WO2021131193A1 - 攻撃監視用センター装置、及び攻撃監視用端末装置 - Google Patents

Abstract

攻撃監視用センター装置（１００）は、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信する受信部（１０１）と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する記憶部（１０２）と、前記イベントログ及び前記第１のパターンに基づき、異常の検出を行うイベントログ分析部（１０３）と、前記イベントログ分析部で異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する送信部（１０４）とを有する。

Description

攻撃監視用センター装置、及び攻撃監視用端末装置 関連出願の相互参照

　本出願は、２０１９年１２月２５日に出願された日本特許出願番号２０１９－２３４４５０号に基づくもので、ここにその記載内容を援用する。

　本出願は、サイバー攻撃を監視するシステムであって、主に移動体に搭載される攻撃監視用端末装置、及び移動体の外部に設けられた攻撃監視用センター装置、からなる攻撃監視用システムに関する。

　近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。車両は高速で移動するため、サイバー攻撃に伴い車両のコントロールを失うと人身に影響を及ぼす事故が発生する危険性が高く、サイバー攻撃に対してより強固な防御手段が必要となる。

　ここで、コンピュータシステムの分野においては、以前からサイバー攻撃に対する対応策が講じられている。

　例えば、特許文献１には、接続された複数の機器から取得したログ内容を照合した場合に、論理的に異常の可能性が導き出せるログ内容の組み合わせがあることに着目し、予めこの組み合わせを異常パターンとして記憶部に記憶しておき、実際のログとの照合を行うことにより、不正の疑いがある監視対象を早期に発見することができるログ監視方法及び装置が記載されている。

特開２０１６－１４３３２０号公報

　ここで、本発明者は、以下の課題を見出した。
　従来のコンピュータシステムの分野と異なり、車両に搭載されるコンピュータはＣＰＵやメモリなどのリソースが非力であり、複雑なイベントログの分析が難しい。これに対し、イベントログの分析を、車両外のサーバ等のようなリソースが豊富な機器で行う場合、車両とサーバとは無線通信を用いて接続する必要がある。しかし、無線通信は環境によって接続が不安定になることがあり、車両に対してリアルタイムに対応を行うことが難しい場合が生じる。この結果、サイバー攻撃にさらされる危険性が高くなる。
　また、リソースが非力でない場合においても、イベントログの分析を車両外のサーバ等で行うとすると、ネットワーク接続が不安定である場合に同様の問題が生じる。

　本開示は、リソースが非力、かつ／又は、ネットワーク接続が不安定な場合においても、サイバー攻撃の判定を遅滞なく行うことができる攻撃監視用センター装置、攻撃監視用端末装置、及びこれらに用いられる方法及びプログラムを実現することを目的とする。
　なお、課題として車両に搭載される場合を例に挙げているが、これは課題の一例である。車両に搭載されない場合も、リソースが非力である、かつ／又は、ネットワーク接続が不安定になる可能性があるという課題が生じうる。また、ネットワーク接続は、有線であっても不安定になる可能性があるのは当然である。

　本開示の一態様による攻撃監視用センター装置は、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信する受信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する記憶部と、前記イベントログ及び前記第１のパターンに基づき、異常の検出を行うイベントログ分析部と、前記イベントログ分析部で異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する送信部と、を有する。

　また、本開示の他の態様による攻撃監視用端末装置は、接続された各装置からイベントログを収集するイベントログ収集部と、前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信する送信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信する受信部と、前記第２のパターンを保存する保存部（２０５）と、前記第２のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う攻撃判定部と、を有する。

　また、本開示の他の態様による、攻撃監視用センター装置における攻撃監視方法は、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）から、前記第１のパターン及び前記第２のパターンを読み出し、前記イベントログ及び前記第１のパターンに基づき、異常の検出を行い、異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する。

　また、本開示の他の態様による、攻撃監視用センター装置で実行可能な攻撃監視用プログラムは、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）から、前記第１のパターン及び前記第２のパターンを読み出し、前記イベントログ及び前記第１のパターンに基づき、異常の検出を行い、異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する。

　また、本開示の他の態様による、攻撃監視用端末装置で実行可能な攻撃監視用プログラムは、接続された各装置からイベントログを収集し、前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信し、前記第２のパターンを保存し、前記第２のパターンを読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う。

　また、本開示の他の態様による攻撃監視システムは、攻撃監視用センター装置及び攻撃監視用端末装置からなる攻撃監視システムであって、前記攻撃監視用センター装置は、通信ネットワークを介して前記攻撃監視用端末装置から送信されたイベントログを受信する第１の受信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する記憶部と、前記イベントログ及び前記第１のパターンに基づき、異常の検出を行うイベントログ分析部と、前記イベントログ分析部で異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する第１の送信部と、を有し、前記攻撃監視用端末装置は、接続された各装置からイベントログを収集するイベントログ収集部と、前記イベントログを、通信ネットワークを介して前記攻撃監視用センター装置に送信する第２の送信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信する第２の受信部と、前記第２のパターンを保存する保存部と、前記第２のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う攻撃判定部と、を有する。

　なお、請求の範囲に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。

　上述のような構成により、攻撃監視用端末装置のリソースが非力、かつ／又は、攻撃監視用センター装置とのネットワーク接続が不安定な場合においても、サイバー攻撃の判定を遅滞なく行うことができる。

図１は、本開示の実施形態の攻撃監視用端末装置の構成例を示すブロック図であり、 図２は、本開示の実施形態の攻撃監視用センター装置の構成例を示すブロック図であり、 図３は、本開示の実施形態の攻撃監視用センター装置に保存されたイベントログ発生パターンＤＢを説明する説明図であり、 図４は、本開示の実施形態の攻撃監視用センター装置のイベントログ分析部が行う分析方法を説明する説明図であり、 図５は、本開示の実施形態の攻撃監視用端末装置及び攻撃監視用センター装置の動作を説明するフローチャートであり、 図６は、本開示の実施形態の攻撃監視用端末装置の保存部２０５に保存された第２のパターンを説明する説明図である。

　以下、本開示の実施形態について、図面を参照して説明する。

　なお、以下に示す本発明とは、請求の範囲に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともダブルクォーテーション内の語句は、請求の範囲に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。

　請求の範囲の従属項に記載の構成及び方法は、請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。

　実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。

　複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。

　本開示に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本開示の構成及び方法と共に発明の進歩性を肯定する事実である。

１．実施形態
（１）攻撃監視用端末装置の構成
　図１を用いて、本実施形態の攻撃監視用端末装置２００の構成について説明する。

　本実施形態では、車両に複数の電子制御装置であるＥＣＵ（Electric Control Unit）を搭載した例を示している。図１では、内部ＥＣＵ（Ａ）、内部ＥＣＵ（Ｂ）、内部ＥＣＵ（Ｃ）、ＧＷ（Gateway）ＥＣＵ、通信ＥＣＵを搭載し、全体として電子制御システムを構成している。そして、ＧＷＥＣＵに、内部ＥＣＵ（Ａ）、内部ＥＣＵ（Ｂ）、内部ＥＣＵ（Ｃ）、及び通信ＥＣＵが接続されている。

　これらのＥＣＵ同士は車載ネットワークで接続されており、例えば、ＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）といった通信方式の他、Ｅｔｈｅｒｎｅｔ（登録商標）やＷｉ－Ｆｉ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等、任意の通信方式を用いることができる。

　内部ＥＣＵ（Ａ）、内部ＥＣＵ（Ｂ）、内部ＥＣＵ（Ｃ）は任意のＥＣＵであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ＥＣＵ同士が並列ではなく、マスターとスレーブとに分類されていてもよい。

　攻撃監視用端末装置２００は、本実施形態ではＧＷＥＣＵに相当し、ＧＷＥＣＵに攻撃監視用端末装置２００の機能が搭載されている。もっとも、攻撃監視用端末装置２００は、この他の車載用ＥＣＵにその機能が搭載されていてもよい。例えば、専用の攻撃監視用ＥＣＵや、通信ＥＣＵに搭載されていてもよい。

　攻撃監視用端末装置２００（“攻撃監視用端末装置”に相当）は、セキュリティイベント検知部２０１、イベントログ収集部２０２、送信部２０３、受信部２０４、保存部２０５、攻撃判定部２０６を有する。
　また、内部ＥＣＵ（Ａ）、内部ＥＣＵ（Ｂ）、内部ＥＣＵ（Ｃ）、通信ＥＣＵにも、それぞれセキュリティイベント検知部２１１、２１２、２１３、２１４を有している。
　以降、これらのセキュリティイベント検知部をまとめて称呼するときは各セキュリティイベント検知部と記載する。

　ここで、“攻撃監視用端末装置”とは、サイバー攻撃をはじめとする外部からの攻撃を監視する装置であれば足りる。例えば、一般的に、電子制御装置、監視装置、ゲートウェイ装置と呼ばれるものが相当し、具体的には、電子制御装置（ＥＣＵ）、半導体回路素子、パーソナルコンピュータ（ＰＣ）、スマートフォン、携帯電話等が含まれる。

　攻撃監視用端末装置２００は、汎用のＣＰＵ（Central Processing Unit）、ＲＡＭ等の揮発性メモリ、ＲＯＭ、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図１に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図２で示さる攻撃監視用センター装置１００においても同様である。
　もちろん、攻撃監視用端末装置２００を、ＬＳＩ等の専用のハードウェアで実現してもよい。

　攻撃監視用端末装置２００及びその他のＥＣＵは、本実施形態では“移動体”である車両に“搭載されている”。もっとも、攻撃監視用端末装置２００は、移動体でなく固定物に搭載されていてもよい。

　ここで、“移動体”とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
　“搭載されている”とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。

　それぞれのＥＣＵが有する各セキュリティイベント検知部は、それぞれのＥＣＵの機能に応じたセキュリティイベントを検知する。例えば、セキュリティイベント検知部２０１は、ＧＷＥＣＵに対して外部接続ツールが接続された場合の認証エラーを検知する。セキュリティイベント検知部２１１、２１２、２１３は、それぞれの内部ＥＣＵで取得されるメッセージのメッセージ認証エラーを検知する。セキュリティイベント検知部２１４は、通信ＥＣＵに対するファイヤーウォールエラーを検知する。なお、これらは各セキュリティイベント検知部のセキュリティイベント検知機能の一例であって、これらに限られない。また、各セキュリティイベント検知機能は、複数であってもよい。

　そして、各セキュリティイベント検知部は、その検知結果としてイベントログを生成し、記憶する。例えばイベントログは、イベント発生時刻、イベントが発生したＥＣＵ名、機能名、イベント名からなるが、これらすべてを取得し記憶する必要はなく、またこれら以外の情報も併せて取得し記憶してもよい。

　イベントログ収集部２０２は、接続された各ＥＣＵから、各セキュリティイベント検知部で生成したイベントログを収集する。収集されたイベントログは、図示しない保存部に保存してもよい。イベントログ収集部２０２は、収集したイベントログを、送信部２０３に出力する。
　さらに、イベントログ収集部２０２は、収集したイベントログを、後述の攻撃判定部２０６に出力する。

　送信部２０３は、イベントログ収集部２０２から出力されたイベントログを、通信ＥＣＵの通信部２１５、及び“通信ネットワーク”を介して、攻撃監視用センター装置１００（“攻撃監視用センター装置”に相当）に送信する。
　ここで、“通信ネットワーク”とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
　“攻撃監視用センター装置”とは、サイバー攻撃をはじめとする外部からの攻撃を監視する装置であれば足りる。例えば一般的にサーバ装置、監視装置、支援装置と呼ばれるものが相当し、具体的には各種サーバ装置、ワークステーション、パーソナルコンピュータ（ＰＣ）、が挙げられるが、電子制御装置（ＥＣＵ）、半導体回路素子、スマートフォン、携帯電話等であってもよい。

　通信ネットワークは、無線通信方式の場合、例えば、ＩＥＥＥ８０２．１１（Ｗｉ－Ｆｉ（登録商標））やＩＥＥＥ８０２．１６（ＷｉＭＡＸ（登録商標））、Ｗ－ＣＤＭＡ（Wideband Code Division Multiple Access）、ＨＳＰＡ（High Speed Packet Access）、ＬＴＥ（Long Term Evolution）、ＬＴＥ－Ａ（Long Term Evolution Advanced）、４Ｇ、５Ｇ等を用いることができる。あるいは、ＤＳＲＣ（Dedicated Short Range Communication）を用いることができる。
　通信ネットワークは、有線通信方式の場合、例えば、ＬＡＮ（Local Area Network）やインターネット、固定電話回線を用いることができる。

　受信部２０４は、通信ネットワーク及び通信ＥＣＵの通信部２１５を介して、攻撃監視用センター装置１００から、イベントログ発生パターンのうち、“第２のパターン”のみを“受信する”。イベントログ発生パターンの詳細は図３を用いて後述する。

　ここで、“第２のパターン・・・を受信する”とは、第２のパターンそのものを受信する場合の他、第２のパターンを生成又は復元可能な情報を受信する場合も含む。

　保存部２０５は、受信部２０４で受信した第２のパターンを保存する。

　攻撃判定部２０６は、保存部２０５から第２のパターンを読み出すとともに、イベントログ収集部２０２から出力されたイベントログ及び第２のパターンに基づき、異常の検出を行う。具体的には、イベントログ収集部２０２から出力されたイベントログと、第２のパターンとが一致するか否かを比較し、一致する場合は異常であると判定し、サイバー攻撃を受けたとの判定を行う。攻撃判定部２０６の攻撃判定動作の詳細は図６等を用いて後述する。

（２）攻撃監視用センター装置の構成
　図２を用いて、本実施形態の攻撃監視用センター装置１００の構成について説明する。

　攻撃監視用センター装置１００（“攻撃監視用センター装置”に相当）は、受信部１０１、記憶部１０２、イベントログ分析部１０３、及び送信部１０４を有する。

　受信部１０１は、“通信ネットワーク”を介して、攻撃監視用端末装置２００（“攻撃監視用端末装置”に相当）から送信されたイベントログを受信する。

　記憶部１０２は、サイバー攻撃を受けた際に想定されるイベントログ発生パターンを記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する。

　図３は、イベントログ発生パターンの具体例を示したものである。図３において、攻撃パターン１～ｎは、サイバー攻撃において発生が予想される一連のイベントログのうち各イベントログに対応する個別パターンを、予想される発生順に時系列に並べたものである。例えば、攻撃パターン１は、まず通信ＥＣＵにおいてファイヤーウォール機能に基づく通信拒否イベントが発生し、次にＧＷＥＣＵにおいてツール認証機能に基づく認証エラーイベントが発生し、最後にＧＷＥＣＵにおいてＮＩＤＳ機能に基づく周期異常イベントが発生することを示している。
　ファイヤーウォール機能とは、車両が外部からのＴＣＰ／ＩＰ通信を受信した際、許可されていない送受信ＩＰアドレス、ポートへのアクセスを検知する機能である。
　ＮＩＤＳ（Network-based Intrusion Detection System）とは、ネットワーク型侵入検知システムであり、ネットワーク上を流れる信号のパターン、周期、又は値を監視する機能である。
　ツール認証機能とは、正規のツールかどうかを認証する機能である。
　この他、メッセージ認証機能とは、受信した認証子付メッセージの認証子が正しいかどうかを検証する機能である。
　以下、攻撃パターン１に着目して説明する。その他の攻撃パターンについては後述する。

　また、各攻撃パターンには、攻撃監視用センター装置１００で異常の検出を行う場合に参照される個別パターン（“第１のパターン”に相当）と、攻撃監視用端末装置２００で異常の検出を行う場合に参照される個別パターン（“第２のパターン”に相当）とが区別される情報が記述されている。図３の例では、攻撃監視用端末装置２００で参照すべき個別パターンの情報として記述されており、例えば攻撃パターン１においては、個別パターン３が第２のパターンとなる。また、反射的に、個別パターン１及び２が第１のパターンとなる。

　これに代えて、それぞれの個別パターンごとに、第１のパターンと第２のパターンとを区別するフラグを設けてもよい。例えば、フラグが０なら第１のパターン、フラグが１なら第２のパターンを示すようにしてもよい。

　記憶部１０２に記憶されているイベントログ発生パターンは、イベントログに対して攻撃監視用センター装置１００で異常の検出を行うか、それともイベントログに対して攻撃監視用端末装置２００で異常の検出を行うかを記述したものと把握することもできる。例えば、第１のパターンにサイバー攻撃の前兆挙動を示すイベントを割り当て、第２のパターンにサイバー攻撃の本攻撃挙動を示すイベントを割り当てることにより、サイバー攻撃のうち最も危険な挙動に限り車両側で異常の検出を行うよう構成することができる。このような割り当てにすることで、攻撃監視用端末装置２００のリソースが非力で、かつ通信ネットワークが不安定な場合においても、攻撃監視用端末装置２００側でサイバー攻撃を判定することができ、この結果サイバー攻撃に対する対応策を遅延なく実行することができる。

　この他、例えば、第１のパターンに異常を検出するために多くのリソースを必要とするイベントを割り当て、第２のパターンに異常を検出するためにより少ないリソースで足りるイベントを割り当てるようにしてもよい。つまり、第１のパターンを用いて異常を検出するために必要なリソースは、第２のパターンを用いて異常を検出するために必要なリソースよりも多い。ここで、リソースの例として、ＣＰＵの処理量やメモリサイズが挙げられる。このような割り当てとすることにより、異常を検出するために多くのリソースを必要とするイベントは、リソースが豊富な攻撃監視用センター装置１００でイベントログの分析や異常の検出を行うことができ、攻撃監視用端末装置２００の負担を軽減することができる。

　イベントログ分析部１０３は、受信部１０１で受信したイベントログ、及び記憶部１０２から読み出したイベントログ発生パターンの第１のパターンに基づき、異常の検出を行う。具体的には、受信部１０１で受信したイベントログと、記憶部１０２から読み出した第１のパターンとが一致するか否かを比較し、一致した場合には異常であると判定する。例えば、受信部で受信したイベントログが、通信ＥＣＵ―ファイヤーウォール機能―通信拒否イベント、及びＧＷＥＣＵ―ツール認証機能―認証エラーイベントである場合、図３の攻撃パターン１の個別パターン１及び個別パターン２に相当する。つまりイベントログ分析部１０３は、攻撃パターン１において、個別パターン１及び個別パターン２に相当する異常、すなわち攻撃パターン１の前兆挙動の異常を検出する。かかる異常を検出した場合、イベントログ分析部１０３は、攻撃パターン１の個別パターン３（“第２のパターン”に相当）を読み出し、送信部１０４に送信を指示する。

　送信部１０４は、“第２のパターン”である攻撃パターン１の個別パターン３を攻撃監視用端末装置２００に“送信する”。

　ここで、“第２のパターン・・・を送信する”とは、第２のパターンそのものを送信する場合の他、第２のパターンを生成又は復元可能な情報を送信する場合も含む。

　イベントログ分析部１０３は、上述の例では、受信部１０１で受信したイベントログをそのまま用いているが、異常の検出の前提として、受信部１０１で受信した複数のイベントログに対し統計計算を施してイベントの分析を行ってもよい。

　図４は、イベントログ分析部１０３のイベントログの分析方法の一例を示すものである。
　イベントログ分析部１０３は、受信部１０１で受信した複数のイベントログを、イベント毎に、イベントログの発生数とイベントログの発生時刻でプロットする。
　図４（ａ）は、通信ＥＣＵ―ファイヤーウォール機能―通信拒否イベントの属性を持つイベントログＡを、イベントログの発生数とイベントログの発生時刻でプロットしたものである。また、図４（ｂ）は、ＧＷＥＣＵ―ツール認証機能―認証エラーイベントの属性を持つイベントログＢを、同様にプロットしたものである。

　図４（ａ）においては、通常時と比べて、時刻ｔ１を頂点としてイベントログＡの異常な発生が見られる。また、図４（ｂ）においては、時刻ｔ２を頂点として、イベントログＢの異常な発生が見られる。そして、ｔ１＜ｔ２であることから、イベントログＡ、イベントログＢの順で、異常が発生している。

　通常このような統計計算が必要なイベントは、イベントログ単体では異常とまでは判定できないものであるが、このように統計的に観察することにより異常が発生していると認識することができる。このような統計計算は、リソースが豊富な攻撃監視用センター装置１００で行うことが望ましい。

　そして、イベントログＡ、イベントログＢの順及びイベントの種類は、図３の攻撃パターン１の個別パターン１及び個別パターン２に相当する。イベントログ分析部１０３は、上述の通り、攻撃パターン１において、個別パターン１及び個別パターン２に相当する異常、すなわち攻撃パターン１の前兆挙動の異常を検出する。

　以上のように、本実施形態の攻撃監視用端末装置２００及び攻撃監視用センター装置１００によれば、第１のパターンと第２のパターンを区別する情報を有するイベントログ発生パターンＤＢを用いているので、サイバー攻撃の段階や、使用するリソースの多少により、いずれの装置で異常検出処理を行うかを割り当てることが可能である。
　また、これにより、攻撃監視用端末装置２００のリソースが非力で、ネットワークの接続が不安定な場合においても、攻撃監視用端末装置２００側で、遅延なく適時にサイバー攻撃を判定することが可能となる。
　さらに、攻撃監視用端末装置２００でサイバー攻撃を判定するので、車両を運転するドライバに遅延なくサイバー攻撃の発生を通知することができるとともに、安全確保のための車両制御を通信ネットワークを介することなく実行することが可能である。

（３）攻撃監視用端末装置及び攻撃監視用センター装置の動作の概要
　図５のフローチャートを用いて、攻撃監視用端末装置２００及び攻撃監視用センター装置１００の動作の概要を説明する。
　なお、以下の動作は、攻撃監視用端末装置２００における攻撃監視方法を示すだけでなく、攻撃監視用端末装置２００で実行される攻撃監視用プログラムの処理手順を示すものである。また、攻撃監視用センター装置１００における攻撃監視方法を示すだけでなく、攻撃監視用センター装置１００で実行される攻撃監視用プログラムの処理手順を示すものである。
　そして、これらの処理は、図５で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。

　車両に搭載されたそれぞれのＥＣＵの各セキュリティイベント検知部は、それぞれのＥＣＵの機能に応じたセキュリティイベントを検知する。そして、攻撃監視用端末装置２００のイベントログ収集部２０２は、接続された各ＥＣＵから、各セキュリティイベント検知部で生成したイベントログを収集する（Ｓ２０１）。収集したイベントログは、送信部２０３、および攻撃判定部２０６に出力する。

　送信部２０３は、Ｓ２０１で収集したイベントログを、通信ＥＣＵの通信部２１５、及び通信ネットワークを介して、攻撃監視用センター装置１００に送信する（Ｓ２０２）。

　攻撃監視用センター装置１００の受信部１０１は、攻撃監視用端末装置２００から送信されたイベントログを受信する（Ｓ１０１）。

　サイバー攻撃を受けた際に想定されるイベントログ発生パターンを記述したイベントログ発生パターンの第１のパターン及び第２のパターンを、記憶部１０２に記憶されているイベントログ発生パターンデータベースから読み出す（Ｓ１０２）。

　イベントログ分析部１０３は、Ｓ１０１で受信したイベントログ、及びＳ１０２で読み出したイベントログ発生パターンの第１のパターンに基づき、異常の検出を行う（Ｓ１０３）。異常を検出した場合、送信部１０４は、Ｓ１０２で読み出した第２のパターンを攻撃監視用端末装置２００に送信して（Ｓ１０４）、処理を終了する。異常を検出しなかった場合も、処理を終了する。

　受信部２０４は、通信ネットワーク及び通信ＥＣＵの通信部２１５を介して、攻撃監視用センター装置１００から、第２のパターンを受信する（Ｓ２０３）。

　保存部２０５は、Ｓ２０３で受信した第２のパターンを保存する。

　攻撃判定部２０６は、保存部２０５から第２のパターンを読み出すとともに、Ｓ２０１で収集したイベントログ及びＳ２０３で受信した第２のパターンに基づき、異常の検出を行う（Ｓ２０５）。異常を検出した場合、攻撃監視用端末装置２００は、サイバー攻撃を検出したとして、各種の防御処理を行って（Ｓ２０６）、処理を終了する。異常を検出しなかった場合も、処理を終了する。
　防御処理としては、例えば、車両の制御、ネットワーク通信の停止又は制限、ＥＣＵの機能停止又は制限、サービスの停止又は制限、等を行うことにより、車両の制御を安全に保つことが考えられる。制御する範囲、例えばネットワークを対象にするか個別のＥＣＵを対象にするかは、攻撃対象をどこまで特定できているかに依存する。制御の程度、例えば制限か停止か、は、攻撃によって生じる影響の危険度に依存する。
　例えば、攻撃監視用端末装置２００のある特定のネットワークにおいてサイバー攻撃が検知された場合、そのネットワークの信頼性は低下していると考え、そのネットワーク上のＥＣＵが持つ機能を制限し、安全側に制御する。同時に、そのネットワークから他のネットワークへ送信される通信も信頼性は低いと考え、その通信を利用するＥＣＵの機能やサービスを制限する。
　この他、攻撃元のＩＰアドレスやポート、端末情報が特定できている場合は、それらの情報をファイヤーウォールのアクセス拒否リストに追加することによって拒否するようにしてもよい。

（４）攻撃監視用端末装置及び攻撃監視用センター装置の動作の詳細
　次に具体例を挙げながら、適宜図５を参照して、攻撃監視用端末装置２００及び攻撃監視用センター装置１００の動作の詳細を説明する。
　攻撃者が車両を危殆化させることを目的として、第１に車両に対し遠隔から通信を行い、第２に車両の内部のＧＷＥＣＵの権限を奪取し、第３に内部ＥＣＵに不正な信号を送って車両に不正な挙動を起こさせようとする攻撃を行うという例を想定する。

　車両は、攻撃者によって許可されていない通信元から車両に対して通信があった場合は、通信ＥＣＵのセキュリティイベント検知部２１４のファイヤーウォール機能によりセキュリティイベントを検知する。セキュリティイベント検知部２１４は、その通信を遮断するとともに、イベントログＡ（通信ＥＣＵ―ファイヤーウォール機能―通信拒否イベント）を生成する。

　その後、攻撃者は、通信ＥＣＵがよくアクセスするウェブサイトを改ざんし、通信ＥＣＵが改ざんされたウェブサイトにアクセスしたことをトリガーとして通信ＥＣＵの脆弱性を突いた不正なマルウェアをインストールし、不正なマルウェアによって通信ＥＣＵのファイヤーウォール設定を変更し、ファイヤーウォールを突破する。そして、攻撃者はＧＷＥＣＵに対して権限昇格のためにツール認証を試行する。これに対して、ＧＷＥＣＵのセキュリティイベント検知部２０１のツール認証機能によりセキュリティイベントを検知する。セキュリティイベント検知部２０１は、ツール認証を否認するとともに、イベントログＢ（ＧＷＥＣＵ―ツール認証機能―認証エラーイベント）を生成する。

　イベントログ収集部２０２は、イベントログＡ及びイベントログＢを収集し、送信部２０３を介して攻撃監視用センター装置１００に送信する（Ｓ２０１）。また、攻撃判定部２０６にも出力する。もっとも、保存部２０５には、イベントログＡ及びイベントログＢに対応するイベントログ発生パターンである第２のパターンは保存されていないので、攻撃判定部２０６はこの時点では異常を検出しない（Ｓ２０５）。

　攻撃監視用センター装置１００の受信部１０１は、攻撃監視用端末装置２００から送信されたイベントログＡ及びイベントログＢを受信する（Ｓ１０１）。イベントログ分析部１０３は、図４で説明した通りイベントログＡ及びイベントログＢの分析を行い、イベントログＡは時刻ｔ１に、イベントログＢは時刻ｔ２に異常が発生したとされる。そして、異常が発生したイベントログの時刻に基づき時系列に並べる。この場合、イベントログＡ、イベントログＢの順に並べられる。

　イベントログ分析部１０３は、記憶部１０２に記憶されているイベントログ発生パターンを読み出すとともに（Ｓ１０２）、読み出したイベントログ発生パターンの第１のパターンに基づき、異常の検出を行う（Ｓ１０３）。この例の場合、図３によれば、イベントログＡ、イベントログＢの種類及び順番と同じ個別パターン１及び個別パターン２からなる列が攻撃パターン１に含まれているので、攻撃パターン１の前兆挙動が発生しているという異常を検出することになる。

　そこで、イベントログ分析部１０３は、送信部１０４に対し、攻撃パターン１に含まれている本攻撃挙動を示す第２のパターンである個別パターン３の送信を指示し、送信部１０４は個別パターン３（ＧＷＥＣＵ－ＮＩＤＳ機能－周期異常イベント）を攻撃監視用端末装置２００に送信する（Ｓ１０４）。

　攻撃監視用端末装置２００の受信部２０４は個別パターン３を受信し、受信した個別パターン３は保存部２０４に保存される。図６は、送信部１０４から送信され、受信部２０４で受信され、保存部２０４に保存されている第２のパターンを示している。

　攻撃者は、その後ツール認証も突破し、車両内部へ車両の挙動に影響のある信号が送信可能になったとする。攻撃者が内部ＥＣＵに対して攻撃のための信号を仕様と異なる周期で送信すると、ＧＷＥＣＵのセキュリティイベント検知部２０１のＮＩＤＳ機能によりセキュリティイベントを検知する。セキュリティイベント検知部２０１は、イベントログＣ（ＧＷＥＣＵ－ＮＩＤＳ機能－周期異常イベント）を生成する。

　イベントログ収集部２０２は、イベントログＣを収集し、送信部２０３を介して攻撃監視用センター装置１００に送信する（Ｓ２０１）。また、攻撃判定部２０６にも出力する。

　攻撃判定部２０６は、保存部２０５から図６で示される個別パターン３を読み出すとともに、Ｓ２０１で収集したイベントログＣ及び読み出した個別パターン３に基づき、異常の検出を行う（Ｓ２０５）。この例の場合、イベントログＣは、ＧＷＥＣＵ－ＮＩＤＳ機能－周期異常イベントを示し、個別パターン３と一致するので、攻撃判定部２０６は、イベントログＣの異常を検出したことになる。そこで、攻撃監視用端末装置２００は、サイバー攻撃を検出したとして、各種の防御処理を行う（Ｓ２０６）。

　このように、攻撃監視用端末装置２００は、サイバー攻撃の本攻撃挙動を示す第２のパターンを事前に攻撃監視用センター装置１００から受信しているので、イベントログを攻撃監視用センター装置１００に送信することなく、サイバー攻撃の検出を行うことができる。また、イベントログとの比較処理が軽い第２のパターンを用いることにより、比較的リソースが少ない攻撃監視用端末装置２００でもサイバー攻撃の検出を行うことができる。

２．変形例
　上述の実施形態は一例であり、以下のように変形してもよい。

（１）イベントログ発生パターンＤＢにおける時系列情報
　図３のイベントログ発生パターンは、個別パターンを予想される発生順に時系列順に並べているが、これに代えて、個別パターンの発生順を示す情報を付与してもよい。例えば、個別パターン毎に発生順を示す番号を付与してもよい。
　すなわち、イベントログ発生パターンＤＢの第１のパターン及び第２のパターンは、それぞれ時系列が特定されていればよく、その特定方法は任意である。
　また、攻撃パターンは、必ずしも個別パターンが時系列順に複数発生するものとは限らないので、その場合は時系列を特定する必要はない。例えば、発生順を任意にして、個別パターン１と個別パターン２が何れも発生していることを条件とする場合は、個別パターン１と個別パターン２の前後関係を特定する必要はない。

（２）イベントログ発生パターンＤＢにおける他の攻撃パターンの例
　図３のイベントログ発生パターンは、攻撃パターン１以外に攻撃パターン２～５を有する。
　攻撃パターン２は、攻撃パターン１の個別パターン１及び２は共通であるが、ＧＷＥＣＵで周期異常が発生することなく、内部ＥＣＵに攻撃が送られる場合を示す。この場合、個別パターン３として、内部ＥＣＵにおいてメッセージ認証機能に基づきＭＡＣ認証エラーイベントが発生する。そして、この個別パターン３が、攻撃監視用端末装置２００で異常の検出を行う場合に参照される第２のパターンとなる。
　攻撃パターン３は、攻撃パターン２の個別パターン２の部分が異なり、ＧＷＥＣＵにおいてＩＤフィルタリング機能に基づくフィルタリングエラーイベントが発生する場合を示している。
　攻撃パターン４は、攻撃パターン１の個別パターン１の部分が異なり、通信ＥＣＵにおいてＮＩＤＳ機能に基づきパターン異常イベントが発生する場合を示している。
　攻撃パターン５は、車両に物理的にツールを接続し、車両内部に不正な信号を送信する場合を示している。

　なお、複数の攻撃パターンが該当する場合は、イベントログ分析部１０３は、該当する攻撃パターンの全ての第２のパターンを読み出し、送信部１０４に送信を指示する。例えば、攻撃パターン１と攻撃パターン２は、個別パターン１及び個別パターン２が同じであるので、受信部で受信したイベントログが、通信ＥＣＵ―ファイヤーウォール機能―通信拒否イベント、及びＧＷＥＣＵ―ツール認証機能―認証エラーイベントである場合、図３の攻撃パターン１及び攻撃パターン２のそれぞれの個別パターン１及び個別パターン２に相当する。かかる異常を検出した場合、イベントログ分析部１０３は、攻撃パターン１及び攻撃パターン２のそれぞれの個別パターン３を読み出し、送信部１０４に送信を指示する。

（３）イベントログの分析
　上述の実施形態では、図４のようにイベントログの発生数とイベントログの発生時刻との関係に基づき異常の発生を認識するようにしたが、分析方法はこの方法に限られない。例えば、二種類のイベントログを受信した場合、イベントログの内容が互いに矛盾する内容であるか否かを分析するようにしてもよい。
　また、上述の実施形態では、イベントログの分析が必要な場合は、攻撃監視用センター装置１００で分析を行うようにしているが、攻撃監視用端末装置２００で分析を行うことを排除するものではない。

（４）第２のパターンの送信方法
　上述の実施形態では、第２のパターンを攻撃監視用端末装置２００に送信する方法として、図３の個別パターンをそのまま送信しているが、これに代えて、第２のパターンを攻撃監視用端末装置２００側で生成又は復元可能な情報を送信してもよい。例えば、個別パターンのリストを、攻撃監視用センター装置１００及び攻撃監視用端末装置２００で予め保持しておき、該当する個別パターンの番号を送信するようにしてもよい。

（５）攻撃監視用センター装置１００と攻撃監視用端末装置２００との関係
　上述の実施形態では、攻撃監視用センター装置１００を車両外の装置、攻撃監視用端末装置２００を車載の端末装置とする例に基づき説明した。
　しかし、これは代表的な一例であって、以下のような態様も可能である。
　攻撃監視用端末装置２００は、車載ではなく、歩行者や車両のドライバが保持する端末装置であってもよい。
　攻撃監視用端末装置２００、及び攻撃監視用センター装置１００のいずれも、それぞれ別の車両に搭載された装置であってもよい。この場合は、セルラーネットワークや車車間の直接通信を用いた通信ネットワークで接続されることが必要になる。
　攻撃監視用端末装置２００は、有線ＬＡＮやインターネットに接続された端末装置、攻撃監視用センター装置は当該有線ＬＡＮやインターネットに接続されたサーバ装置であってもよい。あるいは、両装置とも、有線ＬＡＮやインターネットに接続された端末装置であってもよい。すなわち、従来のコンピュータシステムの分野にも適用することが可能である。

３．総括
　以上、本開示の各実施形態における攻撃監視用センター装置及び攻撃監視用端末装置等の特徴について説明した。

　各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。

　実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。

　各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。

　各実施形態、及び請求の範囲で使用する、第１、第２、乃至、第Ｎ（Ｎは整数）、の用語は、同種の２以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。

　各実施形態は、車両に搭載される車両用の攻撃監視用端末装置を前提としているが、本発明は、請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の攻撃監視用端末装置も含むものである。

　各実施形態では、各実施形態に開示の攻撃監視用端末装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。

　また、本発明の攻撃監視用端末装置の形態の例として、以下のものが挙げられる。
　部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
　半完成品の形態として、電子制御装置（ＥＣＵ（Electric Control Unit））、システムボードが挙げられる。
　完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ（ＰＣ）、ワークステーション、サーバが挙げられる。
　その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。

　また攻撃監視用端末装置や攻撃監視用センター装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。

　本発明の攻撃監視用センター装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明の攻撃監視用センター装置が使用され、本発明の方法が使用され、又は／及び本発明のプログラムが実行されることになる。

　加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用ＣＰＵ及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。

　専用や汎用のハードウェアの非遷移的実体的記録媒体（例えば、外部記憶装置（ハードディスク、ＵＳＢメモリ、ＣＤ／ＢＤ等）、又は内部記憶装置（ＲＡＭ、ＲＯＭ等））に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。

　本開示の攻撃監視用端末装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
　また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
 

Claims (11)

1. 　通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信する受信部（１０１）と、
   　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する記憶部（１０２）と、
   　前記イベントログ及び前記第１のパターンに基づき、異常の検出を行うイベントログ分析部（１０３）と、
   　前記イベントログ分析部で異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する送信部（１０４）と、を有する
   　攻撃監視用センター装置（１００）。
2. 　前記イベントログ分析部は、前記イベントログの発生数と前記イベントログの発生時刻との関係に基づき、異常を検出する、
   　請求項１記載の攻撃監視用センター装置。
3. 　前記イベントログ発生パターンＤＢの前記第１のパターン及び前記第２のパターンは、それぞれ時系列が特定されている、
   　請求項１記載の攻撃監視用センター装置。
4. 　前記第１のパターンは、サイバー攻撃の前兆挙動を示し、
   　前記第２のパターンは、サイバー攻撃の本攻撃挙動を示す、
   　請求項１記載の攻撃監視用センター装置。
5. 　前記第１のパターンを用いて異常を検出するために必要なリソースは、前記第２のパターンを用いて異常を検出するために必要なリソースよりも多い、
   　請求項１記載の攻撃監視用センター装置。
6. 　接続された各装置からイベントログを収集するイベントログ収集部（２０２）と、
   　前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信する送信部（２０３）と、
   　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信する受信部（２０４）と、
   　前記第２のパターンを保存する保存部（２０５）と、
   　前記第２のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う攻撃判定部（２０６）と、を有する
   　攻撃監視用端末装置（２００）。
7. 　当該攻撃監視用端末装置は、移動体に搭載されている、
   　請求項６記載の攻撃監視用端末装置。
8. 　通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し（Ｓ１０１）、
   　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）から、前記第１のパターン及び前記第２のパターンを読み出し（Ｓ１０２）、
   　前記イベントログ及び前記第１のパターンに基づき、異常の検出を行い（Ｓ１０３）、
   　異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する（Ｓ１０４）、
   　攻撃監視用センター装置における攻撃監視方法。
9. 　通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し（Ｓ１０１）、
   　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）から、前記第１のパターン及び前記第２のパターンを読み出し（Ｓ１０２）、
   　前記イベントログ及び前記第１のパターンに基づき、異常の検出を行い（Ｓ１０３）、
   　異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する（Ｓ１０４）、
   　攻撃監視用センター装置で実行可能な攻撃監視用プログラム。
10. 　接続された各装置からイベントログを収集し（Ｓ２０１）
    　前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信し（Ｓ２０２）、
    　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信し（Ｓ２０３）、
    　前記第２のパターンを保存し（Ｓ２０４）、
    　前記第２のパターンを読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う（Ｓ２０５）
    　攻撃監視用端末装置で実行可能な攻撃監視用プログラム。
11. 　攻撃監視用センター装置及び攻撃監視用端末装置からなる攻撃監視システムであって、
    　前記攻撃監視用センター装置は、
    　　通信ネットワークを介して前記攻撃監視用端末装置から送信されたイベントログを受信する第１の受信部（１０１）と、
    　　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、を記述したイベントログ発生パターンデータベース（ＤＢ）を記憶する記憶部（１０２）と、
    　　前記イベントログ及び前記第１のパターンに基づき、異常の検出を行うイベントログ分析部（１０３）と、
    　　前記イベントログ分析部で異常を検出した場合、前記第２のパターンを前記攻撃監視用端末装置に送信する第１の送信部（１０４）と、を有し、
    　前記攻撃監視用端末装置は、
    　　接続された各装置からイベントログを収集するイベントログ収集部（２０２）と、
    　　前記イベントログを、通信ネットワークを介して前記攻撃監視用センター装置に送信する第２の送信部（２０３）と、
    　　サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第１のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第２のパターン、のうち前記第２のパターンのみを前記攻撃監視用センター装置から受信する第２の受信部（２０４）と、
    　　前記第２のパターンを保存する保存部（２０５）と、
    　　前記第２のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第２のパターンに基づき、異常の検出を行う攻撃判定部（２０６）と、を有する
    　攻撃監視システム。
     

Images