自動車がソフトウェア定義（SDV）になる今だからこそ考えるセキュリティ…マイクロソフト 萩原彩子氏［インタビュー］

SDV（Software Defined Vehicle）、ソフトウェアファーストの時代で、とくに重要とされるのはセキュリティである。自動車業界のサイバーセキュリティのリスクは他業界と比べてそれほど深刻なものではないと考えている人も少なくないかもしれない。だが、SDV、次世代車両が増える今、取り組まなくてはいけない自動車産業の課題なのである。

なぜセキュリティ対策が必要なのか

自動車セキュリティというと、ADAS機能や自動運転車両の機能安全（ISO 26262）やWP29の作業部会の話なので、（E/Eではない）自分の部署には関係ないと思っていないだろうか。2022年に改正された道路運送車両法では、業界サプライチェーン全体に関わるセキュリティ規定がある。

「セミナーではまずもっと基本的な部分から、なぜ自動車業界にサイバーセキュリティ対策が必要なのか、なぜサプライチェーン全体の問題なのかを解説します。自動車業界に限ったことではありませんが、セキュリティ対策はコストセンターと捉えられがちで、利益に貢献しないという考え方があります。しかし、自動車に対するサイバー攻撃が急増している昨今を鑑みると、ドライバーや乗客たちの安全・安心を担保するためには、自動車製品においてセキュリティ対策は必要不可欠なのです。しかし、その認識が足りないと投資も躊躇してしまいます。」（萩原氏：以下同）

業界がサイバーセキュリティに取り組まなければならない背景のひとつは、前述した法改正による対策の義務化があげられる。WP29で策定されたUN-R155（車両向けサイバーセキュリティ対策）および156（ソフトウェアアップデート管理）は、当面、新車車両のみの義務化対象だが、段階的に全車両にも適用が拡大される。

WP29と狙われるサプライチェーン

自動車産業が100年に一度と言われる変革期を迎えている最中、サイバー攻撃は日々高度化し、自動車業界がターゲットになっていることは顕著だ。

「セミナーでは国内外の攻撃事例も紹介する予定です。サイバー攻撃で車両の製造ラインが止まったり、製品が販売できなかったりという被害は海外だけでなく国内でも現実的に起きています。WP29が求める自動車サイバーセキュリティ対策は、車両ハードウェアの安全対策だけでなく、車両の製品開発、製造、運用/保守、廃棄まですべての自動車ライフサイクルにおいて外部からの攻撃による被害を抑えるためのセキュリティを考慮した取り組みを規定しており、対応できなければOEMは新しいクルマを販売することができないのです。」

OEMやTier1などは、法改正を見据えて、すでに組織的な対策を立てているだろう。しかし、Tier2以下ではほとんど対策が取られていないのが実態で、対策の取り方すら分かっていないところも多いのではないだろうか。そんなTier2以下をOEMやTier1がガイドし、サプライチェーン全体としてセキュリティレベルの底上げしていくことが今後の業界の動きとなる。

車載ソフトウェアの更新管理でセキュリティを担保する

セキュリティ管理や対策は車載ソフトウェアにも適用される。

「SDVの時代では、車両1台あたりのプログラム行数が1億5千万行から3億行を超えるまでに達するといわれています。ソフトウェア単体のコードチェックやモジュール単位でのセキュリティ、ソフトウェアシステムとしての信頼性や堅牢性の検証、攻撃対策や侵入テストを行う必要があります。品質管理プロセスの一部でもある、ソフトウェアを更新するプロセス要求への適合が必要です。」

ハードウェアとしての車両は、欠陥や不具合がない100％の状態で出荷されることが原則だが、ソフトウェアの脆弱性は100％排除することは不可能なため、セキュリティアップデートをかけることで品質や安全性を担保する。ソフトウェアファーストのSDVでは、OTA（Over The Air）機能は非常に重要であり、これからの品質や安全性の考え方を変える必要がある。

「WP29のコア要件であるOTAは従来かかっていたディーラーからの莫大なリコールの請求費を劇的に削減できる可能性がありますが、同時にハッカーたちにとって絶好のアタックパスだったりします。なぜならOTAを乗っ取れば大半の攻撃は成功してしまうからです。そのため、システム全体に渡る広範なセキュリティの専門的知見の需要はますます高まっています。」

「今」そして「これから」の自動車産業を支えるための必要な対策

すでに、ソフトウェア業界だけでなく、IoT化が進む家電製造業や重要インフラ事業（通信事業者、交通事業者、ガス・電力会社など）にも脆弱性の管理やセキュリティ対策のあり方は浸透している。

萩原氏は「SDVでは、クラウド環境でソフトウェア開発やシミュレーション実行テストを行うことで効率よくクルマを開発できることを企図しています。海外OEMやTier１はクラウドベンダーのアジャイル開発知見やセキュリティノウハウを存分に活用することにより、SDV開発で先行し、既に成功を収めています。セミナーではそのノウハウを一部ご紹介できればと思います。」とする。SDV、自動車セキュリティといってもなにをすればいいかわからないという人に参考になるだろう。