コネクテッドカーの規制対応やセキュリティに欠かせない「SBOM」車載セキュリティ(1/3 ページ)

VicOneは「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表(SBOM)について語った。

» 2025年05月07日 08時30分 公開
[齊藤由希MONOist]

 VicOneは2025年4月22日、「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表(SBOM)について語った。

サイバーセキュリティとSBOMのかかわり

 自動車技術会のサイバーセキュリティ講座企画委員会委員や、Japan Automotive ISAC 技術委員会 情報共有WG 主査を務める萱島信氏(Astemo 技術開発統括本部 システムアーキテクチャ開発部 チーフエンジニア)が、日本の自動車業界のサイバーセキュリティの取り組みについて説明した。

 萱島氏はAstemoで車載システムのセキュリティの設計や運用に携わっている。2006年にIPA(情報処理推進機構)が発表した自動車の情報セキュリティの取り組みガイドを執筆するなど、自動車関係の標準化活動にも長年従事してきた。現在は自技会やISO、J-Auto-ISACでも活動しているという。

 コネクテッドサービスやADAS(先進運転支援システム)の普及により、サイバーセキュリティの重要性が高まっている。CAN通信の盗聴や解析が容易に行えるという問題や、メッセージの認証メカニズムとなりすまし、攻撃のアタックサーフェスの多様化など、これまでにさまざまな研究が行われてきた。以前はWi-FiやBluetoothなど車載機器の外部インタフェースから不正に情報を得るものだったが、ADASなどの認知/判断/操作を阻害する手法についても検討されている。

 実車を使ったハッキングコンテストでは、複数の脆弱性を連鎖的に利用して車両の制御を奪うことに成功する事例も出てきた。攻撃用のBluetoothデバイスのペアリングによる侵入、署名検証バイパスによるファームウェアの不正な書き換えと任意のCANバスメッセージの送信など、過去に検討されてきた攻撃が事例として実証されつつあるという。

 また、市場に出たクルマだけでなく、企業の製造システムやITシステムを狙ったランサムウェアの攻撃もセキュリティ問題の1つだ。設計図や顧客データの漏えい、生産ラインの停止など大きな影響を及ぼすため、自動車業界全体でランサムウェアに備える必要がある。

 自動車のセキュリティの研究は2010年ごろから活発になり、欧州ではescar、米国はBlack Hatといったカンファレンスで発表が盛んだ。日本ではJasParでもセキュリティ研究が10年に及ぶ。研究の成果は標準化や法制度化につながっていく。日本では自技会で2015年に情報セキュリティ分科会が立ち上がった。

 法規は2021年に発行されたISO 21434やUN-R155/156が知られている。何をやらなければいけないかがまとめられているUN-R155/156に対し、ISO 21434などがそれをどのように実現するかをカバーしている。脆弱性やサイバー攻撃の脅威に関する情報を共有、分析する組織が自動車業界として立ち上がったのも2021年だ。

 UN-R155/156では、自動車を開発する組織の業務管理や、車両の型式認可に必要な要求事項が示されている。体制やポリシー、プロセスを整備し、その定着と継続的な改善が求められる。また、ソフトウェアアップデートのマネジメントシステムも構築しなければならない。車両がセキュリティリスクから適切に保護されていることを示すため、リスクの特定や管理、セキュリティの実装テスト、脅威や脆弱性の監視と検出、インシデント管理などが要求される。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.