自動車業界のためのサイバーセキュリティー サイバーセキュリティー実装の実践的ノウハウ サイバーセキュリティーは、自動車業界に多大な影響を与えるトピックです。オープンなインターフェイスとの結合によりシステ ムが車両自体よりもはるかに複雑化していく中で、厳密なリスク管理や継続的な品質保証、システマチックな開発プロセスが求 められています。本稿は、ベクターが強力なセキュリティー文化の醸成を目的として、自動車のサイバーセキュリティーのベスト プラクティスについてまとめたもので、Daimler、Hella、Infineon、Porsche、Thales、ZF、ベクターによる事例を取り上げ ています。業界の事例研究では、リスク志向の防御対策の実装方法を中心に説明しています。 世界中の企業と長年にわたる実績を築いてきたベクター・グループ 完全なセキュリティーは存在しない 「サイバーセキュリティーがすべての CEO の Thomas Beck は、 企業にとって大きな課題となる日が来た」と、述べています。2007 年、バーデン = バーデンにてプレゼンテーションを行ったベクター・ 「完全なセキュリティーは存在しない。複雑なシステムには必ず弱 グループは、機能安全の観点からセキュリティーの重要性が高まっ ディレクター、Christof Ebert 氏によるこの言葉には、明確な ていることについて初めて言及し、実践的な貢献と自社のソリュー メッセージが込められています。各企業は、自社製品やプロセス、 点がある。」Vector Consulting Services のマネージング ションを提示しました。それまで、自動車分野ではセキュリティーは サプライチェーンのライフサイクル全体を通して確実に機能し、 ト 必要ないというのが多くの企業の見解でした。しかし、2016 年にベ レーサブルなリスク指向型サイバーセキュリティーの管理体制を クターシンポジウム 2016 で示されたように、この考え方は今や完 構築しなければなりません。ベクターの経験では、セキュリティー 全に変化しました。自動車メーカー、サプライヤー、IT 関連など各 が組織内で開発された暗号化方式などの個別対策に限定されてし 方面の企業がシュツットガルト・リーダーハーレ(コンベンションホー まっている場合が多いことが分かっています。暗号化ソリューショ ル)に集まり、サイバーセキュリティーに関するノウハウを共有しま ン、キー管理、コード解析、ファズテスト(ファジング)、ファイアー した。本稿では、このイベントの内容と実践的なヒントの数々を紹 ウォールは必要な機能ですが、脆弱性への対策が不十分な状態で 介していきます。 は、あまり価値がありません。ベクターが行った顧客アンケート調 査の結果を見ると、セキュリティー関連のインシデントのうち、約 90% がヒューマンエラーによるものでした。 01 Technical Article / September 2016 これに対処するには、セキュリティーを機能ごとに特定した上でシ の導入をも遅らせる」と説明しています。また、Porsche AG の ステマチックに開発し、継続的に検証と妥当性確認を行うリスク志 を示したもので、特に内部または外部で発生する危険について言 「セキュリティーのコンセプトは車両 Christian Meineck 氏は、 本体と車内 / 車外の IT ネットワークを考慮したものでなければなら ない」と付け加えます。図 2 は、典型的な攻撃パターンの一部とメ 及しています。攻撃が外部からしか来ないと考えるのは、認識不 ーカーによる評価方法を示しています。個別に機能するユニットは 足といえます。脆弱性は開発プロセスに不備があったり、システマ 「マスターアクセス」などの意図的に仕組まれたエラーが原因の 過去のものとなり、複雑化した車両システムでは、 「 OTA( Over The Air )」による短時間での継続したソフトウェアアップデートな ど、今日すでに複雑な ITシステムで実際に使用されているようなソ 場合もあります。企業はサプライチェーン全体を保護すると同時 リューションが必要です。標準規格を作ることで交流による情報共 向の文化を作り出す必要があります。図1はこのバリューチェーン チックにリリースが行われない場合に起こりますが、 「バックドア」や に、意識的に自分たちの視点も変えていかなければなりません。 有が迅速に行われ、それぞれの業界で何度も失敗がくり返されるこ 攻撃者の視点から考え、それをベースにしてエンジニアまたはマ とを防ぐことができます。 ネージャーとして予防策を講じる能力が必要です。この防御策は、 特に納入直前に変更が行われた場合や、オリジナルリリース後、何 車両内で高度に相互接続されている機能が、よりオープンなインター 年も経過してから製品のバリアントリグレッションが発生した場合 フェイスによって外部とも接続されるようになったことで、特定の にも、必ず機能する必要があります。 機能だけが影響を受けるのではなく、システムグループに属し、そ 全体論的アプローチ これは電装系以外でも同様です。機能的なインシデントやバスシス の特定の機能と通信するさまざまな機能も影響を受けています。 テムへの攻撃があった後、機械的な不具合や消耗に対する警告が ハッカーや不正利用に対する絶対的な防御策がないため、サイバー 機能しなくなる場合などがその例です。デンソーの後藤正博氏およ 攻 撃 はさまざまな 業 界にお い て 大きな 商 業 的リスクとなって い び Martin Prisching 氏は、安全とセキュリティーをペアで考え ます。Daimler AG の Lorenz Slansky 氏は、 「ブランドにとっ る必要があると指摘しました。これは、アタックツリー解析( ATA ) てサイバーセキュリティーの重要性が高まり、それが競争上の優位 をフォールトツリー解析( FTA )で補完して 2 種類のリスクにシステ 性を決定づけるものになっている」と、強く述べています。車載情報 マチックに対応することで実現します。二人にとって、いわゆる「多 などのクリティカルなシステムにとってセキュリティーの重要性は 層防御」というコンセプトを実現するには、セキュリティーアーキテ 高く、ユーザビリティーの低下を理由にセキュリティーが侵害され クチャーの全層において、継続的にセキュリティーを確保する必要 ることがあってはなりません。防御システムの開発における重要な があることは明白でした。図 3 は協調型アダプティブクルーズコント 課題は、全セキュリティー要件の特定、セキュリティー機能のシステ ロール( CACC )の例で、さまざまなセキュリティーがどのようにし マチックな実装、そして関連するセキュリティー要件がすべて満たさ てネットワーク内の脅威を防御するのかを示しています。Hella の れていることを証明するためのセキュリティーチェックです。SAE Katharina Lohmann 氏は、特に検証と妥当性確認について大 J3061 などのセキュリティー規格を参考にすれば、自動車以外の きなニーズがあるとみています。技術開発や保守時のエラーをシ 業界の情報を基に、不可欠なソリューションを短期間で実装するこ ステマチックに防止するために、SPICE などのプロセスフレーム とができます。独自開発のメカニズムによるセキュリティーはうわ ワークが使用されていますが、追加テストや納入の前に新しいソフ べだけの場合が多いことを知るSlansky 氏は、 「あいまいなセキュ トウェアリグレッションをすべてシステマチックにスキャンし、ファズ リティーではハッカーを防げないだけでなく、優れたソリューション テストやペネトレーションテストなどを新しいテスト手順として導入 図 1: リスク志向のセキュリティーでは、ライフサイクル全体を考慮しなければならない 02 Technical Article / September 2016 図 2: 車両内での攻撃パターン するなど、検証作業の改善を早急に行う必要があります。ベクターの が高い場合、セキュリティーと矛盾することも多く、最終的に阻害して Günther Heling 氏は、先進的な AUTOSAR ベーシックソフト しまうこともある」と、ミシガン大学のAndre Weimerskirch氏は ウェアを開発・納入した自身の経験から、厳密なリリース基準を持つ 強調します。車車間(C2C)および路車間(C2I)通信用の公開鍵基盤 自動化されたサプライチェーンだけが必要な品質を確保できると ( PKI )の世界最大のフィールドテストにおいて、Weimerskirch 氏 強調します。 は性能要件とデータ保護の両立を実現しました。彼のロジックは「最 も優先されるのが機能安全、次にプライバシー」で、いたってシンプル ソリューションとしての暗号化 です。Thales の Dietmar Hilke 氏は、より高度なセキュリティー 今日、暗号化方式はセキュリティーソリューションにおいて不可欠な て設計されるセキュリティーは重要なツールであり、また、彼はITと医 要件に対するソリューションを開発しています。自身の経験に基づい ものとなっています。Cryptovision GmbH の Klaus Schmeh 療免疫学の融合を図っています。複数の耐性を持つ細菌があるよう 氏は、10 の 38 乗のキーを使うAES 暗号化方式は、量子コンピュー に、攻撃も常に新たなパターンが開発され続けています。システミッ ターをもってしても近い将来解読されることはないと考えていま クレジリエンス (システム全体の弾力性、復元性) により、抵抗力は高ま す。大きな課題の 1 つは、AES やその他のセキュリティーメカニズ り続けます。セキュリティーは設計から始まりますが、ライフサイクル ムを有効な方法で車両 IT システムに統合することです。 「性能要件 (その長さにかかわらず)全体にわたる作業でもあります。 図 3: 全体的な防御には、全セキュリティー層が必要 03 Technical Article / September 2016 企業は、ECU やネットワークレベルのパッチだけでは一貫したリス す。実務上、この作業はアーキテクチャーとコンポーネントのリリー ク指向のセキュリティーの実現は難しいことを認識しています。セ スを担当するセキュリティーマネージャーが統括します。変更管理 キュリティーはアーキテクチャー全体に講じる必要があります。図 4 委員会が規定の基準に従って脅威を評価し、実装前にさまざまなソ はサブネットを明確に分離した、ベクターのリファレンスモデルを示 リューションのアセスメントを行えるよう、技術的側面のみならず、 したものです。これらのサブネットの間には、ファイアーウォールと そのプロセスも強化する必要があります。定期的にアーキテクチャー 侵入検出システムが配置されます。ベクターのEduard Metzker を見直し、セキュリティーに重点をおいてテストストラテジーを調整 氏は、現在の環境状況下においては、段階的なモードで実装可能な することで、開発者とマネージャー間における「セキュリティーは一 この分散セキュリティーアーキテクチャーがベストな方法であると 時的なものではなく、すべてのプロジェクトに実装すべきだ」という 捉えています。これはデンソーやその他の Tier 1 サプライヤーが 相互理解が深まります。このようなコンセプトは単純に強制できる 表明している、多層化されたセキュリティーアーキテクチャーが必 ものではありません。組織内に、 しっかりとした軸となる理解が必要 要です。ハードウェアベースのアンカーと最新の暗号化ソリューショ です。ベクターは、自社プロジェクトを通じて、各プロジェクトチー ンを持つ AUTOSAR を始めとし、個々のコンポーネントが個別に ムが具体的で明確な責任を担うことにより、その振る舞いが変わ 強化されます。ZF の Achim Fahrner 氏は、この多層化において り、セキュリティーを持続可能なものにできると報告しています。 レジリエンス(復元性)と堅牢性を下層から構築するための暗号化 コプロセッサ ー 、そして ハ ードウェアセ キュリティー モジュー ル セキュリティーにはシステマチックな対処が必要 ( HSM )の重要性を強調します。ステアリングやブレーキなど、安 全性最優先のサブシステムへの通信は、インフォテインメントシス ベクターのサイバーセキュリティープロジェクトには、明確なメッセー テムやその他の脆弱なシステムとは直接接続してはいけません。こ ジが込められています。それは、自動車のサイバーセキュリティー れは、使用が増加している「 OTA(Over The Air )」でのアップデー をシステマチックに実装できるか、あるいは効果のないその場しの トにおいて特に重要です。Infineon の Axel Freiwald 氏は、 ぎの対策となってしまうのかは紙一重であるため、専門家によるサ 「 OTA はリコー ル 数を減 少させるが、既 存 のネットワーク内で使 ポートが必要だということです。セキュリティー攻撃には、力ずくで 用する前に厳重に保護しなければならない」と強調します。ロール 弱点に付け込むというよりも、セキュリティー上の不備を突くという バックや可用性などの IT 要件が増加しているだけでなく、各制御 パターンがよく見られます。たとえば、ファイアーウォールやゲート 装置へのソフトウェアのセキュアな配信に対する要件も増加して ウェイのコンフィギュレーションにおけるエラーの存在や一貫性の います。 ないソフトウェア変更の実施、またはユーザーインターフェイスが 複雑でセキュリティーが変更できず対策がデフォルト状態のまま放 組織内で開発されたアーキテクチャーを段階的にモジュール化す 置され、攻撃に対して脆弱な状態などを示します。ベクターは、脅 るため、企業はサイバーセキュリティーソリューションに加え、シス 威評価を基本とし、検証や監視用のインフラストラクチャーコンポー テムや IT アーキテクチャーにおいて自社の競争力を高めなければ ネント / ツー ル の 提 供から、アーキテクチャーレビューやセキュリ なりません。そうした企業では、さまざまな組織的ユニットを持続的 ティーコンサルティングまで、幅広いノウハウを積み上げてきまし にサポートするためのストラテジーも同時に実装する必要がありま た。ライフサイクルが一貫することでのみ、サイバーセキュリティー 図 4: 実際の設計によるセキュリティー:異なるサブネットは可能な限り分離すべき 04 Technical Article / September 2016 は実装できます。ベクターの Ebert 氏は、 “ 初期のハザード解析か らアーキテクチャーの決定まで、また、新規納入時および販売後の 変更管理時の検証からリグレッションテストまで” をモットーに、 「持 続可能なサイバーセキュリティーには、継続と専門家の協力が必要 執筆者: Christof Ebert Vector Consulting Services GmbH のマネージング ディレクター。 です」と述べています。 ベクターのサイバーセキュリティーソリューションの詳細は、下記の Web ページからご覧いただけます。 www.vector-japan.co.jp/vj_security_solutions_jp.html Eduard Metzker Vector Informatik GmbH のセキュリティー担当ソリュー ションマネージャー。 本 稿 は 、2 0 1 6 年 9 月 にドイツ で 発 行 さ れ た 自 動 車 技 術 専 門 誌 『 Elektronik automotive, special issue on Software 』に 掲載された記事内容を和訳したものです。 画像提供元: 表紙画像および図4:Vector Informatik GmbH 図1:Vector Consulting Services GmbH 図2:Porsche AG 図3:Denso Automotive GmbH ■ 本件に関するお問い合わせ先 ベクター・ジャパン株式会社 営業部 (東京) TEL:03-5769-6980 FAX:03-5769-6975 (名古屋)TEL:052-238-5020 FAX:052-238-5077 E-Mail:[email protected] 05
© Copyright 2024 Paperzz
