WO2023002635A1

WO2023002635A1 - 情報処理装置、情報処理方法、及び、情報処理プログラム

Info

Publication number: WO2023002635A1
Application number: PCT/JP2021/027424
Authority: WO
Inventors: 貴普山元; 吉章片山; 陽介横山
Original assignee: 三菱電機株式会社
Priority date: 2021-07-21
Filing date: 2021-07-21
Publication date: 2023-01-26
Also published as: JP7341376B2; DE112021007690T5; CN117651947A; US20240104219A1; JPWO2023002635A1

Abstract

情報処理装置（１００）は、正当性検証部（１０１）を備える。正当性検証部（１０１）は、情報処理装置（１００）の起動時に実行される起動ソフトウェアが格納されるべき格納場所を示す起動記録データが示す格納場所に格納されているデータに基づいて計算される検証用データであって、情報処理装置（１００）の起動時に計算される検証用データである検証対象データと、起動ソフトウェアに基づいて情報処理装置（１００）の起動前に計算された検証用データであって、検証対象データの比較対象として使用される検証用データである比較データとを比較することによって起動ソフトウェアの正当性を検証する。

Description

情報処理装置、情報処理方法、及び、情報処理プログラム

　本開示は、情報処理装置、情報処理方法、及び、情報処理プログラムに関する。

　特許文献１は、情報処理装置の起動時におけるソフトウェアの正当性の検証に関する技術を開示している。当該技術では、まず、検証する領域を予め定めておき、検証する領域のハッシュ値等を計算し、計算したハッシュ値等を比較対象として保存する。そして、情報処理装置の起動時に、検証する領域のハッシュ値等を再計算し、再計算したハッシュ値等と比較対象として保存しておいたハッシュ値等とを比較し、これらが一致していれば検証する領域において記述が変更されていないと判定する。

特開２０１３－０８４０７８号公報

　特許文献１が開示する技術によれば、情報処理装置の起動時に情報処理装置内のソフトウェア全ての正当性を検証するため、正当性の検証に時間がかかるという課題がある。なお、情報処理装置には起動時間に関する制約があることが多いため、正当性の検証に時間がかかると、起動時間に関する制約を満たすことができない可能性がある。

　本開示は、起動時に実行されるソフトウェアのみを正当性の検証対象とすることにより、ソフトウェアの正当性の検証に要する時間を短縮することを目的とする。

　本開示に係る情報処理装置は、
　ソフトウェアを検証する情報処理装置であって、
　前記情報処理装置の起動時に実行される起動ソフトウェアが格納されるべき格納場所を示す起動記録データが示す格納場所に格納されているデータに基づいて計算される検証用データであって、前記情報処理装置の起動時に計算される検証用データである検証対象データと、前記起動ソフトウェアに基づいて前記情報処理装置の起動前に計算された検証用データであって、前記検証対象データの比較対象として使用される検証用データである比較データとを比較することによって前記起動ソフトウェアの正当性を検証する正当性検証部
を備える。

　本開示によれば、起動記録データが示す格納場所に格納されているソフトウェアのみを正当性の検証対象とする。そのため、本開示によれば、起動時に実行されるソフトウェアのみを正当性の検証対象とすることにより、ソフトウェアの正当性の検証に要する時間を短縮することができる。

実施の形態１に係る情報処理装置１００の構成例を示す図。実施の形態１に係る起動記録データ１０２の具体例を示す図。実施の形態１に係る比較データ１０４の具体例を示す図。実施の形態１に係る情報処理装置１００のハードウェア構成例を示す図。実施の形態１に係る情報処理装置１００の動作を示すフローチャート。実施の形態１の変形例に係る情報処理装置１００のハードウェア構成例を示す図。実施の形態２に係る情報処理装置１００の構成例を示す図。実施の形態２に係る起動完了通知部１０５の動作を示すフローチャート。実施の形態２に係る起動記録取得部１０６の動作を示すフローチャート。実施の形態３に係る情報処理装置１００の構成例を示す図。実施の形態３に係る情報処理装置１００の動作を示すフローチャート。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。

＊＊＊構成の説明＊＊＊
　図１は、実施の形態１における情報処理装置１００の構成例を示している。図１に示すように、情報処理装置１００は、正当性検証部１０１とソフトウェアストレージ１０３とを備え、起動記録データ１０２と比較データ１０４とを記録する。

（正当性検証部１０１）
　正当性検証部１０１は、検証対象データと比較データ１０４とを比較することによって各起動ソフトウェアの正当性を検証する。起動ソフトウェアは、情報処理装置１００の起動時に実行されるソフトウェアである。起動ソフトウェアの数は複数であることもある。検証対象データは、起動記録データ１０２が示す格納場所に格納されているデータに基づいて計算される検証用データであって、情報処理装置１００の起動時に計算される検証用データである。
　正当性検証部１０１が情報処理装置１００の起動時において実行する処理を説明する。まず、正当性検証部１０１は、検証対象であるソフトウェアを決定するために、起動記録データ１０２を読み出す。次に、正当性検証部１０１は、読み出した起動記録データ１０２に記録された開始アドレス及びソフトウェアサイズを基に検証対象であるソフトウェアストレージ１０３のアドレス範囲を決定し、決定したソフトウェアストレージ１０３の各アドレス範囲における検証用データを計算する。開始アドレスは、各起動ソフトウェアが格納されている領域の先頭アドレスである。ソフトウェアサイズは、ソフトウェアのデータサイズである。検証用データは、ソフトウェアの正当性を検証するためのデータであり、具体例として、ソフトウェアが格納されている領域におけるハッシュ又はＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）である。即ち、検証用データは、検証用データに対応するソフトウェアのハッシュ値又はＭＡＣを示すデータである。また、ここで計算した検証用データは検証対象データとも呼ばれる。次に、正当性検証部１０１は、計算した各検証用データが比較データ１０４に保存された各ソフトウェアに対応する比較用データと一致しているか否かを判別し、計算した検証用データのいずれも比較データ１０４に保存された比較用データであって、各検証用データに対応する比較用データと一致している場合に、起動ソフトウェアの正当性の検証が完了したものとする。

（起動記録データ１０２）
　図２は、起動記録データ１０２の具体例を示している。図２に示すように、起動記録データ１０２は、起動ソフトウェアが格納されるべき格納場所を示すデータであり、情報処理装置１００の起動時に実行されるソフトウェアの開始アドレスとソフトウェアサイズとを記録したデータである。起動記録データ１０２は、情報処理装置１００の工場出荷時等に情報処理装置１００に事前に保存される。なお、アドレスが連続しないメモリ領域にあるソフトウェアが分割して保存されている場合において、起動記録データ１０２には、分割された当該あるソフトウェアの各断片の開始アドレスとソフトウェアサイズとが記録されている。

（ソフトウェアストレージ１０３）
　ソフトウェアストレージ１０３は、情報処理装置１００が実行する各ソフトウェアを格納するストレージである。ソフトウェアストレージ１０３に格納される各ソフトウェアは、情報処理装置１００の起動時に実行されるソフトウェアと、情報処理装置１００の起動時に実行されないソフトウェアとの２種類に分類される。

（比較データ１０４）
　比較データ１０４は、情報処理装置１００の起動前に予め計算された検証用データであって、各起動ソフトウェアのあるべき検証用データを示し、また、ソフトウェアの正当性検証において検証対象データの比較対象として使用される検証用データである。比較データ１０４に含まれる各データは比較用データでもある。比較データ１０４は、情報処理装置１００の工場出荷時等に情報処理装置１００に事前に保存される。なお、比較データ１０４と検証対象データとの各々は、情報処理装置１００の起動時に実行されないソフトウェアに対応するデータであってもよい。
　図３は、比較データ１０４の具体例を示している。図３に示すように、比較データ１０４は、検証用データと、各検証用データに対応する起動ソフトウェアの開始アドレスとソフトウェアサイズとの各々を示す情報を含む。開始アドレスとソフトウェアサイズとは、各起動ソフトウェアが格納されている領域を特定するための情報である。

　図４は、情報処理装置１００のハードウェア構成例を示している。図４に示すように、情報処理装置１００は、ＨＳＭ（Ｈａｒｄｗａｒｅ　Ｓｅｃｕｒｉｔｙ　Ｍｏｄｕｌｅ）１０と、記憶装置２０と、メインＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）３０と、ＲＡＭ４０とを備えるコンピュータから構成される。情報処理装置１００は複数のコンピュータから構成されてもよい。

（ＨＳＭ１０の説明）
　ＨＳＭ１０は、セキュリティ処理に係る回路をパッケージ化したモジュールである。ＨＳＭ１０は、具体例として、セキュアＣＰＵ１１による暗号計算エンジン１２を用いた暗号計算を実行する機能と、セキュアストレージ１３による耐改ざん性のある保存領域を提供する機能とを備えたモジュールである。

（セキュアＣＰＵ１１）
　セキュアＣＰＵ１１は、ＨＳＭ１０の処理を実施するＣＰＵである。セキュアＣＰＵ１１は、暗号計算エンジン１２への計算命令と、セキュアストレージ１３へデータを格納する命令と、ＨＳＭ１０の外部のメインＣＰＵ３０からＨＳＭ１０に対する命令に対応する処理等を行う。また、正当性検証部１０１はセキュアＣＰＵ１１において動作する。

（暗号計算エンジン１２）
　暗号計算エンジン１２は、ＨＳＭ１０内の暗号処理を高速で行う回路である。

（セキュアストレージ１３）
　セキュアストレージ１３は、改ざんから保護したいデータを格納するための耐改ざん性を備えるストレージである。セキュアストレージ１３に保存されるデータの具体例を以下に示す。ここで、秘密鍵は、比較データ１０４が示すＭＡＣを計算する際に用いる暗号鍵である。
・正当性検証部１０１を機能実装するプログラム
・起動記録データ１０２
・比較データ１０４
・秘密鍵

（記憶装置２０）
　記憶装置２０は、ソフトウェアストレージ１０３としての役割を担い、具体例としてＦｌａｓｈメモリ等のストレージである。

（メインＣＰＵ３０）
　メインＣＰＵ３０は、情報処理装置１００の処理を担う演算回路であり、ソフトウェアストレージ１０３に格納されるソフトウェアの処理を実施するＣＰＵである。

（ＲＡＭ４０）
　ＲＡＭ４０は、メインＣＰＵ３０によるソフトウェア実行時の一時データ等を記憶する揮発メモリである。

　本明細書に記載されているいずれのプログラムも、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。本明細書に記載されているいずれのプログラムも、プログラムプロダクトとして提供されてもよい。

＊＊＊動作の説明＊＊＊
　情報処理装置１００の動作手順は、情報処理方法に相当する。また、情報処理装置１００の動作を実現するプログラムは、情報処理プログラムに相当する。

　図５は、実施の形態１における情報処理装置１００の起動時の処理の一例を示すフローチャートである。情報処理装置１００の起動時の処理について、図５を参照しながら説明する。

（ステップＳ１０１）
　情報処理装置１００のユーザーにより情報処理装置１００の電源がＯＮにされると、正当性検証部１０１は処理の実行を開始する。
　正当性検証部１０１は、起動記録データ１０２が示す開始アドレス及びソフトウェアサイズより検証対象であるソフトウェアストレージ１０３のアドレス範囲を決定し、決定したソフトウェアストレージ１０３のアドレス範囲に格納されているデータを用いて検証用データを計算する。

（ステップＳ１０２）
　正当性検証部１０１は、ステップＳ１０１で計算した検証用データを比較データ１０４と比較する。
　計算した検証用データの中に比較データ１０４が示すデータに一致しない検証用データが１つでもある場合、正当性検証部１０１はステップＳ１０４に進む。それ以外の場合、正当性検証部１０１はステップＳ１０３に進む。

（ステップＳ１０３）
　正当性検証部１０１は、メインＣＰＵ３０によって、ソフトウェアストレージ１０３に保存された各起動ソフトウェアの実行を開始する。
　本ステップの終了後、正当性検証部１０１はステップＳ１０５に進む。

（ステップＳ１０４）
　正当性検証部１０１は対処を施す。対処は、具体例として、比較データ１０４が示すデータに一致しなかった検証用データに対応するソフトウェアを情報処理装置１００に実行させず、比較データ１０４が示すデータに一致した検証用データに対応するソフトウェアだけを情報処理装置１００に実行させることが挙げられる。

（ステップＳ１０５）
　正当性検証部１０１は、情報処理装置１００の起動時に実行されないソフトウェアの正当性を検証する。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上の動作により、実施の形態１に係る情報処理装置１００は、情報処理装置１００内の全てのソフトウェアではなく、情報処理装置１００の起動時に実行されるソフトウェアのみを情報処理装置１００の起動時に検証する。そのため、実施の形態１に係る情報処理装置１００によれば、正当性を検証するソフトウェアの数を削減することができ、その結果、正当性を検証するソフトウェアのサイズを削減することができる。一般的に、正当性の検証に費やされる時間はソフトウェアのサイズに比例するため、正当性を検証するソフトウェアのサイズを削減することにより、正当性の検証に費やされる時間を削減することができる。
　また、検証対象であるソフトウェアが格納されている領域のハッシュ等を算出することによって検証対象であるソフトウェア全体を検証するため、改ざん範囲がソフトウェアの一部の場合であっても、検証対象であるソフトウェアの改ざんを検知することができる。

　また、本実施の形態に係る情報処理装置１００は、具体例として、車両制御装置に用いられることに適している。車両制御装置として用いられる機器には、起動時間に関する制約がある。車両制御装置のソフトウェアサイズが大きい場合、車両制御装置の起動時に車両制御装置の全てのソフトウェアの正当性検証処理を実施すると、起動時間に関する制約を満たさないリスクがある。
　しかしながら、車両制御装置として実施の形態１に係る情報処理装置１００を用いた場合、起動時間に関する制約を満たさないリスクが軽減される。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図６は、本変形例に係る情報処理装置１００のハードウェア構成例を示している。
　情報処理装置１００は、メインＣＰＵ３０、メインＣＰＵ３０とＲＡＭ４０、メインＣＰＵ３０と記憶装置２０、あるいはメインＣＰＵ３０とＲＡＭ４０と記憶装置２０とに代えて、処理回路５０を備える。
　処理回路５０は、情報処理装置１００が備える各部の少なくとも一部を実現するハードウェアである。処理回路５０はＨＳＭ１０の機能を実現してもよい。
　処理回路５０は、専用のハードウェアであってもよく、また、ＲＡＭ４０に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路５０が専用のハードウェアである場合、処理回路５０は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　情報処理装置１００は、処理回路５０を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路５０の役割を分担する。

　情報処理装置１００において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路５０は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　メインＣＰＵ３０とＲＡＭ４０と記憶装置２０と処理回路５０とを、総称して「プロセッシングサーキットリー」という。つまり、情報処理装置１００の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
　他の実施の形態に係る情報処理装置１００についても、本変形例と同様の構成であってもよい。

　実施の形態２．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。

＊＊＊構成の説明＊＊＊
　実施の形態１では起動記録データ１０２は情報処理装置１００の工場出荷時等に情報処理装置１００に保存されている想定であったが、工場出荷後等における起動ソフトウェアのインストール又は更新等、起動ソフトウェアに構成の変更がある場合、インストール又は更新された起動ソフトウェアも情報処理装置１００の起動時に実行を開始するが、予め保存された起動記録データ１０２ではインストール又は更新された起動ソフトウェアに対応することができない。以下、工場出荷後等においてインストールされた起動ソフトウェア、又は、工場出荷後等において更新された起動ソフトウェア等、工場出荷後等における起動ソフトウェアの構成変更に関するソフトウェアを総称して変更起動ソフトウェアと呼ぶ。
　そこで、実施の形態２に係る情報処理装置１００は、情報処理装置１００の起動時に起動記録データ１０２を取得することにより、変更起動ソフトウェアに対応する。
　なお、起動ソフトウェアの構成が変更された場合において、変更起動ソフトウェアの検証用データを計算し、計算した検証用データを用いて比較データ１０４を更新しておく必要がある。比較データ１０４の更新について、情報処理装置１００が、変更起動ソフトウェアのインストール又は更新時等に検証用データを計算し、計算した検証用データを比較データ１０４に追加してもよい。また、変更起動ソフトウェアに予め検証用データを付与しておき、情報処理装置１００が、変更起動ソフトウェアのインストール又は更新時等に付与された検証用データを比較データ１０４に追加してもよい。

［実施の形態２における追加構成要素の説明］
　図７は、実施の形態２における情報処理装置１００の構成例を示している。以下、実施の形態２において追加された機能について主に説明する。

（起動完了通知部１０５）
　起動完了通知部１０５は、起動ソフトウェアに対する正当性検証処理の完了後に実行される。起動完了通知部１０５は、各起動ソフトウェアのうち、最後に実行開始される起動ソフトウェアが実行されたことを検知した場合に、起動記録取得部１０６に起動ソフトウェアが起動完了したことを示す起動完了通知を送信する。

（起動記録取得部１０６）
　起動記録取得部１０６は、起動ソフトウェアに対する正当性検証処理の完了後に実行される。起動記録取得部１０６は、正当性検証部１０１が起動ソフトウェアに対する正当性の検証を完了した直後から、起動完了通知部１０５から起動完了に関する通知を受け取るまでに実行開始されたソフトウェアの開始アドレスとソフトウェアサイズとを記録する。即ち、起動記録取得部１０６は、情報処理装置１００が起動してから、起動ソフトウェアのうち最後に実行されるソフトウェアが実行されたことが検知されるまでに起動された各ソフトウェアの格納場所を示す格納場所データを取得する。
　起動記録取得部１０６は、起動完了通知部１０５から起動完了を通知されると起動ソフトウェアを記録することを終了し、その後、現在の起動記録データ１０２を今回取得した起動ソフトウェアの記録である格納場所データを用いて更新する。

［ハードウェアの構成例］
　起動完了通知部１０５及び起動記録取得部１０６の各々を機能実装するプログラムは、具体例として、図４に示すハードウェア構成における、記憶装置２０に格納され、メインＣＰＵ３０で実行される。

＊＊＊動作の説明＊＊＊
　図８は、実施の形態２における起動完了通知部１０５の処理の一例を示すフローチャートである。図９は、実施の形態２における起動記録取得部１０６の処理の一例を示すフローチャートである。図８及び図９を参照しながら起動完了通知部１０５の処理と起動記録取得部１０６の処理とを説明する。
　なお、起動完了通知部１０５と起動記録取得部１０６とは基本的に並行して動作する。

［起動完了通知部１０５の動作］
（ステップＳ２０１）
　ステップＳ２０１は、実施の形態１におけるステップＳ１０３以降の状態である、正当性検証処理が完了した状態において開始する。メインＣＰＵ３０は、起動完了通知部１０５を起動する。

（ステップＳ２０２）
　起動完了通知部１０５は、メインＣＰＵ３０により実行開始された起動ソフトウェアが、各起動ソフトウェアのうち最後に実行開始される起動ソフトウェアであるか否かを判定する。
　実行開始された起動ソフトウェアが最後に実行開始される起動ソフトウェアである場合、起動完了通知部１０５はステップＳ２０３へと進む。それ以外の場合、最後に実行開始される起動ソフトウェアが実行開始されるまで、起動完了通知部１０５はステップＳ２０２の処理を繰り返す。

（ステップＳ２０３）
　起動完了通知部１０５は、起動完了通知を起動記録取得部１０６に送信する。

［起動記録取得部１０６の動作］
（ステップＳ３０１）
　ステップＳ３０１は、実施の形態１におけるステップＳ１０３以降の状態である、正当性検証処理が完了した状態において開始する。メインＣＰＵ３０は、起動記録取得部１０６を起動する。

（ステップＳ３０２）
　起動記録取得部１０６は、情報処理装置１００の起動時においてメインＣＰＵ３０により実行開始される各起動ソフトウェアの開始アドレスとソフトウェアサイズとを記録する。

（ステップＳ３０３）
　起動記録取得部１０６は、起動完了通知部１０５から起動完了通知を受信したか否かを確認する。
　起動完了通知を受信した場合、起動記録取得部１０６はステップＳ３０４に進む。それ以外の場合、起動記録取得部１０６は、ステップＳ３０２に戻り、起動ソフトウェアの開始アドレスとソフトウェアサイズとを記録することを継続する。

（ステップＳ３０４）
　起動記録取得部１０６は、各起動ソフトウェアの開始アドレスとソフトウェアサイズとを記録することを終了する。

（ステップＳ３０５）
　起動記録取得部１０６は、ステップＳ３０４までに記録した各起動ソフトウェアの開始アドレスとソフトウェアサイズとを用いて起動記録データ１０２を更新する。

＊＊＊実施の形態２の効果の説明＊＊＊
　実施の形態２に係る情報処理装置１００は、起動ソフトウェアとして新しいソフトウェアがインストールされた場合、又は、ソフトウェアストレージ１０３に格納されたソフトウェアが更新された場合等において、情報処理装置１００の起動時に起動開始されるソフトウェアの開始アドレスとソフトウェアサイズとを記録することにより、動的に検証対象とするソフトウェアを決定することができる。

　本実施の形態に係る情報処理装置１００は、具体例として、車両制御装置に用いられることに適している。車両制御装置として用いられる機器において、ユーザーによる任意のソフトウェアのインストールと、インターネットを介した車両制御装置のソフトウェアの更新等が実施される技術を適用することが検討されている。当該技術が車両制御装置に適用されると、車両制御装置の開発者が車両制御装置のソフトウェア構成を管理することができなくなる可能性がある。そのため、従来の静的に検証対象及び検証順序を決定する正当性検証方式では、開発者が認知していないソフトウェアがユーザーによりインストールされた場合に、ユーザーによりインストールされたソフトウェアが正当性の検証対象とならない可能性がある。
　実施の形態２に係る情報処理装置１００では、起動ソフトウェアを起動記録取得部１０６が記録する。そのため、ユーザーがインストールした任意のソフトウェアであっても、情報処理装置１００の起動時に実行されれば正当性の検証対象となる。

　実施の形態３．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。

＊＊＊構成の説明＊＊＊
　情報処理装置１００の動作中にソフトウェアの構成変更が実施された場合において、実施の形態１及び２に係る情報処理装置１００は、構成変更が実施されたソフトウェアを起動記録データ１０２に記録しない。ここで、ソフトウェアの構成変更は、情報処理装置１００が格納するソフトウェアの構成を変更することであり、具体例として、情報処理装置１００に新規ソフトウェアをインストールすること又は情報処理装置１００が格納するソフトウェアを更新することである。そのため、情報処理装置１００の次回の起動時において構成変更が実施されたソフトウェアは正当性の検証対象とならない。しかしながら、構成変更が実施されたソフトウェアである新規ソフトウェア又は更新されたソフトウェアが変更起動ソフトウェアに当たることもある。従って、構成変更が実施されたソフトウェアである変更起動ソフトウェアが改ざんされ、かつ、改ざんされた変更起動ソフトウェアが情報処理装置１００の起動時における正当性の検証対象から漏れたまま情報処理装置１００が起動した場合、改ざんされた変更起動ソフトウェアの正当性が検証されないまま情報処理装置１００が動作することになる。
　実施の形態３に係る情報処理装置１００は、上記のような事態を防止するため、情報処理装置１００の動作中にソフトウェアの構成変更が実施された場合において、情報処理装置１００の起動時に構成変更が実施されたソフトウェアに対する正当性の検証を実行する機能を有する。

［実施の形態３における追加構成要素の説明］
　図１０は、本実施の形態における情報処理装置１００の構成例を示している。なお、図１０は実施の形態２に係る情報処理装置１００に対してソフトウェア管理部１０７を追加した構成を示しているが、情報処理装置１００の構成は、実施の形態１に係る情報処理装置１００に対してソフトウェア管理部１０７を追加した構成であってもよい。また、実施の形態３における正当性検証部１０１は、検証用データを算出する機能に加えて、算出した検証用データをセキュアストレージ１３に保存する機能を持つ。
　以下、実施の形態３において追加された機能について主に説明する。

（ソフトウェア管理部１０７）
　ソフトウェア管理部１０７は、情報処理装置１００の動作中に情報処理装置１００が格納するソフトウェアの構成変更が実施された場合において、構成変更が実施されたソフトウェアを検知し、検知した結果に基づいて、起動記録データ１０２の更新と、正当性検証部１０１への命令発行とを行う。
　起動記録データ１０２の更新では、ソフトウェア管理部１０７は、構成変更が実施されたソフトウェアが次回の情報処理装置１００の起動時に正当性の検証対象となるよう、構成変更が実施されたソフトウェアの開始アドレスとソフトウェアサイズとを起動記録データ１０２に追加する。
　正当性検証部１０１への命令発行では、構成変更が実施されたソフトウェアの検証用データが比較データ１０４として保存されていないため、ソフトウェア管理部１０７は、当該検証用データを算出する命令を正当性検証部１０１に対して発行する。

［ハードウェアの構成例］
　ソフトウェア管理部１０７を機能実装するプログラムは、具体例として、図４に示すハードウェア構成における、記憶装置２０に格納され、メインＣＰＵ３０で実行される。

＊＊＊動作の説明＊＊＊
　情報処理装置１００の動作について説明する。
　図１１は、実施の形態３における情報処理装置１００の処理の一例を示すフローチャートである。情報処理装置１００の動作中におけるソフトウェアの構成変更が実施された場合における処理について、図１１を参照しながら説明する。

（ステップＳ４０１）
　ソフトウェア管理部１０７は、ソフトウェアの構成変更が実施された場合に、実施された構成変更を検知する。

（ステップＳ４０２）
　ソフトウェア管理部１０７は、構成変更が実施されたソフトウェアの開始アドレスとソフトウェアサイズとの各々を示すデータを起動記録データ１０２に追加する。
　本ステップの処理が実行されることにより、情報処理装置１００の次回の起動時に、構成変更が実施されたソフトウェアが強制的に検証対象となる。

（ステップＳ４０３）
　ソフトウェア管理部１０７は、構成変更が実施されたソフトウェアに対応する検証用データを算出する命令を正当性検証部１０１に対して発行する。
　正当性検証部１０１は、当該検証用データを算出し、算出した検証用データを用いて比較データ１０４を更新する。即ち、正当性検証部１０１は、ソフトウェア管理部１０７によって構成変更が実施されたソフトウェアが検知された場合において、構成変更が実施されたソフトウェアに対応する比較データ１０４を算出する。

＊＊＊実施の形態３の効果の説明＊＊＊
　実施の形態３に係る情報処理装置１００は、構成変更が実施されたソフトウェアに応じて起動記録データ１０２及び比較データ１０４を更新するため、情報処理装置１００の動作中に構成変更が実施されたソフトウェアを、情報処理装置１００の次回の起動時において正当性の検証対象とすることができる。
　一方、構成変更が実施されたソフトウェアであって起動ソフトウェアではないソフトウェアについては、実施の形態２で示した起動完了通知部１０５と起動記録取得部１０６との動作によって、情報処理装置１００の次回の起動時に起動記録データ１０２から除外される。そのため、情報処理装置１００の次々回の情報処理装置１００の起動時において、当該ソフトウェアは正当性の検証対象ではなくなる。

　また、実施の形態３に係る情報処理装置１００は、実施の形態２に係る情報処理装置１００と同様に車両制御装置に適している。

＊＊＊他の実施の形態＊＊＊
　前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
　また、実施の形態は、実施の形態１から３で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。

　１０　ＨＳＭ、１１　セキュアＣＰＵ、１２　暗号計算エンジン、１３　セキュアストレージ、２０　記憶装置、３０　メインＣＰＵ、４０　ＲＡＭ、５０　処理回路、１００　情報処理装置、１０１　正当性検証部、１０２　起動記録データ、１０３　ソフトウェアストレージ、１０４　比較データ、１０５　起動完了通知部、１０６　起動記録取得部、１０７　ソフトウェア管理部。

Claims

　ソフトウェアを検証する情報処理装置であって、
　前記情報処理装置の起動時に実行される起動ソフトウェアが格納されるべき格納場所を示す起動記録データが示す格納場所に格納されているデータに基づいて計算される検証用データであって、前記情報処理装置の起動時に計算される検証用データである検証対象データと、前記起動ソフトウェアに基づいて前記情報処理装置の起動前に計算された検証用データであって、前記検証対象データの比較対象として使用される検証用データである比較データとを比較することによって前記起動ソフトウェアの正当性を検証する正当性検証部
を備える情報処理装置。
　前記起動記録データは、前記格納場所の先頭アドレスを示すデータと、前記起動ソフトウェアのデータサイズを示すデータとから成る請求項１に記載の情報処理装置。
　前記検証用データは、前記検証用データに対応するソフトウェアのハッシュ値又はＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）を示すデータである請求項１又は２に記載の情報処理装置。
　前記情報処理装置は、さらに、
　前記起動ソフトウェアのうち最後に実行開始されるソフトウェアが実行されたことを検知する起動完了通知部と、
　前記情報処理装置が起動してから、前記起動ソフトウェアのうち最後に実行されるソフトウェアが実行されたことが検知されるまでに起動された各ソフトウェアの格納場所を示す格納場所データを取得し、前記起動記録データを、取得した格納場所データを用いて更新する起動記録取得部と
を備える請求項１から３のいずれか１項に記載の情報処理装置。
　前記情報処理装置は、さらに、
　前記情報処理装置の動作中に前記情報処理装置が格納するソフトウェアの構成変更が実施された場合において、構成変更が実施されたソフトウェアを検知するソフトウェア管理部
を備え、
　前記正当性検証部は、構成変更が実施されたソフトウェアが検知された場合において、構成変更が実施されたソフトウェアに対応する比較データを算出する請求項１から４のいずれか１項に記載の情報処理装置。
　ソフトウェアを検証する情報処理装置が実行する情報処理方法であって、
　前記情報処理装置の起動時に実行される起動ソフトウェアが格納されるべき格納場所を示す起動記録データが示す格納場所に格納されているデータに基づいて計算される検証用データであって、前記情報処理装置の起動時に計算される検証用データである検証対象データと、前記起動ソフトウェアに基づいて前記情報処理装置の起動前に計算された検証用データであって、前記検証対象データの比較対象として使用される検証用データである比較データとを比較することによって前記起動ソフトウェアの正当性を検証する情報処理方法。
　ソフトウェアを検証するコンピュータである情報処理装置に実行させる情報処理プログラムであって、
　前記情報処理装置の起動時に実行される起動ソフトウェアが格納されるべき格納場所を示す起動記録データが示す格納場所に格納されているデータに基づいて計算される検証用データであって、前記情報処理装置の起動時に計算される検証用データである検証対象データと、前記起動ソフトウェアに基づいて前記情報処理装置の起動前に計算された検証用データであって、前記検証対象データの比較対象として使用される検証用データである比較データとを比較することによって前記起動ソフトウェアの正当性を検証する正当性検証処理
を前記情報処理装置に実行させる情報処理プログラム。