{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
車両セキュリティにテストベッドが必要な理由
内閣府が推進するプロジェクト「戦略的イノベーション創造プログラム 自動走行システム(SIP-adus)」で中核的な役割を果たすトヨタ自動車。
後編では、自動車サイバーセキュリティを評価する業界共通のプラットフォームの重要性とトヨタ自動車が開発した「高拡張性ポータブル自動車セキュリティ・テストベッド(PASTA)」について、話を聞きます。(文中敬称略)
対談者
トヨタ自動車株式会社
- コネクティッドカンパニー コネクティッド技術領域長 今井 孝志氏
- コネクティッドカンパニー コネクティッド先行開発部
InfoTech セキュリティグループ長
プリンシパル・リサーチャー 博士(工学)小熊 寿氏 - コネクティッドカンパニー コネクティッド先行開発部
InfoTech主幹 プリンシパル・リサーチャー 博士(情報学)遠山 毅氏
PwCコンサルティング合同会社 デジタルトラスト パートナー 林 和洋
PwCコンサルティング合同会社 デジタルトラスト ディレクター 村上 純一
PwCコンサルティング合同会社 デジタルトラスト シニアマネージャー 奥山 謙
(後列左から)林 和洋、奥山 謙、村上 純一、(前列左から)今井 孝志氏、遠山 毅氏
トヨタ自動車株式会社 遠山 毅氏
メーカー独自環境の検証では限界がある
奥山:
「高拡張性ポータブル自動車セキュリティ・テストベッド(PASTA)」がどのようなものかを伺う前に、PASTA開発の背景を教えてください。
遠山:
PASTAの開発がスタートしたのは2014年頃です。当時は、CAN(Controller Area Network)のセキュリティが多く研究されていた時期でした。
CANは自動車の電子制御システム向け通信プロトコルで、標準的な車載ネットワークで利用されています。ただし、実際の各社の車両において「どのような状態で」「どのような通信がされているのか」といった情報は公開されていません。なぜなら、その通信している内容そのものが各社で工夫して決められた機密情報ですから、積極的にオープンにする必要はありませんし、CANは車両内部の閉じたネットワークで利用するもので、外部ネットワークと接続することはなかったことからセキュリティには関係がないと思われていたからです。
しかし、今後普及する自動運転システムでは、外部から情報を得ることで、より良いサービスをお客様に提供するため、車載ネットワークが外部ネットワークに接続する機会が発生します。それに伴って、CANが外部からの攻撃対象になる可能性もあるのです。
実際、4年前のセキュリティカンファレンス「Black Hat 2015」では、その攻撃リスクが証明されました。セキュリティリサーチャーのチャーリー・ミラー氏とクリス・ヴァラセク氏は、特定車種のコネクテッド・カーシステムの脆弱性を突いてインターネット経由でファームウェアを書き換え、コネクテッド・カーシステムからCAN-BUS(CANを使う車載ネットワーク)に侵入し、遠隔でハンドル操作を乗っ取るデモンストレーションを披露しました。
村上:
CAN-BUSが外部から乗っ取られると、ハンドル操作やブレーキといった、運転の根幹となる操作にも影響があるのですね。
遠山:
はい。ですから、ドライバーが安心して運転できる車両を開発するためには、堅牢なセキュリティだけでなく、各社が秘密にしているようなCAN通信の取り決めもオープンにでき、セキュリティレベルをオープンに評価・検証できる共通プラットフォームも必要だと考えたのです。それまでは「自動車のサイバーセキュリティを評価する業界共通のプラットフォーム」は存在していませんでした。
奥山:
なぜ、共通プラットフォームが存在しなかったのですか。
遠山:
これまでは各自動車メーカーが独自の評価環境を構築し、個別にセキュリティを評価することが当たり前だったからです。しかし、独自環境で評価した結果では、それが一般的に起こりうる事象なのかどうかは未知数であり、実用化するには課題があるのです。
小熊:
独自環境で検証した結果は、外的妥当性が低い(検証結果が一般化できない)ので、第三者が同じ検証をしようとしても異なる環境で「追試」ができません。これは研究環境として健全ではない。さらに、自動車のサイバーセキュリティを研究しているリサーチャーからも、「自動車に近い評価・検証プラットフォームが欲しい」との要望があったので、共通プラットフォームの開発に着手しました。
PASTAの「オープン性」にこだわった理由
林:
PASTAでは、具体的にどのような機能を提供するのでしょうか。
遠山:
PASTAは、技術仕様が公開されている車載制御ユニット(ECU:Electric Control Unit)やセントラルゲートウェイ(CGW:Central Gate Way)で構成された、車載ネットワークのセキュリティ実証実験プラットフォームです。自動車の運転操作を簡易シミュレータで確認できると同時に、CAN-BUSの解析や外部からの攻撃に対するセキュリティ評価ができます。
村上:
どのような点が特徴ですか。
遠山:
PASTAには4つの特徴があります。それが「携帯性」「安全性」「拡張性」、そして「オープン性」です。
PASTAの重量は8キログラムで、小型スーツケースぐらいの大きさですから、どこへでも持ち運び可能です。また、実際の車両を利用することなく、ECUのプログラムを書き換えてセキュリティ機能を実装・評価できます。実際の車両ではありませんから、仮にユーザが誤った操作や無理な試験をしてもエンジンが火を噴いたり事故を起こしたりすることはありません。さらに、ECUのファームウェアを書き換えたり、車載ネットワークのアーキテクチャ設計を変更したり、さまざまなデバイスを接続したりすることも可能で、まだわれわれも思いついていないような、新たな使い道もあるのではと考えています。
奥山:
PASTAは仕様が公開されているECU/CGWを利用しているのですね。
遠山:
オープン性には一番力を入れました。PASTAのECUはオープンソース化されているので、誰でもダウンロードして仕様を確認できます。オープンソース=ノンプロプライエタリの技術を利用することで、「この環境で」「このような攻撃をしたら」「このような結果が得られた」という情報を共有できるのです。
村上:
オープン性の他に注力した部分はありますか。
遠山:
CANのセキュリティをフィジカル(実機)で検証できることも重視しました。その理由は、ITセキュリティの研究者を、車両システムセキュリティの世界に呼び込みたかったからです。
村上:
それはどういう意味でしょう。
遠山:
車両システムのセキュリティとITセキュリティは、さまざまな違いがあります。車両システムの側にいる私から見ると、IT側の人は自動車という実機に「触る」ことを恐れているような印象を持ちます。
小熊:
ですから、PASTAは実車両のネットワークに近い環境で、セキュリティ評価ができるように心がけました。車両はさまざまなコンポーネントが相互通信しながら稼働します。PASTAでは、実際の車両に搭載されているCANトランシーバとCANコントローラを利用しています。
PwCコンサルティング合同会社 デジタルトラスト シニアマネージャー 奥山 謙
自動車向けのセキュリティ技術の評価にも一役
林:
PASTAを発表した時、セキュリティ業界からの評判はいかがでしたか。
遠山:
自動車業界からは「なぜわざわざオープンソースのモジュール(ECU)を使うのか?」といった反応がありました。残念ながら、発表当初は、オープンソースを採用した真意を理解してくれた人たちは少数派でした。
小熊:
われわれセキュリティリサーチャーは、5~10年先を見て(サイバーセキュリティ状況を予測して)物事を判断します。オープンソースを採用した理由は、これからは第三者が既存のサイバーセキュリティ対策を評価・検証できるようにしなければならないと考えるからです。
今井:
評価基準をオープンにしなければ、今後発生する攻撃とその対処方法を検証できません。現在の車両システムはクローズな環境がほとんどですが、それはいずれ変わってゆきます。サイバーセキュリティ対策は近視眼的に判断してはいけないのです。
村上:
PASTAは他のベンダーが開発した、自動車向けのセキュリティ技術も評価できると聞いています。
小熊:
PASTAのプラットフォームはオープン仕様なので、通常のITシステムも検証できます。トヨタ自動車にもさまざまなセキュリティベンダーが「車両システム向けのセキュリティ対策技術」を紹介しに来ますが、そうした製品をPASTAで検証すると、その製品の実力が分かります。
遠山:
もう1つ、副次的な気づきもありました。それは、PASTAを用いたデモンストレーションで、車両がサイバー攻撃を受けた時の体験をしていただいた時のドライバーのリアクションです。
奥山:
特徴的なリアクションなのですか。
遠山:
ドライバーは外部から攻撃されて運転操作が不安定になると、ハンドル操作で解決しようとするのです。これはどうやら、サイバー攻撃を受けていることをすぐに理解できず、物理的に車が故障したように錯覚するためのようです。そのため、すぐに車を停車しようとはせず、自分でコントロールして切り抜けようとします。傍から観察していると、実際にサイバー攻撃が発生した時にドライバーがこのような挙動をすることを想像すると恐ろしくなります。また、一度攻撃を経験したドライバーは、それ以降、自動車のシステムそのものが信用できなくなるようです。デモンストレーション向けの攻撃を受けていないのに疑心暗鬼になり、攻撃を受けているのではないかと疑いながら運転してしまうのです。自動車が安全な乗り物としての信頼を失う、これは大きな問題だと思います。
林:
PASTAがリリースされたことで、他社からも同様の自動車セキュリティ・テストベッドがリリースされそうですね。
遠山:
もちろん、その可能性はあるでしょう。私たちもPASTAが(自動車セキュリティ・テストベッドの)完成形だとは思っていません。
セキュリティリサーチャーには、PASTAのような共通プラットフォームが重要であるとの認識を持ってもらい、「PASTAよりもさらに優れたものを開発しよう」と闘志を燃やしていただきたいと思っています。セキュリティリサーチャーどうしが切磋琢磨し、車両セキュリティ全体の技術水準が高まるとすれば、それは研究者冥利に尽きることです。
自動車メーカーが負うべき新たな責任
村上:
車載システムは、各自動車メーカー独自の仕様とオープンな仕様とが混在しています。将来的に自動車どうしの相互接続が増加すれば、片方が安全な車両を開発したとしても、相手車両からの誤ったデータ通信で誤作動を起こすような可能性もあります。そうした対策はどのように講じるべきでしょうか。
今井:
サイバー攻撃ではなくても、車両システムが誤ったデータに「だまされて」誤作動を起こしてしまう可能性は否定できません。こうした問題は、自動車業界全体で考えないといけないでしょう。「自社の車だけセキュリティを担保できればいい」のではありません。
遠山:
今後自動運転システムが普及し、もしハッキングによる事故が発生した場合には「誰が責任を持つのか」といった議論が必ず起こります。車両システムに瑕疵がなかったことを証明するために全てのログを保存していたとしても、そのログもセキュアに保存できていなければ改ざんされるリスクもあります。
今井:
OEMやサプライヤーは、「事故が発生しても自分たちには瑕疵がない」ことを証明するスキームを作っていく必要があるでしょう。今後はアカウンタビリティ(説明責任)を保証する研究が進むと考えています。
奥山:
まだまだ難しい問題は残っているのですね。
今井:
「コネクテッドカー」を事業としている以上、われわれは「リスクが発生することもユースケースの一部分」だと捉える必要があります。サイバー/フィジカルを問わず、インシデントの責任追及は、最終的に自動車会社に向かうことを自覚しないといけません。そうした責任を果たす姿勢がなければ、われわれは社会から存在意義を認めてもらえなくなります。
小熊:
新しいセキュリティ技術を導入する際には、エンド・ツー・エンドでその評価をする必要があります。車両システムはもちろん、バックエンドシステムやサーバ、そして他社システムと接続されている場合には、相手方のシステムがどのようなセキュリティ対策をしているか知っておくべきです。「誰が」「どの部分を保障するのか」といった責任の所在を明確にする必要があります。
今井:
こうした体制をどのように構築していくのか。これは次のオートモーティブ業界に課せられた課題だと考えています。
※車両サイバーセキュリティに取り組む各社のインタビュー記事を随時掲載予定です。法人名、役職、インタビューの内容などは掲載当時のものです。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
