WO2024084901A1

WO2024084901A1 - 分析装置、分析方法およびプログラム

Info

Publication number: WO2024084901A1
Application number: PCT/JP2023/034739
Authority: WO
Inventors: 翔一朗関屋; 唯之鳥崎; 貴佳伊藤; 薫横田
Original assignee: パナソニックオートモーティブシステムズ株式会社
Priority date: 2022-10-17
Filing date: 2023-09-25
Publication date: 2024-04-25
Also published as: JP2024058969A

Abstract

第１分析装置（１２０）は、車両（Ｖ）に関するログの分析結果に基づいてレポート情報を送信する分析装置であって、車両（Ｖ）の第１匿名化データを含むログである第１匿名化ログを取得する取得部（１２１）と、第２システム（２００）が有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、上述の第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行う紐付け解決部（１２５ｂ）と、特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして第２システム（２００）から取得するシステム連携部（１２５ｃ）と、第１匿名化ログおよび統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する統合分析部（１２５ｄ）とを備える。

Description

分析装置、分析方法およびプログラム

　本開示は、ログの分析を行う分析装置などに関する。

　例えば、特許文献１には、分析装置としてログ分析装置が開示されている。このログ分析装置は、監視対象のログメッセージが所定の条件を満たす場合にアラートを出力し、そのログメッセージの中から、アラートと関連するログである関連ログを抽出する。そして、ログ分析装置は、同一時間帯ごとの関連ログに応じた情報を出力する。これにより、ログが大量に存在する場合であっても、確認が必要なログを絞ることができる。

特許第７０７８１１４号公報

　しかしながら、上記特許文献１のログ分析装置では、分析対象のログを絞り込んでいるため、分析精度の向上が難しいという課題がある。つまり、上記特許文献１のログ分析装置は、抽出された関連ログを統合して分析しているが、それらの関連ログは絞り込まれたものであって、多くのログが用いられていない。例えば、２以上のシステムのそれぞれが、そのシステムの目的に応じたログを監視対象車両から収集して分析するよりも、それらのシステムによって得られるログを統合して分析した方が、分析精度向上の可能性を高めることができる場合がある。しかし、それらのシステムのそれぞれにおいて、互に異なる態様でログに対して匿名化が行われる場合には、監視対象車両のログを統合することが難しい。したがって、多くのログを分析に用いることができず、分析精度の向上が困難になる。

　そこで、本開示は、分析精度の向上を図ることができる分析装置などを提供する。

　本開示の一態様に係る分析装置は、監視対象デバイスに関するログの分析結果に基づいてレポート情報を送信する分析装置であって、前記監視対象デバイスの第１匿名化データを含む前記ログである第１匿名化ログを取得する取得部と、連携先監視システムが有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、前記第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行う紐付け解決部と、前記特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして前記連携先監視システムから取得するシステム連携部と、前記第１匿名化ログおよび前記統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する統合分析部と、を備える。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。また、記録媒体は、非一時的な記録媒体であってもよい。

　本開示の分析装置は、分析精度の向上を図ることができる。

　なお、本開示の一態様における更なる利点および効果は、明細書および図面から明らかにされる。かかる利点および／または効果は、実施の形態並びに明細書および図面に記載された構成によって提供されるが、必ずしも全ての構成が必要とはされない。

図１は、実施の形態における分析システムの全体構成図である。図２は、実施の形態における第１分析装置の機能構成の一例を示すブロック図である。図３は、実施の形態における第１システムおよび第２システムの処理のうち、統合処理部に関する処理動作を説明するための図である。図４は、実施の形態における第１分析装置の処理動作の一例を示すフローチャートである。図５は、実施の形態の変形例１における第１システムおよび第２システムの処理のうち、統合処理部に関する処理動作を説明するための図である。図６は、実施の形態の変形例１における第１分析装置の処理動作の一例を示すフローチャートである。図７は、実施の形態の変形例２における第１システムおよび第２システムの処理のうち、統合処理部に関する処理動作を説明するための図である。図８は、実施の形態の変形例２における再匿名化の一例を示す図である。図９は、実施の形態の変形例２における第１分析装置の処理動作の一例を示すフローチャートである。図１０は、実施の形態の変形例３における第１システムおよび第２システムの処理のうち、第２分析装置に関する処理動作を説明するための図である。図１１は、実施の形態の変形例３における第１分析装置の処理動作の一例を示すフローチャートである。図１２は、実施の形態の変形例４における第１システムおよび第２システムの処理のうち、統合処理部に関する処理動作を説明するための図である。図１３は、実施の形態の変形例４における紐付け情報の一例を示す図である。図１４は、実施の形態の変形例４における第１分析装置の処理動作の一例を示すフローチャートである。図１５は、実施の形態の変形例４における第２分析装置の処理動作の一例を示すフローチャートである。

　本開示の第１態様に係る分析装置は、監視対象デバイスに関するログの分析結果に基づいてレポート情報を送信する分析装置であって、前記監視対象デバイスの第１匿名化データを含む前記ログである第１匿名化ログを取得する取得部と、連携先監視システムが有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、前記第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行う紐付け解決部と、前記特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして前記連携先監視システムから取得するシステム連携部と、前記第１匿名化ログおよび前記統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する統合分析部と、を備える。例えば、分析装置を有するシステムと、連携先監視システムとのそれぞれは、１以上のデバイスの各々に関するログを取得すると、互いに異なる態様でそのログを匿名化する。デバイスの一例は、車両である。また、ログの匿名化では、そのログに含まれる例えばＶＩＮ（Vehicle Identification Number）またはＩＰ（Internet Protocol）アドレスなどのような、そのログに記録されたデバイスやユーザの識別に用いられる識別データが匿名化データに匿名化される。分析装置を有するシステムでは、監視対象デバイスに関するログは、第１匿名化データを含む第１匿名化ログとして管理される。また、連携先監視システムでは、監視対象デバイスを含む各デバイスに関するログは、第２匿名化データを含む第２匿名化ログとして管理される。

　ここで、上記本開示の第１態様に係る分析装置では、紐付け解決によって、第１匿名化データに対応する第２匿名化データが特定第２匿名化データとして決定される。つまり、第１匿名化データと同一の監視対象デバイスに対応する第２匿名化データが、特定第２匿名化データとして決定されてその第１匿名化データに紐付けられる。したがって、第１匿名化ログと同一の監視対象デバイスに関する第２匿名化ログを、統合対象第２匿名化ログとして連携先監視システムから取得することができる。その結果、同一の監視対象デバイスに関する第１匿名化ログと統合対象第２匿名化ログとに対して統合分析を行うことができるため、第１匿名化ログだけを用いた分析よりも分析精度の向上を図ることができる。つまり、分析装置を有するシステムと、連携先監視システムとで、ログに対して互いに異なる態様で匿名化が行われても、同一の監視対象デバイスに関するログを統合して解析することができ、その結果、分析精度の向上を図ることができる。

　また、第１態様に従属する第２態様に係る分析装置は、さらに、前記統合分析が必要か否かを判定する統合判定部を備え、前記紐付け解決部は、前記統合判定部によって前記統合分析が必要と判定された場合に、前記紐付け解決を行ってもよい。

　これにより、統合分析が必要と判定された場合に紐付け解決が行われるため、統合分析が不要な場合にまで、紐付け解決が行われることを抑制することができ、処理負担の軽減を図ることができる。また、統合分析が不要な場合には、第２匿名化ログを用いずに、第１匿名化ログに対する分析を行うことができ、処理負担の軽減を図ることができる。なお、第１匿名化ログの分析結果に基づいて、統合分析が必要か否かを判定してもよい。

　また、第１態様または第２態様に従属する第３態様に係る分析装置は、さらに、前記統合分析の結果に応じた送信先を判定する送信先判定部と、前記送信先判定部によって判定された送信先に、前記統合分析の結果を示す前記レポート情報を送信する送信部と、を備えてもよい。

　これにより、統合分析の結果に応じた送信先にレポート情報が送信されるため、適切な送信先に統合分析の結果を通知することができる。つまり、監視対象デバイスの状況が与える影響の範囲に応じて、その範囲に対応する例えばＳＩＲＴ（Security Incident Response Team）に、統合分析の結果を通知することができる。

　また、第１～第３態様の何れか１つに従属する第４態様に係る分析装置では、前記システム連携部は、前記複数の第２匿名化ログのうち、前記第１匿名化ログに応じて決定される種別および時間帯の少なくとも一方に対応する１以上の第２匿名化ログから、前記統合対象第２匿名化ログを取得してもよい。あるいは、第１～第３態様の何れか１つに従属する第５態様に係る分析装置では、前記システム連携部は、前記複数の第２匿名化ログから、前記第１匿名化ログに応じて決定される条件に一致する第２匿名化ログを、種別および時間帯の少なくとも一方を用いて指定することによって、前記第２匿名化ログを前記統合対象第２匿名化ログとして取得してもよい。

　これにより、取得される統合対象第２匿名化ログの種別および時間帯を、第１匿名化ログに応じて決定される種別および時間帯に限定することができる。例えば、監視対象デバイスが車両であれば、渋滞予測に関する種別の統合対象第２匿名化ログ、または、渋滞の時間帯に対応する統合対象第２匿名化ログを取得することができる。その結果、統合対象第２匿名化ログの種別および時間帯が限定されるため、統合分析への貢献度の低い第２匿名化ログの取得を抑制し、効率的な統合分析を実現することができる。

　また、第１～第４態様の何れか１つに従属する第５態様に係る分析装置では、前記システム連携部は、さらに、取得された前記統合対象第２匿名化ログに含まれている前記特定第２匿名化データを匿名化してもよい。

　つまり、統合対象第２匿名化ログまたは特定第２匿名化データが再匿名化される。これにより、それらのログおよびデータの秘匿性を高めることができる。すなわち、それらの再匿名化されたログまたはデータから、そのログに対応するデバイスが連携先監視システムによって認識されてしまうことを抑制することができる。その結果、統合対象第２匿名化ログの安全性を高めることができる。

　また、第１～第５態様の何れか１つに従属する第６態様に係る分析装置では、前記システム連携部は、さらに、前記連携先監視システムからの要求に応じて、前記第１匿名化ログを前記連携先監視システムに送信してもよい。

　これにより、分析装置だけでなく、連携先監視システムでも、互に同じ監視対象デバイスに対応する第１匿名化ログおよび第２匿名化ログを取得して統合分析を行うことができる。つまり、分析装置を有するシステムと、連携先監視システムとの相互連携を実現することができ、ログに対する効果的な分析を行うことができる。

　また、第１～第６態様の何れか１つに従属する第７態様に係る分析装置では、前記紐付け解決部は、さらに、前記第１匿名化データと前記特定第２匿名化データとの関連付けを示す紐付け情報を記録媒体に格納し、前記第１匿名化データに対する前記紐付け解決を繰り返し実行するときには、前記記録媒体に格納されている前記紐付け情報を参照することによって前記紐付け解決を行ってもよい。

　これにより、紐付け解決が繰り返し実行されるときには、紐付け情報の参照によってその紐付け解決が行われるため、分析装置が他の装置などと通信して紐付け解決を行う手間を省くことができる。その結果、効率的な紐付け解決および統合分析を実現することができる。

　また、第７態様に従属する第８態様に係る分析装置では、前記紐付け解決部は、さらに、前記紐付け情報に対して有効期限を設定し、前記第１匿名化データに対する前記紐付け解決を繰り返し実行するタイミングが、前記有効期限を経過していなければ、前記記録媒体に格納されている前記紐付け情報を参照することによって前記紐付け解決を行ってもよい。

　これにより、紐付け情報に対して有効期限が設定されるため、有効期限までは、第１匿名化データと第２匿名化データとの対応関係を保障し、有効期限経過後では、その対応関係を変更することができる。つまり、有効期限経過後では、分析装置を有するシステムと、連携先監視システムとのそれぞれの匿名化の態様を変更することができる。その結果、それらシステムの全体的な処理動作の自由度を高めることができる。

　また、第７態様または第８態様に従属する第９態様に係る分析装置では、前記システム連携部は、さらに、前記記録媒体に格納されている前記紐付け情報を、前記連携先監視システムに送信してもよい。

　これにより、紐付け情報が連携先監視システムに送信されるため、連携先監視システムはその紐付け情報を用いて紐付け解決を行うことができる。その結果、連携先監視システムでも、分析装置と同様に、統合分析を行うことができる。

　また、第９態様に従属する第１０態様に係る分析装置では、前記システム連携部は、さらに、前記記録媒体に格納されている前記紐付け情報が、前記紐付け解決部によって更新されたときには、更新された前記紐付け情報を、前記連携先監視システムに送信してもよい。

　これにより、分析装置と、連携先監視システムとで、共通の紐付け情報を同期して管理することができる。その結果、分析装置と連携先監視システムとで行われる統合分析の効率化を図ることができる。

　また、第１～第１０態様の何れか１つに従属する第１１態様に係る分析装置では、前記取得部は、第１サーバから前記第１匿名化ログを取得し、前記第１サーバは、前記監視対象デバイスに関する第１ログを取得した場合に、前記第１ログに含まれている前記監視対象デバイスの第１識別データを匿名化することによって、前記第１匿名化データを含む前記第１匿名化ログを生成し、前記連携先監視システムが有する第２サーバは、前記監視対象デバイスに関する第２ログを取得した場合に、前記第２ログに含まれている第２識別データを匿名化することによって、前記第２匿名化データを含む前記第２匿名化ログを生成し、前記紐付け解決部は、前記第１匿名化データを前記第１サーバに送信し、前記第１匿名化データに対応する第２匿名化データの問い合わせを、前記第１サーバを介して前記第２サーバに対して行うことによって、前記紐付け解決を行ってもよい。

　これにより、第１サーバおよび第２サーバがそれぞれ匿名化を行い、第１サーバを介した第２サーバへの問い合わせによって紐付け解決が行われるため、正確な紐付け解決を実現することができる。

　以下、実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　また、各図は、模式図であり、必ずしも厳密に図示されたものではない。また、各図において、同じ構成部材については同じ符号を付している。

　（実施の形態）
　図１は、本実施の形態における分析システムの全体構成図である。

　本実施の形態における分析システム１は、監視対象デバイスである車両Ｖにおける処理動作を分析して監視するシステムであって、車両Ｖ、基地局Ｒ、第１システム１００、および第２システム２００を備える。なお、基地局Ｒは、分析システム１に備えられていなくてもよい。

　車両Ｖは、例えばカーナビゲーションシステムに用いられる機器のようなテレマティクスのサービスを受ける機器を備え、操舵および車速などの車両制御を行う。そして、車両Ｖは、基地局Ｒを介して複数のログを第１システム１００および第２システム２００に送信する。これらのログは、テレマティクスに関するログ、車両制御に関するログなどを含む。また、各ログは、プライバシー情報を含む。プライバシー情報は、例えば車両Ｖを識別するための識別データであって、例えばＶＩＮ（Vehicle Identification Number）およびＩＰ（Internet Protocol）アドレスなどである。なお、これらのログは、車両データと呼ばれてもよい。

　第１システム１００は、例えば車両監視システムとも呼ばれ、車両Ｖを含む各車両の車両制御を監視する。このような第１システム１００は、第１サーバ１１０と、第１分析装置１２０とを備える。

　第１サーバ１１０は、例えば車両ログサーバとも呼ばれ、車両Ｖを含む各車両から送信されるログのうち、第１システム１００の分析目的に応じた第１ログを受信する。例えば、第１ログは、車両Ｖの車両制御に関するログである。第１サーバ１１０は、その第１ログを匿名化することによって第１匿名化ログを生成し、その第１匿名化ログを第１分析装置１２０に出力する。具体的には、その第１ログの匿名化では、第１サーバ１１０は、第１ログに含まれる第１識別データを匿名化することによって第１匿名化データを生成する。第１匿名化ログは、第１識別データの代わりにその第１匿名化データを含む第１ログであると言える。第１識別データは、車両Ｖを識別するための例えばＶＩＮである。なお、本実施の形態では、匿名化が行われるため、第１サーバ１１０以外の機器は、第１匿名化データおよび第１匿名化ログから車両Ｖを特定することができない。このような匿名化は、ＧＤＰＲ（General Data Protection Regulation）等で求められるプライバシー情報保護のために行われる。

　第１分析装置１２０は、車両制御用のＳＯＣ（Security Operation Center）に用いられる装置であって、第１サーバ１１０から１以上の第１匿名化ログを取得すると、それらの第１匿名化ログを分析する。例えば、第１分析装置１２０は、それらの第１匿名化ログの分析によって、第１匿名化データに対応する車両への攻撃の有無などを判定する。

　第２システム２００は、例えばＩＴ（Information Technology）システムとも呼ばれ、車両Ｖを含む各車両のテレマティクスサービスを監視する。このような第２システム２００は、第２サーバ２１０と、第２分析装置２２０とを備える。

　第２サーバ２１０は、例えばテレマティクスサーバとも呼ばれ、車両Ｖを含む各車両から送信されるログのうち、第２システム２００の分析目的に応じた第２ログを受信する。例えば、第２ログは、カーナビゲーションシステムなどのテレマティクスに関するログである。第２サーバ２１０は、その第２ログを匿名化することによって第２匿名化ログを生成し、その第２匿名化ログを第２分析装置２２０に出力する。具体的には、その第２ログの匿名化では、第２サーバ２１０は、第２ログに含まれる第２識別データを匿名化することによって第２匿名化データを生成する。第２匿名化ログは、第２識別データの代わりにその第２匿名化データを含む第２ログであると言える。第２識別データは、車両Ｖを識別するための例えばＩＰアドレスである。なお、本実施の形態では、匿名化が行われるため、第２サーバ２１０以外の機器は、第２匿名化データおよび第２匿名化ログから車両Ｖを特定することができない。このような匿名化は、第１サーバ１１０と同様、ＧＤＰＲ等で求められるプライバシー情報保護のために行われる。

　第２分析装置２２０は、ＩＴ用のＳＯＣに用いられる装置であって、第２サーバ２１０から１以上の第２匿名化ログを取得すると、それらの第２匿名化ログを分析する。例えば、第２分析装置２２０は、それらの第２匿名化ログの分析によって、第２匿名化データに対応する車両が走行する予定の道路の渋滞を予測する。

　なお、第１ログおよび第２ログのそれぞれには、第１識別データおよび第２識別データが含まれるが、第１匿名化ログには、第２識別データが匿名化されることによって得られるデータが含まれていても、含まれていなくてもよい。同様に、第２匿名化ログには、第１識別データが匿名化されることによって得られるデータが含まれていても、含まれていなくてもよい。また、第１サーバ１１０および第２サーバ２１０は、例えば車両メーカによって運用される装置であって、第１分析装置１２０および第２分析装置２２０は、サービスを提供する団体などによって運用される装置である。

　ここで、本実施の形態における第１分析装置１２０は、統合分析が必要とされる場合には、車両Ｖの１以上の第２匿名化ログを第２分析装置２２０から取得し、車両Ｖの１以上の第２匿名化ログを、その車両Ｖの１以上の第１匿名化ログに統合する。そして、第１分析装置１２０は、それらの統合された１以上の第１匿名化ログおよび１以上の第２匿名化ログに対する分析を統合分析として実行する。また、第１分析装置１２０は、この統合分析を行うときには、車両Ｖに関する第１匿名化ログと第２匿名化ログとを紐付けるための処理である紐付け解決を行う。

　なお、本実施の形態では、第１サーバ１１０および第２サーバ２１０は、車両Ｖから基地局Ｒを介して車両Ｖのログを取得するが、車両Ｖ以外の装置またはサーバから、その車両Ｖのログを取得してもよい。つまり、本実施の形態における車両Ｖのログは、車両Ｖに関するログであって、車両Ｖによって生成されるログ、または車両Ｖから得られるログに限定されることはない。したがって、その車両Ｖのログには、車両Ｖと外部ネットワークとの通信ログなど、他の装置またはサーバによって生成されたログ、あるいは、他の装置またはサーバによって取得されたログが含まれてもよい。

　図２は、本実施の形態における第１分析装置１２０の機能構成の一例を示すブロック図である。

　本実施の形態における第１分析装置１２０は、監視対象デバイスである車両Ｖに関するログの分析結果に基づいてレポート情報を送信する装置である。このような第１分析装置１２０は、取得部１２１、ログ分析部１２２、送信先判定部１２３、送信部１２４、統合処理部１２５、制御部１２６、記憶部１２７、および通信部１２８を備える。

　通信部１２８は、第１サーバ１１０および第２分析装置２２０のそれぞれと例えばインターネットなどの電気通信回線を介して通信する。

　取得部１２１は、第１サーバ１１０から通信部１２８を介して車両Ｖの第１匿名化ログを取得する。つまり、取得部１２１は、監視対象デバイスである車両Ｖの第１匿名化データを含むログである第１匿名化ログを、第１サーバ１１０から取得する。そして、取得部１２１は、その第１匿名化ログを記憶部１２７に格納する。

　ログ分析部１２２は、取得部１２１によって取得されて記憶部１２７に格納された１以上の第１匿名化ログを分析する。

　送信先判定部１２３は、車両Ｖの１以上のログの分析結果を示すレポート情報の送信先を判定する。つまり、送信先判定部１２３は、ログ分析部１２２による１以上の第１匿名化ログの分析の結果を示すレポート情報の送信先を判定する。あるいは、送信先判定部１２３は、統合処理部１２５による統合分析の結果を示すレポート情報の送信先を判定する。例えば、送信先判定部１２３は、統合分析の結果に応じて、そのレポート情報の送信先を判定する。送信先は、例えば複数種のＳＩＲＴ（Security Incident Response Team）のうちの少なくとも１つのＳＩＲＴである。具体的には、複数種のＳＩＲＴは、車両制御を担当するＳＩＲＴである第１ＳＩＲＴと、車両制御およびテレマティクスを担当するＳＩＲＴである第２ＳＩＲＴとを含む。

　送信部１２４は、送信先判定部１２３によって判定された送信先に通信部１２８を介してレポート情報を送信する。例えば、送信部１２４は、統合分析が行われる場合には、その統合分析の結果に応じた送信先に、すなわち送信先判定部１２３によって判定された送信先に、その統合分析の結果を示すレポート情報を送信する。なお、送信先は、上述のＳＩＲＴであって、具体的には、そのＳＩＲＴが有する装置またはシステムである。

　統合処理部１２５は、上述の統合分析を行う。具体的には、この統合処理部１２５は、統合判定部１２５ａ、紐付け解決部１２５ｂ、システム連携部１２５ｃ、および統合分析部１２５ｄを備える。

　統合判定部１２５ａは、ログ分析部１２２による分析結果、すなわち１以上の第１匿名化ログの分析結果に基づいて、統合分析が必要か否かを判定する。

　紐付け解決部１２５ｂは、統合判定部１２５ａによって統合分析が必要と判定された場合に、紐付け解決を行う。紐付け解決は、それぞれ同一の車両Ｖに関する第１匿名化ログと第２匿名化ログとを紐付けるための処理である。具体的には、第２システム２００の第２分析装置２２０は、車両Ｖを含む各車両から得られる複数の第２匿名化ログを有している。これらの複数の第２匿名化ログには、車両Ｖの第２匿名化ログだけでなく他の車両の第２匿名化ログが含まれている。そこで、紐付け解決部１２５ｂは、複数の第２匿名化ログのうち、第１匿名化ログと同様に車両Ｖのログである第２匿名化ログを、その第１匿名化ログに紐付けるための紐付け解決を行う。つまり、紐付け解決部１２５ｂは、連携先監視システムである第２システム２００が有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行う。これにより、第１匿名化データと特定第２匿名化データとが紐付けられ、その結果、第１匿名化データを含む第１匿名化ログと、特定第２匿名化データを含む第２匿名化ログとが紐付けられる。

　システム連携部１２５ｃは、第１匿名化ログに紐付けられる第２匿名化ログを、通信部１２８を介して第２分析装置２２０に要求して取得する。その第２匿名化ログは、第１匿名化ログへの統合に用いられるログである。つまり、システム連携部１２５ｃは、上述の特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして第２システム２００（すなわち連携先監視システム）から取得する。

　統合分析部１２５ｄは、１以上の第１匿名化ログおよび１以上の統合対象第２匿名化ログを統合し、統合された１以上の第１匿名化ログおよび１以上の統合対象第２匿名化ログに対する分析を行う。つまり、統合分析部１２５ｄは、第１匿名化ログおよび統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する。

　制御部１２６は、第１分析装置１２０に含まれる各構成要素を制御する。つまり、制御部１２６は、取得部１２１、ログ分析部１２２、送信先判定部１２３、送信部１２４、統合処理部１２５、記憶部１２７、および通信部１２８を制御する。

　記憶部１２７は、上述の各構成要素によって生成されるデータ、情報などを格納するための記録媒体である。例えば、記憶部１２７は、ハードディスクドライブ、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、または半導体メモリなどである。なお、このような記憶部１２７は、揮発性であっても不揮発性であってもよい。

　図３は、第１システム１００および第２システム２００の処理のうち、統合処理部１２５に関する処理動作を説明するための図である。

　統合処理部１２５の紐付け解決部１２５ｂは、統合判定部１２５ａによって統合分析の必要があると判定されると、図３の処理（１）のように、通信部１２８から第１サーバ１１０を介して第２サーバ２１０に対して問い合わせを行う。問い合わせは、第１匿名化データに対応する第２匿名化データの問い合わせである。このとき、紐付け解決部１２５ｂは、通信部１２８を介して第１サーバ１１０に対して第１匿名化データを送信する。

　第１サーバ１１０は、図３の処理（２）のように、第１匿名化データを紐付け解決部１２５ｂから取得すると、その第１匿名化データに対応する第１識別データを特定する。なお、第１サーバ１１０は、先に上述の第１ログを第１分析装置１２０に送信するときには、その第１ログに含まれる第１識別データを匿名化することによって第１匿名化データを生成しているため、第１匿名化データに対応する第１識別データを特定し得る。そして、第１サーバ１１０は、図３の処理（３）のように、その特定された第１識別データを第２サーバ２１０に送信し、その第１識別データに対応する第２匿名化データを問い合わせる。

　第２サーバ２１０は、第１サーバ１１０から第１識別データを取得し、上述の問い合わせを受けると、図３の処理（４）のように、その第１識別データに対応する第２匿名化データを特定する。なお、第２サーバ２１０は、先に上述の第２ログを第２分析装置２２０に送信するときには、第１識別データおよび第２識別データを含む第２ログを取得し、その第２識別データを匿名化することによって第２匿名化データを生成している。したがって、第２サーバ２１０は、第１識別データに対応する第２匿名化データを特定し得る。そして、第２サーバ２１０は、図３の処理（５）のように、その特定された第２匿名化データを第１サーバ１１０に送信することによって、第１サーバ１１０の問い合わせに対して回答する。なお、第２サーバ２１０は、第１識別データに対応する第２識別データを特定するためのデータを別途保持しており、第１識別データに対応する第２識別データを特定し、さらに、第２識別データに対応する第２匿名化データを特定し得るものとしてもよい。

　第１サーバ１１０は、第２サーバ２１０から第２匿名化データを受信すると、図３の処理（６）のように、その第２匿名化データを第１分析装置１２０に送信する。これにより、紐付け解決部１２５ｂは、図３の処理（１）における問い合わせに対する回答として、第２匿名化データを、例えば通信部１２８を介して受信する。この第２匿名化データは、第１匿名化データに対応するデータであって、第１匿名化データと同一の車両Ｖを識別するためのデータである。紐付け解決部１２５ｂは、その第２匿名化データをシステム連携部１２５ｃに出力する。

　システム連携部１２５ｃは、紐付け解決部１２５ｂから第２匿名化データを取得すると、図３の処理（７）のように、その第２匿名化データを第２分析装置２２０に送信することによって、その第２匿名化データを含む第２匿名化ログを第２分析装置２２０に要求する。

　第２分析装置２２０は、システム連携部１２５ｃから第２匿名化データを受信し、さらに上述の要求を受けると、図３の処理（８）のように、その第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして第１分析装置１２０に送信する。

　第１分析装置１２０のシステム連携部１２５ｃは、その統合対象第２匿名化ログを、通信部１２８を介して第２分析装置２２０から取得すると、その統合対象第２匿名化ログを記憶部１２７に格納する。

　そして、第１分析装置１２０の統合分析部１２５ｄは、記憶部１２７に格納されている１以上の第１匿名化ログと１以上の統合対象第２匿名化ログを統合することによって、１以上の第１匿名化ログと１以上の統合対象第２匿名化ログを含むログ群を生成する。さらに、統合分析部１２５ｄは、そのログ群の分析を統合分析として行い、統合分析の結果を示すレポート情報を生成して記憶部１２７に格納する。このレポート情報は、送信先判定部１２３によって判定された送信先に、送信部１２４を介して送信される。

　このように、本実施の形態では、第１分析装置１２０は、問い合わせを行うことによって、紐付け解決を行う。具体的には、本実施の形態では、第１分析装置１２０の取得部１２１は、車両Ｖから、第１サーバ１１０および通信部１２８を介して第１匿名化ログを取得する。なお、車両Ｖは、監視対象デバイスである。第１サーバ１１０は、車両Ｖに関する第１ログを取得した場合に、第１ログに含まれている車両Ｖの第１識別データを匿名化することによって、第１匿名化データを含む第１匿名化ログを生成する。第２システム２００である連携先監視システムが有する第２サーバ２１０は、車両Ｖに関する第２ログを取得した場合に、その第２ログに含まれている第２識別データを匿名化することによって、第２匿名化データを含む第２匿名化ログを生成する。そして、第１分析装置１２０の紐付け解決部１２５ｂは、通信部１２８を介して第１匿名化データを第１サーバ１１０に送信する。さらに、紐付け解決部１２５ｂは、第１匿名化データに対応する第２匿名化データの問い合わせを、通信部１２８および第１サーバ１１０を介して第２サーバ２１０に対して行うことによって、紐付け解決を行う。

　これにより、第１サーバ１１０および第２サーバ２１０がそれぞれ匿名化を行い、第１サーバ１１０を介した第２サーバ２１０への問い合わせによって紐付け解決が行われるため、正確な紐付け解決を実現することができる。

　図４は、本実施の形態における第１分析装置１２０の処理動作の一例を示すフローチャートである。

　まず、第１分析装置１２０の取得部１２１は、第１サーバ１１０から１以上の第１匿名化ログを取得する（ステップＳ１）。そして、ログ分析部１２２は、その１以上の第１匿名化ログを分析する（ステップＳ２）。

　統合処理部１２５の統合判定部１２５ａは、その１以上の第１匿名化ログの分析結果に基づいて、統合分析が必要か否かを判定する（ステップＳ３）。例えば、統合判定部１２５ａは、車両Ｖの外部のネットワークに関連する攻撃をその分析結果が示している場合に、統合分析が必要であると判定する。その攻撃の一例は、監視対象のＯｕｔ－Ｃａｒのシステムを経由した車両Ｖへの攻撃である。あるいは、その攻撃の一例は、車両Ｖから監視対象のＯｕｔ－Ｃａｒのシステムを経由した他のデバイスへの攻撃である。あるいは、その攻撃の一例は、Ｏｕｔ－Ｃａｒのシステムから見て、車両Ｖが攻撃元または攻撃先となる攻撃であってもよい。

　ここで、紐付け解決部１２５ｂは、統合判定部１２５ａによって統合分析が必要と判定されると（ステップＳ３のＹｅｓ）、第１匿名化データを用いた問い合わせを行う（ステップＳ４）。なお、ステップＳ４では、紐付け解決部１２５ｂは、第１匿名化データの他に、匿名化処理のパラメータとされる情報を用いてもよい。つまり、第１匿名化データだけでなくその情報も用いてもよく、第１匿名化データの代わりにその情報を用いてもよい。匿名化処理は、第１識別データ（具体的な一例ではＶＩＮ）を匿名化することによって第１匿名化データを得る処理である。このような匿名化処理のパラメータとされる情報は、第１匿名化データを含む第１匿名化ログが生成された時刻を示す時刻情報であってもよく、その時刻における車両Ｖの位置を示す位置情報であってもよい。

　一方、統合判定部１２５ａによって統合分析が必要でないと判定されると（ステップＳ３のＮｏ）、ログ分析部１２２は、ステップＳ２の処理で得られた１以上の第１匿名化ログの分析結果を記憶部１２７に保存する（ステップＳ９）。つまり、ログ分析部１２２は、その分析結果を示すレポート情報を記憶部１２７に保存する。

　ステップＳ４の処理の後、紐付け解決部１２５ｂは、そのステップＳ４の処理である問い合わせの結果、第１匿名化データに対応する第２匿名化データ（すなわち特定第２匿名化データ）を受信する（ステップＳ５）。

　システム連携部１２５ｃは、ステップＳ５で受信された第２匿名化データを含む第２匿名化ログを統合対象第２匿名化ログとして第２分析装置２２０から取得する（ステップＳ６）。その統合対象第２匿名化ログは、記憶部１２７に格納される。

　次に、統合分析部１２５ｄは、１以上の第１匿名化ログおよび１以上の統合対象第２匿名化ログを統合することによってログ群を生成し、そのログ群の分析を統合分析として実行する（ステップＳ７）。そして、統合分析部１２５ｄは、ステップＳ７の処理によって得らえた統合分析の結果を記憶部１２７に保存する（ステップＳ８）。つまり、統合分析部１２５ｄは、統合分析の結果を示すレポート情報を記憶部１２７に保存する。

　送信先判定部１２３は、ステップＳ８の処理またはステップＳ９の処理によって、記憶部１２７にレポート情報が保存されると、そのレポート情報の送信先が第１ＳＩＲＴであるか否かを判定する（ステップＳ１０）。具体的には。送信先判定部１２３は、レポート情報によって示される分析結果が、車両のみに関連するか、車両だけでなくＩＴまたはテレマティクスにも関連するかを判定する。送信先判定部１２３は、分析結果が車両のみに関連すると判定すると、そのレポート情報の送信先として第１ＳＩＲＴを判定し、分析結果が車両およびＩＴまたはテレマティクスに関連すると判定すると、そのレポート情報の送信先として第２ＳＩＲＴを判定する。つまり、車両Ｖである監視対象デバイスの状況が与える影響の範囲に応じて、その範囲に対応する例えばＳＩＲＴが送信先として決定される。その影響の範囲が車両だけに収まる場合には、限定的な範囲を担当する第１ＳＩＲＴが送信先に決定され、その影響の範囲が車両だけに収まらずＩＴまたはテレマティクスにも及ぶ場合には、広い範囲を担当する第２ＳＩＲＴが送信先に決定される。

　送信部１２４は、送信先判定部１２３によってレポート情報の送信先が第１ＳＩＲＴであると判定されると（ステップＳ１０のＹｅｓ）、通信部１２８を介してレポート情報を第１ＳＩＲＴに送信する（ステップＳ１１）。一方、送信先判定部１２３によってレポート情報の送信先が第１ＳＩＲＴではないと判定されると（ステップＳ１０のＮｏ）、送信部１２４は、通信部１２８を介してレポート情報を第２ＳＩＲＴに送信する（ステップＳ１２）。

　以上のように、本実施の形態における第１分析装置１２０では、紐付け解決によって、第１匿名化データに対応する第２匿名化データが特定第２匿名化データとして決定される。つまり、第１匿名化データと同一の車両Ｖに対応する第２匿名化データが、特定第２匿名化データとして決定されてその第１匿名化データに紐付けられる。したがって、第１匿名化ログと同一の車両Ｖに関する第２匿名化ログを、統合対象第２匿名化ログとして第２システム２００から取得することができる。その結果、同一の車両Ｖに関する第１匿名化ログと統合対象第２匿名化ログとに対して統合分析を行うことができるため、第１匿名化ログだけを用いた分析よりも分析精度の向上を図ることができる。つまり、第１システム１００と第２システム２００とで、ログに対して互いに異なる態様で匿名化が行われても、同一の車両Ｖに関するログを統合して解析することができ、その結果、分析精度の向上を図ることができる。

　また、本実施の形態では、統合分析が必要と判定された場合に紐付け解決が行われるため、統合分析が不要な場合にまで、紐付け解決が行われることを抑制することができ、処理負担の軽減を図ることができる。また、統合分析が不要な場合には、第２匿名化ログを用いずに、第１匿名化ログに対する分析を行うことができ、処理負担の軽減を図ることができる。

　また、本実施の形態では、統合分析の結果に応じた送信先にレポート情報が送信されるため、適切な送信先に統合分析の結果を通知することができる。つまり、車両Ｖの状況が与える影響の範囲に応じて、その範囲に対応するＳＩＲＴに、統合分析の結果を通知することができる。

　なお、本実施の形態において、ステップＳ１０では、送信先判定部１２３は、レポート情報の送信先として、第１ＳＩＲＴか第２ＳＩＲＴかを判定しているが、レポート情報に示される分析結果に応じて、第１ＳＩＲＴおよび第２ＳＩＲＴの双方を送信先として判定してもよい。この場合、送信部１２４は、第１ＳＩＲＴおよび第２ＳＩＲＴの双方にそのレポート情報を送信する。

　（変形例１）
　上記実施の形態では、図３の処理（７）のように、システム連携部１２５ｃは、第２匿名化データを第２分析装置２２０に送信することによって、その第２匿名化データを含む第２匿名化ログを第２分析装置２２０に要求する。このとき、本変形例では、システム連携部１２５ｃは、第２匿名化データだけでなくログ条件情報も第２分析装置２２０に送信する。

　図５は、第１システム１００および第２システム２００の処理のうち、統合処理部１２５に関する処理動作を説明するための図である。

　本変形例でも、第１システム１００および第２システム２００は、図３の処理（１）～（６）と同様、図５の処理（１）～（６）を実行する。そして、システム連携部１２５ｃは、図５の処理（６）によって、通信部１２８を介して第１サーバ１１０から第２匿名化データを取得すると、図５の処理（６．１）のように、ログ条件情報を決定する。ログ条件情報は、第２匿名化ログの条件を示す情報である。例えば、システム連携部１２５ｃは、ログ分析部１２２による１以上の第１匿名化ログに対する分析結果に基づいて、そのログ条件情報を決定してもよい。ログ条件情報によって示される条件は、具体的には、統合対象第２匿名化ログの種別（以下、ログ種別とも呼ばれる）であってもよく、統合対象第２匿名化ログの記録時間帯であってもよい。また、ログ条件情報は、タイムスタンプを条件として示していてもよい。

　そして、システム連携部１２５ｃは、図５の処理（７）のように、通信部１２８を介して、第２匿名化データだけでなくログ条件情報も第２分析装置２２０に送信する。つまり、システム連携部１２５ｃは、第２匿名化データを含み、かつ、ログ条件情報によって示される条件を満たす第２匿名化ログを第２分析装置２２０に要求する。その結果、システム連携部１２５ｃは、図５の処理（８）のように、通信部１２８を介して、その要求に応じた第２匿名化ログを統合対象第２匿名化ログとして第２分析装置２２０から取得する。

　図６は、本変形例における第１分析装置１２０の処理動作の一例を示すフローチャートである。

　本変形例における第１分析装置１２０は、上記実施の形態の図４に示すフローチャートと同様、ステップＳ１～Ｓ５の処理を行う。ステップＳ５の処理後、システム連携部１２５ｃは、ログ条件情報を決定する（ステップＳ２１）。そして、システム連携部１２５ｃは、ステップＳ５で受信された第２匿名化データを含む第２匿名化ログであって、かつ、ログ条件情報によって示される条件を満たす第２匿名化ログを、統合対象第２匿名化ログとして第２分析装置２２０から取得する（ステップＳ６ａ）。

　そして、第１分析装置１２０は、上記実施の形態の図４に示すフローチャートと同様、ステップＳ７～Ｓ１２の処理を実行する。

　このように、本変形例では、システム連携部１２５ｃは、第２分析装置２２０が有する複数の第２匿名化ログのうち、第１匿名化ログに応じて決定される条件を満たす１以上の第２匿名化ログから、統合対象第２匿名化ログを取得する。具体的には、システム連携部１２５ｃは、複数の第２匿名化ログから、第１匿名化ログに応じて決定されるログ種別および時間帯の少なくとも一方に対応する１以上の第２匿名化ログから、統合対象第２匿名化ログを取得する。言い換えれば、システム連携部１２５ｃは、複数の第２匿名化ログから、第１匿名化ログに応じて決定される条件に一致する第２匿名化ログを、種別および時間帯の少なくとも一方を用いて指定することによって、その第２匿名化ログを統合対象第２匿名化ログとして取得する。

　これにより、取得される統合対象第２匿名化ログのログ種別および時間帯を、第１匿名化ログに応じて決定される種別および時間帯に限定することができる。例えば、渋滞予測に関するログ種別の統合対象第２匿名化ログ、または、渋滞の時間帯に対応する統合対象第２匿名化ログを取得することができる。その結果、統合対象第２匿名化ログのログ種別および時間帯が限定されるため、統合分析への貢献度の低い第２匿名化ログの取得を抑制し、効率的な統合分析を実現することができる。

　なお、本変形例においても、ステップＳ１０では、送信先判定部１２３は、レポート情報の送信先として、第１ＳＩＲＴか第２ＳＩＲＴかを判定しているが、レポート情報に示される分析結果に応じて、第１ＳＩＲＴおよび第２ＳＩＲＴの双方を送信先として判定してもよい。この場合、送信部１２４は、第１ＳＩＲＴおよび第２ＳＩＲＴの双方にそのレポート情報を送信する。

　（変形例２）
　本変形例では、第１分析装置１２０は、統合対象第２匿名化ログをさらに匿名化する。言い換えれば、第１分析装置１２０は、統合対象第２匿名化ログを再匿名化する。つまり、統合される第２ログに対する匿名化が２回行われる。これにより、統合対象第２匿名化ログに対する安全性を向上することができる。

　図７は、第１システム１００および第２システム２００の処理のうち、統合処理部１２５に関する処理動作を説明するための図である。

　本変形例でも、第１システム１００および第２システム２００は、図３の処理（１）～（８）と同様、図７の処理（１）～（８）を実行する。そして、システム連携部１２５ｃは、図７の処理（８）によって、第２分析装置２２０から統合対象第２匿名化ログを取得すると、図７の処理（９）のように、その統合対象第２匿名化ログを再匿名化する。つまり、システム連携部１２５ｃは、統合対象第２匿名化ログに含まれている第２匿名化データ（すなわち特定第２匿名化データ）をさらに匿名化、言い換えれば、第２匿名化データを再匿名化する。これにより、システム連携部１２５ｃは、再匿名化された第２匿名化データを含む統合対象第２匿名化ログを生成する。第２匿名化データは、ＩＰアドレスなどの第２識別データが匿名化されたデータである。したがって、本変形例では、統合される第２ログに含まれている第２識別データに対する匿名化が２回行われる。

　図８は、再匿名化の一例を示す図である。

　例えば、第１分析装置１２０は、上述の問い合わせによって、匿名化されたＶＩＮなどである第１匿名化データ「０７ｂ１ｆ９ｆ９」に対応する第２匿名化データを、第１サーバ１１０から受信する。第２匿名化データは、匿名化されたＩＰアドレス「ａ２．０ｅ．４２．９８」などである。

　システム連携部１２５ｃは、その第２匿名化データ「ａ２．０ｅ．４２．９８」を第２分析装置２２０に送信して、その第２匿名化データを含む統合対象第２匿名化ログを第２分析装置２２０に要求する。そして、システム連携部１２５ｃは、その統合対象第２匿名化ログを第２分析装置２２０から取得すると、その統合対象第２匿名化ログに含まれている第２匿名化データ「ａ２．０ｅ．４２．９８」を再匿名化する。具体的な一例では、システム連携部１２５ｃは、第２匿名化データ「ａ２．０ｅ．４２．９８」を「４ａ．６ｅ．４ｆ．８８」に再匿名化する。システム連携部１２５ｃは、このように再匿名化された第２匿名化データを含む統合対象第２匿名化ログを記憶部１２７に格納する。

　図９は、本変形例における第１分析装置１２０の処理動作の一例を示すフローチャートである。

　本変形例における第１分析装置１２０は、上記実施の形態の図４に示すフローチャートと同様、ステップＳ１～Ｓ６の処理を行う。ステップＳ６の処理後、システム連携部１２５ｃは、統合対象第２匿名化ログを再匿名化して記憶部１２７に格納する（ステップＳ２２）。次に、統合分析部１２５ｄは、１以上の第１匿名化ログおよび再匿名化された１以上の統合対象第２匿名化ログを統合することによってログ群を生成し、そのログ群の分析を統合分析として実行する（ステップＳ７）。

　そして、第１分析装置１２０は、上記実施の形態の図４に示すフローチャートと同様、ステップＳ８～Ｓ１２の処理を実行する。

　このように、本変形例では、システム連携部１２５ｃは、取得された統合対象第２匿名化ログに含まれている特定第２匿名化データを匿名化する。これにより、統合対象第２匿名化ログおよび特定第２匿名化データの秘匿性を高めることができる。すなわち、それらの再匿名化されたログまたはデータから、そのログに対応する車両Ｖが第２システム２００によって認識されてしまうことを抑制することができる。その結果、統合対象第２匿名化ログの安全性を高めることができる。

　（変形例３）
　本変形例では、第２分析装置２２０も、第１分析装置１２０と同様の処理動作を行う。したがって、本変形例における第１分析装置１２０は、第２分析装置２２０からの要求に応じて第１匿名化ログを第２分析装置２２０に送信する。つまり、本変形例では、第１システム１００と第２システム２００とによって相互連携が行われる。

　図１０は、第１システム１００および第２システム２００の処理のうち、第２分析装置２２０に関する処理動作を説明するための図である。

　第２分析装置２２０は、図１０の処理（１）のように、第２サーバ２１０を介して第１サーバ１１０に対して問い合わせを行う。問い合わせは、第２匿名化データに対応する第１匿名化データの問い合わせである。このとき、第２分析装置２２０は、第２サーバ２１０に対して第２匿名化データを第２サーバ２１０に送信する。

　第２サーバ２１０は、図１０の処理（２）のように、第２匿名化データを第２分析装置２２０から取得すると、その第２匿名化データに対応する第２識別データを特定する。なお、第２サーバ２１０は、先に上述の第２ログを第２分析装置２２０に送信するときには、その第２ログに含まれる第２識別データを匿名化することによって第２匿名化データを生成しているため、第２匿名化データに対応する第２識別データを特定し得る。そして、第２サーバ２１０は、図１０の処理（３）のように、その特定された第２識別データを第１サーバ１１０に送信し、その第２識別データに対応する第１匿名化データを問い合わせる。

　第１サーバ１１０は、第２サーバ２１０から第２識別データを取得し、上述の問い合わせを受けると、図１０の処理（４）のように、その第２識別データに対応する第１匿名化データを特定する。なお、第１サーバ１１０は、先に上述の第１ログを第１分析装置１２０に送信するときには、第１識別データおよび第２識別データを含む第１ログを取得し、その第１識別データを匿名化することによって第１匿名化データを生成している。したがって、第１サーバ１１０は、第２識別データに対応する第１匿名化データを特定し得る。そして、第１サーバ１１０は、図１０の処理（５）のように、その特定された第１匿名化データを第２サーバ２１０に送信することによって、第２サーバ２１０の問い合わせに対して回答する。なお、第１サーバ１１０は、第２識別データに対応する第１識別データを特定するためのデータを別途保持しており、第２識別データに対応する第１識別データを特定し、さらに、第１識別データに対応する第１匿名化データを特定し得るものとしてもよい。

　第２サーバ２１０は、第１サーバ１１０から第１匿名化データを受信すると、図１０の処理（６）のように、その第１匿名化データを第２分析装置２２０に送信する。これにより、第２分析装置２２０は、図１０の処理（１）における問い合わせに対する回答として、第１匿名化データを受信する。この第１匿名化データは、第２匿名化データに対応するデータであって、第２匿名化データと同一の車両Ｖを識別するためのデータである。

　第２分析装置２２０は、図３の処理（７）のように、その第１匿名化データを第１分析装置１２０に送信することによって、その第１匿名化データを含む第１匿名化ログを第１分析装置１２０に要求する。

　第１分析装置１２０は、第２分析装置２２０から第１匿名化データを受信し、さらに上述の要求を受けると、図１０の処理（８）のように、その第１匿名化データを含む第１匿名化ログを、統合対象第１匿名化ログとして第２分析装置２２０に送信する。つまり、第１分析装置１２０のシステム連携部１２５ｃが、通信部１２８を介して、第２分析装置２２０から第１匿名化データを受信し、統合対象第１匿名化ログを第２分析装置２２０に送信する。

　第２分析装置２２０は、その統合対象第１匿名化ログを第１分析装置１２０から取得する。そして、第２分析装置２２０は、１以上の統合対象第１匿名化ログと１以上の第２匿名化ログを統合することによって、１以上の統合対象第１匿名化ログと１以上の第２匿名化ログを含むログ群を生成する。そして、第２分析装置２２０は、そのログ群の分析を統合分析として行い、その統合分析の結果を示すレポート情報を生成する。

　図１１は、本変形例における第１分析装置１２０の処理動作の一例を示すフローチャートである。

　本変形例における第１分析装置１２０は、さらに、図１１に示すステップＳ３１およびＳ３２の処理を実行する。具体的には、第１分析装置１２０の制御部１２６は、例えば取得部１２１を介して、第２分析装置２２０から第１匿名化データを用いた第１匿名化ログの要求を受け付ける（ステップＳ３１）。つまり、制御部１２６は、第２分析装置２２０から第１匿名化データを取得し、その第１匿名化データを含む第１匿名化ログの要求を第２分析装置２２０から受け付ける。そして、システム連携部１２５ｃは、制御部１２６による制御に応じて、記憶部１２７に格納されている複数の第１匿名化ログの中から、それぞれその第１匿名化データを含む１以上の第１匿名化ログを抽出する。そして、システム連携部１２５ｃは、抽出された１以上の第１匿名化ログを、例えば通信部１２８を介して第２分析装置２２０に送信する。つまり、システム連携部１２５ｃは、第２分析装置２２０からの要求に応じた第１匿名化ログを送信する（ステップＳ３２）。このような第１匿名化ログは、第２分析装置２２０において、統合対象第１匿名化ログとして扱われ、第２匿名化ログに統合されて分析される。

　このように、本変形例では、システム連携部１２５ｃは、連携先監視システムである第２システム２００からの要求に応じて、第１匿名化ログをその第２システム２００に送信する。これにより、第１分析装置１２０だけでなく、第２システム２００の第２分析装置２２０でも、互に同じ車両Ｖに対応する第１匿名化ログおよび第２匿名化ログを取得して統合分析を行うことができる。つまり、第１システム１００と、第２システム２００との相互連携を実現することができ、ログに対する効果的な分析を行うことができる。

　なお、本変形例では、第１分析装置１２０は、第２分析装置２２０からの要求に応じた１以上の第１匿名化ログの代わりに、その１以上の第１匿名化ログに対する分析結果を示すレポート情報を、その第２分析装置２２０に送信してもよい。

　（変形例４）
　上記実施の形態では、第１分析装置１２０は、統合分析が必要であると判定するたびに、紐付け解決を行うための上述の問い合わせを行う。本変形例では、第１分析装置１２０は、過去の紐付け解決の結果を保持する。そして、第１分析装置１２０は、統合分析が必要であると判定したときには、過去の紐付け解決の結果が保持されていれば、問い合わせを行うことなく、その過去の紐付け解決の結果を用いる。

　図１２は、第１システム１００および第２システム２００の処理のうち、統合処理部１２５に関する処理動作を説明するための図である。

　本変形例でも、第１システム１００および第２システム２００は、図３の処理（１）～（６）と同様、図１２の処理（１）～（６）を実行する。そして、紐付け解決部１２５ｂは、図１２の処理（６）によって、第１サーバ１１０から第２匿名化データを取得すると、図１２の処理（６．１）のように、その第２匿名化データ（すなわち特定第２匿名化データ）を第１匿名化データに紐付けて記録する。つまり、紐付け解決部１２５ｂは、第２匿名化データを、図１２の処理（１）における問い合わせで用いられた第１匿名化データに関連付ける。そして、紐付け解決部１２５ｂは、互いに関連付けられた第１匿名化データおよび第２匿名化データを示す紐付け情報を生成して記憶部１２７に格納する。なお、このような紐付け情報の記憶部１２７への格納は、キャッシュと呼ばれてもよい。

　そして、第１分析装置１２０は、図１２の処理（７）および処理（８）を実行する。この図１２の処理（７）および処理（８）は、図３の処理（７）および処理（８）と同様である。

　その後、第１分析装置１２０の紐付け解決部１２５ｂは、再び、統合判定部１２５ａによって統合分析が必要であると判定されると、記憶部１２７に紐付け情報が格納されているか否かを判定する。つまり、紐付け解決部１２５ｂは、統合分析の対象とされる第１匿名化ログに含まれる第１匿名化データを示す紐付け情報が記憶部１２７に格納されているか否かを判定する。紐付け解決部１２５ｂは、その紐付け情報が記憶部１２７に格納されていると判定すると、問い合わせを行うことなく、その紐付け情報を用いて紐付け解決を行う。これにより、問い合わせ回数の削減を図ることができる。

　図１３は、紐付け情報の一例を示す図である。

　記憶部１２７に格納されている紐付け情報ａ１は、例えば、１以上の第１匿名化データのそれぞれについて、その第１匿名化データに関連付けられている第２匿名化データと、その関連付けの有効期限とを示す。例えば、紐付け情報ａ１は、第１匿名化データ「０７ｂ１ｆ９ｆ９」と、第２匿名化データ「ａ２．０ｅ．４２．９８」と、有効期限「２０２２／０７／１４　１７：５０」とを関連付けて示す。紐付け解決部１２５ｂは、統合分析の対象とされる第１匿名化ログに含まれる第１匿名化データが「０７ｂ１ｆ９ｆ９」である場合、その第１匿名化データを示す紐付け情報ａ１が記憶部１２７に格納されているか否かを判定する。

　そして、紐付け解決部１２５ｂは、その紐付け情報ａ１が記憶部１２７に格納されていると判定すると、その紐付け情報ａ１において第１匿名化データ「０７ｂ１ｆ９ｆ９」に関連付けられている有効期限「２０２２／０７／１４　１７：５０」を確認する。例えば、紐付け解決部１２５ｂは、紐付け解決が行われる現時点が、有効期限「２０２２／０７／１４　１７：５０」を経過しているか否かを判定する。つまり、紐付け解決部１２５ｂは、第１匿名化データ「０７ｂ１ｆ９ｆ９」の紐付けが有効期限切れになっているか否かを判定する。紐付け解決部１２５ｂは、現時点が有効期限を経過していない、すなわち、紐付けが有効期限切れになっていないと判定すると、問い合わせを行うことなく紐付け解決を行う。具体的には、紐付け解決部１２５ｂは、紐付け情報ａ１において第１匿名化データ「０７ｂ１ｆ９ｆ９」に関連付けられている第２匿名化データ「ａ２．０ｅ．４２．９８」を、記憶部１２７から取得する。これにより、紐付け解決が行われる。

　なお、上述の有効期限は、紐付け情報ａ１の有効期限であるとも言える。また、本変形例では、紐付け情報ａ１には有効期限が示されているが、有効期限が示されていなくてもよい。

　図１４は、本変形例における第１分析装置１２０の処理動作の一例を示すフローチャートである。

　本変形例における第１分析装置１２０は、統合分析が必要であると判定したときから統合分析を実行するまでの間、すなわち、図３のステップＳ３のＹｅｓからステップＳ７までの間に、図１４に示すステップＳ４～Ｓ６およびＳ４１～Ｓ４５の処理を実行する。

　具体的には、紐付け解決部１２５ｂは、統合判定部１２５ａによって統合分析が必要であると判定されると、紐付け情報ａ１が記憶部１２７に格納されているか否かを判定する（ステップＳ４１）。つまり、紐付け解決部１２５ｂは、統合分析の対象とされる第１匿名化ログに含まれる第１匿名化データを示す紐付け情報ａ１が記憶部１２７に格納されているか否かを判定する。ここで、紐付け解決部１２５ｂは、紐付け情報ａ１が格納されていないと判定すると（ステップＳ４１のＮｏ）、上記実施の形態と同様、ステップＳ４およびＳ５の処理を実行する。このステップＳ４およびＳ５の処理によって、紐付け解決が行われる。

　そして、紐付け解決部１２５ｂは、その第１匿名化データに第２匿名化データを関連付けて示す紐付け情報ａ１を生成して記憶部１２７に格納する（ステップＳ４３）。なお、記憶部１２７に紐付け情報ａ１が既に格納され、その紐付け情報ａ１に、その第１匿名化データが示されていない場合には、紐付け解決部１２５ｂは、その紐付け情報ａ１を更新する。つまり、紐付け解決部１２５ｂは、その第１匿名化データおよび第２匿名化データを互いに関連付けて紐付け情報ａ１に書き込むことによって、その紐付け情報ａ１を更新する。これにより、更新後の紐付け情報ａ１が生成される。なお、このような紐付け情報ａ１の更新は、キャッシュの更新と呼ばれてもよい。さらに、紐付け解決部１２５ｂは、更新または生成された最新の紐付け情報ａ１を、送信部１２４を介して第２分析装置２２０に送信する（ステップＳ４６）。これにより、最新の紐付け情報ａ１が、第２分析装置２２０に通知され、第１分析装置１２０と第２分析装置２２０との間で共有される。その結果、第２分析装置２２０でも、統合分析のための紐付け解決を行うときには、その共有される最新の紐付け情報ａ１を参照することによって、問い合わせを省いて紐付け解決を行うことができる。

　その後、システム連携部１２５ｃは、ステップＳ５で受信された第２匿名化データを用いて、第２分析装置２２０から統合対象第２匿名化ログを取得する（ステップＳ６）。

　一方、紐付け解決部１２５ｂは、ステップＳ４１において、紐付け情報ａ１が記憶部１２７に格納されていると判定すると（ステップＳ４１のＹｅｓ）、その紐付け情報ａ１に示されている有効期限が切れているか否かを判定する（ステップＳ４２）。つまり、紐付け解決部１２５ｂは、紐付け情報ａ１において第１匿名化データに関連付けられている有効期限を特定する。なお、その第１匿名化データは、統合分析の対象とされる第１匿名化ログに含まれるデータである。そして、紐付け解決部１２５ｂは、紐付け解決が行われる現時点がその有効期限を経過しているか否かを判定する。

　ここで、紐付け解決部１２５ｂは、現時点が有効期限を経過していない、すなわち、有効期限が切れていないと判定すると（ステップＳ４２のＮｏ）、その紐付け情報ａ１において第１匿名化データに関連付けられている第２匿名化データを読み出す（ステップＳ４５）。つまり、記憶部１２７から第２匿名化データが読み出される。このようなステップＳ４５の処理によって、問い合わせを省いて紐付け解決が行われる。そして、システム連携部１２５ｃは、ステップＳ６の処理を実行する。

　また、紐付け解決部１２５ｂは、ステップＳ４２において、現時点が有効期限を経過している、すなわち、有効期限が切れていると判定すると（ステップＳ４２のＹｅｓ）、問い合わせによる第２匿名化データの取得（すなわちステップＳ４およびＳ５の処理）を実行する。そして、紐付け解決部１２５ｂは、有効期限を再設定する（ステップＳ４４）。つまり、紐付け解決部１２５ｂは、紐付け情報ａ１に示されている有効期限を、現時点よりも先の期限である新たな有効期限に更新する。そして、紐付け解決部１２５ｂは、ステップＳ４６の処理を実行する。なお、有効期限の更新では、紐付け解決部１２５ｂは、紐付け情報ａ１に示されている有効期限を、第１サーバ１１０によって決定される有効期限に更新してもよい。

　図１５は、本変形例における第２分析装置２２０の処理動作の一例を示すフローチャートである。

　第２分析装置２２０は、第１分析装置１２０から送信された紐付け情報ａ１を受信する（ステップＳ５１）。そして、第２分析装置２２０は、その紐付け情報ａ１を、その第２分析装置２２０が有する記録媒体に格納する。このとき、第２分析装置２２０は、記録媒体に既存の紐付け情報ａ１が格納されていれば、その既存の紐付け情報ａ１を、ステップＳ５１で受信された新たな紐付け情報ａ１に更新する（ステップＳ５２）。つまり、第２分析装置２２０においてキャッシュの更新が行われる。

　このように、本変形例では、紐付け解決部１２５ｂは、第１匿名化データと特定第２匿名化データとの関連付けを示す紐付け情報ａ１を記憶部１２７に格納する。そして、紐付け解決部１２５ｂは、第１匿名化データに対する紐付け解決を繰り返し実行するときには、記憶部１２７に格納されている紐付け情報ａ１を参照することによって紐付け解決を行う。これにより、紐付け解決が繰り返し実行されるときには、紐付け情報ａ１の参照によってその紐付け解決が行われるため、第１分析装置１２０が第１サーバ１１０などと通信して紐付け解決を行う手間を省くことができる。その結果、効率的な紐付け解決および統合分析を実現することができる。また、問い合わせ回数を削減することができる。

　また、紐付け解決部１２５ｂは、紐付け情報ａ１に対して有効期限を設定し、第１匿名化データに対する紐付け解決を繰り返し実行するタイミングが、有効期限を経過していなければ、記憶部１２７に格納されている紐付け情報ａ１を参照することによって紐付け解決を行う。これにより、紐付け情報ａ１に対して有効期限が設定されるため、有効期限までは、第１匿名化データと第２匿名化データとの対応関係を保障し、有効期限経過後では、その対応関係を変更することができる。つまり、有効期限経過後では、第１システム１００と、第２システム２００とのそれぞれの匿名化の態様を変更することができる。その結果、それらシステムの全体的な処理動作の自由度を高めることができる。

　また、システム連携部１２５ｃは、記憶部１２７に格納されている紐付け情報ａ１を、連携先監視システムである第２システム２００の第２分析装置２２０に送信する。これにより、紐付け情報ａ１が第２システム２００に送信されるため、第２システム２００はその紐付け情報ａ１を用いて紐付け解決を行うことができる。その結果、第２システム２００（具体的には第２分析装置２２０）でも、第１分析装置１２０と同様に、統合分析を行うことができる。

　また、システム連携部１２５ｃは、記憶部１２７に格納されている紐付け情報ａ１が、紐付け解決部１２５ｂによって更新されたときには、更新された紐付け情報ａ１を、連携先監視システムである第２システム２００の第２分析装置２２０に送信する。

　これにより、第１分析装置１２０と、第２分析装置２２０とで、共通の紐付け情報ａ１を同期して管理することができる。その結果、第１分析装置１２０と第２分析装置２２０とで行われる統合分析の効率化を図ることができる。

　以上、本開示の分析装置および分析方法について、上記実施の形態および各変形例に基づいて説明したが、本開示は、その実施の形態および各変形例に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記実施の形態および各変形例に施したものも本開示に含まれてもよい。

　例えば、上記実施の形態および各変形例では、第１識別データの一例としてＶＩＮが用いられ、第２識別データの一例としてＩＰアドレスが用いられているが、第１識別データおよび第２識別データのそれぞれは、ＶＩＮまたはＩＰアドレスに限定されるものではない。第１識別データおよび第２識別データのそれぞれは、位置情報または個人名などのプライバシー情報であってもよい。また、上記実施の形態および各変形例では、第１識別データおよび第２識別データが用いられているが、互に異なる２以上のシステムにおいて互に異なる態様で匿名化が行われれば、第１識別データおよび第２識別データの一方のみが用いられてもよい。

　また、上記実施の形態および各変形例では、監視対象デバイスの一例として車両Ｖが用いられているが、監視対象デバイスは車両Ｖに限定されることなく、他のデバイスであってもよい。同様に、第１システムおよび第２システムは、車両用のシステムに限定されることなく、監視対象デバイスに応じたシステムであれば、どのようなシステムであってもよい。

　また、上記実施の形態および各変形例では、第１システム１００と連携するシステムは１つの第２システム２００だけであるが、第１システム１００は、複数の第２システム２００と連携してもよい。つまり、第１システム１００と連携する連携先監視システムの数は、１つに限らず複数であってもよい。

　また、上記実施の形態および各変形例において用いられる匿名化の手法は、どのような手法であってもよい。

　なお、上記実施の形態および各変形例において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ（Central Processing Unit）またはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の監視装置などを実現するソフトウェアは、図４、図６、図９、図１１、図１４、および図１５のそれぞれに示すフローチャートの各ステップをコンピュータに実行させるコンピュータプログラムである。

　なお、以下のような場合も本開示に含まれる。

　（１）上記の少なくとも１つの装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも１つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　（３）上記の少なくとも１つの装置を構成する構成要素の一部または全部は、その装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ（Compact Disc）－ＲＯＭ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Blu-ray（登録商標） Disc）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　本開示の分析装置は、例えば車両制御などを監視するシステムなどに適用することができる。

１　　分析システム
１００　　第１システム
１１０　　第１サーバ
１２０　　第１分析装置
１２１　　取得部
１２２　　ログ分析部
１２３　　送信先判定部
１２４　　送信部
１２５　　統合処理部
１２５ａ　　統合判定部
１２５ｂ　　紐付け解決部
１２５ｃ　　システム連携部
１２５ｄ　　統合分析部
１２６　　制御部
１２７　　記憶部
１２８　　通信部
２００　　第２システム
２１０　　第２サーバ
２２０　　第２分析装置
ａ１　　紐付け情報
Ｒ　　基地局
Ｖ　　車両

Claims

　監視対象デバイスに関するログの分析結果に基づいてレポート情報を送信する分析装置であって、
　前記監視対象デバイスの第１匿名化データを含む前記ログである第１匿名化ログを取得する取得部と、
　連携先監視システムが有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、前記第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行う紐付け解決部と、
　前記特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして前記連携先監視システムから取得するシステム連携部と、
　前記第１匿名化ログおよび前記統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する統合分析部と、
　を備える分析装置。
　前記分析装置は、さらに、
　前記統合分析が必要か否かを判定する統合判定部を備え、
　前記紐付け解決部は、前記統合判定部によって前記統合分析が必要と判定された場合に、前記紐付け解決を行う、
　請求項１に記載の分析装置。
　前記分析装置は、さらに、
　前記統合分析の結果に応じた送信先を判定する送信先判定部と、
　前記送信先判定部によって判定された送信先に、前記統合分析の結果を示す前記レポート情報を送信する送信部と、を備える、
　請求項１に記載の分析装置。
　前記システム連携部は、
　前記複数の第２匿名化ログのうち、前記第１匿名化ログに応じて決定される種別および時間帯の少なくとも一方に対応する１以上の第２匿名化ログから、前記統合対象第２匿名化ログを取得する、
　請求項１に記載の分析装置。
　前記システム連携部は、
　前記複数の第２匿名化ログから、前記第１匿名化ログに応じて決定される条件に一致する第２匿名化ログを、種別および時間帯の少なくとも一方を用いて指定することによって、前記第２匿名化ログを前記統合対象第２匿名化ログとして取得する、
　請求項１に記載の分析装置。
　前記システム連携部は、さらに、
　取得された前記統合対象第２匿名化ログに含まれている前記特定第２匿名化データを匿名化する、
　請求項１に記載の分析装置。
　前記システム連携部は、さらに、
　前記連携先監視システムからの要求に応じて、前記第１匿名化ログを前記連携先監視システムに送信する、
　請求項１に記載の分析装置。
　前記紐付け解決部は、さらに、
　前記第１匿名化データと前記特定第２匿名化データとの関連付けを示す紐付け情報を記録媒体に格納し、
　前記第１匿名化データに対する前記紐付け解決を繰り返し実行するときには、前記記録媒体に格納されている前記紐付け情報を参照することによって前記紐付け解決を行う、
　請求項１に記載の分析装置。
　前記紐付け解決部は、さらに、
　前記紐付け情報に対して有効期限を設定し、
　前記第１匿名化データに対する前記紐付け解決を繰り返し実行するタイミングが、前記有効期限を経過していなければ、前記記録媒体に格納されている前記紐付け情報を参照することによって前記紐付け解決を行う、
　請求項８に記載の分析装置。
　前記システム連携部は、さらに、
　前記記録媒体に格納されている前記紐付け情報を、前記連携先監視システムに送信する、
　請求項８に記載の分析装置。
　前記システム連携部は、さらに、
　前記記録媒体に格納されている前記紐付け情報が、前記紐付け解決部によって更新されたときには、更新された前記紐付け情報を、前記連携先監視システムに送信する、
　請求項１０に記載の分析装置。
　前記取得部は、
　第１サーバから前記第１匿名化ログを取得し、
　前記第１サーバは、
　前記監視対象デバイスに関する第１ログを取得した場合に、前記第１ログに含まれている前記監視対象デバイスの第１識別データを匿名化することによって、前記第１匿名化データを含む前記第１匿名化ログを生成し、
　前記連携先監視システムが有する第２サーバは、
　前記監視対象デバイスに関する第２ログを取得した場合に、前記第２ログに含まれている第２識別データを匿名化することによって、前記第２匿名化データを含む前記第２匿名化ログを生成し、
　前記紐付け解決部は、
　前記第１匿名化データを前記第１サーバに送信し、前記第１匿名化データに対応する第２匿名化データの問い合わせを、前記第１サーバを介して前記第２サーバに対して行うことによって、前記紐付け解決を行う、
　請求項１～１１の何れか１項に記載の分析装置。
　監視対象デバイスに関するログの分析結果に基づいてレポート情報を送信する分析方法であって、
　前記監視対象デバイスの第１匿名化データを含む前記ログである第１匿名化ログを取得し、
　連携先監視システムが有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、前記第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行い、
　前記特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして前記連携先監視システムから取得し、
　前記第１匿名化ログおよび前記統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する、
　分析方法。
　監視対象デバイスに関するログの分析結果に基づいてレポート情報を送信するためのプログラムであって、
　前記監視対象デバイスの第１匿名化データを含む前記ログである第１匿名化ログを取得し、
　連携先監視システムが有する複数の第２匿名化ログのそれぞれに含まれる第２匿名化データから、前記第１匿名化データに対応する第２匿名化データを特定第２匿名化データとして決定する処理である紐付け解決を行い、
　前記特定第２匿名化データを含む第２匿名化ログを、統合対象第２匿名化ログとして前記連携先監視システムから取得し、
　前記第１匿名化ログおよび前記統合対象第２匿名化ログを含むログ群の分析を統合分析として実行する、
　ことをコンピュータに実行させるプログラム。