(EN) A log management module (18) comprises: an abnormality detection information reception unit (28) that receives, from a specific apparatus among a plurality of apparatuses connected to a CAN bus (6), abnormality detection information that indicates that an abnormality has been detected in the specific apparatus; an attack path information storage unit (52) that stores attack path information indicating candidates for an attack path in the CAN bus (6); an attack path estimation unit (54) that estimates an attack path including the specific apparatus on the basis of the attack path information; and a collection object determination unit (38) that determines, in response to the fact that the abnormality detection information reception unit (28) has received abnormality detection information, that one or more candidate apparatuses on the attack path estimated by the attack path estimation unit (54) which have been narrowed down from among the plurality of apparatuses are the objects from which to collect the log information for analysis for analyzing the presence of an undetected abnormality in the CAN bus (6).
(FR) Un module de gestion de journal (18) comprend : une unité de réception d'informations de détection d'anomalie (28) qui reçoit, en provenance d'un appareil spécifique parmi une pluralité d'appareils connectés à un bus CAN (6), des informations de détection d'anomalie qui indiquent qu'une anomalie a été détectée dans l'appareil spécifique ; une unité de stockage d'informations de trajet d'attaque (52) qui stocke des informations de trajet d'attaque indiquant des candidats pour un trajet d'attaque dans le bus CAN (6) ; une unité d'estimation de trajet d'attaque (54) qui estime un trajet d'attaque comprenant l'appareil spécifique sur la base des informations de trajet d'attaque ; et une unité de détermination d'objet de collecte (38) qui détermine, en réponse au fait que l'unité de réception d'informations de détection d'anomalie (28) a reçu des informations de détection d'anomalie, qu'un ou plusieurs appareils candidats sur le trajet d'attaque estimé par l'unité d'estimation de trajet d'attaque (54) qui ont été restreints à partir de la pluralité d'appareils sont les objets à partir desquels il faut collecter les informations de journal pour une analyse permettant d'analyser la présence d'une anomalie non détectée dans le bus CAN (6).
(JA) ログ管理モジュール(18)は、CANバス(6)に接続された複数の機器のうち特定の機器から、当該特定の機器において異常が検出されたことを示す異常検出情報を受信する異常検出情報受信部(28)と、CANバス(6)における攻撃経路の候補を示す攻撃経路情報を記憶する攻撃経路情報記憶部(52)と、攻撃経路情報に基づいて特定の機器を含む攻撃経路を推定する攻撃経路推定部(54)と、異常検出情報受信部(28)が異常検出情報を受信したことを契機として、複数の機器の中から絞り込んだ、攻撃経路推定部(54)により推定された攻撃経路上にある1以上の候補機器を、CANバス(6)における未検出の異常の有無を分析するための分析用ログ情報の収集対象として決定する収集対象決定部(38)とを備える。
