ソフトウェア・インテグリティ

 

セキュリティへの備えが必要なのは、将来の自動運転車だけではありません。

セキュアな自動運転車の将来は今日から始まります。自動車業界はシフトレフトや組み込みセキュリティなどの課題を克服しなければなりません。

将来の自動運転車のセキュリティ実現に向けて今日からやるべきこと

この投稿は『Forbes』誌で発表された記事を元にしています。

自動運転車(AV)が主流になるまでにはしばらく時間がかかりそうです。近い将来、アプリで無人カーを呼び、数分後にやって来た車に乗り込んで読書したり、映画を見たり、うたた寝しているうちに隣町、周辺の都市、あるいはいくつかの州をまたいだ場所など、どこでも行きたいところに連れて行ってもらえるなどと期待するのは早計です。

有名な2015年のジープ・チェロキーの遠隔操作によるハッキングの実験を行ったチャーリー・ミラー、クリス・バラセックの両氏はAVの実用化に向けた準備で取り組んでいますが、その彼らでさえ、昨年の夏に発表したホワイトペーパーでは、米国の公道でAVが主流になるまでには最低でも10年はかかりそうだとも記しています。

その理由は、しらふの人間が運転する場合と同等の能力をコンピューターで実現することの複雑さと、処理能力にサイバー攻撃に対する抵抗力が備わっている必要があるためです。

General MotorsのAV事業部であるCruiseに18か月勤務した2人は、先週のブログ投稿でAVのセキュリティの課題についてどのような優先順位を設けているかを説明しました。

AVが主流になるためにはその優先課題のすべてへの対応が必要であり、消費者から信頼を得る必要があります。そして、AVのセキュリティを守る方法を見つけ出すには、一握りのスーパースター・ハッカー以上の適任者はいません。

とはいえ、自動車のサイバーセキュリティの必要性は将来の話ではありません。現在の「自動運転以前」の車にも多数の接続機能があります。毎日テレビのコマーシャルで目にしているように、現在の車にもアダプティブ・クルーズ・コントロール、GPS、バックカメラ、サイドミラーカメラ、そして昨秋レンタカーで使用して私の頭がおかしくなりそうになった「車線逸脱防止支援システム」などのコンピューター制御機能や接続機能が搭載されています。

セキュア自動運転車に関するシノプシスのレポートをダウンロードしてご覧ください。

今日から始まるセキュアな自動運転車

重要なことは、現在路上を走っている車にもセキュリティが必要であるということ、そして運転環境が制御されていない分、対策の緊急性はより高いということです。

事実、最近の自動車のコンピューター制御の度合いは驚異的です。ジェット旅客機ドリームライナーのソースコードが650万行であるのに対し、フォードのピックアップトラックはそのほぼ20倍の1億3,000万行に上ると複数の専門家が指摘しています。また、トラックには100種類のチップ、3.2km以上の長さのケーブル、10のオペレーティング・システムが搭載されているともされています。

これらの接続機能は目的どおりの機能を果たせば魔法のような便利さと安全性向上を実現しますが、ソースコードが多すぎると遠隔操作ハッキングなどの改ざんに対して脆弱になることもよく知られています。ミラー、バラセック両氏が4年前に実験を行ったときには、車載ソースコードはおそらく8,000万行程度と微々たるものでした。

機能や接続が増加するほど、アタック・サーフェスも増えます。このことは、先年、シノプシスが主催し、Ponemon Instituteが実施した業界関係者へのアンケートの回答でも確認されました。約600件の回答数のうち、「常に進化しているセキュリティ環境のペースにサーバー・セキュリティ対策が追い付かない懸念がある」とする回答が84%を占めました。

要するに、将来の自動運転テクノロジーは重要ですが、現在利用されているテクノロジーのセキュリティの方がはるかに優先度が高いことは間違いありません。

セキュアな自動運転車の優先課題

では、現在の車のセキュリティにはどのような優先課題があるでしょうか。

ハッキング研究家であり、2年前にコントローラエリアネットワーク(CAN)バス規格の脆弱性を利用した車載制御システム攻撃の可能性を実証したメンバーであるAndrea Palanca氏によれば、最大の障害は、インフォテイメントからステアリング、アクセル、ブレーキなどの安全システムに至るまでのすべてを制御するコンピューターとセンサーのコードが持つ既知の脆弱性すべてにパッチを適用することは困難であるということです。

セキュアな自動運転車の優先課題

Palanca氏は、デバイスは誰でも頭が混乱するほど多様なグローバル・サプライチェーンで製造されているばかりでなく、7~10年という「他の家電機器と比べて明らかに長い期間」使用される製品でもあると指摘しました。

既存の車の大多数がおそらく製造から4年以上経過していることを考えると、その多くはリモートまたはOTA(Over the Air)によるパッチに対応していません。

設計段階でのセキュリティの実装

「既存の車に関する自動車メーカーの優先課題は、持続可能な設計方法で車載コンピューターのリストを管理し、セキュリティの欠陥が生じた場合には速やかに顧客に連絡してコンポーネントにパッチを適用できるようにすることです。」Palanca氏はこう語りました。

シノプシスのアプリケーション・エンジニアであり、シニア・スタッフでもある岡デニス健五は、現在の自動車でOTAの問題が解決することには懐疑的です。「セキュリティは設計段階から組み込む必要があります。」岡はこう指摘します。「設計にセキュリティが組み込まれた次世代自動車が登場するまでには数年かかるでしょう。」

ポートフォリオのリスク評価を行う

シノプシスのマネージング・コンサルタント、Art Dahnertは、自動車の「車種と構成の種類が多い」ことが効果的なセキュリティ対策を難しくしていると認めています。

そこで、自動車以外の業界と同じことを実践するよう推奨しています。それは、「リスクになる可能性がある領域」の特定とランク付けを含む「ポートフォリオの評価を行う」ことだと言います。

また、米国では交通事故で毎年約40,000人の人命が失われていることを考慮すると、現在の自動車の最優先課題としては、「間違いなく安全性が第一になります」とDahnertは指摘しています。遠隔操作でも実際に運転する場合でも、自動車メーカーは自動車の安全性に関わるコンポーネントには妥協が許されないということを再確認する必要があります。これには多くの分離や信頼できない接続が存在することを前提にした階層型アプローチが含まれます。」

インバウンド接続を制限する

もう一つの優先課題は、携帯電話、およびWi-FiやBluetoothに重点を置いたさまざまなネットワーク上でインバウンドおよびアウトバウンド接続についてじっくりと真剣に熟慮する」ことにより、車全体を侵害する可能性があるリモート接続による攻撃のリスクを低減することだとDahnertは言います。

事実、ミラー、バラセック両氏がAVのセキュリティに不可欠と指摘している要素は、通信を車内から外部への発信(アウトバウンド)のみに制限することです。「インターネットでのインバウンド接続をできないようにする必要があります。アウトバウンド接続のみを許可することが必要」と2人は記しています。

AVのセキュリティに関する特別な考慮事項

AVのセキュリティに関する特別な考慮事項

ところが、このようなセキュリティは現在のところ存在しません。6月にシノプシスでの同僚、Rikke Kuipersと共にescar (Embedded Security in Cars)USAコンファレンスでエージェントのインストルメンテーションを利用したインフォテイメント・システムとテレマティクス・ユニットのファジングテストの向上について講演する予定の岡は、自動車のセキュリティには標準的な小規模エンタープライズ・ネットワーク以上の複雑さが伴うと述べています。

その一例として、自動車のECU(Electronic Control Unit)は「一般にメモリーやCPUの処理能力が制限される小型のマイクロコントローラであり、車載ネットワークのバスは帯域幅が限られています」と岡は指摘します。このため、通常、高負荷の暗号計算を採用したり、メッセージにサイズの大きい署名を含めることはできません。

速度も大きな要因ですが、これは自動車の速度ではなく、コンピューターの計算速度です。「コンピューターやスマートフォンは起動に30秒~1分程度かかることがありますが、利用者はそれを許容しています。ところが自動車のドライバーはすべてのECUがセキュア・ブートを行い、デジタル署名を確認するなどの処理のために、エンジンがかかるまでに30秒も待つことには耐えられません。」と岡は言います。

「また、ドライバーまたは自動運転車が障害物を発見してブレーキをかけた場合、ブレーキのECUは1秒もかからずにブレーキ・メッセージが真正のものであるかどうかを確認する必要があります。」

自動運転車にセキュリティを組み込む方法

結論:人の行為に完全無欠はあり得ませんが、車に組み込む前にソフトウェアのセキュリティを確保することによって完全な状態に近付けることはできます。そのためには、セキュリティ・コンファレンスでスローガンになっている、ソフトウェア開発ライフサイクル(SDLC)の全段階での「セキュリティの組み込み」を実践する必要があります。

自動運転車にセキュリティを組み込む方法

岡をはじめ、多くの専門家が口にする「シフトレフト」とは、脆弱性のテストを最終段階のペネトレーション・テストになってからではなく、SDLCの最初から取り入れることを意味します。

岡は、テストの種類も複数取り入れる必要があるとし、その内容として「コードレビュー、静的コード解析、チェッカーを使用したセキュア・コーディング・ガイドラインの利用、ソフトウェア・コンポジション解析、早期のファジングテスト、そして望ましくは、CI[継続的インテグレーション]環境を取り入れてリグレッション・テストができるようにすること」を挙げています。

また、Dahnertは、テスト対象は車載システム以外にも及ぶと指摘しています。コネクテッド・カーが「スキン」を超えて通信を行うことは明白だということです。

「車体の中だけではなく、車と通信するすべてのソフトウェアを精査する必要があります。」とDahnertは言います。「現在のコネクテッド・カーや将来の自動運転車には、バックエンドとモバイルのサポート・インフラストラクチャが不可欠です。」

セキュアな自動運転車に関する計画が進行中

こうした中で朗報は、コネクテッド・カーのセキュリティの必要性に対する意識が高まっているばかりでなく、これに関する取り組みも進んでいるということです。

「2020年8月には新しいサイバーセキュリティ・エンジニアリング規格としてISO 21434の発表が予定されています」岡はこう説明します。「また、自動運転車とコネクテッド・カーに関するヨーロッパ主導の規制、UNECE WP.29もおそらく2020年に発表されます。

「今後OEMおよびサプライヤーはサイバーセキュリティを取り入れるようにプロセスを変更する必要が生じ、これが間違いなくソフトウェア・セキュリティの向上につながります。」

Ponemon Institute:最先端の自動車セキュリティ:自動車業界のサイバーセキュリティ・プラクティスに関する調査

レポートを入手する

 

この著者によるその他の情報