ホワイトモーションは、カルソニックカンセイとフランスのQuarkslabの合弁で設立された自動車のセキュリティに特化した企業。講演では蔵本氏が、CASE(※)時代にITのサイバーセキュリティをどう生かしていくかを語った。
(※)Connectivity=コネクティビティ、Autonomous=自動運転、Shared=シェアリング、Electric=電動化
自動車がサイバー攻撃を受けた具体例としては、Chrysler(クライスラー)の「ジープ・チェロキー」がセルラー回線から侵入された件が記憶に新しい。同モデルはパワートレイン系などを遠隔から操作され、最終的に140万台のリコールに至った。また、Tesla(テスラ)の車両が、遠隔からの侵入を確認されたもののネットワーク経由のアップデートで修正した件などがある。
蔵本氏によると「自動車とITのセキュリティは大きな違いがある。自動車の場合は機能安全(セーフティ)とサイバーセキュリティの両方を考えなくてはいけないが、この両方をうまく組み合わせるとITより自動車の方が守りやすい面がある」と指摘する。さらに「ITと自動車の両方からアプローチすることが大切だが、IT側の人がセーフティについて、自動車側の人がセキュリティについて話すことは少ない。これをうまくミックスすることがCASE時代の本命の考え方となる」と意見を述べた。
サイバーセキュリティの現状をみると、ソフトウェアなどの脆弱性が売り買いの対象としてビジネスとなっている。インターネット上には発見したソフトウェアなどの脆弱性を買い取るなどのビジネスも紹介されている。
脆弱性の情報は場合によっては数億円単位で“売り値”がつくという。また、サイバー攻撃のツールのコストも下がりつつある。パラメータを設定するだけでウイルス作成が完了する安価なシステムや、数ドルでマルウェアを拡散する仕組みもある。
「ハッキングは暇つぶしではなく、一獲千金を狙ってやっている。この情報を盗んでどういう風に稼ぐことができるのかを考えなければ、セキュリティ対策はできない。クルマも、もうかるので必ずサイバー攻撃を受けることになるだろう」(蔵本氏)という。
CASE時代のリスクの例には車載システムへの直接攻撃以外にも、ネットワーク回線の盗聴やデータの改ざん、ネットワークダウンがあげられる。車両にフォーカスし過ぎると、重要な弱点を見落とす可能性があると指摘した。組み立てられた車両が部品単位で安全であるかが問われるサプライチェーンリスク、物理的なハッキングや脆弱性を利用した攻撃、無線通信やアプリからの侵入、汚染データや電波による妨害などがある。
「攻撃の戦略としては、発売されたクルマを解析するよりも、開発や生産の現場に悪い人間を送り込む方が手っ取り早いという考え方もある。攻撃者はおカネをかけて効率的で楽な攻撃方法をとる。サプライチェーン全体で守らなければならない」(蔵本氏)
こうした状況下でのセキュリティ対策について、蔵本氏は「サイバー攻撃に対し防御力を向上する取り組みもあるが、突破されるケースは多い。状況の検知と分析、被害軽減や迅速な対処、素早い復旧に集中するべきだ。サイバー攻撃を受ける前提で対策することが必要になる」と強調した。
Copyright © ITmedia, Inc. All Rights Reserved.