April 18, 2023

Software-Defined（ソフトウェア定義）時代におけるサイバーセキュリティの課題

EV（電気自動車）およびSDV（ソフトウェア定義車）には、継続的サイバーセキュリティ活動が不可欠に

自動車業界ではここ数年で、2つのパラダイムシフトが起こりました。EVとSDVのアーキテクチャの進化、そしてサイバーセキュリティの脅威に対処するためのISO/SAE 21434規格やUN R155規制の導入です。

その他にも、サプライチェーンの階層構造がピラミッド型からよりダイナミックで合理化されたものへ、開発プロセスが従来のV字モデルから継続的なサイクルへと変化してきていることも注目すべき動きと言えるでしょう。

本記事では、自動車サイバーセキュリティ業界が直面する新たな課題と求められる今後の対応について考えたいと思います。

自動車のサイバーセキュリティと組込み開発

ISO/SAE 21434規格の導入により、自動車業界が早急に対処すべき3つの大きな弱点が露呈しました。

• サイバーセキュリティ人材の不足
• 開発からリリースまでの構造自体の脆弱性
• ライフサイクル全体を通じた継続的なモニタリングの欠如または不備

ISO/SAE 21434が導入され、その要件を満たす必要に迫られたことで、サイバーセキュリティの専門家が圧倒的に不足している現状が見えてきました。OEMやTier１サプライヤの多くは、規格の要件を十分に理解し、サイバーセキュリティ対応のためにR&Dチーム間での新たな連携体制を整備したり、調整を行わなければならず、大変な苦労を強いられているようです。

ISO対応のための作業は現在でも、開発プロセスの様々な部分で実施されています。通常の作業に追加して行う必要があるために、量産開始（SOP：Start of Production）の遅れの原因となる邪魔者のように見られることもあるかもしれません。いかに開発スケジュールに支障をきたすことなく、並行してISO要件を満たすか。この点が課題になります。最初にTARAを、そして最後にペンテストを実施するというのが従来的なやり方ですが、社内でのサイバーセキュリティ対応の優先順位は低く設定されがちで、結果としてボトルネックとなってしまったり、土壇場になって何らかの妥協をしなくてはならない状況に陥ることも少なくありません。

ISO/SAE 21434対応に伴う大きな課題のひとつに、自動車の開発段階から廃車（ELV：End of Life Vehicle）に至るまで、サイバーセキュリティの継続的なモニタリングが求められることが挙げられます。SDVは常時サイバーセキュリティの脅威に晒され、何年も経ってから脆弱性が表面化することもあるため、継続的なモニタリングが特に必要なものだと言えるでしょう。今日のR&Dは、将来のサイバーセキュリティ脅威までは考慮せずに開発してリリースする「作って終わり」のやり方に慣れてしまっているところがあるかもしれません。それに対して、ISO/SAE 21434規格が求めるSDVエコシステムでは、継続的なモニタリングにより、SOPから5－10年後であっても新たな脆弱性が検知・修正できることが期待されています。しかし、現在の自動車R&D部門の構造では、5－10年先までOTA（Over The Air）で頻繁に更新される、様々なソフトウェアアプリケーションをよく理解したうえでメインテナンスし、サイバーセキュリティの脅威に備えるといった体制が十分とは言えません。業界全体で現在進んでいる、V字モデルの開発プロセスから、ISO規格が求める継続的サイバーセキュリティを実現するための開発サイクルへのシフトは、この現状を打破するためでもあります。この開発プロセスの変化により、R＆D部門はセキュリティ設計、TARA、ペンテスト、検証や評価を開発と並行して行う必要が出てきます。DevOpsを加速する継続的な取り組みが求められるのです。

常時接続がもたらす課題

Software-Defined時代のメリットのひとつは、車両システムと常に繋がっている状態が作られることで、モニタリングやクラウドベースでのアップデート/アップグレードがいつでも可能になることです。そして、そのデメリットは、サイバーセキュリティ侵害による「安全」そして「金銭」面でのリスクに常に晒されることです。

ここ数年で、自動車に対する悪質なサイバーセキュリティ攻撃（機密情報への不正アクセスやデータの窃盗、あるいは自動車の機能を遠隔操作することによって搭乗者の安全を脅かすなど）を私達は幾度となく目撃してきています。

自動車に対するサイバーセキュリティ攻撃でよくあるものとして、次の３つが挙げられます。

• リモートアクセス攻撃：インターネットや衛星、その他のリモート接続を通じて、自動車のECUや電子システムなどへ不正にアクセスする
• ワイヤレス攻撃：Bluetooth、Wi-Fi、NFC、UWB、セルラー信号など、自動車の電子システムで使用されるワイヤレス信号を傍受または操作する
• 物理アクセス攻撃：ハッカーが自動車に物理的にアクセスし、そのシステムを操作して制御を乗っ取る

サイバー攻撃を受ける危険性の高いECUとして挙げられるものに、通信ゲートウェイ、車載チャージャー、バッテリー管理システム、インフォテインメント・システム、Eモーター・インバーター、モバイルアプリなどがありますが、なかでもサイバー攻撃を受けた場合に搭乗者の安全を脅かす可能性が最も高いのは、ADAS（先進運転支援システム）およびセンサー類でしょう。

自動車OEMにとって、ADASはユーザーの安全性を高めるための重点分野のひとつになりつつあります。しかし、これらのシステムは不正アクセスや改ざんなどのサイバー攻撃に対して非常に脆弱です。ADASや安全システムへのセキュリティ脅威が増大するなか、サイバーセキュリティ強化のためのソリューションに対する需要は今後数年間で大幅に増加していくと予想されます。ADASの脆弱性は「ファームウェアの交換」や「センサーからの入力検証」の2つを中心に考えられます。ソリューションとしては、「センサーフュージョンのアルゴリズムへのサイバーセキュリティの組込み」と「通信チャネルおよびサブシステムの徹底的な検証」です。

金銭面でのリスク：遠隔通信の機能はサイバー攻撃の標的となりやすく、すでに大きな被害を出しています。例えば、キーレスエントリーの仕組みを悪用した自動車の盗難は、所有者にとっても、保険会社にとっても大きな悩みです。保険会社ではこの類の被害に対応するため、補償内容の変更などが行われています。

車載決済システムに対するハッキングも金銭面のリスクのひとつです。購入後に、自動車のサービスや機能をより高度なものへとアップグレードできることは、コネクテッドカーの魅力と言えるでしょう。しかし、そのためのモバイルアプリ機能が遠隔で操作され、車内決済システムを乗っ取られたり、悪用される可能性があります。

Karamba Security社のソリューションは、EVおよびSDV時代の様々なサイバーセキュリティ課題に応えます。OEMやTier１サプライヤのISO/SAE 21434規格やUN R155規制への準拠をサポートし、既存のCI/CDシステムの枠組みの中で、セキュリティのためにSOPに後れを生じさせることなく、開発フェーズからライフサイクル全体を通した "継続的サイバーセキュリティ" を実現します。

Karamba Secuirty社のソリューション