ECUの統合化で必要な通信のセキュリティは「ブラックチャネル」で守る：車載セキュリティ（2/2 ページ）

ブラックベリーは、自動車や産業機器などのセーフティクリティカルが求められるシステムにおける安全なデータ通信を保証するソフトウェアソリューション「QNX Black Channel Communications Technology（QBCCT）」の販売を開始した。

[朴尚洙，MONOist]

セキュリティ対策とISO 26262への準拠を同時に実現

　このようにECUの統合化が進む中で懸念されているのがサイバーセキュリティの問題だ。CASEの最初にあるコネクテッドで外界とつながることと同期するように、ECU間をつなぐ車載ネットワークも従来のCANだけでなく次世代CANといわれるCAN FD（Flexible Data Rate）や車載イーサネットなどの高度な通信技術を利用するようになっている。中鉢氏は「これらの通信にサイバー攻撃が行われれば、自動車の走行安全にも大きく影響を与えることになる。そのような事態を防ぐために通信を守るソリューションも必要だ」と強調する。

　今回販売を開始したQBCCTは、ドメインコントローラーなどのATOSAR APに準拠するECU向けのソフトウェアとなっている。最大の特徴は、商品名にも入っている通り「ブラックチャネル（Black Channel）」という仕組みを用いて、セキュリティ対策とISO 26262への準拠を同時に実現する点だ。

　一般的な構成のECUの通信についてセキュリティ対策とISO 26262の両方に対応するには、ECUのハードウェアだけでなくアプリケーションや通信スタック、ドライバといったソフトウェアをひとまとめにしたシステムとしてISO 26262に準拠しなければならない。「現在、自動車を市場で販売するにはISO 26262への準拠は必須だが、通信を守るためだけにここまで広い範囲で対応するとなるとコストが大幅に膨れ上がってしまい現実的ではなくなる」（中鉢氏）。

セキュリティ対策とISO 26262の両方に対応する場合、一般的な構成のECU（ホワイトチャネル）では対象範囲が広くなりコストが増大する。ブラックチャネルであればこの課題を解決できる（クリックで拡大） 出典：ブラックベリー

　ブラックチャネルは、この問題を解決すべくAUTOSAR APのE2E（End-to-End Protection）通信の中で提唱されたコンセプトである。ECUの本来機能とは別に通信の安全性を守るソフトウェアコンポーネントを組み込むことで、ISO 26262に準拠すべき範囲を限定的にとどめることができる。中鉢氏は「このブラックチャネルに対応したソフトウェアは当社のQBCCTが初めてになるだろう。また、QBCCTそのものがISO 26262のASIL Dの認証を取得しているので、ISO 26262への準拠という観点ではより容易になるといえる」と説明する。

複雑なシステムのISO 26262への準拠では、セーフティモニターを用いることでよりシンプルにすることができる。QBCCTはこのセーフティモニターにあたる（クリックで拡大） 出典：ブラックベリー

　セキュリティ処理にかかる計算負荷が小さいこともメリットになる。4KBのメッセージ処理にかかる時間は0.03msと極めて短い。「従来の構成のECUでセキュリティ対策を行うホワイチャネル（White Channel）では、計算負荷が大きく処理に時間がかかる」（中鉢氏）という。

　なお、今回のQBCCTの発表は主にAUTOSAR APを組み込むECU向けになるが、産業機器向けでも同様の需要が出てくることを想定している。中鉢氏は「自動車にドメインコトンローラーが登場しつつあるように、工場などでもOPC UAに準拠したコントローラーが生産ライン全体を制御する場面が増えてくるだろう。機能安全規格に準拠しつつ、その通信を守るにはQBCCTのようなソフトウェアが必要になるはずだ」と述べている。