{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
自動車セキュリティが抱える課題と解決策
第4回はトヨタ自動車株式会社のコネクティッドカンパニーで活躍中の3名の専門家が登場します。トヨタ自動車は、内閣府が推進するプロジェクト「戦略的イノベーション創造プログラム 自動走行システム(SIP-adus)」で中核的な役割を果たし、精力的に活動しています。
前編では「SIP-adus」での活動内容や、その活動を通じて浮かび上がった自動車セキュリティが抱える課題に焦点を当て、話を聞きました。(文中敬称略)
対談者
トヨタ自動車株式会社
- コネクティッドカンパニー コネクティッド技術領域長 今井 孝志氏
- コネクティッドカンパニー コネクティッド先行開発部
InfoTechセキュリティグループ長
プリンシパル・リサーチャー 博士(工学)小熊 寿氏 - コネクティッドカンパニー コネクティッド先行開発部
InfoTech主幹 プリンシパル・リサーチャー 博士(情報学)遠山 毅氏
PwCコンサルティング合同会社 デジタルトラスト パートナー 林 和洋
PwCコンサルティング合同会社 デジタルトラスト ディレクター 村上 純一
PwCコンサルティング合同会社 デジタルトラスト シニアマネージャー 奥山 謙
(左から)村上 純一、奥山 謙、林 和洋、遠山 毅氏、今井 孝志氏
トヨタ自動車株式会社 今井 孝志氏
「モビリティカンパニー」を支えるそれぞれの思い
林:
最初に自己紹介をお願いします。皆さまはトヨタ自動車の「コネクティッドカンパニー」に所属していらっしゃるのですね。
今井:
はい。トヨタ自動車はカンパニー制を採用しており、コネクティッドカンパニーは2016年4月に設立されました。
トヨタ自動車は、2018年に「Mobility for All」というスローガンを基に、従来の自動車製造販売だけでなく、「モビリティカンパニー」に変革していくメッセージを発信しました。コネクティッドカンパニーでは本格的なモビリティサービス(MaaS)およびそれを下支えするコネクテッドカー時代の到来に備え、技術とビジネスの両方の領域で、コネクテッド全般にわたる戦略企画、車載開発、インフラ開発などを担っています。
奥山:
具体的にはどのような取り組みをしているのですか。
今井:
例えば車載通信機である「DCM(データ・コミュニケーション・モジュール)」の開発や、コネクテッド・カーシステムで収集したビッグデータ分析による新規サービスの開発、さらに通信事業者やカーシェア事業者といった外部のステークホルダーとデータをやり取りし、新たな価値を提供する仕組みを構築しています。
奥山:
遠山さんはセキュリティの専門人材としてトヨタに入社したと聞いています。
遠山:
私は大学で情報セキュリティの研究をしていました。トヨタに入社して7年たちますが、一貫してサイバーセキュリティに関連する仕事に携わっています。大学ではセキュリティを学問として探究することに挑戦していたため、セキュリティにおける自分の知識や研究の経験を生かして産業や社会に貢献したいという思いがあり、今の所属、トヨタ自動車InfoTechの前身となるトヨタIT開発センターに入社し、2019年の4月からトヨタ自動車の所属となりました。
林:
小熊さんもセキュリティスペシャリストとしてキャリアを積んできたそうですね。
小熊:
はい。当時の子会社であるトヨタIT開発センターに私が入社したのは2007年です。遠山と同様、入社以来、車載システム向けサイバーセキュリティに関する研究開発に従事しています。トヨタIT開発センター入社前は通信会社で、主に組み込み系端末のOSやセキュリティシステムの研究開発をしていました。
ハッカー視点で車両セキュリティを評価
林:
「SIP-adus」での活動内容について教えてください。今井さんはSIP-adusの第一期から、中核メンバーの一人として活動していらっしゃいます。
今井:
SIPとは「戦略的イノベーション創造プログラム」の略称で、内閣府が中心となり、官民一体で取り組んでいる革新プログラムの総称です。一方、adusは「自動運転走行システム(Automated Driving for Universal Services)」の略称で、SIPの中にある課題プログラムの1つです。
村上:
SIP-adusでは情報セキュリティも課題として取り上げているのですか?
今井:
情報セキュリティは、SIP-adusのサブワーキンググループという扱いで活動していました。SIPの第1期は2014年から本格的にスタートし、最終活動年度となった2018年度に活動成果を報告書としてまとめました。報告書の中では、情報セキュリティも自動運転システムを実用化するために必要なサブシステムとして取り上げています。
林:
自動車の情報セキュリティは、自動車業界のソフトウェアの標準化などを手掛けるJASPAR(Japan Automotive Software Platform and Architecture)が自動車関連団体と協調して標準化を推進しています。SIP-adusとJASPARの情報セキュリティに対する取り組みはどこが違うのでしょうか。
今井:
JASPARが現在主に手掛けているのは、開発V字工程の「左側」から「ボトム」までの部分です。つまり、要件定義から基本設計、詳細設計、実装までのガイドライン策定を担っていました。一方、SIP-adusの情報セキュリティでは、V字工程の「右側」の部分、つまり車両レベルやコンポーネントレベルでの評価手法の確立とガイドライン化にフォーカスしています。
また、SIP-adusの情報セキュリティでは、これまで自動車業界にはなかった「ハッカー視点での第三者評価」の重要性を訴えました。この部分が注目され、今後の活動計画の中にハッカー視点での第三者評価を盛り込むよう立案されました。
奥山:
「自動車業界にはないハッカー視点」とは、具体的にどのような視点でしょうか。
今井:
端的にいえば「これまでの開発プロセスに沿った評価法ではない攻撃者視点」と「攻撃対象としてコンポーネントや車両を見る視点」です。
遠山:
少し前までの車両システムは「外部ネットワークと接続する」ことが前提になっていなかったため、外部から攻撃されることを想定していませんでした。しかし、現在の車両にはさまざまな通信機能が搭載され、当たり前のように外部のネットワークと接続しています。さらには車両システム内のネットワークも複雑化しています。自動運転は外部ネットワークとの接続がなければ実現は難しいだろうと思っています。
こうした通信機能が増えることは、サイバー攻撃を行うための侵入口(アタックサーフェス)の増加につながります。そのため、車両セキュリティでは防御能力を評価する侵入テストやペネトレーションテストが欠かせません。また、攻撃手法は日々進化しています。そのため、テスト手法も継続した見直しや開発が必要で、多様な攻撃の可能性を想定しなければなりません。
村上:
SIP-adusでの具体的な取り組みを教えてください。
今井:
複数のサイバーセキュリティベンダーに参加してもらってコンペを実施し、最も良い成果が見込まれる企業を中心に、過去に起こったインシデントの攻撃手法を分析しました。同時に、開発者側とは異なる攻撃者側からのアプローチで、車両に対する脆弱(ぜいじゃく)性を抽出する取り組みも実施しました。また、参加各社に協力してもらい、実際の車両を用いた対ハッキング性能検証のためのブラックボックステストも実施しました。
小熊:
「攻撃者側からのアプローチ」が重要であることは、国際的にも認識されています。実際、車両サイバーセキュリティの国際標準規格「ISO/SAE 21434」でも、侵入テストの実施が明記される予定です。さらにその攻撃により車両に与えるリスクを算定する際にも、「攻撃者側からのアプローチ」を考慮することが重要だと聞いています。
今井:
こうした取り組みの成果は、通常開発側には開示されないノウハウを含め、業界ガイドラインに反映できました。自動車における情報セキュリティの法制化を控える現在、こうした活動の成果をJASPARの技術資料として取り込み、アップデートできる仕組みを実現すべくJASPARと協議しています。
トヨタ自動車株式会社 小熊 寿氏
PwCコンサルティング合同会社 デジタルトラスト ディレクター 村上 純一
「接続窓口」の増加はリスクの増加につながる
林:
現在はSIP-adusの2期目ですよね。情報セキュリティ施策ではどのような部分にフォーカスしているのでしょうか。
今井:
SIPの第2期は2019年度からスタートしました。遠山が述べたとおり、車載の無線通信システムは多様化し、今後は「自動車はインターネットに接続するのが当たり前」の時代が到来します。
さらに現在のコネクテッドカーは、コンシューマ ITの汎用(はんよう)技術を活用しています。こうした汎用技術を搭載した車両システムをどのように守るかが、最重要課題です。
遠山:
ハッカー視点で見ると、汎用技術を利用しているシステムは事前知識があることから攻撃をする敷居が低いと予想されます。コンシューマ ITの汎用技術情報は容易に入手でき、当然、脆弱性情報も公開されています。自動車メーカーの独自技術を使ったプロプライエタリ(自社製)なシステムを攻撃するならば「どこに脆弱性があるのか」を突き止める必要がありますが、汎用技術を利用したシステムでは脆弱性情報が公開されているので、自分で突き止める必要はなく、公開されている脆弱性情報を利用することができる可能性があります。
例えば、「ハッカーの祭典」といわれる米国で開催されているイベント「DEF CON」などでは、組み込み通信モジュールの脆弱性を突いた攻撃が次々と報告されます。ですから(その脆弱性を内包した)通信モジュールを搭載したシステムは、常に攻撃の可能性にさらされている。もちろん、ベンダーはこうした脆弱性を修正していますが、車載システムの場合、ITシステムのように「セキュリティパッチですぐに対応」というわけにはいきません。
今井:
制御系の車載システムは、主に組み込み制御技術の組織が開発しています。ですから、ITセキュリティ人材からすると当たり前の技術や対策手法も、業界としてなじみがないのですね。さらに、自動運転システムで利用されるソフトウェアのソースコードはOEMや複数の会社が所有しており、開示されていません。この点もITセキュリティとは事情が異なります。
村上:
ITセキュリティの手法がそのまま車両セキュリティに展開できるわけではないのですね。
小熊:
もともと自動車のライフサイクルはITよりもずっと長い。ですから車両システムもITシステムと比較して長期間利用されます。どのようなソフトウェアでも、長期間利用すれば脆弱性が生まれるリスクが高まります。さらに、他のソフトウェアやモジュールと相互接続する機会が増すほど、脆弱性が生まれるリスクが高まるのです。
これは、ソフトウェアだけの話ではありません。ハードウェアでも運用段階で設計ミスによる脆弱性が見つかることが多々あります。そうした場合、ソフトウェア修正(セキュリティパッチ)でカバーするか、ハードウェアを交換するのかといった選択をしなければなりません。
運用フェーズの対策スキームを確立する
林:
車両システムでは運用フェーズがいちばん重要になるのですね。
小熊:
そうですね。それには自動車全体の構成要素を理解し、「何と何が」「どのようなプロトコルでつながり」「どのように影響し合うか」といったことを把握しなければなりません。
自動車を「バラして」どのような部品で構成されているのかを理解することは、セキュリティリサーチャーにとっては当たり前の作業です。自動車内部の情報を収集し、既に公開されている脆弱性情報と照らし合わせ、運用フェーズで対応していくことが必要です。しかし、残念ながら、現時点ではそうしたスキームは確立されていません。
今井:
例えば(自動運転のような)車両システムは、市場投入後もソフトのアップデートが必要です。開発のV字工程で見ると、「企画、設計、実装、評価」の後工程となる「運用フェーズ」にこそ、未定義の研究開発要素が多くあります。
奥山:
先ほど今井さんから「自動運転システムで利用されるソフトウェアのソースコードは開示されない」との話がありました。セキュリティ対策の観点から考えた、情報のオープン化の必要性について聞かせてください。
遠山:
自動車のシステムは「(自動車会社の)個社のもの」という考えが強く、秘密にしてきた部分が多いのは事実です。しかし、前述したとおり、車両のアタックサーフェスは急増し、ユースケースも多様化しています。セキュリティ対策も「今までの常識ならばこの程度でOK」だと決めていた基準ではまったく不十分になっています。
今井:
新規セキュリティ技術を導入する際に、自社の車両プラットフォームを用いて検討すると、標準化できていない部分は各社が自力で取り組む必要があります。
小熊:
セキュリティは「競争領域か」「協調領域か」といった議論があります。個人的には一定の競争がないと技術発展は望めないと考えていますが、現在の車両セキュリティ対策では、各社が協調した方が効率的なことも事実でしょう。これはセキュリティリサーチャーの間でも意見が分かれる領域です。
今井:
この問題は、セキュリティベンダーと自動車会社の間にも存在します。セキュリティベンダーが自動車会社各社と協業した場合、一社と協業して得た知見をビジネスとして他社に展開する際にもさまざまな制約があります。開発初期の企画段階から各企業のセキュリティエキスパートが協業するのが理想ですが、日本においてはこうした理想と現実のギャップは大きいのです。
遠山:
こうした課題を解決するには、誰もが自動車のセキュリティ技術を開発・評価できる、「オープン」で拡張性のある検証プラットフォームが必要です。それが、私たちが開発した「高拡張性ポータブル自動車セキュリティ・テストベッド(PASTA)」なのです。
※車両サイバーセキュリティに取り組む各社のインタビュー記事を随時掲載予定です。法人名、役職、インタビューの内容などは掲載当時のものです。
PwCコンサルティング合同会社 デジタルトラスト パートナー 林 和洋
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
