ネットワーク連携が進む次世代自動車・サービスロボット等の利用者安全を保証するセキュリティ対応ソフトウェアプラットフォームの研究開発後藤孝一はじめに本資料は、2014 年 1 月 17 日に東京で開催された第 11 回クリティカルソフトウェアワークショップ※2 において、「安全性、信頼性、セキュリティ」をテーマに当社社員が講演したものである。以下、本講演のポイントについて記載する。また、次ページより講演資料を掲載するため、参考にしていただきたい。 1. 研究の背景現在の自動車に搭載されている車載電子制御システムは、ネットワークに繋がらない環境で動作することを前提としている。しかし近年、Connected Car の普及が始まりつつあり、電子制御システムも公衆ネットワークに繋がる環境で動作することが当たり前となっていく時代に変化しつつある。 2. セキュリティ対応の必要性米 Washington 大学 Kohno 博士らの実証実験論文では、CAN 通信のセキュリティ脆弱性を攻撃することにより、エンジン動作中の CAN 通信停止や ECU 書換えモード移行に成功したと報告されている。公衆ネットワークとの接続を想定していない既存の自動車では、悪意ある攻撃を防御する機能が搭載されておらず、車載電子制御システムを乗っ取られる危険性が懸念される。そのため、 Connected Car における新たなセキュリティ脅威から防御するために「セキュリティ対策機能」を車載電子制御システムに搭載する必要がある。 3. セキュリティ脅威への対策セキュリティ脅威となる悪意ある攻撃は、攻撃者や攻撃技術が常に進化していく。そこで、セキュリティ脅威の対策としては、悪意ある攻撃を他部位に広めないだけでなく、多種多様な悪意ある攻撃へ柔軟に対策できることが重要なポイントとなる。そこで本研究では、公衆ネットワークに繋がる環境で動作する車載電子制御システム向けの「セキュリティ対応ソフトウェアプラットフォーム」を開発する。セキュリティ対応ソフトウェアプラットフォームとは、TOPPERS プロジェクトよりオープンソースとして公開されているパーティショニング OS である TOPPERS/PARK をベースとし、パーティショニング機能、時間保護機能、メモリ保護機能、サービス保護に加え、認証機能、暗号化機能、ログ管理機能、故障検出機能、セキュアブートといったセキュリティ機能を持った新しいプラットフォームのことである。また、これらのセキュリティ機能は、以下より導き出している。  制御セキュリティの国際規格である IEC62443 3-3 にて規定されているセキュリティ要求  車載電子制御システムの一部を想定システムとしたセキュリティ分析 4. セキュリティ脅威に対する効果本研究では、Connected Car が抱えるセキュリティ脅威の課題解決を目指している。自動車が社会統合システムの一員として公衆ネットワークに繋がることで懸念されるセキュリティ脅威に対し、本研究成果は有効な防衛手段であると考える。また、今後公衆ネットワークに繋がることが想定されるサービスロボットやその他の組込み分野へも、本研究の技術が応用できると考えている。筆者紹介後藤孝一 (Koichi Goto) 組込制御開発部スマートシステム統合 PF 開発室所属 2005 年 (株)ヴィッツ入社。AUTOSAR システムインテグレータとして車載電子制御システムの開発を担当。 2012 年より「ネットワーク連携が進む次世代自動車・サービスロボット等の利用者安全を保証するセキュリティ基盤ソフトウェアの研究開発」に従事。 9 ※2：クリティカルソフトウェアワークショップ(WOCS: Workshop Of Critical Software)は、（独）宇宙航空研究開発機構（JAXA）と（独）情報処理推進機構（IPA）が開催しているワークショップのことである． 10 11 12 13