クルマのセーフティとセキュリティ

【はじめに】
 自動車技術は自動運転の開発等、より複雑さをましてきており、自動車の機
能安全の捉え方についても、変化が求められてきている。自動車については、
従来から、「安全 = セーフティ」が追求されてきた。一方、自動車が色々なも
のにつながる「コネクテッドカー」になる中、サイバーアタックから自動車、
ひいては、交通システム全般を保護する必要性より、「保護 = セキュリティ」
の観点も一際重要視されている。自動車の技術が進化する中で、これら二つを
両立させ、より「安全・安心」なものにすべく検討が進められている。

【自動運転時代のセーフティ】
 自動車の制御システムは、従来何らかの障害が起きた場合に安全な方向に動
作させる「フェールセーフ」が基本であったが、自動運転になった場合は故障
してもある程度動くものである必要がでてくる。安全に停止できるまでの最小
限の制御機能を維持する「フェールトレランス」の考えに基づき、フェールオ
ペレーショナルでなければならなくなる。

 冗長設計も対応策の一つであるが、部品の重量増加が与える燃費悪化や電力
の消費、コストアップ等、マイナスの影響も考える必要が出てくるであろう。

 また、自動運転への AI 技術の活用も期待されているが、より高度で複雑な
システム構造に対する安全上の信頼度をどう担保するかといった検討も必要と
なってくる。

 ISO 規格では、機能安全規格として ISO26262 があるが、自動運転に関して
はシステムのエラー以外の安全性のリスクも想定し、性能限界時や誤操作、誤
使用などもカバーする安全標準 SOTIF(Safety Of The Intended Functionality)
についての検討が進められている。

 自動運転は複数のシステムやドライバー、周辺システムとの相互作用、及び
協働することで、より全体の安全性を確保することが期待されている。このよ
うな個々のシステムが複雑に繋がる「システムオブシステムズ」として、シス
テム間の相互作用も考慮した上で、安全性要求の検証もまた複雑なものになる。
更に人によって自動運転に対する信頼度は違っており、人の安心する度合いも
定量的に考慮する必要も出てくるであろう。

 ドイツでは、2016年 1月から自動運転の安全評価手法の標準化を目指す
「PEGASUS」プロジェクトが実施されており、自動車メーカー、サプライヤー等
が参加している。自動運転の安全性をどのように証明するか、自動運転技術に
要求される性能・安全要件をどう確認するか、といったことに対する安全性評
価手法の確立を目指している。ドイツでは、最初に国内標準を決めその後国際
展開する手法を、車載ソフトウェアの標準規格「AUTOSAR」等においても実践し
てきている。

【自動車のセキュリティ】
 自動車システムのライフサイクルのなかには、自動車メーカーや部品メーカー
だけでなく、ディーラーや整備工場等、関与者が多数存在している。また、自
動車は全システムが単一のネットワークを共有している。すなわち、ハッカー
にとって脆弱性を見つける間口が広く、セキュリティリスクもそれだけ大きい
ものとなる。企画、設計、製造、運用、廃棄までのトータルライフサイクルで
のセキュリティ設計が求められる。

 セキュリティリスクは、外部からの悪意のある攻撃など想定外のことも多く
発生し、変化していくことから、その変化に対応しシステムを更新する仕組み
(Over the Air (OTA)) も求められる。脆弱性の修正対応等、いち早い対応が可
能となることから、セキュリティ対策として有効であるが、ソフトウェアのセ
キュリティパッチをいつまであてることができるのか、型式認証時との差異を
どのように把握、管理していくのか等、ライフサイクルの長い自動車ならでは
の対応策を考えていく必要がでてくる。

 毎年アメリカで開催されているセキュリティカンファレンス「Black Hat」や
「Def Con」でも自動車に特化した取組みが行われている。自動車の制御ユニッ
ト等をハッキングする技術を競いあうハッカソンもあり、日本からの参加も増
えてきている。また、日本でも同様の取組みが実施されはじめており、ハッキ
ングの立場から脆弱性を発見する方法の有効性を認める自動車メーカーも増え
てきている。

 自動車のコネクト化が進むにつれ、個人の情報が記録され、更に拡散、共有
されていく可能性が高くなる。利用が増加しているカーシェアリング等のサー
ビスも、前の利用者との切り離しが必要となる。自動車の利用者から収集され
るパーソナルデータのプライバシーもセキュリティで守るべき対象となってく
る。サービスの多様性、質の向上のためにはより多くのデータが必要になって
くる。利用者自身がその利便性を分かったうえで、受けたいサービスを選択し
個人情報の提供に同意する。かつ、利用者のプライバシー保護がしっかりとな
されている、といったような仕組みづくりが求められる。

 国や業界全体としてもサイバーセキュリティへの取組みが活発に行われてい
る。国連の自動車基準調和世界フォーラム(WP29)の傘下の自動運転分科会
(ITS/AD)の下にタスクフォースが設置され、自動車のセキュリティの脅威分
析、国際的な技術要件について策定中である。リファレンス車両モデルを設定
し、どのような脅威が起こり得るかを特定し、その脅威への対応策を検討して
おり文書化もされる予定となっている。車載ソフトウェアの標準規格「AUTOSAR」
においても、車載ネットワークのオープン化したことで車載ネットワークを介
したリスクも増加しており、サイバーセキュリティ仕様の標準化を推進、暗号
化から仕様化が進められている。2016年にアメリカでサイバー攻撃の情報共有
を目的とした Auto-ISAC が設立されているが、2017年 1月には日本でも自動車
工業会のもと日本版 Auto-ISAC が設立され、日本の自動車メーカー各社が参加
している。

【セーフティとセキュリティの両立に向けて】
 機能安全は厳密なリスク評価が求められるが、セキュリティの脅威は網羅的
に捉えることが難しく、完全にリスクをゼロにすることは不可能であり評価が
困難となる。リスクを如何に減少させ、且つ残存リスクを把握するか、攻撃さ
れた後の被害を最小限に抑え、復旧させるかといった対策も考えていく必要が
でてくる。

 自動車の機能は従来セーフティに注力してきており、即時性や、使いたいと
きに利用できる可用性の確保が求められてきた。セキュリティは、更に機密性
や完全性といった要素も重要となり、機能や取り扱う情報にあわせリスク対応
を行っていくことが必要となる。

 安全とセキュリティをどうプロセス統合するか、という課題解決に向け、設
計の最初の段階から情報セキュリティの概念を組み込む「セキュリティバイデ
ザイン」の考え方が自動車の設計にも取り入れられてきており、セキュリティ
要求分析技術の開発が行われている。企画・設計の段階からシステムが安全に
運用されるためのセキュリティ要件を定義し実装することで、システムの脆弱
性を可能な限り排除し、将来のリスク低減が可能になる。

【さいごに】
 自動車を本当に守る為には、どこにも繋がず外部から隔絶したクローズドな
設計にすれば良い。しかしながらそれでは技術革新が進み様々な選択肢が見え
てくる中で、可能性の扉を閉じてしまう結果になり、ユーザーの期待に応えら
れないものになってしまう。サービスの進化の裏には、普段目に触れることの
ない努力による技術開発があることに感謝しながら、より一層魅力的な乗り物
として進化していくであろう未来の車に期待したい。

<成田 朗子>