車載機器向けファジングテスト支援サービス| PwC Japanグループ

セキュリティ開発における検証フェーズに該当するファジングテストを車載機器に対して実行し、テストレポートおよび異常発見時における再現性を確保するためのエビデンス（入力データなどの実行ログ）を提供します。ファジングテストの実施にあたっては独自のファジングツールを用いており、製品仕様および動作環境に応じた柔軟な対応が可能です。

コネクテッド製品の普及や、これらに対するさまざまな脆弱性報告の増加に伴い、自動車を対象とした国連法規であるUN-R155（CSMS※）や、欧州のサイバーレジリエンス法（CRA）など関連する法規制の施行が相次いでいます。そしてコネクテッド機能を持つ製品開発に携わる企業は、これらのサイバーセキュリティ対策に迅速に対応することが求められています。

車載機器については、CSMSによるリスクベースのセキュア開発プロセスに基づいたサイバーセキュリティ対策を行う必要がありますが、「その対策が正しく設計・実装されているか」「対策が合理的に想定される脅威とリスクへの十分な対応となっているか」を確認、実証するためのテストが必要になります（検証と妥当性の確認）。

こうしたテストで用いられる代表的な手法として「ファジング」があります。ファジングは、脆弱性を発見するための手法として古くから活用されており、上述の検証と妥当性確認においては、「機能が正しく実装されていることを確認する」ために行う検証（脆弱性テスト）の1つとして活用することができます。また、妥当性確認（ペネトレーションテスト）において、攻撃者目線で未知の脆弱性を発見するためのアプローチの1つとして利用することも考えられます（PwCのサービスは、前者の「検証」で行われるテストを想定しています）。

このように、ファジングはセキュリティテストにおける有効な手段の1つですが、複数の機能を持つ製品のそれぞれの機能をテスト対象とする場合、ツールを購入するか、複数のツールを組み合わせなければ、実施したい機能全てに対してファジングを実行できないことがあります。加えて、対象製品に合わせたファズデータや環境の設定を自身で行わなければならないケースもあるため、ファジングを実行するために必要な工数が増大してしまう可能性があります。

※CSMS（Cyber Security Management System）：サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任および管理を明確化したリスクベースアプローチの管理システム

PwCのファジングサービスは、自動車セキュリティに関する豊富な支援実績と、幅広い専門性を有する多様なPwCのプロフェッショナルが構築したファジングフレームワークにより、車載機器を中心とした製品の仕様やテスト要件に合わせて効率的かつ柔軟にファジングの実行を支援するサービスです。

ファジングサービスの流れ

ファジングサービスでは、ヒアリングによって決定した対象にファジングを行うための環境の構築から、ファジングの実行、実施レポートの作成までを包括的に支援します。テストで検出された問題の原因調査や関連資料作成などについては、クライアントの要望に応じてサポートします。個別にご相談下さい。

対象選定
- ヒアリングを通じて対象となるソフトウェアを決定
- 対象ソフトウェアが動作する環境のご提供要否や実施場所など、テストの実施条件についても併せて確認
環境構築
- 事前に確認した条件に基づいて環境構築および動作を確認
- 正常動作していることを確認するための情報提供のほか、動作確認が難しい場合には協力を依頼する場合があります。
テスト実施
- 構築した環境で動作する対象機器（ソフトウェア）に対してファジングを実施
- 異常が確認された場合は、事前に合意した方法・頻度で適宜報告
レポート
- ファジング結果を確認し、レポートを提出

ファジングサービスの特徴

PwCのファジングサービスは独自実装されたツールを活用しています。ツールには以下のような特長があります。

車載機器に特化したサポートプロトコル

標準規格に基づいたプロトコルであれば、主に車載機器を中心に過去の実績に基づいてあらかじめ用意されたファジング機能によって、必要最低限のセキュリティ品質を素早く確認することが可能です。また、後述するステートフルファジングによって、ECU（Electronic Control Unit、自動車の機能を電子制御するためのコンピュータ）間でシーケンシャルに通信を行うような機能にも対応することができます。

製品および環境に合わせた柔軟な対応

製品によっては、例えばCAN（Controller Area Network、シリアル通信の一種）のように物理層は規格化されているものの、実際の通信データはOEM各社によって異なるような独自の通信プロトコル（データ）を用いているケースや、ファジングツールが標準的にサポートしていない通信プロトコルのインターフェイスを持っているケースがあります。

これらのケースに対しても、独自開発されたツールによって柔軟にサポートプロトコルとして追加実装することが可能です。また、入力に対して出力が異なるインターフェイスになるような場合（例：CANインターフェイスへの入力に対して、電線によってモーターやアクチュエータを動作させる場合）において、CANへのファジングに加えて異なる出力インターフェイスに対する独自の死活監視を組み合わせるなどの対応が可能です。

ステートフルファジング

プロトコルによっては複数の状態を持つケースがあり、状態を意識しないステートレスなファジングの場合、特定の状態のみに対してアプローチすることとなり、対象の機能に対するテストとしては不十分な場合があります。

PwCのファジングツールでは、プロトコル仕様に合わせて、ステートマシンを記述できるようにすることで、UDS（Universal Diagnostic Service、故障診断やリプログラミングを提供する機能）のセキュリティアクセス（チャレンジレスポンス）やセッションを確立することで初めて機能として正しく動作するようなソフトウェア^※に対して適切にファジングを行うことができます。

※TCP/IPの3-way handshakeのような標準規格ではない独自のプロトコル（例：CANおよびUDS）の場合は事前に仕様情報の提供を依頼する場合があります。