自動車のセキュリティって何をすればいいんですか?:いまさら聞けないクルマのあの話(5)(2/2 ページ)
自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。日本シノプシス ソフトウェアインテグリティグループ シニアソリューションアーキテクトの岡デニス健五氏に話を聞いた。
15万行のソースコードに4万件の修正箇所?
MONOist 静的解析で見つかった弱点にはどのように対応しますか。
岡氏 静的解析はソースコードから不具合を見つける。早期のバグ修正で不具合を除去し、後工程の手間を減らすことが重要になる。不具合の基準の1つは、ソースコードがコーディングのガイドラインに沿っているかどうかだ。自動車メーカーとサプライヤーには、CERT C、MISRA C、AUTOSARが採用されている。また、脆弱性のリストであるCWE(Common Weakness Enumeration)も考慮に入れるという話が出てきている。
ただ、実際にインフォテインメントシステムのソースコード15万行がガイドラインに準拠しているか調べると、4万件近いエクセプション(ガイドラインへの不適合)が見つかった例がある。これを全て修正するには、1件5分として3300時間かかってしまう。自動車メーカーは全て修正する必要はないと理解している。仕様を決める時に、どんな脅威があるか、どのルールが必要か決めればガイドラインの中で準拠すべき部分が決まる。そうでなければルールの数が決まらない。多くのエクセプションが出る可能性がある。
MONOist オープンソースソフトウェアがよく使われるようになっています。セキュリティ上の課題はありますか。
岡氏 出荷される自動車のソフトウェアの23%はオープンソースソフトウェアだ。オープンソースソフトウェアは、幾つかのリスクがある。オープンソースの部分の脆弱性を攻撃される可能性や、ライセンスの条件を順守しておらず、訴訟に至る懸念もある。また、オープンソースソフトウェアのコミュニティーが活発に活動しているか、脆弱性の修正や新機能の追加が積極的に行われるかも重要だ。実際にバイナリー解析ツールを使うと、どのオープンソースソフトウェアに何件の弱点や脆弱性が含まれているか明らかにできる。
MONOist ファジングテストでは何が見つかりますか。
岡氏 ファジングテストは未知の脆弱性を探す。Wi-Fi、Bluetooth、CANなど通信プロトコルに情報を投げる時、異常なフォーマットのデータも一緒に投げ、どういう反応をするかを見る。異常なデータでシステムがダウンしたり、おかしな動きをしたりしないか見る。自動車の機能安全規格ISO 26262で定められているインタフェーステストや故障注入などのテストもファジングツールで対応している。自動車業界が多く使うプロトコルはテレマティクス向けのIP関連が多い。新たに、MP3やJPEG、MPEG-4といったメディアファイルもランクインし始めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。 - 自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ
シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。 - 「完璧に守る」よりも車載セキュリティに必要なこと、攻撃へのリアルタイムな対応
Continental(コンチネンタル)は、グループ会社であるソフトウェアベンダーのElektrobit(エレクトロビット)や、サイバーセキュリティ企業のARGUS CYBER SECURITY(アーガス)と協力し、コネクテッドカーにエンドツーエンドのセキュリティを提供する。 - 結合テスト段階でECUの脆弱性を早期発見、実際にサイバー攻撃を受けさせる
アズジェントは2018年10月11日、ECU(電子制御ユニット)の脆弱性を早期発見するためのサービス「ThreatHive」を2019年第1四半期から提供を開始すると発表した。 - 大手サプライヤーとIT企業の車載セキュリティ協業が進む、デンソーと野村総研も
デンソーと野村総合研究所子会社のNRIセキュアテクノロジーズは、車載電子製品のセキュリティ診断を中心としたサイバーセキュリティ事業を行う共同出資会社を設立することで合意した。 - カルソニックカンセイが車載セキュリティで新会社、「ITをクルマに合わせていく」
カルソニックカンセイは車載セキュリティの脅威分析やゲートウェイの開発などを手掛ける合弁会社「WhiteMotion(ホワイトモーション)」を設立した。フランスのセキュリティ関連企業のQuarkslabと折半出資。拠点はさいたま市北区のカルソニックカンセイ本社内に置く。 - クルマのハードウェアの脆弱性を評価、ハッカー目線で作った侵入テストツール
ラピッドセブン・ジャパンは、直接ハードウェアに接続して脆弱性を評価する侵入テストツール「Metasploit Hardware Bridge」の概要を発表した。