特許ウォッチ

公開番号2025158010
公報種別公開特許公報(A)
公開日2025-10-16
出願番号2024060429
出願日2024-04-03
発明の名称攻撃監視装置、攻撃監視システム及び攻撃監視方法
出願人Astemo株式会社
代理人弁理士法人平木国際特許事務所
主分類G06F 21/55 20130101AFI20251008BHJP(計算;計数)
要約【課題】より低リソースな車載システムでサイバー攻撃の監視を継続できる攻撃監視装置、攻撃監視システム及び攻撃監視方法を提供する。
【解決手段】車両Vに実装された攻撃監視装置100であって、脅威シナリオに基づいて第1監視対象501のログを分析することによりサイバー攻撃の発生可能性を算出する車両側攻撃分析部122と、車両Vの外部のサーバ200に実装されて脅威シナリオに基づいて第2監視対象502のログを分析することによりサイバー攻撃の発生可能性を算出するサーバ側攻撃分析部222に、車両側攻撃分析部122による第1監視対象501のログの分析の処理のオフロードを実行させるか否かを判断するオフロード判断部124とを有する。
【選択図】図2
特許請求の範囲【請求項１】
車両に実装された攻撃監視装置であって、
脅威シナリオに基づいて第１監視対象のログを分析することによりサイバー攻撃の発生可能性を算出する車両側攻撃分析部と、
前記車両の外部のサーバに実装されて前記脅威シナリオに基づいて第２監視対象のログを分析することによりサイバー攻撃の発生可能性を算出するサーバ側攻撃分析部に、前記車両側攻撃分析部による前記第１監視対象のログの分析の処理のオフロードを実行させるか否かを判断するオフロード判断部と、
を有することを特徴とする攻撃監視装置。
続きを表示（約 2,200 文字）【請求項２】
前記攻撃監視装置の処理負荷を測定する処理負荷測定部をさらに有し、
前記オフロード判断部は、前記処理負荷測定部が測定した前記処理負荷が第１の処理負荷閾値を超えているときに、前記サーバ側攻撃分析部に、前記車両側攻撃分析部による前記第１監視対象のログの分析の処理のオフロードを実行させると判断することを特徴とする請求項１に記載の攻撃監視装置。
【請求項３】
前記車両側攻撃分析部は、複数の前記脅威シナリオに基づいて前記第１監視対象のログを分析することにより前記脅威シナリオのそれぞれで想定されたサイバー攻撃の発生可能性を算出し、
前記脅威シナリオのそれぞれに基づいた前記第１監視対象のログの分析の処理ごとのオフロード優先度が記録されたオフロードリストをさらに有し、
前記オフロード判断部は、前記処理負荷測定部が測定した前記処理負荷が前記第１の処理負荷閾値を超えているときに、前記オフロードリストの前記オフロード優先度が高い前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理の順に、前記サーバ側攻撃分析部に、前記車両側攻撃分析部による前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理のオフロードを実行させると判断することを特徴とする請求項２に記載の攻撃監視装置。
【請求項４】
前記オフロード判断部は、前記処理負荷測定部が測定した前記処理負荷が第２の処理負荷閾値以下であるときに、前記オフロードリストの前記オフロード優先度が低い前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理の順に、前記サーバ側攻撃分析部に、前記車両側攻撃分析部による前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理のオフロードを停止させると判断することを特徴とする請求項３に記載の攻撃監視装置。
【請求項５】
前記脅威シナリオで想定されたサイバー攻撃の重点監視を実行するか否かを判断する重点監視判断部をさらに有し、
前記重点監視判断部は、前記脅威シナリオで想定されたサイバー攻撃の発生可能性が発生可能性閾値を超えているときに、前記車両側攻撃分析部に、前記車両側攻撃分析部による前記脅威シナリオに基づいたログの分析の処理を行う前記第１監視対象の範囲及び前記車両側攻撃分析部による前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理の内容のいずれかの変更を伴う前記重点監視を実行させると判断することを特徴とする請求項４に記載の攻撃監視装置。
【請求項６】
前記脅威シナリオのそれぞれで想定されたサイバー攻撃ごとの重点監視優先度が記録された重点監視リストをさらに有し、
前記重点監視判断部は、前記脅威シナリオで想定されたサイバー攻撃の前記発生可能性が前記発生可能性閾値を超えているときに、前記重点監視リストの前記重点監視優先度が高い前記脅威シナリオで想定されたサイバー攻撃の順に、前記車両側攻撃分析部に、前記脅威シナリオで想定されたサイバー攻撃の前記重点監視を実行させると判断することを特徴とする請求項５に記載の攻撃監視装置。
【請求項７】
前記重点監視判断部は、前記重点監視を実行している前記脅威シナリオで想定されたサイバー攻撃の前記発生可能性が前記発生可能性閾値以下であるときに、前記車両側攻撃分析部に、前記発生可能性が前記発生可能性閾値以下である前記脅威シナリオで想定されたサイバー攻撃の前記重点監視を停止させると判断することを特徴とする請求項６に記載の攻撃監視装置。
【請求項８】
前記重点監視判断部は、前記処理負荷測定部が測定した前記処理負荷が前記第１の処理負荷閾値を超えており、前記サーバ側攻撃分析部に前記車両側攻撃分析部による前記第１監視対象のログの分析の処理のオフロードを実行させていない前記脅威シナリオに基づいた前記第１監視対象のログの分析の処理が無いときは、前記重点監視リストの前記重点監視優先度が低い前記脅威シナリオで想定されたサイバー攻撃の順に、前記車両側攻撃分析部に、前記脅威シナリオで想定されたサイバー攻撃の前記重点監視を強制停止させると判断することを特徴とする請求項７に記載の攻撃監視装置。
【請求項９】
前記重点監視判断部は、
前記重点監視を強制停止させた前記脅威シナリオで想定されたサイバー攻撃について、
規定時間の経過前は、前記脅威シナリオで想定されたサイバー攻撃の前記発生可能性が前記発生可能性閾値を超えているときであっても、前記車両側攻撃分析部に、前記脅威シナリオで想定されたサイバー攻撃の前記重点監視を実行させないと判断し、
前記規定時間の経過後に、前記脅威シナリオで想定されたサイバー攻撃の前記発生可能性が前記発生可能性閾値を超えているときに、前記車両側攻撃分析部に、前記脅威シナリオで想定されたサイバー攻撃の前記重点監視を実行させると判断することを特徴とする請求項８に記載の攻撃監視装置。
【請求項１０】
前記処理負荷測定部が測定した前記処理負荷を、前記車両の外部の前記サーバへ送信する通信部をさらに有することを特徴とする請求項９に記載の攻撃監視装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、攻撃監視装置、攻撃監視システム及び攻撃監視方法に関する。
続きを表示（約 2,300 文字）【背景技術】
【０００２】
近年、車載システムでは、インターネット等の通信網を介して車外の装置と繋がることにより、ユーザに様々なサービスを提供する。このため、近年の車載システムでは、外部からのサイバー攻撃に対する備えが重要である。例えば、特許文献１には、車両の外部の監視サーバと、車両に実装された車載システムとを備え、監視サーバと車載システムとは外部ネットワークを介して接続される監視システムが開示されている。車載システムは、３以上の監視部を備える。３以上の監視部は、それぞれ信頼性が異なる実行権限にて動作し、実行権限の信頼性の高い監視部が実行権限の信頼性の低い監視部のソフトウェアを監視する。
【先行技術文献】
【特許文献】
【０００３】
特開２０２３－２８３２号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
ところで、特許文献１の監視システムのような計算リソースに制約のある車載システムでサイバー攻撃を検知する際には、サイバー攻撃の状況、不正侵入検知システム（ＩＤＳ：Intrusion Detection System）の動作状況及びセキュリティ以外の車両機能の動作状況によっては、車載システムの計算リソースが不足する可能性がある。
【０００５】
本発明は、上記の点を鑑みてなされたものであり、より低リソースな車載システムでサイバー攻撃の監視を継続できる攻撃監視装置、攻撃監視システム及び攻撃監視方法を提供することを目的とする。
【課題を解決するための手段】
【０００６】
本発明に係る攻撃監視装置は、車両に実装された攻撃監視装置であって、脅威シナリオに基づいて第１監視対象のログを分析することによりサイバー攻撃の発生可能性を算出する車両側攻撃分析部と、車両の外部のサーバに実装されて脅威シナリオに基づいて第２監視対象のログを分析することによりサイバー攻撃の発生可能性を算出するサーバ側攻撃分析部に、車両側攻撃分析部による第１監視対象のログの分析の処理のオフロードを実行させるか否かを判断するオフロード判断部とを有することを特徴とする。
【発明の効果】
【０００７】
本発明によれば、より低リソースな車載システムでサイバー攻撃の監視を継続できる。
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成および効果は以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【０００８】
実施形態に係る攻撃監視システムを示す概略図。
図１の攻撃監視装置の機能ブロック図。
図２の脅威シナリオ表の例を示す表。
図２のシナリオ進行管理表の例を示す表。
図２の重点監視リストの例を示す表。
図２のオフロードリストの例を示す表。
図１のサーバの機能ブロック図。
図７の監視状態表の例を示す表。
図７の処理負荷グラフの例を示すグラフ。
（Ａ）、（Ｂ）及び（Ｃ）は、脅威シナリオで想定されるサイバー攻撃ごとのセキュリティセンサのマッピングを示す図。
（Ａ）、（Ｂ）及び（Ｃ）は、平常時における脅威シナリオで想定されるサイバー攻撃ごとのログの統合分析の分担を示す図。
攻撃監視装置における重点監視の実行及び停止の処理を示すフローチャート。
攻撃監視装置におけるオフロードを実行させる処理、オフロードを停止させる処理及び重点監視を強制停止する処理を示すフローチャート。
サーバにおけるオフロードの実行及び停止の処理を示すフローチャート。
攻撃監視装置における重点監視の実行の処理を示すフローチャート。
攻撃監視装置における重点監視の停止の処理を示すフローチャート。
攻撃監視装置におけるオフロードの実行の処理を示すフローチャート。
攻撃監視装置におけるオフロードの停止の処理を示すフローチャート。
攻撃監視装置における重点監視の強制停止の処理を示すフローチャート。
（Ａ）、（Ｂ）及び（Ｃ）は、攻撃監視装置の高負荷時における脅威シナリオで想定されるサイバー攻撃ごとのログの統合分析の分担を示す図。
（Ａ）、（Ｂ）及び（Ｃ）は、攻撃発生時における脅威シナリオで想定されるサイバー攻撃ごとのログの統合分析の分担を示す図。
【発明を実施するための形態】
【０００９】
以下、図面を参照して本発明に係る攻撃監視装置、攻撃監視システム及び攻撃監視方法の実施形態について説明する。
【００１０】
まず、本実施形態の攻撃監視システム３００について説明する。図１に示すように、本実施形態の攻撃監視システム３００は、車両Ｖに実装された攻撃監視装置１００と、車両Ｖの外部のサーバ２００とを備える。本実施形態の攻撃監視システム３００は、車両Ｖの内部の攻撃監視装置１００と、車両Ｖの外部のサーバ２００とが連携してサイバー攻撃の分析を行う。攻撃監視装置１００は、車両Ｖの統合ＥＣＵ（Electronic Control Unit）であり、ゾーンＥＣＵ１０３，１０４，１０５での攻撃の検知を統合する。攻撃監視装置１００は、高性能な車載分析エンジンである。
（【００１１】以降は省略されています）

関連特許