを介して攻撃の内容を示す情報をユーザから取得することで行われてもよいし、異常と攻撃の内容との関係を示すデータベースなどを用いて監視サーバ２００が行ってもよい。

　監視サーバ２００は、例えば、セキュリティ装置１１０および管理サーバ３００と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、および、プログラムを実行するプロセッサなどで実現される。

　管理サーバ３００は、異常が発生した車両１００に当該異常（具体的には、当該異常を発生させる要因となる攻撃）に対する対処を行わせるためのコンピュータである。管理サーバ３００は、車両１００（具体的には、セキュリティ装置１１０）、監視サーバ２００、および、データサーバ４００と通信可能に接続されている。

　なお、管理サーバ３００は、セキュリティ装置の一例である。

　管理サーバ３００は、例えば、セキュリティ装置１１０、監視サーバ２００、および、データサーバ４００と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現される。

　図３は、実施の形態に係る管理サーバ３００の構成を示すブロック図である。

　管理サーバ３００は、取得部３１０と、制御部３２０と、出力部３３０と、記憶部３４０と、を備える。

　取得部３１０は、異常情報を取得する処理部である。

　異常情報は、車両計算機１２０が攻撃されることで発生した異常に関する情報である。異常情報は、例えば、監視サーバ２００から管理サーバ３００に出力される攻撃情報を含む。例えば、取得部３１０は、管理サーバ３００から攻撃情報を異常情報として取得する。

　なお、異常情報には、攻撃情報以外に車両１００または監視サーバ２００などから出力される、異常に関する関連情報が含まれてもよい。関連情報は、例えば、異常が未だ発生し続けているか否かを示す情報、車両１００のユーザから取得された追加データに関する情報、もしくは、車両１００のユーザまたは管理サーバ３００を操作する分析官などから取得された異常に関する情報などである。

　制御部３２０は、車両１００に各種処理を行わせる処理部である。例えば、制御部３２０は、異常に対する所定の対処を実行する指示を示す情報を車両１００へ出力部３３０に出力（送信）させることで、車両１００に異常に対する対処を実行させる。

　例えば、制御部３２０は、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、所定のタイミングより後に記憶部１２６に追加された追加データを削除させる。

　所定のタイミングは、例えば、車両１００のユーザが車両１００の利用を開始するタイミングである。制御部３２０は、例えば、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、記憶部１２６に予め記憶されたプリインストールプログラム以外の、車両１００が利用され始めてから記憶部１２６に追加された追加データを削除させる。

　なお、所定のタイミングは、例えば、異常が発生してから１年以内に記憶部１２６に追加された追加データなどのように任意に定められてよい。

　例えば、制御部３２０は、取得部３１０が異常情報を取得した場合、発生した異常が追加データによるものであるか否かを判定し、異常が追加データによるものであると判定した場合、記憶部１２６に追加された追加データを削除させる。例えば、制御部３２０は、記憶部３４０に記憶された脆弱性データベースに基づいて、発生した異常が追加データによるものであるか否かを判定する。

　脆弱性データベースは、データの種類とデータのセキュリティの脆弱性との関係を示す情報である。例えば、制御部３２０は、脆弱性データベースに基づいて、追加データの脆弱性を判定し、追加データに脆弱性があると判定した場合、追加データを削除させる。

　なお、制御部３２０は、取得部３１０が異常情報を取得した場合、ただちに記憶部１２６に追加された追加データを削除させてもよい。

　また、例えば、制御部３２０は、記憶部１２６に追加された追加データを削除させた後に、追加データを記憶部１２６に再度記憶させてもよい。例えば、取得部３１０は、データサーバ４００からバックアップされている追加データを取得する。制御部３２０は、追加データを記憶部１２６に再度記憶させる。

　なお、例えば、制御部３２０は、記憶部１２６に追加された追加データを削除させた後に、異常が追加データによるものであるか否かを判定し、異常が追加データによるものでないと判定した場合、追加データを記憶部１２６に再度記憶させてもよい。例えば、制御部３２０は、脆弱性データベースに基づいて、追加データの脆弱性を判定する。追加データが複数の場合、例えば、制御部３２０は、異常を発生させていない追加データ、例えば、脆弱性のない追加データを記憶部１２６に再度記憶させる。

　また、例えば、制御部３２０は、異常情報に基づいて、異常を発生させた攻撃を受ける要因となった機能を特定する。次に、制御部３２０は、例えば、特定された機能を無効化させる。具体的には、制御部３２０は、特定された機能を一時的に無効化させる。

　機能制限としては、インストール禁止アプリの指定を追加（例えば、アプリ名をｄｅｎｙｌｉｓｔおよび／もしくは脆弱性データベースに登録）すること、特定の通信ポートを無効化すること、または、特定の通信機能（例えば、Ｗｉ－Ｆｉ（登録商標）および／もしくはＢｌｕｅｔｏｏｔｈ（登録商標）など）を無効化することなどが例示される。

　例えば、制御部３２０は、脆弱性があると判定した追加データが、外部の通信機器から自動的に送信されてきて記憶部１２６に記憶されたものであるのか、ユーザが操作して記憶部１２６に記憶されたものであるのかを異常情報に基づいて判定する。例えば、制御部３２０は、脆弱性があると判定した追加データが、外部の通信機器から自動的に送信されてきて記憶部１２６に記憶されたものであると判定した場合、異常を発生させた攻撃を受ける要因となった機能が車両１００の通信機能であると特定し、車両１００が備える通信ポートの動作を一時的に無効化させる。また、例えば、制御部３２０は、脆弱性があると判定した追加データが、ユーザが操作して記憶部１２６に記憶されたものであると判定した場合、異常を発生させた攻撃を受ける要因となった機能がアプリのインストール機能であると特定し、アプリのインストール機能を一時的に無効化させる。

　これらのように、攻撃の対象となっている可能性が高い追加データを削除することで異常の発生を止める可能性を向上させ、さらに、攻撃を受ける要因となった機能を停止させることで、さらなる異常が発生させる可能性を低減できる。

　また、異常の発生は、プリインストールアプリによるものであったり、プリインストールアプリの改善によって抑制されることもある。そのため、制御部３２０は、例えば、更新されたプリインストールアプリが作成された旨を示す情報などの、攻撃に対する対策が施された旨を示す情報が取得された場合、当該機能を有効化させる。

　なお、攻撃に対する対策が施された旨を示す情報は、マウスおよびキーボードなどのユーザインターフェースを介してユーザから取得されてもよいし、データサーバ４００から取得（受信）されてもよい。例えば、制御部３２０は、攻撃に対する対策が施された旨を示す情報が取得された場合、攻撃に対する対策が施されたプログラムに、所定のタイミングより前に記憶部１２６に記憶されたプリインストールプログラムを更新させ、プリインストールプログラムを更新させた後に、当該機能を有効化させる。

　出力部３３０は、制御部３２０が車両１００に実行させる処理を示す情報などを車両１００に出力する処理部である。

　取得部３１０、制御部３２０、および、出力部３３０などの各処理部は、例えば、１以上のプロセッサにより実現される。

　記憶部３４０は、管理サーバ３００が備える各処理部が実行するプログラム、および、脆弱性データベースなどの情報を記憶する記憶装置である。

　記憶部３４０は、例えば、ＨＤＤまたはＳＳＤなどにより実現される。

　再び図１を参照し、データサーバ４００は、車両１００が備える複数の車両計算機１２０のそれぞれが用いるプログラム（例えば、プリインストールプログラム）を記憶するＯＴＡ（Ｏｖｅｒ－Ｔｈｅ－Ａｉｒ）サーバである。また、データサーバ４００は、複数の車両計算機１２０のそれぞれが用いる追加データをバックアップ情報として記憶する。データサーバ４００は、管理サーバ３００および車両１００（具体的には、ソフトウェア管理装置１３０）と通信可能に接続されている。

　データサーバ４００は、例えば、車両１００および管理サーバ３００と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどによって実現される。

　［処理手順］
　続いて、セキュリティシステム１０および管理サーバ３００の処理手順について説明する。

　＜セキュリティシステム＞
　図４は、実施の形態に係るセキュリティシステム１０における追加データの削除の処理手順を示すシーケンス図である。なお、図４に示す車両計算機１２０は、車両１００が備える複数の車両計算機１２０のうち、セキュリティ装置１１０によって異常が発生されていると特定された車両計算機１２０である。図４には、１台の車両計算機１２０を示しているが、複数であってもよい。また、本実施の形態では、車両計算機１２０が備える記憶部１２６に記憶されている追加データが、データサーバ４００に既に記憶されているとして説明する。

　まず、セキュリティ装置１１０は、車両１００の車載通信ネットワークにおける異常を監視する。セキュリティ装置１１０は、異常を検知した場合（Ｓ１１０）、例えば、車載通信ネットワークに不正ＣＡＮ制御コマンドが流れていることを検知した場合、異常検知ログに基づいて、車両１００が備える複数の車両計算機１２０のうちの、異常が発生した車両計算機１２０を特定する（Ｓ１２０）。

　次に、セキュリティ装置１１０は、異常が発生している旨を示す情報（例えば、異常検知ログ）を監視サーバ２００に出力する（Ｓ１３０）。

　監視サーバ２００は、異常が発生している旨を示す情報を取得した場合、当該異常を発生させた攻撃を検出（具体的には、攻撃の内容を特定）する（Ｓ１４０）。

　次に、監視サーバ２００は、検出した攻撃を示す情報である攻撃情報を管理サーバ３００に出力する（Ｓ１５０）。

　なお、例えば、セキュリティ装置１１０は、異常に関する関連情報を管理サーバ３００に出力してもよい（Ｓ１６０）。管理サーバ３００は、例えば、攻撃情報および関連情報を異常情報として取得する。

　次に、管理サーバ３００は、異常情報に基づいて、セキュリティ装置１１０に実行させる指示およびデータサーバ４００から追加データを要求するか否かなどを示す報知内容を決定する（Ｓ１７０）。

　次に、管理サーバ３００は、決定した報知内容に基づいて、処理を行う。本実施の形態では、管理サーバ３００は、ステップＳ１８０、Ｓ２１０、Ｓ２４０、および、Ｓ２７０を行う。管理サーバ３００は、例えば、車両計算機１２０に追加データを削除させる指示を示す初期化指示をセキュリティ装置１１０に出力する（Ｓ１８０）。

　セキュリティ装置１１０は、初期化指示を管理サーバ３００から取得した場合、初期化指示を車両計算機１２０に出力する（Ｓ１９０）。セキュリティ装置１１０は、管理サーバ３００から取得した初期化指示を車両計算機１２０にそのまま転送してもよいし、フォーマットの変更などの処理を行って転送してもよい。

　車両計算機１２０は、初期化指示をセキュリティ装置１１０から取得した場合、追加データ領域を初期化する、つまり、記憶部１２６に記憶された追加データを削除する（Ｓ２００）。

　また、管理サーバ３００は、車両計算機１２０に削除させた追加データを送信させる指示を示す追加データ送信指示をデータサーバ４００に出力する（Ｓ２１０）。

　データサーバ４００は、追加データ送信指示を取得した場合、追加データを管理サーバ３００に出力する（Ｓ２２０）。

　管理サーバ３００は、例えば脆弱性データベースに基づいて、追加データを車両計算機１２０に復元、つまり、追加データを記憶部１２６に再度記憶させるか否かを判定する（Ｓ２３０）。

　管理サーバ３００は、例えば、追加データを車両計算機１２０に復元させると判定した場合、追加データをセキュリティ装置１１０に出力する（Ｓ２４０）。

　なお、管理サーバ３００は、例えば、追加データを車両計算機１２０に復元させないと判定した場合、追加データをセキュリティ装置１１０に出力せずに削除してもよい。これにより、管理サーバ３００によって復元させると判定した追加データのみが車両計算機１２０に転送されて復元される。

　ステップＳ２４０の次に、セキュリティ装置１１０は、追加データを管理サーバ３００から取得した場合、追加データを車両計算機１２０に出力する（Ｓ２５０）。

　車両計算機１２０は、追加データをセキュリティ装置１１０から取得した場合、追加データを復元、つまり、追加データを記憶部１２６に記憶させる（Ｓ２６０）。

　また、例えば、管理サーバ３００は、車両計算機１２０に所定の機能を制限する指示を示す機能制限指示をセキュリティ装置１１０に出力する（Ｓ２７０）。

　セキュリティ装置１１０は、機能制限指示を管理サーバ３００から取得した場合、機能制限指示を車両計算機１２０に出力する（Ｓ２８０）。

　車両計算機１２０は、機能制限指示をセキュリティ装置１１０から取得した場合、所定の機能を制限（無効化）させる（Ｓ２９０）。

　なお、ステップＳ２００、Ｓ２６０、および、Ｓ２９０などの処理は、異常が発生されたと特定された（異常が発生された可能性があると特定された）車両計算機１２０のみが実行してもよいし、全ての車両計算機１２０が実行してもよい。

　図５は、実施の形態に係るセキュリティシステム１０における根本対策の処理手順を示すシーケンス図である。図５は、例えば、図４の処理が行われた後に実行される処理である。

　例えば、図４に示すステップＳ１１０で検知された異常に対する対策（つまり、異常を発生させた攻撃に対する対策）が施された対策済み更新ソフトウェアが作成されるなどのように、当該異常を発生させた攻撃に対する対応の準備が開始されたとする（Ｓ３１０）。ここでは、例えば、異常を発生させた攻撃に対する対策が施された対策済み更新ソフトウェアが作成されたとする。管理サーバ３００は、攻撃に対する対策が施された旨を示す情報、言い換えると、当該異常に対する対応の準備が完了した旨を示す情報（恒久対応準備完了通知）をセキュリティ装置１１０に送信する。本実施の形態では、管理サーバ３００は、当該異常に対する対応のためにプログラム（例えば、プリインストールプログラム）を更新させる指示を示すＯＴＡ指示をセキュリティ装置１１０に出力する（Ｓ３２０）。

　次に、セキュリティ装置１１０は、ＯＴＡ指示を管理サーバ３００から取得した場合、ＯＴＡ指示をソフトウェア管理装置１３０に出力する（Ｓ３３０）。

　次に、ソフトウェア管理装置１３０は、ＯＴＡ指示をセキュリティ装置１１０から取得した場合、プログラムを更新させるための情報であるＯＴＡイメージを要求する指示をデータサーバ４００に出力する（Ｓ３４０）。

　次に、データサーバ４００は、ＯＴＡイメージを要求する指示をソフトウェア管理装置１３０から取得した場合、ＯＴＡイメージをソフトウェア管理装置１３０に出力する（Ｓ３５０）。

　次に、ソフトウェア管理装置１３０は、ＯＴＡイメージをデータサーバ４００から取得した場合、ＯＴＡイメージを車両計算機１２０に出力する（Ｓ３６０）。

　次に、車両計算機１２０は、ＯＴＡイメージをソフトウェア管理装置１３０から取得した場合、ＯＴＡイメージを用いてプログラムの更新を実行する（Ｓ３７０）。

　次に、車両計算機１２０は、プログラムの更新が完了した場合、完了した旨を示す完了通知をソフトウェア管理装置１３０に出力する（Ｓ３８０）。

　次に、ソフトウェア管理装置１３０は、完了通知を車両計算機１２０から取得した場合、完了通知をセキュリティ装置１１０に出力する（Ｓ３９０）。

　次に、セキュリティ装置１１０は、完了通知をソフトウェア管理装置１３０から取得した場合、完了通知を管理サーバ３００に出力する（Ｓ４００）。

　次に、管理サーバ３００は、完了通知をセキュリティ装置１１０から取得した場合、車両１００の機能の制限を解除させる、つまり、無効化させた車両１００の機能を有効化させる指示を示す機能制限解除指示をセキュリティ装置１１０に出力する（Ｓ４１０）。

　次に、セキュリティ装置１１０は、機能制限解除指示を管理サーバ３００から取得した場合、機能制限解除指示をソフトウェア管理装置１３０に出力する（Ｓ４２０）。

　次に、ソフトウェア管理装置１３０は、機能制限解除指示をセキュリティ装置１１０から取得した場合、機能制限解除指示を車両計算機１２０に出力する（Ｓ４３０）。

　次に、車両計算機１２０は、機能制限解除指示をソフトウェア管理装置１３０から取得した場合、車両１００の機能の制限を解除させる、つまり、無効化させた車両１００の機能を有効化させる（Ｓ４４０）。

　＜管理サーバ＞
　図６は、実施の形態に係る管理サーバ３００の追加データの削除の処理手順を示すフローチャートである。

　まず、取得部３１０は、監視サーバ２００などから異常情報を取得する（Ｓ５１０）。

　次に、制御部３２０は、取得部３１０が取得した異常情報に基づいて、車両１００で発生した異常を判定する（Ｓ５２０）。例えば、制御部３２０は、異常情報に基づいて異常の内容および攻撃の内容を特定する。

　次に、制御部３２０は、車両計算機１２０が備える記憶部１２６を初期化させる必要があるか否かを判定する（Ｓ５３０）。例えば、制御部３２０は、車両１００が誤動作するような重大な異常であるような場合には、初期化させる必要があると判定する。

　次に、制御部３２０は、初期化させる必要があると判定した場合（Ｓ５３０でＹｅｓ、）セキュリティ装置１１０を介して車両計算機１２０に初期化させる指示を示す情報を出力部３３０に出力させることで、車両計算機１２０に記憶部１２６を初期化させる（Ｓ５４０）。

　次に、制御部３２０は、追加データの検査を行う（Ｓ５５０）。例えば、取得部３１０は、データサーバ４００からバックアップ情報として記憶されている複数の追加データを取得し、制御部３２０は、例えば、脆弱性データベースと複数の追加データとの照合を行う。これにより、例えば、制御部３２０は、複数の追加データに、脆弱性に関わる、つまり、脆弱性がある追加データがあるか否かを判定する（Ｓ５６０）。

　制御部３２０は、脆弱性に関わる追加データがあると判定した場合（Ｓ５６０でＹｅｓ）、脆弱性に関わる追加データを削除する（Ｓ５７０）。

　一方、制御部３２０は、脆弱性に関わる追加データがないと判定した（Ｓ５６０でＮｏ）、または、ステップＳ５７０で脆弱性に関わる追加データを削除した後で、セキュリティ装置１１０を介して車両計算機１２０に脆弱性に関わらないデータを出力部３３０に出力させることで、記憶部１２６に当該脆弱性に関わらない追加データを記憶させる。

　なお、複数の追加データが全て脆弱性に関わる場合、複数の追加データを全て削除してステップＳ５８０が実行されなくてもよい。

　次に、制御部３２０は、車両１００の機能制限が必要であるか否かを判定する（Ｓ５９０）。例えば、制御部３２０は、脆弱性に関わると判定した追加データが、どのような経路を経て記憶部１２６に記憶されたかを判定する。

　次に、制御部３２０は、車両１００の機能制限が必要であると判定した場合（Ｓ５９０でＹｅｓ）、セキュリティ装置１１０を介して車両計算機１２０に、機能制限を指示する情報を出力部３３０に出力させることで、車両計算機１２０に所定の機能を無効化させる（Ｓ６００）。例えば、制御部３２０は、脆弱性があると判定した追加データが、外部の通信機器から自動的に送信されてきて記憶部１２６に記憶されたものであると判定した場合、異常を発生させた攻撃を受ける要因となった機能が車両１００の通信機能であると特定し、車両１００が備える通信ポートの動作を一時的に無効化させる。

　一方、制御部３２０は、例えば、異常の車両１００の動作への影響が小さい場合、または、脆弱性に関わると判定した追加データが、どのような経路を経て記憶部１２６に記憶されたか分からないような場合には、車両１００の機能制限が必要でないと判定し（Ｓ５９０でＹｅｓ）、車両計算機１２０に機能制限を指示せずに処理を終了する。

　なお、制御部３２０は、例えば、ステップＳ５２０で特定した攻撃が一過性のものであり直ぐに止んで車両１００の動作にほとんど影響がないようであれば、初期化させる必要がないと判定し（Ｓ５３０でＮｏ）、初期化以外の他の処理を実行する（Ｓ６１０）。例えば、制御部３２０は、車両１００が備える図示しないディスプレイなどに、攻撃があった旨を示す情報を表示させてユーザに通知してもよい。また、ステップＳ６１０は実行されずに処理が終了されてもよい。

　図７は、実施の形態に係る管理サーバ３００の根本対策の処理手順を示すフローチャートである。図７は、例えば、図６に示すフローチャートが実行された後に実行される処理である。

　まず、取得部３１０は、例えば、図４に示すステップＳ１１０で検知された異常に対する対策が施された対策済み更新ソフトウェアが作成されるなどのように、当該異常を発生させた攻撃に対する対策が施された旨を示す情報をデータサーバ４００から取得したとする。制御部３２０は、取得部３１０が取得した当該情報に基づいてＯＴＡが必要、つまり、車両計算機１２０が用いるプログラム（具体的には、プリインストールプログラム）を更新させる必要があるか否かを判定する（Ｓ７１０）。当該情報には、例えば、プログラムの更新の必要可否を示す情報が含まれる。

　制御部３２０は、ＯＴＡが必要であると判定した場合（Ｓ７１０でＹｅｓ）、セキュリティ装置１１０を介して車両計算機１２０にＯＴＡ指示を出力部３３０に出力させることで、車両計算機１２０にプログラムを更新させる（Ｓ７２０）。

　制御部３２０は、ＯＴＡが必要ではないと判定した場合（Ｓ７１０でＮｏ）、または、ステップＳ７２０の次に、車両１００に機能制限を解除させる必要があるか否か、つまり、無効化させた車両１００の機能を有効化させる必要があるか否かを判定する（Ｓ７３０）。

　制御部３２０は、例えば車両１００に機能制限をさせており、車両１００に機能制限を解除させる必要があると判定した場合（Ｓ７３０でＹｅｓ）、セキュリティ装置１１０を介して車両計算機１２０に機能制限を解除させる指示を出力部３３０に出力させる（Ｓ７４０）。

　一方、制御部３２０は、例えば車両１００に機能制限をさせておらず、車両１００に機能制限を解除させる必要がないと判定した場合（Ｓ７３０でＮｏ）、ステップＳ７４０を実行せず処理を終了する。

　図８は、実施の形態に係るセキュリティ装置の処理手順を示すフローチャートである。本実施の形態では、図８は、管理サーバ３００の処理手順を示すフローチャートである。

　まず、取得部３１０は、車両１００における車載通信ネットワークと接続され、車両１００の制御を行う車両計算機１２０が攻撃されることで発生した異常に関する異常情報を取得する。

　次に、制御部３２０は、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、所定のタイミングより後に記憶部１２６に追加された追加データを削除させる（Ｓ２０）。例えば、制御部３２０は、異常情報が取得部３１０に取得された場合に、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、記憶部１２６に予め記憶されたプリインストールプログラム以外の、車両１００が利用され始めてから記憶部１２６に追加された追加データを削除させる。

　［効果など］
　以下、本明細書の開示内容から得られる発明を例示し、例示される発明から得られる効果などについて説明する。

　技術１は、車両１００における車載通信ネットワークと接続され、車両１００の制御を行う車両計算機１２０が攻撃されることで発生した異常に関する異常情報を取得し（Ｓ１０）、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、所定のタイミングより後に記憶部１２６に追加された追加データを削除させる（Ｓ２０）、セキュリティ方法である。

　所定のタイミングは例えば、車両１００のユーザが車両１００の利用を開始するタイミングである。ステップＳ２０では、例えば、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、記憶部１２６に予め記憶されたプリインストールプログラム以外の、車両１００が利用され始めてから記憶部１２６に追加された追加データを削除させる。

　ＥＣＵなどの車両計算機１２０は、ＯＴＡではなく、動的に機能の追加が可能な、つまり、例えばユーザの所望のタイミングで追加データを利用可能なタイプ（例えば、パーソナルコンピュータのようなアプリインストール可能なタイプ）がある。このような車両計算機１２０が備える記憶部１２６は、例えば車両１００がユーザに販売される前に予め記憶されているプリインストールプログラムと、後からユーザがインストールする追加データとが、それぞれ異なるデータ領域に記憶されるように設計されている場合がある。また、例えば車両１００が自動運転車両である場合などにおいては、運転機能などの基本的な動作を車両１００が実行するためのプログラムは、プリインストールプログラムとして車両１００の販売時などに予め記憶部１２６に記憶されている。一方、ユーザが設定するタイムゾーンのような設定情報などの追加データは、ユーザによって利用が開始されてから記憶部１２６に記憶される。ここで、多くの場合、追加データに脆弱性が含まれているために攻撃の対象となったり、追加データに不正なコマンドが紛れ込んでいたりする。そこで、技術１に係るセキュリティ方法では、例えば車両１００に異常が発生した場合には、記憶部１２６における追加データを削除させる。これにより、運転機能などの基本的な動作を車両１００が実行するためのプリインストールプログラムを残しつつ、異常の原因となっている可能性が高い追加データが削除される。そのため、運転機能などの基本的な動作を車両１００に実行させ続けることができ、かつ、異常の発生を高い確率で止めることができる。したがって、実施の形態に係るセキュリティ方法によれば、攻撃に対して根本対策が施されたプログラムにプリインストールプログラムを更新しなくても、基本的な機能を停止させることなく車両１００が攻撃を受けた際に当該攻撃に素早く対処できる可能性を向上できる。言い換えると、ＳＯＣおよび／またはＳＩＥＭの暫定対処で、再攻撃および／または再侵入の危険性が低減され得る。

　また、これによれば、例えば記憶部１２６に記憶されたプリインストールプログラムの即時更新が不要であるため、プリインストールプログラムの更新用のプログラムを予め準備しておくことが不要になる。また、問題が発生してから車両１００を利用する際にプリインストールプログラムの更新のための時間も不要となる。このように、追加データの削除であれば、ユーザが車両１００を利用できない期間を短縮できる。

　技術２は、異常情報を取得した場合、異常が追加データによるものであるか否かを判定し、異常が追加データによるものであると判定した場合、記憶部１２６に追加された追加データを削除させる、技術１に記載のセキュリティ方法である。

　これによれば、追加データを不要に削除することを抑制できる。

　技術３は、記憶部１２６に追加された追加データを削除させた後に、異常が追加データによるものであるか否かを判定し、異常が追加データによるものでないと判定した場合、追加データを記憶部１２６に再度記憶させる、技術１または２に記載のセキュリティ方法である。

　これによれば、異常の発生の要因が仮に追加データによるものであった場合に、要因の判定に時間を要することなく素早く対処できる。

　技術４は、異常情報に基づいて、異常を発生させた攻撃を受ける要因となった機能を特定し、特定された機能を無効化させる、技術１～３のいずれかに記載のセキュリティ方法である。

　これによれば、例えば追加データにより車両１００の機能の一部が既に異常動作しているような場合に、当該機能を停止させることができるため、例えば車両１００の異常による危険性を低減できる。

　技術５は、攻撃に対する対策が施された旨を示す情報が取得された場合、当該機能を有効化させる、技術４に記載のセキュリティ方法である。

　これによれば、当該機能が不要に無効化され続けていることを抑制できる。

　技術６は、攻撃に対する対策が施された旨を示す情報が取得された場合、攻撃に対する対策が施されたプログラムに、所定のタイミングより前に記憶部１２６に記憶されたプリインストールプログラムを更新させ、プリインストールプログラムを更新させた後に、当該機能を有効化させる、技術５に記載のセキュリティ方法である。

　これによれば、車両１００を攻撃に対して確実に対処できるようにすることができる。

　技術７は、車両１００における車載通信ネットワークと接続され、車両１００の制御を行う車両計算機１２０が攻撃されることで発生した異常に関する異常情報を取得する取得部３１０と、異常情報に基づいて、車両計算機１２０が有する記憶部１２６に記憶されたデータのうち、所定のタイミングより後に記憶部１２６に追加された追加データを削除させる制御部３２０と、を備える、セキュリティ装置である。

　管理サーバ３００は、セキュリティ装置の一例である。

　これによれば、実施の形態に係るセキュリティ方法と同様の効果を奏する。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。

　（その他の実施の形態）
　以上、一つまたは複数の態様に係るセキュリティ装置などについて、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記実施の形態に施したものも、本開示の範囲内に含まれてもよい。

　例えば、監視サーバ２００、管理サーバ３００、および、データサーバ４００は、同じ建屋に配置されていてもよいし、異なる建屋に配置されていてもよい。監視サーバ２００、管理サーバ３００、および、データサーバ４００の機能は、例えば、１以上のコンピュータによって実現されればよく、これらの機能は１以上のコンピュータのうちの任意のコンピュータによって実行されてよい。

　また、例えば、監視サーバ２００および管理サーバ３００が実行する機能を、車両１００が有してもよい。例えば、車両１００が、異常情報を取得した場合に、つまり、異常が検知された場合に、記憶部１２６に記憶されたプリインストールプログラム以外の追加データを削除させてもよい。

　また、例えば、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。

　また、例えば、上記実施の形態において、処理部の各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。

　なお、以下のような場合も本開示に含まれる。

　（１）上記の少なくとも１つの装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも１つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。当該ＲＡＭには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　（３）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、その装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）－ＲＯＭ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送などを経由して伝送するものとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワークなどを経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　本開示は、車載通信ネットワークにおけるサイバー攻撃を監視するセキュリティ装置などに適用可能である。

　１０　セキュリティシステム
　１００　車両
　１１０　セキュリティ装置
　１１１　監視部
　１１２　特定部
　１１３　報知部
　１１４　受信部
　１２０　車両計算機
　１２１　実行部
　１２２　初期化部
　１２３　復元部
　１２４　機能制限部
　１２５　追加データ取得部
　１２６、３４０　記憶部
　１３０　ソフトウェア管理装置
　１３１　ＯＴＡ指示部
　１３２　情報送信部
　２００　監視サーバ
　３００　管理サーバ
　３１０　取得部
　３２０　制御部
　３３０　出力部
　４００　データサーバ

Claims

　車両における車載通信ネットワークと接続され、前記車両の制御を行う車両計算機が攻撃されることで発生した異常に関する異常情報を取得し、
　前記異常情報に基づいて、前記車両計算機が有する記憶部に記憶されたデータのうち、所定のタイミングより後に前記記憶部に追加された追加データを削除させる、
　セキュリティ方法。
　前記異常情報を取得した場合、前記異常が前記追加データによるものであるか否かを判定し、前記異常が前記追加データによるものであると判定した場合、前記記憶部に追加された前記追加データを削除させる、
　請求項１に記載のセキュリティ方法。
　前記記憶部に追加された前記追加データを削除させた後に、前記異常が前記追加データによるものであるか否かを判定し、前記異常が前記追加データによるものでないと判定した場合、前記追加データを前記記憶部に再度記憶させる、
　請求項１に記載のセキュリティ方法。
　前記異常情報に基づいて、前記異常を発生させた攻撃を受ける要因となった機能を特定し、
　特定された前記機能を無効化させる、
　請求項１～３のいずれか１項に記載のセキュリティ方法。
　前記攻撃に対する対策が施された旨を示す情報が取得された場合、前記機能を有効化させる、
　請求項４に記載のセキュリティ方法。
　前記攻撃に対する対策が施された旨を示す情報が取得された場合、前記攻撃に対する対策が施されたプログラムに、前記所定のタイミングより前に前記記憶部に記憶されたプリインストールプログラムを更新させ、前記プリインストールプログラムを更新させた後に、前記機能を有効化させる、
　請求項５に記載のセキュリティ方法。
　車両における車載通信ネットワークと接続され、前記車両の制御を行う車両計算機が攻撃されることで発生した異常に関する異常情報を取得する取得部と、
　前記異常情報に基づいて、前記車両計算機が有する記憶部に記憶されたデータのうち、所定のタイミングより後に前記記憶部に追加された追加データを削除させる制御部と、を備える、
　セキュリティ装置。