自動車をサイバーアタックから守るには?次世代のセキュリティ問題
自家用車の車載カメラやセンターが周囲の状況に関するデータを取り込み、ネットワークを介してデータを送ってリアルタイムでデータの分析を行い、分析結果に基づいて適切なアクションの指令を通じて実際の自動車の動きと連動させる。自動運転とはまさにこのようなプロセスの連動であり、かつては途方もない夢に思えましたが今ではその技術の実現は極めて現実味を帯びてきています。
一方、自動車工学やサイバーセキュリティ関連の研究が進むにつれ、これまで見過ごされていたサイバー攻撃に対する自動車システムの脆弱性が明らかになってきています。近年では、2020年の初め、LexusのBluetoothシステムに脆弱性があり、ハッカーが車のシステムの一部を上書きできる可能性があることがTencent Keen Security Labによって指摘されました。
この記事では、2020年12月に開催したウェビナーでの議論に基づいて、他国と比較した日本の自動車セキュリティの現状と課題をご紹介します。ウェビナーでは自動車セキュリティ研究の世界的パイオニアであるAutomotive Security Research Group (ASRG)から、以下の2名の方に専門家としてご参加いただきました。
- John Heldreth - プロダクトセキュリティリーダー, Porsche Engineering
Automotive Security Research Groupの創設者
- Kamel Ghali – 自動車サイバーセキュリティアーキテクト, White Motion
Automotive Security Research Groupのメンバー
自動車セキュリティの黎明期
自動車は、かつては限られた内部ネットワークで機能しており、外部と通信する必要はありませんでした。しかし、進化した自動車は以下のような多様な外部通信手段を備えています。
- 携帯電話と連動したサウンドシステム(Bluetooth など)
- 自動車メーカーが提供する緊急支援システム
- GPSサービス
これらのネットワークを介した便利な機能は、程度の差こそあれシステムを脅かすサイバーセキュリティ上のリスクを抱えています。一方で、1台の車には様々なシステムが搭載されており、開発元も異なる場合が大半です。そのため、自動車の開発に使用されるすべてのシステムが要求事項を満たし、安全にテストされていることをどのように確認するのかが大きな課題となっています。Heldreth氏とGhali氏は、自動車メーカーが自動車システムの安全性を確保する上での大きな課題として、以下の2点を挙げています。
1. サプライチェーンの管理
自動車の開発は非常に複雑なプロセスであり、多くのティア1からティア4のサプライヤーが関与し、さらに自動車メーカーが部品、ハードウェア、ソフトウェアをまとめます。このプロセスには非常に多くの組織が関与しているため、サプライチェーンの管理が大きな課題の一つです。例えば、すべてのソフトウェアに悪意のあるコードが含まれていないことをどのようにして確認するかは、現在進行中の課題です。
2. 柔軟性の欠如
Ghali氏は、従来の自動車業界とITやサイバーセキュリティのあり方には大きなギャップがあり、主に対応のスピードに問題があることを指摘します。サイバーセキュリティの分野では、インシデントへの迅速な対応が最優先事項として認識されていますが、自動車のセキュリティに関しては、あるシステムやパーツの脆弱性が証明されるまでに時間がかかり、その後、必要な対応が取られるまでにさらに時間がかかります。現在の自動車業界は柔軟性に欠けており、プロセスも非常に固定化されているため、今後起こり得るセキュリティ上の問題に対応するためには数多くの乗り越えなければならない障害があるのです。
一方で、すでにこれらの先を行く企業もあり、代表としてテスラ社が挙げられます。テスラは自動車用セキュリティソフトウェアの開発において業界をリードするする存在であると同時に、部品の製造も自社で行っており、従来の自動車業界のあり方とは異なりアプローチを取っています。Ghali氏は「テスラはそのクールで未来的な車で常に注目を集めていますが、セキュリティ戦略や車のデザインの面でも、学ぶべきことがたくさんあります」と話し、Heldreth氏は「テスラはその先進的なアプローチから、自動車メーカーではなく、IT企業として捉えるべきだ」と語ります。
現在の業界標準と規制
自動車セキュリティに関して、近年2つの重要なアップデートがなされました。
UNECE WP.29による新たな国際基準
UNECE WP.29とは、国連欧州経済委員会 (UN/ECE)の下にある自動車基準調和世界フォーラムのことを指し、自動車の安全・環境基準を国際的に調和し、市場に出る自動車の安全性を保証するためのものです。2020年6月にサイバーセキュリティとソフトウェアアップデートに関する新たな国際基準が設けられ、日本・欧州・韓国向けに車両を販売する自動車メーカーは2022年以降、この基準への準拠が求められます。具体的には、CSMS(サイバーセキュリティマネジメントシステム)の確立や、それに基づく型式認証の取得が求められます。対象は自動車メーカーとなりますが、自動車の安全性を保証する過程でサプライヤーも影響を受けます。
ISO/SAE 21434
ISO/SAE 21434とは、自動車車両のサイバーセキュリティに関する国際標準規格です。WP29比べ、より技術的な側面に焦点を当てて、車両のライフサイクル全体にわたる安全性を確保するための詳細な解決策と提案が行われています。具体的には以下の7つのステップが設けられています。
1.全体的なサイバーセキュリティの管理
2.各プロジェクトごとのサイバーセキュリティの管理
3.リスクアセスメント
4.コンセプトフェーズ
5.製品開発フェーズ
6.生産、運用/保守フェーズ
7.サプライチェーンにおけるサイバーセキュリティの管理
これらの規格は、国ごとに異なる方法で採用されています。例えば、日本政府はすでに自動車に関連する技術のルールを決めるシステムを構築しており、自動車セキュリティに関しても非常に進んでいる国の一つです。大きな理由の一つに、2020年に開催予定だった東京オリンピックが挙げられます。政府は自動運転車がオリンピックの円滑化に大きな役割を果たすことを期待していたからです。政府は、事故の原因となりうるものとしてハッキングを明示的に挙げ、すでにこの責任の枠組みを確立しています。
他の国に目を向けると、ドイツはWP.29を国内の法規制に取り込んで実施することに成功していますし、他のヨーロッパ諸国も安全な製品を送り出すために、さまざまな要件をすべて取り入れています。WP.29を締結していない国として中国が挙げられますが、高い技術力を活かした検証システムを独自に開発しています。
WP.29の実施により、検証の仕様や技術的な詳細について多くの情報を得られるようになることが長所として挙げられますが、市場のニーズに合わせて継続的に適応・維持する必要があり、自動車メーカーにとっては負担ともなり得ます。WP.29に署名していない米国とカナダも、WP.29が他の国でどのように展開されるかを見守っており、対応次第では今後の自動車セキュリティのあり方へ大きな影響を与えることも考えられます。
Progressive Recruitmentにご相談ください
Progressive Recruitmentはエネルギー&エンジニアリング領域に特化した採用と転職のエキスパートです。自動車産業におけるグローバルなネットワークを活かし、日本市場での豊富な経験を持つコンサルタントが皆様の採用における課題解決や転職を成功させるためのお手伝いをいたします。ご質問やご相談がございましたら、下記のフォームよりお気軽にお問い合わせください。
