自動車セキュリティは義務的作業ではなく、イノベーションを促進する土台だ:つながるクルマ キーマンインタビュー(2/2 ページ)
コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。
セキュリティは、ソフトウェアエンジニアの腕の見せ所
MONOist 今後、自動車は、セキュリティを十分に考慮した正しい設計であることを客観的に証明することが求められるそうですね。
ディレイソン氏 ソフトウェアの完成品ではなく、開発プロセスを示すことが重要になる。複数のチームがどのように開発に携わって、ソースコードがどのように書かれて、試験がどう実施されて、デザインがどう決まったか見せられれば、セキュリティを考慮したことを客観的に示すことができる。メソドロジー(方法論)があれば、ソフトウェアがセキュアである可能性が高いと考えることができる。完成品だけを評価しても意味がないし、セキュアさはどう示していいか分からないだろう。
自動車のソフトウェア開発に関する規制が決まる前に、自分たちでどのようにソフトウェアを開発したいのか、開発プロセスを考えるべきだ。クルマにはソフトウェアで動くコンポーネントが増えているので、それに合わせてリスクも増えている。さまざまな会社が革新的なものを出そうとするレースの中で、冷静かつ慎重に開発プロセスを決めた上で、革新的なものを開発することが重要だ。
MONOist セキュリティとソフトウェア開発のやりがいは共存できますか。
ディレイソン氏 セキュリティは義務ではなく、イノベーションを促進するために必要だと考えている。例えば、Mercedes-Benz(メルセデスベンツ)が渋滞情報を共有するV2V(車車間通信)についてアナウンスした。セキュアでなく、ハッカーがうその情報を流せるような状態では、クルマ同士が対話する機能はあり得ない。安心して使えるからこそ製品として世に出てくる。セキュリティがイノベーションを実用化する。
ソフトウェア開発者は、信頼性の高いソースコードを書くことを誇りに思う。「セキュリティ=バグ」という概念があれば、ソースコードの信頼性やクオリティーを示すことはやりがいになるのではないか。
自動車業界は大きな変化が起きているエキサイティングな時期だ。十数年前、クルマのイノベーションといえば燃費改善くらいだった。DevSecOpsがイノベーションを革新する。成功する自動車メーカーはDevSecOpsを導入する会社になるとみている。
MONOist 自動車業界には既にソフトウェアの資産があります。今あるものをセキュアに使い続けることはできますか。
ディレイソン氏 継続した改善を行うことが一番重要だ。今、世の中を走っているクルマは、深刻な脅威にはさらされていない。ハッキングによってどこかにぶつかったという事も聞いていない。現在重要なのは、理論上の脅威への対応だ。「いつか、こういうことが起きるかもしれないから、早く修復しよう」ということ。数年がかりになるが、自動車メーカーはさまざまなサプライヤーに対して、少しずつ自動車メーカーで決めたルールを共有し続けなければならない。
MONOist EVの増産に向けて工場を刷新する自動車メーカーが増えていますが、セキュリティの観点で取り組むべきことはありますか。
ディレイソン氏 工場を一から作り直すのは、セキュリティを高めるチャンスだ。今までの工場はITが少しずつ入っており、事前に設計された形ではない。工場を新しくする時にITをよりよい形で設計することができるし、デザイン通りの工場になればセキュリティがよくなる。
OT(制御技術)は、セキュリティ意識の向上が必要な分野の1つだ。工場や発電所はもともとインターネットにつながらない前提で設計されていたが、IoT化が進み始めた。その結果、セキュリティ管理に問題が出てきた。IoT機器をITチームでなくオペレーションチームが管理しており、パッチが配布されず、システムを維持する必要性を分かっていないというケースがある。デジタルトランスフォーメーションに向けて、工場などでどうシステムを管理するか、考え直す時に来ている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫つながるクルマ キーマンインタビュー 過去記事
- 自動車のサイバーセキュリティに「説明責任」を、DNV GLに新チーム
第三者認証機関のDNV GLは、自動車向けに機能安全とサイバーセキュリティの両面の対応を強化している。車載セキュリティの設計や実装における技術検証を行うサイバーセキュリティラボを2019年4月1日に設立。ISO 26262の策定活動にも参加した自動車メーカー出身者による従来の機能安全のチームに、大手通信事業者でサイバーセキュリティに長く携わったメンバーが参加した。これにより、セーフティとセキュリティのサポートをワンストップで提供する。 - 自動車のセキュリティって何をすればいいんですか?
自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。日本シノプシス ソフトウェアインテグリティグループ シニアソリューションアーキテクトの岡デニス健五氏に話を聞いた。 - 自動車業界にセキュリティ意識調査、不十分な対応やリソース不足が目立つ
シノプシス(Synopsys)は2019年2月20日、東京都内で会見を開き、自動車業界のセキュリティの取り組み状況に関する調査結果を発表した。調査はSAE(米国自動車技術会)と共同で、グローバルの自動車メーカーやサプライヤーなどを対象に実施した。 - 「完璧に守る」よりも車載セキュリティに必要なこと、攻撃へのリアルタイムな対応
Continental(コンチネンタル)は、グループ会社であるソフトウェアベンダーのElektrobit(エレクトロビット)や、サイバーセキュリティ企業のARGUS CYBER SECURITY(アーガス)と協力し、コネクテッドカーにエンドツーエンドのセキュリティを提供する。 - カルソニックカンセイが車載セキュリティで新会社、「ITをクルマに合わせていく」
カルソニックカンセイは車載セキュリティの脅威分析やゲートウェイの開発などを手掛ける合弁会社「WhiteMotion(ホワイトモーション)」を設立した。フランスのセキュリティ関連企業のQuarkslabと折半出資。拠点はさいたま市北区のカルソニックカンセイ本社内に置く。 - 新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。