セキュアでない自動車は作れなくなる・日本の取組み最前線…名古屋大 倉地亮氏［インタビュー］

モビリティサービスの普及とともに、避けられない議論のひとつがサイバーセキュリティだ。一般にはハッカーによる車両の遠隔操作のようなイメージがある。しかし、自動車セキュリティにおいて車両へのハッキング問題はその一部でしかない。

無論、人が乗っている自動車へのサイバー攻撃は無視していい問題ではないが、車両に必要なセキュリティ要件はそれだけではない。基本安全性能や信頼性にかかわる重要な機能・要素である。さらに今後は、OTA(Over The Air)やセキュリティアップデートが型式認証や車検にも深くかかわってくる。わかりやすく言えば、自動車もIT機器や重要インフラなみのサイバーセキュリティ機能を持たないと製造・販売ができなくなるということだ。

多岐にわたる自動車サイバーセキュリティ

――自動車のサイバーセキュリティ研究というのはどんなことをしているのでしょうか。

倉地氏（以下同）：大学では組み込みシステム向けネットワークのスケジューリング解析のほか、制御システムの設計手法について研究しています。また、セキュリティの範囲は広いものです。自動車だけをとっても、車載ネットワークのセキュリティから、クラウドサービス・ITシステム、間をつなぐネットワークセキュリティと車載システムのゲートウェイやIVI(In-vehicle infotainment)など様々な機器が搭載されています。さらには従来からの盗難や事故に対する物理セキュリティも必要です。私は、主に車載ネットワークや制御システムの保護・強化技術を研究しています。

もう少し具体的にいうと、車両のECU・制御システムではリアルタイム性や省電力性を確保したセキュリティ強化技術が必要とされるため、演算コストを下げ、効果的に保護するためのハードウェアやソフトウェア技術が必要です。実際の制御システムでも、徐々にハードウェアセキュリティモジュールと呼ばれるチップの搭載が進められており、今後はTPMのような一般的なコンシューマデバイスに搭載されるチップが適用されることも想定されます。TPMはWindows11からPCのハードウェア要件として必須となった、暗号化や認証をハードウェアレベルで行うチップです。しかしながら，適切に実装できなければ，リアルタイム性の確保やセキュリティ強化が不十分になる可能性があります。さらに、サイバー攻撃やエラー、システム障害などを含むサイバーインシデントへの耐性を高めるために、搭載されるハードウェアと信頼できるソフトウェアプラットフォームがより重要になると考えており、それらの実現に向けた研究開発を進めております。

――クラウドやインターネットとの通信ではなく、車両の制御システムに暗号化チップを載せるのですか？

はい。一般的なECUはCANバスなど車載ネットワークを通じて制御データを連携しながら制御を実現しています。このデータを暗号化したり、正規のECUからの命令、データだけが正しく処理されるように認証を行うために必要です。

仮に車載ネットワークへの侵入や攻撃を許したとしても、正規の命令が暗号化されていればどんな処理が行われているか、どんなデータがやりとりされているのか守ることができます。不正な命令を実行しようとしても、認証鍵がなければ実行できません。

盗難対策＋情報保護が必要になる

――自動車のハッキング実験やデモがニュースになることがありますが、そのような攻撃被害はあまり聞きません。コネクテッドカーではそのようなリスクが現実のものとなってきているのでしょうか。

幸いにも、多くのハッキング事例は、実際の攻撃ではなく研究者による報告や論文です。現状では、リレーアタックやCANインベーダーのような車に近づかないと成立しないものが現実のリスクといえるかもしれません。しかし、CANインベーダーの攻撃も適切な保護機能があれば攻撃を防ぐことができると考えます。

また、コネクテッドカーのリスクが広がっているのも事実なので、インターネットやクラウドと車両の通信部分は、既存するインターネットのセキュリティ技術が必要です。

どんな対策がとられているのか

――ドアロックやインターネットとの接続口だけでなく、車両内部のセキュリティ確保も求められているわけですね。

車両内部のセキュリティは、既存のITセキュリティが適用しにくい、できない部分があります。自動車という人が運転して移動するという特性、車種ごとに異なるECUやプログラムで動いている点、法的な安全基準などです。また、制御システムがのっとられてしまうと乗員や車両周辺の安全が確保できません。近い将来には、シェアリングカーやEVの充電では、課金に関連して車両情報や個人情報のやりとりが発生します。

サイバー攻撃のリスクは、攻撃者側のモチベーションと連動しています。課金にからむカード情報、個人情報、プライバシー情報などは、攻撃者にとって狙う価値があるものです。対策は必須です。

――業界内部でも自動車セキュリティへの意識は高まりつつあるということでしょうか。

はい。しかし、この分野で先行しているのはやはりアメリカやEUです。自動車セキュリティへの取り組みや強化技術の研究は、各国が注力しています。比較的新しい分野で、研究開発や標準化においては日本でも一部の方が大変尽力されていますが、欧米中心であることは否定できません。セミナーでは、このあたりの問題意識も説明したいと思っています。

日本にも優秀なセキュリティエンジニア、研究者はたくさんいます。しかし、自動車業界ではまだまだ足りていない状態です。自動車業界の人材育成だけでなく、他業界の人材やリソースとの連携を広げたいと思っています。

とくにセキュリティ要件は、今後の車両開発、型式指定、車検などにも影響する項目です。日本でも、道路運送車両の保安基準が見直され、コネクテッドカーは一定のセキュリティ要件を満たす必要があります。2015年には研究者が発見したジープの脆弱性が140万台のリコールにまで発展しました。いまやサイバーセキュリティを設計段階から組み込んでおかない自動車メーカーは、経営リスク、企業ブランド棄損のリスクを抱え込むことになります。

さきほど説明した、車載ネットワーク（CAN）のセキュリティの動きに加え、車載電子制御システムへの侵入や異常を検知するIDS（侵入検知システム）の研究、SIEMと呼ばれるログやイベント監視システム、そのレポートを外部のSOC（セキュリティオペレーションセンター）が活用分析するといった研究開発も多数行われています。今後は、車両内部では検知しきれないサイバー攻撃を車両外部のSOCと連携することにより、早期に発見し対処することがより重要になると考えられます。

自動車もPCのようなアップデートが必要になるのか

――ITの世界では、ソフトウェアの脆弱性について、セキュリティパッチの公開手順などについて国際的な枠組みがあります。自動車にも同様な枠組みが広がるでしょうか。

はい。自動車業界でも脆弱性ハンドリングに関する動きがあります。テスラなどは、自社の車両について脆弱性を発見して報告してくれたユーザーや研究者に報奨金を出すプログラムを行っています。日本では、昨年、自工会の作業部会から独立する形でJ-Auto ISACが一般社団法人として立ち上がりました。ISAC(Information Sharing and Analysis Center)は金融、ソフトウェア、医療など業界・業種ごとのセキュリティ情報、脆弱性情報、攻撃情報を共有するための組織です。

自動車の場合、ソフトウェア製品のような形のアップデート、セキュリティパッチの対応（脆弱性ハンドリング）は難しい部分があります。実際に走行している車両に新しいソフトウェアやパッチを適用する場合、事前に十分な安全性の検証が必要です。すべてがOTAで対応できるわけではありません。

ただし、OTAによるソフトウェアやファームウェアの改修・アップデートを見据えた枠組みは整備されつつあります。国連欧州経済委員会の作業部会であるWP29（自動車基準調和世界フォーラム）が策定したUN-R155とUN-R156は、まさに車両に必要なサイバーセキュリティ要件やソフトウェアアップデートに関する規則を明文化したものです。

このうちUN-R156は、最終的にはOTAによるリコール対応まで見据えているものとみていいでしょう。自動車におけるソフトウェアコンポーネントの管理の重要性が高まっていますが、これは同時にセキュリティ強化の重要性の高まりも意味します。