最初に、本開示の実施形態の内容を列記して説明する。
(1)本開示の実施の形態に係る管理装置は、車両への不正アクセスを検知する検知部と、前記検知部によって前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する取得部と、前記取得部によって取得された前記ソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択する選択部と、前記選択部によって選択された前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信する送信部とを備える。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する構成により、たとえば各車両における組み込みソフトウェアの状態に応じて各車両に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両への防衛策の展開を優先的に行うことができる。したがって、各車両への不正アクセスの拡大をより確実に防ぐことができる。
(2)好ましくは、前記送信部は、前記処理情報として、前記対象車両と外部との通信を制限させるための情報を前記対象車両へ送信する。
このような構成により、対象車両の車外から対象車両への不正アクセスをより確実に防ぐことができる。
(3)好ましくは、前記送信部は、前記処理情報として、前記対象車両の車載装置において更新すべきソフトウェアの情報を前記対象車両へ送信する。
このような構成により、対象車両における車載装置に組み込まれたソフトウェアを、たとえば不正アクセスに対するセキュリティが強化されたソフトウェアに更新することができるため、対象車両における車載装置への不正アクセスをより確実に防ぐことができる。
(4)好ましくは、前記管理装置は、さらに、複数の車両の各々における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を記憶する記憶部を備える。
このような構成により、ある車両において不正アクセスが検知された際に、記憶部を参照することにより、当該車両におけるまたは複数の車載装置に組み込まれたソフトウェアのバージョン情報を容易に取得することができる。これにより、取得したバージョン情報を用いて、対象車両の選択を早期に行ったり、ユーザに通知するための不正アクセスに関する情報を早期に生成したりすることができる。
(5)好ましくは、前記取得部は、前記ソフトウェア情報として、前記検知車両における1または複数の前記車載装置に組み込まれたソフトウェアのバージョン情報を取得し、前記選択部は、前記取得部よって取得された前記バージョン情報と、前記検知車両以外の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果に基づいて、前記対象車両を選択する。
これにより、ソフトウェアのバージョン情報の観点から、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両をより正確に選択することができる。
(6)好ましくは、前記管理装置は、さらに、前記検知車両において前記不正アクセスが検知された前記車載装置に組み込まれたソフトウェアのバージョン情報、前記検知車両において前記不正アクセスが検知された前記車載装置の識別情報、および前記検知車両における1または複数の前記車載装置に組み込まれたソフトウェアのバージョン情報と前記検知車両以外の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果、に少なくとも基づいて検索された車両の件数をユーザへ通知する通知部を備える。
このような構成により、たとえば、検知部により複数の車両において不正アクセスが検知された場合、たとえば、検知された不正アクセスごとに、検知車両におけるバージョン情報と同じバージョン情報を有する車両の台数をユーザへ通知することができるため、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両の台数をユーザへ通知することができる。これにより、ユーザによる、優先的に防衛策の展開に着手すべき不正アクセスの選択が容易となる。
(7)本開示の実施の形態に係る通信システムは、管理装置と、車両に搭載される車載装置とを備え、前記車載装置は、ログ情報を前記管理装置へ送信し、記管理装置は、前記車載装置から受信した前記ログ情報に基づいて、前記車両への不正アクセスを検知し、前記管理装置は、前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得し、前記管理装置は、取得した前記ソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択し、前記管理装置は、選択した前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信する。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する構成により、たとえば各車両における組み込みソフトウェアの状態に応じて各車両に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両への防衛策の展開を優先的に行うことができる。したがって、各車両への不正アクセスの拡大をより確実に防ぐことができる。
(8)本開示の実施の形態に係る車両通信管理方法は、管理装置における車両通信管理方法であって、車両への不正アクセスを検知するステップと、前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得するステップと、取得した前記ソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択するステップと、選択した前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信するステップとを含む。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する方法により、たとえば各車両における組み込みソフトウェアの状態に応じて各車両に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両への防衛策の展開を優先的に行うことができる。したがって、各車両への不正アクセスの拡大をより確実に防ぐことができる。
(9)本開示の実施の形態に係る車両通信管理方法は、管理装置と、車両に搭載される車載装置とを備える通信システムにおける車両通信管理方法であって、前記車載装置が、ログ情報を前記管理装置へ送信するステップと、記管理装置が、前記車載装置から受信した前記ログ情報に基づいて、前記車両への不正アクセスを検知するステップと、前記管理装置が、前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得するステップと、前記管理装置が、取得した前記ソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択するステップと、前記管理装置が、選択した前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信するステップとを含む。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する方法により、たとえば各車両における組み込みソフトウェアの状態に応じて各車両に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両への防衛策の展開を優先的に行うことができる。したがって、各車両への不正アクセスの拡大をより確実に防ぐことができる。
(10)本開示の実施の形態に係る車両通信管理プログラムは、管理装置において用いられる車両通信管理プログラムであって、コンピュータを、車両への不正アクセスを検知する検知部と、前記検知部によって前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する取得部と、前記取得部によって取得された前記ソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択する選択部と、前記選択部によって選択された前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信する送信部、として機能させるためのプログラムである。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する構成により、たとえば各車両における組み込みソフトウェアの状態に応じて各車両に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両への防衛策の展開を優先的に行うことができる。したがって、各車両への不正アクセスの拡大をより確実に防ぐことができる。
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
<第1の実施の形態>
[通信システム]
図1は、本開示の第1の実施の形態に係る通信システムの構成を示す図である。
図1を参照して、通信システム400は、管理装置200と、複数の車載通信システム300とを備える。複数の車載通信システム300は、複数の車両1にそれぞれ搭載される。
[車載通信システム]
図2は、本開示の第1の実施の形態に係る車載通信システムの構成を示す図である。
図2を参照して、車載通信システム300は、ゲートウェイ装置101と、複数の車載通信機111と、複数のバス接続装置群121とを備える。
図3は、本開示の第1の実施の形態に係るバス接続装置群の構成を示す図である。
図3を参照して、バス接続装置群121は、複数の制御装置122を含む。なお、バス接続装置群121は、複数の制御装置122を備える構成に限らず、1つの制御装置122を含む構成であってもよい。
ゲートウェイ装置101、車載通信機111および制御装置122は、車載装置の一例である。以下、ゲートウェイ装置101、車載通信機111および制御装置122の各々を「車載装置」と称する場合がある。
ゲートウェイ装置101、複数の車載通信機111および複数の制御装置122は、車載ネットワーク12を構成する。
車載ネットワーク12において、車載通信機111は、たとえば、車両1の外部における装置と通信する。具体的には、車載通信機111は、たとえば、TCU(Telematics Communication Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
図1および図2を参照して、TCUは、管理装置200と通信を行うことが可能である。詳細には、TCUは、たとえば、IPパケットを用いて無線基地局装置161経由で管理装置200と通信することが可能である。
より詳細には、TCUは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。TCUは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびFOTA(Firmware Over The Air)等のサービスに用いる情報を中継する。
具体的には、無線基地局装置161は、管理装置200から外部ネットワーク11経由でIPパケットを受信すると、受信したIPパケットを無線信号に含めてTCUへ送信する。
TCUは、たとえば、管理装置200からのIPパケットを含む無線信号を無線基地局装置161から受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットをゲートウェイ装置101へ送信する。
また、TCUは、ゲートウェイ装置101からIPパケットを受信すると、受信したIPパケットを無線信号に含めて無線基地局装置161へ送信する。
無線基地局装置161は、TCUから無線信号を受信すると、受信した無線信号からIPパケットを取得し、取得したIPパケットを外部ネットワーク11経由で管理装置200へ送信する。
近距離無線端末装置は、たとえば、Wi-Fi(登録商標)およびBluetooth(登録商標)等の通信規格に従って、車両1に乗車している人間(以下、搭乗者とも称する。)の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、IVI(In-Vehicle Infotainment)機器に搭載され、エンターテイメント等のサービスに用いる情報を中継する。
また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とLF(Low Frequency)帯またはUHF(Ultra High Frequency)帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびTPMS(Tire Pressure Monitoring System)等のサービスに用いる情報を中継する。
ITS無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびITSスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。ITS無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。
ゲートウェイ装置101は、たとえばバス13,14を介して車載装置と接続されている。具体的には、バス13,14は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスである。
この例では、車載通信機111は、イーサネットの規格に従う対応のバス14を介してゲートウェイ装置101と接続されている。また、バス接続装置群121における各制御装置122は、CANの規格に従う対応のバス13を介してゲートウェイ装置101と接続されている。制御装置122は、たとえば、車両1における機能部を制御可能である。
バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
駆動系バスには、制御装置122の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
シャーシ/安全系バスには、制御装置122の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
ボディ/電装系バスには、制御装置122の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
AV/情報系バスには、制御装置122の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
また、バス13には、制御装置122が接続される構成に限らず、制御装置122以外の装置、たとえばセンサが接続されてもよい。
ゲートウェイ装置101は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載装置と通信を行うことが可能である。
図4は、本開示の第1の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図4を参照して、ゲートウェイ装置101は、スイッチ部51と、処理部52と、記憶部53と、異常検知部54とを備える。記憶部53は、たとえばフラッシュシュメモリである。
ゲートウェイ装置101は、たとえば、車両1において異なるバス13に接続された制御装置122間でやり取りされる情報、各車載通信機111間でやり取りされる情報、制御装置122および車載通信機111間でやり取りされる情報を中継する中継処理を行う。
より詳細には、ゲートウェイ装置101は、ある車載装置から他の車載装置へ送信されるメッセージの中継処理を行う。当該メッセージには、メッセージの内容ならびに送信元および送信先を識別するためのIDが含まれる。
たとえば、スイッチ部51は、ある車載装置から対応のバス13または14経由でメッセージを受信すると、受信したメッセージを送信先の車載装置へ対応のバス13または14経由で送信する。
また、たとえば、スイッチ部51は、ある車載装置から対応のバス13または14経由で処理部52宛のメッセージを受信すると、受信したメッセージを処理部52へ出力する。
処理部52は、車両1の外部における外部装置による車載ネットワーク12へのアクセス記録を示すアクセスログ、車載ネットワーク12内における車載装置間の通信記録を示す車内通信ログおよび車載装置が実行した処理の記録を示すイベントログなどのログを取得する。
たとえば、車載通信機111は、外部装置からのIPパケットが格納された無線信号を無線基地局装置161から受信すると、IPパケットの受信時刻、送信元である外部装置のIPアドレス、送信先の車載装置のIPアドレス、受信したIPパケットに対する処理内容を示すアクセスログを生成する。そして、車載通信機111は、生成したアクセスログを含む処理部52宛のメッセージをゲートウェイ装置101へ送信する。
ゲートウェイ装置101における処理部52は、スイッチ部51経由で車載通信機111から上記メッセージを受信すると、受信したメッセージからアクセスログを取得し、取得したアクセスログを記憶部53に保存する。
また、たとえば、車載装置間においてゲートウェイ装置101を介してメッセージの送受信が行われると、メッセージの送信元の車載装置または送信先の車載装置は、メッセージの送信時刻、送信元の車載装置のID、送信先の車載装置のIDならびにメッセージの種類および内容を含む車内通信ログを生成する。そして、メッセージの送信元の車載装置または送信先の車載装置は、生成した車内通信ログを含む処理部52宛のメッセージをゲートウェイ装置101へ送信する。
ゲートウェイ装置101における処理部52は、スイッチ部51経由で車載装置から上記メッセージを受信すると、受信したメッセージに含まれる車内通信ログを取得し、取得した車内通信ログを記憶部53に保存する。
また、たとえば、車載装置は、パスワード変更、ファイル権限変更およびファームウェア更新などの処理を実行すると、処理を実行した時刻、自己のIDならびに処理の種類および内容を含むイベントログを生成する。そして、車載装置は、生成したイベントログを含む処理部52宛のメッセージをゲートウェイ装置101へ送信する。
ゲートウェイ装置101における処理部52は、スイッチ部51経由で車載装置から上記メッセージを受信すると、受信したメッセージに含まれるイベントログを取得し、取得したイベントログを記憶部53に保存する。
処理部52は、所定の周期で記憶部53から上記のような各種ログを取得し、記憶部53から取得した各ログおよび自己の車両1のIDを含むログ情報を生成し、スイッチ部51および車載通信機111経由で管理装置200へ送信する。
異常検知部54は、スイッチ部51が中継するメッセージを監視することにより、車載ネットワーク12における異常メッセージを検知する。
より詳細には、異常検知部54は、たとえば機械学習法を用いて、車両1の走行状況から予測される制御内容とは相関が低い制御内容を含むメッセージがスイッチ部51により中継された場合、当該メッセージを異常メッセージであると判断する。
たとえば、異常検知部54は、シフトレバーがドライブにセットされ、かつ、車両1が走行中であるにも関わらず、エンジンを停止させる制御を行うメッセージをスイッチ部51がエンジン制御装置宛に中継した場合、当該メッセージを異常メッセージであると判断する。
異常検知部54は、異常メッセージを検知すると、当該異常メッセージの、送信時刻、送信元の車載装置のIDおよび送信先の車載装置のIDなどを含む異常検知情報を処理部52へ通知する。
処理部52は、異常検知部54から異常検知情報を受けると、自己の車両1のIDおよび受けた異常検知情報を含むログ情報を生成し、スイッチ部51および車載通信機111経由で管理装置200へ送信する。
図5は、本開示の第1の実施の形態に係るゲートウェイ装置が管理装置へ送信するアクセスログを含むログ情報の一例を示す図である。
図5を参照して、処理部52が管理装置200へ送信するアクセスログを含むログ情報は、IPパケットの受信時刻、車両ID、送信元IPアドレス、送信先IPアドレスおよびIPパケットに対する処理内容を有する。
上記ログ情報における送信元IPアドレスのフィールドには、外部装置のIPアドレスが格納される。上記ログ情報における送信先IPアドレスのフィールドには、送信先の車載装置のIPアドレスが格納される。
上記ログ情報における処理内容のフィールドには、たとえば、外部装置からのIPパケットを受信した車載通信機111が、受信したIPパケットを送信先の車載装置へ中継したか、または送信先の車載装置へ中継することなく破棄したかを示す情報などが格納される。
図6は、本開示の第1の実施の形態に係るゲートウェイ装置が管理装置へ送信する車内通信ログを含むログ情報の一例を示す図である。
図6を参照して、処理部52が管理装置200へ送信する車内通信ログを含むログ情報は、メッセージの送信時刻、車両ID、送信元ID、送信先ID、メッセージ種類およびメッセージ内容を有する。
上記ログ情報における送信元IDのフィールドには、送信元の車載装置のIDが格納される。上記ログ情報における送信先IDのフィールドには、送信先の車載装置のIDが格納される。
上記ログ情報におけるメッセージ種類のフィールドには、たとえば、アクセル作動、ブレーキ作動、エンジン開始、エンジン停止およびドアロック解除などの、制御装置122による制御対象の装置の制御内容の種類を示す情報が格納される。
上記ログ情報におけるメッセージ内容のフィールドには、たとえば、アクセル作動による加速量およびブレーキ作動による減速量などの制御内容を示す情報が格納される。
図7は、本開示の第1の実施の形態に係るゲートウェイ装置が管理装置へ送信するイベントログを含むログ情報の一例を示す図である。
図7を参照して、処理部52が管理装置200へ送信するイベントログを含むログ情報は、処理を実行した時刻であるイベント発生時刻、車両ID、車載装置ID、処理の種類および処理内容を有する。
上記ログ情報における車載装置IDのフィールドには、処理を実行した車載装置のIDが格納される。
上記ログ情報における処理の種類のフィールドには、たとえば、パスワード変更、ファイル権限変更、ファームウェア更新などの各種処理の種類を示す情報が格納される。
上記ログ情報における処理内容のフィールドには、たとえば、変更後のパスワードならびにファームウェア更新に用いたファイル名およびデータサイズなどの処理内容を示す情報が格納される。
[管理装置]
図8は、本開示の第1の実施の形態に係る管理装置の構成を示す図である。
図8を参照して、管理装置200は、受信部210と、検知部220と、取得部230と、選択部240と、送信部250と、記憶部260とを備える。記憶部260は、たとえばフラッシュメモリである。
受信部210は、複数の車両1におけるゲートウェイ装置101から送信されたログ情報を受信し、受信したログ情報を検知部220へ出力する。
検知部220は、車両1への不正アクセスを検知する。たとえば、検知部220は、車外から車両1への不正アクセスと、車載ネットワーク12における、車載装置などへの不正アクセスとを検知する。
より詳細には、検知部220は、受信部210から受けたログ情報を検証することにより、たとえば、車両1への不正アクセスを検知するとともに、不正アクセスが発生した車載装置を特定する。
以下、検知部220により不正アクセスが検知された車両1を検知車両と称し、検知部220により不正アクセスが発生したと特定された車載装置を検知車載装置と称する。
たとえば、検知部220は、受信部210から受けた図5に示すようなログ情報を検証した結果、ログ情報における送信元IPアドレスが、車載ネットワーク12へのアクセスが許可されていないIPアドレスである場合、対応の車両1は検知車両であると判断するとともに、ログ情報における送信先IPアドレスが示す車載装置を検知車載装置であると特定する。さらに、たとえば、検知部220は、送信元IPアドレスが示す外部装置を不許可装置であると判断する。
また、たとえば、検知部220は、受信部210から受けた図7に示すようなログ情報を検証した結果、ログ情報における処理の内容が、更新スケジュールに適合しないファームウェア更新が行われたことを示す場合、または事前に車載装置が管理装置200と通信することなく車載装置においてファームウェア更新が行われたことを示す場合、対応の車両1は検知車両であると判断するとともに、ログ情報における車載装置IDが示す車載装置を検知車載装置であると特定する。
また、たとえば、検知部220は、受信部210から受けた図6に示すようなログ情報を検証した結果、ログ情報が、近距離無線端末装置がエンジン制御装置へエンジンを停止させるための制御情報を含むメッセージを送信するなど、ある車載装置が通常送信するメッセージとは異なるメッセージを送信したことを示す場合、対応の車両1は検知車両であると判断するとともに、ログ情報における送信元IDが示す車載装置および送信先IDが示す車載装置を検知車載装置であると特定する。
また、たとえば、検知部220は、受信部210から受けたログ情報を検証した結果、ログ情報が異常検知情報を含む場合、異常メッセージの送信元の車載装置を検知車載装置であると特定する。
検知部220は、車両1を検知車両であると判断すると、当該検知車両のIDおよび検知車載装置のIDを含むアラート情報を生成する。たとえば、検知部220は、受信部210から受けた図5に示すようなログ情報において、送信元IPアドレスが示す外部装置を不許可装置であると判断した場合、当該不許可装置のIPアドレスをさらに含むアラート情報を生成する。
検知部220は、生成したアラート情報を送信部250および取得部230へ出力する。
送信部250は、検知部220からアラート情報を受けると、受けたアラート情報が示す検知車両へ、不正アクセスを防ぐための処理情報を送信する。より詳細には、送信部250は、不正アクセスを防ぐための処理を検知車両における車載装置に行わせるための処理情報を検知車両へ送信する。
たとえば、送信部250は、検知車両と外部との通信を制限させるための通信制限情報を生成し、生成した通信制御情報を処理情報として検知車両へ送信する。より詳細には、送信部250は、検知部220から受けたアラート情報に不許可装置のIPアドレスが含まれている場合、検知車両と当該不許可装置との通信を制限させるための通信制限情報を生成し、生成した通信制御情報を検知車両へ送信する。
検知車両における車載装置たとえば車載通信機111は、送信部250から通信制限情報を受信すると、外部装置たとえば通信制御情報が示す不許可装置との通信を遮断する処理を行う。
また、たとえば、送信部250は、検知車両の車載装置において更新すべきソフトウェアの情報を生成し、生成した情報を処理情報として検知車両へ送信する。より詳細には、送信部250は、検知車両における車載装置のファームウェアの更新に用いる更新データを生成し、生成した更新データを検知車両へ送信する。なお、更新対象の車載装置は、検知車載装置であってもよいし、他の車載装置であってもよい。
検知車両における車載装置は、送信部250から更新データを受信すると、所定のタイミングでファームウェアの更新を行う。そして、当該車載装置は、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を車載通信機111および無線基地局装置161経由で管理装置200へ送信する。
管理装置200における受信部210は、検知車両における車載通信機111から完了情報を受信すると、受信した完了情報を送信部250へ出力する。
送信部250は、受信部210から完了情報を受けると、通信を制限していた外部装置と検知車両との通信制限を解除させるための解除情報を検知車両へ送信する。
検知車両における車載装置たとえば車載通信機111は、送信部250から解除情報を受信すると、解除情報が示す外部装置との通信の遮断を解除する処理を行う。
取得部230は、検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する。
より詳細には、取得部230は、検知車両のソフトウェア情報として、検知車両おける1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得する。
たとえば、記憶部260は、複数の車両1の各々における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を記憶する。
図9は、本開示の第1の実施の形態に係る管理装置における記憶部が記憶するバージョン情報の一例である。
図9を参照して、記憶部260は、各車両1における複数の車載装置に組み込まれたソフトウェアのバージョンを示すバージョン情報を記憶する。この例では、車両Aの各車載装置のソフトウェアのバージョンは、車載装置Aのソフトウェアが「1.1」であり、車載装置Bのソフトウェアが「1.3」であり、車載装置Cのソフトウェアが「1.4」であり、車載装置Dのソフトウェアが「2.1」であり、車載装置Eのソフトウェアが「2.8」である。
以下、車両A,B,C,D,E,Fにおける車載装置のソフトウェアのバージョン情報を、それぞれバージョン情報A,B,C,D,E,Fとも称する。
取得部230は、検知部220からアラート情報を受けると、受けたアラート情報が示す検知車両のバージョン情報を記憶部260から取得する。たとえば、取得部230は、検知部220から受けたアラート情報に含まれる検知車両のIDが車両BのIDである場合、バージョン情報Bを記憶部260から取得する。
たとえば、取得部230は、検知車両以外の車両1のバージョン情報を記憶部260からさらに取得する。
取得部230は、記憶部260から取得した、検知車両を含む複数の車両1のバージョン情報、検知車両のIDおよび検知車載装置のIDを選択部240へ出力する。
選択部240は、取得部230から受けた検知車両のバージョン情報に基づいて、複数の車両の中から1または複数の対象車両を選択する。
より詳細には、選択部240は、取得部230から受けた検知車両のバージョン情報と、検知車両以外の車両1における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果に基づいて、不正アクセスに対する予防措置を優先的に実施すべき車両1である対象車両を選択する。
たとえば、選択部240は、検知車両の型式と同じ型式の車両1であって、かつ、バージョン情報が検知車両と一致または類似する車両1を対象車両として選択する。
たとえば、記憶部260は、車両1のIDと型式とを対応付けた型式情報を記憶している。
選択部240は、記憶部260における型式情報を参照することにより、検知車両と同じ型式の1または複数の車両1を抽出する。
そして、選択部240は、取得部230から受けた、検知車両を含む複数の車両1のバージョン情報を用いて、検知車両のバージョン情報と、抽出した各車両1のバージョン情報とを比較することにより、抽出した各車両1に優先順位を設定する。
具体的には、選択部240は、検知車両のバージョン情報と抽出した各車両1のバージョン情報との類似度を算出し、類似度が高い車両1から順に高い優先順位を設定する。
図10は、本開示の第1の実施の形態に係る管理装置における選択部による優先順位設定の一例を示す図である。
図10を参照して、選択部240が、検知車両である車両Hと同じ型式の車両1として、車両J,K,L,M,Nを抽出した場合を想定する。
選択部240は、車両Hのバージョン情報Hと、車両J,K,L,M,Nのバージョン情報J,K,L,M,Nとの類似度を算出する。
具体的には、選択部240は、車両Hにおける各車載装置のソフトウェアのバージョンと、車両J,K,L,M,Nにおける各車載装置のソフトウェアのバージョンとを、対応する車載装置ごとに比較する。
そして、選択部240は、車両Hにおける各車載装置と、車両J,K,L,M,Nにおける各車載装置とを比較した結果、ソフトウェアのバージョンが互いに一致する車載装置1つにつき1点を付与し、ソフトウェアのバージョンが互いに一致する検知車載装置1つにつき10点を付与し、点数の合計を類似度として算出する。
たとえば、選択部240は、車両Hにおける各車載装置と、車両Jにおける各車載装置とを比較した結果、車載装置Aのソフトウェアのバージョンが互いに一致し、かつ、検知車載装置である車載装置B,Eのソフトウェアのバージョンが互いに一致するため、車両Jの類似度として21点を算出する。選択部240は、同様にして、車両K,L,M,Nの類似度として、13点、12点、22点、10点をそれぞれ算出する。
そして、選択部240は、算出した類似度に従い、車両M、車両J、車両K、車両Lおよび車両Nの順に優先順位を設定し、設定した優先順位の高い所定数の車両1たとえば車両M,J,Kを対象車両として選択する。
選択部240は、対象車両として選択した車両M,J,KのIDを送信部250へ通知する。
送信部250は、選択部240から通知を受けると、通知されたIDが示す対象車両へ、不正アクセスを防ぐための処理情報を送信する。より詳細には、送信部250は、不正アクセスを防ぐための処理を対象車両における車載装置に行わせるための処理情報を検知車両へ送信する。
たとえば、送信部250は、対象車両と外部との通信を制限させるための通信制限情報を生成し、生成した通信制御情報を処理情報として対象車両へ送信する。より詳細には、送信部250は、検知部220から受けたアラート情報に不許可装置のIPアドレスが含まれている場合、対象車両と当該不許可装置との通信を制限させるための通信制限情報を生成し、生成した通信制御情報を対象車両へ送信する。
対象車両における車載装置たとえば車載通信機111は、送信部250から通信制限情報を受信すると、たとえば通信制御情報が示す不許可装置との通信を遮断する処理を行う。
また、たとえば、送信部250は、対象車両の車載装置において更新すべきソフトウェアの情報を生成し、生成した情報を処理情報として対象車両へ送信する。より詳細には、送信部250は、対象車両における車載装置のファームウェアの更新に用いる更新データを生成し、生成した更新データを対象車両へ送信する。なお、更新対象の車載装置は、車載ネットワーク12における機能または役割が検知車載装置と同じ車載装置であってもよいし、他の車載装置であってもよい。以下、対象車両において、車載ネットワーク12における機能または役割が検知車載装置と同じ車載装置を、対象車載装置とも称する。
対象車両における車載装置は、送信部250から更新データを受信すると、所定のタイミングでファームウェアの更新を行う。そして、当該車載装置は、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を車載通信機111および無線基地局装置161経由で管理装置200へ送信する。
管理装置200における受信部210は、対象車両における車載通信機111から完了情報を受信すると、受信した完了情報を送信部250へ出力する。
送信部250は、受信部210から完了情報を受けると、通信を制限していた外部装置と対象車両との通信制限を解除させるための解除情報を対象車両へ送信する。
対象車両における車載装置たとえば車載通信機111は、送信部250から解除情報を受信すると、解除情報が示す外部装置との通信の遮断を解除する処理を行う。
[動作の流れ]
車載通信システム300における各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
図11は、本開示の第1の実施の形態に係る車載通信システムにおいて管理装置が車両へ不正アクセスを防ぐための処理情報を送信する際の動作手順を定めたフローチャートである。
図11を参照して、まず、管理装置200は、各車両1からのログを待ち受け(ステップS102でNO)、ログ情報を受信すると(ステップS102でYES)、受信したログ情報を検証する(ステップS104)。
次に、管理装置200は、各車両1から受信したログ情報を検証した結果、各車両1への不正アクセスが検知されなかった場合(ステップS106でNO)、各車両1からの新たなログ情報を待ち受ける(ステップS102でNO)。
一方、管理装置200は、各車両1から受信したログを検証した結果、ある車両1への不正アクセスを検知すると(ステップS106でYES)、当該車両1すなわち検知車両における、不正アクセスが発生した車載装置である検知車載装置を特定する(ステップS108)。
次に、管理装置200は、検知車両と外部との通信を制限させるための通信制限情報および検知車載装置のファームウェアの更新に用いる更新データを検知車両へ送信する(ステップS110)。
次に、管理装置200は、検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報、および検知車両以外の車両1における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得する(ステップS112)。
次に、管理装置200は、取得した各バージョン情報に基づいて、不正アクセスに対する予防措置を優先的に実施すべき対象車両を選択する(ステップS114)。
次に、管理装置200は、対象車両と外部との通信を制限させるための通信制限情報および対象車載装置などのファームウェアの更新に用いる更新データを対象車両へ送信する(ステップS116)。
次に、管理装置200は、各車両1からの新たなログ情報を待ち受ける(ステップS102でNO)。
図12は、本開示の第1の実施の形態に係る車載通信システムにおける、車両への不正アクセスを防ぐための処理のシーケンスである。
図12を参照して、まず、車両X,Y,Zにおける各ゲートウェイ装置101は、ログ情報を管理装置200へ送信する(ステップS202)。
次に、管理装置200は、各ゲートウェイ装置101から受信したログ情報を検証することにより、車両Xへの不正アクセスを検知するとともに、不正アクセスが発生した車載装置である検知車載装置を特定する(ステップS204)。
次に、管理装置200は、不正アクセスが検知された検知車両である車両Xへ、不許可装置との通信を制限させるための通信制限情報および検知車載装置のファームウェアの更新に用いる更新データを送信する(ステップS206)。
次に、車両Xは、管理装置200から受信した通信制限情報および更新データに基づいて、不許可装置との通信を遮断する処理を行うとともに、更新データを用いて検知車載装置などのファームウェアの更新を開始する(ステップS208)。
次に、管理装置200は、車両X,Y,Zにおける1または複数の車載装置に組み込まれたソフトウェアのバージョン情報X,Y,Zを取得する(ステップS210)。
次に、管理装置200は、取得したバージョン情報X,Y,Zに基づいて、不正アクセスに対する予防措置を優先的に実施すべき対象車両として車両Zを選択する(ステップS212)。
次に、管理装置200は、対象車両である車両Zへ、不許可装置との通信を制限させるための通信制限情報および対象車載装置などのファームウェアの更新に用いる更新データを送信する(ステップS214)。
次に、車両Zは、管理装置200から受信した通信制限情報および更新データに基づいて、通信制御情報が示す不許可装置との通信を遮断する処理を行うとともに、更新データを用いて対象車載装置などのファームウェアの更新を開始する(ステップS216)。
次に、車両Xは、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を管理装置200へ送信する(ステップS218)。
次に、管理装置200は、車両Xと不許可装置との通信制限を解除させるための解除情報を車両Xへ送信する(ステップS220)。
次に、車両Xは、管理装置200から受信した解除情報に基づいて、不許可装置との通信の遮断を解除する処理を行う(ステップS222)。
次に、車両Zは、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を管理装置200へ送信する(ステップS224)。
次に、管理装置200は、車両Zと不許可装置との通信制限を解除させるための解除情報を車両Zへ送信する(ステップS226)。
次に、車両Zは、管理装置200から受信した解除情報に基づいて、不許可装置との通信の遮断を解除する処理を行う(ステップS228)。
なお、本開示の第1の実施の形態に係る管理装置200では、送信部250は、処理情報として、対象車両と外部との通信を制限させるための通信制限情報および対象車両の車載装置において更新すべきソフトウェアの情報を対象車両へ送信する構成であるとしたが、これに限定するものではない。送信部250は、通信制限情報およびソフトウェアの情報のうち、いずれか一方を対象車両へ送信する一方で、他方を送信しない構成であってもよい。ただし、送信部250が通信制限情報を検知車両へ送信することにより、たとえば、外部の不正装置による検知車両の遠隔操作を防ぐことができるため、衝突事故を避けるように検知車両を停止させることができる。
また、本開示の第1の実施の形態に係る管理装置200では、送信部250は、対象車両の車載装置において更新すべきソフトウェアの情報として、車載装置のファームウェアの更新に用いる更新データを送信する構成であるとしたが、これに限定するものではない。送信部250は、ソフトウェアの情報として、更新データの所在を示すURL(Uniform Resource Locator)を対象車両へ送信する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200では、送信部250は、検知車両と外部との通信を制限させるための通信制限情報および検知車両の車載装置において更新すべきソフトウェアの情報を検知車両へ送信する構成であるとしたが、これに限定するものではない。送信部250は、通信制限情報およびソフトウェアの情報の両方を検知車両へ送信しない構成であってもよい。また、送信部250は、処理情報として、通信制限情報およびソフトウェアの情報に代えて、対象車両における1または複数の車載装置の一部または全部の機能を制限させるための情報を対象車両へ送信する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200では、取得部230は、検知車両おける車載装置に組み込まれたソフトウェアのバージョン情報を記憶部260から取得する構成であるとしたが、これに限定するものではない。記憶部260は、バージョン情報を記憶せず、取得部230は、バージョン情報を管理装置200の外部から取得する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200では、取得部230は、検知車両おける車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報として、検知車両おける車載装置に組み込まれたソフトウェアのバージョン情報を取得する構成であるとしたが、これに限定するものではない。取得部230は、ソフトウェア情報として、検知車両おける車載装置に組み込まれたソフトウェアの前回の更新日時の情報などの、バージョン以外の情報を取得する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200では、選択部240は、検知車両おける1または複数の車載装置に組み込まれたソフトウェアのバージョン情報と、検知車両以外の車両1における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果に基づいて、対象車両を選択する構成であるとしたが、これに限定するものではない。選択部240は、検知車両おける車載装置に組み込まれたソフトウェアの前回の更新日時と、検知車両以外の車両1における車載装置に組み込まれたソフトウェアの前回の更新日時との比較結果に基づいて、対象車両を選択する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200では、選択部240は、検知車両における各車載装置と、検知車両と同じ型式の車両における各車載装置とを比較した結果、ソフトウェアのバージョンが互いに一致する車載装置1つにつき1点を付与し、ソフトウェアのバージョンが互いに一致する検知車載装置1つにつき10点を付与し、点数の合計を類似度として算出する構成であるとしたが、これに限定するものではない。選択部240は、検知車両と同じ型式の車両における車載装置のソフトウェアのバージョンが、検知車両における車載装置のソフトウェアのバージョンと一致するかまたはより低い場合に、当該車載装置1つにつき1点を付与し、ソフトウェアのバージョンが互いに一致する検知車載装置1つにつき10点を付与して類似度として算出する構成であってもよい。
たとえば、図10に示す例において、車両Hにおける各車載装置と、車両Jにおける各車載装置とを比較した結果、車載装置Aのソフトウェアのバージョンが互いに一致し、検知車載装置である車載装置B,Eのソフトウェアのバージョンが互いに一致し、かつ、車両Jにおける車載装置C,Dのソフトウェアのバージョンが車両Hにおける車載装置C,Dのソフトウェアのバージョンよりも低いため、車両Jの類似度として23点を算出する。
また、本開示の第1の実施の形態に係る管理装置200では、検知部220は、車両1への不正アクセスを検知するとともに、不正アクセスが発生した車載装置すなわち検知車載装置を特定する構成であるとしたが、これに限定するものではない。検知部220は、車両1への不正アクセスを検知する一方で、検知車載装置を特定しない構成であってもよい。
また、本開示の第1の実施の形態に係る車載通信システム300では、検知車両における車載装置は、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を管理装置200へ送信し、管理装置200は、上記車載装置から完了情報を受信すると、通信を制限していた外部装置と検知車両との通信制限を解除させるための解除情報を検知車両へ送信し、検知車両における車載装置は、送信部250から解除情報を受信すると、解除情報が示す外部装置との通信の遮断を解除する処理を行う構成であるとしたが、これに限定するものではない。検知車両の車載装置は、ファームウェアの更新が完了すると、完了情報を管理装置200へ送信することなく、外部装置との通信の遮断を解除する処理を行う構成であってもよい。
また、本開示の第1の実施の形態に係る車載通信システム300では、対象車両における車載装置は、ファームウェアの更新が完了すると、更新が完了した旨を示す完了情報を管理装置200へ送信し、管理装置200は、上記車載装置から完了情報を受信すると、通信を制限していた外部装置と対象車両との通信制限を解除させるための解除情報を対象車両へ送信し、対象車両における車載装置は、送信部250から解除情報を受信すると、外部装置との通信の遮断を解除する処理を行う構成であるとしたが、これに限定するものではない。対象車両の車載装置は、ファームウェアの更新が完了すると、完了情報を管理装置200へ送信することなく、外部装置との通信の遮断を解除する処理を行う構成であってもよい。
また、本開示の第1の実施の形態に係る車載通信システム300では、管理装置200が、車載装置から受信したログ情報に基づいて1つの車両1への不正アクセスを検知し、当該車両1すなわち検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得し、取得したバージョン情報に基づいて1または複数の対象車両を選択する構成であるとしたが、これに限定するものではない。管理装置200は、複数の車両1への不正アクセスを検知し、当該複数の車両1すなわち検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報をそれぞれ取得し、取得した各バージョン情報に基づいて1または複数の対象車両を選択する構成であってもよい。
また、本開示の第1の実施の形態に係る管理装置200の機能の一部または全部が、クラウドコンピューティングによって提供されてもよい。すなわち、本開示の実施の形態に係る管理装置200が、複数のクラウドサーバ等によって構成されてもよい。
ところで、各車両への不正アクセスの拡大をより確実に防ぐことが可能な技術が望まれる。
たとえば、ある車両において検知された不正アクセスに対する防衛策を他の車両へ展開する際に、防衛策の展開が必要な車両が多い場合、防衛策の展開が完了するまでに時間を要してしまう。その結果、防衛策の展開が遅れた一部の車両において不正アクセスが発生し、不正アクセスが拡大してしまう。
これに対して、本開示の第1の実施の形態に係る管理装置200では、検知部220は、車両1への不正アクセスを検知する。取得部230は、検知部220によって不正アクセスが検知された車両1である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する。選択部240は、取得部230によって取得されたソフトウェア情報に基づいて、複数の車両1の中から1または複数の対象車両を選択する。送信部250は、選択部240によって選択された対象車両へ、不正アクセスを防ぐための処理情報を送信する。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する構成により、たとえば各車両1における組み込みソフトウェアの状態に応じて各車両1に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両1におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1への防衛策の展開を優先的に行うことができる。
したがって、本開示の第1の実施の形態に係る管理装置200では、各車両への不正アクセスの拡大をより確実に防ぐことができる。
また、本開示の第1の実施の形態に係る管理装置200では、送信部250は、処理情報として、対象車両と外部との通信を制限させるための情報を対象車両へ送信する。
このような構成により、対象車両の車外から対象車両への不正アクセスをより確実に防ぐことができる。
また、本開示の第1の実施の形態に係る管理装置200では、送信部250は、処理情報として、対象車両の車載装置において更新すべきソフトウェアの情報を対象車両へ送信する。
このような構成により、対象車両における車載装置に組み込まれたソフトウェアを、たとえば不正アクセスに対するセキュリティが強化されたソフトウェアに更新することができるため、対象車両における車載装置への不正アクセスをより確実に防ぐことができる。
また、本開示の第1の実施の形態に係る管理装置200では、記憶部260は、複数の車両1の各々における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を記憶する。
このような構成により、ある車両1において不正アクセスが検知された際に、記憶部260を参照することにより、当該車両1における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を容易に取得することができる。これにより、取得したバージョン情報を用いて、対象車両の選択を早期に行ったり、ユーザに通知するための不正アクセスに関する情報を早期に生成したりすることができる。
また、本開示の第1の実施の形態に係る管理装置200では、取得部230は、ソフトウェア情報として、検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得する。選択部240は、取得部230よって取得されたバージョン情報と、検知車両以外の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果に基づいて、対象車両を選択する。
これにより、ソフトウェアのバージョン情報の観点から、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1をより正確に選択することができる。
また、本開示の第1の実施の形態に係る通信システム400は、管理装置200と、車両1に搭載される車載装置とを備える。車載装置は、ログ情報を管理装置200へ送信する。管理装置200は、車載装置から受信したログ情報に基づいて、車両1への不正アクセスを検知する。管理装置200は、不正アクセスが検知された車両1である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する。管理装置200は、取得したソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択する。管理装置200は、選択した対象車両へ、不正アクセスを防ぐための処理情報を送信する。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する構成により、たとえば各車両1における組み込みソフトウェアの状態に応じて各車両1に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両1におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1への防衛策の展開を優先的に行うことができる。
したがって、本開示の第1の実施の形態に係る通信システム400では、各車両への不正アクセスの拡大をより確実に防ぐことができる。
また、本開示の第1の実施の形態に係る車両通信管理方法は、管理装置200における車両通信管理方法である。この車両通信管理方法では、まず、管理装置200が、車両1への不正アクセスを検知する。次に、管理装置200が、不正アクセスが検知された車両1である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する。次に、管理装置200が、取得したソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択する。次に、管理装置200が、選択した対象車両へ、不正アクセスを防ぐための処理情報を送信する。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する方法により、たとえば各車両1における組み込みソフトウェアの状態に応じて各車両1に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両1におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1への防衛策の展開を優先的に行うことができる。
したがって、本開示の第1の実施の形態に係る車両通信管理方法では、各車両への不正アクセスの拡大をより確実に防ぐことができる。
また、本開示の第1の実施の形態に係る車両通信管理方法は、管理装置200と、車両1に搭載される車載装置とを備える通信システムにおける車両通信管理方法である。この車両通信管理方法では、まず、車載装置が、ログ情報を管理装置200へ送信する。次に、管理装置200が、車載装置から受信したログ情報に基づいて、車両1への不正アクセスを検知する。次に、管理装置200が、不正アクセスが検知された車両1である検知車両における1または複数の車載装置に組み込まれたソフトウェアの状態を示すソフトウェア情報を取得する。次に、管理装置200が、取得したソフトウェア情報に基づいて、複数の車両の中から1または複数の対象車両を選択する。次に、管理装置200が、選択した対象車両へ、不正アクセスを防ぐための処理情報を送信する。
このように、検知車両における車載装置に組み込まれたソフトウェアの情報を用いて対象車両を選択し、対象車両へ、不正アクセスを防ぐための処理情報を送信する方法により、たとえば各車両1における組み込みソフトウェアの状態に応じて各車両1に優先度を設定し、不正アクセスを防ぐための処理情報を優先度に応じて送信することができる。これにより、各車両1におけるソフトウェアの状態を考慮して、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1への防衛策の展開を優先的に行うことができる。
したがって、本開示の第1の実施の形態に係る車両通信管理方法では、各車両への不正アクセスの拡大をより確実に防ぐことができる。
次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係る車載通信システムと比べて、管理装置がアラート関連情報をユーザへ通知する車載通信システムに関する。以下で説明する内容以外は第1の実施の形態に係る車載通信システムと同様である。
[管理装置]
図13は、本開示の第2の実施の形態に係る管理装置の構成を示す図である。
図13を参照して、管理装置201は、受信部210と、検知部220と、取得部230と、選択部240と、送信部250と、記憶部260と、検索部270と、通知部280とを備える。
取得部230は、検知車両を含む複数の車両1のバージョン情報を記憶部260から取得すると、取得したバージョン情報、検知車両のIDおよび検知車載装置のIDを選択部240および検索部270へ出力する。
検索部270は、検知車両における1または複数の車載装置のソフトウェアのバージョン情報と、検知車両以外の車両1における車載装置のソフトウェアのバージョン情報との比較結果に基づいて、所定の検索条件に従って車両1の検索を行う。
たとえば、検索部270は、取得部230から受けたバージョン情報を用いて、複数の車両1のうち、検知車載装置のソフトウェアのバージョンと同じバージョンの車載装置を含む車両1を検索する。
たとえば、検索部270は、取得部230から受けたバージョン情報を用いて、複数の検知車両のうち、車載ネットワーク12における検知車載装置の機能または役割が同じであるなど、検知車載装置同士が対応する検知車両を検索する。
たとえば、検索部270は、取得部230から受けたバージョン情報を用いて、複数の検知車両のうち、検知車載装置同士が対応し、かつ、検知車載装置のバージョンが同じである検知車両を検索する。
検索部270は、検知車両のID、検知車載装置のIDおよび検索結果を通知部280へ出力する。
通知部280は、検索部270から受けた検知車両のID、検知車載装置のIDおよび検索結果に基づいて、アラート関連情報の内容を図示しない表示装置に表示するなど、アラート関連情報の内容のユーザへの通知を行う。
図14は、本開示の第2の実施の形態に係る管理装置における通知部が通知する通知内容の一例を示す図である。
図14を参照して、通知部280は、検知車両における不正アクセスの発生時刻、検知車両のID、検知車載装置の名称などの識別情報、検知車載装置のソフトウェアのバージョン情報、検知車載装置のソフトウェアのバージョンと同じバージョンの車載装置を含む車両1の件数、検知車載装置同士が対応する検知車両の件数、および検知車載装置同士が対応し、かつ、検知車載装置のバージョンが同じである検知車両の件数が、アラート情報ごとに表示された画面を図示しない表示装置に表示する。
なお、本開示の第2の実施の形態に係る管理装置201では、取得部230は、検知車両を含む複数の車両1のバージョン情報を記憶部260から取得する構成であるとしたが、これに限定するものではない。記憶部260は、バージョン情報を記憶せず、取得部230は、バージョン情報を管理装置200の外部から取得する構成であってもよい。
また、通知部280は、図14に示すような各種情報が表示された画面を図示しない表示装置に表示する構成であるとしたが、これに限定するものではない。通知部280は、上記各情報の一部を表示装置に表示しない構成であってもよい。また、通知部280は、上記各情報を、表示装置に表示する以外の方法たとえば音声によりユーザへ通知する構成であってもよい。
以上のように、本開示の第2の実施の形態に係る管理装置201では、通知部280は、検知車両において不正アクセスが検知された車載装置に組み込まれたソフトウェアのバージョン情報、検知車両において不正アクセスが検知された車載装置の識別情報、および検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報と検知車両以外の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報との比較結果、に少なくとも基づいて検索された車両の件数をユーザへ通知する。
このような構成により、たとえば、検知部220により複数の車両1において不正アクセスが検知された場合、たとえば、検知された不正アクセスごとに、検知車両におけるバージョン情報と同じバージョン情報を有する車両1の台数をユーザへ通知することができるため、検知車両において検知された不正アクセスと同様の不正アクセスが発生する可能性のある車両1の台数をユーザへ通知することができる。これにより、ユーザによる、優先的に防衛策の展開に着手すべき不正アクセスの選択が容易となる。
その他の構成および動作は第1の実施の形態に係る車載通信システム300と同様であるため、ここでは詳細な説明を繰り返さない。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
車両への不正アクセスを検知する検知部と、
前記検知部によって前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報、および前記検知車両以外の複数の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得する取得部と、
前記取得部によって取得された、前記検知車両における前記バージョン情報と、前記複数の車両におけるバージョン情報との類似度に基づいて、前記複数の車両の中から1または複数の対象車両を選択する選択部と、
前記検知部によって前記不正アクセスが検知された前記検知車両、および前記選択部によって選択された前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信する送信部とを備える、管理装置。
[付記2]
管理装置と、
車両に搭載される車載装置とを備え、
前記車載装置は、ログ情報を前記管理装置へ送信し、
前記管理装置は、前記車載装置から受信した前記ログ情報に基づいて、前記車両への不正アクセスを検知し、
前記管理装置は、前記不正アクセスが検知された前記車両である検知車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報、および前記検知車両以外の複数の車両における1または複数の車載装置に組み込まれたソフトウェアのバージョン情報を取得し、
前記管理装置は、前記検知車両における前記バージョン情報と、前記複数の車両におけるバージョン情報との類似度に基づいて、前記複数の車両の中から1または複数の対象車両を選択し、
前記管理装置は、検知した前記検知車両および選択した前記対象車両へ、前記不正アクセスを防ぐための処理情報を送信する、通信システム。