WO2024071120A1

WO2024071120A1 - 情報処理装置、情報処理システム、情報処理プログラム、情報処理方法

Info

Publication number: WO2024071120A1
Application number: PCT/JP2023/034946
Authority: WO
Inventors: 知範幾世; 万寿三江川; 泰司安部; 浩之宇都宮; 啓悟長柄
Original assignee: Denso Corp
Current assignee: Denso Corp
Priority date: 2022-09-30
Filing date: 2023-09-26
Publication date: 2024-04-04
Anticipated expiration: 2025-03-30
Also published as: EP4597345A1; EP4597345A4; JP2024051738A; JP7835142B2; CN119968631A; US20250225237A1

Abstract

車両で発生した異常を示すセキュリティログを取得するように構成されたログ取得部１１２と、セキュリティログに基づいて車両の検証部に車載ユニットの完全性の検証を指示するか否かを判定するように構成されたログ分析部１２２と、検証部に車載ユニットの完全性の検証を指示するとログ分析部が判定すると、完全性の検証を検証部に指示するように構成された検証指示部１４０と、検証部による完全性の検証の検証結果に基づいて、車載ユニットが侵害されたか否かを判定するように構成された侵害判定部１２４と、侵害判定部による侵害判定結果とセキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行うように構成された攻撃推定部１２６と、を備える情報処理装置。

Description

情報処理装置、情報処理システム、情報処理プログラム、情報処理方法

関連出願の相互参照

　本国際出願は、２０２２年９月３０日に日本国特許庁に出願された日本国特許出願第２０２２－１５８０５３号に基づく優先権を主張するものであり、日本国特許出願第２０２２－１５８０５３号の全内容を本国際出願に参照により援用する。

　本開示は、車両で発生した異常を示すセキュリティログに基づいて車両に対する攻撃を推定する技術に関する。

　下記特許文献１には、車両で発生した異常を示すセキュリティログに基づいて、異常の起因となる車両に対する攻撃に関する推定を行う技術が記載されている。

特開２０２０－１２３３０７号公報

　しかしながら、セキュリティログは、車両が攻撃されて侵害されたことにより車両で発生した異常を示すだけでなく、車両が攻撃されて侵害されたこととは異なる原因により車両で発生した異常を示すことがある。

　発明者の詳細な検討の結果、車両が攻撃されて侵害されたこととは異なる原因により車両で発生した異常を示すセキュリティログに基づいて、車両に対する攻撃に関する推定を行うと、攻撃に関する推定の精度が低下するという課題が見出された。

　本開示の１つの局面は、車両に対する攻撃に関する推定を高精度に行う技術を提供することにある。

　本開示の１つの態様の情報処理装置は、ログ取得部と、ログ分析部と、検証指示部と、侵害判定部と、攻撃推定部と、を備える。

　ログ取得部は、車両で発生した異常を示すセキュリティログを取得する。ログ分析部は、ログ取得部が取得するセキュリティログに基づいて、車両の検証部（１８、Ｓ１７～Ｓ１９）に車載ユニットの完全性の検証を指示するか否かを判定する。検証指示部は、検証部に車載ユニットの完全性の検証を指示するとログ分析部が判定すると、完全性の検証を検証部に指示する。

　侵害判定部は、検証部による完全性の検証の検証結果に基づいて、車載ユニットが侵害されたか否かを判定する。攻撃推定部は、侵害判定部による侵害判定結果とセキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行う。

　本開示の他の態様の情報処理プログラムは、前述した情報処理装置としてコンピュータを機能させる。

　本開示の他の態様は、前述した情報処理装置が実行する情報処理方法である。

　本開示の他の態様の情報処理システムは、車載の情報処理装置と、車載の情報処理装置と通信する車外の情報処理装置と、を備える。

　車載の情報処理装置は、監視部と、検証部（１８、Ｓ１７～Ｓ１９）と、を備える。監視部は、車両で発生した異常を示すセキュリティログを生成する。検証部は、車載ユニットの完全性の検証を行う。

　車外の情報処理装置は、ログ取得部と、ログ分析部と、検証指示部と、侵害判定部と、攻撃推定部と、を備える。

　ログ取得部は、車載の情報処理装置からセキュリティログを取得する。ログ分析部は、ログ取得部が取得するセキュリティログに基づいて、車両の検証部に車載ユニットの完全性の検証を指示するか否かを判定する。検証指示部は、検証部に完全性の検証を指示するとログ分析部が判定すると、完全性の検証を検証部に指示する。

　本開示の他の態様は、前述した情報処理システムが実行する情報処理方法である。

　このような構成によれば、セキュリティログに基づいて検証された車載ユニットの完全性の検証結果に基づいて、車両に対する攻撃により車載ユニットが侵害されたか否かを、高精度に判定できる。

　その結果、車両に対する攻撃により車載ユニットが侵害されたか否かを示す侵害判定結果と、この侵害により生じた異常を示すセキュリティログとに基づいて、車両に対する攻撃を高精度に推定できる。

情報処理システムの構成を示すブロック図。車両の多層防御の構成を示すブロック図。車載の情報処理装置の構成を示すブロック図。車外の情報処理装置の構成を示すブロック図。セキュリティログの構成を示す説明図。車外の情報処理装置の分析部の構成を示すブロック図。変更前の異常攻撃テーブルの構成を示す説明図。情報処理を示すシーケンス図。変更後の異常攻撃テーブルの構成を示す説明図。

　以下、図面を参照しながら本開示の実施形態を説明する。

　［１．構成］
　図１に示すように、本実施形態の情報処理システム２は、車両４に搭載された情報処理装置であるＥＣＵ１０、２０、３０、４０、５０、６０と、車外の情報処理装置であるサーバ１００と、を備える。ＥＣＵは、Electronic Control Unitの略である。ＥＣＵ１０、２０、３０、４０、５０、６０の少なくともいずれかと車両４とサーバ１００とは、例えば、無線通信ネットワーク６を介して互いに通信を行う。

　車両４には、サイバー攻撃等の外部からの悪意のある攻撃に対するセキュリティ性を高めるために、セキュリティレベルが異なる多層防御が採用されている。図２に示す多層防御の例では、車両４は第１層、第２層、第３層の３層の防御層を有する。

　図２では、ＥＣＵ＃１、ＥＣＵ＃２、ＤＬＣが第１層に属し、ＥＣＵ＃３が第２層に属し、ＥＣＵ＃４、ＥＣＵ＃５が第３層に属している。ＤＬＣはData Link Connectorの略である。ＥＣＵ同士は、ＣＡＮまたはイーサネットのネットワークにより互いに通信可能である。ＣＡＮはController Area Networkの略である。ＣＡＮおよびイーサネットは登録商標である。

　第１層に属するＥＣＵ＃１、ＥＣＵ＃２は、例えば車両４の外部との通信機能を有するＴＣＵ、ＩＶＩとして機能する。ＴＣＵはTelematics Control Unitの略であり、ＩＶＩはIn Vehicle Infotainmentの略である。ＥＣＵ＃１、ＥＣＵ＃２には、車両外部から車両内部に入ってくるデータを監視するセキュリティ機能が搭載されている。

　また、第１層に属するＤＬＣには、例えば、車両４の図示しないＯＢＤ２から診断情報を取得する外部ツールが接続される。ＯＢＤはOn Board Diagnosticsの略である。

　第２層に属するＥＣＵ＃３は、例えば、第１層のＥＣＵ＃１、ＥＣＵ＃２のネットワークと第３層のＥＣＵ＃４、ＥＣＵ＃５のネットワークとの間で通信されるデータを監視するセキュリティ機能が搭載されたゲートウェイＥＣＵである。

　ＥＣＵ＃３は、前述したＥＣＵ＃１、ＥＣＵ＃２とは異なるセキュリティ対策を行うものである。ＥＣＵ＃３によって監視される領域は、ＥＣＵ＃１、ＥＣＵ＃２によって防御される領域である第１層とは異なるセキュリティレベルを有する。

　第３層に属するＥＣＵ＃４、ＥＣＵ＃５は、例えば、車両４の動きを制御する車両制御ＥＣＵである。ＥＣＵ＃４、ＥＣＵ＃５には、第２層に属するＥＣＵ＃３のセキュリティ機能を通過したデータのみが通信される。第３層は、第２層とは異なるセキュリティレベルを有する領域である。

　図３に、車両４に搭載されるＥＣＵ１０、２０、３０、４０、５０、６０の構成の例を示す。前述したように、ＥＣＵ１０、２０、３０、４０、５０、６０によって、セキュリティ機能の構成は異なることがある。

　ＥＣＵ１０、２０、３０、４０、５０、６０は、例えば、図示しないＣＰＵ、ＲＯＭ、ＲＡＭ、フラッシュメモリ等を有するマイクロコンピュータを搭載している。ＥＣＵ１０、２０、３０、４０、５０、６０のＣＰＵがＲＯＭまたはフラッシュメモリに記憶されたプログラムを実行することにより、後述する監視部１２と検証部１８とによる情報処理が実行される。

　監視部１２は、ＥＣＵ１０、２０、３０、４０、５０、６０やネットワーク等の車載ユニットの異常を検出するセキュリティセンサを有しており、車載ユニットに異常が発生しているか否かを監視する。監視部１２は、車載ユニットの異常を検出するとセキュリティログを生成する。

　監視部１２は、セキュリティセンサとして、ファイヤーウォール、ＨＩＤＳ、ＣＡＮやイーサネット等のネットワークの異常を検出するＩＤＳ、Ａｕｔｈ機能、等を有している。ＨＩＤＳはHost Based Intrusion Detection Systemの略であり、ＩＤＳはIntrusion Detection Systemの略であり、ＡｕｔｈはAuthenticationの略である。

　分析部１４は、監視部１２が生成したセキュリティログが、車両４に対する攻撃が起因となって生成された可能性があるか否かを分析する。

　例えば、分析部１４は、車両４のネットワーク上のデータの周期がずれ、さらに、通常では起動していないプロセスがＥＣＵで実行されていることをセキュリティログが示している場合、車両４に対する攻撃が起因となっている可能性があると判定する。この場合、分析部１４は、セキュリティログを通信部１６からサーバ１００に送信する。

　これに対し、例えば、セキュリティログが車両４のネットワーク上のデータの周期がずれたことを表しているだけの場合、分析部１４は、車両４に対する攻撃が起因となっている可能性はないと判定する。この場合、分析部１４は、セキュリティログを通信部１６からサーバ１００に送信しない。

　通信部１６は、無線通信ネットワーク６を介してサーバ１００と通信する。検証部１８は、自ＥＣＵまたは他のＥＣＵまたはＥＣＵ上で動作するＶＭまたはソフトウェア等の車載ユニットの完全性の検証をサーバ１００から指示されると、車載ユニットの検証を行う。ＶＭは、Virtual Machineの略である。検証部１８は、ハードウェア等のセキュリティ機能により、検証部１８自体が攻撃により侵害されないように保護されている。

　図４に示すように、サーバ１００は、通信部１１０と、ログ取得部１１２と、セキュリティログＤＢ１１４と、分析部１２０と、検証指示部１４０と、参照値ＤＢ１４２と、を備える。

　また、図６に示すように、サーバ１００の分析部１２０は、ログ分析部１２２と、侵害判定部１２４と、攻撃推定部１２６と、出力部１２８と、異常攻撃ＤＢ１３０と、を備える。

　サーバ１００は、例えば、図示しないＣＰＵ、ＲＯＭ、ＲＡＭ、フラッシュメモリ等を有するコンピュータを搭載している。サーバ１００のＣＰＵが記憶装置に記憶されたプログラムを実行することにより、ログ取得部１１２と、ログ分析部１２２と、侵害判定部１２４と、攻撃推定部１２６と、検証指示部１４０と、による情報処理が実行される。

　通信部１１０は、無線通信ネットワーク６を介して車両４と通信する。ログ取得部１１２は、通信部１１０が車両４から受信するセキュリティログを取得し、セキュリティログＤＢ１１４に格納する。

　図５に示すように、ログ取得部１１２が取得するセキュリティログは、車両４のＩＤと、異常が検出された時刻と、異常が検出された車両４内の場所と、異常を検出したセンサＩＤと、の情報で構成される。尚、セキュリティログは、これら以外の情報を含んでもよい。

　ログ分析部１２２は、ログ取得部１１２が取得してセキュリティログＤＢ１１４に格納したセキュリティログに基づいて、車両４の検証部１８に車載ユニットの完全性の検証を指示するか否かを判定する。

　例えば、ログ分析部１２２は、以下の条件（１）、（２）のいずれか１個以上が成立すれば、車両４の検証部１８に車載ユニットの完全性の検証を指示すると判定する。

　（１）セキュリティログが、サイバー攻撃による車両４の侵害を検出するためのセキュリティセンサの検出機能により生成された。

　（２）セキュリティログが、前述した多層防御において、第２層以降の防御機能が攻撃を防御したことにより生成された。

　但し、車両４の検証部１８に完全性の検証を指示してから完全性の検証が終了するまでの間、完全性の検証を新たにしないと判定してもよい。

　侵害判定部１２４は、車両４から取得する検証部１８による完全性の検証結果に対する検証指示部１４０の判定結果に基づいて、車載ユニットが侵害されたか否かを判定する。完全性の検証結果に対する検証指示部１４０による判定については、後述する。

　攻撃推定部１２６は、侵害判定部１２４による侵害判定結果と、セキュリティログと、異常攻撃ＤＢ１３０の異常攻撃テーブルと、に基づいて、侵害の起因となる攻撃に関する推定を行う。出力部１２８は、攻撃推定部１２６による推定結果を図示しないＤＢ等に出力する。

　異常攻撃ＤＢ１３０は、例えば、図７に示す異常攻撃テーブルの構造を有する。異常攻撃ＤＢ１３０は、多層防御の各層に属するＥＣＵと、各ＥＣＵで発生する異常の種類と、各ＥＣＵに発生する異常の起因となる攻撃と、攻撃の起点となる位置と、攻撃の起点から攻撃を受ける攻撃対象の位置と、評価値と、の関係を表している。攻撃の起点となる位置と攻撃対象の位置とにより、攻撃の経路が示されている。

　攻撃の起点において「０ｘ００」は、攻撃の起点が車両４の外部であることを表している。攻撃の起点と攻撃の対象とにおいて「０ｘ０１」～「０ｘ０５」は、攻撃の対象となるＥＣＵの番号を表している。

　図７において、評価値の「１」と「０」とは、車両４のシステム構成と、車両４に対して行われると想定される攻撃と、攻撃によって発生すると想定される異常内容と、に基づいて予め設定された値である。評価値の「１」は、攻撃を受けると該当の異常が発生する可能性があることを示している。評価値の「０」は、想定される攻撃において該当の異常が発生しないことを示している。

　図７では、異常の内容をＥＣＵに発生する異常の種類で分類した。これに対し、各ＥＣＵで複数のＶＭが実行される場合にはＶＭ毎に発生する異常の種類で分類してもよい。また、各ＥＣＵで複数のソフトウェアが実行される場合にはソフトウェア毎に発生する異常の種類で分類してもよい。

　検証指示部１４０は、車両４の検証部１８と同様に、ハードウェア等のセキュリティ機能により、検証指示部１４０自体が攻撃により侵害されないように保護されている。

　検証指示部１４０は、ログ分析部１２２が完全性の検証を指示するように判定すると、対象となる車載ユニットの完全性の検証を車両４に行うように指示する。

　尚、検証指示部１４０は、以下の（１）～（４）のいずれかのパターンで、車載ユニットの完全性を検証するように車両４に指示する。

　（１）車両４に搭載されたすべての車載ユニット。

　（２）異常が検出された車載ユニット。

　（３）異常が検出された車載ユニットと、異常が検出された車載ユニットに物理的または論理的に関連性のある車載ユニット。

　異常が検出された車載ユニットに物理的または論理的に関連性がある車載ユニットとは、例えば、異常が検出された車載ユニットとネットワークで接続しているか、あるいは異常が検出された車載ユニットの処理結果に基づいて処理を行う車載ユニットを表す。

　（４）異常が検出された車載ユニット以外の車載ユニット。例えば、異常の検出に対して信頼性のあるセキュリティセンサの異常が検出された場合、該当するセキュリティセンサが異常を検出した車載ユニット以外の車載ユニットの完全性を検証する。

　また、検証指示部１４０は、例えば、以下に記載した（１）、（２）の項目について、車載ユニットの完全性を検証するように車両４に指示する。

　（１）車載ユニットの所定の箇所として、以下の（１ａ）～（１ｄ）のいずれか。

　（１ａ）メモリに所定のプログラムコードが格納されているか。この場合、実行時に変化しないプログラムコードだけを検証対象に指示してもよい。

　また、プログラムコードの検証は、攻撃された場合に制御を奪われる可能性の高いプログラムコードから行ってもよい。

　（１ｂ）メモリに所定のデータが格納されているか。例えば、ソフトウェアを実行するときに読み込むソフトウェアの設定ファイルのデータが所定値か。あるいは、ソフトウェアを実行するときに生成されるソフトウェアの制御データが所定値か。この場合、実行時に変化しないデータだけを検証対象に指示してもよい。

　（１ｃ）ハードウェア構成。例えば、所定ＩＤの装置が接続されているか。あるいは、所定のインタフェースが使用されているか。

　（１ｄ）ソフトウェア構成。例えば、ソフトウェアが所定のライブラリで構成されているか、あるいは、ソフトウェアのメモリマップが所定の構成か、あるいは動的ライブラリが所定バージョンか。

　（２）車載ユニットのすべての構成。例えば、前述した（１ａ）～（１ｄ）のすべて。

　また、検証指示部１４０は、例えば、以下の（１）～（３）のいずれかのパターンで、車両４の検証部１８に完全性の検証を指示する車載ユニットの順番を決定する。

　（１）検証対象のすべての車載ユニットに同時に完全性の検証を指示する。

　（２）多層防御において浅い層に属する車載ユニットの完全性の検証を先に指示する。例えば、第２層の車載ユニットの異常が検出された場合、第２層よりも浅い第１層に属する車載ユニットの完全性の検証を先に指示する。

　（３）多層防御において深い層に属する車載ユニットの完全性の検証を先に指示する。例えば、第１層の車載ユニットの異常が検出された場合、第１層よりも深い第２層に属する車載ユニットの完全性の検証を先に指示する。

　また、検証指示部１４０は、検証部１８が実行する完全性の検証結果の値と、参照値ＤＢ１４２に格納された完全性の検証結果の正常値とを比較して、車載ユニットの完全性が保たれているか否かを判定する。

　検証指示部１４０は、検証部１８が実行する完全性の検証結果の値が参照値ＤＢ１４２に格納された正常値と一致する場合、車載ユニットの完全性は保たれていると判定する。これに対し、検証指示部１４０は、検証部１８が実行する完全性の検証結果の値が参照値ＤＢ１４２に格納された正常値と一致しない場合、車載ユニットの完全性が損なわれていると判定する。

　［２．処理］
　図８に基づいて、ＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とを備える情報処理システム２が実行する情報処理について説明する。

　Ｓ１、Ｓ２において車両４の監視部１２は、自ＥＣＵと自ＥＣＵが接続するネットワーク等に異常が発生していないか否かを監視する。Ｓ３、Ｓ４において監視部１２は、車載ユニットの異常を検出すると、自車両４を特定する車両ＩＤと異常の検出時刻と異常の検出場所と異常を検出したセキュリティセンサのセンサＩＤとで構成されるセキュリティログを、車両４の分析部１４に送信する。

　Ｓ７において分析部１４は、Ｓ５、Ｓ６において監視部１２から受信したセキュリティログを前述したように分析し、サーバ１００に送信するログか送信しないログかを判定する。サーバ１００に送信するログの場合、分析部１４は、通信部１６からサーバ１００にセキュリティログを送信する。

　Ｓ８においてサーバ１００のログ取得部１１２は、車両４から送信されたセキュリティログを通信部１１０から受信し、図５に示すデータ構造でセキュリティログＤＢ１１４に格納する。

　Ｓ１０において分析部１２０のログ分析部１２２は、Ｓ９においてセキュリティログＤＢ１１４から取得したセキュリティログを分析し、該当する車両４の車載ユニットの完全性の検証を車両４に指示するか否かを判定する。

　ログ分析部１２２は、Ｓ１０において、該当する車両４の車載ユニットの完全性の検証を車両４に指示すると判定すると、Ｓ１１において、車両４の車載ユニットの完全性の検証を車両４に指示するように検証指示部１４０に依頼する。

　Ｓ１３において検証指示部１４０は、Ｓ１２においてログ分析部１２２から該当する車両４の車載ユニットの完全性の検証を指示する依頼を取得すると、該当する車両４に車載ユニットの完全性の検証を指示する。

　Ｓ１５、Ｓ１６において、例えば、通信部１６を有するＥＣＵ５０の検証部１８は、Ｓ１４において通信部１６がサーバ１００から完全性の検証の指示を受信すると、自ＥＣＵ５０を含み、該当するＥＣＵに完全性の検証を指示する。

　Ｓ１７において、通信部１６を有するＥＣＵ５０の検証部１８は、自ＥＣＵ５０が完全性の検証の対象である場合、自ＥＣＵ５０の完全性の検証を行う。

　Ｓ１８、Ｓ１９において、ＥＣＵ５０の検証部１８から完全性の検証を指示された他のＥＣＵの検証部１８は、自ＥＣＵの完全性の検証を行う。

　完全性の検証を行った検証部１８は、Ｓ２０、Ｓ２１において完全性の検証結果に自ＥＣＵが起動された最新の起動時刻を加えて、通信部１６を有するＥＣＵ５０に送信する。

　Ｓ２３において、通信部１６を有するＥＣＵ５０の検証部１８は、Ｓ２２において他のＥＣＵから受信した完全性の検証結果と、自ＥＣＵ５０が起動された最新の起動時刻を加えた自ＥＣＵ５０の完全性の検証結果と、を通信部１６からサーバ１００に送信する。

　Ｓ２４において、サーバ１００の検証指示部１４０は、通信部１１０が車両４から受信した起動時刻を含む完全性の検証結果を取得する。

　そして、検証指示部１４０は、検証対象の車載ユニットの完全性が保たれているか、あるいは、完全性が保たれておらず損なわれているか、あるいは、完全性が保たれているか否かを判定できないか、を判定する判定処理を実行する。

　ここで、セキュリティログＤＢ１１４に格納された車載ユニットに異常が検出された検出時刻よりも車載ユニットの起動時刻が後であれば、異常が検出された後で車載ユニットが起動され、完全性の検証を行うときに異常が解消されている可能性がある。

　そのため、検証指示部１４０は、検出時刻よりも起動時刻が後であれば、車載ユニットの完全性が保たれているか否かを判定できない。

　これに対し、検出時刻が起動時刻よりも後であれば、異常が検出されてから完全性の検証が行われるまで車載ユニットは起動し直していないので、完全性の検証結果に基づいて、車載ユニットの完全性が保たれているか否かを判定できる。

　そこで、検証指示部１４０は、検出時刻が起動時刻よりも後であれば、参照値ＤＢ１４２から完全性の検証結果が正常な場合の検証結果を読み出し、正常な検証結果と車両４から取得した検証結果とが一致しているか否かを判定する。

　検証指示部１４０は、正常な検証結果と取得した検証結果とが一致している場合、車載ユニットの完全性は保たれていると判定し、正常な検証結果と取得した検証結果とが一致しない場合、車載ユニットの完全性は保たれておらず損なわれていると判定する。

　Ｓ２５において検証指示部１４０は、前述した検証結果に対する判定処理の結果を侵害判定部１２４に送信する。

　Ｓ２６において侵害判定部１２４は、検証指示部１４０から取得した検証結果に対する判定結果に基づいて、車載ユニットが侵害されているか否かを判定する。

　侵害判定部１２４は、車載ユニットの完全性が保たれている場合、車載ユニットは侵害されていないと判定する。

　侵害判定部１２４は、車載ユニットの完全性が損なわれている場合、車載ユニットは侵害されたと判定する。

　侵害判定部１２４は、車載ユニットの完全性が保たれているか否かを判定できない場合、車載ユニットが侵害されているか否かを判定できない。

　Ｓ２７において攻撃推定部１２６は、侵害判定部１２４の判定結果に基づいて、車載ユニットに対する侵害の起因となる攻撃の評価値を設定してから、車載ユニットに対してどのような攻撃がされたかを推定する。

　まず、攻撃推定部１２６は、侵害されたと侵害判定部１２４により判定された車載ユニットについて、車載ユニットにて発生すると想定されている異常の評価値を所定の上昇分高める。

　例えば、図７において、侵害されたとＥＣＵ＃１が判定された場合、攻撃推定部１２６は、ＥＣＵ＃１で発生すると想定されている異常の評価値を、図９に示すように「１」から「２」に高める。

　これに対し、攻撃推定部１２６は、侵害されなかったと侵害判定部１２４により判定された車載ユニットについて、車載ユニットにて発生すると想定されている異常の評価値を所定の低下分低める。

　例えば、図７において、侵害されなかったとＥＣＵ＃２が判定された場合、攻撃推定部１２６は、ＥＣＵ＃２で発生すると想定されている異常の評価値を、図９に示すように「１」から「０」に低める。

　このように、同じ第１層でエントリポイントのＥＣＵ＃１とＥＣＵ＃２とについて、セキュリティログが生成されたが、完全性の検証結果によって、ＥＣＵ＃１とＥＣＵ＃２とのうちＥＣＵ＃１が攻撃されＥＣＵ＃２は攻撃されなかったと判定される。

　例えば、本実施形態のように、ＥＣＵ＃１がＴＣＵでＥＣＵ＃２がＩＶＩの場合、ＴＣＵだけが攻撃されたと判定される。

　また、攻撃推定部１２６は、侵害されたか否かを侵害判定部１２４が判定できなかった車載ユニットについて、車載ユニットにて発生すると想定されている異常の評価値に対して以下の（１）または（２）の処理を行う。

　（１）侵害されたか否かを判定できなかった攻撃対象の車載ユニットに対し、攻撃起点の車載ユニットが侵害されたと判定された場合、攻撃起点の車載ユニットの評価値の上昇分よりも低い値で、攻撃対象の車載ユニットにて発生すると想定されている異常の評価値を高くする。

　これは、攻撃起点の車載ユニットと攻撃対象の車載ユニットとは、ネットワーク等を介して物理的または論理的に関連性があるので、攻撃起点の車載ユニットが侵害されると、攻撃対象の車載ユニットも侵害される可能性があるためである。

　例えば、図７において、ＥＣＵ＃３は、ＥＣＵ＃１を起点とした攻撃Ｃの攻撃対象である。そして、今回、ＥＣＵ＃１が侵害されたと判定できたがＥＣＵ＃３が侵害されたか否かを判定できなかった。この場合、ＥＣＵ＃１が侵害されているので、攻撃ＣにおいてＥＣＵ＃３にて発生すると想定されている異常の評価値を「１」から「２」へよりも低い上昇分で、例えば「１．１」に高める。

　（２）侵害されたか否かを判定できなかった車載ユニットに対し、この車載ユニットを攻撃対象とする攻撃起点の車載ユニットが侵害されなかったと判定されたか、あるいは、この車載ユニットを攻撃対象とする攻撃起点の車載ユニットが侵害されたか否かを判定できなかった。この場合、攻撃対象の車載ユニットにて発生すると想定されている異常の評価値は変更せずそのままにしておく。

　例えば、図７において、ＥＣＵ＃３は、ＥＣＵ＃２を起点とした攻撃Ｄの攻撃対象である。ＥＣＵ＃３が侵害されたか否かを判定できず、攻撃Ｄの起点であるＥＣＵ＃２が侵害されなかったと判定された場合、攻撃推定部１２６は攻撃ＤにおいてＥＣＵ＃３で発生すると想定されている異常Ａの評価値を「１」のまま変更しない。

　また、図７において、ＥＣＵ＃５は、攻撃Ｘの攻撃起点であり攻撃対象である。ＥＣＵ＃５について、今回、侵害されたか否かを判定できなかった場合、ＥＣＵ＃５に対する攻撃Ｘの起点はＥＣＵ＃５自体なので、攻撃推定部１２６は、攻撃ＸにおいてＥＣＵ＃５で発生すると想定されている異常Ｂおよび異常Ｃの評価値を「１」のまま変更しない。

　このように、攻撃推定部１２６は、異常攻撃ＤＢ１３０に異常攻撃テーブルとして格納されている図７に示す攻撃に対応する異常の評価値を、完全性検証の結果に基づいて図９に示すように調整する。そして、攻撃推定部１２６は、評価値を調整してから、図９に示すどの攻撃種別の攻撃が行われたのかを推定する。

　推定は、実測異常情報と予測異常情報との類似度を計測することで算出される。実測異常情報は、実際に車両４で観測された異常の組合せを示す。予測異常情報は、異常攻撃ＤＢ１３０に異常攻撃テーブルとして格納されている、攻撃種別毎の攻撃を受けた場合に電子制御システムで発生することが予測される異常の組み合わせと異常の評価値とを示す。

　具体的には、実測異常情報のデータ列をベクトルで表現したものと、予測異常情報のデータ列をベクトルで表現したものと、の内積が算出される。そして、予測異常情報のベクトルにおいて０よりも大きい値になっている要素の数で内積を割った算出結果が最も高い値となった異常攻撃テーブルの行が抽出される。そして、その算出結果が所定値以上になると、車載ユニットであるＥＣＵに対して該当する攻撃が行われたと推定される。

　例えば、実測異常情報としてＥＣＵ＃１にて異常Ａ、異常Ｂ、異常Ｃが観測された場合、図９に照らし合わせると、攻撃Ａの場合はＥＣＵ＃１の異常Ａと異常Ｃの評価値がそれぞれ２であり、ＥＣＵ＃１の異常Ｂの評価値は０であるため、内積の算出結果は４である。そして、評価値が０より大きい値となっている異常は異常Ａと異常Ｃとの２つであるため、４を２で割った結果の２が攻撃Ａと実測異常情報との類似度となる。

　一方、攻撃Ｃの場合は、ＥＣＵ＃１の異常Ｃの評価値が２であり、ＥＣＵ＃１の異常Ａと異常Ｂの評価値は０であるため、内積の算出結果は２である。そして、評価値が０より大きい値となっている異常はＥＣＵ＃１の異常ＣとＥＣＵ＃３の異常Ａおよび異常Ｂであるため、２を３で割った３分の２が攻撃Ｃと実測異常情報との類似度となる。

　なお、攻撃Ｂや攻撃Ｄや攻撃ＸはＥＣＵ＃１の異常Ａ、異常Ｂ、異常Ｃに対応する評価値はいずれも０であるため、最終的な類似度も０となる。したがって、最も大きな値である攻撃Ａと実測異常情報との類似度について所定値以上であるか否かが評価され、攻撃Ａが行われたか否かが推定される。

　尚、評価値を所定の増加分高める場合と所定の低下分低める場合とを複数記載したが、すべてを適用してもよいし、いずれか１つ以上を選択的に適用してもよい。

　車載ユニットに対して攻撃が行われたと攻撃推定部１２６が推定すると、出力部１２８は、図示しないＤＢ等に推定結果を出力する。

　［３．効果］
　以上説明した実施形態によれば、以下の効果を得ることができる。

　（３ａ）セキュリティログに基づいて検証された車載ユニットの完全性の検証結果に基づいて、車両４に対する攻撃により車載ユニットが侵害されたか否かを、高精度に判定できる。

　その結果、車両４に対する攻撃により車載ユニットが侵害されたか否かを示す侵害判定結果と、この侵害により生じた異常を示すセキュリティログとに基づいて、車両４に対する攻撃を高精度に推定できる。

　（３ｂ）侵害されたか否かを判定できなかった車載ユニットに対し、この車載ユニットを攻撃対象とする攻撃起点の車載ユニットが侵害されたと判定された場合、物理的または論理的に関連性がある攻撃対象の車載ユニットも攻撃により侵害された可能性がある。

　そこで、前述した実施形態では、侵害されたか否かを判定できなかった攻撃対象の車載ユニットに対し、攻撃起点の車載ユニットが侵害されたと判定された場合、侵害された車載ユニットの評価値の上昇分よりも低い値で評価値を高くする。これにより、異常が検出されたが侵害されたか否かを判定できなかった車載ユニットで発生すると想定されている異常の評価値を、高精度に設定できる。

　（３ｃ）車両４からセキュリティログをサーバ１００に送信する前に、予め、サーバ１００に送信すべきセキュリティログであるか否か、つまりサーバ１００に送信するか否かを車両４の分析部１４が分析する。これにより、車両４とサーバ１００との通信量を極力低減できる。

　（３ｄ）同じ層に属する複数の車載ユニットについて、セキュリティログは生成されたが、完全性の検証結果に基づいて、いずれかの車載ユニットだけが攻撃され、他の車載ユニットは攻撃されなかったと判定できる。

　例えば本実施形態のＥＣＵ＃１、ＥＣＵ＃２について、セキュリティログは生成されたが、完全性の検証結果によってＥＣＵ＃１だけが攻撃され、ＥＣＵ＃２は攻撃されなかったと判定できる。これにより、例えば、同じエントリポイントに属するＥＣＵであっても、完全性の検証結果に基づいて、どのＥＣＵが攻撃されたかを高精度に判定できる。

　（３ｅ）セキュリティログをトリガーにして対象の車載ユニットについて完全性の検証を実行するので、車載ユニットに対して定期的に完全性の検証を行う場合に比べ、処理負荷を低減できる。

　以上説明した実施形態では、ＥＣＵ１０、２０、３０、４０、５０、６０が車載の情報処理装置と車載ユニットとに対応し、サーバ１００が車外の情報処理装置に対応する。

　また、図８のＳ８がログ取得部１１２の処理に対応し、Ｓ１０がログ分析部１２２の処理に対応し、Ｓ１３が検証指示部１４０の処理に対応し、Ｓ１７～Ｓ１９が検証部１８の処理に対応し、Ｓ２６が侵害判定部１２４の処理に対応し、Ｓ２７が攻撃推定部１２６の処理に対応する。

　また、異常攻撃ＤＢ１３０の構造が示す異常攻撃テーブルが、異常の種類と攻撃と評価値との対応テーブルに対応する。

　［４．他の実施形態］
　以上、本開示の実施形態について説明したが、本開示は前述の実施形態に限定されることなく、種々変形して実施することができる。

　（４ａ）前述した実施形態では、車外のサーバ１００が、ログ分析部１２２と侵害判定部１２４と攻撃推定部１２６と検証指示部１４０の機能を備えているが、これに限定されるものではない。

　例えば、車両４が、検証部１８の機能に加え、ログ分析部１２２と侵害判定部１２４と攻撃推定部１２６と検証指示部１４０とのうち、１部の機能を備えてもよい。

　あるいは、車両４がサーバ１００と通信せず、検証部１８とログ分析部１２２と侵害判定部１２４と攻撃推定部１２６と検証指示部１４０とのすべての機能を備えてもよい。

　（４ｂ）前述した実施形態では、サーバ１００を車外の情報処理装置とし、複数の車両４に対して攻撃の推定処理を行ったが、これに限定されるものではない。

　例えば、車外の情報処理装置としてサービスツールまたはパーソナルコンピュータを車両４に無線または有線で接続し、１台の車両４に対して１つの車外の情報処理装置で、車両４に対する攻撃を推定してもよい。

　（４ｃ）前述した車載ユニットは、物理的な情報処理装置ではなく、ＶＭのようにソフトウェアで構成される情報処理装置を対象としてもよい。

　（４ｄ）前述した実施形態では、異常攻撃テーブルを使用して車両４に対する攻撃を推定したが、これに限るものではない。例えば、セキュリティログと完全性の検証結果とに基づいて、異常攻撃テーブルを使用せずに車両４に対する攻撃を推定してもよい。

　（４ｅ）本開示に記載のＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とその手法とは、コンピュータプログラムにより具体化された１つまたは複数の機能を実行するようにプログラムされたプロセッサおよびメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。

　あるいは、本開示に記載のＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とその手法は、１つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。

　もしくは、本開示に記載のＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とその手法は、１つまたは複数の機能を実行するようにプログラムされたプロセッサおよびメモリと１つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された１つ以上の専用コンピュータにより、実現されてもよい。

　また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。ＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とに含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、１つあるいは複数のハードウェアを用いて実現されてもよい。

　（４ｆ）前述した実施形態における１つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、１つの構成要素が有する１つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、１つの構成要素によって実現したり、複数の構成要素によって実現される１つの機能を、１つの構成要素によって実現したりしてもよい。また、前述した実施形態の構成の一部を省略してもよい。また、前述した実施形態の構成の少なくとも一部を、他の前述した実施形態の構成に対して付加または置換してもよい。

　（４ｇ）前述した車載の情報処理装置であるＥＣＵ１０、２０、３０、４０、５０、６０と、車外の情報処理装置であるサーバ１００との他、当該ＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００とを構成要素とする情報処理システム２、当該ＥＣＵ１０、２０、３０、４０、５０、６０とサーバ１００と、としてコンピュータを機能させるための情報処理プログラム、このプログラムを記録した半導体メモリ等の非遷移的実体的記録媒体、情報処理方法など、種々の形態で本開示を実現することもできる。

　［本明細書が開示する技術思想］
　［項目１］
　車両（４）で発生した異常を示すセキュリティログを取得するように構成されたログ取得部（１１２、Ｓ８）と、
　前記ログ取得部が取得する前記セキュリティログに基づいて、前記車両の検証部（１８、Ｓ１７～Ｓ１９）に車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を指示するか否かを判定するように構成されたログ分析部（１２２、Ｓ１０）と、
　前記検証部に前記車載ユニットの前記完全性の検証を指示すると前記ログ分析部が判定すると、前記完全性の検証を前記検証部に指示するように構成された検証指示部（１４０、Ｓ１３）と、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定するように構成された侵害判定部（１２４、Ｓ２６）と、
　前記侵害判定部による侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行うように構成された攻撃推定部（１２６、Ｓ２７）と、
　を備える情報処理装置。

　［項目２］
　項目１に記載の情報処理装置であって、
　前記攻撃推定部は、侵害されたと前記侵害判定部が判定した前記車載ユニットについて侵害の起因となる前記攻撃の評価値を所定の上昇分高くし、侵害されていないと前記侵害判定部が判定した前記車載ユニットについて前記評価値を所定の低下分低くし、前記評価値に基づいて前記攻撃に関する推定を行うように構成されている、
　情報処理装置。

　［項目３］
　項目２に記載の情報処理装置であって、
　前記攻撃推定部は、侵害されたか否かを前記侵害判定部が判定できなかった前記車載ユニットについて、侵害されたと前記侵害判定部が判定した前記車載ユニットと物理的または論理的に関連性がある場合、前記上昇分よりも低い値で前記評価値を高くするように構成されている、
　情報処理装置。

　［項目４］
　項目２または３に記載の情報処理装置であって、
　前記車載ユニットと前記セキュリティログが示す前記異常の種類と前記攻撃と前記評価値との対応テーブルをさらに備え、
　前記攻撃推定部は、前記攻撃に対応する前記対応テーブルの前記評価値の合計に基づいて、前記攻撃に関する推定を行うように構成されている、
　情報処理装置。

　［項目５］
　項目１から４のいずれか１項に記載の情報処理装置であって、
　前記検証指示部は、前記ログ分析部が前記セキュリティログに基づいて前記検証部に前記完全性の検証を指示すると判定すると、すべての前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニット以外の前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニットと前記セキュリティログが前記異常を示す前記車載ユニットに物理的または論理的な関連性を有する前記車載ユニット、に対する前記完全性の検証を前記検証部に指示するように構成されている、
　情報処理装置。

　［項目６］
　項目１から５のいずれか１項に記載の情報処理装置であって、
　前記検証指示部は、前記ログ分析部が前記セキュリティログに基づいて前記検証部に前記完全性の検証を指示すると判定すると、前記完全性の検証として、プログラムコードと、データと、ハードウェア構成と、ソフトウェア構成とのうち、少なくとも一つを検証するように前記検証部に指示するように構成されている、
　情報処理装置。

　［項目７］
　項目１から６のいずれか１項に記載の情報処理装置であって、
　前記侵害判定部は、前記セキュリティログが、前記車両の検出機能が前記異常を検出したことにより生成された場合、あるいは、前記車両の多層防御の第２層以降の防御機能が前記攻撃を防御したことにより生成された場合、のいずれか１個以上の条件が成立すると、前記完全性の検証を前記検証部に指示し、前記条件がいずれも成立しない場合、前記完全性の検証を前記検証部に指示しないように構成されている、
　情報処理装置。

　［項目８］
　項目１から７のいずれか１項に記載の情報処理装置であって、
　前記検証指示部は、前記検証部に前記完全性の検証を指示してから前記完全性の検証が終了するまでの間、前記検証部に対して前記完全性の検証を指示しないように構成されている、
　情報処理装置。

　［項目９］
　項目１から８のいずれか１項に記載の情報処理装置であって、
　前記侵害判定部は、前記完全性が損なわれている場合、前記車載ユニットは侵害されていると判定し、前記車載ユニットの前記完全性が保たれている場合、前記車載ユニットは侵害されていないと判定し、前記完全性を検証できなかった場合、前記車載ユニットが侵害されているか否かを判定できないと判定する、ように構成されている、
　情報処理装置。

　［項目１０］
　項目１から項目９のいずれか１項に記載の情報処理装置としてコンピュータを機能させる情報処理プログラム。

　［項目１１］
　車両（４）で発生した異常を示すセキュリティログを取得し、
　取得した前記セキュリティログに基づいて、前記車両の検証部に車載ユニットの完全性の検証を指示するか否かを判定し、
　前記検証部に前記完全性の検証を指示すると判定すると、前記検証部に前記車載ユニットの前記完全性の検証を指示し、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定し、
　前記車載ユニットが侵害されたか否かの侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行う、
　情報処理方法。

　［項目１２］
　車載の情報処理装置（１０、２０、３０、４０、５０、６０）と前記車載の情報処理装置と通信する車外の情報処理装置（１００）とを備える情報処理システムであって、
　前記車載の情報処理装置は、
　車両（４）で発生した異常を示すセキュリティログを生成するように構成された監視部（１２、Ｓ１、Ｓ２）と、
　車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を行うように構成された検証部（１８、Ｓ１７～Ｓ１９）と、
　を備え、
　前記車外の情報処理装置は、
　前記車載の情報処理装置から前記セキュリティログを取得するように構成されたログ取得部（１１２、Ｓ８）と、
　前記ログ取得部が取得する前記セキュリティログに基づいて、前記検証部に前記車載ユニットの前記完全性の検証を指示するか否かを判定するように構成されたログ分析部（１２２、Ｓ１０）と、
　前記検証部に前記完全性の検証を指示すると前記ログ分析部が判定すると、前記完全性の検証を前記検証部に指示するように構成された検証指示部（１４０、Ｓ１３）と、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定するように構成された侵害判定部（１２４、Ｓ２６）と、
　前記侵害判定部による侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行うように構成された攻撃推定部（１２６、Ｓ２７）と、
　を備える、
　情報処理システム。

　［項目１３］
　車両（４）で発生した異常を示すセキュリティログを生成し、
　生成した前記セキュリティログを取得し、
　取得した前記セキュリティログに基づいて、車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を行うことを指示するか否かを判定し、
　前記車載ユニットの前記完全性の検証を行うことを指示すると判定すると、前記完全性の検証を行うことを指示し、
　前記完全性の検証を行うことを指示されると前記完全性の検証を行い、
　前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定し、
　前記車載ユニットが侵害されたか否かの侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行う、
　情報処理方法。

Claims

　車両（４）で発生した異常を示すセキュリティログを取得するように構成されたログ取得部（１１２、Ｓ８）と、
　前記ログ取得部が取得する前記セキュリティログに基づいて、前記車両の検証部（１８、Ｓ１７～Ｓ１９）に車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を指示するか否かを判定するように構成されたログ分析部（１２２、Ｓ１０）と、
　前記検証部に前記車載ユニットの前記完全性の検証を指示すると前記ログ分析部が判定すると、前記完全性の検証を前記検証部に指示するように構成された検証指示部（１４０、Ｓ１３）と、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定するように構成された侵害判定部（１２４、Ｓ２６）と、
　前記侵害判定部による侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行うように構成された攻撃推定部（１２６、Ｓ２７）と、
　を備える情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記攻撃推定部は、侵害されたと前記侵害判定部が判定した前記車載ユニットについて侵害の起因となる前記攻撃の評価値を所定の上昇分高くし、侵害されていないと前記侵害判定部が判定した前記車載ユニットについて前記評価値を所定の低下分低くし、前記評価値に基づいて前記攻撃に関する推定を行うように構成されている、
　情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記攻撃推定部は、侵害されたか否かを前記侵害判定部が判定できなかった前記車載ユニットについて、侵害されたと前記侵害判定部が判定した前記車載ユニットと物理的または論理的に関連性がある場合、前記上昇分よりも低い値で前記評価値を高くするように構成されている、
　情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記車載ユニットと前記セキュリティログが示す前記異常の種類と前記攻撃と前記評価値との対応テーブルをさらに備え、
　前記攻撃推定部は、前記攻撃に対応する前記対応テーブルの前記評価値の合計に基づいて、前記攻撃に関する推定を行うように構成されている、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記検証指示部は、前記ログ分析部が前記セキュリティログに基づいて前記検証部に前記完全性の検証を指示すると判定すると、すべての前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニット以外の前記車載ユニットか、あるいは、前記セキュリティログが前記異常を示す前記車載ユニットと前記セキュリティログが前記異常を示す前記車載ユニットに物理的または論理的な関連性を有する前記車載ユニット、に対する前記完全性の検証を前記検証部に指示するように構成されている、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記検証指示部は、前記ログ分析部が前記セキュリティログに基づいて前記検証部に前記完全性の検証を指示すると判定すると、前記完全性の検証として、プログラムコードと、データと、ハードウェア構成と、ソフトウェア構成とのうち、少なくとも一つを検証するように前記検証部に指示するように構成されている、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記侵害判定部は、前記セキュリティログが、前記車両の検出機能が前記異常を検出したことにより生成された場合、あるいは、前記車両の多層防御の第２層以降の防御機能が前記攻撃を防御したことにより生成された場合、のいずれか１個以上の条件が成立すると、前記完全性の検証を前記検証部に指示し、前記条件がいずれも成立しない場合、前記完全性の検証を前記検証部に指示しないように構成されている、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記検証指示部は、前記検証部に前記完全性の検証を指示してから前記完全性の検証が終了するまでの間、前記検証部に対して前記完全性の検証を指示しないように構成されている、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記侵害判定部は、前記完全性が損なわれている場合、前記車載ユニットは侵害されていると判定し、前記車載ユニットの前記完全性が保たれている場合、前記車載ユニットは侵害されていないと判定し、前記完全性を検証できなかった場合、前記車載ユニットが侵害されているか否かを判定できないと判定する、ように構成されている、
　情報処理装置。
　請求項１から請求項９のいずれか１項に記載の情報処理装置としてコンピュータを機能させる情報処理プログラム。
　車両（４）で発生した異常を示すセキュリティログを取得し、
　取得した前記セキュリティログに基づいて、前記車両の検証部に車載ユニットの完全性の検証を指示するか否かを判定し、
　前記検証部に前記完全性の検証を指示すると判定すると、前記検証部に前記車載ユニットの前記完全性の検証を指示し、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定し、
　前記車載ユニットが侵害されたか否かの侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行う、
　情報処理方法。
　車載の情報処理装置（１０、２０、３０、４０、５０、６０）と前記車載の情報処理装置と通信する車外の情報処理装置（１００）とを備える情報処理システムであって、
　前記車載の情報処理装置は、
　車両（４）で発生した異常を示すセキュリティログを生成するように構成された監視部（１２、Ｓ１、Ｓ２）と、
　車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を行うように構成された検証部（１８、Ｓ１７～Ｓ１９）と、
　を備え、
　前記車外の情報処理装置は、
　前記車載の情報処理装置から前記セキュリティログを取得するように構成されたログ取得部（１１２、Ｓ８）と、
　前記ログ取得部が取得する前記セキュリティログに基づいて、前記検証部に前記車載ユニットの前記完全性の検証を指示するか否かを判定するように構成されたログ分析部（１２２、Ｓ１０）と、
　前記検証部に前記完全性の検証を指示すると前記ログ分析部が判定すると、前記完全性の検証を前記検証部に指示するように構成された検証指示部（１４０、Ｓ１３）と、
　前記検証部による前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定するように構成された侵害判定部（１２４、Ｓ２６）と、
　前記侵害判定部による侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行うように構成された攻撃推定部（１２６、Ｓ２７）と、
　を備える、
　情報処理システム。
　車両（４）で発生した異常を示すセキュリティログを生成し、
　生成した前記セキュリティログを取得し、
　取得した前記セキュリティログに基づいて、車載ユニット（１０、２０、３０、４０、５０、６０）の完全性の検証を行うことを指示するか否かを判定し、
　前記車載ユニットの前記完全性の検証を行うことを指示すると判定すると、前記完全性の検証を行うことを指示し、
　前記完全性の検証を行うことを指示されると前記完全性の検証を行い、
　前記完全性の検証の検証結果に基づいて、前記車載ユニットが侵害されたか否かを判定し、
　前記車載ユニットが侵害されたか否かの侵害判定結果と前記セキュリティログとに基づいて、侵害の起因となる攻撃に関する推定を行う、
　情報処理方法。