WO2022254519A1 - 監視装置、監視システムおよび監視方法 - Google Patents

Abstract

信頼可能な領域に実装された第一の監視プログラムから、信頼度が低い領域に実装された第二のセキュリティ対策機構を監視し、第二のセキュリティ対策機構から監視対象を監視することで、第二のセキュリティ対策機構の監視結果の信頼度を高めることができる。つまり、信頼度の低い第二のセキュリティ対策機構が改ざんされた場合であっても、第一のセキュリティ対策機構から改ざんを検知でき、ＥＣＵに発生している異常を検知できるため、安全な自動運転や先進運転支援システムを提供することができる。

Description

監視装置、監視システムおよび監視方法

　本開示は、監視装置および監視方法に関する。

　近年、自動運転などの先進機能を利用者へ提供するため、車載システムが複雑化している。複雑化に伴って増大する開発期間やコストの課題を解消するため、従来複数のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）に分かれて搭載されていた機能を１つのＥＣＵへ統合する動きがある。ＥＣＵの統合において、１つのＥＣＵに複数の仮想的なコンピュータを動作させるために仮想化技術が利用されており、その仮想的なコンピュータは仮想マシンと呼ばれ、複数の仮想マシンを動作させる仮想化基盤となるソフトウェアはハイパーバイザと呼ばれる。

　ハイパーバイザ内の仮想化ソフトウェアまたはデバイスドライバに含まれる脆弱性や仕様の不具合が顕著化した場合、ハイパーバイザまたは仮想マシンに割り当てられるメモリ領域の改ざんがなされ得るという問題がある。その対策として、特許文献１には、仮想化ソフトウェア上に、監視用の仮想マシンと監視対象となる仮想マシンを配置し、監視用の仮想マシンから監視対象を監視することで、監視対象における異常を検知する方法が記載されている。

特開２０１９－１４４７８５号公報

　ところで、車両システムにおいて、第三者のアプリケーションを自由にインストール可能なＩＶＩ（Ｉｎ－Ｖｅｈｉｃｌｅ　Ｉｆｏｒｔａｉｎｍｅｎｔ）システムと、車両の走る、止まる、曲がるなどの制御を指示することで自動運転を支援するＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ　Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ）システムを１つのＥＣＵに統合する場合、第三者の悪意のあるアプリケーションによってＡＤＡＳ制御方法に関連するメモリ領域が改ざんされると、搭乗者の安全を脅かす重大な問題となる。

　しかしながら、特許文献１の方法は、監視用の仮想マシンが改ざんされていない場合は監視対象の異常を検知可能であるが、監視用の仮想マシン自体が第三者の悪意のあるアプリケーションによって改ざんされた場合は、異常を検知できない課題がある。

　本開示は、従来の課題を解決するもので、信頼可能な領域に実装された第一のセキュリティ対策機構から、信頼度が低い領域に実装された第二のセキュリティ対策機構を監視し、第二の監視プログラムから監視対象を監視することで、第二のセキュリティ対策機構の監視結果の信頼度を高めることができる。つまり、信頼度の低い第二のセキュリティ対策機構が改ざんされた場合であっても、第一のセキュリティ対策機構から改ざんを検知できるため、ＥＣＵに発生している異常を検知できる。

　本開示の一態様に係る監視装置は、ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視部を備え、前記監視部は、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて動作し、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する第二の監視部のソフトウェアを監視対象に含む、監視装置である。

　本開示の一態様に係る監視方法は、ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視ステップであって、前記監視ステップは、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて実行され、信頼度の低い監視ステップを実行するソフトウェアを少なくとも１つの信頼度の高い監視ステップにて監視できるように、第一の実行権限にて実行される第一の監視ステップは第二の実行権限にて実行される第二の監視ステップを実行するソフトウェアを監視対象に含む、監視方法である。

　本開示の監視装置によれば、信頼度が低い領域に実装された監視プログラムが改ざんされた場合であっても、ＥＣＵに発生した異常を検知できる。

図１は、本開示の実施の形態における監視システムの全体構成図を示す図である。 図２は、本開示の実施の形態における車載システムの構成図を示す図である。 図３は、本開示の実施の形態における統合ＥＣＵの構成図を示す図である。 図４は、本開示の実施の形態における統合ＥＣＵの構成図の詳細を示す図である。 図５は、本開示の実施の形態における外部アプリの構成図を示す図である。 図６は、本開示の実施の形態における制御アプリの構成図を示す図である。 図７は、本開示の実施の形態における映像アプリの構成図を示す図である。 図８は、本開示の実施の形態における外部仮想マシンの構成図を示す図である。 図９は、本開示の実施の形態における制御仮想マシンの構成図を示す図である。 図１０は、本開示の実施の形態における映像仮想マシンの構成図を示す図である。 図１１は、本開示の実施の形態におけるハイパーバイザの構成図を示す図である。 図１２は、本開示の実施の形態におけるセキュアアプリの構成図を示す図である。 図１３は、本開示の実施の形態における監視サーバーの構成図を示す図である。 図１４は、本開示の実施の形態における監視情報の一例を示す図である。 図１５は、本開示の実施の形態における監視情報の一例を示す図である。 図１６は、本開示の実施の形態におけるシステム状態の一例を示す図である。 図１７は、本開示の実施の形態における監視構成の一例を示す図である。 図１８は、本開示の実施の形態における監視構成の一例を示す図である。 図１９は、本開示の実施の形態における監視構成の一例を示す図である。 図２０は、本開示の実施の形態における監視構成の一例を示す図である。 図２１は、本開示の実施の形態における監視変更ルールの一例を示す図である。 図２２は、本開示の実施の形態における監視結果表示の一例を示す図である。 図２３は、本開示の実施の形態における監視結果表示の一例を示す図である。 図２４は、本開示の実施の形態における、アプリ監視部の監視処理のシーケンスを示す図である。 図２５は、本開示の実施の形態における、ＶＭ監視部の監視処理のシーケンスを示す図である。 図２６は、本開示の実施の形態における、ＨＶ監視部の監視処理のシーケンスを示す図である。 図２７は、本開示の実施の形態における、ＳＡ監視部の監視処理のシーケンスを示す図である。 図２８は、本開示の実施の形態における、監視サーバー通知処理のシーケンスを示す図である。 図２９は、本開示の実施の形態における、管理部から監視変更する処理のシーケンスを示す図である。 図３０は、本開示の実施の形態における、監視処理のフローチャートを示す図である。 図３１は、本開示の実施の形態における、監視変更処理のフローチャートを示す図である。 図３２は、本開示の実施の形態における、統合ＥＣＵの構成図の詳細の変形例１を示す図である。 図３３は、本開示の実施の形態における、統合ＥＣＵの構成図の詳細の変形例２を示す図である。

　上記課題を解決するために、本開示の一態様に係る監視装置は、ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視部を備え、前記監視部は、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて動作し、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する第二の監視部のソフトウェアを監視対象に含む、監視装置である。

　これにより、システムに侵入した攻撃者は弱い実行権限の獲得後、より強い実行権限の獲得を目指すと想定できるため、第一の実行権限よりも弱い第二の実行権限が乗っ取られた後、第二の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部から、第二の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる２段階の監視部を用いることによって、２種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、３以上の前記監視部を備え、前記監視部は、それぞれ３種類の実行権限のうちいずれか一つの実行権限にて動作し、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する監視部のソフトウェアを監視対象に含み、前記第一の監視部と前記第二の監視部のうち少なくとも１つは第三の実行権限にて動作する第三の監視部のソフトウェアを監視対象に含む、監視装置である。

　これにより、システムに侵入した攻撃者は弱い第三の実行権限を獲得後、より強い第二の実行権限、第一の実行権限の獲得を目指すと想定できるため、第二の実行権限よりも弱い第三の実行権限が乗っ取られた後、第三の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部または第二の監視部から第三の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる３段階の監視部を用いることによって、３種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、４以上の前記監視部を備え、前記監視部は、それぞれ４種類の実行権限のうちいずれかの実行権限にて動作し、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する監視部のソフトウェアを監視対象に含み、前記第一の監視部と前記第二の監視部のうち少なくとも１つは第三の実行権限にて動作する第三の監視部のソフトウェアを監視対象に含み、前記第一の監視部と前記第二の監視部と前記第三の監視部のうち少なくとも１つは第四の実行権限にて動作する第四の監視部のソフトウェアを監視対象に含む、監視装置である。

　これにより、システムに侵入した攻撃者は弱い第四の実行権限を獲得後、より強い第三の実行権限、強い第二の実行権限、第一の実行権限の獲得を目指すと想定できるため、第三の実行権限よりも弱い第四の実行権限が乗っ取られた後、第四の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部または第二の監視部、第三の監視部から第四の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる４段階の監視部を用いることによって、４種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、セキュアアプリと仮想ソフトウェア基盤と２以上の仮想マシン上にて動作し、前記第一の実行権限は、セキュアアプリの実行権限、仮想ソフトウェア基盤の実行権限、仮想マシンのカーネル実行権限のうちの一つであり、前記第二の実行権限は、仮想ソフトウェア基盤の実行権限、仮想マシンのカーネル実行権限、仮想マシンのユーザ権限のうちの一つであり、前記第三の実行権限は、仮想マシンのカーネル実行権限、仮想マシンのユーザ権限うちの一つであり、前記第四の実行権限は、仮想マシンのユーザ権限である、監視装置である。

　これにより、仮想マシンのユーザアプリの脆弱性をついて仮想マシンのユーザ権限を獲得した攻撃者は、仮想マシンのカーネル権限、ハイパーバイザの実行権限、セキュアアプリの実行権限の獲得を目指すと想定できるため、仮想マシンのユーザ権限、仮想マシンのカーネル権限、ハイパーバイザの実行権限を乗っ取られた後、乗っ取った実行権限で動作する監視部のソフトウェアを改ざんして監視を回避しようと試みた場合であっても、より強い実行権限の監視部から弱い実行権限の監視部の異常を検知できる効果がある。また、セキュアアプリの実行権限やハイパーバイザの実行権限では、仮想マシンのユーザ空間のソフトウェアや、仮想マシンのユーザ空間のネットワークログ、仮想マシンのユーザ空間とカーネル空間の間のシステムコールといった通信ログの取得が困難であると想定できるため、実行権限ごとに監視部を分離することによって、より広い範囲の監視対象を監視できる効果ある。また、セキュアアプリの実行権限とハイパーバイザの実行権限、仮想マシンのカーネル権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、仮想ソフトウェア基盤と２以上の仮想マシン上にて動作し、前記仮想マシンに割り当てられた実行権限にて動作する監視部が２以上存在する場合、第一の仮想マシンの監視部は、第二の仮想マシンの監視部のソフトウェアを監視対象に含み、前記第一の仮想マシンと前記第二の仮想マシンは、攻撃者によって改ざんされる可能性に応じて分類される、監視装置である。

　これにより、外部ネットワークからシステムに侵入し、外部ネットワークと接続される仮想マシンのユーザ権限およびカーネル権限を獲得した攻撃者は、他の仮想マシンの機能獲得を目指すと想定できるため、外部ネットワークと接続される改ざんリスクの高い第二の仮想マシンの監視部が乗っ取られた場合であっても、外部ネットワークと接続しない改ざんリスクの低い第一の仮想マシンの監視部から第二の仮想マシンの監視部のソフトウェアの異常を検知できる効果がある。また、車両の制御機能を有する仮想マシンは、改ざんされた場合の安全性への影響が大きく、攻撃者の対象になりやすいため、より信頼可能な仮想マシンの監視部から監視することで、安全性を維持できる効果がある。もしくは、車両の制御機能を有する仮想マシンは、外部ネットワークから隔離されており、高い機能安全レベルの要求を満たすためにセキュアな設計と実装が十分考慮されていると想定できるため、車両の制御機能を有する仮想マシンは信頼可能な第一の仮想マシンとして扱うことができる効果がある。また、実行権限だけを考慮すると、改ざんリスクの高い第二の監視マシンの監視部は、セキュアアプリまたはハイパーバイザの実行権限から監視する必要があるが、実行権限が同一である第一の監視マシンの監視部から第二の監視マシンの監視部を監視できるため、セキュアアプリの実行権限とハイパーバイザの実行権限で動作するソフトウェアを単純化できる効果がある。また、外部ネットワークからシステムに侵入し、特定の仮想マシンのユーザ権限およびカーネル権限を獲得した攻撃者は、他の仮想マシンの機能獲得を目指すと想定できるため、第一の仮想マシンの監視部と、第二の仮想マシンが相互監視または巡回監視を行うことによって、特定の仮想マシンが乗っ取られた場合であっても、それ以外の仮想マシンの監視部から特定の仮想マシンの異常を検知できる効果がある。

　また、前記監視装置は、セキュアアプリと、ホストオペレーティングシステムと、１以上の仮想ソフトウェア基盤および１以上の仮想マシン上、または、１以上のコンテナ仮想化基盤および２以上のコンテナ上にて動作し、前記第一の実行権限と、前記第二の実行権限と、前記第三の実行権限と、前記第四の実行権限は、セキュアアプリの実行権限と、ホストオペレーティングシステムの実行権限と、仮想ソフトウェア基盤の実行権限と、仮想マシンのカーネル実行権限と、仮想マシンのユーザ実行権限と、コンテナの実行権限のうちの一つであり、同一の実行権限にて動作する仮想マシンの監視部が２以上存在する場合、第一の仮想マシンの監視部は、第二の仮想マシンの監視部のソフトウェアを監視対象に含み、前記第一の仮想マシンと前記第二の仮想マシンは、攻撃者によって改ざんされる可能性に応じて分類され、同一の実行権限にて動作するコンテナの監視部が２以上存在する場合、第一のコンテナの監視部は、第二のコンテナの監視部のソフトウェアを監視対象に含み、前記第一のコンテナと前記第二のコンテナは、攻撃者によって改ざんされる可能性に応じて分類される、監視装置である。

　これにより、ホストとなるオペレーティングシステムが、仮想化ソフトウェア基盤であるハイパーバイザを用いて、複数の仮想マシンを実行および管理する場合や、ＤｏｃｋｅｒやＫｕｂｅｒｎｅｔｅｓなどに代表されるコンテナ仮想化基盤を用いて複数のコンテナを実行および管理する場合であっても、外部ネットワークとの接続機能の有無など改ざんされる可能性に応じて仮想マシンまたはコンテナの信頼度は異なると想定できるため、複数の監視部を監視の信頼チェーンを構築することで、信頼度の低い第二の仮想マシンまたは第二のコンテナの監視部が乗っ取られた場合であっても、信頼度の高い第一の仮想マシンの監視部または第一のコンテナの監視部から異常を検知できる効果がある。

　また、前記監視部は、所定の時間経過と、所定の外部ネットワーク接続時間経過と、システム起動と、システム再起動と、外部ネットワーク接続確立と、外部デバイス接続のうち少なくとも１つを含むイベントに応じて、前記監視対象を監視する、監視装置である。

　これにより、システム起動時にソフトウェアの完全性を検証するセキュアブートのように前段の監視部によって完全性が検証された監視部が、後段の監視部を検証するといった直列的な監視方法ではなく、非同期でソフトウェアの改ざんリスクが高いイベントに応じて監視を実施することで、監視処理の割り込み時間を短縮できる効果がある。さらに、仮想マシンごとのＣＰＵの空き時間を活用して監視処理を行うなど、システムに負荷をかけることなく柔軟に監視処理の負担を配分できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記監視部は、所定の走行時間経過と、所定の停止時間経過と、所定の走行距離経過と、走行モードの切り替えと、給油または給電の終了と、車両診断の実施と、緊急アラートの発呼のうち少なくとも１つを含むイベントに応じて、前記監視対象を監視する、監視装置である。

　これにより、車載システムにおいて、ソフトウェアの改ざんリスクが高いイベントが発生するごとに、監視対象を監視することで、効率的に非同期監視を実施できる効果がある。

　また、前記監視部は、他の監視部の監視処理の実行回数、監視処理において異常と判定された回数と、監視処理において正常と判定された回数のうち少なくとも１つの回数に応じて、前記監視対象を監視する。

　これにより、例えば、第一の監視部の監視対象である第二の監視部がすべての監視対象の数だけ監視処理を実行した後に、第一の監視部が第二の監視部のソフトウェアの監視処理を実施することで、第二の監視部の監視結果をすべて信頼するための監視処理の回数を１回に削減できる効果がある。また、例えば、第一の監視部の監視対象である第二の監視部が異常を１回検知した場合に、第一の監視部が第二の監視部のソフトウェアの監視処理を実行することで、第二の監視部の監視対象に異常が発生した場合にのみ監視処理を実行でき、監視処理の回数を削減できる効果がある。また、例えば、第一の監視部の監視対象である第二の監視部が正常を５回検出した場合に、第一の監視部が第二の監視部のソフトウェアの監視処理を１回実行することで、第一の監視部の監視処理を少なくでき、監視処理の回数を削減できる効果がある。これは、強い実行権限のソフトウェアを動作させるためには実行モードの切り替えが必要である場合が想定できるため、実行モードの切り替え回数を削減することでのオーバーヘッドを削減できる効果がある。

　また、前記監視部は、前記監視対象がソフトウェアである場合、メモリまたはストレージに記憶されている前記監視対象であるソフトウェアのハッシュ値、マスク値、複製値のうち少なくとも１つの情報を取得値として取得し、事前に定義された期待値と取得値を比較し、一致する場合に正常と判定し、一致しない場合に異常と判定する、監視装置である。

　これにより、ソフトウェアの改ざんが行われた場合は、期待値と取得値が異なるため、ソフトウェア改ざんの有無を判定できる効果がある。また、ハッシュ値を用いることで、複製値よりも効率的に改ざんを判定でき、マスク値を用いることで複製値よりも効率的に改ざんの有無を判定できる効果がある。また、複製値を用いることで、ハッシュ値よりも正確に改ざんを判定でき、マスク値を用いることで、ハッシュ値よりも正確に改ざんを判定できる効果がある。

　また、前記ソフトウェアは仮想ソフトウェア基盤のプログラムと設定ファイル、仮想マシンのカーネルプログラムと設定ファイル、仮想マシン上のユーザアプリのプログラムと設定ファイル、前記監視部のプログラムと設定ファイルのうち少なくとも１つを含む、監視装置である。

　これにより、ハイパーバイザと仮想マシンとユーザアプリと監視部に関連するソフトウェアの改ざんの有無を判定できる。

　また、前記監視部は、前記監視対象が通信ログである場合、通信ログを取得し、許可リストと、拒否リストと、正常時の統計情報のうち少なくとも１つを用いて通信ログを検証し、前記許可リストに含まれる場合に正常と判定し、含まれない場合に異常と判定し、前記拒否リストに含まれない場合に正常と判定し、含まれる場合に正常と判定し、前記正常時の統計情報から逸脱していない場合に正常と判定し、逸脱している場合に正常と判定する、監視装置である。

　これにより、異常な通信が送受信された場合は許可リストに含まれず、拒否リストに含まれ、正常時の統計情報から逸脱するため、通信の異常を判定できる。さらに、異常な通信の送信元や宛先情報を取得でき、送信元のソフトウェアが改ざんされている可能性が高く、宛先のソフトウェアが次の攻撃の対象になっている可能性が高いと把握できる効果がある。

　また、前記通信ログは、イーサネット（登録商標）と、ＣＡＮ（登録商標）プロトコルと、ＦｌｅｘＲａｙ（登録商標）プロトコルと、ＳＯＭＥ／ＩＰプロトコルと、ＳＯＭＥ／ＩＰ－ＳＤプロトコルと、システムコールと、ハイパーコールのうち少なくとも一つを含む、監視装置である。

　これにより、車載システムに搭載されるネットワークプロトコルを監視対象とすることで、プロトコル特有のパラメータを用いて通信の異常を判定できる効果がある。さらに、異常と判定された通信ログから送信元と宛先を取得でき、異常が発生しうる監視部や監視対象を特定できる効果がある。さらに、特権命令であるシステムコールや、ハイパーコールを監視対象とすることで、実行権限の境界にて発生する異常を判定でき、異常が発生しうる監視部や監視対象を特定できる効果がある。

　また、前記監視部は、前記監視対象ごとに設定された優先度に応じて、前記監視対象の監視頻度と、監視精度と、監視手段のうち少なくとも１つを変更する、監視装置である。

　これにより、監視対象ごとに改ざんされる可能性と改ざんされた場合の影響の大きさには差があると想定できるため、監視対象ごとに適切な優先度を設定することで、限られたリスース内で改ざんリスクの高い監視対象を重点的に監視できる効果がある。

　また、前記優先度は、前記監視対象の実行権限と、前記監視部または前記監視が動作する仮想マシンが外部ネットワーク接続機能を有するか否かと、前記監視部または前記監視が動作する仮想マシンが車両制御機能を有するか否かのうち少なくとも１つに応じて設定される、監視装置である。

　これにより、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、改ざんされる可能性が低いため優先度を低く設定できる効果がある。また、外部ネットワークと接続されない仮想マシンや、信頼可能な車両の制御機能をもつ仮想マシンは改ざんされる可能性が低いため、優先度を低く設定できる効果がある。

　また、前記監視装置は、さらに、前記監視装置が動作するシステムの状態またはイベントに応じて、前記監視情報に含まれる優先度と、前記監視対象に含まれる監視担当と監視対象の組み合わせである監視構成のうち少なくとも１つを変更する管理部を含む、監視装置である。

　これにより、システムの状態またはイベントによって監視対象の重要度に差がある場合、監視情報を適切な固定値として設定することは困難であると想定できるため、システム起動後であっても監視情報と監視構成を柔軟に変更することで、効果的に監視できる効果がある。例えば、優先度を柔軟に変更すし、優先度に応じて監視対象の監視頻度と監視精度と監視手段を変更することで、限られたリスース内で改ざんリスクの高い監視対象を重点的に監視できる効果がある。また、一つの仮想マシンが再起動するなど、一部の監視部が動作できない状態になった場合に他の監視部が動作できない監視対象の監視を引き継ぐように監視情報を変更することで、監視対象を継続的に監視できる効果がある。また、例えば、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を信頼できる監視部から監視できる効果がある。また、例えば、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を追加で実施することで、複数の監視部によって監視を強化できる効果がある。また、例えば、一つの仮想マシンのＣＰＵやメモリのリソースが圧迫している場合、他の監視部が監視対象の監視を引き継ぐことで、リソースが圧迫によるシステム影響を低減できる効果がある。

　また、前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、監視マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元のうち少なくとも１つに応じて、前記優先度を変更する、監視装置である。

　これにより、ネットワーク接続に関する状態は攻撃可能性に影響するため、監視対象の攻撃可能性の変化に応じて優先度を変更できる効果がある。さらに、ソフトウェアの異常が判定された場合、異常ソフトウェアと同じ仮想マシンのソフトウェアや、同じ実行権限で動作するソフトウェアや、異常を判定した監視部のソフトウェアにおいて、攻撃が発生する可能性が高いと想定できるため、攻撃可能性の変化に応じて優先度を変更できる効果がある。さらに、通信の異常を判定した場合、通信の送信元に異常が発生している可能性が高く、通信の送信先に攻撃が発展する可能性が高いため、攻撃可能性の変化に応じて優先度を変更できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンで動作する監視対象の優先度を変更し、車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである、監視装置である。

　これにより、自動運転中や高度運転支援中の場合、車両の制御機能を有する制御仮想マシンのソフトウェアから、車両の走る、曲がる、止まるに関わる制御コマンドが送信され、エンジン、ステアリング、ブレーキなど制御する制御ＥＣＵが制御コマンドに従うと想定でき、ソフトウェア改ざんの影響が大きいため、車両の制御機能を有する制御仮想マシンのソフトウェアの優先度を上げて重点的に監視できる効果がある。一方で、停止中または手動走行中の場合、制御ＥＣＵが制御コマンドに従わない状態であると想定でき、ソフトウェア改ざんの影響が小さいため、車両の制御機能を有する制御仮想マシンのソフトウェアの監視の優先度を下げることで、他の監視対象の監視処理を優先できる効果がある。

　また、前記管理部は、監視構成の変更後であっても、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、監視構成を変更する、監視装置である。

　これにより、監視構成を変更したとしても、強い実行権限の監視部から弱い実行権限の監視部のソフトウェアを監視することができ、改ざんされる可能性が低い仮想マシンの監視部から改ざんされる可能性の高い仮想マシンの監視部のソフトウェアを監視できるため、いずれかの弱い実行権限監視部が乗っ取られた場合であっても、異常を判定できる効果がある。

　また、前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、仮想マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元のうち少なくとも１つに応じて、監視構成を変更する、監視装置である。

　これにより、ネットワーク接続に関する状態は攻撃可能性に影響するため、監視対象の攻撃可能性の変化に応じて監視構成を変更できる効果がある。また、一つの仮想マシンが再起動するなど、一部の監視部が無効化状態になった場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を継続的に監視できる効果がある。さらに、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を信頼できる監視部から監視できる効果がある。さらに、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を追加で実施することで、複数の監視部によって監視を強化できる効果がある。さらに、一つの仮想マシンのＣＰＵやメモリのリソースが圧迫している場合、他の監視部が監視対象の監視を引き継ぐことで、リソースが圧迫によるシステム影響を削減できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンに関係する監視構成を変更し、車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである、監視装置である。

　これにより、自動運転中や高度運転支援中の場合、車両の制御機能を有する制御仮想マシンのソフトウェアから、車両の走る、曲がる、止まるに関わる制御コマンドが送信され、エンジン、ステアリング、ブレーキなど制御する制御ＥＣＵが制御コマンドに従うと想定でき、ソフトウェア改ざんの影響が大きいため、複数の監視部によって制御仮想マシンのソフトウェアを監視するよう監視構成を変更できる効果がある。停止中または手動走行中の場合、制御ＥＣＵが制御コマンドに従わない状態であると想定でき、ソフトウェア改ざんの影響が小さいため、一つのみの監視部によって負荷の小さい通常の監視を実施できる効果がある。

　また、前記管理部は、予め定義された２以上の監視構成から一つを選択する手段と、監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築する手段と、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築する手段のうち少なくとも１つの手段で監視構成を変更する、監視装置である。

　これにより、複数の監視構成のパターンから、現在のシステム状況およびイベントに応じて適切な監視構成に変更できる効果がある。また、監視構成を有向グラフのデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。また、前記管理部は、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築することで、前記監視構成を変更する、監視装置である。また、監視構成をツリー構造のデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。

　また、前記監視装置は、さらに、監視サーバーへ監視結果を通知する監視サーバー通知部を備える、監視装置である。

　これにより、監視サーバーを介して監視結果をセキュリティ分析官へ通知でき、異常が発生した場合にはソフトウェアの更新など対策を検討できる効果がある。

　また、監視装置と監視サーバーで構成される監視システムであって、前記監視装置は、ソフトウェアまたは通信ログを監視対象として監視する２以上の監視部と、監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として前記監視サーバーへ送信する監視サーバー通信部と、を備え、前記監視サーバーは、前記監視結果を受信し、グラフィカルユーザーインターフェース上に前記監視結果を表示する監視結果表示部を備える、監視システムである。

　これにより、セキュリティ分析官は監視結果を視覚的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策を迅速に検討できる効果がある。

　また、前記監視結果表示部は、システムアーキテクチャに関連付けて前記監視結果を表示し、異常を検知した監視部または異常が検知された監視対象を強調する手段と、所定のタイムラインに関連付けて監視結果を表示し、正常判定時刻または異常判定時刻を強調する手段のうち少なくとも１つの手段でグラフィカルユーザーインターフェース上に監視結果を表示する、監視システムである。

　これにより、セキュリティ分析官は監視部の場所と、監視対象の場所、監視結果を直感的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策をより迅速に検討できる効果がある。また、セキュリティ分析官は監視結果の時系列を直感的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策をより迅速に検討できる効果がある。

　また、前記監視サーバーは、さらに、前記監視対象と、前記監視対象を監視する監視部と、前記監視対象の優先度と、前記優先度に対応した監視方法のうち少なくとも１つの監視情報の変更を受け付け、前記監視装置に前記変更を要求する監視情報変更部を備え前記監視装置は、前記監視情報変更部の要求に応じて前記監視情報を更新する監視情報更新部を備える、監視システムである。

　これにより、セキュリティ分析官は監視結果を分析した結果、監視対象や監視部、優先度、優先度ごとの監視方法などの修正が必要であると判断した場合に、迅速にシステムに修正を反映することができる効果がある。

　また、ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視ステップであって、前記監視ステップは、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて実行され、信頼度の低い監視ステップを実行するソフトウェアを少なくとも１つの信頼度の高い監視ステップにて監視できるように、第一の実行権限にて実行される第一の監視ステップは第二の実行権限にて実行される第二の監視ステップを実行するソフトウェアを監視対象に含む、監視方法である。

　これにより、システムに侵入した攻撃者は弱い実行権限の獲得後、より強い実行権限の獲得を目指すと想定できるため、第一の実行権限よりも弱い第二の実行権限が乗っ取られた後、第二の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部から、第二の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる２段階の監視部を用いることによって、２種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態に係る監視装置について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態１）
　［監視システムの全体構成図］
　図１は、本開示の実施の形態１における監視システムの全体構成図である。

　監視システムは、監視サーバー１０と車載システム２０から構成され、外部ネットワーク３０を介して監視サーバー１０と車載システム２０が接続される。

　外部ネットワーク３０は、例えば、インターネットである。外部ネットワーク３０の通信方法は、有線であっても無線であってもよい。また、無線通信方式は既存技術であるＷｉ－Ｆｉ（登録商標）や、３Ｇ／ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）やＢｌｕｅｔｏｏｔｈ、Ｖ２Ｘ通信方式であってもよい。

　監視サーバー１０は、車載システム２０から車載システム２０のセキュリティ状態に関する情報である監視結果を取得して、グラフィカルユーザーインターフェースを用いて監視結果を表示する装置である。監視サーバー１０は、例えば、セキュリティオペレーションセンターにて、セキュリティ分析官が監視結果を確認して、車載システム２０において異常が発生した場合にソフトウェア更新などの対策を検討する際に利用される。

　車載システム２０は、通信の制御と、車両の制御と、映像の出力などを実施し、車載システム２０のセキュリティ状態を監視し、監視サーバー１０へセキュリティ状態の監視結果を通知する装置である。図１では、車載システム２０は１台のみ記載しているが、１以上の車載システム２０それぞれが、監視サーバー１０へセキュリティ状態の監視結果を送信する。車載システム２０の詳細は後述する。

　［車載システム２０の全体構成図］
　図２は、本開示の実施の形態における車載システムの構成図を示す図である。

　車載システム２０は、統合ＥＣＵ２００と、ゲートウェイＥＣＵ３００と、ステアリングＥＣＵ４００ａと、ブレーキＥＣＵ４００ｂと、ＺｏｎｅＥＣＵ５００と、フロントカメラＥＣＵ６００ａと、リアカメラＥＣＵ６００ｂを備える。

　統合ＥＣＵ２００と、ゲートウェイＥＣＵ３００は、ネットワークプロトコルの一種のＣＡＮ（Ｃｏｎｔｒｏｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）であるＣＡＮ４０を介して接続される。ここで、ＣＡＮでなくとも、ＣＡＮ－ＦＤや、ＦｌｅｘＲａｙプロトコルなどの車載システムで利用されるネットワークプロトコルであってもよい。

　また、ゲートウェイＥＣＵ３００と、ステアリングＥＣＵ４００ａと、ブレーキＥＣＵ４００ｂは、ＣＡＮ４１を介して接続される。

　また、統合ＥＣＵ２００と、ＺｏｎｅＥＣＵ５００は、ネットワークプロトコルの一種のＥｔｈｅｒｎｅｔ（商標登録）のプロトコルであるイーサネット５０を介して接続される。イーサネット５０は、例えば、イーサネット５０はＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　Ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）プロトコルである。ここで、ＳＯＭＥ／ＩＰでなくとも、ＳＯＭＥ／ＩＰ－ＳＤや、ＣＡＮ－ＸＬなど車載システムで利用されるネットワークプロトコルであってもよい。

　また、ＺｏｎｅＥＣＵ５００と、フロントカメラＥＣＵ６００ａと、リアカメラＥＣＵ６００ｂは、イーサネット５０を介して接続される。

　また、ＺｏｎｅＥＣＵ５００と、フロントカメラＥＣＵ６００ａと、リアカメラＥＣＵ６００ｂは、イーサネット５１を介して接続される。

　また、統合ＥＣＵ２００と、監視サーバー１０は、外部ネットワーク３０を介して接続される。

　統合ＥＣＵ２００は、外部ネットワーク３０とＣＡＮ４０とイーサネット５０を介してメッセージを送受信する通信制御と、ＣＡＮ４０とイーサネット５０を介してゲートウェイＥＣＵ３００およびＺｏｎｅＥＣＵ５００へ車両の制御を指示する車両制御と、インフォテイメントシステムやインストルメントパネルへの映像出力を実施し、統合ＥＣＵ２００のセキュリティ状態を監視し、監視サーバー１０へ監視結果を通知するＥＣＵである。統合ＥＣＵ２００の詳細は後述する。

　ゲートウェイＥＣＵ３００は、統合ＥＣＵ２００と、ステアリングＥＣＵ４００ａおよびブレーキＥＣＵ４００ｂの間で送受信されるメッセージを仲介するＥＣＵである。

　ステアリングＥＣＵ４００ａは、車両に搭載されるステアリングの操舵を制御するＥＣＵである。

　ブレーキＥＣＵ４００ｂは、車両に搭載されるブレーキを制御するＥＣＵである。

　図２では、ステアリングＥＣＵ４００ａとブレーキＥＣＵ４００ｂのみを記載しているが、車両のエンジンやボディを制御するＥＣＵを用いて車両の走る、曲がる、止まるといった制御を実現する。

　ＺｏｎｅＥＣＵ５００は、統合ＥＣＵ２００と、フロントカメラＥＣＵ６００ａおよびリアカメラＥＣＵ６００ｂの間で送受信されるメッセージを仲介するＥＣＵである。

　フロントカメラＥＣＵ６００ａは、車両の前方に搭載されたカメラの映像を取得するＥＣＵである。

　リアカメラＥＣＵ６００ｂは、車両の後方に搭載されたカメラの映像を取得するＥＣＵである。

　図２では、フロントカメラＥＣＵとリアカメラＥＣＵのみを記載しているが、ＧＰＳなどの各種センサー情報を収集するＥＣＵを用いて、自動運転やアダプティブクルーズコントロール、自動駐車などの先進運転支援機能を実現する。

　［統合ＥＣＵの構成図］
　図３は、本開示の実施の形態１における統合ＥＣＵ２００の構成図である。統合ＥＣＵ２００は、外部アプリＡ１００と、制御アプリＡ２００と、映像アプリＡ３００（以下、外部アプリＡ１００と、制御アプリＡ２００と、映像アプリＡ３００を総称してアプリケーションと呼ぶことがある）と、外部仮想マシンＶＭ１００と、制御仮想マシンＶＭ２００と、映像仮想マシンＶＭ３００（以下、外部仮想マシンＶＭ１００と、制御仮想マシンＶＭ２００と、映像仮想マシンＶＭ３００を総称して仮想マシンと呼ぶことがある）と、ハイパーバイザＨＶ１００と、セキュアアプリＳＡ１００と、セキュアオペレーティングシステムＳＯＳ１００を備える。

　ハイパーバイザＨＶ１００はハイパーバイザ等の仮想ソフトウェア基盤であり、１以上の仮想マシンを実行および管理するソフトウェアである。一般に、ハイパーバイザはタイプ１と呼ばれるベアメタル型ハイパーバイザと、タイプ２と呼ばれるホスト型と区別される。組み込みシステムでは、一般に、ハイパーバイザによる処理のオーバーヘッドを考慮して、タイプ１が用いられる。タイプ１のハイパーバイザは、コードサイズが小さいため、脆弱性を含む可能性が低く、アプリケーションや仮想マシンと比較して信頼できると想定できる。

　本開示の実施の形態１では、タイプ１のハイパーバイザを例にあげて説明するが、タイプ２のハイパーバイザやコンテナ型の仮想化アプリケーションによる仮想化システムであってもよい。

　セキュアオペレーティングシステムＳＯＳ１００は、脆弱性を含まないように実装された信頼可能なオペレーティングシステムである。さらに、システム起動時に信頼可能なハードウェアのＲｏｏｔ　Ｏｆ　Ｔｒｕｓｔからオペレーティングシステムのソフトウェアは検証されるため、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００の中で最も信頼できると想定できる。セキュアオペレーティングシステムは、例えば、ＴＥＥ（Ｔｒｕｓｔｅｄ　Ｅｘｅｃｕｔｉｏｎ　Ｅｎｖｉｒｏｎｍｅｎｔ）と呼ばれる実行環境の制御を用いて実現される。また、例えば、ＡＲＭ系のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）におけるＣｏｒｔｅｘ－Ａファミリでは標準機能の１つであるＴｒｕｓｔＺｏｎｅ機構により実現され得る。また、ＡｐｐｌｅのＳＥＰ（Ｓｅｃｕｒｅ　Ｅｎｃｌａｖｅ　Ｐｒｏｃｅｓｓｏｒ）、または、ＧｏｏｇｌｅのＴｉｔａｎＭなどによっても実現される。

　セキュアアプリＳＡ１００は、脆弱性を含まないように実装された信頼可能なアプリケーションである。信頼できるセキュアオペレーティングシステムＳＯＳ１００の上で動作するため、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００より信頼できると想定できる。一方で、脆弱性を含まない実装が求められるため、セキュアアプリＳＡ１００のプログラムは単純であることが要求される。

　外部アプリＡ１００は、外部ネットワーク３０を介して監視サーバー１０と通信するアプリケーションである。攻撃者の侵入口となりうる外部ネットワーク３０と接続されるため、外部ネットワーク３０と接続されていない制御アプリＡ２００と映像アプリＡ３００に比べて脆弱であると想定できる。

　外部仮想マシンＶＭ１００は、外部アプリＡ１００を動作させるオペレーティングシステムである。攻撃者の侵入口となりうる外部アプリＡ１００を動作させているため、制御仮想マシンＶＭ２００と、映像仮想マシンＶＭ３００に比べて脆弱であると想定できる。

　制御アプリＡ２００は、ＣＡＮ４０を介してゲートウェイＥＣＵ３００と通信し、車両を制御するアプリケーションである。外部ネットワーク３０と接続されていないため、外部アプリＡ１００に比べて信頼できると想定できる。さらに、車両の制御に関わるソフトウェア開発では、機能安全規格に適用するため、セキュアな設計および実装がなされるため、外部アプリＡ１００に比べて信頼できると想定できる。ただし、制御アプリＡ２００が乗っ取られた場合、車両の制御の機能を攻撃者が使えるため、安全性への影響が大きいと想定できる。

　制御仮想マシンＶＭ２００は、制御アプリＡ２００を動作させるオペレーティングシステムである。外部ネットワーク３０と接続されていないため、攻撃者の侵入口となりうる可能性は低いと想定できる。さらに、車両の制御に関わるソフトウェア開発では、機能安全規格に適用するため、セキュアな設計および実装がなされるため、外部アプリＡ１００や外部仮想マシンＶＭ１００に比べて信頼できると想定できる。ただし、制御仮想マシンＶＭ２００が乗っ取られた場合、車両の制御の機能を攻撃者が使えるため、外部仮想マシンＶＭ１００や映像仮想マシンＶＭ３００が乗っ取られた場合と比較して、影響が大きいと想定できる。

　映像アプリＡ３００は、イーサネット５０を介してＺｏｎｅＥＣＵ５００と通信し、カメラの映像などを取得し、インフォテイメントシステムやインストルメントパネル、ヘッドアップディスプレイに映像を出力するアプリケーションである。また、カメラ映像は自動運転などの先進運転支援機能を実現するための情報としても利用される。外部ネットワーク３０と接続されていないため、攻撃者の侵入口となる可能性が低く、外部アプリＡ１００に比べて信頼できると想定できる。また、映像アプリＡ３００が乗っ取られた場合、車両の制御の機能を攻撃者は使えないため、制御仮想マシンＶＭ２００が乗っ取られた場合と比較して、安全性への影響が小さいと想定できる。

　映像仮想マシンＶＭ３００は、映像アプリＡ３００を動作させるオペレーティングシステムである。外部ネットワーク３０と接続されていないため、攻撃者の侵入口となる可能性が低く、外部アプリＡ１００に比べて信頼できると想定できる。また、映像アプリＡ３００が乗っ取られた場合、車両の制御の機能を攻撃者は使えないため、制御仮想マシンＶＭ２００が乗っ取られた場合と比較して、安全性への影響が小さいと想定できる。

　ここで、各プログラムの実行権限について説明する。一般に、ＣＰＵは複数の特権レベルを各プログラムに割り当てることができる。例えば、ＡＲＭ系のＣＰＵでは、ＥＬ（Ｅｘｅｐｔｉｏｎ　Ｌｅｖｅｌ）に対応し、Ｉｎｔｅｌ系のＣＰＵでは、Ｐｒｏｔｅｃｔｉｏｎ　Ｒｉｎｇに対応する。さらに、ＴＥＥを用いてセキュアワールドとノーマルワールドの２種類の実行環境の制御することで、セキュアにプログラムを実行することができる。一般に、この特権レベルと２種類の実行環境の制御によって、５種類の実行権限を使い分けることができる。本開示の実施の形態１においては、セキュアオペレーティングシステムに、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーションに次に強いセキュアな実行権限（ＰＬ３）を割り当て、ハイパーバイザＨＶ１００に次に強い実行権限（ＰＬ２）を割り当て、仮想マシンに次に強い実行権限（ＰＬ１）を割り当て、仮想マシン上のアプリケーション（ＰＬ０）に最も弱い実行権限を割り当てる。また、弱い実行権限で動作するプログラムからは、強い実行権限で動作するソフトウェアを改ざんすることは基本的には困難である。しかし、実行権限が強い場合であっても、脆弱性や設計不備によってソフトウェアを改ざんされる可能性があるため、強い実行権限で動作するソフトウェアはシンプルなプログラムであること要求される。

　上述した通り、外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が低く、制御アプリＡ２００、映像アプリＡ３００、外部仮想マシンＶＭ１００、制御仮想マシンＶＭ２００、映像仮想マシンＶＭ３００、ハイパーバイザＨＶ１００、セキュアアプリＳＡ１００、セキュアオペレーティングシステムＳＯＳ１００の順番に、改ざんされる可能性が低くなる。改ざんされる可能性が低いことは信頼度が高いことを意味する。

　ここで、攻撃者の攻撃シナリオについて説明する。攻撃者は、外部アプリＡ１００の脆弱性を悪用して、外部ネットワーク３０から外部仮想マシンＶＭ１００へ侵入し、ユーザ権限を獲得する。そして、外部仮想マシンＶＭ１００のシステムコール等の脆弱性を突いて、外部仮想マシンＶＭ１００のカーネル権限を獲得する。そして、ハイパーバイザＨＶ１００のハイパーコール等の脆弱性を突いて、ハイパーバイザＨＶ１００の権限または制御仮想マシンＶＭ２００や映像仮想マシンＶＭ３００の権限を獲得する。ここで、ハイパーコールとは、例えば、仮想マシン間の内部通信と、仮想マシンの起動や終了を指示する特権命令である。

　上述した攻撃シナリオにおいて、攻撃者の振る舞いを正確に捕捉するために、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、セキュアアプリＳＡ１００それぞれにセキュリティ対策機構を導入すると想定できる。セキュリティ対策機構は後述するアプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０を含む。

　図３では記載を省略しているが、燃料や給電状態、給油状態を管理する機能や、事故などシステム異常が発生した場合に緊急アラートを発呼する機能、車両診断を制御する機能、外部デバイス接続を監視する機能が統合ＥＣＵ２００に搭載される。

　［統合ＥＣＵの構成図の詳細］
　図４は、本開示の実施の形態１における統合ＥＣＵの構成図の詳細を示す図である。

　外部アプリＡ１００は外部通信とアプリ領域のソフトウェアを監視するアプリ監視部Ａ１１０を備え、制御アプリＡ２００はＣＡＮ通信とアプリ領域のソフトウェアを監視するアプリ監視部Ａ２１０を備え、映像アプリＡ３００はイーサネット通信とアプリ領域のソフトウェアを監視するアプリ監視部Ａ３１０を備える（以下、アプリ監視部Ａ２１０と、アプリ監視部Ａ２１０と、アプリ監視部Ａ２１０を総称してアプリケーション監視部と呼ぶことがある）。また、外部仮想マシンＶＭ１００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアを監視するＶＭ監視部ＶＭ１１０を備え、制御仮想マシンＶＭ２００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアを監視するＶＭ監視部ＶＭ２１０を備えと、映像仮想マシンＶＭ３００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアを監視するＶＭ監視部ＶＭ３１０を備える（以下、ＶＭ監視部ＶＭ１１０と、ＶＭ監視部ＶＭ２１０と、ＶＭ監視部ＶＭ３１０を総称して仮想マシン監視部と呼ぶことがある）。また、ハイパーバイザＨＶ１００はＨＶ領域のソフトウェアとＶＭ領域のソフトウェアを監視するＨＶ監視部ＨＶ１１０を備える。また、セキュアアプリＳＡ１００はＨＶ領域のソフトウェアとＶＭ領域のソフトウェアを監視するＳＡ監視部ＳＡ１１０と、監視情報を管理する管理部ＳＡ１２０を備える（以下、アプリケーション監視部と、仮想マシン監視部と、ＨＶ監視部ＨＶ１１０と、ＳＡ監視部ＳＡ１１０を総称して多層監視部と呼ぶことがある）。監視情報の詳細は後述する。アプリケーションと、アプリケーション監視部と、仮想マシンと、仮想マシン監視部と、ハイパーバイザＨＶ１００と、ＨＶ監視部ＨＶ１１０と、セキュアアプリＳＡ１００と、ＳＡ監視部ＳＡ１１０の詳細は後述する。

　このように、攻撃者の振る舞いを正確に捕捉するために、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、セキュアアプリＳＡ１００それぞれにセキュリティ対策機構であるアプリケーション監視部と、仮想マシン監視部と、ＨＶ監視部ＨＶ１１０と、ＳＡ監視部ＳＡ１１０を導入すると想定できる。しかし、攻撃者は獲得した実行権限において実行されるセキュリティ対策機構のソフトウェアを改ざんすることで、セキュリティ対策機構を無効化できるため、単純にセキュリティ対策機構を導入するだけでは不十分である。

　また、セキュリティ対策機構を改ざんされる可能性が低いセキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００にすべてのセキュリティ対策機構を実装することが想定できるが、上述の通り、脆弱性が含まれないシンプルなプログラムが要求されるため、複雑なアルゴリズムがセキュリティ対策機構に必要とされる場合、実装は困難である。例えば、ネットワークの異常検知に利用される通信ログの蓄積処理や統計処理、機械学習による処理は、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００では実施できない場合がある。また、実行環境の分離によって、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００がアクセス可能なストレージ領域とメモリ領域は限定されるため、セキュリティ対策機構に必要な対象を取得できない場合、実装は困難である。例えば、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００からは、アプリケーションのソフトウェアや、アプリケーションが利用する通信を取得できない場合がある。

　上記２つの理由から、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、セキュアアプリＳＡ１００それぞれにセキュリティ対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０が仮想マシン監視部のソフトウェアを監視し、仮想マシン監視部がアプリケーション監視部のソフトウェアを監視することで、アプリケーション監視部が改ざんされた場合であっても仮想マシン監視部が異常を検知でき、仮想マシン監視部のソフトウェアが改ざんされた場合であってもＨＶ監視部ＨＶ１１０が異常を検知でき、ＨＶ監視部ＨＶ１１０のソフトウェアが改ざんされた場合であってもＳＡ監視部ＳＡ１１０が異常を検知できる。このように、それぞれの監視部を、より強い実行権限またはより高い信頼度で動作する少なくとも１つの多層監視部から監視することで、一つの監視部が改ざんされて無効化された場合であっても他の監視部から異常を検知できる。そして、信頼可能なソフトウェアであるＳＡ監視部ＳＡ１１０から、ハイパーバイザＨＶ１００、仮想マシン、アプリケーションまで監視を連鎖させるため、攻撃者はすべての監視を回避することは困難である。上記のように、多層監視部において、より強い実行権限またはより高い信頼度を有する監視部から、弱い実行権限または低い信頼度を有する監視部を監視する連鎖を構築することを監視の信頼チェーンを構築すると呼ぶ。

　［外部アプリの構成図］
　図５は、本開示の実施の形態１における外部アプリの構成図を示す図である。

　外部アプリＡ１００は、外部ネットワーク３０を介して通信する外部通信部Ａ１０１と、外部通信とシステムコールを用いて、ナビゲーション情報の取得と音楽やビデオなどのストリーミング情報の取得、更新ソフトウェアのダウンロードを実施する外部アプリ実行部Ａ１０２と、外部アプリのプログラムと設定ファイルを記憶するストレージおよびメモリであるアプリ領域記憶部Ａ１０３と、アプリ監視部Ａ１１０を備える。

　アプリ監視部Ａ１１０は、監視対象取得部Ａ１１１と、システム状態取得部Ａ１１２と、監視部Ａ１１３と、監視情報記憶部Ａ１１４と、監視情報更新部Ａ１１５と、監視結果通知部Ａ１１６を備える。

　監視対象取得部Ａ１１１は、アプリ領域記憶部Ａ１０３から監視対象であるソフトウェアに関する情報を取得し、外部通信部Ａ１０１から外部通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ１１２は、外部通信部Ａ１０１からインターネット接続状態と、監視部Ａ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部Ａ１１３は、監視対象取得部Ａ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ１１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部Ａ１１１にて取得した外部通信ログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、外部通信ログに含まれる特定のメッセージが異常であるか否か判定する機能を有する。

　監視情報記憶部Ａ１１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　監視情報の詳細は後述する。

　このように、アプリ監視部Ａ１１０はアプリ領域のソフトウェアおよび外部通信を監視でき、インターネット接続状態と外部アプリＡ１００のセキュリティ状態を取得できる。外部通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［制御アプリの構成図］
　図６は、本開示の実施の形態１における制御アプリの構成図を示す図である。

　制御アプリＡ２００は、ＣＡＮ４０を介してゲートウェイＥＣＵ３００と通信するＣＡＮ通信部Ａ２０１と、ＣＡＮ通信とシステムコールを用いて、ＶＭ１００の車両の走る、曲がる、止まるなどの制御を指示する制御アプリ実行部Ａ２０２と、制御アプリのプログラムと設定ファイルを記憶するストレージおよびメモリであるアプリ領域記憶部Ａ２０３と、アプリ監視部Ａ２１０を備える。

　アプリ監視部Ａ２１０は、監視対象取得部Ａ２１１と、システム状態取得部Ａ２１２と、監視部Ａ２１３と、監視情報記憶部Ａ２１４と、監視情報更新部Ａ２１５と、監視結果通知部Ａ２１６を備える。

　監視対象取得部Ａ２１１は、アプリ領域記憶部Ａ２０３から監視対象であるソフトウェアに関する情報を取得し、ＣＡＮ通信部Ａ２０１からＣＡＮ通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ２１２は、制御アプリ実行部Ａ２０２から走行状態や起動からの走行距離、起動からの経過時間など車両の状態と、監視部Ａ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部Ａ２１３は、監視対象取得部Ａ２１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ２１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部Ａ２１１にて取得したＣＡＮ通信ログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、ＣＡＮログに含まれる特定のメッセージが異常であるか否かを判定する機能を有する。

　監視情報記憶部Ａ２１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ２１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ２１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、アプリ監視部Ａ２１０はアプリ領域のソフトウェアおよびＣＡＮ通信を監視でき、車両の状態と制御アプリＡ２００のセキュリティ状態を取得できる。ＣＡＮ通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［映像アプリの構成図］
　図７は、本開示の実施の形態１における映像アプリの構成図を示す図である。

　映像アプリＡ３００は、イーサネット５０を介してＺｏｎｅＥＣＵ５００と通信するイーサネット通信部Ａ３０１と、イーサネット通信とシステムコールを用いて、カメラ映像を取得して、ディスプレイへ映像出力する映像アプリ実行部Ａ３０２と、映像アプリのプログラムと設定ファイルを記憶するストレージおよびメモリであるアプリ領域記憶部Ａ３０３と、アプリ監視部Ａ３１０を備える。

　アプリ監視部Ａ３１０は、監視対象取得部Ａ３１１と、システム状態取得部Ａ３１２と、監視部Ａ３１３と、監視情報記憶部Ａ３１４と、監視情報更新部Ａ３１５と、監視結果通知部Ａ３１６を備える。

　監視対象取得部Ａ３１１は、アプリ領域記憶部Ａ３０３から監視対象であるソフトウェアに関する情報を取得し、イーサネット通信部Ａ３０１からイーサネット通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ３１２は、監視部Ａ３１３からセキュリティ状態をシステム状態として取得する機能を有する。

　監視部Ａ３１３は、監視対象取得部Ａ３１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ３１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部Ａ３１１にて取得したイーサネット通信ログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、イーサネット通信ログに含まれる特定のメッセージが異常であるか否かを判定する機能を有する。

　監視情報記憶部Ａ３１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ３１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ３１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、アプリ監視部Ａ３１０はアプリ領域のソフトウェアおよびイーサネット通信を監視でき、映像アプリＡ３００のセキュリティ状態を取得できる。イーサネット通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［外部仮想マシンの構成図］
　図８は、本開示の実施の形態１における外部仮想マシンの構成図を示す図である。

　外部仮想マシンＶＭ１００は、外部アプリ実行部Ａ１０２からシステムコールを受信するアプリ通信部ＶＭ１０１と、システムコールを実行するシステムコール制御部ＶＭ１０２と、外部仮想マシンＶＭ１００のプログラムと、ミドルウェアと、設定ファイルを記憶するストレージおよびメモリであるＶＭ領域記憶部ＶＭ１０３と、ハイパーコールを呼び出すハイパーコール呼出部ＶＭ１０４と、ＶＭ監視部ＶＭ１１０とを備える。

　ＶＭ監視部ＶＭ１１０は、監視対象取得部ＶＭ１１１と、システム状態取得部ＶＭ１１２と、監視部ＶＭ１１３と、監視情報記憶部ＶＭ１１４と、監視情報更新部ＶＭ１１５と、監視結果通知部ＶＭ１１６を備える。

　監視対象取得部ＶＭ１１１は、ＶＭ領域記憶部ＶＭ１０３とアプリ領域記憶部Ａ１０３から監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ１０１からシステムコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ１１２は、監視部ＶＭ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ１１３は、監視対象取得部ＶＭ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ１１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部ＶＭ１１１にて取得したシステムコールログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否か判定する機能を有する。

　監視情報記憶部ＶＭ１１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ１１０はアプリ領域とＶＭ領域のソフトウェアおよびシステムコールを監視でき、外部仮想マシンＶＭ１００と外部アプリＡ１００のセキュリティ状態を取得できる。システムコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［制御仮想マシンの構成図］
　図９は、本開示の実施の形態１における制御仮想マシンの構成図を示す図である。

　制御仮想マシンＶＭ２００は、制御アプリ実行部Ａ２０２からシステムコールを受信するアプリ通信部ＶＭ２０１と、システムコールを実行するシステムコール制御部ＶＭ２０２と、制御仮想マシンＶＭ２００のプログラムと、ミドルウェアと、設定ファイルを記憶するストレージおよびメモリであるＶＭ領域記憶部ＶＭ２０３と、ハイパーコールを呼び出すハイパーコール呼出部ＶＭ２０４と、ＶＭ監視部ＶＭ２１０とを備える。

　ＶＭ監視部ＶＭ２１０は、監視対象取得部ＶＭ２１１と、システム状態取得部ＶＭ２１２と、監視部ＶＭ２１３と、監視情報記憶部ＶＭ２１４と、監視情報更新部ＶＭ２１５と、監視結果通知部ＶＭ２１６を備える。

　監視対象取得部ＶＭ２１１は、ＶＭ領域記憶部ＶＭ２０３とアプリ領域記憶部Ａ１０３から監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ２０１からシステムコールに関する情報を取得する機能を有し、さらに、ハイパーコール制御部ＨＶ１０２からハイパーコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ２１２は、監視部ＶＭ２１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ２１３は、監視対象取得部ＶＭ２１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ２１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部ＶＭ２１１にて取得したシステムコールログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否か判定する機能を有する。さらに、監視対象取得部ＶＭ２１１にて取得したハイパーコールログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、ハイパーコールログに含まれる特定のハイパーコールが異常であるか否か判定する機能を有する。

　監視情報記憶部ＶＭ２１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ２１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ２１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ２１０はアプリ領域とＶＭ領域のソフトウェアおよびシステムコール、ハイパーコールを監視でき、制御仮想マシンＶＭ２００と制御アプリＡ２００のセキュリティ状態を取得できる。システムコールとハイパーコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　ここで、ハイパーコールの監視は制御仮想マシンＶＭ２００にて実行されると記載しているが、ハイパーバイザＨＶ１００にて実施してもよい。

　［映像仮想マシンの構成図］
　図１０は、本開示の実施の形態１における映像仮想マシンの構成図を示す図である。

　映像仮想マシンＶＭ３００は、映像アプリ実行部Ａ３０２からシステムコールを受信するアプリ通信部ＶＭ３０１と、システムコールを実行するシステムコール制御部ＶＭ３０２と、映像仮想マシンＶＭ３００ンのプログラムと、ミドルウェアと、設定ファイルを記憶するストレージおよびメモリであるＶＭ領域記憶部ＶＭ３０３と、ハイパーコールを呼び出すハイパーコール呼出部ＶＭ３０４と、ＶＭ監視部ＶＭ３１０とを備える。

　ＶＭ監視部ＶＭ３１０は、監視対象取得部ＶＭ３１１と、システム状態取得部ＶＭ３１２と、監視部ＶＭ３１３と、監視情報記憶部ＶＭ３１４と、監視情報更新部ＶＭ３１５と、監視結果通知部ＶＭ３１６を備える。

　監視対象取得部ＶＭ３１１は、ＶＭ領域記憶部ＶＭ３０３とアプリ領域記憶部Ａ３０３から監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ３０１からシステムコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ３１２は、監視部ＶＭ３１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ３１３は、監視対象取得部ＶＭ３１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ３１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。さらに、監視対象取得部ＶＭ３１１にて取得したシステムコールログを、許可リストまたは拒否リスト、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否か判定する機能を有する。

　監視情報記憶部ＶＭ３１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ３１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ３１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ３１０はアプリ領域とＶＭ領域のソフトウェアおよびシステムコールを監視でき、映像仮想マシンＶＭ３００と映像アプリＡ３００のセキュリティ状態を取得できる。システムコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［ハイパーバイザの構成図］
　図１１は、本開示の実施の形態１におけるハイパーバイザの構成図を示す図である。

　ハイパーバイザＨＶ１００は、ハイパーコール呼出部ＶＭ３０４、ＶＭ３０５、ＶＭ３０６からハイパーコールを受信する仮想マシン通信部ＨＶ１０１と、ハイパーコールを実行するハイパーコール制御部ＨＶ１０２と、ハイパーバイザＨＶ１００のプログラムと、設定ファイルを記憶するストレージおよびメモリであるＨＶ領域記憶部ＨＶ１０３と、ＨＶ監視部ＨＶ１１０とを備える。

　ＨＶ監視部ＨＶ１１０は、監視対象取得部ＨＶ１１１と、システム状態取得部ＨＶ１１２と、監視部ＨＶ１１３と、監視情報記憶部ＨＶ１１４と、監視情報更新部ＨＶ１１５と、監視結果通知部ＨＶ１１６を備える。

　監視対象取得部ＨＶ１１１は、ＨＶ領域記憶部ＨＶ１０３と、ＶＭ領域記憶部ＶＭ１０３と、ＶＭ領域記憶部ＶＭ２０３と、ＶＭ領域記憶部ＶＭ３０３と、から監視対象であるソフトウェアに関する情報を取得する機能を有する。

　システム状態取得部ＨＶ１１２は、仮想マシンのシステム状態と、ＣＰＵ利用率と、メモリ利用率と、監視部ＨＶ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＨＶ１１３は、監視対象取得部ＨＶ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＨＶ１１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。

　監視情報記憶部ＨＶ１１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＨＶ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＨＶ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＨＶ監視部ＨＶ１１０は、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００と、ＨＶ領域のソフトウェアを監視でき、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００のシステム状態とセキュリティ状態を取得できる。

　［セキュアアプリの構成図］
　図１２は、本開示の実施の形態１におけるセキュアアプリの構成図を示す図である。

　セキュアアプリＳＡ１００は、ＳＡ監視部ＳＡ１１０と、管理部ＳＡ１２０を備える。

　ＳＡ監視部ＳＡ１１０は、監視対象取得部ＳＡ１１１と、システム状態取得部ＳＡ１１２と、監視部ＳＡ１１３と、監視情報記憶部ＳＡ１１４と、監視情報更新部ＳＡ１１５と、監視結果通知部ＳＡ１１６を備える。

　監視対象取得部ＳＡ１１１は、ＨＶ領域記憶部ＨＶ１０３と、ＶＭ領域記憶部ＶＭ１０３と、ＶＭ領域記憶部ＶＭ２０３と、ＶＭ領域記憶部ＶＭ３０３から監視対象であるソフトウェアに関する情報を取得する機能を有する。

　システム状態取得部ＳＡ１１２は、監視部ＳＡ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＳＡ１１３は、監視対象取得部ＳＡ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＳＡ１１４が記憶する監視情報に含まれる期待値を比較し、取得値と期待値が異なる場合に異常と判定し、取得値と期待値が一致する場合に正常と判定する機能を有する。

　監視情報記憶部ＳＡ１１４は、監視担当と、監視対象と、期待値と、優先度に関する情報が含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＳＡ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＳＡ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　管理部ＳＡ１２０は、監視結果取得部ＳＡ１２１と、システム状態取得部ＳＡ１２２と、監視構成記憶部ＳＡ１２３と、監視変更ルール記憶部ＳＡ１２４と、監視情報変更部ＳＡ１２５と、監視サーバー通信部ＳＡ１２６を備える。

　監視結果取得部ＳＡ１２１は、監視結果通知部Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６から監視結果を受信する機能を有する。

　システム状態取得部ＳＡ１２２は、監視結果通知部Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６からシステム状態を受信する機能を有する。

　監視構成記憶部ＳＡ１２３は、複数の多層監視部の信頼チェーン構成パターンを含む監視構成を記憶する機能を有する。

　監視変更ルール記憶部ＳＡ１２４は、システム状態に応じて監視情報に含まれる優先度と監視構成を変更するルールを含む監視変更ルールを記憶する機能を有する。

　監視情報変更部ＳＡ１２５は、監視情報更新部ＳＡ１１５へ監視情報の変更を要求する機能を有する。

　監視サーバー通信部ＳＡ１２６は、監視サーバー１０へ監視結果を通知し、監視サーバー１０から監視情報の変更と監視構成の変更内容と、監視変更ルールの変更の要求を受信し、要求に応答する機能を有する。

　監視構成と監視変更ルールの詳細は後述する。

　このように、ＳＡ監視部ＳＡ１１０は、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００と、ＨＶ領域のソフトウェアを監視でき、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００のセキュリティ状態を取得できる。また、ＳＡ管理部ＳＡ１２０は、システム状態に応じて、適切な監視構成および監視情報に変更できる。

　［監視サーバーの構成図］
　図１３は、本開示の実施の形態１における監視サーバーの構成図を示す図である。

　監視サーバー１０は、車載システム通信部１１と、監視結果表示部１２と、監視構成変更部１３と、監視変更ルール変更部１４と、監視情報変更部１５を備える。

　車載システム通信部１１は、車載システム２０の外部通信部Ａ１０１と通信する機能を有する。

　監視結果表示部１２は、車載システム通信部１１を介して、車載システム２０の外部通信部Ａ１０１から監視結果を受信し、監視結果の情報をグラフィカルユーザーインターフェース上に表示する機能を有する。

　監視構成変更部１３は、監視構成の変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　監視変更ルール変更部１４は、監視変更ルールの変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　監視情報変更部１５は、監視情報の変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　［監視情報の一例］
　図１４－１５は、監視情報の一例を示す図である。

　監視情報は、多層監視部のそれぞれが自身の監視対象を確認し、ソフトウェアおよび通信ログの監視を実施するための情報が記載される。

　図１４において、監視情報は、番号、監視担当、監視対象、メモリ番地、期待値、優先度で構成される。番号は、監視情報を識別するために利用される。監視担当は、監視対象の監視を行う主体者を認識するために利用される。監視対象は、監視の対象となるソフトウェアおよび通信ログを認識するために利用される。メモリ番地は、監視対象を取得するため監視対象が格納されるメモリ番地を認識するために利用される。期待値は、監視対象に関する情報の正常な値を認識するために利用される。優先度は、優先度が高い監視対象ほど重点的に監視するために利用される。優先度の詳細は後述する。

　ここで、アプリ監視部Ａ１１０は外部アプリ監視部、アプリ監視部Ａ２１０は制御アプリ監視部、アプリ監視部Ａ３１０は映像アプリ監視部、ＶＭ監視部ＶＭ１１０は外部ＶＭ監視部、ＶＭ監視部ＶＭ２１０は制御ＶＭ監視部、ＶＭ監視部ＶＭ３１０は映像ＶＭ監視部として記載しており、以下でもこの記載を用いることがある。

　例えば、番号が７である監視情報は、監視担当が外部ＶＭ監視部であり、監視対象がＶＭプログラム１であり、メモリ番地はＶＭ領域Ｂ１０であり、期待値はＢ１０であり、優先度は高である。これは、外部ＶＭ監視部はＶＭプログラム１を重点的に監視し、ＶＭ領域Ｂ１０に格納されるＶＭプログラム１のハッシュ値がＢ１０と一致する場合に正常と判定でき、一致しない場合に異常と判定できる。

　また、例えば、番号が１５である監視情報は、監視担当が制御ＶＭ監視部であり、監視対象がハイパーコールであり、メモリ番地は「―」であり、期待値は「―」であり、優先度は「―」である。これは、制御ＶＭ監視部は、ハイパーコールを監視するが、メモリ番地や期待値、優先度は指定する必要がないことを示している。

　上述の通り、外部通信ログと、ＣＡＮ通信ログと、イーサネット通信ログと、システムコールログと、ハイパーコールログは、例えば、許可リストと拒否リストと正常時の統計情報を用いて異常を判定できる。

　このように、監視情報を用いることで、多層監視部のそれぞれが自身の監視対象を確認し、ソフトウェアおよび通信ログの監視を実施できる。また、監視対象に多層監視部のソフトウェアを含めることによって、多層監視部の監視の信頼チェーンを構築できる。

　図１４において、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ１１０とＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がアプリ監視部Ａ３１０のソフトウェアを監視することで、多層監視部が信頼可能なＳＡ監視部ＳＡ１１０からアプリケーション監視部まで連結しており、監視の信頼チェーンを構築できていることが分かる。

　図１５には、優先度に応じて、ソフトウェアの監視方法を変更するための情報が記載される。図１５において、優先度、監視周期（分）、検証方法、監視対象選択方法で構成される。優先度は、高、中、低の３種類のうちの一種類が記載され、優先度を識別するために利用される。監視周期（分）は、監視対象の監視処理を行う周期を認識するために利用される。検証方法は、監視対象の監視処理を行う方法を認識するために利用される。監視対象選択方法は、監視対象が複数存在する場合に選択する方法を認識するために利用される。

　例えば、優先度が低である場合は、監視周期（分）が１であり、検証方法が複製値であり、監視対象選択方法が固定である。これは、固定の監視対象を１分間隔で複製値を用いて検証することを示している。固定とは、予め決められた監視対象をすべて監視することであり、複製値とはメモリに格納された監視対象の生データを用いて検証することである。

　これにより、優先度が高い監視対象に対して、精度の高い監視を実施できる。

　また、例えば、優先度が中である場合は、監視対象を特定の順番で、１０分間隔で複製値ではなく複製値にマスクをかけた値であるマスク値を用いて検証することを示している。

　また、例えば、優先度が低である場合は、監視対象をランダムの順番で、１００分間隔で複製値のハッシュ値を用いて検証することを示している。

　ここで、優先度が低である場合、メモリ領域を２以上のブロックに分割し、分割ブロックをランダムで選択して監視対象としてもよい。これにより、処理の負荷を低減できる。

　また、特定の監視周期を設定して、周期が訪れたタイミングで監視を即座に実行するのではなく、周期が訪れたタイミング以降のＣＰＵの空き時間に監視を実行してもよい。この場合、監視タイミングは毎回異なるものの、リアルタイム性が重要視されるシステムへの負担を低減できる。

　また、少なくとも１回の監視が実行される期間を設定してもよい。この場合、所定の期間の間にＣＰＵの空き時間を利用して監視を実行できる。

　また、特定のイベントや特定の監視部の検証結果に応じて、監視タイミングを定義してもよい。例えば、インターネット接続のタイミングで、アプリ監視部Ａ１１０のソフトウェアを監視してもよいし、車両の走行状態が自動走行に変更されたタイミングで制御仮想マシンのソフトウェアを監視してもよいし、セキュリティ異常が１回判定されたタイミングで異常と関連する多層監視部のソフトウェアを監視してもよいし、セキュリティ異常がなく正常と２回判定されたタイミングで連結する監視部のソフトウェアを監視してもよい。

　また、通信ログに関しても、メモリ番地にログが含まれる領域を指定してもよく、期待値に許可リストを指定してもくよく、優先度を指定してもよい。この場合、優先度に応じて、通信ログの監視方法も変更してもよい。

　例えば、優先度が高い場合は、高い精度が期待できるすべてのメッセージのペイロード情報を用いて異常を検知する方法を適用し、優先度が低い場合は、処理負荷の低減が期待できるサンプリングしたメッセージのヘッダ情報を用いて異常を検知する方法を適用する。これにより、優先度に応じて通信ログを重点的に監視できる。

　このように、監視対象に応じて優先度を変更することで、改ざんリスクの高い監視対象を重点的に監視でき、改ざんリスクの低い監視対象は処理負荷を下げて監視できる。

　［システム状態の一例］
　図１６は、システム状態の一例を示す図である。

　システム状態は、管理部ＳＡ１２０が統合ＥＣＵ２００のシステム状態を把握するために利用される。図１６において、システム情報は、番号、分類、システム状態、パラメータで構成される。番号は、システム状態を識別するために利用される。分類は、ネットワーク、ＶＭ、セキュリティ、車両の４種類であり、システム状態を区分するために利用される。システム状態は、具体的なシステム状態の名称が記載され、パラメータはシステム状態を特定するためのパラメータが記載される。

　例えば、番号が５であるシステム状態は、分類がＶＭであり、システム状態がＶＭ状態であり、パラメータが、ＶＭ識別子、オンとオフと再起動中のいずれか一つ、時刻である。つまり、システムの異常やソフトウェアの更新の理由で、特定の仮想マシンが再起動する場合、パラメータには、特定の仮想マシンを識別する識別子と、再起動中という状態、状態を判定した時刻が記載される。

　このように、例えば、番号が１であるシステム状態を確認すれば、統合ＥＣＵ２００がインターネットに接続しているかどうかの状態を把握でき、番号が９であるシステム状態は車両の走行状態を確認すれば、自動運転かどうかの状態を把握でき、番号が７であるシステム状態を確認すれば、ソフトウェア検証の結果として異常と判定された監視対象のソフトウェアの情報を把握できる。

　また、システム状態を統合ＥＣＵ２００に搭載されるタイマー、センサー、その他の機能から収集して参照することで、所定の時間経過と、所定の外部ネットワーク接続時間経過と、システム起動と、システム再起動と、外部ネットワーク接続確立と、外部デバイス接続と、走行モードの切り替えと、給油または給電の終了と、車両診断の実施と、緊急アラートの発呼といったシステム状態を取得できる。

　ここで、図１６のシステム状態は、システム状態のリストと、パラメータに記載すべき項目を示している。リストに含まれるシステム状態を取得した場合に、番号とパラメータを他のプログラムへ通知するまたはログに残すことで、他のプログラムとシステム状態を共有できる。

　［監視構成の一例］
　図１７～図２０は、監視構成の一例を示す図である。

　監視構成は、多層監視部を連結させて監視の信頼チェーンを変更するために利用される。

　図１７において、監視構成は、番号と、監視構成で構成される。番号は、監視構成を識別するために利用され、監視構成は多層監視部の連結パターンが記載される。

　図１７の番号１の監視構成は、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ１１０とＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がアプリ監視部Ａ３１０のソフトウェアを監視することで、多層監視部が信頼可能なＳＡ監視部ＳＡ１１０からアプリケーション監視部まで連結しており、監視の信頼チェーンを構築できていることが分かる。

　ここで、制御仮想マシンＶＭ２００は、外部ネットワークと直接接続されていないため、外部仮想マシンＶＭ１００よりも信頼できると想定できるため、より信頼度の高い監視部として扱うことができる。

　また、図１７の番号２の監視構成は、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０の代わりにＶＭ監視部ＶＭ２１０のソフトウェアを監視し、それ以外は番号１の管理構成と同等である。番号１の監視構成と比較すると、ＳＡ監視部ＳＡ１１０の処理とプログラムの複雑性が増加するものの、信頼可能なＳＡ監視部ＳＡ１１０から監視することで、ＶＭ監視部ＶＭ２１０のソフトウェアの信頼度を高めることができる。

　また、図１８の番号３の監視構成は、制御仮想マシンＶＭ２００がシステムダウンした場合であっても監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００がシステムダウンした場合に番号１や番号２の監視構成を継続すると、ＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０を監視対象とする監視担当が不在になり、監視の信頼チェーンを維持できない。

　また、図１８の番号４の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合であっても、ＶＭ監視部ＶＭ２１０の監視対象を限定してＨＶ監視部ＨＶ１１０へ引き継ぐことで、アプリ監視部Ａ２１０以外の監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００にてセキュリティ異常が検知された場合に番号１や番号２の監視構成を継続すると、制御仮想ＶＭマシン２１０がＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０のソフトウェアの監視担当であるが、制御仮想マシンＶＭ２００が改ざんされる可能性が高いため、監視の信頼チェーンを維持できない。

　また、図１９の番号５の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合や制御仮想マシンＶＭ２００が改ざんされた場合のリスクが大きい場合に、監視を強化できる監視構成である。ＳＡ監視部ＳＡ１１０とＨＶ監視部ＨＶ１１０の双方からＶＭ監視部ＶＭ２１０のソフトウェアを検証することによって、監視の頻度、信頼度を高めることができる。ここで、２つの監視結果が異なる場合は、信頼度が高いＳＡ監視部ＳＡ１１０の監視結果を採用することができる。

　また、図１９の番号６の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合であっても、ＶＭ監視部ＶＭ２１０を監視担当から完全に外し、他仮想マシン監視部にアプリ監視部Ａ１１０の監視を引き継ぐことで、監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００にてセキュリティ異常が検知された場合に番号１や番号２の監視構成を継続すると、制御仮想マシンＶＭ２００がＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０のソフトウェアの監視担当であるが、制御仮想マシンＶＭ２００が改ざんされる可能性が高いため、監視の信頼チェーンを維持できない。

　また、図２０の番号７の監視構成は、インターネット接続状態など外部仮想マシンＶＭ１００が改ざんされる可能性が高い場合に、監視を強化できる監視構成である。ＨＶ監視部ＨＶ１１０とＶＭ監視部ＶＭ２１０の双方から、ＶＭ監視部ＶＭ１１０のソフトウェアを検証することによって、監視の頻度、信頼度を高めることができる。ここで、２つの監視結果が異なる場合は、信頼度が高いＨＶ監視部ＨＶ１１０の監視結果を採用することができる。

　このように、複数の監視構成を保持して、システム状態に応じて監視構成を切り替えることによって、ＶＭ異常やセキュリティ異常が発生された場合であっても監視の信頼チェーンの維持が可能であり、システム状態に応じた特定の監視対象の監視の重点化が可能である。

　また、図１７～図２０では閉路のない監視構成のみを記載しているが、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がＶＭ監視部ＶＭ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視するといった巡回監視の監視構成にしてもよいし、各仮想マシン監視部がその他の仮想マシン監視部のソフトウェアを監視するといった相互監視の監視構成にしてもよい。

　また、複数の監視構成を事前に定義して切り替えるのではなく、動的に監視構成を算出して変更してもよい。例えば、監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築することで、前記監視構成を変更できる。また、例えば、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築することで、前記監視構成を変更できる。

　［監視変更ルールの一例］
　図２１は、監視変更ルールの一例を示す図である。

　監視変更ルールは、管理部ＳＡ１２０がシステム状態に応じて監視情報の優先度および監視構成を変更するために利用される。

　図２１において、監視変更ルールは、番号、変更条件、変更処理で構成される。番号は、監視変更ルールを識別するために利用される。変更条件は、変更処理を行うシステム状態であるかを判断するために利用される。変更処理は、監視構成の変更内容について記載される。

　例えば、番号が３である監視変更ルールは、変更条件がインターネット接続確立であり、変更処理がＶＭ監視部ＶＭ１１０とアプリ監視部Ａ１１０に対する監視優先度を一時的に上げるである。つまり、統合ＥＣＵ２００を不正なネットワークに接続させて、不正なソフトウェアをダウンロードさせる攻撃を想定すると、インターネット接続確立の直後はＶＭ監視部ＶＭ１１０とアプリ監視部Ａ１１０のソフトウェアを改ざんされる可能性が高くなる。そのため、一時的に優先度を上げることで、重点的に高頻度で高精度な監視を実施できる。所定時間経過または所定の監視処理が完了した後、一時的に上げた優先度は元の値に戻される。

　また、例えば、番号が１０である監視変更ルールでは、特定の通信において異常が発生した場合、送信元のソフトウェアに異常が発生している可能性が高く、宛先のソフトウェアへ攻撃が展開される可能性が高く、通信の異常を判定した監視部も無効化される可能性が高いため、それぞれ優先度を上げることで重点的に監視ができる。さらに、監視構成を変更することで、複数の監視部から改ざんされる可能性の高いソフトウェアを監視できる。

　また、例えば、番号が６である監視変更ルールでは、特定のＶＭのＣＰＵ使用率が低い場合に、該当ＶＭの処理負荷が大きい監視構成に変更する。これにより、ＣＰＵ使用率が高い仮想マシンに配置された仮想マシン監視部にて多くの監視処理を実施することは他の主要機能へ影響を与える可能性がある。そこで、ＣＰＵ使用率が低い仮想マシン上で動作する仮想マシン監視部が監視を実行することで、リアルタイム性が重要なシステムへの負担を低減できる。

　このように、管理部ＳＡ１２０は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、仮想マシンのシステム状態と、多層監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元に応じて、優先度と監視構成を変更できる。

　［監視結果表示の一例］
　図２２及び図２３は、監視結果表示の一例を示す図である。

　監視結果表示は、監視サーバー１０が車載システム２０から監視結果を受信して、監視結果をグラフィカルユーザーインターフェース上に表示することでセキュリティ分析官へ監視情報を伝達するために利用される。

　車載システム２０から受信する監視結果は、システム状態の分類セキュリティの項目と同じであるが、ソフトウェアが正常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、正常判定した時刻が含まれ、ソフトウェアが異常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、異常判定した時刻が含まれ、通信ログが正常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、正常な通信メッセージと、正常判定した時刻が含まれ、通信ログが異常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、正常な通信メッセージと、異常判定した時刻が含まれる。また、統合ＥＣＵ２００を識別するために、車両を識別する車両ＩＤとＥＣＵを識別するＥＣＵＩＤを監視結果に付与して監視サーバー１０へ送信してもよい。

　図２２において、統合ＥＣＵ２００の抽象化されたシステムアーキテクチャが表示されており、異常と正常の構成要素が強調されて区別できるように表現されており、構成要素の下部に対応する監視結果が表示されている。これにより、セキュリティ分析間は直感的に異常が発生した構成要素を理解することができるため、セキュリティ異常の解析を迅速に実施できる。

　また、図２２において監視構成変更と監視情報変更のボタンがグラフィカルユーザーインターフェースの下部に配置されている。これによって、セキュリティ分析官が監視構成や監視情報の不備やより適切な監視構成を発見した場合に、迅速に車載システム２０へ適用できる。

　また、図２３において、異常が発生した時刻の前後のタイムラインが表示されており、異常と正常の構成要素が強調されて区別できるように表現されており、多層監視部の連結関係を矢印で表現している。これにより、セキュリティ分析間は直感的に異常が発生した時系列を理解することができるため、セキュリティ異常の解析を迅速に実施できる。

　［アプリ監視部の処理のシーケンス］
　図２４は、本開示の実施の形態１におけるアプリ監視部の監視処理のシーケンスを示す図である。

　アプリ監視部Ａ１１０の監視対象取得部Ａ１１１が外部通信ログとアプリ領域のソフトウェア（ＳＷ）のハッシュ値を取得してから、ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。図２４では、外部アプリＡ１００を例に上げて説明するが、制御アプリＡ２００、映像アプリＡ３００の場合は通信ログの種類が異なる以外は同様の処理のシーケンスであるため説明を割愛する。

　（Ｓ２４０１）アプリ監視部Ａ１１０の監視対象取得部Ａ１１１は、外部通信部Ａ１０１から外部通信ログである通信ログを取得し、監視部Ａ１１３へ送信する。

　（Ｓ２４０２）監視部Ａ１１３は、通信ログに異常が含まれているかを判定し、監視結果通知部Ａ１１６へ監視結果を通知する。ここで、監視結果には、ソフトウェアが正常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、判定時刻が含まれ、ソフトウェアが異常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、判定時刻が含まれ、通信が正常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、判定時刻が含まれる。

　（Ｓ２４０３）監視結果通知部Ａ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２４０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　（Ｓ２４０５）監視対象取得部Ａ１１１は、監視情報記憶部Ａ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、アプリ領域記憶部Ａ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部Ａ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部Ａ１１３へ送信する。

　（Ｓ２４０６）監視部Ａ１１３は、取得値と期待値が一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部Ａ１１６へ監視結果を通知する。

　（Ｓ２４０７）監視結果通知部Ａ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２４０８）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［仮想マシン監視部の処理のシーケンス］
　図２５は、本開示の実施の形態１における仮想マシン監視部の監視処理のシーケンスを示す図である。

　ＶＭ監視部ＶＭ２１０の監視対象取得部ＶＭ２１１がシステムコールとハイパーコールとアプリ領域のソフトウェアと、ＶＭ領域のソフトウェアのハッシュ値を取得してから、ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　図２５では、ＶＭ監視部ＶＭ２１０を例に上げて説明するが、ＶＭ監視部ＶＭ１１０、ＶＭ監視部ＶＭ３１０の場合はハイパーコールを取得しない点以外は同様の処理のシーケンスであるため説明を割愛する。

　（Ｓ２５０１）ＶＭ監視部ＶＭ２１０の監視対象取得部ＶＭ２１１は、システムコール制御部ＶＭ２０２とハイパーバイザＨＶ１００のハイパーコール制御部ＨＶ１０２からそれぞれシステムコールとハイパーコールである通信ログを取得し、監視部ＶＭ２１３へ送信する。

　（Ｓ２５０２）監視部ＶＭ２１３は、通信ログに異常が含まれているかを判定し、監視結果通知部ＶＭ２１６へ監視結果を通知する。

　（Ｓ２５０３）監視結果通知部ＶＭ２１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２５０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　（Ｓ２５０５）監視対象取得部ＶＭ２１１は、監視情報記憶部ＶＭ２１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、２０３、３０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＶＭ２１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＶＭ２１３へ送信する。

　（Ｓ２５０６）監視部ＶＭ２１３は、取得値と期待値が一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＨＶ１１６へ監視結果を通知する。

　（Ｓ２５０７）監視結果通知部ＶＭ２１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２５０８）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［ハイパーバイザ監視部の処理のシーケンス］
　図２６は、本開示の実施の形態１におけるハイパーバイザの監視処理のシーケンスを示す図である。

　ＨＶ監視部ＨＶ１１０の監視対象取得部ＨＶ１１１が、ＶＭ領域のソフトウェアとＨＶ領域のソフトウェアのハッシュ値を取得してから、ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　（Ｓ２６０１）ＨＶ監視部ＨＶ１１０の監視対象取得部ＨＶ１１１は、監視情報記憶部ＨＶ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、２０３、３０３とＨＶ領域記憶部ＨＶ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＨＶ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＨＶ１１３へ送信する。

　（Ｓ２６０２）監視部ＨＶ１１３は、取得値と期待値が一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＨＶ１１６へ監視結果を通知する。

　（Ｓ２６０３）監視結果通知部ＨＶ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２６０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［セキュアアプリ監視部の処理のシーケンス］
　図２７は、本開示の実施の形態１におけるセキュアアプリの監視処理のシーケンスを示す図である。

　ＳＡ監視部ＳＡ１１０の監視対象取得部ＳＡ１１１が、ＶＭ領域のソフトウェアとＨＶ領域のソフトウェアのハッシュ値を取得してから、ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　（Ｓ２７０１）ＳＡ監視部ＳＡ１１０の監視対象取得部ＳＡ１１１は、監視情報記憶部ＳＡ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、２０３、３０３とＨＶ領域記憶部ＨＶ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＳＡ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＳＡ１１３へ送信する。

　（Ｓ２７０２）監視部ＳＡ１１３は、取得値と期待値が一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＳＡ１１６へ監視結果を通知する。

　（Ｓ２７０３）監視結果通知部ＳＡ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２７０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［監視サーバー通知処理のシーケンス］
　図２８は、本開示の実施の形態１における監視サーバー通知処理のシーケンスを示す図である。

　ＳＡ監視部ＳＡ１１０の監視結果取得部ＳＡ１２１が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０から監視結果を取得し、監視サーバー１０の監視結果表示部１２が監視結果を表示するまでの処理シーケンスを示している。

　（Ｓ２８０１）ＳＡ監視部ＳＡ１１０の監視結果取得部ＳＡ１２１が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０から監視結果を取得し、監視サーバー通信部ＳＡ１２６へ送信する。

　（Ｓ２８０２）監視サーバー通信部ＳＡ１２６は、外部通信部Ａ１０１を介して、監視サーバー１０の車載システム通信部１１へ監視結果を通知する。

　（Ｓ２８０３）車載システム通信部１１は、監視結果を受信して、監視結果表示部１２へ送信する。

　（Ｓ２８０４）監視結果表示部１２は、監視結果を表示する。

　［監視情報変更処理のシーケンス］
　図２９は、本開示の実施の形態１における監視情報変更処理のシーケンスを示す図である。

　ＳＡ監視部ＳＡ１１０のシステム状態取得部ＳＡ１２２が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０からセキュリティ状態を取得し、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０の監視情報を更新するまでの処理シーケンスを示している。

　（Ｓ２９０１）ＳＡ監視部ＳＡ１１０のシステム状態取得部ＳＡ１２２が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０からセキュリティ状態を取得し、監視情報変更部ＳＡ１２５へ送信する。

　（Ｓ２９０２）監視情報変更部ＳＡ１２５は、監視変更ルール記憶部ＳＡ１２４に格納された監視変更ルールを確認し、システム状態が監視変更ルールの変更条件と一致する場合、変更処理を実施し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５へ変更を要求する。

　（Ｓ２９０３）監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５は監視情報を更新する。

　ここで、監視情報と監視構成は、監視サーバー１０からも変更可能である。その場合、監視サーバー通信部ＳＡ１２６は、監視サーバー１０から変更情報を受信し、監視情報変更部ＳＡ１２５へ送信する。そして、監視情報変更部ＳＡ１２５が、監視構成記憶部ＳＡ１２３に含まれる構成情報を更新し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５のへ監視情報の変更を要求することで実現する。

　［監視処理のフローチャート］
　図３０に、本開示の実施の形態１における監視処理のフローチャートを示す。

　図３０では、アプリ監視部Ａ１１０を例に挙げて説明するが、他のアプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、ＳＡ監視部ＳＡ１１０であっても通信ログの種類と、ソフトウェアの種類が異なる以外は同様である。

　（Ｓ３００１）アプリ監視部Ａ１１０の監視対象取得部Ａ１１１は監視対象である外部通信ログとソフトウェアのハッシュ値を取得し、Ｓ３００２とＳ３００５を実施する。

　（Ｓ３００２）監視部Ａ１１３は、Ｓ３００１にて取得した外部通信ログに異常が含まれるか判定し、異常が含まれる場合にＳ３００３を実施し、異常が含まれない場合にＳ３００４を実施する。

　（Ｓ３００３）監視部Ａ１１３は、監視対象の通信は異常であるとしてシステム状態を更新、Ｓ３００５を実施する。

　（Ｓ３００４）監視部Ａ１１３は、監視対象の通信は正常であるとしてシステム状態を更新し、Ｓ３００５を実施する。

　（Ｓ３００５）監視結果通知部Ａ１１６は、監視結果とシステム状態を監視結果取得部ＳＡ１２１へ通知し、終了する。

　（Ｓ３００６）監視部Ａ１１３は、ソフトウェアに異常が含まれるか判定し、異常が含まれる場合、Ｓ３００７を実施し、異常が含まれない場合、Ｓ３００８を実施する。

　（Ｓ３００７）監視部Ａ１１３は、監視対象のソフトウェアは異常であるとしてシステム状態を更新、Ｓ３００５を実施する。

　（Ｓ３００８）監視部Ａ１１３は、監視対象のソフトウェアは正常であるとしてシステム状態を更新し、Ｓ３００５を実施する。

　［監視変更処理のフローチャート］
　図３１に、本開示の実施の形態１における監視変更処理のフローチャートを示す。

　（Ｓ３１０１）管理部ＳＡ１２０のシステム状態取得部ＳＡ１２２はシステム状態を取得し、Ｓ３１０２を実施する。

　（Ｓ３１０２）監視情報変更部ＳＡ１２５は、監視変更ルール記憶部ＳＡ１２４に格納される監視変更ルールを確認し、Ｓ３１０１にて取得したシステム状態が、監視変更ルールの変更条件に一致するかを判定し、一致する場合にＳ３１０３を実施し、一致しない場合に終了する。

　（Ｓ３１０３）監視情報変更部ＳＡ１２５は、Ｓ３１０２にて一致した監視変更ルールに記載される変更処理を実施し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５のへ監視情報の変更を要求し、終了する。

　［統合ＥＣＵの構成図の詳細の変形例１］
　図３２は、本開示の実施の形態１における統合ＥＣＵの構成図の詳細の変形例１を示す図である。図４では、仮想ソフトウェア基盤としてタイプ１のハイパーバイザＨＶ１００の利用を想定して記載しているが、タイプ２のハイパーバイザＨＶ２００を用いてもよい。この場合、ホストオペレーティングシステムＨＯＳ１００がハイパーバイザＨＶ２００を起動し、ハイパーバイザＨＶ２００が仮想マシンを起動する。

　ハイパーバイザＨＶ２００は、ＨＶ領域のソフトウェアとＶＭ領域のソフトウェアを監視するＨＶ監視部ＨＶ２１０を備え、ホストオペレーティングシステムＨＯＳ１００は、ホストＯＳ領域のソフトウェアとＨＶ領域のソフトウェアとＶＭ領域のソフトウェア、システムコールを監視するホストＯＳ監視部ＨＯＳ１１０を備える。

　各プログラムの実行権限について説明する。図４と同様に、セキュアオペレーティングシステムに、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーションに次に強いセキュアな実行権限（ＰＬ３）を割り当てる。図４とは異なり、ホストオペレーティングシステムＨＯＳ１００に強い実行権限（ＰＬ１）を割り当て、ハイパーバイザＨＶ２００と、仮想マシンにホストオペレーティングシステムＨＯＳ１００と同じ実行権限（ＰＬ１）を割り当てる。そして、図４と同様に、仮想マシン上のアプリケーション（ＰＬ０）に最も弱い実行権限を割り当てる。

　この場合、外部ネットワークと接続される外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が最も低く、次に実行権限が弱い制御アプリＡ２００、映像アプリＡ３００の信頼度が低く、次に実行権限が弱い外部仮想マシンＶＭ１００、制御仮想マシンＶＭ２００、映像仮想マシンＶＭ３００、ハイパーバイザＨＶ２００、ホストオペレーティングシステムＨＯＳ１００の信頼度が低く、セキュアアプリＳＡ１００、セキュアオペレーティングシステムＳＯＳ１００の信頼度が最も高いと想定できる。また、ホストオペレーティングシステムＨＯＳ１００は外部仮想マシンへ外部ネットワークインタフェースをブリッジなどの手段で提供する場合、ホストオペレーティングシステムＨＯＳ１００は外部ネットワークと接続される可能性があり、ホストオペレーティングシステムＨＯＳ１００から仮想マシンへ提供するストレージへアクセスできる可能性もあることから、図４におけるハイパーバイザＨＶ２００とは異なり、ソフトウェアの信頼度は低い。そのため、セキュアアプリから、ホストオペレーティングシステムＨＯＳ１００だけでなく、ハイパーバイザＨＶ２００、仮想マシンのソフトウェアを監視することが望ましい。

　アプリケーション、仮想マシン、ハイパーバイザＨＶ２００、ホストオペレーティングシステムＨＯＳ１００、セキュアアプリＳＡ１００それぞれにセキュリティ対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がホストＯＳ監視部ＨＯＳ１１０のソフトウェアと、ＨＶ監視部ＨＶ２１０のソフトウェアと、仮想マシンのソフトウェアを監視し、仮想マシン監視部がアプリケーション監視部を監視してもいい。

　このように、それぞれの監視部を、より強い実行権限で動作する少なくとも１つの多層監視部から監視することで、監視の信頼チェーンを構築できる。これによって、ホストオペレーティングシステムＨＯＳ１００やハイパーバイザＨＶ２００が乗っ取られた場合であっても、ＳＡ監視部ＳＡ１１０から異常を検知できる。

　なお、ハイパーバイザＨＶ２００にホストオペレーティングシステムＨＯＳ１００より強い実行権限（ＰＬ２）を割り当ててもよい。この場合、実行権限と信頼度と監視の信頼チェーンについては図４の説明と同様になる。

　［統合ＥＣＵの構成図の詳細の変形例２］
　図３３は、本開示の実施の形態１における統合ＥＣＵの構成図の詳細の変形例２を示す図である。図４では、ハイパーバイザＨＶ１００が３種類の仮想マシンを実行および監視を実施する記載しているが、ハイパーバイザＨＶ１００ホストするコンテナ仮想マシンＶＭ４００がコンテナ仮想化基盤であるコンテナエンジンＣＥ１００を用いて、アプリケーション層を仮想化して、コンテナアプリＣＡ１００とコンテナアプリＣＡ２００を動作させることが想定できる。

　コンテナ仮想マシンＶＭ４００は、コンテナエンジンＣＥ１００のソフトウェアと、コンテナアプリＣＡ１００のソフトウェアと設定と、コンテナアプリＣＡ２００のソフトウェアと設定を含むＶＭ領域のソフトウェアを監視するＶＭ監視部ＶＭ４１０を備え、コンテナアプリＣＡ２００は、アプリ領域のソフトウェアと、コンテナアプリＣＡ１００と、コンテナ間通信を監視するコンテナアプリ監視部ＣＡ２１０を備える。

　各プログラムの実行権限について説明する。図４と同様に、セキュアオペレーティングシステムに、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーションに次に強いセキュアな実行権限（ＰＬ３）を割り当て、ハイパーバイザＨＶ１００に次に強い実行権限（ＰＬ２）を割り当て、仮想マシンに次に強い実行権限（ＰＬ１）を割り当てる。コンテナエンジンＣＥ１００と、コンテナアプリＣＡ１００と、コンテナアプリＣＡ２００には最も弱い実行権限を割り当てる。

　ここで、同じ実行権限で動作する複数のコンテナは信頼度が異なると想定してもよい。例えば、コンテナアプリＣＡ１００がＷｉ－ＦｉやＢｌｕｅｔｏｏｔｈなどの近接ネットワークと通信する機能を有し、コンテナアプリＣＡ２００が車両の制御機能を有する場合、ソフトウェアが改ざんされる可能性を考慮すると、コンテナアプリＣＡ１００よりコンテナアプリＣＡ２００の信頼度が高いと考えられる。この場合、コンテナアプリ監視部ＣＡ２１０から、コンテナアプリＣＡ１００のソフトウェアを監視することで、監視の信頼チェーンを同一の実行権限で動作するコンテナ間であっても構築できる。

　この場合、外部ネットワークと接続される外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が最も低く、次に実行権限が弱いが近接ネットワークを介した通信を直接行うコンテナアプリＣＡ２００の信頼度が低く、次に実行権限は同じであるがネットワークを介した通信を直接行わないコンテナアプリＣＡ１００と、コンテナエンジンＣＥ１００の信頼度が低く、次に実行権限が弱い外部仮想マシンＶＭ１００、及び、コンテナ仮想マシンＶＭ４００の信頼度が低く、次に実行権限が弱いハイパーバイザＨＶ１００の信頼度が低くセキュアアプリＳＡ１００、及び、セキュアオペレーティングシステムＳＯＳ１００の信頼度が最も高いと想定できる。

　アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、コンテナ仮想マシンＶＭ４００、コンテナアプリＣＡ１００、コンテナアプリＣＡ２００それぞれに対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアと、仮想マシンのソフトウェアを監視し、ＶＭ監視部ＶＭ４１０がコンテナエンジンＣＥ１００と、コンテナアプリＣＡ１００、コンテナアプリＣＡ２００と、コンテナアプリ監視部ＣＡ２１０を監視し、アプリ監視のソフトウェアと、コンテナアプリＣＡ１００と、コンテナ間通信を監視するコンテナアプリ監視部ＣＡ２１０がアプリ監視のソフトウェアと、コンテナアプリＣＡ１００と、コンテナ間通信を監視することで、それぞれの監視部を、より強い実行権限またはより高い信頼度で動作する少なくとも１つの多層監視部から監視できるため、監視の信頼チェーンを構築できる。

　なお、ハイパーバイザＨＶ１００を用いることは必須でなく、ホストとなるオペレーティングシステムが、アプリケーションをコンテナエンジンＣＥ１００によって仮想化して、コンテナアプリＣＡ１００とコンテナアプリＣＡ２００を動作させてもよい。この場合、実行権限と信頼度と監視の信頼チェーンについては、ハイパーバイザＨＶ１００を削除し、コンテナ仮想マシンＶＭ４００にホストとなるオペレーティングシステムに置き換えることで、図３３の説明と同様である。

　（他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態１を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。

　（１）上記の実施の形態では、自動車に搭載される車載システムにおけるセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。すなわち、モビリティシステムにおけるセキュリティ対策として適用可能である。また、工場やビルなどの産業制御システムに適用してもよい。

　（２）上記の実施の形態では、通信ログとしてセキュアアプリの通信に利用されるセキュアモニタコールを用いていないが、ＶＭ監視部ＶＭ２１０、ＨＶ監視部ＨＶ１１０またはＳＡ監視部ＳＡ１１０、監視対象としてもよい。これにより、セキュアアプリおよびセキュアＯＳが記憶する秘密情報への攻撃試行を補足できる効果がある。

　（３）上記の実施の形態では、セキュアオペレーティングシステムＳＯＳ１００に監視部を実装しない構成のみを記載しているが、監視部を実装してもよい。この場合、セキュアオペレーティングシステムＳＯＳ１００では、脆弱性を含まない実装が求められるため、セキュアアプリのソフトウェアを検証するだけの単純なアルゴリズムの実装が望ましい。

　（４）上記の実施の形態では、ハイパーバイザＨＶ１００は、３種類の仮想マシンを実行および管理すると記載しているが、３種類でなくとも、３未満の仮想マシンであっても、４以上の仮想マシンであってもよい。

　（５）上記の実施の形態では、４種類の実行権限を割り当てると記載しているが、４種類でなくとも、４種類未満であっても、５種類以上であってもよい。

　（６）上記の実施の形態では、外部ネットワークへの接続または、車両の制御の機能の有無に応じて、仮想マシンの信頼度が異なると説明しているが、ユーザログイン機能の有無または、第三者アプリのダウンロード機能の有無に応じて仮想マシンの信頼度が異なっても良い。この場合、ユーザログイン機能を有する場合は、不正ログインされる可能性があるため信頼度は低く、第三者アプリのダウンロード機能を有する場合は、不正ソフトウェアをダウンロードされる可能性があるため信頼度は低いと想定できる。

　（７）上記の実施の形態では、すべての仮想マシンとすべてのアプリケーションとハイパーバイザＨＶ１００とセキュアアプリＳＡ１００に監視部を配置するとして記載しているが、これらの配置は必須でなく、実行権限または仮想マシンの信頼度が異なる２以上の監視部が配置されていればよい。

　（８）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（９）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（１０）本開示の一態様としては、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕｅ―ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１１）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示の監視装置によれば、車載システムに攻撃者が侵入し、信頼度が低い領域に実装された監視プログラムが改ざんされて無効化された場合であっても、車載システムに発生した異常を検知できる。これにより、安全な自動運転や先進運転支援システムを提供することを目的とする。

　１０　監視サーバー
　１１　車載システム通信部
　１２　監視結果表示部
　１３　監視構成変更部
　１４　監視変更ルール変更部
　１５　監視情報変更部
　２０　車載システム
　３０　外部ネットワーク
　４０、４１　ＣＡＮ
　５０、５１　イーサネット
　２００　統合ＥＣＵ
　３００　ゲートウェイＥＣＵ
　４００ａ　ステアリングＥＣＵ
　４００ｂ　ブレーキＥＣＵ
　５００　ＺｏｎｅＥＣＵ
　６００ａ　フロントカメラＥＣＵ
　６００ｂ　リアカメラＥＣＵ
　Ａ１００　外部アプリ
　Ａ１０１　外部通信部
　Ａ１０２　外部アプリ実行部
　Ａ１０３、Ａ２０３、Ａ３０３　アプリ領域記憶部
　Ａ１１０、Ａ２１０、Ａ３１０　アプリ監視部
　Ａ１１１、Ａ２１１、Ａ３１１、ＶＭ１１１、ＶＭ２１１、ＶＭ３１１、ＨＶ１１１、ＳＡ１１１　監視対象取得部
　Ａ１１２、Ａ２１２、Ａ３１２、ＶＭ１１２、ＶＭ２１２、ＶＭ３１２、ＨＶ１１２、ＳＡ１１２　システム状態取得部
　Ａ１１３、Ａ２１３、Ａ３１３、ＶＭ１１３、ＶＭ２１３、ＶＭ３１３、ＨＶ１１３、ＳＡ１１３　監視部
　Ａ１１４、Ａ２１４、Ａ３１４、ＶＭ１１４、ＶＭ２１４、ＶＭ３１４、ＨＶ１１４、ＳＡ１１４　監視情報記憶部
　Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５　監視情報更新部
　Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６　監視結果通知部
　Ａ２００　制御アプリ
　Ａ２０１　ＣＡＮ通信部
　Ａ２０２　制御アプリ実行部
　Ａ３００　映像アプリ
　Ａ３０１　イーサネット通信部
　Ａ３０２　映像アプリ実行部
　ＣＡ１００、ＣＡ２００　コンテナアプリ
　ＣＡ２１０　コンテナアプリ監視部
　ＨＶ１００、ＨＶ２００　ハイパーバイザ
　ＨＶ１０１　仮想マシン通信部
　ＨＶ１０２　ハイパーコール制御部
　ＨＶ１０３　ＨＶ領域記憶部
　ＨＶ１１０、ＨＶ２１０　ＨＶ監視部
　ＨＯＳ１００　ホストオペレーティングシステム
　ＨＯＳ１１０　ホストＯＳ監視部
　ＳＡ１００　セキュアアプリ
　ＳＡ１１０　ＳＡ監視部
　ＳＡ１２０　管理部
　ＳＡ１２１　監視結果取得部
　ＳＡ１２２　システム状態取得部
　ＳＡ１２３　監視構成記憶部
　ＳＡ１２４　監視変更ルール記憶部
　ＳＡ１２５　監視情報変更部
　ＳＡ１２６　監視サーバー通信部
　ＳＯＳ１００　セキュアオペレーティングシステム
　ＶＭ１００　外部仮想マシン
　ＶＭ１０１、ＶＭ２０１、ＶＭ３０１　アプリ通信部
　ＶＭ１０２、ＶＭ２０２、ＶＭ３０２　システムコール制御部
　ＶＭ１０３、ＶＭ２０３、ＶＭ３０３　ＶＭ領域記憶部
　ＶＭ１０４、ＶＭ２０４、ＶＭ３０４　ハイパーコール呼出部
　ＶＭ１１０、ＶＭ２１０、ＶＭ３１０、ＶＭ４１０　ＶＭ監視部
　ＶＭ２００　制御仮想マシン
　ＶＭ３００　映像仮想マシン
　ＶＭ４００　コンテナ仮想マシン

Claims (27)

1. 　ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視部を備え、
   　前記監視部は、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて動作し、
   　信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、
   　第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する第二の監視部のソフトウェアを監視対象に含む、
   　監視装置。
2. 　前記監視装置は、３以上の前記監視部を備え、
   　前記監視部は、それぞれ３種類の実行権限のうちいずれか一つの実行権限にて動作し、
   　信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、
   　第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する監視部のソフトウェアを監視対象に含み、
   　前記第一の監視部と前記第二の監視部のうち少なくとも１つは第三の実行権限にて動作する第三の監視部のソフトウェアを監視対象に含む、
   　請求項１に記載の監視装置。
3. 　前記監視装置は、４以上の前記監視部を備え、
   　前記監視部は、それぞれ４種類の実行権限のうちいずれか一つの実行権限にて動作し、
   　信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、
   　第一の実行権限にて動作する第一の監視部は第二の実行権限にて動作する監視部のソフトウェアを監視対象に含み、
   　前記第一の監視部と前記第二の監視部のうち少なくとも１つは第三の実行権限にて動作する第三の監視部のソフトウェアを監視対象に含み、
   　前記第一の監視部と前記第二の監視部と前記第三の監視部のうち少なくとも１つは第四の実行権限にて動作する第四の監視部のソフトウェアを監視対象に含む、
   　請求項１に記載の監視装置。
4. 　前記監視装置は、セキュアアプリと仮想ソフトウェア基盤と１以上の仮想マシン上にて動作し、
   　前記第一の実行権限は、セキュアアプリの実行権限、仮想ソフトウェア基盤の実行権限、仮想マシンのカーネル実行権限のうちの一つであり、前記第二の実行権限は、仮想ソフトウェア基盤の実行権限、仮想マシンのカーネル実行権限、仮想マシンのユーザ権限のうちの一つであり、前記第三の実行権限は、仮想マシンのカーネル実行権限、仮想マシンのユーザ権限うちの一つであり、前記第四の実行権限は、仮想マシンのユーザ権限である、
   　請求項３に記載の監視装置。
5. 　前記監視装置は、仮想ソフトウェア基盤と２以上の仮想マシン上にて動作し、
   　前記仮想マシンに割り当てられた実行権限にて動作する監視部が２以上存在する場合、第一の仮想マシンの監視部は、第二の仮想マシンの監視部のソフトウェアを監視対象に含み、前記第一の仮想マシンと前記第二の仮想マシンは、攻撃者によって改ざんされる可能性に応じて分類される、
   　請求項１から４のいずれか１項に記載の監視装置。
6. 　前記監視装置は、セキュアアプリと、ホストオペレーティングシステムと、１以上の仮想ソフトウェア基盤および１以上の仮想マシン上、または、１以上のコンテナ仮想化基盤および２以上のコンテナ上にて動作し、
   　前記第一の実行権限と、前記第二の実行権限と、前記第三の実行権限と、前記第四の実行権限は、セキュアアプリの実行権限と、ホストオペレーティングシステムの実行権限と、仮想ソフトウェア基盤の実行権限と、仮想マシンのカーネル実行権限と、仮想マシンのユーザ実行権限と、コンテナの実行権限のうちの一つであり、
   　同一の実行権限にて動作する仮想マシンの監視部が２以上存在する場合、第一の仮想マシンの監視部は、第二の仮想マシンの監視部のソフトウェアを監視対象に含み、
   　前記第一の仮想マシンと前記第二の仮想マシンは、攻撃者によって改ざんされる可能性に応じて分類され、
   　同一の実行権限にて動作するコンテナの監視部が２以上存在する場合、第一のコンテナの監視部は、第二のコンテナの監視部のソフトウェアを監視対象に含み、
   　前記第一のコンテナと前記第二のコンテナは、攻撃者によって改ざんされる可能性に応じて分類される、
   　請求項３に記載の監視装置。
7. 　前記監視部は、所定の時間経過と、所定の外部ネットワーク接続時間経過と、システム起動と、システム再起動と、外部ネットワーク接続確立と、外部デバイス接続のうち少なくとも１つを含むイベントに応じて、前記監視対象を監視する、
   　請求項１から６のいずれか１項に記載の監視装置。
8. 　前記監視装置は、車載システム上において動作し、
   　前記監視部は、所定の走行時間経過と、所定の停止時間経過と、所定の走行距離経過と、走行モードの切り替えと、給油または給電の終了と、車両診断の実施と、緊急アラートの発呼のうち少なくとも１つを含むイベントに応じて、前記監視対象を監視する、
   　請求項１から６のいずれか１項に記載の監視装置。
9. 　前記監視部は、他の監視部の監視処理の実行回数、監視処理において異常と判定された回数と、監視処理において正常と判定された回数のうち少なくとも１つの回数に応じて、前記監視対象を監視する、
   　請求項１から６のいずれか１項に記載の監視装置。
10. 　前記監視部は、前記監視対象がソフトウェアである場合、メモリまたはストレージに記憶されている前記監視対象であるソフトウェアのハッシュ値、マスク値、複製値のうち少なくとも１つの情報を取得値として取得し、事前に定義された期待値と取得値を比較し、一致する場合に正常と判定し、一致しない場合に異常と判定する、
    　請求項１から９のいずれか１項に記載の監視装置。
11. 　前記ソフトウェアは仮想ソフトウェア基盤のプログラムと設定ファイル、仮想マシンのカーネルプログラムと設定ファイル、仮想マシン上のユーザアプリのプログラムと設定ファイル、前記監視部のプログラムと設定ファイルのうち少なくとも１つを含む、
    　請求項１０に記載の監視装置。
12. 　前記監視部は、前記監視対象が通信ログである場合、通信ログを取得し、許可リストと、拒否リストと、正常時の統計情報のうち少なくとも１つを用いて通信ログを検証し、前記許可リストに含まれる場合に正常と判定し、含まれない場合に異常と判定し、前記拒否リストに含まれない場合に正常と判定し、含まれる場合に正常と判定し、前記正常時の統計情報から逸脱していない場合に正常と判定し、逸脱している場合に正常と判定する、
    　請求項１から１１のいずれか１項に記載の監視装置。
13. 　前記通信ログは、イーサネットと、ＣＡＮプロトコルと、ＦｌｅｘＲａｙプロトコルと、ＳＯＭＥ／ＩＰプロトコルと、ＳＯＭＥ／ＩＰ－ＳＤプロトコルと、システムコールと、ハイパーコールのうち少なくとも一つを含む、
    　請求項１２に記載の監視装置。
14. 　前記監視部は、前記監視対象ごとに設定された優先度に応じて、前記監視対象の監視頻度と、監視精度と、監視手段のうち少なくとも１つを変更する、
    　請求項１から１３のいずれか１項に記載の監視装置。
15. 　前記優先度は、前記監視対象の実行権限と、前記監視部または前記監視が動作する仮想マシンが外部ネットワーク接続機能を有するか否かと、前記監視部または前記監視が動作する仮想マシンが車両制御機能を有するか否かのうち少なくとも１つに応じて設定される、
    　請求項１４に記載の監視装置。
16. 　前記監視装置は、さらに、前記監視装置が動作するシステムの状態またはイベントに応じて、監視情報に含まれる優先度と、前記監視対象に含まれる監視担当と監視対象の組み合わせである監視構成のうち少なくとも１つを変更する管理部を含む、
    　請求項１から１５のいずれか１項に記載の監視装置。
17. 　前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、監視マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元のうち少なくとも１つに応じて、前記優先度を変更する、
    　請求項１６に記載の監視装置。
18. 　前記監視装置は、車載システム上において動作し、
    　前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンで動作する監視対象の優先度を変更し、車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである、
    　請求項１６に記載の監視装置。
19. 　前記管理部は、監視構成の変更後であっても、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、監視構成を変更する、
    　請求項１６に記載の監視装置。
20. 　前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、仮想マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元のうち少なくとも１つに応じて、監視構成を変更する、
    　請求項１６または１９に記載の監視装置。
21. 　前記監視装置は、車載システム上において動作し、
    　前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンに関係する監視構成を変更し、車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである、
    　請求項１６または１９に記載の監視装置。
22. 　前記管理部は、予め定義された２以上の監視構成から一つを選択する手段と、監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築する手段と、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築する手段のうち少なくとも１つの手段で監視構成を変更する、
    　請求項１６、１８から２１のいずれかの１項に記載の監視装置。
23. 　前記監視装置は、さらに、監視サーバーへ監視結果を通知する監視サーバー通知部を備える、監視装置である、
    　請求項１に記載の監視装置。
24. 　監視装置と監視サーバーで構成される監視システムであって、
    　前記監視装置は、ソフトウェアまたは通信ログを監視対象として監視する２以上の監視部と、
    　監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として前記監視サーバーへ送信する監視サーバー通信部と、
    　を備え、
    　前記監視サーバーは、前記監視結果を受信し、グラフィカルユーザーインターフェース上に前記監視結果を表示する監視結果表示部を備える、
    　監視システム。
25. 　前記監視結果表示部は、システムアーキテクチャに関連付けて前記監視結果を表示し、異常を検知した監視部または異常が検知された監視対象を強調する手段と、所定のタイムラインに関連付けて監視結果を表示し、正常判定時刻または異常判定時刻を強調する手段のうち少なくとも１つの手段でグラフィカルユーザーインターフェース上に監視結果を表示する、
    　請求項２４に記載の監視システム。
26. 　前記監視サーバーは、さらに、前記監視対象と、前記監視対象を監視する監視部と、前記監視対象の優先度と、前記優先度に対応した監視方法のうち少なくとも１つの監視情報の変更を受け付け、前記監視装置に前記変更を要求する監視情報変更部を備え、
    　前記監視装置は、前記監視情報変更部の要求に応じて前記監視情報を更新する監視情報更新部を備える、
    　請求項２５に記載の監視システム。
27. 　ソフトウェアと通信ログのうち少なくとも１つを監視対象として監視する２以上の監視ステップであって、
    　前記監視ステップは、それぞれ２種類の実行権限のうちいずれか一つの実行権限にて実行され、
    　信頼度の低い監視ステップを実行するソフトウェアを少なくとも１つの信頼度の高い監視ステップにて監視できるように、
    　第一の実行権限にて実行される第一の監視ステップは第二の実行権限にて実行される第二の監視ステップを実行するソフトウェアを監視対象に含む、
    　監視方法。

Images