
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
自動運転自動車やコネクテッドカーの普及が進む中、車両サイバーセキュリティの重要性が増しています。過去には車両システムの脆弱性を突いて、ハンドルを遠隔操作する攻撃が報告されています。車両システムのハッキングは、人命に関わる重大な事故を引き起こしかねません。では、このような攻撃から車両システムを守るためには、どのような対策を講じる必要があるのでしょうか。本稿では車両サイバーセキュリティのエキスパートである横浜国立大学の松本勉氏、トヨタ自動車株式会社の遠山毅氏、株式会社リチェルカセキュリティの黒米祐馬氏をお招きし、それぞれの取り組みについてお話を伺いました。(本文敬称略)
登壇者
横浜国立大学
大学院 環境情報研究院 教授
松本 勉氏
トヨタ自動車株式会社
コネクティッド先行開発部 InfoTech主幹
遠山 毅氏
株式会社リチェルカセキュリティ
取締役CTO
黒米 祐馬氏
PwCコンサルティング合同会社
シニアマネージャー
和栗 直英
(左から)和栗 直英、松本 勉氏氏、遠山 毅氏氏、黒米 祐馬氏
和栗:
自動車の基本機能を制御するECU(Electronic Control Unit:電子制御装置)に対するセキュリティテストは、法規制や業界団体の働きなどによって、ある程度は浸透しています。セキュリティテストの手法は複数存在しますが、代表的な手法は「ファジングテスト(以下、ファジング)」です。まずはファジングの最新技術動向について、黒米さんからご説明いただけますか。
黒米:
「ファジング」とは、あるプログラムの入力に対して繰り返し変異を施し、プログラムの脆弱性を自動的に発見する技術です。
画像ファイルを扱うビューアを例に説明しましょう。ある特定の画像ファイルに対し、画像ファイルの特定のビットフィールド(※)を反転させたり、余計なデータを画像ファイルに追加したりといった変異を施します。具体的にはファジングツールが画像ファイルを受け取って変異を施し、その画像ファイルを画像ビューアに与えるのです。
※ビットフィールド:ビット単位での値の管理
この時、正常な画像ファイルであれば、ビューアで正常に表示されます。しかし、画像ファイルに変異を施していくと、ビューアをクラッシュさせてしまう入力が生成されます。これがファジングです。
ファジングは原則的に、条件分岐に対するカバレッジ(※)を拡大を目的として入力を生成していきます。カバレッジの拡大には右図のように「White-box Fuzzing」「Grey-box Fuzzing」「Black-box Fuzzing」の3手法に大別できます。
※カバレッジ:対象範囲に対してどのくらい網羅しているかを示す比率。
※Fuzzing:ファジングのこと。
White-box Fuzzingは対象のソースコードがあることを前提としています。カバレッジ計測用のコードを対象のソースコードに挿入してビルドし、それを実行してカバレッジを計測しながら入力を生成します。この時にはソースコードの解析結果やバイナリの解析結果などを併用し、効果的な入力を生成します。White-box Fuzzingは対象のソースコードが手元にあるという性質上、CI/CDパイプラインとの連携が可能で、開発工程にファジングを入れ込んでいくケースに適しています。
Grey-box Fuzzingの特徴は、対象となるビルド済みのバイナリに対し、その行動を付加して実行することにあります。対象のソースコードがない場合でも、バイナリさえあればカバレッジを計測できます。そのため、ソースコードがない商用ソフトウェアの解析も可能です。なおGrey-box Fuzzingも、CI/CDパイプラインと連携できます。
Black-box Fuzzingは、カバレッジ計測が不可能な問題設定を扱います。具体的にはルータやカメラ、プリンタといったIoT(Internet of Things)機器の解析に適しています。なぜならIoT機器をはじめ、工場やプラントで稼働している機器に対しては、カバレッジ計測用のコードをファームウェアに挿入し、計測しながらファジングすることが困難だからです。
Black-box Fuzzingでは対象を完全なブラックボックスとして扱い、有限のテスト入力を一通り与えたり、機器からの通信の応答時間でカバレッジの情報を近似したりする操作を行います。
和栗:
ECUに対するセキュリティテストで、ファジングを採用するメリットは何でしょうか。
黒米:
1つは脆弱性とその入力をセットで得られるという点です。
例えば、同じ脆弱性を検出するような技術体系の中でも、静的解析を用いる技術では、対象の脆弱性をトリガーする入力が得られません。そのため、その脆弱性が実際に悪用可能であるかどうかを判断するには、マニュアルでのインスペクション(調査・診断)が必要です。
これに対しファジングでは、ファジングツールが自動的に脆弱性を引き起こす入力を探索するため、脆弱性とその入力をセットで得られます。また、通常のテストでは検出できないような、予期しない脆弱性も検出できます。膨大な条件を自動で探索できることもメリットの1つです。
和栗:
なるほど。脆弱性とその入力をセットで得られたり、膨大な条件を自動で探索できたりといった効率性がメリットなのですね。逆にファジングにはどのような課題があるのでしょうか。
黒米:
1つ挙げられるのが、対象ソフトウェアに応じたファジングツールの調整です。画像ビューアや文書ファイルを描画するようなオフィスソフトウェアなど、対象となるソフトウェアの性質に応じて、ファジングツールに適切な変異を施す必要があります。また、実際にファジングを運用していくうえで、解析時間やリソースをどのように割り当てていくかも課題となっています。
さらにファジングで検出した脆弱性の分析は自動化できていません。つまり、脆弱性がどのくらい悪用可能であり、どのくらい深刻なインシデントをもたらす可能性があるかといった分析作業は、人の手に委ねられているのです。
株式会社リチェルカセキュリティ 取締役CTO 黒米 祐馬氏
出所:黒米氏提供
出所:黒米氏提供
横浜国立大学 大学院 環境情報研究院 教授 松本 勉氏
出所:松本氏提供
出所:松本氏提供
和栗:
ありがとうございます。次にハードウェアの観点から見たセキュリティテストについて、松本先生にお伺いします。「Hardware Hack」と呼ばれるセキュリティテストには、どのような手法があるのでしょうか。
松本:
自動車を例に説明しましょう。車載システムにはECUや車載コンピュータ、各センサーが接続されています。そして、それぞれのモジュールが機能するメカニズムは、何段階かの処理が連続して実行されることで実現します。車載システムに対する攻撃は、外部から侵入し、処理を実行するプログラムを勝手に更新したり、書き換えたりすることで誤作動を引き起こすのです。
和栗:
車載システムに対する攻撃には、どのようなものがあるのでしょうか。
松本:
大きく分けて「論理攻撃」「ソフトウェアへの攻撃」「ハードウェアへの攻撃」の3つがあります。
「論理攻撃」は、仕様と出入力を用いる攻撃です。これにより暗号解読やデジタル署名の偽造が可能になってしまいます。「ソフトウェアへの攻撃」は、プログラムを実行しないでコードを読む、あるいはプログラムを実行しながら、そのプログラムがどのような挙動を示すかを探る攻撃です。
一方の「ハードウェアへの攻撃」には、箱の中に入っている“モノ”について、蓋を開けないで調べる「パッケージ非加工型」の攻撃と、蓋を開けて全部調べる「パッケージ加工型」の攻撃があります。
パッケージ非加工型には漏れ出てくる情報を調べるパッシブ型の「サイドチャネル攻撃」や、何らかの刺激を与えてそのレスポンスを見るアクティブ型の「フォールト攻撃」があります。
こうした複数の攻撃手法と対峙するには、セキュリティの評価軸を定めることが重要です。関係者のコンセンサスを得ながら、「それぞれの攻撃方法に対してどのくらいのセキュリティ強度が要求されるのか」といった水準を定め、それを満たすような技術を開発していく必要があります。さらにそれらの技術を使う側(セキュリティを実装するベンダー)に対し、セキュリティを保障していかなければなりません。
和栗:
続いて、遠山さんにお伺いします。トヨタ自動車では車両セキュリティのテストに用いられるテストベッド(※)やシミュレータの研究開発をはじめ、その活用に幅広く取り組んでいらっしゃいます。現在の活動内容を教えてください。
※テストベッド:システム開発時に実際の使用環境に近い状況を再現した試験用環境や試験用プラットフォームのこと
遠山:
はい。テストベッド活用方法の1つとして、CTF(Capture The Flag)を紹介したいと思います。CTFとはハッキングの技術力を競う競技です。チームに分かれてさまざまな問題を解き、その点数を競います。
2022年10月にはトヨタ自動車とToyota Motor North America、Toyota Tsusho Systems US, Inc.の三社共同で「Hack Festa 2022」を開催しました。これは参加する学生たちに自動車セキュリティをより身近に感じてもらい、ハッキング技術を磨く機会を提供することを目的としたものです。
Hack Festa 2022ではECUを外側から攻撃するようなテストベッドを各チームに1機ずつ渡し、学生が本物のECUに近い環境で攻撃ができるようにしました。多くの学生に自動車セキュリティに興味を持ってもらうことで、将来的にこの分野の研究につながっていけばよいと考えています。
Hack Festa 2022ではテストベッドの1つとしてトヨタが開発した「PASTA for Education」を利用しました。
PASTAは技術仕様が公開されているECUやセントラルゲートウェイで構成された、車載ネットワークのセキュリティテストベッドです。自動車の運転操作を簡易シミュレータで確認できると同時に、CAN(Controller Area Network)-BUSの解析や外部からの攻撃に対するセキュリティ評価ができます。テストベッド内部および外部との通信は自動車向けの一般的なプロトコルを採用しています。これにより、セキュリティ技術の研究開発や、セキュリティ技術者の教育に利用できるのが特徴です。
トヨタ自動車株式会社 コネクティッド先行開発部 InfoTech主幹 遠山 毅氏
PwCコンサルティング合同会社 シニアマネージャー 和栗 直英
出所:松本氏提供
出所:松本氏提供
出所:松本氏提供
和栗:
次に計測セキュリティの最新動向について、松本先生にお伺いします。計測セキュリティにおける攻撃の事例やその対策にはどういったものがあるのでしょうか。
松本:
まず、計測セキュリティとは何なのかをマクロの視点で見てみましょう。物理的な「フィジカルワールド」とネットワーク空間上の「サイバーワールド」の間では、さまざまな計測や制御のやり取りが行われています。その界面で起きる脅威に対抗するのが計測セキュリティであると捉えています。
例えば車両には周囲の車両や物体との距離を計測するセンサーが備わっています。これらは一般的に「計測システム」と呼ばれています。そして計測セキュリティは、計測システムに対する攻撃と、計測対象である物体に対する攻撃を捉えるものです。
左図を見てください。前方を走っている車(計測対象)までの距離を「x」とします。計測システムが正しく作動していれば、それが計測結果「z」に正しく反映されるはずです。しかし、計測システムや計測対象に電波や光などを照射して異常な状態になると、計測システムの出力が正しくなくなったり、計測できなくなったりする現象が起こり得ます。計測セキュリティについては国際会議などでも盛んに研究が発表されています。現在は今後の対応を議論している段階です。
和栗:
計測セキュリティはシミュレータによる検証も考えられますが、センサーに対する攻撃は外部環境に大きく依存しますから、物理的に検証条件を整えることが難しいですよね。この点について遠山さんはどのようにお考えでしょうか。
遠山:
ご指摘のとおりです。この点、PASTAの開発時には外部環境や自動車の内部の状態をよりリアルに再現するよう注力しました。走行中の自動車に対して攻撃を試みることは可能ですが、同じ条件で繰り返し攻撃して調査することは難しい。なぜならセンサーは天候や湿度、太陽の位置などの条件によって反応が異なるからです。
とはいえ学術的に考えれば、さまざまな状態を考慮して基準を設け、シミュレータで再現することも意味があると考えます。これはテストベッドをよりリアルにするという観点からも有用です。実際の環境で検証することも重要ですが、今後は、ソフトウェア上でそうした攻撃が再現性があるのかを検証する研究も重要になると感じています。
和栗:
今回はECUに対するセキュリティテスト、シミュレータ/テストベッドの活用事例、計測セキュリティという3つのテーマについて、それぞれのエキスパートの方々にお話を伺いました。本日はありがとうございました。
和栗 直英
シニアマネージャー, PwCコンサルティング合同会社
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。