WO2022255245A1

WO2022255245A1 - インテグリティ検証装置及びインテグリティ検証方法

Info

Publication number: WO2022255245A1
Application number: PCT/JP2022/021723
Authority: WO
Inventors: 剛岸川; 亮平野; 良浩氏家
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2021-05-31
Filing date: 2022-05-27
Publication date: 2022-12-08
Also published as: JPWO2022255245A1; CN117355833A; EP4350551A1; US20240086541A1; WO2022254520A1

Abstract

インテグリティ検証装置であって、ソフトウェアは、車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、インテグリティ検証装置は、ソフトウェアの完全性を検証する検証タイミングを決定する検証スケジュール決定部と、ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断するインテグリティ検証部と、検証タイミングまたは検証範囲の決定に影響を与える検証優先度を決定する検証優先度決定部と、を備える。

Description

インテグリティ検証装置及びインテグリティ検証方法

　本開示は、ソフトウェアのインテグリティを検証するインテグリティ検証装置及びインテグリティ検証方法に関する。

　特許文献１では、ソフトウェアのインテグリティを検証する技術が開示されている。

　特許文献２では、設定された監視スケジュールに基づいてソフトウェアを検証する監視装置が開示されている。

特許第５１９８４２２号公報特許第４３８８２９２号公報

　本開示は、自動車の制御ネットワークに搭載されるＥＣＵで動作するソフトウェアについて、リスクの高いソフトウェアを優先的に検証できる可能性があるインテグリティ検証装置及びインテグリティ検証方法を提供する。

　本開示の一態様に係る検証装置は、車載ネットワークシステムにおける１以上のソフトウェアの完全性を検証するインテグリティ検証装置であって、前記１以上のソフトウェアのそれぞれは、前記車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、前記インテグリティ検証装置は、前記１以上のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定する検証スケジュール決定部と、前記１以上のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、前記検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断するインテグリティ検証部と、前記検証タイミングまたは前記検証範囲の決定に影響を与える検証優先度を決定する検証優先度決定部と、を備える。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。

　本開示の一態様に係るインテグリティ検証装置等によれば、車載ネットワークシステムにおいて、リスクの高いソフトウェアの完全性を優先的に検証できる可能性がある。

図１は、実施の形態における、車載ネットワークシステムの構成図である。図２は、実施の形態における、ドメインコントローラの構成図である。図３は、実施の形態における、セキュアＯＳ部の構成図である。図４は、実施の形態における、ＥＣＵの構成図である。図５は、実施の形態における、検証結果の一例を示す図である。図６は、実施の形態における、インテグリティ情報の一例を示す図である。図７は、実施の形態における、車両状態の一例を示す図である。図８は、実施の形態における、検証優先度の一例を示す図である。図９は、実施の形態における、検証スケジュールの一例を示す図である。図１０は、実施の形態における、車両状態が変化した時のセキュアＯＳ部の動作シーケンスを示す図である。図１１は、実施の形態における、車両状態が変化した時のセキュアＯＳ部の動作シーケンスを示す図である。図１２は、実施の形態における、車両状態が変化した時のセキュアＯＳ部の動作シーケンスを示す図である。図１３は、実施の形態における、セキュアＯＳ部のインテグリティ検証処理のフローチャートである。図１４は、実施の形態における、セキュアＯＳ部の検証優先度の変更処理のフローチャートである。図１５は、その他の変形例における、セキュアＯＳ部のインテグリティ検証時のバリエーションのフローチャートである。図１６は、その他の変形例における、監視サーバのインテグリティ検証状況の表示例を示す図である。

　近年、自動車に搭載されるシステムには、電子制御ユニット（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ、以下、ＥＣＵ）と呼ばれる装置が多数含まれている。これらのＥＣＵをつなぐネットワークは、車載ネットワークと呼ばれる。自動車の高機能化に伴い、ＥＣＵの扱う情報量も増大し、自動車に搭載されるＥＣＵの個数が増加し、かつ、ＥＣＵをつなぐハーネスの長さも長くなることで、自動車の重量の増加することが問題となる。

　このような状況においてＥＣＵの機能を統合化することで、ＥＣＵの個数を減らすアプローチがある。統合化されたＥＣＵはドメインコントローラと呼ばれ高機能なＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）を搭載した１台のハードウェア上に、複数の仮想化されたＥＣＵの機能（ソフトウェア）が実現される。

　ＥＣＵ機能の仮想化はハイパーバイザーという技術によって実現され、ハイパーバイザー上で各機能を実現する仮想マシン（ＶＭ：Ｖｉｒｔｕａｌ　Ｍａｃｈｉｎｅ）が動作する。仮想マシンは実現する機能によってオペレーティングシステムや、セキュリティレベル、機能安全レベル等が異なる。そのため最も脆弱な仮想マシンが侵害されることで、ドメインコントローラ上で動作する他の仮想マシンへ影響が及ぶ等のセキュリティリスクが存在する。

　このような状況に対して、例えば特許文献１のように動作するソフトウェアのインテグリティを検証する技術が公開されている。

　ところで、自動車におけるＥＣＵにおいても各仮想マシンのインテグリティの検証を実施することが考えられる。

　しかしながら、統合化されたＥＣＵの環境において全ての仮想マシンのインテグリティを一度に検証することは、検証時間の増加につながりリアルタイム性が求められるシステムにおいて望ましくない。また、特許文献２では、設定された監視スケジュールに基づいてソフトウェアを検証する監視装置が開示されている。

　しかしながらドメインコントローラのように複数の仮想マシンが動作する装置においては、自動車の状況によってリスクの高い仮想マシンが変化しうるため、予めスケジュールされた検証では、リスクの高い仮想マシンに対して適切なタイミングでインテグリティを検証することができない。つまり、本発明者は、従来技術では、車載ネットワークシステムにおける１以上のソフトウェアのうちでリスクの高いソフトウェアの少なくとも一部の完全性の検証を優先的に行うことが難しいという課題があることを見出した。

　本開示の一態様に係るインテグリティ検証装置は、車載ネットワークシステムにおける１以上のソフトウェアの完全性を検証するインテグリティ検証装置であって、前記１以上のソフトウェアのそれぞれは、前記車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、前記インテグリティ検証装置は、前記１以上のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定する検証スケジュール決定部と、前記１以上のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、前記検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断するインテグリティ検証部と、前記検証タイミングまたは前記検証範囲の決定に影響を与える検証優先度を決定する検証優先度決定部と、を備える。

　これにより、検証優先度に応じて決定された検証タイミングまたは検証範囲に基づいて、適応的に決定された検証対象のソフトウェアの少なくとも一部のインテグリティを検証することができる。つまり、リスクの高いソフトウェアの少なくとも一部の完全性を優先的に検証することができる可能性がある。このため、リスクの少ないソフトウェアの完全性の検証の頻度の低減または検証範囲の縮小を行っても、１以上のソフトウェアの完全性の検証の効果が低減することを抑制することができる。よって、リアルタイム性が求められるシステムにおいて、ソフトウェアの完全性の検証にかかる処理負荷を低減できる。

　また、前記検証スケジュール決定部は、前記１以上のソフトウェアのうちの一のソフトウェアの前記検証優先度が高いほど、前記一のソフトウェアの検証頻度が高くなるように前記一のソフトウェアの検証タイミングを決定してもよい。

　これにより、優先度の高いほど高頻度にソフトウェアの完全性を検証することができ、安全性の向上に効果がある。

　また、前記インテグリティ検証部は、前記１以上のソフトウェアのうちの一のソフトウェアの前記検証優先度が高いほど、大きくなるように前記一のソフトウェアの検証範囲を決定してもよい。

　これにより、優先度の高いほど大きな検証範囲でソフトウェアの完全性を検証することができ、安全性の向上に効果がある。

　また、前記検証優先度決定部は、前記車載ネットワークシステムを搭載する車両の車両状態に応じて、前記ソフトウェアの検証優先度を変更してもよい。

　これにより、車両状態に応じて、機能またはリスクが変化するソフトウェアに対して、適応的に検証優先度を決定することができ、効率的な検証に効果的である。

　また、前記車両状態は、停車中、走行中、自動運転中、診断モード中、充電中、アップデート中、及び、車外ネットワーク通信の有無の少なくとも１つを含んでもよい。

　これにより、ソフトウェアの機能またはリスクが変化する車両状態に対して、適応的に優先度を決定することが可能となり、効率的な検証に効果的である。

　また、前記検証優先度決定部は、前記車両状態に応じて、処理内容が前記車両状態に応じて変化するソフトウェアの前記検証優先度を変更してもよい。

　これにより、例えば、機能またはリスクが車両状態に応じて変化するソフトウェアに対して、検証優先度を変更することができ、効率的なインテグリティ検証に効果的である。

　また、前記１以上のソフトウェアは、前記電子制御装置上で実行されるソフトウェア全体、前記電子制御装置上で実行される仮想化基盤となるハイパーバイザー、オペレーティングシステム、仮想マシン、アプリケーション、プロセス、ファイルのいずれかであってもよい。

　これにより、検証対象のソフトウェアを、詳細に分類することができ、効率的なインテグリティ検証に効果的である。

　また、前記１以上のソフトウェアは、複数の仮想マシンをそれぞれが実現する複数のソフトウェアを含んでもよい。

　これにより、複数の仮想マシンを実現する複数のソフトウェアに対して、検証優先度を変更することができ、効率的なインテグリティ検証に効果的である。

　また、前記インテグリティ検証装置は、さらに、前記１以上のソフトウェアに関する通信異常、前記１以上の電子制御装置が備えるメモリ及びプロセッサ利用量異常の少なくとも１つの異常を示す異常状態を検知する異常監視部を備え、前記検証優先度決定部は、前記１以上のソフトウェアのうち前記異常状態が検知されたソフトウェアに対応する前記検証優先度を高く変更してもよい。

　これにより、車載ネットワークシステムにおける異常状態に応じて、ソフトウェアのインテグリティ検証の優先度を変更することが可能となり、リスクの高い状況で、セキュリティを向上させることに効果的である。

　また本開示の一態様に係るインテグリティ検証方法は、車載ネットワークシステムにおける１以上のソフトウェアの完全性を検証するインテグリティ検証方法であって、前記１以上のソフトウェアのそれぞれは、前記車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、前記インテグリティ検証方法では、前記１以上のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定し、前記１以上のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、前記検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断し、前記検証タイミングまたは前記検証範囲の決定に影響を与える検証優先度を決定する。

　以下、図面を参照しながら、本開示の実施の形態に係るソフトウェアインテグリティ検証装置（インテグリティ検証装置）について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態）
　以下、複数の電子制御ユニット（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）が車載ネットワークを介して通信を行うシステム（車載ネットワークシステム）を搭載した車両における、ソフトウェアインテグリティ検証装置（インテグリティ検証装置）について説明する。

　[１．１　車載ネットワークシステムの構成］
　図１は、本実施の形態における、車載ネットワークシステムの構成図である。車載ネットワークシステムは、車両１０に搭載される。車載ネットワークシステムは、制御ネットワークシステムの一例である。

　図１に示すように、車載ネットワークシステムは、ドメインコントローラ１００ａ、ドメインコントローラ１００ｂと、ＥＣＵ２００ａと、ＥＣＵ２００ｂと、ＥＣＵ２００ｃと、ＥＣＵ２００ｄと、を備える。

　ドメインコントローラ１００ａ及びドメインコントローラ１００ｂのそれぞれは、ドメインと呼ばれる機能単位を制御するＥＣＵを統合化したものである。具体例としてコックピットドメインコントローラでは、車内のインフォテインメントシステム、外部ネットワーク接続、ヘッドアップディスプレイ制御、サラウンドビューモニタ制御など、多数の機能が統合されている。ドメインコントローラ１００ａ及びドメインコントローラ１００ｂのそれぞれは、複数のＥＣＵの機能を有する。

　ドメインコントローラ１００ａ及びドメインコントローラ１００ｂは、例えば、プロセッサ（マイクロプロセッサ）及びメモリ等を含むデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ＲＯＭ（Read Only Memory）及びＲＡＭ（Random Access Memory）を含み、プロセッサにより実行される制御プログラム（コンピュータプログラム）を記憶することができる。

　ドメインコントローラ１００ａ、１００ｂの各機能は、ハイパーバイザー上の独立した仮想マシンによって実現される。ドメインコントローラ１００ａ、１００ｂは、各仮想マシンで実行される制御プログラムの完全性を検証するインテグリティ検証機能を持つ。ドメインコントローラ１００ａ、１００ｂは、車載ネットワークにおける１以上のソフトウェアの完全性を検証するインテグリティ検証装置の一例である。また、制御プログラムは、ソフトウェアの一例である。なお、ソフトウェアの完全性の検証は、インテグリティ検証と言う場合がある。

　また、ドメインコントローラ１００ａ及びドメインコントローラ１００ｂは、車載ネットワークを介して、ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、ＥＣＵ２００ｄまたは図示しない他のドメインコントローラと接続し、通信を行う。車載ネットワークとしては、Controller Area Network（ＣＡＮ（登録商標））やFlexRay（登録商標）、Ethernet（登録商標）が用いられうる。図１では省略されているが、車載ネットワークには、さらに多くのドメインコントローラが含まれうる。

　ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、及び、ＥＣＵ２００ｄは、車載ネットワークを介してドメインコントローラ１００ａまたはドメインコントローラ１００ｂと接続され、ドメインコントローラ１００ａまたはドメインコントローラ１００ｂとの間で制御指示、センサデータ等の通信を行い、これにより車両１０の制御を実現する。図１では省略されているが、車載ネットワークには、さらに多くのＥＣＵが含まれうる。

　ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、及び、ＥＣＵ２００ｄは、図示しないセンサ、アクチュエータ等に接続され、センサが検出したセンサ情報の取得、及び、アクチュエータの制御等を行う。

　ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、及び、ＥＣＵ２００ｄは、例えば、プロセッサ（マイクロプロセッサ）及びメモリ等を含むデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ＲＯＭ及びＲＡＭを含み、プロセッサにより実行される制御プログラム（コンピュータプログラム）を記憶することができる。なお、制御プログラムは、ソフトウェアの一例である。

　例えばプロセッサが、制御プログラムにしたがって動作することにより、ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、ＥＣＵ２００ｄは、各種機能を実現する。コンピュータプログラムは、所定の機能を実現するために、プロセッサに対する命令コードが複数個組み合わされて構成されたものである。

　以上のように、車載ネットワークシステムにおける１以上のソフトウェアのそれぞれは、車載ネットワークに接続されるドメインコントローラ１００ａ、ドメインコントローラ１００ｂ、ＥＣＵ２００ａ、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、及び、ＥＣＵ２００ｄのいずれか１つにおいて実行される。

　[１．２　ドメインコントローラ１００ａの構成］
　図２は、本実施の形態における、ドメインコントローラ１００ａの構成図である。なおドメインコントローラ１００ｂも同様の構成であるため説明を省略する。

　図２に示すように、ドメインコントローラ１００ａは、通信部１０１と、セキュアＯＳ（Operating System）部１０２と、ハイパーバイザー部１０３と、情報処理ＶＭ（Virtual Machine）部１０４ａと、車両制御ＶＭ部１０４ｂと、車外通信ＶＭ部１０４ｃと、を備える。なお、ドメインコントローラ１００ｂにおいても、ＶＭ部の機能や数が異なりうるが、同様に複数のＶＭ部が動作する。なお、ドメインコントローラ１００ａが備える複数のＶＭ部は、例えば、情報処理ＶＭ（Virtual Machine）部１０４ａと、車両制御ＶＭ部１０４ｂと、車外通信ＶＭ部１０４ｃとである。

　通信部１０１は、車載ネットワークに接続された機器との間で通信を行う通信インタフェースである。通信部１０１は、具体的には、他のドメインコントローラや、ＥＣＵとの間で通信を行う。通信部１０１は、ハイパーバイザー部１０３またはセキュアＯＳ部１０２からメッセージを受信し、受信したメッセージを車載ネットワークへ送信する。また、通信部１０１は、車載ネットワークから受信したメッセージをハイパーバイザー部１０３またはセキュアＯＳ部１０２へ送信する。

　セキュアＯＳ部１０２は、ハイパーバイザー部１０３とは独立して動作するセキュリティレベルの高い処理部である。例えば、セキュアＯＳ部１０２のみがアクセス可能なセキュアなメモリ空間が設けられるため、ハイパーバイザー部１０３上の仮想マシンで動作するソフトウェアから、セキュアＯＳ部１０２を侵害することは困難である。セキュアＯＳ部１０２は、ハイパーバイザー部１０３上の仮想マシンで動作するソフトウェアの正当性を検証する機能を持つ。例えば、セキュアＯＳ部１０２は、ハイパーバイザー部１０３上の仮想マシンで動作するソフトウェアの完全性を検証する機能、及び、当該仮想マシンの動作の異常状態を検知する機能を持つ。

　ハイパーバイザー部１０３は、仮想マシンを動作させるための仮想化を実現するプログラムを実行する。ハイパーバイザー部１０３は、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃで実現される複数の仮想マシンを動作させる。また、ハイパーバイザー部１０３は、各ＶＭ部間あるいは通信部１０１の通信を仲介する。なお、仮想マシンを動作させるための仮想化を実現するプログラムは、ソフトウェアの一例である。

　情報処理ＶＭ部１０４ａは、インフォテインメント関連のソフトウェアが動作する仮想マシンである。情報処理では、一例として、ナビゲーションシステムのディスプレイ表示などが行われる。

　車両制御ＶＭ部１０４ｂは、車両制御に関わるソフトウェアが動作する仮想マシンである。車両制御では、一例として、エアコンの設定温度の操作、ドアロックの制御、シートの制御、及び、パワーウィンドウの制御などのためにボディ系の制御信号の送信が行われる。

　車外通信ＶＭ部１０４ｃは、車外との通信するソフトウェアが動作する仮想マシンである。車外との通信では、一例として、スマートフォンとの間の通信、車車間通信、ＯＴＡ（Over-The-Air）サーバとの間の通信、及び、インターネットへの通信などが行われる。

　なお、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃはそれぞれ必須の構成ではなく、その他の機能を実現する仮想マシンであってもよい。つまり、ドメインコントローラ１００ａは、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃの少なくとも１つが他の機能を実現する仮想マシンと置き換えられた１以上の仮想マシンを有してもよいし、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃにさらに他の機能を実現する仮想マシンが追加された１以上の仮想マシンを有してもよいし、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃの一部が除かれた１以上の仮想マシンを有してもよい。

　[１．３　セキュアＯＳ部の構成］
　図３は、本実施の形態における、ドメインコントローラ１００ａのセキュアＯＳ部１０２の構成図である。

　図３に示すように、セキュアＯＳ部１０２は、通信部１０２１と、通信異常監視部１０２２と、検証優先度決定部１０２３と、インテグリティ検証部１０２４と、検証結果保持部１０２５と、インテグリティ情報保持部１０２６と、車両状態保持部１０２７と、検証優先度保持部１０２８と、検証スケジュール保持部１０２９と、を有する。

　通信部１０２１は、通信部１０１との間におけるメッセージの授受を行う通信インタフェースである。また、通信部１０２１は、ハイパーバイザー部１０３、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃとの間においてメッセージの授受を行う通信インタフェースである。また、通信部１０２１は、車両状態の変化を伴うメッセージを受信した場合に、車両状態保持部１０２７に格納されている、当該メッセージに対応する車両状態を更新し、検証優先度決定部１０２３に車両状態保持部１０２７に格納される車両状態を更新したことを通知する。

　通信異常監視部１０２２は、通信部１０２１が送受信するメッセージを監視し、異常な通信が発生しているか否かを検知する。具体的には通信異常監視部１０２２は、所定間隔における各仮想マシンのメッセージの通信量を規定したルールを保有している。通信異常監視部１０２２は、観測される通信量が、保有しているルールより所定の閾値以上離れている場合に、対応する仮想マシンに通信異常が発生していることを検知する。通信異常監視部１０２２は、仮想マシンに通信以上が発生していることを検知すると、車両状態保持部１０２７に格納されている車両状態を更新するとともに、検証優先度決定部１０２３に車両状態保持部１０２７に格納される車両状態を更新したことを通知する。

　検証優先度決定部１０２３は、車両状態保持部１０２７に格納される車両状態をもとに、各仮想マシンのインテグリティ検証に用いる検証優先度を決定し、検証優先度保持部１０２８に格納される検証優先度を更新する。検証優先度は例えば、「高」、「中」、及び、「低」の３段階のランクに設定される。検証優先度が高いほどインテグリティ検証の頻度が高くなるように、検証タイミングが決定される。つまり、検証優先度は、インテグリティ検証の検証タイミングの決定に影響を与える指標である。

　インテグリティ検証部１０２４は、インテグリティ情報保持部１０２６に格納される各仮想マシンのインテグリティ情報をもとに、仮想マシンのインテグリティを検証する。インテグリティ検証部１０２４は、インテグリティの検証タイミングにおいて、対象の仮想マシンのソフトウェアを実行するメモリ空間を参照し、ハッシュ関数アルゴリズムによりハッシュ値を計算する。そして、インテグリティ検証部１０２４は、計算したハッシュ値が、インテグリティ情報保持部１０２６にインテグリティ情報として格納されている、当該ソフトウェアに対応する仮想マシンのハッシュ値と一致するかを確認する。インテグリティ検証部１０２４は、ハッシュ値が一致した場合、対象の仮想マシンのソフトウェアが改ざんされていないと判断する。インテグリティ検証部１０２４は、ハッシュ値が一致しない場合、対象の仮想マシンのソフトウェアが改ざんされていると判断する。

　ここで、インテグリティ情報保持部１０２６に格納される各仮想マシンのインテグリティ情報は、ソフトウェアの完全性を保証するための第一のインテグリティ情報の一例である。第一のインテグリティ情報は、改竄されていないソフトウェア毎、または、ソフトウェアの一部毎に対してハッシュ関数アルゴリズムにより予め算出されたハッシュ値である。例えば、第一のインテグリティ情報は、ソフトウェアが生成された時点で、当該ソフトウェアの全部または一部に対してハッシュ関数アルゴリズムにより算出されてもよいし、ソフトウェアが最初に起動されるときに当該ソフトウェアの全部または一部に対してハッシュ関数アルゴリズムにより算出されてもよい。

　また、インテグリティの検証タイミングにおいて、対象の仮想マシンのソフトウェアを実行するメモリ空間を参照したデータからハッシュ関数アルゴリズムにより計算されたハッシュ値は、第二のインテグリティ情報の一例である。なお、第一のインテグリティ情報を算出するために用いられるハッシュ関数アルゴリズムと、第二のインテグリティ情報を算出するために用いられるハッシュ関数アルゴリズムとは互いに同じである。

　このように、インテグリティ検証部１０２４は、検証対象のソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、検証タイミングにおける当該ソフトウェアの一部から算出される第二のインテグリティ情報とが一致するか否かを判定する。インテグリティ検証部１０２４は、第一のインテグリティ情報と、第二のインテグリティ情報とが一致する場合に、当該ソフトウェアの完全性が満たされていると判断する。

　インテグリティ検証部１０２４は、ソフトウェアの全部毎、または、ソフトウェアの一部毎に検証されたインテグリティ検証結果で、検証結果保持部１０２５に格納されている、ソフトウェアの全部毎、または、ソフトウェアの一部毎のインテグリティ検証結果を検証時刻とともに更新する。また、インテグリティ検証部１０２４は、検証スケジュール保持部１０２９に格納されているスケジュールをもとに、どのタイミングで、どの仮想マシンのインテグリティを検証するかを決定する。具体的には、インテグリティ検証部１０２４は、現在時刻が検証スケジュール保持部１０２９に格納されている１以上のスケジュールのいずれかに該当するか否かを判定し、該当するスケジュールがある場合に、当該スケジュールに対応付けられている仮想マシンのインテグリティを検証する。

　また、インテグリティ検証部１０２４は、検証優先度保持部１０２８に格納される各仮想マシンの検証優先度をもとに、複数の仮想マシンのそれぞれの完全性を検証する検証タイミングを決定する。また、インテグリティ検証部１０２４は、検証優先度保持部１０２８に格納される仮想マシンの検証優先度が変化した場合、変化後の検証優先度をもとに、変化した検証優先度に対応する仮想マシンの検証スケジュールを決定する。そして、インテグリティ検証部１０２４は、決定した検証スケジュールで、検証スケジュール保持部１０２９に格納されている、対応する仮想マシンの検証スケジュールを更新する。インテグリティ検証部１０２４は、検証スケジュール決定部の機能を実現する処理部の一例である。

　検証結果保持部１０２５は、インテグリティ検証部１０２４により検証された結果を保持する。

　インテグリティ情報保持部１０２６は、各仮想マシンのインテグリティ情報を格納している。インテグリティ情報は、各仮想マシンのソフトウェアを実行するメモリ空間の値のハッシュ値である。

　車両状態保持部１０２７は、車両の状態を示す値を格納している。車両の状態には、例えば、車外ネットワークとの接続状況、車両の走行状態、異常な通信の発生状況等が含まれうる。

　検証優先度保持部１０２８は、各仮想マシンのインテグリティの検証優先度を格納している。

　検証スケジュール保持部１０２９は、インテグリティ検証部１０２４が、インテグリティの検証を行う対象の複数の仮想マシンと、各仮想マシンに対応する検証タイミングとを含む検証スケジュールを格納している。検証スケジュールは、複数の仮想マシンのそれぞれについて、当該仮想マシンを識別する情報と、当該仮想マシンの検証タイミングとが対応付けられた情報である。

　[１．４　ＥＣＵの構成］
　図４は、本実施の形態における、ＥＣＵ２００ａの構成図である。なお、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、及び、ＥＣＵ２００ｄも同様の構成であるため、これらの説明を省略する。

　図４に示すように、ＥＣＵ２００ａは、通信部２０１と、アプリケーション部２０２とを有する。

　通信部２０１は、車載ネットワークに接続された機器との間で通信を行う通信インタフェースである。通信部２０１は、具体的には、ドメインコントローラ１００ａ、１００ｂや、他のＥＣＵとの間で通信を行う。通信部２０１は、車載ネットワークに通信接続し、車載ネットワークとの間でメッセージの授受を行う。

　アプリケーション部２０２は、ＥＣＵの機能を実現するソフトウェアが動作する。アプリケーション部２０２は、例えば、通信部２０１から通知されるメッセージに従った制御を実行する。また、アプリケーション部２０２は、ＥＣＵに接続されるセンサにより検出されたセンサ情報を他のＥＣＵへ通知するために当該センサ情報を含むメッセージを他のＥＣＵへ送信する。

　[１．５　検証結果の一例］
　図５は、本実施の形態における、インテグリティ検証の検証結果の一例を示す図である。インテグリティ検証の検証結果は、検証結果保持部１０２５に格納されている。図５では、１つの行が１つの仮想マシンに対する検証結果に対応しており、仮想マシン（検証対象）ごとに検証結果と最終検証時刻とを保持する例が示されている。

　検証対象は、インテグリティ検証の対象となる仮想マシンを実現するソフトウェアを示す。図５では、検証対象の仮想マシンとして、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、及び、車外通信ＶＭ部１０４ｃが符号で示されている。

　検証結果は、インテグリティ検証に成功したか、失敗したかを示す。図５では、インテグリティ検証が成功した場合に「ＯＫ」が示され、インテグリティ検証が失敗した場合に「ＮＧ」が示される。

　最終検証時刻は、検証対象に対するインテグリティ検証のうちで最終（つまり最新）のインテグリティ検証が行された時刻が記載されている。時刻は、秒単位の時刻が示されてもよいし、他の時間間隔単位の時刻が示されてもよい。つまり、図５の１つの行は、最終のインテグリティ検証の検証結果が示されている。なお、インテグリティ検証の検証結果は、最終の検証結果だけでなく、全ての検証結果の履歴が含まれていてもよいし、直近の所定期間に行われた検証結果の履歴が含まれていてもよい。

　１行目の仮想マシン（情報処理ＶＭ部１０４ａ）の検証結果は、検証結果が「ＯＫ」つまりインテグリティ検証に成功したこと、最終検証時刻が「１００（秒）」であることを示している。

　２行目の仮想マシン（車両制御ＶＭ部１０４ｂ）の検証結果は、検証結果が「ＯＫ」であり、最終検証時刻が「１０２（秒）」であることを示している。

　３行目の仮想マシン（車外通信ＶＭ部１０４ｃ）の検証結果は、検証結果が「ＯＫ」であり、最終検証時刻が「１０３（秒）」であることを示している。

　[１．６　インテグリティ情報の一例］
　図６は、本実施の形態における、インテグリティ情報の一例である。インテグリティ情報は、インテグリティ情報保持部１０２６に格納されている。図６では、検証対象の仮想マシンごとにインテグリティ情報の一例であるハッシュ値を保持する例が示されている。

　検証対象は、図５と同様である。

　ハッシュ値は、検証対象の仮想マシンを実現するソフトウェアの完全性を保証するための第一のインテグリティ情報の一例である。

　１行目の仮想マシン（情報処理ＶＭ部１０４ａ）に対するハッシュ値は「ＸＸＸＸＸＸＸＸ」であることを示している。

　２行目の仮想マシン（車両制御ＶＭ部１０４ｂ）に対するハッシュ値は「ＹＹＹＹＹＹＹＹ」であることを示している。

　３行目の仮想マシン（車外通信ＶＭ部１０４ｃ）に対するハッシュ値は「ＺＺＺＺＺＺＺＺ」であることを示している。

　[１．７　車両状態の一例］
　図７は、本実施の形態における、車両状態の一例である。車両状態は、車両状態保持部１０２７に格納されている。図７の例では、車両状態は、車両の走行状態と、外部ネットワーク接続と、通信異常の状態とを含む。

　車両の走行状態では、車両１０の走行を示す状態値が保持されている。車両の走行状態は、例えば、停車中、走行中、自動運転走行中などの状態をとりうる。図７では、走行状態が「停車中」である事が示されている。

　外部ＮＷ接続では、車外のネットワーク、例えばインターネット等に接続されているか否かの状態を示す外部ＮＷ接続状態が保持されている。図７では、外部ＮＷ接続の状態は「有り」、つまり、車両１０が車外のネットワークに接続されていることが示されている。また、車両１０が車外のネットワークに接続されていないことは、「無し」で示される。なお、外部ＮＷ接続の状態は「有り」、「無し」の２値ではなく、接続先の種類や接続先のアドレスが表されてもよい。接続先の種類は、例えば、インターネットや車車間ネットワーク、専用サーバであってよい。

　通信異常では、通信異常監視部１０２２により検知された通信異常の結果が保持されている。通信異常としては、検知箇所、例えばメッセージの送信元となる仮想マシンの情報が含まれうる。図７では、通信異常の状態では「無し」が示され、通信に異常は発生していないことが示されている。

　［１．８　検証優先度の一例］
　図８は、本実施の形態における、検証優先度の一例である。検証優先度は、検証優先度保持部１０２８に格納されている。図８では、検証対象の仮想マシンごとに、検証優先度を保持する例が示されている。

　検証対象は、図５と同様である。

　検証優先度は、インテグリティ検証を行う優先度を示している。検証優先度が高い検証対象ほど即時または高頻度でインテグリティ検証が行われるように検証スケジュールが決定される。例えば、検証優先度が「高」であれば１０秒間隔でインテグリティ検証を行い、検証優先度が「中」であれば３０秒間隔でインテグリティ検証を行い、検証優先度が「低」であれば６０秒間隔でインテグリティ検証を行う。

　１行目の仮想マシン（情報処理ＶＭ部１０４ａ）の検証優先度は「低」であることを示している。

　２行目の仮想マシン（車両制御ＶＭ部１０４ｂ）の検証優先度は「中」であることを示している。

　最後の行の仮想マシン（車外通信ＶＭ部１０４ｃ）の検証優先度は「高」であることを示している。

　［１．９　検証スケジュールの一例］
　図９は、本実施の形態における、検証スケジュールの一例である。検証スケジュールは、検証スケジュール保持部１０２９に格納されている。図９では、検証対象の仮想マシンごとに、次回の検証タイミングである検証時刻を保持する例が示されている。つまり、検証スケジュールは、検証対象の仮想マシンごとに、当該仮想マシンに対して前回インテグリティ検証が行われた時刻に、検証優先度に対応する検証頻度の時間間隔を加算することで、決定される。

　１行目の仮想マシン（情報処理ＶＭ部１０４ａ）の次回のインテグリティ検証時刻は「１６０（秒）」であることを示している。

　２行目の仮想マシン（車両制御ＶＭ部１０４ｂ）の次回のインテグリティ検証時刻は「１３０」であることを示している。

　３行目の仮想マシン（車外通信ＶＭ部１０４ｃ）の次回のインテグリティ検証時刻は「１１０」であることを示している。

　なお、インテグリティ検証時刻は、前回のインテグリティ検証が終了した時点で決定されてもよいし、優先度が変更された時点で決定されてもよい。また、インテグリティ検証時刻は、１つの仮想マシン（ソフトウェア）に対して複数回分の時刻が設定されてもよい。この場合、優先度が変更された時点で次回以降のインテグリティ検証時刻が更新されてもよい。

　［１．１０　セキュアＯＳ部の動作シーケンス１］
　図１０は、本実施の形態における、セキュアＯＳ部１０２の外部ＮＷ接続が変化した時の動作シーケンスである。

　車外通信ＶＭ部１０４ｃは、外部ＮＷ接続が「無し」であることを、セキュアＯＳ部１０２に通知する（Ｓ１００）。

　セキュアＯＳ部１０２は、検証スケジュール保持部１０２９に格納されている検証スケジュールに基づき、車両制御ＶＭ部１０４ｂ、情報処理ＶＭ部１０４ａ、車両制御ＶＭ部１０４ｂ、車外通信ＶＭ部１０４ｃの順番でインテグリティ検証を行う（Ｓ１０１、Ｓ１０２、Ｓ１０３、Ｓ１０４）。

　車外通信ＶＭ部１０４ｃは、外部ＮＷ接続が「無し」から「有り」に変化したことを、セキュアＯＳ部１０２に通知する（Ｓ１０５）。

　セキュアＯＳ部１０２は、外部ＮＷ接続が変化したことに伴い、車外通信ＶＭ部１０４ｃのインテグリティ検証の検証優先度を「高」に変更する（Ｓ１０６）。セキュアＯＳ部１０２は、検証優先度を変更すると、検証優先度に応じた検証頻度を決定し、決定した検証頻度に基づいて、車外通信ＶＭ部１０４ｃの検証スケジュールを決定する。セキュアＯＳ部１０２は、決定した検証スケジュールで車外通信ＶＭ部１０４ｃの検証スケジュールを更新する。

　セキュアＯＳ部１０２は、更新された検証スケジュールに基づいて、車外通信ＶＭ部１０４ｃ、車両制御ＶＭ部１０４ｂ、情報処理ＶＭ部１０４ａ、車外通信ＶＭ部１０４ｃの順番で、インテグリティ検証を行う（Ｓ１０７、Ｓ１０８、Ｓ１０９、Ｓ１１０）。このように、車外通信ＶＭ部１０４ｃの検証優先度が「高」に変化したことに応じて高頻度にインテグリティ検証が実行されるように検証スケジュールが変更されるため、外部ＮＷ接続が「無し」の時よりも、高頻度で車外通信ＶＭ部１０４ｃのインテグリティ検証が実行される。

　［１．１１　セキュアＯＳ部の動作シーケンス２］
　図１１は、本実施の形態における、セキュアＯＳ部１０２の車両状態の走行状態が変化した時の動作シーケンスである。

　車両制御ＶＭ部１０４ｂは、車両状態の走行状態が「停車中」であることを、セキュアＯＳ部１０２に通知する（Ｓ２００）。

　セキュアＯＳ部１０２は、検証スケジュール保持部１０２９に格納されている検証スケジュールに基づき、情報処理ＶＭ部１０４ａ、車外通信ＶＭ部１０４ｃの順番でインテグリティ検証を行う（Ｓ２０１、Ｓ２０２）。

　車両制御ＶＭ部１０４ｂは、車両状態の走行状態が「自動運転走行中」に変化したことを、セキュアＯＳ部１０２に通知する（Ｓ２０３）。

　セキュアＯＳ部１０２は、車両状態の走行状態が変化したことに伴い、車両制御ＶＭ部１０４ｂのインテグリティ検証の検証優先度を「高」に変更する（Ｓ２０４）。セキュアＯＳ部１０２は、検証優先度を変更すると、検証優先度に応じた検証頻度を決定し、決定した検証頻度に基づいて、車両制御ＶＭ部１０４ｂの検証スケジュールを決定する。セキュアＯＳ部１０２は、決定した検証スケジュールで車両制御ＶＭ部１０４ｂの検証スケジュールを更新する。

　セキュアＯＳ部１０２は、更新された検証スケジュールに基づいて、車両制御ＶＭ部１０４ｂのインテグリティ検証を即時に実行する（Ｓ２０５）。

　［１．１２　セキュアＯＳ部の動作シーケンス３］
　図１２は、本実施の形態における、セキュアＯＳ部１０２の車両状態の通信異常が変化した時の動作シーケンスである。

　セキュアＯＳ部１０２は、検証スケジュール保持部１０２９に格納されている検証スケジュールに基づき、車両制御ＶＭ部１０４ｂ、情報処理ＶＭ部１０４ａ、車外通信ＶＭ部１０４ｃの順番でインテグリティ検証を行う（Ｓ３００、Ｓ３０１、Ｓ３０２）。

　情報処理ＶＭ部１０４ａは、他の仮想マシンと通信を行う（Ｓ３０３）。

　セキュアＯＳ部１０２は、情報処理ＶＭ部１０４ａの通信を観測し、異常な通信が発生したことを検知する（Ｓ３０４）。

　セキュアＯＳ部１０２は、異常な通信を検知したことに伴い、対応する情報処理ＶＭ部１０４ａのインテグリティ検証の検証優先度を「高」に変更する（Ｓ３０５）。セキュアＯＳ部１０２は、検証優先度を変更すると、検証優先度に応じた検証頻度を決定し、決定した検証頻度に基づいて、情報処理ＶＭ部１０４ａの検証スケジュールを決定する。セキュアＯＳ部１０２は、決定した検証スケジュールで情報処理ＶＭ部１０４ａの検証スケジュールを更新する。

　セキュアＯＳ部１０２は、更新された検証スケジュールに基づいて、情報処理ＶＭ部１０４ａのインテグリティ検証を即時に実行する（Ｓ３０６）。

　［１．１３　セキュアＯＳ部の処理フローチャート］
　図１３は、セキュアＯＳ部１０２による処理の一例を示すフローチャートである。

　セキュアＯＳ部１０２は、検証スケジュール保持部１０２９に格納される検証スケジュールを参照し、インテグリティ検証の対象となる仮想マシンがあるか否かを確認する（Ｓ４００）。具体的には、セキュアＯＳ部１０２は、現在時刻にインテグリティ検証が実行される検証スケジュールを有する検証対象の仮想マシンがあるか否かを判定する。セキュアＯＳ部１０２は、インテグリティ検証の検証対象の仮想マシンが存在する場合（Ｓ４００でＹｅｓ）、ステップＳ４０１を実行し、そうでない場合（Ｓ４００でＮｏ）はステップＳ４０５を実行する。

　セキュアＯＳ部１０２は、検証対象の仮想マシンが実行されるメモリを参照し、メモリに含まれるデータ値に対してハッシュ関数アルゴリズムを適用することでハッシュ値を算出する（Ｓ４０１）。

　セキュアＯＳ部１０２は、ステップＳ４０１で算出されたハッシュ値と、インテグリティ情報保持部１０２６に保持される検証対象の仮想マシンのインテグリティ情報とが一致するか否かを判定することで、インテグリティ検証を行う（Ｓ４０２）。ハッシュ値とインテグリティ情報とが一致した場合、つまり、検証が成功した場合（Ｓ４０２でＹｅｓ）、検証結果保持部１０２５に格納される検証結果と、検証スケジュール保持部１０２９に格納されるインテグリティの検証スケジュールを更新し（Ｓ４０３）、処理を終了する。セキュアＯＳ部１０２は、インテグリティ検証に失敗した場合（Ｓ４０２でＮｏ）、検証対象の仮想マシンを再起動（Ｓ４０４）して、処理を終了する。

　セキュアＯＳ部１０２は、車両状態保持部１０２７に保持される車両状態に変更があったか否かを判定する（Ｓ４０５）。セキュアＯＳ部１０２は、変更があった場合（Ｓ４０５でＹｅｓ）、ステップＳ４０６を実行する。セキュアＯＳ部１０２は、変更がない場合（Ｓ４０５でＮｏ）、処理を終了する。

　セキュアＯＳ部１０２は、車両状態の変化に応じて、対象となる仮想マシンのインテグリティ検証の検証優先度を変更する（Ｓ４０６）。なお、検証優先度の変更方法の詳細処理は、図１４を用いて詳細に説明する。

　セキュアＯＳ部１０２は、検証優先度の変化に伴い、検証スケジュール保持部１０２９に格納されるインテグリティ検証の検証スケジュールを更新して（Ｓ４０７）、処理を終了する。

　［１．１４　セキュアＯＳ部の検証優先度変更フローチャート］
　図１４は、セキュアＯＳ部１０２の、インテグリティ検証の検証優先度の変更処理のフローチャートである。インテグリティ検証の検証優先度の変更処理は、図１３のステップＳ４０６の詳細処理のフローチャートである。

　セキュアＯＳ部１０２は、車両状態保持部１０２７に格納されている車両状態のうち変化が生じたのは走行状態であるかを判定する（Ｓ５００）。つまり、セキュアＯＳ部１０２は、走行状態に変化が生じたか否かを判定する。セキュアＯＳ部１０２は、車両状態の変化が走行状態である場合（Ｓ５００でＹｅｓ）、ステップＳ５０１を実行する。セキュアＯＳ部１０２は、走行状態でない場合（Ｓ５００でＮｏ）、ステップＳ５０５を実行する。

　セキュアＯＳ部１０２は、走行状態が変化した場合（Ｓ５００でＹｅｓ）、走行状態に応じた処理を実行する（Ｓ５０１）。セキュアＯＳ部１０２は、走行状態が他の状態から「停車中」に変化した場合（Ｓ５０１で「停車中」、車両制御ＶＭ部１０４ｂのインテグリティ検証の検証優先度を「低」に設定し、検証優先度保持部１０２８の検証優先度を「低」に更新する（Ｓ５０２）。セキュアＯＳ部１０２は、走行状態が他の状態から「走行中」に変化した場合（Ｓ５０１で「走行中」）、車両制御ＶＭ部１０４ｂのインテグリティ検証の検証優先度を「中」に設定し、検証優先度を「中」に更新する（Ｓ５０３）。セキュアＯＳ部１０２は、走行状態が他の状態から「自動運転中」に変化した場合（Ｓ５０１で「自動運転中」）、車両制御ＶＭ部１０４ｂのインテグリティ検証の検証優先度を「高」に設定し、検証優先度を「高」に更新する（Ｓ５０４）。セキュアＯＳ部１０２は、優先度を更新した後に処理を終了する。

　セキュアＯＳ部１０２は、車両状態のうち変化が生じたのは走行状態の変化でない場合（Ｓ５００でＮｏ）、車両状態のうち変化が生じたのは外部ＮＷ接続状態であるか否かを判定する（Ｓ５０５）。セキュアＯＳ部１０２は、車両状態の変化が外部ＮＷ接続状態であった場合（Ｓ５０５でＹｅｓ）、ステップＳ５０６を実行し、外部ＮＷ接続状態でない場合（Ｓ５０５でＮｏ）、ステップＳ５０９を実行する。

　セキュアＯＳ部１０２は、外部ＮＷ接続状態が「無」から「有」に変化したか否かを確認する（Ｓ５０６）。セキュアＯＳ部１０２は、外部ＮＷ接続状態が「有」に変化した場合（Ｓ５０６でＹｅｓ）、車外通信ＶＭ部１０４ｃのインテグリティ検証の検証優先度を「高」に設定し（Ｓ５０７）、検証優先度を「高」に更新し、処理を終了する。セキュアＯＳ部１０２は、外部ＮＷ接続状態が「有」から「無」に変化した場合（Ｓ５０６でＮｏ）、車外通信ＶＭ部１０４ｃのインテグリティ検証の検証優先度を「低」に設定し（Ｓ５０８）、検証優先度を「低」に更新し、処理を終了する。

　セキュアＯＳ部１０２は、車両状態のうち変化が生じたのは外部ＮＷ接続状態でない場合（Ｓ５０５でＮｏ）、車両状態のうち変化が生じたのは通信異常であるか否かを判定する（Ｓ５０９）。セキュアＯＳ部１０２は、車両状態の変化が通信異常であった場合（Ｓ５０９でＹｅｓ）、検知した通信異常の内容に対応する仮想マシンの検証優先度を「高」に設定し（Ｓ５１０）、当該仮想マシンの検証優先度を「高」に更新し、処理を終了する。セキュアＯＳ部１０２は、車両状態の変化が通信異常でない場合（Ｓ５０９でＮｏ）、処理を終了する。

　［１．１５　実施の形態の効果］
　本実施の形態に係るドメインコントローラ１００ａは、車載ネットワークシステムにおける仮想マシンのソフトウェアの完全性を検証するインテグリティ検証装置の一例である。複数の仮想マシンに対応する複数のソフトウェアのそれぞれは、車載ネットワークシステムに接続されるドメインコントローラ１００ａにおいて実行される。ドメインコントローラ１００ａは、複数のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定する。ドメインコントローラ１００ａは、複数のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアに対応する第一のインテグリティ情報と、検証タイミングにおける当該ソフトウェアから算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断する。ドメインコントローラ１００ａは、検証タイミングの決定に影響を与える検証優先度を決定する。

　これにより、検証優先度に応じて決定された検証タイミングに基づいて、適応的に決定された検証対象のソフトウェアのインテグリティを検証することができる。つまり、リスクの高いソフトウェアの完全性を優先的に検証することができる可能性がある。このため、リスクの少ないソフトウェアの完全性の検証の頻度を低減しても、複数のソフトウェアの完全性の検証の効果が低減することを抑制することができる。よって、リアルタイム性が求められるシステムにおいて、ソフトウェアの完全性の検証にかかる処理負荷を低減できる。

　また、ドメインコントローラ１００ａは、複数のソフトウェアのうちの一のソフトウェアの検証優先度が高いほど、一のソフトウェアの検証頻度が高くなるように一のソフトウェアの検証タイミングを決定する。これにより、優先度の高いほど高頻度にソフトウェアの完全性を検証することができ、安全性の向上に効果がある。

　さらに、ドメインコントローラ１００ａは、仮想マシンの検証優先度に基づき当該仮想マシンの検証スケジュールを更新する。これにより、ドメインコントローラ１００ａは、リスクの高い仮想マシンに対して検証優先度を高く割り当てることで高頻度に仮想マシンのインテグリティを検証することが可能となる。

　また、ドメインコントローラ１００ａは、車載ネットワークシステムを搭載する車両状態に応じて、ソフトウェアの検証優先度を更新する。これにより、車両状態に応じて変化する仮想マシンのリスクに対応して、検証優先度を決定することができ、仮想マシンのインテグリティを適応的に検証することが可能となる。

　また、車両状態は、停車中、走行中、自動運転中、診断モード中、充電中、アップデート中、及び、車外ネットワーク通信の有無の少なくとも１つを含む。これにより、ソフトウェアの機能またはリスクが変化する車両状態に対して、適応的に優先度を決定することが可能となり、効率的な検証に効果的である。

　また、ドメインコントローラ１００ａは、車両状態に応じて、処理内容が車両状態に応じて変化するソフトウェアの検証優先度を変更する。これにより、例えば、機能またはリスクが車両状態に応じて変化するソフトウェアに対して、検証優先度を変更することができ、効率的なインテグリティ検証に効果的である。

　また、複数のソフトウェアは、複数の仮想マシンをそれぞれが実現する複数のソフトウェアを含む。これにより、複数の仮想マシンを実現する複数のソフトウェアに対して、検証優先度を変更することができ、効率的なインテグリティ検証に効果的である。

　また、ドメインコントローラ１００ａは、さらに、複数のソフトウェアに関する通信異常、ドメインコントローラ１００ａが備えるメモリ及びプロセッサ利用量異常の少なくとも１つの異常を示す異常状態を検知する。ドメインコントローラ１００ａは、複数のソフトウェアのうち異常状態が検知されたソフトウェアに対応する検証優先度を高く変更する。これにより、車載ネットワークシステムにおける異常状態に応じて、ソフトウェアのインテグリティ検証の優先度を変更することが可能となり、リスクの高い状況で、セキュリティを向上させることに効果的である。

　このように、本実施の形態に係るドメインコントローラ１００ａは、車載ネットワークシステムにおいて、機能またはセキュリティレベル（リスク）の異なる仮想マシンに対して、車両状態に応じて検証優先度を変更することで適応的にインテグリティを検証することができる。

　［その他変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、車載ネットワークの物理層やデータリンク層を特に限定していないが、Ｅｔｈｅｒｎｅｔ（登録商標）が使用されていてもよいし、これに限定されることなく、ＣＡＮ（登録商標）、ＣＡＮ－ＦＤ（Ｆｌｅｘｉｂｌｅ－Ｄａｔａｒａｔｅ）、Ｅｔｈｅｒｎｅｔ、及び、ＬＩＮ、ＦｌｅｘＲａｙ（登録商標）のいずれかであってもよいし、これらの車載ネットワークの物理層やデータリンク層の複数の具体例を組み合わせた構成であってもよい。

　（２）上記実施の形態では、インテグリティの検証優先度決定部１０２３は、ドメインコントローラ１００ａ内のセキュアＯＳ部１０２に存在したが、検証優先度決定部１０２３は、セキュアＯＳ部１０２に存在しなくてもよい。また、検証優先度決定部１０２３は、ドメインコントローラ１００ａの外部にあってもよく、検証優先度をドメインコントローラ１００ａへネットワーク経由で通知してもよい。これにより、検証優先度は、外部通信により設定されることが可能となり、より柔軟に検証優先度を決定することが可能となる。

　（３）上記実施の形態では、検証優先度が「高」、「中」、及び、「低」の３段階である例を示したが検証優先度の表現方法はこれに限らない。検証優先度は、例えば数値により表されてもよく、数値の大小関係で優先関係が示されてもよい。これにより、検証優先度を細かく表現することが可能となり、インテグリティの検証処理をより柔軟に実現することが可能となる。

　（４）上記実施の形態では、インテグリティ情報保持部１０２６は、インテグリティ情報として、仮想マシンの実行メモリに含まれる値のハッシュ値を保持しているが、インテグリティ情報はこれに限らない。インテグリティ情報保持部１０２６は、例えば仮想マシン上のアプリケーションや構成ファイル単位でハッシュ値を保持していてもよいし、アプリケーションや、構成ファイルの一部の値から算出されるハッシュ値を保持していてもよい。つまり、インテグリティ検証の検証対象となるソフトウェアは、１つの機能を実現するソフトウェア単位でなくてもよく、当該ソフトウェアの一部であってもよい。これによりインテグリティ検証を行う対象を限定することができ、検証時間の短縮化につながり効果的である。

　（５）上記実施の形態では、インテグリティ情報を算出するハッシュ関数アルゴリズムについて特に限定していなかったが、例えばハッシュ関数アルゴリズムとしては、ＳＨＡ（Ｓｅｃｕｒｅ　Ｈａｓｈ　Ａｌｇｏｒｉｔｈｍ）‐１やＳＨＡ‐２、ＳＨＡ－３が用いられてもよいし、その他の暗号学的ハッシュ関数や鍵付きハッシュ関数が用いられてもよい。

　（６）上記実施の形態では、インテグリティ情報保持部１０２６に格納されているインテグリティ情報は、改ざんが困難なメモリ領域に格納されていてもよい。またインテグリティ情報の更新は、特別な権限を持つ機能（あるいは、特別な権限を持つ仮想マシンまたはＥＣＵなど）のみが実施可能であるとしてもよい。またインテグリティ情報は、デジタル署名により完全性が保護されており、起動時にデジタル署名の検証によりインテグリティ情報の完全性を検証してもよい。これによりインテグリティ情報を改ざんすることで、不正なソフトウェアの検出を回避することを防ぐことが可能となる。

　（７）上記実施の形態では、通信異常監視部１０２２はセキュアＯＳ部１０２に存在したが、セキュアＯＳ部１０２あるいはドメインコントローラ１００ａ内に存在しなくてもよく、ドメインコントローラ外部に存在してもよい。この場合、ドメインコントローラ１００ａは、外部に存在する通信異常監視部１０２２の結果を受信し、車両状態保持部１０２７の車両状態を更新してもよい。

　（８）上記実施の形態では、検証結果保持部１０２５は、検証結果として、検証結果と最終検証時刻とを保持するとしたが、これ以外にも検証時のハッシュ値を保持していてもよい。

　（９）上記実施の形態では、車両状態として、走行状態、外部ＮＷ接続状態、通信異常の発生状態の３種類を示したが、全てを含んでいなくてもよい。またこれら以外の車両状態を含んでいてもよい。車両状態は、例えば、充電状態や、診断モード状態、車両アップデート状態を含んでもよい。これにより車両のセキュリティリスクが高い状態や、関連する仮想マシンやソフトウェアに対応して、より適応的に優先度を算出することが可能となり効果的である。

　（１０）上記実施の形態では、通信異常監視部１０２２は、仮想マシンの通信量が所定のルールから逸脱しているか否かによって、対応する仮想マシンの通信異常を検出するとしたが、ネットワークを観測して、通信異常を検出してもよい。通信異常監視部１０２２は、例えば、ドメインコントローラ１００ａが接続している車載ネットワークについて通信異常を検出してもよい。この時、検証優先度決定部１０２３は、当該車載ネットワークの情報を利用する仮想マシンへの攻撃リスクが高まっていると判断し、対応する仮想マシンの優先度を上昇させる処理を実施してもよい。一例として、ドメインコントローラ１００ａがＣＡＮと接続され、ＣＡＮの情報を車両制御ＶＭ部１０４ｂが利用している時に、ＣＡＮの通信異常を検出した時に、車両制御ＶＭ部１０４ｂの検証優先度を上昇させてもよい。

　（１１）上記実施の形態では、通信異常監視部１０２２により、仮想マシンの通信異常を検出する例を示したが、通信異常監視部１０２２ではなく、ホスト監視により仮想マシンの異常が検出されてもよい。例えば、ホスト監視では、仮想マシンやアプリケーションのファイルアクセスや、メモリやＣＰＵ利用率などのリソース使用量をもとに異常な挙動が検出されてもよい。さらに、異常な挙動を検出した場合に、対応する仮想マシンの検証優先度が上昇するように検証優先度が決定されてもよい。これにより仮想マシンやアプリケーションの異常を捉えて、検証優先度を設定することが可能となり、効率的にインテグリティ検証を行える。

　（１２）上記実施の形態では、検証優先度が高いほど、インテグリティの検証頻度が高くなるように変更される例を示したが、これだけに限らない。例えば、検証優先度が高く変化した場合に、即時にソフトウェアのインテグリティを検証し、インテグリティ検証後に高く変化された検証優先度を低く下げてもよい。また検証優先度に応じて、対象となるソフトウェアの検証範囲を広げてもよい。図１５に、インテグリティ検証時のバリエーションのフローチャートを示す。

　セキュアＯＳ部１０２は、インテグリティ検証の検証タイミングにおいて、対象のソフトウェアの検証優先度を判定する（Ｓ６００）。検証優先度が「高」である場合は、仮想マシン全体、つまり仮想マシンの実行メモリ全体の値からハッシュ値を計算し、予め保持する、仮想マシン全体に対応するインテグリティ情報と合致するか否かを確認する（Ｓ６０１）。セキュアＯＳ部１０２は、検証優先度が「中」である場合は、仮想マシンの複数箇所、つまり仮想マシンの実行メモリのうち複数箇所を選択し、それぞれのハッシュ値を計算し、予め保持している、当該複数箇所に対応するインテグリティ情報と比較する（Ｓ６０２）。なお、仮想マシンの複数箇所は、仮想マシンの一部である。セキュアＯＳ部１０２は、検証優先度が「低」である場合は、仮想マシンの所定箇所、つまり仮想マシンの実行メモリのうち所定の１箇所を選択し、そのハッシュ値を計算し、予め保持している、所定の１箇所に対応するインテグリティ情報と比較する（Ｓ６０３）。この時、インテグリティ情報保持部１０２６には、仮想マシンを実行するメモリ空間全体から算出されるハッシュ値のほかに、所定のメモリ空間のアドレスと、当該所定のメモリ空間のデータ値に対応するハッシュ値が併せて保持されている。これにより、優先度が低い場合は、仮想マシンを実現するソフトウェアのうちの一部である所定のメモリ空間のみのインテグリティを検証するため、効率的にソフトウェアのインテグリティの検証が可能になる。

　なお、仮想マシンの実行メモリのうちの複数箇所及び所定の１箇所は予め設定された固定の検証範囲であってもよい。また、仮想マシンの実行メモリのうちの複数箇所及び所定の１箇所は車両状態の変化に応じて変動されてもよい。例えば、検証範囲は、複数の検証箇所を含み、複数の検証箇所のうちで車両状態の変化に影響を受ける検証箇所が選択されて、選択された検証箇所についてのみインテグリティ検証が実行されてもよい。例えば、走行状態が変化した場合、第一検証箇所にインテグリティ検証が実行され、外部ＮＷ接続が変化した場合、第二検証箇所にインテグリティ検証が実行され、通信異常が変化した場合、第三検証箇所にインテグリティ検証が実行されてもよい。

　セキュアＯＳ部１０２は、インテグリティ検証が完了した場合は、検証結果を更新し（Ｓ６０４）、終了する。

　このように、ドメインコントローラ１００ａは、検証優先度に応じてソフトウェアの検証範囲を変更してもよい。これにより、検証優先度に応じて決定された検証範囲に基づいて、適応的に決定された検証対象のソフトウェアの一部のインテグリティを検証することができる。つまり、リスクの高いソフトウェアの一部の完全性を優先的に検証することができる可能性がある。このため、リスクの少ないソフトウェアの完全性の検証の検証範囲の縮小を行っても、ソフトウェアの完全性の検証の効果が低減することを抑制することができる。よって、リアルタイム性が求められるシステムにおいて、ソフトウェアの完全性の検証にかかる処理負荷を低減できる。

　また、ドメインコントローラ１００ａは、ソフトウェアの検証優先度が高いほど、大きくなるようにソフトウェアの検証範囲を決定する。これにより、優先度の高いほど大きな検証範囲でソフトウェアの完全性を検証することができ、安全性の向上に効果がある。

　なお、検証範囲がソフトウェアの一部であるか全部であるかに限らずに、検証対象となるソフトウェアは、複数であってもよいし１つであってもよい。

　（１３）上記実施の形態では、インテグリティ検証失敗時に、検証対象を再起動する例を示したが、検証失敗時の処理は検証対象の再起動に限らない。例えば、検証対象のハッシュ値をログに保存する、外部ネットワークの監視サーバや、車内の他のＥＣＵやドメインコントローラに異常を通知する、検証対象と、通信を行う他の仮想マシンの検証優先度を上昇させてもよい。図１６に、インテグリティの検証結果を、外部ネットワークの監視サーバにより、確認するときのユーザインタフェース例を示す。図１６ではディスプレイ上に対象となるデバイス（ドメインコントローラ）のインテグリティ情報を示す枠５００が表示されている。枠５００の中には、ドメインコントローラの構成要素ごとの検証結果（５０１ａ、５０１ｂ、５０１ｃ、５０１ｄ）が表示されている。検証結果には、検証優先度、最終検証時刻、及び検証結果が表示される。

　（１４）上記の実施の形態では、ドメインコントローラ内に含まれる仮想マシンごとに検証優先度が設定されていたが、検証優先度の設定対象は、仮想マシンに限らない。設定対象は、例えば、ハイパーバイザー部１０３またはセキュアＯＳ部１０２であってもよい。また、検証優先度は、仮想マシン上で動作するアプリケーションや、プロセス、ファイルごとに設定されてもよいし、ＥＣＵやドメインコントローラ、車両の単位で設定されてもよい。このように、インテグリティ検証の検証対象となる１以上のソフトウェアは、電子制御装置上で実行されるソフトウェア全体、電子制御装置上で実行される仮想化基盤となるハイパーバイザー、オペレーティングシステム、仮想マシン、アプリケーション、プロセス、ファイルのいずれかであればよい。これにより、検証対象のソフトウェアを、詳細に分類することができ、効率的なインテグリティ検証に効果的である。

　（１５）上記の実施の形態では、インテグリティ検証対象のＶＭとして、車両制御、情報処理、車外通信の３種類に分類したが、分類方法はこれに限らず、ソフトウェアの実現する機能や、セキュリティレベル、機能安全レベル、取り扱う機密情報レベルに応じて分類されてもよい。例えば、車両制御は、エンジン制御、ステアリング制御、ブレーキ制御のように関連するアクチュエータで関連づけられて分類されもよいし、自動運転、クルーズコントロール、自動駐車、衝突軽減ブレーキのように実現する機能と関連付けられて分類されもよい。これにより、車両状態の変化に伴い、関連するソフトウェアの優先度の変更が容易になる。

　また、検証優先度は、対象ハードウェア／ソフトウェアの機能安全レベル、例えばＡＳＩＬ（Ａｕｔｏｍｏｔｉｖｅ　Ｓａｆｅｔｙ　Ｉｎｔｅｇｒｉｔｙ　Ｌｅｖｅｌ）の適合レベルに関連付けて設定されてもよい。これにより、セキュリティ上のリスクが、安全上のリスクに結びつく対象を重点的に検証することが可能になる。また、検証優先度は、ソフトウェアやハードウェアの通信インタフェースに関連づけられて設定されもよい。例えば、検証優先度は、車外ネットワーク接続インタフェースを持つソフトウェアに対しては、車外ネットワーク接続の状況に応じて、セキュリティリスクが増大するとして、優先度が上昇するように設定されてもよい。これにより車両およびソフトウェアの通信状況に応じて変化するリスクに合わせて優先度を設定できる。

　（１６）上記実施の形態では、ドメインコントローラ１００ａのセキュアＯＳ部１０２がインテグリティ検証の検証タイミングを決定し、インテグリティ検証を実行し、検証優先度を決定するとしたが、これに限らずに、これらの処理は他のドメインコントローラ１００ｂにより実行されてもよいし、他のＥＣＵによって実行されてもよい。また、検証対象となるソフトウェアは、ドメインコントローラ１００ａが実行するソフトウェアだけでなく、他のＥＣＵが実行するソフトウェアであってもよい。

　（１７）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１８）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（１９）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（２０）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。例えば、本開示の一態様は、図７～図９、図１１、図１３のいずれかに示される通信ログ集約方法に含まれる特徴的な各ステップをコンピュータに実行させるコンピュータプログラムであってもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２１）上記実施の形態に示すフローチャートにおける各ステップが実行される順序は、本開示を具体的に説明するために例示するためのものであり、上記以外の順序であってもよい。また、上記ステップの一部が他のステップと同時（並列）に実行されてもよいし、上記ステップの一部は実行されなくてもよい。

　また、上記実施の形態に示すブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを一つの機能ブロックとして実現したり、一つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェアまたはソフトウェアが並列または時分割に処理してもよい。

　（２２）上記実施の形態では、制御ネットワークシステムは、車載ネットワーク監視システムである例について説明したが、これに限定されず、宅内ネットワークシステム、施設内（例えば、病院内）ネットワークシステム、工場内ネットワークシステム等であってもよい。

　（２３）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車載ネットワークシステム等の制御ネットワークシステムにおける通信ログ集約装置等に有効である。

　１０　車両
　１００ａ、１００ｂ　ドメインコントローラ
　１０１　通信部
　１０２　セキュアＯＳ部
　１０３　ハイパーバイザー部
　１０４ａ　情報処理ＶＭ部
　１０４ｂ　車両制御ＶＭ部
　１０４ｃ　車外通信ＶＭ部
　１０２１　通信部
　１０２２　通信異常監視部
　１０２３　検証優先度決定部
　１０２４　インテグリティ検証部
　１０２５　検証結果保持部
　１０２６　インテグリティ情報保持部
　１０２７　車両状態保持部
　１０２８　検証優先度保持部
　１０２９　検証スケジュール保持部
　２００ａ、２００ｂ、２００ｃ、２００ｄ　ＥＣＵ
　２０１　通信部
　２０２　アプリケーション部

Claims

　車載ネットワークシステムにおける１以上のソフトウェアの完全性を検証するインテグリティ検証装置であって、
　前記１以上のソフトウェアのそれぞれは、前記車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、
　前記インテグリティ検証装置は、
　前記１以上のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定する検証スケジュール決定部と、
　前記１以上のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、前記検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断するインテグリティ検証部と、
　前記検証タイミングまたは前記検証範囲の決定に影響を与える検証優先度を決定する検証優先度決定部と、を備える
　インテグリティ検証装置。
　前記検証スケジュール決定部は、前記１以上のソフトウェアのうちの一のソフトウェアの前記検証優先度が高いほど、前記一のソフトウェアの検証頻度が高くなるように前記一のソフトウェアの検証タイミングを決定する
　請求項１に記載のインテグリティ検証装置。
　前記インテグリティ検証部は、前記１以上のソフトウェアのうちの一のソフトウェアの前記検証優先度が高いほど、大きくなるように前記一のソフトウェアの検証範囲を決定する
　請求項１または２に記載のインテグリティ検証装置。
　前記検証優先度決定部は、前記車載ネットワークシステムを搭載する車両の車両状態に応じて、前記ソフトウェアの検証優先度を変更する
　請求項１から３のいずれか１項に記載のインテグリティ検証装置。
　前記車両状態は、停車中、走行中、自動運転中、診断モード中、充電中、アップデート中、及び、車外ネットワーク通信の有無の少なくとも１つを含む
　請求項４に記載のインテグリティ検証装置。
　前記検証優先度決定部は、前記車両状態に応じて、処理内容が前記車両状態に応じて変化するソフトウェアの前記検証優先度を変更する
　請求項５に記載のインテグリティ検証装置。
　前記１以上のソフトウェアは、前記電子制御装置上で実行されるソフトウェア全体、前記電子制御装置上で実行される仮想化基盤となるハイパーバイザー、オペレーティングシステム、仮想マシン、アプリケーション、プロセス、ファイルのいずれかである
　請求項１から６のいずれか１項に記載のインテグリティ検証装置。
　前記１以上のソフトウェアは、複数の仮想マシンをそれぞれが実現する複数のソフトウェアを含む
　請求項１から７のいずれか１項に記載のインテグリティ検証装置。
　前記インテグリティ検証装置は、さらに、
　前記１以上のソフトウェアに関する通信異常、前記１以上の電子制御装置が備えるメモリ及びプロセッサ利用量異常の少なくとも１つの異常を示す異常状態を検知する異常監視部を備え、
　前記検証優先度決定部は、前記１以上のソフトウェアのうち前記異常状態が検知されたソフトウェアに対応する前記検証優先度を高く変更する
　請求項１から７のいずれか１項に記載のインテグリティ検証装置。
　車載ネットワークシステムにおける１以上のソフトウェアの完全性を検証するインテグリティ検証方法であって、
　前記１以上のソフトウェアのそれぞれは、前記車載ネットワークシステムに接続される１以上の電子制御装置のいずれか１つにおいて実行され、
　前記インテグリティ検証方法では、
　前記１以上のソフトウェアのそれぞれの完全性を検証する検証タイミングを決定し、
　前記１以上のソフトウェアのそれぞれについて、当該ソフトウェアについて決定された検証タイミングにおいて、当該ソフトウェアの完全性を保証するための第一のインテグリティ情報であって、検証範囲に該当する当該ソフトウェアの少なくとも一部に対応する第一のインテグリティ情報と、前記検証タイミングにおける当該ソフトウェアの少なくとも一部から算出される第二のインテグリティ情報とが一致するか否かを判定し、一致する場合に、当該ソフトウェアの完全性が満たされていると判断し、
　前記検証タイミングまたは前記検証範囲の決定に影響を与える検証優先度を決定する
　インテグリティ検証方法。