WO2025069973A1 - 情報処理方法、情報処理装置、および、プログラム - Google Patents

Abstract

情報処理方法は、制御ネットワークシステムにおける情報処理装置が実行する情報処理方法であって、制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、アクセスの可否を判断する複数のエッジアクセス許可装置とを含む。情報処理方法は、複数のエッジアクセス許可装置のそれぞれからアクセスの可否の判断結果を含むポリシー検証結果を取得し（Ｓ８００）、複数のエッジアクセス許可装置それぞれからのポリシー検証結果に基づいて、アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する（Ｓ８０１）。

Description

情報処理方法、情報処理装置、および、プログラム

　本開示は、情報処理方法、情報処理装置、および、プログラムに関する。

　従来、セキュリティのリスクを低減するために、ゼロトラストアーキテクチャという考え方がある（例えば、非特許文献１参照）。従来のゼロトラストアーキテクチャでは、アクセス元の情報に基づいて、アクセス元のリソースへのアクセスを許可するか否かを判断することが考えられている。

Ｓｃｏｔｔ　Ｒｏｓｅ，Ｏｌｉｖｅｒ　Ｂｏｒｃｈｅｒｔ，Ｓｔｕ　Ｍｉｔｃｈｅｌｌ，Ｓｅａｎ　Ｃｏｎｎｅｌｌｙ，"Ｚｅｒｏ　Ｔｒｕｓｔ　Ａｒｃｈｉｔｅｃｔｕｒｅ"，ＮＩＳＴ　Ｓｐｅｃｉａｌ　Ｐｕｂｌｉｃａｔｉｏｎ　８００－２０７，Ａｕｇｕｓｔ　２０２０，（ｈｔｔｐｓ：／／ｄｏｉ．ｏｒｇ／１０．６０２８／ＮＩＳＴ．ＳＰ．８００－２０７）

　車載ネットワークシステムに対してもゼロトラストアーキテクチャを適用し、安全性を高めることが考えられる。車載ネットワークシステムにおけるリソースの一例として、ユーザの個人情報の他にも、サービスと呼ばれるような、車載ネットワークシステムを構成する電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）が提供する機能がある。

　しかしながら車載ネットワークシステムなどの制御ネットワークシステムにおいては、通信のリアルタイム性および／または信頼性が求められるサービスも存在し、サービスを利用できないことが、当該システムが搭載される対象物（例えば、移動体）の安全性に影響を及ぼす可能性がある。

　本開示は、制御ネットワークシステムが搭載される対象物の安全性を保ちつつ、セキュアな制御ネットワークシステムを実現するための情報処理方法などを提供する。

　本開示の一態様に係る情報処理方法は、制御ネットワークシステムにおける情報処理装置が実行する情報処理方法であって、前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、前記情報処理方法は、前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得し、前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する。

　本開示の一態様に係る情報処理装置は、制御ネットワークシステムにおける情報処理装置であって、前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、前記情報処理装置は、前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得する取得部と、前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する出力部とを備える。

　本開示の一態様に係るプログラムは、本開示の一態様に係る情報処理方法をコンピュータが実行するための、プログラムである。

　本開示の一態様に係る情報処理方法などによれば、制御ネットワークシステムが搭載される対象物の安全性を保ちつつ、セキュアな制御ネットワークシステムを実現することができる。

図１は、実施の形態に係る車載ネットワークシステムの構成を示す図である。 図２は、実施の形態に係るセントラルＥＣＵの構成を示すブロック図である。 図３は、実施の形態に係るゾーンＥＣＵの機能構成を示すブロック図である。 図４は、実施の形態に係るカメラＥＣＵの機能構成を示すブロック図である。 図５は、実施の形態に係るアクセスポリシーの一例を示す図である。 図６は、実施の形態に係る車両状態の一例を示す図である。 図７は、実施の形態に係るユーザ情報の一例を示す図である。 図８は、実施の形態に係るアクセス許可の処理手順を示すシーケンス図である。 図９は、実施の形態に係るアクセス許可の処理手順を示すシーケンス図である。 図１０は、実施の形態に係るセントラルＥＣＵのマスターポリシー判断部およびポリシー実施部の処理手順を示すフローチャートである。 図１１は、実施の形態に係るゾーンＥＣＵのポリシー判断部およびポリシー実施部の処理手順を示すフローチャートである。 図１２は、実施の形態に係るセントラルＥＣＵのマスターポリシー判断部の車両状態に応じてサービスの重要特性を変化させる処理手順を示すフローチャートである。 図１３は、実施の形態に係るセントラルＥＣＵが受信するポリシー検証結果が他と異なるＥＣＵが存在したときの処理手順を示すフローチャートである。 図１４は、実施の形態の変形例１に係る車載ネットワークシステムの構成を示す図である。 図１５は、実施の形態の変形例１に係るセントラルＥＣＵの機能構成を示すブロック図である。 図１６は、実施の形態の変形例１に係るゾーンＥＣＵの機能構成を示すブロック図である。 図１７は、実施の形態の変形例１に係る車両状態の一例を示す図である。 図１８は、実施の形態の変形例１に係るセントラルＥＣＵのマスターポリシー判断部における閾値を決定する処理手順を示すフローチャートである。 図１９は、実施の形態の変形例２に係るセントラルＥＣＵが受信するポリシー検証結果が他と異なるＥＣＵが存在したときの処理手順を示すフローチャートである。 図２０は、実施の形態の変形例２に係るポリシー検証結果が他と異なるゾーンＥＣＵが存在したときの状態を可視化した一例を示す図である。

　以下、本開示の実施の形態について、図面を参照しながら説明する。

　なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すためのものである。以下の実施の形態で示される数値、形状、構成要素、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また、全ての実施の形態において、各々の内容を組み合わせることもできる。さらに、本開示の主旨を逸脱しない限り、本開示の各実施の形態に対して当業者が想到する範囲内の変更を施した各種変形例も本開示に含まれる。

　また、本明細書において、同じなどの要素間の関係性を示す用語、並びに、数値、および、数値範囲は、厳格な意味のみを表す表現ではなく、実質的に同等な範囲、例えば数％程度（あるいは、１０％程度）の差異をも含むことを意味する表現である。

　（実施の形態）
　［構成］
　まず、実施の形態に係る車載ネットワークシステムの構成について説明する。

　図１は、本実施の形態に係る車載ネットワークシステムの全体構成を示す図である。

　車載ネットワークシステムは、セントラルＥＣＵ１００と、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄ（以降において、ゾーンＥＣＵ２００ａ等とも記載する）と、カメラＥＣＵ３００ａと、充電器ＥＣＵ３００ｂと、ブレーキＥＣＵ３００ｃと、モータＥＣＵ３００ｄと、を備える。

　車載ネットワークシステムは、車両１０における電子制御装置が互いに通信するシステムである。例えば、カメラＥＣＵ３００ａとゾーンＥＣＵ２００ａとは、車載ネットワークを介して通信する。また、ゾーンＥＣＵ２００ａは、セントラルＥＣＵ１００またはゾーンＥＣＵ２００ｂと車載ネットワークを介して通信する。車載ネットワークシステムは、制御ネットワークシステムの一例である。

　車載ネットワークは、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（ＣＡＮ）、ＬＩＮ、ＦｌｅｘＲａｙ、Ｅｔｈｅｒｎｅｔ（登録商標）と呼ばれる車載ネットワーク通信規格に基づいてネットワークが構成されている。

　車両１０は、ユーザが利用する。車両１０は、例えば、自動車であるが、オートバイなどであってもよいし、船舶または飛行機といったその他のモビリティシステムであってもよい。また、車両１０は、自動運転車両であってもよいし、手動運転車両であってもよい。車両１０は、制御ネットワークシステムが搭載される対象物の一例である。

　セントラルＥＣＵ１００は、車両制御の中心的な機能を果たす電子制御装置である。セントラルＥＣＵ１００は、コネクティビティ機能を保有しており、車両１０の外部にあるサーバと携帯電話網あるいはＷｉ－Ｆｉ（登録商標）などを通じて、無線経由で車両の状態の通知、ファームウェアのダウンロードなどを実施する。またセントラルＥＣＵ１００は、自動運転アプリケーションが搭載されており、各ＥＣＵの情報を取得し、制御することで自動運転機能を実現する。セントラルＥＣＵ１００は、情報処理装置またはアクセス許可装置の一例である。

　ゾーンＥＣＵ２００ａ～２００ｄは、車載ネットワークの各所に配置され、サブネットワークのゲートウェイの役割を果たし、セントラルＥＣＵ１００または他のゾーンＥＣＵと通信を行う。ゾーンＥＣＵ２００ａ～２００ｄは、エッジアクセス許可装置の一例である。

　カメラＥＣＵ３００ａは、カメラ情報を取得し、車載ネットワークへ送信する。

　充電器ＥＣＵ３００ｂは、車両１０に搭載されるバッテリーの充電制御を行う。充電器ＥＣＵ３００ｂと、ゾーンＥＣＵ２００ａとは、車載ネットワークを介して通信する。

　ブレーキＥＣＵ３００ｃは、車両１０のブレーキ制御を行う。ブレーキＥＣＵ３００ｃと、ゾーンＥＣＵ２００ｃとは、車載ネットワークを介して通信する。

　モータＥＣＵ３００ｄは、自動車のモータの制御を行う。モータＥＣＵ３００ｄと、ゾーンＥＣＵ２００ｄとは、車載ネットワークを介して通信する。

　各ＥＣＵは、他のＥＣＵと通信を行う際に、例えばＳｃａｌａｂｌｅ　Ｓｅｒｖｉｃｅ　Ｏｒｉｅｎｔｅｄ　Ｍｉｄｄｌｅｗａｒｅ　ｏｖｅｒ　ＩＰ（ＳＯＭＥ／ＩＰプロトコル）によって、各種データの授受、制御指示の授受などを行う。本実施の形態では、ゾーンＥＣＵ２００ａ～２００ｄのそれぞれに１つずつＥＣＵが接続されている例を示しているが、接続されるＥＣＵの数は特にこれに限定されない。

　上記のように、本実施の形態に係る車載ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数のＥＣＵ（例えば、カメラＥＣＵ３００ａ、充電器ＥＣＵ３００ｂ、ブレーキＥＣＵ３００ｃ、モータＥＣＵ３００ｄ）と、それぞれが所定のアクセスポリシーに基づいて、アクセスの可否を判断する複数のゾーンＥＣＵ２００ａ等とを含む。

　図２は、本実施の形態に係るセントラルＥＣＵ１００の機能構成を示すブロック図である。

　セントラルＥＣＵ１００は、センター通信部１０１と、車両制御アプリ部１０２と、ドライバアプリ部１０３と、自動運転アプリ部１０４と、車載ネットワーク通信部１０５と、マスターポリシー判断部１０６と、ポリシー実施部１０７と、アクセスポリシー保持部１０８と、車両状態保持部１０９と、ユーザ情報保持部１１０と、を備える。また、セントラルＥＣＵ１００は、車載ネットワークシステムの複雑化に伴って増大する開発期間又はコストの課題を解消するため、従来複数のＥＣＵに分かれて搭載されていた機能が統合されたＥＣＵ（統合ＥＣＵ）であってもよい。統合ＥＣＵは、１つのＥＣＵに複数の仮想的なコンピュータ（仮想マシン：ＶＭ）を動作させるために仮想化技術が利用されているＥＣＵである。例えば、車両制御アプリ部１０２と、ドライバアプリ部１０３と、自動運転アプリ部１０４とは、仮想マシンにより実現されてもよい。また、車両制御アプリ部１０２と、ドライバアプリ部１０３と、自動運転アプリ部１０４とは、仮想化技術により論理的には分離されている。また、車両制御アプリ部１０２と、ドライバアプリ部１０３と、自動運転アプリ部１０４とには、互いに異なるＩＰアドレスが割り当てられている。

　センター通信部１０１は、車両１０の外部のサーバと通信を行う通信インターフェースである。センター通信部１０１は、アクセスの可否の判断結果を含むポリシー検証結果を取得する取得部として機能する。また、センター通信部１０１は、さらに、マスターポリシー検証結果に関する検証情報を外部のサーバに出力する出力部として機能してもよい。

　車両制御アプリ部１０２は、走る・曲がる・止まるといった車両１０の基本的な機能を実現するために、各ＥＣＵから取得したデータの処理または制御を実施するアプリケーションである。

　ドライバアプリ部１０３は、車両１０のユーザエクスペリエンス向上のためのアプリケーションであり、車内の空調制御またはインフォテインメントシステムの制御などを行う。

　自動運転アプリ部１０４は、自動運転を実行するためのアプリケーションであり、セントラルＥＣＵ１００以外の他のＥＣＵから車外のセンシング情報を取得し、車両１０の制御を行う。

　車載ネットワーク通信部１０５は、車載ネットワークの通信インターフェースであり、ゾーンＥＣＵ２００ａ～２００ｄとメッセージの授受を行う。また車載ネットワーク通信部１０５は、通信の転送制御を行うネットワークスイッチの機能を備える。車載ネットワーク通信部１０５は、マスターポリシー検証結果に関する検証情報を各ゾーンＥＣＵ２００ａ等に出力する出力部として機能してもよい。

　マスターポリシー判断部１０６は、車両機能へのアクセス要求があった場合に、当該機能へのアクセスを許可するか否かを判断する。具体的にはアクセスポリシー保持部１０８に格納されるアクセスポリシーに基づいて、車載ネットワーク通信部１０５で取得したメッセージの内容に関して送信先と送信元とが合致しているか否かを判断する。取得したメッセージの内容に関して送信先と送信元とが合致している場合、車載ネットワーク通信部１０５は、アクセス許可をポリシー実施部１０７に通知する。取得したメッセージの内容に関して送信先と送信元とが合致していない場合、車載ネットワーク通信部１０５は、アクセス拒否をポリシー実施部１０７に通知する。なお、マスターポリシー判断部１０６は、サービスＩＤと提供先ＩＰアドレスとが一致するか否かを判断してもよい。

　また、マスターポリシー判断部１０６は、アクセスポリシー保持部１０８に格納されるアクセスポリシーだけでなく、ゾーンＥＣＵ２００ａ～２００ｄに配置されるポリシー判断部２０２から通知される、アクセスポリシーの検証結果であるポリシー検証結果に基づいて総合的にアクセス許可を判断してもよい。その後、マスターポリシー判断部１０６は、アクセス許可／拒否の通知をゾーンＥＣＵ２００ａ～２００ｄのポリシー実施部２０３へ通知する。

　ポリシー実施部１０７は、マスターポリシー判断部１０６から通知されるアクセス許可／拒否の通知に基づいて、車両機能へのアクセスを許可／拒否する。具体的にはポリシー実施部１０７は、車載ネットワーク通信部１０５で取得したメッセージの転送／破棄の制御を行う。

　アクセスポリシー保持部１０８は、車両機能へのアクセス制御を行うためのポリシーに関する情報を記憶するストレージである。詳細は図５を用いて後述する。アクセスポリシー保持部１０８は、例えば、半導体メモリまたはＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）などにより実現されるがこれに限定されない。

　車両状態保持部１０９は、現在の車両状態の情報を記憶するストレージである。詳細は図６を用いて後述する。車両状態保持部１０９は、例えば、半導体メモリまたはＨＤＤなどにより実現されるがこれに限定されない。

　ユーザ情報保持部１１０は、ユーザ情報を記憶するストレージである。詳細は図７を用いて後述する。ユーザ情報保持部１１０は、例えば、半導体メモリまたはＨＤＤなどにより実現されるがこれに限定されない。

　図３は、本実施の形態に係るゾーンＥＣＵ２００ａの機能構成を示すブロック図である。なおゾーンＥＣＵ２００ｂ、２００ｃ、２００ｄも同様の構成のため、これらの説明を省略する。

　ゾーンＥＣＵ２００ａは、車載ネットワーク通信部２０１と、ポリシー判断部２０２と、ポリシー実施部２０３と、アクセスポリシー保持部２０４と、車両状態保持部２０５と、を備える。

　車載ネットワーク通信部２０１は、車載ネットワークの通信インターフェースであり、セントラルＥＣＵ１００およびゾーン内のカメラＥＣＵ３００ａの少なくとも一方と通信を行う。また車載ネットワーク通信部２０１は、必要に応じて通信の転送制御を行うネットワークスイッチの機能を備える。

　ポリシー判断部２０２は、アクセスポリシー保持部２０４に格納されるアクセスポリシーに基づいて、車載ネットワーク通信部２０１で取得したメッセージの内容に関して、送信先と送信元とが合致しているか否かを判断する。メッセージの内容に関して、送信先と送信元とが合致している場合、ポリシー判断部２０２は、アクセス許可をポリシー実施部２０３に通知する。メッセージの内容に関して、送信先と送信元とが合致していない場合、ポリシー判断部２０２は、アクセス拒否をポリシー実施部２０３に通知する。なお、ポリシー判断部２０２は、サービスＩＤと提供先ＩＰアドレスとが一致するか否かを判断してもよい。ポリシー判断部２０２の判断結果は、ポリシー検証結果の一例であり、アクセスの可否の判断結果を含む。

　また、メッセージの内容に応じて、アクセス許可の検証結果をポリシー実施部２０３に通知するのではなく、ポリシー判断部２０２は、セントラルＥＣＵ１００のマスターポリシー判断部１０６へ通知し、マスターポリシー判断部１０６から、アクセス許可／拒否の最終判断結果をポリシー実施部２０３に通知する場合もある。

　ポリシー実施部２０３は、ポリシー実施部１０７と同様の機能を有し、ポリシー判断部２０２または、マスターポリシー判断部１０６から通知されるアクセス許可／拒否の通知に基づいて、車両機能へのアクセスを許可／拒否する。具体的にはポリシー実施部２０３は、車載ネットワーク通信部２０１で取得したメッセージの転送／破棄の制御を行う。例えば、ポリシー実施部２０３は、アクセス許可されたメッセージを転送し、アクセス拒否されたメッセージを破棄する。

　アクセスポリシー保持部２０４は、車両機能へのアクセス制御を行うためのポリシーに関する情報を記憶するストレージである。基本的にはアクセスポリシー保持部２０４は、セントラルＥＣＵ１００の備えるアクセスポリシー保持部１０８と同様の情報を保持しており、詳細は図５を用いて後述する。アクセスポリシー保持部２０４は、例えば、半導体メモリまたはＨＤＤなどにより実現されるがこれに限定されない。

　車両状態保持部２０５は、現在の車両状態の情報を記憶するストレージである。基本的には車両状態保持部２０５は、セントラルＥＣＵ１００の備える車両状態保持部１０９と同様の情報を保持しており、詳細は図６を用いて後述する。車両状態保持部２０５は、例えば、半導体メモリまたはＨＤＤなどにより実現されるがこれに限定されない。

　図４は、本実施の形態に係るカメラＥＣＵ３００ａの機能構成を示すブロック図である。なお、充電器ＥＣＵ３００ｂ、ブレーキＥＣＵ３００ｃ、モータＥＣＵ３００ｄについても、実質的な構成は同様のため説明を省略する。

　カメラＥＣＵ３００ａは、アプリ部３０１と、通信部３０２と、を備える。

　アプリ部３０１は、ＥＣＵの機能を実現するアプリケーションが搭載されている。カメラＥＣＵ３００ａは、カメラ情報を取得し、必要なＥＣＵに対してカメラ情報を提供するサービスが起動している。充電器ＥＣＵ３００ｂは、バッテリーの充電状態を提供するためのサービスまたはバッテリーの充電制御を行うためのサービスが起動している。ブレーキＥＣＵ３００ｃは、ブレーキの状態を通知するためのサービスまたはブレーキの制御を行うためのサービスが起動している。モータＥＣＵ３００ｄは、モータの状態を通知するためのサービスまたはモータの制御を行うためのサービスが起動している。

　通信部３０２は、車載ネットワークの通信インターフェースであり、ゾーンＥＣＵ２００ａと通信を行う。

　［各種情報の具体例］
　続いて、実施の形態に係る車載ネットワークシステムで用いられる各種情報について説明する。

　図５は、本実施の形態に係るアクセスポリシーの一例を示す図である。アクセスポリシーは、アクセスポリシー保持部１０８および２０４に記憶されている情報である。例えば、アクセスポリシー保持部１０８および２０４に記憶されているアクセスポリシーは、同一の情報（同期がとれている情報）である。

　アクセスポリシーは、機能（サービスＩＤ）ごとに、提供先ＩＰアドレスと提供元ＩＰアドレスとを示す情報であり、さらに機能ごとに重要特性が定められている。またアクセスポリシーには、アクセスポリシーのバージョン情報が併せて保持されている。少なくともサービスＩＤおよび提供先ＩＰアドレスは、メッセージ（車両機能へのアクセス要求であり、後述する探索メッセージ）に含まれる情報である。

　図５において、アクセスポリシーのバージョンは１．０であり、車両１０の機能として、カメラ情報（サービスＩＤ：０ｘ１０）、ブレーキ制御（サービスＩＤ：０ｘ２０）、充電器制御（サービスＩＤ：０ｘ３０）、ユーザ情報取得（サービスＩＤ：０ｘ４０）があり、それぞれの機能のサービスの提供先として許可されたＩＰアドレスが順に、１９２．１６８．０．２０、１９２．１６８，０．１０、１９２．１６８．０．１０、１９２．１６８．０．３０であり、サービスの提供元として許可されたＩＰアドレスが順に、１９２．１６８．０．１０、１９２．１６８，０．５、１９２．１６８．０．３０、１９２．１６８．０．１０であり、重要特性が順に、可用性、安全性、可用性、機密性である。

　車載ネットワークの通信は例えば、ＳＯＭＥ／ＩＰによって実現されていてもよく、サービスＩＤはＳＯＭＥ／ＩＰにおけるＭｅｓｓａｇｅ　ＩＤやＳｅｒｖｉｃｅ　ＩＤと対応している。なお、車載ネットワークの車載プロトコルは、ＳＯＭＥ／ＩＰであることに限定されない。

　重要特性は、可用性、安全性、および、機密性に分類される。なお、重要特性は、可用性、安全性、および、機密性のうち少なくとも２つを含んでいればよい。

　可用性は、サービスの継続性が重要な要素となるようなサービスに対して割り当てられる。例えばカメラ情報、車両１０の状態通知など情報が遮断されることによって車両制御に影響が及ぶようなサービスが該当する。例えば、可用性が求められるサービス（第１サービス）として、カメラなどのセンサにより取得されたセンサデータの授受が例示されるがこれに限定されない。

　可用性が重要なサービスに対しては、リアルタイム性またはサービスの継続性が求められるため、マスターポリシー判断部１０６または、ポリシー判断部２０２は、当該サービスの通信の遮断の判断を安全性および機密性に比べて慎重に行う。つまり単一のポリシー判断部２０２によってアクセス拒否を判断するのではなく、複数のポリシー判断部２０２の結果に基づいてマスターポリシー判断部１０６がアクセスの拒否を判断する。またリアルタイム性が求められるため、マスターポリシー判断部１０６は、アクセス拒否の判断までの通信を許可するようにアクセス制御を行う。

　安全性は、車両制御に直接的な影響を及ぼしうるサービスに対して割り当てられる。例えば、ブレーキまたはモータ制御指示を受け付け、ブレーキまたはモータの制御を行うようなサービスが該当する。例えば、安全性が求められるサービス（第３サービス）として、リアルタイム性の求められるアクチュエータの制御に関するサービスが例示されるがこれに限定されない。

　安全性が重要なサービスに対しては、不正なサービスへのアクセスを即時に遮断することが求められ、さらに車両１０の制御に関わるためリアルタイム性も求められる。そのため単一のポリシー判断部２０２の決定に基づいてサービスのアクセスの許可／拒否が判断される。例えば、各ゾーンＥＣＵ２００ａ等が自装置のポリシー判断部２０２のポリシー検証結果に基づいて、自装置におけるサービスのアクセスの許可／拒否を判断する。

　機密性は、サービスに含まれる情報が、許可されたアプリケーション以外に読み取られたくないサービスに対して割り当てられる。例えばユーザの個人情報に関わる情報を提供するサービスが該当する。例えば、機密性が求められるサービス（第２サービス）として、個人情報または機密情報に関するデータの授受が例示されるがこれに限定されない。

　機密性が重要なサービスに対しては、リアルタイム性は求められないが、アクセスの許可を慎重に判断することが求められる。そのため、マスターポリシー判断部１０６、またはポリシー判断部２０２は、当該サービスの通信に関して、複数のポリシー判断部２０２の結果に基づいて、マスターポリシー判断部１０６がアクセスの許可を判断する。また各ゾーンＥＣＵは、マスターポリシー判断部１０６によるアクセス許可の判断までは、通信を保留させておくようにアクセス制御を行う。

　なお、機能は、図５に示す例に限るものではなく、ほかにもあってもよい。

　また、提供先ＩＰアドレスと提供元ＩＰアドレスとの両方に値が設定されている必要はなく、どちらか片方のＩＰアドレスだけが設定されていてもよい。また設定されるＩＰアドレスが複数あってもよい。例えば、アクセスポリシーは、複数のＥＣＵのうちサービスへのアクセスを許可されたＥＣＵ、および、複数のＥＣＵのうちサービスの提供を許可されたＥＣＵのいずれか、または両方に関する情報を含んでいてもよい。

　また、提供先と提供元とを示す情報はＩＰアドレスでなくても構わない。提供先と提供元とを示す情報としては、例えばＭＡＣアドレス、または、ＥＣＵもしくはアプリケーションを識別する識別子であってもよい。

　また、サービスＩＤは、サービスの識別子を表すものであればなんでもよい。サービスＩＤは、メッセージに含まれていてもよい。また、サービスＩＤは、ポート番号であってもよい。

　また、重要特性は、設定されていないサービスが存在しても構わない。重要特性が設定されていないサービスに対しては、デフォルトで設定された基準（例えば単一のポリシー判断部２０２による判断）に従ってアクセス許可／拒否が判断されてもよい。

　また、アクセスポリシーは、暗号化されてアクセスポリシー保持部１０８および２０４に保持されていてもよい。

　また、アクセスポリシーには、マスターポリシー判断部１０６、および、ポリシー判断部２０２以外が参照できないように、アクセス制御が設定されていてもよい。

　また、アクセスポリシーは、正規の手順に基づいて更新されてもよい。正規の手順とは例えば、外部のサーバから受信したアクセスポリシーのバージョンがロールバックしていないこと、アクセスポリシーのデジタル署名の検証が正しいことなどを検証した後に、アクセスポリシーが更新されてもよい。

　図６は、本実施の形態に係る車両状態の一例を示す図である。車両状態は、車両状態保持部１０９、および２０５に記憶されている情報である。

　車両状態には、車載ネットワークを介して通知される情報に基づいた現在の車両状態が記憶されている。具体的には、車両状態保持部１０９、および２０５は、車両状態として、車両１０の走行状態、自動運転モードのＯＮ／ＯＦＦ、バッテリーの残電力の状態を保持している。図６において、走行状態が走行中、自動運転がＯＦＦ、バッテリーの残電力が７０％である状態を一例として示している。

　マスターポリシー判断部１０６、およびポリシー判断部２０２は、車両状態に応じて、アクセスポリシーの各サービスの重要特性を変更しうる。例えば、車両１０が停車している場合に、マスターポリシー判断部１０６、およびポリシー判断部２０２は、充電制御サービスの重要特性を安全性に変更するなど、現在の車両状態に応じてサービスが重要とする特性が変化する場合に対応するために車両状態を用いる。

　なお、車両状態は図６に示す例に限らず、例えば診断モード状態またはアップデート状態を含んでいてもよい。診断モード状態は、例えば各ＥＣＵの自己診断機能のモード（例えば、ＯＮ／ＯＦＦ）を示す。アップデート状態は、車両１０に搭載されている各アプリケーション、アクセスポリシーのアップデートの状態（例えば、バージョン）を示す。

　図７は、本実施の形態に係るユーザ情報の一例を示す図である。ユーザ情報は、ユーザ情報保持部１１０に記憶されている情報である。

　ユーザ情報保持部１１０は、ユーザ情報として具体的には車両ユーザの氏名、住所、電話番号、およびクレジットカード情報を保持する。車両ユーザの氏名は、例えば、車両１０を現在使用しているユーザの氏名であってもよい。

　図７に示す例では、ユーザの氏名は山田太郎であり、住所は大阪府ＸＸＸＸであり、電話番号は０９０ＸＸＸＸＸＸＸＸであり、クレジットカード情報はＹＹＹＹＹＹであることを示している。

　なお、ユーザ情報保持部１１０が保持するユーザ情報は、図７に示す情報に限らない。ユーザ情報保持部１１０は、例えば、ユーザ情報として、ユーザのスマートフォンなどの情報端末から取得したアドレス帳情報、お気に入りの場所情報などを保持していてもよい。

　また、ユーザ情報は暗号化されてユーザ情報保持部１１０に保持されていてもよい。

　［処理手順］
　続いて、本実施の形態に係る車載ネットワークシステムの処理手順について説明する。

　図８は、本実施の形態に係るアクセスの許可の処理手順を示すシーケンス図（情報処理方法、アクセス許可方法）である。具体的には、図８は、セントラルＥＣＵ１００の自動運転アプリが、カメラＥＣＵ３００ａに対してカメラ情報サービスにアクセスする際のシーケンス図である。

　まず、セントラルＥＣＵ１００は、例えば自動運転機能がＯＮとなったタイミングに、カメラ情報サービスの利用を要求するためのカメラ情報サービスの探索メッセージを送信する（Ｓ１００）。カメラ情報サービスの探索メッセージとしてＳＯＭＥ／ＩＰ‐ＳＤ（Ｓｅｒｖｉｃｅ　Ｄｉｃｏｖｅｒｙ）メッセージ（Ｆｉｎｄメッセージ）がセントラルＥＣＵ１００からゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄにブロードキャストされる。

　ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのそれぞれは、カメラ情報サービスの探索メッセージを取得すると、当該メッセージに対してアクセスポリシーに合致しているか否かを確認する（Ｓ１０１）。つまり、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのそれぞれは、カメラ情報サービスの探索メッセージを取得すると、探索メッセージのアクセスポリシーを判断する。

　カメラ情報サービスの探索メッセージには、サービスＩＤとしてカメラ情報のＩＤ（図５の例では、０×１０）と、提供先ＩＰアドレス（セントラルＥＣＵ１００または探索メッセージを送信したアプリ部のＩＰアドレス）とが含まれる。ステップＳ１０１では、各ゾーンＥＣＵのポリシー判断部２０２は、探索メッセージに含まれるカメラ情報のＩＤおよび提供先ＩＰアドレスと、図５に示すアクセスポリシーとに基づいて、合致しているか否かを確認する。例えば、各ゾーンＥＣＵのポリシー判断部２０２は、探索メッセージに含まれるカメラ情報のＩＤおよび提供先ＩＰアドレスの組が、図５に示すアクセスポリシーにあるか否かを判断する。

　その後、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、カメラ情報サービスの重要特性が可用性であるため、まずカメラ情報サービスの探索メッセージを各自のゾーンに転送する（Ｓ１０２）。各ゾーンＥＣＵ２００ａ等は、例えば、自ゾーンにカメラ情報サービスを提供可能なカメラＥＣＵが接続されているか否かを把握しておらず、かつ、重要特性が可用性である場合、ステップＳ１０１の結果に関わらず探索メッセージを一旦転送する。なお、各ゾーンＥＣＵ２００ａ等が自ゾーンのＥＣＵが提供可能なサービスに関する情報を把握している（記憶している）場合、ステップＳ１０２の処理は省略されてもよい。

　さらに、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、アクセスポリシーの検証結果（ポリシー検証結果）が問題なし（ＯＫ）であったことをセントラルＥＣＵ１００に返答する（送信する）（Ｓ１０３）。ステップＳ１０３では、ステップＳ１０１の処理の結果（検証結果）を提供先のＥＣＵであるセントラルＥＣＵ１００に送信する。ステップＳ１０３は、ステップＳ１０２の処理とは無関係に実行される。

　ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄからのポリシー検証結果が全てＯＫであったため、セントラルＥＣＵ１００が、カメラ情報サービスにアクセスすることを許可し、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄに対しても許可の通知を行う（Ｓ１０４）。

　ステップＳ１０４において、セントラルＥＣＵ１００のマスターポリシー判断部１０６は、ゾーンＥＣＵ２００ａ、２００ｃ、２００ｄから送信されるポリシー検証結果に基づいて、ステップＳ１００で送信したカメラ情報サービスの探索メッセージに対する最終的なアクセスの可否の判断結果であるマスターポリシー検証結果（ここでは、アクセス許可）を出力する。

　ゾーンＥＣＵ２００ａは自ゾーンのカメラＥＣＵ３００ａから受信した返答（ＳＯＭＥ／ＩＰ‐ＳＤメッセージ（Ｏｆｆｅｒメッセージ））をセントラルＥＣＵ１００に転送する（Ｓ１０５）。つまり、ゾーンＥＣＵ２００ａは、カメラＥＣＵ３００ａからの返答をセントラルＥＣＵ１００に転送する。当該返答は、ステップＳ１０２において探索メッセージを転送したことに対して、カメラ情報を有していることを示す返答である。これにより、セントラルＥＣＵ１００は、カメラＥＣＵ３００ａがどのゾーンＥＣＵに接続されているかを取得することができる。

　セントラルＥＣＵ１００は、カメラＥＣＵ３００ａから受信したＯｆｆｅｒメッセージに基づいて、カメラ情報サービスの利用を要求するメッセージ（利用要求）をゾーンＥＣＵ２００ａへ送信する（Ｓ１０６）。その後、セントラルＥＣＵ１００とカメラＥＣＵ３００ａとのセッションが確立して、セントラルＥＣＵ１００はカメラ情報サービスを利用することができる。利用要求は、マスターポリシー検証結果に関する検証情報の一例である。

　なお、ステップＳ１０３のアクセスポリシーの検証結果の返答タイミングは、特に限定されない。また、ステップＳ１０３のアクセスポリシーの検証結果の返答タイミングに応じてステップＳ１０４のカメラ情報サービスへのアクセス許可の判断がステップＳ１０５より遅くなる可能性もあるが、カメラ情報サービスの重要特性が可用性であるため、いずれにせよ、カメラＥＣＵ３００ａからの返答は、セントラルＥＣＵ１００に転送される。

　図９は、本実施の形態に係る不正な挙動を示す充電器ＥＣＵ３００ｂが、カメラＥＣＵ３００ａに対してカメラ情報サービスにアクセスする際のシーケンス図（情報処理方法、アクセス許可方法）である。

　まず、充電器ＥＣＵ３００ｂから送信されたカメラ情報サービスの探索メッセージをゾーンＥＣＵ２００ｂが受信し、当該メッセージのアクセスポリシーを確認後、当該メッセージを他のゾーンＥＣＵ２００ａ、２００ｃ、２００ｄおよびセントラルＥＣＵ１００に転送する（Ｓ２００）。

　カメラ情報サービスの探索メッセージを転送されたセントラルＥＣＵ１００と、ゾーンＥＣＵ２００ａ、２００ｃ、２００ｄとは、当該探索メッセージ（受信メッセージ）のアクセスポリシーを確認する（Ｓ２０１）。アクセスポリシーの確認方法は、図８に示すステップＳ１０１と同様である。

　ゾーンＥＣＵ２００ａ、２００ｃ、２００ｄは、自ゾーンにカメラ情報サービスの探索メッセージを転送する（Ｓ２０２）。

　カメラＥＣＵ３００ａはゾーンＥＣＵ２００ａに、カメラ情報サービスのＯｆｆｅｒメッセージを送信し、ゾーンＥＣＵ２００ａは、当該メッセージをゾーンＥＣＵ２００ｂに転送する（Ｓ２０３）。その後メッセージは充電器ＥＣＵ３００ｂに転送される。つまり、ゾーンＥＣＵ２００ｂにおいて、カメラＥＣＵ３００ａからの返答が充電器ＥＣＵ３００ｂに転送される。

　次に、充電器ＥＣＵ３００ｂは、カメラ情報サービス利用を要求するメッセージをゾーンＥＣＵ２００ｂ、２００ａ経由でカメラＥＣＵ３００ａに送信する（Ｓ２０４）。

　その後、ゾーンＥＣＵ２００ｃ、２００ｄは、充電器ＥＣＵ３００ｂが、カメラ情報サービスを利用するのはアクセスポリシーに違反する検証結果（ＮＧ）をセントラルＥＣＵ１００に送信する（Ｓ２０５）。

　同様にゾーンＥＣＵ２００ａも、検証結果がアクセスポリシーに違反する検証結果（ＮＧ）であることをセントラルＥＣＵ１００に送信する（Ｓ２０６）。

　セントラルＥＣＵ１００は、ゾーンＥＣＵ２００ａ、２００ｃ、２００ｄから受信したアクセスポリシーの検証結果を総合的に判断して、アクセスポリシー違反となった充電器ＥＣＵ３００ｂがカメラ情報サービスにアクセスすることを禁止するメッセージ（カメラ情報サービスの遮断要求）を、該当するゾーンＥＣＵであるゾーンＥＣＵ２００ａと、ゾーンＥＣＵ２００ｂとに通知（送信）する（Ｓ２０７）。つまり、セントラルＥＣＵ１００は、カメラ情報サービスの遮断をゾーンＥＣＵ２００ａと、ゾーンＥＣＵ２００ｂとに要求する。ステップＳ２０７において、セントラルＥＣＵ１００のマスターポリシー判断部１０６は、例えば、ポリシーの検証結果のうちアクセスＮＧ（アクセス拒否）であることを含むポリシー検証結果の数が閾値以上ある場合、アクセス拒否であることを示すマスターポリシー検証結果（ここでは、遮断要求）を、複数のゾーンＥＣＵ２００ａ等のうちカメラＥＣＵ３００ａに接続されたゾーンＥＣＵ２００ａと、充電器ＥＣＵ３００ｂに接続されたゾーンＥＣＵ２００ｂとを送信する。

　ステップＳ２０７において、セントラルＥＣＵ１００のマスターポリシー判断部１０６は、ゾーンＥＣＵ２００ａ、２００ｃ、２００ｄから送信されるアクセスポリシーの検証結果に基づいて、ステップＳ２００で受信したカメラ情報サービスの探索メッセージに対する最終的なアクセスの可否の判断結果であるマスターポリシー検証結果（ここでは、アクセス拒否と判定されたので、遮断要求）を出力する。遮断要求は、マスターポリシー検証結果に関する検証情報の一例である。

　その後、充電器ＥＣＵ３００ｂとカメラＥＣＵ３００ａとにおけるカメラ情報サービスに関する通信は、ゾーンＥＣＵ２００ａまたは、ゾーンＥＣＵ２００ｂにおいて遮断され、充電器ＥＣＵ３００ｂは不正にカメラ情報サービスを利用することができなくなる。

　この場合、充電器ＥＣＵ３００ｂは一の電子制御装置の一例であり、カメラＥＣＵ３００ａは他の一の電子制御装置の一例である。また、探索メッセージの送信は、充電器ＥＣＵ３００ｂからカメラＥＣＵ３００ａのサービスへのアクセスの一例である。

　なお、ステップＳ２０７の遮断要求は、さらにゾーンＥＣＵ２００ｃおよび２００ｄを含む複数のゾーンＥＣＵ２００ａ等のそれぞれに通知（送信）されてもよい。

　図１０は、本実施の形態に係るセントラルＥＣＵ１００が実行する、マスターポリシー判断部１０６とポリシー実施部１０７との処理の詳細を示すフローチャート（情報処理方法、アクセス許可方法）である。

　まず、セントラルＥＣＵ１００は、車載ネットワークからＳＯＭＥ／ＩＰ―ＳＤメッセージ（サービスＦｉｎｄメッセージまたはサービスＯｆｆｅｒメッセージ）を受信する（Ｓ３００）。サービスＦｉｎｄメッセージは、提供先（クライアント側）がサービスを提供する提供元（サーバ側）を見つけるためのメッセージである。サービスＦｉｎｄメッセージは、どのＥＣＵがどのサービスを探しているかを含むメッセージである。また、サービスＯｆｆｅｒメッセージは、サーバ側（カメラＥＣＵ３００ａとか）から所有する（提供可能な）情報を通知するメッセージである。サービスＯｆｆｅｒメッセージは、どのＥＣＵがどのサービスを提供可能であるかを含むメッセージである。

　セントラルＥＣＵ１００は、受信したＳＯＭＥ／ＩＰ―ＳＤメッセージに含まれる提供または要求するサービスＩＤを確認し、アクセスポリシー保持部１０８を参照することで、受信したメッセージに関わるサービスの重要特性が安全性であるか否かを判断する（Ｓ３０１）。セントラルＥＣＵ１００のマスターポリシー判断部１０６は、サービスＦｉｎｄメッセージまたはサービスＯｆｆｅｒメッセージに含まれるサービスＩＤの重要特性が安全性であるかを、図５に示すアクセスポリシーに基づいて判断する。図５に示すように、アクセスポリシーでは、サービスＩＤと重要特性とが一対一に対応付けられている。

　なお、受信したＳＯＭＥ／ＩＰ―ＳＤメッセージに複数のサービスＩＤが存在する場合があるが、その場合、セントラルＥＣＵ１００はすべてのサービスＩＤを確認し、安全性が求められるサービスが存在するか否かを判断してもよい。

　また、異なる重要特性が含まれるＳＯＭＥ／ＩＰ―ＳＤメッセージに対しては、セントラルＥＣＵ１００は、各サービスＩＤに分割して、ＳＯＭＥ／ＩＰ―ＳＤメッセージを転送してもよい。例えば重要特性が安全性と可用性との異なるサービスＩＤを含むＳＯＭＥ／ＩＰ―ＳＤメッセージに対しては、セントラルＥＣＵ１００は、重要特性が可用性であるサービスＩＤのみを含むＳＯＭＥ／ＩＰ－ＳＤメッセージを作成し、作成したメッセージを先に転送してもよい。またセントラルＥＣＵ１００は、サービスのポリシー確認をＳＯＭＥ／ＩＰ―ＳＤメッセージに対して実施するのではなく、ＳＯＭＥ／ＩＰメッセージに対して実施するとしてもよい。

　受信したメッセージに関わるサービスの重要特性が安全性であると判断された場合（Ｓ３０１でＹｅｓ）、セントラルＥＣＵ１００は、アクセスポリシーを確認し、サービスの提供元と提供先とがアクセスポリシーに合致しているか否かを判断する（Ｓ３０２）。

　次に受信したメッセージがアクセスポリシーに合致していると判断された場合（Ｓ３０２でＹｅｓ）、セントラルＥＣＵ１００は、当該メッセージの転送を許可し（Ｓ３０３）、処理を終了する。ステップＳ３０３では、セントラルＥＣＵ１００を通るメッセージのみ許可されることとなる。なお、図１１を用いて後述するが、この場合、各ゾーンＥＣＵ２００ａ等は、個々にアクセスポリシーがＯＫか否かを判断する。また、ステップＳ３０３における当該メッセージは、ＳＯＭＥ／ＩＰの通常のメッセージのことであり、例えばカメラ情報（画像情報）を送るメッセージであってもよい。当該メッセージは、サービスＦｉｎｄメッセージの後に受信したメッセージであり、サービスディスカバリーではない。

　セントラルＥＣＵ１００は、重要特性が安全性であるサービス（第３サービス）に対しては、マスターポリシー検証結果が出力される前に、複数のゾーンＥＣＵ２００ａ等のそれぞれが個別に、当該ゾーンＥＣＵのポリシー検証結果に基づいて、当該ゾーンＥＣＵにおける当該サービスに対するアクセス可否を判断することを許可するとも言える。

　アクセスポリシーに合致していないと判断された場合（Ｓ３０２でＮｏ）、セントラルＥＣＵ１００は、当該メッセージの転送を禁止して（Ｓ３０４）、処理を終了する。

　受信したメッセージに関わるサービスの重要特性が安全性でないと判断された場合（Ｓ３０１でＮｏ）、セントラルＥＣＵ１００は、受信したメッセージに関わるサービスの重要特性が機密性であるか否かを判断する（Ｓ３０５）。

　次に受信したメッセージに関わるサービスの重要特性が機密性であると判断された場合（Ｓ３０５でＹｅｓ）、セントラルＥＣＵ１００は、当該メッセージに関する、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果を受信する（Ｓ３０６）。

　さらにセントラルＥＣＵ１００は、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が閾値（ここでは、３）未満か否かを判断する（Ｓ３０７）。セントラルＥＣＵ１００は、機密性が求められる場合、重要なデータであるので他のゾーンＥＣＵの判断結果をもらって総合的にアクセス可否を判断する。また、ステップＳ３０７で用いられる閾値は、ステップＳ３１１で用いられる閾値よりも値が大きいがこれに限定されない。

　ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が３未満であると判断された場合（Ｓ３０７でＹｅｓ）、セントラルＥＣＵ１００は、当該メッセージの転送を禁止する（Ｓ３０４）。

　一方で、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が３以上であると判断された場合（Ｓ３０７でＮｏ）、セントラルＥＣＵ１００は、当該メッセージの転送を許可して（Ｓ３０８）、処理を終了する。

　受信したメッセージに関わるサービスの重要特性が機密性でないと判断された場合（Ｓ３０５でＮｏ）、セントラルＥＣＵ１００は、当該メッセージに関わるサービスの重要特性が可用性であるので、当該メッセージの転送を許可する（Ｓ３０９）。

　次にセントラルＥＣＵ１００は、当該メッセージに関するゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果を受信する（Ｓ３１０）。

　その後セントラルＥＣＵ１００は、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が２未満であるか否かを判断する（Ｓ３１１）。例えば、図９に示すステップＳ２０５、Ｓ２０６では、全部ＮＧなので受信数が０、つまり２未満であると判定される。

　ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が２未満であると判断された場合（Ｓ３１１でＹｅｓ）、セントラルＥＣＵ１００は、当該サービスに関してアクセスポリシーを違反する通信を禁止するようにゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄに通知して（Ｓ３１２）、処理を終了する。ステップＳ３１２は、図９に示すステップＳ２０７に相当する。

　一方で、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数が２以上であると判断された場合（Ｓ３１１でＮｏ）、セントラルＥＣＵ１００は、処理を終了する。この場合、ステップＳ３０９で許可された状態が継続する。このように、重要特性として可用性が求められるサービスである場合は、一旦許可して（Ｓ３０９）、おかしかったら（Ｓ３１１でＹｅｓ）後から禁止する（Ｓ３１２）ように処理が実行される。

　なお、セントラルＥＣＵ１００の処理内容を分岐させるゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果ＯＫの受信数の閾値は、本実施の形態で示した値に限らない。車載ネットワーク構成、ゾーンＥＣＵの配置数、および、メッセージの内容に応じて閾値が変更されてもよい。

　また、ポリシー検証結果ＯＫの受信数は、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果だけでなく、セントラルＥＣＵ１００のマスターポリシー判断部１０６のポリシー検証結果を含めてもよい。

　また、本フローチャートでは、ＳＯＭＥ／ＩＰ－ＳＤに関してアクセスポリシーを判断する例を示したが、アクセス制限の対象はＳＯＭＥ／ＩＰ－ＳＤメッセージに限らない。例えば、ＳＯＭＥ／ＩＰメッセージ、Ｄａｔａ　Ｄｉｓｔｒｉｂｕｔｉｏｎ　Ｓｅｒｖｉｃｅ（ＤＤＳ）メッセージなどであってもよい。

　また、本フローチャートでは、ステップＳ３０４において、セントラルＥＣＵ１００は、当該メッセージの転送を禁止、つまりＳＯＭＥ／ＩＰ－ＳＤメッセージの転送を禁止しているが、ＳＯＭＥ／ＩＰ－ＳＤメッセージは転送し、その後の該当サービスに関するメッセージについて転送を禁止するとしてもよいし、他のゾーンＥＣＵに対して、アクセスポリシー外の通信を禁止するように通知してもよい。

　図１１は、本実施の形態に係るゾーンＥＣＵ２００ａが実行する、アクセスの許可の判断処理の詳細を示すフローチャート（情報処理方法、アクセス許可方法）である。なお、ゾーンＥＣＵ２００ｂ、２００ｃ、２００ｄも同様の処理を実行する。

　まず、ゾーンＥＣＵ２００ａは、車載ネットワークからＳＯＭＥ／ＩＰ―ＳＤメッセージ（サービスＦｉｎｄメッセージまたはサービスＯｆｆｅｒメッセージ）を受信する（Ｓ４００）。

　ゾーンＥＣＵ２００ａは、受信したＳＯＭＥ／ＩＰ―ＳＤメッセージに含まれる提供または要求するサービスＩＤを確認し、アクセスポリシー保持部２０４を参照することで、受信したメッセージに関わるサービスの重要特性が安全性であるか否かを判断する（Ｓ４０１）。ゾーンＥＣＵ２００ａのポリシー判断部２０２は、サービスＦｉｎｄメッセージまたはサービスＯｆｆｅｒメッセージに含まれるサービスＩＤの重要特性が安全性であるかを、図５に示すアクセスポリシーに基づいて判断する。

　なお、受信したＳＯＭＥ／ＩＰ―ＳＤメッセージに複数のサービスＩＤが存在する場合があるが、その場合、ゾーンＥＣＵ２００ａはすべてのサービスＩＤを確認し、安全性が求められるサービスが存在するか否かを判断してもよい。

　また、異なる重要特性が含まれるＳＯＭＥ／ＩＰ―ＳＤメッセージに対して、ゾーンＥＣＵ２００ａは、各サービスＩＤに分割して、ＳＯＭＥ／ＩＰ―ＳＤメッセージを転送してもよい。例えば重要特性が安全性と可用性との異なるサービスＩＤを含むＳＯＭＥ／ＩＰ―ＳＤメッセージに対して、ゾーンＥＣＵ２００ａは、重要特性が可用性であるサービスＩＤのみを含むＳＯＭＥ／ＩＰ－ＳＤメッセージを作成し、作成したメッセージを先に転送してもよい。またゾーンＥＣＵ２００ａは、サービスのポリシー確認をＳＯＭＥ／ＩＰ―ＳＤメッセージに対して実施するのではなく、ＳＯＭＥ／ＩＰメッセージに対して実施するとしてもよい。

　受信したメッセージに関わるサービスの重要特性が安全性であると判断された場合（Ｓ４０１でＹｅｓ）、ゾーンＥＣＵ２００ａは、アクセスポリシーを確認し、サービスの提供元と提供先とがアクセスポリシーに合致しているか否かを判断する（Ｓ４０２）。

　次に受信したメッセージがアクセスポリシーに合致していると判断された場合（Ｓ４０２でＹｅｓ）、ゾーンＥＣＵ２００ａは、当該メッセージの転送を許可し（Ｓ４０３）、処理を終了する。ステップＳ４０３では、ゾーンＥＣＵ２００ａを通るメッセージのみ許可されることとなる。

　受信したメッセージがアクセスポリシーに合致していないと判断された場合（Ｓ４０２でＮｏ）、ゾーンＥＣＵ２００ａは、当該メッセージの転送を禁止して（Ｓ４０４）、処理を終了する。

　ゾーンＥＣＵ２００ａは、受信したメッセージに関わるサービスの重要特性が安全性でないと判断された場合（Ｓ４０１でＮｏ）、受信したメッセージに関わるサービスの重要特性が機密性であるか否かを判断する（Ｓ４０５）。

　次に受信したメッセージに関わるサービスの重要特性が機密性であると判断された場合（Ｓ４０５でＹｅｓ）、ゾーンＥＣＵ２００ａは当該メッセージに関する、ポリシー検証結果をセントラルＥＣＵ１００に送信する（Ｓ４０６）。

　さらにゾーンＥＣＵ２００ａはセントラルＥＣＵ１００から、最終的なアクセス許可／拒否の判断結果（マスターポリシー検証結果）を受信し、判断結果がアクセス拒否（ＮＧ）であるか否かを判断する（Ｓ４０７）。

　ゾーンＥＣＵ２００ａは、セントラルＥＣＵ１００から受信した最終判断結果として、アクセス拒否（ＮＧ）を受信した場合（Ｓ４０７でＹｅｓ）、当該メッセージの転送を禁止する（Ｓ４０４）。

　一方でゾーンＥＣＵ２００ａは、最終判断結果として、アクセス許可（ＯＫ）を受信した場合（Ｓ４０７でＮｏ）、当該メッセージの転送を許可して（Ｓ４０８）、処理を終了する。

　受信したメッセージに関わるサービスの重要特性が機密性でないと判断された場合（Ｓ４０５でＮｏ）、ゾーンＥＣＵ２００ａは、当該メッセージに関わるサービスの重要特性が可用性であるので、当該メッセージの転送を許可する（Ｓ４０９）。

　次にゾーンＥＣＵ２００ａは、当該メッセージに関するゾーンＥＣＵ２００ａのポリシー検証結果をセントラルＥＣＵ１００に送信する（Ｓ４１０）。

　その後、ゾーンＥＣＵ２００ａは、セントラルＥＣＵ１００から、最終的なアクセス許可／拒否の判断結果（マスターポリシー検証結果）を受信し、判断結果がアクセス拒否（ＮＧ）であるか否かを判断する（Ｓ４１１）。

　ゾーンＥＣＵ２００ａは、最終判断結果としてアクセス拒否を受信したと判断された場合（Ｓ４１１でＹｅｓ）、当該サービスに関してアクセスポリシーを違反する通信を禁止して（Ｓ４１２）、処理を終了する。

　一方で、ゾーンＥＣＵ２００ａは、最終判断結果としてアクセス許可であると判断された場合（Ｓ４１１でＮｏ）、何もせずに処理を終了する。この場合、ステップＳ４０９で許可された状態が継続する。このように、重要特性として可用性が求められるサービスである場合は、一旦許可して（Ｓ４０９）、おかしかったら（Ｓ４１１でＹｅｓ）後から禁止する（Ｓ４１２）ように処理が実行される。

　なお、本フローチャートでは、ＳＯＭＥ／ＩＰ－ＳＤに関してアクセスポリシーを判断する例を示したが、アクセス制限の対象はＳＯＭＥ／ＩＰ－ＳＤメッセージに限らない。ＳＯＭＥ／ＩＰメッセージ、Ｄａｔａ　Ｄｉｓｔｒｉｂｕｔｉｏｎ　Ｓｅｒｖｉｃｅ（ＤＤＳ）メッセージであってもよい。また、本フローチャートでは、ステップＳ４０４において、ゾーンＥＣＵ２００ａは、当該メッセージの転送を禁止、つまりＳＯＭＥ／ＩＰ－ＳＤメッセージの転送を禁止しているが、ＳＯＭＥ／ＩＰ－ＳＤメッセージは転送し、その後の該当サービスに関するメッセージについて転送を禁止するとしてもよい。

　図１２は、本実施の形態に係るセントラルＥＣＵ１００のマスターポリシー判断部１０６が車両状態保持部１０９に保持されている車両状態に応じて、アクセスポリシー保持部１０８に格納されている各サービスの重要特性を変更する処理を示すフローチャート（情報処理方法、アクセス許可方法）である。なお、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー判断部２０２も同様の処理を行う。

　まず、セントラルＥＣＵ１００は、車載ネットワークの通信からメッセージを受信し、通信内容から車両状態の変更を検出する（Ｓ５００）。ステップＳ５００において、セントラルＥＣＵ１００は、車両状態が変化したか否かを判断する。

　セントラルＥＣＵ１００は、車両状態の走行状態が停車中に変更されたか（変化したか）否かを判断する（Ｓ５０１）。

　車両状態の走行状態が停車中に変化したと判断された場合（Ｓ５０１でＹｅｓ）、セントラルＥＣＵ１００は、充電器制御に関わるサービスの通信の重要特性を安全性に変更（例えば、可用性から安全性に変更）して（Ｓ５０２）、ステップＳ５０７に進む。

　車両状態の走行状態が停車中に変化していないと判断された場合（Ｓ５０１でＮｏ）、セントラルＥＣＵ１００は、車両状態の走行状態が走行中に変更されたか（変化したか）否かを判断する（Ｓ５０３）。

　車両状態の走行状態が走行中に変化したと判断された場合（Ｓ５０３でＹｅｓ）、セントラルＥＣＵ１００は、ブレーキ制御に関わるサービスの通信の重要特性を安全性に変更して（Ｓ５０４）、ステップＳ５０７に進む。

　また、車両状態の走行状態が走行中に変化していないと判断された場合（Ｓ５０３でＮｏ）、セントラルＥＣＵ１００は、車両状態の自動運転モードがＯＮに変化したか否かを判断する（Ｓ５０５）。つまり、ステップＳ５０５では、車両状態が自動運転中に変化したか否かが判断される。

　車両状態の自動運転モードがＯＮに変化したと判断された場合（Ｓ５０５でＹｅｓ）、セントラルＥＣＵ１００は、ブレーキ制御に関わるサービスの通信の重要特性を可用性に変更（例えば、安全性から可用性に変更）して（Ｓ５０６）、ステップＳ５０７に進む。

　次に、セントラルＥＣＵ１００は、変更した重要特性を含む情報を各ゾーンＥＣＵ２００ａ等に送信する（Ｓ５０７）。セントラルＥＣＵ１００は、変更した重要特性を含むアクセスポリシーを各ゾーンＥＣＵ２００ａ等に送信してもよい。そして、セントラルＥＣＵ１００は、処理を終了する。

　一方、車両状態の自動運転モードがＯＮに変化していないと判断された場合（Ｓ５０５でＮｏ）、セントラルＥＣＵ１００は、処理を終了する。

　なお、重要特性の変更については、本フローチャートのようにアクセスポリシー保持部１０８の内容を変更してもよいし、図１０のアクセスポリシー保持部１０８の参照タイミングで、車両状態保持部１０９の車両状態を参照することで、重要特性を変更してもよい。

　これにより、同じサービスＩＤであっても車両状態に応じて重要特性が変化するので、アクセス可否の判断結果を車両状態に応じて異ならせることができる。よって、その時点での車両状態に応じたアクセス可否の判断結果を行うことができる。

　なお、セントラルＥＣＵ１００は、車両１０の車両状態とサービスとに応じて、アクセスを拒否する閾値の数値を増減させてもよい。例えば、セントラルＥＣＵ１００は、車両１０の車両状態が停車中、走行中、自動運転中の順に高くなるように、閾値の数値を設定してもよい。

　図１３は、本実施の形態に係るセントラルＥＣＵ１００のマスターポリシー判断部１０６がゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果を収集したときに、他のゾーンＥＣＵと異なる検証結果を送信するゾーンＥＣＵが存在した場合の処理を示すフローチャート（情報処理方法、アクセス許可方法）である。

　まず、セントラルＥＣＵ１００は、図１０のフローチャートのステップＳ３０６、またはステップＳ３１０において、各ゾーンＥＣＵ２００ａ等のポリシー検証結果を受信したときに、異なるポリシー検証結果を返答するゾーンＥＣＵが存在するか否かを判断する（Ｓ６００）。つまり、セントラルＥＣＵ１００は、各ゾーンＥＣＵから異なるポリシー検証結果を受信したか否かを判断する。

　セントラルＥＣＵ１００は、異なるポリシー検証結果を返答するゾーンＥＣＵが存在した場合（Ｓ６００でＹｅｓ）、異なるポリシー検証結果を返答したゾーンＥＣＵに対して、アクセスポリシーのバージョンを要求する（Ｓ６０１）。セントラルＥＣＵ１００は、当該ゾーンＥＣＵに対して、アクセスポリシーのバージョンの送信を要求する。アクセスポリシーのバージョンは、アクセスポリシーに関する情報の一例である。アクセスポリシーに関する情報は、例えば、アクセスポリシーを更新した日時などであってもよい。

　なお、セントラルＥＣＵ１００は、異なるポリシー検証結果を返答したゾーンＥＣＵに対して、アクセスポリシーのバージョンを要求するのではなく、すべてのゾーンＥＣＵに対して、アクセスポリシーのバージョンを要求してもよい。

　次に、異なるポリシー検証結果を返答したゾーンＥＣＵからアクセスポリシーのバージョンを受信すると、セントラルＥＣＵ１００は、受信したアクセスポリシーのバージョン情報が、セントラルＥＣＵ１００自身の保持するアクセスポリシーのバージョン情報と異なるか否かを判断する（Ｓ６０２）。ステップＳ６０２では、例えば、各ゾーンＥＣＵ２００ａ等において、保持するアクセスポリシーが同期しているかが判断されてもよい。

　なお、セントラルＥＣＵ１００は、アクセスポリシーのバージョンを自身の保持するアクセスポリシーのバージョン情報と比較するのではなく、他のゾーンＥＣＵのアクセスポリシーのバージョンと比較してもよいし、あらかじめ利用が想定されるアクセスポリシーのバージョン情報のリストをセントラルＥＣＵ１００が保持しており、当該リストに記載されている当該ゾーンＥＣＵのアクセスポリシーのバージョン情報との一致を確認してもよい。

　受信したアクセスポリシーのバージョン情報が、セントラルＥＣＵ１００自身の保持するアクセスポリシーのバージョン情報と異なると判断された場合（Ｓ６０２でＹｅｓ）、セントラルＥＣＵ１００は、当該ゾーンＥＣＵが想定と異なるアクセスポリシーを利用しているとして、当該ゾーンＥＣＵのアクセスポリシーのアップデートを実施して（Ｓ６０３）、処理を終了する。例えば、セントラルＥＣＵ１００は、自身が保持するアクセスポリシーを各ゾーンＥＣＵ２００ａ等（又はアクセスポリシーが異なるゾーンＥＣＵ）に送信してもよい。

　一方で、受信したアクセスポリシーのバージョン情報が、セントラルＥＣＵ１００自身の保持するアクセスポリシーのバージョン情報と同じであると判断された場合（Ｓ６０２でＮｏ）、セントラルＥＣＵ１００は、該当ゾーンＥＣＵが不正な挙動を示しているとして、次回以降の当該ゾーンＥＣＵによる検証結果（ポリシー検証結果）を無視する（または、重みを下げる）ようにして（Ｓ６０４）、処理を終了する。無視するとは、該当ゾーンＥＣＵからのポリシー検証結果を受信しても、それに対する処理を行わないことであってもよい。無視するとは、例えば、当該ポリシー検証結果を受信しても、マスターポリシー検証結果の決定に当該ポリシー検証結果を用いないことであってもよい。

　異なる検証結果を返答するゾーンＥＣＵが存在しないと判断された場合（Ｓ６００でＮｏ）、セントラルＥＣＵ１００は、処理を終了する。

　なお、不正な挙動を示すゾーンＥＣＵが存在した場合に、セントラルＥＣＵ１００は、外部のサーバに不正な挙動を示すゾーンＥＣＵが存在することを通知してもよいし、異常をログとして残してもよい。

　［その他の変形例］
　続いて、本実施の形態に係る車載ネットワークシステムで用いられる上記以外の変形例、および、不正なゾーンＥＣＵが存在するときの分析のために用いられる画像の具体例などについて説明する。

　［変形例１］
　図１４は、本変形例に係る車載ネットワークシステムの全体構成を示す図である。図１４では、図１に示される同じ構成については同じ符号を付している。

　車両２０に搭載される車載ネットワークシステムは、セントラルＥＣＵ１０００と、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄと、カメラＥＣＵ３００ａと、充電器ＥＣＵ３００ｂと、ブレーキＥＣＵ３００ｃと、モータＥＣＵ３００ｄと、を備える。

　以下、セントラルＥＣＵ１０００、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄについて説明する。

　図１５は、本変形例に係るセントラルＥＣＵ１０００の機能構成を示すブロック図である。実施の形態の図２のセントラルＥＣＵ１００に対して、車両状態保持部１１０９に記憶される情報が異なり、マスターポリシー判断部１１０６は、マスターポリシー判断部１０６に対して、機能が追加されている。車両状態保持部１１０９に記憶される情報については、図１７で詳細を後述する。

　図１６は、本変形例に係るゾーンＥＣＵ２０００ａの機能構成を示すブロック図である。実施の形態の図３のゾーンＥＣＵ２００ａから、インテグリティ検証部２０６と、車載ネットワーク侵入検知部２０７とが、構成要素として追加されている。

　インテグリティ検証部２０６は、ゾーンＥＣＵ２０００ａの機能構成が改ざんされていないことを検証する。具体的には、インテグリティ検証部２０６は、ゾーンＥＣＵ２０００ａを構成するソフトウェアまたはデータから算出されるハッシュ値と、あらかじめ保持されているハッシュ値とを比較することで、ゾーンＥＣＵ２０００ａのソフトウェアまたはデータが改ざんされていないことを検証する。インテグリティ検証部２０６は、ゾーンＥＣＵ２０００ａが起動中に定期的または不定期的に、ゾーンＥＣＵ２０００ａのソフトウェアまたはデータのインテグリティの検証（インテグリティ検証）を行う。インテグリティ検証結果は、車載ネットワーク通信部２０１を介して、セントラルＥＣＵ１０００へ通知される。

　車載ネットワーク侵入検知部２０７は、ゾーンＥＣＵ２０００ａが受信した車載ネットワーク通信を監視し、異常な通信が発生していないかを検知する。具体的には、車載ネットワーク侵入検知部２０７は、想定していない送信元または送信先へのメッセージを受信する、通常より高い頻度でメッセージを受信している、ポートスキャン通信、不正なタイミングでの診断通信、などを異常な通信として検知する。

　車載ネットワーク侵入検知部２０７は、異常な通信を検知した場合に、セントラルＥＣＵ１０００に、異常の発生を通知する。

　なお、ゾーンＥＣＵ２０００ｂ、２０００ｃ、２０００ｄも同様に、インテグリティ検証部２０６と車載ネットワーク侵入検知部２０７と、を備えていてもよいし、いずれか一方のみを備えていてもよい。また、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄのうち少なくとも１つが、インテグリティ検証部２０６および車載ネットワーク侵入検知部２０７の少なくとも１つを備えていればよい。

　図１７は、本変形例に係るセントラルＥＣＵ１０００の車両状態保持部１１０９に保持される車両状態の一例を示す図である。

　図１７は、図６の車両状態で保持される情報に加えて、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄから通知される、インテグリティ検証結果・時刻および、車載ネットワーク侵入検知結果（侵入検知システムの結果）が保持されている。車載ネットワーク侵入検知結果は、車載ネットワーク侵入検知システムの検知結果である。

　インテグリティ検証結果は、ゾーンＥＣＵごとに、時刻と併せて保持されている。図１７では、ゾーンＥＣＵ２０００ａのインテグリティ検証結果はＯＫで、ソフトウェアまたはデータの改ざんがされていないことを示しており、最終検証時刻は１３時５分であることを示している。ゾーンＥＣＵ２０００ｂのインテグリティ検証結果はＯＫで、ソフトウェアまたはデータの改ざんがされていないことを示しており、最終検証時刻は１３時５分であることを示している。ゾーンＥＣＵ２０００ｃのインテグリティ検証結果はＯＫで、ソフトウェアまたはデータの改ざんがされていないことを示しており、最終検証時刻は１３時１０分であることを示している。ゾーンＥＣＵ２０００ｄのインテグリティ検証結果は、ＯＫで、ソフトウェアまたはデータの改ざんがされていないことを示しており、最終検証時刻は１２時３０分であることを示している。

　また車載ネットワーク侵入検知システムの結果についてもゾーンＥＣＵごとに、結果が保持されている。ゾーンＥＣＵ２０００ａの車載ネットワークシステムの侵入検知結果はＯＫ、つまり異常が検知されていないことを示している。ゾーンＥＣＵ２０００ｂの車載ネットワークシステムの侵入検知結果はＯＫ、つまり異常が検知されていないことを示している。ゾーンＥＣＵ２０００ｃの車載ネットワークシステムの侵入検知結果はＯＫ、つまり異常が検知されていないことを示している。ゾーンＥＣＵ２０００ｄの車載ネットワークシステムの侵入検知結果はＯＫ、つまり異常が検知されていないことを示している。

　図１８は、本変形例に係るセントラルＥＣＵ１０００のマスターポリシー判断部１１０６における図１０のフローチャートにおけるステップＳ３０７およびステップＳ３１１で用いられる閾値を決定する処理を示すフローチャートである。

　なお、閾値の決定タイミングは特に限定されず、例えば、閾値の参照タイミングで都度計算されてもよいし（つまりステップＳ３０７またはステップＳ３１１の直前で、本処理が実行されてもよいし）、あらかじめ閾値を決定する処理を実施してもよい。

　セントラルＥＣＵ１０００は、アクセスポリシーを検証する対象のサービスの重要特性が機密性であるか否かを判断する（Ｓ７００）。

　アクセスポリシーを検証する対象のサービスの重要特性が機密性であると判断された場合（Ｓ７００でＹｅｓ）、セントラルＥＣＵ１０００は、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄから受信するポリシー検証結果ＯＫである受信数の閾値Ｎを、「車載ネットワークシステムに配置されるゾーンＥＣＵの数－１」、本変形例においては４－１＝３、に設定する（Ｓ７０１）。セントラルＥＣＵ１０００は、重要特性が機密性であるサービス（第２サービス）に対してアクセスを拒否する閾値Ｎの数値を所定値より低く設定する。ここでの所定値は、例えば、ゾーンＥＣＵの数から所定数を減算した数値であるがこれに限定されない。ステップＳ７０１で設定される閾値Ｎは、図１０のステップＳ３０７で用いられる閾値である。

　一方で、アクセスポリシーを検証する対象のサービスの重要特性が機密性でないと判断された場合（Ｓ７００でＮｏ）、セントラルＥＣＵ１０００は、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄから受信するポリシー検証結果ＯＫである受信数の閾値Ｎを「車載ネットワークシステムに配置されるゾーンＥＣＵの数－２」、本変形例においては４－２＝２、に設定する（Ｓ７０２）。セントラルＥＣＵ１０００は、重要特性が機密性ではない（例えば、可用性である）サービス（第１サービス）に対してアクセスを拒否する閾値Ｎの数値を所定値より高く設定する。ここでの所定値は、例えば、ゾーンＥＣＵの数から所定数を減算した数値であるがこれに限定されない。ステップＳ７０２で設定される閾値Ｎは、図１０のステップＳ３１１で用いられる閾値である。

　なお、ステップＳ７０１およびＳ７０２で設定される閾値Ｎは、図１８に示す値に限定されない。ステップＳ７０１で設定される閾値Ｎは、ステップＳ７０２で設定される閾値Ｎより相対的に高い値に設定されればよい。

　次にセントラルＥＣＵ１０００は、車両状態を確認し、ゾーンＥＣＵ２０００ａ、２０００ｂ、２０００ｃ、２０００ｄのインテグリティ検証結果を確認し、直近５分以内にインテグリティ検証がＯＫであったゾーンＥＣＵが存在するか否かを判断する（Ｓ７０３）。なお、５分は例示であり、これに限定されない。

　直近５分以内にインテグリティ検証がＯＫであったゾーンＥＣＵが存在すると判断された場合（Ｓ７０３でＹｅｓ）、セントラルＥＣＵ１０００は、該当するゾーンＥＣＵから受信するポリシー検証結果（アクセスＯＫ／ＮＧ）の重みを２（例えば、１から２）に設定（変更）する（Ｓ７０４）。ステップＳ７０３でＹｅｓと判断されたゾーンＥＣＵのポリシー判断結果はステップＳ７０３でＮｏと判断されたゾーンＥＣＵのポリシー判断結果より信用できるので、重みが上げられる。このように、通常時の１つのゾーンＥＣＵの重みを１とし、インテグリティ検証がＯＫであったゾーンＥＣＵから受信したポリシー検証結果ＯＫのゾーンＥＣＵの重みを２に設定することで、インテグリティ検証がＯＫであったゾーンＥＣＵからのポリシー検証結果ＯＫの受信を２つのポリシー検証結果ＯＫの受信があったものと同一と見なすように、マスターポリシー判断部１１０６においてポリシー検証結果ＯＫの受信数がカウントされる。

　なお、重みは１から２に上げられることに限定されず、１より大きな値であればよい。

　直近５分以内にインテグリティ検証がＯＫであったゾーンＥＣＵが存在しないと判断された場合（Ｓ７０３でＮｏ）、セントラルＥＣＵ１０００は、特になにもしない。なお、ステップＳ７０３でＮｏである場合、セントラルＥＣＵ１０００は、当該ゾーンＥＣＵの重みを下げてもよい。

　このように、セントラルＥＣＵ１０００は、ゾーンＥＣＵから受信するインテグリティ検証の結果に基づいて、当該ゾーンＥＣＵから受信するポリシー検証結果の重みを増減させてもよい。

　次にセントラルＥＣＵ１０００は、車両状態を確認し、車載ネットワーク侵入検知システムで異常を検知したゾーンＥＣＵが存在するか否かを判断する（Ｓ７０５）。

　車載ネットワーク侵入検知システムで異常を検知したゾーンＥＣＵが存在すると判断された場合（Ｓ７０５でＹｅｓ）、セントラルＥＣＵ１０００は、該当するゾーンＥＣＵによるポリシー検証結果の重みを０（ゼロ）に設定して、現状の閾値Ｎから１を引き（Ｓ７０６）、処理を終了する。現状の閾値Ｎから１を引くことで、重みが０であるゾーンＥＣＵが存在する場合に応じた閾値を設定することができる。

　なお、セントラルＥＣＵ１０００は、ステップＳ７０５でＹｅｓの場合、ポリシー検証結果の重みを０に設定することに限定されず、重みを現時点の値より下げればよい。

　なお、ステップＳ７０６では、少なくともポリシー検証結果の重みを下げることが実行されればよい。

　一方、車載ネットワーク侵入検知システムで異常を検知したゾーンＥＣＵが存在しないと判断された場合（Ｓ７０５でＮｏ）、セントラルＥＣＵ１０００は、処理を終了する。なお、ステップＳ７０５でＮｏである場合、セントラルＥＣＵ１０００は、当該ゾーンＥＣＵの重みを上げてもよい。

　このように、セントラルＥＣＵ１０００は、ゾーンＥＣＵから異常な通信が検知されたことを受信すると、当該ゾーンＥＣＵから受信するポリシー検証結果の重みを減少させてもよい。

　これにより、次にサービスＦｉｎｄメッセージを受信した場合、図１８に示す処理により更新された閾値、重みを使って図１０に示す処理等が実行される。

　なお、インテグリティ検証結果がＮＧであるゾーンＥＣＵが存在する場合に、当該ゾーンＥＣＵのポリシー検証結果の重みをゼロとしてもよい。

　また、車載ネットワーク侵入検知システムで異常を検知したゾーンＥＣＵのポリシー検証結果の重みをゼロとする例を示したが、この時の当該ゾーンＥＣＵのポリシー検証結果の重みをゼロとしなくてもよい。例えば、異常を検知したゾーンに存在するＥＣＵから送信されるメッセージに対して、閾値Ｎを上昇させるとしてもよい。これにより、異常が発生しているネットワークに存在するＥＣＵから送信される通信を、より慎重に判断することができ、車載ネットワークの安全性を高めることができる。

　［変形例２］
　図１９は、本変形例に係るセントラルＥＣＵ１００のマスターポリシー判断部１０６がゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのポリシー検証結果を収集したときに、他のゾーンＥＣＵと異なる検証結果を送信するゾーンＥＣＵが存在した場合の処理を示すフローチャート（情報処理方法、アクセス許可方法）である。

　なお、図１９は、図１３に示すフローチャートにステップＳ８００を追加し、ステップＳ６０４をステップＳ８０１に置き換えたフローチャートを示す。

　まず、セントラルＥＣＵ１００は、各ゾーンＥＣＵ２００ａ等からポリシー検証結果を取得する（Ｓ８００）。ステップＳ８００は、例えば、図１０に示すステップＳ３０６またはＳ３１０に相当する。

　受信したアクセスポリシーのバージョン情報が、セントラルＥＣＵ１００自身の保持するアクセスポリシーのバージョン情報と同じであると判断された場合（Ｓ６０２でＮｏ）、セントラルＥＣＵ１００は、ポリシー検証結果に不整合が発生したことを外部のサーバに送信する（Ｓ８０１）。ポリシー検証結果に不整合が発生したことを示す情報は、マスターポリシー検証結果に関する検証情報の一例である。また、ポリシー検証結果に不整合が発生したことを外部のサーバに送信することは、検証情報を出力することの一例である。

　なお、ステップＳ６０２でＹｅｓと判断された場合、セントラルＥＣＵ１００は、ポリシー検証結果、および、アクセスポリシーのバージョン情報の少なくとも一方を、マスターポリシー検証結果に関する検証情報として、外部のサーバに送信してもよい。アクセスポリシーのバージョン情報は、所定のアクセスポリシーを識別する情報の一例である。

　これにより、外部のサーバに接続された表示装置に、検証情報を表示させることができる。例えば、車載ネットワークシステムを監視する監視者に、検証情報を表示することができる。

　図２０は、セントラルＥＣＵ１００が、ポリシー検証結果が異なるゾーンＥＣＵが存在した場合に、外部のサーバにその状況を通知し、外部のサーバ側で状況を判断する時の分析画面の一例を示した図である。図２０では、表示された検証情報の一例を示す。

　図２０では、ポリシー検証結果に不整合が生じたときのサービス要求を行ったＥＣＵのＩＰアドレス情報と、どのサービス（図２０の例では、ブレーキ制御機能）に対してアクセスを試みたのかの結果とが示されている。さらに、セントラルＥＣＵ１００と、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄのそれぞれとに対して、検証結果（ポリシー検証結果）と、ソフトウェアのバージョン（ＳＷバージョン）と、アクセスポリシーのバージョン（ポリシーバージョン）とが一覧できるような画面が表示されてもよい。図２０では、全てのＥＣＵが同様のポリシーバージョンを利用しているものの、ゾーンＥＣＵ２００ｂのみが、検証結果ＮＧを返答しており、ポリシー検証結果に不整合が生じたことがわかる。

　［効果など］
　以下、本開示内容から得られる技術を例示し、当該技術から得られる効果等について説明する。

　（技術１）制御ネットワークシステムにおける情報処理装置が実行する情報処理方法であって、前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、前記情報処理方法は、前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得し、前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する、情報処理方法である。

　上記実施の形態では、アクセス許可装置はセントラルＥＣＵ１００であり、エッジアクセス許可装置は、ゾーンＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄである。

　従来、この種のアクセス許可装置では、単一のアクセスポリシーの検証ポイントにおいて、アクセス許可の可否が判断されていたが、攻撃者によりアクセスポリシーの改ざんやプログラムの改ざんがされることで、アクセスポリシーの検証を回避されてしまう可能性がある。そこで本開示の一態様に係るアクセス許可装置は、分散されたアクセスポリシーを複数の検証ポイントで検証することで、最終的なアクセス可否の判断を行う。これにより信頼性の高いアクセス可否の判断を行うことができ制御ネットワークシステムを安全に保てる。つまり、アクセス許可装置によれば、制御ネットワークシステムが搭載される対象物（例えば、車両）にアクセス許可装置が適用された場合、当該対象物の安全性を保ちつつ、セキュアな制御ネットワークシステムを実現することができる。

　（技術２）前記検証情報を表示装置に出力することで、前記検証情報を表示装置に表示させる、技術１に記載の情報処理方法である。

　これによれば、検証情報を表示装置に表示させることで、マスターポリシー検証結果を制御ネットワークシステムの管理者に知らせることができる。

　（技術３）前記検証情報は、前記複数のエッジアクセス許可装置それぞれが有する前記所定のアクセスポリシーを識別する情報、および、前記複数のエッジアクセス許可装置それぞれの前記ポリシー検証結果を含む、技術２に記載の情報処理方法である。

　これによれば、エッジアクセス許可装置に異常が発生しているかなどを、所定のアクセスポリシーを識別する情報、および、ポリシー検証結果を用いて、制御ネットワークシステムの管理者がこのことを知らせることができる。

　（技術４）前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に不整合が発生した場合、前記表示装置に前記検証情報を表示させる、技術３に記載の情報処理方法である。

　これによれば、ポリシー検証結果に不整合が発生した場合に制御ネットワークシステムの管理者にそのことを知らせることができる。

　（技術５）前記アクセスは、前記複数の電子制御装置のうちの一の電子制御装置から他の一の電子制御装置のサービスへのアクセスを含み、前記情報処理方法は、前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果のうち、アクセス拒否であることを含むポリシー検証結果の数が閾値以上ある場合、アクセス拒否であることを示す前記マスターポリシー検証結果を、前記複数のエッジアクセス許可装置のうち、前記一の電子制御装置に接続されたエッジアクセス許可装置と、前記他の一の電子制御装置に接続されたエッジアクセス許可装置とに送信する、技術１～４のいずれかに記載の情報処理方法である。なお、アクセス拒否閾値とは、アクセス否を示すポリシー検証結果を受信した回数に対する閾値である。

　サービスは例えばＳＯＭＥ／ＩＰ通信を介して、電子制御装置がアクセスできる。電子制御装置が、許可されていないサービスを要求するメッセージを送信した場合に、複数のゾーンＥＣＵ２００ａ等でアクセスポリシーが検証され、結果としてアクセス拒否となる検証結果が閾値以上となり、当該メッセージは破棄され、サービスへのアクセスが拒否される。

　これによれば、複数のアクセスポリシーの検証結果に基づいて判断された最終的な判断結果に基づいてゾーンＥＣＵで、サービスへのアクセス制御を実現することができ、制御ネットワークシステムを安全に保つことができる。

　（技術６）アクセス拒否であることを含むポリシー検証結果の数が閾値以上ある場合、前記複数のエッジアクセス許可装置のそれぞれに前記マスターポリシー検証結果を送信する、技術５に記載の情報処理方法である。

　これによれば、複数のエッジアクセス許可装置のそれぞれにマスターポリシー検証結果が送信されるので、動作がおかしいゾーンＥＣＵがある場合にその情報を供給することができる。

　（技術７）前記アクセスポリシーは、前記複数の電子制御装置のうち前記サービスへのアクセスを許可された電子制御装置、および、前記複数の電子制御装置のうち前記サービスの提供を許可された電子制御装置のいずれか、または両方に関する情報を含む、技術１～４のいずれかに記載の情報処理方法である。

　これによれば、サービスへのアクセスを許可された電子制御装置、および、サービスの提供を許可された電子制御装置の少なくとも一方を含むアクセスポリシーを用いることで、アクセスを許可するか否かが判断可能である。

　（技術８）前記サービスは、可用性が求められる第１サービスを含み、前記情報処理方法は、前記第１サービスに対して前記アクセスを拒否する前記閾値の数値を所定値により高くする、技術５又は６に記載の情報処理方法である。

　これによれば、データ通信の可用性が求められるサービスについて、誤ったアクセス拒否による可用性の侵害の影響を抑えることができ、セキュリティを保ちつつ、ネットワークシステムの可用性を確保することができる。

　（技術９）前記第１サービスは、センサデータを授受することを含む、技術８に記載の情報処理方法である。

　これによれば、第１サービスがセンサデータを授受することを含む場合に、セキュリティを保ちつつ、ネットワークシステムの可用性を確保することができる。

　（技術１０）前記サービスは、機密性が求められる第２サービスを含み、前記情報処理方法は、前記第２サービスに対して前記アクセスを拒否する前記閾値の数値を所定値より低くする、技術５～９のいずれかに記載の情報処理方法である。

　これによれば、データの開示先を厳密に管理する必要性のあるサービスについて、慎重なアクセス可否の判断を行うことができ、セキュリティを保つことができる。

　（技術１１）前記第２サービスは、個人情報または機密情報に関するデータを授受することを含む、技術１０に記載の情報処理方法である。

　これによれば、第２サービスがデータを授受することを含む場合に、制御ネットワークシステムのセキュリティを保つことができる。

　（技術１２）前記サービスは、安全性が求められる第３サービスを含み、前記情報処理方法は、前記第３サービスに対して、前記マスターポリシー検証結果が出力される前に、前記複数のエッジアクセス許可装置のそれぞれが個別に、当該エッジアクセス許可装置の前記ポリシー検証結果に基づいて、前記サービスに対するアクセス可否を判断することを許可する、技術１～１１のいずれかに記載の情報処理方法である。

　これによれば、リアルタイム制御が求められるサービスについては、分散したアクセスポリシーの検証結果を待機することで発生する処理遅延を最小限に抑えたアクセス許可が可能となり、ネットワークシステムのセキュリティとリアルタイム性とを維持することが可能となる。

　（技術１３）前記第３サービスは、アクチュエータの制御に関することを含む、技術１２に記載の情報処理方法である。

　これによれば、第３サービスがアクチュエータの制御に関することである場合に、ネットワークシステムのセキュリティとリアルタイム性とを維持することが可能となる。

　（技術１４）前記制御ネットワークシステムは、車両に搭載される車載ネットワークシステムであり、前記情報処理方法は、前記車両の車両状態と前記サービスとに応じて、前記アクセスを拒否する前記閾値の数値を増減させる、技術５に記載の情報処理方法である。

　これによれば、車両の走行状態に応じて、優先される特性が変化するサービスに対して、適切にアクセス可否の判断方法を変化させることが可能となり、ネットワークシステムのセキュリティを向上させることができる。

　（技術１５）前記車両状態は、走行状態、充電状態、アップデート状態、診断モード状態、および、自動運転モードのいずれか１つ以上を含む、技術１４に記載の情報処理方法である。

　これによれば、走行状態、充電状態、アップデート状態、診断モード状態、および、自動運転モードのいずれか１つに応じた閾値を設定することができる。

　（技術１６）前記複数のエッジアクセス許可装置のうち少なくとも１つのエッジアクセス許可装置は、自身のソフトウェアまたはデータが改ざんされていないことを検証するインテグリティ検証を実行可能に構成され、前記情報処理方法は、前記少なくとも１つのエッジアクセス許可装置から受信する前記インテグリティ検証の結果に基づいて、前記少なくとも１つのエッジアクセス許可装置から受信する前記ポリシー検証結果の重みを増減させる、技術１～１５のいずれかに記載の情報処理方法である。

　これによれば、安全性が検証されたエッジアクセス許可装置によるアクセスポリシー検証結果を重みづけて評価することで、効率的にアクセス可否の判断を行うことができる。

　（技術１７）前記複数のエッジアクセス許可装置のうち少なくとも１つのエッジアクセス許可装置は、異常な通信を検知可能に構成され、前記情報処理方法は、前記少なくとも１つのエッジアクセス許可装置から前記異常な通信が検知されたことを受信すると、前記少なくとも１つのエッジアクセス許可装置から受信する前記ポリシー検証結果の重みを減少させる、技術１～１６のいずれかに記載の情報処理方法である。

　これによれば、異常な通信が検知された場合、エッジアクセス許可装置から受信するポリシー検証結果の重みを減少させることで、効率的にアクセス可否の判断を行うことができる。

　（技術１８）前記複数のエッジアクセス許可装置のうち他のエッジアクセス許可装置と異なる前記ポリシー検証結果を送信するエッジアクセス許可装置が存在する場合に、当該エッジアクセス許可装置が保持する前記アクセスポリシーに関する情報の送信を要求する、技術１～１７のいずれかに記載の情報処理方法である。

　これによれば、本来ポリシー検証結果は、全てのエッジアクセス許可装置で同一となることが期待されているため、期待と異なる動作をしているエッジアクセス許可装置を検出し、さらにその原因を調査することが可能となり、ネットワークシステムのセキュリティを向上できる。

　（技術１９）制御ネットワークシステムにおける情報処理装置であって、前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、前記情報処理装置は、前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得する取得部と、前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する出力部とを備える。

　このような情報処理装置によれば、本開示の一態様に係る情報処理方法と同様の効果を奏する。

　（技術２０）技術１～１８のいずれかに記載の情報処理方法をコンピュータに実行させるための、プログラムである。

　このようなプログラムによれば、本開示の一態様に係る情報処理方法と同様の効果を奏する。

　なお、本開示の全般的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　（その他の実施の形態）
　以上、本開示について実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。

　例えば、本開示の制御ネットワークシステムは、車載ネットワークシステムであることに限定されず、その他のモビリティネットワークシステム、および／または、制御ネットワークシステムを含んでもよい。また、このようなシステムで行われる通信の通信規格は、特に限定されない。また、車載通信ネットワークシステムのアーキテクチャは、図１に示す例に限定されるものではない。

　また、制御ネットワークシステムが搭載される対象物は、車両などの移動体であることに限定されず、例えば、施設などの非移動体であってもよい。施設は、例えば、制御ネットワークシステムの一例である宅内ネットワークシステムが設けられる対象物である。施設は、例えば、住宅、病院、ビル、介護施設、学校などであってもよい。

　また、ゾーンＥＣＵにポリシー判断部およびポリシー実施部が備えられる例を示したが、ゾーンＥＣＵ以外にポリシー判断部およびポリシー実施部が備えられていてもよい。例えばＥＣＵ、ネットワークスイッチ、ネットワークゲートウェイにポリシー判断部およびポリシー実施部が備えられていてもよい。また、マスターポリシー判断部はセントラルＥＣＵに備えられていなくてもよい。例えば通常のアプリケーションとはセキュリティレベルの異なる実行環境を備えるＥＣＵ上にマスターポリシー判断部が備えられていてもよい。

　また、上記実施の形態におけるカメラ情報サービス探索メッセージなどのポリシー検証対象メッセージがブロードキャストされないなど、受信できないアクセスポリシー保持部とポリシー判断部とを保持するＥＣＵが存在する場合は、当該ＥＣＵに対してポリシーの検証を依頼するように対象メッセージを転送してもよい。

　また、上記実施の形態におけるカメラ情報サービスなどの探索メッセージを受信したゾーンＥＣＵのそれぞれがアクセスポリシーの検証を行う例について説明したがこれに限定されず、探索メッセージを受信した複数のゾーンＥＣＵのうち少なくとも２つ以上のゾーンＥＣＵがアクセスポリシーの検証を行えばよい。

　また、本開示は、対象物に搭載されたアクセス許可装置であって、前記対象物は、前記アクセス許可装置が設けられるＥＣＵと、前記ＥＣＵにより統括され、前記対象物に搭載された機器を制御する１以上のゾーンＥＣＵ（例えば、複数のゾーンＥＣＵ２００ａ等）とを有し、前記アクセス許可装置は、前記対象物における任意の送信元（又は提供元）から前記対象物における任意の送信先（又は提供先）へのアクセス要求（例えば、サービスへのアクセス要求）があった場合、前記１以上のゾーンＥＣＵそれぞれにおいて、所定のアクセスポリシーに基づいて判断された前記アクセス要求に対するアクセス可否の判断結果であるポリシー検証結果を取得する取得部（例えば、センター通信部）と、前記１以上のゾーンＥＣＵそれぞれから取得された前記ポリシー検証結果に基づいて、前記アクセス要求に対する最終的なアクセスの可否を判断するマスターポリシー判断部とを備える、アクセス許可装置として実現されてもよい。

　また、本開示は、対象物に搭載されたアクセス許可装置が実行するアクセス許可方法であって、前記対象物は、前記アクセス許可装置が設けられるＥＣＵと、前記ＥＣＵにより統括され、前記対象物に搭載された機器を制御する１以上のゾーンＥＣＵ（例えば、複数のゾーンＥＣＵ２００ａ等）とを有し、前記アクセス許可方法は、前記対象物における任意の送信元（又は提供元）から前記車両における任意の送信先（又は提供先）へのアクセス要求（例えば、サービスへのアクセス要求）があった場合、前記１以上のゾーンＥＣＵそれぞれにおいて、所定のアクセスポリシーに基づいて判断された前記アクセス要求に対するアクセス可否の判断結果であるポリシー検証結果を取得する取得し、前記１以上のゾーンＥＣＵそれぞれから取得された前記ポリシー検証結果に基づいて、前記アクセス要求に対する最終的なアクセスの可否を判断する、アクセス許可方法として実現されてもよい。

　また、上記実施の形態では、制御ネットワークシステムが搭載される対象物が車両等の移動体である例について説明したが、これに限定されず、移動しない据え置き型の対象物に搭載されてもよい。

　また、上記実施の形態における各装置間の通信方法および通信規格については特に限定されるものではない。装置間では、無線通信が行われてもよいし、有線通信が行われてもよい。また、装置間では、無線通信および有線通信が組み合わされてもよい。

　また、例えば、上記で用いた数字は、全て本開示を具体的に説明するために例示するものであり、本開示の実施の形態は例示された数字に制限されない。

　また、例えば、ブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを一つの機能ブロックとして実現したり、一つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェアまたはソフトウェアが並列または時分割に処理してもよい。

　また、例えば、フローチャートにおける各ステップが実行される順序は、本開示を具体的に説明するために例示するためのものであり、上記以外の順序であってもよい。また、上記ステップの一部が、他のステップと同時（並列）に実行されてもよい。

　また、例えば、上記実施の形態で説明された各装置が備える構成要素は、本開示の趣旨を逸脱しない範囲で複数の装置にどのように振り分けられてもよい。

　また、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。

　また、上記実施の形態において、各構成要素（各処理部）は、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）またはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。

　また、各構成要素は、ハードウェアによって実現されてもよい。各構成要素は、回路（または集積回路）でもよい。これらの回路は、全体として１つの回路を構成してもよいし、それぞれ別々の回路でもよい。また、これらの回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。

　また、本開示の全般的または具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　その他、各実施の形態に対して当業者が思いつく各種変形を施して得られる形態、または、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素および機能を任意に組み合わせることで実現される形態も本開示に含まれる。

　本開示は、車両を制御する制御装置に利用可能である。

　１０、２０　車両
　１００、１０００　セントラルＥＣＵ（情報処理装置、アクセス許可装置）
　１０１　センター通信部（取得部、出力部）
　１０２　車両制御アプリ部
　１０３　ドライバアプリ部
　１０４　自動運転アプリ部
　１０５、２０１　車載ネットワーク通信部（出力部）
　１０６、１１０６　マスターポリシー判断部
　１０７、２０３　ポリシー実施部
　１０８、２０４　アクセスポリシー保持部
　１０９、２０５、１１０９　車両状態保持部
　１１０　ユーザ情報保持部
　２００ａ、２００ｂ、２００ｃ、２００ｄ、２０００ａ、２０００ｂ、２０００ｃ、２０００ｄ　ゾーンＥＣＵ（エッジアクセス許可装置）
　２０２　ポリシー判断部
　２０６　インテグリティ検証部
　２０７　車載ネットワーク侵入検知部
　３００ａ　カメラＥＣＵ
　３００ｂ　充電器ＥＣＵ
　３００ｃ　ブレーキＥＣＵ
　３００ｄ　モータＥＣＵ
　３０１　アプリ部
　３０２　通信部

Claims (20)

1. 　制御ネットワークシステムにおける情報処理装置が実行する情報処理方法であって、
   　前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、
   　前記情報処理方法は、
   　前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得し、
   　前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する、
   　情報処理方法。
2. 　前記検証情報を表示装置に出力することで、前記検証情報を表示装置に表示させる、
   　請求項１に記載の情報処理方法。
3. 　前記検証情報は、前記複数のエッジアクセス許可装置それぞれが有する前記所定のアクセスポリシーを識別する情報、および、前記複数のエッジアクセス許可装置それぞれの前記ポリシー検証結果を含む、
   　請求項２に記載の情報処理方法。
4. 　前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に不整合が発生した場合、前記表示装置に前記検証情報を表示させる、
   　請求項３に記載の情報処理方法。
5. 　前記アクセスは、前記複数の電子制御装置のうちの一の電子制御装置から他の一の電子制御装置のサービスへのアクセスを含み、
   　前記情報処理方法は、
   　前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果のうち、アクセス拒否であることを含むポリシー検証結果の数が閾値以上ある場合、アクセス拒否であることを示す前記マスターポリシー検証結果を、前記複数のエッジアクセス許可装置のうち、前記一の電子制御装置に接続されたエッジアクセス許可装置と、前記他の一の電子制御装置に接続されたエッジアクセス許可装置とに送信する、
   　請求項１～４のいずれか１項に記載の情報処理方法。
6. 　アクセス拒否であることを含むポリシー検証結果の数が閾値以上ある場合、前記複数のエッジアクセス許可装置のそれぞれに前記マスターポリシー検証結果を送信する、
   　請求項５に記載の情報処理方法。
7. 　前記アクセスポリシーは、前記複数の電子制御装置のうち前記サービスへのアクセスを許可された電子制御装置、および、前記複数の電子制御装置のうち前記サービスの提供を許可された電子制御装置のいずれか、または両方に関する情報を含む、
   　請求項１～４のいずれか１項に記載の情報処理方法。
8. 　前記サービスは、可用性が求められる第１サービスを含み、
   　前記情報処理方法は、前記第１サービスに対して前記アクセスを拒否する前記閾値の数値を所定値により高くする、
   　請求項５に記載の情報処理方法。
9. 　前記第１サービスは、センサデータを授受することを含む、
   　請求項８に記載の情報処理方法。
10. 　前記サービスは、機密性が求められる第２サービスを含み、
    　前記情報処理方法は、前記第２サービスに対して前記アクセスを拒否する前記閾値の数値を所定値より低くする、
    　請求項５に記載の情報処理方法。
11. 　前記第２サービスは、個人情報または機密情報に関するデータを授受することを含む、
    　請求項１０に記載の情報処理方法。
12. 　前記サービスは、安全性が求められる第３サービスを含み、
    　前記情報処理方法は、前記第３サービスに対して、前記マスターポリシー検証結果が出力される前に、前記複数のエッジアクセス許可装置のそれぞれが個別に、当該エッジアクセス許可装置の前記ポリシー検証結果に基づいて、前記サービスに対するアクセス可否を判断することを許可する、
    　請求項１～４のいずれか１項に記載の情報処理方法。
13. 　前記第３サービスは、アクチュエータの制御に関することを含む、
    　請求項１２に記載の情報処理方法。
14. 　前記制御ネットワークシステムは、車両に搭載される車載ネットワークシステムであり、
    　前記情報処理方法は、前記車両の車両状態と前記サービスとに応じて、前記アクセスを拒否する前記閾値の数値を増減させる、
    　請求項５に記載の情報処理方法。
15. 　前記車両状態は、走行状態、充電状態、アップデート状態、診断モード状態、および、自動運転モードのいずれか１つ以上を含む、
    　請求項１４に記載の情報処理方法。
16. 　前記複数のエッジアクセス許可装置のうち少なくとも１つのエッジアクセス許可装置は、自身のソフトウェアまたはデータが改ざんされていないことを検証するインテグリティ検証を実行可能に構成され、
    　前記情報処理方法は、前記少なくとも１つのエッジアクセス許可装置から受信する前記インテグリティ検証の結果に基づいて、前記少なくとも１つのエッジアクセス許可装置から受信する前記ポリシー検証結果の重みを増減させる、
    　請求項１～４のいずれか１項に記載の情報処理方法。
17. 　前記複数のエッジアクセス許可装置のうち少なくとも１つのエッジアクセス許可装置は、異常な通信を検知可能に構成され、
    　前記情報処理方法は、前記少なくとも１つのエッジアクセス許可装置から前記異常な通信が検知されたことを受信すると、前記少なくとも１つのエッジアクセス許可装置から受信する前記ポリシー検証結果の重みを減少させる、
    　請求項１～４のいずれか１項に記載の情報処理方法。
18. 　前記複数のエッジアクセス許可装置のうち他のエッジアクセス許可装置と異なる前記ポリシー検証結果を送信するエッジアクセス許可装置が存在する場合に、当該エッジアクセス許可装置が保持する前記アクセスポリシーに関する情報の送信を要求する、
    　請求項１～４のいずれか１項に記載の情報処理方法。
19. 　制御ネットワークシステムにおける情報処理装置であって、
    　前記制御ネットワークシステムは、それぞれが所定の処理の実行を含むサービスを実行可能であり、互いにサービスに関するアクセスが可能な複数の電子制御装置と、それぞれが所定のアクセスポリシーに基づいて、前記アクセスの可否を判断する複数のエッジアクセス許可装置とを含み、
    　前記情報処理装置は、
    　前記複数のエッジアクセス許可装置のそれぞれから前記アクセスの可否の判断結果を含むポリシー検証結果を取得する取得部と、
    　前記複数のエッジアクセス許可装置それぞれからの前記ポリシー検証結果に基づいて、前記アクセスの可否の最終的な判断結果を含むマスターポリシー検証結果に関する検証情報を出力する出力部とを備える、
    　情報処理装置。
20. 　請求項１～４のいずれか１項に記載の情報処理方法をコンピュータに実行させるための、プログラム。

Images