WO2018105321A1 - 情報処理装置及び情報処理方法 - Google Patents

Abstract

情報処理装置は、車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得器と、サンプリングログを車両に搭載された送信器から車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力器とを備え、出力器は、さらに、通信データに異常が含まれることを示す異常検知結果を取得器が取得した場合、フルログを送信器からサーバ装置へ送信させるフルログ送信指示を出力する。

Description

情報処理装置及び情報処理方法

　本開示は、車両に搭載される情報処理装置等に関する。

　特許文献１には、車載ネットワークなどにおいて不正データの侵入を検知するための技術が開示されている。

特開２０１４－１４６８６８号公報

　しかしながら、各車両の車載システムが単独で車載システムにおけるデータを適切に監視し、適切な監視レベルを維持することが困難な場合がある。一方、車両の外部のシステムが車載システムにおけるデータを監視する場合、大量の監視対象データが車載システムから外部のシステムへ送信される可能性がある。このような大量の監視対象データを処理するための資源を準備することは容易ではない。

　そこで、本開示は、適切な監視レベルを維持しつつ、車載システムから送信される監視対象データのデータ量を削減することができる情報処理装置を提供することを目的とする。

　本開示の一態様に係る情報処理装置は、車両に搭載される情報処理装置であって、前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得器と、前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力器とを備え、前記出力器は、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する。

　なお、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。

　本開示の一態様に係る情報処理装置等は、適切な監視レベルを維持しつつ、車載システムから送信される監視対象データのデータ量を削減することができる。

図１は、実施の形態におけるセキュリティシステムの構成を示すブロック図である。 図２は、実施の形態におけるサンプリング期間を示す模式図である。 図３は、実施の形態におけるサンプリングログとフルログとの比較図である。 図４は、実施の形態におけるログフォーマットを示すデータ構成図である。 図５は、サンプリング間隔とデータ量との関係を示すグラフである。 図６は、圧縮前後のデータ量を示す比較図である。 図７は、実施の形態におけるセキュリティＥＣＵの基本的な構成を示すブロック図である。 図８は、実施の形態におけるサーバ装置の基本的な構成を示すブロック図である。 図９は、具体例におけるセキュリティシステムの構成を示すブロック図である。 図１０は、具体例におけるセキュリティシステムの変形構成を示すブロック図である。 図１１は、具体例におけるセキュリティＥＣＵの構成を示すブロック図である。 図１２は、具体例におけるセキュリティゲートウェイ装置の構成を示すブロック図である。 図１３は、具体例におけるサーバ装置の構成を示すブロック図である。 図１４は、具体例におけるサンプリングログの送信に関連する動作を示すシーケンス図である。 図１５は、具体例におけるサーバ装置で行われる異常検知処理に関連する動作を示すシーケンス図である。 図１６は、具体例におけるセキュリティＥＣＵで行われる異常検知処理に関連する動作を示すシーケンス図である。 図１７は、具体例におけるセキュリティＥＣＵの動作を示すフローチャートである。 図１８は、具体例におけるセキュリティＥＣＵで行われるログ記録処理の第１態様を示すフローチャートである。 図１９は、具体例におけるセキュリティＥＣＵで行われるログ記録処理の第２態様を示すフローチャートである。 図２０は、具体例におけるセキュリティＥＣＵで行われる異常検知処理を示すフローチャートである。 図２１は、具体例におけるセキュリティＥＣＵで行われるログ送信処理の第１態様を示すフローチャートである。 図２２は、具体例におけるセキュリティＥＣＵで行われるログ送信処理の第２態様を示すフローチャートである。 図２３は、具体例におけるセキュリティＥＣＵで行われるログ送信処理の第３態様を示すフローチャートである。 図２４は、具体例におけるサーバ装置の動作の第１態様を示すフローチャートである。 図２５は、具体例におけるサーバ装置の動作の第２態様を示すフローチャートである。 図２６は、具体例におけるサーバ装置及びセキュリティＥＣＵで行われるサンプリング間隔更新処理の第１態様を示すフローチャートである。 図２７は、具体例におけるサーバ装置及びセキュリティＥＣＵで行われるサンプリング間隔更新処理の第２態様を示すフローチャートである。

　（本開示の基礎となった知見）
　近年、外部ネットワークに接続されるコネクテッドカーの普及が進んでいる。例えば、インターネットに接続される車の数は、２０２０年までに２．５億台に達する可能性がある。

　一方、車両が不正に制御される可能性も指摘され始めている。特に、車載ネットワークの通信規格として広く普及するＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）に不正データが侵入する可能性が指摘されている。そして、不正データによって車両が不正に制御される可能性がある。したがって、不正データによって車両が不正に制御されないように、不正データから車両を保護する技術が検討されている。

　例えば、各車両に搭載されるシステムである車載システムが、不正データから車両を保護するため、車載システムにおけるデータを監視してもよい。しかし、車載システムは、車両に搭載されるため、十分な処理能力を有していない場合がある。そのため、車載システムが単独で車載システムにおけるデータを適切に監視し、適切な監視レベルを維持することが困難な場合がある。

　また、例えば、車両の外部のシステムが、車載システムにおけるデータを監視してもよい。しかし、この場合、大量の監視対象データが車載システムから外部のシステムへ送信される可能性がある。このような大量の監視対象データを処理するための資源を準備することは容易ではない。

　そこで、本開示の一態様に係る情報処理装置は、車両に搭載される情報処理装置であって、前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得器と、前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力器とを備え、前記出力器は、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する。

　これにより、車両に搭載された送信器からサーバ装置へ、データ量が比較的小さいサンプリングログが周期的に送信され、データ量が比較的大きいフルログが異常時に送信される。そして、車両の外部に設けられるサーバ装置は、車載のための要件に制約されない十分な処理能力を用いて、サンプリングログ及びフルログを監視し分析し得る。したがって、情報処理装置は、適切な監視レベルを維持しつつ、車載システムから送信される監視対象データのデータ量を削減することができる。

　例えば、前記取得器は、前記サーバ装置に含まれる前記異常検知器から前記異常検知結果を取得してもよい。

　これにより、情報処理装置は、サンプリングログの送信先であるサーバ装置に含まれる異常検知器から、異常検知結果を取得することができる。サーバ装置に含まれる異常検知器は、車載のための要件に制約されない十分な処理能力を有し得る。また、サーバ装置に含まれる異常検知器は、サンプリングログに従って異常が含まれるか否かを判定し得る。したがって、情報処理装置は、サーバ装置に含まれる異常検知器から、適切な異常検知結果を取得することができる。

　また、例えば、前記情報処理装置は、さらに、前記異常検知器を備え、前記異常検知器は、前記車載ネットワークから前記通信データを取得し、前記通信データに異常が含まれるか否かを判定してもよい。

　これにより、情報処理装置は、車載ネットワークから取得される通信データに従って、通信データに異常が含まれるか否かを適切に判定することができる。また、情報処理装置は、サンプリングログが周期的に車載システムから送信され、フルログが異常時に車載システムから送信されるように、送信器を制御することができる。したがって、通信データに含まれると判定された異常等が適切に分析され得る。

　また、例えば、前記サンプリングログは、それぞれが第１時間長の期間である複数のサンプリング間隔のうち、前記複数のサンプリング間隔にそれぞれ含まれる複数の期間でありそれぞれが前記第１時間長よりも短い第２時間長の期間である複数のサンプリング期間における前記通信データのログであってもよい。

　これにより、サンプリングログのデータ量が適切に削減される。したがって、車載システムから送信される監視対象データのデータ量が適切に削減される。また、車両を不正に制御するための不正データは連続的に送信される可能性が高いため、複数のサンプリング間隔にそれぞれ含まれる複数のサンプリング期間におけるサンプリングログによって、通信データに含まれる異常等が適切に分析され得る。

　また、例えば、前記サンプリングログは、前記複数のサンプリング期間における前記通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームとサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示してもよい。

　これにより、各フレームについて、サンプリング時刻、及び、サンプリング期間において最初のフレームか否か等がサンプリングログによって示される。そして、例えば、サンプリング期間において、最初のフレームとは異なるフレームのサンプリング時刻と、その前のフレームのサンプリング時刻との差等に従って、適切に異常が判定され得る。

　また、例えば、前記フルログは、複数の種別の前記通信データのログであり、前記サンプリングログは、前記複数の種別よりも少ない１以上の種別の前記通信データのログであり、前記複数のサンプリング期間における前記１以上の種別の前記通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームと種別及びサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示してもよい。

　これにより、各フレームについて、サンプリング時刻、及び、同一種別及び同一サンプリング期間において最初のフレームか否か等がサンプリングログによって示される。そして、例えば、同一種別及び同一サンプリング期間において、最初のフレームとは異なるフレームのサンプリング時刻と、その前のフレームのサンプリング時刻との差等に従って、適切に異常が判定され得る。

　また、例えば、前記フルログは、複数の種別の前記通信データのログであり、前記サンプリングログは、前記複数の種別よりも少ない１以上の種別の前記通信データのログであってもよい。

　これにより、サンプリングログのデータ量が適切に削減される。したがって、車載システムから送信される監視対象データのデータ量が適切に削減される。また、複数の種別が１以上の種別に削減されることにより、例えば重要な種別の通信データのログがサンプリングログとして適用され得る。

　また、例えば、前記情報処理装置は、さらに、前記送信器を備え、前記送信器は、前記出力器から出力された前記サンプリングログ送信指示に従って前記サンプリングログを前記サーバ装置へ送信し、前記出力器から出力された前記フルログ送信指示に従って前記フルログを前記サーバ装置へ送信してもよい。

　これにより、情報処理装置は、サンプリングログ及びフルログをサーバ装置へ適時に送信することができる。

　また、例えば、前記送信器は、前記出力器から出力された前記サンプリングログ送信指示に従って、前記サンプリングログを可逆的に圧縮し、圧縮された前記サンプリングログを前記サーバ装置へ送信し、前記出力器から出力された前記フルログ送信指示に従って、前記フルログを可逆的に圧縮し、圧縮された前記フルログを前記サーバ装置へ送信してもよい。

　これにより、サンプリングログ及びフルログが圧縮されて送信される。したがって、情報処理装置は、車載システムから送信される監視対象データのデータ量を削減することができる。

　また、例えば、前記フルログ及び前記サンプリングログは、前記車両に搭載されたログ生成器によって生成され、前記出力器は、前記ログ生成器で生成された前記サンプリングログを前記送信器から前記サーバ装置へ周期的に送信させる前記サンプリングログ送信指示を出力し、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器で生成された前記フルログを前記送信器から前記サーバ装置へ送信させる前記フルログ送信指示を出力してもよい。

　これにより、情報処理装置は、車載システムにおいて生成されたサンプリングログ及びフルログが車載システムからサーバ装置へ送信されるように、車載システムを適切に制御することができる。

　また、例えば、前記サンプリングログは、それぞれが第１時間長の期間である複数のサンプリング間隔のうち、前記複数のサンプリング間隔にそれぞれ含まれる複数の期間でありそれぞれが前記第１時間長よりも短い第２時間長の期間である複数のサンプリング期間における前記通信データのログであり、前記出力器は、さらに、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を変更させる変更指示を出力してもよい。

　これにより、情報処理装置は、サンプリングログに関連するサンプリング間隔の時間長を変更することができる。したがって、情報処理装置は、サンプリングログに、固定のサンプリング間隔では含まれない異常等を含ませることができる。

　また、例えば、前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を短くさせる前記変更指示を出力してもよい。

　これにより、情報処理装置は、異常時以降において、サンプリングログのデータ量を増加させることができる。また、情報処理装置は、サンプリングログに、長いサンプリング間隔では含まれない異常等を含ませることができる。

　また、例えば、前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得しなかった場合、前記ログ生成器に前記第１時間長を長くさせる前記変更指示を出力してもよい。

　これにより、情報処理装置は、異常がない場合、サンプリングログのデータ量を減少させることができる。

　また、例えば、前記第１時間長は、前記通信データに関する複数の種別のそれぞれについて定められ、前記出力器は、前記複数の種別のうちの１つの種別について前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記１つの種別について前記第１時間長を短くさせる前記変更指示を出力してもよい。

　これにより、情報処理装置は、異常時以降において、サンプリングログのデータ量を種別毎に増加させることができる。

　また、例えば、前記第１時間長は、前記通信データに関する複数の種別のそれぞれについて定められ、前記出力器は、前記複数の種別のうちの１つの種別について前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記複数の種別のそれぞれについて前記第１時間長を短くさせる前記変更指示を出力してもよい。

　これにより、情報処理装置は、異常時以降において、サンプリングログのデータ量を種別によらず増加させることができる。したがって、情報処理装置は、異常時以降において、種別によらず詳細な情報をサンプリングログに含ませることができる。

　また、例えば、前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得しなかった場合、前記ログ生成器に短くされた前記第１時間長を長くさせる前記変更指示を出力してもよい。

　これにより、情報処理装置は、異常がない場合、増加したデータ量を減少させることができる。

　また、例えば、前記出力器は、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長をランダムに変更させる前記変更指示を出力してもよい。

　これにより、情報処理装置は、サンプリング間隔を解析されにくくすることができる。したがって、情報処理装置は、不正なデータに基づく異常等がサンプリングログに含まれない現象を抑制することができる。

　また、例えば、前記出力器は、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を線形的に変更させる前記変更指示を出力してもよい。

　これにより、情報処理装置は、サンプリング間隔を様々に変更することができる。したがって、情報処理装置は、サンプリングログに、固定のサンプリング間隔では含まれない異常等を適切に含ませることができる。

　また、例えば、前記取得器は、さらに、前記サーバ装置から前記第１時間長の変更指示を外部指示として取得し、前記出力器は、前記サーバ装置から前記取得器が取得した前記外部指示に従って、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を変更させる前記変更指示を出力してもよい。

　これにより、情報処理装置は、サーバ装置から取得した指示に従って、サンプリング間隔を変更することができる。したがって、サンプリング間隔の集中的な制御が可能になる。

　また、例えば、前記フルログは、複数の種別の前記通信データのログであり、前記サンプリングログは、前記複数の種別のうち１以上の種別の前記通信データのログであり、前記出力器は、前記ログ生成器に前記１以上の種別を特定させる特定情報を出力してもよい。

　これにより、サンプリングログのデータ量が適切に削減される。したがって、車載システムから送信される監視対象データのデータ量が適切に削減される。また、複数の種別が１以上の種別に削減されることにより、例えば重要な種別の通信データのログがサンプリングログとして適用され得る。また、情報処理装置は、サンプリングログに適用される適切な種別を指定することができる。

　また、例えば、前記情報処理装置は、さらに、前記ログ生成器を備え、前記ログ生成器は、前記車載ネットワークから前記通信データを取得し、前記通信データに従って前記フルログ及び前記サンプリングログを生成してもよい。

　これにより、情報処理装置は、車載ネットワークから取得される通信データに従って、サンプリングログ及びフルログを適切に生成することができる。

　また、本開示の一態様に係る情報処理方法は、車両に搭載される情報処理装置が行う情報処理方法であって、前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得ステップと、前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力ステップとを含み、前記出力ステップでは、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得ステップで取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する情報処理方法であってもよい。

　これにより、車両に搭載された送信器からサーバ装置へ、データ量が比較的小さいサンプリングログが周期的に送信され、データ量が比較的大きいフルログが異常時に送信される。そして、車両の外部に設けられるサーバ装置は、車載のための要件に制約されない十分な処理能力を用いて、サンプリングログ及びフルログを監視し分析し得る。したがって、この情報処理方法を行う情報処理装置は、適切な監視レベルを維持しつつ、車載システムから送信される監視対象データのデータ量を削減することができる。

　さらに、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態について図面を参照しながら具体的に説明する。なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、請求の範囲を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態）
　［多層防御及び遠隔監視］
　図１は、本実施の形態におけるセキュリティシステムの構成を示すブロック図である。図１に示されたセキュリティシステム１００は、サーバ装置３００、及び、車載システム４１０等を備える。車載システム４１０は、車両４００に搭載されるシステムであって、セキュリティＥＣＵ４４０、並びに、その他のＥＣＵ４５１及び４５２等を備える。なお、ＥＣＵは、電子制御ユニット（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）であり、エンジン制御ユニット（Ｅｎｇｉｎｅ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）とも呼ばれる。

　車両４００において、車載システム４１０は、４層の多層防御を行う。１層目は、車外通信デバイスにおける防御である。車外通信デバイスは、通信先を認証し、状況に応じて通信を暗号化する。車外通信デバイスは、ヘッドアップディスプレイ４２１、テレマティクス通信ユニット（ＴＣＵ：Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）４２２、Ｖ２Ｘモジュール４２３、又は、ＯＢＤ（Ｏｎ－Ｂｏａｒｄ　Ｄｉａｇｎｏｓｔｉｃｓ）モジュール４２４等である。

　例えば、ヘッドアップディスプレイ４２１は、ＢＬＵＥＴＯＯＴＨ（登録商標）機器又はＵＳＢ機器等と通信する。テレマティクス通信ユニット４２２は、外部サーバ等と通信する。Ｖ２Ｘモジュール４２３は、インフラ等と通信する。ＯＢＤモジュール４２４は、車外の診断デバイス等と通信する。

　また、ヘッドアップディスプレイ４２１のように演算資源に余裕を有する車外通信デバイスは、認証及び暗号化に加えて、車外から受信された通信データを確認し、事前に認められたデータのみを通すフィルタリングを行うことで、不正データの侵入を防ぐ。

　２層目は、ゲートウェイ装置４３０における防御である。ゲートウェイ装置４３０は、ネットワークゲートウェイとも呼ばれ、車外通信デバイスが繋がるネットワークと、車両４００に搭載された制御系ネットワークとを繋ぐ。制御系ネットワークは、車載ネットワークとも呼ばれ、具体的には、ＣＡＮである。ゲートウェイ装置４３０は、車外から受信された通信データを確認し、事前に認められたデータのみを制御系ネットワークへ転送するフィルタリングを行うことで、不正データの侵入を防ぐ。

　３層目は、制御系ネットワークに配置されたセキュリティＥＣＵ４４０における防御である。セキュリティＥＣＵ４４０は、制御系ネットワークに流れる通信データを監視し、通信データのフォーマット、周期、及び、値の変化量等に基づいて、不正データを特定し無効化する。例えば、セキュリティＥＣＵ４４０は、通信データをホワイトリスト又はルールにマッチングすることによって、不正データを特定してもよい。また、セキュリティＥＣＵ４４０は、ＣＡＮのエラーフレームを用いて不正データを無効化してもよい。

　４層目は、ＥＣＵ４５１及び４５２等における防御である。ＥＣＵ４５１及び４５２等は、耐タンパ性を有するように、実装されている。例えば、ＥＣＵ４５１及び４５２等は、セキュアブートによって、ソフトウェアプログラムが改ざんされていないことをチェックしてもよい。また、ＥＣＵ４５１及び４５２等は、セキュアコーディングによって生成されたソフトウェアプログラム、又は、ソースコードが難読化されたソフトウェアプログラムを用いることによって、ソフトウェアプログラムの改ざんを防いでもよい。

　さらに、セキュリティシステム１００は、車載システム４１０における多層防御に加えて、サーバ装置３００において、車両４００の遠隔監視も行う。

　例えば、不正データの侵入方法の高度化によって、不正データが多層防御を通り抜けて侵入する可能性がある。そこで、サーバ装置３００は、多層防御を通り抜けて侵入した不正データを検知してもよい。そして、新たな防御策が適用されてもよいし、ドライバーへ警告が通知されてもよい。また、不正データが多層防御で対処された場合でも、不正アクセスを異常として検知し、不正アクセスの傾向を把握することは、新たな不正データの侵入を防ぐため有用である。

　そこで、例えば、サーバ装置３００は、車載ネットワークにおける通信データのログである通信ログを収集し分析する。さらに、車両４００の外部のサーバ装置３００は、１つの車両４００だけでなく、複数の車両から多くの通信ログを収集し分析し得る。そして、様々な地域における様々な車両から得られる通信ログによって、様々な車両の異常などについて、一元的な把握が可能である。したがって、不正アクセスが頻繁に行われる地域、時間帯及び車種等が特定され得る。

　また、車両４００の外部のサーバ装置３００は、車載のための要件に制約されず、豊富な演算資源を備え得る。したがって、車両４００の外部のサーバ装置３００は、例えば機械学習に基づく高度な異常検知等の複雑な処理を行い得る。したがって、サーバ装置３００は、車載システム４１０が検知できない不正データ、不正アクセス又はそれらの予兆等を検知し得る。

　車両４００の外部のサーバ装置３００は、情報を収集し分析するためのＳＩＥＭ（Ｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｖｅｎｔ　Ｍａｎａｇｅｍｅｎｔ）に対応する処理を行い得る。この処理は、ＡｕｔｏＳＩＥＭ（Ａｕｔｏｍｏｔｉｖｅ　ＳＩＥＭ）とも表現され得る。

　また、例えば、セキュリティシステム１００を運用する組織としてＳＯＣ（Ｓｅｃｕｒｉｔｙ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｏｒ）及びＡＳＩＲＴ（Ａｕｔｏｍｏｔｉｖｅ　Ｓｅｃｕｒｉｔｙ　Ｉｎｃｉｄｅｎｔ　Ｒｅｓｐｏｎｓｅ　Ｔｅａｍ）が存在してもよい。ＳＯＣは、サーバ装置３００における検知結果を監視する組織であり、ＡＳＩＲＴは、異常が検知された場合に、異常の対処を行う組織である。

　そして、例えば、ＡＳＩＲＴは、多層防御で検知されなかった異常がサーバ装置３００において検知された場合、新しい検知ルールを作成する。そして、サーバ装置３００によって、作成された新しい検知ルールがヘッドアップディスプレイ４２１及びセキュリティＥＣＵ４４０等に配布されてもよい。

　サーバ装置３００に接続された端末装置２００は、サーバ装置３００と通信を行う装置であり、ＳＯＣ又はＡＳＩＲＴ等において利用される。例えば、端末装置２００は、サーバ装置３００から異常通知を受信する。

　［データ量の削減］
　上記の通り、サーバ装置３００によって、通信ログが収集され分析される。そのため、車両４００における車載システム４１０は、通信ログをサーバ装置３００へアップロードする。サーバ装置３００は、アップロードされた通信ログを蓄積し分析する。また、例えば、ＳＯＣ及びＡＳＩＲＴ等が、詳細分析及び証拠保全のため、サーバ装置３００から通信ログを端末装置２００へダウンロードする。すなわち、端末装置２００は、ＳＯＣ及びＡＳＩＲＴ等の指示に従って、サーバ装置３００から通信ログをダウンロードする。

　しかしながら、サーバ装置３００へアップロードされる通信ログのデータ量が大きいほど、通信、蓄積及び分析などに、より大きな資源が用いられる。

　例えば、ＣＡＮのビットレートは、おおよそ５００Ｋｂｐｓ～１Ｍｂｐｓ程度である。仮にＣＡＮのビットレートが５００Ｋｂｐｓであった場合、ＣＡＮの通信ログのデータ量は、付加情報などのオーバヘッドを除いても、１時間で２２５ＭＢに到達すると想定される。そして、仮に１万台の車両がサーバ装置３００へ通信ログをアップロードした場合、サーバ装置３００へアップロードされる通信ログのデータ量は、１時間で２２５０ＧＢに到達すると想定される。

　このような大きなデータ量に対応する大きな資源を準備することは容易ではない。そのため、本実施の形態におけるセキュリティシステム１００は、適切な監視レベルを維持しつつ、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量を削減するための構成を備える。

　また、車載システム４１０における各車載デバイスの動作ログが、監視対象データとして車載システム４１０からサーバ装置３００へ送信されてもよい。本実施の形態では、特に、車載ネットワークの通信ログが、監視対象データとして車載システム４１０からサーバ装置３００へ送信される。

　車両４００に対する不正アクセスでは、不正データが車載ネットワークを流れる可能性が高い。したがって、通信ログは、不正アクセスから車両４００を保護するための監視に有用である。一方、様々な車両に広く採用されている車載ネットワークであるＣＡＮの通信ログのデータ量は、上記の通り大きいことが想定される。すなわち、通信ログは監視に有用であるが、そのデータ量は大きい。

　そこで、本実施の形態におけるセキュリティシステム１００は、特に、車載システム４１０からサーバ装置３００へ送信される通信ログのデータ量を削減する。なお、セキュリティシステム１００は、さらに、同様の方法を用いて、車載システム４１０からサーバ装置３００へ送信される動作ログのデータ量を削減してもよい。

　セキュリティシステム１００は、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量を削減するための３つの削減方法を用いる。ここで、データ量が削減される監視対象データは、具体的には、車載システム４１０からサーバ装置３００へ送信される通信ログである。

　１つ目の削減方法は、種別の削減である。具体的には、ＣＡＮを流れる全ての種別のデータフレームのうち重要度の高い種別のデータフレームのみが、車載システム４１０からサーバ装置３００へ送信される監視対象データに含められる。例えば、ＣＡＮを流れる様々な種別の通信データのうち、アクセル又はブレーキ等の通信データは、車の挙動に直接関係するが、ウィンドウ又はワイパー等の通信データは、車の挙動に直接関係しない。

　そこで、ＣＡＮを流れる様々な種別の通信データのうち車の挙動に直接関係する通信データのみが、重要度の高い通信データとして、車載システム４１０からサーバ装置３００へ送信される監視対象データに含められる。例えば、ＣＡＮを流れる全１００種類のデータのうち車の挙動に直接関係する２０種類のデータのみが監視対象データに含められる場合、全１００種類のデータのうち約８０％のデータが削減されることが見込まれる。なお、ＣＡＮにおいて、種別は、データフレームに含まれるＩＤに対応する。

　２つ目の削減方法は、期間の間引きである。具体的には、複数のサンプリング間隔にそれぞれ含まれる複数のサンプリング期間における通信データが、車載システム４１０からサーバ装置３００へ送信される監視対象データに含められる。

　図２は、図１に示されたセキュリティシステム１００で用いられるサンプリング期間を示す模式図である。図２において、サンプリング間隔Ｔ１よりもサンプリング期間Ｔ２は短い。そして、サンプリング間隔Ｔ１における通信データのうち、サンプリング期間Ｔ２における通信データが、車載システム４１０からサーバ装置３００へ送信される監視対象データに含められる。これにより、データ量の（１－Ｔ２／Ｔ１）×１００％が削減される。

　サンプリング期間Ｔ２は、サーバ装置３００において異常を検知するための最小データフレーム数等に従って規定されてもよい。例えば、少なくともＫ個のデータフレームがサーバ装置３００における異常検知アルゴリズムに用いられる場合、少なくともＫ個のデータフレームがサンプリング期間Ｔ２に存在するように、サンプリング期間Ｔ２が規定される。

　具体的には、異常検知アルゴリズムにおいて単一のデータフレーム毎に異常の有無が判定される場合、上記のＫは１である。したがって、この場合、ＣＡＮを周期的に流れる同種のデータフレームの１周期分の期間が、サンプリング期間Ｔ２として規定され得る。

　また、サンプリング間隔Ｔ１は、不正データの侵入が連続して行われる期間よりも短く規定されてもよい。例えば、ＣＡＮにおいて、単発的に流れる各データフレームが車両４００に及ぼす影響は小さく、連続的に流れる複数のデータフレームが車両４００に及ぼす影響は大きい。すなわち、不正データの単発的な侵入が車両４００に及ぼす影響は小さく、不正データの連続的な侵入が車両４００に及ぼす影響は大きい。

　したがって、例えば、不正データの侵入が連続して行われる期間が５秒間と想定される場合、サンプリング間隔Ｔ１は、５秒間よりも短く規定されてもよい。これにより、不正データの侵入によってＣＡＮを流れる異常データが監視対象データに含められる。また、不正データの侵入が連続して行われる期間が長いと想定される場合、サンプリング間隔Ｔ１が長く規定され得る。したがって、この場合、データ量の削減効果が大きい。

　不正データの侵入が連続して行われる期間が想定され難い場合、サンプリング間隔Ｔ１は動的に変更されてもよい。サンプリング間隔Ｔ１は、通信ログの取得タイミングでランダムに変更されてもよいし、車種、地域又は種別毎に、変更されてもよい。これにより、不正データの侵入によってＣＡＮを流れる異常データが、車載システム４１０からサーバ装置３００へ送信される監視対象データに含められる可能性が高くなる。

　サンプリング間隔Ｔ１及びサンプリング期間Ｔ２が適切に規定されることにより、ＣＡＮを流れる異常データが、サーバ装置３００へ送信される監視対象データに含められ、かつ、サーバ装置３００へ送信される監視対象データが削減される。

　３つ目の削減方法は、データ圧縮である。具体的には、車載システム４１０は、ｚｉｐ、ｇｚｉｐ又は７－Ｚｉｐ等のデータ圧縮方法に従って、監視対象データを圧縮することにより、サーバ装置３００へ送信される監視対象データのデータ量を削減してもよい。

　データ圧縮に関して、様々なデータ圧縮方法が、パーソナルコンピュータ向けの様々なソフトウェアプログラムに実装されており、広く利用されている。例えば、バイナリファイルに関して、データ圧縮によって約３０～６０％のデータ量の削減が可能である。バイナリファイルに類する監視対象データに関しても、データ圧縮によってデータ量の削減が見込まれる。実際に監視対象データを圧縮した結果、６９．４％のデータ量が削減された。

　図３は、図１に示されたセキュリティシステム１００で用いられるサンプリングログとフルログとの比較図である。サンプリングログ及びフルログは、それぞれ、ＣＡＮの通信ログであって、監視対象データである。サンプリングログには、上述した３つの削減方法が適用される。すなわち、サンプリングログには、種別の削減、期間の間引き、及び、データ圧縮が適用される。フルログは、上述した３つの削減方法のうち、データ圧縮のみが適用される。

　サンプリングログは、ＣＡＮの全ての通信ログのうち一部の通信ログのみを含む。そのため、サンプリングログのデータ量は、比較的小さい。また、サンプリングログは、通信データに含まれる異常を検知するための最小限のデータを含み得る。

　フルログは、基本的に、ＣＡＮの全ての通信ログを含む。そのため、フルログのデータ量は、比較的大きい。しかしながら、フルログは、ＣＡＮの通信データに関する詳細な情報を含み得る。すなわち、フルログは、通信データに含まれる異常を詳細に示し得る。

　セキュリティシステム１００は、サンプリングログ及びフルログの２種類の監視対象データを適切に使い分ける。すなわち、セキュリティシステム１００は、サンプリングログ及びフルログを選択的に用いる。

　具体的には、セキュリティシステム１００は、通常時の監視のためサンプリングログを生成する。そして、セキュリティシステム１００は、周期的にサンプリングログを車載システム４１０からサーバ装置３００へ送信する。また、セキュリティシステム１００は、異常検知時の詳細分析及び証拠保全のためフルログを生成する。そして、セキュリティシステム１００は、異常検知時にフルログを車載システム４１０からサーバ装置３００へ送信する。

　異常検知時にフルログが送信されることによって、適切な詳細分析及び証拠保全が可能である。一方で、異常発生頻度は少ないと想定されるため、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量は、サンプリングログのデータ量に近似し得る。したがって、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量は小さい。これにより、監視レベルの低下が抑制され、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量が削減される。

　図４は、図１に示されたセキュリティシステム１００で用いられるログフォーマットを示すデータ構成図である。サンプリングログ及びフルログは、図４に示されたログフォーマットで車載システム４１０からサーバ装置３００へ送信される。

　具体的には、車両ＩＤ、タイムスタンプ、長さ、バージョン及び予約が、ログフォーマットのヘッダ部分に含まれる。さらに、フラグ、予約、ＩＤ、ＤＬＣ（データ長コード）、タイムスタンプ及びデータの組でそれぞれが構成されるＮ個の組が、ログフォーマットのペイロード部分に含まれる。

　ヘッダ部分における車両ＩＤは、複数の車両から車両４００を識別するための識別子を示す。ヘッダ部分におけるタイムスタンプは、通信ログがサンプリングログ又はフルログとして送信される時刻を示す。ヘッダ部分における長さは、ペイロード部分の長さを示す。ヘッダ部分におけるバージョンは、ログフォーマットのバージョンを示す。ヘッダ部分における予約は、ヘッダ部分における未使用の領域である。

　ペイロード部分におけるフラグは、そのフラグを含む組におけるデータがサンプリング期間において最初のフレームのデータであるか否かを示す。すなわち、このフラグは、前のデータが欠けているか否かを示す。このフラグは、そのフラグを含む組におけるデータが同一種別及び同一サンプリング期間において最初のフレームのデータであるか否かを示していてもよい。

　ペイロード部分における予約は、ペイロード部分における未使用の領域である。ペイロード部分におけるＩＤは、ＣＡＮのフレームにおけるＩＤであり、通信データの種別を示す。ペイロード部分におけるＤＬＣは、ＣＡＮのフレームにおけるＤＬＣであり、ペイロード部分におけるデータの長さを示す。ペイロード部分におけるタイムスタンプは、ＣＡＮの車載ネットワークからＣＡＮのフレームが取得された時刻であるサンプリング時刻を示す。ペイロード部分におけるデータは、ＣＡＮのフレームにおけるデータである。

　サンプリングログ及びフルログは、さらに、サンプリングログ又はフルログを識別するための識別フラグを含んでいてもよい。例えば、このような識別フラグは、ログフォーマットのヘッダ部分に含まれる。

　発明者は、上記のようなサンプリングログ及びフルログに基づく監視対象データの削減量を評価した。具体的には、１分間におけるＣＡＮの実際の通信データについて、通信ログ、サンプリングログ及びフルログのそれぞれのデータ量を計測することにより、削減量の評価が行われた。評価における通信ログは、データ量が削減されていないログであって、圧縮前のフルログと同じである。通信ログのデータ量は、１１５８ＫＢであった。

　まず、種別の削減が適用された。具体的には、ＣＡＮにおける約１００種の通信データのうち、車の制御に深く関係するステアリング、アクセル、ブレーキ及び車速度の４種の通信データがサンプリングログの生成に用いられた。そして、種別の削減が適用されたサンプリングログのデータ量は、２００ＫＢであった。つまり、元の通信ログのデータ量と比較して、８２．７％のデータ量が削減された。

　次に、種別の削減に加えて、期間の間引きが適用された。その際、サンプリング期間の時間長を７２ｍｓに固定し、サンプリング間隔の時間長を変えながら、通信データのサンプリングログのデータ量が計測された。

　図５は、サンプリング間隔とサンプリングログのデータ量との関係を示すグラフである。図５の通り、サンプリング間隔とサンプリングログのデータ量とは、サンプリング間隔が長いほど、サンプリングログのデータ量が小さいという関係を有する。本評価において、最終的に、１秒のサンプリング間隔が採用された。その結果、期間の間引きが適用されたサンプリングログのデータ量は、１４．４ＫＢであった。すなわち、２００ＫＢから１４．４ＫＢへ、９２．８％のデータ量が削減された。

　さらに、データ圧縮が適用された。具体的には、ｚｉｐ、ｃａｂ、ｇｚｉｐ、ｂｚｉｐ２、ｌｚｈ及び７－Ｚｉｐの７種の圧縮方法のそれぞれを用いて、サンプリングログを圧縮し、圧縮後のデータ量を比較した。

　図６は、圧縮前後のデータ量を示す比較図である。ここで、第１種～第４種は、ステアリング、アクセル、ブレーキ及び車速度の４種に対応する。図６のように、最も圧縮効果の高い圧縮方法は７－Ｚｉｐであり、７－Ｚｉｐによって圧縮されたサンプリングログのデータ量は、４．４ＫＢであった。すなわち、１４．４ＫＢから４．４ＫＢへ、６９．４％のデータ量が削減された。

　なお、第２種及び第４種のデータにおいて、第１種及び第３種のデータよりも、０の値が連続していた。そのため、第２種及び第４種のデータにおいて、高い圧縮効果が得られたと推定される。

　種別の削減、期間の間引き、及び、圧縮によって、最終的に４．４ＫＢのサンプリングログが生成された。すなわち、１１５８ＫＢから４．４ＫＢへ、９９．６％のデータ量が削減された。

　また、７－Ｚｉｐを用いて圧縮された通信ログのデータ量、より具体的には、７－Ｚｉｐを用いて圧縮されたフルログのデータ量は、４６２ＫＢであった。すなわち、フルログに関して、１１５８ＫＢから４６２ＫＢへ、６０．１％のデータ量が削減された。

　上記の通り、サンプリングログ及びフルログの両方においてデータ量が削減され、サンプリングログではフルログよりもデータ量が削減されるという評価結果が得られた。通常時においてサンプリングログが車載システム４１０からサーバ装置３００へ送信されるため、車載システム４１０からサーバ装置３００へ送信される監視対象データのデータ量は、適切に削減されることが期待される。

　［基本構成］
　次に、適切な監視レベルを維持しつつ、車載システム４１０から送信される監視対象データのデータ量を削減するための基本的な構成を説明する。

　図７は、本実施の形態におけるセキュリティＥＣＵ４４０の基本的な構成を示すブロック図である。セキュリティＥＣＵ４４０は、車両４００に搭載される情報処理装置の例である。セキュリティＥＣＵ４４０は、取得器４４１及び出力器４４２を備える。

　取得器４４１は、情報を取得する。具体的には、取得器４４１は、車両４００の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器５１０から取得する。

　出力器４４２は、情報を出力する。具体的には、出力器４４２は、車両４００に搭載された送信器５３０から車両４００の外部のサーバ装置３００へ周期的にサンプリングログを送信させるサンプリングログ送信指示を出力する。また、出力器４４２は、通信データに異常が含まれることを示す異常検知結果が取得された場合、送信器５３０からサーバ装置３００へフルログを送信させるフルログ送信指示を出力する。

　ここで、サンプリングログは、通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログである。また、フルログは、２種類のログのうち単位時間あたりに生じるデータ量がサンプリングログよりも大きいログである。

　例えば、フルログは、複数の種別の通信データのログであってもよい。そして、サンプリングログは、フルログに関する複数の種別よりも少ない１以上の種別の通信データのログであってもよい。

　また、サンプリングログは、複数のサンプリング間隔のうち、複数のサンプリング間隔にそれぞれ含まれる複数のサンプリング期間における通信データのログであってもよい。ここで、複数のサンプリング間隔のそれぞれは、第１時間長の期間である。また、複数のサンプリング期間のそれぞれは、第１時間長よりも短い第２時間長の期間である。

　また、サンプリングログは、複数のサンプリング期間における通信データを構成する各フレームについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示していてもよい。ここで、当該フレームが最初のフレームであるか否かは、例えば、当該フレームとサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否かである。

　また、サンプリングログは、複数のサンプリング期間における１以上の種別の通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示していてもよい。ここで、当該フレームが最初のフレームであるか否かは、例えば、当該フレームと種別及びサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否かである。

　また、例えば、ログ生成器５２０は、車載ネットワークから通信データを取得し、通信データに従ってフルログ及びサンプリングログを生成する。ログ生成器５２０は、車載ネットワークから通信データを直接的に取得することに限られず、車載ネットワークから他の装置を介して通信データを間接的に取得してもよい。例えば、ログ生成器５２０は、車載ネットワークから、通信データが蓄えられるメモリを介して、通信データを取得してもよい。また、ログ生成器５２０は、セキュリティＥＣＵ４４０に含まれていてもよい。

　そして、出力器４４２は、ログ生成器５２０で生成されたサンプリングログを送信器５３０からサーバ装置３００へ周期的に送信させるサンプリングログ送信指示を出力してもよい。また、通信データに異常が含まれることを示す異常検知結果が取得された場合、出力器４４２は、ログ生成器５２０で生成されたフルログを送信器５３０からサーバ装置３００へ送信させるフルログ送信指示を出力してもよい。

　また、出力器４４２は、サンプリング期間に関する第２時間長よりも長い範囲で、サンプリング間隔に関する第１時間長をログ生成器５２０に変更させる変更指示を出力してもよい。

　例えば、通信データに異常が含まれることを示す異常検知結果が取得された場合、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲で第１時間長を短くさせる変更指示を出力してもよい。そして、通信データに異常が含まれることを示す異常検知結果が取得されなかった場合、出力器４４２は、ログ生成器５２０に第１時間長を長くさせる変更指示を出力してもよい。

　また、例えば、第１時間長は、通信データに関する複数の種別のそれぞれについて定められてもよい。そして、１つの種別について通信データに異常が含まれることを示す異常検知結果が取得された場合、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲でその種別について第１時間長を短くさせる変更指示を出力してもよい。

　あるいは、１つの種別について通信データに異常が含まれることを示す異常検知結果が取得された場合、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲で複数の種別のそれぞれについて第１時間長を短くさせる変更指示を出力してもよい。すなわち、この場合、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲で全ての種別について第１時間長を短くさせる変更指示を出力してもよい。

　そして、通信データに異常が含まれることを示す異常検知結果が取得されなかった場合、出力器４４２は、ログ生成器５２０に短くさせられた第１時間長を長くさせる変更指示を出力してもよい。

　また、例えば、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲で第１時間長をランダムに変更させる変更指示を出力してもよい。また、出力器４４２は、ログ生成器５２０に第２時間長よりも長い範囲で第１時間長を線形的に変更させる変更指示を出力してもよい。

　また、例えば、取得器４４１は、サーバ装置３００から第１時間長の変更指示を外部指示として取得してもよい。そして、出力器４４２は、サーバ装置３００から取得された外部指示に従って、ログ生成器５２０に第２時間長よりも長い範囲で第１時間長を変更させる変更指示を出力してもよい。

　また、例えば、出力器４４２は、サンプリングログに関する１以上の種別をログ生成器５２０に特定させる特定情報を出力してもよい。

　また、異常検知器５１０は、サーバ装置３００に含まれていてもよい。そして、取得器４４１は、サーバ装置３００に含まれる異常検知器５１０から異常検知結果を取得してもよい。

　また、異常検知器５１０は、セキュリティＥＣＵ４４０に含まれていてもよい。そして、異常検知器５１０は、車載ネットワークから通信データを取得し、通信データに異常が含まれるか否かを判定してもよい。異常検知器５１０は、車載ネットワークから通信データを直接的に取得することに限られず、車載ネットワークから他の装置を介して通信データを間接的に取得してもよい。例えば、異常検知器５１０は、ログ生成器５２０を介して、車載ネットワークの通信データから生成されるフルログ等を通信データとして取得してもよい。

　また、例えば、送信器５３０は、出力器４４２から出力されたサンプリングログ送信指示に従って、サンプリングログをサーバ装置３００へ送信し、出力器４４２から出力されたフルログ送信指示に従って、フルログをサーバ装置３００へ送信する。送信器５３０は、セキュリティＥＣＵ４４０に含まれていてもよい。

　また、送信器５３０は、出力器４４２から出力されたサンプリングログ送信指示に従って、サンプリングログを可逆的に圧縮し、圧縮されたサンプリングログをサーバ装置３００へ送信してもよい。また、送信器５３０は、出力器４４２から出力されたフルログ送信指示に従って、フルログを可逆的に圧縮し、圧縮されたフルログをサーバ装置３００へ送信してもよい。

　また、出力器４４２は、送信器５３０からサーバ装置３００へ周期的にサンプリングログを送信させるサンプリングログ送信指示を周期的に出力することにより、送信器５３０からサーバ装置３００へ周期的にサンプリングログを送信させてもよい。あるいは、出力器４４２は、送信器５３０からサーバ装置３００へ周期的にサンプリングログを送信させるサンプリングログ送信指示を単一の指示として出力することにより、送信器５３０からサーバ装置３００へ周期的にサンプリングログを送信させてもよい。

　また、例えば、通信データに異常が含まれると判定された場合、通信データに異常が含まれることを示す異常検知結果を異常検知器５１０が送信し、取得器４４１は、送信され異常検知結果を取得してもよい。そして、通信データに異常が含まれないと判定された場合、異常検知器５１０が異常検知結果を送信せず、取得器４４１は、異常検知結果を取得しなくてもよい。あるいは、この場合、通信データに異常が含まれないことを示す異常検知結果を異常検知器５１０が送信し、取得器４４１が、送信された異常検知結果を取得してもよい。

　なお、取得器４４１及び出力器４４２は、専用又は汎用の電気回路であってもよい。そして、セキュリティＥＣＵ４４０、異常検知器５１０、ログ生成器５２０、送信器５３０及びサーバ装置３００は、電気回路で構成されていてもよい。具体的には、これらはそれぞれコンピュータであってもよい。

　また、上記の通り、異常検知器５１０、ログ生成器５２０及び送信器５３０は、それぞれ、セキュリティＥＣＵ４４０に含まれていてもよい。取得器４４１は、セキュリティＥＣＵ４４０の内部の装置から情報を取得してもよいし、出力器４４２は、セキュリティＥＣＵ４４０の内部の装置へ情報を出力してもよい。

　また、異常検知器５１０、ログ生成器５２０及び送信器５３０は、それぞれ、車載ネットワークに接続されるＥＣＵでもよい。また、送信器５３０は、図１に示されたテレマティクス通信ユニット４２２、Ｖ２Ｘモジュール４２３又はゲートウェイ装置４３０等に対応する装置であってもよい。取得器４４１は、セキュリティＥＣＵ４４０の外部の装置から車載ネットワークを介して情報を取得してもよいし、出力器４４２は、車載ネットワークを介してセキュリティＥＣＵ４４０の外部の装置へ情報を出力してもよい。

　さらに、取得器４４１は、セキュリティＥＣＵ４４０の外部の装置から、車載ネットワークとは異なるネットワークを介して、情報を取得してもよい。また、出力器４４２は、車載ネットワークとは異なるネットワークを介して、セキュリティＥＣＵ４４０の外部の装置へ、情報を出力してもよい。

　図８は、本実施の形態におけるサーバ装置３００の基本的な構成を示すブロック図である。サーバ装置３００は、車両４００の外部に設けられる情報処理装置の例である。サーバ装置３００は、取得器３０１、判定器３０２及び出力器３０３を備える。

　取得器３０１は、情報を取得する。具体的には、取得器３０１は、サンプリングログを車両４００の車載システム４１０から取得する。

　判定器３０２は、判定処理を行う。具体的には、判定器３０２は、サンプリングログを用いて通信データに異常が含まれるか否かを判定する。

　出力器３０３は、情報を出力する。具体的には、出力器３０３は、通信データに異常が含まれると判定された場合、フルログを車載システム４１０からサーバ装置３００へ送信させる送信指示として、通信データに異常が含まれることを示す異常検知結果を車載システム４１０へ出力する。

　上述した通り、サンプリングログは、車両４００の車載ネットワークにおける通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログである。フルログは、２種類のログのうち単位時間あたりに生じるデータ量がサンプリングログよりも大きいログである。

　また、例えば、フルログは、複数の種別の通信データのログであってもよい。そして、サンプリングログは、フルログに関する複数の種別よりも少ない１以上の種別の通信データのログであってもよい。

　また、サンプリングログは、複数のサンプリング間隔のうち、複数のサンプリング間隔にそれぞれ含まれる複数のサンプリング期間における通信データのログであってもよい。ここで、複数のサンプリング間隔のそれぞれは、第１時間長の期間である。また、複数のサンプリング期間のそれぞれは、第１時間長よりも短い第２時間長の期間である。

　出力器３０３は、上記のようなサンプリングログを生成する車載システム４１０に第２時間長よりも長い範囲で第１時間長を変更させる変更指示を車載システム４１０へ出力してもよい。例えば、出力器３０３は、通信データに異常が含まれると判定された場合、車載システム４１０に第２時間長よりも長い範囲で第１時間長を短くさせる変更指示を出力してもよい。また、出力器３０３は、通信データに異常が含まれないと判定された場合、車載システム４１０に第１時間長を長くさせる変更指示を出力してもよい。

　また、例えば、第１時間長は、通信データに関する複数の種別のそれぞれについて定められてもよい。そして、出力器３０３は、１つの種別について通信データに異常が含まれると判定された場合、車載システム４１０に第２時間長よりも長い範囲でその種別について第１時間長を短くさせる変更指示を出力してもよい。

　あるいは、出力器３０３は、１つの種別について通信データに異常が含まれると判定された場合、車載システム４１０に第２時間長よりも長い範囲で複数の種別のそれぞれについて第１時間長を短くさせる変更指示を出力してもよい。すなわち、出力器３０３は、この場合、車載システム４１０に第２時間長よりも長い範囲で全ての種別について第１時間長を短くさせる変更指示を出力してもよい。

　また、出力器３０３は、通信データに異常が含まれないと判定された場合、車載システム４１０に短くさせられた第１時間長を長くさせる変更指示を出力してもよい。

　さらに、出力器３０３は、上記のような変更指示を車両４００と車種が同じ複数の車両の複数の車載システムへ出力してもよい。また、出力器３０３は、変更指示を車両４００と地域が同じ複数の車両の複数の車載システムへ出力してもよい。

　また、サンプリングログは、複数のサンプリング期間における通信データを構成する各フレームについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示していてもよい。ここで、当該フレームが最初のフレームであるか否かは、例えば、当該フレームとサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否かである。

　そして、判定器３０２は、当該フレームとサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームでない場合、サンプリング時刻の差及びデータの差の少なくとも一方を用いて、通信データに異常が含まれるか否かを判定してもよい。

　ここで、サンプリング時刻の差は、当該フレームとサンプリング期間が同じ１以上のフレームのうち当該フレームの前のフレームのサンプリング時刻と、当該フレームのサンプリング時刻との差である。データの差は、このような前のフレームのデータと、当該フレームのデータとの差である。ここで、前のフレームは、例えば、直前のフレームである。

　また、サンプリングログは、複数のサンプリング期間における１以上の種別の通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示していてもよい。ここで、当該フレームが最初のフレームであるか否かは、例えば、当該フレームと種別及びサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否かである。

　そして、判定器３０２は、当該フレームと種別及びサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームでない場合、サンプリング時刻の差及びデータの差の少なくとも一方を用いて、通信データに異常が含まれるか否かを判定してもよい。

　ここで、サンプリング時刻の差は、当該フレームと種別及びサンプリング期間が同じ１以上のフレームのうち当該フレームの前のフレームのサンプリング時刻と、当該フレームのサンプリング時刻との差である。データの差は、このような前のフレームのデータと、当該フレームのデータとの差である。

　また、取得器３０１は、送信指示の出力後、フルログを車載システム４１０から取得してもよい。そして、判定器３０２は、さらに、フルログを用いて通信データに異常が含まれるか否かを判定してもよい。

　また、出力器３０３は、サンプリングログを用いて通信データに異常が含まれると判定された場合、異常検知結果を車載システム４１０へ出力してもよい。そして、出力器３０３は、フルログを用いて通信データに異常が含まれると判定された場合、異常検知結果を車載システム４１０へ出力しなくてもよい。すなわち、出力器３０３は、フルログが取得されていない場合において、通信データに異常が含まれると判定された場合、異常検知結果を車載システム４１０へ出力してもよい。

　また、出力器３０３は、通信データに異常が含まれると判定された場合、異常検知結果を端末装置２００へ出力してもよい。

　また、取得器３０１は、車載システム４１０において圧縮されたサンプリングログを車載システム４１０から取得し、圧縮されたサンプリングログを解凍してもよい。同様に、取得器３０１は、車載システム４１０において圧縮されたフルログを車載システム４１０から取得し、圧縮されたフルログを解凍してもよい。

　なお、取得器３０１、判定器３０２及び出力器３０３は、専用又は汎用の電気回路であってもよい。そして、端末装置２００、サーバ装置３００及び車載システム４１０は、電気回路で構成されていてもよい。具体的には、これらはそれぞれコンピュータであってもよい。また、取得器３０１は、サーバ装置３００の外部の装置から外部ネットワークを介して情報を取得してもよいし、出力器３０３は、外部ネットワークを介してサーバ装置３００の外部の装置へ情報を出力してもよい。

　また、例えば、単位時間あたりに生じるサンプリングログの平均データ量は、単位時間あたりに生じるフルログの平均データ量よりも小さい。単位時間は、１秒間であってもよいし、１分間であってもよいし、１時間であってもよいし、サンプリングログに関するサンプリング間隔であってもよい。

　［具体例］
　図９は、本実施の形態の具体例におけるセキュリティシステム１００の構成を示すブロック図である。

　本具体例において、セキュリティシステム１００は、端末装置２００、サーバ装置３００、ゲートウェイ装置４３０、セキュリティＥＣＵ４４０、及び、複数のＥＣＵ４５０を備える。図９に示されたセキュリティシステム１００、端末装置２００、サーバ装置３００、ゲートウェイ装置４３０、及び、セキュリティＥＣＵ４４０は、それぞれ、図１に示された構成要素に対応する。また、図９に示された複数のＥＣＵ４５０は、図１に示された複数のＥＣＵ４５１及び４５２に対応する。

　ゲートウェイ装置４３０、セキュリティＥＣＵ４４０、及び、複数のＥＣＵ４５０は、車載ネットワークに接続される。サーバ装置３００は、端末装置２００及び外部ネットワークに接続される。サーバ装置３００は、外部ネットワークを介して端末装置２００に接続されてもよい。外部ネットワークと車載ネットワークとは、ゲートウェイ装置４３０を介して互いに接続される。ゲートウェイ装置４３０は、車載ネットワークと外部ネットワークとの間において、通信の中継を行う。

　例えば、ゲートウェイ装置４３０は、外部ネットワークに無線で接続される。ゲートウェイ装置４３０は、図１に示されたテレマティクス通信ユニット４２２又はＶ２Ｘモジュール４２３等を介して外部ネットワークに接続されてもよい。また、外部ネットワークは、無線通信のネットワークであってもよいし、有線通信のネットワークであってもよい。

　セキュリティＥＣＵ４４０、サーバ装置３００及び端末装置２００は、不正アクセスから、車両４００及び車載ネットワーク等を保護する役割を有する。

　セキュリティＥＣＵ４４０は、車載ネットワークにおける通信データを直接的に監視する。サーバ装置３００は、車載ネットワークにおける通信データを間接的に監視することにより、遠隔監視を行う。端末装置２００は、遠隔監視の結果等をサーバ装置３００から取得する。端末装置２００は、ＳＯＣ又はＡＳＩＲＴ等の監視組織において用いられる。

　図１０は、図９に示されたセキュリティシステム１００の変形構成を示すブロック図である。この変形構成では、図９のゲートウェイ装置４３０及びセキュリティＥＣＵ４４０が統合されている。そして、セキュリティシステム１００は、ゲートウェイ装置４３０及びセキュリティＥＣＵ４４０が統合されたセキュリティゲートウェイ装置４６０を備える。

　なお、セキュリティゲートウェイ装置４６０は、ゲートウェイ装置４３０を含むセキュリティＥＣＵ４４０であってもよいし、セキュリティＥＣＵ４４０を含むゲートウェイ装置４３０であってもよい。

　図１１は、図９に示されたセキュリティＥＣＵ４４０の構成を示すブロック図である。セキュリティＥＣＵ４４０は、サンプリングログ生成器４４３、フルログ生成器４４４、異常検知器４４５、異常データ無効化器４４６、蓄積器４４７及び通信器４４８を備える。これらの構成要素は、図７に示された取得器４４１、出力器４４２、異常検知器５１０、ログ生成器５２０及び送信器５３０等の役割を果たす。

　サンプリングログ生成器４４３は、通信器４４８を介して車載ネットワークにおける通信データを取得し、取得された通信データのサンプリングログを生成し、生成されたサンプリングログを蓄積器４４７に格納する。

　フルログ生成器４４４は、通信器４４８を介して車載ネットワークにおける通信データを取得し、取得された通信データのフルログを生成し、生成されたフルログを蓄積器４４７に格納する。

　異常検知器４４５は、通信器４４８を介して車載ネットワークにおける通信データを取得し、取得された通信データに異常が含まれるか否かを判定する。異常検知器４４５は、蓄積器４４７に格納されたフルログに異常が含まれるか否かを判定することにより、通信データに異常が含まれるか否かを判定してもよい。あるいは、異常検知器４４５は、蓄積器４４７に格納されたサンプリングログに異常が含まれるか否かを判定することにより、通信データに異常が含まれるか否かを簡易的に判定してもよい。

　異常データ無効化器４４６は、通信データに異常が含まれると判定された場合、異常な通信データを無効化する。具体的には、異常データ無効化器４４６は、通信器４４８を介して、ＣＡＮのエラーフレームを車載ネットワークに出力することにより、異常な通信データを無効化してもよい。

　蓄積器４４７は、サンプリングログ生成器４４３で生成されたサンプリングログ、及び、フルログ生成器４４４で生成されたフルログを蓄積する。例えば、蓄積器４４７は、メモリで構成される。

　通信器４４８は、車載ネットワークから情報を取得し、車載ネットワークへ情報を出力することにより、複数のＥＣＵ４５０及びゲートウェイ装置４３０等と通信する。さらに、通信器４４８は、ゲートウェイ装置４３０を介して、サーバ装置３００等と通信してもよい。

　なお、図７に示された取得器４４１、出力器４４２及び送信器５３０は、通信器４４８に含まれていてもよい。図７に示された異常検知器５１０は、異常検知器４４５に含まれていてもよい。図７に示されたログ生成器５２０は、サンプリングログ生成器４４３、フルログ生成器４４４及び蓄積器４４７で構成されていてもよい。

　例えば、通信器４４８において、出力器４４２が、サンプリングログを周期的に送信するための送信指示を送信器５３０へ出力してもよい。そして、通信器４４８に含まれる取得器４４１が、通信データに異常が含まれるか否かの異常検知結果を異常検知器４４５から取得してもよい。そして、通信器４４８において、通信データに異常が含まれることを取得する異常検知結果が取得された場合、出力器４４２が、フルログを送信するための送信指示を送信器５３０へ出力してもよい。

　また、例えば、通信器４４８に含まれる出力器４４２が、ログ生成器５２０を構成するサンプリングログ生成器４４３へサンプリング間隔又は種別に関する指示を出力してもよい。

　図７に示された構成要素と、図１１に示された構成要素との間における上記の関係は一例であって、これらの関係は上記の例に限られない。例えば、図７に示された取得器４４１及び出力器４４２は、異常検知器４４５に含まれていてもよい。そして、異常検知器４４５において、取得器４４１は、通信データに異常が含まれるか否かを判定する異常検知器５１０から、通信データに異常が含まれるか否かの異常検知結果を取得してもよい。

　図１２は、図１０に示されたセキュリティゲートウェイ装置４６０の構成を示すブロック図である。セキュリティゲートウェイ装置４６０は、サンプリングログ生成器４６３、フルログ生成器４６４、異常検知器４６５、異常データ無効化器４６６、蓄積器４６７、転送処理器４６９、車外通信器４７０及び車内通信器４７１を備える。これらの構成要素は、図７に示された取得器４４１、出力器４４２、異常検知器５１０、ログ生成器５２０及び送信器５３０等の役割を果たす。

　また、図１２のサンプリングログ生成器４６３、フルログ生成器４６４、異常検知器４６５、異常データ無効化器４６６及び蓄積器４６７は、それぞれ、図１１のサンプリングログ生成器４４３、フルログ生成器４４４、異常検知器４４５、異常データ無効化器４４６及び蓄積器４４７と同様の構成要素である。

　転送処理器４６９は、車両４００の外部から車外通信器４７０を介して情報を取得し、車内通信器４７１を介して情報を出力することにより、車両４００の外部から内部へ情報を転送する。また、転送処理器４６９は、車両４００の内部から車内通信器４７１を介して情報を取得し、車両４００の外部へ車外通信器４７０を介して情報を出力することにより、車両４００の内部から外部へ情報を転送する。

　車外通信器４７０は、例えば外部ネットワークを介して、車両４００の外部のサーバ装置３００等と通信する。車内通信器４７１は、車載ネットワークを介して、車両４００の内部の複数のＥＣＵ４５０等と通信する。また、車外通信器４７０及び車内通信器４７１は、セキュリティＥＣＵ４４０の通信器４４８と同様の役割を果たす。

　なお、以下において示されるセキュリティＥＣＵ４４０の動作は、セキュリティゲートウェイ装置４６０によって行われてもよい。例えば、セキュリティＥＣＵ４４０の通信器４４８によって行われる動作は、セキュリティゲートウェイ装置４６０の車外通信器４７０又は車内通信器４７１によって行われてもよい。

　また、一例として、図７に示された取得器４４１、出力器４４２及び送信器５３０は、車外通信器４７０に含まれていてもよい。図７に示された異常検知器５１０は、異常検知器４６５に含まれていてもよい。図７に示されたログ生成器５２０は、サンプリングログ生成器４６３、フルログ生成器４６４及び蓄積器４６７で構成されていてもよい。

　図１３は、図９等に示されたサーバ装置３００の構成を示すブロック図である。サーバ装置３００は、サンプリングログ処理器３４３、フルログ処理器３４４、異常検知器３４５、異常通知器３４６、蓄積器３４７及び通信器３４８を備える。これらの構成要素は、図８に示された取得器３０１、判定器３０２及び出力器３０３等の役割を果たす。

　サンプリングログ処理器３４３は、通信器３４８を介してサンプリングログを取得し、取得されたサンプリングログを蓄積器３４７に格納する。

　フルログ処理器３４４は、通信器３４８を介してフルログを取得し、取得されたフルログを蓄積器３４７に格納する。

　異常検知器３４５は、蓄積器３４７に格納されたサンプリングログ又はフルログに異常が含まれるか否かを判定することにより、通信データに異常が含まれるか否かを判定する。

　異常通知器３４６は、通信データに異常が含まれると判定された場合、通信器３４８を介して異常通知を端末装置２００及びセキュリティＥＣＵ４４０へ送信する。

　蓄積器３４７は、サンプリングログ処理器３４３で取得されたサンプリングログ、及び、フルログ処理器３４４で取得されたフルログを蓄積する。例えば、蓄積器３４７は、メモリで構成される。

　通信器３４８は、例えば外部ネットワークを介して、セキュリティＥＣＵ４４０等と通信する。また、通信器３４８は、端末装置２００と通信する。

　なお、一例として、図８に示された取得器３０１及び出力器３０３は、通信器３４８に含まれていてもよい。図８に示された判定器３０２は、異常検知器３４５に含まれていてもよい。

　図１４は、図９に示されたセキュリティシステム１００におけるサンプリングログの送信に関連する動作を示すシーケンス図である。

　まず、セキュリティＥＣＵ４４０の通信器４４８は、車載ネットワークから通信データを取得する（Ｓ１０１）。次に、セキュリティＥＣＵ４４０のサンプリングログ生成器４４３は、車載ネットワークから取得された通信データに従って、蓄積器４４７にサンプリングログを記録する（Ｓ１０２）。また、セキュリティＥＣＵ４４０のフルログ生成器４４４は、車載ネットワークから取得された通信データに従って、蓄積器４４７にフルログを記録する（Ｓ１０３）。

　また、セキュリティＥＣＵ４４０の異常検知器４４５は、車載ネットワークから取得された通信データに従って、異常検知処理を行う（Ｓ１０４）。すなわち、セキュリティＥＣＵ４４０の異常検知器４４５は、車載ネットワークから取得された通信データに異常が含まれるか否かを判定する。

　異常が検知されなかった場合において、すなわち、車載ネットワークから取得された通信データに異常が含まれないと判定された場合において、セキュリティＥＣＵ４４０の通信器４４８は、サンプリングログを周期的に送信する（Ｓ１０５）。例えば、セキュリティＥＣＵ４４０の通信器４４８は、蓄積器４４７に記録されたサンプリングログを圧縮して、圧縮されたサンプリングログをサーバ装置３００へ送信する。

　サーバ装置３００の通信器３４８は、セキュリティＥＣＵ４４０からサンプリングログを取得する。そして、サーバ装置３００のサンプリングログ処理器３４３は、セキュリティＥＣＵ４４０から取得されたサンプリングログを蓄積器３４７に記録する。例えば、サーバ装置３００のサンプリングログ処理器３４３は、圧縮されたサンプリングログを解凍し、解凍されたサンプリングログを蓄積器３４７に記録する。

　そして、サーバ装置３００の異常検知器３４５は、蓄積器３４７に記録されたサンプリングログに従って、異常検知処理を行う（Ｓ１０６）。すなわち、サーバ装置３００の異常検知器３４５は、サンプリングログに異常が含まれるか否かを判定することにより、車載ネットワークにおける通信データに異常が含まれるか否かを判定する。

　図１５は、図９等に示されたサーバ装置３００で行われる異常検知処理に関連する動作を示すシーケンス図である。

　サーバ装置３００で行われる異常検知処理（Ｓ１０６）において異常が検知された場合、サーバ装置３００の異常通知器３４６は、通信器３４８を介して異常通知を送信する。すなわち、サンプリングログに従って車載ネットワークにおける通信データに異常が含まれると判定された場合、サーバ装置３００の異常通知器３４６は、通信器３４８を介して異常通知を送信する。

　例えば、サーバ装置３００の異常通知器３４６は、通信器３４８を介して、端末装置２００へ異常通知を送信する（Ｓ１０７）。そして、端末装置２００は、サーバ装置３００から異常通知を取得し、監視組織に異常を通知する。

　また、サーバ装置３００の異常通知器３４６は、通信器３４８を介して、セキュリティＥＣＵ４４０へ異常通知を送信する（Ｓ１０８）。そして、セキュリティＥＣＵ４４０の通信器４４８は、異常通知を取得し、ドライバーへ異常を通知する（Ｓ１０９）。

　例えば、セキュリティＥＣＵ４４０の通信器４４８は、ディスプレイ又はスピーカ等の通知インタフェースを有するＥＣＵ４５０へ異常通知を出力することにより、通知インタフェースを介して、ドライバーへ異常を通知する。あるいは、セキュリティＥＣＵ４４０が、通知インタフェースを有している場合、セキュリティＥＣＵ４４０は、セキュリティＥＣＵ４４０の通知インタフェースを介して、ドライバーへ異常を通知してもよい。

　また、セキュリティＥＣＵ４４０の通信器４４８は、異常通知を取得した場合、フルログをサーバ装置３００へ送信する（Ｓ１１０）。例えば、セキュリティＥＣＵ４４０の通信器４４８は、蓄積器４４７に記録されたフルログを圧縮して、圧縮されたフルログをサーバ装置３００へ送信する。

　そして、サーバ装置３００の通信器３４８は、セキュリティＥＣＵ４４０からフルログを取得する。そして、サーバ装置３００のフルログ処理器３４４は、セキュリティＥＣＵ４４０から取得されたフルログを蓄積器３４７に記録する。例えば、サーバ装置３００のフルログ処理器３４４は、圧縮されたフルログを解凍し、解凍されたフルログを蓄積器３４７に記録する。

　そして、サーバ装置３００の異常検知器３４５は、蓄積器３４７に記録されたフルログに従って、異常検知処理を行う（Ｓ１１１）。すなわち、サーバ装置３００の異常検知器３４５は、フルログに異常が含まれるか否かを判定することにより、車載ネットワークにおける通信データに異常が含まれるか否かを判定する。

　そして、サーバ装置３００の通信器３４８は、異常検知処理の結果を端末装置２００へ送信する（Ｓ１１２）。サーバ装置３００の異常通知器３４６が、通信器３４８を介して、異常検知処理の結果として異常通知を端末装置２００へ送信してもよい。端末装置２００は、サーバ装置３００から異常検知処理の結果を取得し、監視組織に異常検知処理の結果を通知する。

　そして、端末装置２００は、監視組織によって操作されることにより、異常に関する詳細分析を行う（Ｓ１１３）。また、端末装置２００は、監視組織によって操作されることにより、証拠保全を行う（Ｓ１１４）。端末装置２００は、詳細分析及び証拠保全のため、サーバ装置３００からフルログをダウンロードしてもよい。

　図１６は、図９等に示されたセキュリティＥＣＵ４４０で行われる異常検知処理に関連する動作を示すシーケンス図である。

　セキュリティＥＣＵ４４０で行われる異常検知処理（Ｓ１０４）において異常が検知された場合、セキュリティＥＣＵ４４０の通信器４４８は、ドライバーへ異常を通知する（Ｓ１３１）。すなわち、車載ネットワークから取得された通信データに異常が含まれると判定された場合において、セキュリティＥＣＵ４４０の通信器４４８は、ドライバーへ異常を通知する。

　例えば、セキュリティＥＣＵ４４０の通信器４４８は、通知インタフェースを有するＥＣＵ４５０へ異常通知を出力することにより、通知インタフェースを介して、ドライバーへ異常を通知する。あるいは、セキュリティＥＣＵ４４０が、通知インタフェースを有している場合、セキュリティＥＣＵ４４０は、セキュリティＥＣＵ４４０の通知インタフェースを介して、ドライバーへ異常を通知してもよい。

　そして、セキュリティＥＣＵ４４０の通信器４４８は、フルログを送信する（Ｓ１３２）。例えば、セキュリティＥＣＵ４４０の通信器４４８は、蓄積器４４７に記録されたフルログを圧縮して、圧縮されたフルログをサーバ装置３００へ送信する。

　そして、サーバ装置３００の通信器３４８は、セキュリティＥＣＵ４４０からフルログを取得する。そして、サーバ装置３００のフルログ処理器３４４は、セキュリティＥＣＵ４４０から取得されたフルログを蓄積器３４７に記録する。例えば、サーバ装置３００のフルログ処理器３４４は、圧縮されたフルログを解凍し、解凍されたフルログを蓄積器３４７に記録する。

　そして、サーバ装置３００の異常検知器３４５は、蓄積器３４７に記録されたフルログに従って、異常検知処理を行う（Ｓ１３３）。すなわち、サーバ装置３００の異常検知器３４５は、フルログに異常が含まれるか否かを判定することにより、車載ネットワークにおける通信データに異常が含まれるか否かを判定する。

　そして、異常が検知された場合、すなわち、フルログに従って車載ネットワークにおける通信データに異常が含まれると判定された場合、サーバ装置３００の異常通知器３４６は、通信器３４８を介して異常通知を送信する。例えば、サーバ装置３００の異常通知器３４６は、通信器３４８を介して、端末装置２００へ異常通知を送信する（Ｓ１３４）。そして、端末装置２００は、サーバ装置３００から異常通知を取得し、監視組織に異常を通知する。

　また、サーバ装置３００の異常通知器３４６は、通信器３４８を介して、セキュリティＥＣＵ４４０へ異常通知を送信する（Ｓ１３５）。そして、セキュリティＥＣＵ４４０の通信器４４８は、異常通知を取得し、ドライバーへ異常を通知する（Ｓ１３６）。また、セキュリティＥＣＵ４４０の通信器４４８は、異常通知を取得した場合、フルログをサーバ装置３００へ送信する（Ｓ１３７）。

　そして、サーバ装置３００の通信器３４８は、セキュリティＥＣＵ４４０からフルログを取得する。そして、サーバ装置３００のフルログ処理器３４４は、セキュリティＥＣＵ４４０から取得されたフルログを蓄積器３４７に記録する。そして、サーバ装置３００の異常検知器３４５は、蓄積器３４７に記録されたフルログに従って、異常検知処理を行う（Ｓ１３８）。

　そして、サーバ装置３００の通信器３４８は、異常検知処理の結果を端末装置２００へ送信する（Ｓ１３９）。サーバ装置３００の異常通知器３４６が、通信器３４８を介して、異常検知処理の結果として異常通知を端末装置２００へ送信してもよい。端末装置２００は、サーバ装置３００から異常検知処理の結果を取得し、監視組織に異常検知処理の結果を通知する。

　そして、端末装置２００は、監視組織によって操作されることにより、異常に関する詳細分析を行う（Ｓ１４０）。また、端末装置２００は、監視組織によって操作されることにより、証拠保全を行う（Ｓ１４１）。

　図１６に示された端末装置２００に対する異常通知の送信（Ｓ１３４）から証拠保全（Ｓ１４１）までの処理は、図１５に示された端末装置２００に対する異常通知の送信（Ｓ１０７）から証拠保全（Ｓ１１４）までの処理と同様である。また、処理の繰り返しを避けるため、セキュリティＥＣＵ４４０に対する異常通知の送信（Ｓ１３５）から、端末装置２００に対する異常検知処理結果の送信（Ｓ１３９）までの処理は、省略されてもよい。

　図１７は、図９等に示されたセキュリティＥＣＵ４４０の動作を示すフローチャートである。

　セキュリティＥＣＵ４４０は、車載ネットワークにおける通信データのログを記録するためのログ記録処理を行う（Ｓ２０１）。また、セキュリティＥＣＵ４４０は、通信データにおける異常を検知するための異常検知処理を行う（Ｓ２０２）。そして、セキュリティＥＣＵ４４０は、通信ログをサーバ装置３００へ送信するためのログ送信処理を行う（Ｓ２０３）。セキュリティＥＣＵ４４０は、これらの処理（Ｓ２０１～Ｓ２０３）を繰り返す。

　図１８は、図９等に示されたセキュリティＥＣＵ４４０で行われるログ記録処理の第１態様を示すフローチャートである。

　まず、通信器４４８は、車載ネットワークにおける通信データを受信することにより通信データを取得する（Ｓ３０１）。具体的には、通信器４４８は、ＣＡＮのフレームを通信データとして取得する。

　次に、フルログ生成器４４４は、取得された通信データをフルログとして蓄積器４４７に記録する（Ｓ３０２）。具体的には、フルログ生成器４４４は、取得されたフレームを図４のログフォーマットに従ってフルログとして蓄積器４４７に記録する。また、例えば、過去に取得されたフレームがフルログとして蓄積器４４７に記録されている場合、フルログ生成器４４４は、新たに取得されたフレームの情報を図４のログフォーマットにおけるペイロードに追加する。

　次に、サンプリングログ生成器４４３は、例えばサンプリングログ生成器４４３におけるサンプリングタイマを確認することにより、現在時刻がサンプリング期間内であるか否かを判定する（Ｓ３０３）。現在時刻がサンプリング期間内でない場合（Ｓ３０４でＮｏ）、セキュリティＥＣＵ４４０は、ログ記録処理を終了する。

　現在時刻がサンプリング期間内である場合（Ｓ３０４でＹｅｓ）、サンプリングログ生成器４４３は、取得された通信データが特定の種別の通信データであるか否かを判定する。その際、具体的には、サンプリングログ生成器４４３は、取得されたフレームに含まれるＩＤが特定のＩＤであるか否かを判定することにより、取得されたフレームが特定の種別のフレームであるか否かを判定する。

　取得された通信データが特定の種別の通信データでないと判定された場合（Ｓ３０５でＮｏ）、セキュリティＥＣＵ４４０は、ログ記録処理を終了する。

　取得された通信データが特定の種別の通信データであると判定された場合（Ｓ３０５でＹｅｓ）、サンプリングログ生成器４４３は、取得された通信データをサンプリングログとして蓄積器４４７に記録する（Ｓ３０６）。

　具体的には、サンプリングログ生成器４４３は、取得されたフレームを図４のログフォーマットに従ってサンプリングログとして蓄積器４４７に記録する。また、例えば、過去に取得されたフレームがサンプリングログとして蓄積器４４７に記録されている場合、サンプリングログ生成器４４３は、新たに取得されたフレームの情報を図４のログフォーマットにおけるペイロードに追加する。そして、セキュリティＥＣＵ４４０は、ログ記録処理を終了する。

　なお、サンプリングログ生成器４４３及びフルログ生成器４４４は、基本的に、サンプリングログとフルログとを別々に蓄積器４４７に記録する。

　図１９は、図９等に示されたセキュリティＥＣＵ４４０で行われるログ記録処理の第２態様を示すフローチャートである。図１９に示されたログ記録処理の第２態様において、通信データを取得してから通信データをサンプリングログとして記録するまでの処理（Ｓ３０１～Ｓ３０６）は、図１８に示されたログ記録処理の第１態様と同じである。

　図１９に示されたログ記録処理の第２態様において、サンプリングログ生成器４４３は、通信データをサンプリングログとして記録した後、サンプリング間隔の時間長を更新する（Ｓ３０７）。

　例えば、サンプリングログ生成器４４３は、最小値と最大値との間の範囲でランダムにサンプリング間隔の時間長を更新する。ここで、最小値及び最大値は、それぞれ、サンプリング期間の時間長よりも大きい値に予め定められる。あるいは、サンプリングログ生成器４４３は、最小値と最大値との間の範囲で線形的にサンプリング間隔の時間長を更新してもよい。

　具体的には、サンプリングログ生成器４４３は、サンプリング間隔の時間長を最小値から最大値まで徐々に大きくしてもよい。すなわち、サンプリングログ生成器４４３は、サンプリング間隔の時間長を最小値から最大値まで段階的に大きくしてもよい。そして、サンプリング間隔の時間長が最大値に到達した後、サンプリング間隔の時間長を最大値から最小値まで徐々に小さくしてもよい。すなわち、サンプリングログ生成器４４３は、サンプリング間隔の時間長を最小値から最大値まで段階的に小さくしてもよい。

　これにより、セキュリティＥＣＵ４４０は、サンプリングログに関連するサンプリング間隔の時間長を様々に変更することができる。したがって、セキュリティＥＣＵ４４０は、サンプリングログに、固定のサンプリング間隔では含まれない異常等を含ませることができる。また、セキュリティＥＣＵ４４０は、サンプリング間隔を解析されにくくすることができる。したがって、セキュリティＥＣＵ４４０は、不正なデータに基づく異常等がサンプリングログに含まれない現象を抑制することができる。

　なお、サンプリングログ生成器４４３は、サンプリング間隔の更新に加えて、又は、サンプリング間隔の更新に代えて、サンプリングログに関連する特定の種別を更新してもよい。

　また、上記のログ記録処理において、例えば、通信器４４８に含まれる出力器４４２から、サンプリングログ生成器４４３で構成されるログ生成器５２０へ、サンプリング間隔又は特定の種別に関する指示が出力される。そして、サンプリング間隔又は特定の種別に関する指示に従って、サンプリング間隔又は特定の種別が更新される。

　図２０は、図９等に示されたセキュリティＥＣＵ４４０で行われる異常検知処理を示すフローチャートである。

　異常検知処理において、異常検知器４４５は、通信器４４８で取得された通信データと異常パターンとのマッチング処理を行う（Ｓ４０１）。すなわち、異常検知器４４５は、通信器４４８で取得された通信データが予め定められた異常パターンにマッチするか否かを判定する。ここで、通信器４４８で取得された通信データは、より具体的には、通信器４４８で通信データとして取得された１以上のデータフレームである。

　そして、異常検知器４４５は、通信器４４８で取得された通信データが予め定められた異常パターンにマッチすると判定した場合（Ｓ４０２でＹｅｓ）、異常を検知する（Ｓ４０３）。言い換えれば、異常検知器４４５は、この場合、通信データに異常が含まれると判定する。さらに言い換えれば、異常検知器４４５は、通信器４４８で取得された通信データが予め定められた異常パターンにマッチすることを通信データにおける異常として検知する。

　また、通信器４４８は、サーバ装置３００から異常通知を受信するための異常通知受信処理を行う（Ｓ４０４）。具体的には、サーバ装置３００から異常通知が送信された場合、通信器４４８は、サーバ装置３００から送信された異常通知を受信する。

　そして、異常検知器４４５は、通信器４４８がサーバ装置３００から異常通知を受信した場合（Ｓ４０５でＹｅｓ）、異常を検知する（Ｓ４０６）。言い換えれば、異常検知器４４５は、この場合、通信データに異常が含まれると判定する。さらに言い換えれば、異常検知器４４５は、通信器４４８がサーバ装置３００から異常通知を受信したことを通信データにおける異常として検知する。

　また、通信器４４８で取得された通信データが予め定められた異常パターンにマッチしないと判定され、通信器４４８がサーバ装置３００から異常通知を受信しなかった場合、異常検知器４４５は異常を検知しない。すなわち、この場合、異常検知器４４５は、通信データに異常が含まれないと判定する。

　なお、上記の異常検知処理において、通信データと異常パターンとのマッチング処理が行われているが、通信データと正常パターンとのマッチング処理が行われてもよい。この場合、通信データが予め定められた正常パターンにマッチしないと判定された場合、異常検知器４４５は異常を検知する。

　また、ＣＡＮにおいて、同種のデータフレームは一定の周期で流れることが想定される。したがって、同種のデータフレームが一定の周期で流れていない場合、異常検知器４４５は異常を検知してもよい。具体的には、異常検知器４４５は、データフレームが取得された時間間隔を用いて、データフレームが一定の周期で流れているか否かを判定し、その判定結果に従って異常を検知してもよい。また、異常パターン又は正常パターンに、ＣＡＮを流れる同種のデータフレームの周期が含まれていてもよい。

　また、一定の周期で流れる同種の複数のデータフレームはデータ内容において連続性を有することが想定される。例えば、異常検知器４４５は、同種の複数のデータフレームにおいて、前のデータフレームのデータ値から乖離の大きいデータ値を有するデータフレームを異常として検知してもよい。また、異常パターン又は正常パターンに、乖離の大きさが含まれていてもよい。乖離の大きさは、データ値の差とも表現され得る。

　また、異常通知受信処理（Ｓ４０４）のタイミングは、図２０の例に限られない。通信器４４８は、サーバ装置３００から異常通知が送信されたタイミングで、サーバ装置３００から送信された異常通知を受信する。

　また、セキュリティＥＣＵ４４０は、セキュリティＥＣＵ４４０における独自の異常検知（Ｓ４０１～Ｓ４０３）と、サーバ装置３００に基づく異常検知（Ｓ４０４～Ｓ４０６）とのうち、一方のみを行ってもよい。

　セキュリティＥＣＵ４４０が独自の異常検知（Ｓ４０１～Ｓ４０３）を行う構成は、図７に示された異常検知器５１０がセキュリティＥＣＵ４４０に含まれる構成に対応する。セキュリティＥＣＵ４４０がサーバ装置３００に基づく異常検知（Ｓ４０４～Ｓ４０６）を行う構成は、図７に示された異常検知器５１０がサーバ装置３００に含まれる構成に対応する。

　そして、独自の異常検知（Ｓ４０１～Ｓ４０３）と、サーバ装置３００に基づく異常検知（Ｓ４０４～Ｓ４０６）との両方が行われる構成は、異常検知器５１０がセキュリティＥＣＵ４４０及びサーバ装置３００のそれぞれに含まれる構成に対応する。

　図２１は、図９等に示されたセキュリティＥＣＵ４４０で行われるログ送信処理の第１態様を示すフローチャートである。

　本態様において、異常検知器４４５は、通信データの異常が検知されたか否かを判定する（Ｓ５０１）。そして、通信データの異常が検知されたと判定された場合、すなわち、通信データに異常が含まれると判定された場合、通信器４４８は、ドライバーへ異常を通知する（Ｓ５０２）。例えば、通信器４４８は、通知インタフェースを有するＥＣＵ４５０へ異常通知を出力することにより、通知インタフェースを介して、ドライバーへ異常を通知する。

　そして、通信器４４８は、蓄積器４４７に記録されたフルログを圧縮する（Ｓ５０３）。例えば、通信器４４８は、７－Ｚｉｐ等の圧縮方法を用いてフルログを可逆的に圧縮する。そして、通信器４４８は、圧縮されたフルログをサーバ装置３００へ送信する（Ｓ５０４）。通信器４４８は、フルログの送信後、蓄積器４４７に記録されたフルログを蓄積器４４７から削除してもよい。

　一方、通信データの異常が検知されなかったと判定された場合、すなわち、通信データに異常が含まれないと判定された場合、通信器４４８は、定期送信タイマを確認することにより、現在時刻が定期送信のタイミングであるか否かを判定する（Ｓ５１１）。現在時刻が定期送信のタイミングでないと判定された場合（Ｓ５１２でＮｏ）、セキュリティＥＣＵ４４０は、ログ送信処理を終了する。

　現在時刻が定期送信のタイミングであると判定された場合（Ｓ５１２でＹｅｓ）、通信器４４８は、蓄積器４４７に記録されたサンプリングログを圧縮する（Ｓ５１３）。例えば、通信器４４８は、７－Ｚｉｐ等の圧縮方法を用いてサンプリングログを可逆的に圧縮する。そして、通信器４４８は、圧縮されたサンプリングログをサーバ装置３００へ送信する（Ｓ５１４）。通信器４４８は、サンプリングログの送信後、蓄積器４４７に記録されたサンプリングログを蓄積器４４７から削除してもよい。

　上記のログ送信処理により、セキュリティＥＣＵ４４０からサーバ装置３００へ、データ量が比較的小さいサンプリングログが周期的に送信され、データ量が比較的大きいフルログが異常時に送信される。

　なお、定期送信のタイミングは、例えば、１分間に１回である。そして、通信器４４８は、前にサンプリングログを送信してから１分以上経過している場合、現在時刻が定期送信のタイミングであると判定してもよい。これにより、通信器４４８は、周期的にサンプリングログを送信する。基本的に、サンプリングログが送信される周期は、サンプリングログの記録に関するサンプリング間隔よりも長い。

　また、例えば、サーバ装置３００へ送信されるフルログは、過去の所定期間におけるフルログである。所定期間は、例えば、１時間である。蓄積器４４７には、所定期間分のフルログが記録されてもよい。そのため、フルログの記録には、所定期間分のフルログを記録するためのリングバッファが用いられてもよい。同様に、サンプリングログの記録にも、送信周期分のサンプリングログを記録するためのリングバッファが用いられてもよい。

　また、上記のログ送信処理では、異常が検知された場合、フルログが送信され、サンプリングログが送信されない。しかしながら、サンプリングログは、異常が検知されたか否かにかかわらず、周期的に送信されてもよい。

　また、上記のログ送信処理において、例えば、通信器４４８に含まれる取得器４４１は、異常検知器４４５から異常検知結果を取得する。そして、通信器４４８において、出力器４４２から送信器５３０へ、異常検知結果に従ってサンプリングログ又はフルログの送信の指示が出力される。そして、送信の指示に従って、サンプリングログ又はフルログが送信される。

　図２２は、図９等に示されたセキュリティＥＣＵ４４０で行われるログ送信処理の第２態様を示すフローチャートである。図２２に示されたログ送信処理の第２態様において、フルログ及びサンプリングログを送信するまでの処理（Ｓ５０１～Ｓ５０４及びＳ５１１～Ｓ５１４）は、図２１に示されたログ送信処理の第１態様と同じである。

　本態様では、フルログが送信された後、サンプリングログ生成器４４３は、サンプリング間隔を短く更新する（Ｓ５０５）。すなわち、異常が検知された場合、サンプリングログ生成器４４３は、サンプリング間隔の時間長を小さくする。また、サンプリングログが送信された後、サンプリングログ生成器４４３は、サンプリング間隔を長く更新する（Ｓ５１５）。すなわち、異常が検知されなかった場合、サンプリングログ生成器４４３は、サンプリング間隔の時間長を大きくする。

　上記の更新において、サンプリングログ生成器４４３は、最小値と最大値との間の範囲でサンプリング間隔の時間長を更新する。サンプリングログ生成器４４３は、１回の更新で、予め定められた固定長分、サンプリング間隔の時間長を小さく又は大きくしてもよい。サンプリングログ生成器４４３は、１回の更新で、ランダムな長さ分、サンプリング間隔の時間長を小さく又は大きくしてもよい。

　上記のような更新により、セキュリティＥＣＵ４４０は、異常時以降において、サンプリングログのデータ量を増加させることができる。そして、セキュリティＥＣＵ４４０は、サンプリングログに、長いサンプリング間隔では含まれない異常等を含ませることができる。また、セキュリティＥＣＵ４４０は、異常がない場合、サンプリングログのデータ量を減少させることができる。

　なお、本態様では、異常が検知された通信データの種別にかかわらず、全ての種別について、サンプリング間隔を更新する。すなわち、異常が検知されたフレームのＩＤにかかわらず、全てのＩＤについて、サンプリング間隔を更新する。

　また、上記の更新において、例えば、通信器４４８に含まれる出力器４４２から、ログ生成器５２０を構成するサンプリングログ生成器４４３へ、サンプリング間隔に関する指示が出力される。そして、サンプリング間隔に関する指示に従って、サンプリング間隔が更新される。

　図２３は、図９等に示されたセキュリティＥＣＵ４４０で行われるログ送信処理の第３態様を示すフローチャートである。図２３に示されたログ送信処理の第３態様において、フルログ及びサンプリングログを送信するまでの処理（Ｓ５０１～Ｓ５０４及びＳ５１１～Ｓ５１４）は、図２１及び図２２に示されたログ送信処理の第１態様及び第２態様と同じである。

　本態様では、フルログが送信された後、サンプリングログ生成器４４３は、異常が検知された通信データの種別について、サンプリング間隔を短く更新する（Ｓ５０６）。そして、サンプリングログ生成器４４３は、他の種別について、サンプリング間隔を維持する。すなわち、１つの種別の通信データにおいて異常が検知された場合、サンプリングログ生成器４４３は、その１つの種別について、サンプリング間隔の時間長を小さくする。

　また、サンプリングログが送信された後、サンプリングログ生成器４４３は、短く更新されていたサンプリング間隔を長く更新する（Ｓ５１６）。すなわち、異常が検知されなかった場合、サンプリングログ生成器４４３は、サンプリング間隔の時間長を元の時間長に戻す。あるいは、この場合、サンプリングログ生成器４４３は、サンプリング間隔の時間長を元の時間長に近づける。

　図２２に示されたログ送信処理の第２態様と同様に、サンプリングログ生成器４４３は、最小値と最大値との間の範囲でサンプリング間隔の時間長を更新する。サンプリングログ生成器４４３は、１回の更新で、予め定められた固定長分、サンプリング間隔の時間長を小さく又は大きくしてもよい。サンプリングログ生成器４４３は、１回の更新で、ランダムな長さ分、サンプリング間隔の時間長を小さく又は大きくしてもよい。

　上記のような更新により、セキュリティＥＣＵ４４０は、異常時以降において、サンプリングログのデータ量を種別毎に増加させることができる。また、セキュリティＥＣＵ４４０は、異常がない場合、増加したデータ量を減少させることができる。

　図２４は、図９等に示されたサーバ装置３００の動作の第１態様を示すフローチャートである。

　まず、通信器３４８は、セキュリティＥＣＵ４４０からサンプリングログ又はフルログを受信する（Ｓ６０１）。サンプリングログが受信された場合（Ｓ６０２でＹｅｓ）、サンプリングログ処理器３４３は、サンプリングログを蓄積器３４７に記録する。例えば、サンプリングログ処理器３４３は、圧縮されたサンプリングログを解凍し、解凍されたサンプリングログを蓄積器３４７に記録する。

　そして、異常検知器３４５は、サンプリングログに従って異常検知処理を行う（Ｓ６０３）。例えば、異常検知器３４５は、セキュリティＥＣＵ４４０の異常検知器４４５が行うマッチング処理（Ｓ４０１）と同じように、通信データと異常パターンとのマッチング処理を行う。ただし、異常検知器３４５は、サンプリングログによって示される通信データをマッチング処理に用いる。

　すなわち、異常検知器３４５は、サンプリングログによって示される通信データが予め定められた異常パターンにマッチするか否かを判定する。より具体的には、異常検知器３４５は、サンプリングログによって示されるデータフレームが予め定められた異常パターンにマッチするか否かを判定する。

　そして、異常検知器３４５は、サンプリングログによって示される通信データが予め定められた異常パターンにマッチすると判定した場合、異常を検知する。言い換えれば、異常検知器３４５は、この場合、通信データに異常が含まれると判定する。さらに言い換えれば、異常検知器３４５は、サンプリングログによって示される通信データが予め定められた異常パターンにマッチすることを通信データにおける異常として検知する。

　ログの受信（Ｓ６０１）において、サンプリングログが受信されなかった場合（Ｓ６０２でＮｏ）、すなわち、フルログが受信された場合、フルログ処理器３４４は、フルログを蓄積器３４７に記録する。例えば、フルログ処理器３４４は、圧縮されたフルログを解凍し、解凍されたフルログを蓄積器３４７に記録する。

　そして、異常検知器３４５は、フルログに従って異常検知処理を行う（Ｓ６０４）。例えば、異常検知器３４５は、セキュリティＥＣＵ４４０の異常検知器４４５が行うマッチング処理（Ｓ４０１）と同じように、通信データと異常パターンとのマッチング処理を行う。ただし、異常検知器３４５は、フルログによって示される通信データをマッチング処理に用いる。

　すなわち、異常検知器３４５は、フルログによって示される通信データが予め定められた異常パターンにマッチするか否かを判定する。より具体的には、異常検知器３４５は、フルログによって示されるフレームが予め定められた異常パターンにマッチするか否かを判定する。

　そして、異常検知器３４５は、フルログによって示される通信データが予め定められた異常パターンにマッチすると判定した場合、異常を検知する。言い換えれば、異常検知器３４５は、この場合、通信データに異常が含まれると判定する。さらに言い換えれば、異常検知器３４５は、フルログによって示される通信データが予め定められた異常パターンにマッチすることを通信データにおける異常として検知する。

　次に、異常検知器３４５は、通信データの異常が検知されたか否かを判定する（Ｓ６０５）。そして、通信データの異常が検知されたと判定された場合、すなわち、通信データに異常が含まれると判定された場合（Ｓ６０５でＹｅｓ）、通信器３４８は、端末装置２００へ異常通知を送信する（Ｓ６０６）。ログの受信（Ｓ６０１）において、フルログが受信されていた場合（Ｓ６０７でＹｅｓ）、サーバ装置３００は、一連の処理を終了する。

　ログの受信（Ｓ６０１）において、フルログが受信されていなかった場合（Ｓ６０７でＮｏ）、すなわち、サンプリングログが受信されていた場合、通信器３４８は、セキュリティＥＣＵ４４０へ異常通知を送信する（Ｓ６０８）。通信器３４８は、セキュリティＥＣＵ４４０へ異常通知を送信することにより、セキュリティＥＣＵ４４０にフルログをサーバ装置３００へ送信させる。そして、サーバ装置３００は、一連の処理を終了する。

　なお、サンプリングログの異常検知処理（Ｓ６０３）と、フルログの異常検知処理（Ｓ６０４）とは、図２４において別々に記載されているが、これらは共通の処理であってもよい。すなわち、異常検知器３４５は、サンプリングログかフルログかによらず、共通の異常検知処理を行ってもよい。

　また、上記の異常検知処理（Ｓ６０３及びＳ６０４）において、通信データと異常パターンとのマッチング処理が行われているが、通信データと正常パターンとのマッチング処理が行われてもよい。この場合、通信データが予め定められた正常パターンにマッチしないと判定された場合、異常検知器３４５は異常を検知する。

　また、セキュリティＥＣＵ４４０において行われるマッチング処理（Ｓ４０１）よりも複雑なマッチング処理が上記の異常検知処理（Ｓ６０３及びＳ６０４）において行われてもよい。サーバ装置３００は、車載のための要件に制約されない十分な処理能力を用いて、マッチング処理を行い得る。例えば、セキュリティＥＣＵ４４０において行われるマッチング処理（Ｓ４０１）よりも多くの異常パターンが上記の異常検知処理（Ｓ６０３及びＳ６０４）において用いられてもよい。

　また、ＣＡＮにおいて、同種のデータフレームは一定の周期で流れることが想定される。したがって、同種のデータフレームが一定の周期で流れていない場合、異常検知器３４５は異常を検知してもよい。具体的には、異常検知器３４５は、データフレームが取得された時間間隔を用いて、データフレームが一定の周期で流れているか否かを判定し、その判定結果に従って異常を検知してもよい。また、異常パターン又は正常パターンに、ＣＡＮを流れる同種のデータフレームの周期が含まれていてもよい。

　ただし、データフレームが一定の周期で流れているか否かの判定は、前のデータフレームが欠落していない場合において有効であり、前のデータフレームが欠落している場合において有効でない。

　したがって、サンプリングログに含まれるデータフレームがサンプリング期間の最初のデータフレームである場合、異常検知器３４５は、データフレームが一定の周期で流れているか否かの判定を異常の検知に用いない。一方、サンプリングログに含まれるデータフレームがサンプリング期間の最初のデータフレームでない場合、異常検知器３４５は、データフレームが一定の周期で流れているか否かの判定を異常の検知に用いる。

　具体的には、サンプリングログに含まれるデータフレームがサンプリング期間の最初のデータフレームでない場合、異常検知器３４５は、データフレームのサンプリング時刻と、その前のデータフレームのサンプリング時刻との差を異常の検知に用いる。サンプリング時刻の差が一定の周期間隔に該当する場合、異常検知器３４５は、データフレームを正常と判定する。一方、サンプリング時刻の差が一定の周期間隔に該当しない場合、異常検知器３４５は、データフレームを異常と判定する。

　また、種別も周期に関連するため、同種のデータフレームに関するサンプリング時刻の差が異常の検知に用いられてもよい。つまり、同じサンプリング期間及び同じ種別において、データフレームのサンプリング時刻と、その前のデータフレームのサンプリング時刻との差が異常の検知に用いられてもよい。

　サンプリングログに含まれるデータフレームが最初のデータフレームに該当するか否かは、図４に示されたログフォーマットのフラグによって識別され得る。また、フルログではデータフレームが欠落しないため、フルログに対して、サンプリング時刻の差が異常の検知に用いられてもよい。

　また、一定の周期で流れる同種のデータフレームはデータ内容において連続性を有することが想定される。したがって、データフレームと、その前のデータフレームとの間におけるデータ値の差が、サンプリング時刻の差と同様に、異常の検知に用いられてもよい。この場合も、サンプリング時刻の差と同様に、最初のデータフレームとは異なるデータフレームに対して、異常の検知にデータ値の差が用いられてもよい。

　図２５は、図９等に示されたサーバ装置３００の動作の第２態様を示すフローチャートである。図２５に示された第２態様において、ログを受信してから異常通知を送信するまでの処理（Ｓ６０１～Ｓ６０８）は、図２４に示された第１態様と同じである。

　本態様において、サーバ装置３００は、その後、サンプリング間隔更新処理を行う（Ｓ６０９）。例えば、通信器３４８は、セキュリティＥＣＵ４４０にサンプリング間隔の時間長を変更させる変更指示をセキュリティＥＣＵ４４０へ送信する。そして、セキュリティＥＣＵ４４０は、サンプリング間隔の時間長を変更する。図２６及び図２７は、上記のサンプリング間隔更新処理に関するより具体的な態様を示す。

　図２６は、図９等に示されたサーバ装置３００及びセキュリティＥＣＵ４４０で行われるサンプリング間隔更新処理の第１態様を示すフローチャートである。

　本態様では、まず、サーバ装置３００において、通信器３４８が、ログの受信（Ｓ６０１）において受信されたログの送信元である車両４００の車種を特定する（Ｓ７０１）。通信器３４８は、ログに含まれる車両ＩＤに従って、車両４００の車種を特定してもよい。あるいは、通信器３４８は、新たにセキュリティＥＣＵ４４０等と通信することにより、車両４００の車種を特定してもよい。

　次に、通信器３４８は、特定された車種について、現在のサンプリング間隔を取得する（Ｓ７０２）。現在のサンプリング間隔は、車種毎に、蓄積器３４７に記録されていてもよい。そして、通信器３４８は、蓄積器３４７から現在のサンプリング間隔を取得してもよい。あるいは、通信器３４８は、新たにセキュリティＥＣＵ４４０等と通信することにより、現在のサンプリング間隔を取得してもよい。

　そして、異常検知処理（Ｓ６０３又はＳ６０４）において異常が検知された場合（Ｓ７０３でＹｅｓ）、通信器３４８は、サンプリング間隔を短く更新する（Ｓ７０４）。すなわち、通信器３４８は、現在のサンプリング間隔よりも短いサンプリング間隔を定める。

　一方、異常検知処理（Ｓ６０３又はＳ６０４）において異常が検知されなかった場合（Ｓ７０３でＮｏ）、通信器３４８は、サンプリング間隔を長く更新する（Ｓ７０５）。すなわち、通信器３４８は、現在のサンプリング間隔よりも長いサンプリング間隔を定める。

　そして、通信器３４８は、特定された車種と車種が同じである複数の車両の複数のセキュリティＥＣＵへ、更新されたサンプリング間隔、つまり新たに定められたサンプリング間隔を送信する（Ｓ７０６）。

　サンプリング間隔が送信された複数のセキュリティＥＣＵに含まれるセキュリティＥＣＵ４４０において、通信器４４８は、サーバ装置３００から送信されたサンプリング間隔を受信する（Ｓ８０１）。そして、サンプリングログ生成器４４３は、受信されたサンプリング間隔に現在のサンプリング間隔を更新する（Ｓ８０２）。すなわち、通信器４４８は、サーバ装置３００からサンプリング間隔の変更指示を外部指示として受信し、サンプリングログ生成器４４３は、外部指示に従ってサンプリング間隔を更新する。

　これにより、サーバ装置３００は、異常時以降において、サンプリングログのデータ量を増加させることができる。そして、サーバ装置３００は、サンプリングログに、長いサンプリング間隔では含まれない異常等を含ませることができる。また、サーバ装置３００は、異常がない場合、サンプリングログのデータ量を減少させることができる。また、サーバ装置３００は、同一車種の複数の車載システムについて、サンプリングログに関連するサンプリング間隔の時間長を変更することができる。

　なお、通信器３４８は、種別毎にサンプリング間隔を更新してもよい。例えば、１つの種別について異常が検知された場合、通信器３４８は、その１つの種別についてサンプリング間隔を短くしてもよい。そして、異常が検知されなかった場合、通信器３４８は、短くされたサンプリング間隔を長くしてもよい。そして、このような更新を同一車種に対して行ってもよい。これにより、車種毎及び種別毎に適切にデータ量が調整される。

　あるいは、１つの種別について異常が検知された場合、通信器３４８は、種別によらず、全ての種別についてサンプリング間隔を短くしてもよい。そして、異常が検知されなかった場合、通信器３４８は、種別によらず、全ての種別についてサンプリング間隔を長くしてもよい。これにより、種別によらず、車種毎に適切にデータ量が調整される。

　図２７は、図９等に示されたサーバ装置３００及びセキュリティＥＣＵ４４０で行われるサンプリング間隔更新処理の第２態様を示すフローチャートである。

　本態様では、まず、サーバ装置３００において、通信器３４８が、ログの受信（Ｓ６０１）において受信されたログの送信元である車両４００の地域を特定する（Ｓ７１１）。通信器３４８は、ログに含まれる車両ＩＤに従って、車両４００の地域を特定してもよい。あるいは、通信器３４８は、新たにセキュリティＥＣＵ４４０等と通信することにより、車両４００の地域を特定してもよい。

　なお、基本的に国のような大きな範囲が地域として想定されている。このような地域は車両４００に対して予め定められ得る。しかしながら、現在走行している車両４００のより具体的な地域が用いられてもよい。このような地域は、ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）等により特定され得る。

　次に、通信器３４８は、特定された地域について、現在のサンプリング間隔を取得する（Ｓ７１２）。現在のサンプリング間隔は、地域毎に、蓄積器３４７に記録されていてもよい。そして、通信器３４８は、蓄積器３４７から現在のサンプリング間隔を取得してもよい。あるいは、通信器３４８は、新たにセキュリティＥＣＵ４４０等と通信することにより、現在のサンプリング間隔を取得してもよい。

　そして、異常検知処理（Ｓ６０３又はＳ６０４）において異常が検知された場合（Ｓ７１３でＹｅｓ）、通信器３４８は、サンプリング間隔を短く更新する（Ｓ７１４）。すなわち、通信器３４８は、現在のサンプリング間隔よりも短いサンプリング間隔を定める。

　一方、異常検知処理（Ｓ６０３又はＳ６０４）において異常が検知されなかった場合（Ｓ７１３でＮｏ）、通信器３４８は、サンプリング間隔を長く更新する（Ｓ７１５）。すなわち、通信器３４８は、現在のサンプリング間隔よりも長いサンプリング間隔を定める。

　そして、通信器３４８は、特定された地域と地域が同じである複数の車両の複数のセキュリティＥＣＵへ、更新されたサンプリング間隔、つまり新たに定められたサンプリング間隔を送信する（Ｓ７１６）。

　サンプリング間隔更新処理の第１態様と同様に、サンプリング間隔が送信された複数のセキュリティＥＣＵに含まれるセキュリティＥＣＵ４４０において、通信器４４８は、サーバ装置３００から送信されたサンプリング間隔を受信する（Ｓ８０１）。そして、サンプリングログ生成器４４３は、受信されたサンプリング間隔に現在のサンプリング間隔を更新する（Ｓ８０２）。すなわち、セキュリティＥＣＵ４４０は、サンプリング間隔の変更指示を外部指示として受信し、外部指示に従ってサンプリング間隔を更新する。

　これにより、サーバ装置３００は、同一地域の複数の車載システムについて、サンプリングログに関連するサンプリング間隔の時間長を変更することができる。

　また、サンプリング間隔更新処理の第１態様と同様に、通信器３４８は、種別毎にサンプリング間隔を更新してもよい。これにより、地域毎及び種別毎に適切にデータ量が調整される。あるいは、通信器３４８は、種別によらず、サンプリング間隔を更新してもよい。これにより、種別によらず、地域毎に適切にデータ量が調整される。

　［補足］
　上記の実施の形態では、車載ネットワークとしてＣＡＮプロトコルを用いていたが、これに限るものではない。例えば、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＦｌｅｘＲａｙ、Ｅｔｈｅｒｎｅｔ、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、ＣＡＮと組み合わせたネットワークであってもよい。

　なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ又はプロセッサなどのプログラム実行器が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記実施の形態の情報処理装置などを実現するソフトウェアは、次のようなプログラムである。

　すなわち、このプログラムは、情報処理装置であるコンピュータに、車両に搭載される情報処理装置が行う情報処理方法であって、前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得ステップと、前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力ステップとを含み、前記出力ステップでは、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得ステップで取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する情報処理方法を実行させる。

　また、このプログラムは、ＣＤ－ＲＯＭ等の非一時的な記録媒体に記録されてもよい。また、情報処理装置は、集積回路で実装されてもよい。

　また、上記実施の形態において、各構成要素は、回路でもよい。複数の構成要素が、全体として１つの回路を構成してもよいし、それぞれ別々の回路を構成してもよい。また、回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。

　また、上記実施の形態において、送信元から送信先へ情報を送信するための送信方法は、送信される情報に送信元及び送信先の情報が含まれない送信方法であってもよく、結果として送信元から送信先へ情報が送信されるような送信方法であればよい。具体的には、ブロードキャストのような送信方法が用いられてもよい。出力元から出力先へ情報を出力するための出力方法も同様である。また、取得先から情報を取得する取得するための取得方法も、結果として取得先から情報が取得されるような取得方法であればよい。

　以上、一つまたは複数の態様に係る情報処理装置について、実施の形態に基づいて説明したが、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、及び異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。

　例えば、上記実施の形態において、特定の構成要素が実行する処理を特定の構成要素の代わりに別の構成要素が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。

　本開示は、車両に関するデータを監視するためのセキュリティシステム等に利用可能である。

　　１００　セキュリティシステム
　　２００　端末装置
　　３００　サーバ装置
　　３０１，４４１　取得器
　　３０２　判定器
　　３０３，４４２　出力器
　　３４３　サンプリングログ処理器
　　３４４　フルログ処理器
　　３４５，４４５，４６５，５１０　異常検知器
　　３４６　異常通知器
　　３４７，４４７，４６７　蓄積器
　　３４８，４４８　通信器
　　４００　車両
　　４１０　車載システム
　　４２１　ヘッドアップディスプレイ
　　４２２　テレマティクス通信ユニット
　　４２３　Ｖ２Ｘモジュール
　　４２４　ＯＢＤモジュール
　　４３０　ゲートウェイ装置
　　４４０　セキュリティＥＣＵ
　　４４３，４６３　サンプリングログ生成器
　　４４４，４６４　フルログ生成器
　　４４６，４６６　異常データ無効化器
　　４５０，４５１，４５２　ＥＣＵ
　　４６０　セキュリティゲートウェイ装置
　　４６９　転送処理器
　　４７０　車外通信器
　　４７１　車内通信器
　　５２０　ログ生成器
　　５３０　送信器

Claims (22)

1. 　車両に搭載される情報処理装置であって、
   　前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得器と、
   　前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力器とを備え、
   　前記出力器は、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する
   　情報処理装置。
2. 　前記取得器は、前記サーバ装置に含まれる前記異常検知器から前記異常検知結果を取得する
   　請求項１に記載の情報処理装置。
3. 　前記情報処理装置は、さらに、前記異常検知器を備え、
   　前記異常検知器は、前記車載ネットワークから前記通信データを取得し、前記通信データに異常が含まれるか否かを判定する
   　請求項１に記載の情報処理装置。
4. 　前記サンプリングログは、それぞれが第１時間長の期間である複数のサンプリング間隔のうち、前記複数のサンプリング間隔にそれぞれ含まれる複数の期間でありそれぞれが前記第１時間長よりも短い第２時間長の期間である複数のサンプリング期間における前記通信データのログである
   　請求項１～３のいずれか１項に記載の情報処理装置。
5. 　前記サンプリングログは、前記複数のサンプリング期間における前記通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームとサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示す
   　請求項４に記載の情報処理装置。
6. 　前記フルログは、複数の種別の前記通信データのログであり、
   　前記サンプリングログは、前記複数の種別よりも少ない１以上の種別の前記通信データのログであり、前記複数のサンプリング期間における前記１以上の種別の前記通信データを構成する複数のフレームのそれぞれについて、（ｉ）当該フレームのサンプリング時刻、（ｉｉ）当該フレームと種別及びサンプリング期間が同じ１以上のフレームにおいて当該フレームが最初のフレームであるか否か、及び、（ｉｉｉ）当該フレームのデータを示す
   　請求項４に記載の情報処理装置。
7. 　前記フルログは、複数の種別の前記通信データのログであり、
   　前記サンプリングログは、前記複数の種別よりも少ない１以上の種別の前記通信データのログである
   　請求項１～４のいずれか１項に記載の情報処理装置。
8. 　前記情報処理装置は、さらに、前記送信器を備え、
   　前記送信器は、前記出力器から出力された前記サンプリングログ送信指示に従って前記サンプリングログを前記サーバ装置へ送信し、前記出力器から出力された前記フルログ送信指示に従って前記フルログを前記サーバ装置へ送信する
   　請求項１～７のいずれか１項に記載の情報処理装置。
9. 　前記送信器は、
   　前記出力器から出力された前記サンプリングログ送信指示に従って、前記サンプリングログを可逆的に圧縮し、圧縮された前記サンプリングログを前記サーバ装置へ送信し、
   　前記出力器から出力された前記フルログ送信指示に従って、前記フルログを可逆的に圧縮し、圧縮された前記フルログを前記サーバ装置へ送信する
   　請求項８に記載の情報処理装置。
10. 　前記フルログ及び前記サンプリングログは、前記車両に搭載されたログ生成器によって生成され、
    　前記出力器は、
    　前記ログ生成器で生成された前記サンプリングログを前記送信器から前記サーバ装置へ周期的に送信させる前記サンプリングログ送信指示を出力し、
    　前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器で生成された前記フルログを前記送信器から前記サーバ装置へ送信させる前記フルログ送信指示を出力する
    　請求項１～９のいずれか１項に記載の情報処理装置。
11. 　前記サンプリングログは、それぞれが第１時間長の期間である複数のサンプリング間隔のうち、前記複数のサンプリング間隔にそれぞれ含まれる複数の期間でありそれぞれが前記第１時間長よりも短い第２時間長の期間である複数のサンプリング期間における前記通信データのログであり、
    　前記出力器は、さらに、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を変更させる変更指示を出力する
    　請求項１０に記載の情報処理装置。
12. 　前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を短くさせる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
13. 　前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得しなかった場合、前記ログ生成器に前記第１時間長を長くさせる前記変更指示を出力する
    　請求項１１又は１２に記載の情報処理装置。
14. 　前記第１時間長は、前記通信データに関する複数の種別のそれぞれについて定められ、
    　前記出力器は、前記複数の種別のうちの１つの種別について前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記１つの種別について前記第１時間長を短くさせる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
15. 　前記第１時間長は、前記通信データに関する複数の種別のそれぞれについて定められ、
    　前記出力器は、前記複数の種別のうちの１つの種別について前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得した場合、前記ログ生成器に前記第２時間長よりも長い範囲で前記複数の種別のそれぞれについて前記第１時間長を短くさせる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
16. 　前記出力器は、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得器が取得しなかった場合、前記ログ生成器に短くされた前記第１時間長を長くさせる前記変更指示を出力する
    　請求項１４又は１５に記載の情報処理装置。
17. 　前記出力器は、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長をランダムに変更させる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
18. 　前記出力器は、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を線形的に変更させる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
19. 　前記取得器は、さらに、前記サーバ装置から前記第１時間長の変更指示を外部指示として取得し、
    　前記出力器は、前記サーバ装置から前記取得器が取得した前記外部指示に従って、前記ログ生成器に前記第２時間長よりも長い範囲で前記第１時間長を変更させる前記変更指示を出力する
    　請求項１１に記載の情報処理装置。
20. 　前記フルログは、複数の種別の前記通信データのログであり、
    　前記サンプリングログは、前記複数の種別のうち１以上の種別の前記通信データのログであり、
    　前記出力器は、前記ログ生成器に前記１以上の種別を特定させる特定情報を出力する
    　請求項１０～１９のいずれか１項に記載の情報処理装置。
21. 　前記情報処理装置は、さらに、前記ログ生成器を備え、
    　前記ログ生成器は、前記車載ネットワークから前記通信データを取得し、前記通信データに従って前記フルログ及び前記サンプリングログを生成する
    　請求項１０～２０のいずれか１項に記載の情報処理装置。
22. 　車両に搭載される情報処理装置が行う情報処理方法であって、
    　前記車両の車載ネットワークにおける通信データに異常が含まれるか否かの異常検知結果を異常検知器から取得する取得ステップと、
    　前記通信データの２種類のログのうち単位時間あたりに生じるデータ量が他方のログよりも小さいログであるサンプリングログを前記車両に搭載された送信器から前記車両の外部に設けられたサーバ装置へ周期的に送信させるサンプリングログ送信指示を出力する出力ステップとを含み、
    　前記出力ステップでは、さらに、前記通信データに異常が含まれることを示す前記異常検知結果を前記取得ステップで取得した場合、前記２種類のログのうち単位時間あたりに生じるデータ量が前記サンプリングログよりも大きいログであるフルログを前記送信器から前記サーバ装置へ送信させるフルログ送信指示を出力する
    　情報処理方法。

Images