[go: up one dir, main page]

JP7611445B1 - 監視装置、監視システム及び監視方法 - Google Patents

監視装置、監視システム及び監視方法 Download PDF

Info

Publication number
JP7611445B1
JP7611445B1 JP2024071665A JP2024071665A JP7611445B1 JP 7611445 B1 JP7611445 B1 JP 7611445B1 JP 2024071665 A JP2024071665 A JP 2024071665A JP 2024071665 A JP2024071665 A JP 2024071665A JP 7611445 B1 JP7611445 B1 JP 7611445B1
Authority
JP
Japan
Prior art keywords
area
communication
monitoring
monitoring unit
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2024071665A
Other languages
English (en)
Other versions
JP2025111355A (ja
Inventor
亮 平野
吉治 今本
清治 坂木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Automotive Systems Co Ltd
Original Assignee
Panasonic Automotive Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Automotive Systems Co Ltd filed Critical Panasonic Automotive Systems Co Ltd
Priority to US19/000,148 priority Critical patent/US20250233878A1/en
Priority to CN202411942053.5A priority patent/CN120342648A/zh
Priority to DE102025100124.3A priority patent/DE102025100124A1/de
Application granted granted Critical
Publication of JP7611445B1 publication Critical patent/JP7611445B1/ja
Publication of JP2025111355A publication Critical patent/JP2025111355A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Figure 0007611445000001
【課題】仮想化技術又はコンテナ技術を用いてソフトウェア領域を分離した上で、領域間の通信を監視することができる監視装置を提供する。
【解決手段】統合ECU100は、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備える。3以上のソフトウェア領域は、第1の領域110、第2の領域120及び第3の領域130を含む。第1の領域110は、第2の領域120及び第3の領域130の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低い。統合ECU100は、さらに、第2の領域120に属する通信監視部121であって、第1の領域110と第3の領域130との間の通信を監視する通信監視部121を備える。
【選択図】図3

Description

本開示は、監視装置、監視システム及び監視方法に関する。
近年、自動運転等の車両の先進機能を利用者へ提供するため、車両に搭載される車載システムが複雑化している。車載システムの複雑化に伴って増大する開発期間及び開発コストの課題を解消するため、従来複数のECU(Electronic Control Unit)にそれぞれ分かれて搭載されていた複数の機能を1つのECUへ統合する動きがある。ECUの統合においては、ソフトウェア領域を分離するための仮想化技術又はコンテナ技術を用いて、車両に搭載される外部接続機能及び車両制御機能を、仮想マシン又はコンテナとして実装してソフトウェア領域を分離することが考えられる。しかしながら、車両の機能は、仮想マシン又はコンテナを越えて連携することが必要なことが多く、仮想マシン又はコンテナ間の通信が必要であるため、ソフトウェア領域を完全に分離することはできない。
仮に、仮想マシン又はコンテナ間の通信が可能となるように構成した場合、仮想マシン又はコンテナ間の通信が適切に管理されていないと、外部接続機能が搭載される仮想マシン又はコンテナが改ざんされた際に、仮想マシン又はコンテナ間の通信が悪用されることにより、車両制御機能が搭載される仮想マシン又はコンテナに被害が及ぶ可能性がある。
具体的には、例えば車載システムにおいて、第三者のアプリケーションを自由にインストール可能なIVI(In-Vehicle Infortainment)システムと、車両の走る、止まる、曲がる等の制御を指示することで自動運転を支援するADAS(Advanced Driver Assistance System)システムとを、1つのECUに統合する場合、IVIシステムによりインストールされた第三者の悪意のあるアプリケーションによって、ADASシステムに関連するメモリ領域が改ざんされると、車両の搭乗者の安全を脅かす重大な問題となる。
ところで、セキュリティ技術に関連して、ホスト内のアプリケーション間の通信を監視する技術が知られている(例えば、特許文献1参照)。
特許第5864039号公報
しかしながら、特許文献1に開示された技術では、ソフトウェア領域を分離することを前提としていないため、上述した仮想マシン又はコンテナ間の通信が悪用されるという問題を解決することは困難である。
そこで、本開示は、仮想化技術又はコンテナ技術を用いてソフトウェア領域を分離した上で、領域間の通信を監視することができる監視装置、監視システム及び監視方法を提供する。
本開示の一態様に係る監視装置は、移動体に搭載される監視装置であって、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備え、前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、前記監視装置は、さらに、前記第2の領域に属する通信監視部であって、前記第1の領域と前記第3の領域との間の通信を監視する通信監視部を備える。
本開示の監視装置等によれば、仮想化技術又はコンテナ技術を用いてソフトウェア領域を分離した上で、領域間の通信を監視することができる。
図1は、実施の形態に係る監視システムの概要を示す図である。 図2は、実施の形態に係る車両システムの構成を示すブロック図である。 図3は、実施の形態に係る統合ECUの構成の一例を示すブロック図である。 図4は、実施の形態に係るソフトウェア領域の一例を示す図である。 図5は、実施の形態に係る統合ECUの通信の一例を示す図である。 図6は、実施の形態に係る通信監視部による通信監視方法の一例を示す図である。 図7は、実施の形態に係るシステム監視部によるシステム監視方法の一例を示す図である。 図8は、実施の形態に係る異常対応部による異常対応方法の一例を示す図である。 図9は、実施の形態に係る通信監視部による通信監視処理のシーケンスの一例を示すシーケンス図である。 図10は、実施の形態に係るシステム監視部によるシステム監視処理のシーケンスの一例を示すシーケンス図である。 図11は、実施の形態に係る通信監視部による通信監視処理のフローの一例を示すフローチャートである。 図12は、実施の形態に係るシステム監視部によるシステム監視処理のフローの一例を示すフローチャートである。 図13は、実施の形態に係る異常対応部による異常対応処理のフローの一例を示すフローチャートである。 図14は、実施の形態に係る監視サーバの異常表示機能の一例を示す図である。
(技術1)
移動体に搭載される監視装置であって、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備え、前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、前記監視装置は、さらに、前記第2の領域に属する通信監視部であって、前記第1の領域と前記第3の領域との間の通信を監視する通信監視部を備える、監視装置。
これにより、仮想化技術又はコンテナ技術を用いて3以上のソフトウェア領域に分離した上で、領域間の通信を監視することができる。その結果、信頼度の比較的低い第1の領域が攻撃者により改ざんされた場合であっても、信頼度の比較的高い第2の領域が改ざんされない限り、通信監視部による通信の監視をバイパスすることはできないため、セキュリティを向上することができる。
(技術2)
前記第1の領域は、外部ネットワークを介して前記移動体の外部と通信可能に接続する外部接続機能を含み、前記第3の領域は、(i)前記移動体の内部に構築された内部ネットワークと通信可能に接続する内部接続機能、(ii)前記移動体を制御する移動体制御機能、(iii)前記移動体に関する移動体情報を通知する移動体情報通知機能、(iv)ソフトウェア更新機能、及び、(v)セキュリティ機能のうち少なくとも1つである安全機能を含み、前記第2の領域は、前記外部接続機能及び前記安全機能を含まない、技術1に記載の監視装置。
これにより、第1の領域は外部ネットワークと接続されるため信頼度が比較的低く、第2の領域及び第3の領域は外部ネットワークと接続されないため信頼度が比較的高い。そのため、第2の領域が改ざんされない限り、攻撃者が第1の領域から第3の領域に侵入して第3の領域の安全機能を悪用することはできないため、セキュリティを向上することができる。
(技術3)
前記監視装置は、前記1以上の仮想マシン又は前記1以上のコンテナにより分離された4以上のソフトウェア領域を備え、前記4以上のソフトウェア領域は、前記第1の領域、前記第2の領域及び前記第3の領域をそれぞれ1以上含む、技術1又は2に記載の監視装置。
これにより、ソフトウェア領域をより細かく分離することにより、効率的なソフトウェアの開発が可能になるとともに、リスクの高さが異なる複数の機能をそれぞれ複数の領域に分離できるため、よりセキュリティを向上することができる。
(技術4)
前記1以上のコンテナの各々は、名前空間の分離、システムコールの制限、消費計算リソースの制限、及び、強制アクセス制御のうち少なくとも1つにより分離された1以上のプロセス又はプロセスの群である、技術1~3のいずれか1つに記載の監視装置。
これにより、プロセス単位で最小権限にてソフトウェア領域を分離することができるため、よりセキュリティを向上することができる。
(技術5)
前記名前空間の分離は、PID名前空間、ネットワーク名前空間、マウント名前空間、UTS名前空間、UID/GID名前空間、及び、IPC名前空間のうち少なくとも1つを分離したものであり、前記1以上のコンテナは、前記マウント名前空間を分離しない場合は、強制アクセス制御又は任意アクセス制御によってファイルアクセスを制限する、技術4に記載の監視装置。
これにより、適切な名前空間を分離して、プロセス単位で最小権限にてソフトウェア領域を分離することができるため、よりセキュリティを向上することができる。
(技術6)
前記通信監視部は、(i)前記第1の領域、前記第2の領域及び前記第3の領域のうち同一の領域内の通信は監視せず、且つ、(ii)前記第1の領域から前記第3の領域への通信を監視し、且つ、(iii)前記第3の領域から前記第1の領域への通信を監視しない、技術1~5のいずれか1つに記載の監視装置。
これにより、リスクが比較的高い第1の領域から第3の領域への通信のみを監視することにより、全ての通信を監視する場合と比較して、通信監視部による通信監視処理の負荷を軽減することができる。
(技術7)
前記通信監視部は、仮想ネットワーク通信又はソケット通信に対して、送信元の領域毎又は宛先の領域毎に通信の許可の有無を示す許可リストを参照することにより、前記許可リストで許可されていない通信を拒否する、技術1~6のいずれか1つに記載の監視装置。
これにより、送信元の領域毎又は宛先の領域毎に通信の許可の有無を判定することにより、通信の一つ一つを監視する場合と比較して、通信監視部による通信監視処理の負荷を軽減することができる。
(技術8)
前記通信監視部は、送信元毎又は送信元の領域毎に、(i)所定の期間又は所定の移動体状態における仮想ネットワーク通信の通信量、通信回数若しくは割り込み回数、又は、(ii)前記所定の期間におけるソケット通信の通信量若しくは通信回数を監視し、監視対象の値が所定の閾値を超えた場合に、前記第1の領域と前記第3の領域との間の通信の異常を検出する、技術1~7のいずれか1つに記載の監視装置。
これにより、例えば、不正に膨大なデータが送信された場合や、車両状態に相応しくないデータが不正に送信された場合等に、通信の異常を検出することができる。
(技術9)
前記通信監視部は、送信元毎の通信回数又は送信元の領域毎の通信回数を計数した通信回数カウンタ値をメモリに記憶し、前記第1の領域と前記第3の領域との間における通信に含まれる通信回数カウンタ値と、前記メモリに記憶している通信回数カウンタ値に所定の値を加えた値とを比較して、両者が一致しない場合に、前記第1の領域と前記第3の領域との間の通信の異常を検出する、技術1~8のいずれか1つに記載の監視装置。
これにより、通信回数カウンタ値を監視することで、例えば不正に複製された通信や、なりすまし通信等を検出することができる。
(技術10)
前記通信監視部は、前記第1の領域と前記第3の領域との間の通信に対して通信監視処理を実行した結果、当該通信を許可した場合、当該通信に対して通信監視処理を実行済みであることを示す識別子又は署名を付与する、技術1~9のいずれか1つに記載の監視装置。
これにより、識別子又は署名の有無に基づいて、通信監視部による通信監視処理がバイパスされたか否かを容易に検証することができる。
(技術11)
前記監視装置は、さらに、前記1以上の仮想マシン又は前記1以上のコンテナを実現する分離機能の稼働状況若しくは設定、又は、前記分離機能による拒否イベントをランタイムにて監視するシステム監視部を備える、技術1~10のいずれか1つに記載の監視装置。
これにより、分離機能が無効化されている場合、正規の通信以外の手段にて車両制御機能が悪用される可能性がある。そのため、分離機能の稼働状況又は設定等を監視することにより、分離機能が無効化されていないことを容易に確認することができる。
(技術12)
前記監視装置は、さらに、(i)前記1以上の仮想マシン若しくは前記1以上のコンテナを実現する分離機能のソフトウェアの完全性、設定若しくは消費計算リソース、又は、(ii)前記1以上の仮想マシン若しくは前記1以上のコンテナに含まれるソフトウェアの完全性、設定若しくは消費計算リソースのうち、少なくとも1つをランタイムにて監視するシステム監視部を備える、技術1~10のいずれか1つに記載の監視装置。
これにより、仮想マシン若しくはコンテナを実現する分離機能のソフトウェア、又は、仮想マシン若しくはコンテナに含まれるソフトウェアが改ざんされたことや、不正な操作が行われていることを容易に監視することができる。
(技術13)
前記監視装置は、さらに、前記通信監視部により検出された異常に対して対応する異常対応部を備え、前記異常対応部は、異常が検出された領域の番号、異常の順番、及び、異常の回数のうち少なくとも1つに基づいて対応手段を選択し、前記対応手段は、システムの再起動、前記1以上の仮想マシンの再起動又は停止、前記1以上のコンテナの再起動又は停止、部分的な通信拒否、部分的な機能停止、ログの記録、外部サーバへの通知、及び、前記移動体の搭乗者への通知のうち少なくとも1つを含む、技術1~10のいずれか1つに記載の監視装置。
これにより、例えば、検出された異常をログとして記録したり、通知を受けた外部サーバ又は移動体の搭乗者に対して攻撃を受けていることを認識させたりすることができる。
(技術14)
前記監視装置は、さらに、前記システム監視部により検出された異常に対して対応する異常対応部を有し、前記異常対応部は、異常が検出された領域の番号、異常の順番、及び、異常の回数のうち少なくとも1つに基づいて対応手段を選択し、前記対応手段は、システムの再起動、前記1以上の仮想マシンの再起動又は停止、前記1以上のコンテナの再起動又は停止、部分的な通信拒否、部分的な機能停止、ログの記録、外部サーバへの通知、及び、前記移動体の搭乗者への通知のうち少なくとも1つを含む、技術11又は12に記載の監視装置。
これにより、例えば、検出された異常をログとして記録したり、通知を受けた外部サーバ又は移動体の搭乗者に対して攻撃を受けていることを認識させたりすることができる。
(技術15)
監視サーバと、移動体に搭載され、前記監視サーバと外部ネットワークを介して通信可能に接続される監視装置と、を備え、前記監視装置は、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を有し、前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、前記監視装置は、さらに、前記第2の領域に属する通信監視部であって、前記第1の領域と前記第3の領域との間の通信を監視する通信監視部と、前記通信監視部により通信の異常が検出された場合に、前記異常を前記監視サーバに通知する外部接続機能と、を有し、前記監視サーバは、前記監視装置から通知された前記異常の内容を、前記異常が発生した領域と対応付けて表示する異常表示機能を有する、監視システム。
これにより、仮想化技術又はコンテナ技術を用いて3以上のソフトウェア領域に分離した上で、領域間の通信を監視することができる。その結果、信頼度の比較的低い第1の領域が攻撃者により改ざんされた場合であっても、信頼度の比較的高い第2の領域が改ざんされない限り、通信監視部による通信の監視をバイパスすることはできないため、セキュリティを向上することができる。
(技術16)
移動体に搭載される監視装置を用いた監視方法であって、前記監視装置は、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備え、前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、前記監視装置は、さらに、前記第2の領域に属する通信監視部を備え、前記監視方法は、前記通信監視部が、前記第1の領域と前記第3の領域との間の通信を監視するステップを含む、監視方法。
これにより、仮想化技術又はコンテナ技術を用いて3以上のソフトウェア領域に分離した上で、領域間の通信を監視することができる。その結果、信頼度の比較的低い第1の領域が攻撃者により改ざんされた場合であっても、信頼度の比較的高い第2の領域が改ざんされない限り、通信監視部による通信の監視をバイパスすることはできないため、セキュリティを向上することができる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態)
[1.監視システムの概要]
まず、図1及び図2を参照しながら、実施の形態に係る監視システム1の概要について説明する。図1は、実施の形態に係る監視システム1の概要を示す図である。図2は、実施の形態に係る車両システム30の構成を示すブロック図である。
図1に示すように、監視システム1は、監視サーバ10と、車両システム30とを備えている。監視サーバ10と車両システム30とは、外部ネットワーク20を介して互いに通信可能に接続されている。
監視サーバ10は、車両システム30でセキュリティ異常(以下、単に「異常」ともいう)が検出された際に、車両システム30から異常に関する情報を取得して、グラフィカルユーザインタフェースを用いて異常内容を表示する装置である。監視サーバ10により取得された異常に関する情報は、例えば、セキュリティオペレーションセンターにて異常内容を分析するために利用される。
外部ネットワーク20は、例えばインターネットであり、外部ネットワーク20の通信方式は有線でもよいし無線でもよい。なお、無線通信方式は、既存技術であるWi-Fi(登録商標)、3G/LTE(Long Term Evolution)、Bluetooth(登録商標)、又は、V2X通信方式等であってもよい。
車両システム30は、自動車等の車両2(移動体の一例)に搭載された車載システムである。図2に示すように、車両システム30は、統合ECU100(監視装置の一例)と、ゲートウェイECU200と、ZoneECU300と、ステアリングECU400aと、ブレーキECU400bと、フロントカメラECU400cと、リアカメラECU400dとを備えている。
統合ECU100とゲートウェイECU200とは、ネットワークプロトコルの一種であるCAN(Control Area Network)40を介して互いに通信可能に接続されている。ここで、ネットワークプロトコルは、CANに限定されず、例えばCAN-FD(Flexible Data Rate)又はFlexRay(登録商標)等の、既存の車載システムで利用される任意のプロトコルであってもよい。
また、統合ECU100とZoneECU300とは、ネットワークプロトコルの一種であるイーサネット(登録商標)50を介して互いに通信可能に接続されている。イーサネット50は、例えば、SOME/IP(Scalable service-Oriented MiddlewarE over IP)プロトコルである。ここで、ネットワークプロトコルは、SOME/IPに限定されず、例えばSOME/IP-SD(Service Discovery)やCAN-XL(Extended Length)等の、既存の車載システムで利用される任意のプロトコルであってもよい。
統合ECU100は、外部ネットワーク20、CAN40及びイーサネット50を介してメッセージを送受信する通信制御と、CAN40及びイーサネット50を介してゲートウェイECU200及びZoneECU300へ車両2の制御を指示する車両制御と、車両2に搭載されたインフォテイメントシステム及びインストルメントパネルへ映像を出力する表示制御とを実行するためのECUである。また、統合ECU100は、外部ネットワーク20を介して、統合ECU100で検出された異常を監視サーバ10に通知するためのECUである。
ゲートウェイECU200は、統合ECU100と、ステアリングECU400a及びブレーキECU400bとの間で送受信されるメッセージを仲介するためのECUである。ゲートウェイECU200とステアリングECU400a及びブレーキECU400bとは、CAN41を介して互いに通信可能に接続されている。なお、CAN41は、上述したCAN40と同様のネットワークプロトコルである。
ステアリングECU400aは、車両2に搭載されるステアリングによる操舵を制御するためのECUである。
ブレーキECU400bは、車両2に搭載されるブレーキを制御するためのECUである。
ZoneECU300は、統合ECU100と、フロントカメラECU400c及びリアカメラECU400dとの間で送受信されるメッセージを仲介するためのECUである。ZoneECU300とフロントカメラECU400c及びリアカメラECU400dとは、イーサネット51を介して互いに通信可能に接続されている。なお、イーサネット51は、上述したイーサネット50と同様のネットワークプロトコルである。
フロントカメラECU400cは、車両2の前部に搭載され且つ車両2の前方を撮影するフロントカメラからの映像を取得するためのECUである。
リアカメラECU400dは、車両2の後部に搭載され且つ車両2の後方を撮影するリアカメラからの映像を取得するためのECUである。
車両システム30は、ステアリングECU400a、ブレーキECU400b、フロントカメラECU400c及びリアカメラECU400dの他に、車両2のエンジン及びボディを制御するECUを用いて、車両2の走る、曲がる、止まるといった制御を実現する。また、車両システム30は、例えばGPS(Global Positioning System)等の各種センサ情報を収集するためのECUを用いて、自動運転、アダプティブクルーズコントロール又は自動駐車等の先進運転支援機能を実現してもよい。
[2.統合ECUの構成]
次に、図3を参照しながら、実施の形態に係る統合ECU100の構成について説明する。図3は、実施の形態に係る統合ECU100の構成の一例を示すブロック図である。
図3に示すように、統合ECU100は、外部接続機能111と、第1の領域間通信部112と、通信監視部121と、第2の領域間通信部122と、システム監視部123と、異常対応部124と、車両制御機能131(移動体制御機能の一例)と、第3の領域間通信部132とを備えている。
統合ECU100は、ハイパーバイザ等の1以上の仮想マシン又は1以上のコンテナにより分離された3つのソフトウェア領域を備えている。3つのソフトウェア領域は、第1の領域110と、第2の領域120と、第3の領域130とを含んでおり、ハードウェア140上で実行される。外部接続機能111及び第1の領域間通信部112は、第1の領域110に属している。また、通信監視部121、第2の領域間通信部122、システム監視部123及び異常対応部124は、第2の領域120に属している。また、車両制御機能131及び第3の領域間通信部132は、第3の領域130に属している。ここで、第1の領域110に属する機能と、第2の領域120に属する機能と、第3の領域130に属する機能とは、メモリ及び名前空間が分離されるため、予め決められた通信手段を除いて相互に干渉することができない。
外部接続機能111は、外部ネットワーク20を介して、車両2の外部と通信可能に接続する機能である。具体的には、外部接続機能111は、例えば、外部ネットワーク20を介して、通信監視部121により検出された通信の異常、及び、システム監視部123により検出されたシステムの異常を監視サーバ10に送信する。また、外部接続機能111は、例えば、外部サーバ(図示せず)からのソフトウェアのアップデートの指示に基づいて、外部ネットワーク20を介して、外部サーバからソフトウェアをダウンロードする。
第1の領域間通信部112は、第1の領域110に属する機能と、第2の領域120及び第3の領域130の各々に属する機能との間で通信する機能である。
通信監視部121は、第1の領域間通信部112と第3の領域間通信部132との間の通信内容を取得することにより、第1の領域間通信部112と第3の領域間通信部132との間の通信を監視する機能である。具体的には、通信監視部121は、(i)第1の領域110、第2の領域120及び第3の領域130のうち同一の領域内の通信は監視せず、且つ、(ii)第1の領域110から第3の領域130への通信を監視し、且つ、(iii)第3の領域130から第1の領域110への通信を監視しない。通信監視部121の詳細については後述する。
第2の領域間通信部122は、第2の領域120に属する機能と、第1の領域110及び第3の領域130の各々に属する機能との間で通信する機能である。
システム監視部123は、ハイパーバイザ等の仮想マシン又はコンテナの分離機能、及び、各領域のソフトウェアを監視する機能である。システム監視部123の詳細については後述する。
異常対応部124は、通信監視部121及びシステム監視部123の少なくとも一方により異常が検出された場合に、検出された異常に対して対応する機能である。異常対応部124の詳細については後述する。
車両制御機能131は、CAN40及びイーサネット50を介して、車両2の制御を指示する機能である。車両制御機能131は、例えば車両2のステアリングの操舵を指示する機能等である。
第3の領域間通信部132は、第3の領域130に属する機能と、第1の領域110及び第2の領域120の各々に属する機能との間で通信する機能である。
このとき、外部接続機能111に脆弱性が存在することにより、第1の領域110が攻撃者に乗っ取られて危殆化した場合であっても、通信監視部121が属する第2の領域120及び車両制御機能131が属する第3の領域130は第1の領域110と分離されているため、攻撃者が通信監視部121及び車両制御機能131を悪用することは容易でない。仮に、第1の領域110が第2の領域120と分離されていなければ、第1の領域110が危殆化した場合に、第2の領域120に属する通信監視部121がバイパスされる可能性がある。また仮に、第1の領域110が第3の領域130と分離されていなければ、第1の領域110が危殆化した場合に、第3の領域130に属する車両制御機能131が攻撃者により悪用される可能性がある。このように、外部接続機能111が属する第1の領域110と、通信監視部121が属する第2の領域120と、車両制御機能131が属する第3の領域130とを分離することにより、セキュリティを向上させることができる。
なお、本実施の形態では、3つのソフトウェア領域に分離する場合について説明するが、これに限定されず、4以上のソフトウェア領域に分離してもよい。この場合、4以上のソフトウェア領域は、上述した第1の領域110、第2の領域120及び第3の領域130をそれぞれ1つずつ含む。例えば、4つのソフトウェア領域に分離する場合には、4つのソフトウェア領域は、第1の領域110及び第2の領域120を1つずつ含み、且つ、第3の領域130を2つ含むようになる。このようにソフトウェア領域をより細かく分離することにより、効率的な開発が可能になるとともに、リスクの高さが異なる複数の機能をそれぞれ複数の領域に分離できるためより、よりセキュリティを向上させることができる。
また、本実施の形態では、システム監視部123及び異常対応部124は第2の領域120に属しているが、これに限定されず、第3の領域130に属していてもよい。なお、システム監視部123及び異常対応部124が第1の領域110に属する場合は、第1の領域110が攻撃者により乗っ取られた際に、システム監視部123及び異常対応部124がバイパスされる可能性がある。
また、本実施の形態では、第3の領域130は、車両制御機能131を含むようにしたが、これに限定されず、(i)車両2の内部に構築された内部ネットワーク(例えば、CAN40,41及びイーサネット50,51等の車載ネットワーク)と通信可能に接続する内部接続機能、(ii)車両制御機能131、(iii)車両2に関する車両情報(移動体情報の一例)を通知する車両情報通知機能(移動体情報通知機能の一例)、(iv)ソフトウェア更新機能、及び、(v)セキュリティ機能のうち少なくとも1つである安全機能を含むようにしてもよい。この場合、第2の領域120は、外部接続機能111及び安全機能のいずれも含まない。
[3.ソフトウェア領域の一例]
次に、図4を参照しながら、実施の形態に係るソフトウェア領域の一例について説明する。図4は、実施の形態に係るソフトウェア領域の一例を示す図である。
上述したように、統合ECU100は、ハイパーバイザ等の1以上の仮想マシン又は1以上のコンテナによって分離された3つのソフトウェア領域である第1の領域110、第2の領域120及び第3の領域130を備えている。
図4に示すように、第1の領域110は、(a)領域名が「領域1」であり、(b)仮想マシンとして分離され、(c)オペレーティングシステム(以下、「OS」という)はAndroid(登録商標) OSであり、(d)Android OS上の全てのプロセスが第1の領域110に属し、(e)外部接続機能を含み、(f)車両制御機能を含まないことを表している。
また、第2の領域120は、(a)領域名が「領域2」であり、(b)コンテナとして分離され、(c)OSはLinux(登録商標) OSであり、(d)Linux OS上のプロセス1、2、3が第2の領域120に属し、(e)外部接続機能を含まず、(f)車両制御機能を含まないことを表している。
また、第3の領域130は、(a)領域名が「領域3」であり、(b)コンテナとして分離され、(c)OSはLinux OSであり、(d)Linux上のプロセス4、5、6が第3の領域130に属し、(e)外部接続機能を含まず、(f)車両制御機能を含むことを表している。
なお、本実施の形態では、第1の領域110は仮想マシンとして分離され、第2の領域120及び第3の領域130はコンテナとして分離される場合について説明するが、これに限定されず、各領域は仮想マシン及びコンテナのいずれの分離技術によって分離されてもよい。これにより、複数の仮想マシンを動作させるためのリソース不足を解消することができるとともに、同一のOS上で開発可能になるため開発を効率化することができる。
また、第1の領域110は、第2の領域120及び第3の領域130の各々よりも信頼度が低い。ここで、信頼度は、攻撃者によって改ざんされる可能性の程度を示す指標である。攻撃者によって改ざんされる可能性が高いほど信頼度が低く、攻撃者によって改ざんされる可能性が低いほど信頼度が高い。この場合、攻撃者は外部ネットワーク20から第1の領域110を攻撃して改ざんできる可能性が高いため、第1の領域110の信頼度は第2の領域120及び第3の領域130の各々よりも低い。一方、外部ネットワーク20と接続されない第2の領域120及び第3の領域130は、攻撃者から直接攻撃を受けるインタフェースを備えていないため改ざんされる可能性が低く、第1の領域110よりも信頼度が高い。仮に、第2の領域120が存在しない場合には、第1の領域110が改ざんされた場合に、第1の領域110から第3の領域130への任意の通信が可能になるため、第3の領域130の安全機能(例えば、車両制御機能131)が悪用される可能性がある。
また、例えばコンテナにより3つのソフトウェア領域に分離する場合、Docker(登録商標)等のコンテナ技術でなくとも、名前空間の分離、システムコールの制限、消費計算リソースの制限、及び、強制アクセス制御のうち少なくとも1つにより分離された1以上のプロセス又はプロセスの群をコンテナとして扱ってもよい。これにより、プロセス単位で最小権限にてソフトウェア領域を分離できるため、よりセキュリティを向上させることができる。
また、名前空間の分離は、PID(Process Identifier)名前空間、ネットワーク名前空間、マウント名前空間、UTS(Unix Time-sharing System)名前空間、UID(User Identifier)/GID(Group Identifier)名前空間、IPC(Inter-Process Communication)名前空間のうち、少なくとも1つを分離したものでもよい。また、コンテナは、マウント名前空間を分離しない場合は、強制アクセス制御又は任意アクセス制御によってファイルアクセスを制限してもよい。これにより、適切な名前空間を分離して、プロセス単位で最小権限にてソフトウェア領域を分離できるため、よりセキュリティを向上させることができる。
[4.統合ECUの通信の一例]
次に、図5を参照しながら、実施の形態に係る統合ECU100の通信の一例について説明する。図5は、実施の形態に係る統合ECU100の通信の一例を示す図である。
図5に示すように、実施の形態に係る統合ECU100の通信には、例えば通信識別子としてCOM1~6がそれぞれ付与された6種類の通信が存在する。以下、COM1~6の通信のうち代表的な通信についてのみ説明する。
通信識別子がCOM1である通信は、(a)通信方法がソケット通信であり、(b)プロトコルは独自であり、(c)送信元領域名が領域3であり、(d)宛先領域名が領域3であり、(e)通信の用途はステアリング等の安全機能に関わるCANメッセージの送信指示であることを表している。仮に、領域1から不正にCOM1の通信が悪用された場合であっても、影響は同じ領域1に属する機能に限定され、領域3に属する安全機能に影響を与えないため、COM1はリスクの比較的低い通信であることが分かる。
また、通信識別子がCOM3である通信は、(a)通信方法が仮想ネットワーク通信であり、(b)プロトコルはTCP/IPであり、(c)送信元領域名が領域1であり、(d)宛先領域名が領域3であり、(e)通信の用途は更新ソフトウェアのダウンロードであることを表している。仮に、領域1から不正にCOM3の通信が悪用された場合は、攻撃者による不正なソフトウェア更新が可能になる危険性が高いため、COM3はリスクの比較的高い通信であることが分かる。そのため、通信監視部121は、車両状態(移動体状態の一例)がソフトウェア更新状態になっていることを確認することで、車両状態が合わない場合は領域1から送信されたCOM3の通信を拒否する必要がある。
なお、仮想ネットワークは、VIRTIO-NETを用いた仮想ネットワークでもよいし、Linux上の仮想ネットワークデバイスやブリッジでもよい。あるいは、仮想ネットワークは、仮想マシン間の仮想ソケット通信でもよいし、VIRTIO-BLK等の仮想デバイス通信を用いてもよい。また、ソケット通信は、UNIX(登録商標)ドメインソケットでもよいし、メッセージキューを用いた通信でもよい。
また、通信識別子がCOM6である通信は、(a)通信方法がソケット通信であり、(b)プロトコルは独自であり、(c)送信元領域名が領域3であり、(d)宛先領域名が領域1であり、(e)通信の用途はバッテリ電圧等の非安全機能に関わるCANメッセージの受領通知であることを表している。仮に、領域1から不正にCOM6の通信が悪用された場合であっても、影響は同じ領域1に属する機能に限定され、領域3に属する安全機能に影響を与えないため、COM6はリスクの比較的低い通信であることが分かる。
このように、統合ECU100の通信には、用途に応じて複数の種類があり、利用されるプロトコルも異なるため、通信が適切に管理されなければ、ソフトウェア領域を分離していたとしても、領域間の通信の悪用によって攻撃の被害が拡大する可能性がある。統合ECU100の通信監視部121は、このような領域間の通信を監視することにより、領域間の通信の悪用を抑制する役割を有する。また、通信監視部121は、領域間の通信をフックする又は中継することで直列監視してもよいし、領域間の通信をコピーすることで並列監視してもよい。また、通信識別子の単位で、送信元の領域名及び宛先の領域名は事前に定義することができる。また、通信識別子は、通信プロトコルのヘッダに含まれる識別子を利用してもよいし、ペイロード内に識別子を含めてもよい。
[5.通信監視方法の一例]
次に、図6を参照しながら、実施の形態に係る通信監視部121による通信監視方法の一例について説明する。図6は、実施の形態に係る通信監視部121による通信監視方法の一例を示す図である。
以下、COM1~6の通信のうち代表的な通信に対する通信監視方法についてのみ説明する。
図6に示すように、通信識別子がCOM1である通信は、同一の領域3内の通信であるため、通信監視の対象外であることを表している。これにより、COM1~6の通信の全てを監視する場合と比較して、通信監視部121による通信監視処理の負荷を軽減することができる。
通信識別子がCOM3である通信は、領域1から領域3へのリスクが比較的高い通信であるため、通信監視の対象であることを表している。また、通信識別子がCOM3である通信では、通信監視方法として、許可リスト、通信量、通信回数(割り込み回数)、及び、状態監視の4種類が有効である。
ここで、許可リストは、送信元毎、送信元の領域毎又は宛先の領域毎に通信の許可の有無を示す通信識別子のリストである。通信に含まれる通信識別子が許可リストに含まれていない場合は、通信監視部121は、当該通信識別子の通信を拒否(遮断)する。一方、通信に含まれる通信識別子が許可リストに含まれる場合は、通信監視部121は、当該通信識別子の通信を許可する。図5に示すように、送信元毎、送信元の領域毎又は宛先の領域毎の許可リストは、事前に定義可能である。
通信量は、送信元毎又は送信元の領域毎に所定の期間(例えば10分)又は所定の車両状態における仮想ネットワーク通信の通信量を計算し、計算した通信量が所定の閾値を越えた場合は、通信が異常であると検出する通信監視方法である。また、通信量は、送信元毎又は送信元の領域毎に所定の期間におけるソケット通信の通信量を計算し、計算した通信量が所定の閾値を越えた場合は、通信が異常であると検出する通信監視方法である。
通信回数(割り込み回数)は、送信元毎又は送信元の領域毎に所定の期間(例えば10分)における仮想ネットワーク通信の通信回数又は割り込み回数を計算し、計算した通信回数又は割り込み回数が所定の閾値を越えた場合は、通信が異常であると検出する通信監視方法である。仮想ネットワーク通信の場合、通信回数と割り込み回数とは必ずしも一致しないが、通信回数に代えて割り込み回数を用いて監視してもよい。また、通信回数は、送信元毎又は送信元の領域毎に所定の期間におけるソケット通信の通信回数を計算し、計算した通信回数が所定の閾値を越えた場合は、通信が異常であると検出する通信監視方法である。
状態監視は、車両状態を監視し、(i)車両状態が規定の状態である場合には通信を許可し、且つ、(ii)車両状態が規定外の状態である場合には通信を拒否する通信監視方法である。例えば、ソフトウェアの更新に関わる通信がソフトウェア更新状態でない場合に送信されようとした場合に、通信監視部121は、当該通信を拒否する。
また、通信識別子がCOM4である通信は、領域3から領域1へのリスクが比較的低い通信であるため、通信監視の対象外であることを表している。これにより、COM1~6の通信の全てを監視する場合と比較して、通信監視部121による通信監視処理の負荷を軽減することができる。
なお、通信識別子毎又は領域毎に送信する度に、通信回数(又は割り込み回数)をインクリメントするカウンタ値を導入してもよい。具体的には、通信監視部121は、送信元毎の通信回数又は送信元の領域毎の通信回数を計数した通信回数カウンタ値をメモリに記憶し、第1の領域110と第3の領域130との間における通信に含まれる通信回数カウンタ値と、メモリに記憶している通信回数カウンタ値に所定の値(例えば、「1」)を加えた値とを比較して、両者が一致しない場合に、当該通信の異常を検出してもよい。これにより、不正に複製された通信や、なりすまし通信等を検出することができる。
また、通信監視部121は、第1の領域110と第3の領域130との間の通信に対して通信監視処理を実施した結果、当該通信を許可した場合、当該通信に対して通信監視処理を実行済みであることを示す識別子又は署名を付与してもよい。これにより、識別子又は署名の有無に基づいて、通信監視部121による通信監視処理がバイパスされたか否かを容易に検証することができる。
また、通信監視部121が通信を拒否した場合又は異常を検出した場合は、通信監視部121は、送信元又は送信元の領域が異常であると判断できる。
本実施の形態では、4種類の通信監視方法(許可リスト、通信量、通信回数及び状態監視)を説明したが、これに限定されず、少なくとも1種類の通信監視方法が実施されるようにしてもよい。
[6.システム監視方法の一例]
次に、図7を参照しながら、実施の形態に係るシステム監視部123によるシステム監視方法の一例について説明する。図7は、実施の形態に係るシステム監視部123によるシステム監視方法の一例を示す図である。
図7に示すように、システム監視部123は、システム監視の項目として、(a)分離機能の稼働状況(又は設定)、(b)分離機能による拒否イベント、(c)ソフトウェアの完全性、及び、(d)消費計算リソースを監視する。
ここで、分離機能の稼働状況を監視するとは、仮想マシンとしてソフトウェア領域が分離されている場合は、仮想マシンを分離する仮想化機能の稼働状況をランタイムにて監視することである。また、分離機能の稼働状況を監視するとは、コンテナとしてソフトウェア領域が分離されている場合は、名前空間の分離、システムコールの制限、消費計算リソースの制限、及び、強制アクセス制御等のコンテナを分離する機能の稼働状況をランタイムにて監視することである。分離機能の稼働状況を監視する頻度は、例えば10分毎に1回である。これにより、システム監視部123は、分離機能の稼働状況が稼働中の場合はソフトウェア領域が正常に分離されていると判断し、分離機能の稼働状況が停止中の場合はソフトウェア領域が正常に分離されていないためシステムの異常を検出する。
分離機能による拒否イベントを監視するとは、仮想マシンとしてソフトウェア領域が分離されている場合は、仮想マシンを分離する仮想化機能の拒否イベントをランタイムにて監視することである。この場合、拒否インベントは、例えば、ハイパーコールの拒否や割当外のメモリアクセスの拒否である。また、分離機能による拒否イベントを監視するとは、コンテナとしてソフトウェア領域が分離されている場合は、名前空間の分離、システムコールの制限、消費計算リソースの制限、及び、強制アクセス制御等のコンテナを分離する機能による拒否イベントをランタイムにて監視することである。この場合、拒否イベントは、例えば、強制アクセス制御による操作拒否、及び、システムコール拒否である。これにより、システム監視部123は、分離機能による拒否イベントがない場合はソフトウェア領域が正常に分離されていると判断し、拒否イベントがある場合はソフトウェア領域が正常に分離されていないためシステムの異常を検出する。
ソフトウェアの完全性を監視するとは、各領域に含まれる一部又は全てのソフトウェアの完全性をランタイムにて検証することである。ソフトウェアの完全性の監視は、例えば10分毎に1回、監視対象のハッシュ値を取得して、取得したハッシュ値と期待値とを比較することで実現する。システム監視部123は、両者が一致する場合は、領域が改ざんされていないと判断し、一致しない場合は領域内が改ざんされているためシステムの異常を検出する。監視対象のソフトウェアは、ユーザプログラム、分離機能、及び、分離機能の設定値のいずれでもよい。
消費計算リソースを監視するとは、各領域に含まれるソフトウェアによる計算リソースの消費量を監視することである。消費計算リソースの監視は、例えば10分毎に1回、監視対象のソフトウェアのCPU(Central Processing Unit)使用率又はメモリ使用量を取得して、これらと事前に計測した基準値とを比較することで実現する。これにより、システム監視部123は、CPU使用率又はメモリ使用量が基準値以下である場合は、ソフトウェアが正常の範囲内で動作していると判断し、CPU使用率又はメモリ使用量が基準値よりも高い場合はソフトウェアが異常な動作をしているためシステムの異常を検出する。
図7に示す例では、システム監視部123が第1の領域110(領域1)におけるシステム監視を実施した結果、(a)分離機能の稼働状況が「稼働中」であり、(b)分離機能による拒否イベントが「イベントなし」であり、(c)ソフトウェアの完全性が「改ざんなし」であり、(d)消費計算リソースが「CPU(使用率)50%」であることを表している。この場合、システム監視部123は、全てのシステム監視の項目が正常であるため、第1の領域110は正常であると判断する。
また、システム監視部123が第2の領域120(領域2)におけるシステム監視を実施した結果、(a)分離機能の稼働状況が「停止中」であり、(b)分離機能による拒否イベントが「イベントあり」であり、(c)ソフトウェアの完全性が「改ざんあり」であり、(d)消費計算リソースが「CPU(使用率)50%」であることを表している。この場合、システム監視部123は、全てのシステム監視の項目が異常であるため、第2の領域120は異常であると検出する。
また、システム監視部123が第3の領域130(領域3)におけるシステム監視を実施した結果、(a)分離機能の稼働状況が「稼働中」であり、(b)分離機能による拒否イベントが「イベントなし」であり、(c)ソフトウェアの完全性が「改ざんなし」であり、(d)消費計算リソースが「CPU(使用率)50%」であることを表している。この場合、システム監視部123は、全てのシステム監視の項目が正常であるため、第3の領域130は正常であると判断する。
以上のように、システム監視部123は、ある領域についてシステム監視の項目のうち少なくとも1つの異常を検出した場合には、当該領域が異常であると判断できる。
なお、本実施の形態では、4種類のシステム監視の項目(分離機能の稼働状況、分離機能による拒否イベント、ソフトウェアの完全性、及び、消費計算リソース)を説明したが、これに限定されず、4種類のシステム監視の項目のうち少なくとも1種類のシステム監視の項目が実施されるようにしてもよい。
また、システム監視部123は、(i)1以上の仮想マシン若しくは1以上のコンテナを実現する分離機能のソフトウェア(すなわち、分離機能自体)の完全性、設定若しくは消費計算リソース、又は、(ii)1以上の仮想マシン若しくは1以上のコンテナに含まれるソフトウェアの完全性、設定若しくは消費計算リソースのうち、少なくとも1つをランタイムにて監視してもよい。
[7.異常対応方法の一例]
次に、図8を参照しながら、実施の形態に係る異常対応部124による異常対応方法の一例について説明する。図8は、実施の形態に係る異常対応部124による異常対応方法の一例を示す図である。
図8に示す例では、異常対応部124は、異常が検出された領域の領域名(領域の番号の一例)、異常の順番、及び、異常の回数のうち少なくとも1つに基づいて、計10個の対応手段の中から1個の対応手段を選択する。計10個の対応手段にはそれぞれ、対応手段番号「1」、「2」、・・・、「10」が付与されている。以下、計10個の対応手段のうち代表的なものについてのみ説明する。
対応手段番号「1」の対応手段はシステム再起動であり、当該対応手段が選択される条件は、領域1と領域3とが繰り返し異常であることを表している。これは、通信監視部121又はシステム監視部123により領域1と領域3とが繰り返し異常と検出された場合に、対応手段としてシステム再起動を実施することを意味する。異常対応部124は、領域毎に異常の発生回数を記憶することにより、異常が繰り返し発生していることを把握できる。これにより、例えば領域1及び領域3のいずれもが攻撃者により乗っ取られている可能性が高い危険な状況において、システムを再起動して安全な状態に復旧できる。
また、対応手段番号「6」の対応手段は部分的な通信拒否であり、当該対応手段が選択される条件は、領域1が異常となった後に領域3が異常となることを表している。これは、通信監視部121又はシステム監視部123により領域1及び領域3における異常が検出され、且つ、領域1の異常が領域3の異常よりも時系列として早く検出された場合に、当該通信を拒否することを意味する。異常対応部124は、異常が検出された時刻を記憶することにより異常の発生の順番を把握でき、通信監視部121にて異常な通信の識別子、送信元、又は、送信元の領域を特定できる。これにより、例えば領域1が乗っ取られて領域3が攻撃を受けている可能性が高い状況において、攻撃を受けていると考えられる通信のみ(例えば、COM3の通信のみ)を拒否できる。
また、対応手段番号「9」の対応手段は外部サーバ(例えば、監視サーバ10)への通知であり、当該対応手段が選択される条件は、全ての異常であることを表している。これは、通信監視部121又はシステム監視部123により異常が検出された場合、外部ネットワーク20を介して例えば監視サーバ10へ異常の内容を通知することを意味する。
なお、本実施の形態では、10種類の対応手段(対応手段番号「1」~「10」)について説明したが、これに限定されず、10種類の対応手段のうち少なくとも1種類の対応手段が実施されるようにしてもよい。
[8.通信監視処理のシーケンスの一例]
次に、図9を参照しながら、実施の形態に係る通信監視部121による通信監視処理のシーケンスの一例について説明する。図9は、実施の形態に係る通信監視部121による通信監視処理のシーケンスの一例を示すシーケンス図である。
以下、第1の領域110の外部接続機能111から第3の領域130の車両制御機能131へ通信内容(データ)が送信される場合について説明する。
(S901)外部接続機能111は、車両制御機能131へ送信したい通信内容を、第1の領域間通信部112に送信する。
(S902)第1の領域間通信部112は、外部接続機能111からの通信内容を受信し、受信した通信内容を第2の領域間通信部122に送信する。
(S903)第2の領域間通信部122は、第1の領域間通信部112からの通信内容を受信し、受信した通信内容を通信監視部121に送信する。
(S904)通信監視部121は、第2の領域間通信部122からの通信内容を監視し、当該通信内容の監視結果に基づいて、当該通信内容に関する通信が異常であるか否かを判定する。正常な通信である場合には、通信監視部121は、当該通信を許可して第2の領域間通信部122に通信内容を送信し、ステップS905に進む。一方、異常な通信である場合には、通信監視部121は、当該通信を拒否して異常対応部124へ異常内容を通知し、ステップS908に進む。通信監視部121による通信監視処理の詳細については後述する。
(S905)第2の領域間通信部122は、通信監視部121からの通信内容を受信し、受信した通信内容を第3の領域間通信部132に送信する。
(S906)第3の領域間通信部132は、第2の領域間通信部122からの通信内容を受信し、受信した通信内容を車両制御機能131に送信する。
(S907)車両制御機能131は、第3の領域間通信部132からの通信内容を受信する。
(S908)異常対応部124は、通信監視部121からの異常内容を受信し、受信した異常内容に応じて対応手段を選択して実施する。異常対応部124による異常対応処理の詳細については後述する。
[9.システム監視処理のシーケンスの一例]
次に、図10を参照しながら、実施の形態に係るシステム監視部123によるシステム監視処理のシーケンスの一例について説明する。図10は、実施の形態に係るシステム監視部123によるシステム監視処理のシーケンスの一例を示すシーケンス図である。
(S1001)第2の領域120のシステム監視部123は、システム監視を実施して異常を検出した場合は、異常対応部124へ異常内容を通知し、ステップS1002に進む。一方、システム監視部123は、異常を検出しない場合は、システム監視処理を終了する。システム監視部123によるシステム監視処理の詳細については後述する。
(S1002)第2の領域120の異常対応部124は、システム監視部123からの異常内容を受信し、受信した異常内容に応じて対応手段を選択して実施する。異常対応部124による異常対応処理の詳細については後述する。
[10.通信監視処理のフローの一例]
次に、図11を参照しながら、実施の形態に係る通信監視部121による通信監視処理のフローの一例について説明する。図11は、実施の形態に係る通信監視部121による通信監視処理のフローの一例を示すフローチャートである。
(S1101)通信監視部121は、通信内容を取得する。
(S1102)通信監視部121は、ステップS1101で取得した通信内容に基づいて、送信元毎又は送信元の領域毎に通信量、通信回数及び割り込み回数を計算し、計算結果を記憶する。
(S1103)通信監視部121は、所定の期間内における通信量、通信回数及び割り込み回数が所定の閾値を超えるか否かを判定する。所定の期間内における通信量、通信回数及び割り込み回数が所定の閾値を超える場合には(S1103でYes)、通信監視部121は、通信の異常を検出し、ステップS1104に進む。一方、所定の期間内における通信量、通信回数及び割り込み回数が所定の閾値以下の場合には(S1103でNo)、通信監視部121は、通信が正常であると判断し、ステップS1105に進む。なお、ステップS1103の詳細については、図6を用いて既述した通りである。
(S1104)通信監視部121は、ステップS1103で検出した異常を記録し、ステップS1105に進む。
(S1105)通信監視部121は、現在の車両状態を取得する。
(S1106)通信監視部121は、ステップS1102における通信内容が送信された際の車両状態と、ステップS1105で取得した現在の車両状態とが一致するか否かを判定する。2つの車両状態が一致しない場合には(S1106でYes)、通信監視部121は、通信の異常を検出し、ステップS1107に進む。一方、2つの車両状態が一致する場合には(S1106でNo)、通信監視部121は、通信が正常であると判断し、ステップS1108に進む。なお、ステップS1106の詳細については、図6を用いて既述した通りである。
(S1107)通信監視部121は、ステップS1106で検出した異常を記録し、ステップS1108に進む。
(S1108)通信監視部121は、ステップS1102における通信内容の送信元の領域が第1の領域110であるか否かを判定する。送信元の領域が第1の領域110である場合には(S1108でYes)、ステップS1109に進む。一方、送信元の領域が第1の領域110でない場合には(S1108でNo)、ステップS1112に進む。
(S1109)通信監視部121は、ステップS1102における通信内容の宛先の領域が第3の領域130であるか否かを判定する。宛先の領域が第3の領域130である場合には(S1109でYes)、ステップS1110に進む。一方、宛先の領域が第3の領域130でない場合には(S1109でNo)、ステップS1112に進む。
(S1110)通信監視部121は、ステップS1102における通信内容の送信元、送信元の領域、及び、通信識別子を参照し、当該通信内容に関する通信が許可リストに含まれるか否かを判定する。通信が許可リストに含まれない場合には(S1110でYes)、通信の異常を検出し、ステップS1111に進む。一方、通信が許可リストに含まれる場合には(S1110でNo)、ステップS1112に進む。ステップS1110の詳細については、図6を用いて既述した通りである。
(S1111)通信監視部121は、ステップS1110で検出した異常を記録し、ステップS1112に進む。
(S1112)通信監視部121は、1以上の異常を記録したか否かを判定する。1以上の異常を記録した場合には(S1112でYes)、ステップS1113に進む。一方、1以上の異常を記録していない場合には(S1112でNo)、ステップS1114に進む。
(S1113)通信監視部121は、ステップS1102における通信を拒否し、異常対応部124へ異常内容を通知し、通信監視処理を終了する。
(S1114)通信監視部121は、ステップS1102における通信を許可し、通信監視処理を終了する。
なお、ステップS1108,S1109,S1110を実行する順序は、上述した順序に限定されず、任意の順序で実行してもよい。
[11.システム監視処理のフローの一例]
次に、図12を参照しながら、実施の形態に係るシステム監視部123によるシステム監視処理のフローの一例について説明する。図12は、実施の形態に係るシステム監視部123によるシステム監視処理のフローの一例を示すフローチャートである。
(S1201)システム監視部123は、分離機能の稼働状況を取得する。
(S1202)システム監視部123は、分離機能の稼働状況が停止中であるか否かを判定する。分離機能の稼働状況が停止中である場合には(S1202でYes)、システム監視部123は、システムの異常を検出し、ステップS1203に進む。一方、分離機能の稼働状況が稼働中である場合には(S1202でNo)、ステップS1204に進む。ステップS1202の詳細については、図7を用いて既述した通りである。
(S1203)システム監視部123は、ステップS1202で検出した異常の内容を異常対応部124に通知し、ステップS1204に進む。
(S1204)システム監視部123は、分離機能による拒否イベントを取得する。
(S1205)システム監視部123は、分離機能による拒否イベントの有無を判定する。拒否イベントがある場合には(S1205でYes)、システム監視部123は、システムの異常を検出し、ステップS1206に進む。一方、拒否イベントがない場合には(S1205でNo)、ステップS1207に進む。ステップS1205の詳細については、図7を用いて既述した通りである。
(S1206)システム監視部123は、ステップS1205で検出した異常の内容を異常対応部124に通知し、ステップS1207に進む。
(S1207)システム監視部123は、ソフトウェアの完全性確認を実施する。
(S1208)システム監視部123は、ソフトウェアの改ざんの有無を判定する。ソフトウェアの改ざんありの場合には(S1208でYes)、システム監視部123は、システムの異常を検出し、ステップS1209に進む。一方、ソフトウェアの改ざんなしの場合には(S1208でNo)、ステップS1210に進む。ステップS1208の詳細については、図7を用いて既述した通りである。
(S1209)システム監視部123は、ステップS1208で検出した異常の内容を異常対応部124に通知し、ステップS1210に進む。
(S1210)システム監視部123は、消費計算リソースを取得する。
(S1211)システム監視部123は、消費計算リソースが基準値よりも高いか否かを判定する。消費計算リソースが基準値よりも高い場合には(S1211でYes)、システム監視部123は、システムの異常を検出し、ステップS1212に進む。一方、消費計算リソースが基準値以下の場合には(S1211でNo)、システム監視部123は、システム監視処理を終了する。
(S1212)システム監視部123は、ステップS1211で検出した異常の内容を異常対応部124に通知し、システム監視処理を終了する。
[12.異常対応処理のフローの一例]
次に、図13を参照しながら、実施の形態に係る異常対応部124による異常対応処理のフローの一例について説明する。図13は、実施の形態に係る異常対応部124による異常対応処理のフローの一例を示すフローチャートである。
(S1301)異常対応部124は、通信監視部121又はシステム監視部123からの異常通知を受信する。
(S1302)異常対応部124は、ステップS1301で受信した異常通知の異常内容を判定する。異常内容が「領域1と領域3とが繰り返し異常」である場合には(S1302で「領域1と領域3とが繰り返し異常」)、ステップS1303に進む。また、異常内容が「領域1が異常」である場合には(S1302で「領域1が異常」)、ステップS1304に進む。また、異常内容が「領域1が繰り返し異常」である場合には(S1302で「領域1が繰り返し異常」)、ステップS1305に進む。また、異常内容が「領域3が異常」である場合には(S1302で「領域3が異常」)、ステップS1306に進む。また、異常内容が「領域3が繰り返し異常」である場合には(S1302で「領域3が繰り返し異常」)、ステップS1307に進む。また、異常の内容が「領域1の異常後に領域3が異常」である場合には(S1302で「領域1の異常後に領域3が異常」)、ステップS1308に進む。
(S1303)異常対応部124は、システム再起動を実施し(図8に示す対応手段番号「1」)、その後ステップS1309を実施する。
(S1304)異常対応部124は、仮想マシンを再起動し(図8に示す対応手段番号「2」)、その後ステップS1309を実施する。
(S1305)異常対応部124は、仮想マシンを停止し(図8に示す対応手段番号「3」)、その後ステップS1309を実施する。
(S1306)異常対応部124は、コンテナを再起動し(図8に示す対応手段番号「4」)、その後ステップS1309を実施する。
(S1307)異常対応部124は、コンテナを停止し(図8に示す対応手段番号「5」)、その後ステップS1309を実施する。
(S1308)異常対応部124は、部分的な通信拒否又は部分的な機能停止を実施し(図8に示す対応手段番号「6」又は「7」)、その後ステップS1309を実施する。
(S1309)異常対応部124は、ログを記録し、且つ、外部サーバである監視サーバ10へ異常内容を通知し、且つ、車両2の搭乗者へ異常内容を通知して、異常対応処理を終了する。
[13.異常表示機能の一例]
次に、図14を参照しながら、監視サーバ10の異常表示機能の一例について説明する。図14は、実施の形態に係る監視サーバ10の異常表示機能の一例を示す図である。
監視サーバ10は、グラフィカルユーザインタフェースを用いて、車両システム30の統合ECU100から通知された異常内容を表示する異常表示機能を有している。
具体的には、図14に示すように、例えばパーソナルコンピュータ等のモニタには、異常表示機能のための画面が表示される。画面の上段には、「領域1」、「領域2」及び「領域3」とそれぞれ表示された3つの枠線が表示されている。3つの枠線のうち、例えば「領域1」の枠線を太線で表示することにより、領域1で異常が発生したことを示している。
また、画面の下段には、異常の検出時刻と、異常が検出された領域名と、分離方法と、監視方法と、監視項目(異常内容)とが対応付けられたテーブルが表示されている。図14に示す例では、時刻T1に領域1で検出された通信の異常内容が「許可リストにない通信である」ことを表している。
また、このテーブルには、時刻T1よりも前に検出された異常内容の履歴が表示されている。具体的には、時刻T1よりも前の時刻T2に領域2で検出されたシステムの異常内容が「消費計算リソースが基準値よりも高い」ことを表している。
これにより、危殆化している領域が直感的に分かるため、攻撃による影響度の分析業務を効率化できる。
(他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。
(1)上記実施の形態では、自動車等の車両に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、例えば、建機、農機、船舶、鉄道及び飛行機等の各種移動体に適用してもよい。
(2)上記の少なくとも1つの装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのRAM又はハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも1つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(3)上記の少なくとも1つの装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
(4)上記の少なくとも1つの装置を構成する構成要素の一部又は全部は、その装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカード又はモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(5)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラム又はデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)-ROM、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、プログラム又はデジタル信号を記録媒体に記録して移送することにより、あるいは、プログラム又はデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
本開示の監視装置は、例えば車両システムに搭載される統合ECU等に適用可能である。
1 監視システム
2 車両
10 監視サーバ
20 外部ネットワーク
30 車両システム
40,41 CAN
50,51 イーサネット
100 統合ECU
110 第1の領域
111 外部接続機能
112 第1の領域間通信部
120 第2の領域
121 通信監視部
122 第2の領域間通信部
123 システム監視部
124 異常対応部
130 第3の領域
131 車両制御機能
132 第3の領域間通信部
140 ハードウェア
200 ゲートウェイECU
300 ZoneECU
400a ステアリングECU
400b ブレーキECU
400c フロントカメラECU
400d リアカメラECU

Claims (16)

  1. 移動体に搭載される監視装置であって、
    1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備え、
    前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、
    前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、
    前記監視装置は、さらに、前記第2の領域に属する通信監視部であって、前記第1の領域と前記第3の領域との間の通信を監視する通信監視部を備え
    前記通信監視部は、(i)前記第1の領域、前記第2の領域及び前記第3の領域のうち同一の領域内の通信は監視せず、且つ、(ii)前記第1の領域から前記第3の領域への通信を監視する
    監視装置。
  2. 前記第1の領域は、外部ネットワークを介して前記移動体の外部と通信可能に接続する外部接続機能を含み、
    前記第3の領域は、(i)前記移動体の内部に構築された内部ネットワークと通信可能に接続する内部接続機能、(ii)前記移動体を制御する移動体制御機能、(iii)前記移動体に関する移動体情報を通知する移動体情報通知機能、(iv)ソフトウェア更新機能、及び、(v)セキュリティ機能のうち少なくとも1つである安全機能を含み、
    前記第2の領域は、前記外部接続機能及び前記安全機能を含まない
    請求項1に記載の監視装置。
  3. 前記監視装置は、前記1以上の仮想マシン又は前記1以上のコンテナにより分離された4以上のソフトウェア領域を備え、
    前記4以上のソフトウェア領域は、前記第1の領域、前記第2の領域及び前記第3の領域をそれぞれ1以上含む
    請求項1に記載の監視装置。
  4. 前記1以上のコンテナの各々は、名前空間の分離、システムコールの制限、消費計算リソースの制限、及び、強制アクセス制御のうち少なくとも1つにより分離された1以上のプロセス又はプロセスの群である
    請求項1に記載の監視装置。
  5. 前記名前空間の分離は、PID名前空間、ネットワーク名前空間、マウント名前空間、UTS名前空間、UID/GID名前空間、及び、IPC名前空間のうち少なくとも1つを分離したものであり、
    前記1以上のコンテナは、前記マウント名前空間を分離しない場合は、強制アクセス制御又は任意アクセス制御によってファイルアクセスを制限する
    請求項4に記載の監視装置。
  6. 前記通信監視部は、さらに、(iii)前記第3の領域から前記第1の領域への通信を監視しない
    請求項1に記載の監視装置。
  7. 前記通信監視部は、仮想ネットワーク通信又はソケット通信に対して、送信元の領域毎又は宛先の領域毎に通信の許可の有無を示す許可リストを参照することにより、前記許可リストで許可されていない通信を拒否する
    請求項1に記載の監視装置。
  8. 前記通信監視部は、送信元毎又は送信元の領域毎に、(i)所定の期間又は所定の移動体状態における仮想ネットワーク通信の通信量、通信回数若しくは割り込み回数、又は、(ii)前記所定の期間におけるソケット通信の通信量若しくは通信回数を監視し、監視対象の値が所定の閾値を超えた場合に、前記第1の領域と前記第3の領域との間の通信の異常を検出する
    請求項1に記載の監視装置。
  9. 前記通信監視部は、送信元毎の通信回数又は送信元の領域毎の通信回数を計数した通信回数カウンタ値をメモリに記憶し、前記第1の領域と前記第3の領域との間における通信に含まれる通信回数カウンタ値と、前記メモリに記憶している通信回数カウンタ値に所定の値を加えた値とを比較して、両者が一致しない場合に、前記第1の領域と前記第3の領域との間の通信の異常を検出する
    請求項1に記載の監視装置。
  10. 前記通信監視部は、前記第1の領域と前記第3の領域との間の通信に対して通信監視処理を実行した結果、当該通信を許可した場合、当該通信に対して通信監視処理を実行済みであることを示す識別子又は署名を付与する
    請求項1に記載の監視装置。
  11. 前記監視装置は、さらに、前記1以上の仮想マシン又は前記1以上のコンテナを実現する分離機能の稼働状況若しくは設定、又は、前記分離機能による拒否イベントをランタイムにて監視するシステム監視部を備える
    請求項1に記載の監視装置。
  12. 前記監視装置は、さらに、(i)前記1以上の仮想マシン若しくは前記1以上のコンテナを実現する分離機能のソフトウェアの完全性、設定若しくは消費計算リソース、又は、(ii)前記1以上の仮想マシン若しくは前記1以上のコンテナに含まれるソフトウェアの完全性、設定若しくは消費計算リソースのうち、少なくとも1つをランタイムにて監視するシステム監視部を備える
    請求項1に記載の監視装置。
  13. 前記監視装置は、さらに、前記通信監視部により検出された異常に対して対応する異常対応部を備え、
    前記異常対応部は、異常が検出された領域の番号、異常の順番、及び、異常の回数のうち少なくとも1つに基づいて対応手段を選択し、
    前記対応手段は、システムの再起動、前記1以上の仮想マシンの再起動又は停止、前記1以上のコンテナの再起動又は停止、部分的な通信拒否、部分的な機能停止、ログの記録、外部サーバへの通知、及び、前記移動体の搭乗者への通知のうち少なくとも1つを含む
    請求項1に記載の監視装置。
  14. 前記監視装置は、さらに、前記システム監視部により検出された異常に対して対応する異常対応部を有し、
    前記異常対応部は、異常が検出された領域の番号、異常の順番、及び、異常の回数のうち少なくとも1つに基づいて対応手段を選択し、
    前記対応手段は、システムの再起動、前記1以上の仮想マシンの再起動又は停止、前記1以上のコンテナの再起動又は停止、部分的な通信拒否、部分的な機能停止、ログの記録、外部サーバへの通知、及び、前記移動体の搭乗者への通知のうち少なくとも1つを含む
    請求項11又は12に記載の監視装置。
  15. 監視サーバと、
    移動体に搭載され、前記監視サーバと外部ネットワークを介して通信可能に接続される監視装置と、を備え、
    前記監視装置は、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を有し、
    前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、
    前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、
    前記監視装置は、さらに、
    前記第2の領域に属する通信監視部であって、前記第1の領域と前記第3の領域との間の通信を監視する通信監視部と、
    前記通信監視部により通信の異常が検出された場合に、前記異常を前記監視サーバに通知する外部接続機能と、を有し、
    前記監視サーバは、前記監視装置から通知された前記異常の内容を、前記異常が発生した領域と対応付けて表示する異常表示機能を有し、
    前記通信監視部は、(i)前記第1の領域、前記第2の領域及び前記第3の領域のうち同一の領域内の通信は監視せず、且つ、(ii)前記第1の領域から前記第3の領域への通信を監視する
    監視システム。
  16. 移動体に搭載される監視装置を用いた監視方法であって、
    前記監視装置は、1以上の仮想マシン又は1以上のコンテナにより分離された3以上のソフトウェア領域を備え、
    前記3以上のソフトウェア領域は、第1の領域、第2の領域及び第3の領域を含み、
    前記第1の領域は、前記第2の領域及び前記第3の領域の各々よりも、攻撃者により改ざんされる可能性の程度を示す信頼度が低く、
    前記監視装置は、さらに、前記第2の領域に属する通信監視部を備え、
    前記監視方法は、
    前記通信監視部が、前記第1の領域と前記第3の領域との間の通信を監視するステップを含み、
    前記通信監視部は、(i)前記第1の領域、前記第2の領域及び前記第3の領域のうち同一の領域内の通信は監視せず、且つ、(ii)前記第1の領域から前記第3の領域への通信を監視する
    監視方法。
JP2024071665A 2024-01-17 2024-04-25 監視装置、監視システム及び監視方法 Active JP7611445B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US19/000,148 US20250233878A1 (en) 2024-01-17 2024-12-23 Monitoring device, monitoring system, and monitoring method
CN202411942053.5A CN120342648A (zh) 2024-01-17 2024-12-26 监控装置、监控系统以及监控方法
DE102025100124.3A DE102025100124A1 (de) 2024-01-17 2025-01-03 Überwachungsvorrichtung, überwachungssystem und überwachungsverfahren

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2024005691 2024-01-17
JP2024005691 2024-01-17

Publications (2)

Publication Number Publication Date
JP7611445B1 true JP7611445B1 (ja) 2025-01-09
JP2025111355A JP2025111355A (ja) 2025-07-30

Family

ID=94127745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024071665A Active JP7611445B1 (ja) 2024-01-17 2024-04-25 監視装置、監視システム及び監視方法

Country Status (4)

Country Link
US (1) US20250233878A1 (ja)
JP (1) JP7611445B1 (ja)
CN (1) CN120342648A (ja)
DE (1) DE102025100124A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001034553A (ja) 1999-07-26 2001-02-09 Hitachi Ltd ネットワークアクセス制御方法及びその装置
JP2011039783A (ja) 2009-08-11 2011-02-24 Fuji Xerox Co Ltd 接続制御装置及びプログラム
JP2017174158A (ja) 2016-03-24 2017-09-28 日本電気株式会社 監視システム、監視方法および監視プログラム
US20200296121A1 (en) 2016-03-30 2020-09-17 British Telecommunications Public Limited Company Network traffic threat identification
JP2021005815A (ja) 2019-06-27 2021-01-14 株式会社エヴリカ 情報処理装置、方法およびプログラム
WO2022255247A1 (ja) 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システム及び監視方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001034553A (ja) 1999-07-26 2001-02-09 Hitachi Ltd ネットワークアクセス制御方法及びその装置
JP2011039783A (ja) 2009-08-11 2011-02-24 Fuji Xerox Co Ltd 接続制御装置及びプログラム
JP2017174158A (ja) 2016-03-24 2017-09-28 日本電気株式会社 監視システム、監視方法および監視プログラム
US20200296121A1 (en) 2016-03-30 2020-09-17 British Telecommunications Public Limited Company Network traffic threat identification
JP2021005815A (ja) 2019-06-27 2021-01-14 株式会社エヴリカ 情報処理装置、方法およびプログラム
WO2022255247A1 (ja) 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システム及び監視方法

Also Published As

Publication number Publication date
JP2025111355A (ja) 2025-07-30
CN120342648A (zh) 2025-07-18
DE102025100124A1 (de) 2025-07-17
US20250233878A1 (en) 2025-07-17

Similar Documents

Publication Publication Date Title
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
JP7194396B2 (ja) セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法
JP7619949B2 (ja) 車両ログ送信装置、車両ログ収集システム、車両ログ送信方法および保存優先度変更装置
JP7641900B2 (ja) 侵入経路分析装置および侵入経路分析方法
US9135758B2 (en) Vehicle status notification and operator identification
JP7241281B2 (ja) 情報処理装置、制御方法及びプログラム
JP7189397B1 (ja) 監視装置、監視システム及び監視方法
US9525700B1 (en) System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
WO2021038869A1 (ja) 車両監視装置および車両監視方法
JP2019219709A (ja) サイバー攻撃通知装置及び通知方法
JP2021090160A (ja) 情報処理装置、異常検知方法およびコンピュータプログラム
WO2015057979A1 (en) System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
JP7611445B1 (ja) 監視装置、監視システム及び監視方法
JP7549948B1 (ja) 監視装置、監視方法、及び、プログラム
JP7507536B1 (ja) 監視システム及び制御方法
US20250094206A1 (en) Monitoring device and monitoring method
US20240086541A1 (en) Integrity verification device and integrity verification method
JP2024082318A (ja) セキュリティ方法、および、セキュリティ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240806

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20240806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241223

R150 Certificate of patent or registration of utility model

Ref document number: 7611445

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150