ニュース

自動車のサイバーセキュリティについて名古屋大学 高田広章氏が講演「日立セキュリティフォーラム2020 ONLINE」レポート

2020年7月8日~15日18時 開催

 日立製作所は、2020年7月8日~15日18時の期間、オンラインイベント「日立セキュリティフォーラム2020 ONLINE」を開催している。

 これまでは、来場型のリアルイベントで開催してきたが、新型コロナウイルス感染拡大の影響により、2020年は初めてオンラインで開催。「デジタルイノベーションに向けて進化するセキュリティ」をテーマに、「Afterコロナ/Withコロナを見据えたセキュリティ」「次世代社会インフラを実現するセキュリティ」「高度なセキュリティマネジメント・インシデント対応」の3つのカテゴリーに分けて各種セミナーを用意した。

 さらに、バーチャル展示のほか、来場者と質疑応答を行ないながら、セキュリティ問題を解決するライブ配信なども用意している。参加は無料。

スマートモビリティ社会に向けた自動車のサイバーセキュリティ

名古屋大学 未来社会創造機構 モビリティ社会研究所の高田広章教授

 そのなかで、自動車業界向けセミナーとして用意されたのが、名古屋大学 未来社会創造機構 モビリティ社会研究所の高田広章教授による「スマートモビリティ社会に向けた自動車のサイバーセキュリティ」である。

 CASEに代表されるモビリティの変革のなかで、車載の組み込みシステムの変化を紹介。さらに、自動車業界におけるサイバーセキュリティの重要性について言及。現状と課題、今後の展望について解説した。

 高田教授は、ITRON仕様のオープンソースOS開発を目指すTOPPERSプロジェクトの取り組みでも知られ、その成果はJAXAが打ち上げているほぼすべてのロケットの誘導制御装置に採用されたり、スズキの「エスクード」、日産の「スカイライン ハイブリッド」などにも採用されている。さらに、ダイナミツクマップ2.0コンソーシアムにも参画。高精度3次元地図上に、車両や歩行者、信号などの動的情報を重畳させることができるもので、今後の自動運転の実用化における重要な技術の1つに位置付けられている。

 セミナーの冒頭で高田教授は、CASEの動向について解説。100年に一度の変革を迎える自動車業界において、CASEが車載組み込みシステムに及ぼす影響について触れた。

CASEが車載組み込みシステムに及ぼす影響
CASEによる車載組み込みシステム技術の変化

 Connectedでは、ネットワーク接続によって車載組み込みシステムと車外のシステム連携が拡大すること、Autonomousでは、自動化や知能化に向けて、AIや新たなプロセッサ技術などを取り込むことで車載システムが大きく変化するとともに、大幅に複雑化すること、さらに、Shared/Serviceでは、クラウドと組み込みシステムの分担がどうなるのかが課題になること、Electricでは、HVの車載組み込みシステムが複雑化することを指摘。高田教授は、「CASEが本格化することで、車載組み込みシステムの技術は大きく変化することになる」と前置きしながら、「現在でもソフトウェアの更新作業はあるが、あくまでも不具合があった場合の対応であり、しかも、修理が可能な販売店などにクルマを持ち込んで、有線ネットワーク環境でソフトウェアを更新することになる。しかし、今後は、OTA(Software Update Over-The-Air)によるソフトウェアの機動的な更新が必要になる」とした。

車載システムのアーキテクチャの変化

 また、「クルマはソフトウェアが中心になる。すでに1台のクルマに1億行のソースコードが搭載されているといわれるが、これがさらに複雑になる。また、クルマがスマホ化するといわれるように、購入時点では最低限のサービスしか提供されていないが、スマホのようにアプリを追加することで、クルマを購入したあとに機能を向上させるといった使い方も広がる。セキュリティ問題がより重要視され、問題が発生したときにはOTAが必要になる。それによって、車載システムのアーキテクチャーが大きく変わる可能性があり、同時に、サイバーセキュリティへの対応が必須になる」などと述べた。

 車載システムのアーキテクチャーの変化としては、自律分散型から中央集権型システムへの変化をあげる。

自律分散型から中央集権型システムへ

 現在のクルマの仕組みでは、エンジンやブレーキ、ステアリングがそれぞれに分散して制御されており、人が操作することが前提となっているが、自動運転ではこれらの操作をコンピュータに置き換えるため、クルマ全体を統括する頭脳が必要になる。そのためクルマの制御を行なう高性能なコンピュータが搭載され、クルマ全体を操ることになる。

 「従来のECUよりも、1~2桁高性能なコンピュータをクルマに搭載することになる。ボッシュが示したロードマップでは、これが、ビークルコンピュータやセントラルECU、ゾーンECUといった形で表現されている。必要な処理や連携、協調が1か所で行なわれるため、障害の原因追及も容易になり、ソフトウェアの更新もビークルコンピュータだけを対象に行なうといったことが可能になる。また、一部の機能はクラウドで処理されることにもなるだろう。車両全体が制御されるようになると、次はクルマの移動全体を対象にしたMaaSの制御へと広がる。道路交通システムによる道路の最適制御へと広がり、都市(スマートシティ)や社会(スマートソサエティ)にも広がることになる」と述べた。

10年間対策ができていなかった自動車のサイバーセキュリティ

 続いて高田教授は、今回のセミナーの主題である自動車のサイバーセキュリティについて触れた。高田教授は、「サイバーセキュリティの問題は、いまから10年前に指摘されてきたが、10年間対策ができていなかったのが現状」と語る。

 多くの自動車メーカーが採用してきた車載ネットワークプロトコル「CAN(Controller Area Network)」を通じた攻撃への脆弱性は2010年に発見されており、昨今、リレーアタックと呼ばれるスマートキーシステムの脆弱性も2010年に指摘されている。

 また、2015年には、クライスラーが、クルマを遠隔操作される問題があるとして、140万台のリコールを発表。「自動車メーカーが、初めてソフトウェアの脆弱性をもとにしたリコールであり、サイバーセキュリティが深刻な問題として認識された大きな転換点となった。その点ではエポックメイキングな出来事である」と述べた。

 そして、2016年には、中国テンセントのホワイトハッカーチームである「Keen Security Labs」が、テスラ「Moodel3」に対して、ネットワーク経由で進入し、クルマの制御を乗っ取れることを公表。2020年には、同じく「Keen Security Labs」が、レクサス「NX」のハッキングに成功したことを公表している。なお、テスラは、すぐにOTAによって、脆弱性を修正したことを発表している。

 このようにサイバーセキュリティ問題は、すでに現実のものとなっており、その影響は、自動化や電動化とともに、ますます大きくなっていくことになる。

 高田教授は、IT業界から見たサイバーセキュリティと、自動車業界から見たサイバーセキュリティには、大きな違いがあると語る。その違いを、「守るべき資産」「セキュリティ・バイ・デザインの必要性」「制約された計算リソースの実現」「対応の難しさ」という4点から語る。

車載システムで守るべき資産

「守るべき資産」という点では、IT業界では情報セキュリティという範囲から守ることになるが、自動車業界では、その範囲だけでは十分ではないとする。もちろん、個人情報の漏洩や改ざん、サイバー攻撃の踏み台になることを防ぐといった情報セキュリティの観点からの防衛も大切だ。それに加えて、自動車産業では、範囲を広げて資産を守る必要があるという。

 とくに高田教授が指摘するのは、安全に関わる資産だ。「自動車の場合には、サイバー攻撃によって、人命や健康に対するリスクが生まれる可能性がある。安全に関わる資産を守る必要がある」と述べる。機能安全については、ISO26262で定められているが、「ここではサイバーセキュリティに関する内容は含まれていないが、これを機安全面でのセキュリティ対策の基本にすることを考えた方がいい」と提言する。

 しかも、自動車業界が守る資産はそれだけではない。クルマそのものの盗難、あるいは車内に置いた物品、電気などのエネルギーといったモノの盗難からも守る必要がある。「電子キーや振動検知技術、GPSを使った位置検知など、盗難を防ぐ機能が情報技術で実現されていれば、サイバーセキュリティの範囲として見る必要がある」とする。また、「サイバー攻撃によってクルマの機能が停止し、あちこちで止まったままになり、道路交通が麻痺してしまうといった事態を避ける必要もある。これも自動車産業が、サイバー攻撃から守る範囲になる」とする。

 2つめの「セキュリティ・バイ・デザインの必要性」においては、設計時点でセキュリティを作り込むことの重要性を示してみせる。「先にも触れたように、人命に関わるサイバー攻撃が想定されるため、後追いでの対策が許されない。あらかじめ強固なセキュリティを構築する必要がある」とし、「そのためには、セキュリティ要件分析が重要な意味を持つことになる」と提案する。

セキュリティ要件分析

 セキュリティ要件分析とは、セキュリティを確保するために取るべき手段(セキュリティ機能)を抽出するための分析作業であり、サイバー攻撃の可能性の洗い出しと、危険性の評価などを行なうものになる。

「セキュリティ要件分析を行なわずに対策を行なうと、過剰に対策することにもつながる。また、セキュリティ強化には裏口を防ぐことが大切であり、そのためにはシステム全体の分析が必要になる。守るべき資産を特定し、脅威を分析し、リスク評価を行ない、セキュリティ機能の策定と要件定義を行なう必要がある」とする。

安全性とセキュリティの両立の困難性

 だが、ここでも、自動車業界ならではの課題も指摘する。「クルマに求められる機能安全規格は、厳密なリスク評価を要求するギャランティ文化によって定められているが、セキュリティリスクを厳密に評価するのは難しく、どうしてもベストエフォート文化にならざるを得ない。常に新たな手口が誕生しており、脅威は変化する。どのようなサイバー攻撃があるのかを網羅的に数え上げることができない。ギャランティ文化とベストフォート文化が衝突することになる」と語る。

限られたリソース下でのセキュリティ対策技術の例

 セキュリティリスクの評価には、IT業界の文化を取り入れる必要がある。

 3つめにあげた「制約された計算リソースの実現」では、セキュリティを確保するための技術を、クルマのなかに組み込まれる小規模なマイコンで実現する必要性について指摘する。IT業界の情報セキュリティでは、余力を持ったCPUで制御することが可能だが、クルマのなかの限られた空間では、その環境を移植するのは困難だ。

 たとえば、自動車業界では、CANによるメッセージが正しいものであることを認証するためにMAC(メッセージ認証コード)が使われようとしているが、MACのバイト数が長すぎて全体を送ることができないという課題が生まれている。それを解決するために、AUTOSARセキュアオンボード通信を利用し、MACとフレッシュネス値の一部分だけを転送するといった手法が提案されている。保護の強度は弱まるが、車載アプリケシーョンでは許容されるものもあり、一部での利用が可能だ。また、CANの集中型セキュリティ監視システムにより、信頼できる検査機が、MACを検査し、不正と判断したメッセージを打ち落とすといった仕組みも開発されているという。車内の限られた計算リソースでセキュリティを実現するには、こうした技術的な工夫も必要だという。

 そして最後の「対応の難しさ」では、ソフトウェアのアップデートが容易ではないことなどをあげる。

 現在は、販売店や修理工場まで移動させてアップデートを行なうという仕組みだが、今後は、サイバー攻撃によって、クルマが移動できない状況も生まれそうだ。その結果、アップデートにコストがかかるということが発生しやすい。ここでは、OTAをいかに活用するかが鍵になる。

 また、クルマの寿命が長く、それに伴い長期化するシステム寿命にどう対応するのかも自動車業界ならではの課題だ。

「これまでに、10年間安全だった暗号化技術はない。たとえば、暗号キーの長さを変えるためにハードウェアを置き換えたいと思っても、10年前の部品の置き換えるために新たな部品を作るのは大変であり、コストもかかる。PCやスマホのように10年以内には確実に置き換えるという仕組みは自動車業界には当てはまらない」とする。このあたりもどう解決していくのかも、自動車業界に投げかけられた重要な要素だ。

自動車業界におけるサイバーセキュリティの課題と動向

 最後に触れたのが、自動車業界におけるサイバーセキュリティの課題と動向だ。

ISO/SAE 21434 Cyber Security Engineering

 現在、自動車のサイバーセキュリティに関する国際標準規格として、「ISO/SAE 21434 Cyber Security Engineering」の策定が進められており、2020年2月には、DIS(Draft International Standard)が発行された。

 高田教授によると、「これまでの策定への動きは遅れぎみだったが、順調にいけば、2020年後半から2021年前半にかけて国際標準として正式に発行されることになる」とみる。また、「このなかで、どこまでセキュリティ対策をやればいいのかということがある程度は示されている。クリティカルシステムからそうでないものまでを対象に、CAL(Cyber Assurance Level)ごとに、使用すべき技術が示されている」という。

 また、国連のWP29(自動車基準調和世界フォーラム)においては、サイバーセキュリティとOTAに関する法規案が完成したこと、日本では、2020年4月に、自動運行装置(自動運転車)の保安基準が発効され、このなかに不正アクセス防止などのために、サイバーセキュリティ確保の方策を講じることが盛り込まれ、さらに、サイバーセキュリティ業務管理システムの適合証明に関する制度も4月にスタートしたことも紹介した。

「標準よりも法規が先行する形になっている。一方、日本では、保安基準が発効されたことで、自動運行装置に対しては、サイバーセキュリティを行なわないと、法律的に認証を受けられないようになる。また、サイバーセキュリティ業務管理システムによって、クルマが完成した段階での対策だけでは不十分であり、サイバーセキュリティを継続的に見張ることが大切であることも示されている」とした。

 一方で、自動車業界におけるセキュリティ強化に向けた課題をいくつか指摘した。

 1つめは「セキュリティ対策の基準がない」という点だ。「セキュリティ対策をするのはいいが、それによってコストが上昇し、ユーザーの負担が増え、市場に受け入れられないことも想定される。どこまでがやりすぎなのかといった判断が難しい」とする。そこで現時点では、ISO/SAE 21434をベースに考えることが最適だとし、「これにより、相場観がまとまることを期待している」と語る。

 2つめには、セキュリティ要件分析技術が確立されていないという点だ。これが確立することで、セキュリティ・バイ・デザインが加速する体制が業界全体で整うことになる。

 3つめは組み込みシステムに向いたセキュリティ技術の確立である。情報セキュリティのために開発された要素技術の多くは組み込みシステムにも活用できるが、車内で利用するには、リソースが大きく、実現するためのコストが高くなることが懸念される。

 そして、4つめには、ソフトウェアの複雑化によるリスクの増大だ。「これまでの車載制御システムは、メーカーごとに開発を行ない、安全性を確保してきた。だが、ECUのソフトウェアを1社で開発することは難しくなるだろう。一方、高い安全性が求められるクリティカルな領域で、オープンソースで使っている例はまだ少ないが、今後は、こうした領域にもオープンソースが利用されることも増えてくるだろう。その結果、サプライチェーンリスクへの対策が課題となる。どんなソフトが組み込まれて、どんな脆弱性があるのかを考える必要がある」とする。

 高田教授は、さらに取り組むべき技術課題として、形式手法や人工知能の利用を視野に入れた「セキュリティ要求分析手法の確立と技術支援」、セキュリティ確保に重要な部分と、安全性確保に重要な部分を分離したアーキテクチャーを採用する「システムのアーキテクチャーからの考慮」、限られたリソースのもとで動作するセキュリティ技術の研究を促進する「組み込みシステムに向いたセキュリティ強化技術の開発」、他社で開発さたれシステムを信頼するための仕組みを、業界を超えて構築する「連携セキュリティ基盤(信用フレームワーク)の構築」をあげる。

 そのほかにも、セキュリティ対策への相場観の醸成、変化する脅威に対する仕組みの導入、情報セキュリティ技術と車載組み込みシステム技術の両方に精通した技術者の育成、ユーザーに対するセキュリティへの啓蒙活動の徹底などを課題にあげた。

 自動車業界におけるサイバーセキュリティへの取り組みは、これからが本番である。そして、自動車業界の進化のためには、避けては通れない道でもある。新たな技術の開発や新たな仕組みや規則の整備も必要である。これらを定着されるには、世界規模で、企業や産業の枠を超えた連携がより重要になりそうだ。