コネクテッドカーの進化で拡大するサイバーリスク、いかに対処すべきか車載セキュリティ

デジタルの力を駆使し、クラウドとも連携しながら新たな運転体験を提供しようと進化を続ける自動車だが、万が一サイバーセキュリティの脆弱性があれば深刻な問題となる。この課題をハードウェアレベル、半導体レベルから解決すべく、加賀FEIとエフセキュアが手を組んだ。

» 2021年02月03日 10時00分 公開
[PR/MONOist]
PR

 かつては精密な機械部品の塊だった自動車だが、今やソフトウェアの塊と言っても過言ではない。複数のソフトウェアが通信機能を介して連携し、時にクラウドサービスにもアクセスしながら、新しい運転体験を実現しようとしている。自動車単体だけではなく、道路や周囲の状況も読み取り、適切な操作を行えるようにするコネクテッドカーの実現もそう遠い話ではないだろう。

 ただ残念なことに、ソフトウェアは脆弱性と無縁ではない。いくら日々の点検や整備で車の安全性を高めていても、自動車の操作をつかさどるソフトウェアに脆弱性があり、外部から操作されてしまうようなことがあれば、その安全性が脅かされ、最悪の場合、人命に関わる事故につながりかねない。

 長い歴史の中で「オフライン」を前提としてきた時期の方が長い自動車。それがインターネットやクラウドサービスにつながり、オンラインになることによって、どのようなリスクが生じる恐れがあるだろうか。半導体商社として自動車業界を支援してきた加賀FEI(2020年12月29日に富士通エレクトロニクスから社名変更)と、サイバーセキュリティの領域でユニークなノウハウを持つエフセキュアは力を合わせ、これらの課題に取り組む企業を支援しようとしている。

欧州で高い実績を持つセキュリティサービスを日本で展開

 加賀FEIは、富士通エレクトロニクス時代からLSI・電子部品の販売を中心に事業を展開してきた。同社 グローバルビジネス推進本部 第三事業部長の吉田稔氏は「近年の産業構造の変動を踏まえ、半導体からソフトウェアやサービスなどにも事業を拡大していこうと活動しています」と語る。

加賀FEIの吉田稔氏 加賀FEI グローバルビジネス推進本部 第三事業部長の吉田稔氏

 事業の幅を広げる中で、最近は自動車業界の顧客から「セキュリティ対策をどうしたらいいのだろう」といった相談を受ける機会が増えてきたという。「2015年前後、ジープ・チェロキーやテスラに脆弱性が存在し、遠隔から操作できてしまう事実が報道されたことをきっかけに、自動車メーカーをはじめ業界全体で『自動車のセキュリティはどうあるべきか』についての議論が活発化しています」(吉田氏)。

 そこで手を組んだのが、フィンランドに本拠を置くサイバーセキュリティ企業であるエフセキュアだ。エフセキュアの事業はエンドポイントセキュリティ製品から、サイバーセキュリティが求められる領域の拡大に伴い、インシデント対応支援や業種特化のサイバーセキュリティコンサルティングなどのサービス事業まで、セキュリティ対策を幅広い分野で提供している。

 エフセキュアのセキュリティコンサルタントは全世界で300人以上が在籍しているが、中でもユニークなのは、脆弱性検査やペネトレーションテストの領域だ。エフセキュアは、欧州で実績のあるセキュリティコンサルティング企業を傘下に収め、いわゆるソフトウェアやアプリケーションの脆弱性だけでなく、SoC(System on Chip)や ASICなどの半導体レベルのセキュリティにも詳しいスペシャリストによって、社内のみで対応できる体制を整えている。

 ハードウェアセキュリティのコンサルティングに関しては、「black hat」「AVTOKYO」「CODE BLUE」といった国際的なセキュリティカンファレンスでの登壇実績も豊富なAndrea Barisani(アンドレア・バリサニ)氏をチーフに据えて研究開発を重ね、SoCに対するゼロデイ脆弱性も多数発見してきた実績を持つ。2019年、多くのメーカーに衝撃を与えた、ザイリンクスのプログラマブルSoCのセキュアブートスキームに存在した脆弱性を発見したのもバリサニ氏らのチームだ。

エフセキュアのハードウェアセキュリティのコンサルティングを担当するアンドレア・バリサニ氏のチーム エフセキュアのハードウェアセキュリティのコンサルティングを担当するアンドレア・バリサニ氏のチーム(クリックで拡大)

 エフセキュア日本法人のサイバーセキュリティ技術本部 本部長の島田秋雄氏は「自動車に搭載されたユニットに対するペネトレーションテストも行っていますが、その際には基板を取り出し、搭載されたチップを見て、実際にハードウェアの中身を吟味して調査を行っています。それができるのも、ハードウェアからファームウェア、OS、アプリケーションに至るまで幅広い知識と多くの経験を持つフルスタックエンジニアがいるからです」と説明する。

エフセキュア サイバーセキュリティ技術本部 本部長の島田秋雄氏 エフセキュア サイバーセキュリティ技術本部 本部長の島田秋雄氏

 既に欧州の主要な自動車メーカーやティア1サプライヤーがエフセキュアのセキュリティコンサルティングサービスを利用し、ペネトレーションテストを実施している。また、自動車業界に先行して自動化が進んでいる航空などの領域でも、例えば個々の機体と機体に付随するエンターテインメントシステムなどから管制システムやグランドハンドリングに関するシステムに至るまで幅広くセキュリティ支援を行ってきた実績があり、そのノウハウは今後急成長するコネクテッドカーの分野に生かせるだろう。

 加賀FEIでは、エフセキュアが欧州市場で蓄積してきたこれらの経験とノウハウを評価。ある商談での協業をきっかけに関係を深め、2020年11月にセキュリティコンサルティングサービスに関するパートナーシップ契約を締結した。「どのようにセキュリティ対策を行うべきかという悩みに答えるコンサルティングに加えて、その後の脅威分析やペネトレーションテストも提案することで、お客さまの切実なニーズに対応できると考えています」(吉田氏)。

どう備える? サービスが増えれば増えるほど広がる攻撃者の入口

 組み込み機器の開発に携わった経験があるという島田氏は「まずは、限られたリソースの中で仕様通りに動作する製品を作ることが最優先という時代が長く続いてきました。また、IoT(モノのインターネット)やコネクテッドカーといった言葉が出てくるまで、インターネットにつながることで起きるセキュリティはあまり意識されず、それによって生じる脅威やリスクもあまり考慮されてこなかったのは事実です」と述べる。

 しかし、今や状況は激変した。カーナビゲーションシステムやエンターテインメント系システムなどの車載情報機器が外部のネットワークとつながることはもちろん、自動車の運転を制御するECU(電子制御ユニット)が従来のCANのみならず車載イーサネットなどによっても相互接続するようになっている。そして今後は、クラウドサービスと連携し、OTA(Over-The-Air)という形で無線ネットワーク越しにアップデートを行うようになる。「サービスを豊富にすればするほど、侵入者の入口となるアタック・サーフェス(攻撃対象領域)も拡大します」(島田氏)。

 中でもOTAについては、サイバーセキュリティ確保のために、チップ、ユニット、そしてサービスやアプリケーションレベルでそれぞれソフトウェアアップデートの仕組みが求められ、それをいかに安全に実現するかが課題となっている。島田氏は「『改ざん防止』がポイントになります。例えば、自動車の中にある何らかのユニットをアップデートするときに、悪意あるコードなどが組み込まれた状態でアップデートしてしまうと、サイバー攻撃者はそれを用いていとも簡単に攻撃ができる可能性があります。OTAはコネクテッドカーに限らず、あらゆるIoT機器に潜む危険な側面です」と強調する。

 エフセキュアではこうした問題意識に立ち、加賀FEIとともに、どこが改ざんにつながりうるかという観点も含めてペネトレーションテストを行い、問題を洗い出して対策を支援していく。

エフセキュアにおける車載機器のペネトレーションテストの考え方 エフセキュアにおける車載機器のペネトレーションテストの考え方(クリックで拡大)

曖昧なガイドライン、何をどこまで対策すれば……の悩みを支援

 視点を業界全体に広げてみると、2020年6月に開催された自動車基準調和世界フォーラム(WP29)において、自動車のサイバーセキュリティとソフトウェアアップデートに関する国際基準(UN規則)が成立するなど、ルールの整備が進んでいる。

 だが、そこから一歩踏み込み、「具体的に、どんな対策をどこまでやればいいのか」となると、自動車メーカーもティア1サプライヤーもまだまだ模索中だ。「自動車メーカーによって、サプライヤーに求めるセキュリティ要件の定義、粒度が異なり、曖昧な部分が残っています。明確なガイドラインがない場合、果たして何をどこまでやればいいか、悩まれているお客さまは少なくありません」(吉田氏)。

 また「危険性は分かったが、じゃあ具体的にどのように対策をすればいいのか。それらについては、現場で実装、設計をしている方々が手探りで進めているケースも少なくありません。自分たちが作ったものは本当にセキュアなのかどうか、第三者の専門家の視点からレビューしてほしいというニーズはかなりあります」(島田氏)。

 そこで加賀FEIとエフセキュアでは、ハードウェアとサイバーセキュリティ、双方にまたがる技術的な知識とノウハウをベースに、顧客と話し合いながら要件を定義し、実装し、さらにテストして間違いないかを確認するところまでを支援していく。機能を作り込む過程で、脆弱性が含まれたライブラリを利用していないか、不適切な実装になっていないかといったよくある落とし穴を踏まえ、あるべき姿に近づけていく。

 こうしたサービスを活用すれば、例えば「われわれの部品はこのような形で検査を行い、見つかった問題点はこのように改修した結果、標準に準拠した形になっています」と説明できる。納入する側も受け入れる側も、どちらにとっても安心できる体制といえるだろう。

 島田氏は「何より大事なのは、自動車が安心安全であり事故を起こさないようにすることです。ガイドラインや標準に準拠しているかどうかももちろん重要ですが、その本質的な目的は安心安全であり事故を起こさないことです。さまざまなガイドラインに準拠するのは当然として、われわれはそれが高い品質のもとに保証されているのかどうかをチェックし、安心安全であり事故につながらないモノづくりを支援していきます」と訴える。

国内でも増えつつある実績、2社の相乗効果で安全なもの作りを支援

 エフセキュアが蓄積してきた自動車のセキュリティに関する知見とノウハウ、加賀FEIが日本で築いてきた信頼とサービスを組み合わせることで生まれた相乗効果は、徐々に顧客の信頼を得つつある。既にカーナビゲーションメーカー数社が、両社が提供するセキュリティコンサルティングサービスを実際に活用しているという。

エフセキュアのセキュリティコンサルティングサービスの実績 エフセキュアのセキュリティコンサルティングサービスの実績。日本での車載IoT機器メーカーの事例は加賀FEIとの協業に基づくものだ(クリックで拡大)

 加賀FEIでは引き続き、半導体のみならず、ソフトウェア、サービス、受託といった幅広いメニューを提供し、さらにエフセキュアとともにセキュリティに関するコンサルティングサービスを展開することで、メーカーのモノづくりを支えていく。「セキュリティを巡る状況は、法制度も含めて日々変化しています。エフセキュアとしっかりタッグを組み、一歩先のビジネスをともに成し遂げたいと考えています」(吉田氏)。自動車やその関連部品はもちろん、広くIoT機器やデジタル機器を手掛ける顧客にも、エフセキュアのサービスを浸透させていければと期待している。

 エフセキュアも、自動車業界をはじめ有力な製造業が多く存在する日本を重要市場と捉えている。島田氏は「加賀FEIとの協力を通じて、車載系機器のセキュリティコンサルティングが大きく成長しています。2021年以降も加賀FEIとの絆を大切にして、顧客によりよいサービスを提供していきたいと考えています」と述べている。

加賀FEIの吉田稔氏とエフセキュアの島田秋雄氏 加賀FEIの吉田稔氏(左)とエフセキュアの島田秋雄氏(右)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:エフセキュア株式会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2021年3月2日

関連リンク