WO2020079928A1

Movatterモバイル変換

Info

Publication number: WO2020079928A1
Application number: PCT/JP2019/030795
Authority: WO
Inventors: 崇光佐々木; 良太高橋
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2018-10-17
Filing date: 2019-08-06
Publication date: 2020-04-23
Anticipated expiration: 2021-04-17

Abstract

情報処理装置は、車両で発生したインシデントの実績に関するインシデント情報を取得するインシデント情報取得部（１１）と、第一車両の状態に関する第一車両情報を取得する車両情報取得部（１２）と、インシデント情報及び第一車両情報を蓄積する蓄積部（１３）と、蓄積されたインシデント情報と第一車両情報との一致度に基づいて第一車両の車両機能のリスクレベルを判定するリスク判定部（１４）と、リスクレベルが第一基準より高い場合、車両機能に対する機能制限指示を生成するリスク対策指示生成部（１６）と、機能制限指示を出力する指示出力部（１７）とを備える。

Description

情報処理装置、情報処理方法及びプログラム

　本発明は、車両で利用される情報を処理する情報処理装置に関する。

　高機能化が進む自動車では、車載ネットワークシステム内で、また、車載ネットワークと外部の情報機器、交通基盤又は他の車両等のシステムとの間で多くの情報がやり取りされる。そして、やり取りされる情報を処理する車載ネットワークシステムの脆弱性を突くサイバー攻撃の脅威が顕在化している。

　情報処理によって実現される高機能な自動車のセキュリティを向上させる技術が提案されている（例えば特許文献１参照）。

特開２０１４－１４６８６８号公報

　しかしながら、特許文献１に開示される対抗手段は、すでに攻撃者が車載ネットワークに侵入した上で異常メッセージの送信等による発生した攻撃を検知して対応するものである。つまり、この対応が完了するまでの時間、車両は攻撃の影響を受ける。また、攻撃対象である車両単体にとって未知のパターンによる攻撃を受けた場合には、異常の検知又は停止までに時間が掛かったり、さらには被害が深刻化したりするおそれもある。

　本発明は、車両単体にとっては未知の手法によるものであっても、車載ネットワークへの侵入を抑えてサイバー攻撃の発生及び被害の深刻化を防ぐ情報処理装置等を提供する。

　本発明の一態様に係る情報処理装置は、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、第一車両の状態に関する第一車両情報を取得する車両情報取得部と、前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、前記機能制限指示を出力する指示出力部とを備える。

　また、本発明の一態様に係る情報処理方法は、情報処理装置が、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、第一車両の状態に関する第一車両情報を取得し、前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力する。

　また、本発明の一態様に係るプログラムは、プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、第一車両の状態に関する第一車両情報を取得させ、前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させる。

　なお、これらの包括的または具体的な態様は、システム、集積回路又はコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、装置、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意の組み合わせで実現されてもよい。

　本発明は、車両単体にとっては未知の手法によるものであっても、車載ネットワークへの侵入を抑え、また、サイバー攻撃の発生又は被害の深刻化を防ぐ情報処理装置等を提供する。

　（本発明の基礎となった知見）
　本発明者は、「背景技術」の欄において記載したサイバー攻撃への対抗手法に関し、異常の検知後の対応であることによる上述のような問題が生じることを見出した。

　ＩＴ（Information Technology）の分野では、新たな手法によるサイバー攻撃に対してもコストを抑えながら速やかな対応を可能にするために、蓄積される脅威情報を共有する仕組みの構築が始まっている。情報化が進んだ自動車についても、セキュリティ対策として同様の仕組みを導入することは一案である。しかしながら、自動車では車両間で状態に差があり、各車両の状態も一定ではない。そのため、脅威に対するリスクレベル及び必要な対処は車両によって差があり、各車両でも変化し得る。したがって、単純に各車両からの情報の収集及び各車両へのセキュリティに関する情報の提供が可能な仕組みを構築するだけでは、自動車の情報セキュリティと情報の利用による利便性との両立に支障が出る可能性もある。

　このような問題を解決するために、本発明の一態様に係る情報処理装置は、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、第一車両の状態に関する第一車両情報を取得する車両情報取得部と、前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、前記機能制限指示を出力する指示出力部とを備える。

　これにより、多数の車両でのサイバー攻撃のインシデントに関する情報に基づいて、状態に応じた第一車両のリスクレベルが判定される。この判定の結果得られたリスクレベルが所定の基準を超えて高い場合、第一車両の機能を制限することで攻撃の発生、又は攻撃による悪影響の拡大を抑えることができる。

　例えば、前記リスク対策指示生成部は、前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成してもよい。また例えば、前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、前記指示出力部は、前記機能制限解除指示を出力してもよい。

　このように、リスクレベルの高さに応じて機能の制限の程度を変えることで、車両での情報利用の安全と利便性との両立を図ることができる。

　例えば、前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定してもよい。具体的な例としては、前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記機能制限解除指示生成部は、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成してもよい。

　これにより、車両の走行状態によって変わるリスクレベルの高さ又は必要な対処に応じて適切な機能制限が適用される。

　例えば、前記第一車両情報が示す前記第一車両の走行位置に所定の変化があった場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定してもよい。

　サイバー攻撃の脅威の大きさは場所によっても変化し得る。この構成により、車両の変化するリスクレベルの高さ又は必要な対処に応じて適切な機能制限が適用される。

　例えば、前記車両情報取得部は、第二車両の状態に関する第二車両情報を取得し、前記リスク判定部は、前記インシデント情報と前記第二車両情報との一致度に基づいて前記第二車両の車両機能のリスクレベルを判定し、前記第二車両の車両機能のリスクレベルが第三基準より高い場合、前記リスク対策指示生成部は、前記第二車両の車両機能に対応する前記第一車両の車両機能に対する機能制限指示を生成してもよい。

　例えば自車両の近くを走行する車両がサイバー攻撃に対するリスクが高いために脅威となり得る場合、この近くを走行する車両が攻撃により不正走行を行うと、自車両と衝突する可能性がある。また、この近くを走行する車両と情報の授受をする自車両のサイバー攻撃に対するリスクも上がる。例えば不正な虚偽の情報が提供されたり、不正なコードが埋め込まれたメッセージが送信されたりし得る。上記の構成により、近くを走行する車両の変化するリスクレベルの高さ又は必要な対処に応じて適切なレベルの機能制限が自車両に適用される。なお、車両間の距離は、例えば、各車両のＧＰＳ（Global Positioning System）から得られる位置情報から計算してもよいし、車両間通信の遅延時間、レーダー等により測定した距離など、いずれの方法で計算してもよい。また、第三基準は、第一車両のリスクレベルと比較される第一基準又は第二基準と同じものであってもよいし別のものであってもよい。

　例えば、前記第二車両が前記第一車両の走行位置から所定距離以下の位置を走行している場合、かつ前記リスク対策指示生成部が生成した前記機能制限指示によって前記第二車両の車両機能に対応する前記第一車両の車両機能が制限されている場合、前記第二車両の位置が前記第一車両の走行位置から前記所定距離より遠くなると、前記機能制限解除指示生成部は、前記第一車両の車両機能に対する機能制限解除指示を生成してもよい。

　つまり、車両は移動体であり、一時は近くにあってサイバー攻撃に対するリスクレベルの高い、通信相手であれば脅威となり得る車両であっても、通信相手となり得ない距離まで離れれば脅威ではなくなる。したがって、この相手と情報の授受がなくなった車両のリスクレベルは低下するため、厳しい機能制限は不要となる。上記の構成により、第一車両では、変化するリスクの高さ又は必要な対処に応じて適切なレベルの機能制限が適用される。また、第一車両での情報利用の安全と利便性との両立を図ることができる。

　例えば、前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、より新しいインシデント情報と一致する場合に、より古いインシデント情報と一致する場合よりも高く判定されてもよい。また例えば、前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、直近の所定期間に所定件数以上発生したインシデント情報と一致する場合に、前記所定期間に所定件数未満発生したインシデント情報と一致する場合よりも高く判定されてもよい。

　このように、より新しいインシデント情報に重みを置いた判定をすることで、すでに対策が実施されたインシデント、又は最近増加しつつある攻撃によるインシデントにも適切に対応することが可能になる。

　また、本発明の一態様に係る情報処理方法は、情報処理装置が、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、第一車両の状態に関する第一車両情報を取得し、前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力する。また、本発明の一態様に係るプログラムは、プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、第一車両の状態に関する第一車両情報を取得させ、前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させる。

　これらの方法又はプログラムにより、多数の車両でのサイバー攻撃のインシデントに関する情報に基づいて、車両の状態に応じた第一車両のリスクレベルが判定される。また、判定の結果得られたリスクレベルが所定の基準を超えて高い場合、第一車両の機能を制限することで攻撃の発生、又は攻撃による悪影響の拡大を抑えることができる。

　なお、これらの包括的または具体的な態様は、システム、集積回路、又はコンピュータ読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されてもよく、装置、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序、及び機能的な構成要素間の機能分担等は一例であり、本発明を限定する趣旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態１）
　実施の形態１に係る情報処理装置を含むセキュリティリスク対策システムでは、多数の車両を対象に集められたサイバー攻撃のインシデントに関する情報（以下、インシデント情報ともいう）と、車両の現在の状態に関する情報（以下、車両情報ともいう）とを用いて、この車両が持つ機能（以下、車両機能ともいう）のサイバー攻撃を受ける可能性（リスクレベル）が判定される。本実施の形態における車両機能は、通信関連機能と、走行関連機能とに分類される。通信関連機能は、例えば、ＣＡＮ通信、Ｗｉ－Ｆｉ（登録商標）通信、Ｂｌｕｅｔｏｏｔｈ（登録商標）通信、ＬＴＥ通信の機能である。通信関連機能によって、これらの通信関連機能によって、車両が備える各種の機器間、車両と乗員が持つ機器との間、又は車両と車両の外部にある機器との間で情報がやり取りされる。走行関連機能は、例えば、自動運転、各種の運転支援の機能である。このような機能を備える車両にとって、サイバー攻撃は異常な動作を招く脅威である。この脅威に対する対策としてセキュリティリスク対策システム１では、車両機能のリスクレベルが所定の基準より高い場合に、この車両機能を制限する。車両機能を制限することで、例えばサイバー攻撃による不正なデータの車載ネットワークへの侵入の抑制が図られる。また、不正なデータが車載ネットワークに流されたとしても、このデータによる異常な動作の発生の抑制が図られる。

　［１．構成］
　図１は、本実施の形態に係る情報処理装置を含むセキュリティリスク対策システム１の構成例の概要を示す図である。

　図１に示される構成例では、セキュリティリスク対策サーバ１０と、車両２０と、インシデント情報収集サーバ３０とがインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。

　［１．１　インシデント情報サーバ］
　インシデント情報収集サーバ３０は、例えば車両メーカーが設けるＳＯＣ（Security Operation Center）のサーバであり、プロセッサ及びメモリを含む１台又は複数台の情報処理装置で構成される。インシデント情報収集サーバ３０には、各車両で実際に発生したサイバー攻撃に関するインシデントの履歴がインシデント情報として蓄積されている。図２は、本実施の形態１におけるインシデント情報のデータ構成例を示す図である。図２に示すデータ構成例では、インシデント情報に含まれる項目は下記のとおりである。

　インシデントＩＤ：インシデント識別用の文字列
　発生日時：インシデントの発生日時
　発生地域：インシデントが発生した場所を含む地域
　車種：インシデントが発生した車両の車種
　リスク部品：インシデントにおいて攻撃の標的となった部品。この例では部品が型番で特定されている。
　リスク機能：インシデントにおいて影響を受けた車両機能
　侵入経路：車載ネットワークへの不正アクセスに利用された、又は不正な機器が設置された車載ネットワーク上の場所
　脅威度：インシデントの影響の大きさについての安全に関する所定の基準に依る評価。例えば、侵入のみで車内の機器の動作に影響がないものは低。加減速、操舵、又はドライバー若しくはセンサーによる周辺状況の認識に影響するものは高。その他のものは中。

　上に挙げた項目は例であり、これらの項目すべてが本発明において必須ではなく、また、インシデント情報には上記以外の情報に関する項目が含まれてもよい。例えばリスク部品の製造者又はソフトウェアバージョン、インシデントが発生したときの車両の走行状態（走行中または停止）、インシデントが発生した車両を識別するための情報等が含まれてもよい。

　このようなインシデント情報は多数の車両を対象として集められたものであり、大規模なデータ資産とも言える。そしてインシデント情報の少なくとも一部は必要に応じてセキュリティリスク対策サーバ１０に提供される。インシデント情報収集サーバ３０からセキュリティリスク対策サーバ１０へのインシデント情報の提供は、例えば仮想専用線（図１の点線）を通じて行われるが、これに限定されない。

　なお、インシデント情報収集サーバ３０は複数でもよく、例えば車両メーカー各社のＳＯＣのインシデント情報収集サーバからセキュリティリスク対策サーバ１０にインシデント情報が提供されてもよい。インシデント情報は、このような複数の主体による共有を容易にするために、例えば脅威情報に関する国際標準であるＳＴＩＸ（Structured Threat Information Expression）に準拠する形式で記述されていてもよい。

　［１．２　車両］
　車両２０は、セキュリティリスク対策システム１による目下のセキュリティリスク対策の実行対象の車両である。本開示では、目下のセキュリティリスク対策の実行対象の車両を、車両全般又は特定の他の車両と区別して指すために、第一車両ともいう。

　車両２０は車載ネットワーク２００を備える。図３は、車載ネットワーク２００の構成例を示す図である。

　車載ネットワーク２００には、多数のＥＣＵが接続されている。図３に示される車載ネットワーク２００にはＣＡＮ（Controller Area Network）、Ｅｔｈｅｒｎｅｔ（登録商標）、ＦｌｅｘＲａｙ（登録商標）といった異なる通信プロトコルによる複数のサブネットワークが含まれ、ＥＣＵはこれらのサブネットワークのいずれかに接続されている。これらのＥＣＵの中には、例えば図示しないセンサと接続されて車両内又は車両周辺の状況を示すデータを収集するもの、又はアクチュエータと接続され、制御信号を送出して車両上の装置を動作させるものが含まれる。また別の例として、ネットワークを流れるデータを監視する等、セキュリティに関する情報処理を行うＥＣＵも含まれ得る。上記の車両機能は、これらのＥＣＵのいずれかによって、又は複数のＥＣＵ間のデータのやり取りを伴う連携によって実現される。通信プロトコルが異なるサブネットワーク同士は、ゲートウェイ２２０を介して接続されている。ゲートウェイ２２０は、サブネットワーク間でやり取りされるデータの通信プロトコル間での変換を行う。

　また、この構成例では、車載ネットワーク２００にＩＶＩ（In-Vehicle Infotainment）システム２３０が接続されている。

　各ＥＣＵ及びＩＶＩシステム２３０は、ゲートウェイ２２０と、通信モジュールとしての機能を有する外部通信装置２４０とを介して外部の通信ネットワークと接続する。上述のＳＯＣに提供されるインシデントの発生に関する情報、及びセキュリティリスク対策サーバ１０に提供される車両情報も、これらのＥＣＵのいずれかからこの経路で送信される。車両情報については、具体例を挙げて後述する。

　［１．３　セキュリティリスク対策サーバ］
　セキュリティリスク対策サーバ１０は、インシデント情報収集サーバ３０から取得するインシデント情報と、車両２０から取得した車両情報とを用いて、車両２０が持つ車両機能のサイバー攻撃に関するリスクレベルを判定する。また、セキュリティリスク対策サーバ１０は、判定したリスクレベルが所定の基準より高い場合には、車両２０の車両機能を制限する指示（以下、機能制限指示ともいう）を発行し、この指示を、通信ネットワークを介して車両２０に送信する。セキュリティリスク対策サーバ１０は、プロセッサ及びメモリを含む１台又は複数台の情報処理装置で構成される。

　図４は、セキュリティリスク対策サーバ１０の構成例を示す図である。

　セキュリティリスク対策サーバ１０の構成要素には、インシデント情報取得部１１、車両情報取得部１２、蓄積部１３、リスク判定部１４、リスクポイント管理部１５、リスク対策指示生成部１６、指示出力部１７、及び機能制限解除指示生成部１８が含まれる。

　インシデント情報取得部１１は、インシデント情報収集サーバ３０からインシデント情報を受信して取得する。

　車両情報取得部１２は、車両２０の状態に関する情報である車両情報を受信して取得する。

　蓄積部１３は、上記のインシデント情報、車両情報、及び後述のリスクレベルの判定に用いられるその他の情報が蓄積される。図１に記載のリスクレベル管理リスト及びリスクポイントテーブルも蓄積部１３に蓄積されるその他の情報に含まれ、これらについては例を用いて後述する。

　リスク判定部１４は、上記のインシデント情報と車両２０の車両情報との一致度に基づいて、車両２０が持つ各種の車両機能のリスクレベルを判定する。

　リスクポイント管理部１５は、リスク判定部１４による上記のリスクレベルの判定に用いられる情報の一種であるリスクポイント情報の管理を、インシデント情報に基づいて行う。

　リスク対策指示生成部１６は、リスク判定部１４が判定したリスクレベルに応じて、リスク対策としての車両機能に対する制限（無効化の場合を含む）に関する指示（以下、リスク対策指示ともいう）を生成する。

　機能制限解除指示生成部１８は、リスク判定部１４が判定したリスクレベルに応じて、車両機能に対する制限を解除する指示（以下、機能制限解除指示ともいう）を生成する。

　指示出力部１７は、機能制限指示及び機能制限解除指示を車両２０に送信する。

　セキュリティリスク対策サーバ１０のこれらの構成要素は、セキュリティリスク対策サーバ１０を構成する情報処理装置において、例えばメモリに記憶される１個又は複数個のプログラムをプロセッサが実行することで実現される機能的な構成要素であってよい。セキュリティリスク対策システム１で実行されるセキュリティリスク対策のための処理は、セキュリティリスク対策サーバ１０のこれらの構成要素が上記の機能を発揮しながら連携することで実行される。

　なお、インシデント情報収集サーバ３０とセキュリティリスク対策サーバ１０とは個別に確立される存在でなくてもよい。例えば、インシデント情報収集サーバ３０とセキュリティリスク対策サーバ１０とは一体的に統合されたシステムであってもよい。また、インシデント情報収集サーバ３０がセキュリティリスク対策サーバ１０の一部であってもよく、例えばインシデント情報収集サーバ３０が蓄積部１３として機能してもよい。この場合のインシデント情報取得部１１の機能は、処理に用いる範囲のインシデント情報を蓄積部１３から取得することであってもよい。

　［２．動作］
　次に、セキュリティリスク対策システム１で実行されるセキュリティリスク対策の処理の動作について説明する。

　図５は、セキュリティリスク対策サーバ１０で実行されるこの処理の手順例を示すフロー図である。以下では、説明の便宜上、この手順を大きく二つの段階に分けて説明する。

　ひとつは、多数の車両でのサイバー攻撃のインシデントに関するインシデント情報を収集し、このインシデント情報に基づいて車両の様々な状態についてのリスクの高さを評価し、リスクポイントとして管理する（ステップＳ１及びステップＳ２）の第一段階である。

　もうひとつは、セキュリティリスク対策の実行対象である第一車両の状態を示す車両情報を取得し、この車両情報が示す第一車両の状態と、インシデント情報に表れる車両の状態との一致度に基づいて、リスクポイントから第一車両の各車両機能のリスクレベルを算出し、算出したリスクレベルに基づいて、車両機能の制限又は制限の解除を実行するか否かについて判定し、必要に応じて第一車両のリスク対策指示を出力するまで（ステップＳ３からステップＳ７）の第二段階である。

　［２．１　第一段階］
　図６は、インシデント情報収集サーバ３０とセキュリティリスク対策サーバ１０との連携を含む手順を示すシーケンス図であり、図５に示される処理手順例の第一段階に関する。

　第一段階では、まずインシデント情報収集サーバ３０からセキュリティリスク対策サーバ１０へとインシデント情報が送信される（ステップＳ３０１０）。インシデント情報は図２にデータ構成例が示されるものであり、再度の説明は省略する。インシデント情報の送信は一定の時間間隔で行われてもよいし、所定数のレコード又は脅威度の高いインシデントのレコードが追加されたとき等の、所定のイベントの発生をトリガに行われてもよい。また、セキュリティリスク対策サーバ１０からの要求に応じて送信されてもよい。

　セキュリティリスク対策サーバ１０では、インシデント情報取得部１１によって受信されたインシデント情報がいったん蓄積部１３に保存される（ステップＳ１０）。ここまでが図５のフロー図のステップＳ１に相当する。次いでセキュリティリスク対策サーバ１０では、リスクポイント管理部１５によって、このインシデント情報に基づいてリスクポイントテーブルが更新される（ステップＳ２０）。ステップＳ２０は、図５のフロー図のステップＳ２に相当する。

　リスクポイントテーブルとは、車両の様々な状態のサイバー攻撃に対するリスクの評価値（リスクポイント）をまとめたテーブルであり、蓄積部１３に保持される。リスクポイントはインシデント情報が示すインシデントの実績に基づいて決定され、新たなインシデント情報が取得されると更新される。リスクポイントの更新処理については、例を用いて後述する。

　図７Ａから図７Ｇは、本実施の形態におけるリスクポイントテーブルの例である。

　図７Ａに示すリスクポイントテーブルは、車両の状態としての車両が搭載する機器、この例ではＥＣＵ及びＩＶＩシステムの、型番及びソフトウェアのバージョン別のリスクポイントに関する。図７Ｂに示すリスクポイントテーブルは、車両の状態としての車両が搭載する機器の製造者（メーカー）別のリスクポイントに関する。図７Ｃに示すリスクポイントテーブルは、車両の状態としての車両が走行している地域別のリスクポイントに関する。図７Ｄに示すリスクポイントテーブルは、車両の状態としての車両の車種別のリスクポイントに関する。図７Ｅに示すリスクポイントテーブルは、車両の状態としての車両が搭載する車載ネットワークで使用されている通信プロトコル別のリスクポイントに関する。図７Ｆに示すリスクポイントテーブルは、車両の状態としての搭載する車両機能別のリスクポイントに関する。図７Ｇに示すリスクポイントテーブルは、車両の状態としての車両で有効な車両機能ごとの走行状態別のリスクポイントに関する。走行状態は、この例では２つの走行速度帯及び停止の計３つの状態に分類される。

　インシデント情報に基づいてリスクポイントが決定されることで、例えばこれらの状態別のサイバー攻撃に対する脆弱性又は攻撃者からの狙われやすさの現実の傾向が反映される。このようなリスクポイントの決定を含むリスクポイントテーブルの更新（又は作成）処理の手順について、フロー図を用いて次に説明する。

　図８は、リスクポイント管理部１５による上記の各リスクポイントテーブルの更新処理の手順例を示すフロー図である。この処理は、図５のフロー図のステップＳ２及び図６のシーケンス図のステップＳ２０に相当する。以下の説明は、図７Ａから図７Ｇに示されるリスクポイントテーブルのいずれか及び図２に示されるインシデント情報を適宜参照して理解されたい。

　リスクポイント管理部１５は、リスクポイントテーブル内のポイントをいったん初期化してから（ステップＳ２１０）、リスクポイントテーブルに含まれる状態の種類を示す項目に対して順次、以下に説明するステップＳ２１１からステップＳ２１８までを実行する（図８中、テーブル項目ループ）。状態の種類を示す項目とは、本実施の形態の例では各リスクポイントテーブルの太い縦罫線の左に配置され、図７Ａの搭載機器に関するリスクポイントテーブルでは、「ＥＣＵ－ａ」及び「１．０．１」等である。図７Ｄの車種に関するリスクポイントテーブルでは、「Ｘ」、「Ｙ」等などである。

　ステップＳ２１１では、リスクポイント管理部１５は、インシデント情報の一レコードに、上記の状態の種類を示す項目に対応する情報が含まれるか否か判定する。当該レコードが対応する情報を含む場合（ステップＳ２１１でＹｅｓ）、当該レコードにある脅威度に応じた所定値を、この項目のリスクポイントとして加算する（ステップＳ２１２）。脅威度に応じた所定値としては、より高い脅威度により大きな値が定められている。これにより、車両の安全な走行により深刻な影響を与えたインシデントに関与した項目には、大きな値のリスクポイントが付与される。このような脅威度に応じた所定値は、例えば蓄積部１３に保持される図示しないテーブルで管理されていてもよい。

　次にリスクポイント管理部１５は、当該レコードに含まれる発生日時から所定の時間が既に経過しているか否か判定する（ステップＳ２１３）。所定の時間が既に経過している場合（ステップＳ２１３でＹｅｓ）、ステップＳ２１２での加算後のリスクポイントから所定値を減算する（ステップＳ２１４）。これは、ある程度以上古い脅威は、例えば車両、ＥＣＵ、又は通信機器等のメーカーによって対策が実施された結果、発生当時に比べて脅威度が下がっている可能性が高いことに基づくリスクポイントの調整である。

　なお、テーブル項目ループの中でステップＳ２１１からステップＳ２１４までは、インシデント情報に含まれるレコードに対して順次実行される（図８中、インシデント情報ループ）。つまり、例えば状態の種類を示す車種の項目「Ｘ」について、車種のフィールドに「Ｘ」を含む全レコードの脅威度に応じたリスクポイントが加算され、そのレコードのうちある程度以上古いレコードの件数に応じて、リスクポイントから所定値が減算される。なお、ステップＳ２１１でＮｏであったレコードについてはステップＳ２１２からＳ２１４まで、ステップＳ２１３でＮｏであったレコードについてはステップＳ２１４が省略される。

　次にリスクポイント管理部１５は、項目に対応する情報を含むレコードの件数が所定の基準値ｎ以上か否か判定する（ステップＳ２１５）。このレコードの件数が基準値ｎ以上である場合（ステップＳ２１５でＹｅｓ）、リスクポイント管理部１５は、この項目のリスクポイントに所定値を加算する（ステップＳ２１６）。これは、多くのインシデントに関与した状態には、脆弱性等の何らかのインシデント発生の要因がある可能性が高いことに基づくリスクポイントの調整である。

　次にリスクポイント管理部１５は、現在から遡る所定期間における、項目に対応する情報を含むレコードの件数が所定の基準値ｍ以上か否か判定する（ステップＳ２１７）。このレコードの件数が基準値ｍ以上である場合（ステップＳ２１７でＹｅｓ）、リスクポイント管理部１５は、この項目のリスクポイントに所定値を加算する（ステップＳ２１８）。これは、例えばこの項目に関する未知の脆弱性が攻撃者によって標的にされ始めている等の、インシデントの何らかの傾向がある可能性が高いことに基づくリスクポイントの調整である。

　ここまでのステップをリスクポイントテーブルに含まれる状態の種類を示す項目すべてについて実行することで、当該リスクポイントテーブルの更新が完了する。このようにして算出されたリスクポイントの大きさは、サイバー攻撃に対する車両の種々の状態の、セキュリティリスク対策サーバ１０が取得した最新のインシデント情報に基づくリスクの高さを反映する。

　このように更新されたリスクポイントテーブルが、次の第二段階で実行される第一車両２０のリスクレベルの判定に用いられる。

　［２．２　第二段階］
　［２．２．１　第一車両のリスクレベル判定］
　図９は、第一車両２０とセキュリティリスク対策サーバ１０との連携を含む手順を示すシーケンス図である。また、このシーケンス図は図５に示される処理手順例の、第二段階に関する。

　第一車両２０からセキュリティリスク対策サーバ１０へと車両情報が送信される（ステップＳ３０２０）。車両情報は、第一車両２０の状態に関する情報であり、以下、第一車両情報ともいう。図１０及び図１１は、それぞれこの車両情報のデータ構成の一例を示す図である。

　図１０の車両情報は、第一車両２０が備える機器、特に情報処理又は通信に関する機器に関する情報を含み、以下では機器リストともいう。このような内容の変更の頻度が高くない車両情報は、例えば第一車両２０の各日の最初の始動時等の日次処理で、又は車載ネットワーク２００上で機器構成の変更が発生した時等の特定のイベントをトリガにセキュリティリスク対策サーバ１０へ送信されてもよい。ここでの機器構成の変更とは、例えば機器の追加又は削除のみならず、ソフトウェアの更新も含む。また、ここでの関連機能とは、各機器によって送受信又はその他の処理がなされる情報が、第一車両２０で利用される車両機能である。別の表現をすると、各機器が故障したりサイバー攻撃を受けたりした場合に悪影響を受ける可能性がある車両機能である。

　図１１のデータ構成例は、第一車両２０の直近の様々な状態に関する車両情報の例である。図１１の車両情報には、走行位置及び走行状態といった変更の頻度が高い情報が含まれているため、例えば数分以下の頻度で定期的に、又は第一車両２０の状態に変化が生じる度にセキュリティリスク対策サーバ１０へ随時送信されてもよい。

　なお、図１０及び図１１に示した車両情報の例にそれぞれ含めた情報の項目は一例であり、これに限定されない。例えば、図１０及び図１１に示した全項目を含む一種類の車両情報として送信されてもよい。また、図１１に示される項目のうち、車種、通信プロトコル、搭載機能等の変更の頻度が比較的低い項目は、その他の変更の頻度が高い項目と別のスケジュールで第一車両２０からセキュリティリスク対策サーバ１０へ送信されてもよい。また、いずれの例でも、すべての項目の情報が毎回送信されるのではなくてもよい。例えば、セキュリティリスク対策サーバ１０で第一車両２０を識別するための車両ＩＤと、前回の送信時から変更のあった項目の情報とが送信されてもよい。また、これらの項目の全てが必須ではなく、又は他の項目も含まれてもよい。また、各項目により詳細な情報が含まれてもよい。例えば走行位置の項目は、図１１での市町村のような地域で表現される情報に限定されず、第一車両２０が備えるＧＰＳ受信機で取得される経緯度の情報が含まれてもよい。

　セキュリティリスク対策サーバ１０では、車両情報取得部１２によって受信された車両情報がいったん蓄積部１３に保存される（ステップＳ３０）。ここまでが図５のフロー図のステップＳ３に相当する。

　次いでセキュリティリスク対策サーバ１０では、リスク判定部１４が、リスクポイントテーブル及び車両情報を用いてリスクレベルを判定し、リスクレベル管理リストを作成（更新の場合を含む）する（ステップＳ４０）。ステップＳ４０は図５のフロー図のステップＳ４に相当する。続く第二段階については後述する。

　リスクレベル管理リストとは、第一車両２０が持つ車両機能ごとに判定された、サイバー攻撃に対するリスクレベル（リスクの高さ）のリストであり、蓄積部１３に保持される。図１２に示される例では、リスクレベルは、上述のインシデント情報に基づくリスクポイントテーブルと車両情報とを用いて算出されるリスクスコアで表されている。以下では、このリスクレベル管理リスト及びリスクレベルの算出処理について例を用いて説明する。

　図１２は、本実施の形態におけるリスクレベル管理リストのデータ構成例を示す図である。

　左端の欄は第一車両２０が持つ車両機能の名称を示す。その右の欄は、各車両機能の種類を示す。さらにその右の欄は、各車両機能がセキュリティリスク対策システム１において制限される場合の、その制限の詳細な内容である。また、さらにその右の欄は、各車両機能がセキュリティリスク対策システム１において無効化される場合の詳細な内容である。ここまでの各欄の内容は基本的に変更されない。ただし、第一車両２０の車両機能に増減があれば、その車両機能に関する行がリストに追加又はリストから削除される。また、セキュリティリスク対策システム１で第一車両２０の車両機能の制限又は無効化に関する運用ルールに変更が生じた場合には、各欄の内容は変更され得る。

　リスク判定部１４によって判定された各車両機能のリスクレベルは、この例では右端の欄に入力されているリスクスコアで表されている。この欄に入力されるリスクスコアの算出の処理の手順について、フロー図を用いて次に説明する。

　図１３は、リスク判定部１４によるリスクスコアの算出処理の手順例を示すフロー図である。この処理は図５のフロー図のステップＳ４及び図９のシーケンス図のステップＳ４０に相当する。以下の説明は、図７Ａから図７Ｇに示されるリスクポイントテーブル、図１０及び図１１の車両情報、並びに図１２に示されるリスクレベル管理リストを適宜参照して理解されたい。また、以下の説明では、図１１に示される車両情報を取得したセキュリティリスク対策サーバ１０のリスク判定部１４が、この車両情報の走行状態の欄にある「自動運転」の車両機能についてのリスクスコアを算出する場合を例に用いる。

　リスク判定部１４は、リスクレベル管理リスト内のリスクスコアをいったん初期化する（ステップＳ４１０）。次いでリスク判定部１４は、蓄積部１３に保存されている車両情報である図１０の機器リストを読み込むと（ステップＳ４１１）、ステップＳ４１２からステップＳ４１４までを、機器リストに型番が挙げられている機器に対して順次実行する（図１２中、機器ループ）。

　ステップＳ４１２では、リスク判定部１４は、車両機能が機器と関連するか否か判定する。この判定は、図１０に示す機器リストの関連機能の情報が基づいて行われる。車両機能「自動運転」についてのリスクスコアが算出されるこの例では、型番「ＥＣＵ－ａ」に対するステップＳ４１２で、車両機能がこの機器と関連すると判定される（ステップＳ４１２でＹｅｓ）。

　ステップＳ４１２でＹｅｓの場合、リスク判定部１４は、この機器のリスクポイントを算出する（ステップＳ４１３）。図１４Ａは、第一車両２０が備える各機器のリスクポイントの算出処理の手順例である。

　リスク判定部１４は、第一車両２０が備える機器のリスクポイントをいったん初期化してから、リスクポイントの算出対象である機器の型番及び当該機器のソフトウェアバージョンを機器リストから読み出す（ステップＳ４１３０、Ｓ４１３１、Ｓ４１３２）。

　次にリスク判定部１４は、図７Ａに示す機器のリスクポイントテーブルを参照して、ステップＳ４１３１及びＳ４１３２でそれぞれ読み出した型番及びソフトウェアバージョンに対応するリスクポイントを読み取る（ステップＳ４１３３）。この例で図１０に示す機器リストの先頭にある型番「ＥＣＵ－ａ」及びソフトウェアバージョン「１．０．２」を読み出したリスク判定部１４は、図７Ａのリスクポイントテーブルからリスクポイント「２」を読み取る。ステップＳ４１３３で読み取られたリスクポイントは、当該機器のリスクポイントに加算される（ステップＳ４１３４）。

　次にリスク判定部１４は、当該機器の製造者を読み出し（ステップＳ４１３５）、読み出した製造者に対応するリスクポイントを、図７Ｂに示す機器の製造者のリスクポイントテーブルを参照して読み取る（ステップＳ４１３６）。この例で図１０に示す機器リストの先頭にある製造者「Ａ社」を読み出したリスク判定部１４は、ステップＳ４１３６でリスクポイントテーブルからリスクポイント「１」を読み取る。ステップＳ４１３６で読み取られたリスクポイントは、当該機器のリスクポイントに加算される（ステップＳ４１３７）。つまりこの例では、ステップＳ４１３７の後の当該機器のリスクポイントは２＋１＝３である。リスク判定部１４は、このリスクポイントを当該機器のリスクポイントとして出力して（ステップＳ４１３８）、当該機器についてのリスクポイントの算出を終了する。

　ステップＳ４１３８で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では「自動運転」のリスクスコアに加算される（ステップＳ４１４）。ステップＳ４１４の実行後、又はステップＳ４１２でＮｏの場合、リスク判定部１４の処理は図１３のフロー図のステップＳ４１２に戻って、車両機能「自動運転」が、図１０の機器リストにおける次の機器と関連するかの判定に移る。以降、リスク判定部１４は、機器ループを機器リストに含まれる全ての機器について実行する。

　このようにして算出される第一車両２０が備える機器のリスクポイントの大きさには、第一車両２０以外の車両で発生したものも含むサイバー攻撃のインシデント情報に基づく車載機器のリスクの高さが反映されている。

　ステップＳ４１５からは、リスク判定部１４は図１１に示す車両情報を用いて、機器以外の第一車両２０の状態について、サイバー攻撃に対するリスクの大きさを判定する。

　ステップＳ４１５では、第一車両２０の状態としての走行位置についてのリスクの大きさを示すリスクポイントが算出される。図１４Ｂは、第一車両２０の走行位置のリスクポイントの算出処理の手順例である。

　リスク判定部１４は、走行位置のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両２０の走行位置を図１１の車両情報から読み出す（ステップＳ４１５０、Ｓ４１５１）。

　次にリスク判定部１４は、図７Ｃに示す走行位置のリスクポイントテーブルを参照して、ステップＳ４１５１で読み出した走行位置に対応するリスクポイントを読み取る（ステップＳ４１５２）。この例で図１１に示す車両情報にある走行位置「東京都〇〇区」を読み出したリスク判定部１４は、図７Ｃのリスクポイントテーブルからリスクポイント「２」を読み取る。ステップＳ４１５２で読み取られたリスクポイントは、ステップＳ４１５０で初期化されていた走行位置のリスクポイントに加算され、出力される（ステップＳ４１５３、Ｓ４１５４）。以上で走行位置についてのリスクポイントの算出は終了する。

　ステップＳ４１５４で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップＳ４１４後の「自動運転」のリスクスコアに加算される（ステップＳ４１６）。

　続くステップＳ４１７では、第一車両２０の状態としての車種についてのリスクの大きさを示すリスクポイントが算出される。図１４Ｃは、第一車両２０の車種のリスクポイントの算出処理の手順例である。

　リスク判定部１４は、車種のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両２０の車種を図１１の車両情報から読み出す（ステップＳ４１７０、Ｓ４１７１）。

　次にリスク判定部１４は、図７Ｄに示す車種のリスクポイントテーブルを参照して、ステップＳ４１７１で読み出した車種に対応するリスクポイントを読み取る（ステップＳ４１７２）。この例で図１１に示す車両情報にある車種「Ｘ」を読み出したリスク判定部１４は、図７Ｄのリスクポイントテーブルからリスクポイント「１」を読み取る。ステップＳ４１７２で読み取られたリスクポイントは、ステップＳ４１７０で初期化されていた車種のリスクポイントに加算され、出力される（ステップＳ４１７３、Ｓ４１７４）。以上で車種についてのリスクポイントの算出は終了する。

　ステップＳ４１７４で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップＳ４１６後の「自動運転」のリスクスコアに加算される（ステップＳ４１８）。

　続くステップＳ４１９では、第一車両２０の状態としての使用されている通信プロトコルについてのリスクの大きさを示すリスクポイントが算出される。図１４Ｄは、第一車両２０で使用されている通信プロトコルのリスクポイントの算出処理の手順例である。

　リスク判定部１４は、通信プロトコルのリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両２０で使用されている通信プロトコルを図１１の車両情報から読み出す（ステップＳ４１９０、Ｓ４１９１）。

　次にリスク判定部１４は、図７Ｅに示す侵入経路のリスクポイントテーブルを参照して、ステップＳ４１９１で読み出した通信プロトコルに対応するリスクポイントを読み取る（ステップＳ４１９２）。この例で図１１に示す車両情報にある通信プロトコル「ＣＡＮ」、「ＦｌｅｘＲａｙ」及び「ＭＯＳＴ」を読み出したリスク判定部１４は、図７Ｅのリスクポイントテーブルから、各通信プロトコルに対応付けられているリスクポイント「８」、「１」、「２」を読み取る。ステップＳ４１９２で読み取られたリスクポイントは、ステップＳ４１７０で初期化されていた通信プロトコルのリスクポイントに加算され、出力される（ステップＳ４１９３、Ｓ４１９４）。以上で通信プロトコルについてのリスクポイントの算出は終了する。

　ステップＳ４１９４で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップＳ４１８後の「自動運転」のリスクスコアに加算される（ステップＳ４２０）。

　続くステップＳ４２１では、第一車両２０の状態としての搭載される車両機能（各図では搭載機能と表記）についてのリスクの大きさを示すリスクポイントが算出される。図１４Ｅは、第一車両２０が搭載する車両機能のリスクポイントの算出処理の手順例である。

　リスク判定部１４は、搭載される車両機能のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両２０が搭載する車両機能を図１１の車両情報から読み出す（ステップＳ４２１０、Ｓ４２１１）。

　次にリスク判定部１４は、図７Ｆに示す搭載される車両機能のリスクポイントテーブルを参照して、ステップＳ４２１１で読み出した搭載される車両機能に対応するリスクポイントを読み取る（ステップＳ４２１２）。この例で図１１に示す車両情報にある搭載される車両機能「運転支援」、「自動運転」及び「Ｗｉ－Ｆｉ」を読み出したリスク判定部１４は、図７Ｆのリスクポイントテーブルから、各機能名に対応付けられているリスクポイント「２０」、「５」、「１０」を読み取る。ステップＳ４２１２で読み取られたリスクポイントは、ステップＳ４２１０で初期化されていた搭載される車両機能のリスクポイントに加算され、出力される（ステップＳ４２１３、Ｓ４２１４）。以上で搭載される車両機能についてのリスクポイントの算出は終了する。

　ステップＳ４２１４で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップＳ４２０後の「自動運転」のリスクスコアに加算される（ステップＳ４２２）。

　続くステップＳ４２３では、第一車両２０の状態としての走行状態についてのリスクの大きさを示すリスクポイントが算出される。図１４Ｆは、第一車両２０の走行状態のリスクポイントの算出処理の手順例である。

　リスク判定部１４は、走行状態のリスクポイントをいったん初期化してから、リスクポイントの算出対象である第一車両２０の走行状態を図１１の車両情報から読み出す（ステップＳ４２３０、Ｓ４２３１）。

　次にリスク判定部１４は、図７Ｇに示す走行状態のリスクポイントテーブルを参照して、ステップＳ４２３１で読み出した走行状態に対応するリスクポイントを読み取る（ステップＳ４２３２）。この例で図１１に示す車両情報に走行状態「自動運転」及び「停止」を読み出したリスク判定部１４は、図７Ｇのリスクポイントテーブルから、機能名「自動運転」下の「停止」に対応付けられているリスクポイント「３」を読み取る。ステップＳ４２３２で読み取られたリスクポイントは、ステップＳ４２３０で初期化されていた走行状態のリスクポイントに加算され、出力される（ステップＳ４２３３、Ｓ４２３４）。以上で走行状態についてのリスクポイントの算出は終了する。

　ステップＳ４２３４で出力されたリスクポイントは、現在のリスクスコアの算出対象の車両機能、つまりこの例では、ステップＳ４２２後の「自動運転」のリスクスコアに加算される（ステップＳ４２４）。

　ここまでの手順で、第一車両２０の状態に関する各種の項目（自動運転に関連する機器、走行位置、車種、通信プロトコル、搭載機能、走行状態）についてのリスクポイントが算出され、その合計が自動運転のリスクスコアとして算出される。リスク判定部１４は、このように算出したリスクスコアを、図１２に示すリスクレベル管理リストにおける自動運転のリスクスコアの欄にいったん書き込む（ステップＳ４２５）。これによりリスクレベル管理リストが作成される。

　このように、セキュリティリスク対策サーバ１０は、目下のセキュリティリスク対策の実行対象である第一車両以外の車両を含む多数の車両から集められた、その発生時の各車両の状態と、実際に発生したサイバー攻撃の脅威度とを示すインシデント情報を取得する。そしてこのインシデント情報に基づいて、サイバー攻撃の発生時の車両の様々な状態別のリスクポイントを、発生件数、発生時期、脅威度等に応じて数値化して取得する。

　さらに、セキュリティリスク対策サーバ１０では、第一車両から取得される車両情報が示す当該車両の状態のうち、上記のインシデント情報が示すサイバー攻撃の発生時の車両の状態との一致するものについてのリスクポイントが積算されてリスクスコアとして算出される。つまり、車両情報が示す第一車両の状態とインシデント情報が示す状態との一致度が高いほどリスクスコアは高くなる。また、第一車両の状態が、より最近の、より高頻度な、又はより脅威度の高いサイバー攻撃が発生した時の車両の状態と一致すれば、リスクスコアはより高くなる。

　このようなリンクスコアは、車両情報が示す状態にある第一車両がサイバー攻撃を受ける可能性の高さ（リスクレベル）を示すものである。また、リスクポイントの数値化には、セキュリティリスク対策サーバ１０が取得した最新のインシデント情報が用いられ、例えば第一車両では未発生のサイバー攻撃の事例又はさらにその傾向も反映され得る。したがって、車両単体にとっては既知のサイバー攻撃のみならず、未知のものについてもリスクレベルを示すものである。

　次に、このようなリスクスコアを用いた第一車両でのリスク制御の処理について説明する。

　［２．２．２　リスクレベルに応じたリスク制御（機能制限まで）］
　図１５は、セキュリティリスク対策サーバ１０において実行される、リスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図であり、図５に示される処理手順例の第二段階の一部に関する。

　まずリスク判定部１４によって、リスクレベル管理リストに含まれる、現在有効な車両機能についてのリスクスコアが読み取られる（ステップＳ５００）。このステップは、図５のフロー図のステップＳ５及び図９のシーケンス図のステップＳ５０に相当する。

　以下のステップでは、このリスクスコアと、リスクスコアに関する２つの閾値（第一閾値、第二閾値）とを用いて、この有効な車両機能の制限（無効化を含む）を実行するか否かについて判断される。第一閾値は、車両機能を制限するか否かの判断のためのリスクレベルを示す基準である。第二閾値は第一閾値よりも大きいリスクスコアの値であり、車両機能を無効化するか否かの判断のためのより高いリスクレベルを示す基準である。第一閾値は、本実施の形態における第一基準の例であり、第二閾値は第二基準の例である。

　リスク判定部１４は、ステップＳ５００で読み取ったリスクスコアが第二閾値以上であるか判定する（ステップＳ６００）。リスクスコアが第二閾値未満である場合（ステップＳ６００でＮｏ）、リスク判定部１４はさらにこのリスクスコアが第一閾値以上であるか判定する（ステップＳ６０１）。ステップＳ６００及びステップＳ６０１は、図５のフロー図のステップＳ６及び図９のシーケンス図のステップＳ６０に相当する。

　リスクスコアが第一閾値未満の場合（ステップＳ６０１でＮｏ）、車両機能は制限も無効化もされないでリスク制御の処理がいったん終了する。

　リスクスコアが第二閾値以上の場合（ステップＳ６００でＹｅｓ）、リスク判定部１４は、リスク対策指示生成部１６に当該車両機能に対する無効化の指示（以下、機能無効化指示ともいう）を生成させる。リスク対策指示生成部１６は、リスクレベル管理リストでリスク制御対象の車両機能の「無効化」欄の内容に従って、機能無効化指示を生成する（ステップＳ６１０）。生成された機能無効化指示は、指示出力部１７から出力され（ステップＳ６２０）、第一車両２０に送信される。

　リスクスコアが第二閾値未満かつ第一閾値以上の場合（ステップＳ６０１でＹｅｓ）、リスク判定部１４は、リスク対策指示生成部１６に当該車両機能に対する制限の指示（以下、機能制限指示ともいう）を生成させる。リスク対策指示生成部１６は、リスクレベル管理リストでリスク制御対象の車両機能の「制限」欄の内容に従って、機能制限指示を生成する（ステップＳ６１１）。

　生成された機能制限指示は指示出力部１７から出力され（ステップＳ６２０）、第一車両２０に送信される。ステップＳ６１０及びステップＳ６１１は、図９のシーケンス図のステップＳ６１に相当する。また、ステップＳ６２０は、図９のシーケンス図のステップＳ６２に相当する。

　このように、図１５のフロー図に手順例が示される処理によって、第一段階で算出されたリスクスコア、つまりリスクレベルに応じた車両機能の制限が実行される。有効である車両機能のサイバー攻撃を受ける可能性がある程度以上に高い場合には、この車両機能を制限することで、車載ネットワークへの攻撃者による侵入、不正データの送出又は送出されても悪影響の発生若しくは拡大を抑えることができる。

　［２．２．３　リスクレベルに応じたリスク制御（リスクレベルの再判定を含む）］
　ここまで、第一車両２０の車両機能を、第一車両２０の状態に応じて制限するか否かの判定までの処理手順を説明した。以下では、第一車両２０の状態に変化があった場合に、車両機能への制限に変化を加える処理手順について例を用いて説明する。これにより、第一車両２０の状態の変化に追従性の高いリスク対策が可能になる。

　なお、上述のとおり、図１１に示される車両情報のうち、走行位置及び走行状態は比較的頻繁に変わり得る。走行位置又は走行状態が変化した場合、セキュリティリスク対策サーバ１０では、これらの点のみについてのリスクスコアの修正（リスクレベルの再判定）がなされてもよい。これにより、セキュリティリスク対策サーバ１０の負荷増大、及びリスクレベル判定実行周期の長期化を抑え、第一車両２０の状態の変化に追従性の高いリスク対策が可能になる。以下では、走行位置に変化があった場合、走行状態に変化があった場合の二つの例を用いて車両機能への制限に変化を加える処理手順について説明する。

　図１６Ａ及び図１６Ｂは、それぞれ第一車両２０とセキュリティリスク対策サーバ１０との連携を含む手順を示すシーケンス図である。また、各シーケンス図が示すのは、図９のシーケンス図が示す手順の変形であり、共通の手順は共通の参照符号で示される。以下、各図が示す手順と図９が示す手順との差異を中心に説明する。

　図１６Ａの手順では、第一車両２０から送信されるのは図１０及び図１１に示される第一車両情報に代えて、走行位置変化通知である点が図９のシーケンス図が示す手順と異なる。走行位置変化通知は、例えば第一車両２０が地域間の境界を越えた時にセキュリティリスク対策サーバ１０に送信され、新たな現在の走行位置を示す通知である。なお、この通知は、図１１に示される車両情報の一部である、車両ＩＤ及び走行位置の項目のみが送信されることで行われてもよい。この通知を受けたセキュリティリスク対策サーバ１０では、走行位置変化通知が蓄積部１３に保存された後（ステップＳ３０Ａ）、リスク判定部１４が、図１３に示すフロー図の手順ではステップＳ４１５、Ｓ４１６及びＳ４２５を行い（ステップＳ４０Ａ）、引き続いて第二段階の処理を実行する。

　図１６Ｂの手順では、第一車両２０から送信されるのが図１０及び図１１に示される第一車両情報に代えて、走行状態変化通知である点が図９のシーケンス図が示す手順と異なる。走行状態変化通知は、例えば第一車両２０の走行状態が低速走行から所定の速度以上である高速走行に移行した場合にセキュリティリスク対策サーバ１０に送信される、新たな現在の走行速度帯を示す通知である。なお、この通知は、図１１に示される車両情報の一部である、車両ＩＤ及び走行状態の項目のみが送信されることで行われてもよい。この通知を受けたセキュリティリスク対策サーバ１０では、走行状態変化通知が蓄積部１３に保存された後（ステップＳ３０Ｂ）、リスク判定部１４が、図１３に示すフロー図の手順ではステップＳ４２３からＳ４２５を行い（ステップＳ４０Ｂ）、引き続いて第二段階の処理を実行する。

　［２．２．４　リスクレベルに応じたリスク制御（機能制限解除）］
　ここまでの説明では、リスクレベルに応じて有効である車両機能に制限が加えられる例を挙げたが、本実施の形態に係るセキュリティリスク対策サーバ１０を含むセキュリティリスク対策システム１では、リスクレベルが第一基準よりも低下したとの判定がされたことに応じて車両機能の制限の解除処理が実行されてもよい。これにより、第一車両２０のドライバーは、リスクレベルが高まったためにいったんは制限された、情報処理を伴う高度な機能の利益を再び受けることができる。以下、この車両機能の制限の解除処理について説明する。

　図１７は、セキュリティリスク対策サーバ１０において実行される、リスクレベル管理リストに含まれるリスクスコアを用いたリスク制御処理の手順例を示すフロー図であり、図５に示される処理手順例の第二段階の一部に関する。この手順が実行されるのは、例えば図１５のフロー図に手順例が示される処理によってリスク対策指示がいったん出力されたより後に、第一車両２０からの新しい第一車両情報が受信され、リスクレベル管理リストが再作成（更新）された場合であり、図５のフロー図でいえば、２回目以降のリスク制御ループで実行され得る。また、この手順は、第一車両２０から上述の走行位置変化通知又は走行状態変化通知が受信された時、又はリスクポイントテーブルが更新された場合に実行されてもよい。

　リスク判定部１４は、リスクレベル管理リストからあらためて読み取ったリスクスコアが第一閾値未満か否か判定する（ステップＳ７００）。リスクスコアが第一閾値未満の場合（ステップＳ７００でＹｅｓ）、リスク判定部１４は、機能無効化指示が未発行か否か判定する（ステップＳ７０１）。機能無効化指示が未発行である場合（ステップＳ７０１でＹｅｓ）、リスク判定部１４は、当該車両機能に対する機能制限の解除の指示（以下、機能制限解除指示ともいう）を機能制限解除指示生成部１８に生成させる。機能制限解除指示生成部１８は機能制限解除指示を生成し（ステップＳ７１０）、生成された機能制限解除指示は、指示出力部１７から出力され（ステップＳ７２０）、第一車両２０に送信される。ステップＳ７００及びステップＳ７０１は、図５のフロー図のステップＳ７に相当する。

　リスクスコアが第一閾値以上の場合（ステップＳ７００でＮｏ）、又は機能無効化指示が発行済みである場合（ステップＳ７０１でＮｏ）、機能制限には変更が加えられることなくこの処理は終了する。

　なお、上記の処理手順例では、車両機能が無効化されている場合には機能制限は解除されない。これは、車両機能が無効化されるのは、リスクレベルが非常に高い場合であることを考慮して、第一車両２０をサイバー攻撃からより確実に守るための措置である。車両機能の無効化は、例えば第一車両２０の車両メーカー又はＳＯＣによって安全が確認された後に解除されてもよい。

　また、車両機能の制限の解除処理は、上述した走行位置又は走行状態が変化した場合のリスクスコアの再算出の後に実行されてもよい。図１８Ａは、リスクスコアの再算出の後に実行される車両機能の制限の解除処理の手順例を示すフロー図である。

　この手順例では、セキュリティリスク対策サーバ１０において走行位置変化通知が取得され（ステップＳ３００Ａ）、蓄積部１３に保存された後、リスク判定部１４が、走行位置に関するリスクスコアの再算出（図１３に示すフロー図の手順ではステップＳ４１５及びＳ４１６に相当）を実行し（ステップＳ４００Ａ）、リスクレベル管理リストに書き込む。リスク判定部１４は、再算出したリスクスコアをリスクレベル管理リストからあらためて読み取り、以降は、図１７に示した処理手順と共通である。

　また、走行状態に変化があった場合も、走行位置に変化があった場合と同様の処理手順が実行されてもよい（図１８Ｂ参照）。図１８Ｂに示す処理手順の図１８Ａに示す処理手順との差異は、セキュリティリスク対策サーバ１０において取得されるのが走行状態変化通知である点（ステップＳ３００Ｂ）、及びリスク判定部１４が走行状態に関するリスクスコアを再算出するステップが、図１３に示すフロー図の手順ではステップＳ４２３及びＳ４２４に相当する点である。

　この例では、セキュリティリスク対策サーバ１０において走行状態変化通知が取得され（ステップＳ３００Ｂ）、蓄積部１３に保存された後、リスク判定部１４は、図１８Ａに示すようなリスクスコアの再算出を実行するのではなく、走行状態が停止に変化したか否か判定する（ステップＳ７００Ｃ）。走行状態が停止に変化した場合（ステップＳ７００ＣでＹｅｓ）、リスク判定部１４は、機能無効化指示が未発行か否か判定する（ステップＳ７０１）。機能無効化指示が未発行である場合（ステップＳ７０１でＹｅｓ）、リスク判定部１４は、通信関連機能に対する機能制限解除指示を機能制限解除指示生成部１８に生成させる。機能制限解除指示生成部１８は、通信関連機能に対する機能制限解除指示を生成し（ステップＳ７１０Ｃ）、生成された通信関連機能に対する機能制限解除指示は、指示出力部１７から出力され（ステップＳ７２０Ｃ）、第一車両２０に送信される。

　走行状態が停止以外に変化した場合（ステップＳ７００ＣでＮｏ）又は機能無効化指示が発行済みである場合（ステップＳ７０１でＮｏ）、通信関連機能に対する機能制限には変更が加えられることなくこの処理は終了する。

　セキュリティリスク対策システム１では、ここまでに説明した第二段階が繰り返し実行される（図５中、リスク制御ループ）。これにより、セキュリティリスク対策の実行対象である第一車両２０に、その車両状態に応じて変化する車両機能のリスクレベルに適したセキュリティリスク対策を持続的に適用することができる。

　（実施の形態２）
　実施の形態２に係る情報処理装置を含むセキュリティリスク対策システムでは、目下のセキュリティリスク対策の実行対象の車両である第一車両が持つ車両機能のリスクレベルの判定に、多数の車両を対象に集められたサイバー攻撃のインシデント情報を用いる点は実施の形態１と共通である。

　一方、実施の形態２では、このリスクレベルの判定に、インシデント情報とあわせて、第一車両以外の車両（以下、第二車両ともいう）の車両情報が用いられる点が実施の形態１と異なる。以下、この実施の形態１との差異点を中心に本実施の形態を説明する。なお、実施の形態１との共通点については、説明を簡略化又は省略する。

　ここでの第二車両とは、例えば第一車両と通信し得る車両である。より具体的には、例えば第一車両の近隣にあって、第一車両と直接の通信が可能な車両である。また例えば、それぞれが接続する中継局、路側機、又は他の車両等に仲介されて第一車両との通信が確立し得る車両である。通信相手である第二車両のサイバー攻撃に対するリスクレベルが高い場合、第二車両との情報の授受をする第一車両のリスクレベルも上がる。別の例として、第二車両は、第一車両と同じＥＣＵであって所定の大きさ以上のリスクポイントのＥＣＵ（以下、リスクＥＣＵともいう）を搭載している車両、同一車種の車両、又は共通の車両機能を持つ車両であってもよい。このような第二車両のサイバー攻撃に対するリスクレベルが高い場合、第一車両も共通の脆弱性を有する可能性が高いため、同様にサイバー攻撃に対するリスクレベルが高い。また別の例として、第二車両は、第一車両との通信の有無にかかわらず第一車両の近くを走行する車両であってもよい。第二車両が地域的なサイバー攻撃を受けている場合、近くを走行する第一車両も同様にサイバー攻撃ににさらされる可能性があり、リスクレベルが高い。したがって、このように第一車両以外のリスクレベルに応じて第一車両の車両機能を制限することも、第一車両のセキュリティリスク対策として有効である。

　［１．構成］
　図１９は、本実施の形態に係る情報処理装置を含むセキュリティリスク対策システム１Ａの構成例の概要を示す図である。

　図１に示される構成例では、セキュリティリスク対策サーバ１０Ａと、第一車両である車両２０Ａ、インシデント情報収集サーバ３０とがインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。また、第一車両２０Ａとは別の第二車両２０Ｂも、セキュリティリスク対策サーバ１０Ａ及びインシデント情報収集サーバ３０とインターネット等の通信ネットワークを介して接続されて相互に情報の授受が可能である。

　インシデント情報収集サーバ３０については、実施の形態１と共通の構成でよいため詳細な説明は省略する。また、インシデント情報収集サーバ３０からセキュリティリスク対策サーバ１０Ａに提供されるインシデント情報の構成も実施の形態１と共通でよいため詳細な説明は省略する。

　また、第一車両２０Ａ及び第二車両２０Ｂについても、各々が備える車載ネットワーク２００Ａ及び２００Ｂの構成は、図３を用いて説明した、実施の形態１における第一車両２０の車載ネットワーク２００の構成と共通でよく、詳細な説明は省略する。

　セキュリティリスク対策サーバ１０Ａは、実施の形態１のセキュリティリスク対策サーバ１０と基本的な構成は共通である。セキュリティリスク対策サーバ１０Ａもまた、プロセッサ及びメモリを含む１台又は複数台の情報処理装置で構成され、本実施の形態における本発明の情報処理装置の例である。セキュリティリスク対策サーバ１０Ａのセキュリティリスク対策サーバ１０との差異点は、上述のとおり、インシデント情報収集サーバ３０から取得するインシデント情報と、第二車両２０Ｂから取得した第二車両の状態に関する情報とを用いて、第一車両２０Ａが持つ車両機能のサイバー攻撃に関するリスクレベルを判定するという第二段階の処理にある。なお、この処理は、実施の形態１における、セキュリティリスク対策の実行対象の車両２０から取得された第一車両情報を用いた処理と合わせての実行が可能であり、処理を実行する各構成要素は、セキュリティリスク対策サーバ１０の構成要素と共通でよいため、詳細な説明は省略する。

　［２．動作］
　次に、セキュリティリスク対策システム１Ａで実行されるセキュリティリスク対策の処理の動作について、実施の形態１との差異点を中心に説明する。

　図２０は、セキュリティリスク対策サーバ１０で実行されるこの処理の手順例を示すフロー図である。

　インシデント情報収集サーバ３０からのインシデント情報の取得（ステップＳ２１）から蓄積、及び取得されたインシデント情報に基づく、リスクポイント管理部１５によるリスクポイントテーブルの更新（ステップＳ２２）の処理手順は図５に示される実施の形態１と共通でよく、説明を省略する。以下の手順については、実施の形態１との比較のため、図９のシーケンス図に対応する図２１のシーケンス図も参照しながら説明する。図２１のシーケンス図を参照すると、セキュリティリスク対策の実行対象である第一車両２０Ａ以外の車両である第二車両２０Ｂが第一車両２０Ａのセキュリティリスク対策の処理に関与している。

　次にセキュリティリスク対策システム１Ａでは、第二車両２０Ｂから送信された第二車両２０Ｂの状態に関する情報（以下、第二車両情報ともいう）が、車両情報取得部１２によっていったん蓄積部１３に保存される（図２０のステップＳ２３、図２１のステップＳ２２０３０、Ｓ２３０）。

　次いでセキュリティリスク対策システム１Ａでは、リスク判定部１４が、リスクポイントテーブル及び第二車両情報を用いて第二車両のリスクレベルを判定し、リスクレベル管理リストを作成（更新の場合を含む）する（図２０のステップＳ２４、図２１のステップＳ２４０）。第二車両のリスクレベルの判定及びリスクレベル管理リストの作成の処理手順については、実施の形態１について図１０から図１４Ｆを用いて説明した第一車両２０の場合の処理手順と共通でよいため、ここでは説明を省略する。

　第二車両２０Ｂのリスクスコアをいったんリスクレベル管理リストに書き込んだリスク判定部１４は、次にこのリスクスコアを読み取り（図２０のステップＳ２５、図２１のステップＳ２５０）第一車両２０Ａのリスク制御処理、つまり有効な車両機能の機能制限（無効化の場合を含む）の要否についての判定（図２０のステップＳ２６）に用いる。

　図２２は、セキュリティリスク対策サーバ１０Ａにおいて実行される、第二車両２０Ｂのリスクスコアを用いた第一車両２０Ａのリスク制御処理の手順例を示すフロー図である。

　本実施の形態における第一車両２０Ａのリスク制御処理の基本的な流れは、図１５を用いて説明した実施の形態１でのリスク制御処理と共通でよい。図中の第一閾値、第二閾値、機能無効化指示、機能制限指示、及びリスク対策指示については、実施の形態１と共通でよいため、説明を省略する。

　第二車両２０Ｂのリスクスコアが第一閾値未満の場合（ステップＳ２６０１でＮｏ）、第一車両２０Ａの車両機能は制限も無効化もされないでリスク制御の処理が終了する。

　第二車両２０Ｂのリスクスコアが第二閾値以上の場合（ステップＳ２６００でＹｅｓ）、リスク判定部１４は、リスク対策指示生成部１６に第一車両２０Ａの車両機能に対する機能無効化指示を生成させる。リスク対策指示生成部１６は、リスクレベル管理リスト（図１２）でリスク制御対象の車両機能の「無効化」欄の内容に従って、機能無効化指示を生成する（ステップＳ２６１０）。生成された機能無効化指示は、指示出力部１７から出力され（ステップＳ２６２０）、第一車両２０Ａに送信される。

　このように、図１５にフロー図に手順例が示される処理によって、第二車両２０Ｂのリスクスコア、つまりリスクレベルに応じて第一車両２０Ａの車両機能の制限が実行される。これにより、例えば第二車両２０Ｂが第一車両２０Ａと通信が可能であり、かつサイバー攻撃に対する脆弱性があってリスクレベルが高い場合にも、第一車両２０Ａの車両機能に、第二車両２０Ｂで発生するインシデントの影響が通信を介して及ぶことを防ぐことができる。

　なお、第一車両２０Ａにとっての第二車両２０Ｂの選定は、図２１のシーケンス図におけるステップＳ２６の手前までに、例えばリスク判定部１４又はリスク対策指示生成部１６によって随時行われ得る。例えば、ステップＳ２４まではセキュリティリスク対策システム１Ａによる監視対象の全ての車両に対して実行される。そしてリスク判定部１４は、監視対象の一台である第一車両２０Ａの車両情報に含まれる走行位置の情報と、第一車両２０Ａ以外の監視対象の車両の車両情報に含まれる走行位置の情報とを用いて第一車両２０Ａと所定の近さ（所定の距離以下）にある車両を第二車両２０Ｂとして選択してステップＳ２０Ｂ以降を実行してもよい。または、第一車両２０Ａと所定の近さ（所定の距離以下）にあって第一車両２０Ａと通信し得る機能を備える車両を第二車両２０Ｂとして選択してもよい。または、車両情報の機器リスト（図１０）を参照して、第一車両２０Ａと共通の機器を備える車両を第二車両２０Ｂとして選択してもよい。または、セキュリティリスク対策システム１Ａによる監視対象の全ての車両に対して、図５に示す実施の形態１のセキュリティリスク対策の処理を実行した上で、何らかの機能制限が適用された車両がまず第二車両２０Ｂとして選定され、上述のように走行位置、備える機能又は機器等に基づいて第一車両２０Ａが選定されてもよい。

　また、第二車両２０Ｂのリスクスコアと比較された第一閾値及び第二閾値は、実施の形態１では第一車両２０で用いられた第一閾値及び第二閾値と共通であってもよいし、これらと異なるリスクレベルを示す基準であってもよい。第二車両２０Ｂで用いられる第一閾値が示す基準（第三基準）と第二閾値が示す基準（第四基準）との間で、第四基準が第三基準より高いものであればよい。

　また、第二車両２０Ｂのリスクスコアが第二閾値未満かつ第一閾値以上の場合に第一車両２０Ａに適用される制限は、第一車両２０Ａが自車のリスクスコアが第二閾値未満かつ第一閾値以上の場合に適用される制限と異なるものであってもよい。例えば、これらの制限は、リスクレベル管理リストに２列の「制限」欄があり、各欄に分けて規定されていてもよい。

　また、第一車両２０Ａで制限又は無効化される車両機能は、第二車両２０Ｂでリスクスコアが第一閾値又は第二閾値を超える車両機能に対応する第一車両２０Ａの車両機能である。ここでの第二車両２０Ｂの車両機能に対応する第一車両２０Ａの車両機能とは、例えばリスクスコアが各閾値を超える第二車両２０Ｂの車両機能と同じ車両機能である。またさらに、第一車両２０Ａにおいて制限又は無効化される車両機能を提供するＥＣＵが提供する他の車両機能も、この対応する車両機能に含まれてもよい。別の例として、対応する車両機能は、第一車両２０Ａで提供する機能は異なっていても、第二車両２０Ｂでリスクスコアが第一閾値又は第二閾値を超える車両機能を提供しているＥＣＵと、製造元が同じＥＣＵもしくは同型のＥＣＵが提供する車両機能であってもよい。このような対応する車両機能は、機器リストを参照して把握される。

　また、本実施の形態における第二車両２０Ｂのリスクレベルに応じた第一車両２０Ａのリスク制御としても、実施の形態１と同様に機能制限の解除が実行されてもよい。図２３は第二車両２０Ｂのリスクスコアの再算出の後に実行される車両機能の制限の解除処理の手順例を示すフロー図である。

　この手順例では、まず、リスク判定部１４によって、第二車両２０Ｂの走行状態について変化の有無が判定される（ステップＳ２３００）。第二車両２０Ｂの走行状態に変化があった場合（ステップＳ２３００でＹｅｓ）、リスク判定部１４は、第二車両２０Ｂの走行状態に関するリスクスコアの再算出（図１３に示すフロー図の手順ではステップＳ４２３及びＳ４２４に相当）を実行し（ステップＳ２４００）、リスクレベル管理リストに書き込む。次にリスク判定部１４は、再算出した第二車両２０Ｂのリスクスコアをリスクレベル管理リストからあらためて読み取り、以降は、このリスクスコアを用いて図１７に示した処理手順と共通の手順を実行する。ステップＳ２７００、Ｓ２７０１、Ｓ２７１０及びＳ２７２０は、図１７に示す実施の形態１におけるステップＳ７００、Ｓ７０１、Ｓ７１０及びＳ７２０に相当する。ステップＳ２７０１で機能無効化指示の発行についての判定が行われるのは、実施の形態１において車両機能が無効化されている場合には機能制限は解除されないのと同じ理由による。

　また、本実施の形態においては、第二車両２０Ｂとの通信の確立の可否に応じて、第一車両２０Ａの車両機能が第二車両２０Ｂで発生するインシデントの影響を受ける可能性も変わる。つまり、通信の確立が不可能であれば、第二車両２０Ｂで発生するインシデントの影響が通信を介して第一車両２０Ａの車両機能に及ぶ可能性がない。したがって、例えば第一車両２０Ａとリスクレベルの高い第二車両２０Ｂとの間の距離が、車車間の通信の確立が可能な距離であるか否かに応じて第一車両２０Ａの車両機能を制限するか否かが決定されてもよい。図２４Ａは、この態様での第一車両２０Ａの車両機能に対する機能制限処理の手順例を示すフロー図である。また、図２４Ｂは、図２４Ａに示す手順例で第一車両２０Ａの車両機能に対する機能制限指示が出力された後の、第一車両２０Ａの車両機能に対する機能制限解除処理の手順例を示すフロー図である。

　図２４Ａに示す手順例では、リスク判定部１４は、リスクレベル管理リストから読み取った第二車両２０Ｂのリスクスコアが第一閾値以上であるか否か判定する（ステップＳ２６０１Ａ）。第二車両２０Ｂのリスクスコアが第一閾値以上である場合（ステップＳ２６０１ＡでＹｅｓ）、リスク判定部１４は、さらに第一車両２０Ａの第二車両２０Ｂとの距離が、所定の基準距離ｄ未満であるか否か判定する。基準距離ｄは、例えば第一車両２０Ａの第二車両２０Ｂとの間で確立され得る通信が準拠する規格での、通信可能距離の上限に基づいて定められる。第一車両２０Ａの第二車両２０Ｂとの距離が基準距離ｄ未満である場合（ステップＳ２６０２ＡでＹｅｓ）、リスク判定部１４は、この例では、第一車両２０Ａの車両機能のうち、走行関連機能に対する機能制限指示をリスク対策指示生成部１６に生成させている。そしてこの走行関連機能に対する機能制限指示が、指示出力部１７から出力され（ステップＳ２６０３Ａ）、第一車両２０Ａに送信される。

　第二車両２０Ｂのリスクスコアが第一閾値未満の場合（ステップＳ２６０１ＡでＮｏ）又は第一車両２０Ａの第二車両２０Ｂとの距離が基準距離ｄ以上である場合、第一車両２０Ａの車両機能に対する機能制限指示は生成されない。これらのいずれの場合も第二車両２０Ｂで発生するインシデントの影響が通信を介して第一車両２０Ａの車両機能に及ぶ可能性がないので、第一車両２０Ａで第二車両２０Ｂのリスクレベルに応じたセキュリティ対策の実行の必要はない。

　ステップＳ２７０２Ａが実行された場合に実行される図２４Ｂに示す手順例では、リスク判定部１４は、第一車両２０Ａの第二車両２０Ｂとの距離が、所定の基準距離ｄ以上であるか否か判定する（ステップＳ２７０１Ａ）。第一車両２０Ａの第二車両２０Ｂとの距離が、所定の基準距離ｄ以上である場合（ステップＳ２７０１ＡでＹｅｓ）、第二車両２０Ｂでインシデントが発生したとしてもその影響が通信を介して第一車両２０Ａの車両機能に及ぶ可能性がないので、第一車両２０Ａの車両機能に対する走行関連機能に対する機能制限解除指示が生成されて出力される（ステップＳ２７０２Ｂ）。第一車両２０Ａの第二車両２０Ｂとの距離が、所定の基準距離ｄ未満である間（ステップＳ２７０１ＡでＮｏ）、この機能制限解除指示の出力には至らない。つまり、第一車両２０Ａでの走行関連機能に対する機能制限が維持される。

　また、インシデントが発生した車両を特定可能な情報がインシデント情報に含まれる場合は、第二車両２０Ｂにインシデント発生の履歴がある場合に第二車両２０Ｂのリスクスコアを上昇させてもよい。サイバー攻撃のインシデントが発生した実績のある車両には、攻撃を許した何らかの脆弱性、又はその攻撃の影響が残る可能性があり、そのような車両と通信可能な車両では警戒して予防的対策がなされるのが妥当である。そのような第二車両２０Ｂのリスクスコアを第一閾値以上にしておくことで、第一車両２０Ａでは、車両機能に対する機能制限がなされる。これにより、第二車両２０Ｂでインシデントが発生した場合にも、その影響が通信を介して第一車両２０Ａの車両機能に及ぶ可能性を抑えることができる。図２５は、このような第二車両のインシデント履歴に応じたセキュリティ対策の処理の手順例を示すフロー図である。

　図２５に示す手順例では、リスク判定部１４は、蓄積部２１１３に保存されたインシデント情報で第二車両２０Ｂに関するインシデント情報のレコードを検索する（ステップＳ２９００）。第二車両２０Ｂに関するインシデント情報のレコードが見つからなかった場合（ステップＳ２９０１でＮｏ）、第二車両２０Ｂのリスクスコアは変動しない。第二車両２０Ｂに関するインシデント情報のレコードが見つかった場合（ステップＳ２９０１でＹｅｓ）、第二車両２０Ｂのリスクスコアが第一閾値以上に設定される（ステップＳ２９０２）。この場合に第一閾値以上に設定されるリスクスコアは、例えば見つかったインシデント情報のレコードの中身に応じた車両機能についてのリスクスコアであってもよい。具体例としては、例えば第二車両２０Ｂで発生していたのが自動運転機能に影響を受けたインシデントであれば、自動運転機能のリスクスコアが第一閾値以上に設定されてもよい。また、このインシデントを引き起こしたサイバー攻撃では同一の機能系統も影響を受ける可能性が他の機能系統よりも高いため、自動運転機能と同一の機能系統、つまり走行系に属する運転支援及び走行制御の機能（図１２のリスクレベル管理リスト参照）のリスクスコアも各々第一閾値以上に設定されてもよい。

　（変形例等）
　以上、一つまたは複数の態様に係る、セキュリティリスク対策システムに含まれるセキュリティリスク対策サーバを構成する情報処理装置について、実施の形態に基づいて説明したが、本発明はこれらの実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。以下に、そのような変形の例を挙げる。

　（１）上記の実施の形態の説明のために例示した情報処理装置はサーバであるが、情報処理装置の構成要素の少なくとも一部は、１個以上のＥＣＵ等の車載の情報処理装置であってもよい。例えば図３に示すＥＣＵのうち、ＥＣＵ２１０Ａがセキュリティリスク対策サーバ１０又は１０Ａと同じ機能的構成を備えてもよい。図２６は、このようなＥＣＵ２１０Ａの機能的構成例を示すブロック図である。なお、図２６の車両情報取得部２１１２は、第一車両２０の車両情報は外部の通信ネットワーク経由で受信するのではなく、車載ネットワーク上の通信で取得する。また、指示出力部２１１７から出力される機能制限指示及び機能制限解除指示は直接車載ネットワークに送出され、外部の通信ネットワークは経由しない。

　また、車載の情報処理装置がセキュリティリスク対策サーバ１０又は１０Ａの一部の機能を備える例としては、例えばリスクポイント管理部による、インシデント情報に基づくリスクポイントの更新、つまり図５のフロー図におけるステップＳ２まではセキュリティリスク対策サーバで実行され、リスクポイントテーブルが通信ネットワークを介して車載の情報処理装置に提供されてもよい。この場合、車載の情報処理装置は、提供された最新のリスクポイントテーブルと車載の他の情報処理装置から取得した車両情報を用いてステップＳ４以降を実行する。

　また例えば、図５のフロー図におけるステップＳ４のリスクレベル管理リストの作成（更新）までがセキュリティリスク対策サーバで実行され、リスクレベル管理リストが通信ネットワークを介して車載の情報処理装置に提供されてもよい。この場合、車載の情報処理装置は、提供された最新のリスクレベル管理リストを用いてステップＳ５以降を実行する。また、リスクポイントテーブルもセキュリティリスク対策サーバから車載の情報処理装置に提供され、走行位置又は走行状態に関するリスクレベルの比較的小規模な更新、及びその後の機能制限判定等が車載の情報処理装置で実行されてもよい。この場合、例えば第一車両の車両情報が各日の深夜等に日次処理でセキュリティリスク対策サーバに提供されてもよい。セキュリティリスク対策サーバでは、夜間の日次処理としてインシデント情報に基づくリスクポイントテーブルの更新及び第一車両のリスクレベル管理リストの全面的な更新が実行される、そして早朝までにセキュリティリスク対策サーバから第一車両へ最新のリスクポイントテーブル及びリスクレベル管理リストが送信される。第一車両の車載の情報処理装置では、早朝から深夜までリスクレベルの小規模な更新及び機能制限判定等が実行される。また、日次処理のような定期的な処理ではなく、第一車両のドライバーの要求に応じて、第一車両の車両情報のセキュリティリスク対策サーバへの提供又はセキュリティリスク対策サーバから第一車両への最新のリスクポイントテーブル及びリスクレベル管理リストの提供が実施されてもよい。

　（２）機能制限の態様は、図１２のリスクレベル管理リスト及び図１５等を参照しての機能制限に関する上記の説明に限定されない。例えばより多くの基準を用いて判断されるより多段階な制限であってもよい。その場合、リスク判定部１４又は２１１４が行う機能制限の解除の判定には、機能制限の緩和も概念的に含まれる。

　（３）インシデント情報におけるインシデントの発生場所及び車両情報における車両の走行位置の表現は、上記の市区町村のような地名を用いる例に限定されず、統計的にインシデントの発生の多い又は少ない場所と第一車両の走行位置との位置関係が分かる表現であればよい。走行位置の表現には、例えばランドマーク若しくは通信基地局等の施設の名称、道路の名称及びその区間、経緯度、又はセルを並べたグリッド地図が用いられてもよい。そして、位置関係は、例えばこれらのとの距離及び方角、包含又は重複で表現され得る。経緯度の情報は、例えば、各車両から提供される経緯度の情報として取得される。その他の表現は、例えばインシデント情報収集サーバ３０又はセキュリティリスク対策サーバ１０において、各車両から提供された経緯度の情報から変換して実現されてもよい。

　そして、リスク判定部１４又は２１１４は、第一車両の走行位置に、リスクレベルが変わり得る所定の変化があった場合に車両機能のリスクレベルの再判定を実行する。この所定の変化の例としては、最寄りの施設の切り換わり、道路又はその区間の切り換わり、経緯度の所定量の変化、グリッド地図において走行位置を含むセルの切り換わりが挙げられる。

　（４）上記実施の形態で示した各種処理の手順（例えば図５、図８、図１３～図１８Ｃ、図２０、図２２～図２５等に示した手順等）の実行順序は、必ずしも、上述した通りの順序に制限されるものではない。本発明の要旨を逸脱しない範囲で、実行順序を入れ替えたり、複数の手順を並列に行ったり、その手順の一部を省略したりすることができる。

　（５）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていてもよいし、一部又は全部を含むように１チップ化されてもよい。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Field Programmable Gate Array）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブルプロセッサを利用してもよい。さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。

　（６）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしてもよい。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（７）本発明の一態様としては、例えば図５、図８、図１３～図１８Ｃ、図２０、図２２～図２５等に示した手順に示す処理手順の全部又は一部を含む情報処理方法であるとしてもよい。また、これらの方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしてもよい。

　（８）本発明の一態様としては、上記のコンピュータプログラム又はこのコンピュータプログラムを表すデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Blu-ray（登録商標） Disc）、半導体メモリ等に記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。また、本発明の一態様としては、上記のコンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットに代表されるネットワーク、データ放送等を経由して伝送するものとしてもよい。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしてもよい。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（９）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。

　本発明は、車両で利用される情報を処理する情報処理装置、情報処理方法、及びプログラムに利用可能である。

　１、１Ａ　セキュリティリスク対策システム
　１０、１０Ａ　セキュリティリスク対策サーバ
　１１、２１１１　インシデント情報取得部
　１２、２１１２　車両情報取得部
　１３、２１１３　蓄積部
　１４、２１１４　リスク判定部
　１５、２１１５　リスクポイント管理部
　１６、２１１６　リスク対策指示生成部
　１７、２１１７　指示出力部
　１８、２１１８　機能制限解除指示生成部
　２０　車両（第一車両）
　２０Ａ　車両（第一車両）
　２０Ｂ　車両（第二車両）
　３０　インシデント情報収集サーバ
　２００、２００Ａ、２００Ｂ　車載ネットワーク
　２１０Ａ、２１０Ｂ、２１０Ｃ、２１１Ａ、２１１Ｂ、２１１Ｃ、２１２Ａ、２１２Ｂ、２１２Ｃ　ＥＣＵ
　２２０　ゲートウェイ
　２３０　ＩＶＩシステム
　２４０　外部通信装置

Claims

　車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得するインシデント情報取得部と、
　第一車両の状態に関する第一車両情報を取得する車両情報取得部と、
　前記インシデント情報及び前記第一車両情報を蓄積する蓄積部と、
　前記蓄積部に蓄積された前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定するリスク判定部と、
　前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成するリスク対策指示生成部と、
　前記機能制限指示を出力する指示出力部とを備える
　情報処理装置。
　前記リスク対策指示生成部は、前記リスクレベルが前記第一基準より上の第二基準よりも高い場合、前記機能制限指示として前記車両機能に対する機能無効化指示を生成する
　請求項１に記載の情報処理装置。
　前記リスクレベルが前記第一基準より低い場合、前記車両機能に対する機能制限解除指示を生成する機能制限解除指示生成部を備え、
　前記指示出力部は、前記機能制限解除指示を出力する
　請求項１又は２に記載の情報処理装置。
　前記第一車両情報が示す前記第一車両の走行状態が変化した場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定する
　請求項３に記載の情報処理装置。
　前記第一車両の走行状態が走行中状態から停止状態に変化した場合、前記機能制限解除指示生成部は、前記車両機能のうち通信関連機能に対する機能制限を解除する前記機能制限解除指示を生成する
　請求項４に記載の情報処理装置。
　前記第一車両情報が示す前記第一車両の走行位置に所定の変化があった場合、前記リスク判定部は、前記車両機能のリスクレベルを再判定する
　請求項３から５のいずれか一項に記載の情報処理装置。
　前記車両情報取得部は、第二車両の状態に関する第二車両情報を取得し、
　前記リスク判定部は、前記インシデント情報と前記第二車両情報との一致度に基づいて前記第二車両の車両機能のリスクレベルを判定し、
　前記第二車両の車両機能のリスクレベルが第三基準より高い場合、前記リスク対策指示生成部は、前記第二車両の車両機能に対応する前記第一車両の車両機能に対する機能制限指示を生成する
　請求項３から６のいずれか一項に記載の情報処理装置。
　前記第二車両が前記第一車両の走行位置から所定距離以下の位置を走行している場合、かつ前記リスク対策指示生成部が生成した前記機能制限指示によって前記第二車両の車両機能に対応する前記第一車両の車両機能が制限されている場合、前記第二車両の位置が前記第一車両の走行位置から前記所定距離より遠くなると、前記機能制限解除指示生成部は、前記第一車両の車両機能に対する機能制限解除指示を生成する
　請求項７に記載の情報処理装置。
　前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、より新しいインシデント情報と一致する場合に、より古いインシデント情報と一致する場合よりも高く判定される
　請求項１から８のいずれか一項に記載の情報処理装置。
　前記リスク判定部による前記車両機能のリスクレベルの判定において、前記第一車両情報のリスクレベルは、蓄積された前記インシデント情報のうち、直近の所定期間に所定件数以上発生したインシデント情報と一致する場合に、前記所定期間に所定件数未満発生したインシデント情報と一致する場合よりも高く判定される
　請求項１から９のいずれか一項に記載の情報処理装置。
　情報処理装置が、
　車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得し、
　第一車両の状態に関する第一車両情報を取得し、
　前記インシデント情報と前記第一車両情報との一致度に基づいて、前記第一車両が持つ車両機能のリスクレベルを判定し、
　前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成し、前記機能制限指示を出力する
　情報処理方法。
　プロセッサ及びメモリを備える情報処理装置において、前記メモリを用いて前記プロセッサによって実行されることで、前記プロセッサに、
　車両で発生したサイバー攻撃のインシデントに関するインシデント情報を取得させ、
　第一車両の状態に関する第一車両情報を取得させ、
　前記インシデント情報と前記第一車両情報との一致度に基づいて前記第一車両が持つ車両機能のリスクレベルを判定させ、
　前記リスクレベルが第一基準より高い場合、前記車両機能に対する機能制限指示を生成させ、前記機能制限指示を出力させる
　プログラム。