WO2022091778A1

WO2022091778A1 - 管理装置、管理方法及びプログラム

Info

Publication number: WO2022091778A1
Application number: PCT/JP2021/037827
Authority: WO
Inventors: 稔久中野; 唯之鳥崎; 潤安齋
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2020-10-27
Filing date: 2021-10-13
Publication date: 2022-05-05
Also published as: US20230262505A1; DE112021005689T5; JP7466819B2; JPWO2022091778A1

Abstract

管理装置（２４０）は、処理器の動作におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得する取得部（２４１）と、前記取得部により取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行う検証部（２４２）と、前記検証部による検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う制御部（２４３）と、を備える。

Description

管理装置、管理方法及びプログラム

　本開示は、管理装置、管理方法及びプログラムに関する。

　特許文献１では、複数の車両から通信トラフィックデータを、通信ネットワークを介して受信することで、複数の車両における通信トラフィックデータを集約し、車両へのサイバー攻撃に対する高次の情報の取得を実現する技術が開示されている。

特開２０１５－１３６１０７号公報

　本開示は、処理器の動作におけるログから得られる分析用ログを適切に管理することができる管理装置などを提供する。

　本開示における管理装置は、処理器の動作又は通信におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得する取得部と、前記取得部により取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行う検証部と、前記検証部による検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う制御部と、を備える。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示における管理装置などは、処理器の動作におけるログから得られる分析用ログを適切に管理することができる。

図１は、実施の形態に係る車両における分析用ログをサーバに集約する管理システムの概略図である。図２は、車両の機能の概要を説明するための概略図である。図３は、実施の形態に係るサーバのハードウェア構成の一例を示すブロック図である。図４は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。図５は、実施の形態に係る管理システムにおける車両の機能構成の一例を示すブロック図である。図６は、処理器が異常を検知したときに生成されたログの区別の仕方について説明するための図である。図７は、送信制御のパターン１について説明するための図である。図８は、送信制御のパターン２について説明するための図である。図９は、送信制御のパターン３について説明するための図である。図１０は、実施の形態に係る管理装置における分析用ログを記憶する処理の一例を示すフローチャートである。図１１は、実施の形態に係る管理装置における分析用ログの送信制御の一例を示すフローチャートである。図１２は、変形例の（３）に係る管理装置の機能構成の一例を示すブロック図である。

　（本発明の基礎となった知見）
　本発明者は、「背景技術」の欄において記載した従来技術に関し、以下の問題が生じることを見出した。

　特許文献１に記載の技術では、通信トラフィックデータが正当であるか否かの検証が為されていないため、不当な通信トラフィックデータであっても一時的に記憶したり、外部のサーバへ送信したりするおそれがある。このように、従来技術では、通信トラフィックデータのような、処理器の動作によって発生する情報（ログ）に基づく分析用ログを適切に管理することができないため、分析用ログを記憶するための記憶容量が増大したり、適切でない分析用ログを集約したりしてしまうという課題がある。

　このような課題を解決するために、発明者らは、分析用ログを適切に管理することができる管理装置及び管理方法を見出すに至った。

　本開示の一態様に係る管理装置は、処理器の動作又は通信におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得する取得部と、前記取得部により取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行う検証部と、前記検証部による検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う制御部と、を備える。

　これによれば、検証データに基づいてログが正当であるか否かに応じて、ログの記憶装置への記憶を制御するため、分析用ログを適切に管理することができる。

　また、前記制御部は、前記検証の結果、前記ログが正当な情報である場合、当該ログを前記分析用ログとして前記記憶装置に記憶してもよい。

　このため、記憶装置の記憶容量を低減することができる。

　また、前記制御部は、前記検証の結果、前記ログが正当な情報でない場合、前記ログが正当な情報でないことを示す不当識別情報と共に前記ログを前記分析用ログとして前記記憶装置に記憶してもよい。

　このため、ログが不当である場合、当該ログを不当な分析用ログとして記憶装置に記憶することができる。

　また、前記制御部は、前記検証の結果、前記ログが正当な情報でない場合、前記処理器へ前記ログ及び前記検証データの再送要求を送信し、前記取得部は、前記再送要求に応じて前記処理器から再送されたログ及び検証データを取得し、前記検証部は、前記再送された検証データに基づいて前記検証を行い、前記制御部は、前記検証の結果、前記ログが正当な情報である場合、前記記憶装置に記憶されている不当な前記分析用ログを、再送されたログで更新してもよい。

　このため、ログが不当である場合に記憶装置に記憶した不当な分析用ログを、正当な分析用ログに置き換えることができる。

　また、前記制御部は、前記処理器により異常が検知されたログを第１分析用ログとして前記記憶装置に記憶し、前記第１分析用ログの前後のタイミングで前記処理器により生成されたログを第２分析用ログとして前記記憶装置に記憶してもよい。

　このため、異常を検知したときに生成された分析用ログと、異常を検知していないときに生成された分析用ログとを区別して記憶装置に記憶することができる。

　また、前記制御部は、前記分析用ログに対する前記検証の結果に応じて、当該分析用ログをサーバに送信する送信制御を行ってもよい。

　これによれば、検証の結果に応じて、分析用ログをサーバに送信するか否かを制御するため、分析用ログを適切に管理することができる。

　また、前記制御部は、前記送信制御において、前記検証の結果、前記分析用ログが正当な情報でない場合、前記分析用ログが正当な情報でないことを示す不当識別情報と共に前記分析用ログを前記サーバに送信してもよい。

　このため、サーバは、不当な分析用ログと、正当な分析用ログとを区別して記憶することができる。

　また、前記制御部は、前記送信制御において、前記処理器により異常が検知された第１分析用ログについて、前記第１分析用ログが前記取得部により取得された際に、前記サーバへ前記第１分析用ログを自発的に送信し、前記第１分析用ログの前後のタイミングで前記処理器により生成された第２分析用ログについて、前記サーバから分析用ログの送信要求を取得部が取得した場合、当該送信要求に応じて前記サーバへ前記第２分析用ログを送信してもよい。

　このため、管理装置は、異常が検知されたときに生成された第１分析用ログをただちにサーバへ送信することができる。

　また、さらに、前記検証部による検証の結果に応じて、前記処理器を含む移動体に対してサイバー攻撃が行われたか否かを判定する判定部を備えてもよい。

　これにより、移動体に対してサイバー攻撃が行われていると判定された場合、サイバー攻撃への対処を行うことができるため、移動体の運転制御がサイバー攻撃による影響を受けることを抑制でき、車両の安全性を向上させることができる。

　また、前記処理器は、車両が備えるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）であってもよい。

　また、本開示の一態様に係る管理方法は、処理器の動作又は通信におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得し、取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行い、前記検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う。

　また、本開示の一態様に係るプログラムは、上記の管理方法をコンピュータに実行させるためのプログラム。

　以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。

　なお、発明者（ら）は、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって請求の範囲に記載の主題を限定することを意図するものではない。

　（実施の形態）
　以下、図１～図１１を用いて、実施の形態を説明する。

　［構成］
　図１は、実施の形態に係る車両における分析用ログをサーバに集約する管理システムの概略図である。

　具体的には、図１に示すように、サーバ１００、車両２００、通信ネットワーク３００および移動体通信網の基地局３１０が示されている。管理システム１は、サーバ１００、車両２００及び通信ネットワーク３００を含む。

　サーバ１００は、通信ネットワーク３００を介して車両２００から分析用ログを取得し、取得した分析用ログを記憶する。サーバ１００は、分析用ログを用いて、車両２００に生じた異常に関する分析を行う。

　車両２００は、基地局３１０を介して移動体通信網に通信接続することが可能な移動体である。車両２００は、例えば、自動運転による運転制御、又は、先進運転支援システムによる運転制御を行うことが可能な移動体である。

　図１では、１台の車両２００が示されているが、サーバ１００は、通信ネットワーク３００を介して複数の車両２００から分析用ログを取得してもよい。サーバ１００は、車両２００毎に生じた異常に関する分析を行ってもよいし、車種毎、メーカー毎などのような車両の種類毎に生じた異常に関する分析を行ってもよい。

　次に、車両２００の機能の概要について説明する。図２は、車両の機能の概要を説明するための概略図である。

　図２に示すように、車両２００は、複数の異常検知機能を有する。車両２００は、例えば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）バスにおける通信トラフィックのログに関する異常を検知する異常検知機能、Ｅｔｈｅｒｎｅｔ（登録商標）バストラフィックにおける通信トラフィックのログに関する異常を検知する異常検知機能、及び、ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）の動作のログに関する異常を検知する異常検知機能を有していてもよい。異常検知機能は、車両２００が備える複数のＥＣＵの一部のＥＣＵにより実現される。

　また、車両２００は、ＥＣＵの動作により生成されたログを取得し、取得したログを管理するログ管理機能を有する。ログ管理機能は、具体的には、取得した複数のログから分析用ログを抽出して記憶装置へ記憶する記憶制御、または、当該分析用ログのサーバ１００への送信を制御することで、分析用ログを管理する機能である。ログ管理機能は、車両２００が備える複数のＥＣＵの一部のＥＣＵにより実現される。なお、異常検知機能を実現するＥＣＵと、ログ管理機能を実現するＥＣＵとは、同じＥＣＵで実現されてもよいし、異なるＥＣＵにより実現されてもよい。

　ＥＣＵは、その動作におけるログを逐次的に生成する。異常検知機能を実現するＥＣＵは、異常を検知した際に生成したログを、検証データと共に、ログ管理機能を実現するＥＣＵへ出力する。検証データは、ログが正当な情報であることを証明するための情報である。検証データは、例えば、異常検知機能を実現するＥＣＵによりログが送信されたことを証明するための電子署名である。

　次に、サーバ１００及び車両２００のハードウェア構成について順に説明する。

　図３は、実施の形態に係るサーバのハードウェア構成の一例を示すブロック図である。

　図３に示すように、サーバ１００は、ハードウェア構成として、ＣＰＵ１１（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）と、メインメモリ１２と、ストレージ１３と、通信ＩＦ（Ｉｎｔｅｒｆａｃｅ）１４とを備える。

　ＣＰＵ１１は、ストレージ１３等に記憶された制御プログラムを実行するプロセッサである。

　メインメモリ１２は、ＣＰＵ１１が制御プログラムを実行するときに使用するワークエリアとして用いられる揮発性の記憶領域である。

　ストレージ１３は、制御プログラム、分析用ログなどを保持する不揮発性の記憶領域である。

　通信ＩＦ１４は、通信ネットワーク３００を介して複数の車両２００と通信する通信インタフェースである。通信ＩＦ１４は、例えば、有線ＬＡＮインタフェースである。なお、通信ＩＦ１４は、無線ＬＡＮインタフェースであってもよい。また、通信ＩＦ１４は、ＬＡＮインタフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インタフェースであれば、どのような通信インタフェースであってもよい。

　図４は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。

　図４に示すように、車両２００は、ハードウェア構成として、複数のＥＣＵを備える。複数のＥＣＵは、ＥＣＵ＿Ａ２１と、ＥＣＵ＿Ｂ２２と、ＥＣＵ＿Ｃ２３と、ＥＣＵ＿Ｄ２４と、ＥＣＵ＿Ｅ２５と、ＥＣＵ＿Ｆ２６とを含む。図４には、複数のＥＣＵとして、６つのＥＣＵが図示されているが、その数は６つに限定されない。

　ＥＣＵ＿Ａ２１、ＥＣＵ＿Ｂ２２、ＥＣＵ＿Ｃ２３及びＥＣＵ＿Ｅ２５は、例えば、異常検知機能を有する処理器である。また、これらのＥＣＵのうちのＥＣＵ＿Ａ２１は、車両２００が通信ネットワーク３００との間で無線通信を行う通信ユニットであってもよい。ＥＣＵ＿Ａ２１は、移動体通信網の規格に対応したセルラモジュールを含む通信ユニットであってもよい。ＥＣＵ＿Ａ２１は、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）であってもよい。

　車両が備える複数のＥＣＵのうちの少なくとも１つのＥＣＵは、車両２００を自動運転するための制御コマンドを生成してもよい。具体的には、このＥＣＵは、車輪の操舵を行うステアリング、車輪を回転駆動させるエンジン、モータなどの動力源、車輪の制動するブレーキなどを制御する制御コマンドを生成する。つまり、制御コマンドは、進む（つまり、走行する）、曲がる、止まるの少なくとも１つを車両１に実行させる制御コマンドである。このＥＣＵは、生成した制御コマンドを他の複数のＥＣＵに送信する。

　車両２００が備える他の複数のＥＣＵは、車両２００が備えるエンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、エアコンなどの各種機器の制御を実行する制御回路である。例えば、複数のＥＣＵは、これらの各種機器のそれぞれに対応して設けられていてもよい。複数のＥＣＵの少なくとも一部は、図示しないが、プログラムを記憶する記憶部を備えていてもよい。記憶部は、例えば、不揮発性のメモリである。

　次に、管理システム１における車両２００の機能構成について図５を用いて説明する。

　図５は、実施の形態に係る管理システムにおける車両の機能構成の一例を示すブロック図である。

　車両２００は、複数の処理器２１０、２２０、２３０と、管理装置２４０と、を備える。

　複数の処理器２１０、２２０、２３０は、図２を用いて説明した異常検知機能を有する処理器である。処理器２１０は、異常検知部２１１を有する。異常検知部２１１は、例えば、ＣＡＮバスにおける通信トラフィックに関する異常を検知する。処理器２２０は、異常検知部２２１を有する。異常検知部２２１は、例えば、Ｅｔｈｅｒｎｅｔ（登録商標）バストラフィックにおける通信トラフィックに関する異常を検知する。処理器２３０は、異常検知部２３１を有する。異常検知部２３１は、ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）の動作に関する異常を検知する。各処理器２１０、２２０、２３０は、その異常検知部２１１、２２１、２３１により異常が検知されると、異常が検知された際に生成されたログを分析用ログとして管理装置２４０に出力する。各処理器２１０、２２０、２３０はまた、分析用ログと共に検証データを管理装置２４０に出力する。各処理器２１０、２２０、２３０は、例えば、対応する分析用ログのハッシュ値を、自身が保有する秘密鍵を用いて暗号化することで生成した電子署名を検証データとして生成してもよい。

　各処理器２１０、２２０、２３０は、ログを生成する際に、ログを生成した時刻と、生成した処理器を識別する識別子とをログに付与してもよいし、ログを一意に識別するための識別子をログに付与してもよい。これにより、ログは、時刻及び処理器を識別する識別子の組、又は、ログを一意に識別するための識別子によって、一意に特定されうる。

　複数の処理器２１０、２２０、２３０のそれぞれは、例えば、ＥＣＵ＿Ａ２１、ＥＣＵ＿Ｂ２２、ＥＣＵ＿Ｃ２３及びＥＣＵ＿Ｅ２５のいずれかにより実現される。また、複数の処理器２１０、２２０、２３０のそれぞれは、例えば、ＥＣＵ＿Ａ２１、ＥＣＵ＿Ｂ２２、ＥＣＵ＿Ｃ２３及びＥＣＵ＿Ｅ２５の２以上の組み合わせにより実現されてもよい。

　管理装置２４０は、図２を用いて説明した、ログ管理機能を実現するＥＣＵにより実現される装置である。管理装置２４０は、例えば、ＥＣＵ＿Ｄ２４により実現される。

　管理装置２４０は、取得部２４１と、検証部２４２と、制御部２４３と、記憶装置２４４とを備える。

　取得部２４１は、ログと、検証データとを各処理器２１０、２２０、２３０から取得する。なお、ログ及び検証データは、１対１の組であってもよいし、複数対１の組であってもよい。つまり、各処理器２１０、２２０、２３０は、１つのログと共に１つの検証データを管理装置２４０に出力してもよいし、複数のログと共に１つの検証データを管理装置２４０に出力してもよい。

　検証部２４２は、取得部２４１により取得された検証データに基づいて、ログが正当な情報であるか否かの検証を行う。検証部２４２は、例えば、検証データを、ログを出力した処理器の公開鍵を使用して復号し、ログを用いて生成したハッシュ値と、復号により得られたハッシュ値とを比較する。そして、検証部２４２は、２つのハッシュ値が一致していればログが正当な情報であると判定し、２つのハッシュ値が異なっていればログが不当な情報であると判定する。

　制御部２４３は、検証部２４２による検証の結果に応じて、ログの記憶装置２４４への記憶を制御する。具体的には、制御部２４３は、検証の結果、ログが正当な情報である場合、正当な情報と判定されたログを分析用ログとして記憶装置２４４に記憶する。また、制御部２４３は、検証の結果、ログが正当な情報でない場合、つまり、ログが不当な情報である場合、当該ログが正当な情報でないことを示す不当識別情報と共に、当該ログを分析用ログとして記憶装置２４４に記憶する。

　なお、制御部２４３は、検証の結果、ログが正当な情報である場合、上述したように識別情報を付加せずに正当と判定されたログを分析用ログとして記憶装置２４４に記憶してもよいし、正当な情報と判定されたログが正当な情報であることを示す正当識別情報と共に、当該ログを分析用ログとして記憶装置２４４に記憶してもよい。このように、正当な情報と判定されたログに正当識別情報を付加して記憶装置２４４に記憶し、不当な情報と判定されたログに不当識別情報を付加して記憶装置２４４に記憶する場合、正当識別情報及び不当識別情報は、ログが正当であるか否かを示す識別情報で示されてもよい。この場合、例えば識別情報は、０又は１で示されるフラグであり、０の場合にログが正当であることを示し、１の場合にログが不当であることを示してもよい。

　また、制御部２４３は、異常が検知された際にログが生成されたか否かに応じて、これらを区別して記憶装置２４４に記憶してもよい。これについて、図６を用いて説明する。

　図６は、処理器が異常を検知したときに生成されたログの区別の仕方について説明するための図である。図６は、処理器２１０はＥＣＵ＿Ａ２１で実現され、処理器２２０はＥＣＵ＿Ｃ２３で実現され、処理器２３０はＥＣＵ＿Ｅ２５で実現される例を示す。

　図６に示されるように、管理装置２４０の制御部２４３は、処理器２１０において異常が検知されたログＡ－２を第１分析用ログとして記憶装置２４４に記憶する。制御部２４３は、異常が検知された時刻ｔ１の前後のタイミングで生成されたログＡ－１及びログＡ－３を第２分析用ログとして記憶装置２４４に記憶する。第２分析用ログは、異常が検知されていないログである。第２分析用ログは、異常が検知されたログＡ－２に時間的に隣接しているログＡ－１及びログＡ－３だけでなく、異常が検知されたログＡ－２の異常が検知された時刻ｔ１を基準とした所定の期間において生成され、かつ、異常が検知されていないログであればよい。つまり、第２分析用ログは、所定の期間において生成されていれば、ログＡ－１よりも前のタイミングで生成されたログを含んでいてもよいし、ログＡ－３よりも後のタイミングで生成されたログを含んでいてもよい。所定の期間は、時刻ｔ１を中心とした期間であってもよい。

　なお、各処理器２１０、２２０、２３０は、逐次生成している複数のログのうち、異常が検知された際に生成されたログを第１分析用ログとして管理装置２４０に出力し、第１分析用ログの前後のタイミングで生成されたログを第２分析用ログとして管理装置２４０に出力してもよい。なお、各処理器２１０、２２０、２３０は、第１分析用ログとしてログを出力する場合、第１分析用ログであることを示す識別情報をログに付加してもよいし、第２分析用ログとしてログを出力する場合、第２分析用ログであることを示す識別情報をログに付加してもよい。

　また、各処理器２１０、２２０、２３０は、逐次生成している複数のログをそのまま管理装置２４０に出力してもよい。この場合、各処理器２１０、２２０、２３０は、異常が検知されたログを示す情報を管理装置２４０に出力する。これにより、管理装置２４０は、各処理器２１０、２２０、２３０から取得した複数のログから、第１分析用ログ及び第２分析用ログを抽出し、抽出した第１分析用ログ及び第２分析用ログを記憶装置２４４に記憶してもよい。ログは、第１分析用ログを示す識別情報が付加されて記憶装置２４４に記憶されることで第１分析用ログとして記憶されてもよい。同様に、ログは、第２分析用ログを示す識別情報が付加されて記憶装置２４４に記憶されることで第２分析用ログとして記憶されてもよい。また、記憶装置２４４で記憶される記憶領域を分けることで、第１分析用ログ及び第２分析用ログが区別されてもよい。つまり、ログは、記憶装置２４４の第１記憶領域に記憶されることで第１分析用ログとして記憶されてもよい。また、ログは、記憶装置２４４の第１記憶領域とは異なる第２記憶領域に記憶されることで第２分析用ログとして記憶されてもよい。

　また、各処理器２１０、２２０、２３０は、異常が検知された際に生成されたログのみを第１分析用ログとして管理装置２４０に出力してもよい。この場合、管理装置２４０は、第１分析用ログに基づいて第２分析用ログが生成された処理器及び期間を特定し、特定した処理器に特定した期間において生成したログの送信要求を出力してもよい。これにより、管理装置２４０は、各処理器２１０、２２０、２３０から第２分析用ログを取得することができる。

　また、管理装置２４０の制御部２４３は、処理器２３０において異常が検知されたログＥ－２を第１分析用ログとして記憶装置２４４に記憶する。制御部２４３は、異常が検知された時刻ｔ２の前後のタイミングで生成されたログＥ－１及びログＥ－３を第２分析用ログとして記憶装置２４４に記憶する。この処理は、処理器２１０において検知されたログに対する処理と同様である。

　また、管理装置２４０の制御部２４３は、処理器２２０において生成された複数のログのうち、処理器２１０で異常が検知された時刻ｔ１と、処理器２３０で異常が検知された時刻ｔ２との間の期間において生成されたログＣ－１及びログＣ－２を第２分析用ログとして記憶装置２４４に記憶する。これは、ＥＣＵ＿Ａ２１で取得された情報が、ＥＣＵ＿Ｃ２３を介してＥＣＵ＿Ｅ２５に流れるように、車両２００の複数のＥＣＵが構成されているからである。つまり、時刻ｔ１において処理器２１０（ＥＣＵ＿Ａ２１）で異常が検知され、その後の時刻ｔ２において処理器２３０（ＥＣＵ＿Ｅ２５）で異常が検知された場合、処理器２１０により検知された異常が原因で処理器２３０により異常が検知された可能性が高い。このため、処理器２１０から処理器２３０に情報が流れる経路上にある処理器２２０におけるログも、異常の検知されていないが異常による影響を受けている可能性が高い。このため、時刻ｔ１から時刻ｔ２までの間に処理器２２０で生成されたログＣ－１及びログＣ－２を第２分析用ログとして記憶装置２４４に記憶しておくことで、効果的な異常の分析が行われうる。

　このように、制御部２４３は、各処理器２１０、２２０、２３０で生成されたログから、異常が検知された第１分析用ログだけでなく、異常の影響を受けている可能性が高い第２分析用ログをサーバ１００に分析させるための分析用ログとして抽出する。このため、サーバ１００に異常の分析を効果的に行わせることができる。

　また、制御部２４３は、検証部２４２による検証の結果、ログが正当な情報でない場合、当該ログを出力した処理器へ、当該ログと同じログ及び検証データの再送要求を出力してもよい。この場合、再送要求に応じて処理器から再送されたログ及び検証データについて、取得部２４１、検証部２４２及び制御部２４３の処理が繰り返される。具体的には、取得部２４１は、再送要求に応じて処理器から再送されたログ及び検証データを取得する。検証部２４２は、再送された検証データに基づいて、ログが正当な情報であるか否かの検証を行う。制御部２４３は、検証の結果、ログが正当な情報である場合、記憶装置２４４に記憶されている分析用ログを、再送された分析用ログで更新する。この場合、制御部２４３は、記憶装置２４４に記憶されている分析用ログの不当識別情報も削除する。

　また、制御部２４３は、検証部２４２による検証結果に応じて、記憶装置２４４へ記憶させた複数の分析用ログをサーバ１００に送信する送信制御を行う。具体的には、制御部２４３は、以下の３つのパターンのいずれかで送信制御を行う。この送信制御について、図７～図９を用いて説明する。

　図７は、送信制御のパターン１について説明するための図である。図８は、送信制御のパターン２について説明するための図である。図９は、送信制御のパターン３について説明するための図である。

　まず、パターン１について、図７を用いて説明する。

　パターン１は、制御部２４３が第１分析用ログを自発的にサーバ１００へ送信し、第２分析用ログをサーバ１００からの送信要求に応じてサーバ１００へ送信する例である。

　制御部２４３は、第１分析用ログについては、以下のような送信制御を行う。制御部２４３は、第１分析用ログについて、第１分析用ログが取得部２４１により取得された際に、サーバ１００へ第１分析用ログを自発的に送信する。具体的には、制御部２４３は、第１分析用ログが処理器２１０から取得された場合において、第１分析用ログの検証が成功である場合、つまり、第１分析用ログが正当である場合、当該第１分析用ログを自発的にサーバ１００へ送信する。一方で、制御部２４３は、第１分析用ログが処理器２１０から取得された場合において、第１分析用ログの検証が失敗である場合、つまり、第１分析用ログが不当である場合、当該第１分析用ログをサーバ１００へ送信しない。

　また、制御部２４３は、第２分析用ログについては、サーバ１００からの送信要求を取得したときに、サーバ１００へ送信し、自発的な送信を行わない。制御部２４３は、第２分析用ログについて、サーバ１００から分析用ログの送信要求を取得部２４１が取得した場合、当該送信要求に応じてサーバ１００へ第２分析用ログを送信する。具体的には、制御部２４３は、サーバ１００から第２分析用ログの送信要求を取得部２４１が取得した場合、送信要求の対象となった第２分析用ログに対する検証の結果に応じて、当該第２分析用ログをサーバ１００に送信する。具体的には、制御部２４３は、この場合、検証の結果、第２分析用ログが正当な情報である場合、正当な情報と判定された第２分析用ログをサーバ１００へ送信する。例えば、制御部２４３は、検証の結果、第２分析用ログが正当な情報である場合、識別情報が付加されていない第２分析用ログをサーバ１００へ送信する。一方で、制御部２４３は、検証の結果、第２分析用ログが正当な情報でない場合、つまり、第２分析用ログが不当な情報である場合、当該第２分析用ログが正当な情報でないことを示す不当識別情報と共に、当該第２分析用ログをサーバ１００に送信する。言い換えると、制御部２４３は、不当識別情報が付加された第２分析用ログをサーバ１００に送信する。

　次に、パターン２について、図８を用いて説明する。

　パターン２は、制御部２４３が第１分析用ログ及び第２分析用ログを自発的にサーバ１００へ送信する例である。

　制御部２４３は、第１分析用ログについては、パターン１と同様の処理を行う。具体的な処理は、パターン１の第１分析用ログに対する処理と同様であるため、詳細な説明を省略する。

　また、制御部２４３は、第２分析用ログについても、第１分析用ログに対する処理と同様の処理を行う。具体的な処理は、パターン１の第１分析用ログを第２分析用ログと読み替えることで説明できるため、詳細な説明を省略する。

　次に、パターン３について、図９を用いて説明する。

　パターン３は、制御部２４３が第１分析用ログ及び第２分析用ログを、サーバ１００からの送信要求に応じてサーバ１００へ送信する例である。

　制御部２４３は、第１分析用ログについては、パターン１の第２分析用ログに対する処理と同様の処理を行う。具体的な処理は、パターン１の第２分析用ログに対する処理の説明において、第２分析用ログを第１分析用ログと読み替えることで説明できるため、詳細な説明を省略する。

　制御部２４３は、第２分析用ログについては、パターン１の第２分析用ログに対する処理と同様の処理を行う。具体的な処理は、パターン１の第２分析用ログに対する処理と同様であるため、詳細な説明を省略する。

　なお、制御部２４３は、送信対象の分析用ログが正当な情報である場合、上述したように識別情報を付加せずに正当と判定された分析用ログをサーバ１００へ送信してもよいし、正当な情報と判定された分析用ログが正当な情報であることを示す正当識別情報と共に、当該分析用ログをサーバ１００へ送信してもよい。このように、正当識別情報が付加された分析用ログをサーバ１００へ送信し、不当識別情報が付加された分析用ログをサーバ１００へ送信する場合、分析用ログに付加される正当識別情報及び不当識別情報は、分析用ログが正当であるか否かを示す識別情報で示されてもよい。この場合、例えば識別情報は、０又は１で示されるフラグであり、０の場合に分析用ログが正当であることを示し、１の場合に分析用ログが不当であることを示してもよい。

　記憶装置２４４は、第１分析用ログ及び第２分析用ログを記憶する。記憶装置２４４は、第１分析用ログ及び第２分析用ログを一時的に記憶してもよい。つまり、記憶装置２４４は、所定の記憶容量を超えた分の第１分析用ログ及び第２分析用ログを古い情報から順に削除してもよい。また、記憶装置２４４は、サーバ１００に送信された第１分析用ログ及び第２分析用ログを削除してもよい。なお、記憶装置２４４は、ＥＣＵ＿Ｄ２４が含む記憶部（不揮発性メモリ）で実現される。また、記憶装置２４４は、図４では図示していないストレージにより実現されてもよい。

　［動作］
　管理装置２４０について、その動作を以下に説明する。

　図１０は、実施の形態に係る管理装置における分析用ログを記憶する処理の一例を示すフローチャートである。

　まず、管理装置２４０は、各処理器２１０、２２０、２３０からログ及び検証データを取得する（Ｓ１１）。ステップＳ１１の処理は、取得部２４１により行われる。

　次に、管理装置２４０は、取得された検証データに基づいて、ログが正当な情報であるか否かの検証を行う（Ｓ１２）。ステップＳ１２の処理は、検証部２４２により行われる。

　次に、管理装置２４０は、ステップＳ１２における検証が成功したか否か、つまり、ログが正当な情報であるか否かを判定する（Ｓ１３）。

　次に、管理装置２４０は、検証が成功した場合（Ｓ１３でＹｅｓ）、検証が成功したログを分析用ログとして記憶装置２４４に記憶する（Ｓ１４）。なお、管理装置２４０は、既に記憶装置２４４に分析用ログと同じ分析用ログであり、不当と判定された分析用ログが一時的に記憶されている場合、正当な分析用ログで更新する。つまり、管理装置２４０は、不当な分析用ログを正当な分析用ログに置き換えて記憶する。

　一方で、管理装置２４０は、検証が失敗した場合（Ｓ１３でＮｏ）、検証が失敗したログと同じログが記憶装置２４４に記憶されているか否かを確認する（Ｓ１５）。なお、ログが同じであるか否かは、ログに付与されている識別子によって判定されてもよい。

　次に、管理装置２４０は、検証が失敗したログと同じログが記憶装置２４４に記憶されている場合（Ｓ１６でＹｅｓ）、検証が失敗したログを破棄する（Ｓ１７）。

　管理装置２４０は、検証が失敗したログと同じログが記憶装置２４４に記憶されていない場合（Ｓ１６でＮｏ）、検証が失敗したログを分析用ログとして記憶装置２４４に一時的に記憶する（Ｓ１８）。

　次に、管理装置２４０は、検証が失敗したログと同じログの再送要求を、当該ログを出力した処理器に出力する（Ｓ１９）。ステップＳ１３～Ｓ１９の処理は、制御部２４３により行われる。

　そして、管理装置２４０は、再送要求に応じて取得したログ及び検証データに対してステップＳ１１以降の処理を実行する。

　図１１は、実施の形態に係る管理装置における分析用ログの送信制御の一例を示すフローチャートである。

　まず、管理装置２４０は、サーバ１００から送信要求を取得する（Ｓ２１）。ステップＳ２１は、取得部２４１により行われる。

　次に、管理装置２４０は、送信要求の対象の分析用ログが記憶装置２４４に記憶されているか否かを確認する（Ｓ２２）。

　次に、管理装置２４０は、送信要求の対象の分析用ログが記憶装置２４４に記憶されている場合（Ｓ２３でＹｅｓ）、当該分析用ログの検証の成否、つまり、当該分析用ログが正当であるか不当であるかを確認する（Ｓ２４）。具体的には、管理装置２４０は、分析用ログが不当識別情報と共に記憶されている場合、不当な分析用ログと判定し、分析用ログが識別情報が付与されずに記憶されている、又は、正当識別情報と共に記憶されている場合、正当な分析用ログと判定する。

　次に、管理装置２４０は、分析用ログの検証の結果が成功である場合、つまり、分析用ログが正当な情報である場合（Ｓ２５でＹｅｓ）、当該分析用ログをサーバへ送信する（Ｓ２６）。

　一方で、管理装置２４０は、分析用ログの検証の結果が失敗である場合、つまり、分析用ログが不当な情報である場合（Ｓ２５でＮｏ）、検証に失敗した検証データ、及び、不当識別情報が付与された当該分析用データをサーバ１００へ送信する（Ｓ２７）。

　［効果など］
　本実施の形態に係る管理装置２４０は、取得部２４１と、検証部２４２と、制御部２４３とを備える。取得部２４１は、各処理器２１０、２２０、２３０の動作におけるログと、当該ログが正当な情報であることを証明するための検証データとを処理器から取得する。検証部２４２は、取得部２４１により取得された検証データに基づいて、ログが正当な情報であるか否かの検証を行う。制御部２４３は、検証部２４２による検証の結果に応じて、ログを、異常を分析するための分析用ログとして記憶装置２４４へ記憶する記憶制御を行う。

　これによれば、管理装置２４０は、検証データに基づいてログが正当であるか否かに応じて、ログの記憶装置２４４への記憶を制御するため、分析用ログを適切に管理することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、検証の結果、ログが正当な情報である場合、当該ログを分析用ログとして記憶装置２４４に記憶する。このため、記憶装置２４４の記憶容量を低減することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、検証の結果、ログが正当な情報でない場合、ログが正当な情報でないことを示す不当識別情報と共にログを分析用ログとして記憶装置２４４に記憶する。このため、ログが不当である場合、当該ログを不当な分析用ログとして記憶装置に記憶することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、検証の結果、ログが正当な情報でない場合、正当な情報でないログを出力した処理器へログ及び検証データの再送要求を送信する。取得部２４１は、再送要求に応じて上記処理器から再送されたログ及び検証データを取得する。検証部２４２は、再送された検証データに基づいて検証を行う。制御部２４３は、検証の結果、ログが正当な情報である場合、記憶装置２４４に記憶されている不当な分析用ログを、再送されたログで更新する。このため、ログが不当である場合に記憶装置２４４に記憶した不当な分析用ログを、正当な分析用ログに置き換えることができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、各処理器２１０、２２０、２３０により異常が検知されたログを第１分析用ログとして記憶装置２４４に記憶し、第１分析用ログの前後のタイミングで各処理器２１０、２２０、２３０により生成されたログを第２分析用ログとして記憶装置２４４に記憶する。このため、異常を検知したときに生成された分析用ログと、異常を検知していないときに生成された分析用ログとを区別して記憶装置２４４に記憶することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、分析用ログに対する検証の結果に応じて、当該分析用ログをサーバ１００に送信する送信制御を行う。これによれば、管理装置２４０は、検証の結果に応じて、分析用ログをサーバ１００に送信するか否かを制御するため、分析用ログを適切に管理することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、送信制御において、検証の結果、分析用ログが正当な情報でない場合、分析用ログが正当な情報でないことを示す不当識別情報と共に分析用ログをサーバ１００に送信する。このため、サーバ１００は、不当な分析用ログと、正当な分析用ログとを区別して記憶することができる。

　また、本実施の形態に係る管理装置２４０において、制御部２４３は、送信制御において、処理器により異常が検知された第１分析用ログについて、第１分析用ログが取得部２４１により取得された際に、サーバ１００へ第１分析用ログを自発的に送信する。また、制御部２４３は、送信制御において、第１分析用ログの前後のタイミングで処理器により生成された第２分析用ログについて、サーバ１００から分析用ログの送信要求を取得部２４１が取得した場合、当該送信要求に応じてサーバ１００へ第２分析用ログを送信する。このため、管理装置２４０は、異常が検知されたときに生成された第１分析用ログをただちにサーバ１００へ送信することができる。

　［変形例］
　（１）
　上記実施の形態における管理装置２４０は、自発的に第１分析用ログ又は第２分析用ログをサーバ１００へ送信する場合、検証が失敗した不当な分析用ログを送信しないこととしたが、これに限らずに、不当な分析用ログであることを示す不当識別情報と共に不当な分析用ログをサーバ１００へ送信してもよい。

　（２）
　上記実施の形態における管理装置２４０は、既に記憶装置２４４に分析用ログと同じ分析用ログであり、不当と判定された分析用ログが一時的に記憶されている場合、正当な分析用ログで更新するとしたが、これに限らずに、古い分析用ログと、再送要求により新たに取得した分析用ログとの両方を記憶装置２４４に記憶してもよい。また、再送要求を２回以上繰り返した場合、管理装置２４０は、一の分析用ログと、当該一の分析用ログと同じ分析用ログであって再送要求により取得した複数の分析用ログとを記憶装置２４４に記憶してもよい。

　（３）
　変形例の（３）の管理装置２４０Ａについて、図１２を用いて説明する。図１２は、変形例の（３）に係る管理装置の機能構成の一例を示すブロック図である。

　管理装置２４０Ａは、実施の形態における管理装置２４０と比較して、さらに、車両２００に対してサイバー攻撃が行われているか否かの判定を行う判定部２４５を備える点で異なる。他の構成要素は、実施の形態における管理装置２４０の構成要素と同じであるので説明を省略する。

　具体的には、判定部２４５は、第１分析用ログに対する検証データの検証処理が１回以上失敗した場合、つまり、第１分析用ログが不当な情報である場合、車両２００に対してサイバー攻撃が行われたと判定してもよい。この場合、判定部２４５は、不当な第１分析用ログを生成した処理器に対するサイバー攻撃が行われたと判定してもよい。

　また、判定部２４５は、異なる複数の処理器２１０、２２０、２３０から受信した複数の第２分析用ログに対する検証データの検証処理で、複数の検証データに対してその検証が失敗した場合、つまり、第２分析用ログが不当な情報である場合、車両２００に対してサイバー攻撃が行われていると判定してもよい。複数の第２分析用ログは、所定期間において生成されたログである。つまり、複数の第２分析用ログが生成された複数のタイミングにおいて、最も古いタイミングから最も新しいタイミングまでの間の期間が所定期間である。

　なお、車両２００は、移動体の一例である。

　管理装置２４０Ａの制御部２４３は、車両２００に対してサイバー攻撃が行われていると判定部２４５が判定した場合、車両２００が自動運転制御を行っていれば、自動運転制御を中止して、手動運転制御に切り替えることで電子制御を機械制御に切り替えてもよい。これにより、自動運転制御がサイバー攻撃による影響を受けることを抑制できるため、事故が発生することを回避することができる。

　また、制御部２４３は、車両２００に対してサイバー攻撃が行われていると判定部２４５が判定した場合、車両２００に対してサイバー攻撃が行われていることをドライバへ通知してもよい。ドライバへの通知は、車両２００が備える表示部（図示せず）に通知を表示させたり、車両２００が備えるスピーカ（図示せず）に通知の音声を出力させたりすることで為されてもよい。また、通知は、例えば、安全な場所に一時停止させることを促すメッセージであってもよい。これにより、ドライバは、例えば、車両２００を自動運転制御から手動運転制御に切り替えたり、安全な場所に車両２００を一時停止させたりすることができ、事故が発生することを回避することができる。

　（４）
　上記実施の形態又は変形例では、管理装置２４０、２４０Ａが、車両２００に搭載され、車両２００の制御のための通信を行う車載ネットワークシステムに含まれる例を示したが、車両２００以外の移動体の制御対象の制御のためのネットワークシステムに含まれるものであってもよい。移動体は、例えば、ロボット、航空機、船舶、機械、農作業機器、ドローン等である。

　以上のように、本開示における技術の例示として、実施の形態を説明した。そのために、添付図面および詳細な説明を提供した。

　したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。

　また、上述の実施の形態は、本開示における技術を例示するためのものであるから、請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　本開示は、分析用ログを適切に管理することができる管理装置、管理方法及びプログラム等に適用可能である。

　　１　　管理システム
　１１　　ＣＰＵ
　１２　　メインメモリ
　１３　　ストレージ
　１４　　通信ＩＦ（Ｉｎｔｅｒｆａｃｅ）
　２１　　ＥＣＵ＿Ａ
　２２　　ＥＣＵ＿Ｂ
　２３　　ＥＣＵ＿Ｃ
　２４　　ＥＣＵ＿Ｄ
　２５　　ＥＣＵ＿Ｅ
　２６　　ＥＣＵ＿Ｆ
１００　　サーバ
２００　　車両
２１０、２２０、２３０　　処理器
２１１、２２１、２３１　　異常検知部
２４０　　管理装置
２４１　　取得部
２４２　　検証部
２４３　　制御部
２４４　　記憶装置
３００　　通信ネットワーク
３１０　　基地局

Claims

　処理器の動作又は通信におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得する取得部と、
　前記取得部により取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行う検証部と、
　前記検証部による検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う制御部と、を備える
　管理装置。
　前記制御部は、前記検証の結果、前記ログが正当な情報である場合、当該ログを前記分析用ログとして前記記憶装置に記憶する
　請求項１に記載の管理装置。
　前記制御部は、前記検証の結果、前記ログが正当な情報でない場合、前記ログが正当な情報でないことを示す不当識別情報と共に前記ログを前記分析用ログとして前記記憶装置に記憶する
　請求項１または２に記載の管理装置。
　前記制御部は、前記検証の結果、前記ログが正当な情報でない場合、前記処理器へ前記ログ及び前記検証データの再送要求を送信し、
　前記取得部は、前記再送要求に応じて前記処理器から再送されたログ及び検証データを取得し、
　前記検証部は、前記再送された検証データに基づいて前記検証を行い、
　前記制御部は、前記検証の結果、前記ログが正当な情報である場合、前記記憶装置に記憶されている不当な前記分析用ログを、再送されたログで更新する
　請求項３に記載の管理装置。
　前記制御部は、前記処理器により異常が検知されたログを第１分析用ログとして前記記憶装置に記憶し、前記第１分析用ログの前後のタイミングで前記処理器により生成されたログを第２分析用ログとして前記記憶装置に記憶する
　請求項１から４のいずれか１項に記載の管理装置。
　前記制御部は、前記分析用ログに対する前記検証の結果に応じて、当該分析用ログをサーバに送信する送信制御を行う
　請求項１から５のいずれか１項に記載の管理装置。
　前記制御部は、前記送信制御において、前記検証の結果、前記分析用ログが正当な情報でない場合、前記分析用ログが正当な情報でないことを示す不当識別情報と共に前記分析用ログを前記サーバに送信する
　請求項６に記載の管理装置。
　前記制御部は、前記送信制御において、
　前記処理器により異常が検知された第１分析用ログについて、前記第１分析用ログが前記取得部により取得された際に、前記サーバへ前記第１分析用ログを自発的に送信し、
　前記第１分析用ログの前後のタイミングで前記処理器により生成された第２分析用ログについて、前記サーバから分析用ログの送信要求を取得部が取得した場合、当該送信要求に応じて前記サーバへ前記第２分析用ログを送信する
　請求項６または７に記載の管理装置。
　さらに、
　前記検証部による検証の結果に応じて、前記処理器を含む移動体に対してサイバー攻撃が行われたか否かを判定する判定部を備える
　請求項１から８のいずれか１項に記載の管理装置。
　前記処理器は、車両が備えるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）である
　請求項１から９のいずれか１項に記載の管理装置。
　処理器の動作又は通信におけるログと、前記ログが正当な情報であることを証明するための検証データとを前記処理器から取得し、
　取得された前記検証データに基づいて、前記ログが正当な情報であるか否かの検証を行い、
　前記検証の結果に応じて、前記ログを、異常を分析するための分析用ログとして記憶装置へ記憶する記憶制御を行う
　管理方法。
　請求項１１に記載の管理方法をコンピュータに実行させるためのプログラム。