住商アビーム 業界レポート
Date:2018年2月21日
Text:住商アビーム自動車総合研究所 成田朗子
【はじめに】
自動車技術は自動運転の開発等、より複雑さをましてきており、自動車の機能安全の捉え方についても、変化が求められてきている。自動車については、従来から、「安全 = セーフティ」が追求されてきた。一方、自動車が色々なものにつながる「コネクテッドカー」になる中、サイバーアタックから自動車、ひいては、交通システム全般を保護する必要性より、「保護 = セキュリティ」の観点も一際重要視されている。自動車の技術が進化する中で、これら二つを両立させ、より「安全・安心」なものにすべく検討が進められている。
【自動運転時代のセーフティ】
自動車の制御システムは、従来何らかの障害が起きた場合に安全な方向に動作させる「フェールセーフ」が基本であったが、自動運転になった場合は故障してもある程度動くものである必要がでてくる。安全に停止できるまでの最小限の制御機能を維持する「フェールトレランス」の考えに基づき、フェールオペレーショナルでなければならなくなる。
冗長設計も対応策の一つであるが、部品の重量増加が与える燃費悪化や電力の消費、コストアップ等、マイナスの影響も考える必要が出てくるであろう。
また、自動運転への AI 技術の活用も期待されているが、より高度で複雑なシステム構造に対する安全上の信頼度をどう担保するかといった検討も必要となってくる。
ISO 規格では、機能安全規格として ISO26262 があるが、自動運転に関してはシステムのエラー以外の安全性のリスクも想定し、性能限界時や誤操作、誤使用などもカバーする安全標準 SOTIF(Safety Of The Intended Functionality)についての検討が進められている。
自動運転は複数のシステムやドライバー、周辺システムとの相互作用、及び協働することで、より全体の安全性を確保することが期待されている。このような個々のシステムが複雑に繋がる「システムオブシステムズ」として、システム間の相互作用も考慮した上で、安全性要求の検証もまた複雑なものになる。更に人によって自動運転に対する信頼度は違っており、人の安心する度合いも定量的に考慮する必要も出てくるであろう。
ドイツでは、2016年 1月から自動運転の安全評価手法の標準化を目指す「PEGASUS」プロジェクトが実施されており、自動車メーカー、サプライヤー等が参加している。自動運転の安全性をどのように証明するか、自動運転技術に要求される性能・安全要件をどう確認するか、といったことに対する安全性評価手法の確立を目指している。ドイツでは、最初に国内標準を決めその後国際展開する手法を、車載ソフトウェアの標準規格「AUTOSAR」等においても実践してきている。
【自動車のセキュリティ】
自動車システムのライフサイクルのなかには、自動車メーカーや部品メーカーだけでなく、ディーラーや整備工場等、関与者が多数存在している。また、自動車は全システムが単一のネットワークを共有している。すなわち、ハッカーにとって脆弱性を見つける間口が広く、セキュリティリスクもそれだけ大きいものとなる。企画、設計、製造、運用、廃棄までのトータルライフサイクルでのセキュリティ設計が求められる。
セキュリティリスクは、外部からの悪意のある攻撃など想定外のことも多く発生し、変化していくことから、その変化に対応しシステムを更新する仕組み(Over the Air (OTA)) も求められる。脆弱性の修正対応等、いち早い対応が可能となることから、セキュリティ対策として有効であるが、ソフトウェアのセキュリティパッチをいつまであてることができるのか、型式認証時との差異をどのように把握、管理していくのか等、ライフサイクルの長い自動車ならではの対応策を考えていく必要がでてくる。
毎年アメリカで開催されているセキュリティカンファレンス「Black Hat」や「Def Con」でも自動車に特化した取組みが行われている。自動車の制御ユニット等をハッキングする技術を競いあうハッカソンもあり、日本からの参加も増えてきている。また、日本でも同様の取組みが実施されはじめており、ハッキングの立場から脆弱性を発見する方法の有効性を認める自動車メーカーも増えてきている。
自動車のコネクト化が進むにつれ、個人の情報が記録され、更に拡散、共有されていく可能性が高くなる。利用が増加しているカーシェアリング等のサービスも、前の利用者との切り離しが必要となる。自動車の利用者から収集されるパーソナルデータのプライバシーもセキュリティで守るべき対象となってくる。サービスの多様性、質の向上のためにはより多くのデータが必要になってくる。利用者自身がその利便性を分かったうえで、受けたいサービスを選択し個人情報の提供に同意する。かつ、利用者のプライバシー保護がしっかりとなされている、といったような仕組みづくりが求められる。
国や業界全体としてもサイバーセキュリティへの取組みが活発に行われている。国連の自動車基準調和世界フォーラム(WP29)の傘下の自動運転分科会(ITS/AD)の下にタスクフォースが設置され、自動車のセキュリティの脅威分析、国際的な技術要件について策定中である。リファレンス車両モデルを設定し、どのような脅威が起こり得るかを特定し、その脅威への対応策を検討しており文書化もされる予定となっている。車載ソフトウェアの標準規格「AUTOSAR」においても、車載ネットワークのオープン化したことで車載ネットワークを介したリスクも増加しており、サイバーセキュリティ仕様の標準化を推進、暗号化から仕様化が進められている。2016年にアメリカでサイバー攻撃の情報共有を目的とした Auto-ISAC が設立されているが、2017年 1月には日本でも自動車工業会のもと日本版 Auto-ISAC が設立され、日本の自動車メーカー各社が参加している。
【セーフティとセキュリティの両立に向けて】
機能安全は厳密なリスク評価が求められるが、セキュリティの脅威は網羅的に捉えることが難しく、完全にリスクをゼロにすることは不可能であり評価が困難となる。リスクを如何に減少させ、且つ残存リスクを把握するか、攻撃された後の被害を最小限に抑え、復旧させるかといった対策も考えていく必要がでてくる。
自動車の機能は従来セーフティに注力してきており、即時性や、使いたいときに利用できる可用性の確保が求められてきた。セキュリティは、更に機密性や完全性といった要素も重要となり、機能や取り扱う情報にあわせリスク対応を行っていくことが必要となる。
安全とセキュリティをどうプロセス統合するか、という課題解決に向け、設計の最初の段階から情報セキュリティの概念を組み込む「セキュリティバイデザイン」の考え方が自動車の設計にも取り入れられてきており、セキュリティ要求分析技術の開発が行われている。企画・設計の段階からシステムが安全に運用されるためのセキュリティ要件を定義し実装することで、システムの脆弱性を可能な限り排除し、将来のリスク低減が可能になる。
【さいごに】
自動車を本当に守る為には、どこにも繋がず外部から隔絶したクローズドな設計にすれば良い。しかしながらそれでは技術革新が進み様々な選択肢が見えてくる中で、可能性の扉を閉じてしまう結果になり、ユーザーの期待に応えられないものになってしまう。サービスの進化の裏には、普段目に触れることのない努力による技術開発があることに感謝しながら、より一層魅力的な乗り物として進化していくであろう未来の車に期待したい。
◆このコンテンツは住商アビーム自動車総合研究所のメールマガジンを転載したものです。リアルタイムでメールマガジンを読みたい方は住商アビーム自動車総合研究所のホームページよりご登録ください。
