JP7296556B1 - 情報処理装置、情報処理装置の制御方法及びプログラム - Google Patents

情報処理装置、情報処理装置の制御方法及びプログラム Download PDF

Info

Publication number
JP7296556B1
JP7296556B1 JP2023520069A JP2023520069A JP7296556B1 JP 7296556 B1 JP7296556 B1 JP 7296556B1 JP 2023520069 A JP2023520069 A JP 2023520069A JP 2023520069 A JP2023520069 A JP 2023520069A JP 7296556 B1 JP7296556 B1 JP 7296556B1
Authority
JP
Japan
Prior art keywords
unit
monitoring
information processing
monitoring unit
heartbeat signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023520069A
Other languages
English (en)
Inventor
薫 横田
唯之 鳥崎
翔一朗 関屋
拓丸 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority claimed from PCT/JP2023/003983 external-priority patent/WO2024070001A1/ja
Priority to JP2023089117A priority Critical patent/JP7352887B1/ja
Application granted granted Critical
Publication of JP7296556B1 publication Critical patent/JP7296556B1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

情報処理装置(2)は、情報処理装置(2)において生成された監視ログをSOC(28)に送信するログ送信部(24)と、ログ送信部(24)の完全性を検証するHIDS監視部(14)と、HIDS監視部(14)の完全性を検証する監視RoT部(12)であって、ハートビート信号を繰り返しログ送信部(24)に出力する監視RoT部(12)とを備える。ログ送信部(24)は、監視RoT部(12)からハートビート信号が出力される毎に、当該ハートビート信号をSOC(28)に送信する。HIDS監視部(14)は、ログ送信部(24)の完全性に異常がある場合に、監視RoT部(12)に対してハートビート信号の出力の停止を要求するための出力停止要求信号を監視RoT部(12)に出力する。監視RoT部(12)は、出力停止要求信号に基づいて、ハートビート信号の出力を停止する。

Description

本開示は、情報処理装置、情報処理装置の制御方法及びプログラムに関する。
ファームウェアのセキュリティ対策として、ファームウェアの起動時における完全性検証(セキュアブート)だけでなく、ファームウェアの起動後における常時完全性検証(RI:Runtime Integrity)をも実行することが要望されている。
従来のセキュリティ対策で用いられる情報処理装置は、非セキュア領域で動作する監視部と、セキュア領域で動作するログ収集部とを備えている(例えば、特許文献1参照)。監視部は、情報処理装置における異常の有無を監視する。そして、監視部は、監視結果を示す監視ログを生成し、生成した監視ログを第1のメモリに保存する。ログ収集部は、第1のメモリに保存されている監視ログを収集し、収集した監視ログを第2のメモリに保存する。第2のメモリに保存された監視ログは、SOC(Security Operation Center)に送信される。
特開2020-129238号公報
しかしながら、上述した従来の情報処理装置では、監視ログをSOCに送信する動作の完全性が保証されないという課題が生じる。すなわち、監視部が異常を検知した場合であっても、異常を検知したことを示す監視ログが確実にSOCに送信されることが保証されないため、SOCは異常の検知を把握することができず、検知した異常に対する対策が取られずに放置されたままになるおそれがある。
そこで、本開示は、送信部が危殆化されたことを外部装置で検出することができる情報処理装置、情報処理装置の制御方法及びプログラムを提供する。
本開示の一態様に係る情報処理装置は、外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、前記第1の監視部の完全性を検証する第2の監視部であって、ハートビート信号を繰り返し前記送信部に出力する第2の監視部と、を備え、前記送信部は、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信し、前記第1の監視部は、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視部に対して前記ハートビート信号の出力の停止又は不正なハートビート信号の出力を要求するための出力停止要求信号を前記第2の監視部に出力し、前記第2の監視部は、前記出力停止要求信号に基づいて、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力する。
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM(Compact Disc-Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
本開示の一態様に係る情報処理装置等によれば、送信部が危殆化されたことを外部装置で検出することができる。
実施の形態1に係る情報処理装置の概要を示す図である。 実施の形態1に係る監視RoT部の機能構成を示すブロック図である。 実施の形態1に係るHIDS監視部の機能構成を示すブロック図である。 実施の形態1に係る監視RoT部の動作の流れを示すフローチャートである。 実施の形態1に係るHIDS監視部の動作の流れを示すフローチャートである。 実施の形態2に係る情報処理装置の概要を示す図である。
本開示の第1の態様に係る情報処理装置は、外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、前記第1の監視部の完全性を検証する第2の監視部であって、ハートビート信号を繰り返し前記送信部に出力する第2の監視部と、を備え、前記送信部は、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信し、前記第1の監視部は、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視部に対して前記ハートビート信号の出力の停止又は不正なハートビート信号の出力を要求するための出力停止要求信号を前記第2の監視部に出力し、前記第2の監視部は、前記出力停止要求信号に基づいて、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力する。
本態様によれば、第1の監視部は、情報処理装置の内部の処理(例えば、送信部)の完全性に異常がある場合に、出力停止要求信号を第2の監視部に出力する。これにより、外部装置は、情報処理装置からのハートビート信号の受信が途絶された場合、又は、情報処理装置からの不正なハートビート信号を受信した場合に、例えば情報処理装置の送信部が危殆化されたことを検出することができる。
また、本開示の第2の態様に係る情報処理装置では、第1の態様において、前記情報処理装置は、さらに、前記送信部及び前記第1の監視部の各々が実行される第1のプログラム領域と、前記第2の監視部が実行される第2のプログラム領域であって、前記第1のプログラム領域よりもセキュリティレベルの高い第2のプログラム領域と、を備えるように構成してもよい。
本態様によれば、例えば第2の監視部を信頼の基点として、情報処理装置の各種プログラムの常時完全性検証(RI)を実行することができる。
また、本開示の第3の態様に係る情報処理装置では、第1の態様又は第2の態様において、前記第1の監視部は、前記情報処理装置の内部の処理の完全性の検証結果を示す第1の監視ログを出力し、前記情報処理装置の内部の処理の完全性に異常がある場合には、前記第2の監視部に対して前記第1の監視ログへの署名の付与を要求する署名付与要求信号を前記第2の監視部に出力し、前記第2の監視部は、前記署名付与要求信号に基づいて、前記第1の監視ログに署名を付与し、前記第1の監視部は、前記第2の監視部により署名が付与された前記第1の監視ログを保持するように構成してもよい。
本態様によれば、情報処理装置の内部の処理(例えば、送信部)の完全性に異常がある場合に、情報処理装置の内部の処理の完全性に異常があることを示す第1の監視ログを保全することができる。その結果、第1の監視ログを、例えば危殆化された送信部の解析に使用することができる。
また、本開示の第4の態様に係る情報処理装置では、第1の態様~第3の態様のいずれか一態様において、前記第2の監視部は、前記第1の監視部の完全性に異常がある場合に、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力するように構成してもよい。
本態様によれば、外部装置は、情報処理装置からのハートビート信号の受信が途絶される、又は、情報処理装置からの不正なハートビート信号を受信するため、例えば情報処理装置の送信部及び第1の監視部の少なくとも一方が危殆化されたことを検出することができる。
また、本開示の第5の態様に係る情報処理装置では、第1の態様~第4の態様のいずれか一態様において、前記第1の監視部は、前記出力停止要求信号を出力した後に、前記第1の監視部が検出した完全性の異常が解消された場合に、前記第2の監視部に対して前記ハートビート信号の出力の再開を要求するための出力再開要求信号を前記第2の監視部に出力し、前記第2の監視部は、前記出力再開要求信号に基づいて、前記ハートビート信号の出力を再開するように構成してもよい。
本態様によれば、外部装置は、情報処理装置からのハートビート信号の受信を再開することによって、例えば情報処理装置の送信部が復旧したことを認識することができる。
また、本開示の第6の態様に係る情報処理装置では、第1の態様~第5の態様のいずれか一態様において、前記情報処理装置は、さらに、前記情報処理装置における異常を検出し、前記情報処理装置における異常の検出結果を示す第2の監視ログを出力する異常検出部を備え、前記第1の監視部は、さらに、前記異常検出部の完全性を検証し、前記異常検出部は、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視ログを保持するように構成してもよい。
本態様によれば、例えば送信部が危殆化された場合であっても、第2の監視ログを保全することができる。
また、本開示の第7の態様に係る情報処理装置では、第1の態様~第6の態様のいずれか一態様において、前記第1の監視部は、前記送信部の完全性を検証するように構成してもよい。
本態様によれば、情報処理装置の送信部が危殆化されたことを検出することができる。
本開示の第8の態様に係る情報処理装置の制御方法は、情報処理装置の制御方法であって、前記情報処理装置は、外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、前記第1の監視部の完全性を検証する第2の監視部と、を備え、前記制御方法は、前記第2の監視部が、ハートビート信号を繰り返し前記送信部に出力するステップと、前記送信部が、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信するステップと、前記第1の監視部が、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視部に対して前記ハートビート信号の出力の停止又は不正なハートビート信号の出力を要求するための出力停止要求信号を前記第2の監視部に出力するステップと、前記第2の監視部が、前記出力停止要求信号に基づいて、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力するステップと、を含む。
本態様によれば、第1の監視部は、情報処理装置の内部の処理(例えば、送信部)の完全性に異常がある場合に、出力停止要求信号を第2の監視部に出力する。これにより、外部装置は、情報処理装置からのハートビート信号の受信が途絶された場合、又は、情報処理装置からの不正なハートビート信号を受信した場合に、例えば情報処理装置の送信部が危殆化されたことを検出することができる。
また、本開示の第9の態様に係る情報処理装置の制御方法では、第8の態様において、前記第1の監視部は、前記送信部の完全性を検証するように構成してもよい。
本態様によれば、情報処理装置の送信部が危殆化されたことを検出することができる。
本開示の第10の態様に係るプログラムは、第8の態様又は第9の態様に係る情報処理装置の制御方法をコンピュータに実行させる。
本開示の第11の態様に係る情報処理装置は、情報処理装置であって、外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、起動される毎に、前記第1の監視部の完全性の検証、及び、前記送信部へのハートビート信号の出力のうち少なくとも一方を実行する第2の監視部と、を備え、前記送信部は、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信し、前記第2の監視部は、前記第1の監視部の完全性に異常がある場合に、前記ハートビート信号の出力を停止する、又は、不正なハートビート信号を出力する。
本態様によれば、第2の監視部は、例えば所定のタイミングで繰り返し起動される。これにより、外部装置は、情報処理装置からのハートビート信号の受信が途絶された場合、又は、情報処理装置からの不正なハートビート信号を受信した場合に、情報処理装置が危殆化されたことを検出することができる。また、第2の監視部は、第1の監視部の完全性に異常がある場合に、ハートビート信号の出力を停止する、又は、不正なハートビート信号を出力する。これにより、外部装置は、情報処理装置からのハートビート信号の受信が途絶された場合、又は、情報処理装置からの不正なハートビート信号を受信した場合に、情報処理装置が危殆化されたことを検出することができる。
また、本開示の第12の態様に係る情報処理装置では、第11の態様において、前記第1の監視部は、前記送信部の完全性を検証するように構成してもよい。
本態様によれば、情報処理装置の送信部が危殆化されたことを検出することができる。
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態1)
[1.情報処理装置の概要]
まず、図1を参照しながら、実施の形態1に係る情報処理装置2の概要について説明する。図1は、実施の形態1に係る情報処理装置2の概要を示す図である。
情報処理装置2は、例えば自動車等の車両に搭載されたECU(Electronic Control Unit)として適用される。情報処理装置2は、当該情報処理装置2における各種コンピュータプログラム(以下、単に「プログラム」という)の起動後に、当該各種プログラムの常時完全性検証(RI)を実行する。ここで、「完全性」とは、情報処理装置2の各種プログラムに対して不正な改ざん等が行なわれていない状態であることを意味する。また、「完全性が異常である」とは、情報処理装置2の各種プログラムに対して不正な改ざん等が行なわれるなどして、各種プログラムが危殆化されている状態であることを意味する。
図1に示すように、情報処理装置2は、通常領域4(第1のプログラム領域の一例)と堅牢領域6(第2のプログラム領域の一例)とに仮想的に分離された状態で構築されている。通常領域4は、セキュアでないオペレーティングシステム及びアプリケーションを実行するための実行環境である。堅牢領域6は、セキュアなオペレーティングシステム及びアプリケーションを実行するための実行環境であり、通常領域4から隔離されている。すなわち、堅牢領域6は、通常領域4よりもセキュリティレベルが高い。例えば、通常領域4から堅牢領域6へのアクセスは、情報処理装置2を構成するプロセッサ等の機能により制限されている。
なお、通常領域4は、ユーザ空間8と、カーネル空間10とを有している。ユーザ空間8は、アプリケーションが使用するメモリ領域である。カーネル空間10は、カーネルが使用するメモリ領域である。
また、情報処理装置2は、監視RoT(Root of Trust)部12(第2の監視部の一例)と、HIDS(Host-based Intrusion Detection System)監視部14(第1の監視部の一例)と、複数のHIDS16,18,20,22(それぞれ異常検出部の一例)と、ログ送信部24(送信部の一例)とを備えている。情報処理装置2では、監視RoT部12を信頼の基点として、各種プログラムの常時完全性検証(RI)が実行される。監視RoT部12、HIDS監視部14、複数のHIDS16,18,20,22及びログ送信部24は、バス26を介して互いに通信可能に接続されている。
なお、監視RoT部12、HIDS監視部14、複数のHIDS16,18,20,22及びログ送信部24の各々は、例えばCPU(Central Processing Unit)又はプロセッサ等のプログラム実行部が、メモリに記録されたプログラムを読み出して実行することにより実現される。
監視RoT部12は、堅牢領域6で動作する。監視RoT部12は、HIDS監視部14を監視することにより、HIDS監視部14の完全性を検証する。監視RoT部12は、HIDS監視部14の完全性が異常であると検証した際に、HIDS監視部14の完全性の検証結果を示す監視ログを、バス26を介してログ送信部24に出力する。
また、監視RoT部12は、例えば所定の周期(又は所定のタイミング)でハートビート信号を繰り返し、バス26を介してログ送信部24に出力する。ハートビート信号とは、監視RoT部12、HIDS監視部14及びログ送信部24からなる常時完全性検証(RI)機能が正常に動作していることを示すキープアライブ(keep-alive)信号である。また、監視RoT部12は、HIDS監視部14からの出力停止要求信号(後述する)に基づいて、ハートビート信号の出力を停止する。
なお、本実施の形態では、監視RoT部12は、HIDS監視部14からの出力停止要求信号に基づいて、ハートビート信号の出力を停止するようにしたが、これに限定されず、不正なハートビート信号を出力するようにしてもよい。ここで、不正なハートビート信号とは、署名生成部34(後述する)により生成された正規の署名が付与されていないハートビート信号、又は、正規の署名に代えてダミーデータが付与されたハートビート信号である。
HIDS監視部14は、通常領域4のカーネル空間10で動作する。HIDS監視部14は、情報処理装置2の内部の処理を監視することにより、情報処理装置2の内部の処理の完全性を検証する。具体的には、HIDS監視部14は、複数のHIDS16,18,20,22及びログ送信部24の各々を監視することにより、複数のHIDS16,18,20,22及びログ送信部24の各々の完全性を検証する。HIDS監視部14は、複数のHIDS16,18,20,22の少なくとも一つの完全性が異常であると検証した際に、複数のHIDS16,18,20,22の少なくとも一つの完全性の検証結果を示す監視ログを、バス26を介してログ送信部24に出力する。
また、HIDS監視部14は、ログ送信部24の完全性が異常であると検証した際に、ログ送信部24の完全性の検証結果を示す監視ログ(第1の監視ログの一例)を、バス26を介してログ送信部24に出力する。また、HIDS監視部14は、ログ送信部24の完全性が異常であると検証した場合に、監視RoT部12に対してハートビート信号の出力の停止を要求するための出力停止要求信号を、バス26を介して監視RoT部12に出力する。
なお、本実施の形態では、HIDS監視部14は、複数のHIDS16,18,20,22及びログ送信部24の各々を監視するようにしたが、これに限定されず、複数のHIDS16,18,20,22及びログ送信部24以外の他の構成を監視するようにしてもよい。また、本実施の形態では、HIDS監視部14は、監視RoT部12に対してハートビート信号の出力の停止を要求するための出力停止要求信号を出力するようにしたが、これに限定されず、監視RoT部12に対して不正なハートビート信号の出力を要求するための出力停止要求信号を出力するようにしてもよい。
複数のHIDS16,18,20,22の各々は、通常領域4で動作する。より具体的には、HIDS16,18は、通常領域4のカーネル空間10で動作し、HIDS20,22は、通常領域4のユーザ空間8で動作する。複数のHIDS16,18,20,22の各々は、情報処理装置2における各種プログラムを監視する。複数のHIDS16,18,20,22の各々は、情報処理装置2における異常(例えば、プログラムの不正なふるまい等)を検出した際に、情報処理装置2における異常の検出結果を示す監視ログ(第2の監視ログの一例)を、バス26を介してログ送信部24に出力する。
ログ送信部24は、ネットワークを介して、情報処理装置2が搭載された車両の外部にあるSOC(Security Operation Center)28(外部装置の一例)と例えば無線で通信可能である。具体的には、ログ送信部24は、監視RoT部12、HIDS監視部14及び複数のHIDS16,18,20,22の各々から出力された監視ログを、ネットワークを介してSOC28に送信する。これにより、SOC28は、情報処理装置2から受信した監視ログを解析することによって、情報処理装置2において異常が発生したことを検出することができる。
また、ログ送信部24は、監視RoT部12からハートビート信号が出力される毎に、当該ハートビート信号を、ネットワークを介してSOC28に送信(転送)する。すなわち、ログ送信部24は、上記所定の周期(又は上記所定のタイミング)で、監視RoT部12からのハートビート信号を繰り返しSOC28に送信する。これにより、SOC28は、情報処理装置2からのハートビート信号を受信した場合に、情報処理装置2の常時完全性検証(RI)機能が正常に動作していることを確認することができる。また、SOC28は、当該ハートビート信号を受信してから次のハートビート信号を一定時間以上受信できない場合に、情報処理装置2のログ送信部24が危殆化された(例えば、プログラムが不正に改ざん等された)ことを検出することができる。
なお、監視RoT部12が出力停止要求信号に基づいて不正なハートビート信号を出力する場合には、次のように構成してもよい。SOC28は、不正なハートビート信号を受信した場合に、当該不正なハートビート信号に正規の署名が付与されていない、又は、当該不正なハートビート信号の署名検証に失敗することにより、情報処理装置2のログ送信部24が危殆化されたことを検出するようにしてもよい。
[2.監視RoT部の機能構成]
次に、図2を参照しながら、実施の形態1に係る監視RoT部12の機能構成について説明する。図2は、実施の形態1に係る監視RoT部12の機能構成を示すブロック図である。
図2に示すように、監視RoT部12は、機能構成として、HIDS監視部検証部30と、監視ログ出力部32と、署名生成部34と、ハートビート信号生成部36と、ハートビート信号出力部38と、停止要求受付部40とを有している。
HIDS監視部検証部30は、HIDS監視部14の完全性を検証し、検証結果を監視ログ出力部32に出力する。
監視ログ出力部32は、HIDS監視部検証部30によりHIDS監視部14の完全性に異常があると検証された場合に、HIDS監視部検証部30からの検証結果に基づいて、HIDS監視部14の完全性に異常があることを示す監視ログを生成する。監視ログ出力部32は、生成した監視ログをログ送信部24に出力する。
署名生成部34は、署名を生成し、生成した署名をハートビート信号生成部36に出力する。ここで、署名とは、ハートビート信号生成部36により生成されたハートビート信号の正当性を認証するために、当該ハートビート信号に付与される電子署名である。
ハートビート信号生成部36は、上記所定の周期(又は上記所定のタイミング)で、タイムスタンプと署名生成部34により生成された署名とを付与したハートビート信号を生成する。ハートビート信号生成部36は、生成したハートビート信号をハートビート信号出力部38に出力する。
ハートビート信号出力部38は、ハートビート信号生成部36によりハートビート信号が生成される毎に、生成されたハートビート信号をログ送信部24に出力する。すなわち、ハートビート信号出力部38は、上記所定の周期(又は上記所定のタイミング)で、ハートビート信号生成部36により生成されたハートビート信号を繰り返しログ送信部24に出力する。
停止要求受付部40は、HIDS監視部14からの出力停止要求信号を受信することにより、HIDS監視部14によるハートビート信号の出力の停止要求を受け付ける。停止要求受付部40は、HIDS監視部14からの出力停止要求信号を受信した場合には、ハートビート信号生成部36に対してハートビート信号の生成の停止を指示する。これにより、ハートビート信号生成部36は、停止要求受付部40からの指示に基づいて、ハートビート信号の生成を停止する。これに伴い、ハートビート信号出力部38は、ハートビート信号の出力を停止する。
なお、本実施の形態では、停止要求受付部40は、HIDS監視部14からの出力停止要求信号を受信した場合に、ハートビート信号生成部36に対してハートビート信号の生成の停止を指示したが、これに限定されない。例えば、停止要求受付部40は、HIDS監視部14からの出力停止要求信号を受信した場合に、ハートビート信号出力部38に対してハートビート信号の出力の停止を直接指示してもよい。
[3.HIDS監視部の機能構成]
次に、図3を参照しながら、実施の形態1に係るHIDS監視部14の機能構成について説明する。図3は、実施の形態1に係るHIDS監視部14の機能構成を示すブロック図である。
図3に示すように、HIDS監視部14は、機能構成として、HIDS検証部42と、ログ送信部検証部44と、監視ログ出力部46と、停止要求部48とを有している。
HIDS検証部42は、複数のHIDS16,18,20,22の各々の完全性を検証し、検証結果を監視ログ出力部46に出力する。
ログ送信部検証部44は、ログ送信部24の完全性を検証し、検証結果を監視ログ出力部46に出力する。
監視ログ出力部46は、HIDS検証部42により複数のHIDS16,18,20,22の少なくとも一つの完全性に異常があると検証された場合に、HIDS検証部42からの検証結果に基づいて、複数のHIDS16,18,20,22の少なくとも一つの完全性に異常があることを示す監視ログを生成する。監視ログ出力部46は、生成した監視ログをログ送信部24に出力する。
また、監視ログ出力部46は、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、ログ送信部検証部44からの検証結果に基づいて、ログ送信部24の完全性に異常があることを示す監視ログを生成する。監視ログ出力部46は、生成した監視ログをログ送信部24に出力する。
停止要求部48は、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、ログ送信部検証部44からの検証結果に基づいて、監視RoT部12に対してハートビート信号の出力の停止を要求するための出力停止要求信号を監視RoT部12に出力する。
[4.情報処理装置の動作]
[4-1.監視RoT部の動作]
図4を参照しながら、実施の形態1に係る監視RoT部12の動作について説明する。図4は、実施の形態1に係る監視RoT部12の動作の流れを示すフローチャートである。
まず、停止要求受付部40が出力停止要求信号を受信していない場合における、監視RoT部12の動作について説明する。図4に示すように、情報処理装置2が起動すると(S101)、HIDS監視部検証部30は、所定の時間(例えば、10秒)を計測するタイマをセットする(S102)。タイマがタイムアウトになった場合には(S103で「タイムアウト」)、HIDS監視部検証部30は、HIDS監視部14の完全性を検証する(S104)。
HIDS監視部検証部30によりHIDS監視部14の完全性に異常が無い(すなわち、HIDS監視部14が正常である)と検証された場合には(S105でYES)、監視ログ出力部32は監視ログを出力せず、ステップS107に進む。
一方、HIDS監視部検証部30によりHIDS監視部14の完全性に異常がある(すなわち、HIDS監視部14が正常でない)と検証された場合には(S105でNO)、監視ログ出力部32は、HIDS監視部検証部30の検証結果に基づいて監視ログを出力し(S106)、ステップS107に進む。
ステップS105又はS106の後、停止要求受付部40が出力停止要求信号を受信済みでないため(S107でNO)、ハートビート信号生成部36は、ハートビート信号を生成する(S108)。次いで、ハートビート信号出力部38は、ハートビート信号生成部36により生成されたハートビート信号をログ送信部24に出力する(S109)。
情報処理装置2の運転を継続する場合には(S110でYES)、ステップS102に戻る。一方、情報処理装置2の運転を終了する場合には(S110でNO)、図4のフローチャートを終了する。
次に、停止要求受付部40が出力停止要求信号を受信した場合における、監視RoT部12の動作について説明する。図4に示すように、上述と同様にステップS101及びS102が実行される。ステップS102の後、停止要求受付部40が出力停止要求信号を受信した場合には(S103で「出力停止要求信号受信」)、停止要求受付部40は、ハートビート信号生成部36に対してハートビート信号の生成の停止を指示する(S111)。
その後、ステップS103に戻り、タイマがタイムアウトになった場合には(S103で「タイムアウト」)、上述と同様にステップS104~S106が実行される。ステップS105又はS106の後、停止要求受付部40が出力停止要求信号を受信済みであるため(S107でYES)、ハートビート信号生成部36は、停止要求受付部40からの指示に基づいて、ハートビート信号の生成を停止する(S112)。その後、ステップS110に進む。
[4-2.HIDS監視部の動作]
図5を参照しながら、実施の形態1に係るHIDS監視部14の動作について説明する。図5は、実施の形態1に係るHIDS監視部14の動作の流れを示すフローチャートである。
図5に示すように、情報処理装置2が起動すると(S201)、HIDS検証部42及びログ送信部検証部44の各々は、所定の時間(例えば、10秒)を計測するタイマをセットする(S202)。タイマがタイムアウトになると(S203)、HIDS検証部42は、複数のHIDS16,18,20,22の各々の完全性を検証し、ログ送信部検証部44は、ログ送信部24の完全性を検証する(S204)。
複数のHIDS16,18,20,22及びログ送信部24の各々の完全性に異常が無い場合には(S205でNO)、ステップS202に戻る。一方、複数のHIDS16,18,20,22及びログ送信部24の少なくとも一つの完全性に異常がある場合には(S205でYES)、監視ログ出力部46は、監視ログをログ送信部24に出力する(S206)。
複数のHIDS16,18,20,22及びログ送信部24の少なくとも一つの完全性に異常がある場合であって、ログ送信部24の完全性に異常がある(すなわち、ログ送信部24が正常でない)場合には(S207でNO)、停止要求部48は、ログ送信部検証部44からの検証結果に基づいて、出力停止要求信号を監視RoT部12に出力する(S208)。
情報処理装置2の運転を継続する場合には(S209でYES)、ステップS202に戻る。一方、情報処理装置2の運転を終了する場合には(S209でNO)、図5のフローチャートを終了する。
ステップS207に戻り、複数のHIDS16,18,20,22及びログ送信部24の少なくとも一つの完全性に異常がある場合であって、ログ送信部24の完全性に異常が無い(すなわち、ログ送信部24は正常であるが、複数のHIDS16,18,20,22のいずれかが正常でない)場合には(S207でYES)、停止要求部48は出力停止要求信号を監視RoT部12に出力せず、ステップS209に進む。
[5.効果]
本実施の形態では、上述したように、ログ送信部24の完全性に異常が無い場合には、ログ送信部24は、監視RoT部12からのハートビート信号を繰り返しSOC28に送信する。これにより、SOC28は、情報処理装置2からハートビート信号を途切れることなく受信している間は、情報処理装置2のログ送信部24が正常であることを認識することができる。
一方、ログ送信部24の完全性に異常がある場合には、監視RoT部12は、ハートビート信号の出力を停止する。これに伴い、ログ送信部24は、SOC28へのハートビート信号の送信を停止する。これにより、SOC28は、情報処理装置2からのハートビート信号の受信が途絶されるため、情報処理装置2のログ送信部24が危殆化されたことを検出することができる。
また、上述したように、ログ送信部24により送信されるハートビート信号には、監視RoT部12により署名が付与されている。これにより、SOC28は、受信したハートビート信号に署名が付与されていることを確認することによって、情報処理装置2のログ送信部24が正常であることを認識することができる。
仮に、ログ送信部24が不正なプログラムにより攻撃されるなどして危殆化された場合に、不正なプログラムがログ送信部24になりすましてハートビート信号を不正に生成してSOC28に送信するおそれがある。しかしながら、このような場合、不正なプログラムが生成したハートビート信号には、監視RoT部12により生成された署名が付与されていない。そのため、SOC28は、受信したハートビート信号に署名が付与されていないことを確認することによって、情報処理装置2のログ送信部24が危殆化されたことを検出することができる。
[6.各種変形例]
[6-1.変形例1]
本実施の形態では、HIDS監視部14の監視ログ出力部46は、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、ログ送信部24の完全性に異常があることを示す監視ログをログ送信部24に出力したが、例えば次のようにしてもよい。
すなわち、監視ログ出力部46は、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、署名付与要求信号を監視RoT部12に出力してもよい。署名付与要求信号は、監視RoT部12に対してログ送信部24の完全性の検証結果を示す監視ログへの署名の付与を要求するための信号である。
この場合、監視RoT部12のHIDS監視部検証部30がHIDS監視部14の完全性に異常が無いことを確認した上で、監視RoT部12の署名生成部34は、HIDS監視部14からの署名付与要求信号に基づいて、上記監視ログに署名を付与する。そして、署名生成部34は、署名を付与した監視ログを、HIDS監視部14の監視ログ出力部46に出力する。
監視RoT部12の署名生成部34は、HIDS監視部14からの署名付与要求信号に基づいて、HIDS監視部14の監視ログ出力部46が出力する監視ログに対しても署名の付与を行い、監視ログ出力部46は、署名生成部34により署名が付与された監視ログを、例えば不揮発性メモリ等のメモリに保持(記憶)する。これにより、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、ログ送信部24の完全性に異常があることを示す監視ログを保全することができ、後でセキュリティ担当者等がメモリから監視ログを読み出して、危殆化されたログ送信部24の解析に使用することができる。
さらに、HIDS監視部14の監視ログ出力部46が出力する上記の監視ログとしては、ログ送信部24だけでなく複数のHIDS16,18,20,22の各々の完全性に異常があることを示す監視ログも含めても良い。これにより、危殆化されたログ送信部24だけでなく、危殆化された複数のHIDS16,18,20,22の解析も行うことが可能となる。
[6-2.変形例2]
本実施の形態では、監視RoT部12のハートビート信号生成部36は、停止要求受付部40がHIDS監視部14からの出力停止要求信号を受信した場合に、ハートビート信号の生成を停止したが、例えば次のようにしてもよい。
すなわち、ハートビート信号生成部36は、HIDS監視部検証部30によりHIDS監視部14の完全性に異常があると検証された場合に、HIDS監視部検証部30からの検証結果に基づいて、ハートビート信号の生成を停止してもよい。これに伴い、ハートビート信号出力部38は、ハートビート信号の出力を停止する。
これにより、SOC28は、情報処理装置2からのハートビート信号の受信が途絶されるため、情報処理装置2のログ送信部24及びHIDS監視部14の少なくとも一方が危殆化されたことを検出することができる。
なお、監視RoT部12の監視ログ出力部32は、HIDS監視部検証部30からの検証結果に基づいて、HIDS監視部14の完全性に異常があることを示す監視ログを生成し、生成した監視ログを例えば不揮発性メモリ等のメモリに保持してもよい。
また、上記の構成に代えて、ハートビート信号生成部36は、HIDS監視部検証部30によりHIDS監視部14の完全性に異常があると検証された場合に、HIDS監視部検証部30からの検証結果に基づいて、不正なハートビート信号を生成してもよい。これに伴い、ハートビート信号出力部38は、当該不正なハートビート信号を出力する。
[6-3.変形例3]
本実施の形態では、HIDS監視部14の停止要求部48は、ログ送信部検証部44によりログ送信部24の完全性に異常があると検証された場合に、出力停止要求信号を監視RoT部12に出力したが、例えば次のようにしてもよい。
すなわち、停止要求部48は、出力停止要求信号を出力した後に、ログ送信部検証部44によりログ送信部24の完全性の異常が解消されたと検証された場合に、ログ送信部検証部44の検証結果に基づいて、出力再開要求信号を監視RoT部12に出力してもよい。出力再開要求信号は、監視RoT部12に対してハートビート信号の出力の再開を要求するための信号である。監視RoT部12のハートビート信号生成部36は、HIDS監視部14からの出力再開要求信号に基づいて、ハートビート信号の生成を再開する。これに伴い、ハートビート信号出力部38は、ハートビート信号の出力を再開する。
これにより、SOC28は、情報処理装置2からのハートビート信号の受信を再開した場合に、情報処理装置2のログ送信部24が復旧したことを認識することができる。
[6-4.変形例4]
本実施の形態では、複数のHIDS16,18,20,22の各々は、情報処理装置2における異常を検出した際に、情報処理装置2における異常の検出結果を示す監視ログをログ送信部24に出力したが、例えば次のようにしてもよい。
すなわち、複数のHIDS16,18,20,22の各々は、ログ送信部24の完全性に異常が無い場合には、監視ログをログ送信部24に送信し、ログ送信部24の完全性に異常がある場合には、監視ログを例えば不揮発性メモリ等のメモリに保持してもよい。あるいは、複数のHIDS16,18,20,22の各々は、ログ送信部24の完全性に異常が無い場合には、監視ログをログ送信部24に送信するとともにメモリに保持し、ログ送信部24の完全性に異常がある場合には、ログ送信部24への監視ログの送信を停止するとともに監視ログをメモリに保持してもよい。これにより、ログ送信部24が危殆化された場合であっても、複数のHIDS16,18,20,22の各々により生成された監視ログを保全することができる。
なお、複数のHIDS16,18,20,22の各々は、監視RoT部12からのハートビート信号を受信するようにしてもよい。これにより、複数のHIDS16,18,20,22の各々は、監視RoT部12からのハートビート信号の受信が途絶されることによって、ログ送信部24の完全性に異常があることを認識することができる。
あるいは、監視RoT部12のHIDS監視部検証部30が、ログ送信部24の完全性に異常があることを検証した場合に、その旨を複数のHIDS16,18,20,22の各々に通知してもよい。これにより、複数のHIDS16,18,20,22の各々は、監視RoT部12からの通知に基づいて、ログ送信部24の完全性に異常があることを認識することができる。
[6-5.変形例5]
本実施の形態では、複数のHIDS16,18,20,22とログ送信部24とを別々に構成したが、これに限定されず、ログ送信部24がHIDSとしての機能を有していてもよい。
また、本実施の形態では、異常検出部としてホスト型のIDS(HIDS)を用いたが、これに限定されず、例えばネットワーク型のIDS(NIDS:Network-based Intrusion Detection System)等を用いてもよい。
また、本実施の形態では、監視RoT部12が堅牢領域6で動作するようにしたが、これに限定されず、堅牢領域6に代えて、例えば難読化等のソフトウェア耐タンパ実装された通常領域で動作するようにしてもよい。
(実施の形態2)
図6を参照しながら、実施の形態2に係る情報処理装置2Aの概要について説明する。図6は、実施の形態2に係る情報処理装置2Aの概要を示す図である。なお、本実施の形態において、上記実施の形態1と同一の構成要素には同一の符号を付して、その説明を省略する。
図6に示すように、実施の形態2に係る情報処理装置2Aは、上記実施の形態1で説明した構成要素に加えて、監視RoT部起動部50(監視起動部の一例)を備えている。監視RoT部起動部50は、通常領域4のカーネル空間10で動作し、監視RoT部12を所定のタイミングで繰り返し起動する。上記の所定のタイミングとしては、予め決定された所定の周期であってもよいし、あるいは、監視RoT部起動部50が監視RoT部12を起動する毎に次回の起動タイミングを決定してもよい。
監視RoT部12は、監視RoT部起動部50により起動される毎に、HIDS監視部14の完全性の検証、及び、ログ送信部24へのハートビート信号の出力を実行する。また、監視RoT部12は、HIDS監視部14の完全性に異常がある場合に、ハートビート信号の出力を停止する。なお、監視RoT部12は、監視RoT部起動部50により起動される毎に、HIDS監視部14の完全性の検証、及び、ログ送信部24へのハートビート信号の出力のいずれか一方のみを実行するようにしてもよい。
本実施の形態では、次のような効果を得ることができる。仮に、監視RoT部起動部50が不正なプログラムにより攻撃されるなどして危殆化された場合には、監視RoT部12は定期的に起動されなくなる。これに伴い、ログ送信部24は、SOC28へのハートビート信号の送信を停止する。これにより、SOC28は、情報処理装置2Aからのハートビート信号の受信が途絶されるため、情報処理装置2Aが危殆化されたことを検出することができる。
また、上述したように、監視RoT部12は、HIDS監視部14の完全性に異常がある場合に、ハートビート信号の出力を停止する。これにより、SOC28は、情報処理装置2Aからのハートビート信号の受信が途絶されるため、情報処理装置2Aが危殆化されたことを検出することができる。
(他の変形例等)
以上、一つ又は複数の態様に係る情報処理装置及び情報処理装置の制御方法について、上記各実施の形態に基づいて説明したが、本開示は、上記各実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記各実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
上記各実施の形態では、監視ログ出力部32は、HIDS監視部14の完全性に異常があることを示す監視ログを出力したが、これに限定されず、HIDS監視部14の完全性に異常が無いことを示す監視ログを出力してもよい。
また、上記各実施の形態では、監視ログ出力部46は、複数のHIDS16,18,20,22の少なくとも一つの完全性に異常があることを示す監視ログを出力したが、これに限定されず、複数のHIDS16,18,20,22の各々に異常が無いことを示す監視ログを出力してもよい。
また、上記各実施の形態では、監視ログ出力部46は、ログ送信部24の完全性に異常があることを示す監視ログを出力したが、これに限定されず、ログ送信部24の完全性に異常が無いことを示す監視ログを出力してもよい。
なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したコンピュータプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたコンピュータプログラムを読み出して実行することによって実現されてもよい。
また、上記各実施の形態に係る情報処理装置2,2Aの機能の一部又は全てを、CPU等のプロセッサがコンピュータプログラムを実行することにより実現してもよい。
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムを含むデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な非一時的な記録媒体、例えばフレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記コンピュータプログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記コンピュータプログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
本開示は、例えば車載ネットワークにおいて各種プログラムの常時完全性検証を実行するための情報処理装置等に適用可能である。
2,2A 情報処理装置
4 通常領域
6 堅牢領域
8 ユーザ空間
10 カーネル空間
12 監視RoT部
14 HIDS監視部
16,18,20,22 HIDS
24 ログ送信部
26 バス
28 SOC
30 HIDS監視部検証部
32,46 監視ログ出力部
34 署名生成部
36 ハートビート信号生成部
38 ハートビート信号出力部
40 停止要求受付部
42 HIDS検証部
44 ログ送信部検証部
48 停止要求部
50 監視RoT部起動部

Claims (12)

  1. 情報処理装置であって、
    外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、
    前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、
    前記第1の監視部の完全性を検証する第2の監視部であって、ハートビート信号を繰り返し前記送信部に出力する第2の監視部と、を備え、
    前記送信部は、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信し、
    前記第1の監視部は、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視部に対して前記ハートビート信号の出力の停止又は不正なハートビート信号の出力を要求するための出力停止要求信号を前記第2の監視部に出力し、
    前記第2の監視部は、前記出力停止要求信号に基づいて、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力する
    情報処理装置。
  2. 前記情報処理装置は、さらに、
    前記送信部及び前記第1の監視部の各々が実行される第1のプログラム領域と、
    前記第2の監視部が実行される第2のプログラム領域であって、前記第1のプログラム領域よりもセキュリティレベルの高い第2のプログラム領域と、を備える
    請求項1に記載の情報処理装置。
  3. 前記第1の監視部は、前記情報処理装置の内部の処理の完全性の検証結果を示す第1の監視ログを出力し、前記情報処理装置の内部の処理の完全性に異常がある場合には、前記第2の監視部に対して前記第1の監視ログへの署名の付与を要求する署名付与要求信号を前記第2の監視部に出力し、
    前記第2の監視部は、前記署名付与要求信号に基づいて、前記第1の監視ログに署名を付与し、
    前記第1の監視部は、前記第2の監視部により署名が付与された前記第1の監視ログを保持する
    請求項1又は2に記載の情報処理装置。
  4. 前記第2の監視部は、前記第1の監視部の完全性に異常がある場合に、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力する
    請求項1又は2に記載の情報処理装置。
  5. 前記第1の監視部は、前記出力停止要求信号を出力した後に、前記第1の監視部が検出した完全性の異常が解消された場合に、前記第2の監視部に対して前記ハートビート信号の出力の再開を要求するための出力再開要求信号を前記第2の監視部に出力し、
    前記第2の監視部は、前記出力再開要求信号に基づいて、前記ハートビート信号の出力を再開する
    請求項1又は2に記載の情報処理装置。
  6. 前記情報処理装置は、さらに、前記情報処理装置における異常を検出し、前記情報処理装置における異常の検出結果を示す第2の監視ログを出力する異常検出部を備え、
    前記第1の監視部は、さらに、前記異常検出部の完全性を検証し、
    前記異常検出部は、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視ログを保持する
    請求項1又は2に記載の情報処理装置。
  7. 前記第1の監視部は、前記送信部の完全性を検証する
    請求項1に記載の情報処理装置。
  8. 情報処理装置の制御方法であって、
    前記情報処理装置は、
    外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、
    前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、
    前記第1の監視部の完全性を検証する第2の監視部と、を備え、
    前記制御方法は、
    前記第2の監視部が、ハートビート信号を繰り返し前記送信部に出力するステップと、
    前記送信部が、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信するステップと、
    前記第1の監視部が、前記情報処理装置の内部の処理の完全性に異常がある場合に、前記第2の監視部に対して前記ハートビート信号の出力の停止又は不正なハートビート信号の出力を要求するための出力停止要求信号を前記第2の監視部に出力するステップと、
    前記第2の監視部が、前記出力停止要求信号に基づいて、前記ハートビート信号の出力を停止する、又は、前記不正なハートビート信号を出力するステップと、を含む
    情報処理装置の制御方法。
  9. 前記第1の監視部は、前記送信部の完全性を検証する
    請求項8に記載の情報処理装置の制御方法。
  10. 請求項8又は9に記載の情報処理装置の制御方法をコンピュータに実行させる
    プログラム。
  11. 情報処理装置であって、
    外部装置と通信可能であり、前記情報処理装置において生成された監視ログを前記外部装置に送信する送信部と、
    前記情報処理装置の内部の処理の完全性を検証する第1の監視部と、
    起動される毎に、前記第1の監視部の完全性の検証、及び、前記送信部へのハートビート信号の出力のうち少なくとも一方を実行する第2の監視部と、を備え、
    前記送信部は、前記第2の監視部から前記ハートビート信号が出力される毎に、当該ハートビート信号を前記外部装置に送信し、
    前記第2の監視部は、前記第1の監視部の完全性に異常がある場合に、前記ハートビート信号の出力を停止する、又は、不正なハートビート信号を出力する
    情報処理装置。
  12. 前記第1の監視部は、前記送信部の完全性を検証する
    請求項11に記載の情報処理装置。
JP2023520069A 2022-09-27 2023-02-07 情報処理装置、情報処理装置の制御方法及びプログラム Active JP7296556B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023089117A JP7352887B1 (ja) 2022-09-27 2023-05-30 情報処理装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2022153360 2022-09-27
JP2022153360 2022-09-27
PCT/JP2023/003983 WO2024070001A1 (ja) 2022-09-27 2023-02-07 情報処理装置、情報処理装置の制御方法及びプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023089117A Division JP7352887B1 (ja) 2022-09-27 2023-05-30 情報処理装置

Publications (1)

Publication Number Publication Date
JP7296556B1 true JP7296556B1 (ja) 2023-06-23

Family

ID=86850232

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2023520069A Active JP7296556B1 (ja) 2022-09-27 2023-02-07 情報処理装置、情報処理装置の制御方法及びプログラム
JP2023089117A Active JP7352887B1 (ja) 2022-09-27 2023-05-30 情報処理装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023089117A Active JP7352887B1 (ja) 2022-09-27 2023-05-30 情報処理装置

Country Status (3)

Country Link
US (1) US12039039B1 (ja)
JP (2) JP7296556B1 (ja)
CN (1) CN118103820A (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019057167A (ja) * 2017-09-21 2019-04-11 大日本印刷株式会社 コンピュータプログラム、デバイス及び判定方法
JP2020126586A (ja) * 2019-01-16 2020-08-20 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft ログデータの完全性保護
WO2022085260A1 (ja) * 2020-10-22 2022-04-28 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法及びプログラム
JP7189397B1 (ja) * 2021-05-31 2022-12-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システム及び監視方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105389243B (zh) * 2015-10-26 2018-06-05 华为技术有限公司 一种容器监控方法和装置
US10678669B2 (en) * 2017-04-21 2020-06-09 Nec Corporation Field content based pattern generation for heterogeneous logs
US10685118B2 (en) * 2017-05-15 2020-06-16 Ut-Battelle, Llc System and method for monitoring power consumption to detect malware
JP7183841B2 (ja) 2019-02-08 2022-12-06 株式会社デンソー 電子制御装置
JP7288662B2 (ja) * 2019-04-15 2023-06-08 明京電機株式会社 障害監視復旧システム、その方法、およびそのプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019057167A (ja) * 2017-09-21 2019-04-11 大日本印刷株式会社 コンピュータプログラム、デバイス及び判定方法
JP2020126586A (ja) * 2019-01-16 2020-08-20 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft ログデータの完全性保護
WO2022085260A1 (ja) * 2020-10-22 2022-04-28 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法及びプログラム
JP7189397B1 (ja) * 2021-05-31 2022-12-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システム及び監視方法

Also Published As

Publication number Publication date
CN118103820A (zh) 2024-05-28
JP7352887B1 (ja) 2023-09-29
US12039039B1 (en) 2024-07-16
JP2024048341A (ja) 2024-04-08

Similar Documents

Publication Publication Date Title
US10931451B2 (en) Securely recovering a computing device
JP5551130B2 (ja) サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化
KR101402542B1 (ko) 지속형 보안 시스템 및 지속형 보안 방법
US20120278597A1 (en) Compatible trust in a computing device
JP5346608B2 (ja) 情報処理装置およびファイル検証システム
JP6385842B2 (ja) 情報処理端末、情報処理方法、及び情報処理システム
US11227072B2 (en) Security device with extended reliability
US10853474B2 (en) System shipment lock
EP3683712A1 (en) Protecting integrity of log data
JP2019071572A (ja) 制御装置及び制御方法
JP7296556B1 (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
US10621334B2 (en) Electronic device and system
JP4818824B2 (ja) プログラム管理システムおよび端末装置
WO2024070001A1 (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
US20240256655A1 (en) Information processing device and control method for information processing device
CN112579374B (zh) 一种用于嵌入式设备的安全调试的***和方法
JP6737424B1 (ja) データ処理システム、データ処理装置およびアプリケーションプログラムの検証方法
CN111858114B (zh) 设备启动异常处理,设备启动控制方法、装置及***
WO2024070078A1 (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
WO2024070044A1 (ja) 検証システム、検証方法、及び、プログラム
CN113950682B (zh) 数据处理装置、数据处理方法及计算机可读取的非暂时性的记录介质
JP2009053824A (ja) 情報処理装置及びメッセージ認証方法及びプログラム
KR20230097397A (ko) 차량 네트워크 침입 탐지 시스템 및 그 방법
CN117932691A (zh) Bmc数据写入方法、***、设备及介质
CN117556418A (zh) 一种确定内核状态的方法和相关设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230331

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230331

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230530

R151 Written notification of patent or utility model registration

Ref document number: 7296556

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03