{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
セキュリティー新時代(3)コネクテッドカーのサイバー耐性を強化
2018-10-03
つながる車に600の脅威
自動車産業は100年に1度の変革期と言われ、IT(情報技術)の巨人や新興企業も交え自動運転車やインターネットにつながる車の開発競争が激しくなっている。PwCストラテジー&の調査では2017年に米国、欧州、中国で販売された新車の約9割がつながる車で、22年以降にこれらの地域で販売される新車はすべてこの種類の車になると予測されている。
つながることが当たり前となった現在、気になるのはサイバー攻撃である。実際ここ数年、自動車に対するサイバー攻撃の可能性について、研究者から多くの報告が出ている。15年には遠隔でハンドル操作できることが実証され、約140万台の自動車がリコールされた。現時点では、認識されたサイバー攻撃は報告されていないものの、もはや時間の問題のようにも思える。
では実際に、これからの自動車にはどのようなサイバー脅威が考えられるのか。17年度にPwCが内閣府の委託事業として実施した自動車の情報セキュリティーの実証実験が参考になる。20年代前半の自動車をモデルとして想定し、そこに内在するサイバー脅威を洗い出したのだ。その結果、約600件の脅威が存在することがわかった。
特に影響の大きいサイバー脅威として「ソフトウエアのアップデートプロセスの妨害」「交通インフラや周辺を走行する自動車との通信妨害」が挙がった。前者は自動車を制御するソフトウエアに対する攻撃で、正しいソフトウエアにアップデートされない恐れがある。後者は自動運転車が周辺環境を正常に認識することを妨害するものである。いずれも攻撃や不具合発生のタイミングによっては自動車事故に直結する重大な脅威といえる。
ここで示したのは一例であり、実際には他にも多くのサイバー脅威が存在する。そのため、企業は製品開発の初期段階や、出荷後の定期的なタイミングで自社製品のサイバー脅威を分析し、洗い出された脅威に対して効果や対策コスト等を考慮し対応の優先順位を決定する必要がある。
こうした活動は非常に負荷のかかる業務であり、一つの組織で対応できる範囲とスピードには限界がある。車のセキュリティー情報などを共有する団体「Auto-ISAC」などで業界関係者と積極的に交流し、対応能力の向上を図ることも重要である。
表1:つなげる車のサイバー脅威の例
車の対策、3つのポイント
インターネットと密につながるようになった自動車には現時点で600件のサイバー脅威が内在することが分かった。攻撃に耐える自動車を世の中に送り出すためのポイントを3つ紹介する。
1つ目は、製品の情報セキュリティー管理態勢の構築である。これまでは、自動車会社で情報セキュリティーに関する業務の担い手は情報システム部門であった。しかし、つながることにより自動車のライフサイクルのすべての段階で情報セキュリティーへの対応が必要となっている。
開発段階では、車をサイバー攻撃から守るセキュリティー要件を策定し、これが実装されていることを評価・確認することが必要となる。製造段階では、製品に誤ったソフトウエアやデータが混入しないよう、生産設備への対策が欠かせない。製品出荷後の運用段階では、セキュリティー上の脆弱性が発見された際にソフトウエアアップデートによる対応が求められる。最後に自動車を廃棄する際には、個人情報などを消去しなければならない。
このような業務はこれまでの自動車会社の開発、製造、品質などの部門には存在しなかったものである。いずれも対応が漏れると最終的には自動車のセキュリティー品質を損なう恐れがあるため、関係部門を巻き込みながら管理態勢を構築しなければならない。
対策が必要なのは自社だけではない。分業体制による製品開発が一般的なため、自動車会社は部品メーカーと協力し、サプライチェーンの管理態勢も構築しなければならない。これが2つ目のポイントである。
その際に重要となるのは両者の情報セキュリティーに関する責任をどこで分けるか、境界の明確化である。情報セキュリティー対応が不十分な場合、リコールにまで発展しうることを踏まえると、可能な限り責任の所在をはっきりさせておくのが重要なことは、容易に想像できるであろう。
3つ目は人材育成である。自動車の急速なデジタル化は既存の組織への情報セキュリティーに対応する役割の追加を要請しているが、これまでIT(情報技術)とは縁遠かった自動車業界の基幹部門には情報セキュリティーに知見のある人材が十分に割り当てられていないのが実態である。
しかし、つながる車のサイバー脅威は現実のものとなっているだけに、ゆっくりと育成する時間はない。2、3年などの短期間で十分な人材を確保するためには、内部での人材育成と合わせて外部からのセキュリティー人材の獲得を検討することも重要である。
いずれも一朝一夕では対応できないものばかりであるが、安全で快適なモビリティー社会が訪れることを期待している。
図1:つながる車のセキュリティー対策
大城 理
PwCコンサルティング合同会社 マネージャー
※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。
※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。
※法人名、役職などは掲載当時のものです。
日経産業新聞 連載寄稿 セキュリティー新時代
- セキュリティー新時代(1)ネット接続1250億台のリスク
- セキュリティー新時代(2)制御システムをリスクから守る
- セキュリティー新時代(4)攻撃者目線の評価が重要
- セキュリティー新時代(5)製品メーカーに求められるセキュリティ戦略
- セキュリティー新時代(6)個人情報、法規制にも留意
- セキュリティー新時代(7)人間の脆弱性もリスク
- セキュリティー新時代(8)CSIRTとPSIRTでサイバー事故に備える
- セキュリティー新時代(9)守る情報資産を棚卸し
- セキュリティー新時代(10)「分散台帳技術」は万能か
- セキュリティー新時代(11)日本の経営者、もっと前に
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
