WO2019044174A1

WO2019044174A1 - 監視装置、監視システムおよびコンピュータプログラム

Info

Publication number: WO2019044174A1
Application number: PCT/JP2018/025740
Authority: WO
Inventors: 正人田邉; 吉治今本; 安齋　潤
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2017-08-30
Filing date: 2018-07-06
Publication date: 2019-03-07
Also published as: JP6913869B2; US20200177412A1; JP2019047177A; DE112018004881T5

Abstract

監視装置は、モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する。監視装置は、受信部と、制御部と、を有する。受信部は、第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する。制御部は、他の監視装置による異常検出結果に応じて、監視装置が実行する処理を変更する。

Description

監視装置、監視システムおよびコンピュータプログラム

　本開示はデータ処理技術に関し、特に監視装置、監視システムおよびコンピュータプログラムに関する。

　近年、自動車は、複数の電子機器および複数のネットワーク（ＮＷ）ドメインにより構成され、複数の電子機器のそれぞれにセキュリティ機能が導入されることがある。自動車に搭載される電子機器には、例えば、（１）ＩＶＩ（In　Vehicle　Infotainment）装置、ＴＣＵ（Telematics　Control　Unit）等のエントリポイント機器、（２）ＧＷ（Gateway）、イーサネットスイッチ（「イーサネット」は登録商標）等のネットワーク機器、（３）自動車内の末端のシステムを制御する電子制御ユニット（Electronic　Control　Unit、以下「ＥＣＵ」と呼ぶ。）が含まれうる。

特開２０１７－４７８３５号公報

　本開示は、車両などのモビリティのセキュリティに関連する処理を好適に制御する。

　本開示の一態様の監視装置は、モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する。監視装置は、受信部と、制御部と、を有する。受信部は、第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する。制御部は、他の監視装置による異常検出結果に応じて、監視装置が実行する処理を変更する。

　本開示の別の一態様の監視システムは、第一監視装置と、第二監視装置と、を有する。第一監視装置は、モビリティに搭載される。第一監視装置は、第一監視対象が異常状態かを検出し、第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信する。第二監視装置は、モビリティに搭載される。第二監視装置は、第一監視装置から送信された異常検出結果を受信し、異常検出結果に応じて、第二監視装置が実行する処理を変更する。

　なお、以上の構成要素の任意の組合せ、本開示の表現を、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などのモビリティ間で変換したものもまた、本開示の態様として有効である。

　本開示によれば、車両などのモビリティのセキュリティに関連する処理を好適に制御することができる。

実施の形態の車両の構成を模式的に示す図である。図１のＣＡＮ（Controller　Area　Network）監視ＥＣＵの機能構成を示すブロック図である。図１のＣＡＮ監視ＥＣＵの動作を示すフローチャートである。図１のＩＶＩ装置における動作切替の例を示す図である。図１のイーサネット監視ＥＣＵにおける動作切替の例を示す図である。図１のＣＡＮ監視ＥＣＵにおける動作切替の例を示す図である。第１変形例のＩＶＩ装置における動作切替の例を示す図である。第２変形例のＩＶＩ装置における動作切替の例を示す図である。第３変形例のＣＡＮ監視ＥＣＵの機能構成を示すブロック図である。第３変形例のＩＶＩ装置における動作切替の例を示す図である。

　本開示の実施の形態の説明に先立ち、従来の技術における問題点を簡単に説明する。自動車に搭載される複数の電子機器には、セキュリティ機能として、自機またはＮＷ等に対する監視機能が導入されることが想定される。また、監視機能により攻撃を検知した際には、車両として安全に動作するための処理が求められる。ただし、各機器単体で監視可能な範囲は限られており、また、監視機能が攻撃を誤検知する可能性もある。そのため、それぞれの監視機器が自機で検知した攻撃に対する処理を実行すると、車両全体の状態で見た場合に過度な制御となる可能性がある。

　実施の形態の詳細な構成を説明する前にまず概要を述べる。実施の形態の車両には、互いに異なる対象（車両の構成要素とも言える）の状態を監視する複数の監視装置が搭載される。これらの監視装置は、単体で監視可能な範囲は限られており、また、一定の確率で、監視対象が実際には正常であるにも関わらず、異常であるように誤検知する可能性がある。そのため、各監視装置が、自装置単体での監視結果に基づいて、検知した攻撃に対する無効化処理や自動車を安全側に制御するための処理（「フェイルセーフ処理」とも呼ぶ。）を実行すると、車両全体の状態に比して過剰な無効化処理やフェイルセーフ処理が実行される可能性がある。

　実施の形態の車両では、複数の監視装置が自装置で検知した監視対象の状態を互いに通知しあうことで、各監視装置において、自装置では把握できない範囲の車両の状態を参照可能にする。これにより、各監視装置は、自装置では把握できない範囲の車両の状態に応じて、車両のセキュリティに関連するデータ処理を適切に実行し、また、そのデータ処理の態様を適切に調整または変更することが可能になる。

　以下、監視対象が正常とは、外部装置から攻撃（不正なフレーム等）を受けていない状態、改ざんのない正規のファームウェアが実行されることを含む。また、監視対象が異常とは、外部装置から攻撃（不正なフレーム等）を受けている状態、改ざんされたファームウェアまたは不正なファームウェアが実行されることを含む。

　図１は、実施の形態の車両１０の構成を模式的に示す。車両１０は、内部のネットワーク（以下「車載ＮＷ」とも呼ぶ。）として、イーサネット２０とＣＡＮ（Controller　Area　Network）２２を有する。また、車両１０は、複数種類の監視装置として、ＩＶＩ装置１２、イーサネット監視ＥＣＵ１４、ＣＡＮ監視ＥＣＵ１６を有する。これらの監視装置は、車両１０に関連する所定の対象の状態を監視する。監視の対象には、車両１０内部の要素と、車両１０が接続される車両１０外部の要素（車外ＮＷ等）が含まれる。

　ＩＶＩ装置１２は、各種情報をユーザへ提供する電子機器であり、例えば、カーナビゲーション機能およびオーディオ機能を有してもよい。また、ＩＶＩ装置１２は、インターネット等の車外ＮＷ１８と接続され、車両１０外部の装置と通信する。ＩＶＩ装置１２は、車外ＮＷ１８が異常な状態か否かを検出する。例えば、ＩＶＩ装置１２は、車外ＮＷ１８を流れるメッセージを受信し、そのメッセージが異常か否かを検出する。

　イーサネット監視ＥＣＵ１４は、イーサネット２０とのインタフェースを有する。イーサネット監視ＥＣＵ１４は、イーサネット２０を監視し、イーサネット２０が異常な状態か否かを検出する。具体的には、イーサネット監視ＥＣＵ１４は、イーサネット２０を流れるメッセージであるイーサネットフレームが異常である場合、そのことを検出する。なお、イーサネット監視ＥＣＵ１４は、イーサネット２０における中継装置が監視機能を有する形態で実装されてもよい。

　ＣＡＮ監視ＥＣＵ１６は、ＣＡＮ２２とのインタフェースを有する。ＣＡＮ監視ＥＣＵ１６は、ＣＡＮ２２を監視し、ＣＡＮ２２が異常な状態か否かを検出する。具体的には、ＣＡＮ監視ＥＣＵ１６は、ＣＡＮ２２を流れるメッセージであるＣＡＮフレームが異常である場合、そのことを検出する。なお、ＣＡＮ監視ＥＣＵ１６は、ＣＡＮ２２における中継装置が監視機能を有する形態で実装されてもよい。

　ＩＶＩ装置１２は、イーサネット２０を介してイーサネット監視ＥＣＵ１４に接続され、ＣＡＮ２２を介してＣＡＮ監視ＥＣＵ１６に接続される。また、イーサネット監視ＥＣＵ１４とＣＡＮ監視ＥＣＵ１６は、ＩＶＩ装置１２または所定のＧＷ（不図示）を介して接続される。メッセージは、他の装置に対するコマンドを含んでもよい。

　図２は、図１のＣＡＮ監視ＥＣＵ１６の機能構成を示すブロック図である。ＣＡＮ監視ＥＣＵ１６は、フレーム受信部３０、フレーム無効化部３１、監視部３２、ログ保存部３８、ログ送信部４０、監視結果送信部４２、監視結果受信部４４、処理制御部４６を有する。

　本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのＣＰＵ（Central　Processing　Unit）、メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。

　例えば、図２の各ブロックに対応するモジュールを含むコンピュータプログラムが、記録媒体に格納され、その記録媒体を介してＣＡＮ監視ＥＣＵ１６に導入されてもよい。また、上記コンピュータプログラムが、ネットワークを介してＣＡＮ監視ＥＣＵ１６に導入されてもよい。ＣＡＮ監視ＥＣＵ１６のＣＰＵは、そのコンピュータプログラムを適宜読み出して実行することにより、各ブロックの機能を発揮してもよい。

　監視部３２は、車両１０に関連する予め定められた監視対象の状態を監視する。監視部３２は、異常検出部とも言え、監視対象が異常な状態であるかどうかを検出する。監視部３２は、ＮＷ監視部３４とホスト監視部３６を含む。

　フレーム受信部３０は、ＣＡＮ監視ＥＣＵ１６の外部装置（例えば、ブレーキＥＣＵなどの他のＥＣＵ）がＣＡＮ２２へ出力したＣＡＮフレームを受信する。ＮＷ監視部３４は、フレーム受信部３０により受信されたＣＡＮフレーム（以下「受信フレーム」とも呼ぶ。）が異常か否かを検出する。例えば、ＮＷ監視部３４は、無効とすべきＣＡＮ－ＩＤ（CAN-Identifier）を示すブラックリストを記憶し、受信フレームに設定されたＣＡＮ－ＩＤがブラックリスト内のＣＡＮ－ＩＤに一致する場合、受信フレームを異常と検出してもよい。なお、ＮＷ監視部３４は、正規のＣＡＮ－ＩＤを示すホワイトリストを記憶してもよく、ホワイトリストに不一致のＣＡＮ－ＩＤが設定された受信フレームを異常と検出してもよい。なお、受信フレームがイーサネットフレームの場合、受信フレームに設定されたＭＡＣ（Media　Access　Control）アドレスに基づいて、受信フレームの正否を判定してもよい。

　また、ＮＷ監視部３４は、メッセージの周期（例えば、同一ＣＡＮ－ＩＤのメッセージの受信間隔）に基づいて、受信フレームが異常か否かを判定してもよい。また、ＮＷ監視部３４は、メッセージが示すデータの変化特性に基づいて、受信フレームが異常か否かを判定してもよい。例えば、ＮＷ監視部３４は、同一ＣＡＮ－ＩＤのメッセージが示す速度データの変化量が所定の閾値を超過する場合に、受信フレームが異常と判定してもよい。

　フレーム無効化部３１は、ＮＷ監視部３４により異常と判定された受信フレームを無効化するための処理を実行する。例えば、フレーム無効化部３１は、受信フレームに対応するエラーフレームをＣＡＮ２２へ出力することにより、ＣＡＮ２２を流れる受信フレームを無効化してもよい。なお、監視対象がエラーフレームによる受信フレーム無効化ができないＮＷ（イーサネット等）である場合、フレーム無効化部３１は、異常を検出した受信フレームをフィルタリング（廃棄等）してもよく、当該受信フレームを再度ＮＷへ出力する中継処理を抑制してもよい。

　ホスト監視部３６は、デジタル署名等の公知の技術を使用して、自装置の異常を検出する。具体的には、ホスト監視部３６は、自装置内部に記憶されたファームウェアが正しいものであるかを検証し、言い換えれば、自身のファームウェアが不正に改ざんされていないかどうかを検出する。ホスト監視部３６は、いわゆるセキュアブートを実行し、すなわち、ＣＡＮ監視ＥＣＵ１６の起動時にファームウェアが改ざんされていないことを検証する。ホスト監視部３６はさらに、ＣＡＮ監視ＥＣＵ１６におけるアプリケーション実行時（実行直前）に、実行対象のアプリケーションが改ざんされていないことを検証してもよい。

　また、ホスト監視部３６は、特定のプロセスやファイルへのアクセスをカーネル等のシステムレベルで制限する機能である強制アクセス制御を逸脱する動作を検出した場合、自装置が異常と判定する。例えば、ホスト監視部３６は、予め定められた強制アクセス制御によりアクセスが禁止された特定のファイルに対してファームウェアまたはアプリケーションがアクセスした場合、自装置または自装置のファームウェアが異常であると判定してもよい。

　ログ保存部３８は、監視部３２による監視結果（言い換えれば異常検出結果）を示す監視ログを所定の記憶領域へ保存する。例えば、ログ保存部３８は、ＮＷ監視部３４により検出されたＣＡＮ２２（もしくはＣＡＮ２２を流れるフレーム）が正常であること、または異常であることを示す監視ログをＣＡＮ監視ＥＣＵ１６内部の不揮発メモリへ格納してもよい。また、ログ保存部３８は、ホスト監視部３６により検出されたＣＡＮ監視ＥＣＵ１６（もしくはＣＡＮ監視ＥＣＵ１６のファームウェア）が正常であること、または異常であることを示す監視ログをＣＡＮ監視ＥＣＵ１６内部の不揮発メモリへ格納してもよい。

　ログ送信部４０は、監視部３２による監視結果を示す監視ログを外部装置へ送信する。例えば、ログ送信部４０は、ＮＷ監視部３４により検出されたＣＡＮ２２が正常であること、または異常であることを示す監視ログを予め定められたエントリポイント装置（ＩＶＩ装置１２、ＴＣＵ等）へ送信して蓄積させてもよい。また、ログ送信部４０は、ホスト監視部３６により検出されたＣＡＮ監視ＥＣＵ１６が正常であること、または異常であることを示す監視ログを上記エントリポイント装置へ送信してもよい。

　監視結果送信部４２は、監視部３２による監視結果を他の監視装置（実施の形態ではＩＶＩ装置１２、イーサネット監視ＥＣＵ１４）へ送信する。この監視結果は、ＮＷ監視部３４により検出されたＣＡＮ２２が正常であること、または異常であることを示すデータを含む。また、この監視結果は、ホスト監視部３６により検出されたＣＡＮ監視ＥＣＵ１６が正常であること、または異常であることを示すデータを含む。

　監視結果受信部４４は、他の監視装置から送信された異常検出結果を受信する。例えば、監視結果受信部４４は、車外ＮＷ１８の監視結果とホスト監視結果とをＩＶＩ装置１２から受信する。また、監視結果受信部４４は、イーサネットフレームの監視結果とホスト監視結果とをイーサネット監視ＥＣＵ１４から受信する。

　処理制御部４６は、他の監視装置による異常検出結果に応じて、自装置が実行するセキュリティ関連処理または車両１０の挙動を変更する。以下に示すように、処理制御部４６は、様々な種別の動作を変更対象とすることができる。以下の変更対象例１～４は、ＣＡＮ監視ＥＣＵ１６が実行するセキュリティ関連処理と言える。

　変更対象例１．監視態様：
　処理制御部４６は、監視部３２の動作態様を切り替えてもよく、例えば、自装置またはＮＷが異常な状態か否かを検出するための処理を変更してもよい。具体的には、処理制御部４６は、監視部３２の監視規則を切り替えてもよい。例えば、処理制御部４６は、正常と見なす許容範囲が広い規則と、許容範囲が狭い規則とを切り替えてもよい。

　ＮＷ監視における許容範囲が広い規則は、例えば、周期またはデータの変化量について相対的に広い範囲を正常と見なす規則であってもよい。ＮＷ監視における許容範囲が狭い規則は、例えば、周期またはデータの変化量について相対的に狭い範囲を正常と見なす規則であってもよい。また、ホスト監視における許容範囲が広い規則は、例えば、改ざんおよび強制アクセス制御違反の少なくとも一方の検出対象とするプログラムの個数または種類が相対的に少ない規則であってもよい。ホスト監視における許容範囲が狭い規則は、例えば、改ざんおよび強制アクセス制御違反の少なくとも一方の検出対象とするプログラムの個数または種類が相対的に多い規則であってもよい。

　また、処理制御部４６は、監視部３２による監視対象範囲を拡大または縮小してもよい。例えば、処理制御部４６は、ミドルウェアまでの範囲で改ざんを検知することと、ミドルウェアにアプリケーションを加えた範囲で改ざんを検知することとを切り替えてもよい。さらにまた、処理制御部４６は、監視部３２の監視タイミングを切り替えてもよい。例えば、処理制御部４６は、ソフトウェアの起動時にのみ当該ソフトウェアの改ざん有無を検証することと、定期的に複数のソフトウェアの改ざん有無を検証することとを切り替えてもよい。

　変更対象例２．コマンドの無効化態様：
　処理制御部４６は、フレーム無効化部３１の動作態様を切り替えてもよく、具体的には、異常が検出されたＣＡＮフレームをエラーフレームにより無効化することと、異常が検出されたＣＡＮフレームを記録するが無効化はしないこととを切り替えてもよい。また、処理制御部４６は、異常が検出されたメッセージ（例えばＣＡＮフレームまたはイーサネットフレーム）をフィルタリング（例えば廃棄）することの有無を切り替えてもよい。

　変更対象例３．異常記録態様：
　処理制御部４６は、ログ保存部３８の動作態様を切り替えてもよく、具体的には、不揮発メモリへ監視ログを保存するか否かを切り替えてもよい。また、処理制御部４６は、監視ログにおける保存対象を切り替えてもよい。例えば、処理制御部４６は、異常が検出されたメッセージのみ保存することと、異常が検出されたメッセージに加えて、その前後の所定数のメッセージを保存することとを切り替えてもよい。後者の態様は、異常が発生する場合の前兆または傾向を把握する場合に有用である。

　変更対象例４．異常通知態様：
　処理制御部４６は、ログ送信部４０の動作態様を切り替えてもよく、具体的には、車両１０の外部に設けられたＳＯＣ（Security　Operation　Center）（不図示）へ監視ログを送信することの有無を切り替えてもよい。また、処理制御部４６は、他の監視装置（ＩＶＩ装置１２、ＴＣＵ等）へ監視ログを送信することの有無を切り替えてもよい。

　変更対象例５．車両の動作態様：
　処理制御部４６は、車両１０における自動運転機能を有効にした状態と、自動運転機能を無効にした状態とを切り替えてもよい。この場合、処理制御部４６は、自動運転機能を有効にする（言い換えれば開始する）ことを指示するコマンド、または、自動運転機能を無効にする（言い換えれば終了する）ことを指示するコマンドを、車両１０の自動運転コントローラ（不図示）またはＡＤＡＳ（Advanced　Driver　Assistance　System）　ＥＣＵ（不図示）へ送信してもよい。また、処理制御部４６は、自動運転コントローラ、ＡＤＡＳ、または他のＥＣＵと連携して、車両１０におけるフェイルセーフ処理（例えば自動運転の停止処理等）を有効にした状態と、フェイルセーフ処理を無効にした状態とを切り替えてもよい。

　なお、ＩＶＩ装置１２の機能構成もＣＡＮ監視ＥＣＵ１６（図２）と同様である。異なる点として、ＩＶＩ装置１２のフレーム受信部３０は、車外ＮＷ１８から通信フレームを受信する。また、ＩＶＩ装置１２の監視結果送信部４２は、送信先がイーサネット監視ＥＣＵ１４およびＣＡＮ監視ＥＣＵ１６になる。また、ＩＶＩ装置１２の監視結果受信部４４は、送信元がイーサネット監視ＥＣＵ１４およびＣＡＮ監視ＥＣＵ１６になる。また、ＩＶＩ装置１２のフレーム無効化部３１は、受信フレームのアドレスや周期、データの変化特性等に応じて、エラーフレームの送信に代えて、受信フレームをフィルタリング（例えば廃棄）してもよい。

　また、イーサネット監視ＥＣＵ１４の機能構成もＣＡＮ監視ＥＣＵ１６（図２）と同様である。異なる点として、イーサネット監視ＥＣＵ１４のフレーム受信部３０は、イーサネット２０からフレームを受信する。また、イーサネット監視ＥＣＵ１４の監視結果送信部４２は、送信先がＩＶＩ装置１２およびＣＡＮ監視ＥＣＵ１６になる。また、イーサネット監視ＥＣＵ１４の監視結果受信部４４は、送信元がＩＶＩ装置１２およびＣＡＮ監視ＥＣＵ１６になる。また、イーサネット監視ＥＣＵ１４のフレーム無効化部３１は、受信フレームのアドレスや周期、データの変化特性等に応じて、エラーフレームの送信に代えて、受信フレームをフィルタリング（例えば廃棄）してもよい。

　図３は、図１のＣＡＮ監視ＥＣＵ１６の動作を示すフローチャートである。同図は、ＣＡＮ監視ＥＣＵ１６が実行する処理のうち、主に、監視処理およびセキュリティ関連処理を示している。車両１０における他の監視装置、すなわちＩＶＩ装置１２およびイーサネット監視ＥＣＵ１４も、ＣＡＮ監視ＥＣＵ１６と同様の監視処理およびセキュリティ関連処理を実行する。

　フレーム受信部３０が、ＣＡＮ２２からＣＡＮフレームを受信すると（Ｓ１０のＹ）、ＮＷ監視部３４は、受信されたＣＡＮフレームの正常性を判定する（Ｓ１２）。ＣＡＮフレームを未受信であれば（Ｓ１０のＮ）、Ｓ１２をスキップする。ホスト監視の実行タイミング（例えばＣＡＮ監視ＥＣＵ１６の起動時、または、前回のホスト監視から所定時間経過時）であれば（Ｓ１４のＹ）、ホスト監視部３６は、自装置のメモリ等に記憶されたファームウェアの正常性を検証する（Ｓ１６）。ホスト監視の実行タイミングでなければ（Ｓ１４のＮ）、Ｓ１６をスキップする。なお、ＮＷ監視とホスト監視の実行順序は問わず、また、ＮＷ監視とホスト監視が並行して実行されてもよい。

　ログ保存部３８は、ホスト監視の結果とＮＷ監視の結果の少なくとも一方に応じて、それらの結果を示すログを所定の記憶領域へ保存する（Ｓ１８）。ログ送信部４０は、ホスト監視の結果とＮＷ監視の結果の少なくとも一方に応じて、それらの結果を示すログを所定の外部装置へ送信する（Ｓ２０）。監視結果送信部４２は、ホスト監視の結果を示すデータと、ＮＷ監視の結果を示すデータの両方をＩＶＩ装置１２およびイーサネット監視ＥＣＵ１４へ送信する（Ｓ２２）。なお、ホスト監視のタイミングと、ＮＷ監視のタイミングによっては、いずれか一方の監視結果を送信してもよい。また、ＩＶＩ装置１２とイーサネット監視ＥＣＵ１４のいずれか一方へ監視結果を送信する構成であってもよい。

　監視結果受信部４４は、ＩＶＩ装置１２およびイーサネット監視ＥＣＵ１４から出力されたホスト監視結果を示すデータと、ＮＷ監視結果を示すデータを、通信網を介して受信する（Ｓ２４のＹ）。ホスト監視の結果を示すデータと、ＮＷ監視の結果を示すデータの少なくとも一方が、前回受信したデータから変化している場合（Ｓ２６のＹ）、処理制御部４６は、所定のセキュリティ関連処理を変更し、または車両１０の挙動を変更する（Ｓ２８）。他の監視装置による監視結果を未受信であれば（Ｓ２４のＮ）、Ｓ２６とＳ２８をスキップし、監視結果に変化がなければ（Ｓ２６のＮ）、Ｓ２８をスキップする。ＣＡＮ監視ＥＣＵ１６は、図３に示す処理を繰り返し実行する。

　図３のＳ２８の動作切替について、その具体例を説明する。図４は、ＩＶＩ装置１２における動作切替の例を示す。ＩＶＩ装置１２は、ＣＡＮ監視ＥＣＵ１６と同様の機能ブロック（図２）を含むこととする。動作例（１）では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、自装置のホスト監視において、ミドルウェアの範囲まで改ざん有無を検出するようホスト監視部３６を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部４６は、自装置のホスト監視において、ミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するようホスト監視部３６を制御する。

　また、他の複数の監視装置によるＮＷ監視結果がいずれも正常であれば、処理制御部４６は、自装置のＮＷ監視において、異常を検出したメッセージのみ不揮発メモリへ保存するようログ保存部３８を制御する。一方、他の複数の監視装置によるＮＷ監視結果の少なくともいずれかが異常であれば、処理制御部４６は、自装置のＮＷ監視において、異常を検出したメッセージに加えて、その前後の所定数のメッセージを不揮発メモリへ保存するようログ保存部３８を制御する。

　動作例（２）では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、自装置のホスト監視において、自装置の起動時にのみファームウェアの改ざん有無を検出するようホスト監視部３６を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部４６は、自装置のホスト監視として、定期的にファームウェアの改ざんを検出するようホスト監視部３６を制御する。

　また、他の複数の監視装置によるＮＷ監視結果がいずれも正常であれば、処理制御部４６は、自装置の監視ログをローカルの記憶領域に保存するが、外部装置への送信を抑制するようログ保存部３８およびログ送信部４０を制御する。一方、他の複数の監視装置によるＮＷ監視結果の少なくともいずれかが異常であれば、処理制御部４６は、自装置の監視ログをローカルの記憶領域に保存し、かつ、ＳＯＣへ送信するようログ保存部３８およびログ送信部４０を制御する。

　図５は、イーサネット監視ＥＣＵ１４における動作切替の例を示す。イーサネット監視ＥＣＵ１４は、ＣＡＮ監視ＥＣＵ１６と同様の機能ブロック（図２）を含むこととする。動作例（１）では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、フレーム廃棄等のフィルタリング処理を抑制するようフレーム無効化部３１を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部４６は、フィルタリング処理を有効にするようフレーム無効化部３１を制御する。

　また、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が正常であれば、処理制御部４６は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。言い換えれば、処理制御部４６は、イーサネット２０を正常と判定する基準を緩める。一方、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が異常であれば、処理制御部４６は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。言い換えれば、処理制御部４６は、イーサネット２０を正常と判定する基準を厳しくする。

　また、ＩＶＩ装置１２によるＮＷ監視結果が正常であれば、処理制御部４６は、自装置の監視ログをローカルの記憶領域に保存するが、外部装置への送信を抑制するようログ保存部３８およびログ送信部４０を制御する。一方、ＩＶＩ装置１２によるＮＷ監視結果が異常であれば、処理制御部４６は、自装置の監視ログをローカルの記憶領域に保存し、かつ、ＩＶＩ装置１２へ送信するようログ保存部３８およびログ送信部４０を制御する。

　動作例（２）では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、動作切替を抑制し、それまでの監視動作を継続させる。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部４６は、自動運転の終了を指示するコマンドを自動運転コントローラへ送信すること、および、車両１０を停止させることの少なくとも一方のフェイルセーフ処理を実行するよう自動運転コントローラもしくは他のＥＣＵを制御する。

　また、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が正常であれば、処理制御部４６は、異常が検出されたフレームを廃棄する等のフィルタリング処理の実行を抑制するようフレーム無効化部３１を制御する。一方、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が異常であれば、処理制御部４６は、フィルタリング処理を実行するようフレーム無効化部３１を制御する。

　また、ＩＶＩ装置１２によるＮＷ監視結果が正常であれば、処理制御部４６は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。一方、ＩＶＩ装置１２によるＮＷ監視結果が異常であれば、処理制御部４６は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。

　図６は、ＣＡＮ監視ＥＣＵ１６における動作切替の例を示す。動作例（１）では、他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、異常が検出されたフレームのログを所定の記憶領域に保存するが、異常が検出されたフレームに対するエラーフレームの出力を抑制するようログ保存部３８およびフレーム無効化部３１を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくともいずれかが異常であれば、処理制御部４６は、異常が検出されたフレームのログを所定の記憶領域に保存するとともに、異常が検出されたフレームに対するエラーフレームを出力するようログ保存部３８およびフレーム無効化部３１を制御する。

　また、イーサネット監視ＥＣＵ１４によるＮＷ監視結果が正常であれば、処理制御部４６は、許容範囲が相対的に広い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。一方、イーサネット監視ＥＣＵ１４によるＮＷ監視結果が異常であれば、処理制御部４６は、許容範囲が相対的に狭い監視規則に基づく監視処理を実行するようＮＷ監視部３４およびホスト監視部３６の少なくとも一方を制御する。

　また、イーサネット監視ＥＣＵ１４によるＮＷ監視結果が正常であれば、処理制御部４６は、異常が検出されたフレームのログを所定の記憶領域に保存するが、異常が検出されたフレームに対するエラーフレームの出力を抑制するようログ保存部３８およびフレーム無効化部３１を制御する。一方、イーサネット監視ＥＣＵ１４によるＮＷ監視結果が異常であれば、処理制御部４６は、異常が検出されたフレームのログを所定の記憶領域に保存するとともに、異常が検出されたフレームに対するエラーフレームを出力するようログ保存部３８およびフレーム無効化部３１を制御する。

　実施の形態の車両１０に搭載された監視装置（例えばＩＶＩ装置１２、イーサネット監視ＥＣＵ１４、ＣＡＮ監視ＥＣＵ１６のそれぞれ）は、他の監視装置との連携により、自装置による監視対象以外の状態を把握し、車両１０全体の状態に即したセキュリティ関連処理を実行できる。また、車両１０全体の状態に即して車両１０の挙動を変更することができる。これにより、監視装置単体で異常を誤検知した場合にも、過度なフェイルセーフ処理の実行を回避しやすくなる。

　以上、本開示を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本開示の範囲にあることは当業者に理解されるところである。

　第１変形例を説明する。処理制御部４６は、他の複数の監視装置により異常が検出された個数に応じて、予め定められた複数種類の動作切替態様の中からいずれかを選択してもよい。上記個数は、同じ監視対象（装置内部、車載ＮＷ等）にて異常を検出した監視装置の個数でもよく、異常が検出された監視対象の個数でもよい。処理制御部４６は、上記個数が多いほど、自装置における監視基準をより厳しい基準へ切り替えてもよく、また、より重大な異常に対応づけられたセキュリティ関連処理を実行してもよい。

　図７は、第１変形例のＩＶＩ装置１２における動作切替の例を示す。他の複数の監視装置によるホスト監視結果がいずれも正常であれば、処理制御部４６は、自装置のホスト監視において、装置起動時にミドルウェアの範囲まで改ざん有無を検出するようホスト監視部３６を制御する。一方、他の複数の監視装置によるホスト監視結果の少なくとも１つが異常であれば、処理制御部４６は、自装置のホスト監視において、装置起動時にミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するようホスト監視部３６を制御する。

　さらに、他の複数の監視装置によるホスト監視結果がいずれも異常であれば、処理制御部４６は、装置起動時に加えて、定期的にアプリケーションの範囲まで改ざん有無を検出するようホスト監視部３６を制御する。他の複数の監視装置によるホスト監視結果がいずれも異常である場合は、自装置もプログラムの改ざん等の攻撃を受けている蓋然性が高い。そのため、通常時より監視対象と監視タイミングの両方を拡大することで、自装置の異常を迅速かつ確実に検出しやすくなる。

　第２変形例を説明する。処理制御部４６は、複数種類の監視対象のうち、他の複数の監視装置により異常が検出された監視対象の個数（種類数）に応じて、複数種類の動作切替態様の中からいずれかを選択してもよい。図８は、第２変形例のＩＶＩ装置１２における動作切替の例を示す。同図の４行目までは、ホスト監視とＮＷ監視の個々の正否に基づく動作切替であり、図４の動作例（１）で説明済みのため再度の説明を省略する。

　処理制御部４６は、ホスト監視結果とＮＷ監視結果のそれぞれに応じて既述の動作切替を実行するとともに、ホスト監視とＮＷ監視の両方が異常の場合はさらに、車両１０の自動運転を終了させる。ホスト監視とＮＷ監視の両方が異常の場合、処理制御部４６は、監視対象の拡大、ログ保存対象の拡大とともに、自動運転を終了させてもよい。また、処理制御部４６は、イーサネット監視ＥＣＵ１４によるホスト監視結果とＣＡＮ監視ＥＣＵ１６によるホスト監視結果の少なくとも一方が異常となり、イーサネット監視ＥＣＵ１４によるＮＷ監視結果とＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果の少なくとも一方が異常となった場合に、ホスト監視とＮＷ監視の両方が異常であると判定してもよい。

　第３変形例を説明する。図９は、図２に対応し、第３変形例のＣＡＮ監視ＥＣＵ１６の機能構成を示すブロック図である。ＩＶＩ装置１２およびイーサネット監視ＥＣＵ１４の機能構成もＣＡＮ監視ＥＣＵ１６と同様になる。監視部３２は、ＮＷ監視部３４によるＮＷ監視の結果と、ホスト監視部３６によるホスト監視の結果の両方を処理制御部４６へさらに出力してもよい。処理制御部４６は、他の監視装置による監視結果と、自装置による監視結果の組み合わせに基づいて、自装置が実行するセキュリティ関連処理または車両１０の挙動を変更してもよい。

　図１０は、第３変形例のＩＶＩ装置１２における動作切替の例を示す。図１０における個々の動作は、図４に関連して説明済みのため再度の説明を省略する。なお、他の監視装置のホスト監視結果が異常で、かつ、自装置の車外ＮＷ監視結果も異常の場合、セキュリティのリスクがより高いと考えられる。そこで、処理制御部４６は、アプリケーションまで改ざんを検出し、かつ、定期的に自装置の改ざんを検出するように、自装置のホスト監視を制御してもよい。同様に、他の監視装置の車載ＮＷ監視結果が異常で、かつ、自装置の車外ＮＷ監視結果も異常の場合、処理制御部４６は、異常メッセージ＋前後のメッセージをログ保存し、かつ、ＳＯＣへログ通知を開始するように制御してもよい。

　第４変形例を説明する。予め監視対象ごとに重要度が設定されてよく、監視装置の処理制御部４６は、異常を検出した監視対象の重要度に応じて動作を切り替えてもよい。具体的には、処理制御部４６は、他の複数の監視装置により異常が検出された監視対象の重要度に応じて、予め定められた複数種類の動作切替態様の中からいずれかを選択してもよい。上記重要度は、監視対象の種別（監視装置内部、車載ＮＷ、車外ＮＷ等）に応じて設定されてもよく、例えば、車外ＮＷは重要度低、車載ＮＷは重要度中、監視機器内部は重要度高が設定されてもよい。また、上記重要度は、異常が検出された監視対象の個数に応じて設定されてもよく、その個数が多いほど高い重要度が設定されてもよい。また、同種の監視対象（ＣＡＮ、イーサネット等）で異なる重要度が設定されてもよい。処理制御部４６は、異常が検出された監視対象の重要度が高いほど、自装置における監視基準をより厳しい基準へ切り替えてもよく、また、より重大な異常に対応付けられたセキュリティ関連処理を実行してもよい。

　別の変形例を説明する。車両１０は、実施の形態に記載した以外の監視装置を有してもよい。また、監視装置の個数に制約はない。例えば、車両１０は、実施の形態に記載した以外のＮＷ、例えばＣＡＮ　ＦＤ（CAN　with　Flexible　Data-Rate）、ＦｌｅｘＲａｙ、ＭＯＳＴ（Media　Oriented　Systems　Transport）等を有してもよく、これらのＮＷを監視する監視装置を有してもよい。また、同種のＮＷが複数チャネル（例えば複数バス）設けられる場合、各チャネルに対して別の監視装置が設けられてもよい。例えば、２種類の車外ＮＷに対して、エントリポイントの監視装置が２つ設けられてもよい。また、２つのＣＡＮに対して、２つのＣＡＮ監視ＥＣＵが設けられてもよい。

　車両１０に搭載される監視装置は２つでもよい。ここでは、車両１０に、ＩＶＩ装置１２とＣＡＮ監視ＥＣＵ１６が搭載されることとし、ＩＶＩ装置１２における動作切替の例を図４の動作例（１）を参照しつつ説明する。ＣＡＮ監視ＥＣＵ１６によるホスト監視結果が正常であれば、ＩＶＩ装置１２は、自装置のホスト監視において、ミドルウェアの範囲まで改ざん有無を検出するよう制御する。一方、ＣＡＮ監視ＥＣＵ１６によるホスト監視結果が異常であれば、ＩＶＩ装置１２は、自装置のホスト監視において、ミドルウェアに加えてアプリケーションの範囲まで改ざん有無を検出するよう制御する。また、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が正常であれば、ＩＶＩ装置１２は、自装置のＮＷ監視において、異常を検出したメッセージのみ不揮発メモリへ保存するよう制御する。一方、ＣＡＮ監視ＥＣＵ１６によるＮＷ監視結果が異常であれば、ＩＶＩ装置１２は、自装置のＮＷ監視において、異常を検出したメッセージに加えて、その前後の所定数のメッセージを不揮発メモリへ保存するよう制御する。

　ゲートウェイや制御ＥＣＵ等、任意のＥＣＵが、実施の形態に記載の監視機能を有してもよい。

　監視装置間における監視結果のデータの通知方法は、任意の公知技術を適用できる。例えば、車載ネットワーク（ＣＡＮ、ＣＡＮ　ＦＤ、イーサネット、ＭＯＳＴ、ＦｌｅｘＲａｙ等）を介して監視結果を通知してもよい。また、専用線（ジカ線、ＣＡＮ、イーサネット等）を介して監視結果を通知してもよい。

　処理制御部４６は、自動運転の有効化、無効化に限らず、監視結果に応じて、他の機器へ動作切替指示を送信してもよい。

　監視結果は、正常と異常だけでなく、未定状態を含んでもよい。未定状態は、例えば、監視機能動作前の状態を含んでもよく、監視機能による検証中の状態を含んでもよい。車両１０における複数の監視装置のそれぞれは、監視機能動作前または検証中において未定状態を示す監視結果を他の監視装置へ通知してもよい。

　処理制御部４６は、監視結果が未定状態の場合、監視結果が正常および異常の場合とは異なる処理を実行してもよい。処理制御部４６は、全ての監視結果、例えば、自装置および他の監視装置によるホスト監視結果とＮＷ監視結果の少なくとも一部に未定状態または異常が含まれる場合、自動運転機能を有効化しないよう自動運転コントローラまたはＡＤＡＳを制御してもよい。また、処理制御部４６は、未定状態を示す監視結果が他の監視装置から通知された場合、当該他の監視装置から異常を示す監視結果が通知されるまで、すなわち異常が確定するまでは、フレームの無効化処理を抑制するようにフレーム無効化部３１を制御してもよい。

　また、監視結果は、正常と異常に加えてグレー状態を含んでもよく、または、正常と異常と未定状態に加えてグレー状態を含んでもよい。グレー状態は、監視機能により正常または異常を判断することが難しい状態である。例えば、ＮＷ監視部３４は、正常の範囲に含まれる値をとるメッセージであるが、当該メッセージの値が、異常と判断する閾値に近い場合、当該メッセージをグレー状態として判定してもよく、また、ＮＷ監視結果をグレー状態と判定してもよい。同様にホスト監視部３６も、自装置の状態に関する値が正常の範囲であるが、その値が、異常と判断する閾値に近い場合、ホスト監視結果をグレー状態と判定してもよい。処理制御部４６は、監視結果がグレー状態の場合、監視結果が正常、異常、未定状態の場合とは異なる処理を実行してもよい。

　なお、上記実施の形態では、車両に搭載される車載ネットワークにおけるセキュリティ対策として説明したが、本開示の適用範囲はこれに限られない。車両は、モビリティの一例である。本開示は、車両に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。

　なお、実施の形態および変形例に記載の技術は、以下の項目によって特定されてもよい。

　［項目１］
　監視装置は、モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する。監視装置は、受信部と、制御部と、を有する。受信部は、第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する。制御部は、他の監視装置による異常検出結果に応じて、監視装置が実行する処理を変更する。

　この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、モビリティに関連する様々な要素の状態に応じて、セキュリティ関連処理の態様またはモビリティの挙動を一層適切に制御可能になる。

　［項目２］
　項目１に記載の監視装置はエントリポイント機器であってよい。第一監視対象はエントリポイント機器またはモビリティの外部のネットワークであってよい。他の監視装置は電子制御ユニットであってよい。第二監視対象は電子制御ユニットまたはモビリティの内部のネットワークであってよい。

　［項目３］
　項目２に記載の監視装置は、第一監視対象が異常状態かを検出する検出部、をさらに有してよい。制御部は、検出部による検出処理を変更してよい。

　この監視装置によると、モビリティに関連する様々な要素の状態に応じて、監視処理の態様を適切に調整することができる。

　［項目４］
　項目２または３に記載の監視装置は、第一監視対象の異常検出結果を示すログを保存する保存部、をさらに有してよい。制御部は、保存部による保存処理を変更してよい。

　この監視装置によると、モビリティに関連する様々な要素の状態に応じて、ログの保存処理の態様を適切に調整することができる。

　［項目５］
　項目１に記載の監視装置は、モビリティの内部の第一ネットワークを監視する第一監視電子制御ユニットであってよい。第一監視対象は、第一監視電子制御ユニットまたは第一ネットワークであってよい。他の監視装置は、第一ネットワークとは異なるモビリティの内部の第二ネットワークを監視する第二監視電子制御ユニットであってよい。第二監視対象は、第二監視電子制御ユニットまたは第二ネットワークであってよい。

　［項目６］
　項目５に記載の監視装置において、第一ネットワークおよび第二ネットワークは、一方がイーサネットであり、他方がＣＡＮであってよい。

　この監視装置によると、モビリティにイーサネットおよびＣＡＮが併設される場合に、それらの状態に応じて、セキュリティ関連処理の態様またはモビリティの挙動を一層適切に制御可能になる。

　［項目７］
　項目５または６に記載の監視装置は、第一監視対象が異常状態かを検出する検出部と、をさらに有してよい。制御部は、検出部による検出処理を変更してよい。

　この監視装置によると、監視装置単体で状態を監視可能な範囲を超えた、モビリティに関連する様々な要素の状態に応じて、自装置による監視処理を一層適切に制御可能になる。

　［項目８］
　項目５から７のいずれか１項目に記載の監視装置は、フレーム受信部と、無効化部と、をさらに有してよい。フレーム受信部は、外部装置から送信されたメッセージを受信する。無効化部は、メッセージを無効化する。制御部は、無効化部による無効化処理を変更してよい。

　この監視装置によると、モビリティに関連する様々な要素の状態に応じて、メッセージのフィルタリングまたは無効化等の態様を適切に調整することができる。

　［項目９］
　項目５から８のいずれか１項目に記載の監視装置は、第一監視対象の異常検出結果を示すログを保存する保存部をさらに有してよい。制御部は、保存部による保存処理を変更してよい。

　［項目１０］
　項目５から９のいずれか１項目に記載の監視装置は、第一監視対象の異常検出結果を示すログを外部装置へ通知する通知部をさらに有してよい。制御部は、通知部による通知処理を変更してよい。

　この監視装置によると、モビリティに関連する様々な要素の状態に応じて、ログの通知処理の態様を適切に調整することができる。

　［項目１１］
　項目５から１０のいずれか１項目に記載の監視装置において、制御部は、モビリティの自動運転機能に関する処理を変更してよい。

　この監視装置によると、モビリティに関連する様々な要素の状態に応じて、当該モビリティにおける自動運転機能を適切に制御することができる。

　［項目１２］
　監視システムは、第一監視装置と、第二監視装置と、を有する。第一監視装置は、モビリティに搭載される。第一監視装置は、第一監視対象が異常状態かを検出し、第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信する。第二監視装置は、モビリティに搭載される。第二監視装置は、第一監視装置から送信された異常検出結果を受信し、異常検出結果に応じて、第二監視装置が実行する処理を変更する。

　この監視システムによると、１つの監視装置により状態を監視可能な範囲を超えた、モビリティに関連する様々な要素の状態に応じて、セキュリティ関連処理の態様またはモビリティの挙動を一層適切に制御可能になる。

　［項目１３］
　コンピュータプログラムは、モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置に、第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信処理を実行させる。また、コンピュータプログラムは、監視装置に、他の監視装置による異常検出結果に応じて、監視装置が実行する処理を変更する制御処理を実行させる。

　このコンピュータプログラムによると、監視装置単体で状態を監視可能な範囲を超えた、モビリティに関連する様々な要素の状態に応じて、セキュリティ関連処理の態様またはモビリティの挙動を一層適切に制御する監視装置を実現できる。

　上述した実施の形態および変形例の任意の組み合わせもまた本開示の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。

　本開示は、データ処理技術に関し、特に監視装置、監視システムおよびコンピュータプログラムとして有用である。

　１０　車両（モビリティ）
　１２　ＩＶＩ装置
　１４　イーサネット監視ＥＣＵ
　１６　ＣＡＮ監視ＥＣＵ
　１８　車外ＮＷ
　２０　イーサネット
　２２　ＣＡＮ
　３０　フレーム受信部
　３１　フレーム無効化部
　３２　監視部
　３４　ＮＷ監視部
　３６　ホスト監視部
　３８　ログ保存部
　４０　ログ送信部
　４２　監視結果送信部
　４４　監視結果受信部
　４６　処理制御部

Claims

　モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置であって、
　前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信部と、
　前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御部と、
　を備える監視装置。
　前記監視装置はエントリポイント機器であり、前記第一監視対象は前記エントリポイント機器または前記モビリティの外部のネットワークであり、
　前記他の監視装置は電子制御ユニットであり、前記第二監視対象は前記電子制御ユニットまたは前記モビリティの内部のネットワークである、
　請求項１に記載の監視装置。
　前記第一監視対象が異常状態かを検出する検出部、をさらに備え、
　前記制御部は、前記検出部による検出処理を変更する、
　請求項２に記載の監視装置。
　前記第一監視対象の異常検出結果を示すログを保存する保存部、をさらに備え、
　前記制御部は、前記保存部による保存処理を変更する、
　請求項２または３に記載の監視装置。
　前記監視装置は、前記モビリティの内部の第一ネットワークを監視する第一監視電子制御ユニットであり、
　前記第一監視対象は、前記第一監視電子制御ユニットまたは前記第一ネットワークであり、
　前記他の監視装置は、前記第一ネットワークとは異なる前記モビリティの内部の第二ネットワークを監視する第二監視電子制御ユニットであり、
　前記第二監視対象は、前記第二監視電子制御ユニットまたは前記第二ネットワークである、
　請求項１に記載の監視装置。
　前記第一ネットワークおよび前記第二ネットワークは、一方がイーサネットであり、他方がＣＡＮである
　請求項５に記載の監視装置。
　前記第一監視対象が異常状態かを検出する検出部と、をさらに備え、
　前記制御部は、前記検出部による検出処理を変更する、
　請求項５または６に記載の監視装置。
　外部装置から送信されたメッセージを受信するフレーム受信部と、
　前記メッセージを無効化する無効化部と、をさらに備え、
　前記制御部は、前記無効化部による無効化処理を変更する、
　請求項５から７のいずれか１項に記載の監視装置。
　前記第一監視対象の異常検出結果を示すログを保存する保存部をさらに備え、
　前記制御部は、前記保存部による保存処理を変更する、
　請求項５から８のいずれか１項に記載の監視装置。
　前記第一監視対象の異常検出結果を示すログを外部装置へ通知する通知部をさらに備え、
　前記制御部は、前記通知部による通知処理を変更する、
　請求項５から９のいずれか１項に記載の監視装置。
　前記制御部は、前記モビリティの自動運転機能に関する処理を変更する、
　請求項５から１０のいずれか１項に記載の監視装置。
　モビリティに搭載される第一監視装置が、
　第一監視対象が異常状態かを検出し、
　前記第一監視対象とは異なる第二監視対象を監視する第二監視装置へ、異常検出結果を送信し、
　前記モビリティに搭載される前記第二監視装置が、
　前記第一監視装置から送信された前記異常検出結果を受信し、
　前記異常検出結果に応じて、前記第二監視装置が実行する処理を変更する、
　監視システム。
　モビリティに搭載される複数の監視装置に含まれる、第一監視対象の異常状態を監視する監視装置に、
　前記第一監視対象とは異なる第二監視対象の異常状態を監視する他の監視装置による異常検出結果を受信する受信処理と、
　前記他の監視装置による異常検出結果に応じて、前記監視装置が実行する処理を変更する制御処理と、
　を実行させるためのコンピュータプログラム。