　コネクテッドサービスやADAS（先進運転支援システム）の普及により、サイバーセキュリティの重要性が高まっている。CAN通信の盗聴や解析が容易に行えるという問題や、メッセージの認証メカニズムとなりすまし、攻撃のアタックサーフェスの多様化など、これまでにさまざまな研究が行われてきた。以前はWi-FiやBluetoothなど車載機器の外部インタフェースから不正に情報を得るものだったが、ADASなどの認知／判断／操作を阻害する手法についても検討されている。

　実車を使ったハッキングコンテストでは、複数の脆弱性を連鎖的に利用して車両の制御を奪うことに成功する事例も出てきた。攻撃用のBluetoothデバイスのペアリングによる侵入、署名検証バイパスによるファームウェアの不正な書き換えと任意のCANバスメッセージの送信など、過去に検討されてきた攻撃が事例として実証されつつあるという。

　また、市場に出たクルマだけでなく、企業の製造システムやITシステムを狙ったランサムウェアの攻撃もセキュリティ問題の1つだ。設計図や顧客データの漏えい、生産ラインの停止など大きな影響を及ぼすため、自動車業界全体でランサムウェアに備える必要がある。

　自動車のセキュリティの研究は2010年ごろから活発になり、欧州ではescar、米国はBlack Hatといったカンファレンスで発表が盛んだ。日本ではJasParでもセキュリティ研究が10年に及ぶ。研究の成果は標準化や法制度化につながっていく。日本では自技会で2015年に情報セキュリティ分科会が立ち上がった。

　法規は2021年に発行されたISO 21434やUN-R155／156が知られている。何をやらなければいけないかがまとめられているUN-R155／156に対し、ISO 21434などがそれをどのように実現するかをカバーしている。脆弱性やサイバー攻撃の脅威に関する情報を共有、分析する組織が自動車業界として立ち上がったのも2021年だ。

　UN-R155／156では、自動車を開発する組織の業務管理や、車両の型式認可に必要な要求事項が示されている。体制やポリシー、プロセスを整備し、その定着と継続的な改善が求められる。また、ソフトウェアアップデートのマネジメントシステムも構築しなければならない。車両がセキュリティリスクから適切に保護されていることを示すため、リスクの特定や管理、セキュリティの実装テスト、脅威や脆弱性の監視と検出、インシデント管理などが要求される。

組織の業務管理にはサプライチェーンも含まれる

　　　　　　 1|2|3 次のページへ