自動車のサイバーセキュリティに「説明責任」を、DNV GLに新チーム：車載セキュリティ（1/2 ページ）

[齊藤由希，MONOist]

DNV GLのサイバーセキュリティラボのメンバー。写真左から山下修平氏、溝口誠一郎氏、松並勝氏、竹森敬祐氏（クリックして拡大）

　第三者認証機関のDNV GLは、自動車向けに機能安全とサイバーセキュリティの両面の対応を強化している。車載セキュリティの設計や実装における技術検証を行うサイバーセキュリティラボを2019年4月1日に設立。ISO 26262の策定活動にも参加した自動車メーカー出身者による従来の機能安全のチームに、大手通信事業者でサイバーセキュリティに長く携わったメンバーが参加した。これにより、セーフティとセキュリティのサポートをワンストップで提供する。

　DNV GLはノルウェーが本社で海外資本の第三者認証機関ではあるが、自動車のセーフティとセキュリティに関してはサポートの企画、提供を日本が主導している。サイバーセキュリティラボは、大手通信事業者に長く在籍した竹森敬祐氏と溝口誠一郎氏、電機メーカー出身の松並勝氏といったメンバーで構成され、自動車メーカー出身の山下修平氏が所属する機能安全部と連携を取りながら、ユーザーにサービスを提供する。

そのセキュリティは説明責任を果たせるか

　サイバーセキュリティは、セキュリティ管理に対応した組織体制の確立、開発プロセス、組み込み技術、インシデント対応といった4つの取り組みに大別される。自動車業界の現状としては、大手自動車メーカーはこれらを実践できているが、サプライヤーの場合は自動車メーカーの水準に届いておらず、企業ごとに取り組みやサイバーセキュリティに対する理解度に差があるという。自動車メーカーも含めてサイバーセキュリティで課題となっているのは、脅威分析だと竹森氏は指摘する。

セキュリティリスクに対応するための4つの取り組み（クリックして拡大） 出典：DNV GL

　自動車のセキュリティには今後、機能安全規格に準拠する場合と同様に、説明責任が発生する。セキュリティを十分に考慮した正しい設計であることを、客観的に論証することが新たに求められるようになる。国連の自動車基準調和世界フォーラム（WP29）の中で、そうした法規案が検討されているという。

　設計がセキュリティ上安全であることを示すには、システムがどんな脅威にさらされ、どういったサイバー攻撃を受けるかを洗い出し、必要な対策を講じたことを対外的に説明する必要がある。しかし、これまでの脅威分析では、セキュリティの専門家がシステムを点検し、経験と勘で攻撃の可能性を指摘していた。“経験と勘”は言うまでもなく客観的な説明にはならない。

　脅威分析の検証方法を手順化したものとしてはJASO TP15002の「5W法」がある。サイバー攻撃を受けて起きる好ましくない現象をWhat、Where、When、Who、Whyに基づいて列挙するため、組み合わせが膨大でExcelで何千行ものデータになるのが課題だ。「脅威分析は自然言語が対象となるため自動化することが難しく、エンジニアからも敬遠されてきた。また、脅威分析は経験のある人がやるものだ、という先入観もあるようだ」（松並氏）。

　DNV GLは、5W法よりも現実的に運用でき、確認すべき項目をより少数にしぼりこめる脅威分析の手法として「RWX法」を提案する。“脅威分析マニア”と自任する松並氏が研究してきたもので、手順をまとめたガイド文書とツールを無償公開している。攻撃手法に関するデータベースも提供する。これにより、経験者や専門家に依存せず、脅威分析を進めることができるようになるという。脅威分析にかかっていた負担やリソースを軽減し、サイバー攻撃を失敗させるための設計に重点を置くことができる。

　DNV GLが提供するのは脅威分析だけではない。リスク評価やECU（電子制御ユニット）向けの鍵管理や認証設計、セキュアな無線ネットワークによるアップデート（OTA：Over-The-Air）など向けの技術支援や、組み込みセキュリティ、ペネトレーションテストの方針検討や「PSIRT（Product Security Incident Response Team、ピーサート）」のサポート、セキュリティに関する最新情報の提供なども行っている。また、先述した通り、セーフティとセキュリティの専門家が1つのチームとなっている点も特徴としている。