WO2021145145A1

WO2021145145A1 - 車両ログ送信装置、車両ログ収集システム、車両ログ送信方法および保存優先度変更装置

Info

Publication number: WO2021145145A1
Application number: PCT/JP2020/047529
Authority: WO
Inventors: 平野　亮; 剛岸川; 良浩氏家; 芳賀　智之
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2020-01-14
Filing date: 2020-12-18
Publication date: 2021-07-22
Also published as: EP4092972A4; JPWO2021145145A1; WO2021144860A1; US20220254198A1; EP4092972A1; CN114514731A

Abstract

車両ログ送信装置（１０）は、１以上の電子制御装置から車両ログを取得し、取得した車両ログに含まれる１以上のログ情報に基づいて異常を検出し、異常が検出されたログ情報を異常ログとして抽出する異常検出部（４２０）と、異常ログを車両ログ収集サーバ（２０）へ送信する異常ログ通知部（４７０）と、車両ログから抽出される車両状態に基づいて、車両ログに含まれる１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を１以上の電子制御装置に送信する車両ログ保存優先度変更指示部（４５０）と、車両ログ収集サーバ（２０）から車両ログの送信を要求する車両ログ要求を受信すると、１以上の電子制御装置から変更指示によって変更された保存優先度に基づいて保存されたログ情報を含む車両ログを取得し、取得した車両ログを車両ログ収集サーバ（２０）へ送信する車両ログ要求応答部（４８０）とを備える。

Description

車両ログ送信装置、車両ログ収集システム、車両ログ送信方法および保存優先度変更装置

　本開示は、車両ログ送信装置、車両ログ収集システム、車両ログ送信方法および保存優先度変更装置に関する。

　近年、自動車の中のシステムには、電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ＩＳＯ１１８９８－１で規定されているＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）という規格が存在する。

　ＣＡＮでは、通信路は２本のバスで構成され、バスに接続されているＥＣＵはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。ＣＡＮでは、送信先ノードや送信元ノードを指す識別子は存在せず、送信ノードはフレーム毎にメッセージＩＤと呼ばれるＩＤを付けて送信し、各受信ノードは予め定められたメッセージＩＤのみを受信する。そのためＣＡＮのバスにＥＣＵを接続し、異常な制御コマンドを含むフレームを正規のＥＣＵになりすまして送信することで、自動車を不正に制御できてしまう脅威がある。

　特許文献１には、このような脅威に対して、車載ネットワークなどにおいて、不正なデータの侵入を検知する方法が開示されている。特許文献１の技術を用いて、車両外部のサーバが車載システムのデータを監視および解析する場合、大量のデータが車載システムから車両外部のサーバへ送信される可能性がある。また、特許文献２には、大量のデータ（ログ）に対して、検知した異常のレベルに応じて、サーバへ送信するログを切り替えることで、通信データ量を削減する方法が開示されている。

特開２０１４－１４６８６８号公報特開２０１９－１２５８６７号公報

　しかしながら、特許文献１および２に開示されている技術では、サーバへ送信するためのログを車両に長期間を保管する必要があるが、このようなログを長期間にわたり保存するための資源（記憶装置の保存容量）を車両内部に準備することは容易でない。また、保存されたログのうち過去のログから順次削除する場合、車両外部のサーバでの解析に必要なデータが削除されてしまう場合がある。

　そこで、本開示は、ログを保存するための資源に限りがある場合でも、サーバでの解析に必要なログを蓄積することができる車両ログ送信装置、車両ログ収集システムおよび車両ログ送信方法に関する。

　上記課題を解決するために、本開示の一態様に係る車両ログ送信装置は、車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信装置であって、前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、前記異常ログを前記車両ログ収集サーバへ送信する異常通知部と、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する車両ログ要求応答部と、を備える。

　また、上記課題を解決するために、本開示の一態様に係る車両ログ収集システムは、記載の車両ログ送信装置と、前記車両に搭載される１以上の電子制御装置と、車両ログ収集サーバと、を備え、前記１以上の電子制御装置はそれぞれ、前記車両ログ送信装置から受信した前記車両ログの前記保存優先度の変更指示に従って、前記車両ログの保存優先度を変更する車両ログ優先度設定部と、前記車両ログの保存優先度に応じて、前記車両ログに含まれる１以上のログ情報から前記保存優先度に応じたログ情報を削除する車両ログ削除部と、前記車両ログ送信装置から受信した前記車両ログ要求に応じて、当該電子制御装置が記憶する前記車両ログを前記車両ログ送信装置へ送信する車両ログ要求応答部と、を有し、前記車両ログ収集サーバは、前記車両ログ送信装置から前記異常ログを受信する異常ログ受信部と、前記車両ログ送信装置へ前記車両ログ要求を送信する車両ログ要求部と、前記車両ログ送信装置から前記車両ログ要求に基づく前記車両ログを受信する車両ログ受信部と、を有する。

　また、上記課題を解決するために、本開示の一態様に係る車両ログ送信方法は、車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信方法であって、前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出ステップと、前記異常ログを前記車両ログ収集サーバへ送信する第１送信ステップと、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する第２送信ステップと、前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する第３送信ステップとを含む。

　また、上記課題を解決するために、本開示の一態様に係る保存優先度変更装置は、車両に関する１以上のログ情報を含む車両ログを保存し前記車両に搭載される１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、前記異常ログを車両ログ収集サーバへ送信する異常通知部と、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、を備える。

　本開示の一態様に係る車両ログ送信装置等によれば、ログを保存するための資源に限りがある場合でも、サーバでの解析に必要なログを蓄積することができる。

図１は、実施の形態における車両ログ収集システムの全体構成図である。図２は、実施の形態における車両ログ送信装置の構成図である。図３は、実施の形態における異常検出装置の構成図である。図４は、実施の形態におけるＺｏｎｅＥＣＵの構成図である。図５は、実施の形態における車両ログ収集サーバの構成図である。図６は、実施の形態における車載ネットワークにおける車両ログの一例を示す図である。図７は、実施の形態におけるＥＣＵにおける車両ログの一例を示す図である。図８は、実施の形態における異常ログの一例を示す図である。図９は、実施の形態における関連車両ログリストの一例を示す図である。図１０は、実施の形態における車両ログ保存優先度設定の一例を示す図である。図１１は、実施の形態における異常ログ通知処理のシーケンスを示す図である。図１２は、実施の形態における車両ログ要求応答処理のシーケンスを示す図である。図１３は、実施の形態における車両ログ保存優先度変更処理のフローチャートである。図１４は、実施の形態における車両ログ要求要否判定のフローチャートである。図１５は、実施の形態における車両ログ削除処理のフローチャートである。

　（本開示に至った経緯）
　近年、自動車は電子制御化されており、制御コマンドをなりすますことにより不正に操作される脅威がある。このような脅威に対して、車両外部のサーバにおいて、複数の車載システム（複数の車両）からログを収集して、監視および解析することが検討されている。サーバにおいて、複数車両のログまたは複数車両で検知された異常に基づいて、異常のレベルを判断する場合、車載システムは、サーバからの応答（車両ログ要求）を取得してからログを送信する必要があるため、車両にて長期間ログを保存する必要がある。

　車両においてログを保存するための資源（記憶装置の保存容量）には限りがあるので、サーバでの監視および解析に必要なデータが保存される（残される）ことが望まれる。本願発明者らは、サーバでの監視および解析に必要なデータを効果的に保存することができる車両ログ送信装置等について鋭意検討を行い、異常を検出したときの車両状態に応じて、優先的に保存するログを切り替えることで、車両ログの保存データ量が上限を越える場合であっても、サーバでの解析に必要なログを優先的に車両に残すことが可能であることを見出した。

　本開示の一態様に係る車両ログ送信装置は、車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信装置であって、前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、前記異常ログを前記車両ログ収集サーバへ送信する異常通知部と、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する車両ログ要求応答部と、を備える。

　これにより、車両ログ送信装置は、異常が検出された場合に、車両状態に応じた保存優先度により残された（削除されなかった）ログ情報を含む車両ログを車両ログ収集サーバ（サーバ）に送信することができる。電子制御装置において、車両状態に応じたログ情報が優先して残されるので、車両ログ収集サーバにおける解析に有用なログ情報が蓄積される。よって、車両ログ送信装置は、ログを保存するための資源に限りがある場合でも、サーバでの解析に必要なログを蓄積させることができる。

　また、例えば、前記異常検出部は、さらに、異常を検出したときの異常検出時刻を記憶し、前記変更指示部は、さらに、前記異常検出時刻に基づいて、前記１以上の電子制御装置に前記保存優先度の変更指示を送信してもよい。

　これにより、車両ログ送信装置は、異常検出時刻に応じたタイミングで保存優先度の変更指示を送信することができる。つまり、車両ログ送信装置は、異常が検出されていない場合であっても、当該タイミングにおいて、保存優先度の変更指示を送信することができる。よって、車両ログ送信装置は、当該タイミングでの車両状態に応じたログ情報を蓄積させる（残す）ことができる。

　また、例えば、前記変更指示部は、前記異常検出時刻から第１時間経過した場合に、前記１以上の電子制御装置に前記保存優先度の変更指示を送信してもよい。

　これにより、車両ログ送信装置は、異常検出時刻以降において異常が検出されなかった場合であっても、異常検出時刻から第１時間経過後に保存優先度を変更させることができる。よって、車両ログ送信装置は、異常が検出されなくても、そのときの状況に応じた保存優先度を設定させることができるので、サーバでの解析により有用なログを蓄積させることができる。

　また、例えば、前記変更指示部は、前記車両の車載ネットワークにおける車載メッセージに含まれる通信ＩＤ、および、前記１以上の電子制御装置上で実行されるオペレーティングシステムまたはアプリケーションのプロセスＩＤと、前記車両状態とに基づいて、変更後の前記保存優先度を設定してもよい。

　これにより、車両ログ送信装置は、車両ログに含まれるＩＤを確認することで、車両ログの保存優先度を管理することができ、必要な車両ログの識別が可能となる。また、車両ログ送信装置は、通信ＩＤおよびプロセスＩＤと、車両状態とに基づいて、自装置において保存優先度を設定することができる。

　また、例えば、前記車両状態は、前記車両における複数の状態を含み、前記変更指示部は、前記複数の状態ごとに、当該車両状態に関連する前記通信ＩＤと対応するログ情報および当該車両状態に関連する前記プロセスＩＤと対応するログ情報を優先的に残すかどうかを示す度合いに基づいて、変更後の前記保存優先度を設定してもよい。

　これにより、車両ログ送信装置は、走行モード、インターネット接続状況および各車両制御機能状況等の車両状態の少なくとも１つを基準に、車両ログを残すかどうかを判断することができる。よって、車両ログ送信装置は、適切な保存優先度を設定可能である。

　また、例えば、前記変更指示部は、自動運転中であるか手動運転中であるかを示す走行モード、前記車両が走行中であるか停止中であるかを示す走行状況、インターネット接続中であるかインターネット非接続中であるかを示すインターネット接続状況、自動駐車機能がＯＮであるかＯＦＦであるかを示す第１車両制御機能状況、クルーズコントロール機能がＯＮであるかＯＦＦであるかを示す第２車両制御機能状況、緊急ブレーキがＯＮであるかＯＦＦであるかを示す第３車両制御機能状況のうち少なくとも１つを含む状態を前記車両状態として用いてもよい。

　これにより、車両ログ送信装置は、車両状態に応じた保存優先度を設定することができる。車両ログ送信装置は、例えば、車載システムにおいて、自動運転、自動駐車等の車体制御に関わる重要な機能、インターネット接続の有無など攻撃者が車両を乗っ取る際に重要な機能等が有効であったかどうかを基準に、車両ログを残すかどうかを判断できる。よって、車両ログ送信装置は、より適切な保存優先度を設定可能である。

　また、例えば、前記変更指示部は、走行モードが自動運転モードである場合に自動運転に関連する機能に対する前記保存優先度を第１の優先度より高い第２の優先度に変更し、前記走行モードが手動運転モードである場合に前記自動運転に関連する機能に対する前記保存優先度を前記第１の優先度より低い第３の優先度に変更し、前記車両が走行中である場合にドアロック機能を含む車体制御機能に関連する機能に対する前記保存優先度を第４の優先度より低い第５の優先度に変更し、前記車両が停止中である場合に前記車体制御機能に関連する機能に対する前記保存優先度を前記第４の優先度より高い第６の優先度に変更し、インターネットが接続中の場合にインターネット接続を利用する機能に対する前記保存優先度を第７の優先度より高い第８の優先度に変更し、前記インターネットが非接続中の場合に前記インターネット接続を利用する機能に対する前記保存優先度を前記第７の優先度より低い第８の優先度に変更し、自動駐車機能がＯＮの場合に前記自動駐車機能に関連する第１車両制御機能に対する前記保存優先度を第９の優先度より高い第１０の優先度に変更し、前記自動駐車機能がＯＦＦの場合に前記自動駐車機能に関連する前記第１車両制御機能に対する前記保存優先度を前記第９の優先度より低い第１１の優先度に変更し、クルーズコントロール機能がＯＮの場合に前記クルーズコントロール機能に関連する第２車両制御機能に対する前記保存優先度を第１２の優先度より高い第１３の優先度に変更し、前記クルーズコントロール機能がＯＦＦの場合に前記クルーズコントロール機能に関連する前記第２車両制御機能に対する前記保存優先度を前記第１２の優先度より低い第１４の優先度に変更し、緊急ブレーキ機能がＯＮの場合に前記緊急ブレーキ機能に関連する第３車両制御機能に対する前記保存優先度を第１５の優先度より高い第１６の優先度に変更し、前記緊急ブレーキ機能がＯＦＦの場合に前記緊急ブレーキ機能に関連する前記第３車両制御機能に対する前記保存優先度を前記第１５の優先度より低い第１８の優先度に変更する、のうち少なくとも１つの変更を、前記１以上の電子制御装置に指示してもよい。

　これにより、車両ログ送信装置は、車両状態に応じた保存優先度を設定することができる。車両ログ送信装置は、例えば、走行モードが手動運転の場合、自動運転に関わるカメラ映像などの車両ログは手動運転時のアクセルペダルの位置、ステアリングの角度などに比べて有用でないため保存優先度を下げることができる。また、車両ログ送信装置は、例えば、車両が停止中である場合、走行中に比べて車両盗難の恐れが高いためドアロックまたはドアオープンなど車体制御に関わる機能のログの保存優先度を上げることができる。また、車両ログ送信装置は、例えば、インターネットが接続中の場合、オンラインソフトウェアアップデートなどインターネット接続を利用する機能の保存優先度を上げることができる。また、車両ログ送信装置は、例えば、特定の車両制御機能がＯＮになっている場合、特定の車両制御機能がＯＦＦになっている場合に比べて、解析での重要性が高いため、保存優先度を上げることができる。

　また、例えば、前記異常通知部は、さらに、前記異常ログと１対１で対応する異常ログの識別子を生成し、前記異常検出時刻と前記異常ログの識別子とを前記車両ログ収集サーバへ送信し、前記車両ログ要求応答部は、前記車両ログ収集サーバから前記異常ログの識別子を受信し、前記１以上の電子制御装置から前記異常ログの識別子と対応する前記異常検出時刻の前後一定期間のログ情報を収集し、収集した前記ログ情報を含む前記車両ログを前記車両ログ収集サーバへ送信してもよい。

　これにより、車両ログ収集サーバは、異常ログの識別子を車両ログ送信装置へ通知するだけで、異常の解析に有用である異常の前後で発生した車両ログを収集することが可能となる。

　また、本開示の一態様に係る車両ログ収集システムは、記載の車両ログ送信装置と、前記車両に搭載される１以上の電子制御装置と、車両ログ収集サーバと、を備え、前記１以上の電子制御装置はそれぞれ、前記車両ログ送信装置から受信した前記車両ログの前記保存優先度の変更指示に従って、前記車両ログの保存優先度を変更する車両ログ優先度設定部と、前記車両ログの保存優先度に応じて、前記車両ログに含まれる１以上のログ情報から前記保存優先度に応じたログ情報を削除する車両ログ削除部と、前記車両ログ送信装置から受信した前記車両ログ要求に応じて、当該電子制御装置が記憶する前記車両ログを前記車両ログ送信装置へ送信する車両ログ要求応答部と、を有し、前記車両ログ収集サーバは、前記車両ログ送信装置から前記異常ログを受信する異常ログ受信部と、前記車両ログ送信装置へ前記車両ログ要求を送信する車両ログ要求部と、前記車両ログ送信装置から前記車両ログ要求に基づく前記車両ログを受信する車両ログ受信部と、を有する。

　これにより、車両ログ収集システムは、車両ログ保存装置が特定の車両状態において重要な車両ログの保存優先度を変更するので、異常の検出から車両ログ要求を受信するまでの時間が長期間であったとしても、電子制御装置が車両ログを定期的に削除する場合に保存優先度の高い車両ログを残すことができる。よって、車両ログ収集システムは、電子制御装置が豊富な資源を使わずとも車両ログ収集サーバの解析に必要な車両ログを保存し、かつ、当該車両ログを車両ログ収集サーバに提供することができる。

　また、例えば、前記車両ログ削除部は、第２時間が経過する、または、記憶している前記車両ログの容量が一定値以上である場合に、前記保存優先度が低いログ情報を削除してもよい。

　これにより、車両ログ削除部は、電子制御装置が保持するメモリサイズの限界を越えることなく、保存優先度の高い車両ログを保存し続けることができる。

　また、例えば、前記車両ログ削除部は、前記保存優先度が低いログ情報を削除した後の前記車両ログの容量が前記一定値以上である場合に、さらに前記保存優先度が高いログ情報を時刻の古い順に削除してもよい。

　これにより、車両ログ削除部は、保存優先度の低いログを削除したとしても、記憶しているログの容量が依然として大きい場合に、時刻を用いることで保存優先度の高いログの中でもより保存優先度の高いログを保持し続けることができる。車両ログ削除部は、例えば、異常検出時刻に近いログまたは新しいログを優先的に残すようにログ削除してもよい。

　また、例えば、前記車両ログ削除部は、前記車両ログ要求応答部が、前記車両ログ送信装置に前記車両ログを送信した後、送信した前記車両ログを削除してもよい。

　これにより、車両ログ削除部は、既にサーバへ送信した車両ログを保存優先度の高いログであっても削除することができるので、不要なログを削除でき、電子制御装置の保存容量を開放することができる。

　また、例えば、前記車両ログ収集サーバは、さらに、前記異常ログに基づいて、前記車両ログ要求が必要であるか否かを判断する車両ログ要求判断部を備えてもよい。

　これにより、車両ログ収集システムは、サーバ側で車両ログが必要かどうかを判断することで、車両で異常を検出する度に車両ログを送信する場合に比べて、通信量を削減することができる。例えば、車両ログ収集サーバは、異常ログが発生したモジュールが安全に関わるモジュールである場合に、車両ログを要求することで重要な車両ログのみを収集することができる。

　また、例えば、前記車両ログ要求判断部は、前記異常ログの受信回数に基づいて、前記車両ログ要求が必要であるか否かを判断してもよい。

　これにより、車両ログ収集サーバは、例えば、同一の異常ログが他車両から複数回送信された場合、１回だけ発生した異常ログに比べて、特定の攻撃またはマルウェアが蔓延している可能性が高く、解析を急ぐ必要があるときに、車両ログ要求を送信することができる。

　また、本開示の一態様に係る車両ログ送信方法は、車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信方法であって、前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出ステップと、前記異常ログを前記車両ログ収集サーバへ送信する第１送信ステップと、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する第２送信ステップと、前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する第３送信ステップとを含む。

　これにより、上記の車両ログ送信装置と同様の効果を奏する。

　また、本開示の一態様に係る保存優先度変更装置は、車両に関する１以上のログ情報を含む車両ログを保存し前記車両に搭載される１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、前記異常ログを車両ログ収集サーバへ送信する異常通知部と、前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、を備える。

　これにより、保存優先度変更装置は、異常が検出された場合に、車両状態に応じた保存優先度を送信することにより、車両ログ収集サーバ（サーバ）での解析に有用なログ情報を電子制御装置に残すことができる。よって、保存優先度変更装置は、ログを保存するための資源に限りがある場合でも、サーバでの解析に必要なログを蓄積させることができる。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態に係る車両ログ送信装置等について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置および接続形態、並びに、処理の要素としてのステップおよびステップの順序等は、一例であって本開示を限定するものではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態）
　［車両ログ収集システムの全体構成図］
　図１は、本実施の形態における車両ログ収集システムの全体構成図である。

　図１において、車両ログ収集システム１は、車両ログ送信装置１０と車両ログ収集サーバ２０とを備え、車両ログ送信装置１０と車両ログ収集サーバ２０とは、インターネット等の外部ネットワークを介して通信可能に接続される。車両ログ送信装置１０は、例えば、車両１０ａに搭載される。また、以降における車両ログには、車両１０ａに関する１以上のログ情報が含まれる。

　車両ログ送信装置１０は、車載ネットワークに接続され、当該車載ネットワークに接続された装置から車両ログを取得し、車両ログからセキュリティ上の驚異である異常を検出する。そして、車両ログ送信装置１０は、車両ログのうち異常が検出された一部の箇所である異常ログを車両ログ収集サーバ２０へ送信し、車両ログ収集サーバ２０からの要求（車両ログ要求）に応じて、車両ログを送信する。車両ログおよび異常ログの詳細は後述する。なお、異常ログは、少なくとも１つのログ情報を含む。また、要求とは、異常ログの解析に用いる車両ログを送信する要求を含む。また、異常が検出された一部の箇所は、異常が検出されたログ情報の一例である。

　車両ログ収集サーバ２０は、車両ログ送信装置１０から異常ログおよび車両ログを受信し、異常の原因を解析するために、セキュリティオペレーションセンターのセキュリティインシデント対応チームへログを提供する目的で利用されるサーバである。

　［車両ログ送信装置の構成図］
　図２は、本実施の形態における車両ログ送信装置１０の構成図である。

　図２において、車両ログ送信装置１０は、セントラルＥＣＵ３００と、異常検出装置４００と、ＺｏｎｅＥＣＵ５００ａと、ＺｏｎｅＥＣＵ５００ｂと、ＺｏｎｅＥＣＵ５００ｃと、ＺｏｎｅＥＣＵ５００ｄと、カーナビＥＣＵ６００ａと、ブレーキＥＣＵ６００ｂと、ステアリングＥＣＵ６００ｃと、ボディＥＣＵ６００ｄとを備える。セントラルＥＣＵ３００と、ＺｏｎｅＥＣＵ５００ａと、ＺｏｎｅＥＣＵ５００ｂと、ＺｏｎｅＥＣＵ５００ｃと、ＺｏｎｅＥＣＵ５００ｄとは、車載ネットワークであるイーサネット（登録商標、以下同様）１１を介して接続される。また、カーナビＥＣＵ６００ａとＺｏｎｅＥＣＵ５００ａとはイーサネット１２を介して接続され、ブレーキＥＣＵ６００ｂとＺｏｎｅＥＣＵ５００ｂとはイーサネット１３を介して接続される。また、ステアリングＥＣＵ６００ｃとＺｏｎｅＥＣＵ５００ｃとはＣＡＮ１４を介して接続され、ボディＥＣＵ６００ｄとＺｏｎｅＥＣＵ５００ｄとはＣＡＮ－ＦＤ１５を介して接続される。また、セントラルＥＣＵ３００と異常検出装置４００とは、外部ネットワークにも接続される。なお、以下において、ＺｏｎｅＥＣＵ５００ａ～５００ｄをＥＣＵ群５００ａとも記載する。また、ＺｏｎｅＥＣＵ５００ａ～５００ｄのそれぞれには、当該ＺｏｎｅＥＣＵに応じたログ情報を含む車両ログが保存される。例えば、ＺｏｎｅＥＣＵ５００ａ～５００ｄのそれぞれにおける車両ログは、互いに異なるログ情報を含む。

　なお、図２では、車両ログ送信装置１０は、各ＥＣＵ等を備える例について図示しているが、少なくとも異常検出装置４００を備えていればよい。以下では、車両ログ送信装置１０が異常検出装置４００により実現されている例について説明する。つまり、本実施の形態では、車両ログ収集システム１は、車両ログ送信装置１０と、ＥＣＵ群５００ａと、車両ログ収集サーバ２０とを備えるとも言える。また、本実施の形態では、車両ログ収集システム１は、車両ログ送信装置１０と、ＥＣＵ群５００ａとは、車両１０ａに搭載され、車載ネットワークに接続されている。車両ログ収集システム１は、車両ログ送信装置１０と、ＥＣＵ群５００ａとが搭載された車両１０ａを１以上備える。車両ログ収集システム１は、例えば、当該車両１０ａを複数備える。

　車両ログ送信装置１０は、車両１０ａに搭載されるＥＣＵ群５００ａ（１以上の電子制御装置の一例）に保存される、車両１０ａに関する１以上のログ情報を含む車両ログを、車両ログ収集サーバ２０に送信する。車両ログ送信装置１０は、イーサネット１１を介して、セントラルＥＣＵ３００およびＥＣＵ群５００ａから、それぞれが記憶する車両ログを収集し、車両ログから異常を検出する。そして、車両ログ送信装置１０は、異常が検出された場合、外部ネットワークを介して、異常ログを車両ログ収集サーバ２０へ送信する。また、車両ログ送信装置１０は、車両ログ収集サーバ２０から異常ログに対応する車両ログを送信する要求（車両ログ要求）を取得すると、セントラルＥＣＵ３００およびＥＣＵ群５００ａから当該車両ログを取得し、車両ログ収集サーバ２０へ送信する。

　セントラルＥＣＵ３００は、異常検出装置４００、および、ＥＣＵ群５００ａと、イーサネット１１を介して接続される。セントラルＥＣＵ３００は、ＥＣＵ群５００ａを制御し、車両システム全体を制御する。セントラルＥＣＵ３００は、例えば、自動駐車、自動運転等の車両制御機能を制御する。

　異常検出装置４００は、セントラルＥＣＵ３００、および、ＥＣＵ群５００ａと、イーサネット１１を介して接続される。異常検出装置４００は、ＥＣＵ群５００ａから車両ログを取得し、取得した車両ログに含まれる１以上のログ情報に基づいて車両１０ａのセキュリティ上の驚異である異常を検出する。そして、異常検出装置４００は、異常検出時に、異常が検出されたログ情報を異常ログとして抽出する。また、異常検出装置４００は、異常検出時に、ＥＣＵ群５００ａへ優先的に保存する車両ログを通知する。そして、異常検出装置４００は、車両ログ収集サーバ２０から車ログ要求を受けた場合に、ＥＣＵ群５００ａから車両ログを収集して、車両ログ収集サーバ２０へ送信する。

　ＺｏｎｅＥＣＵ５００ａ、ＺｏｎｅＥＣＵ５００ｂ、ＺｏｎｅＥＣＵ５００ｃ、ＺｏｎｅＥＣＵ５００ｄのそれぞれは、イーサネット１１を介して、セントラルＥＣＵ３００、および、他のＺｏｎｅＥＣＵと通信する。ＺｏｎｅＥＣＵ５００ａは、イーサネット１２を介して、カーナビＥＣＵ６００ａと通信し、カーナビの表示を制御するＥＣＵである。ＺｏｎｅＥＣＵ５００ｂは、イーサネット１３を介して、ブレーキＥＣＵ６００ｂと通信し、ブレーキを制御するＥＣＵである。ＺｏｎｅＥＣＵ５００ｃは、ＣＡＮ１４を介して、ステアリングＥＣＵ６００ｃと通信し、ステアリングの操舵を制御するＥＣＵである。ＺｏｎｅＥＣＵ５００ｄは、ＣＡＮ－ＦＤ１５を介して、ボディＥＣＵ６００ｄと通信し、車両１０ａのロックまたはワイパー等の車体に関わる機能を制御するＥＣＵである。

　カーナビＥＣＵ６００ａは、車両１０ａに搭載されるカーナビの表示を制御するＥＣＵである。ブレーキＥＣＵ６００ｂは、車両１０ａに搭載されるブレーキを制御するＥＣＵである。ステアリングＥＣＵ６００ｃは、車両１０ａに搭載されるステアリングの操舵を制御するＥＣＵである。ボディＥＣＵ６００ｄは、車両１０ａに搭載される車両１０ａのロック、ワイパー等の車体に関わる機能を制御するＥＣＵである。

　［異常検出装置の構成図］
　図３は、本実施の形態における異常検出装置４００の構成図である。本実施の形態において、図３は、車両ログ送信装置１０の構成図でもある。

　図３において、異常検出装置４００は、内部ネットワーク通信部４１０と、異常検出部４２０と、異常ログ記憶部４３０と、車両状態抽出部４４０と、車両ログ保存優先度変更指示部４５０と、関連車両ログリスト記憶部４６０と、異常ログ通知部４７０と、車両ログ要求応答部４８０と、外部ネットワーク通信部４９０とを備える。なお、異常検出部４２０と、車両ログ保存優先度変更指示部４５０と、異常ログ通知部４７０とにより、保存優先度変更装置が構成される。

　内部ネットワーク通信部４１０は、イーサネット１１を介して、ＥＣＵ群５００ａと通信する機能を有する。内部ネットワーク通信部４１０は、例えば、通信回路（通信モジュール）を含んで構成される。

　異常検出部４２０は、ＥＣＵ群５００ａから車両ログを収集し、取得した車両ログに含まれる１以上のログ情報に基づいてセキュリティ上の脅威である異常を検出し、車両ログのうち、異常が検出された箇所であるログ情報を異常ログとして抽出し、異常ログ記憶部４３０へ記憶する機能を有する。ここで車両ログは、ＥＣＵ群５００ａのオペレーティングシステムのログ（ログ情報）、アプリケーションのログ（ログ情報）、および、車載ネットワークの通信ログ（ログ情報）の少なくとも１つを含むログである。通信ログは、イーサネット１１、イーサネット１２、イーサネット１３、ＣＡＮ１４、ＣＡＮ―ＦＤ１５の車載ネットワークのうち少なくとも１つを含むログである。

　異常検出部４２０は、さらに、異常を検出したときの時刻である異常検出時刻を検出し、異常ログ記憶部４３０に記憶してもよい。

　異常ログ記憶部４３０は、異常検出部４２０が検出したログを記憶する機能を有する。異常ログ記憶部４３０は、半導体メモリ等により実現されるが、これに限定されない。

　車両状態抽出部４４０は、ＥＣＵ群５００ａから車両ログを収集し、車両ログから車両状態を抽出する機能を有する。ここで、車両状態は、車両１０ａにおける複数の状態を含む（後述する図９を参照）。車両状態は、車両１０ａの走行モード、走行状況、インターネット接続状況、および、車両制御機能状況（例えば、自動運転機能の状況、クルーズコントロール機能の状況、緊急ブレーキの状況）の少なくとも１つを含む。走行モードは、車両１０ａの現在の走行におけるモードを示しており、車両１０ａが自動運転中（自動運転モード）であるか手動運転中（手動運転モード）であるかを含む。また、走行モードは、遠隔操作中（遠隔操作モード）であるかを含んでもよい。走行状況は、車両１０ａが走行中であるか停止中であるかを含む。インターネット接続状況は、インターネット接続しているか非接続であるかを含む。自動運転機能の状況は、自動駐車機能がＯＮであるかＯＦＦであるかを含む。クルーズコントロール機能の状況は、クルーズコントロール機能（ＣＣ機能）がＯＮであるかＯＦＦであるかを含む。緊急ブレーキの状況は、緊急ブレーキがＯＮであるかＯＦＦであるかを含む。

　なお、自動運転機能の状況は、第１車両制御機能状況の一例であり、クルーズコントロール機能の状況は、第２車両制御機能状況の一例であり、緊急ブレーキの状況は、第３車両制御機能状況の一例である。

　車両ログ保存優先度変更指示部４５０は、車両状態抽出部４４０から車両状態を取得し、関連車両ログリスト記憶部４６０に格納されている車両状態ごとに優先する車両ログのＩＤの一覧である関連車両ログリストを取得し、ＥＣＵ群５００ａに通知（送信）する機能を有する。車両ログ保存優先度変更指示部４５０は、車両ログから抽出される車両状態に基づいて、車両ログに含まれる１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示をＥＣＵ群５００ａに送信する。保存優先度は、例えば、当該ログ情報を残す優先度であるとも言える。車両ログ保存優先度変更指示部４５０は、異常検出部４２０が異常検出時刻を検出する場合、さらに、異常検出時刻に基づいて、ＥＣＵ群５００ａに保存優先度の変更指示を送信してもよい。関連車両ログリスト、および、車両ログ保存優先度の変更方法の詳細については後述する。なお、車両ログ保存優先度変更指示部４５０は、変更指示部の一例である。

　関連車両ログリスト記憶部４６０は、関連車両ログリストを記憶する機能を有する。関連車両ログリスト記憶部４６０は、半導体メモリ等により実現されるが、これに限定されない。

　異常ログ通知部４７０は、異常検出部４２０が検出した異常ログを車両ログ収集サーバ２０へ送信する機能を有する。異常ログ通知部４７０は、異常通知部の一例である。

　車両ログ要求応答部４８０は、車両ログ要求を受信すると、外部ネットワーク通信部４９０を介して、車両ログ収集サーバ２０から車両ログ要求を受信した場合に、車両ログをＥＣＵ群５００ａから収集して、車両ログ収集サーバ２０へ車両ログを送信する機能を有する。車両ログ要求応答部４８０は、車両ログ収集サーバ２０から車両ログの車両ログ要求を受信すると、ＥＣＵ群５００ａから変更指示によって変更された保存優先度に基づいて保存されたログ情報を含む車両ログを取得し、取得した車両ログを車両ログ収集サーバ２０へ送信するとも言える。取得される車両ログは、例えば、保存優先度の変更指示に基づいて保存されたログ情報である。

　外部ネットワーク通信部４９０は、外部ネットワークを介して、車両ログ収集サーバ２０と通信する機能を有する。外部ネットワーク通信部４９０は、例えば、通信回路（通信モジュール）を含んで構成される。

　［ＺｏｎｅＥＣＵの構成図］
　図４は、本実施の形態におけるＺｏｎｅＥＣＵ５００ａの構成図である。

　図４において、ＺｏｎｅＥＣＵ５００ａは、内部ネットワーク通信部５１０と、車両ログ優先度設定部５２０と、車両ログ記憶部５３０と、車両ログ削除部５４０と、車両ログ要求応答部５５０と、ＥＣＵ通信部５６０とを備える。

　内部ネットワーク通信部５１０は、イーサネット１１を介して、異常検出装置４００およびＥＣＵ群５００ａと通信する機能を有する。内部ネットワーク通信部５１０は、例えば、通信回路（通信モジュール）を含んで構成される。

　車両ログ優先度設定部５２０は、異常検出装置４００が送信する車両ログ優先度変更指示を受信し、当該指示に従って、車両ログの優先度設定を変更する機能を有する。

　車両ログ記憶部５３０は、車両ログを記憶する機能を有する。車両ログ記憶部５３０は、半導体メモリ等により実現されるが、これに限定されない。

　車両ログ削除部５４０は、定期的または車両ログの保存データ量が上限となった場合に、車両ログを削除する機能を有する。車両ログ削除部５４０は、例えば、車両ログの保存優先度に応じて、車両ログに含まれる１以上のログ情報から保存優先度に応じたログ情報を削除する。なお、ここで削除されるログ情報は、例えば、車両ログ収集サーバ２０へ送信されていないログ情報である。また、車両ログ削除部５４０は、車両ログ要求応答部５５０が車両ログ送信装置１０に車両ログを送信した後、送信した車両ログを削除してもよい。車両ログの削除方法の詳細については後述する。

　車両ログ要求応答部５５０は、異常検出装置４００が送信する車両ログ要求を受信し、車両ログ記憶部５３０に記憶されている車両ログを異常検出装置４００に送信（応答）する機能を有する。車両ログ要求応答部５５０は、車両ログ送信装置１０から受信した車両ログ要求に応じて、車両ログ記憶部５３０が記憶する車両ログを車両ログ送信装置１０へ送信するとも言える。

　ＥＣＵ通信部５６０は、イーサネット１２を介して、カーナビＥＣＵ６００ａと通信する機能を有する。ＥＣＵ通信部５６０は、例えば、通信回路（通信モジュール）を含んで構成される。

　また、ＺｏｎｅＥＣＵ５００ｂ～５００ｄ、および、セントラルＥＣＵ３００も、図４に示す構成と同じ構成を有していてもよい。ＺｏｎｅＥＣＵ５００ｂは、ＥＣＵ通信部５６０がブレーキＥＣＵ６００ｂと接続され、ＺｏｎｅＥＣＵ５００ｃは、ＥＣＵ通信部５６０がステアリングＥＣＵ６００ｃと接続され、ＺｏｎｅＥＣＵ５００ｄは、ＥＣＵ通信部５６０がボディＥＣＵ６００ｄと接続される。セントラルＥＣＵ３００は、ＥＣＵ通信部５６０の代わりに、ＥＣＵ制御部を有し、ＥＣＵ群５００ａを制御することで車両システム全体を制御し、例えば、自動運転、自動駐車、クルーズコントロール等の車両制御機能を実現する。また、セントラルＥＣＵ３００は、外部ネットワーク通信部を有し、カーナビＥＣＵ６００ａのインターネット接続を仲介する機能を有する。

　［車両ログ収集サーバの構成図］
　図５は、本実施の形態における車両ログ収集サーバ２０の構成図である。

　図５において、車両ログ収集サーバ２０は、外部ネットワーク通信部２１０と、異常ログ受信部２２０と、異常ログ記憶部２３０と、車両ログ要否判断部２４０と、車両ログ要求部２５０と、車両ログ記憶部２６０と、ログ提供部２７０とを有する。

　外部ネットワーク通信部２１０は、外部ネットワークを介して、車両ログ送信装置１０と通信する機能を有する。外部ネットワーク通信部２１０は、例えば、通信回路（通信モジュール）を含んで構成される。

　異常ログ受信部２２０は、異常検出装置４００から異常ログを受信する機能を有する。異常ログ受信部２２０は、車両ログ送信装置１０から車両ログ要求に応じた車両ログを受信するとも言える。本実施の形態では、さらに、異常ログ受信部２２０は、異常検出装置４００から車両ログ要求に基づく車両ログを受信する機能を有する。つまり、異常ログ受信部２２０は、車両ログ受信部としても機能する。

　異常ログ記憶部２３０は、異常ログ受信部２２０が受信した異常ログを記憶する機能を有する。異常ログ記憶部２３０は、半導体メモリ等により実現されるが、これに限定されない。

　車両ログ要否判断部２４０は、異常ログ記憶部２３０に記憶された異常ログに基づいて、車両ログが必要であるか否かを判断する機能を有する。車両ログ要否判断部２４０は、例えば、異常ログの受信回数に応じて、車両ログが必要であるか否かを判断してもよい。車両ログ要否判断部２４０は、例えば、同じ種類の異常ログの受信回数に応じて、車両ログが必要であるか否かを判断してもよい。同じ種類の異常ログとは、同じプロセスＩＤまたは通信ＩＤに関する異常を示すログであってもよいし、同一の装置における異常であってもよい。車両ログ要否判断方法の詳細は後述する。

　車両ログ要求部２５０は、車両ログ要否判断部２４０が、車両ログは必要であると判断した場合に、異常検出装置４００へ車両ログ要求を送信し、車両ログを受信する機能を有する。車両ログ要求部２５０は、車両ログ送信装置１０へ車両ログ要求を送信するとも言える。

　車両ログ記憶部２６０は、車両ログ要求部２５０が受信した車両ログを記憶する機能を有する。車両ログ記憶部２６０は、半導体メモリ等により実現されるが、これに限定されない。

　ログ提供部２７０は、異常ログ記憶部２３０が記憶する異常ログと、車両ログ記憶部２６０が記憶する車両ログとを車両ログ収集サーバ２０のユーザへ提供する機能を有する。例えば、ユーザは、車両ログ収集サーバ２０を利用するセキュリティオペレーションセンターのセキュリティインシデント対応チームの一員である。例えば、提供方法は、ログのダウンロード、グラフィカルインタフェースを用いて可視化して表示すること等であるが、これに限定されない。ログ提供部２７０は、ディスプレイ装置、音声出力装置等により構成される。

　［車載ネットワークにおける車両ログの一例］
　図６は、本実施の形態における車載ネットワークの車両ログの一例を示す図である。車両ログは、車載ネットワークにおける車両ログと、ＥＣＵにおける車両ログとに分類される。ＥＣＵにおける車両ログは図７にて後述する。

　図６において、車載ネットワークにおける車両ログは、車載ネットワーク上に流れる通信メッセージのログであり、１つの通信メッセージのログは、通信ＩＤ、時刻、および、ペイロードデータ（データとも記載する）を含んで構成される。通信ＩＤは、通信メッセージの種別を表す識別子である。ペイロードデータは、１６進数の数値であり、通信ＩＤごとに事前に定められた定義を参照することで内容を読み取ることができる。

　例えば、通信ＩＤが「Ｍ１」である通信メッセージは、時刻「Ｔ１１」に送信されたことが分かる。また、通信ＩＤが「Ｍ１」である通信メッセージには、ペイロードデータの３バイト目にインターネット接続状態を示す内容が含まれる。例えば、ペイロードデータの３バイト目が「００」の場合は、インターネットに接続していない状態を示す「ＯＦＦ」であると判断でき、「０１」の場合は、インターネットに接続している状態を示す「ＯＮ」であると判断できる。

　同様に、通信ＩＤが「Ｍ２」である通信メッセージの３バイト目および４バイト目のペイロードデータから、走行速度を読み取ることができる。例えば、時速０ｋｍより速い場合に走行状況が走行中であると判断でき、時刻０ｋｍの場合に走行状況が停止中であると判断でき、５バイト目のペイロードデータから緊急ブレーキ指示の有無を読み取ることができる。

　また、同様に、通信ＩＤが「Ｍ３」である通信メッセージからドアロック状態、通信ＩＤが「Ｍ４」である通信メッセージから走行モード、車両制御機能、操舵指示、および、操舵指示角を読み取ることができる。ここで、車両制御機能のＣＣはクルーズコントロールモードを指し、前方の車両に追従して車両１０ａを自動走行させるモードである。このように、車両ログを用いることで、現在の車両状態を把握することができる。なお、通信メッセージは、車載メッセージの一例である。

　車載ネットワークにおける車両ログは、セキュリティ上の異常を検出するために利用することができる。例えば、通信ＩＤが「Ｍ４」である操舵指示角は、走行モードが自動運転である、または、車両制御機能が自動駐車である場合にステアリングを機械的に動かす際に利用される。通信ＩＤが「Ｍ４」である通信メッセージは、ＺｏｎｅＥＣＵ５００ｃを介して、ステアリングＥＣＵ６００ｃが受信する。そして、ステアリングＥＣＵ６００ｃは、操舵指示がＯＮの場合に、操舵指示角に従ってステアリングを操作する。しかしながら、操舵指示がＯＮである間に、悪意のある攻撃者が操舵指示角を異常な値に書き換えた通信メッセージを車載ネットワーク上に不正に送信した場合、制御側が意図しない危険なステアリング操作が実施されてしまう恐れがある。このような攻撃を異常として検出するためには、異常検出装置４００は、通信ＩＤが「Ｍ４」の通信メッセージを監視し、連続する２つの通信メッセージに含まれる操舵指示角の差を監視し、当該差が所定以上である場合に、攻撃による書き換えが実施された可能性があるので、異常として検出する。異常検出装置４００は、例えば、操舵指示角が０度から９０度へ急激に変わった場合、攻撃による書き換えが実施された可能性があるので、異常として検出する。

　また、車載ネットワークにおける車両ログは、異常の原因を解析するために利用することができる。車載ネットワークにおける車両ログは、例えば、セキュリティオペレーションセンターのセキュリティインシデント対応チームにより利用される。車両ログ収集サーバ２０は、例えば、異常発生前後の通信メッセージが、通信ＩＤが「Ｍ４」の通信メッセージである場合、当該通信メッセージのログから異常が発生した時刻を取得でき、異常発生直前の通信ＩＤが「Ｍ１」、「Ｍ２」、「Ｍ３」の通信メッセージから異常検出時の車両状態を取得することができる。そして、セキュリティインシデント対応チームは、例えば、異常検出時の走行状態が走行中でインターネット接続状態がＯＦＦであった場合、走行中に攻撃者が車両１０ａの近くにいることは困難であり、インターネット経由の攻撃も困難であるため、走行前に攻撃者によって物理的に車両１０ａに取り付けられたデバイスによる可能性が高い、または、書き換えられた可能性が高いと原因を推測することができる。

　なお、異常検出装置４００は、異常発生前後の通信ＩＤが「Ｍ４」の通信メッセージのログを用いて、異常検出時の車両状態を取得してもよい。また、それぞれの通信ＩＤに対する時刻およびペイロードデータの組は、ログ情報の一例である。

　［ＥＣＵにおける車両ログの一例］
　図７は、本実施の形態におけるＥＣＵにおける車両ログの一例を示す図である。

　図７において、ＥＣＵにおける車両ログは、ＥＣＵのオペレーティングシステムまたはアプリケーションのプロセスが出力するシステムログであり、１つのシステムログは、プロセスＩＤ、時刻、ＥＣＵ名、および、データを含んで構成される。車両ログは、ＺｏｎｅＥＣＵまたはＺｏｎｅＥＣＵに接続されたＥＣＵに記憶されている。

　プロセスＩＤは、ログを出力したプロセスの識別子であり、ＥＣＵ名は、ログを出力したプロセスが動作しているＥＣＵ名である。データには、プロセスの動作の開始や結果、終了等が記載される。例えば、プロセスＩＤが「Ｐ１」であるシステムログは、時刻「Ｔ２１」にカーナビＥＣＵ６００ａ上で実施されたプロセスであり、データにはインターネット接続を試みて失敗したという内容が記載される。また、例えば、プロセスＩＤが「Ｐ５」であるシステムログは、時刻「Ｔ２５」にボディＥＣＵ６００ｄ上で実施されたプロセスであり、データにはセキュアブートを実施して、成功したという内容が記載される。

　ＥＣＵにおける車両ログは、セキュリティ上の異常を検出するために利用することができる。異常検出装置４００は、例えば、プロセスＩＤが「Ｐ７」のプロセスログを監視し、セキュアブートの失敗を確認した場合、セントラルＥＣＵ３００上での不正なソフトウェア書き換えが実施された可能性があるとして異常を検出できる。

　また、ＥＣＵにおける車両ログは、異常の原因を解析するために利用することができる。ＥＣＵにおける車両ログは、例えば、セキュリティオペレーションセンターのセキュリティインシデント対応チームにより利用される。車両ログ収集サーバ２０は、例えば、プロセスＩＤが「Ｐ１」、「Ｐ２」、「Ｐ６」、「Ｐ７」の車両ログから、セキュアブートブート失敗を確認した時刻を取得でき、その直前にカーナビＥＣＵ６００ａからセントラルＥＣＵ３００へログインが実行されており、カーナビＥＣＵ６００ａはネットワークに接続していないにも関わらずソフトウェア更新が実行されていたことを取得することができる。そして、セキュリティインシデント対応チームは、カーナビＥＣＵ６００ａに不正なソフトウェアをインストールさせて、カーナビＥＣＵ６００ａ経由でセントラルＥＣＵ３００のソフトウェアを改ざんしようとしたが、セキュアブートで異常が検出された可能性が高いと原因を推測できる。

　なお、それぞれのプロセスＩＤに対する時刻、ＥＣＵ名およびデータの組は、ログ情報の一例である。

　［異常ログの一例］
　図８は、本実施の形態における異常ログの一例を示す図である。異常ログは、異常検出装置４００の異常検出部４２０で、車両ログから異常であると抽出されたログ（ログ情報）である。

　図８において、異常ログは、異常識別子、異常検出時刻、ログ種別、ログＩＤ、および、データを含んで構成される。異常識別子は、１つの異常ログと一対一で対応する識別子であり、例えば、異常ログのログ種別、ログＩＤおよびデータのハッシュ値が用いられる。また、異常検出時刻は、異常検出装置４００が異常を検出した車両ログの時刻を参照して記載される。また、ログ種別は、異常を検出したログが車載ネットワークにおける車両ログであった場合には車載ネットワーク、異常を検出したログがＥＣＵにおける車両ログであった場合にはＥＣＵと記載される。また、データは、車載ネットワークにおける車両ログの場合には通信メッセージのペイロードデータが格納され、ＥＣＵにおける車両ログの場合にはシステムログのデータが格納される。

　例えば、異常識別子が「Ａ１」である異常ログは、異常検出時刻が「Ｔ１４」であり、ログ種別が「車載ネットワーク」であり、ログＩＤが「Ｍ４」であり、データが「００　０１　００　０１　ＦＦ　００　００　００」である。また、例えば、異常識別子が「Ａ２」である異常ログは、異常検出時刻が「Ｔ２６」であり、ログ種別が「ＥＣＵ」であり、ログＩＤが「Ｐ７」であり、データが「セキュアブート失敗」である。つまり、異常ログのデータを参照することで、いつ、どこで、どのような異常が発生したかどうかを把握することができる。しかしながら、異常ログだけでは、異常の原因まで把握することは困難であり、異常ログ以外の車両ログも必要になる。

　［関連車両ログリストの一例］
　図９は、本実施の形態における関連車両ログリストの一例を示す図である。異常検出装置４００は、例えば、図９に示す関連車両ログリストを予め取得し、記憶している。

　図９において、関連車両ログリストは、車両状態と、関連通信ＩＤと、関連プロセスＩＤと、異常検知時の車両状態と、保存優先度とを含んで構成される。車両状態は、車両ログから抽出する車両状態の項目であり、関連通信ＩＤおよび関連プロセスＩＤは、車両状態の項目ごとに事前に定められた当該項目と関連性の高い通信ＩＤおよびプロセスＩＤが記載される。異常検知時の車両状態は、異常検出装置４００が異常ログを検出したときの車両状態を示しており、保存優先度は、関連通信ＩＤおよび関連プロセスＩＤの車両ログを優先的に残すかどうかを示す優先度であり、保存優先度が高い場合には「高」、保存優先度が低い場合には「低」が記載される。

　例えば、車両状態が「走行モード」である関連車両ログリストは、関連通信ＩＤが「Ｍ２、Ｍ４」であり、関連プロセスＩＤが「Ｐ３、Ｐ４、Ｐ７」である。そして、異常検知時の車両状態が、「自動運転」である場合、保存優先度は「高」であり、異常検知時の車両状態が、「手動運転」である場合、保存優先度は「低」である。保存優先度が「高」であることは、異常検知時の車両状態に関係する重要性が高いログ（異常の原因の解析における重要性が高いログ）であることを示しており、保存優先度が「低」であることは、異常検知時の車両状態に関係する重要性が低いログ（異常の原因の解析における重要性が低いログ）であることを示しているとも言える。関連車両ログリストを参照することで、異常を検出したときの車両状態に関係する重要性の高い通信メッセージおよびプロセスのログを把握することができ、それらは異常の原因を解析するにあたって有用なログである可能性が高い。

　車両ログ保存優先度変更指示部４５０は、図９に示す関連車両ログリストに基づいて、変更後の保存優先度を設定する。車両ログ保存優先度変更指示部４５０は、例えば、車両１０ａの車載ネットワークにおける車載メッセージに含まれる通信ＩＤ、および、ＥＣＵ群５００ａ上で実行されるオペレーティングシステムまたはアプリケーションのプロセスＩＤと、車両状態（例えば、異常検知時の車両状態）とに基づいて、変更後の保存優先度を設定する。車両ログ保存優先度変更指示部４５０は、例えば、車両状態の項目ごとに、当該車両状態に関連する通信ＩＤと対応するログ情報および当該車両状態に関連するプロセスＩＤと対応するログ情報を優先的に残すかどうかを示す度合い（保存優先度）に基づいて、変更後の保存優先度を設定する。

　［車両ログ保存優先度設定の一例］
　図１０は、本実施の形態における車両ログ保存優先度設定の一例を示す図である。

　図１０において、車両ログ保存優先度設定は、ログＩＤと、保存優先度と、優先度設定時刻とを含んで構成される。ログＩＤは、車両ログに含まれる通信ＩＤまたはプロセスＩＤを示す。保存優先度は、車両ログを保存する優先度を示し、優先度の高い順に「高」、「中」、「低」のうち一つが記載され、例えば、初期状態では「中」が記載される。保存優先度が低いログＩＤの車両ログ（ログ情報）は、ＥＣＵ群５００ａにおいて車両ログを削除する際に優先的に削除される。優先度設定時刻は、ログＩＤに対して保存優先度を変更した時刻が記載され、保存優先度が変更されていない場合は「―」が記載される。

　例えば、ログＩＤが「Ｍ１」の車両ログ保存優先度設定は、保存優先度が「低」であり、優先度設定時刻が「Ｔ４０」である。つまり、ログＩＤが「Ｍ１」の車両ログの保存優先度は、時刻Ｔ４０に保存優先度が「低」に変更されたことがわかる。また、例えば、ログＩＤが「Ｍ３」の車両ログ保存優先度設定は、保存優先度が「中」であり、優先度設定時刻が「―」である。つまり、ログＩＤがＭ３の車両ログの保存優先度は、初期状態から変更されていないことがわかる。また、例えば、ログＩＤが「Ｐ７」の車両ログ保存優先度設定は、保存優先度が「高」であり、優先度設定時刻が「Ｔ４１」である。つまり、ログＩＤが「Ｐ７」の車両ログの保存優先度は、時刻Ｔ４１に保存優先度が「高」に変更されたことがわかる。

　車両ログ保存優先度設定を参照することで、異常の原因解析に必要となるログを優先的に保存する（削除せずに蓄積する）ことが可能になる。

　［処理のシーケンス］
　図１１は、本実施の形態における異常ログ通知処理のシーケンス（車両ログ送信方法の一部）を示す図である。図１１は、車両ログ送信装置１０が車両ログから異常を検出して、車両ログ収集サーバ２０へ異常ログを送信するまでの処理シーケンスを示している。

　（Ｓ１１０１）異常検出装置４００の異常検出部４２０は、内部ネットワークを介して、ＥＣＵ群５００ａのそれぞれから車両ログを取得し、異常を検出する。つまり、異常検出部４２０は、取得した車両ログに含まれる１以上のログ情報に基づいて、異常の有無を判定する。そして、異常検出部４２０は、異常を検出した場合、異常が検出されたログ情報を異常ログとして抽出し、抽出した異常ログを異常ログ記憶部４３０へ記憶し、車両状態抽出部４４０へ異常検知時刻および車両ログ（ログ情報）を送信する。異常の検出方法の例は、車載ネットワークにおける車両ログの一例（図６）およびＥＣＵにおける車両ログの一例（図７）に記載している。また、異常検出部４２０は、例えば、図８に示す異常ログを、異常ログ記憶部４３０へ記憶し、かつ、車両状態抽出部４４０へ送信してもよい。ステップＳ１１０１は、異常検出ステップおよび第１送信ステップの一例である。

　（Ｓ１１０２）車両状態抽出部４４０は、ステップＳ１１０１の車両ログを受信し、異常検知時刻の車両状態を抽出する。車両状態抽出部４４０は、例えば、ステップＳ１１０１で異常が検出された車両ログ（ログ情報）を除く車両ログ（ログ情報）から異常検知時刻の車両状態を抽出する。そして、車両状態抽出部４４０は、車両状態を車両ログ保存優先度変更指示部４５０へ送信する。車両状態の抽出方法の例は、車載ネットワークにおける車両ログの一例（図６）に記載している。

　（Ｓ１１０３）車両ログ保存優先度変更指示部４５０は、関連車両ログリスト記憶部４６０が保持する関連車両ログリストを参照し、保存優先度を変更する必要のある車両ログ（ログ情報）を特定する。

　（Ｓ１１０４）車両ログ保存優先度変更指示部４５０は、ステップＳ１１０３にて特定した車両ログの保存優先度の変更指示をＥＣＵ群５００ａへ送信する。車両ログ保存優先度変更指示部４５０は、例えば、ＥＣＵ群５００ａに含まれる複数のＺｏｎｅＥＣＵ５００ａ～５００ｄのそれぞれに共通の保存優先度に変更することを示す変更指示を送信する。つまり、変更指示により変更された車両ログの保存優先度は、複数のＺｏｎｅＥＣＵ５００ａ～５００ｄのそれぞれにおいて等しい。なお、車両ログ保存優先度変更指示部４５０は、例えば、複数のＺｏｎｅＥＣＵ５００ａ～５００ｄのそれぞれに互いに異なる保存優先度に変更することを示す変更指示を送信してもよい。ステップＳ１１０４は、第２送信ステップの一例である。

　なお、車両ログ保存優先度変更指示部４５０は、ステップＳ１１０４において、異常検出時刻から第１時間経過した場合に、ＥＣＵ群５００ａに保存優先度の変更指示を送信してもよい。つまり、車両ログ保存優先度変更指示部４５０は、前回の異常の検出から現在までに他の異常が検出されていない場合であっても、ＥＣＵ群５００ａに保存優先度の変更指示を送信してもよい。

　（Ｓ１１０５）ＥＣＵ群５００ａは、車両ログの優先度設定を変更する。車両ログの優先度設定変更方法は後述する。

　（Ｓ１１０６）異常ログ通知部４７０は、異常検出部４２０から異常ログを受信し、異常ログを車両ログ収集サーバ２０へ送信する。異常ログ通知部４７０は、さらに、異常ログと１対１で対応する異常ログの識別子を生成し、異常検出時刻と異常ログの識別子とを車両ログ収集サーバへ２０送信してもよい。

　（Ｓ１１０７）車両ログ収集サーバ２０は、異常ログを受信し、異常ログ記憶部２３０へ記憶する。

　［車両ログ要求処理のシーケンス］
　図１２は、本実施の形態における車両ログ要求応答処理のシーケンス（車両ログ送信方法の一部）を示す図である。図１２は、車両ログ収集サーバ２０が異常ログを受信してから、車両ログ送信装置１０（本実施の形態では、異常検出装置４００）へ車両ログを要求して、応答（異常検出装置４００からの車両ログ）を受信するまでの処理シーケンスを示している。

　（Ｓ１２０１）車両ログ収集サーバ２０は、異常ログを一定回数以上受信したか否かを判断する。車両ログ収集サーバ２０は、ステップＳ１１０７の異常ログを受信し、異常ログ記憶部２３０へ記憶する。車両ログ収集サーバ２０は、記憶された異常ログと同一の異常ログを一定回数以上受信したか否かを判断してもよい。ここで車両ログ要否判断部２４０は、車両ログが必要であると判断した場合に、車両ログ収集サーバ２０の車両ログ要求応答部４８０へ車両ログの送信を要求する。車両ログの要否判定方法の詳細については後述する。

　（Ｓ１２０２）車両ログ要否判断部２４０は、異常ログを一定回数以上受信している場合、車両ログ要求応答部４８０へ車両ログの送信を要求する。つまり、車両ログ要否判断部２４０は、車両ログ要求を送信する。車両ログ要否判断部２４０は、例えば、車両ログ要求応答部４８０へ異常ログの識別子を含む車両ログ要求を送信してもよい。

　（Ｓ１２０３）車両ログ要求応答部４８０は、ステップＳ１２０２の車両ログ要求を受信する。車両ログ要求応答部４８０は、例えば、車両ログ収集サーバ２０から異常ログの識別子を含む車両ログ要求を受信する。

　（Ｓ１２０４）車両ログ要求応答部４８０は、異常ログ記憶部４３０を参照し、ＥＣＵ群５００ａの車両ログ要求応答部５５０へ異常ログの識別子に対応する異常検出時刻の前後１時間の車両ログを要求する。ここで前後１時間は、事前に定められた値であり、１時間でなくともよい。

　（Ｓ１２０５）ＥＣＵ群５００ａの車両ログ要求応答部５５０は、ステップＳ１２０５の車両ログ要求を受信する。

　（Ｓ１２０６）ＥＣＵ群５００ａの車両ログ要求応答部５５０は、車両ログ要求応答部４８０へ異常検出時刻の前後１時間の車両ログを応答（送信）する。なお、車両ログ削除部５４０は、ステップＳ１２０６において車両ログ要求応答部５５０が車両ログ要求応答部４８０へ車両ログを送信した後、送信した車両ログを削除してもよい。

　（Ｓ１２０７）車両ログ要求応答部４８０は、ＥＣＵ群５００ａからステップＳ１２０６の車両ログを受信する。

　（Ｓ１２０８）車両ログ要求応答部４８０は、車両ログ収集サーバ２０へ車両ログを応答（送信）する。車両ログ要求応答部４８０は、ＥＣＵ群５００ａから異常ログの識別子と対応する異常検出時刻の前後一定期間のログ情報を収集し、収集したログ情報を含む車両ログを車両ログ収集サーバ２０へ送信するとも言える。ステップＳ１２０８は、第３送信ステップの一例である。

　（Ｓ１２０９）車両ログ収集サーバ２０は、ステップＳ１２０８の車両ログを受信する。

　これにより、車両ログ収集サーバ２０は、異常の監視または解析に必要な車両ログを異常検出装置４００から取得することができる。

　［車両ログ保存優先度変更処理のフローチャート］
　図１３は、本実施の形態における車両ログ保存優先度変更処理のフローチャート（車両ログ送信方法の一部）である。図１３は、車両ログ保存優先度変更指示部４５０の車両ログ保存優先度変更処理のフローチャートを示す。

　（Ｓ１３０１）異常検出部４２０は、車両ログから異常ログを抽出する。そして、車両状態抽出部４４０は、異常ログに含まれる異常検出時刻を参照し、異常検出時刻における車両状態を抽出する。そして、ステップＳ１３０２を実施する。

　（Ｓ１３０２）車両ログ保存優先度変更指示部４５０は、車両状態のうち、走行モードが自動運転であるか否かを判断する。車両ログ保存優先度変更指示部４５０は、走行モードが自動運転である場合（Ｓ１３０２でＹｅｓ）、ステップＳ１３０３を実施し、走行モードが手動運転である場合（Ｓ１３０２でＮｏ）、ステップＳ１３０４を実施する。

　（Ｓ１３０３）車両ログ保存優先度変更指示部４５０は、車両ログのうち自動運転機能のログの保存優先度を「高」に変更し、ステップＳ１３０５を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３０３の処理の直前の保存優先度に関わらず、自動運転機能のログの保存優先度を一律に「高」に変更する。

　（Ｓ１３０４）車両ログ保存優先度変更指示部４５０は、車両ログのうち自動運転機能のログの保存優先度を「低」に変更し、ステップＳ１３０５を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３０４の処理の直前の保存優先度に関わらず、自動運転機能のログの保存優先度を一律に「低」に変更する。

　このように、車両ログ保存優先度変更指示部４５０は、ステップＳ１３０２～Ｓ１３０４において、走行モードが自動運転モードである場合に自動運転に関連する機能に対する保存優先度を第１の優先度より高い第２の優先度に変更し、走行モードが手動運転モードである場合に自動運転に関連する機能に対する保存優先度を第１の優先度より低い第３の優先度に変更するとも言える。

　（Ｓ１３０５）車両ログ保存優先度変更指示部４５０は、車両状態のうち、走行状況が停止中か否かを判断する。車両ログ保存優先度変更指示部４５０は、走行状況が停止中である場合（Ｓ１３０５でＹｅｓ）、ステップＳ１３０６を実施し、走行状況が走行中である場合（Ｓ１３０５でＮｏ）、ステップＳ１３０７を実施する。

　（Ｓ１３０６）車両ログ保存優先度変更指示部４５０は、車両ログのうちドアロック機能の保存優先度を「高」に変更し、ステップＳ１３０８を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３０６の処理の直前の保存優先度に関わらず、ドアロック機能の保存優先度を一律に「高」に変更する。

　（Ｓ１３０７）車両ログ保存優先度変更指示部４５０は、車両ログのうちドアロック機能の保存優先度を「低」に変更し、ステップＳ１３０８を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３０７の処理の直前の保存優先度に関わらず、ドアロック機能の保存優先度を一律に「低」に変更する。

　このように、車両ログ保存優先度変更指示部４５０は、ステップＳ１３０５～Ｓ１３０７において、車両１０ａが走行中である場合にドアロック機能を含む車体制御機能に関連する機能に対する保存優先度を第４の優先度より低い第５の優先度に変更し、車両１０ａが停止中である場合に車体制御機能に関連する機能に対する保存優先度を第４の優先度より高い第６の優先度に変更してもよい。

　（Ｓ１３０８）車両ログ保存優先度変更指示部４５０は、車両状態のうち、インターネット接続状況がＯＮであるか否かを判断する。車両ログ保存優先度変更指示部４５０は、インターネット接続状況がＯＮである場合（Ｓ１３０８でＹｅｓ）、ステップＳ１３０９を実施し、インターネット接続状況がＯＦＦである場合（Ｓ１３０８でＮｏ）、ステップＳ１３０９を実施する。

　（Ｓ１３０９）車両ログ保存優先度変更指示部４５０は、車両ログのうちインターネット接続が必要な機能のログの保存優先度を「高」に変更し、ステップＳ１３１１を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３０９の処理の直前の保存優先度に関わらず、インターネット接続が必要な機能のログの保存優先度を一律に「高」に変更する。

　（Ｓ１３１０）車両ログ保存優先度変更指示部４５０は、車両ログのうちインターネット接続が必要な機能のログの保存優先度を「低」に変更し、ステップＳ１３１１を実施する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３１０の処理の直前の保存優先度に関わらず、インターネット接続が必要な機能のログの保存優先度を一律に「低」に変更する。

　このように、車両ログ保存優先度変更指示部４５０は、ステップＳ１３０８～Ｓ１３１０において、インターネットが接続中の場合にインターネット接続を利用する機能に対する保存優先度を第７の優先度より高い第８の優先度に変更し、インターネットが非接続中の場合にインターネット接続を利用する機能に対する保存優先度を第７の優先度より低い第８の優先度に変更してもよい。

　（Ｓ１３１１）車両ログ保存優先度変更指示部４５０は、車両状態のうち、車両制御機能がＯＮであるか否かを判断する。車両ログ保存優先度変更指示部４５０は、車両制御機能がＯＮである場合（Ｓ１３１１でＹｅｓ）、ステップＳ１３１２を実施し、車両制御機能がＯＦＦである場合（Ｓ１３１１でＮｏ）、ステップＳ１３１３を実施する。ここで、車両ログ保存優先度変更指示部４５０は、例えば、車載ネットワークにおける車両ログの一例（図６を参照）では、車両制御機能として、自動駐車およびＣＣを記載しているが、車両制御機能（自動駐車）がＯＮの場合、車両制御機能（自動駐車）に関連するログの保存優先度を「高」に変更し、車両制御機能（ＣＣ）がＯＮの場合、車両制御機能（ＣＣ）に関連するログの保存優先度を「高」に変更する。

　（Ｓ１３１２）車両ログ保存優先度変更指示部４５０は、車両ログのうち対応する車両制御機能のログの保存優先度を「高」に変更し、処理を終了する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３１２の処理の直前の保存優先度に関わらず、対応する車両制御機能の保存優先度を一律に「高」に変更する。

　（Ｓ１３１３）車両ログ保存優先度変更指示部４５０は、車両ログのうち対応する車両制御機能のログの保存優先度を「低」に変更し、処理を終了する。車両ログ保存優先度変更指示部４５０は、例えば、ステップＳ１３１３の処理の直前の保存優先度に関わらず、対応する車両制御機能の保存優先度を一律に「低」に変更する。

　このように、車両ログ保存優先度変更指示部４５０は、ステップＳ１３１１～Ｓ１３１３において、自動駐車機能がＯＮの場合に自動駐車機能に関連する第１車両制御機能に対する保存優先度を第９の優先度より高い第１０の優先度に変更し、自動駐車機能がＯＦＦの場合に自動駐車機能に関連する第１車両制御機能に対する保存優先度を第９の優先度より低い第１１の優先度に変更してもよい。また、車両ログ保存優先度変更指示部４５０は、ステップＳ１３１１～Ｓ１３１３において、クルーズコントロール機能がＯＮの場合にクルーズコントロール機能に関連する第２車両制御機能に対する保存優先度を第１２の優先度より高い第１３の優先度に変更し、クルーズコントロール機能がＯＦＦの場合にクルーズコントロール機能に関連する第２車両制御機能に対する保存優先度を第１２の優先度より低い第１４の優先度に変更してもよい。

　また、車両制御機能には、緊急ブレーキが含まれていてもよい。車両ログ保存優先度変更指示部４５０は、例えば、車両制御機能（急ブレーキ）がＯＮの場合（Ｓ１３１１でＹｅｓ）、車両制御機能（急ブレーキ）に関連するログの保存優先度を「高」に変更し（Ｓ１３１２）、車両制御機能（急ブレーキ）がＯＦＦの場合（Ｓ１３１１でＮｏ）、車両制御機能（急ブレーキ）に関連するログの保存優先度を「低」に変更してもよい。

　このように、車両ログ保存優先度変更指示部４５０は、ステップＳ１３１１～Ｓ１３１３において、緊急ブレーキ機能がＯＮの場合に緊急ブレーキ機能に関連する第３車両制御機能に対する保存優先度を第１５の優先度より高い第１６の優先度に変更し、緊急ブレーキ機能がＯＦＦの場合に緊急ブレーキ機能に関連する第３車両制御機能に対する保存優先度を１５の優先度より低い第１８の優先度に変更してもよい。

　なお、車両ログ保存優先度変更指示部４５０は、ステップＳ１３０２～Ｓ１３０４、ステップＳ１３０５～Ｓ１３０７、ステップＳ１３０８～Ｓ１３１０、および、ステップＳ１３１１～Ｓ１３１３の少なくとも１つの処理（保存優先度の変更）を行えばよい。言い換えると、車両ログ保存優先度変更指示部４５０は、当該保存優先度の変更を、ＥＣＵ群５００ａに指示すればよい。

　なお、図１３において、一の判定処理において、保存優先度が「高」に設定されたログ（ログ情報）の保存優先度が、当該一の判定処理の後の判定処理において、「低」に設定しなおされることが起こり得る。車両ログ保存優先度変更指示部４５０は、このような場合、保存優先度が高い方の判定結果を当該ログの保存優先度に設定してもよい。つまり、車両ログ保存優先度変更指示部４５０は、上記の場合、一の判定結果において設定された「高」を、当該ログの保存優先度に設定してもよい。

　このように、異常検出装置４００によれば、異常検出装置４００が異常を検出したときの車両状態において重要な車両ログの保存優先度を変更する（例えば、保存優先度を「高」にする）ことで、車両１０ａ内に重要な車両ログを長期間保存することができる。その結果、異常検出装置４００は、大量のログを保存可能な資源を車両１０ａに準備せずとも、重要なログを削除することなく外部の車両ログ収集サーバ２０へ提供することができる。車両ログ収集サーバ２０は、重要なログを用いて異常の原因を解析できるため、車両１０ａの安全性に貢献することができる。

　［車両ログ削除処理のフローチャート］
　図１４は、本実施の形態における車両ログ要求要否判定のフローチャート（車両ログ送信方法の一部）である。図１４は、ＥＣＵ群５００ａの車両ログ削除部５４０の車両ログ削除処理のフローチャートを示す。

　（Ｓ１４０１）車両ログ削除部５４０は、予め定められたログ削除時間の経過を待機し、ログ削除時間が経過後、ステップＳ１４０２を実施する。例えば、ログ削除時間はログ情報を取得してから２４時間である。また、例えば、ログ削除時間は、直近の異常検出時刻からの経過時間であってもよい。車両ログ削除部５４０は、異常検出時刻と現在の時刻との差を確認することで、異常発生から長期間経っても車両ログ要求がないことが分かり、その異常に関連する車両ログの優先度は高くないと判断することができる。そして、車両ログ削除部５４０は、その異常に関連する車両ログの保存優先度を低く設定する（後述するＳ１４０４）ことで優先的に削除されるようになり、より有用な車両ログを残すことが可能になる。

　（Ｓ１４０２）車両ログ削除部５４０は、車両ログ不要時間を経過したか否かを判断する。車両ログ削除部５４０は、車両ログ優先度設定部５２０が設定する車両ログ保存優先度設定を参照し、優先度設定時刻から現在の時刻まで予め定められた車両ログ不要時間が経過しているログＩＤが存在する場合（Ｓ１４０２でＹｅｓ）、ステップＳ１４０４を実施し、存在しない場合（Ｓ１４０２でＮｏ）、ステップＳ１４０３を実施する。車両ログ不要時間は、ログ削除時間より長い時間であり、例えば、車両ログ不要時間は７２時間である。車両ログ不要時間は、第２時間の一例である。

　（Ｓ１４０３）車両ログ削除部５４０は、車両ログ保存優先度設定を参照し、車両ログ記憶部５３０に記憶されている車両ログのうち、保存優先度が「低」のログＩＤと対応する車両ログ（ログ情報）を削除する。そして、ステップＳ１４０５を実施する。

　（Ｓ１４０４）車両ログ削除部５４０は、優先度設定時刻から現在の時刻まで予め定められた車両ログ不要時間が経過しているログＩＤの保存優先度を「低」に変更するよう車両ログ優先度設定部５２０に指示する。そして、ステップＳ１４０３を実施する。

　なお、車両ログ削除部５４０は、車両ログ記憶部５３０が記憶している車両ログの容量が一定値以上である場合にも、ステップＳ１４０３の処理を実行してもよい。つまり、車両ログ削除部５４０は、第２時間が経過する、または、記憶している車両ログの容量が一定値以上である場合に、保存優先度が低いログ情報を削除してもよい。

　（Ｓ１４０５）車両ログ削除部５４０は、現在のログサイズが許容量以下であるか否かを判断する。車両ログ削除部５４０は、現在のログのデータサイズが予め定められた許容量以下である場合（Ｓ１４０５でＹｅｓ）、終了し、許容量を越えている場合（Ｓ１４０５でＮｏ）、ステップＳ１４０６を実施する。

　（Ｓ１４０６）車両ログ削除部５４０は、車両ログ保存優先度設定を参照し、車両ログ記憶部５３０に記憶されている車両ログのうち、保存優先度が中のログＩＤと対応する車両ログを時刻の古い順に削除し、処理を終了する。

　このように、車両ログ削除部５４０は、保存優先度が「低」のログ情報を削除した後の車両ログの容量が一定値以上である場合、さらに保存優先度が「低」より高いログ情報（例えば、保存優先度が「高」のログ情報）を時刻の古い順に削除してもよい。

　上記のように、車両ログ削除部５４０は、車両ログ保存優先度変更指示部４５０の変更指示に伴い、変更後の保存優先度に基づいて車両ログ（ログ情報）を削除する。これにより、異常検出装置４００は、車両１０ａに豊富なログ保存資源を用意しなくとも、異常を検出したときの車両状態に応じて、優先的に保存するログを切り替えることで、車両ログの保存データ量が上限を越える場合であっても、車両ログ収集サーバ２０での異常の原因を解析する際に必要なログを蓄積することができる。

　［車両ログ削除処理のフローチャート］
　図１５は、本実施の形態における車両ログ削除処理のフローチャートである。図１５は、車両ログ要否判断部２４０の車両ログ要否判定処理のフローチャートを示す。

　（Ｓ１５０１）異常ログ受信部２２０は、車両ログ収集サーバ２０から異常ログを受信し、ステップＳ１５０２を実施する。

　（Ｓ１５０２）車両ログ要否判断部２４０は、同一の異常ログを過去に受信したか否かを判定する。異常ログ記憶部２３０に、同一の異常ログがすでに記憶されている場合（Ｓ１５０２でＹｅｓ）、ステップＳ１５０３を実施し、記憶されていない場合（Ｓ１５０２でＮｏ）、ステップＳ１５０４を実施する。ここで、同一の異常ログを１回でも受信していた場合に、車両ログが必要と判断しているが、予め定められた一定回数以上、異常ログを受信した場合に車両ログが必要と判断してもよいし、予め定められた一定期間の間に発生した回数に基づいて車両ログが必要と判断してもよい。

　（Ｓ１５０３）車両ログ要否判断部２４０は、車両ログが必要であると判断し、処理を終了する。

　（Ｓ１５０４）車両ログ要否判断部２４０は、車両ログは不要であると判断し、処理を終了する。

　（他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。

　（１）上記実施の形態では、自動車に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。また、工場やビルなどの産業制御システムで利用される通信ネットワーク、組込みデバイスを制御するための通信ネットワーク、又は、家庭内の機器を接続したホームネットワークに適用してもよい。

　（２）上記実施の形態では、異常検出装置４００が外部ネットワークを介して、車両ログ収集サーバ２０と接続されるとして説明したが、セントラルＥＣＵ３００が車両ログ収集サーバ２０と接続されて、異常検出装置４００と車両ログ収集サーバ２０との通信を仲介してもよい。

　（３）上記実施の形態では、異常検出装置４００が保持する関連車両ログリストは事前に記憶されているとして説明したが、車両ログ収集サーバ２０からの要求に応じて変更してもよい。

　（４）上記実施の形態では、ＥＣＵ群５００ａが車両ログの時刻を保持し、車両ログ削除部５４０が一定期間またはログサイズが一定容量の場合に、保存優先度を低く変更するとして説明したが、異常検出部４２０が異常検出時刻を保持し、異常検出時刻から一定期間過ぎた車両ログの保存優先度を低くするように指示してもよい。

　（５）上記実施の形態では、ＥＣＵ群５００ａの車両ログ削除部５４０が一定期間またはログサイズが一定容量の場合に、保存優先度を低く変更するとして説明したが、異常検出装置４００へ送信したのち、送信した車両ログを削除してもよい。

　（６）上記実施の形態では、車両ログ保存優先度は、「高」、「中」、「低」の段階で説明したが、保存優先度の高さを表す数値でもよい。

　（７）上記実施の形態では、車両状態についていくつか例を挙げて説明したが、車両の運転状況または走行状況のような個者の状況だけでなく、渋滞情報または天候情報など車両１０ａ外の状況を用いてもよい。

　（８）上記実施の形態では、車両ログ収集サーバ２０の車両ログ要否判断部２４０は、過去に同一の異常ログを受信したことがあるかを基準に、車両ログが必要であるかを判断するとして説明したが、これに限らない。車両ログ要否判断部２４０は、例えば、一定回数以上の同一の異常ログを受信した場合、一定車両数から同一の異常ログを受信した場合、車両制御に関わる重要なモジュールの異常ログを受信した場合などに車両ログが必要であると判断してもよい。

　（９）上記実施の形態における各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部または全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（１０）上記各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしても良い。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（１１）本開示の一態様としては、上記の車両ログ送信方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラムまたはデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ―ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、または、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１２）上記実施の形態では、車両ログ送信装置１０は車両１０ａに搭載される例について説明したが、これに限定されない。車両ログ送信装置１０は、車載ネットワークおよび車両ログ収集サーバ２０のそれぞれと通信可能に接続されていれば、車両１０ａに搭載されることに限定されない。

　（１３）上記実施の形態における異常検出装置４００（車両ログ送信装置１０）は、複数の装置により実現されてもよい。この場合、異常検出装置４００の各構成要素は、複数の装置にどのように振り分けられてもよい。また、複数の装置間の通信方法は、とくに限定されない。

　（１４）上記実施の形態における図９では、車両状態の項目ごとに、関連通信ＩＤおよび関連プロセスＩＤが設定されている例について説明したが、関連通信ＩＤおよび関連プロセスＩＤの少なくとも１つが設定されていればよい。

　（１５）上記実施の形態における図９では、保存優先度として、変更後の保存優先度が示されたが、これに限定されない。図９における保存優先度は、現在の保存優先度からの変更度合いを示す情報であってもよい。図９における保存優先度は、例えば、異常検知時の車両状態が自動運転である場合、現在の保存優先度から保存優先度を１段階上げること、および、異常検知時の車両状態が手動運転である場合、現在の保存優先度から保存優先度を１段階下げることを示す情報が対応付けられていてもよい。

　（１６）上記実施の形態では、自動車を対象としたサイバーフィジカルシステムのセキュリティ対策として説明したが、セキュリティ機能の各処理の判断結果及び出力結果の少なくとも１つを、サイバーフィジカルシステムにおける攻撃の可視化のためのユーザインタフェース（ＵＩ）として表示しても良い。

　（１７）上記実施の形態および上記変形例で示した各構成要素および機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示の一態様に係る車両ログ送信装置等によれば、ログ情報を保存する車両等のモビリティに有効である。

　１　車両ログ収集システム
　１０　車両ログ送信装置
　１０ａ　車両
　２０　車両ログ収集サーバ
　２１０　外部ネットワーク通信部
　２２０　異常ログ受信部
　２３０　異常ログ記憶部
　２４０　車両ログ要否判断部
　２５０　車両ログ要求部
　２６０　車両ログ記憶部
　２７０　ログ提供部
　３００　セントラルＥＣＵ
　４００　異常検出装置
　４１０　内部ネットワーク通信部
　４２０　異常検出部
　４３０　異常ログ記憶部
　４４０　車両状態抽出部
　４５０　車両ログ保存優先度変更指示部（変更指示部）
　４６０　関連車両ログリスト記憶部
　４７０　異常ログ通知部（異常通知部）
　４８０　車両ログ要求応答部
　４９０　外部ネットワーク通信部
　５００ａ～５００ｄ　ＺｏｎｅＥＣＵ
　５１０　内部ネットワーク通信部
　５２０　車両ログ優先度設定部
　５３０　車両ログ記憶部
　５４０　車両ログ削除部
　５５０　車両ログ要求応答部
　５６０　ＥＣＵ通信部
　６００ａ　カーナビＥＣＵ
　６００ｂ　ブレーキＥＣＵ
　６００ｃ　ステアリングＥＣＵ
　６００ｄ　ボディＥＣＵ

Claims

　車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信装置であって、
　前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、
　前記異常ログを前記車両ログ収集サーバへ送信する異常通知部と、
　前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、
　前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する車両ログ要求応答部と、を備える、
　車両ログ送信装置。
　前記異常検出部は、さらに、異常を検出したときの異常検出時刻を記憶し、
　前記変更指示部は、さらに、前記異常検出時刻に基づいて、前記１以上の電子制御装置に前記保存優先度の変更指示を送信する、
　請求項１に記載の車両ログ送信装置。
　前記変更指示部は、前記異常検出時刻から第１時間経過した場合に、前記１以上の電子制御装置に前記保存優先度の変更指示を送信する、
　請求項２に記載の車両ログ送信装置。
　前記変更指示部は、前記車両の車載ネットワークにおける車載メッセージに含まれる通信ＩＤ、および、前記１以上の電子制御装置上で実行されるオペレーティングシステムまたはアプリケーションのプロセスＩＤと、前記車両状態とに基づいて、変更後の前記保存優先度を設定する、
　請求項２または３に記載の車両ログ送信装置。
　前記車両状態は、前記車両における複数の状態を含み、
　前記変更指示部は、前記複数の状態ごとに、当該車両状態に関連する前記通信ＩＤと対応するログ情報および当該車両状態に関連する前記プロセスＩＤと対応するログ情報を優先的に残すかどうかを示す度合いに基づいて、変更後の前記保存優先度を設定する、
　請求項４に記載の車両ログ送信装置。
　前記変更指示部は、自動運転中であるか手動運転中であるかを示す走行モード、前記車両が走行中であるか停止中であるかを示す走行状況、インターネット接続中であるかインターネット非接続中であるかを示すインターネット接続状況、自動駐車機能がＯＮであるかＯＦＦであるかを示す第１車両制御機能状況、クルーズコントロール機能がＯＮであるかＯＦＦであるかを示す第２車両制御機能状況、緊急ブレーキがＯＮであるかＯＦＦであるかを示す第３車両制御機能状況のうち少なくとも１つを含む状態を前記車両状態として用いる、
　請求項２から５のいずれか１項に記載の車両ログ送信装置。
　前記変更指示部は、走行モードが自動運転モードである場合に自動運転に関連する機能に対する前記保存優先度を第１の優先度より高い第２の優先度に変更し、前記走行モードが手動運転モードである場合に前記自動運転に関連する機能に対する前記保存優先度を前記第１の優先度より低い第３の優先度に変更し、前記車両が走行中である場合にドアロック機能を含む車体制御機能に関連する機能に対する前記保存優先度を第４の優先度より低い第５の優先度に変更し、前記車両が停止中である場合に前記車体制御機能に関連する機能に対する前記保存優先度を前記第４の優先度より高い第６の優先度に変更し、インターネットが接続中の場合にインターネット接続を利用する機能に対する前記保存優先度を第７の優先度より高い第８の優先度に変更し、前記インターネットが非接続中の場合に前記インターネット接続を利用する機能に対する前記保存優先度を前記第７の優先度より低い第８の優先度に変更し、自動駐車機能がＯＮの場合に前記自動駐車機能に関連する第１車両制御機能に対する前記保存優先度を第９の優先度より高い第１０の優先度に変更し、前記自動駐車機能がＯＦＦの場合に前記自動駐車機能に関連する前記第１車両制御機能に対する前記保存優先度を前記第９の優先度より低い第１１の優先度に変更し、クルーズコントロール機能がＯＮの場合に前記クルーズコントロール機能に関連する第２車両制御機能に対する前記保存優先度を第１２の優先度より高い第１３の優先度に変更し、前記クルーズコントロール機能がＯＦＦの場合に前記クルーズコントロール機能に関連する前記第２車両制御機能に対する前記保存優先度を前記第１２の優先度より低い第１４の優先度に変更し、緊急ブレーキ機能がＯＮの場合に前記緊急ブレーキ機能に関連する第３車両制御機能に対する前記保存優先度を第１５の優先度より高い第１６の優先度に変更し、前記緊急ブレーキ機能がＯＦＦの場合に前記緊急ブレーキ機能に関連する前記第３車両制御機能に対する前記保存優先度を前記第１５の優先度より低い第１８の優先度に変更する、のうち少なくとも１つの変更を、前記１以上の電子制御装置に指示する、
　請求項６に記載の車両ログ送信装置。
　前記異常通知部は、さらに、前記異常ログと１対１で対応する異常ログの識別子を生成し、前記異常検出時刻と前記異常ログの識別子とを前記車両ログ収集サーバへ送信し、
　前記車両ログ要求応答部は、前記車両ログ収集サーバから前記異常ログの識別子を受信し、前記１以上の電子制御装置から前記異常ログの識別子と対応する前記異常検出時刻の前後一定期間のログ情報を収集し、収集した前記ログ情報を含む前記車両ログを前記車両ログ収集サーバへ送信する、
　請求項２から７のいずれか１項に記載の車両ログ送信装置。
　請求項１から８のいずれか１項に記載の車両ログ送信装置と、
　前記車両に搭載される１以上の電子制御装置と、
　車両ログ収集サーバと、を備え、
　前記１以上の電子制御装置はそれぞれ、
　前記車両ログ送信装置から受信した前記車両ログの前記保存優先度の変更指示に従って、前記車両ログの保存優先度を変更する車両ログ優先度設定部と、
　前記車両ログの保存優先度に応じて、前記車両ログに含まれる１以上のログ情報から前記保存優先度に応じたログ情報を削除する車両ログ削除部と、
　前記車両ログ送信装置から受信した前記車両ログ要求に応じて、当該電子制御装置が記憶する前記車両ログを前記車両ログ送信装置へ送信する車両ログ要求応答部と、を有し、
　前記車両ログ収集サーバは、
　前記車両ログ送信装置から前記異常ログを受信する異常ログ受信部と、
　前記車両ログ送信装置へ前記車両ログ要求を送信する車両ログ要求部と、
　前記車両ログ送信装置から前記車両ログ要求に基づく前記車両ログを受信する車両ログ受信部と、を有する、
　車両ログ収集システム。
　前記車両ログ削除部は、第２時間が経過する、または、記憶している前記車両ログの容量が一定値以上である場合に、前記保存優先度が低いログ情報を削除する、
　請求項９に記載の車両ログ収集システム。
　前記車両ログ削除部は、前記保存優先度が低いログ情報を削除した後の前記車両ログの容量が前記一定値以上である場合に、さらに前記保存優先度が高いログ情報を時刻の古い順に削除する、
　請求項１０に記載の車両ログ収集システム。
　前記車両ログ削除部は、前記車両ログ要求応答部が、前記車両ログ送信装置に前記車両ログを送信した後、送信した前記車両ログを削除する、
　請求項９から１１のいずれか１項に記載の車両ログ収集システム。
　前記車両ログ収集サーバは、さらに、前記異常ログに基づいて、前記車両ログ要求が必要であるか否かを判断する車両ログ要求判断部を備える、
　請求項９から１２のいずれか１項に記載の車両ログ収集システム。
　前記車両ログ要求判断部は、前記異常ログの受信回数に基づいて、前記車両ログ要求が必要であるか否かを判断する、
　請求項１３に記載の車両ログ収集システム。
　車両に搭載される１以上の電子制御装置に保存される、前記車両に関する１以上のログ情報を含む車両ログを、車両ログ収集サーバに送信する車両ログ送信方法であって、
　前記１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出ステップと、
　前記異常ログを前記車両ログ収集サーバへ送信する第１送信ステップと、
　前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する第２送信ステップと、
　前記車両ログ収集サーバから前記車両ログの送信を要求する車両ログ要求を受信すると、前記１以上の電子制御装置から前記変更指示によって変更された前記保存優先度に基づいて保存されたログ情報を含む前記車両ログを取得し、取得した前記車両ログを前記車両ログ収集サーバへ送信する第３送信ステップとを含む、
　車両ログ送信方法。
　車両に関する１以上のログ情報を含む車両ログを保存し前記車両に搭載される１以上の電子制御装置から前記車両ログを取得し、取得した前記車両ログに含まれる前記１以上のログ情報に基づいて異常を検出し、前記異常が検出されたログ情報を異常ログとして抽出する異常検出部と、
　前記異常ログを車両ログ収集サーバへ送信する異常通知部と、
　前記車両ログから抽出される車両状態に基づいて、前記車両ログに含まれる前記１以上のログ情報における、当該ログ情報を残す優先度を示す保存優先度の変更指示を前記１以上の電子制御装置に送信する変更指示部と、を備える、
　保存優先度変更装置。