SDVにはSDVに対応したサイバーセキュリティ対策。仮想化環境に対応したパナソニックオートモーティブシステムズ「VERZEUSE」

SDVのサイバーセキュリティリスク
ECU開発、車載ソフトウェア開発は、E/Eアーキテクチャの進化とともに発展するものだ。

アセンブラからC/C++言語に変わり、協調制御のためリアルタイムOSが導入された。プロセッサもMPU（マイコン）からASIC、SoCに変わり、FPGAも量産品に使われるようになった。そして、CASE、SDVの時代は、IVIやADAS、自動運転のためAIやクラウド連携、仮想化技術なども求められる。関連して、ECUはドメインコントローラー、ゾーンコントローラーとシステムごとの階層構造化が進み、これらを統合制御する統合ECU・HPCの導入が進んでいる。

さらに重要なのは、サイバーセキュリティ対策だ。SDVではプロダクトアウトしてからの機能安全の維持が大きな課題であり、製品（車両）のライフサイクル全体での機能維持やアップデートが欠かせない。国際基準や法規制へのコンプライアンスもクリアする必要があり、従来のソフトウェア開発ツールや開発環境では対応できなくなっている。

◆仮想化環境に対応したVERZEUSE進化バージョン

パナソニック オートモーティブシステムズの「VERZEUSE」は、次世代ECUの開発に対応した開発環境（管理ツール＋ミドルウェア群）だ。とくにセキュリティ要件の管理に特化しており、設計・実装・運用（保守・アップデート・インシデント対応）まで、ソフトウェアライフサイクル全体のセキュリティ設計・運用をカバーする。

製造業ではいち早くセキュリティインシデント対応組織（PSIRT）の重要性に目をつけ、自社対応チームや対応手順を整備したパナソニックグループの強みを生かし、UN-R155/156、ISO/SEA 21434といったグローバルセキュリティに準拠した機能も特徴となっている。

そのVERZEUSEがSDV対応を強化するためさらに進化した。強化されたのは、ソフトウェアどうしの連携や依存関係を含めた安全性の検証や管理を行う機能だ。統合ECUのようなアーキテクチャにおいて、またSDVのようなクラウドから車両制御まで幅広いソフトウェアレイヤをカバーする開発・運用において、システム全体をモジュール単体レベルで把握できる機能はありがたい。

同時に、コックピットHPCのような、さまざまなアプリケーションレイヤのソフトウェアが連携するSDVの統合ECU、およびSDVアーキテクチャにおいて、プロセッサやOSは単一ではなくなる。マルチプラットフォームでのアプリケーション開発では、仮想化技術も不可欠だ。ECUごとのセキュリティ管理、脆弱性対応だけでは不十分であり、効率のよい開発はできない。

今回、最大の進化ポイントはいくつかのVERZEUSEコンポーネントが仮想化開発環境（HypervisorによるVM）にも対応したことだ。これにより、異なるECUが混在する統合ECUアーキテクチャでも一元的なセキュリティ診断、管理、運用が可能になっている。

◆セキュリティ設計・システムに対する脅威を可視化する

進化したVERZEUSEの主なコンポーネントは次の3つだ。

・VERZEUSE for TARA：ISO/SAE21434準拠の脅威分析ソリューション
・VERZEUSE for Runtime Integrity Checker：改ざん・不正コード検知ソリューション
・VERZEUSE for SIRT：脆弱性分析ソリューション

VERZEUSE for TARAは、車両全体の脅威分析、セキュリティ設計における脆弱性分析を行う。具体的には、車両設計に関する要件、実装する機能などをチェックリストのように入力すると、想定される脅威や脆弱性を可視化してくれる。この分析は、ECUごとではなく、統合ECU環境全体、車両の機能全体で行われる。

類似のソリューションには、仕様書や要件定義書、UMLなどを読み込ませるものも存在する。しかし、入力項目の正規化やフォーマットが制限され場合がある。必要な項目の問い合わせに答えるだけのVERZEUSE for TARAのUIは使いやすいはずだ。また、要件や機能から分析するので、仕様書や設計図では現れない（わからない）脅威を評価できる可能性もある。

詳細設計ではSBOMを利用して、使用するライブラリやモジュールがセキュリティ基準を満たしているものか、といったことも調べられる。

◆保護された領域でシステム全体を監視する

VERZEUSE for Runtime Integrity Checkerは、システム全体の整合性を監視するため、Hypervisorより下の（ハードウェアに近い）層に、保護された領域に監視ソフトウェアがランタイムの形で実装される。つまり、ECUやソフトウェアが攻撃されセキュリティコードやログデータが汚染、改ざんされても検知できるということだ。

コックピットIVIなど、HPCを搭載したECU（ゾーン）は、配下の仮想マシンがそれぞれセキュリティ機能を持つことになる。Hypervisorの管理機能によっても保護される。この場合、仮想マシンやHypervisorが攻撃されたら、セキュリティ機能も汚染、無効化される可能性がある。

VERZEUSE for Runtime Integrity Checkerは、Hypervisorを含めて外側の保護領域に全体の監視機能を持つ。システム全体を外側から監視できるので、個別のセキュリティ機能が無効化されても異常を捉えることができる。検知された脅威、異常は、SOC（セキュリティオペレーションセンター）にアラートを飛ばすこともできるので、迅速なインシデント対応も可能だ。

ランタイムの機能は設計・実装段階で組み込まれるが、監視はソフトウェアの運用中（稼働中）に行われる。運用中のセキュリティ対策はこれだけではない。開発後に発見される脆弱性の対応やインシデント発生時の対応もある。

◆脆弱性情報の管理とセキュリティアップデートを支援する

脆弱性管理（脆弱性ハンドリング）やインシデント対応については、VERZEUS for SIRTがカバーする。

ソフトウェアのバグや脆弱性は、リリース後にも発生、発見される。そのためセキュリティアップデートが不可欠となる。新たな脆弱性は日々発見され増えていく。これをどう処理するかは、セキュリティ業務の大きな課題だ。SDVにおいて、必要なソフトウェアをすべて自前で開発することはない。標準ライブラリやオープンソースソフトウェアを、これまで以上に必要とする。

日々更新される脆弱性情報のうち、どれが関係しており、どれを対応しなければいけないのか。現在のソフトウェアにおいて、脆弱性の対応は人力では不可能になりつつある。SBOMやアセットリストがあっても、対応関係をさがすだけで一仕事である。さらに、モジュール、システム、仮想化環境における依存関係も把握している必要もある。

VERZEUSE for SIRTは、システム全体の物理的な接続情報に加え、ソフトウェアどうしの通信、依存関係を分析に利用する。SDVや統合ECU環境でも、効率のよい脆弱性ハンドリングを支援してくれるツールだ。なお、SIRTとは、組織におけるセキュリティ対応チームであるCSIRT（シーサート：Computer Security Incident Response Team）に由来する名前だ。

◆AI・SDVをキャッチアップしていくために

好むと好まざるとにかかわらず、自動車の開発におけるソフトウェアの高度化、多様化は進む。設計手法や開発手法もそれに合わせた進化が必要だ。統合ECUでECUの数が減ったり、設計の見通しがよくなったりしたとしても、ソフトウェアの開発工数は変わらないか増えていく。

車両1台あたり、1～3億行とも言われるソースコードは、もはや人間の手に負えるものではない。設計、開発、保守、工数管理は、専用の開発環境やツール、さらにはAIなどによる自動化に頼らなければならなくなった。

しかも、単に動くソフトウェアを開発するだけでは不十分で、セキュリティ対応、各種の法規制対応も求められる。開発手法や成果物（ソフトウェアコード）の品質や安全性の基準を満たし、ライフサイクルを通じた機能の維持、安全性の担保も必要だ。

VERZEUSEのような、SDVや新しい開発手法に対応したツール、開発環境、ソリューションは、今後一般的になっていくだろう。

