WO2022255247A1

WO2022255247A1 - 監視装置、監視システム及び監視方法

Info

Publication number: WO2022255247A1
Application number: PCT/JP2022/021731
Authority: WO
Inventors: 亮平野; 良浩氏家; 剛岸川; 智之芳賀; 潤安齋; 吉治今本
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2021-05-31
Filing date: 2022-05-27
Publication date: 2022-12-08
Also published as: US20240086290A1; JP7253663B2; JPWO2022255247A1; WO2022254519A1; EP4350548A1; CN117355832A; EP4350548A4; JP2023002832A; JP7189397B1

Abstract

監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部を備え、３以上の監視部は、第一の実行権限にて動作する第一の監視部と、第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、第二の実行権限と信頼性が同じ、または、第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、第一の監視部は、第二の監視部のソフトウェアを監視し、第一の監視部及び第二の監視部の少なくとも１つは、第三の監視部のソフトウェアを監視する。

Description

監視装置、監視システム及び監視方法

　本開示は、ソフトウェア及び通信ログを監視する監視装置、監視システム及び監視方法に関する。

　特許文献１では、仮想ソフトウェア上の監視用の仮想マシンが、仮想ソフトウェア上の監視対象の仮想マシンを監視することで、監視対象の仮想マシンにおける異常を検知する方法が開示されている。

特開２０１９－１４４７８５号公報

　本開示は、従来の課題を解決するもので、信頼度が低い領域に実装された監視プログラムが改ざんされた場合であっても、ＥＣＵに発生した異常を検知できる監視装置などを提供する。

　本開示の一態様に係る監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部を備え、前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視する。

　本開示の位置対象に係る監視システムは、監視装置と監視サーバーとで構成される監視システムであって、前記監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部と、監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として前記監視サーバーへ送信する監視サーバー通信部と、を備え、前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視し、前記監視サーバーは、前記監視結果を受信し、グラフィカルユーザーインターフェース上に前記監視結果を表示する監視結果表示部を備える。

　本開示の一態様に係る監視方法は、３以上の監視部を備える監視装置によって実行される監視方法であって、前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視する。

　本開示の監視装置によれば、信頼度が低い領域に実装された監視プログラムが改ざんされた場合であっても、ＥＣＵに発生した異常を検知できる。

図１は、実施の形態における監視システムの全体構成図を示す図である。図２は、実施の形態における車載システムの構成図を示す図である。図３は、実施の形態における統合ＥＣＵの構成図を示す図である。図４は、実施の形態における統合ＥＣＵの構成図の詳細を示す図である。図５は、実施の形態における外部アプリの構成図を示す図である。図６は、実施の形態における制御アプリの構成図を示す図である。図７は、実施の形態における映像アプリの構成図を示す図である。図８は、実施の形態における外部仮想マシンの構成図を示す図である。図９は、実施の形態における制御仮想マシンの構成図を示す図である。図１０は、実施の形態における映像仮想マシンの構成図を示す図である。図１１は、実施の形態におけるハイパーバイザの構成図を示す図である。図１２は、実施の形態におけるセキュアアプリの構成図を示す図である。図１３は、実施の形態における監視サーバーの構成図を示す図である。図１４は、実施の形態における監視情報の一例を示す図である。図１５は、実施の形態における監視情報の一例を示す図である。図１６は、実施の形態におけるシステム状態の一例を示す図である。図１７は、実施の形態における監視構成の一例を示す図である。図１８は、実施の形態における監視構成の一例を示す図である。図１９は、実施の形態における監視構成の一例を示す図である。図２０は、実施の形態における監視構成の一例を示す図である。図２１は、実施の形態における監視変更ルールの一例を示す図である。図２２は、実施の形態における監視結果表示の一例を示す図である。図２３は、実施の形態における監視結果表示の一例を示す図である。図２４は、実施の形態における、アプリ監視部の監視処理のシーケンスを示す図である。図２５は、実施の形態における、ＶＭ監視部の監視処理のシーケンスを示す図である。図２６は、実施の形態における、ＨＶ監視部の監視処理のシーケンスを示す図である。図２７は、実施の形態における、ＳＡ監視部の監視処理のシーケンスを示す図である。図２８は、実施の形態における、監視サーバー通知処理のシーケンスを示す図である。図２９は、実施の形態における、管理部から監視変更する処理のシーケンスを示す図である。図３０は、実施の形態における、監視処理のフローチャートを示す図である。図３１は、実施の形態における、監視変更処理のフローチャートを示す図である。図３２は、実施の形態における、統合ＥＣＵの構成図の詳細の変形例１を示す図である。図３３は、実施の形態における、統合ＥＣＵの構成図の詳細の変形例２を示す図である。

　近年、自動運転などの先進機能を利用者へ提供するため、車載システムが複雑化している。複雑化に伴って増大する開発期間やコストの課題を解消するため、従来複数のＥＣＵ（Electronic Control Unit）に分かれて搭載されていた機能を１つのＥＣＵへ統合する動きがある。ＥＣＵの統合において、１つのＥＣＵに複数の仮想的なコンピュータを動作させるために仮想化技術が利用されている。その仮想的なコンピュータは仮想マシンと呼ばれ、複数の仮想マシンを動作させる仮想化基盤となるソフトウェアはハイパーバイザと呼ばれる。

　ハイパーバイザ内の仮想ソフトウェアまたはデバイスドライバに含まれる脆弱性や仕様の不具合が顕著化した場合、ハイパーバイザまたは仮想マシンに割り当てられるメモリ領域が改ざんされ得るという問題がある。その対策として、特許文献１には、仮想ソフトウェア上に、監視用の仮想マシンと監視対象となる仮想マシンを配置し、監視用の仮想マシンから監視対象を監視することで、監視対象における異常を検知する方法が記載されている。

　ところで、車両システムにおいて、第三者のアプリケーションを自由にインストール可能なＩＶＩ（In-Vehicle Infotainment）システムと、車両の走る、止まる、曲がるなどの制御を指示することで自動運転を支援するＡＤＡＳ（Advanced Driver Assistance System）とを１つのＥＣＵに統合する場合、第三者の悪意のあるアプリケーションによってＡＤＡＳの制御方法に関連するメモリ領域が改ざんされると、車両の運転に支障をきたす恐れがある。

　しかしながら、特許文献１の方法は、監視用の仮想マシンが改ざんされていない場合は監視対象の異常を検知可能であるが、監視用の仮想マシン自体が第三者の悪意のあるアプリケーションによって改ざんされた場合は、異常を検知できない課題がある。

　上記課題を解決するために、本開示の一態様に係る監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部を備え、前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視する。

　これにより、システムに侵入した攻撃者は弱い第三の実行権限を獲得後、より強い第二の実行権限、第一の実行権限の獲得を目指すと想定できるため、第二の実行権限よりも弱い第三の実行権限が乗っ取られた後、第三の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部または第二の監視部から第三の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる３段階の監視部を用いることによって、３種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記３以上の監視部は、４以上の監視部を備え、前記４以上の監視部は、前記第一の監視部と、前記第二の監視部と、前記第三の監視部と、前記第三の実行権限と信頼性が同じ、または、前記第三の実行権限よりも信頼性が低い第四の実行権限にて動作する第四の監視部とを含み、前記第一の監視部、前記第二の監視部、及び、前記第三の監視部の少なくとも１つは、前記第四の監視部のソフトウェアを監視してもよい。

　これにより、システムに侵入した攻撃者は弱い第四の実行権限を獲得後、より強い第三の実行権限、強い第二の実行権限、第一の実行権限の獲得を目指すと想定できるため、第三の実行権限よりも弱い第四の実行権限が乗っ取られた後、第四の監視部のソフトウェアを改ざんすることで監視を回避しようと試みた場合であっても、第一の監視部または第二の監視部、第三の監視部から第四の監視部のソフトウェアの異常を検知できる効果がある。また、強い実行権限でプログラムを動作させる環境とは弱い実行権限でプログラムを動作させる環境は分離されると想定できるため、実行権限が異なる４段階の監視部を用いることによって、４種類の環境に渡って広い範囲の監視対象を監視できる効果がある。また、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、セキュアアプリ、仮想ソフトウェア基盤、及び、１以上の仮想マシン上にて動作し、前記第一の実行権限は、セキュアアプリの実行権限、仮想ソフトウェア基盤の実行権限、及び、仮想マシンのカーネル実行権限のうちの１つであり、前記第二の実行権限は、前記仮想ソフトウェア基盤の実行権限、前記仮想マシンのカーネル実行権限、及び、前記仮想マシンのユーザ権限のうちの１つであり、前記第三の実行権限は、前記仮想マシンのカーネル実行権限、及び、前記仮想マシンのユーザ権限のうちの１つであり、前記セキュアアプリの実行権限は、前記仮想ソフトウェア基盤の実行権限よりも信頼性が高く、前記仮想ソフトウェア基盤の実行権限は、前記仮想マシンのカーネル実行権限よりも信頼性が高く、前記仮想マシンのカーネル実行権限は、前記仮想マシンのユーザ権限よりも信頼性が高くてもよい。

　これにより、仮想マシンのユーザアプリの脆弱性をついて仮想マシンのユーザ権限を獲得した攻撃者は、仮想マシンのカーネル権限、ハイパーバイザの実行権限、セキュアアプリの実行権限の獲得を目指すと想定できるため、仮想マシンのユーザ権限、仮想マシンのカーネル権限、ハイパーバイザの実行権限を乗っ取られた後、乗っ取った実行権限で動作する監視部のソフトウェアを改ざんして監視を回避しようと試みた場合であっても、より強い実行権限の監視部から弱い実行権限の監視部の異常を検知できる効果がある。また、セキュアアプリの実行権限やハイパーバイザの実行権限では、仮想マシンのユーザ空間のソフトウェアや、仮想マシンのユーザ空間のネットワークログ、仮想マシンのユーザ空間とカーネル空間の間のシステムコールといった通信ログの取得が困難であると想定できるため、実行権限ごとに監視部を分離することによって、より広い範囲の監視対象を監視できる効果ある。また、セキュアアプリの実行権限とハイパーバイザの実行権限、仮想マシンのカーネル権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、強い実行権限で動作する監視部には単純なアルゴリズムを採用し、弱い実行権限で動作する監視部には高度で複雑なアルゴリズムを採用できる効果がある。

　また、前記監視装置は、仮想ソフトウェア基盤及び２以上の仮想マシン上にて動作し、前記仮想マシンに割り当てられた実行権限にて動作する監視部が２以上存在する場合、前記仮想マシンに割り当てられた実行権限にて動作する２以上の監視部のうちの第一の仮想マシンの監視部は、前記２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、前記２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて前記第一の仮想マシン及び前記第二の仮想マシンのいずれかに分類されてもよい。

　これにより、外部ネットワークからシステムに侵入し、外部ネットワークと接続される仮想マシンのユーザ権限及びカーネル権限を獲得した攻撃者は、他の仮想マシンの機能獲得を目指すと想定できるため、外部ネットワークと接続される改ざんリスクの高い第二の仮想マシンの監視部が乗っ取られた場合であっても、外部ネットワークと接続しない改ざんリスクの低い第一の仮想マシンの監視部から第二の仮想マシンの監視部のソフトウェアの異常を検知できる効果がある。また、車両の制御機能を有する仮想マシンは、改ざんされた場合の安全性への影響が大きく、攻撃者の対象になりやすいため、より信頼可能な仮想マシンの監視部から監視することで、安全性を維持できる効果がある。もしくは、車両の制御機能を有する仮想マシンは、外部ネットワークから隔離されており、高い機能安全レベルの要求を満たすためにセキュアな設計と実装が十分考慮されていると想定できるため、車両の制御機能を有する仮想マシンは信頼可能な第一の仮想マシンとして扱うことができる効果がある。また、実行権限だけを考慮すると、改ざんリスクの高い第二の監視マシンの監視部は、セキュアアプリまたはハイパーバイザの実行権限から監視する必要があるが、実行権限が同一である第一の監視マシンの監視部から第二の監視マシンの監視部を監視できるため、セキュアアプリの実行権限とハイパーバイザの実行権限で動作するソフトウェアを単純化できる効果がある。また、外部ネットワークからシステムに侵入し、特定の仮想マシンのユーザ権限及びカーネル権限を獲得した攻撃者は、他の仮想マシンの機能獲得を目指すと想定できるため、第一の仮想マシンの監視部と、第二の仮想マシンが相互監視または巡回監視を行うことによって、特定の仮想マシンが乗っ取られた場合であっても、それ以外の仮想マシンの監視部から特定の仮想マシンの異常を検知できる効果がある。

　また、前記監視装置は、セキュアアプリ、ホストオペレーティングシステム、１以上の仮想ソフトウェア基盤、及び、１以上の仮想マシン上、または、１以上のコンテナ仮想化基盤及び２以上のコンテナ上にて動作し、前記第一の実行権限と、前記第二の実行権限と、前記第三の実行権限と、前記第四の実行権限とは、セキュアアプリの実行権限と、ホストオペレーティングシステムの実行権限と、仮想ソフトウェア基盤の実行権限と、仮想マシンのカーネル実行権限と、仮想マシンのユーザ実行権限と、コンテナの実行権限とのうちの１つであり、同一の実行権限にて動作する仮想マシンの監視部が２以上存在する場合、前記同一の実行権限にて動作する２以上の仮想マシンの２以上の監視部のうちの第一の仮想マシンの監視部は、前記２以上の仮想マシンの前記２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、前記２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて前記第一の仮想マシン及び前記第二の仮想マシンのいずれかに分類され、同一の実行権限にて動作するコンテナの監視部が２以上存在する場合、前記同一の実行権限にて動作する２以上のコンテナの２以上の監視部のうちの第一のコンテナの監視部は、前記２以上のコンテナの前記２以上の監視部のうちの第二のコンテナの監視部のソフトウェアを監視対象に含み、前記２以上のコンテナは、攻撃者によって改ざんされる可能性に応じて前記第一のコンテナ及び前記第二のコンテナのいずれかに分類されてもよい。

　これにより、ホストとなるオペレーティングシステムが、仮想ソフトウェア基盤であるハイパーバイザを用いて、複数の仮想マシンを実行及び管理する場合や、ＤｏｃｋｅｒやＫｕｂｅｒｎｅｔｅｓなどに代表されるコンテナ仮想化基盤を用いて複数のコンテナを実行及び管理する場合であっても、外部ネットワークとの接続機能の有無など改ざんされる可能性に応じて仮想マシンまたはコンテナの信頼度は異なると想定できるため、複数の監視部を監視の信頼チェーンを構築することで、信頼度の低い第二の仮想マシンまたは第二のコンテナの監視部が乗っ取られた場合であっても、信頼度の高い第一の仮想マシンの監視部または第一のコンテナの監視部から異常を検知できる効果がある。

　また、前記３以上の監視部のそれぞれは、所定の時間経過、所定の外部ネットワーク接続時間経過、システム起動、システム再起動、外部ネットワーク接続確立、及び、外部デバイス接続、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、前記監視対象の監視を開始してもよい。

　これにより、システム起動時にソフトウェアの完全性を検証するセキュアブートのように前段の監視部によって完全性が検証された監視部が、後段の監視部を検証するといった直列的な監視方法ではなく、非同期でソフトウェアの改ざんリスクが高いイベントに応じて監視を実施することで、監視処理の割り込み時間を短縮できる効果がある。さらに、仮想マシンごとのＣＰＵの空き時間を活用して監視処理を行うなど、システムに負荷をかけることなく柔軟に監視処理の負担を配分できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記３以上の監視部のそれぞれは、所定の走行時間経過、所定の停止時間経過、所定の走行距離経過、走行モードの切り替え、給油または給電の終了、車両診断の実施、及び、緊急アラートの発呼、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、前記監視対象の監視を開始してもよい。

　これにより、車載システムにおいて、ソフトウェアの改ざんリスクが高いイベントが発生するごとに、監視対象を監視することで、効率的に非同期監視を実施できる効果がある。

　また、前記３以上の監視部のそれぞれは、他の監視部の監視処理の実行回数、監視処理において異常と判定された回数、及び、監視処理において正常と判定された回数、のうち少なくとも１つの回数に到達したタイミングに応じて、前記監視対象の監視を開始してもよい。

　これにより、例えば、第一の監視部の監視対象である第二の監視部がすべての監視対象の数だけ監視処理を実行した後に、第一の監視部が第二の監視部のソフトウェアの監視処理を実施することで、第二の監視部の監視結果をすべて信頼するための監視処理の回数を１回に削減できる効果がある。また、例えば、第一の監視部の監視対象である第二の監視部が異常を１回検知した場合に、第一の監視部が第二の監視部のソフトウェアの監視処理を実行することで、第二の監視部の監視対象に異常が発生した場合にのみ監視処理を実行でき、監視処理の回数を削減できる効果がある。また、例えば、第一の監視部の監視対象である第二の監視部が正常を５回検出した場合に、第一の監視部が第二の監視部のソフトウェアの監視処理を１回実行することで、第一の監視部の監視処理を少なくでき、監視処理の回数を削減できる効果がある。これは、強い実行権限のソフトウェアを動作させるためには実行モードの切り替えが必要である場合が想定できるため、実行モードの切り替え回数を削減することでのオーバーヘッドを削減できる効果がある。

　また、前記３以上の監視部のそれぞれは、前記監視対象がソフトウェアである場合、メモリまたはストレージに記憶されている前記監視対象であるソフトウェアのハッシュ値、マスク値、及び、複製値のうち少なくとも１つの情報を取得値として取得し、事前に定義された正解値である期待値と前記取得値とを比較し、前記期待値と前記取得値とが一致する場合に前記ソフトウェアが正常であると判定し、前記期待値と前記取得値とが一致しない場合に前記ソフトウェアが異常であると判定してもよい。

　これにより、ソフトウェアの改ざんが行われた場合は、期待値と取得値が異なるため、ソフトウェア改ざんの有無を判定できる効果がある。また、ハッシュ値を用いることで、複製値よりも効率的に改ざんを判定でき、マスク値を用いることで複製値よりも効率的に改ざんの有無を判定できる効果がある。また、複製値を用いることで、ハッシュ値よりも正確に改ざんを判定でき、マスク値を用いることで、ハッシュ値よりも正確に改ざんを判定できる効果がある。

　また、前記ソフトウェアは、仮想ソフトウェア基盤のプログラム及び設定ファイルの組み合わせと、仮想マシンのカーネルプログラム及び設定ファイルの組み合わせと、仮想マシン上のユーザアプリのプログラム及び設定ファイルの組み合わせと、前記３以上の監視部のそれぞれのプログラム及び設定ファイルの組み合わせとのうち少なくとも１つの組み合わせを含んでもよい。

　これにより、ハイパーバイザと仮想マシンとユーザアプリと監視部に関連するソフトウェアの改ざんの有無を判定できる。

　また、前記３以上の監視部のそれぞれは、前記監視対象が通信ログである場合、通信ログを取得し、許可リストと、拒否リストと、正常時の統計情報とのうち少なくとも１つを用いて前記通信ログを検証し、（ｉ）前記許可リストに含まれる場合に前記通信ログが正常であると判定し、前記許可リストに含まれない場合に前記通信ログが異常であると判定する第一判定、（ｉｉ）前記拒否リストに含まれない場合に前記通信ログが正常であると判定し、前記拒否リストに含まれる場合に前記通信ログが異常であると判定する第二判定、及び、（ｉｉｉ）前記正常時の統計情報から逸脱していない場合に前記通信ログが正常であると判定し、前記正常時の統計情報から逸脱している場合に前記通信ログが異常であると判定する第三判定、のいずれか１つの判定を行ってもよい。

　これにより、異常な通信が送受信された場合は許可リストに含まれず、拒否リストに含まれ、正常時の統計情報から逸脱するため、通信の異常を判定できる。さらに、異常な通信の送信元や宛先情報を取得でき、送信元のソフトウェアが改ざんされている可能性が高く、宛先のソフトウェアが次の攻撃の対象になっている可能性が高いと把握できる効果がある。

　また、前記通信ログは、イーサネットと、ＣＡＮプロトコルと、ＦｌｅｘＲａｙプロトコルと、ＳＯＭＥ／ＩＰプロトコルと、ＳＯＭＥ／ＩＰ－ＳＤプロトコルと、システムコールと、ハイパーコールとのうち少なくとも一つを含んでもよい。

　これにより、車載システムに搭載されるネットワークプロトコルを監視対象とすることで、プロトコル特有のパラメータを用いて通信の異常を判定できる効果がある。さらに、異常と判定された通信ログから送信元と宛先を取得でき、異常が発生しうる監視部や監視対象を特定できる効果がある。さらに、特権命令であるシステムコールや、ハイパーコールを監視対象とすることで、実行権限の境界にて発生する異常を判定でき、異常が発生しうる監視部や監視対象を特定できる効果がある。

　また、前記３以上の監視部のそれぞれは、前記監視対象ごとに設定された優先度に応じて、前記監視対象の監視頻度と、前記監視対象の検証方法と、前記監視対象の選択方法のうち少なくとも１つを変更してもよい。

　これにより、監視対象ごとに改ざんされる可能性と改ざんされた場合の影響の大きさには差があると想定できるため、監視対象ごとに適切な優先度を設定することで、限られたリソース内で改ざんリスクの高い監視対象を重点的に監視できる効果がある。

　また、前記優先度は、前記監視対象の実行権限と、前記３以上の監視部のうちの１つの監視部または前記監視が動作する仮想マシンが外部ネットワーク接続機能を有するか否かと、前記１つの監視部または前記監視が動作する仮想マシンが車両制御機能を有するか否かとのうち少なくとも１つに応じて設定されてもよい。

　これにより、強い実行権限で動作するソフトウェアは脆弱性を含まないように単純なアルゴリズムで実装されると想定できるため、改ざんされる可能性が低いため優先度を低く設定できる効果がある。また、外部ネットワークと接続されない仮想マシンや、信頼可能な車両の制御機能をもつ仮想マシンは改ざんされる可能性が低いため、優先度を低く設定できる効果がある。

　また、前記監視装置は、さらに、前記監視装置が動作するシステムの状態またはイベントに応じて、監視情報に含まれる優先度と、前記監視対象に含まれる監視担当及び監視対象の組み合わせである監視構成とのうち少なくとも１つを変更する管理部を含んでもよい。

　これにより、システムの状態またはイベントによって監視対象の重要度に差がある場合、監視情報を適切な固定値として設定することは困難であると想定できるため、システム起動後であっても監視情報と監視構成を柔軟に変更することで、効果的に監視できる効果がある。例えば、優先度を柔軟に変更し、優先度に応じて監視対象の監視頻度と監視精度と監視手段を変更することで、限られたリソース内で改ざんリスクの高い監視対象を重点的に監視できる効果がある。また、一つの仮想マシンが再起動するなど、一部の監視部が動作できない状態になった場合に他の監視部が動作できない監視対象の監視を引き継ぐように監視情報を変更することで、監視対象を継続的に監視できる効果がある。また、例えば、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を信頼できる監視部から監視できる効果がある。また、例えば、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を追加で実施することで、複数の監視部によって監視を強化できる効果がある。また、例えば、一つの仮想マシンのＣＰＵやメモリのリソースが圧迫している場合、他の監視部が監視対象の監視を引き継ぐことで、リソースが圧迫によるシステム影響を低減できる効果がある。

　また、前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、監視マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、前記優先度を変更してもよい。

　これにより、ネットワーク接続に関する状態は攻撃可能性に影響するため、監視対象の攻撃可能性の変化に応じて優先度を変更できる効果がある。さらに、ソフトウェアの異常が判定された場合、異常ソフトウェアと同じ仮想マシンのソフトウェアや、同じ実行権限で動作するソフトウェアや、異常を判定した監視部のソフトウェアにおいて、攻撃が発生する可能性が高いと想定できるため、攻撃可能性の変化に応じて優先度を変更できる効果がある。さらに、通信の異常を判定した場合、通信の送信元に異常が発生している可能性が高く、通信の送信先に攻撃が発展する可能性が高いため、攻撃可能性の変化に応じて優先度を変更できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンで動作する監視対象の優先度を変更し、車両の走行状態は、停止中、手動運転中、高度運転支援中、及び、自動運転中のうちいずれかであってもよい。

　これにより、自動運転中や高度運転支援中の場合、車両の制御機能を有する制御仮想マシンのソフトウェアから、車両の走る、曲がる、止まるに関わる制御コマンドが送信され、エンジン、ステアリング、ブレーキなど制御する制御ＥＣＵが制御コマンドに従うと想定でき、ソフトウェア改ざんの影響が大きいため、車両の制御機能を有する制御仮想マシンのソフトウェアの優先度を上げて重点的に監視できる効果がある。一方で、停止中または手動走行中の場合、制御ＥＣＵが制御コマンドに従わない状態であると想定でき、ソフトウェア改ざんの影響が小さいため、車両の制御機能を有する制御仮想マシンのソフトウェアの監視の優先度を下げることで、他の監視対象の監視処理を優先できる効果がある。

　また、前記管理部は、前記監視構成の変更後であっても、信頼度の低い監視部のソフトウェアを前記信頼度の低い監視部よりも信頼度の高い監視部が監視する監視の信頼チェーンを構築できるように、監視構成を変更してもよい。

　これにより、監視構成を変更したとしても、強い実行権限の監視部から弱い実行権限の監視部のソフトウェアを監視することができ、改ざんされる可能性が低い仮想マシンの監視部から改ざんされる可能性の高い仮想マシンの監視部のソフトウェアを監視できるため、いずれかの弱い実行権限監視部が乗っ取られた場合であっても、異常を判定できる効果がある。

　また、前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、仮想マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、監視構成を変更してもよい。

　これにより、ネットワーク接続に関する状態は攻撃可能性に影響するため、監視対象の攻撃可能性の変化に応じて監視構成を変更できる効果がある。また、一つの仮想マシンが再起動するなど、一部の監視部が無効化状態になった場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を継続的に監視できる効果がある。さらに、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を引き継ぐことで、監視対象を信頼できる監視部から監視できる効果がある。さらに、一つの仮想マシンが異常と判定された場合に他の監視部が監視対象の監視を追加で実施することで、複数の監視部によって監視を強化できる効果がある。さらに、一つの仮想マシンのＣＰＵやメモリのリソースが圧迫している場合、他の監視部が監視対象の監視を引き継ぐことで、リソースが圧迫によるシステム影響を削減できる効果がある。

　また、前記監視装置は、車載システム上において動作し、前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンに関係する監視構成を変更し、前記車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかであってもよい。

　これにより、自動運転中や高度運転支援中の場合、車両の制御機能を有する制御仮想マシンのソフトウェアから、車両の走る、曲がる、止まるに関わる制御コマンドが送信され、エンジン、ステアリング、ブレーキなど制御する制御ＥＣＵが制御コマンドに従うと想定でき、ソフトウェア改ざんの影響が大きいため、複数の監視部によって制御仮想マシンのソフトウェアを監視するよう監視構成を変更できる効果がある。停止中または手動走行中の場合、制御ＥＣＵが制御コマンドに従わない状態であると想定でき、ソフトウェア改ざんの影響が小さいため、一つのみの監視部によって負荷の小さい通常の監視を実施できる効果がある。

　また、前記管理部は、（ｉ）予め定義された２以上の監視構成から一つを選択する手段と、（ｉｉ）２以上の監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築する手段と、（ｉｉｉ）前記２以上の監視部をノードとし、前記監視担当を親ノードとし、前記監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築する手段と、のうち少なくとも１つの手段で前記監視構成を変更してもよい。

　これにより、複数の監視構成のパターンから、現在のシステム状況及びイベントに応じて適切な監視構成に変更できる効果がある。また、監視構成を有向グラフのデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。また、前記管理部は、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築することで、前記監視構成を変更する、監視装置である。また、監視構成をツリー構造のデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。

　また、前記監視装置は、さらに、監視サーバーへ監視結果を通知する監視サーバー通信部を備えてもよい。

　これにより、監視サーバーを介して監視結果をセキュリティ分析官へ通知でき、異常が発生した場合にはソフトウェアの更新など対策を検討できる効果がある。

　本開示の一態様に係る監視システムは、監視装置と監視サーバーとで構成される監視システムであって、前記監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部と、監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として前記監視サーバーへ送信する監視サーバー通信部と、を備え、前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視し、前記監視サーバーは、前記監視結果を受信し、グラフィカルユーザーインターフェース上に前記監視結果を表示する監視結果表示部を備える。

　これにより、セキュリティ分析官は監視結果を視覚的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策を迅速に検討できる効果がある。

　また、前記監視結果表示部は、システムアーキテクチャに関連付けて前記監視結果を表示し、異常を検知した監視部または異常が検知された監視対象を強調する手段と、所定のタイムラインに関連付けて監視結果を表示し、正常判定時刻または異常判定時刻を強調する手段とのうち少なくとも１つの手段でグラフィカルユーザーインターフェース上に監視結果を表示してもよい。

　これにより、セキュリティ分析官は監視部の場所と、監視対象の場所、監視結果を直感的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策をより迅速に検討できる効果がある。また、セキュリティ分析官は監視結果の時系列を直感的に把握することができ、異常が発生した場合にはソフトウェアの更新など対策をより迅速に検討できる効果がある。

　また、前記監視サーバーは、さらに、前記監視対象と、前記監視対象を監視する監視部と、前記監視対象の優先度と、前記優先度に対応した監視方法とのうち少なくとも１つの監視情報の変更を受け付け、前記監視装置に前記変更を要求する監視情報変更部を備え、前記監視装置は、さらに、前記監視情報変更部の要求に応じて前記監視情報を更新する監視情報更新部を備えてもよい。

　これにより、セキュリティ分析官は監視結果を分析した結果、監視対象や監視部、優先度、優先度ごとの監視方法などの修正が必要であると判断した場合に、迅速にシステムに修正を反映することができる効果がある。

　なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態に係る監視装置について図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態）
　［監視システムの全体構成図］
　図１は、実施の形態における監視システムの全体構成図である。

　監視システムは、監視サーバー１０と、車載システム２０とを備える。監視サーバー１０と車載システム２０とは、外部ネットワーク３０を介して接続される。

　外部ネットワーク３０は、例えば、インターネットである。外部ネットワーク３０の通信方法は、有線であっても無線であってもよい。また、無線通信方式は既存技術であるＷｉ－Ｆｉ（登録商標）や、３Ｇ／ＬＴＥ（Long Term Evolution）やＢｌｕｅｔｏｏｔｈ（登録商標）、Ｖ２Ｘ通信方式であってもよい。

　監視サーバー１０は、車載システム２０から車載システム２０のセキュリティ状態に関する情報である監視結果を取得して、グラフィカルユーザーインターフェースを用いて監視結果を表示する装置である。監視サーバー１０は、例えば、セキュリティオペレーションセンターにて、セキュリティ分析官が監視結果を確認して、車載システム２０において異常が発生した場合にソフトウェア更新などの対策を検討する際に利用される。

　車載システム２０は、通信の制御、車両の制御、及び、映像の出力などを実施し、車載システム２０のセキュリティ状態を監視し、監視サーバー１０へセキュリティ状態の監視結果を通知する装置である。図１では、車載システム２０は１台のみ記載しているが、１以上の車載システム２０それぞれが、監視サーバー１０へセキュリティ状態の監視結果を送信する。車載システム２０の詳細は後述する。

　［車載システム２０の全体構成図］
　図２は、実施の形態における車載システムの構成図を示す図である。

　車載システム２０は、統合ＥＣＵ２００と、ゲートウェイＥＣＵ３００と、ステアリングＥＣＵ４００ａと、ブレーキＥＣＵ４００ｂと、ＺｏｎｅＥＣＵ５００と、フロントカメラＥＣＵ６００ａと、リアカメラＥＣＵ６００ｂとを備える。

　統合ＥＣＵ２００と、ゲートウェイＥＣＵ３００とは、ネットワークプロトコルの一種のＣＡＮ（Control Area Network）であるＣＡＮ４０を介して接続される。ここで利用されるネットワークプロトコルは、ＣＡＮに限らずに、ＣＡＮ－ＦＤや、ＦｌｅｘＲａｙプロトコルなどの車載システムで利用されるネットワークプロトコルであってもよい。

　また、ゲートウェイＥＣＵ３００と、ステアリングＥＣＵ４００ａと、ブレーキＥＣＵ４００ｂとは、ＣＡＮ４１を介して接続される。

　また、統合ＥＣＵ２００と、ＺｏｎｅＥＣＵ５００とは、ネットワークプロトコルの一種のＥｔｈｅｒｎｅｔ（商標登録）のプロトコルであるイーサネット５０を介して接続される。イーサネット５０は、例えば、ＳＯＭＥ／ＩＰ（Scalable Service-Oriented MiddlewarE over IP）プロトコルである。ここで利用されるネットワークプロトコルは、ＳＯＭＥ／ＩＰでなくとも、ＳＯＭＥ／ＩＰ－ＳＤや、ＣＡＮ－ＸＬなど車載システムで利用されるネットワークプロトコルであってもよい。

　また、ＺｏｎｅＥＣＵ５００と、フロントカメラＥＣＵ６００ａと、リアカメラＥＣＵ６００ｂとは、イーサネット５１を介して接続される。イーサネット５１は、イーサネット５０と同じネットワークプロトコルであってもよいし、異なるネットワークプロトコルであってもよい。

　また、統合ＥＣＵ２００と、監視サーバー１０とは、外部ネットワーク３０を介して接続される。

　統合ＥＣＵ２００は、外部ネットワーク３０、ＣＡＮ４０及びイーサネット５０を介してメッセージを送受信する通信制御と、ＣＡＮ４０及びイーサネット５０を介してゲートウェイＥＣＵ３００及びＺｏｎｅＥＣＵ５００へ車両の制御を指示する車両制御と、インフォテイメントシステムやインストルメントパネルへの映像出力とを実施するＥＣＵである。また、統合ＥＣＵ２００は、統合ＥＣＵ２００のセキュリティ状態を監視し、監視サーバー１０へ監視結果を通知するＥＣＵである。統合ＥＣＵ２００の詳細は後述する。

　ゲートウェイＥＣＵ３００は、統合ＥＣＵ２００と、ステアリングＥＣＵ４００ａ及びブレーキＥＣＵ４００ｂとの間で送受信されるメッセージを仲介するＥＣＵである。

　ステアリングＥＣＵ４００ａは、車両に搭載されるステアリングによる操舵を制御するＥＣＵである。

　ブレーキＥＣＵ４００ｂは、車両に搭載されるブレーキを制御するＥＣＵである。

　車載システム２０は、ステアリングＥＣＵ４００ａ及びブレーキＥＣＵ４００ｂの他に、車両のエンジンやボディを制御するＥＣＵを用いて車両の走る、曲がる、止まるといった制御を実現する。

　ＺｏｎｅＥＣＵ５００は、統合ＥＣＵ２００と、フロントカメラＥＣＵ６００ａ及びリアカメラＥＣＵ６００ｂとの間で送受信されるメッセージを仲介するＥＣＵである。

　フロントカメラＥＣＵ６００ａは、車両の前方に搭載され、車両の前方を撮影するカメラの映像を取得するＥＣＵである。

　リアカメラＥＣＵ６００ｂは、車両の後方に搭載され、車両の後方を撮影するカメラの映像を取得するＥＣＵである。

　図２では、フロントカメラＥＣＵとリアカメラＥＣＵのみを記載しているが、ＧＰＳなどの各種センサー情報を収集するＥＣＵを用いて、自動運転やアダプティブクルーズコントロール、自動駐車などの先進運転支援機能を実現する。

　［統合ＥＣＵの構成図］
　図３は、実施の形態における統合ＥＣＵ２００の構成図である。統合ＥＣＵ２００は、外部アプリＡ１００と、制御アプリＡ２００と、映像アプリＡ３００と、外部仮想マシンＶＭ１００と、制御仮想マシンＶＭ２００と、映像仮想マシンＶＭ３００と、ハイパーバイザＨＶ１００と、セキュアアプリＳＡ１００と、セキュアオペレーティングシステムＳＯＳ１００とを備える。なお、以下では、外部アプリＡ１００と、制御アプリＡ２００と、映像アプリＡ３００を総称してアプリケーションと呼ぶことがある。また、外部仮想マシンＶＭ１００と、制御仮想マシンＶＭ２００と、映像仮想マシンＶＭ３００を総称して仮想マシンと呼ぶことがある。統合ＥＣＵ２００は、監視装置の一例である。

　ハイパーバイザＨＶ１００は、ハイパーバイザ等の仮想ソフトウェア基盤であり、１以上の仮想マシンを実行及び管理するソフトウェアである。一般に、ハイパーバイザは、タイプ１と呼ばれるベアメタル型ハイパーバイザと、タイプ２と呼ばれるホスト型とに区別される。組み込みシステムでは、一般に、ハイパーバイザによる処理のオーバーヘッドを考慮して、タイプ１が用いられる。タイプ１のハイパーバイザは、コードサイズが小さいため、脆弱性を含む可能性が低く、アプリケーションや仮想マシンと比較して信頼できると想定できる。

　実施の形態では、仮想化システムがタイプ１のハイパーバイザにより実現される例について説明するが、仮想化システムは、タイプ２のハイパーバイザにより実現されてもよいし、コンテナ型の仮想化アプリケーションにより実現されてもよい。

　セキュアオペレーティングシステムＳＯＳ１００は、脆弱性を含まないように実装された信頼可能なオペレーティングシステムである。さらに、システム起動時に信頼可能なハードウェアのＲｏｏｔ　Ｏｆ　Ｔｒｕｓｔからオペレーティングシステムのソフトウェアは検証されるため、アプリケーション、仮想マシン、及び、ハイパーバイザＨＶ１００の中で最も信頼できると想定できる。セキュアオペレーティングシステムＳＯＳ１００は、例えば、ＴＥＥ（Trusted Execution Environment）と呼ばれる実行環境の制御を用いて実現される。また、セキュアオペレーティングシステムＳＯＳ１００は、例えば、ＡＲＭ系のＣＰＵ（Central Processing Uniｔ）におけるＣｏｒｔｅｘ－Ａファミリでは標準機能の１つであるＴｒｕｓｔＺｏｎｅ機構により実現され得る。また、セキュアオペレーティングシステムＳＯＳ１００は、ＡｐｐｌｅのＳＥＰ（Secure Enclave Processor）、または、ＧｏｏｇｌｅのＴｉｔａｎＭなどによっても実現され得る。

　セキュアアプリＳＡ１００は、脆弱性を含まないように実装された信頼可能なアプリケーションである。セキュアアプリＳＡ１００は、信頼できるセキュアオペレーティングシステムＳＯＳ１００の上で動作するため、アプリケーション、仮想マシン、及び、ハイパーバイザＨＶ１００より信頼できると想定できる。一方で、セキュアアプリＳＡ１００は、脆弱性を含まない実装が求められるため、セキュアアプリＳＡ１００のプログラムは単純であることが要求される。

　外部アプリＡ１００は、外部ネットワーク３０を介して監視サーバー１０と通信するアプリケーションである。外部アプリＡ１００は、攻撃者の侵入口となりうる外部ネットワーク３０と接続されるため、外部ネットワーク３０と接続されていない制御アプリＡ２００及び映像アプリＡ３００に比べて脆弱であると想定できる。

　外部仮想マシンＶＭ１００は、外部アプリＡ１００を動作させるオペレーティングシステムである。外部仮想マシンＶＭ１００は、攻撃者の侵入口となりうる外部アプリＡ１００を動作させているため、制御仮想マシンＶＭ２００及び映像仮想マシンＶＭ３００に比べて脆弱であると想定できる。

　制御アプリＡ２００は、ＣＡＮ４０を介してゲートウェイＥＣＵ３００と通信し、車載システム２０を備える車両の走行に関する動作を制御するアプリケーションである。制御アプリＡ２００は、外部ネットワーク３０と接続されていないため、外部アプリＡ１００に比べて信頼できると想定できる。さらに、制御アプリＡ２００は、車両の走行に関する動作の制御に関わるソフトウェア開発では、機能安全規格に適用するため、セキュアな設計及び実装がなされる。このため、制御アプリＡ２００は、外部アプリＡ１００に比べて信頼できると想定できる。ただし、制御アプリＡ２００は、乗っ取られた場合、車両の走行に関する動作の制御の機能を攻撃者が使えるため、車両の走行に関する動作への影響が大きいと想定できる。

　制御仮想マシンＶＭ２００は、制御アプリＡ２００を動作させるオペレーティングシステムである。制御仮想マシンＶＭ２００は、外部ネットワーク３０と接続されていないため、攻撃者の侵入口となりうる可能性は低いと想定できる。さらに、制御仮想マシンＶＭ２００は、車両の走行に関する動作の制御に関わるソフトウェア開発では、機能安全規格に適用するため、セキュアな設計及び実装がなされる。このため、制御仮想マシンＶＭ２００は、外部アプリＡ１００または外部仮想マシンＶＭ１００に比べて信頼できると想定できる。ただし、制御仮想マシンＶＭ２００は、乗っ取られた場合、車両の走行に関する動作の制御の機能を攻撃者が使えるため、外部仮想マシンＶＭ１００または映像仮想マシンＶＭ３００が乗っ取られた場合と比較して、影響が大きいと想定できる。

　映像アプリＡ３００は、イーサネット５０を介してＺｏｎｅＥＣＵ５００と通信し、カメラの映像などを取得し、インフォテイメントシステムやインストルメントパネル、ヘッドアップディスプレイに映像を出力するアプリケーションである。また、カメラ映像は自動運転などの先進運転支援機能を実現するための情報としても利用される。映像アプリＡ３００は、外部ネットワーク３０と接続されていないため、攻撃者の侵入口となる可能性が低く、外部アプリＡ１００に比べて信頼できると想定できる。また、映像アプリＡ３００は、乗っ取られた場合、車両の走行に関する動作の制御の機能を攻撃者は使えないため、制御仮想マシンＶＭ２００が乗っ取られた場合と比較して、車両の走行に関する動作への影響が小さいと想定できる。

　映像仮想マシンＶＭ３００は、映像アプリＡ３００を動作させるオペレーティングシステムである。映像仮想マシンＶＭ３００は、外部ネットワーク３０と接続されていないため、攻撃者の侵入口となる可能性が低く、外部アプリＡ１００に比べて信頼できると想定できる。また、映像仮想マシンＶＭ３００は、乗っ取られた場合、車両の走行に関する動作の制御の機能を攻撃者は使えないため、制御仮想マシンＶＭ２００が乗っ取られた場合と比較して、車両の走行に関する動作への影響が小さいと想定できる。

　ここで、各プログラムの実行権限について説明する。一般に、ＣＰＵは複数の特権レベルを各プログラムに割り当てることができる。例えば、ＡＲＭ系のＣＰＵでは、ＥＬ（Exception Level）に対応し、Ｉｎｔｅｌ系のＣＰＵでは、Protection Ringに対応する。さらに、ＣＰＵは、ＴＥＥを用いてセキュアワールドとノーマルワールドの２種類の実行環境の制御することで、セキュアにプログラムを実行することができる。一般に、この特権レベルと２種類の実行環境の制御によって、５種類の実行権限が使い分けられる。実施の形態においては、セキュアオペレーティングシステムＳＯＳ１００に、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーション（つまり、セキュアアプリＳＡ１００）に次に強いセキュアな実行権限（ＰＬ３）を割り当て、ハイパーバイザＨＶ１００に次に強い実行権限（ＰＬ２）を割り当て、仮想マシン（つまり、外部仮想マシンＶＭ１００、制御仮想マシンＶＭ２００及び映像仮想マシンＶＭ３００）に次に強い実行権限（ＰＬ１）を割り当て、仮想マシン上のアプリケーション（つまり、外部アプリＡ１００、制御アプリＡ２００及び映像アプリＡ３００）に最も弱い実行権限（ＰＬ０）を割り当てる。また、弱い実行権限で動作するプログラムから、強い実行権限で動作するソフトウェアが改ざんされることは基本的には困難である。しかし、実行権限が強い場合であっても、脆弱性や設計不備によってソフトウェアを改ざんされる可能性があるため、強い実行権限で動作するソフトウェアはシンプルなプログラムであること要求される。

　上述した通り、外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が低く、制御アプリＡ２００、映像アプリＡ３００、外部仮想マシンＶＭ１００、制御仮想マシンＶＭ２００、映像仮想マシンＶＭ３００、ハイパーバイザＨＶ１００、セキュアアプリＳＡ１００、及び、セキュアオペレーティングシステムＳＯＳ１００の順番に、改ざんされる可能性が低くなる。改ざんされる可能性が低いことは信頼度が高いことを意味する。

　ここで、攻撃者の攻撃シナリオについて説明する。攻撃者は、外部アプリＡ１００の脆弱性を悪用して、外部ネットワーク３０から外部仮想マシンＶＭ１００へ侵入し、ユーザ権限を獲得する。そして、外部仮想マシンＶＭ１００のシステムコール等の脆弱性を突いて、外部仮想マシンＶＭ１００のカーネル権限を獲得する。そして、ハイパーバイザＨＶ１００のハイパーコール等の脆弱性を突いて、ハイパーバイザＨＶ１００の権限または制御仮想マシンＶＭ２００や映像仮想マシンＶＭ３００の権限を獲得する。ここで、ハイパーコールとは、例えば、仮想マシン間の内部通信と、仮想マシンの起動や終了を指示する特権命令である。

　上述した攻撃シナリオにおいて、攻撃者の振る舞いを正確に捕捉するために、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、及び、セキュアアプリＳＡ１００それぞれにセキュリティ対策機構が導入されることが想定される。セキュリティ対策機構は後述するアプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０を含む。

　なお、図３では記載が省略されているが、燃料や給電状態、給油状態を管理する機能、事故などシステム異常が発生した場合に緊急アラートを発呼する機能、車両診断を制御する機能、外部デバイス接続を監視する機能が統合ＥＣＵ２００に搭載される。

　［統合ＥＣＵの構成図の詳細］
　図４は、実施の形態における統合ＥＣＵの構成図の詳細を示す図である。

　外部アプリＡ１００は外部通信とアプリ領域のソフトウェアとを監視するアプリ監視部Ａ１１０を備え、制御アプリＡ２００はＣＡＮ通信とアプリ領域のソフトウェアとを監視するアプリ監視部Ａ２１０を備え、映像アプリＡ３００はイーサネット通信とアプリ領域のソフトウェアとを監視するアプリ監視部Ａ３１０を備える。なお、アプリ領域のソフトウェアとは、ユーザ領域のソフトウェアである。以下、アプリ監視部Ａ１１０と、アプリ監視部Ａ２１０と、アプリ監視部Ａ３１０とを総称してアプリケーション監視部と呼ぶことがある。また、外部仮想マシンＶＭ１００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアとを監視するＶＭ監視部ＶＭ１１０を備え、制御仮想マシンＶＭ２００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアとを監視するＶＭ監視部ＶＭ２１０を備え、映像仮想マシンＶＭ３００はシステムコールとハイパーコールとＶＭ領域（ＯＳ領域またはカーネル領域とも呼ぶ）のソフトウェアとアプリ領域のソフトウェアとを監視するＶＭ監視部ＶＭ３１０を備える。以下、ＶＭ監視部ＶＭ１１０と、ＶＭ監視部ＶＭ２１０と、ＶＭ監視部ＶＭ３１０とを総称して仮想マシン監視部と呼ぶことがある。また、ハイパーバイザＨＶ１００はＨＶ領域のソフトウェアとＶＭ領域のソフトウェアとを監視するＨＶ監視部ＨＶ１１０を備える。また、セキュアアプリＳＡ１００はＨＶ領域のソフトウェアとＶＭ領域のソフトウェアとを監視するＳＡ監視部ＳＡ１１０と、監視情報を管理する管理部ＳＡ１２０を備える。以下、アプリケーション監視部と、仮想マシン監視部と、ＨＶ監視部ＨＶ１１０と、ＳＡ監視部ＳＡ１１０とを総称して多層監視部と呼ぶことがある。監視情報の詳細は後述する。アプリケーションと、アプリケーション監視部と、仮想マシンと、仮想マシン監視部と、ハイパーバイザＨＶ１００と、ＨＶ監視部ＨＶ１１０と、セキュアアプリＳＡ１００と、ＳＡ監視部ＳＡ１１０との詳細は後述する。

　このように、攻撃者の振る舞いを正確に捕捉するために、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、及び、セキュアアプリＳＡ１００のそれぞれにセキュリティ対策機構であるアプリケーション監視部と、仮想マシン監視部と、ＨＶ監視部ＨＶ１１０と、ＳＡ監視部ＳＡ１１０とが導入された構成の統合ＥＣＵ２００が想定される。しかし、攻撃者は獲得した実行権限において実行されるセキュリティ対策機構のソフトウェアを改ざんすることで、セキュリティ対策機構を無効化できるため、単純にセキュリティ対策機構を導入するだけでは不十分である。

　また、セキュリティ対策機構を改ざんされる可能性が低いセキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００にすべてのセキュリティ対策機構を実装することが想定されるが、上述の通り、脆弱性が含まれないシンプルなプログラムが要求されるため、複雑なアルゴリズムがセキュリティ対策機構に必要とされる場合、すべてのセキュリティ対策機構の実装は困難である。例えば、ネットワークの異常検知に利用される通信ログの蓄積処理や統計処理、機械学習による処理は、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００では実施できない場合がある。また、実行環境の分離によって、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００がアクセス可能なストレージ領域及びメモリ領域は限定されるため、セキュリティ対策機構に必要な対象を取得できない場合、セキュリティ対策機構の実装は困難である。例えば、セキュアアプリＳＡ１００やセキュアオペレーティングシステムＳＯＳ１００からは、アプリケーションのソフトウェアや、アプリケーションが利用する通信を取得できない場合がある。

　上記２つの理由から、アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、及び、セキュアアプリＳＡ１００のそれぞれにセキュリティ対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０が仮想マシン監視部のソフトウェアを監視し、仮想マシン監視部がアプリケーション監視部のソフトウェアを監視する構成が考えられる。これにより、アプリケーション監視部が改ざんされた場合であっても仮想マシン監視部が異常を検知でき、仮想マシン監視部のソフトウェアが改ざんされた場合であってもＨＶ監視部ＨＶ１１０が異常を検知でき、ＨＶ監視部ＨＶ１１０のソフトウェアが改ざんされた場合であってもＳＡ監視部ＳＡ１１０が異常を検知できる。このように、それぞれの監視部を、より強い実行権限またはより高い信頼度で動作する少なくとも１つの多層監視部から監視することで、一つの監視部が改ざんされて無効化された場合であっても他の監視部から異常を検知できる。そして、信頼可能なソフトウェアであるＳＡ監視部ＳＡ１１０から、ハイパーバイザＨＶ１００、仮想マシン、アプリケーションまで監視を連鎖させるため、攻撃者はすべての監視を回避することは困難である。上記のように、多層監視部において、より強い実行権限またはより高い信頼度を有する監視部から、弱い実行権限または低い信頼度を有する監視部を監視する連鎖を構築することを監視の信頼チェーンを構築すると呼ぶ。

　［外部アプリの構成図］
　図５は、実施の形態における外部アプリの構成図を示す図である。

　外部アプリＡ１００は、外部通信部Ａ１０１と、外部アプリ実行部Ａ１０２と、アプリ領域記憶部Ａ１０３と、アプリ監視部Ａ１１０とを備える。外部通信部Ａ１０１は、外部ネットワーク３０を介して通信する。外部アプリ実行部Ａ１０２は、外部通信及びシステムコールを用いて、ナビゲーション情報の取得、音楽やビデオなどのストリーミング情報の取得、及び、更新ソフトウェアのダウンロードを実施する。アプリ領域記憶部Ａ１０３は、外部アプリのプログラムと設定ファイルを記憶するストレージ及びメモリである。

　アプリ監視部Ａ１１０は、監視対象取得部Ａ１１１と、システム状態取得部Ａ１１２と、監視部Ａ１１３と、監視情報記憶部Ａ１１４と、監視情報更新部Ａ１１５と、監視結果通知部Ａ１１６とを備える。

　監視対象取得部Ａ１１１は、アプリ領域記憶部Ａ１０３から監視対象であるソフトウェアに関する情報を取得し、外部通信部Ａ１０１から外部通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ１１２は、外部通信部Ａ１０１からインターネット接続状態をシステム状態として取得する機能と、監視部Ａ１１３からセキュリティ状態をシステム状態として取得する機能とを有する。

　監視部Ａ１１３は、監視対象取得部Ａ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ１１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視部Ａ１１３は、監視対象取得部Ａ１１１にて取得した外部通信ログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、外部通信ログに含まれる特定のメッセージが異常であるか否かを判定する機能を有する。

　監視情報記憶部Ａ１１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　監視情報の詳細は後述する。

　このように、アプリ監視部Ａ１１０はアプリ領域のソフトウェア及び外部通信を監視でき、インターネット接続状態と外部アプリＡ１００のセキュリティ状態を取得できる。外部通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［制御アプリの構成図］
　図６は、実施の形態における制御アプリの構成図を示す図である。

　制御アプリＡ２００は、ＣＡＮ通信部Ａ２０１と、制御アプリ実行部Ａ２０２と、アプリ領域記憶部Ａ２０３と、アプリ監視部Ａ２１０とを備える。ＣＡＮ通信部Ａ２０１は、ＣＡＮ４０を介してゲートウェイＥＣＵ３００と通信する。制御アプリ実行部Ａ２０２は、ＣＡＮ通信とシステムコールを用いて、ＶＭ１００の車両の走る、曲がる、止まるなどの車両の走行に関する制御を指示する。アプリ領域記憶部Ａ２０３は、制御アプリのプログラムと設定ファイルとを記憶するストレージ及びメモリである。

　アプリ監視部Ａ２１０は、監視対象取得部Ａ２１１と、システム状態取得部Ａ２１２と、監視部Ａ２１３と、監視情報記憶部Ａ２１４と、監視情報更新部Ａ２１５と、監視結果通知部Ａ２１６とを備える。

　監視対象取得部Ａ２１１は、アプリ領域記憶部Ａ２０３から監視対象であるソフトウェアに関する情報を取得し、ＣＡＮ通信部Ａ２０１からＣＡＮ通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ２１２は、制御アプリ実行部Ａ２０２から、走行状態や起動からの走行距離、起動からの経過時間など車両の状態をシステム状態として取得する機能と、監視部Ａ２１３からセキュリティ状態をシステム状態として取得する機能とを有する。

　監視部Ａ２１３は、監視対象取得部Ａ２１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ２１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視部Ａ２１３は、監視対象取得部Ａ２１１にて取得したＣＡＮ通信ログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、ＣＡＮログに含まれる特定のメッセージが異常であるか否かを判定する機能を有する。

　監視情報記憶部Ａ２１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ２１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ２１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、アプリ監視部Ａ２１０はアプリ領域のソフトウェア及びＣＡＮ通信を監視でき、車両の状態と制御アプリＡ２００のセキュリティ状態を取得できる。ＣＡＮ通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［映像アプリの構成図］
　図７は、実施の形態における映像アプリの構成図を示す図である。

　映像アプリＡ３００は、イーサネット通信部Ａ３０１と、映像アプリ実行部Ａ３０２と、アプリ領域記憶部Ａ３０３と、アプリ監視部Ａ３１０とを備える。イーサネット通信部Ａ３０１は、イーサネット５０を介してＺｏｎｅＥＣＵ５００と通信する。映像アプリ実行部Ａ３０２は、イーサネット通信とシステムコールとを用いて、カメラ映像を取得して、ディスプレイへ映像出力する。アプリ領域記憶部Ａ３０３は、映像アプリのプログラムと設定ファイルを記憶するストレージ及びメモリである。

　アプリ監視部Ａ３１０は、監視対象取得部Ａ３１１と、システム状態取得部Ａ３１２と、監視部Ａ３１３と、監視情報記憶部Ａ３１４と、監視情報更新部Ａ３１５と、監視結果通知部Ａ３１６とを備える。

　監視対象取得部Ａ３１１は、アプリ領域記憶部Ａ３０３から監視対象であるソフトウェアに関する情報を取得し、イーサネット通信部Ａ３０１からイーサネット通信ログに関する情報を取得する機能を有する。

　システム状態取得部Ａ３１２は、監視部Ａ３１３からセキュリティ状態をシステム状態として取得する機能を有する。

　監視部Ａ３１３は、監視対象取得部Ａ３１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部Ａ３１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視対象取得部Ａ３１１にて取得したイーサネット通信ログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、イーサネット通信ログに含まれる特定のメッセージが異常であるか否かを判定する機能を有する。

　監視情報記憶部Ａ３１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部Ａ３１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部Ａ３１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、アプリ監視部Ａ３１０はアプリ領域のソフトウェア及びイーサネット通信を監視でき、映像アプリＡ３００のセキュリティ状態を取得できる。イーサネット通信の監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［外部仮想マシンの構成図］
　図８は、実施の形態における外部仮想マシンの構成図を示す図である。

　外部仮想マシンＶＭ１００は、アプリ通信部ＶＭ１０１と、システムコール制御部ＶＭ１０２と、ＶＭ領域記憶部ＶＭ１０３と、ハイパーコール呼出部ＶＭ１０４と、ＶＭ監視部ＶＭ１１０とを備える。アプリ通信部ＶＭ１０１は、外部アプリ実行部Ａ１０２からシステムコールを受信する。システムコール制御部ＶＭ１０２は、システムコールを実行する。ＶＭ領域記憶部ＶＭ１０３は、外部仮想マシンＶＭ１００のプログラムと、ミドルウェアと、設定ファイルとを記憶するストレージ及びメモリである。ハイパーコール呼出部ＶＭ１０４は、ハイパーコールを呼び出す。

　ＶＭ監視部ＶＭ１１０は、監視対象取得部ＶＭ１１１と、システム状態取得部ＶＭ１１２と、監視部ＶＭ１１３と、監視情報記憶部ＶＭ１１４と、監視情報更新部ＶＭ１１５と、監視結果通知部ＶＭ１１６とを備える。

　監視対象取得部ＶＭ１１１は、ＶＭ領域記憶部ＶＭ１０３とアプリ領域記憶部Ａ１０３とから監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ１０１からシステムコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ１１２は、監視部ＶＭ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ１１３は、監視対象取得部ＶＭ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ１１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視部ＶＭ１１３は、監視対象取得部ＶＭ１１１にて取得したシステムコールログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否かを判定する機能を有する。

　監視情報記憶部ＶＭ１１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ１１０はアプリ領域とＶＭ領域のソフトウェア及びシステムコールを監視でき、外部仮想マシンＶＭ１００と外部アプリＡ１００のセキュリティ状態を取得できる。システムコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［制御仮想マシンの構成図］
　図９は、実施の形態における制御仮想マシンの構成図を示す図である。

　制御仮想マシンＶＭ２００は、アプリ通信部ＶＭ２０１と、システムコール制御部ＶＭ２０２と、ＶＭ領域記憶部ＶＭ２０３と、ハイパーコール呼出部ＶＭ２０４と、ＶＭ監視部ＶＭ２１０とを備える。アプリ通信部ＶＭ２０１は、制御アプリ実行部Ａ２０２からシステムコールを受信する。システムコール制御部ＶＭ２０２は、システムコールを実行する。ＶＭ領域記憶部ＶＭ２０３は、制御仮想マシンＶＭ２００のプログラムと、ミドルウェアと、設定ファイルを記憶するストレージ及びメモリである。ハイパーコール呼出部ＶＭ２０４は、ハイパーコールを呼び出す。

　ＶＭ監視部ＶＭ２１０は、監視対象取得部ＶＭ２１１と、システム状態取得部ＶＭ２１２と、監視部ＶＭ２１３と、監視情報記憶部ＶＭ２１４と、監視情報更新部ＶＭ２１５と、監視結果通知部ＶＭ２１６とを備える。

　監視対象取得部ＶＭ２１１は、ＶＭ領域記憶部ＶＭ２０３とアプリ領域記憶部Ａ１０３とから監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ２０１からシステムコールに関する情報を取得する機能を有し、さらに、ハイパーコール制御部ＨＶ１０２からハイパーコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ２１２は、監視部ＶＭ２１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ２１３は、監視対象取得部ＶＭ２１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ２１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視部ＶＭ２１３は、監視対象取得部ＶＭ２１１にて取得したシステムコールログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否かを判定する機能を有する。さらに、監視部ＶＭ２１３は、監視対象取得部ＶＭ２１１にて取得したハイパーコールログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、ハイパーコールログに含まれる特定のハイパーコールが異常であるか否かを判定する機能を有する。

　監視情報記憶部ＶＭ２１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ２１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ２１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ２１０はアプリ領域とＶＭ領域のソフトウェア及びシステムコール、ハイパーコールを監視でき、制御仮想マシンＶＭ２００と制御アプリＡ２００のセキュリティ状態を取得できる。システムコールとハイパーコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　ここで、ハイパーコールの監視は制御仮想マシンＶＭ２００にて実行されると記載しているが、ハイパーバイザＨＶ１００にて実行されもよい。

　［映像仮想マシンの構成図］
　図１０は、実施の形態における映像仮想マシンの構成図を示す図である。

　映像仮想マシンＶＭ３００は、アプリ通信部ＶＭ３０１と、システムコール制御部ＶＭ３０２と、ＶＭ領域記憶部ＶＭ３０３と、ハイパーコール呼出部ＶＭ３０４と、ＶＭ監視部ＶＭ３１０とを備える。アプリ通信部ＶＭ３０１は、映像アプリ実行部Ａ３０２からシステムコールを受信する。システムコール制御部ＶＭ３０２は、システムコールを実行する。ＶＭ領域記憶部ＶＭ３０３は、映像仮想マシンＶＭ３００のプログラムと、ミドルウェアと、設定ファイルを記憶するストレージ及びメモリである。ハイパーコール呼出部ＶＭ３０４は、ハイパーコールを呼び出す。

　ＶＭ監視部ＶＭ３１０は、監視対象取得部ＶＭ３１１と、システム状態取得部ＶＭ３１２と、監視部ＶＭ３１３と、監視情報記憶部ＶＭ３１４と、監視情報更新部ＶＭ３１５と、監視結果通知部ＶＭ３１６とを備える。

　監視対象取得部ＶＭ３１１は、ＶＭ領域記憶部ＶＭ３０３とアプリ領域記憶部Ａ３０３とから監視対象であるソフトウェアに関する情報を取得し、アプリ通信部ＶＭ３０１からシステムコールに関する情報を取得する機能を有する。

　システム状態取得部ＶＭ３１２は、監視部ＶＭ３１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＶＭ３１３は、監視対象取得部ＶＭ３１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＶＭ３１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。さらに、監視部ＶＭ３１３は、監視対象取得部ＶＭ３１１にて取得したシステムコールログを、許可リストまたは拒否リスト、及び、通常時の統計情報を用いて、システムコールログに含まれる特定のシステムコールが異常であるか否かを判定する機能を有する。

　監視情報記憶部ＶＭ３１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＶＭ３１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＶＭ３１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＶＭ監視部ＶＭ３１０はアプリ領域とＶＭ領域のソフトウェア及びシステムコールを監視でき、映像仮想マシンＶＭ３００と映像アプリＡ３００のセキュリティ状態を取得できる。システムコールの監視は統計情報を用いた複雑なアルゴリズムになると想定される。

　［ハイパーバイザの構成図］
　図１１は、実施の形態におけるハイパーバイザの構成図を示す図である。

　ハイパーバイザＨＶ１００は、仮想マシン通信部ＨＶ１０１と、ハイパーコール制御部ＨＶ１０２と、ＨＶ領域記憶部ＨＶ１０３と、ＨＶ監視部ＨＶ１１０とを備える。仮想マシン通信部ＨＶ１０１は、ハイパーコール呼出部ＶＭ１０４、ＶＭ２０４、ＶＭ３０４からハイパーコールを受信する。ハイパーコール制御部ＨＶ１０２は、ハイパーコールを実行する。ＨＶ領域記憶部ＨＶ１０３は、ハイパーバイザＨＶ１００のプログラムと、設定ファイルを記憶するストレージ及びメモリである。

　ＨＶ監視部ＨＶ１１０は、監視対象取得部ＨＶ１１１と、システム状態取得部ＨＶ１１２と、監視部ＨＶ１１３と、監視情報記憶部ＨＶ１１４と、監視情報更新部ＨＶ１１５と、監視結果通知部ＨＶ１１６とを備える。

　監視対象取得部ＨＶ１１１は、ＨＶ領域記憶部ＨＶ１０３と、ＶＭ領域記憶部ＶＭ１０３と、ＶＭ領域記憶部ＶＭ２０３と、ＶＭ領域記憶部ＶＭ３０３と、から監視対象であるソフトウェアに関する情報を取得する機能を有する。

　システム状態取得部ＨＶ１１２は、仮想マシンのシステム状態と、ＣＰＵ利用率と、メモリ利用率と、監視部ＨＶ１１３とからセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＨＶ１１３は、監視対象取得部ＨＶ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＨＶ１１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。

　監視情報記憶部ＨＶ１１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＨＶ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＨＶ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　このように、ＨＶ監視部ＨＶ１１０は、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００と、ＨＶ領域のソフトウェアを監視でき、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００のシステム状態とセキュリティ状態を取得できる。

　［セキュアアプリの構成図］
　図１２は、実施の形態におけるセキュアアプリの構成図を示す図である。

　セキュアアプリＳＡ１００は、ＳＡ監視部ＳＡ１１０と、管理部ＳＡ１２０とを備える。

　ＳＡ監視部ＳＡ１１０は、監視対象取得部ＳＡ１１１と、システム状態取得部ＳＡ１１２と、監視部ＳＡ１１３と、監視情報記憶部ＳＡ１１４と、監視情報更新部ＳＡ１１５と、監視結果通知部ＳＡ１１６とを備える。

　監視対象取得部ＳＡ１１１は、ＨＶ領域記憶部ＨＶ１０３と、ＶＭ領域記憶部ＶＭ１０３と、ＶＭ領域記憶部ＶＭ２０３と、ＶＭ領域記憶部ＶＭ３０３とから監視対象であるソフトウェアに関する情報を取得する機能を有する。

　システム状態取得部ＳＡ１１２は、監視部ＳＡ１１３からセキュリティ状態を、システム状態として取得する機能を有する。

　監視部ＳＡ１１３は、監視対象取得部ＳＡ１１１にて取得したソフトウェアに関する情報の取得値と、監視情報記憶部ＳＡ１１４が記憶する監視情報に含まれる期待値とを比較し、取得値と期待値とが異なる場合にソフトウェアに関する情報が異常であると判定し、取得値と期待値とが一致する場合にソフトウェアに関する情報が正常であると判定する機能を有する。

　監視情報記憶部ＳＡ１１４は、監視担当と、監視対象と、期待値と、優先度とが含まれる監視情報を記憶する機能を有する。

　監視情報更新部ＳＡ１１５は、管理部ＳＡ１２０からの要求に応じて監視情報を更新する機能を有する。

　監視結果通知部ＳＡ１１６は、管理部ＳＡ１２０へ監視結果とシステム状態を通知する機能を有する。

　管理部ＳＡ１２０は、監視結果取得部ＳＡ１２１と、システム状態取得部ＳＡ１２２と、監視構成記憶部ＳＡ１２３と、監視変更ルール記憶部ＳＡ１２４と、監視情報変更部ＳＡ１２５と、監視サーバー通信部ＳＡ１２６とを備える。

　監視結果取得部ＳＡ１２１は、監視結果通知部Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６から監視結果を受信する機能を有する。

　システム状態取得部ＳＡ１２２は、監視結果通知部Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６からシステム状態を受信する機能を有する。

　監視構成記憶部ＳＡ１２３は、複数の多層監視部の信頼チェーン構成パターンを含む監視構成を記憶する機能を有する。

　監視変更ルール記憶部ＳＡ１２４は、システム状態に応じて監視情報に含まれる優先度と監視構成を変更するルールを含む監視変更ルールを記憶する機能を有する。

　監視情報変更部ＳＡ１２５は、監視情報更新部ＳＡ１１５へ監視情報の変更を要求する機能を有する。

　監視サーバー通信部ＳＡ１２６は、監視サーバー１０へ監視結果を通知し、監視サーバー１０から監視情報の変更と監視構成の変更内容と、監視変更ルールの変更の要求とを受信し、要求に応答する機能を有する。

　監視構成と監視変更ルールの詳細は後述する。

　このように、ＳＡ監視部ＳＡ１１０は、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００とＨＶ領域のソフトウェアとを監視でき、外部仮想マシンＶＭ１００と制御仮想マシンＶＭ２００と映像仮想マシンＶＭ３００とのセキュリティ状態を取得できる。また、管理部ＳＡ１２０は、システム状態に応じて、適切な監視構成及び監視情報に変更できる。

　［監視サーバーの構成図］
　図１３は、実施の形態における監視サーバーの構成図を示す図である。

　監視サーバー１０は、車載システム通信部１１と、監視結果表示部１２と、監視構成変更部１３と、監視変更ルール変更部１４と、監視情報変更部１５とを備える。

　車載システム通信部１１は、車載システム２０の外部通信部Ａ１０１と通信する機能を有する。

　監視結果表示部１２は、車載システム通信部１１を介して、車載システム２０の外部通信部Ａ１０１から監視結果を受信し、監視結果の情報をグラフィカルユーザーインターフェース上に表示する機能を有する。

　監視構成変更部１３は、監視構成の変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　監視変更ルール変更部１４は、監視変更ルールの変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　監視情報変更部１５は、監視情報の変更を受け付け、変更の要求を監視サーバー通信部ＳＡ１２６へ送信する。

　［監視情報の一例］
　図１４及び図１５は、監視情報の一例を示す図である。

　監視情報は、多層監視部のそれぞれが自身の監視対象を確認し、ソフトウェア及び通信ログの監視を実施するための情報が記載される。

　図１４において、監視情報は、番号、監視担当、監視対象、メモリ番地、期待値、及び、優先度を含む。番号は、監視情報を識別するために利用される。監視担当は、監視対象の監視を行う主体者を認識するために利用される。監視対象は、監視の対象となるソフトウェア及び通信ログを認識するために利用される。メモリ番地は、監視対象を取得するため監視対象が格納されるメモリ番地を認識するために利用される。期待値は、監視対象に関する情報の正常な値を認識するために利用される。優先度は、優先度が高い監視対象ほど重点的に監視するために利用される。優先度の詳細は後述する。

　図１４では、アプリ監視部Ａ１１０は外部アプリ監視部、アプリ監視部Ａ２１０は制御アプリ監視部、アプリ監視部Ａ３１０は映像アプリ監視部、ＶＭ監視部ＶＭ１１０は外部ＶＭ監視部、ＶＭ監視部ＶＭ２１０は制御ＶＭ監視部、ＶＭ監視部ＶＭ３１０は映像ＶＭ監視部として記載しており、以下でもこの記載を用いることがある。

　例えば、番号が７である監視情報は、監視担当が外部ＶＭ監視部であり、監視対象がＶＭプログラム１であり、メモリ番地はＶＭ領域Ｂ１０であり、期待値はＢ１０であり、優先度は高である。これは、外部ＶＭ監視部はＶＭプログラム１を重点的に監視し、ＶＭ領域Ｂ１０に格納されるＶＭプログラム１のハッシュ値がＢ１０と一致する場合にＶＭプログラム１が正常であると判定でき、一致しない場合にＶＭプログラム１が異常であると判定できる。

　また、例えば、番号が１５である監視情報は、監視担当が制御ＶＭ監視部であり、監視対象がハイパーコールログであり、メモリ番地は「―」であり、期待値は「―」であり、優先度は「―」である。これは、制御ＶＭ監視部は、ハイパーコールログを監視するが、メモリ番地や期待値、優先度は指定する必要がないことを示している。

　上述の通り、外部通信ログと、ＣＡＮ通信ログと、イーサネット通信ログと、システムコールログと、ハイパーコールログとは、例えば、許可リストと拒否リストと正常時の統計情報とを用いてそれぞれの異常が判定され得る。

　このように、監視情報を用いることで、多層監視部のそれぞれが自身の監視対象を確認し、ソフトウェア及び通信ログの監視を実施できる。また、監視対象に多層監視部のソフトウェアを含めることによって、多層監視部の監視の信頼チェーンを構築できる。

　図１４において、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ１１０及びＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がアプリ監視部Ａ３１０のソフトウェアを監視することで、多層監視部が信頼可能なＳＡ監視部ＳＡ１１０からアプリケーション監視部まで連結しており、監視の信頼チェーンを構築できていることが分かる。

　図１５には、優先度に応じて、ソフトウェアの監視方法を変更するための情報が記載される。図１５において、優先度、監視周期（分）、検証方法、及び、監視対象選択方法が対応付けられている。優先度は、高、中、低の３種類のうちの一種類が記載され、優先度を識別するために利用される。監視周期（分）は、監視対象の監視処理を行う周期を認識するために利用される。検証方法は、監視対象の監視処理を行う方法を認識するために利用される。監視対象選択方法は、監視対象が複数存在する場合に選択する方法を認識するために利用される。

　例えば、優先度が高である場合は、監視周期（分）が１であり、検証方法が複製値であり、監視対象選択方法が固定である。これは、固定の監視対象を１分間隔で複製値を用いて検証することを示している。固定とは、監視周期で定められる監視タイミングが訪れる毎に、予め決められた１以上の監視対象をすべて監視することであり、複製値とはメモリに格納された監視対象の生データを用いて検証することである。

　これにより、優先度が高い監視対象に対して、精度の高い監視を実施できる。

　また、例えば、優先度が中である場合は、監視対象を特定の順番で、１０分間隔で複製値ではなく複製値にマスクをかけた値であるマスク値を用いて検証することを示している。順番とは、監視周期で定められる監視タイミングが訪れる毎に、１以上の監視対象を１つずつ特定の順番で選択し、選択した監視対象を監視することである。

　また、例えば、優先度が低である場合は、監視対象をランダムの順番で、１００分間隔で複製値のハッシュ値を用いて検証することを示している。ランダムとは、監視周期で定められる監視タイミングが訪れる毎に、１以上の監視対象を１つずつランダムに選択し、選択した監視対象を監視することである。

　ここで、優先度が低である場合、メモリ領域を２以上のブロックに分割し、分割ブロックをランダムで選択して監視対象としてもよい。これにより、処理の負荷を低減できる。

　また、特定の監視周期を設定して、前回の監視から周期が経過したタイミングで監視を即座に実行するのではなく、周期が経過したタイミング以降のＣＰＵの空き時間に監視を実行してもよい。この場合、監視タイミングは毎回異なるものの、リアルタイム性が重要視されるシステムへの負担を低減できる。

　また、少なくとも１回の監視が実行される期間を設定してもよい。この場合、所定の期間の間にＣＰＵの空き時間を利用して監視を実行できる。

　また、特定のイベントや特定の監視部の検証結果に応じて、監視タイミングを定義してもよい。例えば、インターネット接続のタイミングで、アプリ監視部Ａ１１０のソフトウェアを監視してもよいし、車両の走行状態が自動走行に変更されたタイミングで制御仮想マシンのソフトウェアを監視してもよいし、セキュリティ異常が１回判定されたタイミングで異常と関連する多層監視部のソフトウェアを監視してもよいし、セキュリティ異常がなく正常と２回判定されたタイミングで連結する監視部のソフトウェアを監視してもよい。

　また、通信ログに対する監視においても、メモリ番地にログが含まれる領域が指定されてもよく、期待値に許可リストが指定されてもよく、優先度が指定されてもよい。この場合、優先度に応じて、通信ログの監視方法が変更されてもよい。

　例えば、優先度が高い場合は、高い精度が期待できるすべてのメッセージのペイロード情報を用いて異常を検知する方法が適用され、優先度が低い場合は、処理負荷の低減が期待できるサンプリングしたメッセージのヘッダ情報を用いて異常を検知する方法が適用されてもよい。これにより、優先度に応じて通信ログを重点的に監視できる。

　このように、監視対象に応じて優先度を変更することで、改ざんリスクの高い監視対象を重点的に監視でき、改ざんリスクの低い監視対象は処理負荷を下げて監視できる。

　［システム状態の一例］
　図１６は、システム状態の一例を示す図である。

　システム状態は、管理部ＳＡ１２０が統合ＥＣＵ２００のシステム状態を把握するために利用される。図１６において、システム情報は、番号、分類、システム状態、及び、パラメータを含む。番号は、システム状態を識別するために利用される。分類は、ネットワーク、ＶＭ、セキュリティ、車両の４種類であり、システム状態を区分するために利用される。例えば、システム状態は、具体的なシステム状態の名称が記載され、パラメータはシステム状態を特定するためのパラメータが記載される。

　例えば、番号が５であるシステム状態は、分類がＶＭであり、システム状態がＶＭ状態であり、パラメータが、ＶＭ識別子、オンとオフと再起動中とのいずれか一つ、及び、時刻である。つまり、システムの異常やソフトウェアの更新の理由で、特定の仮想マシンが再起動する場合、パラメータには、特定の仮想マシンを識別する識別子と、再起動中という状態、状態を判定した時刻が記載される。

　このように、例えば、番号が１であるシステム状態を確認すれば、統合ＥＣＵ２００がインターネットに接続しているか否かの状態を把握でき、番号が９であるシステム状態は車両の走行状態を確認すれば、自動運転か否かの状態を把握でき、番号が７であるシステム状態を確認すれば、ソフトウェア検証の結果として異常と判定された監視対象のソフトウェアの情報を把握できる。

　また、システム状態を統合ＥＣＵ２００に搭載されるタイマー、センサー、及び、その他の機能から収集して参照することで、所定の時間経過と、所定の外部ネットワーク接続時間経過と、システム起動と、システム再起動と、外部ネットワーク接続確立と、外部デバイス接続と、走行モードの切り替えと、給油または給電の終了と、車両診断の実施と、緊急アラートの発呼とを含むシステム状態を取得できる。

　ここで、図１６のシステム状態は、システム状態のリストと、パラメータに記載すべき項目とを示している。管理部ＳＡ１２０は、リストに含まれるシステム状態を取得した場合に、番号とパラメータを他のプログラムへ通知するまたはログに残すことで、他のプログラムとシステム状態を共有できる。

　［監視構成の一例］
　図１７～図２０は、監視構成の一例を示す図である。

　監視構成は、多層監視部を連結させて監視の信頼チェーンを変更するために利用される。図１７～図２０では、矢印の元のブロックが監視を実行する監視部が示され、矢印の先のブロックが監視の対象となる監視部が示される。

　図１７において、監視構成は、番号と、監視構成を含む。番号は、監視構成を識別するために利用され、監視構成は多層監視部の連結パターンが記載される。

　図１７の番号１の監視構成は、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェアを監視し、ＨＶ監視部ＨＶ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ１１０とＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ２１０がアプリ監視部Ａ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がアプリ監視部Ａ３１０のソフトウェアを監視することで、多層監視部が信頼可能なＳＡ監視部ＳＡ１１０からアプリケーション監視部まで連結しており、監視の信頼チェーンを構築できていることが分かる。

　ここで、制御仮想マシンＶＭ２００は、外部ネットワークと直接接続されていないため、外部仮想マシンＶＭ１００よりも信頼できると想定できるため、より信頼度の高い監視部として扱うことができる。

　また、図１７の番号２の監視構成は、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０の代わりにＶＭ監視部ＶＭ２１０のソフトウェアを監視し、それ以外は番号１の管理構成と同等である。番号１の監視構成と比較すると、ＳＡ監視部ＳＡ１１０の処理とプログラムの複雑性が増加するものの、信頼可能なＳＡ監視部ＳＡ１１０から監視することで、ＶＭ監視部ＶＭ２１０のソフトウェアの信頼度を高めることができる。

　また、図１８の番号３の監視構成は、制御仮想マシンＶＭ２００がシステムダウンした場合であっても監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００がシステムダウンした場合に番号１や番号２の監視構成を継続すると、ＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０を監視対象とする監視担当が不在になり、監視の信頼チェーンを維持できない。

　また、図１８の番号４の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合であっても、ＶＭ監視部ＶＭ２１０の監視対象を限定してＨＶ監視部ＨＶ１１０へ引き継ぐことで、アプリ監視部Ａ２１０以外の監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００にてセキュリティ異常が検知された場合に番号１や番号２の監視構成を継続すると、制御仮想ＶＭマシン２１０がＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０のソフトウェアの監視担当であるが、制御仮想マシンＶＭ２００が改ざんされる可能性が高いため、監視の信頼チェーンを維持できない。

　また、図１９の番号５の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合や制御仮想マシンＶＭ２００が改ざんされた場合のリスクが大きい場合に、監視を強化できる監視構成である。ＳＡ監視部ＳＡ１１０とＨＶ監視部ＨＶ１１０の双方からＶＭ監視部ＶＭ２１０のソフトウェアを検証することによって、監視の頻度及び信頼度を高めることができる。ここで、２つの監視結果が異なる場合は、信頼度が高いＳＡ監視部ＳＡ１１０の監視結果を採用することができる。

　また、図１９の番号６の監視構成は、制御仮想マシンＶＭ２００にて異常が検知された場合であっても、ＶＭ監視部ＶＭ２１０を監視担当から完全に外し、他の仮想マシン監視部にアプリ監視部Ａ１１０の監視を引き継ぐことで、監視の信頼チェーン監視を維持可能な監視構成である。もし、制御仮想マシンＶＭ２００にてセキュリティ異常が検知された場合に番号１や番号２の監視構成を継続すると、制御仮想マシンＶＭ２００がＶＭ監視部ＶＭ１１０やＶＭ監視部ＶＭ３１０のソフトウェアの監視担当であるが、制御仮想マシンＶＭ２００が改ざんされる可能性が高いため、監視の信頼チェーンを維持できない。

　また、図２０の番号７の監視構成は、インターネット接続状態など外部仮想マシンＶＭ１００が改ざんされる可能性が高い場合に、監視を強化できる監視構成である。ＨＶ監視部ＨＶ１１０及びＶＭ監視部ＶＭ２１０の双方から、ＶＭ監視部ＶＭ１１０のソフトウェアを検証することによって、監視の頻度、信頼度を高めることができる。ここで、２つの監視結果が異なる場合は、信頼度が高いＨＶ監視部ＨＶ１１０の監視結果を採用することができる。

　このように、複数の監視構成を保持して、システム状態に応じて監視構成を切り替えることによって、ＶＭ異常やセキュリティ異常が発生された場合であっても監視の信頼チェーンの維持が可能であり、システム状態に応じた特定の監視対象の監視の重点化が可能である。

　また、図１７～図２０では閉路のない監視構成のみを記載しているが、ＶＭ監視部ＶＭ２１０がＶＭ監視部ＶＭ３１０のソフトウェアを監視し、ＶＭ監視部ＶＭ３１０がＶＭ監視部ＶＭ１１０のソフトウェアを監視し、ＶＭ監視部ＶＭ１１０がＶＭ監視部ＶＭ２１０のソフトウェアを監視するといった巡回監視の監視構成にしてもよいし、各仮想マシン監視部がその他の仮想マシン監視部のソフトウェアを監視するといった相互監視の監視構成にしてもよい。

　また、監視構成を他の監視構成に切り替える場合、複数の監視構成を事前に定義して切り替えるのではなく、動的に監視構成を算出して変更してもよい。例えば、監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築することで、前記監視構成を変更できる。また、例えば、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築することで、前記監視構成を変更できる。

　［監視変更ルールの一例］
　図２１は、監視変更ルールの一例を示す図である。

　監視変更ルールは、管理部ＳＡ１２０がシステム状態に応じて監視情報の優先度及び監視構成を変更するために利用される。

　図２１において、監視変更ルールは、番号、変更条件、及び、変更処理を含む。番号は、監視変更ルールを識別するために利用される。変更条件は、変更処理を行うシステム状態であるかを判断するために利用される。変更処理は、変更条件が満たされた場合に実行される、監視構成の変更内容について記載される。

　例えば、番号が３である監視変更ルールは、変更条件がインターネット接続確立であり、変更処理がＶＭ監視部ＶＭ１１０及びアプリ監視部Ａ１１０に対する監視優先度を一時的に上げるである。つまり、統合ＥＣＵ２００を不正なネットワークに接続させて、不正なソフトウェアをダウンロードさせる攻撃を想定すると、インターネット接続確立の直後はＶＭ監視部ＶＭ１１０とアプリ監視部Ａ１１０のソフトウェアを改ざんされる可能性が高くなる。そのため、管理部ＳＡ１２０は、ＶＭ監視部ＶＭ１１０及びアプリ監視部Ａ１１０に対する監視優先度を一時的に上げる。これにより、これらの監視部に対する高頻度で高精度な監視が実行され得る。所定時間経過または所定の監視処理が完了した後、一時的に上げた優先度は元の値に戻される。

　また、例えば、番号が１０である監視変更ルールでは、特定の通信において異常が発生した場合、異常通信の送信元を監視する監視部、異常通信の宛先を監視する監視部、異常通信を検知した監視部のそれぞれの優先度を上げることが示される。送信元のソフトウェアに異常が発生している可能性が高く、宛先のソフトウェアへ攻撃が展開される可能性が高く、通信の異常を判定した監視部も無効化される可能性が高いため、管理部ＳＡ１２０は、異常通信の送信元を監視する監視部、異常通信の宛先を監視する監視部、異常通信を検知した監視部のそれぞれの優先度を上げる。これにより、これらの監視部に対する重点的な監視が実行され得る。さらに、管理部ＳＡ１２０は、監視構成を変更することで、複数の監視部から改ざんされる可能性の高いソフトウェアの監視が実行され得る。

　また、例えば、番号が６である監視変更ルールでは、特定のＶＭのＣＰＵ使用率が低い場合に、該当ＶＭの処理負荷が大きい監視構成に変更することが示される。これにより、ＣＰＵ使用率が高い仮想マシンに配置された仮想マシン監視部にて多くの監視処理を実施することは他の主要機能へ影響を与える可能性がある。そこで、ＣＰＵ使用率が低い仮想マシン上で動作する仮想マシン監視部が監視を実行することで、リアルタイム性が重要なシステムへの負担を低減できる。

　このように、管理部ＳＡ１２０は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生と、仮想マシンのシステム状態と、多層監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とに応じて、優先度及び監視構成を変更できる。

　［監視結果表示の一例］
　図２２及び図２３は、監視結果表示の一例を示す図である。

　監視結果表示は、セキュリティ分析官へ監視情報を伝達するために利用される。監視結果表示は、監視サーバー１０が車載システム２０から監視結果を受信することで監視サーバーにより生成される。監視結果表示は、監視結果がグラフィカルユーザーインターフェースにおいて表現された表示である。

　車載システム２０から受信する監視結果は、システム状態の分類セキュリティの項目と同じである。監視結果は、ソフトウェアが正常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、正常判定した時刻とを含む。監視結果は、ソフトウェアが異常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、異常判定した時刻とを含む。監視結果は、通信ログが正常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、正常な通信メッセージと、正常判定した時刻とを含む。監視結果は、通信ログが異常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、正常な通信メッセージと、異常判定した時刻とを含む。また、統合ＥＣＵ２００を識別するために、車両を識別する車両ＩＤとＥＣＵを識別するＥＣＵＩＤとが監視結果に付与されて監視サーバー１０へ送信されてもよい。

　なお、図２２において、太枠のブロックは正常であると判定された監視対象のソフトウェアを示し、細枠のブロックは異常であると判定された監視対象のソフトウェアを示す。

　図２２において、統合ＥＣＵ２００の抽象化されたシステムアーキテクチャが表示されており、異常及び正常の構成要素が強調されて区別できるように表現されており、構成要素の下部に対応する監視結果が表示されている。これにより、セキュリティ分析官は直感的に異常が発生した構成要素を理解することができるため、セキュリティ異常の解析を迅速に実施できる。

　また、図２２において監視構成変更及び監視情報変更のボタンがグラフィカルユーザーインターフェースの下部に配置されている。これによって、セキュリティ分析官が監視構成や監視情報の不備やより適切な監視構成を発見した場合に、迅速に車載システム２０へ適用できる。例えば、セキュリティ分析官により監視構成変更のボタンへの入力を受け付けると、監視サーバー１０は、監視構成の変更を受け付けるグラフィカルユーザーインターフェースを表示してもよい。つまり、監視サーバー１０は、監視対象と、監視対象を監視する監視部と、監視対象の優先度と、優先度に対応した監視方法とのうち少なくとも１つの監視情報の変更を受け付け、統合ＥＣＵ２００に変更を要求してもよい。

　また、図２３において、異常が発生した時刻の前後のタイムラインが表示されており、異常と正常の構成要素が強調されて区別できるように表現されており、多層監視部の連結関係を矢印で表現している。これにより、セキュリティ分析官は直感的に異常が発生した時系列を理解することができるため、セキュリティ異常の解析を迅速に実施できる。図２３では、具体的には、時刻Ｔ１においてＳＡ監視部からＨＶ監視部への監視が実行されたことが示され、時刻Ｔ２においてＶＭ監視部１からアプリ監視部１への監視が実行されたことが示され、時刻Ｔ３においてＨＶ監視部からＶＭ監視部１への監視が実行されたことが示される。

　［アプリ監視部の処理のシーケンス］
　図２４は、実施の形態におけるアプリ監視部の監視処理のシーケンスを示す図である。

　図２４は、アプリ監視部Ａ１１０の監視対象取得部Ａ１１１が外部通信ログとアプリ領域のソフトウェア（ＳＷ）のハッシュ値とを取得してから、監視結果取得部ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。図２４では、外部アプリＡ１００を例に上げて説明するが、制御アプリＡ２００、映像アプリＡ３００の場合は通信ログの種類が異なる以外は同様の処理のシーケンスであるため説明を割愛する。

　（Ｓ２４０１）アプリ監視部Ａ１１０の監視対象取得部Ａ１１１は、外部通信部Ａ１０１から外部通信ログである通信ログを取得し、監視部Ａ１１３へ送信する。

　（Ｓ２４０２）監視部Ａ１１３は、通信ログに異常が含まれているかを判定し、監視結果通知部Ａ１１６へ監視結果を通知する。ここで、監視結果には、ソフトウェアが正常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、判定時刻とが含まれる。また、監視結果には、ソフトウェアが異常であった場合には、監視部を特定する識別子と、監視対象のソフトウェアを特定する識別子と、判定時刻とが含まれる。また、監視結果には、通信が正常であった場合には、監視部を特定する識別子と、通信プロトコルを特定する識別子と、判定時刻とが含まれる。

　（Ｓ２４０３）監視結果通知部Ａ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２４０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　（Ｓ２４０５）監視対象取得部Ａ１１１は、監視情報記憶部Ａ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、アプリ領域記憶部Ａ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部Ａ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部Ａ１１３へ送信する。

　（Ｓ２４０６）監視部Ａ１１３は、各ソフトウェアについて、取得値と期待値とが一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部Ａ１１６へ監視結果を通知する。

　（Ｓ２４０７）監視結果通知部Ａ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２４０８）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［仮想マシン監視部の処理のシーケンス］
　図２５は、実施の形態における仮想マシン監視部の監視処理のシーケンスを示す図である。

　図２５は、ＶＭ監視部ＶＭ２１０の監視対象取得部ＶＭ２１１がシステムコールとハイパーコールとアプリ領域のソフトウェアとＶＭ領域のソフトウェアのハッシュ値とを取得してから、監視結果取得部ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　図２５では、ＶＭ監視部ＶＭ２１０を例に上げて説明するが、ＶＭ監視部ＶＭ１１０及びＶＭ監視部ＶＭ３１０の場合はハイパーコールを取得しない点以外は同様の処理のシーケンスであるため説明を割愛する。

　（Ｓ２５０１）ＶＭ監視部ＶＭ２１０の監視対象取得部ＶＭ２１１は、システムコール制御部ＶＭ２０２とハイパーバイザＨＶ１００のハイパーコール制御部ＨＶ１０２とから、それぞれシステムコール及びハイパーコールである、通信ログを取得し、監視部ＶＭ２１３へ送信する。

　（Ｓ２５０２）監視部ＶＭ２１３は、通信ログに異常が含まれているかを判定し、監視結果通知部ＶＭ２１６へ監視結果を通知する。

　（Ｓ２５０３）監視結果通知部ＶＭ２１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２５０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　（Ｓ２５０５）監視対象取得部ＶＭ２１１は、監視情報記憶部ＶＭ２１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、ＶＭ２０３、ＶＭ３０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＶＭ２１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＶＭ２１３へ送信する。

　（Ｓ２５０６）監視部ＶＭ２１３は、各ソフトウェアについて、取得値と期待値とが一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＶＭ２１６へ監視結果を通知する。

　（Ｓ２５０７）監視結果通知部ＶＭ２１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２５０８）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［ハイパーバイザ監視部の処理のシーケンス］
　図２６は、実施の形態におけるハイパーバイザの監視処理のシーケンスを示す図である。

　図２６は、ＨＶ監視部ＨＶ１１０の監視対象取得部ＨＶ１１１が、ＶＭ領域のソフトウェアとＨＶ領域のソフトウェアのハッシュ値とを取得してから、監視結果取得部ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　（Ｓ２６０１）ＨＶ監視部ＨＶ１１０の監視対象取得部ＨＶ１１１は、監視情報記憶部ＨＶ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、ＶＭ２０３、ＶＭ３０３とＨＶ領域記憶部ＨＶ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＨＶ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＨＶ１１３へ送信する。

　（Ｓ２６０２）監視部ＨＶ１１３は、各ソフトウェアについて、取得値と期待値とが一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＨＶ１１６へ監視結果を通知する。

　（Ｓ２６０３）監視結果通知部ＨＶ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２６０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［セキュアアプリ監視部の処理のシーケンス］
　図２７は、実施の形態におけるセキュアアプリの監視処理のシーケンスを示す図である。

　図２７は、ＳＡ監視部ＳＡ１１０の監視対象取得部ＳＡ１１１が、ＶＭ領域のソフトウェアとＨＶ領域のソフトウェアのハッシュ値とを取得してから、監視結果取得部ＳＡ１２１へ監視結果を通知するまでの処理シーケンスを示している。

　（Ｓ２７０１）ＳＡ監視部ＳＡ１１０の監視対象取得部ＳＡ１１１は、監視情報記憶部ＳＡ１１４に記載された監視対象の優先度に従って、一定の時間が経過する度に、ＶＭ領域記憶部ＶＭ１０３、ＶＭ２０３、ＶＭ３０３とＨＶ領域記憶部ＨＶ１０３に格納されたソフトウェアのハッシュ値を取得し、監視情報記憶部ＳＡ１１４に格納されたソフトウェアのハッシュ値の期待値を取得し、監視部ＳＡ１１３へ送信する。

　（Ｓ２７０２）監視部ＳＡ１１３は、各ソフトウェアについて、取得値と期待値とが一致する場合は正常と判定し、一致しない場合は異常と判定し、監視結果通知部ＳＡ１１６へ監視結果を通知する。

　（Ｓ２７０３）監視結果通知部ＳＡ１１６は、監視結果取得部ＳＡ１２１へ監視結果を通知する。

　（Ｓ２７０４）監視結果取得部ＳＡ１２１は、監視結果を取得する。

　［監視サーバー通知処理のシーケンス］
　図２８は、実施の形態における監視サーバー通知処理のシーケンスを示す図である。

　図２８は、ＳＡ監視部ＳＡ１１０の監視結果取得部ＳＡ１２１が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０から監視結果を取得し、監視サーバー１０の監視結果表示部１２が監視結果を表示するまでの処理シーケンスを示している。

　（Ｓ２８０１）ＳＡ監視部ＳＡ１１０の監視結果取得部ＳＡ１２１が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０から監視結果を取得し、監視サーバー通信部ＳＡ１２６へ送信する。

　（Ｓ２８０２）監視サーバー通信部ＳＡ１２６は、外部通信部Ａ１０１を介して、監視サーバー１０の車載システム通信部１１へ監視結果を通知する。

　（Ｓ２８０３）車載システム通信部１１は、監視結果を受信して、監視結果表示部１２へ送信する。

　（Ｓ２８０４）監視結果表示部１２は、監視結果を表示する。

　［監視情報変更処理のシーケンス］
　図２９は、実施の形態における監視情報変更処理のシーケンスを示す図である。

　図２９は、ＳＡ監視部ＳＡ１１０のシステム状態取得部ＳＡ１２２が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０からセキュリティ状態を取得し、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０の監視情報を更新するまでの処理シーケンスを示している。

　（Ｓ２９０１）ＳＡ監視部ＳＡ１１０のシステム状態取得部ＳＡ１２２が、アプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０からシステム状態としてのセキュリティ状態を取得し、監視情報変更部ＳＡ１２５へ送信する。

　（Ｓ２９０２）監視情報変更部ＳＡ１２５は、監視変更ルール記憶部ＳＡ１２４に格納された監視変更ルールを確認し、システム状態が監視変更ルールの変更条件を満たす場合、変更処理を実施し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５へ変更を要求する。

　（Ｓ２９０３）監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５は監視情報を更新する。

　ここで、監視情報及び監視構成は、監視サーバー１０によっても変更可能である。その場合、監視サーバー通信部ＳＡ１２６は、監視サーバー１０から変更情報を受信し、監視情報変更部ＳＡ１２５へ送信する。そして、監視情報変更部ＳＡ１２５が、監視構成記憶部ＳＡ１２３に含まれる構成情報を更新し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５のへ監視情報の変更を要求することで実現する。

　［監視処理のフローチャート］
　図３０に、実施の形態における監視処理のフローチャートを示す。

　図３０では、アプリ監視部Ａ１１０を例に挙げて説明するが、他のアプリケーション監視部、仮想マシン監視部、ＨＶ監視部ＨＶ１１０、及び、ＳＡ監視部ＳＡ１１０であっても通信ログの種類と、ソフトウェアの種類とが異なる以外は同様である。

　（Ｓ３００１）アプリ監視部Ａ１１０の監視対象取得部Ａ１１１は監視対象である外部通信ログとソフトウェアのハッシュ値を取得し、ステップＳ３００２及びステップＳ３００５を実施する。

　（Ｓ３００２）監視部Ａ１１３は、ステップＳ３００１にて取得した外部通信ログに異常が含まれるか否かを判定し、異常が含まれる場合（Ｓ３００２でＹｅｓ）にステップＳ３００３を実施し、異常が含まれない場合（Ｓ３００２でＮｏ）にステップＳ３００４を実施する。

　（Ｓ３００３）監視部Ａ１１３は、監視対象の通信が異常であるとしてシステム状態を更新し、ステップＳ３００５を実施する。

　（Ｓ３００４）監視部Ａ１１３は、監視対象の通信が正常であるとしてシステム状態を更新し、ステップＳ３００５を実施する。

　（Ｓ３００５）監視結果通知部Ａ１１６は、監視結果とシステム状態を監視結果取得部ＳＡ１２１へ通知し、終了する。

　（Ｓ３００６）監視部Ａ１１３は、ソフトウェアに異常が含まれるか否かを判定し、異常が含まれる場合（Ｓ３００６でＹｅｓ）、ステップＳ３００７を実施し、異常が含まれない場合（Ｓ３００６でＮｏ）、ステップＳ３００８を実施する。

　（Ｓ３００７）監視部Ａ１１３は、監視対象のソフトウェアが異常であるとしてシステム状態を更新し、ステップＳ３００５を実施する。

　（Ｓ３００８）監視部Ａ１１３は、監視対象のソフトウェアが正常であるとしてシステム状態を更新し、ステップＳ３００５を実施する。

　［監視変更処理のフローチャート］
　図３１に、実施の形態における監視変更処理のフローチャートを示す。

　（Ｓ３１０１）管理部ＳＡ１２０のシステム状態取得部ＳＡ１２２はシステム状態を取得し、ステップＳ３１０２を実施する。

　（Ｓ３１０２）監視情報変更部ＳＡ１２５は、監視変更ルール記憶部ＳＡ１２４に格納される監視変更ルールを確認し、ステップＳ３１０１にて取得したシステム状態が、監視変更ルールの変更条件を満たすか否かを判定し、変更条件を満たす場合（Ｓ３１０２でＹｅｓ）にステップＳ３１０３を実施し、変更条件を満たさない場合（Ｓ３１０２でＮｏ）に終了する。

　（Ｓ３１０３）監視情報変更部ＳＡ１２５は、ステップＳ３１０２にて条件が満たされた変更条件が監視変更ルールにおいて対応する変更処理を実施し、監視情報更新部Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５のへ監視情報の変更を要求し、終了する。

　［効果など］
　本実施の形態に係る監視装置としての統合ＥＣＵ２００は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部を備える。３以上の監視部は、第一の実行権限にて動作する第一の監視部と、第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、第二の実行権限と信頼性が同じ、または、第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含む。統合ＥＣＵ２００は、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の監視部は、第二の監視部のソフトウェアを監視し、第一の監視部及び第二の監視部の少なくとも１つは、第三の監視部のソフトウェアを監視する。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部は、４以上の監視部を備える。４以上の監視部は、第一の監視部と、第二の監視部と、第三の監視部と、第三の実行権限と信頼性が同じ、または、第三の実行権限よりも信頼性が低い第四の実行権限にて動作する第四の監視部とを含む。統合ＥＣＵ２００は、信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の監視部、第二の監視部、及び、第三の監視部の少なくとも１つは、第四の監視部のソフトウェアを監視する。

　また、本実施の形態に係る統合ＥＣＵ２００において、統合ＥＣＵ２００は、セキュアアプリ、仮想ソフトウェア基盤、及び、１以上の仮想マシン上にて動作する。第一の実行権限は、セキュアアプリの実行権限、仮想ソフトウェア基盤の実行権限、及び、仮想マシンのカーネル実行権限のうちの１つである。第二の実行権限は、仮想ソフトウェア基盤の実行権限、仮想マシンのカーネル実行権限、及び、仮想マシンのユーザ権限のうちの１つである。第三の実行権限は、仮想マシンのカーネル実行権限、及び、仮想マシンのユーザ権限のうちの１つである。セキュアアプリの実行権限は、仮想ソフトウェア基盤の実行権限よりも信頼性が高い。仮想ソフトウェア基盤の実行権限は、仮想マシンのカーネル実行権限よりも信頼性が高い。仮想マシンのカーネル実行権限は、仮想マシンのユーザ権限よりも信頼性が高い。

　また、本実施の形態に係る統合ＥＣＵ２００において、監視装置は、仮想ソフトウェア基盤及び２以上の仮想マシン上にて動作する。仮想マシンに割り当てられた実行権限にて動作する監視部が２以上存在する場合、（ｉ）仮想マシンに割り当てられた実行権限にて動作する２以上の監視部のうちの第一の仮想マシンの監視部は、２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、（ｉｉ）２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて第一の仮想マシン及び第二の仮想マシンのいずれかに分類される。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部のそれぞれは、所定の時間経過、所定の外部ネットワーク接続時間経過、システム起動、システム再起動、外部ネットワーク接続確立、及び、外部デバイス接続、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、監視対象の監視を開始する。

　また、本実施の形態に係る統合ＥＣＵ２００において、監視装置は、車載システム上において動作する。３以上の監視部のそれぞれは、所定の走行時間経過、所定の停止時間経過、所定の走行距離経過、走行モードの切り替え、給油または給電の終了、車両診断の実施、及び、緊急アラートの発呼、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、監視対象の監視を開始する。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部のそれぞれは、他の監視部の監視処理の実行回数、監視処理において異常と判定された回数、及び、監視処理において正常と判定された回数、のうち少なくとも１つの回数に到達したタイミングに応じて、監視対象の監視を開始する。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部のそれぞれは、監視対象がソフトウェアである場合、メモリまたはストレージに記憶されている監視対象であるソフトウェアのハッシュ値、マスク値、及び、複製値のうち少なくとも１つの情報を取得値として取得し、事前に定義された正解値である期待値と取得値とを比較し、期待値と取得値とが一致する場合にソフトウェアが正常であると判定し、期待値と取得値とが一致しない場合にソフトウェアが異常であると判定する。

　また、本実施の形態に係る統合ＥＣＵ２００において、ソフトウェアは、仮想ソフトウェア基盤のプログラム及び設定ファイルの組み合わせと、仮想マシンのカーネルプログラム及び設定ファイルの組み合わせと、仮想マシン上のユーザアプリのプログラム及び設定ファイルの組み合わせと、３以上の監視部のそれぞれのプログラム及び設定ファイルの組み合わせとのうち少なくとも１つの組み合わせを含む。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部のそれぞれは、監視対象が通信ログである場合、通信ログを取得し、許可リストと、拒否リストと、正常時の統計情報とのうち少なくとも１つを用いて通信ログを検証し、（ｉ）許可リストに含まれる場合に通信ログが正常であると判定し、許可リストに含まれない場合に通信ログが異常であると判定する第一判定、（ｉｉ）拒否リストに含まれない場合に通信ログが正常であると判定し、拒否リストに含まれる場合に通信ログが異常であると判定する第二判定、及び、（ｉｉｉ）正常時の統計情報から逸脱していない場合に通信ログが正常であると判定し、正常時の統計情報から逸脱している場合に通信ログが異常であると判定する第三判定、のいずれか１つの判定を行う。

　また、本実施の形態に係る統合ＥＣＵ２００において、通信ログは、イーサネットと、ＣＡＮプロトコルと、ＦｌｅｘＲａｙプロトコルと、ＳＯＭＥ／ＩＰプロトコルと、ＳＯＭＥ／ＩＰ－ＳＤプロトコルと、システムコールと、ハイパーコールとのうち少なくとも一つを含んでもよい。

　また、本実施の形態に係る統合ＥＣＵ２００において、３以上の監視部のそれぞれは、監視対象ごとに設定された優先度に応じて、監視対象の監視頻度と、監視対象の検証方法と、監視対象の選択方法のうち少なくとも１つを変更する。

　また、本実施の形態に係る統合ＥＣＵ２００において、優先度は、監視対象の実行権限と、３以上の監視部のうちの１つの監視部または監視が動作する仮想マシンが外部ネットワーク接続機能を有するか否かと、１つの監視部または監視が動作する仮想マシンが車両制御機能を有するか否かとのうち少なくとも１つに応じて設定される。

　また、本実施の形態に係る統合ＥＣＵ２００において、統合ＥＣＵ２００は、さらに、監視装置が動作するシステムの状態またはイベントに応じて、監視情報に含まれる優先度と、監視対象に含まれる監視担当及び監視対象の組み合わせである監視構成とのうち少なくとも１つを変更する管理部を含む。

　また、本実施の形態に係る統合ＥＣＵ２００において、管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、監視マシンのシステム状態と、監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、優先度を変更する。

　また、本実施の形態に係る統合ＥＣＵ２００において、統合ＥＣＵ２００は、車載システム上において動作する。管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンで動作する監視対象の優先度を変更する。車両の走行状態は、停止中、手動運転中、高度運転支援中、及び、自動運転中のうちいずれかである。

　また、本実施の形態に係る統合ＥＣＵ２００において、管理部は、監視構成の変更後であっても、信頼度の低い監視部のソフトウェアを信頼度の低い監視部よりも信頼度の高い監視部が監視する監視の信頼チェーンを構築できるように、監視構成を変更する。

　また、本実施の形態に係る統合ＥＣＵ２００において、管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、仮想マシンのシステム状態と、監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、監視構成を変更する。

　また、本実施の形態に係る統合ＥＣＵ２００において、統合ＥＣＵ２００は、車載システム上において動作する。管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンに関係する監視構成を変更する。車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである。

　また、本実施の形態に係る統合ＥＣＵ２００において、管理部は、（ｉ）予め定義された２以上の監視構成から一つを選択する手段と、（ｉｉ）２以上の監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築する手段と、（ｉｉｉ）２以上の監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築する手段と、のうち少なくとも１つの手段で監視構成を変更する。

　これにより、複数の監視構成のパターンから、現在のシステム状況及びイベントに応じて適切な監視構成に変更できる効果がある。また、監視構成を有向グラフのデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。また、管理部は、監視部をノードとし、監視担当を親ノードとし、監視対象を子ノードとするツリー構造として監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築することで、監視構成を変更する、監視装置である。また、監視構成をツリー構造のデータ構造で保持することで、一部の監視部が無効化または一部の監視部において異常が判定されたなどの場合に、少なくとも１つの監視部が監視対象を監視できるよう監視構成を再計算可能にする効果がある。

　また、本実施の形態に係る統合ＥＣＵ２００において、統合ＥＣＵ２００は、さらに、監視サーバーへ監視結果を通知する監視サーバー通信部を備える。

　また、本実施の形態に係る監視システムは、監視装置と監視サーバーとで構成される監視システムであって、監視装置は、それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部と、監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として監視サーバーへ送信する監視サーバー通信部と、を備える。３以上の監視部は、第一の実行権限にて動作する第一の監視部と、第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、第二の実行権限と信頼性が同じ、または、第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含む。信頼度の低い監視部のソフトウェアを少なくとも１つの信頼度の高い監視部から監視する監視の信頼チェーンを構築できるように、第一の監視部は、第二の監視部のソフトウェアを監視し、第一の監視部及び第二の監視部の少なくとも１つは、第三の監視部のソフトウェアを監視する。監視サーバーは、監視結果を受信し、グラフィカルユーザーインターフェース上に監視結果を表示する監視結果表示部を備える。

　また、本実施の形態に係る監視システムにおいて、監視結果表示部は、システムアーキテクチャに関連付けて監視結果を表示し、異常を検知した監視部または異常が検知された監視対象を強調する手段と、所定のタイムラインに関連付けて監視結果を表示し、正常判定時刻または異常判定時刻を強調する手段とのうち少なくとも１つの手段でグラフィカルユーザーインターフェース上に監視結果を表示する。

　また、本実施の形態に係る監視システムにおいて、監視サーバーは、さらに、監視対象と、監視対象を監視する監視部と、監視対象の優先度と、優先度に対応した監視方法とのうち少なくとも１つの監視情報の変更を受け付け、監視装置に変更を要求する監視情報変更部を備える。監視装置は、さらに、監視情報変更部の要求に応じて監視情報を更新する監視情報更新部を備える。

　［統合ＥＣＵの構成図の詳細の変形例１］
　図３２は、実施の形態における統合ＥＣＵの構成図の詳細の変形例１を示す図である。図４では、仮想ソフトウェア基盤としてタイプ１のハイパーバイザＨＶ１００の利用を想定して記載しているが、タイプ２のハイパーバイザＨＶ２００を用いてもよい。この場合、ホストオペレーティングシステムＨＯＳ１００がハイパーバイザＨＶ２００を起動し、ハイパーバイザＨＶ２００が仮想マシンを起動する。

　ハイパーバイザＨＶ２００は、ＨＶ領域のソフトウェアとＶＭ領域のソフトウェアとを監視するＨＶ監視部ＨＶ２１０を備える。ホストオペレーティングシステムＨＯＳ１００は、ホストＯＳ領域のソフトウェアとＨＶ領域のソフトウェアとＶＭ領域のソフトウェアとシステムコールとを監視するホストＯＳ監視部ＨＯＳ１１０を備える。

　各プログラムの実行権限について説明する。図４と同様に、セキュアオペレーティングシステムに、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーションに次に強いセキュアな実行権限（ＰＬ３）を割り当てる。図４とは異なり、ホストオペレーティングシステムＨＯＳ１００に強い実行権限（ＰＬ１）を割り当て、ハイパーバイザＨＶ２００と、仮想マシンにホストオペレーティングシステムＨＯＳ１００と同じ実行権限（ＰＬ１）を割り当てる。そして、図４と同様に、仮想マシン上のアプリケーション（ＰＬ０）に最も弱い実行権限を割り当てる。なお、実行権限は、強い順にＰＬ４、ＰＬ３、ＰＬ２、ＰＬ１、ＰＬ０である。

　この場合、外部ネットワークと接続される外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が最も低く、次に実行権限が弱い制御アプリＡ２００及び映像アプリＡ３００の信頼度が低く、次に実行権限が弱い外部仮想マシンＶＭ１００、制御仮想マシンＶＭ２００、映像仮想マシンＶＭ３００、ハイパーバイザＨＶ２００、及び、ホストオペレーティングシステムＨＯＳ１００の信頼度が低く、セキュアアプリＳＡ１００及びセキュアオペレーティングシステムＳＯＳ１００の信頼度が最も高いと想定できる。また、ホストオペレーティングシステムＨＯＳ１００は外部仮想マシンへ外部ネットワークインタフェースをブリッジなどの手段で提供する場合、ホストオペレーティングシステムＨＯＳ１００は外部ネットワークと接続される可能性があり、ホストオペレーティングシステムＨＯＳ１００から仮想マシンへ提供するストレージへアクセスできる可能性もあることから、図４におけるハイパーバイザＨＶ２００とは異なり、ホストオペレーティングシステムＨＯＳ１００のソフトウェアの信頼度は低い。そのため、セキュアアプリは、ホストオペレーティングシステムＨＯＳ１００だけでなく、ハイパーバイザＨＶ２００及び仮想マシンのソフトウェアを監視することが望ましい。

　アプリケーション、仮想マシン、ハイパーバイザＨＶ２００、ホストオペレーティングシステムＨＯＳ１００、及び、セキュアアプリＳＡ１００のそれぞれにセキュリティ対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がホストＯＳ監視部ＨＯＳ１１０のソフトウェアと、ＨＶ監視部ＨＶ２１０のソフトウェアと、仮想マシンのソフトウェアとを監視し、仮想マシン監視部がアプリケーション監視部を監視してもよい。

　このように、それぞれの監視部を、より強い実行権限で動作する少なくとも１つの多層監視部から監視することで、監視の信頼チェーンを構築できる。これによって、ホストオペレーティングシステムＨＯＳ１００やハイパーバイザＨＶ２００が乗っ取られた場合であっても、ＳＡ監視部ＳＡ１１０から異常を検知できる。

　なお、ハイパーバイザＨＶ２００にホストオペレーティングシステムＨＯＳ１００より強い実行権限（ＰＬ２）を割り当ててもよい。この場合、実行権限と信頼度と監視の信頼チェーンについては図４の説明と同様になる。

　［統合ＥＣＵの構成図の詳細の変形例２］
　図３３は、実施の形態における統合ＥＣＵの構成図の詳細の変形例２を示す図である。図４では、ハイパーバイザＨＶ１００が３種類の仮想マシンを実行及び監視を実施する記載しているが、ハイパーバイザＨＶ１００がホストするコンテナ仮想マシンＶＭ４００がコンテナ仮想化基盤であるコンテナエンジンＣＥ１００を用いて、アプリケーション層を仮想化して、コンテナアプリＣＡ１００とコンテナアプリＣＡ２００とを動作させてもよい。

　コンテナ仮想マシンＶＭ４００は、コンテナエンジンＣＥ１００のソフトウェアと、コンテナアプリＣＡ１００のソフトウェア及び設定と、コンテナアプリＣＡ２００のソフトウェア及び設定とを含むＶＭ領域のソフトウェアを監視するＶＭ監視部ＶＭ４１０を備える。コンテナアプリＣＡ２００は、アプリ領域のソフトウェアと、コンテナアプリＣＡ１００と、コンテナ間通信とを監視するコンテナアプリ監視部ＣＡ２１０を備える。

　各プログラムの実行権限について説明する。図４と同様に、セキュアオペレーティングシステムに、最も強いセキュアな実行権限（ＰＬ４）を割り当て、オペレーティングシステム上のアプリケーションに次に強いセキュアな実行権限（ＰＬ３）を割り当て、ハイパーバイザＨＶ１００に次に強い実行権限（ＰＬ２）を割り当て、仮想マシンに次に強い実行権限（ＰＬ１）を割り当てる。コンテナエンジンＣＥ１００と、コンテナアプリＣＡ１００と、コンテナアプリＣＡ２００には最も弱い実行権限を割り当てる。なお、実行権限は、強い順にＰＬ４、ＰＬ３、ＰＬ２、ＰＬ１、ＰＬ０である。

　ここで、同じ実行権限で動作する複数のコンテナは信頼度が異なってもよい。例えば、コンテナアプリＣＡ１００がＷｉ－ＦｉやＢｌｕｅｔｏｏｔｈなどの近接ネットワークと通信する機能を有し、コンテナアプリＣＡ２００が車両の制御機能を有する場合、ソフトウェアが改ざんされる可能性を考慮すると、コンテナアプリＣＡ１００よりコンテナアプリＣＡ２００の信頼度が高いと考えられる。この場合、コンテナアプリ監視部ＣＡ２１０がコンテナアプリＣＡ１００のソフトウェアを監視することで、監視の信頼チェーンを同一の実行権限で動作するコンテナ間であっても構築できる。

　この場合、外部ネットワークと接続される外部アプリＡ１００が改ざんされる可能性が最も高いため信頼度が最も低く、次に実行権限が弱いが近接ネットワークを介した通信を直接行うコンテナアプリＣＡ２００の信頼度が低く、次に実行権限は同じであるがネットワークを介した通信を直接行わないコンテナアプリＣＡ１００と、コンテナエンジンＣＥ１００の信頼度が低く、次に実行権限が弱い外部仮想マシンＶＭ１００、及び、コンテナ仮想マシンＶＭ４００の信頼度が低く、次に実行権限が弱いハイパーバイザＨＶ１００の信頼度が低く、セキュアアプリＳＡ１００、及び、セキュアオペレーティングシステムＳＯＳ１００の信頼度が最も高いと想定できる。

　アプリケーション、仮想マシン、ハイパーバイザＨＶ１００、コンテナ仮想マシンＶＭ４００、コンテナアプリＣＡ１００、及び、コンテナアプリＣＡ２００のそれぞれに対策機構を導入することが望ましいが、セキュリティ対策機構自体が改ざんされるリスクが課題となる。そこで、例えば、ＳＡ監視部ＳＡ１１０がＨＶ監視部ＨＶ１１０のソフトウェア及び仮想マシンのソフトウェアを監視し、ＶＭ監視部ＶＭ４１０がコンテナエンジンＣＥ１００、コンテナアプリＣＡ１００、コンテナアプリＣＡ２００、及び、コンテナアプリ監視部ＣＡ２１０を監視し、コンテナアプリ監視部ＣＡ２１０がアプリ監視のソフトウェアと、コンテナアプリＣＡ１００と、コンテナ間通信とを監視することで、それぞれの監視部を、より強い実行権限またはより高い信頼度で動作する少なくとも１つの多層監視部から監視できるため、監視の信頼チェーンを構築できる。

　なお、ハイパーバイザＨＶ１００を用いることは必須でなく、ホストとなるオペレーティングシステムが、アプリケーションをコンテナエンジンＣＥ１００によって仮想化して、コンテナアプリＣＡ１００とコンテナアプリＣＡ２００を動作させてもよい。この場合、実行権限と信頼度と監視の信頼チェーンについては、ハイパーバイザＨＶ１００を削除し、コンテナ仮想マシンＶＭ４００にホストとなるオペレーティングシステムに置き換えることで、図３３の説明と同様に説明できる。

　以上の変形例１及び変形例２のように、監視装置は、セキュアアプリ、ホストオペレーティングシステム、１以上の仮想ソフトウェア基盤、及び、１以上の仮想マシン上、または、１以上のコンテナ仮想化基盤及び２以上のコンテナ上にて動作する。第一の実行権限と、第二の実行権限と、第三の実行権限と、第四の実行権限とは、セキュアアプリの実行権限と、ホストオペレーティングシステムの実行権限と、仮想ソフトウェア基盤の実行権限と、仮想マシンのカーネル実行権限と、仮想マシンのユーザ実行権限と、コンテナの実行権限とのうちの１つである。同一の実行権限にて動作する仮想マシンの監視部が２以上存在する場合、同一の実行権限にて動作する２以上の仮想マシンの２以上の監視部のうちの第一の仮想マシンの監視部は、２以上の仮想マシンの２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて第一の仮想マシン及び第二の仮想マシンのいずれかに分類される。また、同一の実行権限にて動作するコンテナの監視部が２以上存在する場合、同一の実行権限にて動作する２以上のコンテナの２以上の監視部のうちの第一のコンテナの監視部は、２以上のコンテナの２以上の監視部のうちの第二のコンテナの監視部のソフトウェアを監視対象に含み、２以上のコンテナは、攻撃者によって改ざんされる可能性に応じて第一のコンテナ及び第二のコンテナのいずれかに分類される。

　（他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施態様に含まれる。

　（１）上記の実施の形態では、自動車に搭載される車載システムにおけるセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。すなわち、モビリティシステムにおけるセキュリティ対策として適用可能である。また、工場やビルなどの産業制御システムに適用してもよい。

　（２）上記の実施の形態では、通信ログとしてセキュアアプリの通信に利用されるセキュアモニタコールを用いていないが、セキュアモニタコールは、ＶＭ監視部ＶＭ２１０、ＨＶ監視部ＨＶ１１０またはＳＡ監視部ＳＡ１１０による監視対象とされてもよい。これにより、セキュアアプリ及びセキュアＯＳが記憶する秘密情報への攻撃試行を補足できる効果がある。

　（３）上記の実施の形態では、セキュアオペレーティングシステムＳＯＳ１００に監視部を実装しない構成のみを記載しているが、監視部を実装してもよい。この場合、セキュアオペレーティングシステムＳＯＳ１００では、脆弱性を含まない実装が求められるため、セキュアアプリのソフトウェアを検証するだけの単純なアルゴリズムの実装が望ましい。

　（４）上記の実施の形態では、ハイパーバイザＨＶ１００は、実行及び管理の対象となる仮想マシンの種類は３種類であるとしたが、３種類でなくともよく、３種類未満の仮想マシンであっても、４種類以上の仮想マシンであってもよい。

　（５）上記の実施の形態では、割り当てる実行権限を４種類の実行権限としたが、４種類の実行権限でなくともよく、４種類未満の実行権限であっても、５種類以上の実行権限であってもよい。

　（６）上記の実施の形態では、外部ネットワークへの接続または、車両の制御の機能の有無に応じて、仮想マシンの信頼度が異なると説明しているが、ユーザログイン機能の有無または、第三者アプリのダウンロード機能の有無に応じて仮想マシンの信頼度が異なってもよい。この場合、ユーザログイン機能を有する場合は、不正ログインされる可能性があるため信頼度は低く、第三者アプリのダウンロード機能を有する場合は、不正ソフトウェアをダウンロードされる可能性があるため信頼度は低いと想定できる。

　（７）上記の実施の形態では、すべての仮想マシンとすべてのアプリケーションとハイパーバイザＨＶ１００とセキュアアプリＳＡ１００に監視部を配置するとして記載しているが、これらの配置は必須でなく、実行権限または仮想マシンの信頼度が異なる２以上の監視部が配置されていればよい。

　（８）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（９）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（１０）本開示の一態様としては、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ―ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１１）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示の監視装置によれば、車載システムに攻撃者が侵入し、信頼度が低い領域に実装された監視プログラムが改ざんされて無効化された場合であっても、車載システムに発生した異常を検知できる。これにより、安全な自動運転や先進運転支援システムを提供することを目的とする。

　１０　監視サーバー
　１１　車載システム通信部
　１２　監視結果表示部
　１３　監視構成変更部
　１４　監視変更ルール変更部
　１５　監視情報変更部
　２０　車載システム
　３０　外部ネットワーク
　４０、４１　ＣＡＮ
　５０、５１　イーサネット
　２００　統合ＥＣＵ
　３００　ゲートウェイＥＣＵ
　４００ａ　ステアリングＥＣＵ
　４００ｂ　ブレーキＥＣＵ
　５００　ＺｏｎｅＥＣＵ
　６００ａ　フロントカメラＥＣＵ
　６００ｂ　リアカメラＥＣＵ
　Ａ１００　外部アプリ
　Ａ１０１　外部通信部
　Ａ１０２　外部アプリ実行部
　Ａ１０３、Ａ２０３、Ａ３０３　アプリ領域記憶部
　Ａ１１０、Ａ２１０、Ａ３１０　アプリ監視部
　Ａ１１１、Ａ２１１、Ａ３１１、ＶＭ１１１、ＶＭ２１１、ＶＭ３１１、ＨＶ１１１、ＳＡ１１１　監視対象取得部
　Ａ１１２、Ａ２１２、Ａ３１２、ＶＭ１１２、ＶＭ２１２、ＶＭ３１２、ＨＶ１１２、ＳＡ１１２　システム状態取得部
　Ａ１１３、Ａ２１３、Ａ３１３、ＶＭ１１３、ＶＭ２１３、ＶＭ３１３、ＨＶ１１３、ＳＡ１１３　監視部
　Ａ１１４、Ａ２１４、Ａ３１４、ＶＭ１１４、ＶＭ２１４、ＶＭ３１４、ＨＶ１１４、ＳＡ１１４　監視情報記憶部
　Ａ１１５、Ａ２１５、Ａ３１５、ＶＭ１１５、ＶＭ２１５、ＶＭ３１５、ＨＶ１１５、ＳＡ１１５　監視情報更新部
　Ａ１１６、Ａ２１６、Ａ３１６、ＶＭ１１６、ＶＭ２１６、ＶＭ３１６、ＨＶ１１６、ＳＡ１１６　監視結果通知部
　Ａ２００　制御アプリ
　Ａ２０１　ＣＡＮ通信部
　Ａ２０２　制御アプリ実行部
　Ａ３００　映像アプリ
　Ａ３０１　イーサネット通信部
　Ａ３０２　映像アプリ実行部
　ＣＡ１００、ＣＡ２００　コンテナアプリ
　ＣＡ２１０　コンテナアプリ監視部
　ＣＥ１００　コンテナエンジン
　ＨＶ１００、ＨＶ２００　ハイパーバイザ
　ＨＶ１０１　仮想マシン通信部
　ＨＶ１０２　ハイパーコール制御部
　ＨＶ１０３　ＨＶ領域記憶部
　ＨＶ１１０、ＨＶ２１０　ＨＶ監視部
　ＨＯＳ１００　ホストオペレーティングシステム
　ＨＯＳ１１０　ホストＯＳ監視部
　ＳＡ１００　セキュアアプリ
　ＳＡ１１０　ＳＡ監視部
　ＳＡ１２０　管理部
　ＳＡ１２１　監視結果取得部
　ＳＡ１２２　システム状態取得部
　ＳＡ１２３　監視構成記憶部
　ＳＡ１２４　監視変更ルール記憶部
　ＳＡ１２５　監視情報変更部
　ＳＡ１２６　監視サーバー通信部
　ＳＯＳ１００　セキュアオペレーティングシステム
　ＶＭ１００　外部仮想マシン
　ＶＭ１０１、ＶＭ２０１、ＶＭ３０１　アプリ通信部
　ＶＭ１０２、ＶＭ２０２、ＶＭ３０２　システムコール制御部
　ＶＭ１０３、ＶＭ２０３、ＶＭ３０３　ＶＭ領域記憶部
　ＶＭ１０４、ＶＭ２０４、ＶＭ３０４　ハイパーコール呼出部
　ＶＭ１１０、ＶＭ２１０、ＶＭ３１０、ＶＭ４１０　ＶＭ監視部
　ＶＭ２００　制御仮想マシン
　ＶＭ３００　映像仮想マシン
　ＶＭ４００　コンテナ仮想マシン

Claims

　それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部を備え、
　前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、
　前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、
　前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視する
　監視装置。
　前記３以上の監視部は、４以上の監視部を備え、
　前記４以上の監視部は、前記第一の監視部と、前記第二の監視部と、前記第三の監視部と、前記第三の実行権限と信頼性が同じ、または、前記第三の実行権限よりも信頼性が低い第四の実行権限にて動作する第四の監視部とを含み、
　前記第一の監視部、前記第二の監視部、及び、前記第三の監視部の少なくとも１つは、前記第四の監視部のソフトウェアを監視する
　請求項１に記載の監視装置。
　前記監視装置は、セキュアアプリ、仮想ソフトウェア基盤、及び、１以上の仮想マシン上にて動作し、
　前記第一の実行権限は、セキュアアプリの実行権限、仮想ソフトウェア基盤の実行権限、及び、仮想マシンのカーネル実行権限のうちの１つであり、
　前記第二の実行権限は、前記仮想ソフトウェア基盤の実行権限、前記仮想マシンのカーネル実行権限、及び、前記仮想マシンのユーザ権限のうちの１つであり、
　前記第三の実行権限は、前記仮想マシンのカーネル実行権限、及び、前記仮想マシンのユーザ権限のうちの１つであり、
　前記セキュアアプリの実行権限は、前記仮想ソフトウェア基盤の実行権限よりも信頼性が高く、
　前記仮想ソフトウェア基盤の実行権限は、前記仮想マシンのカーネル実行権限よりも信頼性が高く、
　前記仮想マシンのカーネル実行権限は、前記仮想マシンのユーザ権限よりも信頼性が高い
　請求項１に記載の監視装置。
　前記監視装置は、仮想ソフトウェア基盤及び２以上の仮想マシン上にて動作し、
　前記仮想マシンに割り当てられた実行権限にて動作する監視部が２以上存在する場合、
　　前記仮想マシンに割り当てられた実行権限にて動作する２以上の監視部のうちの第一の仮想マシンの監視部は、前記２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、
　　前記２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて前記第一の仮想マシン及び前記第二の仮想マシンのいずれかに分類される
　請求項１から３のいずれか１項に記載の監視装置。
　前記監視装置は、セキュアアプリ、ホストオペレーティングシステム、１以上の仮想ソフトウェア基盤、及び、１以上の仮想マシン上、または、１以上のコンテナ仮想化基盤及び２以上のコンテナ上にて動作し、
　前記第一の実行権限と、前記第二の実行権限と、前記第三の実行権限と、前記第四の実行権限とは、セキュアアプリの実行権限と、ホストオペレーティングシステムの実行権限と、仮想ソフトウェア基盤の実行権限と、仮想マシンのカーネル実行権限と、仮想マシンのユーザ実行権限と、コンテナの実行権限とのうちの１つであり、
　同一の実行権限にて動作する仮想マシンの監視部が２以上存在する場合、
　　前記同一の実行権限にて動作する２以上の仮想マシンの２以上の監視部のうちの第一の仮想マシンの監視部は、前記２以上の仮想マシンの前記２以上の監視部のうちの第二の仮想マシンの監視部のソフトウェアを監視対象に含み、
　　前記２以上の仮想マシンは、攻撃者によって改ざんされる可能性に応じて前記第一の仮想マシン及び前記第二の仮想マシンのいずれかに分類され、
　同一の実行権限にて動作するコンテナの監視部が２以上存在する場合、
　　前記同一の実行権限にて動作する２以上のコンテナの２以上の監視部のうちの第一のコンテナの監視部は、前記２以上のコンテナの前記２以上の監視部のうちの第二のコンテナの監視部のソフトウェアを監視対象に含み、
　　前記２以上のコンテナは、攻撃者によって改ざんされる可能性に応じて前記第一のコンテナ及び前記第二のコンテナのいずれかに分類される
　請求項２に記載の監視装置。
　前記３以上の監視部のそれぞれは、所定の時間経過、所定の外部ネットワーク接続時間経過、システム起動、システム再起動、外部ネットワーク接続確立、及び、外部デバイス接続、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、前記監視対象の監視を開始する
　請求項１から５のいずれか１項に記載の監視装置。
　前記監視装置は、車載システム上において動作し、
　前記３以上の監視部のそれぞれは、所定の走行時間経過、所定の停止時間経過、所定の走行距離経過、走行モードの切り替え、給油または給電の終了、車両診断の実施、及び、緊急アラートの発呼、のうち少なくとも１つを含むイベントが発生したタイミングに応じて、前記監視対象の監視を開始する
　請求項１から５のいずれか１項に記載の監視装置。
　前記３以上の監視部のそれぞれは、他の監視部の監視処理の実行回数、監視処理において異常と判定された回数、及び、監視処理において正常と判定された回数、のうち少なくとも１つの回数に到達したタイミングに応じて、前記監視対象の監視を開始する
　請求項１から５のいずれか１項に記載の監視装置。
　前記３以上の監視部のそれぞれは、前記監視対象がソフトウェアである場合、メモリまたはストレージに記憶されている前記監視対象であるソフトウェアのハッシュ値、マスク値、及び、複製値のうち少なくとも１つの情報を取得値として取得し、事前に定義された正解値である期待値と前記取得値とを比較し、前記期待値と前記取得値とが一致する場合に前記ソフトウェアが正常であると判定し、前記期待値と前記取得値とが一致しない場合に前記ソフトウェアが異常であると判定する
　請求項１から８のいずれか１項に記載の監視装置。
　前記ソフトウェアは、仮想ソフトウェア基盤のプログラム及び設定ファイルの組み合わせと、仮想マシンのカーネルプログラム及び設定ファイルの組み合わせと、仮想マシン上のユーザアプリのプログラム及び設定ファイルの組み合わせと、前記３以上の監視部のそれぞれのプログラム及び設定ファイルの組み合わせとのうち少なくとも１つの組み合わせを含む
　請求項９に記載の監視装置。
　前記３以上の監視部のそれぞれは、前記監視対象が通信ログである場合、
　通信ログを取得し、
　許可リストと、拒否リストと、正常時の統計情報とのうち少なくとも１つを用いて前記通信ログを検証し、
　（ｉ）前記許可リストに含まれる場合に前記通信ログが正常であると判定し、前記許可リストに含まれない場合に前記通信ログが異常であると判定する第一判定、（ｉｉ）前記拒否リストに含まれない場合に前記通信ログが正常であると判定し、前記拒否リストに含まれる場合に前記通信ログが異常であると判定する第二判定、及び、（ｉｉｉ）前記正常時の統計情報から逸脱していない場合に前記通信ログが正常であると判定し、前記正常時の統計情報から逸脱している場合に前記通信ログが異常であると判定する第三判定、のいずれか１つの判定を行う
　請求項１から１０のいずれか１項に記載の監視装置。
　前記通信ログは、イーサネットと、ＣＡＮプロトコルと、ＦｌｅｘＲａｙプロトコルと、ＳＯＭＥ／ＩＰプロトコルと、ＳＯＭＥ／ＩＰ－ＳＤプロトコルと、システムコールと、ハイパーコールとのうち少なくとも一つを含む
　請求項１１に記載の監視装置。
　前記３以上の監視部のそれぞれは、前記監視対象ごとに設定された優先度に応じて、前記監視対象の監視頻度と、前記監視対象の検証方法と、前記監視対象の選択方法のうち少なくとも１つを変更する
　請求項１から１２のいずれか１項に記載の監視装置。
　前記優先度は、前記監視対象の実行権限と、前記３以上の監視部のうちの１つの監視部または前記監視が動作する仮想マシンが外部ネットワーク接続機能を有するか否かと、前記１つの監視部または前記監視が動作する仮想マシンが車両制御機能を有するか否かとのうち少なくとも１つに応じて設定される
　請求項１３に記載の監視装置。
　前記監視装置は、さらに、前記監視装置が動作するシステムの状態またはイベントに応じて、監視情報に含まれる優先度と、前記監視対象に含まれる監視担当及び監視対象の組み合わせである監視構成とのうち少なくとも１つを変更する管理部を含む
　請求項１から１４のいずれか１項に記載の監視装置。
　前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、監視マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、前記優先度を変更する
　請求項１５に記載の監視装置。
　前記監視装置は、車載システム上において動作し、
　前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンで動作する監視対象の優先度を変更し、
　車両の走行状態は、停止中、手動運転中、高度運転支援中、及び、自動運転中のうちいずれかである
　請求項１５に記載の監視装置。
　前記管理部は、前記監視構成の変更後であっても、信頼度の低い監視部のソフトウェアを前記信頼度の低い監視部よりも信頼度の高い監視部が監視する監視の信頼チェーンを構築できるように、監視構成を変更する
　請求項１５に記載の監視装置。
　前記管理部は、外部ネットワーク接続中か否かと、外部ネットワーク接続確立イベントの発生の有無と、仮想マシンのシステム状態と、前記監視部の監視結果と、異常を検知した監視部の実行権限と、異常を検知したソフトウェアの実行権限と、異常を検知した通信ログの宛先または送信元とのうち少なくとも１つに応じて、監視構成を変更する
　請求項１５または１８に記載の監視装置。
　前記監視装置は、車載システム上において動作し、
　前記管理部は、車両の走行状態に応じて、車両の制御機能を有する仮想マシンに関係する監視構成を変更し、
　前記車両の走行状態は、停止中、手動運転中、高度運転支援中、自動運転中のうちいずれかである
　請求項１５または１８に記載の監視装置。
　前記管理部は、（ｉ）予め定義された２以上の監視構成から一つを選択する手段と、（ｉｉ）２以上の監視部を頂点とし、監視担当を道の始点とし、監視対象を道の終点とする有向グラフとして前記監視構成を記憶し、所定のアルゴリズムで有向グラフを再構築する手段と、（ｉｉｉ）前記２以上の監視部をノードとし、前記監視担当を親ノードとし、前記監視対象を子ノードとするツリー構造として前記監視構成を記憶し、所定のアルゴリズムでツリー構造を再構築する手段と、のうち少なくとも１つの手段で前記監視構成を変更する
　請求項１５、及び、１９から２０のいずれかの１項に記載の監視装置。
　前記監視装置は、さらに、監視サーバーへ監視結果を通知する監視サーバー通信部を備える
　請求項１に記載の監視装置。
　監視装置と監視サーバーとで構成される監視システムであって、
　前記監視装置は、
　それぞれがソフトウェア及び通信ログの少なくとも１つを監視対象として監視する３以上の監視部と、
　監視部識別子と、監視対象識別子と、正常判定時刻と、異常判定時刻と、のうち少なくとも２つを監視結果として前記監視サーバーへ送信する監視サーバー通信部と、を備え、
　前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、
　前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、
　前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視し、
　前記監視サーバーは、前記監視結果を受信し、グラフィカルユーザーインターフェース上に前記監視結果を表示する監視結果表示部を備える
　監視システム。
　前記監視結果表示部は、システムアーキテクチャに関連付けて前記監視結果を表示し、異常を検知した監視部または異常が検知された監視対象を強調する手段と、所定のタイムラインに関連付けて監視結果を表示し、正常判定時刻または異常判定時刻を強調する手段とのうち少なくとも１つの手段でグラフィカルユーザーインターフェース上に監視結果を表示する
　請求項２３に記載の監視システム。
　前記監視サーバーは、さらに、前記監視対象と、前記監視対象を監視する監視部と、前記監視対象の優先度と、前記優先度に対応した監視方法とのうち少なくとも１つの監視情報の変更を受け付け、前記監視装置に前記変更を要求する監視情報変更部を備え、
　前記監視装置は、さらに、前記監視情報変更部の要求に応じて前記監視情報を更新する監視情報更新部を備える
　請求項２４に記載の監視システム。
　３以上の監視部を備える監視装置によって実行される監視方法であって、
　前記３以上の監視部は、第一の実行権限にて動作する第一の監視部と、前記第一の実行権限よりも信頼性が低い第二の実行権限にて動作する第二の監視部と、前記第二の実行権限と信頼性が同じ、または、前記第二の実行権限よりも信頼性が低い第三の実行権限にて動作する第三の監視部とを含み、
　前記第一の監視部は、前記第二の監視部のソフトウェアを監視し、
　前記第一の監視部及び前記第二の監視部の少なくとも１つは、前記第三の監視部のソフトウェアを監視する
　監視方法。