コネクテッドカーに求められるセキュリティについて

　2025年にはほぼ全ての新車販売が組込み型接続を備えたコネクテッドカーになるといった予測も様々な所から発表されており、今後、全世界で外部と通信を行う自動車の劇的な市場拡大が見込まれている。車内の閉じられた世界の中で技術が確立されていた車内ネットワークが、インターネットに繋がり、外部からの情報送信や作動指示が可能となる事でセキュリティの脅威に晒されるようになり、車内ネットワークと通信の両方に於いてセキュリティの確立が急務となっている。

2017/10/25

住商アビーム自動車総合研究所
シニアマネージャー　成田朗子

自動車における脅威は以下のようなものが想定される。
・なりすましによる自動車システム機能の不正利用、不正設定
・偽／不正メッセージ送信による自動車システムへの不正な動作指示、表示
・個人情報に係るもの。情報漏えい、盗聴等
・利用者が外部から持ち込んだ機器等からのウィルス感染

自動車において、保護すべき情報等の資産としては以下が想定され、それらには必要な時に正しく利用できる可用性、情報漏えいを防ぐ機密性、情報破壊や改ざんを防ぐ完全性が求められる。
・制御機能の動作。制御機能の実行環境や動作のための通信等
・自動車の制御・拡張機能に係るソフトウェア
・各種データ。自動車固有情報、状態情報、ユーザ情報等

　住商アビーム自動車総合研究所では、上記から想定し得る、最も脅威に感じるリスクとは何かをメールマガジンにご登録いただいている多数の読者の方々にご回答いただいた。結果は以下の通り。

　ハッキングによる乗っ取りを一番脅威に感じられている方が多いとの結果になった。ハッキングに関しては度々ニュースでも取り上げられているが、実際に多くの方が懸念していることが伺える結果だといえる。

自動車システムへのハッキングからの防御

　セキュリティ対策で重要といわれている多層防御の観点から、車内ネットワークのセキュリティも 4 層に分けたアーキテクチャが考えられている。外部から一番近い側から一層目が、TCU （テレマティクス制御ユニット）、OBD ポート、充電用 PLC ユニット、Wi-Fi/Bluetooth、V2X 等との外部接続部分で、暗号化、デジタル署名、認証やフィルタリングによるアクセス制御等による予防策が考えられている。二層目が車載ゲートウェイで、安全に通信接続できる対象のリスト化（ホワイトリスト）、メッセージ頻度等を利用したフィルタリングによるアクセス制御、鍵管理、ECU 認証等が予防策として挙げられる。三層目が車載 LAN で、メッセージ認証や暗号化等が予防策として挙げられる。四層目がECU で、対策としてデジタル署名をチェックするセキュアブート等のセキュリティメカニズムの構築が挙げられる。

住商アビーム自動車総合研究所シニアマネージャーの成田朗子氏

　CAN 通信は、やり取りされるメッセージに送信元や宛先ノードの情報が含まれず、同一パス内のすべてのノードに同報されるため、盗聴・解析が容易であり、また、メッセージ認証や送信元認証機能がない為、なり済ましが可能である。2015年に開催されたセキュリティカンファレンス (Black Hat USA) で、遠隔操作によるハッキングが報告され、車外の離れた場所から車のコントロールを奪う初めての事例として話題となったが、これは、インターネット経由、従来の IT 機器と同様の脆弱性をつき、自動車特有の課題（CAN 上へ不正コマンドを送り込む事で操作可能となる）を悪用し遠隔操作を行ったものである。こうした課題解決の為、ECU にも秘密鍵・公開鍵の暗号方式に基づいたセキュリティ機能をもたせるハードウェアセキュリティモジュールを内蔵させる等の対策が考えられている。また、現状の構造からそれほど乖離しない安価な方法として、セキュリティECU にデータの送信に対する監視機能を設け、不正な送信を検知した場合に、送信完了前に撃ち落とす事で攻撃を排除するといった技術も提案されている。更には、攻撃ログを収集し、AI を利用する事で、未知の攻撃や攻撃の予兆に対応出来ないかといった検討もされている。

　自動車は、保有年数が長い中、ライフサイクルにわたって車の機能・品質向上を図っていく、かつ、日々巧妙化している脅威へのセキュリティ対策を行う必要がある事から、自動車各社は車載ソフトウェアを無線通信で更新できるOver-the-Air （OTA) を導入、または導入を検討している。2016年 9月には米国テスラのモデルＳが車載コンピューターのウェブブラウザを経由し遠隔で車を乗っ取れることを中国の研究者が公表し、テスラが OTA 経由で修正を行った事例が既にある。OTA にはソフトウェアの書き換えのデータやプロセスに対する攻撃からの改ざんを防ぐ事が重要となる。国連の自動車基準調和世界フォーラム（WP29）においても今後無線通信を利用したソフトウェアアップデートに関し、更なる検討を行っていく為のタスクフォースを立ち上げる予定である。

　自動車内部だけでなく、外部との通信に関してのセキュリティも重要だ。欧州では、2011年～ 2014年まで「PRESERVE」と呼ばれる V2X 通信のセキュリティの開発実装を目的とした研究プロジェクトで検討が進められた。その後、欧州では電気通信の全般に係る標準化組織である欧州電気通信標準化機構（ETSI）が、米国では IEEE で標準化の検討が進んでいる。セキュリティの確保と、プライバシー保護の観点から、証明書を利用し合法のデバイスから送られたメッセージであること、送信者と受信者の間でメッセージが改ざんされていないことを確実にする必要がある。

交通混乱を防ぐ為のインフラ側のセキュリティ

　信号や路側機器等のインフラ側についてもセキュリティの配慮が必要となる。

　メールマガジン読者の回答では、12 ％とハッキングに比べると少ない結果であったが、影響力を考えると一番重要であるといった旨のコメントも多く頂いた。インフラへのサイバーテロは甚大な影響を与える可能性があることから、国としてもサイバーセキュリティに関する検討を実施している。戦略イノベーション創造プログラム（SIP）で「重要インフラにおけるサイバーセキュリティの確保」が課題の一つに取り上げられている。内閣サイバーセキュリティセンターでは、重要インフラグループの取組みとして昨一昨年5月に「重要インフラの情報セキュリティ対策に係る第３次行動計画」の改訂版を出しているが、対象となる重要インフラ分野に、道路交通分野はまだ入っていない。今時点のインフラ整備において不要との判断であると思うが、情報範囲等に関しては不断に見直しを行っていくといった記載もある事から、将来、信号や路側機器等と自動車との通信内容が高度化された際には、迅速な対応を期待したい。

個人情報、車両情報の盗難・流出

　自動車からは運転者の情報として、走行距離や速度、エンジンの最大回転数といったものから、カーナビに入れた情報、スマホと同期した連絡先等の個人情報まで収集対象となっている。今後、音楽・交通情報等、個人向けにカスタマイズされたサービス提供も行われるとみられており、プライバシーに係る情報も増加してくると考えられる。遠隔診断もコネクテッド・カーに期待されるサービスだが、攻撃者が悪用し機密情報にアクセスしないような仕組み作り、例えば、認証された人のみが車載ソフトウェアにアクセス、業務遂行できるといったことが必要となる。また、セキュリティによる情報漏えい対策と共に、個人情報の収集や処理の限定や、情報主体者の同意取得等も考えていくべき課題であろう。

自己保有車の盗難

　国内の自動車の盗難について、件数は減少傾向にあるものの、13,421 件 (2015年) と依然多発しており、現時点では誰にでも起きうる一番身近な問題といえる。今回の回答でも、現時点では一番脅威に感じているといったコメントを頂いた。盗難の傾向としては、犯罪グループの組織的犯行、鍵なし (鍵が無い状態で盗難された) といった事があげられる。

　盗難防止に有効とされているイモビライザーも、OBD アダプターに差し込むだけで無効化する事が可能となるイモビカッター、その後盗難対策として導入されたスマートキーへは、スマートキーのコンピューター制御を書き換える「キープログラマー」、発生する電波を利用した信号増幅器による「電波ジャック」等、盗難の手口も巧妙になっている。スマートフォン等の端末機器を利用した仮想キーも、今後カーシェアリング等関連サービスとの連携で増加が見込まれるとみられており、テスラは既に販売モデルに搭載し、ボルボ・カーは2018年に発売する量産車で実現すると発表している。これらはブルートゥースを利用しているが、スタック (ドライバー) の脆弱性等も指摘されている等、不安を払拭する一層の防犯効果を期待したい。

標準化・基準化に向けた動き

　欧米では、セキュリティに関し、プロセス／情報共有等の活動が活発化している。アメリカでは自動車技術の標準化を進める非営利団体 SAE Internationalから昨年 1月に自動車サイバーセキュリティのガイドブックがリリース、同10月には米国運輸省道路交通安全局（NHTSA）からベストプラクティス (ガイダンス) が発表されている。国連では、自動車基準調和世界フォーラム（WP29）傘下の自動運転分科会において、自動運転へのサイバー攻撃に対する防御対策指針が合意済である。その他、自動車メーカーが参加するサイバーセキュリティ攻撃事例の情報を共有する組織（AUTO-ISAC）設立や、ISO での規格化、ISOと SAE の間でのサイバーセキュリティ分野における共同での標準化活動等、セキュリティへの取組みが加速している。日本においてもセキュリティを基本的に協調領域として、自動車業界として車載セキュリティに取り組んでいる。日本自動車工業会 (JAMA) で業界方針作り、日本自動車技術会 (JSAE) で標準・規格作り、JasPar(車載ソフトウェア標準化団体) で実装する為の標準技術策定といった、各団体との協力体制により、標準化推進計画を共有、海外連携等も行っている。また、日本版 AUTO-ISAC の設立に関しても検討を行っている。

機能安全との関係

　機能安全の観点からの設計がセキュリティ対策にもなっているものもある。プリウスの電動パワステの ECU はステアリング条件が厳しく決められており、人為的に発生する事が想定される範囲内での操作に関しては異常行動に対し制限がかかるようになっている。ただし、不正な指示を受けた場合や、人間が運転する上で通常有り得ない場面が発生した等は想定外となる。従来自動車が主眼においていた安全技術は、自然に発生する偶発でシステマティックな故障への対応であったが、セキュリティは悪意のある故意の攻撃からの防衛が必要となる。機能安全は厳密なリスク評価が要求されるが、セキュリティは攻撃の可能性の網羅性を掴みにくく、リスクは厳密に評価する事が難しい。また、被害を受けた場合も、被害を最小化するための早期検知と即時対応できる技術が必要であり、不正が成立した場合も非常停止等も含め、検討していく必要がある。

最後に

　機能安全に関し、日本は ISO26262 等の標準化といった面から遅れをとったものの、世界の流れに追い付いてきており、更には技術発展に伴う改定に対し主導していこうといった動きもあると聞く。日本のモノづくりの経験から培ってきた安全性・信頼性がしっかりと製品に根付いていることの証明であり、日本の優位性だと言えるのではないか。今後は、安全性・信頼性の開発プロセスに、更にセキュリティも検討していかなければならなくなる。また、セキュリティ、特にサイバーセキュリティに関しては、異業種の知識を取り入れていくことになる。技術課題も多く出てくるであろうが、今まで培ってきた安全性・信頼性に対する技術力とセキュリティをうまく合わせ、安全安心な自動車を作り続けていくことで、将来においても日本の自動車産業のプレゼンスを示していけるのではなかろうか。

----------------------------------
成田　朗子（なりたあきこ）氏

住友商事入社後、鉄道ビジネスにおいて輸出・三国間取引、他プロジェクト案件に従事。その後、自動車事業本部での自動車製造関係業務担当を経て、2014年12月より住商アビーム自動車総合研究所ストラテジスト。2017年4月より同シニアマネージャー。日系自動車メーカー向け自動車軽量化市場調査支援や、自動運転・コネクティッド・IoT等次世代自動車に関する研究など様々なプロジェクトに携わる。ITS Japan自動運転研究会WGメンバー。