自動車業界ライブラリ > コラム > 自動車に求められるセキュリティについて
自動車に求められるセキュリティについて
今回は 11月 15日付メールマガジンにおいて「自動車に求められるセキュリ
ティについて」と題してご回答をお願いしたアンケート結果を踏まえてのレポー
トです。
https://www.sc-abeam.com/sc/?p=7808
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【はじめに】
2025年にはほぼ全ての新車販売が組込み型接続を備えたコネクテッド・カー
になるといった予測も様々な所から発表されており、今後全世界で外部と通信
を行う自動車の劇的な市場拡大が見込まれている。車内の閉じられた世界の中
で技術が確立されていた車内ネットワークが、インターネットに繋がり、外部
からの情報送信や作動指示が可能となる事でセキュリティの脅威に晒されるよ
うになり、車内ネットワークと通信の両方に於いてセキュリティの確立が急務
となっている。
自動車における脅威は以下のようなものが想定される。
・なりすましによる自動車システム機能の不正利用、不正設定。
・偽/不正メッセージ送信による自動車システムへの不正な動作指示、表示。
・個人情報に係るもの。情報漏えい、盗聴等。
・利用者が外部から持ち込んだ機器等からのウィルス感染。
自動車において、保護すべき情報等の資産としては以下が想定され、それら
には必要な時に正しく利用する事ができるための可用性、情報漏えいを防ぐ機
密性、情報破壊や改ざんを防ぐ完全性が求められる。
・制御機能の動作。制御機能の実行環境や動作のための通信等。
・自動車の制御・拡張機能に係るソフトウェア。
・各種データ。自動車固有情報、状態情報、ユーザ情報等。
今回、上記から想定し得るもので、皆様にとって一番脅威に感じるリスクを
ご回答頂いたものである。
【自動車に求められるセキュリティについて】
先月実施したアンケートの結果は以下の通り。
1. ハッキングによる運転の乗っ取り:70%
2. 交通情報の操作/偽情報による交通混乱:12%
3. 個人情報、車両情報の盗難、流出:6%
4. 自己保有者の盗難:7%
5. その他:5%
ハッキングによる乗っ取りを一番脅威に感じられている方が多いとの結果に
なった。ハッキングに関しては度々ニュースでも取り上げられているが、実際
に多くの方が懸念しているという事が伺える結果だといえよう。
【自動車システムへのハッキングからの防御】
セキュリティ対策で重要といわれている多層防御の観点から、車内ネットワー
クのセキュリティも 4 層に分けたアーキテクチャが考えられている。外部から
一番近い側から一層目が、TCU (テレマティクス制御ユニット)、OBD ポート、
充電用 PLC ユニット、Wi-Fi/Bluetooth、V2X 等との外部接続部分で、暗号化、
デジタル署名、認証やフィルタリングによるアクセス制御等による予防策が考
えられている。二層目が車載ゲートウェイで、安全に通信接続できる対象のリ
スト化(ホワイトリスト)、メッセージ頻度等を利用したフィルタリングによ
るアクセス制御、鍵管理、ECU 認証等が予防策としてあげられる。三層目が車
載 LAN で、メッセージ認証や暗号化等が予防策としてあげられる。四層目が
ECU で、対策としてデジタル署名をチェックするセキュアブート等のセキュリ
ティメカニズムの構築があげられる。
CAN 通信は、やり取りされるメッセージに送信元や宛先ノードの情報が含ま
れず、同一パス内のすべてのノードに同報されるため、盗聴・解析が容易であ
り、また、メッセージ認証や送信元認証機能がない為、なり済ましが可能であ
る。2015年に開催されたセキュリティカンファレンス (Black Hat USA) で、遠
隔操作によるハッキングが報告され、車外の離れた場所から車のコントロール
を奪う初めての事例として話題となったが、これは、インターネット経由、従
来の IT 機器と同様の脆弱性をつき、自動車特有の課題(CAN 上へ不正コマン
ドを送り込む事で操作可能となる)を悪用し遠隔操作を行ったものである。そ
ういった課題解決の為、ECU にも秘密鍵・公開鍵の暗号方式に基づいたセキュ
リティ機能をもたせるハードウェアセキュリティモジュールを内蔵させる等の
対策が考えられている。また、現状の構造からそれほど乖離しない安価な方法
として、SECURITY ECU にデータの送信に対する監視機能を設け、不正な送信を
検知した場合に、送信完了前に撃ち落とす事で攻撃を排除するといった技術も
提案されている。更には、攻撃ログを収集し、AI を利用する事で、未知の攻撃
や攻撃の予兆に対応出来ないかといった検討もされている。
自動車は、保有年数が長い中、ライフサイクルにわたって車の機能・品質向
上を図っていく、かつ、日々巧妙化している脅威へのセキュリティ対策を行う
必要がある事から、自動車各社は車載ソフトウェアを無線通信で更新できる
Over-the-Air (OTA) を導入、または導入を検討している。2016年 9月にはテ
スラのモデルSが車載コンピューターのウェブブラウザを経由し遠隔で車を乗
っ取れる事を中国の研究者が公表し、テスラが OTA 経由で修正を行った事例が
既にある。OTA にはソフトウェアの書き換えのデータやプロセスに対する攻撃
からの改ざんを防ぐ事が重要となる、国連の自動車基準調和世界フォーラム
(WP29)においても今後無線通信を利用したソフトウェアアップデートに関し、
更なる検討を行っていく為のタスクフォースを立ち上げる予定である。
自動車内部だけでなく、外部との通信に関してのセキュリティも重要だ。欧
州では、2011年~ 2014年まで「PRESERVE」と呼ばれる V2X 通信のセキュリテ
ィの開発実装を目的とした研究プロジェクトで検討が進められた。その後、欧
州では電気通信の全般に係る標準化組織である欧州電気通信標準化機構(ETSI)
が、米国では IEEE で標準化検討が進んでいる。セキュリティの確保と、プラ
イバシー保護の観点から、証明書を利用し合法のデバイスから送られたメッセー
ジである事、送信者と受信者の間でメッセージが改ざんされていない事を確実
にする。
【交通混乱を防ぐ為のインフラ側のセキュリティ】
信号や路側機器等のインフラ側についてもセキュリティの配慮が必要となる。
皆様から頂いた回答では、12 %とハッキングに比べると少ない結果であった
が、影響力を考えると一番重要であるといった旨のコメントを多く頂いた。イ
ンフラへのサイバーテロは甚大な影響を与える可能性がある事から、国として
もサイバーセキュリティに関する検討を実施している。戦略イノベーション創
造プログラム(SIP)で「重要インフラにおけるサイバーセキュリティの確保」
が課題の一つに取り上げられている。内閣サイバーセキュリティセンターでは、
重要インフラグループの取組みとして昨年 5月に「重要インフラの情報セキュ
リティ対策に係る第3次行動計画」の改訂版を出しているが、対象となる重要
インフラ分野に、道路交通分野はまだ入っていない。今時点のインフラ整備に
おいて不要との判断であると思うが、情報範囲等に関しては不断に見直しを行
っていくといった記載もある事から、将来、信号や路側機器等と自動車との通
信内容が高度化された際には、迅速な対応を期待したい。
【個人情報、車両情報の盗難・流出】
自動車からは運転者の情報として、走行距離や速度、エンジンの最大回転数
といったものから、カーナビに入れた情報、スマホと同期した連絡先等の個人
情報まで収集対象となっている。今後、音楽・交通情報等、個人向けにカスタ
マイズされたサービス提供も行われるとみられており、プライバシーに係る情
報も増加してくると考えられる。遠隔診断もコネクテッド・カーに期待される
サービスだが、攻撃者が悪用し機密情報にアクセスしない様な仕組み作り、例
えば、認証された人のみが車載ソフトウェアにアクセス、業務遂行できるとい
った事が必要となる。また、セキュリティによる情報漏えい対策と共に、個人
情報の収集や処理の限定や、情報主体者の同意取得等も考えていくべき課題で
あろう。
【自己保有車の盗難】
国内の自動車の盗難について、件数は減少傾向にあるものの、13,421 件 (2015
年) と依然多発しており、現時点では誰にでも起きうる一番身近な問題といえ
よう。
今回の回答でも、現時点では一番脅威に感じているといったコメントを頂い
た。盗難の傾向としては、犯罪グループの組織的犯行、鍵なし (鍵が無い状態
で盗難された) といった事があげられる。
盗難防止に有効とされているイモビライザーも、OBD アダプターに差し込む
だけで無効化する事が可能となるイモビカッター、その後盗難対策として導入
されたスマートキーへは、スマートキーのコンピューター制御を書き換える
「キープログラマー」、発生する電波を利用した信号増幅器による「電波ジャ
ック」等、盗難の手口も巧妙になっている。スマートホン等の端末機器を利用
した仮想キーも、今後カーシェアリング等関連サービスとの連携で増加が見込
まれるとみられており、ボルボ・カーは 2017年以降量産車で実現するといった
発表もしている。これらはブルートゥースを利用しているが、スタック (ドラ
イバー) の脆弱性等も指摘されている等、不安を払拭する一層の防犯効果を期
待したい。
【標準化・基準化に向けた動き】
欧米では、セキュリティに関し、プロセス/情報共有等の活動が活発化して
いる。アメリカでは自動車技術の標準化を進める非営利団体 SAE International
から今年 1月に自動車サイバーセキュリティのガイドブックがリリース、今年
10月には米国運輸省道路交通安全局(NHTSA)からベストプラクティス (ガイダ
ンス) が発表されている。国連では、自動車基準調和世界フォーラム(WP29)
傘下の自動運転分科会において、自動運転へのサイバー攻撃に対する防御対策
指針が合意済である。その他、自動車メーカーが参加するサイバーセキュリテ
ィ攻撃事例の情報を共有する組織(AUTO-ISAC)設立や、ISO での規格化、ISO
と SAE の間でのサイバーセキュリティ分野における共同での標準化活動(今年
10月に第一回会合が開催)等、セキュリティへの取組みが加速している。日本
においてもセキュリティを基本的に協調領域として、自動車業界として車載セ
キュリティに取り組んでいる。日本自動車工業会 (JAMA) で業界方針作り、日
本自動車技術会 (JSAE) で標準・規格作り、JasPar(車載ソフトウェア標準化団
体) で実装する為の標準技術策定といった、各団体との協力体制により、標準
化推進計画を共有、海外連携等も行っている。また、日本版 AUTO-ISAC の設立
に関しても検討を行っている。
【機能安全との関係】
機能安全の観点からの設計がセキュリティ対策にもなっているものもある。
プリウスの電動パワステの ECU はステアリング条件が厳しく決められており、
人為的に発生する事が想定される範囲内での操作に関しては異常行動に対し制
限がかかるようになっている。ただし、不正な指示を受けた場合や、人間が運
転する上で通常有り得ない場面が発生した等は想定外となる。従来自動車が主
眼においていた安全技術は、自然に発生する偶発でシステマティックな故障へ
の対応であったが、セキュリティは悪意のある故意の攻撃からの防衛が必要と
なる。機能安全は厳密なリスク評価が要求されるが、セキュリティは攻撃の可
能性の網羅性を掴みにくく、リスクは厳密に評価する事が難しい。また、被害
を受けた場合も、被害を最小化するための早期検知と即時対応できる技術が必
要であり、不正が成立した場合も非常停止等も含め、検討していく必要がある。
【最後に】
機能安全に関し、日本は ISO26262 等の標準化といった面から遅れをとった
ものの、世界の流れに追い付いてきており、更には技術発展に伴う改定に対し
主導していこうといった動きもあると聞く。日本のモノづくりの経験から培っ
てきた安全性・信頼性がしっかりと製品に根付いているという事の証明であり、
日本の優位性だと言えるのではないか。今後は、安全性・信頼性の開発プロセ
スに、更にセキュリティも検討していかないといけなくなる。また、セキュリ
ティ、特にサイバーセキュリティに関しては、異業種の知識を取り入れていく
事になる。技術課題も多く出てくるであろうが、今まで培ってきた安全性・信
頼性に対する技術力とセキュリティを上手くあわせ、安全安心な自動車を作り
続けていく事で、将来においても日本の自動車産業のプレゼンスを示していけ
るのではなかろうか。
<成田 朗子>