{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2019-10-09
前回は、製造フェーズにおけるセキュリティ活動について考察しました。第8回は、自動車を出荷した後に必要となるセキュリティ活動の在り方について考察します。
従来の自動車開発において、製品の品質を高める活動は、出荷前の開発や製造フェーズで実施するものでした。セキュリティ活動と同様に、出荷前のセキュリティ対策が重要であることは、本シリーズでも前回までに紹介したとおりです。ただし、セキュリティの観点では、いくつかの理由で、出荷後であってもセキュリティ対策を実施する必要があります。背景には、製品を能動的に攻撃する攻撃者の存在があります。
攻撃者は新しい攻撃手法を発見するなど、新たなやり方を試してくることがあります。製品出荷前のある段階では十分な対策であったとしても、新たな攻撃手法が見つかることで、防ぐことのできないものが登場するかもしれません。攻撃を進化させる能動的な攻撃者に対処するためには、製品出荷後のセキュリティ環境の変化に追従するためのセキュリティ対策が必要になってくるのです。
出荷後に実施すべきセキュリティ対策は、ISO/SAE 21434における「サイバーセキュリティ監視」「脆弱性対応、ファームウェア更新」「インシデントレスポンス」といった活動です(図表1参照)。サイバーセキュリティ監視は車両などを監視し、自動車への攻撃を検知する活動です。脆弱性対応、ファームウェア更新は、出荷後に脆弱性が発見された際に、修正したファームウェアを用意し、車両を安全な状態に更新するもの。インシデントレスポンスは、攻撃を検知した後に、その内容を踏まえて被害の発生を防ぐことを目的としています。
これまでもIT業界では、類似の活動が実施されてきました。IT業界での活動内容やノウハウを、いかに自動車に適用するかを検討することが重要な観点です。
車載IDSとは、車両に搭載される部品もしくはソフトウェアであり、車両や車載部品が攻撃を受けていることをリアルタイムに検知するための機器です。車載IDSはネットワーク型とホスト型などの種別があり、車両ネットワークを流れるデータ、部品への通信データ、部品上で動くソフトウェアのふるまいなどを分析し、車両への被害を発生し得る攻撃、もしくはその可能性を分析・検知します。攻撃者の攻撃に対応するためには、まずは攻撃の発生を特定できなければ活動を開始することができませんので、先に説明した攻撃者の存在を踏まえれば、今後特に重要になる技術と言えます。
また車載IDSとの組み合わせで、車両向けのSoC運用も利用検討が進められています。車載IDSは車両内にあり、限られたリソースで動作することから、複雑かつ大量なデータを分析することには向いていません。そのため、車載IDSでは簡易な分析にとどめ、クラウド環境などに用意したSoCに必要なデータを送信し、複雑な分析などを任せる構成をとります。SoCは、複数の車両から送られた大量のデータを分析し、攻撃の兆候を捉える役割を担います。また、SoCで特定車両に対する攻撃が発見した場合に備え、SoC側から当該車両に指示を送り、通信遮断などの対処を開始する機能も合わせて構築することで、将来のサイバー攻撃に備えます。(図表2参照)
今回は、自動車業界では従来活動されてこなかった製品出荷後のセキュリティ対策3つのうち「サイバーセキュリティ監視」について考察を進めました。第9回は、今回取り上げられなかった製品出荷後のセキュリティ対策「脆弱性対応、ファームウェア更新」「インシデントレスポンス」活動を紹介いたします。