WO2022224582A1

WO2022224582A1 - 情報処理装置、情報処理方法、プログラムおよび記憶媒体

Info

Publication number: WO2022224582A1
Application number: PCT/JP2022/007396
Authority: WO
Inventors: 恒太井手口; 隆山口
Original assignee: 日立Astemo株式会社
Priority date: 2021-04-23
Filing date: 2022-02-22
Publication date: 2022-10-27
Also published as: CN117083598A; EP4328753A1; JP2022167451A; US20240152441A1

Abstract

アラートに関する情報を複数のシステム間で効率的に共有できる情報処理装置を提供する。　情報処理装置は、収集された機器のログデータにログＩＤを付与する、ＩＤ付与コンピュータと、前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログＩＤおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、を備え、前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログＩＤに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。

Description

情報処理装置、情報処理方法、プログラムおよび記憶媒体

　本発明は、情報処理装置、情報処理方法、プログラムおよび記憶媒体に関わり、たとえば、サーバシステムにおけるデータの分析、および、共有に関わる。

　あらゆるモノがインターネットに繋がるＩｏＴ化が進む中、ＩｏＴ機器のセキュリティを担保することが重要な社会課題の一つとなっている。特にＩｏＴ機器がコネクテッドカーや自動運転車などの自動車である場合、自動車がセキュリティ上の攻撃を受けることで、人の安全性を脅かす場合があり、そのような安全性上の被害を最小限に抑える技術が求められている。

　自動車へのサイバー攻撃の被害を最小限に抑える対策として、サーバで自動車から送信されるログを監視し、自動車へのサイバー攻撃を検知し、攻撃に対処する自動車向けのセキュリティオペレーションセンタがある。

　従来、セキュリティオペレーションセンタは企業などのＩＴシステムに対するサイバー攻撃への対策として、導入されてきた。この従来型のセキュリティオペレーションセンタとは異なり、コネクテッドカーや自動運転車、また、これらの自動車がつながるサーバシステムやモバイル端末などから構成されるシステムを監視対象としたセキュリティオペレーションセンタが、自動車向けセキュリティオペレーションセンタである。Vehicle Security Operation Center（VSOC）と呼ばれる場合もある。

　特許文献１では、セキュリティオペレーションセンタの監視システムで発生するアラートに、アラートの評価結果に基づき分類情報を付加することにより、アラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようにする、システムが開示されている。

　セキュリティオペレーションセンタでは、様々なセキュリティイベントやログを統合して分析するシステムの例として、セキュリティ情報・イベント管理（ＳＩＥＭ）システムが利用される。従来のＩＴシステム向けセキュリティオペレーションセンタに対しては、すでに実績のあるＳＩＥＭ製品が多く存在しているが、自動車向けセキュリティオペレーションセンタに対しては、実績のあるＳＩＥＭ製品が少ない。このため、自動車向けセキュリティオペレーションセンタでは、実績はないが自動車向けに作られた検知ルールなどを保有するＳＩＥＭと、ＩＴシステム向けの実績があるＳＩＥＭとを組み合わせて利用する場合がある。

国際公開第２０２０／２５５５１２号パンフレット

　しかしながら、従来の技術では、アラートに関する情報を複数のＳＩＥＭシステム間で効率的に共有することが困難であるという課題があった。

　複数のＳＩＥＭシステムを組み合わせてセキュリティオペレーションセンタを構築する場合、一つのＳＩＥＭシステムが発出したアラートを、他のＳＩＥＭシステムに共有する方法が必要となる。しかしながら、ＳＩＥＭシステム毎に、監視対象のログとその分析方法、分析結果の保有の仕方は異なるため、複数のＳＩＥＭシステム間でアラート情報だけを共有しても、アラートを受け取ったシステムでその情報を十分に活用することは難しい。

　例えば、特許文献１によると、アラートにそれに紐づく識別子や評価結果に基づく分類情報を付加することで、アラートを正確に評価するシステムを構築しているが、特許文献１は、アラートとそれに紐づく識別子や分類情報を、複数のシステム間で活用できる形で共有する仕組みを与えるものではない。

　本発明はこのような課題を解決するためになされたものであり、アラートに関する情報を複数のシステム間で効率的に共有できる技術を提供することを目的とする。

　本発明に係る情報処理装置の一例は、
　収集された機器のログデータにログＩＤを付与する、ＩＤ付与コンピュータと、
　前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
　前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログＩＤおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
　前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログＩＤに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。

　本発明に係る情報処理方法の一例は、
　ＩＤ付与コンピュータが、収集された機器のログデータにログＩＤを付与するステップと、
　第一処理コンピュータが、前記ログデータおよび前記ログＩＤを記憶するステップと、　前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、　第二処理コンピュータが、前記ログデータおよび前記ログＩＤを記憶するステップと、　前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、　前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログＩＤおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
　前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログＩＤに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える。
　本明細書は本願の優先権の基礎となる日本国特許出願番号2021-073241号の開示内容を包含する。

　本発明に係る技術によれば、アラートに関する情報を複数のシステム間で効率的に共有できる。

　たとえば、ＳＩＥＭを例とする複数のデータ分析システム間で、少ない通信データ量で、一つのデータ分析システムが発出するアラートとその関連ログの情報を、他のデータ分析システムが活用できる形で、共有することを可能にする。

本発明の第１の実施形態に係るクライアントサーバシステムの構成を示す。図１のデータ収集サーバの構成を示す。図１のデータ分析サーバの構成を示す。図１のＩｏＴ機器の構成を示す。ログ格納ＤＢの構成を示す。分析済みログ格納ＤＢの構成を示す。アラートＤＢの構成を示す。本発明の第１の実施形態に係るログ処理の流れの概要を示す。本発明の第１の実施形態に係るログ収集サーバのログ転送時の処理の流れの概要を示す。本発明の第１の実施形態に係るアラート発出時の処理の流れの概要を示す。本発明の第２の実施形態に係るデータ収集サーバの構成を示す。本発明の第２の実施形態に係るデータ分析サーバの構成を示す。本発明の第２の実施形態に係るアラート発出時の処理の流れの概要を示す。本発明の第３の実施形態に係るデータ収集サーバの構成を示す。本発明の第３の実施形態に係るアラート発出時の処理の流れの概要を示す。本発明の第１の実施形態に係るクライアントサーバシステムの具体例としての自動車システムの構成を示す。本発明の第１の実施形態の一変形例に係るデータ分析サーバの構成を示す。

　以下の説明では、「インターフェース部」は、１以上のインターフェースでよい。当該１以上のインターフェースは、１以上の同種の通信インターフェースデバイス（例えば１以上のＮＩＣ（Network Interface Card））であってもよいし２以上の異種の通信インターフェースデバイス（例えばＮＩＣとＨＢＡ（Host Bus Adapter））であってもよい。

　また、以下の説明では、「記憶部」は、１以上のメモリ装置であり、典型的には主記憶デバイスでよい。記憶部における少なくとも１つのメモリは、揮発性メモリであってもよいし不揮発性メモリであってもよい。不揮発性メモリは、例えばＨＤＤ（Hard Disk Drive）又はＳＳＤ（Solid State Drive）である。また、記憶部は、非一時的な(non-transitory)記憶媒体を含んでもよい。

　また、以下の説明では、「演算部」は、１以上の演算モジュールである。少なくとも１つの演算モジュールは、典型的には、ＣＰＵ（Central Processing Unit）のようなマイクロプロセッサであるが、ＧＰＵ（Graphics Processing Unit）のような他種の演算モジュールでもよい。少なくとも１つの演算モジュールとしてのプロセッサは、シングルコアでもよいしマルチコアでもよい。少なくとも１つの演算モジュールは、処理の一部又は全部を行うハードウェア回路（例えばＦＰＧＡ（Field-Programmable Gate Array）又はＡＳＩＣ（Application Specific Integrated Circuit））といった広義の演算モジュールでもよい。

　また、記憶部および演算モジュール、またはこれらを含むコンピュータは、仮想的なものであってもよい。たとえば、１つのコンピュータにおいてプログラムが実行されることにより、１以上の仮想的な記憶部および１以上の仮想的な演算モジュールを備える１以上の仮想的なコンピュータを構成することができる。

　また、以下の説明では、「ＤＢ」（データベース）は、どのような構造のデータでもよい。従って、「ｘｘｘＤＢ」を「ｘｘｘ情報」と言うことができる。また、以下の説明において、各ＤＢの構成は一例であり、以下の説明において１つのＤＢに含まれる情報は、２以上のＤＢに分割されてもよいし、以下の説明において２以上のＤＢに分散する情報が１つのＤＢに集約されてもよい。

　また、以下の説明では、「ｙｙｙ部」（インターフェース部、記憶部及び演算部を除く）の表現にて機能を説明することがあるが、機能は、１以上のコンピュータプログラムが演算部によって実行されることで実現されてもよいし、１以上のハードウェア回路（例えばＦＰＧＡ又はＡＳＩＣ）によって実現されてもよい。プログラムが演算部によって実行されることで機能が実現される場合、定められた処理が、適宜に記憶部及び／又はインターフェース部等を用いながら行われるため、機能は演算部の少なくとも一部とされてもよい。機能を主語として説明された処理は、演算部あるいはその演算部を有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配布計算機又は計算機が読み取り可能な記録媒体（例えば非一時的な記録媒体）であってもよい。各機能の説明は一例であり、複数の機能が１つの機能にまとめられたり、１つの機能が複数の機能に分割されたりしてもよい。

　また、以下の説明では、「時刻」の単位は、年月日時分秒でもよいし、それよりも粗くても細かくてもよいし、それらとは異なる単位でもよい。

　また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、個別の参照符号を使用することがある。例えば、各ＩｏＴ機器を互いに区別しない場合には、総称して「ＩｏＴ機器１０５」と言い、各ＩｏＴ機器を互いに区別する場合には、「ＩｏＴ機器１０５Ａ」、「ＩｏＴ機器１０５Ｂ」のように言う。

　以下、図面を参照して、本発明の幾つかの実施形態を説明する。

［第１の実施形態］
　図１は、本発明の第１の実施形態に係る情報処理装置の構成を示す。本実施形態では、情報処理装置はクライアントサーバシステムとして実現される。クライアントサーバシステムは、本明細書に記載される情報処理方法を実行する。

　複数のデータ分析サーバ１０３（例えば１０３Ａ、１０３Ｂ）のそれぞれがデータを分析するサーバの一例として存在し、データ収集サーバ１０１が、機器からデータを収集するサーバの一例として存在し、ＩｏＴ機器１０５（例えばＩｏＴ機器１０５Ａ～１０５Ｃ）の各々がクライアントの一例として存在する。複数のデータ分析サーバ１０３とデータ収集サーバ１０１との間で、通信ネットワーク１０２を介して、通信が行われる。データ収集サーバ１０１と複数のＩｏＴ機器１０５の各々との間で、無線通信ネットワークのような通信ネットワーク１０４を介して、通信が行われる。

　ＩｏＴ機器１０５として、種々の機器を採用し得る。例えば、図１６に示されるように、各ＩｏＴ機器は、道路を走る複数の車両１６０５でよく、また、車両に対してオンラインサービスを提供するコネクテッドカーセンタ１６０６であってもよい。

　なお、図１において、“ノードＡ”、“ノードＢ”、“ノードＣ”の表記は、ＩｏＴ機器１０５に割り振られているノードＩＤ（クライアントＩＤの一例）である。

　図２は、データ収集サーバ１０１の構成を示す。

　データ収集サーバ１０１は、典型的には計算機システム（１以上の計算機）であり、インターフェース部２０１、記憶部２０２及びそれらに接続された演算部２０３を有する。

　インターフェース部２０１経由で、データ分析サーバ１０３およびＩｏＴ機器１０５との通信が行われる。

　記憶部２０２は、演算部２０３により実行される１以上のコンピュータプログラムや演算部２０３により参照又は更新される情報を格納する。この１以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ収集サーバ１０１として機能させる。１以上のコンピュータプログラムは、非一時的な記憶媒体に格納されてもよい。また、このプログラムおよび後述する他のプログラムを含むプログラムが、本明細書に記載される方法をコンピュータシステムに実行させることにより、当該コンピュータシステムを情報処理装置として機能させる。

　演算部２０３が１以上のコンピュータプログラムを実行することにより、接続制御部２２１、ログＩＤ生成部２２２及び転送先判定部２２３といった機能が実現される。

　また、記憶部２０２に格納される他の情報の一例として、ログ格納ＤＢ２１１がある。ログ格納ＤＢ２１１の詳細は後述する。

　接続制御部２２１は、データ分析サーバ１０３およびＩｏＴ機器１０５との接続を制御する。

　ログＩＤ生成部２２２は、ＩｏＴ機器１０５から送信されるログデータを収集し、収集されたログデータに、各ログデータを識別するログＩＤを付与することにより、ログを生成する。すなわち、ログは、ログデータおよびログＩＤを含む。ログＩＤは、各々のログデータを識別するための一意の識別子である。このように、データ収集サーバ１０１は、ＩＤ付与コンピュータとして機能する。ログＩＤは、データ収集サーバ１０１へのログの到着順を示す番号であってもよいが、これに限られるものではない。

　転送先判定部２２３は、ＩｏＴ機器１０５から送信されたログデータをどのデータ分析サーバ１０３に転送するかを判定する。転送先は、ログデータの送信元やログデータの内容などに応じて決定される。これには、ログデータの送信元やログデータの内容をルールにあてはめ、転送先を決定するルールベースの手法がとられてもよいが、これに限られるものではない。各々のログデータの転送先のデータ分析サーバ１０３の数は、０個以上の任意の数であってよい。

　図５は、ログ格納ＤＢ２１１の一例を示す。１つのレコードはたとえばログと呼ばれ、ログは、たとえば収集時刻コラム５０１と、ログＩＤコラム５０２と、ログデータコラム５０３とを含む。ＩｏＴ機器１０５から送信される１つのログデータは、１つのレコードの１つのフィールドに格納される。

　収集時刻コラム５０１は、データ収集サーバ１０１がログデータを受け取った時刻を格納する。ログＩＤコラム５０２は、ログＩＤ生成部２２２がログデータに付与するログＩＤを格納する。ログデータコラム５０３は、ＩｏＴ機器１０５から送信されるログデータ（生データと呼ばれるものであってもよい）が格納される。なお、ログ格納ＤＢ２１１に格納する情報は、これらに限らない。

　図３は、データ分析サーバ１０３の構成を示す。データ分析サーバ１０３は、処理コンピュータとして機能する。たとえば、データ分析サーバ１０３Ａは第一処理コンピュータであり、データ分析サーバ１０３Ｂは第二処理コンピュータである。

　データ分析サーバ１０３は、典型的には計算機システム（１以上の計算機）であり、インターフェース部３０１、記憶部３０２及びそれらに接続された演算部３０３を有する。

　インターフェース部３０１経由で、他のデータ分析サーバ１０３およびデータ収集サーバ１０１と通信が行われる。

　記憶部３０２は、演算部３０３により実行される１以上のコンピュータプログラムや演算部３０３により参照又は更新される情報を格納する。この１以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ分析サーバ１０３として機能させる。

　記憶部３０２に格納される他の情報の一例として、分析済みログ格納ＤＢ３１１、アラートＤＢ３１２がある。分析済みログ格納ＤＢ３１１およびアラートＤＢ３１２の詳細は後述する。

　演算部３０３が１以上のコンピュータプログラムを実行することにより、接続制御部３２１、アラート検出部３２２、アラート転送部３２３および分析済みログ紐づけ部３２４といった機能が実現される。

　接続制御部３２１は、データ収集サーバ１０１および他のデータ分析サーバ１０３との接続を制御する。

　アラート検出部３２２は、分析済みログ格納ＤＢ３１１内のデータから異常を検出しアラートを発出する。異常を検出する方法は、データがある特定のパターンに合致する場合に異常と判断するルールベースの方法であってもよいし、データが正常のパターンから外れる場合に異常と判断するアノマリー検知の方法であってもよいが、これらに限られるものではない。

　アラート転送部３２３は、アラート検出部が発出したアラートと、アラート検出部３２２が異常と判断したログデータに係るログＩＤとを、他のデータ分析サーバ１０３に転送する。１つのアラートについて１つのログＩＤが転送されてもよいし、１つのアラートについて複数のログＩＤを含むリストが転送されてもよい。

　分析済みログ紐づけ部３２４は、他のデータ分析サーバ１０３が転送してきたアラートを、分析済みログ格納ＤＢ３１１内のログに紐づけた上で、アラートＤＢ３１２に格納する。分析済みログ紐づけ部３２４の詳細は後述する。

　図６は、分析済みログ格納ＤＢ３１１の一例を示す。収集時刻コラム６０１は、データ収集サーバ１０１がＩｏＴ機器１０５からログデータを受け取った時刻を格納する。ログＩＤコラム６０２は、データ収集サーバがログデータに付与したログＩＤを格納する。

　分析済みログ格納ＤＢ３１１における他のコラムは、分析の結果として取得された情報を格納する。たとえば、本実施形態では、ＶＩＮコラム６０３は、ログデータの送信元の車両の識別子ＶＩＮを格納する。ＥＣＵコラム６０４は、ログデータを生成したＥＣＵの種別を格納する。エンジンＲＰＭコラム６０５は、ログデータに記載されているエンジン回転数を格納する。なお、分析済みログ格納ＤＢ３１１に格納する情報は、これらに限らない。また、分析済みログ格納ＤＢ３１１に格納されるレコード数の上限（最大レコード数）は、たとえば図示のように５とすることができるが、この上限は適宜変更可能である。

　図７は、アラートＤＢ３１２の一例を示す。検知時刻コラム７０１は、アラート検出部３２２が異常を検知した時刻を格納する。アラートＩＤコラム７０２は、検知したアラートに付与される一意の識別子を格納する。アラート内容コラム７０３は、検知したアラートの内容すなわち異常の検知結果を格納する。関係ログコラム７０４は、アラート発出を引き起こしたログのログＩＤまたはそのリストを格納する。なお、アラートＤＢ３１２に格納する情報は、これらに限らない。

　図４は、ＩｏＴ機器１０５の構成を示す。

　ＩｏＴ機器１０５は、インターフェース部４０１、記憶部４０２及びそれらに接続された演算部４０３を有する。

　インターフェース部４０１経由で、データ収集サーバ１０１と通信が行われる。

　記憶部４０２は、演算部４０３により実行される１以上のコンピュータプログラムや演算部４０３により参照又は更新される情報を格納する。この１以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、ＩｏＴ機器１０５として機能させる。また、記憶部４０２は、ログ格納部４１１を備える。

　演算部４０３が１以上のコンピュータプログラムを実行することにより、接続制御部４２１、ログ送信部４２２といった機能が実現される。接続制御部４２１は、データ収集サーバ１０１との接続を制御する。ログ送信部４２２は、ログ格納部４１１内のログをデータ収集サーバ１０１に送信する。

　図８は、本実施形態に係るＩｏＴ機器１０５がログを送信してからデータ分析サーバ１０３でログを分析するまでの一連の流れの概要を示す。本実施形態に係る情報処理方法は、図８に示す各ステップを含む。

　ＩｏＴ機器１０５は、送信対象となるデータが生成された場合、そのデータをログデータとしてログ格納部４１１に格納し、ログ送信部４２２によりログデータをデータ収集サーバ１０１に送信する（Ｓ８０１）。

　データ収集サーバ１０１は、受信したログをデータ分析サーバ１０３に転送する（Ｓ８０２）。Ｓ８０２の詳細は、後述する。

　データ分析サーバ１０３は、受信したログを分析する（Ｓ８０３）。Ｓ８０３の詳細は後述する。

　図９は、Ｓ８０２の詳細を説明するものであり、データ収集サーバ１０１によるデータ転送の流れの概要を示す。

　データ収集サーバ１０１の接続制御部２２１は、ＩｏＴ機器１０５のログ送信部４２２から送信されるデータを受信する（Ｓ９０１）。データ収集サーバ１０１のログＩＤ生成部２２２は、受信したデータに付与するログＩＤを生成する（Ｓ９０２）。

　データ収集サーバ１０１の転送先判定部２２３は、ログがデータ分析サーバ１０３Ａへの転送ルールに合致するかどうかを判定する（Ｓ９０３）。合致しない場合は、Ｓ９０５に進む。合致する場合は、ログ（ログデータおよびログＩＤを含む）をデータ分析サーバ１０３Ａに転送し（Ｓ９０４）、Ｓ９０５に進む。

　データ収集サーバ１０１の転送先判定部２２３は、ログがデータ分析サーバ１０３Ｂへの転送ルールに合致するかどうかを判定する（Ｓ９０５）。合致しない場合は、Ｓ９０７に進む。合致する場合は、ログ（ログデータおよびログＩＤを含む）をデータ分析サーバ１０３Ｂに転送し（Ｓ９０６）、Ｓ９０７に進む。データ収集サーバ１０１は、ログＩＤとログをログ格納ＤＢ２１１に格納する（Ｓ９０７）。

　図１０は、Ｓ８０３の詳細を説明するものであり、データ分析サーバ１０３でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。

　データ分析サーバ１０３Ａおよび１０３Ｂは、データ収集サーバ１０１から受信したログ（ログデータおよびログＩＤを含む）を記憶部３０２の分析済みログ格納ＤＢ３１１に記憶する（Ｓ１０００）。記憶されるデータの具体的な形式は適宜設計可能であるが、たとえば図６のように、ログデータに含まれる項目ごとにフィールドを抽出することによりレコードが構成される。

　なお、上述のように、データ収集サーバ１０１がデータ分析サーバ１０３Ａに送信するログと、データ収集サーバ１０１がデータ分析サーバ１０３Ｂに送信するログとは、同一でない場合がある。

　データ分析サーバ１０３Ｂのアラート検出部３２２が、分析済みログ格納ＤＢ３１１から異常を示すログデータに係るログの集合（ログ集合）を検出し、アラートを発出する（Ｓ１００１）。たとえば、アラート検出部３２２は、ログデータに基づいて異常を検知する。

　データ分析サーバ１０３Ｂのアラート転送部３２３は、異常が検知されたログデータのログＩＤ（たとえばログ集合に含まれるログＩＤのリスト）およびアラート（異常の検知結果）を、関連付けてデータ分析サーバ１０３Ａに送信する（Ｓ１００２）。異常の検知結果は、たとえば異常の内容または種類等を含む。また、異常の検知結果は、検知時刻を含んでもよい。

　データ分析サーバ１０３Ａの分析済みログ紐づけ部３２４は、データ分析サーバ１０３Ｂから受信したログＩＤ（たとえばログＩＤのリスト）に基づき、データ分析サーバ１０３Ａに記憶されるログデータと、受信した検知結果とを関連付けて、アラートＤＢ３１２記憶する（Ｓ１００３）。

　Ｓ１００３で、分析済みログ紐づけ部３２４が異常の検知結果とログを関連付けて格納する方法の例として、図７のようにアラートＤＢ３１２の関係ログコラムにログＩＤリストを格納し、ログＩＤリスト内の各々のログＩＤを分析済みログ格納ＤＢ３１１のログＩＤコラムのログＩＤとリンクさせる方法がある。ただし、関連付ける方法はこれに限られない。

　本実施形態では、データ分析サーバ１０３Ａおよび１０３Ｂはいずれも、データ収集サーバ１０１が付与した共通のログＩＤを用いているので、データ分析サーバ１０３Ａに記憶されるログデータと、データ分析サーバ１０３Ｂから受信した検知結果との関連付けはログＩＤを介して行うことができる。その場合には、単にログＩＤを記憶することによって関連付けを実現することができる。

　より具体的には、図６に示す分析済みログ格納ＤＢ３１１のレコードのいずれかと、図７に示すアラートＤＢ３１２のレコードのいずれかとが同一のログＩＤを含む場合には、前者のログデータは後者の検知結果に関連付けられているということができる。

　なお、Ｓ１００２でアラート転送部３２３が異常の検知結果を転送するタイミングは、Ｓ１００１のアラート検知後すぐであってもよいし、アラート検知後にしばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に転送するなどがある。

　異常の検知結果を分析済みログ格納ＤＢ３１１のデータと関連付けてアラートＤＢ３１２に格納することにより、データ分析サーバ１０３Ａは、データ分析サーバ１０３Ｂが検知した異常について、アラートを発生させたログと関連付けた分析が可能となる。これにより、より効果的で効率的なデータ分析が行える。

　このようにして、アラートに関する情報を複数のシステム間で効率的に共有することができる。とくに、設計者が異なる複数のＳＩＥＭシステムを効率的に連携させることができる。

　上述の第１の実施形態において、データ分析サーバ１０３Ａおよびデータ分析サーバ１０３Ｂの機能を互いに入れ替えてもよい。また、複数のデータ分析サーバ１０３のうち１以上が、データ分析サーバ１０３Ａおよび１０３Ｂ双方の機能を備えてもよい。

　データ分析サーバ１０３は、Ｓ１００３の後に、アラートＤＢ３１２の内容の一部または全部を出力してもよい。たとえば、接続制御部３２１を介して、外部のコンピュータ（他のデータ分析サーバ１０３またはその他のコンピュータ）に送信してもよいし、図示しない出力装置（ディスプレイ装置またはプリンタ等）を介して出力してもよい。

［第２の実施形態］
　第２の実施形態を説明する。その際、第１の実施形態との相違点を主に説明し、第１の実施形態との共通点については説明を省略又は簡略する。

　図１１は、データ収集サーバの一例を示す。データ収集サーバ１１０１は、図２のデータ収集サーバ１０１に加えて、演算部にログ要求受付部１１２４を備える。

　ログ要求受付部１１２４は、データ分析サーバからログＩＤリストを受け取り、ログＩＤリスト内のログＩＤを持つログをログ格納ＤＢ２１１から抽出し、抽出したログの集合をデータ分析サーバ１２０３に送信する。

　図１２は、データ分析サーバの一例を示す。データ分析サーバ１２０３は、図３のデータ分析サーバ１０３に加えて、ログ要求部１２２５を備える。

　ログ要求部１２２５は、他のデータ分析サーバ１２０３から異常の検知結果に関連して受信したログＩＤ（たとえばログＩＤリストの形式）に対し、いずれかのログＩＤに対応するログデータを記憶していない場合に、当該ログデータを要求する処理（ログ要求処理）を実行する。たとえば、分析済みログ紐づけ部３２４が分析済みログ格納ＤＢ３１１内のログに紐づけることができなかったログＩＤを含むログＩＤリストをデータ収集サーバ１１０１に送信することによってログを要求する。

　図１３は、当該実施例におけるＳ８０３の詳細を説明するものであり、データ分析サーバでのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。

　Ｓ１３００、Ｓ１３０１、Ｓ１３０２は、それぞれ、Ｓ１０００、Ｓ１００１、Ｓ１００２と同様の処理を行う。データ分析サーバ１２０３Ａは、Ｓ１３０２で受け取ったログＩＤリストのログＩＤと同じログＩＤを持つログが、全て分析済みログ格納ＤＢ３１１に格納されているかを確認する（Ｓ１３０３）。

　Ｓ１３０３で、全てのログが格納されている場合、Ｓ１３０８に進む。

　Ｓ１３０３で、全てのログが格納されていない場合、データ分析サーバ１２０３Ａのログ要求部は、格納されていないログのログＩＤのリストを作成し（Ｓ１３０４）、このログＩＤリストをデータ収集サーバ１１０１に送信する（Ｓ１３０５）。これがログ要求処理に対応する。

　データ収集サーバ１１０１のログ要求受付部１１２４は、受け取ったログＩＤリストのログＩＤと同じログＩＤを持つログを、ログ格納ＤＢ２１１から抽出し、抽出したログの集合をデータ分析サーバ１２０３Ａに送信する（Ｓ１３０６）。データ分析サーバ１２０３Ａは、受け取ったログの集合を処理し、分析済みログ格納ＤＢ３１１に格納する（Ｓ１３０７）。

　最後に、Ｓ１３０８では、図１０のＳ１００３と同様の処理を行う。

　なお、Ｓ１３０４でログ要求部がログＩＤリストを作成するタイミングは、Ｓ１３０３の直後であってもよいし、しばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に実施するなどがある。

　第２の実施形態によれば、データ分析サーバ１２０３Ａが他のデータ分析サーバ１２０３Ｂからアラートを転送された際に、当該アラートを発生させたログを分析済みログ格納ＤＢ３１１が保持していない場合でも、データ収集サーバ１１０１から足りないログを集め、アラートを分析することが可能となる。

［第３の実施形態］
　第３の実施形態を説明する。その際、第２の実施形態との相違点を主に説明し、第２の実施形態との共通点については説明を省略又は簡略する。

　第３の実施形態におけるデータ分析サーバ１２０３のログ要求部１２２５は、ログ要求処理において、他のデータ分析サーバ１２０３から受信したログＩＤリストに加えて、各ログに基づいて検知された異常の検知結果を、データ収集サーバに送信する。

　図１４は、データ収集サーバの一例を示す。データ収集サーバ１４０１は、図１１のデータ収集サーバ１１０１に加えて、演算部に関連ログ抽出部１４２５を備える。

　関連ログ抽出部１４２５は、ログ要求受付部１１２４から異常の検知結果を受け取り、その検知結果に関連する可能性のあるログをログ格納ＤＢ２１１から抽出し、抽出したログのログＩＤのリスト（関連ログＩＤリスト）を、ログ要求受付部１１２４に返す。検知結果に関連する可能性のあるログを抽出する方法としては、検知結果に応じて（たとえば、ログＩＤに基づき、アラートの内容毎に事前定義された規則に従って）１以上のログを抽出する方法があるが、これに限るものではない。

　具体例を説明する。たとえば、検知結果が車両のＣＡＮ（Controller Area Network）の異常を示すものである場合には、その車両のログのうち、検知時刻の前後所定範囲のＣＡＮに関するログが、検知結果に関連する可能性のあるログとして抽出される。また、たとえば、検知結果がコネクテッドカーセンタからのログにおける異常を示すものである場合には、異常が検知されたログに関連する車両をすべて特定し、特定された車両いずれかに関連するログのうち、検知時刻の前後所定範囲のログを探索範囲として、この探索範囲から、検知結果に関連する可能性のあるログが抽出される。

　ログ要求受付部１１２４は、データ分析サーバ１２０３から検知結果およびログＩＤリストを受け取り、これらを関連ログ抽出部１４２５に渡す。そして、関連ログ抽出部１４２５から返される関連ログＩＤリストと、この関連ログＩＤリストに含まれるログＩＤを持つログをログ格納ＤＢ２１１から抽出したログの集合とを併せて、データ分析サーバ１２０３に送信する。

　このように、関連ログ抽出部１４２５は、データ分析サーバ１２０３からのログ要求処理に応じて、受信したログＩＤおよび検知結果に基づいて、収集された機器のログデータのうちから、送信すべきログデータを抽出し、抽出されたログデータをデータ分析サーバ１２０３に送信する。

　図１５は、当該実施例におけるＳ８０３の詳細を説明するものであり、データ分析サーバ１２０３でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。

　Ｓ１５００、Ｓ１５０１、Ｓ１５０２、Ｓ１５０３、Ｓ１５０４は、それぞれ、図１３のＳ１３００、Ｓ１３０１、Ｓ１３０２、Ｓ１３０３、Ｓ１３０４と同様の処理を行う。

　Ｓ１５０５で、データ分析サーバ１２０３Ａのログ要求部１２２５は、異常の検知結果とログＩＤリストをデータ収集サーバ１１０１に送信する（Ｓ１５０５）。

　データ収集サーバ１４０１のログ要求受付部１１２４は、データ分析サーバ１２０３から検知結果およびログＩＤリストを受け取り、これらを関連ログ抽出部１４２５に渡す。そして、関連ログ抽出部１４２５から返される関連ログＩＤリストと、この関連ログＩＤリストに含まれるログＩＤを持つログをログ格納ＤＢ２１１から抽出したログの集合とを併せて、データ分析サーバ１２０３Ａに送信する（Ｓ１５０６）。

　Ｓ１５０７、Ｓ１５０８は、それぞれ、図１３のＳ１３０７、Ｓ１３０８と同様の処理を行う。

　第３の実施形態によれば、データ分析サーバ１２０３Ａが他のデータ分析サーバ１２０３Ｂから異常の検知結果を転送された際に、当該検知の原因となったログ（アラートを発生させたログ）を分析済みログ格納ＤＢ３１１が保持していない場合でも、データ収集サーバ１４０１から足りないログおよびアラートに関連する可能性のあるログを集め、アラートを分析することが可能となる。

［第４の実施形態］
　第４の実施形態を説明する。その際、第２および第３の実施形態との相違点を主に説明し、第２および第３の実施形態との共通点については説明を省略又は簡略する。

　図１７は、データ分析サーバの一例を示す。データ分析サーバ１７０３は、図１２のデータ分析サーバ１２０３に加えて、報知部１７２５を備える。

　データ分析サーバ１７０３は、ログ要求処理に先立って、異常の検知結果を外部に報知する。すなわち、検知結果を外部に報知した後に、ログ要求処理を実行する。

　報知のタイミングは、たとえば図１３のＳ１３０１の後、かつＳ１３０３の前とすることができる。

　報知の具体的な処理は適宜設計可能であるが、たとえば、接続制御部３２１を介してアラートを外部のコンピュータに送信してもよいし、図示しない出力装置（ディスプレイ装置またはプリンタ等）を介してアラートを出力してもよい。ディスプレイ装置を用いる場合には、ＧＵＩを介して出力を実行することができる。

　送信または出力されるアラートの内容も適宜設計可能であるが、たとえば、アラートが検知されたことを示す情報（メッセージ等）と、異常の検知時刻と、アラートＩＤと、アラート内容と、アラート発出を引き起こしたログのログＩＤまたはそのリストとを含むことができる。

　第４の実施形態によれば、データ分析サーバ間のデータ送受信が行われる前に、早期にアラート内容の出力を行うことができるので、外部のアラート処理システムまたはアラート処理担当者（人間）がアラートを早期に認識することができる。この効果は、とくに、データ分析サーバ間のデータ送受信をバッチ処理で行う場合に顕著であり、定時のバッチ処理実行を待たずにアラートを認識できる。

　１０１…データ収集サーバ
　１０２…通信ネットワーク
　１０３…データ分析サーバ
　１０４…通信ネットワーク
　１０５…ＩｏＴ機器
　２０１…インターフェース部
　２０２…記憶部
　２０３…演算部
　２１１…ログ格納部ＤＢ
　２２１…接続制御部
　２２２…ログＩＤ生成部
　２２３…転送先判定部
　３０１…インターフェース部
　３０２…記憶部
　３０３…演算部
　３１１…分析済みログ格納ＤＢ
　３１２…アラートＤＢ
　３２１…接続制御部
　３２２…アラート検出部
　３２３…アラート転送部
　３２４…分析済みログ紐づけ部
　４０１…インターフェース部
　４０２…記憶部
　４０３…演算部
　４１１…ログ格納部
　４２１…接続制御部
　４２２…ログ送信部
　５０１…収集時刻コラム
　５０２…ログＩＤコラム
　５０３…ログデータコラム
　６０１…収集時刻コラム
　６０２…ログＩＤコラム
　６０３…ＶＩＮコラム
　６０４…ＥＣＵコラム
　６０５…エンジンＲＰＭコラム
　７０１…検知時刻コラム
　７０２…アラートＩＤコラム
　７０３…アラート内容コラム
　７０４…関係ログコラム
　１１０１…データ収集サーバ
　１１２４…ログ要求受付部
　１２０３…データ分析サーバ
　１２２５…ログ要求部
　１４０１…データ収集サーバ
　１４２５…関連ログ抽出部
　１６０５…車両
　１６０６…コネクテッドカーセンタ
　１７０３…データ分析サーバ
　１７２５…報知部
　本明細書で引用した全ての刊行物、特許および特許出願はそのまま引用により本明細書に組み入れられるものとする。

Claims

　収集された機器のログデータにログＩＤを付与する、ＩＤ付与コンピュータと、
　前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
　前記ログデータおよび前記ログＩＤを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログＩＤおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
　前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログＩＤに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する、情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログＩＤに対応するログデータを記憶していない場合に、当該ログデータを要求するログ要求処理を実行する、情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第一処理コンピュータは、前記ログ要求処理において、前記第二処理コンピュータから受信した前記ログＩＤおよび前記検知結果を送信する、情報処理装置。
　請求項３に記載の情報処理装置であって、
　前記ログ要求処理は、前記ＩＤ付与コンピュータに対して行われ、
　前記ＩＤ付与コンピュータは、前記ログ要求処理に応じて、前記ログＩＤおよび前記検知結果に基づいて、収集された機器のログデータのうちから送信すべきログデータを抽出し、抽出されたログデータを前記第一処理コンピュータに送信する、
情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第一処理コンピュータは、前記検知結果を外部に報知した後に、前記ログ要求処理を実行する、情報処理装置。
　情報処理方法であって、
　ＩＤ付与コンピュータが、収集された機器のログデータにログＩＤを付与するステップと、
　第一処理コンピュータが、前記ログデータおよび前記ログＩＤを記憶するステップと、　前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、　第二処理コンピュータが、前記ログデータおよび前記ログＩＤを記憶するステップと、　前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、　前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログＩＤおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
　前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログＩＤに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える、情報処理方法。
　請求項６に記載の方法をコンピュータシステムに実行させるプログラム。
　請求項７に記載のプログラムを格納する非一時的な記憶媒体。