特許 7622456 車載情報処理装置、情報処理方法及びプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2025-01-20

(45)【発行日】2025-01-28

(54)【発明の名称】車載情報処理装置、情報処理方法及びプログラム

(51)【国際特許分類】

   G06F 21/62 20130101AFI20250121BHJP

   G06F 21/44 20130101ALI20250121BHJP

   G06F 9/455 20180101ALI20250121BHJP

【ＦＩ】

G06F21/62

G06F21/44

G06F9/455 150

【請求項の数】 9

(21)【出願番号】P 2021017750

(22)【出願日】2021-02-05

(65)【公開番号】P2022120689

(43)【公開日】2022-08-18

【審査請求日】2023-10-26

(73)【特許権者】

【識別番号】000003207

【氏名又は名称】トヨタ自動車株式会社

(74)【代理人】

【識別番号】110001519

【氏名又は名称】弁理士法人太陽国際特許事務所

(72)【発明者】

【氏名】守谷 友和

【審査官】塩澤 如正

(56)【参考文献】

【文献】国際公開第２００６／１１４８７８（ＷＯ，Ａ１）

【文献】国際公開第２０１３／１６８４６１（ＷＯ，Ａ１）

【文献】特開２００１－３３７８６４（ＪＰ，Ａ）

【文献】米国特許第１１１８８３７６（ＵＳ，Ｂ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／６２

Ｇ０６Ｆ ２１／４４

Ｇ０６Ｆ ９／４５５

(57)【特許請求の範囲】

【請求項1】

ハイパーバイザー、前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム並びに前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーションがインストールされた車載情報処理装置であって、
前記第１アプリケーションが前記ハイパーバイザー及び前記第２オペレーションシステムを介してアクセス可能である複数種類のデータが記録された第１記録部と、
前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストが記録された第２記録部と、
前記対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定する判定部と、
前記判定部が前記対象データが前記許可データであると判定したときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記判定部が前記対象データが前記許可データでないと判定したときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しないアクセス制御部と、
を備える車載情報処理装置。

【請求項2】

前記第１オペレーションシステム上で動作する第１ミドルウェアが、少なくとも１つのＡＰＩ（Application Programmable Interface）を実現し、
前記各第１アプリケーションが前記第１ミドルウェア上で動作し、
前記対応関係リストが、前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記ＡＰＩであり且つ前記各第１アプリケーションがアクセスすることにより前記許可データを取得可能な許可ＡＰＩとの対応関係を規定し、
前記判定部が、
前記第１アプリケーションが少なくとも１つの前記ＡＰＩである対象ＡＰＩにアクセスしたと判定したときに、前記対応関係リストに基づいて、前記対象ＡＰＩが前記許可ＡＰＩであるか否かを判定する、前記第１ミドルウェアによって実現される第１判定部を備え、
前記アクセス制御部が、
前記第１判定部によって前記許可ＡＰＩへアクセスしたと判定された前記第１アプリケーションが、前記第１オペレーションシステム及び前記ハイパーバイザーを介して前記第２オペレーションシステムにアクセスすることを許可する、前記第１ミドルウェアによって実現される第１アクセス制御部を備える請求項１に記載の車載情報処理装置。

【請求項3】

前記第２オペレーションシステム上で動作する第２ミドルウェアが、少なくとも１つの前記ＡＰＩを実現し、
前記判定部が、
前記第１判定部によって前記許可ＡＰＩへアクセスしたと判定された前記第１アプリケーションがアクセスした前記対象ＡＰＩが前記許可ＡＰＩであるか否かを、前記対応関係リストに基づいて判定する、前記第２ミドルウェアによって実現される第２判定部を備え、
前記アクセス制御部が、
前記対象ＡＰＩが前記許可ＡＰＩであると前記第２判定部が判定したときに、前記第１アプリケーションが、前記許可データにアクセスすることを許可する、前記第２ミドルウェアによって実現される第２アクセス制御部を備える請求項２に記載の車載情報処理装置。

【請求項4】

前記第１アプリケーションによる前記許可ＡＰＩへのアクセス頻度に関する条件である頻度条件を規定した頻度リストが記録された第３記録部を備え、
前記第２判定部が、前記第１アプリケーションによる前記許可ＡＰＩへのアクセス頻度が前記頻度条件を満たさないと判定したときに、前記第１アプリケーションが前記許可データにアクセスすることを前記第２アクセス制御部が許可しない請求項３に記載の車載情報処理装置。

【請求項5】

前記許可ＡＰＩではないと前記第２判定部によって判定された前記対象ＡＰＩにアクセスした前記第１アプリケーションを前記車載情報処理装置からアンインストールする、前記第２ミドルウェアによって実現される異常時処理部を備える請求項３又は請求項４に記載の車載情報処理装置。

【請求項6】

前記第１記録部に記録された前記データが、前記ハイパーバイザー上で前記第１オペレーションシステム及び前記第２オペレーションシステムとは独立して動作する第３オペレーションシステム上で動作する少なくとも一つの第２アプリケーションによって取得されたデータである請求項３～５の何れか１項に記載の車載情報処理装置。

【請求項7】

少なくとも一つの前記第２アプリケーションが、前記車載情報処理装置が搭載された車両の走行、操舵及び制動の少なくとも一つに連動して変化する物理量に関するデータを取得する請求項６に記載の車載情報処理装置。

【請求項8】

ハイパーバイザー、前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム並びに前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーションがインストールされた車載情報処理装置が行う情報処理方法であって、
前記第１アプリケーションが前記ハイパーバイザー及び前記第２オペレーションシステムを介して複数種類のデータが記録された記録部へのアクセスを試みたときに、前記第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定するステップと、
前記対象データが前記許可データであると判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記対象データが前記許可データでないと判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しないステップと、
を有する情報処理方法。

【請求項9】

ハイパーバイザー、
前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム、並びに
複数種類のデータへ前記ハイパーバイザー及び前記第２オペレーションシステムを介してアクセス可能である、前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーション、
を有し、
前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定する処理と、
前記対象データが前記許可データであると判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記対象データが前記許可データでないと判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しない処理と、
を車載情報処理装置に実行させるプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、車載情報処理装置、情報処理方法及びプログラムに関する。

【背景技術】

【0002】

下記特許文献１には、アプリケーション（プログラム）の如何なるプロセス（振る舞い）がＣＰＵへの攻撃であるかを定義したルールに基づいて、アプリケーションのプロセスが攻撃であると判定した場合に、当該プロセスを無効にする情報処理装置が開示されている。

【先行技術文献】

【特許文献】

【0003】

【文献】特開２０１９－８５０３号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

車載情報処理装置には様々なアプリケーションがインストールされる可能性がある。例えば、車載情報処理装置が搭載された車両を製造した車両メーカーとは異なる組織であるサードパーティが作成したアプリケーションが車載情報処理装置にインストールされることがある。この場合に、このアプリケーションが車載情報処理装置に記録されたデータに不正アクセスするおそれがある。即ち、このアプリケーションが車載情報処理装置に対して攻撃を行う可能性がある。

【0005】

上記特許文献１においてアプリケーションの全てのプロセスについて攻撃に該当するか否かを判定するためには、上記ルールを内容が複雑なルールにする必要がある。そのため上記特許文献１の技術思想を車載情報処理装置に適用した場合は、車載情報処理装置にかかる演算負荷が大きくなる。そのため高価なハード構成を用いて車載情報処理装置を構築する必要がある。

【0006】

本発明は上記事実を考慮し、アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる車載情報処理装置、情報処理方法及びプログラムを得ることを目的とする。

【課題を解決するための手段】

【0007】

請求項１に記載の車載情報処理装置は、ハイパーバイザー、前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム並びに前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーションがインストールされた車載情報処理装置であって、前記第１アプリケーションが前記ハイパーバイザー及び前記第２オペレーションシステムを介してアクセス可能である複数種類のデータが記録された第１記録部と、前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストが記録された第２記録部と、前記対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定する判定部と、前記判定部が前記対象データが前記許可データであると判定したときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記判定部が前記対象データが前記許可データでないと判定したときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しないアクセス制御部と、を備える。

【0008】

請求項１に記載の車載情報処理装置は、第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーションがハイパーバイザー及び第２オペレーションシステムを介してアクセス可能である複数種類のデータが記録された第１記録部を有する。さらに、車載情報処理装置は、各第１アプリケーションと、各第１アプリケーションがアクセスを許可されたデータである許可データとの対応関係を規定した対応関係リストが記録された第２記録部を有する。さらに、対応関係リストに基づいて、第１アプリケーションがアクセスを試みているデータである対象データが許可データであるか否かを判定部が判定する。さらに、判定部が対象データが許可データであると判定したときに、アクセス制御部が、第１アプリケーションが対象データへアクセスすることを許可する。

【0009】

このように対応関係リストが規定する各第１アプリケーションと許可データとの対応関係を表すルールに基づいて、第１アプリケーションのデータへのアクセス動作が監視される。さらに、各第１アプリケーションと許可データとの対応関係を規定するルールは、全ての第１アプリケーションの全てのプロセス（振る舞い）を定義したルールよりも簡単である。そのため請求項１に記載の車載情報処理装置では、第１アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる。そのため、車載情報処理装置にかかる演算負荷が大きくならない。そのため高価なハード構成を用いて車載情報処理装置を構築する必要がない。

【0010】

請求項２に記載の発明に係る車載情報処理装置は、請求項１記載の発明において、前記第１オペレーションシステム上で動作する第１ミドルウェアが、少なくとも１つのＡＰＩ（Application Programmable Interface）を実現し、前記各第１アプリケーションが前記第１ミドルウェア上で動作し、前記対応関係リストが、前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記ＡＰＩであり且つ前記各第１アプリケーションがアクセスすることにより前記許可データを取得可能な許可ＡＰＩとの対応関係を規定し、前記判定部が、前記第１アプリケーションが少なくとも１つの前記ＡＰＩである対象ＡＰＩにアクセスしたと判定したときに、前記対応関係リストに基づいて、前記対象ＡＰＩが前記許可ＡＰＩであるか否かを判定する、前記第１ミドルウェアによって実現される第１判定部を備え、前記アクセス制御部が、前記第１判定部によって前記許可ＡＰＩへアクセスしたと判定された前記第１アプリケーションが、前記第１オペレーションシステム及び前記ハイパーバイザーを介して前記第２オペレーションシステムにアクセスすることを許可する、前記第１ミドルウェアによって実現される第１アクセス制御部を備える。

【0011】

請求項２に記載の発明では、第１オペレーションシステム上で動作する第１ミドルウェアが、少なくとも１つのＡＰＩを実現し、各第１アプリケーションが第１ミドルウェア上で動作する。さらに判定部が、第１アプリケーションが少なくとも１つのＡＰＩである対象ＡＰＩにアクセスしたと判定したときに、対応関係リストに基づいて、対象ＡＰＩが許可ＡＰＩであるか否かを判定する、第１ミドルウェアによって実現される第１判定部を備える。さらに、アクセス制御部が、第１判定部によって許可ＡＰＩへアクセスしたと判定された第１アプリケーションが、第１オペレーションシステム及びハイパーバイザーを介して第２オペレーションシステムにアクセスすることを許可する、第１ミドルウェアによって実現される第１アクセス制御部を備える。

【0012】

このように対応関係リストが規定する各第１アプリケーションと許可ＡＰＩとの対応関係を表すルールに基づいて、第１アプリケーションのデータへのアクセス動作が監視される。各第１アプリケーションと許可ＡＰＩとの対応関係を規定するルールは、全ての第１アプリケーションの全てのプロセスを定義したルールよりも簡単である。そのため請求項２に記載の発明は、第１アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる。

【0013】

請求項３に記載の発明に係る車載情報処理装置は、請求項２記載の発明において、前記第２オペレーションシステム上で動作する第２ミドルウェアが、少なくとも１つの前記ＡＰＩを実現し、前記判定部が、前記第１判定部によって前記許可ＡＰＩへアクセスしたと判定された前記第１アプリケーションがアクセスした前記対象ＡＰＩが前記許可ＡＰＩであるか否かを、前記対応関係リストに基づいて判定する、前記第２ミドルウェアによって実現される第２判定部を備え、前記アクセス制御部が、前記対象ＡＰＩが前記許可ＡＰＩであると前記第２判定部が判定したときに、前記第１アプリケーションが、前記許可データにアクセスすることを許可する、前記第２ミドルウェアによって実現される第２アクセス制御部を備える。

【0014】

請求項３に記載の発明では、第２オペレーションシステム上で動作する第２ミドルウェアが、少なくとも１つのＡＰＩを実現する。さらに判定部が、第１判定部によって許可ＡＰＩへアクセスしたと判定された第１アプリケーションがアクセスした対象ＡＰＩが許可ＡＰＩであるか否かを、対応関係リストに基づいて判定する、第２ミドルウェアによって実現される第２判定部を備える。さらに、アクセス制御部が、対象ＡＰＩが許可ＡＰＩであると第２判定部が判定したときに、第１アプリケーションが、許可データにアクセスすることを許可する、第２ミドルウェアによって実現される第２アクセス制御部を備える。

【0015】

このように対応関係リストが規定する各第１アプリケーションと許可ＡＰＩとの対応関係を表すルールに基づいて、第１アプリケーションのデータへのアクセス動作が監視される。各第１アプリケーションと許可ＡＰＩとの対応関係を規定するルールは、全ての第１アプリケーションの全てのプロセスを定義したルールよりも簡単である。そのため請求項３に記載の発明は、第１アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる。

【0016】

さらに請求項３の車載情報処理装置では、第１ミドルウェアによって実現される第１判定部によって許可ＡＰＩにアクセスしたと判定された第１アプリケーションがアクセスした対象ＡＰＩが許可ＡＰＩであるか否かを、第２ミドルウェアによって実現される第２判定部が、対応関係リストに基づいて判定する。このように第１アプリケーションのデータ（第１記録部）へのアクセスを２回に渡って監視するので、第１アプリケーションがアクセスした対象ＡＰＩが許可ＡＰＩであるか否かが、より高い精度で判定される。

【0017】

請求項４に記載の発明に係る車載情報処理装置は、請求項３記載の発明において、前記第１アプリケーションによる前記許可ＡＰＩへのアクセス頻度に関する条件である頻度条件を規定した頻度リストが記録された第３記録部を備え、前記第２判定部が、前記第１アプリケーションによる前記許可ＡＰＩへのアクセス頻度が前記頻度条件を満たさないと判定したときに、前記第１アプリケーションが前記許可データにアクセスすることを前記第２アクセス制御部が許可しない。

【0018】

請求項４に記載の発明の車載情報処理装置は、第１アプリケーションによる許可ＡＰＩへのアクセス頻度に関する条件である頻度条件を規定した頻度リストが記録された第３記録部を備える。さらに第２判定部が、第１アプリケーションによる許可ＡＰＩへのアクセス頻度が頻度条件を満たさないと判定したときに、第１アプリケーションが許可データにアクセスすることを第２アクセス制御部が許可しない。この頻度条件に関するルールは、全ての第１アプリケーションの全てのプロセスを定義したルールよりも簡単である。そのため請求項４に記載の発明は、第１アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる。

【0019】

請求項５に記載の発明に係る車載情報処理装置は、請求項３又は請求項４に記載の発明において、前記許可ＡＰＩではないと前記第２判定部によって判定された前記対象ＡＰＩにアクセスした前記第１アプリケーションを前記車載情報処理装置からアンインストールする、前記第２ミドルウェアによって実現される異常時処理部を備える。

【0020】

許可ＡＰＩではないと第２判定部によって判定された対象ＡＰＩへの第１アプリケーションによるアクセスは、危険度の高いプロセスであると考えられる。即ち、このような第１アプリケーションは、車載情報処理装置に対して危険度の高い攻撃を行う恐れがある。請求項５に記載の発明では、許可ＡＰＩではないと第２判定部によって判定された対象ＡＰＩにアクセスした第１アプリケーションを、異常時処理部が車載情報処理装置からアンインストールする。そのため、請求項５に記載の発明は、危険度の高い攻撃を行うおそれがある第１アプリケーションから車載情報処理装置を守ることが可能である。

【0021】

請求項６に記載の発明に係る車載情報処理装置は、請求項３～５の何れか１項に記載の発明において、前記第１記録部に記録された前記データが、前記ハイパーバイザー上で前記第１オペレーションシステム及び前記第２オペレーションシステムとは独立して動作する第３オペレーションシステム上で動作する少なくとも一つの第２アプリケーションによって取得されたデータである。

【0022】

請求項６に記載の発明では、第３オペレーションシステム上で動作する少なくとも一つの第２アプリケーションによって取得されたデータへの第１アプリケーションのアクセス動作を、簡単なルールに基づいて監視できる。

【0023】

請求項７に記載の発明に係る車載情報処理装置は、請求項６記載の発明において、少なくとも一つの前記第２アプリケーションが、前記車載情報処理装置が搭載された車両の走行、操舵及び制動の少なくとも一つに連動して変化する物理量に関するデータを取得する。

【0024】

請求項７に記載の発明では、車載情報処理装置が搭載された車両の走行、操舵及び制動の少なくとも一つに連動して変化する物理量に関するデータへの第１アプリケーションのアクセス動作を、簡単なルールに基づいて監視できる。そのため、車載情報処理装置へ攻撃を行うおそれがある第１アプリケーションが、これらのデータを不正に取得するおそれが小さくなる。

【0025】

請求項８に記載の情報処理方法は、ハイパーバイザー、前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム並びに前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーションがインストールされた車載情報処理装置が行う情報処理方法であって、前記第１アプリケーションが前記ハイパーバイザー及び前記第２オペレーションシステムを介して複数種類のデータが記録された記録部へのアクセスを試みたときに、前記第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定するステップと、前記対象データが前記許可データであると判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記対象データが前記許可データでないと判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しないステップと、を有する。

【0026】

請求項９に記載のプログラムは、ハイパーバイザー、前記ハイパーバイザー上で互いに独立して動作する第１オペレーションシステム及び第２オペレーションシステム、並びに複数種類のデータへ前記ハイパーバイザー及び前記第２オペレーションシステムを介してアクセス可能である、前記第１オペレーションシステム上で動作する少なくとも一つの第１アプリケーション、を有し、前記各第１アプリケーションと、前記各第１アプリケーションがアクセスを許可された前記データである許可データとの対応関係を規定した対応関係リストに基づいて、前記第１アプリケーションがアクセスを試みている前記データである対象データが前記許可データであるか否かを判定する処理と、前記対象データが前記許可データであると判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可し、且つ、前記対象データが前記許可データでないと判定されたときに、前記第１アプリケーションが前記対象データへアクセスすることを許可しない処理と、を車載情報処理装置に実行させる。

【発明の効果】

【0027】

以上説明したように、本発明に係る車載情報処理装置、情報処理方法及びプログラムは、アプリケーションのデータへのアクセス動作を、簡単なルールに基づいて監視できる、という優れた効果を有する。

【図面の簡単な説明】

【0028】

【図1】実施形態に係る車載情報処理装置を搭載した車両の模式図である。

【図2】図１に示される車載情報処理装置の制御ブロック図である。

【図3】図２に示される車載情報処理装置の階層を表す模式図である。

【図4】図２に示される車載情報処理装置に記録された対応関係リストを表す図である。

【図5】図２に示される車載情報処理装置に記録された頻度リストを表す図である。

【図6】図２に示される車載情報処理装置の機能ブロック図である。

【図7】図２に示される車載情報処理装置が行う処理を示すフローチャートである。

【発明を実施するための形態】

【0029】

以下、本発明に係る車載情報処理装置１０、情報処理方法及びプログラムの実施形態について、図面を参照しながら説明する。

【0030】

図１は、実施形態の車載情報処理装置１０を搭載した車両１２を示す。車載情報処理装置１０はＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ Ｃｏｎｔｒｏｌ Ｕｎｉｔ）である。そのため、以下の説明では車載情報処理装置１０をＥＣＵ１０と称する。車両１２はＥＣＵ１０及びＥＣＵ１０とは別の複数のＥＣＵ（図示省略）を有する。ＥＣＵ１０及び複数のＥＣＵは、ＡＵＴＯＳＡＲ仕様に準拠したＥＣＵである。各ＥＣＵ１０及び複数のＥＣＵはバス（図示省略）により互いに接続されている。ＥＣＵ１０、複数のＥＣＵ及びバスを有するネットワークは、例えば、ＣＡＮ、Ｅｔｈｅｒｎｅｔ（登録商標）又はＦｌｅｘ Ｒａｙ(登録商標)である。ＥＣＵ１０及び複数のＥＣＵはバスを介して、様々な情報を互いに送受信可能である。

【0031】

図２に示されるように、ＥＣＵ１０及び複数のＥＣＵは、ＣＰＵ（Ｃｅｎｔｒａｌ Ｐｒｏｃｅｓｓｉｎｇ Ｕｎｉｔ：プロセッサ）１０Ａ、ＲＯＭ（Ｒｅａｄ Ｏｎｌｙ Ｍｅｍｏｒｙ）１０Ｂ、ＲＡＭ（Ｒａｎｄｏｍ Ａｃｃｅｓｓ Ｍｅｍｏｒｙ）１０Ｃ、ストレージ１０Ｄ、通信Ｉ／Ｆ（Ｉｎｔｅｒ Ｆａｃｅ）１０Ｅ及び入出力Ｉ／Ｆ１０Ｆを含んで構成されている。ＣＰＵ１０Ａ、ＲＯＭ１０Ｂ、ＲＡＭ１０Ｃ、ストレージ１０Ｄ、通信Ｉ／Ｆ１０Ｅ及び入出力Ｉ／Ｆ１０Ｆは、バス１０Ｚを介して相互に通信可能に接続されている。ＥＣＵ１０及び複数のＥＣＵは、タイマー（図示省略）から時刻に関する情報を取得可能である。

【0032】

ＣＰＵ１０Ａは、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、ＣＰＵ１０Ａは、ＲＯＭ１０Ｂ又はストレージ１０Ｄから後述する各種のプログラムを読み出し、ＲＡＭ１０Ｃを作業領域としてプログラムを実行する。ＣＰＵ１０Ａは、ＲＯＭ１０Ｂ又はストレージ１０Ｄに記録されているプログラムに従って、各構成の制御及び各種の演算処理を行う。

【0033】

ＲＯＭ１０Ｂは、各種プログラム及び各種データを格納する。ＲＡＭ１０Ｃは、作業領域として一時的にプログラム又はデータを記憶する。ストレージ１０Ｄは、ＨＤＤ（Ｈａｒｄ Ｄｉｓｋ Ｄｒｉｖｅ）又はＳＳＤ（Ｓｏｌｉｄ Ｓｔａｔｅ Ｄｒｉｖｅ）等の記憶装置により構成され、各種プログラム及び各種データを格納する。通信Ｉ／Ｆ１０Ｅは、ＥＣＵ１０（ＥＣＵ）が他の機器と通信するためのインタフェースである。通信Ｉ／Ｆ１０Ｅはバスに接続される。入出力Ｉ／Ｆ１０Ｆは、車両１２に搭載される各装置と通信するためのインタフェースである。例えば、ＥＣＵ１０の入出力Ｉ／Ｆ１０Ｆには、後述する車輪速センサ１４、操舵トルクセンサ１６及び冷却水温センサ１８が接続される。

【0034】

図３に示されるように、ＥＣＵ１０は、ハードウェア層、ハイパーバイザー層、ＯＳ層、ミドルウェア層及びアプリケーション層を有する。ＲＯＭ１０Ｂには、上記プログラムとして、ハイパーバイザーＨＶ、第１オペレーションシステムＯＳ１、第２オペレーションシステムＯＳ２、第３オペレーションシステムＯＳ３、第１ミドルウェアＭＷ１、第２ミドルウェアＭＷ２、第３ミドルウェアＭＷ３、非純正アプリケーション３０（以下、非純正ＡＰＲ３０と称する）、純正アプリケーション３２（以下、純正ＡＰＰ３２と称する）及び純正アプリケーション３４（以下、純正ＡＰＰ３４と称する）がインストールされている。なお、非純正ＡＰＰ３０は、２つの非純正ＡＰＰ３０－１、３０－２の総称である。純正ＡＰＰ３４は、３つの純正ＡＰＰ３４－１、３４－２、３４－３の総称である。純正ＡＰＰ３２及び純正ＡＰＰ３４は、車両１２を製造した車両メーカーによって作成されたプログラムである。一方、非純正ＡＰＰ３０はサードパーティによって作成されたプログラムである。

【0035】

ハイパーバイザーＨＶによってＥＣＵ１０は仮想マシンとして機能する。ＥＣＵ１０は３つの領域に仮想的に区画されている。即ち、ＥＣＵ１０は、非信頼領域ＡＲ１、公開用データ管理領域ＡＲ２及び制御領域ＡＲ３に区画されている。非信頼領域ＡＲ１に、ハイパーバイザーＨＶ上で動作する第１オペレーションシステムＯＳ１、第１オペレーションシステムＯＳ１上で動作する第１ミドルウェアＭＷ１及び第１ミドルウェアＭＷ１上で動作する非純正ＡＰＰ３０及び純正ＡＰＰ３２がインストールされている。公開用データ管理領域ＡＲ２に、ハイパーバイザーＨＶ上で第１オペレーションシステムＯＳ１とは独立して動作する第２オペレーションシステムＯＳ２及び第２オペレーションシステムＯＳ２上で動作する第２ミドルウェアＭＷ２がインストールされている。制御領域ＡＲ３に、ハイパーバイザーＨＶ上で第１オペレーションシステムＯＳ１及び第２オペレーションシステムＯＳ２とは独立して動作する第３オペレーションシステムＯＳ３、第３オペレーションシステムＯＳ３上で動作する第３ミドルウェアＭＷ３並びに第３ミドルウェアＭＷ３上で動作する純正ＡＰＰ３４がインストールされている。

【0036】

ＥＣＵ１０は、車両１２の走行、操舵及び制動の少なくとも一つに連動して変化する物理量を検出するセンサ１４、１６、１８に接続されている。本実施形態のセンサ１４は車輪速を検出可能な車輪速センサ１４であり、センサ１６はステアリングホイールの操舵トルクを検出可能な操舵トルクセンサ１６であり、センサ１８はエンジンの冷却水温を検出可能な冷却水温センサである。但し、センサ１４、１６、１８は、これらの物理量とは異なる物理量（例えば、ステアリングホイールの操舵角、車両１２のヨーレート、ブレーキペダルの踏力）を検出するように構成されてもよい。

【0037】

本実施形態では、純正ＡＰＰ３４－１が車輪速センサ１４によって取得される車輪速に関するデータを用いて所定の制御を実行する。純正ＡＰＰ３４－２が操舵トルクセンサ１６によって取得される操舵トルクに関するデータを用いて所定の制御を実行する。純正ＡＰＰ３４－３が冷却水温センサ１８によって取得される冷却水温に関するデータを用いて所定の制御を実行する。

【0038】

純正ＡＰＰ３４が取得した車輪速に関するデータ、操舵トルクに関するデータ及び冷却水温に関するデータは、第３ミドルウェアＭＷ３、第３オペレーションシステムＯＳ３、ハイパーバイザーＨＶ、第２オペレーションシステムＯＳ２及び第２ミドルウェアＭＷ２を介して、ＲＯＭ１０Ｂ又はストレージ１０Ｄによって構成された公開データ記録部２０に記録される。

【0039】

第１ミドルウェアＭＷ１及び第２ミドルウェアＭＷ２は、２つの公開ＡＰＩ（Application Programmable Interface）２１－１、２１－２及び１つのネイティブＡＰＩ２２を実現するためのプログラムを有する。以下、公開ＡＰＩ２１－１及び公開ＡＰＩ２１－２の総称として公開ＡＰＩ２１を用いる場合がある。さらにハイパーバイザーＨＶが実現する仮想通信経路上に、第１ミドルウェアＭＷ１の公開ＡＰＩ２１－１と第２ミドルウェアＭＷ２の公開ＡＰＩ２１－１とが形成される。さらに仮想通信経路上に、第１ミドルウェアＭＷ１の公開ＡＰＩ２１－２と第２ミドルウェアＭＷ２の公開ＡＰＩ２１－２とが形成される。さらに仮想通信経路上に、第１ミドルウェアＭＷ１のネイティブＡＰＩ２２と第２ミドルウェアＭＷ２のネイティブＡＰＩ２２とが形成される。

【0040】

各非純正ＡＰＰ３０は、第１ミドルウェアＭＷ１及び第２ミドルウェアＭＷ２の公開ＡＰＩ２１にアクセス可能である。図４に示される対応関係リスト２５は、各非純正ＡＰＰ３０と、各非純正ＡＰＰ３０がアクセス可能な公開ＡＰＩ２１との対応関係を示す。換言すると、対応関係リスト２５は、各非純正ＡＰＰ３０と、後述する許可データとの対応関係を規定する。対応関係リスト２５は、非信頼領域ＡＲ１の記録部（例えば、ＲＯＭ１０Ｂ）と公開用データ管理領域ＡＲ２の記録部（例えば、ＲＯＭ１０Ｂ）にそれぞれ記録されている。非純正ＡＰＰ３０－１は公開ＡＰＩ２１－１にアクセス可能であり、非純正ＡＰＰ３０－２は公開ＡＰＩ２１－２にアクセス可能である。非純正ＡＰＰ３０－１は公開ＡＰＩ２１－１にアクセスすることにより、公開データ記録部２０に記録され且つ公開ＡＰＩ２１－１に紐づけられた車輪速に関するデータを読み書き可能である。非純正ＡＰＰ３０－２は公開ＡＰＩ２１－２にアクセスすることにより、公開データ記録部２０に記録され且つ公開ＡＰＩ２１－２に紐づけられた操舵トルクに関するデータを読み書き可能である。対応関係リスト２５は、非純正ＡＰＰ３０を作成したサードパーティと、車両メーカーとの間の契約に基づいて作成される。なお、純正ＡＰＰ３２はネイティブＡＰＩ２２にアクセス可能であり、ネイティブＡＰＩ２２にアクセスすることにより、公開データ記録部２０に記録され且つネイティブＡＰＩ２２に紐づけられた冷却水温に関するデータを読み書き可能である。非純正ＡＰＰ３０及び純正ＡＰＰ３２は取得したデータを利用して様々な制御を実行する。

【0041】

さらにＲＯＭ１０Ｂには、図５に示される頻度リスト２７が記録されている。頻度リスト２７は、各公開ＡＰＩ２１と、各公開ＡＰＩ２１にそれぞれ設定されたアクセス頻度と、の関係を表す頻度条件を規定する。非純正ＡＰＰ３０の公開ＡＰＩ２１へのアクセス頻度が、頻度リスト２７に規定された頻度以下の場合は、非純正ＡＰＰ３０による公開ＡＰＩ２１へのアクセスは正常なアクセスであると考えられる。一方、頻度リスト２７に規定された頻度より高い頻度で非純正ＡＰＰ３０が公開ＡＰＩ２１へアクセスする場合は、非純正ＡＰＰ３０による公開ＡＰＩ２１へのアクセスは不正アクセスであると考えられる。本実施形態の頻度リスト２７は、公開ＡＰＩ２１－１に設定されたアクセス頻度が１００ｍｓ（ミリ秒）であり、且つ、公開ＡＰＩ２１－２に設定されたアクセス頻度が２００ｍｓ（ミリ秒）であることを示している。

【0042】

図６には、ＥＣＵ１０の機能構成の一例がブロック図で示されている。ＥＣＵ１０は、機能構成として、第１判定部１０１、第１アクセス制御部１０２、第２判定部１０３、第２アクセス制御部１０４及び異常時処理部１０５を有する。第１判定部１０１、第１アクセス制御部１０２、第２判定部１０３、第２アクセス制御部１０４及び異常時処理部１０５は、ＣＰＵ１０ＡがＲＯＭ１０Ｂに記憶されたハイパーバイザーＨＶ、第１オペレーションシステムＯＳ１、第２オペレーションシステムＯＳ２、第１ミドルウェアＭＷ１、第２ミドルウェアＭＷ２を読み出し、実行することにより実現される。

【0043】

第１判定部１０１は第１ミドルウェアＭＷ１により実現される機能である。第１判定部１０１は、非純正ＡＰＰ３０がアクセスしたＡＰＩが公開ＡＰＩ２１であるか否かを判定する。さらに第１判定部１０１は、非純正ＡＰＰ３０が公開ＡＰＩ２１にアクセスしたと判定したときに、対応関係リスト２５に基づいて、アクセスを受けた公開ＡＰＩ２１が、アクセスすることが許可された公開ＡＰＩ２１であるか否かを判定する。以下、非純正ＡＰＰ３０からアクセスを受けたＡＰＩを「対象ＡＰＩ」と称する場合がある。さらに対象ＡＰＩが、非純正ＡＰＰ３０がアクセスすることを許可されたＡＰＩの場合に、この対象ＡＰＩを「許可ＡＰＩ」と称する場合がある。

【0044】

第１アクセス制御部１０２は第１ミドルウェアＭＷ１により実現される機能である。第１アクセス制御部１０２は、対象ＡＰＩ２１が許可ＡＰＩ２１であると第１判定部１０１が判定したときに、許可ＡＰＩ２１にアクセスした非純正ＡＰＰ３０が、仮想通信経路に沿って第１オペレーションシステムＯＳ１、ハイパーバイザーＨＶ及び第２オペレーションシステムＯＳ２を介して第２ミドルウェアＭＷ２にアクセスすることを許可する。

【0045】

第２判定部１０３は第２ミドルウェアＭＷ２により実現される機能である。第２判定部１０３は、第１判定部１０１によって許可ＡＰＩ２１にアクセスしたと判定された非純正ＡＰＰ３０による許可ＡＰＩ２１へのアクセス頻度が、頻度リスト２７に規定された頻度より高いか否かを判定する。

【0046】

さらに第２判定部１０３は、対応関係リスト２５に基づいて第１判定部１０１と同じ処理を行う。即ち、第２判定部１０３は、対応関係リスト２５に基づいて、対象ＡＰＩ２１が許可ＡＰＩ２１であるか否かを判定する。

【0047】

第２アクセス制御部１０４は、第２ミドルウェアＭＷ２により実現される機能である。第２アクセス制御部１０４は、対象ＡＰＩ２１が許可ＡＰＩ２１であると第２判定部１０３が判定したときに、許可ＡＰＩ２１にアクセスした非純正ＡＰＰ３０が、公開データ記録部２０に記録され且つ許可ＡＰＩ２１に紐づけられたデータである許可データにアクセスすることを許可する。

【0048】

異常時処理部１０５は、第２ミドルウェアＭＷ２により実現される機能である。異常時処理部１０５は、後述するように、非純正ＡＰＰ３０の公開ＡＰＩ２１へのアクセス態様に基づいて、公開ＡＰＩ２１へアクセスした非純正ＡＰＰ３０に対して必要な処理を行う。

【0049】

続いてＥＣＵ１０が行う処理の流れについて、図７のフローチャートを用いて説明する。ＥＣＵ１０は、所定時間が経過する毎にフローチャートの処理を繰り返し実行する。

【0050】

ステップＳ１０において、ＥＣＵ１０の第１判定部１０１が、いずれかの非純正ＡＰＰ３０が公開ＡＰＩ２１又はネイティブＡＰＩ２２へアクセスしたか否かを判定する。

【0051】

ステップＳ１０においてＹｅｓと判定したとき、ＥＣＵ１０はステップＳ１１へ進む。ステップＳ１１において、第１判定部１０１が、非純正ＡＰＰ３０が公開ＡＰＩ２１へアクセスしたか否かを判定する。

【0052】

ステップＳ１１においてＹｅｓと判定したとき、ＥＣＵ１０はステップＳ１２へ進む。ステップＳ１２において、第１判定部１０１が、対応関係リスト２５に基づいて、非純正ＡＰＰ３０がアクセスした公開ＡＰＩ２１が許可ＡＰＩか否かを判定する。換言すると、第１判定部１０１が、非純正ＡＰＰ３０がアクセスを試みているデータである対象データが許可データであるか否かを判定する。例えば、この非純正ＡＰＰ３０が非純正ＡＰＰ３０－１の場合は、非純正ＡＰＰ３０－１が公開ＡＰＩ２１－１にアクセスしたか否かを第１判定部１０１が判定する。

【0053】

ステップＳ１２においてＹｅｓと判定したとき、ＥＣＵ１０はステップＳ１３へ進む。ステップＳ１３において、許可ＡＰＩ２１にアクセスした非純正ＡＰＰ３０が、第１オペレーションシステムＯＳ１、ハイパーバイザーＨＶ及び第２オペレーションシステムＯＳ２を介して第２ミドルウェアＭＷ２にアクセスすることを第１アクセス制御部１０２が許可する。

【0054】

ステップＳ１３の処理を終えたＥＣＵ１０はステップＳ１４へ進み、第２判定部１０３が、非純正ＡＰＰ３０による許可ＡＰＩ２１へのアクセス頻度が、頻度リスト２７に規定された頻度以下か否かを判定する。非純正ＡＰＰ３０－１が公開ＡＰＩ２１－１にアクセスした場合は、非純正ＡＰＰ３０－１が公開ＡＰＩ２１－１へ１００ｍｓより短い間隔で繰り返しアクセスするか否かを第２判定部１０３が判定する。非純正ＡＰＰ３０のアクセス頻度が頻度リスト２７に規定された頻度以下の場合、第２判定部１０３はステップＳ１４においてＹｅｓと判定し、ＥＣＵ１０はステップＳ１５へ進む。

【0055】

ステップＳ１５へ進んだ第２判定部１０３は、対応関係リスト２５に基づいて、非純正ＡＰＰ３０がアクセスした公開ＡＰＩ２１が許可ＡＰＩか否かを判定する。

【0056】

ステップＳ１５においてＹｅｓと判定したとき、ＥＣＵ１０はステップＳ１６へ進む。ステップＳ１６において、許可ＡＰＩ２１にアクセスした非純正ＡＰＰ３０が、公開データ記録部２０に記録された許可データにアクセスすることを第２アクセス制御部１０４が許可する。そのため非純正ＡＰＰ３０は許可データを取得可能である。また、許可データにアクセスした非純正ＡＰＰ３０は、許可データを書き換え可能である。

【0057】

ステップＳ１１、Ｓ１２又はＳ１４においてＥＣＵ１０がＮｏと判定したとき、ＥＣＵ１０はステップＳ１７へ進む。

【0058】

ステップＳ１７へ進んだＥＣＵ１０の異常時処理部１０５は、ＮＧカウント数に「１」を加える。なお、ＮＧカウント数の初期値は「０」である。

【0059】

ステップＳ１７の処理を終えたＥＣＵ１０はステップＳ１８へ進み、異常時処理部１０５が、ＮＧカウント数の合計値が閾値以上か否かを判定する。この閾値は、２以上の自然数である。閾値はＲＯＭ１０Ｂ又はストレージ１０Ｄに記録されている。

【0060】

ステップＳ１８においてＹｅｓと判定したとき、ＥＣＵ１０はステップＳ１９へ進む。ステップＳ１９へ進んだ異常時処理部１０５は、ステップＳ１８においてＹｅｓと判定された非純正ＡＰＰ３０の公開ＡＰＩ２１へのアクセスを所定時間に渡って禁止する。異常時処理部１０５は、この所定時間が経過したか否かを、上記タイマーから取得した情報に基づいて判定する。

【0061】

ステップＳ１９の処理を終えたＥＣＵ１０はステップＳ２０へ進み、異常時処理部１０５が、ＮＧカウント数の合計値を「０」に設定する。

【0062】

ステップＳ１５において第２判定部１０３がＮｏと判定したとき、ＥＣＵ１０はステップＳ２１へ進む。ステップＳ２１へ進んだ異常時処理部１０５は、ステップＳ１５においてＮｏと判定された非純正ＡＰＰ３０をＥＣＵ１０からアンインストールする。

【0063】

ステップＳ１６、Ｓ２０若しくはＳ２１の処理を終えたとき、又は、ステップＳ１０、Ｓ１８でＮｏと判定したとき、ＥＣＵ１０はフローチャートの処理を一旦終了する。

【0064】

（作用並びに効果）
次に、本実施形態の作用並びに効果について説明する。

【0065】

本実施形態のＥＣＵ１０の対応関係リスト２５は、各非純正ＡＰＰ３０と、各非純正ＡＰＰ３０がアクセスを許可された許可ＡＰＩ２１との対応関係を表すルールを規定する。そして第１ミドルウェアＭＷ１によって実現される第１判定部１０１が、対応関係リスト２５に基づいて、非純正ＡＰＰ３０の公開データ記録部２０に記録されたデータへのアクセス動作を監視する。対応関係リスト２５が規定するルールは、全ての非純正ＡＰＰ３０の全てのプロセス（振る舞い）を定義したルールよりも簡単である。そのため本実施形態のＥＣＵ１０は、公開データ記録部２０に記録された各データへの非純正ＡＰＰ３０のアクセス動作を、簡単なルールに基づいて監視できる。そのためＥＣＵ１０にかかる演算負荷が大きくならない。そのため高価なハード構成を用いてＥＣＵ１０を構築する必要がない。

【0066】

さらにＥＣＵ１０では、第２ミドルウェアＭＷ２によって実現される第２判定部１０３が、対応関係リスト２５に基づいて、第１判定部１０１によって許可ＡＰＩにアクセスしたと判定された非純正ＡＰＰ３０の公開データ記録部２０に記録されたデータへのアクセス動作を監視する。このように非純正ＡＰＰ３０の公開データ記録部２０へのアクセスを２回に渡って監視するので、非純正ＡＰＰ３０がアクセスした対象ＡＰＩ２１が許可ＡＰＩ２１であるか否かが高い精度で判定される。

【0067】

さらにＥＣＵ１０では、第１判定部１０１によって非純正ＡＰＰ３０の公開データ記録部２０に記録されたデータへのアクセス動作が監視される。そのためＥＣＵ１０が第１判定部１０１及び第１アクセス制御部１０２を具備しない場合と比べて、ＥＣＵ１０の公開用データ管理領域ＡＲ２における演算負荷が高くなり難い。

【0068】

さらに頻度リスト２７が、各公開ＡＰＩ２１と、各公開ＡＰＩ２１にそれぞれ設定されたアクセス頻度と、の関係を表す頻度条件を規定する。そして第２判定部１０３が、非純正ＡＰＰ３０による許可ＡＰＩ２１へのアクセス頻度が頻度条件を満たさないと判定したときに、非純正ＡＰＰ３０が許可データにアクセスすることを第２アクセス制御部１０４が許可しない。頻度リスト２７が定める頻度条件に関するルールは、全ての非純正ＡＰＰ３０の全てのプロセスを定義したルールよりも簡単である。そのためＥＣＵ１０は、公開データ記録部２０に記録された各データへの非純正ＡＰＰ３０のアクセス動作を、簡単なルールに基づいて監視できる。

【0069】

さらにステップＳ１５において、第２判定部１０３によって許可ＡＰＩでない公開ＡＰＩ２１にアクセスしたと判定された非純正ＡＰＰ３０は、第１判定部１０１によって第１オペレーションシステムＯＳ１、ハイパーバイザーＨＶ、第２オペレーションシステムＯＳ２及び第２ミドルウェアＭＷ２へのアクセスが禁止されるべきアプリケーションである。それにも拘わらず、この非純正ＡＰＰ３０は第１判定部１０１によるチェックをパスして、第１オペレーションシステムＯＳ１、ハイパーバイザーＨＶ、第２オペレーションシステムＯＳ２及び第２ミドルウェアＭＷ２へアクセスしようとする。そのため、この非純正ＡＰＰ３０による公開ＡＰＩ２１へのアクセスは、極めて危険な不正アクセスであると考えられる。そのため、異常時処理部１０５がこの非純正ＡＰＰ３０をＥＣＵ１０からアンインストールする。従って、危険度の高い攻撃を行うおそれがある非純正ＡＰＰ３０からＥＣＵ１０を守ることが可能である。

【0070】

第１判定部１０１によってステップＳ１１、１２においてＮｏと判定された非純正ＡＰＰ３０及び第２判定部１０３によってステップＳ１４においてＮｏと判定された非純正ＡＰＰ３０による不正アクセス動作は、ステップＳ１５においてＮｏと判定された非純正ＡＰＰ３０による不正アクセス動作よりも危険度が低い。そのため本実施形態では、このような非純正ＡＰＰ３０をＥＣＵ１０からアンインストールしない。即ち、このような不正アクセス動作を上記閾値以上繰り返した非純正ＡＰＰ３０は、異常時処理部１０５によって、公開ＡＰＩ２１へのアクセスが所定時間に渡って禁止される。

【0071】

さらに公開データ記録部２０には、純正ＡＰＰ３４によって取得された、車両１２の走行、操舵及び制動の少なくとも一つに連動して変化する物理量に関するデータが記録されている。本実施形態では、これらのデータへの非純正ＡＰＰ３０による不正アクセスを防止可能である。そのため、これらのデータを不正に取得した非純正ＡＰＰ３０が、これらのデータに基づく制御を実行するおそれは小さい。

【0072】

以上、本実施形態に係るＥＣＵ１０について説明したが、ＥＣＵ１０は本発明の要旨を逸脱しない範囲内において、適宜設計変更可能である。

【0073】

ＥＣＵ１０が第２判定部１０３及び第２アクセス制御部１０４を備えなくてもよい。この場合は、第１判定部１０１によって許可ＡＰＩへアクセスしたと判定された非純正アプリケーション３０は、第１アクセス制御部１０２によって許可データへのアクセスが許容される。

【0074】

ＥＣＵ１０が第１判定部１０１及び第１アクセス制御部１０２を備えなくてもよい。この場合は、第２判定部１０３によって許可ＡＰＩへアクセスしたと判定された非純正アプリケーション３０は、第２アクセス制御部１０４によって許可データへのアクセスが許容される。

【0075】

異常時処理部１０５が、ステップＳ１７～Ｓ２０の処理と、ステップＳ２１の処理の一方のみを実行してもよい。

【0076】

非信頼領域ＡＲ１にインストールされる全てのアプリケーションが、車両メーカーによって作成されたアプリケーションであり、非信頼領域ＡＲ１及び公開用データ管理領域ＡＲ２の全てのＡＰＩがネイティブＡＰＩであってもよい。また、非信頼領域ＡＲ１にインストールされる全てのアプリケーションが、サードパーティによって作成されたアプリケーションであり、非信頼領域ＡＲ１及び公開用データ管理領域ＡＲ２の全てのＡＰＩが公開ＡＰＩであってもよい。

【0077】

異常時処理部１０５が、第１オペレーションシステムＯＳ１及び第１ミドルウェアＭＷ１の少なくとも一方が記録したシステムログに基づいて、第１オペレーションシステムＯＳ１及び第１ミドルウェアＭＷ１の少なくとも一方の稼働状況を監視してもよい。さらに異常時処理部１０５は、この稼働状況に基づいて、第１オペレーションシステムＯＳ１及び第１ミドルウェアＭＷ１の少なくとも一方が不正なプロセスを実行していると判定したときに、非信頼領域ＡＲ１全体の動作を一時的に停止してもよい。

【0078】

例えばインターネットを介して新しい非純正ＡＰＰ３０がＥＣＵ１０にダウンロードされたときに、この非純正ＡＰＰ３０と公開ＡＰＩ２１（許可ＡＰＩ）との対応関係に関する情報が記録されるように対応関係リスト２５を更新してもよい。

【0079】

非信頼領域ＡＲ１にインストールされるアプリケーションの数及び制御領域ＡＲ３にインストールされるアプリケーションの数はいくつであってもよい。また、非信頼領域ＡＲ１及び公開用データ管理領域ＡＲ２のＡＰＩの数はいくつであってもよい。

【0080】

公開データ記録部２０に、車両の走行、操舵及び制動の少なくとも一つに連動して変化する物理量に関するデータとは異なる種類のデータが記録されてもよい。

【符号の説明】

【0081】

１０ ＥＣＵ（車載情報処理装置）
１０Ｂ ＲＯＭ（記録部）（第１記録部）（第２記録部）（第３記録部）
１０Ｄ ストレージ（記録部）（第１記録部）（第２記録部）（第３記録部）
１０１ 第１判定部（判定部）
１０２ 第１アクセス制御部（アクセス制御部）
１０３ 第２判定部（判定部）
１０４ 第２アクセス制御部（アクセス制御部）
１０５ 異常時処理部
２０ 公開データ記録部（記録部）（第１記録部）
２１（２１－１、２１－２） 公開ＡＰＩ(ＡＰＩ)
２５ 対応関係リスト
２７ 頻度リスト
３０（３０－１、３０－２） 非純正アプリケーション（非純正ＡＰＰ）（第１アプリケーション）（プログラム）
３４（３４－１、３４－２、３４－３） 純正アプリケーション（第２アプリケーション）（プログラム）
ＨＶ ハイパーバイザー（プログラム）
ＯＳ１ 第１オペレーションシステム（プログラム）
ＯＳ２ 第２オペレーションシステム（プログラム）
ＭＷ１ 第１ミドルウェア（プログラム）
ＭＷ２ 第２ミドルウェア（プログラム）

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】