WO2024080090A1

WO2024080090A1 - 情報出力装置、情報出力方法、及び、プログラム

Info

Publication number: WO2024080090A1
Application number: PCT/JP2023/034110
Authority: WO
Inventors: 唯之鳥崎; 薫横田
Original assignee: パナソニックオートモーティブシステムズ株式会社
Priority date: 2022-10-14
Filing date: 2023-09-20
Publication date: 2024-04-18
Also published as: JP2024058193A

Abstract

情報出力装置（１００）は、監視装置により生成された監視ログを含む監視情報を出力する情報出力装置（１００）であって、監視対象に異常があるか否かを示す監視結果を含む監視ログを逐次受信する受信部（１０１）と、監視ログに基づいて、複数の監視装置の監視対象の異常の発生状況である第１状況を管理する管理部（１０２）と、それぞれが送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を記憶している記憶部（１０３）と、監視ログの第１送信経路と第１状況とに基づいて、受信した監視ログの信頼度を決定する決定部（１０４）と、信頼度に基づいて、監視ログを含む監視情報を出力する出力部（１０５）と、を備える。

Description

情報出力装置、情報出力方法、及び、プログラム

　本開示は、情報出力装置、情報出力方法、及び、プログラムに関する。

　特許文献１には、非セキュア領域にある監視部が電子制御装置を監視してログを生成し、セキュア領域のログ収集部が生成されたログを収集する技術が開示されている。また、収集されたログは、ＳＯＣ（Security Operation Center）に転送されることが開示されている。

特開２０２０－１２９２３８号公報

　しかしながら、特許文献１のような従来技術では、監視動作の完全性、及び、ＳＯＣへのログの送信動作の完全性が保証されていないため、ＳＯＣへ送信されるログが信頼できないおそれがある。

　本開示は、監視ログが信頼できるか否かを、当該監視ログを受信した装置が容易に判定するための監視情報を出力する情報出力装置などを提供する。

　本開示の一態様に係る情報出力装置は、第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力装置であって、前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信する受信部と、逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理する管理部と、前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を記憶している記憶部と、前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定する決定部と、前記信頼度に基づいて、前記監視ログを含む監視情報を出力する出力部と、を備える。

　また、本開示の一態様に係る情報出力方法は、第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力方法であって、前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信し、逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理し、前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を取得し、前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定し、前記信頼度に基づいて、前記監視ログを含む監視情報を出力する。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。また、記録媒体は、非一時的な記録媒体であってもよい。

　本開示の情報出力装置などによれば、監視ログが信頼できるか否かを、当該監視ログを受信した装置が容易に判定するための監視情報を出力することができる。

図１は、実施の形態における監視システムの全体構成図である。図２は、実施の形態における監視サーバ及び車載システムの構成を示す図である。図３は、実施の形態における情報出力装置の構成を示す図である。図４は、監視ログ発生前の異常情報の一例を示す図である。図５は、監視ログ発生後の異常情報の一例を示す図である。図６は、監視ログ発生後の異常情報の他の一例を示す図である。図７は、実施の形態における経路情報の一例を示す図である。図８は、実施の形態における関係情報の一例を示す図である。図９は、実施の形態における監視ログのフォーマットの一例を示す図である。図１０は、実施の形態における監視情報のフォーマットの一例を示す図である。図１１は、実施の形態における情報出力装置の動作の一例を示すフローチャートである。図１２は、実施の形態における情報出力装置のリセット動作の一例を示すフローチャートである。図１３は、車載システムが攻撃された場合の監視結果の状態について説明するための図である。図１４は、変形例１における監視サーバ及び車載システムの構成を示す図である。図１５は、変形例２における監視サーバ及び車載システムの構成を示す図である。図１６は、変形例２における情報出力装置の構成を示す図である。図１７は、変形例３における情報出力装置の構成を示す図である。

　（本開示に至った知見）
　車両のセキュリティに関する監視結果を含む監視ログは、安全に収集及び保管され、ＳＯＣに送信することが求められている。しかしながら、上記従来技術では、監視動作、ログの保管動作、及び、ログの送信動作の完全性が保証されていないため、ＳＯＣに送信されたログが信頼できるログであるか否かを判定することが難しい。つまり、監視動作、ログの保管動作、及び、ログの送信動作の完全性が保証されていない場合、これらの動作が異常な動作であることで、異常なログがＳＯＣに送信されるおそれがある。例えば、監視動作が異常であると、異常な監視動作による異常なログを生成する可能性がある。また、例えば、ログの保管動作、または、ログの送信動作が異常であると、これらの動作により、正常なログが異常なログに変更される可能性や、逆に、異常なログが正常なログに変更される可能性がある。

　以上のことから、本発明者らは、ＳＯＣでの監視ログの解析精度及び信頼度を確保するためには、監視ログの保護（例えば、秘匿、耐改ざん）だけでなく、監視動作、監視ログの保管動作、及び、監視ログの送信動作の完全性を担保することが必要となることを見出した。

　本開示の第１の態様に係る情報出力装置は、第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力装置であって、前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信する受信部と、逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理する管理部と、前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を記憶している記憶部と、前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定する決定部と、前記信頼度に基づいて、前記監視ログを含む監視情報を出力する出力部と、を備える。

　これによれば、送信経路で示される１以上の装置のそれぞれの異常の発生状況である第２状況に基づいて、監視ログの信頼度を決定するため、例えば、監視ログが経由した１以上の装置のいずれかに異常がある場合に、当該監視ログの信頼性が低くなるように信頼度を決定することができる。よって、ログが信頼できるか否かを、当該ログを受信した装置が容易に判定するための監視情報を出力することができる。

　本開示の第２の態様に係る情報出力装置は、第１の態様に係る情報出力装置であって、前記複数の監視装置を含む複数の装置は、複数の監視関係を構成し、前記複数の監視関係のそれぞれは、監視元及び監視対象の組を示し、前記記憶部は、前記複数の監視関係を示す関係情報を記憶しており、前記決定部は、前記第１送信経路、前記第１状況及び前記関係情報に基づいて、前記第２状況として、（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）前記複数の装置のうちの異常が発生している異常装置の監視下にあるかを特定する。

　これによれば、（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）異常装置の監視下にあるかが示される第２状況に基づいて、監視ログの信頼度を決定するため、例えば、監視ログが経由した１以上の装置のいずれかに異常がある場合や、監視ログが経由した１以上の装置のいずれかが異常装置の監視下にある場合に、当該監視ログの信頼性が低くなるように信頼度を決定することができる。よって、ログが信頼できるか否かを、当該ログを受信した装置が容易に判定するための監視情報を出力することができる。

　本開示の第３の態様に係る情報出力装置は、第２の態様に係る情報出力装置であって、前記異常装置の監視下にある装置を経由した第１監視ログの第１信頼度は、前記異常装置を経由した第２監視ログの第２信頼度よりも高くなるように決定される。

　異常装置の監視下にある装置は、異常が発生していない可能性があるため、第１信頼度を第２信頼度よりも高くなるように決定することで、監視ログの信頼度を精度よく決定することができる。これにより、例えば、監視ログの解析に信頼度を用いることができ、多角的な解析結果を得ることができる。また、信頼度を用いて解析に用いる監視ログを抽出することができ、監視ログの解析に係る処理負荷を低減できる可能性がある。

　本開示の第４の態様に係る情報出力装置は、第１の態様から第３の態様のいずれか１つの態様に係る情報出力装置であって、前記決定部は、前記第１送信経路で示される１以上の装置のそれぞれの異常度を算出し、算出された１以上の異常度の合計に基づいて、受信した前記監視ログの信頼度を決定する。

　このため、監視ログが経由した全ての装置の異常の発生状況に応じて信頼度を決定できる。

　本開示の第５の態様に係る情報出力装置は、第１の態様から第４の態様のいずれか１つの態様に係る情報出力装置であって、前記管理部は、予め定められたリセット条件が満たされたか否かを判定し、前記リセット条件が満たされたと判定した場合、前記第１状況において正常ではないことが示されている１以上の装置のうち前記リセット条件で特定される１以上の特定の装置における異常の発生状況を正常に更新する。

　このため、例えば、監視装置が正常に動作するように更新された場合に、１以上の特定の装置の異常の発生状況を正常に更新できるため、装置の動作が正常に戻った場合でも、監視ログの信頼度を精度よく決定することができる。

　本開示の第６の態様に係る情報出力装置は、第１の態様から第５の態様のいずれか１つの態様に係る情報出力装置であって、前記監視情報は、さらに、前記信頼度を示す信頼度情報を含む。

　このため、監視情報を受信した装置は、信頼度情報を参照することで受信した監視情報に含まれる監視ログが信頼できるか否かを判定することができる。

　本開示の第７の態様に係る情報出力装置は、第６の態様に係る情報出力装置であって、前記信頼度情報は、前記監視情報が含む監視ログが信頼できるか否かを示す情報である。

　本開示の第８の態様に係る情報出力装置は、第７の態様に係る情報出力装置であって、前記信頼度情報は、前記監視情報の前記監視ログが無効化されることで、前記監視ログが信頼できないことが示される。

　本開示の第９の態様に係る情報出力装置は、第６の態様に係る情報出力装置であって、前記信頼度情報で示される前記信頼度は、大きいほど信頼性が高い数値で示される。

　本開示の第１０の態様に係る情報出力装置は、第１の態様から第９の態様のいずれか１つの態様に係る情報出力装置であって、前記出力部は、前記信頼度に基づいて前記監視ログが信頼できるか否かを判定し、前記監視ログが信頼できない場合、前記監視情報を出力しない。

　このため、監視ログを受信した装置は、受信した監視ログ全てを信頼できると判定することができる。

　本開示の第１１の態様に係る情報出力装置は、第１の態様から第１０の態様のいずれか１つの態様に係る情報出力装置であって、前記出力部は、前記信頼度に基づいて前記監視ログが信頼できるか否かを判定し、前記監視ログが信頼できない場合、前記監視情報を、異常の発生状況の履歴を蓄積する蓄積装置へ出力する。

　このため、蓄積装置に信頼できない監視ログを含む監視情報を蓄積することができる。

　本開示の第１２の態様に係る情報出力方法は、第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力方法であって、前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信し、逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理し、前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を取得し、前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定し、前記信頼度に基づいて、前記監視ログを含む監視情報を出力する。

　本開示の第１３の態様に係るプログラムは、第１２の態様に係る情報出力方法をコンピュータに実行させるためのプログラムである。

　以下、実施の形態に係る監視装置について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態）
　［監視システムの全体構成図］
　図１は、実施の形態における監視システムの全体構成図である。

　監視システムは、監視サーバ１０と、車載システム２０とを備える。監視サーバ１０と車載システム２０とは、外部ネットワーク３０を介して接続される。

　外部ネットワーク３０は、例えば、インターネットである。外部ネットワーク３０の通信方法は、有線であっても無線であってもよい。また、無線通信方式は既存技術であるＷｉ－Ｆｉ（登録商標）や、３Ｇ／ＬＴＥ（Long Term Evolution）やＢｌｕｅｔｏｏｔｈ（登録商標）、Ｖ２Ｘ通信方式であっても、それらの組合せであってもよい。

　監視サーバ１０は、車載システム２０から車載システム２０のセキュリティ状態に関する情報である監視結果を取得して、グラフィカルユーザーインターフェースを用いた監視結果の表示や分析を行う装置である。監視サーバ１０は、例えば、ＳＯＣにて、セキュリティ分析官が監視結果を確認して、車載システム２０において異常が発生した場合にプログラム更新などの対策を検討する際に利用される。

　車載システム２０は、通信の制御、車両の制御、及び、映像の出力などを実施し、車載システム２０のセキュリティ状態を監視し、監視サーバ１０へセキュリティ状態の監視結果を通知する装置である。図１では、車載システム２０は１台のみ記載しているが、１以上の車載システム２０それぞれが、監視サーバ１０へセキュリティ状態の監視結果を送信する。車載システム２０の詳細は後述する。

　［監視サーバ１０及び車載システム２０の構成］
　図２は、実施の形態における監視サーバ及び車載システムの構成を示す図である。

　監視サーバ１０は、ＳＩＥＭ（Security Information and Event Management）１１を備える。ＳＩＥＭ１１は、複数のシステムから出力されるログまたはデータを収集し、これらのログまたはデータの分析と可視化を行うことで、ネットワークの監視を行ったり、サイバー攻撃またはマルウェアの感染などのようなインシデントの検知を行う統合監視システムである。

　車載システム２０は、複数の車載機器２１０、２２０と、情報出力装置１００とを備える。車載システム２０は、車載機器２１０及び車載機器２２０以外にも、他の車載機器を備えていてもよい。

　車載機器２１０は、監視対象２１１と、監視装置２１２と、ＲＩ（Runtime Integrity）監視装置２１３と、監視Ｒｏｏｔ２１４と、送信装置２１５とを備える。なお、監視対象２１１と、監視装置２１２と、ＲＩ監視装置２１３と、監視Ｒｏｏｔ２１４と、送信装置２１５とは、複数の装置と標記される場合がある。

　監視対象２１１は、アプリケーションにより実現され、その完全性が監視装置２１２により監視される対象である。なお、監視装置２１２は、監視対象２１１のアプリケーションの動作や通信を監視してもよい。監視対象２１１のアプリケーションは、例えば、外部通信アプリ、制御アプリ、映像アプリなどである。外部通信アプリは、外部ネットワーク３０を介して監視サーバ１０と通信するアプリケーションである。制御アプリは、車載システム２０を備える車両の走行に関する動作を制御するアプリケーションである。映像アプリは、カメラの映像などを取得し、インフォテイメントシステムやインストルメントパネル、ヘッドアップディスプレイに映像を出力するアプリケーションである。

　監視装置２１２は、監視対象２１１を監視する。具体的には、監視装置２１２は、監視対象２１１を実現するアプリケーションのプログラムの完全性を検証することで、監視対象２１１に異常が発生したか否かを監視する。なお、監視装置２１２は、監視対象２１１を実現するアプリケーションの送受信する通信データを監視してもよいし、アプリケーションのアクセスするメモリやファイルを監視してもよい。監視装置２１２は、監視結果を含む監視ログを、ＲＩ監視装置２１３を介して送信装置２１５へ送信する。

　例えば、監視装置２１２は、監視対象２１１を実現するプログラムが格納されている記憶装置の記憶領域のデータを読み出して、当該データに対して所定の演算を行うことで検証値を生成し、予め記憶装置に記憶されている期待値と、検証値とを比較することで、監視対象２１１のプログラムの完全性を検証する。監視装置２１２は、検証値と期待値とが一致していれば監視対象２１１が正常であると判定し、検証値と期待値とが一致していなければ監視対象２１１が異常であると判定する。

　なお、期待値は、監視対象２１１を実現するプログラムであって、攻撃を受けていない正常なプログラムのデータに所定の演算を行うことで生成された値である。例えば、期待値は、プログラムが生成されたときに生成されてもよいし、当該プログラムが最初に起動されるときに生成されてもよい。また、期待値は、監視対象２１１を実現するプログラムの正常なデータのうち一部から生成されてもよく、監視対象２１１を実現するプログラムが参照する設定データ、あるいはその一部から生成されてもよく、また、これらの組み合わせにより期待値を生成してもよい。

　また、所定の演算とは、例えば、ハッシュ値を算出するためのハッシュ演算であってもよい。期待値は、正常なプログラムに対してハッシュ演算を行うことで得られたハッシュ値であってもよい。また、検証値は、検証時に監視対象２１１のプログラムが格納されている記憶領域のデータに対してハッシュ演算を行うことで得られたハッシュ値であってもよい。なお、所定の演算は、第１の値を当該第１の値と対となる第２の値に一意に変換する再現性のある演算であればハッシュ演算に限らない。

　監視装置２１２は、例えば、仮想マシンによって実現されてもよい。あるいは、監視対象２１１と同じ実行環境で動作する、あるいは同じ実行環境のカーネル空間で動作するプログラムとして実現されてもよい。監視装置２１２は、複数の監視装置のうちの１つの一例である。

　ＲＩ監視装置２１３は、監視装置２１２及び送信装置２１５を監視する。具体的には、ＲＩ監視装置２１３は、監視装置２１２を実現するプログラムの完全性を検証することで、監視装置２１２に異常が発生したか否かを監視する。また、ＲＩ監視装置２１３は、送信装置２１５を実現するプログラムの完全性を検証することで、送信装置２１５に異常が発生したか否かを監視する。ＲＩ監視装置２１３は、監視結果を含む監視ログを、送信装置２１５へ送信する。

　なお、ＲＩ監視装置２１３による完全性の検証方法は、監視装置２１２による完全性の検証方法と同じである。つまり、ＲＩ監視装置２１３による完全性の検証方法は、監視装置２１２による完全性の検証方法の説明において、検証の主体を監視装置２１２からＲＩ監視装置２１３へ読み替え、検証の対象を監視対象２１１から監視装置２１２または送信装置２１５へ読み替えることで説明できる。

　ＲＩ監視装置２１３は、監視装置２１２及び、または、監視装置２１５とは別の仮想マシンにより実現されてもよいし、乾燥装置２１２及び、または、監視装置２１５と同じ実行環境で動作する、あるいは同じ実行環境のカーネル空間で動作するプログラムとして実現されてもよい。ＲＩ監視装置２１３は、複数の監視装置のうちの１つの一例であり、監視装置２１２よりもセキュリティ権限が高い監視装置の一例である。

　監視Ｒｏｏｔ２１４は、ＲＩ監視装置２１３を監視する。具体的には、監視Ｒｏｏｔ２１４は、ＲＩ監視装置２１３を実現するプログラムの完全性を検証することで、ＲＩ監視装置２１３に異常が発生したか否かを監視する。監視Ｒｏｏｔ２１４は、監視結果を含む監視ログを、送信装置２１５へ送信する。

　なお、監視Ｒｏｏｔ２１４による完全性の検証方法は、監視装置２１２による完全性の検証方法と同じである。つまり、監視Ｒｏｏｔ２１４による完全性の検証方法は、監視装置２１２による完全性の検証方法の説明において、検証の主体を監視装置２１２から監視Ｒｏｏｔ２１４へ読み替え、検証の対象を監視対象２１１からＲＩ監視装置２１３へ読み替えることで説明できる。

　監視Ｒｏｏｔ２１４は、例えば、脆弱性を含まないように実装された信頼可能なオペレーティングシステム上で動作する。さらに、システム起動時に信頼可能なハードウェアのＲＯＴ（Root Of Trust）からオペレーティングシステムのソフトウェアは検証されるため、アプリケーション、仮想マシン、及び、ハイパーバイザの中で最も信頼できると想定できる。監視Ｒｏｏｔ２１４は、例えば、ＴＥＥ（Trusted Execution Environment）と呼ばれる実行環境の制御を用いて実現される。また、監視Ｒｏｏｔ２１４は、例えば、ＡＲＭ系のＣＰＵ（Central Processing Unit）におけるＣｏｒｔｅｘ－Ａファミリでは標準機能の１つであるＴｒｕｓｔＺｏｎｅ機構により実現され得る。また、監視Ｒｏｏｔ２１４は、ＡｐｐｌｅのＳＥＰ（Secure Enclave Processor）、または、ＧｏｏｇｌｅのＴｉｔａｎＭなどによっても実現され得る。監視Ｒｏｏｔ２１４は、複数の監視装置のうちの１つの一例であり、ＲＩ監視装置２１３よりもセキュリティ権限が高い監視装置の一例である。監視Ｒｏｏｔ２１４は、複数の監視装置の中で最もセキュリティ権限が高い監視装置である。あるいは、ＲＩ監視装置２１３と同じ実行環境のカーネル空間において、耐タンパ実装を行うことで信頼度を上げたプログラムとして動作するとしてもよい。

　送信装置２１５は、監視装置２１２、ＲＩ監視装置２１３、及び、監視Ｒｏｏｔ２１４のそれぞれから得られた監視ログを情報出力装置１００へ送信する。送信装置２１５は、例えば、仮想マシンによって実現されてもよい。あるいは、送信装置２１５は、監視対象２１１及びまたは監視装置２１２及びまたはＲＩ監視装置２１３と同じ実行環境で動作するプログラムとして実現されてもよい。

　車載機器２１０は、複数の監視装置を備える。複数の監視装置は、上述したように、監視装置２１２、ＲＩ監視装置２１３、及び、監視Ｒｏｏｔ２１４である。

　車載機器２２０は、車載機器２１０と同様に、セキュリティ権限が異なる複数の監視装置を備える。そして、車載機器２１０と同様に、車載機器２２０が備える複数の監視装置のそれぞれは、セキュリティ権限がより高い監視装置によって監視されている構成（信頼の連鎖）を有する。

　［情報出力装置１００の構成］
　図３は、実施の形態における情報出力装置の構成を示す図である。

　情報出力装置１００は、車載機器２１０、２２０が備える複数の監視装置により生成された監視ログを受信し、監視ログを含む監視情報を出力する。情報出力装置１００は、受信部１０１と、管理部１０２と、記憶部１０３と、決定部１０４と、出力部１０５とを備える。

　受信部１０１は、監視ログを逐次受信する。監視ログは、監視元の監視装置（つまり、監視の主体となる監視装置）を示す装置情報と、監視結果とを含む。監視結果は、複数の監視装置のうちの一の監視装置（監視元の監視装置）の監視対象に異常があるか否かを示す情報である。監視結果は、一の監視装置による監視における結果である。装置情報は、監視ログを生成した監視装置、つまり、監視ログの送信元の監視装置を識別する情報（例えば装置ＩＤ）である。なお、受信部１０１は、複数の監視ログを包含する集約監視ログを受信し、集約監視ログに包含された各監視ログを取り出し、後続の処理部に個別の監視ログとして出力する機能を備えてもよい。

　管理部１０２は、逐次受信された監視ログに含まれる監視結果に基づいて、複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を示す異常情報１１１を管理する。異常情報１１１は、記憶部１０３に記憶されており、管理部１０２は、監視ログに含まれる監視結果を異常情報１１１に反映させる処理を行う。

　図４は、監視ログ発生前の異常情報の一例を示す図である。図５は、監視ログ発生後の異常情報の一例を示す図である。

　異常情報１１１は、図４及び図５に示されるように、車載機器、及び、異常装置の２つの項目で示される情報を含む。車載機器の項目では、異常が発生した装置を備える車載機器が示される。異常装置の項目では、異常が発生した装置が示される。

　異常情報１１１は、図４に示されるように、監視ログが生成される前の時点では、複数の監視装置のそれぞれにおける監視対象に異常が発生しておらず、複数の監視装置のそれぞれにおける監視対象は正常に動作しているため、どの情報も含まれず空の状態である。つまり、異常情報１１１は、空の状態であることが複数の監視装置のそれぞれにおける監視対象の全てが正常に動作していることを示す。異常情報１１１に、情報が示される監視装置には、異常が発生していることを示す。

　例えば、監視Ｒｏｏｔ２１４が生成した監視ログであって、ＲＩ監視装置２１３に異常が発生していることを示す監視ログが受信部１０１により受信された場合、管理部１０２は、当該監視ログに基づいて、車載機器２１０のＲＩ監視装置２１３に異常が発生していることを、異常情報１１１に反映させる。その結果、図５に示されるように、異常情報１１１の車載機器の項目には車載機器２１０を示す情報が追加され、異常情報１１１の異常装置の項目にはＲＩ監視装置２１３を示す情報が追加される。

　図６は、監視ログ発生後の異常情報の他の一例を示す図である。

　この場合の異常情報１１１は、車載機器、及び、異常装置の２つの項目に加えて、さらに、異常状況の項目で示される情報を含む。異常状況の項目では、監視装置に異常が発生していることだけでなく、監視装置の信頼性が低いことが示されてもよい。例えば、異常が発生している監視装置による監視動作の信頼性は低いため、異常が発生している監視装置により監視されている対象の装置の動作が正常ではない可能性がある。よって、異常が発生している監視装置により監視されている対象の装置の異常状況として、信頼性が低いことが示されてもよい。

　例えば、監視Ｒｏｏｔ２１４が生成した監視ログであって、ＲＩ監視装置２１３に異常が発生していることを示す監視ログが受信部１０１により受信された場合、管理部１０２は、当該監視ログに基づいて、車載機器２１０のＲＩ監視装置２１３に異常が発生していることを、異常情報１１１に反映させる。これとともに、管理部１０２は、ＲＩ監視装置２１３の監視下にある監視装置２１２及び送信装置２１５の動作の信頼性が低いことを、異常情報１１１に反映させてもよい。その結果、異常情報１１１の異常状況の項目では、図６に示されるように、車載機器２１０のＲＩ監視装置２１３に異常が発生していることが示される他に、車載機器２１０の監視装置２１２及び送信装置２１５の信頼性が低いことが示される。なお、異常が発生している監視装置の監視下にあることは、後述する関係情報１１３に基づいて特定される。また、監視装置の監視下の装置とは、監視の主体の装置による直接の監視対象だけでなく、直接の監視対象によりさらに監視されている監視対象も含む。言い換えると、監視装置の監視下の装置とは、監視の連鎖において、監視の主体よりも下位に属する１以上の装置の全てである。

　また、管理部１０２は、予め定められたリセット条件が満たされたか否かを判定し、リセット条件が満たされたと判定した場合、異常情報１１１で示される第１状況において正常ではないことが示されている１以上の装置のうちリセット条件で特定される１以上の特定の装置における異常の発生状況を正常に更新してもよい。リセット条件には、リセット（正常への更新）の対象となる１以上の特定の装置が対応付けられていてもよい。つまり、リセット条件が満たされれば、当該リセット条件に対応付けられている１以上の特定の装置の全ての異常の発生状況は、正常に更新される。１以上の特定の装置は、車載機器２１０、２２０が備える複数の監視装置のそれぞれにおける監視対象の全てであってもよいし、複数の監視装置のそれぞれにおける監視対象の一部の１以上の装置であってもよい。リセット条件は、外部装置からリセット要求を受信したことであってもよいし、特定機能（例えば、ＯＴＡ（Over The Air））によるプログラムの更新が為されたことであってもよいし、所定期間が経過したことであってもよいし、車載システム２０を備える車両においてイグニッションがＯＦＦとされたことであってもよい。

　記憶部１０３は、異常情報１１１と、経路情報１１２と、関係情報１１３とを記憶している。異常情報１１１は、上述した通りであるので、以下では、経路情報１１２及び関係情報１１３について説明する。

　図７は、実施の形態における経路情報の一例を示す図である。

　経路情報１１２は、複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路を示す情報である。複数の送信経路のそれぞれは、複数の装置のうちの１以上の装置であって、送信元から送信された監視ログが経由する１以上の装置で示される。

　例えば、経路情報１１２は、図７に示されるように、送信元、及び、送信経路の２つの項目で示される情報を含む。送信元の項目では、監視ログを送信した監視装置、つまり、監視ログを生成した監視装置が示される。送信経路の項目では、監視ログの送信元から送信装置２１５に至るまでの間に監視ログが経由する装置が示される。

　例えば、送信元の装置が監視装置２１２である場合の監視ログの送信経路は、監視装置２１２、ＲＩ監視装置２１３、及び、送信装置２１５で示される。また、例えば、送信元の装置がＲＩ監視装置２１３である場合の監視ログの送信経路は、ＲＩ監視装置２１３及び送信装置２１５で示される。また、例えば、送信元の装置が監視Ｒｏｏｔ２１４である場合の監視ログの送信経路は、監視Ｒｏｏｔ２１４及び送信装置２１５で示される。

　なお、監視ログの送信経路は、送信元の装置に応じて定められることに限らずに、送信元の装置及び監視ログの種別の両方に応じて定められてもよい。

　図８は、実施の形態における関係情報の一例を示す図である。

　関係情報１１３は、複数の装置により構成される複数の監視関係を示す。複数の監視関係のそれぞれは、監視元及び監視対象の組を示す。つまり、複数の監視関係のそれぞれは、複数の装置のうちで、監視元である監視装置と、当該監視元の監視装置の監視対象である装置とを示す。なお、監視元には、複数の装置のうちの複数の監視装置のみがなりうる。また、監視対象には、複数の装置のうちの監視Ｒｏｏｔ２１４以外の装置がなりうる。

　例えば、関係情報１１３は、図８に示されるように、車載機器、監視元、監視対象、及び、監視内容の４つの項目で示される情報を含む。車載機器の項目では、監視元及び監視対象の装置が備えられる車載機器が示される。監視元の項目では、監視の主体である監視装置が示される。監視対象の項目では、監視元の監視装置による監視の対象である装置が示される。監視内容の項目では、監視の動作の種類が示される。

　関係情報により、車載機器２１０、２２０が備える複数の装置の監視元及び監視対象の関係が示される。

　決定部１０４は、経路情報１１２において、受信した監視ログに含まれる装置情報に対応付けられている第１送信経路と、第１状況とに基づいて、第１送信経路で示される１以上の装置のそれぞれの異常の発生状況である第２状況を特定する。この場合、第２状況は、第１送信経路で示される１以上の装置のそれぞれが異常であるか正常であるかを示す。そして、決定部１０４は、特定した第２状況に基づいて、受信した監視ログの信頼度を決定する。具体的には、決定部１０４は、第１送信経路で示される１以上の装置のそれぞれの異常度を算出し、算出された１以上の異常度の合計に基づいて、受信した監視ログの信頼度を決定する。

　まず、決定部１０４による信頼度の決定方法の第１の例について説明する。

　第１の例は、例えば、図５に示される異常情報１１１が記憶部１０３に格納されており、監視装置２１２からの監視ログが受信部１０１により受信された場合の例である。決定部１０４は、経路情報１１２に基づいて、監視装置２１２が送信元である送信経路を特定する。そして、決定部１０４は、特定した送信経路で示される監視装置２１２、ＲＩ監視装置２１３及び送信装置２１５のそれぞれの異常の発生状況を、異常情報１１１に基づいて特定する。この場合、決定部１０４は、図５の異常情報１１１においてＲＩ監視装置２１３のみが異常であると特定できるため、監視装置２１２が正常であり、ＲＩ監視装置２１３が異常であり、送信装置２１５が正常であることを第２状況として特定できる。決定部１０４は、例えば、異常である装置の異常度を１００として算出し、正常である装置の異常度を０として算出する。このため、監視装置２１２の異常度は０として算出され、ＲＩ監視装置２１３の異常度は１００として算出され、送信装置２１５の異常度は０として算出される。そして、決定部１０４は、これらの３つの装置の異常度の合計の１００を所定値である１００から減算することで、監視ログの信頼度を０として算出する。なお、ここで例示している異常度の数値は、大きいほど異常の度合いが大きいことを示す。また、ここで例示している信頼度の数値は、大きいほど信頼性が高いことを示す。

　次に、決定部１０４による信頼度の決定方法の第２の例について説明する。

　第２の例では、決定部１０４は、第２状況の特定する処理において、第１送信経路、第１状況及び関係情報１１３に基づいて、第２状況として、（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）信頼性が低いか（つまり、複数の装置のうちの異常が発生している異常装置の監視下にあるか）を特定してもよい。この場合、第２状況は、第１送信経路で示される１以上の監視装置のそれぞれが（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）信頼性が低いかを示す。そして、決定部１０４は、特定した第２状況に基づいて、受信した監視ログの信頼度を決定する。具体的には、決定部１０４は、第１送信経路で示される１以上の監視装置のそれぞれの異常度を算出し、算出された１以上の異常度の合計に基づいて、受信した監視ログの信頼度を決定する。

　例えば、図６に示される異常情報１１１が記憶部１０３に格納されており、監視Ｒｏｏｔ２１４からの監視ログが受信部１０１により受信された場合について説明する。まず、決定部１０４は、経路情報１１２に基づいて、監視Ｒｏｏｔ２１４が送信元である送信経路を特定する。そして、決定部１０４は、特定した送信経路で示される監視Ｒｏｏｔ２１４及び送信装置２１５のそれぞれの異常の発生状況を、異常情報１１１に基づいて特定する。この場合、決定部１０４は、図６の異常情報１１１においてＲＩ監視装置２１３が異常であり、監視装置２１２及び送信装置２１５が低信頼であると特定できるため、特定した送信経路で示される監視Ｒｏｏｔ２１４及び送信装置２１５の異常の発生状況である第２状況として、監視Ｒｏｏｔ２１４が正常であり、送信装置２１５が低信頼であると特定できる。決定部１０４は、例えば、低信頼である装置の異常度を３０として算出し、正常である装置の異常度を０として算出する。このため、監視Ｒｏｏｔ２１４の異常度は０として算出され、送信装置２１５の異常度は３０として算出される。そして、決定部１０４は、これらの２つの装置の異常度の合計の３０を所定値である１００から減算することで、監視ログの信頼度を７０として算出する。

　なお、第２の例の信頼度の決定方法では、異常装置の監視下にある監視装置を経由した第１監視ログの第１信頼度は、異常装置を経由した第２監視ログの第２信頼度よりも高くなるように決定されてもよい。例えば、低信頼の装置の第１異常度が異常装置の第２異常度よりも大きくなるように第１異常度及び第２異常度が算出されることで、所定値から第１異常度を減算して得られる第１信頼度は、所定値から第２異常度を減算して得られる第２信頼度よりも高くなるように決定されることとなる。なお、信頼度は、例えば数値で示され、その数値が大きいほど信頼性がより高いことを示してもよいし、その数値が小さいほど信頼性がより高いことを示してもよい。

　出力部１０５は、決定された信頼度に基づいて、監視ログを含む監視情報を出力する。具体的には、出力部１０５は、信頼度を示す信頼度情報と、監視ログとを含む監視情報を生成し、生成した監視情報を、外部ネットワーク３０を介して監視サーバ１０へ出力してもよい。つまり、この場合の監視情報は、信頼度情報を含んでいてもよい。

　図９は、実施の形態における監視ログのフォーマットの一例を示す図である。図１０は、実施の形態における監視情報のフォーマットの一例を示す図である。

　監視ログは、図９に示されるように、送信先の装置を示す送信先情報（例えば、送信先の装置のＩＰアドレス、装置ＩＤなど）と、送信元の装置を示す送信元情報（例えば、送信元の装置のＩＰアドレス、装置ＩＤなど）と、当該監視ログが生成された時刻を示すタイムスタンプと、異常検知の内容（例えば、ＲＩ異常、メモリアクセスエラー、ファイルアクセスエラー、Ｋｅｅｐ　Ａｌｉｖｅの正常など）を識別するための異常検知ＩＤと、異常検知の詳細に関するデータ（例えば、異常プロセスＩＤ、リソースＩＤ、メモリアドレスなど）を示す異常検知詳細ログとを含む。ここで、異常検知の内容、及び、異常検知の詳細に関するデータは、監視結果を示す情報である。監視結果には、監視対象を示す情報が含まれてもよい。なお、監視ログは、監視の結果として、監視対象の装置に異常が認められず正常であるという情報を含めてもよく、異常検知ＩＤや異常検知詳細ログを用いて正常状態を表すことにより監視対象の正常を通知してもよい。

　監視情報は、図１０に示されるように、監視ログに含まれる各種情報に加えて、さらに、信頼度を示す信頼度情報が追加された情報である。信頼度情報は、信頼できるか否かが２値で示されてもよいし、上述したように大きいほど信頼性が高い数値で示されてもよい。

　なお、出力部１０５は、監視ログの信頼度が所定の閾値（例えば、５０）以上である場合に、当該監視ログが信頼できると判定し、監視ログの信頼度が所定の閾値未満である場合に、当該監視ログが信頼できないと判定してもよい。

　出力部１０５は、当該監視ログが信頼できると判定した場合に、信頼度情報として信頼できることを示す数値（例えば０）を監視ログに付与することで監視情報を生成してもよい。反対に、出力部１０５は、当該監視ログが信頼できないと判定した場合に、信頼度情報として信頼できないことを示す数値（例えば１）を監視ログに付与することで監視情報を生成してもよい。そして、出力部１０５は、生成した監視情報を監視サーバ１０へ送信してもよい。

　また、出力部１０５は、当該監視ログが信頼できないと判定した場合に、監視ログを無効化（例えばマスク）することで、監視ログが信頼できないことを示す信頼度情報が付与された監視情報を生成してもよい。反対に、出力部１０５は、当該監視ログが信頼できると判定した場合に、監視ログを無効化（例えばマスク）しないことで、監視ログが信頼できることを示す信頼度情報が付与された監視情報を生成してもよい。そして、出力部１０５は、生成した監視情報を監視サーバ１０へ送信してもよい。

　また、出力部１０５は、当該監視ログが信頼できないと判定した場合に、信頼できない監視ログを含む監視情報を、異常の発生状況の履歴を蓄積する蓄積装置へ出力（送信）してもよい。蓄積装置は、図示しない装置であって、外部ネットワーク３０に接続されている装置である。

　また、出力部１０５は、監視ログが信頼できないと判定した場合、監視情報を出力しなくてもよい。

　［情報出力装置１００の動作］
　図１１は、実施の形態における情報出力装置の動作の一例を示すフローチャートである。

　情報出力装置１００は、車載機器２１０、２２０により生成された複数の監視ログを、逐次受信し、受信した複数の監視ログのそれぞれについて、当該監視ログの信頼度を算出して、算出した信頼度に基づいて当該監視ログを含む監視情報を出力する。車載機器２１０、２２０では、生成された複数の監視ログの１つ１つが生成される度に情報出力装置１００へ出力されてもよいし、所定のタイミングが到来したときに、所定のタイミングが到来するまでに蓄積され、未出力の複数の監視ログが情報出力装置１００へ出力されてもよい。

　図１１に示される情報出力装置１００の動作では、受信した１つの監視ログに対する処理が示されている。つまり、情報出力装置１００は、１つの監視ログを受信する度に、受信した監視ログ１つに対して図１１の動作を繰り返す。

　情報出力装置１００は、監視ログを受信する（Ｓ１０１）。監視ログは、監視元の監視装置（つまり、監視の主体となる監視装置）を示す装置情報と、監視結果とを含む。

　次に、情報出力装置１００は、監視ログに含まれる監視ログの送信元を確認する（Ｓ１０２）。

　次に、情報出力装置１００は、監視ログに含まれる監視結果を確認する（Ｓ１０３）。情報出力装置１００は、具体的には、監視結果に基づいて、異常が発生した監視対象を特定し、異常が発生した監視対象の異常状況が異常となるように異常情報１１１を更新し、監視結果が異常が発生したことを含んでいない場合には、異常情報１１１を更新しない。ステップＳ１０３の処理の具体例は、管理部１０２の処理として説明した処理である。

　次に、情報出力装置１００は、異常情報１１１、経路情報１１２及び関係情報１１３に基づいて、監視ログの信頼度を決定する（Ｓ１０４）。ステップＳ１０４の処理の具体例は、決定部１０４の処理として説明した処理である。

　次に、情報出力装置１００は、信頼度を示す信頼度情報と、監視ログとを含む監視情報を生成する（Ｓ１０５）。

　次に、情報出力装置１００は、監視情報に含まれる信頼度情報で示される信頼度が所定の閾値未満であるか否かを判定する（Ｓ１０６）。

　情報出力装置１００は、信頼度が所定の閾値以上である場合（Ｓ１０６でＮｏ）、ステップＳ１０５で生成した監視情報を監視サーバ１０へ送信する（Ｓ１０７）。

　情報出力装置１００は、信頼度が所定の閾値未満である場合（Ｓ１０６でＹｅｓ）、特定の処理を行う（Ｓ１０８）。特定の処理は、例えば、出力部１０５の説明において監視ログが信頼できないと判定された場合に行われると説明した処理である。

　ステップＳ１０５～Ｓ１０８の処理の具体例は、出力部１０５の処理として説明した処理である。

　図１２は、実施の形態における情報出力装置のリセット動作の一例を示すフローチャートである。リセット動作とは、異常情報１１１で異常状況が異常または低信頼と記録されている装置の異常状況を正常に復帰させるための動作である。

　情報出力装置１００は、予め定められたリセット条件が満たされたか否かを判定する（Ｓ１１１）。

　情報出力装置１００は、リセット条件が満たされたと判定した場合（Ｓ１１１でＹｅｓ）、リセット条件で特定されるリセット対象は１以上の特定の装置であるか否かを判定する（Ｓ１１２）。つまり、ステップＳ１１２では、複数の装置の全てではなく、その一部の装置である１以上の特定の装置がリセット対象としてリセット条件において指定されているか否かを判定する。

　情報出力装置１００は、リセット条件が満たされないと判定した場合（Ｓ１１１でＮｏ）、ステップＳ１１１に戻る。

　情報出力装置１００は、リセット対象が１以上の特定の装置であると判定した場合（Ｓ１１２でＹｅｓ）、異常情報１１１で示される第１状況において正常ではないことが示されている１以上の装置のうちリセット条件で特定される１以上の特定の装置の異常の発生状況のうちの異常状態をリセットして正常に更新する（Ｓ１１３）。

　情報出力装置１００は、リセット対象が１以上の特定の装置でないと判定した場合（Ｓ１１２でＮｏ）、つまり、リセット対象が複数の装置の全てであると判定した場合、異常情報１１１で示される第１状況において正常ではないことが示されている全ての装置の異常の発生状況のうちの異常状態をリセットして正常に更新する（Ｓ１１４）。

　［効果など］
　本実施の形態に係る情報出力装置１００は、第１監視装置と、第１監視装置を監視し、第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、監視ログを含む監視情報を出力する。情報出力装置１００は、受信部１０１と、管理部１０２と、記憶部１０３と、決定部１０４と、出力部１０５とを備える。受信部１０１は、複数の監視装置のうちの一の監視装置を示す装置情報と、一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信する。管理部１０２は、逐次受信された監視ログに含まれる監視結果に基づいて、複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理する。記憶部１０３は、複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報１１２を記憶している。決定部１０４は、経路情報１１２において、受信した監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、第１状況とに基づいて、第１送信経路で示される１以上の装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した第２状況に基づいて、受信した監視ログの信頼度を決定する。出力部１０５は、信頼度に基づいて、監視ログを含む監視情報を出力する。

　また、本実施の形態に係る情報出力装置１００において、複数の監視装置を含む複数の装置は、複数の監視関係を構成する。複数の監視関係のそれぞれは、監視元及び監視対象の組を示す。記憶部１０３は、複数の監視関係を示す関係情報１１３を記憶している。決定部１０４は、第１送信経路、第１状況及び関係情報に基づいて、第２状況として、（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）複数の装置のうちの異常が発生している異常装置の監視下にあるかを特定する。

　これについて、図１３を用いて具体的に説明する。図１３は、車載システムが攻撃された場合の監視結果の状態について説明するための図である。この例では、まず、ＲＩ監視装置２１３、送信装置２１５、監視対象２１１の順で攻撃が行われた場合を例に、監視装置２１２による監視結果、ＲＩ監視装置２１３による監視装置２１２の監視結果、ＲＩ監視装置２１３による送信装置２１５の監視結果、監視Ｒｏｏｔ２１４によるＲＩ監視装置２１３の監視結果、及び、監視Ｒｏｏｔ２１４によるＫｅｅｐ　Ａｌｉｖｅ通知の状態の遷移について説明する。図１３中の四角印、三角印、斜線ハッチング付きの丸印、及び、白丸印は、対応する監視結果または通知を含む監視ログが生成されたタイミングを示す。図１３の横軸は時間を示す。監視装置２１２による監視結果、ＲＩ監視装置２１３による送信装置２１５の監視結果、及び、監視Ｒｏｏｔ２１４によるＲＩ監視装置２１３の監視結果の線上にある白の長方形は、それぞれの監視の監視対象が攻撃を受けており当該監視対象に異常が発生していることを示す。

　ＲＩ監視装置２１３への攻撃が行われると、ＲＩ監視装置２１３の異常の発生状況が異常となるため、ＲＩ監視装置２１３の監視対象である監視装置２１２及び送信装置２１５の異常の発生状況が低信頼となる。この場合、ＲＩ監視装置２１３によるＲＩ監視装置の監視結果を含む監視ログは、送信装置２１５を経由するため、三角印で示されるように送信できるが信頼できないログと判定できる。

　送信装置２１５への攻撃が行われると、監視ログを情報出力装置１００へ出力する送信装置２１５に異常が発生するため、その後に発生した監視ログは、四角印で示されるように攻撃されていて送信できないログと判定できる。

　また、本実施の形態に係る情報出力装置１００において、異常装置の監視下にある装置を経由した第１監視ログの第１信頼度は、異常装置を経由した第２監視ログの第２信頼度よりも信頼性が高くなるように決定される。

　異常装置の監視下にある装置は、異常が発生していない可能性があるため、第１信頼度を第２信頼度よりも信頼性が高くなるように決定することで、監視ログの信頼度を精度よく決定することができる。これにより、例えば、監視ログの解析に信頼度を用いることができ、多角的な解析結果を得ることができる。また、信頼度を用いて解析に用いる監視ログを抽出することができ、監視ログの解析に係る処理負荷を低減できる可能性がある。

　また、本実施の形態に係る情報出力装置１００において、決定部１０４は、第１送信経路で示される１以上の装置のそれぞれの異常度を算出し、算出された１以上の異常度の合計に基づいて、受信した監視ログの信頼度を決定する。このため、監視ログが経由した全ての装置の異常の発生状況に応じて信頼度を決定できる。

　また、本実施の形態に係る情報出力装置１００において、管理部１０２は、予め定められたリセット条件が満たされたか否かを判定し、リセット条件が満たされたと判定した場合、第１状況において正常ではないことが示されている１以上の装置のうちリセット条件で特定される１以上の特定の装置における異常の発生状況を正常に更新する。

　また、本実施の形態に係る情報出力装置１００において、監視情報は、さらに、信頼度を示す信頼度情報を含む。このため、監視情報を受信した装置は、信頼度情報を参照することで受信した監視情報に含まれる監視ログが信頼できるか否かを判定することができる。

　また、本実施の形態に係る情報出力装置１００において、出力部１０５は、信頼度に基づいて監視ログが信頼できるか否かを判定し、監視ログが信頼できない場合、監視情報を出力しない。このため、監視ログを受信した装置は、受信した監視ログ全てを信頼できると判定することができる。

　また、本実施の形態に係る情報出力装置１００において、出力部１０５は、信頼度に基づいて監視ログが信頼できるか否かを判定し、監視ログが信頼できない場合、監視情報を、異常の発生状況の履歴を蓄積する蓄積装置へ出力する。このため、蓄積装置に信頼できない監視ログを含む監視情報を蓄積することができる。

　［変形例］
　（変形例１）
　上記実施の形態では、車載システム２０が情報出力装置１００を備えるとして説明したが、これに限らずに、監視サーバが情報出力装置１００を備えていてもよい。

　図１４は、変形例１における監視サーバ及び車載システムの構成を示す図である。

　監視サーバ１０Ａは、ＳＩＥＭ１１及び情報出力装置１００を備える。

　車載システム２０Ａは、車載機器２１０、２２０を備え、情報出力装置１００を備えない。車載システム２０Ａは、車載機器２１０、２２０で生成された監視ログを、外部ネットワーク３０を介して監視サーバ１０Ａへ送信する。監視サーバ１０Ａの情報出力装置１００は、受信した監視ログに対して、実施の形態と同様の処理を行うことで監視情報を、ＳＩＥＭ１１へ出力する処理を実行する。

　（変形例２）
　上記実施の形態では、車載システム２０が情報出力装置１００を備えるとして説明したが、これに限らずに、監視サーバが情報出力装置１００を備えていてもよい。

　図１５は、変形例２における監視サーバ及び車載システムの構成を示す図である。図１６は、変形例２における情報出力装置の構成を示す図である。

　監視サーバ１０Ｂは、ＳＩＥＭ１１Ｂを備え、ＳＩＥＭ１１Ｂは、情報出力装置１００Ｂを備える。つまり、変形例２は、ＳＩＥＭ１１Ｂが実施の形態で説明した情報出力装置１００の機能を有する例である。

　車載システム２０Ｂは、車載機器２１０、２２０を備え、情報出力装置１００を備えない。車載システム２０Ｂは、車載機器２１０、２２０で生成された監視ログを、外部ネットワーク３０を介して監視サーバ１０Ｂへ送信する。

　監視サーバ１０Ｂの情報出力装置１００Ｂは、受信した監視ログに対して、実施の形態と同様の処理を行うことで監視情報を、分析部１０６へ出力する処理を実行する。

　分析部１０６は、複数のシステムから出力されるログまたはデータを収集し、これらのログまたはデータを分析することで、ネットワークの監視を行ったり、サイバー攻撃またはマルウェアの感染などのようなインシデントの検知を行う。分析部１０６は、分析結果を表示する機能を有していてもよい。

　（変形例３）
　変形例２では、ＳＩＥＭ１１Ｂが備える情報出力装置１００Ｂの記憶部１０３は、異常情報１１１、経路情報１１２、及び、関係情報１１３を記憶している構成であるとしたが、これに限らずに、経路情報１１２及び関係情報１１３のような車載システム２０Ｂの構成に基づく静的な情報は、車両情報サーバ１２０に格納されていてもよい。

　図１７は、変形例３における情報出力装置の構成を示す図である。

　変形例３に係る情報出力装置１００Ｃは、経路情報１１２及び関係情報１１３を記憶しておらず、異常情報１１１を記憶している記憶部１０３Ｃを備える点が、変形例２に係る情報出力装置１００Ｂと異なる。また、情報出力装置１００Ｃは、車両情報サーバ１２０と通信可能に接続されており、車両情報サーバ１２０から経路情報１１２及び関係情報１１３を取得する点が、変形例２に係る情報出力装置１００Ｂと異なる。

　車両情報サーバ１２０は、通信部１２１と、記憶部１２２とを備える。通信部１２１は、情報出力装置１００Ｃから経路情報１１２及び関係情報１１３の要求を受信すると、要求に基づく経路情報１１２及び関係情報１１３を情報出力装置１００Ｃへ送信する。

　記憶部１２２は、経路情報１１２及び関係情報１１３を記憶している。この場合の経路情報１１２及び関係情報１１３は、車両の種別毎、車載システム２０Ｂの種別毎に管理されていてもよい。通信部１２１は、要求に示される車両の種別または車載システム２０Ｂの種別に応じた経路情報１１２及び関係情報１１３を記憶部１２２から読み出して、読み出した経路情報１１２及び関係情報１１３を情報出力装置１００Ｃへ送信する。

　以上、本開示の検証システムについて、上記実施の形態およびその変形例に基づいて説明したが、本開示は、その実施の形態および変形例に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記実施の形態および変形例に施したものも本開示に含まれてもよい。

　なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ（Central Processing Unit）またはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の検証装置などを実現するソフトウェアは、図７～図１０のそれぞれに示すフローチャートまたはシーケンス図の各ステップをコンピュータに実行させるコンピュータプログラムである。

　なお、以下のような場合も本開示に含まれる。

　（１）上記の少なくとも１つの装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも１つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　（３）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、その装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ（Compact Disc）－ＲＯＭ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Blu-ray（登録商標） Disc）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　本開示の情報出力装置などは、例えば車両に搭載された電子機器、サーバなどに適用することができる。

　１０、１０Ａ、１０Ｂ　　監視サーバ
　１１、１１Ｂ　　ＳＩＥＭ
　２０、２０Ａ、２０Ｂ　　車載システム
　３０　　外部ネットワーク
１００、１００Ａ、１００Ｂ、１００Ｃ　　情報出力装置
１０１　　受信部
１０２　　管理部
１０３、１０３Ｃ　　記憶部
１０４　　決定部
１０５　　出力部
１０６　　分析部
１１１　　異常情報
１１２　　経路情報
１１３　　関係情報
２１０、２２０　　車載機器
２１１　　監視対象
２１２　　監視装置
２１３　　ＲＩ監視装置
２１４　　監視Ｒｏｏｔ
２１５　　送信装置

Claims

　第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力装置であって、
　前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信する受信部と、
　逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理する管理部と、
　前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を記憶している記憶部と、
　前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定する決定部と、
　前記信頼度に基づいて、前記監視ログを含む監視情報を出力する出力部と、を備える
　情報出力装置。
　前記複数の監視装置を含む複数の装置は、複数の監視関係を構成し、
　前記複数の監視関係のそれぞれは、監視元及び監視対象の組を示し、
　前記記憶部は、前記複数の監視関係を示す関係情報を記憶しており、
　前記決定部は、前記第１送信経路、前記第１状況及び前記関係情報に基づいて、前記第２状況として、（ｉ）正常であるか、（ｉｉ）異常であるか、（ｉｉｉ）前記複数の装置のうちの異常が発生している異常装置の監視下にあるかを特定する
　請求項１に記載の情報出力装置。
　前記異常装置の監視下にある装置を経由した第１監視ログの第１信頼度は、前記異常装置を経由した第２監視ログの第２信頼度よりも高くなるように決定される
　請求項２に記載の情報出力装置。
　前記決定部は、前記第１送信経路で示される１以上の装置のそれぞれの異常度を算出し、算出された１以上の異常度の合計に基づいて、受信した前記監視ログの信頼度を決定する
　請求項１から３のいずれか１項に記載の情報出力装置。
　前記管理部は、予め定められたリセット条件が満たされたか否かを判定し、前記リセット条件が満たされたと判定した場合、前記第１状況において正常ではないことが示されている１以上の装置のうち前記リセット条件で特定される１以上の特定の装置における異常の発生状況を正常に更新する
　請求項１から３のいずれか１項に記載の情報出力装置。
　前記監視情報は、さらに、前記信頼度を示す信頼度情報を含む
　請求項１から３のいずれか１項に記載の情報出力装置。
　前記信頼度情報は、前記監視情報が含む監視ログが信頼できるか否かを示す情報である
　請求項６に記載の情報出力装置。
　前記信頼度情報は、前記監視情報の前記監視ログが無効化されることで、前記監視ログが信頼できないことが示される
　請求項７に記載の情報出力装置。
　前記信頼度情報で示される前記信頼度は、大きいほど信頼性が高い数値で示される
　請求項６に記載の情報出力装置。
　前記出力部は、前記信頼度に基づいて前記監視ログが信頼できるか否かを判定し、前記監視ログが信頼できない場合、前記監視情報を出力しない
　請求項１から３のいずれか１項に記載の情報出力装置。
　前記出力部は、前記信頼度に基づいて前記監視ログが信頼できるか否かを判定し、前記監視ログが信頼できない場合、前記監視情報を、異常の発生状況の履歴を蓄積する蓄積装置へ出力する
　請求項１から３のいずれか１項に記載の情報出力装置。
　第１監視装置と、前記第１監視装置を監視し、前記第１監視装置よりもセキュリティ権限が高い第２監視装置とを含む複数の監視装置により生成された監視ログを受信し、前記監視ログを含む監視情報を出力する情報出力方法であって、
　前記複数の監視装置のうちの一の監視装置を示す装置情報と、前記一の監視装置の監視対象に異常があるか否かを示す監視結果とを含む監視ログを逐次受信し、
　逐次受信された前記監視ログに含まれる前記監視結果に基づいて、前記複数の監視装置のそれぞれにおける監視対象の異常の発生状況である第１状況を管理し、
　前記複数の監視装置のそれぞれを監視ログの送信元とする複数の送信経路であって、それぞれが前記送信元から送信された監視ログが経由する１以上の装置で示される複数の送信経路を示す経路情報を取得し、
　前記経路情報において、受信した前記監視ログに含まれる装置情報で示される監視装置の監視対象に対応付けられている第１送信経路と、前記第１状況とに基づいて、前記第１送信経路で示される１以上の監視装置のそれぞれの監視対象の異常の発生状況である第２状況を特定し、
　特定した前記第２状況に基づいて、受信した前記監視ログの信頼度を決定し、
　前記信頼度に基づいて、前記監視ログを含む監視情報を出力する
　情報出力方法。
　請求項１２に記載の情報出力方法をコンピュータに実行させるためのプログラム。