車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ：いまさら聞けない 車載セキュリティ入門（4）（3/4 ページ）

[岡デニス健五，MONOist]

セキュアな車内ネットワークの通信

　車両外部との通信に対するセキュリティが確保されていても、悪意ある攻撃者は車内ネットワークに何らかの方法でアクセスする可能性もあります。そこで、そういった攻撃対応可能な適正なセキュリティ対策も必要とされます^※6）。

　これまでにセキュリティ研究者が示してきた事例では、CANネットワークにアクセスして任意のメッセージを送信することによって、ブレーキの作動／不作動やステアリング操作など、「走る、曲がる、止まる」という自動車の安全性に直接関わる機能をコントロールすることが可能でした^{※1）※3）}。

　ECUなどに組み込む制御系車載ソフトウェアの標準を策定するAUTOSARでも、車内ネットワークの通信に関するセキュリティの課題を認識しています。その活動の結果、「セキュアオンボードコミュニケーション（SecOC）」の仕様書を開発し、リリース4.2.1というバージョンとともに発表しました^※7）。

　AUTOSARのSecOC仕様書は、車内ネットワーク上にある通常のリソース制約のあるデバイスを考慮しており、車内ネットワークに送信される重要なデータに対して効率的かつ適切に認証する方法を提供しています。

　この仕様書では、主にメッセージ認証符号（MAC：Message Authentication Code）の対称（共通鍵）暗号方式による認証方法を考慮しています。対称暗号方式は非対称（公開鍵）暗号方式よりも小さな鍵で同等レベルのセキュリティを達成でき、計算処理も少なくて済みます。ソフトウェア、ハードウェアの両方で効果的な実装も可能です。

　ただしAUTOSARのSecOCは柔軟な設定となっており、対称と非対称、両方の暗号方式をサポートしています。SecOCモジュールは、AUTOSARのコミュニケーションスタックに簡単に統合できます。SecOC仕様書は、認証および完全性保護の提供、すなわち受信するデータが正規のECUから送られており、改ざんされていないことを保証します。さらにやりとりされるメッセージ鮮度の保護についても、SecOC仕様書によってサポートされています。

図3　MAC生成／検証の例（クリックで拡大）

参考文献

※6）Larson U.E., and Nilsson D.K. (2008) “Securing Vehicles against Cyber Attacks” in Proceedings of the Fourth ACM Cyber Security and Information Intelligence Research Workshop.

※7）AUTOSAR (2014) “Specification of Module Secure Onboard Communication” Online: http://www.autosar.org/fileadmin/files/releases/4-2/software-architecture/safety-and-security/standard/AUTOSAR_SWS_SecureOnboardCommunication.pdf