コネクテッド・カーのセキュリティ向上にはリソースの増強が必要
最近の報告によると、コネクテッド・カーのセキュリティは自動車業界の優先課題になっています。問題はリソースとスキルの不足です。
この記事は、自動車業界のサイバー・セキュリティ・プラクティスに関する3部構成のインタビューの第2部です。第1部では車載サイバー・セキュリティの課題を取り上げました。第3部は近日中にご紹介します。
シノプシスとSAE Internationalは、自動車業界のサイバー・セキュリティ・プラクティスの現状に関する独立調査機関によるアンケートを委託しました。アンケートを実施したPonemon Instituteは、車載コンポーネントのセキュリティ業務に携わる、またはセキュリティの評価を担当する593人のプロフェッショナルに質問を行いました。
シノプシスの戦略的対策を担当する主任セキュリティ・エンジニア、Chris ClarkとSAE Internationalの技術プログラムを担当するプロジェクト・マネージャー、Tim Weisenberger氏が、先週リリースされた最終報告「最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査」の注目点についてシノプシスの上級セキュリティ・ストラテジスト、Taylor Armerdingと話し合います。
コネクテッド・カーのセキュリティ・リソースは不足している
ソフトウェア・セキュリティは自動車業界の上級幹部の優先事項になっているか? その回答の理由は?
Chris:自動車業界のすべての上級幹部がサイバー・セキュリティを真剣に考えているとは言い難い状況です。注目はしているが、何をするべきかわからないと言うのが妥当でしょうか。
問題に対して資金を投じるだけでは必ずしも適切な解決策とはいえません。アンケートからは、サイバー・セキュリティに関する懸念を提起するために必要な場がないと思っている技術者もいることが明らかになりました。また、サイバー・セキュリティに対応するために必要な情報が得られないとか、チームやリソースの人員配置が適切に行われていないという声もあります。やるべきことを明確に理解することは困難ですが、業界の主要企業の一部は、効果を上げるための適切な標準と適切なアクティビティを確保するという課題に対応するために行動を起こしつつあります。
コストセンターとしてのサイバー・セキュリティ
Tim:自動車業界の上級幹部にサイバー・セキュリティは優先事項かという質問をしたら、ノーと答える人はいないでしょう。しかし企業オーナーの関心は収益にあります。サイバー・セキュリティはどちらかといえばコストセンターとして見られがちですし、利益を得られる対象に投資したいと思うのは道理です。
本当にやるべきことは、サイバー・セキュリティを製品開発ライフサイクルに組み込むことだ、というところに話は戻ります。セキュリティのための資金調達、スキルセット要件、要員数が製品ラインの開発の正規の要素になれば、それは独立したコストセンターではありません。このような変化を実現することにより、上級幹部は口を出すだけでなく行動で証明することが可能です。
Chris:これは自動車業界では新しいパラダイムではありません。乗車する人の安全性に関する変化を考えてみると、1970年代にはそれは未知の分野でした。その後どれほど進歩したかを見てください。サイバー・セキュリティでも同じことが起こると心から期待しています。
サイバー・セキュリティのリソースを最適化する方法
自動車会社はソフトウェア・セキュリティの課題に対応するために必要なリソースとスキルを持っていますか? その回答の理由は?
Tim:アンケートは、自動車業界の大半に広がっている予感、つまり多くの企業には適切なスキルセットとリソースがあるが、もっと増やす余地が常にあるということを実証しました。しかし、ベストプラクティスを活用することでリソースを最適化できます。Chrisが指摘したように、テストを製品開発ライフサイクルの後工程で行うと、セキュリティを組み込んだ場合と比べてはるかに非効率です。ハッカーはインターネットから単純なスクリプトをダウンロードし、ハッキングをより効率的に行うことができます。スキルセットは常に磨き続ける必要があります。セキュリティが完成することはありません。常に完成を目指し続けるのです。
Chris:業界は絶えず変化しているにもかかわらず、管理者がセキュリティ・トレーニングを実施したら、それで終わりとしてリストをチェックすればいいという誤った認識があります。セキュリティは、チェックして終わりという考え方が通用しない領域です。継続的にソリューションの教育、研修、評価を行い、進化する脅威の状況を注視し続ける必要があります。それは循環的なプロセスです。
Tim:米国国土安全保障省はメリーランド大学の数人のエコノミストにサイバー・セキュリティ投資に関する調査を委託しました。その結果、サイバー・セキュリティ投資の大半が、侵害された後に行われていることがわかりました。しかもそれが小売業や金融業などの業種の話なのです。安全が損なわれて初めて安全を考えるという姿勢です。事態が起こった後で後戻りして問題を修正するためにCIOを解雇したり、セキュリティ・コンサルタントを採用したりといったことをします。ですから、自動車業界が製品開発ライフサイクルにセキュリティを組み込む必要性を認識しているのは素晴らしいことです。自動車業界のエンジニアはこの点において成長し、システム・エンジニアリングのアプローチをセキュリティにまで発展させています。これには本当に感心しています。
パッチと更新プログラムの適用方法の向上が必要
報告によると、自動車業界のほとんどの企業が、脆弱性が検出された場合に更新プログラムやパッチを提供するシステムを用意していないことがわかりました。このようなシステムを実現するために企業はどうすればよいでしょうか?
Chris:IT環境の場合は、非セキュアと見なされるコンポーネントの更新プログラムが存在しなければ、そのコンポーネントは見捨てられ、他のコンポーネントに替えられてしまいます。ところが、自動車の場合は、その資産を所有または完全にコントロールすることはできません。ひとたび市場に出たら、被害につながる可能性がある脆弱性があったとしても、それを長期間にわたって管理および監視できるようにしておかなければなりません。その結果、フィールド交換、サービスのアップデート、または最悪の場合にはリコールが生じることもあります。現時点では、これに対処する特効薬はありません。
でも心配は要りません。それでも問題対処への第一歩を踏み出しているのです。柔軟性を持ち、確立された設計・セキュリティ・プラクティスを採用する必要性を業界が認識している限り、適切なテクノロジーとソリューションが自ずと現れます。
そこで成熟度の話に戻ります。発達期にあっては、導入されるプロセスは各社で異なるでしょう。同じメーカーの車でも車種ごとに違うものになるでしょう。そういう時期を経て、最終的にはメーカー間で統一するところまでこぎつけるでしょう。
新しいパッチ適用方法は整備されているか?
Tim:自動車業界はさまざまな理由で特殊です。車は外を走り回ります。大半は個人が所有しています。自動車会社が売った車を所有するのは持ち主です。そして持ち主の多くは、車がモバイル通信などの機能を搭載したITシステムの集まりであるとは思っていません。
そこに特殊な課題があります。企業はパッチを夜間に自社コンピューターにダウンロードしたり、職場のサーバーにダウンロードし、翌朝各社員がログインしたときにはパッチの適用が完了しているようにすることが可能です。ところが、時速100kmで運転中の車中でワイヤレス接続しているワークステーションの場合はそう簡単にはいきません。その場合は無線でのアップデート、電気自動車のグリッドへの接続、ソフトウェアの保守体制などのさまざまな手段を講じなければなりません。
車中でのソフトウェアへのパッチの適用方法に関するベストプラクティスを考案する必要があるかもしれません。最終的には、夜間の運転していない時間帯に無線で車載ネットワークにパッチをドロップするセキュアな手法の開発という形になるでしょう。
運転席のセキュリティを確保。
