技術の概要
ノーマルワールドに存在する監視対象を監視する監視装置の信頼性を高める技術です。他の監視装置がシステムを再起動しても、監視対象が監視から外れないよう、監視要求の取得と再開判定を組み合わせて動作します。システムの安定性とセキュリティの両立を目指します。
ユースケース
- 使途1: 車載システムの監視対象の信頼性向上
- 使途2: 再起動後の監視継続性を確保
- 使途3: 現プロセス数と正式プロセス数の比較による再開判断の実装
- 使途4: メモリ改ざん検知と攻撃状態判定によるセキュリティ強化
- 使途5: SOCへの攻撃ログ送信抑制と分析効率化
本技術は、ノーマルワールドに存在する監視対象を監視する監視装置を対象に、他の監視装置がシステムを再起動しても監視対象が監視から外れないようにする仕組みを説明します。監視対象は監視装置以外の監視装置も監視しており、再起動後に監視対象が監視から外れた場合、取得部が監視要求を受領し、状態判定部が再開の可否を判断します。現プロセス数監視部・メモリ改ざん監視部・正式プロセス数保持部・プロセス数比較部・状態判定部が連携します。現時点のプロセス数Nと正式に定めたMを比較し、改ざんの有無と合わせて正常/攻撃/故障を判断します。要求があれば監視を再開するか拒否するかを決め、必要に応じてシステムをリセットします。
本技術は、ノーマルワールドのアプリ層監視を、第1監視部(セキュア領域/トラストゾーン)と第2監視部(ノーマルワールド)で連携させ、監視対象のプロセス生存性とメモリ整合性を同時に検証する監視システムの設計思想を詳述します。第2監視部は監視対象の現プロセス数Nを取得し、予め定めた正式プロセス数Mと比較します。NとMが一致またはNがMより大きい場合、メモリ改ざん監視部が各プロセスのメモリを検査し、改ざんがあるか否かを出力します。状態判定部は改ざんの有無とプロセス生存を組み合わせ、正常/攻撃/故障を判定します。攻撃状態では監視要求の受け入れを抑制し、故障状態では復活したプロセスのみ監視対象に追加するかを判断します。監視要求受領部は再開可否を通知します。第1監視部は第2監視部の監視ログを収集し、攻撃ログはSOCへ送信します。これにより、再起動後も監視が継続され、過剰なログやノイズをSOCで排除できます。本実施形態は車載ECU等の組込み機器にも適用可能です。
