ネットにつながるクルマの危険性 通信ソフトウェア会社が指摘




 「もはやクルマはただ走るだけでなく、情報を送受信できる“走る携帯電話”といっても過言ではない。そうしたコネクテッドカー(ネットにつながるクルマ)、自動運転車の時代を迎えるに当たり、車載ソフトウェアへの依存度が高まっている」

photo
東京モーターショー2017では、トヨタ自動車「CROWN Concept」をはじめ通信機器を搭載するコネクテッドカーが多数出展されるなど注目を集めた

 通信ソフトウェアを開発するユビキタス(東京都新宿区)の佐野勝大社長はそう話す。佐野氏によれば、直近10年間のクルマ向けソフトウェアのソースコードは1000行程度だったが、2020年の高度運転支援技術を搭載するクルマでは1億行、レベル5の完全自動運転車だとその倍が必要になるという。

photo東京モーターショーシンポジウム2017に登壇したユビキタスの佐野勝大社長

 クルマの機能が高度化しソフトウェアへの依存度が高まる中、業界が危機感を抱くのがセキュリティだ。経済産業省、総務省などが定める「IoTセキュリティガイドライン」によれば、「自動車分野ではIoT機器の制御にまで攻撃の影響が及んだ場合、生命が危険にさらされる場合さえも想定される」という。

 佐野氏は「正常にソフトウェアが動作するのは当たり前だが、設計図通りソフトウェアが実装されていても、攻撃者は隙を突いて異常を起こさせる」と指摘する。

クルマへのハッキングは高度化

 クルマのセキュリティの課題は何か。佐野氏は「これまでのクルマは、自動車業界特有のプロトコルを使い、ローカルネットワークで接続する“クローズド”なものだったため、攻撃者が労力をかけて突破するモチベーションがなかった」と話す。しかしクルマが“走る携帯電話”と化し、情報通信業界で使われる汎用プロトコルが用いられたり、ソフトウェア自体もオープンソースのものが使われたりするようになると、攻撃に遭うリスクは高まる。

photo
コネクテッドカーで想定されるサイバー攻撃

 「攻撃者は『そこに山があるから』登る人たち」と佐野氏。必ずしも経済的メリットがあるために攻撃するのではなく、難しい(攻撃しにくい)課題に挑むことがモチベーションになる人もいるという。「新しいサービスが生まれる出鼻を折りたい人もいる」

 クルマへのハッキングは高度化している。佐野氏によれば、当初は自動車のアクチュエータなどの異常を検知する「自己診断機能」(OBD2)を狙う“車内からのハッキング”が始まりというが、近年は車内ローカルネットワークやWi-Fiを介した攻撃も増え、今後は遠隔操作で走行中のクルマに攻撃を仕掛ける手口も考えられるという。

 そうした中、米国では情報セキュリティのリスクやインシデントを共有、分析する団体「Auto ISAC」(Automotive Information Sharing and Analysis Center)が立ち上がり、米運輸省のガイドラインを満たさなければコネクテッドカーを出荷できないなど対策が進みつつある。日本でも“日本版Auto ISAC”というべき団体設立の機運が高まっているという。

「セーフティーとセキュリティの共存は難しい」

 しかしクルマのセキュリティは一筋縄ではないかない。佐野氏は「セーフティーとセキュリティを、クルマを制御するレイヤーで共存させるのは難しい」と指摘する。例えば安全運転(セーフティー)のためには、リアルタイムで情報をやりとりできるハードウェアを作る必要がある一方、セキュリティの視点では、疑わしいアクセスが一定時間以上あれば遮断する“制限”機能が求められる。

 「クルマの開発の歴史を見ると、コネクテッドシステムなどを開発する情報系エンジニアと、セキュリティを担当する制御系エンジニアというように、エンジニアの“生い立ち”が分かれている。情報系のシステムが攻撃を受け、制御系に影響が及ぶケースもある。一気通貫で考えないと難しい」

 また、メーカーがクルマを出荷した後も「セキュリティに終わりはない」と佐野氏。ソフトウェアのアップデートも管理し、正しく動作しているか、廃車されるまで責任を追跡する(トレーサビリティー)必要があるという。クルマの所有者が途中で変わったり、カーシェアで使われたりすると、プライバシー情報を破棄、書き換えられるシステム設計にしなければならないと説明する。

業界横断で取り組む必要性

 「自動車を含むIoT機器では『どこに信頼のよりどころ(ルート・オブ・トラスト)を作るか』が議論になっている」と佐野氏は話す。クルマはネットに未接続でも動作するため、オフライン状態の間に乗っ取られ、その後ネットにつなぐと他のクルマにも被害が拡大するという可能性もある。

 佐野氏は「サーバ側ではなくIoT機器側(クルマ)に信頼のよりどころを置くべき」と主張。クルマ1台1台に固有の秘密鍵のようなものを持たせることで、電子証明書と組み合わせ、クルマが乗っ取られていないかを認証する仕組みになるのではないか――と考えているという。さらにこうしたシステム作りを、自動車メーカーだけでなく部品メーカー、修理工場、ディーラー、サービス事業者などと業界横断で取り組む必要があるという。

 ソフトウェアの開発に限れば、佐野氏は「V字開発プロセス」という手法を、クルマの機能や安全性だけでなく、セキュリティ対策が十分かをチェックするために使うことを提案する。V字開発プロセスは、設計時に要求された各機能が開発後に実際に満たされているかを、項目別に突き合わせて確認してから出荷する――というものだ。

photo
コネクテッドカーの車載ソフトウェア開発では、機能や安全性だけでなくセキュリティでもV字開発プロセスが重要に

 ソフトウェアとは別に、脆弱性が少ないアプリケーションを採用しているか、ネットワーク上のセキュリティ対策は万全かなども確かめなければならない。ただ、こうしたレイヤーごとの要件を、1社だけで全て対応できるセキュリティ関連企業が少ないのが現状だ。佐野氏は「複数企業の知識、プロフェッショナルの力を借りて一気通貫の仕組みを作るとすれば、自動車メーカーや業界、国など“誰か”がセキュリティポリシーを決める必要がある」とも話した。




Copyright© 2018 ITmedia, Inc. All Rights Reserved.

Related Post