WO2018070155A1

WO2018070155A1 - 情報処理装置、情報処理方法、および情報処理システム

Info

Publication number: WO2018070155A1
Application number: PCT/JP2017/032505
Authority: WO
Inventors: 伸義森田; 信萱島; 信隆川口; 恒太井手口
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2016-10-14
Filing date: 2017-09-08
Publication date: 2018-04-19
Also published as: JP2018062320A

Abstract

情報処理装置は車両に搭載され、ログが記憶される記憶部と、通信に関する異常を検知し、異常の検知に係るログを記憶部に記憶させる異常検知部と、異常検知部が異常を検知すると、車両の機能を制限する暫定対処制御部とを備える。

Description

情報処理装置、情報処理方法、および情報処理システム

　本発明は、情報処理装置、情報処理方法、および情報処理システムに関する。

　自動車の車載システムはインターネットなどの外部ネットワークとつながることにより、センタシステムからインターネット経由で利用者に様々なサービスを提供するようになりつつある。これにともない、従来の閉じた車載システムとは異なり、外部からの攻撃に対する備えが重要になってきている。外部からの攻撃に対して、車載システムで発生する異常を検知し、その原因をより処理性能の高いセンタシステムで分析し、その分析結果に基づいた対策を実施する事後対処が有効とされている。
　たとえば、特許文献１には、自動車の所定の部位に取り付けられたセンサと、このセンサによる検出値について一次判定を行う第１の判定手段と、前記第１の判定手段によって「異常あり」と認められた判定結果を、通信回線を介して、第２のデータ分析通信装置に送信する送信手段と、前記第２のデータ分析通信装置より送信される判定結果を受信する受信手段を有する第１のデータ分析通信装置が自動車に搭載され、前記第１のデータ分析通信装置から送信された判定結果を受信する受信手段と、受信された判定結果について独自の判定を行う第２の判定手段と、前記第１のデータ分析通信装置に送信する送信手段を有する第２のデータ分析通信装置が、前記自動車の保守点検を行うサービスセンターに配設されていることを特徴とするデータ分析通信装置が開示されている。

日本国特許第３５５６４５８号

　特許文献１に記載されている発明では、通信の異常が検出された際に暫定的な対処ができない。

　本発明の第１の態様による情報処理装置は、車両に搭載される情報処理装置であって、ログが記憶される記憶部と、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える。
　本発明の第２の態様による情報処理方法は、車両に搭載され、ログが記憶される記憶部を備える情報処理装置が実行する情報処理方法であって、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させることと、前記異常を検知すると、前記車両の機能を制限することとを有する。
　本発明の第３の態様による情報処理システムは、車両に搭載される複数の装置から構成される情報処理システムであって、ログが記憶される記憶部と、通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える。

　本発明によれば、通信の異常が検出された際に暫定的な対処ができる。

情報処理装置の機能構成を示す図ログ情報の一例を示す図異常度判定ルール情報の一例を示す図機能制約ルール情報の一例を示す図車両状態更新ルール情報の一例を示す図異常を検知した際の処理を示すフローチャート異常対策情報を受信した際の処理を示すフローチャートＨＭＩ制御部が表示させる画面表示の一例を示す図第２の実施の形態における第１情報処理装置、および第２情報処理装置の機能構成を示す図

－第１の実施の形態の概要－
　以下、図１～図８を参照して、情報処理装置の第１の実施の形態を説明する。
　本実施の形態では、車両に搭載される情報処理装置が通信に関する異常を検知すると、暫定的に車両の機能を制限する。そしてこの異常に対する対処がなされると、この制限を解除する。通信に関する異常の検知とは、ＤｏＳ（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ）などの攻撃の直接の検知だけでなく、スケジュールどおりに通信が行われていないことなど攻撃があったことの間接的な検知や設定ミスなどが原因と考えられる通信に関する様々な異常の検知も含む。本実施の形態では、情報処理装置が搭載される車両に乗車している人間を「ユーザ」と呼ぶ。

（構成）
　図１は、第１の実施の形態における情報処理装置１の機能構成を示す図である。情報処理装置１は車両に搭載され、車内の通信バス２を介して他の情報処理装置に接続されている。ただし通信バス２は物理的には複数の通信バスであり、これらの通信バスの規格はすべて同一でもよいし異なっていてもよい。これら通信バスの規格はＣＡＮ（登録商標），ＬＩＮ（登録商標），ＦｌｅｘＲａｙ（登録商標），イーサネット（登録商標）などである。
　各装置間及び車外との通信は暗号技術などを用いた安全な通信路を利用すればよく、各装置で利用する暗号用の鍵及びシードは安全に配布、管理、更新されていればよく、エンジン起動時／停止時、製品開発時、メンテナンス時などの任意のタイミングで配布や更新が行なわれてもよい。

　情報処理装置１は、異常を検出すると異常を検出した際のログを不図示の対策導出装置に送信する。対策導出装置は、ログを解析してその対策を決定し、情報処理装置１に検出された異常への対策を示す情報（以下、「異常対策情報」と呼ぶ）を送信する。ただし対策導出装置がログを受信してから異常対策情報を送信するまでにはある程度の時間を要する。そのため情報処理装置１は、後述するように暫定的な対策を行う。なお対策導出装置は、車両の内部に存在するＥＣＵなどの装置でもよいし、車両の外部に存在する、たとえばネットワークに接続されるサーバでもよい。

　情報処理装置１は、不図示のＣＰＵ，不図示のＲＯＭ，および不図示のＲＡＭを備え、ＲＯＭに格納されたプログラムをＣＰＵがＲＡＭに展開して実行することにより以下の機能を実現する。すなわち情報処理装置１はその機能として、異常検知部１２、異常度判定部１３、暫定対処制御部１４、ＨＭＩ制御部１５、および車両状態更新部１６を備える。また情報処理装置１は、通信インタフェースであり通信に必要な演算を行う通信部１１、および不揮発性の記憶装置である暫定対処関連情報記憶部１７を備える。

　通信部１１は、通信バス２を介して前述の対策導出装置を含む他の情報処理装置からの送信メッセージを受信するとともに、通信バス２を介して他の情報処理装置に対してメッセージを送信する。前述のとおり通信バス２は物理的に複数の通信バスから構成されており、通信部１１は物理的な通信バスと同数の接続ポートを有する。なお、対策導出装置が車両の外部に存在する場合、通信部１１はさらに携帯電話網や無線ＬＡＮ等の公衆無線回線との無線通信機能を有しており、この無線通信機能を用いて対策導出装置との間で通信を行う。異常検知部１２は、予め決められた既知のルールに基づいて通信の異常を検知する。異常度判定部１３は、後述する異常度判定ルール情報１７２を参照して、検知した異常の深刻度を判定する。

　暫定対処制御部１４は、異常検知部１２が通信の異常を検出すると車両の機能を制限し、この異常への対策が実施されると車両の機能制限を解除する。なお以下では、車両の機能制限を行っている状態を「縮退モード」とも呼び、車両の機能制限を行っていない状態を「通常モード」とも呼ぶ。本実施の形態における通常モードと縮退モードの相違点は以下の３点である。すなわち第１に、後に機能制約ルール情報１７３を用いて説明するように、縮退モードでは通信バス２を構成する複数の通信バスのうち、異常が検出された装置が属する通信バスを流れる特定のＣＡＮ＿ＩＤを有するメッセージが破棄される。第２に、後に車両状態更新ルール情報１７４を用いて説明するように、縮退モードでは特定のＣＡＮ＿ＩＤのデータサイズが制限され、制限されたサイズを超えるメッセージは破棄される。なお通常モードでも特定のＣＡＮ＿ＩＤのデータサイズが制限されるが、縮退モードよりもその制限は緩やかである。第３に、縮退モードでは情報処理装置１の動作ログが対策導出装置に逐次送信される。なお動作モードが通常モードと縮退モードのいずれかであるかを示す情報は、情報処理装置１が備える不揮発性メモリ、たとえば暫定対処関連情報記憶部１７に記憶され、情報処理装置１への電源供給が停止されても保持される。

　ＨＭＩ制御部１５は、通信バス２または不図示のケーブルにより接続されるインタフェース装置への表示指令を出力し、ユーザの入力を受け付ける。すなわちＨＭＩ制御部１５は、液晶ディスプレイなどの表示制御機能とタッチパネルやボタンなどへの入力受付機能とを備える。ただしこの入力受付機能は、ユーザの発話を処理してもよい。
　車両状態更新部１６は、通信部１１が対策導出装置から受信する異常対策情報の正しさを検証し、必要であれば車両状態の更新を制御する。車両状態の更新とは、たとえばソフトウエアの更新である。

　暫定対処関連情報記憶部１７には、異常検知に関連するログであるログ情報１７１、検知した異常の重要度を判定するためのルールが定義された異常度判定ルール情報１７２、暫定対処制御部１４によって実行される暫定対処の内容が定義された機能制約ルール情報１７３、外部から受信するデータサイズに関するルールが定義された車両状態更新ルール情報１７４、および不図示の縮退モードにおける情報処理装置１の動作ログが記憶される。

（ログ情報）
　図２は、ログ情報１７１の一例を示す図である。ログ情報１７１はたとえば図２に示すようにテーブル形式で記録されており、複数のログがそれぞれのレコードとして格納される。各レコードは複数のフィールド、すなわち、ログＩＤ１７１１、異常発生元１７１２、異常コード１７１３、および時刻１７１４から構成される。ただし本実施の形態では、各フィールドに格納された値をフィールドの名称でも呼ぶ。たとえば「異常コード１７１３に格納された値」を「異常コード１７１３」とも呼ぶ。

　ログＩＤ１７１１には、ログ情報を識別するためのＩＤが格納される。異常発生元１７１２には、異常を検知した装置或いは通信ポートなどの異常が検知された箇所に関する情報が格納される。異常コード１７１３には、異常検知部１２により検知された異常の種類を示すコードが格納される。異常の種類はたとえば、ＤｏＳ攻撃、不正なＣＡＮ　ＩＤを用いたメッセージの受信、異なる周期で送信されたメッセージの受信、その他、などに分類される。なお異常コード１７１３に異常の種類を示すコードを格納する代わりに、異常内容そのものを格納してもよい。時刻１７１４には、異常検知部１２が異常を検知した時刻の情報が格納される。時刻１７１４に格納される時刻は、たとえば異常が検知されたそれぞれの時間でもよいし、同一の異常が検知された最初の時間と最後の時間でもよい。

（異常度判定ルール情報）
　図３は、異常度判定ルール情報１７２の一例を示す図である。異常度判定ルール情報１７２はたとえば図３に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。異常度判定ルール情報１７２は、異常コード１７２１、異常内容１７２２、および異常度１７２３のフィールドから構成される。
　異常コード１７２１には、異常内容を識別するためのコードが格納される。なお、この異常コード１７２１に格納される値と、異常度判定ルール情報１７２の異常コード１７１３に格納される値は同一の意味を有する。異常内容１７２２には、通信に関する異常として予め設定された攻撃内容などが格納される。異常度１７２３には、異常内容１７２２の深刻さに応じて予め設定される値が格納される。

（機能制約ルール情報）
　図４は、機能制約ルール情報１７３の一例を示す図である。機能制約ルール情報１７３はたとえば図４に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。機能制約ルール情報１７３は、通信ポート１７３１、対象ＣＡＮ＿ＩＤ１７３２、および通信制約１７３３のフィールドから構成される。
　受信ポート１７３１には、情報処理装置１に接続された通信バス２ごとに定められたポート番号が格納される。たとえば、情報処理装置１に３本の通信バスが接続されている場合、それぞれの通信バスとの接続ポートを、ｐｏｒｔ１、ｐｏｒｔ２、ｐｏｒｔ３として識別する。対象ＣＡＮ＿ＩＤ１７３２は受信ポート１７３１を介して通信されるＣＡＮメッセージのうち、機能制約を課す対象となるＣＡＮメッセージに付与されるＣＡＮ＿ＩＤの集合を示す。あるＣＡＮ＿ＩＤが機能制約を課す対象となるか否かは、情報処理装置１の工場出荷時にあらかじめ設定されている。ただし情報処理装置１の工場出荷後に機能制約ルール情報１７３が書き換えられてもよい。通信制約１７３３は、対象ＣＡＮ＿ＩＤ１７３２で定義されたＣＡＮ＿ＩＤが付与されたＣＡＮメッセージに対する通信制約の実施状況、すなわち通信の制約が「制約実施中」であるか「解除中」であるかを示す。

（車両状態更新ルール情報）
　図５は、車両状態更新ルール情報１７４の一例を示す図である。車両状態更新ルール情報１７４はたとえば図５に示すようにテーブル形式で記録されており、複数のフィールドとレコードから構成される。車両状態更新ルール情報１７４は、対象ＣＡＮ＿ＩＤ１７４１、車両状態１７４２、および合計データサイズ閾値１７４３のフィールドから構成される。

　対象ＣＡＮ＿ＩＤ１７４１には、当該レコードに記載されたルールを適用する対象となるＣＡＮ＿ＩＤが格納される。車両状態１７４２には、当該レコードに記載されたルールを適用する対象となる車両の状態、すなわち通常モードまたは縮退運転モードが格納される。合計データサイズ閾値１７４３には、情報処理装置１が受け入れ可能な受信メッセージのデータサイズの上限値が格納される。
　なお、暫定対処関連情報記憶部１７のログ情報１７１、異常度判定ルール情報１７２、機能制約ルール情報１７３、および車両状態更新ルール情報１７４に格納される情報は、図２～図５に示したようなテーブル形式以外の情報であってもよい。すなわち、図２～図５に示す情報と同様の情報を格納できればよく、格納する形式は問わない。

（縮退モードへ移行するフローチャート）
　図６は、情報処理装置１が異常を検知した際の処理を示すフローチャートである。以下に説明する各ステップの実行主体は、情報処理装置１の不図示のＣＰＵである。
　ステップＳ２１では、異常検知部１２は予め決められたルールに基づいて通信に関する異常を検知する。そして異常検知部１２は、異常度判定ルール情報１７２を参照して検知した異常内容に対応する異常コードを特定し、この異常コードを含むログをログ情報１７１に格納する。

　続くステップＳ２２では、異常度判定部１３はステップＳ２１において検知した異常と、異常度判定ルール情報１７２とに基づいて、検出した異常の異常値を特定する。たとえば異常度判定部１３は、所定時間内に検知された異常のそれぞれの異常値の和を本ステップＳ２２における異常値としてもよいし、検知された最新の異常に対応する異常値のみを本ステップＳ２２における異常値としてもよい。さらに異常度判定部１３は、異常度判定ルール情報１７２を参照することなく、異常の度合いを評価する式を用いて異常値を算出してもよい。

　続くステップＳ２３では、異常度判定部１３はステップＳ２２で算出した異常値が予め定められた閾値を超過するか否かを判断する。算出した異常値が閾値を超過すると判断する場合はステップＳ２４に進み、算出した異常値が閾値を超過しないと判断する場合は図６に示すフローチャートを終了する。
　ステップＳ２４では、暫定対処制御部１４が検出された異常の緊急性が高いか否かを判断する。緊急性の高さは、ステップＳ２２で算出した異常値の大きさに基づき判断してもよいし、検知された異常の種類に基づき判断してもよい。暫定対処制御部１４は、緊急性が高いと判断する場合はステップＳ２５に進み、緊急性が低いと判断する場合はステップＳ２７に進む。

　ステップＳ２５では、暫定対処制御部１４はステップＳ２１で格納したログ情報１７１と機能制約ルール情報１７３に基づいて暫定対処を実行、すなわち縮退モードへ移行する。たとえば、暫定対処制御部１４は、ログ情報１７１における異常発生元１７１２に基づいて、異常発生元１７１２となる装置が接続された通信バスに該当する受信ポート１７３１を特定し、該当する対象ＣＡＮ＿ＩＤ１７３２が付与されたＣＡＮメッセージの通信を破棄し、機能制約ルール情報１７３の通信制約１７３３を「制約実施中」に更新する。

　ステップＳ２６では、暫定対処制御部１４はログ情報１７１に格納されたログ情報１７１を取得し、通信部１１を用いて対策導出装置に送信する。ここでは、一度に全てのログ情報１７１を送信してもよいし、先にログ情報１７１の一部のみを送信しエンジン停止時などのあるタイミングにおいて残りのログ情報１７１を送信してもよい。

　ステップＳ２４において否定判定されると実行されるステップＳ２７では、暫定対処制御部１４は縮退モードへの移行の承認伺いを表示させてユーザの判断を待つ。この表示は、暫定対処制御部１４がＨＭＩ制御部１５に表示制御機能を実行させることにより実現される。続くステップＳ２８では暫定対処制御部１４は、ユーザによる承認が得られたか否かを判断する。この判断は、ＨＭＩ制御部１５に入力受付機能を実行させることにより実現される。暫定対処制御部１４は、承認が得られたと判断する場合はステップＳ２５に進み、承認が得られなかったと判断する場合は図６に示すフローチャートを終了する。
　以上のステップにより、情報処理装置１は、通信に関する異常を検知するとともに、その異常の重要度に応じて暫定対処処理の実行要否を判断する。

（異常対策情報の受信時のフローチャート）
　図７は、情報処理装置１が、異常検知部１２により検知された異常への対策に関する情報、すなわち異常対策情報を対策導出装置から受信した場合の処理を示すフローチャートである。なお受信したメッセージに含まれる情報が異常対策情報であるか否かは、たとえば受信したメッセージに含まれるデータのヘッダ部や受信したメッセージのＣＡＮ＿ＩＤから判断する。なお本フローチャートにより示される処理は、縮退モードだけでなく通常モードでも実行される。

　ステップＳ３１では、車両状態更新部１６は、外部から受信したメッセージを検証する。この検証はたとえば、メッセージが改竄されていないことと、データサイズが規定内であることの両方を検証する。改竄されていないことは、たとえば送信側の装置と事前に共有した秘密鍵を用いて算出されるメッセージ認証コードを生成することにより検証する。またデータサイズが規定内であることは、車両状態更新ルール情報１７４および現在のモードに基づき検証される。
　ステップＳ３２では、ステップＳ３１における検証結果を判断する。検証結果が問題ない、すなわち改竄がされておらずかつデータサイズが規定内であると判断する場合はステップＳ３３に進み、少なくともいずれかの条件が満たされないと判断する場合はステップＳ４３に進む。

　ステップＳ３３では、車両状態更新部１６は、異常対策情報を参照してソフトウエアの更新が必要か否かを判断する。更新が必要と判断する場合はステップＳ３４に進み、更新が不要と判断する場合はステップＳ４１に進む。更新が不要な場合とは、異常対策が機器の交換のみの場合である。
　ステップＳ３４では、車両状態更新部１６は受信した異常対策情報に基づいて、車両状態を更新する。たとえば、車両状態の更新として、設定情報を更新してもよいし、ファームウェアをアップデートしてもよい。

　続くステップＳ３５では、暫定対処制御部１４はステップＳ３４において車両状態が更新されたことを確認する。続くステップＳ３６では、暫定対処制御部１４は車両状態が正常に更新されたか否かを判断し、正常に更新されたと判断する場合はステップＳ３７に進み、正常に更新されていないと判断する場合はステップＳ３９に進む。
　ステップＳ３７では、暫定対処制御部１４は現在のモードが縮退モードであるか否かを判断する。暫定対処制御部１４は、縮退モードであると判断する場合は縮退モードを解除して通常モードに遷移して（Ｓ３８）、本フローチャートを終了する。暫定対処制御部１４は、縮退モードではないと判断すると本フローチャートを終了する。
　ステップＳ３６において否定判定されると実行されるステップＳ３９では、暫定対処制御部１４はロールバック、すなわち車両状態を更新前の状態に戻す処理を行う。続くステップＳ４０では暫定対処制御部１４は、更新が正常に行われていない旨のエラーメッセージをＨＭＩ制御部１５を用いて出力させて本フローチャートを終了する。

　ステップＳ３３において否定判定されると実行されるステップＳ４１では、暫定対処制御部１４は車両状態を確認する。本ステップではたとえば、異常対策情報に記載されているとおりにオペレータにより車両内の装置が交換されたことを確認する。続くステップＳ４２では、異常対策情報に記載されたとおりに装置が交換されているか否かを判断し、交換されていると判断する場合はステップＳ３７に進み、交換されていないと判断する場合はステップＳ４０に進む。
　ステップＳ４３では、車両状態更新部１６は外部から受信したメッセージを破棄し、本フローチャートを終了する。

（画面表示）
　ＨＭＩ制御部１５による画面表示の例を説明する。
　図８は、図６および図７に示した処理に連動してＨＭＩ制御部１５が表示させる画面表示の一例を示す図である。なお、ＨＭＩ制御部１５が表示制御を実行する対象であるディスプレイは情報処理装置１に備えられていてもよいし、カーナビゲーションやその他の車内の装置に備えられてもよい。
　ＨＭＩ制御部１５は、異常が発生していないことを示す正常画面６０１、暫定対処に移行することへの承認伺いを示す承認伺い画面６０２、暫定対処中であることを示す暫定対処中画面６０３、暫定対処を解除することを示す復旧通知画面６０４を表示させる。承認伺い画面６０２には、承認を受け付けるインタフェースとして承認ボタン６０２１が表示される。
　ＨＭＩ制御部１５は、通常モードでは正常画面６０１を表示させ、図６のステップ２７において正常画面６０１から承認伺い画面６０２に画面遷移させ、図６のステップＳ２５において暫定対処中画面６０３を表示させる。またＨＭＩ制御部１５は、図７のステップＳ３８において暫定対処中画面６０３から復旧通知画面６０４に画面遷移させ、所定時間後に復旧通知画面６０４から正常画面６０１に画面遷移させる。

　以上説明した第１の実施の形態によれば、情報処理装置１は異常を検知し、その異常の評価値が閾値を超過すると、暫定的な対処、すなわち縮退モードへの移行を実行する。そして情報処理装置１は、外部から受信した異常対策情報を検証し、必要であればソフトウエアを更新し、対策が完了したと判断すると縮退モードを解除する。これにより、異常を検知した後も、車両の走行制御を安全な状態に維持しつつ、情報処理装置１の外部でのより詳細な分析及びそれに基づく対策を実行することを可能とする。

　上述した第１の実施の形態によれば、次の作用効果が得られる。
（１）情報処理装置１は車両に搭載される。情報処理装置１は、ログが記憶される暫定対処関連情報記憶部１７と、通信に関する異常を検知し、異常の検知に係るログを暫定対処関連情報記憶部１７に記憶させる異常検知部１２と、異常検知部１２が異常を検知すると、車両の機能を制限する暫定対処制御部１４とを備える。
　そのため情報処理装置１は、通信の異常が検出された際に迅速に暫定的な対処ができる。これはたとえば、ある異常の発生は外部からの攻撃によるものであり、第２、第３の攻撃が続けて到来することを想定して、攻撃の詳細な分析に基づく的確な対策が明らかになっていない段階で、暫定的に迅速に対応するものである。

（２）暫定対処関連情報記憶部１７には、車両の機能が制限された状態におけるログが含まれる。
　そのため、異常が検出された後の様々な情報がログとして記録されるので、異常検出時のログのみを記録する場合に比べて、多くの情報をもとにこの異常への対策を検討することができる。

（３）暫定対処制御部１４は、異常に対する対策が実施されると制限を解除する。
　そのため、車両状態更新部１６によるプログラムの更新やオペレータによる部品の交換がなされると縮退モードを解除し、従来どおりの機能を発揮させることができる。

（４）異常に対する対策はプログラムの更新であり、異常に対する対策は、暫定対処関連情報記憶部１７に記憶されたログに基づいて情報処理装置１の外部で決定され、異常に対する対策の実行に必要な情報が情報処理装置１に入力される。
　そのため、設置スペースや消費電力に制限のある情報処理装置１ではなく、制限が緩やかで潤沢なリソースを有する車両外部のサーバや、演算に特化した車両内の他の装置を利用できるので、プログラムの更新に必要な情報、たとえばパッチの作成を迅速に行える。また情報処理装置１はプログラムの更新に必要な情報の作成に関与しないので、プログラムの更新に必要な情報を作成している最中でも情報処理に専念できる。

（５）情報処理装置１は、画面情報を生成する表示制御部、すなわちＨＭＩ制御部１５を備える。ＨＭＩ制御部１５は、暫定対処制御部１４が車両の機能を制限している場合に、図８の画面６０３に示すように、暫定的な対処を行っていることを示す画面情報を生成する。そのため車両に乗車しているユーザは、車両の機能が制限されている状態にあることを認識することができる。

（変形例１）
　上述した第１の実施の形態では、縮退モードにおいて暫定対処制御部１４は、図４に示した機能制約ルール情報１７３に基づき、通信ポートとＣＡＮ＿ＩＤにより特定されるメッセージを破棄した。しかし、機能安全の観点で装置やサブシステム単位に割り当てられる安全性要求レベルの値などに応じて、制約を課す対象ＣＡＮ＿ＩＤを選定してもよい。なお安全性要求レベルとは、ＡＳＩＬ（Automotive Safety Integrity Level）とも呼ばれ、安全性要求レベルの値とはたとえばＱＭ、ＡＳＩＬ＿Ａ、ＡＳＩＬ＿Ｂ、ＡＳＩＬ＿Ｃ、ＡＳＩＬ＿Ｄなどである。また、装置の種類（情報系サブシステム、安全系サブシステム、パワトレ系サブシステム）に応じて制約を課す対象ＣＡＮ＿ＩＤが選定されてもよい。

（変形例２）
　暫定対処制御部１４は、異常検知部１２が検知した異常の深刻さに応じて複数の縮退モードを切り替え可能に構成してもよい。複数の縮退モードは、機能の制限の度合いが異なり、異常が深刻であるほど機能の制限が厳しい。異常の深刻さはたとえば異常度判定ルール情報１７２に基づく異常度により評価され、たとえば機能制限が最も厳しい場合は機能安全にかかわる通信以外は一切の通信が遮断される。
　この変形例２によれば、第１の実施の形態の作用効果に加えて以下の作用効果が得られる。
（６）暫定対処制御部１４は、異常検知部１２が検知した異常の深刻さに応じて車両の機能を制限する。そのため異常の深刻さに応じた暫定的な対処ができる。たとえば外部からの攻撃が継続して発生している場合に、異常の深刻さを所定時間あたりの異常度１７２３の累積値とすれば、時間の経過とともに車両の機能制限が厳密になり、攻撃を受けた当初の制限は緩やかにしつつ、長期的には攻撃の影響を受ける可能性を低減できる。

（変形例３）
　情報処理装置１が搭載される車両は、車両を制御する主体が異なる手動運転モードと自動運転モードを備えてもよい。この場合、自動運転モードは縮退モードでは無効化される。すなわち縮退モードでは自動運転機能が無効化されることにより、自動運転モードが手動運転モードに切り替えられる。
　さらに自動運転モードから手動運転モードへの切り替えは、運転席に着席しているユーザが運転の準備ができていることを条件としてもよい。たとえば車両に備えられるカメラにより、ユーザが運転可能な状態であることを認識することや、ブレーキに足が置かれていることを認識することを条件として自動運転モードから手動運転モードへの切り替えを行う。

　この変形例３によれば、第１の実施の形態の作用効果に加えて以下の作用効果が得られる。
（７）機能の制限とは、自動運転モードから手動運転モードの切り替えである。
　そのため、攻撃の影響を受けやすい自動運転モードを無効にすることで安全性を向上させることができる。

（変形例４）
　情報処理装置１が異常を検知した際の処理において、承認伺いを表示し、ユーザから承認されない場合は、再度承認伺いを表示してもよい。換言すると、図６のステップＳ２８において否定判断される場合に、ステップＳ２７に戻ってもよい。

（変形例５）
　上述した第１の実施の形態では、情報処理装置１は物理的に複数の通信バスと接続された。しかし情報処理装置１は１つの通信バスのみと接続されてもよい。

（変形例６）
　上述した第１の実施の形態では、緊急性の高さにより承認伺いを行うか否かを判断していた。しかし、緊急性の高さを判断せず常に承認伺いを行うことなく縮退モードへ移行してもよいし、常に承認伺いを行ってから縮退モードへ移行してもよい。

（変形例７）
　上述した第１の実施の形態では、機能制約ルール情報１７３は通信部１１が備える物理ポートである通信ポートごとに通信の制約が設定された。しかし機能制約ルール情報１７３において、論理ポートごとに通信の制約が設定されてもよい。

－第２の実施の形態－
　図９を参照して情報処理装置の第２の実施の形態を説明する。以下の説明では、第１の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第１の実施の形態と同じである。本実施の形態では、主に、第１の実施の形態における情報処理装置が有する機能を複数の装置が分担して備える点で、第１の実施の形態と異なる。

（構成）
　図９は、第２の実施の形態における第１情報処理装置１Ａ、および第２情報処理装置１Ｂの機能構成を示す図である。なお、第１情報処理装置１Ａ、および第２情報処理装置１Ｂにより情報処理システムＳが構成される。
　第１情報処理装置１Ａは、不図示のＣＰＵ，不図示のＲＯＭ，および不図示のＲＡＭを備え、ＲＯＭに格納されたプログラムをＣＰＵがＲＡＭに展開して実行することにより以下の機能を実現する。すなわち第１情報処理装置１Ａはその機能として、異常検知部１２、および異常度判定部１３を備える。また第１情報処理装置１Ａは、通信インタフェースおよび通信に必要な演算を行う第１通信部１１Ａ、および不揮発性の記憶装置である、第１暫定対処関連情報記憶部１７Ａを備える。第１暫定対処関連情報記憶部１７Ａには、ログ情報１７１、および異常度判定ルール情報１７２が格納される。

　第２情報処理装置１Ｂは、不図示のＣＰＵ，不図示のＲＯＭ，および不図示のＲＡＭを備え、ＲＯＭに格納されたプログラムをＣＰＵがＲＡＭに展開して実行することにより以下の機能を実現する。すなわち第２情報処理装置１Ｂはその機能として、暫定対処制御部１４、ＨＭＩ制御部１５、および車両状態更新部１６を備える。また第２情報処理装置１Ｂは、通信インタフェースおよび通信に必要な演算を行う第２通信部１１Ｂ、および不揮発性の記憶装置である、第２暫定対処関連情報記憶部１７Ｂを備える。第２暫定対処関連情報記憶部１７Ｂには、機能制約ルール情報１７３、車両状態更新ルール情報１７４、および不図示の縮退モードにおける第１情報処理装置１Ａの動作ログが記憶される。

　第１情報処理装置１Ａ、および第２情報処理装置１Ｂが備える各機能は第１の実施の形態において情報処理装置１が備える機能と同様である。第１暫定対処関連情報記憶部１７Ａ、および第２暫定対処関連情報記憶部１７Ｂに格納されるそれぞれの情報は、第１の実施の形態において暫定対処関連情報記憶部１７に格納される情報と同様である。
　第１情報処理装置１Ａ、および第２情報処理装置１Ｂは、通信バス２を介して通信することにより、第１の実施の形態における情報処理装置１と同様の機能を発揮する。

　上述した第２の実施の形態によれば、次の作用効果が得られる。
（８）車両に搭載される複数の装置から構成される情報処理システムＳであって、ログが記憶される第２暫定対処関連情報記憶部１７Ｂと、通信に関する異常を検知し、異常の検知に係るログを記憶部に記憶させる異常検知部１２と、異常検知部が異常を検知すると、車両の機能を制限する暫定対処制御部１４とを備える。
　そのため、第１の実施の形態における情報処理装置１を、多様な構成により実現することができる。

（第２の実施の形態の変形例）
　上述した第２の実施の形態では、第１の実施の形態において情報処理装置１が備えていた機能、および構成を２つの装置が分担して備えた。しかし分担する装置の数は２に限定されず、３以上であってもよい。たとえば、異常検知部１２、異常度判定部１３、暫定対処制御部１４、ＨＭＩ制御部１５、および車両状態更新部１６がそれぞれ別の装置に備えられてもよい。

　上述した各実施の形態および変形例では、プログラムは不図示のＲＯＭに格納されるとしたが、プログラムは不揮発性メモリ１８に格納されていてもよい。また、情報処理装置１が通信部１１または不図示の入出力インタフェースを備え、必要なときに入出力インタフェースと情報処理装置１が利用可能な媒体を介して、他の装置からプログラムが読み込まれてもよい。ここで媒体とは、たとえば入出力インタフェースに着脱可能な記憶媒体、または通信媒体、すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号、を指す。また、プログラムにより実現される機能の一部または全部がハードウエア回路やＦＰＧＡにより実現されてもよい。
　上述した各実施の形態および変形例は、それぞれ組み合わせてもよい。
　上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。

　次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。
　日本国特許出願２０１６年第２０２７６８号（２０１６年１０月１４日出願）

　　　　１　…　情報処理装置
　　　　Ｓ　…　情報処理システム
　　　１２　…　異常検知部
　　　１３　…　異常度判定部
　　　１４　…　暫定対処制御部
　　　１５　…　ＨＭＩ制御部
　　　１６　…　車両状態更新部
　　　１７　…　暫定対処関連情報記憶部
　　１７１　…　ログ情報
　　１７２　…　異常度判定ルール情報
　　１７３　…　機能制約ルール情報
　　１７４　…　車両状態更新ルール情報

Claims

　車両に搭載される情報処理装置であって、
　ログが記憶される記憶部と、
　通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、
　前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える情報処理装置。
　請求項１に記載の情報処理装置において、
　前記記憶部には、前記車両の機能が制限された状態におけるログが含まれる情報処理装置。
　請求項１に記載の情報処理装置において、
　前記暫定対処制御部は、前記異常に対する対策が実施されると前記車両の機能の制限を解除する情報処理装置。
　請求項３に記載の情報処理装置において、
　前記異常に対する対策はプログラムの更新であり、
　前記異常に対する対策は、前記記憶部に記憶されたログに基づいて前記情報処理装置の外部で決定され、前記異常に対する対策の実行に必要な情報が前記情報処理装置に入力される情報処理装置。
　請求項１に記載の情報処理装置において、
　前記暫定対処制御部は、前記異常検知部が検知した異常の深刻さに応じて前記車両の機能を制限する情報処理装置。
　請求項１に記載の情報処理装置において、
　画面情報を生成する表示制御部をさらに備え、
　前記表示制御部は、前記暫定対処制御部が前記車両の機能を制限している場合に、暫定的な対処を行っていることを示す画面情報を生成する情報処理装置。
　請求項１に記載の情報処理装置において、
　前記機能の制限とは、自動運転モードから手動運転モードの切り替えである情報処理装置。
　車両に搭載され、ログが記憶される記憶部を備える情報処理装置が実行する情報処理方法であって、
　通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させることと、
　前記異常を検知すると、前記車両の機能を制限することとを有する情報処理方法。
　請求項８に記載の情報処理方法において、
　前記記憶部に前記車両の機能が制限された状態におけるログを記録することをさらに有する情報処理方法。
　請求項８に記載の情報処理方法において、
　前記異常に対する対策が実施されると前記車両の機能の制限を解除することをさらに有する情報処理方法。
　請求項１０に記載の情報処理方法において、
　前記異常に対する対策は、前記記憶部に記憶されたログに基づいて前記情報処理装置の外部で決定され、前記異常に対する対策の実行に必要な情報が前記情報処理装置に入力される情報処理方法。
　請求項８に記載の情報処理方法において、
　前記車両の機能の制限は、前記検知した異常の深刻さに応じた制限である情報処理方法。
　請求項８に記載の情報処理方法において、
　前記車両の機能を制限している場合に、暫定的な対処を行っていることを示す画面情報を生成することをさらに有する情報処理方法。
　請求項８に記載の情報処理方法において、
　前記機能の制限とは、自動運転モードから手動運転モードの切り替えである情報処理方法。
　車両に搭載される複数の装置から構成される情報処理システムであって、
　ログが記憶される記憶部と、
　通信に関する異常を検知し、異常の検知に係るログを前記記憶部に記憶させる異常検知部と、
　前記異常検知部が異常を検知すると、前記車両の機能を制限する暫定対処制御部とを備える情報処理システム。