コネクテッド・カーのセキュリティー：新種のモビリティー・セキュリティー・リスク

記事をシェアする:

2019年3月に、自動車業界のサイバーセキュリティーについて警鐘が必要であるという記事を公開 (英語) しました。この記事のベースとなったのは、自動車業界のサプライ・チェーンが運営しているあらゆる組織に向けた重大な警告となるSynopsys (PDF, 英語, 5.1MB) 社による業界レポートでした。

あれから9カ月ほどの時間が流れましたが（テクノロジーの世界からすると長い時間ですが）、楽観視できる要因が増えてきているようです。

Synopsys社の Chris Clark 氏と再び連絡を取りました。現状を把握するとともに、消費者の視点から見たコネクテッド・カーのセキュリティー (英語) の状況を確認するためでもありました。Clark 氏によると、2019年2月の対談以後、業界は、セキュリティーの課題に極めて迅速に対応しているとのことです。

「フォルクスワーゲン社などの組織が、これから開発する車両だけでなく、開発途中の車両の安全性とセキュリティーも会社にとって極めて重要であると明らかにしていることは、注目に値する」と述べています。

変化し続ける自動車技術への対応

Clark 氏によると、自動車業界にとって最大のセキュリティーの課題の 1つは、車両開発のコンセプトの段階から最終的な立ち上げまでにかかる長い期間そのものです。その期間は 5 年間にも及ぶことも稀ではありません。その期間中にも、より新しいセキュリティー・テクノロジーが登場するため、相手先商標製造会社 (OEM) やサプライ・チェーンとして関わる他の組織は、その過程でセキュリティーについてもっと考えるようになります (英語)。

「かなり大きく前進しています。」と Clark 氏は話しました。「課題のひとつとして、車両の設計について考え、セキュリティーについて徹底的に検討する場合、システムを駆動しているチップについて検討する必要があります。チップ・レベルで弱点があると、その上にどれだけ強固なセキュリティーを組み込んでも弱点が残ることになります。」

最近、チップ製造メーカーは、より堅固でセキュアなソリューションの提供を強く求められていると彼は話しました。

「これは安全が重視される環境、特にビジョン・システムやその他のセンサー・メッシュ・タイプのテクノロジーに必要なマルチコア・プロセッシングで多く見られるようになるでしょう。業界はかなり迅速に対応しており、ここまでは見事なものだと思います。」と Clark 氏は付け加えました。

ホイール上のネットワーク

忘れてならないのは、最も普及している最近の車両でも、コンピューターによって駆動されているということです。クルーズ・コントロールでも、レーン・マネージメントでも、車線測定でも、インフォテインメント・システムでも、動かしているのはすべてコンピューターです。Clark 氏によると、自動車は、実際には「相当数のコンピューターを積んだホイール上のネットワーク」であるということです。

大半の自動車のネットワークで中心となるのは、驚くことに、車載インフォテインメント・システムです。5G接続だけではありません。Zigbee (英語) を採用したスマート・ビークルはスマート・ホーム・システムと接続できます。例えば、車は自宅に近づくと、ホーム・インフラストラクチャーと通信し、車両の状態を所有者に通知できます。

他のネットワークと同様、自動車が今や膨大な量のデータ収集を行うようになったことは説明する価値があります。研究者は、レンタカーの車両 (英語) から個人情報 (PII) を入手することに成功しています。

これだけでは十分であるとは言えません。昨年レンタカーを借りたときに、CarPlay システムに自分のスマートフォンを疑うことなく接続したことを思い出します。私は、その車の「頭脳」に自分の個人情報を残したのでしょうか。 Clark 氏がこの話をしたときに、鼓動が早くなったことを認めざるを得ません。

従業員に車両を提供している企業は、このプライバシーの問題についても考慮しなければなりません。

コネクテッド・カー機能が最初から組み込まれている場合のセキュリティー

コネクテッド・カー・セキュリティー全般に関しては、自動車製造メーカーは、車両設計プロセスで基礎的な活動を開始すべきです。ファズ・テスト (英語) や 静的コード分析 (英語) といったツールを標準とすべきです。そして、製造メーカーでは標準化が始まろうとしています。

自動車製造メーカーにとって同様に重要なことは、車両の生産後の技術的負債 (英語) の管理です。多くの場合、ディーラーで車両サービスを受け、この時点で多くの場合はソフトウェア更新が行われます。

「組織は、車内のソフトウェアを車のライフサイクルを通して管理する方法を考えなければなりません。」と Clark 氏は話しました。「そのため、仮想化が重要な役割を果たすことになるでしょう。」

製造メーカーは、テストを実施するために、ロットの車両のすべてのバージョンを保持することはできません。そのため Clark 氏は、車両を模倣する仮想化環境 (英語) を作ることを勧めていました。これにより車両のライフサイクルを通じて発生するセキュリティー脆弱性の管理 に必要なレベルのテストを行うことができるのです。これは現在の自動車にとっては相当な課題となりますが、今後、仮想化環境がさらに利用できるようになれば、将来より簡単になると考えられます。

最後に、業界に影響を与えてきた多様な不正に対応する上で、Clark 氏は、OEMがあらゆる方法で問題に対処するのを見てきました。

「セキュリティーについて考える場合、多様性 (英語) は、非常に重要です。」と Clark 氏は言います。「この多様な方法が成熟し、ある方法がより機能しているのが分かると、最終的には消費者にメリットをもたらす標準化された開発方法やテクノロジー・ソリューションにたどり着くことになるでしょう。」

消費者向けの実用的なアドバイス

• 「よりスマートな」車の購入を検討している消費者にとっては、自動車マニアでも圧倒されてしまうほど多数のオプションや機能があります。Clark 氏によると、いくつかのことを自問自答すべきです。

 

• 車両には、車両のライフサイクルの期間中にサービスやサポートを受ける見込みあるいは実績があるか？
• 車両には、自分にとって興味深い技術特性があるか？それは自宅、電話、ライフスタイル全般と統合されるものか？
• その車両には大部分の車両よりも多くの電子機器があるか？それは保険の視点から見るとどのようなものか？

最後の質問にはさらなる議論が必要です。Synopsys社は、特に購入後に保険料の請求書を目にしたときに、車両のサイバーセキュリティー要件に対する妥当性について、消費者の関心が高まるであろうと予測しています。

「一般的に、多くの消費者は、金銭的なショックを受けたときに反応します。そして、その衝撃の原因は保険です。」と Clark 氏は述べ、保険業界が将来の車両に大いに注目していることに言及しました。「ここ3年、保険業界では、自律走行車だけでなく、これまでにないほど多くの電子機器を搭載している車両についても、サイバーセキュリティー・コスト反映が検討されています。」

自己修復や自己診断などの機能によって車両の完全自動化が進むなか、セキュリティーと安全性は間違いなく保険料追加の要因となるでしょう。そして、必然的に消費者の金銭上の意思決定を左右する要因にもなるでしょう。

巧妙な脅威をよそに続く楽観主義

この記事の執筆中、CNN (英語) は、「自動車業界は近い将来幅広いサイバー脅威と悪意のある活動に直面する可能性が高い」とするFBIの警告を報告しました。

これは間違いなく警鐘を鳴らすものですが、サイバー脅威の標的となっていないのはどの業界でしょうか？用心深くなる必要はもちろんありますが、サイバーセキュリティー全般に対する注意をさらに高める必要があることの根拠を固めるものではないでしょうか。ありがたいことに、Clark 氏は、あらゆる自動車提供者が、コネクテッド・カー・セキュリティー要件に関する情報を共有する方法についての共通の専門用語を策定していると話してくれました。

「業界は、求められていることを明確に、そして一貫性をもって理解するために、共通言語を共有して足並みをそろえるようになっています。」と彼は話しました。「それは、ここ数年間に見てきた状況からの大きな進歩です。」

業界で脅威の全貌 (英語) の状況について悲観的な見方が広がっているなか、製造メーカーがかつてないほどセキュリティーの概念を取り入れていると聞くのは本当に心強いことです。それでも、業界はサイバーセキュリティーのアクセルから足を離すわけにはいきません。

 

【関連情報】

IoT/OTセキュリティーの概要はこちら

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者紹介】

この記事は次の記事の抄訳です。

Connected Car Security Is a New Kind of Mobile Security Risk（英語）